神戸と仙台にある施設「アンパンマンこどもミュージアム&モール」には、点字ブロック（点字鋲）の中にアンパンマンの顔が隠れているという仕掛けが施されていたそうだ。しかし、この仕掛けは点字ブロックを利用する視覚障害の間からは「子供がここでしゃがみ込んだりすると危ない」「探している子供に気づかず、蹴ったり突き飛ばしたりしたらまずい」とする意見が出ていたという（まいどなニュース、続報）。

この話題を取り上げたまいどなニュースの記事によると、問題となっている隠し点字鋲は、1階のショッピングモールと、有料フロアである2階のミュージアムをつなぐスロープなどの数か所に設置されていたようだ。アンパンマンこどもミュージアム&モール側は当初、この件でのまいどなニュースからの質問に「ご質問にはお答えしかねます」との返答をしていたが、1本目の記事が配信された後の午後に回答があり、今後、通常の鋲に順次交換していくとすると連絡があったとしている。

headless 曰く、

HP がまたサードパーティ製インク/トナーカートリッジをブロックするファームウェアアップデートをリリースし、ユーザーから不満の声が出ているそうだ (Ars Technica の記事、 The Verge の記事、 Ghacks の記事)。

HP は 2016 年にファームウェアアップデートでサードパーティ製の互換インクをブロックし、苦情を受けてブロックを解除するファームウェアアップデートを提供している。米国や欧州、オーストラリアでは訴訟が提起され、HP が顧客に賠償金を支払っているが、最近になってこれまで互換カートリッジを使用できていたプリンターで HP のチップを搭載しないカートリッジがブロックされるようになったらしい。

HP のサポート記事によれば、互換カートリッジのブロックは動的セキュリティ対応プリンターが対象で、「HP製以外のチップ、改変された電子回路、またはHP製以外の電子回路を搭載したカートリッジ」がブロックされるという。HP は The Verge の問い合わせに対し、サポート記事のカートリッジ搭載チップに関する記述と、定期的に提供されるファームウェアアップデートで有効性を維持しているという記述を回答として示したとのことだ。

昨年 8 月に発生した LastPass の開発環境への不正アクセスは 11 月の不正アクセスにつながり、攻撃者は顧客のパスワード保管庫のバックアップを保存したクラウドストレージにアクセスしているが、この 2 回目の攻撃は DevOps エンジニアがサードパーティソフトウェアを更新していれば防げた可能性があるようだ (PCMag の記事、 Android Police の記事)。

LastPass は 2 月 27 日に不正アクセスに関する更新情報を公開し、攻撃者が 2 回目の不正アクセスに必要な復号鍵を DevOps エンジニアの自宅 PC への不正アクセスを通じて入手したことを明らかにした。それによると、攻撃者は DevOps エンジニアの自宅 PC でサードパーティのメディアソフトウェアパッケージの脆弱性を利用してキーロガーをインストールし、復号鍵を保存した保管庫のマスターパスワードを入手したのだという。

LastPass はソフトウェアの名称を明らかにしなかったが、Ars Technica が Plex Media Server だという情報を入手。Plex も昨年 8 月にセキュリティ上の問題が確認されてユーザー全員にパスワード変更を要請しているが、それとの関係は不明だった。その後、問題の脆弱性は 2020 年 5 月に修正済みの CVE-2020-5741 であることが判明する。Plex は PCMag に対し、脆弱性はおよそ 75 バージョンも前に修正されていたが、LastPass の従業員がソフトウェアを更新することはなかったなどと語ったとのことだ。

米国家運輸安全委員会 (NTSB) は 8 日、2021 年 4 月にテキサス州で 2 名が死亡した Tesla Model S の衝突事故について、ドライバーが Autopilot を使用せずに運転していたと結論付ける最終報告書を公開した (報告書ダウンロードページ、 Ars Technica の記事、 The Verge の記事)。

この事故では運転席に遺体がなかったため、ドライバーが Autopilot を有効にして運転席を離れていたのではないかと疑われていた。しかし、Tesla のイーロン・マスク氏は現場付近が Autopilot の使用要件を満たしていないと指摘しており、NTSB の事前報告書でも Autopilot 有効化に必要な Traffic-Aware Cruise Control (TACC) と Autosteer のうち、TACC のみ有効化が可能だったとの見解が示されていた。また、NTSB はハンドルのフォレンジック調査と EDR から復元したデータにより、運転席にドライバーが座っていたとの見解も示している。

最終報告書によれば、レーンマーキングがない現場付近では Autopilot が有効化できないほか、TACC 使用時には EDR に記録された速度に到達できないことから、TACC も使用していなかったことが示されるという。また、住宅のセキュリティビデオは前部座席にドライバーと乗客が座って走り去る様子をとらえており、衝突の 5 秒前にはアクセルペダルを踏んだことが EDR に記録されている。さらにはエアバッグ越しにドライバーの衝撃を受けた痕跡がハンドルに確認されていることから、ドライバーは衝突後に後部座席へ移動したことが示唆されるとのことだ。

headless 曰く、

パキスタン政府がWikipediaのブロックを解除したそうだ (情報・放送省のニュース記事、 Neowin の記事、 首相の指示書)。

ブロック解除は閣僚委員会の勧告を受けたムハンマド・シャリフ首相の指示によるものだ。パキスタン電気通信庁(PTA)は1日にWikipediaが冒涜的なコンテンツをブロック/削除しないことを理由にサービスを格下げし、48時間以内に対応しなければパキスタン国内からのアクセスをブロックすると発表。Wikipedia側の対応はなく、そのままブロックされていた。

これについて閣僚委員会では、冒涜的コンテンツに限ってブロックするべきであり、サイト全体のブロックは適切でないとシャリフ首相に勧告。首相はブロックを即時解除するようPTAに命じたとのことだ。

米国北西部・モンタナ州ビリングスの上空で謎の気球が確認され騒ぎになっている。米国のブリンケン国務長官は「この気球を中国の偵察気球だと確信している」と述べた。BCテレビによると、この気球はバス3台分ほどの大きさで、下部には観測機器と思われるものも取り付けられていたようだ。気球は1月28日に米国の防空識別圏に入り、カナダ領空を通過して同31日に再び米領空に入ったなどと報じられている（ロイター、ANNnewsCH[動画]、読売新聞、GIGAZINE）。

中国外務省は気球が同国のものであることを認めつつも、気象などの科学研究を目的とした民間のものであり、誤って領空に入ったとするコメントを出している。米国側は4日、この気球が東部サウスカロライナ州沖に出た段階で戦闘機を出動させ撃墜した。報道によると、バイデン大統領は1日の段階で撃墜を命令していたが、国防総省が破片落下により地上で被害が及ぶのを避けるため、海上に出るまで待つべきとする勧告を出していたという。中国側は米国が撃墜行為に及んだことに関して「武力を行使したことは過剰反応だ」とする声明を出している（共同通信社、ロイター、ANNnewsCH[動画]）。

NVIDIA は 3 日、GeForce RTX 4070 Ti を正式に発表した (プレスリリース、 The Verge の記事、 The Register の記事、 Windows Central の記事)。

RTX 4070 Ti は CUDA コアが 7680 コア、GDDR6X メモリ 12 GB など、10 月に発売中止が発表された RTX 4080 12GB と同スペックだ。NVIDA は同じものかどうかに言及していないが、RTX 4080 12GB が RTX 4070 Ti として発売されるという噂は以前から出ており、RTX 4080 12GB のリネーム版とみられている。1 月 5 日発売で、価格は RTX 4080 12GB より 100 ドル安い 799 ドルとなっている。

LastPass のパスワード保管庫の安全性について、同社がユーザーをミスリードするような説明をしているとライバルの 1Password が批判している (1Password のブログ記事、 9to5Mac の記事、 The Verge の記事)。

LastPass は昨年 2 回の不正アクセスを受け、2 回目の不正アクセスでは攻撃者がユーザーのパスワード保管庫のバックアップをコピー可能な状態にあったことを 12 月に発表した。ただし、パスワード保管庫はパスワードなどを 256-bit AES で暗号化しており、顧客がマスターパスワードを LastPass のベストプラクティスに従って作成していれば復号に数百万年を要すると説明している。

LastPass のマスターパスワード作成に関するベストプラクティスは以下のようなもの。

• 少なくとも 12 文字、長ければ長いほどいい
• 大文字・小文字・数字・記号を使う
• 発音しやすく記憶しやすくする一方で、簡単に推測できないようにする (パスフレーズ)
• 自分だけのユニークなものにする
• 個人情報は絶対に使わない
• 好例: Fidoate!my2woolsox

1Password ではこれに対し。12 文字のパスワードにはおよそ 2⁷² 通りの組み合わせがあるもののクラッキングシステムではパスフレーズのような組み合わせを先に試すため、完全にランダムなパスワードと比べて少ない試行回数でクラックできると指摘。2⁷² という数字が意味を持つのはすべての組み合わせが選ばれる可能性が等しい場合に限られ、人間が作ったパスワードは最初の数十億回の試行に含まれる可能性が高いという。

LastPass が不正アクセスに関するブログ記事を更新し、11 月に発表した 2 回目の不正アクセスでは攻撃者が顧客のパスワード保管庫のバックアップをコピー可能な状態であったことを明らかにした (LastPass のブログ記事、 The Verge の記事、 Ars Technica の記事、 The Register の記事)。

8 月に発生した最初の不正アクセスでは LastPass 開発環境の一部が侵入を受けた。開発環境に顧客データは含まれないが、ソースコードと技術情報の一部が奪われ、2 回目の攻撃で LastPass 従業員をターゲットにしてクラウドストレージサービスへのアクセスと復号に必要な鍵の窃取に用いられている。

これにより、攻撃者は LastPass 顧客のアカウント情報やメタデータにアクセス可能だったほか、暗号化されたストレージコンテナからパスワード保管庫のバックアップをコピー可能だったという。なお、攻撃者が暗号化されていないクレジットカード情報にアクセスした痕跡はないとのこと。

保管庫はプロプライエタリなバイナリ形式でウェブサイトの URL など暗号化しないデータと、ウェブサイトのユーザー名とパスワード、フォーム入力データなどの暗号化されたデータが格納されている。暗号化されたフィールドには 256-bit AES 暗号化が用いられており、顧客だけが知るマスターパスワードでのみ復号できる。

これにより、顧客が LastPass のベストプラクティスに従ったマスターパスワードを作成して使用している限り、現在一般に利用可能なパスワードクラック技術では数百万年を要するため何もする必要はないという。ただし、弱いマスターパスワードを使用していた場合は各ウェブサイトでパスワードを変更してリスクを最小化することを検討すべきとのことだ。

Windows 8.1 の延長サポート終了とともに、Intel Clover Trail 搭載 PC に対する Windows 10 のサポートが 2023 年 1 月 10 日で終了する (Microsoft のサポート記事)。

これについて あるAnonymous Coward 曰く、

Clover Trail (Intel Atom Z2760/Z2520/Z2560/Z2580) 搭載 PC は Windows 10 Creators Update (バージョン1703) で画面表示が壊れる不具合が発生し、 Windows 10 Anniversary Update (バージョン1607) によるサポートが延長された。Windows 10 Home and Pro のライフライクルに本件は記載されていないが、非 LTSB / LTSC にも関わらず 6 年 5 か月強にわたってサポートが提供されるバージョンとなった。

当方はこの Anniversary Update にも対応する必要があり、動作検証の枷となっていたが、あと 2 か月でお別れ出来そうです。皆様の周囲では Clover Trail 採用 PC、まだ生き残っていますか？

Tumblr は 1 日、アダルトコンテンツの投稿を再び可能にするコミュニティガイドライン改定を発表した (スタッフブログ、 The Register の記事、 Neowin の記事、 Ars Technica の記事)。

Tumblr ではもともとアダルトコンテンツが許容されていたが、2018 年にユーザーのアップロードした児童ポルノが原因でアプリが App Store から削除される問題が発生。これを受けてアダルトコンテンツの投稿を禁ずるガイドライン改定が行われ、2 か月でトラフィックが約 30 % 減少している。

今回の改定は 9 月に導入されたコミュニティラベルにより閲覧者が成人向けコンテンツの表示をより細かく制御できるようになったことを受けたもので、投稿者は適切なラベルを追加することでヌードや成人向けコンテンツ、性的なテーマのコンテンツなどを投稿できるようになる。ただし、性行為を視覚的に露骨に描いたコンテンツは引き続き禁止とのことだ。

caret 曰く、

政府は 10 月 4 日午前 7 時 27 分 10 秒、北朝鮮による弾道ミサイル発射を受け、Jアラートによる国民保護に関する情報を発令したが、このうち東京都大島町、利島村、新島村、神津島村、三宅村、御蔵島村、八丈町、青ヶ島村、小笠原村に向けて発信された情報は誤りであったことがわかった（NHKニュース）。松野官房長官が 4 日午後の記者会見で明らかにした。

7 時 27 分の Jアラート発令情報では、対象地域は北海道および東京都の島しょ部、 2 町 7 村となっていたが、都によると 2 分後の午前 7 時 29 分、Jアラートの内容を訂正するとして北海道が外れ青森県が対象地域に追加されたことが国から通知されたという。 その 13 分後の午前 7 時 42 分に国からメールおよびファックスで通知された情報には「ミサイルは午前7時29分ごろ北海道、青森県の上空を飛翔し太平洋へ通過」と記されており、その後、都の担当者がテレビを確認したところ、Jアラートの対象地域から都の島しょ部が消えていたという。

それまでに都は、対応のため 30 人ほどの職員を都庁に集め、「災害即応態勢」をとって情報収集にあたり、防災アプリや Twitter などのSNSを用いて都民に注意を呼びかけていたが、突然、対象地域から都の島しょ部が消えたことで、どのように対応すべきか、判断に迷うことになったという。

また、東京 23 区の中心に位置する千代田区では、防災行政無線を通じて 4 日午前 7 時 27 分と 29 分にそれぞれ、国民保護に係る警報のサイレン音が吹鳴された（朝日新聞、朝日新聞の YouTube 動画、千代田区ホームページ）。
区によると、千代田区においては、Jアラートの対象を東京都全域としており、防災行政無線の自動起動により、Jアラート情報の放送を実施したという。 今回の事象を踏まえ、区では今後、一部気象情報等を除き、原則、千代田区が対象の場合のみに Jアラートが作動するよう設定変更を行うとしている。

Google は 9 月 28 日、Chrome 拡張機能プラットフォームの Manifest V2 (MV2) サポートタイムラインを更新し、MV2 の完全終息を半年間先送りすることを明らかにした (Chrome Extensions blog の記事、 Neowin の記事、 9to5Google の記事、 Ghacks の記事)。

これまでのタイムラインでは 2023 年 1 月に MV2 拡張機能が動作しなくなり、エンタープライズポリシーで有効化した場合のみ 2023 年 6 月まで MV2 拡張機能を利用できることになっていた。しかし、後継の Manifest V3 (MV3) で大きな影響を受けるコンテンツブロッカー拡張機能の移行は進んでおらず、プロキシ拡張機能やユーザースクリプト実行拡張機能に必要な MV3 API の中には未だに利用可能となっていないものがある。そのため、Google が予定通り MV2 を無効化したら一部の拡張機能が動作しなくなることが懸念されていた。

新しいタイムラインでは 2023 年 1 月からエンタープライズポリシーによる MV2 実行が可能になるとの説明はそのままに、この時点で MV2 拡張機能が動作しなくなるという説明は削除されている。その代わり、Chrome 112 では Canary / Dev / Beta チャネルで MV2 拡張機能を無効化する実験が行われる可能性があるという。

さらに、2023 年 6 月の Chrome 115 では実験が安定版チャネルにも拡大される。そのため、現在 MV2 を使用している拡張機能開発者はこの段階までに MV3 への移行を完了することが推奨される。2024 年 1 月にはエンタープライズポリシーによる MV2 有効化もできなくなり、その後 Chrome ウェブストアからすべての MV2 拡張機能を削除するとのこと。

Google では開発者のフィードバックを受けて MV3 の改善も進めており、MV3 移行に関する既知の問題点と修正時期などをまとめた開発者向け記事も公開した。それによると、プロキシ拡張機能の MV3 移行で問題になっている API の修正や、ユーザースクリプト実行に必要な API の追加が 10 月にも Canary 版で行われる。MV3 移行に関する問題点等のフィードバックは Googleグループ Chromium Extensions に投稿してほしいとのことだ。

headless 曰く、

LastPass が 8 月に発生した不正アクセスの調査について続報を発表している (The LastPass Blog の記事、 Ghacks の記事)。

不正アクセスは開発者アカウントの一つが侵害され、開発環境の一部が侵入を受けたというもの。LastPass がサイバーセキュリティ企業 Mandiantと協力して進めていた調査は完了しており、不正アクセスは 4 日間に限られることが確認できているという。最初のエンドポイント侵害手法について結論は出ていないものの、攻撃者は開発者が多要素認証に成功してから継続的になりすましを続けたとのこと。

LastPass では不正アクセスが開発環境に限られ、顧客データにアクセスされた痕跡はないと説明していたが、根拠は示していなかった。今回の発表では、開発環境がプロダクション環境と物理的に分離していて直接接続する手段がないこと、開発環境に顧客データや暗号化されたパスワード保管庫は含まれないこと、LastPass は顧客のマスターパスワードを保持していないため、パスワード保管庫を復号できるのはオーナーのみであること、を挙げている。

また、攻撃者がソースコードに悪意あるコードを挿入しようとした痕跡はないが、開発者の権限では開発環境からプロダクション環境にソースコードをプッシュすることもできないとのこと。LastPass では今回の問題を受け、エンドポイントのセキュリティコントロールと監視の強化を含むセキュリティ強化をデプロイしたとのことだ。

高級時計ブランド「OMEGA（オメガ）」のパロディーブランドとして活動していた「OMECO（オメコ）」の商標が特許庁によって登録取り消された問題で、OMECO側は一連の決定は、表現の自由を保障する憲法に違反しているとして、最高裁に上告している。同社は特許庁と知財高裁が登録取り消しの根拠した商標法4条1項7号（公序良俗違反）に該当するという決定理由が、表現の自由を保障する憲法21条などに違反していると主張している（弁護士ドットコム）。弁護士ドットコムの記事によれば、

女性器とは本来、女性特有の重要な器官であり、それ自体は価値中立的なはずであり、判決の中で「女性器を連想、想起させること」で「卑猥」にどうつながるか説明が一切ない

とOMECO社側は主張しているという。仮に卑猥だとしても、その解釈が漠然としたものであることから、最高裁でその解釈を示すべきだとしている。