Windows10のエクスプローラ広告を消す設定
Windows10は、広告に関して、OS内部に広告を導入するという、Android以上のアグレッシブさを見せていますが、先日「ついにエクスプローラにも」という話題が出ました。
この広告を消す設定は、英語記事だといくつか見つかるのですが、日本語だとあまりないような。そもそも日本語版Windows10でここに広告が出たという報告も、個人的にはまだ見ていませんが。
これ、通常の「設定」(スタートメニュー左下のもの、コントロールパネルを大半置き換えたもの)にはないようです。
代わりに、エクスプローラのオプションから設定します。「表示」リボンの「オプション」です。
出てきたダイアログで、「表示」タブを開き、下の方にある「同期プロバイダーの通知を表示する」のチェックを外してOKボタン。これで設定完了です。
注意点が2つあります。
- もしかしたら、他の機能にも影響があるかもしれません。
- Creators Updateなどの大型アップデートで設定が戻る可能性があります。
Subway、鶏肉50%報道に別方式の試験結果で反論
先日、カナダのテレビ局CBCが、「Subwayのチキンは実際の鶏肉が50%程度」と述べて、大いに話題になりました。
この件については、当初から「DNAの量で元の成分の分量を推定することはできない」という意見が出ていました。
海外でも「DNAテスト(という、この目的に向いてないもの)を、食物科学の専門ではない研究所が分析した」ことに疑惑がもたれていました。
一方のSubway側も、第三者である企業2社に分量分析を依頼し、大豆の分量はごくわずか、という結果を取得、発表しました。
「Subway、鶏肉50%という計量結果に対してデータを公開」
今回の調査方式はELISAというものです。Wikipediaのページでは、特異性の高さと定量性の良さを兼ね備えた方式とあります。
2社の評価結果は「3 parts-per-million」「5.3ppm」。鶏肉の割合でないのが残念ですが、そのためには異なる組成を全て挙げる必要があるのでしょうね。
記事の(更新情報を除く)末尾の段落(レストランの食事には少なからず色々な成分が入ってるし、全体的に塩分が多いことを忘れないように)はまったくもってその通りかと思います。
移民の電話やPCのデータを押収する法案、ドイツで提出
「ドイツ、電話やノートPCのデータを移民申請者から押収へ」
ドイツは、2015年に大量の移民を受け入れたものの、その後国内では移民問題が噴出しています。そんな中、内務省から新しい法案が提起されました。
この法案は、ドイツへの入国を希望する移民のうち、パスポートを持たない人や、偽装書類を所持している人を対象に、スマートフォンやPCなどのデータを押収するというものです。現状では、こういったデータの取得は当人の同意があった場合に限定されています。
もちろんドイツ国内でもプライバシー侵害としてこの法案に反対する声もありますが、一方で欧州各国はスマートフォンを用いた移民の追跡について、技術系企業に提案を求めていますし、国によっては既に今回のドイツでの案を実施しています。
WDの「My Cloud」シリーズNASに特大の脆弱性
Western Digitalは「My Cloud」という名前を2種類の意味で使っています。
- ウェブサービス My Cloud
- NAS製品 WD Cloudシリーズの製品名(多数あり)
このうち後者の製品は、「NASを外からでも手軽に使える」というタイプのものです。
しかし、この製品(の一部?)に脆弱性が発見されました。
「Western DigitalのMyCloud NASをハックする」
https://blog.exploitee.rs/2017/hacking_wd_mycloud/blog.exploitee.rs
記事は英語ですが、PHPが分かる人なら普通に読めると思います。ちょっとびっくりするコードが出てきます。
なお、現在、脆弱性はそのままです。先ほど紹介したリンクから分かるように、このNASは外からアクセスすることが前提なので、脆弱性はそのまま侵入を許す可能性につながります。解決策は……たぶん外からのアクセスを禁止するか、自分でスクリプトを書き換えることでしょうか。
ところで、脆弱性がそのままなのに詳細情報が公開されている件ですが、理由が記事末尾付近の「Responsible Disclosure」に書いてあります。
Exploitee.rsにおいて、私達は通常はベンダーと協力し、脆弱性情報を適切に公開するよう努めています。しかし、前回(2016年)のラスヴェガスでのBlackHatのPwnie Awardsで、私達は(セキュリティ・)コミュニティにおけるベンダーごとの評判を知りました。特に、このベンダー(WD)は、報告を受けたバグの重大さを無視したことで「最悪ベンダー対応賞」を受賞しました。今回のバグ群が無視された場合、「責任ある開示」にはなっても脆弱なデバイスがネット上に長期にわたり残されてしまいます。その代わりに私達はコミュニティに対してこの問題を警告し、利用者が自ら、これらのデバイスがインターネットからアクセスできないよう隔離することに期待しています。そのために私達は全ての調査結果を公開し、パッチの早期公開を促すものです。
なお、文中にあるPwnie Awardsについては下記をどうぞ。確かに2016年の受賞は「WD MyPassword Drive」となっており、説明の冒頭からキツいことが書いてあります。
http://pwnies.com/winners/pwnies.com
脆弱な状態での全公開については、やはり議論はあると思いますが、とにかくWDのNASを使っている方はご注意ください。
Googleの荒らし抑止システムPerspective、簡単に突破される
先日、Googleが荒らし抑止を狙ってPerspectiveというAPIを出してました。
既にNYTimesやWikipediaでも使用されているというこのPerspectiveですが、あいにく簡単に破れることが判明しました。
「Googleの対荒らしAIはタイプミスが弱点、研究者が発見」
ワシントン大学の研究者が発表した論文によれば、危険と想定される単語をタイプミスなり空白などを入れることで(例:「idiot」(バカ)に空白を挿入して「i d i o t」など)、容易に評価を高めることができるそうです。
一方、危険と想定される語を用いつつも、notなどで打ち消している文章については、逆に評価が低くなることも判明しています。つまり「意味」は全く反映できてないということですね。
ということは、Perspectiveって古典的なNGワードをスコア制にした程度のもの……なのでしょうか?
Google、携帯キャリアとネットワークインフラ技術で提携
「新世代モバイルネットワークに向けた提携について」
Googleは、複数の携帯キャリア(インドBharti Airtel、韓国SK Telecomを含む)との間で、ネットワークサービスのインフラに関して提携を行うと発表しました。
詳細は不明ですが、本文にある文言からある程度推測できそうですね。
- SDNフレームワークによりキャリアネットワークは新しいサービスやトラフィックのパターンにも適応 -コモディティなハードウェアを使いつつ安価かつ素早く新機能を提供
- 単純化されたワークフロー管理と自動テスト
HTTP/2やAMPなどとあわせて、Googleがネット全体に自らのアーキテクチャを埋め込んでいこうとする力には驚かされます。
Chromeバージョン56、BlueCoat等のプロキシ環境下で接続不能に
「Chrome 56の暗号化処理アップデートにより、BlueCoatを使う数千のマシンが接続不能に」
Google Chromeのバージョンが56になったことで、シマンテックのBlueCoatなどのプロキシ環境下で、通信が不可能になりました。この製品は、学校でも使われているのですが、米国の学校ではChromeBookが人気なため、ブラウザが事実上Chrome固定。このため、アップデートにあわせて外部接続不能、という事態に陥ったところもあるようです。
これは、Chrome 56が暗号化規格としてTLS1.3「のみ」を許可するようになったためです。BlueCoatはTLS1.2までしか対応しておらず、通信そのものが不可能になってしまったのです。
対策は、ブラウザごとに「chrome://flags/#ssl-version-max」にアクセスして、「デフォルト」を「TLS 1.2」に変更することです。
ところで、TLS1.3のドラフトはGitHub上にありますが、前掲記事にもある通り、この規格はまだ策定中(ドラフト)です。
TLS1.3については、2016年12月23日に書かれた次の記事に、「9月の」状況が書いてあります。
TLS1.3は、IETFでInternet-Draftとして発行されるものだけでもほぼ月1回、githubで公開されるものに至っては毎日、ちょっとずつ更新がかかっている状況
実際、日本で3月3日朝にアクセスした時は「March 02」となってました。
ちょっと、この状態での「TLS1.3以外は認めない」という対応は、Googleさんやりすぎじゃないですかねえ、と思わざるを得ません。ドラフトが日々変わる状況ですから、「TLS 1.3」といっても認識に相違が生じることもあるでしょう。
セキュリティのために可用性が失われる、というのはセキュリティ界隈の人にありがちな発想ですが、社会インフラ化している現在のインターネット上では行き過ぎに思えます。そこまでセキュリティを重視するなら、GoogleのAndroidの脆弱性が多くの端末が未対応な件だって、(たとえGoogleで確認できた実害が少ないといっても、そしてメーカーやキャリアの問題があっても)対応する責任があるんじゃないでしょうか。
