パスワードを忘れた? アカウント作成
16536185 story
Google

Google Pixelのマークアップツールで編集前の画像が復元できる脆弱性、エクスプロイトが公開 12

ストーリー by headless
復元 部門より
Google は Pixel の「マークアップ」ツールで発見された脆弱性 (CVE-2023-21036) を 3 月のアップデートで修正したが、これを利用するエクスプロイト「aCropalypse」が公開されている (エクスプロイト作者のブログ記事9to5Google の記事Android Police の記事Simon Aarons 氏のツイート)。

マークアップはスクリーンショット撮影時に表示され、画像のクロップや書き込み・塗りつぶし等を可能にする。CVE-2023-21036 では編集の結果を保存する際にファイルサイズを切り詰めずに新しい画像データを上書きするため、元のデータが一部残されてしまう。具体的な処理を知ることは難しいが、エクスプロイト作者の David Buchanan 氏は Android 10 以降で 2021 年に修正された ParcelFileDescriptor.parseMode のバグとみているようだ。

脆弱性が修正されても既に保存したファイルが更新されるわけではない。このような画像をソーシャルメディアアプリやメッセージングアプリなどで送信する場合、読み取れない元の画像データはメタデータとともに削除されるが、Discord では 1 月までこのような処理が行われていなかったという。そのため、それ以前にアップロードしたスクリーンショットでは、隠したつもりの部分が復元されてしまう可能性がある。

エクスプロイトの作者が過去に使用していた Pixel 3XL のスクリーンショットを Discord からダウンロードして復元処理を行ってみたところ、eBay の確認メールのスクリーンショットから自宅住所全体が復元されたそうだ。なお、復元処理はすべてローカルで行われるとのことだ。
16536146 story
人工知能

米著作権局、AI を用いた作品の著作権登録に関するガイダンスを公開 32

ストーリー by headless
人間 部門より
米著作権局は 16 日、人工知能 (AI) 技術の急速な進化による著作権法や政策の問題を調査するイニシアチブを開始するとともに、AI を用いた作品の著作権登録に関するガイダンスを公開した (著作権局のニュース記事ガイダンス: PDFVentureBeat の記事Ars Technica の記事)。

米著作権局では AI が生成した画像の著作権登録を 3 回にわたって拒絶しており、いったん著作権登録したコミックブックについて、AI による生成が後日判明したアートワークを登録から除外している。新しいガイダンスでは AI をツールとして使用した著作物の著作権登録が可能であることを明確にする一方で、著作権が保護されるのは人間が著作者である場合に限られるという方針に変更はない。

たとえば、人間が送ったプロンプトのみから AI がコンテンツを生成した場合、プロンプトを送る行為は (人間の) アーティストに作品の制作を注文する行為と同様だという。プロンプトを送った人間や注文者が著作者になることはなく、注文を受けて制作された作品はアーティストの著作物として著作権保護の対象になるが、AI が生成したコンテンツは著作権保護の対象にならない。一方、AI の生成物を人間が十分創造的に選択・配置したり、改変したりすれば人間が著作者として認められ、著作権保護の対象になる。

そのため、AI の生成物を用いた著作物の著作権登録申請にあたっては、「著作者」の項に記載する人間がどのように創造的な役割を果たしたのかを記載する必要がある。使用した AI 技術や提供企業を著作者や共同著作者として記載すべきではない。また、僅少でない量の AI 生成コンテンツは申請書で明確に除外する必要がある。既に申請済みの著作物が上述の内容に該当する場合、修正申請を行わないと著作権登録が無効になる可能性もあるようだ。
16535678 story
マイクロソフト

Microsoft のサポート担当者がライセンス認証の問題を解決するため、リモート接続した顧客の PC 上でクラックツールを使用したとの報告 31

ストーリー by headless
解決 部門より
顧客が正規に購入した Windows 10 Pro でライセンス認証できない問題を解決するため、Microsoft のサポート担当者がクラックツールを使用したと報告されている (BleepingComputer の記事Neowin の記事報告者のツイート)。

報告者によれば、Microsoft Store で購入した Windows 10 Pro のライセンスキーでライセンス認証できなかったため Microsoft サポートに連絡したが問題は解決せず、翌日に Microsoft のサポート担当者 (本物) が Quick Assist でリモート接続して問題を解決したという。しかし、問題解決のためにサポート担当者が入力した PowerShell コマンドは Microsoft Activation Scripts (MAS) と呼ばれるクラックツールを取得して実行するものだったとのこと。

報告者が MAS の Discord チャンネルで質問したところ、Microsoft サポートの担当者が使用したとの報告が 2 件目であること、MAS によるライセンス認証は正規のものではなく、適法でもないとする回答があったそうだ。Microsoft は BleepingComputer の問い合わせに対し、このような手法は同社のポリシーに反するもので、調査を行っていると回答したとのことだ。
16533364 story
情報漏洩

SpyCloud が 2022 年に発見した流出認証情報は 7 億 2,150 万件 5

ストーリー by nagazou
123456 部門より
headless 曰く、

2023 SpyCloud Identity Exposure Report によると、SpyCloud の研究者は 2022 年に流出した認証情報 7 億 2,150 万件を発見したそうだ (ニュースリリースNeowin の記事)。

2020 年にマルウェアに感染したデバイスは 2,200 万台が見つかっており、SpyCloud が確認した認証情報 7 億 2,150 万件の半数はボットネットから来たものだという。また、220 億台近いデバイスでは多要素認証のバイパスに利用可能なセッションクッキーが取得可能な状態にあり、14 億人分のフルネームや 3 億 3,200 万件の社会保障番号、6,700 万件のクレジットカード番号などを含む 86 億件の個人を特定可能な情報 (PII) が入手可能だったとのこと。

パスワードの安全性は相変わらず向上しておらず、2022 年にパスワードが流出したユーザーの 72 % が過去に流出したパスワードを再利用しており、話題の人物や出来事、製品等に関連するパスワードの人気も高い。SpyCloudが復元したパスワードのうち 327,000 件以上が歌手テイラー・スウィフトやバッド・バニーに関連する語句を含み、Netflix や Hulu に関連する語句を含むパスワードは 261,000 件以上、英国のエリザベス女王逝去や王室に関連する語句を含むパスワードも 167,000 件以上に上る。

政府関連組織では、昨年 2 件以上のパスワードが流出したユーザーのパスワード再利用率が 61 % に上り、最も多いパスワードは「123456」「12345678」「password」だったそうだ。政府関連組織は企業と比べてマルウェア感染デバイスによるリスクが高く、全世界の政府関連組織から 2022 年に流出した認証情報の 74 % 近くはマルウェアが送り出したものだったとのことだ。

16532146 story
携帯電話

インド政府がスマートフォン OS アップデートの公開前審査義務付けを検討との報道 18

ストーリー by nagazou
これは厳しい 部門より
headless 曰く、

インド政府が主要なスマートフォンOSについて、アップデートの一般リリース前に審査の実施を義務付けることを検討していると報じられている (Neowin の記事Reuters の記事)。

Reutersによればインド政府ではスパイや個人情報の不正利用を懸念しており、プリインストールアプリをアンインストール可能にすることを義務付ける計画を進めているという。インドでは中国製アプリを中心に多数のアプリを禁じているが、プリインストールアプリはアンインストール不可のものも多い。新ルールではスマートフォンメーカーにプリインストールアプリのアンインストールオプション提供を義務付け、新モデルはインド規格局が検査を行うことになる。

OSアップデートの審査はプリインストールアプリのアンインストールオプションの義務付け計画とともに検討されているものだが、リリースまでの期間が長くなることを懸念する声も出ているとのこと。実際に現実的な時間で審査できるのだろうか。

16529544 story
DRM

HP、プリンターの互換カートリッジをまたブロック 54

ストーリー by nagazou
まだやってるのか 部門より
headless 曰く、

HP がまたサードパーティ製インク/トナーカートリッジをブロックするファームウェアアップデートをリリースし、ユーザーから不満の声が出ているそうだ (Ars Technica の記事The Verge の記事Ghacks の記事)。

HP は 2016 年にファームウェアアップデートでサードパーティ製の互換インクをブロックし、苦情を受けてブロックを解除するファームウェアアップデートを提供している。米国や欧州、オーストラリアでは訴訟が提起され、HP が顧客に賠償金を支払っているが、最近になってこれまで互換カートリッジを使用できていたプリンターで HP のチップを搭載しないカートリッジがブロックされるようになったらしい。

HP のサポート記事によれば、互換カートリッジのブロックは動的セキュリティ対応プリンターが対象で、「HP製以外のチップ、改変された電子回路、またはHP製以外の電子回路を搭載したカートリッジ」がブロックされるという。HP は The Verge の問い合わせに対し、サポート記事のカートリッジ搭載チップに関する記述と、定期的に提供されるファームウェアアップデートで有効性を維持しているという記述を回答として示したとのことだ。

16522628 story
プライバシ

中国国内で販売されているAndroidスマホ、常時データ収集を確認したとの研究 38

ストーリー by nagazou
仕様 部門より
中国は現在、Android OSのスマートフォンユーザー数が最も多い国となっている。複数の大学のコンピューター科学者が、静的および動的なコード解析技術を組み合わせて実施したプリインストールされたシステムアプリによって送信されたデータを調査したところ、XiaomiやOnePlus、Oppo Realmeなど中国で人気の高いスマホのメーカーすべてで、ユーザーデータが大量に収集されていることが判明したという(Android OS Privacy Under the LoupeGIZMODO)。

これらのパッケージが多くが、ユーザーのデバイス (永続的な識別子)、位置情報 (GPS座標、ネットワーク関連の識別子)、ユーザープロファイル (電話番号、アプリの使用状況)、および通話履歴などのプライバシーに関わる情報を、同意や通知なしに多数の第三者ドメインに送信していたとされる。
16524840 story
プライバシ

政府支給端末での TikTok 禁止が進むオーストラリア、米国製アプリにも対象を拡大すべきとの意見も 19

ストーリー by nagazou
納得できる部分もある 部門より
headless 曰く、

オーストラリアでは政府支給スマートフォンでのTikTok使用禁止措置が省庁ごとに進められているが、専門家からは米国製アプリを含む他のソーシャルメディアアプリにも対象を拡大すべきとの意見が出ているそうだ (The Guardian の記事)。

The Canberra Times の記事によれば 140 近くある連邦政府機関のほぼ半数が政府所有デバイスでの TikTok 使用を禁じているという。アプリを禁止すべきという意見は TikTok に集中しているが、内務省ではサイバーセキュリティ大臣を兼任するクレア・オニール内務大臣の指示を受け、すべてのソーシャルメディアプラットフォームについてセキュリティリスクと政府における正しい利用法を評価しているそうだ。

政府支給端末でのソーシャルメディアアプリ利用について、専門家は TikTok が「悪」で米企業が「善」というような単純な分け方はできないと指摘する。Apple や Google ではアプリの取得できる個人情報を徐々に制限し、ユーザーによるコントロールを強めているが、位置情報を無効にしてもアップロードした写真から GPS データを取得できる。そのため、以前よりは改善されたとはいえ、問題が完全に解決したわけではないとのこと。また、別の専門家は私物デバイスから外部に送られる情報にも注意すべきだと述べている。

問題を根本的に解決するには1本のアプリを禁止するかどうかではなく、オーストラリア人のプライバシーとセキュリティを強化する必要がある。それにはより強力な個人情報保護法やプライバシー教育、エンドツーエンド暗号化の推奨、そして暗号化が小児性愛者だけのものだなどという馬鹿げた考えを終わらせる必要があるとのことだ。

16520647 story
お金

ローンを滞納すると「自動運転で勝手にメーカーへ帰ってしまう」車が米フォードにより特許取得 77

ストーリー by nagazou
モルカーみたいだ 部門より
米国でローンを滞納すると購入したはずの車両が「自動運転で勝手にメーカーの元に帰ってしまう」という特許が取得されたようだ。この特許はフォードが取得したもので、所有者が滞納に関するメッセージに応答しない場合、自動運転でショールームまたはスクラップ置き場に車両が移動するというものらしい。この特許は2021年8月に米国特許庁に提出され、今年の2月23日にフォードに付与されたとしている(特許[PDF]Daily Mail Onlineナゾロジー)。

といってもいきなり倉庫行きになるのではなく、段階を踏んだ嫌がらせがおこなわれるようだ。まず車両に備わる最初はカーナビ、音楽、エアコンなどの快適機能を無効化し、続いて車内でノイズを再生、そして車両が運転できる場所を制限するといった嫌がらせを実施。それでもオーナーが滞納を続けた場合、自動運転車は「実家に帰らせていただきます」という状況になるようだ。

この特許が実際のサービスとして使われるかは分からないが、米国ではローンの支払いを怠った所有者は、連絡を受けたときにクレーマー化する傾向があり、フォードのエンジニアは「この問題に対処するためのソリューションが必要」だとしてこの仕組みを考え出したようだ。

あるAnonymous Coward 曰く、

米国に於けるローン滞納自動車没収攻防は、米国名物。

16520606 story
ゲーム

レアなレトロゲームカセットに偽物が出回り、売買時に殻割りして内部基板のチェックが必要に 50

ストーリー by nagazou
こんなところまで 部門より
中古のスーパーファミコンカセットの偽物が出回っているそうだ。このため中古品ゲームを扱う一部のショップでは、カセットが本物である事を証明するため、カセットを“殻割り”して内部基板を見せた状態で展示する事態にまでなっているという(AKIBA PC Hotline)。

背景には入手しにくいレアなゲームタイトルの偽物を製造し、ネットオークション、フリマサイトなどに出品したり、中古ショップに持ち込んだりしている業者が増えているためだという。こうした偽物は「カセットだけではなく、パッケージやマニュアル、付属のハガキまでコピーしている」とのこと。
16513177 story
ゲーム

ウクライナ政府、架空のソ連を舞台にしたゲーム「Atomic Heart」の配信停止を要求 72

ストーリー by nagazou
心情は理解できるが 部門より
2月21日にリリースされたソ連が舞台のFPS「Atomic Heart」に対して、ウクライナ政府が同国内での配信停止を要求しているそうだ(PCGamesNGameSpark)。

ウクライナのIT系メディアDev.uaにOleksandr Bornyakovデジタル変革副大臣が出したコメントから判明したとしている。このゲームはロシアのデベロッパー「Mundfish」が手掛けるパラレルワールドのFPS。同大臣は共産主義思想やソ連を美化して描いた作品である『Atomic Heart』について、ソニー、マイクロソフト、Valveに対し、ウクライナ国内でのデジタル版配信停止を求める書簡を送付するとコメントを出したという。

また加えて有害な作品である、ユーザーデータが収集されている可能性がある、売上がウクライナ侵攻の資金となる可能性があるなどの理由から他国における配信についても制限するように求めている。

あるAnonymous Coward 曰く、

これを元に共産主義と旧ソ連を賛美と言いのはちょっと違うような…。

16512951 story
EU

EU 公式ドメインに潜む大量の怪しいコンテンツ 12

ストーリー by headless
潜伏 部門より
EU (欧州連合) 公式ドメイン (europa.eu) のサブドメインのサイトには海賊版映画などを宣伝するコンテンツが大量に存在するが、偽の海賊版ストリーミングサイトから詐欺サイトへ誘導されることもあるようだ (TorrentFreak の記事)。

このようなコンテンツは主に PDF 形式ファイルであり、有名な海賊版ストリーミングサイトの名前を使用して作品を「無料で観よう」「無料ダウンロード」といった趣旨のフレーズを含む題が付けられている。しかし、リンク先は有名海賊版ストリーミングサイトとは無関係で、無料で再生できるのは予告編程度だという。本編を再生しようとするとユーザー登録が必要だと言われ、セキュリティソフトが警告を出すようなページでクレジット番号などの入力を求められるとのこと。

リンク先のすべてが偽サイトとは限らないが、いずれにしても海賊行為を防止しようとする EU のサイトに適したコンテンツではない。そのほか、「お金がもらえるアプリ」といった怪しげな製品の広告などもみられる。

このような事態になった理由として、EU では外部からの貢献を可能にするアップロード機能が原因だと説明しているそうだ。EU はさまざまなプロジェクトを公式ドメインでホストしており、容易に悪用可能なアップローダーを利用しているプロジェクトもあるという。TorrentFreak が最初にこの問題を取り上げたのは 12 月のことであり、EU では問題を認識して対策を進めているなどと説明していたが、現在でも多数の怪しいコンテンツが残っており、最近アップロードされたものもある。

スラドでは数か月前ぐらいのスパム投稿にこういったコンテンツへのリンクが含まれているものが多かった。無料と言いつつクレジットカード番号の入力を求められた時点で気付きそうだが、EU 公式ドメインの力は大きいのだろうか。
16512761 story
プライバシ

Signal、プライバシーを弱めるぐらいなら英国から撤退 25

ストーリー by headless
撤退 部門より
英国政府が検討中の法案 Online Safety Bill について、通信の暗号化を損なうようなことになるなら英国から撤退すると Signal のメレディス・ウィテカー氏が BBC に語ったそうだ (BBC News の記事The Guardian の記事Ars Technica の記事)。

英政府は法案がエンドツーエンド暗号化を禁ずるものではないと説明するが、ウィテカー氏は「プライバシーが善人のものだけ」と信じるのは「魔法的な考え方」だと指摘。暗号は全員を保護するか、全員にとって壊れているかのいずれかだと付け加えたという。

ウィテカー氏はプライベートなメッセージをスキャンするためのバックドアが悪意ある国家の手先に悪用され、犯罪者がシステムにアクセスする道を開くとし、Signal が真にプライベートなコミュニケーション手段を提供するという人々の信頼を損なうよりも撤退する方がいいとのこと。

暗号化が児童虐待者を守るという主張に対しては、ロス・アンダーソン氏の論文(PDF)から「複雑な社会的問題を安価な技術的手段で解決できるという考えはソフトウェアセールスマンが使うセイレーンの誘惑だ」という一節を引用し、虐待の多くが行われる家庭やコミュニティでの抑止に注力すべきだと述べたとのことだ。
16512315 story
Google

Google Playの「データセーフティ」表示、トップアプリの大半でプライバシーポリシーと不一致 7

ストーリー by headless
自己申告 部門より
Mozilla の調べによると、Google Play のトップアプリの 80 % 近くが「データセーフティ」表示に虚偽の内容やミスリーディングするような内容を記載しているそうだ (Mozilla Foundation のブログ記事リポートArs Technica の記事The Register の記事)。

Google Play のデータセーフティ表示は開発者の自己申告により、アプリのプライバシーとセキュリティに関する情報を簡潔にまとめたものだ。しかし、Mozilla が 2022 年 9 月 ~ 11 月に無料トップ 20 と有料トップ 20 のアプリでデータセーフティ表示を調べたところ、80 % 近くが各アプリのプライバシーポリシーと食い違っていたという。

「OK」と評価されたアプリは「Candy Crush Saga」「Google Play Games」「Subway Surfers」「Stickman Legends Offline Games」「Power Amp Full Version Unlocker」「League of Stickman: 2020 Ninja」の 6 本で、40 本のうち 15 % に過ぎない。

一方、「YouTube」「Google Maps」「Gmail」「WhatsApp Messenger」「Instagram」を含む 15 本 (37.5 %) が「Needs Improvement」、「Minecraft」「Twitter」「Facebook」を含む 16 本 (40 %) が「Poor」と評価されている。

なお、「UC Browser — Safe, Fast, Private」「League of Stickman Acti」「Terraria」の 3 本は情報不足で評価対象外になっている。初めの 2 本はデータセーフティに情報の記載がなく、Terraria はデータセーフティに記載されている事項がプライバシーポリシーに含まれていなかったとのことだ。
16512036 story
著作権

米著作権局、いったん著作権登録したAI生成画像によるコミックブックのアートワークを登録から除外 36

ストーリー by headless
取消 部門より
米著作権局が昨年 9 月に著作権登録したコミックブック (グラフィックノベル)「Zarya of the Dawn」の画像に著作権が認められないと判断を覆し、画像を除いた著作権登録証を再発行したそうだ (The Verge の記事Ars Technica の記事作者のInstagram 投稿著作権局の書状: PDF)。

作者の Kris Kashtanova 氏は画像生成 AI プログラム Midjourney を用いてアートワークを生成し、自ら書いたテキストと組み合わせてレイアウトしている。当時 Kashtanova 氏は AI でアートワークを生成したとの説明付きで著作権登録を申請したと報じられていたが、著作権局によると表紙には「KASHTANOVA」「MIDJOURNEY」というテキストが入っていたものの、申請書に AI でアートワークを生成したことは記載されていなかったという。

そのため、著作権局ではアートワークが AI で生成されたことを著作権登録完了後に作者のソーシャルメディア投稿などで知ることになったそうだ。これを受けて著作権局は作者への確認などを行い、テキストのほかアートワークの選択と調整、テキストとアートワークの配置についてのみ著作者として認められると判断。元の著作権登録証を破棄して新たな著作権登録証を発行したとのこと。

著作権局は AI を著作者として認めないが、AI を使用した人間が著作者として申請した場合の扱いは明確ではなかった。そのため、この作品が著作権登録されたことで AI が生成した画像でも人間が著作者として申請すれば認められると思われた。しかし、著作権局によると、Midjourney の生成した画像は指示を与えた人間の著作物としては認められないとのことだ。
typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...