Anonymous Coward曰く、

一党独裁が続く中央アジアのカザフスタンでは、2016年より国民に政府発行のルート証明書のインストールが義務付けられている。これに対しては政府がHTTPS通信を傍受できるのではないかと危惧されていたが、今年7月に実際にカザフスタン政府による中間者攻撃が報告されたことから、主要ブラウザが一斉にこの証明書をブロックする事態となっている（GIGAZINE、ITmedia、ZDNet Japan）。

ブロックを行ったのはFirefoxおよびGoogle Chrome、Safari。また、Chromiumのソースコード内に含まれているブロックリストにこの証明書が追加されているため、ほかのChromiumベースのWebブラウザでもブロックが行われるとのこと。

Anonymous Coward曰く、

匿名ネットワーク「Tor」のパフォーマンス低下を狙ったDDoS攻撃が実現可能であるという研究結果が公表された。情報統制を行っている中国などの国家がこういった攻撃を行う可能性があるとのことで、この攻撃は「China's Great Cannon」などと称されている。

この発表はUSENIXセキュリティ会議においてジョージタウン大学と米国海軍研究所の研究者によって行われた。

研究では、Torとそのユーザーに大混乱をもたらす可能性のあるDDoS攻撃の実現可能性と効果を示した。検証されたのは検閲などによるブロックを回避するために非公開で運営されている「Torブリッジ」への攻撃、ネットワークの負荷分散システムである「TORFLOW」への攻撃、一般的なタイプのTorサーバーである「Torリレー」の欠陥を悪用した攻撃の3種類。

検証の結果、Torブリッジを攻撃した場合のコストは月31万ドル、TORFLOWへの攻撃に関しては月2万8000ドルだったという。

また、Torネットワークを遅くすることを狙ったTorリレーへの攻撃では、月6万3000ドルでダウンロード時間を120％増加させることができるという。予算を月1万6000ドルに引き下げた場合でも、ダウンロード時間は47％ほど増加させることができるとのこと。個人ではともかく、国家からすれば安価な予算で十分な効果が出せるという。

こういった攻撃でTorネットワークを完全にシャットダウンさせることはできないものの、長期的なパフォーマンス低下により、ユーザーをTorから遠ざけることは可能だとしている（ZDNet、Slashdot）。

YouTubeでは、投稿者に対し3回の著作権侵害警告が行われるとその投稿者のチャンネルが閉鎖されるというルールがある。これを悪用し、人気配信者に対して虚偽の通報を行い、その後配信者に対して「金を払わなければ再度通報を行ってアカウントを凍結させるぞ」と脅迫した詐欺師が逮捕されたという（P2Pとかその辺のお話R）。

容疑者は複数のYouTuberに対し脅迫を行っていたとのこと。これに対し、YouTubeが容疑者を提訴していたそうだ。

訴状によると、容疑者は動画制作者を名乗り、YouTubeに対しDMCAに基づく通知を送付していたという。YouTubeはこれを受けて動画の取り下げを行ったが、実際にはこの通知の内容は虚偽のものであり、その後ターゲットとなったYouTuberがこれに対し遺憾の声を上げたことからYouTubeが調査に乗り出し、問題が発覚したそうだ。

また、容疑者はYouTuberの自宅に武装警官を送り込むための虚偽の緊急通報も行っていたという。DMCAに基づく削除要請に反論を申し立てる場合、申立者の住所などの個人情報が相手側に渡される。この仕組みを悪用し、手に入れた個人情報を使って虚偽通報が行われたという。

Anonymous Coward曰く、

任天堂が「草」を商標登録出願したという（Yahoo!ニュース）。

指定商品は「ゲーム用具，ゲーム用トレーディングカード，カードゲーム用具及びその附属品，カードゲームおもちゃ及びその附属品，遊園地用機械器具，ペット用おもちゃ，おもちゃ，人形」等（28類）だそうで。どんな草だ……と思いきや、同時期に「炎」、「水」、「雷」、「鋼」、「悪」、「闘」等も出願されているとのことで単にポケモンの属性を商標として出願しただけのようだ。

headless曰く、

WebKitは14日、ユーザー追跡防止に関する新ポリシー「WebKit Tracking Prevention Policy」を発表した（WebKitのアナウンス、Register、BetaNews）。

新ポリシーはMozillaの「Security/Anti tracking policy」に触発されたもので、サードパーティーWebサイトによるユーザー追跡をすべて禁止する。cookieなどデバイスのストレージを使用するユーザー追跡や、URLパラメーターなどを使用するナビゲーション時のユーザー追跡、フィンガープリンティングなどを防止する技術について、未実装のものは今後実装する計画だという。現在知られていないユーザー追跡技法についても、判明した時点で対象に加えていくとのこと。

WebKitのユーザー追跡防止技術は例外なく適用される。ある技術がユーザー追跡に転用可能な場合、WebKitでは正規の使用かどうか識別できないケースも多いが、その技術の使用禁止がユーザーに悪影響を与える場合は使用制限で対応することもある。使用制限でも悪影響がある場合は追跡の可能性があることをユーザーに告知するという。ユーザー追跡防止技術を迂回する行為は脆弱性を悪用する行為と同様に扱い、迂回しようとする者に対して事前に通知することなくさらなる制限を行なう可能性もあるとのことだ。

YouTubeは15日、「Content IDの手動申し立てに関するポリシー」を改訂し、動画のごく一部に含まれる音声コンテンツや意図的でない使用とみなされる音声コンテンツについて、コンテンツ所有者が手動申し立てをしても収益化ポリシーが適用されない可能性があることを明記した(YouTube Creator Blogの記事、 The Vergeの記事、 TorrentFreakの記事、 9to5Googleの記事)。

手動申し立てはコンテンツ所有者がContent IDシステムで自動認識されないコンテンツの権利を申し立てることができるようにするためのものだ。しかし、動画のごく一部に含まれる音声コンテンツや偶然に録音されたとみられる音声コンテンツなどに対し、動画クリエイターから収益を奪う目的で手動申し立てを行う例があるという。YouTubeでは7月、手動申し立ての際にタイムスタンプによる対象コンテンツの位置指定を必須とするポリシー改訂を実施してクリエイターによる該当部分の削除を容易にしており、今回の改訂でクリエイターに対する公平さをさらに高める狙いだ。収益化ポリシーが適用されない場合もコンテンツ所有者はコンテンツをブロックすることができるが、YouTubeでは収益化につながらない申し立てが減ることを期待しているようだ。

Microsoftが「プライバシーに関する声明」やサポート記事を更新し、収集した個人データの一部を人力処理していることを明記した(Microsoftのプライバシーに関する声明、 Motherboardの記事、 The Vergeの記事、 On MSFTの記事)。

Microsoftは先日、下請け業者がSkype翻訳やCortanaの音声データを聞いているとMotherboardが報じた際、欧州の法律で規定される高いプライバシー基準を満たすベンダーに限り、ベンダーおよびその従業員と秘密保持契約を結んだうえで匿名化した音声データを共有していることを認めていた。サービスを改善するための音声データ使用はSkype翻訳のFAQやCortanaのサポート記事にも記載しているとも述べていたが、人力による処理が行われることは明記されていなかった。

プライバシーに関する声明の「ユーザーの個人データの利用について」では、収集した個人データの処理方法に自動化されたものと手動(人的)によるものがあること、自動処理の出力と元のデータを手動で確認することが追記されている。日本版には「音声データの小さなサンプリングの短いスニペットを手動で確認し、認識や翻訳などの音声サービスを改善するために匿名化する手順を実行しました」という意味不明な記述がみられるが、米国版(英語)によると匿名化済の音声データを手動で確認する、ということのようだ。

また、サポート記事「プライバシーダッシュボードの音声データ」「Skype 翻訳のプライバシーに関するよくあるご質問 (FAQ)」では、MicrosoftがMotherboardに説明していたのと同様の内容のほか、Microsoftの従業員やベンダーによるオーディオ録音の変換(文字起こし)が含まれることが追記されている。なお、サポート記事「Cortanaとプライバシー」でも米国版には上述のサポート記事と同じ内容が追記されているが、日本語版にはまだ反映されていない。

Anonymous Coward曰く、

7月にリリースされたChrome 76では、JavaScriptを使ってブラウザがシークレットモードで動作しているかどうか検出する手法に対する対策が導入された（過去記事）。しかし、この仕組みを回避する手法が導入されたという（CNET Japan、INTERNET Watch）。

シークレットモードで動作している場合、「FileSystem API」は利用できないことから、今まではこれを利用してシークレットモードかどうかの判定ができたという。しかし、Chrome 76ではシークレットモードでFileSystem APIを利用した場合、Chromeによって作られた仮想ファイルシステムがあたかも端末のファイルシステムのように振る舞うように変更されたため、FileSystem APIによる判定はできなくなった。

今回開発された手法は、「Quota Management API」を利用するというものだそうだ。具体的には、シークレットモードとそうでない場合ではテンポラリストレージの上限が異なることから、これえを使ってシークレットモードかどうかの判定ができるという。また、FileSystem APIの書き込み速度を測定することでも判断ができるそうだ。

シークレットモードの検出は、たとえば無料で閲覧できる記事数が制限されているようなサイトで使われているという。

世の中には「個人情報保護のためCookieを使用する」というサイトが存在するそうだ（黒翼猫のコンピュータ日記 2nd Edition）。

たとえば、「リクナビ派遣」ではCookieを無効にして同サイトにアクセスすると「当サイトでは個人情報保護と利便性の観点からCookieを使用しています。」という文言が表示されるという。

なお、Cookieは閲覧中Webサイトが送信した情報をブラウザに記録させ、再度のアクセス時にその情報をサーバーに送信する機構であり、Cookieと個人情報保護の間に直接的な関係はない。

headless曰く、

Check Point Researchが画像転送プロトコル（PTP）経由でCanonのデジタルカメラにランサムウェア攻撃が可能な脆弱性を発見し、キヤノンが注意を呼び掛けている（Check Point Researchの記事、Canonのニュースリリース、サポート情報、The Verge）。

発見された脆弱性はPTPコマンドにおけるバッファーオーバーフローの脆弱性5件（CVE-2019-5994、CVE-2019-5998、CVE-2019-5999、CVE-2019-6000、CVE-2019-6001）、および認証なしに不正なファームウェアを（PTP接続で）インストール可能な脆弱性1件（CVE-2019-5995）。Check Point Researchではデジタル一眼レフカメラEOS 80 Dにランサムウェアをインストールし、SDカード内のデータを暗号化してランサムメッセージを表示するPoCを作成している。

EOS 80 DはUSBとWi-Fiの両方でPTP接続が可能なため、ターゲットのPCにマルウェアを感染させたり、公衆Wi-Fiアクセスポイントと同名の偽アクセスポイントを用意してカメラを接続させたりすることでランサムウェアをインストール可能になる。CanonのファームウェアはAESで暗号化されており、ファームウェアアップデートで使用する機能をSDカードの暗号化にも流用したという。EOSシリーズにはオープンソースでアドオンを開発するMagic Lanternと呼ばれる大規模なコミュニティがあり、ここから得た情報もファームウェア解析に利用したそうだ。

同様の脆弱性はEOS 80 D以外にも、EOSシリーズのデジタル一眼レフカメラ/ミラーレスカメラやPowerShotシリーズで確認されている。CanonではEOS 80 Dの修正版ファームウェアを公開しており、他機種でも準備を進めているとのことだ。Check Point Researchでは他社製デジタルカメラのPTP実装にも同様の脆弱性が存在する可能性を指摘している。

Anonymous Coward曰く、

米デジタルミレニアム著作権法（DMCA）に基づいた削除申請を悪用する事例は過去にも多数発生しているが、昨今では個人情報取得のためにDMCAを悪用すると思われる事例が発生しているという。

Togetterまとめによると、あるTwitterユーザーに対し、使用しているアイコンが著作権侵害だとして削除申請が寄せられたそうだ。しかしそのアイコンは自作のイラストであり、削除申請の根拠とされるURLも、このTwitterユーザーがイラストを公開しているPixivのページだったそうだ。さらに、削除申請の住所は架空のものだったという。

このユーザーが警察に相談したところ、「DMCA通報の個人情報に際して心配な場合は代理人を立てることを言われ、住所抜き取りのいわゆるフィッシング系の詐欺ではないかとの言及があり、前例がなく無視の場合の実害がほぼないため現状は現状維持の対応をしていく予定」との返信を貰ったという。DMCAに基づく削除申請に異議申立を行う場合、異議申立者の氏名や住所といった個人情報が相手側に送られるため、こういった不正な削除申請はこの仕組みを使って個人情報を知ることが目的の可能性があるようだ。

特許庁の「AI関連技術に関する特許審査事例について」ページで公開されている資料によると、過去に「農家の顔画像からその農家が栽培した作物の糖度を推定するシステム」の特許申請が行われていたそうだ。

この「発明」は、「人相とその人が育てた野菜の糖度に一定の関係性があることを用いて、人物の顔画像からその人物が野菜を栽培した際の野菜の糖度を推定するシステムを提供する」というもの。ニューラルネットワークを用いて農家の顔画像とその農家が栽培した野菜の糖度の関係を学習させ、学習させたニューラルネットワークを使って画像から糖度を求める、という仕組みなのだそうだ。

しかし、特許申請の際の説明には「人相とその人が育てた野菜の糖度に一定の関係性がある」ことを示す根拠がなかったためにこの申請は却下されたという。

なお、特許申請の際の説明に具体的な根拠がない場合でも、出願時の技術常識に鑑みてそれが妥当であると認められた場合は特許申請も認められるそうだ。

また、そのほか「身長と顔画像から体重を推定するシステム」や「ヒトX細胞の形状変化データからアレルギー発症率を予測するシステム」も、同様にデータと結果の関連性を示す根拠がなかったために却下されているという。

Cloudflareが提供するパブリックDNSサービス「1.1.1.1」で掲示板サイト「5ちゃんねる」が使用している「5ch.net」ドメインの名前解決ができなくなっているという話が出ている（ITmedia、5ちゃんねる・newsplus板のスレッド）。

8月5日には相次ぐ銃乱射事件を受けてCloudflareが掲示板8chanへのサービス提供を打ち切るということがあったため、これに関連して5ch.netドメインの名前解決も規制されたのではないか、との推測も出ている。

なお、8月9日時点では名前解決ができなかったようだが、現在では1.1.1.1への問い合わせに対し適切なIPアドレスが返されるようになっているようだ。

米国レコード協会(RIAA)の調べによれば、AmazonやeBayを含む電子商取引サイトで音楽CDの海賊版が米国向けに多数販売されているという(RIAAのコメント: PDF、 TorrentFreakの記事)。

この報告は米商務省が7月に実施した偽物・海賊版の流通状況に関する報告書作成に向けた意見募集にコメントしたものだ。たとえばeBayとAliExpressの米国向けサイトで新品として販売されている有名アーティストのCDボックスセット10点を選び、両社でそれぞれ安い方から4点ずつ購入したところ、すべてが偽物だったという。また、米大手レコード会社がリリースしている幅広いロングセラーアルバムの新品をAmazonとeBayで安い方から2点ずつ購入した結果では、eBayの16%、Amazonの11%が偽物だったそうだ。さらに、「Fulfilled by Amazon」となっているCDの25%が偽物だったとのこと。

このほか、電子商取引各社ではレコード会社が実際にはリリースしていないベストアルバムCDやアナログレコードも常時販売されており、ゴールドレコードやプラチナレコードなどの偽物も販売されているとのことだ。

キャセイパシフィック航空がプライバシーポリシーを更新し、機内の監視カメラによる乗客の撮影を明記している(日本語版プライバシーポリシー、 CNN Travelの記事、 SlashGearの記事)。

記述がみられるのは同社が収集する個人情報のうち同社製品・サービスの利用に関する2.1(e)だ。日本語版の該当部分は「弊社空港ラウンジおよび航空機内CCTVによって取得されたお客様の画像」となっている。このほか、同項目では過去の予約やフィードバック、手荷物の紛失、機内エンターテインメントシステムや通信サービスの利用、貨物便の利用、機内での免税品購入などが挙げられている。

同社がCNN Travelに語ったところによると、機内の監視カメラの1台は操縦室のドア近くに設置されており、洗面所には設置されていないとのこと。機内エンターテインメントシステムに搭載されたカメラが数か月前に話題となったが、同社の機内エンターテインメントシステムにはカメラやマイク、センサーといったものは搭載されておらず、各席で乗客を撮影することもないとのことだ。