GitHubは17日、ユーザーにcookie保存の合意を求めるバナー表示の廃止を発表した(GitHub Blogの記事、 Neowinの記事、 The Vergeの記事、 The Registerの記事)。

EUの法令ではWebサイトが機能上必要不可欠でないcookieを使用する場合、バナーを表示してユーザーが合意するかどうかを選択できるようにすることが義務付けられている。必要不可欠でないcookieの例としては、Web全体にわたるユーザーの行動を追跡して広告を表示するサードパーティーのサービスによるcookieなどが挙げられる。

cookieバナーはユーザーのプライバシー保護のために表示されるものだが、うっとうしく感じられることもある。GitHubではプライバシー保護とうっとうしさの排除を両立する方法を検討した結果、必要不可欠でないcookieを使用しないという結論に達したとのことだ。

すべて読む | YROセクション | YRO | 広告 | プライバシ |

関連ストーリー：
フランスのデータ保護当局、cookie保存などについてAmazonに3,500万ユーロ、Googleに1億ユーロの制裁金 2020年12月13日
Google Chrome、終了時のサイトデータ削除を有効にしてもGoogle関連のサイトデータが一部残るバグ 2020年10月24日
Google ChromeのSameSite cookie強制、7月に再開へ 2020年05月31日
Safari、すべてのサードパーティCookieをブロックへ 2020年03月25日
公正取引委員会、Cookieや位置情報を使った個人情報収集を規制へ 2019年10月29日
Google、Chromeで混合コンテンツを完全にブロックする計画 2019年10月06日
Firefox 69.0リリース、「サードパーティのトラッカーCookie」のブロッキングが全ユーザーのデフォルトで有効に 2019年09月07日
世の中には「個人情報保護のためにCookieを使用している」と主張するサイトが多数存在する 2019年08月15日
ログリー、「Cookieを使用せずにユーザー属性を推定する技術」の特許を取得 2019年05月14日

フランスのデータ保護当局CNIL(情報処理および自由に関する国家委員会)は10日、amazon.frとgoogle.frが広告用cookieに関連してフランスのデータ保護法82条に違反したとして、Amazon Europe Coreに3,500万ユーロ、Google LLCおよびGoogle Ireland Limitedに合計1億ユーロの制裁金を7日付で命じたことを発表した(CNILのニュースリリース: Amazon / Google、 The Vergeの記事)。

データ保護法違反はAmazonが2件、Googleが3件。1件目は両社共通で、ユーザーの同意を得るまで保存してはいけない広告用cookieをWebサイトにアクセスした時点で保存していたというもの。2件目は具体的な内容が異なるが、両社ともcookieに関する十分な情報をユーザーに知らせていなかったというものだ。Googleの3件目は広告のパーソナライズを無効化しても広告用cookieの1つが保存されていたというもので、Webサービス提供に必要不可欠でない広告を拒否できるメカニズムが部分的に破られたとのこと。Googleに対する制裁金の内訳は、Google LLCが6,000万ユーロ、Google Ireland Limitedが4,000万ユーロとなっている。

Amazon、Googleともに現在はユーザー同意前のcookie保存をやめているが、バナー表示される内容はフランスのユーザーに十分な情報を提供していないという。そのため、CNILでは両社に3か月以内の修正を命じており、修正が1日遅れるごとに10万ユーロの罰金を科すとのこと。

今回の決定に対しGoogleは、フランスの法制や当局の指導が変わりやすく、常に発展していることを考慮していないなどと反発しているそうだ。Amazonも消費者と当局の要求や期待の発展に合わせてプライバシー習慣を改良しており、運営する各国で適用される法制のすべてを順守しているなどと反発しているとのことだ。

すべて読む | YROセクション | Google | EU | 広告 | お金 | プライバシ |

関連ストーリー：
Google Chrome、終了時のサイトデータ削除を有効にしてもGoogle関連のサイトデータが一部残るバグ 2020年10月24日
Google Chrome、SameSite cookie強制を一時的に中止 2020年04月07日
Safari、すべてのサードパーティCookieをブロックへ 2020年03月25日
リクナビ、学生がアクセスすると追跡用Cookieが埋め込まれるアンケート実施を企業に求める 2019年11月01日
EU司法裁判所、「忘れられる権利」による検索結果からの除外はEU加盟国の国別TLDバージョンのみが対象になるとの判決 2019年09月27日
Firefox 69.0リリース、「サードパーティのトラッカーCookie」のブロッキングが全ユーザーのデフォルトで有効に 2019年09月07日
ログリー、「Cookieを使用せずにユーザー属性を推定する技術」の特許を取得 2019年05月14日
EUの一般データ保護規則（GDPR）、多くの企業で対応が不十分という指摘 2018年07月06日
EUの一般データ保護規則、今月下旬にスタート 2018年05月11日
オランダのデータ保護当局、Microsoftがオランダのデータ保護法に違反しているとの見解 2017年10月15日
フランスのデータ保護当局、Windows 10によるデータ収集が改善されたと判断 2017年07月01日
Windows 10のデータ収集などに対し、フランスのデータ保護当局が3か月以内の是正を求める 2016年07月24日
Google、SafariのサードパーティCookie問題で2250万ドルの制裁金を支払う方向へ。 2012年07月12日

Sophosが内部で使用するツールに設定ミスがあり、ごく一部の顧客に関するデータが流出したそうだ(Sophos Communityでのアナウンス、 HackReadの記事)。

このツールはカスタマーサポートが連絡を受けた顧客の情報を保存するもので、アクセス許可の問題があるという情報提供を11月24日に受けたという。既に問題は修正済みだが、ごく一部の顧客について姓名と電子メールアドレスが(顧客から伝えられた場合は電話番号を含む)流出したそうだ。Sophosでは影響を受けた顧客に電子メールで連絡しており、連絡がない場合は影響を受けていないとのこと。影響を受けた顧客に対しては、現時点で特別な対策は必要ないと説明している。

すべて読む | セキュリティセクション | セキュリティ | プライバシ |

関連ストーリー：
月例パッチでWindows 7などが起動不能に。一部ウイルス対策ソフト利用者の間で発生 2019年04月19日
信頼に足るWebブラウザーは？ 2015年10月25日
ソフォスのディスク暗号化ツールに不具合、ノートPC紛失によって発覚 2014年06月30日
Sophos、自社製品をマルウェアと誤検出 2012年09月22日
Sophosのサポートエンジニア曰く、ライブチャットは電話サポートよりも効率が悪い 2012年08月04日

Braveは10月27日、Brave 1.17の広告・トラッカーブロック機能「Brave Shields」にCNAMEクローキングのブロック機能を追加すると発表した(Braveのブログ記事、 The Registerの記事)。

CNAMEクローキングはドメインにエイリアスでアクセスできるようにするCNAME DNSレコードを悪用し、サードパーティードメインのトラッカーをファーストパーティーのサブドメインから送られたように見せかける手法だ。この手法は以前から用いられていたが、使用するトラッカー企業が2019年後半から急増したという。

広告ブロック拡張機能はCNAME情報にアクセスできないため、ランダムに生成したサブドメイン名がCNAMEレコードに指定されるとリストベースのブロッキングでは対応が困難になる。Firefox版のuBlock Originはbrowser.dns.APIを用いてCNAMEクローキングの検出とブロックを可能にしているが、他のブラウザーではこのAPIを使用できない。

11月17日リリース予定のBrave 1.17では、Brave Shieldsがすべてのネットワークリクエストをチェックし、CNAMEでファーストパーティーのサブドメインが指定されていても、正式なドメイン名がトラッカーのドメインであればブロックする。トラッカーのスクリプトが他のサードパーティートラッカーをリクエストする前にブロックすることで、プライバシーを強化するとともにネットワーク帯域やCPU使用率を低減できるとのことだ。

すべて読む | ITセクション | YRO | ソフトウェア | 広告 | インターネット | プライバシ |

関連ストーリー：
Braveブラウザー、検索ボックスの入力補完候補にアフィリエイトコード入りURLを提示して批判される 2020年06月11日
Webブラウザ「Brave」、広告ブロックツールを導入したブラウザを狙ってポップアップ広告を表示して不評を買う 2020年05月26日
Braveブラウザー製品版、バージョン1.0に到達 2019年11月17日
ChromiumベースのMicrosoft Edgeベータ版、初回起動時に130回以上のネットワークリクエストを送る 2019年09月01日
Chrome派生のBraveブラウザ、Chromeの広告ブロック仕様変更に反対し独自に高速なAPIを実装 2019年07月04日
Brave 0.57、ユーザーインターフェイスがChromiumベースに 2018年12月20日
Webブラウザー「Brave」、プライベートタブにTorを統合 2018年07月02日
Webブラウザ「Brave」の広告収入分配計画、米パブリッシャー17社が中止を求める 2016年04月11日
広告を見てくれたら謝礼金を支払う新Webブラウザ「Brave」スタート 2016年04月05日

headless 曰く、

チャット/メッセージングアプリのリンクプレビュー機能の問題点について、Talal Haj Bakry氏とTommy Mysk氏が18本のアプリを対象とした調査結果を公表している(Myskの記事、 Ars Technicaの記事、 9to5Macの記事、 Mac Rumorsの記事)。

リンクプレビュー生成方法は、送信側で生成・受信側で生成・サーバー上で生成の3種類。最も安全なのはリンクを生成しないことで、テストした中ではSignal(プレビュー無効時)/Threema/TikTok/WeChatが該当する。

比較的安全なのは送信側での生成だ。送信者がリンク先にアクセスすることは避けられないが、受信者はクリックしない限りリンク先ページにアクセスすることはない。テストした中ではiMessage/Signal(プレビュー有効時)/Viber/WhatsAppが該当する。ただし、Viberではプレビュー生成時のダウンロードサイズに制限がなく、バッテリーやデータを大量に消費するなどの問題が発生する可能性もある。

受信側での生成はクリックしなくてもリンク先へのアクセスが発生するため、攻撃者が悪用する可能性もある。テストした中では2本がこの方法だが、情報は非公表になっている。また、2本とも修正前にはデータサイズの制限がなく、Viberと同様の問題が受信側で発生していたとのこと。

サーバーで生成するのはDiscord/Facebook Messenger/Hangouts/Instagram/LINE/LinkedIn/Slack/Twitter/Zoomと非公表1本。この方法では非公開情報をサーバーが取得する可能性がある。中でもFacebook Messenger(画像と動画のみ)とInstagramは取得するデータサイズに制限がない。また、InstagramとLinkedInではサーバー上で任意のJavaScriptコードを実行可能だったとのこと。保存期間についてはSlackのみ30分程度と回答している。

LINEの場合、メッセージをエンドツーエンドで暗号化しているが、リンクはサーバーへ送られる。また、送受信者のIPアドレスをリンク先に送信していたという。LINEは報告を受けてIPアドレスの送信をやめたが、サーバーへのリンク送信は許容範囲内だと回答したそうだ。

すべて読む | セキュリティセクション | セキュリティ | YRO | ソフトウェア | 暗号 | 情報漏洩 | プライバシ |

関連ストーリー：
Twitterで「いいね」を押したことで中傷ツイートを拡散した責任問う裁判が開始 2020年10月23日
東京オリンピックの妨害を狙い、ロシアがサイバー攻撃を実施。イギリス政府発表 2020年10月21日
総務省、「2回目の特別定額給付金」を騙ったメールに注意喚起 2020年10月21日
FacebookとTwitter、バイデン候補の疑惑を報じた記事をブロックしてまた論争に 2020年10月19日
Google Play、類似アプリの比較機能をテスト中 2020年10月31日

中国でも似たような話があったが、ロシア政府は、監視や検閲機能を妨げる危険性のあるインターネットプロトコルの使用を禁止できるよう法改正を進めているそうだ。流出したPDFファイルから判明したという。禁止対象となるインターネット・プロトコルはTLS 1.3、DOH、DoT、そしてESNIとされている（ZDNet、流出PDF、GIGAZINE）。

ロシアは中国のようなファイアウォールは採用していないものの、SORMと呼ばれる電話会社のデータセンターを法執行機関が監視できるシステムを用意している。新たな法改正案によれば、暗号化されたプロトコルを使用してユーザーIDなどを分からなくする仕様を採用したWebサイトに関しては、警告の1日後に利用が禁止されるとしている。改正案は10月5日までパブリックコメントを受け付けているとのことだが、政治的に改正法案が通るのは確実とみられている。

すべて読む | YROセクション | 検閲 | プライバシ |

関連ストーリー：
WeChatが新型コロナウイルス関連の単語2000個以上を検閲へ。トロント大学調査 2020年08月31日
中国政府、TLS 1.3とESNIを使用するすべての暗号化されたHTTPSトラフィックをブロック中 2020年08月13日
米政府、TikTokに9月15日までの米事業売却か廃業の二択を迫る 2020年08月05日
トランプ大統領、通信品位法230条を廃止しろとつぶやく。もしこれが実現した場合インターネットサービスはどうなる？ 2020年06月04日
警察庁、ISP業界などに「匿名通信の遮断」を要請へ 2013年04月18日

中国の江蘇省蘇州市で今月3日、市民の生活態度などを点数化する「文明コード」を新たに導入したが、市民の強い反発からたったの3日で運用停止する羽目になったようだ。読売新聞によると、このアプリは交通ルールの順守やボランティア参加といった項目から点数化するとされている（読売新聞、Record China）。

Record Chinaによれば、この蘇州市が導入した制度は文明コードと呼ばれており、

「1人1つのコードを有して文明ポイントを構築し、文明を市民の通行証とする。文明ポイントの高い市民は、仕事や生活、就業、学習、娯楽で優先的に便宜を図ってもらうことができる」

というものであるらしい。もちろん中国で使われているほかの信用スコアと同様に懲罰にも利用できるものであるようだ。中国では新型コロナウイルスに乗じて、個人の健康状態を識別する健康コードという制度も導入されている。健康コードが導入されて間もない状況で文明コードも導入されたのが、現地での反発をまねいた一因であるようだ（Forbes）。

katu256 曰く、

中国江蘇省蘇州市で、市民の生活態度などを点数管理するアプリを公開したが、反発が大きく運用開始から3日で運用を停止した様だ。
このアプリは交通ルール順守と、ボランティア参加の2項目から利用者の生活態度を数値化するもので、点数が高いと就職に有利などと説明されていた。
中国政府は2014年から個人の信用情報を一括管理する目的で、社会信用システムの構築を進めており、アリババグループ傘下の芝麻信用が
2015年に導入した信用スコアは、金融や不動産などの分野でサービスを拡大している。

情報元へのリンク

すべて読む | YROセクション | YRO | 中国 | プライバシ |

関連ストーリー：
Yahoo!スコアがサービス終了。満足いただけるサービス提供に至らないと判断 2020年07月01日
NTTドコモ、金融機関に信用スコアを提供するサービスを開始 2019年08月30日
中国で「債務の返済が滞っている人」が半径500m以内にいると通知するアプリが開発される 2019年01月28日
日本でも採用の進む信用スコア 2019年01月11日
中国の「信用スコア」システムは当局によって恣意的に運用されている 2018年05月02日
COVID-19を発症したアルゼンチンの大学教授、オンライン授業中に亡くなる 2020年09月11日

Android 11をターゲットにしたアプリで「android.media.action.IMAGE_CAPTURE」などのインテントでカメラアプリを呼び出す際、プリインストールのシステムカメラアプリしか選択できないようになっているが、これはアプリがユーザーの許可なく位置情報を取得しないようにするための変更だという(Android Developersのドキュメント、 The Vergeの記事、 Android Policeの記事、 SlashGearの記事)。

サードパーティーのカメラアプリ呼出し制限はAndroid 11をターゲットにしたアプリの動作の変更点として数か月前からAndroid Developersのドキュメントに記載(Internet Archive 5月31日のスナップショット)されているが、その理由については説明されていなかった。8月に入ってこの動作がGoogleのIssue Tracker(要ログイン)でバグとして報告され、Googleはユーザーのプライバシーやセキュリティを守るための意図した動作だと回答。サードパーティーのカメラを呼び出す場合はパッケージ名などを明示的に指定する必要があるとも説明しているが、ここでも具体的な理由を示さなかったため、独占的だなどと批判を受けることになる。

その後、Android 11の変更点のカメラアプリ呼出し制限の項目は大幅に追記され、呼び出し元アプリの位置情報アクセス許可に応じてEXIFの位置情報メタデータが正しく処理されることを確実にするための変更だと明記された(日本語版は未更新)。変更によりサードパーティーのカメラアプリ使用が制限されることはなく、既定のアプリに設定することも可能とのこと。なお、OEMメーカーの多くは独自のカメラアプリをプリインストールしているが、こういったカメラアプリでEXIFメタデータが正しく処理されるかどうかについては触れられていない。

すべて読む | YROセクション | ソフトウェア | デベロッパー | Android | プライバシ |

関連ストーリー：
Android 11 Beta 3 リリース 2020年08月09日
Android 11、Google内部でのコードネームはRed Velvet Cake 2020年07月26日
Google、RAM 2GB以下のAndroidデバイスにAndroid Go構成を義務付けか 2020年07月25日
Google曰く、Android 10は過去のどのAndroidバージョンよりも速く導入が進んだ 2020年07月13日
Android 11 Beta 2 リリース 2020年07月12日
Android 11 Beta リリース 2020年06月13日
Google、Android 11 Beta1のリリースをさらに延期 2020年05月31日
Google、Android 11のベータ版提供開始を6月に延期 2020年05月09日
Google、Android 11 Developer Preview 3を公開 2020年04月29日
Google、Android 11 Developer Preview 2を公開 2020年03月21日
Google、Android 11 Developer Preview 1を公開 2020年02月22日

headless 曰く、

Zoomのオンラインミーティング招待メールで、送信者の知らない間にGoogle Meetのリンクが追加されていたとの報告が出ている(MSPoweruserの記事、 Neowinの記事)。

MSPoweruserの記事によれば、この招待メールはWindows 10の「メール」アプリでGoogleアカウントから送信されたものだという。メールには日時と場所(URL)に続いて参加方法に関する情報が記載されているのだが、参加方法の一つとしてGoogle MeetのURLが記載されている。事実関係は不明だが、このような情報は送信時に記載されていなかったとのことで、Googleが追加したとみられている。

すべて読む | YROセクション | Google | インターネット | IT | プライバシ |

関連ストーリー：
日本の企業がZoomに要望？ 役職に応じて画面サイズを変更できる機能を求む 2020年07月08日
在宅勤務が増えて自宅用回線の契約が増える。すぐに使えるホームルーター選択者も多い 2020年06月23日
Zoom、天安門事件を振り返るオンライン会議を行なった米人権活動団体らのアカウントをブロック 2020年06月12日
オンライン飲み会に最適なチャットツールは？ 2020年04月13日
Google Docs、ChromiumベースのEdgeにサポートが終了したバージョンだと表示 2019年05月03日
Google、ビデオ会議サービス「Meet」でChromiumベースのMicrosoft Edgeをブロックか？ 2019年04月30日

個人情報保護委員会は7月29日、官報に掲載された破産者の情報を公開していた二つの事業者に対し、ウェブサイトを直ちに停止するよう命じる行政処分を行った。同委員会が命令を出したのはこれが初めてだという（個人情報保護委員会[PDF]、Security NEXT、日経新聞）。

同委員会は今回、ウェブサイト上のマイニングツールについても触れている。いずれのサイトも閲覧しないことを求めていることから、この二つの事業者の中にはマイニングツールを仕込んだものが含まれていた可能性がある。ただし、マイニング行為そのものは違法性が裁判で争われている段階であることから、個人情報保護委員会が、あえてマイニングに言及したことは、マイニングに問題があると受け止められないとする意見もあるようだ。

なお今回の停止命令は、当該2事業者の所在をいずれも確認できておらず、公示送達の形で行われている。これら二つの事業者は、官報に掲載された破産者の個人情報を、利用目的の通知や第三者への提供の同意を行わないままデータベース化し、ウェブサイトに掲載していたとされる。対応期限となる8月27日までに必要な手続きを取るなどの行動をしない場合は、刑事告発を行うとしている。

すべて読む | YROセクション | YRO | プライバシ |

関連ストーリー：
総務省が18億円かけて導入したセキュリティシステム、一度も使わることなく廃止 2019年10月08日
戸籍の正本をデジタルデータに変更する戸籍法改正が官報告示 2019年06月01日
官報に掲載された破産者情報をGoogleマップ上にマッピングするサイトが登場し議論になる 2019年03月18日
スノーデン事件は、内部告発を安全に行うための仕組みがないことから起きた？ 2015年11月10日

ストーカーが引っ越し時に使用する各種サービスなどを悪用、ストーカーの対象となった女性の郵便物を盗んだり、クレジットカードや銀行口座を使用不能にするなどの行為をしていたことが分かった（FNN、MSNニュース、piyokangoの備忘録）。

犯人は元警察官で36歳の男。出会い系サイトで知り合った20代の女性の郵便物を手に入れるため、日本郵便の提供している転居手続きサイト「e転居」を悪用。女性宛の郵便物を自分の実家の住所に転送していた。男は7月15日に私電磁的記録不正作出・同供用の疑いで逮捕されている。

「e転居」は引っ越しの時に荷物の転送手続きに使用できるサービス。電話確認のみで申請が可能となっており、本人確認の証明書を提示する必要は無かったという。この男はe転居だけでなく、女性に対して複数のサービスで紛失や解約など申請や手続きを行っていた。まとめ記事によると、被害者女性はクレジットカード、携帯電話、水道、電気、銀行口座、NHK（衛星放送）などのサービスが使用不能になっていたとしている。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | プライバシ |

関連ストーリー：
米インディアナ州最高裁判所、スマートフォンのロック解除強制は不利な証言の強制にあたると判断 2020年06月28日
米サンフランシスコ市、警察など公的機関での顔認証技術の使用を禁止 2019年05月20日
米人気歌手テイラー・スウィフトのコンサート会場でテロ対策用の顔認証システムが使われる 2018年12月21日
「電磁波を使った流体活性化装置」特許を持つ日本システム企画、同社製品への「誹謗中傷」はたった1人の人物によるものと主張 2018年10月03日
店員のレシートや名札からFacebookを発見されるリスク 2018年06月14日

headless 曰く、

Appleが最近公開したサポートドキュメントで、MacBook/MacBook Air/MacBook Proのカメラにカバーを装着した状態でディスプレイを閉じないよう求めている(HT211148、 Mac Rumorsの記事、 Softpediaの記事、 BetaNewsの記事)。

Macノートブックのディスプレイとキーボードの間にはごくわずかな隙間しかないため、カメラカバーを装着してディスプレイを閉じるとディスプレイが傷つく可能性があるとのこと。カメラカバーの使用自体を禁じてはいないが、環境光センサーにも干渉するため、できれば使用してほしくないようだ。カメラカバーを使用する代わりにインジケーターランプでカメラの作動状態を確認することや、アプリに対するカメラの使用許可を確認することを推奨している。

職場などでカメラカバー装着が義務付けられている場合は、通常のコピー用紙1枚の厚み(0.1mm)またはそれよりも薄いカメラカバーを使用すること、接着剤の跡が残るカメラカバーを避けること、カメラカバーの厚みが0.1mmを超える場合はディスプレイを閉じる前に取り外すこと、が推奨されている。

元FBI局長のジェームズ・コミー氏など、プライバシーの観点からPCのカメラを物理的にふさぐ人も多い。シャッター式やステッカー式などさまざまなカメラカバー製品も発売されているが、Macノートブックに使用する場合は貼り直し可能なステッカー式を選ぶか、付箋紙やマスキングテープなどを使用する方がよさそうだ。

すべて読む | YROセクション | ノートPC | アップル | プライバシ |

関連ストーリー：
iOS 13.5.1、バックグラウンドアプリがバッテリーを大量消費するとの報告が急増 2020年07月12日
6月のデスクトップOSシェア、Linuxは増加した？そうでもない？ 2020年07月05日
iOS/iPadOS 14で標準ブラウザとメールが変更できるように 2020年06月26日
Apple、Macのプロセッサーを2年間で同社製に移行する計画 2020年06月23日
FBI局長曰く、誰もがWebカメラをテープでふさいでプライバシーを守るべきだ 2016年09月18日
PCのWebカメラ、ふさいでる？ 2016年06月10日
Apple、MacのGPUも自社開発の製品に移行か？ 2020年07月14日

headless 曰く、

DuckDuckGoが同社のWebブラウザー「DuckDuckGo Privacy Browser」でアクセス先ドメインの情報を収集しているとの批判を受け、修正版を公開した(HackReadの記事、 Hacker Newsのスレッド)。

この問題はfavicon表示に関するものだ。DuckDuckGoでは各Webサイトからfaviconを取得して表示するには複雑な処理が伴うとして、同社の検索エンジンおよびアプリに独自サービスからfaviconを提供していた。しかし、検索結果に表示するfaviconは問題ないとしても、直接URLを入力してアクセスした場合にもDuckDuckGoへリクエストが送られる点が批判を受けることになる。

実際のところ、この問題は昨年7月にGitHubのAndroid版 DuckDuckGo Privacy Browserリポジトリで指摘されたまま放置されていたのだが、最近になって再燃していた。DuckDuckGo CTOのCaine Tighe氏(nilnilnil)はリクエストが匿名化されていると説明しつつもユーザーの懸念は理解できるとして、アプリではfaviconを各サイトから直接取得するように修正した(Android / iOS)と説明。Android版(バージョン5.58.1)・iOS版(バージョン7.47.2)ともに修正版が公開されている。

すべて読む | ITセクション | YRO | ソフトウェア | インターネット | プライバシ |

関連ストーリー：
DuckDuckGo、インドで一時ブロックされる 2020年07月05日
Appleは自前の検索エンジンを持つべきか 2020年06月12日
iOSで成人向けWebサイトへのアクセスを制限すると「Asian」や「teen」がGoogle検索できなくなる 2020年02月23日
Google、欧州経済領域でAndroid初回起動時に選択可能な検索プロバイダーを発表 2020年01月11日
10年前のサイトはGoogle検索に表示されない？ 2019年05月07日

headless 曰く、

新規インストール時に新Microsoft Edgeが、ChromeやFirefoxからデータを「一旦」インポートする挙動を見せるそうだ(Windows Centralの記事、 9to5Googleの記事、 窓の杜)。

「一旦」と書いたのは、起動時に最初に表示される設定で「インポートしないで続行」オプションを選択した場合、インポートされたデータは破棄されるためだ。つまり一度は必ずデータをインポートし、ユーザーが拒否した場合のみ削除するという仕組みとなっている。

この点に関して、Windows CentralがMicrosoftに問い合わせたところ、回答があったという。それによれば「Microsoft Edgeはセットアップ中にデータをインポートする機会を用意している。インポートしたデータを維持するか、破棄するかは初回起動時に選べる」という回答だった。この挙動自体は以前からあるものだったが、Microsoft Edgeの自動インストール以降はより目立つようになったようだ。

Microsoftも新Microsoft Edgeの初回起動時には既にデータがインポートされていることを認めていることになる。注意点として初回起動時のセットアップ完了前にタスクマネージャーなどで新Microsoft Edgeを終了してしまった場合、インポート済みのデータが完全に削除されない可能性がある。このためセットアッププロセスは確実に完了させることを推奨するとのこと。

すべて読む | ITセクション | マイクロソフト | YRO | インターネット | プライバシ |

関連ストーリー：
「Microsoft版のChromebook」は実現するのか 2020年06月26日
Microsoft Edge、Windows UpdateでWindows 7/8.1に提供開始 2020年06月21日
Windows 10 Insider Preview、初の20H2ビルドが登場 2020年06月20日
64ビットWindows版のChromium系ブラウザー、ついに64ビットプログラム標準の場所へインストールされるようになる見込み 2020年06月16日

米インディアナ州最高裁判所は23日、スマートフォンのロック解除に使用するパスワード開示を強制することは合衆国憲法修正第5条が禁ずる不利な証言の強制にあたり、州政府側が犯罪の証拠となるファイルの存在を具体的に知らない限り除外の対象にもならないとの判断を示した(裁判所文書、 Deeplinks Blogの記事、 9to5Macの記事)。

この事件は被告の女性がD.S.という人物から性的暴行の被害にあったと届け出たところから始まる。女性は所有するiPhone 7 PlusにD.S.との通話記録などが含まれるとして捜査機関に提出し、捜査機関はデータをダウンロード後に返却した。ところがデータを調査した結果、女性がD.S.に対してストーカー行為をしていたことが判明し、女性の方が逮捕・起訴されることになった。

女性のiPhone 7 Plusにストーカー行為の証拠が含まれると考えた捜査機関は令状を取得して差し押さえたのち、女性が拒否したパスワード開示を命ずる2件目の令状を取得した。それでも女性は修正第5条に反すると主張してパスワード開示を拒否し、州地方裁判所が法廷侮辱罪にあたるとの判断を示したため、女性が控訴した。

控訴受理前に司法取引が成立し、女性がストーキング罪1件を認める代わり、州側は他18件の起訴事実を未確定のまま取り下げることになったが、女性は引き続き法廷侮辱罪で罰せられる可能性があった。控訴審で判事の見解は割れたものの、法廷侮辱罪を取り消す判断が示された。州最高裁は控訴審判決を支持したが、判事の見解は3対2と割れており、長い意見書が付けられている。

すべて読む | モバイルセクション | 犯罪 | 携帯電話 | アメリカ合衆国 | YRO | 法廷 | ストレージ | プライバシ |

関連ストーリー：
米インディアナ州最高裁判所、無断で取り付けられたGPS追跡装置を自動車の所有者が取り外す行為は窃盗に当たらないと判断 2020年03月01日
米ペンシルベニア州最高裁判所、暗号化パスワードは「不利な証言」として開示の強制が禁じられると判断 2019年11月28日
米連邦地裁、生体認証によるデバイスのロック解除強制は憲法違反との判断 2019年01月18日
FBI、iPhone Xのパスワード提示を拒否する容疑者に対し顔認証でロック解除 2018年10月06日
米控訴裁判所全法廷、米捜査令状は米企業が国外サーバーに保存した情報の開示要求には無効との判断を支持 2017年01月29日
フロリダ州控訴裁判所、携帯電話のパスコードを「自分に不利な証言を強制されない」権利の対象外とみなす 2016年12月17日
パスワードは黙秘する権利は保障されるが、指紋センサを使ったロック解除は対象外？ 2016年10月27日
米インディアナ州の裁判所、故障したハードディスクをリサイクルに出しても証拠隠滅に当たらないとの判断 2015年01月11日
バージニア州裁判所、携帯電話のロック解除に必要な指紋の提供を被告に強制可能と判断 2014年11月03日
米企業が米国外のサーバーに保存したデータの開示、米国の捜査令状で要求可能とする地裁判決 2014年08月03日
米裁判官、「暗号化されたデータ」については「黙秘権」の対象外として復号を求める 2012年01月27日

Twitterである探偵会社の事例集がバズっているようだ。調査手法としてアナログな取材を偽装する方法だけでなく、スパイウェアを仕込んだメールを送りつけたりもするという。またハードウェアタイプのキーロガーを子供のPCに取り付け、ログイン情報やパスワードの入手などもしている。

また業務をサボっていないかを調べるために、タイプ数カウントツールの導入を提案したりとかなりハイテクな感じとなっている（Togetter、相沢京子調査室）。

すべて読む | セキュリティセクション | YRO | 情報漏洩 | プライバシ |

関連ストーリー：
映画版ソニック、米国では「名探偵ピカチュウ」を上回る初動 2020年02月18日
英国人洞窟探検家を小児性愛者呼ばわりして告訴されたイーロン・マスク、南アフリカではそういう意味ではないと主張 2019年09月18日
当時存在していなかったフォントを使用していたために偽造文書であることがバレた案件、再び 2019年01月22日
怪人二十面相、青空文庫で公開 2016年04月05日

米ワシントン西部地区連邦地裁のJohn C. Coughenour判事は18日、逮捕時に押収したスマートフォンのロック画面を捜査機関が後で見るには令状が必要になるとの判断を示した(裁判所文書: PDF、 Ars Technicaの記事、 Mac Rumorsの記事)。

問題のスマートフォンは強盗などの容疑で2019年5月に逮捕され、その後起訴された被告が逮捕時に所持していたものだ。逮捕時の記録には(ロック)画面に「Streezy」という名前が表示されていたと記載されており、2020年2月には連邦捜査局(FBI)が押収物保管庫からスマートフォンを取り出して電源を入れ、「Streezy」と表示されたロック画面の写真を撮影している。被告はこれら2回の確認作業で得られた証拠をすべて除外するよう申し立てていた。

すべて読む | YROセクション | モバイル | 犯罪 | 法廷 | アメリカ合衆国 | プライバシ |

関連ストーリー：
米インディアナ州最高裁判所、無断で取り付けられたGPS追跡装置を自動車の所有者が取り外す行為は窃盗に当たらないと判断 2020年03月01日
米連邦地裁、生体認証によるデバイスのロック解除強制は憲法違反との判断 2019年01月18日
ロックされたiPhone内の写真や個人情報を閲覧する手段が見つかる 2016年11月25日
ロックされた状態のiPhone 6s/6s Plusで連絡先や写真にアクセス可能な脆弱性 2016年04月07日
Android 5.xでパスワードを設定したロック画面をバイパス可能な脆弱性 2015年09月19日
iOS 6.1にロック状態でも電話帳や発着信履歴を確認できるバグが見つかる 2013年02月15日

Anonymous Coward曰く、

中国・北京市で、新型コロナウイルス対策として中高生に対し自動的に体温を測定するGPS付き腕時計型デバイスが配布されているそうだ（朝鮮日報）。

このデバイスは1日2回の体温測定機能とGPSによる現在地報告機能が搭載されており、生徒らには24時間の着用を求めているという。

異常な体温を検出した場合に自動的に学校教師へと報告する機能もあり、体温検査の手間が省ける一方で、生徒たちのプライバシーを侵害するという指摘も出ているようだ。

すべて読む | YROセクション | 医療 | 教育 | 中国 | プライバシ |

関連ストーリー：
カリフォルニア大学バークレー校で食事を配達するロボット、大学構内で炎上 2018年12月20日
中国の高校、学生の授業中の注意力を監視するためにカメラと顔認識システムを導入 2018年05月30日
千葉県柏市、スマートフォン向け監視アプリを中学生の保護者に無償配布する実験を開始 2016年04月04日
「在校生のTwitterアカウントをリストアップ」する学校向けサービスが登場 2014年06月26日
英学校、トイレに監視カメラ設置 2010年03月16日
県立広島叡智学園、全生徒にウェアラブル端末を装着させるとして物議を醸す 2018年05月07日

AppleとGoogleが協力して開発を進める新型コロナウイルス(SARS-CoV-2)感染者との接触検出技術について、さらなるプライバシー保護およびセキュリティ対策が必要だとEFFが主張している(Deeplinks Blogの記事、 Computingの記事)。

この接触検出技術を使用するスマートフォンは毎日生成される秘密鍵を用いてRolling Proximity Identifier(RPID)と呼ばれる近接識別子を生成し、少なくとも5分ごとにRPIDを含むPingを送信する。RPIDは10～20分ごとに更新され、端末で生成した秘密鍵と他の端末から受信したRPIDは端末内にのみ2週間保存されるため、プライバシーリスクは最低限となる。

ただし、感染が判明したユーザーが保健当局に情報の共有を許可すると、秘密鍵が「diagnosis key (診断鍵)」として公開されることになる。他のユーザーはこの診断鍵を用いて接触の有無を確認できるのだが、悪意をもった人物が大量にRPIDを収集すれば、顔認識などの技術と組み合わせて感染者データベースを作ったり、感染者の行動範囲を地図上に表示したりといったことが可能になってしまう。そのため、EFFでは緩和策として秘密鍵の更新頻度を高くすることを提案している。

捜査当局が情報を利用してユーザー同士を関連付けることも可能となるが、ユーザーが必要に応じてアプリを無効化したり、特定期間のデータを削除したりできるようにすることで緩和できる。これではアプリの実効性が低下しそうだが、EFFは別の方法として強い暗号とパスワードによる保護も提案している。このほか、RPIDを生成したデバイスから送信されたかどうかを確認する手段がないため、受信したRPIDを再送信して精度を低下させるといった攻撃も考えられるとのこと。

この接触検出技術の第1段階はAPI提供で、AppleとGoogleは保健当局によるアプリ開発を意図したものだと説明している。ただし保健当局の多くは自前でのアプリ開発ができないため、開発を外部に発注することになる。そのため、外部の開発者がアプリを悪用しないように注意を払う必要もある。第2段階ではAppleとGoogleがOSに接触検出技術を組み込むことになるが、ユーザーの明示的な許可を確実に得る仕組みが必要だ。また、両社は感染拡大の危機的状況が終われば接触検出技術を削除すると述べているが、削除計画も明確にする必要があるとのことだ。

なお、AppleとGoogleは4日、それぞれサンプルコードを公開した。

すべて読む | アップルセクション | YRO | Google | セキュリティ | 医療 | デベロッパー | アップル | プライバシ |

関連ストーリー：
フランス政府、Appleのプライバシーポリシーが新型コロナ対策アプリの開発の妨げになると主張 2020年04月27日
AppleとGoogle、SARS-CoV-2 感染者との濃厚接触を検出する技術の開発で協力 2020年04月12日
シンガポールがBluetoothを使って接触者を追跡するアプリを開発、オープンソース化予定 2020年04月02日
イスラエル政府、デジタルテクノロジーでCOVID-19感染者に接触した人を特定可能にする暫定法を制定 2020年03月20日
中国で公共交通機関利用時に新型コロナウイルス感染者と接触したかどうか確認できるWebアプリが公開 2020年02月16日
南オーストラリア州公衆衛生局、新型コロナウイルス感染者の移動経路を確認するため携帯電話追跡システムを活用 2020年02月11日