最近、海外ではSamsung製SSD「Samsung 980 PRO」の偽物が出回っているらしい。この偽物は正規と同等のパッケージに入れられていたうえ、正規品と同じ「980 PRO」のステッカーが貼られており、シリアル番号や型番も正規品と同じように記されていたそうだ。このように外見や中身まで本物そっくりにつくられているが、ベンチマークを取るとその性能は約70％にまで落ちるという。具体的には本物の980 PROは、シーケンシャルリードが最大7GB/s、シーケンシャルライトは最大5GB/sであるのに対し、偽物はシーケンシャルリードが約4.8GB/s、シーケンシャルライトが約4.5GB/sという結果だったとしている（Tom's Hardware、GIGAZINE）。

加工前のスクリーンショットが復元できてしまう脆弱性が、Windowsの画像編集ツール「Snipping Tool」で見つかっているという。先日取り上げたGoogle Pixelのマークアップツールで編集前の画像が復元できる脆弱性（CVE-2023-21036）に類似した内容だとされている（発見者のDavid Buchanan氏のツイート、PC Watch、GIGAZINE）。

この脆弱性はトリミングや塗りつぶしといった加工を行なったスクリーンショットを、加工前の状態に部分的に復元できてしまうとしている。スクリーンショットに写り込んだクレジットカード番号や住所、その他の見られたくない箇所をSnipping Toolでトリミングしたり、ぼかしたりして投稿することがあるが、編集後の画像から元画像を復元できるこの脆弱性は、非常に深刻なセキュリティリスクをもたらす可能性があるとしている。

Google は Pixel の「マークアップ」ツールで発見された脆弱性 (CVE-2023-21036) を 3 月のアップデートで修正したが、これを利用するエクスプロイト「aCropalypse」が公開されている (エクスプロイト作者のブログ記事、 9to5Google の記事、 Android Police の記事、 Simon Aarons 氏のツイート)。

マークアップはスクリーンショット撮影時に表示され、画像のクロップや書き込み・塗りつぶし等を可能にする。CVE-2023-21036 では編集の結果を保存する際にファイルサイズを切り詰めずに新しい画像データを上書きするため、元のデータが一部残されてしまう。具体的な処理を知ることは難しいが、エクスプロイト作者の David Buchanan 氏は Android 10 以降で 2021 年に修正された ParcelFileDescriptor.parseMode のバグとみているようだ。

脆弱性が修正されても既に保存したファイルが更新されるわけではない。このような画像をソーシャルメディアアプリやメッセージングアプリなどで送信する場合、読み取れない元の画像データはメタデータとともに削除されるが、Discord では 1 月までこのような処理が行われていなかったという。そのため、それ以前にアップロードしたスクリーンショットでは、隠したつもりの部分が復元されてしまう可能性がある。

エクスプロイトの作者が過去に使用していた Pixel 3XL のスクリーンショットを Discord からダウンロードして復元処理を行ってみたところ、eBay の確認メールのスクリーンショットから自宅住所全体が復元されたそうだ。なお、復元処理はすべてローカルで行われるとのことだ。

米著作権局は 16 日、人工知能 (AI) 技術の急速な進化による著作権法や政策の問題を調査するイニシアチブを開始するとともに、AI を用いた作品の著作権登録に関するガイダンスを公開した (著作権局のニュース記事、 ガイダンス: PDF、 VentureBeat の記事、 Ars Technica の記事)。

米著作権局では AI が生成した画像の著作権登録を 3 回にわたって拒絶しており、いったん著作権登録したコミックブックについて、AI による生成が後日判明したアートワークを登録から除外している。新しいガイダンスでは AI をツールとして使用した著作物の著作権登録が可能であることを明確にする一方で、著作権が保護されるのは人間が著作者である場合に限られるという方針に変更はない。

たとえば、人間が送ったプロンプトのみから AI がコンテンツを生成した場合、プロンプトを送る行為は (人間の) アーティストに作品の制作を注文する行為と同様だという。プロンプトを送った人間や注文者が著作者になることはなく、注文を受けて制作された作品はアーティストの著作物として著作権保護の対象になるが、AI が生成したコンテンツは著作権保護の対象にならない。一方、AI の生成物を人間が十分創造的に選択・配置したり、改変したりすれば人間が著作者として認められ、著作権保護の対象になる。

そのため、AI の生成物を用いた著作物の著作権登録申請にあたっては、「著作者」の項に記載する人間がどのように創造的な役割を果たしたのかを記載する必要がある。使用した AI 技術や提供企業を著作者や共同著作者として記載すべきではない。また、僅少でない量の AI 生成コンテンツは申請書で明確に除外する必要がある。既に申請済みの著作物が上述の内容に該当する場合、修正申請を行わないと著作権登録が無効になる可能性もあるようだ。

顧客が正規に購入した Windows 10 Pro でライセンス認証できない問題を解決するため、Microsoft のサポート担当者がクラックツールを使用したと報告されている (BleepingComputer の記事、 Neowin の記事、 報告者のツイート)。

報告者によれば、Microsoft Store で購入した Windows 10 Pro のライセンスキーでライセンス認証できなかったため Microsoft サポートに連絡したが問題は解決せず、翌日に Microsoft のサポート担当者 (本物) が Quick Assist でリモート接続して問題を解決したという。しかし、問題解決のためにサポート担当者が入力した PowerShell コマンドは Microsoft Activation Scripts (MAS) と呼ばれるクラックツールを取得して実行するものだったとのこと。

報告者が MAS の Discord チャンネルで質問したところ、Microsoft サポートの担当者が使用したとの報告が 2 件目であること、MAS によるライセンス認証は正規のものではなく、適法でもないとする回答があったそうだ。Microsoft は BleepingComputer の問い合わせに対し、このような手法は同社のポリシーに反するもので、調査を行っていると回答したとのことだ。

headless 曰く、

2023 SpyCloud Identity Exposure Report によると、SpyCloud の研究者は 2022 年に流出した認証情報 7 億 2,150 万件を発見したそうだ (ニュースリリース、 Neowin の記事)。

2020 年にマルウェアに感染したデバイスは 2,200 万台が見つかっており、SpyCloud が確認した認証情報 7 億 2,150 万件の半数はボットネットから来たものだという。また、220 億台近いデバイスでは多要素認証のバイパスに利用可能なセッションクッキーが取得可能な状態にあり、14 億人分のフルネームや 3 億 3,200 万件の社会保障番号、6,700 万件のクレジットカード番号などを含む 86 億件の個人を特定可能な情報 (PII) が入手可能だったとのこと。

パスワードの安全性は相変わらず向上しておらず、2022 年にパスワードが流出したユーザーの 72 % が過去に流出したパスワードを再利用しており、話題の人物や出来事、製品等に関連するパスワードの人気も高い。SpyCloudが復元したパスワードのうち 327,000 件以上が歌手テイラー・スウィフトやバッド・バニーに関連する語句を含み、Netflix や Hulu に関連する語句を含むパスワードは 261,000 件以上、英国のエリザベス女王逝去や王室に関連する語句を含むパスワードも 167,000 件以上に上る。

政府関連組織では、昨年 2 件以上のパスワードが流出したユーザーのパスワード再利用率が 61 % に上り、最も多いパスワードは「123456」「12345678」「password」だったそうだ。政府関連組織は企業と比べてマルウェア感染デバイスによるリスクが高く、全世界の政府関連組織から 2022 年に流出した認証情報の 74 % 近くはマルウェアが送り出したものだったとのことだ。

headless 曰く、

インド政府が主要なスマートフォンOSについて、アップデートの一般リリース前に審査の実施を義務付けることを検討していると報じられている (Neowin の記事、 Reuters の記事)。

Reutersによればインド政府ではスパイや個人情報の不正利用を懸念しており、プリインストールアプリをアンインストール可能にすることを義務付ける計画を進めているという。インドでは中国製アプリを中心に多数のアプリを禁じているが、プリインストールアプリはアンインストール不可のものも多い。新ルールではスマートフォンメーカーにプリインストールアプリのアンインストールオプション提供を義務付け、新モデルはインド規格局が検査を行うことになる。

OSアップデートの審査はプリインストールアプリのアンインストールオプションの義務付け計画とともに検討されているものだが、リリースまでの期間が長くなることを懸念する声も出ているとのこと。実際に現実的な時間で審査できるのだろうか。

headless 曰く、

HP がまたサードパーティ製インク/トナーカートリッジをブロックするファームウェアアップデートをリリースし、ユーザーから不満の声が出ているそうだ (Ars Technica の記事、 The Verge の記事、 Ghacks の記事)。

HP は 2016 年にファームウェアアップデートでサードパーティ製の互換インクをブロックし、苦情を受けてブロックを解除するファームウェアアップデートを提供している。米国や欧州、オーストラリアでは訴訟が提起され、HP が顧客に賠償金を支払っているが、最近になってこれまで互換カートリッジを使用できていたプリンターで HP のチップを搭載しないカートリッジがブロックされるようになったらしい。

HP のサポート記事によれば、互換カートリッジのブロックは動的セキュリティ対応プリンターが対象で、「HP製以外のチップ、改変された電子回路、またはHP製以外の電子回路を搭載したカートリッジ」がブロックされるという。HP は The Verge の問い合わせに対し、サポート記事のカートリッジ搭載チップに関する記述と、定期的に提供されるファームウェアアップデートで有効性を維持しているという記述を回答として示したとのことだ。

中国は現在、Android OSのスマートフォンユーザー数が最も多い国となっている。複数の大学のコンピューター科学者が、静的および動的なコード解析技術を組み合わせて実施したプリインストールされたシステムアプリによって送信されたデータを調査したところ、XiaomiやOnePlus、Oppo Realmeなど中国で人気の高いスマホのメーカーすべてで、ユーザーデータが大量に収集されていることが判明したという（Android OS Privacy Under the Loupe、GIZMODO）。

これらのパッケージが多くが、ユーザーのデバイス (永続的な識別子)、位置情報 (GPS座標、ネットワーク関連の識別子)、ユーザープロファイル (電話番号、アプリの使用状況)、および通話履歴などのプライバシーに関わる情報を、同意や通知なしに多数の第三者ドメインに送信していたとされる。

headless 曰く、

オーストラリアでは政府支給スマートフォンでのTikTok使用禁止措置が省庁ごとに進められているが、専門家からは米国製アプリを含む他のソーシャルメディアアプリにも対象を拡大すべきとの意見が出ているそうだ (The Guardian の記事)。

The Canberra Times の記事によれば 140 近くある連邦政府機関のほぼ半数が政府所有デバイスでの TikTok 使用を禁じているという。アプリを禁止すべきという意見は TikTok に集中しているが、内務省ではサイバーセキュリティ大臣を兼任するクレア・オニール内務大臣の指示を受け、すべてのソーシャルメディアプラットフォームについてセキュリティリスクと政府における正しい利用法を評価しているそうだ。

政府支給端末でのソーシャルメディアアプリ利用について、専門家は TikTok が「悪」で米企業が「善」というような単純な分け方はできないと指摘する。Apple や Google ではアプリの取得できる個人情報を徐々に制限し、ユーザーによるコントロールを強めているが、位置情報を無効にしてもアップロードした写真から GPS データを取得できる。そのため、以前よりは改善されたとはいえ、問題が完全に解決したわけではないとのこと。また、別の専門家は私物デバイスから外部に送られる情報にも注意すべきだと述べている。

問題を根本的に解決するには1本のアプリを禁止するかどうかではなく、オーストラリア人のプライバシーとセキュリティを強化する必要がある。それにはより強力な個人情報保護法やプライバシー教育、エンドツーエンド暗号化の推奨、そして暗号化が小児性愛者だけのものだなどという馬鹿げた考えを終わらせる必要があるとのことだ。

米国でローンを滞納すると購入したはずの車両が「自動運転で勝手にメーカーの元に帰ってしまう」という特許が取得されたようだ。この特許はフォードが取得したもので、所有者が滞納に関するメッセージに応答しない場合、自動運転でショールームまたはスクラップ置き場に車両が移動するというものらしい。この特許は2021年8月に米国特許庁に提出され、今年の2月23日にフォードに付与されたとしている（特許[PDF]、Daily Mail Online、ナゾロジー）。

といってもいきなり倉庫行きになるのではなく、段階を踏んだ嫌がらせがおこなわれるようだ。まず車両に備わる最初はカーナビ、音楽、エアコンなどの快適機能を無効化し、続いて車内でノイズを再生、そして車両が運転できる場所を制限するといった嫌がらせを実施。それでもオーナーが滞納を続けた場合、自動運転車は「実家に帰らせていただきます」という状況になるようだ。

この特許が実際のサービスとして使われるかは分からないが、米国ではローンの支払いを怠った所有者は、連絡を受けたときにクレーマー化する傾向があり、フォードのエンジニアは「この問題に対処するためのソリューションが必要」だとしてこの仕組みを考え出したようだ。

あるAnonymous Coward 曰く、

米国に於けるローン滞納自動車没収攻防は、米国名物。

中古のスーパーファミコンカセットの偽物が出回っているそうだ。このため中古品ゲームを扱う一部のショップでは、カセットが本物である事を証明するため、カセットを“殻割り”して内部基板を見せた状態で展示する事態にまでなっているという（AKIBA PC Hotline）。

背景には入手しにくいレアなゲームタイトルの偽物を製造し、ネットオークション、フリマサイトなどに出品したり、中古ショップに持ち込んだりしている業者が増えているためだという。こうした偽物は「カセットだけではなく、パッケージやマニュアル、付属のハガキまでコピーしている」とのこと。

2月21日にリリースされたソ連が舞台のFPS「Atomic Heart」に対して、ウクライナ政府が同国内での配信停止を要求しているそうだ（PCGamesN、GameSpark）。

ウクライナのIT系メディアDev.uaにOleksandr Bornyakovデジタル変革副大臣が出したコメントから判明したとしている。このゲームはロシアのデベロッパー「Mundfish」が手掛けるパラレルワールドのFPS。同大臣は共産主義思想やソ連を美化して描いた作品である『Atomic Heart』について、ソニー、マイクロソフト、Valveに対し、ウクライナ国内でのデジタル版配信停止を求める書簡を送付するとコメントを出したという。

また加えて有害な作品である、ユーザーデータが収集されている可能性がある、売上がウクライナ侵攻の資金となる可能性があるなどの理由から他国における配信についても制限するように求めている。

あるAnonymous Coward 曰く、

これを元に共産主義と旧ソ連を賛美と言いのはちょっと違うような…。

EU (欧州連合) 公式ドメイン (europa.eu) のサブドメインのサイトには海賊版映画などを宣伝するコンテンツが大量に存在するが、偽の海賊版ストリーミングサイトから詐欺サイトへ誘導されることもあるようだ (TorrentFreak の記事)。

このようなコンテンツは主に PDF 形式ファイルであり、有名な海賊版ストリーミングサイトの名前を使用して作品を「無料で観よう」「無料ダウンロード」といった趣旨のフレーズを含む題が付けられている。しかし、リンク先は有名海賊版ストリーミングサイトとは無関係で、無料で再生できるのは予告編程度だという。本編を再生しようとするとユーザー登録が必要だと言われ、セキュリティソフトが警告を出すようなページでクレジット番号などの入力を求められるとのこと。

リンク先のすべてが偽サイトとは限らないが、いずれにしても海賊行為を防止しようとする EU のサイトに適したコンテンツではない。そのほか、「お金がもらえるアプリ」といった怪しげな製品の広告などもみられる。

このような事態になった理由として、EU では外部からの貢献を可能にするアップロード機能が原因だと説明しているそうだ。EU はさまざまなプロジェクトを公式ドメインでホストしており、容易に悪用可能なアップローダーを利用しているプロジェクトもあるという。TorrentFreak が最初にこの問題を取り上げたのは 12 月のことであり、EU では問題を認識して対策を進めているなどと説明していたが、現在でも多数の怪しいコンテンツが残っており、最近アップロードされたものもある。

スラドでは数か月前ぐらいのスパム投稿にこういったコンテンツへのリンクが含まれているものが多かった。無料と言いつつクレジットカード番号の入力を求められた時点で気付きそうだが、EU 公式ドメインの力は大きいのだろうか。

英国政府が検討中の法案 Online Safety Bill について、通信の暗号化を損なうようなことになるなら英国から撤退すると Signal のメレディス・ウィテカー氏が BBC に語ったそうだ (BBC News の記事、 The Guardian の記事、 Ars Technica の記事)。

英政府は法案がエンドツーエンド暗号化を禁ずるものではないと説明するが、ウィテカー氏は「プライバシーが善人のものだけ」と信じるのは「魔法的な考え方」だと指摘。暗号は全員を保護するか、全員にとって壊れているかのいずれかだと付け加えたという。

ウィテカー氏はプライベートなメッセージをスキャンするためのバックドアが悪意ある国家の手先に悪用され、犯罪者がシステムにアクセスする道を開くとし、Signal が真にプライベートなコミュニケーション手段を提供するという人々の信頼を損なうよりも撤退する方がいいとのこと。

暗号化が児童虐待者を守るという主張に対しては、ロス・アンダーソン氏の論文(PDF)から「複雑な社会的問題を安価な技術的手段で解決できるという考えはソフトウェアセールスマンが使うセイレーンの誘惑だ」という一節を引用し、虐待の多くが行われる家庭やコミュニティでの抑止に注力すべきだと述べたとのことだ。