2021年7月23日からスタート予定となっている東京2020オリンピックだが、オリンピックエンジニア関連の求人が現時点でも行われていることが話題となっている。リクナビNEXTの募集条項によると、現在東京オリンピック・パラリンピック競技大会組織委員会が募集している案件は以下の6件。いずれも5月18日まで掲載される予定となっている（すっごいおあげちゃんさんのツイート、秒刊SUNDAY、リクナビNEXTで募集中の組織委員会の仕事）。

• 東京2020●デザイン課デザインチーム/制作進行管理/主事
• 大会公式Webサイト運営・コンテンツ企画（日本語担当）/主事
• プロジェクトマネジメント・拠点部門担当者/事務・調整
• 大会本部内業務アプリ開発・会場エンジニア（PL・PM）/係長
• 東京2020●会場・大会本部内エンジニア、PM・PL/係長
• 東京2020●セキュリティエンジニア/データ解析/主事~係長

この中でも「大会本部内業務アプリ開発・会場エンジニア（PL・PM）/係長」が話題となっており、仕事内容としては、COVID-19対策としての各種システム企画・設計・導入などを担当するとなっている。Twitterなどではスケジュール的に間に合うとは思えないといった声などが上がっている模様。

内閣官房、個人情報保護委員会、金融庁、総務省は4月30日、合同で「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方（ガイドライン）」を発表した。3月に話題になったLINEの個人情報問題（その1、その2）などを受けて策定されたもの。このガイドラインでは、公共機関や自治体などがLINEをはじめとするSNSなどの外部サービスを利用する際の基準が提示されている（政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方（ガイドライン）」の公表について、Security NEXT、Impress Watch、日経クロステック）。

公表・公開が前提の情報や第三者が知っても問題のないような内容に関しては、利用は許容されるとしており、具体例として広報業務や住民等からの問い合わせ等への自動対応などを上げている。一方でプライバシーを含む住民等の個人情報を取り扱う行政サービスの場合は原則として利用を禁止。住民からの問い合わせ等を含む個人情報がLINEのサービス上に保存されないなどの対策も求めるとしている。

あるAnonymous Coward 曰く、

電子フロンティア財団(EFF)は4月15日、Tor Projectと共同開発しているWebブラウザ拡張機能「HTTPS Everywhere」のルールセットHTTPS Everywhere AtlasをDuckDuckGo Smarter Encryptionに切り替える方針を明らかにした（EFFの発表）。発表文はDuckDuckGoとの提携を強調するものだが、詳細を説明したブログによると、自前のルールセットを段階的に廃止したのち、なんと拡張機能それ自体の廃止に取り組む予定なのだという（EFFのブログ）。

HTTPS Everywhereは、ルールセットに基づいてHTTPアクセスをHTTPSに置き換える、またはすべてのHTTPアクセスを強制的にHTTPSに置き換える機能を備え、AMOではユーザー数トップ20に数えられる人気の拡張機能。2010年にリリースされて以降、RFC 6797-HTTP Strict Transport Security (HSTS)の標準化、Google ChromeのHSTS Preloadリスト策定、常時SSL(AOSSL)の普及といった環境の変化を経て、最近ではMozilla FirefoxのHTTPS-OnlyモードやMicrosoft EdgeのAutomatic HTTPSなど、ブラウザにHTTPS Everywhereと同等の機能を内蔵する動きが進んでいる。

元々HTTPS Everywhereはいつの日か必要とされないことを究極の目標に掲げており、その本懐を果たしつつあるというのが根幹にあるようだ。EFFは将来的にDuckDuckGo Privacy Essentialsに移行するか、デフォルトでHTTPSを使用するブラウザを使用することを推奨している。

情報元へのリンク

headless 曰く、

ドナルド・トランプ前米大統領の新しいコミュニケーションプラットフォーム「From the Desk of Dnald J. Trump」が4日、トランプ氏の公式Webサイト(donaldjtrump.com)にオープンした(Fox Newsの記事、 The Vergeの記事)。

このプラットフォームはTwitterのタイムラインのようなコンパクトなレイアウトで、ブログ記事の全文を読むことができる。オープンは4日だが、3月24日以降に「News」セクションで公開されていたブログ記事も転載されている。

各記事ではFacebook/Twitterで記事を共有するためのボタンや「いいね」ボタンも利用できる。ただし、画像または動画のみで本文のない記事のTwitter共有ボタンは正常に動作しない。また、日本時間6日未明の段階では「いいね」ボタンをクリックするとハートに色がついていたが、現在は反応しなくなっている。

トランプ氏のシニアアドバイザーのジェイソン・ミラー氏は3月、トランプ氏が独自プラットフォームでソーシャルメディアへ復帰するとFox Newsに語っていた。ミラー氏は今回、Webサイトは新しいソーシャルメディアプラットフォームではなく、追加の情報を近く発表できるとFox Newsに語ったとのことだ。

話題となった音声SNSのClubhouseだが、アプリの4月のダウンロード数が3月比で66％ほど減っているそうだ。Sensor Towerの調査によるもので、2月は960万件のダウンロードがあったのに対して3月は270万件に、4月に関しては92万2000件にまで減少しているとのこと。人気が下り坂とする見方も出ているようだ。ただSensor Towerは4月のユーザー数の伸びは減少しているものの、既存ユーザーの利用率は維持されているとしている（Business Insider、iPhone Mania）。

なおClubhouseアプリは現在、iOS版のみ提供されているが、5月2日にAndroid版アプリのベータ版を一部ユーザー向けに提供を開始したと発表している。Engadgetの記事などによると、Twitterも600人以上のフォロワーがいるTwitterアカウント向けに5月3日から「Space（スペース）」機能を提供している。またFacebookも競合する音声SNSの提供を進めていることから、シェアを取られないように急ピッチでAndroid版の開発が進められている模様（Clubhouseリリース、Engadget）。

ベルギーでフランスとの国境の位置を確定する標石が2.29メートルが動かされ、ベルギー領土が勝手に拡大されていたことが分かったそうだ。このことはベルギー・エルクリンヌ村の歴史愛好家が散歩中に発見したもの。原因は地元農家の男性が、この標石がトラクターの通行に邪魔だから移動させたためだったという。ネタとして扱われ幸い国境問題にはならなかった模様（BBC）。

Twitterでくもん出版の「はじめての分数パズル」にバグがあることが判明したことが話題になっていたようだ。この製品は分数の考え方を身につけるためのもので、円を使って「1」を作ることを楽しむというもの。しかし、yugokitajimaさんのお子さんは、1/3と1/4、1/6、1/7、1/9のブロックを組み合わせて、計算上は合わなくてもパズルとしては組めてしまうということを発見した模様（yugokitajimaさんの関連ツイート）。

84/252（1/3）
42/252（1/6）
28/252（1/9）
63/252（1/4）
36/252（1/7）

合計すると253/252となる。しかし、実際の図形にすると収まってしまう程度の微差にしかならないことになるということのようだ。情報元へのリンク

AppleとEpic Gamesによる法廷闘争の中で5日、Xboxで副社長を務めるローリ・ライト氏が出廷した。その証言の中で、Xboxがどのハードウェアでも利益を上げていないことが判明したそうだ。IGNの記事によると「Xboxのコンソール販売でマイクロソフトはどのくらいのマージンを得ているか」という質問に対して（IGN Japan、GIGAZINE）。

「利益はありません。コンソールを赤字で販売しています」

とする回答をしたそうだ。この質問の経緯としては、コンソールメーカーが売り上げの30％の手数料を取るのに正当な理由があるのに対して、端末の販売で利益を出しているAppleが同様の形で手数料を徴収するのに異論を唱えるためのものであるとされている。

あるAnonymous Coward 曰く、

現地時間の2021年5月3日から、AppleとEpic Gamesによる法廷闘争のトライアル(対審)がスタートしており、5日にはXboxの副社長であるローリ・ライト氏が第三者証人として出廷しています。このトライアルの中でライト氏が、Xboxはこれまで販売してきたゲーム機で「利益を出したことはない」と発言したことが注目を集めています。

情報元へのリンク

NTT東日本は6日、都内の固定電話への通話が急増したことから、午前9時ごろから都内全域に通信制限を行ったという。制限が行われたのは午前9時~11時45分頃の時間帯。急増の原因については不明とされているが、ワクチン接種の電話予約が始まったことが原因ではないかと報じられている。先日もネット予約受付でサーバーに高負荷が発生するなどのトラブルが起きている（時事ドットコム、読売新聞）。

あるAnonymous Coward 曰く、

連休明けの6日朝より都内の固定電話への通話が急増し、NTT東は一部通話を制限したそうです
原因としてはワクチン接種の問い合わせ・予約電話の急増が考えられるとのこと
https://www.jiji.com/jc/article?k=2021050600617
https://www.yomiuri.co.jp/national/20210506-OYT1T50103/

昔は普通にニュースでも輻輳と言う言葉を使っていたと記憶しているのですが、今はもう死語になってしまったのでしょうか？

headless 曰く、

Dellは4日、ファームウェア(BIOS/Thunderbolt/TPM/ドッキングステーション)更新プログラムに同梱されていたドライバーに不十分なアクセス制御の脆弱性(CVE-2021-21551)が存在することを公表した(DSA-2021-088、 FAQ、 SentinelLabsの記事)。

問題のドライバー「dbutil_2_3.sys」はファームウェア更新プログラムまたはDellのアップデートツールにより、一時フォルダー(%temp%または%windir%\temp)に展開されるもので、権限を確認せずにIOCTLリクエストを受け付けてしまうという。この脆弱性を悪用することで、ローカルでの権限昇格やサービス拒否、意図しない情報開示が行われる可能性がある。

このドライバーは遅くとも2009年からPCやドッキングステーションのファームウェア更新プログラムで使われており、影響を受けるモデルは現在もサービスが行われている381モデルに加え、既にサービスが終了している195モデルと幅広い。SentinelLabsによれば、影響を受けるPCは数億台に上るという。381モデルの最新ファームウェア更新プログラムでは脆弱性が修正されているが、dbutil_2_3.sys自体は削除されないようだ。なお、ドライバーサービス「DBUtil_2_3」のレジストリ設定は最初のWindows再起動時に削除されるため、実際にどの程度影響があるのかは不明だ。

対処方法としては「Dell Security Advisory Update - DSA-2021-088」を実行または手作業でdbutil_2_3.sysを削除し、現在もサービスが行われているモデルでは再導入を防ぐために最新のファームウェアをインストールする。サービスの終了しているモデルではファームウェア更新プログラムを実行するたびにdbutil_2_3.sysの削除が必要になる。

pixivが安全なパスワードへの変更のお願いという案内を掲示している。第三者に推測されやすいパスワードを使用している場合、2021年5月10日からpixiv及び関連サービスにログインできなくなくなるという。発表文によると、ログインできなくなったアカウントで接続すると「セキュリティ上の理由により、お使いのパスワードはご利用いただけません」などとする案内が表示されるとしている（pixiv）。

パスワードの変更が必要なアカウントに関しては、現時点でパスワード変更の案内画面が表示されるように変更されているという。案内が表示されないユーザーに関しては変更の対象外であるとしている。ねとらぼが安全なパスワードの判定基準についてpixivに取材したところ、他社におけるデータ侵害により漏えいしたパスワードのハッシュ値のデータベースを元に判定しているという（ねとらぼ）。

あるAnonymous Coward 曰く、

魔法少女まどか☆マギカのキャラクター型のEdyキーホルダーが試験販売されるそうだ。ANIPLEX+で5月1日～5月31日までの期間、予約販売しているとのこと。種類は、「鹿目まどか」「暁美ほむら」の計2種類。価格は各2,980円（税込）となる（ANIPLEX+、payment navi）。

今までも楽天お買いものパンダEdyキーホルダーのように、コイン型Edyと組み合わせるタイプのキーホルダーは発売されていたが、これはアクリルキーホルダーにFelicaモジュールを内蔵しており、コイン型Edyをセットする必要がないようだ。新開発の多層構成の製法により、一定の厚さのアクリルキーホルダーに内蔵する場合は新たな通信性能検定が不要、金型不要の加工方法のため初期費用が安く少量生産が可能だという。

このEdyを店頭で使うのは勇者でないとできないと思われるが、記念Suicaやかつてのテレホンカードのように、コレクターアイテムとして普及するかもしれない。Suicaペンギンのアクリルキーホルダーが作られたら人気が出そうである。他にも少量生産が可能なことを生かして、モビルスーツEdyや艦娘とか作ると面白そうである。逆に社章アクリルキーホルダーとか作られたら萎えそうではある。

フランス国立農学研究所（INRA）らの研究チームが、ブラジルにあるアマゾン川流域で森林の成長によって吸収される二酸化炭素（CO2）量と、森林伐採や火災などにより大気中に放出されたCO2量を分析した。その結果、吸収したCO2よりも20％ほども多いCO2を吐き出していることが判明したという（Nature Climate Change、AFPBB News、ScienceAlert）。

2010年から2019年までの期間、大気中に排出されたCO2は166億トンになり、その一方で森林が吸収したCO2量は139億トンにしかならなかったという。研究では、すでにアマゾンの森林では排出量と吸収量が反転しており、この地域がCO2の「吸収源」ではなく供給源になるとしたら、気候危機への取り組みははるかに困難になるだろうとしている。

あるAnonymous Coward 曰く、

4月29日、ダークウェブに関する研究や報道を目的とした複数のウェブサイトのドメインが乗っ取られ、フィッシングサイトへの誘導が行われるという事件が発生した（NjallaのPeter Sunde氏のツイート、dark.failによる警告、dark.failを所有するdark.fail氏のツイート、TechNadu、VICE）。

被害を受けたのはdark[.]failとdarknetlive[.]com。
dark[.]failの場合、攻撃者は掲載されていたTor hidden serviceへのリンクをフィッシングサイトのものに置き換えたページを作成し、乗っ取ったドメインでホストしていた。

両サイトがNjallaという共通のドメインリセラーを使用していたことや、乗っ取られたサイトの運営者が2FAを使用していたことから、NjallaやレジストラであるTucowsへの不正アクセスが疑われたが、実際には偽の裁判所令状を用いてTucowsから乗っ取りに必要な情報を聞き出すという手口であることが明らかになった。

Njallaの創業者であるPeter Sunde氏によると、乗っ取りの時系列は以下の通りである。
https://twitter.com/brokep/status/1389314362561777665

1. 4月28日、Tucowsがドイツ・ノルトライン＝ヴェストファーレン州の地方裁判所を装った偽の令状を受け取る。
令状にはTucowsがレジストラとなっている複数のドメインを引き渡すよう書かれており、メールの発信元は正式なドメインであるag-koeln[.]nrw[.]deによく似たagkoeln-nrw[.]deで、agkoeln-nrw[.]deにアクセスするとag-koeln[.]nrw[.]deにリダイレクトされるようになっていた。

2. 古典的なフィッシングメールに騙されたTucowsの担当者がドメインの乗っ取りに必要な情報（移管用のコードと思われる）を返信する。

3. 攻撃者がdark[.]failをNamecheapに、darknetlive[.]comをepik.comに移管する。

4. 攻撃者が各ドメインのレコードを偽のサイトのものに書き換える。

偽の令状は過去にkino[.]toというドメインを差し押さえる際に使用されたものをベースにしており、フィッシングにありがちなスペルミスが無く、ドイツ語話者であるTucowsの担当者が見抜けなかったほど精巧に作られたものとのことだ。また令状には偽のGag order（箝口令）が添付されており、リセラーであるNjallaには一切の通知が無かった。

この件に関しては、epik.comが乗っ取りに関する情報提供を受け速やかにドメインを返還したのに比べ、令状が偽物である点やドメインがフィッシングに悪用されていることを頑なに認めず、結果的にドメインの返還に4日もかかったNamecheapが批判を受けている。

----
もしこのタレコミを読んでいる方の中に各種サービスのabuse対応をされている方がいらっしゃいましたら、令状や照会書が真正なものであるのかについて対応前に重々確認するようお願い申し上げます。

情報元へのリンク

headless 曰く、

MicrosoftはサポートされるすべてのWindowsバージョンに同梱された(Internet Explorer/レガシーEdge用の)Flash Playerを7月に削除する計画のようだ(Microsoft Edge Blogの記事、 Windows Centralの記事、 The Vergeの記事、 BleepingComputerの記事)。

MicrosoftはFlash Playerを削除する更新プログラム(KB4577586)をMicrosoft Update Catalogで昨年10月に提供開始し、2月には自動更新での提供を開始している。これまでKB4577586は単体の更新プログラムとして配布されていたが、今後は累積更新プログラムに組み込まれることになる。

まず、6月にはWindows 10 バージョン1809以降のプレビュー版累積更新プログラムにKB4577586が組み込まれ、以降の累積更新プログラムに含められる。7月にはWindows 10 バージョン1507/1607の累積更新プログラムやWindows 8.1/Server 2012/Embedded 8 Standardのマンスリーロールアップ/セキュリティのみの更新プログラムにもKB4577586が含められるとのことだ。