パスワードを忘れた? アカウント作成

みんなの日記の更新状況はTwitterの@sradjp_journalsでもチェックできます。

13290981 story
クラウド

機械学習関連カンファレンスの論文締め切り直前にGoogleやMSのクラウドサービスのGPUが一時的に枯渇 9

ストーリー by hylom
クラウドが支える研究 部門より
あるAnonymous Coward曰く、

12月に開催される機械学習関連のトップカンファレンス「Neural Information Processing Systems(NIPS)」に向けた論文の締め切りは5月19日だったのだが、これに合わせて世界中の研究チームがクラウドを利用したため、Google CloudとMicrosoft AzureのGPUが一時的に枯渇していたという(Register)。

GPUがニューラルネットワークに必要なベクトル計算を高速に並列処理できるため機械学習に適していることから起きた事象のようだ。

また、需要に応じて料金が変わるAmazon Web Services(AWS)のスポットインスタンスでも、この日の直前に料金が跳ね上がり、20日になって下がったことが観測されているようだ。

13289896 story
ゲーム

囲碁世界レーティング1位の柯潔九段とAlphaGoが対局、第1局はAlphaGoが勝利 31

ストーリー by hylom
さてどうなるか 部門より
あるAnonymous Coward 曰く、

現時点でGoRatings.orgによる囲碁のレーティング1位である柯潔九段と、Google傘下のDeepMindが開発するコンピュータ囲碁ソフトウェア「AlphaGo」の対局が5月23日に行われた。第1局はAlpheGoが半目差で勝利(ITmedia)。

AlphaGoは、現在レーティング7位の李世ドル九段と昨年対局し4勝1敗で勝ち越し、レーティング2位となった。その後AlphaGoは一時柯潔九段を抜きレーティング1位となったが、現在GoRatings.orgによるレーティング対象からは外れている。

13287140 story
Chrome

WindowsのSCFファイルをGoogle Chromeでダウンロードさせ、SMB認証情報を取得する攻撃 29

ストーリー by headless
認証 部門より
Windowsのシェルコマンドファイル(.scf、SCFファイル)とGoogle Chromeの組み合わせにより、SMB認証情報を取得する攻撃手法をセキュリティ企業のDefenseCodeが公開している(DefenseCodeの記事Threatpostの記事The Registerの記事Softpediaの記事)。

SCFファイルはWindows 98で導入され、主にクイック起動ツールバーの「デスクトップの表示」で使われていた。SCFファイルの内容はINIファイルと同様のテキストファイルで、セクションごとに値の名前と値のデータの組み合わせが記述されている。ファイルのアイコンは「Shell」セクションの「IconFile」で指定するのだが、アイコンをUNCパスで指定した場合、アイコンの保存されたフォルダーをエクスプローラーで開く際に、指定されたリモートサーバーへSMB認証情報が送られる。そのため、攻撃者が自分の支配下にあるサーバーのIPアドレスを指定すれば、ターゲットのユーザー名とNTLMv2パスワードハッシュを取得することが可能となる。パスワードハッシュはオフラインでクラックするほか、SMBリレー攻撃に使用することも可能だ。

一方、Google Chrome側の問題は、デフォルトでファイルのダウンロード先を確認せずにダウンロードが実行される点だ。そのため、攻撃用に細工したSCFファイルのリンクをChrome上でクリックさせれば、ファイルがユーザーの「ダウンロード」フォルダーに保存される。このフォルダーをユーザーが開いた時点で、攻撃者はSMB認証情報を取得できることになる。Windowsのショートカットファイル(.lnk、LNKファイル)もSCFファイルと同様の動作をするが、ChromeではStuxnetの感染が問題になった際にLNKファイルをサニタイズする仕組みが導入されているとのこと。
13286431 story
Android

Google Playで公開するアプリ、ルート化したAndroid端末をブロック可能に 58

ストーリー by headless
阻止 部門より
ルート化またはブートローダーのアンロックされたAndroid端末で、NetflixアプリがPlayストアからインストールできなくなったことが先週末から話題になっていたのだが、すべての開発者がこういった端末へのインストールをブロックできるようになったようだ(Play Consoleヘルプ9to5Googleの記事Softpediaの記事)。

Google I/O 2017ではGoogle Play Consoleの刷新が発表されており、リリース管理機能などさまざまな新機能が追加される。このうち「端末カタログ」ではアプリの対応端末の確認と制限が可能になるのだが、「SafetyNetに基づく除外」を設定することで、仮想デバイスやルート権限を取得した端末を除外可能となる。ただし、ブロックされるのはPlayストアからのインストールのみで、APKを使用したインストールはブロックされない。さらなる不正利用対策が必要な場合はSafetyNet Attestation APIの使用が推奨されている。
13286424 story
Android

Android Oのパブリックベータ版とAndroid Studio 3.0のCanary版が公開 11

ストーリー by headless
公開 部門より
Googleは17日、次期Android「O」初のパブリックベータとなるDeveloper Preview 2(DP2)およびCanary版の開発環境Android Studio 3.0 Canary 1を公開した(Android Developers Blogの記事[1][2]Android Oの機能とAPIDP2リリースノート)。

DP2ではDeveloper Preview 1(DP1)で導入されていたPicture in Picture(PIP)やバックグラウンドアプリの制限などに加え、テキストを長押ししたときに住所やURL、電話番号などを認識して全体を選択する「Smart Text Selection」、ランチャー上のアプリアイコンに通知を表示する「Notification Badge」、Googleの機械学習ライブラリTensorFlowの軽量版「TensorFlow Lite」などが追加されている。また、これまで半球形だった顔の絵文字が一般的な円形のものに変更されたようだ。

DP2の公開にともない、Android O Beta Program(要ログイン)も開始された。DP2の対応デバイスはDP1と変わらず、Nexus 5X/Nexus 6P/Nexus Player/Pixel/Pixel XL/Pixel Cとなっている。

Android Studio 3.0 Canary 1ではKotlinを使用したアプリ開発が可能になっており、JavaからKotlinへの変換機能も提供される。Java 8サポートやレイアウトエディターが強化され、Adaptive IconやカスタムフォントなどAndroid Oの新機能に対応する機能も追加されている。エミュレーター用のシステムイメージにはPlayストアが追加され、Google Play開発者サービスの更新も容易になるとのこと。このほか、17日からすべての開発者に開放されたInstant Appsのサポートも追加されている。
13286410 story
法廷

米連邦控訴裁判所、「Google」が一般名称ではないとする連邦地裁の判決を支持 23

ストーリー by headless
検索 部門より
米連邦第9巡回区控訴裁判所は16日、「Google」は一般名称ではないとする連邦地裁判決を支持し、Googleの商標無効の確認を求めた原告2名の主張を退けた(判決文The Registerの記事Consumeristの記事)。

この裁判は2012年に原告1が「google」とブランド名や著名人の名前などを組み合わせた763のドメイン名を取得したことに端を発する。Google Inc.,は統一ドメイン名紛争処理方針(UDRP)に基づく手続きを行い、ドメイン名はGoogle側に移転した。これに対し原告2が「google」は一般名称だと主張し、商標は無効だと主張してGoogleを提訴。原告1も訴訟に加わった。

連邦地裁では2014年、「google」がインターネットで検索することを示す動詞として広く使われているという原告の主張を認めたうえで、インターネット検索を「google」と呼ぶ人の大半がGoogleのサーチエンジンを使用した検索を念頭に置いていると指摘。原告の主張を退け、Google側の主張を認める略式判決を出している。

控訴裁判所によれば、たとえ特定のサーチエンジンを念頭に置かずに動詞として「google」を使用しているとしても、その言葉を一般名称として扱うには特定の種類の製品やサービスと結び付けられる必要があるという。競合のサーチエンジンがサービスを表現するのに「a google」と呼んでいる例はなく、「googles」という言葉を使わなければ「internet search engines」を表現できないことも示されていないとのこと。

原告が証拠としたラッパーT-Painのフレーズ「google my name」をとってみても、この「google」が特定のサーチエンジンを念頭に置かずにWeb検索を実行することを示すのか、Googleのサービスを使用することを示すのかはっきりしない。他の証拠も似たようなものであり、「google」が一般名称化していると主張するに足るものはないとのことだ。
13285628 story
お金

認証のため国際SMS送信を求めるアプリ「ローチケ」、UIの不備から複数回送信してしまい数千円請求されるケースも 64

ストーリー by hylom
せめて国内SMSにしておけば良かったものを 部門より
あるAnonymous Coward 曰く、

電子チケットアプリ「ローチケ」は、利用者の電話番号を確認する目的で国際SMSを送信させる仕組みになっているが、そのためのUIが分かりにくいと話題になっている

初回起動では「利用開始」というボタンしか選べない。それをタップすると、電話番号認証のため「SMS送信」をタップするよう指示される(当初はこの時点で国際SMSであることが明記されていなかった)。SMSを送信して戻ってくると、「SMS送信」の下に「認証する」というボタンが生える。しかし画面には「SMS送信」をタップする指示が表示されたままであり、しかも混雑しているためか数十秒ほど待たなければ「認証する」がアクティブにならない。そのため何度も1通の送信に50〜100円がかかる国際SMSを送信してしまった人も多いようだ。

このアプリにはFAQも用意されているが、アプリからは認証を完了したあとでなければ参照できない

13284742 story
Android

KotlinがAndroidアプリの開発言語として公式に採用される 73

ストーリー by hylom
一気にメジャーに 部門より

チェコJetBrainsが開発を主導するオープンソースのプログラミング言語「Kotlin」が、Androidアプリ開発の「第一級言語」になることが発表された(TechCrunchJetBrainsのブログ)。

Kotlinは2011年に発表され、2012年にオープンソース化されたプログラミング言語。静的型やJavaとの互換性が特徴で、Java仮想マシン(JVM)上で動作する(OSDN Magazine)。

まず、Android Studio 3.0ではデフォルトでKotlinが利用できるようになるという。いっぽうでJavaを完全に置き換えるわけではなく、今後もJavaやC++でのアプリ開発はサポートされるとのこと。

13284523 story
Android

Google、メモリ1GB以下のデバイスに最適化した「Android Go」を発表 63

ストーリー by hylom
コンパクト版 部門より
headless曰く、

Googleは17日に開幕した「Google I/O 2017」初日のキーノートで、低価格デバイス向けの「Android Go」を発表した(Android Developers BlogArs TechnicaThe Verge9to5Google)。

Android GoはAndroid Oをベースに、搭載メモリ1GB以下のデバイスでスムーズに効率よく動作するように最適化を進めているという。また、Googleアプリもメモリやストレージ、モバイルデータ通信の使用量を減らすべく開発が進められている。Chromeのデータセーバーはデフォルトでオンになり、通信量を抑えたYouTubeアプリのライト版「YouTube Go」もベータ版が公開されている。エントリーレベルのデバイスでは、最適化されたアプリがPlayストアで推薦されるとのこと。

Android Goはメモリ1GB以下の全デバイスに搭載され、2018年に出荷される。また、Android Oでは「Go設定」が提供され、メモリ1GB以下のデバイスでは自動で有効になるという。Android O以降の将来のバージョンでもAndroid Goと同様の仕組みが導入されるとのこと。開発者に対しては、Android Developersサイトの「何十億人ものユーザーに受け入れられるアプリを構築する」を参照し、オフラインでの使用やAPKサイズの縮小、バッテリー/メモリー使用量の減少など、Android Goデバイス向けに最適化することを推奨している。

13283733 story
Windows

Microsoft Edgeの同一生成元ポリシーを迂回可能なバグ 17

ストーリー by hylom
難しい 部門より
headless曰く、

Microsoft Edgeの同一生成元ポリシー(SOP)を迂回し、別のドメインからCookieやログイン情報などを取得できるバグが発見された(Broken BrowserRegisterOn MSFTの記事[1][2]Neowin)。

Microsoft EdgeやInternet Explorerには、サーバーリダイレクトの途中でwindow.locationの内容を書き換えると、リダイレクト先をリクエスト元と認識するバグがあるのだという。これをリダイレクト先ページ内のiframeに適用し、locationにデータURIスキームでJavaScriptコードを指定すれば、ほぼ親ドキュメント(リダイレクト先ページ)のコンテキストでコードが実行できるとのこと。ただし、リダイレクト先の読み込みが開始される前にlocationを書き換えてしまうと予期した通りの動作をしない。そのため、PoCではアラートを表示してコードの実行を待機させている。

PoCとしては、TwitterやFacebookのログインページにリダイレクトしてブラウザーが保存したログイン情報を表示するものや、Google reCAPTCHAのページにリダイレクトしてCookieを表示するもの、リファラーをmicrosoft.comに偽装するものが公開されている。コードを一部変更することで、Internet Explorerでも動作するようだ。

なお、テストした環境(Windows 10 Creators Update)ではFacebookのログイン情報が取得できず、Twitterは空のユーザー名とパスワードが表示されることもあった。また、Broken Browserの記事に掲載されているスクリーンショットとは異なり、リファラー偽装のPoC以外ではアドレスバーにURLが表示されず、ページタイトルも「空白のページ」となっていた。

今回のバグはMicrosoftも認識しているが、修正時期については明言していないようだ。バグを発見したセキュリティ研究者のManuel Caballero氏は、4月にもMicrosoft EdgeでSOPを迂回可能なバグ2件発見しているが、これらは未修正のままだという。ちなみに、昨年12月にCaballero氏が発見したMicrosoft EdgeのSmartScreenに偽URLや偽連絡先を表示可能な問題については、3月の月例更新での修正は迂回方法が同日発見され、さらに5月の月例更新での修正も迂回方法が同日発見されている。

13281672 story
交通

自動運転技術開発企業ランキングが発表される。トップはフォード 42

ストーリー by hylom
以外なトップ 部門より
maia曰く、

米Navigant Researchが自動運転技術を開発している企業のランキング(リーダーシップグリッド)を発表した(Business Insider)。

どの企業が実用化に向けて先んじているかの調査で、「先見性、市場開拓戦略、提携先、生産戦略、技術力、商品力、マーケティング及び流通、品質の高さ及び信頼性、製品のポートフォリオ、持久力」の10の基準に基づく。18企業が対象になっているが、1位から順に、フォード、GM、ルノー・日産アライアンス。4位以降は、ダイムラー、フォルクスワーゲン・グループ、BMW、Waymo(Google系)、ボルボ、デルファイ(部品メーカー)、ヒュンダイ。11位以降は、PSA(プジョー・シトロエン)、テスラ、トヨタ、ZF(ドイツの部品メーカー)、ホンダ、Uber、nuTonomy(MITのスピンアウト)、バイドゥ(百度)となっている。

とはいえ、自動運転では要素技術のメーカーが鍵を握る可能性がある。例えばLIDAR(レーザー測距センサー)のコストダウンは課題だし、NVIDIAやインテル、モービルアイ(イスラエル)など、さまざまな企業がセンサーやチップに取り組んでいる。

13281524 story
Google

10代の若者はGoogleよりもTwitterで情報収集をしている 57

ストーリー by hylom
若者のGoogle離れ 部門より

ジャストシステムが公表したモバイル&ソーシャルメディア月次定点調査(2017年4月度)結果によると、10代がスマートフォンによる情報収集の際にもっとも多く利用しているサービスはTwitterなどのSNSで、これはGoogle検索よりも多いという(PC Watch)。

10代が利用している情報収集サービストップは「TwitterなどのSNS」が69.4%で、Google検索は54.1%。続いて「インターネットの情報サイト(アプリ版含む)」が37.8%だったそうだ。

13280289 story
インターネット

ChromeやFirefoxをそのままUWP化してもWindowsストアでは公開できない 57

ストーリー by headless
障壁 部門より
Microsoftが先日発表したWindows 10の新エディション「Windows 10 S」では既定のWebブラウザーがMicrosoft Edgeに固定されており、変更できない。MicrosoftはどのようなWebブラウザーでもWindowsストアで公開されていれば実行できると述べているが、Google ChromeやMozilla Firefoxが実行できるようになる可能性は低いようだ(MSPoweruserの記事BetaNewsの記事The Vergeの記事On MSFTの記事)。

Windowsストアポリシーの10.2.1には「Web を閲覧するアプリでは、Windows プラットフォームによって提供される適切な HTML エンジンと JavaScript エンジンを使用する必要があります。」との記載がみられる。つまり、ChromeやFirefoxをUWP化しただけではWindowsストアで公開できないことになる。このような項目はこれまで存在しなかったが、変更履歴によれば、1月17日のドキュメントバージョン7.2で追加されたようだ。

ストアポリシーの変更についてMicrosoftでは、ユーザーの安全を保つためだとし、他のストアで入手したアプリが使いたいユーザーはWindows 10 Proにいつでも変更できると述べているとのことだ。

なお、NetApplicationsの4月分デスクトップブラウザーシェアデータによれば、1位のChromeが59%を占めており、以下IE(18.40%)、Firefox (11.80%)、Edge(5.62%)、Safari(3.44%)の順になっている。StatCounterではChromeが63.45%。以下全バージョン合計でFirefoxが14.5%、IEが9.00%、Safariが5.18%となっており、Edgeのシェアは3.72%にとどまる。
13279502 story
Windows

Microsft、新デザイン言語「Microsoft Fluent Design System」を発表 48

ストーリー by headless
発表 部門より
maia 曰く、

MicrosoftがFluent Designを発表した(TechCrunch Japanの記事)。

クロスプラットフォームで2D及び3D環境にも適合したUIのデザインポリシーらしい。Fluentを直訳すれば流暢だろうし、説明にあるeloquentは雄弁である、ちょっと影ついてる、くらいしか分からん。誰かエラい人にご教示頂ければ幸いである。GoogleのMaterial Design、AppleのHuman Interface Guidelinesに匹敵するものらしいが。

Microsoft Fluent Design SystemはこれまでProject Neonと呼ばれていたもので、Windows 10の次期大型アップデート(コードネーム: Redstone 3)に導入されるMetro後継のデザイン言語だ。半透明のすりガラスのような効果が用いられることで、Aero Glass復活とも報じられている(Building Apps for Windowsの記事Windows Experience Blogの記事[1][2]Windows Centralの記事The Vergeの記事)。

Fluent Designの基礎となるのは「Light」「Depth」「Motion」「Material」「Scale」という5つの要素。さまざまなデバイスや入力の種類に対応する没入的で多次元の体験を可能にすることで、すべての人のクリエイティビティをアンロックするとのこと。Windows 10 Insider Previewの最近のビルドではFluent Designの要素が徐々に追加されている。

また、同日にはRedstone 3の正式名称が「Windows 10 Fall Creators Update」となり、今年後半に提供されることも発表された。

13279463 story
マイクロソフト

Googleが発見したWindowsのマルウェア対策エンジンのバグ、Microsoftが2日で修正 37

ストーリー by headless
迅速 部門より
GoogleのProject ZeroがWindowsのマルウェア対策エンジンに「最悪の」脆弱性を発見したのだが、Microsoftが2日ほどで修正を完了し、アップデートを配信した(マイクロソフトセキュリティアドバイザリ 4022344Project Zero — Issue 1252)。

マルウェア対策エンジン(Microsoft Malware Protection Engine)はMicrosoftのセキュリティソフトウェアにマルウェアのスキャンなどの機能を提供するもので、Windows DefenderやMicrosoft Security Essentials、Microsoft Endpoint Protectionなどに含まれる。

発見された脆弱性は細工したファイルをスキャンさせることでメモリ破損を引き起こし、リモートからの任意コード実行が可能になるというもの。コードはLocalSystemのセキュリティコンテキストで実行されるため、システムを乗っ取ることもできる。

攻撃者は細工したファイルをユーザーに開かせる必要はない、。マルウェア対策エンジンはローカルのファイルシステムへのアクセスを監視し、スキャンを実行するため、たとえば電子メールに添付して送信し、ターゲットの電子メールクライアントに添付ファイルをダウンロードさせれば攻撃が成立するという。

これについてProject ZeroのTavis Ormandy氏は6日、最悪のリモートコード実行を発見したとツイートしていたが、通知を受けたMicrosoftが修正を完了し、セキュリティアドバイザリを公開したことで、Project Zeroも詳細を公表した。なお、脆弱性はマルウェア対策エンジンのバージョン1.1.13704.0以降で修正されている。
typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...