headless曰く、

Androidに対する「オーバーレイ攻撃」を容易に実行できるようにする脆弱性（CVE-2017-0752）についてPalo Alto Networksが解説している（Palo Alto Networksのブログ、Threatpost、V3、Register）。

オーバーレイ攻撃は他のウィンドウの手前に描画したオーバーレイウィンドウを用いてクリックジャッキングを実行したり、ユーザーの操作を不可能にするといった攻撃だ。これまで知られているAndroidのオーバーレイ攻撃では、攻撃者のアプリで「他のアプリの上に重ねて表示（SYSTEM_ALERT_WINDOW）」のアクセス権限が必要だった。

新たなオーバーレイ攻撃の手法はAndroidでポップアップ通知に使われるToastを使用するものだ。Toastは最前面に表示されるが、特別なアクセス権限は必要ない。Palo Alto NetworksではToastを全画面表示し、オーバーレイウィンドウと同様に使用できることを確認したとのこと。

この脆弱性はAndroid 8.0を除くすべてのバージョンのAndroidが影響を受け、9月のセキュリティパッチで修正されている。なお、この脆弱性を狙った攻撃は現在のところ確認されていないとのことだ。

あるAnonymous Coward曰く、

中国では167,000台の電気自動車向けの充電ステーションが稼動しているという。これは世界最大規模だそうだ（24/7 Wall Street、人民網、Slashdot）。

現在、中国の自動車産業は日米欧に遅れを取っている。そのため、電気自動車での巻き返しを目指しているようだ。また、中国内での原油消費量が増えていることも電気自動車推進の背景にあるという（WEDGE、BBC）。

この充電ステーションは中国のState Grid Corporation（SGCC）のプラットフォームで管理されており、決済も同社のシステムを使用する。SGCCは16の行政区と121都市をカバーする高速充電網を持ち、現在のステーション間の平均距離は50キロメートル未満だという。2020年までにさらに12万か所の充電ステーションを増設。202の主要都市をカバーする計画だそうだ。

充電ステーション間の最大距離は郊外で5キロメートル未満、北京のような都市の郊外では3キロメートル未満、都市部では1キロメートル未満を目指しているという。

一般社団法人無電柱化民間プロジェクト実行委員会が、「電柱採集フォトコンテスト」なるコンテストを行っている。景観や通行を妨げるような電柱の写真を集めるというコンテストなのだが、ここに「美しい電柱の写真」が多く投稿されているという（J-CASTニュース）。

このコンテストでは、「景色だいなし属賞」と「路上おじゃま属賞」の2つが用意されており、TwitterやInstagram、もしくは同サイトから応募するものになっているが、同サイト上で掲載されている「採集された電柱・電線の一覧」を見ると、電柱・電線がアクセントとなっている写真も多い。

J-CASTニュースによると、投稿者の1人は電柱について一方的に「醜い」と扱われることに憤慨して「電柱のある美しい風景」を投稿しているという。このような意見は少なからず存在し、そうした人達が美しい電柱写真を投稿しているようだ。

Kaspersky Labが特許侵害で同社を訴えたパテントトロールWetro Lanに対し、訴訟を取り下げたいなら金を支払えと逆に要求。5千ドルを支払わせたそうだ(Nota Beneの記事、 Ars Technicaの記事、 The Registerの記事)。

問題の特許US Patent 6,795,918(918特許)は受信したデータパケットから送信元や宛先、プロトコル情報を抽出してユーザーの変更不可能な判定ブロックを生成し、フィルタリングに使用するというもの。これは出願された2000年には既に広く使われていたネットワークファイアーウォールの仕組みそのもので、EFFが2015年6月にStupid Patent of the Monthに選んでいる。918特許は発明者が維持費の支払いをやめ、2012年9月に失効しているのだが、2015年に設立されたばかりのWetro Lanが買収。特許侵害に対する補償を6年前までさかのぼって請求できるという仕組みを利用し、ファイアーウォール技術を使用する企業を訴え始めたそうだ。多くの企業は訴訟になるのを嫌ってWetro Lanに賠償金を支払っていたらしい。

taraiok曰く、

周辺機器や産業機器をインターネットに接続するのは簡単だ。しかし、こうしたIoTデバイスが引き起こす問題に誰が責任を負うのか。デンマークの研究者は、「The Internet of Hackable Things（PDF）」と題された調査書を公開した。この調査書ではIoT機器の抱えるユーザーインタフェースのクロスサイトスクリプティングや一部証明書の脆弱性、パスワード解析ソフトで70％の機器がパスワードを簡単に解析されてしまう、多くの機器が暗号化されていないネットワークを使用していることなどを指摘している（NETWORKWORLD、Slashdot）。

デバイスメーカー側にも責任の一端があると指摘する。開発段階からセキュリティのことを考慮している組織は48％。デバイスのリモートアップデートを提供している企業は49％。IoTのセキュリティ専門家を雇う企業は20％ほどしかいない。またセキュリティ研究者にデバイスの脆弱性を特定する企業は35％しかいない。

著者らは、IoTのセキュリティ問題は技術的なものよりも文化的な側面が大きいとし、人間の理解とアルゴリズムを統合することが解決策に繋がるとしている。セキュリティを一つの課題として扱うのではなく、IoT製品の開発ライフサイクル全体を通してセキュリティを考慮することが必要だとしている。

8月25日、日本各地でインターネット回線が不安定になるトラブルが発生していたが、原因はGoogleの設定ミスによって誤ったネットワーク経路情報がインターネット上に流されたことが原因であることが判明、Googleが謝罪している（時事通信、日経ITpro、ITmedia）。

インターネットにおける経路情報はBGPというプロトコルでやり取りされているが、今回のトラブルの発端はOCNとピアリングしていたGoogleが誤った経路情報を大量に流したことだったようだ。その情報量はインターネットの全ての経路情報（フルルート）よりも多かったそうで、これをルーターが処理できずその挙動がおかしくなったり、間違った経路情報によって通信経路が遠回りになる事態になっていたという。

OCNは世界でも有数の規模の広域ネットワークを保有しており、プロバイダとしてOCNを直接利用していない場合でも、OCNのネットワークを間接的に利用しているプロバイダは多い。そのため、多くのネットワークで影響が出たようだ。

髪の色や髪型、目の色などのパラメータを設定することで美少女キャラクターのイラストを生成できる「MakeGirls.moe」というサイトが公開されている。多数の画像データから深層学習を利用して学習させたシステムを使い、「無限に画像生成できる」という（ITmedia、Togetterまとめ）。

手法についての解説論文も公開されているが、Generative Adversarial Network（GAN）というモデルを利用しているとのこと。GANについてはElix TEch Blogが詳しいが、学習した訓練データからそれと似たようなデータを出力するもので、さらに訓練データ群の特徴を加減算するような処理も可能。

論文によると、学習に使用したデータは美少女ゲームなどの通販サイトGetchu.comの商品ページに掲載されているサムネイル画像とのこと。同サイトではさまざまな「多様性のある」画像があるために利用したとされている。収集した画像に対して顔認識処理を行い、顔や髪型部分のデータを抜き出して学習に使用したそうだ。論文では年代毎のサンプルから割り出した「平均的な顔」のデータや、2つの画像からそれを組み合わせた「中間的な顔」を生成したデータ例も掲載されている。

フロントエンド部分のソースコードはGitHubで公開されており、また学習に使用したスクリプトも公開予定とのこと。

ネットワーク接続監視カメラがサイバー攻撃を受けて乗っ取られるというトラブルは以前より多数発生しているが（過去記事1、過去記事2）、過去記事3）、恵安製のネットワークカメラを導入したところ、カメラが勝手に動いてそこから不審な「鼻歌」が聞こえてきたという話が話題になっている。

実際にこのカメラの脆弱性を検証した結果も公開されているが、脆弱性のあるファームウェアが使われており外部からの攻撃を受ける可能性があるという。また、このファームウェアはほかの製品でも使われており、ほかメーカーの製品でも同様の攻撃を受ける可能性もあるようだ。

headless曰く、

Steamの月間アクティブユーザー数が6,700万人に到達したそうだ（GeekWire、V3）。

3日まで米国・シアトルで開催されたゲームカンファレンスCasual Connect USAでValveが発表した。月間アクティブユーザーとしては、Xbox Live（5,300万人、2017年4月1日～6月30日）を上回り、PlayStation（7,000万人以上、2017年3月31日時点）に迫る数字だ。

毎日のアクティブプレイヤー数は3,300万人、同時接続ユーザー数のピークは1,400万人に到達。同時接続ユーザー数のピーク値は2015年の840万人から大きく上積みされている。2016年1月以降の新規購入者数（新規アカウント作成者数）は2,700万人だという。

Valveは昨年4月、Steamの総ユーザー数が1億2,500万人を超えていることを明らかにしており、1億5,000万人に近づいているものとみられる。

先日、ソフトバンクの孫社長が孫社長曰く、セキュリティの問題から訪日外国人向け無料Wi-Fiではなくローミングを進めるべきと主張していることが話題となったが、日本では外国人環境客向けの公衆無線LANサービスの普及が進んでいるそうだ。しかし、整備状況は「点と点をつなぐ」状況で、面のカバーができていないことや利用者が多いといった問題があり、快適には利用できないという（ハーバービジネスオンライン）。

記事では「きちんと導入するのであれば、全員がYoutubeを楽々見れるようなもっと大容量の太い回線を引かないと意味がない」とされており、また無料の公衆無線LANサービスの必要性にも疑問が呈されている。

Twitter上に、有料ポルノサイトや偽の出会い系サイトへの誘導を行うようなボットネットが存在することが確認されたそうだ。このボットネットは約9万のアカウントから構成されており、女性の写真や名前を偽っていたという（ITmedia、ZeroFOX、Krebs on Security）。

これらのアカウントは「思わせぶり」な投稿を行い、こういった投稿にリプライすると有料のポルノサイトや偽出会い系サイトに誘導されてしまうという。このボットネットはギリシャ神話の海の怪物「SIREN（セイレーン）」から、「SIREN」と名付けられている。総投稿数は850万を超えており、また投稿されたリンクのクリック数は3000万以上だったという。

すでにTwitterへの通報が行われており、Twitter運営による対処が行われているとのこと。

セキュリティ企業Preemptが数か月前に発見したというNTLM関連の脆弱性2件を解説している(Preempt Blogの記事、 The Registerの記事、 BetaNewsの記事)。

CVE-2017-8563はドメイン認証でKerberosからNTLM認証へフォールバックした際に特権昇格が発生するというもの。攻撃者は特別に細工したアプリケーションを使い、悪意あるトラフィックをドメインコントローラーに送信することで、この脆弱性を悪用できる。

この問題が発生するのはLDAPがNTLM中継攻撃から保護されないことが原因だという。グループポリシーの「ドメインコントローラー: LDAPサーバー署名必須」で「署名を必要とする」に設定すると、中間者攻撃(MitM)および資格情報中継攻撃から保護されるようになる。この設定ではセッションキーで署名されたLDAPセッション(LDAP署名)か、全体がTLSで暗号化されたLDAPセッション(LDAPS)のいずれにも該当しないセッションをドメインコントローラーが拒否するが、LDAPSの場合は資格情報中継攻撃から保護されないとのこと。

Microsoftではこの問題を確認し、7月の月例更新で修正している。CVE-2017-8563にはSSL/TLSを使用したLDAP認証のセキュリティを強化するレジストリ設定が導入されているが、設定を有効にするにはMicrosoftのサポート記事4034879に従い、レジストリを直接変更する必要がある。

もう1件はリモートデスクトップの制限付き管理モード接続に関するもの。このモードでは接続先マシンに資格情報が送信されないため、接続先が攻撃者の支配下にある場合でも接続元が保護される。そのため、サポートエンジニアが管理者権限でリモートマシンを操作する際などによく使われている。

しかし、このモードではNTLM認証へのダウングレードが認められており、NTLM中継攻撃やパスワードクラックなどが可能になるという。これについてMicrosoftでは既知の問題であるとし、NTLM中継攻撃を避けるための設定を推奨したとのことだ。

headless曰く、

GoogleがAndroid向けのSambaクライアント「Android Samba Client」をGoogle Playで公開したのだが、対応プロトコルがSMBv1のみになっていることが話題となっている（Android Police、Neowin、Register、9to5Google）。

Android Samba Clientはローカルネットワーク上の共有フォルダーをマウントし、Android標準のファイル管理機能でアクセスできるようにするというものだ。ただし、共有フォルダーをブラウズする機能はなく、直接UNCパスを入力してマウントする必要がある。また、マウントを解除する機能が搭載されていないため、マウントを解除するにはアプリのデータを消去するしかないようだ。

SMBv1は30年近く前に開発された古いプロトコルであり、最近はWannaCryptなどSMBv1の脆弱性を悪用するランサムウェアの攻撃が注目を集めた。MicrosoftはWindows 10の次の大型アップデート「Fall Creators Update」でSMBv1を無効化する計画だ。

アプリを公開しているアカウントはChromeアプリなどを提供する「Google Inc.」ではなく、Live Caseアプリなどを提供する「Marketing @ Google」というアカウントだ。共有フォルダーにアクセス可能なファイル管理アプリはGoogle以外の開発者も公開しており、中にはSMBv1にのみ対応するものもある。しかし、他社のセキュリティには厳しいGoogleがSMBv1にのみ対応したアプリを公開したことから、皮肉に受け取られている。

なお、このアプリのソースコードはGitHubで公開されており、SMBv3への対応なども進められている。

あるAnonymous Coward曰く、

現在の医師法では、死亡診断書の交付には医師の診察が必要となっている。この制限を緩和し、現場で看護師が確認・撮影した患者の状況や写真などを遠隔地に居る医師に送信し、そこから医師が死亡診断書を出せるようにするという（朝日新聞）。

遠隔からの死亡診断については以前より検討されており、その結果が「ICTを利用した死亡診断に関するガイドライン策定に向けた研究」として公開されている。死亡診断は医師のみが行えるが、離島や僻地など医師による迅速な対応が困難なケースがあり、そういった場合死亡していると見られる患者を緊急搬送したり、放置せざるを得ない状況も発生しているという。

今回の規制緩和により、医師は遠隔から死亡診断を行い、また現場で看護師が医師の指示によって死亡診断書を代筆することが可能になる。

いっぽうで、看護学校等では看護師に対し「実質的な死体」の扱いは教えておらず、看護師に対し独特のノウハウを習得させる必要がある点が過大として挙げられているようだ。

insiderman 曰く、

米SEGA Networkが、iOS/Android向けに「SEGA Forever」を発表した。セガの「クラシックゲーム」をモバイル向けに提供するもので、広告付きで基本プレイ無料、料金を支払うと広告が表示されなくなるというビジネスモデルのようだ。

現在、『ソニック・ザ・ヘッジホッグ』『ファンタシースター II』『コミックスゾーン』『カメレオン キッド』『獣王記』が公開されており、毎月新規タイトルがリリースされるという。ただし、現時点では日本からは利用できない。今後日本で同様のものが展開されるかも不明（AUTOMATON）。