Googleのメール暗号化プラグインのコード中にNSAをおちょくるイースターエッグが

Googleは最近、Chromeブラウザのプラグインでメールの暗号化を推進すると発表して話題になった。本誌はGoogleが取り組むその課題の難しさを指摘し、また、価値ある仕事だ、とも述べた。

しかしGoogleは、そのコードの中に小さなイースターエッグを忍ばせた。そいつが、とってもおかしい。それは、こんなジョークだ(Zen Albatrossさん、ネタをどうもありがとう):

上の図中の”SSL added and removed here”(SSLがここで加えられ取り去られた)は、合衆国の外でGoogleとYahooとのあいだで渡されるデータを盗み見するNSAの計画への、当てこすりだ。下図は、この件に関するNSAのスライドだ。

完全に同じ文があることが、おわかりかな?

Googleがメールを暗号化するコードにこのテキストを入れたのは、NSAに対する一種の皮肉で、そのときNSAはSSLという広く使われている暗号化方式をかいくぐろうとしていたのだ。そこでGoogleは、メールのユーザのためにメッセージのセキュリティを強化するこの新しいツールの中で、わざとNSA自身の言葉を使ったのだ。

画像: FLICKR/KENNETH LU; CC BY-SA 2.0のライセンスによる(画像はトリミングした)

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


ヨーロッパ人の検索結果削除リクエストのためにGoogleが入力フォームページを立ちあげ

EUに住んで、自分に関する古い不適切な情報を検索結果から消してもらいたい、とあなたなら思う? Googleはこのほど、ヨーロッパに住んでいて、自分に関する、自分に削除する権利があると思える情報をGoogleがインデクスした、と信ずる者からの削除リクエストを受け付ける仕組みを実装した。

今朝(米国時間5/30)からあるその、ユーザがデータの削除をリクエストするための入力フォームページは、今月初めにヨーロッパ司法裁判所が下した、Googleは“忘れられる権利”を尊重すべし、という裁定に従うものだ。裁定は、個人からのリクエストに応じてGoogleは、個人データの処理に関するEUのプライバシー指針に違反している“不適切で”古い情報を削除すべし、と言っている。

この裁定は、自分の名前と資産喪失に関する検索結果を検索エンジンから削除したいという、あるスペイン人の訴えが契機となって下(くだ)された。

今月初めには、司法裁判所の裁定に続いて、Googleには検索コンテンツの削除リクエストがいくつか寄せられていることが明らかになった。ただしそこに挙げられていた例は、古典的な三大醜聞ネタともいうべき、再選を目指す元政治家がオフィスにおけるお行儀の悪い行為を報じた記事のリンクの削除を求める; 医師が患者からのネガティブなリビューの消去を求める; 有罪となった児童性愛者が児童虐待写真を保有していたとする判決文の取り下げを求める、といったものだった。

それらは、司法裁判所の裁定の社会的評価を下げるために、Googleが意図的に放ったリークか、とも思われた。

たしかにその裁定は、議論を招(よ)んでいる。とりわけ、Open Rights GroupやWikipediaのJimmy Walesなど、言論と表現の自由を主張する人びとからの反論が多かった。

Walesはそれを、“滑稽”で“異様”と形容し、これでは今後ほとんどの新聞記事が検索にかからなくなる、と指摘した。あるいは、ヨーロッパでは、名もないマイナーな検索エンジンだけが、Googleなどの大手検索エンジンで見つからない情報を表示するかもしれない。裁定に対する批判が示唆しているものは、ヨーロッパではとっくに姿を消したと思われている、検閲という名の悪霊の復活だ。

議論のもう一方の側には、個人のプライバシー権利が座っている。こちらはこのところ、ネットビジネスの繁盛のために大量のユーザデータを収集し利用する企業から、足蹴にされる機会が多くなっている。

昨今の高度に発達した情報技術とそのツールは、データを自動的かつ機械的にふるいにかけるだけなので、人間だけから成る社会では自然に過去という名の背景に溶け込み、消え去ってしまうような情報、たとえば昔々の新聞記事なども、必要以上の長期にわたって公共の目にさらされてしまう。‘忘れられる権利’というおかしな言葉が生まれたのも、このような状況からだ。

裁判所は今のところ、後者の側についている。しかも裁定には即時の強制力があるので、この裁定を根拠に今後為されるリクエストに対応する処理を、Googleは迅速に実装しなければならない。

Googleによると、同社はすでにそういうリクエストを“数千件”受け取っているそうだから、ヨーロッパ人のあいだにGoogleの検索履歴を自分でエディットしたい、という願望があることも事実だ。

裁定に対するGoogleのコンプライアンスは、EUのユーザがEuropean Data Protection Lawに基づいて削除する権利が自分にあると思われる情報を詳細に指定するための、フォームページとして実装されている。

そのフォームには、リクエストの適法性はGoogleが判断する、と書かれている:

この決定の実装においては、弊社が個々のリクエストを評価し、個人のプライバシー権利と、情報の接受と配布にかかわる公共の権利の均衡に努めるものとする。リクエストの評価において弊社は、情報の時代的な古さと、情報に対する公共的関心の有無を独自に判断する。この検討の対象となる情報は、たとえば、金融詐欺、専門的職業人が犯した過失、犯罪に対する有罪判決、公務員の不正な公的行為、などである。

Googleは、上の‘公共的関心の有無’という言葉にも見られるように、裁定に逆らう面も見せている。すなわち、詐欺や過失、公務員の不正行為の記事などは、古い情報であっても、必要があれば見られるという状態の方が適切である、とGoogleは主張しているのだ。

しかしこのような評価はとても難しいから、今後情報取り去りリクエストが増えれば、Googleにとって、手に負えない作業になる可能性もある。おそらく、処理の一部は自動化せざるをえない、と思われる。

なお、情報の削除をリクエストする者は、運転免許証や国民番号証などによって本人性を証明する必要がある。

また、本人の本人性を公的に代理する機関、たとえば本人との正式の契約のある弁護士事務所などが、検索結果からの情報の取り去りをリクエストすることもできる。顧客の某氏のために検索履歴を仔細に調べて、複数の、必要十分な数だけの、削除リクエストをGoogleに提出することが、法律事務所などの手頃な副収入源になってしまうかもしれない。

Googleは本誌TechCrunch宛のメールで、同社はヨーロッパ各国のデータ保護当局と密接に協働していくことのほかに、専門家集団によるGoogle独自の諮問委員会を立ちあげて、評価判断過程の適正化を図る、と言っている。おぉ、これまた、プライバシー専門の弁護士たちの、格好の副収入源になるね。

この件について、Googleは次のように述べている:

“ヨーロッパの裁判所の最近の裁定に従うために弊社は、弊社の検索エンジンからの結果の削除をリクエストするヨーロッパ人のためのフォームページを提供する。裁判所の裁定によりGoogleは、個人の忘れられる権利と公共の知る権利に関して、難しい判断をしなければならない。弊社は専門家による諮問委員会を作って、これらの問題を綿密に検討していきたい。またこの裁定の実装にあたっては、各国のデータ保護当局等とも協働していく”。

アップデート: Googleは、諮問委員会の当面のメンバーの氏名を公表した:

  • Frank La Rue (意見と発言の自由に対する権利の普及と保護に関わる国連特別報告人)
  • Peggy Valcke (University of Leuvenロースクール理事)
  • Jose Luis Piñar (元スペインのDPA, 現在は教授職)
  • Jimmy Wales (Wikipedia)
  • Luciano Floridi (Oxford Internet Instituteで情報倫理哲学を担当)

このメンバーは全員、Googleが選出した人たちなので、かなり‘Google好み’であるかもしれない。

Twitter上には、こんな皮肉っぽい批判も:

[このメンバーは一見多彩だけど、裁判所が言ってる‘均衡’にはあまり配慮してないようね。]

アップデート2: ヨーロッパ司法裁判所の裁定に対するGoogleの今回のコンプライアンスは、データ保護法自体は1995年からあることを考えると遅すぎる、とECの部長Viviane Redingがコメントしている:

“Googleがやっとヨーロッパの法律を尊重するために必要な措置をとったことは、良い展開である。ヨーロッパのデータ保護法は1995年から存在しているから、やっとという形容がふさわしい。Googleにそれをわからせるために、ヨーロッパ司法裁判所の出番が必要だった。忘れられる権利と自由な情報の権利は敵同士ではなく友だちである”。

“この動きは、それまでの実践不可能というおそれが、根拠のないものであったことを示している”。

データの保護は未来のビジネスモデルである。

— Viviane Reding

[pullquote author="Viviane Reding"]Data protection is the business model of the future.[/pullquote]

“法律は、表現の自由とデータの保護とのあいだで正しい均衡を図るためにある”。

“どちらかを優先して他方を犠牲にするのではなく、両方を立てるための正しい均衡が重要である。ヨーロッパ司法裁判所は、二つの権利が矛盾・衝突しないことを明らかにし、その均衡の見つけ方と、忘れられる権利の限界が那辺にあるかを、明確に指示した。また裁判所は、ジャーナリストの仕事はそのまま保護すべきであることも、明らかにした”。

“真のデータ保護を社会に提供していくことに、今後のスタートアップの強力で革新的なビジネス機会がある。法律による保護や、データに関して消費者の力を強くしていくことに、安定的な売上と利益の機会がある。データの保護は未来のビジネスモデルである。この機会をつかもうとする企業の前には、広大なビジネスの未来が開けている”。

[Image by Nana B Agyei; Flickr]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


プライバシー保護を重視したスマートフォンBlackphoneがSilent Circle社に$30Mの新資金を呼びこむ

暗号化通信の専門企業Silent Circleがさきほど、新たな資金調達ラウンドを発表したが、その目的は同社のプライバシー保護を強化したスマートフォンBlackphoneの需要増に応えるため、という。この、堅固なセキュリティを誇るAndroidハンドセットは、スペインのGeeksphoneとの共同開発だ。

今の、いわゆるポストSnowdenの時代には、プライバシーが新しいホットな投資分野としてもてはやされているようだ。しかもSilent Circleは昨年の夏に、同社の暗号化メールサービスを、NSAのスパイ行為が露呈したため、そして政府による盗み見行為への共謀を自ら断つために、自主的に閉鎖した。そういう意味では今回の資金調達は、同社にとって時宜にかなったもの、と言えよう。

セキュアなメールサービスを収益源とすることをやめたSilent Circleは、その焦点をセキュアなモバイル通信技術に変え、そしてその、企業としての思い切った意思決定が、新たに大きな資金獲得機会を招いたのだ。

その3000万ドルのラウンドを率いた投資家は、Ross Perot Jrとプライベート投資ファンドCain Capital LLCだ。

Perot Jr.とBritish Telecomの元CEOで会長のSir Peter BonfieldがSilent Circleの顧問団に加わり、元Dellの上級役員だったAnurag Jainが、顧問団の副会長に任命された。

Silent Circleによると、新たな資金はBlackphoneの、同社の言葉を借りれば“圧倒的に膨大な需要”に応ずるために使われる。そしてそれによって、セキュアな通信の市場における同社の成長を、加速したいのだ。

本稿未了…

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Google検索に個人情報リンク削除リクエストが殺到, EU司法裁判所は藪をつついて巨大怪獣を出した

ヨーロッパの司法裁判所があるスペイン人からの苦情を受理して、彼の名前と資産喪失に関する記事のリンクを検索結果から取り去るよう裁定して以来、この、“デジタルの世界で忘れられたい”という要望がGoogleに殺到し始めている。これらのリクエストすべてにまともに対応することは、Googleにとってたいへんな負荷になるから、もちろん嬉しいことではない。ことの発端となったスペイン人からのささやかなリクエストは、その後起きることの、いわば先例となってしまったのだ。

削除要求の例としては、たとえば、再選を望んでいる元政治家が、オフィスにおける彼の悪行に関する記事のリンクが、彼の名前による検索では出てこないことを求めている。またある医師は、患者からのネガティブなリビューが、やはり彼の名前では現れないことを求めている。児童性愛で有罪になった人が、彼が児童虐待の画像を保有していたなどの詳細判決文の、取り下げを求めている。

これらはすべてBBCがほじくりだした例だが、どれも裁判所が最初の訴訟を持ち込んだスペイン人に有利な裁定を下して以降、寄せられたものだという。WikipediaのファウンダJimmy Walesをはじめ、多くの反検閲団体や言論の自由を守ろうとする団体が、この裁定を批判している。これが判例になった場合、濫用されるおそれがあることと、情報の公開を拒む人たちを一方的に有利にしてしまうことが、批判の根拠だ。

裁判所は、有名人や公的人物の場合はプライバシーの基準が違う、という説を掲げるが、有名人・公的人物の厳密な定義が難しい。しかも、情報の抑圧が公共の福祉に反することも大いにありえる。事実が歴然とした事実で、信頼できる否定情報がない場合は、とくにそうだ。

この裁定に関してGoogleは、ドイツのプライバシー保護当局に対して、一般大衆がそういうリクエストをできるための仕組みを今後2週間以内に実装する、と言っている。つまりGoogleとしては、裁定には不満だがEU各国の暗黙の意思には従わざるをえない、というところだ。

これでもって、Googleに大きな頭痛のタネが増えることは確実だ。すでに、著作権侵犯を理由にリンクの削除を求めるリクエストは毎週数百万件舞い込んでいる。EUだけに限るとしても、すべての個人に苦情申し立てのために手段を与えることは、選別、確認、応答など、ものすごい量の作業負荷としてGoogleに返ってくるだろう。しかもGoogleが大量の訴訟を絶対的に避けようとするなら、事前に大量の検閲を行うだろうから、少なくとも世界最大のWeb発見ポータル(Google)をインタフェイスとするインターネットは、“厳しく検閲されたバージョンの”インターネットになってしまう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


EUの裁判所がGoogleの検索結果から特定の個人情報へのリンクを削除せよと裁定

TechCrunchの常連寄稿者Andrew Keenは前から、“インターネットの能力の中には情報を‘忘れること’も必要だ”と主張していた。でもEUの今回の裁定は、彼が考えていたものと同じだろうか。

欧州司法裁判所は、Googleは“忘れられる権利”を尊重すべきであると裁定し、個人の要求に応じて、“不適当”で古い情報を削除するよう求めた。そのようなデータを一般に開示することは、個人データの処理に関するEUのプライバシー指令に違反している、とした。

当然ながらGoogleは、裁判所のこの決定に対して“怒り”、幻滅している、といわれる。

この画期的な訴訟の原告であるスペイン人は、さかのぼる2010年に、スペインのデータ保護当局に対し、ある全国紙とGoogleが彼のプライバシー権を犯している、と訴えた。

彼の名前をGoogleの検索で入力すると、表示されるリンクのリストの中には、彼の元の家の競売公告が載っているVanguardia紙の記事へのリンクが二つあった。

彼は、この事案は解決済みであるから、そのデジタルの痕跡は当のページ発行者とGoogleの両方によって削除されるべきである、と主張して裁判所を納得させた。Googleは、原告の過去の恥を報じた記事へのリンクを削除しなければならないのだ。

この最後の点に関して裁判所はこう言う:

…当司法裁判所が何よりもまず最初に見い出したのは、検索エンジンの事業者が、インターネット上に公開されている情報を自動的、定常的、かつ系統的に検索することによって、〔プライバシーに関するEUの〕指令に抵触するデータを‘集める’ことである。

さらに裁判所は、次のような強い言葉も使っている:

…事業者は、ある種の状況においては、サードパーティが公開した個人に関連する情報を含むWebページへのリンクを、その個人の名前で行われた検索によって表示される結果のリストから削除せざるを得ない場合がある。当法廷は、その名前や情報がそれらのWebページから前もって、あるいは同時に、消去されていなかった場合にも、同様の責務が存在することを明言するものである。このことは、今回の訴件がそうであったように、それらのページ上の出版物自体が合法的である場合にも適用される。

つまり、EUが意図し目的とするところは、プライバシーを侵犯するおそれのあるデータを公開した元のパブリッシャーと同等あるいはそれ以上の責任がGoogleにある、とみなすことだ。しかも、元のサイトでそのコンテンツが合法的に公開されているものであっても、削除が要請される、というのだ。

これは、“忘れられる権利”というよりもむしろ、“見つけられない権利”と言うべきだろう。

もちろん、当の合衆国の検索巨人は納得しない。

オンラインのプライバシーの状態の如何を問わず、またある種の個人情報の削除を要求する権利が個人にある・なしを問わず、今回のような裁定は検閲を許容するものであり、しかも(そうであるとしても)そのターゲットは情報源そのものであるべきであり、“罪なき”検索エンジンではない、という議論が当然湧き起こるだろう。

Googleなどの検索エンジンが、それらがインデクシングするコンテンツに関して責任ありとする裁定は、控えめに言っても論旨として危ういし、あらゆる種類の“データ”の検閲をめぐって、今後多様な主張や議論を喚ぶだろう。それらに対する、歯止めはあるのだろうか?

事後検閲ではなく、むしろGoogle自身が事前に情報を選別してEUの法に叶うようにした方が、事はおだやかだろう。

しかしGoogleには、キャッシュという厄介なものもある。またInternet ArchiveのWayback Machineという立派なプロジェクトもある。プライバシーの権利と表現の自由、そのどっちを叫んでも、事態はそれほど単純ではない。

EU自身は、今回の裁定のような法理論を今後も強力に押してくるだろう。“忘れられる権利”は、いよいよややこしい問題になっていくのだ。

インターネットそのものに最初から、忘れる機能があれば、話は簡単だったかもしれない。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


CEOの座を追われたVK.comのPavel Durov, 主要技術者全員を引き連れて中欧某国へ脱出, 永住の地を模索

【速報・抄訳】

これは、今年のスタートアップのピッチの中で、強く心に残るものの一つになるだろう。ロシアの人気SNS VKontakte.comのファウンダPavel Durovは、サイト上の政治的コンテンツを検閲すると政府に脅された、と主張している最中(さなか)の今週、上位株主たちの意思により、同社のCEOの座を失った

今彼は、まるでVKに対する当てつけのように、VKではなくFacebookへの投稿で、12名の技術者とともに、当面の本社を中欧某国に移した、と述べている。それに続けて彼は、“プライバシーと言論の自由を確保しながら”新しいプロジェクトを作っていけて、本社を恒久的に置ける国や都市の提案を読者に求めている。新しいプロジェクトの最初のものは、彼が今週初めに本誌TechCrunchに明かしたモバイルのSNSだ。

Facebook上にDurovは次のように書いている: “どの国や都市がぼくたちにいちばん合っていると思われますか? この記事の下のコメント欄で教えてください。ぼくたちサイドの要件としては、ぼくたちは官僚主義と警察国家と大きな政府と戦争と社会主義と過剰な規制がきらいです。ぼくたちは、自由と強力な司法と小さな政府と自由市場と中立性と人権が好きです”。要するに彼が言わんとするのは、ロシアは自分たちが居たい場所ではない、ということだ。

キラキラしたお目々と、ひねったユーモアと、反抗的な態度で知られるDurovは、全世界的に熱心なファンが多くて、今すでに数十通の提案が寄せられている。挙げられている候補国は、エストニア、スペイン、スイス、シンガポールなどだ。

投稿の全文を下に引用しよう。

【後略】

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Appleのデベロッパに広告識別子の規則遵守が義務化, 違反者はApp Storeから拒絶される

Appleが今日(米国時間4/11)、iTunes Connectの一部をアップデートした。これはモバイルのデベロッパが自分のアプリケーションをiTunes App Storeで配布や更新するために使うサービスだが、今回のアップデートでAdvertising Identifier(IDFA)(広告識別子)の使い方に関する規則が変わった。そしてデベロッパは、この規則へのコンプライアンスを、チェックボックスにチェックを入れて示さなければならない。

2月にAppleは、ユニークな識別子を使っているが広告を表示しないアプリケーションを拒絶するようになったが、今回の規則変更はその措置を正規化して、今後は規則に準拠していないアプリが一律に拒絶されることになった。

そもそも、iOSのアプリケーション内で広告を追跡する正規の方法をIDFAにするぞ、とAppleがデベロッパにお布令したのは2013年からだ。

デバイスのユニークな識別子UDIDの段階的廃止が発表されたのが2011年だから、それに続く遅まきながらのルール変更だ。UDIDは、プライバシーや規制などへの配慮から、Appleの製品やアプリのエンドユーザをデベロッパが正確に同定する方法としては今後使うな、ということになっている。

UDIDなどの追跡方法は、Web上のクッキーのような機能がねらいだが、しかしクッキーのようにユーザが自由にコントロール(消去、オプトアウトなど)できない。クッキーの消去のような簡単な方法がユーザに提供されていない。

UDIDの段階的な廃止に伴って、サードパーティ製の追跡方法があれこれもと、たくさん現れたが、iTunes Connectの新しい条文が明記しているように、これからはIDFA, Advertising Identifier, 広告識別子が唯一のオフィシャルな方法だ。

iTunes Connectのその部分は、デベロッパに、“IDFAがターゲット広告を提供する唯一の方法だ”、とアドバイスし、以下の三つのユースケースを挙げている:

  • アプリ内で広告を出す

  • このアプリのインストールを前に出した広告に帰せしめる

  • アプリ内で行われたアクションを前に出した広告に帰せしめる

またデベロッパは、チェックボックスにチェックを入れることによって、自分のアプリケーションと、そのアプリケーションと関わるサードパーティが広告識別子を使うこと、および、エンドユーザによるiOSの”Limit Ad Tracking”(広告追跡を制限する)の設定を尊重することを、確認しなければならない。

自分の関心に対応したいわゆるターゲット広告が出るのがいやなユーザは、この設定を有効にする。これのセット/リセットは、iOSのSettingsアプリの”Settings–>Privacy–>Advertising–>Reset Advertising Identifier“でいつでもできる。おおまかに言えばこれは、ブラウザの設定でクッキーを消去することに、ほぼ相当する。

この変更によって、モバイル上のプライバシーに関するユーザの選択が究極的に尊重されることになるが、また同時に、iOSのデベロッパが消費者のデータを集めて保存して利用しているという政府の懸念を沈静することもねらいだ。IDFAはiOS 6からあるが、しかしその使い方のルールは不明確だった。もともと広告主ではなくアプリのパブリッシャーが使うことがねらいだが、IDFAを広告ネットワークに渡してターゲティングに利用する広告主が多くなり、またデベロッパなどほかの人たちも、広告追跡データを集めていろんな目的…キャンペーンのターゲティング調整やユーザプロフィールの構築など…に利用するようになった。

今度の規則変更でAppleが言いたいのは、アプリにアクセスするサードパーティですら、IDFAを正規にリクエストしてから広告を出す、インストールを数えるなどのことをしろ、ということだ(エンドユーザがIDFAをリセットしていたら、そのことに従わなければならない)。

しかしまだはっきりしないのは、デベロッパは最近ローンチしたOpen IDFAのような別の識別子を、IDFAの代わりに使ってよいのか、という点だ。OpenIDFAはIDFAが対応していない広告関連のユースケースにも一部対応しているし、ユーザのプライバシーにも配慮している(たとえば使用有効期限の設定)。

もうひとつの疑問は、このルールをAppleが果たして網羅的に強制できるのか、ということだ。ともあれ、この条文がデベロッパに対する警告になり、意図的意識的なルール違反は徐々に抑制されるだろう。そしてAppleは、あなたのアプリケーションをApp Storeから拒絶したり取り去る権利を、これからは持つのだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


AndroidではWhatsAppのチャット記録をほかのアプリから読める

これはどちらかというとAndroidのセキュリティの問題だが、DoubleThinkのCTOでコンサルタントでもあるBas Bosschertが、WhatsAppの暗号化システムに脆弱性を見つけた。これにより、ほかのアプリからユーザのチャットの会話をすべて読むことができる。

WhatsAppのチャットにアクセスするやり方を投稿したBosschertは、昨日(米国時間3/11)のAndroidの大幅なアップデートのあとにも、その脆弱性が残っていることを確認した。

その概要はこうだ:

WhatsApp for Androidは会話をデバイス本体のSDカードに保存するが、機器本体へのアクセスを許可されているアプリならそれにアクセスできる(デバイスへの完全なアクセスの可/不可はアプリごとにユーザが指定できる)。これはWhatsAppの側のセキュリティの欠陥というよりも、Androidのインフラの問題だ。

悪質なアプリはそこからさらに、WhatsAppの会話データベースにアクセスできる。上級ユーザなら、これはハッキングではなくてAndroidのデータ隔離システムの問題だと気づくだろう。

Bosschertはこの欠陥をテストするアプリを作ったが、それは、ユーザがかわいらしいアプリロード画面をぼけーっと見ている間に、データベースにファイルをアップロードする。

最近のリリースでWhatsAppはデータベースを暗号化するようになったので、SQLiteなどでは開けなくなったが、しかしBosschertによると、その暗号は自作の簡単なPythonスクリプトで解読できるそうだ。

そのやり方の詳細がここに載っている。

Facebookは今やWhatsAppのオーナーだから、今後数か月以内にはそのセキュリティを改良するだろう。でもそうなるとなおさら、Android自体の問題が際立つ。

Androidでは、多くのアプリがデフォルトではスマートフォン本体への完全なアクセスを許容されており、だからほかのアプリのデータでもアクセスしてどこかへアップロードできる。

これに対してAppleでは、アプリxyzはアプリxyzのデータにしかアクセスできない。だから悪質なデベロッパがダミーのアプリを作って、ほかのアプリのデータを読む、ということはできない。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


[修復済み]Twitterのバグで一部の保護アカウントがフォロワーと認めてない人にも読めてしまった

悪いニュース: 2013年の11月以降、Twitterには、自分のツイートを見られるはずのない人にも見られてしまうバグがあった。

良い(かもしれない)ニュース: 約4か月後に、それは修復された。

正確には昨日(米国時間3/9)やっとTwitterはバグの存在と修復を発表したが、その記述はあまり詳しくない。同社がこのたび開示したのは、93788の保護アカウントがこのバグにやられる可能性があり、ツイートがフォロワーとして認めてない人に見られてしまうおそれがあったことだ。

Twitterのアカウントは通常は公開アカウントだが、保護アカウントはアカウントのオーナーが個々に認めた人にしか読めない(ことになっている)。

Twitterのブログ記事はバグの具体的な詳細には触れず、未承認の人にツイートが読まれてしまうのはSMSやプッシュ通知経由だった、とだけ言っている。ただし今では、そうやってツイートを読もうとした人はフォロワーから外されてしまい、読めなくなる。また実際に被害の生じたアカウントには、すでにメールでお知らせしてある。そもそも何の、どんなバグだったのか、今Twitterに問い合わせているので、答が得られ次第この記事をアップデートしよう。

しかしいちばんかんじんなのは、この特定のバグが直っていようといまいと、小さなグループの内部だけでコミュニケーションしたければ、そのためにTwitterは使わない方がよい(たぶん)、ということだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


FreedomPopが完全暗号化で支払いもBitcoinで行うウルトラプライバシーなスマートフォンSnowden Phoneを発売

これがPrivacy Phone、世界で唯一の、すべての通信を暗号化するスマートフォン、とFreedomPopが自慢する製品だ。同社はこの製品に、”Snowden Phone”という愛らしいニックネームまでつけているが、買うときの支払いはBitcoinのみだから、さらにオーナーの匿名性が保護される。犯罪企業のための携帯が欲しかったり、不正に入手した政府の機密を継続的にリークしたいなら、使用する電話機はこれで決まりだ。

音声もテキストも128ビットで暗号化されるという。アプリケーションやインターネット上のデータはすべて、暗号化されたVPNで送られる。それでもまだ不満なユーザは、電話番号をいつでも変えてもらえる。

FreedomPopのCOO Steven Sesarは曰く: “最近はソーシャルネットワークやモバイルデバイスで一般消費者のプライバシーが危うくなっているから、そのことに神経を尖らしているアメリカ人が増えている。それに、匿名で通信する権利は万人にある。大手キャリアにはプライバシー保護に投資するだけの柔軟性、意欲、そしてクリエティビティがない。われわれは、それでいいとは思えないから、キャリアが頼りにならないなら、うちが完全にプライベートなモバイル電話サービスを、比較的安価に提供してやろうじゃないか、という話になったのだ”。

機種はSamsungのGalaxy Ⅱで、お値段は189ドル、キャリアとの契約なし。向こう3か月は音声とテキストは無制限、データは500MBまで使える。その後は月額10ドルを、これもBitcoinでBitPayから払う。

無線通信の暗号化は前から行われている。BlackBerryのサーバを使うメールは暗号化されるし、音声とデータの暗号化をやってくれるスマートフォンアプリもいくつかある。

“大いなる力には大いなる責任が伴う”とよく言われるが、このFreedomPopのデバイスが提供するプライバシー保護は、上記のようなものよりもずっと強力で徹底している。愛国の志士たちが利用することもあるだろうし、また完全犯罪に利用されることもあろう。どちらも、人間の自由の行いだから。

FreedomPopのCEO Stephen Stokolsも、“これに限らず、新しい技術は濫用されがちだからね”、と言っている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


セキュアなメッセージングアプリTelegramがWhatsAppの買収後に800万のダウンロードを達成

App Storeはむら気なお友だちだ。それは王を任命する最高聖職者だが、その足元は、差別されのけ者にされ無視された者たちの涙で濡れている。

その気まぐれの好例がFlappy Birdの一件だ。このゲームアプリは無料アプリの首位をあまりに長く独占したため、その成功を自分で制御できなくなり、最後はセップク(切腹)して果てた。するとただちにクローンが3つ登場してその座を奪った。Miley Cyrusテーマの“Flying Cyrus”も、その一つだ。

世界最大のメッセージングアプリが2月19日に世界最大のソーシャルネットワークに買収された、というWhatsAppのニュースも、App Storeの新しいスターを生んだ。Telegramという、これまで騒がれたことのないメッセージングアプリが、Facebookの買い物ニュースのわずか5日後にApp StoreのランクでWhatsAppを抜いた。TigerTextやConfideなど、そのほかのメッセージングアプリも、やはり上昇した。

誰もが、この大量移動をFacebookに対する不信のせいにするだろう。Facebookのモバイルアプリはあまり人気がなく、TelegramやWhatsApp、あるいはSnapchatよりも順位が下だ。また、AppleやFacebookなどの大企業がNSAのユーザデータ調査に協力していたというEdward Snowdenの暴露以来、大きなプラットホーム全般に対する不信もある。

Telegramを作ったPavel Durovは、ロシアでFacebookと競合するVKontakteのファウンダだが、NSAにも読まれない、世界でもっとも安全なメッセージングアプリを目指している。先週のWhatsApp爆弾が落ちる前は、一日のダウンロード数30万から40万というペースで成長していた、とDurovは言う。

しかしそのニュースの後には、iOSとAndroidとWindows合わせて一日のダウンロード数がほぼ3倍増し、80万から100万になった。WhatsAppがダウンした日には、新規ユーザが180万増えた。昨日((米国時間2/23)のユーザ増加数は490万で、一挙にiOSアプリの4位にのし上がった。ちなみに1位から3位までは、Flappy Birdの亜流のようなアプリだ。


“Telegramを立ち上げた最大の理由は、ロシアのセキュリティ当局にアクセスされないコミュニケーション手段を作ることだった。その話なら、何時間でもできるよ”、とDurovは言う。Hacker Newsが何と言おうと、このアプリの暗号化システムは世界一最優秀だ、と彼は主張する。

Secretなどと同じく、ユーザの信頼が存立基盤である、まだ自己資本のみのTelegramは、ハッキングに成功した人には20万ドルの賞金を進呈すると公言している。“それはまだ誰も獲得していないが、12月には深刻な問題を見つけてくれたロシア人に10万ドル進呈した”、とDurovは言っている。

Telegramのいちばんクールな特徴は、Snapchatの写真のようにメッセージングの‘期限’を設定できることだ。この、つかの間チャット、短命チャットを利用するには、ユーザのアバターをクリックしたら出るメニューで “Secret Chat”をセレクトする。メッセージングの消滅時限を設定するには、同じくアバターをクリックして、2秒から1週間までのあいだでメッセージの存在期間を指定する。そうすると、チャットは自動的に蒸発して消える。

このところの急激なユーザ数の伸びに対して、ファウンダが平然とした顔をしているのもクールだね。3つのFlappy Birdクローンを全部抜くにはどうやるか?という本誌の質問に彼は、ジョークで答えた: “鳥たちをやっつけたくはないね。ぼくはベジタリアンだから”。

情報開示:私はFacebookの株を保有している。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


ドイツ人が大挙してWhatsAppからThreemaへ移行: Facebookの一員になったのでプライバシーが心配

スイスのThreemaは、こうなることを予想しなかっただろう。Süddeutsche紙によると、Threemaのユーザ数は過去24時間で倍増した。今ではドイツのApp Storeで有料部門のトップだ。Threemaが売り物にしている機能は、本格的なエンドツーエンド(end-to-end)の暗号化だ。このサービスのユーザになったドイツ人は、もう二度と、Facebookがオーナーになったあのアプリを使いたいと思わないだろう。

同社のWebサイトは曰く: “今人気の高いメッセージングアプリの多くは、暗号化をしていると称するものですら、外部からメッセージを読むことができる。Threemaでは、サーバを実際に動かしているわれわれ自身ですら、どんなことをしても、あなたのメッセージを読むことはできない”。

WhatsAppもセキュリティの重視を約束しているが、過去にセキュリティホールが見つかったこともある。今ではもちろん、190億ドルで買われてFacebookのものだが、そのFacebookは所詮、広告で稼いでいる企業にすぎない。

Facebookは、WhatsAppブランドの温存を約束している。だから、Facebookの広告をベースとするビジネスモデルには組み込まれず、独立を維持するはずだ。でもドイツのユーザにとっては、約束だけでは十分でない。

ドイツのWhatsAppユーザは約3000万人おり、WhatsAppのヨーロッパ市場の先頭に立っている。この、WhatsAppにとって欠かせないマーケットリーダーに、ユーザ離れの大雪崩(なだれ)が起きようとしているのだ。

Threemaは社員が三人しかいないので、急増したサポートリクエストに圧倒されている。アプリのルックスや使い勝手はWhatsAppに酷似しているが、同社のサービスはサーバのアドミンすら、暗号の鍵を持っていないからメッセージを読むことができない。

ドイツのシュレースヴィヒ-ホルシュタイン州政府のデータ保護コミッショナーThilo Weichertは、WhatsAppが買収されたことによってデータ保護の問題が生ずる、と言っている: “Facebookには何でも見える。何でも筒抜けだ。そしてWhatsApp alsoにも、何でも見える”…彼は地元紙でこう述べている。Weichertは人びとに、利用するサービスは慎重に選べ、とアドバイスしている。しかしそう思っているのは、政府の高官だけではない。1ドル99セント払って新たにThreemaのユーザになった20万人の、80%はドイツの住民だ。

ドイツの首相Angela Merkelの携帯電話は、長年、合衆国の諜報機関から盗聴されていた。今のドイツ人にとっては、プライバシーの侵犯がとても身近で現実的な杞憂だ。これからのWhatsAppは、プライバシー問題にそれほど敏感になってしまっているドイツ人を安心させなければならない。Facebookの傘下であろうがなかろうが、うちのプライバシー保護は完璧、とドイツ人に対して証明する必要があるのだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


ロシアではホテルのバスルームの鏡の背後に監視カメラがある


[←写真下部のテキスト: 彼女はぼくがシャワーするときいつもこうするんだ]

ロシアでは外来者に対する諜報的行為が広く行われているので、当局は、人がシャワーを浴びているところを監視してもとくに問題ない、と考えているようだ。

冬期オリンピックの記者会見でDmitry Kozak副首相が、西側のジャーナリストはホテルの設備を意図的に乱用している、と主張した。その証拠に、当局は、シャワーの水を出しっぱなしにしたまま部屋を出るゲストを見たという。

とりあえず、Wall Street Journalに載った記事の全文を引用しよう:

“オリンピックの準備を担当した副首相Dmitry Kozakは、西側からの外来者の一部が、ロシアに対する偏見に基づいて、ソチの出鼻を意図的に挫(くじ)こうとしているという、ロシア当局の見解を共有しているようだ。‘われわれが見たホテルの監視ビデオには、放水中のシャワーのノズルを壁に向けたままにして、その日一日中外出していた人びとが写っている’、と彼は言った。”

その後の会話は予想通りに陰謀都市に向けられ、ジャーナリストたちは、バスルームの中で監視されている者は何名か、と副首相に尋ねた。彼が答える前に、護衛の一人が、Kozakは“メディアセンターを巡視する必要があった”、と記者たちに言った。

しかし、意外なことではない。合衆国国務省はソチヘの旅行者に対して、持ち込む電子機器には個人情報が載っていないようにせよ、と助言している。ジャーナリストたちは、ロシアに入国して自分のコンピュータを立ち上げてから数分後に、ハッキングされたことをを発見した。

NBCのRichard Engelは、“2台の新品のコンピュータを箱から出してインターネットに接続した。その1分後には、ハッカーたちが嗅ぎ回っていた”、と言っている。

そのハッキングがロシア政府の仕業かどうかは分からないが、本誌は以前の記事で、ビデオとインターネットに対するロシアの大規模な監視作戦は“筋肉増強剤を服(の)んだPRISM”だ、という、トロント大学のRon Deibert教授の説を紹介したことがある。〔PRISM…NSAのインターネット諜報プロジェクト。〕

シャワールームでジャーナリストをスパイしていることを、ロシアの高官が軽い雑談ふうに、ポロッと言ってしまった。ロシア政府にとって外来者に対する諜報行為は、それほどまでに軽い、当たり前のことなのだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Googleがプライバシーポリシーの変更に応じなかったのでフランスは15万ユーロの罰金を決定

昨年の最終四半期(会計年度第三四半期)に149億ドルの売上を報告したGoogleが、今日(米国時間1/8)はフランスのデジタルプライバシー監視機関CNILから15万ユーロの罰金(20万ドルあまり)を宣告された。付随してGoogleは、今後8日以内にgoogle.frが採用する新方針を書面で提示しなければならない。

2012年の初めにGoogleは、これまで各アプリケーションごとだったプライバシーポリシーを単一化し文書化した。EUのデータ保護当局はGoogleのこの方針変更を調べて、それを違法と判断し、Googleに方針の変更を何点か求めたが、Googleはそれに応じなかった

フランスがGoogleに求めたのは、EU当局よりも少ない変更で、その要求は、データ保持期間の定義、ユーザデータを組み合わせて利用することへの制限、受動的なユーザデータ(ユーザが意志的に提供したのではないデータ…各種閲覧履歴など)の公正な収集と処理、などを含んでいた。

CNILやEUのそのほかのデータ監視当局は、一斉に執行手続きを開始し、1月3日にこのささやかな罰金を決定した。

Googleの今の大きさなら、15万ユーロは痛くもかゆくもないだろう。むしろこの額は、専門の弁護士たちが計算した額より小さいのである。たとえばSafariのプライバシー設定をGoogleが無視しバイパスしている件で合衆国の連邦通信委員会(FTC)は、2200万ドルを要求した。ユーザの個人データを濫用したとしてスペインは最近同社に、90万ユーロの罰金を課した。

しかしフランスの場合は、CNLIの最大賦課額が15万ユーロと決まっているようで、しかし3か月以内にGoogleがプライバシーポリシーの変更を行わなかった場合にはさらに30万ユーロが賦課される。CNILによると、これは同機関が発令した罰金として過去最高の額だそうだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))