あるAnonymous Coward 曰く、

米Bloombergが報じたところによれば、今から約10年前、オーストラリアの大手通信会社でファーウェイによるソフトウエアのアップデートに悪質なコードが組み込まれ、システムに侵入される事件が起こっていたという。この未公表事件については2012年に米国家安全保障局に情報共有がされていたといい、米政府の主張を裏付ける証拠の一端だとしている（Bloomberg）。

米元当局者らによると、この悪質なコードは感染した通信設備機器を再プログラミングし全ての通信を記録し中国にデータを送信。こうしたコード自体が数日後に抹消される仕組みだったという。提供された情報を元に米情報機関が確認したところ、米国でも同様の攻撃が確認されていたという。豪情報当局はファーウェイの技術者にスパイ活動への関与があったと結論付けている。

なお、ファーウェイが企業ぐるみでスパイ活動に協力していたという証拠は見つかっていないといい、中国の情報機関が末端の技術者を買収した可能性を示唆する記事の流れとなっている。

あるAnonymous Coward 曰く、

中国の政府系メディアが報じたところによると、中国の規制当局は22日、EC大手アリババ・グループのクラウドサービス子会社「阿里雲（アリババ・クラウド・コンピューティング）」との情報共有パートナーシップを停止したという（ロイター、GIGAZINE、WSJ）。

注目すべきはその理由で、「同社が発見したlog4jの脆弱性をApache Software Foundationに報告した一方、すぐに政府に報告しなかったため」だという。中国の法律では、企業は発見から48時間以内に政府に新しい脆弱性を報告する必要があるとのことで、確かに法律違反ではあるようなのだが、IT業界ではOSSの脆弱性はまず開発元に連絡して対策、というのが当然と思われるので、これは違和感を覚える話である。

shadowfire 曰く、

ターミナルエミュレータConEmuではマルチバイト文字の表示が上手く出来ていないのだが、GitHubでその事について論じているスレッドの1つにとんでもない画像がサンプルとして上げられている（Github）。

内容についてはセンシティブ（笑）なため各自でご覧頂きたい。スレッドの参加者達は日本語が読めないため気にしていないのだろうが、日本人だとまずこの画像が気になってしょうがないところだ。

心理的な誘導を用いて防犯対策を行う試みが愛知県警などで行われているという。愛知県警が導入したのは玄関ドアの鍵の掛け忘れを防ぐ「ただいまシュート」というもの。内鍵のつまみの上にバスケットボール、施錠時の横になる部分にゴールリングが描かれており、つまみをひねるとボールがゴールに入ったように見える仕組み。子どもたちが楽しみながら施錠を習慣化できるのだという（時事ドットコム）。

このほか、愛知県警常滑署が導入したものは、黒地に白文字で「万引き防止」「実験II」とだけ記された紙片を陳列棚などに掲示する方法。1000枚ほどを5カ月間掲示したところ、万引き被害額が前年同期に比べ約3割減少したとしている。こうした方法は仕掛学と呼ばれる心理的な誘導で無意識に人の行動変容を促す技術を用いたものだとしている。

三井住友カードとSB C&Sは、探し物トラッカー機能「Tile」を搭載したVisaカード「三井住友カード Tile」を共同開発したと発表した。製品案内によるとTileのスマートトラッカー機能を搭載した世界初のクレジットカードであるという。12月16日から1500枚限定で予約を受け付けているとのこと（三井住友カード Tile、Impress Watch、ITmedia、マイナビニュース）。

このクレカではTile機能を実現するためカード内部にバッテリーが搭載されており、フル充電すると最大で半年間ほど利用できる。バッテリーが切れていてもクレジットカードとしては利用できる。カードを紛失した場合、スマホからの操作でカードから音を鳴らすことができるほか、接続が切れた場所をスマートフォン上のアプリの地図で確認することも可能となっている。

あるAnonymous Coward 曰く、

シャープ製のAndroidTV搭載テレビには、非正規のradikoアプリがプリインストールされており、不具合の原因となっていたという記事がPC Watchに出ている。

問題のアプリは「Raziko」というradikoと誤認させるような名称の個人開発のアプリで、radiko側からの苦情によりGoogle Playストアでは数年前から新規のダウンロードはできない状態となっている（AndroidTVに対応した公式のradikoアプリは現時点ではリリースされていない模様）。

記事著者はテレビの電源が勝手に入ってしまうトラブルの原因を探す中で、「Raziko」アプリをアンインストールするようにというシャープのサポート文章を発見し、このアプリをシャープが製品にプリインストールしているとし、「シャープともあろう企業が一般家庭で使われるTVのような製品に、数年前に公開が停止されているアプリをプリインストールしていること」を「お粗末な状態」だと批判している。

しかしタレコミ子としては、同様の事例が他社のAndroidTV搭載機でも発生していることや、記事内でテレビのファクトリーリセットを試みた記述がないこと、シャープのサポート文章の末尾にも但し書きがあるが、テレビのセットアップ時に使用したGoogleアカウントに紐づいていた、ほかのデバイスで利用していたアプリが意図せずインストールされたなどの可能性も考えられることから、当該のアプリがシャープによって出荷時からプリインストールされていたと断言するにはいささか検証が不足していると思うのだが、いかがであろうか。

千本を超える脚を持つヤスデが史上初めて発見されたそうだ (論文、 The Register の記事)。

ヤスデの英名は millipede (千足) だが、これまで知られていたヤスデは 750 本脚が最多だった。今回発見されたヤスデは記録を大幅に塗り替える 1,306 本脚。幅 0.95 mm、長さ 95.7 mmと非常に細長く、体は 330 の節に分かれているという。

これまでの記録保持者であり、米国・カリフォルニアで発見された Illacme plenipes はギボウシヤスデ目だが、真の千足ヤスデはジヤスデ目。オーストラリア・西オーストラリア州南東部、ゴールドフィールズ・エスペランスで鉱物探査のために掘られた穴の地下 60 m で発見され、 Eumillipes persephoneと名付けられた。

Eumillipes の「eu」はギリシャ語で「真の」、「milli (mille)」はラテン語で「千」、「pes」はラテン語で「足」を意味する。persephone は地下深くで発見されたことから、ギリシャ神話の冥界の女神ペルセポネにちなんだものとのことだ。

PlayStation の脱獄用エクスプロイトを開発するハッカーにとって、PS5 脱獄で最大の難関は本体を入手することのようだ (Ars Technica の記事、 The Verge の記事、 Znullptr 氏のツイート)。

今週リリースされた PS4 のエクスプロイトは WebKit の脆弱性を利用し、ある Web サイトを訪れることで USB メモリーからホームブルーソフトウェアを実行できるというもの。対応ファームウェアはバージョン 9.00まで。12 月 1 日リリースのバージョン 9.03 では対策されている。PS4 のファームウェアをダウングレードする方法は判明していないものの、リリースから日が浅いため現在店頭で入手可能な本体が未対策である可能性も高いという。

このエクスプロイト自体は PS5 にも影響するそうだが、リードデベロッパーが現在のところ PS5 を所有していないため、PS5 用のエクスプロイトが近くリリースされることはないとのことだ。

Google が 1 月から Chrome ウェブストアで Manifest V2 拡張機能の新規登録を停止するのを前に、EFF は Chrome 拡張機能プラットフォームの Manifest V3 に対する批判を強めている (Deeplinks Blog の記事 [1]、 [2]、 Neowin の記事、 The Register の記事)。

Google は信頼できる Chrome 拡張にするための対策の一つとして Manifest V3 を 2018 年に発表した。Manifest V3 ではコンテンツブロッキング用途での Web Request API 使用が非推奨となり、Declative Net Request API がブロッキング用に追加される。

しかし、Declative Net Request APIではChromeが拡張機能からブロッキングルールを受け取って処理するため、フィルタリングの自由度が低下するなどと批判されている。また、当初はルールの数が3万件に制限されており、広く使われているEasyListのルールだけでも制限を超えると批判を受け、15万件まで拡大されることになった。

GoogleはManifest V3によりプライバシーとセキュリティ、パフォーマンスが向上すると主張するが、EFFは同意しない。EFFによれば、Manifest V3でも悪意ある拡張機能の登場を防ぐことはできず、その一方でイノベーションを阻害し、拡張機能の能力を低下させるほか、現実的なパフォーマンスを阻害するという。

EFFはリモートでホストされるコードの禁止を正しい判断だと述べる一方、Manifest V3に組み入れなくてもポリシー変更で対応できると指摘している。

Apache Log4j 2における深刻な脆弱性「Log4Shell（CVE-2021-44228）」の問題が世間を騒がせている。米Microsoftやセキュリティ企業のCheck Point Softwareなどの発表によると、この脆弱性が中国、イラン、北朝鮮、トルコなどの集団により悪用されているという。中国を拠点とする攻撃者集団「HAFNIUM」などがこの脆弱性を利用して仮想化インフラを攻撃しているととされる。12月10日以降、Log4Shellを用いたサイバー攻撃が72時間ほどで急増中とされ、1分間に100回以上の攻撃が検知された場面もあったとしている（GIGAZINE、ZDNet、ITmedia）。

またさらに新たな脆弱性「CVE-2021-45046」に関しても発覚が報告されている。Log4jを提供するApacheソフトウェア財団（ASF）によれば、CVE-2021-44228に対処するための修正パッチが不完全であったことから、DoS攻撃を引き起こす可能性があるとしてLog4jをバージョン2.16.0以降にアップデートするように呼びかけている（GIGAZINE）。

米国土安全保障省（DHS）傘下のサイバーセキュリティインフラストラクチャ安全保障局（CISA）は14日、連邦政府機関に対し、この脆弱性の影響を受けるシステムに対し、12月24日までにパッチを適用するよう指示したとされる（CISA、ITmedia）。またこの問題に関しては国内メディアでも多く取り上げられるようになってきた（JPCERT/CC、NHK、日経新聞）。

しかし問題に気付かない組織がこれからもいると見られ、今回の脆弱性をきっかれにした問題は広範囲かつ長期にわたる問題になるとの指摘も出ている（WIRED）。なおこの脆弱性がリモートから任意のコードを実行可能になることから、それでパッチも当てられるのではと考え、必要なものをワクチンとして開発した企業が出てきているという。セキュリティベンダーCybereason社が作成したもので、プロジェクトの名前は「Logout4Shell」。ソースコードは「GitHub」でホストずみ。ただしいろんな意味で問題があることから、Cybereason社も、このコードを使った結果には「一切の責任を負わない」としているとのこと（Logout4Shell、窓の杜）。

headless 曰く、

Apple が持ち主から離れた場所 (かつ自分の近く) にある AirTag を Android デバイスで検出可能にするアプリ「Tracker Detect」を Google Play で公開した (Softpedia の記事、 9to5Mac の記事、 CNET の記事、 SlashGear の記事)。

Tracker Detect は AirTag のほか、Apple の「探す」ネットワーク (Find My Network) と互換性のあるアイテムトラッカーに対応する。このようなデバイスを使用して誰かが自分を追跡している可能性がある場合、スキャンして検出を試みることができるという。

AirTag がストーキング目的などで使われることへの懸念に対し、Apple は iPhone で検知できると説明しているが、iPhone ユーザー以外は AirTag が持ち主から離れた時に鳴らし始める音に頼るしかなかった。Tracker Detect が公開されたことで、より多くの人が積極的に AirTag を検出できるようになる。なお、Tracker Detect の利用には Android 9 以降が必要だ。

KDDIは12月9日、同社の固定電話サービス「ケーブルプラス電話」のオプションとして「迷惑電話自動ブロック」を来年から提供する。トビラシステムズのデータベースを用いて、悪質セールスなどの迷惑電話の着信を自動的にブロックする。こうしたサービスを利用できる固定電話端末などはすでに存在するが、本サービスでは専用機器などがなくてもサービスが受けられる点が特徴となっている。サービスは来年の2月16日から提供され、利用料金は月額330円となっている（KDDIプレスリリース、ケータイ Watch 、ITmedia、CNET）。

英高等法院は 10 日、米政府が要求するジュリアン・アサンジ氏の身柄引渡が不可能ではないとの判断を示した (裁判所文書、 The Register の記事、 Ars Technica の記事、 The Verge の記事)。

米政府は WikiLeaks で数多くの機密文書を公開したアサンジ氏をスパイ活動法違反などで起訴しており、英国で逮捕されたアサンジ氏の身柄引渡を要求している。アサンジ氏側は米国で公正な裁判を受けられない可能性や、過酷な環境に拘置される可能性を主張して身柄引渡に反対しており、1月に英中央刑事裁判所のバネッサ・バライツァー判事が後者の理由を認めて身柄引渡要求を却下したため、米政府が控訴していた。

米政府は控訴の根拠として

1. 対象者の肉体的・精神的状態によって身柄引渡を免除する身柄引渡法 91 条を判事が誤って適用した
2. 91 条の要件を満たすと判断するなら、米国側に判事の懸念解消を保証する提案の機会を与えるべきだった
3. アサンジ氏の精神科医が判事をミスリードして 91 条の要件を満たすと判断させた
4. 判事がアサンジ氏の自殺リスクに関する証拠を誤って評価した
5. 米国はアサンジ氏を非常に制約された独房監禁状態にしないことや ADX フローレンス刑務所に送らないこと、オーストラリアでの実刑を可能にすることなど、判事の懸念を解消する保証パッケージを提案している

という 5 つを挙げている。高等法院では根拠 1 ・ 3 ・ 4 を却下してバライツァー判事の判断を支持する一方で根拠 2 と 5 を認め、これを踏まえて身柄引渡の是非を判断するよう中央刑事裁判所へ差し戻した。

Debian が現在、Web ブラウザーサポートで悲しい状況となっているそうだ (Phoronix の記事)。

Debian に同梱されているブラウザー (Chromium、Firefox ESR、Falkon など) はいずれも、パッケージメインテナーが簡単に修正できないセキュリティ上の問題を抱えているという。Debian の Chromium はいまだにバージョン 90.0.4430.212-1であり、Debian Wiki では Firefox や Brave、ungoogled-chromium などへの移行を検討するよう求めている。

Debian の Firefox ESR はバージョン 78.15.0 (安定版の Debian 11 Bullseye では 78.14.0)で止まっており、91.x ESR ブランチへの移行が遅れている。これは Firefox ESR 91.3 で安定性の問題が報告されたためだ。ESR 91.3 はデフォルトで EGL を使用するよう変更されており、Bullseye の mesa (バージョン 20.3.5) が EGLの要件 (mesa 21.x 以上)を満たさないためではないかとも指摘されていたが、問題は ESR 91.4 で解決済みになっている。

このほか Falkon など Debian に同梱される他のブラウザーも長らくセキュリティパッチが適用されていないとのこと。Phoronix に問題を提起した読者はこの状況の非常に悲しい部分として、非自由なソフトウェアをデフォルトでユーザーから遠ざけるという哲学を持つ Debian が逆に人々を Google Chrome や Opera といったクローズドソースへ向かわせている点を指摘し、Debian プロジェクトにとって厳しい時期であると述べている。

政府によるとマイナンバーカードの普及率が4割に達したという。今月20日からはマイナンバーカードとスマートフォンを使って、電子化されたワクチン接種証明書を入手可能にになるなど機能の追加も進んでいる。一方でマイナンバーカードではパスワードの記入欄が4種類用意されており、それが覚えきれないとする指摘も出ている。NHKでは総務省のマイナンバー担当にマイナンバーカードのパスワードに関する質問を行ったそうだ（NHK、Impress Watch、時事ドットコム）。

それによれば、現在マイナンバーカードに設定されているパスワードは、「署名用電子証明書」、「利用者証明用電子証明書」、「住民基本台帳用」、「券面事項入力補助用」の4種。NHK側が覚えられないと問うと、担当者曰く署名用電子証明書以外は共通のものでも大丈夫であるという。それなら、なぜ統合していないかという問いに関しては、担当者曰く、マイナンバーカードはいくつかのアプリが合体したようなもので、それぞれにパスワードが必要と理解してください、とのことだそうだ。