あなたの知らないマイナンバーの壁・・プッシュ型給付との連携に？

「【安野貴博】国会質疑を安野自身が解説！【チームみらい】」12/07

の要点を、AIが2つの大きな柱に沿ってまとめます。

この動画は、安野貴博氏が自身の国会質疑（総務委員会）の様子を自ら解説する形式となっています。

1. 「申請主義」から「プッシュ型給付」への転換

現在の行政サービスが抱える課題と、デジタル技術を活用した解決策について議論されています。

• 申請主義の負担: 支援が必要な人が自ら申請しなければならない現状は、特に出産直後の保護者などにとって身体的・精神的に大きな負担であり、制度を知らないために恩恵を受けられないケースもあります [02:44]。

• 自治体側の業務負荷: 給付金のたびに発生する対象者の特定、郵送による意思確認、書類の確認作業などは、人手不足の自治体にとって膨大な作業となっています [03:34], [05:13]。

• 公金受取口座の壁: マイナンバーと紐付いた「公金受取口座」という仕組みはあるものの、全員が登録しているわけではないため、自治体側で二重管理が発生し、ミスを恐れて活用が進まない実態があります [06:46], [07:09]。

• 安野氏の提案: 所得や属性データに基づき、簡単な確認のみで自動的に支援が届く「プッシュ型」への転換を主張しました [07:45]。

• 大臣の答弁: 林総務大臣からは、業務フローを見直すBPR（ビジネス・プロセス・リエンジニアリング）や、書かない窓口の実現などを通じ、自治体の負担軽減と利便性向上を進めるとの前向きな回答が得られました [10:06], [11:07]。

2. 自治体システムの「オープンソース化（OSS）」の推進

自治体間の重複投資を減らし、DXを加速させるための法解釈の明確化について議論されています。

• 重複投資の削減: 全国約1,700の自治体がバラバラにシステム開発を行っており、その費用は年間約6,620億円にのぼります。コードを共有（OSS化）できれば、この重複投資を大幅に削減できます [13:04], [13:09]。

• 「公有財産」の解釈という壁: これまで、税金で作ったソフトウェアを他者に公開することは、地方自治法上の「公有財産」の譲渡にあたる恐れがあるという「グレーゾーン」が存在し、現場の足かせになっていました [15:05], [16:03]。

• 画期的な答弁: 安野氏の質問に対し、林大臣は「プログラムの著作物は、地方自治法上の厳しい制約を受ける『公有財産』には該当しない」と明言しました。これにより、自治体が開発したソフトを特段の制約なくOSS化できることが明確になりました [18:04], [18:15]。

• 周知の徹底: この重要な法解釈が自治体の現場（財政担当やシステム担当）に確実に行き渡るよう、総務省として改めて全国の自治体に周知・徹底することを求めました [20:04], [21:01]。

---

動画URL: https://www.youtube.com/watch?v=3QQBTrYqpys

Bitcoin Core セキュリティ監査「重大脆弱性なし」

ビットコイン基盤Bitcoin Core、16年の歴史で初のセキュリティ監査「重大脆弱性なし」と評価 – 仮想通貨ニュースメディア ビットタイムズ (11/21)

『Bitcoin Coreは、ビットコインネットワークを支えるオープンソースの基本ソフトウェアで、ビットコインという数兆ドル（数百兆円）規模の価値を支える中核システムです。

・・・

監査期間は2025年5月から9月までの約4か月間で、Bitcoin Coreのピア・ツー・ピア（P2P）ネットワーク層、メモリプール、ブロック管理、コンセンサス（合意形成）ロジックなど、セキュリティ上クリティカルな部分を集中的なレビューが行われています。

その結果、重大（クリティカル）・高（ハイ）・中（ミディアム）レベルの脆弱性は一切確認されず、指摘事項は低（ロー）レベルの問題2件と情報提供目的の改善提案13件のみとなりました。

・・・

監査は約100人日の工数をかけて実施され、複数のエンジニアがBitcoin Coreのコードを手動で精査するとともに、動的解析やCIに組み込まれたファズテストなどの高度な手法を駆使して包括的に検証されました。』

『専門家からは「ビットコインで使われているSHA-256は銀行で一般的なRSAより堅牢だ」と指摘されており、現時点では実務上の影響は限定的だとされています。

量子計算への不安からビットコイン価格が一時急落した際には、一部の米機関投資家がこれを押し目買いの好機と捉え、約7,500万ドル（約118億円）規模の資金がビットコイン関連ETFに流入したことも確認されました。

今回の監査で重大な欠陥が確認されなかったことは、量子リスクへの懸念を和らげ、ビットコイン基盤ソフトの安全性に対する市場の信頼を支える要因になるとみられています。』

住信SBIネット銀行の取り組み

住信SBIネット銀行、勘定系システムを「AWS」に全面移行--拡張性と効率性を向上 - ZDNET Japan (09/19)

『・・・日本IBMが提供するオープン系勘定系システム「NEFSS（Next Evolution in Financial Services Systems）」を今後の成長に即した拡張を可能にする新アーキテクチャーに進化させ、2028年初頭を目途にAmazon Web Services（AWS）のクラウド環境へ全面移行する・・・

　・・・現在825万口座、預金総残高は11兆円を超える・・・

　新アーキテクチャーは3000万口座以上のデータボリュームに対応するとともに、運用コストを約30％削減できる見込み。』

SBIグループのランサムウェア対策と事業レジリエンス強化に向けたゼロトラストセキュリティソリューション「Akamai Guardicore Segmentation」導入のお知らせ(SBIホールディングス)－ PR情報｜SBIホールディングス　(12/19)

『　当社は、こうした高度化・複雑化する脅威に対して、「可視化」と「分離」を中核とした防御戦略に舵を切り、グループ全体のゼロトラスト基盤構築を推進しています。

・・・

600社を超える連結子会社と1万8,000人を超える従業員を擁します。その為、IT環境も極めて多様で、複数のパブリッククラウド、オンプレミスのデータセンター、さらにはレガシーシステムまでが混在し、グループ全体で数千台の端末と数百台のサーバが稼働しています。

・・・次の3つの要件を満たすマイクロセグメンテーション製品の選定を進めておりました。

 マルチクラウド／マルチOS対応
クラウド、オンプレミスを問わず、同一のセキュリティポリシーを適用できること
 国内リージョン対応
データガバナンスの観点から、自社データを国内リージョンで厳格に管理できること
 運用の効率性
限られたセキュリティ人材でグループ全体を一元的に管理できる持続可能な運用モデルであること

・・・

選定に当たって、当社が評価したポイントは、以下の通りです。

 可視化機能
これまで意図していなかった通信経路が確認できた
 セキュリティポリシー
ラベルベースのポリシー管理により、IPアドレスが動的に変化するクラウド環境でも一貫したセキュリティポリシーを維持
 脅威ハンティング機能
AIと機械学習を活用した脅威ハンティング機能「Akamai Hunt」は、潜伏型の攻撃やLotL攻撃の兆候に対し、早期の検知・封じ込めが可能
 運用の効率性
ラベルベース管理機能に加えて、事前構築済みテンプレートを使うことで、最小限のリソースで効率的な運用が可能』

プレスリリース：SBI ホールディングスが Akamai Guardicore Segmentation を導入（PR TIMES） | 毎日新聞 (12/19)

『SBIホールディングス IT統括部長でグループCSIRTを率いる浦輝征氏は「グループ全体のセキュリティのレベルを引き上げながら担当者の運用負荷を重くしないという、一見矛盾する要求をAkamai Guardicore Segmentationで実現できました。』

EVERSPIN、日本の金融大手SBIグループにセキュリティ技術を提供… 「海外事業拡大」 | 韓国のIT&スタートアップ業界専門メディア 「KORIT」 (12/19)
『セキュリティソリューション企業EVERSPIN（エバースピン）は日本の金融グループ企業SBIホールディングスおよび合弁法人SBI EVERSPINとの3者協力を通じて、SBIグループのセキュリティ強化に乗り出すと15日、明らかにした。

2014年に設立されたEVERSPINは、△フィッシング防止「FakeFinder（フェイクファインダー）」△ハッキング防止「EverSafe（エバーセーフ）」△名義盗用防止「iDEFERNDER（アイディフェンダー）」などを運営している。』

SBIホールディングス、グループ全体のランサムウェア対策でマイクロセグメンテーションを導入 | IT Leaders (12/19)

img_90e048b3721ebd4a0b28170fcfb33212112123.jpg (798×493)

図1：SBIホールディングスがマイクロセグメンテーションを導入したシステム構成。エンドポイントにエージェントをインストールすることで、エンドポイント間のネットワークアクセスを制御する（出典：アカマイ・テクノロジーズ）

エンドポイント単位でアクセスを制御するマイクロセグメンテーションツール「Akamai Guardicore Segmentation」 | IT Leaders (2022/07/25)

『個々のエンドポイントにエージェントソフトウェアをインストールして使うことで、アクセス制御をマイクロセグメント化する。エンドポイント間の通信を可視化するほか、「DBアクセス端末の外部通信をブロック」といったポリシーベースのアクセス制御を容易にする。同ソフトウェアは、米Akamai Technologiesが買収したイスラエルGuardicoreの「Guarcicore Centra Security Platform」である・・・

例えば、データベースのラベルが付いたエンドポイイント（データベースにアクセスしているエンドポイント）からインターネットへの接続を禁止してブロックする、といったルールを簡単に設定して運用可能である。』

住信SBIが「ドコモSMTBネット銀行」に 通信×金融、運用相談で強み - 日本経済新聞 (日本経済新聞) (12/19)
『注目のコメント

• 八田 浩　
• ・・・中略・・・なんといっても24時間利用できるのが大きい事と
  スマート決済(本人確認の要素認証さえクリアすれば、パスワードなし)も大きい。一般銀行だとセキュリティ要件が面倒すぎて決済作業の負担が重いです。』
• 
  

住信SBIが「ドコモSMTBネット銀行」に、ドコモ経済圏に金融サービス一体化 - ニュース：日経クロステック Active (12/22)

Critical Vulnerability in React Server (CVE-2025-55182) #2

過去記事「Critical Vulnerability in React Server (CVE-2025-55182)」(12/08)の追加記事として、事例紹介他　↓

CISA Adds One Known Exploited Vulnerability to Catalog | CISA (12/09) 

『CVE-2025-55182 Meta React Server Components Remote Code Execution Vulnerability』

Next.jsの脆弱性を数日放置したら暗号通貨マイナーを仕込まれた話 #CVE-2025-55182 - Qiita (12/10)

『

• CVE-2025-55182公開から2日後に攻撃を受けた
• Next.js 15.x / 16.x のServer Actions脆弱性でRCE（リモートコード実行）された
• 暗号通貨マイナー（Monero）と複数のバックドアを仕込まれた
• サーバー内部の認証情報が漏洩した可能性がある

タイムライン

12/01 00:10  偵察攻撃開始（.git/config, .envスキャン）
12/01 04:14  .envファイル列挙攻撃（2,210リクエスト/2秒）
12/03       CVE-2025-55182 公開
12/03-05    CVE-2025-55182を利用した攻撃成功（推定）
12/05 15:17 マルウェア#1 ダウンロード
12/05 19:39 マルウェア#2 ダウンロード
12/10 09:37 システム再起動後、バックドアが自動起動
12/10 10:22 Moneroマイナー起動（CPU使用率281%）
12/10 11:27 発見

』

"対策"も紹介されていて、参考になる。

フォーマットインストールまでは行っていない。

国税庁からメール、実は中国系ハッカー

多様化する国際サイバー犯罪（毎日新聞） - Yahoo!ニュース (12/17)

『スロバキアに本社を置く、国際的なサイバーセキュリティー企業「ESET（イーセット）」によると、大阪万博に関するフィッシングから、生成AI（人工知能）を悪用したものまで、手口の多様化は止まらない。

・・・

　メールの件名には「税務申告」などと書かれているが、添付されたファイルを開くと、デバイスを遠隔操作する悪意のあるソフトウエアを仕込まれてしまう――。

・・・

　来日したイーセットのローマン・コバチ最高リサーチ責任者（CRO）は・・・「（セキュリティソフトなどの）技術的な対策は大いに役立ちますが、それだけではなく、（企業や組織にとっては）疑わしいものを見分けるための従業員の教育や訓練も重要になってくるでしょう」と語った。』

「安全性向上に限界ない」　アサヒGHD勝木社長が悟った危機感 [写真特集6/6] | 毎日新聞 (11/27)

2024年の業種別ランサムウェア被害報告件数のグラフあり

このChrome「拡張機能」を今すぐ削除せよ

生成AIとの会話を収集し第三者に販売 | Forbes JAPAN 公式サイト（フォーブス ジャパン） (12/17)

『

Chrome ウェブストア（計4製品。すべて公開が継続中）

・Urban VPN Proxy（ID：eppiocemhmnlbhjplcgkofciiegomcon／提供元：Urban VPN／ユーザー数：約600万人）

・1ClickVPN Proxy for Chrome（ID： pphgdbgldlmicfdkhondlafkiomnelnk／提供元：1clickVPN／ユーザー数：約60万人）

・Urban Browser Guard（ID：almalgbpmcfpdaopimbdchdliminoign／提供元：Urban VPN／ユーザー数：約4万人）

・Urban Ad Blocker（ID：feflcgofneboehfdeebcfglbodaceghj／提供元：Urban VPN／ユーザー数：約1万人）

Microsoft Edge アドオン（計4製品。すべて公開が継続中）

・Urban VPN Proxy（ID：nimlmejbmnecnaghgmbahmbaddhjbecg／提供元：Urban VPN／ユーザー数：約132万人）

・1ClickVPN Proxy for Edge（ID：deopfbighgnpgfmhjeccdifdmhcjckoe／提供元：1clickVPN／ユーザー数：約3万6000人）

・Urban Browser Guard（ID：jckkfbfmofganecnnpfndfjifnimpcel／提供元：Urban VPN／ユーザー数：約1万2000人）

・Urban Ad Blocker（ID：gcogpdjkkamgkakkjgeefgpcheonclca／提供元：Urban VPN／ユーザー数：約6000人）

』

AIのみに注目させる文脈だが、アドオンは本来、技術的なセキュリティリスクがありうる点に触れるべきだろう。

そこでAIに訊いてみた　↓

説明と対策

ブラウザのアドオン（拡張機能）は、Webサイトの情報を読み取ったり、表示を書き換えたりする強力な権限を持って動作します。そのため、悪意のあるアドオンやセキュリティ設定が不十分なアドオンを導入すると、ご指摘のような深刻なプライバシー侵害やセキュリティリスクが発生します。

---

1. 取得可能な情報の範囲

アドオンが「アクセスしたすべてのウェブサイト上の全データの読み取りと変更」という権限を求めている場合、以下のようなことが可能になります。

• 入力内容の窃取（キーロギング）
• ログインフォームに入力したIDやパスワード、クレジットカード番号、検索ワードなどをリアルタイムで取得できます。
• 訪問ページの監視
• いつ、どのURLにアクセスしたかというブラウザ履歴をすべて記録・送信できます。
• ページ内容の読み取り
• 銀行の残高画面、SNSのダイレクトメッセージ、社内システムの機密情報など、画面に表示されているあらゆるテキストを取得可能です。

---

2. その他の主なリスク

データの窃取以外にも、以下のようなリスクが存在します。

① セッション・ジャック（アカウント乗っ取り）

ブラウザに保存されているCookie（クッキー）やセッション情報を盗み出し、パスワードを入力することなくあなたのアカウント（Amazon、Google、SNSなど）にログインされる危険があります。

② Webページ内容の改ざん

表示されているリンク先をフィッシングサイトへ書き換えたり、ネットショッピングの振込先口座番号をこっそり書き換えたり、不適切な広告を勝手に挿入したりすることができます。

③ 「スリーパー・エージェント（潜伏型）」化

最初は便利なツールとして動作し、ユーザーを安心させて数万人の利用者を獲得した後に、アップデートを通じて突然悪意のあるコードを追加する手法があります。開発者が変わったり、アカウントがハッキングされたりすることで、信頼していたアドオンが突然「スパイウェア」に変わるリスクです。

④ 踏み台（プロキシ）への悪用

ユーザーのPCを中継地点として利用し、他のWebサイトへ攻撃を仕掛ける「踏み台」にされることがあります。これにより、あなたのIPアドレスが攻撃元として記録されてしまう恐れがあります。

---

パスワード管理サービス提供者は、ICOにより120万ポンドの罰金を科された

LastPass

Password manager provider fined £1.2m by ICO for data breach affecting up to 1.6 million people in the UK | ICO (12/11)

『

• 人々が安全を向上できるよう支援すると約束するサービスは、人々を失敗させ、脆弱な状態に置いた
• 2件の孤立したインシデントが重なり、ハッカーが160万人の顧客に関する個人情報を盗むことが可能になった
• 「ゼロ知識」暗号化システムにより、顧客のパスワードや金庫が復号化されないようにする

・・・

LastPassは十分に堅牢な技術的およびセキュリティ対策を導入できなかったため、ハッカーがバックアップデータベースに不正アクセスする事態となった。ハッカーが顧客のパスワードを暗号化解除できたという証拠はありません。これらのパスワードはLastPassではなく、顧客デバイスにローカルに保存されているためです。

』

Google Chrome, Out of bounds memory access (CVE-2025-14174)

CVE Record: CVE-2025-14174 (12/12)

KEVカタログに載っている　↓　

Known Exploited Vulnerabilities Catalog | CISA (12/12)

『Google Chromium Out of Bounds メモリアクセスの脆弱性:Google Chromium には、ANGLE における範囲外のメモリアクセスの脆弱性が含まれており、リモート攻撃者が作成されたHTMLページを介して帯域外へのメモリアクセスを実行できる可能性があります。この脆弱性は、Google Chrome、Microsoft Edge、Operaなど、Chromiumを利用している複数のWebブラウザに影響を与える可能性がある。

ランサムウェアキャンペーンで使用されていることは知られていますか?不明

Action:対応:ベンダーの指示に従って緩和策を適用する、クラウドサービスに関する適用されるBOD 22-01ガイドラインに従う、または緩和策が利用できない場合は製品の使用を中止する。』 (機械翻訳)

Chrome Releases: Stable Channel Update for Desktop (12/10)

『Google is aware that an exploit for CVE-2025-14174 exists in the wild.』

About the security content of iOS 18.7.3 and iPadOS 18.7.3 - Apple Support (12/12)

ブラウザだけでなく、OSアップデートも必要な理由、AIの翻訳・説明　↓

『リンク先の記事（Apple セキュリティアップデート）と、ご指摘の脆弱性 CVE-2025-14174 について解説します。

結論から申し上げますと、「Chromeだけでなく、OS（iOS, macOS等）自体のアップデートも必須」 です。

単にブラウザをアップデートするだけでは不十分な理由と、今回の脆弱性の特殊な背景について整理しました。

---

1. なぜ「Chrome」以外もアップデートが必要なのか？

今回の CVE-2025-14174 は、Google Chrome で使われているエンジン（Chromium）と、Apple製品の標準エンジン（WebKit）の両方に共通する**「ANGLE」という描画ライブラリ**のバグが原因です。

Apple製品において、OSのアップデートが必要な理由は主に2つあります。

• iOS/iPadOS の「ブラウザ制限」:
  iPhoneやiPadでは、ChromeやFirefoxなどのサードパーティ製ブラウザも、内部的には Apple の WebKit を使用してWebページを表示しています。そのため、OSをアップデートして WebKit 自体を修正しない限り、どのブラウザを使っていても脆弱性の影響を受けてしまいます。
• システム全体での利用:
  WebKit はブラウザだけでなく、メールアプリでのプレビューや、アプリ内のニュース表示など、システム全体のさまざまな場所で使われています。Safariを使わなくても、悪意のあるコンテンツを処理した瞬間に脆弱性を突かれるリスクがあるため、OS全体の更新が必要です。

2. 今回の脆弱性の特徴（CVE-2025-14174）

今回の問題は「メモリ破損」を引き起こすもので、以下の点が非常に重要視されています。

• ゼロデイ攻撃: すでにこの脆弱性を悪用した、特定の個人を狙った「極めて巧妙な攻撃」が確認されています。
• 共同修正: GoogleとAppleが共同で特定し、異例のタイミングで両社から同時に修正パッチが出されました。

3. 対象となるOSとバージョン

お使いのデバイスが以下のバージョン（またはそれ以降）になっているか確認してください。

デバイス	アップデート後のバージョン
iPhone / iPad	iOS 26.2 または iOS 18.7.3
Mac (最新OS)	macOS Tahoe 26.2
Mac (旧OS用)	Safari 26.2 (Sonoma / Sequoia向け)
Apple Watch	watchOS 26.2
Apple TV	tvOS 26.2

---

次にすべきこと

お使いのデバイス（iPhoneやMac）の 「設定」 > 「一般」 > 「ソフトウェア・アップデート」 を開き、最新のパッチが適用されているか今すぐ確認することをお勧めします。

』

上記のAI解説にiOS 26.2が唐突に登場する（その上のApple記事には登場しない）のだが、26.2も選択肢のひとつということらしい。

iOS 26.2――すべてのiPhoneユーザーは「今すぐアップデート」せよ | Forbes JAPAN 公式サイト（フォーブス ジャパン） (12/14)

ZOOMやBoxでシステム障害(解消：2025年12月17日)

システム障害のニュース-セキュリティ対策Lab (12/17)

【2025年12月最新】Box障害まとめ｜ログイン不可・共有リンク拒否の原因と対処法 - 知る見る！図鑑 (12/17)

『焦って設定をいじるよりも、まずは公式ページの更新を定期的にチェックするのが一番安全です。』

Boxは、こんなの↓を公開しているのですね

• Box Status - Incident History
• Our Approach to Incident Response and Communications – Box Support

中国製KVMにひっそりマイクが搭載されていることが判明

中国拠点のサーバーと通信している痕跡も - GIGAZINE (12/09)

AIのまとめと筆者のメモ

製品の主な欠陥・問題点

• 隠しマイクの搭載 仕様書や製品説明には一切記載がないにもかかわらず、デバイスの内部基板に物理的なマイクが実装されていました。
• 不透明な音声処理 デバイスのメイン制御チップがマイクからの音声信号を処理できるよう設計されており、ユーザーが意図しない音声収集が行われるリスクがあります。
• 脆弱な通信プロトコル デバイスが独自の通信プロトコルを使用しており、暗号化が不十分なため、ネットワーク経由で音声データが外部に送信されたり、盗聴されたりする脆弱性が指摘されています。
• 不適切な隠蔽工作 マイクは一見すると別の電子部品（コンデンサなど）に見えるよう配置されており、意図的に隠されていた可能性が高いと分析されています。
• ハードコードされたパスワード 初期ロットにはデフォルトのパスワードが設定されており、このパスワードでSSHへのアクセスが可能だった。この問題はSipeedがすぐに対応しました。
• CSRF対策がなく、セッションを無効化する手段もない（無かった）
• 不透明なシステム更新デバイスが中国のDNSサーバーに依存しており、中国のSipeedサーバーと通信し、更新プログラムだけでなくクローズドソースコンポーネントもダウンロードしている。ソフトウェアアップデートの完全性検証が行われていない。（注、これによって提供元や悪意の第三者が悪意のプログラムへ更新可能、ということかな?）
• 製品版のデバイスに存在すべきではないツールの存在 tcpdump, aircrack

---

セキュリティ上の懸念

この欠陥により、機密性の高い会議や個人の会話が、デバイスを通じて第三者に漏洩するリスクが生じています。メーカー側は「将来的な音声操作機能のため」と説明するケースもありますが、告知なしの実装は重大なプライバシー侵害とみなされています。

備考（冒頭記事引用）

『研究者は「まとめると、このデバイスはセキュリティ上の欠陥だらけということです。これらの問題は開発者の悪意によるものではなく、極度の不注意と急ピッチの開発から生じているものと確信しています。しかし、だからといって懸念が薄れるわけではありません」と述べました。

幸いなことに、NanoKVMは名目上オープンソースであるため、コミュニティメンバーが代替Linuxディストリビューションの移植を開始しており、ユーザーは好みのバージョンを利用することができるそうです。』