headless 曰く、

昨年 6 月 14 日に上海発台北行きチャイナエアライン 202 便のエアバス A330 型機で発生したインシデントについて、台湾国家運輸安全調査委員会 (TTSB) が最終報告書を公開している (ニュースリリース、 報告書: PDF、 The Register の記事、 The Aviation Herald の記事)。

このインシデントでは A330 が台北松山空港の滑走路に接地した直後、3 台のフライトコントロールプライマリコンピューター (FCPC) がほぼ同時に停止している。これによりグラウンドスポイラーや逆推力装置、オートブレーキがすべて使用できなくなった。問題を認識した機長がマニュアルブレーキを適用。3 秒後には副機長にもマニュアルブレーキを要請して 2 人でブレーキペダルをフルに踏み込み、機体は滑走路終端の 30 フィート手前で停止したとのこと。

FCPC が 3 台ほぼ同時に停止した理由として、TTSB ではコマンド / モニター系統の非同期性が非常に大きくなったことを挙げている。接地時には機体の水平制御が飛行用から地上用に切り替わって非同期性が大きくなるが、これにパイロットのペダル操作が加わって 2 系統の差が閾値を超えてしまったと考えられるという。その結果、FCPC1 が最初に停止し、制御の移動した FCPC2 と FCPC3 も次々に停止したとみられる。エアバスではこの問題に対処するソフトウェア改善を行っている。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | バグ | 交通 |

関連ストーリー：
北米でリコール対象となった20ブランドの除湿器、すべて同じメーカー製 2021年08月10日
エチオピア航空のパイロット、目的地と間違えて開港前の新空港に着陸 2021年04月07日
米大統領専用機を運用する空軍基地、マウス耳の帽子をかぶった男性が5時間にわたってうろつく 2021年03月14日
Tesla、Tesla車で意図しない急加速が発生したという調査請求は虚偽だと反論 2020年01月24日
ボーイング737 NGで特定の滑走路へ計器進入する際にのみ発生する問題が確認される 2020年01月11日
航空機の操縦士、体調不良の原因は？ 2016年03月02日

香港で16日、大量の塩をまいて複数のカタツムリを殺したとして26歳の大学院生が逮捕されたそうだ。香港警察の動物虐待専門のチームが捜査にあたったとのこと。テレ朝NEWSによると香港警察は動物虐待に厳しいらしい。有罪判決を受けた場合、最長で3年の懲役刑が科せられるらしい（テレ朝NEWS）。

すべて読む | ITセクション | 犯罪 | バグ | IT |

関連ストーリー：
YouTube、ロボットバトル動画を動物虐待として非公開に 2019年08月22日
改正動物愛護法が成立、犬猫へのマイクロチップ埋め込みが義務化 2019年06月13日
ジュリアン・アサンジ氏逮捕、大使館で飼われていた猫の行方は？ 2019年04月14日
英国の新5ポンド紙幣に微量の獣脂が含まれることが判明し、反対運動が起こる 2016年12月04日
動物愛護団体PETA、ポケモンGOに便乗してポケモンを捕まえる人間を倒すゲームを公開 2016年07月26日
意見募集：インターネット上の違法な情報への対応に関するガイドライン 2008年10月26日

headless 曰く、

台湾・New Widetech (NWT、鉅潞科技) は 4 日、北米で同社製除湿器のリコールを発表した(ニュースリリース、 リコール特設サイト、 米消費者製品安全委員会のリコール情報、 SlashGear の記事)。

リコール理由は過熱により発火の可能性があるというものだ。リコール対象製品によるインシデントが既に 107 件報告されており、およそ 1,700 万ドルの被害が出ている。人的被害は報告されていないとのこと。100 機種以上にわたるリコール対象製品はすべて他社の 20 ブランドで 2009 年から 2017 年に販売されたものだが、リコールは NWT が実施する。所有者はすぐに使用をやめて返金を請求するよう求められており、利用期間に応じた割合で返金額が計算される。対象製品は米国でおよそ 200 万台、カナダで 38 万台、メキシコで 25,000 台が販売されたとのことだ。

すべて読む | ハードウェアセクション | ハードウェア | バグ |

関連ストーリー：
周知も修理キット提供もなかなか進まない米国での Philips の人工呼吸器リコール 2021年08月09日
Facebook、皮膚炎発生を受けて Oculus Quest 2 の接顔パーツを米国とカナダでリコール 2021年08月01日
リコール修理後にもバッテリー発火の可能性がある Chevrolet Bolt EV 、新たなリコールが発表される 2021年07月25日
ファイザー、禁煙補助剤 CHANTIX の一部ロットを米国でリコール 2021年07月24日
米消費者製品安全委員会、Fulfilled by Amazon プログラムを通じて販売された危険な製品のリコールを Amazon に要求 2021年07月19日

headless 曰く、

北米では主要な病院の 80 % が使用しているという Swisslog Healthcare の気送管システム TransLogic Pneumatic Tube System (PTS) で見つかった一連の脆弱性「PwnedPiper」について、発見者の Armis が解説している(Armis のリポート、 Swisslog Healthcare のアドバイザリー、 The Register の記事、 Softpedia の記事)。

日本ではエアシュートなどとも呼ばれる気送管システムは、空気圧をかけたパイプのネットワークで物品を格納したパケットを送る仕組み。かつては人力によるルーティングが行われていたが、現代的なシステムは IP ネットワークに接続され、コンピューターにより制御が行われる。

TransLogic PTS の脆弱性は制御用の Linux デバイス Nexus Control Panel に存在し、検証なしのファームウェア更新 (CVE-2021-37160) や、リモートからのコード実行または DoS が可能となるメモリ破損の脆弱性 (CVE-2021-37161 / 37162 / 37164 / 37165 / 37166)、ハードコードされた Telnet パスワード (CVE-2021-37163)、特権昇格の脆弱性 (CVE-2021-37167) といったもの。Armis は 9 件の脆弱性と述べているが、CVE-ID が割り当てられた脆弱性は 8 件となっている。全ての脆弱性は認証されていないネットワークパケットを送るだけで引き起こすことが可能で、ユーザーの操作は必要ないとのこと。

これらの脆弱性を悪用することで、攻撃者は送り先の変更や速度の変更といった攻撃が可能だ。血液製剤など低速で送るべき物品を高速で送ってしまうと、患者に被害が及ぶ可能性もある。また、PTSのユーザー認証システム WhoTube に登録されたスタッフの認証情報取得や病院のコミュニケーションソリューションに統合された PTS のアラートシステム悪用による業務妨害、ランサムウェア攻撃なども可能になる。

脆弱性のほとんどはファームウェアバージョン 7.2.5.7 で修正されているが、CVE-2021-37160 だけは修正されていないという。Armis ではパッチの適用のほか、Telnet のブロックや ACL のデプロイ、Snort による攻撃検知といった対策を推奨している。

すべて読む | セキュリティセクション | セキュリティ | バグ | 医療 | 交通 |

関連ストーリー：
ランサムウェア攻撃の結果として初の死者、ドイツ・ケルンの検察が過失致死容疑で捜査 2020年09月20日
医療用のスマート輸液システム、LAN内から不正なファームウェアに書き換え可能な脆弱性 2019年06月21日
植込み型除細動器などの通信プロトコルに患者を攻撃可能な脆弱性 2019年03月23日
脳波検査システムのソフトウェアに脆弱性 2018年04月08日
Windows XP等で動いている医薬品の自動分配システムに大量の脆弱性 2016年04月05日
東大病院で大規模なワーム感染 2009年03月06日

IIJは16日、7月15日から同社が提供している「IIJmioモバイルサービス ギガプラン」用の専用アプリ「My IIJmio」において、利用者とは別のユーザー情報が表示される不具合があったと発表した。この影響により「My IIJmio」の提供は15日18時55分に一時停止されている。影響が確認されているのは254名分。誤表示された情報は以下の通りとなっている（IIJリリース、ケータイ Watch）。

• 電話番号の一部 (4桁目から7桁目までがマスクされた状態)
• データ残量
• データ残量有効期限
• データ利用量
• ご請求金額
• 高速通信ON/OFFの状態
• 5Gオプション
• データシェアの設定状態
• ご契約情報 (mioID、サービスコード、サービス状態、料金プラン、申し込み日、利用開始日)

すべて読む | ITセクション | バグ | IT | 携帯通信 | プライバシ |

関連ストーリー：
注文履歴などの誤表示でAmazon.co.jpに行政指導、被害件数は11万件 2019年10月16日
世田谷区の通知書類で「平成3元年」との誤表示、和暦の一の位が「1」だった場合「元」に変換する処理だった 2019年04月16日
Googleの通貨換算機能、ガーナセディの価値を実勢の4分の1程度と表示するトラブル 2019年03月24日
NTTドコモ、翌月進呈ポイントが99億に誤表示される場合があると事前アナウンス 2018年05月25日
過去5年間で日本の上場企業から流出した個人情報は単純計算で7545万件 2017年04月14日

headless 曰く、

米昆虫学会 (ESA) は7日、「ジプシー (gypsy)」という単語を含む昆虫2種の一般名を昆虫および関連生物の一般名リストから削除したことを発表した(ESA のニュース記事、 Mashable の記事)。

削除された一般名はドクガ科のマイマイガ Lymantria dispar の「gypsy moth」と、アシナガアリ属のアリ Aphaenogaster araneoides の「gypsy ant」。ESA 理事会では3月に許容可能な昆虫の一般名に関する新しいポリシーを承認しており、民族や人種のグループを示す名前や恐怖を掻き立てるような名前が禁じられている。また、特に侵略的外来種について地理的な場所を示す名前の使用を非推奨としている。

一般名は専門家と一般人とのコミュニケーションを容易にするためのものだが、特定のグループを歓迎しないような一般名の使用はその目的に反する結果を生む。今回の変更は不適切であったり不快感を与えたりする昆虫の一般名を見直して置き換える新プログラムの開始と相前後して決定したもので、ロマの人々に対する侮蔑的な呼称「ジプシー」が不適切と判断された。

新プログラムは民族や人種に対する否定的なステレオタイプを持続させるような昆虫の一般名を特定し、代替の一般名を提案するもので、昆虫学者だけでなく関連する分野の科学者や一般の人々にも参加が呼び掛けられている。L. dispar に関しては、コミュニティグループを招集して新しい一般名の提案を要請する計画だという。A. araneoides の新しい一般名については言及されていない。

すべて読む | サイエンスセクション | バグ | サイエンス |

関連ストーリー：
中国のSNSで「株式市場」という単語が禁止された可能性 2021年03月11日
AI翻訳業のロゼッタ、全社員に「英語禁止令」発令。英語は本業の能力とは何の関係もない 2021年03月05日
FANZAでの禁止表現、犬とのカラミはNGだが蛇ならOK 2020年12月03日
Apple、包括的用語使用の義務付けを含むスタイルガイド更新 2020年07月19日
絵本における著作権侵害問題、著作権的にNGな「絵本の読み聞かせ動画」や個人製作グッズの販売などが多く確認される 2020年04月17日
劇場版「メイドインアビス」、レーティングが急遽R15+になり前売り券購入者のうち対象者は払戻しに 2019年12月31日
海外では技術系の単語を子供の名前に使う親が登場している 2018年12月26日
米ミズーリ州、肉代用食品を「meat」として販売することを禁ずる法律 2018年09月01日

カスペルスキー製パスワードマネージャー「Kaspersky Password Manager（KPM）」に脆弱性が見つかり、新たにCVE-ID（CVE-2020-27020）が割り当てられた。生成されるパスワードに偏りが生じているという。カスペルスキーは脆弱性の報告を受けて、すでに対策を取ったバージョンを配布している。影響を受けるのはのWindows版では9.0.2パッチF以前のバージョン、Android用ではバージョン9.2.14.872以前、iOS用では9.2.14.31以前のものだとしている（Kaspersky、Donjon、The Register、窓の杜 ）。

発見者であるLedger社のセキュリティチーム「Ledger Donjon」によれば、KPMのパスワードジェネレーターには時刻をキーに用いるロジックに欠陥があり、生成する数値に偏りが生じていた。攻撃者はパスワード生成時期を知ることができれば、総当たり攻撃により数分で解析できるとしている。同社では最新版への更新を行うと同時にランダムパスワードを再生成するよう呼び掛けている。

すべて読む | セキュリティセクション | セキュリティ | バグ |

関連ストーリー：
Microsoft、Windows のゼロデイ脆弱性「PrintNightmare」を修正する更新プログラムを緊急リリース 2021年07月10日
Windows 11のCPU要件設定はSpectreやMeltdown対策をOS側でしたくないから？ 2021年07月08日
iPhone の Wi-Fi を無効化する SSID のバグ、影響範囲が広がる 2021年07月08日
Windows の Print Spooler で見つかった脆弱性、研究者の勘違いでゼロデイに 2021年07月04日
リモートからファクトリーリセット攻撃にあった Western Digital の古い NAS、新しい脆弱性が見つかる 2021年07月02日
Dell の BIOS に脆弱性、129機種が影響を受ける 2021年06月26日

プレスリリース・ニュースリリース配信サービスの PR TIMES は 9 日、会員企業が下書き保存登録していた発表前のプレスリリース情報が不正に取得されていたことを発表した(プレスリリース: PDF)。

原因は画像一括ダウンロード機能と PDF ダウンロード機能のセキュリティホールで、プレスリリースの公開状態にかかわらず URL ロジックを推測および解析することでダウンロードが可能になっていたという。7 月 5 日に会員企業から発表前の情報が SNS 投稿されているとの報告を受けて調査を行い、6 日には公開状態でない場合に画像一括ダウンロードができないよう緊急改修が行われている。PDF ダウンロード機能のバグは8日に判明し、URL を予測困難なロジックへ変更する緊急改修を実施したとのこと。

不正に取得されたプレスリリース情報は会員企業 13 社 14 アカウントのプレスリリース 230 件に紐づく画像の ZIP ファイル 230 点と、うち 4 社のプレスリリース 28 件に紐づく PDF ファイル 28 点。「不正取得」は 5 月 4 日 ～ 7 月 6 日に特定の IP アドレスから行われており、プロバイダーにも申告したという。

このような形で情報が取得されることはシステム開発段階では想定していなかったとのことで、今後は人員を増強してセキュリティホールの存在を迅速に発見できる体制へと強化するそうだ。なお、緊急改修は暫定的なものであり、今後はセキュリティを強化しつつ利便性を高める機能に刷新するとのことだ。

すべて読む | ITセクション | セキュリティ | ニュース | バグ | 広告 |

関連ストーリー：
Instagramで非公開設定で投稿した写真や動画はURLを直接開けば誰もが閲覧できる 2019年09月13日
ゲイ向け出会い系アプリ「Jack'd」で非公開設定でアップした写真に不特定多数がアクセスできる不具合が見つかる 2019年02月14日
スマホ監視アプリSpyFoneで取得されたデータ、ネットで誰もがアクセスできる状態になっていた 2018年08月29日
プライベートな投稿が全員に公開される可能性のあるFacebookのバグ、1,400万人に影響 2018年06月10日
SCEJ がトルネの視聴ジャンル無断公開に「真摯にお詫び」 2011年11月18日
トルネを含むPS3ゲーム/アプリのトロフィー情報は一般公開されている 2011年11月09日
Googleドキュメントに新たなセキュリティ・ホール 2009年03月28日
Google Docsで非公開の文書が公開されてしまうトラブル発生 2009年03月09日
公開URLの掲載をハックと見なされる 2008年03月11日
ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解 2006年10月18日
ロイターがURL推測で不正アクセスとして告訴される 2002年10月29日

Dell は24日、BIOS 搭載の機能で発見された4件の脆弱性と影響を受ける129機種のリストを公表した(DSA-2021-106、 Eclypsium のブログ記事、 Phoronix の記事、 BetaNews の記事)。

CVE-2021-21571 は Dell の BIOSConnect 機能と HTTPS Boot 機能が利用する UEFI BIOS の HTTPS スタックに存在する不適切な証明書検証の脆弱性だ。リモートの認証されていない攻撃者が中間者攻撃を利用して脆弱性を悪用することで、サービス拒否およびペイロードのタンパリングにつながる可能性がある。

CVE-2021-21572 / CVE-2021-21573 / CVE-2021-21574 は BIOSConnect 機能に存在するバッファーオーバーフローの脆弱性だ。ローカルでシステムにアクセス可能な認証されたユーザーがこの脆弱性を悪用することで、UEFI による制限を迂回して任意コードの実行が可能になる。

BIOSConnect は SupportAssist OS Recovery 機能を利用して BIOS 更新と OS の復旧を行う機能で、影響を受けるのは BIOSConnect 搭載機種の一部だという。HTTPS Boot は UEFI の HTTP Boot を利用してシステムを HTTP(S) サーバーからリモートブートする機能で、搭載機種は少ない。影響を受ける129機種のうち、HTTPS Boot を搭載しているのは46機種となっている。

いずれの脆弱性を悪用する場合も攻撃者は事前にユーザーのネットワークへ侵入し、Dell UEFI BIOS が信頼する証明書を取得するなどの準備が必要となり、システムに物理的アクセス可能なユーザーが各機能を使用するのを待つ必要があるとのこと。

CVE-2021-21573/CVE-2021-21574に関しては5月28日にサーバー側で修正が行われており、ユーザーが必要な操作はない。CVE-2021-21571/CVE-2021-21572に関しては BIOS 更新が必要となる。6月24日までに影響を受ける129機種すべてに対策版の BIOS 更新が提供されている。

Dellのプリインストールソフトウェアやファームウェア更新プログラムではたびたび脆弱性が発見されているが、今回の脆弱性の影響を受けるのはWindowsに限らない。特にセキュアブートを無効化している場合は影響が大きくなるとのことだ。

すべて読む | セキュリティセクション | ハードウェア | アップグレード | セキュリティ | ソフトウェア | バグ | インターネット |

関連ストーリー：
Dellのファームウェア更新プログラムに同梱されていたドライバーに脆弱性、500以上のモデルに影響 2021年05月07日
Dell SupportAssistでまた脆弱性が見つかる 2019年06月23日
HP製ノートPCにプリインストールされているドライバの1つにキーロガー的機能が見つかる 2017年12月12日
AcerやASUS、Dell、HP、LenovoのPCにプリインストールされているソフトウェアに脆弱性が見つかる 2016年06月09日
Dellや東芝、LenovoのPCなどにプリインストールされている管理ソフトに脆弱性が見つかる 2015年12月16日
MS、証明書信頼リストを更新してDellのPCにプリインストールされていた危険な証明書を無効化 2015年12月04日

米食品医薬品局(FDA)が甲殻類アレルギーの人に対し、セミを食べないよう注意喚起している(FDAのツイート、 The Washington Postの記事、 NBC Newsの記事、 The Vergeの記事)。

米国東部では今年が17年周期で大量発生する周期ゼミ Brood Xの発生年となっており、セミを使った料理が注目されている。甲殻類に似た味と表現されることも多い昆虫だが、アレルゲンとしても甲殻類に近いようだ。国連食糧農業機関(FAO)では食料としての昆虫を食品安全性の観点でまとめた報告書(PDF)の中で、昆虫と甲殻類がともに節足動物であることから、昆虫の摂取によるアレルギーの発生リスクについてさらなる研究が必要だとしている。甲殻類アレルギーの人はアレルゲンの交差反応性により、昆虫を食べることでもアレルギー反応が出やすいとのこと。

個人的には甲殻類アレルギーの友人がおり、エビを食べて顔がパンパンに腫れたところを見たこともある。この友人はバッタの素揚げが好きで、食べても平気なようだが、人によってはアレルギー反応が起きる可能性もあるので注意すべきだろう。

すべて読む | ITセクション | バグ | 医療 | idle | アメリカ合衆国 | ワーム |

関連ストーリー：
アメリカで「17年ゼミ」の大規模グループが目覚める。数十億匹から数兆匹が発生へ 2021年05月19日
杉並区立公園でセミを食用目的で大量捕獲しないよう看板が掲示される 2020年09月03日
上野アメ横に昆虫食自販機登場 2020年03月20日
タガメ、希少動物として規制対象に 2020年01月22日
無印良品、コオロギせんべいを開発中 2019年11月25日
コオロギ50匹分の粉末が入ったプロテインバー 2019年03月07日
コオロギを食べると腸内環境が改善したとの研究結果 2018年08月05日
昆虫や微細藻類を使用した「未来のファーストフード」 2018年03月24日
人工培養肉、昆虫、海藻、「明日のミートボール」とは 2015年12月13日

今年はアメリカで17年に一度、地上に姿を見せるとされる「17年ゼミ」の目撃が相次いでいるそうだ。Wikipediaによると、周期ゼミや周期年数が素数であることから素数ゼミとも呼ばれているとのこと。その17年ゼミには年次集団ごとに番号が割り当てられており、2021年は最も数の多い「BroodX」と呼ばれるグループが活動するタイミングだそうだ。その数は「数十億匹」から「数兆匹」にも及ぶとのこと（毎日新聞、秒刊SUNDAY、TimeOut）。

活動時の騒音は110デシベルにも達し、「車のクラクション」と同じくらいの音が鳴り続けるレベルらしい。大西洋に面した中部諸州や中西部などで大量発生するとされ、地面の温度が約18度になると活動を始めるという。すでに南部地域では鳴き声が確認されているとのこと。

nemui4 曰く、

住民にとってはサイアクらしい

情報元へのリンク

すべて読む | ITセクション | バグ | 変なモノ | IT |

関連ストーリー：
非対称な網を張るアメリカジョロウグモ、微小重力下では光の有無で非対称性が変化 2020年12月13日
カイコは｢二段階認証｣を用いて食べられるクワの葉を見分けていた 2020年12月08日
和風アクションRPG内の古代稲作の再現度が高すぎて話題。リアル農家は精米機に感謝するレベルらしい 2020年11月18日
日本で発見された新種の寄生バチ、ゴジラと名付けられる 2020年11月08日
メキシコで発見された新種のハチ、COVID-19にちなんだ学名が付けられる 2020年10月14日

著名投資家バフェット氏率いる投資会社バークシャー・ハザウェイ（Berkshire Hathaway）のクラスA株価が、ナスダックのシステムで処理できる株価の上限に迫ったことから、ナスダックがデータ送信を停止する措置を取ったという。ナスダックのコンピューターがカウントできる株価の上限は42万9496.7295ドルで、一方のバークシャー・ハザウェイの株価は5月10日時点で44万2500ドルとこれを突破してしまっている（CNN、WSJ）。

WSJの記事によると、表示の上限があるのは株価の記録に採用している数値の形式に32ビットを採用しているためで、32ビットで表せる最大値は「4,294,967,295」であることからこうなってしまったそうだ。各記事では株式市場版の2000年問題であるとしている。

この結果、一部の証券会社やメディアはナスダックから同株の情報を得られない状態に陥ったことから、別の企業などから情報を得ることで対処している模様。CNNの記事によれば、ナスダックから再び同株の株価情報が再び入手できるようになるのは今月17日以降になる見込みだそうだ。

すべて読む | ITセクション | ビジネス | プログラミング | バグ | IT |

関連ストーリー：
ユニコード、新元号への移行は2000年問題に匹敵する大問題となると指摘 2018年07月30日
ニューヨーク市の気候変化で電波による通信に遅延、高速取引に影響 2018年07月04日
米カリフォルニア州で「2025年6月29日にM6.8の地震が起きた」と誤報が広がる 2017年06月24日
2038年問題まであと8億秒 2012年09月13日
自動車の車載システムは脆弱？　デジタル攻撃に「ほとんど耐えられない」 2010年05月20日

headless 曰く、

GoogleのProject Zeroは15日、2021年版のバグ開示ポリシーを公表した(Project Zeroのブログ記事、 SlashGearの記事、 The Vergeの記事)。

元のバグ開示ポリシーではProject Zeroがバグを開示するタイミングをベンダーへの報告から90日後(既に攻撃が確認されている場合は7日後)またはパッチ提供開始のいずれか早い方としていたが、2020年にはパッチ提供の有無にかかわらず報告から90日後/7日後に開示するテストが1年間行われた。90日以内にパッチの提供が間に合わない場合は14日間の猶予期間を追加可能だが、猶予期間中はパッチ提供開始時点でバグが開示されていた。そのため、パッチがユーザーに行き渡る前にバグの詳細やPoCが公開される点が問題となっていた。

2021年版ポリシーでは、期限内(猶予期間を含む)にパッチが提供開始された場合、バグの開示はパッチ提供開始から30日後となる。これにより、バグ開示前のパッチ導入率を高めることが可能になる。また、既に攻撃が確認されているバグについても、ベンダーは3日間の猶予期間追加を請求できる。

新ポリシーはパッチ開発までの時間とパッチ導入までの時間を分離することでエンドユーザーが既知の攻撃に脆弱な期間を短縮し、バグを開示すれば攻撃者に情報を与える一方でバグを開示しなければ防御に必要な情報も得られなくなるという論争を減らすことができるとのことだ。

すべて読む | セキュリティセクション | Google | セキュリティ | ソフトウェア | バグ |

関連ストーリー：
リリース直後に深刻な脆弱性が見つかったLibgcrypt 1.9.0、バージョン1.9.1への更新が呼び掛けられる 2021年02月02日
GoogleのProject Zero、6月の更新プログラムで完全に修正されていなかったWindows 10の脆弱性を公表 2020年12月27日
GoogleのProject Zero、GitHub Actionsの脆弱性を公表 2020年11月05日
GoogleのProject Zero、Windowsカーネルのゼロデイ脆弱性を公表 2020年11月01日
米Amazon、偽物対策専門ユニットを設立 2020年06月27日
セキュリティ研究者曰く、Android端末メーカーはLinuxカーネルを独自に改変するべきではない 2020年02月26日
GoogleのProject Zero、バグ開示の新ポリシーをテスト 2020年01月11日

英航空事故調査局(AAIB)は8日、昨年7月に英国の航空会社のフライトで発生した重大インシデントの報告書を公開した(報告書、 Flight Globalの記事、 The Vergeの記事、 The Registerの記事)。

インシデントは7月21日5時にバーミンガムを出発したボーイング737-8K5型機による旅客便で、チェックイン結果を踏まえて作成されるロードシートに実際より1,244kg少ない重量が記載されていたというもの。この航空会社はインシデント発生前にCOVID-19の影響で数か月運航を停止しており、その間に予約システムの更新を行った。ところが、更新を請け負ったプログラマーの国では敬称の「Miss」を子供に対して用い、成人女性に対しては「Ms」を用いる習慣があったため、「Miss」としてチェックインした成人女性(標準体重69kg)ではなく、子供(標準体重35kg)として重量を計算するプログラムになっていたそうだ。

この問題はシステム更新直後のフライトで確認されており、予約を確認して「Miss」が指定された成人女性の予約を「Ms」に手作業で置き換える解決法が2つのチームで共有されていた。地上スタッフにはチェックインカウンターやゲートで大人かどうかを確認するよう勧告されていたが、オペレーションズマニュアルには追加されてはいなかった。一方、プログラマーは大人の未チェックインの予約について「Miss」を「Ms」に自動で置き換える機能を実装したが、既に「Miss」としてチェックインしている場合には対応していなかったという。

しかし、週末には2つのチームが作業を行わなかったうえ、同便はフライト24時間前の7月20日(月曜日)にはオンラインチェックインが可能になった。そのため、同便のフライトプランでは29人だった子供の乗客がロードシートでは38人に増え、実際よりも1,244kg少ない機体重量が記載されることになる。このような差が出ることは珍しくないため、機長はロードシートを信じて離陸。その結果、離陸時の推力はわずかに小さくなったものの、運航の安全性に影響はなかったとのこと。

再発防止のため、7月24日にはより正式な確認手順が導入される。報告書にはロードシート作成のためのシステムがアップグレードされたとも記載されている。報告書に航空会社名は記載されていないが、機体記号G-TAWGはTUIエアウェイズの保有機材だ。TUIはインシデント発生を認めているが、プログラマーがどこの国の人だったかという質問には回答しなかったとのことだ。

すべて読む | ITセクション | 英国 | 変なモノ | バグ | idle | デベロッパー | 数学 | 交通 |

関連ストーリー：
エチオピア航空のパイロット、目的地と間違えて開港前の新空港に着陸 2021年04月07日
日本航空、渡航先での陽性時に治療費などを補償する「JALコロナカバー」開始 2021年02月04日
イーサネット通信エラーにより緊急着陸モードになるスイス製ビジネスジェット 2020年09月27日
気圧高度計の自動温度補償を使用すると誤った旋回方向が指示されるフライトマネージメントシステムのバグ 2020年06月03日
ボーイング737 NGで特定の滑走路へ計器進入する際にのみ発生する問題が確認される 2020年01月11日
タイ航空、予約システムで姓と名にそれぞれ最大25文字しか入力できない問題が発覚 2018年05月08日
英ブリティッシュ・エアウェイズで発生した大規模障害に対し外注とコストダウンが原因ではないかとの指摘 2017年06月02日
エアインディア、国内線エコノミークラスの座席に女性専用列を設定 2017年01月21日
パナソニック、同社製機内エンターテインメントシステムの脆弱性で旅客機乗っ取りが可能になるという主張に反論 2016年12月23日
乗客の横幅に合わせて旅客機の座席を設定可能なベンチ型シート 2016年02月27日
エアインディア、超過体重の客室乗務員を地上勤務に 2015年09月20日
安全のため搭乗前に体重測定を実施すると発表したウズベキスタン国営航空、特に説明なくプレスリリースを削除 2015年08月16日
乗客の身長に合わせて旅客機のシートピッチを調整するシステム 2015年08月14日
アメリカン航空、iPadアプリのトラブルで遅延が発生 2015年05月04日
米アラスカ州でiPhoneのマップアプリに従って空港に向かったドライバー、滑走路を横断 2013年09月28日

25日に「CCleaner」が5.78.8558に更新された。この更新ではドライブワイパー機能の空きスペースのみの項目が削除されたという。英Piriform Softwareのリリースによれば、ユーザーから空き領域以外も消去してしまうという報告があり、調査が終了するまで一時的な対処としてこの項目を削除されたとしている。窓の杜では旧バージョンを使用している場合でも、安全が確認されるまでは関連機能の使用は控えた方がいいと指摘している（Piriform Software、窓の杜）。

すべて読む | ITセクション | バグ | IT |

関連ストーリー：
CCleanerがFirefox 79の拡張機能データファイルを一部Webキャッシュとして削除する問題 2020年08月08日
Microsoft曰く、CCleanerの特定バージョンのインストーラーは望ましくない可能性のあるアプリ 2020年08月02日
デフラグ用フリーソフト冬の時代 2019年11月11日
Avast、サプライチェーン攻撃を受けていたことを公表 2019年10月24日
Microsoftコミュニティ、投稿から非表示にするWebサイトのブラックリストが存在する？存在しない？ 2019年09月28日
Piriformが32ビット版CCleanerのマルウェア感染を発表、最新版への更新を呼び掛け 2017年09月20日

法政大学の島野智之教授が、Twitterに投稿されていた写真から偶然、新種の海岸性ダニ類を発見したそうだ。銚子市で釣りをしていた会社員の方が撮影した1枚の写真に、北海道以南では見つかっていなかったハマベダニ属のダニ（ササラダニ類）がいたことに気がついたという。教授は新種では無いかと考え、共同研究者や写真を撮った会社員などとも協力して現物を採取し検証、新種であることを確認したそうだ（法政大学）。

今回の発見のきっかけがTwitterの写真であったことから学名は「Ameronothrus twitter」（和名:チョウシハマベダニ）と付けられたとのこと。今回の発見はTwitterで偶然見つかった世界で初めての動物の新種（生物では2例目）らしい。リリースでは今回の出来事はSNSによって誰もが新発見などに関与できる可能性があること示したとしている。

manmos 曰く、

法政大学島野教授がTwitterの一般ユーザ投稿写真から偶然新種の海岸性ダニ類を発見．学名はTwitterに由来

情報元へのリンク

すべて読む | ITセクション | バグ | サイエンス |

関連ストーリー：
駿河湾深海で発見された新種の巨大深海魚、「ヨコヅナイワシ」と名付けられる 2021年01月28日
新種の偽造五百円硬貨が相次ぎ見つかる。自動販売機で通用する可能性も 2020年12月28日
イギリスで新型コロナウイルスの新種が報告される。すでに1000件以上の感染例 2020年12月17日
改正種苗法が可決・成立。新規登録の種や苗を国外に持ち出すことに制限 2020年12月04日
日本で発見された新種の寄生バチ、ゴジラと名付けられる 2020年11月08日
魚類で新しい科が新設。通称ドラゴンスネークヘッド科 2020年10月22日
メキシコで発見された新種のハチ、COVID-19にちなんだ学名が付けられる 2020年10月14日

2月2日にオプションの更新プログラムとして配信されたWindows 10 バージョン2004/20H2のプレビュー版累積更新プログラム(KB4598291、リリースC)および以降の更新プログラムをインストールした環境の一部で、ライセンス認証に失敗する問題が発生しているそうだ(KB5001692、 BetaNewsの記事、 Softpediaの記事)。

この問題はOEM Activation 3.0 (OA3)のデジタルプロダクトキー(DPK)を使用してライセンス認証する際に発生するものだという。処理を実行するコンポーネントにレジストリハイブへの適切なアクセス権限がないためプロダクトキーが正しく抽出できず、ライセンス認証エラー0xC004C003が発生するとのこと。

暫定的な対処方法としては、この問題が含まれない1月の月例累積更新プログラム(KB4598242)またはそれ以前のリリースを問題が解消するまで使用するという方法が紹介されている。問題が導入されたのはセキュリティコンテンツを含まない累積更新プログラムのプレビューだが、2月と3月の月例更新で提供された累積更新プログラムにも問題が含まれるような表現になっている。そのため、説明に従うと2か月分のセキュリティ修正が導入できないことになってしまう。

Microsoftはこの問題を根本的に解決する更新プログラムを準備しているとのことだが、リリース時期については記載されていない。

すべて読む | ITセクション | アップグレード | バグ | Windows | IT |

関連ストーリー：
Windows 10の無償アップグレード提供はまだ終了していない？ 2019年12月03日
Microsoftのライセンス認証サーバーで不具合、多数のWindows 7が「非正規品」扱いされる 2019年01月15日
ライセンスサーバーの問題でWindows 10 Pro/Enterpriseのライセンス認証が一部で無効になるトラブル 2018年11月10日
ロシアの知財裁判所、ソフトウェア不正使用で訴えられる 2018年04月30日
Windows 10 Anniversary Updateではライセンス認証機能が改善される 2016年06月24日
Windows 10へのアップグレード後マザーボードを交換するとライセンス認証できないという話は嘘？ 2016年06月17日
米特許商標庁、ソフトウェアのライセンス認証システムに関する特許を無効と判断 2016年03月31日
海賊版のWindows 8 Proを無償で正規にライセンス認証可能な問題が発覚 2012年11月23日