複数の米大学のメンバーによる研究グループがスマートフォンのモーションセンサーを用い、通話中のイヤースピーカーの振動から通話相手や内容を読み取る手法「EarSpy」の研究成果を発表している (論文アブストラクト、 HackRead の記事、 Android Police の記事)。

モーションセンサーは権限の明示的な許可を得ることなく利用できるため、さまざまなサイドチャネル攻撃手法の研究が行われている。出力の小さいイヤースピーカーの振動をモーションセンサーで読み取ることは難しいと考えられていたが、最近のステレオスピーカー搭載モデルでは イヤースピーカーを 2 つ目のラウドスピーカーと兼用できるようにしているものもある。実際にイヤースピーカーとして使用する時には出力を抑えることになるが、それでもステレオスピーカーを搭載しないモデルと比べて加速度計で読み取れる情報が多くなっているという。

研究グループでは一般公開されている発話データセットを用い、古典的な機械学習アルゴリズム、新たに開発した畳み込みニューラルネットワークに学習させて性別や話者、発話内容の検出を実行している。使用スマートフォンはいずれもステレオスピーカーを搭載する OnePlus 7T と OnePlus 9 の 2 機種だ。その結果、性別は最高 98.66 %、話者は最高 92.6 % の正確さで認識可能であり、発話内容 (0 ～ 9 の数字を英語で発音したもの) も最高 56.42 % の正確さで認識できたそうだ。Android 12 以降ではモーションセンサーのデータのリフレッシュレートがデフォルトで 200 Hz に制限されており、より高いリフレッシュレートでの読み取りには権限の許可を得る必要がある。しかし、制限された状態でも性別の検出は 90.97 % の正確さが得られたとのことだ。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | YRO | 携帯電話 | プライバシ |

関連ストーリー：
Bluetooth を搭載して音声通話を可能にした電話機型おもちゃ、盗聴可能な問題が見つかる 2021年12月28日
米国がドイツ首相らに対してスパイ活動疑惑。仏独首脳が米国らに説明を求める 2021年06月03日
Chromeがシークレットモードでも個人情報を収集したとして集団訴訟へ。成立すれば5000億円規模の賠償の可能性も 2021年03月17日
旧ソ連のスパイグッズが競売にかけられる。現代のロシアでも形を変えて 2021年02月20日
ソニー、PS5のボイスチャット録音機能を「盗聴ではない」と説明するも米国の一部州で違法との指摘も 2020年10月20日
iPhone 7/7 Plus分解リポート、ヘッドフォンジャックの跡地にあるものは？ 2016年09月19日

すべて読む | YROセクション | セキュリティ | 政治 | プライバシ |

関連ストーリー：
英情報通信庁曰く、成人向けビデオ共有プラットフォームは子供を有害コンテンツから守る対策が不十分 2022年10月25日
米ニューヨーク州農業・市場局、缶入りホイップクリーム販売に年齢確認が不要なことを明確化 2022年09月04日
Instagram、16 歳未満のユーザーに対する不適切なコンテンツの表示制限を強化 2022年08月28日
Instagram、セルフィ―動画を使用した年齢確認を米国でテスト 2022年06月26日
英国でポルノサイトに年齢確認義務付ける計画、再び 2022年02月10日
Siri は生年月日から年齢を正しく計算できない？ 2022年01月30日
英国、オンラインでの子供のプライバシー保護を目的とする法律が施行 2021年09月05日
Instagram、ユーザーに生年月日入力を義務付けへ 2021年09月01日
App Store での成人向けアプリインストール、14 歳として登録された Apple ID でもブロックされない 2021年08月29日
Tencent、中国向けモバイルゲームで顔認識技術を用いた未成年者のプレイ時間制限を正式に開始 2021年07月11日
LINEの年齢認証、楽天モバイル回線や一部MVNOが対応 2021年03月22日

すべて読む | セキュリティセクション | セキュリティ | 中国 | プライバシ |

関連ストーリー：
米国、政府支給端末でのTikTok禁止法案、上院が全会一致で可決 2022年12月20日
英 GCHQ 長官曰く、子供たちが TikTok を使うのは問題ない 2022年10月15日
TikTokの内蔵ブラウザーがキー入力を監視と報道。TikTok側は障害調査用だと否定 2022年08月25日
窒息時間を競う「失神チャレンジ」に挑戦して亡くなった遺族がTikTokを訴える 2022年07月06日

すべて読む | YROセクション | YRO | 法廷 | 論説 | プライバシ |

関連ストーリー：
FC2で無修正売った男性、刑法175条1項の違憲性を問う 2022年09月20日
OMECO社、商標法4条1項7号の違憲性を問う 2022年09月09日
ネット上の武器の作り方情報に規制を、参議院議員がテレビ番組で 2022年07月15日
Wikimedia Foundation、ロシアでWikipedia記事を虚偽情報とする判決に上訴 2022年06月16日
「タヒね」は表現の自由の範囲内。弁護士の懲戒処分取り消し 2022年05月26日

すべて読む | YROセクション | セキュリティ | 携帯電話 | プライバシ |

関連ストーリー：
Twilioのフィッシング攻撃者、Signal ユーザー 1,900 人分の電話番号を取得した可能性 2022年08月19日
サンドラッグで不正アクセス。計1万9057件の個人情報が流出した可能性 2022年07月14日
読売新聞オンラインへの不正アクセス、流出した可能性の高い個人情報は 2,070 件 2022年07月09日
着信転送サービスを悪用した WhatsApp アカウント乗っ取り、日本では大丈夫か 2022年06月05日
WhatsApp、米政府の命令で中国とマカオのユーザーを追跡していた 2022年01月22日
LINE Pay、国内外13万人分のキャンペーン参加情報を誤ってGitHubにアップロード 2021年12月07日
Facebook、過去に流出した世界5億3300万人の個人情報が閲覧可能に。日本からも42万8625人 2021年04月07日
ソフトバンクで6347人の顧客情報流出。ドコモ口座事件などに悪用される 2021年03月04日
PayPay、ブラジルから不正アクセス。加盟店の情報が最大2007万件流出した可能性 2020年12月08日
エクアドルで大規模個人情報流出、流出件数は人口を超える。パスワード未設定で運用したElasticsearchが原因か 2019年09月19日

すべて読む | アップルセクション | YRO | アップル | iOS | プライバシ |

関連ストーリー：
Appleがユーザーの合意なくアプリ内での行動を追跡したと主張する米クラスアクション訴訟 2022年11月16日
Apple、App Storeでの広告表示を増やす計画 2022年10月27日
ドイツ連邦カルテル庁、アプリのユーザートラッキングルールに関する反競争行為で Apple を調査 2022年06月18日
Apple、やっぱりApp Storeの検索結果で自社アプリを優遇か？ 2021年06月14日
FacebookアプリとInstagramアプリ、iOS 14.5でユーザートラッキング許可を求める理由の表示を開始 2021年05月04日
Apple、iOS/iPadOSアプリが金銭的インセンティブと引き換えにユーザートラッキング許可を求めることを禁止 2021年04月28日
チャット/メッセージングアプリのリンクプレビュー機能に潜む問題 2020年10月30日
AppleがiOS版WordPressアプリに課金オプション追加を要求、その理由は？ 2020年08月23日
Windows版 iCloud アプリで動画が破損するとの報告 2022年11月25日

すべて読む | YROセクション | YRO | 政府 | プライバシ |

関連ストーリー：
電子インボイスの明日はどっちだ 2022年06月29日
インボイス登録で実名が公表される 2022年06月16日
参議院選挙出馬予定の漫画家赤松氏、ヒットアニメの税還付公約 2022年05月23日
クラウド業務サポートのfreeeがAmazonビジネスと購買明細APIで連携。日本では初 2022年01月28日
政府、個人事業主に識別番号を割り振る方針 2021年04月07日

Google Chrome や Microsoft Edge の高度なスペルチェック機能を利用すると、ウェブサイトによっては個人を特定可能な情報 (PII) が Google や Microsoft に送られるほか、パスワードが送られてしまうこともあると報告されている (otto のブログ記事、 BleepingComputer の記事、 BetaNews の記事、 Ghacks の記事)。

Chromeの高度なスペルチェック機能は設定画面の「言語」でスペルチェックを有効にし、「拡張スペルチェック」を選択すれば利用できる。Edgeの方は拡張機能「Microsoft エディター」をインストールし、設定画面の「言語」に追加される文書作成支援機能の使用を有効にして「Microsoft エディター」を選択すればいい。ただし、環境によっては拡張機能をインストールしていなくても設定画面に表示されることがあるようだ。

Chrome ヘルプでは拡張スペルチェック有効時に入力したテキストが Google に送信されると明記されており、意図したとおりの動作ではある。ただし、ウェブページ側で制限しなければログイン画面やサインアップ画面に入力した PII なども送信されてしまう。また、パスワード入力フィールドで入力済みパスワードを表示する機能を使用すると、パスワードが送信されるという。

高度なスペルチェック機能を利用しつつ問題を避けるには、送信されたくない情報を含むフィールドに「spellcheck = "false"」属性を付加すればいいとのことだ。

すべて読む | ITセクション | Chrome | Google | マイクロソフト | YRO | インターネット | プライバシ |

関連ストーリー：
Slack、招待リンクを作成・破棄したユーザーのパスワードハッシュを他のメンバーに送信していた 2022年08月13日
IIJが受信もPPAP廃止へ、社外から届くパスワード付きZIPファイルはメール本文のみ受信 2021年11月19日
日立グループ、2021年12月13日以降すべての送受信メールでPPAP利用廃止 2021年10月18日
原子力規制委、PPAPシステムの不具合でメールアドレス76件を漏洩 2021年06月25日
マルウェアEmotetに盗み出された400万件以上の認証情報、Have I been pwned?で確認可能に 2021年05月01日
WindowsのデスクトップテーマファイルでWindowsの認証情報を盗み取れる可能性 2020年09月09日
Firefox 77ではテキスト入力フィールドにmaxlengthを超える文字列を貼り付けた時に自動で切り詰められなくなる 2020年05月21日

すべて読む | セキュリティセクション | セキュリティ | YRO | プライバシ | モニター |

関連ストーリー：
米連邦地裁、大学のリモート試験で不正防止のために行われる部屋のスキャンが合衆国憲法に違反すると判断 2022年08月26日
花火大会の動画は撮影地点を割り出しやすい 2022年08月19日
マイクをミュートしても音声を聴き続けるビデオ会議アプリケーション 2022年04月17日
女性アイドルの熱狂的ファン、アイドルがSNSに上げた写真の瞳に映る景色から場所を特定し襲撃 2019年10月09日

すべて読む | ハードウェアセクション | ハードウェア | 携帯電話 | プライバシ |

関連ストーリー：
iFixit、Google Pixel スマートフォン純正部品の取り扱いを開始 2022年07月02日
米連邦取引委員会、消費者の修理する権利を制限する文言を保証規定から削除するよう 2 社に命令 2022年06月26日
iFixit、Apple の iPhone 修理用工具を分解 2022年06月11日
iFixit、Steam Deck の修理ガイドと修理用パーツを提供開始 2022年05月28日
Apple のセルフサービス修理プログラム、米国で開始 2022年04月30日
Samsung、米国でセルフリペアプログラムを発表 2022年04月03日
Google 曰く、ユーザーのアカウント侵害と Google の修理拠点に送られた Pixel スマートフォンは無関係 2021年12月11日
Google の修理拠点に送った Pixel スマートフォンが不正にアクセスされたという 2 件の報告 2021年12月09日
アップルにiPhoneを修理に出した女性、裸の写真とセックス動画を自分のSNSに投稿される 2021年06月09日
Apple、ごく一部のiPhone 5を対象にバッテリー交換プログラムを実施 2014年08月24日
故障したPCを修理店に持っていた70歳男性、PC内にあった孫の写真が原因で児童ポルノ所持罪で起訴される 2013年06月07日

米アリゾナ州で警察官の活動を至近距離でビデオ撮影すると違法になる州法が成立した (法案情報、 法案 HB2319 最終版、 Ars Technica の記事)。

この州法では法執行活動が行われていると知りながら 8 フィート以内からビデオ撮影する行為が違法となる。ただし、法執行活動が私有地内の囲われた空間で行われている場合であって、その場所に入ることを認められている人が 8 フィート (約 2.4 m) 以内からビデオ撮影することは認められる。また、容疑者など法執行活動の対象となっている本人や、検問で止められた車の中にいる人がビデオ撮影することも認められる。これらの例外は警察官が公務執行妨害や危険行為だと判断した場合は適用されない。違反した場合は 3 級軽罪となり、最高 500 ドルの罰金または最高 30 日間の実刑、最高 1 年間の保護観察処分を受ける可能性がある。

提案者のアリゾナ州下院議員ジョン・カバナー氏が USA TODAY に寄稿した Op-Ed によれば、敵意を持って警察官に付きまとい、危険な近距離でビデオ撮影しようとするグループが存在するのだという。カバナー氏に提案を依頼したトゥーソン市の警官らによると、1 ～ 2 フィートの至近距離で撮影されることもあるそうだ。

一方、ACLU Arizona は法案が (言論の自由や請願権を定めた) 合衆国憲法修正第 1 条に違反すると以前から反対していた。法案の成立を受けて、警察の悪事に対抗する最も効果的なツールを使用しようとする市民を委縮させ、警察官に違法行為の責任を負わせることがより難しくなるなどと改めて批判している。

すべて読む | YROセクション | 犯罪 | YRO | 政治 | アメリカ合衆国 | プライバシ |

関連ストーリー：
米サンフランシスコ市警の自律走行車対応規定、自律走行システムのデータを捜査で活用することにも言及 2022年05月18日
逮捕・勾留されてもTesla車の後部座席に座ってAutopilot走行を繰り返す米男性 2021年05月16日
米国で起きた警官による被疑者殺害事件、1億ドルを投入した警察用ボディカメラは機能せず 2020年06月26日
開発ツールWebpackの公式サイト、警察官による黒人殺害事件への抗議でドキュメントを一時閲覧できなくする 2020年06月08日
YouTube、ロンドン警察の要請によりラップ動画を削除 2019年02月19日
Amazonのリアルタイム顔認識システムを米警察が利用。Amazonが積極的に営業か 2018年05月26日
アマゾン傘下のスマートドアホン会社、不審人物を通報しやすくするアプリを公開 2018年05月11日
モトローラ、米警官の装着するボディカメラに顔認識技術の導入を計画 2017年07月22日
米コムキャスト、職場監視用のビデオカメラサービス開始 2017年03月30日
米警察、殺人事件の証拠として「Amazon Echo」の録音データを要求 2017年03月16日
警視庁などが「可搬型顔認証装置」を導入 2014年02月27日

すべて読む | YROセクション | 中国 | 情報漏洩 | プライバシ |

関連ストーリー：
米国ら7か国、北京五輪参加選手に使い捨てスマートフォン推奨へ 2022年02月04日
Microsoft、中国で Bing のオートサジェスト機能を 30 日間停止するよう中国政府に命じられる 2021年12月19日
テンセント、ゲームの新規投入を中国当局から禁止。国有企業の微信の使用制限も 2021年11月26日
LINE問題で調査員による最終報告書。韓国色を隠す意図があったなどと指摘 2021年10月19日
LINEで台湾要人約100人の個人情報がハッキングにより流出、国内では握手会動画が中国に流出 2021年07月30日

6月23日、兵庫県尼崎市は全市民の住民基本台帳などのデータが入ったUSBメモリを紛失したと発表した。USBメモリの中には住民基本台帳に記載されてる情報のほか、生活保護や児童手当を受けている世帯の口座情報なども保存されていたとされる。発表ではUSBのファイルはパスワードをかけて暗号化処理されていたことから、23日11時時点では漏えいは確認されていないとされている（神戸新聞NEXT、NHK、日経新聞、TBS NEWS DIG）。

ところが尼崎市による記者会見の際、USBメモリに設定されたパスワードの桁数に関して職員がバラしてしまうという大失敗を犯している。ネット上ではその公開された桁数を元に、地名や日付を組み合わせてパスワードを推測する行為などもおこなわれていたようだ（ITmedia）。

この騒動に合わせて、「尼崎のUSB」なるものがメルカリに出品されていたことも報じられている。おそらくイタズラだと思われるが商品の説明では、

先日から尼崎で使用しているUSBメモリです。パスワードを書けたまま忘れてしまい、中を開くことができないのでお譲りします。諸事情により、中のデータはそのままで出品いたしますので、新しく使用したい場合は、お手数ですがそちらで初期化の手順を踏んでください。

といった内容が書かれていた。価格は尼崎市の人口に合わせて45万2600円に設定されていた。なおこの出品は現在削除されているとのこと（FNNプライムオンライン[動画]）。この出品物に関しては、尼崎側が偽物であると判定したとのこと。なお紛失した従業員は当日、居酒屋で酒を飲み泥酔、午後10時半に店を出ると、午前3時ごろまで路上に寝ていたことが新たに報じられている（FNNプライムオンライン）。

追記：尼崎市は24日、紛失したとされていた市はUSBメモリーが発見されたと発表した。市は委託業者から電話連絡があり、鞄とともに発見されたとしている。発見された経緯などについては不明（読売テレビニュース、Yahoo!ニュース）。

すべて読む | セキュリティセクション | セキュリティ | 政府 | 情報漏洩 | プライバシ |

関連ストーリー：
岩手・釜石市で市民約３万人分全員の個人情報が漏えい 2022年05月30日
情報処理推進機構、中小企業ECサイトの脆弱性診断を無償で実施 2022年03月17日
セキュリティ企業ラック、元従業員がフリマで売却した私物HDD内に取引先情報が 2022年01月19日

すべて読む | YROセクション | 犯罪 | プライバシ |

関連ストーリー：
官報に掲載された破産者情報をGoogleマップ上にマッピングするサイトが登場し議論になる 2019年03月18日

すべて読む | YROセクション | 英国 | YRO | 政治 | 政府 | プライバシ |

関連ストーリー：
Mozilla 曰く、最もプライベートでセキュアなメジャーブラウザーは Firefox 2022年06月18日
EU離脱のイギリス、度量衡もポンドやオンスに戻す？ 2022年06月02日
Microsoft Edge は毎回起動時に Chrome からデータをインポートしたい 2022年06月02日
DuckDuckGo、Microsoft へのトラッキング許可発覚を受けてアプリの説明を更新 2022年05月29日
パッチを当てずにランサムウェア被害にあった英法律事務所、情報保護当局から罰金を命じられる 2022年03月18日
フランスのデータ保護当局、Google Analytics が GDPR に違反すると判断 2022年02月13日
Meta、EU 域でサービス提供できなくなる可能性を示唆 2022年02月08日
GPUの製造時のバラツキを使って個人を追跡する技術 2022年02月03日
Google、FLoCに変わる追跡技術「Topics」を発表 2022年01月28日
Google Analytics、EU 域内で使用できなくなる可能性 2022年01月17日
フランスのデータ保護当局、cookie 拒否の操作が許可の操作よりも複雑だとして Google と Facebook に制裁金 2022年01月09日
英最高裁、Safari のプライバシー設定を迂回してユーザーを追跡していた Google に対する代表訴訟を棄却 2021年11月14日
英情報コミッショナー事務局、ユーザーの意図に反した追跡を損害と認めなければデータ侵害を取り締まれなくなると示唆 2021年05月04日
欧州司法裁判所、EU・米国間のデータ共有協定取り下げを決定。米国企業に影響か 2020年07月20日
英ISP協会、Mozillaを「インターネットの悪漢」にノミネート 2019年07月07日
EUの一般データ保護規則、今月下旬にスタート 2018年05月11日
田舎のブロードバンドやモバイル接続環境を改善するため、英国政府と英国国教会が提携 2018年02月23日
英国務大臣、自身の名前を冠したアプリをリリース 2018年02月04日
欧州委員会、米企業が米国外に保存したデータに対する米捜査令状の有効性をめぐる米国での裁判に法廷助言書 2017年12月10日
米控訴裁判所、米国の捜査令状では米企業が米国外のサーバーに保存したデータの開示を要求できないとの判断 2016年07月16日

予想通りというか、なんというか、ご愁傷様です。

すべて読む | アップルセクション | 犯罪 | アップル | プライバシ |

関連ストーリー：
AirTag の幽霊、iPhone ユーザーを悩ませる 2022年05月09日
AirTag によるストーキング被害、通知機能で追跡に気付いたケースは 3 分の 1 2022年04月09日
無断で他人を追跡する行為は犯罪だという AirTag 初回設定時の警告表示、犯罪者にも効果があるか 2022年02月12日
スピーカーを無効化した AirTag、オンラインマーケットプレース出品で注目される 2022年02月06日
米軍関係者、雑な引っ越し業者対策にAirTagを活用 2022年02月01日
Apple、AirTag を悪用したストーキングへの対策などを含む安全ガイドを公開 2022年01月29日

Googleフォトのフェイスグルーピング機能をめぐり米イリノイ州で提起されたクラスアクション訴訟で、Google が 1 億ドルを支払うことに合意したそうだ (訴訟特設サイト、 The Verge の記事、 9to5Google の記事、 Gizmodo の記事)。

イリノイ州では生体識別情報のプライバシー保護を定める法律 Biometric Information Privacy Act により、生体識別情報を収集する場合は保持期間等を定めるポリシーの公開や、対象者への事前の告知などが必要になる。フェイスグルーピング機能は写真に写っている顔を検出して同一人物のものである顔を含む写真をグループ化するというものだが、法律の規定に従っていなかったため、州内のユーザーが州裁判所にクラスアクション訴訟を提起していた(PDF)。

クラスメンバーとなるのは 2015 年 5 月 1 日から2022 年 4 月 25 日までの間に顔が写った写真が Google フォトに保存されていたことがあるイリノイ州の住人だ。該当者は訴訟サイトで 9 月 24 日までに請求フォームを送信すれば和解金を受け取ることができる。和解金額は請求者数によって変動するが、およそ 200 ドルから 400 ドル程度になると見込まれている(PDF)。

なお、Google フォトヘルプには最近「フェイスグルーピングの保持ポリシー」が追加されており、英語版が追加されたのがクラス対象期間最終日の 4 月 25 日のようだ。

すべて読む | ITセクション | Google | YRO | 法廷 | アメリカ合衆国 | お金 | プライバシ |

関連ストーリー：
英最高裁、Safari のプライバシー設定を迂回してユーザーを追跡していた Google に対する代表訴訟を棄却 2021年11月14日
Chromeウェブストア、新Microsoft EdgeユーザーにGoogle Chromeを推奨するのをやめていた 2020年03月13日
Googleと米当局、YouTubeでの子供の情報収集問題について1億7千万ドルの制裁金支払いで和解 2019年09月06日
GAFAは独占禁止法訴訟対策をMicrosoftから学ぶべき 2019年06月28日
GoogleとAmazon、STBを巡る争いで和解 2019年04月23日
EU、Google、Apple、Facebook、Amazonの4社に特別税を課す方針を決める 2018年03月09日
企業秘密盗用をめぐるWaymoとUberの訴訟、和解に達する 2018年02月11日