Twitter サークルで共有したツイートがサークル外のユーザーにも見えてしまう問題について、Twitter がセキュリティインシデント発生を認めたそうだ (The Guardian の記事、 Neowin の記事、 BetaNews の記事、 Ghacks の記事)。

Twitter サークルはユーザーが指定したメンバーに限ってツイートを送信し、返信や反応を示すことを可能にする機能だが、4 月にサークル外のユーザーのタイムラインに表示されるといった問題が報告されていた。

Twitter は影響を受けたユーザーに電子メールで連絡を開始しており、サークルを指定して送信したツイートがサークル外ユーザーにも見えてしまう問題をセキュリティチームが確認し、すぐに修正を行ったと説明しているそうだ。これにより、サークルを指定したツイートがサークル外から見えてしまう問題は解消したという。

Twitter ではサービス利用者のプライバシー保護に努めていると述べ、このような問題が発生することによるリスクを理解しているとして遺憾の意を示したとのことだ。

すべて読む | セキュリティセクション | セキュリティ | YRO | Twitter | バグ | プライバシ |

関連ストーリー：
Twitter、今度は非公開ツイートをおすすめツイートとして公開 2023年04月13日

すべて読む | ITセクション | YRO | インターネット | プライバシ |

関連ストーリー：
暗号メールサービス ProtonMail、IP アドレスのログを保存しないとの記述を公式サイトトップページから削除 2021年09月11日
保存されないはずの無料VPNアプリの個人情報が流出。被害者は2000万人以上におよぶ可能性 2020年07月21日
Webサイトブロッキングに反対するスウェーデンのISP、Webサイトブロッキングで当局の調査対象に 2018年12月31日
一切のログを記録しないとするVPNサービスがFBIに提出したログとは？ 2017年10月18日

すべて読む | YROセクション | YRO | プライバシ |

関連ストーリー：
ケニアの裁判所、ケニア国内で Meta を訴えることが可能と判断 2023年02月09日
OpenAI、テキストを書いたのが AI か人間かを区別するよう学習させた分類ツールを公開 2023年02月03日
ChatGPT 開発の背後にはケニアの労働者による人力作業 2023年01月22日
Tesla、Autopilot時のドライバー監視に車内カメラの使用を開始 2021年05月30日
Tesla、ソフトウェアアップデートで速度標識認識機能や青信号通知機能を追加 2020年09月01日
カメラやセンサーを騙すことでTeslaのAutopilotを混乱させる攻撃 2019年04月05日
Tesla、駐車中の車内に犬だけを待たせておいても安心な「犬モード」を発表 2019年02月16日
米Tesla Motors、今後全車種に完全自動運転装置を搭載すると発表 2016年10月26日

Forbes が入手した捜査令状によれば、昨年米麻薬取締局 (DEA) が麻薬密造業者あてとみられる荷物の追跡に AirTag を使用していたそうだ (Forbes の記事、 9to5Mac の記事、 Mac Rumors の記事)。

問題の荷物は中国・上海から送られた錠剤成型機と錠剤用の着色料だという。昨年 5 月、受取人を麻薬密造業者ではないかと疑った税関・国境警備局 (CBP) が通関を止め、DEA に連絡したようだ。連絡を受けた DEA では輸入を差し止めず、AirTag で追跡することにしたとのこと。捜査機関が通常使用する GPS 追跡装置ではなく AirTag を選んだ理由は不明だが、密造業者が薬物やその売り上げを保管する場所や取引する場所を正確に知ることができるなどと説明されているそうだ。最近退職した元刑事は Forbes に対し、捜査機関が使用する GPS デバイスは必ず動作するとは限らず、追跡装置の回避に優れた容疑者はかさばるデバイスを容易に発見するなどと述べ、AirTagは見つかりにくく接続の信頼性も高いように見えるとの見解を示している。

ただし、昨年 5 月といえば相次ぐ悪用を受けてAppleがAirTagを見つけやすくする対策を開始して数か月経過した時期であり、追跡に敏感な犯罪者に見つからない可能性は低いとみられる。この点を Forbes も認識しており、DEA が何らかの改造を AirTag に施して使用した可能性を示唆する弁護士のコメントを紹介している。AirTag による追跡が実際の役に立ったのかどうかは明らかでなく、錠剤成型機の受取人は連邦裁判所で起訴されていないが、法務省によれば州で起訴されているとのことだ。

すべて読む | アップルセクション | 犯罪 | アップル | プライバシ |

関連ストーリー：
米クラスアクション訴訟、AirTag によるストーカー被害の責任を Apple に問う 2022年12月11日
AirTagの不正改造で全国初の摘発。オークションなどで販売 2022年12月03日
AirTag の機内使用についてルフトハンザ航空が混乱する 2022年10月13日
AirTag によるストーキング被害、通知機能で追跡に気付いたケースは 3 分の 1 2022年04月09日
無断で他人を追跡する行為は犯罪だという AirTag 初回設定時の警告表示、犯罪者にも効果があるか 2022年02月12日
Apple、AirTag を悪用したストーキングへの対策などを含む安全ガイドを公開 2022年01月29日

オーストラリアでは政府支給スマートフォンでのTikTok使用禁止措置が省庁ごとに進められているが、専門家からは米国製アプリを含む他のソーシャルメディアアプリにも対象を拡大すべきとの意見が出ているそうだ (The Guardian の記事)。

The Canberra Times の記事によれば 140 近くある連邦政府機関のほぼ半数が政府所有デバイスでの TikTok 使用を禁じているという。アプリを禁止すべきという意見は TikTok に集中しているが、内務省ではサイバーセキュリティ大臣を兼任するクレア・オニール内務大臣の指示を受け、すべてのソーシャルメディアプラットフォームについてセキュリティリスクと政府における正しい利用法を評価しているそうだ。

政府支給端末でのソーシャルメディアアプリ利用について、専門家は TikTok が「悪」で米企業が「善」というような単純な分け方はできないと指摘する。Apple や Google ではアプリの取得できる個人情報を徐々に制限し、ユーザーによるコントロールを強めているが、位置情報を無効にしてもアップロードした写真から GPS データを取得できる。そのため、以前よりは改善されたとはいえ、問題が完全に解決したわけではないとのこと。また、別の専門家は私物デバイスから外部に送られる情報にも注意すべきだと述べている。

問題を根本的に解決するには1本のアプリを禁止するかどうかではなく、オーストラリア人のプライバシーとセキュリティを強化する必要がある。それにはより強力な個人情報保護法やプライバシー教育、エンドツーエンド暗号化の推奨、そして暗号化が小児性愛者だけのものだなどという馬鹿げた考えを終わらせる必要があるとのことだ。

すべて読む | セキュリティセクション | オーストラリア | セキュリティ | アメリカ合衆国 | 中国 | モバイル | ソフトウェア | YRO | 政治 | 政府 | プライバシ |

関連ストーリー：
TikTok、カナダも政府端末で使用を禁止に。日本国内でも使用禁止の件に言及 2023年03月02日
EU委員会、職員の公用携帯端末でTikTok使用禁止 2023年02月27日
AppleとGoogleにアプリストアから『TikTok』を削除するよう米上院議員が要請 2023年02月07日
TikTok運営会社の従業員、記者らの個人データに不正にアクセス 2022年12月27日

すべて読む | ITセクション | マイクロソフト | YRO | ソフトウェア | プライバシ |

関連ストーリー：
Microsoft、旧バージョン Office のユーザー数を特定する更新プログラムをリリース 2023年01月24日

インド政府は国産モバイル OS の開発計画を明らかにしているが、24 日に教育相および技術開発・起業促進相を務めるダルメンドラ・プラダン氏がデモを行ったそうだ (The Register の記事、 プラダン氏のツイート)。

インドの国産モバイル OS「BharOS (Bharat OS)」は JandK Operations Private Limited (JandKops) が開発したもので、プライバシーに配慮して作られており、市販のスマートフォンにインストールして使用できるという。「Bharat」はヒンディー語で「インド」を意味し、BharOS が提供するセキュアな環境はインド政府の「自立したインド (Atmanirbhar Bharat)」キャンペーンに大きく貢献するとのこと。

Linux カーネルがベースになっていると伝えられる以外、OS そのものに関する情報は少ないが、JandKops が公開しているスクリーンショットは Android に似ている。スクリーンショットではプライベートなアプリストアサービス (PASS) でインストールされたアプリとして、AOSP の Android Keyboard のほか、DuckDuckGo や Signal、Twitter などのアプリがリストアップされている。

すべて読む | モバイルセクション | モバイル | OS | 政治 | 携帯電話 | プライバシ |

関連ストーリー：
インド政府、国産モバイル OS 開発を模索 2022年01月30日
インドのLava Mobile、購入後1年間ハードウェアを有償アップグレード可能なスマートフォンを発表 2021年01月11日
インドで5000万台が販売されたというKaiOS搭載携帯電話 2020年01月29日

複数の米大学のメンバーによる研究グループがスマートフォンのモーションセンサーを用い、通話中のイヤースピーカーの振動から通話相手や内容を読み取る手法「EarSpy」の研究成果を発表している (論文アブストラクト、 HackRead の記事、 Android Police の記事)。

モーションセンサーは権限の明示的な許可を得ることなく利用できるため、さまざまなサイドチャネル攻撃手法の研究が行われている。出力の小さいイヤースピーカーの振動をモーションセンサーで読み取ることは難しいと考えられていたが、最近のステレオスピーカー搭載モデルでは イヤースピーカーを 2 つ目のラウドスピーカーと兼用できるようにしているものもある。実際にイヤースピーカーとして使用する時には出力を抑えることになるが、それでもステレオスピーカーを搭載しないモデルと比べて加速度計で読み取れる情報が多くなっているという。

研究グループでは一般公開されている発話データセットを用い、古典的な機械学習アルゴリズム、新たに開発した畳み込みニューラルネットワークに学習させて性別や話者、発話内容の検出を実行している。使用スマートフォンはいずれもステレオスピーカーを搭載する OnePlus 7T と OnePlus 9 の 2 機種だ。その結果、性別は最高 98.66 %、話者は最高 92.6 % の正確さで認識可能であり、発話内容 (0 ～ 9 の数字を英語で発音したもの) も最高 56.42 % の正確さで認識できたそうだ。Android 12 以降ではモーションセンサーのデータのリフレッシュレートがデフォルトで 200 Hz に制限されており、より高いリフレッシュレートでの読み取りには権限の許可を得る必要がある。しかし、制限された状態でも性別の検出は 90.97 % の正確さが得られたとのことだ。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | YRO | 携帯電話 | プライバシ |

関連ストーリー：
Bluetooth を搭載して音声通話を可能にした電話機型おもちゃ、盗聴可能な問題が見つかる 2021年12月28日
米国がドイツ首相らに対してスパイ活動疑惑。仏独首脳が米国らに説明を求める 2021年06月03日
Chromeがシークレットモードでも個人情報を収集したとして集団訴訟へ。成立すれば5000億円規模の賠償の可能性も 2021年03月17日
旧ソ連のスパイグッズが競売にかけられる。現代のロシアでも形を変えて 2021年02月20日
ソニー、PS5のボイスチャット録音機能を「盗聴ではない」と説明するも米国の一部州で違法との指摘も 2020年10月20日
iPhone 7/7 Plus分解リポート、ヘッドフォンジャックの跡地にあるものは？ 2016年09月19日

すべて読む | YROセクション | セキュリティ | 政治 | プライバシ |

関連ストーリー：
英情報通信庁曰く、成人向けビデオ共有プラットフォームは子供を有害コンテンツから守る対策が不十分 2022年10月25日
米ニューヨーク州農業・市場局、缶入りホイップクリーム販売に年齢確認が不要なことを明確化 2022年09月04日
Instagram、16 歳未満のユーザーに対する不適切なコンテンツの表示制限を強化 2022年08月28日
Instagram、セルフィ―動画を使用した年齢確認を米国でテスト 2022年06月26日
英国でポルノサイトに年齢確認義務付ける計画、再び 2022年02月10日
Siri は生年月日から年齢を正しく計算できない？ 2022年01月30日
英国、オンラインでの子供のプライバシー保護を目的とする法律が施行 2021年09月05日
Instagram、ユーザーに生年月日入力を義務付けへ 2021年09月01日
App Store での成人向けアプリインストール、14 歳として登録された Apple ID でもブロックされない 2021年08月29日
Tencent、中国向けモバイルゲームで顔認識技術を用いた未成年者のプレイ時間制限を正式に開始 2021年07月11日
LINEの年齢認証、楽天モバイル回線や一部MVNOが対応 2021年03月22日

すべて読む | セキュリティセクション | セキュリティ | 中国 | プライバシ |

関連ストーリー：
米国、政府支給端末でのTikTok禁止法案、上院が全会一致で可決 2022年12月20日
英 GCHQ 長官曰く、子供たちが TikTok を使うのは問題ない 2022年10月15日
TikTokの内蔵ブラウザーがキー入力を監視と報道。TikTok側は障害調査用だと否定 2022年08月25日
窒息時間を競う「失神チャレンジ」に挑戦して亡くなった遺族がTikTokを訴える 2022年07月06日

すべて読む | YROセクション | YRO | 法廷 | 論説 | プライバシ |

関連ストーリー：
FC2で無修正売った男性、刑法175条1項の違憲性を問う 2022年09月20日
OMECO社、商標法4条1項7号の違憲性を問う 2022年09月09日
ネット上の武器の作り方情報に規制を、参議院議員がテレビ番組で 2022年07月15日
Wikimedia Foundation、ロシアでWikipedia記事を虚偽情報とする判決に上訴 2022年06月16日
「タヒね」は表現の自由の範囲内。弁護士の懲戒処分取り消し 2022年05月26日

すべて読む | YROセクション | セキュリティ | 携帯電話 | プライバシ |

関連ストーリー：
Twilioのフィッシング攻撃者、Signal ユーザー 1,900 人分の電話番号を取得した可能性 2022年08月19日
サンドラッグで不正アクセス。計1万9057件の個人情報が流出した可能性 2022年07月14日
読売新聞オンラインへの不正アクセス、流出した可能性の高い個人情報は 2,070 件 2022年07月09日
着信転送サービスを悪用した WhatsApp アカウント乗っ取り、日本では大丈夫か 2022年06月05日
WhatsApp、米政府の命令で中国とマカオのユーザーを追跡していた 2022年01月22日
LINE Pay、国内外13万人分のキャンペーン参加情報を誤ってGitHubにアップロード 2021年12月07日
Facebook、過去に流出した世界5億3300万人の個人情報が閲覧可能に。日本からも42万8625人 2021年04月07日
ソフトバンクで6347人の顧客情報流出。ドコモ口座事件などに悪用される 2021年03月04日
PayPay、ブラジルから不正アクセス。加盟店の情報が最大2007万件流出した可能性 2020年12月08日
エクアドルで大規模個人情報流出、流出件数は人口を超える。パスワード未設定で運用したElasticsearchが原因か 2019年09月19日

すべて読む | アップルセクション | YRO | アップル | iOS | プライバシ |

関連ストーリー：
Appleがユーザーの合意なくアプリ内での行動を追跡したと主張する米クラスアクション訴訟 2022年11月16日
Apple、App Storeでの広告表示を増やす計画 2022年10月27日
ドイツ連邦カルテル庁、アプリのユーザートラッキングルールに関する反競争行為で Apple を調査 2022年06月18日
Apple、やっぱりApp Storeの検索結果で自社アプリを優遇か？ 2021年06月14日
FacebookアプリとInstagramアプリ、iOS 14.5でユーザートラッキング許可を求める理由の表示を開始 2021年05月04日
Apple、iOS/iPadOSアプリが金銭的インセンティブと引き換えにユーザートラッキング許可を求めることを禁止 2021年04月28日
チャット/メッセージングアプリのリンクプレビュー機能に潜む問題 2020年10月30日
AppleがiOS版WordPressアプリに課金オプション追加を要求、その理由は？ 2020年08月23日
Windows版 iCloud アプリで動画が破損するとの報告 2022年11月25日

すべて読む | YROセクション | YRO | 政府 | プライバシ |

関連ストーリー：
電子インボイスの明日はどっちだ 2022年06月29日
インボイス登録で実名が公表される 2022年06月16日
参議院選挙出馬予定の漫画家赤松氏、ヒットアニメの税還付公約 2022年05月23日
クラウド業務サポートのfreeeがAmazonビジネスと購買明細APIで連携。日本では初 2022年01月28日
政府、個人事業主に識別番号を割り振る方針 2021年04月07日

Google Chrome や Microsoft Edge の高度なスペルチェック機能を利用すると、ウェブサイトによっては個人を特定可能な情報 (PII) が Google や Microsoft に送られるほか、パスワードが送られてしまうこともあると報告されている (otto のブログ記事、 BleepingComputer の記事、 BetaNews の記事、 Ghacks の記事)。

Chromeの高度なスペルチェック機能は設定画面の「言語」でスペルチェックを有効にし、「拡張スペルチェック」を選択すれば利用できる。Edgeの方は拡張機能「Microsoft エディター」をインストールし、設定画面の「言語」に追加される文書作成支援機能の使用を有効にして「Microsoft エディター」を選択すればいい。ただし、環境によっては拡張機能をインストールしていなくても設定画面に表示されることがあるようだ。

Chrome ヘルプでは拡張スペルチェック有効時に入力したテキストが Google に送信されると明記されており、意図したとおりの動作ではある。ただし、ウェブページ側で制限しなければログイン画面やサインアップ画面に入力した PII なども送信されてしまう。また、パスワード入力フィールドで入力済みパスワードを表示する機能を使用すると、パスワードが送信されるという。

高度なスペルチェック機能を利用しつつ問題を避けるには、送信されたくない情報を含むフィールドに「spellcheck = "false"」属性を付加すればいいとのことだ。

すべて読む | ITセクション | Chrome | Google | マイクロソフト | YRO | インターネット | プライバシ |

関連ストーリー：
Slack、招待リンクを作成・破棄したユーザーのパスワードハッシュを他のメンバーに送信していた 2022年08月13日
IIJが受信もPPAP廃止へ、社外から届くパスワード付きZIPファイルはメール本文のみ受信 2021年11月19日
日立グループ、2021年12月13日以降すべての送受信メールでPPAP利用廃止 2021年10月18日
原子力規制委、PPAPシステムの不具合でメールアドレス76件を漏洩 2021年06月25日
マルウェアEmotetに盗み出された400万件以上の認証情報、Have I been pwned?で確認可能に 2021年05月01日
WindowsのデスクトップテーマファイルでWindowsの認証情報を盗み取れる可能性 2020年09月09日
Firefox 77ではテキスト入力フィールドにmaxlengthを超える文字列を貼り付けた時に自動で切り詰められなくなる 2020年05月21日