Microsoftからのアナウンスは特になかったようだが、Windows 10 Fall Creators Updateではベータ版のオプション機能としてOpenSSHが利用可能になっている(STHの記事、 BetaNewsの記事、 Ars Technicaの記事、 Softpediaの記事)。

オプションとして用意されているのはクライアントの「OpenSSH Client (Beta)」とサーバーの「OpenSSH Server (Beta)」で、「設定」アプリの「アプリ→アプリと機能→オプション機能の管理→機能の追加」から追加できる。追加後はコマンドプロンプトやWindows PowerShellなどのコマンドシェル上で実行可能だ。ただし、実行ファイルのインストールパス(%SystemRoot%\System32\OpenSSH)がシステムのPath環境変数に指定されているため、管理者権限でコマンドシェルを起動するか、パスを指定する必要がある。

Microsoftでは2015年6月にSSHのサポート計画を発表し、同年10月にWindows版のOpenSSHをGitHubで公開した。この際、2016年前半にリリースする計画を明らかにしていたが、その後の進捗状況については発表されていなかった。今回、STHが発見したことで各メディアに取り上げられているが、コマンドヘルプ以上の公式な情報は特に出ていない。

headless曰く、

GoogleがAndroid Developersサイトで公開しているプラットフォームバージョンごとのデータによると、Android 6.0 Marshmallowのシェアが30%を割り、メジャーバージョン1位～3位が20%台で並ぶ形になっている。

今回のデータは12月11日までの7日間にGoogle Playアプリが収集したもので、0.1%未満のバージョンは除外されている。1位のMarshmallowは1.2ポイント減の29.7%となり、2月に30%を超えて以来初めての20%台となった。2位のAndroid 5.x Lollipopは0.9ポイント減の26.3%、3位のAndroid 7.x Nougatは2.7ポイント増の23.3%となっている。

LollipopとNougatをバージョン別にみると、Android 5.0 Lollipopは0.3ポイント減の6.1%、Android 5.1 Lollipopは0.6ポイント減の20.2%。Android 7.0 Nougatは1.7ポイント増の19.3%、Android 7.1 Nougatは1.0ポイント増の4%で、Nougatの合計がAndroid 5.1 Lollipopを初めて上回っている。提供開始から3か月半が経過したAndroid 8.0 Oreoは0.2ポイント増の0.5%で、同時期のNougat（0.4%）よりも速いペースでシェアを獲得している。

このほかのバージョンでは変動なしのAndroid 4.3 Jelly Bean（0.9%）とAndroid 4.0.x Ice Cream Sandwich（0.5%）を除き減少している。Android 4.4 KitKatは0.6ポイント減の13.4%、Jelly Bean合計（4.1.x～4.3）は0.3ポイント減の5.9%、Android 2.3.x Gingerbreadは0.1ポイント減の0.4%となった。

Nougatは4月以降毎月2ポイント以上の増加が続いており、年明けにはLollipopを上回る可能性もある。

あるAnonymous Coward 曰く、

京都市の基幹系システム刷新プロジェクトが遅延し、京都市がその原因とされたシステム開発業者のシステムズ社との契約を解除したことは以前報じられていたが、京都市が同社を提訴する方針を固めたようだ（日経ITpro）。

京都市は支払った金額の一部や損害賠償金など合計約8億円の支払い求めるという。いっぽうのシステムズ社はすでに京都市に対し未払い分の約2億円を支払うよう求め提訴しており、訴訟合戦となるようだ。

開発中のシステムについては別の業者に構築を委託するようだが、今回トラブルとなったバッチシステムのマイグレーション作業については難しい点が多く、作業をできるベンダーが少ないことも記事では指摘されている。

あるAnonymous Coward 曰く、

Mirosoftが「Microsoft Quantum Development Kit」を公開した。無償でダウンロードが可能。

量子コンピューティングを行うためのツール集で、専用言語「Q#」や作成したコードの実行やデバッグ、テストを行えるシミュレータ、コード集などあら構成されている。シミュレータはPC上で動作し、約30量子ビット程度までのシミュレートが可能だそうだ。また、Microsoft Azure上でより大規模なシミュレートも提供するという。

headless曰く、

正規のAndroidアプリの署名を維持したまま内容を改変できるというAndroidの脆弱性「Janus」を発見者のGuardSquareが解説している（GuardSquareブログ、BetaNews、Register）。

Androidのアプリケーションパッケージ（APK）ファイルはZIPファイルであり、ZIPエントリの外側に任意のデータを挿入できる。しかしJAR署名スキームではZIPエントリのみを使用して署名の整合性を確認するため、ZIPエントリの外にデータが挿入されても署名は有効のままとなる。一方、Dalvik実行可能ファイル（DEX）は末尾に任意のデータを追加できる。そのため、DEXファイルの末尾にAPKファイルをつなげて1つのファイルにすることでDEXファイルとしてもAPKファイルとしても有効なファイルとなり、署名も維持される。

AndroidランタイムはAPKファイルからDEXファイルを抽出して実行するが、ファイルの種類を識別する際にDEXヘッダーを見つけるとDEXファイルとして実行してしまうのだという。Androidでは署名が異なるAPKファイルでインストール済みアプリをアップデートすることはできないが、悪意あるDEXファイルを正規のAPKファイルと組み合わせることで、正規のアップデートとしてインストールさせることが可能となる。こういったAPKファイルがGoogle Playで配布されることはないものの、ユーザーをだましてインストールさせることで、高い権限を持つシステムアプリを置き換えたり、バンキングアプリを偽物に置き換えたりといった攻撃が可能だ。

Android 5.0以降がJanusの影響を受けるが、Android 7.0以降で利用可能なAPK署名スキームv2ではAPKファイル全体が署名の検証対象になるため、v2署名を使用したアプリは影響を受けない。GuardSquareではこの問題を7月31日にGoogleへ報告しており、12月のAndroidセキュリティアップデートでCVE-2017-13156として修正されている。

argon曰く、

政府が天皇陛下の退位日を2019年4月30日とする政令を決定、5月1日より新元号となることが決まりました（朝日新聞、毎日新聞、NHK）。

これに対し、その対応について大手システムベンダーがコメントを出しました（日経ITproの記事1、記事2）。

これによると、NTTデータは「元号改正による修正は限定的」、日立製作所は「平成から新元号への対応は比較的容易」としているいっぽう、富士通は「洗い出しとテストの負荷が大きい」としています。

NTTデータや日立製作所は作業工数が不要だと受け取られそうな不用意なコメントですが、富士通は調査やテストの工数について言及していてさすがだなと思いました。

1月ほど前、Googleは一般ユーザー向けのAndroidアプリでユーザー補助サービスの使用を一切認めない旨の通知をアプリ開発者に送り、30日以内の対処を求めていると報じられたが、この方針が緩和されるようだ(Redditのスレッド、 Ars Technicaの記事)。

Redditユーザーが公表したGoogleからの電子メールによれば、現在Googleではユーザー補助サービスの責任ある革新的な使用について評価を行っており、評価が完了するまで30日間の期限は一時停止するとのこと。また、ユーザー補助機能を必要とするユーザー向け以外の機能で「BIND_ACCESSIBILITY_SERVICE」パーミッションを使用する場合、ユーザーの行動を監視する理由や、ユーザー補助サービスの各機能を必要とするアプリの機能の説明をパーミッション宣言の「android:description」に追加するよう求めている。

さらに、ユーザー補助サービスの責任ある革新的な使用をしていると考えるアプリの開発者に対しては、それがどのようにユーザーの役に立つのかを返信してほしいとも述べている。このようなフィードバックは、Googleがユーザー補助サービスの評価を完了するうえで助けになるとのことだ。

SiriとAlexaがユーザーからのセクハラ質問に毅然とした態度をとるよう、AppleとAmazonにプログラム変更を求めるオンライン署名運動をCare2が実施している(VentureBeatの記事)。

ほとんどのパーソナルデジタルアシスタントはデフォルトで女性の声が使われており、ユーザーのセクハラ質問に遭うことも多いようだ。Quartzの記事ではSiriとAlexa、Cortana、Google Homeを使い、各種セクハラ質問に対する応答内容を調査しているが、セクハラ質問にデジタルアシスタントが毅然とした態度で応答することは少なく、受け流した応答をすることが多かったという。時には喜んでいるかのような応答も聞かれたとのこと。

Care2では実際の人物ではないデジタルアシスタントが傷つくわけではないとしつつ、応答内容はセクハラを受けた現実の女性が仕事を続けるために見せる態度と同じようなものであり、セクハラが許容されている現状を変えるためにはデジタルアシスタントも毅然とした態度で応答すべきだと考えているようだ。目標の署名件数は1万件。9日夜の時点で9千件を超えている。

Androidアプリの開発に使われるIDEやAPKファイルの分析などに使われるツールにおけるXMLパーサーの処理に関連した脆弱性「ParseDroid」について、発見したCheck Point Researchが解説している(Check Point Researchの記事、 The Registerの記事[1]、 [2])。

Check Point Researchでは当初、Apktoolを調査していたという。ApktoolはAndroidのアプリケーションパッケージ(APKファイル)のデコンパイルとビルドが主な機能で、サードパーティアプリのリバースエンジニアリングによく使われるツールだ。ソースコードを調べたところ、XMLパーサーで外部実体参照(XXE)が無効化されておらず、細工したAndroidManifest.xmlを含むAPKファイルを処理させることで攻撃者が任意のファイルを取得できることが判明する。

insiderman 曰く、

MS-DOS時代に人気があったテキストエディタの1つに「VZエディタ」があった。その後Windows向けに「WZエディタ」という後継製品も出たが、いまいち流行らなかった記憶がある。しかしこのたび、このWZ Editorの後継版でありプログラミングに特化した「WZ Programming Editor 2」が発売されるようだ（窓の杜）。

現在はプレビュー版が無償公開されているが、今後4,800円（税抜）で一般販売される模様。

優秀な無料IDEが多数あるWindows環境において、どこまで利用者を増やせるのか注目したい。

headless曰く、

Windows Insider Programのシニアプログラムマネージャー、Brandon LeBlanc氏がInsider Previewビルドのリリース日を一覧できる「Flight Hub」を公開した（LeBlanc氏のツイート、On MSFT）。

Insider Previewのリリース情報はWindows Experience BlogやフィードバックHubで確認できるが、各リングでのリリース情報やマイナービルドの情報が追記されていくため、少しわかりにくいこともある。Flight HubではWindows 10 Creators Update（RS2）のRTMビルド（ビルド15063）以降、すべてのPC向けビルドがリストアップされており、各リングでのリリース日を確認できる。RS4ビルドではServerやIoT、ISO、SDKのリリース日も確認できるようになっている。ただし、モバイル版に関してはまったく触れられていない。

Windows Insider Programを率いるDona Sarkar氏のツイートによれば、LeBlanc氏はFlight Hubを作るためにコードを勉強したらしい。Flight Hubは現在のところプロトタイプの段階だが、いずれはWindows Insider ProgramのWebサイトやフィードバックHubに組み込むことも計画しているとのことだ。

headless曰く、

Googleは1日、「望ましくないソフトウェアのポリシー」の適用対象を拡大し、ユーザーの合意なく個人情報や端末情報を収集するAndroidアプリで警告を表示する計画を発表した（Google Security Blog、9to5Google、Register、BetaNews）。

アプリがユーザーの個人情報や端末情報を扱う場合、アプリ内でのユーザーへの通知とプライバシーポリシーの提供が必要となる。さらに、アプリの機能と関連しないデータを収集・送信する場合は事前に使用目的を明示し、合意を得ることも必要だ。データ収集の要件はアプリの全機能に適用され、たとえばクラッシュリポート送信時にアプリと無関係なインストール済みパッケージのリストを含める、といった場合にも使用目的を明示して合意を得る必要があるとのこと。

これらの要件はGoogle Play以外で配布されるアプリにも適用され、違反アプリでは今後60日以内にGoogle Play Protectまたはアプリを配布するWebページで警告が表示されるようになる。違反アプリによる警告の問題を解決するための情報を得るには、Search Console（要ログイン）やSearch Consoleヘルプを参照するといいだろう。また、アプリ開発者は「アプリの確認と異議申し立て」により、Google Playで配布するアプリだけでなく、Google Play以外で配布するアプリの確認を要求することも可能だ。このほか、Google Playで配布するアプリのユーザーデータに関するポリシーはDeveloper Policy Centerで確認できる。

あるAnonymous Coward 曰く、

年末が近づいてきた最近、突如Twitterで「#IT業界クソ現場オブザイヤー」というハッシュタグがブームになっている。その名の通り、「IT業界におけるクソ現場」での体験談を投稿するためのタグだが、投稿されている内容が色々と酷くて興味深い（Togetterまとめ）。

投稿されているものはリアルでありそうな話ばかりだが、まとめられているもの以外にもTwitterには多くの投稿が寄せられている（Twitterでの検索結果）。個人的には大量にRTされている「昭和と平成をtrueとfalseで持ってる某省庁」というのがクソ現場オブザイヤーだと思うが、それ以外にも酷い話が満載である。

Net Applicationsが公表しているブラウザーやOS、サーチエンジンなどのシェアデータ測定方法が変更され、過去のデータも含めて数字が変動した。その結果、デスクトップOSシェアの11月分でWindows 10が30%を超えている(Operating System Share by Version、 Operating System Market Share)。

旧データでWindows 10のシェアが30%を超えたことは一度もないが、新データでは9月に初めて30%を超えており(30.52%)、10月には再び30%を割っていた(29.86%)。11月分では2.09ポイント増の31.95%となっている。旧データ前月分との比較では2.69ポイント増になる。Windows 7は前月から0.07ポイント増の43.12%だが、旧データ前月分と比較すると3.51ポイント減。3位はWindows 8.1(5.97%)、以下Windows XP(5.73%)とMac OS X 10.12(3.87%)が続く。Linuxのシェア(1.64%)は大幅に減少したようにみえるが、新データではUbuntu(0.51%)やFedora(0.05%)などが別バージョンとして分離されたためで、OS種別データでは2.21%。Chrome OS(0.29%)はOS種別でもLinuxと別集計になっている。このほか、OS種別ではWindows(88.39%)やMac(9.05%)に加え、BSD(0.04%)が集計対象になっている。

新データの測定方法はNet Applicationsの提携サイトに対するユーザーのアクセスについて、非アクティブ時間が30分以上続かないものを1セッションとし、セッションをカウントしていくというものだ。これまでの測定方法は1日単位で全提携サイトへのユニークビジターをカウントするもので、あるユーザーが複数の提携サイトに何度アクセスしても1ビジターとしてカウントされていた。そのため、新データではアクセス回数の多いほどシェアが高くなるStatCounterの数字に近づいたとみられる。2016年12月分以降のデータを比較すると、旧データのバージョン別シェアはWindows 7が常に高め、Windows XPとMac OS X 10.12が常に低めになっていた。OS種別ではWindowsが常に高め、Macが常に低めとなっていたようだ。

Windows版のGoogle Chromeでサードパーティソフトウェアによるコードインジェクションをブロックする計画が発表された(Chromium Blogの記事、 VentureBeatの記事、 9to5Googleの記事、 The Registerの記事)。

Windows版Chromeではユーザー補助ソフトウェアやアンチウイルスソフトウェアなど、Chromeと一緒に動作するソフトウェアをおよそ3分の2のユーザーが使用しており、中には機能を実現するためにコードをChromeにインジェクトするソフトウェアも存在する。しかし、このようなソフトウェアを使用しているユーザーでは、Chromeのクラッシュが15%多く発生するという。現在ではChrome拡張やNative Messagingで同様の機能を実現可能になっており、コードインジェクションをブロックしても問題ないと判断したようだ。

変更は3段階で行われ、2018年4月にはChrome 66でクラッシュの発生したユーザーに対し、Chromeにコードをインジェクトするソフトウェアの存在を通知して更新や削除を促す。7月にはChrome 68でサードパーティソフトウェアによるコードインジェクションのブロックが開始される。ブロックによりChromeの起動が妨げられる場合、インジェクションを有効にしてChromeを再起動する一方、ユーザーにはソフトウェアを削除するように求める。2019年1月のChrome 72ではこのような暫定処置を終了し、コードインジェクションが常にブロックされるようになるとのこと。

なお、Microsoftが署名したコードやユーザー補助ソフトウェア、IMEについてはブロッキング対象から除外される。これらの変更に対応するため、開発者に対してはChrome Betaを使用した早めのテストが推奨されている。ただし、現在のDev ChannelはChrome 64、Beta ChannelはChrome 63なので、もう少し先の話のようだ。