npmの人気パッケージ「axios」で不正公開、サプライチェーン攻撃か

JavaScript向けHTTPクライアントとして広く使われる「axios」で、npm上の一部公開バージョンが侵害されたとみられる問題が起きました。2026年3月31日、axios の GitHub では axios@1.14.1 とaxios@0.30.4 が侵害されたとするIssue が公開され、別の関連Issue はすでに削除済みになっています。 何が起きたのか 今回ややこしいのは、「axios の本体ソースに露骨な不正なコードが混ざった」わけではない点です。StepSecurity や Socket の分析によると、問題のバージョンでは plain-crypto-js@4.2.1 という新しい依存関係が追加されており、この依存が postinstall を通じて macOS、Windows、Linux 向けのペイロードを落とす仕組みだったとされます。しかも、この依存はaxios のソースコードからは参照されておらず、インストール時に悪性処理を走らせるためだけに入れられた可能性が高いとみられています。 不自然だったリリース経路 不審さを強めているのが、GitHub上の通常のリリース履歴との食い違いです。確認時点でaxiosのGitHub Releasesにはv1.14.0が最新として表示されており、少なくとも通常の公開履歴としては1.14.1や0.30.4に対応するリリースが見当たりません。今回問題になったバージョンは、通常のリリース運用とは異なる形でnpmに公開された可能性があります 侵害の背景については、複数の調査会社がメンテナーのnpm 認証情報、あるいは公開権限のあるアカウントが乗っ取られた可能性が高いとみています。axiosのIssueでも、メンテナーのGitHubやnpmアカウントが侵害された可能性が示唆されており、StepSecurityとAikidoも、乗っ取られたメンテナーアカウントを通じて問題のバージョンが公開されたとの見方を示しています。 これについて、StepSecurity は、攻撃者がメンテナーのアカウント情報を書き換えたうえで、通常の GitHub Actions パイプラインを使わずnpm CLI から手動で公開したと説明しています。Aikido もほぼ同様の見方を示し、axios@1.14.1 は 3月31日 00時21分 ...

【Build 2023】Microsoft Edgeがビジネス向けに進化：AIパワーと個人のプライバシーを重視

米Microsoftは2023年5月23日(現地時間)、開発者向けカンファレンスの「Build 2023」を開催し、同社が提供するWebブラウザである「Edge」の強化について発表しました。 これまでにないワーク体験を提供するため、MicrosoftはそのWebブラウザ、Microsoft Edgeを大幅にアップデートされます。 Microsoft 365 Copilot、Microsoft Edgeへのネイティブ統合 Microsoft 365 Copilotは現在プライベートプレビューの段階で、Microsoft Edgeにネイティブで統合されることが予定されています。Edgeのサイドバーに対するクエリへの迅速な応答やタスク完了など、仕事に必要な強力な機能を提供します。 Microsoft 365 Copilotは、大規模言語モデル（LLM）の力とMicrosoft GraphおよびMicrosoft 365アプリ内のデータを組み合わせた新機能を提供します。これにより、ユーザーは自然言語でリクエストを入力し、たとえば「今日の製品戦略の更新内容をチームに伝えて」とリクエストすると、Microsoft 365 Copilotはその日のミーティング、メール、チャットの内容に基づいたステータスアップデートを生成します。 Microsoft Edge for Business、ビジネス向けの新体験 Microsoft Edgeは、専用のビジネス体験へと進化しています。これに伴い、新たなビジュアル要素が追加され、自組織の名前やその他の目印が表示されます。この新体験は「Microsoft Edge for Business」と呼ばれ、リッチなエンタープライズコントロール、セキュリティ、生産性向上機能が提供されます。 Microsoft Edgeの新しい管理サービス Microsoft 365管理センターの新しいMicrosoft Edge管理サービスは、ブラウザとエクステンション管理のための専用で簡素化された簡単な代替手段をIT管理者に提供します。 Microsoft Edge Workspaces、一緒にブラウズと共有 Microsoft Edge Workspacesでは、ユーザーが一緒にブラウザの同一セットのタブを共有、整理、閲覧することができます。エンタープライズ向...

Rufusの競合ソフト「Ventoy」が更新、Windows 11のバイパス関連のバグとVHDXのブート問題などを修正

VentoyはISO/WIM/IMG/VHD(x)/EFI ファイル用の起動可能な USB ドライブを作成するためのソフトです。 競合ソフトであるRufusがWindows 11のインストール要件(TPM 2.0など)のバイパス機能や、Windows 11 22H2 Insider Build以降必須になったMicrosoft アカウント(MSA)の回避、インターネット接続のバイパスなどの機能を追加した後、Ventoyも1.0.86で同様の機能を追加しました。(Neowin) 今回リリースされたVentoy 1.0.88ではWindows 11のバイパスチェックに関連する、Webページの表示に関する不具合が修正されました。また、VHDXまたはVirtual Hard Disk v2ファイルフォーマットでの起動に関する問題も修正されています。 Ventoy 1.0.88更新内容 更新内容は次の通りです。 Ventoy 1.0.88 は、GitHubまたはVentoy の公式サイトから入手が可能です。

Windows用のApple Music、Apple TV+、Apple デバイスを管理が行える「Apple デバイス」のプレビューアプリがMicrosoft Storeに登場

Windowsを利用している方でApple MusicやApple TV+に加入している方は、シームレスに利用できるようになるかもしれません。 米Microsoftは昨年10月、Apple Music とApple TV アプリが2023年にMicrosoft Storeに登場し、Windows デバイスにインストールできるようになると発表しました。これによりWebやAppleのiTunes経由でアクセスする必要のあった「Apple Music」や、Web経由でアクセスする必要のあった「Apple TV+」はユーザにとって大きな改善になるとしています。(MacRumors) Apple MusicとApple TV+の2つのアプリの他、Windows デバイスからiPhone、iPad、iPodなどのデバイスを管理するための「Apple デバイス」アプリがMicrosoft Storeに登場したとThe Verifierが指摘しています。 アプリの説明でAppleは、「これは Apple TV のプレビュー バージョンであり、すべての機能が期待どおりに動作するとは限りません。」と強調しています。また、これらのアプリのうちいずれかをインストールすると、iTunes が開かなくなり、互換性のあるバージョンの iTunes がリリースされるまで、このデバイスのオーディオブックやポッドキャストにアクセスできなくなると警告しており、iTunes for Windowsでオーディオブックやポッドキャストなどを利用しているユーザは注意が必要です。 なお、いずれのアプリもインストールするには「Windows 11 バージョン 22621.0 以降」が必要で日本国内では現在入手できない可能性があります。 早速Apple Musicアプリを使用したと思われるユーザは、このニュースを伝える記事のコメント欄で、ハイレゾロスレスの24bit/192kHzをサポートしていたと書き込んでいます。 macOS Catalina 以降Macから姿を消したiTunes、Windows版も見直しの時期が来ているのかもしれません。

米Microsoft、OneNote for MacにAI活用の音声コマンドを導入

米MicrosoftはOneNote for Mac の「ディクテーション」機能を発表しました。「ディクテーション」はOneNoteでのテキストの追加や書式の設定、編集および整理に役立つ「AIを利用した音声コマンド」のサポートを追加するそうです。 (Neowin) ディクテーションは去年の8月にWindows 版のOneNote に追加された機能で、同日にWeb版のOneNote、「OneNote Online」にも追加されました。しかし、この機能をMac版のOneNote for Macに追加するのには4カ月以上掛かりました。 現在、「AIを利用した音声コマンド」は50を超える言語をサポートしているようで、日本語の他、中国語 (簡体字)、英語、デンマーク語、フランス語、スペイン語、スウェーデン語などがあります。※ サポートされている言語のリストはこちらをご覧ください。 OneNote for Macで「ディクテーション」を使用するには16.68 (ビルド 22121100) 以降を実行しているベータ チャネル ユーザーである必要があります。 執筆時点ではOneNote for Mac の「ディクテーション」には次の既知の問題があるようです。

Rufusで再びWindowsのISOをダウンロード可能に。Fidoスクリプトが更新

ブータブルメディアを作成する際に人気のRufusにWindows のISOをダウンロードする機能が帰ってきました。 (Neowin) 参考 >>RufusでWindows 11 22H2で必須になったMicrosoftアカウントを回避してセットアップできるインストーラーを作成する方法 MicrosoftはサードパーティのソフトウェアがMicrosoftのサーバにアクセスされることに不満があるようで、ダウンロードの仕様を変更するようです。これにより、Rufusに備わっていたWindows のISOをダウンロードする機能が利用できなくなりました。 Rufus と Fidoの開発者の懸命な作業によりFido 1.39 が利用可能になり、ユーザは再び簡単にWindowsのイメージファイルをダウンロードすることが可能になりました。 Error: We are unable to complete your request at this time. Some users, entities and locations are banned from using this service. For this reason, leveraging anonymous or location hiding technologies when connecting to this service is not generally allowed. If you believe that you encountered this problem in error, please try again. If the problem persists you may contact “Microsoft Support – Contact Us” page for assistance. Refer to message code 715-123130. Rufusは組み込みの Fido スクリプトを自動的に更新するため、ユーザはFidoを手動で更新する必要はありません。Rufus とは別に Fido を使用する場合は、Fido 1.39をGitHubのプロジェクトからダウンロードすることが可能です。 Rufusの使い方は以下の記事をご覧ください。 R...

Adobe CS6など10年以上前のソフトウェアのライセンス認証が不能になる可能性

米Adobeは10年以上前にリリースされた製品のログインサポートが2023年1月31日に打ち切られると発表しました。(窓の杜) これは同社のサポートコミュニティサイト(Adobe Support Community)上で公開されたもので、アナウンス当初は2022年10月1日にログインサポート終了としていました。 対象となる製品は2012年にリリースされた「Adobe Creative Suite 6」と「Creative Cloud サブスクリプションソフトウェアの初期バージョンのアプリケーション」としており、2022 年 7 月以降、一部管理者に対してメールでも通知していたとのことです。 ログインサポートの終了に際して、利用者への影響についてAdobe以下のように説明しています。 Creative Suite 6（CS6） や Creative Cloud サブスクリプションソフトウェアの初期バージョンのアプリケーション」をサブスクリプションでご利用中のユーザーはログインができません。そのため、アプリケーションをご利用いただけなくなります。「Creative Suite 6（CS6） や Creative Cloud サブスクリプションソフトウェアの初期バージョンのアプリケーション」をシリアル番号ライセンスでご利用中の端末は継続してご利用いただけますが、再インストールや再ライセンス認証ができなくなります。 Adobe Support Community より つまり、Creative Cloud サブスクリプションソフトウェアに関しては利用ができなくなり、Creative Suite 6に関してはライセンス認証されたソフトウェアに関しては利用を継続できるものの、再インストールや再ライセンス認証ができなくなるようです。 既にAdobe Creative Suite 6に関してはゴールドサポートも、2014年6月に終了しており、セキュリティのアップデートの提供が行われていません。 Adobe はセキュリティの観点からも、最新バージョンへアップデートいただくことを強く推奨するとしています。 Adobe CS6の使用を継続したいユーザに関しては2023年1月31日までに利用するPCでライセンス認証をしておくとよいでしょう。