taraiok曰く、

WebブラウザやOSの脆弱性を狙うハッキングコンテスト「Pwn2Own 2017」で、Edgeブラウザの新たな脆弱性や、仮想マシン内からゲストOSにアクセスする手法などが発見された（PC Watch、TomsHardware、Slashdot）。

昨年の同コンテストでは、EdgeブラウザのセキュリティはIEやSafariよりも優れているもののChromeには及ばないという結果が出ていたが、今年はEdgeブラウザの状況が悪化し、Edgeに対する攻撃は合計で5回成功したという。Edgeに対する賞金額が多かったために狙われたという側面もあるようだが、一方でChromeへの攻撃は一度も成功しなかったという。

発見された具体的な問題は、JavaScriptエンジンとサンドボックスのロジックバグ、UAF脆弱性とWindowsカーネルでの別のUAFバグを使った攻撃、VMware Workstationの初期化されていないバッファを悪用する攻撃など。特にVMware Workstationの不具合とEdge、Windowsの不具合を組み合わせた攻撃では、仮想マシン上で動作していたEdgeからホストOSへのアクセスが可能になっていたという。この攻撃を成功させたチームは10万5000ドルの賞金を獲得したとのこと。

HTTPS通信を監視するセキュリティ装置の一部で、TLSによる保護が十分ではなく、セキュリティ強度が低下する恐れがあるという（ZDNet Japan、JPCERTによる「HTTPS 通信監視機器によるセキュリティ強度低下の問題」という注意喚起）。

HTTPSではクライアント－サーバー間で暗号化されたデータがやり取りされるため、通常その経路に流れるデータを観測してもその中身を読み取ることはできない。そのため、HTTPS通信を監視する装置を利用する場合、クライアント側に専用の証明書をインストールすることで監視装置が暗号化されたデータを復号して読み取れるようにしておく必要がある。この場合、クライアントは監視装置の信頼性については証明書を用いて検証できるが、監視装置と目的のWebサーバーとの間の通信については、クライアントからはコントロールすることができない。

最近発表された論文によれば、多くの監視機器がWebサーバーの証明書チェーンを正しく検証していないという。そのため、監視機器とWebサーバーの間で中間者攻撃が行われる可能性があるという。

各機関では、ユーザーに監視機器が証明書チェーンを適切に検証しているかどうかや、検証結果に関する警告やエラーをクライアント側にレポートしているかを確認してほしいと呼び掛けている。

あるAnonymous Coward 曰く、

米国で農業用トラクターのハッキングが流行しているそうだ（MOTHERBOARD、PopularMechanics、ギズモード・ジャパン、WIRED、Slashdot）。

米大手農業機械メーカーディア・アンド・カンパニー（ブランド名：ジョン・ディア）では、昨年の10月に制限的なライセンス協定を設定することにより、純正サポート以外のほぼすべての修理や修正を禁止した。このライセンス協定はキーを回すか、専用ソフトウェアを起動した時点で適用される模様。その結果、農家は自分でできそうな調整レベルの修理でさえできなくなったという。

純正サポートを受けるにも、メーカー拠点が遠い場所にあることがあり、また技術費用も高いことも問題になっている。この結果、ウクライナなど東ヨーロッパ諸国でクラックされたジョン・ディア用の海賊版ファームウェアが出回るようになったという。このファームウェアは三つのプログラムから構成されており、エンジンからキャブレターまでいろいろな部分をカスタマイズできるとしている。海賊版ファームウェアは招待制のフォーラムで販売されている模様。

headless 曰く、

Microsoftは中国電子科技集団（CETC）と設立した合弁会社で中国政府専用版のWindows 10を開発していたが、このほど市場投入への準備が整ったそうだ（China Daily、Morningstar、Register、Ars Technica）。

中国政府専用版のWindows 10はコンシューマー向けのアプリやサービスを減らし、中国政府が必要とする管理機能やセキュリティ機能を強化したもの。ソフトウェア自体は1年ほど前に完成していたが、大企業3社でのテストが完了し、市場投入が可能な状態になっているとのこと。

中国では今年、企業向けPC市場が再び成長に転じることが予想されている。政府機関がWindows 10を導入することになれば、私企業でも導入が進むとみられる。

中国政府は米国家安全保障局（NSA）による大量監視プログラムがエドワード・スノーデン氏の内部告発で明らかになって以降、Microsoftの新製品を調達リストから外している。Windows 10が政府の調達リストへ追加されるために必要な審査はこれからだが、CETCの会長は合格する自信があるようだ。

あるAnonymous Coward 曰く、

米国で、てんかん患者に対しTwitterで「激しく点滅する画像」を送りつけ、てんかん発作を起こさせた男が逮捕された（AFP、CBS、New York Times）。

被害を受けたのは、Newsweekの記者Kurt Eichenwald氏。氏のTwitterアカウント宛に届いたダイレクトメッセージを開いたところ、激しく点滅するようなGIFアニメーション画像が表示され、これを見たEichenwald氏はてんかん発作を起こして倒れたという。

その後、このメッセージを送信した29歳の男性が傷害の容疑で逮捕された。このメッセージはEichenwald氏が行ったトランプ大統領批判に対して送られたと見られており、「発作でお前の投稿に対する報いを受けろ」的な文章が添えられていたという。氏はこれ以外にも同様の画像を受け取っており、それらはすべて当局に提供しているとのこと。

headless曰く、

米国・ミネソタ州の地方裁判所が2月、特定の期間に特定の人物名でGoogle画像検索を実行したユーザー全員の情報の取得が可能となる捜査令状を発付していたことが先日判明した（Register、Ars Technica、Consumerist、発見者Tony Webster氏のブログ）。

問題となったのは、何者かが被害者になりすまし、被害者の信用組合口座から別の銀行口座に送金させようとした詐欺事件に関連する捜査。犯人が身分証明書として信用組合に提出した偽造パスポートのコピーには、被害者と同姓同名の人物の写真が使われていたという。

同じ写真はGoogleの画像検索結果に表示される一方、BingやYahoo!の検索結果には表示されないことから、地元イーダイナの警察は写真の入手元をGoogle画像検索と断定。裁判所は検索を実行したユーザーの情報について証拠提出命令を出していたが、Googleが拒否したことから捜査令状が発付されることになったようだ。

令状は被害者名のバリエーション4種（ミドルネーム表記の違いと思われる）のいずれかを2016年12月1日～2017年1月7日の期間に検索したユーザーについて、アカウント情報やIPアドレスなどをGoogleから取得可能な内容になっている。令状はイーダイナで請求されたものだが、対象となるユーザーの所在地はイーダイナに限らないとみられている。

しかし、たまたま被害者や被害者と同姓同名の人物をGoogleで検索した知人など、事件とはまったく無関係なユーザーも令状の対象に含まれることから、不合理な捜索や押収を禁じた合衆国憲法修正第4条に違反するとの指摘もある。Googleは個別の事件についてコメントはできないが、極端に幅広いユーザーに関する情報が請求された場合には常に拒絶していると述べているとのことだ。

米Amazon.comにおいては、偽造品や模造品が多く販売されていることが問題視されている（過去記事）。Amazonは今までも偽造品対策に力を入れるとしているが、効果はあまり見られていなかった。そのため、偽造品排除の新たな仕組みを導入するようだ（ロイター、CNET Japan）。

導入されるのは、「ロゴや知的所有権をAmazonに登録する」システム。登録を行う事で、それらを無断で使用した偽造品への削除要請が行えるようになるという。削除要請はその権利を所有する企業などだけでなく、Amazonで購入するユーザーからも行えるとのこと。Amazon側での自主的な削除も可能なようだ。

headless 曰く、

Googleは21日、次期Android 「O」の最初の開発者向けプレビュー版となるAndroid O Developer Preview 1を公開した（Android Developers Blog、Android O Developer Preview、9to5Google、Neowinの記事）。

Android O Developer Preview 1の主な新機能は、バックグラウンドでの実行制限・位置情報取得頻度の制限をアプリで設定することでバッテリー消費を減少させる機能や、ユーザーによる通知の管理を容易にするNotification Channels、他のアプリに切り替えても動画の視聴を続けられるPicture in Picture（PIP）、デバイスごとに異なる形状のアプリアイコンを表示できるAdaptive Iconsなど。

Developer Preview 1はエミュレーターのほか、Nexus 5X/Nexus 6P/Nexus Player/ Pixel/Pixel XL/Pixel Cで実行できる。Developer Preview 1は開発者専用であり、実機で使用するにはシステムイメージをダウンロードしてデバイスをフラッシュする必要がある。

Android Studio 2.4 CanaryにはAndroid O向けの機能が搭載されており、Android Studio内でプレビュー版のAndroid O SDKをセットアップすればAndroid Oの新機能を使用したアプリを開発できるようになる。また、Support Library 26.0.0 Alpha 1（ページを英語表示に切り替える必要あり）も公開されている。

Developer Preview 1はアルファ版であり、5月にはベータ版のPreview 2が公開される。6月のPreview 3ではAPIが最終版となって公式SDKが公開され、Google Playでのアプリ公開も開始される。7月には最終テスト用のPreview 4が公開され、第3四半期にファイナル版がリリースされる予定とのことだ（Program Overview）。

あるAnonymous Coward 曰く、

GMOインターネットのADSLサービスで行われていた「今なら6か月無料」キャンペーンに対し、消費者庁が景品表示法違反（有利誤認）に当たるとして再発防止を求める措置命令を出した（消費者庁の発表、ITmedia）。

キャンペーン期間として当初は「2015年9月30日まで」としていたにもかかわらず、この期間が過ぎた後には締め切り期日を変更してキャンペーンを続けていた点が問題とされている。毎月1か月ずつキャンペーン期間が延長されており、消費者庁によると2016年2月29日までの延長が確認されているようだ。

ビットコインで「分裂問題」が発生している。これに対しビットコイン取引所18社が現在のビットコインを指示するとの宣言を行った（TechCrunch）。

ビットコインでは現在いくつかの問題が浮上している。その一つが、「ビットコインのブロックサイズ問題」だ。ビットコインで使われているブロックチェーンのブロックは現在最大1MBという上限があるため、記録できる情報量の制約が大きく、今後取引量が増えた場合に対応できなくなる可能性がある。そのため、この問題を解決するためのいくつかの方法が提案されているのだが、ビットコイン採掘者や開発者間でどの方法を採用するのかの合意が取れていない。そのため、一部のビットコイン採掘者らの間で、「Bitcoin Unlimited」と呼ばれる独自に互換性のないアップデートを強行しようとする動きが発生していた。

今回ビットコイン取引所らは、もしこのような「分裂」が起こった場合には現在の本流であるBitcoin Coreをビットコイン（BTC、あるいはXBT）とし、Bitcoin Unlimitedは別の新しい仮想通貨として扱うとすると宣言している。

maia 曰く、

Googleが3月15日、新たなJPEGエンコーダー「Guetzli」をリリースした（Google Research Blog、Qiita、Engadget Japanese、OSDN Magazine）。

Guetzli（グエツリ）はスイスドイツ語でクッキー）という意味。圧縮率の改善に取り組むJPEGエンコーダーは他にもあるが、Guetzliの性能やいかに。色々説があるみたいで……。

ネット動画配信サービス大手のNetflixの普及によって、米国では一般的なテレビ放送というものを見ない家庭が出てきているという。そういった家庭で育った子供は、テレビCMというものが何なのか分からないそうだ（extremist、GIGAZINE、ハフィントンポスト）。

extremistが「一般的なテレビを見る家庭」50世帯と「Netflixしか見ない家庭」50世帯を対象に行った調査で、「子供がコマーシャルは何かということを知っている」という問いに対し「YES」と答えたのは前者が57％だったのに対し後者は12％と、大きく違いが出ている。

また、extremistは昨年にNeflixによって子供がテレビCMを視聴する時間が年間150時間も削減されるというレポートも発表している。各家庭からは、子供をテレビCMから遠ざけることができて良いというコメントがあるいっぽう、テレビCMが好きな子供もいるという声もあるとのこと。

あるAnonymous Coward曰く、

Microsoftのエンジニアが、同社が使用しているデータセンター内のサーバーの半数以上はARM64ベースのものに置き換え可能であるとの見通しを示したそうだ（Register）。

データセンター関連のイベントOCP Summitで発表されたもの。OCP Summitでは先にMicrosoftがARM向けのWindows Serverが開発されていることが明らかにされていた（過去記事）。

今回の発表では、Microsoftが提供しているクラウドサービスを運用しているサーバーについて、ARMベースのものに移行する計画を進めていることが明らかにされた。具体的には検索やストレージ管理、データベース、ビッグデータ、機械学習といった用途で活用できるという。

AMD64よりはARM v8の方が消費電力の面で優れていると思われるが、競争にならないほどの差は生まれないと考えられる。サーバー分野ではインテルのXeonが圧倒的優位にあることから、ARMと競争させることでコスト削減を狙っているのではないか。

またAMD64を提供できる会社が実質2社なのに対し、ARMは可能性の話も含めると、クアルコム、富士通、AMD、Nvidiaと選択肢が豊富になる可能性があり、将来的にはさらにインテルとの価格交渉を優位にできる材料が増える可能性もある。

あるAnonymous Coward 曰く、

KDDIは貴重な2文字ドメイン「au.com」を2013年ごろに買収していた。インターネットアーカイブの記録によると昨年末にはauのサイトへリダイレクト状態になり、今年になってからauのサイトとなった。

au.comは1990年台半ば、アンビューエル・ウラキーというコンサル会社が所有しており、2000年前後にオーストラリアの略としてセカンドレベルドメインの形でサブドメインが販売されいた。KDDIの買収前はNetRegistryという会社が管理していたが、販売が中止され、こちらのフォーラムによると2013年ごろにKDDIにドメイン所有権が移転された模様。買収額などは不明。

他に日本企業が所有している2文字ドメインとして日本たばこ産業（www.jt.com）がある。

The Guardian、Channel 4、BBCといった英国のメディアや英国政府がYouTubeへの広告出稿を取りやめたそうだ(The Guardianの記事[1]、 [2]、 BBC Newsの記事、 Ars Technicaの記事、 VentureBeatの記事)。

広告出稿取りやめの理由は、過激派やヘイトプリーチャー(憎悪の説教師)などのYouTubeコンテンツに広告が表示されていることが確認されたためだという。The Guardianによれば、広告枠をプログラマティックに選択するDoubleClick Ad Exchangeサービスを利用していたという。

The Guardianは、今後不適切なコンテンツに配信されないことが保証されるまでYouTubeだけでなくGoogleへの広告出稿をすべて取りやめると述べており、他ブランドに対してもAlphabet傘下の企業をブラックリストに入れるよう呼び掛けている。英政府もGoogleの重役を呼び出し、改善を求めたとのこと。

このような問題は2月、イスラム武装組織ヒズボラのYouTube動画にヒュンダイのスーパーボウル向け広告が表示されたことで表面化し、トムソンロイターなどが広告出稿を取りやめている。

これに対しGoogle UKは、非常に小さなパーセンテージで同社の収益化ポリシーに違反するコンテンツに広告が表示されてしまうことがあると述べ、発見し次第削除しているが、さらなる対策が必要との見解を示した(Google — The Keywordブログの記事)。

過激派やヘイトプリーチャーなどはYouTubeの動画に表示される広告から少なくとも318,000ドルの収入を得ているとの試算も出ており、Googleがヘイトスピーチで収益を上げているとの批判も出ているようだ(The Guardianの記事[3]、 [4])。