KAMUI 曰く、

ロイターの記事に依ると、リトアニアのサイバーセキュリティー機関が出した報告書で、中国・シャオミの携帯電話に検閲機能の搭載や外部へのデータ送信が行なわれているとして、国民に対し「中国製携帯電話の不買」「現在使用しているものの早急な処分」を勧告した。

シャオミが欧州で販売する携帯電話で「Free Tibet（自由チベット）」、「Long live Taiwanindependence（台湾独立万歳）」、「democracy movement（民主運動）」といったワードを検出・検閲する機能が組み込まれていたほか、シンガポールにあるサーバに暗号化した利用データが送信されていたとしている。また、ファーウェイのスマホについてもセキュリティ上の問題が指摘された。
なお、8月に「台湾代表処」（大使館に相当）がリトアニアに置かれることが発表され、中国政府は駐リトアニア中国大使を召還する方針を表明、駐中国リトアニア大使を引き揚げることを要求するなど、両国関係は悪化している。

BBCの記事によると検閲機能を持った製品名としてXiaomi Mi 10T Proの名前を挙げている。検閲対象となる用語は449個以上設定されている模様。ヨーロッパ向けに出荷されたモデルではこの検閲機能はOFFとなっているが、リモート操作で作動させることもできる主張している（BBC）。

headless 曰く、

Microsoft が Windows 11 上の Windows Insider Program から Windows 11 のハードウェア要件を満たさない非対応環境の締め出しを開始したようだ (The Verge の記事、 Neowin の記事、 Ars Technica の記事、 Windows Central の記事)。

Dev チャネルで Windows 11 Insider Preview をインストールしていた非対応環境では「設定 → Windows Update → Windows Insider Program」に「ハードウェア要件を満たさないのでWindows 11 上でWindows Insider Programに参加できない。Windows 10をインストールしてリリースプレビューチャネルのWindows Insider Programに参加するように」といった趣旨のメッセージが表示され、Windows Insider Programを有効にしていない状態となる。

一方、リリースプレビューチャネルを選択していた (本来は選択できないはずだが一時選択可能だった) 非対応環境では「お使いの PC は、Windows 11 の最小ハードウェア要件を満たしていません。チャネル オプションは制限されます。」と表示され、リリースプレビューチャネルのままになる。

ただし、現在のところ Windows 11 Insider Preview をインストールした環境では、Windows Insider Programに参加していない場合や、(まだビルドが提供されていないはずの) リリースプレビューチャネルを選択している場合でも、新しいビルド (累積更新プログラム) は提供されている。いつまで提供されるだろうか。

headless 曰く、

Google は 14 日、Chrome の User Agent (UA) 文字列情報削減に向け、より具体的なスケジュールとオリジントライアルの詳細を発表した (Chromium Blog の記事、 Chrome Developers のブログ記事)。

Google が昨年 1 月に発表した UA 文字列情報削減計画は COVID-19 の影響で 2021 年以降に先送りされていた。Google は 5 月に再開を発表し、7 段階に分けて計画を進める計画を示したが、Chrome 92 で実施する第 1 段階を除き、具体的な実施時期は示されていなかった。

今回発表された計画では、第 2 段階以降を実施する予定の Chrome バージョンが示されている。まず、削減済み UA 文字列によるオリジントライアルを実施する第 2 段階は Chrome 95 ～ Chrome 100 で少なくとも 6 か月間続けられる。Chrome 100 では移行に時間が必要なサイトが従来の UA 文字列を利用可能にする第 3 段階の逆オリジントライアルも始まる。

逆オリジントライアルにオプトインしていないサイトでは、UA 文字列から Chrome バージョン番号を削減する第 4 段階が Chrome 101 で、デスクトップ版の UA 文字列と関連 JavaScript API を削減する第 5 段階が Chrome 107 で、Android 版でも削減が始まる第 6 段階がChrome 110 で開始予定だ。逆オリジントライアルが終了し、すべてのページで UA 文字列と関連 JavaScript API が削減される第 7 段階は Chrome 113 となる。

安定版のリリーススケジュールは Chrome 95 が 2021 年 10 月 19 日、Chrome 100 が 2022 年 3 月 29 日、Chrome 101 が 2022 年 4 月 26 日、Chrome 107 が 2022 年 10 月 18 日、Chrome 110 が 2023 年 2 月 7 日となっており、移行が完了する Chrome 113 は 2023 年 5 月 2 日に設定されている。

headless 曰く、

昨年 6 月 14 日に上海発台北行きチャイナエアライン 202 便のエアバス A330 型機で発生したインシデントについて、台湾国家運輸安全調査委員会 (TTSB) が最終報告書を公開している (ニュースリリース、 報告書: PDF、 The Register の記事、 The Aviation Herald の記事)。

このインシデントでは A330 が台北松山空港の滑走路に接地した直後、3 台のフライトコントロールプライマリコンピューター (FCPC) がほぼ同時に停止している。これによりグラウンドスポイラーや逆推力装置、オートブレーキがすべて使用できなくなった。問題を認識した機長がマニュアルブレーキを適用。3 秒後には副機長にもマニュアルブレーキを要請して 2 人でブレーキペダルをフルに踏み込み、機体は滑走路終端の 30 フィート手前で停止したとのこと。

FCPC が 3 台ほぼ同時に停止した理由として、TTSB ではコマンド / モニター系統の非同期性が非常に大きくなったことを挙げている。接地時には機体の水平制御が飛行用から地上用に切り替わって非同期性が大きくなるが、これにパイロットのペダル操作が加わって 2 系統の差が閾値を超えてしまったと考えられるという。その結果、FCPC1 が最初に停止し、制御の移動した FCPC2 と FCPC3 も次々に停止したとみられる。エアバスではこの問題に対処するソフトウェア改善を行っている。

Microsoft は 15 日、Microsoft アカウントからパスワードを完全に削除し、パスワードレスアカウントとして設定可能になったことを発表した (Microsoft Security Blog の記事、 ブログ記事抄訳、 Azure Active Directory Identity Blog の記事、 Microsoft サポートの記事)。

パスワードに代わるサインイン方法としてはモバイルデバイス上の Microsoft Authenticator アプリを使用するほか、Windows Hello やセキュリティキー、電話や電子メールで受け取った確認コードが挙げられている。ただし、現在のところ実際にパスワードレスアカウントを利用するには Microsoft Authenticator が必要だ。

パスワードレスアカウントを設定するには Microsoft アカウントにサインインして「セキュリティ→高度なセキュリティオプション」に移動し、「追加のセキュリティ→パスワードレスアカウント」で「有効にする」をクリックする。あとは指示に従って Microsoft Authenticator でサインインできるように設定すればいい。

なお、新規 Microsoft アカウント作成時にパスワードレスを選択することも可能と説明されているが、サインアップ画面でパスワードを入力しないオプションは見当たらなかった。

日本郵便は17日、同社のインターネット上で転居届を受け付けるサービス「e転居」で、本人確認を導入すると発表した。この本人確認は9月24日より導入される。本人確認に利用される書類は運転免許証、運転経歴証明書、マイナンバーカード、在留カードとなっている（日本郵便リリース[PDF]）。

この本人確認には、スマートフォンなどの各端末の写真撮影機能が必要で、転居申請者の顔写真と本人確認書類を撮影する必要があるようだ。こうした機能がない場合はオンラインでの手続きはできない。これに合わせて、従来の自動音声応答による電話番号認証は廃止されるとしている。こうした本人確認が必要となった背景には、e転居サービスをストーカーに悪用した事例があったためと思われる。

headless 曰く、

Microsoft Outlook が IDN ホモグラフ攻撃によるフィッシングドメインを正規ドメインと区別しないという 2 件の報告が相次いで公開されている (報告 1、 報告 2、 Ars Technica の記事、 Windows Central の記事)。

IDN ホモグラフ攻撃は国際化ドメイン名 (IDN) で利用可能な ASCII 外の文字でラテン文字と似た字形の文字をドメイン名に用い、(なりすましの対象となる) 正規ドメインに偽装するものだ。フォントによっては全く同じ字形で表示されるため、人の目で識別することは困難なこともある。ただし、ソフトウェアが騙されることはないと考えられていた。

しかし 2 件の報告によれば、Outlook ではホモグラフ攻撃によるフィッシングドメインからの電子メールを受信した場合かつ、その正規ドメインで同じユーザー名の連絡先がアドレス帳に登録されている場合、フィッシングメールを既知の正規ドメインから送られたものとして表示するのだという。つまり、アドレス帳に登録されている連絡先の写真などがフィッシングメールに表示されることになる。

Microsoftはいずれの報告に対しても「なりすましが発生する可能性があるにしてもデジタル署名なしに送信者を信頼することはできない」「修正を行えば別の問題を引き起こす可能性が高い」などとし、修正は行わないと回答したという。ただし、8 月 24 日の時点で最新版の Outlook バージョン 16.0.14228.20216 では問題が発生しなくなっていたようだが、Microsoft は修正の有無を回答しなかったとのことだ。

pongchang 曰く、

大正10年に後藤新平が水道に塩素消毒を加えて2021年で100年目になる。2021年10月4日(月)に標記公開シンポジウムが国立保健医療科学院生活環境研究部と東大水フォーラムの共催で開催される（飲料水安全対策情報）。

東京では、1900年頃からろ過した水道が給水されていたが、全国で年間10万人程度の水系感染症の患者発生があり、世の中が大きな不安に陥れられていた。1921年に民生用として水道水の殺菌に転用されこの頃を境に東京の乳幼児死亡率が改善した（浅見真理氏のnote)

みずほリサーチ&テクノロジーズ（MHRT）が2016年に起きたシステム障害が原因で、受託先から預かったシステム開発に関連するデータを喪失していたことが分かった。MHRTはみずほフィナンシャルグループ（FG）の子会社でシステムの運用管理を業務にしている（日経新聞）。

日経新聞の報道によれば、受託先の日本カストディ銀行から預かっていた「要件定義書」と呼ばれる文書の電子データを、5年前にMHRTで発生した障害が原因となって喪失していたという。このときも先日のみずほ銀行のシステム障害のようにバックアップも機能しなかったとしている。

この問題は、日本カストディ銀行からの指摘で発覚し、MHRT側で調査していたという。その結果、MHRTは消失を認め、データの完全復旧はできないと判断した模様。日本カストディ銀行側は金融庁に報告したとのこと。

headless 曰く、

米中央情報局 (CIA) はトランプ政権下の 2017 年、ジュリアン・アサンジ氏の拉致や殺害の計画を立てていたそうだ( Yahoo! News の記事、 The Verge の記事 )。

アサンジ氏は 2010 年に英国・ロンドンで逮捕されたが、保釈中の 2012 年に政治亡命を求めて在英エクアドル大使館に入り、2019 年に保釈中の逃亡罪で逮捕されるまで滞在し続けた。その間英警察はアサンジ氏が大使館から一歩でも出れば逮捕しようと待ち構えており、拉致や殺害など現実的な話ではなかった。

しかし、当時 CIA 局長に就任したばかりのマイク・ポンペオ氏を始め、CIA 上層部は WikiLeaks が CIA のハッキングツールを公開するプロジェクト「Vault 7」 に恥をかかされて冷静さを失っていたのだという。この計画は違法なだけでなく、アサンジ氏の訴追にも影響するとの懸念もあり、ホワイトハウスの法務チームの反対もあって最終的に実行は承認されなかったとみられる。さらにロシアがアサンジ氏をモスクワに逃がそうとしているとの情報が入り、CIA は計画変更を余儀なくされる。

その結果、エクアドル大使館の周囲にはアサンジ氏を逃がそうとするロシアとそれを防ごうとする米英の情報機関が集まり、半径3ブロック以内にいるすべての人は3国いずれかの情報機関関係者ともいわれる状況になっていたという。ただしアサンジ氏が実際に大使館を抜け出すことはなく、2019 年 4 月にロンドン警視庁が大使館内でアサンジ氏を逮捕している。