MozillaがFirefox 61を目標に、HTTP/HTTPSページでFTPからのサブリソース読み込みをブロックする計画を進めているそうだ(mozilla.dev.platformのGoogleグループ投稿、 The Registerの記事、 Bleeping Computerの記事)。

Google Chromeでは既にFTPサブリソース読み込みをブロックしている。Firefoxでは攻撃者がFTPを使用することでクロスサイト認証(XSA)攻撃(※)の警告表示をバイパスできる問題(バグ1361848)があり、この解決方法としてChromium.orgの議論などから発想を得てBugzillaで提案されたらしい。このバグ以外にも、サブリソースをブロックすることでFTP関連のセキュリティ問題は多くが解決できると考えられるとのこと。

FTPサブリソースのブロッキングはFirefox Nightlyでは既に実装されているようで、サンドボックス化されたiframeを含め、HTTP/HTTPSページのFTPサブリソース読み込みはデフォルトですべてブロックされるという。Chromium.orgの議論ではブロッキングによる問題が発生したという報告が出ていることもあり、ブロッキングの有効/無効を切り替えるプリファレンスも追加されるようだ。

※ クロスサイト認証攻撃はCSRF攻撃の一種。攻撃者はコントロール下のホストにHTTP認証を設定して画像を保存し、Web掲示板などに投稿する。投稿にユーザーがアクセスすると攻撃者のホストのログインフォームが表示され、Web掲示板のものと誤解したユーザーが入力するログイン情報を取得できる。Firefoxではこのようなログインフォームに対し他のサイトからのものだという警告を表示するが、バグ1361848は攻撃にFTPを使用することで警告表示をバイパスできるというものだ。

GartnerとIDCは11日、2018年第1四半期の推計PC出荷台数をそれぞれ発表した。Gartnerは88万3千台減(1.4%減)の6,168万6千台、IDCは1万4千台減(0.0%減)の6,038万3千台と推計。GartnerによればPC出荷台数は24四半期連続で減少しているが、IDCの推計値は増減を繰り返している(Gartnerのプレスリリース、 IDCのプレスリリース)。

両社は推計対象が異なり、GartnerはデスクトップPCとノートPCに加え、Microsoft Surfaceのようなプレミアムウルトラモバイルを含むが、ChromebookとiPadは除外されている。IDCの推計対象はデスクトップPCとノートPC、ワークステーションとなっており、タブレットとx86サーバーは除外されている。

上位3ベンダーはGartner・IDCともに同順位で、HP(Gartner: 1,286万台/IDC: 1,368万台、以下同)、Lenovo(1,235万台/1,231万台)、Dell(988万台/1.019万台)の順になっている。Lenovoは前年同四半期比でほぼ横ばいとなっているものの、3ベンダーとも出荷台数を増加させている。特にDellの伸び(6.5%増/6.4%増)が大きい。

Apple(426万台/400万台)はGartnerで4位、IDCでは5位となっており、Acer(383万台/409万台)がIDCで4位となっている。Gartnerの5位はAsus(390万台)で、Acerは6位。Acerは前年同四半期から大きく減少(8.6%減/7.7%減)した。一方、AppleはGartnerで1.5%増、IDCで4.8%減となっている。HP、Dell、AcerはIDCの推計値がGartnerの推計値を大きく上回っており、Chromebookが推計に含まれるかどうかの違いにもみえる。ただし、LenovoとAppleの推計値はGartnerの方が多く、総数でもGartnerの方が多い。

GartnerによるとPC出荷台数の減少が続く中、PCの平均販売価格は上昇を続けているという。コンポーネントメーカーが生産能力拡大に慎重なことでコンポーネント不足は慢性化しており、DRAM価格の影響もあって材料費は増加している。少ない販売台数で最高の利益を上げるため、PCベンダーは価格帯を引き上げ、経験価値や認知的価値の向上に注力しているとのことだ。

hylom 曰く、

Tencentは5日、中国向けゲームサービスでプレイヤーの信用度をスコア化する「騰訊遊戯信用」のポータルサイトを正式オープンした(ZDNet Japanの記事、 TencentのWeibo投稿[1]、 [2])。

スコアは頻繁にプレイすることで上がるほか、清廉な行為で上がり、悪質な行為で下がる。清廉な行為の例としては「チートアカウントを通報」「実名登録」など、悪質な行為の例としては「チャットで罵る」「違法情報を流す」「チートを行う」などが挙げられている。スコアが高いとアイテムがもらえたり、優先的にベータプログラムに参加できるといったメリットが提供されるという。

このサービス自体は昨年から行われていたようだ。

数万人の観客を集めた中国のコンサート会場で7日、警察が顔認識システムを使用した容疑者の逮捕に成功したそうだ(China Newsの記事、 中時電子報の記事、 Mashableの記事、 中国日報の記事)。

舞台となったのは江西省南昌市の南昌スポーツセンター。当日は香港スター張学友(ジャッキー・チュン)のコンサートが開催され、多くのファンが詰めかけていた。容疑者の男性は経済事件で指名手配されていたが、友人からコンサートのチケットをもらい、妻や友人とともに会場を訪れたという。しかし、人出の多さを見越した警察が顔認識システムに接続したセキュリティカメラを設置しており、開演間もなく逮捕されることになる。男性は数万人の中から発見されたことに驚き、「そうと知っていれば来なかった」と語っているそうだ。ただし、顔認識システムで容疑者の現在位置まで追跡できるわけではなく、捜査員が携帯しているスマートフォンに送られた写真と容疑者の顔を何度も見比べて確認したとのこと。

「天網」「天眼」などと呼ばれる顔認識システムを利用した容疑者逮捕は今回が初めてではなく、昨年8月には山東省青島市で開催されたビールフェスティバル会場では25人を逮捕するなど、人の集まる場所での逮捕に成果を上げているとのことだ。

GoogleがGoogle Playのデベロッパーポリシーセンターに禁止アプリとして「不正行為を助長する」という項目を追加し、偽IDカードなどの生成アプリを禁止した(Android Policeの記事、 SlashGearの記事)。

例としてはIDカードのほか社会保障番号やパスポート、卒業証書、クレジットカード、運転免許証の偽造または偽造を補助するアプリが挙げられている。ただし、これらに限定せず、ユーザーが他の人をだますのを助けるアプリが禁じられる。アプリの目的が「いたずら」や「娯楽」であっても認められることはないとのこと。現在、Google Playで「fake id」を検索すると、多数のアプリがヒットする。一見して本物ではないとわかる遊び用のものも多いようだが、この規定によると禁じられることになる。

Microsoft Researchは9日、巻いて持ち運び可能なマット型デバイス「Project Zanzibar」のプロトタイプを公開した(Microsoft Research Blogの記事、 論文、 GeekWireの記事、 SlashGearの記事)。

Project Zanzibarのマットは静電容量センサーとNFCを組み合わせ、上に置いたおもちゃなどのオブジェクトやユーザーによるマットのタッチ、空中でのジェスチャーを認識する。静電容量の変化により上に置いたオブジェクトの形を認識できるほか、NFCタグを付けた複数のオブジェクトをマットの表面から高さ30㎜まで個別に識別できるという。ディスプレイは備えておらず、表示画面が必要な場合にはBluetooth接続でタブレットPCなどに出力可能だ。

おもちゃを使うシナリオでは、おもちゃ同士の位置関係を検出して状況に応じたセリフをしゃべらせて遊ぶほか、接続したデバイスの画面にアバターを表示してビデオゲームをプレイしたり、コマ撮り動画を作成したりといったことが可能だ。また、カードを使用した文字・単語の学習やゲーム、プログラミング学習といったシナリオも例として挙げられている。動画ではMRデバイスと組み合わせて使用する様子もみられる。

Project Zanzibarの詳細な研究成果は、今月下旬にカナダ・モントリオールで開催されるCHI 2018で発表予定とのことだ。

Samsungは13日、インターネット接続非対応のスマートフォンGalaxy J2 Proを韓国で発売することを発表した(Softpediaの記事、 SlashGearの記事、 プレスリリース)。

Galaxy J2 Proは5インチqHDディスプレイに1.4GHzのクアッドコアプロセッサー、リア8メガピクセル/フロント5メガピクセルのカメラなどを搭載したGalaxy Jシリーズのエントリーモデル。東南アジアではインターネット接続対応版が既に発売されているが、韓国ではモバイルデータ通信とWi-Fiを無効化し、勉強に集中したい受験生やデータ料金が気になる高齢者層をターゲットに発売するとのこと。韓国版はRAM 1.5GB、内蔵ストレージ 16GB。Bluetoothは搭載されているが、GPSは省略されているようだ。

韓国版のJ2 Proは学習に役立つ辞書アプリがプリインストールされており、18～21歳の受験生向けプロモーションも6月30日まで実施するという。期間内にJ2 Proを購入した受験生が2019年と2020年の大学受験終了後、2018年以降発売のGalaxy S/Note/Aシリーズスマートフォンを購入した場合、J2 Proを返却すればJ2 Proの購入代金が全額返金されるそうだ。

価格は199,100ウォン(約2万円)。RAM/内蔵ストレージのスペックが同じシンガポール版は198シンガポールドル(約16,000円)でデュアルSIM対応だが、韓国版はシングルSIMとなっており、対応周波数も少ない。

ドバイのThuraya Telecommunications Companyは11日、モバイル衛星サービス(MSS)業界初という衛星/地上のデュアルモードに対応するAndroidスマートフォンThuraya X5-Touchを発表した(プレスリリース、 Android Policeの記事、 SlashGearの記事)。

Thuraya X5-TouchはSIMカードスロットを2つ搭載し、衛星モードと地上モード(2G/3G/4G)で同時待ち受けが可能なフルデュアルモードを実現。Thurayaの衛星ネットワークは欧州・アフリカ・アジア・オーストラリアの160か国以上をカバーしており、無指向性衛星アンテナにより歩きながらの衛星通話も実現する。地上モードは多くの2G/3G/4G周波数に対応しているとのこと。Thurayaでは衛星/地上フルデュアルモード対応のフィーチャーフォンや、スマートフォンに衛星通信機能を追加するスリーブ製品などを発売しているが、これまで衛星通信対応のスマートフォンは製品化していなかった。

Thuraya X5-Touchは政府などの仕事で地上基地局によるカバー範囲を頻繁に出入りするユーザーがターゲットで、GPSだけでなくロシアのGLONASS、中国のBeiDou(北斗)といった衛星測位システムも利用可能だ。防水・防塵性能はIP67でMIL 810 G/Fにも準拠しており、MSS業界で最も丈夫な携帯電話だという。プレスリリースにスペック表は掲載されていないが、ゴリラガラスを採用する5.2インチのFHDタッチスクリーンディスプレイやカメラ(リア/フロント)、大容量バッテリー、専用SOSボタン、Wi-Fi/Bluetooth/NFCなどの記載がみられる。

Thuraya X5-TouchはThurayaのサービスパートナーから2018年第4四半期に提供開始予定とのことだ。

Appleが3月29日にリリースしたiOS 11.3にアップデートすると、サードパーティの修理業者を利用してApple純正でないディスプレイユニットに交換したiPhone 8のタッチスクリーンが機能しなくなる問題が発生しているそうだ(Motherboardの記事、 Mashableの記事、 SlashGearの記事、 The Guardianの記事)。

サードパーティの修理業者で部品を交換したiPhoneでは、2016年にiPhone 6/6 PlusをiOS 9にアップデートするとエラー53が発生して使用できなくなる問題が発生している。この問題はiOS 9.2.1のアップデートで修正されているが、昨年10月リリースのiOS 11.0.3でも非純正部品を使用したiPhone 6sのタッチスクリーンが反応しない問題が修正されていた。iOS 11.0.3のリリースノートには、「非純正部品の画面に交換した場合、画面の品質が損なわれ、正しく動作しなくなる可能性があります。Apple認定の画面修理は、信頼できる専門家がApple純正部品だけを使って行います。」と注記されている。

今回の問題はディスプレイユニットに搭載されているチップ部品が原因とみられており、サードパーティのパーツサプライヤーは既に対策を済ませているそうだ。しかし、これまでに修理したiPhone 8を修復するには再度筐体を開いてチップを交換する必要がある。修理業者はアップル正規サービスプロバイダプログラム(AASP)に参加すれば純正部品を入手できるが、プログラム参加は無料ではない。提供可能な修理サービスは制限され、完全に独立した修理業者ではいられなくなるため、あえてプログラムに参加しない修理業者も多いという。しかし、修理済iPhoneの動作のカギをAppleが握っていることに対する懸念も強い。米国の各州では修理する権利法制化の動きが広がっているが、Appleは強く反対している。

英国会議員で保守党副幹事長のケミ・バデノック氏が10年前に労働党国会議員のWebサイトに不正アクセスしていたことをテレビで告白し、謝罪だけで許されそうになっていることについて、LulzSecの元メンバーが批判している(The Guardianの記事[1]、 [2]、 Mail Onlineの記事、 V3の記事)。

バデノック氏はインタビューで「これまでにした一番悪いことは」という質問に答え、労働党議員のWebサイトをハックして保守党にとって良いことを言っているように書き換えたと述べている。この際に労働党議員の名前は挙げていないが、Mail On Sundayの取材に対してハリエット・ハーマン議員のWebサイトだったことを明らかにし、馬鹿ないたずらをしたと謝罪している。改ざんの内容は当時ロンドン市長選に出馬していた保守党のボリス・ジョンソン氏(現国会議員)をハーマン氏が支持しているといったものだったようだ。これについて謝罪文を受け取ったハーマン氏は、謝罪を受け入れたとツイートしている。

バデノック氏の行為は英コンピューター不正使用法(CMA)により実刑判決を受ける可能性もあるが、保守党本部では若さがあふれ出たものであり、パスワードの予想が運よく当たっただけで本当のハッキングではないと擁護している。ただし、CMAでは高度な技術を駆使した不正アクセスと運よくパスワードを当てた不正アクセスを区別しない。

MicrosoftがWindows 10 バージョン1803(RS4)のRTMとしてサインオフしていたビルド17133について、RTMステータスを取り消したとWindows Centralが報じている(Windows Centralの記事、 Neowinの記事、 On MSFTの記事、 BetaNewsの記事)。

Windows 10 Insider Preview ビルド17133は3月27日にファーストリング向けの提供が始まり、3月30日にはスローリング、4月5日にはリリースプレビューリングでも提供が始まった。さらに10日には累積更新プログラム(KB4100375)がすべてのリングに配信されてビルド17133.73となり、一般リリースも近いとみられていた。しかし翌11日、ブロッキングバグにより一般リリースが延期されたとWindows Centralが報じる。

Windows CentralのZac Bowden氏は問題がパッチで修正されると考えていたようだが、情報提供者からMicrosoftがビルド17133のRTMステータスを取り消し、新たなビルドをコンパイルしていると知らされたそうだ。さらに、Aggiornamenti Lumiaがビルド17134の存在を報じ、 BuildFeedも存在を確認している。ただし、BuildFeedによればビルド17134を新RTMと呼ぶのは時期尚早だという。また、バージョン1803は俗に「Spring Creators Update」と呼ばれているが、BuildFeedではこの名前が使われることはないとの見方を示している。

漫画の海賊版を配信しているサイト「漫画村」が、カナダ・ハーレクインからのDMCAによる削除申請によりGoogle検索結果から排除されたという（日経新聞）。

今回検索結果から排除されたのは漫画村のトップページ。SEOなどに詳しい辻正浩氏によると、「ホームに対するDMCA関係通報はこれまでも多く行われてきましたが今回初めて通った」という。また、この例は「特例」の可能性があるようだ。

いっぽう、問題の「漫画村」は4月11日からアクセスしにくい状態となっている。閉鎖したのではないかという声もあったが、4月12日には新たに「漫画タウン」というサイトが登場、「村から町に成長」などとうたっているようだ（KAI-YOU）。なお、この「漫画タウン」をうたうTwitterアカウントは

サイトのせいで漫画の売り上げ落ちたの？ほんとに落ちたの？それはサイトのせいじゃなくて出版社の努力不足だよ。これからも今のままの売り方をするなら漫画は売れないよ

などと主張している。

また、双葉社が刊行する漫画雑誌「月刊まんがタウン」はこの件を受けて「犯罪サイトと混同されませんようお願いします」とTwitterに投稿している。

KAMUI曰く、

デイリーNKジャパンの記事や産経新聞の記事などによると、北朝鮮の核施設報道などでよく名前が聞かれるようになった「38ノース」の母体である米韓研究所（USKI）が5月の閉鎖を決定、38ノースは独立した研究所となることが報じられている。

USKIはジョンズホプキンス大学ポール・H・ニッツェ高等国際関係大学院（SAIS）に設置されたシンクタンクで、2006年から韓国対外経済政策研究院（KEIP）を介して韓国政府からの資金提供を受けて運営されていた。ムン・ジェイン政権になってからUSKIへの介入が強まり、昨秋にはKEIPが現在のク・ジェフUSKI所長の交代に加えて、所長の任期を2年として新所長を任命する際にはKIEP院長との事前協議を要求。年初になってク・ジェフ氏は休職という形で辞任の意向を明らかにしていた。

これだけでも大概な介入なのだがに、更にKEIP側がUSKI副所長で38ノースの編集責任者の退陣まで要求したことからSAIS側が態度を硬化。2月には要求に対して「退任の理由が無い」として突っぱねたところ、4月になってKEIPが予算停止を通告したという。これに伴い、USKIは5月11日で閉鎖されることが決定した。なお、38ノースはカーネギー財団とマッカーサー財団からの援助により独立した研究所として存続される。

headless曰く、

世界一辛い唐辛子「Carolina Reaper」を食べたことで可逆性脳血管攣縮症候群（RCVS）を発症したとみられる症例がBMJ Case Reportsで報告されている（BMJ Case Reportsの報告書、Ars Technica、Register）。

患者は大きな病歴のない34歳の男性で、雷鳴頭痛（突発性で短時間の強い頭痛）を訴えて救急処置室に来院。症状は唐辛子コンテストに参加してCarolina Reaperを1つ食べた後、嘔吐のない吐き気に始まり、頸部と後頭部の強い痛みが頭全体に広がったという。その後2日間、数秒間の雷鳴頭痛が少なくとも2回はあり、男性は痛みに耐えかねて来院した。

男性の血圧は正常で神経学的な問題もなく、尿検査や頭部および頸部のCTにも異常はみられなかったが、CT血管造影の結果、内頚動脈と脳動脈の一部で内腔の収縮が確認される。この結果から雷鳴頭痛の原因はRCVSと推定して治療を行ったところ、症状は改善。5週間後のCT血管造影ではRCVSと関連付けられた内腔収縮も改善していたそうだ。

これまで唐辛子の摂取と冠攣縮狭心症や急性心筋梗塞を結びつける症例は報告されているが、RCVSの症例が報告されるのは初めてだという。今回の症例では血管作動性物質に接触した直後に症状が始まっていることから、Carolina ReaperがRCVSの原因になったと考えるのが妥当とのことだ。

なお、Carolina Reaperは現在ギネス世界記録で世界一辛い唐辛子 （Hottest chilli pepper）に認定されており、スコビル値は平均1,641,183スコビル。昨年は英国で248万スコビル以上という「Dragon's Breath」が開発され、Carolina Reaperの開発者も318万スコビルに達する「Pepper X」を開発しており、世界一辛い唐辛子の座は一時空位になっていたが、Carolina Reaperが以前の記録（平均1,569,300スコビル）を更新して再び世界一の座についていたようだ。

政府が漫画やアニメなどの海賊版を配信するサイトに対し、インターネット接続事業者（ISP）などに自主的な接続遮断（ブロッキング）を要請することを決定した（ITmedia、ハフィントンポスト）。

知的財産戦略本部会合・犯罪対策閣僚会議 議事次第には、海賊版配信サイトである「漫画村」と「Anitube」、「Miomio」およびこれと同一とみなされるサイトについて「ブロッキングを行うことが適当と考えられる」との見解がある。

また、ブロッキングについては「通信の秘密」の侵害であるとの議論があるが、これに対しては「緊急避難」の要件を満たすため「適法である」とされている。「緊急避難」の根拠としては「特に悪質な海賊版サイトであれば、被害額は、総額数百億円～数千億円に上ると推計される」「海賊版サイトへの削除要請やサーバー管理者などの削除要請について実質的に効果が得られていない」「回復困難な損害を生じる」などが挙げられている。

あわせて将来的に海賊版サイトへのブロッキングに関する法制度を整備するとされており、さらに静止画（書籍）のダウンロード違法化についても触れられている。

ブロッキングに対しては、日本インターネットプロバイダー協会や日本ネットワークインフォメーションセンター（JPNIC）などが「要請」に法的根拠はない、「事実上権利者団体と政府だけでの結論を押し付けることは、通信の秘密の最大の当事者である国民の理解を得られるとは考えられません」「 法的および技術的見地に基づく慎重な検討および厳密な要件の適用が必要だと考えます」など慎重な対応を求める声明を出していた（日本インターネットプロバイダー協会の声明（PDF）、日本ネットワークインフォメーションセンターの声明）。

なお、こうした著作権侵害サイトに対するブロッキングは以前から議論されており（2015年の記事）、過去には「一般的な違法情報、著作権侵害コンテンツ等にしても、被害児童に自己の画像が流通すること自体に怯えることを余儀なくさせるような児童ポルノとは根本的に異なるものであって、ブロッキングの対象とすることは許されない」という判断もあった（Geekなページ）。