Apple が同社製品に関連する個人向けの安全対策をまとめたガイドブック「Personal Safety User Guide」を公開している (Apple のサポート記事、 The Verge の記事、 Mac Rumors の記事、 9to5Mac の記事)。

ガイドブックは現在のところ日本語化されていないが、安全に関する設定の見直しや対策と、Apple 製品に組み込まれた安全やプライバシーを守る機能の使用方法、自分の情報にアクセス可能な人の制御に関する 3 つのチェックリストに大きく分けられており、英語版の PDF で 56 ページにおよぶ盛り沢山の内容だ。

設定の見直しや対策には共有やアカウントの管理、スクリーンショット撮影による不審な活動の記録、不審なコンテンツの削除、他人による AirTag や Find My アクセサリーを使用した追跡の防止などが含まれる。Android アプリを使用した AirTag / Find My アクセサリーの検出方法も紹介されている。

すべて読む | アップルセクション | セキュリティ | アップル | プライバシ |

関連ストーリー：
Airtagの悪用が止まらない 2022年01月26日
Apple、持ち主から離れた場所にある AirTag を Android で検出可能なアプリを公開 2021年12月16日
iOS 15.2、iPhone の部品と修理履歴が確認可能に 2021年12月12日
カナダの警察、AirTag を使用した高級車窃盗に注意喚起 2021年12月05日
Apple、ディスプレイを磨く専用クロスを発売 2021年10月21日
AirTagの紛失モードには悪意あるサイトへ誘導する脆弱性がある 2021年10月04日
Apple 曰く、誤飲防止の苦味コートが施されたコイン型電池は AirTag で使えない可能性がある 2021年07月30日
「Apple 製品のお手入れ方法」更新、エチルアルコールは使用可能、過酸化水素は使用禁止 2021年07月21日
Apple、iPad や Mac を含む医療機器への磁気干渉リスクがある製品のリストを公開 2021年06月29日
AirTagのネットワークをハックしてデータを送受信する 2021年05月18日
紛失防止タグ「AirTag」はストーカー用途に悪用できるか？ 2021年04月23日

headless 曰く、

英国政府の資金による No Place to Hide がソーシャルメディアメッセージのエンドツーエンド暗号化に反対するキャンペーンを開始した (キャンペーンサイト、 BetaNews の記事、 The Guardian の記事、 動画)。

キャンペーンではエンドツーエンド暗号化に反対するわけではなく、ユーザーのプライバシー保護には賛成だとする一方で、エンドツーエンド暗号化が児童性的捕食者に隠れ場所を与えることを防ぐテクノロジーを開発する必要があると主張する。

そのため、児童性的捕食者が性的な目的で子供に近寄ることや、子供の性的画像の共有や閲覧、捜査当局による検出の回避、といったことを容易にしないテクノロジーが利用可能であることを示さない限り、エンドツーエンド暗号化を実装しないようソーシャルメディア企業に要請している。

すべて読む | セキュリティセクション | 英国 | セキュリティ | 暗号 | 政府 | プライバシ |

関連ストーリー：
スイス軍、公務では国産のインスタントメッセージングアプリのみを使用するよう指示 2022年01月10日
検閲・監視・アクセス制限、Internet Archive が考えるディストピアな未来のインターネット 2021年10月05日
デバイス上で児童性的虐待コンテンツをスキャンするAppleの計画に反対する公開書状、7,000人以上が署名 2021年08月13日
Zoom、暗号化誇張問題の訴訟で8500万ドルの和解金支払いへ 2021年08月06日
あなたをがっかりさせた2020年のテクノロジーは？ 2020年12月31日

headless 曰く、

米国で一部の iPhone ユーザーから iCloud プライベートリレーが機能しなくなったと報告され、キャリアがブロックしたのではないかとの見方が出ていたが、キャリア・Apple ともにこの見方を否定したそうだ (The Verge の記事、 Ars Technica の記事、 Mac Rumors の記事、 9to5Mac の記事)。

iCloud プライベートリレーは本人またはファミリー共有グループの誰かが iCloud+ サブスクリプションに登録している場合に利用可能なプライバシー強化機能で、現在は iOS 15 / iPadOS 15 でベータ版の機能として利用できる。欧州では大手キャリアが連名でプライベートリレーを制限するよう欧州委員会に要請していたことが報じられた直後ということもあり、キャリア側でブロックしたと疑われることになった。

しかし、米 Verizonと米 AT&T はプライベートリレーのブロックを否定。米 T-Mobile はキャリアのフィルタリングサービスを利用している場合はプライベートリレーを有効にできないと説明した。また、iOS 15.2 のバグでアップグレード時に設定がリセットされてオフになったとも説明していたが、その後バグの存在を取り消している。

Apple もアップグレード時の設定リセットを否定したほか、キャリア側でブロックすることもないと明言したとのこと。ただし、米国向け (英語) のサポートドキュメントには、特定のネットワークでプライベートリレーが無効になっている場合の対処方法が追加されている。

すべて読む | アップルセクション | 通信 | YRO | インターネット | iOS | アメリカ合衆国 | プライバシ |

関連ストーリー：
Apple、子供を守る取り組みに関する Web ページから児童虐待コンテンツへの言及をすべて削除 2021年12月18日
あなたのデジタル遺産、誰に譲る？隠しておきたい？ 2021年11月14日
AirTagの紛失モードには悪意あるサイトへ誘導する脆弱性がある 2021年10月04日
Apple、デバイス上での児童性的虐待素材スキャンなどの計画を延期 2021年09月05日
デバイス上で児童性的虐待コンテンツをスキャンするAppleの計画に反対する公開書状、7,000人以上が署名 2021年08月13日
6か月にわたりiCloudからロックアウトされている女性、名前は「True」 2021年03月09日

フランスのデータ保護当局 CNIL (情報処理および自由に関する国家委員会) は 6 日、Google と YouTube、Facebook の cookie 保存に関するユーザーインターフェイスがフランスのデータ保護法に違反しているとして 12 月 31 日に制裁金を科したことを発表した (ニュースリリース [1]、 [2]、 [3])。

いずれの場合も cookie を一括して許可するボタンが用意されているのに対し、一括して拒否するボタンが用意されていない点が問題視された。これにより、1 クリックですべての cookie を許可できるのに対し、すべての cookie を拒否するには数クリックが必要となる。そのため、拒否する方の操作を故意に複雑にし、許可する方を選ばせようとしていると判断したとのこと。

制裁金額は Google LLC に 9,000 万ユーロ、Google Ireland Limited に 6,000 万ユーロ、Facebook Ireland Limited に 6,000 万ユーロ。各社が cookie により収集したデータから広告で間接的に得る利益に対して適切な金額だという。各社には修正のための猶予が 3 か月間与えられ、それまでに修正を行わない場合は 1 日遅れるごとに 10 万ユーロの制裁金を科すとのことだ。

すべて読む | ITセクション | Google | EU | YouTube | YRO | 広告 | Facebook | プライバシ | お金 |

関連ストーリー：
Vivaldi 3.8リリース、cookieダイアログやバナーの非表示化が可能に 2021年05月04日
GitHub、cookieバナーを廃止 2020年12月20日
フランスのデータ保護当局、cookie保存などについてAmazonに3,500万ユーロ、Googleに1億ユーロの制裁金 2020年12月13日
EU司法裁判所、「忘れられる権利」による検索結果からの除外はEU加盟国の国別TLDバージョンのみが対象になるとの判決 2019年09月27日
フランスのデータ保護当局、Windows 10によるデータ収集が改善されたと判断 2017年07月01日
Windows 10のデータ収集などに対し、フランスのデータ保護当局が3か月以内の是正を求める 2016年07月24日

イタリアの競争・市場保護委員会 (AGCM) は 11 月 26 日、Google と Apple によるユーザーデータの取得と利用が消費者保護法に違反するとして、それぞれ 1 千万ユーロの制裁金を科すと発表した (プレスリリース)。

違反内容は収集するユーザーデータの商用利用に関する十分な情報を提供していないことと、強引なユーザーデータ取得を行っていることだ。制裁金 1 千万ユーロはこれらの違反に対する上限額だという。

Googleはアカウント作成時とサービス利用時に収集したユーザーデータを商用利用することについて、ユーザーが意識して許可するのに必要な情報を提供しておらず、アカウント作成時にはユーザーデータの商用利用を許可するオプションがデフォルトで選択されているとのこと。

一方、Apple は Apple ID 作成時やオンラインストア利用時に収集したユーザーデータがエクスペリエンスとサービス改善に必要だと述べるのみで商用利用に関する情報を提示せず、ユーザーデータの商用利用時にはユーザーの承認を求めるものの、選択肢はサービスを利用するかデータの商用利用を許可するかのいずれかに限られるとのことだ。

すべて読む | YROセクション | ビジネス | Google | EU | 法廷 | 広告 | アップル | 政府 | プライバシ |

関連ストーリー：
イタリア当局、マーケットプレイス出品者を制限していた Amazon と Apple に計 2 億ユーロ以上の制裁金 2021年11月27日
イタリア当局、iPhoneの防水機能に関する宣伝と製品保証についてAppleに1,000万ユーロの制裁金 2020年12月01日
イタリア当局、Google・Apple・Dropboxの不公正なビジネス習慣と消費者に不利な利用規約を調査開始 2020年09月08日
フランス当局、バッテリーの劣化したiPhoneの意図的なパフォーマンス低下問題でAppleに2,500万ユーロの罰金 2020年02月15日
Apple、iPhoneのパフォーマンス低下問題で当局から命じられた声明文をイタリア版サイトに掲載 2019年02月15日
イタリア当局、スマートフォンのパフォーマンスを意図的に低下させたとしてAppleとSamsungに罰金 2018年10月27日
イタリア当局、スマートフォンのソフトウェアアップデートによるパフォーマンス低下問題でSamsungとAppleの調査を開始 2018年01月21日

DuckDuckGo は 18 日、Android アプリに組み込まれたユーザートラッキング用のトラッカーをブロックする「App Tracking Protection」機能を発表した (DuckDuckGo News の記事、 Neowin の記事、 Ars Technica の記事、 Ghacks の記事)。

App Tracking Protection は DuckDuckGo Private Browser アプリに新機能として追加されるもので、現在は招待制でベータテストが行われている。機能としてはローカル VPN として動作し、他のアプリのトラフィックを処理する形になる。

ベータテストに参加するには、DuckDuckGo アプリの設定画面で「App Tracking Protection」を開き、ベータ版のウェイトリストに登録すればいい。あとは参加準備が整い次第通知が送られてくる。

DuckDuckGo がテストした人気の無料 Android アプリの 96 % がサードパーティーのトラッカーを含んでおり、87 % が Google に、68 % が Facebook にデータを送信しているという。Apple は iOS 14 でアプリによるユーザートラッキングを許可制にし、多くのユーザーがトラッキングをオプトアウトしているが、大多数のモバイルユーザーが使用する Android には同様の機能がないためApp Tracking Protection の提供を決めたとのことだ。

すべて読む | ITセクション | YRO | ソフトウェア | 広告 | インターネット | Android | プライバシ |

関連ストーリー：
Google、欧州経済領域と英国でAndroid初回起動時に表示する検索プロバイダーの入札を廃止 2021年06月11日
iOS 14.5でユーザトラッキングを許可したのは世界全体でわずか12％のみ 2021年05月10日
HTTPS Everywhereが自前ルールセットの更新を終了へ 2021年05月07日
FacebookアプリとInstagramアプリ、iOS 14.5でユーザートラッキング許可を求める理由の表示を開始 2021年05月04日
Apple、iOS/iPadOSアプリが金銭的インセンティブと引き換えにユーザートラッキング許可を求めることを禁止 2021年04月28日
検索エンジンDuckDuckGoで11日、1日1億回の検索件数を達成 2021年01月20日
アプリのユーザートラッキング許可を求めるiOS 14のプロンプト、一部で表示されるようになる 2020年12月27日
DuckDuckGo曰く、Android初回起動時に表示する検索プロバイダーの入札は競争を阻害 2020年10月03日
Googleで「pirate bay proxies」を検索すると、DuckDuckGoが検索結果1位に 2020年08月30日
DuckDuckGoのWebブラウザー、アクセス先ドメインの情報を収集しているとの批判を受けて修正 2020年07月07日
DuckDuckGo、インドで一時ブロックされる 2020年07月05日

ProtonMail によるとスイス連邦行政裁判所が今週、電子メールプロバイダーを電気通信プロバイダーとみなすことはできないとの判断を示したそうだ (ProtonMail のブログ記事、 The Register の記事)。

この裁判はスイス政府が電気通信法を不適切に用いてプライバシーを低下させていると ProtonMail が主張し、昨年 5 月に提起していたものだ。連邦行政裁判所では電子メールプロバイダーを電気通信プロバイダーとはみなせず、結果として電気通信法が義務付けるデータ保存の対象にもならないとの判断を示したとのこと。

スイス連邦最高裁は 4 月に Threema の訴えを認め、インスタントメッセージングサービスが電気通信プロバイダーではないとの判断を示しており、本件と合わせてスイスにおけるプライバシーの勝利であるという。その結果、多くのスイス企業は当局の情報提出命令に対し、特定のユーザー情報提出が免除されるとのこと。

ProtonMail は 9 月、フランスで逮捕された環境活動家の IP アドレスなどの情報を警察に渡していたとして批判を浴び、IP アドレスのログを保存しないとの記述を公式サイトトップページから削除している。今回の判決が確定すれば、IP アドレスの記録を当局が命じることもできなくなるとみられる。

すべて読む | YROセクション | 通信 | YRO | 法廷 | プライバシ |

関連ストーリー：
暗号メールサービス ProtonMail、IP アドレスのログを保存しないとの記述を公式サイトトップページから削除 2021年09月11日
ドーピングで4年間の出場停止になった米陸上選手、ステロイド検出は豚肉を食べたせいだと主張 2021年06月19日
iOSでVPN利用時、一部の通信がVPNをバイパスする脆弱性 2020年03月29日
スイス裁判所、Swatchの「Tick Different」商標無効を主張するAppleの訴訟を棄却 2019年04月06日
2018年パスワードを正しく使用していない人・団体ランキング発表。1位はカニエ・ウェスト、2位は米国防総省 2018年12月14日
OpenPGPとS/MIMEに脆弱性、適切な実装をしていないクライアントが原因 2018年05月16日
Microsoft、Windows 10の次期大型アップデートに向けてプライバシー問題の改善を進める 2017年01月17日
「超プライベート携帯」 Blackphone、629米ドルで発売へ 2014年06月30日

国土交通省は24日、8月に発生した小田急線車内で発生した傷害事件を受けて鉄道事業者と意見交換を行い、今後の対策方針を発表した。それによると、係員や警備員による監視の強化のほか、車内や駅構内の防犯カメラの増設などの対応を行うとしている。防犯カメラの画像運用に関しては、不審者や不審物の検知機能の高度化を謳っており、AIを含む最新技術を活用する方針を示した（国土交通省[PDF]、共同通信）。

先日、JR東日本は重要犯罪の容疑者や挙動不審な人物などの顔を登録し照合していることが話題となった。しかし、その後の専門家などの指摘などにより、9月21日から重大犯罪で服役した出所者を顔認証機能の検知対象とすることを撤回すると発表していた（読売新聞、NHK）。

すべて読む | YROセクション | YRO | 政府 | 交通 | プライバシ |

関連ストーリー：
JR東日本、先月から顔認証で犯罪者や仮釈放者を照合していた 2021年08月30日
小田急線車内で乗客切り付け事件 2021年08月07日
人の顔が描かれたマスクをかぶって監視カメラを回避しよう 2014年05月13日
顔認識を使って人物を追跡する実験、大阪駅の駅ビルで4月よりスタート 2014年01月06日
都市における調査監視システムの発展によって増加するプライバシー懸念 2013年10月21日

日本郵便は17日、同社のインターネット上で転居届を受け付けるサービス「e転居」で、本人確認を導入すると発表した。この本人確認は9月24日より導入される。本人確認に利用される書類は運転免許証、運転経歴証明書、マイナンバーカード、在留カードとなっている（日本郵便リリース[PDF]）。

この本人確認には、スマートフォンなどの各端末の写真撮影機能が必要で、転居申請者の顔写真と本人確認書類を撮影する必要があるようだ。こうした機能がない場合はオンラインでの手続きはできない。これに合わせて、従来の自動音声応答による電話番号認証は廃止されるとしている。こうした本人確認が必要となった背景には、e転居サービスをストーカーに悪用した事例があったためと思われる。

すべて読む | セキュリティセクション | 日本 | セキュリティ | 通信 | プライバシ |

関連ストーリー：
空きがある駐車場であえて高級車の横に停める『トナラー』 2021年08月14日
紛失防止タグ「AirTag」はストーカー用途に悪用できるか？ 2021年04月23日
任天堂が3DSハッカーにストーカーまがいの身辺調査を行っていたことを示す文書が流出 2020年12月26日
元警察官ストーカー男が日本郵政の転居サービス「e転居」を悪用。逮捕される 2020年07月21日
米サンフランシスコ市、警察など公的機関での顔認証技術の使用を禁止 2019年05月20日
米人気歌手テイラー・スウィフトのコンサート会場でテロ対策用の顔認証システムが使われる 2018年12月21日

ノルウェーでロシアとの国境にロシア側への放尿を禁ずる旨の掲示が出現したそうだ (The Barents Observer の記事、 The Register の記事、 RTÉ の記事、 Euronews の記事)。

ノルウェーの法律では国境で隣接する国やその当局を侮辱するような行為が禁じられており、違法行為が起こらないよう国境警備隊や警察、国境庁が監視している。数年前にはロシアに向けて石を投げた 4 人が拘束されているほか、昨冬は国境を越えてロシア側に手を突き出した女性が 8,000 クローネ (約 10 万円) の罰金を命じられているが、放尿に関してロシア側からの苦情はないそうだ。

掲示が行われたのはグレンセヤコブセルフの東側を流れ、ロシアとの国境を形成するヤコブセルバ川の川岸だ。掲示には英語で「No Peeing Towards Russia」と書かれているが、警察や国境庁では掲示を指示していないといい、実際に誰が掲示をしたのかは不明だ。ただし、国境庁長官は善意の人物が通行人に注意を喚起したものだとして問題視はしていないようだ。

長官は現地が観光客が長いドライブの後で最初に車を止める場所になることが多く、排尿の誘惑にかられる可能性が高いと述べ、監視カメラで撮影されていると注意喚起した。国境でのロシア側での放尿行為が見つかった場合は 3,000 クローネ (約 37,000 円) 以上の罰金が命じられる可能性があるとのことだ。

すべて読む | idleセクション | 変なモノ | idle | プライバシ |

関連ストーリー：
ロシアの特殊部隊が使う防弾シールドには男子小便器と同じ仕掛けがしてある 2020年09月07日
京都の道路と私有地の境目に設置された「謎の曲がった棒」 2019年04月11日
フランス・パリ、立小便対策として立ち小便用便器を路上に設置 2018年08月16日
カリフォルニアの公営高速鉄道、エレベーター内での放尿による悪臭と戦う 2016年09月04日
立ち小便が原因でサンフランシスコの街灯が倒壊？ 2015年08月10日
ハンブルグ・ザンクトパウリ地区、立小便に「払い戻し」で対抗 2015年03月14日
貯水池に放尿されたことを理由に貯水池内の水を放水することは科学的では無いという批判 2014年04月25日
ロシアの研究者、糞尿を戦車から発射する手法の特許を取得 2012年09月13日
SEGAの排尿プレイゲーム「トイレッツ」 2011年01月09日
尿から水をリサイクルし、国際宇宙ステーションの定員を倍増へ 2008年08月10日

headless 曰く、

Microsoft Power Apps ポータルから個人情報を含む計 3,800 万件のレコードが流出した問題について、発見者の UpGuard がそのなりゆきを解説している(UpGuard のブログ記事、 The Verge の記事、 The Register の記事)。

Power Apps は開発者としてのスキルがなくてもビジネスアプリケーションを開発できるローコードアプリ開発ツール。OData (Open Data Protocol) API を使用することでポータルでのレコード公開が可能になるのだが、デフォルト無効の「テーブルのアクセス許可を有効にする」オプションを有効にしなければ匿名かつ認証なしでデータへのアクセスが可能になる。このことは Power Apps のドキュメントにも明記されているが、見過ごされることが多かったようだ。

個人情報が公開状態になっているとして UpGuard が通知したのは (Microsoftを含む) 企業や州政府など合計 47 エンティティにのぼる。UpGuard のアナリストは 5 月 24 日に最初の個人情報が公開状態になっている OData API を発見してオーナーに通知。通知を受けたオーナーは問題を修正した。UpGuard が調査を進めたところ、複数のポータルで OData API を通じた個人情報への匿名アクセスが可能になっていることが判明する。

UpGuard は Microsoft による顧客への通知に期待して MSRC (Microsoft Security Response Center) に脆弱性リポートを送るが、(設定を変更しなければデータが一般公開状態になるのは) 仕様であるとして、問題は解決済みとされてしまう。そのため、UpGuard 自ら各エンティティに通知を送ることになった。Microsoft のポータルで見つかった問題については脆弱性リポートへの返信という形で報告したものの回答はなく、新たな脆弱性リポートを送ったところ、不正利用リポートを送れと言われたそうだ。

Microsoft に脆弱性リポートを送り、あとは任せるという UpGuard の試みは失敗したが、UpGuard が複数のエンティティに最も深刻な複数の問題を報告したのち、Microsoft 側でも顧客の通知を開始したとみられる。また、Microsoft は匿名アクセスが許可されたリストを検出する ポータルチェッカーの提供を開始し、新規作成された Power Apps ポータルではテーブルのアクセス許可がデフォルト有効になっている。なお、現在は英語版のドキュメントに OData フィードを有効化した場合はテーブルのアクセス許可を無効にできないとの説明が追加されている。

すべて読む | YROセクション | セキュリティ | マイクロソフト | プログラミング | インターネット | デベロッパー | プライバシ |

関連ストーリー：
LINEで台湾要人約100人の個人情報がハッキングにより流出、国内では握手会動画が中国に流出 2021年07月30日
五輪チケット購入者やボランティアの個人情報が流出。フィッシングサイト経由か 2021年07月26日
Amazonで中国AUKEY製品に続いて同RAVPower製品も削除へ。やらせレビュー問題で 2021年06月23日
ユピテル、2017年の不正アクセスを非公開とするも、脅迫メールにより一転公開へ 2021年06月09日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日
Amazonの商品レビュー詐欺に関与した20万人以上の個人情報が流出 2021年05月11日
内閣府のファイル共有ストレージFileZenに不正アクセス、231人分の個人情報が流出か 2021年04月28日

headless 曰く、

米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) は 19 日、ランサムウェア攻撃からセンシティブ情報と個人情報を守るための対策に関するファクトシートを公開した(CISA のツイート、 ファクトシート: PDF、 Softpedia の記事)。

対策は「ランサムウェア攻撃に対する防御」「センシティブ情報と個人情報の保護」「ランサムウェア被害発生時の対応」に大きく分けられている。防御としてはバックアップ作成と維持、サイバー攻撃対応計画の確立、インターネット側からの攻撃の入り口となる脆弱性や誤設定への対策、フィッシングメールのブロックとトレーニング、サイバー衛生の実践といったものが挙げられている。

情報保護としては、どのような情報が保存され、誰がアクセスできるかの把握と物理的セキュリティ・サイバーセキュリティのベストプラクティス適用、サイバー攻撃対応計画にデータ侵害対策を含めることといったものだ。

ランサムウェア被害が発生した場合の対応としては、影響を受けたシステムの特定と隔離、隔離できない場合に限って影響を受けたデバイスの電源を切るなどの被害拡大を防ぐ対策や、情報の収集、影響を受けた人・団体への通知、CISA を含む当局への報告などが挙げられている。なお、CISA ではランサムウェア被害発生時にデータ復元のための身代金を支払うことは推奨していない。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | プライバシ |

関連ストーリー：
ニップン(旧・日本製粉)、バックアップを含む大量のデータが暗号化され復旧困難。決算発表は延期 2021年08月18日
北米で主要な病院の 80 ％ が使用する気送管システムに脆弱性 2021年08月05日
コロニアル・パイプライン、操業停止による被害でガソリンスタンドから訴訟される 2021年07月28日
米国、中国のサイバー攻撃関与を非難する声明発表。日本を含む同盟国と共同で 2021年07月20日
Microsoft、ボットネット撲滅作戦の一環で戸別訪問によるルーター交換も実施 2021年07月14日
米IT管理サービス「Kaseya VSA」にランサムウェア攻撃。1000社以上が影響か 2021年07月05日
米パイプラインのサイバー攻撃事件、FBIが身代金の大半を奪還に成功 2021年06月09日
米司法省、ランサムウェア対策をテロ対策と同様の優先度で行う方針 2021年06月07日
ランサムウェアによって奪われた機密情報で警察が脅迫される 2021年04月30日

匿名化されていたはずのアプリの位置情報で高位聖職者としては不適切な行動が指摘され、米カトリック司教協議会(USCCB)の事務局長が辞任した(USCCB の声明、 The Pillar の記事、 America Magazine の記事、 Ars Technica の記事)。

位置情報はゲイのソーシャルネットワーキングアプリ Grindr が匿名化してデータブローカーに販売したとされるもの。位置情報とユーザー名は結び付けられていないがデバイスごとにユニーク ID が割り振られており、特定のデバイスがデータを送信した場所と日時が確認できるという。

カトリック教会に関するニュースサイト The Pillar がデータを入手して調べたところ、2018 年から 2020 年にかけて特定のデバイスが(元)事務局長の自宅と職場のほか、ゲイバーや個人宅を訪れていることが判明したとのこと。事務局長は 2018 年の聖職者による児童虐待スキャンダルを受けて USCCB とバチカンの調整役を務めており、訪問した各地でもアプリからデータが送信されていたそうだ。

事務局長の行動に違法性はまったくないが、同性愛に反対するカトリック教会の高位聖職者としては、このようなアプリを使用するだけでもスキャンダラスといえる。そのため、事務局長はUSCCBの運営に支障をきたすことがないよう、The Pillarの記事が公開される前に辞任したとのことだ。

すべて読む | YROセクション | IT | プライバシ |

関連ストーリー：
イスラエル政府、デジタルテクノロジーでCOVID-19感染者に接触した人を特定可能にする暫定法を制定 2020年03月20日
南オーストラリア州公衆衛生局、新型コロナウイルス感染者の移動経路を確認するため携帯電話追跡システムを活用 2020年02月11日
司祭が「ハリー・ポッターの呪文は本物」と主張、米テネシー州ナッシュビルのカトリックスクールが図書館への収蔵をやめる 2019年09月06日
仕事用の電子メールを自分のスマートフォンで受信することは危険？ 2019年07月29日
盗難にあったTesla車、アプリの位置情報が容疑者逮捕につながる 2019年03月02日
ゲイ向け出会い系アプリ「Jack'd」で非公開設定でアップした写真に不特定多数がアクセスできる不具合が見つかる 2019年02月14日
米国防総省、位置情報などの漏洩リスクからフィットネストラッカーの使用制限命令を出す 2018年08月10日
iOS 12では米国での緊急通報発信時に発信者位置情報を通報先に通知する機能を搭載 2018年06月22日
パンを子供に分け与える聖人の彫像、パンの位置で問題発生 2017年11月25日
Google、位置情報サービスをオフにしたAndroid端末からも基地局情報を収集していた 2017年11月22日
FBIが匿名ネットワーク「Tor」を傍受、協力者には100万ドルが支払われた模様 2015年11月16日
ロシア内務省、Torの匿名ネットワークをクラックする技術に賞金11万ドルをかける。ただし要参加費 2014年08月13日
Torに対し匿名化を解除しようとする攻撃が発生していた 2014年08月04日
携帯電話の使用パターンで個人を特定 2013年04月02日
iPhone、Android 携帯のアプリが個人情報を漏洩している 2010年12月19日

オープンソースのオーディオ編集ツール「Audacity」が買収によりプライバシーポリシーが改訂され、その改訂内容からこれではスパイウェアだと非難する声が出ている。Audacityは5月にMuse Groupという多国籍企業に買収され、7月2日にAudacityの公式サイト上にプライバシーポリシーのドラフト案が提示された。その内容によれば、今後のAudacityのリリースバージョンでは個人情報が送信されるようになるという（Audacity デスクトップ版のプライバシーに関するお知らせ、GitHubでの反対コメント、窓の杜、Phone Mania）。

送信されるデータは以下の通りとなっている

• OSのバージョン
• IPアドレスとそれに基づくユーザーの国情報
• OS名
• CPU情報
• エラーコードとメッセージ
• BreakpadMiniDump形式のクラッシュレポート
• 法執行、訴訟および当局の要求に該当するデータ（存在する場合）

またすべての個人データは、欧州経済領域（EEA）のサーバーに保存されるという。その上でロシア政府や米国の外部弁護士と個人データを共有する場合があるとも記載されており、EUと米国・ロシアの規制当局の要求に応じて必要なユーザーデータを提出する可能性が示唆されている。この改訂が実施された場合、Audacityはスパイウェア化するという意見もあり、すぐにフォークするべきだとする意見も出ている模様。

すべて読む | オープンソースセクション | オープンソース | YRO | プライバシ |

関連ストーリー：
二ノ国:Cross Worlds、利用規約に口座番号とマイナンバーが必要とあり物議。現在は修正 2021年06月11日
LINE、個人情報の取り扱い状況を発表。トーク投稿の画像と動画は韓国サーバーで保管 2021年03月18日
接触確認アプリCOCOA、地域ごとの日付フォーマットの違いで利用日数が狂う新たな不具合 2021年03月15日
WhatsApp、新プライバシーポリシーを承認しないユーザーのアカウントがどうなるか説明 2021年02月25日
米マサチューセッツ州最高裁、Uberはユーザーから利用規約への明確な合意を得ていないと判断 2021年01月09日
Facebook、米主要紙にAppleによるターゲティング広告規制を批判する全面広告 2020年12月21日
ポイ活ブラウザアプリSmoozは閲覧情報をすべて外部送信している 2020年12月21日

あるAnonymous Coward 曰く、

スマートホームカメラ「ATOM Cam」を開発・販売するATOM Tech（アトムテック）は6月12日、同社の提供する「ATOM – スマートライフ」アプリ（Android版、iOS版）において、事前の説明と異なる目的で位置情報を利用していたことを謝罪し、位置情報の利用を停止した修正版のアプリを公開した（ATOM Techのニュースリリース）。

発端は5月29日、Googleのソフトウェアエンジニアである河本健氏がAndroid上でのパケットキャプチャにより、同アプリが起動時に端末の緯度・経度をアトムテックのサーバーに送信していることを発見したことに始まる。

同アプリでは事前に「スマートフォンのWi-Fi情報を取得するため」として初期設定時に位置情報の取得の許可を求めていたが、そのために位置情報を送信する必要性を同社に問い質したところ、実は「ユーザーのタイムゾーンを判定するため」という回答があったという。

しかしながら、タイムゾーンを判定する目的であればタイムゾーン取得用の関数を利用したスマートな方法が存在することや、事前の説明を逸脱した位置情報の利用について、同社からの返信が途絶えたため、河本氏が6月11日にこれまでの経緯をツイートしたところ、1,000リツイートを超える炎上状態となっていた。

同社の説明によれば、問題の原因は社内体制の不備にあり、タイムゾーン判別後の位置情報はサーバーに保存しない仕様であったという。また、問題提起を行った河本氏に対しては、こうした報告を無視せずにすぐ対応できるよう連絡ラインを見直すとの回答があったようだ。

情報元へのリンク

すべて読む | セキュリティセクション | セキュリティ | YRO | バグ | 携帯電話 | 携帯通信 | プライバシ |

関連ストーリー：
Google、Android 12 Beta 2を提供開始 2021年06月12日
改正ストーカー規制法が成立、無断でGPS機器の取り付けや位置情報アプリも規制対象 2021年05月21日
AirTagのネットワークをハックしてデータを送受信する 2021年05月18日
英政府のCOVID-19接触通知アプリ、AppleとGoogleが規約違反で更新をブロック 2021年04月13日
日本への入国者全員にCOCOAやSkypeなどをインストールしたスマホの携行を義務付け 2021年03月19日
LINE、個人情報の取り扱い状況を発表。トーク投稿の画像と動画は韓国サーバーで保管 2021年03月18日
メルセデス・ベンツ、不正確な位置情報を通報する可能性のある緊急通報システム搭載車を米国でリコール 2021年02月16日

TeslaがModel 3/Yのソフトウェアアップデートで、Autopilot時のドライバー監視に車内カメラの使用を開始したそうだ(Electrekの記事、 The Vergeの記事、 CNBCの記事、 USA TODAYの記事)。

車内カメラによるドライバー監視機能が導入されたのはソフトウェアバージョン2021.4.15.11。リリースノートによれば、バックミラーの下のカメラを用いてAutopilot使用時にドライバーが十分に注意を払っていない状態を検出・警告するという。カメラのデータは共有を有効にしない限り、保存されたり外部に送信されたりすることはないとのこと。

他社の先進運転支援システムではカメラの映像を用いて運転席にドライバーが座っていることを確認する仕組みを備えるが、これまでAutopilotは同様の仕組みを備えておらず、Autopilotが有効な状態でドライバーが助手席や後部座席へ移動することも可能だった。ただし、Teslaは完全自動運転(FSD)ベータテストで十分な注意を払わないオーナーをベータプログラムから除外しており、イーロン・マスク氏はカメラで注意力低下を検出しているのかという質問に「Yes」と答えていた。

すべて読む | YROセクション | テクノロジー | YRO | 交通 | プライバシ |

関連ストーリー：
米国家運輸安全委員会、レーダー非搭載になった北米向けTesla Model 3/Yを安全性技術非搭載扱いにする 2021年05月29日
逮捕・勾留されてもTesla車の後部座席に座ってAutopilot走行を繰り返す米男性 2021年05月16日
2名が死亡したTesla Model Sの衝突現場付近ではAutopilotを有効にできなかったとの見解、米国家運輸安全委員会 2021年05月12日
Tesla曰く、自動運転レベル5実現に関するイーロン・マスク氏の見通しは技術的な現実に合わない 2021年05月09日
Tesla曰く、2名が死亡したModel Sの衝突事故では誰かが運転席に座っていた 2021年04月29日
Consumer Reports、Tesla車のAutopilotを有効にしたままドライバーが運転席から助手席へ移動できることを確認 2021年04月24日
米国家運輸安全委員会、Teslaの「完全自動運転」ベータテストを注視 2020年10月25日
テスラ車で運転手が寝たまま自動運転していたら時速150キロに加速、危険運転の罪を問われる 2020年09月25日
米国家運輸安全委員会曰く、Tesla Model Xによる2018年の死亡事故の原因はAutopilotに対する過信と注意散漫、道路安全設備の整備不良 2020年03月01日
米フロリダでTesla車が道路を横切る大型車に衝突する事故が発生、自動運転の安全性が疑われる 2019年03月06日

英情報コミッショナー事務局(ICO)が英最高裁に対し、ユーザーが自分のデータをコントロールできなくなることを「損害」と認めなければデータ侵害を取り締まれなくなると示唆しているそうだ(The Registerの記事[1]、 [2]、 HackReadの記事)。

本件はGoogleがiPhoneのSafariでデフォルト設定のサードパーティcookieブロックを迂回し、ユーザーを追跡していたことについて2017年に提起された代表訴訟に関するものだ。一審では訴えが認められなかったが、二審で逆転したため、Googleが上告していた。ICOは訴訟当事者ではないが、代理人の弁護士が第三者として訴訟に加わっている。

オプトイン方式の日本の集団訴訟とは異なり、英国(イングランドとウェールズ)の代表訴訟は同じ損害を受けたすべての人を原告代表が代表する点で米国のクラスアクション訴訟に近いものだが、代表される全員がまったく同じ利害関係を持つ必要があるという。そのため、Google側はユーザー追跡による損害を受けた人が何人いるか確認しようがなく、訴訟は棄却されるべきだと主張しているとのこと。

しかし、ユーザーの意図に反してWebアクセスを追跡すれば、ユーザーが自分のデータをコントロールできなくなることになる。そのため、ユーザーの意図に反する追跡自体が損害と認められなければ、データ侵害が発生してもデータの悪用による被害が発生しない限り取り締まれなくなる、というのがICOの弁護士の見解のようだ。

すべて読む | YROセクション | 英国 | Google | セキュリティ | 法廷 | スラッシュバック | Safari | プライバシ |

関連ストーリー：
GoogleのFLoC、Chrome以外のメジャーブラウザーはサポートしない雰囲気 2021年04月19日
Google、ChromeでUser Agent文字列を凍結する計画 2020年01月17日
2011～2012年の英在住iPhoneユーザーはGoogleから最大7.5万円受け取れる可能性 2017年12月04日
Google、SafariのサードパーティCookie問題で2250万ドルの制裁金を支払う方向へ。 2012年07月12日
米 Digital Advertising Alliance、ブラウザの「追跡拒否機能」サポートへ 2012年02月27日
Safariで意図せずGoogleのCookieがセットされる問題、MSも斜め上から非難 2012年02月22日

headless 曰く、

サードパーティcookieを使用せずに関連性の高い広告を表示する仕組みとしてGoogleはFLoC(Federated Learning of Cohorts)を開発しているが、Chrome以外のメジャーブラウザーはChromiumベースのものを含めてサポートしない雰囲気になっている(The Vergeの記事、 Windows Centralの記事)。

FLoCは共通の興味を持つユーザーを大きなグループに分けることで関連性の高い広告を表示しつつ、個別のユーザーを群衆の中に隠すことができると説明されているが、ユーザーの合意なく追跡されることに違いはない。BraveとVivaldiはブログで明確にFLoC無効化を表明しており、Operaは現時点で有効化する計画はないとThe Vergeに回答している。

MicrosoftはThe Vergeに対し、明確にMicrosoft EdgeでFLoCを無効化するとは断言しなかったものの、全体的には反対の雰囲気だ。ただし、ブラウザーベースで個別のユーザー特定を必要としないものや、IDベースでユーザーの合意とファーストパーティの関係によるものなど、関連性の高い広告を表示する仕組みを探っていると述べ、Microsoftが提唱する、プライベートで匿名化されたリクエストにより広告の実効性を維持しつつ透明性を高める「PARKEET」を例に挙げている。

Mozillaは多数提案されているプライバシーを維持する広告表示の仕組みを検討しているが、現時点で実装予定のものはないと回答。The VergeではAppleに直接問い合わせていないとのことだが、WebKitエンジニアのJohn Wilander氏がBraveのFLoCに対する姿勢を紹介したツイートへの質問に答え、(Safariに)実装するとは言っていないと述べている。

すべて読む | YROセクション | Opera | Google | インターネット | IT | Chrome | Firefox | インターネットエクスプローラ | 広告 | Safari | プライバシ |

関連ストーリー：
Google曰く、サードパーティcookieに代わるユーザー追跡の仕組みは開発しないが、個別のユーザー追跡なしに関連性の高い広告を表示する仕組みを開発する 2021年03月06日
Google、Web検索で見つかったサイト等の情報を検索画面で表示する機能のベータ版を提供開始 2021年02月07日
マルウェアを含む拡張機能計28本、ChromeウェブストアとEdgeアドオンストアで見つかる 2020年12月20日
Google、Chrome拡張機能プラットフォームのManifest V3ロールアウト計画を公式に発表 2020年12月11日
Webブラウザ「Brave」、広告ブロックツールを導入したブラウザを狙ってポップアップ広告を表示して不評を買う 2020年05月26日
Appleによる広告のためのユーザー追跡禁止方針、広告市場に大きく影響を与える 2019年12月14日
Chrome派生のBraveブラウザ、Chromeの広告ブロック仕様変更に反対し独自に高速なAPIを実装 2019年07月04日

クラウド型のビル監視・運用ツールを提供しているスタートアップ企業のVerkadaが外部からハッキングされたそうだ。これにより同社の利用者15万台以上のカメラ映像が流出したと報じられている（Bloomberg、ブルームバーグ、Engadget）。

犯行はSuper Administratorの権限を入手する手法で実行されたとされる。被害は電気自動車メーカーのテスラが利用している222台ものカメラのほか、Cloudflareをはじめ病院、警察、刑務所、学校、そしてVerkada自身がオフィス等に設置している監視用ネットワークカメラに関しても映像が流出したとされる。また全顧客の映像記録全てにもアクセスできたそうだ。

病院を含む一部のカメラでは、Verkadaが提供している顔認識技術を使用して、映像でキャプチャされた人物を識別および分類することもできた。Bloombergの記事によれば、Verkadaは不正アクセスを防止するため、すべての内部管理者アカウントを無効にしたとする声明を出しているという。なおVerkadaの公式サイト上には今のところリリース等は出されていない。

この件に関して、被害にあった一社であるCloudflareが自社ブログで、事件の経緯や被害状況について解説する記事を掲載した。Cloudflareは、サンフランシスコ、オースティン、ニューヨーク、ロンドン、シンガポールのオフィスの監視にVerkadaのサービスを使用しているという。同社はVerkadaからハッキングの連絡を受けると、すべての場所のカメラをシャットダウンした。なお先の話題にあった顔認識アプリは同社では使用していないと説明している（Cloudflare、GIGAZINE）。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 情報漏洩 | プライバシ |

関連ストーリー：
富士通、特有振動パターンから不審者を見つけ出す「不審者検知ソリューション」 2021年01月23日
英国でPlayStation 5のすり替え配送などが多発。Amazonが問題を認める 2020年12月01日
マスクするよう注意されたAmazon配達員、逆ギレして住民を殴った結果、解雇される 2020年09月01日
訃報: MSI CEOの江勝昌氏、台湾の本社ビル7階から墜落死 2020年07月09日
Airbnb、宿泊施設を提供する大家に対し宿泊者を監視する機器の導入を推奨 2020年02月26日
Apple Storeの顔認識技術が原因で誤認逮捕された、と主張する訴訟 2019年04月29日