カテゴリー: ノウハウ

コンピュータ関連の問題と対処などノウハウを紹介します

リタイアスマホ活用法 最後まで使えるのはカメラ機能?

中古スマホを買ってまで活用しようという話ではありません。
ここでは、機種変更した後に今まで使っていたスマホをどうするかということを書きます。世の中では4割くらいは使われていないという話もあります。また、いろいろな活用方法についての紹介もあります。 しかし、どのような理由で機種変更したのかは様々でただ単に新しい機種が使いたいという理由で変更した場合の活用方法の紹介かと思います。なぜ4割くらい使われていないのかなどを考えると、まさに手元のリタイアスマホがその状態のように思います。タッチスクリーンの一部が使えないなど一部の機能が利用できません。このような状態でも最後の最後まで使いつぶすにはどうすればよいかを書いてみます。

活用ノウハウ:故障の範囲は徐々に広がります。故障しても利用したい機能への影響が少なくなるように、リタイアしたらすぐに故障影響の最小化処置をします。
1)使いたい機能以外の不要なアプリケーションの削除や停止をします。それぞれのアプリケーションがいろいろな機能を使っているので該当機能が故障した場合、ハングアップするなど動作に影響を与えることがあります。
2)パスワードなど起動時のロック操作を単純化します。ロック解除してしまってよければ解除しておきます。あまり複雑なパスワードを設定すると様々な個所の場面をタッチ操作する必要が生じます。つまり、操作が多ければ多き程、タッチスクリーンの部分故障の巻き添えで起動できなくなる確率が増します。
3) 1)と2)の組み合わせに近いのですが通知が行われるアプリケーションを削除します。使いたい気分かもしれませんがあえて削除します。通知ダイアログの操作部分のタッチクリーンが機能しなくなると、通知ダイアログにブロックされて何も操作できなくなります。電源ボタン長押し+タッチスクリーン操作で再起動するしかありません。このとき”再起動”操作部分のタッチスクリーンが反応しなくなっていると電池が切れるまで再起動もできなくなります。
4)多分、パスワード起動ができなくなったあとでも利用できるのはカメラ機能なので、最後まで活用できるのはカメラ機能だと思います。初期設定だと撮影した画像は本体内メモリに保存されるのでパスワード起動ができなくなると取り出すこともできません。そこで、事前に撮影した画像を直接外部のSDメモリに保存する設定にしておきます。これによりパスワード起動しなくてもカメラ機能を使用して画像を回収することができます。
5)「2019/7/22追記」 最後は、3)の阻害事項に対する最終?対応手段です。WiFiで接続して通知を受け取ることによって、通知ダイアログが出ます。よってこのダイアログが出ないように、WiFiに接続できないようにしたしまえばよいわけです。ただパスワード起動さえできなくなっているのでリタイアスマホ側では何も操作できません。なので、無線LAN側でパスワードやSSIDを変更してしまうことで、WiFi接続を抑制できます。WiFiを利用しているほかの端末も設定変更が必要ですが、設定を見直す機会として必要な設定見直しを合わせて行えばよいでしょう。
6)「2019/7/27追記」5)の別解です。ボタン操作による強制電源断です。その機種によってやり方が違うので、やり方自体はそれぞれの機種ごとに確認してください。私が使っているリタイアスマホでは「 ボリュームアップボタンを押しながら + 電源長押し(約5秒) 」です。

ちなみに手元のスマホは半年前には現役で使っていました。タッチスクリーンの上のほうのごく一部が認識しなくなったので3月に機種変更しています。今時点では半分くらい認識しなくなっています。こんなペースで故障範囲が広がっていくので、中古スマホの”難あり”のものはたぶん半年もすればほとんど使えない状態になるでしょう。それでも4000円くらいで売られていたりするのを見るとうなります。部分的にでも故障していないものは3万円などかなり高い値段です。そんなに高いのに故障し始めるまでの時間がないのでわざわざ中古を買うのは無駄でしょう。

個人情報流出?で作られた現代の(電波)灯台 その2

WiFiのMACアドレスと位置情報をもとにしたWiFiベースのGPSの件です。GoogleにMACアドレスが登録されているかどうか、登録されているとすると具体的にどの場所にあると登録されているのかを調べてみました。
 まず、確認するサイトについて書かれているページがありました。 このページにMACアドレスと3つないし2つ入力することで、位置情報を確認できます

”空の状態”、「 00:00:00:00:00:00」で、確認できる位置は、アクセスしている自分の位置がどこなのかをプロバイダ経由で所得された場所と思われます。ここにMACアドレスを色々入れて確認してみました。
まず、あるアクセスポイントで取得した干渉候補の無線LANの情報一覧を利用してみます。この情報には一覧には36個のMACアドレスがありました。このうち6個は自分のAPのものでした。そのほかの30個の中にはMACアドレスとSSID名から同一APのMACアドレスと判断できるものが、4セットありました。このセットをそれぞれ入力するとばっちりどの場所にあるのかを特定できてしまいます。
 

それぞれ入力すると最も遠いところは500mほど離れていました。かなり強力な電波を発しているAPもあるようです。それから、2個入力しても、”空の状態”と同じ位置を示す組み合わせが出てきます。これは位置情報をMACアドレスから取れていないこと、つまりこの組み合わせのどっちかのMACアドレスの位置情報が登録されていないことを示します。これもMACアドレスがどのように登録されているのかの検証に利用できます。
 このような検証を通して、確認できたことは次の通りです。
・「_optout_nomap」をSSIDに付加しても、すぐにはMACアドレスと位置の情報は無効にならない。
・ MACアドレス と紐づいている位置はだれでも簡単に参照することが可能である。つまりMACアドレスは住所と同じ個人情報に相当する。
・MACアドレスが1個しかわかっていなくても、ある程度近い位置にある位置を特定済みのMACアドレスと組み合わせることで、位置を特定することができる。500mくらいの精度で場所が分かればと特定はできそう。
・マルチSSIDや、2.4GHzと5GHzの複数チャンネル利用などを利用しているAPが3割程度ある。その情報から位置を特定できるMACアドレスが多数ある。

代替仕組みはわかりました。そこで、無線LANメーカへのコメントです。 個人情報流出につながるおそれがあるので、マルチSSIDやマルチチャンネルで使用するMACアドレスは連番ではなく容易に想定できないものにするべきです。


個人情報流出?で作られた現代の(電波)灯台

私のiPadはGPSを内蔵していないにもかかわらず、位置をかなり正確に認識している。ただ、PocketWiFiを使って遠くにお出かけするとGPSを見失ってしまうことがあります。どんな仕組みで認識しているか、任意の位置を(誤)認識させることができるか実験してみましょう。

まず、どのような仕組みでiPadが位置情報を取得しているのかを調べてみました。マイナビサイトに情報「 iPod touchやiPad、GPSなしでも正確な位置情報がわかるのはなぜ? 精度は? 」がありました。GPSがある端末で位置情報を特定し、その場所で受信可能なWiFiの情報をセットで取得して、マップ化しているそうです。パスワード無で取得可能なWiFiの情報を利用することで、それなりにWiFiが使われている場所なら位置が特定できるというわけです。ただ、元の情報を収集する際にパスワードを使って繋げたWiFiの情報を収集されているような不安を覚えます。
 

 それでは、どれだけの情報を使って位置情報を取得しているのか見てみましょう。
 iPad WiFi設定で見えるWiFiは8個ありました。10個になるときもあります。これだけの数が見つかればかなり精度よく位置情報を特定できるのも納得できます。” 遠くにお出かけするとGPSを見失ってしまう ”は、民家が存在しない、つまりWiFiを利用されていない場所で発生していて。上で紹介されている仕組みで説明がつきます。
 また、もう少し詳しくパスワード無で取得できる情報を見てみましょう。

iPadでは、SSIDの名称しか見えていませんが、WiFi Analyzerを使うと、productor(機器のメーカ名)、MACアドレス、セキュリティ方式、周波数、受信強度を参照できます。SSID名以外の情報をどこまで使っているのか気になることころですが、それにしても、こんなに沢山の電波が飛び交っているとは、情報はダダ洩れ状態ですね。自分が管理している無線LAN以外に思わぬものがWiFiのSSIDを送信していることが分かりました。 それはプロジェクタと家電リモコンです。どちらも、WiFiは起動来ていなくても問題ないのでWiFiをオフにしておきます。プロジェクタのWiFiをオンにしたままにしていたのは今回 WiFi Analyzerを使って探索するまで完全に忘れていて、強い電波が外からきているのかと家の中、外をうろうろしてしまいました。そして、電波の強い場所(部屋)とメーカー名から目的のプロジェクタにたどりつきWiFiの設定をオフにしました。

ここまでで、受信しているWiFiは5個か6個です。見えているのは、いずれも自分で管理している無線LANのSSIDです。マイナビサイトに「位置情報を取得されたくない場合は?」の記事によると、 アクセスポイント名の最後に「_nomap」 とか 「_optout」を書くことで、 Wi-Fi位置情報収集をやめるそうです。iPadで検証するのでアップルの動作を優先して 「_optout_nomap」 という文字列をSSIDの後ろに追加してみます。影響がある端末がため 大変です。

まず1台目を変更します。手元のPCから無線LANのSSID名設定変更は成功し、iPadのWiFi設定の変更も完了しました。つぎに排水ポンプを接続しているスマートコンセントのところまで行ってリセットとWiFi設定のやり直し、設定名も変わってしまったのでスケジュール設定もやり直しです。それからIFTTT設定も再確認します。とりあえず、利用頻度の低い1台の設定変更のみ完了です。この設定変更の効果を検証してみます。問題の無線LANのアクセスポイントの方向にアクセスポイントを通り過ぎて突き進んでみました。 SSID名に 「_optout_nomap」 を付加したアクセスポイントは見えるがこれまで見えていたアクセスポイントは見えなくなる位置まで移動しました。これまで見えていなかった他の家のSSIDが見えている状態になりましたが、ほとんど位置は移動していません。よく見ると 「_optout_nomap」 を付加したID以外にもう一つSSIDがあり、それが効いているようです。それは使用していないマルチSSIDの一つでした。

 そこで、不要なマルチSSIDは停止して、端末側のパスワード設定変更をあまり行わなくてもよい無線LANのSSIDには 「_optout_nomap」 を 付加することにしました。 これにより、位置特定に使用するSSIDはかなり少なくなっているはずです。
最初8個見えていたSSIDは、2個は機能停止、2個はマルチSSIDの停止、2個は 「_optout_nomap」 の付加で見えない状態となり、現状1台の無線LANの2.4Gと5Gの2つのSSIDだけが見えている状態となりました。
さてここで、残った1台の無線LANを停止してどうなるか検証してみます。電源を切ると、この無線LANに接続していたgoogle homeと家電リモコンのSSIDが見える状態になりました。そして、認識している位置は変わりません。 Google homeと家電リモコンのSSIDが 効いているのかと思いそれぞれの電源を切りましたが効果はありません。WiFi AnalyzerでみるとiPadでは見えていなかった微弱な電波が5つ拾えています。2つは別の階の機器で、3つは隣家のものと思われる電波です。ただ、この情報だけでビッチっとほぼ誤差なく位置特定しているとするのは無理があるように思います。

再度、位置情報を特定する仕組みと元情報を再検討します。 「_optout_nomap」 を付加したID の情報をリポジトリに登録していないというのは事実としても、それは登録しないだけで、すでに登録している情報は何かを再考します。位置特定精度が変わっていないことを考慮すると、今回の設定変更で変更されていない情報を利用していると考えるのが妥当でしょう。SSID名はリポジトリに登録するかどうかの条件に利用しているだけでリポジトリには登録しておらず、MACアドレスと位置の情報を登録していると仮定してみます。すると、今まで観測した挙動と一致します。またこの方法だとリポジトリに登録するデータ量を抑制することにも効果がありそうです。では、検証に移りましょう。

現状、iPadのWiFiには 「_optout_nomap」 が付加されたSSIDが4個しか見えていません。それぞれの SSIDに紐づくMACアドレスをWiFi Analyzerで確認します。以下、説明するために符号化した名称と下3バイトのMACアドレスを使用します。 WiFi Analyzerで確認したMACアドレスはそれぞれ、つぎのとおりでした。
P2: c5 7f 2a
TM: c5 69 64
2G: fe c9 92
OL: 8e 18 95
これを変更できるか調べてみました。無線LANの設定画面でこのMACアドレスを参照できましたが、変更する方法は見当たりませんでした。無線LANのWAN側のMACアドレスを指定する機能がある機種はあるようですが、無線LAN側はなさそう。MACアドレスを設定変更できれば、リポジトリに登録された情報から解放されるのですが。 また、マルチSSIDを使用すると最後の1バイト分が変わったMACアドレスが付加されていました。オリジナルのMACアドレスを無効化できればよかったのですがこの機種ではできませんでした
 SSIDのステルス化の機能もあります、これを使えば他人の端末が勝手にリポジトリ登録してしまうことはなさそうです。しかし設定するとその無線LANに接続する設定が少し面倒になります。最初の1回は手作業でSSIDを入力しなければなりません。そのSSIDを入力した端末が位置情報のリポジトリ登録に行くので、ステルス機能だけではリポジトリ登録の無効化には効果がないでしょう。
 それから、アップルの場合はSSID,MACアドレスと位置情報を登録されないようにする方法はないそうです。よってiPadについては、無線LANの電源を落として検証してみました。自前の無線LANが見つからなくなると、これまで、しっかり維持情報を把握していたものが、”GPSが見つかりません”を連発するようになりました。ときどき隣家のWiFiの電波が入るので、その瞬間は位置情報を把握できます。ここまでの確認結果から、位置情報を確認する際は、MACアドレスだけを使用していると推測されます。
 また、Google homeについては、現時点 リポジトリ登録されている情報が古くなって無効化されるまで検証待ちとします。そういえばGoogle homeが以前400km以上離れた別の県を所在地と誤認識していたことがありました。
アップル、Googleともに一度別の場所で位置情報を登録した無線LANを置くことで、位置を誤認識させることができそうです。


毎日の運動の記録に活動量計 その2

前に”リタイア”したスマホで代用しようと書いた活動量計(歩数計)ですが、インストールした歩数計アプリが重いのかハングアップする事象が数回発生しました。そこまでなら再起動でごまかすのですが、タッチスクリーンの反応しない範囲が拡大し、起動パスワードの特定文字を入力できない状態になってしまい、実質リタイアスマホが使えない状態になってしまいました。このためリタイアスマホはパスワード起動しなくて未使用できるカメラ機能だけ活用しています。それはさておき、活動量計、歩数計探しの再開です。

リタイアスマホは、充電が2日しか持たず、気が付いたら切れているので、活動量計は、1回の充電でどれくらい使用できるかに着目して設定することにします。各種の活動量計を調べると、意外にダメな点が電池の持ち時間や交換方法など電源まわりに依存していそうです。
以下、前にかいた機種を中心に情報を並べてみます。


GanRiver スマートウォッチ 血圧 心拍計 歩数計 活動量計 IP68防水 消費カロリー 睡眠検測 アラーム 着信電話 Line通知 多機能健康管理 腕時計 iphone&Android対応 日本語説明書 3999円 → 販売側のサイトには電池周りの情報はなさそうだが、レビューにはいくつかコメント有。10日くらいもつとか、1週間はもつとか情報はありましたが使用条件などの細かい情報はなくどの機種へのコメントなのか(いろんな製品に同じコメントがでてくる)不明確だったり情報はあまり信頼しないほうが良いかもしれない。日本語サポートがダメそうなコメントがある。
→中国製

itDEAL 活動量計 スマートウォッチ 心拍計 + 歩数計 + 血圧測定 + 睡眠検測 ] タッチ操作 Bluetooth4.0 IP67防水 着信通知 Line通知 SMS通知 iPhone iOS Android 日本語アプリ対応 3144円
 → レビューコメントより、 「2日も電池が持ちません 」とか「 1日持つ時と気づいたら電池切れの時がありました。 」の記述があったり、「 電池の持ちは、24時間 Bluetoothでスマホに接続したままですが、1日使っても電池の残量目盛り4つのうち1目盛りも減りませんが、だいたい1日1目盛りを目安にしています。 」の記述があったり、よくわからない。特に3つめは分かりにくい3日は持つと言いたいのか? 「 前のモデルから…着信のバイブが長くなったこと、血中酸素量の測定がなくなった事、脈拍などを30分単位で自動的に測るからか、電池の持ちが悪くなった事が欠点 」やはり複数の機種のコメントが見えている感じがする。
→中国製

Newpower スマートウォッチ IP68防水 心拍計 歩数計 活動量計 消費カロリー 睡眠検測 着信電話通知/SMS/Twitter/WhatsApp/Line/アプリ通知 長座注意 日本語対応 iPhone/iOS/Android対応 2999円 → カスタマーQ&Aより「3日くらいは余裕で持ちます。 」
→中国製

 Yamay スマートウォッチ血圧計 万歩計 活動量計 心拍計 IP68防水 消費カロリー 睡眠検測 アラーム 着信電話 Line通知 iphone&Android対応 3999円→カスタマーQ&Aより「 一回の充電で待受時間は1週間ぐらいですが、運動モニターを使い、着信の通知などの機能を頻繫に利用すると2、3日くらいのバッテリーのもちでございいます 」
→中国製

KYOKA  スマートウォッチ 血圧計 心拍計 歩数計 活動量計 IP67防水 LINE対応 USB充電 消費カロリー Facebook/Twitter/Gmail/アプリ通知 着信通知 電話通知 睡眠検測 生理管理 長い待機時間 iPhone/Android 3999円
→ 国内でワンクッションあるようだが中身は中国製っぽい → レビューコメントより「 フル満タンで1日持たない 」

↑欲しいのは歩数計と時計機能だが、電池の持ちは1日から4日くらいのようだ。もっとも、電池の持ちは使い方次第のようだが、 歩数計と時計機能だ けでどれくらい持つかの情報はあまりない。

ということで、ほかのものも探してみます。
fitpolo スマートウォッチ 活動量計 心拍計 歩数計 距離測定 睡眠モニター 消費カロリー 電話/LINE/着信通知 目覚まし時計 座りがち注意 腕上げて自動点灯 IP67防水 iphone&Android対応2590円
→ カスタマーQ&Aより 「 (充電時間は)1-2時間です。一回の充電で8日間以上使えます 」
→中国製

Sorking 心拍計 活動量計 万歩計 睡眠計 多機能スマートウォッチ IP67防水・防塵 着信通知 消費カロリー 目覚まし時計 遠隔カメラ 長座注意 電話 Line SMS Facebook Twitter通知 距離測定 1999円
→レビューコメントより「 *悲しいくらい電池が持たない。以前の機械は、何とか一週間くらいは持ったのですが、これは、2日・・・せいぜい3日。短すぎです。 」
→中国製

ウェアラブル 万歩計 anemos fit AW-001 スマホ連動の万歩計、4320円
ウェアラブル 万歩計 anemos fit AW-002 スマホ連動の万歩計 心拍計付き
山佐時計計器 5200円
→ メーカーサイトより「 約45分でフル充電、約2~6日間、持ちます 」
→中国製


いっそわりきって、データ連携ナシなら。
山佐時計計器 万歩計 ポケット・バッグイン万歩計 ポケット万歩 ピュアホワイト EX-500W 2272円 → 腕時計ではないので時刻を確認するのは少し手間…
→国産? なかみは?

オムロン(OMRON) 歩数計 ホワイト HJ-325-W 1539円
→ 腕時計ではないので時刻を確認するのは少し手間…
→中身は中国製

City-Center 万歩計 腕時計型 活動量計 多機能スマートバンド 消費カロリー 手首型 歩数計 活動距離 簡易版健康管理腕時計 色 ランダム 270円 →感度についてコメント有、電池周りの情報なし
→中国製

Bartram  スマートウォッチ 活動量計 心拍計 血圧計 着信通知 防塵防水 フィットネス 活動 iphone&Android対応 785円 →充電が2日ほどしか持たないとレビューコメント有
→中国製

Zhaoya 腕時計 心拍計 歩数計 着信電話通知/メッセージ通知 睡眠監視 目覚まし時計 長座注意 iphone&Android対応 英語説明書 888円 →届くのが遅いとコメント有、 浙江省 からEMS、船便で送られてくるのだろうから3週間くらいかかってもおかしくはない。→レビューコメントより 「 フル充電で2日はもつ。 」
→中国製

電池は2日程度しか持たないものが多い。これでは”リタイアスマホ”と同じくらいしか持たないので、もっとほかにないか調べてみました。

【スマートウォッチ T-PRO 10%offクーポン配信中!】 メンズ iphone 対応 android 日本語 line 対応 着信通知 活動量計 腕時計 血圧 心拍計 腕時計 Lifesense band2
それなりに電池が持ちそうな記載を見つけたので、これにしてみました。

とりあえず、フル機能で使ってみました。フル充電で4日間ほど使えます。睡眠中は電池の減りが少なくなっています。下のグラフがガタガタしているのはそのせいです。使用方法によって消費電力が違うのがよくわかります。多分人によってどのくらい持つのかが変わるでしょう。腕をひねると表示機能が起動するのでそのような動きが多い人は電池の減りは早いかもしれません。 そして、電池の残量が3%になったところで、タップの操作に電池付属の表示しかしなくなったことに気が付いて、充電しました。残量9%では機能していました、たぶん5%を切るとセーブモードに入る感触です。その状態でも歩数カウントはしているようですが、心拍数の計測は止まっていました。心拍計を止めることで機能時間を延長しようとしていると思われます。その工夫はgoodかな。

で、調べてみると、 設定で”心拍計を止めること”ができ、止めた場合に電池の持ちがよくなるという記載を見つけました。  そこで、現在、心拍計をオフにして使用中です。今時点でフル充電から4日目で、電池残量は82%です。0%まで延長すると22日くらいになりそうです。5%で操作できなくなると思われるので、その時点までとして21日くらい持ちそうです。

この続きは、また今度。 → 7/24のその後の状況

WordPress脆弱性の再現方法 再現検討

脆弱性 CVE-2019-8943対処済みなのかどうか情報がふにゃふにゃしているので再現検証してみようかと少し調べてみました。 
NVDによる再現方法などの情報があるブログにあるということで、それを参照してみました。

このサイトの再現確認状況の情報は影響バージョンは4.9.9と5.0.1でが未対処の情報しかなく最近の情報がないようにみえます。以下翻訳文面です「 影響範囲: この記事で説明されている脆弱性は、バージョン4.9.9と5.0.1のセキュリティパッチによって悪用されないようにされました。ただし、Path Traversalはまだ可能で、現在パッチは適用されていません。不適切なPost Metaエントリを処理するプラグインがインストールされているWordPressサイトは、悪用を依然として可能にします。私たちは、WordPressのセキュリティ月の準備中に、過去何百万ものアクティブなインストールを含むプラグインがこの間違いをしているのを見ました。 WordPressのダウンロードページによると、このソフトウェアはインターネット上の全Webサイトの33%を超える割合で使用されています。プラグインが問題を再導入し、古いサイトなどの要素を取り込む可能性があることを考慮すると、影響を受けるインストールの数は依然として数百万にのぼります。 テクニカル分析 パストラバーサルとローカルファイルインクルージョンの両方の脆弱性は、ボタンをクリックするだけでスキャン時間3分以内に当社の主要なSASTソリューションRIPSによって自動的に検出されました。しかし、一見したところバグは悪用できないようでした。脆弱性の悪用ははるかに複雑ですが可能であることが判明しました。 」


 煮え切らない情報の原因は、つぎの複合で発生しているように思われます。

・検出者が、具体的にどのバージョンで対処されているかのをレポートしていない。→”2019/2/14:WordPressがパッチ提供し、そのパッチで対処済みであることを確認した”ししかなく、対処されたWordPressの特定バージョンでの検証悔過を公開していない。
・検出者は単純な?再現方法を公開していない。→誰でも検証できる状態になっていない?
・WordPressが2019/2/14よりあとにリリースしたセキュリティパッチは5.1.1しかないが、パストラバーサルの対処をしたと明言していない。→脆弱性はWordPress自体ではなくプラグイン側のAPI使用方法にあると考えているのが原因かもしれません。
・WordPress単独では脆弱性を悪用されることはなく、ある機能を不適切に使用したプラグイン(該当するプラグインは複数(多数?)ある)を組み込んでいる場合に脆弱性を悪用される。

このように脆弱性の作り込み原因の責任がどこにあるのか不明確な状態であるためこのような状態になっているといえます。WordPress側で対処したのだから明確に情報公開をするべきでしょう。

WordPress 5.2.2の後に特に情報なし?

WordPress 5.2.2はセキュリティ修正のようなリリースのされ方でしたが、7/4時時点でWordPressのサイトでは5.2.2はメンテナンスリリースとしかかかれていません。ほかのOSSの情報公開のタイミングを参考にして後から公開されるものとして書いていました。ここでは、過去のWordPressセキュリティ公開タイミングを再確認して、5.2.1、5.2.2がどうなのかを推測してみます。

 直近のセキュリティ修正5.1.1と5.0.1についてみます

 WordPress5.1.1
WordPressサイトでの5.1.1リリース日 2019/3/12
WordPressサイトでの5.1.1セキュリティ情報公開日 2019/3/12
JVNへの5.1.1(CVE-2019-9787)の情報登録日 2019/4/10 約1か月後

 WordPress5.0.1
WordPressサイトでの5.0.1リリース日 2018/12/13
WordPressサイトでの5.0.1セキュリティ情報公開日 2018/12/13
JVNへの5.0.1(CVE-2019-8942)の情報登録日 2019/4/1 約3か月後

その他(CVE-2019-89435.0.3まで?))
・→ まだパッチが公開されていないとされている(2019/7/4時点)

パッチ公開とほぼ同時に脆弱性情報が公開されるパターンもあれば、パッチがない脆弱性情報が公開されるパターンもあります。 CVE-2019-8942 についてはWordPressサイトの セキュリティ情報公開日 しているものがWordPress5.0.1のリリース日でしかなく、JVNへの登録日の直前に情報公開されたのなら、パッチリリルースの3か月後に脆弱性情報が公開されたことになる。このようにいろいろなパターンがあるので、5.2.1も5.2.2もいずれも今後セキュリティ情報が公開される可能性がまだ残っているということになりそうです。  もしもそうなら、CVE-2019-8943 は5.2.1で修正されていたということなると推測します。


データサイエンス、あなた(御社)はどのレベル?

最近、またまたAIって言葉が頻繁に登場してきているけど、それは何回目のブーム?かご存じだろうか?1990年ころは、一定のアルゴリズムに従って挙動する仕掛けがあればAIと呼んでいました。その後、繰り返しAIのブームがありました。そして現在のAIブームはディープラーニングをベースにしたものです。ディープラーニングは単機能として成功した仕掛けといってもよいでしょう。なぜそうなるのかわからずに使うのは厳しいので、なぜそうなるのかを解析して理解し使いこなしていこうとしているのが現在のフェーズです。将来のAIは多数のディープラーニングの仕掛けを多数のディープラーニングの仕掛けで最適に組み換えながら使っていくものになるでしょう。その仕掛け自体が自己学習を始めたらいわゆる技術的特異点=シンギュラリティーとなるにときがくるでしょう。今の時点で、シンギュラリティーを迎えるためのハードウェア環境はすでに整っていてあとは組み合わせる仕掛けを整えるだけでよいくらいのレベルになっているように思います。もちろん特定のマシンというわけではなくインターネットのネットワークにつながっているリソースを考えればということです。
 さて、現在のAIの利用状況を見ると業種ごと、企業ごと、人ごとにレベルに違いがあり格差が生じていて、この格差は”AI格差”といわれています。そしてここでいうAIは、前述のディープラーニング以降のAIです。
 ということで、あなた(御社)はどのレベルなのかを振り返ってみてください。みてください。AI活用といっても、ディープラーニングを活用した自動機械化から、ビックデータ解析により新たなビジネスを掘り起こすことまで様々です。AI格差はこのAI活用をうまくできたものがいわゆる勝ち組?になれると言っているようなものでしょう。
 ディープラーニングの活用をすでにしているなら、さらに活用範囲を広げるときに次のようなことも考えればよいでしょう。今時点でディープラーニングの活用ができているところはあまりありません。これからディープラーニングを活用するとして、どのように導入していけばよいのか考えてみましょう。ディープラーニングには入力と出力があります。まず”出力”を何にするのかを考えましょう。普通は利益が出るとか都合がよくなる何かです。例えばある自販機を考えたとき、売上金とか、利益などを指標にするのがよいでしょう。つぎに”入力”つまり”出力”を説明するための情報です。ある売上を説明するための情報です。自販機を設置した場所の条件とか時期とか商品の種類とか商品の配置とかさまざまな情報を入力とします。この ”入力”と”出力”の データのセットを用意します。一昔前のデータマイニングでは各入力と出力の相関関係を出したり、推測の関係式を立てたりして推測していました。ディープラーニングでは、このデータのセットを投入して売り上げを予測する仕掛け”学習済みデータ”を用意します。また、この ”学習済みデータ” をつかって、別途用意したデータを投入して予測精度の確認や予測利用します。このように ディープラーニング にはデータが必要です。そしてこのデータを用意することが第一歩です。データがないならデータを取るところから始める必要があります。ただ今どきはすでに多量のデータがあって、そのデータを人手で処理しているところもあるでしょう。そういう場合はどのようにディープラーニングを導入するかを検討するだけでよいでしょう。ディープラーニング活用の一歩手前の状態にあるといってよいでしょう。データをこれから収集するという状態であれば、何の情報を収集するのかから考えることになりますが、思いつくままに必要と思われる情報を順次追加していく方法だとスピーディーな対応が困難です。その方法を選択する何か理由があるのならそれでも良いでしょうが、効率的に進めるなら情報収集してそれを活用する仕掛けに拡張性を持たせつつ、”今後使うかもしれない”というあまり必要ではないかもしれない情報まで含めて収集してしまうのが良いでしょう。本当にゴミの情報は不要なので、仕分けることは必要です。つまり情報を収集し始めるときに何を収集するのかデータの保存領域のサイズを気にしながらデータを集めるのはストレージの価格が安くなってきた2019年時点では無駄です。取捨選択に時間をかけるのをやめて、収集したデータをどこに保存してどう使うかに時間を使ったほうが良いです。逆にビッグデータサイズのデータで保存しているかどうかを気にしたほうが良いかもしれません。兎に角”出力”をどうするか決めて”入力”となりそうな情報を使える形で収集していき、どのように使うかに注力すればよいでしょう。

 このようなディープラーニング活用のようなところを一括りにして、「シンギュラリティー 一歩手前の技術」の活用として、”Pre Singularity Technology (PST)”と定義します。PostSTに何があるか楽しみですが、まずはPSTを使い倒しましょう。
 ちなみにわたしは長年Singularity で思い起こすのは、”magnetic singularity”か”gravity singularity” です。

大雨で自動での排水起動頻度が不十分なので音声起動を追加

雨が降り出したら自動排水するようにIFTTTのAplletを追加しましたが、その対処では不十分なくらいに大雨になっています。これまで頻度がそれほどでもなかったので手動で起動していましたが、そうもいっていられないくらいの雨になってきたので、音声で起動で指定するAppletを追加します。

IFTTTのサービスを使って、雨が降り出したら排水ポンプを動かすAppletをGoogle homeとEchoそれぞれについて設定します。まずIFTTTで「New Applet」すると次が表示されます。

「+this」をクリックして実行する条件”トリガー”を設定します。ここでは「Google Assistant」もしくは「Alexa」を使っています。検索枠にサービスの名称の頭から数文字”As”や”Al”を入れると選択肢が表示されます。
” Google Assistant”や”Amazone Alexa” をクリックします。

次に起動ワードを指定します。起動したいだけなので、”Say simple phrase”を選択します。

起動ワードに は「排水」を、指定します。「Create trigger」をクリックします。

「+that」をクリックして、何を実行するかを指定します。

実行する処理をサービスの中から選択します。ここでは、利用するスマートコンセント”Meross”を指定します。

”Turn on”(電源オン)を選択します。

登録した”排水ポンプ”のスマートコンセントを選択し、「Create action」をクリックします。

設定した内容を任意の名前を指定します。 「Finish」をクリックしIFTTT設定を完了し保存します

以上で、「雨が降りだしたら自動で排水」することができます。排水ポンプを止めるほうはスマートコンセントのスケジュール設定で「1分後にオフ」を登録しているので、1分後に自動的に排水ポンプは停止します。

いいね 家電リモコンのセンサー機能

ちょっと前に試しに設定していて忘れていた機能が動作して、やっぱりいいねと思いました。
それは、センサーで取得した明るさの情報をもとに家電を操作する設定です。次のように設定しました。

1)IFTTT連携の設定を行う。

2)IFTTTでつぎのようにAppletを作成する。

 2-1)then に RATOC remoconを選択する
2-2) リモコン明暗 (照度) を指定する
2-3) 基準値1(100Lx)より低いを選択する
2-4) Create Triggerを押す
2-5) that に RATOC remoconを選択する
2-6) エアコンの操作を設定する
2-7)エアコンの操作で 停止 を指定する。
2-8)Create Actionを押す

以上で設定は終わりです。

この設定で、電灯を消して部屋が暗くなれば自動的にエアコンが切れるので、エアコンの切り忘れを防げます。 逆にエアコンをつけたままにしておきたければ電灯を点灯したままにしておく必要があります。その場合でも離れたところからオンになっていることを気が付けます。エアコンの消費電力に比べれば電灯のほうはそれほど多くないので、消費電力的にも無視できるでしょう。
 RATOCの仕掛けに改善してほしい点を言うとすると、「 基準値よりxx 」という条件だけでなく、「xxx以上からxxx以下に変わった」など、条件をきめ細かくしてほしいところです。 現状の「 基準値1(100Lx)より低い 」の条件だと、電気を消した時点だけでなく、暗い時間帯に複数回”エアコン停止”の操作が行われることになります。エアコンの動作的には何も起こりませんが、リモコン操作がおこなれたのと同じで”ぴっ”という音がします。

そんな感じで、現在の状況に合わせて動作する仕掛けは、うまく使えばなかなか便利です。その点は、Amazon EchoとGoogle homeの音声アシスタントにも当てはまります。今の状態を認識したうえでそれに合わせてより期待に近い動作をさせるというものです。今の時刻、現在の場所、などです。「今日の天気は?」と聞くだけで、現在地の天気を教えてくらますよね。現状はGoogleのほうが状態認識しているものの情報量が多く、的確な動作をしていると感じます。

たとえば、つぎのようなものです。

・テレビがついているかどうか
  → リモコンボタンの電源操作は、ON/OFFどちらも同じ信号が送信されます。このため、テレビの状態を認識できていないと「テレビをつけて」の操作の結果として”テレビを消して”しまうことがあります。
Google home(Chromchast)の場合はリモコン操作でないので機能するのですが…

・誰が操作したか
  → 誰が操作したのかを認識してその人の設定で動作する。
   カレンダーなど個人アカウントと紐づいている情報にアクセスして動作します。

・今、何をしているか

ということ、スマートスピーカーは、その機器で認識した5W1H?を条件にして、それについて前置きする音声入力することなく機能するので違和感なく使えます。このレベルまではふた昔前のAIのレベルです。今どきのディプラーニング技術をこの5W1Hの管理に組み込めば、スマート何とかはさらに進化できるはずです。

WordPress 5.2.2の修正内容 と脆弱性  

WordPress5.2.2のことを書く前に、以前に書いたWordPress脆弱性で完結できていないものを再確認します。
まず以前に書いたCVE-2017-6514について書きます。JVNのDBには2019/6/6に登録されています。これは私がここに投稿した日より2週間ほど遅い。JVNの情報から修正内容など新たに分かる情報はありませんでした。最近の動きは6/14にある脆弱性チェックツールで検出できるように強化されたことが情報公開されています。このタイミングでの情報公開なのでWordPressの修正コードなどの情報をもとにチェックルールを作成したものと推測されます。まだWordPress側では脆弱性情報が公開されていません。現在関係機関と公開に向けて調整しているのではないかと推測します。
つぎに、WordPress5.2.1の修正情報の再チェックです。前回チェックしたときに内容チェックに終始して、後で更新されることは想定していませんでした。ぱっと見た範囲では、変わっていません。この状況だと更新される可能性がありそうです。
さて、本題のWordPress5.2.2の修正内容についてです。13件のバグ修正とWordPress5.2で追加したサイトヘルス機能をちょっと更新したとリリース情報には記載されています。

#45094 #46289 #46997 #47227 #47429 #47558 #47475 なし

#46749 4.3

#46881 #46957 #46960 #47070 #47158 5.2

作り込みバージョンの記載がないもの7件、4.3が1件、5.2が5件です。
バージョンの記載がないものの修正内容は次ように、脆弱性に関係しそうな記述はありませんでした。
#45094 ダッシュボードのいくつかのエレメントでフォーカスされない
#46289 メディアモーダルでのナビゲーションアローのリンク先間違い
#46997 テーマの更新でリンクが動作しない
#47227 サイトヘルスタブの文字列修正 → 5.2での強化分の修正
#47429 更新パッケージ
#47558 更新ページのアップデート → 5.2.2で勝手にアップデートした件でしょう
#47475 typoの修正

脆弱性に該当しそうな修正内容の情報はありません。5.2.2は”セキュリティ更新”として更新が自動適用されたり、修正公開の事前情報など脆弱性対処をしたりした状況と推測される状況なので、セキュリティ修正がリポジトリには登録されたソースコードはあるが、公開された修正項目には情報がないという状態だと思われます。
 以上の状況から、別途公開済みの5.2.2か5.2.1で修正された脆弱性情報が後日公開されるものと推測されます。


それから、サービス停止を引き起こしかねないアップデートを勝手に適用するというはそれ自体がDOSの脆弱性と言ってしまってもよいのではないでしょうか。サービス停止したことを自動検知して自動リカバリするとかいろいろな対処がありそうです。