すべて読む | セキュリティセクション | セキュリティ | 政治 | 情報漏洩 | プライバシ |

関連ストーリー：
旧ソ連のスパイグッズが競売にかけられる。現代のロシアでも形を変えて 2021年02月20日
中国で盗聴器入りのモバイルバッテリーを販売していた業者が摘発される 2021年02月04日
リンク切断時間5秒でLANケーブルにパケット盗聴器を接続する手法 2020年04月14日
ドイツ連邦ネットワーク庁、リモートから周囲の音を聞くことのできる子供向けスマートウォッチを禁止 2017年11月19日

インテリジェンスデザイン株式会社は渋谷駅周辺に100台のAIカメラを設置してリアルタイムで人流データを取得・解析するプロジェクトを発表しているが、そのホームページで紹介されている事例が「ヤバい」と評判になっている。

「オフライン顧客の見える化」として紹介されているのが「性別・年代・同席者の性別・年代・着用している衣服のブランド・渋谷までの交通機関・昼食を取った場所・移動ルート・今月何回目の渋谷訪問か・前回の訪問日時・今年何度目の渋谷訪問か・商業ビルへの来店回数・前回の買い物履歴」などという実に生々しいもの。

「通年の行動データがリアルタイムで蓄積」とうたわれているだけあり、渋谷の公道を移動してるだけでこれだけの粒度で個人情報が保存されて前回訪問や同行者もデータ化されるというのは恐ろしい。

なおこの記述は高木弘光氏が
https://twitter.com/HiromitsuTakagi/status/1697213910267642105
と、問題視したことを受けたのか

https://idea.i-d.ai/shibuya-project/
「当サイト内にて誤解を招く表現がある箇所について内容を一部修正致しました。」と削除されている。

過去のヤバイ記述はこちら。
https://web.archive.org/web/20230804024613/https://idea.i-d.ai/shibuya-project/

ニュースとして報道されたときにはイベント警備の問題解決が主目的のように報じられていたが、詳細な通行人のデータを企業に売ることが目的だったとはビックリだ。
https://www.excite.co.jp/news/article/Techable_210770/
「渋谷駅周辺にAIカメラ100台設置！人流データを解析し、イベント混雑時の警備問題の解決へ」

すべて読む | セキュリティセクション | セキュリティ | 統計 | プライバシ |

関連ストーリー：
Twitter、電話番号や電子メールアドレスに関連付けられたアカウントが収集されていたことを認める 2022年08月12日
JR東日本、Suicaユーザーの利用データの販売へ。乗降車駅などの情報 2022年01月21日
機械学習を用い、犯罪者を顔写真から高い確率で識別できたとの研究結果 2016年11月27日

米政府機関が請負業者 Riva Networks を通じてイスラエル・NSO Group のスパイウェアを使用していると The New York Times が 4 月に報じた件について、連邦捜査局 (FBI) が具体的な政府機関名を調べたところ、少なくとも一部は FBI であることが判明したそうだ (The New York Times の記事、 Neowin の記事)。

問題の契約で Riva Networks が FBI に提供していた NSO 製品は Pegasus のように高度なスパイウェアではなく、基地局の情報からターゲットの位置を追跡する Landmark と呼ばれるもので、メキシコで密輸の容疑者などを追跡するのに使用していたという。FBI では 2021 年から NSO 製品が使用できないと業者に伝えていたが、Riva Networks は自社製品を使用するかのようなミスリーディングな説明をしていたそうだ。

米商務省産業安全保障局 (BIS) は 2021 年 11 月、NSO Group を輸出制限の対象となるエンティティリストに追加した。今年 3 月にはジョー・バイデン米大統領が商用スパイウェアの使用を政府機関に禁ずる大統領令に署名している。FBI では地理的位置情報を取得する Landmark のようなツールをスパイウェアとは見なしていないが、NSO Group の製品が使用できないことに変わりない。そのため、FBI では Landmark 使用が明らかになった時点で Riva Networks との契約を打ち切ったとのことだ。

すべて読む | YROセクション | セキュリティ | 政治 | アメリカ合衆国 | 政府 | プライバシ |

関連ストーリー：
The Citizen Lab、英政府ネットワークがスパイウェア「Pegasus」に感染と指摘 2022年04月21日
Apple、イスラエルのNSO Groupを提訴。スパイウェア「Pegasus」開発 2021年11月26日
LINEで台湾要人約100人の個人情報がハッキングにより流出、国内では握手会動画が中国に流出 2021年07月30日
NSO Group のスパイウェアがジャーナリスト監視に使われていた問題で、iOS のセキュリティがイメージほど高くないことにも注目が集まる 2021年07月23日
欧州の当局がテロ容疑者追跡にスパイウェアを使用、WhatsAppがこれを警告するメッセージを出す 2020年01月11日
各国政府機関が愛用するスマートフォン用スパイウェア、クラウドのデータも取得可能に 2019年07月21日

すべて読む | セキュリティセクション | アップグレード | セキュリティ | YRO | ソフトウェア | Android | プライバシ |

関連ストーリー：
盗まれたバイクの場所をAirTagで特定したが、取り戻すことのできない米シカゴのバイクオーナー 2023年07月27日
米ニューヨーク市警、自動車の窃盗対策に AirTag を推奨 2023年05月04日
置き配の荷物を複数盗まれた被害者、AirTag入りの「おとり荷物」で容疑者を追跡 2023年04月21日
米捜査当局も犯罪者追跡に AirTag を活用か 2023年03月27日
米クラスアクション訴訟、AirTag によるストーカー被害の責任を Apple に問う 2022年12月11日
AirTagの不正改造で全国初の摘発。オークションなどで販売 2022年12月03日
Appleの「AirTag」が警察の捜査車両に取り付けられる 2022年07月07日
米国でAirTagを悪用した殺人事件 2022年06月17日
AirTag の幽霊、iPhone ユーザーを悩ませる 2022年05月09日
AirTag によるストーキング被害、通知機能で追跡に気付いたケースは 3 分の 1 2022年04月09日
Apple によるストーキング防止策をバイパス可能な AirTag クローン 2022年02月24日
無断で他人を追跡する行為は犯罪だという AirTag 初回設定時の警告表示、犯罪者にも効果があるか 2022年02月12日
スピーカーを無効化した AirTag、オンラインマーケットプレース出品で注目される 2022年02月06日
Apple、AirTag を悪用したストーキングへの対策などを含む安全ガイドを公開 2022年01月29日
Airtagの悪用が止まらない 2022年01月26日
Apple、持ち主から離れた場所にある AirTag を Android で検出可能なアプリを公開 2021年12月16日

すべて読む | ITセクション | YRO | ソフトウェア | インターネット | プライバシ |

関連ストーリー：
ウェブ検索結果の AI によるまとめ、役に立ってる？ 2023年03月12日
電子メールユーザーを追跡から守る DuckDuckGo Email Protection 2022年08月30日
DuckDuckGoブラウザーと拡張機能、Microsoftのサードパーティートラッカーをブロックへ 2022年08月06日
DuckDuckGo、Microsoft へのトラッキング許可発覚を受けてアプリの説明を更新 2022年05月29日
DuckDuckGo CEO、youtube-dl.org をインデックスから削除していないと主張 2022年04月21日
DuckDuckGo、youtube-dl 公式サイトが検索できなくなる 2022年04月16日
DuckDuckGo、Mac用デスクトップブラウザのBeta版をテスト中 2022年04月13日

すべて読む | セキュリティセクション | モバイル | セキュリティ | YRO | 携帯電話 | 携帯通信 | プライバシ |

関連ストーリー：
SMSを悪用したスミッシング被害増加中。一方で攻撃者のレベルは低下か 2022年06月16日
SIMカードの脆弱性を悪用する攻撃「Simjacker」 2019年09月15日
Twitter、CEOのアカウントが再びハックされる 2019年09月01日
Reddit従業員のアカウントが奪取されデータ漏えい。SMSを使った2要素認証が突破される 2018年08月03日

Twitter サークルで共有したツイートがサークル外のユーザーにも見えてしまう問題について、Twitter がセキュリティインシデント発生を認めたそうだ (The Guardian の記事、 Neowin の記事、 BetaNews の記事、 Ghacks の記事)。

Twitter サークルはユーザーが指定したメンバーに限ってツイートを送信し、返信や反応を示すことを可能にする機能だが、4 月にサークル外のユーザーのタイムラインに表示されるといった問題が報告されていた。

Twitter は影響を受けたユーザーに電子メールで連絡を開始しており、サークルを指定して送信したツイートがサークル外ユーザーにも見えてしまう問題をセキュリティチームが確認し、すぐに修正を行ったと説明しているそうだ。これにより、サークルを指定したツイートがサークル外から見えてしまう問題は解消したという。

Twitter ではサービス利用者のプライバシー保護に努めていると述べ、このような問題が発生することによるリスクを理解しているとして遺憾の意を示したとのことだ。

すべて読む | セキュリティセクション | セキュリティ | YRO | Twitter | バグ | プライバシ |

関連ストーリー：
Twitter、今度は非公開ツイートをおすすめツイートとして公開 2023年04月13日

すべて読む | ITセクション | YRO | インターネット | プライバシ |

関連ストーリー：
暗号メールサービス ProtonMail、IP アドレスのログを保存しないとの記述を公式サイトトップページから削除 2021年09月11日
保存されないはずの無料VPNアプリの個人情報が流出。被害者は2000万人以上におよぶ可能性 2020年07月21日
Webサイトブロッキングに反対するスウェーデンのISP、Webサイトブロッキングで当局の調査対象に 2018年12月31日
一切のログを記録しないとするVPNサービスがFBIに提出したログとは？ 2017年10月18日

すべて読む | YROセクション | YRO | プライバシ |

関連ストーリー：
ケニアの裁判所、ケニア国内で Meta を訴えることが可能と判断 2023年02月09日
OpenAI、テキストを書いたのが AI か人間かを区別するよう学習させた分類ツールを公開 2023年02月03日
ChatGPT 開発の背後にはケニアの労働者による人力作業 2023年01月22日
Tesla、Autopilot時のドライバー監視に車内カメラの使用を開始 2021年05月30日
Tesla、ソフトウェアアップデートで速度標識認識機能や青信号通知機能を追加 2020年09月01日
カメラやセンサーを騙すことでTeslaのAutopilotを混乱させる攻撃 2019年04月05日
Tesla、駐車中の車内に犬だけを待たせておいても安心な「犬モード」を発表 2019年02月16日
米Tesla Motors、今後全車種に完全自動運転装置を搭載すると発表 2016年10月26日

Forbes が入手した捜査令状によれば、昨年米麻薬取締局 (DEA) が麻薬密造業者あてとみられる荷物の追跡に AirTag を使用していたそうだ (Forbes の記事、 9to5Mac の記事、 Mac Rumors の記事)。

問題の荷物は中国・上海から送られた錠剤成型機と錠剤用の着色料だという。昨年 5 月、受取人を麻薬密造業者ではないかと疑った税関・国境警備局 (CBP) が通関を止め、DEA に連絡したようだ。連絡を受けた DEA では輸入を差し止めず、AirTag で追跡することにしたとのこと。捜査機関が通常使用する GPS 追跡装置ではなく AirTag を選んだ理由は不明だが、密造業者が薬物やその売り上げを保管する場所や取引する場所を正確に知ることができるなどと説明されているそうだ。最近退職した元刑事は Forbes に対し、捜査機関が使用する GPS デバイスは必ず動作するとは限らず、追跡装置の回避に優れた容疑者はかさばるデバイスを容易に発見するなどと述べ、AirTagは見つかりにくく接続の信頼性も高いように見えるとの見解を示している。

ただし、昨年 5 月といえば相次ぐ悪用を受けてAppleがAirTagを見つけやすくする対策を開始して数か月経過した時期であり、追跡に敏感な犯罪者に見つからない可能性は低いとみられる。この点を Forbes も認識しており、DEA が何らかの改造を AirTag に施して使用した可能性を示唆する弁護士のコメントを紹介している。AirTag による追跡が実際の役に立ったのかどうかは明らかでなく、錠剤成型機の受取人は連邦裁判所で起訴されていないが、法務省によれば州で起訴されているとのことだ。

すべて読む | アップルセクション | 犯罪 | アップル | プライバシ |

関連ストーリー：
米クラスアクション訴訟、AirTag によるストーカー被害の責任を Apple に問う 2022年12月11日
AirTagの不正改造で全国初の摘発。オークションなどで販売 2022年12月03日
AirTag の機内使用についてルフトハンザ航空が混乱する 2022年10月13日
AirTag によるストーキング被害、通知機能で追跡に気付いたケースは 3 分の 1 2022年04月09日
無断で他人を追跡する行為は犯罪だという AirTag 初回設定時の警告表示、犯罪者にも効果があるか 2022年02月12日
Apple、AirTag を悪用したストーキングへの対策などを含む安全ガイドを公開 2022年01月29日

オーストラリアでは政府支給スマートフォンでのTikTok使用禁止措置が省庁ごとに進められているが、専門家からは米国製アプリを含む他のソーシャルメディアアプリにも対象を拡大すべきとの意見が出ているそうだ (The Guardian の記事)。

The Canberra Times の記事によれば 140 近くある連邦政府機関のほぼ半数が政府所有デバイスでの TikTok 使用を禁じているという。アプリを禁止すべきという意見は TikTok に集中しているが、内務省ではサイバーセキュリティ大臣を兼任するクレア・オニール内務大臣の指示を受け、すべてのソーシャルメディアプラットフォームについてセキュリティリスクと政府における正しい利用法を評価しているそうだ。

政府支給端末でのソーシャルメディアアプリ利用について、専門家は TikTok が「悪」で米企業が「善」というような単純な分け方はできないと指摘する。Apple や Google ではアプリの取得できる個人情報を徐々に制限し、ユーザーによるコントロールを強めているが、位置情報を無効にしてもアップロードした写真から GPS データを取得できる。そのため、以前よりは改善されたとはいえ、問題が完全に解決したわけではないとのこと。また、別の専門家は私物デバイスから外部に送られる情報にも注意すべきだと述べている。

問題を根本的に解決するには1本のアプリを禁止するかどうかではなく、オーストラリア人のプライバシーとセキュリティを強化する必要がある。それにはより強力な個人情報保護法やプライバシー教育、エンドツーエンド暗号化の推奨、そして暗号化が小児性愛者だけのものだなどという馬鹿げた考えを終わらせる必要があるとのことだ。

すべて読む | セキュリティセクション | オーストラリア | セキュリティ | アメリカ合衆国 | 中国 | モバイル | ソフトウェア | YRO | 政治 | 政府 | プライバシ |

関連ストーリー：
TikTok、カナダも政府端末で使用を禁止に。日本国内でも使用禁止の件に言及 2023年03月02日
EU委員会、職員の公用携帯端末でTikTok使用禁止 2023年02月27日
AppleとGoogleにアプリストアから『TikTok』を削除するよう米上院議員が要請 2023年02月07日
TikTok運営会社の従業員、記者らの個人データに不正にアクセス 2022年12月27日

すべて読む | ITセクション | マイクロソフト | YRO | ソフトウェア | プライバシ |

関連ストーリー：
Microsoft、旧バージョン Office のユーザー数を特定する更新プログラムをリリース 2023年01月24日

インド政府は国産モバイル OS の開発計画を明らかにしているが、24 日に教育相および技術開発・起業促進相を務めるダルメンドラ・プラダン氏がデモを行ったそうだ (The Register の記事、 プラダン氏のツイート)。

インドの国産モバイル OS「BharOS (Bharat OS)」は JandK Operations Private Limited (JandKops) が開発したもので、プライバシーに配慮して作られており、市販のスマートフォンにインストールして使用できるという。「Bharat」はヒンディー語で「インド」を意味し、BharOS が提供するセキュアな環境はインド政府の「自立したインド (Atmanirbhar Bharat)」キャンペーンに大きく貢献するとのこと。

Linux カーネルがベースになっていると伝えられる以外、OS そのものに関する情報は少ないが、JandKops が公開しているスクリーンショットは Android に似ている。スクリーンショットではプライベートなアプリストアサービス (PASS) でインストールされたアプリとして、AOSP の Android Keyboard のほか、DuckDuckGo や Signal、Twitter などのアプリがリストアップされている。

すべて読む | モバイルセクション | モバイル | OS | 政治 | 携帯電話 | プライバシ |

関連ストーリー：
インド政府、国産モバイル OS 開発を模索 2022年01月30日
インドのLava Mobile、購入後1年間ハードウェアを有償アップグレード可能なスマートフォンを発表 2021年01月11日
インドで5000万台が販売されたというKaiOS搭載携帯電話 2020年01月29日

複数の米大学のメンバーによる研究グループがスマートフォンのモーションセンサーを用い、通話中のイヤースピーカーの振動から通話相手や内容を読み取る手法「EarSpy」の研究成果を発表している (論文アブストラクト、 HackRead の記事、 Android Police の記事)。

モーションセンサーは権限の明示的な許可を得ることなく利用できるため、さまざまなサイドチャネル攻撃手法の研究が行われている。出力の小さいイヤースピーカーの振動をモーションセンサーで読み取ることは難しいと考えられていたが、最近のステレオスピーカー搭載モデルでは イヤースピーカーを 2 つ目のラウドスピーカーと兼用できるようにしているものもある。実際にイヤースピーカーとして使用する時には出力を抑えることになるが、それでもステレオスピーカーを搭載しないモデルと比べて加速度計で読み取れる情報が多くなっているという。

研究グループでは一般公開されている発話データセットを用い、古典的な機械学習アルゴリズム、新たに開発した畳み込みニューラルネットワークに学習させて性別や話者、発話内容の検出を実行している。使用スマートフォンはいずれもステレオスピーカーを搭載する OnePlus 7T と OnePlus 9 の 2 機種だ。その結果、性別は最高 98.66 %、話者は最高 92.6 % の正確さで認識可能であり、発話内容 (0 ～ 9 の数字を英語で発音したもの) も最高 56.42 % の正確さで認識できたそうだ。Android 12 以降ではモーションセンサーのデータのリフレッシュレートがデフォルトで 200 Hz に制限されており、より高いリフレッシュレートでの読み取りには権限の許可を得る必要がある。しかし、制限された状態でも性別の検出は 90.97 % の正確さが得られたとのことだ。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | YRO | 携帯電話 | プライバシ |

関連ストーリー：
Bluetooth を搭載して音声通話を可能にした電話機型おもちゃ、盗聴可能な問題が見つかる 2021年12月28日
米国がドイツ首相らに対してスパイ活動疑惑。仏独首脳が米国らに説明を求める 2021年06月03日
Chromeがシークレットモードでも個人情報を収集したとして集団訴訟へ。成立すれば5000億円規模の賠償の可能性も 2021年03月17日
旧ソ連のスパイグッズが競売にかけられる。現代のロシアでも形を変えて 2021年02月20日
ソニー、PS5のボイスチャット録音機能を「盗聴ではない」と説明するも米国の一部州で違法との指摘も 2020年10月20日
iPhone 7/7 Plus分解リポート、ヘッドフォンジャックの跡地にあるものは？ 2016年09月19日

すべて読む | YROセクション | セキュリティ | 政治 | プライバシ |

関連ストーリー：
英情報通信庁曰く、成人向けビデオ共有プラットフォームは子供を有害コンテンツから守る対策が不十分 2022年10月25日
米ニューヨーク州農業・市場局、缶入りホイップクリーム販売に年齢確認が不要なことを明確化 2022年09月04日
Instagram、16 歳未満のユーザーに対する不適切なコンテンツの表示制限を強化 2022年08月28日
Instagram、セルフィ―動画を使用した年齢確認を米国でテスト 2022年06月26日
英国でポルノサイトに年齢確認義務付ける計画、再び 2022年02月10日
Siri は生年月日から年齢を正しく計算できない？ 2022年01月30日
英国、オンラインでの子供のプライバシー保護を目的とする法律が施行 2021年09月05日
Instagram、ユーザーに生年月日入力を義務付けへ 2021年09月01日
App Store での成人向けアプリインストール、14 歳として登録された Apple ID でもブロックされない 2021年08月29日
Tencent、中国向けモバイルゲームで顔認識技術を用いた未成年者のプレイ時間制限を正式に開始 2021年07月11日
LINEの年齢認証、楽天モバイル回線や一部MVNOが対応 2021年03月22日

すべて読む | セキュリティセクション | セキュリティ | 中国 | プライバシ |

関連ストーリー：
米国、政府支給端末でのTikTok禁止法案、上院が全会一致で可決 2022年12月20日
英 GCHQ 長官曰く、子供たちが TikTok を使うのは問題ない 2022年10月15日
TikTokの内蔵ブラウザーがキー入力を監視と報道。TikTok側は障害調査用だと否定 2022年08月25日
窒息時間を競う「失神チャレンジ」に挑戦して亡くなった遺族がTikTokを訴える 2022年07月06日