匿名化されていたはずのアプリの位置情報で高位聖職者としては不適切な行動が指摘され、米カトリック司教協議会(USCCB)の事務局長が辞任した(USCCB の声明、 The Pillar の記事、 America Magazine の記事、 Ars Technica の記事)。

位置情報はゲイのソーシャルネットワーキングアプリ Grindr が匿名化してデータブローカーに販売したとされるもの。位置情報とユーザー名は結び付けられていないがデバイスごとにユニーク ID が割り振られており、特定のデバイスがデータを送信した場所と日時が確認できるという。

カトリック教会に関するニュースサイト The Pillar がデータを入手して調べたところ、2018 年から 2020 年にかけて特定のデバイスが(元)事務局長の自宅と職場のほか、ゲイバーや個人宅を訪れていることが判明したとのこと。事務局長は 2018 年の聖職者による児童虐待スキャンダルを受けて USCCB とバチカンの調整役を務めており、訪問した各地でもアプリからデータが送信されていたそうだ。

事務局長の行動に違法性はまったくないが、同性愛に反対するカトリック教会の高位聖職者としては、このようなアプリを使用するだけでもスキャンダラスといえる。そのため、事務局長はUSCCBの運営に支障をきたすことがないよう、The Pillarの記事が公開される前に辞任したとのことだ。

HP / Samsung / Xerox のプリンタードライバーに 2005 年から存在していた特権昇格の脆弱性 (CVE-2021-3438) について、発見した SentinelLabs が解説している(Sentinel Labs のブログ記事、 BetaNews の記事)。

この脆弱性は IOCTL を通じてユーザーモードから送信されたデータのサイズをカーネルドライバーが検証しないために発生する。攻撃者は実際の入力サイズよりも大きなサイズをパラメーターに指定することでバッファーオーバーランを引き起こし、SYSTEM の権限でコードを実行できる。ただし、単独で攻撃に使用する手法は見つかっておらず、実際の攻撃で使用するには他のバグと組み合わせる必要があるとのこと。

脆弱性の影響を受ける約 400 機種はすべて HP 製で、5 月 19 日に 修正版ドライバーがリリースされた。HP / Samsung のプリンターに関しては、対象機種がその後追加されている(HP / Samsung のアドバイザリー、Xerox のアドバイザリー: PDF)。

昨年 7 月に発生した Twitter アカウントの大規模侵害事件に関連して、スペインで新たな逮捕者が出たそうだ(米法務省のニュースリリース、 The Verge の記事、 Mac Rumors の記事、 The Register の記事)。

この事件では攻撃者が電話によるスピア型フィッシングの手法で Twitter 従業員から認証情報を入手し、内部ツールを用いて 130 アカウントを攻撃。このうちパスワードリセットに成功した著名人のアカウントを含む 45 アカウントでビットコインの詐取を目的とした投稿が行われた。昨年 8 月に 3 人が起訴されており、主犯格とされる未成年者 (当時) は今年 3 月に 3 年の実刑判決を受けている。

一方、今回逮捕されたのは 22 歳の英国人男性で、米国の要請を受けたスペイン国家警察がエステポナで逮捕したという。この人物は事件発生直後、関与している可能性のある SIM スワッパー「PlugWalkJoe」として KrebsOnSecurity に取り上げられていたが、事件に直接関与してはいないと The New York Times のインタビューに答えていた。KrebsOnSecurity によれば男性は昨春までスペインの大学に通っていたが、昨年7月時点では COVID-19 パンデミックによる渡航制限で帰国できずにいたという。

米法務省によれば、男性は Twitter のアカウント侵害だけでなく、TikTok や Snapchat のアカウント乗っ取りや未成年者に対するサイバーストーキングにも関与しており、コンピューターの不正アクセスと共謀、脅迫など計 10 件で訴追されているとのことだ。

2017 年にサービス終了した動画サービス Vidme の動画を埋め込んだままにしておいたことが原因で、普通のニュースサイトの普通の (古い) ニュース記事にポルノが表示される事態となった(Motherboard の記事、 Bleeping Computer の記事、 The Verge の記事、 The Register の記事)。

Vidme は投稿動画をコミュニティメンバーがキュレーションするという、YouTube と Reddit を組み合わせたようなサービスで、一時は 100 万人近いクリエイターと 2,500 万人以上の月間ユニークユーザーを抱えていたという。しかし、Google や Facebook との競争が激しくなる中、独立の VOD サービスとして持続していく道が見えないとして、2017 年にサービスを終了した(Variety の記事)。

現在、ドメイン「vid.me」へのアクセスはポルノサイト「5 Star HD Porn」のトップページにリダイレクトされるため、Vidme の動画を埋め込んでいたフレームには 5 Star HD Porn のトップページが表示されることになる。その結果、The Washington Post や HuffPost、New York Magazine、Fox Sports を含む複数のサイトで、少なくとも最近までポルノサイトのトップページが埋め込み表示されていたようだ。

Twitter で指摘されたサイトのほとんどは既に埋め込み動画を除去するなどの対応をしており、Fox Sports は該当記事自体を削除、HuffPost は Vidme の埋め込みフレームを削除するスクリプトを問題の記事だけでなく全記事に追加しているようだ。一方、まだ修正されていないサイトもある。The Verge は同サイトで調べたら Vidme 埋め込み記事が見つかったので修正したと説明しているが、ちょっと調べたら未修正の記事 (閲覧注意) も見つかった。

リコール修理後にもバッテリー発火の可能性があるとして先日注意喚起が行われた Chevrolet Bolt EV だが、GM が発火の根本的な原因を特定したとして新たなリコールを発表した(Bolt EV Recall、 The Verge の記事、 Ars Technica の記事、 SlashGear の記事)。

問題のバッテリーは LG Chem の特定の工場で製造されたものだ。GM と LG が調査した結果、2 つのまれな製造上の欠陥が 1 つのバッテリーセル内に同時に存在することが原因だと判明したという。

GM はリコールにより対象車両の欠陥バッテリーを交換する計画で、交換パーツの用意が出来次第通知する。リコールの準備ができるまでの緩和策として、1) 充電の上限が 90 % となるよう設定する 2) 可能な限り、使用後はその都度充電し、充電残量が 70 マイル (約 27 %) 未満にならないように注意する 3) 充電完了後は屋外に駐車し、一晩中充電したままにしない、ことを顧客に求めている。

また、設定の変更が苦手な顧客はディーラーに依頼してでも設定するべきであり、最初のリコールで対策となっていた診断ソフトウェアのインストールが行われていない場合はディーラーに依頼してインストールするべきとのことだ。

Amazon Games が 20 日からクローズドベータを開始した MMORPG「New World」で、プレイヤーから GPU 故障の報告が相次いだ(PC Gamer の記事、 Tom's Hardware の記事、 IGN の記事、 SlashGear の記事)。

故障が報告されたのは主に EVGA 製の GeForce RTX 3090 FTW3 グラフィックスカードで、しばらくプレイしているとファンが 100 % 回転したのちに映像が出力されなくなり、以後はシステムから認識されなくなるといった症状だ(New World Test Forums の投稿)。

同じ RTX 3090 チップを搭載していても問題が発生しない製品がある一方で、他の GPU でも発生するとの報告もみられる。Amazon はこの問題を受け、パッチをリリースしたそうだ。

米連邦航空局 (FAA) は 20 日、米民間宇宙機による宇宙旅行参加者に民間宇宙飛行士の認定証を付与する FAA Commercial Space Astronaut Wings Program のルール変更を発表した(Order 8800.2、 The Next Web の記事、 SlashGear の記事)。

プログラムは FAA 認可の元に米国内から宇宙空間へ打ち上げ・帰還した米国の民間宇宙機のフライトについて、搭乗者の申請により民間宇宙飛行士として認定するものだ。これまでは a) フライトクルーの要件を満たし、規定の訓練を受けていること、b) 地表から高度 50 マイル以上に到達したこと、という2件が申請要件となっていた。

新ルールではこれらの要件に c) フライト中に公共の安全に不可欠な活動を行ったこと、または有人宇宙飛行の安全に貢献したこと、が追加されている。そのため、宇宙旅行チケットを購入して搭乗しただけの宇宙旅行者は認定されないことになる。なお、名誉民間宇宙飛行士も規定されており、民間有人宇宙飛行に大きく貢献した個人が認定される。

米 Virgin Galactic と 米 Blue Origin は相次いで有人宇宙旅行のデモを成功させているが、これらのフライトに搭乗したリチャード・ブランソン氏やジェフ・ベゾス氏は名誉民間宇宙飛行士として認定される可能性があるかもしれない。

AC0x01 曰く、

ロスコスモスは 21 日、国際宇宙ステーション (ISS) 用の多目的実験モジュール「Nauka」の打ち上げをバイコヌール宇宙基地で実施した。複数のメディアが打ち上げ成功を報じたが、その後 Nauka のメインエンジンが起動していないらしいことが発覚した。これに伴い、Nauka と交換で廃棄予定の Pirs モジュールの分離も延期されているようである。(Space.com の記事)。

Nauka は元々 1995 年に Zarya (ISS最初のモジュール) のバックアップとして開発が始まったが、Zarya の打ち上げ成功後、科学モジュールへと改装され 2007 年に打ち上げられることになっていた。計画は延期が続き、その間にロシアは 2025 年の ISS 撤退を表明などもしたが、Nauka は最終的に ISS に向け打ち上げられることとなった(NASASpaceFlight.com の記事)。

現在はリカバリー操作を試みているということだが、十数年を掛けて打ち上げ失敗というのは避けて欲しいところである。

ロスコスモスによれば、ミッションコントロールが22日に実施した軌道修正マヌーバーで 2 回のエンジン噴射を行い、正常に動作することを確認したそうだ。23 日にはさらなる軌道修正を実施しており、24日にも実施予定とのこと。NASA のブログ記事によれば、来週のドッキングに向けて準備を進めているという。別のブログ記事で Pirs の分離・軌道離脱スケジュールは日本時間 24 日夜となっているが、Space.com によると再延期されて 25 日になったとのことだ。

Amazon が Amazon Appstore における Android App Bundle (AAB) 形式のアプリ公開フォーマットサポート計画を発表している(Appstore Blogs の記事、 Android Police の記事、 SlashGear の記事、 On MSFT の記事)。

Google Play では 2018 年から AAB 形式でのアプリ公開が可能となっており、既に 100 万本以上のアプリが AAB 形式で公開されている。8 月以降に Google Play で新規公開するアプリは AAB 形式の使用が必須となる。

一方、Amazon Appstore で AAB の使用が必須化されることはなく、既存の APK 形式を使い続けることも可能だという。Amazon Appstore では AAB サポートに向けた準備を進めている段階であり、年内に進捗状況を発表するとのことだ。

ファイザーが禁煙補助剤 CHANTIX 錠の 12 ロット分について、米国でリコールを発表している(米食品医薬品局の発表)。

CHANTIX はニコチンよりも刺激が弱い主成分のバレニクリンがニコチン受容体に結合し、ニコチンの結合を阻害することで禁煙治療を補助するもので、日本ではチャンピックス (Champix) という商品名で販売されている。しかし、他国に出荷された一部ロットでバレニクリンに由来するニトロソアミン (N-ニトロソ-バレニクリン) が検出されたことから、定量試験を実施するため 6 月に全ロットの出荷停止が発表されていた(PDF)。

今回のリコールでは CHANTIX 0.5mg 錠および 1mg 錠の両方が対象となっており、ニトロソアミンの含有量がファイザーの規定する 1 日の許容摂取量を上回るとのこと。N-ニトロソ-バレニクリンを長期間服用すれば発がんリスクが高まると考えられているが、リコール対象品の含有量は禁煙治療に使用する患者の健康に影響を与えるレベルではなく、禁煙による健康増進の利点の方が大きいとのことだ。

Microsoft は 6 月に Windows 11 を発表した際、DirectStorage テクノロジーが Windows 11 限定で提供されると説明していたが、Windows 10 でも利用可能になるようだ( DirectX Developer Blog の記事、 BetaNews の記事、 Ars Technica の記事、 Ghacks の記事 )。

DirectStorage はストレージテクノロジーの進歩に合わせ、ゲームデータのロードを高速化する DirectX ファミリーの API で、当初は Xbox Series X に Xbox Velocity Architecture の一部として導入された。昨年 9 月には Windows PC での提供計画が発表されていたが、Windows 11 発表時には Windows 11 限定で提供とされた。

Microsoft によれば、DirectStorage SDK は DirectX 12 Agility SDK と同様に Windows 10 バージョン 1909 以降と互換性があるという。ただし、Windows 11 は DirectStorage の利用を想定して構築されており、ストレージスタックが最適化されていることから DirectStorage の潜在能力全てを利用可能になるとのことだ。

中国の国家インターネット情報弁公室 (CAC) は21日、ソフト児童ポルノステッカーパック (児童軟色情表情包) を配布する国内オンラインプラットフォームに対し、期限を定めて是正を命じたと発表した(South China Morning Post の記事、 CAC のニュースリリース)。

「ソフト児童ポルノステッカーパック」が何を指すのか少しわかりにくいが、子供の普通の写真に性的な示唆を含む言葉を入れ、ソーシャルメディア投稿やインスタントメッセンジャーで使用可能なステッカー画像のパックとしてユーザーが配布しているもののようだ。このようなソフト児童ポルノステッカーパックは1月に問題化していた(新華網の記事、 光明網の記事、 The Paper の記事)。

CAC が是正を命じたのはKuaishou(快手)と QQ、Taobao、Weibo、Xiaohonshu (小紅書) の5プラットフォーム。ステッカーパックのほか、未成年による性的な内容を示唆するショートビデオについても公開の停止やアカウントの停止といった是正を罰金付きで命じたとのことだ。

minet 曰く、

2021 年 7 月 23 日の Google Doodle に、PC エンジン 〜 SFC 時代のビデオゲームを彷彿とさせるドット絵と音楽の本格的なブラウザゲームが登場した(Doodle 紹介記事、 メイキング動画)。

舞台は和風の島。ここでは4年に1度のチャンピオンシップ大会が開かれる。君は主人公の忍者猫「ラッキー」を操作して、7つのスポーツ (卓球、スケボー、弓術、ラグビー、アーティスティックスイミング、クライミング、マラソン) に挑もう。数十のサイドクエストと隠しミッションもあるとのこと。果たして彼女の真の目的とは？

Doodle ロゴをクリックするとオープニングアニメーションが流れてゲームが始まり、キーボードやゲームパッド、タッチ画面でプレイできる。Google紹介ページによると、今後数週間リアルタイムにスコアランキングが行われるという。開発はSTUDIO4℃。

敵キャラは天狗、タヌキ (ぶんぶく茶釜？)、ヨイチ (那須与一？※）、赤鬼・青鬼、乙姫、大フクロウ、キジムナー、日本全国の昔話から厳選されている。

日本とスポーツをモチーフにしたゲームということで、ある種のオリンピック勝手コラボ Doodle と言えそうだが、まさかこういう方向性で攻めてくるとはタレコミ人は思いもよらなかった。

※ 編注: メイキング動画で言及されている

Amnesty International の The Pegasus Project でイスラエル NSO Group のスパイウェア Pegasus が人権抑圧国家でジャーナリストを沈黙させ、活動家を監視して反対派をつぶすために使われていることが明らかにされたが、iOS がイメージほどセキュアでないことにも注目が集まっている(The Guardian の記事、 Ars Technica の記事、 9to5Mac の記事、 Recode の記事)。

The Pegasus Project はフランスの非営利メディア Forbidden Stories のコーディネートにより 10 か国 17 メディア組織から 80 人以上のジャーナリストが参加し、Amnesty International が最新のフォレンジック調査を実施したものだ。The Guardian などのプロジェクト参加メディアは今後数週間にわたって調査結果を報じていく計画だという。

Pegasus に関連して Apple は 2019 年、同社の OS は世界で最も安全なコンピューティングプラットフォームだと述べ、ターゲットを絞った攻撃を行なう高価なツールが存在するかもしれないが、幅広い消費者を対象とした攻撃には向いていないと述べていた。

しかし、プロジェクトでは今年 5 月時点で最新版の iOS を実行する iPhone で 10 台以上の Pegasus 感染を確認しており、2018 年以降 2021 年に至るまで複数の脆弱性がゼロクリック攻撃に使われてきたという。そのため、Amnesty International では全世界で数千台の iPhone が感染している可能性があるとの見解を示している。

Apple は今回の調査結果に対しても 2019 年と同様の説明を繰り返した。しかし、ゼロクリック攻撃を止めるための Apple の対策が不十分だという意見や、Apple は他社と協力して問題に対応すべきだといった意見も出ている。

なお、NSO Group では以前から顧客は犯罪やテロの調査に製品を使用する民主的な政府だと主張しており、今回も人権抑圧国家にツールを提供しているとの指摘に反論している。また、人権抑圧国家として名指しされた政府のいくつかはスパイウェアの使用を否定する回答を出している(The Guardian の記事 [2])。

二次電池式電気自動車 (BEV) の充電に使用する電力が火力発電を主としたものであっても、ライフサイクルを通じた温室効果ガス排出量は内燃機関エンジン自動車 (ICEV) よりも少ない、という研究報告書を NPO の国際クリーン交通委員会 (ICCT) が発表した(報告書、 PDF、 The Verge の記事)。

報告書では 2021 年に登録した中型車を 18 年間使用する条件で、ライフサイクルを通じた温室効果ガス排出量を比較している。バッテリー製造による温室効果ガス排出量が大きいことから、製造時点での排出量は BEV が ICEV を上回るが、ライフサイクルを通じた排出量では石炭火力の比率が高いインドでも BEV は ICEV より 19 % ～ 34 % 少なく、中国では 37 % ～ 45 % 少ない。再生可能エネルギーの比率が高い欧州では66%～69%少なく、米国でも 60 % ～ 68 % 少ない。2030 年の新車ではさらに差が大きくなると予想される。

BEV 製造時点での排出量はバッテリーのリサイクル技術が進めば大幅に減少すると予想されるが、バッテリーリサイクルに関する将来の技術や当局による規制の状況が不透明なため、研究では考慮していないとのことだ。