Firefox 56ではWebページのスクリーンショット撮影機能が全ユーザーで有効になるそうだ(Neowinの記事[1]、 [2])。

スクリーンショット撮影機能はFirefoxで表示中のWebページ専用で、エレメント単位で選択するか、任意の範囲を選択して撮影する。スクリーンショットはローカルにダウンロードするほか、Firefox Screenshotsサイトにアップロードすることも可能だ。Firefox Screenshotsサイトにアップロードした画像は14日間で削除されるが、期限を待たずに削除することもできる。なお、画像は一般公開状態になり、URLを知っている人は誰でも閲覧できるようになるので注意が必要だ。

Firefox 55にはスクリーンショット撮影機能のベータ版が搭載されており、MozillaではFirefox 56のリリース前に最大50%のユーザーで順次有効にしていく計画だという。Firefox 55ですぐに試してみたい場合は、about:configで「extensions.screenshots.system-disabled」をfalseにすれば「Firefox Screenshots」ボタンがツールバーに追加される。このボタンをクリックすると選択モードになるので、ページをドラッグまたはエレメントをクリックして範囲選択する。ページ全体を選択することも可能だ。あとは「ダウンロード」ボタンをクリックするとローカルに保存、「保存」ボタンをクリックするとFirefox Screenshotsサイトにアップロードできる。

Enigma Software Group(ESG)によると、大型のハリケーンで大きな被害を受けた米国のテキサス州とフロリダ州では、ハリケーンの接近とともにマルウェア感染数が大きく減少したそうだ(ESGのブログ記事、 BetaNewsの記事)。

データは同社のセキュリティソフトSpyHunterによるもので、テキサス州のヒューストンとフロリダ州のマイアミからのデータに絞って変動をまとめている。ハリケーン Harvey に襲われたヒューストンでは、8月28日～30日のマルウェア感染数は前週平均から26.2%減少。特に大きく減少したのは8月29日で、平均から52.5%減少したという。

マイアミではハリケーン Irma がプエルトリコ付近で5段階中最強のカテゴリー5となった9月6日から減少をはじめ、6日のマルウェア感染数は平均から49.1%減。フロリダ半島を Irma が直撃した10日には平均から89.3%減少し、数えるほどのマルウェアしか検出されなかったそうだ。5日間の平均では通常よりも48.8%少なくなったとのこと。

この現象について、ESGでは 1)インターネット接続手段が失われた 2)インターネット接続ができる人もマルウェアに感染するサイトなどを見ている余裕はなかった、という2つの要素が大きな原因との見方を示している。ESGは気象の影響によるマルウェア感染数の変動をしばしばまとめており、3月には冬の嵐 Stella によるマルウェア感染増という観測結果を発表している。

Microsoftが米国外のサーバーに保存したユーザーデータに対する米国の捜査令状の有効性が争われている裁判で、米司法省はGoogleが令状に従う姿勢を見せていると連邦最高裁への提出文書で主張している(司法省の提出文書: PDF、 Ars Technicaの記事、 The Registerの記事)。

この裁判では企業が米国外のサーバーに保存したユーザーのデータに対し、Stored Communication Act(SCA)に基づく米国の捜査令状で企業に開示を要求できるかどうかが争点となっている。ニューヨークの下級判事や連邦地裁判事は文書提出命令と同様のものだとして開示義務があるとの判断を示したが、2審の連邦第2巡回区控訴裁判所は米国外のサーバーに保存された電子的通信内容に対し、SCAは捜査令状の発付を認めていないとの判断を示し、この判断を第2巡回区控訴裁判所全法廷でも支持している。

第2巡回区控訴裁判所の判断が出て以来、GoogleやYahooなどの企業は米国外のサーバーに保存したユーザーデータの開示を拒否しているが、第2巡回区以外の巡回区では地裁判事や下級判事が捜査令状無効の訴えを認めないケースが相次ぐ。司法省によれば、Googleは既存ケースで上訴の姿勢を見せる一方、第2巡回区以外で新たに発布された捜査令状には従うことを当局に伝えているという。

これに対しGoogleは第2巡回区控訴裁判所の判断に今後も従うとし、他の巡回区の地裁判事が第2巡回区での判断と異なる判断を示した場合には法の一貫性を保つため上訴するとのこと。また、犯罪の捜査で必要な場合に米国外のデータも開示できるようにする法改正案を支持しているとも述べている。

連邦最高裁の判断が出るか、法律が改正されるまでは同様の係争が続くとみられるが、連邦最高裁は米政府の上告を受理するかどうか回答していないとのことだ。

utahime 曰く、

スロバキア政府のサイバーセキュリティ対策チーム SK-CSIRTは、Pythonパッケージの公式リポジトリ PyPI に悪意あるコードを含む10個の偽ライブラリパッケージがアップロードされていたことを発表した(SK-CSIRTアドバイザリー: skcsirt-sa-20170909-pypi、 Ars Technicaの記事、 The Registerの記事、 Bleeping Computerの記事)。

偽パッケージはいずれも有名パッケージのコピーで、オリジナルのパッケージ名を一部変えた名前が付けられている。コード自体はオリジナルと全く同じものだが、インストール時に実行されるスクリプトが悪意のあるコードを含むものに変えられていたとのこと。

SK-CSIRTの通報により既に問題のパッケージは全てリポジトリから削除されたが、公開されていた6月から9月の間に複数回のダウンロードが確認されているという。そのため、SK-CSIRTではインストールされているパッケージを確認し、偽パッケージが存在する場合は削除して正規のパッケージをインストールすることを推奨している。

The Registerの記事では、タイプミスによりインストールされることを狙ったTypesquattingという手法だと指摘。SK-CSIRTではpipを使用してPythonパッケージをインストールする際は十分な注意が必要だと述べている。なお、偽パッケージに追加されたコードスニペットはPython 3.xと互換性がなく、インストール時の問題が複数回報告されていたが、セキュリティ問題とは認識されていなかったとのことだ。

キューバで昨年末から今年春にかけて米国の大使館職員を狙い、健康被害を与える謎の「攻撃」が行われていたそうだ(米国務省報道官ブリーフィング — 9月14日、 APの記事、 The Vergeの記事、 Ars Technicaの記事)。

米国務省が最初にこの問題を認めたのは8月上旬。8月下旬の段階で米職員の被害者は少なくとも16人と説明していた。しかし、14日のブリーフィングでは21人に増加している。

米大使館書記官が「Health Attack」と呼ぶ攻撃や被害の状況について国務省は公式な見解を示していないが、耳鳴りや難聴から軽い脳外傷、神経中枢の傷害まで幅広い被害が出ていると報じられている。APの記事によれば、室内のきわめて狭い範囲で大音量の騒音を聞いた被害者や、振動を感じた被害者もいるとのこと。

被害は職員の自宅のほか、少なくとも1件はホテルで発生しているという。カナダ大使館職員の家族にも被害者が出ているそうだ。音響兵器のようなものが使われたとも推測されるが、装置は大掛かりで隠すのは困難だ。APの記事では超強力な超音波発生装置を並べたプールに頭を突っ込みでもしない限り、脳が損傷を受けることはないとする音響心理学専門家の意見も紹介している。

デンキウナギが水面から頭を突き出して敵を攻撃する威力について、米国・ヴァンダービルト大学のKenneth Catania氏が自らの腕を使って調べた結果が発表された(論文、 ヴァンダービルト大学のニュース記事、 The Registerの記事、 The Vergeの記事)。

水面からデンキウナギが飛び出して敵を攻撃する様子は、アレクサンダー・フォン・フンボルトが1800年に南米で見たという馬やラバを使ったデンキウナギ漁の記事に登場する。このようなデンキウナギの攻撃行動はその後200年以上にわたって確認されず、伝説扱いになっていたが、Catania氏が実際に確認し、研究結果を昨年発表している。今回の研究はその続編となるものだ。

研究では体長40cmの若いデンキウナギを使用。初めに起電力と内部抵抗を測定し、それぞれ198Vと960Ωであることを確認している。また、水面から突き出した頭を敵に接触させることで電位差が大きくなり、最大で127Vに達したという。実際に腕を使った実験では40～50mAの電流が流れることを確認している。

50mA程度の電流はそれほど大きなものではないが、侵害反射実験で使う電流よりも大きく、強い痛みを感じる。動画では瞬時に腕を引っ込める様子が確認できるが、意図的ではなく反射的なものだったという。実験で使用したデンキウナギの場合は誤って電気柵に触れた程度の痛みであり、大型のデンキウナギではテーザーを9本同時に打ち込まれたような衝撃になると推定されている。

デンキウナギは過去数百年にわたって研究対象になっているが、直接的な感電死の記録はないという。電撃はパルス状であり、敵を倒すのではなく強い痛みを与えて追い払うのが目的とみられる。ただし、水中で攻撃を受けた場合には溺死する可能性も高いとのことだ。