headless 曰く、

偽の Windows 11 インストーラーが出回っているとして、Kaspersky Lab が注意喚起している(Kaspersky official blog の記事、 Neowin の記事、 BetaNews の記事、 On MSFT の記事)。

現在のところ Windows 11 をインストールするには Windows Insider Program にエンロールする必要があるが、他の方法でインストールしようとする人も多いようだ。Kaspersky 製品は偽の Windows 11 インストーラーの実行を既に数百件ブロックしているという。偽インストーラーは主にダウンローダーであり、実行すると別のプログラムをダウンロードして実行する。ダウンロードされる別のプログラムが Windows 11 とは限らず、アドウェアからマルウェアまで幅広いとのこと。

例に挙げられている「86307_windows 11 build 21996.1 x64 + activator.exe」という偽インストーラーはファイルサイズが 1.75 GB と、それらしいサイズにみえるが、その大半は役に立たない情報を含む1つの DLL ファイルが占めているそうだ。この偽インストーラーがダウンロードして実行するプログラムは使用許諾画面を表示し、バンドルソフトウェアのインストールを促すとのことだ。

多数の戦車・航空機・艦艇などが登場するMMO対戦ゲーム「War Thunder」で、熱心なファンがモデリングのミスを指摘するため、軍の機密文書を公開してしまうというやらかしをしてしまったようだ。報道によると問題となったのは、英国製の主力戦車「チャレンジャー2」。モデルのミスを指摘するため、英国陸軍に所属していた経歴を持つユーザーが、チャレンジャー2のマニュアルの写真を投稿してしまったのだという（War Thunderのチャレンジャー2スレッド、UK Defence Journal、GIGAZINE、GameSpark、DNA）。

チャレンジャー2は現役であったことから、デベロッパーのGaijin Entertainmentが英国国防省に確認をとったところ、現在も機密扱いの情報であったことが判明し、削除などの対策を取ったとのこと。ちなみに主砲を支える構造が正確ではないとの主張だったそうだ。同社によると機密扱いではない資料が出てこない限り、指摘されたチャレンジャー2のミスの修正は行わないとしている。

headless 曰く、

ペンシルベニア州のものみの塔聖書冊子協会 (ものみの塔) が動画の著作権について 2018 年から YouTube クリエイター「kevin McFree」と争っているのだが、3 年かけても全く進んでいないそうだ(TorrentFreak の記事)。

kevin McFree チャンネルの動画は架空のエホバの証人の街「DubTown」を舞台にしたレゴアニメ。一見子供向けだが大人向けで、エホバの証人の厳しすぎる戒律を元信者の目から軽いユーモアを込めて描いているという。

問題の動画は 2018 年に公開されたもので、7 分半にわたってエホバの証人の未公開動画が使われていたという。ものみの塔はエホバの証人の著作権管理団体として、米デジタルミレニアム著作権法 (DMCA) に基づく文書開示令状 (PDF) を取得。この令状で Google / YouTube に McFree の個人情報を開示させようとしたが、McFree 側が異議を申し立てたために情報は開示されず、動画が削除されるにとどまった。

それからおよそ 2 年経過した 2020 年 8 月、判事は McFree 側の令状破棄の申立を受理したが、11 月から審理は中断している。原告側は 5 月に McFree を相手取った本格的な著作権侵害訴訟を提起しているが、被告について判明している情報は英国在住の英国市民であることと Gmail のアドレスのみであり、本名も住所も不明のままだ。

令状破棄の申立が保留になっていることから YouTube が被告に関する情報を開示する可能性はなく、裁判所の書記官は本名がわからない限り召喚状を発行しないという。原告側は裁判の進め方について判事に協議を求めた (PDF)が、判事は協議の必要がないと拒否し、令状破棄に関する別の判事の判断を待つしかないなどと述べているとのことだ。

ケータイ Watchの記事によると、ソフトバンクオンラインショップでは端末購入時で一括払いを選ぶと、支払い方法には代引しか選べないのだという（ケータイ Watch）。

記事では筆者がライカの「Leitz Phone 1」をソフトバンクオンラインショップで予約したところ、手続き時に端末代金を月々の合算請求し、同時に引き落とされるような表示がおこなわれたことから、月額料金から引き落とされると思ったのだという。しかし、現実には端末に関しては代引で発送され、現金を用意していなかったゆえの再配達などのゴタゴタが発生している。

同じソフトバンク系列のワイモバイルでは端末購入時にクレジットカードを使えるのに対して、ソフトバンクオンラインショップでは今でも「代引」しか選べない。筆者によると大手キャリアでクレジットカードで支払えないのはソフトバンクオンラインショップだけだとし、筆者はソフトバンク副社長に直接改善を要望したこともあるが、改善されない状況にあると愚痴っている。

国際オリンピック委員会（IOC）は25日、東京オリンピックで選手が表彰台でメダルを受け取る際、写真撮影時に限定して30秒間マスクを外すことを認める方針を発表した。IOCが規定したプレーブックでは、選手は原則マスク着用が求められているが、これに例外を認めた形。また表彰台中央での集合写真に関してもマスク着用を条件に認めることになったという（NHK、デイリースポーツ、共同通信）。

なおデイリースポーツの記事によると、

IOCは「すべてのメダリストの業績を一緒に祝う。アスリートがスポーツのキャリアの特別な瞬間に、顔と感情をとらえられるように調整された」

とのこと。

偽の通報を行うことで警察をけしかけるスワッティング（swatting）により、2020年4月にテネシー州在住の技術者が亡くなる事件が起きていたそうだ。原因は「@Tennessee」というTwitterアカウント。このアカウントは余計な英数字などがついていない州名だったことから、譲渡を希望する申し込みが多くあったという（WKRN.COM、TechSpot、GIGAZINE）。

2020年4月27日、匿名の人物がこのアカウントを所有するマーク・ヘリング氏に対し、TwitterのIDを譲るよう要求した。しかし、ヘリング氏はこれを拒否したところ、数時間後に「男性が女性を殺害した」との通報が行われる事態が起きたという。この通報により地元警察が急行。警察はヘリング氏氏に手を挙げるよう要求した瞬間、同氏は心臓発作で倒れ、そのまま亡くなったとしている。この件でスワッティングを仕掛けた事件当時は未成年だった二人の男性が逮捕されている。

東京五輪・大会組織委員会は22日、観戦チケット購入者やボランティアのIDとパスワードなどが流出したことを発表した。シンガポールのセキュリティー企業「ダークトレーサー」の調査により判明したもの。原因については組織委員会システムからの流出ではないことを確認したとしている。詳細は調査中であるとしているが、ダークトレーサーによるとフィッシングサイト経由で購入者やボランティアのパソコンが不正アクセスを受けた可能性があるようだ。流出が確認されたのは10件とされている。（日経新聞、朝日新聞、ITmedia、共同通信）。

MMORPGの「ファイナルファンタジーXIV」がある意味で半導体不足の影響を受けているらしい。現在同サービスでは、プレイヤー数が増加しており、これにより、接続が安定しない、新しいキャラクターが作りくにいといった状況が続いているとされる。この事態に際して、スクウェア・エニックスのプロデューサー兼ディレクターの吉田直樹氏はメッセージを出す事態になっている（FINAL FANTASY XIV公式、IGN Japan）。

それによれば、北米および欧州でこの二週間、想定を大きく超えたプレイヤー数の上昇が続いているという。北米に関してはサーバーを入れ替えた直後だったことから、最適化により対処可能であったものの、欧州に関しては世界的な半導体不足によるサーバマシン購入の遅れから、対応に苦慮している状況であるようだ。またコロナ禍によりインフラチームの海外渡航に困難が発生しており、すべて日本からのリモートワークで対処していることから、インフラ拡張業務の効率が低下している状況にあるとしている。

海洋研究開発機構は19日、石油と同等の炭化水素を合成する能力をもつ植物プランクトンを発見したと発表した。この植物プランクトンはハプト藻の一種であるDicrateria rotunda（D. rotunda）で、過去にこうした能力を持つ生物は報告されたことはないという。この植物プランクトンは研究船「みらい」が8年前（2013年）に北極海で行った調査で見つけたもので、採取した計11種のDicrateria属のプランクトンを培養して詳しく調査したところ、全てが一連の飽和炭化水素を合成する能力を持っていたとしている（海洋研究開発機構、NHK）。

匿名化されていたはずのアプリの位置情報で高位聖職者としては不適切な行動が指摘され、米カトリック司教協議会(USCCB)の事務局長が辞任した(USCCB の声明、 The Pillar の記事、 America Magazine の記事、 Ars Technica の記事)。

位置情報はゲイのソーシャルネットワーキングアプリ Grindr が匿名化してデータブローカーに販売したとされるもの。位置情報とユーザー名は結び付けられていないがデバイスごとにユニーク ID が割り振られており、特定のデバイスがデータを送信した場所と日時が確認できるという。

カトリック教会に関するニュースサイト The Pillar がデータを入手して調べたところ、2018 年から 2020 年にかけて特定のデバイスが(元)事務局長の自宅と職場のほか、ゲイバーや個人宅を訪れていることが判明したとのこと。事務局長は 2018 年の聖職者による児童虐待スキャンダルを受けて USCCB とバチカンの調整役を務めており、訪問した各地でもアプリからデータが送信されていたそうだ。

事務局長の行動に違法性はまったくないが、同性愛に反対するカトリック教会の高位聖職者としては、このようなアプリを使用するだけでもスキャンダラスといえる。そのため、事務局長はUSCCBの運営に支障をきたすことがないよう、The Pillarの記事が公開される前に辞任したとのことだ。

HP / Samsung / Xerox のプリンタードライバーに 2005 年から存在していた特権昇格の脆弱性 (CVE-2021-3438) について、発見した SentinelLabs が解説している(Sentinel Labs のブログ記事、 BetaNews の記事)。

この脆弱性は IOCTL を通じてユーザーモードから送信されたデータのサイズをカーネルドライバーが検証しないために発生する。攻撃者は実際の入力サイズよりも大きなサイズをパラメーターに指定することでバッファーオーバーランを引き起こし、SYSTEM の権限でコードを実行できる。ただし、単独で攻撃に使用する手法は見つかっておらず、実際の攻撃で使用するには他のバグと組み合わせる必要があるとのこと。

脆弱性の影響を受ける約 400 機種はすべて HP 製で、5 月 19 日に 修正版ドライバーがリリースされた。HP / Samsung のプリンターに関しては、対象機種がその後追加されている(HP / Samsung のアドバイザリー、Xerox のアドバイザリー: PDF)。

昨年 7 月に発生した Twitter アカウントの大規模侵害事件に関連して、スペインで新たな逮捕者が出たそうだ(米法務省のニュースリリース、 The Verge の記事、 Mac Rumors の記事、 The Register の記事)。

この事件では攻撃者が電話によるスピア型フィッシングの手法で Twitter 従業員から認証情報を入手し、内部ツールを用いて 130 アカウントを攻撃。このうちパスワードリセットに成功した著名人のアカウントを含む 45 アカウントでビットコインの詐取を目的とした投稿が行われた。昨年 8 月に 3 人が起訴されており、主犯格とされる未成年者 (当時) は今年 3 月に 3 年の実刑判決を受けている。

一方、今回逮捕されたのは 22 歳の英国人男性で、米国の要請を受けたスペイン国家警察がエステポナで逮捕したという。この人物は事件発生直後、関与している可能性のある SIM スワッパー「PlugWalkJoe」として KrebsOnSecurity に取り上げられていたが、事件に直接関与してはいないと The New York Times のインタビューに答えていた。KrebsOnSecurity によれば男性は昨春までスペインの大学に通っていたが、昨年7月時点では COVID-19 パンデミックによる渡航制限で帰国できずにいたという。

米法務省によれば、男性は Twitter のアカウント侵害だけでなく、TikTok や Snapchat のアカウント乗っ取りや未成年者に対するサイバーストーキングにも関与しており、コンピューターの不正アクセスと共謀、脅迫など計 10 件で訴追されているとのことだ。

2017 年にサービス終了した動画サービス Vidme の動画を埋め込んだままにしておいたことが原因で、普通のニュースサイトの普通の (古い) ニュース記事にポルノが表示される事態となった(Motherboard の記事、 Bleeping Computer の記事、 The Verge の記事、 The Register の記事)。

Vidme は投稿動画をコミュニティメンバーがキュレーションするという、YouTube と Reddit を組み合わせたようなサービスで、一時は 100 万人近いクリエイターと 2,500 万人以上の月間ユニークユーザーを抱えていたという。しかし、Google や Facebook との競争が激しくなる中、独立の VOD サービスとして持続していく道が見えないとして、2017 年にサービスを終了した(Variety の記事)。

現在、ドメイン「vid.me」へのアクセスはポルノサイト「5 Star HD Porn」のトップページにリダイレクトされるため、Vidme の動画を埋め込んでいたフレームには 5 Star HD Porn のトップページが表示されることになる。その結果、The Washington Post や HuffPost、New York Magazine、Fox Sports を含む複数のサイトで、少なくとも最近までポルノサイトのトップページが埋め込み表示されていたようだ。

Twitter で指摘されたサイトのほとんどは既に埋め込み動画を除去するなどの対応をしており、Fox Sports は該当記事自体を削除、HuffPost は Vidme の埋め込みフレームを削除するスクリプトを問題の記事だけでなく全記事に追加しているようだ。一方、まだ修正されていないサイトもある。The Verge は同サイトで調べたら Vidme 埋め込み記事が見つかったので修正したと説明しているが、ちょっと調べたら未修正の記事 (閲覧注意) も見つかった。

リコール修理後にもバッテリー発火の可能性があるとして先日注意喚起が行われた Chevrolet Bolt EV だが、GM が発火の根本的な原因を特定したとして新たなリコールを発表した(Bolt EV Recall、 The Verge の記事、 Ars Technica の記事、 SlashGear の記事)。

問題のバッテリーは LG Chem の特定の工場で製造されたものだ。GM と LG が調査した結果、2 つのまれな製造上の欠陥が 1 つのバッテリーセル内に同時に存在することが原因だと判明したという。

GM はリコールにより対象車両の欠陥バッテリーを交換する計画で、交換パーツの用意が出来次第通知する。リコールの準備ができるまでの緩和策として、1) 充電の上限が 90 % となるよう設定する 2) 可能な限り、使用後はその都度充電し、充電残量が 70 マイル (約 27 %) 未満にならないように注意する 3) 充電完了後は屋外に駐車し、一晩中充電したままにしない、ことを顧客に求めている。

また、設定の変更が苦手な顧客はディーラーに依頼してでも設定するべきであり、最初のリコールで対策となっていた診断ソフトウェアのインストールが行われていない場合はディーラーに依頼してインストールするべきとのことだ。

Amazon Games が 20 日からクローズドベータを開始した MMORPG「New World」で、プレイヤーから GPU 故障の報告が相次いだ(PC Gamer の記事、 Tom's Hardware の記事、 IGN の記事、 SlashGear の記事)。

故障が報告されたのは主に EVGA 製の GeForce RTX 3090 FTW3 グラフィックスカードで、しばらくプレイしているとファンが 100 % 回転したのちに映像が出力されなくなり、以後はシステムから認識されなくなるといった症状だ(New World Test Forums の投稿)。

同じ RTX 3090 チップを搭載していても問題が発生しない製品がある一方で、他の GPU でも発生するとの報告もみられる。Amazon はこの問題を受け、パッチをリリースしたそうだ。