momokaのブログによると、Cloudflareの1.1.1.1を使ったドメインランキングをみていたところ、日本からIPv6・IPv4間のプロトコル変換に利用されるIPアドレスを検出する際に使われるipv4only.arpaへの名前解決が大量に行われているという。この結果、先のドメインランキングにおいて、通常は人気がないはずのipv4only.arpaドメインが、 amazon.co.jpより上位にランクインしてしまうという状況が起きているそうだ（momokaのブログ）。

同サイトによると、おそらくネットワーク機器やソフトウェアによるDNSクエリの結果起きているものではないかとしている。この現象は特に日本国内で顕著に発生しており、ipv4only.arpaへのAAAAクエリの名前解決は、DNS64（およびNAT64）がネットワークに存在するかどうかを調べるために行われている可能性がある。ただ、その原因や理由は不明とのこと。同サイトでは、この現象を引き起こしている具体的なソフトウェアやネットワーク機器を特定したいと考えている模様。

headless 曰く、

Cloudflare による保護のメカニズムを Cloudflare を用いてバイパスする手法について、発見した Certitude が解説している (Certitude Blog の記事、 Bleeping Computer の記事)。

Cloudflare を利用して Cloudflare のバイパスが可能になる原因は、すべてのテナントが利用可能な共有インフラストラクチャーにある。攻撃が成立するにはターゲットが特定の保護の仕組みを使用していることに加え、攻撃者がターゲットの IP アドレスを知っている必要はあるものの、攻撃者は Cloudflare でカスタムドメインを作成して DNS A レコードでターゲットの IP アドレスを指定するだけでいい。あとはすべての保護を無効化したカスタムドメインを通じて攻撃を実行すれば、ターゲットのオリジンサーバーを攻撃できる。

攻撃が可能になる問題を含む保護機能としては、トランスポート層の「Authenticated Origin Pulls」とネットワーク層の「Allowlist Cloudflare IP addresses」が挙げられている。前者は「非常にセキュア」と区分されているが、証明書のオプションで Cloudflare の証明書を選択すると攻撃が可能になる。顧客が自前で用意したカスタム証明書を使用することで攻撃は回避できるが、使用は API で設定する必要があり、多くの顧客が Cloudflare の証明書を選択していると考えられるとのこと。

「中程度にセキュア」と区分される後者の場合、Cloudflare の IP アドレス範囲からの接続のみをオリジンサーバーが許可することによる保護機能だ。そのため、Cloudflare を利用した接続はすべて許可されてしまう。攻撃は Cloudflare Aegis を使用すれば回避できるが、すべての顧客が利用できるわけではない。

Certitude は HackerOne 報奨金プログラムを通じて報告したが、Cloudflare が報告を緊急の対応を必要としない「参考になる (Informative)」と区分してバグをクローズしたため、一般公開することにしたという。Cloudflare に対しては、これらの攻撃から保護する仕組みの導入を推奨している。

フランス競争当局 (ADLC) は 9 月 27 日、グラフィックスカード分野での反競争行為が疑われる企業の拠点に対し、予告なしの家宅捜索を裁判所の承認を受けて前日実施したことを明らかにした (プレスリリース、 The Register の記事、 Neowin の記事、 The Next Web の記事)。

本件は 6 月に公表されたクラウド市場における競争の調査報告書の内容を受けたものだという。ADLC では捜査対象となった企業名を明らかにしていないが、同日 NVIDIA への家宅捜索が行われたことが報じられている。報告書では今後のクラウド市場で競争に影響を与える可能性のある項目として、ChatGPT などの大規模言語モデル (LLM) などが挙げられており、生成 AI ブームの恩恵を受けて大きく成長した NVIDIA が捜査対象になったとみられる。

今回の家宅捜索は違法行為の存在を前提として行われたものではなく、必要に応じて本格的な捜査を行うとのことだ。

headless 曰く、

Microsoft が原子力技術のプリンシパルプログラムマネージャーを募集している (Microsoft Carrers、 The Register の記事、 On MSFT の記事、 Windows Central の記事)。

この役職は Microsoft Cloud や AI が使用するデータセンターに電源を供給すべく、小型モジュール炉やマイクロリアクターの世界的な導入を主導する役割を担うことになるようだ。製品化されていないその他のエネルギー技術の開発も担当する必要がある。志願者としてはエネルギー産業での経験と原子力技術と規制関連業務への深い理解を持つ人が理想的だという。基本給は年 133,600 ～ 256,800 ドル。サンフランシスコベイエリアやニューヨーク市大都市圏では年 173,200 ～ 282,200 ドルになる。

2030 年までにカーボンネガティブを目指す Microsoft では、再生可能エネルギークレジットや電力販売契約 (PPA)、施設内で発電した再生可能エネルギーによる再生可能電力への置き換えを進めており、2022 会計年度 (2022 年 6 月 30 日までの 1 年間) は電力消費の 100% が再生可能電力となっている (PDF)。しかし、AI 技術開発のためか電力消費量は大きく増加しており、データセンターでの発電量を大幅に増加する必要があるとみられる。

英競争・市場庁 (CMA) は 22 日、Microsoft による Activision 買収案で同庁の懸念がほぼ解消したとの見解を示した (プレスリリース)。

CMA では Microsoft の Activision 買収について、当初はクラウドゲーミング市場とコンソールゲーミング市場の両方で競争を阻害するとの暫定的な見解を示していたが、その後コンソールゲーミング市場では競争を阻害しないという暫定的な結論を示した。Microsoft が Activision を買収するには CMA の承認を得る必要があり、調整が行われていた。

Microsoft が 8 月に提出した新たな買収案ではクラウドゲーミングに関する権利を Microsoft は取得せず、買収手続き完了前に Ubisoft へ売却する計画が示されているという。新たな買収案で Microsoft は Activision のゲームを Windows 以外のプラットフォームへ移植することが義務付けられ、要求されたらエミュレーターのサポートに応じる必要もあるなど、クラウドゲーミング市場の競争を阻害するとの CMA の懸念をほぼ解消するものとのこと。

懸念が完全に解消されない理由としては Ubisoft への売却を回避するために利用可能な条項が含まれる点を挙げているが、Microsoft は Ubisoft への売却を CMA が強制可能な条件を提示しているそうだ。これにより懸念はすべて解消するとみられるが、CMA ではこの提案に対する意見募集のほか、Microsoft の Activision 買収を認めるかどうかの意見募集をそれぞれ 10 月 6 日まで実施するとのことだ。

ビジネスソフトウェア構築プラットフォームを提供する Retool がスピア型のフィッシング攻撃を受けたのだが、Google Authenticator によりその被害が大きくなったそうだ (Retool のブログ記事、 Ars Technica の記事、 Bleeping Computer の記事)。

複数の Retool 従業員は 8 月 27 日、ユーザーアカウントの問題で健康保険関連の登録が妨げられているといった内容のフィッシング SMS を受信する。社内ログインシステムの Okta への変更が告知された直後であり、社内ポータルに似せた偽の URL が添付されていたそうだ。一人だけ騙された従業員が多要素認証 (MFA) フォームを含む偽ポータルにログインすると、ディープフェイクボイスで社員になりすました偽の IT スタッフから電話がかかってくる。話をする間に従業員は疑いを深めていったものの、結局ワンタイムパスワード (OTP) を教えてしまったという。

OTP を入手したことで攻撃者は自分のデバイスを従業員の Okta アカウントに追加することが可能となり、Google アカウントにもアクセス可能となる。Google は Google Authenticator を複数デバイスで利用可能にする OTP 同期機能を 4 月に追加しており、普通にセットアップすると同期が有効になるよう誘導される。同期を有効にした状態で Google アカウントが侵害されれば、OTP コードもすべて侵害されることになる。

Retool ではさまざまな場面で OTP を使用しており、攻撃者は内部の管理システムにもアクセス可能になったという。これにより、27 の顧客アカウントも乗っ取りの被害にあったとのことだ。

headless 曰く、

Google DeepMind は 8 月 29 日、AI 生成画像のウォーターマーキングと特定を行うためのツール「SynthID」のベータ版を Google Cloud の協力により提供開始した (Google DeepMind のブログ記事、 Google Cloud Blog の記事、 The Verge の記事、 紹介動画)。

SynthID は画像のピクセルに直接ウォーターマークを埋め込むものだが、人間の目では認知不可能でありながら、ソフトウェアによる検出を可能にするという。人間の目で認知可能なウォーターマークは容易に編集で除去でき、認知不可能なウォーターマークであってもリサイズなど単純な加工で失われることが多い。SynthID のウォーターマークは画像品質に影響を与えず、フィルターの適用や色の変更、クロッピング、JPEG などの非可逆圧縮による保存にも耐えるそうだ。

SynthID は現在のところ、Vertex AI の顧客のうちテキスト入力から画像を生成する Imagen 利用者の一部に提供されているとのことだ。

headless 曰く、

Dropbox は 8 月 24 日、Dropbox Advanced プランでストレージ容量の使用量に応じて課金するストレージポリシー変更を発表した (Dropbox Blog の記事、 Ars Technica の記事、 Ghacks の記事、 Android Police の記事)。

Dropbox Advanced プランはビジネス向けに設計されており、チームの規模が大きくなってもストレージの容量を心配しなくても済むよう、無制限にストレージ領域を提供していた。しかし、チームで利用するためではなく、暗号通貨のマイニングや無関係な個人によるストレージ共同購入、さらにはストレージの再販などを行う契約者が増加していたという。特に最近数か月は他サービスでの同様のポリシー変更を受け、Advanced プランの目的外使用が急増していたそうだ。

これに対し、容認される使用目的と容認されない使用目的のリストを作るのは持続可能なソリューションではないため、容量制限を設けることにしたとのこと。同日より、Dropbox Advanced プランを 3 ライセンス購入した顧客にはチームで共有するストレージ容量が 15TB 割り当てられ、追加のライセンス 1 件ごとに 5TB ずつ増加する。

1ライセンスあたり 35TB 未満のストレージを使用している既存の顧客 (Advance 利用者の 99% 以上) については、通知を送った時点での使用容量に加えて予備の 5TB を 5 年間追加料金なしで提供。1 ライセンスあたり 35TB 以上のストレージを使用している 1 %未満の既存顧客に対しては移行を容易にするため、通知時点の使用容量 + 5TB (総計最大 1,000TB) を 1 年間追加料金なしで提供する。

追加の容量が必要な場合、新規顧客には 9 月 18 日から、既存顧客には 11 月 1 日から、月 10 ドル (年単位での購入時は月 8 ドル) で 1TB のストレージアドオンを提供するとのことだ。

Slackのレポートによると、日本は「忙しそうに見せるだけの無駄な仕事」に時間を費やしている国のトップ3に入っているそうだ。この調査は、9か国1万8000人以上の従業員を対象に「組織の生産性」「自動化」「柔軟性」に関する内容を調査したもの。調査によると、日本やシンガポール、インドなどのアジア諸国の従業員は、生産的な仕事よりも「忙しそうに見せるためだけの仕事」に多くの時間を費やしているという。これは、成果を出すための実質的な業務ではなく、チーム内での成果の発表などの形式的な業務を指す（Slackリリース、The State of Work in 2023[PDF]、CNBC、GIGAZINE）。

このような「パフォーマティブな仕事」をしている国別にランク付けした結果によると、インドが43％、日本が37％、シンガポールが36％、フランス31％、イギリス30％、オーストラリア29％、ドイツ29％、アメリカ28％、韓国28％と、日本は下から2番目に相当し、世界平均を大きく上回っている。一方で、生産的な仕事に費やす時間に関しては、日本やシンガポール、インドの従業員は他国と比較して少ないことが示された。生産的な仕事にの時間を割いて国のトップ3に当たる韓国が72％、オーストラリア71％、ドイツ71％比べて、日本の従業員は約63％と低い割合となっている。

この傾向は、日本やシンガポールなどの企業のリーダーが、従業員の評価を成果よりも目に見える活動に基づいて行っていることが要因とされている。これにより、従業員は目に見える忙しさを演出することに時間を費やし、生産性を低下させる結果となっているのだという。こうした評価方法は、従業員に対して長時間労働や即時のメール対応などのプレッシャーを与えているとされ、実際に70%の従業員が会議やメールの削減が生産性向上につながると感じているとの報告があるようだ。

Bambu Lab の 3D プリンターで 15 日、出力済みの造形物をもう一つ勝手に出力するトラブルが発生したそうだ (Bambu Lab のブログ記事、 The Verge の記事)。

Bambu によると、15 日には UTC 10 時 3 分から 11 時 10 分および、12 時 11 分から 12 時 23 分にクラウドで障害が発生していたのだという。これにより、送信したジョブの確認がシステムに届かない「ジョブジャミング」と呼ばれる現象が引き起こされる。そのため、実際には最初のジョブ送信で出力が完了しているが、復旧時にジョブが再送信され、予期しない再出力が行われるとのこと。混乱したユーザーがジョブを再送信してしまうこともあるようだ。

その結果、2 つ目の造形物が出力されるにとどまらず、出力済み造形物の上に同じ造形物が出力されて 3D プリンターが破損する事態も発生したという。3D プリンターの出力の仕組みから、火災の危険もある。Bambu は障害発生の原因を調査して再発防止に努めるほか、出力開始前に追加の確認画面を表示するなどの変更や、クラウド障害発生時にもリモートからプリントジョブを送信できる LAN Mode の開発を計画しているとのこと。

Bambu では今回の問題によりプリンターが破損したユーザーに対し、躊躇せず Bambu サポートに連絡するよう求めている。

読売新聞などの報道によると、デジタル庁は個人情報などを管理する政府クラウド（ガバメントクラウド）の提供事業者の選定方法を変更する方針を決定したそうだ。政府クラウドに関しては、現時点ではAWSジャパン、グーグル・クラウド・ジャパン、日本マイクロソフト、日本オラクルの米国のIT大手のみが選定されている状況になっているが、日本企業も提供できるようにする意図があるという（読売新聞、日経新聞、関連過去記事）。

現在の政府クラウドの提供事業者は、デジタル庁が公募して選定している。この選定方式に関して、デジタル庁は8月下旬にも新たな選定方式を公表し、2023年度の公募を始めるとしている。新選定方式により、10月下旬にも提供事業者を決める見通しとしている。

選定方針の内容に関しては330ほどの要件を1社で満たす必要がある現行ルールを改定し、企業連合での参入を可能にするというものになるようだ。これまで国内企業は事業規模やサービス内容などで要件を満たせない部分があったとしている。中でもシステムの開発から運用まで支援する体制の構築や、複数のデータセンターを使ったサービス、AIが機械学習する開発環境の提供などがハードルとなっていたという。新要件は現行の項目をおおむね維持しつつ、データ管理や認証などの中核技術を自社で担っていれば他社と共同でサービス提供することを認めるとしている。

Gizmodo が入手した CNET の内部メモによると、CNET では Google の検索結果でランキングが上がることを期待して古い記事を定期的に削除しているそうだ (The Verge の記事、 Gizmodo の記事、 Search Engine Roundtable の記事、 CNET の内部メモ: PDF)。

CNET が「content pruning」「content deprecation」などと呼ぶ古い記事の削除は、最新の情報を探す人を混乱させたり、いら立たせたりするような古い情報や余分な情報を整理して CNET ドメインの権威とユーザーエクスペリエンスを改善するのが主な目的だという。削除の決まった記事は事前に Internet Archive の Wayback Machine API を使用して保存されるそうだ。著者のページを Internet Archive に保存されたバージョンと見比べると、1 年ほどで数百～数千本の記事が削除された著者もいるようだ。

これにより、CNET が検索結果で他社よりも上に表示べき新鮮で価値のあるサイトであるとのシグナルを Google に送ることができるとのこと。CNET のような大型サイトでの SEO トラフィックを目的としたコンテンツ削除は業界で幅広く行われているとのことだが、Google は古いコンテンツの削除を推奨していない。

あるAnonymous Coward 曰く、

先日のActivision買収審議の際、Microsoftが提出した内部文書(現在は削除済) [Mirror]に、Windows 11のクラウド移行を進め、ユーザーが異なるデバイス間でWindows PCをストリーミング使用できるよう働き掛けてゆく旨の記述があり、各地で波紋を呼んでいる。

Microsoftは、将来的にWindowsをOffice 365のようなサブスクリプションモデルに移行させてゆきたいようで、最終的にはAndroidやiOS、ChromebookやMacOSといった異なるデバイスからWindows 365 Cloud PCやWindows 365 Frontlineのようなものを利用する形態になりそうだ。

元記事は少し前のものであるようだ。タレコミにあるようにComputerworldの記事によると、Microsoftは、Windows 11をクラウドに移行する計画を進めているという。Windows 365は現在、ビジネスとエンタープライズ向けに提供されているが、Microsoftは今後、コンシューマー向けにも提供を開始する予定と見られている。Windows 365は、Windows PC、Chromebook、Linux PC、iPadなど、さまざまなプラットフォームで実行可能。クラウド化が実現すれば、Windowsをほぼすべてのプラットフォームに導入できることになる。コンシューマ向けのWindows 365が月額いくらになるかは不明だが、記事によれば、ファミリーアカウントの場合、月額10ドルになるのではないかという憶測も出ているようだ（Computerworld）。

国立科学博物館は、コロナ禍による入館料収入の減少や物価高の影響を受けて、標本などの管理に必要な資金が危機的な状況にあったとされる。このため7日から1億円を目標額としたクラウドファンディングを開始していた。11月5日23時までの募集だったが、開始から約9時間後の午後5時20分に目標額の1億円をクリアすることに成功している。その後も支援は続き、開始から1日余りとなる8日午前9時25分には3億円に到達。正午すぎの時点で支援をした人は2万人を超えたとしている（実施中のクラファン、GIZMODO、NHK）。

今回、とくに資金的に大きな危機に直面しているのは「標本や資料の収集・保管」に関する部分。今回のクラファンでは、5000円から100万円までの40以上の支援コースが用意された。支援者には、リターンとしてトートバッグや常設展入館券、オリジナルラベル日本酒、オリジナル図鑑などが提供されるという。

tori_sanpo 曰く、

国立なのにクラファンで費用調達か」とか
「クラファンで金集めたから国からの金減らされる?」とか
「これだけ注目を集める施設なんだからもっと金を出せ」とか
いろいろ意見があるようですが、支援しました。
友の会は10年近く継続中(2年コースではなく1年ごと)

Xのオーナーであるイーロン・マスク氏は5日、Xのユーザーが同社プラットフォーム上の活動が原因で雇用主から差別を受けた場合、訴訟時の弁護士費用を負担するとの投稿をおこなった。負担する費用は無制限としており、Xはそうした企業の取締役会を追及していくという（イーロン・マスク氏のポスト、Bloomberg）。

しかし、同社ではさまざまな支払いが遅延している問題が生じている。最新のものとしては、X（旧Twitter）がX Blue（旧Twitter Blue）ユーザーへの広告収益分配の支払いを期日以内に行えないと発表した。Xの公式サポートアカウントとX Blueのヘルプページでは、登録ユーザーの数が予想を上回っており、支払いに遅れが生じていると説明している。マスク氏自身も支払いに数日かかると述べている（The Verge、GIGAZINE）。

また、イーロン・マスク氏によるXの買収後、支払い関連の問題が頻繁に報じられている。家賃滞納や元社員への退職金支払い問題などが起こっているほか、AWSやGoogle Cloudといったクラウドコンピューティングサービスの利用料の支払いを拒否したことも明らかになっている（関連過去記事）。