Hamo73 曰く、

2013年に「厚労省の診療データベース、データの不備によって突き合わせできず 」という話があったが、このシステムはまだ改修されておらず、活用されていないそうだ。そのため会計検査院が厚生労働省に対しシステムを改修するよう求めたという（NHK、日経新聞）。

厚労省は2012年の時点で照合率の低さを把握していたと見られており、2013年には報道もされたもののその後も適切な対応を怠っていたことから、会計検査院からの指摘が入ることになったようだ。なお、厚労省はこれを受け今年7月に民間業者と改修契約を結んだという。

厚労省は「すでに集めたデータも照合できるように今年度システム改修を進める」としているが、ハッシュ値を直すには原データが必要だろう。全データの入れ直しになるのではないだろうか。

headless 曰く、

日本の銀行が提供しているネットバンキングサービスを狙うマルウェア「Shifu」がIBM Security X-Forceにより発見された（IBM Security Intelligence、The Register、Softpedia、ITProPortal）。

ShifuはShizやGozi、Zeus、Dridexといった過去にソースコードが流出したバンキングマルウェアで効果が確認されているメカニズムを流用しており、開発者はバンキングマルウェアに関する高度な知識を持っていると考えられるという。

Shifuは日本の銀行14行と、欧州で使われているいくつかの電子バンキングプラットフォームをターゲットにしているが、現時点でアクティブな攻撃が確認されているのは日本だけだという。攻撃は早ければ2015年4月には始まっていたとみられるとのこと。なお、Shifuは「thief」を日本語風に読んだ「シーフ」から名付けられたそうだ。

Shifuの主な機能は認証トークンファイルの取得やキーロガーによるパスワード取得、Javaアプレットからのトークン取得などで、Webインジェクションによる追加の認証情報などの取得も行う。セキュリティーツールの無効化やシステムの復元ポイントの削除、自分自身をWindowsのファイルシステムから隠す機能も搭載されている。このほか、POS端末からカード情報を取得する機能や、他のマルウェアの実行をブロックする機能も搭載されているとのことだ。

headless 曰く、

Google Chromeの今後のバージョンには、バックグラウンドで開いたタブが選択されるまでメディアの自動再生開始を延期する機能が搭載されるそうだ（François Beaufort氏のGoogle+への投稿、Chromium Code Reviews: Issue 1292433002、The Register）。

Chrome 32以降では音声再生中のタブにインジケーターが表示されており、設定によりタブのミュート機能を使用することも可能だが、自動再生の延期機能が追加されることで、あわててバックグラウンドのタブを探す必要がなくなる。

なお、コンテンツのプリロードが指定されていればバックグラウンドのタブでも読み込みは実行されるが、ユーザーが実際にタブを選択するまでは再生が開始されることはないという。この機能を搭載したChromeはDevチャネルですでに提供開始されており、一般向けにはChrome 46で利用可能になるとのことだ。

iOS 9ではWebサービスを使用するアプリのセキュリティーを高めるためにApp Transport Security(ATS)と呼ばれる機能が導入されるのだが、Google Mobile Ads SDKを使用するiOSアプリ開発者に対し、GoogleがATSを無効化する手順を紹介したことで批判を受けている(Google — Ads Developer Blogの記事、 9to5Macの記事、 Re/codeの記事、 Motherboardの記事)。

ATSのデフォルトでは、アプリがWebサーバーに接続するにはHTTPSが必須となる。しかし、すべてのモバイル広告がHTTPS化されているわけでないので、一部の広告がアプリ内で表示されない可能性がある。Appleは「App Transport Security Technote」で例外のドメインを設定する手順を説明しているが、GoogleではHTTPSへの移行を推奨しつつ、アプリから接続するすべてのドメインをまとめて例外に設定するためのサンプルコードを掲載。移行が完了するまで確実に広告を表示するためとして、この設定の一時的な使用を推奨している。

「HTTPS everywhere」の方針を進めているGoogleが自ら無効化を推奨したことに対し、Re/codeではプライバシーよりも広告を優先したなどと批判。EFFのJacob Hoffman-Andrews氏もGoogleの提示した一時的な処置は対象が限定されておらず危険であると批判し、この設定を使用しないように呼びかけているという。

その後Googleはブログ記事を更新し、iOS 9に関する情報が欲しいとの開発者からの要望を受けてオプションの概要を紹介したかったとする説明を追加した。また、どうしてもATSに対応できない場合のみ無効化を考えるべきだとも述べている。

Mozillaは21日、Firefoxの拡張機能に関する大幅な変更の計画を発表した(Mozilla Add-ons Blogの記事、 VentureBeatの記事、 Ars Technicaの記事、 Neowinの記事)。

Mozillaでは現在、「WebExtensions」と呼ばれるBlink互換の拡張機能APIの実装を進めている。WebExtensions APIを使用することで、ChromeやSafari、Operaと互換性のある拡張機能を開発できるようになり、将来的にはMicrosoft Edgeの拡張機能とも互換性を持たせることが可能になるとみられている。

また、MozillaはElectrolysisプロジェクトでFirefoxのマルチプロセス化を進めており、12月15日にはElectrolysisを有効にしたFirefox 43をリリース予定だという。そのため、今後の拡張機能開発はElectrolysisと完全な互換性のあるWebExtensionsに移行していくものとみられる。なお、CPOWはElectrolysisを有効にしたFirefoxのリリースから6か月後に非推奨となる。XULとXPCOM、XBLを非推奨にする時期については決定していないが、今後12か月～18か月の間が想定されているようだ。

Mozillaは拡張機能開発者に対し、Electrolysisに対応したアドオン開発のガイドラインに目を通すことや、既にデフォルトでElectrolysisがオンになっているFirefox Developer Editionでアドオンのテストを実行すること、アドオンからCPOWへの依存を除去すること、既存の拡張機能をWebExtensionsに移行するための検討を始めることを推奨している。このほか、9月22日にリリース予定のFirefox 41では、すべての拡張機能に対しMozillaによる承認と署名が必要になるとのことだ。

insiderman 曰く、

The 8th Underhanded C Contest（第8回秘密のCコンテスト）なるコンテストが開催されるとのこと。

このコンテストは、読みやすく、明瞭で、可能な限り信頼できるように見えて実はこっそりと悪意のある処理を実行するというCコードを作成する、というもの。たとえばデータ処理の間にこっそりと投票数のカウント間違いを起こす、金融関連のトランザクションの間にこっそりとその金額を変更する、情報をこっそりと漏洩させる、といった物が例として挙げられている。

今年のテーマだが、下記のようなシナリオになっている。

偉大なアリス人民民主共和国と偉大なボブ人民民主主義共和国は核軍縮条約に合意し、お互いに核兵器に対する調査団を迎え、核兵器の破棄に向けて核弾頭中にあるプルトニウムなどの放射性物質を調査することになった。

理想的には、調査団はテスト対象をスキャンし、その放射線グラフやガンマ線スペクトラムを得るべきであるが、両国はこの方式については核兵器のプログラムや設計といった機密情報が漏れる可能性があるとして不満を持っていた。

そのため、両国はテスト対象となる弾頭のガンマ線スペクトラムと、リファレンスとなるスペクトラムを入力し、それらが一定のしきい値以下であれば1を、そうでなければ0を返すプログラムを作成し、これを利用して間接的に調査を行うということで同意した。

今回のコンテストのお題は、このプログラムを作成するというものだ。当然ながら作成されたプログラムは正しく動いているように見えるだけでなく、特定の条件では正しくない結果を意図的に返す必要がある。

コンテストのWebサイトでは入力するデータやコンテストでの評価方法などについての詳細も書かれているので、詳しくはそちらを参照のこと。なお、締め切りは11月15日。優勝者には賞金1000ドルが進呈されるとのこと。

headless 曰く、

Googleの次期モバイルOS、Android 「M」の名称が「Marshmallow（マシュマロ）」になったようだ（Android Developers Blog、The Verge）。

Android Mの正式名称は17日、Android Developers BlogでAndroidのプロダクトマネージャー、Jamal Eason氏が明らかにした。Eason氏は「マシュマロを嫌いな人がいるだろうか? 私たちは大好きだ!」と前置きし、公式なAndroid 6.0 SDKのリリースと、Google PlayでAndroid Marshmallowの新しいAPIレベル23をターゲットにしたアプリの受付を開始したことを発表している。 Android 6.0 SDKは、Android StudioのSDKマネージャーでダウンロードできる。あとはアプリプロジェクトの「compileSdkVersion」を「23」に変更することで、アプリを新しいプラットフォームでテスト可能となり、「targetSdkVersion」を「23」にすれば、API 23の機能を利用可能になるとのことだ。

Android Mの名称については以前のストーリーでも話題になったが、皆さんの予想は当たっただろうか。

Canonicalは10日、昨年終了したクラウドサービス「Ubuntu One」のソースコードをAGPLv3で公開した。ソースコードはLaunchPadから入手できる(LaunchPad — A file synchronization server、 Readme.txt、 Ubuntu Insightsの記事、 Ars Technicaの記事、 OSDN Magazineの記事)。

CanonicalではUbuntu One終了の際、関連ソースコードをオープンソース化すると説明していた。公開までに時間がかかった理由として、コードのクリーンアップをUbuntu PhoneやSnappyプロジェクトの合間を縫って進めてきたためだとしている。

今回公開されたのはファイル同期サービスの主要部分で、デスクトップクライアントが同期の際に接続するサーバーサイドのソースコード。残りの部分も公開できるよう準備を進めていくという。時期は未定だが、Webサイト関連やREST API、連絡先、音楽ストリーミングなどのコードについても今後公開する計画とのことだ。

PCのストレージを勝手に暗号化して利用できなくした上で、復号のために金銭を要求するマルウェアの存在が知られているが、このようなマルウェアを作成するソフトを不正に保管していたとして18歳の少年が書類送検された（NHK）。ウイルス作成ソフトの保管容疑での立件は全国初という。

この少年は以前出版社のサーバーにサイバー攻撃を仕掛けて乗っ取ったとして逮捕されていた。実際にこのマルウェアを数十人のパソコンに仕込んだことも認めているという。

なお、この作成ソフトはビットコインで購入したとのことで、マルウェアに感染した際に表示される言語や要求する金額などを自由に設定できるという（読売新聞）。

headless 曰く、

Microsoftは6日、iOSアプリのWindowsユニバーサルアプリへの移植を容易にする「Windows Bridge for iOS（Project Islandwood）」のプレビュー版をオープンソースプロジェクトとしてGitHubで公開した（Building Apps for Windows、VentureBeat、ITworld、9to5Mac、OSDN Magazine）。

Windows Bridge for iOSは「WinObjC」とも呼ばれ、MicrosoftがBuild 2015で発表した4つのWindows Bridge（iOS、Android、Web、デスクトップ）の1つ。ファイナルリリースはVisual Studio 2015 Updateとともに今秋の公開が予定されている。現時点では初期のプレビュー版で、x86およびx64アーキテクチャーのWindows 8.1/10アプリの作成がサポートされている。コンパイラの最適化やARMのサポートも近く追加されるそうだ。

このほか、「Windows Bridge for web apps（Project Westminster）」はWindows 10やVisual Studio 2015とともにリリースされており、「Windows Bridge for Android（Project Astoria）」は招待者のみを対象にテクニカルプレビューを実施している。.NETアプリおよびWin32ベースのWindowsアプリをWindowsストアで公開可能にする「Windows Bridge for Classic Windows apps（Project Centennial）」は、来年にパブリックテストを実施する予定とのことだ。

headless 曰く、

Googleは6日、ユーザーをだますような説明で誘導するChrome拡張機能のインラインインストールを9月3日から無効化することを発表した（Chromium Blog、VentureBeat）。

インラインインストールは、Chrome Web StoreでホスティングされているChrome拡張機能を開発者のWebサイトから直接インストールできるようにする機能で、2011年に導入された。しかし、ユーザーをだますような説明を表示して不要な拡張機能をインストールさせようとするWebサイトや広告が存在する。そのため9月3日以降、こういった方法を使用する拡張機能についてはインラインインストールが無効化され、Chrome Web Storeの詳細ページにリダイレクトされるようになる。この変更により影響を受ける拡張機能は全体の0.2％以下だという。

Googleは不正なChrome拡張機能を問題視しており、昨年5月にChrome Web Store以外でホスティングされている拡張機能のインストールを無効化し、インラインインストールへの移行を推奨していた。

イスラエルのセキュリティー関連スタートアップ企業 Morphisec が、「ハッキング不可能なバージョンのWindows」を開発しているそうだ(Business Insiderの記事、 Softpediaの記事、 Slashdotの記事)。

このプロジェクトはベングリオン大学のCyber Security Research Centerで、軍用アプリケーション向けに100%ハッキング不能なOSを作る研究から始まったものだという。

Morphisecで開発中のWindowsは、特定のWindowsアプリケーションで「すべてのメモリーをランダム化」することでゼロデイ攻撃を不可能にするとのこと。これ以上の説明がないのでOSが備えるASLRなどの仕組みを利用するのか、独自に実装されたものなのかは不明だが、Morphisecでは誤検知なしに100%ゼロデイ攻撃を阻止できると主張しているという。なお、Microsoftはプロジェクトにかかわっていないとのことだ。

HTML5のBattery Status APIで取得したデータを利用して、Webサイトがユーザーを特定する可能性が指摘されている(論文: PDF、 The Guardianの記事、 Mashableの記事、 V3.co.ukの記事)。

Battery Status APIは、Webサイトがモバイルデバイスやノートパソコンのバッテリー状態を把握し、必要に応じて低消費電力モードと高パフォーマンスモードに切り替えられるようにするためのもの。現在のところ、Battery Status APIはChromeおよびOpera、Firefoxで利用できる。W3Cではプライバシーへの影響は少ないとして、ユーザーの承認を得ることなく呼び出せるようにしている。

Battery Status APIでは充電中かどうか、バッテリー残り時間/充電完了までの残り時間(秒)、バッテリー残量レベル(0.0～1.0)といった情報のほか、充電状態の変化などのイベントが利用できる。研究チームがFirefoxを使用して検証した環境では、残り時間と残量の組み合わせは14,172,310通りとなり、充電時間を加えるとその2倍になるという。そのため、取得した情報がユーザーを識別するフィンガープリントとして使われる可能性もある。

(続く...)

MicrosoftはUserVoiceのサービスを利用して、Windowsの機能に関する提案を受け付けるフォーラムを開設している。しかし、エクスプローラーにタブを追加するという提案は、3万人以上が要望したにもかかわらずWindows 10では採用されていない(提案、 Softpediaの記事)。

この提案はエクスプローラーにタブを追加し、複数のフォルダーを切り替えて表示できるようにするというもの。昨年9月30日に提案され、タレこみ時点までに33,236票が投じられ、235件のコメントが付けられている。提案者はQTTabBarのようなものをイメージしているようだが、1つのエクスプローラーウィンドウで2つのタブを横に並べて表示する機能も必要だとしている。

この提案に対してMicrosoftのフォーラム管理者は、このようなフィードバックを待っていたと述べ、実現の約束はできないが開発者チームには確実に伝わるようにするなどと2月末に回答している。ただし、現在のところWindows 10のエクスプローラーにタブ機能は搭載されておらず、実際に検討されたかどうかも不明だ。Softpediaでは得票が伸び続ければ新機能として検討される可能性があるとしている。

同様の要望は、Windows Insiderプログラム参加者の要望トップ10にも入っていた。エクスプローラーのタブ機能、皆さんは必要だろうか。

Ubuntuのスマートフォン向けエディション「Ubuntu Touch」を採用したUbuntu Phoneのサポート期間について、Ubuntu Community TeamのMichael Hall氏が、技術的に可能である限り続けるとの見解を示している(Softpediaの記事、 質問者Blue Dragon氏のブログ記事、 YouTube動画)。

この発言は定例のQ&Aセッションで、Ubuntu TouchがBQ Aquaris E4.5をいつまでサポートするかという質問に答えたもの。Hall氏は、期限は定めないが50年先までサポートすることは不可能だと述べ、いずれはサポート終了時期が来ることは当然だとしつつ、現時点ではサポート終了時期の計画がないことを表明。技術的に可能である限りサポートを続けると述べている。

また、Ubuntu Touchではシステムがレイヤー化されているため、OEMレイヤーに影響を与えずに基本システムレイヤーだけを更新することが可能であることにも触れている。これにより、Androidよりも更新が容易になっており、比較的長期間にわたってアップデートを継続することができるとのことだ。

なお、現在のところUbuntu Phoneは3機種しか発売されていない。質問の対象になっていたAquaris E4.5はローエンドモデルであることから、サポート期間の考え方については他の2機種も同様に適用されるとみられる。