Python パッケージの公式リポジトリ PyPI で公開されているパッケージの半数近くに何らかのセキュリティ上の問題が含まれるとの調査結果が発表された(The Register の記事、 論文)。

対象は PyPI に保存されている全パッケージ 19 万 7 千件以上のスナップショットで、静的コード解析ツール Bandit を用いて調査している。セキュリティ上の問題は exec 関数の使用やパスワードのハードコードといったものから、セキュアでない例外処理やハッシュ関数の使用、SQL インジェクションや XSS が可能といったものまで幅広い。調査の結果、約 75 万件の問題が見つかり、46 % のパッケージが少なくとも 1 つの問題を含んでいたとのこと。

ただし、見つかった問題の半数以上を占める約 44 万件は深刻度の低いものであり、約 23 万件が深刻度中、約 8 万件が深刻度高に分類される。深刻度低の問題を含むパッケージは全体の 35.8 %、深刻度中は 25.3 %、深刻度高は 11.4 % にとどまる。また、今回の調査では誤検出・検出漏れや実際の使用では実行されないコードが検出されている可能性のほか、調査時に展開されなかったファイルが含む問題や Python 以外の言語で書かれたコードに含まれる問題は検出できないといった制約もあるとのことだ。

すべて読む | セキュリティセクション | セキュリティ | デベロッパー | Python |

関連ストーリー：
PyPI で暗号通貨採掘マルウェアを含む悪意あるパッケージが見つかる 2021年06月26日
名前のタイプミスを狙った悪質なパッケージがRubyGemsで多数公開される 2020年04月19日
PyPIに悪意のあるパッケージがアップロードされていた 2017年09月18日

Google が Android 2.3.7 (Gingerbread) までの古いバージョンの Android デバイスについて、9 月 27 日以降 Google アカウントサインインのサポートを終了する計画を発表している(Android Help の記事、 9to5Google の記事、 Neowin の記事、 Android Police の記事)。

サインインサポート終了後はデバイスで Google アカウントにサインインできなくなり、Gmail などのアプリは使用できなくなる。Web ブラウザー上でサインインすることは可能なため、Web ブラウザーがサポートされる限り Google のサービスを使用することは可能だ。

既にサインインしているデバイスではサインイン状態が維持されるようだが、デバイスを初期化した場合やパスワードを変更した場合、アカウントを追加し直した場合、新規アカウントを作成した場合はサインイン不可能となる。

なお、使っていなかったので気付かなかったが、手元にあった Android 2.3.6 デバイスは既にサインインできなくなっていた。

すべて読む | ITセクション | モバイル | Google | Android |

関連ストーリー：
Google Play 開発者サービス、Android Jelly Bean のサポート終了へ 2021年07月11日
英消費者団体Which?、サポートの終了した中古スマートフォンを購入しないよう注意喚起 2020年08月05日
Google Play開発者サービス、Ice Cream Sandwichのサポート終了へ 2018年12月11日
Google Chrome、Android Jelly Beanのサポートを近く終了か 2018年10月10日
Google、Android 2.1以前のAndroid Marketアプリをサポート終了へ 2017年06月23日
Android 4.0向けGoogle Chrome、サポート終了へ 2015年03月06日
Google、古いAndroidのサポート終了か　9億台で脆弱性放置の恐れ 2015年01月14日

IDC が 7 月 29 日に発表した推計値によると、2021 年第 2 四半期のスマートフォン出荷台数は前年同四半期から 3,660 万台増 (13.2 % 増) の 3億 1,320 万台となったそうだ(プレスリリース)。

今回の増加はスマートフォン市場が継続的な成長に向けて復旧しつつあることをさらに示すもので、地域別では中国を除くすべての地域が増加に貢献したという。一方、中国ではフラッグシップ新モデルの欠如や予測を下回る需要、Huawei のさらなる減少により、前年同四半期から 10 % 減少したとのこと。スマートフォンは自動車やPC、ディスプレイなどのような半導体部品の供給不足による大きな影響を受けておらず、パンデミックの出口が見えない中で消費者によるモバイルデバイス需要が続いている。注目の 5G デバイスは出荷が増加し、価格も低下しつつあるものの、現時点で消費者は特に 5G を求めて購入しているとは考えられないとのことだ。

ベンダー別にみると、Huawei のさらなる減少と LG のスマートフォンビジネス撤退で、シェアの大きな変動がみられる。米国市場では LG 撤退後のシェアを Motorola と TCL、OnePlus が分け合い、中国市場では Huawei の減少分を Xiaomi と OPPO、vivo、Apple が分け合っているそうだ。ここ数四半期にわたる Apple の成長は中国で Huawei の減少により空きができた 800 ドル以上の価格帯で 72 % のシェアを獲得したことが大きいという。この価格帯では Huawei が減少しつつも 24 % のシェアを維持しており、他のベンダーは食い込むことができていないとのこと。

その結果、2020 年第 2 四半期に 1 位だった Huawei はランキングから消え、Samsung が 9.3 % 増の 5,900 万台とトップ 5 では最も小幅の成長ながら 2 位から 1 位に上昇した。前年 4 位だった Xiaomi は 86.6 % 増の 5,310 万台となり、Apple を抜いて 2 位に上昇。Apple は 17.8 % 増の 4,420 万台まで増加したが、前年と同じ 3 位にとどまった。4 位の OPPO (37.0 % 増、3,280 万台) と 5 位の vivo (33.7 % 増、3,160 万台) も大きく成長している。6 位以下の合計は 15.2 % 減の 9,240 万台となっている。

すべて読む | アップルセクション | モバイル | 統計 | 携帯電話 | iPhone |

関連ストーリー：
2021年第1四半期のスマートフォン出荷台数は前年同四半期比25.5％増、Huaweiがトップ5から消える 2021年05月05日
韓国LG電子がスマホ事業から撤退、売却も断念 2021年04月06日
2020年第2四半期のスマートフォン出荷台数は前年同四半期比16％減、Huaweiが1位に上昇 2020年08月02日

エクアドルの裁判所がジュリアン・アサンジ氏のエクアドル市民権を無効と判断したそうだ(AP News の記事、 The Register の記事、 NPR の記事、 France 24 の記事)。

アサンジ氏はスウェーデンでの性的暴行容疑などにより、英国・ロンドンで 2010 年に逮捕された。しかし、保釈中の 2012 年に政治亡命を求めロンドンのエクアドル大使館に入り、2019 年 4 月に再び逮捕されるまで滞在することになる。この間に複数の容疑は時効を迎えたが、英警察はアサンジ氏が大使館の外に出たら保釈中の逃亡容疑で逮捕しようと待ち構えていた。

そのため、エクアドル政府はアサンジ氏が大使館の外に出ても拘束されないよう、2017 年にアサンジ氏の外交官登録を試みる。英国での外交官登録は却下されたが、エクアドルでの帰化申請は承認されており、アサンジ氏はエクアドル市民権を獲得した。

しかし、帰化申請書類には複数の異なる署名や改ざんの可能性、未払いの手数料などの問題があり、裁判所は書類が無効だと判断したという。アサンジ氏の弁護士は英国で拘置されているアサンジ氏には出廷の機会がなく、適正手続きが行われなかったなどとして、異議を申し立てる姿勢を示しているとのことだ。

すべて読む | idleセクション | 政治 | idle | 政府 |

関連ストーリー：
英判事、米国によるジュリアン・アサンジ氏の身柄引渡要求を却下 2021年01月05日
英ファッションデザイナーのヴィヴィアン・ウエストウッド、ジュリアン・アサンジ解放を巨大な鳥かごの中で訴える 2020年07月23日
米当局、WikiLeaks創設者をスパイ活動法違反などで追起訴。これに対し言論の自由に反するとの批判 2019年06月04日
スウェーデンの検察、性的暴行容疑によるジュリアン・アサンジ氏の捜査を再開 2019年05月16日
ジュリアン・アサンジ氏逮捕、大使館で飼われていた猫の行方は？ 2019年04月14日
米連邦検事補、ジュリアン・アサンジ氏が刑事告発されたとの情報を無関係な裁判所文書に誤記 2018年11月18日
在英エクアドル大使館がジュリアン・アサンジ氏に出した館内での行動に関する指令書(猫の世話含む) 2018年10月20日
ジュリアン・アサンジ氏を外交官にして身柄拘束を防ぐというエクアドル政府の試み、英政府に断られる 2018年01月13日
WikiLeaksの創始者ジュリアン・アサンジ氏、時効成立で解放される可能性高まる 2015年08月18日
アサンジ氏の保釈金としてマイケル・ムーア氏が2万ドルを提供 2010年12月16日
Wikileaks創始者、ジュリアン・アサンジ氏が逮捕 2010年12月07日

腰の負担を軽減する無動力外骨格について、装用者が考え事をしながら作業する場合には効果が得られない可能性を示す研究成果をオハイオ州立大学などの研究グループが発表している(Ohio State News の記事、 論文アブストラクト、 SlashGear の記事)。

研究で使用した外骨格は胸と脚に取り付け、持ち上げる作業における腰の負担を軽減して負傷の危険性を低下させるものだ。この外骨格を健康な被験者 12 名(成人男女各 6 名)が装着し、30 分間にわたってメディシンボールを繰り返し持ち上げて下ろす作業を 2 セッション実施した。ただし、一方のセッションではボールを持ち上げるたびに 500 ～ 1,000 のランダムな数と 13 の差を暗算するというタスクが追加されている。

各セッションで被験者の脳活動と腰にかかる力を赤外線センサーで測定した結果、単純な上げ下ろし作業では腰の負担がわずかに軽減されたものの、暗算しながらの作業で腰の負担は軽減されなかったという。このような結果は脳が外骨格と協調して体を動かそうとしつつ暗算を行うことでリソースの競合が発生するためとみられ、かえって腰の負担が増して負傷の危険性が高まる可能性もある。

暗算に限らず、心理的ストレスや作業に関する指示を受けることでも同様の結果になる可能性があり、企業が1台あたり数百ドル ～ 数千ドルかけて外骨格を導入しても期待した効果が得られない可能性が高いとのことだ。

すべて読む | サイエンスセクション | テクノロジー | サイエンス |

関連ストーリー：
パワーアシストスーツの市場規模は2025年までに8倍以上へ。少人数で仕事をこなすことが求められる 2020年08月19日
ロボットや外骨格スーツに注目する建築業界 2017年08月26日
成田空港で装着型作業支援ロボットが試験導入される 2017年01月30日
米海軍、電源不要の作業用外骨格をテスト中 2014年10月17日
世界初の「外骨格アームサポートシステム」という「x-Ar」、6月発売予定 2011年03月27日
下半身不随の人を助ける「外骨格スーツ」 2008年08月27日
ロボットスーツ(外骨格型)実用化へ踏み出す 2007年02月15日
スーツと作業着を組み合わせた「ワークスーツ」が人気に 2021年08月02日

Facebook は 7 月 27 日、Oculus Quest 2 のヘッドセット用接顔パーツによる皮膚炎発生の報告を受けたシリコンカバーへの切り替えを発表した(安全に関する重要なお知らせ、 Tech@FACEBOOK の記事、 The Verge の記事、 The Register の記事)。

皮膚炎は接顔パーツが皮膚に接触する部分で生じ、報告件数はごくわずかでほとんどは軽症だが、安全で快適な製品を提供するために切り替えを行う。なお、接顔パーツの製造過程で危険な物質などの混入は発生していないという。米国とカナダではリコールが行われており、他国でも規制当局に連絡しているとのこと。

既存の Quest 2 や Quest 2 用接顔パーツ、フィットパック所有者に対しては、シリコンカバーを無償で提供する。無償提供を受けるにはサインインして発送手続きを行う必要があり、Quest 2 が正式に販売され、発送可能な地域のみの対応となる。日本語版告知ページのタイトルには「自主回収」と書かれているが、回収されるものは特にないようだ。

すべて読む | ITセクション | テクノロジー | ハードウェア | Facebook | 医療 |

関連ストーリー：
酸を使った角質ケア靴下による化学やけどに注意 2019年03月13日
北米のマクドナルド、皮膚炎の報告を受けて子供向けメニューでの腕時計型活動量計の提供を中止 2016年08月21日
Apple Watchで手首に火傷をする、という報告が一部ユーザーから出る 2015年07月14日

米疾病予防センター (CDC) が COVID-19 ワクチン完全接種済みの人向けガイダンスを 7 月 27 日付で更新し、マスク着用の推奨を復活させた(ガイダンス、 The Verge の記事、 Ars Technica の記事、 SlashGear の記事)。

ワクチン完全接種済みとは、ワクチンごとに必要な回数(1回または2回)の接種をしてから2週間以上経過した状態を指す。ガイダンスでは 5 月の更新で、ワクチン完全接種済みであれば法律やビジネス・職場等のルールで規定されていない限り、マスク着用と安全な距離の確保をすることなくパンデミック前の活動を再開できると明記されていた。

今回の更新では COVID-19 ワクチンがデルタ変異株を含む変異株に対し重症化や死亡を防ぐ効果があること、ワクチン完全接種済みならデルタ変異株であっても感染する割合は低く、感染しても軽症で済む傾向がみられる一方で、完全接種済みでもデルタ変異株に感染すれば他の人に感染を広げる可能性があることが既知の情報として追記された。

感染拡大地域ではデルタ変異株の感染予防と感染拡大防止のため、屋内の公共の場所でのマスク着用が推奨されている。また、本人または家族の免疫が低下している場合や COVID-19 重症化リスクが高い場合、家族にワクチン未接種の人がいる場合のマスク着用も推奨される。公共交通機関利用時のマスク着用方法として鼻と口を覆うことも明記された。一方、安全な距離に関する記述は削除されている。

マスク着用が必要な感染拡大地域と位置付けられるのは、過去 7 日間の 1 万人当たり新規感染者数が 50 人以上、または過去 7 日間の新規陽性率が 8 % 以上のいずれかを満たす地域 (感染レベル「中高」以上) であり、最新データでは全米の郡の 3 分の 2 以上が該当する(郡別感染状況)。

また、これまでは感染者と接触しても症状が出ない限り検査不要とされていたが、今回の更新では症状がなくても接触から 3 ～ 5 日後に検査をすること、陰性と判定されるまでは屋内の公共の場所で 14 日間はマスクをすること、陽性だった場合は 10 日間隔離することが必要とされている。

なお、CDC が 7 月 30 日に公開した週次報告書「Morbidity and Mortality Weekly Report (MMWR)」によれば、7 月に複数の大規模イベントが開催されたマサチューセッツ州バーンスタブルを訪れた州民から 469 件の COVID-19 症例報告があり、患者 133 名から採取した検体の 90 % がデルタ変異株 (B.1.617.2系統: 119、AY.3系統: 1) とのゲノムシーケンス結果が出ているそうだ(プレスリリース)。

症例のうち 346 件 (74 %) はワクチン完全接種済みの人 (ファイザー-バイオンテック: 159 人、モデルナ: 131 人、ヤンセン: 56 人) に対する打ち抜き感染であり、274 人 (79 %) には症状が出ているという。また、ワクチン接種の有無にかかわらずウイルス量は同等であり、感染力も同等とみられる。

すべて読む | サイエンスセクション | サイエンス | 医療 | アメリカ合衆国 | 政府 |

関連ストーリー：
ワクチン接種完了者は無症状のままデルタ株を広げている。米専門家指摘 2021年07月16日
米CDC曰く、COVID-19ワクチン完全接種済みなら感染防止対策なしでパンデミック前と同じアクティビティが可能 2021年05月16日
米CDC、静かに呼吸している感染者の呼気も新型コロナウイルスの感染源になる可能性に言及 2021年05月09日
米CDC曰く、COVID-19ワクチン完全接種済みなら人込み以外の屋外アクティビティでマスク不要 2021年04月29日
米CDC曰く、COVID-19ワクチン接種済みの人は米国内を安全に旅行できる 2021年04月05日
米CDC、COVID-19ワクチン完全接種済みの人向けの公衆衛生ガイダンスを公開 2021年03月12日
米CDCのCOVID-19拡大防止に関するガイダンス改訂、ある程度は布製マスクが着用者の感染も防ぐ 2020年11月18日
米CDC曰く、症状が出ていないCOVID-19濃厚接触者は必ずしも検査する必要はない 2020年08月29日
米疾病予防センター、COVID-19感染拡大を防ぐため布製マスクを推奨 2020年04月05日
米CDCがデルタ株の感染力は水痘並みとの指摘。国内でもブレイクスルー感染67人が確認 2021年08月02日

Vivaldi Technologies は 7 月 28 日、デスクトップ版 Vivaldi ブラウザーの最新版となる Vivaldi 4.1 をリリースした(Vivaldi の更新内容、 Vivaldi のブログ記事、 変更履歴、 SlashGear の記事)。

本バージョンではグループ化したタブ (タブスタック) の表示方法として「アコーディオン」が選択可能になった。従来から利用できたタブスタックの上部に小さなタブが表示される「コンパクト型」や、スタック内のタブが 2 段目のタブバーに表示される「二段型」とは異なり、アコーディオンタブ表示では 1 段のタブバーでスタック内のタブを展開できる。

アコーディオンタブを使用するには、Vivaldi の設定画面の「タブ→タブスタッキング」で「アコーディオン」を選択すればいい。スタックの展開・折り畳みはタブの右側に追加されるボタンで操作するほか、自動で展開するオプションも用意されている。アコーディオンタブでは 1 段のタブバーに表示されるタブが増えるだけでなく、タブに展開・折り畳みボタンが追加されるため、開いているタブの数が多いと視認性が低下する。個人的にはちょっと試してみたが、元の 2 段タブに戻してしまった。

また、本バージョンでは事前に設定した一連のコマンドを順に実行する「コマンドチェイン」も利用可能となっている。コマンドチェインは設定画面の「クイックコマンド→コマンドチェイン」で作成できる。作成したコマンドチェインはクイックコマンドから実行するほか、キーボードショートカットやマウスジェスチャを割り当てて実行することも可能だ。

すべて読む | ITセクション | ソフトウェア | インターネット | IT |

関連ストーリー：
Vivaldi 4.0に搭載された翻訳機能、翻訳結果で一部の漢字が文字化け 2021年06月12日
Vivaldi 3.8リリース、cookieダイアログやバナーの非表示化が可能に 2021年05月04日
Vivaldi 3.6、グループ化したタブを2段目のタブバーに表示する機能を追加 2021年01月30日
Vivaldi 3.4、オフラインでプレイ可能なゲーム「Vivaldia」を搭載 2020年10月17日
デスクトップ版Vivaldi 3.3、休憩モードが利用可能に 2020年09月10日

ロシアの国際宇宙ステーション (ISS) 多目的実験モジュール (MLM) ナウカが 7 月 29 日、ISS にドッキングした(NASA のニュース記事 [1]、 [2]、 ロスコスモスのニュース記事 英語版 [1]、 [2]、 ロシア語版)。

ナウカ が ISS ロシア側のサービスモジュール ズヴェズダにドッキングしたのは日本時間 7 月 29 日 22 時 29 分。空気漏れチェックの完了後、31 日 2 時 47 分にロスコスモスのオレグ・ノビツキー宇宙飛行士とピョートル・ドゥブロフ宇宙飛行士がハッチを開き、中に入った。

なお、地上の管制チームは 30 日 1 時 45 分、ナウカが予定外のスラスター噴射を行って ISS の向きが変わったことに気付く。ロスコスモスによれば、短時間のソフトウェア不具合により誤った噴射コマンドが送信されたといい、すぐにズヴェズダの推進システムで修正が行われた。管制は既に高度制御を取り戻しており、ISS の動きは安定しているという。これによりクルーが危険にさらされたことは一切ないとのこと。

一方、31 日打ち上げ予定だった Boeing CST-100 Starliner の Orbital Flight Test-2 (OFT-2)ミッションは延期された。これにより、ISS クルーはナウカの確認作業をさらに進めることができ、Starliner を確実に迎えることが可能になる。

Starliner は ISS クルー輸送に向けて開発中の宇宙船で、OST-2 は 2 回目の無人テストフライトとなる。現時点で打ち上げは 4 日 2 時 20 分、ドッキングは 5 日 2 時 37 分が予定されている。1 回目の無人テストフライトでは予定軌道に到達しなかったが、今回は成功するだろうか。

すべて読む | サイエンスセクション | 国際宇宙ステーション | サイエンス | 宇宙 | NASA |

関連ストーリー：
ロシアの ISS ドッキングモジュール ピルス、プログレス補給船とともに ISS から分離して軌道離脱・大気圏突入 2021年07月28日
ロシアの多目的実験モジュール、国際宇宙ステーションに無事到達できるか 2021年07月24日
Starlinerの有人テスト飛行ミッション、コマンダーが変更に 2020年10月09日
Crew Dragon、無事に地球へ帰還 2020年08月03日
ボーイングのISSクルー輸送に向けた無人テストフライト、打ち上げ成功もISS到達は断念 2019年12月22日

テクニカルサポート詐欺対策の動画を公開している YouTube クリエイターが偽の YouTube サポートに騙され、YouTube チャンネルを削除してしまったそうだ(Jim Browning 氏のツイート、 The Register の記事)。

クリエイターの Jim Browning 氏は主に、詐欺に引っかかったふりをして摘発に協力する「scam baiting」動画を YouTube チャンネル (Internet Archive のスナップショット) で公開していた。しかし、偽の YouTube サポートに誘導されて自らチャンネルを削除し、誰もが詐欺に騙されることを証明してしまったという。YouTube.com/JimBrowning へのアクセスは無関係な同名ユーザーのアカウントにリダイレクトされるためアカウントが乗っ取られたようにも見えるが、一時的にでも乗っ取られてはいないとのこと。その後、YouTube チャンネル自体は復活したが、YouTube.com/JimBrowning のリダイレクトを復旧させるには時間がかかるとのことだ。

追記:
別の Jim Browning 氏は 1 年以上動画を投稿していなかったが、思わぬ注目を浴びたためか続けて新しい動画を投稿している。孫のホームビデオだけかと思いきや多才なミュージシャンで、チャンネル登録者数も増加しているようだ。

すべて読む | ITセクション | 犯罪 | YouTube | idle |

関連ストーリー：
南オーストラリア州警察、テクニカルサポート詐欺の電話を受ける 2020年11月08日
Microsoft、TechNetギャラリーを6月に廃止 2020年03月19日
偽サイトに偽の電話番号を掲載することでデジタルアシスタントに偽コールセンターへの電話をかけさせる詐欺手法 2019年08月22日
インド・デリーの偽コールセンター、偽のMicrosoftテクニカルサポートスタッフなど24名が逮捕 2018年10月09日
TechNetのユーザーコンテンツ公開機能、テクニカルサポート詐欺の宣伝に悪用される 2018年09月14日
Windows版Google Chromeユーザーを主なターゲットにしたテクニカルサポート詐欺の手法 2018年02月12日
Microsoftの「Security Essentials」を装うマルウェア「Hicurdismos」が確認される 2016年10月28日
若い世代を狙い始めた「テクニカルサポート詐欺」 2016年10月25日
テクニカルサポート詐欺、Macユーザーにも対象を広げる 2015年10月24日

政府は 7 月 30 日、新型コロナウイルス感染症 (COVID-19) に関する緊急事態宣言とまん延防止等重点措置の措置期間をそれぞれ 8 月 31 日まで延長すると発表した(官報、 内閣官房の記事、 首相官邸の記事、 首相記者会見・トランスクリプト)。

緊急事態宣言の措置対象は現在の東京都と沖縄県に加え、8 月 2 日から埼玉県・千葉県・神奈川県・大阪府も対象となる。まん延防止等重点措置に関しては、現在対象となっている埼玉県・千葉県・神奈川県・大阪府が緊急事態宣言に伴って措置を終了し、8 月 2 日から北海道・石川県・京都府・兵庫県・福岡県が対象となる。

菅義偉首相は同日の記者会見で、新規感染者数が 29 日に全国で 1 万人を超えるなどこれまでにない速度で感染が拡大していることから措置の拡大・延長が必要だと説明した。より感染力が強いとされるデルタ変異株でも感染防止策はこれまでと変わらず、ワクチン接種を進めつつ、飲食店等に引き続き協力を要請していく。

飲食店に対しては協力金支給手続きを簡素化する一方、対策の実効性を高めるため各都道府県で見回りの拡大も行うという。また、東京オリンピック・パラリンピックを多くの人が自宅のテレビで観戦すれば、人の流れを抑制できるとの考えも示した。

すべて読む | サイエンスセクション | 日本 | 政治 | サイエンス | 医療 | 政府 |

関連ストーリー：
COVID-19の感染急拡大止まらず。一都三県、全国で新規感染者数の過去最多を更新 2021年07月29日
東京オリンピック・パラリンピック、福島県での競技も無観客に 2021年07月11日
COVID-19 に関する緊急事態宣言は 8 月 22 日まで延長、東京都が再び対象に 2021年07月09日
COVID-19に関する緊急事態宣言、20日に終了する9都道府県のうち7都道府県ではまん延防止等重点措置へ移行 2021年06月19日
群馬県・石川県・熊本県のCOVID-19まん延防止等重点措置、予定通り13日で終了 2021年06月12日
COVID-19に関する緊急事態宣言、9都道府県で6月20日まで延長 2021年05月29日
東大院准教授ら、五輪開催時は選手入国の影響より人流増を警戒すべきと試算 2021年05月25日
IOC調整委員長曰く、緊急事態宣言下でも東京オリンピック・パラリンピックは安全に開催できる 2021年05月22日
政府、沖縄県をCOVID-19に関する緊急事態宣言の対象に追加 2021年05月22日
COVID-19に関する緊急事態宣言の対象に北海道・岡山県・広島県、まん延防止等重点措置の対象に群馬県・石川県・熊本県が追加 2021年05月15日
COVID-19に関する緊急事態宣言とまん延防止等重点措置、5月31日まで延長 2021年05月08日
政府、4都府県を対象にCOVID-19に関する緊急事態宣言 2021年04月24日
政府、COVID-19まん延防止等重点措置の対象に埼玉県・千葉県・神奈川県・愛知県を追加 2021年04月17日
政府、東京都・京都府・沖縄県でもCOVID-19まん延防止等重点措置の実施を決定 2021年04月10日
政府、宮城県・大阪府・兵庫県でCOVID-19まん延防止等重点措置の実施を決定 2021年04月02日

匿名化されていたはずのアプリの位置情報で高位聖職者としては不適切な行動が指摘され、米カトリック司教協議会(USCCB)の事務局長が辞任した(USCCB の声明、 The Pillar の記事、 America Magazine の記事、 Ars Technica の記事)。

位置情報はゲイのソーシャルネットワーキングアプリ Grindr が匿名化してデータブローカーに販売したとされるもの。位置情報とユーザー名は結び付けられていないがデバイスごとにユニーク ID が割り振られており、特定のデバイスがデータを送信した場所と日時が確認できるという。

カトリック教会に関するニュースサイト The Pillar がデータを入手して調べたところ、2018 年から 2020 年にかけて特定のデバイスが(元)事務局長の自宅と職場のほか、ゲイバーや個人宅を訪れていることが判明したとのこと。事務局長は 2018 年の聖職者による児童虐待スキャンダルを受けて USCCB とバチカンの調整役を務めており、訪問した各地でもアプリからデータが送信されていたそうだ。

事務局長の行動に違法性はまったくないが、同性愛に反対するカトリック教会の高位聖職者としては、このようなアプリを使用するだけでもスキャンダラスといえる。そのため、事務局長はUSCCBの運営に支障をきたすことがないよう、The Pillarの記事が公開される前に辞任したとのことだ。

すべて読む | YROセクション | IT | プライバシ |

関連ストーリー：
イスラエル政府、デジタルテクノロジーでCOVID-19感染者に接触した人を特定可能にする暫定法を制定 2020年03月20日
南オーストラリア州公衆衛生局、新型コロナウイルス感染者の移動経路を確認するため携帯電話追跡システムを活用 2020年02月11日
司祭が「ハリー・ポッターの呪文は本物」と主張、米テネシー州ナッシュビルのカトリックスクールが図書館への収蔵をやめる 2019年09月06日
仕事用の電子メールを自分のスマートフォンで受信することは危険？ 2019年07月29日
盗難にあったTesla車、アプリの位置情報が容疑者逮捕につながる 2019年03月02日
ゲイ向け出会い系アプリ「Jack'd」で非公開設定でアップした写真に不特定多数がアクセスできる不具合が見つかる 2019年02月14日
米国防総省、位置情報などの漏洩リスクからフィットネストラッカーの使用制限命令を出す 2018年08月10日
iOS 12では米国での緊急通報発信時に発信者位置情報を通報先に通知する機能を搭載 2018年06月22日
パンを子供に分け与える聖人の彫像、パンの位置で問題発生 2017年11月25日
Google、位置情報サービスをオフにしたAndroid端末からも基地局情報を収集していた 2017年11月22日
FBIが匿名ネットワーク「Tor」を傍受、協力者には100万ドルが支払われた模様 2015年11月16日
ロシア内務省、Torの匿名ネットワークをクラックする技術に賞金11万ドルをかける。ただし要参加費 2014年08月13日
Torに対し匿名化を解除しようとする攻撃が発生していた 2014年08月04日
携帯電話の使用パターンで個人を特定 2013年04月02日
iPhone、Android 携帯のアプリが個人情報を漏洩している 2010年12月19日

HP / Samsung / Xerox のプリンタードライバーに 2005 年から存在していた特権昇格の脆弱性 (CVE-2021-3438) について、発見した SentinelLabs が解説している(Sentinel Labs のブログ記事、 BetaNews の記事)。

この脆弱性は IOCTL を通じてユーザーモードから送信されたデータのサイズをカーネルドライバーが検証しないために発生する。攻撃者は実際の入力サイズよりも大きなサイズをパラメーターに指定することでバッファーオーバーランを引き起こし、SYSTEM の権限でコードを実行できる。ただし、単独で攻撃に使用する手法は見つかっておらず、実際の攻撃で使用するには他のバグと組み合わせる必要があるとのこと。

脆弱性の影響を受ける約 400 機種はすべて HP 製で、5 月 19 日に 修正版ドライバーがリリースされた。HP / Samsung のプリンターに関しては、対象機種がその後追加されている(HP / Samsung のアドバイザリー、Xerox のアドバイザリー: PDF)。

すべて読む | ハードウェアセクション | セキュリティ | HP | ソフトウェア | プリンター | バグ |

関連ストーリー：
Windows Serverに17年前から存在していたバグが修正される 2020年07月18日
11年前にLinux版のFirefox 2で報告されたバグ、Firefox 57で修正へ 2017年09月09日
Linuxカーネルに11年以上前から存在する特権昇格の脆弱性「Dirty COW」が修正される 2016年10月22日
Firefox 41、14年前に報告されたバグの修正でAdblock Plus使用時のメモリー消費量が大幅に減少 2015年09月26日
TLS/SSL実装に20年前からの脆弱性、影響範囲は広範 2015年03月11日
Microsoft、18年にわたってWindowsに存在した脆弱性を修正 2014年11月15日
FFmpegのLZO実装コードに脆弱性、20年前から存在 2014年07月02日

昨年 7 月に発生した Twitter アカウントの大規模侵害事件に関連して、スペインで新たな逮捕者が出たそうだ(米法務省のニュースリリース、 The Verge の記事、 Mac Rumors の記事、 The Register の記事)。

この事件では攻撃者が電話によるスピア型フィッシングの手法で Twitter 従業員から認証情報を入手し、内部ツールを用いて 130 アカウントを攻撃。このうちパスワードリセットに成功した著名人のアカウントを含む 45 アカウントでビットコインの詐取を目的とした投稿が行われた。昨年 8 月に 3 人が起訴されており、主犯格とされる未成年者 (当時) は今年 3 月に 3 年の実刑判決を受けている。

一方、今回逮捕されたのは 22 歳の英国人男性で、米国の要請を受けたスペイン国家警察がエステポナで逮捕したという。この人物は事件発生直後、関与している可能性のある SIM スワッパー「PlugWalkJoe」として KrebsOnSecurity に取り上げられていたが、事件に直接関与してはいないと The New York Times のインタビューに答えていた。KrebsOnSecurity によれば男性は昨春までスペインの大学に通っていたが、昨年7月時点では COVID-19 パンデミックによる渡航制限で帰国できずにいたという。

米法務省によれば、男性は Twitter のアカウント侵害だけでなく、TikTok や Snapchat のアカウント乗っ取りや未成年者に対するサイバーストーキングにも関与しており、コンピューターの不正アクセスと共謀、脅迫など計 10 件で訴追されているとのことだ。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | アメリカ合衆国 | 英国 | 法廷 | Twitter | スラッシュバック |

関連ストーリー：
Twitterのアカウント侵害事件、米国で起訴された英国の被告は逮捕されていない 2020年08月08日
7月に発生したTwitterの大規模なアカウント侵害事件、米国で3人が起訴される 2020年08月01日
ウォズ、無断で名前や外見を使用したビットコインプレゼント詐欺動画を放置したとしてYouTubeを訴える 2020年07月24日
Twitter、15日のアカウント侵害インシデントに関する情報や対策を発表 2020年07月19日
バイデン氏やイーロン・マスクなどのTwitterアカウント、まとめてハッキングされる 2020年07月16日

2017 年にサービス終了した動画サービス Vidme の動画を埋め込んだままにしておいたことが原因で、普通のニュースサイトの普通の (古い) ニュース記事にポルノが表示される事態となった(Motherboard の記事、 Bleeping Computer の記事、 The Verge の記事、 The Register の記事)。

Vidme は投稿動画をコミュニティメンバーがキュレーションするという、YouTube と Reddit を組み合わせたようなサービスで、一時は 100 万人近いクリエイターと 2,500 万人以上の月間ユニークユーザーを抱えていたという。しかし、Google や Facebook との競争が激しくなる中、独立の VOD サービスとして持続していく道が見えないとして、2017 年にサービスを終了した(Variety の記事)。

現在、ドメイン「vid.me」へのアクセスはポルノサイト「5 Star HD Porn」のトップページにリダイレクトされるため、Vidme の動画を埋め込んでいたフレームには 5 Star HD Porn のトップページが表示されることになる。その結果、The Washington Post や HuffPost、New York Magazine、Fox Sports を含む複数のサイトで、少なくとも最近までポルノサイトのトップページが埋め込み表示されていたようだ。

Twitter で指摘されたサイトのほとんどは既に埋め込み動画を除去するなどの対応をしており、Fox Sports は該当記事自体を削除、HuffPost は Vidme の埋め込みフレームを削除するスクリプトを問題の記事だけでなく全記事に追加しているようだ。一方、まだ修正されていないサイトもある。The Verge は同サイトで調べたら Vidme 埋め込み記事が見つかったので修正したと説明しているが、ちょっと調べたら未修正の記事 (閲覧注意) も見つかった。

すべて読む | idleセクション | 映画 | ビジネス | ニュース | idle |

関連ストーリー：
2020年東京都知事選挙で使用されたドメインが22日に失効。悪用リスクが指摘される 2021年05月21日
フリーティケットシアター(freett.com)、iPhoneプレゼント詐欺サイトになる 2020年10月31日
内閣府のサイトからドメインを手放したサイトへのリンク削除漏れ、リンク先サイトが風俗体験記に 2018年05月12日
内閣府主催のセキュリティイベント公式サイトのドメインが失効、出会い系宣伝サイトに使われる 2017年12月28日
Dell、PCのリカバリ用に使われていたドメイン更新を忘れて乗っ取られる 2017年10月30日
新居浜市の観光サイト、URL移転後に手放した旧ドメインが第三者に取得されリンクサイトとしてそのまま「再利用」される 2016年11月16日
ロンドン市警察、差し押さえたドメインが失効してもそのまま放置 2015年07月11日
ケチャップボトルのQRコードをスキャンするとポルノサイトに移動 2015年06月20日
米司法省が差し押さえていたはずのMegaupload関連ドメイン、サイバー犯罪者に悪用される 2015年05月30日
「全国中学高校Webコンテスト」で使われたドメイン、その後業者に利用される 2015年02月05日
秋田県警の旧ドメイン、第三者に取られてSEOサイトに使われる 2013年12月09日
福田首相公式サイトとして使われていたドメインが取得可能に 2008年09月04日

リコール修理後にもバッテリー発火の可能性があるとして先日注意喚起が行われた Chevrolet Bolt EV だが、GM が発火の根本的な原因を特定したとして新たなリコールを発表した(Bolt EV Recall、 The Verge の記事、 Ars Technica の記事、 SlashGear の記事)。

問題のバッテリーは LG Chem の特定の工場で製造されたものだ。GM と LG が調査した結果、2 つのまれな製造上の欠陥が 1 つのバッテリーセル内に同時に存在することが原因だと判明したという。

GM はリコールにより対象車両の欠陥バッテリーを交換する計画で、交換パーツの用意が出来次第通知する。リコールの準備ができるまでの緩和策として、1) 充電の上限が 90 % となるよう設定する 2) 可能な限り、使用後はその都度充電し、充電残量が 70 マイル (約 27 %) 未満にならないように注意する 3) 充電完了後は屋外に駐車し、一晩中充電したままにしない、ことを顧客に求めている。

また、設定の変更が苦手な顧客はディーラーに依頼してでも設定するべきであり、最初のリコールで対策となっていた診断ソフトウェアのインストールが行われていない場合はディーラーに依頼してインストールするべきとのことだ。

すべて読む | ITセクション | ハードウェア | 電力 | スラッシュバック | バグ | 交通 |

関連ストーリー：
バッテリーから発火の可能性により米国でリコールされた Chevrolet Bolt EV、修理後も発火の可能性 2021年07月18日

Amazon Games が 20 日からクローズドベータを開始した MMORPG「New World」で、プレイヤーから GPU 故障の報告が相次いだ(PC Gamer の記事、 Tom's Hardware の記事、 IGN の記事、 SlashGear の記事)。

故障が報告されたのは主に EVGA 製の GeForce RTX 3090 FTW3 グラフィックスカードで、しばらくプレイしているとファンが 100 % 回転したのちに映像が出力されなくなり、以後はシステムから認識されなくなるといった症状だ(New World Test Forums の投稿)。

同じ RTX 3090 チップを搭載していても問題が発生しない製品がある一方で、他の GPU でも発生するとの報告もみられる。Amazon はこの問題を受け、パッチをリリースしたそうだ。

すべて読む | ITセクション | ハードウェア | グラフィック | バグ | ハードウェアハック | ゲーム |

関連ストーリー：
StarCraft II でグラフィックカードが故障する問題が発生 2010年08月04日

米連邦航空局 (FAA) は 20 日、米民間宇宙機による宇宙旅行参加者に民間宇宙飛行士の認定証を付与する FAA Commercial Space Astronaut Wings Program のルール変更を発表した(Order 8800.2、 The Next Web の記事、 SlashGear の記事)。

プログラムは FAA 認可の元に米国内から宇宙空間へ打ち上げ・帰還した米国の民間宇宙機のフライトについて、搭乗者の申請により民間宇宙飛行士として認定するものだ。これまでは a) フライトクルーの要件を満たし、規定の訓練を受けていること、b) 地表から高度 50 マイル以上に到達したこと、という2件が申請要件となっていた。

新ルールではこれらの要件に c) フライト中に公共の安全に不可欠な活動を行ったこと、または有人宇宙飛行の安全に貢献したこと、が追加されている。そのため、宇宙旅行チケットを購入して搭乗しただけの宇宙旅行者は認定されないことになる。なお、名誉民間宇宙飛行士も規定されており、民間有人宇宙飛行に大きく貢献した個人が認定される。

米 Virgin Galactic と 米 Blue Origin は相次いで有人宇宙旅行のデモを成功させているが、これらのフライトに搭乗したリチャード・ブランソン氏やジェフ・ベゾス氏は名誉民間宇宙飛行士として認定される可能性があるかもしれない。

すべて読む | サイエンスセクション | ビジネス | サイエンス | 宇宙 | アメリカ合衆国 | 政府 |

関連ストーリー：
宇宙旅客機 SpaceShipTwo、創業者のリチャード・ブランソン氏を乗せて宇宙飛行を達成 2021年07月14日
Virgin Galacticの宇宙旅客機、パイロット以外の乗員を乗せたフライトを成功させる 2019年02月27日
宇宙旅客機 SpaceShipTwo、初の有人宇宙飛行を達成 2018年12月15日
Space Ship Oneが高度100kmを達成：史上初の民間宇宙機誕生 2004年06月22日

AC0x01 曰く、

ロスコスモスは 21 日、国際宇宙ステーション (ISS) 用の多目的実験モジュール「Nauka」の打ち上げをバイコヌール宇宙基地で実施した。複数のメディアが打ち上げ成功を報じたが、その後 Nauka のメインエンジンが起動していないらしいことが発覚した。これに伴い、Nauka と交換で廃棄予定の Pirs モジュールの分離も延期されているようである。(Space.com の記事)。

Nauka は元々 1995 年に Zarya (ISS最初のモジュール) のバックアップとして開発が始まったが、Zarya の打ち上げ成功後、科学モジュールへと改装され 2007 年に打ち上げられることになっていた。計画は延期が続き、その間にロシアは 2025 年の ISS 撤退を表明などもしたが、Nauka は最終的に ISS に向け打ち上げられることとなった(NASASpaceFlight.com の記事)。

現在はリカバリー操作を試みているということだが、十数年を掛けて打ち上げ失敗というのは避けて欲しいところである。

ロスコスモスによれば、ミッションコントロールが22日に実施した軌道修正マヌーバーで 2 回のエンジン噴射を行い、正常に動作することを確認したそうだ。23 日にはさらなる軌道修正を実施しており、24日にも実施予定とのこと。NASA のブログ記事によれば、来週のドッキングに向けて準備を進めているという。別のブログ記事で Pirs の分離・軌道離脱スケジュールは日本時間 24 日夜となっているが、Space.com によると再延期されて 25 日になったとのことだ。

すべて読む | サイエンスセクション | 国際宇宙ステーション |

関連ストーリー：
中国独自の宇宙ステーションのコアモジュール「天和」が打ち上げ成功 2021年05月01日
国際宇宙ステーションに未発見の穴が開いている可能性、ロシア側責任者が指摘 2021年01月25日
国際宇宙ステーション20周年 2020年11月03日
ロシアの宇宙飛行士、ティーバッグを使って国際宇宙ステーションの空気漏れ位置を特定 2020年10月20日
国際宇宙ステーションの空気漏れ、ロシア側のズヴェズダサービスモジュールで発生していることが判明 2020年10月01日
国際宇宙ステーションの空気漏れ、再び調査 2020年09月27日
国際宇宙ステーションで通常よりもわずかに高いレートの空気漏れ、全ハッチを閉じて調査へ 2020年08月22日
Axiom Spaceの商業宿泊モジュール、国際宇宙ステーション（ISS）に接続へ 2020年01月29日
ボーイングのISSクルー輸送に向けた無人テストフライト、打ち上げ成功もISS到達は断念 2019年12月22日
ロシアの宇宙飛行士曰く、ISS空気漏れの原因となったソユーズの穴に関する尋問や拷問はまだ受けていない 2018年12月31日
国際宇宙ステーションで空気漏れが発生するトラブル、NASAが補修作業をリポート 2018年09月02日
国際宇宙ステーションの膨張式活動モジュール、膨らまず(※2回目の試行で成功) 2016年05月28日
「きぼう」の展望、不明瞭 2010年04月27日

Amazon が Amazon Appstore における Android App Bundle (AAB) 形式のアプリ公開フォーマットサポート計画を発表している(Appstore Blogs の記事、 Android Police の記事、 SlashGear の記事、 On MSFT の記事)。

Google Play では 2018 年から AAB 形式でのアプリ公開が可能となっており、既に 100 万本以上のアプリが AAB 形式で公開されている。8 月以降に Google Play で新規公開するアプリは AAB 形式の使用が必須となる。

一方、Amazon Appstore で AAB の使用が必須化されることはなく、既存の APK 形式を使い続けることも可能だという。Amazon Appstore では AAB サポートに向けた準備を進めている段階であり、年内に進捗状況を発表するとのことだ。

すべて読む | デベロッパーセクション | Windows | デベロッパー | Android |

関連ストーリー：
Google Play で新規公開するアプリ、8 月から Android App Bundle 形式での公開が必須に 2021年07月03日
Microsoft、Windows 11 を正式発表 2021年06月25日
「Appstore」名称の使用をめぐり、米裁判所がAppleとAmazonに和解協議を命ずる 2013年01月20日
米裁判所、Amazonによる「Appstore」名称の使用が虚偽の宣伝に当たるとするAppleの主張を却下 2013年01月05日
Apple の Amazon に対する「Appstore」名称使用の差し止め要求が却下 2011年07月15日
AppleがAmazonを「APP STORE」の商標を不正に利用しているとして提訴 2011年03月22日
Amazon の「App Store」では、販売価格決定権は Amazon にあり 2011年01月20日
「App Store」は総称過ぎる ? 米 Microsoft が特許商標局に申し立て 2011年01月14日
Amazon、Android用アプリストアの立ち上げ準備 2011年01月09日