11/28/2017

[biz law] 東レも偽装、隠蔽を試みるも暴露

繊維系最大手の東レも偽装、しかもこの期に及んで隠蔽しようとし、しかし元社員に暴露されて露見という。三菱マテからの連想で、似たようなポジションのここもヤバいんじゃ?と怪しんでいた向きもあったでしょうけど、それが正解であった事が最悪の形で明らかになってしまいました。材料・部品系は総崩れですね。

同時に、この種の不正に関する仮説、すなわちここ数年続いている一連の、旭化成や東洋ゴム、神戸製鋼、日産らの件はそれぞれ特異な事例というわけではなく、製造業全体に共通する不正、その一端に過ぎないだろう、という懐疑的な見方が、強力に裏付けられたものと言えるでしょう。

今回明らかになったのは自動車タイヤ向け材料の強度偽装。少し足りない位いいだろう、と考えたそうです。そうですか。

急遽開かれる事になったその釈明会見では、 神戸製鋼の件が無ければ公表はしなかっただろうと臆面もなく認めてもいます。不正を把握した後も1年以上に渡って公表せず、顧客とは個別に確認を進めていたというのですから、後で公表するつもりだった、といった類の言い訳のしようもなかっただけなのでしょうけど、目も当てられません。

ともあれ、東レや三菱マテのような、誰もが認める各分野の業界トップであり、確固たる地位、事業基盤を有し、少なくとも、不正をしなければ立ち行かないような事情があるわけでもない筈の大企業までもが、こぞって組織的な不正に手を染めていたという、残念という表現では到底足りない事実が明らかになってしまいました。

こういう事実を見るにつけ、もうなんと言うか。ああ、もう終わりなんだと思うわけです。いや、とっくに終わっていたんでしょうけど、それを誤魔化す事ももう出来ないんだと。かつての日本株式会社と言われ、品質だとか顧客の信頼だとか、製造業に携わる者が拠り所にしていたような、侵すべからざる一線、それらに付随する当事者の誇りや、周囲の抱いていただろう敬意も、成長のネタが切れた時点で中国はじめ他の後発プレイヤーの競争力の前に、単なる理想論や精神論のような、建前に過ぎない幻想に過ぎなくなっていたという事実。その、現場に近い人間の誰しもが知っていただろう現実の前に、建前を維持する事も出来なくなり、瓦解し、雪崩を打つようにして明るみに出た、という、それだけの事なのでしょう。

言うまでもなく、同情の余地は全くありません。速やかに被害を補償し、十全に責任を取る他に選択肢もありません。その結果、各社が顧客を失って追い込まれ、あるいは国内の製造業自体が消滅しようとも、それも自業自得というしかないのです。もちろん、東レはじめ不正各社のカバーする製品領域は広く、これから幾らでも余罪も出るでしょうし、そちらも併せて責任を負うべきものである事は言うまでもありませんが。

次は何処でしょう。実際の所、殆どのメーカーと担当者、責任者が揃って戦々恐々としているんでしょうし、もはや何処で火が上がっても驚くにはあたらないのでしょうけど、取り返しはつかないのだから、この上は潔く腹を切るべきだと思うのです。談合がよく取り沙汰される自動車部品の各メーカーなんかは当然その前科的にも業界の体質的にも色々怪しまれてそうですが、さて。

東レ、子会社でデータ改ざん タイヤ部品など149件

[関連記事 [biz law] 三菱マテも偽装、かつ10ヶ月隠蔽]
[関連記事 [biz] Uberが大規模情報漏洩、かつ1年超隠蔽]
[関連記事 [biz law] 不正体質という不治の病]
[関連記事 [biz] 神戸製鋼がアルミ・銅製品の強度・寸法偽装10年超]
[関連記事 [biz law] 悪質極まる東亜建設工業の空港耐震工事詐欺、すら普通に感じる現状]
[関連記事 [biz law] 東洋ゴム社製免震装置材料の性能評価偽装発覚に]
[関連記事 [biz] 腐敗肉の蔓延判明で外食大手等が総崩れ]

[関連記事 [biz law] 25年不正を[biz law] 25年不正を隠蔽し果せた戦慄すべき三菱自の組織力と、混沌とする先行きについて]
[関連記事 [biz law] 三菱自、主力車種ほぼ全滅]
[関連記事 [biz law] 懲りない三菱自動車、主力軽自動車の燃費改竄詐欺]

11/24/2017

[biz law] 三菱マテも偽装、かつ10ヶ月隠蔽

流石三菱、と言うべきでしょうか。三菱マテリアルが樹脂・銅・アルミの各部品、部材について、不良品の検査結果を偽装して出荷していた事が発覚した件、既に広く報道されているところですが、同社・同グループの持つ、著しい傲慢さと姑息さが共に存分に反映されてしまっているように見えます。その辺は25年に渡って隠し続けた自動車の燃費偽装がバレた際のそれと全く同じです。

本件犯行による被害、すなわちOリング等の部品が規格を満たさない、という事実がもたらし得る結果の深刻さは今更言うまでもありません。航空機や自動車類はじめ、製造・管理設備、各種インフラに至るまで、気密性や密封性が失われれば、機器や設備に重大な障害をもたらし、あるいは大惨事に直結しかねない類の用途も数知れません。件数も桁違いな点も考慮すれば、神戸製鋼の例よりもさらに悪質かつ深刻と評価すべきものでしょう。

にもかかわらず、同社は本件偽装を把握したとされる2017年2月から今に至るまで、9ヶ月もの間その事実を公表しなかったばかりか、そうと知ってなお不良品を偽装して出荷し続けていた、というのです。この点からしても、まず同社は隠し通し、偽装も続けるつもりだったのでしょうけれども、おそらくは神戸製鋼等の件等から顧客が行ったであろう部品類の検査等を通じて発覚した、という事ではないかと推測されます。反省も自浄もかけらもするそぶりを見せないその態度はまさに三菱。

で、その多分に追い込まれてした発表に際しても、この期に及んで納入先を隠し、あるいは顧客と安全性を確認済みとして一部は当初の公表から外しもする始末。すなわち、自社で問題ない事を確認したし、未確認のものも自分たちが確認中だから知らせる必要はない、黙って待ってろ、というのです。もはや誰ひとりとして同社の言うことを信用する者はいないのに。自分たちが何をやったのか、やっているのか、全く以って理解していないとしか考えられません。

ただ、流石に三菱マテは最大手の一角ですから、本件が致命傷になるのかは正直よくわかりませんし、少なくとも同社並びにその社員が、喉元過ぎれば、程度で大したことはない、程度に高をくくっているだろう事は疑いようがありません。だからこそ隠蔽もしたし、多分に未だにしている余罪もあるのだろうし、個々の社員や部門が責任逃れに走り、あるいは押し付け合いをした結果として、同社の傲慢で姑息な態度がある、という事なのでしょうか。

社会や取引先から加えられる激しい非難も、それが単なる言説に留まる限り何の意味もない、とばかりに無視を決め込む同社の、その遺憾極まる態度が多少でも改められるか否かは、専ら実際に同社に事業上与えられるペナルティによるのでしょう。この点、取引先は実際問題として悩ましい事は色々あるのでしょうけれども、市場と業界、ひいては社会の公正のため、容赦なく損害賠償の請求ないし調達先の変更等の、同社が堪えるだけの、致命的ともなりうるだろう程度のペナルティを与え、それによって同社のような反社会的な企業が更正あるいは淘汰されるよう動く事を期待したいと思います。

[関連記事 [biz] Uberが大規模情報漏洩、かつ1年超隠蔽]
[関連記事 [biz law] 不正体質という不治の病]
[関連記事 [biz] 神戸製鋼がアルミ・銅製品の強度・寸法偽装10年超]
[関連記事 [biz law] 悪質極まる東亜建設工業の空港耐震工事詐欺、すら普通に感じる現状]
[関連記事 [biz law] 東洋ゴム社製免震装置材料の性能評価偽装発覚に]
[関連記事 [biz] 腐敗肉の蔓延判明で外食大手等が総崩れ]

[関連記事 [biz law] 25年不正を[biz law] 25年不正を隠蔽し果せた戦慄すべき三菱自の組織力と、混沌とする先行きについて]
[関連記事 [biz law] 三菱自、主力車種ほぼ全滅]
[関連記事 [biz law] 懲りない三菱自動車、主力軽自動車の燃費改竄詐欺]

11/22/2017

[PC] 現行Intel製チップのファームウェアの大半に脆弱性発覚

また面倒な・・・。ここ数年の間にリリースされたIntel製CPU及びチップセットを採用したPC、サーバの大半に共通する脆弱性が発覚してしまいました。

具体的には、第6,7,8世代のCoreシリーズ、同世代のXeon、AtomのC3000系、Apollo LakeのE3900系とPentium、あとNとJシリーズ。現在流通しているIntel系CPUを積んだPC、サーバの殆どが該当する事になります。これだけ見ると、ちょっと何言ってるかわからないレベルで洒落になりませんね。

本件問題の存在箇所は、Intel Management Engine(ME)、Intel Server Platform Service(SPS)、Intel Trusted Execution Engine(TXE)の各機能の部分(のファームウェア)です。いずれもシステム内での起動等から一連の処理について検証を行い、信頼されたもののみが実行されるよう制御するローレベルのサービスです。一般のユーザは使わない、というか気にもしない部分です。何それ?となった人も多いのではないでしょうか。

脆弱性の内容は、これらの機能がOSの外で行う検証等のプロセス内でオーバーフロー等を起こす事で発生するもので、要するに権限外で任意のコードを実行出来るというありふれた、しかし最悪のものです。ただ、今の所USB等の物理アクセスが条件とされているので、とりあえず物理サイトの管理を厳密にすれば攻撃は回避可能とのこと。本当でしょうか?この種のセキュアな制御機能というのは、特にサーバ等ではネットワーク経由で利用されるものなところ、リモートから乗っ取られる危険はないのか、と正直眉唾な気もしますけれども、一応信用する他ないのでしょう。

(追記:続報によれば、大半は物理アクセスが必要なものの、少なくとも1件のMEに存在する脆弱性はネットワーク経由で悪用可能との事でした。)

本来セキュアな筈の起動時のシーケンスに割り込んで任意のコードを実行させる事が出来る、とかそういう類の脆弱性という事なのでしょうか。そうであれば、元よりその辺の、セキュアブートだとかの類の機能を使用していない大半のユーザにとっては、元から使用してもいない機能が無力化されるに過ぎず、従って取り立てて気にする必要もなく、放置してよい、という結論になるわけですが。そうならそれは喜んでいい話ではあるのでしょう。この点、ネットワーク経由で悪用され得るか否かで真逆の結論になるだろうところ、やはりそこは気にかかりますけれども。

(追記:上記追記の通り、真逆でした。一般ユーザも放置してはいけません。)

とは言え、その辺の詳細は考えても仕方ないとして。何にせよ、本機能を使用している企業等のユーザについては、この機に同機能の使用を取りやめる、というのでもない限り、対応しないという選択肢はないでしょう。

しかるに、本件脆弱性の問題は、これがハードウェア、それもローレベルに存在し、その修正にはファームを変更しなければならない、という点にあるように思われます。というのも、当然ながら、ファームはマザーボード毎、メーカー毎に異なるものですから、原則として各メーカーが個々に対処する必要があります。しかし、このレベルの修正はそう簡単に出来るものではありません。修正ファームの作成にも相当の手間がかかり、適用するに際しても小さくないリスクが存在する上に、適用時にはシステムを停止させて、相応の検証も行わなければなりません。しかも、この種のファームウェアはその適用方法もまちまちで、場合によっては一台ずつ手作業が発生する事もあります。SEにかかる負担は小さいものでは有り得ないでしょう。なんという面倒な事をしでかしてくれたのか、というSE達の怨嗟の声が聞こえてきそうです。

本件は専らIntelの過失によるものであり、全ての責任はIntelにあります。そうである以上、Intelはユーザからその対処に要したコストに応じた損害賠償を要求されても文句を言えないでしょう。特に、本件機能を用いるサービスは主に大規模なビジネスユーザ向けに、それなり以上に高額のオプション料金を支払って提供されているものだろうわけで、よりによってそれがこういう事になって、生じるコストは小さいものではありえないし、遺憾に思わないユーザはいないでしょう。さてどう始末をつけるんでしょうね。

なお、本件脆弱性の有無は基本的にCPUの型番で判別出来ますが、より確実に確認するための専用のツールがIntelから提供されています。Windows版とLinux版がそれぞれあり、Windows版は7,8,10対応でGUI版もあり、Linux版は16.04LTSもしくはRedhat7.2に対応でCUIのみです。

というわけで、私の所でも一通りツールを動かして確認してみました。 結果としては、上記リストに該当していた1台のみが脆弱性ありと判定され、後は問題なしと出力されました。該当した1台は、先日新調したApollo Lake(J3455)のサーバです。当該機のOSはUbuntu17.10のServer版で、その他のPC、サーバ類も大半が17.10でしたが、ツールは問題なく動作しました。Windows機は10と7の機種で実行してみましたが、これも問題なし。その手順と出力内容は以下の通りです。

<確認ツール>

[配布ファイル名]

 ・Linux版 SA00086_Linux.tar.gz
 ・Windows版 SA00086_Windows.zip

[ツールのダウンロードサイト]

  https://downloadcenter.intel.com/download/27150

<確認ツールの動作コマンドと実行結果>

[Linux版の場合]

配布ファイルを解凍すると出力される下記スクリプトをコンソールから実行。なお実行ファイルはpythonのスクリプトにつき、実行にはpythonのインストールが必要です。出力中、[Risk Assessment]の項目が判定結果。問題なしの場合は、[not vulnerable]とだけ表示され、問題ありの場合は[vulnerable]となって、製造元にコンタクトを取るよう促す説明文が追加で表示されます。

$ sudo ./intel_sa00086.py

・Linux版出力結果(問題なしの場合)-----

INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved

Application Version: 1.0.0.128
Scan date: (実行日時) GMT

*** Host Computer Information ***
Name: (ホスト名)
Manufacturer: (マザーボードメーカー名)
Model: (マザーボード型番)
Processor Name: Intel(R) Core(TM) i3-2100T CPU @ 2.50GHz
OS Version: Ubuntu 17.10 artful (4.13.0-16-generic)

*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 7.0.4.1197
SVN: 0

*** Risk Assessment ***
Based on the analysis performed by this tool: This system is not vulnerable.

For more information refer to the SA-00086 Detection Tool Guide or the Intel security advisory Intel-SA-00086 at the following link:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

-----ここまで

・Linux版出力結果(問題ありの場合)-----

INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved

Application Version: 1.0.0.128
Scan date: (実行日時) GMT

*** Host Computer Information ***
Name: (ホスト名)
Manufacturer: System manufacturer
Model: System Product Name
Processor Name: Intel(R) Celeron(R) CPU J3455 @ 1.50GHz
OS Version: Ubuntu 17.10 artful (4.13.0-16-generic)

*** Intel(R) ME Information ***
Engine: Intel(R) Trusted Execution Engine
Version: 3.0.1.1105
SVN: 0

*** Risk Assessment ***
Based on the analysis performed by this tool: This system is vulnerable.
Explanation:
The detected version of the Intel(R) Trusted Execution Engine firmware is considered vulnerable for INTEL-SA-00086.
Contact your system manufacturer for support and remediation of this system.


For more information refer to the SA-00086 Detection Tool Guide or the Intel security advisory Intel-SA-00086 at the following link:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

-----ここまで

[Windows版の場合]

配布ファイルを解凍し、出力されるファイル中、[DiscoveryTool.GUI]中の[Intel-SA-00086-GUI.exe]を実行。すると、チェックが実行され、数秒後に下図のようにダイアログに結果が表示されます。判定結果は一番上です。この例では脆弱性なし。


というわけで、脆弱性ありの判定が1台出たわけですが、現時点ではどうする事も出来ません。というのも、2017/11/22時点で対応済のファームウェアを提供しているところは無い模様だからです。今回の対象はASUS製のJ3455M-Eですが、当然のように公式サポートには本件に関する説明すらない始末。当のIntelからして自社製NUC等について未対応で、2017/12にリリース予定というのだから酷い話です。判定ツールの指示に従ったユーザからコンタクトを受けた製造元も対応に困るでしょうに。アウトの判定だけして放置、というのは幾ら何でもあんまりです。ユーザ側としては、悶々としつつ、あるいは悪意に脅えつつ待つ他ないし、ベンダも顧客を宥めながらこれまた待つしかないだろうわけなのですけれども。

しかし、じっと待って、ようやく修正ファームが提供されたとしても、それで解決にはならないのがまた。だって、適用対象は下手しなくてもここ数年で入れた端末全部ですよ?顧客のシステムを止めるわけにもいかないし、代替機を出そうにも数が半端ないしで、頭を抱えているSEも多そうです。 シンクライアントやそれに近いレベルでクラウド化しているところは何とでもなるんでしょうけど、クライアント側で色々入れてる所は大変そうです。ご愁傷さま、と言うしかないのでしょうけれども。

(追記)

遠隔で利用可能な脆弱性が含まれている事が発覚したからか、DELL、HP、Lenovo等の大手は11/23時点でパッチを用意したようです。流石迅速ですね。ただ、モデル毎にリリース予定日が1か月後だったり二ヶ月後だったり未定だったりまちまちなところもあり、その辺は今いちな感じではあるのですけれども。一方我らがASUSは未だ音沙汰すらなし。まあ多分にPCメーカーのOEM周りへの対応を優先して、比較的ユーザの少ない自作ユーザ側は後回しにしてるとかそういう話なのかもしれませんけど、この放置っぷりは残念です。

Intel® Management Engine Critical Firmware Update (Intel SA-00086)
Intel Q3’17 ME 11.x, SPS 4.0, and TXE 3.0 Security Review Cumulative Update

[関連記事 [PC note] 今更ながらのApollo lakeが意外といい感じ]

[biz] Uberが大規模情報漏洩、かつ1年超隠蔽

Uberがまたやらかした、というか、やらかしていた事が発覚したそうで。

事案自体は何ということもない、ありふれた顧客と社員の情報漏洩です。同社の事業規模に比例してその件数は多く、およそ5000万件のユーザ、及び700万件のUberドライバーの情報が窃取されてしまいました。

問題は、同社がその事実を隠蔽した事です。本件の発生は2016年10月ですが、Uberはこの種の漏洩の発生時に義務付けられている当局への報告、及び被害者たる顧客等への事実の公表を意図的に行わず、およそ1年以上に渡り隠蔽し続けました。2014年に同種の、これよりは規模の小さい漏洩を起こしており、またその間、ユーザから登録情報の不正利用の疑いを指摘するクレームがあったにも関わらずです。しかも、露見するに至った今でも、顧客へは責任を否定し、補償等を行わないものとしている始末。笑うしかないというか、笑うに笑えないというか。

なお、本件攻撃の手口は、大体以下の通りだそうで。

 1.開発用のプライベートサイトで管理者アカウントを盗む
 2.それを使ってAWS内の同社サイトをハック
 3.攻撃者が同社に現金要求($100000)、同社が応じる

で、 同社としては、攻撃者には要求通り支払ったのだから、漏洩した情報は悪用されていない、だから実際上は問題ないし、補償も不要、という事にしたいようです。そうと明言したわけではありませんけど、同社の言い分を総合するにそういう事のようです。そんな馬鹿な。

同社が法遵守の姿勢を持たず、むしろあえて違法、無法を犯して恥じることすらない体質である事は今更指摘するまでもなくよく知られているところではありますが、事業を行うにあたり最も重要で欠くべからざる要素である筈の顧客の信頼、その大部分を毀損してなお反省も修正すらも行わない、事業者としては破滅的とも言うべき姿勢には、流石に戦慄を覚えざるを得ません。

最近ではLondonやCanadaのQuebeck等の主要市場から排除の決定を受け、それでも何ら改善なり修正なりをする事もなく、ただ漫然とその当局側を逆ギレ的に批判し、排除されるに任せて縮小するばかりの同事業にとって、顧客の信頼はその利便性と並んでそれを支える両輪であった筈なのですが。。。

同社の現状を鑑みるに、赤字続きかつ規模も大幅に縮小、性差別等も含め紛争を多数抱え、資金も目減りを続けているし、経営陣は内紛続きで総崩れと、経営環境は壊滅的と言っていい状況ではあるのだし、 この規模のユーザや社員に対して十分な補償をしようにも出来ない、というかしたら破産する、とかいう事なのかもしれませんけど。しかし一体どう始末を付けるつもりなのでしょう。少なくとも、まともに使えるかどうかも分からない自動運転車を何万台も調達したりして資金を浪費している場合ではない筈なのですが。もしかしなくても破綻しちゃいます?

Uber Paid Hackers to Delete Stolen Data on 57 Million People

[関連記事 [biz] Uber、Londonでのライセンスを剥奪される]
[関連記事 [biz] Uber登録ドライバーのストライキ発生]
[関連記事 [biz] Uber白タク摘発。社会に拒絶されるTNCの自業自得]

11/17/2017

[biz] 独Siemens、電力関連6900人リストラ

ちょっと意外なところから大規模リストラの話が。独Siemensが、発電用タービン等の重電関連機器の製造事業について、GoerlitzやLeipzig等の工場閉鎖、またBerlinを含むその他拠点の人員削減等により、ドイツ国内中心に7000人近い大幅なリストラを実施するんだそうです。

理由は単純、需要の低迷です。発電事業に関して、とりわけ同社が販売基盤を持つドイツ周辺では、従来の火力発電等から風力等の再生エネルギー向けへと需要がシフトし、それに伴って生産能力が過多になっているんだとか。具体的には、タービンの年間需要について予想される110基に対し同社は現在400基生産可能な体制になっているそうです。 事実であればそのギャップは著しく大きなものと言う他ないものであり、相応の縮小はやむを得ないところでしょう。

この種の事業の生産体制は、施設も人員も、その規模の大きさや高い練度が求められる事業の性質上、需要の増減に合わせて適応的に拡大ないし縮小する事が難しいため、一般にリストラを実施しづらいものと考えられています。無論、労組も受け入れられない、と激しく反発しています。にもかかわらず、これほどの大規模なリストラを、しかも本拠たる国内で行うというのですから、Siemensとしては欧州周辺の電力市場について、再生エネルギーへのシフトはもはや不可逆であると、確信を持って捉えている、という事なのでしょう。

なお、直近の業績を見てみると、同社のPower and Gas事業については前年比で若干利益は落ちているものの、営業利益率は8%を超える黒字となっています。この点からしても、普通に考えればそこまで大胆なリストラに踏み切るのはなかなか難しいところだったでしょう。周囲には相当の驚きを与えただろうし、意思決定に至るまでに社内でも反発があっただろう事も想像に難くありません。それが分かっていたからこそ、需給のギャップが4倍近くになるまで決断出来なかった、という事なのかもしれません。逆に言えば、よくそれで利益を出せているものだとも思うわけですが。

この種の、衰退が見込まれる主力事業について、実際に追い込まれる前に大規模な事業の縮小を行う経営判断のありようは、合理的な判断を指向する欧米の大企業にあってはしばしば見られるものではあります。ただ、それはIBMやGoogleといった、設備や人員の改廃をやりやすく、比較的フットワークの軽いIT関連の事業者が中心で、自動車や重電といった、どうしても設備投資のスパンが長い事業ではあまり多くはないように思います。その点で、今回のSiemensの決定には注目すべきところがある、と言えるでしょう。

それとは全く逆、往々にして手遅れになってから場当たり的に右往左往するばかりの東芝をはじめとする国内企業各社とは比較するのも馬鹿馬鹿しい位の違いがあります。少しでもこの種の合理性が経営陣に備わっていれば、少なくとも各社が被ったような破滅的な損失は生じ得なかったでしょうに。

とはいえ、労組の反発が激しいというのは実際その通りで、今後の政治も絡むだろう各方面との交渉ないし調整は難航が予想されるのですけれども。 そこを上手く計画通りに纏め、押し通す事が出来るのか、それとも計画の見直しを含む修正ないし過大な補償を強いられる事になるのか。その点でも一種のモデルケースとして、注目に値する案件と言えそうです。

Siemens to Cut About 6,900 Jobs Worldwide in Sweeping Revamp

11/11/2017

[biz] FaceIDの実評価による問題点等まとめ

iPhoneXが発売されてしばらく経ち、新規に導入された顔認証機能FaceIDのユーザによる評価も国内外で一通り出揃ったようです。なので、ちょっとメモ程度にまとめてみました。

総合的な評価としては、手放しの肯定はほぼ皆無であり、殆どの場合に不満点・問題点が指摘されています。Pros・Consで見ると、大体次のような感じでしょうか。ネガティブな評価の方が具体的で圧倒的に多いのはまあ仕方ないのでしょう。

[ユーザ評価・Pros]

・自動的に認証されて便利
・(指紋のTouchIDと比較して)弾かれにくい気がする?

[ユーザ評価・Cons]

・認証出来ない場合が多数あり、不便
 ・顔をカメラ正面に向けなければならない
 (机等に置いた状態では困難・横目で見る事が出来ない)
 ・カメラを一定の距離に近づけor離さなければ認証されない
 ・マスク等の着用時に認証されない
 ・帽子や反射性のサングラスの有無で認証されない
 ・寝ている場合等、顔に何かが接していると認証されない
 ・頬杖などで口に指が当たる場合に認証されない
 ・たばこ、歯ブラシ等を咥えていると認証されない
 ・寝起き、飲酒後には認証されない
 ・髪型が大きく変わった場合に認証されない場合がある
 ・屋外(日光下)では認証困難
 ・(TouchIDと比較して)遅い、時間がかかる
 ・スワイプの手間が余計
 ・認証されてはいけない場合も認証されてしまう  
 ・(一卵性)双子は高確率(4組中3組等)で誤認する
 ・兄弟姉妹も双子程ではないが誤認した
 ・親子でも誤認例あり
 ・目を閉じていても認証される場合がある

うーん。FAR(他人を誤って認証する確率)100万分の1以下、だけを強調した売り文句からして、本人を弾く場合が多いだろう事は予想されていましたが、その範囲が予想よりも多すぎる感じですかね。室内で姿勢や身だしなみを登録時と同じように整えた状態で、真正面にホールドして使うなら殆ど問題はないけれど、顔周りに何か変化があるとアウトになると。それ自体は傾向としては自然な話ではありますが、マスクや寝起き、屋外等の日常的な、当然に頻発する場面でも駄目なのは流石に厳しいですね。 不満の声が上がるのも当然です。

技術的に言えば、近接・非接触の光学的計測方法による認証の弱点や悪い点、また3D形状を認証に使う場合の悪い面が共に出てしまっています。無論、本人の変化が激しく、誤って弾いてしまう場合が多い一方で他人間の差異が小さく誤って受け入れてしまう場合がある、という顔認証本来の悪い点も概ねそのまま現れています。一応ラーニングによる適応の仕組みがある、と言っても、それはこれらの基本的な問題点を解決し得るようなものでもありませんし、それ自体別の誤認識を生むものでもあります。FaceIDの素の特性と見て良いでしょう。

セキュリティの観点からは、兄弟姉妹、親子程度の類似性があれば誤認識し得る、というのが致命的に見えます。公式のFAR100万分の1以下というのは間違いなく嘘、というか評価用のデータセットが現実を正しく反映していない無意味なものだったという事なのでしょう。かと言って、本人を弾く割合が低く設定されているわけでもないようですし、非常に中途半端な性能設定です。

これでは肯定的な評価は与えられません。Appleなら、と期待した向きの多数にも、期待外れな結果だったと言わざるを得ないでしょう。というか、よくこれだけの問題点を放置したまま投入したものだと。しかもあの謳い文句で。TouchIDの方が良かった、という意見も多数見かけますが、それもむべなるかな。

顔認証は環境や対象の変動が激しく、それを全てカバーする事が困難だというのはそれこそ何十年も前から周知の事実で、だからこそ期待されつつも大々的に採用される事がなかった、といった技術的な事情も全て分かりきっていた話です。まさかそれを解決するのではなく、投げっぱなしにしてくるとは。それに加えて大幅値上げですか。普通に考えれば失望と共に消えてしまいそうなものですが、信者とも称される多数の熱狂的なファンがいて、彼らに売るだけでも十分にビジネスになる、というのなら、しぶとく生き残る可能性もそれなりにあるのかもしれません。実際、iPadの次期モデルにも搭載するとかいう噂もあるし、さてどうなるんでしょうね?

なお、少なくとも、これらの問題点が直前に噂が流れたところのセンサの歩留まり云々とは全く関係ない事は明らかです。センサの製造精度が低くなれば認証失敗が急激に増える事はあるでしょうけれども、製造精度を高くしたからといって上記のような場合に認証に成功するようになる事は考えられません。となると、やはり一連の噂は下請け側の性能未達に対するエクスキューズであった可能性はそれなりにありそうです。何とも残念なことですが。

[関連記事 [biz] iPhoneXの顔認証の精度を巡ってAppleと下請けが混乱中?]
[関連記事 [PC] iPhoneX、お披露目デモで顔認証に失敗]

11/09/2017

[PC] 中華キーボードにキーロガー、中国へ入力データ送信

ここ数年数多く流通するようになったところの、Kailh等の中国系メーカーが供給するCherryのコピー軸を用いた安価な中国製ゲーミングキーボードについて、その中にキー入力を記録し、中国のサーバーに送信する機能が仕込まれているものがある事が発覚したそうです。という事でネット中が大騒ぎです。

当該キーボードの製品名はMantistek GK2。US104の有線(USB)接続のフルキーボードで、Cherryコピー軸のバリエーションは黒軸、茶軸、青軸、赤軸の4種、実売価格は大体$50位。中華キーボードの中では標準的なところでしょうか。LEDでピカピカ光るところも、この種の中華キーボードの定番です。このillumination機能は個人的には嫌いだし余計だと思うのですけれども、それはさておき。

本件は、本機をWindows10等で使用している場合に、キー入力が外部に送信されている、との指摘がフォーラム等に複数上げられ、ユーザの一人がトラフィックの解析ツールを用いてチェックしたところ、本機の設定用ドライバツールに含まれる"Mantistek Cloud Driver"がキー入力を記録し、集計したデータが実際に送信されている事が確認された、というものです。何がどうしてキーボードに"Cloud"の機能が必要なのか、名前の時点でヤバさしか感じられません。あにはからんや、送信先は中国Alibabaのサイト(47.90.52.88)で、putkeyusedata.phpという如何にもなphpファイルに受け渡す形になっているんだそうです。ちょっと堂々としすぎじゃないですかね。。。発見者も目を疑った事でしょう。

一応、送信されるデータは各キーの押下回数であり、どの順番で押したかは分からない形になっているらしいため、これで即パスワード等の情報が抜かれてしまうという訳ではない、のですが、使用状況や送信のタイミングによっては差分等からパスワード等を推測する手がかりには成り得るのですし、もとよりやろうと思えばその他のデータも取り放題には違いなく、気休めにしかならないでしょう。そもそも無断でデータ収集をする事自体がユーザに対する背信行為であるわけですし、今更メーカーの自制など期待出来ようはずもありません。

メーカーとしては耐久性のチェックや設計の参考として押下頻度等の実データが欲しい事情がある事は理解出来なくもないところですが、それらの背信行為と区別出来ない以上、絶対にすべきではありませんでした。中国のメーカーにつき、会社を畳んで逃亡されれば損害賠償等の追及はそれほど功を奏する事もなく、実質的にさほどペナルティがあるというわけでもないのかもしれませんけれども。。。安さの代償たるリスクと理解すべき事なんでしょうか、とそれは兎も角。

当然ながら、Cloud Driverを削除、もしくはそれ以前にインストールしなければ当該問題は回避出来ます。ただ、既にネットは本問題を報じる記事で溢れかえっており、製品名やドライバ名等で検索しても公式のデータや仕様にはたどり着けず、そもそもこのドライバが本体に組み込まれていて接続すればインストールされるようなものなのか、外部から追加インストールする類のものなのかも確認出来ませんでした。困った事です。

後者の外部追加型であれば、それを入れなければ済む話です。イルミネーションのカスタマイズ等が出来なくなる不便は生じるでしょうけれども、キーボードとして使う分には問題ないでしょう。前者の組み込み型の場合は面倒になります。何せ接続時に原則自動でインストールされてしまうので、それをユーザ側で無効化しなければなりません。また、この種の安価な製品では設計やソフトウェアが使い回される場合が多く、同種の中華キーボードにも同様の機能が組み込まれたものが出回る可能性が高い事を考慮すると、むしろ安全が確認されるまでは中華キーボード自体の使用を取りやめた方がいいのかもしれません。

当然ながら、当該プロセス(CMS.exe)の通信を遮断するなり、Linux等のドライバが対応していないプラットフォームで使用する分には問題ありませんが、前者は設定が面倒ですし、後者は本機本来のゲーム目的の場合は無理だろうと思われるところです。設定等に不安のある場合は、やはり残念ながらキーボードの交換を検討した方がいいかもしれません。

ともあれ。不法を不法とも思わない中国人の事です。この種の仕込みが発覚するのも、おそらくは時間の問題に過ぎなかったのでしょう。そのコストパフォーマンスの高さから中華キーボードを使用している向きは多いでしょうが、まさか安全だと信じていた(る)人もいないでしょうし、ここは、慌てず騒がず、この機会に一度チェックしてみる事をお勧めします。ただ、あまり多くはないと思いますが、万が一業務の類に使用している人は、急いで対応した方がいいかもしれませんね。手遅れかもしれませんけれども。

Thread in which this issue is reported

MantisTek GK2's Keylogger Is A Warning Against Cheap Gadgets (Updated)

11/02/2017

[note] 仮想通貨バブルの狂気性について

誰もがそうと知りつつ、目先の利益に目が眩んで飛び込み続けるネズミ講でありチキンレースでもある仮想通貨のバブルが止まりません。遂には大手市場での先物取引までもが導入され、その事実自体がバブルをさらに加速させてもいるという始末です。皆そんなに破滅したいのか、と戦慄を禁じ得ません。

bitcoin、ethereum、またその派生の仮想通貨は既に1000種を超え、その殆どが何ら他の財産等による価値の裏付けも、それが普及する保証も無いにも関わらず、金や各種の債権、株式よりも高額で取引されています。それもICO(公開)の時点で。明らかな詐欺すら横行しています。

それらのオープンな仮想通貨は、他の実体を有する財貨とのつながりが希薄、ないしは殆ど皆無です。帳簿上の名義のやり取りに過ぎない、と言ってもいいでしょう。そうであるが故に、通常の通貨や債権類が当然に有するような、財貨間の価値の均衡も、現実の事象との相関も存在しません。ただ、仮想通貨自体が独立した財物と看做されているが故に、その価値を表現するために既存の通貨が用いられているに過ぎない、片面的かつ一方的な関係のみがあるに過ぎないのです。

すなわち、仮想通貨の価値、またそれが取引される市場は非常に閉鎖的なのです。そのため、期待や思惑、それに基づく市場内のプレイヤーの振る舞いのみによって、如何様にも価値が変動します。それを律する事は出来ない、というより第3者的な視点から制御する仕組み自体が存在しません。通常、それらの規律は、国家等の公共性と権威を有する機関が担うのですが、オープンな仮想通貨にあっては、国家すらもプレイヤーの一員に過ぎません。むしろ、率先して参加し、相場を操縦して利益を得ている場合もあるでしょう。国家が運営に参加する事も禁じられてはいないし、Fakenewsは政治的な目的のみに用いられるものではないのです。

それらの、閉じられた市場に流れ込むプレイヤーの漠然とした期待が、それ以外の裏付けも担保もないままに価格を上昇させ、それに引き寄せられた者が財貨を投入して新たなプレイヤーとなり、さらに市場の期待、その総量を膨張させ、それがまたさらに参入を呼ぶ。追加の参加者、またその資金の流入が続く限り際限なく続くだろうその膨張のプロセスの有り様は、Tulip bulbの故事を引き合いに出すまでもなく、正しくバブルと言う他ないものであり、また一方でネズミ講としての構造も有しています。

言うまでもない事ですが、バブルにせよネズミ講にせよ、その膨張がいつまでも続く事は有り得ず、資金と参加者の流入が止まって参加者の期待がしぼみ、見切りを付け出した時点で一気に破綻します。そのことは、既に多数の専門家からの指摘が繰り返されていますし、 それ以前に参加者の多数も不動産やIT技術を対象とした過去の事例等から経験的によく知っている事でしょう。

まして、仮想通貨は不動産等とは異なり、それ自体の価値も、他の財貨の裏付けも無く、それを有しているからと言って何かと交換する事が保証されているわけでもないのだから、それが他の財物よりも高い価値を持つと評価され、さらに高騰を続けるという事自体に全く違和感や危険を感じない、等という事があろう筈もありません。加えて、各国の当局も座視しているわけではなく、主要な取引市場の閉鎖やICOの禁止等を含む規制を多数導入しています。プレイヤーも、また直接参加しているわけでない周囲も、その殆どが仮想通貨市場を取り巻く現状を多かれ少なかれ危険視している事は間違いありません。

にも関わらず、現実には仮想通貨は急激な価格高騰を続け、破綻を避けるために抑制的に振る舞う兆候すら殆ど見られません。これはもはや偶然や無知による暴走、あるいは一部のプレイヤーによる誘導等によるものではなく、マジョリティーの総意に基づく、総体的かつ意図的な動きと解するべきものでしょう。すなわち、皆がそうと知って、あえて歯止めの効かない市場を作り出し、それを維持すべく価格の高騰を生み出しているのです。そうであれば、狂気の沙汰と言わざるを得ません。

その意図するところは何か。投機による短期的な利益の獲得は、誰しもが抱える動機、その中に含まれているものでしょう。それは仮想通貨に関わらず、全ての投機行為に伴うものであり、自然な動機と言うべきものです。ですが、そのリスクを顧みない、どころか進んで作り上げ、際限なく育てようとするその狂気の理由が、ただ目先の利益、それだけなのでしょうか。それだけのために、これほどの人、資金が集められ、仮想通貨市場という場が作り上げられたというのでしょうか。

だとしたら、その行く先は。目先の利益、それが象徴するところの人々の欲望だけがその存在理由だというのなら、 遠くないだろうその破滅が訪れた後、殆ど全てが消え、形として残るものは何もなく、ただその狂気の記録が記されるだけになってしまうのか。あるいは、人の欲望の限り無さを象徴するかのように、形を変えて引き継がれていくのか。もはや、米国等の巨大な国家権力が法的に禁ずるのでもない限り誰にも御する事は出来ないだろう以上、ただその行く先を見守る他ないのです。

少なくとも、仮想通貨の先物取引は正気じゃないですね。株式等のそれとは比較にならないヤバさです。あっという間に死ねますよきっと。自殺したいという向きには丁度いいんじゃないでしょうか。

[関連記事 [biz note] 繰り返す詭弁、致命的欠陥を抱える新技術とそのビジネスの限界]
[関連記事 [biz] Mt.Gox消滅で俄に訪れたBitCoin崩壊の瀬戸際]
[関連記事 [biz] BitCoinのバブル劇に]