Computing | SEO-LPO.net

Facebookはイラン起源の‘組織的な身元詐称行為’でページやアカウントをさらに削除

Facebookは、イラン起源の“組織的な身元詐称行為”として、82のページとグループとアカンウンとを削除した。

この大手ソーシャルネットワークは先週、その“身元詐称行為”を発見した。同社のサイバーセキュリティポリシーチーフNathaniel Gleicherがブログでそう述べている。彼によると、その作戦はもっぱらアメリカやイギリスの一般市民を名乗る（詐称する）もので、“人種問題や大統領の批判、移民問題など政治色の強い話題に関して投稿を行った”。同社によると、調査はまだ初期的段階だが、そのアクティビティをたどるとイランへ行き着いた。しかし犯人は特定できていない。

Facebookによると、イランの演技者たちのページのうち、少なくとも一つは、フォロワーが100万を超えた。Instagramからも、16のアカウントが削除された（内数）。

演技者たちはFacebookとInstagramで二つの広告に100ドル弱を、アメリカおよびカナダの通貨で支払った。広告の拡散により、Facebookユーザーへの彼らのリーチはさらに大きくなった。

同社はアカウント等削除の前にFBIとAtlanticに、彼らの発見を報告した、とGleicherは言っている。“発見から破壊への移行は1週間足らずで行われた”、という。

今回の削除に対するAtlantic Councilデジタル法科学研究所の分析によると、それらのアカウントは、“人びとのFacebookプラットホームからの離反ではなく、むしろエンゲージメントの強化をねらっている。そのために彼らは、さまざまなミームや、ビデオ、そして彼らの書き下ろしのコメントなどを駆使している”。同研究所によると、そのやり方には“効果があったようであり”、それらのポストは大量のシェアやリプライを受け取っている。

“外交政策に関するメッセージは、初期のイラン支持者たちのそれと歩調を合わせており、それは主に、中東に関するイラン政府側のストーリーを増幅している”、と分析は述べている。“人びとを分断させることを目的とするコンテンツへの彼らの注力は、ロシアの情報工作のやり方と非常によく似ているが、しかしイラン人による工作は保守よりもむしろリベラルをターゲットにしているようだ”。

Facebookは、アカウントとコンテンツの取り下げを、これまでも何回か行っている。たとえば8月には、セキュリティ企業FireEyeの支援のもとに、数百のアカウントとページを削除した。そのときも、イラン人による広範な人心誘導工作が見つかっている。これまでのFacebookのアカウント取り下げ努力は中間選挙をねらったニセ情報の拡散に関連していたが、イランの支援による作戦は、話題が多岐にわたっている。FireEyeによる当時（8月）の分析によると、イラン人たちは、“反サウジ、反イスラエル、パレスチナ人支持など、多様な話題を取り上げ、また、アメリカとイランの核合意など、イランに好意的なアメリカの政策を支持していた”。

Facebookのような大手テクノロジー企業は、2016年の大統領選に始まり、最近ではますます、国家が支援する演技者たちによるニセ情報や嘘のニュースの拡散を強力に取り締まるよう、議会からの圧力に直面している。

いちばん強く懸念されているのは、ロシア政府のために仕事をしているトロルたちの、ニセ情報の拡散による選挙操作だが、Facebook上のニセ情報拡散に関してはイランが、それとは別の強力なチームとして、台頭してきたのだ。

Facebook bans hundreds of clickbait farms for ‘coordinated inauthentic behavior’（未訳）

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

MITで開発されたメモリ分割方式により未来のMeltdown/Spectreバグを防げる

今年、研究者たちがIntel, AMD, そしてARMのチップに、設計上の根本的な弱点を見つけたときには、今の世代のコンピューターのプロセッサーのほとんどすべてに対し、極刑が求刑されたようだった。その設計ミスによって、コンピューターのメモリーから機密データを盗むことが可能だからだ。

そのMeltdownおよびSpectreと呼ばれる脆弱性は1995年まで遡（さかのぼ）り、アプリケーションがシステムのメモリーの、自分にパーミッションのない部分にアクセスできないようにしている壁に穴を開けた。それにより有能なハッカーは、パスワードや暗号鍵などの機密データが保存されている場所を見つけることができる。多くの企業がその欠陥の一部を緩和してきたが、真の長期的な解決は、コンピューターのプロセッサーの設計の最初からのやり直しであることも知っていた。

このたび、MITのComputer Science and Artificial Intelligence Laboratory(CSAIL)の研究者たちが、将来にわたって、MeltdownやSpectreのような欠陥を防止できる方法を見つけた。

アプリケーションが何かをメモリーに保存したくなったら、置くべき場所をプロセッサーに尋ねる。しかしメモリーの探索は遅いので、プロセッサーは“speculative execution”（投機実行）と呼ばれるトリックを使って、複数のタスクを同時に動かし、正しい空きメモリーを探そうとする。しかし悪質なハッカーは、その同じテクニックを使って、アプリケーションが自分に許されていない場所のメモリーから読めるようにする。

MITのCSAILによると、彼らのテクニックはメモリーを分割することによって、データが同じ場所に保存されないようにする。それを彼らは、“secure way partitioning.”（安全な方法によるパーティショニング）と呼んでいる。

彼らはこの方式をDAWG、“Dynamically Allocated Way Guard”（ガードを動的に割り当てる方法）と名付け、それは滑稽な名前のようにも聞こえるが、IntelのCache Allocation Technology, CAT（キャッシュ割り当て技術）を補完する意味を持つ。彼らの研究論文によると、DAWGはCATと同じような仕事をし、使うにあたってデバイスのオペレーティングシステムの変更箇所も少ない。したがって、Meltdownのフィックスとして問題のコンピューターにインストールするのも容易である。

ペーパーの著者の一人Vladimir Kirianskyによると、このテクニックは“共有が起きるべきところと、起きるべきでないところとの、明確な境界を確立し、機密情報を扱うプログラムがそのデータをまあまあ安全に保てるようにする”。

この技術は通常のコンピューターを保護するだけでなく、クラウドの脆弱なインフラストラクチャも保護できる。

DAWGはすべての投機的攻撃を防げるわけではないが、今研究者たちは技術の改良に取り組んでおり、すべての攻撃ではないものの、これまでよりも多くの攻撃を防げるようになる、と言っている。

しかし彼らの技術を実際にIntelなどのチップメーカーが採用すれば、DAWGのようなテクニックは“パブリッククラウドのインフラストラクチャに対する信頼を再興し、ハードウェアとソフトウェアの共同設計によりパフォーマンスのオーバヘッドも最小化できる”、という。

Kernel panic! What are Meltdown and Spectre, the bugs affecting nearly every computer and device?

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

MongoDBがそのコードのオープンソースライセンスを改定、オープンソースの“食い逃げ”にむかつく

MongoDBは一部の、とりわけアジアの、クラウドプロバイダーのやり方にムカついている。彼らはそのオープンソースのコードを利用して、同社のデータベースの商用バージョンを、オープンソースのルールを無視してユーザーにホストしている。これと戦うためにMongoDBは今日（米国時間10/16）、Server Side Public License(SSPL)と名付けた新しいソフトウェアライセンスを発行した。それは同社のMongoDB Community Serverのすべての新しリリースに適用され、前のバージョンの新しいパッチに対しても適用される。

これまでMongoDBはGNU AGPLv3ライセンスを使ってきたが、今度はSSPLをOpen Source Initiativeに申請して承認を待っている。

現在コミュニティサーバーを使っている通常のユーザーは全員、新しいライセンスが適用されないので何も変らない。むしろこれは、MongoDBがAGPLv3ライセンスの誤用とみなしているものへの対策だ。MongoDBはこう説明している: “MongoDBはこれまで、GNU AGPLv3でライセンスされていた。したがってMongoDBを一般公開サービスとして動かしたい企業は、自分たちのソフトウェアをオープンソースにするか、またはMongoDBから商用ライセンスを入手しなければならない。しかしながらMongoDBの人気のゆえに、一部の企業はGNU AGPLv3の許容限界を試そうとしている”。

つまり、SSPLはGNU GPLv3とそれほど異なるライセンスではない。GPLとほぼ同じ言葉で、コードの利用、変更、再配布の自由が明記され、しかしSSPLが明示的に声明しているのは、MongoDB（やSSPL下のそのほかのソフトウェア）をサービスとして提供しようとする者は何人（なんぴと）たりとも、商用ライセンスを得るか、またはサービスをオープンソースにしてコミュニティに還元しなければならない、という点だ。

MongoDBのCTOで協同ファウンダーのEliot Horowitzは、声明の中でこう述べている: “市場はますます、ソフトウェアをサービスとして消費しており、そこに、オープンソースの優れたサーバーサイドソフトウェアのニューウェーブが生まれ育つすばらしい機会が作られている。しかし残念ながら、一度オープンソースプロジェクトの味をしめたクラウドベンダーはあまりにも安易に、それが自分が開発したソフトウェアではないにもかかわらず、その価値のすべてを取り込み、コミュニティに何も寄与貢献しなくなっている。われわれはオープンソースに大きく貢献し、大きな恩恵を受けている。そういう企業としてわれわれは、多くの企業に影響を及ぼす問題で先頭に立つべき、独自の立ち位置にある。これが今後さらに多くのプロジェクトを刺激して、オープンソースのイノベーションが守られることを望みたい”。

この動きが、一部の人びとの反感を招くことも確実だ。オープンソースのライセンスについて語るときには、その運動の本質をめぐって宗教的な口調にどうしてもなりがちだ。そしてMongoDBはそのソフトウェアの背後にいる商業的実体であり、コードへの外部からのコントリビューションを管理しているから、たとえば大きなオープンソースのファウンデーションなどが管理するプロジェクトと違って、コードに対する一社の権限や態度が実質的にきわめて強い。だからMongoDBがオープンソースの何たるべきかを語るのはお門違い、と見るむきもある。オープンソースはソフトウェアを開発するための実用的な方法にすぎない、という考えもある。

しかしいずれにしてもこれは、私企業とその企業のオープンソースプロジェクトの管理との関係はどうあるべきかをめぐる議論の、契機になると思われる。自分のコードの使われ方に関して、MongoDBのような企業は、どれだけのコントロールを及ぼしうるのか？　今日のHacker Newsを読むのが、楽しみだ。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

ユーザーのコンピューターに暗号通貨の採掘マルウェアを植え付ける偽のFlashインストーラーが急増

かつて人気者だったWebのプラグインFlashが、まだなかなか死なないとお嘆きのあなた、実はそれは、あちこちに出没するFlashのインストーラーに寄生しているマルウェアも、すぐには死なないことを意味しているのだ。というよりむしろ、彼らの手口はますます陰険になっている。

Palo Alto Networksの最新の調査によると、最近急増しているFlashインストーラーは、暗号通貨を採掘するマルウェアをセキュリティの弱いコンピューターに投下するだけでなく、Flashがすでにあっても、また新たにインストールする。

研究者たちによるとそれは、本物のFlashインストーラーだと思わせるための、騙（だま）しの手段だ。

そのインストーラーを開くと、こっそりとXMRigがインプラントされる。それはオープンソースの暗号通貨採掘プログラムで、コンピューターのプロセッサーとグラフィクスカードを使って採掘を開始する。生成された通貨はすべて、Moneroのウォレットへ吸い上げられ、追跡はほぼ不可能になる。採掘マルウェアがインプラントされたら、次にインストーラーはAdobeのWebサイトから本物のFlashインストーラーをダウンロードして、Flashをインストールする。

研究者たちは今年の3月だけでも、100あまりの偽のFlashアップデーターを見つけた。

Flashという、長年バグの多い、攻撃されやすいプラグインが、今でも頭痛の種になっていることは、皮肉な現象だ。被害者候補のコンピューターにFlashがなくて、マルウェアをプッシュすることができなければ、ハッカーはそのイミテーションを使って、攻撃の足がかりにする。Flashが大きな問題になってからGoogleは、10年近く前に、Flashやその他のプラグインをサンドボックスに囲った。当時もFlashを利用するマルウェアが、蔓延していた。

でもその後、普遍的にサポートされていてFlashより使いやすいHTML5の普及とともに、Flashの利用は急速に衰退した。

Adobeは2020年に、Flashを引退させる予定だ。そのあとは、偽のFlashインストーラーも影を潜めるだろうか？

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

Apple、議会宛レターで「スパイチップ」記事を強硬に否定

Appleは、同社のシステムが中国のスパイに侵入されていたとする先週のBloomberg報道に対して、これを否定する意思を改めて強調した。

その特ダネ記事は中国がSupermicro製マザーボードに小さなチップを埋め込んだとする10以上の情報源を挙げている。SupermicroのボードはAmazon、Appleを始めとする数多くの米国IT企業がデータセンターのサーバーに利用している。Bloombergの記事は、このチップがサーバーのデータを盗み出し、中国が世界有数のIT企業をスパイすることを可能にしているとも主張している。

Appleの情報セキュリティー担当副社長のGeorge Stathakopoulosは、議会宛のレターで、同社にとってこれまでで最も力強い否定の意を表明した。

「Appleは、悪意のあるチップも「ハードウェア改竄」や意図的に仕込まれた脆弱性も、これまでにどのサーバーでも見つけたことはない」と彼は言った。「記事に書かれているようなセキュリティーの懸念についてFBIに報告したこともなければ、FBIがそのような捜査に関してわれわれに接触してきたこともない」

このニュースに先立ち、英国サイバーセキュリティーセンターと米国国家安全保障局の両組織は、Apple、Amazon、およびSupermicroが記事を否定する主張を「疑う理由はない」という趣旨の声明を発信している。

さらにStathakopoulosは、Appleは「Bloombergが間違いなく存在するとしている悪意のチップなるものの詳細を具体的に説明するよう、同誌に繰り返し要求しているが、曖昧な二次的情報以上のものを提供しようとしなかった、あるいは提供することができなかった」

Appleの声明は、以前のコメントよりもはるかに激しい。Bloombergの記事の重要な欠陥は、数多くの情報源が、たとえ匿名であれ、スパイチップなるものを直接目撃した体験談を提供していないことだ。

チップが存在するという直接証拠がないかぎり、Bloombergの記事は根拠が曖昧だと言わざるを得ない。

View this document on Scribd

Bloombergの中国スパイチップのスクープはどこまで信頼できるか――ハイテク・エスピオナージュの闇を探る

[原文へ]

（翻訳：Nob Takahashi / facebook ）

中国がサーバーのマザーボードにスパイチップを載せてAppleなどアメリカ企業に侵入か

これは、これまでで最大の、国民国家による企業スパイ事件ではないだろうか。Bloombergの今日（米国時間10/4）のびっくり仰天記事によると、中国政府が、Appleを含む30以上のアメリカ企業のサーバーへのアクセスを取得した。

Bloombergによると、アメリカで使われているサーバーのマザーボードを提供しているSupermicroが被害に遭い、中国政府と関係のあるグループが同社のサプライチェーンに侵入して、鉛筆の先ぐらいの大きさの小さなチップをマザーボードに取り付けた。そしてそのマザーボードは、アメリカで使われ始めた。

その目的は、Bloombergの説では、企業のシステムへの入り口を取得してIP（知財）やそのほかの機密情報を盗むことだ。サーバーそのものの能力は限られているが、それが“秘密の入り口”になることにより、中国にいるスパイたちがリモートでデバイスの動作を変え、情報にアクセスする。

そのことを知ったアメリカ政府は、チップの背後にいるスパイたちをスパイしたが、Bloombergの記事によると、現在分かっているかぎりでは、この攻撃によって既知の消費者データはまったく盗まれていない。しかしそれでもこれは、中国政府によるこれまででもっとも衝撃的なスパイ活動のひとつだ、と言える。

記事によると、そのチップはAmazonが見つけてFBIに報告した。それは、同社が2015年にElemental Systemsを買収したときの事前調査でたまたま発見された。Elemental社はアメリカ政府との広範な契約があり、またAppleは、ピーク時には最大7000台のSupermicro製サーバーを動かしていた、とされる。Bloombergによると、Amazonは１か月以内にそれらのサーバーをすべて排除した。Appleは2016年にSupermicroとの関係を絶ったが、その原因がセキュリティ問題だ、とするThe Informationの主張を否定した。

一方AmazonはElemental Systemsの…一説では5億ドルの…買収を完了し、その直前には同社のソフトウェアをAWSのクラウドへ切り替えた。他方Supermicroは今年の8月に、四半期決算報告書の提出を怠ったため、Nasdaqで売買を保留扱いにされた。今後は、改善の期限切れによる上場停止の可能性もある。

[中国のチップスパイ記事は究極の弱点がサプライチェーンであることを示している（未訳）]

Chinese chip spying report shows the supply chain remains the ultimate weakness

Amazon, Apple, Supermicro, そして中国外務省は、Bloombergの記事を、激しくて長い声明で否定している。彼らの反論のリストが、ここにある。同紙は、ニュースソースは現場知識のある17名以上の個人情報筋だ、と主張している。それらには、6名のアメリカの政府職員と、Appleの4名の“インサイダー”が含まれる。

Bloombergの元記事を、ぜひ読むべきだ。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

GitHubがJira Software Cloudの統合を改良、パフォーマンスとユーザー体験をアップ

AtlassianのJiraは、多くの企業で、大きなソフトウェアプロジェクトを管理するためのスタンダードになっている。しかしそれらの企業の多くがソースコードのリポジトリとしてはGitHubを利用しており、JiraとGitHubを統合する公式な方法も、かなり前からある。しかしその古いやり方は、遅くて、能力も限られ、今多くの企業がGitHubで管理しているような大きなコードベースを扱うには、向いていないことが多かった。

しかしMicrosoftに買収されたあとでもGitHubは、オープンソースのエコシステムにコミットしていることを証明するかのように、今日（米国時間10/4）同社は、二つの製品の改良された統合を発表した。

GitHubのエコシステムエンジニアリング担当ディレクターKyle Daigleは、こう語る: “Jiraに関してAtlassianと協働することは、われわれにとってきわめて重要だった。われわれの顧客であるデベロッパーには、彼らが使っているこのオープンなプラットホーム〔GitHub〕から最良の体験を確実に得てほしいからだ。彼らが今、ほかにどんなツールを使っていようともね”。

そこで二か月前にGitHubのチームは、Jiraとの独自の統合を、完全にゼロから再構築することに決めた。そして今後は、それをメンテナンスし改良していくことにした。Daigleが言ってるように、改良の重点はパフォーマンスとユーザー体験の向上に置かれた。

この新しい統合により、JiraのIssue（課題）に結びついているすべてのプルリクエストやコミット、ブランチなどをGitHubから容易に見ることができる。GitHubからの情報に基づいてIssuesを検索できる。そしてまた、開発ワークのステータスをJiraの中でも見ることができる。GitHubで行った変更がJiraのアップデートもトリガーするので、そのデータはどんなときでもアップツーデートに保たれる。

いわゆるJira DVCSコネクターを利用するJiraとの古い統合は非推奨になり、GitHubは、数週間以内にアップグレードするよう、既存のユーザーへの告知を開始する。新しい統合はGitHubのアプリケーションなので、このプラットホームのセキュリティ機能をすべて装備している。

画像クレジット: TechCrunch

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

Wi-Fiの規格の次のバージョンはWi-Fi 6になる、802.11xxより分かりやすいというが?

Wi-Fiのプロトコルに長年、802.11ab、802.11nなどの、IEEEが定義した耳に心地よい〔皮肉！〕名前をつけてきたWi-Fi Allianceがついに、数字や文字が多すぎると判断して、方針を変えた。どう変えたのか？　Wi-Fiの次のバージョンはWi-Fi 6になる。これを好きになれない人は、喘そ・そ・そ息が悪化するだろう。

Wi-Fi AllianceのCEO Edgar Figueroaがプレスリリースで言っている: “20年近くWi-Fiユーザーは、自分のデバイスがWi-Fiの最新規格をサポートしているか知るために、因習的な技術用語を理解する必要があった。このたびWi-Fi 6をご提示できることは、Wi-Fi Allianceにとっても喜びであり、この新しい命名法によって業界とWi-Fiユーザーの両者が、特定のデバイスや接続がサポートしているWi-Fiのジェネレーションを容易に理解できるようになると思われる”。

Wi-Fi 6は実際には802.11axであり、802.11acの改良バージョンだ。その名目上のデータレートは、Wikipediaによると、IEEE 802.11acより“37%高く、細部の修正によりスペクトルの利用効率が良くなったのでユーザースループットは4倍の増加を達成した”。5GHzのストリームを8つと2.4GHzのストリームを4つ同時に流せる。

6に加えてこれからは、802.11acはWi-Fi 5、802.11nはWi-Fi 4と呼ばれることになる。デバイスはジェネレーションで公式に認定され、最初のWi-Fi 6デバイスが登場するのは2019年になる。でも、今からすでに802.11の命名法に別れを告げて、Wi-Fiの混乱に早めに対応した方が良いだろう。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

Facebook曰く：アタッカーが連携アプリにアクセスした「形跡はない」

Facebookは、先週発見したデータ流出によってサードパーティーアプリが影響を受けた「形跡はなかった」と発表した。

ハッカーらは、昨年Facebookが不注意から混入させた3つの脆弱性の組み合わせを利用して、少なくとも5000万ユーザーのアクセストークンを盗み出した。その他4000万ユーザーもアタックを受けた可能性がある。Facebookはこれらのトークン（ユーザーのログイン状態を保つために使用される）を無効化し、ユーザーは強制的に同サイトに再ログインさせられた。

しかし、ログインにFacebookを利用しているサードパーティー製のアプリやサイト、サービス（Spotify、Tinder、Instagramなど）も同じく影響を受けた可能性があり、Facebookログインを使用するサービス各社は、ソーシャルネットワークの巨人に回答を求めていた。

「当社は、先週発見したアタック期間中にインストーあるいはログインされた全サードパーティーアプリのログを解析した」とFacebookのプロダクトマネジメント担当VP、Guy Rosenがブログ記事に書いた。「調査の結果、アタッカーがFacebookログインを使っていずれかのアプリにアクセスした形跡は現時点で見つかっていない」。

「当社が提供している公式Facebook SDKを使用しているデベロッパーすべて——およびユーザーのアクセストークンの有効性を定期的にチェックしているデベロッパー——は、われわれがユーザーのアクセストークンをリセットした際に自動的に保護されている。

Rosenは、全デベロッパーがFacebookの開発ツールを使っているわけではないことを認識しており、そのために「各デベロッパーが自社アプリのユーザーが影響を受けたかどうかを識別し、ログアウトさせるためのツールを開発している」と語った。

Facebookはツールの提供時期については言及しなかった。TechCrunchは同社にコメントを求めており、回答があり次第続報の予定。

今回の不正侵入がヨーロッパで500万ユーザーに影響をあたえたことをFacebookは認めた。当地域のプライバシー保護法は、より厳格で制裁金も高額だ。

新たに制定された一般データ保護規則（GDPR）の下では、仮にFacebookがユーザーデータを保護する努力を怠っていたことがわかれば、欧州の規制機関はFacebookに最大16.3億ドル（前会計年度の全世界売上である407億ドルの4%）の罰金を科すことができる。

5000万人が影響を受けたFacebookのデータ漏洩について知っておくべきこと

画像提供：Getty Images

[原文へ]

（翻訳：Nob Takahashi / facebook ）

Google、新しい旅行プランツールを公開

ゆっくりだが確実に、Googleは旅行サービスを拡大し今やホテルやフライトの予約からトラベルプランのツールまで提供している。今日（米国時間9/27）、Googleはトラベルプランとホテル予約を中心とする新サービスを発表した。

中でも休日の旅行計画をする人にとっておそらく最も興味深いのが、新しいランディングページで、感謝祭や年末年始の休みに先立ち、いつ予約するのが最適かを2017年の価格変動に基づいて教えてくれる。対応している都市は少々限定されるが、用意されている25のルートを利用する予定の人は、確実に何ドルか安くできるはずだ（今年の価格傾向が去年と類似していることが前提）。

同じページにホテルの料金も載っているが、これはGoogleマップのホテル検索機能（おそらく知らない人が多い）へとつなぐツールとしての性格が強い。

目的地を決めたら、Googleの新しいホテル位置スコアが、おすすめの地域を探すのを手伝ってくれる。スコアには近くのバー、観光スポット、公共交通機関へのアクセスなどの情報が、Googleマップのデータに基づいて要約されている。空港との往復方法も教えてくれるのはうれしい追加機能だ。

10月にGoogleは、Your Tripsという旅行プランを立てるための新しい機能をスタートする。Your Tripsはフライト料金の追跡結果やホテルの検索情報など、計画している旅行に関して保存しておいた情報を一箇所に集めてくれる。これはInbox（さようなら）のトラベル情報とも似ているが、まだ計画中の旅行が対象だ。

そして、ユーザーが通常のGoogle検索で人気の旅行先を探すと、結果ページでこれらの旅行プラン機能がハイライト表示され、観光プランや当地に関する記事などを見ることができる。旅行の予約を始めたあとは、予約状況やこのデータに基づく追加情報も表示される。

[原文へ]

（翻訳：Nob Takahashi / facebook ）

GoogleのCloud Memorystore for Redisが一般公開、ミリ秒以下のレスポンスを約束

Googleは今日（米国時間9/19）、5か月の公開ベータを経たCloud Memorystore for Redisを一般公開した。それは、完全な管理を伴うインメモリのデータストアだ。

このサービスはRedisプロトコルに完全に準拠していて、インメモリのキャッシングを必要とするアプリケーションにミリ秒以下のレスポンスを約束する。そしてRedis準拠なので、デベロッパーは自分のアプリケーションをコードをどこも変えずにこのサービスへマイグレートできる。

Cloud Memorystoreには二つのサービスティアがある。シンプルなキャッシング用のベーシックと、高可用性のRedisインスタンスを必要とするユーザーのためのスタンダードだ。スタンダードではGoogleは、99.9%可用性のSLAを提供している。

最初にベータでローンチして以来Googleは、このサービスにできることを徐々に増やしてきた。たとえば今ではさまざまな性能数値をStackdriverで見ることができる。また、カスタムのIAMロールや、改良されたログ機能も加わった。

課金は時間と容量の従量制で、サービスのレベルや使用するキャパシティによって異なる。完全な料金表がここにある。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

Western Digitalのパーソナルクラウドにパスワード回避の欠陥

人気のクラウドストレージドライブに脆弱性が見つかったことをセキュリティー研究者が公表した。メーカーは一年以上セキュリティーパッチを発行していない。

Remco Vermeulenは、Western DigitalのMy Cloudデバイスに権限昇格バグがあることを発見した。アタッカーはドライブの管理者パスワードを回避してユーザーデータの「完全制御」を得ることができる。

この欠陥は、ドライブのウェブベースのダッシュボードがユーザー認証を適切に行わず、本来高いレベルの権限が必要なツールへのアクセスをアタッカーに与えるために発生する。

バグは「容易に」利用できる、とVermerlenはメールでTechCrunchに語った。My Cloudデバイスがインターネット経由のリモートアクセスを許可していれば、遠隔地からも侵入可能になる——数万台のデバイスが許可している。彼はこの脆弱性利用の概念実証ビデオをTwitterで公開した。

バグの詳細は、別のセキュリティーチームも別途発見しており、独自の侵入コードを公開している。

Vermerlenはこのバグを1年以上前の2017年4月に報告したが、会社は応答を中止したという。一般に、セキュリティー研究者は90日間の回答猶予期間を企業に与えており、これは業界で受け入れられている「責任ある公開ガイドライン」に沿っている。

彼は、WDがその後My Cloudのファームウェアをアップデートした際、彼の見つけた脆弱性が修正されていないことを知り、問題の公開に踏み切った。

一年後も、WDはまだパッチを発行していない。

同社はこの脆弱性を認識していることを認めたが、なぜ修正に一年以上かかったかについては語っていない。「現在、報告された問題を解決するファームウェアアップデートの日程調整を行っている」と広報担当者は言った。時期は「数週間以内」になるという。

WDは、同社のMy Cloud製品のうち、EX2、EX4、およびMirrorには脆弱性があるが、My Cloud Homeにはないと言っている。

現時点で修正方法は存在せず、ユーザーがデータの安全を確保したければ「ネットワークから切り離す」以外に方法はない。

[原文へ]

（翻訳：Nob Takahashi / facebook ）

SonyがPS1の縮尺版PlayStation Classicを出す、当時の人気ゲーム盛りだくさんで

もしもあなたが、二杯目のビールを飲み終わったら必ず、ゲームがアートへ成熟していく過程における初代PlayStationの偉大なる功績について20分のスピーチをするタイプの人なら、この記事はあなたにぴったりのニュースだ。

Sonyは今日（米国時間9/18）、その初代PlayStationにあの（うまくいった）Nintendo Classicの待遇を与えるべく、PlayStation Classicと呼ばれる縮尺バージョンのPS1を出す意思を表明した。そのおチビさんのゲーム機は、12月3日に定価99ドル99セントで発売される。

この種の企画の先鞭をつけたNintendoの人気燃え々々のSNESとNES両Classicと同じく、SonyのPlayStation Classicも、キャッシュに往年の人気ゲームが最初から載る。その人気ゲームとは、Final Fantasy VII [編集者注記: おお！いいね！], Jumping Flash, Ridge Racer Type 4（アールフォーリッジレーサータイプフォー）, Tekken 3(鉄拳3), Wild Armsなど計20本だ。

このゲーム機を発表するSonyのブログ記事〔日本語ページ〕は、“25年近く前に初代のPlayStationが生まれた。Sony Computer Entertainmentが開発したそれは、全世界で売上が1億台を超えた史上初めての家庭用ビデオゲーム機になり、3Dのグラフィクスをリアルタイムで描画するゲームを初めて家庭でプレイする機会を消費者に提供した”、とノスタルジアたっぷりに述べている。もちろんそのノスタルジーは、われわれの中にもある。

“昔からのファンは懐かしいゲームを再発見できるので、ノスタルジーを満足させることができるだろう。そしてこのプラットホームを最近知ったばかりのゲーマーは、画期的なPlayStationコンソールのその始まりの姿を体験して楽しめるだろう”。

Sonyによると、その新しいミニPlayStationは本物のPlayStationより45%小さくて、同じく先祖を模倣しているコントローラーもやはり小さい。コントローラーは二つ付くので、対戦ゲームも楽しめる。テレビなどとの接続用に、HDMIとUSBのケーブルもある。カナダとアメリカでは一部の店が予約販売を行なうが、上記以外の15のゲームも含めて詳細も発表されるから見落とさないように。Sony自身が詳細をシェアするのは、来月または再来月だ。すべてのゲームを“オリジナルフォーマットでプレイできる”、と言っているから、何もかも単純だったあの日を、再び体験できるだろう。

このようなノスタルジー商法を大歓迎する人がほとんどだと思うが、でもすごくキュートだから新鮮さもある。ボタンも何もかもすべて円（まる）いから、星のカービィみたいに円いものはキュートに感じるんだ（キノピオもそうだったね）。

1995年の大流行の時期にPS1に深入りした人なら、当時最先端だったあの形の記憶が今でも脳裏にはっきり残っているだろう。ボタンを押したときに感じるその深さ（押し込み感）も、正確に記憶に残っているはずだ。ディスクドライブの蓋が、あくびをするように優雅に、はらはらさせるかのようにゆっくり開（あ）くときの様子も。すべて心に深く刻まれているだろう。

ぼくたちはあれに、わずか5年の寿命しか与えなかったけど、でも、あと数か月与えてはどうだろう？

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

プライベートなソーシャルネットワークを提供するPath、ついにサービス停止

ふたたび、ソーシャルメディア・プラットフォームにさよならを言う日がやってきた。

今年初めにはKloutがサービスを停止したが、この度はPathが舞台を去ることが明らかとなった。かつてはFacebookのライバルとなるかという話もあったが、ついに閉鎖をアナウンスすることとなった（まだあったのかと驚いた人もいるかもしれない）。

8年間にわたってサービスを提供してきたPathだが、10月18日をもってサービス停止となるとのこと。App StoreおよびGoogle Playからは10月1日をもって削除されるようだ。利用している人は、10月18日までデータのダウンロードができるようになっている（ダウンロードはこちらから）。

It is with deep regret to announce that Path service will be discontinued. It has been a long journey and we sincerely thank each one of you for your years of love and support Path.
Please visit here https://t.co/2MFh5A7C23 for more details. pic.twitter.com/rczKgx6ooW

— Path (@path) September 17, 2018

Pathを開発したのは、Facebookでプロダクトマネージャーを務めたこともあるDave Morinと、Napster出身のDustin MierauおよびShawn Fanningだ。2010年にモバイル向けソーシャル・ネットワークサービスとして登場した。サービスはビジュアルと本当に親しい人とのつながりを重視して、50人までしか友達登録ができないという仕様になっていた。よりプライベートなつながりを求める人に向けたサービスを実現しようとしていたのだ。ただし、友人数の制限は後に緩められ、さらに撤廃されることにもなった。

ピーク時には1500万のユーザーを抱え、5億ドルの評価にもとずく資金調達などにも成功していた。誕生1ヵ月の頃には、Googleが1億ドルでの買収を狙ったほどだった。最終的にPathはシリコンバレーの大物であるIndex、Kleiner Perking、およびRedpointなどから5500万ドルの資金を集めていた。

FacebookはPathをノックアウトしたが、Pathから頂戴したアイデアもある。

ソーシャルメディアは、15億人のアクティブユーザーを抱えるFacebookの独壇場となっている。優れていると思えば、ライバルであったPathからアイデアを借用することも厭わず、今日の繁栄につなげてきている。

Pathのサービスは打開策を見つけられず、スタッフを失い、そして利用者および収益源（ないしはユーザーデータ）を失っていった。商業施設と利用者をつなぐサービス（Path Talk）に活路を見出そうとしたこともあったが、これもうまくいかなかった。結局はPathおよびPath Talkのサービスは、2015年に価格非公開で韓国のメッセージングおよび接続サービス大手であるKakaoに売却されることとなった。世界第4位の人口を抱え、Pathが400万人の利用者を獲得していたインドネシアでのサービス拡大を狙ってのことだった。ちなみにKakao自体は、東南アジア最大のインターネット関連ビジネスマーケットとなっているインドネシアで、大きな存在感を示すことに成功している。

そのような中でもPathの活路は見出すことができず、結局はPathおよびPath Talkはサービス停止を迎えることとなった。

「多くの方に愛していただいたPathのサービスを停止するのは残念なことです。Pathは2010年に、熱意あるそして優秀なデザイナーやエンジニアが作り上げたサービスです。ここしばらくの間は、なんとかサービスを継続する道を探っていました。テクノロジーおよびデザインの力で人々を幸せにし、有意義なコミュニケーションの場を提供するというミッションをなんとか果たし続けたいと考えていたのです」と、サービス停止のアナウンスには記されている。

［原文へ］

（翻訳：Maeda, H）

このCSSベースのWeb攻撃は、iPhoneをクラッシュ＆リスタートさせる

一人のセキュリティー研究者が、あらゆるiPhoneをクラッシュしてリスタートさせる方法を発見した——必要なのはわずかなコードだけだ。

Sabri Haddoucheがツイートしたわずか15行のコードからなる概念実証ウェブページは、そこを訪れたiPhoneまたはiPadをクラッシュして再起動させる。macOSの利用者も、このリンクを開くとSafariがフリーズする。

このコードは、iOSのWebレンダリングエンジンであるWebKitの脆弱性を利用したもので、Apple はこのWebKitをあらゆるアプリやブラウザーで使うことを義務付けている、とHaddoucheはTechCrunchに言った。同氏によると、CSSのbackdrop-filterプロパティーに<div>のようなタグを大量にネスティングすることで、端末のリソースを食い尽くしてカーネルパニックを引き起こすことが可能で、システムはダメージを防ぐために自らシャットダウンして再起動する。

「iOSでHTMLをレンダリングするものは何であれ影響を受ける」と彼は言う。つまり、誰かがFacebookやTwitterにリンクを送ったり、訪れたページにこのコードが入っていたり、誰かがリンクをメールで送ってくれば、被害に遭う可能性があると彼は警告する。

How to force restart any iOS device with just CSS?

Source: https://t.co/Ib6dBDUOhn

IF YOU WANT TO TRY (DON’T BLAME ME IF YOU CLICK) : https://t.co/4Ql8uDYvY3

— Sabri (@pwnsdx) September 15, 2018

TechCrunchは、最新のiOS 11.4.1でこのコードを試し、iPhoneがクラッシュして再起動することを確認した。セキュリティー会社、MalwarebytesのMacおよびモバイル担当ディレクター、Thomas Reedは、最新のiOS 12ベータでも同じ現象が起きることを確認した。

運がよければ、クラッシュせずにホーム画面がリスタート（リフレッシュ）されるだけのこともある。

興味のある人は、実際にクラッシュを起こすコードを実行することなく、ここでしくみを理解できる。

幸いなことに、このアタックは厄介ではあるものの、悪意あるコードを実行するために利用することはできない。つまり、このアタックを利用してマルウェアが動いたりデータが盗まれることはない。しかし、このアタックを防ぐ簡単な方法は存在しない。罠の仕掛けられたリンクをクリックしたり、そのコードをレンダリングするHTMLメールを開いただけで、あなたのデバイスは即座にクラッシュするかもしれない。

Haddoucheは金曜日（米国時間9/14）にAppleと接触し、現在同社が調査中であると言われた。本誌は広報担当者にコメントを求めたが、すぐに回答はなかった。

[原文へ]

（翻訳：Nob Takahashi / facebook ）

Appleの新しいiPhoneの中では業界初の7nmチップが動いている

Appleは予想通り今日（米国時間9/11）、最新世代のiPhoneを発表した。そしてそれとともに、その新しいチップA12 Bionicを発表した。

A12 Bionicが独特なのは、7nmプロセスで作られていることだ。チップの仕様や性能を表す測度はメーカーによってまちまちだから、単純な比較はできないが、7nmが最先端の技術であることは確かだ。Appleは、業界初の7nmチップ、と主張している。それには、計69億6000万のトランジスタが載っている。

Appleの全世界マーケティング担当SVP Phil Schillerはこう言う: “チームがやったことはまったく本当のブレークスルーだ。A12 Bionicは業界初の7nmチップだ”。

A12 BionicはAppleが設計したチップで、6コアのCPUと4コアのGPU,そして機械学習のワークロードを動かすためのApple独自のNeural Engineを積んでいる。高性能コアのパフォーマンスは前よりも15%早くなり消費電力は40%減った。また効率性コアでは最大50%の省エネを実現した。

GPUも、前より50%速くなった。モバイルのゲーマーたちよ、喜べ。

Neural Engineは今や8コアのシステムで、スピードが上がっただけでなく新たな機能が加わった。Schillerによるとチップは機械学習のワークロードの性質を見極め、それをGPU, CPUあるいはNeural Engineのどれにやらせるかを決める。

トータルでは、A12 BionicのNeural Engineは毎秒5兆の演算ができる。A11では6000億だった。ただしそれがどういう演算なのかAppleは詳細を言わないので、いまいち腑に落ちない。いずれにしても、相当速いチップであることは、確かなようだ。

Apple introduces the iPhone Xs and iPhone Xs Max（日本語訳）

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

Facebook、アジア地域初となるデータセンターを構築予定

Facebookが、初めてアジアにデータセンターを構築する。Facebookのアナウンスによれば、シンガポールに11階建てを建築する予定であるとのこと。サービスパフォーマンスおよび効率性の向上を狙ってのことだとのこと。費用はシンガポールドルで14億ドル見込みで、米ドルにすると10億ドル程度となる。

なお、この新しいデータセンターで用いる電源は、100%再生可能エネルギーとなるのだそうだ。さらに新しいStatePoint Liquid Coolingを利用し、水資源および電力の消費を最低限に抑えるようになっているとのこと。

Facebookによれば新データセンターの構築により、数百名の雇用を創出し、シンガポールおよびアジア地域におけるプレゼンスの拡大を実現することができるとしている。

建設予定データセンターの外観予想図

アジア太平洋地域における月間利用者数は8億9400万となており、全利用者中40%を占めている。これは地域ごとにみれば最高の割合となっている。ただし、収益面では他地域の後塵を拝している。Facebookの直近四半期のデータによれば、アジア太平洋地域での売上額は23億ドルで、全体の18%となっており、アメリカからの売り上げの半分にも満たない。サービスの効率性をあげることで、利用者シェアと売り上げシェのギャップを埋めたい考えもあるのだろう。

なお、アジアにデータセンターを構築する動きは他にもあり、Googleはシンガポールに3つめとなるデータセンター設立を予定しているようだ。Googleは、シンガポール以外に、台湾でもデータセンターを運営している。

［原文へ］

（翻訳：Maeda, H）

GoogleのAndroid Enterprise Recommendedに堅牢なスマートフォンが加わる

堅牢なスマートフォン(rugged smartphones)は、厳しい環境で働く社員に企業が与えるデバイスであり、やや特殊な市場だ。スマートフォンを選ぶとき、6フィート（180センチメートル）の高さから落としても壊れないことを条件にする消費者はあまりいない。でも、市場があることは確かで、調査会社のIDCは、Androidベースの堅牢デバイスが今後5年間、年率23%で伸びる、と予想している。

Googleが、企業向けに製品を推薦するAndroid Enterprise Recommended事業を拡大して、堅牢デバイスを含めるようにしたのも、当然だろう。でも、そこに載っているメーカーの名前をご存知だった方は、あまりいないと思う: Zebra, Honeywell, Sonim, Point Mobile, Datalogic…社名はご存知でも、スマートフォンとは結びつかない企業もあるだろう。Panasonicも長年、堅牢デバイスを作っているから、そのうちこの事業に当然入るだろう。

これらのデバイスの最低条件は、かなり単純明快だ: Android 7以上をサポート; Googleがリリースしてから90日以内にセキュリティアップデートを行なう; 堅牢デバイスであるために侵入保護があり落下試験合格であること。そして、ほかにも、少なくとも一つ以上のメジャーなOSをサポートできること。

Googleは今日の発表でこう言っている: “今日のローンチは、顧客のエンタープライズ体験の改善にコミットする私たちの姿勢が変わらないことを表している。これらのデバイスが、既存のユースケースに奉仕し、また企業の新たなモバイルのユースケースの追求を可能にして、企業の目標の実現に寄与することを期待する”。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

VoCore2は、小さなDoomをプレイできる小さなコンピューター

VoCore2はWi-Fi対応で580 MHz CPUと128 MB RAMを搭載したコンピューターでビデオ出力も可能だ。そして、Doomをプレイできる。そう：この容易に呑み込めるコンピューターなら、パッケージがゆっくりと消化される間にハードコアのFPSをプレイできる。

この製品はIndiegogoで生まれ、10万ドルを集めた。現在単体が17ドル、USBとMicroSDカード付きが24ドルで販売されている。4インチディスプレイも売られていて25fpsのビデオを見ることができる。

いったいこれの何がいいのか？　他のシングルボードコンピューターと同じく、21世紀におけるコンピューターの意味を限界まで広げてくれる。ユーロコインサイズのコンピューターは、あらゆる場所、あらゆる奇妙なプロジェクトにフィットする。ジョイスティックのボタンサイズのコンピューターでデーモンたちを破壊できるのはクールだ。

VoCore2はまもなく出荷予定で、こちらから購入できる。

[原文へ]

（翻訳：Nob Takahashi / facebook ）

GoogleがKubernetesの開発インフラの自社負担から降りてすべてをCNCFに委ねる

Googleが今日（米国時間8/29）、同社がCloud Native Computing Foundation(CNCF)に、Google Cloudのクレジット900万ドルを提供して、Kubernetesコンテナオーケストレータの同団体による今後の開発を支援し、プロジェクトの運用に関わるコントロールを同団体に委ねる、と発表した。このクレジットは3年分割で提供され、Kubernetesソフトウェアの構築や試験、配布などに要する費用に充当される。

これまではGoogleが、このプロジェクトを支えるクラウドリソースのほとんどすべてをホストしていた。その中にはたとえばCI/CDによるテストのためのインフラストラクチャや、コンテナのダウンロード、同社クラウド上のDNSサービスなども含まれている。しかしGoogleは今回、一歩後退することになった。Kubernetesコミュニティの成熟に伴い、GoogleはKubernetesのすべてのサポートワークをコミュニティに移そうとしている。

テストのためのインフラストラクチャからコンテナダウンロードのホスティングまで、すべてを合わせるとKubernetesプロジェクトは常時、15万あまりのコンテナを5000基の仮想マシン上で動かしている。その費用は、相当に大きい。Kubernetesのコンテナレジストリはこれまで、1億3000万回近いダウンロードに応じてきた。

それにまた現在のCNCFは、互いに競合する多様なメンバーを抱えている。Alibaba Cloud, AWS, Microsoft Azure, Google Cloud, IBM Cloud, Oracle, SAP, VMwareなどがその例だ。全員がCNCFの仕事やKubernetesのコミュニティから利益を得ている。Googleはこれまで黙っていたが、そろそろKubernetesのインフラストラクチャを動かす重荷を、それにふさわしい者に担わせるべきだろう。それにコミュニティのメンバーの一部は、KubernetesがGoogleのインフラストラクチャにあまりにも密接に結びついていることを、嫌っていた。

GoogleのKubernetes EngineのプロダクトマネージャーWilliam Denissが、今日の発表声明でこう書いている: “Kubernetesの運用責任をプロジェクトのコントリビューターが共有することによって、彼ら全員が持ち寄る新しいアイデアや効率性を生かせるようになるだろう。それが楽しみである”。彼によると今後も、Kubernetesのインフラストラクチャの運用には、Googleの意思が適宜反映されていく、という。

CNCFの事務局長Dan Kohnはこう述べる: “KubernetesのコミュニティにGoogleの大きな財政支援があることによって、このプロジェクトのイノベーションと採用の安定的なペースが今後も減衰することなく維持されるだろう。Google CloudがKubernetesのテストとインフラストラクチャに関わるプロジェクトをコントリビューターの手に渡したことによって、プロジェクトはオープンソースであるだけでなく、オープンなコミュニティによってオープンに管理されるものになる”。

今後長期的には、インフラストラクチャがGoogleのクラウドから離れることになるのか、そのへんはまだ分からないが、3年後に他のクラウドプロバイダーが同様のクレジットを提供することは、大いにありえるだろう。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）