headless曰く、

Tencentは5日、中国国内で同社のゲームをプレイする全ユーザーに対し、公安データベースを使用した本人確認および未成年に対するプレイ時間制限を義務付ける計画を明らかにした（Tencentの発表、South China Morning Post、The Verge、VentureBeat）。

Tencentでは未成年者の健康維持のため、2億人がプレイしているという人気モバイルゲーム「王者荣耀」のプレイ時間制限を2017年から実施している。本人確認は未成年者の保護を強化するためだといい、9月には新規ユーザーの本人確認を義務付け、10月には北京をはじめ9都市でユーザー全員の本人確認を開始した。11月1日以降は対象を中国全土に拡大し、11月末までに全ユーザーの確認を完了する計画とのこと。

対象ゲームの拡大は王者荣耀での試みが順調に進んでいるからのようで、年内に人気ゲーム9本への導入を完了し、2019年には他のモバイルゲームおよびPCゲームに拡大する。なお、制限時間は12歳以下が1日1時間まで（21:00～8:00はプレイ禁止）、13歳以上18歳未満が1日2時間までで、制限時間を超えると強制ログアウトになるとのことだ。

あるAnonymous Coward曰く、

オープンソースのドキュメント指向データベース「MongoDB」がライセンスを独自の「Server Side Public License（SSPL）」に変更する。大手クラウド事業者がMongoDBを利用しているにも関わらず、プロジェクトにほとんど貢献していないという現状を受けてのライセンス変更となる（MongoDBの発表、OSDN Magazine、TechCrunch、Slashdot）。

先日のRedisと似たような話だが、こちらはAGPLをさらに厳しくした新OSSライセンスを作って対抗するようである。

SSPLはAGPLをベースとするが、機能を追加したり修正を行ったMongoDBをサービスとして提供する場合にもソースコードの公開を求める条項が追加されている。

taraiok曰く、

フィットネス関連サービスを提供している米FitMetrixが、パスワードなしで顧客情報を管理するサーバーを運用していたためにユーザー情報が大量に漏洩する事態になったという（The Tribune、TechCrunch、Hacken.io、Slashdot）。

漏洩したデータは数百万件にも上るようだ。同社は同社は心拍数やその他のフィットネスメトリック情報を表示するフィットネス追跡ソフトウェアを開発している企業。今年の初めにスポーツ関連サービスの予約・決済・スタッフ管理・顧客管理などを行う大手企業Mindbodyにより1530万ドルで買収されている。

10月5日にこのことを発見したセキュリティ研究者は、FitMetrixの3つのサーバーで顧客データが漏れていることを発見した。どのくらいの期間、サーバーが公開されたのかは不明だが、9月にIoT検索エンジンであるShodanにデータが登録されていたことが判明しているという。発見者であるHacken.ioのサイバーリスク研究担当ディレクターのBob Diachenko氏によると、1億1,350万のデータベースを発見した。

直接影響を受けるユーザー数は不明。各レコードにすべてにユーザーデータが含まれているわけではないものの、名前、電子メール、誕生日、電話番号、緊急連絡先、身長、体重、靴のサイズなどの情報が部分的に含まれていたとしている。Mindbodyの最高情報セキュリティ責任者Jason Loomisは、木曜日の電子メールで、リスクを認識しており、「この脆弱性を解消するための即時の対策」を講じたと述べている。

MicrosoftのJETデータベースエンジンで発見されたゼロデイ脆弱性をZero Day Initiative(ZDI)が公表した(ZDIのブログ記事、 アドバイザリー、 Softpediaの記事、 The Registerの記事)。

この脆弱性はJETデータベースエンジンのインデックス管理機能に存在する境界外書き込みの脆弱性で、現在のユーザーの権限でリモートからのコード実行が可能になるというもの。攻撃者は細工したデータを含むJETデータベース形式のファイルをOLEDB経由で開かせることで、脆弱性を悪用できる。ZDIはWindows 7で脆弱性を確認しているが、現在サポートされるすべてのWindowsバージョンに影響すると考えているそうだ。

ZDIは5月8日、この脆弱性をJETデータベースエンジンの他の脆弱性2件とともにMicrosoftへ報告。他2件は9月の月例更新で修正されている。しかし、この脆弱性に関しては修正版で問題が見つかったため、9月の月例更新には含めないとMicrosoftがZDIに連絡してきたという。この時点でZDIの公表期限120日を過ぎており、ゼロデイになる可能性をMicrosoftに伝えたが、Microsoftが今月はパッチをリリースしないと明言したため、事前に公表日を通知したうえで20日に公表したとのことだ。

あるAnonymous Coward曰く、

AWSやAzureでマネージドサービスも提供されるなどNoSQLサーバーとして広く使われている「Redis」だが、開発元のRedis Labsは22日、これまでAGPLで提供していた同社開発の拡張モジュールを、今後はクラウド事業者による商用利用に制限のかかるCommons Clause条項付きのApache 2.0ライセンスに移行することを発表した（プレスリリース、OSDN Magazine、ZDNet、Register）。

移行の対象となるのは「RediSearch」「Redis Graph」「ReJSON」「Redis-ML」「Rebloom」などの拡張モジュールで、コア部分には引き続きBSDライセンスが採用される。Redis Labsでは変更の理由として「クラウド事業者はほとんどこれらのオープンソースプロジェクトに貢献していない」と述べており、クラウド事業者によるフリーライドに耐えかねた事を吐露している。Redis Labsは自身でもRedisのマネージドサービスを提供しており、こうした競合他社に圧迫されていることが伺える。

なお、商用利用に制限がかかる事から新ライセンスはOSSライセンスとは適合しなくなっている。これに対して、OSS界隈では反発の声もあるようだ。

あるAnonymous Coward曰く、

英国では日本のドライブレコーダーに相当する「Dashcam（ダッシュ・カム）」が普及しつつあるそうだ。さらにイングランドとウェールズでは、警察に危険運転などの映像を証拠として直接アップロードできる仕組みが用意されているという。このシステムは、ダッシュカームメーカーである「Nextbase」が用意したプラットフォームがそのまま使われている。

ドライバーはアップロード時に、イングランドもしくはウェールズの地域を選択、道路上の事故や違法行為の映像を直接地元の警察に送付。裁判所で使用できる証人陳述書も提出できるとしている。West Mercia警察の署長は、以前は何時間もかかっていたプロセスを数分に圧縮でき、運転手だけでなく警察にもメリットがある仕組みだとしている（ROAD SHOW、Slashdot）。

ニコニコ動画などで5月30日から6月10日にかけて複数の障害が発生したとのことで、その原因と対応が公開されている。

5月30日に発生したトラブルは、特定のユーザーが過剰にユーザーフォロー操作を行ったためにデータベースが過負荷状態になり、フォロー関係の操作が行えなくなるというもの。こちらについては対策として、フォロー操作を行うAPIにアクセス制限機能を追加するなどが挙げられている。

また、5月31日にはニコニコ生放送でシステムアップデートが原因でキャッシュが有効にならないトラブルが発生、この修正を行うために一部の内部システムを停止させた結果データ不整合が発生し、タイムシフト録画やPlaystation Vitaアプリでの生放送視聴などができない問題が発生していたとのこと。

ニコニコ生放送では6月2日から5日にかけても生放送の配信ページを開けなかったり、配信が行えないトラブルが発生していた。こちらはデータベースが負荷に耐えられずにダウンしたことや、フェイルオーバー設定やデータベース接続設定のミスが原因だったという。

ニコニコ生放送で発生した2つの障害はどちらも障害の対応が結果的に悪影響となったという経緯で興味深い。

あるAnonymous Coward曰く、

MariaDB Foundationが5月27日、MariaDB 10.3系で初のstable版となるMariaDB 10.3.7のリリースを発表している（Publickey）。

MariaDB 10.3では新機能はとしてOracle Database互換機能がうたわれており（Changes & Improvements in MariaDB 10.3）、Oracle DB独自の関数や型がサポートされたほか、Oracle DB独自のストアドプロシージャ言語PL/SQLも実行可能となっている。

MariaDBは歴史的経緯からOracleとは対立関係にあるのだろうが、これは訴訟とか大丈夫なのだろうか？　ちょっと心配である。

あるAnonymous Coward 曰く、

22日10時から11時ごろ、人気ゲーム「艦隊これくしょん」（艦これ）の公式Twitterアカウント（艦これ開発・運営）のアカウントが凍結された（Togetterまとめ、ハフィントンポスト）。

Twitterではアイコンの著作権者を名乗って削除を要求したり、投稿しているコンテンツが違法なものだと主張するなどの手口で不正に通報を行って自動的にアカウントを凍結させる行為が横行している。

Twitterの苦情処理はほぼ自動化されており、攻撃者が同様の通報を繰り返すことで、被害者の行動と関係なく、意図を持って繰り返し不正行為を行ったと認識させられるといわれる。日本の支社は実際の運営業務に触れる権限を持たず、サンフランシスコ本社が直接運営するTwitterでの日本語圏への注力は年々減っているのが実情だ。

艦これ運営によると、凍結されたアカウントで使用されていたアイコン画像について、偽名等の第三者から「自身が描いたものだ」との虚偽通告が行われ、その結果著作権侵害ということでアカウント凍結が行われたという。

また、DMCAによる申し立て情報のデータベースを確認すると、「https://twitter.com/KanColle_STAFF」に対し複数のDMCA Takedown Noticeが行われていることが確認できる。

また、艦これ公式だけでなく、艦これの開発を行っている角川ゲームスや角川ゲームス社長のアカウントも凍結されている模様。

Windows 8以降でEMETを使用する場合や、Windows 10 Fall Creators UpdateのWindows Defender Exploit Protectionを使用する場合、「必須ASLR」を有効にしても適切なランダム化が行われないとして、CERT/CCが問題の詳細と緩和策を公開している(Vulnerability Notes Database VU#817544、 BetaNewsの記事、 BleepingComputerの記事、 Will Dormann氏のツイート)。

モジュールに割り当てるメモリーアドレスをランダム化して攻撃者によるデータの悪用を困難にするASRLだが、Windowsの既定では「/DYNAMICBASE」オプションを使用してコンパイルされた(ASLRの適用をオプトインした)モジュールにのみ適用される。必須ASLRを有効にするとオプトインしていないモジュールにもASLRを強制することが可能となるが、エントロピーを確保するにはボトムアップ型のメモリー割り当てでベースアドレスをランダム化する「ボトムアップASLR」も重要だ。

Windows 8以降では必須ASLR/ボトムアップASLRがOSの機能に組み込まれているため、EMET/Exploit Protectionはオプションをレジストリに設定する機能のみを提供する。設定が格納されるレジストリ値は「HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\kernel」の「MitigationOptions」という値なのだが、EMET/Exploit Protectionともにデフォルトではこの値が作成されない。

Exploit Protectionのデフォルトでは必須ASLRが「既定でオフにする」、ボトムアップASLRが「既定でオンにする」に設定されている。必須ASLRはMitigationOptionsが存在しなければオフになるため問題ないが、ボトムアップASLRはUI上の表示に反してオフになっている。CERT/CCでは有効な設定を含む.regファイルの内容を公開しているが、Exploit ProtectionでボトムアップASLRをいったんオフにし、再度オンにすることで有効なレジストリ値をセットすることも可能だ。なお、「既定値を使用する(<オン>)」を選択した場合は有効なレジストリ値がセットされないので注意が必要だ。

Oracleが「Oracle Database」の最新版「Oracle Database 18c」（以下Oracle 18c）を発表した。Oracle Databaseの現行バージョンは「12c」なので、一気にバージョンが上がったことになる。OracleのLarry Ellison会長曰く、Oracle 18cは「世界で初めての全自動データベース」だという（日経ITpro、ZDNet Japan、PublicKey）。

Oracle 18cは機械学習を用いた自動パフォーマンスチューニング機能や不審なアクセスを自動ブロックする機能を搭載。さらに、ソフトウェアアップデートやサーバーの追加時に必要な処理なども自動化しているという。

Oracle 18cはクラウド版も提供されるとのことで、クラウド版についてEllison氏はAmazonのクラウドサービスと比べてダウンタイムが短く、コストも低いと主張している。

headless曰く、

Microsoftは21日、Windows 10 Fall Creators Updateで削除または非推奨となる機能のリストを公開した。海外メディアでは「ペイント（mspaint.exe）」が「非推奨」になったことに注目が集まっているようだ（Microsoftサポート技術情報、The Guardian、The Verge、BetaNews）。

非推奨の機能は現在アクティブに開発が行われていないもので、将来のリリースでは削除予定とされる。このほか、リストアップされているのは以下のような機能だ。各機能の名称は可能な限り日本語化したが、Windows上での表記とは違うものがあるかもしれない。お気づきの点があればご指摘いただきたい。

• 削除
  • 3D Builder
  • Apndatabase.xml
  • EMET
  • Outlook Express
  • リーダー
  • Windowsリーディングリスト
  • テーマのスクリーンセーバー機能
  • Syskey.exe
  • TCPオフロードエンジン
  • Tile Data Layer
  • TPM所有者パスワード管理
• 非推奨
  • 同期の設定
  • IIS 6管理互換性
  • IISダイジェスト認証
  • ペイント
  • IIS用のRSA/AES暗号化
  • システムイメージバックアップ（SIB）
  • TLS RC4暗号
  • TPM.mscおよびTPMリモート管理
  • TPMリモート管理（レガシーコード）
  • System Center Configuration Managerを使用したWindows Hello for Businessの展開
  • Windows PowerShell 2.0

中には「リーダー」アプリのようにWindows 10の標準ではインストールされていないものや「リーディングリスト」アプリのようにWindows 10 Mobileにのみ対応しているものもある。また、「Outlook Express」のように既に機能していないレガシーコードを削除するといったものや、新機能/新バージョンで置き換えられるものもある。EMETは2018年7月のサポート終了に先立って実行がブロックされるため、Windows Defenderセキュリティセンターに追加されるExploit Protection（Windows 10 Insider Previewビルド16241日本語版では「悪用保護 」となっている）の使用を検討すべきとのこと。なお、SMBv1がデフォルトで無効になる点については触れられていない。

ペイントが削除されることは大きな話題となり、これを受けてMicrosoftはペイントをWindowsストアで提供する計画を明らかにした。その一方で、Windows 10 Creators Update以降で利用できる「ペイント3D」アプリにペイントの機能を取り入れていくとも述べている。この点はサポート技術情報にも追記された。

追記(by headless): 「非推奨」の位置がずれていたので修正。TPMのタイプミスも修正した。

GNOMEのファイルマネージャー「GNOME File (Nautilus)」で任意のVBScriptコードを実行可能な脆弱性「Bad Taste」が発見された(発見者による解説記事、 The Registerの記事、 Neowinの記事、 Bleeping Computerの記事、 CVE-2017-11421)。

問題はWindowsの実行ファイル(.exe)やWindowsインストーラーパッケージ(MSIファイル: .msi)などのアイコンをGNOME File上で表示するために使われる「gnome-exe-thumbnailer」のバージョン0.9.4-2以前に存在し、Wineがインストールされた環境で再現する。また、GNOME Fileのほか、「Cinnamon Nemo」や「MATE caja」といったファイルマネージャーも影響を受けるとのこと。

バージョン0.9.4-2までのgnome-exe-thumbnailerはMSIファイルを処理する際、Wineが利用できる場合には一時ファイルとしてVBSファイルをテンプレートから生成し、スクリプトを実行して「WindowsInstaller.Installer」オブジェクトからファイルバージョンを抽出する。しかし、スクリプトにはMSIファイルのファイル名が記述されるため、VBScriptコードとして解釈可能なファイル名にすることで任意のVBScriptコードを実行可能になる。

昨今では飲食店などの予約キャンセルが大きな問題となっている（週刊現代、ハフィントンポスト）。そんななか、予約キャンセルを行った顧客の電話番号を共有するという「予約キャンセルデータベース」というサイトが登場した（ITmedia）。

このサイトは個人が立ち上げたサービスで、電話番号を入力するとその電話番号がデータベース内に登録されているかどうかを確認できる。電話番号についてはハッシュ化された状態で保存されているため、生の電話番号が漏れる可能性はないという。また、第三者の電話番号を無断で登録できる点がプライバシ的に問題にならないかどうかは議論になっているようだ。

あるAnonymous Coward 曰く、

Googleが、同社の提供するクラウドサービスの無料使用可能枠の拡大を発表した（TechCrunch）。たとえばGoogle Compute Engineでは、最小インスタンスである「f1-micro」インスタンスを毎月最大1つまで無料で利用できる。

Google Compute Engineのほか、Google Cloud DatabaseやGoogle Cloud Storage、Google AppEngineなどについても無料枠が提供される（@ITが詳しい）。

Cloud Storageが5GBまで無料なのは趣味利用では嬉しい。詳細はこちら。ただしリージョンに制限があり、利用できるのはus-east1、us-west1、us-central1だけのようだ。