GoogleはAndroidの「KRACK」脆弱性を11月のセキュリティパッチで修正しているが、Nexus/PixelデバイスにはKRACK対策を含むパッチが12月まで提供されないそうだ(Ars Technicaの記事)。

10月に公表されたKRACK(Key Reinstallation AttaCK)はWPA2の脆弱性で、偽アクセスポイントを使用してWi-FiクライアントにWPA/WPA2の暗号鍵を再インストールさせることで通信内容の復号が可能になる。wpa_supplicant 2.4以降を使用するバージョンのLinuxへの影響が特に大きいとされ、Androidでは6.0以降のすべてのバージョンにおける影響が大きいとして注意喚起されていた。

GoogleがAndroidのKRACK脆弱性を修正したのはセキュリティパッチレベル2017-11-06だが、11月に提供されるNexus/Pixelデバイス向けのセキュリティパッチはレベル2017-11-05までとなっている。その結果、OEMメーカーがKRACK対策パッチを続々と提供するのに対し、GoogleブランドのすべてのAndroidデバイスは12月まで対策されないことになる。これについてArs Technicaの記事では、KRACK脆弱性のAndroidに対する影響は大したことがないと指摘する。

先日Appleがディスプレイの劣化防止対策をユーザーに求めたiPhone Xだが、一部のユーザーから縦に緑色の線が表示されるようになったという報告が出ている(Mac Rumorsの記事、 9to5Macの記事、 The Next Webの記事、 Neowinの記事)。

症状は初めから現れるわけではなく、使い始めてしばらくたってから現れるようになり、再起動やリストアを実行しても消えないという。Apple Support Communitiesでの質問者は使い始めたその日のうちに症状が現れ、その後ワイヤレスチャージャーを使ったら消えたと述べているが、他の投稿者から同様の報告はない。

線の出現位置は主に画面の右端または左端で、中ほどに出現している写真も投稿されている。線の色から「Green Line of Death」とも呼ばれているが、中には紫色という報告もある。線の色に関しては、iPhone Xのディスプレイでは緑のサブピクセルが1列に並んでおり、赤と青が交互に並んでいる点をTechCrunchが指摘している。

maia 曰く、

米国土安全保障省(DHS)は米運輸保安庁(TSA)による空港の保安検査で武器や爆発物を発見できるかどうかの覆面調査を時々行っているが、最新の調査で約8割が検出されなかったという(Daily Mail Onlineの記事)。

今年の6月下旬にミネアポリス-セントポール国際空港で行われた調査では18個中17個を検出できず、失敗率約94％だったので少しは改善したかもしれない。2015年の覆面調査では70個中67個通過したので失敗率は約96％だった。

ちなみに2015年に米国の空港では銃2,653丁が発見されており、その83％は弾が装填されていたという。

今回の調査結果は非公表であり、ABC Newsが関係者に失敗率は80%程度かと尋ねたところ、「そんなものだ」との回答を得たとのこと。TSAでは空港の保安検査場で発見した武器の数を毎週ブログで公表しており、ほぼ毎週80丁前後の銃が発見されている。50丁を下回る週は少なく、150丁を超える週もある。2016年に保安検査場で発見した銃の数は3,391丁で、83%(2,815丁)が装填されていたとのことだ。

カナダ・グースベイ空港で7日、夏に滑走路の補修に使用したシーラント材がベトついていることが判明し、飛行機の離着陸が中止されたそうだ(CBC Newsの記事[1]、 [2]、 [3]、 [4]、 The Registerの記事)。

問題は除雪作業を行っていた車両のタイヤにはがれたシーラント材が貼り付いているのが見つかったことで発覚したという。空港を利用する航空会社からは旅客機へのシーラント材付着といった問題は報告されていないようだ。

グースベイ空港は民間機も利用する空軍基地であり、カナダ空軍がシーラント材の除去作業に当たっている。空港はヘリコプターの離着陸や飛行機の緊急離着陸を除いて2日間閉鎖され、10日には午前10時から4時間のみ飛行機の離着陸が許可された。さらに10日夕方には滑走路の1本がフルタイムで利用可能になっているが、完全復旧までには時間がかかる見通しとのこと。

道路の補修に使用したアスファルトが夏の暑さでベトつくというのはたまに見かけることもあるが、雪の下でベトつくシーラント材とはどのようなものだろうか。CBC Newsの記事[3]に掲載されている写真では泥のような見た目になっている。

WikiLeaksは9日、米中央情報局(CIA)のハッキングツールに関する情報を公開するプロジェクトの新シリーズ「Vault 8」を開始した(Vault 8 - Hive、 The Registerの記事)。

WikiLeaksはVault 7でCIAのハッキングツールのドキュメントを公開しているが、Vault 8ではVault 7で公開したハッキングツールを含め、ソースコードや解析結果を公開する。第1弾は4月にドキュメントを公開した「Hive」に関するものだ。Hiveはターゲットホストに侵入させた他のマルウェアが安全にCIAと通信できるようにするバックエンドインフラストラクチャーとなっている。

HiveではターゲットホストからのトラフィックがVPSサーバーを通じてプロキシサーバー「Blot」に送られ、「HELLO」パケットにツールIDが埋め込まれていればツールハンドラー「Honeycomb」に転送する。それ以外のトラフィックは無害なコンテンツを提供する隠蔽用のサーバーに転送されるという仕組みだ。

今回新たに公開されたのはHiveのリポジトリのアーカイブとコミット履歴の2件。リポジトリの/client/ssl/CA以下にはKaspersky Labの偽証明書を生成するサンプルも含まれる。また、Vault 7で公開済みのドキュメント6件もあわせてリストアップされている。

Googleは8日、ユーザーから多くの不満が寄せられている3種類のWebページリダイレクトについて、来年からGoogle Chromeでブロック開始する計画を明らかにした(Chromium Blogの記事、 VentureBeatの記事、 The Vergeの記事、 Neowinの記事)。

来年1月23日リリース予定のChrome 64では、Webページに埋め込まれたサードパーティーのコンテンツによるリダイレクトをブロックするようになる。iframeからのリダイレクトはユーザーの操作によるものでない限りブロックされ、通知バーにその旨が表示されるとのこと。

ポップアップブロック機能を迂回する「逆ポップアップ」とも呼ばれる動作もユーザーの不満が多く聞かれるリダイレクトの一つだという。これはリンクをクリックした際にリンク先ページを新しいタブで開き、元のタブでユーザーが望まないコンテンツへのリダイレクトを行うというものだ。3月6日にリリース予定のChrome 65では元のタブのリダイレクトがブロックされるようになり、iframeからのリダイレクトブロックと同様に通知される。

また、1月初めにはユーザーをだまして望まないポップアップウィンドウや新しいタブを開くといった不正行為に対し、Google Safe Browsingと同様の仕組みによるブロッキングも開始するという。対象には再生ボタンやその他のWebページコントロールを装ってクリックさせたり、全面に透明レイヤーを配してすべてのクリックを乗っ取ったりする手法が含まれる。この変更にサイト所有者が備えられるよう、Google Web Toolsに不正行為リポート(Googleアカウントへのログインが必要)を表示する機能も追加されている。報告された不正行為を修正せずに30日以上経過すると、ブロック対象になるとのことだ。

GoogleのPixel 2/Pixel 2 XLやSamsungのGalaxy S8/S8+/Note8で、マイクが機能しなくなる問題が一部のユーザーから報告されているそうだ(Pixel User Communityのスレッド、 Samsung Communityのスレッド、 Android Policeの記事[1]、 [2]、 9to5Googleの記事)。

状況としてはマイクがミュート状態になり、音声通話やボイスコマンド、録音機能などが利用できないといったものだ。音声通話時には音声出力をスピーカーに切り替えると正常になるといった報告や、動画撮影時の音声は問題ないといった報告もみられる一方、動画撮影時にも音声が録音されないという報告もある。具体的な原因は特定されていないが、任天堂が禁止しているゲームカセットのフーと同様、マイクに息を吹きかけることで機能するようになるという。ユーザーが公開している動画(音量注意)の冒頭では話し声が全く聞こえない状態だが、息を吹きかけるとブローノイズが聞こえ、以降は話し声が聞こえるようになっている。

これは一時的な対策であり、根本的な解決にはメーカー修理が必要になるとみられる。ただし、問題が再発生した場合にも息を吹きかけることで復旧するとのこと。Galaxy S8/S8+では4月からSamsung Communityで問題の報告と解決法が出ているが、特に注目されていなかったようだ。同じスレッドにはBluetoothオーディオデバイスからの切断後にマイクが機能しなくなり、端末を再起動することで復旧したとの報告や、Googleアプリを再インストールすることで復旧したとの報告も出ており、Pixel User Communityの最初の報告者はGoogleからソフトウェアの問題という回答を得ているという。マイクの穴にホコリが詰まったことを示唆するコメントもみられるが、短期間で詰まるものだろうか。

NASAのニューホライズンズ探査機のミッションで、2019年1月1日にフライバイを実行するカイパーベルト天体(KBO)「(486958) 2014 MU69」の愛称募集が行われている(キャンペーンサイト、 NASAの記事、 Ars Technicaの記事)。

MU69は冥王星の16億km先、地球から65億km以上離れており、これまでの観測ではほぼ同サイズの2つの天体が連星軌道を周回しているか、結合して1つになっているかのいずれかとみられている。そのため、今後2つ以上の仮符号が割り当てられる可能性もある。カイパーベルト天体は公式な名称が国際天文学連合(IAU)へ提案される前に非公式な名称がつけられることが多く、NASAではニューホライズンズによるフライバイ実施後、より詳しい情報が得られてからMU69の公式名称を提案する計画だという。

愛称募集キャンペーンはニューホライズンズサイエンスチームのMark Showalter氏が主導し、SETI Instituteがホストして実施されている。キャンペーンでは新たな候補を提案するほか、既に提案されている候補を選んで投票することも可能だ。候補提案フォームには名称を入力する欄に加え、提案理由と名称に関する情報の得られるWebページのURLを入力する欄が用意されている。キャンペーンは太平洋時間12月1日正午(日本時間12月2日午前5時)で終了する。なお、募集要項によれば、提案者や投票者に賞金や賞品が授与されることはなく、表彰も行われない。愛称決定に当たってニューホライズンズチームとNASAは投票結果を考慮するものの、拘束はされないとのこと。

insiderman 曰く、

「y」という文字を出力するだけのUNIXコマンド「yes」は改良が続けられており、性能が強化されているそうだ(POSTDの記事)。

yesコマンドは、単純にループを使って標準出力に「y」を出力するプログラムよりも数十倍速いという。もちろんコードも複雑になっているのだが、なかなかその手法は興味深い。ただ、本当にそのスループットが必要かはちょっと疑問ではあるが……。

元記事はGNU版yesコマンドのスループットが10.2GiB/sというReddit記事に触発され、この速度にRustで挑戦したという話のようだ。日本語訳には何か所か細かい間違いもあるので、英文を読むのが苦にならない方は原文もあわせて参照するといいだろう。

アイデンティティとアクセス管理(IAM)ソリューションを提供するOne Identityの調査によれば、ITセキュリティプロフェッショナルの18%が特権アカウントの資格情報管理を紙ベースで行っているそうだ(調査結果概要、 BetaNewsの記事)。

調査はOne Identityの依頼によりDimensional Researchがオンラインで実施したもので、IAMの知識がある米国およびカナダ、英国、ドイツ、フランス、オーストラリア、シンガポール、香港のITセキュリティプロフェッショナル913名が回答している。

紙ベースで特権アカウントを管理しているという回答はドイツが26%で最も高く、英国(23%)、シンガポール(22%)が続く。また、回答者の36%は表計算プログラムを使用して特権アカウントを管理しており、67%は2種類以上のツールに依存しているという。

企業システムへの侵入では全体のおよそ80%で特権アカウントがかかわっているが、回答者の57%は特権アカウントの一部のみ、またはまったく監視していないそうだ。また、回答者の21%は管理者アカウントが実行した処理を監視または記録できない点、32%は管理者として処理を実行するユーザーの一貫した識別ができない点を問題点として挙げている。

また、ミッションクリティカルなシステムの管理者アカウントを使用後に変更するという回答は14%にとどまり、ハードウェアやソフトウェアのデフォルト管理者パスワードの変更が確実に実行されていないとの回答も40%に上ったとのことだ。

オーストラリア政府機関Office of the eSafety CommnissonerがFacebookと提携し、Facebookのプラットフォーム上でリベンジポルノや不正アクセスにより第三者の手に渡ったヌード写真/動画の拡散を防ぐ取り組みを開始したそうだ(メディアリリース、 Facebook Newsroomの記事、 ABC Newsの記事、 The Guardianの記事、 The Vergeの記事)。

Office of the eSafety Commnissonerでは画像による嫌がらせ(Image-based abuse: IBA)の防止に取り組んでいる。今回の取り組みはFacebookが実施するパイロットプログラムに参加して行われるもので、オーストラリアのほかに3か国が参加するという。The Timesの記事によれば、米国・英国・カナダの3か国のようだ。

拡散が懸念されるヌード写真/動画のあるユーザーがWebフォームを通じてOffice of the eSafety Commnissonerに連絡すると、FacebookのMessengerアプリで自分自身あてに問題の写真/動画を送信するよう求められる。あとはユーザーが送信した写真/動画からハッシュ(フィンガープリント)が生成され、一致する写真/動画がFacebookやMessenger、Facebook Group、Instagramでブロックされるという仕組みだ。

ハッシュ生成後、FacebookはOffice of the eSafety Commnissonerを通じてユーザーにMessengerのスレッドから写真/動画を削除するよう通知し、ユーザーが削除するとサーバーからも削除される。なお、ブロッキング処理では生成したハッシュのみが使われるが、ハッシュ生成前には特別な訓練を受けたFacebookスタッフによる写真/動画の確認が行われるとのこと。

ロボットが動きで感情を伝えるという仕組みを東京農工大学が開発したと発表した（マイナビニュース）。

開発された手法は、ロボットが与えられたタスクをこなしながら、それと同時に動きで感情を表現するというもの。たとえばソフトバンクのロボット「Pepper」でも感情を表現する仕組みはあるが、別の優先度の高いタスクがある場合、感情を伝えるタスクは低い優先度とされていたという。

今回の手法では、「揺れ」「活発さ」「視線」という3種類の動きでロボットの感情を人間に伝えるという。その結果、実験では人間に対し「嬉しそう」「悲しそう」といった感情が伝わったことが確認できたという。

taraiok曰く、

インド・カルナータカ州とMicrosoft Indiaは10月末、農業分野でのAIやクラウドといったIT技術の活用を行うための覚え書きを締結した。過去の播種面積、生産量、収量、天候などのデータセットとAIを組み合わせることで、農産物の価格予測モデルを開発するという。播種のタイミングは収穫を確実にするために重要な役割を持つ（Microsoft News Center India、Firstpost、Slashdot）。

Microsoftは、国際半乾燥熱帯作物研究所（ICRISAT）と協力して専用のアプリを開発した。このアプリは播種に最適な時期をメールでパイロットプログラムに参加している農家に伝える仕組みになっている。最大の特徴は農家側が畑にセンサーを設置するといった設備投資を必要としていないこと。必要なのはテキストメッセージを受信できる携帯電話のみだという。メールでは播種の日時、土地の準備、土壌試験に基づく肥料の施用などが伝達されるとしている。

あるAnonymous Coward曰く、

中国の宇宙機関が、打ち上げ後に再利用可能なロケットを開発していると報じられている（新華社、RecordChina、Ars Technica、Slashdot）。

航天科技集団公司第一研究院の発表によると、単位あたりペイロード輸送コストを現在のロケットの10分の1とし、打ち上げ準備期間も大幅に短縮、航空機のように時間を決めて宇宙と地球を往復させることが最終目標だとしている。

再利用可能ロケットとしては米民間宇宙開発企業SpaceXのFalcon 9が知られているが、このロケットはFalcon 9とは異なり、第1段および2段の両方を回収・再利用するという。設計上の使用回数は20回以上で、初期目標では単位あたりペイロードの輸送コストを現在の5分の1、将来的には10分の1が目標だそうだ。打ち上げは2020年頃を予定しているという。

あるAnonymous Coward 曰く、

先日神奈川県座間市で9人もの遺体がアパートの一室で発見される事件があった。この事件では容疑者と被害者がTwitterを使ってやり取りしていたとの報道があるが、これを受けて政府・管官房長官がTwitterに対する規制を検討するという旨の発言を行ったという（ITmedia、時事通信）。ただ、具体的な話については特には挙がっていない。

もちろん公開されているTweetに対する監視・分析などは可能だが、インターネットにおいては通信の秘密という原則があり、非公開アカウントやダイレクトメッセージなどを第三者が閲覧することは原則として認められていない。いったいどのような規制・対策を行うのか、注目される。

なお、NHKでは「不適切サイト対策強化」と言及されている。