Googleは3日、Gooogle Chromeで混合コンテンツを完全にブロックする計画を発表した(Chromium Blogの記事、 VentureBeatの記事、 Android Policeの記事、 SlashGearの記事)。

混合コンテンツはHTTPSページのサブリソースがHTTP接続で読み込まれる状況を指し、Chromeを含む現在のブラウザーのほとんどがスクリプトやiframeといった危険性の高い混合コンテンツをブロックする。一方、比較的危険性が低いと考えられる画像や音声、動画については読み込みが許可されるが、偽の画像への差し替えや、トラッキングcookieの挿入といった攻撃を受ける可能性もある。

Chromeでの混合コンテンツ完全ブロック計画は段階的に行われる。まず、12月に安定版がリリースされるChrome 79ではサイト単位で混合コンテンツのブロックを解除可能なオプションが設定に追加され、現在はブロックされているスクリプトやiframeの読み込みを許可できるようになる。

Chrome 80ではHTTPSページで音声と動画のリソースをHTTP接続で読み込むよう指定されている場合、HTTPS接続に自動アップグレードして読み込みを試みる。HTTPSでの読み込みが失敗した場合はデフォルトでブロックされるが、先述のオプションで読み込みを許可することも可能だ。画像の混合コンテンツは引き続き許可されるが、読み込まれた場合はHTTPページと同様に「保護されていない通信」という表示がOmnibox左端に追加される。

Chrome 81では画像の混合コンテンツも自動アップグレードの対象となり、HTTPS接続で読み込めない場合はデフォルトでブロックされるとのこと。Chrome 81は2020年3月に安定版リリース予定となっている。

EU司法裁判所は3日、EU加盟国の裁判所が違法と判断したコンテンツについて、Facebookのようなホストプロバイダーに全世界での削除を命ずることが可能だとする事前判決を下した(判決文、 プレスリリース: PDF、 The Next Webの記事、 The Guardianの記事)。

元の裁判はオーストリアの国会議員を中傷するFacebook投稿の削除について同議員とFacebook Irelandの間で争われているもので、削除を命ずることのできる範囲についてオーストリアの最高裁判所がEU司法裁判所の事前判決を求めていた。

オーストリアの最高裁判所が求めていたのは、電子商取引に関する欧州議会指令(2000/31/EC)の第15条(1)がプロバイダーに対する全般的な監視の義務付けを禁じていることから、裁判所が違法と判断したコンテンツと全く同じ内容のコンテンツや実質的に同じ内容のコンテンツについて削除を命じることが可能なのかどうか、削除の対象は全世界なのかどうかに関する判断だ。

EU司法裁判所では、違法と判断されたコンテンツと全く同じ/実質的に同じコンテンツの削除を命ずることについて、内容が特定されていることから第15条(1)の全般的な監視に相当しないと判断。そのため、EU加盟国の裁判所がこういったコンテンツの削除/ブロックをホストプロバイダーに命じることや、関連する国際法の枠組み内で全世界を対象としたコンテンツの削除/ブロックを命じることはEU法に違反しないとのことだ。

Googleは顔認証技術で使用する顔データの収集を社外で行っていたと7月に報じられた際、データの使用目的や削除について説明してから依頼していたと述べていたが、収集にあたったスタッフには何をしているか悟られずに手早く作業を終わらせるよう指示していたと報じられている(New York Daily Newsの記事、 The Vergeの記事、 SlashGearの記事、 The Next Webの記事)。

報道はGoogle TVCと呼ばれる複数の非正規スタッフの証言によるもので、派遣会社のRandstadを通じて雇用されていたという。Randstadのチームリーダーはこれらのスタッフに対し、「ミニゲームを数分プレイすれば5ドルのギフトカードを受け取れる」と説明してボランティアを勧誘することや、画面に「録画中」と表示されても実際には録画していないと説明すること、怪しまれたらすぐに立ち去ることなどを指示。何が行われているのか悟られにくいよう、ボランティアの気をそらす会話の訓練も受けされられたとのこと。

ターゲットとしては特に濃い肌色のデータが求められているとし、ギフトカードで勧誘しやすいホームレスや学生を狙うようにとも指示されていたようだ。New York Daily Newsでは実際にデータを収集された学生にもインタビューしているが、Googleに関係する調査だと聞いた覚えがないという人も多く、だまされたと感じている人が多いようだ。

報道に対しGoogleでは、同社のボランティアを対象にした調査の要件に反するものであり、深刻に受け止めて調査を行っていると述べたとのことだ。

Googleは1日、Google ChromeでのTLS 1.0/1.1サポート終了に向けた今後の計画を発表した(Chromium Blogの記事、 Neowinの記事、 gHacksの記事)。

主要Webブラウザーでは昨年10月に2020年のTLS 1.0/1.1無効化計画が発表されている。Mozillaはこれに先立ち、先日Firefox NightlyのデフォルトでTLS 1.0/1.1を無効化した。

GoogleはChrome 72でTLS 1.0/1.1を非推奨とし、開発者ツールのコンソールに警告を表示しているが、2020年1月13日にはChrome 79以降でTLS 1.0またはTLS 1.1接続のページに警告メッセージが表示されるようになる。警告メッセージはページ情報アイコンの右側にHTTP接続ページと同様に「保護されていません」と表示されるほか、ページ情報には接続が完全に安全ではないことが記載されるとのこと。

3月に一般リリース予定のChrome 81では、予定通りTLS 1.0/1.1のブロックが始まる。UI要素による警告メッセージは削除され、ページいっぱいに警告メッセージが表示されるようになる。なお、組織で管理しているChromeではポリシー「SSLVersionMin」の値を「tls1.2」にすることで、無効化後の状態を今すぐ確認できる。逆に無効化後はこのポリシーを使用して2021年1月までTLS 1.0またはTLS 1.1を再び有効化できるとのことだ。

ヤフーが社員食堂における揚げ物メニューの価格を100円値上げし、煮魚や焼き魚などのメニューを150円値下げするという（NHK）。

社員の健康に配慮したもので、「揚げ物税」などと称されている。なお、ヤフーの社員食堂については2016年にえん食べが取材してレポートしている。

headless曰く、

ドイツ・コブレンツの検察とラインラント-プファルツ州の警察は9月27日、ダークウェブのホスティングや大規模なサイバー攻撃に使われていたトラーベン-トラーバッハのデータセンターを9月26日に強制捜査し、7名を逮捕したと発表した（プレスリリース、ZEIT ONLINE、WELT、AP、Register）。

「Cyberbunker」と呼ばれるこのデータセンターは、かつてNATOの掩体壕（bunker）だった建物を利用したもので、地上1階、地下5階。提供されるサービスは防弾ホスティングサービスとうたわれ、違法薬物の取引サイトなどが利用していたという。運営者は以前オランダで同様の施設跡を用いたサービスを提供していた人物とみられ、Krebs on Securityの記事では「Cyberbunker 2.0」と表現している。

トラーベン-トラーバッハのデータセンターが運用を開始したのは2013年。敷地内に猛犬を放すといった厳重な警戒が尋常ではないとも噂されたが、市の調査では扱われているデータの内容まで確認することはできなかったそうだ。ダークネットの仕組み上、捜査は容易ではなかったが、コブレンツ検察のサイバー犯罪対策センターとラインラント-プファルツ州警察は共同で5年近くに及ぶ捜査を行い、データセンターを掘り起こすことに成功したとのこと。

既に逮捕された7名のほか6名にも逮捕状が出されており、容疑者は計13名となる。9月26日には各地の捜査機関が連携して数百名を投入した捜査がドイツと近隣各国で行われ、およそ200台のサーバーや多額の現金などを押収したとのことだ。

ロシアというと「酒飲み」のイメージがあるが、世界保健機関（WHO）による報告によると、ロシアのアルコール消費量は2003年から2016年までの間で43％も減少したという。また、昨今ではロシアにおける平均寿命が上昇しており、アルコール消費量の減少がその一因だと分析されているという（AFP、朝日新聞）。

ロシア政府は飲酒を減らすため、酒類の深夜販売の禁止や価格引き上げ、広告禁止といった政策を行っている（Russia Beyond）。これによって実際にアルコール摂取量は減少しており、ロシア当局の調査結果ではアルコールを飲まない人が増えているほか、飲酒頻度も低下する傾向が確認できたそうだ（Sputnik日本）

米Yahoo!で働いていたソフトウェアエンジニアが、システムへのアクセス権限を悪用してユーザーのパスワードを解読し、そのアカウントに不正にアクセスしていたという。このエンジニアはコンピュータ侵入や有線通信の傍受の罪で起訴されている（Mashable、Verge、ITmedia）。

被告はYahoo!のバックエンドツールとパスワードクラックツールを使ってパスワードを収集しており、アクセスしたアカウントは約6000と供述している。さらに、これらアカウントやパスワードを使ってGmailやiCloud、Dropboxのアカウントへのアクセスも試みていたとのこと。ターゲットは主に若い女性ユーザーのアカウントで、性的な写真や動画の収集を目的としていた。集めた写真や動画は自宅PCに保存していたという。

初代JPCERT/CC代表理事や初代内閣官房情報セキュリティ補佐官などを務めた山口英氏（2016年に逝去）が、Internet Societyによる「Internet Hall of Fame」（インターネットの殿堂）入りすることが発表された（Internet Warch、JPCERT/CCの発表）。

Internet Hall of Fameはインターネットの発展と進歩に貢献した人物を表彰するもので、サイバーセキュリティ研究やその貢献が認められての殿堂入りとなった。

10月1日より、消費税が10％に引き上げられた。これにあわせて多くの店舗でレジのシステム変更などが行われたが、これにまつわるシステムトラブルも発生しているようだ。

コンビニチェーンのミニストップでは1日午前0時から3時頃の間、代金の計算を間違えるトラブルが発生した（NHK）。また、回転寿司チェーンのスシローでは一部店舗で消費税が0％で計算されるトラブルが発生した（日経xTECH）。さらに、カフェチェーンのドトールコーヒーで特定のメニューを注文しポイントで支払った場合、レジが機能しなくなるトラブルが発生した（ITmedia）。

そのほか、鹿児島県内の商業施設やスーパーでもシステム障害が発生したと報じられている。

Cloudflareが9月26日、同社のエッジネットワークでQUICおよびHTTP/3を利用可能にしたと発表した。現時点でこれらに対応するクライアントとしてはGoogle ChromeのCanary版などがあり、MozillaのFirefoxのNightly版もサポートする見込み（ITmdia、CNET）。

QUICはGoogleが開発・提唱したネットワークプロトコルで、効率的にネットワーク帯域を利用でき、かつ低レイテンシだという。また、HTTP/3はこのQUICをベースにしている。

ChromeのCanary版では、「--enable-quic --quic-version=h3-23」オプションを指定することでHTTP/3が有効になる。また、Cloudflareの顧客はCloudflareへのログインし設定を行うことでHTTP/3が利用可能になる。

CloudflareはRustでQUICおよびHTTP/3を実装しており、これはquicheと名付けられオープンソースで公開されている。

Anonymous Coward曰く、

キオクシア（旧東芝メモリ）が、AI技術を使って故人である手塚治虫氏の「新作漫画」を制作するという（ORICON NEWS、ITmedia）。

手塚治虫氏の作品をAIに学習させ、「手塚風」の漫画を出力させるという。ストーリーやテーマは未定だが、一部工程は人間が作業を行うという。

原作者が別に居て絵だけ、というパターンだと「新作」というには微妙では。現在のAIがストーリーまで考えられるかというと微妙なところだし。

headless曰く、

米市民権・移民局では米国への滞在が認められた難民の家族による難民申請（follow-to-join refugee）について、ソーシャルメディアの審査を担当する職員にオンライン翻訳サービスの使用を推奨しているそうだ（市民権・移民局の内部文書PDF、ProPublica、Register）。

International Refugee Assitance Projectが情報公開請求により取得した市民権・移民局のソーシャルメディア部門向け内部文書では、外国語のコンテンツを翻訳するのに最も効率的な方法として、GoogleやYahoo、Bingなどのサーチエンジンが提供する無料のオンライン翻訳サービスを挙げている。また、Google翻訳とFreeTranslation.comの使用方法はスクリーンショット入りで解説されている。オンライン翻訳ツールでの翻訳が難しい場合には専門家に翻訳を依頼することも可能だが、依頼するかどうかの判断は担当職員の裁量に任されている。

オンライン翻訳サービスの翻訳結果はあまり信用できるものではないが、斬新な誤訳が話題になるのにとどまらず、重大な結果を生むこともある。2017年にはFacebookの自動翻訳機能の誤訳により、イスラエルで誤認逮捕が発生している。そのため、難民の審査でオンライン翻訳サービスを使用することに対し、言語学者などからは批判も出ているようだ。

Anonymous Coward曰く、

オックスフォード大学が世界およそ70カ国を対象として2010年から2019年までに行った調査による報告書「The Global Disinformation Order：2019 Global Inventory of Organised Social Media Manipulation」によると、北朝鮮は3つ以上の国家機関を通して各国のソーシャルメディア世論操作に介入しているという（朝鮮日報、CNET Japan、

北朝鮮には200人規模の常設世論操作部隊が存在するといい、主に不正アクセスで取得したアカウントを通して活動していると推測されている。具体的にどの国への攻撃を行っているからは明かされていないが、韓国や米国、日本などが含まれる可能性が高いようだ。

また、こうした攻撃に利用されるソーシャルメディアとして最も活用されているのはFacebookだそうだ。

headless曰く、

Mozillaは9月27日にリリースしたFirefox Nightlyで、TLS 1.0/1.1をデフォルトで無効化した（Bug 1579270、Firefox Site Compatibility、Neowin、gHacks）。

無効化はFirefoxの設定（about:config）で「security.tls.version.min」の既定値が「1」（TLS 1.0）から「3」（TLS 1.2）に変更されただけで、TLS 1.0/1.1サポートが削除されたわけではない。SSL Pulseの9月分データではSSL 1.2をサポートするサイトが95.8%に上るものの、影響の大きな変更であることから幅広い確認が呼びかけられている。

主要Webブラウザでは昨年10月、2020年にTLS 1.0/1.1を無効化する計画が発表されており、FirefoxのTLS 1.0/1.1無効化は2020年3月に設定されている。Nightlyでは10月に無効化する計画が発表されていたが、少し繰り上げられたようだ。

現在のFirefox Nightlyの製品バージョンは71.0a1。今後はベータチャンネルのFirefox 71以降でフィードバックを確認しつつ徐々にTLS 1.0/1.1を無効化するユーザーの比率を高めていき、来年3月までにすべての切り替えを完了してリリースチャンネルでの無効化に備える計画だ。来年3月にリリースが予定されているのはFirefox 74だが、無効化をどのように、いつ実施するのかという計画については確定していないようだ。