Evernote は 12 月 4 日から、無料の Free プランで作成可能なノートとノートブックの数を大幅に縮小する (Evernote のブログ記事、 Neowin の記事、 The Register の記事、 Android Police の記事)。

現在のシステム制限では Free プランで作成可能なノートが 10 万件、ノートブックが 250 件となっているが、12 月 4 日以降はそれぞれ 50 件と 1 件になる。ただし、Evernote のデータ保護 3 原則とデータの所有権がユーザーにあることを確実にするため、現在 51 件以上のノートや 2 件以上のノートブックが作成されているアカウントでは引き続き既存のノートとノートブックの閲覧・編集・エクスポート・共有・削除が可能になる。Evernote では Free ユーザーの大半が新しい上限に収まるため、変更の影響は大きくないとみているようだ。

個人的にはほとんどメモを取らないため、Evernote を含む各種メモアプリは機能を把握する程度で終わってしまっているのだが、スラドの皆さんはどのようにメモを取っているだろうか。

Brave は 2 日、Brave ブラウザーの AI アシスタント Brave Leo をすべてのデスクトップ版ユーザーに提供開始すると発表した (Brave のブログ記事、 Neowin の記事、 The Verge の記事)。

Leo は Meta の Llama 2 を用いる AI アシスタントで、質問に答えるほか、ウェブページや動画の内容の要約などができるという。新たに月 15 ドルのプレミアム版が追加され、サブスクライバーは Anthropic の Claude Instant が利用可能だ。ユーザーの質問はリバースプロキシを通じて匿名で送信され、Leo の応答はすぐに破棄されるなどプライバシーに配慮した作りになっている。Leo の使用にアカウントは必要なく、プレミアム版はリンク不可能なトークンを用いて認証するため、利用状況とユーザーが結び付けられることもない。

Leo はバージョン 1.60 以降のデスクトップ版 Brave でサイドバーから呼び出し可能だ。ただし、段階的なロールアウトを行っているところなのですぐに利用できるとは限らないようだ。手元の環境ではまだ利用可能になっていないため、安定版での動作は確認できないが、Brave Nightly の Leo は日本語で会話できる。一方、Brave Beta の Leo は日本語ができないと主張している。いずれも Llama 2 13B ベースとなっていた。安定版の Leo はどうだろうか。

なお、Brave では Windows 版のユーザー環境に無断でインストールした VPN のシステムサービスを今後のアップデートで削除すると約束していたが、まだバージョン 1.60 では削除されないようだ。

LINEの利用が11月以降に制限される「11月問題」が各所で報じられている。これは、LINEとヤフーの統合に伴い、プライバシーポリシーへの同意が改めて必要になったことによるもの。旧来からのLINEユーザーに対しては、10月4日以降に新しいプライバシーポリシーに同意を求める画面が表示されている。これにユーザーが同意しない場合、一部のLINEグループのサービスが11月以降利用できなくなる。同意の留保は10月中まで可能となっていたが11月以降は同意が必須（ITmedia、Impress Watch、スマサポチャンネル）。

新たなプライバシーポリシーには、広告主などのパートナーからの広告配信に利用する情報の取得・利用、解析情報や統計情報の作成・提供、越境移転先の国・地域の明示、ユーザーを直接識別できない識別子などの第三者提供、識別子の紐づけなどが含まれているとされる。なおITmediaの記事によると、従来からの大きな変更点は、データを置く国を明記している点であるという。個人情報の委託国としては日本、アメリカ、韓国、アイルランド、カナダ、フィリピン、オーストラリア、ベトナム、タイ、インドネシアが挙がっており、保管国としては日本、アメリカ、韓国、ドイツとなっている。

キヤノンは、減音デバイスである「Privacy Talk」の先行販売を10月31日から開始した。このデバイスはマスクのような形状をしており、周囲に声を漏らさず周囲の音も拾いにくい特徴を持つ（Makuakeの先行販売ページ、動画、AV Watch）。

Privacy Talkは、Bluetooth接続のマイクとイヤフォンとして動作し、通話や会議時に明瞭な声を相手に伝える一方で自分の声を漏らしにくいのだという。デバイスを口に当てて喋ると、デバイス内のマイクでそれを集音。人の声が持つ特定の周波数帯域(1000Hz～4000Hz)の音を効果的に吸収しながら、呼吸のための空気の通り道も確保。-20dB程度の減音効果があるとしている。

USB接続で充電しながら有線でも使用可能。内部にはファンがあり通気性を確保している。また、音響メタマテリアル技術を活用して声を減音し、ノイズキャンセリング技術を使用してファンの騒音を抑えているそう。先行販売はMakuakeにて開始されており、限定価格は2万3400円となっている。

Apple は MAC アドレスによる追跡を防ぐため、Wi-Fi ネットワークごとに異なる MAC アドレスで接続する「プライベート Wi-Fi アドレス」を iOS 14 / iPadOS 14 / watchOS 7 以降で導入しているが、導入から 3 年以上にわたり実際のMACアドレスも送信し続けていたことが明らかになった (Ars Technica の記事、 The Register の記事、 発見者のMastodon 投稿、 解説動画)。

プライベート Wi-Fi アドレスが有効の場合、Wi-Fi ネットワーク接続時には生成された MAC アドレスを使用する。しかし、ネットワーク内の AirPlay デバイスを検出するために送られるマルチキャスト要求では、ペイロードとして生成された MAC アドレスと実際の MAC アドレスを組み合わせたものが送信されていたという。

この脆弱性 CVE-2023-42846 は iOS/iPadOS 16.7.2 および iOS/iPadOS 17.1 と tvOS 17.1、watchOS 10.1 で修正されている。修正内容は脆弱なコードの除去とのこと。

Apple のエディー・キュー氏が iPhone の初期設定でサーチエンジンの設定がないことについて、ユーザーが名前も聞いたことがないサーチエンジンを大量に並べて見せることはユーザーエクスペリエンス上よくないと述べたそうだ (The Verge の記事、 9to5Mac の記事、 Mac Rumors の記事)。

キュー氏の発言は米政府と各州が Google を訴えたアンチトラスト訴訟で、証人として原告側の質問に答えたものだ。Apple は同社プラットフォームで Google のサーチエンジンをデフォルトにする契約 Information Service Agreement (ISA) に関連して証言を求められている。

キュー氏は 2016 年に現在 の ISA を結んだ際、Google のサーチエンジン収益に対する Apple の取り分増加を求めて交渉を担当している。当初の要求はサンダー・ピチャイ氏に断られたが、最終的に両者が妥協して現在の契約内容に落ち着いたという。これについて原告側は金額的に交渉がまとまらなければ契約破棄もありえたのかと質問したが、キュー氏によれば契約が Google にとっても Apple にとっても最大の利益にかなうものであり、破棄は選択肢になかったとのこと。キュー氏は当時 Google の代わりとして十分なサーチエンジンは存在しなかったとし、今でも存在しないと述べたそうだ。

プライバシーを重視する Apple にとって Google は正反対の存在ではないかという指摘にキュー氏は同意しつつ、ISA にユーザー追跡を困難にすることが可能な条項が含まれていると説明。Google が最良の製品であるから選択したのであり、金銭的利益を得るために選択したわけではないとも述べたとのこと。iPhone の初期設定については ISA でサーチエンジン選択画面を含めることができないものの、初期設定は重要な項目のみであり、ISA がなくてもサーチエンジン選択画面を表示することなく Google をデフォルトにするだろうとのことだ。

SNS「X」（旧Twitter）が、プライバシーポリシーを改定し、9月29日からユーザーの生体情報、学歴、職歴の収集をおこなうと発表した。生体情報の収集対象となるのはXプレミアムユーザー。Xプレミアムユーザーは、認証時に自撮り写真か身分証明書の提出を選択できる。X社は収集した生体情報を、求人関連の事業や関連性の高い広告を表示するために使用すると説明している。BBCによると、Xが技術系人材紹介サービス「Laskie」を買収したことから、人材紹介サービスを提供する可能性があるとも言われているようだ（Bloomberg、BBC、ITmedia）。

また公開データを人工知能（AI）のトレーニングに使用することを追加した。日本語版のポリシーによれば、「当社が収集した情報や一般に公開されている情報を、機械学習や人工知能モデルのトレーニングに使用することがあります」と記載されている。オーナーであるイーロン・マスク氏は、この変更について、「トレーニングに使用するのは公開データのみで、ダイレクトメッセージやプライベートな情報は含まれない」と述べている（イーロン・マスク氏のツイート、ITmedia）。

日本情報経済社会推進協会（JIPDEC）は、プライバシーマークの審査員が、審査関連資料を漏洩したことを明らかにした。同協会に登録されたプライバシーマークの審査員1人が、同協会との契約に反して審査に関連する資料を自宅で保管。1事業者の審査関連資料が漏洩したことが判明したという。同協会では対象となる事業者に連絡、謝罪したとしている。詳細については外部協力のもと調査を進めているとのこと（JIPDECリリース、Security NEXT）。

Google Play で最近、不要ファイル削除や空きメモリ確保などを実行するシステムクリーナーアプリが多数削除されているようだ。

Internet Archive が昨年 10 月に保存した Google Play での「cleaner」検索結果のスナップショットをみると、リストアップされているアプリ 30 本のうち、現在は 20 本が削除されている。削除されたアプリの中にはインストール件数が 1 億回を超える「One Booster」や「Nox Cleaner」といったアプリも含まれる。また、「cleaner site:play.google.com」のGoogle検索結果では、最初の 10 本のアプリのうち 4 本が削除 (最初の 20 本では 10 本が削除) されている。

削除されたアプリ「SD Maid」「SD Maid 2/SE」の作者 Matthias Urhahn 氏 (darken) によれば、これらのアプリが「ストーカーウェア」ポリシーに違反するため公開を停止したという 2 件のメールが (おそらく 8 月 21 日の) 21 時 44 分に届き、16 分後の 22 時には 12 年間にわたりアプリを公開していた開発者アカウント darken の削除が通知されたという (作者の Google Play Developer Community 投稿、 Reddit のスレッド [1]、 [2]、 Android Police の記事)。

削除理由は開発者アカウントに関連付けられた高リスクまたは悪用のパターンを特定したため、Google Play デベロッパー販売 / 配布契約の 8.3 / 10.3 に従って削除する、というものだ。Reddit のスレッドでは明確にアプリ名は挙げられていないものの、他の開発者からもストーカーウェアポリシーでアプリが削除されたという報告がみられる。

Play Console ヘルプによれば、ストーカーウェアとは「適切な通知や同意なく、永続的な通知を表示せずに、デバイス上の個人情報や機密性の高いユーザーデータを収集、送信するコード」とされる。しかし、SD Maid のデータ セーフティ情報によれば収集するデータはアプリに関するもののみとなっており、プライバシーポリシーでも個人情報は収集しないと明記している。SD Maid 2/SE はオープンソースアプリでもある。

Urhahn 氏はGoogleに異議を申し立てているが、現在のところ受信確認と調査中の報告のみで、特に進捗はみられないとのこと。システムクリーナーアプリは効果が疑問視されることもあり、中には広告が多すぎると批判されるものもあるが、削除されていないアプリもある。最近削除されたすべてのアプリで実際にポリシー違反が確認されたのだろうか。スラドの皆さんのご意見はいかがだろう。

Chrome 117 ではインストール済みの拡張機能が Chrome ウェブストアで提供されなくなった場合、ユーザーに通知する機能が追加されるそうだ (Chrome Developers のブログ記事、 Neowin の記事)。

拡張機能が Chrome ウェブストアで提供されなくなる理由としては、開発者が公開を終了・Chrome ウェブストアポリシー違反・マルウェアと判定された、という 3 つのケースに限られる。ポリシー違反の場合は開発者に警告後、修正や異議申立を行うための猶予期間が設けられるが、この間は拡張機能が公開停止になることはない。そのため、ユーザーにも通知が表示されることはなく、問題が解決すれば通知は自動的に消えるとのこと。マルウェアと判定された拡張機能はこれまで通り自動で無効化される。

拡張機能提供中止の理由は Chrome の拡張機能設定画面 (chrome://extensions/) に表示されるが、「プライバシーとセキュリティ」設定画面 (chrome://settings/privacy) の「安全確認」で通知を目にする可能性が高いという。ここでレビューボタンをクリックすれば、拡張機能設定画面に移動して理由を確認したり、削除したりすることが可能だ。この変更は正規の拡張機能に影響を与えることなく、エコシステムの安全を保つことを目指しているそうだ。

Intel Arc & Iris Xe Graphics ドライバーのベータ版 (31.0.101.4578) では、パフォーマンスに関連する情報を収集するテレメトリープログラム Intel Computing Improvement Program がオプションとして追加されたそうだ (TechPowerUp の記事、 BetaNews の記事)。

ドライバーのインストールを試した TechPowerUp によれば、このオプションは標準インストールで有効になっているという。当初 TechPowerUp は機能に関する説明もなくデフォルトでインストールされると述べていたが、Intel の指摘を受けて確認した結果、オプトインの画面が表示されたそうだ。オプトインの画面は最初のインストール時の選択内容を記憶し、2 回目以降のインストールでは表示されなくなる仕組みだといい、何らかの原因でレジストリ (HKLM\SOFTWARE\Intel\SUR\ICIP) に設定が書き込まれていたとみられている。

このようなパフォーマンスデータ収集機能は AMD や NVIDIA のグラフィックドライバーにも含まれているが、AMD がドライバーのインストール完了後に大きなチェックボックスを中央に配置した明快なオプトイン画面を用いるのに対し、NVIDIA はデフォルトで有効となりオプトアウトできないという。Intel の場合はこれらの中間だが、オプトイン画面が直前に表示されるドライバーソフトウェアの使用許諾画面と似ており、ユーザーが混乱しやすいと TechPowerUp は指摘している。

headless 曰く、

Brave は 3 日、Brave 検索で画像と動画を自前で検索できるようになったと発表した (Brave のブログ記事、 Neowin の記事、 The Verge の記事、 The Register の記事)。

プライバシーに配慮した Brave 検索だが、これまで画像と動画の検索には対応せず、Google や Bing でプライバシーに配慮しない検索を実行する必要があった。今後は画像と動画の検索でもプライバシーに配慮した Brave 検索が利用できるようになる。

Brave によれば、ベータ版を提供開始した 2021 年 6 月時点でクエリの 13% にサードパーティの助けを必要としていたが、それから 1 年以内に 7% まで減少したそうだ。これは Brave 検索利用者の急速な増加とオプトイン方式でインデックス拡大に貢献できる Web Discovery Project の幅広い受け入れにより実現したという。さらに、Bing API が将来的に安定して使用し続けられるかどうかの懸念 (Microsoft と OpenAI の提携後に Bing は大きく成長し、その後 Bing API の価格が引き上げられた) により完全の独立を実現する計画が加速したとのこと。

個人的には画像や動画をあまり検索しないため、画像や動画に特化した適切なテスト用検索語句は思いつかなかったが、日本語を検索するとまったく予想外の結果が含まれることがあるのは変わっていないようだ。なお、Brave 検索は Brave ブラウザー以外でも search.brave.com にアクセスすれば利用可能だ。

ロシアのウラジーミル・プーチン大統領は 7 月 31 日、情報と情報技術、情報保護に関する連邦法と通信に関する連邦法の改正案に署名、改正法が成立した (TorrentFreak の記事、 改正法: PDF)。

改正法では 12 月 1 日からロシア国内で運営されるオンラインサービスに対し、本人確認の完了したユーザーにのみサービスを提供するよう義務付ける。本人確認の方法としては携帯電話の契約者番号や、政府または民間の認証システムの使用が挙げられている。これにより、匿名でのオンラインサービス利用は不可能になるとみられる。

また、ホスティングプロバイダーは認可制となり、ユーザーの本人確認も必要となる。オンラインサービス提供会社やホスティングプロバイダー、ニュースアグリゲーターは議決権ベースで 50 % 以上をロシア国民が所有している必要があるとのことだ。

Canon の Wi-Fi 搭載インクジェットプリンターで通常のリセット操作を実行しても Wi-Fi 接続設定が消去されない問題が確認され、Canon が回避策を公開している (CP2023-003、 影響を受ける製品リスト: PDF、 Bleeping Computer の記事)。

Wi-Fi 接続に関するセンシティブな情報はインクジェットプリンター (個人向け・法人向け・大判) のメモリーに保持されており、Wi-Fi 接続設定をリセットできないと、修理や貸出、廃棄等で第三者にプリンターが渡った場合にセキュリティリスクとなる可能性がある。回避策としては、全設定リセット実行後に無線 LAN を有効化し、再び全設定リセットを実行するというものだ。全設定リセットのオプションがないモデルの場合、LAN 設定リセットのオプションを使用する。

headless 曰く、

米政府機関が請負業者 Riva Networks を通じてイスラエル・NSO Group のスパイウェアを使用していると The New York Times が 4 月に報じた件について、連邦捜査局 (FBI) が具体的な政府機関名を調べたところ、少なくとも一部は FBI であることが判明したそうだ (The New York Times の記事、 Neowin の記事)。

問題の契約で Riva Networks が FBI に提供していた NSO 製品は Pegasus のように高度なスパイウェアではなく、基地局の情報からターゲットの位置を追跡する Landmark と呼ばれるもので、メキシコで密輸の容疑者などを追跡するのに使用していたという。FBI では 2021 年から NSO 製品が使用できないと業者に伝えていたが、Riva Networks は自社製品を使用するかのようなミスリーディングな説明をしていたそうだ。

米商務省産業安全保障局 (BIS) は 2021 年 11 月、NSO Group を輸出制限の対象となるエンティティリストに追加した。今年 3 月にはジョー・バイデン米大統領が商用スパイウェアの使用を政府機関に禁ずる大統領令に署名している。FBI では地理的位置情報を取得する Landmark のようなツールをスパイウェアとは見なしていないが、NSO Group の製品が使用できないことに変わりない。そのため、FBI では Landmark 使用が明らかになった時点で Riva Networks との契約を打ち切ったとのことだ。