Microsoftは6日、EU域内の民間・公共部門の顧客が利用する同社のオンラインサービスについて、すべてのデータをEU域内で処理・保存可能にする「EU Data Boundary for the Microsoft Cloud」計画を発表した(EU Policy Blogの記事、 Microsoft Tech Communityのブログ記事、 Neowinの記事、 Windows Centralの記事)。

Microsoftのオンラインサービスの多くは既に顧客が指定した地理的な場所に顧客のデータを保存するオプションを提供しており、Azureサービスの多くで顧客のデータを処理・保存する地理的な場所を選択可能になっている。2022年末までに完了するEU Data Boundaryはこれをさらに進めるもので、EU域内の組織ユーザーはデータをEU域内から一切出さずにMicrosoftの主要なクラウドサービス(Azure/Microsoft 365/Dynamics 365)を利用できるようになる。

あるAnonymous Coward 曰く、

電子フロンティア財団(EFF)は4月15日、Tor Projectと共同開発しているWebブラウザ拡張機能「HTTPS Everywhere」のルールセットHTTPS Everywhere AtlasをDuckDuckGo Smarter Encryptionに切り替える方針を明らかにした（EFFの発表）。発表文はDuckDuckGoとの提携を強調するものだが、詳細を説明したブログによると、自前のルールセットを段階的に廃止したのち、なんと拡張機能それ自体の廃止に取り組む予定なのだという（EFFのブログ）。

HTTPS Everywhereは、ルールセットに基づいてHTTPアクセスをHTTPSに置き換える、またはすべてのHTTPアクセスを強制的にHTTPSに置き換える機能を備え、AMOではユーザー数トップ20に数えられる人気の拡張機能。2010年にリリースされて以降、RFC 6797-HTTP Strict Transport Security (HSTS)の標準化、Google ChromeのHSTS Preloadリスト策定、常時SSL(AOSSL)の普及といった環境の変化を経て、最近ではMozilla FirefoxのHTTPS-OnlyモードやMicrosoft EdgeのAutomatic HTTPSなど、ブラウザにHTTPS Everywhereと同等の機能を内蔵する動きが進んでいる。

元々HTTPS Everywhereはいつの日か必要とされないことを究極の目標に掲げており、その本懐を果たしつつあるというのが根幹にあるようだ。EFFは将来的にDuckDuckGo Privacy Essentialsに移行するか、デフォルトでHTTPSを使用するブラウザを使用することを推奨している。

情報元へのリンク

あるAnonymous Coward 曰く、

4月29日、ダークウェブに関する研究や報道を目的とした複数のウェブサイトのドメインが乗っ取られ、フィッシングサイトへの誘導が行われるという事件が発生した（NjallaのPeter Sunde氏のツイート、dark.failによる警告、dark.failを所有するdark.fail氏のツイート、TechNadu、VICE）。

被害を受けたのはdark[.]failとdarknetlive[.]com。
dark[.]failの場合、攻撃者は掲載されていたTor hidden serviceへのリンクをフィッシングサイトのものに置き換えたページを作成し、乗っ取ったドメインでホストしていた。

両サイトがNjallaという共通のドメインリセラーを使用していたことや、乗っ取られたサイトの運営者が2FAを使用していたことから、NjallaやレジストラであるTucowsへの不正アクセスが疑われたが、実際には偽の裁判所令状を用いてTucowsから乗っ取りに必要な情報を聞き出すという手口であることが明らかになった。

Njallaの創業者であるPeter Sunde氏によると、乗っ取りの時系列は以下の通りである。
https://twitter.com/brokep/status/1389314362561777665

1. 4月28日、Tucowsがドイツ・ノルトライン＝ヴェストファーレン州の地方裁判所を装った偽の令状を受け取る。
令状にはTucowsがレジストラとなっている複数のドメインを引き渡すよう書かれており、メールの発信元は正式なドメインであるag-koeln[.]nrw[.]deによく似たagkoeln-nrw[.]deで、agkoeln-nrw[.]deにアクセスするとag-koeln[.]nrw[.]deにリダイレクトされるようになっていた。

2. 古典的なフィッシングメールに騙されたTucowsの担当者がドメインの乗っ取りに必要な情報（移管用のコードと思われる）を返信する。

3. 攻撃者がdark[.]failをNamecheapに、darknetlive[.]comをepik.comに移管する。

4. 攻撃者が各ドメインのレコードを偽のサイトのものに書き換える。

偽の令状は過去にkino[.]toというドメインを差し押さえる際に使用されたものをベースにしており、フィッシングにありがちなスペルミスが無く、ドイツ語話者であるTucowsの担当者が見抜けなかったほど精巧に作られたものとのことだ。また令状には偽のGag order（箝口令）が添付されており、リセラーであるNjallaには一切の通知が無かった。

この件に関しては、epik.comが乗っ取りに関する情報提供を受け速やかにドメインを返還したのに比べ、令状が偽物である点やドメインがフィッシングに悪用されていることを頑なに認めず、結果的にドメインの返還に4日もかかったNamecheapが批判を受けている。

----
もしこのタレコミを読んでいる方の中に各種サービスのabuse対応をされている方がいらっしゃいましたら、令状や照会書が真正なものであるのかについて対応前に重々確認するようお願い申し上げます。

情報元へのリンク

英情報コミッショナー事務局(ICO)が英最高裁に対し、ユーザーが自分のデータをコントロールできなくなることを「損害」と認めなければデータ侵害を取り締まれなくなると示唆しているそうだ(The Registerの記事[1]、 [2]、 HackReadの記事)。

本件はGoogleがiPhoneのSafariでデフォルト設定のサードパーティcookieブロックを迂回し、ユーザーを追跡していたことについて2017年に提起された代表訴訟に関するものだ。一審では訴えが認められなかったが、二審で逆転したため、Googleが上告していた。ICOは訴訟当事者ではないが、代理人の弁護士が第三者として訴訟に加わっている。

オプトイン方式の日本の集団訴訟とは異なり、英国(イングランドとウェールズ)の代表訴訟は同じ損害を受けたすべての人を原告代表が代表する点で米国のクラスアクション訴訟に近いものだが、代表される全員がまったく同じ利害関係を持つ必要があるという。そのため、Google側はユーザー追跡による損害を受けた人が何人いるか確認しようがなく、訴訟は棄却されるべきだと主張しているとのこと。

しかし、ユーザーの意図に反してWebアクセスを追跡すれば、ユーザーが自分のデータをコントロールできなくなることになる。そのため、ユーザーの意図に反する追跡自体が損害と認められなければ、データ侵害が発生してもデータの悪用による被害が発生しない限り取り締まれなくなる、というのがICOの弁護士の見解のようだ。

4月29日にリリースされたVivaldi 3.8では、cookieの合意要求(ダイアログボックスやバナー)を非表示化する「Cookie Crumbler」が利用可能になっている(Vivaldiのブログ記事、 The Vergeの記事、 Ghacksの維持、 SlashGearの記事)。

Cookie Crumblerを使用するには、Vivaldi設定画面の「プライバシー→トラッカー・広告ブロック」の「ブロックレベル」で「トラッカーと広告をブロック」を選択する必要がある。あとは「個別設定」の「ソースを管理」ボタンをクリックして「広告ブロッカーのソース」で「Cookie同意ポップアップ除去 (Easylist Cookie List)」と「Cookie同意ポップアップ除去 (I don't care about cookies)」にチェックを入れればいい。この機能はAndroid版のVivaldi 3.8でも利用可能だ。

また、VivaldiはGoogleが開発中のサードパーティcookieを使用せずに関連性の高い広告を表示するFLoC(Federated Learning of Cohorts)の非サポートを表明しているが、本バージョンからFLoCのコンポーネントをブロックするようになるとのことだ。

FacebookがiOS 14.5上のFacebookアプリとInstagramアプリで、ユーザートラッキング許可を求める理由を説明する画面の表示を開始した(About Facebookの記事、 The Vergeの記事、 Mac Rumorsの記事、 9to5Macの記事)。

この画面はiOS 14.5で広告表示を改善するためのユーザートラッキングにユーザーの許可が必要になったことと、アプリがユーザートラッキングにより取得したデータの用途を説明するものだ。データの用途としては、よりパーソナライズされた広告を表示すること、Facebook/Instagramを無料で利用可能にし続けること、顧客へのリーチを広告に依存するビジネスをサポートすること、の3点が挙げられている。

Facebookによれば、Appleが追加の事情説明をすることを認めているため、Appleのプロンプトが表示される前に情報を提供することにしたそうだ。Facebookは計画を4月26日にブログ記事で公表していたが、もともと昨年12月に公開された記事への追記だったため、実際に画面表示が開始されるまで注目されていなかったようだ。

headless 曰く、

GoogleのCOVID-19接触通知システムで、プライバシーリスクにつながるデータがサードパーティーのプリインストールアプリから読み取れる状態になっていたそうだ(The AppCensus Blogの記事、 The Markupの記事、 The Vergeの記事、 SlashGearの記事)。

問題のデータは近くにいるユーザー同士が送受信する近接識別子「Rolling Proximity Identifier (RPI)」と、RPIを送ってきたユーザーのMACアドレスだ。GoogleのシステムではこれらのデータをAndroidのシステムログへ書き込むようになっていたという。ユーザーがインストールしたアプリはシステムログを読み取ることはできないが、プリインストールアプリは読み取り可能だ。発見者のAppCensusによれば、システムログ読み取りのパーミッションを得たプリインストールアプリは数多くあるようだ。

RPIは公開されるデータなので一見問題なさそうだが、MACアドレスと組み合わせて大量のデータを照合すればユーザー同士の相関図を作ることができる。また、RPIは10～20分ごとに更新されるものの、陽性者が保健当局に秘密鍵「Temporary Exposure Key (TEK)」を提供し、診断鍵として公開された場合、その陽性者に複数のRPIを結び付けることも可能になる。さらに、ユーザーに接触の有無を通知する際、そのデータもシステムログに記録されるとのこと。そのため、個人を特定可能なデータをログに記録しない、というAndroidのベストプラクティスをGoogle自身が守っていないとAppCensusは批判する。

AppCensusは今回の調査を米国土安全保障省(DHS)科学技術局(S&T)から受注して実施しており、この問題を2月に報奨金プログラムを通じてGoogleへ報告したという。しかし、Googleは報告を却下し、自らバグ報告後の修正期限として推奨する60日以上経過しても修正する様子がなかったため、倫理面について議論した末に開示を決めたとのこと。一方、Googleは報告を受けて数週間前に修正をロールアウトし、今後数日中に完了する見込みだとThe Markupに伝えたとのことだ。

headless 曰く、

AppleがiOS 14.5/iPadOS 14.5のリリースに合わせてHuman Interface Guidelinesを更新し、ユーザートラッキング許可を求める際の禁止事項を追加している(Human Interface Guidelines - Accessing User Data、 Mac Rumorsの記事、 Softpediaの記事)。

iOS 14.5/iPadOS 14.5ではアプリがユーザーをトラッキングしたりデバイスの広告識別子にアクセスしたりする場合、AppTrackingTransparencyフレームワークを通じた許可を得ることが必須となった。更新された項目はタイトルがこれまでの「Requesting Permission」から「Accessing User Data」に変更され、ユーザートラッキングに関する内容が追加された。

禁止事項としては、追跡許可と引き換えに金銭的なインセンティブを提供することや、ユーザートラッキングリクエストに似せた画面を表示すること、AppTrackingTransparencyフレームワークが表示するアラート画面の画像を使用したり、注釈を入れたりすることが挙げられている。

Twitterがインド政府の求めに応じ、COVID-19感染拡大第2波におけるインド政府の対応を批判するツイート52件をインドのユーザーが閲覧できないようにしたと報じられている(MediaNamaの記事、 The Vergeの記事、 India Todayの記事、 Mashableの記事)。

The Vergeが入手した23日付の文書(PDF)では21件のツイートが記載されており、うち7件は日本からのアクセスでも表示できない。また、1件についてはアカウント自体が停止されているようだ。日本で表示可能な14件のツイートは、野外での火葬やテントで治療を受ける人々の写真とともに惨状を訴えるもののほか、ナレンドラ・モディ首相を批判するものがみられる。

Twitterは有効な法的要請を受け取ったらTwitterのルールと現地法に照らして検討し、Twitterのルールに違反する場合はツイートを削除、Twitterのルールに違反しなくても現地法に違反する場合は該当地域で非表示にするなどとMediaNamaに回答している。また、該当するユーザーには検閲の要請があったことを通知し、COVID-19に関する虚偽情報のみを除去すると伝えたとのことだ。

headless 曰く、

Microsoft Storeなどの偽ページを通じた情報窃取キャンペーンが確認されたとしてESETが注意喚起している(BleepingComputerの記事、 SlashGearの記事、 Windows Centralの記事、 ESET researchのツイート)。

ESETによれば情報窃取キャンペーンは南米のユーザーをターゲットにしたもので、「cdnserverhostingdomainname[.]site」というドメインでホストされている。攻撃用ページはMicrosoft Storeのほか、SpotifyとオンラインPDFコンバーター「FreePDFConvert」の偽物が確認されているという。直接たどり着くことはなさそうな偽ページだが、BleepingComputerによれば広告を通じて誘導する仕組みのようだ。

Microsoft Storeの偽ページは本物そっくりに作られているが、「Get」ボタンは「Download Free」ボタンに置き換えられており、クリックするとマルウェア「Ficker」を含むZIPファイルがダウンロードされる。偽Spotifyや偽FreePDFConvertも同様だ。ダウンロードしたZIPファイルを展開してできる実行ファイルを実行すると、アプリや変換結果のPDFファイルが表示される代わりにマルウェアが活動を開始する。

Fickerは1月にロシア語のハッカーフォーラムでレンタル用として公開されたもので、開発者はWebブラウザーなどが保存した認証情報や暗号通貨ワレット、文書ファイルを盗み出すほか、実行中アプリのスクリーンショット撮影も可能だと説明しているとのことだ。

2018年1月に任天堂がコロプラを特許侵害で提訴している件でコロプラは21日、損害賠償請求金額が49億5000万円から96億9900万円にほほ倍増したと発表した（当社に対する損害賠償請求訴訟の提訴額変更に関するお知らせ[PDF]、AUTOMATON、ファミ通）。

この訴訟ではコロプラのスマホゲーム「白猫プロジェクト」で、任天堂のタッチパネル操作関連技術の特許を侵害したとされていた。増額された理由としては「本件訴訟の提起後の時間経過等によって請求金額を追加したというもの」とされている。あくまでTwitter上の噂話でしかないがその背景は複雑で、コロプラが審議を引き伸ばし続けた結果、任天堂側が切れたという経緯があるらしい。

楽天グループが日米政府の監視対象となったそうだ。理由としては安全保障の観点から。同グループは3月に中国のIT大手テンセントから出資をされている点。楽天は株式の3.65％にあたる650億円余りの出資をテンセントから受けている（共同通信、NHK）。

報道によれば、日米の顧客情報がテンセントを通じて漏れることを警戒しての措置であるという。日本政府が外国為替法に基づいて楽天から定期的に聞き取りし、安全保障の観点から問題がないか調査するとしている。外国為替法では、国の安全保障に重要な企業が株式の1％以上を取得する場合、事前に政府の届け出が必要となるという。なお、今回の投資に関しては事前の届け出はなかったとしている。

headless 曰く、

サードパーティcookieを使用せずに関連性の高い広告を表示する仕組みとしてGoogleはFLoC(Federated Learning of Cohorts)を開発しているが、Chrome以外のメジャーブラウザーはChromiumベースのものを含めてサポートしない雰囲気になっている(The Vergeの記事、 Windows Centralの記事)。

FLoCは共通の興味を持つユーザーを大きなグループに分けることで関連性の高い広告を表示しつつ、個別のユーザーを群衆の中に隠すことができると説明されているが、ユーザーの合意なく追跡されることに違いはない。BraveとVivaldiはブログで明確にFLoC無効化を表明しており、Operaは現時点で有効化する計画はないとThe Vergeに回答している。

MicrosoftはThe Vergeに対し、明確にMicrosoft EdgeでFLoCを無効化するとは断言しなかったものの、全体的には反対の雰囲気だ。ただし、ブラウザーベースで個別のユーザー特定を必要としないものや、IDベースでユーザーの合意とファーストパーティの関係によるものなど、関連性の高い広告を表示する仕組みを探っていると述べ、Microsoftが提唱する、プライベートで匿名化されたリクエストにより広告の実効性を維持しつつ透明性を高める「PARKEET」を例に挙げている。

Mozillaは多数提案されているプライバシーを維持する広告表示の仕組みを検討しているが、現時点で実装予定のものはないと回答。The VergeではAppleに直接問い合わせていないとのことだが、WebKitエンジニアのJohn Wilander氏がBraveのFLoCに対する姿勢を紹介したツイートへの質問に答え、(Safariに)実装するとは言っていないと述べている。

あるAnonymous Coward 曰く、

新型コロナウイルス対策で支給される持続化給付金などから性風俗事業者を除外したのは、法の下の平等に反し違憲だと国が訴えられていた裁判で、15日に国側が「性風俗業は本質的に不健全。支給の対象外としたことは合理的な区別だ」として争う姿勢を示したことが話題となっている（朝日新聞, 日刊スポーツ）。

この国側のコメントに対しては、Twitter上では性風俗関係者以外に漫画家などのサブカル界隈が、「国が不健全だと判断したら支援しなくていいはおかしい」「不健全ではあっても法の下では平等では」といった擁護論や、「この理屈が通れば漫画や同人誌即売会も支援打ち切りできる」といった他の分野への波及を懸念する声を上げている。

裁判の結果が出るまではまだまだ掛かると思われるが、今後どうなっていくのかが気になるところである。

情報元へのリンク

PC Watchの記事によると、中国の龍芯中科技術（以下、龍芯）は、自主開発したCPU命令アーキテクチャ「LoongArch」の正式リリースを行ったそうだ。LoongArchは中国国内の知的財産評価機関の審査を経ており、何万もの特許問題をクリアした状態にあるとしている。同社は従来の製品ではMIPSの命令アーキテクチャを採用してきたが、このLoongArchではMIPS命令をまったく使用しないオリジナルであるとのこと（龍芯中科技術、PC Watch、cnBeta）。