TeslaがModel 3/Yのソフトウェアアップデートで、Autopilot時のドライバー監視に車内カメラの使用を開始したそうだ(Electrekの記事、 The Vergeの記事、 CNBCの記事、 USA TODAYの記事)。

車内カメラによるドライバー監視機能が導入されたのはソフトウェアバージョン2021.4.15.11。リリースノートによれば、バックミラーの下のカメラを用いてAutopilot使用時にドライバーが十分に注意を払っていない状態を検出・警告するという。カメラのデータは共有を有効にしない限り、保存されたり外部に送信されたりすることはないとのこと。

他社の先進運転支援システムではカメラの映像を用いて運転席にドライバーが座っていることを確認する仕組みを備えるが、これまでAutopilotは同様の仕組みを備えておらず、Autopilotが有効な状態でドライバーが助手席や後部座席へ移動することも可能だった。ただし、Teslaは完全自動運転(FSD)ベータテストで十分な注意を払わないオーナーをベータプログラムから除外しており、イーロン・マスク氏はカメラで注意力低下を検出しているのかという質問に「Yes」と答えていた。

5月23日にギリシャ・アテネ発リトアニアビリニュス行きライアンエアー4978便がベラルーシ航空管制から機内に安全上の脅威が存在する可能性を伝える虚偽の通報を受け、ベラルーシ・ミンスクで強制着陸させられた問題について、ベラルーシ政府への批判が強まっている。

これについて あるAnonymous Coward 曰く、

4978便はベラルーシ領空を飛行していたもののEUの航空会社がEU域内の空港間を運航する便であり、機内で爆発物などの脅威は見つからず、搭乗していた反政府ジャーナリストと同行者を治安当局が逮捕するにとどまった。そのため、EUは初めからこの人物を逮捕することが目的だったとして「国家による海賊行為だ」などと批判している(NHKニュースの記事、 毎日新聞の記事、 Bloombergの記事)。

この事件を受け、欧州各国がベラルーシ領空の飛行回避や経済制裁強化などの対応に動いている。一方でロシアはベラルーシを擁護するなど、また東西対立の火種になりそうな状況である。

G7外相とEU上級代表はベラルーシ当局を非難する声明を発出しており、米政府は米市民に対するベラルーシへの渡航禁止や6月3日以降のベラルーシ国有9企業に対する制裁措置再適用などを発表した。ライアンエアーはEUのガイダンスに従い、ベラルーシ領空を飛行しないと発表している。

UbuntuのISOイメージをBitTorrentでダウンロードしたらISPから著作権侵害に関するDMCA通知が届いたとRedditで報告されていたのだが、報告者とされる著作権保護サービス企業OpSec Securityはなりすましによるものだと主張しているそうだ(TorrentFreakの記事[1]、 [2]、 Ars Technicaの記事)。

CanonicalはUbuntuのISOイメージをBitTorrentでも提供しており、ダウンロードしても著作権侵害にはならない。しかし、ISPのXfinityを運営するComcastから届いたDMCA通知には、ユーザーのIPアドレスが著作権侵害のソースになっており、著作権者が著作物を確認したことや、サービスを著作権侵害に用いることはComcastのDMCAポリシーに違反し、サービスを停止まはた終了する可能性があることが記載されており、ユーザーのネットワークに接続しているデバイスをすべて検索して該当のファイル(ubuntu-20.04.2.0-desktop-amd64.iso)を削除するよう求めている。

これについてOpSec Securityは5月26日に何者かが複数のストリーミングプラットフォームにわたって同社のDMCA通知プログラムになりすましていたと説明し、DMCA通知を同社が送ったものではないことを示す確実な証拠を持っていると主張する。第三者が時折、OpSecになりすまして同社の評価を下げようとするが、このような試みは容易に特定可能かつ反証可能だと述べ、本件について適切な当局に通報するとも述べているとのこと。

しかし、ストリーミングプラットフォームでなりすましが行われたと説明する一方で、なりすましのターゲットになったファイルはすべてUbuntuのISOファイルとみられると説明しており、確実な証拠も具体的に示していないなど、謎の多い説明になっている。なお、ユーザーが受け取った通知自体はなりすまし者が直接送ったのではなく、Comcastを通じて送られたものとみられることをArs Technicaが確認している。

本件に関しては、Ubuntuの法務チームも調査を進めているとのことだ。

京都大学は25日、京大大学院人間・環境学研究科の元大学院生の博士学位を取り消すと発表した。無断引用が認定されたためとしている。一度与えられた博士学位の取り消しは今回が初めてであるという（京都大学、記者会見資料[PDF]、京都新聞、朝日新聞）。

この学生は、元大学院生は2012年に日本語と中国語に関する博士論文を提出していた。元院生の書いた論文の中に盗用の疑いがあると通報があり、調査を行ったところ計11か所に無断引用が見つかったとしている。大学側は再発防止策として、学位論文の調査委員にほかの学部の人員を入れるほか、論文剽窃のチェックツールを導入するなどの対策を取るとしている。

headless 曰く、

中国の国家インターネット情報弁公室は21日、個人情報の扱いに関する法令に違反するアプリ105本のリストを公開した(ニュースリリース、 South China Morning Postの記事、 The Registerの記事、 Softpediaの記事)。

リストはショートビデオ・ブラウザー・求職・ユーティリティーの4つのカテゴリーに分けられており、ユーザーの合意を得ない個人情報収集・機能に無関係な個人情報収集・個人情報の訂正・削除機能が提供されていないなど、アプリごとに違反内容が記載されている。

アプリの大半はBaiduやDouyin(抖音: TikTokの中国国内向けバージョン)などの中国製アプリだが、Microsoft Bing(微软必应)やLinkedIn(领英)も含まれる。BingとLinkedInの違反内容は、いずれも機能に無関係な個人情報収集となっている。

中国では同国初の個人情報保護法の草案が昨年から検討されるなど、アプリやデジタルプラットフォームによる個人情報の収集・利用が注目を集めている。5月1日にはアプリによる収集が認められる個人情報を定めた法令が発効しており、国家インターネット情報弁公室では5月1日に文字入力アプリ(IME)やマップアプリ、インスタントメッセンジャーアプリ計33本、5月10日にはセキュリティアプリとオンライン貸金アプリ計84本を個人情報の扱いに問題があるアプリとして公開していた。

5月1日公表分は10日以内の修正が求められていたが、10日公表分は15日以内となっており、今回分も15日以内の修正が求められる。期日までに修正しない場合は処分が行われるとも記載されているが、過去の公表分で実際に処分が行われたかどうかは不明だ。これとは別に工業・情報化省では、必要以上の個人情報を収集するアプリを中国国内のアプリストアで公開停止にしている。

JASRACが24日、ブロックチェーン技術を使用した楽曲管理の実証実験をしていたことを発表した。ブロックチェーン技術を用いた存在証明機能付きの楽曲情報管理ツールを試作し、JASRAC内外の合計31名のクリエイターが参加してレビューを行ったという（JASRAC、AV Watch、ITmedia）。

この楽曲情報管理ツールでは、楽曲の無断利用やなりすましなどに対抗できるよう、音楽とメタデータを一元管理できる仕組みのほか、第三者が改ざん不可能な方式で楽曲の著作者情報を記録する仕組みなどを用意する。また既存の著作権管理システムによる管理委託契約・楽曲登録が複雑であることから、さまざまなビジネスパートナーとのデータ連携や各種申請・登録や契約を定型化や簡素化、電子化を行うとしている。

実証実験は2020年12月から2021年2月までの期間に行われた。参加クリエイターからは試作版の問題点などの指摘を受けたとしている。レビューに出た意見や課題を踏まて2022年の実用化を目指すとのこと。

あるAnonymous Coward 曰く、

英語圏の人気掲示板サイト「Reddit」で、2021年3月に過去に政治家として問題行動を起こした人物がスタッフに採用されてしまい、その人物が自分に関連する話題を削除やBANしていたことが判明して、ユーザーの抗議活動を受ける事態となっていたらしい（ITmediaの記事）。

この騒動では、特定の人物やその話題のスレッドが停止されたり、またついには37万人のユーザーをもつ英国の政治板が停止させられたことから、すぐに誰が対象となっているのかが判明。これに対して、ユーザー側は数千万ユーザーを持つ「r/Music」や「r/pokemongo」「r/historymeme」といった人気掲示板を非公開にして、Redditを機能不全の状態へと陥らせて対抗したという。

Reddit運営側は「この人物の氏名がハラスメントやドキシングの可能性があるワードとして自動的に削除されただけ」と説明するも、氏名を含んだ関係ない投稿が大量に投稿され、すぐに虚偽説明であることがバレてしまい、火に油を注ぐこととなった。最終的に3月24日に運営側は「当該のスタッフを解雇した」「採用する前に彼女の経歴を十分に精査しなかった」「スタッフがトランスジェンダーであったため、過剰に保護してしまった」として誤りを認めるコメントを出し、事態は収拾したようだ。

情報元へのリンク

headless 曰く、

Twitterは20日、認証済みアカウントの新しい申請プロセス開始を発表した(Twitterのブログ記事、 Twitterヘルプ、 Mashableの記事、 Recodeの記事)。

Twitterはユーザーの申請によりアカウントを認証する認証済みアカウントプログラムを2016年に開始した。しかし、それまではTwitterが関心を集めるアカウントを任意に認証しており、認証がTwitterによる支持と受け取られていたことから混乱を生むことになる。これによりプログラムは2017年に一時停止したが、昨年11月にプログラム再開計画と認証済みアカウントポリシーのドラフトを発表し、12月には最終版ポリシーを公開していた。

認証済みアカウントは関心を集めるアカウントが本物であることを示すもので、「政府機関」「企業・ブランド・組織」「報道機関・ジャーナリスト」「エンターテインメント」「スポーツ・eスポーツ」「活動家・主催者・その他の影響力のある個人」の6つのカテゴリーが対象となる。今後は科学者や学者、宗教指導者といったカテゴリーの追加も計画しているとのこと。

申請はTwitterのアカウント設定から行い、カテゴリーを選択して本人確認に必要なデータを送信すれば完了だ。Twitterからの返信は数日以内に送られるが、当初は申請が集中することが予想されるため、数週間かかる可能性もあるとのこと。申請が承認されれば自動で認証済みアカウントを示す青いバッジが表示されるようになる。

Googleは19日、ChromeのUser Agent(UA)文字列に含まれる情報を削減する計画の再開を発表した(Chromium Blogの記事、 User-Agent Reduction)。

GoogleはUA文字列の情報削減計画を昨年1月に発表したが、COVID-19の影響で2021年以降に先送りされていた。その間もGoogleはUA文字列の代替として提案しているUser-Agent Client Hints API(UA-CH)の改善を進めてきたそうだ。

UA文字列削減は段階的に進められ、第1・第2段階は準備段階、第3～第6段階でロールアウトし、第7段階で完了する。第1段階はChrome 92で「navigator.userAgent」「navigator.appVersion」「navigator.platform」へのアクセスに対し、デベロッパーツールの「Issues」タブで将来的なUA文字列の情報削減に関する警告を表示する。この警告は既にChrome Canaryで表示されるようになっている。今後数週間のうちにアナウンスする第2段階では、Origin Trialにオプトインしたサイトが最終版の削減されたUA文字列をテストできるようにする。テストに十分な時間が取れるよう、Origin Trialは少なくとも6か月続くとのこと。

第3段階は移行に時間が必要なサイトが従来のUA文字列を少なくとも6か月間利用できるようにする逆Origin Trialを開始する。続く第4段階ではMINOR.BUILD.PATCHバージョン番号が「0.0.0」になり、第5段階でデスクトップUA文字列の情報量削減、第6段階でモバイルUA文字列の情報量削減をロールアウトする。これにより、逆Origin TrialにオプトインしていないサイトではUA文字列と関連するJavaScript APIで情報量が削減される。第7段階では逆Origin Trialが終了し、すべてのページで情報量が削減される。

STORIA法律事務所のブログに掲載されている「同人作家が作品をネットに無断転載された話」が興味深い。2020年10月6日の知財高裁で行われたBL同人作品の著作権に関する判決について解説したもの（判決文[PDF]）で、BL同人作品を無断でネットにアップし、広告収益を上げていたサイトに対し、同人作者が損害賠償を請求したというものとなっている（STORIA法律事務所 、Yahoo!ニュース個人）。

裁判では著作権侵害が認定され、損害賠償金の支払いも認められている。しかし、同人作家は一次創作物のアニメ・漫画の権利者に許可を取らずに作品を作成ものであり、若干違和感を感じる部分もある。

さらにこの裁判での議論となった作品は成人向けが大半だったそうで、被告となる無断アップをしていたサイト側も、「一次創作物をエロ改変している同人作家が、同人作品の著作権が侵害されたことを理由に損害賠償請求するのはどうか」とする主張をしていたそうだ。

一方で原告側は「抽象的なキャラクターは著作物に該当しないこと、同人作品が原作の著作権を侵害している場合でも、原告は法的救済を求める権利はある」とする主張で戦っていたという。元の法律事務所の記事では「抽象的なキャラクターが著作物に該当しない」という主張についての解説や「著作権侵害」の厳密な意味など、違和感の原因となった部分などについての解説が行われている。

情報元へのリンク

headless 曰く、

Microsoftの多要素認証アプリ「Microsoft Authenticator」の名前とアイコンを使用した偽のChrome拡張機能がChromeウェブストアで公開され、少なくとも1か月近く公開され続けていたそうだ(Ghacksの記事、 The Registerの記事、 Windows Centralの記事、 Neowinの記事)。

この拡張機能は開発者名がMicrosoftではなく「Extension」となっており、多要素認証機能は搭載されていないという。Ghacksが確認したところ、拡張機能は「run Microsoft Authenticator」というオプションのあるシンプルなページを表示し、ボタンをクリックするとポーランドのWebページが開いて別のサインイン/アカウント作成ページにリダイレクトされたそうだ。Ghacksが発見した時点のユーザー数は448人で、星3つとレーティングされている。レビューには偽物だと警告するものがある一方で、高評価の偽レビューらしきものもみられたとのこと。拡張機能は既にストアから削除されているが、最終更新日の4月23日から1か月近く見つからずにいたようだ。

Chromeウェブストアの開発者プログラムポリシーでは、他人になりすましたり、他人から許可を得たふりをしたりといった行為が禁じられている。なお、本物のMicrosoft AuthenticatorはAndroid/iOSアプリのみがそれぞれGoogle Play/App Storeで公開されており、拡張機能版は提供されていない。Internet Archiveのスナップショット(要JavaScript無効化)でChromeウェブストアの拡張機能のページを見ると、拡張機能の説明はApp StoreのMicrosoft Authenticatorアプリからコピーされたもので、つじつまの合わない説明になっている。MicrosoftはThe Registerに対し、Microsoft AuthenticatorのChrome拡張機能を提供したことはなく、怪しい拡張機能をChromeウェブストアで見つけたら報告するようユーザーに推奨したとのことだ。

改正ストーカー規制法が18日に成立した。8月に全面的に施行される。この改正ストーカー規制法では、相手の承諾なしにGPSを利用して位置情報を取得することを禁止した。無断でGPS機器を取り付ける行為やスマホアプリを入れて位置情報を取得する行為も規制される。これまでは自宅や勤務先などでストーカー行為をすることが規制対象となっていたが、新たに店舗などのよく行く場所もその対象に入れられたとしている（時事ドットコム、読売新聞）。

改正の理由について、元特捜部主任検事である前田恒彦氏は、相手の車にGPSを取り付けた行為が最高裁によって条文を厳格に解釈され、規制対象となっている見張り行為に当たらないと判断されたことが一因になったと指摘している（Yahoo!ニュース）。

イオンが店内カメラに「AIカメラ」を採用するのだという。約80店舗に順次導入していくとのこと。このAIカメラでは、映像からお客の行動を分析、従業員へ通知することにより接客対応が行えるとしている（イオンリテール[PDF]）。

リリースでは具体例として、ベビーカーやランドセル売場などでの対応を挙げている。店員が不在になりがちな売り場での対応に使われるようだ。またAIが購入者の年齢を分析、未成年者と判断した場合は従業員に通知する機能もあるようだ。顧客の立ち寄り時間や動線、特定位置の商品棚などの利用頻度といったデータもを可視化し、利用率の高い箇所を赤色、低い箇所を青色で示す「ヒートマップ」機能も備えており。売場レイアウトの変更や店舗固有の売れ筋商品の補充につなげるとしている。

headless 曰く、

カスタムURIスキームを利用することで、異なるWebブラウザーにわたるユーザーの追跡が可能になるという「scheme flooding」脆弱性をFingerprintJSが公開している(FingerprintJSのブログ記事、 Ghacksの記事、 HackReadの記事、 デモページ)。

この脆弱性はカスタムURIスキームを使用して外部プロトコルのハンドラー呼び出しを試みることで、Webサイトがユーザーのシステムに対応アプリがインストールされているかどうかを知ることが可能というものだ。カスタムURIスキームを利用するアプリのリストを生成することで、システムにインストールされた複数の異なるWebブラウザーで共通の識別子を生成できる。FingerprintJSでは影響を受けるブラウザーとしてデスクトップ版のTor Browser/Safari/Chrome/Firefoxを挙げているが、Chrome以外のChromiumベースブラウザーも影響を受けるとみられる。

ChromiumベースのブラウザーではカスタムURIスキーム実行時にダイアログボックスが表示され、ユーザーの意志に反したアプリケーションの起動を防ぐ仕組みが備わっているが、いったん内蔵PDFビューアーを起動するとこの仕組みがバイパスされる問題があるという。これについてはFingerprintJSがバグとして報告している。

FingerprintJSが公開しているデモでは24のアプリケーションに対応するカスタムURIスキームをチェックして24ビットの識別子を生成する。現在のところmacOSとWindowsにのみ対応しており、Linux上では正しく動作しない。

headless 曰く、

Googleは6日、Google Playのアプリがユーザーから収集するデータの扱いについて明示する安全性セクションの追加計画を明らかにした(Android Developers Blogの記事)。

安全性セクションはアプリのプライバシーに関する情報を開発者が容易に公開し、ユーザーが容易に確認できるようにするものだ。アプリが収集または共有するデータの種類や用途に加え、1)データの暗号化などセキュリティに配慮しているか、2)ファミリーポリシーに従っているか、3)機能上必要なデータまたはユーザーが許可した場合に限定してデータを収集するか、4)安全性セクションの内容がサードパーティーにより確認されているか、5)ユーザーがデータの削除を要求できるか、といった要素が導入されるとのこと。

Appleは既にApp Storeでアプリのプライバシー情報表示を開始しているが、Google Playの安全性セクションも同様のものになるとみられる。開発者の正直さに依存し、不正確な情報の申告が判明した場合に修正を求める点もApp Storeと同様だ。

安全性セクションに関するポリシーは第3四半期に公開され、第4四半期にはGoogle Playコンソールで開発者が安全性セクションに表示する情報の設定が可能になる。ユーザーが情報を閲覧可能になるのは2022年第1四半期で、第2四半期には既存・新規を問わず、安全性セクションに表示する情報の設定がすべての開発者に義務付けられる。