デジタル庁が報道機関向けのメールを誤送信したことが報じられている。これにより、関係者のアドレス約400件が外部に流出した模様。記事によれば、本来BCC欄に記載するべきアドレスを、CC欄に記載していたことが原因とされている。誤送信は24日午後2時40分ごろ、デンマークとデジタル分野における協力覚書を締結したとするプレスリリースの送信時に発生したという。同庁は送信から約4時間後に気がついたようで、午後6時56分ごろ同内容のメールを再送、誤送信したメールを破棄するよう報道各社に求めたとのこと（ITmedia）。

maia 曰く、

今どきこういうやらかしはどうかと思う。デジタル庁のデジタルリテラシーはどうなっておるのか、

headless 曰く、

Apple はトルコでの通貨危機深刻化を受けて製品の販売を一時中止していたが、大幅な値上げを実施して販売を再開したようだ (Report.az の記事、 Mac Rumors の記事、 Neowin の記事、 9to5Mac の記事)。

1 トルコリラは対米ドル比で 2 月に 0.14 ドル台まで上昇したものの 3 月には下落し、4 月 ～ 9 月は 0.11ドル ～ 0.12 ドル台で推移していた。しかし、10 月下旬には 0.10 ドル台まで下落しており、11 月 18 日にトルコ中央銀行がインフレ下にもかかわらず政策金利引き下げを発表したため、23 日には 0.080 ドル台まで暴落した。年初との比較ではおよそ 40 % の下落となる。

これを受けて Apple はトルコのオンラインストアでの販売を 23 日に停止。翌 24 日には実店舗での販売も停止した。そのためイスタンブールに 3 か所ある Apple Store では店の前に行列ができ、スタッフは Genius Bar でのサービスが目的の客のみを入店させていたという。Apple Store で販売を停止した理由は不明だが、品切れになったためだという話も出ている。

その後 26 日には販売が再開されているが、平均で 25 % の値上げが行われたとのことだ。

米通信会社のAT&TとVerizon Communicationsは、5G信号を送信する基地局と航空機の信号と干渉するのを防ぐ目的から、基地局からの送信出力レベルを全米で引き下げる方針であるという。米国連邦通信委員会（FCC）の委員長代行宛ての書簡の中で判明したそうだ（CNET）。

両社はCバンド帯で5G信号を送信する場合、基地局からの送信出力レベルを引き下げる。さらに地方の空港や公共のヘリポートに近い場所では、さらに厳しい出力制限を課す方針であるという。この措置は米連邦航空局（FAA）が、Cバンドの5G信号を送信する設備が航空機の着陸を支援する自動操縦システムなどに干渉する可能性があると指摘したことによる措置であるという。なお、Verizon Communicationsは2021年2月に電波オークションでCバンド周波数帯を約455億ドル（約4.8兆円）で落札している（モーニングスター）。

あるAnonymous Coward 曰く、

Microsoftは開発環境を含むWinows 11 Enterpriseの仮想マシンを無償公開した(Windows 10 の開発環境を取得する)。VMWare、Hyper-V、VirtualBox、Parallels用のファイルがダウンロードできる。VMにはWindows 11 Enterpriseの評価版、Windows 10 SDKバージョン2004、Visual Studio 2019、Visual Studio Code、WSL上のUbuntu、Windows ターミナルが含まれ、開発者モードが有効化されている。評価版の使用期限は2022年1月9日まで。

インポートして確認してみたが、少なくともVMware用の仮想マシンにはTPMが構成されていなかった。TPMのない構成は非サポートではなかったのだろうか。

auの新料金プラン「povo2.0」で25日、アプリやWebサイト上のマイページが使えなくなるという障害が起きたという。この障害は25日8時~10時10分ごろに発生、auからは解消策として「povo2.0アプリ」を削除ののち再インストールするよう案内が行われた。ブラウザでアクセスするマイページは利用可能だった。この件で同社は、アプリの再インストールなどに必要なデータ容量300MB（3日間）のプロモコードを公開している。コードの利用期限は2021年12月31日までとのこと（au、ケータイ Watch、ITmedia、関連過去記事）。

Appleが10月末に「M1 PRO」などを搭載したMacBook Proを発売したが、シリコンバレーのテクノロジー企業は、この新型MacBook Proの上位モデルをUberやTwitterらはエンジニアに支給し始めたという。性能がもたらす価値から新MacBook Proは高くないとするのが彼らの主張だ（TECH+ ）。

TECH+の記事によれば、PC性能が仕事効率に直結するエンジニアに限った話と考えがちだが、生産性のコストは規模の違いことあるものの、エンジニア以外の業務でも大きいという。高性能な機種と普及価格帯の機種で生じる生産性の差が5％だと仮定した場合、年収8万ドルの従業員の生産性が5％落ちると年間4000ドルの損失になるとされ、記事では、その仕事で最大の生産性を引き出せるデバイスを配布しないことにより起きる損失に比べると小さなコストであるとしている。

maia 曰く、

アストロスケールホールディングスが第三者割当増資で約124億円を調達した。6回目の資金調達で、累計調達額は334億円となった（日経、ニュースリリース）。スペースデブリ除去衛星の量産施設の整備や技術開発などに充てる。アストロスケールは、運用終了衛星の除去、デブリの除去、静止衛星の軌道修正で寿命延長といったサービスを目指している。2021年3月には技術実証衛星「ELSA-d」を打ち上げ、現在動作実験を行っている。今後、商用化衛星「ELSA-M」を量産する計画。英国でエルサMを同時に複数機製造できる工場を建設中。日本ではエルサMに加え、JAXAと共同開発する別の大型デブリ除去衛星の工場も建設する予定。

LINEの提供するキャッシュレス決済サービス「LINE Pay」で、26日から27日にかけて一部利用者の間で二重払いが発生するシステム障害が発生した。同社は27日夜に返金手続きを終えたとしている。この障害はLINEとJCBが発行したプリペイドカードでチャージした利用者の約1万8千人が行った2万5000件ほどの決済で起きた。金額では約7400万円ほどの被害が発生した模様。原因はJCB側から送られる決済データを、LINEペイ側のシステムが二重に読み込んだためとしている。LINE Payでは25日も決済や送金などが1時間ほどできなくなるトラブルが起きている（共同通信、日経新聞、時事ドットコム）。

金融庁は11月26日、みずほ銀行およびみずほフィナンシャルグループに対して業務改善命令を出した。同社は今年の2月から9月という短期間で計8回のシステム障害を起こしており、金融庁は「日本の決済システムに対する信頼感を損ねた」と指摘した。改善命令として出された指摘は非常に厳しいもので、同社経営陣はシステムの実態を理解できず保守運用に必要な人員や費用を削減したことにより、十分な品質保証や検証ができない状況にある。これを改善して再発防止するように命じている（金融庁、ITmedia）。

業務改善命令のうち、中でも下記の処分の理由の9番目の項目については、金融庁の怒りを凝縮した内容ではないかとする指摘も見られるようだ。

（1）システムに係るリスクと専門性の軽視 （2）IT現場の実態軽視 （3）顧客影響に対する感度の欠如、営業現場の実態軽視 （4）言うべきことを言わない、言われたことだけしかしない姿勢

結果として坂井辰史FG社長ら3トップが退任に追い込まれる事態となっている。また朝日新聞によれば、金融庁側は坂井氏ら経営陣が業績だけを重視した結果、現場に強いコスト削減圧力がかかり、これによりシステム障害を繰り返すようになったと考えていたようだ（朝日新聞）。

Collins Dictionary は 11 月 24 日、2021 年を代表する言葉「Word of the Year 2021」として「NFT」を選んだと発表した。 (Collins Dictionary Language Blog の記事、 Neowin の記事、 Mashable の記事、 Ars Technica の記事)。

NFT は Non-Fungible Token (代替不可能なトークン) の頭字語で、Collins Dictionary では略語として「アートワークやコレクターズアイテムの所有者を示すためにブロックチェイン上に記録されたユニークなデジタル証明書」、名詞として 「NFT によりその所有権が記録された資産」と定義している。2021 年はインターネットミームなどが NFT としてオークションに出品され、高額で落札されて注目を集めた。

新語 7 つを含む 10 の 2021 年を代表する言葉のショートリストでは、テクノロジー関連用語 として NFT のほかに「metaverse (名詞: メタバース)」と「crypto (名詞、口語: 暗号通貨 cryptocurrency の短縮形)」が含まれているとのこと。そのほかショートリストに残った言葉は以下の通り。

• double-vaxxed (形容詞、口語) : ある疾病に対するワクチンを2回接種した
• hybrid working (名詞) : 自宅とオフィスなど複数の異なる環境で交互に仕事をすること
• pingdemic (名詞、口語) : (COVID-19) 接触通知アプリにより広範囲の人々に送られる通知
• climate anxiety (名詞) : 気候変動への懸念により苦痛を感じている状態
• neopronoun (名詞) : 最近作られた代名詞、特に「xe」「ze」「ve」などジェンダーの明示を避けるよう作られたもの
• Regencycore (名詞) : テレビドラマ「ブリジャートン家」でみられる英摂政時代 (1811～1820) の上流階級の衣服をイメージした服装
• cheugy (形容詞、スラング) : 以前はかっこいい・ファッショナブルだと考えられていたが、今はそうではなくなっているもの

Googleによれば、攻撃者に乗っ取られたGoogle Cloud インスタンスの大半が暗号通貨採掘に使われることになるそうだ (Google - Threat Horizons November 2021 Issue 1、 Neowin の記事、 The Guardian の記事)。

Google の 2021 年 11 月版 Threat Horizons によると、乗っ取り被害にあった直近の 50 インスタンスのうち、86 % が暗号通貨採掘に使われていたという。また、10 % がインターネット上の他のターゲットするポートスキャンを、8 % が攻撃を実行していたそうだ。このほか、6 % がマルウェア、4 % が不正コンテンツをホストし、DDoS ボットの実行やスパムの送信に使われるものもそれぞれ 2 % あったとのことだ。

ある Anonymous Coward 曰く、

世界保健機関 (WHO) は 11 月 26 日、SARS-CoV-2 (新型コロナウイルス) の変異株「B.1.1.529」に「オミクロン」株と命名すると発表した (ニュースリリース)。

カテゴリは最も警戒レベルの高い「懸念される変異株」 (VOC: variant of concern)。VOC となった変異株はアルファ、ベータ、ガンマ、デルタに次ぐ 5 番目となる。

変異株はミュー (μ) まで命名されていたので次はニュー (ν) かと思われたが、クサイ (ξ) と共に飛ばされた。飛ばされた理由について、ニューは同じ発音の New との混同を避けるため、クサイは特定の地域との混同を避けるためだとされるが、クサイ (Xi) は中国の習近平国家主席の「習」と同じ綴りなのでそれを避けるためという見方も出ている (朝日新聞GLOBE+ の記事、 New York Post の記事)。

タレコミ時点で命名された変異株のカテゴリは以下の通り

• 「懸念される変異株」：アルファ、ベータ、ガンマ、デルタ、オミクロン
• 「注目すべき変異株」：ラムダ、ミュー
• 過去に「注目すべき変異株」だった「監視すべき変異株」：カッパ、イオタ、イータ
• 過去に「注目すべき変異株」だったが除外された変異株：イプシロン、ゼータ、シータ

ローマカトリックの女性修道会 Congregation of the Sisters of St. Joseph of Peace (CSJP) が Microsoft のポリシーに関し、2 件の株主提案を行っているそうだ (The Next Web の記事、 Protocol の記事、 CSJP Sisters のツイート、 動画)。

CSJP は平和のための社会活動を行うほか、株主として企業の意思決定に関与する活動を数十年にわたって行っているという。今回 CSJP は Microsoft に対し、1) Microsoft が主張する人権や環境の取り組みに反するロビー活動を行わないこと (PDF)、2) すべての政府機関に対する顔認識技術の提供を取りやめること (PDF)、の 2 件を株主提案しており、11 月 30 日の株主総会で採決が行われるとのことだ。

Twitter は 22 日、商品を紹介するライブストリーミングを視聴しながらショッピングができる Live Shopping を発表した (Twitter のブログ記事、 Walmart のツイート、 Mashable の記事)。

Live Shopping のテストは Walmart とのコラボレーションによって行われており、日本時間 11 月 29 日 9 時には実際に商品を購入可能な初の Live Shopping ショーが ＠Walmart で行われる。ジェイソン・デルーロが出演する 30 分間のショーはデスクトップおよび iOS で視聴可能で、デルーロが電気製品などさまざまな製品を紹介するほか、サプライズゲストの出演もあるとのことだ。

Microsoft の脆弱性報告報奨金プログラムに不満を感じていたセキュリティリサーチャーの Abdelhamid Naceri 氏が Windows のゼロデイ脆弱性の PoC を公開したのだが、翌日にはこれを使用したマルウェアサンプルが検出され始めたそうだ (BleepingComputer の記事 [1]、 [2]、 Cisco Talos Intelligence Group の記事、 Neowin の記事)。

Naceri 氏は Trend Micro の Zero Day Initiative でいくつもの脆弱性を報告しており、11 月の月例更新で Microsoft が修正した脆弱性 CVE-2021-41379 もその一つだ。この脆弱性は Windows Installer サービスに存在し、攻撃者はジャンクションを作成することでサービスにファイルやディレクトリを削除させることができる。脆弱性を利用して SYSTEM のコンテキストで任意コードを実行することも可能だという。

Naceri 氏が 11 月の月例更新での修正を調査したところ、バグは完全に修正されておらず、修正のバイパスが可能であることに加えてゼロデイとなる脆弱性のバリアントも発見する。そこで Naceri 氏はバイパスではなくバリアントの PoC を公開することにしたそうだ。脆弱性は CVE-2021-41379 と同様、最新のパッチをすべて適用した Windows 11 / Server 2022 を含めてサポートされる Windows 全バージョンに影響する。

PoC は Microsoft Edge Elevation Service の DACL を上書きし、それ自身をサービスの場所にコピーして実行することで昇格した権限を取得する。このサービスがない Windows Server 2016 / 2019 などでも任意のファイルを指定して権限の昇格が可能なようにしてあるとのこと。

脆弱性はその複雑さからバイナリに直接パッチを当てると Windows Installer が機能しなくなる可能性も高く、Naceri 氏は Microsoft の修正を待つのが最も安全な対策だと述べている。ゼロデイ脆弱性を公表した理由について、Naceri 氏は Microsoft の報奨金プログラムが 2020 年 4 月に大幅劣化したと述べ、それがなければゼロデイを公表することもなかったと BleepingComputer に説明したそうだ。

Cisco Talos によれば、マルウェアサンプル数の少なさから見て現時点では本格的な攻撃キャンペーンに向けた準備を行っている段階とみられるが、攻撃者が入手可能になったエクスプロイトの悪用を始めるまでに要する時間がわずかであることを示すものとのことだ。