パスワードを忘れた? アカウント作成
16545455 story
アニメ・マンガ

日本人向けアニメ海賊版サイト「B9GOOD」が中国で摘発。日本権利者からの要請で 29

ストーリー by nagazou
動いてくれるのね 部門より
中国江蘇省の公安局は、海賊版サイト「B9GOOD」運営者4人を摘発した。同サイトはコンテンツを日本語で表記し、日本からのアクセスが約95%を占める日本人向けのアニメ海賊版サイトだった。サイト自体は3月27日に閉鎖されている。運営者は重慶市に住む33歳男性で、これまでに600万~700万元(約1億2000万~1億4千万円)の広告収入を得ていた模様(ITmediaImpress Watch)。

刑事告発を行なったのは、日本のコンテンツ海外流通促進機構(CODA)。CODAに刑事事件化の要請をしたのは、アニプレックス、テレビ東京、東映アニメーション、東宝、NHK、バンダイナムコフィルムワークスの計6社だとされる。日本からの刑事告発で、中国の海賊版サイトの運営者やアップローダーが刑事摘発されたのは今回が初めてだとしている(読売新聞)。
16544530 story
著作権

米連邦地裁、Internet Archiveの無断でスキャンした書籍の貸し出しにフェアユースを認めず 6

ストーリー by nagazou
そりゃそうだ 部門より
headless 曰く、

米ニューヨーク南部地区連邦地裁の John G. Koeltl 判事は3月24日、権利者に無断でスキャンした書籍を貸し出す Internet Archive (IA) を大手出版社が訴えている裁判で IA のフェアユースが認められないとする略式判決を出した (裁判所文書: PDFTorrentFreak の記事Neowin の記事Internet Archive Blogs の記事)。

IA は所有する紙の書籍をスキャンして電子書籍化し、貸し出すサービスを権利者に無断で行っている。Controlled Digital Lending (CDL) という仕組みにより同時貸し出し数を所有部数に制限することで貸し出しの正当性を主張しているが、2020 年 6 月には米大手出版 4 社が IA を提訴した。IA 側は出版社の複製権や上演権を侵害したことについては否定せず、フェアユースを主張。一方、出版社側はフェアユースに当たらないと主張し、双方が略式判決を申し立てていた。

判事はフェアユースの要件である (1) 商用・非商用などを含む利用の目的や特徴、(2) 著作物の特質、(3) 著作物全体に対する使用量、(4) 利用による著作物の価値への影響、という 4 点について総合的に検討した。(1) に関しては、IA による利用が過去の判例で重視されてきたが必要最低限のものだけを取って新たな価値を生み出す変容的利用にあたらないと判断。商用・非商用の別についても、IA が寄付を受け付け、提携した古本店から売り上げに応じた手数料を得るなど IA が主張するような完全な非商用ではないと判断している。

また、IA はファーストセールドクトリンにより著作物の複製を販売した時点で出版社の権利が消尽するとも主張したが、無断複製が認められるようにはならない。さらに IA は所有部数と同数のデジタルコピーを貸し出す権利があるとも主張したが、そのような権利はなく、提携図書館が紙の本の貸し出しを制限しているかどうかも確実ではなかったという。これらのことから、(1) に関しては IA が著作物に対する慣習的な代償を支払わずに悪用したと判断している。

(2) については創造的な表現物である書籍の内容が著作権保護の主要な目的に合致しており、単純にコピーして貸し出す行為がフェアユースにあたる可能性は低いと判断。(3) は著作物全体であり、(1) により全体の利用はフェアユースとして正当化できないこと、(4) はフェアユースとして認められない市場で競合する代替品にあたることを挙げ、すべての要件でフェアユースが認められることはないと判断した。

IA ではこの判決について、CDL を利用する全米の図書館が影響を受け、作者や読者にも損害を与えるものだなどと主張し、支持を呼び掛けている。

16544527 story
Twitter

GitHub で公開された Twitter のソースコード、DMCA要請により削除 11

ストーリー by nagazou
流出 部門より
headless 曰く、

Twitter のソースコードの一部が GitHub で公開され、Twitter の DMCA 削除要請によりリポジトリが削除されたそうだ (TorrentFreak の記事Ars Technica の記事HackRead の記事The Guardian の記事)。

TorrentFreak の調べによると、FreeSpeechEnthusiast/PublicSpace リポジトリに Twitter のソースコードの一部とされるものが出現したのは 3 月 24 日 2 時 25 分 (タイムゾーン不明、TorrentFreak は英国の会社が運営) だという。DMCA 削除要請が送られた時刻は不明だが同日 10 時 15 分までに Twitter と GitHub の間で何らかのやり取りがあったとみられ、17 時 12 分にはリポジトリが削除され、その 1 分後にTwitterに通知されたとのこと。

Twitter の DMCA 削除要請によれば、公開されていたのは Twitter のプラットフォームと内部ツールのプロプライエタリなソースコードだという。ソースコードを流出させた人物は不明のようで、Twitter では特定するため裁判所に召喚状の請求 (PDF: [1]、[2])も行っている。

イーロン・マスク氏は 2 月 22 日に Twitter のソースコードを来週公開すると示唆していたが結局公開されず、先日はおすすめツイートのソースコードを 3 月 31 日に公開する計画を示している。

16543525 story
日本

岡山大学教授の論文捏造が認定される 58

ストーリー by nagazou
認定 部門より
あるAnonymous Coward 曰く、

朝日新聞の記事によると、岡山大学と国立循環器病研究センターは、同大の神谷厚範教授が発表した論文に捏造があったと発表したそうだ。

問題となった論文は2019年に英ネイチャーニューロサイエンス誌に掲載されたが、2020年に疑義が寄せられ、岡山大学と国立循環器病研究センターが調査していたそうだ。約6300円の研究費が出ていたようだ。神谷教授は捏造を否定し、実験記録のハードディスクは地震による故障を理由に提出しなかったらしい。また、実験に際し必要な倫理委員会の承認も受けていなかったそうだ。

16542797 story
プライバシ

米捜査当局も犯罪者追跡に AirTag を活用か 10

ストーリー by nagazou
Apple的には不本意だろうな 部門より
headless 曰く、

Forbes が入手した捜査令状によれば、昨年米麻薬取締局 (DEA) が麻薬密造業者あてとみられる荷物の追跡に AirTag を使用していたそうだ (Forbes の記事9to5Mac の記事Mac Rumors の記事)。

問題の荷物は中国・上海から送られた錠剤成型機と錠剤用の着色料だという。昨年 5 月、受取人を麻薬密造業者ではないかと疑った税関・国境警備局 (CBP) が通関を止め、DEA に連絡したようだ。連絡を受けた DEA では輸入を差し止めず、AirTag で追跡することにしたとのこと。捜査機関が通常使用する GPS 追跡装置ではなく AirTag を選んだ理由は不明だが、密造業者が薬物やその売り上げを保管する場所や取引する場所を正確に知ることができるなどと説明されているそうだ。最近退職した元刑事は Forbes に対し、捜査機関が使用する GPS デバイスは必ず動作するとは限らず、追跡装置の回避に優れた容疑者はかさばるデバイスを容易に発見するなどと述べ、AirTagは見つかりにくく接続の信頼性も高いように見えるとの見解を示している。

ただし、昨年 5 月といえば相次ぐ悪用を受けAppleがAirTagを見つけやすくする対策を開始して数か月経過した時期であり、追跡に敏感な犯罪者に見つからない可能性は低いとみられる。この点を Forbes も認識しており、DEA が何らかの改造を AirTag に施して使用した可能性を示唆する弁護士のコメントを紹介している。AirTag による追跡が実際の役に立ったのかどうかは明らかでなく、錠剤成型機の受取人は連邦裁判所で起訴されていないが、法務省によれば州で起訴されているとのことだ。

16540121 story
海賊行為

Samsung 980 PRO SSDの偽物出回る 23

ストーリー by nagazou
動作に支障がないなら気がつかない人もいるだろうな 部門より
最近、海外ではSamsung製SSD「Samsung 980 PRO」の偽物が出回っているらしい。この偽物は正規と同等のパッケージに入れられていたうえ、正規品と同じ「980 PRO」のステッカーが貼られており、シリアル番号や型番も正規品と同じように記されていたそうだ。このように外見や中身まで本物そっくりにつくられているが、ベンチマークを取るとその性能は約70%にまで落ちるという。具体的には本物の980 PROは、シーケンシャルリードが最大7GB/s、シーケンシャルライトは最大5GB/sであるのに対し、偽物はシーケンシャルリードが約4.8GB/s、シーケンシャルライトが約4.5GB/sという結果だったとしている(Tom's HardwareGIGAZINE)。
16539066 story
グラフィック

WindowsのSnipping Toolにも脆弱性見つかる 20

ストーリー by nagazou
脆弱性 部門より
加工前のスクリーンショットが復元できてしまう脆弱性が、Windowsの画像編集ツール「Snipping Tool」で見つかっているという。先日取り上げたGoogle Pixelのマークアップツールで編集前の画像が復元できる脆弱性(CVE-2023-21036)に類似した内容だとされている(発見者のDavid Buchanan氏のツイートPC WatchGIGAZINE)。

この脆弱性はトリミングや塗りつぶしといった加工を行なったスクリーンショットを、加工前の状態に部分的に復元できてしまうとしている。スクリーンショットに写り込んだクレジットカード番号や住所、その他の見られたくない箇所をSnipping Toolでトリミングしたり、ぼかしたりして投稿することがあるが、編集後の画像から元画像を復元できるこの脆弱性は、非常に深刻なセキュリティリスクをもたらす可能性があるとしている。
16536185 story
Google

Google Pixelのマークアップツールで編集前の画像が復元できる脆弱性、エクスプロイトが公開 12

ストーリー by headless
復元 部門より
Google は Pixel の「マークアップ」ツールで発見された脆弱性 (CVE-2023-21036) を 3 月のアップデートで修正したが、これを利用するエクスプロイト「aCropalypse」が公開されている (エクスプロイト作者のブログ記事9to5Google の記事Android Police の記事Simon Aarons 氏のツイート)。

マークアップはスクリーンショット撮影時に表示され、画像のクロップや書き込み・塗りつぶし等を可能にする。CVE-2023-21036 では編集の結果を保存する際にファイルサイズを切り詰めずに新しい画像データを上書きするため、元のデータが一部残されてしまう。具体的な処理を知ることは難しいが、エクスプロイト作者の David Buchanan 氏は Android 10 以降で 2021 年に修正された ParcelFileDescriptor.parseMode のバグとみているようだ。

脆弱性が修正されても既に保存したファイルが更新されるわけではない。このような画像をソーシャルメディアアプリやメッセージングアプリなどで送信する場合、読み取れない元の画像データはメタデータとともに削除されるが、Discord では 1 月までこのような処理が行われていなかったという。そのため、それ以前にアップロードしたスクリーンショットでは、隠したつもりの部分が復元されてしまう可能性がある。

エクスプロイトの作者が過去に使用していた Pixel 3XL のスクリーンショットを Discord からダウンロードして復元処理を行ってみたところ、eBay の確認メールのスクリーンショットから自宅住所全体が復元されたそうだ。なお、復元処理はすべてローカルで行われるとのことだ。
16536146 story
人工知能

米著作権局、AI を用いた作品の著作権登録に関するガイダンスを公開 32

ストーリー by headless
人間 部門より
米著作権局は 16 日、人工知能 (AI) 技術の急速な進化による著作権法や政策の問題を調査するイニシアチブを開始するとともに、AI を用いた作品の著作権登録に関するガイダンスを公開した (著作権局のニュース記事ガイダンス: PDFVentureBeat の記事Ars Technica の記事)。

米著作権局では AI が生成した画像の著作権登録を 3 回にわたって拒絶しており、いったん著作権登録したコミックブックについて、AI による生成が後日判明したアートワークを登録から除外している。新しいガイダンスでは AI をツールとして使用した著作物の著作権登録が可能であることを明確にする一方で、著作権が保護されるのは人間が著作者である場合に限られるという方針に変更はない。

たとえば、人間が送ったプロンプトのみから AI がコンテンツを生成した場合、プロンプトを送る行為は (人間の) アーティストに作品の制作を注文する行為と同様だという。プロンプトを送った人間や注文者が著作者になることはなく、注文を受けて制作された作品はアーティストの著作物として著作権保護の対象になるが、AI が生成したコンテンツは著作権保護の対象にならない。一方、AI の生成物を人間が十分創造的に選択・配置したり、改変したりすれば人間が著作者として認められ、著作権保護の対象になる。

そのため、AI の生成物を用いた著作物の著作権登録申請にあたっては、「著作者」の項に記載する人間がどのように創造的な役割を果たしたのかを記載する必要がある。使用した AI 技術や提供企業を著作者や共同著作者として記載すべきではない。また、僅少でない量の AI 生成コンテンツは申請書で明確に除外する必要がある。既に申請済みの著作物が上述の内容に該当する場合、修正申請を行わないと著作権登録が無効になる可能性もあるようだ。
16535678 story
マイクロソフト

Microsoft のサポート担当者がライセンス認証の問題を解決するため、リモート接続した顧客の PC 上でクラックツールを使用したとの報告 31

ストーリー by headless
解決 部門より
顧客が正規に購入した Windows 10 Pro でライセンス認証できない問題を解決するため、Microsoft のサポート担当者がクラックツールを使用したと報告されている (BleepingComputer の記事Neowin の記事報告者のツイート)。

報告者によれば、Microsoft Store で購入した Windows 10 Pro のライセンスキーでライセンス認証できなかったため Microsoft サポートに連絡したが問題は解決せず、翌日に Microsoft のサポート担当者 (本物) が Quick Assist でリモート接続して問題を解決したという。しかし、問題解決のためにサポート担当者が入力した PowerShell コマンドは Microsoft Activation Scripts (MAS) と呼ばれるクラックツールを取得して実行するものだったとのこと。

報告者が MAS の Discord チャンネルで質問したところ、Microsoft サポートの担当者が使用したとの報告が 2 件目であること、MAS によるライセンス認証は正規のものではなく、適法でもないとする回答があったそうだ。Microsoft は BleepingComputer の問い合わせに対し、このような手法は同社のポリシーに反するもので、調査を行っていると回答したとのことだ。
16533364 story
情報漏洩

SpyCloud が 2022 年に発見した流出認証情報は 7 億 2,150 万件 5

ストーリー by nagazou
123456 部門より
headless 曰く、

2023 SpyCloud Identity Exposure Report によると、SpyCloud の研究者は 2022 年に流出した認証情報 7 億 2,150 万件を発見したそうだ (ニュースリリースNeowin の記事)。

2020 年にマルウェアに感染したデバイスは 2,200 万台が見つかっており、SpyCloud が確認した認証情報 7 億 2,150 万件の半数はボットネットから来たものだという。また、220 億台近いデバイスでは多要素認証のバイパスに利用可能なセッションクッキーが取得可能な状態にあり、14 億人分のフルネームや 3 億 3,200 万件の社会保障番号、6,700 万件のクレジットカード番号などを含む 86 億件の個人を特定可能な情報 (PII) が入手可能だったとのこと。

パスワードの安全性は相変わらず向上しておらず、2022 年にパスワードが流出したユーザーの 72 % が過去に流出したパスワードを再利用しており、話題の人物や出来事、製品等に関連するパスワードの人気も高い。SpyCloudが復元したパスワードのうち 327,000 件以上が歌手テイラー・スウィフトやバッド・バニーに関連する語句を含み、Netflix や Hulu に関連する語句を含むパスワードは 261,000 件以上、英国のエリザベス女王逝去や王室に関連する語句を含むパスワードも 167,000 件以上に上る。

政府関連組織では、昨年 2 件以上のパスワードが流出したユーザーのパスワード再利用率が 61 % に上り、最も多いパスワードは「123456」「12345678」「password」だったそうだ。政府関連組織は企業と比べてマルウェア感染デバイスによるリスクが高く、全世界の政府関連組織から 2022 年に流出した認証情報の 74 % 近くはマルウェアが送り出したものだったとのことだ。

16532146 story
携帯電話

インド政府がスマートフォン OS アップデートの公開前審査義務付けを検討との報道 18

ストーリー by nagazou
これは厳しい 部門より
headless 曰く、

インド政府が主要なスマートフォンOSについて、アップデートの一般リリース前に審査の実施を義務付けることを検討していると報じられている (Neowin の記事Reuters の記事)。

Reutersによればインド政府ではスパイや個人情報の不正利用を懸念しており、プリインストールアプリをアンインストール可能にすることを義務付ける計画を進めているという。インドでは中国製アプリを中心に多数のアプリを禁じているが、プリインストールアプリはアンインストール不可のものも多い。新ルールではスマートフォンメーカーにプリインストールアプリのアンインストールオプション提供を義務付け、新モデルはインド規格局が検査を行うことになる。

OSアップデートの審査はプリインストールアプリのアンインストールオプションの義務付け計画とともに検討されているものだが、リリースまでの期間が長くなることを懸念する声も出ているとのこと。実際に現実的な時間で審査できるのだろうか。

16529544 story
DRM

HP、プリンターの互換カートリッジをまたブロック 54

ストーリー by nagazou
まだやってるのか 部門より
headless 曰く、

HP がまたサードパーティ製インク/トナーカートリッジをブロックするファームウェアアップデートをリリースし、ユーザーから不満の声が出ているそうだ (Ars Technica の記事The Verge の記事Ghacks の記事)。

HP は 2016 年にファームウェアアップデートでサードパーティ製の互換インクをブロックし、苦情を受けてブロックを解除するファームウェアアップデートを提供している。米国や欧州、オーストラリアでは訴訟が提起され、HP が顧客に賠償金を支払っているが、最近になってこれまで互換カートリッジを使用できていたプリンターで HP のチップを搭載しないカートリッジがブロックされるようになったらしい。

HP のサポート記事によれば、互換カートリッジのブロックは動的セキュリティ対応プリンターが対象で、「HP製以外のチップ、改変された電子回路、またはHP製以外の電子回路を搭載したカートリッジ」がブロックされるという。HP は The Verge の問い合わせに対し、サポート記事のカートリッジ搭載チップに関する記述と、定期的に提供されるファームウェアアップデートで有効性を維持しているという記述を回答として示したとのことだ。

16522628 story
プライバシ

中国国内で販売されているAndroidスマホ、常時データ収集を確認したとの研究 38

ストーリー by nagazou
仕様 部門より
中国は現在、Android OSのスマートフォンユーザー数が最も多い国となっている。複数の大学のコンピューター科学者が、静的および動的なコード解析技術を組み合わせて実施したプリインストールされたシステムアプリによって送信されたデータを調査したところ、XiaomiやOnePlus、Oppo Realmeなど中国で人気の高いスマホのメーカーすべてで、ユーザーデータが大量に収集されていることが判明したという(Android OS Privacy Under the LoupeGIZMODO)。

これらのパッケージが多くが、ユーザーのデバイス (永続的な識別子)、位置情報 (GPS座標、ネットワーク関連の識別子)、ユーザープロファイル (電話番号、アプリの使用状況)、および通話履歴などのプライバシーに関わる情報を、同意や通知なしに多数の第三者ドメインに送信していたとされる。
16524840 story
プライバシ

政府支給端末での TikTok 禁止が進むオーストラリア、米国製アプリにも対象を拡大すべきとの意見も 19

ストーリー by nagazou
納得できる部分もある 部門より
headless 曰く、

オーストラリアでは政府支給スマートフォンでのTikTok使用禁止措置が省庁ごとに進められているが、専門家からは米国製アプリを含む他のソーシャルメディアアプリにも対象を拡大すべきとの意見が出ているそうだ (The Guardian の記事)。

The Canberra Times の記事によれば 140 近くある連邦政府機関のほぼ半数が政府所有デバイスでの TikTok 使用を禁じているという。アプリを禁止すべきという意見は TikTok に集中しているが、内務省ではサイバーセキュリティ大臣を兼任するクレア・オニール内務大臣の指示を受け、すべてのソーシャルメディアプラットフォームについてセキュリティリスクと政府における正しい利用法を評価しているそうだ。

政府支給端末でのソーシャルメディアアプリ利用について、専門家は TikTok が「悪」で米企業が「善」というような単純な分け方はできないと指摘する。Apple や Google ではアプリの取得できる個人情報を徐々に制限し、ユーザーによるコントロールを強めているが、位置情報を無効にしてもアップロードした写真から GPS データを取得できる。そのため、以前よりは改善されたとはいえ、問題が完全に解決したわけではないとのこと。また、別の専門家は私物デバイスから外部に送られる情報にも注意すべきだと述べている。

問題を根本的に解決するには1本のアプリを禁止するかどうかではなく、オーストラリア人のプライバシーとセキュリティを強化する必要がある。それにはより強力な個人情報保護法やプライバシー教育、エンドツーエンド暗号化の推奨、そして暗号化が小児性愛者だけのものだなどという馬鹿げた考えを終わらせる必要があるとのことだ。

typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...