dbrand が東部夏時間 9 月 27 日、Steam Deck 専用ケース Project Killswitch の一般発売延期を発表したのだが、100 万ドルの設計ミスだったという (dbrand の Reddit 記事、 The Verge の記事、 Windows Central の記事、 動画)。

dbrand では過去数か月間、Project Killswitch のサンプルをコンテンツクリエイターや報道関係者に送ってテストしてもらっていたそうだ。反応はおおむね良好だったが、The Verge の編集者に数個を送ったところ、27 日になって磁石式のキックスタンドが Steam Deck の冷却ファンの回転速度を低下させることに気付いているかという問い合わせを受けることになる。

米食品医薬品局 (FDA) は 9 月 28 日、食品パッケージで栄養価を主張する「ヘルシー (healthy)」という用語について、表示の可否に関する新基準案を発表し、意見募集を開始した (ニュースリリース、 FDA の解説記事 [1]、 [2]、 Ars Technica の記事、 動画)。

現行の「ヘルシー」の定義は1994年に制定されたもので、当時の栄養学と米食生活指針に基づいており、飽和脂肪・総脂質・コレステロール・ナトリウムなどの最大値や、ビタミン・ミネラル・食物繊維・タンパク質などの最小値が定められている。その結果、現在の食生活指針で推奨されているナッツ類やサーモン、アボカド、オリーブ油などの脂肪を多く含む食品には「ヘルシー」と表示できない。

このような定義の問題点は 2015 年、パッケージに「ヘルシー」と表示したナッツバーのメーカーに FDA が警告状を送ったことから注目を浴びることになる。米国では 2016 年に栄養表示基準が改定されており、FDA は「ヘルシー」の表示基準に関する意見募集や公聴会の開催を行っていた。その成果はこれまで具体化されていなかったが、ホワイトハウスが飢餓と栄養摂取、健康に関する国家戦略を発表するのに合わせて新基準案が発表されたようだ。

FDA の新基準案で「ヘルシー」と表示するには果物や野菜、穀類、タンパク質、乳製品などの食品グループの食品を一定量以上含む必要があり、過剰な飽和脂肪・ナトリウムを含む食品や過剰に加糖された食品は除外される。これにより、ナッツ類やサーモン、アボカド、オリーブ油などにも「ヘルシー」と表示することが可能となり、基準値を超えて加糖されたシリアルやヨーグルトでは表示できなくなる。また、これまで「ヘルシー」と表示できなかった飲料水 (炭酸入りを含む) でも表示可能になるとのこと。意見募集は 12 月 28 日まで。

maia 曰く、

三菱電機は9月29日、同社製の複数の家電製品で脆弱性が見つかったと発表した (CVE-2022-33321: PDF、 CVE-2022-29859 / CVE-2022-33322: PDF、 ITmedia NEWS の記事、 TECH+の記事、 日本経済新聞の記事)。

対象は 2013 年以降に出荷したエアコン、無線 LAN アダプター、冷蔵庫、給湯器、バス乾燥機、炊飯器、換気システム、スマートスイッチ、太陽光発電システム、IH クッキングヒーターなど 20 種類約 300 万台。対策としては、ユーザーが管理アプリからのシステム更新や、無線 LAN ルーターの設定見直し等をする必要がある。

20 種類は製品種別であり、製品型番別では 100 機種を超える。20 種類の製品が影響を受ける CVE-2022-33321 は重要な情報の平文送信の脆弱性で、HTTP 接続でベーシック認証を使用していることに起因するものだ。また、8 種類の製品が影響を受ける 2 件の脆弱性は、CVE-2022-29859 が解放済みメモリの使用の脆弱性、CVE-2022-33322 が XSS 脆弱性。CVE-2022-29859 は 3 月に修正された amb1_sdk の脆弱性となっている。

Twitch Support アカウントが Twitch でサポートされるブラウザーは Chrome/Firefox/Edge のみだとツイートし、ユーザーを混乱させたようだ (The Verge の記事)。

ツイートの内容としては、ログインに問題が発生したら最新のアップデートが適用されたサポートされるブラウザー (Chrome/Firefox/Edge) を使用しているか確認しよう、といったものだ。

Twitch の Tom Verrilli 氏のツイートによれば、組織的にボットアカウントを大量作成してボットネットを構築しようとする動きが検知され、そのセキュリティホールを閉じる過程で一部のブラウザーからのログインを一時的に制限することになったのだという。

一方、Twitch Support は「サポートされるブラウザー」が動作の可否を示すものではなく、問題発生時にサポートを提供可能なブラウザーであることを示すものだと説明。Chrome/Firefox/Edge 以外のブラウザーに関する問題については各ブラウザーのサポートチームに相談してほしいとのこと。その後のツイートで、サポートされるブラウザーとして Safari を付け加えている。

Twitch が新たに公開した「サポートされるブラウザー」に関するヘルプページでは、最新 2 バージョンの Google Chrome と Mozilla Firefox、最新バージョンの Microsoft Edge と Apple Safari がサポートされるブラウザーであると明記された。これらのブラウザーに関しては、バージョンの確認と拡張機能の無効化、キャッシュと cookie の消去といったトラブルシューティング方法を解説している。

なお、最初のツイートにつけられたコメントでは、Opera GX への言及が多いようだ。

米マクドナルドが 10 月 3 日から、大人用ハッピーセット (Happy Meal) を全米の店舗で限定発売するそうだ (ニュースリリース、 FOODBEAST の記事、 McDonald's のツイート)。

大人用ハッピーセット「The Cactus Plant Flea Market Meal Box」はストリートウェアブランド Cactus Plant Flee Market (CPFM) とのコラボレーションによるもので、ビッグマックまたは 10 ピースのチキンマックナゲットにマックフライポテトとドリンクが CPFM デザインのボックスに入る。ハッピーセットに欠かせないおまけのおもちゃは CPFM らしい 4 つ目のフィギュアで、マクドナルドキャラクター 3 種 (グリマス・ハンバーグラー・バーディー) と CPFM のカクタスバディのいずれか 1 点となる。

大人用ハッピーセットは全米のマクドナルドレストランやドライブスルー、デリバリー、マクドナルドアプリで 10 月 3 日から在庫がなくなるまで購入可能だ。抽選でコラボデザインの T シャツやパーカーなどが当たるキャンペーンや特設サイトでのコラボ商品限定販売も行われる。

ASRock は 9 月 30 日、初期のソケット AM5 マザーボードで DIMM スロット全体に貼付したステッカーがきれいに剥がせないことを謝罪した (ASRock のニュース記事、 Neowin の記事)。

ステッカーについてあまり詳しく説明されていないが、写真によればメモリーインストールガイドとなっており、インストールする DIMM の数によって選択すべきスロットが指定されているようだ。ところが、このステッカーはきれいに剥がすのが難しく、ユーザーからは不満の声が出ていたという。

これは初期バージョンの BIOS で初回起動時に発生する問題を回避するためのガイドだったといい、BIOS 更新後の製造分はステッカーなしで出荷されているとのこと。ASRock ではこの問題の影響を受けたユーザーに謝罪し、スロット上に残ったステッカーの断片によるメモリ読み書きへの影響が心配なら交換サービスを行うと述べている。

【お知らせ】
スラドのインデックス生成が 2 日未明から停止している。スラドの皆さんにはご迷惑をおかけするが記事自体は更新しているので、スラド検索ページまたはテスト版システム、RSS などから最新記事を取得していただきたい。 追記: 15:55 復旧した模様。

アメリカ自動車協会が 9 月 29 日、自動緊急ブレーキ (AEB) の制動実験結果を公表し、実際に AEB が有用な状況は限定的だと主張している (ニュースリリース、 The Verge の記事、 リポート: PDF、 動画)。

実験は時速 30 マイルまたは 40 マイルで走行中に前方で停止している車への追突回避と、交差点で前方に進入してくる車への側面衝突 (T-bone) 回避、左折時の対向車との前方衝突回避が AEB により実現できるかどうかを確かめるものだ。実験に使われたのはいずれも 2022 年式で、Chevrolet Equinox LT と Ford Explorer XLT、Honda CR-V Touring、Toyota RAV4 LE の 4 車種。

時速 30 マイルでは 20 回のテスト走行で 17 回 (85 %) の追突を防ぎ、衝突時の速度は 86 % 減少。時速 40 マイルの場合は 20 回中 6 回 (30 %) の衝突を防ぎ、衝突時の速度は 62 % 減少した。一方、側面衝突と前方衝突は 1 回も回避できず、ドライバーへの警告や速度低下は実行されなかったという。

ただし、米国家運輸安全委員会 (NHTSA) は AEB を追突回避のための技術と位置付けており、進路を横切る形で進んでくる車との側面・前方衝突回避は目的外となる。また、追突回避試験が義務付けられている速度は時速 12 ～ 25 マイルだという。そのため、AAA では自動車メーカーに対し、より安全面での利点が大きい先進運転補助システム (ADAS) 開発への投資を続けるよう勧告している。

なお、The Verge の記事は 1 週間前にいったん公開されたが、フライング公開だったのか直後に非公開となり、9 月 29 日に再公開された。

一部の Windows 10 / 11 デバイスで、Spotify アプリが無断インストールされたとの報告が1週間ほど前から急増しているようだ (Windows Latest の記事、 Ghacks の記事、 Dr. Windows の記事、 Reddit のスレッド)。

Windows 10 / 11 のスタートメニューには実際にインストールされていないアプリのアイコンも表示されるが、Spotify アプリは実際にインストールされ、スタートアップで起動してログイン画面を表示するという。

無断インストールは最新の Windows アップデート適用後とも報告されているが、現在のところ Microsoft の公式見解は出ておらず、実際のトリガーは不明だ。Microsoft Store では数多くのユーザーが無断インストールに不満の 1 つ星レビューを投稿している。日本のユーザーからの不満も数多くみられるが、スラドの皆さんの環境はいかがだろうか。

あるAnonymous Coward 曰く、

先日発生した Uber や Rockstar Games への不正アクセスについて、多要素認証疲れ (MFA Fatigue) 攻撃が用いられたと報じられている (ITmedia NEWSの記事、 Yahoo! ニュースの記事)。

Uber への攻撃では、攻撃者が事前になんらかの手段で入手したユーザー名とパスワードに対して、短時間に大量のログインを実施。ユーザーが大量の MFA 通知に疲れ果てたころに、システム管理者を装った指示で承認させたという。同一犯とされる Rockstar Games への攻撃でも同じ手口が用いられた可能性がある。

ハッカーグループのチャットでは「従業員が寝ようとしている午前 1 時に 100 回電話をかければ、大抵は受け入れる。その従業員が承認すれば、MFA ポータルにアクセスして、別の端末を登録できる」などと言ったやり取りもされていたという。最近ではMFA必須のシステムも多いが、こうしたヒューマンエラーを狙われてしまうと、それでも不十分かもしれない。

警視庁は 9 月 30 日、回転ずしチェーン「かっぱ寿司」の運営会社カッパ・クリエイト社長ら 3 人をライバルチェーンの営業秘密不正持ち出しに関連する容疑で逮捕した (東京新聞の記事、 NHK ニュースの記事、 読売新聞オンラインの記事)。

社長はライバルチェーン「はま寿司」の親会社ゼンショーホールディングスからカッパ・クリエイトに移籍。それに先立ち、はま寿司の仕入れに関するデータを不正に持ち出した疑いがもたれている。逮捕されたのは社長のほか、カッパ・クリエイト商品企画部長と、はま寿司時代の社長の部下の 3 人。

社長と商品企画部長の逮捕容疑は持ち出したデータを同社データと比較するなどして使用した不正競争防止法違反、元部下の逮捕容疑はデータを開くためのパスワードを教えるなどした不正競争防止法違反ほう助となっている。警視庁は昨年、はま寿司側からの刑事告訴を受けて捜査を進めており、食材の原価や使用料に関するデータが営業秘密に当たると判断したとのことだ。

Google は 9 月 28 日、Chrome 拡張機能プラットフォームの Manifest V2 (MV2) サポートタイムラインを更新し、MV2 の完全終息を半年間先送りすることを明らかにした (Chrome Extensions blog の記事、 Neowin の記事、 9to5Google の記事、 Ghacks の記事)。

これまでのタイムラインでは 2023 年 1 月に MV2 拡張機能が動作しなくなり、エンタープライズポリシーで有効化した場合のみ 2023 年 6 月まで MV2 拡張機能を利用できることになっていた。しかし、後継の Manifest V3 (MV3) で大きな影響を受けるコンテンツブロッカー拡張機能の移行は進んでおらず、プロキシ拡張機能やユーザースクリプト実行拡張機能に必要な MV3 API の中には未だに利用可能となっていないものがある。そのため、Google が予定通り MV2 を無効化したら一部の拡張機能が動作しなくなることが懸念されていた。

新しいタイムラインでは 2023 年 1 月からエンタープライズポリシーによる MV2 実行が可能になるとの説明はそのままに、この時点で MV2 拡張機能が動作しなくなるという説明は削除されている。その代わり、Chrome 112 では Canary / Dev / Beta チャネルで MV2 拡張機能を無効化する実験が行われる可能性があるという。

さらに、2023 年 6 月の Chrome 115 では実験が安定版チャネルにも拡大される。そのため、現在 MV2 を使用している拡張機能開発者はこの段階までに MV3 への移行を完了することが推奨される。2024 年 1 月にはエンタープライズポリシーによる MV2 有効化もできなくなり、その後 Chrome ウェブストアからすべての MV2 拡張機能を削除するとのこと。

Google では開発者のフィードバックを受けて MV3 の改善も進めており、MV3 移行に関する既知の問題点と修正時期などをまとめた開発者向け記事も公開した。それによると、プロキシ拡張機能の MV3 移行で問題になっている API の修正や、ユーザースクリプト実行に必要な API の追加が 10 月にも Canary 版で行われる。MV3 移行に関する問題点等のフィードバックは Googleグループ Chromium Extensions に投稿してほしいとのことだ。

血中酸素濃度を測るパルスオキシメーターを製造・販売する2社がアマゾンジャパンを提訴したそうだ。自社製品の偽造品がAmazon上で多数出回った上、同社に削除を要請しても対応されず売り上げが減少したとしている。両社は計2億円の損害賠償を求めているという（朝日新聞）。

提訴したのはいずれも神戸市にある医療機器製造の「トライアンドイー」と、同社の製品を販売する「エクセルプラン」。偽物は約2万6千円の定価の10分の1ほどで売られており、2020年9月~21年8月に月平均で約2800万円だったエクセル社の売り上げは、翌9月は約350万円にまで減少したとしている。また同じ形状の偽物に低評価レビューなどもついたことも悪影響につながったようだ。

headless 曰く、

Fast Company は 9 月 27 日夜、同社のコンテンツ管理システムが不正アクセスを受け、わいせつで人種差別的な 2 通の通知が Apple News のフォロワーに送信されたことを明らかにした(Fast Company の声明、 The Verge の記事、 Neowin の記事、 9to5Mac の記事)。

27 日の不正アクセスは 25 日午後に発生した FastCompany.com への不正アクセスに関連するとみられる。25 日の不正アクセスでも今回と同様のわいせつで人種差別的な表現がホームページ (Internet Archive のスナップショット) やその他のページに表示され、同社は 2 時間ほどサイトを閉鎖して復旧作業を行ったという。

Fast Company は攻撃者による表現が同社の考えに一致するものでなく、このような表現が同社プラットフォームや Apple News で表示されたことに遺憾の意を示し、取り消される前に見てしまった人に謝罪している。現在、FastCompany.com では本件に関する声明のみが表示されるようになっており、問題が解決するまでは閉鎖を続け、ソーシャルメディアチャンネルのみで記事を配信するとのこと。

Apple News は本件を受け、Fast Company のチャンネルを無効化したと発表している。攻撃者によるメッセージがソーシャルメディアや公式サイトに表示されることは多いが、Apple News を通じて表示されたのは初とみられるとのことだ。

9月28日から献血カード情報をスマートフォンなどに連携させ、献血予約や問診回答が事前に行える「ラブラッドアプリ」の提供が開始された。 日本赤十字社が提供するもので、アプリからは献血の事前予約や会場で行っている問診回答を事前に行うこと、会員登録をおこなうことにより、血液検査の結果通知が早くなる、ポイントが貯めてオリジナルグッズと交換可能といった特典があるとしている（日本赤十字社）。

tori_sanpo 曰く、

問診回答が事前にできるのは便利かも

あるAnonymous Coward 曰く、

朝日新聞の記事によると、有楽製菓は、チョコバー「ブラックサンダー」の原料のカカオを児童労働で収穫されていないものに完全に切り替えたそうだ。同社は、2025年までに自社製品で使うカカオを完全に児童労働によるものでないものに変えることを目標としているそうだ。ただこれは国内大手では稀な取り組みらしい。

皆様は物やサービスを購入する時、製造者の人権や労働環境を考えて購入しているものがあるだろうか。