headless 曰く、

Apple によるストーキング防止策のバイパスが可能な AirTag クローンをセキュリティ企業 Positive Security が開発し、AirTag クローン / 改造 AirTag を今後の「探す」ネットワークの更新で脅威のモデルへ組み込むよう Apple に呼び掛けている (Positive Security のブログ記事、 The Register の記事)。

Positive Security の AirTag クローン「Find You」は Apple の「探す」ネットワークを通じて Bluetooth デバイスを追跡可能にするフレームワーク「OpenHaystack」をベースに、マイクロコントローラー ESP32 を組み合わせて作られている。Positive Security は昨年、AirTag のネットワークを用いてデータを送受信する方法を公開して話題になった。

Apple は「すべてのAirTagには固有のシリアル番号があり、ペアリングされたAirTagはApple IDと関連付けられています」と説明するが、ESP32にAirTagのシリアル番号はなく、OpenHaystackベースのクローンはApple IDと関連付けられていない。

また、クローンにはスピーカーが接続されていないだけでなく、OpenHayStack のファームウェアにリモートから音を鳴らす機能は実装されていないとのこと。このクローンに限らず、スピーカーを無効化した改造 AirTag はオンラインマーケットプレースに多数出品されている。

持ち主の手元を離れた AirTag などをしばらく持ち歩いていることがわかると通知が届く機能に関しては、AirTag クローンが新しい公開鍵を送り続けることで、すれ違った人の持っている AirTag だと認識させて検出を防ぐことが可能だという。

すべて読む | アップルセクション | 犯罪 | セキュリティ | アップル | プライバシ |

関連ストーリー：
無断で他人を追跡する行為は犯罪だという AirTag 初回設定時の警告表示、犯罪者にも効果があるか 2022年02月12日
スピーカーを無効化した AirTag、オンラインマーケットプレース出品で注目される 2022年02月06日
Apple、AirTag を悪用したストーキングへの対策などを含む安全ガイドを公開 2022年01月29日
Airtagの悪用が止まらない 2022年01月26日
カナダの警察、AirTag を使用した高級車窃盗に注意喚起 2021年12月05日
AirTagのネットワークをハックしてデータを送受信する 2021年05月18日

フランスのデータ保護当局 CNIL (情報処理および自由に関する国家委員会) は 10 日、Google Analytics による米国へのデータ転送が EU の一般データ保護規則 (GDPR) に違反するとの判断を示し、フランス国内の Web サイトに対して GDPR を順守するよう命じた (ニュースリリース、 NOYB のブログ記事、 The Register の記事)。

Google Analytics では Web サイトのビジター数を測定するため、各ビジターに (個人情報とみなされる) ユニークな識別子を割り当て、関連付けられたデータとともに米国へ送信する。CNIL では米国へのデータ送信を懸念する EU およびその他の欧州経済域計 30 か国における苦情計 101 件を非営利組織 NOYB から受け取っており、各国のデータ保護当局と協力して Google Analytics が収集するデータと米国に送信する条件を調査したという。

EU 司法裁判所 (CJEU) は EU 域から米国へ個人情報を転送する根拠となっていた Privacy Shield を無効と判断した Schrems II 判決にあたり、データの転送が適切に制限されなければ米諜報機関が個人情報にアクセスする可能性を強調している。CNIL では現在のところ米国へのデータ転送が十分に制限されていないとの結論に達し、Google はデータ転送を制限するための追加の基準を導入しているものの、米諜報機関によるアクセス可能性を排除するには十分ではないと判断したとのこと。

そのため、CNIL ではフランスの Web サイト管理者に対し、必要に応じて現在の条件での Google Analytics 機能の使用をとりやめることや、EU 外にデータを転送しないツールに変更することを含め、1 か月以内に GDPR を順守するよう命じた。CNIL は Web サイトのビジター数測定には匿名の統計データのみを生成するツールの使用を推奨しており、ユーザーの合意を得なくても合法的に使用できるツールの判定プログラムも開始しているとのことだ。

Google Analytics に関してはオーストリアのデータ保護機関 (DSB) が GDPR 違反との判断を 1 月に示しており、オランダのデータ保護機関 (AP) も近く国内での使用が禁じられる可能性があると述べている。

すべて読む | YROセクション | YRO | EU | 政治 | アメリカ合衆国 | プライバシ |

関連ストーリー：
Meta、EU 域でサービス提供できなくなる可能性を示唆 2022年02月08日
Google Analytics、EU 域内で使用できなくなる可能性 2022年01月17日
フランスのデータ保護当局、cookie 拒否の操作が許可の操作よりも複雑だとして Google と Facebook に制裁金 2022年01月09日
ドイツ・ヘッセン州が計画する学校のビデオ会議システム統一、裁判所に公募のやり直しを命じられる 2022年01月04日
フランスのデータ保護当局、cookie保存などについてAmazonに3,500万ユーロ、Googleに1億ユーロの制裁金 2020年12月13日
欧州司法裁判所、EU・米国間のデータ共有協定取り下げを決定。米国企業に影響か 2020年07月20日
EU司法裁判所、「忘れられる権利」による検索結果からの除外はEU加盟国の国別TLDバージョンのみが対象になるとの判決 2019年09月27日
フランスのデータ保護当局、Windows 10によるデータ収集が改善されたと判断 2017年07月01日
Windows 10のデータ収集などに対し、フランスのデータ保護当局が3か月以内の是正を求める 2016年07月24日

nemui4 曰く、

流石に色々「便利な利用方法」が出てきますね。
軍関係者の転属に伴う引っ越しでは、州や国境や大陸をまたいでの大掛かりで大雑把な運送が多くて荷物をロストすることもよくあるそうなのでAirTagで追跡するのが流行ってるらしい。

Appleの落とし物トラッカー「AirTag」を、引っ越し業者の追跡に利用する手法が米国で広がっているという。この方法が紹介されたのは米軍関係の専門誌Military Times。米軍人では国境だけでなく大陸をまたがる形で引っ越しすることもあるが、その際に雑な引っ越しを経験することがよくあるのだという。そうした被害を4度ほど経験したことのあるヴァレリー・マクナルティ氏が考案したのが「AirTagを活用する」という手法。同氏はAirTagを引っ越し荷物の中に入れて引っ越し業者に依託。案の定一部の荷物が遅延したのでAirTagを利用して追跡したところ、荷物の一部が別の州のとんでもないところに移動していたことが分かったそうだ（MilitaryTimes、GIGAZINE）。

すべて読む | アップルセクション | セキュリティ | 変なモノ | アップル | プライバシ |

関連ストーリー：
Apple、AirTag を悪用したストーキングへの対策などを含む安全ガイドを公開 2022年01月29日
Airtagの悪用が止まらない 2022年01月26日
Apple、持ち主から離れた場所にある AirTag を Android で検出可能なアプリを公開 2021年12月16日
カナダの警察、AirTag を使用した高級車窃盗に注意喚起 2021年12月05日
Apple 曰く、誤飲防止の苦味コートが施されたコイン型電池は AirTag で使えない可能性がある 2021年07月30日

Apple が同社製品に関連する個人向けの安全対策をまとめたガイドブック「Personal Safety User Guide」を公開している (Apple のサポート記事、 The Verge の記事、 Mac Rumors の記事、 9to5Mac の記事)。

ガイドブックは現在のところ日本語化されていないが、安全に関する設定の見直しや対策と、Apple 製品に組み込まれた安全やプライバシーを守る機能の使用方法、自分の情報にアクセス可能な人の制御に関する 3 つのチェックリストに大きく分けられており、英語版の PDF で 56 ページにおよぶ盛り沢山の内容だ。

設定の見直しや対策には共有やアカウントの管理、スクリーンショット撮影による不審な活動の記録、不審なコンテンツの削除、他人による AirTag や Find My アクセサリーを使用した追跡の防止などが含まれる。Android アプリを使用した AirTag / Find My アクセサリーの検出方法も紹介されている。

すべて読む | アップルセクション | セキュリティ | アップル | プライバシ |

関連ストーリー：
Airtagの悪用が止まらない 2022年01月26日
Apple、持ち主から離れた場所にある AirTag を Android で検出可能なアプリを公開 2021年12月16日
iOS 15.2、iPhone の部品と修理履歴が確認可能に 2021年12月12日
カナダの警察、AirTag を使用した高級車窃盗に注意喚起 2021年12月05日
Apple、ディスプレイを磨く専用クロスを発売 2021年10月21日
AirTagの紛失モードには悪意あるサイトへ誘導する脆弱性がある 2021年10月04日
Apple 曰く、誤飲防止の苦味コートが施されたコイン型電池は AirTag で使えない可能性がある 2021年07月30日
「Apple 製品のお手入れ方法」更新、エチルアルコールは使用可能、過酸化水素は使用禁止 2021年07月21日
Apple、iPad や Mac を含む医療機器への磁気干渉リスクがある製品のリストを公開 2021年06月29日
AirTagのネットワークをハックしてデータを送受信する 2021年05月18日
紛失防止タグ「AirTag」はストーカー用途に悪用できるか？ 2021年04月23日

headless 曰く、

英国政府の資金による No Place to Hide がソーシャルメディアメッセージのエンドツーエンド暗号化に反対するキャンペーンを開始した (キャンペーンサイト、 BetaNews の記事、 The Guardian の記事、 動画)。

キャンペーンではエンドツーエンド暗号化に反対するわけではなく、ユーザーのプライバシー保護には賛成だとする一方で、エンドツーエンド暗号化が児童性的捕食者に隠れ場所を与えることを防ぐテクノロジーを開発する必要があると主張する。

そのため、児童性的捕食者が性的な目的で子供に近寄ることや、子供の性的画像の共有や閲覧、捜査当局による検出の回避、といったことを容易にしないテクノロジーが利用可能であることを示さない限り、エンドツーエンド暗号化を実装しないようソーシャルメディア企業に要請している。

すべて読む | セキュリティセクション | 英国 | セキュリティ | 暗号 | 政府 | プライバシ |

関連ストーリー：
スイス軍、公務では国産のインスタントメッセージングアプリのみを使用するよう指示 2022年01月10日
検閲・監視・アクセス制限、Internet Archive が考えるディストピアな未来のインターネット 2021年10月05日
デバイス上で児童性的虐待コンテンツをスキャンするAppleの計画に反対する公開書状、7,000人以上が署名 2021年08月13日
Zoom、暗号化誇張問題の訴訟で8500万ドルの和解金支払いへ 2021年08月06日
あなたをがっかりさせた2020年のテクノロジーは？ 2020年12月31日

headless 曰く、

米国で一部の iPhone ユーザーから iCloud プライベートリレーが機能しなくなったと報告され、キャリアがブロックしたのではないかとの見方が出ていたが、キャリア・Apple ともにこの見方を否定したそうだ (The Verge の記事、 Ars Technica の記事、 Mac Rumors の記事、 9to5Mac の記事)。

iCloud プライベートリレーは本人またはファミリー共有グループの誰かが iCloud+ サブスクリプションに登録している場合に利用可能なプライバシー強化機能で、現在は iOS 15 / iPadOS 15 でベータ版の機能として利用できる。欧州では大手キャリアが連名でプライベートリレーを制限するよう欧州委員会に要請していたことが報じられた直後ということもあり、キャリア側でブロックしたと疑われることになった。

しかし、米 Verizonと米 AT&T はプライベートリレーのブロックを否定。米 T-Mobile はキャリアのフィルタリングサービスを利用している場合はプライベートリレーを有効にできないと説明した。また、iOS 15.2 のバグでアップグレード時に設定がリセットされてオフになったとも説明していたが、その後バグの存在を取り消している。

Apple もアップグレード時の設定リセットを否定したほか、キャリア側でブロックすることもないと明言したとのこと。ただし、米国向け (英語) のサポートドキュメントには、特定のネットワークでプライベートリレーが無効になっている場合の対処方法が追加されている。

すべて読む | アップルセクション | 通信 | YRO | インターネット | iOS | アメリカ合衆国 | プライバシ |

関連ストーリー：
Apple、子供を守る取り組みに関する Web ページから児童虐待コンテンツへの言及をすべて削除 2021年12月18日
あなたのデジタル遺産、誰に譲る？隠しておきたい？ 2021年11月14日
AirTagの紛失モードには悪意あるサイトへ誘導する脆弱性がある 2021年10月04日
Apple、デバイス上での児童性的虐待素材スキャンなどの計画を延期 2021年09月05日
デバイス上で児童性的虐待コンテンツをスキャンするAppleの計画に反対する公開書状、7,000人以上が署名 2021年08月13日
6か月にわたりiCloudからロックアウトされている女性、名前は「True」 2021年03月09日

フランスのデータ保護当局 CNIL (情報処理および自由に関する国家委員会) は 6 日、Google と YouTube、Facebook の cookie 保存に関するユーザーインターフェイスがフランスのデータ保護法に違反しているとして 12 月 31 日に制裁金を科したことを発表した (ニュースリリース [1]、 [2]、 [3])。

いずれの場合も cookie を一括して許可するボタンが用意されているのに対し、一括して拒否するボタンが用意されていない点が問題視された。これにより、1 クリックですべての cookie を許可できるのに対し、すべての cookie を拒否するには数クリックが必要となる。そのため、拒否する方の操作を故意に複雑にし、許可する方を選ばせようとしていると判断したとのこと。

制裁金額は Google LLC に 9,000 万ユーロ、Google Ireland Limited に 6,000 万ユーロ、Facebook Ireland Limited に 6,000 万ユーロ。各社が cookie により収集したデータから広告で間接的に得る利益に対して適切な金額だという。各社には修正のための猶予が 3 か月間与えられ、それまでに修正を行わない場合は 1 日遅れるごとに 10 万ユーロの制裁金を科すとのことだ。

すべて読む | ITセクション | Google | EU | YouTube | YRO | 広告 | Facebook | プライバシ | お金 |

関連ストーリー：
Vivaldi 3.8リリース、cookieダイアログやバナーの非表示化が可能に 2021年05月04日
GitHub、cookieバナーを廃止 2020年12月20日
フランスのデータ保護当局、cookie保存などについてAmazonに3,500万ユーロ、Googleに1億ユーロの制裁金 2020年12月13日
EU司法裁判所、「忘れられる権利」による検索結果からの除外はEU加盟国の国別TLDバージョンのみが対象になるとの判決 2019年09月27日
フランスのデータ保護当局、Windows 10によるデータ収集が改善されたと判断 2017年07月01日
Windows 10のデータ収集などに対し、フランスのデータ保護当局が3か月以内の是正を求める 2016年07月24日

イタリアの競争・市場保護委員会 (AGCM) は 11 月 26 日、Google と Apple によるユーザーデータの取得と利用が消費者保護法に違反するとして、それぞれ 1 千万ユーロの制裁金を科すと発表した (プレスリリース)。

違反内容は収集するユーザーデータの商用利用に関する十分な情報を提供していないことと、強引なユーザーデータ取得を行っていることだ。制裁金 1 千万ユーロはこれらの違反に対する上限額だという。

Googleはアカウント作成時とサービス利用時に収集したユーザーデータを商用利用することについて、ユーザーが意識して許可するのに必要な情報を提供しておらず、アカウント作成時にはユーザーデータの商用利用を許可するオプションがデフォルトで選択されているとのこと。

一方、Apple は Apple ID 作成時やオンラインストア利用時に収集したユーザーデータがエクスペリエンスとサービス改善に必要だと述べるのみで商用利用に関する情報を提示せず、ユーザーデータの商用利用時にはユーザーの承認を求めるものの、選択肢はサービスを利用するかデータの商用利用を許可するかのいずれかに限られるとのことだ。

すべて読む | YROセクション | ビジネス | Google | EU | 法廷 | 広告 | アップル | 政府 | プライバシ |

関連ストーリー：
イタリア当局、マーケットプレイス出品者を制限していた Amazon と Apple に計 2 億ユーロ以上の制裁金 2021年11月27日
イタリア当局、iPhoneの防水機能に関する宣伝と製品保証についてAppleに1,000万ユーロの制裁金 2020年12月01日
イタリア当局、Google・Apple・Dropboxの不公正なビジネス習慣と消費者に不利な利用規約を調査開始 2020年09月08日
フランス当局、バッテリーの劣化したiPhoneの意図的なパフォーマンス低下問題でAppleに2,500万ユーロの罰金 2020年02月15日
Apple、iPhoneのパフォーマンス低下問題で当局から命じられた声明文をイタリア版サイトに掲載 2019年02月15日
イタリア当局、スマートフォンのパフォーマンスを意図的に低下させたとしてAppleとSamsungに罰金 2018年10月27日
イタリア当局、スマートフォンのソフトウェアアップデートによるパフォーマンス低下問題でSamsungとAppleの調査を開始 2018年01月21日

DuckDuckGo は 18 日、Android アプリに組み込まれたユーザートラッキング用のトラッカーをブロックする「App Tracking Protection」機能を発表した (DuckDuckGo News の記事、 Neowin の記事、 Ars Technica の記事、 Ghacks の記事)。

App Tracking Protection は DuckDuckGo Private Browser アプリに新機能として追加されるもので、現在は招待制でベータテストが行われている。機能としてはローカル VPN として動作し、他のアプリのトラフィックを処理する形になる。

ベータテストに参加するには、DuckDuckGo アプリの設定画面で「App Tracking Protection」を開き、ベータ版のウェイトリストに登録すればいい。あとは参加準備が整い次第通知が送られてくる。

DuckDuckGo がテストした人気の無料 Android アプリの 96 % がサードパーティーのトラッカーを含んでおり、87 % が Google に、68 % が Facebook にデータを送信しているという。Apple は iOS 14 でアプリによるユーザートラッキングを許可制にし、多くのユーザーがトラッキングをオプトアウトしているが、大多数のモバイルユーザーが使用する Android には同様の機能がないためApp Tracking Protection の提供を決めたとのことだ。

すべて読む | ITセクション | YRO | ソフトウェア | 広告 | インターネット | Android | プライバシ |

関連ストーリー：
Google、欧州経済領域と英国でAndroid初回起動時に表示する検索プロバイダーの入札を廃止 2021年06月11日
iOS 14.5でユーザトラッキングを許可したのは世界全体でわずか12％のみ 2021年05月10日
HTTPS Everywhereが自前ルールセットの更新を終了へ 2021年05月07日
FacebookアプリとInstagramアプリ、iOS 14.5でユーザートラッキング許可を求める理由の表示を開始 2021年05月04日
Apple、iOS/iPadOSアプリが金銭的インセンティブと引き換えにユーザートラッキング許可を求めることを禁止 2021年04月28日
検索エンジンDuckDuckGoで11日、1日1億回の検索件数を達成 2021年01月20日
アプリのユーザートラッキング許可を求めるiOS 14のプロンプト、一部で表示されるようになる 2020年12月27日
DuckDuckGo曰く、Android初回起動時に表示する検索プロバイダーの入札は競争を阻害 2020年10月03日
Googleで「pirate bay proxies」を検索すると、DuckDuckGoが検索結果1位に 2020年08月30日
DuckDuckGoのWebブラウザー、アクセス先ドメインの情報を収集しているとの批判を受けて修正 2020年07月07日
DuckDuckGo、インドで一時ブロックされる 2020年07月05日

ProtonMail によるとスイス連邦行政裁判所が今週、電子メールプロバイダーを電気通信プロバイダーとみなすことはできないとの判断を示したそうだ (ProtonMail のブログ記事、 The Register の記事)。

この裁判はスイス政府が電気通信法を不適切に用いてプライバシーを低下させていると ProtonMail が主張し、昨年 5 月に提起していたものだ。連邦行政裁判所では電子メールプロバイダーを電気通信プロバイダーとはみなせず、結果として電気通信法が義務付けるデータ保存の対象にもならないとの判断を示したとのこと。

スイス連邦最高裁は 4 月に Threema の訴えを認め、インスタントメッセージングサービスが電気通信プロバイダーではないとの判断を示しており、本件と合わせてスイスにおけるプライバシーの勝利であるという。その結果、多くのスイス企業は当局の情報提出命令に対し、特定のユーザー情報提出が免除されるとのこと。

ProtonMail は 9 月、フランスで逮捕された環境活動家の IP アドレスなどの情報を警察に渡していたとして批判を浴び、IP アドレスのログを保存しないとの記述を公式サイトトップページから削除している。今回の判決が確定すれば、IP アドレスの記録を当局が命じることもできなくなるとみられる。

すべて読む | YROセクション | 通信 | YRO | 法廷 | プライバシ |

関連ストーリー：
暗号メールサービス ProtonMail、IP アドレスのログを保存しないとの記述を公式サイトトップページから削除 2021年09月11日
ドーピングで4年間の出場停止になった米陸上選手、ステロイド検出は豚肉を食べたせいだと主張 2021年06月19日
iOSでVPN利用時、一部の通信がVPNをバイパスする脆弱性 2020年03月29日
スイス裁判所、Swatchの「Tick Different」商標無効を主張するAppleの訴訟を棄却 2019年04月06日
2018年パスワードを正しく使用していない人・団体ランキング発表。1位はカニエ・ウェスト、2位は米国防総省 2018年12月14日
OpenPGPとS/MIMEに脆弱性、適切な実装をしていないクライアントが原因 2018年05月16日
Microsoft、Windows 10の次期大型アップデートに向けてプライバシー問題の改善を進める 2017年01月17日
「超プライベート携帯」 Blackphone、629米ドルで発売へ 2014年06月30日

国土交通省は24日、8月に発生した小田急線車内で発生した傷害事件を受けて鉄道事業者と意見交換を行い、今後の対策方針を発表した。それによると、係員や警備員による監視の強化のほか、車内や駅構内の防犯カメラの増設などの対応を行うとしている。防犯カメラの画像運用に関しては、不審者や不審物の検知機能の高度化を謳っており、AIを含む最新技術を活用する方針を示した（国土交通省[PDF]、共同通信）。

先日、JR東日本は重要犯罪の容疑者や挙動不審な人物などの顔を登録し照合していることが話題となった。しかし、その後の専門家などの指摘などにより、9月21日から重大犯罪で服役した出所者を顔認証機能の検知対象とすることを撤回すると発表していた（読売新聞、NHK）。

すべて読む | YROセクション | YRO | 政府 | 交通 | プライバシ |

関連ストーリー：
JR東日本、先月から顔認証で犯罪者や仮釈放者を照合していた 2021年08月30日
小田急線車内で乗客切り付け事件 2021年08月07日
人の顔が描かれたマスクをかぶって監視カメラを回避しよう 2014年05月13日
顔認識を使って人物を追跡する実験、大阪駅の駅ビルで4月よりスタート 2014年01月06日
都市における調査監視システムの発展によって増加するプライバシー懸念 2013年10月21日

日本郵便は17日、同社のインターネット上で転居届を受け付けるサービス「e転居」で、本人確認を導入すると発表した。この本人確認は9月24日より導入される。本人確認に利用される書類は運転免許証、運転経歴証明書、マイナンバーカード、在留カードとなっている（日本郵便リリース[PDF]）。

この本人確認には、スマートフォンなどの各端末の写真撮影機能が必要で、転居申請者の顔写真と本人確認書類を撮影する必要があるようだ。こうした機能がない場合はオンラインでの手続きはできない。これに合わせて、従来の自動音声応答による電話番号認証は廃止されるとしている。こうした本人確認が必要となった背景には、e転居サービスをストーカーに悪用した事例があったためと思われる。

すべて読む | セキュリティセクション | 日本 | セキュリティ | 通信 | プライバシ |

関連ストーリー：
空きがある駐車場であえて高級車の横に停める『トナラー』 2021年08月14日
紛失防止タグ「AirTag」はストーカー用途に悪用できるか？ 2021年04月23日
任天堂が3DSハッカーにストーカーまがいの身辺調査を行っていたことを示す文書が流出 2020年12月26日
元警察官ストーカー男が日本郵政の転居サービス「e転居」を悪用。逮捕される 2020年07月21日
米サンフランシスコ市、警察など公的機関での顔認証技術の使用を禁止 2019年05月20日
米人気歌手テイラー・スウィフトのコンサート会場でテロ対策用の顔認証システムが使われる 2018年12月21日

ノルウェーでロシアとの国境にロシア側への放尿を禁ずる旨の掲示が出現したそうだ (The Barents Observer の記事、 The Register の記事、 RTÉ の記事、 Euronews の記事)。

ノルウェーの法律では国境で隣接する国やその当局を侮辱するような行為が禁じられており、違法行為が起こらないよう国境警備隊や警察、国境庁が監視している。数年前にはロシアに向けて石を投げた 4 人が拘束されているほか、昨冬は国境を越えてロシア側に手を突き出した女性が 8,000 クローネ (約 10 万円) の罰金を命じられているが、放尿に関してロシア側からの苦情はないそうだ。

掲示が行われたのはグレンセヤコブセルフの東側を流れ、ロシアとの国境を形成するヤコブセルバ川の川岸だ。掲示には英語で「No Peeing Towards Russia」と書かれているが、警察や国境庁では掲示を指示していないといい、実際に誰が掲示をしたのかは不明だ。ただし、国境庁長官は善意の人物が通行人に注意を喚起したものだとして問題視はしていないようだ。

長官は現地が観光客が長いドライブの後で最初に車を止める場所になることが多く、排尿の誘惑にかられる可能性が高いと述べ、監視カメラで撮影されていると注意喚起した。国境でのロシア側での放尿行為が見つかった場合は 3,000 クローネ (約 37,000 円) 以上の罰金が命じられる可能性があるとのことだ。

すべて読む | idleセクション | 変なモノ | idle | プライバシ |

関連ストーリー：
ロシアの特殊部隊が使う防弾シールドには男子小便器と同じ仕掛けがしてある 2020年09月07日
京都の道路と私有地の境目に設置された「謎の曲がった棒」 2019年04月11日
フランス・パリ、立小便対策として立ち小便用便器を路上に設置 2018年08月16日
カリフォルニアの公営高速鉄道、エレベーター内での放尿による悪臭と戦う 2016年09月04日
立ち小便が原因でサンフランシスコの街灯が倒壊？ 2015年08月10日
ハンブルグ・ザンクトパウリ地区、立小便に「払い戻し」で対抗 2015年03月14日
貯水池に放尿されたことを理由に貯水池内の水を放水することは科学的では無いという批判 2014年04月25日
ロシアの研究者、糞尿を戦車から発射する手法の特許を取得 2012年09月13日
SEGAの排尿プレイゲーム「トイレッツ」 2011年01月09日
尿から水をリサイクルし、国際宇宙ステーションの定員を倍増へ 2008年08月10日

headless 曰く、

Microsoft Power Apps ポータルから個人情報を含む計 3,800 万件のレコードが流出した問題について、発見者の UpGuard がそのなりゆきを解説している(UpGuard のブログ記事、 The Verge の記事、 The Register の記事)。

Power Apps は開発者としてのスキルがなくてもビジネスアプリケーションを開発できるローコードアプリ開発ツール。OData (Open Data Protocol) API を使用することでポータルでのレコード公開が可能になるのだが、デフォルト無効の「テーブルのアクセス許可を有効にする」オプションを有効にしなければ匿名かつ認証なしでデータへのアクセスが可能になる。このことは Power Apps のドキュメントにも明記されているが、見過ごされることが多かったようだ。

個人情報が公開状態になっているとして UpGuard が通知したのは (Microsoftを含む) 企業や州政府など合計 47 エンティティにのぼる。UpGuard のアナリストは 5 月 24 日に最初の個人情報が公開状態になっている OData API を発見してオーナーに通知。通知を受けたオーナーは問題を修正した。UpGuard が調査を進めたところ、複数のポータルで OData API を通じた個人情報への匿名アクセスが可能になっていることが判明する。

UpGuard は Microsoft による顧客への通知に期待して MSRC (Microsoft Security Response Center) に脆弱性リポートを送るが、(設定を変更しなければデータが一般公開状態になるのは) 仕様であるとして、問題は解決済みとされてしまう。そのため、UpGuard 自ら各エンティティに通知を送ることになった。Microsoft のポータルで見つかった問題については脆弱性リポートへの返信という形で報告したものの回答はなく、新たな脆弱性リポートを送ったところ、不正利用リポートを送れと言われたそうだ。

Microsoft に脆弱性リポートを送り、あとは任せるという UpGuard の試みは失敗したが、UpGuard が複数のエンティティに最も深刻な複数の問題を報告したのち、Microsoft 側でも顧客の通知を開始したとみられる。また、Microsoft は匿名アクセスが許可されたリストを検出する ポータルチェッカーの提供を開始し、新規作成された Power Apps ポータルではテーブルのアクセス許可がデフォルト有効になっている。なお、現在は英語版のドキュメントに OData フィードを有効化した場合はテーブルのアクセス許可を無効にできないとの説明が追加されている。

すべて読む | YROセクション | セキュリティ | マイクロソフト | プログラミング | インターネット | デベロッパー | プライバシ |

関連ストーリー：
LINEで台湾要人約100人の個人情報がハッキングにより流出、国内では握手会動画が中国に流出 2021年07月30日
五輪チケット購入者やボランティアの個人情報が流出。フィッシングサイト経由か 2021年07月26日
Amazonで中国AUKEY製品に続いて同RAVPower製品も削除へ。やらせレビュー問題で 2021年06月23日
ユピテル、2017年の不正アクセスを非公開とするも、脅迫メールにより一転公開へ 2021年06月09日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日
Amazonの商品レビュー詐欺に関与した20万人以上の個人情報が流出 2021年05月11日
内閣府のファイル共有ストレージFileZenに不正アクセス、231人分の個人情報が流出か 2021年04月28日

headless 曰く、

米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) は 19 日、ランサムウェア攻撃からセンシティブ情報と個人情報を守るための対策に関するファクトシートを公開した(CISA のツイート、 ファクトシート: PDF、 Softpedia の記事)。

対策は「ランサムウェア攻撃に対する防御」「センシティブ情報と個人情報の保護」「ランサムウェア被害発生時の対応」に大きく分けられている。防御としてはバックアップ作成と維持、サイバー攻撃対応計画の確立、インターネット側からの攻撃の入り口となる脆弱性や誤設定への対策、フィッシングメールのブロックとトレーニング、サイバー衛生の実践といったものが挙げられている。

情報保護としては、どのような情報が保存され、誰がアクセスできるかの把握と物理的セキュリティ・サイバーセキュリティのベストプラクティス適用、サイバー攻撃対応計画にデータ侵害対策を含めることといったものだ。

ランサムウェア被害が発生した場合の対応としては、影響を受けたシステムの特定と隔離、隔離できない場合に限って影響を受けたデバイスの電源を切るなどの被害拡大を防ぐ対策や、情報の収集、影響を受けた人・団体への通知、CISA を含む当局への報告などが挙げられている。なお、CISA ではランサムウェア被害発生時にデータ復元のための身代金を支払うことは推奨していない。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | プライバシ |

関連ストーリー：
ニップン(旧・日本製粉)、バックアップを含む大量のデータが暗号化され復旧困難。決算発表は延期 2021年08月18日
北米で主要な病院の 80 ％ が使用する気送管システムに脆弱性 2021年08月05日
コロニアル・パイプライン、操業停止による被害でガソリンスタンドから訴訟される 2021年07月28日
米国、中国のサイバー攻撃関与を非難する声明発表。日本を含む同盟国と共同で 2021年07月20日
Microsoft、ボットネット撲滅作戦の一環で戸別訪問によるルーター交換も実施 2021年07月14日
米IT管理サービス「Kaseya VSA」にランサムウェア攻撃。1000社以上が影響か 2021年07月05日
米パイプラインのサイバー攻撃事件、FBIが身代金の大半を奪還に成功 2021年06月09日
米司法省、ランサムウェア対策をテロ対策と同様の優先度で行う方針 2021年06月07日
ランサムウェアによって奪われた機密情報で警察が脅迫される 2021年04月30日

匿名化されていたはずのアプリの位置情報で高位聖職者としては不適切な行動が指摘され、米カトリック司教協議会(USCCB)の事務局長が辞任した(USCCB の声明、 The Pillar の記事、 America Magazine の記事、 Ars Technica の記事)。

位置情報はゲイのソーシャルネットワーキングアプリ Grindr が匿名化してデータブローカーに販売したとされるもの。位置情報とユーザー名は結び付けられていないがデバイスごとにユニーク ID が割り振られており、特定のデバイスがデータを送信した場所と日時が確認できるという。

カトリック教会に関するニュースサイト The Pillar がデータを入手して調べたところ、2018 年から 2020 年にかけて特定のデバイスが(元)事務局長の自宅と職場のほか、ゲイバーや個人宅を訪れていることが判明したとのこと。事務局長は 2018 年の聖職者による児童虐待スキャンダルを受けて USCCB とバチカンの調整役を務めており、訪問した各地でもアプリからデータが送信されていたそうだ。

事務局長の行動に違法性はまったくないが、同性愛に反対するカトリック教会の高位聖職者としては、このようなアプリを使用するだけでもスキャンダラスといえる。そのため、事務局長はUSCCBの運営に支障をきたすことがないよう、The Pillarの記事が公開される前に辞任したとのことだ。

すべて読む | YROセクション | IT | プライバシ |

関連ストーリー：
イスラエル政府、デジタルテクノロジーでCOVID-19感染者に接触した人を特定可能にする暫定法を制定 2020年03月20日
南オーストラリア州公衆衛生局、新型コロナウイルス感染者の移動経路を確認するため携帯電話追跡システムを活用 2020年02月11日
司祭が「ハリー・ポッターの呪文は本物」と主張、米テネシー州ナッシュビルのカトリックスクールが図書館への収蔵をやめる 2019年09月06日
仕事用の電子メールを自分のスマートフォンで受信することは危険？ 2019年07月29日
盗難にあったTesla車、アプリの位置情報が容疑者逮捕につながる 2019年03月02日
ゲイ向け出会い系アプリ「Jack'd」で非公開設定でアップした写真に不特定多数がアクセスできる不具合が見つかる 2019年02月14日
米国防総省、位置情報などの漏洩リスクからフィットネストラッカーの使用制限命令を出す 2018年08月10日
iOS 12では米国での緊急通報発信時に発信者位置情報を通報先に通知する機能を搭載 2018年06月22日
パンを子供に分け与える聖人の彫像、パンの位置で問題発生 2017年11月25日
Google、位置情報サービスをオフにしたAndroid端末からも基地局情報を収集していた 2017年11月22日
FBIが匿名ネットワーク「Tor」を傍受、協力者には100万ドルが支払われた模様 2015年11月16日
ロシア内務省、Torの匿名ネットワークをクラックする技術に賞金11万ドルをかける。ただし要参加費 2014年08月13日
Torに対し匿名化を解除しようとする攻撃が発生していた 2014年08月04日
携帯電話の使用パターンで個人を特定 2013年04月02日
iPhone、Android 携帯のアプリが個人情報を漏洩している 2010年12月19日

オープンソースのオーディオ編集ツール「Audacity」が買収によりプライバシーポリシーが改訂され、その改訂内容からこれではスパイウェアだと非難する声が出ている。Audacityは5月にMuse Groupという多国籍企業に買収され、7月2日にAudacityの公式サイト上にプライバシーポリシーのドラフト案が提示された。その内容によれば、今後のAudacityのリリースバージョンでは個人情報が送信されるようになるという（Audacity デスクトップ版のプライバシーに関するお知らせ、GitHubでの反対コメント、窓の杜、Phone Mania）。

送信されるデータは以下の通りとなっている

• OSのバージョン
• IPアドレスとそれに基づくユーザーの国情報
• OS名
• CPU情報
• エラーコードとメッセージ
• BreakpadMiniDump形式のクラッシュレポート
• 法執行、訴訟および当局の要求に該当するデータ（存在する場合）

またすべての個人データは、欧州経済領域（EEA）のサーバーに保存されるという。その上でロシア政府や米国の外部弁護士と個人データを共有する場合があるとも記載されており、EUと米国・ロシアの規制当局の要求に応じて必要なユーザーデータを提出する可能性が示唆されている。この改訂が実施された場合、Audacityはスパイウェア化するという意見もあり、すぐにフォークするべきだとする意見も出ている模様。

すべて読む | オープンソースセクション | オープンソース | YRO | プライバシ |

関連ストーリー：
二ノ国:Cross Worlds、利用規約に口座番号とマイナンバーが必要とあり物議。現在は修正 2021年06月11日
LINE、個人情報の取り扱い状況を発表。トーク投稿の画像と動画は韓国サーバーで保管 2021年03月18日
接触確認アプリCOCOA、地域ごとの日付フォーマットの違いで利用日数が狂う新たな不具合 2021年03月15日
WhatsApp、新プライバシーポリシーを承認しないユーザーのアカウントがどうなるか説明 2021年02月25日
米マサチューセッツ州最高裁、Uberはユーザーから利用規約への明確な合意を得ていないと判断 2021年01月09日
Facebook、米主要紙にAppleによるターゲティング広告規制を批判する全面広告 2020年12月21日
ポイ活ブラウザアプリSmoozは閲覧情報をすべて外部送信している 2020年12月21日

あるAnonymous Coward 曰く、

スマートホームカメラ「ATOM Cam」を開発・販売するATOM Tech（アトムテック）は6月12日、同社の提供する「ATOM – スマートライフ」アプリ（Android版、iOS版）において、事前の説明と異なる目的で位置情報を利用していたことを謝罪し、位置情報の利用を停止した修正版のアプリを公開した（ATOM Techのニュースリリース）。

発端は5月29日、Googleのソフトウェアエンジニアである河本健氏がAndroid上でのパケットキャプチャにより、同アプリが起動時に端末の緯度・経度をアトムテックのサーバーに送信していることを発見したことに始まる。

同アプリでは事前に「スマートフォンのWi-Fi情報を取得するため」として初期設定時に位置情報の取得の許可を求めていたが、そのために位置情報を送信する必要性を同社に問い質したところ、実は「ユーザーのタイムゾーンを判定するため」という回答があったという。

しかしながら、タイムゾーンを判定する目的であればタイムゾーン取得用の関数を利用したスマートな方法が存在することや、事前の説明を逸脱した位置情報の利用について、同社からの返信が途絶えたため、河本氏が6月11日にこれまでの経緯をツイートしたところ、1,000リツイートを超える炎上状態となっていた。

同社の説明によれば、問題の原因は社内体制の不備にあり、タイムゾーン判別後の位置情報はサーバーに保存しない仕様であったという。また、問題提起を行った河本氏に対しては、こうした報告を無視せずにすぐ対応できるよう連絡ラインを見直すとの回答があったようだ。

情報元へのリンク

すべて読む | セキュリティセクション | セキュリティ | YRO | バグ | 携帯電話 | 携帯通信 | プライバシ |

関連ストーリー：
Google、Android 12 Beta 2を提供開始 2021年06月12日
改正ストーカー規制法が成立、無断でGPS機器の取り付けや位置情報アプリも規制対象 2021年05月21日
AirTagのネットワークをハックしてデータを送受信する 2021年05月18日
英政府のCOVID-19接触通知アプリ、AppleとGoogleが規約違反で更新をブロック 2021年04月13日
日本への入国者全員にCOCOAやSkypeなどをインストールしたスマホの携行を義務付け 2021年03月19日
LINE、個人情報の取り扱い状況を発表。トーク投稿の画像と動画は韓国サーバーで保管 2021年03月18日
メルセデス・ベンツ、不正確な位置情報を通報する可能性のある緊急通報システム搭載車を米国でリコール 2021年02月16日