国土交通省は24日、8月に発生した小田急線車内で発生した傷害事件を受けて鉄道事業者と意見交換を行い、今後の対策方針を発表した。それによると、係員や警備員による監視の強化のほか、車内や駅構内の防犯カメラの増設などの対応を行うとしている。防犯カメラの画像運用に関しては、不審者や不審物の検知機能の高度化を謳っており、AIを含む最新技術を活用する方針を示した（国土交通省[PDF]、共同通信）。

先日、JR東日本は重要犯罪の容疑者や挙動不審な人物などの顔を登録し照合していることが話題となった。しかし、その後の専門家などの指摘などにより、9月21日から重大犯罪で服役した出所者を顔認証機能の検知対象とすることを撤回すると発表していた（読売新聞、NHK）。

すべて読む | YROセクション | YRO | 政府 | 交通 | プライバシ |

関連ストーリー：
JR東日本、先月から顔認証で犯罪者や仮釈放者を照合していた 2021年08月30日
小田急線車内で乗客切り付け事件 2021年08月07日
人の顔が描かれたマスクをかぶって監視カメラを回避しよう 2014年05月13日
顔認識を使って人物を追跡する実験、大阪駅の駅ビルで4月よりスタート 2014年01月06日
都市における調査監視システムの発展によって増加するプライバシー懸念 2013年10月21日

日本郵便は17日、同社のインターネット上で転居届を受け付けるサービス「e転居」で、本人確認を導入すると発表した。この本人確認は9月24日より導入される。本人確認に利用される書類は運転免許証、運転経歴証明書、マイナンバーカード、在留カードとなっている（日本郵便リリース[PDF]）。

この本人確認には、スマートフォンなどの各端末の写真撮影機能が必要で、転居申請者の顔写真と本人確認書類を撮影する必要があるようだ。こうした機能がない場合はオンラインでの手続きはできない。これに合わせて、従来の自動音声応答による電話番号認証は廃止されるとしている。こうした本人確認が必要となった背景には、e転居サービスをストーカーに悪用した事例があったためと思われる。

すべて読む | セキュリティセクション | 日本 | セキュリティ | 通信 | プライバシ |

関連ストーリー：
空きがある駐車場であえて高級車の横に停める『トナラー』 2021年08月14日
紛失防止タグ「AirTag」はストーカー用途に悪用できるか？ 2021年04月23日
任天堂が3DSハッカーにストーカーまがいの身辺調査を行っていたことを示す文書が流出 2020年12月26日
元警察官ストーカー男が日本郵政の転居サービス「e転居」を悪用。逮捕される 2020年07月21日
米サンフランシスコ市、警察など公的機関での顔認証技術の使用を禁止 2019年05月20日
米人気歌手テイラー・スウィフトのコンサート会場でテロ対策用の顔認証システムが使われる 2018年12月21日

ノルウェーでロシアとの国境にロシア側への放尿を禁ずる旨の掲示が出現したそうだ (The Barents Observer の記事、 The Register の記事、 RTÉ の記事、 Euronews の記事)。

ノルウェーの法律では国境で隣接する国やその当局を侮辱するような行為が禁じられており、違法行為が起こらないよう国境警備隊や警察、国境庁が監視している。数年前にはロシアに向けて石を投げた 4 人が拘束されているほか、昨冬は国境を越えてロシア側に手を突き出した女性が 8,000 クローネ (約 10 万円) の罰金を命じられているが、放尿に関してロシア側からの苦情はないそうだ。

掲示が行われたのはグレンセヤコブセルフの東側を流れ、ロシアとの国境を形成するヤコブセルバ川の川岸だ。掲示には英語で「No Peeing Towards Russia」と書かれているが、警察や国境庁では掲示を指示していないといい、実際に誰が掲示をしたのかは不明だ。ただし、国境庁長官は善意の人物が通行人に注意を喚起したものだとして問題視はしていないようだ。

長官は現地が観光客が長いドライブの後で最初に車を止める場所になることが多く、排尿の誘惑にかられる可能性が高いと述べ、監視カメラで撮影されていると注意喚起した。国境でのロシア側での放尿行為が見つかった場合は 3,000 クローネ (約 37,000 円) 以上の罰金が命じられる可能性があるとのことだ。

すべて読む | idleセクション | 変なモノ | idle | プライバシ |

関連ストーリー：
ロシアの特殊部隊が使う防弾シールドには男子小便器と同じ仕掛けがしてある 2020年09月07日
京都の道路と私有地の境目に設置された「謎の曲がった棒」 2019年04月11日
フランス・パリ、立小便対策として立ち小便用便器を路上に設置 2018年08月16日
カリフォルニアの公営高速鉄道、エレベーター内での放尿による悪臭と戦う 2016年09月04日
立ち小便が原因でサンフランシスコの街灯が倒壊？ 2015年08月10日
ハンブルグ・ザンクトパウリ地区、立小便に「払い戻し」で対抗 2015年03月14日
貯水池に放尿されたことを理由に貯水池内の水を放水することは科学的では無いという批判 2014年04月25日
ロシアの研究者、糞尿を戦車から発射する手法の特許を取得 2012年09月13日
SEGAの排尿プレイゲーム「トイレッツ」 2011年01月09日
尿から水をリサイクルし、国際宇宙ステーションの定員を倍増へ 2008年08月10日

headless 曰く、

Microsoft Power Apps ポータルから個人情報を含む計 3,800 万件のレコードが流出した問題について、発見者の UpGuard がそのなりゆきを解説している(UpGuard のブログ記事、 The Verge の記事、 The Register の記事)。

Power Apps は開発者としてのスキルがなくてもビジネスアプリケーションを開発できるローコードアプリ開発ツール。OData (Open Data Protocol) API を使用することでポータルでのレコード公開が可能になるのだが、デフォルト無効の「テーブルのアクセス許可を有効にする」オプションを有効にしなければ匿名かつ認証なしでデータへのアクセスが可能になる。このことは Power Apps のドキュメントにも明記されているが、見過ごされることが多かったようだ。

個人情報が公開状態になっているとして UpGuard が通知したのは (Microsoftを含む) 企業や州政府など合計 47 エンティティにのぼる。UpGuard のアナリストは 5 月 24 日に最初の個人情報が公開状態になっている OData API を発見してオーナーに通知。通知を受けたオーナーは問題を修正した。UpGuard が調査を進めたところ、複数のポータルで OData API を通じた個人情報への匿名アクセスが可能になっていることが判明する。

UpGuard は Microsoft による顧客への通知に期待して MSRC (Microsoft Security Response Center) に脆弱性リポートを送るが、(設定を変更しなければデータが一般公開状態になるのは) 仕様であるとして、問題は解決済みとされてしまう。そのため、UpGuard 自ら各エンティティに通知を送ることになった。Microsoft のポータルで見つかった問題については脆弱性リポートへの返信という形で報告したものの回答はなく、新たな脆弱性リポートを送ったところ、不正利用リポートを送れと言われたそうだ。

Microsoft に脆弱性リポートを送り、あとは任せるという UpGuard の試みは失敗したが、UpGuard が複数のエンティティに最も深刻な複数の問題を報告したのち、Microsoft 側でも顧客の通知を開始したとみられる。また、Microsoft は匿名アクセスが許可されたリストを検出する ポータルチェッカーの提供を開始し、新規作成された Power Apps ポータルではテーブルのアクセス許可がデフォルト有効になっている。なお、現在は英語版のドキュメントに OData フィードを有効化した場合はテーブルのアクセス許可を無効にできないとの説明が追加されている。

すべて読む | YROセクション | セキュリティ | マイクロソフト | プログラミング | インターネット | デベロッパー | プライバシ |

関連ストーリー：
LINEで台湾要人約100人の個人情報がハッキングにより流出、国内では握手会動画が中国に流出 2021年07月30日
五輪チケット購入者やボランティアの個人情報が流出。フィッシングサイト経由か 2021年07月26日
Amazonで中国AUKEY製品に続いて同RAVPower製品も削除へ。やらせレビュー問題で 2021年06月23日
ユピテル、2017年の不正アクセスを非公開とするも、脅迫メールにより一転公開へ 2021年06月09日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日
Amazonの商品レビュー詐欺に関与した20万人以上の個人情報が流出 2021年05月11日
内閣府のファイル共有ストレージFileZenに不正アクセス、231人分の個人情報が流出か 2021年04月28日

headless 曰く、

米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) は 19 日、ランサムウェア攻撃からセンシティブ情報と個人情報を守るための対策に関するファクトシートを公開した(CISA のツイート、 ファクトシート: PDF、 Softpedia の記事)。

対策は「ランサムウェア攻撃に対する防御」「センシティブ情報と個人情報の保護」「ランサムウェア被害発生時の対応」に大きく分けられている。防御としてはバックアップ作成と維持、サイバー攻撃対応計画の確立、インターネット側からの攻撃の入り口となる脆弱性や誤設定への対策、フィッシングメールのブロックとトレーニング、サイバー衛生の実践といったものが挙げられている。

情報保護としては、どのような情報が保存され、誰がアクセスできるかの把握と物理的セキュリティ・サイバーセキュリティのベストプラクティス適用、サイバー攻撃対応計画にデータ侵害対策を含めることといったものだ。

ランサムウェア被害が発生した場合の対応としては、影響を受けたシステムの特定と隔離、隔離できない場合に限って影響を受けたデバイスの電源を切るなどの被害拡大を防ぐ対策や、情報の収集、影響を受けた人・団体への通知、CISA を含む当局への報告などが挙げられている。なお、CISA ではランサムウェア被害発生時にデータ復元のための身代金を支払うことは推奨していない。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | プライバシ |

関連ストーリー：
ニップン(旧・日本製粉)、バックアップを含む大量のデータが暗号化され復旧困難。決算発表は延期 2021年08月18日
北米で主要な病院の 80 ％ が使用する気送管システムに脆弱性 2021年08月05日
コロニアル・パイプライン、操業停止による被害でガソリンスタンドから訴訟される 2021年07月28日
米国、中国のサイバー攻撃関与を非難する声明発表。日本を含む同盟国と共同で 2021年07月20日
Microsoft、ボットネット撲滅作戦の一環で戸別訪問によるルーター交換も実施 2021年07月14日
米IT管理サービス「Kaseya VSA」にランサムウェア攻撃。1000社以上が影響か 2021年07月05日
米パイプラインのサイバー攻撃事件、FBIが身代金の大半を奪還に成功 2021年06月09日
米司法省、ランサムウェア対策をテロ対策と同様の優先度で行う方針 2021年06月07日
ランサムウェアによって奪われた機密情報で警察が脅迫される 2021年04月30日

匿名化されていたはずのアプリの位置情報で高位聖職者としては不適切な行動が指摘され、米カトリック司教協議会(USCCB)の事務局長が辞任した(USCCB の声明、 The Pillar の記事、 America Magazine の記事、 Ars Technica の記事)。

位置情報はゲイのソーシャルネットワーキングアプリ Grindr が匿名化してデータブローカーに販売したとされるもの。位置情報とユーザー名は結び付けられていないがデバイスごとにユニーク ID が割り振られており、特定のデバイスがデータを送信した場所と日時が確認できるという。

カトリック教会に関するニュースサイト The Pillar がデータを入手して調べたところ、2018 年から 2020 年にかけて特定のデバイスが(元)事務局長の自宅と職場のほか、ゲイバーや個人宅を訪れていることが判明したとのこと。事務局長は 2018 年の聖職者による児童虐待スキャンダルを受けて USCCB とバチカンの調整役を務めており、訪問した各地でもアプリからデータが送信されていたそうだ。

事務局長の行動に違法性はまったくないが、同性愛に反対するカトリック教会の高位聖職者としては、このようなアプリを使用するだけでもスキャンダラスといえる。そのため、事務局長はUSCCBの運営に支障をきたすことがないよう、The Pillarの記事が公開される前に辞任したとのことだ。

すべて読む | YROセクション | IT | プライバシ |

関連ストーリー：
イスラエル政府、デジタルテクノロジーでCOVID-19感染者に接触した人を特定可能にする暫定法を制定 2020年03月20日
南オーストラリア州公衆衛生局、新型コロナウイルス感染者の移動経路を確認するため携帯電話追跡システムを活用 2020年02月11日
司祭が「ハリー・ポッターの呪文は本物」と主張、米テネシー州ナッシュビルのカトリックスクールが図書館への収蔵をやめる 2019年09月06日
仕事用の電子メールを自分のスマートフォンで受信することは危険？ 2019年07月29日
盗難にあったTesla車、アプリの位置情報が容疑者逮捕につながる 2019年03月02日
ゲイ向け出会い系アプリ「Jack'd」で非公開設定でアップした写真に不特定多数がアクセスできる不具合が見つかる 2019年02月14日
米国防総省、位置情報などの漏洩リスクからフィットネストラッカーの使用制限命令を出す 2018年08月10日
iOS 12では米国での緊急通報発信時に発信者位置情報を通報先に通知する機能を搭載 2018年06月22日
パンを子供に分け与える聖人の彫像、パンの位置で問題発生 2017年11月25日
Google、位置情報サービスをオフにしたAndroid端末からも基地局情報を収集していた 2017年11月22日
FBIが匿名ネットワーク「Tor」を傍受、協力者には100万ドルが支払われた模様 2015年11月16日
ロシア内務省、Torの匿名ネットワークをクラックする技術に賞金11万ドルをかける。ただし要参加費 2014年08月13日
Torに対し匿名化を解除しようとする攻撃が発生していた 2014年08月04日
携帯電話の使用パターンで個人を特定 2013年04月02日
iPhone、Android 携帯のアプリが個人情報を漏洩している 2010年12月19日

オープンソースのオーディオ編集ツール「Audacity」が買収によりプライバシーポリシーが改訂され、その改訂内容からこれではスパイウェアだと非難する声が出ている。Audacityは5月にMuse Groupという多国籍企業に買収され、7月2日にAudacityの公式サイト上にプライバシーポリシーのドラフト案が提示された。その内容によれば、今後のAudacityのリリースバージョンでは個人情報が送信されるようになるという（Audacity デスクトップ版のプライバシーに関するお知らせ、GitHubでの反対コメント、窓の杜、Phone Mania）。

送信されるデータは以下の通りとなっている

• OSのバージョン
• IPアドレスとそれに基づくユーザーの国情報
• OS名
• CPU情報
• エラーコードとメッセージ
• BreakpadMiniDump形式のクラッシュレポート
• 法執行、訴訟および当局の要求に該当するデータ（存在する場合）

またすべての個人データは、欧州経済領域（EEA）のサーバーに保存されるという。その上でロシア政府や米国の外部弁護士と個人データを共有する場合があるとも記載されており、EUと米国・ロシアの規制当局の要求に応じて必要なユーザーデータを提出する可能性が示唆されている。この改訂が実施された場合、Audacityはスパイウェア化するという意見もあり、すぐにフォークするべきだとする意見も出ている模様。

すべて読む | オープンソースセクション | オープンソース | YRO | プライバシ |

関連ストーリー：
二ノ国:Cross Worlds、利用規約に口座番号とマイナンバーが必要とあり物議。現在は修正 2021年06月11日
LINE、個人情報の取り扱い状況を発表。トーク投稿の画像と動画は韓国サーバーで保管 2021年03月18日
接触確認アプリCOCOA、地域ごとの日付フォーマットの違いで利用日数が狂う新たな不具合 2021年03月15日
WhatsApp、新プライバシーポリシーを承認しないユーザーのアカウントがどうなるか説明 2021年02月25日
米マサチューセッツ州最高裁、Uberはユーザーから利用規約への明確な合意を得ていないと判断 2021年01月09日
Facebook、米主要紙にAppleによるターゲティング広告規制を批判する全面広告 2020年12月21日
ポイ活ブラウザアプリSmoozは閲覧情報をすべて外部送信している 2020年12月21日

あるAnonymous Coward 曰く、

スマートホームカメラ「ATOM Cam」を開発・販売するATOM Tech（アトムテック）は6月12日、同社の提供する「ATOM – スマートライフ」アプリ（Android版、iOS版）において、事前の説明と異なる目的で位置情報を利用していたことを謝罪し、位置情報の利用を停止した修正版のアプリを公開した（ATOM Techのニュースリリース）。

発端は5月29日、Googleのソフトウェアエンジニアである河本健氏がAndroid上でのパケットキャプチャにより、同アプリが起動時に端末の緯度・経度をアトムテックのサーバーに送信していることを発見したことに始まる。

同アプリでは事前に「スマートフォンのWi-Fi情報を取得するため」として初期設定時に位置情報の取得の許可を求めていたが、そのために位置情報を送信する必要性を同社に問い質したところ、実は「ユーザーのタイムゾーンを判定するため」という回答があったという。

しかしながら、タイムゾーンを判定する目的であればタイムゾーン取得用の関数を利用したスマートな方法が存在することや、事前の説明を逸脱した位置情報の利用について、同社からの返信が途絶えたため、河本氏が6月11日にこれまでの経緯をツイートしたところ、1,000リツイートを超える炎上状態となっていた。

同社の説明によれば、問題の原因は社内体制の不備にあり、タイムゾーン判別後の位置情報はサーバーに保存しない仕様であったという。また、問題提起を行った河本氏に対しては、こうした報告を無視せずにすぐ対応できるよう連絡ラインを見直すとの回答があったようだ。

情報元へのリンク

すべて読む | セキュリティセクション | セキュリティ | YRO | バグ | 携帯電話 | 携帯通信 | プライバシ |

関連ストーリー：
Google、Android 12 Beta 2を提供開始 2021年06月12日
改正ストーカー規制法が成立、無断でGPS機器の取り付けや位置情報アプリも規制対象 2021年05月21日
AirTagのネットワークをハックしてデータを送受信する 2021年05月18日
英政府のCOVID-19接触通知アプリ、AppleとGoogleが規約違反で更新をブロック 2021年04月13日
日本への入国者全員にCOCOAやSkypeなどをインストールしたスマホの携行を義務付け 2021年03月19日
LINE、個人情報の取り扱い状況を発表。トーク投稿の画像と動画は韓国サーバーで保管 2021年03月18日
メルセデス・ベンツ、不正確な位置情報を通報する可能性のある緊急通報システム搭載車を米国でリコール 2021年02月16日

TeslaがModel 3/Yのソフトウェアアップデートで、Autopilot時のドライバー監視に車内カメラの使用を開始したそうだ(Electrekの記事、 The Vergeの記事、 CNBCの記事、 USA TODAYの記事)。

車内カメラによるドライバー監視機能が導入されたのはソフトウェアバージョン2021.4.15.11。リリースノートによれば、バックミラーの下のカメラを用いてAutopilot使用時にドライバーが十分に注意を払っていない状態を検出・警告するという。カメラのデータは共有を有効にしない限り、保存されたり外部に送信されたりすることはないとのこと。

他社の先進運転支援システムではカメラの映像を用いて運転席にドライバーが座っていることを確認する仕組みを備えるが、これまでAutopilotは同様の仕組みを備えておらず、Autopilotが有効な状態でドライバーが助手席や後部座席へ移動することも可能だった。ただし、Teslaは完全自動運転(FSD)ベータテストで十分な注意を払わないオーナーをベータプログラムから除外しており、イーロン・マスク氏はカメラで注意力低下を検出しているのかという質問に「Yes」と答えていた。

すべて読む | YROセクション | テクノロジー | YRO | 交通 | プライバシ |

関連ストーリー：
米国家運輸安全委員会、レーダー非搭載になった北米向けTesla Model 3/Yを安全性技術非搭載扱いにする 2021年05月29日
逮捕・勾留されてもTesla車の後部座席に座ってAutopilot走行を繰り返す米男性 2021年05月16日
2名が死亡したTesla Model Sの衝突現場付近ではAutopilotを有効にできなかったとの見解、米国家運輸安全委員会 2021年05月12日
Tesla曰く、自動運転レベル5実現に関するイーロン・マスク氏の見通しは技術的な現実に合わない 2021年05月09日
Tesla曰く、2名が死亡したModel Sの衝突事故では誰かが運転席に座っていた 2021年04月29日
Consumer Reports、Tesla車のAutopilotを有効にしたままドライバーが運転席から助手席へ移動できることを確認 2021年04月24日
米国家運輸安全委員会、Teslaの「完全自動運転」ベータテストを注視 2020年10月25日
テスラ車で運転手が寝たまま自動運転していたら時速150キロに加速、危険運転の罪を問われる 2020年09月25日
米国家運輸安全委員会曰く、Tesla Model Xによる2018年の死亡事故の原因はAutopilotに対する過信と注意散漫、道路安全設備の整備不良 2020年03月01日
米フロリダでTesla車が道路を横切る大型車に衝突する事故が発生、自動運転の安全性が疑われる 2019年03月06日

英情報コミッショナー事務局(ICO)が英最高裁に対し、ユーザーが自分のデータをコントロールできなくなることを「損害」と認めなければデータ侵害を取り締まれなくなると示唆しているそうだ(The Registerの記事[1]、 [2]、 HackReadの記事)。

本件はGoogleがiPhoneのSafariでデフォルト設定のサードパーティcookieブロックを迂回し、ユーザーを追跡していたことについて2017年に提起された代表訴訟に関するものだ。一審では訴えが認められなかったが、二審で逆転したため、Googleが上告していた。ICOは訴訟当事者ではないが、代理人の弁護士が第三者として訴訟に加わっている。

オプトイン方式の日本の集団訴訟とは異なり、英国(イングランドとウェールズ)の代表訴訟は同じ損害を受けたすべての人を原告代表が代表する点で米国のクラスアクション訴訟に近いものだが、代表される全員がまったく同じ利害関係を持つ必要があるという。そのため、Google側はユーザー追跡による損害を受けた人が何人いるか確認しようがなく、訴訟は棄却されるべきだと主張しているとのこと。

しかし、ユーザーの意図に反してWebアクセスを追跡すれば、ユーザーが自分のデータをコントロールできなくなることになる。そのため、ユーザーの意図に反する追跡自体が損害と認められなければ、データ侵害が発生してもデータの悪用による被害が発生しない限り取り締まれなくなる、というのがICOの弁護士の見解のようだ。

すべて読む | YROセクション | 英国 | Google | セキュリティ | 法廷 | スラッシュバック | Safari | プライバシ |

関連ストーリー：
GoogleのFLoC、Chrome以外のメジャーブラウザーはサポートしない雰囲気 2021年04月19日
Google、ChromeでUser Agent文字列を凍結する計画 2020年01月17日
2011～2012年の英在住iPhoneユーザーはGoogleから最大7.5万円受け取れる可能性 2017年12月04日
Google、SafariのサードパーティCookie問題で2250万ドルの制裁金を支払う方向へ。 2012年07月12日
米 Digital Advertising Alliance、ブラウザの「追跡拒否機能」サポートへ 2012年02月27日
Safariで意図せずGoogleのCookieがセットされる問題、MSも斜め上から非難 2012年02月22日

headless 曰く、

サードパーティcookieを使用せずに関連性の高い広告を表示する仕組みとしてGoogleはFLoC(Federated Learning of Cohorts)を開発しているが、Chrome以外のメジャーブラウザーはChromiumベースのものを含めてサポートしない雰囲気になっている(The Vergeの記事、 Windows Centralの記事)。

FLoCは共通の興味を持つユーザーを大きなグループに分けることで関連性の高い広告を表示しつつ、個別のユーザーを群衆の中に隠すことができると説明されているが、ユーザーの合意なく追跡されることに違いはない。BraveとVivaldiはブログで明確にFLoC無効化を表明しており、Operaは現時点で有効化する計画はないとThe Vergeに回答している。

MicrosoftはThe Vergeに対し、明確にMicrosoft EdgeでFLoCを無効化するとは断言しなかったものの、全体的には反対の雰囲気だ。ただし、ブラウザーベースで個別のユーザー特定を必要としないものや、IDベースでユーザーの合意とファーストパーティの関係によるものなど、関連性の高い広告を表示する仕組みを探っていると述べ、Microsoftが提唱する、プライベートで匿名化されたリクエストにより広告の実効性を維持しつつ透明性を高める「PARKEET」を例に挙げている。

Mozillaは多数提案されているプライバシーを維持する広告表示の仕組みを検討しているが、現時点で実装予定のものはないと回答。The VergeではAppleに直接問い合わせていないとのことだが、WebKitエンジニアのJohn Wilander氏がBraveのFLoCに対する姿勢を紹介したツイートへの質問に答え、(Safariに)実装するとは言っていないと述べている。

すべて読む | YROセクション | Opera | Google | インターネット | IT | Chrome | Firefox | インターネットエクスプローラ | 広告 | Safari | プライバシ |

関連ストーリー：
Google曰く、サードパーティcookieに代わるユーザー追跡の仕組みは開発しないが、個別のユーザー追跡なしに関連性の高い広告を表示する仕組みを開発する 2021年03月06日
Google、Web検索で見つかったサイト等の情報を検索画面で表示する機能のベータ版を提供開始 2021年02月07日
マルウェアを含む拡張機能計28本、ChromeウェブストアとEdgeアドオンストアで見つかる 2020年12月20日
Google、Chrome拡張機能プラットフォームのManifest V3ロールアウト計画を公式に発表 2020年12月11日
Webブラウザ「Brave」、広告ブロックツールを導入したブラウザを狙ってポップアップ広告を表示して不評を買う 2020年05月26日
Appleによる広告のためのユーザー追跡禁止方針、広告市場に大きく影響を与える 2019年12月14日
Chrome派生のBraveブラウザ、Chromeの広告ブロック仕様変更に反対し独自に高速なAPIを実装 2019年07月04日

クラウド型のビル監視・運用ツールを提供しているスタートアップ企業のVerkadaが外部からハッキングされたそうだ。これにより同社の利用者15万台以上のカメラ映像が流出したと報じられている（Bloomberg、ブルームバーグ、Engadget）。

犯行はSuper Administratorの権限を入手する手法で実行されたとされる。被害は電気自動車メーカーのテスラが利用している222台ものカメラのほか、Cloudflareをはじめ病院、警察、刑務所、学校、そしてVerkada自身がオフィス等に設置している監視用ネットワークカメラに関しても映像が流出したとされる。また全顧客の映像記録全てにもアクセスできたそうだ。

病院を含む一部のカメラでは、Verkadaが提供している顔認識技術を使用して、映像でキャプチャされた人物を識別および分類することもできた。Bloombergの記事によれば、Verkadaは不正アクセスを防止するため、すべての内部管理者アカウントを無効にしたとする声明を出しているという。なおVerkadaの公式サイト上には今のところリリース等は出されていない。

この件に関して、被害にあった一社であるCloudflareが自社ブログで、事件の経緯や被害状況について解説する記事を掲載した。Cloudflareは、サンフランシスコ、オースティン、ニューヨーク、ロンドン、シンガポールのオフィスの監視にVerkadaのサービスを使用しているという。同社はVerkadaからハッキングの連絡を受けると、すべての場所のカメラをシャットダウンした。なお先の話題にあった顔認識アプリは同社では使用していないと説明している（Cloudflare、GIGAZINE）。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 情報漏洩 | プライバシ |

関連ストーリー：
富士通、特有振動パターンから不審者を見つけ出す「不審者検知ソリューション」 2021年01月23日
英国でPlayStation 5のすり替え配送などが多発。Amazonが問題を認める 2020年12月01日
マスクするよう注意されたAmazon配達員、逆ギレして住民を殴った結果、解雇される 2020年09月01日
訃報: MSI CEOの江勝昌氏、台湾の本社ビル7階から墜落死 2020年07月09日
Airbnb、宿泊施設を提供する大家に対し宿泊者を監視する機器の導入を推奨 2020年02月26日
Apple Storeの顔認識技術が原因で誤認逮捕された、と主張する訴訟 2019年04月29日

Braveは3日、オープンサーチエンジン「Tailcat」の買収を発表した(Braveのブログ記事、 The Registerの記事、 SlashGearの記事、 Ghacksの記事)。

Tailcatは昨年サービスを終了したプライバシー重視のサーチエンジンCliqzの元開発者によるサーチエンジンで、Braveではこれを基礎として独自サーチエンジン「Brave Search」を開発する計画だ。Tailcatは完全に独立したインデックスを用い、ユーザーのプライバシーを損なうことなく高品質な検索結果を提供するという。これにより、Brave Searchはユーザーを追跡しないプライベートなサーチエンジンとなり、匿名化されたコミュニティからの貢献により改善を進めていく。広告の表示される無料版のWeb検索だけでなく、広告なしの有料版を提供する計画もあるそうだ。

なお、CliqzはMozillaが2017年にドイツでFirefoxユーザーの一部を対象に無断で拡張機能を同梱する実験を行って問題になったあのCliqzだ。

すべて読む | ITセクション | YRO | 広告 | インターネット | プライバシ |

関連ストーリー：
BraveのTorモード、.onion URLに対して通常のDNSクエリを実行するバグ 2021年02月23日
Brave 1.19、分散型WebプロトコルIPFSをネイティブサポート 2021年01月24日
Brave、プライバシーに配慮したニュースリーダーを新規タブページに追加 2020年12月13日
Brave、1年間で月間アクティブユーザー数が倍以上に増加 2020年11月07日
Brave、CNAMEクローキングブロック機能追加へ 2020年10月31日
Braveブラウザー、検索ボックスの入力補完候補にアフィリエイトコード入りURLを提示して批判される 2020年06月11日
Webブラウザ「Brave」、広告ブロックツールを導入したブラウザを狙ってポップアップ広告を表示して不評を買う 2020年05月26日
Braveブラウザー製品版、バージョン1.0に到達 2019年11月17日
ChromiumベースのMicrosoft Edgeベータ版、初回起動時に130回以上のネットワークリクエストを送る 2019年09月01日
Chrome派生のBraveブラウザ、Chromeの広告ブロック仕様変更に反対し独自に高速なAPIを実装 2019年07月04日
Mozilla、ドイツのユーザー向けに無許可でアクティビティ記録ツール入りのFirefoxを配布 2017年10月12日

headless 曰く、

WhatsAppが5月15日に発効する新プライバシーポリシーについて、承諾しないユーザーのアカウントの扱いを解説する新しいFAQページを公開している(The Vergeの記事、 The Guardianの記事、 Mashableの記事、 Softpediaの記事)。

WhatsAppはFacebookとのデータ共有を盛り込んだ新プライバシーポリシーを1月に公開してユーザーから強い反発を受けた。変更はビジネスアカウントを見つけやすくするためのものであり、メッセージや通話の内容にWhatsAppやFaecbookがアクセスすることはないと説明し、発効日も2月から5月に先送りしているが、SignalやTelegramに百万人単位でユーザーが流れているとも報じられている。

新しいFAQページでは新プライバシーポリシーを承諾しなくてもユーザーアカウントが削除されることはないと説明している。ただし、5月15日以降は機能が制限され、しばらくの間は通知や通話の着信を受けることが可能だが、メッセージの送受信はできなくなるという。5月15日以降も新プライバシーポリシーを承諾することは可能で、(そう書かれてはいないが)承諾した時点で利用を再開できるとみられる。

一方、チャット履歴のエクスポートやアカウント情報リポートのダウンロードは5月15日まで可能とされており、5月15日以降については説明がない。120日以上経過したらアカウントを削除するという非アクティブユーザーに対するポリシーが適用されるとの記述もみられるが、新プライバシーポリシーを承諾しないユーザーが5月15日以降非アクティブとみなされるのかどうか不明確だ。

スラドではユーザーが少ないように感じるWhatsAppだが、皆さんがよく使用するメッセンジャーアプリは何だろうか。

すべて読む | ITセクション | 通信 | YRO | Facebook | プライバシ |

関連ストーリー：
米連邦取引委員会や州司法長官らFacebookを独占禁止法違反で提訴。インスタ分離などを求める 2020年12月11日
Web版WhatsApp、レガシーEdgeのサポートを終了 2020年11月15日
チャット/メッセージングアプリのリンクプレビュー機能に潜む問題 2020年10月30日
米議会で大手IT4社のCEOを招いた公聴会が開かれる。市場の独占について5時間以上の議論に 2020年08月01日
イスラエルのNSO Group、Facebookのログインページを偽装してフィッシング行為 2020年05月26日
欧州の当局がテロ容疑者追跡にスパイウェアを使用、WhatsAppがこれを警告するメッセージを出す 2020年01月11日

中国で盗聴器入りのモバイルバッテリーが話題になっていたようだ。中国の全国ネット「中国中央電視台（CCTV）」が報じたもので、このモバイルバッテリーは348元で販売されていたという。指定されたアプリから盗聴機能を起動することができ、またGPSによる位置情報や移動の軌跡、録音データの受信などができるという。また音量検知機能により、近くの会話を自動で録音を開始する設定もあるという（ZDNet Japan）。

ZDNet Japanに掲載された元記事によれば、もともとは中国で利用の多いシェアサイクル用の防犯ツールとして販売されていた部品を転用した製品のようだ。自転車の位置を把握できるだけでなく、バッテリーだけ盗まれた場合でも居場所をつかめるという使い方のために用意されたものであるらしい。なお、南京警察は製造販売していた深センの業者などの関係者28人を逮捕、端末2000個以上を押収したとしている。

すべて読む | YROセクション | 犯罪 | 通信 | YRO | 中国 | プライバシ |

関連ストーリー：
リンク切断時間5秒でLANケーブルにパケット盗聴器を接続する手法 2020年04月14日
iOS版Facebookアプリ、密かにカメラへアクセスすることが判明 2019年11月16日
ドイツ連邦ネットワーク庁、リモートから周囲の音を聞くことのできる子供向けスマートウォッチを禁止 2017年11月19日
無線通信機能を備える「喋るおもちゃ」に脆弱性、盗聴や任意の言葉を遠隔から喋らせることが可能 2017年02月23日
テルミン氏が開発した、実際に冷戦時に使われた「バッテリーもケーブルも不要な盗聴器」 2016年11月12日
雑音で盗聴を防ぐ盗聴妨害器 2016年05月27日

headless 曰く、

Appleは年末からApp Storeでアプリのプライバシー情報の表示を開始しているが、情報は開発者の自己申告であり、中には不正確なものもあるようだ(The Washington Postの記事、 Mac Rumorsの記事、 9to5Macの記事)。

アプリのプライバシー情報は食品の栄養素ラベルのように一見して必要な情報が把握できるようにするもので、アプリが収集するデータの種類や扱いなどが「Appのプライバシー」セクションに記載される。これらの情報は新規アプリおよびアプリのアップデートをApp Storeに提出する際に必須となるが、Appleは「デベロッパには、回答を正確かつ最新の情報に保つ責任があります」とするのみで、掲載前に確認は行われないようだ。実際に「Appのプライバシー」セクションで「詳細を表示」をクリックすると「この情報はAppleによって検証されていません」という但し書きがみられる。

The Washington Postの記事では、テクノロジーコラムニストのGeoffrey Fowler氏が「データの収集なし」と表示されるアプリによるデータ収集が判明したと伝えている。その後Fowler氏は数十本のアプリを検証し、半数以上が「Appのプライバシー」の記載と異なるデータ収集を行うことを確認したという。Fowler氏はVPNアプリ「Privacy Pro」の追跡防止機能がブロックした通信のリストを証拠として示し、Apple製品のセールスポイントであるプライバシーはユーザーのためではなく、Appleが利益を得るためだと批判する。

AppleはFowler氏に対し、開発者が提供するプライバシー情報の正確性を順次確認しており、不正確な情報を修正するよう開発者に求め、修正されない場合は将来のアップデートの却下やApp Storeからの削除も行うなどと説明したという。Fowler氏からの連絡を受けて「Appのプライバシー」に表示する情報を修正したり、アプリ自体を修正したりする開発者もいるが、修正することなく公開を続けている開発者もいるとのことだ。

すべて読む | YROセクション | ビジネス | ソフトウェア | アップル | デベロッパー | iOS | プライバシ |

関連ストーリー：
米非営利組織、App StoreでのTelegramアプリ公開差止を求めてAppleを訴える 2021年01月23日
GoogleがiOSアプリを更新しないという噂が出回る。Google側は更新予定と発表 2021年01月08日
あなたをがっかりさせた2020年のテクノロジーは？ 2020年12月31日
アプリのユーザートラッキング許可を求めるiOS 14のプロンプト、一部で表示されるようになる 2020年12月27日
EFF曰く、スモールビジネスを守ると称してAppleを批判するFacebookのキャンペーンはお笑い草 2020年12月23日
Facebook、米主要紙にAppleによるターゲティング広告規制を批判する全面広告 2020年12月21日
Apple、App Storeで表示するアプリのプライバシー方針情報の受付を開始 2020年11月08日
Facebook、iOS14から導入されるポリシー変更で広告収益は50％以上も減少すると予測 2020年08月28日
Apple、Macノートブックにカメラカバーを装着したままディスプレイを閉じないよう求める 2020年07月13日

Dellは5日に発表したビジネス向けモバイルPC Latitude 9420/9520のWebカメラには、使用状況に合わせて自動開閉するシャッター「SafeShutter」が搭載されるそうだ(プレスリリース、 The Vergeの記事、 SlashGearの記事、 動画)。

Webカメラ稼働中にはパイロットランプが点灯するが、過去にはパイロットランプを無効化してカメラを使用可能な脆弱性が発見されたこともあり、プライバシーの観点から物理的にふさぐ人も多い。ただし、後付けのカメラカバーはディスプレイを傷つける可能性もある。ビデオ会議でWebカメラを使用する頻度が高まっている昨今では繰り返し貼り直すことになる。

SafeShutterはビデオ会議アプリに連動して自動でシャッターが開閉するというもので、動画では赤い薄板がスライドしてレンズを覆う様子が確認できる。Webカメラ用の自動シャッターは業界初だという。このほかにもビデオ会議向けの機能強化が行われており、Intel Visual Sensing Technologyによる自動ウエイクアップ/ロックも利用できる。

プレスリリースに細かいスペックは記載されていないが、Wi-Fi 6Eまたは5G LTEが利用可能で、第11世代Intel Core i7プロセッサーが選択可能とのこと。14インチディスプレイのLatitude 9420は2021年春発売で1,949ドルから、15インチのLatitude 9520の価格は後日発表となっている。

すべて読む | モバイルセクション | YRO | ノートPC | プライバシ |

関連ストーリー：
Apple、Macノートブックにカメラカバーを装着したままディスプレイを閉じないよう求める 2020年07月13日
Dell、データセンターの消毒が必要な場合は専門業者に依頼することを推奨 2020年03月22日
FBIポートランド支局曰く、スマートTVのカメラを無効化したくてもオプションがない場合はテープでふさごう 2019年12月06日
FBI局長曰く、誰もがWebカメラをテープでふさいでプライバシーを守るべきだ 2016年09月18日
PCのWebカメラ、ふさいでる？ 2016年06月10日
使わないWebカメラはテープでふさげ 2013年06月26日

シンガポール政府は4日、COVID-19接触者追跡システムTraceTogetherのWebサイトでプライバシーに関するページを更新し、収集したデータを犯罪捜査に使用することがあるとの文言を追加した(TraceTogether Privacy Safeguards、 The Straits Timesの記事、 Ars Technicaの記事、 The Registerの記事)。

シンガポールではTraceTogetherアプリの提供を昨年3月に開始し、6月にはスマートフォンなしでも利用可能なトークンの無料配布を開始している。TraceTogetherはBluetooth近接通信を利用して接触者を検出し、匿名化されたデータをデバイス内に保存する。基本的にサーバーでは登録情報だけが保存され、COVID-19陽性が確認された場合のみデータのアップロードが求められる。これまでシンガポール政府はTraceTogetherのデータをCOVID-19接触者追跡にのみ使用し、犯罪捜査には使用しないと説明していた。

しかし、シンガポールの刑事手続法(CPC)では、警察が捜査や裁判で必要な文書や物品の提出を命じることが可能だと定められている。更新版のPrivacy SafeguardsではTraceTogetherのデータもCPCの例外ではないとし、シンガポール警察が犯罪捜査で必要だと判断した場合にはデータのアップロードを命じる権限がCPCにより与えられると明記されている。

すべて読む | YROセクション | 犯罪 | YRO | 医療 | プライバシ |

関連ストーリー：
矛盾表示が指摘されていた接触確認アプリCOCOA、当初のバグ誤認説を改め修正版を配布 2020年09月25日
FSFE、デンマーク政府にCOVID-19接触追跡アプリのオープンソース化を求める 2020年07月04日
COVID-19追跡アプリを開発する英国民保健サービスのテクノロージーユニット、別の追跡アプリ開発を妨害していたとの報道 2020年06月21日
新型コロナウイルス接触確認アプリ「COCOA」試行運用開始 2020年06月19日
フランス政府、Appleのプライバシーポリシーが新型コロナ対策アプリの開発の妨げになると主張 2020年04月27日
AppleとGoogleが協力する新型コロナ接触追跡システム、旧型端末を使用する約20億人は利用できない 2020年04月24日
韓国が新型コロナ感染による隔離者に監視腕輪の着用を求める、性犯罪者向けの「足輪」を連想させることから批判も 2020年04月21日
AppleとGoogle、SARS-CoV-2 感染者との濃厚接触を検出する技術の開発で協力 2020年04月12日
シンガポールがBluetoothを使って接触者を追跡するアプリを開発、オープンソース化予定 2020年04月02日
日本でもコロナ対策で政府が携帯電話利用者の位置情報提出を求める動き 2020年03月31日
COVID-19対策のためのユーザー追跡やそれらの情報を使った分析に対し懸念の声 2020年03月27日
台湾、新型コロナで隔離措置を受けている人を監視するスマホアプリを導入 2020年03月25日
イスラエル政府、デジタルテクノロジーでCOVID-19感染者に接触した人を特定可能にする暫定法を制定 2020年03月20日
Googleが収集した位置情報データを警察が活用するようになった結果、単に犯罪現場近くを何度か通り過ぎただけの人が疑われる状況に 2020年03月11日
南オーストラリア州公衆衛生局、新型コロナウイルス感染者の移動経路を確認するため携帯電話追跡システムを活用 2020年02月11日

河野太郎規制改革大臣が12月末にシンガポールに出張、現地からZoomでオンライン記者会見を行ったところ、河野大臣にZoomの安全性に関して指摘するユーザーが複数出たようだ。過去のセキュリティ問題や先日の米司法省がZoom関係者を起訴したことなどを念頭に置いた指摘と思われるが、河野大臣はTwitterやブログでこうした意見に反論している（河野太郎公式Twitter、河野太郎公式サイト）。

反論の内容は明確で、Zoom経由で公開されている記者会見や公開フォーラムは一般公開されているものであり機密漏洩の心配はないというもの。国内の会議も同様であり、参加者はZoomの持つリスクを理解した上で参加しているとしている。また、

2カ国や3カ国の外相電話会談や防衛相電話会談などを行う場合も、その際のシステムの脆弱性に応じて話せる内容が変わってきます。 機微な内容を話す時は、それに応じたシステムを選びます。 必要なシステムが使えない時は、機微な話はできません。

として、機密性と利便性に応じてシステムを使い分けていると話している。

すべて読む | YROセクション | YRO | 政治 | 政府 | プライバシ |

関連ストーリー：
あなたをがっかりさせた2020年のテクノロジーは？ 2020年12月31日
天安門事件関連のビデオ会議を検閲・通信遮断か、米司法省がズーム元従業員を起訴 2020年12月24日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
Web会議サービスZoom、虚偽のセキュリティを主張した問題等でFTCと和解 2020年11月13日
チャット/メッセージングアプリのリンクプレビュー機能に潜む問題 2020年10月30日
Zoomがビューの並び順を任意に変えることのできる機能を搭載。日本の上座・下座文化に対応か 2020年09月05日
Web会議サービスZoomに対しさまざまな懸念、使用禁止にする組織も登場 2020年04月07日