アナウンス:スラドとOSDNは受け入れ先を募集中です。
「コンピュータなどの時間設定の変更は、律儀で真面目な国民ならば十分乗り切れるはずだ。」
「睡眠不足などによる健康障害問題は、個人の心構えにより、多くは解消されるはずだ。」
中国で高利回りをうたって個人から投資資金を集めるP2Pと呼ばれるインターネット金融の破綻が相次いでいるという。P2P金融へは全土で5千万人以上が投資し、規模は1兆3千億元(約21兆1千億円)に上る。2014年には5千社以上が業務を行っていたが、習指導部による違法・グレー金融の取り締まりで、7月末には1968社まで減少した。
P2P金融に関する総合サイト「網貸天眼」によると、破綻など運営上、何らかの問題が生じた業者は今年7月の1カ月間だけで250社を超えるという。有力金融機関の分析によれば、3年後に正常な運営を続けられるP2P業者は200社に満たないとしている。
破綻の原因は、習近平指導部が不透明な取引「影の銀行」への規制を強めためだそうだ。北京市内では6日、破綻したP2P金融業者への調査や損失の補填を求める投資家らが集まって、金融監督当局に陳情活動を行おうとしたが、当局によって別の場所に移送されたとのこと。
顔認識技術により、国際線への搭乗は簡単になりつつある。しかし、MITで顔認識技術を研究している人工知能研究者「Jonathan Frankle」氏は、スキャンされたデータがどう管理され、どう利用されているかに懸念を持っている。こうした旅行者のデータはTraveler Verification Service(旅行者確認サービス)と呼ばれるプログラムに参加する少数の企業の企業によって運用され、データ保護を明示的に保証しているという(The New York Times、slashdot)。
プログラムは国土安全保障省によって運営されているもの、参加企業がそのデータを使用したり保管したりする方法に規定を設けていないそうだ。旅行者の個人情報の販売や乗客の居場所を追跡するために使用されるなどの潜在的な誤用および乱用がみられるとしている。
航空会社が収集するデータは、出国した乗客の身元を確認するために使用される。これは、ビザを長期不法滞在する外国人を迅速に追跡するための試みだとされる。乗客の顔がゲートでスキャンされたのち、スキャンデータは税関と国境保護局に送られる。そして、生年月日やパスポート、フライト情報などの個人識別データとリンクされるとしている。
ブロックチェーン関連の著書を持つDavid Gerard氏は、Joint Photographic Experts Group(画像圧縮のためのJPEG標準を扱うISOワーキンググループ)の考えを疑問視している。曰く「彼らは、ブロックチェーンを使って、JPEG画像のDRM化を進めることができると考えているようだ」。
ワーキンググループがプレスリリースで発表した白書[PDF]では、デジタルメディアに対するフェイクニュース、著作権侵害、メディア法犯罪、プライバシー、セキュリティなどが新たな課題となっている。JPEGは、メディア取引の透明性と信頼性を高めるには、ブロックチェーンテクノロジーが適している判断したという。
白書では、JPEGプライバシー&セキュリティは、安全な画像情報共有を実現し、プライバシーを確保し、データの完全性を維持し、知的財産権を保護するための標準を開発することを目指すとしている(David Gerard、Slashdot)。
中国政府の要請でカプコンのゲーム「モンスターハンター:ワールド」の中国での販売は停止されたとのこと。
どのような問題があったのかは不明。購入代金の払い戻しに応じる。中国ではゲームの内容は政府の審査対象となる。
プーさんでも出てた?
ネットワーク接続されたFaxを入り口として、電話回線からローカルネットワークに侵入する攻撃「Faxploit」の仕組みをCheck Pointが解説している(Check Pointのブログ記事、 技術詳細、 BetaNewsの記事)。
Check Pointが使用したのはHPのプリンター(デジタル複合機)で、カラーFax(JPEG)の送受信に対応している。しかし、TIFFデータを使用するモノクロFaxではネゴシエーションでメタデータを決定するのに対し、JPEGの場合はファイルがそのまま送信されるのだという。ITU-Tの標準では受信側でサポートしないJPEGマーカーや特定のJPEGマーカーを削除すべきと規定する一方、特に整合性チェックなどは規定されていないようだ。
Check PointはプリンターのJPEGパーサーで発見したリモートからのコード実行が可能になる2件の脆弱性(CVE-2018-5924、 CVE-2018-5925)の1件を利用し、送信したJPEGファイルに格納したペイロードを読み取って実行するエクスプロイトを作成。ペイロードにはプリンターのLCD画面に任意の画像を表示、プリンターにネットワークケーブルが接続されているかどうかのチェック、Shadow Brokersが昨年公開した米国家安全保障局(NSA)のサイバー攻撃ツール「Eternal Blue」と「DoublePulsar」を使用したネットワーク内コンピューターの攻撃といった処理が実装されているとのこと。動画ではネットワーク内のコンピューターから機密情報ファイルを探し出し、攻撃者にFax送信させている。
この脆弱性についてCheck Pointは事前にHPへ報告しており、既にファームウェアのアップデートが公開されている。ただし、同様の脆弱性は他社のプリンターに存在する可能性があるほか、Faxをメールで受信できるサービスや、スタンドアロンのFax専用機にも存在する可能性があるとのことだ。
世界銀行は、ブロックチェーンを使って「創造され、振り当てられ、譲渡され、管理される初の世界規模の債券」を管理するため、オーストラリア最大級の銀行であるオーストラリア・コモンウェルス銀行と契約を結んだと発表した。ブロックチェーン・テクノロジーが主流になりつつあることを示す、今までで最も明確な徴候のひとつだ。
世界銀行は、新しいトランザクション(取引)を承認するプロセスに、バリデーター(妥当性を確認する人)になるために許可が必要なイーサリアムのプライベート版を使う予定だ。
AP通信によると、Googleがスマートフォン向けに提供しているサービスは、利用者が端末の位置情報をオフにした時でも情報を保存しているという。この問題はAndroidユーザーだけに限らず、Googleアプリを利用している限りiPhoneユーザーも対象となる。また、Bloombergによると、プリンストン大学のコンピューターサイエンスの研究者はAPの調査内容を確認したとしている。
例えば、Googleマップアプリを起動させると、その時点での場所をスナップショットとして保存し、Android端末では気象情報アプリの自動更新ではおおよその位置を記録し、場所とはまったく関係のない「チョコレートチップクッキー」などの検索でさえ正確な緯度と経度を特定してGoogleアカウントに保存しているとしている。Googleアカウントでデフォルトで有効になっている「ウェブとアプリのアクティビティ」を無効にしなければ位置情報は参照され続けるとのこと(AP通信、GIGAZINE、Bloomberg、Slashdot)。
東京電力が福島第一原発内で販売していた「福島第一原発の写真が印刷されたクリアファイル」が批判を受けて販売中止になったという(共同通信)。
このクリアファイルは3枚セットで300円で、ほぼ利益はないという。福島第一原発を訪れた人から「記念品が欲しい」との要望を受けて販売していたそうだ。はてなブックマークでは実際にはてなユーザーからの批判を見ることができる。
糖尿病患者に対しては血糖値をコントロールするためにインスリンを投与する「インスリン治療」が行われることがあり、インスリン投与を自動で行う「インスリンポンプ」という装置が実用化されている。インスリンポンプでは自動的に一定量を体内に注入できるほか、装着者の操作によって食事タイミングに合わせてインスリンを投入するといったことができるのだが、このインスリンポンプをハックし、血糖値に応じて自動的にインスリンを投入するシステムをDIYした人がいるそうだ(GIGAZINE)。
話がちょっと分かりにくいが、血糖値を監視する機構を持たないインスリンポンプをハックし、外部に用意したコンピュータや血糖値センサと組み合わせて計測した血糖値に応じて自動的に適量のインスリンを投入する、というシステムを実現したそうだ。さらに、各種操作はスマートフォンから行えるようになっているという。
今年は記録的な猛暑にも関わらず、政府や電力会社からの節電要請を見かけない。なぜ電力は足りているのか。その謎を解く鍵の一つが、ここ数年で急速に普及した太陽光発電だという。東京電力の関係者によると「太陽光発電が1000万キロワット弱ある」という。東電管内の電力需要は足元で5000万キロワットを超えるが、瞬間的には5分の1ほどを賄っている計算になるそうだ。
また国内全体で電力需要が減った影響もあるという。日本の夏のピーク時の需要は10年度に1億7800万キロワットだったが、16年度は約12%減った。ただし、太陽光発電ならではの問題もある。昔は真夏の暑さは午後2時か3時ごろだったが、今は夕方にシフトしている。夕方は日が落ちてきて太陽光発電の出力が落ちる時間帯であることから、電力の需給見通しに狂いが生じ、関電エリア内では7月18日、他社からの電力融通を必要としたという。
昼間の供給に余裕はあっても、夕方に太陽光発電が減るタイミングで需給を安定させる作業が今や必須だとしている。また日照時間が減る冬場も問題となっている。積雪で太陽光が機能しなかった際には電力需給が綱渡りとなり、ネガワット取引や電力融通を連日発動する事態になったとしている。
緑化事業などを手がける企業が、アントワーヌ・ド・サン=テグジュペリの小説「星の王子さま」のコラボ商品で、同作内に登場する「バオバブ」の苗木を販売した。しかし、同作中ではバオバブについて「放置すると星を破壊する有害な巨木」として描かれていることから批判が集まっている(ASCII.jp、Togetterまとめ)。
販売元は「植物を届ける」というコンセプトに従って販売を行ったそうだが、作中ではバオバブは見つけ次第引き抜くべきもの、という扱いとなっているため、そういうものをコラボ商品として販売するのはいかがなものか、という声が出ている。さらに、星の王子さまをモチーフとした梱包の裏面に「バオバブが大きな木になる」ようなストーリーや、星の王子さまがバオバブの苗木に水をやるイラストが描かれていたこともファンからの批判を浴びている(別のTogetterまとめ)。
また、サン=テグジュペリがバオバブをファシズムの暗喩として描き、作中で悪として登場する3本のバオバブが「ナチズム」「ファシズム」「日本の帝国主義」を示しているとも分析されていることから(BEST T!MES)、今回の事態を嘆く人も出ている。さらに、購入後のサポートを行う気もなしに販売を行うような姿勢についても批判が出ている(さらに別のTogetterまとめ)。
先日、『「エロマンガの表現」や「エロ本自販機」に関する調査をまとめた書籍、有害指定される』という話題があった。ここで取り上げられたとおり、北海道は「エロマンガ表現史」を「有害図書」に指定しているのだが、その指定の際の議論の記録が残されていないことが分かった(朝日新聞)。
先の記事でも有害図書についてはその審議課程が不透明だという批判が出ていたが、朝日新聞が議事録を情報公開請求したところ、道からは「議事録を取っていない」との説明があったという。また、道法制文書課によると審議を行った北海道青少年健全育成審議会の社会環境整備部会は「付属機関その他道の重要な政策事項に係る会議の開催」に該当するため、議事録を作成する必要があるという。
「DEF CON 26」で米国時間8月12日、Check Pointのマルウェア研究チーム主任であるYaniv Balmas氏とセキュリティ研究者のEyal Itkin氏が、ファックスのセキュリティにおける発見を発表した。具体的には、オールインワンプリンタシリーズの「HP Officejet Pro 6830」と「HP OfficeJet Pro 8720」にあるセキュリティの脆弱性を取り上げている。
ファックス番号は、企業のウェブサイトを閲覧して、あるいは会社に直接教えてもらって容易に入手できるが、この番号さえあればバグを悪用できるという。攻撃者は、細工をした悪意のある画像ファイルを狙った相手に送信すればよい。研究者らによると、ランサムウェア、仮想通貨の不正採掘を行うコインマイナー、監視ツールといったマルウェアをコード化して、画像ファイルに埋め込めるという。
そして通信プロトコルの脆弱性を突かれたファックスは、マルウェアのペイロードを復号化し、メモリにアップロードする。マルウェアがメモリに読み込まれ、ファックスがネットワークに接続されていれば、悪意のあるコードはその他のシステムにも感染と被害を広げ、スパイ行為、サービス中断、情報の漏洩などを引き起こす恐れがあるとしている(ZDNet、BBC、Slashdot)。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア