Cloudflareが2日におよそ30分間にわたって発生した障害について解説している(Cloudflareのブログ記事、 The Registerの記事)。

Cloudflareでは復旧直後のブログ記事でWeb Application Firewall(WAF)の新ルールにCPUを100%使用する正規表現が含まれていたことと、ルールが段階的ではなく短時間に全世界に展開されたことを原因としていたが、世界規模の障害につながった理由はそれだけではないという。問題の正規表現には  .*(?:.*=.*)  という部分があり、これが多数のバックトラックを生む原因となったのだが、テストには極度なCPU使用を確認する項目がなかったそうだ。

また、極度なCPU使用を防止する保護機能が数週間前に誤って削除されていたこと、Cloudflareの他のソフトウェアと異なり迅速性が重視されるWAFルールは全世界に一括展開されるようになっていたこと、サービスがダウンして内部のコントロールパネルで認証が行えない状態だったことも原因として挙げられている。新ルールは当初、ユーザーのトラフィックをブロックせずにパススルーする「シミュレート」モードで展開されていたものの、処理自体は実際に行われるためCPU使用率の上昇につながったとのこと。

今回の問題を受けてCloudflareでは極度なCPU使用に対する保護機能を復元し、すべてのWAFルールを人力でチェックして極度なバックトラックが発生する可能性を排除したという。また、ルールを段階的に展開するようSOP(Standard Operating Procedure)を変更中であり、ルールのパフォーマンスを確認する項目をテストに追加することや、正規表現エンジンの切り替えも予定しているとのことだ。

MozillaはFirefoxのサブスクリプション型プレミアムサービスの導入計画を6月に公表していたが、これに関連するとみられるサインアップページがfirstlook.firefox.comサイトで公開(v1、 v2、 v3、 v4)されている(Neowinの記事、 The Vergeの記事、 BetaNewsの記事、 SlashGearの記事)。

v4は広告なしのインターネットを月額4ドル99セントで提供するというもので、提携先のパブリッシャーにはサブスクライバーの閲覧数に応じて月額料金の一部が支払われる。このほか、サブスクライバーにはオーディオ版の記事やデバイス間で同期するブックマークなどが提供されるとのこと。同サイトではv4と同じような内容のページが4月に発見されており、こちらではScrollの広告非表示化サービスを利用することが明記されている。Mozillaでは2月にオンライン広告のエコシステムが壊れているとして他の資金調達モデルを探す計画を示した際、Scrollとの提携を発表していた。

v1～v3はVPNサービス「Firefox Private Network」に関するもので、月額料金が異なる(4.99ドル/9.99ドル/12.99ドル)以外は同じ内容だ。v1～v4いずれもサインアップ用のリンクが用意されているが、クリックすると提供はまだ始まっていないと表示され、アンケートページと電子メールアドレス入力ページへ誘導される。ただし、アンケート回答と電子メールアドレス入力のいずれも必須ではない。v1～v3では電子メールアドレスを入力すれば3か月以内に通知すると表示されるが、v4では電子メールアドレス入力ページの代わりにScrollのWebサイトでサインアップ可能だと表示される。

なお、Mozillaのブログ記事等では特に言及されている様子はなく、これらのページが正式に公開されているものかどうかも不明だ。

D-Link Systemsが同社のIPカメラやルーターのセキュリティ欠陥により消費者を危険にさらしたとして米連邦通信委員会(FTC)が訴えていた裁判で2日、両者が和解に達したことが発表された(FTCのプレスリリース、 D-Linkの発表、 Ars Technicaの記事、 The Registerの記事)。

FTCはD-Linkが高度なセキュリティを売りにする一方、IPカメラに推測可能な認証情報をハードコードするなど、既知かつ容易に防止可能なセキュリティ上の欠陥を放置していたとして2017年にD-Linkを提訴していた。和解条件としてはD-Linkが20年間にわたって広範なソフトウェアセキュリティ改善プログラムを実施し、同社上級管理職による証明書を年に1回FTCへ提出すること、第三者によるプログラムの評価報告書を2年に1回、10年間にわたってFTCへ提出することなどが盛り込まれている。

ただし、和解によりD-Link側がFTCの主張する違法行為を認めるわけではないとの前提があり、D-Linkでは違法行為に対する同社の責任や、不正なマーケティングは裁判で認定されなかったなどと和解内容を歓迎している。

Anonymous Coward曰く、

中国の大手ゲーム企業らが協同で中国内におけるゲーム内容やシステムに関する自主規制案を発表した（4Gamer）。業界からの自主規制という体裁のようだが、違反するとライセンスが発行されず発売できないようだ。

ゲームコンテンツに関する規制としては、違法行為に関する描写や暴力的、性的なコンテンツの制限などが挙げられている。また、プレイヤー年齢に応じて1日あたりのプレイ時間やプレイ出来る時間帯を制限するといった内容も含まれているという。

「犯罪者に同情を寄せたり、美化したりする」「犯罪の手段などを詳しく描写」「不適切な服装（戦場にビキニ、公的の場で下着だけ、など）」「未成年の恋愛を描写」「身体の過度な変形、人体改造を描写」などゲームでよくある描写もほとんどNGになっているようだ。

この自主規制案を発表したのはTencent、NetEase、Perfect World、NetDragon Websoft、Shanda Games、Cheetah Network、37Games、IDREAMSKY、Changyou、elexの10社。

中国では最近、中国の習近平国家主席を揶揄するような内容が含まれていたゲームを販売していた企業が営業停止処分を受けるという事件も発生していた（AUTOMATON）。

headless曰く、

医療用の輸液ポンプ/シリンジポンプに電源とネットワーク接続機能を提供するBD社のAlaris Gateway Workstation（AGW）で、悪用すると輸液速度をリモートから変更することも可能になる脆弱性CVE-2019-10959が公表されている（BDのサポート記事[1]、CyberMDXの発表[1]、ICS-CERTのアドバイザリ、The Register）。

点滴スタンドのポールを2本にしたような形状のAGWはドックを備えており、RS-232または赤外線で輸液ポンプ/シリンジポンプと接続することでスマート輸液システムを構成する。CVE-2019-10959は任意ファイルをアップロード可能な脆弱性で、認証なしのSMB共有フォルダーが存在するようだ。この脆弱性を悪用すると、ローカルネットワークに接続した攻撃者がWindows CEで実行可能な不正なファームウェア更新プログラムを含むCABファイルをアップロードすることで、ファームウェアの書き換えが可能になるという。ただし、脆弱性を発見した医療関連のサイバーセキュリティ企業CyberMDXはアップロードするだけでファームウェアが書き換えられるように説明しているが、BDは何らかの方法でアップデートを実行する必要があるように説明しており、CVEの説明ではファームウェア更新中に任意のファイルをアップロード可能となっている。

不正なファームウェアを使用することで、攻撃者はAGWに接続された輸液ポンプ/シリンジポンプの調整コマンドの範囲を変更できるほか、古いバージョンのソフトウェアを使用するシリンジポンプ4機種では輸液速度を変更することも可能とのこと。CVSS v3スコアは10.0（Critical）となっているが、最新のファームウェア（バージョン1.3.2または1.6.1）では脆弱性の影響を受けず、攻撃者が病院内のネットワークへ接続する必要があることや、ファームウェア更新プログラムに関する知識が必要になることから、BDは攻撃を受ける可能性は低いと考えているようだ。BDでは最新ファームウェアへの更新、SMBプロトコルのブロック、VLANネットワークの分離、適切な関係者のみにネットワークへのアクセスを認める、といった対策の実施を推奨している。

また、ローカルネットワークに接続した攻撃者がIPアドレスを知っていればWebベースのAGW設定画面に認証なく接続できる、という脆弱性CVE-2019-10962も同時に公表されている。設定画面ではポンプの状態を監視できるほか、設定の変更やAGWの再起動などが可能になる。こちらのCVSS v3スコアは7.3（High）で、CVE-2019-10959と同様に最新ファームウェアでは影響を受けないとのことだ（BDのサポート記事[2]、CyberMDXの発表[2]）。

Android端末が大量のパケットを送受信しているという報告がTwitterなどで寄せられている（Togetterまとめ、INTERNET Watch、カミアプ）。

これらのパケットはAndroid OSが送受信していると見られており、Android 5.1以前の端末で発生しているようだ。「Google Play開発者サービス」アプリが原因という声もあるが、具体的に何が問題でこういった通信が発生しているのかは分かっていない。

Anonymous Coward曰く、

ここ数年、Appleは個人情報を重視する路線、逆に言えば広告業界の影響力を抑制すべく動いてきた。デフォルトで追跡トラッカーをブロックし始めたほか、広告ブロック機能を搭載し、そしてWebブラウザのCookieも制限しはじめた。そしてiOS 13では、GoogleやFacebookのアカウントでのログインに代わる「Sign in with Apple」が導入され、さらに一歩進んだ対策が取られる。

GoogleやFacebookとの違いは、Sign in with Appleでは、身元をほぼ完全に匿名化していることにある。Appleのこのアイデアは本当に刺激的なものだ。いつの間にか企業にメールアドレスなどの情報がばらまかれる心配がなくなる。

たとえば、メールマガジン配信サービスの「Mailchimp」や、「Google AdWords」、「Facebook Ad Network」といった広告配信サービスでは、配信者は顧客の電子メールアドレスを容易に入手でき、商品を購入する顧客の特性を把握したり、表示させる広告を絞り込むことができる。このことは広告業界を知らない人にとっては衝撃的なことのようだ。Sign in with Appleという仕掛けは、前述のような広告ツールの仕組みを知る消費者には歓迎されるだろう。

一方、この方法はユーザーの完璧な囲い込みを目指すシステムでもある。Apple Payから、Apple独自のハードウェアでのみ利用可能な排他的購読サービスまでがこの囲い込みを実現するシステムだ。外部の企業には情報は提供されなくとも、Appleからは丸見えだ。

最近のFacebookのさまざまなデータスキャンダル以降、Googleを含むすべての大手ハイテク企業がAppleと同様のモデルに移行しており、他社を「個人データを守っていない」として批判するようなキャンペーンも大手ハイテク企業の間で行われている。こうした行為が正しいのが間違っているのかは分からないが、こうした既得権を持っている企業が彼らのルールを実現するためにそのサポートを強いることは正しいのだろうか。これは、AppleやGoogleのような企業が解体されるべき理由の1つにならないだろうか（Char.gd、Slashdot）。

インド・デリー高等裁判所は5月28日、Asusにインドでの「Zenfone」ブランドの使用を禁ずる判決を下した(Indiatimes.comの記事、 Times of Indiaの記事、 NDTVの記事、 Android Policeの記事)。

この裁判はインドの携帯電話メーカーTelecare Network IndiaがAsus Technologyを商標法違反で訴えていたものだ。Telecare Networkは「ZEN」「ZEN MOBILE」を商標登録し、2008年から携帯電話や周辺機器などで使用している。一方のAsusは2014年に「ZENFONE」を商標登録し、製品の販売を開始した。

Telecare Network側は「ZENFONE」が同社の商標に類似しており、混乱を招くと主張。同社のブランドの評判に悪意をもって乗っかるものだとも主張していた。一方、Asus側は同社会長のジョニー・シー氏が禅の哲学を重視することから「Zen」をブランド名に含めていると主張し、2011年に禅の哲学を反映したノートPC「ZenBook」が成功したことにより「Zen～」という名称の製品を数多くラインアップすることになったなどと反論していた。

デリー高等裁判所のManmohan判事は、名称の類似性と製品の共通性、流通経路の共通性という商標侵害の3つの条件を満たすとし、Asusが悪意を持ってTelecare Neworkの商標を侵害したと判断。Asusおよびパートナー、代理店などによる「ZENFONE」および「ZEN」「ZEN MOBILE」に類似した商標の使用禁止、「ZENFONE」商標を使用した製品の市場からの回収などを命じている。

日本語版には未反映だが、Appleが3日付でApp Store Reviewガイドラインを改訂し、ペアレンタルコントロールアプリでのモバイルデバイス管理(MDM)機能の使用を認める文言を盛り込んだ(英語版ガイドライン、 The Vergeの記事)。

AppleはiOS 12のペアレンタルコントロール機能「Screen Time」発表直後からサードパーティーのペアレンタルコントロールアプリにガイドライン違反を通告し、ペアレンタルコントロールアプリとして重要な機能の削除を要求してアプリ開発者から強い批判を浴びている。これについてAppleではこれらのペアレンタルコントロールアプリが「MDMと呼ばれる高度に侵入する技術」を使っており、「App Storeのポリシーに明確に違反」すると反論していた。

改訂版のガイドラインでは新たに「Mobile Device Management」という項が追加され、Appleの許可が必要となるものの、MDMの主目的であるモバイルデバイス管理アプリ以外にもペアレンタルコントロールサービスで利用可能なことが明記された。利用にあたっては収集するデータを事前に提示することや、収集したデータを第三者に提供しないことをプライバシーポリシーで約束することなどが求められている。VPN Appsの項ではペアレンタルコントロールアプリやコンテンツブロッキングアプリ、セキュリティアプリなどでもNEVPNManager APIを利用可能にする文言が追加された。

また、「子ども向け」カテゴリのアプリではサードパーティ広告とアナリティックスを含めることが禁止(これまでは行動ターゲティング広告のみ禁じられていた)され、収集したデータの第三者への送信禁止も明記された。これ以外の項目でもプライバシー関連の制限強化や明確化が行われた。このほか改訂版ガイドラインでは、2.5.5でIPv6完全対応が必須化されており、4.2.7ではリモートデスクトップアプリの接続先にゲームコンソールが追加、4.7ではHTML5ベースアプリで提供を禁止する機能として賭博・慈善活動への寄付・電子商取引の追加などの変更が行われている。

あるAnonymous Coward曰く、

ソニーが、IoT向けに独自開発した通信モジュール「CXM1501GR」を発表した。CXM1501GRは低消費電力広域（以下、LPWA:Low Power Wide Area）通信規格「ELTRES」に対応しており、見通し100km以上の伝送性能を持つほか、電動自動車やバイクといった高速で移動する物体にも対応できるという（Engadget）。

今回発表された通信モジュールCXM1501GRは、高さ55×幅40×奥行14.8mm、重さ35gほどの大きさ。USB Type-CおよびBluetooth 5.0で外部機器と通信できる。また、920MHz帯での電波を発信する変調LSI、び外付けアンテナとのインピーダンス整合回路を内蔵。時刻情報と位置情報を取得するGNSS受信LSIを内蔵し、GPS・GLONASS・QZSS（みちびき）に対応しているのが特徴。サンプル価格は5,000円。

NECネッツエスアイのリリースによると、ELTRES IoTネットワークサービスは、関東、東海、関西の主要都市を中心に順次提供を開始するという。国内の商用サービスに関しては、2019年9月下旬を予定しており、2020年度上期中に全国展開を目指すとしている（時事通信、Slashdot）。

あるAnonymous Coward曰く、

米海軍の内部メモは、第5世代モバイルネットワーク（5G）が、気象衛星を妨害する可能性があると警告している。この警告は3月27日に米海軍の海洋学者Marc Eckardt大尉が出したもので、このメモについては上院議員のRon Wyden氏とMaria Cantwell氏により公表された。すでに連邦通信委員会（FCC）は、5Gで使用される24GHz帯のオークションを開始済みだが、Wyden氏とCantwell氏はFCC議長に対し問題が解決するまで免許の発行停止を求める書簡を提出したという。

Eckardt大尉のメモによると、5Gが広範に採用されると人工衛星からの水蒸気観測データの質が低下したり失われる可能性があるという。具体的には24GHz帯の利用が影響するとしている。また、気象および海洋モデルの劣化が予想されることから、米軍の飛行や航行のリスクが高まり、米軍の戦術的にも悪影響を及ぼすと指摘している。

両上院議員は「電波オークションの継続は、米国の気象衛星の有効性を損ない、ハリケーンなどへの安全性、国民の財産、および国家安全保障に害を及ぼす可能性がある」と述べている。航空宇宙局（NASA）と海洋大気局（NOAA）も海軍と同様の判断をしている模様（Ars Technica、Maria Cantwell、Slashdot）。

Ciscoのルーターにで多数の脆弱性が確認された。この問題は数百台の同社製ルーターに影響が及ぶという（マイナビニュース、FOSSBYTES、threatpost）。

この脆弱性はRed Baloon Securityによって「Thrangrycat」と名付けられている。脆弱性が存在するデバイスは多岐にわたっており、 リモートコード実行（remote code execution、RCE）を許すものも存在するとのこと（CiscoのSecurity Advisory）。

今回明らかになった脆弱性の多くはすでに対策パッチがリリースされている。一方でまだパッチが提供されているものもあるようだ。

Microsoft AzureでDNSの設定ミスによるネットワーク障害が発生していたとのこと（Publickey、Azureの「状態の履歴」ページ）。

障害が発生していたのは5月2日19時29分（UTC）から22時35分まで。Azureを利用しているサービスに加えて、Office 365などMicrosoftのクラウドサービスも利用できない状況になっていたという。

この障害はDNSの設定関連の設定ミスが発端。Azureでは各ゾーンに4つのDNSサーバーを設置しているが、その1つのみに対しアップデートを行ったという。その際に設定ミスがあり、結果的に空のゾーンが生まれしまったためにDNSが不適切な応答を行うことになってしまったようだ。

あるAnonymous Coward 曰く、

5月7日、Red Hat Enterprise Linuxの最新メジャーリリース版となる「Red Hat Enterprise Linux 8」（RHEL8）の一般公開が開始された（ODSN Magazine、ZDNet Japan、Red Hatの発表）。

新機能はよく分からないが、Python 3.6やPHP 7.2がデフォルトになったことが嬉しい。

2014年にリリースされたRHEL 7以来のメジャーアップデートで、本リリースではOS関連パッケージと開発ツールが「BaseOS」と「AppStream」という別のリポジトリに分割され、さらに開発者向けの追加パッケージを提供する「CodeReady Builder」というリポジトリも用意された。今までのRHELでは提供される各種言語やライブラリのバージョンが古いという問題があったが、RHEL 8では開発者向けパッケージについては需要に応じて適宜新しいバージョンのパッケージも追加していくとのこと。また、パッケージマネージャについてはFedoraですでに採用されているDNFベースのものになっている。

そのほかコンテナ関連機能も強化され、コンテナで利用でき自由に再配布が可能な「Universal Base Image」も提供される。デスクトップ向けではWaylandがデフォルトのディスプレイサーバーとして提供されるようになった。そのほかNetwork ScrpitsからNetworkManagerへの完全移行、TLS 1.0および1.1のサポート廃止といった変更点もある。

滋賀県大津市で、かつて営業していた有線放送事業者が設置した多数の電柱が維持管理されないまま放置されているそうだ。このままでは倒壊の危険もあるという（朝日新聞、WATCHDOG）。

この電柱は湖南有線放送農業協同組合が2001年まで提供していた有線放送サービスで使われていたもの。放送の休止後も電柱はそのまま放置されて下り、その数は1000本以上だという。

私有地に設置された柱については、「各自で処分して欲しい」との話もあったようだ。滋賀県は民間の問題だとし、すでに同組合が解散していることから対応できないとしている。一方大津市側は危険なものについては撤去しているものの、法人格としてはまだ同組合が存在していることから対応が難しいとしており、このような状態が続いているようだ。

過去には香川県高松市でも同様の問題が発生している。