今週号の最大のニュースは一番短い記事にある。先週、Apple はマルウェアによって実際に悪用されている深刻なセキュリティ脆弱性をブロックするためにそのオペレーティングシステムの最近のバージョンのほとんどすべてをアップデートした。できるだけ早くアップデートしておこう。Adam Engst は読者からのリクエストに応えて、ウェブ通知を悪用することでユーザーから個人情報をフィッシングしようと試みる、そのようなウェブ通知をどうやって見分けて取り除くかについて解説する。Adam はまた、近視の人のための素敵な技を紹介する。いざという時には iPhone を眼鏡の代わりにできることをあなたはご存知だろうか? それからもう一つ、Apple が Self Service Repair プログラムを拡張したが、はたしてこれを実際に使っている人がどれくらいいるのだろうか? 今週注目すべき Mac アプリのリリースは Safari 16.5.1、CleanMyMac X 4.13.6、Mimestream 1.0.3、GraphicConverter 12.0.3、Pixelmator Pro 3.3.7、それに Affinity Designer, Photo, Publisher 2.1.1 だ。
記事:
Apple が現在アクティブな同社のオペレーティングシステムをすべてアップデートして (対象によって組み合わせは変わるが) 全部で 3 件のセキュリティ脆弱性に対処した。3 件すべてが実際に悪用されているという。3 件の脆弱性のうちで最も懸念すべきはカーネルに影響するもので、従って新しいものも古いものも含めたあらゆる Apple オペレーティングシステムに影響が及ぶ。さらに macOS と iOS と iPadOS は WebKit 脆弱性の修正も受け、iOS 15.7.7 と iPadOS 15.7.7 ではそれに加えてもう一つ別の WebKit 脆弱性 (これは新しいバージョンでは既に対処されているらしいが 15.7 までのバージョンに影響する) も修正されている。
影響を受けたオペレーティングシステムは次の通り:
現在tのところ tvOS と HomePod Software は含まれていない。それらがもともと影響を受けないのか、それともいずれ Apple がそれらにもアップデートをリリースすることになるのかは分からない。
それ以外に、iOS 16.5.1 と iPadOS 16.5.1 では Lightning to USB 3 Camera Adapter で充電できないバグが修正されている。この修正は出番を待ち構えていて今回のセキュリティアップデートを機会に付け加えられたのだろう。
個々のセキュリティ脆弱性がどの程度深刻なものであるかを判断するのは困難だが、新しいバージョンと古いバージョンの双方が実際に攻撃されていると述べる Apple の言葉遣いと、これほど多くのアップデートが一度に出された (Apple Watch Series 3 で走る watchOS 8.8.1 にさえ出された) という事実から推察すれば、特別に懸念すべきものだと考えるのが妥当だろう。だから、できるだけ早くアップデートしよう。
討論に参加
Apple はその Self Service Repair プログラムを拡大する と発表した。そこに含まれるのは、iPhone 14 ラインナップと M2 モデルの 13-inch MacBook Air と 13-inch MacBook Pro である。Self Service Repair はまた今や M1 Mac デスクトップに - 24-inch iMac, Mac mini, そして Mac Studio - そして iPhone 12 と iPhone 13 ラインアップの True Depth カメラと上部スピーカーにも適用される。
加えて、Apple は System Configuration プロセスを簡素化したと言っている。それは、純正 Apple 部品の認証、ファームウェアのアップデート、そして部品の較正に必要である。これ迄、ユーザーは修理の最終段階を走らせる前に Self Service Repair サポートチームに連絡しなければならなかった;それはもはや必要でない。
私は Self Service Repair に関わる Apple のメッセージ発信を面白いと思い続けている。発表の中のここの部分を読んでみて欲しい。ここで Apple は Right to Repair (修理する権利) 運動を支持する自分を褒め称えるのと同時にユーザーが Self Service Repair を使う事を牽制している。
Self Service Repair は修理へのアクセスを拡大する Apple の努力の一環です。修理への広範囲なアクセスは製品の寿命を延ばすのに重要な役割を果たしており、それはユーザーにとって良いだけでなく地球にとっても良いことです。電子機器を修理する経験を持たない大分部のユーザーにとっては、純正の Apple 部品を使う有資格のテクニシャンがいる正規修理プロバイダを訪れることが最も安全で最も信頼性ある修理方法です。 [訳者注:日本では法的規制「技適」の問題もあり、現時点ではこのサービスは提供されていません。]
しかし、ひょっとするとそれは現代世界の正確な描写なのかもしれない。そこでは、多くの人が自分の機器を修理したいと思いそして哲学的観点からは Right to Repair 運動を支持しているが、実際には自分自身が修理を成功裏にこなせるとは思っていない。
皆さんは Apple の Self Service Repair プログラムを使ったことがありますか? その結果はどうでしたか?
討論に参加
Apple の Vision Pro が小さなスクリーンをどの様にそれぞれの目の前に配置しているのかの論議を聞いて、私が以前にした面白い発見を思い出した:もしあなたが近視ならば、眼鏡の代わりに iPhone を使う事が出来、しかも暗闇ですら見ることが出来てしまう。
数年前まで、私は近視を補うためにコンタクトレンズを使っていて、寝る時間になると毎晩眼鏡に変えていた。ある晩、コンタクトレンズを外した後、私は眼鏡は階下にあることに気付いた。私は旅先から帰ったばかりで、鞄から荷物を完全には取り出していなかった。私は家の中で動き回るには十分な程度見えるが - 大きな障害物や色に関しては問題ない - テーブルやカウンターの上にある眼鏡を見つけるのは結構大変であろうと思えた、とりわけ薄暗い部屋では。透明なレンズと細い金属フレームだけで、見える対象物としては殆ど何もないのに等しい。
ひらめきがあったのはそんな時であった。私は顔から手のひらの長さの距離だとほぼ完全に見える。日常生活では問題が多いが、電子製品や他の小さな対象物での細かい作業時には役に立つし、それにベッドの中で眼鏡無しに iPhone を使って読み物をすることも時々ある。iPhone ならばそんな距離に保つことも簡単である。
コンタクトレンズは外してあり、眼鏡を探すには階下に行かなければならない、しかし手元には iPhone がある。私は Camera アプリを開いて iPhone を目の前にかざすと、ファインダーには焦点がバッチリ当たる。iPhone が視界を遮る状態で見回すのは妙な感じだが、それは魔法の様に働いた。全ての照明を入り切りするのを避けるため (これは私が全ての照明を HomeKit 対応のスイッチに接続する前の話だ)、私は Video モードに切り替え、画像を上にスワイプしてコントロールを出し、Flash ボタンタップし、そして設定を Flash On にロックした。
即席の暗視ゴーグルを使って、私は階下に行きそして眼鏡を見つける迄暗闇の家の中を歩き回った。面白半分に、私は数回ズームして、普段では出来ないであろう物をより良く見ることすらしてみた。私はサイボーグになった気分であった。
このスクリーンショットは私が iPhone 画面上で見ているものを示していて、鏡の中にいるのは私で、皆さんは私がどの様に iPhone を保持しているのかお分かり頂けると思う。 再度 iPhone をこの様に使う必要があったことはない。2020 年に、私は、読書用、運転用、そして明るい日光用と幾つもの眼鏡をコンタクトレンズの上に掛け替えなければならないのにうんざりして、全てに対応する調光性のある累進多焦点レンズを持つ一つの眼鏡を買い、それ以来ずっとそれだけを使っている。しかし、私はこの iPhone ハックがどれ程うまく行ったのかをよく覚えており、もし今の眼鏡が壊れたりした時には、それは命の恩人たり得るなどと考えている。
ある意味、前方に向いたカメラと目の直前には画面があるという組み合わせから言うと、Vision Pro はこのハックの究極バージョンである。眼鏡をかけた人向けにはオプションの Zeiss レンズを Apple は用意していると言うが、それ等の画面がある距離に焦点が合う私の様な人にもそれ等が必要なのかどうかは明らかではない。そのうち分かるであろう。
後で分かったことだが、これは別に新しい考えでない。2015 年の研究論文 "ForeSee: A Customizable Head-Mounted Vision Enhancement System for People with Low Vision " by Yuhang Zhao (Tsinghua University), Sarit Szpiro (Harvard Medical School), and Shiri Azenkot (Cornell Tech) は、頭部装着型の視覚補助システムを提案していて、それは Oculus Rift ヘッドセットに基づいた物 の様に見える。もっとも、それ以降、新たな展開があった様には見えない。
VIDEO
私が見つけられる限りで言うと、頭部装着型 iPhone ホルダーに最も近いのは 2014 年にリリースされ今はもう出されていない Google Cardboard である。それは安価な VR 用に iPhone や Android スマートフォンを差し込めるボール紙製のビューアーである。私も一台持っているが、ヘッドストラップがなく、3D 画像用のレンズが内蔵されている。Google Cardboard の後継機として登場したのは Google Daydream で、それはヘッドストラップも付いているが、こちらももう出されていない様に見える。しかし、どちらも視覚補助ではなく VR に焦点を当てていた。
しかしながら、当時の Google は自分の Google Cardboard を自作する人ための作り方とテンプレートを出していたし、他の多くのサイトもそれぞれのバージョンをリリースしていた ので、iPhone ベースの視覚補助システムをヘッドストラップ付きで作成するのは可能なはずである。私はそれを読者への練習課題としたいと思う。それをやり写真を投稿してくれた人にはボーナスポイントを差し上げたいと思う。私は、それを iPhone の箱を使ってやってくれた人 をとりわけ好ましく思う。
VIDEO
討論に参加
あなたの Mac に通知が表示されて、McAfee アンチウイルスソフトウェアの購読期間が終了しましたとか、「あなたの iCloud がハッキングされました」とか、誰かがあなたの銀行口座にアクセスしようとしていますとか言ってきたことはないだろうか? そういうものはまず間違いなく、通知を使ってフィッシングをしようと試みるマルウェアだ。単純明快、総称してアドウェアとも呼ばれているものだ。これらのアラートはユーザーを偽のウェブサイトに誘い込んで、ログイン情報やクレジットカード情報を入力させ、なりすまし犯罪に使えるようにするのであって、その点は電子メールを使ったフィッシング詐欺と同じだ。でも、Malwarebytes、DetectX Swift、VirusBarrier などのマルウェア対策アプリを使ってもこれらの通知は取り除けない。一体どうなっているのか?
MacAttorney User Group を運営し、役に立つ Mac アドバイス を載せたさまざまのページを公表している Randy Singer が、最近になって通知の悪用に関する警告の文章を記した。その種のウェブ push 通知の悪用は長年にわたって存在していたけれども、私は自分の Mac 上で見たことは一度もない。Randy の警告もあり、その数日後に読者の David Roessler がこの話題で記事を書いて欲しいと言ってくれたこともあって、私もこの話題を取り上げる気になった。
通常のマルウェアと違って、通知のアドウェアは感染を必要としないので、マルウェア対策アプリを使ったのでは見つけることも取り除くこともできない。感染の代わりに、通知のアドウェアはウェブサイトがシステムレベルの通知を (通常のネイティブなアプリと同じように) 表示できるというウェブブラウザの機能を利用する。当然ながら自ら進んでアドウェア通知にサインアップしようという人は誰もいないけれども、通知を受け取りたいか否かをユーザーに尋ねるウェブサイトはあり、近年ますます増えつつある。ウェブサイトが通知を提供すること自体は、本質的に間違ってはいない。実例はいくらでもあるが、例えば私たちが TidBITS Talk で使っている Discourse ソフトウェアは新規にメッセージや返信が届けば通知するようにできる。でも、多くの善意のテクノロジーと同様に、ウェブ通知もやはり邪悪な方面に向けられることがある。
一つには、Safari が許可を求めるダイアログを出せば Return キーを押すだけで簡単に Allow オプションが選ばれて通知を許可してしまうところに問題があるのかもしれない。その上、Safari のダイアログを呼び出す前にウェブサイトが独自にダイアログを出してユーザーを丸め込むこともあり得る。けれどもいったん通知が許可されてしまえば、macOS が通知に認可を与えたのと同じ結果になり、通知の文言になおさら真実味が増す。
もちろん、あなたがちゃんと注意を払っていて、しかも十分技術的に詳しければ (TidBITS 読者の大多数はそれに該当するだろう)、ウェブサイトが通知の許可を求めても単にそのダイアログで Don't Allow をクリックして許可を出さないようにするだろう。私はほとんどあらゆる状況でそうしていて、通知の表示を許可したサイトはごく少数だけだ。
断固として通知を拒否するという人のため、あるいは何を許可するのかよく理解できない可能性のある誰かの手助けをしているような人のために、決して通知を求められないようにする単純な方法を Safari が提供している。Safari > Settings > Websites > Notifications へ行って、一番下にある "Allow websites to ask for permission to send notifications" (通知の送信許可要求を Webサイトに許可) のチェックを外せばよい。
Safari 以外のウェブブラウザでも、通知を表示させないようにでき、許可を求められること自体をなくすこともできるようになっている。そのためのインターフェイスは少しずつ違うけれども、たいていは下に示した Google Chrome とよく似ている。
Arc: Arc > Settings > General > Notifications を選んで "Don't allow sites to send notifications" を選択する。Brave: Brave > Settings > Privacy and Security > Site and Shield Settings > Notifications へ行って "Don't allow sites to send notifications" を選択する。Firefox: Firefox > Settings > Privacy & Security > Notifications へ行って "Block new requests asking to allow notifications" を選択する。Google Chrome: Chrome > Settings > Privacy and Security > Site Settings > Notifications へ行って "Don't allow sites to send notifications" を選択する。Microsoft Edge: Microsoft Edge > Settings > Cookies and Site Permissions > Notifications を選んで "Ask before sending" をオフにする。
理論的に、Chrome は Safari に比べてフィッシング通知を許す可能性が低いと言えるし、その点は Chrome 由来の他のブラウザ (上のリストでは Firefox 以外のすべて) でも同様だ。2020 年に、Google は "quieter messaging " (目立たない方法で通知する) という中間的なオプションを導入して、これを選べば許可を求めるダイアログを出す代わりにアドレスバーのサイト名の隣にベルのアイコンを表示して、それをクリックすれば通知を許すようにした。その後 2020 年内に出したアップデートで、Google は悪用される通知を表示するウェブサイトを識別 した上で、許可を求めるリクエストにそのことを明示するようにした。でも私が「理論的に」と言ったのは、Apple コンサルタントの Adam Rice が私に、彼の場合迷惑な通知を一番多く見るのは Chrome だと言っていたからだ。
"Allow websites to ask for permission to send notifications" (通知の送信許可要求を Webサイトに許可) のチェックを外しておけば、新規のサイトが迷惑な通知であなたを煩わすことがなくなる。でも、あなたが既に許可を与えているサイトはどうなるのか? Safari ではそういうサイトの通知も簡単にブロックできる。Notifications 画面で、サイトの名前の右側にあるポップアップメニューで Allow (許可) が選ばれていれば、そのメニューから Deny (拒否) を選ぶだけでよい。Firefox のインターフェイスも同様だ。サイト名の項目を削除してはいけない。なぜなら、他の設定にもよるけれども、削除することで再び許可を求めるダイアログが出ることもあり得るからだ。
Chrome ベースのブラウザでは、ブロックされたサイトと許可されたサイトが別々に表示される。今後は通知を受け取りたくないと思ったサイトをブロックするには、その右にあるボタンをクリックして Block を選べばよい。
最後にもう一つ言っておきたい。もしもその種の通知があなたやあなたの知っている誰かを悩ませているのであれば、訪れているウェブサイト自体についてよく考えてみるべきだ。ユーザーを誘導して通知を許可させ、それを通じてフィッシングの通知を表示できるようにするウェブサイトは、悪意があるか、あるいは少なくともフィッシングに従事するサードパーティの要素を含めることで訪問した人たちが標的にされることを許す行為に加担している。理想的には、そういうサイトを避けるべきだ。
ただ、現実はそう単純ではない。2020 年に、セキュリティ専門のジャーナリスト Brian Krebs が PushWelcome と呼ばれるサービスについて記事を書いていて 、このサービスがウェブサイトの出版者たちにトラフィックを収益化できると宣伝していると伝えた。出版者に対して小さなスクリプトを含めることを要求して、このスクリプトが正当なサイトの上で多くの場合不正な通知を生成するのだ。どうやら PushWelcome は既に消滅しているようだが、同じような広告ネットワークは他にもあるかもしれない。
問題あるサイトの背景に何があるかを長々と説明するよりも、単純に「怪しげなウェブサイトを訪れてはいけない」とだけ言う方がずっと簡単だということは初めから分かっている。それでも、もしもあなたが、あるいはあなたが手助けしている誰かが、ウェブサイトの正当性に対して、あるいはウェブサイトのオーナーのセキュリティへの姿勢 (自分のサイトがハッカーによって攻撃されないように、あるいは PushWelcome のような広告ネットワークに欺かれないように保護する能力) に対して少しでも疑問を感じたなら、そのサイトを信用したりせず、通知を表示させないように、また個人情報を収集させないように注意するべきだろう。
もしあなたが迷惑な通知を送り付けるサイトに遭遇したならば、ぜひとも Google Safe Browsing に報告 して頂きたい。Google はその情報をもとに、問題あるサイトについてユーザーに警告する。現在のところ毎週 3 百万件以上の警告を出しており 、多いように聞こえるかもしれないが、実は 2016 年中頃には毎週 5 千万件以上の警告が出されていた。
ウェブの上で安全でいるためには、常に注意深くブラウズして、クリックする際には必ず意思を持ってそうすることが肝心だ。
討論に参加
TidBITS 監視リスト: Mac アプリのアップデート
訳: Mark Nagata
Apple が macOS 12 Monterey 用に Safari 16.5.1 をリリースして (おそらく macOS 11 Big Sur の Safari は影響を受けなかったのだろう)、最近の iOS、iPadOS、macOS へのアップデートで対処が施された 1 件の WebKit 脆弱性を修正した。(2023 年 6 月 21 日の記事“Apple、現役オペレーティングシステムを全部更新し悪用されたセキュリティ脆弱性をブロック ”参照。) 直ちにアップデートすることをお勧めしたい。Safari 16.5.1 は Software Update からのみダウンロードできる。(無料、リリースノート 、macOS 12+)
Safari 16.5.1 の使用体験を話し合おう
MacPaw が CleanMyMac X 4.13.6 をリリースして、この Mac メンテナンス・ユーティリティに改良とバグ修正を施した。今回のアップデートではバッテリー消耗通知を改良して電池が切れるまでの時間を表示するようにし、ディスプレイの輝度調整と低電力モードを CleanMyMac から直接有効化できる (macOS 12 Monterey かそれ以降が必要) ようにし、FaceTime ウィンドウでの画面共有に問題を起こすことがあったバグを修正し、マイナーなゴミ箱モニターと Space Lens モジュールの問題を修正してパフォーマンスを向上させ、Gem Cut Studio、Microsoft Outlook、および Microsoft AutoUpdate アプリケーションが正しくスキャンされるようにした。($89.95 の一回払いまたは $34.95 の年間講読、Setapp からも入手可、無料アップデート、109 MB、リリースノート 、macOS 10.13+)
CleanMyMac X 4.13.6 の使用体験を話し合おう
最近ベータ版を卒業して 1.0 の位置に到達した Mimestream が、その Gmail 用 macOS クライアントのバージョン 1.0.2 をリリースして改良とバグ修正を施した。(2023 年 5 月 24 日の記事“なぜ私は Gmail 用に Mimestream を使うか ”参照。) 今回のアップデートでは Profile タブで主要でない未読カウントをカウント数でなく点で表示するようにし、終了時の送信中アラートをより分かりやすいものにし、Finder から共有された PDF のファイル名にランダムな UUID が追加されたバグを修正し、パラグラフに "@handle" テキストが含まれている場合に長いパラグラフのタイプ入力が遅くなった問題に対処し、オフラインで作成してあった原稿を 3 通以上送信する際のエラーを解消し、選択されたメッセージのハイライト表示の彩度を下げた。そのリリースの後間もなくバージョン 1.0.3 が出されて、タイプ入力の最中にメンションが提案に含まれなかった不具合を修正した。(年間購読 $49.99、12 MB、 リリースノート 、macOS 12+)
Mimestream 1.0.3 の使用体験を話し合おう
Lemkesoft が GraphicConverter 12.0.3 をリリースして、保存された Smart Folder や Smart Search への直接アクセスを追加するとともに、QR コード作成をカスタムカラーやエラーレベルで改良した。このグラフィックスプログラム Swiss Army ナイフはまた、Super Resolution のバッチアクションを追加し、BRAW (Blackmagic RAW ) ファイル読み込みへの対応を追加し、日付が同一である場合の日付による並べ替えを改善し、Set Exif Date アトリビュートのいくつかを更新し、Dark モードで多くのアイコンの視認性を向上させ、ブラウザでタブに関する問題を修正し、GraphicConverter 12 のアイコンを更新して Retina 以外のディスプレイでの表示を改善し、AppleScript を実行する際に起こり得る問題に対処し、グレースケール画像でカラーピッカーを使用すると起こることがあったクラッシュを解消した。GraphicConverter 12 は現在 Mac App Store にて 期間限定で特別価格 $34.99 で入手できる。(Lemkesoft からも Mac App Store からも新規購入 $39.95、アップグレード $25.95、230 MB、リリースノート ,、macOS 10.13+)
GraphicConverter 12.0.3 の使用体験を話し合おう
The Pixelmator Team が Pixelmator Pro 3.3.7 をリリースして、新しい Frequency Separation および Low Pass エフェクトを導入した。新しい Frequency Separation エフェクトは個々の画像の細部や全体の色調を別々に調整でき、Low Pass エフェクトは細部をスムーズにしたりノイズを除去したりできる。この写真エディタはまた、パフォーマンスを最適化するとともに、Mac のどれかに Final Cut Pro がインストールされている場合にカスタム LUT を読み込めなくなっていたバグを修正した。(Pixelmator からも Mac App Store から も新規購入 $49.99、無料アップデート、574 MB、 リリースノート 、macOS 11+)
Pixelmator Pro 3.3.7 の使用体験を話し合おう
Serif が Affinity Designer 、Affinity Photo 、および Affinity Publisher をバージョン 2.1.1 にアップデートして、バグ修正を施した。今回のリリースでは Subject フィールドに非対応の文字が含まれた状態で読み込まれた PDF を書き出せなくなっていた問題を解消し、XMP サイドカーファイルから Title および Description フィールドが読み込めなくなったバグを解消し、RAW ファイルをバッチ処理すると結果が信じられないほど暗くなった問題に対処し、また複数個のクラッシュ (段落スタイルをランニングタイトルに適用した際、フローテキストを含む書類の開いているページにページを追加した際、クラウドドライブに保存された Data Merge ソースを削除した際など) を解消した。(Affinity Designer は新規購入 $69.99、841.5 MB。Affinity Photo は新規購入 $69.99、943.7 MB。Affinity Publisher は新規購入 $69.99、831 MB。Serif から三つのアプリをまとめて購入すれば $164.99、Mac App Store では 個別に購入可能。いずれも無料アップデート、リリースノート 、macOS 10.15+)
Affinity Designer, Photo, Publisher 2.1.1 の使用体験を話し合おう
