headless曰く、

Googleは6日、検索結果にサイト多様性を持たせる変更の実施を発表した(Google SearchLiaisonのツイート、9to5Google、Android Police)。

Google検索では検索条件により、上位に同じサイトばかりがいくつも表示されることがある。サイト多様性の変更はこのような結果になることを避け、さまざまなサイトからの情報が表示されるようにするためのものだという。ただし、同じサイトであっても関連性の高い情報が含まれている場合には複数が上位に表示されることもある。サブドメインは主ドメインと同じサイトとして扱われるが、この場合も関連性によっては両方が表示されることもあるそうだ。なお、今回の変更は3日からロールアウトした6月のコアアップデートとは別の変更とのことだ。

headless曰く、

Twitterは8日、スパム対策として1日にフォロー設定可能なアカウント数の上限を1,000件から400件に減少させたことを発表した（Twitter Safetyのツイート、Yoel Roth氏のツイート、Neowin、Mashable）。

1日に400件以上のフォロー設定を行うアカウントの半数は同じアカウントへのフォローとフォロー解除を繰り返す「チャーニング」行為を行うスパマーだという。上限を400件に減らしても迷惑行為を止めることはできないが、スパムアカウントの効率を低下させ、運用コストを上昇させることで活動を鈍らせることが狙いらしい。

ほとんどの人にとって1日400件でも多すぎるぐらいだが、カスタマーサービスにDMを使用する企業では多数のフォロー設定が必要になることもあるため、この上限値を選択したようだ。その結果、Twitterユーザーの99.87%は上限の変更による影響を受けないとのことだ。

なお、Twitterのヘルプ記事によると、認証済みアカウントでは引き続き1日1,000件までのフォロー設定が可能となっている。

Microsoftは12日、Windows 7でサポート終了に向けた通知の表示を4月から開始する計画を明らかにした(Windows Experience Blogの記事、 BetaNewsの記事、 Neowinの記事、 On MSFTの記事)。

通知はWindows 7サポート終了前の移行準備に必要な情報提供をするためのもので、2019年中に繰り返し表示されるとのこと。ただし、それ以上通知を受け取りたくない場合は無効にすることも可能だという。Windows 7のサポート終了とWindows 10への移行に必要な情報はwww.microsoft.com/windows7で今すぐ確認することも可能だ。

Windows 7の延長サポートは2020年1月14日で終了する。Office 2010も2020年10月13日で延長サポート終了となるが、何らかの通知が行われるかどうかについては触れられていない。

headless曰く、

「Setup for Amazon Alexa」というiOS向けの偽アプリが一時米国のApp Storeでチャート上位に入っていたようだ（9to5Mac、VentureBeat）。

アプリの説明にはデバイスを正しく設定する手順や重要なコマンドを教えると書かれている。しかし、起動するとユーザーのIPアドレスやデバイスのシリアルナンバー、「name」の入力を求めるだけで、Amazon Alexaのセットアップはできないという。その一方でポップアップ広告が繰り返し表示されるようになるとも報告されていた。

ホリデーシーズンでAlexaデバイスを新規に購入したり、プレゼントでもらったりしてセットアップに悩む人が多いとみられ、米国のiTunesでは一時「無料App」カテゴリーで60位、ユーティリティ部門で6位に入っていたとのこと。Internet Archiveには12月23日のスナップショットのみが保存されているが、この時点ではユーティリティ部門25位となっている。

アプリの開発元One World Softwareは他にも2本のアプリをApp Storeで公開（Internet Archiveのスナップショット）していたが、現在はSetup for Amazon Alexaを含めすべて削除されている。One World Softwareのプライバシーポリシーでは個人情報を入力しなければサービスを提供しないこと、ユーザーの位置情報も収集すること、収集した情報はマーケティング目的でサードパーティーと共有することなどが記載されている。

昨年はAppleの審査をくぐり抜けてApp Storeで公開された偽アプリがたびたび発見されている。9月にはMac App Storeで公開されていた「Adware Doctor:Anti Malware &Ad」が報告の1か月後に削除されており、先日はユーザーをだましてTouch IDによる支払いを実行させる複数のiOS向け偽フィットネスアプリが削除されている。

メール受信者を殺害するよう依頼されたが、金を払うなら見逃す、と脅迫する詐欺メールをBleeping Computerが入手し、全文を公開している(Bleeping Computerの記事、 HackReadの記事)。

下手な英文で書かれたメール本文は、差出人がターゲットを殺害したり、負傷させたりする仕事をダークウェブで請け負っており、今回のターゲットがメール受信者であるという説明から始まる。代金は4,000ドルだが支払いは仕事の後であり、しばしば殺し屋を消すことになるなど負担が大きいため、受信者が1,200ドルをビットコインで支払うなら殺し屋を送らず、依頼人に関する情報も提供すると述べている。

まだ実際にだまされた人はいないようで、記載されているビットコインアドレスに入金された形跡はないとのことだ。同様の詐欺メールはこれまでにも米国で出回っており、FBIが注意喚起していた。

最近AppleがiOSユーザーの一部に対し、さまざまな宣伝を立て続けにMusicアプリやTVアプリを通じてプッシュ通知し、批判を浴びているようだ(9to5Macの記事、 Mac Rumorsの記事、 The Vergeの記事)。

Appleが宣伝をプッシュ通知するのは初めてではないが、今月に入ってからiPhoneを下取りに出した場合のiPhone XRの価格や、Carpool Karaokeの新エピソードの宣伝、Apple Musicサブスクライバーを対象にしたHomePodの宣伝などがプッシュ通知されたという。さらに18日にはAmazon EchoでApple Musicが利用可能になったことを知らせるメッセージがプッシュ通知されたとのこと。設定で通知を無効化することは可能だが、必要な通知だけを選択的に受信することはできない。そのため、希望しないプッシュ通知を受け取ったユーザーは、Appleからスパムが送られてきたなどと批判している。

なお、App Store Reviewガイドラインの4.5.3では「スパム、フィッシング行為のため、または要求されていないメッセージを送信するために、Game Centerやプッシュ通知などのAppleサービスを使用することは許可されません」との記述があり、4.5.4には「プッシュ通知を広告、キャンペーン、ダイレクトマーケティング目的、または重要な個人情報や秘密情報を送信するために使用することは許可されません」とも書かれている。

taraiok曰く、

世界規模で「迷惑電話」が増加しているそうだ（VB、Slashdot）。

2018年における全世界での詐欺や勧誘などの迷惑電話の件数は、前年に比べ300％も増加したそうだ。ストックホルムに本拠を置く電話番号識別サービス「Truecaller」が発表した年次報告書によれば、今年の1月から10月の間に世界中のユーザーが約177億回の迷惑電話を受け取ったとされる。この報告書によると、迷惑電話の増加には、通信事業者にも強い責任があるという

興味深いのはブラジルでの迷惑電話の急増だ。ブラジルは現時点で世界でもっとも迷惑電話の多い国になっているという。ブラジル国内におけるスパム発信者の32％は電気通信事業者から送られていた。報告書は、ブラジルで行われた総選挙が迷惑電話を引き起こす原因であるとしている。

昨年最も迷惑電話の多かったインドは1.5％ほど減った。米国のユーザーが受信した迷惑電話も、昨年の1か月20.7件から16.9件にまで減少、同様にイギリスも9.2件から8.9件に低下している。しかし、スペインでは100％増、ギリシャも54.1％増、イタリアは22.7％増と、ほかの欧州市場では迷惑電話が急増している。アメリカ人のうち10人に1人が電話詐欺で金銭的な被害を受けている。詐欺行為により米国では89億ドルの総損失が発生しているという。

Appleは11月30日、インド電気通信規制庁(TRAI)が開発したiOSアプリ「TRAI DND — Do Not Disturb」をインドのApp Storeで公開した(VentureBeatの記事、 The Next Webの記事、 9to5Macの記事、 Cult of Macの記事)。

TRAI DNDはインドで大きな問題となっているスパム電話/SMSの対策としてTRAIが開発したアプリ。着信/メッセージ履歴からスパムを選択して電話番号を携帯電話キャリアに登録することで、ブロックが可能になる。既にAndroid版はGoogle Playで入手可能となっていたが、Appleはプライバシーポリシーに違反するとしてApp Storeでの公開を拒否していた。

そのため、インド政府はAppleが反スパムの取り組みに協力しなければ法的手段をとると述べており、TRAIはAppleがアプリの公開を拒否し続けた場合、6か月以内にインドの携帯電話ネットワークから切断するようキャリアに求める新規制を7月に発表している。

iOS版のDNDアプリは拡張機能を通じて電話/メッセージアプリからスパムの報告を可能にするiOS 12の新機能を使用しているとみられ、アプリ側で履歴を収集して報告するAndroid版とは別物のようだ。

あるAnonymous Coward曰く、

Twitterがスパム報告機能の一部をアップデートしたようだ（The Verge、GIZMODO Japan、ITmedia、Slashdot）。

これによると、不適切な投稿をスパムとして「報告」する際に「偽物のアカウントがツイートしています」「有害なサイト、悪意のあるサイト、またはフィッシングサイトへのリンクが含まれている可能性があります」といった理由を選択できるようになった。

なお、Twitterチームにレポートを送った後、どのような処理が行われるかについては不明。先日Twitterでは、ユーザーから「脅迫」として通報された投稿をルール違反と見なさず削除しなかったというトラブルも発生していた（ITmediaの別記事）。

採掘のできない暗号通貨を含むAndroid向けの偽採掘アプリが多数発見されたとして、Fortinetが注意喚起している(Fortinetのブログ記事、 Softpediaの記事)。

膨大な計算が必要となる暗号通貨取引等の検証に協力することで報酬を得る採掘(マイニング)は、消費電力増大やWebサイトへのスクリプト埋め込みなどが話題になることも多い。ただし、暗号通貨の中にはRipple(XRP)やTether(USDT)のように採掘の仕組みを用意していないものもあり、こういった暗号通貨への対応をうたう採掘アプリは確実に偽物だ。Rippleの偽採掘アプリはESETが2月にGoogle Playで公開されているのを発見・報告しているが、今回の偽採掘アプリはGoogle Play以外でAPKを配布する、いわゆる野良アプリらしい。

偽採掘アプリの画面には、採掘した暗号通貨の金額とハッシュ値の計算速度表示、「START」ボタンが配置されている。STARTを押すと現在の計算速度が表示されるのだが、数字は単に乱数を生成して表示しているだけだという。また、暗号通貨の採掘量は関数が実行されるたびに一定の数値を加算するだけのようだ。メニューには採掘した暗号通貨を引き出すオプションも用意されているが、確認画面で「Yes」を選ぶとワレットのアドレスが正しくないといったエラーメッセージが必ず表示され、決して引き出すことはできない。

このアプリの開発者「lovecoin」は暗号通貨の名前部分を入れ替えた同様のアプリを複数公開しているという。アプリには広告を表示するコードが含まれており、広告収入を得ることが目的とみられる。そのため、Fortinetではこれらのアプリについて、ユーザーをだましてアドウェアをダウンロードさせるものだと述べている。

Facebookは9月28日、「プロフィールを確認」ツールの脆弱性により、5,000万件近いアカウントのアクセストークンを攻撃者が不正に入手していたことを明らかにした(Facebookのニュース記事)。

「プロフィールを確認」は、他のユーザーが自分のプロフィール画面を見た場合の見え方を確認するツール。表示画面は閲覧のみを意図したものだが、メッセージ送信用のUIが誤って有効になっていたため、動画の投稿も可能だった。動画アップローダーにはFacebookモバイルアプリ用のアクセストークンを生成する機能が誤って搭載されており、「プロフィールを確認」画面内では見え方を確認しようとした他のユーザー用のアクセストークンを生成していたという。攻撃者はこれら一連のバグを悪用して他のユーザーのアクセストークンを入手していたとのこと。

Facebookでは脆弱性の修正および捜査機関への通報、影響を受けた5,000万近いアカウントおよび影響を受けた可能性のある4,000万アカウントについてアクセストークンをリセットしたほか、「プロフィールを確認」機能を一時的に無効化している。アクセストークンがリセットされた約9,000万アカウントはログアウト状態となり、再度ログインするとニュースフィードの先頭に通知が表示されるという。なお、パスワードが不正アクセスを受けたわけではないので、変更の必要はない。

GoogleがGoogle Playのデベロッパーポリシーを更新し、暗号通貨採掘アプリを禁止した(Android Policeの記事、 SlashGearの記事)。

禁じられるのは端末上で暗号通貨の採掘(マイニング)を実行するアプリで、採掘をリモート管理するアプリは認められる。また、子供を引き付けるキャラクターなどを使用した成人向けテーマのアプリや、爆発物や銃器などの販売を促進するアプリも禁じられた。

このほかコンテンツの繰り返し禁止ポリシーが追加され、他のアプリのコンテンツをコピーしただけのアプリや、「コンテンツやユーザー エクスペリエンスがほとんど同じ」複数のアプリの公開が禁じられた。このポリシーにより、同じアプリの広告付き無料バージョンと広告なし有料バージョンを公開している開発者からは、一方が公開停止になったとの報告も出ている。

headless曰く、

インド電気通信規制庁（TRAI）が先日発表した新規制では、Appleが対応しなければiPhoneがインドの携帯電話ネットワークに接続できなくなる可能性がある（India Today、The Economic Times、Neowin、VentureBeat）。

昨年TRAIは音声通話やSMSによるスパムへの対策として、スパムのブロックや通報ができるモバイルアプリ「Do Not Disturb（DND）」を開発した。DNDはGoogle Playでは公開されたが、Appleはプライバシーポリシーに違反するとしてApp Storeでの公開を拒否。TRAIとの度重なる話し合いにもかかわらず、現在も公開されていない。

TRAIの新規制では、当局または当局の承認により作成されたモバイルアプリを苦情受付などの手段の一つとして顧客に提供する必要がある。キャリアに対しては、こういったアプリの実行が許可されないスマートフォンデバイスを6か月以内にネットワークから切断するよう求めている。

そのため、アプリをインストールするかどうかはユーザーの自由だが、AppleがApp StoreでのDNDアプリ公開を認めなければ規定に抵触することになる。インド政府は反スパムの取り組みにAppleが協力しなければ法的手段をとるとも述べており、この規定はAppleを念頭に置いたものとみられる。一方、アプリの実行ができないことを理由にネットワークからの切断を強制するのは越権行為との見方も出ているようだ。

「スパムメール」などの語源ともなった米ホーメルの加工肉缶詰「SPAM」に金属片が混入したとして、約103トン分のSPAMなどが回収となったという（CNN）。

対象の製品は「SPAM Classic」で、該当する製品コードは「F020881」から「f020889」とのこと。国内で販売されている商品がこれに該当するかは不明。

headless曰く、

Chromeウェブストアではたびたび偽の拡張機能が公開されて問題となっているが（過去記事1 、過去記事2）、ここ数か月の間に怪しいサイトへ誘導しようとする「テーマ」が増加しているらしい（TorrentFreakの記事）。

問題のテーマは名称に映画のタイトルやオンラインで無料再生できることを示す表現が含まれる。たとえばキーワード「watch movie online」でテーマを検索すると15本がヒットする。

実際にテーマをインストールしてみてはいないが、15本中12本は詳細画面の「ウェブサイト」をクリックすると「vioos.co」というサイトの該当作品ページが表示される。このサイトは海賊版ストリーミングサイトのようにみえるが、再生ボタンをクリックしても映画は再生されず、別のサイトのサインアップページへリダイレクトされる。リダイレクト先は複数あり、安全ではない・信頼すべきではないと評価されているサイトが多いようだ。

これらの中にはユーザー数が千人以上のテーマが複数あり、「free Watch Rampage Online Full Movie Download」というテーマは2千人を超えている。レビュー欄には仲間が付けたらしい高評価レビューや、詐欺だと非難するレビューのほか、テーマ自体を評価するレビューもみられる。

残り3本のうち2本は本物の海賊版ストリーミング/Torrentサイトが宣伝を兼ねて公開しているテーマのようで、名称にはオンラインで映画を無料再生できることを示唆する表現は含まれない。あと1本は上述の12本と同じ提供者名（▼Click To Watch Full Movie Now▼）になっているが、リンクは張られていなかった。