あるAnonymous Coward曰く、

BuzzFeed Newsが入手した文書によると、ブリュッセルにある欧州連合（EU）の在ロシア大使館がサイバー攻撃を受け、ネットワーク経由で情報が盗まれたという。しかし、EUの対外安全保障政策機関である欧州対外行動局（EEAS）はこの事件について開示していないようだ（BuzzFeed News、Slashdot）。

この「サイバースパイ活動」は今年4月に行われた欧州議会選挙の前週に発見された。EUの外交安全保障政策上級代表であるFederica Mogherini氏はBuzzFeed Newsの問い合わせに対し事件の存在を認め、「モスクワ代表団の機密扱いではないネットワークに接続された。すでに対策は講じられており、現在は調査が行われている最中である。現段階ではこれ以上のコメントはできない」と回答している。

匿名情報筋や流出した文書によれば、攻撃の背後にはロシアがいるという。最初の攻撃は2017年2月から開始され、少なくとも2台のコンピュータに対し情報が盗まれた痕跡があるとのこと。攻撃でどれだけの情報が流出したのかは不明だという。

メールソフト「Thunderbird」を有志がビルドしてパッケージ化したものがMicrosoft Storeで提供されているとのこと。公開元の「Store Ports」はオープンソースソフトウェアをパッケージ化してMicrosoft Storeで公開する活動を行っており、ソースコードはGitHubで公開しているようだ（窓の杜）。

Thunderbirdはライセンスに従う限り自由な配布や改変が可能なオープンソースソフトウェアであるため、このように勝手にビルドして配布する行為については問題ないが、アイコンや名称についてはMozillaが商標登録を行っているため、そのままのアイコン・名称での配布は問題となる可能性がある。

Anonymous Coward曰く、

今年9月～10月に予定されているラグビーワールドカップの公式チケットサイトでシステムの不具合があり、本来の会場とは異なる会場が記載された状態でチケットが販売されるといったトラブルが発生しているという（読売新聞、日経新聞）。

問題となったチケットは、本来は横浜国際総合競技場で行われる準決勝のチケット。すでにこの準決勝のチケットは販売が終了していたにも関わらず、豊田スタジアムで開催と記載された状態でチケットが購入できる状況になっていたという。誤って販売されたチケットは911枚で、購入者はキャンセルか正規のチケットの購入かを選択できるという。

チケット購入者はその座席番号が確認できるのですが、5chのラグビーワールドカップのスレッドでは、豊田の座席番号が記載されていたとのことなので、別のデータベースを参照したのでしょうか。

チケットサイトはバグが多いようで、他にも以下のような現象が報告されています。

• チケット購入のログイン時間は30分にも関わらず、買い物かごにチケットを入れたままでログアウトしてもそのままキープできる（数日すると消される）
• 在庫のあるはずのチケットを買い物かごに入れようとすると在庫がないと表示される（上で買い物かごでキープされているからか？）
• 表示の上では在庫がないはずのチケットについて、一定の操作を行うと隠し在庫が表示できて購入できる（修正済み）

6月7日に大阪市のシステムで障害が発生、住民票や保険年金関係、介護保険関係などさまざまな業務で書面や証書の発行ができない状況になっていたという（大阪市の発表）。復旧作業は8日に完了し、10日より通常業体制に戻っているようだ（大阪市の続報、日経新聞）。

システム停止の原因は調査中とのことだが、データベースを管理するファイルに不具合があったことが報じられている。

headless曰く、

Googleは6日、検索結果にサイト多様性を持たせる変更の実施を発表した(Google SearchLiaisonのツイート、9to5Google、Android Police)。

Google検索では検索条件により、上位に同じサイトばかりがいくつも表示されることがある。サイト多様性の変更はこのような結果になることを避け、さまざまなサイトからの情報が表示されるようにするためのものだという。ただし、同じサイトであっても関連性の高い情報が含まれている場合には複数が上位に表示されることもある。サブドメインは主ドメインと同じサイトとして扱われるが、この場合も関連性によっては両方が表示されることもあるそうだ。なお、今回の変更は3日からロールアウトした6月のコアアップデートとは別の変更とのことだ。

headless 曰く、

Googleが安全保障上の問題を理由に、Android OSをHuaweiに対する輸出制限から除外するよう米商務省と交渉しているとFinancial Timesが報じている(VentureBeatの記事、 Ars Technicaの記事、 The Vergeの記事、 Bloombergの記事)。

米商務省は5月15日、米国のテクノロジーを販売・移転するのに産業安全保障局(BIS)のライセンスが必要となるエンティティリストにHuaweiを追加したが、5月20日には90日間の一時的な一般ライセンス(TGL)を発行している。これにより、Huaweiは8月19日まで輸出管理規則(EAR)で制限されない米国のテクノロジーを個別のライセンスなしで入手可能となっており、今後商務省ではTGLの期限を延長するかどうかの判断を行なう。

Googleが交渉しているのは、TGLの延長またはライセンスの免除だという。Financial Timesの情報提供者によれば、GoogleがAndroidを輸出制限から除外すべきと主張する根拠は以下のようなものだ。HuaweiがAndroidを入手できなくなればHuaweiはAndroidのオープンソース部分をフォークしたハイブリッド版のAndroidを開発することになる。ハイブリッド版はGoogle版と比べてバグが多くなることが予想され、Huaweiの端末が(特に中国により)ハッキングされる可能性が高まるとのこと。

GoogleはFinancial Timesに対し、商務省の措置を確実に順守するため同省と連携しているとしたうえで、同社が注力しているのは既存のHuawei端末を利用するGoogleユーザーのセキュリティを保護することだと述べたとのことだ。

一方、FacebookがWhatsAppやInstagramを含む同社のアプリについて、Huawei製端末へのプリインストールを停止したとReutersが報じている。ReutersではHuaweiに新たな一撃が加わったと述べているが、Android Policeの記事では最近のHuaweiに関するニュースの中で、ようやくいいニュース(ゴミアプリがプリインストールされなくなる)が出てきたと評している。

Microsoftは6日、Windows Updateで「更新プログラムのチェック」をクリックしたWindows 10ユーザー全員に対するWindows 10 May 2019 Update(バージョン1903)の提供開始を発表した(Windows Release Information、 Windows Updateのツイート、 Softpediaの記事)。

バージョン1903は5月21日から「更新プログラムのチェック」をクリックしたユーザーに対する段階的な提供を開始し、徐々に提供対象を拡大していた。Windows 10 バージョン1803/1809では5月に提供された累積更新プログラム(KB4499183/KB4497934)がインストールされていれば、「Windows 10、バージョン 1903の機能更新プログラム」が利用可能になったと表示され、「今すぐダウンロードしてインストールする」をクリックするまで処理は開始されない。ただし、11月12日にサービスが終了するバージョン1803は6月以降順次自動更新されるということなので、このオプションがいつまで利用できるのかは不明だ。

なお、Windowsの既知の問題点と修正に関する情報は、これまでの更新履歴ページからWindows Release Information(Windowsリリース正常性ダッシュボード)のページに移動している。バージョン1903の既知の問題点としては、システム言語がアップデート前後で変更された場合にWindows Sandboxがエラーコード0x80070002で起動に失敗する可能性がある、Dynabook Smartphone Linkが機能しなくなる、Intelの一部のディスプレイドライバーで画面の輝度調整ができなくなる、Dolby Atmosヘッドフォン/ホームシアターで音声が出なくなる、という4件が調査中となっている。その他の問題点については6件で回避策あり、5件が解決済み。「調査中」「回避策あり」に該当する環境では、アップデートの見合わせが推奨されている。

手元の環境では5日にバージョン1903が利用可能になったと表示され、インストールは1回失敗(再起動後に応答しなくなった)したが、2回目は問題なく完了した。インストール後のビルド番号は5月30日リリースのKB4497935が適用されたビルド18362.145となっていたが、5月15日にリリースされたFlash Playerのセキュリティ更新プログラム(KB4497932)と.NET Framework3.5および4.8の累積的な更新プログラム(KB4495620)は適用されていなかった。

Microsoftがストアアプリ向けに提供している広告SDKを通じた不正広告攻撃キャンペーンが4月から発生しており、1か月以上経過しても対策は行われていないようだ(Softpediaの記事、 The Registerの記事、 Bleeping Computerの記事、 Born's Tech and Windows Worldの記事)。

不正広告攻撃の内容としては、アプリのバナー広告に触れなくてもデフォルトブラウザーでWebページが開き、「賞品が当たった」「ウイルスに感染している」などと表示されるというもの。サードパーティー開発者によるアプリだけでなく、Microsoft製のアプリや、Outlook.comなど広告の表示されるMicrosoftのWebサイトでも発生しているらしい。MSDNのフォーラムでは4月17日にアプリ開発者が報告しており、4月19日にはMSDNのコミュニティサポート担当者が広告チームに伝えると回答している。しかし、その後の更新情報はなく、開発者やユーザーから不満の声が数多く投稿されている。修正予定なしとSDKチームから聞いたとのコメントもみられる。当初の報告はドイツのユーザーからのものだったが、英国やオランダからの報告も出ているほか、4月末にはフランスでも発生していたようだ。

Microsoftコミュニティーにボランティアのモデレーターが投稿した記事によれば、不正広告ページの中にはWindows Defender SmartScreenでブロックされるものもあるが、ドメイン単位でのブロックは行われていないという。また、偽のウイルス警告ページがダウンロードページにリダイレクトする偽セキュリティアプリはMicrosoftが望ましくない可能性のあるアプリケーション(PUA)に区分しているものの、Windows Defenderがマルウェアとして検出することはないそうだ。

MicrosoftはThe Registerに対し、同社がユーザーに無断でメッセージを送ることはなく、そのようなメッセージが表示されたらブラウザーのウィンドウを閉じればいいと述べるのみで、広告SDKの問題については触れなかったとのことだ。

Yahoo! JAPANがユーザーの信用度をスコア化して企業に提供するサービス「Yahoo!スコア」を開始する（ITmedia）。

各Yahoo! JAPANユーザーはデフォルトでスコア化が許可される状態になっており、拒否するには設定画面で明示的な設定が必要となる。

スコアは「本人確認」「信用行動」「消費行動」「Yahoo! JAPANサービス利用」の4カテゴリーとなっている（Yahoo!スコアのヘルプページ）。各カテゴリごとに利用データは異なり、たとえば「信用行動」ではヤフオクの取引実績やYahoo!ショッピングでのレビュー回数、Yahoo!知恵袋での投稿などがスコアに反映されるという。

提携企業がYahoo! JAPAN外のサービスでスコアを利用する場合、その外部サービスとYahoo! JAPAN IDを連係させる必要があり、ユーザーに対しては連係を許可する画面で収集されたスコアを提供する旨が表示される模様。

Anonymous Coward曰く、

Mozillaは、Firefoxを新規にインストールした環境で「サードパーティのトラッカーCookie」をデフォルトでブロックすると発表した。既にインストール済みの環境でも、数カ月のうちに自動的にブロックが有効になる（The Mozilla Blog、CNET Japan）。

以前過去記事（2018年中にサードパーティCookieが無効でもWebサービスが正常に動作するか確認を）でこの話題が取り上げられていたが、この記事内の「2019年初めにはサードパーティCookieのブロックをデフォルトで有効にする方針」という記述は誤りで、ブロックされるのは既知のトラッキング用のCookieのみとのこと（説明コメント、@d_toyboxによる指摘）。

昨年Mozillaが開始した既知の個人情報流出の影響を通知するサービス「Firefox Monitor」が、「Firefox Monitor 2.0」にアップデートされた（窓の森、Mozilla Blog）。

メールアドレスを入力すると、そのメールアドレスが過去に発生した漏洩情報などに含まれていないかをチェックできるというサービス。登録したメールアドレスに関する新たな情報漏洩が確認された場合に通知を行う機能も備える。Firefox Monitor 2.0では複数のメールアドレスを登録してまとめて監視できるようになったほか、分かりやすく状況を確認できるダッシュボードが追加された。

headless曰く、

MicrosoftがAndroid版Officeアプリのシステム要件を更新し、7月1日から最新の4メジャーバージョンでのみサポートすることを明記した(システム要件英語版、Neowin)。

これまでは「サポートされているバージョンのAndroid」にのみインストール可能としたうえで、KitKatとLollipopのサポートを2019年6月まで継続すると記載されていた。更新後も「サポートされているバージョンのAndroid」というあいまいな記述はそのまま残されているが、KitKatとLollipopのサポートに関する記述が最新の4メジャーバージョンでのみサポートするという記述に置き換えられている。なお、日本語版のシステム要件は現在のところ更新されていない。

Androidの最新4メジャーバージョンはMarshmallow・Nougat・Oreo・Pieであり、7月1日時点でサポートされるバージョンについては、これまでと変わらない。ただし、Androidの新しいメジャーバージョンがリリースされた時点で4つ前のメジャーバージョンのサポートが終了するとすれば、Android版Officeを利用可能なデバイスが大幅に減少することになる。

GoogleがAndroid Developersサイトで公表しているAndroidプラットフォームバージョン別シェアデータによれば、Nougat以降のメジャーバージョンがリリースされた時点で4つ前のメジャーバージョンはシェアが15%を超えている一方、最新メジャーバージョンのシェアが10%を超えるまでにはリリースから10か月前後を要する状況が続いている。Marshmallowは比較的速いペースでシェアが減少しているものの、5月時点でのシェアは16.9%だった。なお、5月時点での最新4メジャーバージョンのシェア合計は74.8%となっている。

匿名で運営されているサイト「netgeek」が名誉棄損を行っているとしてその責任を問う訴訟が行われているが（過去記事）、この訴訟の原告らはドメイン名登録代行業者が提供しているWHOIS情報公開代行サービスについても「違法行為の隠れ蓑になっている」と主張しているという（弁護士ドットコムニュース）。

Whois情報公開代行サービスは、ドメイン名登録者ではなくドメイン名登録代行業者の情報をWHOISデータベースに登録するサービス。たとえばGMOインターネットの「お名前.com」サービスでは有料オプションとしてこのサービスが提供されている。

netgeekは運営者が秘匿されていおり、netgeekが使用しているドメインについてはWHOIS情報公開代行サービスが使われている。原告らはこれについて次のように主張しているという。

登録申請者の連絡先をドメイン登録機関に提供しないことによって、違法な活動を行っても法的責任を追求されにくい状況を作り出し、インターネットをいわば無法地帯として活用したい人たちからの依頼を集めてその利益を極大化しようとしている

一方で、昨今WHOISデータベースでの連絡先情報公開が行われないケースは増えている。たとえばJPドメインでも、JPドメインの管理を行っているJPRSが公式にWhois登録者情報非表示設定を提供している。

Anonymous Coward曰く、

WHOIS上で名前や住所、電話番号が空欄になっているのはあたかもGMOインターネットのようなドメイン名登録代行業者が正確な情報を提供していないことと関係あるかのような書きっぷりだが、GMOのコメントにも書かれているとおり、これらの情報はGDPR施行以来（少なくとも.bizでは）一律でWHOISに公開されなくなったものであり、代行業者とは関係ない。たとえばnic.bizをWHOISで調べてみれば同じように空欄となっていることを確認できる。

小倉弁護士は、WHOISに連絡先情報がほとんど公開されなくなったことを知らないのではないか。まさかとは思うが、そうとでも考えないと氏の「独自ドメインを取らなくても、情報発信はできる」「サブドメインを使えば、whoisデータベースに情報を載せる必要はありません。独自ドメインを取るのであれば、責任の所在を明らかにすべきだと考えます」というコメントの説明がつかない。本当に知らないなら不勉強だし、知ってて（法廷戦術としてあえて）誤解させるような書き方をしているとしたら不誠実のそしりを免れないと思う。

欧州や日本などでGoogleなど大手IT企業に対する監視や規制を強化する動きがあるが、米国でもこういった動きが出始めているようだ。米下院司法委員会が日本の独占禁止法に相当する反トラスト法違反の可能性を視野にGoogle、Amazon.com、Facebook、Appleの4社に対する調査を始めるという。また、司法省や米連邦取引委員会（FTC）も調査を検討しているという（時事通信、日経新聞、読売新聞）

4社は多くのユーザーを抱えているが、その優越的な地位や収集したデータを独占的に利用して競争を妨げているのではないかという疑惑が出ている。

headless曰く、

Googleは信頼できるChrome拡張にするための対策を昨年発表しているが、これに関連するChromeウェブストアのポリシー変更が発表された（The Keyword、The Verge、The Next Web、Android Police）。

Googleではサードパーティー開発者によるGoogleアカウントやAndroidデバイスのデータへのアクセスを見直すProject Strobeを昨年から実施しており、今回のポリシー変更はその一環だという。Google+のコンシューマー向けサービス終了もProject Strobeの成果によるものだ。

まず、拡張機能はその機能の実装に必要なデータへのアクセスのみを要求することが求められる。ある機能を実装するのに利用可能なパーミッションが複数ある場合、アクセスするデータの量が最も少ないものを選択する必要がある。このように選択することは従来から推奨されてきたが、今後はすべての拡張機能で必須となる。また、これまでは個人情報を扱う拡張機能のみプライバシーポリシーの公開が必須となっていたが、変更後は個人の通信やユーザーによるコンテンツを扱う拡張機能が追加される。新ポリシーは今夏のロールアウトが計画されており、開発者が対応する時間をとれるよう事前に発表したとのこと。このほか、サードパーティーアプリによるGoogle Drive APIへのアクセス制限も合わせて発表されている。GmailはGoogle API Servicesユーザーデータポリシーを変更し、今年1月からサードパーティーアプリのデータアクセスを制限しているが、これと同様の制限をGoogle Driveにも課す計画だ。こちらは2020年初めから適用される。

Project Strobeとは別に、拡張機能を不正にインストールさせる手法を禁ずるChromeウェブストアの新ポリシーも同日発表されている。Googleは昨年、Chromeウェブストアでホストされた拡張機能を他サイトから直接インストールするインラインインストールを廃止しているが、他サイトからChromeウェブストアへ誘導する際に不正な手法が使われることもあったという。新たに禁止されるのは、拡張機能が具体的に何をするものなのか不明瞭または目立たないように説明する、拡張機能のインストール以外のアクションを実行するボタンなどからChromeウェブストアへ移動させる、Chromeウェブストアを表示する画面を小さくしてメタデータが表示されないようにする、といった3種類の手法だ。新ポリシーは7月1日から適用され、これを守らない拡張機能はChromeウェブストアから削除されるとのことだ（Chromium Blog、FAQ、Android Policeの記事[2]）。