headless 曰く、

WhatsAppが5月15日に発効する新プライバシーポリシーについて、承諾しないユーザーのアカウントの扱いを解説する新しいFAQページを公開している(The Vergeの記事、 The Guardianの記事、 Mashableの記事、 Softpediaの記事)。

WhatsAppはFacebookとのデータ共有を盛り込んだ新プライバシーポリシーを1月に公開してユーザーから強い反発を受けた。変更はビジネスアカウントを見つけやすくするためのものであり、メッセージや通話の内容にWhatsAppやFaecbookがアクセスすることはないと説明し、発効日も2月から5月に先送りしているが、SignalやTelegramに百万人単位でユーザーが流れているとも報じられている。

新しいFAQページでは新プライバシーポリシーを承諾しなくてもユーザーアカウントが削除されることはないと説明している。ただし、5月15日以降は機能が制限され、しばらくの間は通知や通話の着信を受けることが可能だが、メッセージの送受信はできなくなるという。5月15日以降も新プライバシーポリシーを承諾することは可能で、(そう書かれてはいないが)承諾した時点で利用を再開できるとみられる。

一方、チャット履歴のエクスポートやアカウント情報リポートのダウンロードは5月15日まで可能とされており、5月15日以降については説明がない。120日以上経過したらアカウントを削除するという非アクティブユーザーに対するポリシーが適用されるとの記述もみられるが、新プライバシーポリシーを承諾しないユーザーが5月15日以降非アクティブとみなされるのかどうか不明確だ。

スラドではユーザーが少ないように感じるWhatsAppだが、皆さんがよく使用するメッセンジャーアプリは何だろうか。

すべて読む | ITセクション | 通信 | YRO | Facebook | プライバシ |

関連ストーリー：
米連邦取引委員会や州司法長官らFacebookを独占禁止法違反で提訴。インスタ分離などを求める 2020年12月11日
Web版WhatsApp、レガシーEdgeのサポートを終了 2020年11月15日
チャット/メッセージングアプリのリンクプレビュー機能に潜む問題 2020年10月30日
米議会で大手IT4社のCEOを招いた公聴会が開かれる。市場の独占について5時間以上の議論に 2020年08月01日
イスラエルのNSO Group、Facebookのログインページを偽装してフィッシング行為 2020年05月26日
欧州の当局がテロ容疑者追跡にスパイウェアを使用、WhatsAppがこれを警告するメッセージを出す 2020年01月11日

中国で盗聴器入りのモバイルバッテリーが話題になっていたようだ。中国の全国ネット「中国中央電視台（CCTV）」が報じたもので、このモバイルバッテリーは348元で販売されていたという。指定されたアプリから盗聴機能を起動することができ、またGPSによる位置情報や移動の軌跡、録音データの受信などができるという。また音量検知機能により、近くの会話を自動で録音を開始する設定もあるという（ZDNet Japan）。

ZDNet Japanに掲載された元記事によれば、もともとは中国で利用の多いシェアサイクル用の防犯ツールとして販売されていた部品を転用した製品のようだ。自転車の位置を把握できるだけでなく、バッテリーだけ盗まれた場合でも居場所をつかめるという使い方のために用意されたものであるらしい。なお、南京警察は製造販売していた深センの業者などの関係者28人を逮捕、端末2000個以上を押収したとしている。

すべて読む | YROセクション | 犯罪 | 通信 | YRO | 中国 | プライバシ |

関連ストーリー：
リンク切断時間5秒でLANケーブルにパケット盗聴器を接続する手法 2020年04月14日
iOS版Facebookアプリ、密かにカメラへアクセスすることが判明 2019年11月16日
ドイツ連邦ネットワーク庁、リモートから周囲の音を聞くことのできる子供向けスマートウォッチを禁止 2017年11月19日
無線通信機能を備える「喋るおもちゃ」に脆弱性、盗聴や任意の言葉を遠隔から喋らせることが可能 2017年02月23日
テルミン氏が開発した、実際に冷戦時に使われた「バッテリーもケーブルも不要な盗聴器」 2016年11月12日
雑音で盗聴を防ぐ盗聴妨害器 2016年05月27日

headless 曰く、

Appleは年末からApp Storeでアプリのプライバシー情報の表示を開始しているが、情報は開発者の自己申告であり、中には不正確なものもあるようだ(The Washington Postの記事、 Mac Rumorsの記事、 9to5Macの記事)。

アプリのプライバシー情報は食品の栄養素ラベルのように一見して必要な情報が把握できるようにするもので、アプリが収集するデータの種類や扱いなどが「Appのプライバシー」セクションに記載される。これらの情報は新規アプリおよびアプリのアップデートをApp Storeに提出する際に必須となるが、Appleは「デベロッパには、回答を正確かつ最新の情報に保つ責任があります」とするのみで、掲載前に確認は行われないようだ。実際に「Appのプライバシー」セクションで「詳細を表示」をクリックすると「この情報はAppleによって検証されていません」という但し書きがみられる。

The Washington Postの記事では、テクノロジーコラムニストのGeoffrey Fowler氏が「データの収集なし」と表示されるアプリによるデータ収集が判明したと伝えている。その後Fowler氏は数十本のアプリを検証し、半数以上が「Appのプライバシー」の記載と異なるデータ収集を行うことを確認したという。Fowler氏はVPNアプリ「Privacy Pro」の追跡防止機能がブロックした通信のリストを証拠として示し、Apple製品のセールスポイントであるプライバシーはユーザーのためではなく、Appleが利益を得るためだと批判する。

AppleはFowler氏に対し、開発者が提供するプライバシー情報の正確性を順次確認しており、不正確な情報を修正するよう開発者に求め、修正されない場合は将来のアップデートの却下やApp Storeからの削除も行うなどと説明したという。Fowler氏からの連絡を受けて「Appのプライバシー」に表示する情報を修正したり、アプリ自体を修正したりする開発者もいるが、修正することなく公開を続けている開発者もいるとのことだ。

すべて読む | YROセクション | ビジネス | ソフトウェア | アップル | デベロッパー | iOS | プライバシ |

関連ストーリー：
米非営利組織、App StoreでのTelegramアプリ公開差止を求めてAppleを訴える 2021年01月23日
GoogleがiOSアプリを更新しないという噂が出回る。Google側は更新予定と発表 2021年01月08日
あなたをがっかりさせた2020年のテクノロジーは？ 2020年12月31日
アプリのユーザートラッキング許可を求めるiOS 14のプロンプト、一部で表示されるようになる 2020年12月27日
EFF曰く、スモールビジネスを守ると称してAppleを批判するFacebookのキャンペーンはお笑い草 2020年12月23日
Facebook、米主要紙にAppleによるターゲティング広告規制を批判する全面広告 2020年12月21日
Apple、App Storeで表示するアプリのプライバシー方針情報の受付を開始 2020年11月08日
Facebook、iOS14から導入されるポリシー変更で広告収益は50％以上も減少すると予測 2020年08月28日
Apple、Macノートブックにカメラカバーを装着したままディスプレイを閉じないよう求める 2020年07月13日

Dellは5日に発表したビジネス向けモバイルPC Latitude 9420/9520のWebカメラには、使用状況に合わせて自動開閉するシャッター「SafeShutter」が搭載されるそうだ(プレスリリース、 The Vergeの記事、 SlashGearの記事、 動画)。

Webカメラ稼働中にはパイロットランプが点灯するが、過去にはパイロットランプを無効化してカメラを使用可能な脆弱性が発見されたこともあり、プライバシーの観点から物理的にふさぐ人も多い。ただし、後付けのカメラカバーはディスプレイを傷つける可能性もある。ビデオ会議でWebカメラを使用する頻度が高まっている昨今では繰り返し貼り直すことになる。

SafeShutterはビデオ会議アプリに連動して自動でシャッターが開閉するというもので、動画では赤い薄板がスライドしてレンズを覆う様子が確認できる。Webカメラ用の自動シャッターは業界初だという。このほかにもビデオ会議向けの機能強化が行われており、Intel Visual Sensing Technologyによる自動ウエイクアップ/ロックも利用できる。

プレスリリースに細かいスペックは記載されていないが、Wi-Fi 6Eまたは5G LTEが利用可能で、第11世代Intel Core i7プロセッサーが選択可能とのこと。14インチディスプレイのLatitude 9420は2021年春発売で1,949ドルから、15インチのLatitude 9520の価格は後日発表となっている。

すべて読む | モバイルセクション | YRO | ノートPC | プライバシ |

関連ストーリー：
Apple、Macノートブックにカメラカバーを装着したままディスプレイを閉じないよう求める 2020年07月13日
Dell、データセンターの消毒が必要な場合は専門業者に依頼することを推奨 2020年03月22日
FBIポートランド支局曰く、スマートTVのカメラを無効化したくてもオプションがない場合はテープでふさごう 2019年12月06日
FBI局長曰く、誰もがWebカメラをテープでふさいでプライバシーを守るべきだ 2016年09月18日
PCのWebカメラ、ふさいでる？ 2016年06月10日
使わないWebカメラはテープでふさげ 2013年06月26日

シンガポール政府は4日、COVID-19接触者追跡システムTraceTogetherのWebサイトでプライバシーに関するページを更新し、収集したデータを犯罪捜査に使用することがあるとの文言を追加した(TraceTogether Privacy Safeguards、 The Straits Timesの記事、 Ars Technicaの記事、 The Registerの記事)。

シンガポールではTraceTogetherアプリの提供を昨年3月に開始し、6月にはスマートフォンなしでも利用可能なトークンの無料配布を開始している。TraceTogetherはBluetooth近接通信を利用して接触者を検出し、匿名化されたデータをデバイス内に保存する。基本的にサーバーでは登録情報だけが保存され、COVID-19陽性が確認された場合のみデータのアップロードが求められる。これまでシンガポール政府はTraceTogetherのデータをCOVID-19接触者追跡にのみ使用し、犯罪捜査には使用しないと説明していた。

しかし、シンガポールの刑事手続法(CPC)では、警察が捜査や裁判で必要な文書や物品の提出を命じることが可能だと定められている。更新版のPrivacy SafeguardsではTraceTogetherのデータもCPCの例外ではないとし、シンガポール警察が犯罪捜査で必要だと判断した場合にはデータのアップロードを命じる権限がCPCにより与えられると明記されている。

すべて読む | YROセクション | 犯罪 | YRO | 医療 | プライバシ |

関連ストーリー：
矛盾表示が指摘されていた接触確認アプリCOCOA、当初のバグ誤認説を改め修正版を配布 2020年09月25日
FSFE、デンマーク政府にCOVID-19接触追跡アプリのオープンソース化を求める 2020年07月04日
COVID-19追跡アプリを開発する英国民保健サービスのテクノロージーユニット、別の追跡アプリ開発を妨害していたとの報道 2020年06月21日
新型コロナウイルス接触確認アプリ「COCOA」試行運用開始 2020年06月19日
フランス政府、Appleのプライバシーポリシーが新型コロナ対策アプリの開発の妨げになると主張 2020年04月27日
AppleとGoogleが協力する新型コロナ接触追跡システム、旧型端末を使用する約20億人は利用できない 2020年04月24日
韓国が新型コロナ感染による隔離者に監視腕輪の着用を求める、性犯罪者向けの「足輪」を連想させることから批判も 2020年04月21日
AppleとGoogle、SARS-CoV-2 感染者との濃厚接触を検出する技術の開発で協力 2020年04月12日
シンガポールがBluetoothを使って接触者を追跡するアプリを開発、オープンソース化予定 2020年04月02日
日本でもコロナ対策で政府が携帯電話利用者の位置情報提出を求める動き 2020年03月31日
COVID-19対策のためのユーザー追跡やそれらの情報を使った分析に対し懸念の声 2020年03月27日
台湾、新型コロナで隔離措置を受けている人を監視するスマホアプリを導入 2020年03月25日
イスラエル政府、デジタルテクノロジーでCOVID-19感染者に接触した人を特定可能にする暫定法を制定 2020年03月20日
Googleが収集した位置情報データを警察が活用するようになった結果、単に犯罪現場近くを何度か通り過ぎただけの人が疑われる状況に 2020年03月11日
南オーストラリア州公衆衛生局、新型コロナウイルス感染者の移動経路を確認するため携帯電話追跡システムを活用 2020年02月11日

河野太郎規制改革大臣が12月末にシンガポールに出張、現地からZoomでオンライン記者会見を行ったところ、河野大臣にZoomの安全性に関して指摘するユーザーが複数出たようだ。過去のセキュリティ問題や先日の米司法省がZoom関係者を起訴したことなどを念頭に置いた指摘と思われるが、河野大臣はTwitterやブログでこうした意見に反論している（河野太郎公式Twitter、河野太郎公式サイト）。

反論の内容は明確で、Zoom経由で公開されている記者会見や公開フォーラムは一般公開されているものであり機密漏洩の心配はないというもの。国内の会議も同様であり、参加者はZoomの持つリスクを理解した上で参加しているとしている。また、

2カ国や3カ国の外相電話会談や防衛相電話会談などを行う場合も、その際のシステムの脆弱性に応じて話せる内容が変わってきます。 機微な内容を話す時は、それに応じたシステムを選びます。 必要なシステムが使えない時は、機微な話はできません。

として、機密性と利便性に応じてシステムを使い分けていると話している。

すべて読む | YROセクション | YRO | 政治 | 政府 | プライバシ |

関連ストーリー：
あなたをがっかりさせた2020年のテクノロジーは？ 2020年12月31日
天安門事件関連のビデオ会議を検閲・通信遮断か、米司法省がズーム元従業員を起訴 2020年12月24日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
Web会議サービスZoom、虚偽のセキュリティを主張した問題等でFTCと和解 2020年11月13日
チャット/メッセージングアプリのリンクプレビュー機能に潜む問題 2020年10月30日
Zoomがビューの並び順を任意に変えることのできる機能を搭載。日本の上座・下座文化に対応か 2020年09月05日
Web会議サービスZoomに対しさまざまな懸念、使用禁止にする組織も登場 2020年04月07日

アプリによるユーザートラッキング許可を求めるiOS 14のプロンプトが一部で表示されるようになったと報告されている(Mac Rumorsの記事、 9to5Macの記事、 Softpediaの記事)。

iOS 14/iPadOS 14/tvOS 14ではプライバシーが強化され、アプリがユーザーをトラッキングしたりデバイスの広告識別子にアクセスしたりする場合にはAppTrackingTransparencyフレームワークを通じて許可を得る必要がある。もともとAppleは9月のiOS 14リリースと同時に義務付けを開始する計画だったが、トラッキングが広告の価値を高めると主張するFacebookが強く反発しており、義務付け開始は来年に先送りされている。

プロンプト表示が最初に報告されたのは先週リリースされたベータ版のiOS 14.4だが、iOS 14.2やiOS 14.3で表示されたとの報告も出ている。Mac Rumorによれば、iOS 14は最初のリリース時点でプロンプト表示機能を備えていたとのこと。Appleはプロンプト表示義務付け開始を来年の早い時期と説明しているが、具体的な時期については明らかにしていない。

iPhoneを使うスラドの皆さんは、このようなプロンプトを既に目撃しただろうか。

すべて読む | YROセクション | ソフトウェア | 広告 | アップル | デベロッパー | iOS | プライバシ |

関連ストーリー：
EFF曰く、スモールビジネスを守ると称してAppleを批判するFacebookのキャンペーンはお笑い草 2020年12月23日
Facebook、米主要紙にAppleによるターゲティング広告規制を批判する全面広告 2020年12月21日
Apple、App Storeで表示するアプリのプライバシー方針情報の受付を開始 2020年11月08日
iOS 14で追加された既定の電子メールアプリやWebブラウザーの変更機能、デバイスを再起動すると設定がリセットされるバグ 2020年09月19日
Facebook、iOS14から導入されるポリシー変更で広告収益は50％以上も減少すると予測 2020年08月28日
フランス政府、Appleのプライバシーポリシーが新型コロナ対策アプリの開発の妨げになると主張 2020年04月27日

先日、閲覧情報を外部に送信しているとして話題となったポイ活Webブラウザ「Smooz」だが、提供元であるアスツールは23日、サービスの終了を発表した（Smooz BLOG）。

リリースによれば、

状況の確認と対策、原因調査を進めてまいりましたが、Smoozの提供を継続することは困難との結論にいたり、2020年12月23日をもってサービスを終了させていただきますことをご報告申し上げます。

これまでに収集したご利用者様の情報につきましては、返金に必要な情報以外はすべて削除が完了しております。返金対応が完了次第、全ての情報を削除いたします。収集したデータに関して悪用、個人情報の社外への流出は、現在のところ確認されていません。

としている。プレミアム会員に関しては返金処理を、交換可能なSmoozポイントを持っている場合は、交換に応じるとしている。返金手段や交換方法については後日通知するとしている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | プライバシ |

関連ストーリー：
ポイ活ブラウザアプリSmoozは閲覧情報をすべて外部送信している 2020年12月21日
政府が小中学生の成績や健康情報などをデータ化、マイナンバーで管理する方針 2020年12月17日
Canon USA、7月から8月に不正アクセスを受けて従業員の個人情報が流出 2020年11月29日
カプコン、採用応募者の情報を破棄していなかったことが判明 2020年11月20日
カプコンのランサムウェア脅迫事件、情報流出が確定へ。最大約35万件の個人情報が流出する可能性 2020年11月17日

日経新聞の調査によると、国内の消費者向け主要サイトの約2割で閲覧者の追跡を行っていることが分かった。日本経済新聞と情報管理サービスのデータサインが主要100社のサイトを解析したところ、デバイスフィンガープリント（DF）の利用が22社で確認されたという（日経新聞）。

記事中の社名を抜き出してみると、味の素、エアビーアンドビー（Airbnb）、アパホテル、オリエンタルコーポレーション、キリンHD、第一生命保険、東京海上日動火災保険、パーク24※、JTB※、ZOZO、オリエンタルランド※、ぐるなび※、全日本空輸※、ニトリHD、日本航空※、ファーストリテイリング、三越伊勢丹HD、ユナイテッドアローズ、ヨドバシカメラ、楽天、リクルートライフスタイル、となっている。

なお※印の企業は企業自身もDFの利用を把握していなかったという。またオリエンタルコーポレーションおよびヨドバシからは回答がなかったとしている。日経新聞が各企業に「DFで集めたデータを趣味嗜好などの個人分析に使ったか」を問い合わせたところ、12社が「使っていない」と回答。残りは回答拒否や未回答だったとしている。

すべて読む | YROセクション | ビジネス | YRO | 広告 | プライバシ |

関連ストーリー：
Facebook、米主要紙にAppleによるターゲティング広告規制を批判する全面広告 2020年12月21日
ポイ活ブラウザアプリSmoozは閲覧情報をすべて外部送信している 2020年12月21日
GitHub、cookieバナーを廃止 2020年12月20日
フランスのデータ保護当局、cookie保存などについてAmazonに3,500万ユーロ、Googleに1億ユーロの制裁金 2020年12月13日
Firefox 69.0リリース、「サードパーティのトラッカーCookie」のブロッキングが全ユーザーのデフォルトで有効に 2019年09月07日
試合中継の無断上映を検出する公式アプリを提供したスペインのプロサッカーリーグに25万ユーロの罰金 2019年06月15日
スペインのプロサッカーリーグ、公式Androidアプリに試合中継の無断上映を検出する機能を追加 2018年06月17日
オーストラリア、Facebookでのリベンジポルノ拡散を未然に防ぐ取り組み 2017年11月11日
購読メール一括解除サービス、ユーザーデータを企業に販売していたことが判明してユーザーの怒りを買う 2017年04月26日
Cookieを使わずにユーザーを追跡する仕組みが普及しつつある 2014年07月22日
EFF、ユーザーの追跡を遮断するブラウザ拡張機能「Privacy Badger」のアルファ版を公開 2014年05月06日

GitHubは17日、ユーザーにcookie保存の合意を求めるバナー表示の廃止を発表した(GitHub Blogの記事、 Neowinの記事、 The Vergeの記事、 The Registerの記事)。

EUの法令ではWebサイトが機能上必要不可欠でないcookieを使用する場合、バナーを表示してユーザーが合意するかどうかを選択できるようにすることが義務付けられている。必要不可欠でないcookieの例としては、Web全体にわたるユーザーの行動を追跡して広告を表示するサードパーティーのサービスによるcookieなどが挙げられる。

cookieバナーはユーザーのプライバシー保護のために表示されるものだが、うっとうしく感じられることもある。GitHubではプライバシー保護とうっとうしさの排除を両立する方法を検討した結果、必要不可欠でないcookieを使用しないという結論に達したとのことだ。

すべて読む | YROセクション | YRO | 広告 | プライバシ |

関連ストーリー：
フランスのデータ保護当局、cookie保存などについてAmazonに3,500万ユーロ、Googleに1億ユーロの制裁金 2020年12月13日
Google Chrome、終了時のサイトデータ削除を有効にしてもGoogle関連のサイトデータが一部残るバグ 2020年10月24日
Google ChromeのSameSite cookie強制、7月に再開へ 2020年05月31日
Safari、すべてのサードパーティCookieをブロックへ 2020年03月25日
公正取引委員会、Cookieや位置情報を使った個人情報収集を規制へ 2019年10月29日
Google、Chromeで混合コンテンツを完全にブロックする計画 2019年10月06日
Firefox 69.0リリース、「サードパーティのトラッカーCookie」のブロッキングが全ユーザーのデフォルトで有効に 2019年09月07日
世の中には「個人情報保護のためにCookieを使用している」と主張するサイトが多数存在する 2019年08月15日
ログリー、「Cookieを使用せずにユーザー属性を推定する技術」の特許を取得 2019年05月14日

フランスのデータ保護当局CNIL(情報処理および自由に関する国家委員会)は10日、amazon.frとgoogle.frが広告用cookieに関連してフランスのデータ保護法82条に違反したとして、Amazon Europe Coreに3,500万ユーロ、Google LLCおよびGoogle Ireland Limitedに合計1億ユーロの制裁金を7日付で命じたことを発表した(CNILのニュースリリース: Amazon / Google、 The Vergeの記事)。

データ保護法違反はAmazonが2件、Googleが3件。1件目は両社共通で、ユーザーの同意を得るまで保存してはいけない広告用cookieをWebサイトにアクセスした時点で保存していたというもの。2件目は具体的な内容が異なるが、両社ともcookieに関する十分な情報をユーザーに知らせていなかったというものだ。Googleの3件目は広告のパーソナライズを無効化しても広告用cookieの1つが保存されていたというもので、Webサービス提供に必要不可欠でない広告を拒否できるメカニズムが部分的に破られたとのこと。Googleに対する制裁金の内訳は、Google LLCが6,000万ユーロ、Google Ireland Limitedが4,000万ユーロとなっている。

Amazon、Googleともに現在はユーザー同意前のcookie保存をやめているが、バナー表示される内容はフランスのユーザーに十分な情報を提供していないという。そのため、CNILでは両社に3か月以内の修正を命じており、修正が1日遅れるごとに10万ユーロの罰金を科すとのこと。

今回の決定に対しGoogleは、フランスの法制や当局の指導が変わりやすく、常に発展していることを考慮していないなどと反発しているそうだ。Amazonも消費者と当局の要求や期待の発展に合わせてプライバシー習慣を改良しており、運営する各国で適用される法制のすべてを順守しているなどと反発しているとのことだ。

すべて読む | YROセクション | Google | EU | 広告 | お金 | プライバシ |

関連ストーリー：
Google Chrome、終了時のサイトデータ削除を有効にしてもGoogle関連のサイトデータが一部残るバグ 2020年10月24日
Google Chrome、SameSite cookie強制を一時的に中止 2020年04月07日
Safari、すべてのサードパーティCookieをブロックへ 2020年03月25日
リクナビ、学生がアクセスすると追跡用Cookieが埋め込まれるアンケート実施を企業に求める 2019年11月01日
EU司法裁判所、「忘れられる権利」による検索結果からの除外はEU加盟国の国別TLDバージョンのみが対象になるとの判決 2019年09月27日
Firefox 69.0リリース、「サードパーティのトラッカーCookie」のブロッキングが全ユーザーのデフォルトで有効に 2019年09月07日
ログリー、「Cookieを使用せずにユーザー属性を推定する技術」の特許を取得 2019年05月14日
EUの一般データ保護規則（GDPR）、多くの企業で対応が不十分という指摘 2018年07月06日
EUの一般データ保護規則、今月下旬にスタート 2018年05月11日
オランダのデータ保護当局、Microsoftがオランダのデータ保護法に違反しているとの見解 2017年10月15日
フランスのデータ保護当局、Windows 10によるデータ収集が改善されたと判断 2017年07月01日
Windows 10のデータ収集などに対し、フランスのデータ保護当局が3か月以内の是正を求める 2016年07月24日
Google、SafariのサードパーティCookie問題で2250万ドルの制裁金を支払う方向へ。 2012年07月12日

Sophosが内部で使用するツールに設定ミスがあり、ごく一部の顧客に関するデータが流出したそうだ(Sophos Communityでのアナウンス、 HackReadの記事)。

このツールはカスタマーサポートが連絡を受けた顧客の情報を保存するもので、アクセス許可の問題があるという情報提供を11月24日に受けたという。既に問題は修正済みだが、ごく一部の顧客について姓名と電子メールアドレスが(顧客から伝えられた場合は電話番号を含む)流出したそうだ。Sophosでは影響を受けた顧客に電子メールで連絡しており、連絡がない場合は影響を受けていないとのこと。影響を受けた顧客に対しては、現時点で特別な対策は必要ないと説明している。

すべて読む | セキュリティセクション | セキュリティ | プライバシ |

関連ストーリー：
月例パッチでWindows 7などが起動不能に。一部ウイルス対策ソフト利用者の間で発生 2019年04月19日
信頼に足るWebブラウザーは？ 2015年10月25日
ソフォスのディスク暗号化ツールに不具合、ノートPC紛失によって発覚 2014年06月30日
Sophos、自社製品をマルウェアと誤検出 2012年09月22日
Sophosのサポートエンジニア曰く、ライブチャットは電話サポートよりも効率が悪い 2012年08月04日

Braveは10月27日、Brave 1.17の広告・トラッカーブロック機能「Brave Shields」にCNAMEクローキングのブロック機能を追加すると発表した(Braveのブログ記事、 The Registerの記事)。

CNAMEクローキングはドメインにエイリアスでアクセスできるようにするCNAME DNSレコードを悪用し、サードパーティードメインのトラッカーをファーストパーティーのサブドメインから送られたように見せかける手法だ。この手法は以前から用いられていたが、使用するトラッカー企業が2019年後半から急増したという。

広告ブロック拡張機能はCNAME情報にアクセスできないため、ランダムに生成したサブドメイン名がCNAMEレコードに指定されるとリストベースのブロッキングでは対応が困難になる。Firefox版のuBlock Originはbrowser.dns.APIを用いてCNAMEクローキングの検出とブロックを可能にしているが、他のブラウザーではこのAPIを使用できない。

11月17日リリース予定のBrave 1.17では、Brave Shieldsがすべてのネットワークリクエストをチェックし、CNAMEでファーストパーティーのサブドメインが指定されていても、正式なドメイン名がトラッカーのドメインであればブロックする。トラッカーのスクリプトが他のサードパーティートラッカーをリクエストする前にブロックすることで、プライバシーを強化するとともにネットワーク帯域やCPU使用率を低減できるとのことだ。

すべて読む | ITセクション | YRO | ソフトウェア | 広告 | インターネット | プライバシ |

関連ストーリー：
Braveブラウザー、検索ボックスの入力補完候補にアフィリエイトコード入りURLを提示して批判される 2020年06月11日
Webブラウザ「Brave」、広告ブロックツールを導入したブラウザを狙ってポップアップ広告を表示して不評を買う 2020年05月26日
Braveブラウザー製品版、バージョン1.0に到達 2019年11月17日
ChromiumベースのMicrosoft Edgeベータ版、初回起動時に130回以上のネットワークリクエストを送る 2019年09月01日
Chrome派生のBraveブラウザ、Chromeの広告ブロック仕様変更に反対し独自に高速なAPIを実装 2019年07月04日
Brave 0.57、ユーザーインターフェイスがChromiumベースに 2018年12月20日
Webブラウザー「Brave」、プライベートタブにTorを統合 2018年07月02日
Webブラウザ「Brave」の広告収入分配計画、米パブリッシャー17社が中止を求める 2016年04月11日
広告を見てくれたら謝礼金を支払う新Webブラウザ「Brave」スタート 2016年04月05日

headless 曰く、

チャット/メッセージングアプリのリンクプレビュー機能の問題点について、Talal Haj Bakry氏とTommy Mysk氏が18本のアプリを対象とした調査結果を公表している(Myskの記事、 Ars Technicaの記事、 9to5Macの記事、 Mac Rumorsの記事)。

リンクプレビュー生成方法は、送信側で生成・受信側で生成・サーバー上で生成の3種類。最も安全なのはリンクを生成しないことで、テストした中ではSignal(プレビュー無効時)/Threema/TikTok/WeChatが該当する。

比較的安全なのは送信側での生成だ。送信者がリンク先にアクセスすることは避けられないが、受信者はクリックしない限りリンク先ページにアクセスすることはない。テストした中ではiMessage/Signal(プレビュー有効時)/Viber/WhatsAppが該当する。ただし、Viberではプレビュー生成時のダウンロードサイズに制限がなく、バッテリーやデータを大量に消費するなどの問題が発生する可能性もある。

受信側での生成はクリックしなくてもリンク先へのアクセスが発生するため、攻撃者が悪用する可能性もある。テストした中では2本がこの方法だが、情報は非公表になっている。また、2本とも修正前にはデータサイズの制限がなく、Viberと同様の問題が受信側で発生していたとのこと。

サーバーで生成するのはDiscord/Facebook Messenger/Hangouts/Instagram/LINE/LinkedIn/Slack/Twitter/Zoomと非公表1本。この方法では非公開情報をサーバーが取得する可能性がある。中でもFacebook Messenger(画像と動画のみ)とInstagramは取得するデータサイズに制限がない。また、InstagramとLinkedInではサーバー上で任意のJavaScriptコードを実行可能だったとのこと。保存期間についてはSlackのみ30分程度と回答している。

LINEの場合、メッセージをエンドツーエンドで暗号化しているが、リンクはサーバーへ送られる。また、送受信者のIPアドレスをリンク先に送信していたという。LINEは報告を受けてIPアドレスの送信をやめたが、サーバーへのリンク送信は許容範囲内だと回答したそうだ。

すべて読む | セキュリティセクション | セキュリティ | YRO | ソフトウェア | 暗号 | 情報漏洩 | プライバシ |

関連ストーリー：
Twitterで「いいね」を押したことで中傷ツイートを拡散した責任問う裁判が開始 2020年10月23日
東京オリンピックの妨害を狙い、ロシアがサイバー攻撃を実施。イギリス政府発表 2020年10月21日
総務省、「2回目の特別定額給付金」を騙ったメールに注意喚起 2020年10月21日
FacebookとTwitter、バイデン候補の疑惑を報じた記事をブロックしてまた論争に 2020年10月19日
Google Play、類似アプリの比較機能をテスト中 2020年10月31日

中国でも似たような話があったが、ロシア政府は、監視や検閲機能を妨げる危険性のあるインターネットプロトコルの使用を禁止できるよう法改正を進めているそうだ。流出したPDFファイルから判明したという。禁止対象となるインターネット・プロトコルはTLS 1.3、DOH、DoT、そしてESNIとされている（ZDNet、流出PDF、GIGAZINE）。

ロシアは中国のようなファイアウォールは採用していないものの、SORMと呼ばれる電話会社のデータセンターを法執行機関が監視できるシステムを用意している。新たな法改正案によれば、暗号化されたプロトコルを使用してユーザーIDなどを分からなくする仕様を採用したWebサイトに関しては、警告の1日後に利用が禁止されるとしている。改正案は10月5日までパブリックコメントを受け付けているとのことだが、政治的に改正法案が通るのは確実とみられている。

すべて読む | YROセクション | 検閲 | プライバシ |

関連ストーリー：
WeChatが新型コロナウイルス関連の単語2000個以上を検閲へ。トロント大学調査 2020年08月31日
中国政府、TLS 1.3とESNIを使用するすべての暗号化されたHTTPSトラフィックをブロック中 2020年08月13日
米政府、TikTokに9月15日までの米事業売却か廃業の二択を迫る 2020年08月05日
トランプ大統領、通信品位法230条を廃止しろとつぶやく。もしこれが実現した場合インターネットサービスはどうなる？ 2020年06月04日
警察庁、ISP業界などに「匿名通信の遮断」を要請へ 2013年04月18日

中国の江蘇省蘇州市で今月3日、市民の生活態度などを点数化する「文明コード」を新たに導入したが、市民の強い反発からたったの3日で運用停止する羽目になったようだ。読売新聞によると、このアプリは交通ルールの順守やボランティア参加といった項目から点数化するとされている（読売新聞、Record China）。

Record Chinaによれば、この蘇州市が導入した制度は文明コードと呼ばれており、

「1人1つのコードを有して文明ポイントを構築し、文明を市民の通行証とする。文明ポイントの高い市民は、仕事や生活、就業、学習、娯楽で優先的に便宜を図ってもらうことができる」

というものであるらしい。もちろん中国で使われているほかの信用スコアと同様に懲罰にも利用できるものであるようだ。中国では新型コロナウイルスに乗じて、個人の健康状態を識別する健康コードという制度も導入されている。健康コードが導入されて間もない状況で文明コードも導入されたのが、現地での反発をまねいた一因であるようだ（Forbes）。

katu256 曰く、

中国江蘇省蘇州市で、市民の生活態度などを点数管理するアプリを公開したが、反発が大きく運用開始から3日で運用を停止した様だ。
このアプリは交通ルール順守と、ボランティア参加の2項目から利用者の生活態度を数値化するもので、点数が高いと就職に有利などと説明されていた。
中国政府は2014年から個人の信用情報を一括管理する目的で、社会信用システムの構築を進めており、アリババグループ傘下の芝麻信用が
2015年に導入した信用スコアは、金融や不動産などの分野でサービスを拡大している。

情報元へのリンク

すべて読む | YROセクション | YRO | 中国 | プライバシ |

関連ストーリー：
Yahoo!スコアがサービス終了。満足いただけるサービス提供に至らないと判断 2020年07月01日
NTTドコモ、金融機関に信用スコアを提供するサービスを開始 2019年08月30日
中国で「債務の返済が滞っている人」が半径500m以内にいると通知するアプリが開発される 2019年01月28日
日本でも採用の進む信用スコア 2019年01月11日
中国の「信用スコア」システムは当局によって恣意的に運用されている 2018年05月02日
COVID-19を発症したアルゼンチンの大学教授、オンライン授業中に亡くなる 2020年09月11日

Android 11をターゲットにしたアプリで「android.media.action.IMAGE_CAPTURE」などのインテントでカメラアプリを呼び出す際、プリインストールのシステムカメラアプリしか選択できないようになっているが、これはアプリがユーザーの許可なく位置情報を取得しないようにするための変更だという(Android Developersのドキュメント、 The Vergeの記事、 Android Policeの記事、 SlashGearの記事)。

サードパーティーのカメラアプリ呼出し制限はAndroid 11をターゲットにしたアプリの動作の変更点として数か月前からAndroid Developersのドキュメントに記載(Internet Archive 5月31日のスナップショット)されているが、その理由については説明されていなかった。8月に入ってこの動作がGoogleのIssue Tracker(要ログイン)でバグとして報告され、Googleはユーザーのプライバシーやセキュリティを守るための意図した動作だと回答。サードパーティーのカメラを呼び出す場合はパッケージ名などを明示的に指定する必要があるとも説明しているが、ここでも具体的な理由を示さなかったため、独占的だなどと批判を受けることになる。

その後、Android 11の変更点のカメラアプリ呼出し制限の項目は大幅に追記され、呼び出し元アプリの位置情報アクセス許可に応じてEXIFの位置情報メタデータが正しく処理されることを確実にするための変更だと明記された(日本語版は未更新)。変更によりサードパーティーのカメラアプリ使用が制限されることはなく、既定のアプリに設定することも可能とのこと。なお、OEMメーカーの多くは独自のカメラアプリをプリインストールしているが、こういったカメラアプリでEXIFメタデータが正しく処理されるかどうかについては触れられていない。

すべて読む | YROセクション | ソフトウェア | デベロッパー | Android | プライバシ |

関連ストーリー：
Android 11 Beta 3 リリース 2020年08月09日
Android 11、Google内部でのコードネームはRed Velvet Cake 2020年07月26日
Google、RAM 2GB以下のAndroidデバイスにAndroid Go構成を義務付けか 2020年07月25日
Google曰く、Android 10は過去のどのAndroidバージョンよりも速く導入が進んだ 2020年07月13日
Android 11 Beta 2 リリース 2020年07月12日
Android 11 Beta リリース 2020年06月13日
Google、Android 11 Beta1のリリースをさらに延期 2020年05月31日
Google、Android 11のベータ版提供開始を6月に延期 2020年05月09日
Google、Android 11 Developer Preview 3を公開 2020年04月29日
Google、Android 11 Developer Preview 2を公開 2020年03月21日
Google、Android 11 Developer Preview 1を公開 2020年02月22日

headless 曰く、

Zoomのオンラインミーティング招待メールで、送信者の知らない間にGoogle Meetのリンクが追加されていたとの報告が出ている(MSPoweruserの記事、 Neowinの記事)。

MSPoweruserの記事によれば、この招待メールはWindows 10の「メール」アプリでGoogleアカウントから送信されたものだという。メールには日時と場所(URL)に続いて参加方法に関する情報が記載されているのだが、参加方法の一つとしてGoogle MeetのURLが記載されている。事実関係は不明だが、このような情報は送信時に記載されていなかったとのことで、Googleが追加したとみられている。

すべて読む | YROセクション | Google | インターネット | IT | プライバシ |

関連ストーリー：
日本の企業がZoomに要望？ 役職に応じて画面サイズを変更できる機能を求む 2020年07月08日
在宅勤務が増えて自宅用回線の契約が増える。すぐに使えるホームルーター選択者も多い 2020年06月23日
Zoom、天安門事件を振り返るオンライン会議を行なった米人権活動団体らのアカウントをブロック 2020年06月12日
オンライン飲み会に最適なチャットツールは？ 2020年04月13日
Google Docs、ChromiumベースのEdgeにサポートが終了したバージョンだと表示 2019年05月03日
Google、ビデオ会議サービス「Meet」でChromiumベースのMicrosoft Edgeをブロックか？ 2019年04月30日

個人情報保護委員会は7月29日、官報に掲載された破産者の情報を公開していた二つの事業者に対し、ウェブサイトを直ちに停止するよう命じる行政処分を行った。同委員会が命令を出したのはこれが初めてだという（個人情報保護委員会[PDF]、Security NEXT、日経新聞）。

同委員会は今回、ウェブサイト上のマイニングツールについても触れている。いずれのサイトも閲覧しないことを求めていることから、この二つの事業者の中にはマイニングツールを仕込んだものが含まれていた可能性がある。ただし、マイニング行為そのものは違法性が裁判で争われている段階であることから、個人情報保護委員会が、あえてマイニングに言及したことは、マイニングに問題があると受け止められないとする意見もあるようだ。

なお今回の停止命令は、当該2事業者の所在をいずれも確認できておらず、公示送達の形で行われている。これら二つの事業者は、官報に掲載された破産者の個人情報を、利用目的の通知や第三者への提供の同意を行わないままデータベース化し、ウェブサイトに掲載していたとされる。対応期限となる8月27日までに必要な手続きを取るなどの行動をしない場合は、刑事告発を行うとしている。

すべて読む | YROセクション | YRO | プライバシ |

関連ストーリー：
総務省が18億円かけて導入したセキュリティシステム、一度も使わることなく廃止 2019年10月08日
戸籍の正本をデジタルデータに変更する戸籍法改正が官報告示 2019年06月01日
官報に掲載された破産者情報をGoogleマップ上にマッピングするサイトが登場し議論になる 2019年03月18日
スノーデン事件は、内部告発を安全に行うための仕組みがないことから起きた？ 2015年11月10日