あるAnonymous Coward 曰く、

2020-12-14T21:00:00+09:00時点で、Google Playにアクセスできない障害が発生している。
Google Workspace ステータス ダッシュボードを見る限り、その他の障害は確認できていない。

情報元へのリンク

21時21分段階ではYouTubeなどにもアクスできなくなっているようだ。ケータイ Watchによれば、

編集部で確認したところ、Gmail、YouTube、Googleドライブが利用できず、Google検索は使いづらい状況だ。ただし、シークレットモードではパソコンおよびスマートフォンからYouTubeが利用できることを確認した。またGoogleアカウントでログインするゲーム（Pokemon GO、Ingress）も利用できない。一方、翻訳は利用できた。

とのこと。

追記：21時32分更新　ダッシュボードで障害状況が案内された。障害が起きたのは20時55分ごろとのこと。

追記：21時36分更新　復旧し始めた模様

すべて読む | ITセクション | Google | IT | Android |

関連ストーリー：
Gmailで添付されたMicrosoft Officeドキュメントを直接編集・返信可能に 2020年12月14日
フランスのデータ保護当局、cookie保存などについてAmazonに3,500万ユーロ、Googleに1億ユーロの制裁金 2020年12月13日
Google、視線でフレーズを選択して読み上げさせるAndroidアプリ「Look to Speak」を公開 2020年12月12日
Google Chrome、Windows 7のサポートを2022年1月まで延長 2020年11月22日
Google、新型コロナウイルスの感染予測サイトを日本で開始。28日分の感染者数予測などを提供 2020年11月18日

ディスプレイメーカーのEIZOによると、同社が自社製品とApple M1チップを搭載したMac製品との互換性を検証したところ、大きく分けて4項目ほど制限があることを発見したという。一つ目は「Thunderbolt 3端子」には1台のモニターしか接続できないという点。2台目を接続しても片方のモニターは表示されないという（EIZO、PC Watch）。

二つ目はカラーフォーマットで、Macから出力される映像信号のカラーフォーマットがYUVリミテッドレンジになってしまうことで、グラデーションの階調が飛んでしまうことがあるという。この問題はこれまでIntel MacではHDMI接続でのみ発生する問題だったが、M1チップMacではUSB Type-C接続やDisplayPort変換接続でも同じ症状が発生するとしている。EIZOの一部製品ではYUVフォーマットを非対応する設定にすることで回避できるとしている。

三つ目はカラープロファイルで、macOSが自動生成するカラープロファイルが、モニターの色域やガンマ値と一致しないことがあるという。これも機種によっては設定で回避できることがあるとしている。四つ目としてモニターの向きを90度や270度に設定すると、解像度が下がる現象が発生するという。「Option」キーを押しながら「変更」をクリックすることで解像度の選択肢が増え、推奨解像度を選べるようになるとしている。またColorNavigatorなどのソフトウェアについても現在ではまだ未対応だとしている。

なお、こうした問題はEIZO製以外のディスプレイでも生じる可能性があるようだ。

すべて読む | ハードウェアセクション | ハードウェア | モニター |

関連ストーリー：
Internet Archive、Flashコンテンツ永久保存計画 2020年11月22日
Windows 10 バージョン 2004の新IMEで発生している互換性問題、11月下旬に解決予定 2020年11月17日
Windows 10の2004と20H2で、Thunderbolt接続のNVMe SSDを接続するとブルースクリーンが発生する可能性 2020年11月06日
RFC違反のキャリアメールアドレスという負の遺産、iOS 14で再び顕在化 2020年11月06日
Linuxカーネル5.10、XFSファイルシステムの2038年問題に対処 2020年10月20日

ソフトバンクグループは11日、ロボットメーカー米Boston Dynamicsを韓国のヒュンダイ自動車に売却したと発表した。ヒュンダイはBoston Dynamicsの株式80％を取得し、ソフトバンクは子会社を通じて株式の20％を継続して保持する。株式の売却額は約8億8000万ドル（約915億円）。売却手続きは2021年6月までに完了する予定（ソフトバンク[PDF]、ヒュンダイ[PDF]、Engadget）。

すべて読む | テクノロジー | ビジネス | ロボット |

関連ストーリー：
シンガポールでは4足歩行ロボットが公園をパトロール、ソーシャルディスタンスを呼びかける 2020年05月12日
ボストン・ダイナミクス、四本脚ロボットを一般販売へ 2019年06月11日
ボストン・ダイナミクス、4足歩行ロボットを2019年に発売 2018年05月17日
Boston Dynamics、ロボットの活動を人間が邪魔する動画を公開 2018年02月28日
Boston Dynamicsの車輪付き二足走行ロボット、名前は「Handle」 2017年03月03日
Boston Dynamics、脚に車輪を備えた高機動二足走行ロボットを開発 2017年02月03日

headless 曰く、

Googleは11日、Google Workplace(旧G Suite)の新機能に関する発表の中で、Gmailで添付されたMicrosoft Officeドキュメントを直接開いて編集し、編集結果をそのまま添付して返信することが可能になったことを発表した(Google Cloud Blogの記事、 The Vergeの記事、 Neowinの記事、 Softpediaの記事)。

発表はGoogle Workplace向けのものだが、個人ユーザーでも利用できるようだ。まず、GmailでOfficeドキュメントが添付されたメッセージを開き、添付ファイルをポイントすると表示される編集ボタン(鉛筆のアイコン)をクリックすればGoogle Docsでドキュメントを開いて編集できる。あとはGoogle Docsの「ファイル」メニューで「メール→Reply with this file」を選べば、編集後のファイルが添付された状態でGmailの返信作成画面が開く。

2つのアカウントで試してみたところ、GmailのOfficeドキュメント編集ボタンは両方で表示されたが、Google Docsの新しいメニュー項目が表示されるのは1アカウントのみだった。なお、添付ファイルは開くたびにGoogle Driveへ新規保存される。また、ファイル名が日本語の場合は添付後に文字化けした。Google Driveに保存されたファイルのファイル名は文字化けしておらず、Gmail側でGoogle Driveからファイルを挿入する場合は文字化けしなかった。

すべて読む | ITセクション | Google | ソフトウェア | クラウド | IT |

関連ストーリー：
GoogleフォトとGoogleドライブ、21年6月1日以降からアップロードの容量計上仕様を変更 2020年11月13日
Googleサービスのアイコンデザインが変更。色が統一されすぎて視認性が悪くなったとの意見多数 2020年10月29日
iOS 14で追加された既定の電子メールアプリやWebブラウザーの変更機能、デバイスを再起動すると設定がリセットされるバグ 2020年09月19日
Google Drive、10月13日以降ゴミ箱のファイル保持期限が30日に 2020年09月18日
Google、認証済み組織からの電子メールにGmailでコーポレートロゴを表示するパイロットプログラムを発表 2020年07月26日
Googleに障害が発生。復旧進む 2020年12月14日

Reutersによると、財務省と商務省のの国家通信情報管理局（NTIA）といった米国政府機関が、ロシア支援のハッキング集団により監視されていた可能性があるという。犯行グループはAPT29またはCozy Bearなどと呼ばれるグループとされる（Reuters、ITmedia）。

Reutersによれば、攻撃者は行政機関向けのネットワーク・マネージメントを行っていたIT企業SolarWindsがリリースした監視ソフトウェアのアップデートを改ざん、これにより政府機関のネットワークに侵入したとしている。この結果、NTIAの事務に使用されていたOffice 365がハッキングされ、電子メールを数カ月にわたって監視していたとしている。

SolarWindsは今年3月から6月の間​​にリリースされた監視ソフトウェアのアップデートは、国家による洗練されたサプライチェーン攻撃によって破壊された可能性があるとしている。SolarWindsは、米国のFortune 500企業の大半と米国の通信プロバイダーのトップ10、米軍の5つの支部すべて、国務省、国家安全保障局、および米国大統領府を顧客に持っているとのこと。

すべて読む | セキュリティセクション | 犯罪 | 通信 | セキュリティ | 海賊行為 | 政府 | アメリカ合衆国 | 情報漏洩 |

関連ストーリー：
トランプ政権下でCIAはサイバー攻撃の自由度を高めた。破壊的な活動も認められる 2020年07月17日
選挙においてインターネットを使った投票システムの実現は困難？ 2020年06月17日
米大統領選挙に向けた民主党の候補者選び、スマホアプリを使った集計で食い違いが発生するトラブル 2020年02月08日
ロシア政府がFBIの暗号化通信の解析に成功していた？ 2019年09月19日
平昌オリンピック開会式を狙ったサイバー攻撃は北朝鮮を装ったロシアによるものだったという説 2018年03月01日

ebay上で米軍が過去に運用していた核爆弾「B-43」の弾頭先端部のカバーが出品されているそうだ。出品時の価格は300.00ドルとなっている（ebay、dirGさんのツイート）。

出品者の説明によれば、冷戦終了時に解体されたものの一つで、再利用されずに民間コレクター向けに販売されたものだという。プレート部分に「003 of 33」という個体ナンバーが記載されている。本体サイズは高さ26.5インチ、基部直径は約14インチ、重さは約14ポンドだそうだ。米国内にのみ配送可能とのこと。

すべて読む | 軍事 | 原子力 | アメリカ合衆国 |

関連ストーリー：
世界終末時計、初めて秒単位で表現される「残り100秒」に 2020年01月25日
民主党の米次期大統領選候補アンドリュー・ヤン氏、政府にトリウム溶融塩原子炉への投資を求める 2019年10月26日
今年1月時点で世界に存在する核弾頭数は1万3865個 2019年06月20日
米国核廃棄物の地層処分施設「WIPP」が操業20年を迎える 2019年03月29日
米ハンフォードの核処理施設、放射性核廃棄物のガラス化計画を早める。しかし新たな問題も 2019年02月05日

headless 曰く、

ネパールと中国は8日、エベレストの新しい高さが8848.86mになったと共同で発表した(ネパール外務省のプレスリリース、 ネパール測量局によるエベレストの高さ測定プロジェクトページ、 SlashGearの記事、 共同発表動画)。

これまで広く認知されていたエベレストの高さ8848mはインド測量局が1950年代に測定したもので、近年は従来の測量法に加え、新しい技術も用いた測定の試みが各国によって行われている(PDF)。2005年には中国国家測量地理情報局(SBSM)が氷雪を含めない山頂の岩石の高さが8,844.43mだと発表しており、氷雪の厚みをエベレストの高さに含めるかどうかが検討課題の一つとなっていた。ネパールは2019年にGNSSや三角測量などを用いた再測定を行い、中国も2020年5月に調査隊を送って再測定を行った結果、新しい高さ8,848.86mで合意に至ったとのことだ。

すべて読む | サイエンスセクション | 地球 | 政治 | サイエンス | 中国 |

関連ストーリー：
イーロン・マスク曰く、自身が火星へ移住する可能性は70％ 2018年11月30日
2019年1月1日にニューホライズンズ探査機がフライバイするカイパーベルト天体の愛称募集中 2017年11月11日
エベレストの標高が変わった？ 2017年06月29日
富士山頂でのWi-Fiサービス、海外メディアの反応は？ 2015年07月19日
これまで以上に正確な、ストロンチウムをつかった原子時計 2014年11月06日
中国がエベレストに高速道路を建設 2007年06月20日

あるAnonymous Coward 曰く、

海外では水素ステーションが限られるFCEVを、日本では市場が限られる巨大セダン（事実上アメリカ専用）として上市した、トヨタの勝算は何処にあるのだろうか？

情報元へのリンク

12月9日、トヨタ自動車は燃料電池車（FCV）の「MIRAI（ミライ）」を初代から6年ぶりにフルモデルチェンジした。航続距離は初代の650キロから約30％増となる約850キロに、水素搭載量も約20％増加させ5.6キロにした。駆動方式もFFからFRへ変更されるなどデザインも含めてスポーティなイメージとなっている（ベストカー、読売新聞、ITmedia）。

また環境性能などの改善も行われているのが特徴で、吸入した空気をきれいにして排出する空気清浄機能も持っている。搭乗員数も初代の4人から5人乗りに変更されているほか、ボディサイズは初代ミライよりも長と全幅は大きく、全高は低くなっている。1グレード設定だった初代と異なり、グレード数も2グレード5タイプに増加した。それでも価格についてはほぼ据え置きとなっており、710万～805万円に設定されている。

なお北米トヨタが10日、MIRAIのFCVシステムを応用した大型商用トラックの新型プロトタイプを公開した。量産化前提の設計となっており、荷重量は8万ポンド（約36トン）、航続距離は300マイル（約480km）以上だとしている（レスポンス）。また12月7日には水素分野におけるサプライチェーンの形成を推進する新団体「水素バリューチェーン推進協議会（JH2A）」も設立した。トヨタのほか岩谷産業、ENEOS、川崎重工業、関西電力など88社が参加するという（トヨタ、レスポンスその2）。

すべて読む | ハードウェアセクション | 地球 | ハードウェア | 電力 | 交通 |

関連ストーリー：
日本でも新車のガソリン車販売禁止へ。2030年半ばごろを目標 2020年12月04日
ホンダ、フォーミュラワン参戦を2021年シーズンをもって終了へ。インディカーは継続 2020年10月06日
災害時に燃料電池車で発電して可搬型バッテリーに充電、家庭に配布する「Moving e」 2020年09月03日
汗によって発電する電子スキンが開発中。代謝物をモニターしてをBluetooth経由で伝達できる能力も 2020年08月15日
トヨタ、実証都市「Woven City」を静岡県裾野市に建設する方針を発表 2020年01月08日
トヨタ自動車、燃料電池車「MIRAI」で使用されている燃料電池システムを工場内に設置して発電させる実証運転を開始 2019年09月19日
ノルウェーで自動車用の水素ステーションが爆発。その影響でトヨタが燃料電池車の販売を停止へ 2019年06月18日
トヨタ自動車とJAXA、有人月面車開発で協力へ 2019年03月14日
オーディオマニアに注目される燃料電池 2018年12月07日

福岡市は8日、福岡市青果市場で春菊の残留農薬検査を実施したところ、基準値の168倍となる8.4ppmの農薬が検出されたという（福岡市、福岡市保健福祉局生活衛生部[PDF]、毎日新聞）。

検出されたのは有機リン系殺虫剤のイソキサチオンで、体重60キロの人が21グラムを超えて食べた場合、よだれや涙、失禁、場合によってはけいれんなどの健康に影響を及ぼすおそれがあるとしている。該当するのは12月7・8日にJAくるめが出荷したもの。販売店や販売数量に関しても把握済み。すべて福岡市内での流通だと見られている。

西日本新聞によれば、一軒の組合員農家が、タマネギ栽培で使用していた害虫駆除用の農薬を、春菊に使用したことが原因だとしている（西日本新聞）。

すべて読む | セキュリティセクション | バイオテック | サイエンス | ワーム |

関連ストーリー：
「次亜塩素酸水」現時点では有効性は確認されず、噴霧も推奨せず 2020年06月01日
米国で殺菌剤に関連する健康被害が相次ぐ 2020年04月23日
インスタ映えするスペインの青い湖、実はタングステン鉱山跡。重金属による健康被害も 2019年07月19日
大麻解禁した州では大麻による健康被害が増加、非合法大麻の流通も依然続く 2019年06月07日
米国で販売されているボトル入りウォーター、FDAの基準値を超えるヒ素を含むものもあるという調査結果 2019年04月21日

中国に進出した企業が導入を義務づけられている税務ソフトに、GoldenSpyと呼ばれるスパイウェアを自動インストールする機能が備わっているという。日経新聞によれば、こうした行為から、これまで中国との関係の良かったドイツでも中国への不信感が広がっているという（日経新聞）。

このスパイウェアは6月にサイバーセキュリティ企業Trustwaveによって発見されたもので、発見時のレポートによれば、中国のドメインにシステム情報を送信する機能を持っているとされる。システムに隠しバックドアがインストールされ、攻撃者がWindowsコマンドを実行したり、任意のバイナリをアップロードするなどの行為が可能になる。

中国公認の税務ソフトには、航天信息と百望雲という2社の企業のものが提供されているが、いずれもGoldenSpyをインストールする機能が備わっているという。スパイウェアは税務ソフトをインストールしてから2時間後に自動インストールされ、検知しにくくしているらしい。またスパイウエアは2つのプログラムに分かれていて、どちらかを消しても自動的に復活してしまうとされる。また税務ソフト本体を削除した場合でも、スパイウエアだけは残るとしている。

こうした背景から8日、ドイツ政府は中国国有企業の中国航天科工集団（CASIC）の子会社による人工衛星やレーダー関連技術企業IMSTの買収を阻止していたことが判明した。日経新聞の記事によれば、CASICは先の税務ソフトメーカーの一つである航天信息の親会社だとしている（ロイター）。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 中国 |

関連ストーリー：
WavlinkとJetstreamという二つの中国製ブランドのルーターに不審なバックドアが存在。悪用も確認済み 2020年11月26日
米独の情報機関、有力な暗号機メーカーに秘密裏に出資し他国の機密を半世紀ほど収集していた 2020年02月14日
中国共産党の提供する「学習アプリ」に対しユーザーの情報を収集できるのではないかとの疑い 2019年10月17日
ファーウェイ、日本に自社製品ソースコードの公開を提案 2019年09月07日
ファーウェイのノートPC用ドライバに脆弱性、ファーウェイはバックドアではなく単なる欠陥と主張 2019年04月08日
HUAWEIの中国向け端末はTwitterアプリでダウンロードされた画像を勝手に削除する？ 2019年01月23日

あるAnonymous Coward 曰く、

米国でCOVID-19による1日の死者が初めて3000人を超えたそうだ。ロイターによれば、9日段階で1日の死者数は3253人に達しており、累計では28万9740人にも及んでいるという。9日段階の入院者数は10万6219人だとしている。この数字は2001年9月11日に発生した米同時多発テロの犠牲者数2977人を1日で上回るペース。バイデン時期大統領のCOVID-19対策チームの一員で、疫学者のマイケル・オスターホルム氏は、クリスマスパーティーは中止すべきだと主張している（ロイター）。

米国では米食品医薬品局（FDA）が10日、ファイザー製コロナワクチンの緊急使用許可について協議を行った。FDA諮問委員会による採決結果は賛成17、反対4、棄権1。恩恵がリスクを上回ると判断されたという。この結果から11日にも緊急使用許可が認められる可能性があるとしている（Bloomberg）。

すべて読む | クリスマス | 医療 |

関連ストーリー：
学校で合唱コンクール練習などでコロナクラスター発生か。文科省がマスクの原則着用などの緊急通知を行う 2020年12月11日
ファイザーがトランプ政権に米国向けワクチン供給は遅れると伝達。ワシントン・ポスト報道 2020年12月09日
Google、新型コロナウイルスの感染予測サイトを日本で開始。28日分の感染者数予測などを提供 2020年11月18日
東京が「住みやすい都市」世界首位に、新型コロナウイルスによる死者数が相対的に少ないことを評価 2020年11月17日
今年のクリスマスは中止しないとのお知らせ、サンタクロースが明言。サンタとZoomできるサービスも登場 2020年10月27日
クリスマス禁止に抗議した男性、当局に起訴される 2020年01月15日

headless 曰く、

Googleは9日、Chrome拡張機能プラットフォームのManifest V3をChrome 88でロールアウトする計画を公式に発表した(Chromium Blogの記事 、 Android Policeの記事、 The Registerの記事)。

Manifest V3ではリモートでホストされたコードの使用が禁止されてセキュリティが向上し、バックグラウンドページの置き換えとなるサービスワーカーの導入や、拡張機能API全般で宣言型モデルへの移行を進めることでパフォーマンスが向上する。また、拡張機能APIを宣言型モデルに移行することで、プライバシーも向上する。たとえば、新しいdeclarativeNetRequest APIを使用すると、拡張機能がユーザーのデータにアクセスすることなく、ネットワークリクエストのブロックが可能になる。

declarativeNetRequest APIに関しては、広告ブロック拡張機能の動作が制限されるとしてManifest V3のドラフト公開時に批判されたが、当初最大3万件となっていたブロッキングルールは最大15万件に拡大されるなど改善されている。安定版リリース後もフィードバックに応じて改善を進めていくとのこと。

Manifest V3は現在、Chrome 88 Betaで利用可能になっており、Chrome 88が安定版となる1月中旬にはChromeウェブストアでManifest V3拡張機能の登録が可能になる。現時点ではManifest V2拡張機能のサポートを削除する時期は決まっていないが、Manifest V3が安定版Chromeで利用可能になってから少なくとも1年間は移行期間が設けられるとのことだ。

すべて読む | ITセクション | Chrome | アップグレード | セキュリティ | スラッシュバック | デベロッパー | プライバシ |

関連ストーリー：
Chrome拡張機能のNano Defenderがマルウェア化 2020年10月18日
国税庁のe-Taxサイト、Google ChromeとChromium版Microsoft Edgeの対応を開始 2020年05月27日
Google曰く、Chrome拡張機能プラットフォームの新マニフェストは広告ブロックをより安全にする 2019年06月15日
楽天ウェブ検索のChrome機能拡張、ホームページと検索エンジンを楽天に変更し固定して批判される 2019年04月18日
SNSでの「有害なコメント」を非表示にできるChrome拡張機能 2019年03月15日
Google、ユーザー名とパスワードの流出を通知するChrome拡張機能を公開 2019年02月09日
Chrome拡張のマニフェスト変更で広告ブロック拡張機能の動作が制限される可能性 2019年01月26日

JR東日本はモバイルSuicaのサイト上で、12月22日以降にモバイルSuicaのサービス利用ができなくなる端末等について改めて警告を行った。この告知自体は2019年12月に発表されていたものだが、サービス終了機種一覧[PDF]によると、12月22日から2021年の2月にかけてサービスが使用不能となる端末が多数ある。フィーチャーフォンおよびAndroid OS 6.0未満の機種が中心となっている（Androidスマートフォンの一部機種でのモバイルSuicaサービス終了について）。

該当する端末を所有しており、今後もモバイルSuicaの使用を継続する場合は、サービス終了前にモバイルSuicaアプリケーションから「携帯情報端末の機種変更手続き」を行い、モバイルSuica対応機種に移行しておく必要がある。またサービス終了後はモバイルSuicaの機種変更手続きは行えなくなるとしている。

手続きが間に合わなかった場合は、新たなモバイルSuica応端末をあらかじめ用意した上で、再発行手続きを行う必要があるという。ただし、再発行の手続きは、クレジットカード登録をされているユーザーに限るとしている。

すべて読む | モバイルセクション | モバイル | 携帯電話 | 交通 |

関連ストーリー：
ソニー、時計バンドとしても使えるスマートウォッチwena 3を発表。Suicaに対応 2020年10月02日
「高輪ゲートウェイ」駅、モバイルSuicaアプリの文字数制限に引っかかる 2020年03月23日
スギHD、キャッシュレス決済の増加で手数料負担が大きく増加 2019年10月16日
PASMOおよびSuica、システム切替のため7月6日と7日に一部サービス停止 2019年06月25日
Suicaインターネットサービス、終了へ 2019年06月03日
JR東日本、導入費用が安い簡易版Suicaを早ければ2019年度中にも導入へ 2019年02月07日

tori_sanpo 曰く、

実会場での開催は無理だろうなって思っていたら正式に発表されました
しかたないですね
https://www.cpplus.jp/

カメラ映像機器工業会（CIPA）は、カメラと写真映像展示会「CP+(シーピープラス) 2021」について、新型コロナウイルスの再度の感染拡大の状況などから、当初予定していたパシフィコ横浜での開催を中止し、オンライン開催となる「CP＋2021 ONLINE」として開催する形に変更したと発表した。オンラインでの開催日程は2021年2月25日から2月28日となる。アーカイブ公開は3月31日まで行われる予定（CP+公式、カメラ映像機器工業会）。

すべて読む | テクノロジー | 日記 | 医療 |

関連ストーリー：
今年のノーベル ウィーク、多くのイベントがオンライン視聴可能に 2020年12月01日
CEATEC 2020 ONLINE、開幕直後アクセス集中で一時入場制限も 2020年10月20日
口笛の世界大会も初のオンライン開催へ。初代チャンピオンになる最初で最後の機会 2020年07月22日
EVO Onlineが開催中止へ。EVO創始者の不祥事が発覚、カプコンなどがタイトル提供取りやめ 2020年07月08日
今年のWWDCは6月22日から参加費無料でオンライン開催 2020年05月09日
東京ゲームショウ2020、通常開催を中止してオンラインでの開催を検討 2020年05月09日

headless 曰く、

GE HealthcareのX線イメージングデバイスなど100機種以上に影響する脆弱性が2件公表された(CyberMDXのニュースリリース、 CISAのアドバイザリー、 Ars Technicaの記事、 GE Healthcareのセキュリティポータル)。

影響を受けるのはMRI装置やCT装置、PET/CT装置、マンモグラフィー装置、汎用X線装置、汎用超音波診断装置など。影響を受ける装置にはPCが組み込まれており、UnixベースのOS上で管理用ソフトウェアが実行される。管理用ソフトウェアはGEのサーバーに接続してソフトウェア更新などを実行するが、認証時の通信が保護されていないため、ネットワーク経路上で認証情報が読み取られる可能性がある(CVE-2020-25175)。

また、認証情報はデフォルト値が公開されており、変更はGEのサポートチームのみが可能だという。そのため、顧客からの依頼によって認証情報を変更していなければ、デフォルトのままとなる。これにより、攻撃者は読み取った認証情報やデフォルトの認証情報を利用して患者の状態などに関するデータへのアクセス・変更が可能となる(CVE-2020-25179)。

GEによれば、パスワードをデフォルトから変更しておらず、かつローカルネットワークが信頼できない場合のCVSS 3.1スコアは9.8だが、GEが推奨する緩和策をとれば7.5まで低下するという。GEではローカルネットワークのセグメンテーションや明示的なポートアクセスルールの作成、IPSec VPNの使用などを推奨しており、デフォルトパスワードの変更やネットワーク構成に関する情報、機種別の情報などを得るためGEの担当者へ連絡するよう求めている。なお、現時点でこれらの脆弱性を狙った攻撃は報告されていないとのことだ。

すべて読む | セキュリティセクション | テクノロジー | セキュリティ | ネットワーク | 医療 | 暗号 |

関連ストーリー：
WavlinkとJetstreamという二つの中国製ブランドのルーターに不審なバックドアが存在。悪用も確認済み 2020年11月26日
GoogleのProject Zero、GitHub Actionsの脆弱性を公表 2020年11月05日
GoogleのProject Zero、Windowsカーネルのゼロデイ脆弱性を公表 2020年11月01日
WindowsのデスクトップテーマファイルでWindowsの認証情報を盗み取れる可能性 2020年09月09日
Windows Serverに17年前から存在していたバグが修正される 2020年07月18日
NETGEAR製品に幅広く影響するゼロデイ脆弱性が見つかる。ZDIが一斉公開 2020年07月03日
5G携帯電話による植込み型心臓ペースメーカー・除細動器への影響はないとの調査結果 2020年03月07日
心臓ペースメーカー1100台余りに停止のおそれ、プログラムを無線通信で修正することを検討 2019年01月23日