headless 曰く、

中国の携帯電話メーカー vivo が商標「iPOO」を中国で取得していたようだ(Android Police の記事、 商標詳細)。

商標は国際分類28類 (玩具・遊戯用器具・運動用具) で、運動用ボール、狩猟用笛、くじ引き用スクラッチカード、狩猟用偽装覆い布、チアリーダー用バトン、偽装覆い布 (体育用品) が対象となっている。vivo はスマートフォンで「iQOO」というブランドを使用しているが、iPOO の具体的な用途は不明だ。Poo (💩) ということもあってあまり良い使い道は思い浮かばない。

なお、商標詳細のリンクは動作が安定しないようだ。うまく表示できない場合はしばらく待ってやり直すか、申請番号「46320663」を中国商標網で検索してみるといいだろう。

27～29日に開催された音楽イベント「GLOBAL ARK 2021 -The 10th Anniversary-」が炎上している。炎上の理由は同イベント運営側がイベントの参加時にドレスコードとして「おしゃれマスク」を指定しており、「不織布マスクNG」という方針を打ち出したためだ（日刊スポーツ、Yahoo!ニュース、毎日新聞）。

その理由として、同イベントは群馬県の牧場キャンプ場で開催されるため換気が良く、また不織布マスクは内部が蒸れやすい、使い捨てで落としたりすると誰のものか分からなくる、落ちてるマスクは気分のいいものでないなどを挙げ、その結果、ネット上では大炎上した。

群馬県片品村は会場となる「ほたか牧場キャンプ場」の管理者である武尊山観光開発に開催延期や中止の検討を要請した。こうした要請は1か月前から行われていたという。また群馬県からも同様の要請があったとしている（片品村、日刊スポーツ）

ノルウェーでロシアとの国境にロシア側への放尿を禁ずる旨の掲示が出現したそうだ (The Barents Observer の記事、 The Register の記事、 RTÉ の記事、 Euronews の記事)。

ノルウェーの法律では国境で隣接する国やその当局を侮辱するような行為が禁じられており、違法行為が起こらないよう国境警備隊や警察、国境庁が監視している。数年前にはロシアに向けて石を投げた 4 人が拘束されているほか、昨冬は国境を越えてロシア側に手を突き出した女性が 8,000 クローネ (約 10 万円) の罰金を命じられているが、放尿に関してロシア側からの苦情はないそうだ。

掲示が行われたのはグレンセヤコブセルフの東側を流れ、ロシアとの国境を形成するヤコブセルバ川の川岸だ。掲示には英語で「No Peeing Towards Russia」と書かれているが、警察や国境庁では掲示を指示していないといい、実際に誰が掲示をしたのかは不明だ。ただし、国境庁長官は善意の人物が通行人に注意を喚起したものだとして問題視はしていないようだ。

長官は現地が観光客が長いドライブの後で最初に車を止める場所になることが多く、排尿の誘惑にかられる可能性が高いと述べ、監視カメラで撮影されていると注意喚起した。国境でのロシア側での放尿行為が見つかった場合は 3,000 クローネ (約 37,000 円) 以上の罰金が命じられる可能性があるとのことだ。

headless 曰く、

Microsoft Power Apps ポータルから個人情報を含む計 3,800 万件のレコードが流出した問題について、発見者の UpGuard がそのなりゆきを解説している(UpGuard のブログ記事、 The Verge の記事、 The Register の記事)。

Power Apps は開発者としてのスキルがなくてもビジネスアプリケーションを開発できるローコードアプリ開発ツール。OData (Open Data Protocol) API を使用することでポータルでのレコード公開が可能になるのだが、デフォルト無効の「テーブルのアクセス許可を有効にする」オプションを有効にしなければ匿名かつ認証なしでデータへのアクセスが可能になる。このことは Power Apps のドキュメントにも明記されているが、見過ごされることが多かったようだ。

個人情報が公開状態になっているとして UpGuard が通知したのは (Microsoftを含む) 企業や州政府など合計 47 エンティティにのぼる。UpGuard のアナリストは 5 月 24 日に最初の個人情報が公開状態になっている OData API を発見してオーナーに通知。通知を受けたオーナーは問題を修正した。UpGuard が調査を進めたところ、複数のポータルで OData API を通じた個人情報への匿名アクセスが可能になっていることが判明する。

UpGuard は Microsoft による顧客への通知に期待して MSRC (Microsoft Security Response Center) に脆弱性リポートを送るが、(設定を変更しなければデータが一般公開状態になるのは) 仕様であるとして、問題は解決済みとされてしまう。そのため、UpGuard 自ら各エンティティに通知を送ることになった。Microsoft のポータルで見つかった問題については脆弱性リポートへの返信という形で報告したものの回答はなく、新たな脆弱性リポートを送ったところ、不正利用リポートを送れと言われたそうだ。

Microsoft に脆弱性リポートを送り、あとは任せるという UpGuard の試みは失敗したが、UpGuard が複数のエンティティに最も深刻な複数の問題を報告したのち、Microsoft 側でも顧客の通知を開始したとみられる。また、Microsoft は匿名アクセスが許可されたリストを検出する ポータルチェッカーの提供を開始し、新規作成された Power Apps ポータルではテーブルのアクセス許可がデフォルト有効になっている。なお、現在は英語版のドキュメントに OData フィードを有効化した場合はテーブルのアクセス許可を無効にできないとの説明が追加されている。

headless 曰く、

Apple が 9to5Mac の Ben Lovejoy 氏に対し、iCloud メールでは既に児童性的虐待素材 (CSAM) のスキャンを実施していると伝えたそうだ(9to5Mac の記事)。

この話のきっかけとなったのは Epic Games が Apple を訴えている裁判で、提出された証拠の山から The Verge が発見した Appleの Eric Friedman 氏の発言だ。Friedman 氏は機械学習により詐欺や不正からユーザーを守る Fraud Engineering, Algorithms, and Risk (FEAR) の責任者。Friedman 氏は昨年 2 月、Apple がプライバシーを重視するあまり児童ポルノの配布に最も適したプラットフォームになっているなどと Apple 内部の iMessage スレッドで述べている。

そのため、まだ CSAM をスキャンしていないならなぜ断言できるのかと Lovejoy 氏は疑問を呈していた。Lovejoy 氏の調査によると、Apple が先日公開した CSAM スキャンを含む子供を守る取り組みのページとは別に、子供を守る取り組みで児童虐待画像をスキャンすると述べる法的情報ページを最近まで公開(Internet Archive のスナップショット)していたことが判明する。また、昨年 1 月の The Telegraph 記事では、Apple のプライバシー責任者 Jane Horvath 氏 がこのページと同様の説明をしている。

Apple が Lovejoy 氏に伝えたところによれば、iCloud メールで 2019 年から CSAM のスキャンを実施しているが、iCloud 写真ではまだ実施していないという。そのほかのデータについても非常に小規模なスキャンを実施しているとも述べており、具体的なデータの内容には言及しなかったものの、iCloud バックアップは含まれないと明言したそうだ。

Apple による CSAM の通報件数は年に数百件の規模であり、Friedman 氏の発言は具体的な数字を根拠にしたものではなく、iCloud 写真で CSAM が野放しになっている可能性を指摘したものではないかと Lovejoy 氏は考えているようだ。

headless 曰く、

米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) は 19 日、ランサムウェア攻撃からセンシティブ情報と個人情報を守るための対策に関するファクトシートを公開した(CISA のツイート、 ファクトシート: PDF、 Softpedia の記事)。

対策は「ランサムウェア攻撃に対する防御」「センシティブ情報と個人情報の保護」「ランサムウェア被害発生時の対応」に大きく分けられている。防御としてはバックアップ作成と維持、サイバー攻撃対応計画の確立、インターネット側からの攻撃の入り口となる脆弱性や誤設定への対策、フィッシングメールのブロックとトレーニング、サイバー衛生の実践といったものが挙げられている。

情報保護としては、どのような情報が保存され、誰がアクセスできるかの把握と物理的セキュリティ・サイバーセキュリティのベストプラクティス適用、サイバー攻撃対応計画にデータ侵害対策を含めることといったものだ。

ランサムウェア被害が発生した場合の対応としては、影響を受けたシステムの特定と隔離、隔離できない場合に限って影響を受けたデバイスの電源を切るなどの被害拡大を防ぐ対策や、情報の収集、影響を受けた人・団体への通知、CISA を含む当局への報告などが挙げられている。なお、CISA ではランサムウェア被害発生時にデータ復元のための身代金を支払うことは推奨していない。

アプリストアの独占をめぐって Epic Games が Google を訴えている裁判では、Google の要請により大量に墨塗りされた訴状 (PDF) が公開されていたが、判事の命令により墨塗りを外したバージョン (PDF、修正部分の赤線入り PDF) が先日公開された (The Register の記事、 The Verge の記事、 Ghacks の記事、 9to5Google の記事)。

Google は商業上の損害を受けると主張して墨塗りを要請していたが、判事は Google が墨塗りを必要とする理由を十分に示していないと判断 (PDF) したという。新たに公開された訴状では、Epic Games が Google Play を通さずに人気ゲーム Fortnite を提供していることについて、他の開発者への波及を Google が懸念していたことや、メジャーな開発者がサードパーティーストアへ流れることを防ぐために収益を共有する「Project Hug (現在は Apps and Games Velocity Programs と呼ばれる)」の存在、OEM メーカーがサードパーティーストアアプリをプリインストールしないことに対してインセンティブを支払っていること、などといった記述の墨塗りが外されている。

Apple は 17 日、Corellium の iOS 仮想化サービスに著作権を侵害されたと訴えている裁判で、一部を米連邦巡回区第 11 控訴裁判所に控訴した (The Register の記事、 9to5Mac の記事、 Mac Rumors の記事、 裁判所文書: PDF)。

訴訟の主なポイントは著作権侵害とデジタルミレニアム著作権法 (DMCA) 1201 条 (迂回禁止条項) 違反の 2 点。米フロリダ南部地区連邦地裁の Rodney Smith 判事は昨年 12 月、前者に関してはフェアユースに相当するとの略式判決を出す一方で、後者に関しては両者の略式判決請求を却下した。先日和解が報じられたのは後者に関するもので、17 日に Smith 判事が出した最終判決 (PDF) にも前者は控訴可能と記載されている。

Appleは、自社製品に任意の文字を入れたりできるサービスを提供しているが、差別的な言葉などはNGワードに設定されて入れられないように制限がかけられている。CitizenLabやThe Vergeの報道によると、こうしたNGワードに政治的な内容が多く含まれているという。とくに中国本土および政治的な緊張状態にある香港や台湾では数多くの言葉がNGワードに設定されているようだ（CitizenLab、The Verge、iPhone Mania）。

あるAnonymous Coward 曰く、

Citizenlabの報告書から抜き出すと、

中国では「政治」「抵制」「民主主義の波」「人権」「8964（天安門の日）」「艾未未」「毛主席」「法輪功」「大紀元」「ヴォイスオブアメリカ」「武漢肺炎」など
香港では「公平な普通選挙」「香港民主運動」「雨傘革命」「報道の自由」など
台湾では「最高指導者」
日本では「部落」、なぜか「百姓」も
「ジャップ」「チャイナマン」「ジャングルバニー」「ウップ」などの差別語は全ての地域でブロック

そして面白いのはプログラム上4文字の「NULL」も拒否される

Appleと訴訟中だったCorelliumだが、Apple側が訴訟を取り下げたことが報じられている。訴訟はiOSのコピーを販売しているとする著作権侵害とデジタルミレニアム著作権法（DMCA）問題で争われていたが、著作権侵害に関しては、2020年12月に米連邦地裁がCorelliumのiOS仮想化サービスはフェアユースであると判断、Appleが敗訴していた。一方のDMCAに関しては訴訟が継続状態にあった。8月16日に陪審員選考過程が行われる予定だったが、8月10日に和解したとしている。和解の内容や条件については公表されていないとしている（The Washington Post、The Register、GIGAZINE）。

headless 曰く、

先日 Apple が発表した米国内のデバイスで児童性的虐待素材 (CSAM) をスキャンする計画に対し、中止を求める公開書状への署名が 7,000 件を超えている。

計画は子供を性的虐待から守る取り組みを強化するもので、CSAM の拡散防止が中心に据えられている。しかし、誤検知やそれを狙った攻撃、テキストへの対象拡大や CSAM 以外への対象拡大、独裁政権による悪用などが懸念され、批判が相次いでいる。

公開書状では Apple に対し、1) コンテンツ監視技術のデプロイ中止と、2) エンドツーエンドの暗号化およびユーザーのプライバシーに関する約束を再確認する声明の発表を求めており、GitHub プロジェクト appleprivacyletter に Issue を送信することで署名できる。署名は Issue を確認の上で公開書状に追加されるため、12 日時点では数百件の署名が処理待ちとなっている。

Apple は懸念を払拭すべく FAQ を公開しているが、プロジェクトオーナーの Nadim Kobeissi 氏は 2 項目を引用して Apple の回答を批判している。まず、iCloud 写真を無効化すればスキャンは行われないとする Apple の説明に対し、Kobeissi 氏は 2021 年の現在に iCloud 写真を無効化することは現実的でないと指摘する。

また、CSAM スキャン技術が CSAM 以外に拡大されることはないとの説明に対しては、既にテロリストコンテンツを検出するハッシュが作られており、FBI の求めに応じて iCloud の暗号化計画を中止した Apple が政府による CSAM 以外のハッシュ追加要求を拒否するとは考えられないなどと述べている。

エンドツーエンドの暗号化やプライバシーに言及する FAQ 項目には触れておらず、公開書状の2番目の要求に応える内容ではないとみなしているようだ。

中国で特定の内容を含むカラオケを流すことや歌うことが禁止されるそうだ。Bloombergの記事によると、国家統一・主権を危険にさらす内容や中国の宗教政策に反したりする内容が含まれるものはアウトであるとのこと。このほかにもわいせつ行為やギャンブル、暴力、薬物関連の犯罪を促すものも禁じられるそう。新たな規定は10月1日から発効するとしている（Bloomberg）。

headless 曰く、

インド政府は 10 日、Twitter が 2021 年 IT 規則で任命が義務付けられる 3 つの役職の要件を満たしたとみなされるとデリー高等裁判所で証言した(The Economic Times の記事、 The Indian Express の記事、 The Hindu BusinessLine の記事)。

2021 年 IT 規則ではインド国内での苦情処理受付などの連絡先担当者としてインド在住者を任命する必要があり、要件を満たさなければ仲介者としての免責特権を失う。Twitter では 7 月に最高コンプライアンス責任者兼苦情処理担当者として Vinay Prakash 氏を任命しているが、デリー高等裁判所は外部スタッフとして業務委託を受けていた Prakash 氏は臨時職員なので要件を満たさないとの判断を示していた。

これに対し Twitter はPrakash 氏を直接雇用し、インド国内の連絡先責任者として Shahin Komath 氏を任命したと宣誓供述書で説明していた。そのため、インド政府では Twitter が要件を満たしていると判断したとのことだ。

Appleが8月5日に発表した児童性的虐待コンテンツ（CSAM）機能は、各所からプライバシーの扱いにおいて議論を呼んでいる。具体的にはAppleや政府などの機関がこの機能を使用してユーザーのデータにアクセスするのではないかとする懸念だ。このためAppleは8日、この機能に関するFAQを公開した（FAQページ[PDF]、MIT Tech Review、ITmedia、CNET）。

曰くこのCSAM対策機能は、データベースに登録されている既知のCSAM画像と完全一致した場合のみ検出する仕組みであり、政府からの拡張要求には応じないとしている。CSAM画像検出以外の目的でシステムが使用されるのを防ぐための仕組みとして、画像リストは全米行方不明・搾取児童センター（NCMEC）やその他の児童安全組織によって提供されているものだけを使用すると主張する。

しかし、TheVergeの記事によれば、Appleは過去に各国の政府に譲歩してきた経緯がある。暗号化された電話を許可していないサウジアラビア、パキスタンなどの国ではFaceTimeのないiPhoneを販売しており、中国では政府からの要求でApp Storeから何千ものアプリを削除し、ユーザーデータを該当国内に移動する要求に関しても応えてきたと指摘している（TheVerge）。

この記事では、今回公開されたFAQでは、メッセージをスキャンしてCSAMを探す機能では、法執行機関と情報を共有しないとしているが、このツールの焦点が性的に露骨な画像のみであることをどうやって保証しているのかについては言及されておらず、ユーザー側の懸念にも回答し切れていないとしている。

headless 曰く、

普通なら単なる間違いだと考えられる localhost に対する DMCA 削除要請だが、Google は過去 8 年間で検索結果から 400 件の URL 除外を求めるリクエスト 24 件を受け取っているそうだ(Google 透明性レポート)。

localhost の URL を含む削除要請は 2018 年まで年に数件ペースで送られており、最近は少なくなっていたが、7 月 22 日にウクライナの知的財産保護企業 Vindex がウクライナのテレビ局 Trk Ukraina を著作権者として送った削除要請に含まれている(Google 透明性レポート: リクエスト 11953839、 TorrentFreak の記事 )。

Google 透明性レポートによれば削除要請を受けた localhost URL のうち 22.5 % が削除されたことになっているが、削除されたのは 2013 年 7 月 2 日付の最も古い削除要請に含まれる 90 URL のみで、以降はすべて却下されている。2013 年 7 月 2 日に送られた別の削除要請でも localhost の 108 URL を対象にしており、最初の削除要請と似たようなパターンの URL になっているが、こちらは 1 件も削除されていない。