3月のCODASPY 2018で発表された論文なので旧聞となるが、パーキンソン病に対する脳深部刺激療法などで用いられる植え込み型神経刺激装置で、攻撃者がプログラムを書き換えたり、データを読み取ったりすることが可能な問題が発見されたそうだ(論文: PDF、 The Registerの記事)。

無線通信機能を備える植え込み型医療機器(IMD)では、主にプロプライエタリーなプロトコルを用いて通信を行う。研究グループではノートPCとUSBデータ収集(DAQ)デバイス、簡易な自作アンテナの組み合わせで、大手IMDメーカー製の広く使われている植え込み型神経刺激装置の通信内容を解析。通信には認証も暗号化も使われておらず、ブラックボックスアプローチでプロトコルのすべてをリバースエンジニアリングすることに成功したという。

解析結果を用いれば、植え込み型神経刺激装置と装置のプログラマーとの間で送受信されるデータを盗聴することが可能だが、ソフトウェア無線デバイスからプログラマーを装ったメッセージを送信することも可能となる。これにより、装置にセットされた患者名の書き換えや、プライバシーにかかわるデータの要求などが可能だったそうだ。メッセージは装置のシリアルナンバーを含むが、シリアルナンバーが空でも有効なメッセージとして受け入れられたとのこと。

将来は治療の効果を上げるため、脳波から抽出したデータを取得する機能が神経刺激装置に搭載される可能性もある。この場合、個人的な知識の有無や、感情、考えなども明らかにできる可能性も論文は指摘する。過去の研究では、脳コンピューターインターフェイス(BCI)に対するサイドチャネル攻撃で、パスワードなどを明らかにできるといったものも発表されている。

このような攻撃を避けるため、論文ではランダムなセッションキーの生成と安全なキー交換、暗号化プロトコルによる安全な通信を含むセキュリティアーキテクチャーを提案している。

headless 曰く、

Adblock Plusの親会社eyeo GmbHは19日、ドイツ連邦最高裁が広告ブロックを合法と認めたことを発表した(Adblock Plusのブログ記事、 ニュースリリース、 Android Policeの記事、 heise onlineの記事)。

この裁判は広告ブロックが違法行為であるとして同社をAxel Springerが訴えていたものだ。二審ではケルンの州控訴裁判所が広告ブロックを合法と認める一方で、Axel SpringerのWebサイトを無料でホワイトリストに追加するよう命じていたが、この命令も取り消されたようだ。Adblock Plusが出版社などに訴えられた裁判で勝訴するのは今回で連続8回を数えるとのこと。

本件の判決はこれで確定となるが、Axel Springer側は広告ブロックが違法という姿勢を崩しておらず、判決を不服として憲法裁判所に訴えることを発表したという。また、広告ブロックが不当競争行為との訴えが認められなかったことから、Adblock Plusがソースコードを書き換える行為について著作権侵害とする訴訟も提起するようだ。

pongchang 曰く、

Anals of Internal Medicineに掲載された論文によると、米国で薬物過剰摂取により死亡したドナー(ODD)からの臓器提供が増加しているそうだ(論文アブストラクト)。

2000年1月1日～2017年9月1日の調査期間で、ドナーは計138,565名。うちODDと識別されたドナーが7313名を占める。ODDの割合は2000年には1.1％だったが、2017年には13.4％に増加している。ODDは白人(85.1％)、21歳～40歳(66.3％)、C型肝炎感染者(18.3％)の割合が高い。ODDから移植を受けた患者の5年生存率を外傷により死亡したドナー(TDD)からの移植と比較すると、肺や腎臓では大差なかったが、心臓でやや高く、肝臓でやや低くなっている。

米国では鎮痛剤や麻薬などに含まれるオピオイドの過剰摂取による死者が2016年は42,000人以上、4割は処方薬だったという(米疾病予防センター: Opioid Overdose)。

なお、この研究ではODDが使用していた薬物がオピオイドなのか非オピオイドなのかを識別できていないとのこと。論文ではODDからの臓器移植による大幅な生存率低下はみられないため、現在の臓器不足を考慮して、感染リスクへの懸念から過剰に廃棄される臓器を減らすべきだと結論付けている。

Wikimedia Foundationは17日、デスクトップ版Wikipediaで他の記事へのリンク上をホバーするとプレビューが表示される「ページプレビュー」機能が英語版でも利用可能になったことを発表した(Wikimedia Blogの記事、 VentureBeatの記事)。

ページプレビューは記事の冒頭部分や写真をポップアップ表示することで、大体の内容を把握できるようにするというものだ。これにより、記事を読んでいてわからない語句が出てきたときにリンク先へ移動して冒頭の数文を読み、元の記事に戻るといった動作をする必要がなくなる。ログインユーザーだけが利用できるナビゲーション・ポップアップとは異なり、ログイン不要で文字が大きく読みやすいといった特徴がある。

ページプレビューは日本語版を含むほとんどの言語版で昨年8月までに導入済み。先週ドイツ語版にも導入され、最後に英語版が残っていた。ページプレビュー機能はポップアップ下部の歯車アイコンをクリックすると無効化できる。再び有効にするには、ページフッターの「プレビューを有効にする」をクリックすればいい。

個人的にはページをスクロールしたときにリンクをポイントしてしまうことがあるので邪魔だと思っていたものの、特に設定を確認することもなく放置していた。今回の発表を見て早速オフにしたが、スラドの皆さんはこの機能をどう思われるだろうか。

OSL NetworksがAndroid/iOS向けに提供しているVPNアプリ「Opera VPN」を4月30日で完全に終了するそうだ(公式サイトでの発表、 BetaNewsの記事、 SlashGearの記事、 Softpediaの記事)。

Opera VPNはOpera Software ASAが2015年に買収したカナダ・SurfEasyのVPNサービスを無料で利用できるようにするアプリ。アプリ内購入で速度制限などを解除できるサブスクリプションサービス「Opera Gold」も提供している。Opera VPN終了にあたって、Opera Goldユーザーに対してはSurfEasy Ultra VPNの1年間サブスクリプションが無料提供される。そのほかのユーザーに対しては、Android/iOS版Opera VPNアプリを通じてSurfEasy Total VPNを80%引きで提供するとのこと。

Opera VPNのリリース当初、開発元はOperaとなっていたが、その後OSL Networksに変更された。Opera Software ASAは2016年、Operaブラウザーなどを開発するコンシューマー事業を中国企業のコンソーシアムへ売却。コンシューマー事業側が株式非公開のOpera Software ASとなり、Opera Software ASAはその後Otello Corprationに名称を変更した。

OSL Networksは昨年6月にユーザーからの質問に対し、同社はアイルランドを拠点とするOpera Software ASAの子会社だと回答していた。ただし、現在Opera VPNのWebサイトには「Made in Tronto」との記載があり、OtelloのWebサイトでは子会社として記載されていない。一方、SurfEasyの所在地はトロントで、昨年Symantecが買収している。

デスクトップ版のOperaブラウザーに搭載されているVPN機能もSurfEasyが提供していたが、現在VPNを有効にした状態のIPアドレスで調べると、提供元は「Opera Software AS」となっていた。

GoogleがPixelbookにマルチブートオプションを追加する計画を進めているのではないかという話が出ている(XDA-Developersの記事、 Neowinの記事、 Android Policeの記事、 Redditのスレッド)。

発端となったのは、Chromium OSの「vboot_reference」プロジェクトに数週間前に出現した「eve-campfire」ブランチ(eveはPixelbookのコードネーム)で、コミットメッセージの「AltOS」「Alt OS」という記述をRedditユーザーが発見したことだ。コミット内容としては、AltOSのブートフロー用フラグの追加と、AltOS選択画面用文字列の追加というものだ。コメントには「go/vboot-windows」という記述もみられる。

Alt OSは「alternative OS」、つまりChrome OSと他のOSをデュアルブートにするオプションではないかと予想されているが、現時点で詳細は不明だ。Redditではコメントの記述からPixelbookでWindowsを実行できるようになることを期待するコメントがある一方、Fuchsia OSは別としてGoogleがWindowsやLinuxのブートを公式にサポートするとは思えないという意見も出ている。そもそもデュアルブート関連という予想がまったく外れている可能性もあるが、スラドの皆さんはどう思われるだろうか。

Apple CEOのティム・クック氏がThe Sydney Morning Heraldのインタビューに答え、macOSとiOSの統合はユーザーが望むことではないとの考えを示したそうだ(The Sydney Morning Heraldの記事、 Ars Technicaの記事、 9to5Macの記事、 SlashGearの記事)。

仕事では主にMacを使い、家や移動中はiPadを使うというクック氏は、MacとiOSの線引きについて質問され、それぞれが得意なことをするように進めているから素晴らしいのであって、どちらか一方にまとめるといった考えは信じないと回答。両者を統合しようとすれば、トレードオフや妥協を生み出すことになる。企業としては効率が良くなるかもしれないが、重要なのは人々が世界を変えたり、情熱や創造性を表現したりする助けになる製品を提供することであり、企業としての効率は重要ではないという。macOSとiOSを統合するという話にこだわる人もいるが、それをユーザーが望んでいるとは考えられないとのことだ。

Intelは18日、同社のNew Devices Groupを廃止するとThe Informationが報じた内容について、事実であることを認めた(The Vergeの記事、 CNBCの記事、 Windows Centralの記事、 The Next Webの記事 )。

New Devices Groupは、2月にThe Vergeがプロトタイプの独占試用リポートを公開したスマートグラス「Vaunt (コードネーム: Superlight)」を開発する部署だ(過去記事)。Intelは継続的に新しい技術や体験を開発しているが、すべてを市場に出すことを選択するわけではないとし、Superlightプロジェクトがその好例だと述べている。

CEO就任直後のBrian Krzanich氏主導で2013年に発足したNew Devices Groupは、2015年にNew Technology Groupへ編入された。ウェアラブル企業の買収を重ねて規模を拡大し、Tag HeuerやOakleyと組んでウェアラブル製品を市場に投入したが、大きな成功を収めるには至らなかったようだ。

MicrosoftがGoogle Chrome用拡張機能「Windows Defender Browser Protection」をChromeウェブストアで公開した(公式サイト、 The Vergeの記事、 BetaNewsの記事)。

Windows Defender Browser ProtectionはユーザーがアクセスしようとするWebサイトをフィッシングサイトやマルウェアホスティングサイトなど有害なサイトのリストと照合し、一致する場合はブロックするというもの。つまり、SmartScreenをGoogle Chromeで使用できるようにするということのようだ。同様の機能はGoogle Chromeにも備わっているが、Microsoft Edge 99%、Google Chrome 87%というフィッシング攻撃からの保護率(NSS Labs調べ)を提示し、Windows Defender Browser Protection拡張機能をインストールすることでMicrosoft Edge並みの安全性が保たれると説明している。

公式サイトの動画ではWindows 10 PCでMicrosoft Edgeを使用すれば常に最も安全だと説明しているが、3月のデスクトップブラウザーシェアでMicrosoft Edgeは4%台(StatCounter、Net Applications)。一方Google Chromeは60%を超える圧倒的なシェアを獲得しており、このままではWindows 10ユーザーの保護が不十分だと考えたのかもしれない。

なお、Microsoft EdgeとInternet Explorerで公式サイトにアクセスした場合、Microsoft Edgeの導入ページにリダイレクトされてしまう。そのため、公式サイトの内容を見るにはGoogle ChromeやMozilla Firefoxなど別のWebブラウザーでアクセスする必要がある。

人気の広告ブロック拡張機能「Adblock Plus」の偽物がChromeウェブストアで配布されていたことが半年ほど前に話題となったが、現在も状況は改善されていないようだ。AdGuardの調べによれば、合計2,000万人以上がChromeウェブストアから悪意あるコードを含む偽拡張機能をインストールしていたという(AdGuard Blogの記事、 BetaNewsの記事、 HackReadの記事)。

ここでいう偽拡張機能は、主に広告ブロック拡張機能など人気の拡張機能をクローンして多少のコードを付け加え、本物と紛らわしい名前を付けたものだ。こういった偽拡張機能に対抗するには商標権侵害でGoogleに削除を求めるしかなく、対応には数日かかるという。しかし、最近では紛らわしい名前を付けるのではなく、拡張機能の説明で検索結果上位になるようなキーワードを含めるものも増えているそうだ。

AdGuardが悪意あるコードを発見した偽拡張機能のうち、「AdRemover for Google Chrome」はAdBlockをクローンしたもので、ユーザー数は1,000万人以上だったという。付け加えられた悪意あるコードは、リモートサーバーから画像に埋め込んだコードを受け取って実行するもので、バックグラウンドページとして任意の操作を実行できる。つまり、偽拡張機能のインストールによりボットネットに組み込まれることになる。

同様のアプローチをとる偽拡張機能は他に4本発見されており、うち2本は広告ブロック、あとの2本はそれ以外の拡張機能だったという。なお、AdGuardは問題をGoogleに報告済みで、5本すべて削除されている。ユーザー数は偽広告ブロック拡張機能3本だけで2,000万人を超えるが、1億人以上が使用しているというAdblock Plusのユーザー数もChromeウェブストアでは1,000万人以上と表示されているので、AdRemoverのユーザー数だけで2,000万人を超える可能性もある。

Microsoftは16日、Windows 10 Insider Preview ビルド17134(RS4)をファーストリング向けに提供開始し、20日にはスローリングとリリースプレビューリングでも提供開始した(Windows Experience Blogの記事)。

Microsoftではビルド17133をWindows 10 バージョン1803のRTMとして3月末にサインオフしたが、ブロッキングバグが発見されて一般リリースを延期し、RTMステータスを取り消したと報じられていた。Windows 10 Insider Preview ビルド17133は3月27日にファーストリング向けの提供が始まり、4月上旬にはリリースプレビューリングでも提供が始まっている。10日には累積的更新プログラムKB4100375も提供され、ビルド17133.73となっていた。

Microsoftによれば、ビルド17133の提供リングを拡大する中、比較的高い比率でBSoDを引き起こす信頼性の問題が確認されたのだという。そのため、この問題を累積的更新プログラムで修正するのではなく、修正を含む新たなビルドを作ることに決めたとのこと。本ビルドの変更点はKB4100375の修正を含むビルド17133の問題点修正のみで、機能の追加は含まれない。Windows Insider Programを率いるMicrosoftのDona Sarkar氏は、機能更新をすべての顧客に提供する前に問題点を発見・修正するため、Windows Insider Program参加者が重要な役割を果たすことを示すものだとして、謝意を表している。

なお、Windows 10 バージョン1803が「Windows 10 April 2018 Update」と呼ばれるという話も出ているようだ(Softpediaの記事)。ただし、ビルド17134では設定アプリの「アプリ→既定のアプリ」で「アプリによって既定値を設定する」をクリックすると設定アプリがクラッシュするという問題が報告されている。MicrosoftのBrandon LeBlanc氏は広範囲に影響する問題ではないとツイートしているが、どうなるだろうか。

あるAnonymous Coward曰く、

宮城県気仙沼市魚町で建設中の防潮堤が、施工ミスで22センチ高くなってしまったそうだ（日経コンストラクション、河北新報、毎日新聞）。

原因は、東日本大震災による地盤沈下と、それが時間経過によって再び隆起した結果を反映せずに施工してしまったことにあるとのこと。東北地方太平洋沖地震（東日本大震災）では、地震直後、大規模な地盤沈下が観測されれていた。気仙沼市でも、0.7m弱の地盤沈下が起きていたが、そこから再び隆起したことから、2017年2月の次点で再び基準高さを0.28m高くする改訂が行われていた。

年平均5ミリも高くなっていたという計算になり、この値を長期的な地殻変動データで確認するとプレート境界にある山岳部並に大きい高い値となっており、改めて東北地方太平洋沖地震の凄まじさを感じる。今回のニュースはそれが直接実害として現れたと言うことのようだ。

また、この場所は、元々さらに巨大な防潮堤が計画されたものの住民の反対運動が起きていた場所の一つだった、というのが問題を複雑化させている模様。国土地理院の発表を受けて設計が変更されていたのに現場で反映されていなかった、と言う話もある。今後は、住宅の方を同じだけかさ上げするか、防潮堤を直すか、そのままかの三つの選択肢が示されているそうだ。

先日「富士フイルム、写真用白黒フィルム製品の販売を終了へ」という話があったが、銀塩写真関連サービスや製品販売を手がける写真弘社がモノクロフィルムの取り扱いを拡充するという（デジカメWatch）。

新たに135サイズおよび120サイズのモノクロフィルム「ARISTA EDU」のISO 100版「ULTRA 100」およびISO200版「ULTRA 200」の取り扱いを開始する。135サイズの価格はそれぞれ688円、813円（税別）で、これ以外のサイズについても取り寄せ可能とのこと。

Googleは17日、危険なWebサイトへのアクセスをブロックするGoogle Safe BrowsingをAndroidのWebViewでデフォルト有効にすることを発表した（Chromium Blog、9to5Google、Android Police）。

WebViewはAndroid 5.0以降でGoogle Playを通じたアップデートが提供されており、昨年6月からSafe Browsingは利用可能だが、デフォルトでは無効になっていた。今月リリースのWebView 66ではデフォルトでSafe Browsingが有効になり、WebViewを使用する開発者は特に変更の必要なく保護機能を利用できるようになるとのこと。

WebViewのSafe Browsingは既に、APIドキュメントではデフォルトで有効との記述に変更されている。開発者はベータ版のWebViewを使用してテストURL（chrome://safe-browsing/match?type=malware）にアクセスすれば、アプリでの動作を確認できる。

海賊版サイト「漫画村」内に、別のサイトに出稿されていた広告を閲覧したかのように見せかける仕組みが導入されていたという（NHK）。

行われたのは、サイト内にIFRAMEタグを使って別のサイトをロードさせ、かつそれを非表示に設定するという手法。これによって実際には広告が表示されていないにも関わらず広告が表示されたかのように見せかけていたようだ。

Web広告の一部には表示された回数に応じて広告料が支払われるという契約のものがあり、こういった仕組みを使って特定のサイトの閲覧数を増やし、それによって得られた収益の一部が漫画村に渡っていた可能性があるという。こういった行為は実際には広告が閲覧されないにも関わらず広告出稿者には費用が発生するため、通常は禁止されている。

なお、漫画村の広告に関わっていた広告代理店や広告技術提供会社は1社ではないという（Yahoo!ニュースの山本一郎氏による記事）。これを受けて、広告配信プラットフォームを手がけるジーニー社が海賊版サイトへの広告配信を停止したことを明らかにした（ITmedia）。同社は他者に広告配信システムをOEM提供しており、OEM先企業が海賊版サイトに広告を出していたという。