米国のロン・ワイデン上院議員は17日、個人情報を適切に保護しない企業に対するより厳しい処分を規定する連邦取引委員会(FTC)法改正案(S.2637)を上院に提出した(プレスリリース、 The Vergeの記事、 Ars Technicaの記事、 法案: PDF)。

現行のFTC法では、企業が個人情報保護に関する違法行為を繰り返さない限り制裁金を科すことができない。「Mind Your Own Business Act of 2019」と名付けられたこの法案では、企業に1回目の違反から厳しい制裁金(最高で年売上高の4%)を科すことや、FTCに虚偽の説明をした企業の重役に10～20年の刑事罰を科すことなどを定め、FTCによる取り締まりを可能にする。

FTCにはプライバシーとサイバーセキュリティの最低要件の法制化やWebサイトでの追跡防止システム実装の法制化を義務付け、個人情報の不正流通等を監視するスタッフを増員する。このほか、自分の個人情報がどのように扱われているか消費者が確認できるようにすること、アルゴリズムの公正さを確認するよう企業に義務付けること、などが盛り込まれている。

法案で特定の企業名は挙げられていないが、ワイデン氏はプレスリリースで「マーク・ザッカーバーグは自身に影響がなければ米国人のプライバシーを真剣にとらえようとはしないだろう」と述べ、実刑を受ける可能性があるこの法案がそれを変えるとの考えを示している。ワイデン氏は草案を昨年11月に発表しており、専門家の意見を取り入れるなど1年かけて法案を練り上げたとのことだ。

1月に延長サポートが終了するWindows 7だが、サポート終了に向けた通知表示がWindows 7 Professionalでも始まったようだ(KB4524752、 BetaNewsの記事、 gHacksの記事、 Softpediaの記事)。

MicrosoftはWindows 7サポート終了に向けた通知を表示する更新プログラムKB4493132の提供を3月に開始したが、その後Windows 7の企業向けエディション(Professional/Enterprise)は配信対象から除外されていた。通知を表示するプログラムはタスクスケジューラに登録されるが、プログラムが起動しても通知が表示されるとは限らないようだ。手元のWindows 7 Home Premium環境ではKB4493132が何度かインストールされていたが、実際に通知が表示されたのは10月18日だった。

先日リリースされた更新プログラムKB4524752はWindows 7 Professionalを対象とし、サポート終了の通知を表示するものだ。ただし、この更新プログラムがインストールされたすべての環境で通知が表示されるわけではなく、ドメインに参加しているデバイスやキオスクモードのデバイス、Windows 10無料アップグレードの通知(GWX)を無効化していたデバイスでは表示されないという。

通知の内容はKB4524752とKB4493132で共通だが、3月のものからは変更されている。現在は「Windows 7のサポート終了は来年、2020年1月となります。」「2020年1月14日以降、マイクロソフトからのWindows 7のセキュリティ更新プログラムや技術サポートは提供されなくなります。移行の準備として、各種ファイルのバックアップをとっておくことをお勧めします。」という内容だ。「詳細を見る」をクリックすると、「Windows 7のサポート終了情報」ページが表示される点は以前と同様だ。

通知は「今後、このメッセージを表示しない」にチェックを入れてウィンドウを閉じれば以降は表示されなくなるが、ITプロフェッショナル向けにはGWX無効化のレジストリ設定も紹介されている。なお、KB4524752をアンインストールしても次の更新プログラムチェックで再インストールされるため、推奨されないとのことだ。

Googleが先日発表したPixel 4/Pixel 4 XLでは指紋センサーが省略された代わりに顔認証が利用できるようになっているが、目をつぶっていても認証できてしまうことがある仕様らしい(BBC Newsの記事、 Android Policeの記事、 9to5Googleの記事、 SlashGearの記事)。

iPhoneのFace IDではデフォルトで画面注視認識機能が有効になっており、意識して画面を見ている場合にのみ認証される仕組みになっている。Face IDが初めて搭載されたiPhone Xの発売当初には偽の目玉で突破できたという実験結果が公表されており、最近も眠っている人に細工した眼鏡をかけることで突破する方法が公表されているが、実際に不正利用するには所有者が目を覚ましてしまう危険が伴う。

一方、Pixel 4の場合はGoogleのヘルプドキュメントに「お持ちのスマートフォンが自分以外の人によって顔の前に掲げられたとき、目を閉じている場合でもロックが解除されることがあります」と明記されている。Pixel 4の正式発表前にリークした画像では、顔認証でのアンロック時に目を開いていることを必須とするオプションが設定アプリに含まれていた。しかし、BBC Newsへの貸し出し機材には該当オプションがなく、Googleはリリース版には含まれないことをBBC Newsに伝えている。そのため、不正使用される可能性がある場合は顔認証自体を無効化するしかないようだ。

目をつぶった状態でPixel 4のロックを解除する検証動画を公開したBBC NewsのChris Fox氏は、眠っていても死んでいても認証されてしまうのは問題だと批判している。

Samsung Galaxy S10では超音波指紋センサーをスクリーン内部に搭載しているが、サードパーティー製のスクリーンプロテクターを使用すると登録されていない指紋でもアンロック可能な問題が発生しているそうだ(Samsungの発表、 9to5Googleの記事、 The Vergeの記事、 BetaNewsの記事)。

この問題を最初に報じたThe Sunの記事によれば、英国の女性がeBayで購入したシリコン製の全面保護ケース(こんな感じのもの)を装着してから指紋を登録したところ、登録していない夫の指でもロックが解除できたという。故障ではないかとSamsungのカスタマーサービスに電話すると、担当者はリモート操作で設定を確認したうえでセキュリティ上の問題を認めたとのこと。Samsungの広報担当者はThe Sunに対し、内部で調査を行っていること、顧客にはSamsungが認定した専用のアクセサリーを使用するよう推奨していることを伝えていた。

Samsungの発表によると、特定のシリコン製スクリーン保護ケースの3Dパターンを超音波指紋センサーが指紋パターンと認識・登録してしまうことが原因だという。つまり、プロテクター装着後に指紋を登録したのが問題のようだ。そのため、Galaxy S10シリーズ/Note10シリーズで同様のケースを使用している場合はスクリーン側のカバーを取り外し、登録済みの指紋をすべて削除して再度登録すること、この問題に対応するパッチを適用するまではカバーの使用を避けることを推奨している。パッチは早ければ来週提供できる見込みとのことだ。

Anonymous Coward曰く、

TBSテレビ系列で平日の朝に放送されている情報番組「あさチャン！」の2019年10月16日放送回で、中国SNS、Weibo（微博）からの動画として見事なドライビングテクニックが称賛された迷惑トラックドライバーの映像が紹介された（JCC・最新のTV情報）。しかし、この映像はチェコのゲーム開発企業SCS Softwareが開発・販売しているトラックドライビングシミュレーションゲーム「Euro Truck Simulator 2」の映像ではないかとの指摘が出ている（maruhoi1's blog、SCS Softwareさんのツイート）。

映像は解像度が鮮明ではなく、現実のようにも見えなくもないが、明らかに現実ではありえないパーキング位置を示すUIアイコンが表示されており、これがETS2の映像であることは間違いないようだ。

開発元のSCS Software社も公式アカウントにて反応し、「ETS2が日本の朝のテレビ番組『あさチャン！』で紹介されたことに驚いた」とツイートしている。

近年はビデオゲームのグラフィックが飛躍的にリアルになったことでゲームの映像が現実と取り違えられることが起きており、今年7月にはパキスタンの政治家が米Rockstar Games社のオープンワールドクライムアクションゲーム「Grand Theft Auto V」の映像を現実と勘違いしてツイートする出来事があった。ビデオゲームの映像や画像がニュースに登場した事例は海外でもたびたび起きているようだ。

Anonymous Coward曰く、

「日本国」「千円」と刻印された謎のコインの存在がTwitterなどで話題になっている（Togetterまとめ、INTERNET Watch）。

一見すると記念硬貨のようにも見えるが、このような硬貨が発行された記録は確認できないとのこと。

偽造硬貨扱いはされないのだろうか。硬貨としてでは無く単なるコインとしてはよくできている気がするが。

Anonymous Coward曰く、

Twitterで写真に「すぐ消す」というコメントを付けて投稿するのが一部で流行っているそうだ（INTERNET Watch）。

元々は仲間内だけに見せてその後本当に削除するような写真にこういったコメントを付けて投稿することが多かったようなのだが、「すぐ消す」という検索ワードで検索する人が増えてきたため、その対抗措置（もしくは冷やかし、いたずら）として何の変哲も無い写真に「すぐ消す」というキーワードを付けて投稿する人が出てきた、ということらしい。さらにこのワードが検索されることを知って、Tweetを拡散させた業者が「すぐ消す」というワード付きで投稿するケースも出てきているそうだ。

Anonymous Coward曰く、

米民間宇宙開発会社SpaceXは人工衛星を使ったブロードバンド接続サービス事業「Starlink」を計画している。すでにそのための衛星打ち上げが開始されているが（過去記事）、この事業に向けて同社は追加で3万基以上の通信衛星を打ち上げる可能性があるという（ SpaceNews、Startflight Now）。

もし申請が認められれば、既存計画の1万2000基とあわせて実に4万基以上と、Starlink衛星だけで夜空が埋め尽くされそうである。SpaceXはインターネットをすべて衛星経由に置き換えるつもりなのだろうか？

Anonymous Coward曰く、

過去700年にわたる、ヨーロッパでのワイン用のブドウの収穫日記録を分析した論文が発表された。これによると、最近30年間ではブドウはそれ以前と比べて2週間ほど早く収穫されているという。これは温暖化の兆候だとみられているそうだ（ナショナルジオグラフィック、カラパイア、Climmate of the Past誌掲載論文）。

ワイン造りにおいてブドウの収穫のタイミングは非常に重要なことから、毎年収穫時期が記録されてきたという。たとえばヨーロッパ全土が「焼けるように暑かった」とされる1540年の夏に作られたワインは糖度が高く、アルコール度数も高かったそうだが、これは暑さによってブドウの成熟が早まったのが原因だという。

温暖化とワインの影響については、過去にも論文が発表されている（Nature Climate Change）。

headless曰く、

Googleは15日、Pixelシリーズスマートフォンの新モデルとなるPixel 4とPixel 4 XLを発表した（The Keywordの記事、スペック一覧）。

Pixel 4は5.7インチディスプレイ（FHD+）を搭載し、本体サイズは147.1mm×68.8mm×8.2mm、重量162g、バッテリー容量は2,800mAh。Pixel 4 XLのディスプレイは6.3インチ（QHD+）で本体サイズ160.4mm×75.1mm×8.2㎜、重量193g、バッテリー容量は3,700mAhとなっている。両モデルともディスプレイはノッチレスのOLEDディスプレイ（アスペクト比19:9）で、ディスプレイと本体サイズ/重量、バッテリー容量以外のスペックは共通だ。

主なスペックはQualcomm Snapdragon 855+Adreno 640+Pixel Neural CoreにOSはAndroid 10、RAM 6GB、内蔵ストレージは64GBまたは128GBが選択できる。リアカメラはメイン12.2メガピクセル+望遠（2×）16メガピクセルのデュアルカメラ構成で、フロントカメラは8メガピクセルとなっている。本体はアルミニウムフレームに両面Gorilla Glass 5、防塵・防水性能はIP68。カラーバリエーションは「Just Black」「Clearly White」、限定色「Oh So Orange」の3色が用意される。3.5mmオーディオジャックは搭載されない。

Pixel 4/Pixel 4 XLともに10月24日には全世界で出荷開始予定だという。米国のGoogle Storeでは既に事前予約受付が始まっており、SIMフリー版の価格はPixel 4が799ドル（64GB）/899ドル（128GB）、Pixel 4 XLが899ドル（64GB）/999ドル（128GB）となっている。日本時間16日午前3時の時点で日本のGoogle Storeには情報が出ておらず、「10月16日をお楽しみに」としてメール配信の登録を受け付けている。

Pixel 4/Pixel 4 XLは昨年のPixel 3/Pixel 3 XL以上に早い時期から盛大にリークしており、10月初めには基本スペックが判明していたため、今年も驚きの少ない発表となった。発表が行われたMade by Google 2019では冒頭でこれから発表する製品が並ぶ写真をスクリーンに映し、ためることもなく淡々と各製品を紹介していく感じで、観客が歓声を上げるタイミングを計りかねている感じにも見えた。

「スギ薬局」を展開するドラッグストア業界6位のスギホールディングスでは、キャッシュレス決済の増加によって支払い手数料が大きく増加したという（日経ビジネス）。

同社の2019年3〜8月期決算で明かされたもの。スギ薬局ではSuicaなどの交通系ICカードやPayPayなどのQRコード決済が利用可能で、2019年3〜8月期のキャッシュレス決済比率は前年同期比で4.7％増の28％だったという。これによって支払い手数料は20億7,800万円から25億1,500万円に増加、売り上げに占める手数料の割合も0.9％から1％に増えたという。

Anonymous Coward曰く、

9月26日、Amazon.co.jpで他人の注文履歴や名前、住所、連絡先などが閲覧できてしまう不具合が発生していたが（過去記事）、これを受けて個人情報委員会が10月11日、同社に対し行政指導を行なった（日経新聞、CNET Japan）。

個人情報保護委員会の発表によると、別のユーザーに個人情報が表示された可能性のあるアカウントは約11万アカウントとのこと。個人情報保護委員会への報告が行われており、同委員会は再発防⽌策および利⽤者からの問い合わせへの対応を確実に履⾏するよう求めたとしている。

KAMUI曰く、

韓国で1999年にサービスを開始し、韓国内で2,000万人を超えるユーザーがいたソーシャルネットワークサービスの「サイワールド」がアクセス不能になっている（東亜日報）。

韓国の財閥・SKグループのSKコミュニケーションズによって立ち上げられたサイワールドは米国や中国でもサービスを提供していた時期があり、2005年12月から2009年8月まで日本版も運営されていたが、2014年には分社化された後、韓国内でポータルサイトを運営する人物に売却されていた。しかし経営難による賃金未払いなどから今夏にはサーバー要員が退社してしまい、遂に今回の事態になった模様。

使用しているドメインcyworld.comも11月12日には失効してしまうが延長などの措置は取られていない。今回、閉鎖についての事前告知などもなかった為、利用者は「思い出の写真などを失った」として憤っているそうだ。

先週、NTTドコモとKDDIが携帯電話・スマートフォンの新モデルを発表したが、シニア向け端末以外でワンセグチューナーを搭載するのは「Xperia 5」のみだそうだ（Engadget日本版）。

iPhoneやPixelシリーズは当初からワンセグに対応していないが、昨今ではシャープのAQUOSシリーズでも非対応のものが増えており（Engadget日本版の過去記事）、SamsungのGalaxyシリーズも今回はワンセグ非搭載となった。理由としては「ネットでの映像配信が増えているため」だという。

sudoコマンドで、任意のユーザー権限でのコマンド実行を許可されているユーザーに対し、ルート権限で指定したコマンドを実行できてしまう脆弱性が確認された（sudo公式サイトでの脆弱性報告、サイオスセキュリティブログ）。

この脆弱性は、実行するユーザーを指定するsudoコマンドの「-u」オプションで「-1」もしくは「4294967295」を指定すると、そのユーザーIDではなくルート権限で指定したコマンドを実行できてしまうというもの。

任意のユーザーがルート権限を取得できるわけでは無く、sudoersなどの設定ファイルで「ALL」キーワードを使って任意のユーザー権限でのコマンド実行が許可されたユーザーのみがルート権限を奪取できる。実行できるコマンドが指定されていた場合はそのコマンドのみがルート権限で実行できる対象となる。

また、この際にログにはroot権限ではなく指定したユーザーID（-1もしくは4294967295）で実行されたものとして記録される。こうしたユーザーIDは存在しない為、PAMセッションモジュールも実行されない。

この問題を悪用することで、たとえば「＜ユーザー名＞ = (ALL, !root) ＜コマンド名＞」のようにroot以外のユーザーでsudoコマンドを利用できるように指定されていた場合に、本来は不可能なはずのroot権限でのコマンド実行が可能になってしまう。