スティーブン・キング原作の映画「IT (邦題: IT／イット “それ”が見えたら、終わり。)」はマクドナルドの宣伝だとバーガーキングロシアが主張し、公開中止を求めてロシア連邦反独占庁(FAS)に訴えたと報じられている(Hollywood Reporterの記事、 FOODBEASTの記事)。

バーガーキングロシアは作品に登場する殺人ピエロ(クラウン)、ペニーワイズがロナルド・マクドナルド(ドナルド)にそっくりなので、マクドナルドの宣伝になっていると主張しているそうだ。FASの広報担当者はHollywood Reporterに対し訴えがあったことを認めたうえで、作品の内容を問題にすることはないが、宣伝が含まれているかどうかは確認すると期限は示さずに述べたとのこと。

攻撃用に細工したSMBサーバーを用い、Windowsのアンチウイルスプログラムによるマルウェア検出を避けるという攻撃手法「Illusion Gap」について、セキュリティ企業CyberArkが解説している(CyberArkのブログ記事、 Neowinの記事、 Bleeping Computerの記事、 The Registerの記事)。

アンチウイルスプログラムがインストールされたWindows環境でSMBサーバー上の実行ファイルを実行する場合、アンチウイルスプログラムによる安全確認後、Windowsローダーが実行ファイルを起動する。SMBサーバー側ではファイルのリクエストがアンチウイルスプログラムからのものか、Windowsローダーからのものかを識別できるため、前者では安全なファイルを返し、後者で悪意あるファイルを返すことでウイルススキャンをバイパスしてマルウェアを実行させることができるという。

あるAnonymous Coward 曰く、

10年前に「10年後には無くなっていそうな商売トップ10」というストーリーが掲載されていたので、答え合わせをしてみたい。 ちなみにタレコミ掲載の予想は

• レコード屋
• カメラフィルム製造
• 農薬散布パイロット
• ゲイバー
• 新聞
• 公衆電話
• 古本屋
• 貯金箱
• 電話マーケティング
• コインを入れるアーケードゲーム

だった。

現在はなくなってしまったが、10年前には存在した商売にはどんなものがあるだろうか。

AppleはMacのOS/セキュリティアップデートにEFIファームウェアのアップデートを含めているが、最新のアップデートを適用していてもEFIが最新版になっていないことがあるという調査結果をDuo SecurityのDuo Labsが発表した(Duo Labsのブログ記事、 ホワイトペーパー: PDF、 Mac Rumorsの記事、 Ars Technicaの記事)。

Duo LabsではOS X 10.10からmacOS 10.12.6までの各バージョンで、同梱されているEFIファームウェアと対象モデル、OSバージョン/ビルドのリストを作成。企業で使われている73,324台のMacを対象にOSバージョン/ビルドとファームウェアバージョンを調査している。ファームウェアの問題はMacに限らないが、MacではAppleがハードウェアからファームウェア、OSまでをコントロールしていることからMacエコシステムを調査対象にしたそうだ。

調査した73,324台中、OS X 10.10～macOS 10.12.6を実行していたのは65,853台であり、うち4.2%以上がOSバージョンから想定されるバージョンよりも古いEFIファームウェアを使用していたという。中でも古いEFIファームウェアの比率が最も高かったのはiMac16,2(Retina 4K、21.5-inch、Late 2015)の43%で、2016年モデルのMacBook Pro全機種(MacBookPro13,1～3)が35%～25%で続く。機種によってはOSバージョンにかかわらず1度もEFIファームウェアのアップデートが提供されていないものもあるとのこと。

Internet Explorer(IE)でユーザーがアドレスバーに入力した文字列をWebページから読み取れるというバグが発見された(Broken Browserの記事、 Neowinの記事、 Ars Technicaの記事、 動画)。

このバグはobjectタグ内でスクリプトを実行する場合にドキュメントモードが「8」以前に設定されていると、最上位階層(window==top)のドキュメント内で実行していると認識されてしまうことによるものだ。そのため、metaタグで互換表示を指定し、objectタグで指定したWebドキュメント内でスクリプトを実行してlocation.hrefを読み取ると、アドレスバーで指定されているURLが返ってくる。

これだけでは攻撃者が取得できるのは自分のWebページのURLだが、window.onbeforeunloadイベントでobjectを注入すると遷移先のURLが取得できる。つまり、被害者が攻撃者のWebページを表示した状態でアドレスバーからWeb検索を実行すると、検索語句を含むサーチエンジンのURLを取得可能となる。IE 11の最新版に追加されている検索ボックスからの検索でも結果は同じだ。また、URLをアドレスボックスに直接入力した場合や、お気に入りの項目を開いた場合にも指定先のURLを取得できる。

PoCでは遷移先のURLを表示し、遷移を中断させるようになっている。ただし、そのまま遷移してしまうこともあるようだ。

HMD Globalは9月28日、新Nokia 3310の3G対応版となる「Nokia 3310 3G」を発表した(プレスリリース、 GSMArenaの記事、 The Registerの記事、 The Next Webの記事)。

今年発売された新Nokia 3310は、Nokiaのベストセラー「Nokia 3310」を現代によみがえらせたフィーチャーフォン。オリジナルに搭載されていたゲーム「Snake」がプレイできることも話題を呼び、2G(GSM 900/1800MHz)のみの対応ながらヒット商品となった。Nokia 3310 3Gはボディーサイズが高さ・幅・厚みともに新Nokia 3310(以降「2G版」)よりも1mm前後大きくなっており、単に3Gに対応させただけのモデルではないようだ。写真を見比べると、Nokia 3310 3Gはやや幅広で角ばったデザインになっている。カラーバリエーションも変更された。

東日本大震災から6年経った現在も、津波による漂流物が生きた沿岸性海洋生物を乗せ、太平洋を渡って北米やハワイに漂着し続けているそうだ(ウィリアムズ大学のニュース記事、 The Washington Postの記事、 The Vergeの記事、 論文アブストラクト)。

米ウィリアムズ大学の海洋生物学者を中心とした研究チームでは、ハワイとアラスカ、米西海岸のボランティアでネットワークを作り、2012年以降に漂着した600個の漂着物を調査。その結果、日本の沿岸性海洋生物16門289種が生きた状態で確認されたという。

2012年に米国・オレゴン州の海岸へ漂着した浮桟橋では日本沿岸の海洋生物が生きたまま確認されているが、これまで沿岸性海洋生物は外洋で2年以上生存できないと考えられていた。しかし、津波の漂流物にはプラスチックなど生分解されない素材のものも多く、沿岸性海洋生物の長期生存が可能になっているようだ。

世界200か国近くで毎年1,000万トン以上のプラスチックごみが海に流されており、津波に限らず台風やハリケーンなどで外洋に出ることもある。現在のところ米国に流れ着いた日本の沿岸性海洋生物が在来種を脅かしているという証拠はないが、問題ないとするのは早計だと研究者は述べているとのことだ。

Googleが開発した布地「Jacquard」を袖口に搭載し、ペアリングしたスマートフォンの操作が可能な自転車利用者向けジャケットをリーバイスが米国で発売するそうだ(製品情報、 The Keywordブログの記事、 The Registerの記事、 The Vergeの記事)。

このジャケット「Levi's Commuter Trucker Jacket with Jacquard by Google」は、Levi's Commuterシリーズのトラッカージャケットの袖口にJacquardを配したもの。Jacquard部分にはめ込んで使用するスナップタグが付属する。Jacquardはジャカード織機から名前を取ったようだ。

スナップタグはBluetoothや通知機能を備えており、ペアリングしたスマートフォン側のアプリで操作を割り当てることで、袖を払う/ダブルタップするといった動作で音楽プレイヤーやナビゲーションなどの操作が可能になる。対応スマートフォンはAndroid(6.0.1以降)およびiPhone(iPhone 6以降+iOS 10以降)となっている。

発売日は10月2日となっているが、リーバイス製品を取り扱う小売店3店舗で9月27日から先行発売されている。価格は350ドル。スナップタグを取り外した状態で洗濯可能だが、洗濯に耐えるのは最大10回までとのことだ。

ICANNは9月27日、ルートゾーンDNSSECのKSK(鍵署名鍵)を更新するKSKロールオーバー計画で、10月11日に予定していた新KSKによるルートゾーン鍵セットの署名開始を延期すると発表した(ICANNの発表、 INTERNET Watchの記事、 JPRSの資料)。

これについて hylom 曰く、

最近の調査でキャッシュDNSサーバーの相当数がこれに対応できていないことが分かったためだという。少なくとも年内は新KSKによる署名は開始されず、新たな日程は2018年第１四半期を目処に調整中とのこと。

ICANNによれば、予定通りにKSKロールオーバーを実施した場合、世界のインターネットユーザーの4分の1に相当する7億5千万人が影響を受けるとのことだ。

GoogleがNexusのヘルプページを更新し、Nexus 5XおよびNexus 6Pのセキュリティアップデート提供保証期限を2か月延長した(Nexusヘルプ、 Neowinの記事、 Softpediaの記事)。

これまでNexus 5X/6Pのセキュリティアップデート提供保証期限は2018年9月となっていたが、2018年11月に変更されている。これにともない、サポートの提供保証期限も2018年11月に変更された。Androidバージョンアップデートの提供保証期限については変更されておらず、2017年9月のままになっている。

米連邦通信委員会(FCC)は9月28日、iPhoneでFMラジオ機能を有効化するようAppleに要請するFCC委員長Ajit Pai氏の声明を発表した(ニュースリリース: PDF、 The Vergeの記事、 Ars Technicaの記事、 9to5Macの記事)。

米国で販売されるスマートフォンの多くはFMラジオ機能を含むチップを搭載しているが、FMラジオ機能が有効にされていないものが多かった。FCCでは災害により通信機能が途絶えた際の情報収集に役立つとして、FMラジオ機能の有効化をスマートフォンメーカーに要請している。この要請に大手メーカーの多くが応じているが、Appleは抵抗を続けているという。

Pai氏の声明はHarveyやIrma、Mariaといった強いハリケーンの被害が続いたことを念頭に置いたものだ。Pai氏はAppleに対して米国の人々の安全を第一に考え、正しいことをするよう求めている。ただし、FCCではFMラジオ機能の有効化をメーカーに強制しないというスタンスをとっており、今回も強い調子ではあるが、あくまで要請という形になっている。

これに対しAppleは、ユーザーの安全を非常に重視しており、現代的な安全対策を製品に組み込んでいると主張。緊急通報サービスに発信できることやMedical IDをロック画面で確認できること、政府の緊急警報サービスを利用できることを挙げている。また、iPhone 7とiPhone 8にはFMラジオチップが搭載されておらず、FMラジオ信号に対応したアンテナも搭載されていないため、FMラジオ受信機能を有効にすることはできないと述べているとのことだ。

Excelに今後「新しいデータ型」が導入されるという（TechCrunch）。

Excelでは現在セルに文字列および数字、数式といった情報を入力できるが、これらに限らない「豊富なデータ型」が使えるようになるという。さらに、入力されたデータがどのようなデータなのかを自動認識したり、関連情報を必要に応じて自動的に検索・収集する機能なども導入されるそうだ。

あるAnonymous Coward曰く、

台湾のスクーターメーカーキムコが、スマートメーターを搭載したスクーターを11月1日発売するそうだ（carview!）。

「noodoe（ヌードー）」と名付けられたこのスマートメーターは、スマートフォンとBluetoothで通信できるのが特徴。メーター表示をカスタマイズしたり、スマートフォンの通知情報を表示するといった機能があるという。ただし安全上の予防措置として、メッセージや通知を読むことが出来るのは車両が完全に停止した時に限られるようだ。

このスマートメーターを搭載した150ccの軽二輪スクーター「Racing S150」の価格は33万4,000円。

あるAnonymous Coward曰く、

オーストラリア政府が宇宙機関の設立を発表した（BBC、Engadget Japanese、Yahoo!News、Slashdot）。

オーストラリアには日本のJAXAや米国のNASAに相当するような宇宙機関がいままで存在していなかったとのこと。今後宇宙関連産業は成長すると見込んでいるほか、他国との協調の際に不利だったという背景があるそうだ。

なお、経済協力開発機構（OECD）加盟国で宇宙機関がないのはオーストラリアとアイスランドのみだという。

あるAnonymous Coward 曰く、

NTT東日本が受注していた旭川医科大学病院の電子カルテ・情報管理システムの納入遅延を受けて両者が争っていた裁判で、札幌高裁が8月31日、旭川医科大学に対しNTT東日本に約14億1500万円を支払うよう命じる判決を出した（毎日新聞）。この裁判では昨年3月、旭川地裁が旭川医大からNTT東に約3億8300万円、NTT東から旭川医大に約3億6500万円を支払うという内容の賠償命令が出ていたが（産経新聞）、それが覆されたものとなる。

背景については日経ITproの記事が詳しいが、追加の仕様変更を繰り返した旭川医大側に100%の責任があるとして、医大側の全面敗訴となる判決になったようだ。

この病院情報管理システムは2008年8月に入札が実施されNTT東が落札したもの。当初は日本IBMと共同開発したパッケージをカスタマイズして導入するという計画だったが、2009年3月に医大側は現行システムの機能全てが必要と主張して625項目の追加開発を要請したという。2009年9月にリリースの2010年1月への延期と仕様凍結で両社が合意したが、その後も旭川医大側は171項目の追加要望を出したという。

最終的に本番システムの稼働予定である2010年1月にはシステムの引き渡しを行えず、2010年4月に旭川医大は契約解除を通告。その後、NTT東は約22億8000万円の損害賠償を求めて旭川医大を提訴。また、旭川医大はNTT東に対し逸失利益などの損害賠償約19億4000万円を求めて提訴する事態となっていた。

裁判では、一審、控訴審ともに旭川医大側に義務違反があると認定。いっぽう、NTT東については一審では追加要望で開発が遅延すると予測できる場合に拒絶などの適切な対応を行うべきだったとしてマネジメント義務違反があるとしていたが、控訴審ではNTT東が追加要望を受け入れれば開発に遅延が生じてシステム稼働予定に間に合わなくなると繰り返し説明していたことや、仕様凍結合意を行っていたことからマネジメント義務には違反していないと認定した。