個人情報保護委員会は7月29日、官報に掲載された破産者の情報を公開していた二つの事業者に対し、ウェブサイトを直ちに停止するよう命じる行政処分を行った。同委員会が命令を出したのはこれが初めてだという（個人情報保護委員会[PDF]、Security NEXT、日経新聞）。

同委員会は今回、ウェブサイト上のマイニングツールについても触れている。いずれのサイトも閲覧しないことを求めていることから、この二つの事業者の中にはマイニングツールを仕込んだものが含まれていた可能性がある。ただし、マイニング行為そのものは違法性が裁判で争われている段階であることから、個人情報保護委員会が、あえてマイニングに言及したことは、マイニングに問題があると受け止められないとする意見もあるようだ。

なお今回の停止命令は、当該2事業者の所在をいずれも確認できておらず、公示送達の形で行われている。これら二つの事業者は、官報に掲載された破産者の個人情報を、利用目的の通知や第三者への提供の同意を行わないままデータベース化し、ウェブサイトに掲載していたとされる。対応期限となる8月27日までに必要な手続きを取るなどの行動をしない場合は、刑事告発を行うとしている。

すべて読む | YROセクション | YRO | プライバシ |

関連ストーリー：
総務省が18億円かけて導入したセキュリティシステム、一度も使わることなく廃止 2019年10月08日
戸籍の正本をデジタルデータに変更する戸籍法改正が官報告示 2019年06月01日
官報に掲載された破産者情報をGoogleマップ上にマッピングするサイトが登場し議論になる 2019年03月18日
スノーデン事件は、内部告発を安全に行うための仕組みがないことから起きた？ 2015年11月10日

ストーカーが引っ越し時に使用する各種サービスなどを悪用、ストーカーの対象となった女性の郵便物を盗んだり、クレジットカードや銀行口座を使用不能にするなどの行為をしていたことが分かった（FNN、MSNニュース、piyokangoの備忘録）。

犯人は元警察官で36歳の男。出会い系サイトで知り合った20代の女性の郵便物を手に入れるため、日本郵便の提供している転居手続きサイト「e転居」を悪用。女性宛の郵便物を自分の実家の住所に転送していた。男は7月15日に私電磁的記録不正作出・同供用の疑いで逮捕されている。

「e転居」は引っ越しの時に荷物の転送手続きに使用できるサービス。電話確認のみで申請が可能となっており、本人確認の証明書を提示する必要は無かったという。この男はe転居だけでなく、女性に対して複数のサービスで紛失や解約など申請や手続きを行っていた。まとめ記事によると、被害者女性はクレジットカード、携帯電話、水道、電気、銀行口座、NHK（衛星放送）などのサービスが使用不能になっていたとしている。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | プライバシ |

関連ストーリー：
米インディアナ州最高裁判所、スマートフォンのロック解除強制は不利な証言の強制にあたると判断 2020年06月28日
米サンフランシスコ市、警察など公的機関での顔認証技術の使用を禁止 2019年05月20日
米人気歌手テイラー・スウィフトのコンサート会場でテロ対策用の顔認証システムが使われる 2018年12月21日
「電磁波を使った流体活性化装置」特許を持つ日本システム企画、同社製品への「誹謗中傷」はたった1人の人物によるものと主張 2018年10月03日
店員のレシートや名札からFacebookを発見されるリスク 2018年06月14日

headless 曰く、

Appleが最近公開したサポートドキュメントで、MacBook/MacBook Air/MacBook Proのカメラにカバーを装着した状態でディスプレイを閉じないよう求めている(HT211148、 Mac Rumorsの記事、 Softpediaの記事、 BetaNewsの記事)。

Macノートブックのディスプレイとキーボードの間にはごくわずかな隙間しかないため、カメラカバーを装着してディスプレイを閉じるとディスプレイが傷つく可能性があるとのこと。カメラカバーの使用自体を禁じてはいないが、環境光センサーにも干渉するため、できれば使用してほしくないようだ。カメラカバーを使用する代わりにインジケーターランプでカメラの作動状態を確認することや、アプリに対するカメラの使用許可を確認することを推奨している。

職場などでカメラカバー装着が義務付けられている場合は、通常のコピー用紙1枚の厚み(0.1mm)またはそれよりも薄いカメラカバーを使用すること、接着剤の跡が残るカメラカバーを避けること、カメラカバーの厚みが0.1mmを超える場合はディスプレイを閉じる前に取り外すこと、が推奨されている。

元FBI局長のジェームズ・コミー氏など、プライバシーの観点からPCのカメラを物理的にふさぐ人も多い。シャッター式やステッカー式などさまざまなカメラカバー製品も発売されているが、Macノートブックに使用する場合は貼り直し可能なステッカー式を選ぶか、付箋紙やマスキングテープなどを使用する方がよさそうだ。

すべて読む | YROセクション | ノートPC | アップル | プライバシ |

関連ストーリー：
iOS 13.5.1、バックグラウンドアプリがバッテリーを大量消費するとの報告が急増 2020年07月12日
6月のデスクトップOSシェア、Linuxは増加した？そうでもない？ 2020年07月05日
iOS/iPadOS 14で標準ブラウザとメールが変更できるように 2020年06月26日
Apple、Macのプロセッサーを2年間で同社製に移行する計画 2020年06月23日
FBI局長曰く、誰もがWebカメラをテープでふさいでプライバシーを守るべきだ 2016年09月18日
PCのWebカメラ、ふさいでる？ 2016年06月10日
Apple、MacのGPUも自社開発の製品に移行か？ 2020年07月14日

headless 曰く、

DuckDuckGoが同社のWebブラウザー「DuckDuckGo Privacy Browser」でアクセス先ドメインの情報を収集しているとの批判を受け、修正版を公開した(HackReadの記事、 Hacker Newsのスレッド)。

この問題はfavicon表示に関するものだ。DuckDuckGoでは各Webサイトからfaviconを取得して表示するには複雑な処理が伴うとして、同社の検索エンジンおよびアプリに独自サービスからfaviconを提供していた。しかし、検索結果に表示するfaviconは問題ないとしても、直接URLを入力してアクセスした場合にもDuckDuckGoへリクエストが送られる点が批判を受けることになる。

実際のところ、この問題は昨年7月にGitHubのAndroid版 DuckDuckGo Privacy Browserリポジトリで指摘されたまま放置されていたのだが、最近になって再燃していた。DuckDuckGo CTOのCaine Tighe氏(nilnilnil)はリクエストが匿名化されていると説明しつつもユーザーの懸念は理解できるとして、アプリではfaviconを各サイトから直接取得するように修正した(Android / iOS)と説明。Android版(バージョン5.58.1)・iOS版(バージョン7.47.2)ともに修正版が公開されている。

すべて読む | ITセクション | YRO | ソフトウェア | インターネット | プライバシ |

関連ストーリー：
DuckDuckGo、インドで一時ブロックされる 2020年07月05日
Appleは自前の検索エンジンを持つべきか 2020年06月12日
iOSで成人向けWebサイトへのアクセスを制限すると「Asian」や「teen」がGoogle検索できなくなる 2020年02月23日
Google、欧州経済領域でAndroid初回起動時に選択可能な検索プロバイダーを発表 2020年01月11日
10年前のサイトはGoogle検索に表示されない？ 2019年05月07日

headless 曰く、

新規インストール時に新Microsoft Edgeが、ChromeやFirefoxからデータを「一旦」インポートする挙動を見せるそうだ(Windows Centralの記事、 9to5Googleの記事、 窓の杜)。

「一旦」と書いたのは、起動時に最初に表示される設定で「インポートしないで続行」オプションを選択した場合、インポートされたデータは破棄されるためだ。つまり一度は必ずデータをインポートし、ユーザーが拒否した場合のみ削除するという仕組みとなっている。

この点に関して、Windows CentralがMicrosoftに問い合わせたところ、回答があったという。それによれば「Microsoft Edgeはセットアップ中にデータをインポートする機会を用意している。インポートしたデータを維持するか、破棄するかは初回起動時に選べる」という回答だった。この挙動自体は以前からあるものだったが、Microsoft Edgeの自動インストール以降はより目立つようになったようだ。

Microsoftも新Microsoft Edgeの初回起動時には既にデータがインポートされていることを認めていることになる。注意点として初回起動時のセットアップ完了前にタスクマネージャーなどで新Microsoft Edgeを終了してしまった場合、インポート済みのデータが完全に削除されない可能性がある。このためセットアッププロセスは確実に完了させることを推奨するとのこと。

すべて読む | ITセクション | マイクロソフト | YRO | インターネット | プライバシ |

関連ストーリー：
「Microsoft版のChromebook」は実現するのか 2020年06月26日
Microsoft Edge、Windows UpdateでWindows 7/8.1に提供開始 2020年06月21日
Windows 10 Insider Preview、初の20H2ビルドが登場 2020年06月20日
64ビットWindows版のChromium系ブラウザー、ついに64ビットプログラム標準の場所へインストールされるようになる見込み 2020年06月16日

米インディアナ州最高裁判所は23日、スマートフォンのロック解除に使用するパスワード開示を強制することは合衆国憲法修正第5条が禁ずる不利な証言の強制にあたり、州政府側が犯罪の証拠となるファイルの存在を具体的に知らない限り除外の対象にもならないとの判断を示した(裁判所文書、 Deeplinks Blogの記事、 9to5Macの記事)。

この事件は被告の女性がD.S.という人物から性的暴行の被害にあったと届け出たところから始まる。女性は所有するiPhone 7 PlusにD.S.との通話記録などが含まれるとして捜査機関に提出し、捜査機関はデータをダウンロード後に返却した。ところがデータを調査した結果、女性がD.S.に対してストーカー行為をしていたことが判明し、女性の方が逮捕・起訴されることになった。

女性のiPhone 7 Plusにストーカー行為の証拠が含まれると考えた捜査機関は令状を取得して差し押さえたのち、女性が拒否したパスワード開示を命ずる2件目の令状を取得した。それでも女性は修正第5条に反すると主張してパスワード開示を拒否し、州地方裁判所が法廷侮辱罪にあたるとの判断を示したため、女性が控訴した。

控訴受理前に司法取引が成立し、女性がストーキング罪1件を認める代わり、州側は他18件の起訴事実を未確定のまま取り下げることになったが、女性は引き続き法廷侮辱罪で罰せられる可能性があった。控訴審で判事の見解は割れたものの、法廷侮辱罪を取り消す判断が示された。州最高裁は控訴審判決を支持したが、判事の見解は3対2と割れており、長い意見書が付けられている。

すべて読む | モバイルセクション | 犯罪 | 携帯電話 | アメリカ合衆国 | YRO | 法廷 | ストレージ | プライバシ |

関連ストーリー：
米インディアナ州最高裁判所、無断で取り付けられたGPS追跡装置を自動車の所有者が取り外す行為は窃盗に当たらないと判断 2020年03月01日
米ペンシルベニア州最高裁判所、暗号化パスワードは「不利な証言」として開示の強制が禁じられると判断 2019年11月28日
米連邦地裁、生体認証によるデバイスのロック解除強制は憲法違反との判断 2019年01月18日
FBI、iPhone Xのパスワード提示を拒否する容疑者に対し顔認証でロック解除 2018年10月06日
米控訴裁判所全法廷、米捜査令状は米企業が国外サーバーに保存した情報の開示要求には無効との判断を支持 2017年01月29日
フロリダ州控訴裁判所、携帯電話のパスコードを「自分に不利な証言を強制されない」権利の対象外とみなす 2016年12月17日
パスワードは黙秘する権利は保障されるが、指紋センサを使ったロック解除は対象外？ 2016年10月27日
米インディアナ州の裁判所、故障したハードディスクをリサイクルに出しても証拠隠滅に当たらないとの判断 2015年01月11日
バージニア州裁判所、携帯電話のロック解除に必要な指紋の提供を被告に強制可能と判断 2014年11月03日
米企業が米国外のサーバーに保存したデータの開示、米国の捜査令状で要求可能とする地裁判決 2014年08月03日
米裁判官、「暗号化されたデータ」については「黙秘権」の対象外として復号を求める 2012年01月27日

Twitterである探偵会社の事例集がバズっているようだ。調査手法としてアナログな取材を偽装する方法だけでなく、スパイウェアを仕込んだメールを送りつけたりもするという。またハードウェアタイプのキーロガーを子供のPCに取り付け、ログイン情報やパスワードの入手などもしている。

また業務をサボっていないかを調べるために、タイプ数カウントツールの導入を提案したりとかなりハイテクな感じとなっている（Togetter、相沢京子調査室）。

すべて読む | セキュリティセクション | YRO | 情報漏洩 | プライバシ |

関連ストーリー：
映画版ソニック、米国では「名探偵ピカチュウ」を上回る初動 2020年02月18日
英国人洞窟探検家を小児性愛者呼ばわりして告訴されたイーロン・マスク、南アフリカではそういう意味ではないと主張 2019年09月18日
当時存在していなかったフォントを使用していたために偽造文書であることがバレた案件、再び 2019年01月22日
怪人二十面相、青空文庫で公開 2016年04月05日

米ワシントン西部地区連邦地裁のJohn C. Coughenour判事は18日、逮捕時に押収したスマートフォンのロック画面を捜査機関が後で見るには令状が必要になるとの判断を示した(裁判所文書: PDF、 Ars Technicaの記事、 Mac Rumorsの記事)。

問題のスマートフォンは強盗などの容疑で2019年5月に逮捕され、その後起訴された被告が逮捕時に所持していたものだ。逮捕時の記録には(ロック)画面に「Streezy」という名前が表示されていたと記載されており、2020年2月には連邦捜査局(FBI)が押収物保管庫からスマートフォンを取り出して電源を入れ、「Streezy」と表示されたロック画面の写真を撮影している。被告はこれら2回の確認作業で得られた証拠をすべて除外するよう申し立てていた。

すべて読む | YROセクション | モバイル | 犯罪 | 法廷 | アメリカ合衆国 | プライバシ |

関連ストーリー：
米インディアナ州最高裁判所、無断で取り付けられたGPS追跡装置を自動車の所有者が取り外す行為は窃盗に当たらないと判断 2020年03月01日
米連邦地裁、生体認証によるデバイスのロック解除強制は憲法違反との判断 2019年01月18日
ロックされたiPhone内の写真や個人情報を閲覧する手段が見つかる 2016年11月25日
ロックされた状態のiPhone 6s/6s Plusで連絡先や写真にアクセス可能な脆弱性 2016年04月07日
Android 5.xでパスワードを設定したロック画面をバイパス可能な脆弱性 2015年09月19日
iOS 6.1にロック状態でも電話帳や発着信履歴を確認できるバグが見つかる 2013年02月15日

Anonymous Coward曰く、

中国・北京市で、新型コロナウイルス対策として中高生に対し自動的に体温を測定するGPS付き腕時計型デバイスが配布されているそうだ（朝鮮日報）。

このデバイスは1日2回の体温測定機能とGPSによる現在地報告機能が搭載されており、生徒らには24時間の着用を求めているという。

異常な体温を検出した場合に自動的に学校教師へと報告する機能もあり、体温検査の手間が省ける一方で、生徒たちのプライバシーを侵害するという指摘も出ているようだ。

すべて読む | YROセクション | 医療 | 教育 | 中国 | プライバシ |

関連ストーリー：
カリフォルニア大学バークレー校で食事を配達するロボット、大学構内で炎上 2018年12月20日
中国の高校、学生の授業中の注意力を監視するためにカメラと顔認識システムを導入 2018年05月30日
千葉県柏市、スマートフォン向け監視アプリを中学生の保護者に無償配布する実験を開始 2016年04月04日
「在校生のTwitterアカウントをリストアップ」する学校向けサービスが登場 2014年06月26日
英学校、トイレに監視カメラ設置 2010年03月16日
県立広島叡智学園、全生徒にウェアラブル端末を装着させるとして物議を醸す 2018年05月07日

AppleとGoogleが協力して開発を進める新型コロナウイルス(SARS-CoV-2)感染者との接触検出技術について、さらなるプライバシー保護およびセキュリティ対策が必要だとEFFが主張している(Deeplinks Blogの記事、 Computingの記事)。

この接触検出技術を使用するスマートフォンは毎日生成される秘密鍵を用いてRolling Proximity Identifier(RPID)と呼ばれる近接識別子を生成し、少なくとも5分ごとにRPIDを含むPingを送信する。RPIDは10～20分ごとに更新され、端末で生成した秘密鍵と他の端末から受信したRPIDは端末内にのみ2週間保存されるため、プライバシーリスクは最低限となる。

ただし、感染が判明したユーザーが保健当局に情報の共有を許可すると、秘密鍵が「diagnosis key (診断鍵)」として公開されることになる。他のユーザーはこの診断鍵を用いて接触の有無を確認できるのだが、悪意をもった人物が大量にRPIDを収集すれば、顔認識などの技術と組み合わせて感染者データベースを作ったり、感染者の行動範囲を地図上に表示したりといったことが可能になってしまう。そのため、EFFでは緩和策として秘密鍵の更新頻度を高くすることを提案している。

捜査当局が情報を利用してユーザー同士を関連付けることも可能となるが、ユーザーが必要に応じてアプリを無効化したり、特定期間のデータを削除したりできるようにすることで緩和できる。これではアプリの実効性が低下しそうだが、EFFは別の方法として強い暗号とパスワードによる保護も提案している。このほか、RPIDを生成したデバイスから送信されたかどうかを確認する手段がないため、受信したRPIDを再送信して精度を低下させるといった攻撃も考えられるとのこと。

この接触検出技術の第1段階はAPI提供で、AppleとGoogleは保健当局によるアプリ開発を意図したものだと説明している。ただし保健当局の多くは自前でのアプリ開発ができないため、開発を外部に発注することになる。そのため、外部の開発者がアプリを悪用しないように注意を払う必要もある。第2段階ではAppleとGoogleがOSに接触検出技術を組み込むことになるが、ユーザーの明示的な許可を確実に得る仕組みが必要だ。また、両社は感染拡大の危機的状況が終われば接触検出技術を削除すると述べているが、削除計画も明確にする必要があるとのことだ。

なお、AppleとGoogleは4日、それぞれサンプルコードを公開した。

すべて読む | アップルセクション | YRO | Google | セキュリティ | 医療 | デベロッパー | アップル | プライバシ |

関連ストーリー：
フランス政府、Appleのプライバシーポリシーが新型コロナ対策アプリの開発の妨げになると主張 2020年04月27日
AppleとGoogle、SARS-CoV-2 感染者との濃厚接触を検出する技術の開発で協力 2020年04月12日
シンガポールがBluetoothを使って接触者を追跡するアプリを開発、オープンソース化予定 2020年04月02日
イスラエル政府、デジタルテクノロジーでCOVID-19感染者に接触した人を特定可能にする暫定法を制定 2020年03月20日
中国で公共交通機関利用時に新型コロナウイルス感染者と接触したかどうか確認できるWebアプリが公開 2020年02月16日
南オーストラリア州公衆衛生局、新型コロナウイルス感染者の移動経路を確認するため携帯電話追跡システムを活用 2020年02月11日