パスワードを忘れた? アカウント作成

ログインするとコメント表示数や表示方法をカスタマイズできるのを知っていますか?

13505316 story
Twitter

Twitter社の従業員はユーザーのダイレクトメッセージなどを簡単に閲覧できるという疑惑、Twitterは否定 40

ストーリー by hylom
最近ろくな話を聞かないTwitter 部門より
あるAnonymous Coward曰く、

Twitter社の多くの従業員が、利用者のダイレクトメッセージ(DM)や削除済み投稿といった普通は閲覧できない情報を閲覧しているという話が海外で話題になっている(BuzzFeedNEWSTechCrunchSlashdot)。

発端となったのは、保守派活動家で映画制作者のJames O'Keefe氏が公開したTwitterエンジニアの映像。この映像の内容はTwitter従業員に対しインタビューを行うというものだが、そこで同社の何百人もの従業員がダイレクトメッセージや削除されたツイートを含む投稿内容のすべてを閲覧しているという話が出たという。これに対しTwitterは、動画のの内容はO'Keefe氏が所有しているメディア組織Project Veritasによって誤解を招きやすい方向に誘導されたものだとし否定した。

Twitterによれば、DMを見ることができるのは限られた人数のみであり、仕事上の正当な理由なくしてそのような情報にアクセスすることはできないという。しかし、こうしたアクセス権を持つ従業員の人数や機密ユーザーデータを保護するための予防措置の詳細についてTwitterは回答を避けたという。

元Twitter関係者によれば、Project Veritasの動画はまあまあ正確だが、酔っ払い従業員による誇張なども含まれており、DMのような機密情報にアクセスできる従業員は少ないと語ったという。

13503898 story
お金

給与天引きされる税額を市町村が企業に通知する書類へのマイナンバー記載、中止に。漏えいやコストが理由 61

ストーリー by hylom
こういったことを想定してなかったのだろうか 部門より

会社員の場合、住民税など一部の税金は給与から天引きされて徴収される仕組みになっているが、天引きする地方税額を市町村が企業に対し知らせる通知書へのマイナンバー記載が当面見送られることになるという。2017年度から記載が義務付けられたが、誤送付などによる番号漏えいや番号保管コストといった問題があったことが理由(北海道新聞)。

マイナンバーの記載がなくとも実務に支障はないとのこと。実際、マイナンバー導入以前でも問題なくこれらに関する業務は行われていた。

13502973 story
プライバシ

中国訪問経験者のiCloudデータ、中国サーバに移動する恐れ 30

ストーリー by hylom
見えないルール 部門より
あるAnonymous Coward曰く、

中国がVPNに対する規制を強めていることはたびたび報じられているが、これを受けてAppleが中国本土でiCloudを使うユーザーのデータを中国のサーバに移動することを発表した。データの移動は2月末から行われる予定。これは中国人のみならず、中国に訪問したことがある人についても影響があるという(9to5macSlashdot)。

公式には、「国や地域の設定が中国になっているApple IDに紐づけられているiCloudサービスの運用」が移管対象とされている。具体的には、中国本土でApple IDを作成した場合と、中国本土に滞在する際にApple IDの国と地域を変更したユーザーが対象に含まれるという。データの移管先は中国企業であり、中国当局によってこれらのデータにアクセスされる可能性があることが懸念されている。

該当者にはAppleがメールで通知が行われるため、Apple IDの国と地域を本来の設定に戻すことが必要だとしている(AppBankTechCrunch)。

13499902 story
プライバシ

ネットへの投稿を収集して分析し、人材を求める企業に提供するサービスが登場、合法か違法か 60

ストーリー by hylom
適法にやる手段はあるだろうに 部門より

SNSやブログへの投稿やプロフィールを収集し、それをその投稿者に無断で企業に提供するというサービスがあるそうだ(NHK)。

このサービス「scouty」は、公開されているブログやSNSなどから情報を収集し、それらをまとめたものを人材を募集している企業に提供するというもの。レポジトリ共有サ―ビスや技術情報共有サービス、SNS、イベント情報サイト、個人ブログなどから情報を取得しているとのこと。

いっぽう、セキュリティやプライバシ問題の研究者である高木浩光氏はこのサービスに対し「違法では?」と疑問を呈している。同社はWHOIS情報から連絡先を集めていると公言しているが、これはWHOISの利用規約違反となる可能性があるという。さらに、情報が収集されることを希望しない個人に対してはデータの削除申請を受け付けるとしているものの、同社のプライバシーポリシーでは利用停止の条件として「あらかじめ公表された利用目的の範囲を超えて取り扱われているという理由又は偽りその他不正の手段により取得されたものであるという理由」が必要とされているなど、このサービスでは適切に個人情報を取り扱っているのかという点において疑問があるようだ。

13494231 story
プライバシ

大学の講義出欠確認用スマホアプリが話題に、GPSで学生を追跡している? 132

ストーリー by hylom
監視社会への第一歩 部門より
hylom 曰く、

岩手大学や長崎県立大学などが導入している、講義の出欠確認用スマートフォンアプリがGPSで学生を追跡しているのではないかとして話題になっている(Shota Omi氏のTweet)。

このアプリは富士通が開発したもので、アプリのページでは次のように説明されている。

「Campus eMe」は位置情報とビーコンを利用して、講義中にスマートフォンから自動的に出席を報告します。

岩手大学が学生向けに行った説明によると、教室に設置したビーコンとBluetoothで通信して出欠を把握するシステムになっているとのこと。そのためBluetoothが有効になっていればGPSはOFFでも構わないとのことだが、いっぽうでアプリに対し位置情報の利用権限を与える際のポップアップ画面では位置情報の利用を許可しないと出席報告が正常に行われないとの説明がされるという(高木浩光氏のTweet)。

13493280 story
Twitter

ジョン・マカフィー曰く、2要素認証を有効にしたらTwitterアカウントがハックされた 30

ストーリー by headless
伝説 部門より
自身のTwitterアカウントが2要素認証を有効にしたせいでハックされたと「サイバーセキュリティのレジェンド」ジョン・マカフィー氏が主張している(HackReadの記事BetaNewsの記事BBC Newsの記事)。

マカフィー氏は12月21日から「Coin of the day」として、あまり知られていない今後が期待される仮想通貨を毎日Twitterで紹介していたが、26日をもっていったん休止し、毎週月曜日の朝(初回は1月1日)に「Coin of the week」として再開すると宣言していた。しかし、27日に偽の「Coin of the day」がマカフィー氏のアカウントで複数投稿されたらしい。

マカフィー氏はアカウントがハックされ、Twitterに通知したとツイートし、偽投稿は既に削除されている。別のツイートではセキュリティのエキスパートであってもTwitterのセキュリティまでは手が届かないとし、自身がハッカーの恨みを買って攻撃のターゲットになっているとも述べている。マカフィー氏の偽アカウントたびたび出現しているようだ。状況に関する質問に対しては、携帯電話が乗っ取られたらしいと返信しており、BBCの取材には2要素認証を有効にした際に認証コードがハッカーに盗み見られたとの見解を示したとのこと。その後マカフィー氏はすべてのアカウントで2要素認証を無効にしたそうだ。

どのような攻撃を受けたのかは不明だが、HackReadの記事では共通線信号No.7(SS7)の脆弱性が使われた可能性を指摘している。マカフィー氏が最高サイバーセキュリティビジョナリーを務めるMGT Capitalではセキュリティに主眼を置いたスマートフォン「Privacy Phone」バージョン2を2018年に発売する計画だが、攻撃にあった携帯電話の機種に関する質問には回答していない。レジェンドの思わぬ失態を面白がっているセキュリティ専門家もいるようだ。
13476322 story
EU

欧州委員会、米企業が米国外に保存したデータに対する米捜査令状の有効性をめぐる米国での裁判に法廷助言書 17

ストーリー by headless
助言 部門より
欧州委員会は7日、米国外のサーバーに保存されたデータの開示を米国の捜査令状で強制可能かどうかについて2014年から争われている米国での裁判に対し、米連邦最高裁への法廷助言書提出を決定したことを明らかにした(プレスリリースThe Registerの記事On MSFTの記事Reutersの記事)。

令状は麻薬捜査に関連したもので、Microsoftに電子メールサービスのユーザーデータを開示するよう命じる内容だ。ただし、送受信したメッセージについてはアイルランド・ダブリンのデータセンターに保存されているため、Microsoftは令状を無効として開示を拒否している。裁判では1審の連邦地裁が令状を有効2審の控訴裁判所では無効と判断し、米政府側の再審理請求も控訴裁判所全法廷が却下していた。そのため米政府は連邦最高裁に上告し、10月に上告が受理されている。

欧州委員会では法廷助言書の提出について、MicrosoftがEU域内から米国に個人情報を転送すればEUのデータ保護規定違反になるとし、米連邦最高裁が国際的なデータ転送に関するEUのデータ保護規定を正しく理解・斟酌した判断を示すようにすることがEUの利益につながると述べている。なお、法廷助言書はMicrosoftと米政府のいずれかを支持するものではないとのことだ。
13472847 story
Android

Google、ユーザーの合意なく個人情報を収集するAndroidアプリで警告を表示する計画 9

ストーリー by hylom
今更 部門より
headless曰く、

Googleは1日、「望ましくないソフトウェアのポリシー」の適用対象を拡大し、ユーザーの合意なく個人情報や端末情報を収集するAndroidアプリで警告を表示する計画を発表した(Google Security Blog9to5GoogleRegisterBetaNews)。

アプリがユーザーの個人情報や端末情報を扱う場合、アプリ内でのユーザーへの通知とプライバシーポリシーの提供が必要となる。さらに、アプリの機能と関連しないデータを収集・送信する場合は事前に使用目的を明示し、合意を得ることも必要だ。データ収集の要件はアプリの全機能に適用され、たとえばクラッシュリポート送信時にアプリと無関係なインストール済みパッケージのリストを含める、といった場合にも使用目的を明示して合意を得る必要があるとのこと。

これらの要件はGoogle Play以外で配布されるアプリにも適用され、違反アプリでは今後60日以内にGoogle Play Protectまたはアプリを配布するWebページで警告が表示されるようになる。違反アプリによる警告の問題を解決するための情報を得るには、Search Console(要ログイン)やSearch Consoleヘルプを参照するといいだろう。また、アプリ開発者は「アプリの確認と異議申し立て」により、Google Playで配布するアプリだけでなく、Google Play以外で配布するアプリの確認を要求することも可能だ。このほか、Google Playで配布するアプリのユーザーデータに関するポリシーはDeveloper Policy Centerで確認できる。

13468376 story
プライバシ

元Facebookエンジニア、Torの匿名ネットワークから直接Wikipediaへアクセスできる仕組みを開発 10

ストーリー by hylom
闇のWikipediaではない 部門より
あるAnonymous Coward曰く、

Torなどを使った匿名ネットワークはダークWebなどと言われているが、元Facebookのエンジニアによって、このダークWeb上で安全にWikipediaにアクセスできるシステムが構築されているという(MOTHERBOARD、開発者のAlec Muffett氏による告知)。

Wikipediaはいくつかの国・地域ではアクセスが制限されている。また、シリアではWikipedia貢献者が処刑されるという出来事もあった。こういった背景の下、利用者のプライバシが保たれ安全に閲覧・編集ができるWikipediaが求められているという。

TorはWebサイトへの匿名アクセスを実現するためにも使われており、この仕組みを使ってWikipediaにアクセスすることもできるが、この場合Torネットワークを抜けてWikipediaのサーバーに接続する部分は暗号化されていないという。一方、今回開発された仕組みではトラフィックはTorネットワーク外を通らないため、より安全にWikipediaにアクセスできるようだ。ただ、Wikipediaは現在Tor経由での書き込みができないようになっているという。

なお、これを開発したのはTorによる匿名回線からFacebookへ接続する仕組み(過去記事)を作ったエンジニアだそうだ。

13464667 story
プライバシ

Microsoft、Webブラウザーのブラウジングモードを自動で切り替える技法の特許を出願 34

ストーリー by headless
自動 部門より
Webブラウザーのアクセス先によって自動でブラウジングモードを切り替える技法に関する特許をMicrosoftが出願している(WO/2017/200778Neowinの記事On MSFTの記事MSPoweruserの記事)。

モダンなWebブラウザーの多くには閲覧履歴を保持しない「プライベートモード」が実装されているが、利用するにはユーザーがその都度選択する必要がある。出願中の特許ではアクセス先サイトのコンテンツやユーザー定義のリストなど、さまざまなトリガーを利用してブラウジングモードを自動で切り替えることが可能となる。

出願書類ではアダルトコンテンツと関連付けられたWebサイトや、安全でない可能性のあるコンテンツと関連付けられたWebサイトへアクセスする際にプライベートモードへ切り替えるといった例が挙げられている。ブラウジングモードとしては通常モードとプライベートモードの2種類で説明されているが、さらに異なるモードも想定しているようだ。

出願した特許がすべて製品に反映されるわけではないが、スラドの皆さんはブラウジングモードの自動切り替え機能を利用したいだろうか。
13464469 story
プライバシ

Mozilla、個人情報が流出したWebサイトの通知機能をFirefoxに追加する計画 17

ストーリー by headless
通知 部門より
Mozillaでは、個人情報流出の発生したWebサイトにFirefoxでアクセスした際、その旨をユーザーに通知する機能の開発を進めているそうだ(Firefox Nightly Newsの記事The Registerの記事BleepingComputerの記事GitHub - BreachAlerts)。

この機能はアカウント情報流出を確認できるWebサイト「Have I been pwned?」のAPIを利用したものだ。現在、Firefox 58/59に拡張機能として追加可能なプロトタイプがGitHubで公開されている。目標としては個人情報流出の被害が最近発生したWebサイトを訪問するユーザーに情報提供し、ユーザーが希望すれば電子メールでの通知サービスも利用可能にすることとなっている。

ただし、プロトタイプではadobe.comlinkedin.comのように、個人情報流出の発生から時間が経ったWebサイトでも通知が表示されるという。また、電子メールでの通知サービスを利用する場合、電子メールアドレスがHave I been pwned?に送られることになるため、プライバシーの問題が懸念される。このプロジェクトはまだ初期の段階だが、ユーザーのプライバシーに影響を与えずに有益な機能を提供する方法の模索が行われているようだ。
13463381 story
プライバシ

銃乱射事件犯のiPhoneロック解除を巡り再び騒動に 43

ストーリー by hylom
クラウドにあるものは漏れると思ったほうがよいのかも 部門より

11月に発生した米テキサス州での銃乱射事件で、容疑者のものとみられるiPhone SEが発見された。捜査当局はこのiPhoneの調査を進めるため独自でのロック解除を試みたものの失敗、結局Appleに情報開示を要請する事態になっているという(Engadget JapaneseCNET Japanギズモード・ジャパン)。

Appleは当初協力を申し出たものの、FBIはこれに応じずに独自にロック解除を試みたそうだ。しかしこれに失敗したため、捜査令状を出してAppleにデータの開示を求めた模様。いっぽうApple側はユーザーのプライバシを守るため相当な理由と捜査令状が無い限りはデータの提出には応じないというポリシーを設定しており、どのような対応をするかに注目が集まっているようだ。

13461898 story
Google

Google、位置情報サービスをオフにしたAndroid端末からも基地局情報を収集していた 142

ストーリー by hylom
取れるものはとっとけ精神 部門より

GoogleがAndroid端末の位置情報サービスをオフにしている場合でも、その位置を特定できる情報を収集していたことが判明した。アプリが実行されていなかったり、SIMカードが挿入されていない場合でもこの情報収集は行われていたという(CNET JapanGIGAZINEITmediaガジェット通信)。

Android端末でのプッシュ通知やメッセージ管理のためにGoogleのサーバーに送信される情報に基地局の情報(Cell ID)が含まれていたという。少なくとも2017年初頭から全てのAndroid端末で送信されていたとのことだが、Googleは指摘を受けて11月末までにこの情報収集をやめるとしている。

13461611 story
アメリカ合衆国

米軍が過去8年にわたって収集した大量のインターネット投稿、Amazon S3で誤って公開されていたことが判明 15

ストーリー by hylom
さすがの規模 部門より
headless曰く、

セキュリティ企業UpGuardのCyber Risk Teamは17日、米軍が過去8年にわたり収集した大量のインターネット投稿を含む3つのAmazon S3バケットが公開状態になっていたことを公表した(UpGuard — Breach Analysis BlogThe RegisterArs Technica)。

3つのバケットのAWSサブドメインは「centcom-backup」「centcom-archive」「pacom-archive」となっており、AWSアカウントでログインすれば誰でも閲覧可能な状態になっていたという。CENTCOMは米中央軍、PACOMは米太平洋軍の略称だ。データは米政府の委託業者「VendorX」が管理していたものとみられている。

VendorXに関する情報は少ないが、従業員のLinkedInページによれば、米中央軍および米国防総省の委託を受けて「Outpost」という多言語のソーシャルアナリティックスプラットフォームを開発・運用していたようだ。Outpostは世界の不安定な地域で(テロリストになる)リスクの高い若者に良い影響を与えることを目的として作られたとされる。

インターネット投稿はニュースサイトのコメント欄やソーシャルメディアなどからスクレイプされたもので、centcom-backupおよびcentcom-archiveでは中東や南アジアからの投稿が中心だが、米国市民による投稿も含まれていたそうだ。一方、pacom-archiveでは東南アジアや東アジアからの投稿が中心で、オーストラリアからの投稿も含まれていたとのこと。ただし、投稿の中には紛争とは無縁な地域からのものや、全く無害な内容のものも多数含まれており、無関係な投稿を大量に収集していた理由は不明だ。

centcom-backupにはスクレイピングされたインターネット投稿のほか、Outpost関連とみられるファイルや、諜報対象者のつながりを分析する「Coral Reef」関連とみられるファイル、Apache Luceneのインデックスファイルも含まれていたという。一方、centcom-archiveとpacom-archiveには未処理のインターネット投稿が大量に含まれており、centcom-archiveだけで少なくとも18億件に上るそうだ。

AWSでは誤設定によりデータが公開状態になるトラブルが繰り返し発生しており、警告表示などの対策が追加されているが、UpGuardが問題を発見したのは対策適用前の9月6日だったという。UpGuardは問題を米軍に通知し、現在バケットは非表示化されている。UpGuardのChris Vickery氏によれば、米軍に対する連絡は一方通行になるものだが、今回は珍しく感謝の返信が届いたとのことだ。

13459303 story
プライバシ

ドイツ連邦ネットワーク庁、リモートから周囲の音を聞くことのできる子供向けスマートウォッチを禁止 49

ストーリー by headless
盗聴 部門より
ドイツ連邦ネットワーク庁は17日、周囲の音をリモートから聞くことのできる子供向けスマートウォッチの販売を禁止することを発表した(プレスリリースheise onlineの記事SPIEGEL ONLINEの記事The Guardianの記事)。

対象となるのはSIMカードを搭載した子供向けスマートウォッチで、保護者がアプリから設定を行うことにより任意の電話番号から接続して子供の周囲の音を聞くことができるものだという。これによりスマートウォッチを装用している子供や周辺の人に知られることなく会話を聞くことが可能になるため、ドイツでは使用が禁じられている違法な送信システム(盗聴器)扱いになるとのこと。

連邦ネットワーク庁ではこのようなスマートウォッチの販売を禁ずるほか、購入者に対しては破壊してその証明を送るように求めている。また、この機能は学校の教室で使われることも多いため、教師にも注意を払うよう促す。なお、ドイツの法律では他の物品に偽装した隠しカメラや隠しマイクの所有・製造・販売・輸入が禁じられており、違反者には最高25,000ユーロの罰金が科せられるとのことだ。
typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...