GoogleのProject Zeroチームが8月末に公表したiOSの脆弱性を狙う攻撃について、実際よりもはるかに大規模な攻撃が行われているように印象付けているとして、AppleがGoogleを批判している(Appleの声明、 The Vergeの記事[1]、 [2]、 Ars Technicaの記事)。

Project Zeroはブログ記事で、バージョンごとに異なるiOS(10～12)の脆弱性を組み合わせたエクスプロイトチェーンにより、ハックされたWebサイトを訪れただけでユーザーのiPhoneに監視ツールをインストールする攻撃キャンペーンが少なくとも2年間行われていたと主張している。Webサイトの数は少数で、週間ビジター数は数千人程度、特定のグループを対象にした攻撃、などといった記述がみられる一方、すべてのiPhoneが攻撃の対象になっていたような記述もみられる。

Appleは攻撃に使われていたのがウイグル族向けのWebサイトで幅広いiPhoneユーザーがターゲットになっていたわけではないとし、攻撃に使われていたWebサイトは1ダースもなく、攻撃が行われていた期間も2か月程度だったと主張する。また、エクスプロイトで使われていたiOS 12のゼロデイ脆弱性はGoogleから通知を受けた時点で既に修正作業が進んでいたとも述べ、脆弱性の影響が小さいと印象付けつつiOSの安全性を強調している。

一方、GoogleはProject Zeroの投稿がセキュリティ脆弱性に関する理解を深めるためのものであり、防御戦略を向上させるなどとして、Project Zeroを支持する声明を出したとのことだ。なお、攻撃はWindowsユーザーやAndroidユーザーもターゲットにしていたとForbesが報じていたが、これに関する言及はない。

Microsoftは5日、Windows 10向けにリブートした新生PowerToysの最初のプレビュー版を公開した(プロジェクトページ、 ダウンロードページ、 The Vergeの記事、 gHacksの記事)。

PowerToysはWindows 95以降、Microsoftが非サポートのパワーユーザー向けツールの総称として使用していたが、PowerToys for Windows XPを最後に目立つところでは使われなくなっていた。新生PowerToysはWindows 10向けの新たなPowerToysをオープンソースで開発するというもので、5月に計画が発表されていた。

今回公開されたプレビュー版は常駐プログラムで、ウィンドウをスナップさせることが可能なレイアウトを作成できる「FancyZones」と、Windowsキーを長押しすることでWindowsキーとの組み合わせで使用可能なショートカットキーをオーバーレイ表示する「Shortcut Guide」が含まれる。なお、現在のバイナリはJanea Systemsにより署名されているが、将来のリリースではMicrosoftが署名するとのこと。

このほか現在作業が進められている機能として、5月時点で発表されていた「Maximize to new desktop (MTND) widget」に加え、ウィンドウの「閉じる」ボタンやタスクマネージャーで終了できなくなったプログラムを強制終了できる「Process terminate tool」、選択したファイルを新しいフォルダーに移動してからリネームしたりファイル名の一部を置換したりできる一括リネームツール「Batch file renamer」、画面を録画してアニメーションGIFを生成・編集できる「Animated gif screen recorder」が挙げられている。スラドの皆さんが気になる機能はあるだろうか。

st1100 曰く、

横浜市内を運行する新交通システム シーサイドラインが6日、無人運転を再開した(PDF)。

シーサイドラインは6月1日に始発駅の新杉田駅で逆走事故を起こし、6月4日から運転士が乗務する手動運転を行っていた(PDF)。その後、国土交通省鉄道局が設置した「無人で自動運転を行う鉄軌道の事故防止に関する検討会」で検討を重ね、7月19日の第３回検討会で対応策の有効性が確認された(PDF)。

これまでは、信号線の異常で進行方向の情報が無い場合に、直前の進行方向を継続するソフトウェア設定となっていた。これを改めるには、ソフトウェアの変更のみならず信号線の設計を変えねばならず、システムを入れ替えなきゃならないのではとタレコミ子は思っていたが、信号線の変更とソフトウェアの修正で対策が済んだ様だ。

シーサイドラインは8月31日始発から保安要員が乗車した状態での自動運転を再開しており(PDF)、列車検査がすべて完了したことから端末駅ホーム監視による無人運転に移行したとのことだ。

各種ゼロデイ脆弱性を利用したエクスプロイトの買取を行うZERODIUMが3日、モバイル向けエクスプロイトの買い取り価格一部改訂を発表した(ZERODIUMのツイート、 価格改定内容、 Ars Technicaの記事、 The Registerの記事)。

これまでの最高額はiOSのエクスプロイト緩和策をすべて迂回してユーザーの操作なしに任意のアプリを永続的にインストール可能なエクスプロイト(iOS FCP Zero Click)の最高200万ドルだったが、新たに追加されたAndroidに対する同様のエクスプロイト(Android FCP Zero Click)が最高250万ドルに設定されており、Androidのエクスプロイト買取価格がiOSを初めて上回った。

また、ユーザーの操作なしに任意コード実行およびローカルでの権限昇格が可能なWhatsAppのエクスプロイト(WhatsApp RCE+LPE Zero Click)またはiMessageのエクスプロイト(iMessage RCE+LPE Zero Click)は、これまでの100万ドルから150万ドルにそれぞれ増額されている。一方、ユーザーの操作が必要なエクスプロイトに関しては、iOSのエクスプロイト(iOS FCP One Click)が150万ドルから100万ドルに減額され、iMessageのエクスプロイト(iMessage RCE+LPE)は100万ドルから50万ドルに減額された。

ZERODIUMでは今回の価格改定を市場の動向に従ったものだと説明している。

Richard M. Stallman氏が4日、Microsoft本社キャンパスで講演を行ったそうだ(Alessandro Segala氏のツイート、 Greg Yang氏のツイート、 Mark Russinovich氏のツイート、 The Registerの記事)。

講演の内容は自由なソフトウェアに関するもののようだが、Microsoftを強く批判し続けているStallman氏がMicrosoft本社で講演したことについてTwitterでは驚きのコメントが数多くみられ、Azureのオープンソース担当プロダクトマーケティングマネージャー Alessandro Segala氏は「世界が今日終わるとすれば、その理由はわかるはずだ」などとツイートしている。スライドに「CC-BY 3.0」とのライセンス表記があることに驚いた人もいるが、FSFではCC-BYなどクリエイティブ・コモンズの一部のライセンスを自由なライセンスと認めている。

なお、Microsoft Researchの研究者Greg Yang氏のツイートによれば、Stallman氏は「Satyaの著書でMicrosoftが偉大な会社であることを悟らされた...彼らがユーザーの自由に対して何をしているかを無視するならの話だが...残念ながらこれは非常に重要なことだ」と語ったとのことだ。

Microsoftが次期Microsoft EdgeでChromiumを採用したことで、Chromiumのコードベースに含まれる侮辱的・攻撃的表現を置き換える動きが進んだようだ(Issue 981129、 The Registerの記事)。

Microsoftのコントリビューターは7月初め、Microsoft内部で使用している機械学習によるツール「PoliCheck」でChromiumのコードベースをスキャンし、抽出結果の一部をバグとして報告している。このコントリビューターによればChromiumのコードベースはおおむね問題ないが、サードパーティーのコードを継承している部分に冒涜的な表現や地政学的に問題のある表現、多様性の面で問題のある表現の多くが含まれるという。

Google側ではコードベースに意図して侮辱的・攻撃的な表現を含めることはないとしつつ、これまで問題点を洗い出そうとしたことはなかったとして提案を歓迎。ただし、これらのバグをChromeチームが最優先事項として扱うことはないとし、Microsoftや他のChromiumコントリビューターが重要だと考えるなら必要なコードレビューを行うことには問題ないと回答している。

バグ報告では「wtf」「ho」「cracker」「dick」「cocksucker(s)」「molestation/unmolested」が冒涜的な表現、文字種の説明で使われている「Byelorussian」(白ロシア語、現在はベラルーシ語: Belarusian)とロケール設定で使われている「Macedonia」(今年2月にNorth Macedoniaに国名変更)が地政学的な問題がある表現として挙げられている。ただし、「Byelorussian」はユニコードの仕様で使われている表現だと指摘されている。

北海道大学は6日、北海道むかわ町穂別で化石が発見された通称「むかわ竜」が新属新種の恐竜と認定され、「日本の竜の神」を意味する「カムイサウルス・ジャポニクス (Kamuysaurus japonicus)」という学名を命名したことを発表した(プレスリリース、 新着情報、 論文、 SlashGearの記事)。

カムイサウルスは2003年に尾椎骨13個が発見されていたが、首長竜の化石と判断されてクリーニング作業は後回しになっていたという。その後恐竜の化石であることが確認され、2013年～2014年の第一次・第二次発掘と追加発掘で全身骨格が確認された。このカムイサウルスは年齢9歳以上の成体で体長8メートル、体重4～5.3トン、国内最大の恐竜全身骨格となる。カムイサウルスはハドロサウルス科で、ロシアのケルベロサウルスや中国のライヤンゴサウルスと近縁であることが判明しており、日本での新属新種の発見は日本または東アジアで独自の進化が起きていたことを示すものだという。また、カムイサウルスは海岸沿いに生息していたとみられ、これまであまり描かれていなかった恐竜時代の海岸沿いの世界を知ることのできる世界的に重要な化石とのことだ。

Mozillaは3日、Firefox 69.0をリリースした(The Mozilla Blogの記事、 リリースノート、 Neowinの記事、 VentureBeatの記事)。

本バージョンでは、コンテンツブロッキングの「サードパーティのトラッカーCookie」が全ユーザーのデフォルトで有効になる。このオプションは6月のFirefox 67.0.1で新規インストールしたユーザーを対象にデフォルト有効になっていた。また、「暗号通貨マイニング」のブロッキングもデフォルト有効になっている。

設定項目はFirefoxの「オプション→プライバシーとセキュリティ→コンテンツブロッキング」に含まれ、「標準」と「厳格」では「サードパーティのトラッカーCookie」「暗号通貨マイニング」ともにブロッキングが有効になる。標準と厳格の違いは、厳格で「フィンガープリント採取」のブロッキングが有効になる点だ。「カスタム」を選択した場合は個別にブロッキングする項目を選択できる。

このほか、Firefox 69.0ではWebページでのメディア自動再生ブロッキング機能が強化されており、音声付きのメディアだけでなくすべての音声・動画の自動再生を無効化できる。また、予告されていた通りShockwave Flashプラグインの「常に有効化」オプションが削除され、実行時に毎回確認が求められるようになった。

Flashの非推奨化にともなって、64ビット版Windowsでは32ビット版Firefoxを実行していることを識別する必要がなくなったため、32ビット版Firefoxと64ビット版Firefoxで同じUser Agent文字列が送信されるようになっている。これにより、フィンガープリンティングに使われる要素を減らすとともに、他のアプリをダウンロードする場合の利便性も向上する。

YouTubeが保護者の許諾なしに子供の個人情報を収集していた問題について、米連邦取引委員会（FTC）とGoogleが制裁金1億7000万ドル（約180億円）の支払いで合意した（日経新聞、CNET Japan、ロイター）。

米国では子供の情報収集を規制する法律があるが、YouTubeはこれを守っていなかったという。今後YouTubeは子供向けコンテンツを視聴するユーザーからの情報収集を適切に制限するとともに、子供向け動画でのパーソナライズ広告やコメント、通知の表示を廃止する方針とのこと。また、動画アップロード時にその動画が子供向けかどうかを申告することも義務付けるようだ。

また、未成年の情報収集を規制する法律についても今後修正する必要があるとの声が出ているそうだ（TechCrunch）。

Anonymous Coward曰く、

macOS版Firefoxで、Core Animationを使用することで消費電力を約3分の1に抑える機能が現在テストされているという（iPhone Mania、ZDNet、Slashdot）。

Core AnimationはmacOSが提供するアニメーション処理を行うためのフレームワーク。開発者向けのテスト版であるNightlyビルドでこの機能が投入されるようだ。

Anonymous Coward曰く、

Huawei所属の開発者らが開発したスマートフォン向けファイルシステム「EROFS」がLinuxカーネルに統合される見込みだそうだ（gihyo.jp）。

EROFSは読み取り専用のファイルシステムで、メタデータを小さくすることで高速なランダムリードや記録容量の増加を計っているとのこと。すでにHuaweiのAndroidベースOS「EMUI」で採用されているという。

Anonymous Coward曰く、

8月30日にリリースされたWindows 10 May 2019 Update（19H1、バージョン1903）向けの累積アップデート「KB4512941（ビルド18362.329）」を適用した際に、レジストリの設定でWindowsの検索画面におけるBing検索を無効化していると「SearchUI.exe」というプロセスのCPU使用率が異常に高くなるという不具合が発生するとの報告が出ている（PC Watch、窓の杜、CNET Japan）。

窓の杜によると、該当のレジストリエントリを削除するか、値を1（有効）にすると問題が解消される可能性があるという。

Anonymous Coward曰く、

Facebookが、投稿への「いいね！」数表示を廃止するテストを行うようだ。「いいね！」を獲得するための競争やこれによる自己検閲などを防ぐのが目的。リバースエンジニアリングでたびたび発表前の新機能を見つけ出している個人開発者のジェーン・マンチュン・ウォン氏が9月2日に画像付きで紹介して発覚した。

Facebook傘下のInstagramではすでに「いいね！」数の非表示をテストしている。このテストでは、「いいね！」の総数は表示されず、投稿者と友達関係にあるユーザーが「いいね！」を行ったことだけが表示されるようになる。

いいね!の廃止については、米Twitterのジャック・ドーシーCEOも2018年10月にコメントして物議を醸した。同氏は「いいね！」がSNS中毒の原因になっていると指摘していたが、実際にTwitterが廃止を行うかは不明（TechCrunch、ITmedia、Slashdot）。

Anonymous Coward曰く、

2018年10月13日、ウィスコンシン州で銀行強盗が発生した。彼らは現金を奪うことに成功、わずか7分間後に銀行を後にした。警察と連邦政府のエージェントは銀行強盗の追跡に苦戦した。防犯カメラの写真も公開されたが、サングラスとヒゲの変装をしており、具体的な情報を得ることもできなかったという。

そこで、警察はより攻撃的な戦略を取ることにした。銀行強盗の電話を追跡することをGoogleに依頼したのだ。犯行時刻前後の30分以内に、犯行現場の周囲100フィート以内にいたすべてのGoogleユーザー個人の名前を引き出すことをGoogleに求めた。警察は犯人だけでなくそれを送迎したドライバーも見つけ出せる可能性があると踏んだのだ。

これについて裁判所は合法な要求であると判断、追跡は実行に移された。この種の令状は、逆ロケーション検索と呼ばれているが、近年ますます一般的になっていいる。ミネソタ州では過去1年間に20件ほど令状が出されているという（The Verge、Slashdot）。

taraiok曰く、

多くの欧米人は、中国の社会信用制度について不安を感じている。しかし、こうしたシステムは中国固有のものではない。米国でもテクノロジー大手のユーザーポリシーや民間企業によるソーシャルメディア活動の監視によって、同様のシステムが構築されつつあるそうだ（FastCompany、Slashdot）。

その例の1つが保険会社だ。ニューヨーク州財務局は今年、生命保険会社がソーシャルメディアへの投稿に基づいて保険料の内容を決めることを許可すると発表した。たとえば、片手にマティーニ、もう片方にチーズフライのバケツを持ち、タバコを吸ったInstagramの写真を投稿していれば保険料は跳ね上がる。Facebookにヨガをしていることを投稿すれば、保険料は下がるかもしれない。

別の例としては、「PatronScan」がある。これは、バーやレストランのオーナーに向けた顧客管理システムを販売している企業の名前だ。同社は過去にケンカや性的暴行、麻薬、盗難、そのほか悪行を起こした人物を識別するためのブラックリストを提供しており、このシステムを採用している米国のバーでトラブルを起こしたことのある人物は、同じく同システムを採用した米国、英国、カナダのバーで最大1年間出入り禁止になる可能性がある。

ほかにも、民泊会社で知られるAirbnbは、600万件を超えるブラックリストを持つと明言している。また、Uberでも同様のシステムがある。同社のアプリはドライバーを評価するシステムを持つことで知られているが、ドライバーも同様に乗客を評価するシステムを持つ。5月に発表された新しいポリシーでは、平均を大幅に下回る場合、Uberのサービスを利用することはできなくなる。

FacebookのチャットアプリWhatsAppにも同様の規定がある。あまりにも多くの他のユーザーがあなたをブロックしている場合、WhatsAppの利用を禁止できる。WhatsAppは米国や日本ではメジャーではないが、一部の国ではWhatsAppの使用が許可されないことは、電話が使えないのと同じくらいの罰となる。

米国における社会的信用システムの不穏な要素は、企業が恣意的に運用できる点だ。特定のサービス分野で支配的な立場にある企業から拒否された場合、ユーザーは代替サービスに逃げられない点も問題を複雑にしている。