headless 曰く、

Bulletin of the Atomic Scientists は 23 日、世界終末時計を昨年と同じ残り 90 秒に設定した (プレスリリース、 The Verge の記事、 動画)。

ウクライナで続く戦争は核兵器使用のリスクを増し、大国は核軍備に多額の資金を投入している。2023 年の気温は過去最高を記録し、さまざまな自然災害を引き起こした。ライフサイエンスやその他の破壊的なテクノロジーの進歩が加速する一方で、各国政府はそれらを制御するための十分な努力を行っていない。

世界終末時計の残り時間は昨年、過去最短となる 90 秒前まで進められた。今年は昨年から動かなかったが、依然として過去最短の残り時間であり、人類が直面する危機的な状況が改善していないことを踏まえたものだという。そのため、残り時間が変わらないことを状況の改善と受け取るべきではなく、緊急の対策が必要な状況であるとの警告と受け取るべきとのことだ。

headless 曰く、

Microsoft が従業員の電子メールアカウントに対する不正アクセスを受け、4 営業日以内の報告が義務付けられた重大なサイバーセキュリティインシデントとして米証券取引委員会 (SEC) に報告している (Microsoft Security Response Center Blog の記事、 The Verge の記事、 Neowin の記事、 Form 8-K 報告書)。

不正アクセスは国民国家に関係する脅威アクターによるもので、Microsoft ではロシアの支援を受けた Midnight Blizzard (Nobelium) だと特定している。脅威アクターは 11 月下旬からパスワードスプレー攻撃でレガシーなテスト用テナントアカウントを乗っ取って足場を作り、そのアカウントのパーミッションを利用して Microsoft の従業員向け電子メールアカウントのごく一部にアクセスしたのだという。

不正アクセスされたアカウントの中には Microsoft 幹部のアカウントのほか、サイバーセキュリティや法務などにかかわる従業員のアカウントも含まれるといい、電子メールメッセージや添付ファイルが盗み出されたそうだ。この問題は 1 月 12 日に発覚し、Microsoftが不正アクセスを止めるための対策を行った。調査の結果、Midnight Blizzard が自身に関する情報を収集しようとして開始した攻撃とみられている。

今回の攻撃は Microsoft 製品やサービスの脆弱性によるものではなく、顧客の環境やソースコード、AI システムなどが不正アクセスを受けた証拠はないとのことだ。

Microsoft が AI PC の RAM 要件を 16 GB に設定したと TrendForce が報じている (TrendForce のニュース記事、 Neowin の記事、 BetaNews の記事、 Ghacks の記事)。

Windows 7 から Windows 10 まで据え置かれていた RAM 要件は Windows 11 で倍増したが、それでも 4 GB にとどまる。16 GB はその 4 倍であり、TrendForce は AI PC が長期的に DRAM 需要を増加させると見込む。

RAM 以外でも AI PC ではシステム要件の大幅上昇が見込まれており、過去記事では CPU 要件を 45 TOPS (Tera/Trillion Operations Per Second) としていたが、TrendForce によれば少し低い 40 TOPS だという。

この要件を初めて満たす CPU として、TrendForce では 2023 年末に発表され、2024 年下半期の発売が見込まれる Qualcomm の Snapdragon X Elite プラットフォームを挙げている。Snapdragon X Elite は 45 TOPS に到達すると予想されており、AMD の Ryzen 8000 シリーズ (Strix Point) もこれに迫るパフォーマンスで要件を満たすとみられる。

一方、2023 年 12 月に発売された Intel の Meteor Lake では CPU + GPU + NPU で 34 TOPS にとどまり、要件を満たさない。ただし、年内発売の Lunar Lake では 40 TOPS を超すとみられるとのことだ。

アダルトサイトから判定できる「尻派/胸派」とIQの関係という研究がSNSのX上で話題になっていたようだ。この研究では、アダルトサイトから得られたデータを分析し、胸派と尻派の割合やIQの関係を調査したという内容になっている（Just Emil Kirkegaard Things、Emil O W Kirkegaard氏のポスト、Togetter）。

この研究によると、尻と胸に対する相対的な関心を持つ特性は、霊長類の中で人間だけに見られる特徴らしい。この研究では生物が生活環境に応じてとる生活史戦略の違いにより、尻と胸への好みが発生していると予測しているようだ。

研究では、Google、Pornhub、YouPornでの乳房に関連する用語と臀部に関連する用語のインターネット検索の相対頻度をもとに、国および地方の嗜好と平均IQに関する調査を実施したという。その結果、アフリカに祖先を持つ人たちは尻派が多いというデータが出たという。これは住んでいる地域や使用している言語に関係なくその傾向が強いようだ。なお、乳房に対する関心が高い国は、全体的に見て知能が高いことを示す非常に強い相関関係があった模様。

米Microsoftは9日、米宇宙軍（USSF）向けの複合現実（MR）対応シミュレーション・訓練システム「Integrated, Immersive, Intelligent Environment（I3E）」について、米宇宙システム軍団（Space Systems Command: SSC）との間で開発契約を締結したという（米宇宙システム軍団[PDF]、Microsoftブログ、UchuBiz）。

I3Eは、MicrosoftのMRソフトウェアとMRヘッドセット「HoloLens 2」、クラウドコンピューティングなどを組み合わせており、地球の周回軌道上にある物体をリアルタイムで表示するシステムだという。宇宙環境をリアルに再現し、USSF隊員の訓練や作戦シミュレーションに活用される。契約金額は1980万ドル（約28億6763万円）で、契約期間は2023年12月1日からの1年間。3年間の延長が可能としている。

米カリフォルニア州のスティーブ・パディーラ州上院議員が AI に関する 2 つの法案を提出したそうだ (パディーラ氏のニュースリリース、 The Verge の記事)。

SB 892 は AI の安全性やプライバシー、非差別性に関する基準の確立を州技術局に義務付けるもので、州機関は基準を満たさないAIサービスとの契約を禁じられる。一方、SB 893 は州政府事業庁と州経済促進知事室、州技術局に対し、協力してカリフォルニア AI リサーチハブの設立を義務付ける内容だ。ハブは AI 技術の安全性やプライバシーを維持し、社会に対するリスクや潜在的危害に対応しつつ政府機関と学術機関、民間のパートナーが協力して AI の研究開発を行い、最大限の公益を得られるようにする集中型の組織として機能するという。

パディーラ氏は法案について、米国最大の技術サービス購入者の一つであるカリフォルニア州がその経済力を用いて公共の AI リソースを開発し、AI サービスプロバイダーのための安全で倫理的な枠組みを作るものだと述べている。

Intelは15日、開発コードネーム「Meteor Lake」で知られるノートPC向け新型プロセッサ「Core Ultra」シリーズ計11製品を発表した。Core Ultraプロセッサーは、AI機能を強化し、ビデオ会議やクリエイティブ作業などでのAI活用を促進することを目指す（Impress Watch、4Gamer、PC Watch）。

この新型プロセッサは、積層パッケージング技術「Foveros」を採用、4つのシリコンダイを1つのパッケージに搭載することで構成されている。CPUコアをまとめた「Compute Tile」、グラフィックス機能部分をまとめた「GPU Tile」、I/Oを集積した「IO Til」、メモリコントローラやAI処理向けアクセラレータ,無線LAN機能などをまとめた「SoC Tile」の4つのタイルに分けられており、それぞれが異なる役割を持つ。

Core Ultraには、高性能ノートPC向けの「H」シリーズと、薄型ノートPC向けの「U」シリーズの二つのシリーズがある。第13世代CoreまではHシリーズとUシリーズの中間に「P」シリーズがあったが、Core Ultra世代では廃止になっている。

headless 曰く、

ドライブスルー自動化技術で最大手の一つだという米 Presto Automation では業界一進んでいるというドライブスルー向け AI 音声注文プラットフォーム「Presto Voice」を提供しているが、注文の大半で人間のエージェントによる何らかの介入が必要なのだという (Form 8-K 報告書、 The Verge の記事、 Portland Press Heraldの記事)。

同社が米証券取引委員会 (SEC) に提出した Form 8-K 報告書の中で明らかにされたもので、一般に「humans-in-the-loop」などと呼ばれる人間のエージェントの介入を一切必要とせずに注文受付が成功する割合の増加に注力しているが、現在のところ 70% 以上の注文に人間のエージェントが介入しているそうだ。

同社ではAIの正確性向上と導入店舗の増加により、人間のエージェントによる介入を必要としない注文の割合が 30% 以上に到達すると予想し、2024 年 6 月 30 日までには人間のエージェントの介入を必要としない注文が 50% に達して利益を上げられるようになると見込む。

人間のエージェントによる介入を必要としない注文の割合は 2024 年 9 月 30 日までに 60%、2024 年 12 月 31 までに 70% に達し、マージンが大幅に向上する見込みとのことだ。

headless 曰く、

ブラジル・ポルトアレグレ市議会では 10 月に可決した条例の発効後、条例案が AI の生成によるものだったことを知ったそうだ (AP News の記事、 The Register の記事、 The Verge の記事)。

この条例は水道メーターが盗難にあった場合、交換費用を市民に負担させることを禁ずるもので、提案者のラミロ・ロザリオ市議は 49 語のプロンプトを ChatGPT に入力し、数秒後に条例案が出力されたという。これを知らされずに条例案を審議した市議会では 1 文字も変更することなく全会一致で可決。11 月 23 日に発効した。

市議会議長は 11 月 29 日になって条例案が ChatGPT によるものだったことをロザリオ氏のソーシャルメディア投稿で知り、当初は批判的なコメントをメディアに出していた。しかし、すでに考え直したらしく、いいことか悪いことかは別として避けることのできないものであり、議案をより詳しく検討するようになったなどと述べたとのことだ。

中国の龍芯中科が11月28日、新たな4コアCPU「3A6000」を発表した。このCPUは独自のLoongArchアーキテクチャを採用し、SPEC CPU 2006 baseシングルスレッドにおける整数演算と浮動小数点演算のスコアはそれぞれ43.1、54.6と、Intelの第10世代Coreに匹敵する性能を持っているそう（龍芯中科のリリース、PC Watch）。

このCPUには128/256bitベクター命令と6イシューアウトオブオーダー実行が可能なLA664コアが搭載され、各コアには64KBのプライベートL1命令キャッシュ、64KBのプライベートL1データキャッシュ、256KBのプライベートL2キャッシュがあり、さらに16MBの共有L3キャッシュも搭載されている。ピーク演算性能は240GFLOPSで、DDR4-3200メモリの2チャネルをサポートしているとしている。

不正に改変したウェブページを通じて偽のブラウザーアップデートをダウンロードさせる ClearFake キャンペーンはこれまで Windows ユーザーをターゲットにしていたが、Mac ユーザーを対象にしたものが登場した (Malwarebytes のブログ記事、 9to5Mac の記事)。

Mac 版の ClearFake キャンペーンは Apple SafariやGoogle Chromeの偽アップデートをダウンロードさせるものだ。Safariの偽ダウンロードページに掲載されているアイコンは古いデザインだが、サポートページへのリンクもあり、ダウンロードファイルの説明も本物らしく見える。しかし、ダウンロードした.dmgファイルの内容はAtomic macOS Stealer (AMOS) と呼ばれる情報収集型マルウェア(stealer)だという。

AMOSはパスワードやキーチェーンのほか、さまざまなファイルを収集してサーバーに送信する。今春初めて発見され、9月にはGoogle検索を通じた不正広告キャンペーンで配布されていた。

headless 曰く、

Blackwing Intelligence が Windows Hello 指紋認証を用いるノート PC の指紋センサーを調査し、指紋認証の突破に成功したそうだ (Blackwing Intelligence のブログ記事、 The Verge の記事、 Ghacks の記事、 Bleeping Computer の記事)。

Windows Hello 指紋認証ではチップ上に指紋データを確認して認証を行う Match on Chip (MoC) と呼ばれる指紋センサーを用いる。MoC では指紋データがホストに送られることはなく、バイオメトリック情報の盗難を懸念する必要もない。MoC 自体にはセンサーのなりすましを識別する機能が搭載されていないが、指紋センサーのセキュリティを確実にする Secure Device Connection Protocol (SDCP) も用意されている。

Blackwing Intelligence は Microsoft Offensive Research and Security Engineering (MORSE) の依頼を受け、Dell Inspiron 15 と Lenovo ThinkPad T14、Microsoft Surface Pro 8 (指紋センサー搭載タイプカバー) を調査。3 機種はそれぞれ指紋センサーも実装も異なるが、最終的にはなりすましの指紋センサーで認証を突破できたという。なお、SDCP が完全にサポートされ、有効になっていたのは Inspiron 15 のみ。ThinkPad T14 と Surface Pro 8 では SDCP が使用できなかったとのことだ。

headless 曰く、

NordPass が 2023 年版の流出パスワード トップ 200 を公開している (Top 200 Most Common Passwords、 The Register の記事)。

今回のランキングは外部リサーチャーの協力を得てダークウェブを含むさまざまなソースから抽出した流出パスワードのデータベース 4.3 TB を調査したもので、35 か国分のデータが含まれる。日本のデータは昨年も少なかったが、今年は含まれていないようだ。

昨年のランキングでは何年も1位を維持していた「12345」「123456」といったパスワードを抑えて「password」が 1 位となっていたが、今年は昨年 2 位の「123456」が 1 位に復帰した。「password」は 7 位に後退しており、過去 4 年間のランキング (PDF) に入っていなかった「admin」が 2 位となっている。

パスワードのクラックに要する時間でみると、139 件が 1 秒未満でクラック可能とされる。クラックに時間がかかるパスワードは 173 位の「theworldinyourhand」が数世紀、54 位の「admintelecom」が 23 日、56 位の「123meklozed」が 12 日、151 位の「undefined」が 16 時間となっている。

これらのクラックに時間がかかるパスワードは過去 4 年間のランキングには入っていないものばかりだ。このほか、過去 4 年間のランキングに見られないパスワードとしては、1秒未満でクラック可能な「*」の羅列が (19 位「********」、27 位「******」、52 位「**********」、63 位「*************」) が目立つ。

Cambridge Dictionary は 15 日、2023 年を代表する言葉 Word of the Year 2023 として「hallucinate」を発表した (About Words の記事、 Ars Technica の記事、 The Next Web の記事)。

先に Word of the Year 2023 を発表した Collins Dictionary が「AI」を選定したように、2023 年は AI が大きな注目を集める 1 年となった。Cambridge Dictionary でも large language model (LLM)や generative AI (GenAI)、GPT など AI に関連する新しい語句の定義を追加したほか、hallucinateのように既存の語句にも AI 関連の意味を追加している。

hallucinate の従来的な定義は存在しない何かが見える・聞こえる・感じる・匂うように思われるという意味で、通常は健康状態や薬物の摂取により引き起こされる。AI に関連する新たな定義は、コンピューターシステムが虚偽の情報を作り出すという意味になる。

headless 曰く、

Google の検索広告を悪用し、トロイの木馬化した CPU-Z のインストーラーをダウンロードさせる不正広告攻撃キャンペーンが確認された (Malwarebytes のブログ記事、 BleepingComputer の記事)。

不正広告は CPU-Z の Google 検索結果に表示される。リンク先は普通のブログのように見えるが、リンクをクリックしたのが実際に CPU-Z をダウンロードしようとするユーザーだと判定すると偽の CPU-Z ダウンロードページにリダイレクトされる。偽ページは Windows Report の CPU-Z ダウンロードページをコピーしたものだ。

今回の不正広告攻撃との関連は不明だが、コピー元となった Windows Report の正規のページは最近削除されたようだ。11 月 6 日に保存された Google キャッシュでみると、ダウンロードリンクは CPU-Z の公式サイトにリンクしているが、ダウンロードされるファイルは CPU-Z 1.91 で、2019 年にリリースされた古いものだ。

一方、偽ページからダウンロードできるファイルはデジタル署名された MSIX インストーラーで、FakeBat として知られる悪意ある PowerShell スクリプトのローダーが含まれていたそうだ。スクリプトのペイロードは情報窃取型マルウェア Redline Stealer だという。

Google は BleepingComputer に対し、マルウェアを含む広告を許容しないと述べ、問題の広告を削除して関連するアカウントに適切な対応を行ったなどと説明したとのことだ。