headless 曰く、

米連邦取引委員会 (FTC) が QR コードを悪用した攻撃について注意喚起している (消費者向け注意喚起、 The Verge の記事、 Ars Technica の記事)。

米国では QR コードがもともと使われていないパーキングメーターに QR コードステッカーを貼り付けて偽の支払いサイトに誘導する攻撃が確認されているほか、正規の QR コードに偽の QR コードを上貼りする攻撃も確認されている。米連邦捜査局 (FBI) もたびたび注意喚起しているが、今回の FTC の注意喚起はテキストメッセージや電子メールで送った QR コードで偽サイトに誘導し、個人情報を窃取する攻撃に焦点を当てたものになっている。

QR コードを悪用して偽サイトに誘導する虚偽のメッセージとしては、「配達できなかった荷物があるので連絡が必要」「アカウントに問題が発生し、個人情報の確認が必要」「アカウントで不審な活動が確認され、パスワード変更が必要」といった例を挙げ、詐欺師の QR コードから自身を守る方法としては以下のようなものを挙げている。

• 予期せぬ場所にある QR コードはリンク先を開く前に URL を確認する
  ミススペルや文字順の入れ替えなど正規 URL に似せた URL に注意
• 予期せぬ電子メールやテキストメッセージに添付された QR コードをスキャンしない。特に緊急性を強調したものに注意
  本物だと思われる場合は電話番号やウェブサイトなど、自分が知っている方法で連絡を試みる
• スマートフォンとオンラインアカウントを保護する
  スマートフォンの OS をアップデートする。オンラインアカウントのパスワードを強固なものにし、多要素認証を有効化する

Reddit の URL でサブドメインを指定すると対応するサブ Reddit へリダイレクトする機能のバグが悪用され、Google の検索結果に侮蔑表現が掲載された (The Verge の記事、 Ars Technica の記事)。

Reddit では science.reddit.com のようにサブドメインを指定すると対応するサブ Reddit「r/science」 (www.reddit.com/r/science) へリダイレクトする機能が用意されている。しかし、Reddit が 1 ～ 2 週間前に気付いたバグにより、(サブ Reddit とは無関係に) 任意の単語・語句をサブドメイン名に指定して Reddit の有効な URL を作成可能になっていたのだという。そのため、Reddit 内外にかかわらず任意のサブドメイン名を含む Reddit の URL を指定したリンクを張っておけば Google がそのうちインデックスに追加して検索結果に表示されるようになる。新たなサブドメイン指定はブロックされたようだが、現在も侮蔑表現を含むサブドメインの Reddit URL にはアクセス可能だ。

headless 曰く、

Electronic Frontier Foundation (EFF) が Amazon.com で販売されていた子供向けタブレット製品を調べたところ、複数の怪しいソフトウェアがプリインストールされていたとして注意喚起している (EFF のブログ記事、 HackRead の記事)。

この製品は Dragon Touch の KidsPad Y88x 10 という子供向け 10 インチタブレットで、既に製品ページは削除されている。7 インチモデルは現在も販売されているが、10 インチモデルの OS が Android 9 Pie なのに対し、7 インチモデルは Android 12 と新しく、プリインストールソフトウェアも異なる可能性がある。Amazon.co.jp でも 7 インチモデルは販売されていたが、こちらは Android 10.0 となっている。

最初に挙げられているのはマルウェア Corejava の痕跡だ。このタブレットには Corejava のディレクトリが存在し、初回起動時に Corejava の C2 サーバーにリクエストが送られたという。ただし、EFF がタブレットを最初に起動した 2023 年 5 月の時点で C2 サーバーは停止しており、現在のところペイロードが送られてくることもない。

また、このタブレットではデバイスを子供向けに変える KIDOZ アプリのプリインストールが売りになっている。KIDOZ アプリは米児童オンラインプライバシー保護法 (COPPA) 認証済みとされているが、プリインストールされているバージョンは古いもので、情報を広告サーバーに送るような古いアプリを含むアプリストア機能が搭載されている。そのため、このバージョンは 5 つのセキュリティベンダーがアドウェアと認識しているが、アプリストア機能の削除された最新バージョンでは 2 ベンダーに減少する。

このほか、過去にマルウェアであったこともある Adups アプリの「クリーンなバージョン」もファームウェア更新ソフトウェアとしてプリインストールされているとのこと。ただし、アプリにはシステムレベルのパーミッションが付与されており、Adups のサーバーから何でもインストールできるため、不安が残る。また、アプリのアンインストールや無効化は容易でなく、デバイスをファクトリーリセットすれば復活するとのことだ。

headless 曰く、

Discord では CDN で多数のマルウェアが配布されていると報告されたことを受け、ファイルのリンクを 24 時間の期限付きにするそうだ (Bleeping Computer の記事、 The Verge の記事、 Ghacks の記事)。

Trellix の調査によれば、Discord の CDN ではおよそ 10,000 件のマルウェアが見つかっているという。Discord が Bleeping Computer に語ったところによれば、年内にロールアウトするファイルリンク変更は CDN が恒久的なファイルホスティングに用いられることを避けるためのもので、Discord のサーバーにアップロードされてから 24 時間後にはファイルのリンクが無効になる。ただし、Discord 内ではリンクが自動で更新され、リンク切れになることはないとのことだ。

Google 検索では検索で見つかったアイテムのリンクを Google アカウントに保存する「Google 保存済み (Google Saved)」機能を利用できるが、保存したアイテムは Google によるモデレーションの対象となるようだ (TorrentFreak の記事)。

実際にモデレーションの対象となった Eddie Roosenmaallen 氏がシェアしたスクリーンショットによると、保存したアイテムが Google のポリシーに反するため非表示化したと通知されている。アイテムはトレントサイトへのリンクのようで、具体的なポリシー違反の内容は Google 検索で URL がブロックされたことによるダウンストリームへの影響だという。何が違反になるのかわかりにくいが、Google 検索におけるユーザー投稿コンテンツに関するポリシーが保存したコンテンツにも適用されるとのこと。つまり、保存時点で検索結果に表示されていても、後日検索結果からの削除要請があった場合には、保存したアイテムも利用できなくなるということになる。

旧Twitter（以下、X）が、特定の競合サービスや報道機関のURLクリック時に5秒の遅延を設定していたことが発覚した。この遅延は、Xに貼られた競合SNSや報道機関などのURLをクリックした際、通常のサイトよりも5秒遅れてページが表示されるように設定されていたもの。具体的な例としては「Facebook」「Instagram」「Bluesky」「Substack」「Reuters」「The New York Times」などへのリンクが上げられている（GIGAZINE、CNET Japan、INTERNET Watch）。

この措置は、過去にイーロン・マスク氏に対して批判的な発言を行ったサイトに対して実施されたと見られている。サイトの表示が遅延すると、ユーザーの離脱率が上昇する傾向があることが分かっており、この5秒の遅延は致命的とされている。この件に関してXおよびイーロン・マスク氏はコメントしていないが、The Washington Postがこの問題を報じた後、一部のサイトでは遅延が解消されたとしている。

あるAnonymous Coward 曰く、

X(旧Twitter)が、所有者のイーロン・マスク氏が公に嫌っていることを明言しているプラットフォームであるFacebook・Instagram・Threads・Bluesky・The New York Times・ロイター・Substackなどへのアクセス速度を低下させていることが指摘されています。
海外掲示板・Hacker Newsのユーザーの指摘によれば「t.co(Xの短縮URL機能)から正しいURLに転送するまで約5秒の遅延が発生する」とのこと

情報元へのリンク

再生可能エネルギーとしてのポテンシャルが期待されている風力発電。こうした政府の洋上風力発電導入拡大に関連して、自民党の秋本真利議員が東京の風力発電会社「日本風力開発」から多額の賄賂を受け取った疑いが発覚したことから、東京地検特捜部が収賄の容疑で4日午前、秋本議員の事務所を捜索したことが報じられている。なお秋本議員は5日に自民党を離党した（朝日新聞、TBS NEWS DIG、NHK、その2、その3）。

日本風力開発は、過去に秋田県沖の二つのの洋上風力発電事業への入札を目指していたが、いずれも落札できなかったという経緯がある。この事件では秋本議員の馬主組合に、日本風力開発の社長が競走馬への共同出資として、2021年10月から2023年6月までに約3000万円の資金提供を行ったことが判明。そのうち約1000万円は議員会館で現金で渡されたとみられている。

また、秋本議員が受け取った1000万円の現金が、政府が洋上風力発電事業の入札評価基準の見直しを公表した直後に受け渡されたことも明らかになっている。特捜部は、秋本議員への資金提供が国会議員としての職務に関連して行われた賄賂に当たる可能性があるとして調査を進めている。一方、塚脇社長の弁護士は、現金の受け渡しが入札評価基準の見直しの翌日となる28日になったのは、競り落とした馬の代金の支払期限が迫っていたためだと主張しており、賄賂には当たらないと述べている。

Twitter上でMetaのSNS「Threads」に関連するURLが検索できないことが判明したそうだ。このことはテクノロジストのAndy Baio氏がThreadsに投稿したことで判明した。それによると、この現象はTwitterでURLへのリンクを検索する際に使用する「url:」検索演算子を使用し、Threadsのドメインである「threads.net」を検索すると、ユーザーのツイートが1件も表示されずに「No results for url:threads.net」と表示されるという。ほかの外部サービスのドメインは検索結果が正常に表示されている模様。Twitter側がいつ頃からブロックし始めたのかは不明とのこと（PC Watch、GIGAZINE）。

そんな中、Twitter側からアカウントを凍結されていたイーロン・マスク氏のプライベートジェット機を追跡していたジャック・スウィーニー氏が、「Threads」アカウントを開設して、投稿を開始したそうだ。アカウント名は「elonmusksjet」で、6日に「ElonJetがスレッズに到着した」と初投稿。8日午前の時点でフォロワー数は2万1000人に達したという（ロイター）。

ブラジルの電気通信庁（Anatel）がオープンソースのマルチツールデバイス「Flipper Zero」の輸入を差し止めたという。Flipper Zeroは「ギーク向けのポータブル・マルチツール・デバイス」として販売されている製品で、電子回路図やファームウェアがオープンソース化されている（Electronic Frontier Foundation、GIGAZINE）。

Kickstarterでクラウドファンディングで資金調達に成功したFlipper Zeroは、2022年1月から順次注文した人への出荷が開始されていたそうだ。しかし、ブラジルの購入者からは「Flipper Zeroが届かない」という報告が相次いでいたという。Flipper Zeroは、その玩具のような外観に反して、NFC・Bluetooth・赤外線通信など多数の無線通信規格に対応する本格的な性能を備えており、デジタルキーをクローニングしたり、RFIDをエミュレーションしたりできる機能がある。このため第三者が自動車や玄関のスマートロックを解除するといった犯罪に使われることが懸念され、ブラジル当局により差し止められたようだ。

headless 曰く、

SoundBlaster サウンドカードを世に送り出した Creative Technology の会長兼 CEO 沈望傅 (Sim Wong Hoo) 氏が 4 日、死去した。67 歳だった (メモリアルページ、 SGX 提出文書、 The Verge の記事、 The New Paper の記事、 新浪科技の記事)。

沈氏は 1955 年、マレーシア生まれ。のちにシンガポール人となった。1981 年に Creative を設立し、当初から会長兼 CEO を務める。沈氏の下、同社は Sound Blaster サウンドカードで有名になり、「Sound Blaster 互換」はマルチメディア PC のサウンド機能で事実上の標準となった。

知人は最近まで健康そうな様子だった沈氏の急死に驚いているが、同社取締役会は沈氏が安らかに息を引き取ったと述べるのみで、死因には言及していない。沈氏の死去に伴い、同社 Creative Labs 事業部プレジデントの Song Siow Hui 氏が暫定 CEO を務めるとのことだ。

米上院財政委員会は22日、ゼネラル・モーターズ、テスラ、フォード・モーター、ホンダ、トヨタ自動車、フォルクスワーゲン、クライスラー親会社ステランティス、メルセデス・ベンツの自動車メーカー8社に対して、製造時に中国・新疆ウイグル自治区における強制労働問題と関係していないことを確認するよう求める書簡を送付したそうだ（ロイター、WSJ、時事ドットコム）。

これを受けて各メーカーは調査を開始した。米国側は、各メーカー側が新疆と過去に原材料や鉱物資源、加工製品、製造装置などの取引を中止もしくは抑制した事例があるかどうかも把握したい模様。米政府は6月に新疆ウイグル自治区で生産された製品を「強制労働でつくられた」と判断、同区からの輸入を原則禁止する法律「ウイグル強制労働防止法」を施行している。

あるAnonymous Coward 曰く、

ファーストリテイリングはこれで反社だと米国に認定されたからなぁ。

headless 曰く、

米サンフランシスコ市・郡監督理事会は6日、サンフランシスコ市警(SFPD)の装備に関する規定改正案について、最終承認の見送りを決めたそうだ (AP News の記事、 BBC News の記事、 The Verge の記事、 Neowin の記事)。

この改正案には先日話題になった容疑者殺害用ロボットの使用許可が含まれている。これにはEFFなどが強く反対しており、EFFは50の市民団体とともに反対の書状 を市長や理事に送っていた。理事会は 11 月 30 日にいったん承認したものの、6 日に行った最終承認すべきかどうかの採決 (PDF) では全会一致で最終承認を見送り、委員会での再検討を決めたとのことだ。

米連邦通信委員会 (FCC) は 10 日、 LTD Broadband と Starlink がそれぞれ提出した Rural Digital Opportunity Fund (RDOF) の長文式申請書却下を発表した (The Verge の記事、 Ars Technica の記事)。

RDOF は田舎へのブロードバンドサービス提供を支援する基金で、2020 年 12 月に発表された初期オークション結果では LTD Broadband が 1,320,920,718 ドル 60 セント、Starlink (SpaceX) が 885,509,638 ドル 40 セントを勝ち取っていた。

しかし、FCC 委員長のジェシカ・ローゼンウォーセル氏は Starlink について、まさしく有望な技術であるとしたうえで、ユーザーが 600 ドルのアンテナを購入する必要のある消費者向けブロードバンドが合計 9 億ドル近い補助金の対象として適切なのかどうかについて疑問が呈されていると指摘した。

一方、LTD はオークションで 15 州の入札に勝利して最大の落札者となったが、7 州で適時に通信事業者としての認可を受けられておらず、FCC は LTD が落札条件を満たすネットワーク展開を実現できないと判断したとのことだ。

headless 曰く、

Twitter がロシアの国家当局関係メディアの記事へリンクするツイートに対し、注意喚起のラベル付けを開始したそうだ (Yoel Roth 氏のツイート、 BetaNews の記事、 Mashable の記事)。

Twitter では国家当局関係メディアのアカウントにラベル付けを行っているが、その記事を共有するツイートへのラベル付けは行っていなかった。しかし、ロシアのウクライナ侵略開始以来、毎日 45,000 件以上のツイートでロシア国家当局関係メディアの記事が共有されており、信頼できる情報を Twitter 上で得られるようにするためには記事の発信元を明確化する必要があると考えたようだ。ラベル付けは今後数週間のうちにロシア以外の国家当局関係メディアへも拡大する計画とのことだ

Windows 11 ユーザー全員が利用できるようになった新デザインのメモ帳だが、マルチレベルのアンドゥ・リドゥやダークモード対応、UWP アプリスタイルの設定画面、新しい検索・置換ダイアログ以外にも多数の機能が追加されているようだ (Math In Office の記事、 Ghacks の記事、 On MSFT の記事)。

新デザインのメモ帳では RichEdit が使われており、文字コードに続いて alt + x キーを押すことでユニコード文字を入力したり、 ctrl + } キーを押して括弧の内側と外側に移動したりといった RichEdit ホットキーの使用や、選択テキストのドラッグ＆ドロップによる移動、カラー絵文字の使用などが可能だ。記事では自動 URL 検出機能にも触れられているが、手元の環境で試した限りは機能しなかった。また、コンテキストメニューで「Unicode 制御文字の表示」をオンにした場合、ZWJ シーケンスで連結された絵文字を分割して表示することも可能だ。

RichEdit の採用により、構文強調機能追加などのアイディアも出ているが、スラドの皆さんはメモ帳に追加したい機能が何かあるだろうか。