Amazon.com が返品頻度が高いことを示すタグ表示を一部の商品で開始したそうだ (The Verge の記事、 The Information の記事)。

このタグは商品説明の下に目立つ色で表示され、商品の詳細や購入者のレビューを確認するよう促す内容だ。Amazon では顧客が十分な情報を得たうえでの購買意思決定を可能にするための手助けをするため、一部の商品詳細ページで返品率に関する情報を表示していると The Informationに語ったとのこと。The Information では 3 つの製品についてタグ表示を確認しているが、その一つである Pro-Ject Automat A1 Record Player には現在タグが表示されなくなっている。あとの女性用ドレス 2 点 ([1]、[2]) はタグが表示されるが、表示はログインユーザー限定となっている。米国以外でのタグ表示ロールアウト時期については明らかにされておらず、Amazon.co.jp で同じ商品を表示してもタグは表示されなかった。

マカオと中国本土の間に位置する拱北港の税関が 3 月 16 日、大量の Intel Core プロセッサーを腰に巻き付けて密輸しようとした男を捕らえたそうだ (快科技の記事、 Neowin の記事)。

男は中国本土からの旅行者で、税関への申告物がない人用の通路を通って中国本土に入境しようとしたという。しかし、男の衣服は不自然に膨らんでおり、税関職員による検査が行われることになる。検査の結果、男は腰の周りに多数のプロセッサーを粘着テープで張り付けており、その数は 239 個に上ったとのこと。税関が公開した押収物の写真にはIntel Core i5-13400Fが並んでいるが、すべてが同プロセッサーである可能性もあるとのことだ。蛇足だが、Core i5-13400F プロセッサーは 10 コア (P コア: 6、Eコア: 4)であり、すべてが同プロセッサーだったとすれば2,390コアが腰に巻かれていたことになる。

中東のレバノン共和国では 3 月 26 日の夏時間移行が予定されていたが、直前の 3 月 23 日になって移行日を 4 月 20 日に変更すると発表し、混乱を招いたそうだ (The Register の記事、 レバノン首相府のツイート)。

今年のラマダーンは 3 月 22 日に始まっており、4 月 20 日まで続く。そのため、ラマダーン中に昼の時間が長くなることを避けたいイスラム教徒のナジーブ・ミカーティ首相 (閣僚評議会議長) らの意思が強く働いたようだ。スケジュール変更の提案は否決されたと渋るミカーティ首相に対し、国会議長のナビーフ・ビッリー氏がラマダーン後に夏時間へ移行すればいいと押し切る動画も流出している。そのため、議会の半数を占めるキリスト教徒議員から強く反発していた。

夏時間移行スケジュール変更への対応には手作業での時刻設定が必要なこともあり、3 月 26 日には国内に 2 つのタイムゾーンが存在する事態となった。そのため翌 27 日、閣僚評議会はこの混乱を収拾すべく 30 日に夏時間へ移行することを決定したとのことだ。

あるAnonymous Coward 曰く、

情報処理推進機構 (IPA) は 3 月 31 日付ですべてのウェブページをリニューアルしたが、旧ページに新ページへのリダイレクトを設定していないため外部からのリンクが全て (※) 切れてしまっている。

IPA は公式ツイッターで

【IPAウェブサイトリニューアルのお知らせ】
3/31のウェブサイトのリニューアルに伴い各ページのURLを変更しました。ご不便をおかけしますが、ウェブリンクをブラウザの「お気に入り」などに登録されている場合は新しいURLに変更いただきますようお願いいたします。

と、とぼけたことを言っているがこの日本のすべての文書の IPA へのリンクを書き換えろという不可能な寝言をいっているのだろうか。
これが情報の処理を推進するとか日本の行く先は暗い…

※ 編注: URL が変更され、リダイレクトが設定されていないのは以前から www.ipa.go.jp で公開されていた脆弱性情報やアナウンスなど、各種のセキュリティ関連情報のほか、プレスリリースや資料など (以上全てリンク切れ) が主で、一部は Google の検索結果もリンク切れという大惨事だ。URL の変更規則も公表されていないので、一括して置き換えることもできない。特設ページの中には URL が変更されていないものもあるが、リンク切れのリンクを含むページもある。一方、www.jitec.ipa.go.jp から www.ipa.go.jp/shiken へ移動した試験情報にはリダイレクトが設定されており、旧 URL から問題なくアクセスできる。

クラウドセキュリティ企業 Wiz の調べによると、Azure AD のマルチテナントアプリは25%が適切なアクセス制限をするよう構成されていないそうだ (Wiz のブログ記事、 MSRC Blog の記事)。

マルチテナントアプリの誤構成は Microsoft の複数のアプリでもみられ、Wiz が発見した Bing の脆弱性「BingBang」は「Bing Trivia」アプリの誤構成が原因となっている。Bing Trivia アプリには Bing 検索結果に表示されるカルーセルの内容を設定する機能が含まれており、検索結果を改変して XSS 攻撃を実行することで Office 365 ユーザーのデータにアクセス可能な JWT トークンが取得できたという。

Wiz は MSRC へ Bing の脆弱性を 1 月 31 日に報告し、MSRC は最初の修正を同日行っている。2 月 25 日には Microsoft の他のアプリの脆弱性も報告しており、3 月 20 日までにすべてのアプリで修正が完了したとのこと。Wiz Research は報奨金として 40,000 ドルを受け取ったそうだ。

管理者はAzure Portalでマルチテナントアプリの有無を確認できる。アクセスを意図しない組織外のアカウントでログインできるマルチテナントアプリは脆弱だ。この場合、アクセス可能なユーザーの制限や条件付きアクセスの使用、クレームベースの承認、アクセストークン内のクレームの確認などが必要になる。Wiz では関連する Microsoft のドキュメントも参照することを推奨している。なお、組織外のアカウントでのアクセスが必要ない場合はマルチテナントの登録を解除してシングルテナントに戻せばいい。

イタリアのデータ保護当局 GPDP は 3 月 31 日、ChatGPT によるユーザーデータの処理がプライバシー関連の法令に違反するとして、イタリアのユーザーのデータ処理を一時的に制限するよう OpenAI に命じたと発表した (ニュースリリース、 The Verge の記事、 The Guardian の記事、 The Register の記事)。

OpenAI は 3 月 20 日、チャット履歴の一部や有料サブスクライバーの支払い情報が他のユーザーから見えるバグが確認されたとして ChatGPT を一時オフラインにしている。しかし、GPDP によれば OpenAI が収集するデータに関する情報がユーザーに知らされていないだけでなく、アルゴリズムに学習させるための個人情報大量収集と処理には法的根拠がないのだという。また、ChatGPT が提供する情報には必ずしも実際のデータが対応しているとは限らないため、不正確な個人情報が処理されている可能性もあると指摘。このほか、年齢確認の仕組みがないことから、子供に不適切な情報が提供されている可能性もあるとのこと。

OpenAI は 20 日以内に GPDP の命令に対する改善点を報告する必要があり、従わない場合は最大 2,000 万ユーロまたは全世界での年間売上高の 4% の制裁金を科せられる可能性がある。この決定を受け、OpenAI では同日からイタリアでのサービスを停止しているとのことだ。