Googleは10日、MicrosoftによるWindows 7のサポート終了後少なくとも18か月、2021年7月15日まではGoogle ChromeでWindows 7をサポートする計画を明らかにした(Google Cloud Blogの記事、 9to5Googleの記事)。

1月14日で延長サポートが終了するWindows 7だが、Net Applicationsの12月分デスクトップOSシェアデータでは26.26%を占めるなど依然として高いシェアを維持している。サポートの終了したOSの使用は危険が伴うが、Google Chromeを使用すれば組み込みのセキュリティ機能によりWeb上ではユーザーの安全が保たれるとのこと。Googleの発表はエンタープライズを対象としたもので、エンタープライズ向けのセキュリティ機能やポリシー管理機能も引き続き利用可能なことも明記されている。このほか、ChromeならWindows 7とWindows 10でシームレスに作業できること、クラウド管理機能によりWindowsバージョンやOSの種類を問わずにITチームによる一括管理が可能になることもChromeを使用するメリットとして挙げられている。

Mozillaは7日にFirefox 72.0をリリースしたが、翌8日にはゼロデイ脆弱性を修正するFirefox 72.0.1をリリースしている(Mozillaのセキュリティアドバイザリー、 Softpediaの記事、 Ars Technicaの記事、 Windows Centralの記事)。

修正された脆弱性CVE-2019-17026はIonMonkey JITコンパイラーにおける誤ったエイリアス情報により型の取り違えが引き起こされるというもので、既にこの脆弱性を狙った攻撃が確認されているという。同じ脆弱性を修正したFirefox ESR 68.4.1も同時にリリースされた。深刻度は最も高い「critical」となっており、迅速なアップデートが望ましい。

Firefox 72では新機能として、フィンガープリンティングを実行するスクリプトがデフォルトでブロックされるようになっており、Webサイトからの通知リクエストポップアップもデフォルトで非表示化される。また、WindowsではFirefox 71から利用できていた動画のピクチャーインピクチャー表示がMacとLinuxでも利用可能になった。ちなみに、Googleも通知リクエストポップアップの非表示化機能をChrome 80に搭載する計画を発表している。

なお、Mozillaはカリフォルニア州消費者プライバシー法(CCPA)の施行に伴い、Firefox 72にテレメトリーデータの削除オプションを追加すると事前に説明していたが、リリースノートには記載されていない。

Googleは欧州経済領域(EEA)でAndroid初回起動時に入札で決定した検索プロバイダーの選択画面を提示する計画を示していたが、その第一回の入札結果が公表された(Android Choice Screen Winners、 VentureBeatの記事、 The Vergeの記事、 Neowinの記事)。

落札数が最も多かったのは米DuckDuckGoと米Info.comで、31か国すべてで落札した。これに米PrivacyWallが11か国、フランスのQwantが8か国、ロシアのYandexが5か国で続く。このほか、ドイツのGMXがオーストリア・ドイツ・オランダの3か国で、デンマークのGiveroがデンマークのみ、チェコのSeznamがチェコとスロバキアの2か国で落札しており、これら3社はターゲットを絞り込んで入札したとみられる。米Bingは英国のみ落札となっている。

Googleは31か国すべてで選択画面に表示されるため、選択肢としてはGoogle・DuckDuckGo・Info.comが常に表示され、国ごとに異なる検索プロバイダーは1つだけということになる。なお、当初の発表では1年ごとに入札が行われるとされていたが、今回の対象期間は2020年3月1日～6月30日となっている。

ToTokチームは5日、通話・メッセンジャーアプリ「ToTok」がGoogle Playで再び入手可能になったことを発表した(ToTokのニュース記事、 The Vergeの記事、 Android Policeの記事、 Computingの記事)。

ToTokに関しては12月、UAE政府のスパイウェアだとの疑惑をThe New York Timesが報じており、Google PlayとAppleのApp Storeでは報道よりも前にToTokが削除されていた。一方、ToTok側は疑惑を一貫して否定している。12月29日付のKhaleej Timesの記事ではToTok共同設立者のGiacomo Ziani氏が独占インタビューに答え、UAEに対する陰謀に巻き込まれたと感じていることや、急速にユーザーを増やしていることに対する妬みもあって疑惑が作り上げられた可能性を指摘。疑惑を主張する人々が元NSA職員に分析を依頼した結果、スパイウェアではなく、バックドアやマルウェアも見つからなかったと結論付けられたとも述べている。アプリの再公開については、ホリデーシーズンでAppleとの話し合いは進んでいないとしつつ、Google Playではすぐにでも公開が再開されるとの見通しを示していた。

ボーイング737 NGで特定の滑走路へ計器進入する際にのみ、ディスプレイユニット(DU)の液晶パネル6枚すべての表示が消えてしまうバグが確認され、米連邦航空局(FAA)が12月27日付で耐航空性改善命令(AD)を出していたそうだ(AD、 The Registerの記事)。

FAAは昨年、アラスカ・ワイリーポスト-ウィルロジャースメモリアル空港に真西方向へ計器進入するとDUの表示がすべて消え、他の滑走路を選択するまで復旧しなかったというインシデント3件の報告を受けていたそうだ。調査の結果、ディスプレイエレクトロニックユニット(DEU)とフライトマネージメントコンピューター(FMC)で、特定のバージョンのソフトウェアの組み合わせにより発生する動作だと確認された。ボーイングはソフトウェアの修正を進めているという。

影響を受けるのは全世界で7か所(米国5、コロンビア1、ガイアナ1)のみ。7か所とも西向きに進入する滑走路だが、西向きに進入する滑走路のすべてが影響を受けるわけではなく、緯度と経度の値が原因として特定されている。該当の空港に向かう定期運航便の機材では既に問題のあるDEUのソフトウェアが削除されているが、FAAでは緊急着陸やボーイングビジネスジェットのフライトに対処するためにADを出したとのことだ。

外貨両替サービスTravelexは12月31日にランサムウェア感染が判明して全システムをオフラインにしたが、コンピューターなしで業務を継続するため店頭では手書きの伝票で対応しているそうだ(The Guardianの記事、 The Registerの記事、 The Vergeの記事、 The Next Webの記事)。

Travelexの米国版Webサイトのトップページに掲載された7日付のプレスリリース(Internet Archiveのスナップショット)によると、ランサムウェアはSodinokibiまたはREvilとして知られるもので、Travelexは感染拡大を食い止めることに成功しているという。これにより、一部のデータは暗号化されたものの、構造化された顧客データは暗号化されておらず、データが外部に送信された形跡はみつかっていないとのこと。一方、攻撃者が600万ドルの身代金を要求し、支払わなければ5GB分の個人情報を公開すると脅しているとBBC Newsが報じている。

Travelexはランサムウェアのエントリーポイントを公表していないが、SodinokibiはPulse Secure製VPNサーバーの脆弱性を利用して感染を広げているという。セキュリティ調査企業Bad PacketsはTravelexの使用しているVPNサーバーの脆弱性が未修正であることを昨年9月に通知したものの、Travelexからの応答はなかったとのこと。

Travelexの日本版Webサイトは9日の時点でトップページなど一部のページが不安定ながらもアクセス可能だったが、その後トップページは今回のランサムウェア被害の報告とサービスの提供状況を説明する内容に差し替えられている。

taraiok曰く、

欧州の法執行機関のチームは10月、クリスマスシーズン中のテロを恐れ、テロリスト容疑者の調査を強化していた。そんな中、Facebookのメッセンジャーアプリ「WhatsApp」は10月29日、約1,400人のユーザーに対し端末に高度な攻撃が行われた旨を通知した。この1,400人はジャーナリスト、活動家、政府関係者などを含むテロリスト容疑者に上がっていたユーザーだったという（MorningStar、Slashdot）。

この法執行機関チームは、イスラエル・NSOグループのスパイウェアを使用して容疑者を追跡していたとされる。欧州の裁判官は容疑者の電話に侵入するため、調査官に対して利用可能なあらゆる手段を承認した。しかし、このスパイウェアはFacebookには知られていなかったようだ。また、法執行機関の調査を妨害する可能性があることから、Facebookは政府機関に対し正式に苦情を申し立てることもできない状況になっているという。

NSOは中東、メキシコ、インドの政府機関にもスパイウェアを販売していたため批判されている。Facebookや人権研究グループのCitizen Labなどは、反体制派、宗教指導者、ジャーナリスト、政治的敵対者をスパイするためにスパイウェアを使用したと主張している。NSO側は、顧客のほとんどは犯罪やテロの調査に自社製品を使用する民主的な政府だと述べている。

headless曰く、

GoogleのProject Zeroが1月1日以降ベンダーに報告したバグについて、開示ポリシーの変更をテストしているそうだ（Project Zeroのブログ、The Verge、Softpedia、Android Police）。

これまでProject Zeroではパッチが迅速に開発されることを目標としており、ベンダーへの報告から90日後またはパッチ提供開始のいずれか短い期間経過後にバグを開示していた。2015年には報告から90日以内にパッチは完成したものの、提供開始が間に合わない場合などに限って14日間の猶予期間を追加できるようになっている。ただし、いずれの場合もパッチ提供開始時点でバグの詳細やPoCが公開されてしまうため、パッチが不完全であった場合に引き起こされる問題や、パッチ未導入のユーザーを危険にさらすといった問題があった。

1月1日からテストしている新ポリシーではパッチの迅速な開発のほか、徹底的にバグが修正されること、パッチがユーザーに浸透することを目標に加えている。そのため、パッチ公開済みかどうかにかかわらず、バグの開示は報告から90日後になる。ただし、猶予期間内に関しては、これまでパッチの公開からしばらくしてバグを開示することになっていたが、新ポリシーでは即時開示となる。また、パッチに不完全な部分が見つかった場合はベンダーに報告し、既存のバグリポートに追記されるが、バグリポートが既に公開されている場合はパッチの問題点もその時点で開示されることになるようだ。

なお、既に攻撃が確認されているバグについてはこれまでと同様、報告から7日後に開示される。新ポリシーのテストは12か月間にわたって行われ、その結果を踏まえて今後のポリシーを検討するとのことだ。

Anonymous Coward曰く、

Webブラウザ上でバイナリコードを実行させる「WebAssembly」が 昨年12月5日に標準化されたが、現在WebAssemblyを使用しているWebサイトのうち半分は悪意のある目的で使用されているという。独ブラウンシュヴァイク工科大学の研究者が人気サイトトップ500（Alexa The top 500 sites on the web）を対象にWebAssemblyの使用率を調査した結果明らかとなった。

研究チームは4日間、合計947,704サイトからランダムに3ページずつ選んだ合計3,465,320のページを対象に、WebAssemblyの使用量と各サイトがコードを実行するのにかかった時間を測定した。その結果、WebAssemblyの使用が確認できたのは1,639ページで、そのうちほかのサイトで重複して利用されていないものは150だったという。これは同一のコードが多くの異なるサイトで使用されているためで、あるコードは346のサイトで使用されていたという。

また、コードの内容を分析したところ、32％が暗号通貨の採掘（マイニング）に、29.3％がオンラインゲームに利用されていたことが分かった。マイニングに使用されるコードの一部は、ページを閲覧したユーザーにマイニングさせるCryptojacking（Drive-by Mining）攻撃に使われていたという。

ほかにも、難読化されたコードを使用してマルバタイジングを行うものもあった。研究チームによると、この2つのカテゴリのWebAssemblyコードが調査対象の38.7％を占め、これらのコードはWebAssemblyの使用が確認できた1,639ページの半数以上で使用されていたとしている（ZDNet、Slashdot）。

7月よりスタートしたものの直後に不正利用が報じられ、その後9月末にサービスを終了した7payだが、サービスを利用できなくなった後も残高の払い戻しを行なっていないユーザーが約25万人にも上るという（共同通信、毎日新聞）。

セブン＆アイ・ホールディングスはユーザーに対し払い戻しを行うよう呼びかけているが、未だに合計で約7000万円の残高が残っているという。法的には1月10日で払い戻し手続きの期限が終了するが、同社はその後も払い戻しに応じるとしている。

headless曰く、

AMDがCES 2020の報道向けイベントでXbox Series Xの筐体らしきものが含まれたCG映像を使用して話題を呼んだが、この映像は実はMicrosoftから提供されたものではなかったそうだ（The Verge、SlashGear、On MSFT、Thurrott）。

話題になった映像はXbox Series Xが1回転するものだ。MicrosoftはXbox Series Xの背面の画像やポート構成を公表していないが、1回転することで本体背面にイーサネットポート・USB Type-Cポート×2・HDMIポート×2が配置されていることが一瞬見える。そのため、これまで知られていなかったXbox Series Xのポート構成をAMDが公表したと話題になった。しかしAMDはその後、レンダリング映像はTurboSquid.comで公開されているものでMicrosoftから提供されたものではなく、新製品のデザインや機能を正確に示すものではないとコメントしたとのことだ。TurboSquidにユーザーが投稿した3DモデルにはAMDが使用したのと同じポート構成のものがあり、背面のコネクターを除いては詳細で非常に正確な3Dモデルだと説明されている。

Anonymous Coward曰く、

Twitterが投稿への返信（リプライ）を禁止したり、特定のユーザーのみがリプライできるようにできる設定を検討しているそうだ（ITmedia）。

まずは2020年初頭に「多様なオプションをテストする」計画だという。報道によると、ユーザーが自身の投稿に対し「Global」「Group」「Panel」「Statement」という4種類の設定を選択できるようにし、「Statement」だと誰もリプライできないとのこと。

リプライできなくても投稿者へのクソリプならURLを付けて（引用リツイートで）投稿すれば良いだけで目的が不明。投稿者がリプライに気付かなくて良くなるというのはメリットかもしれないがほかのユーザーがその投稿へのリプライを見られなくなるというのはどうだろう。

Anonymous Coward曰く、

ニコニコ動画が、動画の音量を自動的に調整する機能を導入すると発表した。

動画の音量を分析し、一定基準を超える場合は動画全体の音量を引き下げるという。基準以下の場合は調整を行わないため、結果としてニコニコ動画で公開されている動画の音量の上限が一定以下になることになる。音量を下げる場合、基準値以上の部分のみを下げる訳ではなく、動画全体に対し均等に音量を下げることになるという。また、動画広告などの音量についても合わせて調整するとのこと。

なお、基準となるラウドネス値は「-15LKFS/LUFS（Integrated Loudness）」になるとのこと。これについて、YouTube、Spotify、Apple Musicといった配信サービスとは基準が異なることについても指摘されている（はてなブックマークコメント）。

Anonymous Coward曰く、

英国では、医療システムにログインするのに必要な時間を減らすため、4,000万ポンド（約57億円）を費やそうとしている。英国の典型的な病院では、スタッフは患者の世話をするために15ものシステムにログインする必要がある。スタッフはログインに時間が取られるだけでなく、複数の複雑なパスワードを覚えておく必要があるという（The Guardian、Slashdot）。

これを、1回のパスワード入力で認証を完了できる「シングル サインオン」システムに切り替えることで、ログイン時間が105秒から10秒に短縮できるという。とある病院では、これによってスタッフの労働時間を合計で1日130時間も節約できると見積もられているという。

英政府のMatt Hancock保健長官は、「医者や看護師が複数のシステムにログオンするために、どれれだけ時間無駄にしているのか。率直に言ってばかげている」「20世紀の技術を使う21世紀ではだめだ」と述べている。

GoogleがAndroidにおいてJava APIと互換性のあるAPIを無断で提供していることについて、Javaを所有するOracleは同社の権利を侵害していると主張、裁判となっている（過去記事）。いっぽうで、OracleはAmazon Web ServicesのS3 APIと互換性のあるAPIを自社のクラウドサービスで提供している。これは著作権侵害ではないのか、との問題提起を行う記事がArs Technicaに掲載されている。

ここで指摘されているAPIは、Oracle CloudのAmazon S3 Compatibility APIというものだ。ドキュメントでもこのAPIがAmazon S3互換である旨が明示されている。

OracleとGoogleの裁判では、APIは著作権保護の対象になるという判断が下されている。そのため、同じように考えればOracleが他社が権利を持つAPIと互換性のあるものを無断で提供することは著作権侵害になる可能性がある。

これに対しOracleはS3 APIについて、Apache License 2.0で提供されているためこういった利用は問題ないと主張しているようだ。ただ、公開されているのはあくまでS3 APIを使用するためのSDKであり、S3 APIを提供するAWS側のコードがApache Licenseで公開されているわけではないことから、記事ではこの釈明について否定的だ。