Microsoftは15日、クラウドサービス向けのカスタムチップ「Maia 100」と「Cobalt 100」という二つの新しいチップを発表した（Microsoftリリース、GIGAZINE、ZDNET）。

Maia 100はAI特化型で、Azureクラウドコンピューティングサービス向けに設計され、Microsoftのデータセンターに配備される予定。1050億個のトランジスターが集積されており、5ナノメートルプロセス技術を採用したチップとしては最大規模の製品の一つとしている。OpenAIのフィードバックを受けて開発され、大規模な言語モデルなどに適しているとしている。

一方のCobalt 100はArmアーキテクチャを採用し、クラウドネイティブプロダクト向けに高い性能と効率を提供するCPU。Cobalt 100はダイ上に128基の演算コアを搭載した64ビットプロセッサで、「Microsoft Azure」で使用されているArmベースの他のチップよりも最大で40％の性能向上が期待できるとしている。「Microsoft Teams」や「Azure SQL」を含むプログラムで既にCobalt 100が活用されているとしている。

あるAnonymous Coward 曰く、

# そういえば、SunがCobalt Networksを買収したのってメリットあったんだろうか？

headless 曰く、

Microsoft は 15 日、「Windows アプリ」のプレビュー版を公開した (アプリの概要、 利用方法、 The Verge の記事、 Neowin の記事)。

Windows アプリは Azure Virtual Desktop や Windows 365、Microsoft Dev Box、リモートデスクトップサービス、リモート PC への安全な接続を可能とするアプリで、Windows および macOS、iOS/iPadOS、ウェブブラウザーから利用可能だ。ただし、リモートデスクトップサービスおよびリモート PC への接続が可能なのは macOS 版および iOS/iPadOS 版のみであり、現在のところ Microsoft はこれらの接続をサポートしていないとのこと。

Windows 版は Microsoft Store から入手可能で、macOS 版および iOS/iPadOS 版は TestFlight を通じて提供される。ウェブブラウザー版は HTML5 対応ブラウザーで利用可能だが、Microsoft がサポートするのはデスクトップ版の Microsoft Edge/Google Chrome/Apple Safari/Mozilla Firefox となっている。

Microsoft は 9 日、Windows Server 2012/R2 ファミリーで拡張セキュリティ更新プログラム (ESU) が利用可能になったと改めて発表した (Windows IT Pro Blog の記事、 BetaNews の記事、 BleepingComputer の記事)。

Windows Server 2012/R2 の延長サポートは 10 月 10 日に終了しているが、ESU の提供計画は以前から示されており、10 月 10 日から購入可能になっていた (Windows Server 2012 のライフサイクル)。ESU は 1 年単位で 3 年間提供され、1 年目からの連続購入が必要だ。これにより、最長で 2026 年 10 月 13 日まで重要なセキュリティ更新プログラムを受け取ることが可能となる。既に Windows Server 2012/R2 を Azure へ移行している場合、ESU は無料で自動的に適用される。なお、いずれの場合も 8 月 8 日以降のサービス スタック更新プログラムの適用が必要だ。スラドの皆さんの管理下に Windows Server 2012/R2 はどれぐらいあるだろうか。

headless 曰く、

Microsoft では Microsoft Authenticator に対するパスワードレスおよび多要素認証 (MFA) リクエストについて、怪しいリクエストの場合に通知のポップアップを抑制する機能のロールアウトを 9 月末までに完了したそうだ (Microsoft Entra (Azure AD) Blog の記事、 Neowin の記事、 Ghacks の記事)。

これにより 600 万件以上の怪しい通知が防がれており、その大半はハッカーによるもので、顧客にとって価値のないものだったという。これにより、大量の MFA 通知でユーザーが誤ってリクエストを承認することを狙った MFA 疲れ攻撃を阻止したとのこと。

さらに現在では、いつもと違う場所やその他の異変を示す要素を含むなど潜在的リスクのあるリクエストの通知表示抑制も開始しているそうだ。通知表示が抑制されても通知が削除されるわけではなく、Authenticator アプリを開けば通知が表示される。ユーザーはログインリクエストが送られたアプリや場所を確認し、ログイン画面で指定された数字を入力すればログインできる。

headless 曰く、

Canonical が開催する Ubuntu Summit 2023 に Microsoft が参加するそうだ (Linux and Open Source Blog の記事、 Neowin の記事、 BetaNews の記事)。

Microsoft は .NET 8 や Windows Subsystem for Linux (WSL)、Ubuntu のスナップショットサービスと Azure の統合などに関する講演やワークショップを行うほか、AI の未来に関するパネルディスカッションにも参加する。Microsoft は Ubuntu Summit 2023 参加について、最新のテクノロジーに直接触れ、オープンソースコミュニティーと触れ合う機会として期待しているとのこと。

Ubuntu Summit 2023 は 11 月 3 日 ～ 5 日、ラトビア・リガで開催される。リモート参加のための登録は最終日まで受け付けている。

Microsoft が毎月第 2 火曜日 (日本では水曜日) に製品の更新プログラムを提供する、いわゆる「Patch Tuesday」が今月で 20 周年を迎えたそうだ (The Register の記事、 2018 年の Windows IT Pro Blog の記事、 2013 年の GeekWire の記事)。

Patch Tuesday 以前の Microsoft は更新プログラムを「ship-when-ready」方式で準備ができ次第随時提供していたが、作業のタイミングが予測できないため IT プロフェッショナルの負担が大きいほか、更新プログラム適用による再起動が月に複数回必要となる可能性があるため、ユーザーの負担にもなっていた。

Patch Tuesday が導入されたのは 2003 年 10 月。以降は更新プログラムが決まったタイミングで月 1 回提供されるようになり、負担が大幅に軽減されたとのこと。

更新プログラムの提供開始タイミングとしては太平洋時間の第 2 月曜日午前 10 時が選択されている。その理由として Microsoft では、前の週から残っている仕事を先に片づけられるようにするため月曜日を避け、その週のうちに更新プログラムのテストとデプロイの時間を十分とれるようにするため火曜日を選んだと説明している。

Windows 10ではホームユーザーへの月例更新が廃止され、更新プログラムは随時配布になどという話もあったが、結局廃止はされなかったようだ。スラドの皆さんは月例更新で助かったこと、困ったことがあっただろうか。

米Microsoftは8月17日、深度センサーカメラ「Azure Kinect Developer Kit（Azure Kinect DK）」の生産終了を発表した。追加購入は2023年10月末まで受け付けるが、今後の製品・サービス提供は中国の3DカメラメーカーOrbbecの新ブランド「Femto Bolt」に引き継がれるという。米MicrosoftとOrbbecは8月17日に、Azure Kinect DKの技術群を、パートナーエコシステムへ移行すると発表している。この移行に伴い、既存製品・アプリケーションは引き続き利用できる。販売終了後も「Femto Bolt」はAPIブリッジを提供する予定としている（Microsoftブログ、Mogura VR News、ITmedia）。

米メタ・プラットフォームズは18日、オープンソース（OSS）として提供している独自の大規模言語モデル「LLaMA（ラマ）」の商用版「LLaMA2」をリリースすると発表した。LLaMA2は2023年3月に発表された「Llama 1」の新バージョンで、研究および商用向けに無償で提供するとしている。モデルサイズは70億、130億、700億パラメーターの3種類があり、それぞれベースモデルとチャット向けに追加学習したモデルが用意される。いずれも4096トークンまでの文脈を読めるという（Metaリリース、ロイター、INTERNET Watch、ITmedia）。

同社によると、最大サイズの700億パラメーターモデルは「ChatGPT-0301」（gpt-3.5-turbo-0301とみられる）と同等とされている。メタはLLaMAをこれまで研究目的で一部の学者のみに提供していた。商用版LLaMA2はMicrosoftのクラウド「Azure」を通じて配布され、Windows OS上で動作する。メタのCEO、マーク・ザッカーバーグ氏によれば、「オープンソースにすることで、より多くの開発者が新しい技術を利用して構築できるようになるため、イノベーションが促進される」とのこと。

Microsoftは5月23日、社内用Linuxディストリビューションとして開発していた「Azure Linux」を正式リリースしたと発表した。Azure LinuxはAzure Kubernetes Service (AKS) 用に最適化されたオープンソースなコンテナホストOS。軽量で安全かつ信頼性の高いOSプラットフォームだとしている。Microsoftが完全新規で開発しており、搭載するパッケージの数を可能な限り少なくすることで、脆弱性やエラーの発生率を低下させているとのこと（gihyo.jp、Introducing the Azure Linux container host for AKS、GIGAZINE）。

あるAnonymous Coward 曰く、

Microsoftが他のディストリビューションをベースにしたりフォークするのではなく、スクラッチからAzure Linuxを構築した理由として、〜に加え、LinuxとMicrosoftの⁠”歴史⁠”に起因していることを明らかにしている。

「 2001年のバルマーの発言などに、いまでも嫌な感情を残したままの人は多い。だから我々は既存のLinuxディストリビューションをベースに選ばなかった。過去の出来事を思い起こさせて嫌な気持ちにさせたりしないためにも、自分たちのニーズに適したものを作るなら、自分たちの手でスクラッチからビルドする必要があった。」

クラウドセキュリティ企業 Wiz の調べによると、Azure AD のマルチテナントアプリは25%が適切なアクセス制限をするよう構成されていないそうだ (Wiz のブログ記事、 MSRC Blog の記事)。

マルチテナントアプリの誤構成は Microsoft の複数のアプリでもみられ、Wiz が発見した Bing の脆弱性「BingBang」は「Bing Trivia」アプリの誤構成が原因となっている。Bing Trivia アプリには Bing 検索結果に表示されるカルーセルの内容を設定する機能が含まれており、検索結果を改変して XSS 攻撃を実行することで Office 365 ユーザーのデータにアクセス可能な JWT トークンが取得できたという。

Wiz は MSRC へ Bing の脆弱性を 1 月 31 日に報告し、MSRC は最初の修正を同日行っている。2 月 25 日には Microsoft の他のアプリの脆弱性も報告しており、3 月 20 日までにすべてのアプリで修正が完了したとのこと。Wiz Research は報奨金として 40,000 ドルを受け取ったそうだ。

管理者はAzure Portalでマルチテナントアプリの有無を確認できる。アクセスを意図しない組織外のアカウントでログインできるマルチテナントアプリは脆弱だ。この場合、アクセス可能なユーザーの制限や条件付きアクセスの使用、クレームベースの承認、アクセストークン内のクレームの確認などが必要になる。Wiz では関連する Microsoft のドキュメントも参照することを推奨している。なお、組織外のアカウントでのアクセスが必要ない場合はマルチテナントの登録を解除してシングルテナントに戻せばいい。

英競走・市場庁 (CMA) は 8 日、Microsoft による Activision 買収が競走を阻害するという暫定的な見解を発表した (プレスリリース、 ガイダンス、 Ars Technica の記事、 On MSFT の記事)。

CMA は Microsoft の Activision 買収による競争への影響をクラウドゲーミングとコンソールゲーミングの 2 つに分けて評価している。クラウドゲーミングについては、Microsoft が Xbox と最大シェアの PC オペレーティングシステム (Windows)、世界的なクラウドコンピューティングサービスインフラストラクチャー (Azure と Xbox Cloud Gaming) を持ち、有利な立場にあると指摘。Activision 買収は有利な立場をさらに強め、競走を弱めて長期的にゲーマーを害するという。具体的には価格の上昇や品ぞろえの減少、品質の低下、サービスの悪化のほか、発展途上の市場であるクラウドゲーミング市場に重要なイノベーションを減少させる可能性があるとのこと。

コンソールゲーミングでは Call of Duty (CoD) など少数の重要なコンテンツが競争に重要な役割を果たしているという。現在は Microsoft (Xbox) と Sony (PlayStation) が重要なコンテンツへのアクセスを獲得するために競争しているが、(CoD の開発元である) Activision を Microsoft が買収すれば競走が弱まり、将来的にはクラウドゲーミングでの競争阻害と同様にゲーマーを害する結果になるとのこと。

ただし、これらの見解は暫定的なものであり、最終版ではない。最終決定を行う前に Microsoft や Activision だけでなく第三者の意見も聞くため、暫定版を公表したとのことだ。

日本時間1月25日16時半頃からMicrosoft TeamsやOutlookといったMicrosoft 365関連サービスに障害が発生した。Microsoftのクラウドサービス「Microsoft Azure」に障害が発生したためで、影響の範囲は中国を除く米国、ヨーロッパ、中東、アフリカ、アジアの全リージョンに及んだという。WAN経由のデバイスで接続の問題が生じていたことが原因だったようだ。Microsoftは、Azureの障害が同日の午後6時45分に解消したと発表した。これにより影響を受けたMicrosoftのサービスは、ほとんどが自動的に復旧したとされている（ITmedia、窓の杜）。

headless 曰く、

10 月 10 日の Windows Server 2012 / 2012 R2 延長サポート終了に向け、顧客がとるべき対策をMicrosoftがまとめている (Microsoft Learn の記事、 Softpedia の記事、 On MSFT の記事)。

Windows Server 2012 / 2012 R2 では延長サポート終了後、有償で拡張セキュリティ更新プログラム (ESU) が 3 年間提供される。ただし、Azure に移行すれば ESU を無償で受け取ることができる。オンプレミスの場合は ESU を購入するか、Windows Server 2022 にアップグレードするかの選択となる。Azure に移行する場合もオンプレミスのまま利用する場合も ESU の提供は 2026 年 10 月 13 日で終わるため、3 年以内にアップグレードが必要だ。

headless 曰く、

Microsoft がオンラインサービスのライセンス条項を静かに改訂し、同社の承認を得ない暗号通貨のマイニングを禁じている (製品条項、 The Register の記事、 Windows Central の記事、 Azure Solution Area の記事)。

変更されたのは 12 月 1 日で、日本語版では「利用規定」に「マイクロソフトの書面による事前の承認なく暗号通貨マイニングを行うこと。」という項目が追加されている。Microsoft は「変更事項の概要」で変更点として記載する以上の発表を行う様子がなかったが、14 日になって Partner Community サイトの Azure Solution Area の記事で暗号通貨マイニングを行う場合は事前に書面での承認を得ることを推奨している。

Microsoft は The Register に対し、暗号通貨マイニングはオンラインサービス障害の原因となることもあり、リソースへの不正アクセスなどサイバー攻撃と結び付けられることも多いため、顧客を守るために改訂を行ったと説明したとのことだ。

headless 曰く、

Microsoft Security Response Center (MSRC) は 12 日、セキュリティ更新プログラムガイド (SUG) の最新情報を RSS フィードでも提供開始すると発表した (Microsoft Security Response Center のブログ記事、 Ghacks の記事)。

MSRC の更新情報通知サービスは Microsoft アカウント / Live ID が必要な従来の通知サービスから、任意の電子メールアドレスで登録可能な Azure ベースのサービスへの移行が 9 月に完了している。その一方で、一部の顧客からは RSS フィードでの情報提供を求めるフィードバックが届いていたという。少数ではあるものの、中には RSS フィードをデフォルトの情報発信手段にしてほしいという要望もあったとのこと。

SUG 最新情報の RSS フィードは https://api.msrc.microsoft.com/update-guide/rssで提供されており、このURLを任意の RSS リーダーに読み込ませることで最新情報を取得できるようになる。現在、セキュリティ更新プログラムガイドのトップページでは、タイトルの右側に不自然なほど大きな RSS アイコンが燦然と輝いている。