パスワードを忘れた? アカウント作成

最新から新しい日記やタレこみを確認できますよ。

15544478 story
プライバシ

英国政府の資金によるソーシャルメディアのエンドツーエンド暗号化反対キャンペーン 44

ストーリー by nagazou
反対 部門より
headless 曰く、

英国政府の資金による No Place to Hide がソーシャルメディアメッセージのエンドツーエンド暗号化に反対するキャンペーンを開始した (キャンペーンサイトBetaNews の記事The Guardian の記事動画)。

キャンペーンではエンドツーエンド暗号化に反対するわけではなく、ユーザーのプライバシー保護には賛成だとする一方で、エンドツーエンド暗号化が児童性的捕食者に隠れ場所を与えることを防ぐテクノロジーを開発する必要があると主張する。

そのため、児童性的捕食者が性的な目的で子供に近寄ることや、子供の性的画像の共有や閲覧、捜査当局による検出の回避、といったことを容易にしないテクノロジーが利用可能であることを示さない限り、エンドツーエンド暗号化を実装しないようソーシャルメディア企業に要請している。

15542431 story
EU

Google Analytics、EU 域内で使用できなくなる可能性 23

ストーリー by nagazou
影響が大きいのでは 部門より
headless 曰く、

EU 域内で Google Analytics の使用ができなくなる可能性が出てきている (Neowin の記事TechCrunch の記事The Register の記事)。

オーストリアのデータ保護機関 (DSB) は Schrems II 事件に関する EU 司法裁判所の判断に照らし、Google Analytics の使用が EU の一般データ保護規則 (GDPR) に違反するとの判断を示している。この判断を受け、オランダのデータ保護機関 (AP) も 13 日、オランダにおける Google Analytics の使用が禁じられる可能性があると発表した。AP は現在 Google Analytics の使用に関する 2 件の苦情を調査しており、調査完了後に引き続き使用できるかどうかの判断を示す計画とのことだ。

15540098 story
プライバシ

iCloud プライベートリレーを米キャリアがブロックしたとの見方、キャリアと Apple が否定 4

ストーリー by nagazou
否定 部門より
headless 曰く、

米国で一部の iPhone ユーザーから iCloud プライベートリレーが機能しなくなったと報告され、キャリアがブロックしたのではないかとの見方が出ていたが、キャリア・Apple ともにこの見方を否定したそうだ (The Verge の記事Ars Technica の記事Mac Rumors の記事9to5Mac の記事)。

iCloud プライベートリレーは本人またはファミリー共有グループの誰かが iCloud+ サブスクリプションに登録している場合に利用可能なプライバシー強化機能で、現在は iOS 15 / iPadOS 15 でベータ版の機能として利用できる。欧州では大手キャリアが連名でプライベートリレーを制限するよう欧州委員会に要請していたことが報じられた直後ということもあり、キャリア側でブロックしたと疑われることになった。

しかし、米 Verizonと米 AT&T はプライベートリレーのブロックを否定。米 T-Mobile はキャリアのフィルタリングサービスを利用している場合はプライベートリレーを有効にできないと説明した。また、iOS 15.2 のバグでアップグレード時に設定がリセットされてオフになったとも説明していたが、その後バグの存在を取り消している。

Apple もアップグレード時の設定リセットを否定したほか、キャリア側でブロックすることもないと明言したとのこと。ただし、米国向け (英語) のサポートドキュメントには、特定のネットワークでプライベートリレーが無効になっている場合の対処方法が追加されている。

15537964 story
EU

欧州データ保護監察機関、犯罪と結び付けられていない個人情報を削除するよう欧州刑事警察機構に命ずる 18

ストーリー by nagazou
削除命令 部門より
headless 曰く、

欧州データ保護監察機関 (EDPS) は 10 日、データ主体がカテゴライズされていない (犯罪との関連が確立されていない) 個人情報を削除するよう 1 月 3 日に欧州刑事警察機構 (Europol) へ命じていたことを発表した (プレスリリースThe Guardian の記事The Verge の記事BetaNews の記事)。

EDPS はこの問題を 2019 年から調査しており、2020 年 9 月にはデータ主体がカテゴライズされていない大量のデータを保持し続けることは個人の基本的権利を侵害することになると Europol に勧告していた。Europol は一定の対策を講じたものの、EDPS が求めたデータの選別と個人情報抽出に必要なデータ保持期間の設定は行わなかったという。

Europol の規則はデータの最小化と保存の制限を定めており、Europol がデータを必要以上に長期間保存していることになる。そのため、EDPS が選別・抽出前のデータ保持期間を 6 か月と定め、データ主体のカテゴライズが行われないまま 6 か月以上経過したデータを消去するよう命じた。Europol には命令を順守するための猶予が 12 か月間与えられる。なお、The Guardian によれば、Europol のキャッシュには少なくとも 4 PB のデータが保存されているとのことだ。

15536913 story
通信

スイス軍、公務では国産のインスタントメッセージングアプリのみを使用するよう指示 53

ストーリー by headless
国産 部門より
スイス軍が所属者全員に対し、公務での通信に WhatsApp やSignal、Telegram のような外国製のインスタントメッセージングアプリを使用せず、国産の Threema のみを使用するよう指示したそうだ (AP News の記事The Verge の記事)。

米国ではサーバーが米国外にあってもデータの開示を要求可能な CLOUD Act が 2018 年に成立するなど、法制次第で当局がテクノロジー企業の保持するどのようなデータにでもアクセス可能になることが懸念されており、スイス企業の Threema はその対象にならないことが指示の理由の一つだという。Threema はエンドツーエンドの暗号化に対応し、電話番号や電子メールアドレスを登録することなく完全匿名で利用できる。スイス連邦最高裁は昨年 4 月、インスタントメッセージングサービスは電気通信プロバイダーにあたらないとの Threema の訴えを認めており、スイスの電気通信法が義務付けるデータ保存の対象にもならない。

アプリは有料だが、スイス軍では所属者が無料で利用可能になったことを 12 月に Facebook ページで告知していた。なお、司令官に先月送られた通知では Threema の使用を義務付け、他のアプリの使用は認めないといった表現だったそうだが、軍の報道官は表現を「推奨」に和らげ、個人のデバイスで特定のアプリを使用するよう求めることはできないし、するつもりもないと述べたとのことだ。
15536150 story
プライバシ

フランスのデータ保護当局、cookie 拒否の操作が許可の操作よりも複雑だとして Google と Facebook に制裁金 65

ストーリー by headless
複雑 部門より
フランスのデータ保護当局 CNIL (情報処理および自由に関する国家委員会) は 6 日、Google と YouTube、Facebook の cookie 保存に関するユーザーインターフェイスがフランスのデータ保護法に違反しているとして 12 月 31 日に制裁金を科したことを発表した (ニュースリリース [1][2][3])。

いずれの場合も cookie を一括して許可するボタンが用意されているのに対し、一括して拒否するボタンが用意されていない点が問題視された。これにより、1 クリックですべての cookie を許可できるのに対し、すべての cookie を拒否するには数クリックが必要となる。そのため、拒否する方の操作を故意に複雑にし、許可する方を選ばせようとしていると判断したとのこと。

制裁金額は Google LLC に 9,000 万ユーロ、Google Ireland Limited に 6,000 万ユーロ、Facebook Ireland Limited に 6,000 万ユーロ。各社が cookie により収集したデータから広告で間接的に得る利益に対して適切な金額だという。各社には修正のための猶予が 3 か月間与えられ、それまでに修正を行わない場合は 1 日遅れるごとに 10 万ユーロの制裁金を科すとのことだ。
15518576 story
EFF

EFF、Chrome 拡張機能プラットフォームの Manifest V3 に対する批判を強める 32

ストーリー by headless
批判 部門より
Google が 1 月から Chrome ウェブストアで Manifest V2 拡張機能の新規登録を停止するのを前に、EFF は Chrome 拡張機能プラットフォームの Manifest V3 に対する批判を強めている (Deeplinks Blog の記事 [1][2]Neowin の記事The Register の記事)。

Google は信頼できる Chrome 拡張にするための対策の一つとして Manifest V3 を 2018 年に発表した。Manifest V3 ではコンテンツブロッキング用途での Web Request API 使用が非推奨となり、Declative Net Request API がブロッキング用に追加される。

しかし、Declative Net Request APIではChromeが拡張機能からブロッキングルールを受け取って処理するため、フィルタリングの自由度が低下するなどと批判されている。また、当初はルールの数が3万件に制限されており、広く使われているEasyListのルールだけでも制限を超えると批判を受け、15万件まで拡大されることになった。

GoogleはManifest V3によりプライバシーとセキュリティ、パフォーマンスが向上すると主張するが、EFFは同意しない。EFFによれば、Manifest V3でも悪意ある拡張機能の登場を防ぐことはできず、その一方でイノベーションを阻害し、拡張機能の能力を低下させるほか、現実的なパフォーマンスを阻害するという。

EFFはリモートでホストされるコードの禁止を正しい判断だと述べる一方、Manifest V3に組み入れなくてもポリシー変更で対応できると指摘している。
15518476 story
スラッシュバック

Apple、子供を守る取り組みに関する Web ページから児童虐待コンテンツへの言及をすべて削除 15

ストーリー by headless
撤収 部門より
Apple が子供を守る取り組みに関する Web ページで、児童虐待コンテンツ (CSAM) に言及する記述をすべて削除している (Mac Rumors の記事Internet Archive 新旧比較)。

8 月に公開されたこの Web ページは米国向けで、Apple デバイスで子供を性的虐待から守る取り組みの強化を紹介している。取り組みの中心となるのは CSAM の拡散防止であり、iOS / iPadOS デバイスで写真を iCloud 写真へ保存する際にデバイス上でスキャンを行うなどの対策が示されていた。しかし、プライバシーなどの面で強い懸念が示され、9 月には計画延期が発表された。

今回の変更では CSAM への言及がすべて削除されたことに伴い、iCloud 写真に写真を保存する際の 対応も削除された。また、検索に関する取り組みでも CSAM への言及が削除されたほか、「メッセージ」アプリで検出する写真の種類が「露骨に性的な写真 (sexually explicit photos)」から「ヌード写真 (nudity)」に変更されている。
15516016 story
Android

Apple、持ち主から離れた場所にある AirTag を Android で検出可能なアプリを公開 13

ストーリー by nagazou
悪用されそうな気が 部門より
headless 曰く、

Apple が持ち主から離れた場所 (かつ自分の近く) にある AirTag を Android デバイスで検出可能にするアプリ「Tracker Detect」を Google Play で公開した (Softpedia の記事9to5Mac の記事CNET の記事SlashGear の記事)。

Tracker Detect は AirTag のほか、Apple の「探す」ネットワーク (Find My Network) と互換性のあるアイテムトラッカーに対応する。このようなデバイスを使用して誰かが自分を追跡している可能性がある場合、スキャンして検出を試みることができるという。

AirTag がストーキング目的などで使われることへの懸念に対し、Apple は iPhone で検知できると説明しているが、iPhone ユーザー以外は AirTag が持ち主から離れた時に鳴らし始める音に頼るしかなかった。Tracker Detect が公開されたことで、より多くの人が積極的に AirTag を検出できるようになる。なお、Tracker Detect の利用には Android 9 以降が必要だ。

15510321 story
Google

Google 曰く、ユーザーのアカウント侵害と Google の修理拠点に送られた Pixel スマートフォンは無関係 8

ストーリー by nagazou
誤報なのかな 部門より
headless 曰く、

返品交換保証 (RMA) を受けるためにGoogleの修理拠点へデバイスを送ったユーザーのアカウントが侵害された問題について、少なくともうち 1 件はRMAと無関係だという (The Verge の記事9to5Google の記事)。

Google が確認したのはゲームデザイナーのジェーン・マゴニガル氏が Twitter で報告したものだ。当初 Google は The Verge に調査中だと回答していたが、徹底的な調査の結果デバイスの RMA とは無関係との結論に達したとのこと。

ただし、この件についてマゴニガル氏は Google に届いているはずのデバイス (Pixel 5a) が行方不明になっていると (削除したツイートで) 報告しており、このデバイスは行方不明のままのようだ。なお、もう 1 件は Reddit で報告されたものだが、投稿者は投稿だけでなくアカウントも削除しているため、続報もない。

15508177 story
Google

Google の修理拠点に送った Pixel スマートフォンが不正にアクセスされたという 2 件の報告 29

ストーリー by nagazou
またですか…… 部門より
headless 曰く、

返品交換保証 (RMA) を受けるために Google のテキサスの修理拠点へ送った Pixel スマートフォンが不正にアクセスされ、Google アカウントやその他のアカウントが侵害されたとの報告が 2 件出ている (Android Police の記事The Verge の記事9to5Google の記事SlashGear の記事)。

1 件は Reddit で報告されたもので投稿は既に削除されているが、投稿者の妻が故障した Pixel を Google へ送ってから 1 か月ほどして妻のソーシャルメディアアカウントに妻のヌード写真が投稿され、妻の PayPal アカウントで誰かに 5 ドルが送金されたという。Facebook と Instagram のデータはテキサスからのログインを示しており、古い端末の位置情報は投稿日にも送付先の建物を示していたとのこと。

もう 1 件はゲームデザイナーのジェーン・マゴニガル氏が Twitter で報告したものだ。マゴニガル氏は Google に返送した Pixel 5a が届かなかったとして代金を課金された上、1 か月以上経っても新しい端末は送られてこないと報告していたが、その後 Googleアカウントなどに誰かがログインし、下着姿などを含む多数のセルフィーが閲覧されていたという。なお、こちらもアカウント侵害関連の投稿は削除済みとなっている。

Google は修理・交換のため端末を送る前にはバックアップを取ってから初期化するよう推奨しているが、いずれの端末も故障のために操作不可能だった点が共通している。前者は新しい端末を受け取ったようだが、修理拠点で何者かが古い端末を修理してアカウントにアクセスしたとみられる。後者に関して Google は The Verge に調査中だと回答しているが、端末が現在どこにあるのかも把握できていないようだ。

Apple の正規サービスプロバイダーでも 2016 年に同様の問題が発生しており、Appleが被害者に数百万ドルを支払ったと今年6月に報じられた。

15502075 story
Twitter

Twitter、著名人以外の個人の写真や動画を承諾なしに共有することを禁ずるポリシー改訂 22

ストーリー by nagazou
改訂 部門より
headless 曰く、

Twitter が「個人情報に関するポリシー」を「個人情報および個人メディアに関するポリシー」へ改訂し、11 月 30 日から全世界で適用を開始した (Twitter のブログ記事ポリシー英語版)。

「メディア」は写真や動画などを指し、著名人以外の個人を被写体としたプライベートなメディアは本人の承諾なしに Twitter 上で共有することが禁じられる。ただし、報道として価値のあるメディアや公共の利益にかなうメディア、既にメインストリームのニュース等で報道されているメディアなどはポリシーの対象から除外される。

投稿時に承諾を得ていることの証明は求められないが、本人またはその代理人から承諾していないとの報告があれば削除されることになる。

15491641 story
Firefox

Firefox ユーザーが誤って GitHub にアップロードしたとみられる cookie データベース数千件が見つかる 36

ストーリー by nagazou
やらかし 部門より
headless 曰く、

数千人の Firefox ユーザーが誤ってアップロードしたとみられる Firefox の cookie データベースファイル「cookies.sqlite」が GitHub の公開リポジトリで見つかったそうだ (The Register の記事)。

発見した英国の列車・長距離バス予約アプリ Trainline のセキュリティエンジニア Aidan Marlin 氏は問題を HackerOne で報告したが、GitHub からはユーザーが自ら公開した認証情報は脆弱性報告報奨金プログラムの対象にならないと言われたうえ、公表も自由にしていいと言われたため、怒って The Register にタレ込んだらしい。

Marlin 氏は個人情報が関わっていることから英情報コミッショナーオフィス (ICO) にも報告したといい、誤ってデータベースをアップロードしたユーザーの責任ではあるものの、個人情報を含むファイルが 4,500 件近く見つかっている以上、GitHub も何らかの対応をすべきだと主張する。

GitHub ではユーザーが誤ってアップロードしたクラウドの認証情報をスキャンし、公開リポジトリで見つかった場合は該当のクラウドプロバイダーに通知して失効させるサービスを 2015 年から行っている。クラウドの認証情報とは異なるものだが、The Register では Firefox の cookie データベースもスキャン対象に追加すべきだと述べている。

15491334 story
Facebook

Meta、Facebook の偽アカウントなどを使用した監視活動をやめるよう米ロサンゼルス市警に要請 22

ストーリー by headless
要請 部門より
Meta が米ロサンゼルス市警 (LAPD) に対し、Facebook 上での偽アカウント運用やなりすまし、監視を目的とした情報収集活動などをやめるよう要請している (書状: PDFThe Guardian の記事)。

この件は LAPD がソーシャルメディア上での偽アカウントやなりすましによる監視活動を警官に認めていることや、監視活動をソーシャルメディア調査企業に依頼していることを Brennan Center for Justice などが報じたことを受けたものだ。

Meta では警官による偽アカウント使用などを認める LAPD のポリシーが正当かどうかについては LAPD 次第だとしつつ、Facebook の利用にあたっては偽アカウントやなりすまし、アカウントの悪用を禁ずるコミュニティ基準に従う必要があると述べている。

また、Facebook のポリシーでは開発者が収集したデータを監視目的で使用することを禁じており、警官や外部企業による Facebook 上での監視活動をすべて即時中止するよう求めている。
15491147 story
プライバシ

DuckDuckGo、Android アプリのユーザートラッキングをブロックする機能を発表 14

ストーリー by headless
阻止 部門より
DuckDuckGo は 18 日、Android アプリに組み込まれたユーザートラッキング用のトラッカーをブロックする「App Tracking Protection」機能を発表した (DuckDuckGo News の記事Neowin の記事Ars Technica の記事Ghacks の記事)。

App Tracking Protection は DuckDuckGo Private Browser アプリに新機能として追加されるもので、現在は招待制でベータテストが行われている。機能としてはローカル VPN として動作し、他のアプリのトラフィックを処理する形になる。

ベータテストに参加するには、DuckDuckGo アプリの設定画面で「App Tracking Protection」を開き、ベータ版のウェイトリストに登録すればいい。あとは参加準備が整い次第通知が送られてくる。

DuckDuckGo がテストした人気の無料 Android アプリの 96 % がサードパーティーのトラッカーを含んでおり、87 % が Google に、68 % が Facebook にデータを送信しているという。Apple は iOS 14 でアプリによるユーザートラッキングを許可制にし、多くのユーザーがトラッキングをオプトアウトしているが、大多数のモバイルユーザーが使用する Android には同様の機能がないためApp Tracking Protection の提供を決めたとのことだ。
typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...