ローマカトリックの女性修道会 Congregation of the Sisters of St. Joseph of Peace (CSJP) が Microsoft のポリシーに関し、2 件の株主提案を行っているそうだ (The Next Web の記事、 Protocol の記事、 CSIP Sisters のツイート、 動画)。

CSJP は平和のための社会活動を行うほか、株主として企業の意思決定に関与する活動を数十年にわたって行っているという。今回 CSJP は Microsoft に対し、1) Microsoft が主張する人権や環境の取り組みに反するロビー活動を行わないこと (PDF)、2) すべての政府機関に対する顔認識技術の提供を取りやめること (PDF)、の 2 件を株主提案しており、11 月 30 日の株主総会で採決が行われるとのことだ。

Twitter は 22 日、商品を紹介するライブストリーミングを視聴しながらショッピングができる Live Shopping を発表した (Twitter のブログ記事、 Walmart のツイート、 Mashable の記事)。

Live Shopping のテストは Walmart とのコラボレーションによって行われており、日本時間 11 月 29 日 9 時には実際に商品を購入可能な初の Live Shopping ショーが ＠Walmart で行われる。ジェイソン・デルーロが出演する 30 分間のショーはデスクトップおよび iOS で視聴可能で、デルーロが電気製品などさまざまな製品を紹介するほか、サプライズゲストの出演もあるとのことだ。

Microsoft の脆弱性報告報奨金プログラムに不満を感じていたセキュリティリサーチャーの Abdelhamid Naceri 氏が Windows のゼロデイ脆弱性の PoC を公開したのだが、翌日にはこれを使用したマルウェアサンプルが検出され始めたそうだ (BleepingComputer の記事 [1]、 [2]、 Cisco Talos Intelligence Group の記事、 Neowin の記事)。

Naceri 氏は Trend Micro の Zero Day Initiative でいくつもの脆弱性を報告しており、11 月の月例更新で Microsoft が修正した脆弱性 CVE-2021-41379 もその一つだ。この脆弱性は Windows Installer サービスに存在し、攻撃者はジャンクションを作成することでサービスにファイルやディレクトリを削除させることができる。脆弱性を利用して SYSTEM のコンテキストで任意コードを実行することも可能だという。

Naceri 氏が 11 月の月例更新での修正を調査したところ、バグは完全に修正されておらず、修正のバイパスが可能であることに加えてゼロデイとなる脆弱性のバリアントも発見する。そこで Naceri 氏はバイパスではなくバリアントの PoC を公開することにしたそうだ。脆弱性は CVE-2021-41379 と同様、最新のパッチをすべて適用した Windows 11 / Server 2022 を含めてサポートされる Windows 全バージョンに影響する。

PoC は Microsoft Edge Elevation Service の DACL を上書きし、それ自身をサービスの場所にコピーして実行することで昇格した権限を取得する。このサービスがない Windows Server 2016 / 2019 などでも任意のファイルを指定して権限の昇格が可能なようにしてあるとのこと。

脆弱性はその複雑さからバイナリに直接パッチを当てると Windows Installer が機能しなくなる可能性も高く、Naceri 氏は Microsoft の修正を待つのが最も安全な対策だと述べている。ゼロデイ脆弱性を公表した理由について、Naceri 氏は Microsoft の報奨金プログラムが 2020 年 4 月に大幅劣化したと述べ、それがなければゼロデイを公表することもなかったと BleepingComputer に説明したそうだ。

Cisco Talos によれば、マルウェアサンプル数の少なさから見て現時点では本格的な攻撃キャンペーンに向けた準備を行っている段階とみられるが、攻撃者が入手可能になったエクスプロイトの悪用を始めるまでに要する時間がわずかであることを示すものとのことだ。

Spotify が英歌手アデルの要請を受け、プレミアムアカウントのユーザーを対象にアルバムのデフォルトだったシャッフル再生を廃止したそうだ (The Verge の記事、 BetaNews の記事、 Mashable の記事、 アデルのツイート)。

シャッフルの廃止はアデルがアルバム「30」のリリースに合わせて要請したものだといい、当人曰く業界を変える初めてのリクエストだったとのこと。Spotify によればデフォルトのシャッフル再生廃止はユーザーとアーティストの両方から長年にわたり要望があったもので、プレミアム機能としてロールアウトしていくそうだ。シャッフル機能が使えなくなるわけではなく、再生を開始してからシャッフルを有効化することは可能とのことだ。

Spotify のフリープランではシャッフル再生のみに機能が制限されているが、なぜプレミアムプランでもシャッフル再生がデフォルトになったのだろう。Spotify に限らず、スラドの皆さんは音楽のシャッフル再生を利用しているだろうか。

イタリアの競争・市場保護委員会 (AGCM) は 11 月 26 日、Google と Apple によるユーザーデータの取得と利用が消費者保護法に違反するとして、それぞれ 1 千万ユーロの制裁金を科すと発表した (プレスリリース)。

違反内容は収集するユーザーデータの商用利用に関する十分な情報を提供していないことと、強引なユーザーデータ取得を行っていることだ。制裁金 1 千万ユーロはこれらの違反に対する上限額だという。

Googleはアカウント作成時とサービス利用時に収集したユーザーデータを商用利用することについて、ユーザーが意識して許可するのに必要な情報を提供しておらず、アカウント作成時にはユーザーデータの商用利用を許可するオプションがデフォルトで選択されているとのこと。

一方、Apple は Apple ID 作成時やオンラインストア利用時に収集したユーザーデータがエクスペリエンスとサービス改善に必要だと述べるのみで商用利用に関する情報を提示せず、ユーザーデータの商用利用時にはユーザーの承認を求めるものの、選択肢はサービスを利用するかデータの商用利用を許可するかのいずれかに限られるとのことだ。

先日 Microsoft Store から一時削除され、その後復活した「WSATools」の削除理由の一つは、やはり名称が問題視されたことだったようだ (Simone Franco 氏のブログ記事、 Neowin の記事)。

WSATools は Windows Subsystem for Android でアプリのサイドローディングを容易にするアプリ。開発者の Simone Franco 氏は削除に正当な理由があったと述べていたが、具体的な内容は説明していなかった。

Franco 氏によれば WSATools には Microsoft Store からの削除理由となったルール違反が 2 点あり、その 2 つ目が名称なのだという。「WSATools」の「WSA」は Windows Subsystem for Android (WSA) を示し、Microsoft は商標登録していないにしてもサードパーティアプリでの名称使用は好ましく思っていないとのこと。

1 つ目のルール違反は明確に説明されていないが、そもそも WSATools は一般公開されない代わりに認定条件の緩いプライベート対象のアプリとして Microsoft Store に登録されており、一般公開しようとしたが却下されていたそうだ。プライベート対象アプリは指定したユーザーアカウントのみ Microsoft Store アプリに表示されるが、リンクを知っていれば誰でもインストールできる。

そこで Franco 氏はプライベートのままで多くの人にダウンロードしてもらうべく、自らリンクをリークした。この作戦は成功したが、2 日後には追加の認定プロセスが走り、アプリは削除されることになる。しかし、Franco 氏が受け取った認定プロセスの報告書には何も書かれておらず混乱を呼んだが、のちに手違いであったと Microsoft から説明されたとのこと。

現在では再びプライベート対象アプリとして Microsoft Store で公開されているが、ルール違反はプライベート対象なら問題なかったのに追加の認定プロセスが誤って削除してしまったということなのだろうか。いずれにしても 2 つのルール違反を修正しさえすれば WSATools を一般公開できると Franco 氏は述べている。

ソニーが米国で PS5 のサイドパネルのデザイン特許を取得したことで、カスタマイズ用の純正サイドパネルが発売されるのではないかと期待されている(United States Patent D936,149、 The Verge の記事、 、 SlashGear の記事)。

PS5のサイドパネルはユーザーが容易に取り外し可能な構造になっているが、サードパーティが発表したオリジナルと同形状の交換用サイドパネルはソニーが法的措置をちらつかせて発売を中止させている。そのため、Dbrand のように全く異なる形状のサイドパネルを発売しているところもある。

「Cover for electronic device」と題されたこのデザイン特許は PS5 発売に先立つ昨年 11 月 5 日に出願、今年 11 月 16 日に登録された。ソニーは日本でも「電子計算機用演算制御機のカバー部品 」として同様の意匠登録 (意匠登録1686862、 意匠登録1686932) を行っている。

日本での意匠登録は昨年 5 月出願、今年 5 月登録となっており、「電子計算機用演算制御機の筐体の一部を構成しており、取り外して別のカバー部品と交換することができる」と説明されている。

イタリアの競争・市場保護委員会 (AGCM) は 11 月 23 日、Amazon と Apple が協定を結び、Amazon.it で Apple 製品の販売が可能な小売業者を制限していたとして、両社に対する制裁措置を発表した (ニュースリリース、 Mac Rumors の記事、 The Register の記事、 9to5Mac の記事)。

AGCM によると両社が協定を結んだのは 2018 年。協定により、Appleの正規販売店プログラムに参加しない Apple / Beats ブランド製品の販売業者を Amazon.it のマーケットプレイスから排除したほか、Apple が選んだ業者のみが出品できるようにしたという。

これにより正規の製品を仕入れて販売する業者であっても Apple に認定されなければ Amazon.it を利用できなくなり、競争が阻害された。Apple と Amazon は複数の国で同様の協定を結んで国別の出品者制限も行っており、AGCM ではドイツやスペインの競争当局と協力して調査を進めたとのこと。

制裁金額は Amazon が 6,870 万ユーロ、Appleが 1 億 3,450 万ユーロで、正規の Apple / Beats ブランド製品を販売する小売業者を差別することなく Amazon.it の利用を可能にすることも命じている。

これに対し Apple は顧客が正規の製品を購入できるようにするための措置だと主張し、Amazon は協定により同社の利点がないことを主張しているとのことだ。

headless 曰く、

Gartner の推計によると、2021 年第 3 四半期のスマートフォン販売台数は前年同四半期から 6.8 % 減の 3 億 4,229 万台となったそうだ (プレスリリース)。

減少が続いていた 2020 年から一転し、2021 年は第 1・第 2 四半期ともに増加していた。しかし、第 3 四半期は消費者の強い需要にもかかわらず、高周波 IC や電源管理 IC などのコンポーネント不足による世界的なスマートフォン製造の遅れにより減少に転じたという。

ただし、ベンダー別にみると 1 位の Samsung が 14.6 % 減 (6,900 万台)、6 位以下の合計が 21.4 % 減 (1 億 1,072 万台) と大きく減少する一方で、2 位 ～ 5 位は増加している。前年同四半期の 3 位から 2 位に上昇した Apple は 19.4 % 増 (4,846 万台) と大きく増加し、2 位から 3 位に後退した Xiaomi も 0.2 % 増加 (4,448 万台) している。4 位の Vivo は 20.9 % 増 (3,601 万台) で最も大きく成長しており、5 位の OPPO も 12.6 % 増 (3,362 万台) となっている。

なお、10 月末に IDC が発表した第 3 四半期のスマートフォン出荷台数推計値も前年同四半期比 6.7 % 減の 3 億 3,120 万台と傾向は似ているが、Xiaomi が減少 (-4.6 %) となり、Vivo の増加幅が大幅に小さく (5.8 %) なっている。

19日に発売された「ポケットモンスター ブリリアントダイヤモンド・シャイニングパール（長いのでBDSP）において、ゲーム内で演奏するユーザーが出て話題となっている。実際の演奏をアップしているのはすらもさん。同氏はゲーム中でTM NETWORKの楽曲「Get Wild」を見事に演奏して見せている（すらもさんのツイート、AUTOMATON）。

AUTOMATONの記事によれば、ジムリーダーを倒すと手に入る「ジムバッジ」の特徴を利用して演奏を行っているのだという。BDSPではタッチ機能を利用してプレイヤーがジムバッジを磨くことができるが、磨いたバッジをタッチすると、特定の音色を出すことができる。この音色を利用して楽曲を再生して見せているのだそうだ。

バンダイからS.H.Figuartsブランドで暴れん坊将軍こと徳川吉宗が可動フィギュアとして商品化されることとなった。プレミアムバンダイ扱いで現在予約受付中。価格は7700円（税込）で2022年6月発送予定となっている（S.H.Figuarts 暴れん坊将軍商品ページ、中日スポーツ）。

劇場版 仮面ライダーオーズで暴れん坊将軍が登場した絡みで、同ブランドから立体化されることとなったと思われるが、ライセンス的には暴れん坊将軍本編からの立体化である模様。なお受注ページの見本でも同シリーズの仮面ライダーオーズと並べられている。

演じる松平健氏本人の監修のもと立体化された。スターウォーズ系S.H.Figuartsでも利用されたデジタル彩色技術が用いられており、表情の再現度が高まっている。様々なアクションポーズが取れるほか、番組終盤の立ち回りに必要不可欠な刀と扇子も付属する。なお松平健氏本人による解説動画も公開されている（【S.H.Figuarts】松平健さんからのスペシャルメッセージ[動画]）。

akiraani 曰く、

ミニ四駆新シリーズ「レーザーミニ四駆」の世界が体験出来る最先端デジタルサーキットが17日に一般公開された。走らせるミニ四駆にマーカーシールを貼り付けることで位置を検知し、レーザー光によるプロジェクションマッピングで走行の軌跡やらコーナーでの壁面の摩擦火花をリアルタイムにエフェクトとして表示することができる（ねとらぼ）。

走行の様子はyoutubeの公式MINI 4WDチャンネルで紹介動画がされています（紹介動画:【ミニ四駆】最先端デジタルサーキット一般公開!）。キッズテーマパークなので昼間はお子様連れでないと入れないが、17時以降は大人のみでも入場可とのこと。

場所は神奈川県川崎市のイトーヨーカドー内にある「トイロパーク グランツリー武蔵小杉 powered by リトルプラネット」となる。

Appleが23日、イスラエルのNSO Groupに対し、Appleユーザーを監視・標的にした責任を問う訴訟を起こした。この件に関しては過去記事でも何度か取り上げられているが、同グループは個人データ、写真、メッセージ、正確な位置情報などを把握できるスパイウェア「Pegasus」を開発し、人権抑圧国家に売却していた（関連その1、その2）。ジャーナリスト、活動家、反体制派、学者、政府関係者といった反体制派の言論抑制などに用いられたとされる（Appleリリース、Reuters、TechCrunch、Engadget、日経新聞、GIGAZINE、ITmedia）。

今回の訴訟でAppleはユーザーへのさらなる悪用と被害を防止するため、同グループがAppleのソフトウェアやサービス、デバイスの使用を禁止する恒久的な差止命令や賠償金支払い命令を求めている。訴状では、NSO Groupが被害者の機器にスパイウェア「Pegasus」を感染させる方法に関する情報なども記載されているという。Appleはリリースの中で、NSO Groupのような国家に支援されている組織が、説明責任を果たさず高度な監視技術に何百万ドルも費やしているとし、この状況を変える必要があるとしている。

headless 曰く、

世界知的所有権機関 (WIPO) が 9 月、ドメイン名「jrrtoken.com」が商標「J R R TOLKIEN」を侵害しているとして、商標を保有する J.R.R. トールキンの遺産管理団体への移転を命じていたようだ (WIPO の裁定、 The Verge の記事、 Ars Technica の記事)。

このドメイン名を使用していた暗号通貨「JRR Token」は「すべてを支配する一つのトークン (The One Token That Rules Them All)」をキャッチフレーズとし、トールキン作品のさまざまな要素をテーマに用いていた。そのため、トークンの提供が開始された直後の 8 月 7 日、トールキンの遺産管理団体が WIPO の調停仲裁センターに申立てを行っていたという。このドメインはセンターが裁定を行った時点で「thetokenofpower.com」にリダイレクトされており、トールキン作品「ホビット」に登場するガンダルフに似た人物を含む複数の魔法使いの画像や、トールキン作品に関連するそのほかの画像が使われていたそうだ。

訴えられたドメイン保有者 (被告) は「jrrtoken.com」が商標の「L」と「I」を含まず、混乱するほど似ていないと主張したほか、トールキン作品のイメージを使用したのはパロディであり、不誠実さをもって使用したのではないなどと主張した。しかし、被告は著名な商標の 1 ～ 2 文字を置き換えたドメイン名が必ずしも商標を侵害しないという WIPO の過去の裁定を依拠としていたが、現在は当時と異なる認知可能性テストにより判定が行われるようになっている。そのため、審査委員は現在の基準で混乱するほど似ていると判断した。また、被告がパロディだと主張した点も商標の想起を認識していたことを裏付けるものとされた。

このほか、ドメイン名に対する正当な権利が被告にないこと、ドメイン名が不誠実に登録・使用されたことも認定され、ドメイン名移転の申立要件がすべて満たされたとのことだ。

電子決済大手PayPalの日本法人は23日、日本国内の一部の利用者の残高が0円になるというシステムトラブルが発生したと発表した（PayPal、NHK、ITmedia）。

ITmediaの記事によれば、Twitterでは同日から「PayPal残高が0になっていた」との声が出ていたという。報道などによれば銀行口座への引出し処理が誤って行われ、残高の全額を登録されている利用者本人の銀行口座に送金しようとしていたそうだ。同社はシステムエラーが原因で、不正アクセスによるものではいとしている。現在は大部分の日本円残高に関しては回復したものの、日本円以外の通貨を含む一部のアカウント残高に影響が残ってる模様。同社は早急な回復に努めているとしている。