Category Archives: ネットの事件

ネットの事件

親にスマホを取り上げられたため、DS、Wii、そして冷蔵庫でツイートする少女?

Leave a comment

アリアナ・グランデのファンとしてのつぶやきをしていた15歳の少女ドロシーさんが、親の監視をかいくぐってツイートを続ける工夫によって注目を集めているようです。

母親にスマートフォンを取り上げられたドロシーさん、おそらくスマートフォン中毒のような状態でツイッター等から離れられず、学業等に支障をきたしていたのかもしれません。

永遠にお別れです。ママにケータイを取り上げられました。みんなとお別れするのはさみしい。泣いてます。さよなら

ニンテンドー3DS画像投稿ツール より

スマートフォンが無いので、DS からツイートしてますね。しかし、ドロシーさんは情熱を持って抜け道を探しました。

なにか壊しちゃったみたい。ニンテンドーDSから投稿してます 🙁

Twitter モバイル版 より

ドロシーはニンテンドーからツイートしてました。このアカウントは閉鎖されます。

iPhone より

みんな。ママが仕事に行ったので私の電話を捜索中です。幸運を祈って。ラブ。

Wii U画像投稿ツール より

冷蔵庫からです。これでツイートできるかわからないけど。ママにまた全部の電子機器を没収されたので。

LGスマート冷蔵庫(LG Smart Refrigerator) より

一連のツイートが注目を集める

ツイッターできるスマート冷蔵庫の販売元であるLG社の公式アカウントも、「ドロシーを救え」と反応しています。

ドロシーの話は、BBCニュースでも取り上げられるに至りました。

@thankunext327 のフォロワーは3万人を越えて増加中ですが、冷蔵庫からみんなの注目と支援に対する感謝のツイートを述べたあとはまだ沈黙中です。母親から冷蔵庫以外のデバイスを返してもらえるといいのですが。

フェイクの可能性。誰が何のために?

LGスマート冷蔵庫にツイッターアプリは載ってない、という突っ込みが多方面からあり、話ができすぎていて作り話なのではないか、という意見もあります。

LGのスマート冷蔵庫にウェブブラウザはあるので、冷蔵庫からツイートはできるようですが、その場合、送信元デバイスの表示は “LG Smart Refrigerator” にはならないだろう、ということ。

via The Guardian

ネットの事件

イギリス新50ポンドのアラン・チューリング氏肖像紙幣に、2進数の隠しメッセージが

Leave a comment

新50ポンド札に計算機科学の偉人アラン・チューリング氏が登場することが15日にニュースになりましたが、とあるツイッターユーザーが、この紙幣デザインに隠れた2進数の秘密を見つけています。

この部分ですね。紙テープをイメージしたようなリボンに、1と0の数字が並んでいます。

@danbarker さんは、この数字列 1010111111110010110011000 を2進数として10進数に変換した 23061912 が、チューリング氏の誕生日(23/06/1912 = 日/月/年 のヨーロッパ式)であることを見つけています。

国が作って広く流通する予定の紙幣のデザインですから、ただのそれっぽいランダムな0と1の羅列ではなく、ちゃんと意味が持たせてあったということですね。紙幣のデザイン案には他にも01の列や数式、グラフなどが散りばめられているので、他の部分にもこういった隠しメッセージが入っているかもしれませんね。

ネットの事件

フリーな Photoshop のライバルツール GIMP の名前の由来。そして何度も出てくる改名提案

Leave a comment

有名オープンソースツールの名前と政治的正しさに関する揉め事です。

“gimp” は悪い言葉か?

“GIMP”という名前をより攻撃的でない(less offensive)名前に変えよう というチケットが GIMP のGitlab に投げられていました。

“gimp”という単語の意味自体を知らなかったので、まずこの人の説明する悪い意味と言うのを調べてみます。

“gimp” には「組み紐」という意味の他に「不自由な足取りの人」「役立たず」といった意味もあるそうです。なるほど。この意味で使われる時は他者を軽んじたり攻撃したりが多い、ということ。

今回は、改名を支持するコメントに10個以上の「いいね」がついているようですが、このチケットに別の掲示板からリンクが張られていて、その掲示板の読者が集団でやってきて「いいね」を押しているのではないか、という意見も出ています。普段GIMPの開発に関わったりユーザーだったりではない人々に操作されているのでは、ということですね。

チケットは短時間で「対処しない」とクローズされていますが、どうも、この改名提案は不定期にGIMPプロジェクトに寄せられ続けている、よくある提案なようです。

GIMP の名前の由来

GIMP の作者、スペンサー・キンボール氏(Spencer Kimball)とピーター・マティス氏(Peter Mattis)の1997年のインタビュー記事で、

当時、映画「パルプフィクション」が話題になってて、そこからある一つの単語が思い浮かんだんです

At the time, Pulp Fiction was the hot movie and a single word popped into my mind while we were tossing out name ideas.

と答えています。当該のシーンはこちら。全身黒の拘束具に包まれた男性を「gimp を連れてこい」と箱から出させています。(シーンの解説)

右の黒づくめの男性が “gimp”

スラング情報を集積している Urban Dictionary のサイトによると、こういった奴隷的な扱いを受ける男性のことも gimp と呼び、これが広く知られるようになったのは「パルプ・フィクション」のこのシーンによるものらしいです。

作者たち自身が「このシーンからつけた」と言っちゃってますので、「一つの単語にいろいろな意味が」とか「GNU Image Manipulation Program (画像操作プログラム)の頭文字だよ」という言い訳も今さらでしょう。

ちなみに、現在 CockroachDB の CockroachLabs社の CEOがキンボール氏、CTOがマティス氏CEO。「ゴキブリDB」ですから、ネーミングのセンスが常に逸脱気味な二人なのかもしれません。

GIMP の FAQ に「名前を変えてほしい」に対する公式回答が載っています。20年以上の歴史で、嫌になるほど問題提起されてきたんでしょうね。そして、それで改名されてないので、このままずっと GIMP は GIMP で行くのでしょう。

今後、GIMP(ツール)について人に説明する時に一緒に紹介できるような、できないような、名前の由来トリビアでした。

ネットの事件

電動キックスクーター シェアリングの LIME、案内音声をハックで差し替えるイタズラに遭う

Leave a comment

オーストラリア、ブリスベンのカンガルーポイントで、LIME 社のシェアリング電動スクーターが複数台同時にハックされるという事件が発生しています。

ステーションに並んだスクーターが、一斉に「一緒に乗りましょう」「私を連れまわして」などと喋っています。

オリジナルの内蔵音声が、何者かの手によって書き換えられたのではということです。

こちらの動画では、スクーターを勝手に持ち去った際の警告が差し替えられています。

ニュースでも「差別的」と言っていますが、移民風の喋り方などがそれにあたると感じられているのでしょう。

LIME や競合の Bird の電動キックスクーターについては、無料で解錠して乗るハックや、リモートから突然ブレーキを掛けるハックも出ていて、YouTube を検索すれば多数出てきます。

欧州中心に電動キックスクーターのシェアが爆発的に広がっているようですが、本体の電子部分が Bluetooth で簡単にアクセスできるタイプのものが有ったり、セキュリティ面で心配な事件も多いようです。

via Brisbane Times via Reddit

ネットの事件

ワードプレステーマ販売の Pipdig が、顧客サイトを使って競合にDDoSを掛けていた

Leave a comment

ブログツール WordPress の有料デザインテーマを販売する Pipdig が、販売したテーマの中に競合製品の妨害をするなどのコードを隠し入れていた、ということで騒ぎになっています

イギリスのジェム・ジャベラ氏(Jem Jabella)のレポートが口火を切った疑惑は、Pipdig の売っているテーマが利用している Pipdig Power Pack (P3) プラグインの動作に関するもの。

さまざまな「特権的」コードの混入

「有料テーマを買って入れたら、ワードプレスのサイトがおかしな挙動を示すようになった」と顧客から調査を頼まれた彼女は、サイトがひどく遅くなっていることに気づきます。P3 プラグインがその原因だろうと突き止めた彼女は、P3が以下のようなことをしていると突き止めたと言います。

  • 利用者ブロガーのサーバーを使って、競合のウェブサイトに DDoS を掛ける
  • 利用者ブロガーのコンテンツ内のリンクを変更し、競合サイトの紹介リンクをPipdig へのリンクに変更する
  • GDPR違反となるような許可の無い利用者ブログの情報を収集する
  • 管理者パスワードを変更して利用者ブログへのアクセス権を得る
  • データベースの全テーブルを削除するスイッチを内蔵
  • Pipdigが不要と判断する他のプラグインを、ユーザーに問い合わせることなく無効化
  • ワードプレス本体や他のプラグインが出す警告を隠す

ジェムさんはこれらのコードの該当部分それぞれを記事中で解説していますが、実際の実行コードを外部のサイトから取得して動かしていたりする作りもあり、ある時点でその外部コードを調べても空ファイルだったり、無害なコードだったりと、すぐには何をしているのかわからないように工作されているようです。

管理者のメールアドレスをテキストファイルに出力し、そのログインパスワードを変更する機能などもあり、これが(WordPress に詳しくない)ユーザーをサポートする際に使おうという機能ではないかという擁護もありましたが、サポートを依頼したユーザーだけでなく全利用者に対して使えるようになっていることなど、Pipdig に対する疑念が表明されています。

別の操作。Bluehost という競合のテーマが有効になっていたら、そのキャッシュ機能を切り、WordPress公式に偽装したドメインに置いたコードを実行した上で「サイトが遅くなってますか?」というメッセージを表示させてた、というもの。

告発を受けたバージョンのソースコードのミラー。Pipdig 社はすでにいろいろなコードを削除した新バージョンを公開しているので、証拠保全用に前の問題があるバージョンを保管した人がいるようです。

Pipdig の「弁明」

Pipdig はブログで公式な声明を出しています。

彼らはたった4人の小さな会社で、猫の画像が好き。テーマをコピーして売ろうとする盗作が起こり、その対策としてコードを入れた、等、悪意でやったものではないと書いています。

また、停止させた他のプラグインのリストと、停止させた理由も書かれています。

一つ一つの理由を見れば、隠し入れられたすべての機能が最初から悪意を持って入れられたものではないのかもしれません。競合の排除やリンクの変更はそれでも弁明不可能に思いますが。

こういろいろと揃ってみると、購入者のワードプレス/サーバに対して自分たちのものであるかのように自由に操作しようとしている感じがあり、名誉回復は難しいのではと感じます。

ジェムさんは Pipdig を「ワードプレス有料テーマ販売の大手の一つ」と書いていますが、日本語で宣伝や販売をしていた感じでもないので、日本にはそれほどユーザーがいないのかもしれません。もし使っている場合は、Pipdig 社が出したこれらの機能を削った最新版に更新するか、彼らが信用できなければ他社のものに変更した方がいいかもしれません。

via Wordfence, Hacker News

ネットの事件

「ツイッターの誕生日を2007年に変えるとすごいよ」デマが流行 – 新デザインになったりはしません!

Leave a comment

「ツイッタープロフィールの誕生日を2007年に変えると、ツイッターの見た目が完全に変わるよ。試してみて!」 というイタズラが英語圏で流行っているようです。

ツイッターの画面がカラフルなる、と言っていますが、まったくそんなことはなく、ツイッターの利用規約で禁じられている13歳以下のユーザーに該当することになり、ツイッターにアクセスできなくなってしまいます。

実際に引っかかってしまった人の画面を共有している人もいます。

https://twitter.com/stay420_high/status/1110724174505496582

騙している方の例は、たとえばこんなの。色がカラフルになる、というデマの画面も一緒に流通したりしてますね。

どのあたりから始まってるかはわかりませんが、見つけたものでは2日前ぐらいのものがありました。

https://twitter.com/kilIsthisIoves/status/1109935648356610049

人の誕生日は不変なので、後から誕生日を変更できること自体おかしいといえばおかしいのですが。13歳以下の子供は利用していません、という建前でやってるサービスとしては、自己申告で子供だと言われては使わせるわけにいかないのもわかります。

このイタズラに引っかかってサポートに連絡した人が多かったのか、ツイッターの公式が警告を出しています。

ツイッターの誕生日を2007年に変えると新しい色のデザインが使えるようになるというイタズラがあるようです。決してしないでください。13歳以下ということで(サービスから)締め出されます

日本語でこのイタズラを真似しようとしてる人、今検索した限りでは見当たりませんでしたが、要注意ですね。

万一引っかかってしまった場合、IDのコピーなどをツイッター社に送って、13歳以下でないことを証明することで回復できるかもということです。

via The Verge

ネットの事件

Visual Studio 2019インストーラの完了画面が「緑帽子」問題で修正される

1 Comment

プレビュー版が出ている Visual Studio 2019 ですが、ちょっと変わったバグレポートがでて話題になっています。

「VS2019をインストールしたら、ウェルカムページに緑の帽子をかぶって自転車に乗った男性の絵が表示されます」

ふむ

「しかし、緑の帽子は中国では侮辱的とされています」

何だって!?

「緑の帽子をかぶる男性は、妻や彼女に浮気されているという意味なのです」「Bingで検索してみてください。これは真剣な話です。帽子の色を変更してください」

百度百科で検索するとそれらしい情報が出てきました。中国で緑の帽子にそのような意味があること自体は本当のよう。

マイクロソフトの対応はというと、

2日後「エンジニアチームへフィードバックを送りました。チームがこれから調査をします」

4日後「内部的には修正が完了しました。」

11日後(本日)「修正版が公開されました。製品改善への貴重なご意見ありがとうございました」

この間、「私も中国人だが、この絵で帽子が緑であることは侮辱的でもなんでもない。馬鹿馬鹿しい」とか「こんな修正だけ修正が素早いのな」「次は有色人種への侮辱として白いTシャツを禁止するか?」「自転車に乗ってるのが男性なのは女性への差別では?」といったように、コメント欄が荒れています。

内部での「調査」がどんなものだったかわかりませんが、マイクロソフトのような大企業に中国人や中国系なんて何百人と在籍しているはず。本当にこれが侮辱的だと思ったわけではなく、事なかれ主義で差し換えただけなんではないですかね。

修正の結果差し換えられた画像はこちら

オレンジや紫の帽子が、別のどこかの文化を侮辱してないといいですね!

via Hacker News

ネットの事件

ランダムなアルファベット4文字x2で、Google画像検索が謎の抽象画を返してくる

Leave a comment

グーグル画像検索を乗っ取るサイト?

reddit/whatisthisthing(これは何?)で質問されて話題になった謎の現象がこれ。

グーグル画像検索で”jwsr ljxb”のように、アルファベットで単語になってなさそうなものを2個入れると、出てくる候補が謎の図形画像だらけになります。

どんな4文字でも出るわけではありません。まず辞書にあるような4文字はダメです。その単語に関する画像が出てきます。略語として成立してるものもだめ。子音ばかりを読めないような並びで並べると出やすいように思います。

画像のサイトを開いてみると、どの画像も c0d3.attorney というドメイン上のページにあることがわかります。その内容はというと、

謎の画像二つに、ごく短いプロジェクト紹介、そしてその後ろには長々と、デタラメにも見える読めないテキストが続いています。

難解プログラミング言語 Malbolge を使ったプロジェクト

プロジェクト紹介の内容はこちら

c0d3.attorney は Malbolge, 1998年にベン・オルムステッド氏が作成したパブリックドメインな難解言語, で書かれたプログラムを表示することに特化したプロジェクトです。言語は使うことがほぼできないように設計されています。(しかし)設計上の弱点がこれまでに発見され、使えるプログラムを書くことが可能となりました。これを共有できることは喜ばしいことです

とても短い紹介文で、これ以外には情報がありません。

ページのほとんどを占めるデタラメ風テキストが、そうすると Malbolge 言語のコードだということなのでしょう。

画像もコードも、URLに与えたパラメータに応じて変化しますが、あるページで数えてみると、約5万語、61万文字ありました。

オンラインの Malbolge実行環境(あるんだ…) に最初の一行を食わせてみましたが、エラーとなってしまいました。1行だけ入れても動かないのかもしれません。

ちなみに、サイトにサンプルとしてある Hello, World はこれ

('&%:9]!~}|z2Vxwv-,POqponl$Hjig%eB@@>}=

うん。まったくわからん。

Google は「知らん」と

TheNextWeb が Google にこの現象に関して問い合わせしてくれていますが、これは Google のイースターエッグではないし、同社は c0d3.attorney とは何の関係も無い、という回答が来たそうです。

「一般的な話」として、画像のあるページにある文字で検索したら出るよ、ともコメントにあったということで、ごくごく当たり前のつまらない結論になってしまうのですが、この自動生成っぽい Malbolge 言語のコードの中にアルファベット4文字のセットが大量にでき、その中の2組の4文字をウェブの他のサイトで2つ同時に使ってる他のサイトがほとんど無いために、検索で出てきてしまう、ということでしょうね。

今の時点でも、この謎のサイトを作ったのは誰か、などは判明していません。

純粋なプロジェクトか、意図のあるSEOスパムか?

ドメインの世界では、 .com 以下は、ランダムだろうと意味がなかろうと 4文字のドメイン名はすべて誰かに取得されていることが2013年には報告されています。打ち間違いでもなんでも、4文字.com を入れた人を待ち構えて、広告を見せたりドメインを売りつけたりという商売をしてる人たちがどこかに存在するわけです。

となると、今回のサイトもそういう「迷い込んできた人」を捕まえるために作られた可能性も消し去ることはできません。とはいえ、今のところサイトに来ても、広告があるわけでもなし。単に人が来たからといって得になることなんてあるのかなとも思います。

いろいろな文字列でGoogleから推薦される、と聞くと人によってはたいへん魅力的に感じるかもしれませんが、そのデタラメな文字で迷い込んでくる人が分量としてどれほどのものか、という話もあります。総量としては見つけてやってくる人はそれほど多くないかもしれません。

ですが、今回の件で興味を持った人は、単語になってない日本語の文字の組み合わせを大量に配置するサイトでも作れば、同様の結果を得られたりするかもしれませんね。

via reddit and TheNextWeb

ネットの事件

シス管探偵、サーバールーム内の謎ラズパイの設置者を突き止める

Leave a comment

テキサス州オースティンで企業のサーバー管理の仕事をしているクリスチャン・ハチェックさん(Christian Hascheck)が、彼の管理下で発生した興味深い事件について語っています。

サーバーに挿さった謎のデバイス

始まりは同僚から送られてきたという写真。「サーバに知らないラズパイがつながってる。調べてくれないか?」と。

普段リモートからサーバ管理しているハチェックさんは、同僚に指示してラズパイを切り離させ、SDカードに入っていたイメージを送らせました。

当初は社内の誰かの実験物かな、ぐらいに思っていたそうですが、サーバールームに入れるすべての人に訊いても知らないとの返事。USBソケットに刺さっていたドングルを巨大掲示板の reddit で晒したところ、WiFi/bluetooth モジュールだとわかります。

SDカードの中身を調べる

Raspberry Pi のストレージであるSDカードの中身から、Resin(今はBalenaに名称変更)というイメージを使ってることがわかります。このResinは、IoTデバイスとのデータ送受信を行うための有料サービスです。VPN経由で、暗号化されたデータを転送できるといいます。

configファイルの中から、Resin のユーザー名や半年前の登録日を見つけたハチェックさん。ユーザー名でネット検索すると、「天才児」を持つ両親が開設した2001年のサイトが見つかりました。

SDカード中のnodejsアプリが何を送ってるかは最後まで解析できなかったそうですが、ライセンスファイルにある作者名を調べてみると、彼の会社の共同創業者だと判明します。

また、他に、このデバイスをセットアップした際のWiFi接続に関する記録を持つファイルが見つかります。その際につなげたネットワークのSSIDが記録されていたということで、ハチェックさんはSSIDが収集されて検索できるWiGLEでこのSSIDを調べてみます。すると、出てきた住所が、上に出てきた「天才児」の家の住所と一致したのです。つまり、刺さっていたデバイスをセットアップしたのは、この家という可能性が高いということ。

通報

サーバールームへの侵入者についても、RADIUSのログからサーバールームのWiFiに、無効化されたアカウント名で接続を試行した当時の社員がいたことを突き止めます。この社員は、アカウントが無効になった後も数か月、荷物を運び出すためなどという理由で会社から出入りを許可されていたのだということも判明。

reddit の方では「最終報告」として、この元社員がデバイスの設置を認めたものの、それは「WiFi のトラブル解決とマネージャーの執務室の周りをうろうろするユーザーを追跡するため」だったと言っていると伝えています。しかし、なぜシステム管理者にも秘密でそんなことをしていたかは教えてくれず、実際に収集したデータを見せてくれ、という要求も無視されているということ。

ハチェック氏はここまでの情報を当局に渡し、自分の仕事範囲は終わった、とても面白い体験だった、と記事を結んでいます。

一連の流れを読んでみると、この元社員、ユーザー名とか設定時のSSID名とか、いろいろ証拠を残しすぎなんじゃないかという気もしますが、多数のレイヤーで構成されたこのようなサービスを構築して、痕跡をどこにも残さなずに綺麗に仕上げるのも、難しいのかもしれませんね。ハチェックさんが reddit 掲示板で広く意見を求め、いろいろな人が助けたことも解決につながったのかもしれません。

Raspberry Pi にそれらしいケース(いろいろ売ってますね)をつけてより目立たなくしたり、放置せずに回収したり場所を変えたりすれば、このような手法で企業内のデータが成功裏に外に転送されているところもあるのかもしれません。

key

ネットの事件

子供のスマートフォン利用に業界母が課した試練とは

Leave a comment

これは意識高そう…

うちの子供が新しいアプリをダウンロードしたい時は、創業者・会社の歴史・ビジネスモデルを一枚のレポートにまとめて提出させます。そうすることで彼女はアプリがどのような利益を彼女から得ているか理解できるのです。

母親がテック業界で働いてるとこういうこともあります。

お子さんはもうすぐ13歳だそうです。

リプライでこんなのも

いいんじゃない。うちの子がゲームのサブスクリプションを欲しがった時は、なぜ私が買ってあげないといけないかをプレゼンするスライドを作らせました。プレゼン後にはフィードバックを与えて再提出。これが人生の試練というもの。

元ツイートには多数の大人からの反応が集まっていますが、(特に無料で)遊べるアプリには作って配る人にも動機があって、そのことを子ども自身にわからせることは必要だ、と考えている人が多そうでした。

運営者がはっきりしないアプリや何で儲けてるのかわからないアプリには要注意、というのは、大人であっても良い判断の基準になりそうですね。