11/18/2018

クイーン「ボヘミアン・ラプソディ」

Wikipediaより

歴史と録音

フレディ・マーキュリーはロンドンの自宅で「ボヘミアン・ラプソディー」を書いた。この曲のプロデューサーのロイ・トーマス・ベイカーは、以前マーキュリーが彼のためにピアノの出だしのバラード・セクションを演奏していたことに関わっていた。「彼はピアノで初めの部分を弾いて、止めて、『ここにはオペラの部分が来るんだ!』と言った。それから私たちは夕食を食べに出かけた。」ギタリストのブライアン・メイは、バンドは、この曲のマーキュリーの青写真に興味をそそり、オリジナルで、仕事をする価値があると考えていたと言う。5月には、クイーンの素材のほとんどはスタジオ内で書かれていたが、この曲は始める前にフレディの意識の中に全てがあった。

音楽学者シェイラ・ホワイトリーは、このタイトルはコンテンポラリー・ロックのイデオロギー、ボヘミアニズムのアーティスト世界の個人主義ラプソディー(狂詩曲)がアート・ロックのロマンチックな理想を肯定していることを強く示している。ボヘミアニズムに言及して、ジュディス・ペライーノは、「マーキュリーは、この曲をロック・ソングの規範の外にある「モック・オペラ」にしようとしていました。それは特定のオペラのロジックに従います。マルチトラックのコーラスはアリアのようなソロと交互になり、感情は過度でプロットは混乱します。」

マーキュリーの友人クリス・スミス(スマイルのキーボード・プレイヤー)によると、マーキュリーは1960年代後半に「ボヘミアン・ラプソディー」を創作し始めた。マーキュリーは、ピアノで書いていた曲の一部を演奏していた。彼の作品の1つは「カウボーイ・ソング」と呼ばれ、1975年に創作され、完成したバージョンには、特に「Mama ... just killed a man.」の歌詞が含まれていた。

録音は1975年8月24日、ヘレフォードシャー州キングトン近郊のPenrhos Courtで3週間のリハーサルを経て、サウスウェールズ州モンマス近郊のロックフィールド・スタジオ1で始まった。トラックの制作中に、4つのスタジオ(ラウンドハウス、サームイーストスタジオ、スコーピオサウンド、ウェッセックス・サウンドスタジオ)を使用した。バンドメンバーによると、マーキュリーは事前に心の中に音楽を準備し、バンド全体を指揮した。マーキュリーはベヒシュタインのコンサート用グランドピアノを使用し、プロモーション・ビデオや英国ツアーで演奏した。歌の複雑な性質のために、それは様々な部分に分けられ録音された。

噂によれば、メイ、マーキュリー、ドラマーのロジャー・テイラーは、一日10時間から12時間、ボーカル・パートを継続的に歌った。作品全体は3週間で録音され、一部のセクションでは180の別々のオーバーダビングが収録された。期間限定のスタジオは24トラックのアナログテープしか提供していなかったので、3人は何度も何度もオーバーダビングする必要があり、これらを連続したサブミックスに「バウンス」する必要があった。最終的には、8世代目のテープが使われた。望んだサブミックスを含むテープの様々な部分をスプライス(切断し、正しい順序で組み立てる)しなければならなかった。テープは何度も使用されていたので、メイは、光の前にテープを置いて、それを見ることができた事を思い出した。

プロデューサーのベイカーは、メイのソロは、複数のトラックで録音するのではなく、1つのトラックでのみ行われたことを思い出している。彼はメインのメロディーに相応しい小さな曲を作ってみたいと言った。「僕はメロディーを演奏したいだけではなかった。ギタリストは、彼の素晴らしい素材は、この作業方法から生まれたと言った。演奏前に彼は曲のことを考えた。どちらかと言うと、指は脳によって導かれない限り予測可能な傾向があるんだ。」

作曲と分析

「ボヘミアン・ラプソディー」は、プログレッシブ・ロック/シンフォニック・ロックハードロック、プログレッシブ・ポップのジャンルに属している。この曲は、コーラスがなく、全く異なる音楽スタイルを組み合わせ、殺人とニヒリズムを暗示するための様式化された愛に基づく物語を歌詞に含んでおり、ポピュラー・シングルには非常に珍しいものである。導入部、オペラの幕開けにつながるギターソロの前に、まずピアノのバラードで始まるセクションから構成されている。ハードロック部分がこれに続き、終結部で終わる。この曲は、B♭メジャーE♭メジャーAメジャーFメジャーのキーで、主に4分の4拍子。様式、トーン、テンポの変化を伴う組曲として曲を書くこの音楽形式は、ほとんどの主流のポップスやロックミュージックでは珍しく、プログレッシブ・ロックでは一般的だった。 ジェスロ・タルイエスジェネシスエマーソン・レイク・アンド・パーマージェントル・ジャイアントヴァン・ダー・グラフ・ジェネレーターカーヴド・エアなどの英国のバンドの音楽で、1970年から1975年の間にそのジャンルは芸術的で商業的な頂点に達していた。プログレッシブ・ロックの音楽は、劇的なコントラスト、テンポの頻繁な変化、およびリズムの特徴がコンポジションのあるセクションから次のセクションに特徴付けられる。このジャンルのバンドはクラシック音楽、その構造的特徴と組成慣習、クラシック音楽の器楽編成法との混合を行っていた。クイーンは彼らの多様な影響の一つとしてプログレッシブ・ロックを受け入れていた。「ボヘミアン・ラプソディー」は、大げさなコーラス、皮肉で黙想的で歪曲したイタリアのオペラフレーズを使用して、オペラのさまざまな要素をパロディー化している。この様式の初期のバージョンは、バンドのマーキュリー以前の作曲「My Fairy King」(1973年)と「March of the Black Queen」(1974年)に既に使われていた。

イントロ (0:00–0:49)

この曲は、B♭メジャーのア・カペラの導入から始まる5パートのハーモニーで始まる。ビデオは、このパートを4人メンバー全員がこのパートを口パクさせているが、V-I 声の調子(F7-B♭)の存在感の証拠から、マーキュリーの多重録音である。歌詞は、現実からの逃避ができないと結論づける前に、人生が現実か、単に地滑りの中に捕らえられた幻想かを問う。歌詞は、「no escape from reality (現実から脱出しない)」ことができると結論づける前に、人生が「real (現実)」か「just fantasy caught in a landslide (地滑りに巻き込まれたただの幻想)」かどうかを問う。

20秒後、グランドピアノが入り、曲はE♭メジャーに短時間転調され、マーキュリーの声は他のボーカルパートと交互に切り替わる。語り手は自分自身を「just a poor boy (ただの哀れな少年)」として紹介するが、彼は「easy come, easy go (現れては消え)」であり、次に「little high, little low (少しいい、少し悪い)」(ステレオで聞いた時、言葉「little high」 は左のスピーカーから来るが、「little low」は右から来る)と宣言する。 「easy come, easy go」で半音階の横滑りが、夢のような雰囲気を際立たせる。このセクションの最後にはB♭のベース・エントランスとクロス・ハンド・ピアノのヴァンプがある。

バラード (0:49–2:40)

ピアノはジョン・ディーコンのベースギターの入口と共にB♭メジャーから始まり、このセクションの始まりを示している。それが2回演奏された後、マーキュリーのボーカルが入る。セクションの経過と共に、ボーカルは柔らかく歌われたハーモニーから、マーキュリーによる魅惑的なソロ・パフォーマンスに変化する。語り手は、彼の母親に、「a gun against his head (彼の頭に銃口を)」で「just killed a man (今、男を殺した)」と説明し、そうすることで命を捨てたと説明している。この「懺悔」セクションは、ホワイトリーの解釈では、「女性の愛情を込めた心遣いと命を与える力と許しの必要性の肯定」である。詩の真ん中(1:17)に、テイラーのドラムが入り、descending chromatic runがE♭メジャー(4分の1上昇)に一時的転調につながる。語り手は、元のテーマを継続しながら、新しいキーの「mama」に数回祈りを行う。語り手は、「make you cry」への後悔を説明し、「mama」に「carry on as if nothing really matters (本当に問題はないかのように続ける)」よう促す。ピアノのフレーズの簡潔な、descending variationは、第2節を繋ぐ。

バラードがその第2節に進むと、話し手は彼が殺人行為をしていることを如何に恥じているかを告白する(メイはギターに入り、1:50でピアノの上限を真似る)。メイは、ブリッジの反対側でギターの弦を演奏することによって、私の背筋をゾッとさせるラインの間にベルツリーを真似ている。語り手は世界の別れを告げると、彼は「got to go (去らなくてはならず)」、「face the truth (真実と向かい合う)」ことを覚悟している。「I don't want to die (僕は死にたくない) / I sometimes wish I'd never been born at all. (時々、いっそのこと生まれてこなければよかった)」を認める。これがギターソロが入る場所である。

ギターソロ (2:40–3:05)

バラード・セクションの終わりに向けて、バンドはメイが作曲し、(E♭メジャーで)演奏するギターソロを組み込んだ強烈なサウンドを奏でる。激しさは増し続けるが、一度、ベースラインが新しいキー(Aメジャー)への転調を確立した下降を完了すると、オペラ・セクションの始まりを告げるピアノの上でコード(8分音符)で震える静かなスタッカートを除いて、バンド全体が3:03に急激にカットアウトする。

オペラ (3:05–4:07)

急速な一連のリズム的で調和のとれた変化は、語り手の地獄への降下を描写している精巧なボーカル・マルチ・トラッキングの大部分を含む疑似オペラの中間部を導入する。ピアノを伴ったマーキュリーの声だけでなく、ドラム、ベース、ピアノ、ティンパニーでサポートされているマルチボイスの合唱団まで、そのダイナミクスは小節ごとに大きく変化する。合唱の効果は、メイ、マーキュリー、テイラーが繰り返し歌唱パートを歌い、180もの別々のオーバーダブによって作成された。これらのオーバーダブは、その後、連続するサブミックスに結合された。ロジャー・テイラーによれば、メイ、マーキュリー、彼自身の声が組み合わされて、幅広いボーカルレンジが作られた:「ブライアンはかなり低くなる可能性があり、フレディは中域から強力な声を出し、私は最高のものを得意としました。バンドは、ウォール・オブ・サウンドを作りたいと思っていた。このバンドは歌詞「Magnifico」と「Let me go」にベル効果を使用していた。また、「Let him go」では、トップ・セクションを歌っているテイラーは、「合唱」の残りの部分が歌を停止した後、さらに音符を鳴らす。

ライバルの派閥が語り手の魂と戦うように、この文章の叙情的な参照にはスカラムーシュファンダンゴガリレオ・ガリレイフィガロベルゼブブ、およびビスミラが含まれている。このセクションでは、歌詞「Beelzebub has a devil put aside for me! (ベルゼブブよ 僕から悪魔を取り除いてくれ!)」の完全な合唱で終わり、ブロックB♭メジャー・コードで終わる。ロジャー・テイラーは、5番目のオクターブ(B♭5)のファルセットB♭で最終和音を登る。

当時の24トラック技術を使用しても、「オペラ」セクションの完成には約3週間掛かった。プロデューサーのロイ・トーマス・ベイカーは、「フレディが別の『ガリレオ』を思い付くたびに、別のテープをリールに追加した」と語った。 ベイカーはテープを使い続けていたことを思い出し、それはコピーを行う事を意味した。

ロック (4:07–4:54)

オペラ・セクションは、マーキュリーによって書かれたギター・リフとのロックの間奏曲につながる。4:15に4倍のトラックのマーキュリー(ステレオで4つの部分が左に2つ、右に2つ)が不特定の「あなた」に宛てられた怒りの歌詞を歌い、裏切りや虐待を「can't do this to me, baby (そんな仕打ちをするなんて)」と訴える。3度の上昇ギターが続く。マーキュリーはピアノで同様のB♭を演奏する。その曲はリタルダンド(次第に緩やかになる)でフィナーレまで盛り上がる。

アウトロ (4:54–5:55)

マーキュリーがB♭ ミクソリディア旋法(E♭スケールの音符で構成)の音符のオクターブを上げた後、最初はE♭メジャーでテンポと形式に戻り、すぐにCマイナーに転調する。すぐに突然の短い一連の変調を経て、最終的な「nothing really matters (何事も無かった)」セクションに再びCマイナーに戻す。ギターは合唱「ooh, ooh yeah, ooh yeah.」の伴奏をする。ダブルトラックのツイン・ギター・メロディーは、ジョン・ディーコンがデザインしたアンプで演奏され、「Deacy Amp」という愛称で呼ばれていた。マーキュリーのライン「Nothing really matters...」が再び現れる。「ライトピアノのアルペジオによるクレードルは、広いボーカル・スパンであきらめ(マイナー調性)と新しい自由感」を暗示している。

「nothing really matters」という一節が複数回繰り返された後、最終的にE♭メジャーのキーで終わるが、終わる直前に再びFメジャーに変わる。最後の一節は、「Anyway the wind blows (どっちみち風は吹く)」と続いて、大きなタムタムの静かな音が続き、最終的に曲全体に張り巡らされた緊張感を排除します。

歌詞

ニューヨークタイムズは、「この曲の最も特徴的なのは宿命論的な歌詞だ」とコメントしている。マーキュリーは、関係について言う以外、構成を説明することを拒否した。バンドはまだ曲の秘密を守っている。 ブライアン・メイは、この曲にはマーキュリーの個人的なトラウマがそれとなく含まれているという提案を支持している。彼は「フレディは非常に複雑な人間だった。表面上はふざけて面白いが、彼は幼年時代に人生を分裂させる不安や問題を隠した。彼は決して歌詞を説明しなかったが、彼は曲の中に自分自身をたくさん入れていたのだと思う。」しかし、歌詞の核が作曲家のプライベートな問題であることにバンドが同意したと言う。BBCスリーでは、「ボヘミアン・ラプソディー」の制作に関する3つのドキュメンタリーで、ロジャー・テイラーは、曲の真の意味は「途中は、少しナンセンスでかなり一目瞭然」であると主張する。

そのような幻想的な感じの曲です。 私は人々がただそれに耳を傾け、それについて考えなければならないと思って、そしてそれが彼らに言うことについて彼ら自身の心を作り上げると思う...「ボヘミアン・ラプソディー」は何もないところから突然生まれたわけではなかった。私はそれが皮肉を込めたモックオペラだけど、少しの研究しました。なぜいけない?
—フレディ・マーキュリー

バンドがイランでGreatest Hitsのカセットをリリースしたとき、ペルシア語のリーフレットが翻訳と説明に含まれていた(Sarah SefatiとFarhad ArkaniのThe Black Queen of Marchと呼ばれるイランで出版された本を参照。 バンドと完全な歌詞をペルシア語の翻訳(2000))。説明の中で、クイーンは、「ボヘミアン・ラプソディー」は、誰かを誤って殺したことのある青年について、ファウストのように、悪魔に魂を売ったと主張している。彼の処刑前の夜、彼は神を「ビスミラ」(アラビア語の神の名前で)と天使の助けを借りて、シャイタン(イスラム教の悪魔)から彼の魂を取り戻すと言う。

それにもかかわらず、ジャーナリズムと学術の両方の批評家は、歌の歌詞の意味を推測している。一部の人は、歌詞が悪魔に襲われた自殺殺人犯を描いているとか、実行の直前の出来事を描いていると考えている。後者の説明は、若い男が衝動的な殺人を告白し、彼が処刑される前のエピファニーを、可能性のあるインスピレーションとして持つアルベール・カミュの小説「異邦人」を指摘する。他の人は、歌詞は音楽に合わせて書かれたものであり、意味がないと考えている。 ケニー・エベレットは、マーキュリーが歌詞が単に「ランダムな韻を踏んでいるだけ」と主張していると言った。

それでも、他の人たちは、それらをマーキュリーの個人的な問題を扱う方法と解釈しました。音楽学者のシェイラ・ホワイトリーは、マーキュリーが「ボヘミアン・ラプソディー」を書いた年の彼の個人的な生活の転換点に達したことを認めている。彼は7年間メアリー・オースティンと一緒に暮らしていたが、男性との最初の恋愛に始めたばかりだった。この歌は、メアリー(マザー・メアリーを示すMamma)と一緒に暮らす事から、逃げ出したい(Mamma Mia let me go)と思っている当時のマーキュリーの感情状態の洞察を提供していると、彼女は示唆している。他の人は、それがカミングアウトへの隠された言及として、その時代のソドミー法の重大な影響に対処することを示唆している。

11/16/2018

インターネットには大量のC/C++の問題があり、開発者はそれに対処したくない

Slashdotより

Heartbleed、WannaCry、何百万ドルのiPhoneのバグは何が共通しているのか? レポートより:

1つのバグはiPhoneに影響し、もう1つはWindowsに影響し、3つ目はLinuxを実行するサーバに影響を与える。一見すると、これらは無関係に見えるかも知れないが、実際には、悪用されていたソフトウェアは「メモリ危険性(memory unsafety)」と呼ばれるエラーの類が許されるプログラミング言語で書かれているため、3つ全てが可能になった。これらのタイプの脆弱性を可能にすることで、CやC++のような言語は、何年もの間、後を絶たない重大なコンピュータ・セキュリティを助長してきた

10個の数字のリストを持つプログラムがあるとする。リストの11番目の要素を尋ねた場合はどうなるか? 私たちのほとんどは、メモリセーフなプログラミング言語(PythonやJavaなど)では、何らかのエラーが発生する筈だと言う。メモリ危険性のあるプログラミング言語では、メモリ内のどこにあっても、11番目の要素が存在する場合はその部分にアクセスしようとする。場合によってはクラッシュすることもあるが、多くの場合、メモリのその部分が私たちのリストとは無関係であっても、メモリ内のその場所で何か起こることがある。このタイプの脆弱性は「バッファ・オーバーフロー」と呼ばれ、最も一般的な種類のメモリ危険性な脆弱性の1つである。HeartBleedは、インターネット上のセキュアなWebサーバーの17パーセントに影響を与え、バッファ・オーバーフロー攻撃であり、パスワードやその他のユーザーのデータなど、リストの最後を超えて、60キロバイト読み取ることができた。

Hacker News

日本のサイバーセキュリティ戦略の担当大臣は、USBを知らなかった

Slashdotより。世界中の笑い者。

Futurepowerがレポートを共有する:
多くの人はコンピュータを使用していない。彼らのほとんどは、国家のサイバーセキュリティを担当していない。しかし、一人は違う。日本の国会議員で、政府のサイバーセキュリティ戦略本部の長である桜田義孝(68)は、議会での質問の際に、デバイスを必要としないと述べ、基本的な技術的質問に対して支離滅裂のように見えた。「私は25歳の時からビジネスを独立してやっており、従業員や秘書に指示をしてきたので、自分でパソコンを打つことはない。」と言った。[編集注: リンクは有料; 代替ソース]

セキュリティ上のリスクと広く考えられるありふれた技術であるUSBドライブの利用が、原子力発電所で許可されているかどうかについて、議員から質問されたが、桜田氏はそれが何であるか分からなかった。「詳細はよく分からない。それでは、必要なら専門家があなたの質問に答えるのはどうですか? それはどうですか?」」と彼は語った。その答弁はすぐに批判された。野党の今井正人は、「コンピュータを使ったことのない人が、サイバーセキュリティ対策を担当しているとは信じられない。」

Yoshitaka sakurada

Hacker NewsBoingBoingBBC

11/15/2018

新しいIoTセキュリティ規制

シュナイアーのブログより

絶え間なく進化する技術の進歩により、メーカーは、玩具から電球、主要な家電製品に至るまで、消費財をインターネットに猛烈なスピードで接続しています。これはモノのインターネットであり、セキュリティの悪夢です。

モノのインターネットは、通信技術と製品を融合させ、日々の生活を楽にします。AmazonのAlexaは、質問に答えて音楽を再生するだけでなく、自宅の照明や空調を制御することもできます。あるいは現行世代の埋め込み式ペースメーカーは、コマンドを受け取り、インターネットを介して医師に情報を送ることができます。

しかし、ほぼ全てのイノベーションがそうであるように、リスクが伴います。モノのインターネットから生まれた製品について、これは個人情報を盗まれる危険性がある、あるいはデバイスが乗っ取られて遠隔制御されるリスクを意味します。車、ペースメーカー、空調など、直接的な物理的な方法で世界に影響を与えるデバイスの場合、リスクには人命や財産の損失が含まれます。

より高度なセキュリティ機能を開発し、これらの製品に組み込むことで、ハッキングを回避することができます。問題は、企業が製品を安全に保つために必要なサイバーセキュリティ対策に投資する金銭的インセンティブがないことです。消費者は、適切なセキュリティ機能を持たずに製品を購入しても、その情報が脆弱であることに気付きません。また、現在の法律では、企業のソフトウェア・セキュリティに対する責任を負わせることは困難です。

消費者を守る法律の制定は、議員の肩にかかっています。米政府は消費者保護の分野ではほとんど不在ですが、カリフォルニア州は最近、州内で販売されているモノのインターネットあるいは「IoT」デバイスの規制に踏み入れ、開始し、すぐにその影響は世界的に感じられるでしょう。

カリフォルニア州の新しいSB 327法は、2020年1月に施行される予定で、全ての「接続されたデバイス」に「合理的なセキュリティ機能」が必要です。良いニュースは、「コネクテッド・デバイス」という用語が、インターネットに接続されている全てのものを含むように広く定義されていることです。あまり良くないニュースは、コンプライアンスを回避しようとする企業が法律が法的強制力無いと主張できるように、「合理的なセキュリティ」が定められているということです。

この法律では、セキュリティ機能は、様々な脅威からデバイスとその情報を保護し、デバイスの性質と収集する情報の両方に適切でなければならないと要求しています。カリフォルニア州検事総長は、法律を解釈し、具体的な内容を定義することになります。これは確実にハイテク企業の多くのロビー活動の対象になるでしょう。

検事総長の解釈の対象ではない法律上の特定のものがあります。デフォルトのパスワードは許可されていません。これは良いことです。そもそも、これは恐ろしいセキュリティ実践です。しかし、これはIoTデバイスでよく見られる何十ものひどい「セキュリティ」対策の1つに過ぎません。

この法律は万能薬ではありません。しかし、どこかで始める必要があり、これはスタートです。

この法律はカリフォルニア州のみを対象としていますが、その影響はさらに大きくなります。ソフトウェアが書かれ、販売される方針のために、私たち全員が米国内やその他の国々で恩恵を受ける可能性があります。

自動車メーカーは世界中で車を販売していますが、現地市場向けにカスタマイズされています。米国で購入する自動車は、地元の環境法が同じではなく、メーカーが製品の販売場所に基づいてエンジンを最適化するため、メキシコで販売される同じモデルとは異なります。自動車の組み立てと販売の経済性は、この差別化を容易に可能にします。

しかし、ソフトウェアは異なります。カリフォルニア州がIoTデバイスに関する最低限のセキュリティ基準を設定すると、製造業者はソフトウェアを書き直して準拠する必要があります。その時点では、2つのバージョンを持つことは理にかなっていません: 1つはカリフォルニア州、もう1つは他の場所です。一つのより安全なバージョンを維持し、どこにでも販売する方がはるかに簡単です。

ウェブサイト上に現れる迷惑な警告と合意を実装した欧州一般データ保護規制(GDPR)は、物理的な境界線をはるかに超えた法律のもう一つの例です。あなたは、ウェブサイトのプライバシーポリシーを読んで同意したことを認める強制ウェブサイトが増えたことに気付いたかも知れません。これは、GDPRの保護対象となるユーザー、つまりEU内の物理的な人々、EUの市民がどこにいても、そうでない人たちを区別するのは難しいからです。全ての人に保護を拡大する方が簡単です。

この種の分類が可能になると、企業は公正なゲームをしている人たちに対して収益性の高い監視資本主義の実践に戻ることになります。監視は依然としてインターネットの主要なビジネスモデルであり、企業は私たちと私たちの活動を可能な限りスパイして、より多くのものを販売し、行動について知っているものを収益化することができます。

あなたが世界的にそれを取り除くことができる場合にのみ、不安が利益をもたらします。 すぐにできなければ、開き直るかも知れません。誰もがデータセキュリティを伴うGDPRの遵守の部分から利益を得られるように、世界中のあらゆる市場で制定されている同様のセキュリティ規制のため、カリフォルニアの規制から誰もが利益を得ることができます。

最も重要なことには、これらの法律はサイバーセキュリティにおけるイノベーションを促します。今、私たちは市場に不具合があります。 裁判所は伝統的にソフトウェアメーカーに脆弱性に対する責任を負わせないため、そして、消費者は安全な製品と安全でない製品を区別する専門知識を持たないため、メーカーは低価格を優先順位付けし、デバイスを市場に迅速に出して、後でセキュリティ上の追加機能を提供しています。

しかし、政府が一歩踏み込んで、より厳しいセキュリティ規制を課すと、企業はこれらの基準をすばやく、安く、効果的に満たすインセンティブを得ることができます。これは、新しいアイデアや新製品の市場が存在するため、より多くのセキュリティ革新が生まれる事を意味します。私たちはこのパターンを安全とセキュリティ工学の中で何度も見てきました。私たちはモノのインターネットでも目にするでしょう。

IoTデバイスは、私たちの周りの世界を感知し、直接、物理的な方法でその世界に影響を及ぼすため、従来のコンピュータよりも危険です。これらの機器のサイバーセキュリティを強化することが最も重要であり、米国連邦政府が責任を放棄しているところで、個々の州と欧州連合の両方のステップを見ることで勇気づけられています。しかし、私たちはより多くの規制を、すぐに必要としています。

このエッセイのオリジナルは、CNN.comに掲載された

11/14/2018

Googleのダウンで、インターネットの脆弱性が再再再再再・・・露呈

WIREDより。一向に進まないRPKIの導入...

Lily Hay Newman

月曜日の2時間、Googleのクラウド・プラットフォームを経由しなければならないインターネット・トラフィックが、ロシアや中国などの全く予期せぬ場所で見付かった。しかし、国家がこのテクニックを使ってウェブユーザーや検閲サービスをスパイするために使用する可能性があることを考えると、やみくものルーティングがトラフィックのハイジャックの主張を思い起こさせたが、このインシデントは特に大きな影響を伴う単純なミスであることが判明した。

Googleは、そのサービスへのほとんど全てのトラフィックが暗号化されていることに気付き、何があってもインシデント中に知らされなかった。トラフィックがISPをピンボールする中、監視会社のThousandEyesをはじめとする一部のオブザーバーは、ウェブを横断するトラフィックをシームレスにルーティングするために自動的に協力するのを手助けするBorder Gateway Protocolを操作する悪意のあるBGPハイジャックの兆候を知りった。

ThousandEyesは、Googleのトラフィックが、ロシアのISP TransTelecomから、China Telecomを経由して、ナイジェリアのISP Main Oneに向けてルーティングされるのを目にした。ThousandEyesのプロダクトマーケティング担当副社長であるAlex Henthorne-Iwaneは、「ロシア、中国、ナイジェリアのISPと150以上のプレフィックスは明らかに非常に疑わしい」と言う。「ミスのようには見えなかった」

悪意のあるBGPハイジャックは重大な懸案事項であり、犯罪者や国家主体がトラフィックを傍受したり、Googleのような目標サービスを混乱させたりする可能性がある。しかし、このテクニックには、プレフィックス・リーク、あるいは意図しないBGPハイジャックと知られる間抜けなwell-intentioned cousinがある。

いずれの場合も、ISPが実際に制御しないIPアドレスのブロックを所有しているとISPが宣言した場合、再ルーティングが発生する。これは意図的なごまかしかも知れないが、破壊的だが意図的ではない設定エラーに簡単に陥ることもある。月曜日、Googleの広報担当者は、同社は悪意のあるハイジャックの兆候を見ておらず、代わりにナイジェリアのISP Main Oneが誤って問題を引き起こしたと疑ったと言った。

ISPがBGP経路を維持するために実装する必要がある最小のベスト・プラクティスがある。経路漏洩が発生した場合にエラーを捕捉し、問題のある経路をブロックするフィルタを適用すること、これらは重要である。しかし、全てのISPがこれらの保護を実装しているわけではなく、Googleに影響を与えたプレフィックス漏洩のように、トラフィックは効率性や確立された経路に基づいてではなく、どちらのネットワークがBGPセーフガードを適切に配置していないかに基づいており、不正なルーティングを受け入れる可能性はある。

実際、火曜日の朝、Main Oneは声明で、「これは、計画されたネットワークアップグレード中に起こった私たちのBGPフィルタの設定ミスによるエラーであり、エラーは74分以内に修正された」と述べている。

この場合、ロシアと中国のISPやその他のISPも、保護の設定を実装していないため、Googleトラフィックの経路を提供していたようだ。

インターネットの基盤となるプロトコルは、数十年前の様々なコンピュータがある時代に書かれたものであり、多くはウェブ上の信用と信頼性を向上させるために大きなセキュリティ・オーバーホールと追加が必要だった。HTTPSを使用してウェブ・トラフィックを暗号化しようとする試みや、インターネットのドメインネーム・システムのアドレス検索プロセスを保護する動きが増えているため、ユーザーをスパイすることや悪意のある再ルーティングには使用できない。

同様に、ISPやインターネットインフラのプロバイダは、BGP経路の有効性を暗号的に確認するメカニズムを開発することによって、BGPハイジャックを実質的に排除できるリソース公開鍵インフラストラクチャ(RPKI)と呼ばれる保護機能を実装し始めている。HTTPSとDNSSECのように、RPKIは、インターネットインフラの核となる大企業が実装した場合にのみ、真の顧客保護を提供し始める。

ネットワーク分析会社のNetscoutの主任エンジニアRoland Dobbinsは、「Googleやいくつかの有名なネットワーク経路が誤って漏洩したため、この事件は些細ではない影響を受けました。しかし、ここでの問題は、これらの事件の大部分がそうであるように、ルーティング・セッションに基本的なベスト・プラクティスを適用することができないことです。その鍵は、ネットワーク運用者がグローバルな運用コミュニティに参加し、この種のフィルターを設置し、RPKIを実装する方向で動くことです。」と述べている。

Googleの事件はハッキングではなく、むしろあいまいなインターネット・プロトコルの劇的事件になっているが、月曜日のユーザーへの影響は明らかであり、BGPの信頼の問題を解決するための緊急の必要性を示している。この欠陥は以前に悪意を持ってハイジャックされており、再び起こる可能性がある。

CircleIDSecurityWeekHacker News

DuckDuckGoの改善

DuckDuckGoより。Our first search engine.

DuckDuckGoでは、個人情報を収集または共有することはありません。一言で言えば、それは私たちのプライバシー・ポリシーです。例えば、IPアドレスは保存せず、一意のCookieを作成しません。そのため、個人の検索履歴や検索セッションを作成することさえできません — 目的を持ったプライバシーです。

同時に、匿名でユーザー向けの製品を確実に改善する方法が必要です。これを達成するために、我々が開発したいくつかの方法があります。

まず、DuckDuckGoを検索すると、ブラウザの上部にあるWebアドレスに“&atb=" URLパラメータが存在することがあります。このパラメータを使用すると、DuckDuckGoに行った匿名のA/B(Split)テスト製品の変更が可能になります。例えば、Aグループのユーザーは青色のリンクを取得し、Bグループのユーザーは赤色のリンクを取得し、DuckDuckGoの使用状況が様々なカラーリンクによってどのように影響を受けるかを測定できます。

次に、特定のイベントのページへの関与を測定します(スペルミスのメッセージが表示された時、クリックされた時など)。これにより、様々なスペルミスのメッセージをテストし、CTR(クリック率)を使用してメッセージの有効性を判断できるような実験を行うことができます。あなたがネットワーク要求を調べれば、improve.duckduckgo.comで1ピクセルの画像に行くことが分かります。これらの要求は匿名であり、その情報は私たちの製品を改善するためにのみ使用されます。

第3に、ブラウザの拡張機能やモバイルアプリで同様の「atb.js」や「exti」リクエストが発生することがあります。これらの要求は、実験を利用しているデバイスの数を匿名でカウントするのに役立ちます。例えば、ブラウザの拡張機能やモバイルアプリは、1日に1種類のリクエストのみを送信します。つまり、DuckDuckGoにアクセスしたデバイスの数は、デバイスや検索について何も知らなくても、どれくらいのデバイスかを数えることができます。

これらの要求は全てDuckDuckGoへの転送中に完全に暗号化されているため、他の誰も私たちには見えません。また、DuckDuckGoへの他の全てのリクエストと同様に、個人識別可能な情報は組み込まれておらず、関連するIPアドレスは保存されません。

明らかにするために、誰もが匿名であるため、私たちは個々の人々が何をしているのかを決して伝えることができないことを意味します。しかし、この匿名の制限の中で、これらの匿名の方法を使用して、どのような変更が一般的に働いているのかを確実に判断することができます。

私たちは、個人情報を収集または共有することを決してしないというプライバシー保護の約束のために、第三者サービスを使用する代わりに、これらのシステムを最初から開発しました。私たちは完全に匿名の方法であなたのために私たちのサイトを改善できることを誇りに思っています!

不明な点があれば、privacy@duckduckgo.comまでお気軽にお問い合わせ下さい。

Hacker News

11/13/2018

スタン・リー、死去

Slashdotより。スタン・リーが出ないマーベル映画は失敗する事から、CG化したスタン・リーが見られそうな気がする...

大恐慌時代から現在に至るコミック本の遺産を書いて出版し、スパイダーマン、アイアンマン、インクレディブル・ハルクとソーを作ったスタン・リーが亡くなった。彼は95歳だった。リーは1922年にルーマニアのユダヤ移民の息子で、ニューヨーク市のスタンリー・マーティン・リーバーに生まれ、17歳で後に「マーベルコミック」となるタイムリー・コミックスのアシスタントとして働き始めた。インク交換と昼食取り、リーのキャリアは、スーパーマンの1930年代のデビューを象徴するAction Comics#1で始まり、スーパーヒーロー漫画の歴史を幕開けした。報道より:

ブラック・パンサー、スパイダーマン、X-Men、マイティー・ソー、アイアンマン、ファンタスティック・フォー、インクレディブル・ハルク、デアデビル、アントマンなどのキャラクターを作り、共同創作したリーは、月曜日の早朝にロサンゼルスで死去したと、情報筋がThe Hollywood Reporterに語った。(TMZがスタンの娘であるJoan Celia Leeにニュースを確認した。) リーの最後の数年は波乱に満ちたものだった。

[...] それだけでなく、頻繁にアーティストと作家のコラボレーター、ジャック・カービー、スティーヴ・ディッコなどとの仕事を通じて、リーは小さなベンチャーから世界一のコミック出版社となり、その後マルチメディアの巨人になった。2009年、ウォルト・ディズニーはマーベル・エンターテインメントを40億ドルで買収し、全世界で15億2000万ドルを稼ぎ、今までで最高の興行収益を上げたスーパーヒーロー映画はマーベルのキャラクターを主役にした。

先月に登場したスタン・リーの最後のインタビューの一つからのやり取り:

インタビュアー: あなたの遺産は安全だと思いますか?
スタン・リー: もちろん

インタビュアー: あなたの願い事リストには何がありますか?
スタン・リー: 私が去る時、みんなを幸せにすることさ。
インタビュアー: あなたは幸せにする暇はありませんよ。
スタン・リー: まあ、私が残した幸せのことじゃないさ。私は正しい道を譲ったことに満足している。
インタビュアー: あなたはいつも、ポップなことをする。それはあなたの周りの人たちだけだった。決してあなたではなかった。あなたはいつも良い人だったし、あなたの周りを漂い、それがこの町だった。あなたではない。

BoingBoingWIRED

11/12/2018

HTTP/3

daniel.haxx.seより

HTTP-over-QUICと呼ばれていたプロトコルは、名前が変更され、正式にHTTP/3になります。これはMark Nottinghamによる元の提案がきっかけになりました。

IETFのQUICワーキンググループは、QUICトランスポート・プロトコルの作成に取り組んでいます。QUICはUDP上で行われるTCPの置き換えです。もともと、QUICはGoogleの努力として始まり、さらに「HTTP/2-encrypted-over-UDP」プロトコルとして開始されました。

プロトコルを標準化するためにIETFで作業が開始された際、トランスポートとHTTPの2つのレイヤーに分割されました。このトランスポート・プロトコルは、HTTPやHTTPのようなプロトコルに対して明示的に行われるだけでなく、他のデータの転送にも使用できます。しかし、名前はまだQUICでした。

コミュニティの人々は、iQUICやgQUICなどの非公式の名前を使用してこれらの異なるバージョンのプロトコルを参照し、QUICプロトコルをIETFとGoogleから分離しています(詳細についてはかなり異なるため)。」「iQUIC上でHTTPを送信するプロトコルは、長きに渡って「hq」(HTTP-over-QUIC)と呼ばれていました。

Mike Bishopは、IETF 103のQUICワーキンググループ会議で、このスライドをほぼロゴと考えることができると提示したところ、びっくりさせられました...

Screenshot 2018 11 06 HTTP QUIC slides 103 httpbis httpquic 00

LitespeedのDmitriは、2018年11月7日に、彼らとFacebookが2つのHTTP/3の実装間の最初の相互運用を成功裏に完了したと発表しました。このトピックに関するHTTPbisセッションでのMike Bihopのフォローアップ・プレゼンテーションがここにあります。その会合の終わりの合意は、新しい名前がHTTP/3だと示しました!

これ以上の混乱はありません。HTTP/3は、トランスポートにQUICを使用する次世代のHTTPバージョンです!

QUIC

Hacker News

11/11/2018

なぜ、スウェーデンのキャッシュレス社会はもは理想郷ではないのか

世界経済フォーラム(ダボス会議)より

この記事は、グローバル未来委員会(Global Future Council)の年次総会の一部です。

スウェーデンの小売決済市場は、現金の利用から急速に変わっています。流通している現金の発行済の価値は、スウェーデンのGDPの1%にまで下がっています。この進展は、支払市場における国の役割に関するいくつかの重大な問題を提起します。

何百年もの間、一般市民は中央銀行券と硬貨を提供されてきました。現金が機能しなくなると、全ての個人がお金や支払い方法に利用可能にするために民間部門に頼ることになります。それは先例のない歴史的な変化です。従って、スウェーデンの中央銀行Riksbankは、e-クローナと呼ばれる中央銀行のデジタル通貨の設計方法を含め、この変更の潜在的な影響を調査しています。しかし、e-クローナとは正確には何ですか?

最初から始めましょう。スウェーデンの法律は、小売業者、レストランおよび他の企業は、例えば、入り口あるいはレジのそばに標示を掲げる事で、現金の受付を拒否することを可能にします。現金サービスの提供を停止する銀行と共に、現金の拒否はますます広まっている現象です。更に、平均のスウェーデン人は喜んで新技術に適応するため、カードが普及しており、インスタント支払いアプリSwishが人口の半分以上でダウンロードされています。

携帯電話番号を銀行口座を接続することで、Swishはレストランの明細書を共有し、小児に小銭を分け与え、職場で誕生日プレゼントを徴収し、露店市場で商品を払うことの一般的な方法となっていまする。精算は、Riksbankのリアルタイムの総決済システムの助けを借りて行われます。お金を「スウィッシュする」は、スウェーデン語の動詞になりました。

数年以内に、現在の現金の利用法が続く場合、スウェーデン人は現金がもはや一般的な支払い手段として受け入れられない状況に陥る可能性があります。

この進展は、支払市場における国の役割に関するいくつかの重要な問題を提起します。何百年もの間、一般市民は中央銀行券と硬貨を提供されてきました。現金が機能しなくなると、すべての個人が民間部門のみに依存して、お金と支払い方法にアクセスするようになります。これは、先例のない歴史的な変化になります。ノルウェーも同様の傾向を見せており、2つの中央銀行がこの分野で協力しています。ユーロ圏では、現金は依然として高い頻度で使用されています。未払いの残高の価値は、ユーロ圏GDPの10%に相当し、スウェーデンはたったの1%に相当します。

しばらくの間、スウェーデンの中央銀行は、経済におけるこの重点の緩やかな移行を分析しています。最近の報告書はここにあります

e-クローナとは

これから数年のうちに、いくつかの厳しい選択が迫られるでしょう。最初の選択肢は何もしないことです。つまり、私たちは、一般市民が中央銀行の通貨にアクセスできなくなるということを受け入れることです。そのような未来は、公共部門にとって変更された範囲を暗示するでしょう。支払市場は、安全で効率的かつ包括的な支払市場を持つ目的を達成するために、新たな方法で規制され監督されなければなりません。

もう一つの選択肢は、現金と銀行口座に保管されている通貨を補完するものとして、中央銀行の通貨をデジタル形式で発行することです。私たちは、スウェーデンの通貨クローナの後に、コンセプトを「e-クローナ」と呼んでいます。銀行発行のデジタル通貨は、比較的未知の新しい可能性がありますが、多くの中央銀行からの関心が高まっています。

60 EuKU60DspFKAiilzxYid7fhpDHjda sz4OHZGIuM

e-クローナの基本的な考え方は次のとおりです: それはデジタルであり、Riksbankの口座に保持された通常のクローナと1対1の変換を持つか、例えば、カードや携帯電話アプリなどでローカルに保存されます。

個人の視点から見ると、e-クローナは、カードやアプリのような価値ベースの形態、または口座ベースの構造のいずれかでとどめておく可能性があります。支払業界にとって、Riksbankは、決済サービスプロバイダが接続し、エンドユーザ向けの決済サービスを構築できるe-クローナ取引のインフラを提供します。

スコープと設計上の選択に応じて、異なる結果が生じる可能性があります。金融システムへの影響は、e-クローナの需要がどのくらい大きいかで異なります。それが利益を得るかどうかは別の重要な問題です。この点で、e-クローナがゼロ金利を提供すれば、それは現金と同等になり、経済の金利が低い場合には、拡大通貨政策に悪影響を及ぼす可能性があります。一方で、金利付きのe-クローナは、中央銀行にとって新しい政策ツールになる可能性があります。

機能するe-クローナを構築する技術は、今日すでに利用可能です。分散台帳技術の使用に依存せず、暗号通貨と混同しないでください。

次のステップは、Riksbankの現在の法的権限の下で発行できるプロトタイプを構築することです。その道に沿って私たちが取得する知識は、私たちに将来の戦略に余裕を与えるでしょう。

何百年もの間、民間部門と公共部門は、価値の保管として、そして効率的な交換媒体として機能するお金を提供する方法について相互に関わってきました。2018年、Riksbankは創立350周年を迎え、効率的な通貨のために大きく重い銅貨が交換された1660年代の起源を振り返ります。しかし、技術が向上するにつれて、人々の嗜好も変化します。従って、私たちは未来への安全で効率的な決済システムをどのように社会に提供し続けることができるかを見据えています。

Hacker News

NISTによるブロックチェーンの技術文書

NIST(米国立標準技術研究所)がブロックチェーンに関する技術文書(Blockchain Technology Overview)を公開している[PDF]。