slashdot(IT)

Philips は 6 月に同社製 CPAP 装置・ASV 装置・人工呼吸器 20 機種以上のリコールを米国で発表しているが、周知も修理キット提供もなかなか進まない状況のようだ (The Verge の記事)。 リコールの原因となった問題は防音用部品のポリエステル系ポリウレタンフォーム素材が劣化して発生する細かい粒子や化学物質を患者が吸い込んでしまう可能性があるというもの。Philips では睡眠時無呼吸症候群治療用の CPAP / ASV 装置については即時利用を中止するよう求めている。しかし、このような装置は代替品が用意できなければ使用をやめることはできない。COVID-19 パンデミックで米食品医薬品局 (FDA) が緊急使用許可 (EUA) を出した E30 も即時利用中止の対象となっている。 Philips は防音用部品の交換キットや代替製品を増産したと述べているが、具体的なタイムラインは示されていないという。交換キットの提供が間に合わないため、一部の利用者にはバクテリアフィルターが提供されているが、安全性を FDA が認めたものではないとのこと。また、利用者の中には Philips や医療機関からリコールの通知がなく、ソーシャルメディアでリコールを知ったという人もおり、不満が高まっているようだ。 フィリップス・ジャパンでも 6 月から安全性に関する情報の案内 (PDF) を行っており、現在は回収措置の開始に関する案内を行っている。ただし日本ではまだ告知の段階であり、具体的な置き換え時期については改善品の調達状況に合わせて順次案内するとのことだ。

すべて読む | ITセクション | 日本 | ハードウェア | バグ | 医療 | アメリカ合衆国 |

関連ストーリー：
Facebook、皮膚炎発生を受けて Oculus Quest 2 の接顔パーツを米国とカナダでリコール 2021年08月01日
リコール修理後にもバッテリー発火の可能性がある Chevrolet Bolt EV 、新たなリコールが発表される 2021年07月25日
新潟病院、圧縮空気駆動の3Dプリンターで製造出来る人工呼吸器を公開 2020年03月30日
補修用ゴムプラグのゴム部分にカーボンが混入、漏電のおそれ 2020年02月17日
北米でリコール対象となった20ブランドの除湿器、すべて同じメーカー製 2021年08月10日

Apple が App Store の特集記事で取り上げたアプリの中に App Store Review ガイドライン違反アプリがあると指摘されている(Mac Rumors の記事、 Ars Technica の記事、 9to5Mac の記事)。 記事はスライムアプリ 9 本を紹介するオーストラリア向けの App Store Story で、記事自体は既に削除(Internet Archive のスナップショット)されている。アプリはすべて無料だが、7 本がアプリ内課金を利用し、3 本は短期間の繰り返し課金で高額課金になる週単位のサブスクリプションを用意している。 App Store Review ガイドラインには「ユーザーに不当に高い金額を請求するAppは却下」されるとの記述があり、2 月にはこのようなアプリへの対策を Apple が開始したと報じられていた。しかし、少額な課金を繰り返すことで規制を迂回しているとみられるアプリが高収益アプリトップ 1000 の 2 % 程度を占めるとも指摘されている。 Mac Rumors では週 13 ドル (12.99 ドル) でサブスクリプション提供する「Jelly: Slime simulator, ASMR」への支払額が年間で 676 ドルになることを指摘し、このように高額なアプリがガイドラインに違反していないとは考えにくいと述べている。なお、上述の価格は米ドルではなく豪ドルであり、米国でのサブスクリプション価格は週 7.99 米ドルだ。iPad 上のコーディング環境「Codea」を開発した Two Lives Left の Simeon Saëns 氏の試用リポートによれば無料で利用できるのは 3 日間のみで、以降は週 12.99 豪ドルの支払いが必要になるそうだ。 記事が削除された一方で、削除されたアプリは「Goo: Slime simulator, ASMR」のみ。Jelly のほか、画面をタップすると単一の音が再生されるだけでアニメーションも何もないとして最低評価の「Slime.」も引き続き公開中だ。

すべて読む | アップルセクション | spam | アップル | デベロッパー | iOS | お金 |

関連ストーリー：
App Storeの高収益アプリトップ1000、2％近くが詐欺アプリ 2021年06月08日
Apple、App Storeで不当に高額な課金をするアプリへの対策を開始か 2021年02月22日

ロシア・モスクワの地下鉄、モスクワメトロ フィリョーフスカヤ線で顔認識技術による運賃精算サービス「Face Pay」のパイロットプログラムが実施されているそうだ(The Next Web の記事、 モスクワメトロのニュース記事、 Face Pay 特設サイト)。 パイロットプログラムへの参加には事前登録が必要だ。申し込み後に送られてくる電子メールの指示に従ってモスクワメトロのテスト版モバイルアプリをインストールし、顔写真と銀行口座を登録する。あとは駅の自動改札で顔をスキャンすればゲートが開いて通過できる。特設サイトでは電子メールで送られる指示に従ったタスクを定期的にすべて実行するようにとも書かれているが、どのようなタスクなのかは不明だ。

すべて読む | ITセクション | テクノロジー | IT | 交通 | お金 | プライバシ |

関連ストーリー：
もしモスクワ滞在中に核攻撃を受けたら地下鉄に逃げろ 2018年11月13日
モスクワの地下鉄で「スクワットカウンタ付き券売機」が登場 2013年11月12日
モスクワ地下鉄、携帯電話のSIMカード情報を無線で読み取る装置を設置 2013年08月01日

Microsoft Browser Vulnerability Research (VR) チームがプレビュー版の Microsoft Edge でテスト中のセキュリティ強化モード「Super Duper Secure Mode (SDSM)」について解説している(VR のブログ記事、 The Verge の記事、 On MSFT の記事、 The Register の記事)。 Web ブラウザーに対する攻撃の主なターゲットは JavaScript エンジンのバグだ。中でもパフォーマンスを向上させる「JIT (Just-In-Time Compilation)」に関連する問題が大きな割合を占め、V8 に関する脆弱性で 2019 年以降に発行された CVE の 45 % を JIT エンジンが占めているという。さらに、Intel によるハードウェアベースのエクスプロイト緩和技術 Control-flow Enforcement Technology (CET) のように、V8 JIT と共存させることのできない脆弱性緩和技術も多い。 SDSM は JIT を無効化して脆弱性緩和技術を有効化するというもので、現在の SDSM では 2 つの JIT (TurboFan / Sparkplug)を無効化するとともに、CET が有効化される。パフォーマンス向上技術の JIT だが、無効化しても通常のブラウジングで体感できるような差は出ないようだ。今後はさらなる脆弱性緩和技術の有効化や、Web Assembly サポートの追加を行う計画だという。 SDSM を有効にするには、プレビュー版 Microsoft Edge (Bata / Dev / Canary) で「試験段階の機能 (edge://flags)」の「Super Duper Secure Mode (edge://flags/#edge-enable-super-duper-secure-mode)」を「Enabled」にしてブラウザーを再起動すればいい。 VR チームでは SDSM プロジェクトを楽しんで進めていく計画で、公式にするにはまだ早すぎることもあって面白い名前を付けたとのことだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | インターネット | Chromium | デベロッパー |

関連ストーリー：
Microsoft Edge Canary、自動HTTPSオプションのテストを開始 2021年05月05日
レガシーMicrosoft Edgeのサポートが終了 2021年03月11日
Chromium系ブラウザー全般に影響するV8のゼロデイ脆弱性 2021年02月06日
Firefox 72、リリース翌日にゼロデイ脆弱性修正版がリリースされる 2020年01月11日
Microsoft、Google Chromeのパッチ提供方針を批判 2017年10月21日
Mobile Pwn2Own: Android版Chromeでリモートから任意のアプリをインストール可能な脆弱性 2015年11月15日
Kindleに脆弱性。電子書籍をインストールするだけで実行可能 2021年08月12日

米国や欧州を中心に電動スクーターのレンタルサービスを展開する Bird が 4 日、ジオフェンスにより最高速度を制限する Community Safety Zones の導入を発表した(Bird のブログ記事、 Mashable の記事)。 Community Safety Zones は歩行者の多い区域での安全を高めるためのものだ。電動スクーターが区域内に入ると最高時速 13 km に制限され、アプリ内で減速の理由が説明される。Bird の電動スクーターは通常、Bird Air で最高時速 25 km、Bird One で最高時速 28 km だという。対象区域はアプリ内のサービスマップに明示され、それに従った経路をライダーが計画できるようにするとのこと。 当初 Community Safety Zones は学校の周辺に設定され、マイアミ・マルセイユ・マドリッドでテスト運用される。テスト結果を踏まえて他都市にも拡大し、公園やショッピングセンターへの対象拡大も検討するとのことだ。 Bird は自動緊急ブレーキやタイヤのスリップ検出機能、急加速を防止する初心者モード、アプリでのキーワード入力テストにより飲酒運転を防止する Safe Start 機能など、さまざまな安全機能を導入している。

すべて読む | ITセクション | テクノロジー | 教育 | IT | 交通 |

関連ストーリー：
スリップ検出機能を追加したレンタル向け電動スクーター、危険行為を繰り返すライダーへのレンタル取り消しも可能に 2021年01月21日
フォードCEO、自律走行車の実現を買いかぶりすぎていたと発言 2019年04月17日
ボルボ、2020年以降発売する全車の最高速度を180km/hに制限 2019年03月09日
購読メール一括解除サービス、ユーザーデータを企業に販売していたことが判明してユーザーの怒りを買う 2017年04月26日

自動車の安全機能として先進飲酒運転防止技術の搭載を義務付ける条項を盛り込んだ法案が米国で審議されている(H.R. 3684、 The Verge の記事)。 この法案「Investing in a New Vision for the Environment and Surface Transportation (INVEST) in America Act」は、環境と陸上・水上交通の新しいビジョンへの投資に関するものだ。下院では 7 月 1 日に可決しており、現在は上院で審議が行われている 法案では先進飲酒運転防止技術として、自動的な運転者のパフォーマンス監視や血中アルコール濃度測定などにより酩酊しているかどうかを判断し、酩酊していると判断した場合には自動車の利用を禁じたり制限したりするものと定義している。 新しく製造される乗用自動車に先進飲酒運転防止技術搭載を義務付けるべく、運輸長官は法案成立から 18 か月以内に規則案を提示し、3 年以内に最終規則を規定するよう求められる。最終規則ではメーカーに対し、準拠するための準備期間として 2 年以上 3 年以内の猶予が与えられる。

すべて読む | ITセクション | テクノロジー | Wine | ビール | IT | アメリカ合衆国 | 交通 |

関連ストーリー：
カナダの警察が飲酒運転を疑って停止させた車両、自動運転だった 2021年04月18日
自律走行車が人間のドライバーをモデルに開発される限り、米国で発生する事故の3分の1程度しか回避できないという試算 2020年06月07日
自動車インフォテインメントシステムの操作はアルコールや大麻よりも反応速度を低下させるという実験結果 2020年03月24日
国土交通省、トラックやバス運転手への事業者による睡眠状態確認を義務化 2018年05月17日
自動運転中のTeslaが消防車に突っ込む事故、運転手には飲酒運転の疑い 2018年01月31日
豪全国交通委員会、自律走行車の飲酒運転について意見を求める 2017年10月09日
飲酒運転防止のためのアルコール検出機能付き自転車ロック 2015年08月15日
飲酒運転緩和法案がアイルランドの地方議会で可決 2013年02月04日

Snapchat がユーザーの生まれた時刻や場所を知っていると騒ぎになっているが、これらのデータはユーザー自ら入力したもののようだ(The Verge の記事、 9to5Mac の記事)。 Snapchat によれば、生まれた時刻や場所は昨年 11 月に導入された占星術機能に必要なデータで、占星術のプロフィールとしてユーザーが入力したものだという。しかし、Twitter では数多くのユーザーが「どうやって知ったのか」「不気味だ」「怖くて眠れない」「親も知らなかった」などと投稿している。ただし、投稿者が自ら入力したことを本当に忘れているのか、話題に乗っているだけなのかは不明だ。

すべて読む | idleセクション | 変なモノ | idle | SNS |

関連ストーリー：
Snapchat、安全のため不要な友達の整理を推奨する「Friend Check Up」機能を発表 2021年02月11日
Twitterで「誕生日を2007年に変えると画面がカラフルになる」というデマが広がる 2019年03月28日
店員のレシートや名札からFacebookを発見されるリスク 2018年06月14日
Twitter、「Facebookの個人情報を不正入手していた企業」にデータを提供していたことを発表 2018年05月02日
Facebookから収集された4800万人相当のユーザーデータがネット上に放置されていた 2018年04月24日
「Facebookはすべてを知っている」のか 2018年04月04日
Snapchat従業員、同社CEOをかたるフィッシングメールにだまされて従業員の個人情報を外部へ送信 2016年03月04日
SNS上での知り合いがリアルに近づいてきたら警告するスマートフォンアプリ 2014年03月24日
オンラインアカウントを新たに作ることでプライバシーリスクは低減できる？ 2013年09月07日
さらば、「世界一気味の悪いアプリ」Girls Around Me 2012年04月04日
ソーシャルメディアでの個人情報公開への抵抗薄れる 2011年09月23日
ストーキングアプリ「Creepy」 、その名の通り気味が悪い 2011年04月04日

超党派の米下院議員 22 人が Twitter CEO ジャック・ドーシー氏に送った書簡の中で、著作物の無断使用が Twitter のビジネスモデルの一部のようだと指摘している(TorrentFreak の記事、 書簡: PDF)。 書簡は大量の著作権侵害が発生しているにもかかわらず問題を解決しようとしない Twitter の姿勢を問いただすものだ。他の多くのプラットフォームと異なり、Twitter は音楽の使用についてレコード会社などとライセンス契約を結ばず、クリエイターに適切な対価を支払っていない。クリエイターが著作権侵害投稿を大規模に検出可能な API を無償提供していないこともあり、著作権侵害が Twitter のビジネスモデルのあまり知られていない部分のように見えるとのこと。 さらに、ユーザーが投稿者に寄付できる Tip Jar 機能は Twitter が著作権侵害コンテンツによる利益を得つつ、クリエイターへの補償を寄付に頼るものだと指摘。ユーザーが著作物を合法的に利用する機会を提供しないだけでなく、投稿されたコンテンツの価値を Twitter が理解していないことを示すものだという。 書簡ではコンテンツ所有者が著作権侵害投稿を無償で大規模に検出できるようにするため Twitter は何をするつもりなのか、投稿の速度と量に見合う削除要請への対応をするため Twitter は何をしているのか、著作権侵害コンテンツの投稿を減らすためにコンテンツ保護技術を導入する計画があるのか、という点について 8 月 27 日までの回答を求めている。

すべて読む | ITセクション | YRO | Twitter | 政治 | 著作権 | アメリカ合衆国 | 音楽 |

関連ストーリー：
Twitterの投げ銭機能、PayPal経由で送金すると相手に住所が伝わるとの指摘 2021年05月10日
Twitch公式ゲーミングチャンネル、BlizzConlineに出演したMetallicaの演奏をロイヤリティーフリー音楽に差し替える 2021年02月23日
Instagram、ライブ配信や動画で音楽を使用する場合のガイドラインを公開 2020年05月24日
人気エアバンドのゴールデンボンバー、SNSなどでの歌詞全文の転載を公認 2019年04月11日
音楽著作権管理会社NexTone、YouTubeと再生回数に応じた著作権料を徴収する契約を締結 2017年09月06日
Twitterが10月より利用規約を変更 2017年09月04日
Spotify、人気プレイリストに偽アーティストの作品を入れているとの指摘に反論 2017年07月15日
Apple、Apple Musicの印税引き下げを音楽レーベルと交渉中 2017年06月25日
TwitterのGIF画像投稿機能、「画像検索機能」との位置付けで著作権侵害的な責任はユーザーに 2016年02月26日
Twitter、盗用投稿について削除を行う 2015年08月01日
無料ストリーミングサービスへのライセンスを中止するようAppleが大手レーベルに圧力？ 2015年05月06日
人気ロックミュージシャンのトム・ヨーク、ロイヤリティーが低すぎるとしてSpotifyから音源を引き上げる 2013年07月19日
Twitter、音楽連携サービス準備中 2013年04月17日
YouTube、JASRACと音楽著作権の包括利用許諾契約を締結 2008年10月26日

毎年行われてきたNHKラジオ「"夏休み子ども科学電話相談」が東京オリンピック・パラリンピック放送スケジュールの影響により、縮小される（一時は中止発表）ことになったそうだ。オリンピックとこれは話が別では、といった感じでTwitterで拡散したことから、考古学者のDr. RawheaDさんなどの有志がYouTube上で独自の「夏休みこども科学インターネット相談」を立ち上げることとなったそう（ハフポスト、美術手帖）。 チャンネル立ち上げまでの過程は、ねとらぼの記事が詳しいが、Dr. RawheaDさんによると思った以上の反響があったとのこと（ねとらぼ）。YouTubeのチャンネルを見ると立ち上げ日は7月22日となっている。質問の登録方法などに関しては公式サイト上に記載されている。質問内容や回答者候補の専門家に関しては全てGoogleスプレッドシートで公開しているとのこと。

すべて読む | ITセクション | インターネット | IT |

関連ストーリー：
違法・有害情報相談センター曰く、Twitterは5ちゃんねるよりも有害情報の相談件数が多い 2021年03月29日
Y!mobileのサポートTwitterアカウント、契約状況の確認が必要な相談は電話かチャットで 2021年03月23日
0570で始まるナビダイヤルへの不満が増加。かけ放題プラン対象外で高額な使用料 2021年03月10日
カプコンのランサムウェア脅迫事件、情報流出が確定へ。最大約35万件の個人情報が流出する可能性 2020年11月17日
米ニュージャージー州最高裁判所、押収した携帯電話のパスコード開示強制は不利な証言の強制にあたらないと判断 2020年08月16日
IPA、「怪しいZOOM」をダウンロードしないよう注意喚起 2020年04月26日
アイルランド首相、パンデミック中は医師としても働く 2020年04月09日

音声合成ソフトは商用利用に制限があるものが多いが、ヒホ（ヒロシバ）氏が8月1日に公開した「VOICEVOX」は、商用・非商用問わず無料で利用できるのが特徴。入力したテキストから音声を生成し、アクセントの調整や文字単位でのイントネーションの簡単な調整などが行える。現時点での音声は女性の声（お姉さん風、幼女風）2種類となっている。公開されているファイルサイズはおよそ3.26GBと大きめ。公式はGoogleドライブ上に置かれていたが、ダウンロード制限に達していることが多いことから、一時的に窓の杜からダウンロードできるようになっている模様（VOICEVOX公式サイト、窓の杜、ヒホ（ヒロシバ）さんのツイート）。

すべて読む | ITセクション | テクノロジー | ソフトウェア | IT |

関連ストーリー：
最短15分の収録で自分の声を合成音声化、収益化も可能な「CoeFont CLOUD」 2021年07月22日
大日本印刷、橋と箸、端のイントネーション違いを表現できる音声合成AI 2021年06月22日
NTTドコモ、ジミー大西をAI化してしまう 2021年03月18日
自分の声を音声合成ソフト化できるサービスが個人向けにスタート 2020年09月09日
人工知能技術を使った歌声合成エンジン「NEUTRINO」、容易に人間らしい歌声を合成可能として話題に 2020年02月27日
美空ひばりの音声を元にした合成音声による新曲が発売へ 2019年11月21日

2020年初めに公開された「-」という名前のJavaScript/TypeScriptパッケージが、これまでに約72万回もダウンロードされているそうだ。パッケージは三つのファイルから構成されているものの、ほとんど中身のないものとのこと。中身のないこの 「-」を使用している他のnpmパッケージは50個以上存在しているという。しかし、それらを見ても「-」が必要なものではないという。元記事では「-」が約72万回のダウンロードを記録した理由として、npmコマンドを入力するときの誤入力にあるのではないかとしている（BLEEPING COMPUTER、秋元@サイボウズラボ・プログラマー・ブログ）。 例えば、「somepackage」というnpmパッケージをインストールする場合、「npm i somepackage」というコマンドを実行する必要があるが、このときのフラグ指定時に本来「npm i -someFlag somepackage」と打つべきところを「npm i - someFlag somepackage」とスペースを入れて実行してしまったことにより、「-」がインストールされてしまい、その状態でパッケージを作って公開してしまったものが50個以上存在するのではないかとしている。なお、過去記事でも類似する事例が報告されている。

すべて読む | ITセクション | ソフトウェア | IT |

関連ストーリー：
PyPI で公開されているパッケージの半数近くが何らかのセキュリティ上の問題を含むとの調査結果 2021年08月01日
名前のタイプミスを狙った悪質なパッケージがRubyGemsで多数公開される 2020年04月19日
RubyGemパッケージrest-client、バックドアを含むバージョンが立て続けに公開される 2019年08月25日
「.com」のミスタイプを狙う「.cm」サイト、今年だけで1,200万回近くアクセスされていた 2018年04月08日
PyPIに悪意のあるパッケージがアップロードされていた 2017年09月18日

コロナ禍により一躍人気となったリモート会議サービス「Zoom」では、過去に実際にはエンドツーエンドの暗号化していないにも関わらず、暗号化しているとの説明をしていたことから集団訴訟を起こされていた。この裁判で原告とZoomは8500万ドル（約92億7,800万円）の和解金を支払うことで同意したという。この和解金は集団訴訟に参加したZoomアカウントを持っているすべてのユーザーに対して分配する形で支払われる。参加ユーザーはサブスクリプションの15％もしくは25ドル（約2800円）のうち、金額の多い方の払い戻しが受けられるとしている（Reuters、Ars Technica、Engadget、iPhone Mania）。

すべて読む | ITセクション | ビジネス | セキュリティ | 法廷 | インターネット |

関連ストーリー：
Web会議サービスZoom、虚偽のセキュリティを主張した問題等でFTCと和解 2020年11月13日
Zoom、法執行機関への協力のため無料ユーザーの通信はE2Eでの暗号化をしないと説明 2020年06月05日
オンライン会議サービスを提供するZoom、セキュリティ問題を誇張していたとして株主から訴えられる 2020年04月10日
Web会議サービスZoomに対しさまざまな懸念、使用禁止にする組織も登場 2020年04月07日
Web会議サービスZoomに対し複数の脆弱性があるとの指摘、暗号化への懸念の声も 2020年04月03日

headless 曰く、Microsoft が Windows 10 の望ましくない可能性のあるアプリケーション(PUA) 対策に関するサポート記事を更新し、8 月からコンシューマー向け環境で PUA のブロックを既定で有効にする計画を明らかにした(Microsoft のサポート記事[1]、 [2]、 BetaNews の記事、 Softpedia の記事)。 PUAのブロックは Windows 10 May 2020 Update (バージョン 2004) で「Windows セキュリティ」に追加された。エンタープライズ向けの環境では既定で有効になっているものもあったそうだが、コンシューマー向けの環境では有効化が推奨されるのみで既定では無効となっていた。 既定値の変更後に PUA のブロックを無効化したい場合は、Windows セキュリティの「アプリとブラウザーコントロール→評価ベースの保護→評価ベースの保護設定」で設定を変更すればいい。 手元の環境では 1 台のみ有効化されていたが、これは自分で有効化したように記憶している。スラドの皆さんの環境はいかがだろうか。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | Windows |

関連ストーリー：
Windows 10 バージョン20H2、幅広い展開の準備が整う 2021年05月23日
英政府のCOVID-19接触通知アプリ、AppleとGoogleが規約違反で更新をブロック 2021年04月13日
シンガポール政府、オープン標準「HealthCerts」を開発。COVID-19検査結果とワクチン接種の証明書を相互運用可能に 2021年03月03日
オーディオチャットアプリClubhouse、中国でアクセス不能に 2021年02月10日
開発者の正直さに依存するApp Storeのプライバシー情報表示、どれぐらい意味がある？ 2021年02月01日
Google Play、対応字幕形式が性的なコンテンツと冒涜的な表現ポリシーに違反するとして動画プレイヤーアプリを一時公開停止 2021年01月29日
Microsoft曰く、CCleanerの特定バージョンのインストーラーは望ましくない可能性のあるアプリ 2020年08月02日

headless 曰く、北米では主要な病院の 80 % が使用しているという Swisslog Healthcare の気送管システム TransLogic Pneumatic Tube System (PTS) で見つかった一連の脆弱性「PwnedPiper」について、発見者の Armis が解説している(Armis のリポート、 Swisslog Healthcare のアドバイザリー、 The Register の記事、 Softpedia の記事)。 日本ではエアシュートなどとも呼ばれる気送管システムは、空気圧をかけたパイプのネットワークで物品を格納したパケットを送る仕組み。かつては人力によるルーティングが行われていたが、現代的なシステムは IP ネットワークに接続され、コンピューターにより制御が行われる。 TransLogic PTS の脆弱性は制御用の Linux デバイス Nexus Control Panel に存在し、検証なしのファームウェア更新 (CVE-2021-37160) や、リモートからのコード実行または DoS が可能となるメモリ破損の脆弱性 (CVE-2021-37161 / 37162 / 37164 / 37165 / 37166)、ハードコードされた Telnet パスワード (CVE-2021-37163)、特権昇格の脆弱性 (CVE-2021-37167) といったもの。Armis は 9 件の脆弱性と述べているが、CVE-ID が割り当てられた脆弱性は 8 件となっている。全ての脆弱性は認証されていないネットワークパケットを送るだけで引き起こすことが可能で、ユーザーの操作は必要ないとのこと。 これらの脆弱性を悪用することで、攻撃者は送り先の変更や速度の変更といった攻撃が可能だ。血液製剤など低速で送るべき物品を高速で送ってしまうと、患者に被害が及ぶ可能性もある。また、PTSのユーザー認証システム WhoTube に登録されたスタッフの認証情報取得や病院のコミュニケーションソリューションに統合された PTS のアラートシステム悪用による業務妨害、ランサムウェア攻撃なども可能になる。 脆弱性のほとんどはファームウェアバージョン 7.2.5.7 で修正されているが、CVE-2021-37160 だけは修正されていないという。Armis ではパッチの適用のほか、Telnet のブロックや ACL のデプロイ、Snort による攻撃検知といった対策を推奨している。

すべて読む | セキュリティセクション | セキュリティ | バグ | 医療 | 交通 |

関連ストーリー：
ランサムウェア攻撃の結果として初の死者、ドイツ・ケルンの検察が過失致死容疑で捜査 2020年09月20日
医療用のスマート輸液システム、LAN内から不正なファームウェアに書き換え可能な脆弱性 2019年06月21日
植込み型除細動器などの通信プロトコルに患者を攻撃可能な脆弱性 2019年03月23日
脳波検査システムのソフトウェアに脆弱性 2018年04月08日
Windows XP等で動いている医薬品の自動分配システムに大量の脆弱性 2016年04月05日
東大病院で大規模なワーム感染 2009年03月06日

Miyahanさんの「一般人には理解されないITで飯食ってる人の部屋選び」をテーマにしたツイートが興味深いものとなっている。同氏は監視システムの運用や業務標準化・自動化などを行っているMSP事業者だそう（Miyahanさんツイート、Togetter）。自力での光回線導入などが行えないと不便なことから、インターネット無料サービスが付属する物件は最初から除外してしまうそうだ。同氏はまずフレッツの「提供状況のご確認」ページから候補物件を検索、プランに「ギガマンション」が出てきたものを選択しているようだ。これは1Gbps以上の回線はGE-PON方式しかないためだという。住みたい物件が絞れてきたら、光コンセント付かどうかを確認し、これが付いている場合は合格と言うことにしている模様。なお同氏はこうした条件を満たした上で部屋に光ファイバを引けるメリットとして、 速いNUROも使えるかも故障時に大家立ち会い待ちで来週までネット使えない･･･が起きない(マンション共同部に設備がないため)他の住民の影響を受けにくい自前で電源を用意すれば停電時も使用可工事・工事費がない(宅配便で送られてきた機器を挿すだけ) といった点を上げている。

すべて読む | ITセクション | ビジネス | 通信 | ネットワーク | スラッシュバック | インターネット | IT |

関連ストーリー：
26万件以上の契約者を抱える電力小売り大東エナジー、事業縮小で事実上の撤退 2017年12月27日
事故物件に住んだことのある人の1割以上が「おかしなこと」を体験している 2016年07月04日
賃貸情報サイトHOME'Sの物件情報データ、NIIとの協力で無償提供へ 2015年11月19日
パナソニック、2015年度中に蛍光灯器具の生産を終了 2014年03月06日
賃貸物件を選ぶ際、「光ファイバ対応」は重要なファクターか？ 2007年06月23日

オリンピック取材のため来日しているニューヨーク・タイムズのTariq Panja記者氏は8月2日、ローソンで販売されているたまごサンドを気に入ったらしく「このシンプルなローソンのタマゴサンドは、次のレベルの美食体験だ」として高く評価するツイートをしたところ、同紙記者のJuliana Barbassa記者が 「"it looks slightly radioactive!"（意訳:少し放射能があるように見えるね）」とリプライを送ったことが話題となっているようだ（まとめまとめ）。Barbassa記者による該当ツイートはすでに削除されているが、まとめサイト上には残されていた。なおTariq記者はこのリプライに対して、「But Ju, the taste!"（意訳:Juliana、でも美味しいんだよ!）」とフォローするような返答を行っている。タレコミによると、Barbassa記者のツイートに関しては、日本人を中心とした複数のユーザたちから抗議が寄せられていたそうで、リプライ欄は大荒れとなっていた模様。あるAnonymous Coward 曰く国内でも過去の差別発言などが問題視されるオリンピックとなったが、まさかジャーナリスト側から問題発言が飛び出たことにタレコミ子は残念に思っている。

すべて読む | idleセクション | Twitter | インターネット | idle |

関連ストーリー：
SNS上の誹謗中傷防止団体が設立されるも、過去の誹謗中傷ツィートが発見され炎上 2021年06月01日
日本政府、福島第一原発で発生した処理水の海洋放出を決定 2021年04月14日
コロナウイルス騒動を受けて米国民の38%は「今はコロナビールを買わない」と考えている 2020年03月03日
農林水産省、「豚コレラ」の法律上の名称を「豚熱」に変更する方針 2019年12月26日
トリチウム水の処分、海洋放出が現実的とされるも反対の声も 2018年09月07日
静岡市が「津波浸水想定区域」の看板を撤去、不安や風評被害に繋がるとして 2018年03月31日
米国で東京オリンピックの視聴率が低迷。NBCが広告主と補償交渉との報道も 2021年08月06日

headless 曰く、Intel の重役が Thunderbolt 5 の情報らしきものを含む写真を誤って Twitter に投稿し、その後削除している(AnandTech の記事、 Neowin の記事、 Mac Rumors の記事、 Windows Central の記事、 グレゴリー・ブライアント氏のツイート)。 写真を投稿したのは Intel のクライアントコンピューティンググループ担当エグゼクティブバイスプレジデントのグレゴリー・ブライアント氏。イスラエルの Intel の研究所を視察したブライアント氏は Thunderbolt に関するイノベーションを目にする機会を得たとして4 枚の写真を投稿し、うち 1 枚をその後削除した。 削除された 1 枚には「... 80G PHY Technology」と題するポスターが写りこんでいる。ポスターでは80G (bps) PHY Technology が既存の USB-C エコシステムをサポートし、PAM-3 変調技術に基づくこと、6nm のテストチップでテストが行われていること、期待できる結果が得られていること、といった説明が読み取れる。

すべて読む | セキュリティセクション | ハードウェア | Intel | Twitter | 情報漏洩 |

関連ストーリー：
Dellのファームウェア更新プログラムに同梱されていたドライバーに脆弱性、500以上のモデルに影響 2021年05月07日
EIZO、Apple M1チップ搭載Macで互換性問題があると発表。他社製品でも起こりうるとも 2020年12月14日
Windows 10の2004と20H2で、Thunderbolt接続のNVMe SSDを接続するとブルースクリーンが発生する可能性 2020年11月06日
Apple、税別12,800円のThunderbolt 3ケーブル(2m)を発売 2020年07月29日
Intelが新たなデータ伝送技術「Thunderbolt 4」を発表。Appleも採用か 2020年07月10日
13インチMacBook Proでバッテリー残量があっても電源が切れる問題、Appleが対処法を公開 2019年12月06日
高価だがUSB Type-Cケーブルの混沌を解決するThunderbolt 4ケーブルという選択肢 2021年08月06日

先月、Microsoftが企業向けクラウドサービス「Windows 365」を発表しているが、その具体的な価格設定についての発表が行われた。Windows 365は、Mac、iPad、Android、LinuxなどのWebブラウザから「Azure」上で動作するWindows 10およびWindows 11にアクセスできる仮想デスクトップサービス。プランについては過去記事にも触れられているように、最大300ユーザーまでのBusinessと人数無制限のEnterpriseの2種類が用意されている（ITmedia、窓の杜）。 価格設定に関しては、Cloud PCの構成や機能により異なっているが、Businessで仮想CPU（Virtual CPU：vCPU）1個、2GBのRAM、64GBストレージを持つものに関しては月額2720円、2個のvCPUと、4GBのRAM（メインメモリ）、64GBストレージを持つものに関しては月額3810円といったように設定されている。利用可能なvCPUの数やRAM容量、ストレージ容量によって価格が変化する。選択できるRAMやストレージ容量量に関しては、vCPUの数によって選択の幅が変わってくる。選択できる仕組みとしてはEnterpriseに関しても同様となっている。 なおMicrosoftは4日、提供を開始したばかりのWindows 365の試用サブスクリプション( トライアル版）の新規受け付けを一時停止すると発表した。Microsoftの公式Twitterによると、予想を超える反響が出ており、想定していた利用枠がいっぱいになってしまったという。トライアル版の再開通知を受け取りたい場合は事前に登録しておくよう求めている（Microsoft 365公式Twitter）。 あるAnonymous Coward 曰く、プランは、最大300人まで利用可能な中小企業向け「Windows 365 Business Cloud PC」と、ユーザー数無制限の大企業向け「Windows 365 Enterprise Cloud PC」の2つ。Businessプランで必要なのは「Microsoft 365」へのサブスクリプションだけだが、Enterpriseプランの場合はWindows 10 E3＋ESME3またはMicrosoft365 F3/E3/E5/BPと、Azureのサブスクリプションも必要だ。

すべて読む | ITセクション | マイクロソフト | クラウド | Windows | IT |

関連ストーリー：
Microsoft、Cloud PC サービス「Windows 365」を発表 2021年07月16日
Oculus、VRアプリ「Virtual Desktop」に対しPC向けVRアプリをストリーミングプレイできる機能の削除を要求 2019年06月14日
Microsoft、アプリケーションを安全に実行できるWindows Sandboxを発表 2018年12月22日
Windows 10 Technical Preview、ユーザーの要望は？ 2014年10月19日
エアコンのサブスク普及へ、環境省が空調メーカーなどとビジネスモデル構築 2021年08月06日

IPv4アドレスの枯渇問題を受けて、ドイツの大手ホスティング会社「Hetzner」は7月28日、IPv4アドレスの値上げを行うことを発表した。2021年8月2日以降は、通常の月額料金と合わせてセットアップ料金が別途必要になるほか、2022年1月3日以降からは月額料金も値上げされるとしている。同社はIPv4アドレスは今後ともネア下痢傾向が続くとしており、将来的にIPv4アドレスの再値上げを行う可能性についても示唆している（Hetznerリリース、GIGAZINE）。

すべて読む | ITセクション | ビジネス | インターネット | お金 |

関連ストーリー：
米国防総省、事業内容すら不明な無名企業に1億7500万個のIPv4アドレス提供 2021年04月28日
IPv4には未来がない 2019年12月19日
NURO光ユーザーに割り当てられたIPアドレス、一部が海外のものと判定され国内サービスの利用に支障が出る 2019年09月02日
ARINのIPv4アドレスプールが枯渇 2015年09月30日
北米でもIPv4の在庫が不足 2015年07月04日

headless 曰く、Google の広告を通じて Brave ブラウザー公式サイト (brave.com) の偽物「bravė.com」への誘導が行われていたそうだ(Ars Technica の記事、 Silent Push のブログ記事、 Braveのセキュリティエンジニア Yan Zhu 氏のツイート)。 偽サイトは Punycode で「xn--brav-yva.com」と表記される国際化ドメイン名 (IDN) だが、ブラウザーのアドレスバーでは「bravė.com」と表示される。このように字形の似た文字を使用したドメインによる攻撃はホモグラフ攻撃などと呼ばれ、以前から行われている。 しかし、今回確認された攻撃では「brave」の Google 検索結果に表示される Braveブラウザー の偽広告を通じて誘導が行われていたという。広告をクリックすると数回のリダイレクトの末に「bravė.com」へ移動する。bravė.com は brave.com に似せて作られており、ダウンロードボタンをクリックするとマルウェアがダウンロードされる仕組みだ。 「bravė.com」のほか、「bravē.com」「ēxodus.com」「torbrōwser.com」「tēlegram.com」などのドメインが同じレジストラ Namecheap で登録されていたが、指摘を受けて登録は解除されており、Google の広告も既にブロックされているとのこと。なお、現在 Brave ブラウザーで「bravė.com」にアクセスしようとすると、「偽のサイトにアクセスしようとしています」と警告画面が表示される。

すべて読む | セキュリティセクション | Google | セキュリティ | 広告 | インターネット |

関連ストーリー：
Microsoft StoreやSpotifyの偽ページ、広告で誘導して情報窃取マルウェアを配布 2021年04月23日
Google Playにある古参アプリ、マルウェアと誤認される。マルウェア化したアプリと同名 2021年02月12日
マルウェア感染アプリ17本がApp Storeで発見される 2019年10月27日
Google Playでダウンロード1億回を超えるアプリにマルウェアが混入 2019年08月30日
Microsoftの広告SDKを通じた不正広告キャンペーン、1か月以上経過しても対策なし 2019年06月08日
インド・デリーの偽コールセンター、偽のMicrosoftテクニカルサポートスタッフなど24名が逮捕 2018年10月09日
ChromeとFirefoxのホモグラフ攻撃対策を迂回する方法 2017年04月21日