パスワードを忘れた? アカウント作成

あなたのタレコミがスラドを支えます。さぁ、タレこめ!

14095766 story
インターネット

東京地裁、ソフトバンクに対し名誉毀損を行った投稿者の携帯電話番号開示を命じる 32

ストーリー by hylom
携帯電話から投稿されることを想定していなかった可能性 部門より

ネット掲示板で中傷され名誉が毀損されたとして、その投稿の発信者を開示するようソフトバンクに対し求めた裁判で、東京地裁がソフトバンクに対し発信者の氏名および住所、携帯電話番号の開示を命じる判決を下した(読売新聞)。携帯電話番号の開示が命じられるのは異例。

発信者情報の開示において、開示する情報については「氏名、住所その他の侵害情報の発信者の特定に資する情報であって総務省令で定めるもの」とされており、具体的には氏名および住所、電子メールアドレス、IPアドレス、携帯電話端末の利用者識別符号、SIMカード識別番号、発信日時とされている(特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第四条第一項の発信者情報を定める省令)。そのためソフトバンク側は携帯電話番号を開示する必要はないと主張していたが、東京地裁は電子メールアドレスが開示対象となっていることを踏まえ、SMSに用いられる電話番号を除外する合理性はないと判断した。

14095008 story
プライバシ

Amazon・ベゾスCEOの携帯電話を狙った攻撃が行われたとの報道 21

ストーリー by hylom
スピア型攻撃 部門より

米Amazon.comのジェフ・ベゾスCEOの携帯電話がサイバー攻撃を受け、それによってプライベートな情報が流出したとの疑いが出ている(ウォール・ストリート・ジャーナルロイターAFP)。

この問題が発覚した発端は、ベゾス氏とその不倫相手とされる相手との間でやりとりされていたメッセージが漏洩したこと。これを受けて調査を行ったところ、サイバー攻撃を受けた可能性が浮上してきたという。サウジアラビアのハンマド・ビン・サルマン皇太子がベゾス氏に「悪意のある動画」を送信し、これが情報漏洩の原因になったという話も出ている。

14094162 story
テクノロジー

英国警察による顔認識テストは一般市民に許容されるのか? 13

ストーリー by hylom
見ているぞ 部門より

Anonymous Coward曰く、

英サウスウェールズ警察は今週、ウェールズのサッカーの試合開錠の前で顔認識カメラを使用し、ブラックリストに乗せられた人物がいないかを識別する実験を行った。こうした顔認識技術の実験は昨年から行われており、今回の試験ではカーディフスタジアムの外に顔認識カメラを搭載した車両を配置し、リアルタイムで群衆をスキャンした。この実験を知る権利活動家とチームのサポーターは、試合前にマスクや目出し帽、またはスカーフをかぶって抗議の意志を示した。

英国は、アイルランド共和軍暫定派(PIRA)との戦いやアメリカ同時多発テロ事件のテロ対策としてビデオ監視システムが高密度に配置されている国として知られている。今回のようなリアルタイム監視は、西側民主主義陣営では比較的珍しいとされる。

システムはブラックリストに載っている特定の人物が通過すると警告を出し、警官は調査のためにその人物を静止させる。権利団体はこの種の監視がプライバシーだけでなく、ウォッチリストに顔がどのように追加されるかという疑念、そしてアルゴリズムの正確性などについて懸念があると主張している。

エセックス大学のピート・フッシー教授は、顔認識実験は実験室条件では非常に正確ではあるが、フィールドテストでは誤認識も多いと説明する。ロンドン警察の実験では42件の警告が発生したが、正しかったのは8件だけだったという(APSlashdot)。

14093275 story
アメリカ合衆国

FBIはすでに自力でiPhoneのロック解除が可能、しかし政治的・コスト的な理由でAppleに解除を求める 12

ストーリー by hylom
そんな状況に 部門より

Anonymous Coward曰く、

FBIはiPhoneのロックを所有者に無断で解除する技術をすでに持っているとされている。しかし、2019年12月6日に米フロリダ州で発生した米軍基地銃撃事件においては、FBIや司法長官が容疑者が所有するiPhoneのロック解除をAppleに依頼する事態となった。自前でロックを解除できるにも関わらずFBIがAppleにロック解除を依頼したのは、政治的な理由とコスト的な理由があるのではないかと見られている(BloombergEngadget日本版朝日新聞Slashdot)。

政治的な理由としては、Appleなどのハイテク企業に対し、「バックドア」の設置を求める法律を推進するためではないかとされている。また、ロック解除ツールはOSが更新されると使えなくなる可能性があるため、OSの更新ごとにメーカーに多額の支払いを行う必要があるという。

なお、Appleはフロリダ州海軍基地で昨年12月6日に発生したテロ事件に関するFBIの捜査には協力していると発表しており、容疑者のアカウントやiCloudのバックアップ、取引情報などを当局に提出したという(Bloomberg)。

14090973 story
iOS

OS13の位置情報を共有拒否できる機能、広告業界に大ダメージを与える 55

ストーリー by hylom
素晴らしい 部門より

Anonymous Coward曰く、

iOS 13ではサードパーティによる位置情報の追跡を確認・拒否しやすくなるような変更が行われた。その結果、iOS 13をインストールしたユーザーの80%がバックグラウンドでの位置情報を追跡を拒否するようになったという(iPhone ManiaAppleInsiderSlashdot)。

これによって特に大きく影響を受けるのが広告業界で、利用者の追跡を行えなくなった結果、広告キャンペーンの影響を調査することが難しくなったという。GPSが使えなくなった代わりとして他のデータから位置を推測するようなことも行われているようだが、こちらの精度はあまり高くないという。

14090823 story
Chrome

Google、ChromeでUser Agent文字列を凍結する計画 53

ストーリー by hylom
抜け道ができそうではある 部門より

headless曰く、

GoogleがChromeブラウザーでUser Agent文字列(UA)の凍結を計画しているそうだ(GoogleグループChrome Platform StatusWindows Central)。

WebブラウザーのUAは「Mozilla/5.0」「KHTML」「like Gecko」といった現在では特に意味のない情報が含まれる一方、ブラウザーバージョンやOSバージョンなどフィンガープリンティングに使われる可能性のある情報も含まれる。モバイル版ChromeではOSビルド番号も含まれていたが、iOS版ではChrome 69、Android版ではChrome 70で削除されている。また、Googleのサービスを含めUAによってブロックされたり、正常に表示されなかったりすることもある。そのため、VivaldiはChromeと同じUAに切り替えており、Chromiumベースの新Microsoft Edgeは接続先に応じてUAを切り替えて別のブラウザに偽装している。

UAの凍結は過去にSafariチームが試みているが、UAに応じたコンテンツのネゴシエーションに代わる方法がなく、一部の変更を取り消したという。Googleでは現在W3Cに提案しているUser-Agent Client Hints(UA-CH)がUA文字列の代替になると考えているそうだ。ChromeのUA凍結計画ではChrome 81で「navigator.userAgent」を非推奨とし、WebサイトがJavaScriptでUAを取得しようとするとコンソールに警告を出力する。Chrome 83ではWebブラウザのバージョンを凍結し、OSバージョンを統合する。9月中旬に安定版リリース予定のChrome 85ではデスクトップOSを示す文字列をデスクトップ版Webブラウザを示す共通のものにし、モバイルOS/デバイスを示す文字列は画面解像度ごとに共通化するとのこと。

UA凍結について、Safariは上述の通り既に実施しているが、MicrosoftMozillaも支持しているそうだ。ただし、MozillaではFirefoxへのUA-CH実装に消極的なようだ。

昨年Googleは「Privacy Sandbox」の構想を発表した際、サードパーティーのトラッキングcookieをブロックするとフィンガープリンティングなど不透明な手法の利用が進んでプライバシーがかえって低下すると述べていた。また、先日Chromeでのサードパーティーcookie廃止計画を発表した際にも、同様の説明を繰り返している。

14089438 story
Android

EFFなど53団体、Androidのプリインストールアプリを制限するよう求める 33

ストーリー by hylom
ですよねぇ 部門より

headless曰く、

Googleのサンダー・ピチャイCEOに対し、Androidにおいて同社パートナーがプリインストールするアプリに関する制限を設けるよう求める書状をEFFやAmnesty Internationalなど53団体が連名で送ったそうだ(Neowin9to5Google)。

書状はピチャイ氏がThe New York Timesへの寄稿記事で「プライバシーはプレミアム製品やサービスを手に入れることのできる人だけに提供される高級品であってはならない」と述べたことに合意すると述べつつ、Androidパートナーメーカーがプリインストールするアプリがユーザーのプライバシーを危険にさらすことを指摘。「bloatware」とも呼ばれるプリインストールアプリの91%がGoogle Playでは提供されていないという調査結果(PDF)を引用し、「Google Play Protect」とブランディングされながら、Androidのセキュリティモデルの外で特別な権限を持つプリインストールアプリがユーザーのプライバシーを侵害している可能性があると述べている。

そして、低価格スマートフォンメーカーによる悪用可能な商慣行でユーザーに被害が及ばないよう、プリインストールアプリをアンインストールできるようにすること、プリインストールアプリはGoogle Playで公開されるアプリと同様の審査を受けること、プリインストールアプリに更新の仕組み(Google Playでユーザーアカウントなしに更新できるのが望ましい)を必須としてプリインストールアプリでプライバシーを侵害しようとするメーカーの端末を認定しないこと、の3点を実現するよう求めている。

14087528 story
プライバシ

Microsoft、人力処理する音声データをセキュリティ基準なしに中国へ送っているとの報道に対し、現在は違うと説明 8

ストーリー by headless
人力 部門より
人力で処理されるSkype翻訳やCortanaの音声データが何のセキュリティ基準もなく中国へ送られているとの報道に対し、Microsoftは中国での人力処理を現在は行っていないと説明したそうだ(The Guardianの記事The Vergeの記事Mashableの記事The Next Webの記事)。

Skype翻訳やCortanaの人力処理に関しては、下請け業者が音声データを聞いているとMotherboardが昨年8月に報じ、その後Microsoftは収集した個人データを人力処理していることを「プライバシーに関する声明」などに明記している。Microsoftは欧州の法律で規定される高いプライバシー基準を満たすベンダーに限り、ベンダーおよび従業員と秘密保持契約を結んだうえで匿名化した音声データを共有するとMotherboardに説明していた。

しかし、中国で2年以上にわたって人力処理の仕事をしていたという英国人の男性はThe Guardianに対し、電子メールで送られてきたユーザー名とパスワードを使い、北京の自宅からログインして音声データにアクセスしていたと述べている。ユーザー名は簡単なスキーマで生成されており、パスワードは全スタッフ共通だったという。Microsoftからセキュリティに関する手助けはなく、Microsoft従業員による監督が行われることもなかったとのこと。

これについてMicrosoftでは、人力処理のプロセス見直しを昨夏行い、「プライバシーに関する声明」を更新したと説明。人力処理は少数の国の安全な施設でのみ行われるよう変更しており、中国はこれに含まれていないとのことだ。
14086901 story
Google

Google、欧州経済領域でAndroid初回起動時に選択可能な検索プロバイダーを発表 17

ストーリー by headless
落札 部門より
Googleは欧州経済領域(EEA)でAndroid初回起動時に入札で決定した検索プロバイダーの選択画面を提示する計画を示していたが、その第一回の入札結果が公表された(Android Choice Screen WinnersVentureBeatの記事The Vergeの記事Neowinの記事)。

落札数が最も多かったのは米DuckDuckGoと米Info.comで、31か国すべてで落札した。これに米PrivacyWallが11か国、フランスのQwantが8か国、ロシアのYandexが5か国で続く。このほか、ドイツのGMXがオーストリア・ドイツ・オランダの3か国で、デンマークのGiveroがデンマークのみ、チェコのSeznamがチェコとスロバキアの2か国で落札しており、これら3社はターゲットを絞り込んで入札したとみられる。米Bingは英国のみ落札となっている。

Googleは31か国すべてで選択画面に表示されるため、選択肢としてはGoogle・DuckDuckGo・Info.comが常に表示され、国ごとに異なる検索プロバイダーは1つだけということになる。なお、当初の発表では1年ごとに入札が行われるとされていたが、今回の対象期間は2020年3月1日~6月30日となっている。
14086736 story
Android

スパイウェア疑惑が報じられたアプリToTok、Google Playに復活 4

ストーリー by headless
復活 部門より
ToTokチームは5日、通話・メッセンジャーアプリ「ToTok」がGoogle Playで再び入手可能になったことを発表した(ToTokのニュース記事The Vergeの記事Android Policeの記事Computingの記事)。

ToTokに関しては12月、UAE政府のスパイウェアだとの疑惑The New York Timesが報じており、Google PlayとAppleのApp Storeでは報道よりも前にToTokが削除されていた。一方、ToTok側は疑惑を一貫して否定している。12月29日付のKhaleej Timesの記事ではToTok共同設立者のGiacomo Ziani氏が独占インタビューに答え、UAEに対する陰謀に巻き込まれたと感じていることや、急速にユーザーを増やしていることに対する妬みもあって疑惑が作り上げられた可能性を指摘。疑惑を主張する人々が元NSA職員に分析を依頼した結果、スパイウェアではなく、バックドアやマルウェアも見つからなかったと結論付けられたとも述べている。アプリの再公開については、ホリデーシーズンでAppleとの話し合いは進んでいないとしつつ、Google Playではすぐにでも公開が再開されるとの見通しを示していた。
14086274 story
Facebook

欧州の当局がテロ容疑者追跡にスパイウェアを使用、WhatsAppがこれを警告するメッセージを出す 3

ストーリー by hylom
まともな対応 部門より

taraiok曰く、

欧州の法執行機関のチームは10月、クリスマスシーズン中のテロを恐れ、テロリスト容疑者の調査を強化していた。そんな中、Facebookのメッセンジャーアプリ「WhatsApp」は10月29日、約1,400人のユーザーに対し端末に高度な攻撃が行われた旨を通知した。この1,400人はジャーナリスト、活動家、政府関係者などを含むテロリスト容疑者に上がっていたユーザーだったという(MorningStarSlashdot)。

この法執行機関チームは、イスラエル・NSOグループのスパイウェアを使用して容疑者を追跡していたとされる。欧州の裁判官は容疑者の電話に侵入するため、調査官に対して利用可能なあらゆる手段を承認した。しかし、このスパイウェアはFacebookには知られていなかったようだ。また、法執行機関の調査を妨害する可能性があることから、Facebookは政府機関に対し正式に苦情を申し立てることもできない状況になっているという。

NSOは中東、メキシコ、インドの政府機関にもスパイウェアを販売していたため批判されている。Facebookや人権研究グループのCitizen Labなどは、反体制派、宗教指導者、ジャーナリスト、政治的敵対者をスパイするためにスパイウェアを使用したと主張している。NSO側は、顧客のほとんどは犯罪やテロの調査に自社製品を使用する民主的な政府だと述べている。

14085404 story
パテント

Airbnb、宿泊客の信頼性をAIで事前評価する特許を申請 13

ストーリー by hylom
サイコパスは公開情報では判断できないのでは 部門より

Anonymous Coward曰く、

いわゆる「民泊」の仲介サービスを手がけるAirbnbが、宿泊客の信頼性を事前に評価するシステムの特許を申請していたという(GIGAZINESlashdot)。

特許資料によると、このシステムはSNSでの活動履歴や各種信用情報、「セキュアなサードパーティーによるデータベース」を使ってユーザーの情報を収集し、それらデータからAIで「良心」を確認したり、神経症や犯罪履歴・ナルシズム・マキャヴェリズム・サイコパシーなどの特性を分析するという。

たとえば、SNSで虚偽の情報を公開していた場合、そのユーザーの信頼性スコアは下がることになる。そのほか、ドラッグや飲酒・ヘイト・セックスワークなどに関連するキーワードや写真、動画などについてもスコアを下げる理由になるようだ。

14085389 story
iOS

iPhoneのホーム画面をスクショして送信すると300円分のギフト券がもらえるiOSアプリ 26

ストーリー by hylom
そんなに金になるんですか 部門より

Anonymous Coward曰く、

iPhoneのスクリーンショットを送信するだけで300円分のAmazonギフト券がもらえるというアプリ「スクショマネー」が登場した(Engadget日本版)。

収集した画像はマーケティング等に使用するという。

14082214 story
Firefox

Firefox 72、収集したテレメトリーデータを削除するオプション追加へ 19

ストーリー by headless
追加 部門より
1月7日にリリース予定のFirefox 72では、これまでにMozillaが収集したテレメトリーデータを削除するオプションが追加されるそうだ(Open Policy & Advocacyの記事The Firefox Frontierの記事Neowinの記事gHacksの記事)。

新オプションは米国・カリフォルニア州でカリフォルニア州消費者プライバシー法(CCPA)が1日に施行されたことに伴って追加されるもので、カリフォルニア州のユーザーだけでなく全世界のユーザーが利用できるようになるという。CCPAはEUの一般データ保護規則(GDPR)を手本にしており、カリフォルニア州の消費者は収集・使用・共有・販売される個人情報の内容を知る権利や個人情報を削除させる権利、個人情報の販売を拒否する権利、権利の行使により差別的扱いを受けない権利が認められる。

ただし、GDPRとは細かい部分で異なり、個人にユニークな識別子(仮名)を割り当てた情報について、GDPRでは追加の情報と組み合わせて個人を識別可能であれば「個人を識別可能な情報」とみなすのに対し、CCPAでは本名や住所などを含むデータと同様にユニーク識別子を含むデータも個人情報とみなされる。Firefoxが収集するテレメトリーデータに含まれるのは開いているタブの数やセッションの長さといった情報のみであり、一定期間が経過すると削除しているという。業界でもテレメトリーデータは個人情報とみなされていないが、ユニーク識別子がユーザーごとに割り当てられていればCCPAでは個人情報に該当する可能性もある。そのため、Mozillaでは追加のステップとしてユーザーが削除できるようにするとのこと。

なお、現在のところ、Firefox Nightly(バージョン73)の「オプション→プライバシーとセキュリティ→Nightlyのデータ収集と利用について」で「Nightlyが技術的な対話データをMozillaへ送信することを許可する」のチェックを外すと過去のデータが30日以内に削除される旨が表示されるが、Developer EditionとBeta(いずれもバージョン72)では特に表示されない。安定版Firefox 72のテレメトリーデータ削除機能がNightlyと同様のものになるのか、別のものになるのかは不明だ。
14075200 story
Chrome

過剰なデータ収集行為が指摘されていたAvast/AVGの拡張機能、Chromeウェブストアから一時削除される 17

ストーリー by hylom
そんなに稼げるの 部門より

headless曰く、

必要以上のデータを収集しているとAdblock Plus開発者のWladimir Palant氏によって指摘されてたAvast/AVGのWebブラウザ拡張機能がChromeウェブストアから一時削除され、数日で復活したようだ(Android PoliceSoftpedia)。

同拡張のFirefox版は12月初めにaddons.mozilla.org(AMO)から削除されたが、現在は復活している。Chrome版については先週になってAVG Online Securityを除くAvast/AVGの拡張機能がChromeウェブストアから削除されたと報じられたが、週末までに復活した。ただし、AVG SafePriceは削除されたまま(追記: 現在は復活している)のようだ。

Avastによれば、拡張機能で収集するユーザーデータを制限し、プライバシーポリシーに記載するなどの変更を行ったという。その結果、Chromeウェブストアで拡張機能が復活したほか、AMOでは17日時点で復活していたとのこと。

なお、Avast CEOのOndrej Vlcek氏は収集したデータを匿名化して販売していたとForbesに語っており、Softpediaではデータの販売でAvastが昨年得た収入を4,050万ドルと試算している。

typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...