Googleがスイスのソフトウェアエンジニアを同姓同名のブルガリアの連続殺人犯と取り違え、検索結果のナレッジパネルに顔写真を掲載していたそうだ(Hristo Georgiev 氏のブログ記事、 The Next Webの記事、 Search Engine Journal の記事)。

連続殺人犯と間違われたのは Hristo Georgiev 氏。元同僚から知らせを受けた Georgiev 氏は当初、誰かが自分をからかおうとしているのではないかと思ったそうだ。しかし、ナレッジパネルに記載されている情報元の Wikipedia 記事に顔写真はなく、Google のアルゴリズムが誤って連続殺人犯と Georgiev 氏の顔写真を関連付けてしまったらしいことがわかる。

ただし、同姓同名の人は他にも数多く、Georgiev 氏だけが抽出された理由は不明だ。実際に画像検索結果では Georgiev 氏以外の同姓同名の人物の顔写真も多数表示される。また、この連続殺人犯は1980年に射殺されており、ナレッジパネルには死亡日が記載されているが、なぜか存命中のように現在の年齢も記載されている。

Georgiev 氏はこの間違いを友人と共有して少し楽しんだが、何十億人という人が使用するアルゴリズムが容易に情報を歪められることは恐ろしいことだと実感したとのこと。Georgiev 氏は問題を Google に報告しており、既に顔写真の間違いは修正されている。

すべて読む | ITセクション | 犯罪 | Google | 人工知能 | バグ | 変なモノ | idle |

関連ストーリー：
Bingが英フィリップ公を一時故人扱いに 2021年03月10日
ゾディアックキラーの暗号 Z340 が解読される 2020年12月14日
Amazonの顔認識技術、カリフォルニア州議員26人の顔を犯罪者と誤判定 2019年08月19日
Apple Storeの顔認識技術が原因で誤認逮捕された、と主張する訴訟 2019年04月29日
中国・寧波の歩行者信号無視監視システム、バスのラッピング広告に印刷された人物を違法横断者と誤認識 2018年11月24日
Amazonのリアルタイム顔認識システム、米国会議員28名を逮捕歴のある人物と誤判定 2018年07月28日
Google、米国版モバイル検索でうつ病のチェック機能を提供 2017年08月29日
米大統領選の共和党指名争い、テッド・クルーズ氏は不気味な男というイメージを作り出したソーシャルメディアにつぶされた？ 2016年05月08日
Google、黒人を誤って「ゴリラ」とタグ付け 2015年07月02日
連続殺人犯の殺人間隔における数学 2012年01月20日
連続殺人事件の容疑者、息子のDNAから特定される 2010年07月16日
Google、信頼できる情報がまだ公開されていない可能性を検索結果に表示する計画 2021年06月28日

Western Digital の古い NAS、WD My Book Live および WD My Book Live Duo が未修正の脆弱性(CVE-2018-18472)を突かれ、リモートからファクトリーリセットを実行されてデータがすべて消えたとの報告が複数出ている(セキュリティアドバイザリー WDC-21008、 BleepingComputer の記事、 Ars Technica の記事、 The Register の記事)。

両製品は2010年～2012年に発売され、2014年に販売終了しており、最後にファームウェアが更新されたのは2015年のことだという。CVE-2018-18472はリモートから root としてコマンドを実行可能な脆弱性で、2018年に報告され、PoC も公開されている。しかし、Western Digital は報告者に対し、ファイアーウォールでリモートからのアクセスを防ぎ、ローカルネットワーク内の信頼されたデバイスのみがアクセスできるようにするなどの対策を提示するにとどまった。

今回 Western Digital では問題を調査していると述べる一方、現時点ではインターネットから両製品を切り離すことを推奨している。

すべて読む | ハードウェアセクション | セキュリティ | ネットワーク | バグ | インターネット | ストレージ |

関連ストーリー：
QNAP製NASの既知の脆弱性を狙った攻撃が発生、研究機関が修正版の適用を呼びかけ 2021年03月08日
WDの公称「5400rpmクラス」の一部HDDが実際は7200rpmであると指摘される 2020年09月09日
Western Digital、WD Redの記録方式問題を受けて各HDDの記録方式を公開 2020年05月01日
9月に判明した古いiOSデバイスのBoot ROMに存在する脆弱性、CERT/CCが脆弱性情報を公開 2019年12月21日
Intel、古い製品向けのドライバーやBIOSアップデートなどのダウンロード提供終了を進める 2019年11月22日
古いiOSデバイスのBoot ROMに脱獄も可能な脆弱性、Appleにも修正不可能 2019年09月29日
1年以上前に修正済みのVLCのバグ、最新版のバグと誤って報告される 2019年07月26日
医療用のスマート輸液システム、LAN内から不正なファームウェアに書き換え可能な脆弱性 2019年06月21日
国内メーカー4社の無線LANルーターのサポート期間、多くが不明瞭 2018年04月02日
Western Digital、同社製品で採用するプロセッサをRISC-Vへ移行すると発表 2017年12月06日
Microsoft、Windows XPなど旧OS用の新たなセキュリティ更新プログラムをさらに公開 2017年06月16日

Dell は24日、BIOS 搭載の機能で発見された4件の脆弱性と影響を受ける129機種のリストを公表した(DSA-2021-106、 Eclypsium のブログ記事、 Phoronix の記事、 BetaNews の記事)。

CVE-2021-21571 は Dell の BIOSConnect 機能と HTTPS Boot 機能が利用する UEFI BIOS の HTTPS スタックに存在する不適切な証明書検証の脆弱性だ。リモートの認証されていない攻撃者が中間者攻撃を利用して脆弱性を悪用することで、サービス拒否およびペイロードのタンパリングにつながる可能性がある。

CVE-2021-21572 / CVE-2021-21573 / CVE-2021-21574 は BIOSConnect 機能に存在するバッファーオーバーフローの脆弱性だ。ローカルでシステムにアクセス可能な認証されたユーザーがこの脆弱性を悪用することで、UEFI による制限を迂回して任意コードの実行が可能になる。

BIOSConnect は SupportAssist OS Recovery 機能を利用して BIOS 更新と OS の復旧を行う機能で、影響を受けるのは BIOSConnect 搭載機種の一部だという。HTTPS Boot は UEFI の HTTP Boot を利用してシステムを HTTP(S) サーバーからリモートブートする機能で、搭載機種は少ない。影響を受ける129機種のうち、HTTPS Boot を搭載しているのは46機種となっている。

いずれの脆弱性を悪用する場合も攻撃者は事前にユーザーのネットワークへ侵入し、Dell UEFI BIOS が信頼する証明書を取得するなどの準備が必要となり、システムに物理的アクセス可能なユーザーが各機能を使用するのを待つ必要があるとのこと。

CVE-2021-21573/CVE-2021-21574に関しては5月28日にサーバー側で修正が行われており、ユーザーが必要な操作はない。CVE-2021-21571/CVE-2021-21572に関しては BIOS 更新が必要となる。6月24日までに影響を受ける129機種すべてに対策版の BIOS 更新が提供されている。

Dellのプリインストールソフトウェアやファームウェア更新プログラムではたびたび脆弱性が発見されているが、今回の脆弱性の影響を受けるのはWindowsに限らない。特にセキュアブートを無効化している場合は影響が大きくなるとのことだ。

すべて読む | セキュリティセクション | ハードウェア | アップグレード | セキュリティ | ソフトウェア | バグ | インターネット |

関連ストーリー：
Dellのファームウェア更新プログラムに同梱されていたドライバーに脆弱性、500以上のモデルに影響 2021年05月07日
Dell SupportAssistでまた脆弱性が見つかる 2019年06月23日
HP製ノートPCにプリインストールされているドライバの1つにキーロガー的機能が見つかる 2017年12月12日
AcerやASUS、Dell、HP、LenovoのPCにプリインストールされているソフトウェアに脆弱性が見つかる 2016年06月09日
Dellや東芝、LenovoのPCなどにプリインストールされている管理ソフトに脆弱性が見つかる 2015年12月16日
MS、証明書信頼リストを更新してDellのPCにプリインストールされていた危険な証明書を無効化 2015年12月04日

Python パッケージの公式リポジトリ PyPI で見つかった暗号通貨採掘マルウェアを含む6つのパッケージについて、発見した Sonatype が解説している(Sonatypeのブログ記事、 Ars Technicaの記事)。

暗号通貨採掘マルウェアは Sonatype のマルウェア検出ツール Release Integrity により発見されたもので、「maratlib」「maratlib1」「matplatlib-plus」「mllearnlib」「mplatlib」「learninglib」の6本。いずれも同じ作者により早ければ4月に PyPI で公開されており、PePyによればSonatypeのブログ記事公開時点で合計5,000回近くダウンロードされている。

うち5本は「maratlib」との依存関係が設定されており、「maratlib」のダウンロード回数が2,371回と最も多い。また、「matplatlib-plus」と「mplatlib」は「matplotlib」の誤入力によりダウンロードさせるタイポスクワッティングを狙ったものとみられ、「matplatlib-plus」のダウンロード回数は913回で「maratlib」に次ぐ多さとなっている。

「maratlib」は激しく難読化されているが、最終的には作者の GitHub リポジトリから暗号通貨採掘 Bash スクリプトをダウンロードして実行する仕組みになっていたとのこと。

PyPIでは2017年にもタイポスクワッティングを狙った悪意ある偽パッケージが発見されているが、その後も悪意あるパッケージの新規公開が続いているようだ。Release Integrity は元々 npm に注力してきたが、この数週間 PyPI パッケージを対象に試験運用したところ、3,157本以上の悪意あるパッケージが見つかったとのことだ。

すべて読む | デベロッパーセクション | セキュリティ | Python |

関連ストーリー：
名前のタイプミスを狙った悪質なパッケージがRubyGemsで多数公開される 2020年04月19日
RubyGemパッケージrest-client、バックドアを含むバージョンが立て続けに公開される 2019年08月25日
バックドアを含むバージョンのbootstrap-sassパッケージがRubyGemsで見つかる 2019年04月07日
npmリポジトリで公開されているパッケージに仮想通貨を盗むマルウェアが混入 2018年11月29日
「.com」のミスタイプを狙う「.cm」サイト、今年だけで1,200万回近くアクセスされていた 2018年04月08日
PyPIに悪意のあるパッケージがアップロードされていた 2017年09月18日
OSSのホスティングを行っているFossHubが攻撃を受ける、AudacityやClassic Shellにマルウェアが混入 2016年08月04日
オープンソースのSSHクライアントPuTTY、トロイの木馬が仕込まれたバージョンが配布される 2015年05月30日

東京・新宿の京王プラザホテルが6月5日に50周年を迎えたことを記念し、9月18日に発売50周年を迎えるカップヌードルとのコラボ企画「京王プラザホテル×カップヌードル 50 周年記念コラボ」を7月1日から8月31日まで実施する(特設ページ、 ニュースリリース: PDF、 FOODBEASTの記事)。

期間中は和洋中のホテルシェフが「カップヌードル8福神」と呼ばれる8種類のカップヌードルをホテルの味に仕上げたスペシャルメニューや、バーテンダーがカップヌードルをアレンジしたカクテルを館内レストラン・バー5店舗で提供するという。主なメニューは謎肉料理やカップヌードル炊き込みご飯、冷製カップヌードルなど。ディナーとカクテルを存分に楽しめる宿泊プランも用意される。京王プラザホテルが50年かけてついに見つけた最高の食材はカップヌードルとのこと。

一方、日清食品ではカップヌードルTwitterアカウントをフォローして該当投稿をリツイートすると京王プラザホテルの1泊50円ペア宿泊券(カップヌードル50個食べ放題付き)が50人に当たるキャンペーンを実施している。キャンペーン期間は6月28日23時59分まで。応募資格は日本国内在住者限定で、宿泊可能期間は8月16日～11月15日となる(キャンペーン告知)。

すべて読む | idleセクション | idle |

関連ストーリー：
日清カップヌードル「フタ止めシール」廃止へ 2021年06月07日
ライダー50周年で庵野監督によるシン・仮面ライダー発表。BLACKのリブートや風都探偵のアニメ化も 2021年04月06日
日清食品と小林製薬、残ったスープ固めるパウダーを発表 2021年03月31日
1/1サイズでカップヌードルを再現するプラモデル、一般販売へ 2020年06月03日
日清、「カップヌードル」専用フォークを発売へ 2019年10月18日
カップヌードルのデザイン、商標登録される 2018年07月12日
日清が「ヌードルブーケ」を提案 2018年02月08日
日清食品が縄文土器風カップヌードル専用容器を発売 2017年11月07日
味の想像ができないカップ麺、次々登場 2017年01月25日
カップヌードル、2020年までに15％減塩 2016年12月16日
「謎肉」が従来品の10倍入った「カップヌードルビッグ "謎肉祭" 肉盛りペッパーしょうゆ」 2016年09月07日
日清カップヌードルの「ダイスミンチ」、6年ぶりに復活へ 2015年04月16日
カップヌードルミュージアムが横浜にオープン 2011年09月19日
カップヌードルの具材がアップデート、「謎の肉」がチャーシューに 2009年03月27日
即席麺の開発者、安藤百福・日清会長が逝去 2007年01月06日
「タイムカン」3年半でもうアカン 2004年03月26日