最新版のWindows 10 Insider Previewビルド10547では、Microsoft Edgeアプリ本体およびEdgeHTMLレンダリングエンジンのメジャーバージョン番号が初めて増えている(Microsoft Edge Dev Blogの記事、 Microsoft Edgeの変更ログ、 VentureBeatの記事)。

現在一般提供されているWindows 10(ビルド10240)では、Edgeのメジャーバージョンが「20」、EdgeHTMLのバージョンが「12」だが、ビルド10547ではそれぞれ「21」、「13」となっている。ただし、Windows as a Serviceの一部として継続的にアップデートが提供されるEdgeでは、バージョン番号の重要性が以前よりも低くなっているという。

EdgeHTMLのバージョンは「Edge/<メジャーバージョン>.<Windowsのビルド>」のような形式でUser-agent文字列に含まれる。将来のバージョンではEdgeの設定ペインにもEdgeHTMLのバージョンが表示されることになるという。メジャーバージョンは大幅な更新があった場合にのみ増加するもので、基本的にはCurrent Branchの更新時に一度だけ変更されるとのこと。ただし、MicrosoftではEdgeに他のモダンブラウザーと同じコンテンツを送るように推奨しており、バージョン番号は特定のバグを対象とする場合のみ、「Edge」トークンは相互運用性とは無関係な拡張機能や分析といった処理でのみ使用するべきであるとしている。

Edgeのバージョンは、Webページの表示とは関係ないアプリ本体の機能変更が反映される。そのため、Web開発者がこのバージョンを必要とする場面は少ないとみられる。なお、EdgeのバージョンとEdgeHTMLのバージョンは一致しないが、今後もアプリ本体とレンダリングエンジンを個別に更新していくため、あえて一致させることはないとのことだ。

22日にリリースされたFirefox 41.0では、Adblock Plus使用時のメモリー消費量に関する問題が解消している(Adblock Plusのブログ記事、 VentureBeatの記事)。

Adblock Plusではエレメントを非表示化するために単一のスタイルシートを使用するが、旧バージョンのFirefoxでは各ページを読み込む際にスタイルシートのコピーを作成する。スタイルシートが使用するメモリーは数MB程度だが、iframeを含むページではiframeの数だけスタイルシートのコピーが作成されるため、メモリー使用量が大幅に増加することがある。極端な例としては、428個のiframeを含む「VIM Color Scheme Test」を表示する場合、Adblock Plusを有効にするとメモリー使用量が1GB以上増加していた。

Adblock Plus使用時にメモリー消費量が増加する問題は2014年3月にBugzillaで報告(バグ988266)され、同年5月にMozillaとAdblock Plusの開発者が確認していた。この問題の大元になっているのはFirefox誕生前の2001年4月に報告されたバグ77999であり、バグ77999が修正されてスタイルシート関連のデータを共有可能になったことで、バグ988266の修正も可能になったとのことだ。その結果Firefox 41.0では、Adblock Plusを有効にしてVIM Color Scheme Testを読み込んだ際のメモリー使用量が以前のバージョンから1GB以上減少している。

なお、Google ChromeでもAdblock Plusを有効にしてVIM Color Scheme Testを読み込むとメモリー消費量が大幅に増加することが確認できた。また、AdBlockなど他の広告ブロック拡張機能でも同様の現象が発生するようだ。

改変版Xcode「XcodeGhost」により悪意のあるコードに感染したiOSアプリがApp Storeで多数発見された問題を受け、Appleでは中国国内のサーバーからXcodeをダウンロード可能にすることを計画しているそうだ(Neowinの記事、 Reutersの記事、 CNETの記事、 Sina.comの記事)。

XcodeGhostはXcodeに悪意のあるコードを含むオブジェクトファイルを追加してリパッケージングしたもの。中国では米国にあるAppleのサーバーへの接続速度が遅く、中国国内で共有されたXcodeをダウンロードすることが広く行われていることでXcodeGhostが広まったとみられている。Appleは開発者向けにXcodeGhostの確認方法を公開し、正規のソースからXcodeを入手することを開発者に強く求めている。ただし、中国ではダウンロード速度の問題が大きいため、中国国内のサーバーから直接Xcodeをダウンロードできるようにすることを計画しているとのことだ。

また、Appleの中国版Webサイトでは、XcodeGhostに関するQ&Aページも公開されている。Appleでは感染アプリが攻撃に使われた形跡は確認されていないと述べ、感染アプリが取得するのはアプリや一般的なシステム情報のみであり、個人情報が影響を受けることはないと説明している。FireEyeによれば、マルウェアが使用するC&Cサーバーは既に停止しているとのこと。

Q&Aページではユーザー数の多い感染アプリ上位25本を公表している。これらのアプリのうち16本は既に更新版が提供されており、9本は公開停止中。26位以下のアプリについては影響を受けるユーザーが大幅に少なくなるとのこと。ただし、Appleが確認した感染アプリの総数などについては、明らかにされていない。各セキュリティー企業の発表によれば、感染アプリの総数は数百本～数千本とされている。

9to5Macの記事では、中国以外のApp Storeでは感染アプリが公開されていなかったと述べているが、XcodeGhost修正版と明記している「CamScanner Free」は中国以外のApp Storeでも入手可能だ。Rovioは「Angry Birds 2」について中国、香港、マカオ、台湾のApp Storeで公開されていた中国語版ビルドのみが影響を受けると説明しているが、Angry Birds 2の中国語版は多国語版とは別のアプリIDが割り当てられていたため、中国語版のみ限定で感染していたアプリがどの程度あるのかは不明だ。

あるAnonymous Coward 曰く、

スマートフォンアプリによる配車サービスなどを手がける米Uberが、Uberと契約しているドライバーのスマートフォンをデータセンターのバックアップに利用するシステムを開発したそうだ（PublicKey）。

配車サービスで使われるデータを暗号化してドライバーのスマートフォン内に保存しておき、万が一データセンターで障害が発生した場合にそのデータを別のデータセンターに送信して複製する、というものらしい。

多分実際にはセキュリティ的に穴だらけでしょうが、あるんですねこんな方法。

大型店舗で買い物をしているときに目的の商品が見つけられず、質問したくても店員が見つからないことがある。このような場面での解決策となるSMSを使用したショッピングアシスタンスシステム「Walmart Simple Text」が、米国・サンフランシスコで開催されたTechCrunchのDisrupt SF 2015のハッカソンでWalmartLabs賞を受賞した(The WalmartLabs Blogの記事、 Devpost — Walmart Simple Text、 TechCrunchの記事、 Consumeristの記事、 YouTube動画)。

Walmart Simple TextはWalmartLabs APIとTwilioを使用して作られており、Walmartの店内でSMSによる商品検索や質問などが実行できる。商品を探すには、店頭に掲示されている電話番号に「hi」と書いたSMSを送る。ボットが返信してくるので、商品名をSMSで送信すれば、商品棚の場所や在庫状態などが送られてくる。質問がある場合は「chat」と書いて送信すると、従業員とのやり取りも可能だ。

チームではSMSを採用した理由として、どのような携帯電話でも利用できる点や、Walmartの客層からみてアプリをダウンロードする方法や探し方を知らない人が多い点、データプランを契約していなければ利用できない点を挙げている。今後は探している商品に関連した特売情報なども提供できるようにしたいとのことだ。

null文字として解釈される文字列を含むURLでGoogle Chromeがクラッシュするバグが先日話題となったが、このバグを利用した迷路ゲーム「%%30%30」がGitHubで公開されている(%%30%30: A Game、 TNW Newsの記事)。

%%30%30はリンクがグリッド状に配置されており、クマの画像のリンクをマウスポインターでなぞってゴールを目指す。コースを外れて木の画像のリンクをポイントしてしまうとタブがクラッシュするので要注意だ。Google ChromeやChromium、Operaのほか、AtomやSlackといったElectronベースのアプリでもプレイできるとのこと。

バグが修正されてしまうとプレイできなくなってしまうが、21日にリリースされたChrome 45.0.2454.99ではまだ大丈夫なようだ。このほか、追いかけてくるリンクからひたすら逃げ続ける「LinkOfDeath」というゲームも公開されている。

改変版Xcode「XcodeGhost」による悪意のあるコードに感染したiOSアプリが多数App Storeで発見されたことを受け、Appleが感染アプリの削除を開始したそうだ(Reutersの記事、 The Guardianの記事、 TNW Newsの記事、 VentureBeatの記事)。

XcodeGhostは正規のXcodeを装って開発者にインストールさせることにより、開発されたアプリに悪意のあるコードを埋め込む。XcodeGhostが使用するファイルや、感染アプリの動作については、9月21日の記事も参照してほしい。AppleはXcodeGhostで作られたことが判明しているアプリを削除したと述べ、正規のXcodeでアプリを再ビルドするように開発者を促しているとしている。ただし、Appleでは具体的な感染アプリの名称や削除した数などを明らかにしておらず、ユーザーが感染アプリの有無を判断する方法なども説明していない。

最初にXcodeGhostを確認したPalo Alto Networksでは39本の感染アプリをApp Storeで発見しており、オランダのセキュリティー企業Fox-ITが発見した56本とあわせて95本のアプリを含むリストを公表している。また、中国のセキュリティー企業Qihoo 360ではバージョン別の感染アプリリストを公表しており、20日時点で感染アプリは1,078本、バージョン違いを1本にまとめると847本となる。Palo Alto NetworksのリストとQihoo 360のリストを合わせて重複を除外すると900本になった。

リストの中には既に開発元が詳細を明らかにしてアプリを更新している「WeChat(微信)」を含め、中国以外でも広く使われている人気アプリの名前もみられる。ただし、リストにはアプリの詳細ページへのリンクが示されていないため、単なる同名アプリが含まれている可能性もある。

App Storeでは過去にもiOS用のマルウェアが発見されているが、今回のように多数の感染アプリが発見されるのは初めてのことだ。

iOS 9ではSafari向けの広告ブロック拡張機能を提供できるようになったことから、広告ブロックをめぐる議論が白熱している(VentureBeatの記事、 The Guardianの記事)。

広告ブロック拡張機能はiOS 9がリリースされた直後から人気を集め、複数がApp Storeの有料アプリランキング上位に登場。米国の有料アプリランキングではiOS 9リリースから24時間経たないうちに、トップ5の3つを広告ブロック拡張機能が占めたという(The Vergeの記事、 The Guardianの記事)。

しかし、最も人気があった「Peace」が2日間で公開を終了。開発者のMarco Arment氏はPeaceの問題点として、すべての広告をブロックしてしまい、柔軟な処理ができない点を挙げている。これにより、広告によるサポートが必要なコンテンツにも影響を与えてしまうことを懸念しているようだ。問題を解決するには自分ができることよりも複雑なアプローチが必要だとも述べており、より優れた「Purify Blocker」や「Crystal」の使用を推奨している。9月21日夕方の時点では米国の有料アプリランキング1位はCrystal、Purifyは3位となっており、Crystalは日本の有料アプリランキングでも1位になっている。Peaceの購入者はそのまま使い続けることもできるが、返金手続きを行うことも可能だ(Marco.orgの記事、 BetaNewsの記事)。

The Vergeの記事ではiOS 9でのコンテンツブロックサポートについて、広告を大きな収入源とするGoogleへの攻撃だと指摘。Web広告をブロックする一方で、広告のブロックができない「Apple News」にパブリッシャーを誘導しているとも述べている。しかし、このような争いの影響を最初に受けるのは、独自プラットフォームでの記事配信やネイティブ広告への投資が難しい小規模なパブリッシャーだという。また、広告の規模が縮小し、注目度が低下すれば、Webでのイノベーションの速度も低下する。これにより、Webはゆっくりと死に近づいていくだろうと述べている。

Appleのコードレビューでも発見されない、マルウェアに感染したiOSアプリを生成するXcodeの改造版が見つかったそうだ(Palo Alto Networksの記事[1]、 [2]、 Neowinの記事、 Softpediaの記事)。

「XcodeGhost」と名付けられたXcodeの改造版は中国のiOS開発者によって発見され、Palo Alto Networksが詳細を確認した。XcodeGhostは悪意のあるコードを仕込んだMach-OオブジェクトファイルをXcodeに追加し、XcodeのインストーラーにリパッケージしてBaiduのファイル共有サービスにアップロードされていたという。Palo Alto Networksの報告を受けて、BaiduではXcodeGhostを削除している。Xcodeのインストーラーは3GB近くあり、中国ではAppleのサーバーへの接続速度が遅いため、他のソースからのダウンロードがよく行われているそうだ。

悪意のあるコードが仕込まれているのはCoreServices用のオブジェクトファイル。XcodeGhostでiOSアプリをコンパイルすると、開発者に知られることなく悪意のあるCoreServicesファイルが追加される。悪意のあるコードに感染したiOSアプリは実行時にシステムやアプリの情報を収集してC&Cサーバーに送信する。また、ユーザーの認証情報をだまし取るために偽のアラートダイアログを表示するほか、特定のURLを乗っ取ってiOSやiOSアプリの脆弱性を攻撃したり、クリップボードのデータを読み書きしたりすることも可能だという。

感染したiOSアプリはAppleのコードレビューでも発見されず、少なくとも39本がApp Storeで公開されていたという。多くは中国向けのアプリだが、インスタントメッセンジャー「WeChat」のように中国以外でも使われているアプリも含まれる。このほか、「Mercury」「WinZip」「Musical.ly」といったアプリもリストアップされている。なお、WeChatに関しては、既に悪意のあるコードを除去した更新版に差し替えられているとのことだ。

なお、XcodeGhostは正規のXcodeに悪意のあるオブジェクトファイルを追加しただけのものだ。そのため、マルウェアが直接Xcodeのディレクトリーにオブジェクトファイルをドロップする可能性もある。悪意のあるコードはAppleのコードレビューを通るほど深く隠されているため、ユーザーや開発者が感染したアプリを識別することは困難だ。アプリ開発者は常にAppleから直接入手したXcodeを使用するだけでなく、怪しいファイルが追加されていないか定期的に確認する必要があるとのことだ。

あるAnonymous Coward 曰く、

AudoCADだけでなく、Mayaや3ds Max、Softimageといった3DCGツールを販売しているAutodeskが、今度はゲームエンジン分野に参入するようだ。「Autodesk Stingray」という名称で、8月19日より提供が開始されている。価格は月額5,000円から（Autodeskの発表）。発表自体は先月の話なのだが、徐々にこのエンジンについての細かい話が出始めているのでこれを気にタレコみたい（4Gamer）。

現在では多くのゲームデベロッパーが外部のゲームエンジンを使用してゲームを制作しており、UnityやUnrealなどが有名だ。これらのゲームエンジンを利用する場合でも、3DCGの制作にはAutodesk製品が使われることが多いため、Autodeskが自前のゲームエンジンをリリースするというのは自然な流れの様に見える。とはいえ、Game WatchによるとAutodeskが買収してきたさまざまな技術を合体させたものになっているとのことであり、またまだ実績も少ないので評価としては未知数となるが……。

なお、Mayaの廉価版であるMaya LT（月額4,000円）を利用している場合、無償でStingrayが利用可能になるとのこと。方向性としてはまずは中小規模デベロッパー向けに導入してもらいたいようだ。

Hamo73 曰く、

2013年に「厚労省の診療データベース、データの不備によって突き合わせできず 」という話があったが、このシステムはまだ改修されておらず、活用されていないそうだ。そのため会計検査院が厚生労働省に対しシステムを改修するよう求めたという（NHK、日経新聞）。

厚労省は2012年の時点で照合率の低さを把握していたと見られており、2013年には報道もされたもののその後も適切な対応を怠っていたことから、会計検査院からの指摘が入ることになったようだ。なお、厚労省はこれを受け今年7月に民間業者と改修契約を結んだという。

厚労省は「すでに集めたデータも照合できるように今年度システム改修を進める」としているが、ハッシュ値を直すには原データが必要だろう。全データの入れ直しになるのではないだろうか。

headless 曰く、

日本の銀行が提供しているネットバンキングサービスを狙うマルウェア「Shifu」がIBM Security X-Forceにより発見された（IBM Security Intelligence、The Register、Softpedia、ITProPortal）。

ShifuはShizやGozi、Zeus、Dridexといった過去にソースコードが流出したバンキングマルウェアで効果が確認されているメカニズムを流用しており、開発者はバンキングマルウェアに関する高度な知識を持っていると考えられるという。

Shifuは日本の銀行14行と、欧州で使われているいくつかの電子バンキングプラットフォームをターゲットにしているが、現時点でアクティブな攻撃が確認されているのは日本だけだという。攻撃は早ければ2015年4月には始まっていたとみられるとのこと。なお、Shifuは「thief」を日本語風に読んだ「シーフ」から名付けられたそうだ。

Shifuの主な機能は認証トークンファイルの取得やキーロガーによるパスワード取得、Javaアプレットからのトークン取得などで、Webインジェクションによる追加の認証情報などの取得も行う。セキュリティーツールの無効化やシステムの復元ポイントの削除、自分自身をWindowsのファイルシステムから隠す機能も搭載されている。このほか、POS端末からカード情報を取得する機能や、他のマルウェアの実行をブロックする機能も搭載されているとのことだ。

headless 曰く、

Google Chromeの今後のバージョンには、バックグラウンドで開いたタブが選択されるまでメディアの自動再生開始を延期する機能が搭載されるそうだ（François Beaufort氏のGoogle+への投稿、Chromium Code Reviews: Issue 1292433002、The Register）。

Chrome 32以降では音声再生中のタブにインジケーターが表示されており、設定によりタブのミュート機能を使用することも可能だが、自動再生の延期機能が追加されることで、あわててバックグラウンドのタブを探す必要がなくなる。

なお、コンテンツのプリロードが指定されていればバックグラウンドのタブでも読み込みは実行されるが、ユーザーが実際にタブを選択するまでは再生が開始されることはないという。この機能を搭載したChromeはDevチャネルですでに提供開始されており、一般向けにはChrome 46で利用可能になるとのことだ。

iOS 9ではWebサービスを使用するアプリのセキュリティーを高めるためにApp Transport Security(ATS)と呼ばれる機能が導入されるのだが、Google Mobile Ads SDKを使用するiOSアプリ開発者に対し、GoogleがATSを無効化する手順を紹介したことで批判を受けている(Google — Ads Developer Blogの記事、 9to5Macの記事、 Re/codeの記事、 Motherboardの記事)。

ATSのデフォルトでは、アプリがWebサーバーに接続するにはHTTPSが必須となる。しかし、すべてのモバイル広告がHTTPS化されているわけでないので、一部の広告がアプリ内で表示されない可能性がある。Appleは「App Transport Security Technote」で例外のドメインを設定する手順を説明しているが、GoogleではHTTPSへの移行を推奨しつつ、アプリから接続するすべてのドメインをまとめて例外に設定するためのサンプルコードを掲載。移行が完了するまで確実に広告を表示するためとして、この設定の一時的な使用を推奨している。

「HTTPS everywhere」の方針を進めているGoogleが自ら無効化を推奨したことに対し、Re/codeではプライバシーよりも広告を優先したなどと批判。EFFのJacob Hoffman-Andrews氏もGoogleの提示した一時的な処置は対象が限定されておらず危険であると批判し、この設定を使用しないように呼びかけているという。

その後Googleはブログ記事を更新し、iOS 9に関する情報が欲しいとの開発者からの要望を受けてオプションの概要を紹介したかったとする説明を追加した。また、どうしてもATSに対応できない場合のみ無効化を考えるべきだとも述べている。

Mozillaは21日、Firefoxの拡張機能に関する大幅な変更の計画を発表した(Mozilla Add-ons Blogの記事、 VentureBeatの記事、 Ars Technicaの記事、 Neowinの記事)。

Mozillaでは現在、「WebExtensions」と呼ばれるBlink互換の拡張機能APIの実装を進めている。WebExtensions APIを使用することで、ChromeやSafari、Operaと互換性のある拡張機能を開発できるようになり、将来的にはMicrosoft Edgeの拡張機能とも互換性を持たせることが可能になるとみられている。

また、MozillaはElectrolysisプロジェクトでFirefoxのマルチプロセス化を進めており、12月15日にはElectrolysisを有効にしたFirefox 43をリリース予定だという。そのため、今後の拡張機能開発はElectrolysisと完全な互換性のあるWebExtensionsに移行していくものとみられる。なお、CPOWはElectrolysisを有効にしたFirefoxのリリースから6か月後に非推奨となる。XULとXPCOM、XBLを非推奨にする時期については決定していないが、今後12か月～18か月の間が想定されているようだ。

Mozillaは拡張機能開発者に対し、Electrolysisに対応したアドオン開発のガイドラインに目を通すことや、既にデフォルトでElectrolysisがオンになっているFirefox Developer Editionでアドオンのテストを実行すること、アドオンからCPOWへの依存を除去すること、既存の拡張機能をWebExtensionsに移行するための検討を始めることを推奨している。このほか、9月22日にリリース予定のFirefox 41では、すべての拡張機能に対しMozillaによる承認と署名が必要になるとのことだ。