パスワードを忘れた? アカウント作成

最新から新しい日記やタレこみを確認できますよ。

15280078 story
Google

Google Playもアプリのプライバシーに関する情報を明示へ 10

ストーリー by nagazou
追従 部門より
headless 曰く、

Googleは6日、Google Playのアプリがユーザーから収集するデータの扱いについて明示する安全性セクションの追加計画を明らかにした(Android Developers Blogの記事)。

安全性セクションはアプリのプライバシーに関する情報を開発者が容易に公開し、ユーザーが容易に確認できるようにするものだ。アプリが収集または共有するデータの種類や用途に加え、1)データの暗号化などセキュリティに配慮しているか、2)ファミリーポリシーに従っているか、3)機能上必要なデータまたはユーザーが許可した場合に限定してデータを収集するか、4)安全性セクションの内容がサードパーティーにより確認されているか、5)ユーザーがデータの削除を要求できるか、といった要素が導入されるとのこと。

Appleは既にApp Storeでアプリのプライバシー情報表示を開始しているが、Google Playの安全性セクションも同様のものになるとみられる。開発者の正直さに依存し、不正確な情報の申告が判明した場合に修正を求める点もApp Storeと同様だ。

安全性セクションに関するポリシーは第3四半期に公開され、第4四半期にはGoogle Playコンソールで開発者が安全性セクションに表示する情報の設定が可能になる。ユーザーが情報を閲覧可能になるのは2022年第1四半期で、第2四半期には既存・新規を問わず、安全性セクションに表示する情報の設定がすべての開発者に義務付けられる。

15278904 story
マイクロソフト

Microsoft、EU域内の組織ユーザーがデータを域内から一切出さずにクラウドサービスを利用可能にする計画 27

ストーリー by headless
計画 部門より
Microsoftは6日、EU域内の民間・公共部門の顧客が利用する同社のオンラインサービスについて、すべてのデータをEU域内で処理・保存可能にする「EU Data Boundary for the Microsoft Cloud」計画を発表した(EU Policy Blogの記事Microsoft Tech Communityのブログ記事Neowinの記事Windows Centralの記事)。

Microsoftのオンラインサービスの多くは既に顧客が指定した地理的な場所に顧客のデータを保存するオプションを提供しており、Azureサービスの多くで顧客のデータを処理・保存する地理的な場所を選択可能になっている。2022年末までに完了するEU Data Boundaryはこれをさらに進めるもので、EU域内の組織ユーザーはデータをEU域内から一切出さずにMicrosoftの主要なクラウドサービス(Azure/Microsoft 365/Dynamics 365)を利用できるようになる。
15277061 story
EFF

HTTPS Everywhereが自前ルールセットの更新を終了へ 6

ストーリー by nagazou
終了 部門より
あるAnonymous Coward 曰く、

電子フロンティア財団(EFF)は4月15日、Tor Projectと共同開発しているWebブラウザ拡張機能「HTTPS Everywhere」のルールセットHTTPS Everywhere AtlasDuckDuckGo Smarter Encryptionに切り替える方針を明らかにした(EFFの発表)。発表文はDuckDuckGoとの提携を強調するものだが、詳細を説明したブログによると、自前のルールセットを段階的に廃止したのち、なんと拡張機能それ自体の廃止に取り組む予定なのだという(EFFのブログ)。

HTTPS Everywhereは、ルールセットに基づいてHTTPアクセスをHTTPSに置き換える、またはすべてのHTTPアクセスを強制的にHTTPSに置き換える機能を備え、AMOではユーザー数トップ20に数えられる人気の拡張機能。2010年にリリースされて以降、RFC 6797-HTTP Strict Transport Security (HSTS)の標準化、Google ChromeのHSTS Preloadリスト策定、常時SSL(AOSSL)の普及といった環境の変化を経て、最近ではMozilla FirefoxのHTTPS-OnlyモードMicrosoft EdgeのAutomatic HTTPSなど、ブラウザにHTTPS Everywhereと同等の機能を内蔵する動きが進んでいる。

元々HTTPS Everywhereはいつの日か必要とされないことを究極の目標に掲げており、その本懐を果たしつつあるというのが根幹にあるようだ。EFFは将来的にDuckDuckGo Privacy Essentialsに移行するか、デフォルトでHTTPSを使用するブラウザを使用することを推奨している。

情報元へのリンク

15275378 story
プライバシ

英情報コミッショナー事務局、ユーザーの意図に反した追跡を損害と認めなければデータ侵害を取り締まれなくなると示唆 17

ストーリー by headless
損害 部門より
英情報コミッショナー事務局(ICO)が英最高裁に対し、ユーザーが自分のデータをコントロールできなくなることを「損害」と認めなければデータ侵害を取り締まれなくなると示唆しているそうだ(The Registerの記事[1][2]HackReadの記事)。

本件はGoogleがiPhoneのSafariでデフォルト設定のサードパーティcookieブロックを迂回し、ユーザーを追跡していたことについて2017年に提起された代表訴訟に関するものだ。一審では訴えが認められなかったが、二審で逆転したため、Googleが上告していた。ICOは訴訟当事者ではないが、代理人の弁護士が第三者として訴訟に加わっている。

オプトイン方式の日本の集団訴訟とは異なり、英国(イングランドとウェールズ)の代表訴訟は同じ損害を受けたすべての人を原告代表が代表する点で米国のクラスアクション訴訟に近いものだが、代表される全員がまったく同じ利害関係を持つ必要があるという。そのため、Google側はユーザー追跡による損害を受けた人が何人いるか確認しようがなく、訴訟は棄却されるべきだと主張しているとのこと。

しかし、ユーザーの意図に反してWebアクセスを追跡すれば、ユーザーが自分のデータをコントロールできなくなることになる。そのため、ユーザーの意図に反する追跡自体が損害と認められなければ、データ侵害が発生してもデータの悪用による被害が発生しない限り取り締まれなくなる、というのがICOの弁護士の見解のようだ。
15275329 story
インターネット

Vivaldi 3.8リリース、cookieダイアログやバナーの非表示化が可能に 20

ストーリー by headless
阻止 部門より
4月29日にリリースされたVivaldi 3.8では、cookieの合意要求(ダイアログボックスやバナー)を非表示化する「Cookie Crumbler」が利用可能になっている(Vivaldiのブログ記事The Vergeの記事Ghacksの維持SlashGearの記事)。

Cookie Crumblerを使用するには、Vivaldi設定画面の「プライバシー→トラッカー・広告ブロック」の「ブロックレベル」で「トラッカーと広告をブロック」を選択する必要がある。あとは「個別設定」の「ソースを管理」ボタンをクリックして「広告ブロッカーのソース」で「Cookie同意ポップアップ除去 (Easylist Cookie List)」と「Cookie同意ポップアップ除去 (I don't care about cookies)」にチェックを入れればいい。この機能はAndroid版のVivaldi 3.8でも利用可能だ。

また、VivaldiはGoogleが開発中のサードパーティcookieを使用せずに関連性の高い広告を表示するFLoC(Federated Learning of Cohorts)の非サポートを表明しているが、本バージョンからFLoCのコンポーネントをブロックするようになるとのことだ。
15275313 story
Facebook

FacebookアプリとInstagramアプリ、iOS 14.5でユーザートラッキング許可を求める理由の表示を開始 15

ストーリー by headless
理由 部門より
FacebookがiOS 14.5上のFacebookアプリとInstagramアプリで、ユーザートラッキング許可を求める理由を説明する画面の表示を開始した(About Facebookの記事The Vergeの記事Mac Rumorsの記事9to5Macの記事)。

この画面はiOS 14.5で広告表示を改善するためのユーザートラッキングにユーザーの許可が必要になったことと、アプリがユーザートラッキングにより取得したデータの用途を説明するものだ。データの用途としては、よりパーソナライズされた広告を表示すること、Facebook/Instagramを無料で利用可能にし続けること、顧客へのリーチを広告に依存するビジネスをサポートすること、の3点が挙げられている。

Facebookによれば、Appleが追加の事情説明をすることを認めているため、Appleのプロンプトが表示される前に情報を提供することにしたそうだ。Facebookは計画を4月26日にブログ記事で公表していたが、もともと昨年12月に公開された記事への追記だったため、実際に画面表示が開始されるまで注目されていなかったようだ。
15272676 story
Google

GoogleのCOVID-19接触通知システム、プライバシーリスクにつながるデータをプリインストールアプリが読み取り可能 7

ストーリー by nagazou
日本はプリインストールアプリ多いからなあ 部門より
headless 曰く、

GoogleのCOVID-19接触通知システムで、プライバシーリスクにつながるデータがサードパーティーのプリインストールアプリから読み取れる状態になっていたそうだ(The AppCensus Blogの記事The Markupの記事The Vergeの記事SlashGearの記事)。

問題のデータは近くにいるユーザー同士が送受信する近接識別子「Rolling Proximity Identifier (RPI)」と、RPIを送ってきたユーザーのMACアドレスだ。GoogleのシステムではこれらのデータをAndroidのシステムログへ書き込むようになっていたという。ユーザーがインストールしたアプリはシステムログを読み取ることはできないが、プリインストールアプリは読み取り可能だ。発見者のAppCensusによれば、システムログ読み取りのパーミッションを得たプリインストールアプリは数多くあるようだ。

RPIは公開されるデータなので一見問題なさそうだが、MACアドレスと組み合わせて大量のデータを照合すればユーザー同士の相関図を作ることができる。また、RPIは10~20分ごとに更新されるものの、陽性者が保健当局に秘密鍵「Temporary Exposure Key (TEK)」を提供し、診断鍵として公開された場合、その陽性者に複数のRPIを結び付けることも可能になる。さらに、ユーザーに接触の有無を通知する際、そのデータもシステムログに記録されるとのこと。そのため、個人を特定可能なデータをログに記録しない、というAndroidのベストプラクティスをGoogle自身が守っていないとAppCensusは批判する。

AppCensusは今回の調査を米国土安全保障省(DHS)科学技術局(S&T)から受注して実施しており、この問題を2月に報奨金プログラムを通じてGoogleへ報告したという。しかし、Googleは報告を却下し、自らバグ報告後の修正期限として推奨する60日以上経過しても修正する様子がなかったため、倫理面について議論した末に開示を決めたとのこと。一方、Googleは報告を受けて数週間前に修正をロールアウトし、今後数日中に完了する見込みだとThe Markupに伝えたとのことだ。

15266852 story
お金

Microsoft StoreやSpotifyの偽ページ、広告で誘導して情報窃取マルウェアを配布 2

ストーリー by nagazou
巧妙化 部門より
headless 曰く、

Microsoft Storeなどの偽ページを通じた情報窃取キャンペーンが確認されたとしてESETが注意喚起している(BleepingComputerの記事SlashGearの記事Windows Centralの記事ESET researchのツイート)。

ESETによれば情報窃取キャンペーンは南米のユーザーをターゲットにしたもので、「cdnserverhostingdomainname[.]site」というドメインでホストされている。攻撃用ページはMicrosoft Storeのほか、SpotifyとオンラインPDFコンバーター「FreePDFConvert」の偽物が確認されているという。直接たどり着くことはなさそうな偽ページだが、BleepingComputerによれば広告を通じて誘導する仕組みのようだ。

Microsoft Storeの偽ページは本物そっくりに作られているが、「Get」ボタンは「Download Free」ボタンに置き換えられており、クリックするとマルウェア「Ficker」を含むZIPファイルがダウンロードされる。偽Spotifyや偽FreePDFConvertも同様だ。ダウンロードしたZIPファイルを展開してできる実行ファイルを実行すると、アプリや変換結果のPDFファイルが表示される代わりにマルウェアが活動を開始する。

Fickerは1月にロシア語のハッカーフォーラムでレンタル用として公開されたもので、開発者はWebブラウザーなどが保存した認証情報や暗号通貨ワレット、文書ファイルを盗み出すほか、実行中アプリのスクリーンショット撮影も可能だと説明しているとのことだ。

15262789 story
プライバシ

GoogleのFLoC、Chrome以外のメジャーブラウザーはサポートしない雰囲気 37

ストーリー by nagazou
Google以外は益なし 部門より
headless 曰く、

サードパーティcookieを使用せずに関連性の高い広告を表示する仕組みとしてGoogleはFLoC(Federated Learning of Cohorts)を開発しているが、Chrome以外のメジャーブラウザーはChromiumベースのものを含めてサポートしない雰囲気になっている(The Vergeの記事Windows Centralの記事)。

FLoCは共通の興味を持つユーザーを大きなグループに分けることで関連性の高い広告を表示しつつ、個別のユーザーを群衆の中に隠すことができると説明されているが、ユーザーの合意なく追跡されることに違いはない。BraveVivaldiはブログで明確にFLoC無効化を表明しており、Operaは現時点で有効化する計画はないとThe Vergeに回答している。

MicrosoftはThe Vergeに対し、明確にMicrosoft EdgeでFLoCを無効化するとは断言しなかったものの、全体的には反対の雰囲気だ。ただし、ブラウザーベースで個別のユーザー特定を必要としないものや、IDベースでユーザーの合意とファーストパーティの関係によるものなど、関連性の高い広告を表示する仕組みを探っていると述べ、Microsoftが提唱する、プライベートで匿名化されたリクエストにより広告の実効性を維持しつつ透明性を高める「PARKEET」を例に挙げている。

Mozillaは多数提案されているプライバシーを維持する広告表示の仕組みを検討しているが、現時点で実装予定のものはないと回答。The VergeではAppleに直接問い合わせていないとのことだが、WebKitエンジニアのJohn Wilander氏がBraveのFLoCに対する姿勢を紹介したツイートへの質問に答え、(Safariに)実装するとは言っていないと述べている。

15257093 story
医療

英政府のCOVID-19接触通知アプリ、AppleとGoogleが規約違反で更新をブロック 27

ストーリー by nagazou
違反 部門より
headless 曰く、

英国政府のCOVID-19接触通知アプリ「NHS COVID-19」の更新版がAppleとGoogleの接触通知APIの利用規約に違反するとして、App StoreとGoogle Playストアで更新がブロックされているそうだ(The Guardianの記事Metro Newsの記事Mirror Onlineの記事Daily Mail Onlineの記事)。

NHS COVID-19はイングランドとウェールズ向けに提供されているもので、12日からイングランドでのロックダウンが緩和されるのに合わせて更新が計画されていたという。問題となったのは店舗等へのチェックイン機能だ。QRコードを使用するチェックイン機能は当初のバージョンから備わっているが、これまではチェックイン先の情報が共有されることはなかった。

更新版はユーザーが承認すればチェックイン先の情報をアップロードし、陽性者が多く出た場所へ行ったユーザーへの通知を可能にする仕組みだ。しかし、Apple/Googleの接触通知API利用規約ではユーザーの位置情報を公衆衛生機関やApple/Googleと共有することが禁じられており、この規定に違反するとして更新版が公開できない事態になったようだ。

一方、スコットランドではCOVID-19接触通知アプリとは別にチェックインアプリ「Check In Scotland」を開発したため、接触通知APIの制約なく提供可能になっているとのことだ。

15242010 story
Google

URLから追跡要素を削除する拡張機能 "ClearURLs" がChrome ウェブストアから削除 37

ストーリー by nagazou
削除しちゃったのは悪手 部門より
caret 曰く、

日本時間の3月23日22時ごろ、URLからトラッキング要素を自動的に削除する拡張機能 "ClearURLs" がChrome ウェブストアから削除された(ClearURLsの公式サイト公式Twitterアカウントのツイート公式GitHubリポジトリのIssue, BleepingComputer, The Register, Hacker News)。

ClearURLs開発者のケビン・ローバート氏が明らかにしたところによると、GoogleのChrome チームは3つの規約違反(不正確な記述 — 欠落した情報、権限の使い方、キーワードスパム)を理由にClearURLsをChrome ウェブストアから削除したという。

このうち、clipboardWrite 権限は実際に必要でなかったことから、同氏は権限を削除した新バージョンをリリースし、すでに addons.mozilla.org (AMO) ではレビューを通過している。Microsoft Edge アドオン Web サイトでは本タレコミ執筆時点でレビュー待ち状態のようだ。

また、同氏は拡張機能の説明文を大幅に短縮して修正した上で、Googleに異議申し立てを提出した。同氏は「その理由はバカバカしいし、ClearURLがGoogleのビジネスモデルに損害を与えているというだけだろう。ClearURLsはURLによるトラッキングを防止するという使命を果たしており、それがGoogleの収益源だ。ClearURLsには現在非常に多くのユーザーがいるため、Googleにとって歓迎せざるもので、このアドオンが永久に消えることを望んでいるのだろう」とGitHubでコメントしている。

本タレコミ執筆時点でClearURLsはChrome ウェブストアで引き続き利用不可となっている。

15227924 story
プライバシ

監視カメラサービスがハッキングを受ける。企業や病院、警察、刑務所など15万台以上の映像が流出 10

ストーリー by nagazou
生々しい内容もあったようです 部門より
クラウド型のビル監視・運用ツールを提供しているスタートアップ企業のVerkadaが外部からハッキングされたそうだ。これにより同社の利用者15万台以上のカメラ映像が流出したと報じられている(BloombergブルームバーグEngadget)。

犯行はSuper Administratorの権限を入手する手法で実行されたとされる。被害は電気自動車メーカーのテスラが利用している222台ものカメラのほか、Cloudflareをはじめ病院、警察、刑務所、学校、そしてVerkada自身がオフィス等に設置している監視用ネットワークカメラに関しても映像が流出したとされる。また全顧客の映像記録全てにもアクセスできたそうだ。

病院を含む一部のカメラでは、Verkadaが提供している顔認識技術を使用して、映像でキャプチャされた人物を識別および分類することもできた。Bloombergの記事によれば、Verkadaは不正アクセスを防止するため、すべての内部管理者アカウントを無効にしたとする声明を出しているという。なおVerkadaの公式サイト上には今のところリリース等は出されていない。

この件に関して、被害にあった一社であるCloudflareが自社ブログで、事件の経緯や被害状況について解説する記事を掲載した。Cloudflareは、サンフランシスコ、オースティン、ニューヨーク、ロンドン、シンガポールのオフィスの監視にVerkadaのサービスを使用しているという。同社はVerkadaからハッキングの連絡を受けると、すべての場所のカメラをシャットダウンした。なお先の話題にあった顔認識アプリは同社では使用していないと説明している(CloudflareGIGAZINE)。
15223183 story
Google

Google曰く、サードパーティcookieに代わるユーザー追跡の仕組みは開発しないが、個別のユーザー追跡なしに関連性の高い広告を表示する仕組みを開発する 54

ストーリー by headless
追跡 部門より
Googleは3日、Chromeでサードパーティcookieを廃止しても、それに代わるユーザー追跡の仕組みを作ることはないと明言した(Google Ads & Commerce Blogの記事The Vergeの記事SlashGearの記事Ghacksの記事)。

サードパーティcookieによるユーザー追跡はプライバシーの観点から問題になっており、Webブラウザーではデフォルトでブロックする動きが広がっているが、長らくGoogleは慎重姿勢を示していた。Googleはサードパーティcookieをブロックした場合の弊害として、より不透明な追跡手法が使われてユーザーのプライバシーが逆に低下する点や、広告の表示による無料コンテンツ公開の仕組みが損なわれる点などを挙げ、2019年には広告主が取得できるユーザー情報を制限しつつ関連性の高い広告を表示可能にするオープン標準「Privacy Sandbox」を提唱している。

しかし、昨年1月にChromeでサードパーティcookieを廃止する計画を発表して以降、それに代わる新たなユーザー追跡の仕組みを開発するのではないかと繰り返し尋ねられてきたそうだ。そのため、サードパーティcookieに代わるユーザー追跡技術に関しては、開発する計画も製品で使用する計画もないことを明確化する一方で、個別のユーザーを追跡しなくても関連性の高い広告を表示できる技術の開発に注力することも明確化している。たとえば、共通の興味を持つユーザーを大きなグループに分けることで関連性の高い広告を表示しつつ、個別のユーザーを群衆の中に隠すことが可能なFLoC(Federated Learning of Cohorts)のテストでは、サードパーティcookieを十分置き換え可能という結果が出ているとのことだ。
15223181 story
プライバシ

Brave、プライバシーを重視する独自サーチエンジンを提供する計画 30

ストーリー by headless
独自 部門より
Braveは3日、オープンサーチエンジン「Tailcat」の買収を発表した(Braveのブログ記事The Registerの記事SlashGearの記事Ghacksの記事)。

Tailcatは昨年サービスを終了したプライバシー重視のサーチエンジンCliqzの元開発者によるサーチエンジンで、Braveではこれを基礎として独自サーチエンジン「Brave Search」を開発する計画だ。Tailcatは完全に独立したインデックスを用い、ユーザーのプライバシーを損なうことなく高品質な検索結果を提供するという。これにより、Brave Searchはユーザーを追跡しないプライベートなサーチエンジンとなり、匿名化されたコミュニティからの貢献により改善を進めていく。広告の表示される無料版のWeb検索だけでなく、広告なしの有料版を提供する計画もあるそうだ。

なお、CliqzはMozillaが2017年にドイツでFirefoxユーザーの一部を対象に無断で拡張機能を同梱する実験を行って問題になったあのCliqzだ。
15216899 story
Firefox

Firefox 86リリース、クロスサイトcookieによる追跡からの保護を強化する「Total Cookie Protection」が利用可能に 21

ストーリー by headless
保護 部門より
Mozillaは23日、Firefox 86.0をリリースした(リリースノートMozilla Security Blogの記事The Mozilla Blogの記事)。

本バージョンではクロスサイトcookieによる追跡からの保護を強化する「Total Cookie Protection」が利用可能になっている。Total Cookie Protectionはサイトごとに用意した「クッキージャー」にcookieを格納し、各サイトには割り当てられたクッキージャーのみの使用を許可することで、cookieが他のサイトと共有されることを防ぐという仕組みだ。

ただし、クロスサイトcookieを一律にブロックしてしまうとサードパーティログインなどが利用できなくなってしまう。そのため、Total Cookie Protectionはユーザーがこのような機能を利用しようとしていることを検出すると、現在のサイトに限ってサードパーティログインプロバイダーにクロスサイトcookieを許可するそうだ。許可状況はアドレスバーの「サイト情報」で確認できる。

Total Cookie ProtectionはFirefoxの「オプション→プライバシーとセキュリティ→強化型トラッキング防止機能」で「厳格」を選択すれば有効になる。Firefox 85で導入されたsupercookieに対する追跡防止機能に加え、包括的なcookieのパーティショニングを提供する。

Firefox 86.0ではこのほか、複数の動画を同時にピクチャーインピクチャー再生できるようになっており、印刷設定画面のデザイン改善やシステムの印刷設定との統合強化が行われている。なお、Backspaceキーによるナビゲーションのデフォルト無効化Firefox 87に延期されたようだ。
typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...