Apple、FacebookのResarchアプリを規約違反のVPNとして削除、Googleにも同様の疑惑

TechCrunchのスクープ記事を受けて、Facebookが問題のFacebook Researchアプリをシャットダウンする前に、AppleはこのVPNアプリのiOS版をブロックした。

Researchアプリは、ユーザーに月額20ドルを支払うのと引き換えにスマートフォンを通過するすべてのデータをモニターできるルートアクセスを得ていた。またAppleはTechCrunchの取材に対し、「昨夜Facebookの会社としてのエンタープライズ認証を無効にした」と答えた。

TechCrunchはFacebookのResarchアプリがAppleのApp Store利用約款に反している ことを報じた。App Storeにおけるエンタープライズの特例は企業がカスタムアプリを利用するために社員に限定して配布することを目的としており、プライバシーデータを手数料を得てサードパーティーに提供するのは規約違反だ。Facebookは昨夜「iOS版のResearchアプリをシャットダウンした」と発表したが、Appleに強制されたことについては触れていない。

われわれの調査によれば、Facebookは2016年以降、iOSとAndroidでアプリのデベロッパーにベータテスト結果を販売するプログラムを運営してきた。このプログラムは最近Research Atlasという名称になっている。FacebookはInstagramとSnapchatを通じて13歳から35歳のユーザー(うち5%がティーンエージャー)をResearchプロジェクトのメンバーとして募集した。

Facebookはこれらのユーザーに最大月20ドルと紹介料を支払い、アプリに同梱のVPNを通じて個人情報を買い取っていた。VPNのインストールにより、Facebookはユーザーのスマートフォンへのルート権限を得ており、ユーザーのWebブラウズ履歴、デバイスにインストールされているアプリ一覧、利用履歴から暗号化されたトラフィックを復号化することまで可能になっていた。Facebookはユーザーに対してスクリーンショットやAmazonの注文履歴までの送信するよう依頼していた。

昨年8月にAppleがVPNを利用して個人データを収集するアプリを禁ずるという方針に転換したため、Facebookは今回のResearchに似たOnavo Protectアプリを取り下げることを余儀なくされた。しかしFacebookはプロジェクトを継続し、ほぼ同様の機能のResearchアプリを提供し続けた。TechCrunchではセキュリティー専門家のWill Strafachに依頼してFacebook Researchアプリを詳細に調査してもらった。その結果、Onavo Protectに用いられたのとまったく同じコードが大量に存在することを確認した。FacebookはVPNの利用がエンタープライズアプリに限って許可される特例を利用してVPNによるデータ収集を行っていたものとみられる。

情報源によれば、AppleはFacebookのエンタープライズ認証をすべて取り消した。これにはFacebookやInstagramの社内テスト用ベータ版も含まれているという。これには日常社内で利用する生産性ツールも多数含まれていたためFacebook社内では混乱が広がっており、業務や開発に差し支えているという。昨日の記事でわれわれはAppleがこうした強硬な措置を取る可能性を指摘した。生産性の上でFacebookの3万3000人の社員が被った損害は大きいだろう。

[アップデート: FacebookはTechCrunchに対してAppleの措置で多数の部内利用アプリが阻害されており、Appleに対して復旧を要求していることを明らかにした.]

Facebookの本体アプリはiOSでも正常に作動している。一方、Appleのエンタープライズ認証の特定に違反してユーザーデータを収集していたのはFacebookだけではなかった。TechCrunchはGoogleのScreenwise Meterも同様だと発見した

今朝、AppleはTechCrunchに対し、Facebookが自発的に取り下げる前にResearchアプリの登録を解除したことを確認し、 強い口調でFacebookの行動を非難した。

一方Facebookは以下のように反論している。

重要なのは、この市場調査アプリの本質が無視されている点だ。一部の報道とは異なり、アプリに何も秘密な点はない。Facebook Researchアプリという名前のとおりだ。このアプリは密かにスパイなどしていない。収集しているのはデータの提供に関してユーザーから明示的に同意を得た情報だけだ。われわれは調査への参加に対して報酬を支払っている。最後に ユーザーの5%弱を占めるティーンエージャーについては書式によって両親の同意を得ている

TechCrunchはこれは理由のない非難だと考える。昨夜われわれが記事にした時点でResearchアプリがVPNを利用していることを事前に明確に示していなkった。またサードパーティーのデベロッパーを通じた場合、ユーザーは登録プロセスを始めるまでFacebookが関与していることを知らされなかった。なるほどデータ収集のプロセス、範囲についてははっきり説明されていたが、VPNをインストールした場合Facebookがどれほどのデータを収集することができるかを詳しく説明していなかった。なるほどティーンエージャーのユーザーは一部だったかもしれないが、プライバシーに関するデータ収集が問題になっている場合、ティーンエージャーだからといって報道から除外する理由にはならないと考えている。【略】

今回の事件で年来緊張していたFacebookとAppleの関係はますます悪化することが予想される。ts. AppleのCEO、ティム・クックは繰り返しFacebookのデータ収集をプライバシーの侵害だと非難してきた。逆にマーク・ザッカーバーグは「われわれは無料で誰もが使えるサービスを提供している。Appleのように高価で一部の人間しか使えないデバイスを販売しているわけではない」と反論していた。関係の悪化でFacebookはApp Storeでの表示順位の格下やiOSとの統合でさまざまな不利益を被る可能性がある。またティム・クックからの非難も激しくなるだろう。ともあれFacebookがAppleの規約に違反してユーザーのプライバシーに属するデータを収集していたのはいわば現行犯だった。

原文へ

滑川海彦@Facebook Google+

Appleのだんだん怪しくなる国際取り引き

新興市場や中国でのトラブルからは遠く離れた場所で、Appleは、本当にコアな支持者層であるべき人たちの怒りを集めている。それは、数年前からTim Cookが一般向けの講演で表明してきた、プライバシーを尊重する姿勢に必然的に賛同する人たちだ。彼らは、Cookは偽善者だと責めている。

この人たちは、この問題さえなければヨーロッパの忠実なるiPhoneユーザーなのだが、Appleは彼らに十分なプライバシーを提供していない。

こうしたユーザーたちは、iPhoneの中核的要素の選択の幅を求めている。たとえば、iOSのSafariのように、デフォルトに設定できる検索エンジンの種類だ(現在Appleでは、Google、Yahoo、Bing、DuckDuckGoの4つの選択肢を提供しているが、すべてアメリカ製の検索エンジンだ。広告テクノロジーの巨人Googleはデフォルトに設定されている)。

また、Appleが主張するプライバシーを重視したデザイン哲学を覆すようなデフォルト設定にも、非難が集まっている。そのひとつがiOSの位置情報サービスの設定だ。ひと度これを有効にすると、関連するサブメニューの項目も知らぬ間に有効になる。これには、位置ベースのAppleの広告も含まれている。そこに記されている同意の内容は、事前の情報に基づく同意のときとは、まったく違うものになっている……

https://platform.twitter.com/widgets.js

私的にはAppleはリーダーなのだが、検索エンジンでAppleが選択したiOS SafariをiOSユーザーが無効にできない理由を知りたい。
「このデバイスで位置情報サービスを有効にすると、Appleとそのパートナー、ライセンシーがあなたの位置情報および位置検索のクエリーを、位置ベースまたは交通状況ベースの製品およびサービスの提供と改善のための転送、収集、維持管理、処理、使用することに同意したものとみなされます」

すべての人を同時に満足させることはできないと言うが、飽和状態のスマートフォン市場で生まれた新しい「常識」は、アプローチの再構成を迫る新たなプレッシャーになっている。

今後は、収益の増加とユーザーのつなぎとめに努力することが、ステップアップの唯一の手段となるのは明らかだ。そのため、行きつ戻りつのサービス提供が今後の成長には欠かせないこのハイテク最大手企業にとって、こうした問題さえなければ忠実なユーザーたちを満足させ、(決定的なこととして)彼らに自分たちの意見が届いていると感じさせ、自分たちが大切にされているという感覚を持たせることが、ますます重要になる。

(少くとも、Appleから奇跡のようなハードウエア……それはまだ誰も知らないが、スマートフォン級の需要を再燃させる何か……の登場は、中期的な時間の枠内では考えられない。スマートフォンの汎用性と機能性が大変に高いからだ。ゆえに、Appleの最大の成功が、今や最大の障害にもなっている)

スマートフォンの買い替え頻度が低下している今、自然の成り行きとして、サービスによる収益増加というプレッシャーがCookにかかってくる。言い換えればそれは、Apple本社が周囲に言いふらしている中核的な原則に関するプレッシャーでもある。

しかし、その原則なくしては、Appleが人々の注目を集める高級ブランドとしての魅力は消えてしまう。そうなれば間違いなく破滅だ。

コントロールの変化

主流の一般ユーザーが使いやすいようにiOSの一部のコントロールを制限していたことが、Appleの成功を長期的に支えてきたのは事実だ。しかし、iOSが次第に複雑化し、すべてが自分の支配下になければ気が済まない人たちが離れてしまったのも事実だ。

たとえばキーボードなど、これまで固定されていた要素がオープンになり、タイピング方法を自分で決めたいユーザーのために、サードパーティー製キーボードがインストールできるようになった。

こうした変化は、好きな検索エンジンをデフォルトに設定できないという制限を浮き彫りにし、Appleは、ユーザーエクスペリエンスの観点から正当性を訴えることが、次第に困難になってきた。

しかし、ビジネスの観点からすれば、Googleに検索エンジンのデフォルトという特別待遇を与えることで、Appleは巨額の利益を得ている。それは大変な額だと伝えられている。2018年は90億ドル(約9707億円)とも言われているが、確認は取れていない。当然のことながら、どちらの側からも取り引きの条件を公表する気はないようだ。

Appleの問題は、Googleから間接的な利益を得る代償として、Appleが擁護すると断言したユーザーのプライバシーが損なわれるところにある。広告の王者であるGoogleは、Appleに金を払うことでiOSユーザーの検索ワードをデフォルトで吸い上げる。これでは言っていることと違う。

プライバシーは、信頼あるAppleブランドの中核をなすものであるはずだ。

Cook自身も、一般に向けて強い口調で「データ工業団地」を非難してきた。しかし、間接的ではあっても、時として利益のためにユーザーのデータを売り渡しているという不都合な話には触れていない。

2017年、AppleはSiriのウェブ検索を、BingからGoogleに切り替えた。ユーザーのプライバシー保護に関してどんなうまい言葉を使ったとしても、西側のインターネットで最大のデータ商人との取り引き関係に依存していることに変わりはない。

これだけで、偽善者と呼ばれるには十分だ。

もちろんAppleは、トラッキングをしない検索エンジンを使いたい人のために、DuckDuckGo(DDG)も選択できるようにしている。これは2014年のiOS 8からの対応だ。

成長途中の、しかしまだ非常にニッチな製品を、主流の一般消費者向け製品に採り入れることは、Appleが自らの言葉を守り、プライバシーの保護を一番に思っている一例とも言える。

3大データ商人とも言うべきハイテク最大手企業の中にDDGスタートアップが現れたことで、事情に詳しいiOSユーザーは、それ以来Googleに中指を立てることが可能になった。つまりAppleは、プライバシーに敏感なユーザーに製品を買い続けてもらう状態を維持できたのだ(Appleの事業方針を完全に受け入れたわけではないが)。

しかし、そんなAppleの妥協的なポジションも、次第に危うくなっているように見える。

熾烈な値下げ競争を繰り広げ、データ商人のおかげで初期投資費用がずっと低く、それでも機能的にはほぼ同等のAndroidスマートフォンが台頭してきたこの時代に、Appleがブランドの差別化の大きな柱にプライバシー保護を据えようと思わなければ、その地位を守るのは難しい。

さらに、Appleの最上級iPhoneの価格が1000ドルを超えるという問題も見過ごすことはできない。デフォルトで自分のデータを売り渡すことがないとしても、1000ドル以上という価格は非常に高く感じられるが、他社製品との差額によって得られるものには、ピカピカのガラス筐体以上の価値があってしかるべきだ。しかし、実際のiPhoneは、そんな電話機ではない。デフォルトでは違う。

Appleは、プライバシーにもっとも敏感なiPhoneユーザーは、Google色の強いAndroidスマートフォンには手を出さず、選択肢が少なくてもiOS機器を選ばざるを得ない、事実上の専属市場だと思っているのかも知れない。たしかにそうだが、そんなiPhoneユーザーにAppleがより多くの高額なサービスを提供すれば、この飽和状態のスマートフォン市場で買い替えによる収益が上げられるかといえば、その保証はない。

最高の上客をそんなことで怒らせてしまえば、熱心に製品を買ってくれるユーザーは、控えめに言っても、目先のことしか見ない気の短い人たちばかりになってしまう。

しかし、Googleが検索市場を支配してる中で、Googleをデフォルトの検索エンジンから外せば、Appleの事業の存在意味を持つ主要なユーザー層の大半に楯突くことになる。

この理屈からすれば、ほとんどのインターネットユーザーはGoogleの検索エンジンをデフォルトとして使っているため、Googleをデフォルトの位置から動かすことはできなくなる。

実際、Cookは、昨年末、HBOが配信するニュース番組AXIOSのインタビューで、その取り決めの継続について聞かれたとき、はっきりとこう答えている。「彼らの検索エンジンは最高だよ」

彼はまた、近年、プライバシー保護のためのさまざまな機能をAppleのソフトウエアに組み込んでいると主張した。プライベートブラウズやスマートなトラッキング防止機能だが、それらはデータ商人に対抗するものだと彼は話している。

とは言え、それは血に飢えた吸血鬼を家に招き入れてから、家のまわりにニンニクのかけらを2つ3つばら撒くようなものだ。Cook自身も、その取り決めは「完璧」ではないとすでに認めている。

明らかに矛盾がある。しかし、Appleの儲けを考えば、これに限って言えば大した矛盾ではない。

このとこから、Appleの目は四半期のバランスシートと、ますます重要性を持つサービス関連の商品に向けられていることが想像できる。Appleが主張しているような長期的な視野ではなく、この完璧でないが儲かる取り決めを継続する姿勢だ。今週、株主に向けて発表されたCookの挨拶状には、こう書かれていた。「私たちは長期にわたりAppleを運営しており、逆境の折りには必ずそれを好機ととらえ、私たちが持つ柔軟性、適応性、創造性の文化を活かして、そこからよりよい結果を生み出すよう、自らの方針の再検討を行ってきました」

もし、Googleの検索製品が最高のものであり、Appleがデータ工業団地を非難することでプライバシーのモラル基準を高く保ちたいと望むなら、主流派ユーザーのためのサービスを今のままの取り引きで継続しつつ、Googleからの数十億ドルの資金を、人をプロファイリングする広告テクノロジーの巨大企業がもっとも嫌うプライバシー保護法の維持と強化のために奮闘している消費者やデジタル人権団体に寄付するという手がある。

しかし、株主はこの薬を好まないかも知れない。

投資家の口に合うのは、Appleが検索エンジンの選択肢を増やすことで活動の場を広げ、プライバシー保護に力を入れた、Googleに取って代わる検索エンジンを迎え入れるという策だろう。

またこの選択を、無数のユーザーに難しい駆け引きを持ちかけるようにデザインすることもできる。たとえば、デバイスの設定時に、インターネットでの検索をデフォルトでプライベートにするか、それともGoogleを使うかを積極的に尋ねるのだ。

それを実行したとき、想像を超える数のユーザーが検索エンジンのデフォルトにGoogleを選ばなくなることが想像できる。

たとえば、トラッキングを行わない検索エンジンであるDDGは、この数年間、着実に成長し、昨年の秋には一日に3000万件の検索を記録した。前年比で最大50パーセントの伸びだ。

AppleとGoogleの協定は守秘義務契約のもとに交わされていることを考えると(こうした協定では当然のことで、DDGもAppleとの取り決めの内容を詳しく話すことはできないと言っている)、Googleの条件の中に、iOSユーザーが選択できる検索エンジンの数に制限があるかどうかも不明だ。

しかし、少くともGoogleはAppleに金を払うことで、iOSユーザーがデフォルトに指定できるライバルのリストに制限を加えさせている可能性はある(最近になってGoogleは、反競争契約によりAndroid OEM製品での、検索エンジンを含むGoogle製品に代わる製品の利用機能に制限を課したとして、ヨーロッパでお仕置きを受けている。だから、検索エンジンに関してGoogleには前科があるのだ)。

同様に、Googleが中国で検索エンジンを再開するとしたら(本当に行うかどうかはっきり言わないのだが)、GoogleはAppleにデフォルトの座を渡すように要請してくるだろう。

しかし、それを押しのけるだけの強い理由がAppleにはある。中国市場ではGoogleは小魚も同然なのだ(現在Appleは、中国のiOSユーザーのために、現地の大手検索エンジンBaiduをデフォルトにしている)。

したがって、iOSを取り巻く現在の検索エンジンの構図は、Cookが望んでいるものよりも、少しぼやけている。

地元の好み

中国のケースは面白い。その市場でのApple成長の奮闘の様子を見ると、高級ブランドとしてのプライバシー保護の方向性とは、まったく別の方角を向いている。

中国では、なんでもありのスイス・アーミーナイフ的なWeChatプラットフォームのおかげで、物事はとても便利にできている。明らかにこれが消費者の方向性を決めている。そしてそれは今、中国市場でのAppleの事業の逆風にもなっている。

同時に、中国のユーザーはインターネット上でなんかしらのプラバシーがあるという考えは、国家による検閲があり、それが日常化しているその市場では、実質的にあり得ない。

それでもAppleは中国でビジネスを展開していて、さらなる偽善のためのコストとの釣り合いをとっている。

今週、改定された目標では、Appleの事業展開にとって重要な中国と新興市場にスポットを当てただけだった。原則に基づく行動は、どうも無理そうだ。

成長目覚ましい新興市場を重視することで、Appleは、公表している原則に反する方向に強く出ざるを得なくなる。プライバシーとは、どんだけ高価なのだろう?

はっきり言えるのは、飽和状態のスマートフォン市場で成長を遂ようとすれば、誰だって狡猾に立ち回らなければならない。とくにAppleは、未知の駆け引きや落とし穴に遭遇するリスクを負う。

株主に向けた挨拶状から推測れば、中国での交渉にはまったく新しいアプローチが必要になるとCookは考えているようだ。

こうした新しい「常識」により、飽和状態にあり単調なスマートフォン市場で差別化をはかるひとつの方法として、さらなる現地化が重要になる。

「すべての人にフィットするひとつの規格」というAppleの古い哲学は、今や一部のユーザーには時代遅れな考えとなり、多極化する前線においては足手まといで危険ですらある。ソフトウエアの「イノベーション」とプライバシーの原則を守るという主義に徹したいなら別だが。

検索エンジンの選択の幅を恣意的に制限していることが、ひとつのことを示している。なぜ、iOSはユーザーに自由に選ばせてくれないのか?

もしかして、Googleからの巨額の資金がそれを阻んでいるのか?

フランスのiPhoneユーザーの場合は、また複雑だ。フランスでは、使用できるキーボードアプリの数が非常に多い。有名どころのものから、チマチマした表面的に装飾されたものや、ネオンのように光るLEDキーボードスキンに、絵文字やGIFに取り憑かれたようなものまである。しかし、フランスで開発されたプライバシー保護を謳う検索エンジンQwantを、iPhoneのネイティブのブラウザーで使おうとすると、何かを検索するたびにQwantのウェブページに移動しなければならないという不便を強いられる。

Google検索は、おそらく世界(中国を除く)の平均的iOSユーザーにとって最善のものだろう。しかし、個人に特化した、個人を中心とした技術が発達し始めている現在、消費者の要求はこれまでよりも多くなり、個人が好きなものを自由に選ぶことに意義を挟むことは大変に難しくなっている。

ヨーロッパでは、改定された一般データ保護規則(GDPR)も警戒しなければならない。そのために、今日主流の広告テクノロジーのビジネスモデルは、さらに再構築が必要になるだろう。

この件に関してQwantは、トラッキングをさせない検索エンジンのライバルであるDDGでも、アメリカのCLOUD法に基づきAWSクラウドサービスを使ってユーザーの検索ワードを政府が検閲を行ったとき、どう対処できるのかと疑問を呈している(2年前、この件に関してGithubの討論スレッドでは、DDGの創設者がサーバーは世界中にあると話していた。彼は「ヨーロッパにいる人は、ヨーロッパのサーバーに接続されます」と言っている。DDGは個人データを一切収集しないので、CLOUD法に基づいてAWSからデータを抽出しようとしても、限られたものしか出てこないと繰り返し訴えていた)。

QwantがSafari iOSリストへの検索エンジンの掲載を求めたときの反応を聞くと、(間接的ながら)返ってきた反応をQwantは我々に話してくれた。「私たちはAppleにとって、あまりにもヨーロッパ的すぎるとのことです」(Appleは、iOSユーザーの検索エンジンの選択の自由に関してコメントをしていない)。

「もっとアメリカンになるように努力しなければなりません」と、クパチーノのApple本社から立ち上る狼煙の意味を解釈して、Qwantの共同創設者でCEOのEric Leandriは話していた。

「Appleが、ユーザーに同じエクスペリエンスを届けたいと考えていることは理解できます……。しかし、今もし私がAppleの人間だったら、ユーザーのプライバシーを守るという点においては、私には従いたい信念があります。まずは、ヨーロッパを、個人データに関する考え方が異なる人々の市場だと捉えることから始めるのです」と彼は話す。

「Appleはこれまで数多くの努力をしてきました。たとえば、アプリケーション同士でのデータのやり取りを、非常に厳格な反トラッキング指針に従って禁止してきました。またAppleは、クッキーやトラッキングの防止を確実にし、iOSではそれらを非常に困難にするという努力も重ねてきました。そして、最後にAppleに残った問題が、Google検索です」

「なのでAppleには、ひとつですべてを満足させるという方針とは別の考え方として、私たちの提案を見て欲しいのです。なぜなら、もはや私たちは、ひとつですべてを満足させられるとは思っていないからです」

Qwantもまた、この市場に関する小さな逆境を好機として、よりよいAppleが生まれることを期待している。

[原文へ]

(翻訳:金井哲夫)

Facebook、サードパーティーによるユーザーメッセージ利用の正当性を主張

Facebookのプロダクト連携担当VP、Ime Archibongは最新のブログ記事で、最近の同社のユーザープライバシー問題に言及した。これは、Facebookが大手ID企業と特別な提携関係を結び広範囲なデータ共有を行っていると報じた火曜日(米国時間12/18)の New York Times記事に対する反論の第2ラウンドだ。

Archibongは最新の投稿で、Facebookはユーザーの許可なくプライベートメッセージをパートナーにアクセスさせたことはない、と明確に主張している。Facebookは実際にサードパーティーにユーザーメッセージを提供したことがあるが、それは「ユーザーがFacebookログインの利用を選択した場合」に限られると同社は言っている。Facebookログインを使うとユーザーは新たなログインIDを取得することなくサードパーティーサイトにログインできる。

Archibongはこう書いている:

「われわれはパートナー4社と密に協力して、先方の製品に統合し彼らのメッセージング機能を使ってFacebook友達にメッセージを送れるようにしてきた。これはわれわれの業界では一般的なやり方だ——Alexaがメールを読み上げたり、Appleのメールアプリでメールを読むところを想像してほしい。

さらに彼はこれらの機能は「実験的なものであり三年近く使っていない」と言った。Facebookがこの時間軸をかなり具体的に示したのは意図的だった。これはNew York Timesの記事に、Facebookがサードパーティーとのデータ共有に関して、この種の共有は数年前に中止したと公開声明していたにも関わらず、今年の夏まで何らかな「特別なアクセス」を許可していたと書かれていたためだ

ではなぜFacebookはパートナーにメッセージングの詳細なアクセスを許可していたのか:

「それがこの機能の核心だ——上記のメッセージングパートナーのユーザーがFacebookの友だちにメッセージを送れるように、われわれは協力して彼らのアプリに機能を統合した」

たとえば、SpotifyからFacebook友だちにメッセージを書けるようにするためには、Spotifyに “write access” を与える必要がある。送られてきたメッセージを読むためには “read access” が必要だ。”delete access” とは、Spotifyの中でメッセージを削除したとき、Facebookからもメッセージが削除されることを意味している。どのサードパーティーも、本人の許可なくユーザーのプライベートなメッセージを読んだり、友だちにメッセージを送ったりしていない」

Facebookの記事には、こうしたメッセージング統合のスクリーンショットが掲載されているが、それらはあまりに古くほとんどの人は覚えていない。一方Facebookがこの記事で提供していないのは、このアクセスを許可したときにユーザーが見る承認画面のスクリーンショットだ。それこそが、こうした統合を気軽に有効にした際、相手に何を引き渡しているかをユーザーがどう知らされていたかを決める鍵だ。

screenshot via Facebook

しかし、たとえFacebookが許可画面でどんなに明確な文言を書いていたとしても、ソーシャルメディアのユーザーがこのデータ共有全体について何か不安なことが起きているという事実に気付かされたのはたった今だ。たとえユーザーが自らクリックしてこの機能のために許可を与えたのだとしても、それによって起きうるプライバシーへの影響を理解していなかったという問題は残る。

これはFacebookだけの問題ではない。プライバシー規制の影が米国にも迫りはじめ、すでにEUではGDPRが消費者プライバシーの主流となりつつある今、ユーザーデータを広告主に貸し出しているあらゆる主要IT企業が、ビジネスのやり方を根本から変えかねない報いを受けるのは時間の問題だ。

[原文へ]

(翻訳:Nob Takahashi / facebook

FirefoxブラウザーにWebサイトの侵犯通知機能が加わる、開示義務により侵犯情報の最新化も期待

MozillaのWebブラウザーFirefox Quantum*に、新しいセキュリティ機能が加わる。それは、最近データ侵犯が報告されたWebサイトを訪ねようとすると、ユーザーに警告する機能だ。〔*: 2017年のv57以降の設計が一新されたFirefoxブラウザーを、開発者のMozillaがFirefox Quantumと呼んでいる。〕

Firefoxのユーザーが最近侵犯されたWebサイトを開くと、通知のポップアップが表れて侵犯の詳細を告げ、ユーザーの情報が漏洩しなかったかチェックするよう勧められる。

Mozillaの発表によると、“このようなプライバシーとセキュリティに関する機能へのユーザーの関心が高まっているので、Firefoxのユーザーにこの通知警告機能を提供することになった。この新しい機能は、今後数週間で、Firefoxの全ユーザーに展開される”、とある。

侵犯を通知するポップアップとその上の情報は、こんな感じだ:

FirefoxのWebサイト侵犯通知機能, 画像提供: Mozilla

Mozillaはこの、サイトの侵犯通知機能を、今年初めにローンチしたメールアカウントの侵犯通知サービスFirefox Monitorに統合しようとしている。今日(米国時間11/14)の発表によると、それは26の言語で利用できる

Firefoxのユーザーが、サイトの侵犯を告げるポップアップが出たときクリックしてMonitorへ行けば、メールアカウントの侵犯についても知ることができる。

Firefox MonitorでMozillaは、侵犯されたWebサイトのリストを、パートナーであるTroy Huntの先駆的な侵犯通知サービスHave I Been Pwnedから得ている。

ユーザーをあまりにも多くの情報でうんざりさせないために、Mozillaは侵犯の通知を一サイトにつき過去1年に起きたもの一つに限定している。〔全部知りたければFirefox MonitorやHave I Been Pwnedを使えばよい。〕

データ侵犯はデジタル生活の不運な定番で、最近はビッグデータサービスの登場により、増加傾向にある。そして、人びとの関心も高まっている。ヨーロッパでは5月に導入された厳しい法律により、侵犯の普遍的な開示義務と、データ保護の失敗や怠慢に対する罰則が制定された。

そのGDPRフレームワークは、データをコントロールしたり処理したりする者たちにセキュリティシステムの改良を勧奨するために、彼らにはさらに重い罰を課している。

法律や罰則の強化によってセキュリティへの投資が増えたとしても、それが実際に侵犯の減少として効果が実っていくためには、時間がかかるだろう。どれだけ法が、その効果を期待していたとしても。

でもGDPRの初期の功績のひとつは、企業に侵犯の開示を義務付けたことだ。そのため今後は、このようなセキュリティツールが利用する侵犯情報も、より多く、そしてより最新のものになるだろう。一般ユーザーのためにも、この法律はポジティブな効果を上げているようだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Mozillaがギフト用のスマート製品のプライバシーとセキュリティを評価して格付け

そろそろ今年のホリデーシーズン、家族その他愛する人にクールなスマートデバイスの新製品をプレゼントしたいと思ってる人なら、新製品だからなおさら、その品物の良し悪しが気になるだろう。カメラや歩行計の性能ばかりでなく、製品が生成する顧客データを集めているであろう物については、セキュリティとプライバシーも気になる。そこで、Firefoxブラウザーを作っているMozillaが、70種の最新製品のランキングを発表した。そこには、Amazon Echoもあればお利口なテディベアもある。

それらの玩具やデバイスのランキングに使われた測度や基準は、1)何のデータを集めるか、2)データは送信時に暗号化されるか、3)データは誰と共有されるか、4)デフォルトパスワード*を変えることを要求されるか、5)エラーなどで起こりうる最悪のシナリオは何か。〔*: デフォルトパスワードは製品が最初から持っている簡単なパスワード、セキュリティのためにはユーザーがパスワードを変えるべきである。〕

一部のセキュリティリスクは製品が本質的に持っている。たとえばセキュリティカメラは、ユーザー以外の誰かが見るかもしれない。企業の見過ごしによるリスクもある。たとえば、アカウントの削除ができなかったり、データを第三者と共有したりしている企業もある。

リストのトップにあるのは、多くのことを正しくやっているMycroftのスマートスピーカーだ。オープンソースのソフトウェアを使っているし、メーカー企業はいろんなことを正しく選んでいる。読みやすいプライバシーポリシーなんて、ありそうでなかなかない!。ガジェットの多くが、とくに問題ないようだが、このリストは良い製品も積極的に取り上げている。

しかしDobbyのドローンのような製品もある。これには、プライバシーポリシーすらないようだ。アプリをインストールすると、ユーザーの位置やHDの長さまで記録するのは最悪! またこの、Frediの赤ちゃんモニターには、ユーザーが変えなくてもそのまま使われるパスワード〔デフォルトパスワード〕がある。セキュリティの自動アップデートもない。おいおい、人をバカにしとんのか? 近づかないようにしよう。

約半分の33の製品が、Mozillaが最近提案した、スマートデバイスの“セキュリティの最小基準”に合格している(すてきなバッジをもらってる)。不合格は7つで、あとはどっちつかずだ。これらMozillaによる公式の評価のほかに、まじめに使ってほしいクラウドソーシングな“creep-o-meter”(製品のcreepy度…気持ち悪さ…の評価)がある。でも、BB-8が気持ち悪いなんて、おかしいと思うけどな。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

中国では生体認証による決済が当たり前になった…11月11日のショッピングフィーバーがそれを証明

中国の消費者はデジタル決済を採用するのが早くて、最近のショッピングブームを見るとその次のステップへの用意ができているようだ。それは、生体認証(バイオメトリックス, biometrics)による決済だ。

11月11日にAlibabaは、世界最大のショッピングイベント「独身の日」に大勝利し、308億ドルの売上を記録した。それはCyber MondayBlack Fridayを合わせたよりも大きい、驚異的な売上高だ。

中国のユーザーたちは、特売を逃すまいとあせってパスワードを入力する代わりに、一瞬で買い物が完了する新しい技術に飛びついた。今年、独身の日の顧客の60.3%が、指紋または自撮り写真の撮影で決済を行った。

そのデータを見せてくれたAlipayにとっても、そんな集計をするのは今回が初めてだった。同社はAlibaba系列のデジタルウォレット企業だが、全世界で8億7000万人のユーザーのオンラインおよびオフラインの商取引を処理し、ライバルのWeChat Payと肩を並べている。後者はTencentの人気の高いチャットアプリWeChatの決済方式で、ユーザー数(MAU)は同じく8億を超えている

そしてこの二社は共に、シームレスな決済に向かって競走している。Alipayは2014年9月に指紋認証による決済を開始した。それから1年足らずで、WeChat Payがそれに続いた。中国の買い物客は徐々にバイオメトリックな自己証明に慣れて、それによりスマートフォンをアンロックしたり、オフィスビルへ入館したりするようになった。2016年にもなると、Chinese Payment and Clearing Association(中国決済手形交換協会, CPCA)がアンケート調査をした人たちの約95%が、指紋認証を“知っている”と答えた。

次に来たのが、自撮りというやや高度な方法だ。昨年Alipayは、AlibabaとAlipayの本拠地杭州のKFCのお店で、にっこりお支払い(smile-to-pay)と名付けた決済方式を展開し、その後、配達の受け取りなどもっと多方面で顔認識による認証をローンチした。

alipay alibaba face recognition

Alipayの親会社Ant Financialは、配達された荷物をユーザーが受け取るとき顔をスキャンして認証する。/出典: Alibaba

政府はいち早く、顔認識の別の用途に目をつけた。そのよく知られている例は、世界で時価総額がいちばん大きいAI企業SenseTimeとの提携により、国民監視システムを開発していることだ。それによりたとえば、路上の犯罪者を追うことができる。

中国人は、身体的特徴による認証に、急速に慣れつつある。前出CPCAの調査によると、2016年には、70%よりやや多い人びとが、自分のバイオメトリックな情報による決済を平気と答えたが、2017年にはその比率が85%に急増した。

この急速な普及には、問題もある。2016年には調査回答者の半分が、生体認証による決済はセキュリティが心配だ、と答えた。しかし翌2017年には、70%が心配だと答えた。その同じ年に77.1%が、もうひとつの心配としてプライバシーを挙げたが、それは前年には70%弱だった。

画像クレジット: Alibaba

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

CloudflareのプライバシーとスピードをアップしたDNSサービス1.1.1.1がモバイルアプリに

多面的なセキュリティ/Web最適化サービスを提供するCloudflareが、その、プライバシーにフォーカスしたDNSサービス1.1.1.1を今日(米国時間11/12)からモバイルユーザーにも提供する。

スマートフォンやタブレットで1.1.1.1を使うことは、これまでも可能だったが、これからは専用アプリをiOSとAndroidの両方のデバイスで使えるから、その無料の消費者向けDNSサービスを誰もが容易に利用できるようになった。

そのアプリは、ボタン一つ押すだけでon/offを切り替えられる。やることは、たったそれだけだ。

Cloudflareは1.1.1.1を、、まさに今年のエイプリルフールの日に展開したが、このサンフランシスコの大きなネットワーキング企業にとってプライバシーはジョークではない。このサービスを利用すると、ユーザーのDNS情報…インターネットに接続した時間、タイプしたWebアドレスなど…をCloudflareが処理することになる。DNSデータが1.1.1.1へ行くようになると、インターネットプロバイダーは、そのユーザーが訪ねているWebサイトを知ることが困難になり、ユーザーは検閲やハイジャックのおそれなく、サイトにアクセスできるようになる。

完璧なプライバシーを約束する万能薬ではないが、何もないよりはましである。

このサービスはしかも、もーれつに速い。ページのロードに何秒も浪費しない。世界の中の、これまで遅かった地域ではとくに効果が著しい。

CloudflareのCEO Matthew Princeはこう言う: “1.1.1.1を立ち上げたのは、世界中の消費者に、速くてしかもプライバシーの堅固なインターネットの閲覧を提供するためだ。とくにモバイル上では、1.1.1.1がアプリになったことによって、自分のスマートフォンの上で高速で暗号化されたDNSを利用することが、さらに容易になった”。

アプリのダウンロードは、AppleのApp StoreGoogle Playから。

[↓Cloudflareのプライバシーを強化したDNSサービス(未訳)]

画像クレジット: Cloudflare

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

WWWの生みの親が挑戦する社会技術デザイン改革

倫理とインターネットに関する講演で、ワールドワイドウェブ(WWW)の発明者であるTim Berners-Lee(ティム・バーナーズ=リー)卿は、技術業界と大量のプログラマー軍団に対して、技術による人と人のつながりが増え続ける中で、彼らが作るソフトウエアが消費している世界に常に意識を向けるよう伝えた。

コーディングは、プライバシーなどの基本的な人権を尊重するアーキテクチャーシステムに加えて、倫理的な決断を伴いつつ取り組むべき作業であると、彼は指摘している。

「倫理は、技術と同じ、デザインです」と彼は、今週、ブリュッセルで開かれた第40回データ保護とプライバシー担当者のための国際会議「ICDPPC」にて、代表者たちに話した。

「システムをデザインするということは、社会をデザインするということです。どのような倫理的ルールを組み込むか(それが社会に影響を与える)……そこに明確な答はありません。社会を構成する一部として、よいアイデアだと自分で考えたことを、組み込むしかないのです」

もし、みなさんの技術哲学が「敏速に既存のものを破壊する」というものであれば、想像性も革新性も失われ、社会に影響を与える要因となるサービスのポリシーと規約を
、根底からある程度まで、常に見直してゆくことができなくなります」と彼は主張する。

彼は、Wikipediaが、インターネット上で百科事典の内容を編集できる権限を一般ユーザーに与えたあと、すぐにポリシーを変更しなければならなかった事例を挙げてこう話した。「彼らは、そこに山程の煩雑な手続きを持ち込みましたが、それが実際に機能を助けています。最終的に、それはとても機能的なものとなりました」

彼は今日のデジタルプラットフォームを「社会技術システム」と読んでいる。つまり「リンクをクリックするのは、単なる技術的な作業ではありません。そこには、こんなにすごいものは、みんなに教えてあげなければという動機が働いています。さらに、自分が書いたものが他の人に読まれることを知り、喜びが得られるのです」

「私たちは、社会と技術の両方の側面を意識して決断する必要があります」と彼は言う。こうしたプラットフォームは「人為的なものです。人が作ったものです。FacebookTwitterも人工的なものです。人がコーディングました。そして、それをコーディングした人は、それをさらに良いものにしようと、常に考えています」

この基調講演で彼は、Cambridge Analyticaのデータ不正使用スキャンダルを例に出し、あらゆるグループ、さらには社会全体を操作するために転用または利用できるよう、人々のデータを蓄積しリンクしているという簡単なイメージを、社会技術システムが爆発的に広めたと話している。

「私たちのデータは吸い取られ、大勢の人々、実際には何十億という人たちによって混ぜ合わされ、人を操作するために使われています」

「プライバシーとは、自分の知られたくないデータのことばかりではありません。自分で撮影した自分の写真が公開されるといった程度のことではないのです。それも重要なことですが」

インターネットへの接続が拡大し、個人データがますます吸い上げられるようになると、それはそのデータの出どころである本人のまったく知らない場所に蓄積できるようになる。Berners-Leeは、ウェブには「自分のデータを、シェアしたい相手にだけシェアできる権利」が必要だと強調している。

そして「自分のデータをすべて手に入れる権利」だ。AppleやTwitterなどの企業が、自分のデータをどこからでもダウンロードできるようにした努力を紹介し、「自分のデータは自分のものであり、自分で管理する」というそれらの企業の考え方を称賛した。

また彼は、自身のスタートアップSolidについても触れた。非中央集権的に相互運用できる範囲を広げ、自分のデータを管理しシェアする方法を変革することを目標にしている。

Tim Berners-Lee is on a mission to decentralize the web


Tim Berners-Leeがウェブの非中央集権化に挑戦(本文は英語)

「Solidの本質は、ユーザーが自分のデータを完全にコントロールできる新型のプラットフォームです」と彼は説明した。「どのアプリも、どこに自分のデータを置くかを聞いてくれるというのは画期的なことです。自分のスマートフォンで写真アプリを起動したり、または写真を撮影したとき、これをDropboxに保存して、最終的に自分のうちのコンピューターに保存したい、と言えるわけです。これは、あらゆるアプリ、あらゆるストアとの相互運用によって実現する新技術です」

言論の自由を守り、検閲に抵抗する力も、自分のデータを自分で管理することから力を得られると彼は言う。

「これはまだ、みなさんが自宅で利用できる段階ではありません」と彼はSolidについて話した。「私たちと一緒に新しいアプリを生み出し、さらに私たちのサービスをよりパワフルに安全にするための冒険の旅に出られるよう、開発者向けの準備をしているところです」

「このプラットフォームは、プライバシーの世界をひっくり返します。というか、これはプライバシーの世界を正しい向きに置き直します。みなさんは、自分のデータの主導権を握ります。いつ保存しても、いつでも管理できて取り出すことができます」

規制当局が強力な技術プラットフォームへの関心を高める中、さらに大きな社会的課題として、Berners-Leeはこう話した。「私たちは、プラットフォームが構築できるよに企業の協力を引き出し、新技術が人々もたらす利便性を悪用した新しい犯罪が生まれたときに、新しい法律で対処してもらえるよう政府の協力を得ることが大切です。そして、企業のポリシーは、彼らが生み出すあらゆる新技術を考慮したものにしておくことが重要です」

「私たちのやるべき仕事は山積みです。個人、企業、政府の垣根を超えた話し合いも積み重ねなければなりません。しかし、これはとても重要なことなのです」

[原文へ]
(翻訳:金井哲夫)

WWWの生みの親が挑戦する社会技術デザイン改革

倫理とインターネットに関する講演で、ワールドワイドウェブ(WWW)の発明者であるTim Berners-Lee(ティム・バーナーズ=リー)卿は、技術業界と大量のプログラマー軍団に対して、技術による人と人のつながりが増え続ける中で、彼らが作るソフトウエアが消費している世界に常に意識を向けるよう伝えた。

コーディングは、プライバシーなどの基本的な人権を尊重するアーキテクチャーシステムに加えて、倫理的な決断を伴いつつ取り組むべき作業であると、彼は指摘している。

「倫理は、技術と同じ、デザインです」と彼は、今週、ブリュッセルで開かれた第40回データ保護とプライバシー担当者のための国際会議「ICDPPC」にて、代表者たちに話した。

「システムをデザインするということは、社会をデザインするということです。どのような倫理的ルールを組み込むか(それが社会に影響を与える)……そこに明確な答はありません。社会を構成する一部として、よいアイデアだと自分で考えたことを、組み込むしかないのです」

もし、みなさんの技術哲学が「敏速に既存のものを破壊する」というものであれば、想像性も革新性も失われ、社会に影響を与える要因となるサービスのポリシーと規約を
、根底からある程度まで、常に見直してゆくことができなくなります」と彼は主張する。

彼は、Wikipediaが、インターネット上で百科事典の内容を編集できる権限を一般ユーザーに与えたあと、すぐにポリシーを変更しなければならなかった事例を挙げてこう話した。「彼らは、そこに山程の煩雑な手続きを持ち込みましたが、それが実際に機能を助けています。最終的に、それはとても機能的なものとなりました」

彼は今日のデジタルプラットフォームを「社会技術システム」と読んでいる。つまり「リンクをクリックするのは、単なる技術的な作業ではありません。そこには、こんなにすごいものは、みんなに教えてあげなければという動機が働いています。さらに、自分が書いたものが他の人に読まれることを知り、喜びが得られるのです」

「私たちは、社会と技術の両方の側面を意識して決断する必要があります」と彼は言う。こうしたプラットフォームは「人為的なものです。人が作ったものです。FacebookTwitterも人工的なものです。人がコーディングました。そして、それをコーディングした人は、それをさらに良いものにしようと、常に考えています」

この基調講演で彼は、Cambridge Analyticaのデータ不正使用スキャンダルを例に出し、あらゆるグループ、さらには社会全体を操作するために転用または利用できるよう、人々のデータを蓄積しリンクしているという簡単なイメージを、社会技術システムが爆発的に広めたと話している。

「私たちのデータは吸い取られ、大勢の人々、実際には何十億という人たちによって混ぜ合わされ、人を操作するために使われています」

「プライバシーとは、自分の知られたくないデータのことばかりではありません。自分で撮影した自分の写真が公開されるといった程度のことではないのです。それも重要なことですが」

インターネットへの接続が拡大し、個人データがますます吸い上げられるようになると、それはそのデータの出どころである本人のまったく知らない場所に蓄積できるようになる。Berners-Leeは、ウェブには「自分のデータを、シェアしたい相手にだけシェアできる権利」が必要だと強調している。

そして「自分のデータをすべて手に入れる権利」だ。AppleやTwitterなどの企業が、自分のデータをどこからでもダウンロードできるようにした努力を紹介し、「自分のデータは自分のものであり、自分で管理する」というそれらの企業の考え方を称賛した。

また彼は、自身のスタートアップSolidについても触れた。非中央集権的に相互運用できる範囲を広げ、自分のデータを管理しシェアする方法を変革することを目標にしている。

Tim Berners-Lee is on a mission to decentralize the web


Tim Berners-Leeがウェブの非中央集権化に挑戦(本文は英語)

「Solidの本質は、ユーザーが自分のデータを完全にコントロールできる新型のプラットフォームです」と彼は説明した。「どのアプリも、どこに自分のデータを置くかを聞いてくれるというのは画期的なことです。自分のスマートフォンで写真アプリを起動したり、または写真を撮影したとき、これをDropboxに保存して、最終的に自分のうちのコンピューターに保存したい、と言えるわけです。これは、あらゆるアプリ、あらゆるストアとの相互運用によって実現する新技術です」

言論の自由を守り、検閲に抵抗する力も、自分のデータを自分で管理することから力を得られると彼は言う。

「これはまだ、みなさんが自宅で利用できる段階ではありません」と彼はSolidについて話した。「私たちと一緒に新しいアプリを生み出し、さらに私たちのサービスをよりパワフルに安全にするための冒険の旅に出られるよう、開発者向けの準備をしているところです」

「このプラットフォームは、プライバシーの世界をひっくり返します。というか、これはプライバシーの世界を正しい向きに置き直します。みなさんは、自分のデータの主導権を握ります。いつ保存しても、いつでも管理できて取り出すことができます」

規制当局が強力な技術プラットフォームへの関心を高める中、さらに大きな社会的課題として、Berners-Leeはこう話した。「私たちは、プラットフォームが構築できるよに企業の協力を引き出し、新技術が人々もたらす利便性を悪用した新しい犯罪が生まれたときに、新しい法律で対処してもらえるよう政府の協力を得ることが大切です。そして、企業のポリシーは、彼らが生み出すあらゆる新技術を考慮したものにしておくことが重要です」

「私たちのやるべき仕事は山積みです。個人、企業、政府の垣根を超えた話し合いも積み重ねなければなりません。しかし、これはとても重要なことなのです」

[原文へ]
(翻訳:金井哲夫)

Mozillaは寄付の全額をTor Projectへのマッチングファンドに、Firefoxへの内蔵も開発中

Firefoxの生みの親であるMozillaが、その長年の盟友Tor Projectに再び目を向け、寄付の全額をTorの資金として提供することになった。オンラインのプライバシーを強化するオープンソースのプロジェクトTorは、今年も年末恒例の資金集め活動を開始したばかりだ。

TorはMozillaのサポートを今日(米国時間10/24)発表し、両者のパートナーシップがさらに続くことになった。昨年Torが調達した40万ドルあまりには、Mozillaの貢献も含まれている。これはテクノロジー系のスタートアップなら小額のシードラウンドにすぎない額だが、しかし2015年に政府の補助金への依存をやめて、資金源をクラウドファンディングに切り替えたTorにとっては、重要な収入源だ。

その2015年には、Torは330万ドルという記録的な額の寄付を受領した。それは2014年の250万ドルを上回り、今だにTorの年収の最高額だが、しかしその86%は国の補助金だった。それは、これまでで最高の額だが、Torの研究部長で社長のRoger Dingledineは当時、もっと頑張ってその比率を減らすべきだ、と認めていた。

Torは2016年以降の決算報告をまだ出していないが、昨年はプロダクトの面では大きな飛躍があった。Torは今でも、NSAの内部告発者Edward Snowdenが使ったことが、いちばんよく知られている。大きな飛躍というのは、今年の9月にAndroid用のモバイルブラウザーをローンチしたことと、同じ月にTor Browser 8.0をリリースしたことだ。後者は、これまででいちばん使いやすいTorのブラウザーで、Firefoxの2017 Quantumがベースだ。TorをFirefoxに内蔵するために、Firefoxとの密接な協働が続いた。Mozillaの元CEO Brendan Eichが作ったブラウザーBraveは、すでにTorを内蔵している

Torはブラウザーと、盗聴や監視のおそれを最小化するTorネットワーク本体のほかにも、いろんなプロジェクトを抱えている。Tor自身のデータによると、Torの推定ユーザー総数はおよそ200万人だ。

Tor Foundationで資金調達を担当しているSarah Stevensonはこう語る: “Tor Projectには大胆なミッションがある。ネットワークに対する侵入や制限に抗して世界中のインターネットユーザーのプライバシーと自由を守ることだ。でもそれは、一人ではできない”。

“エジプトやベネズエラなどの国には表現の自由に対する制約があり、オープンなWebへの自由なアクセスができない。また企業サイドでは、GoogleやAmazonなどが人びとのデータを濫用し、監視経済を肥大させている。反対意見を封じ込めるために、インターネットアクセスを全面的に禁じている国すらある”。

というわけで、Tor Projectの果敢なミッションに賛同される方は、同団体にここで寄付できる。

参考記事

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

創業10年でついに陽の光が当たってきたプライバシー保護型検索エンジンDuckDuckGo

プライバシーを重視する検索エンジンDuckDuckGo(DDG)に、このところ勢いがついてきた。同社の今日(米国時間10/11)の発表によれば、一日の検索数が2000万に達してからわずか1年弱後に、それが3000万に達した。前年同期比で50%の増加だ。〔下図に引用されているツイートによれば、1000万に達するのに7年かかり、それから2年で2000万に達している。ツイートの下に、推移のグラフのリンクがある。〕

一日の検索数1000万に達するのに7年かかり、それから2年で2000万に達した。その成長カーブは、忍耐と信念の歴史でもある。〔2008年9月創業〕

しかしその信念は報われた。ユーザー数は伸び続けており、その成長カーブは、優れた航空機の、きれいな離陸の航跡のようだ。

一日に3000万の検索数は、Googleの30億強に比べると大海の一滴だ(Googleの数字は2015年のもの)。

ファウンダーのGabriel Weinbergはこう言う: “一貫して年率50%ぐらいで伸びていたから、マクロのレベルではそれほど意外でもない。数字がどんどん大きくなっただけだ。でも今年は、さらにはずみがついたようだ。とくに最近2か月の動きを見るとね”。

“世界中で伸びているんだけど、ここ数か月はアメリカがとくに大きい”。

DDGの検索エンジンはGoogleと違ってプライバシーを重視し、広告のターゲティングのためにユーザーを追跡したり、その特徴〔好みなど〕を調べたりしない。

その代わりDDGは、各回の検索で入力される検索キーワードに基づいて広告を表示する。Googleがやってるような、ユーザーをつけ回していろんなデータを集め、それらを高度なアドテックビジネスに注ぎ込むことはしない。

DDGによると、同社のユーザー追跡をしないビジネスモデルでも、2014年以降は黒字だ。アフィリエイトの売上もある。

アクティブユーザー数は公表されていないが、今年初めのサードパーティによる推計では、ユーザーベース2500万、となっている。

今年はメインの検索のほかに、トラッカー・ブロッカー(tracker blocker)というツールも立ち上げて、ユーザーのネット上の行動や活動を企業にスパイされないようにした。

資金面では最近、VCから1000万ドルを調達したが、外部からの投資はこれがやっと二度目だ。

同社によると、その資金は、プライバシー重視のビジネスモデルの一層の拡張に充てられ、また検索結果ではローカル市場をもっと取り上げていきたい。それにより、ローカル企業のマーケティングのグローバル展開を助けることにも、つながるだろう。

ヨーロッパのGeneral Data Protection Regulation(GDPR)のようなプライバシー規制も、きっとDDGの追い風になるだろう。

アメリカでも国レベルのプライバシー規制の法制化が検討されているから、企業による人びとの情報の扱いに一定のルールとコントロールが設けられるだろう。

そしてどんなに厳しいルールができても、元々ユーザーのトラッキングをしないDDGにとっては、それらが有利に働くに違いない。

画像クレジット: Stewart Bremner/Moment

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Google、Gmail関連とAndroidアプリの審査を抜本的に変更――Project StrobeはGoogle+の再編も発表

輝かしい未来を約束していたにもかかわらずユーザー・データの漏洩が長年続いていたことが明らかになって、Google+は企業向けに再編される運びとなった。一連の不祥事からサービスを救い出すべく、GoogleはAndroidアプリの審査プロセスも大きく変えることを決めた。新しい承認プロセスは従来より時間がかかり、詳しいものになる。Googleはこれによってセキュリティーが向上すると期待している。

こうした決定はGogleのProject Strobeの一環だ。このプロジェクトは 「サードパーティーのデベロッパーがGoogleアカウントやAndroidデバイスのデータにアクセスする方法に加え、アプリのデータアクセスに関するこれまでのGoogleの考え方を抜本的に見直すもの」」だという。簡単にいえば、これまで複雑な上に統一性がなかったサードパーティーのデベロッパーや各種APIがユーザーデータにアクセスする規則、方法をアップデートをしなければならない時期だとGoogleは決めたということだ。

この発表に至った大きな原因は(われわれもこの記事で詳しく解説している)が、Google+で発見されたセキュリティー上のバグだ。この欠陥は本来アカウント内の公開データにのみアクセスできるはずのアプリがユーザーが非公開にしているデータにもアクセスできたという問題だ。Googleによればこのバグが実際に悪用された形跡は見つかっていないという。これに加えて、そもそもGoogle+が大規模なサービスとしての運営を正当化できるほどのエンゲージメントを集めるのに失敗しているという事実があった。Project Strobeは、現行のGoogle+の利用度合いを調査し、「一般ユーザーの90%のGoogle+セッションは5秒を超えていなかった」と認めた。

しかし見直しプロジェクトは現行Googl+を解体するという以外にもユーザーデータの利用プロセスに関して多数の結論を導いている。これはデータ利用にあたってこれまで以上にインフォームドコンセントを重視するというものだ。

プロジェクトが発表した最初のアップデートはユーザー重視を強く意識したものだ。アプリがGoogleアカウントのデータにアクセスしたい場合、包括的な承認を得ることはできなくなる。各種の生産性アプリを提供するサードパーティーのデベロッパーはGmail、カレンダー、ドライブなど対象となるサービスごとに個別にユーザーの承認を必要とする。ユーザーはアプリの利用にあたってこうしたリクエストの一部を自由に拒否できる。たとえばGoogleドライブでアプリを利用するつもりがない、あるいはGoogleドライブを利用する予定がない場合、ドライブへのアクセスを無効にできる。この場合Googleはどんな方法であれドライブへのアクセスを許可しない。

新しい仕組ではアクセス承認は、事前ではなく、実際にその機能が使われるときに要求される。たとえば、あるアプリに写真を撮ってGmailで送信する機能があるとしよう。この場合、アプリのダウンロード時にアクセス許可を求める必要はないが、実際に写真を撮るオプションをタップすると、「カメラにアクセスしてよいですか?」と承認を求められることになる。この点についてはGoogleのデベロッパー向けブログ記事にさらに詳しく解説されている。

ただしスクリーンショットにあるとおり、「拒否する」と「承認する」しかオプションがない。「今回は拒否する」、「今回は承認する」というオプションは、そのアプリに十分に慣れていない場合は便利だと思う。もちろん「承認」と「拒否」は手動で随時切り替えることができるが、「よくわからないが今回だけはOKしてみよう」というオプションがあったほうが便利だろう。

この仕組は今月中に適用されるので、アプリをアップデートしたり新たにダウンロードしたときに、予期しているのと多少動作が異なることがあるかもしれない。

2番目と3番目のアップデートはGmailやメッセージに関するプリのアクセスを制限するものだ。まずアプリがどのサービスにアクセスできるかが制限される。

特に GoogleはGmailやデフォールトのSMSサービス、またそのログやコンテンツに直接アクセスして生産性を向上させるアプリに対して制限を強化する。

これは一部のパワーユーザーにとって苛立たしい体験となる場合があるかもしれない。たとえばSMSの代わりに、あるいはバックアップとして複数のメッセージ・サービスを利用しているような場合だ。あるいはSMSなどのメッセージを別のアプリにフィードして利用している場合もあるかもしれない。こういった場合にアプリはアップデートを必要とする。またアプリの審査にあたってアクセスの必要性とセキュリティーをGoogleに納得させるのが難しい場合も出てくるだろう。

アプリのデベロッパーはGmailデータの利用にあたって新しい規則をよく理解し、遵守しなければならない。デベロッパーは審査を受けるにあたってデータの利用法やセキュリティーの保護手段をはっきり示す必要がある。Googleによれば、「(アプリは)ターゲティング広告、マーケット調査、メール・キャンペーン、ユーザー行動のトラッキング、その他アプリの目的と無関係な目的のためにデータを移動ないし販売することは許されない」という。おそらく一部のアプリのビジネスモデルはこれによって無効となるだろう。

またGmailのデータにアクセスすることを望むアプリは「アプリや外部ネットワークへの侵入テスト、アカウント削除に関する確認方法、ハッキング等のインシデントが発生した場合の対応計画、脆弱性の発表や情報セキュリティーに関するポリシー」等についてに関してGoogleにレポートを送る必要がある。闇にまぎれてうまくやるようなことは今後は許されないということだ。

また新しいプロセスではデベロッパーがユーザーに承認を求める項目がアプリが機能する上で必須のものであるかどうかも審査される。たとえばアプリが連絡相手のリストへのアクセス承認を求めているのにもかかわらず、実際にはそれを使って何もしていないなら無意味にリスクを増大させていると判断されるだろう。この場合、連絡相手情報へのアクセス承認を求める部分を削除するよう要求される。

こうした新しいプロセスは来年から適用される。アプリの新しい審査方式は1月9日からスタートする。このプロセスは数週間かかる見込みだ。新しい約款に適合しないと認められたアプリは3月末日で停止される。

アップデートの内容が厳格であり適用に関する猶予期間も比較的短いことを考えれば、アプリの中には短時間(あるいは永久に)停止を余儀なくされるものが出るかもしれない。来年に入ると普段使っていたサービスが動かなくなる場合があることを覚悟しておいたほうがよい。

こうした結論はProject Strobeの勧告の最初の1弾であり、向こう数ヶ月の間にさらに数多くの結論が公表されると期待してよいだろう。GmailとAndroidアプリが「広く使われている」というのでは控え目過ぎる言い方だ。見直しプロジェクトがわれわれの日常生活に深く入り込んでいるこの2つの分野をまず選んだのは理解できる。おそらく今回の勧告がもっとも大きな衝撃を与えるものだろう。しかしGoogleが提供するサービスとその利用約款は他にも多数ある。これらの中にも抜本的なアップデートが必要だと判明するものが出ることは疑いない。

画像:pressureUA / Getty Images

原文へ

滑川海彦@Facebook Google+

カリフォルニア州でデバイスのデフォルトパスワードを禁ずる法律が成立

良いニュースだ!

California州が2020年から、すべての新しい消費者電子製品に、“admin”, “123456”, あるいは古くからお馴染みの“password”といった、デフォルトのパスワードを設けることを禁ずる法律を成立させた。

その法律によると、ルーターやスマートホーム製品など、同州で生産されるすべての新しいガジェットは、最初から“リーズナブル”なセキュリティ機能を持っていなければならない。とくにパスワードについては、各デバイスが、あらかじめプログラミングされたユニークな(他機と共通でない)パスワードを持っていなければならない。

また、新しいデバイスはどれも、ユーザーがデバイス固有のユニークなパスワードを入力してそれを最初に使用するとき、新しいユーザー固有のパスワードの設定を求め、その設定を終えたあとにのみ、最初のアクセスを認めるものでなければならない。

何年も前から、ボットネットたちが、セキュリティのいい加減なデバイスを利用して、大量のインターネットトラフィックでサイトを襲撃してきた。その大量のトラフィックによる攻撃は、分散型サービス妨害攻撃(distributed denial-of-service, DDoS)と呼ばれている。ボットネットが目をつける‘いい加減なセキュリティ’の典型が、デバイスに最初から設定されている、そしてユーザーがそれを変えることもない、デフォルトパスワードだ。上に例を挙げたような、よく使われるデフォルトパスワードは、そのリストがどこかに公開されているので、マルウェアはそれらを利用してデバイスに侵入し、そのデバイスをハイジャックする。そして、ユーザーの知らないうちにそのデバイスは、サイバー攻撃の道具にされてしまう。

2年前には、Miraiと呼ばれる悪名高きボットネットが、何千台ものデバイスを悪用してDynを攻撃した。Dynは、多くの大型サイトに、ドメインネームサービス(DNS)を提供している。DDoSでDynが麻痺してしまうと、これに依存しているサービスに誰もアクセスできなくなる。被害サイトの中には、TwitterやSpotify, SoundCloudなどもいた。

Miraiは、比較的単純素朴な、しかし強力なボットネットで、デフォルトパスワードを悪用していた。今度の法律でデフォルトパスワードというものがなくなれば、このタイプのボットネットは防げるが、でもセキュリティの問題はほかにもたくさんある。

もっと高度なボットネットは、パスワードには見向きもせず、個々のIoT(物のインターネット)デバイスの脆弱性につけこむ。その典型的なデバイスは、スマート電球、アラーム、家庭用電子製品などだ。

IT評論誌The Registerの指摘によると、今回のカリフォルニア州法は、バグが見つかったときのソフトウェアのアップデートを、デバイスのメーカーに義務付けていない。大手のデバイスメーカー、Amazon、Apple、Googleなどはソフトウェアを常時アップデートしているが、無名に近いブランドの多くはやっていない。

しかし、そんな現状でも、この法律は、何もないよりましである。今後もっともっと、改定していただきたい。

[下の引用記事(未訳)の関連記事]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Tim Cook、プライバシーや中国におけるユーザーデータ、Alex Jones追放の件について語る

一方では秘密主義と悪名を響かせたが、Appleはこれまで自社の主義について語ることをためらうことはなかった。最近動きの激しい社会にあって、この1兆ドル企業は以前にも増して発言すべきことを抱えている。

HBOのVICE News Tonightでのインタビューで、AppleのCEO、Tim Cookは多くのトピックについて語ったープライバシー、いかにAppleが法律面で困難を抱えながらもユーザーのデータを安全に保管しているか、なぜ陰謀論者Alex JonesをAppleのプラットフォームから追放することにしたのかなどを含む。

ViceがそのインタビューのやりとりをTechCrunchと共有した。Tim Cookの発言は以下の通りだ。

プライバシーに関し、Cookは“ある程度”の規制を求めている

テック産業はプライバシー問題に関して、もう戻れない地点を過ぎたのだろうか。

「プライバシーは21世紀において最も重要な問題の一つだと考えている」。CookはインタビュアーのElle Reeveにこう語った。「あなたについての情報は、あなたの家よりオンラインや携帯電話の方にたくさんある。我々は今、そんな状況にいる。あなたが何をブラウズしていたのか、あなたの友達、交友関係、写真などがあなたの携帯電話の中にある。

「こうしたこと、そして情報の重要性を考えてほしい。我々はそれを真剣にとらえている」とCookは語った。

Appleはこれまで長い間、プライバシーについて独特のアプローチをとってきた。Appleはあなたのデータを欲しがっていないーFacebook、Googleのような広告を扱う大企業と違って、Appleはあなたのデータをどうかしようなんてことはしていない。しかしデータを蓄積している会社は、ユーザーデータの誤使用や暴露で非難を浴びている。議会の助けを借りて、そうした企業を巻き戻し、パワーを人々に戻すにはもう手遅れなのだろうか。

「私は法規専門の人間ではない」と断った上で「そうするには、ある程度の行政による規制は重要だと考えている」とした。しかし、それがどういったことなのかCookは具体的に示さなかった。

Cookはライバル企業の名前は出さなかったが、Appleはプロダクトデザインにおいて“可能な限り最小限の情報収集にする”アプローチをとっていると語った。これは目新しいものではないーAppleは何年もこうしたアプローチを続けている。

「我々は詳細なプロフィールを作ってはおらず、他企業がターゲット広告を送るためにその情報を買う、ということも許していない。そうしたビジネス手法は我々がとるものではない」とCookは語る。

結果としてAppleは競合他社に遅れをとっているのだろうかーたとえばAlexaに対抗するSiriとか。Cookは「ノー」と言う。彼らのサービスをより良いものにするためにユーザーが自分たちのデータを諦めなければならないのは、“かなりの攻撃”だと語る。

大部分において、Appleはユーザーデータを端末上で処理するので、Appleはそのデータを見ることはない。

プライバシーは“人権”だー中国においても

デバイスメーカーとして、Appleはこれ以上大きくなり得ないほどグローバルだー中国においてもそうだ。デバイス製造ライバルのGoogleや、他のテック大企業Facebookは中国で足場をほとんど築いていない。しかしそれは、Appleのプライバシー理念と中国の監視体制における衝突があるからだ。

人権としてのプライバシーを中国での事業にも適用するのかと尋ねたら、Cookは「当然適用する」と答えた。

「我々にとって暗号化というのは世界どの国でも同じだ」とCookは言う。「たとえば、我々は米国のために暗号化をデザインしたり、国によって違う適用の仕方をするということはしない。どこでやろうとも同じだ。なので、中国でメッセージを送るには、暗号化される。私がコンテンツを作るということはできない。もちろん、米国においてもできない」。

今年初めAppleは、中国で新しく導入された曖昧かつ混乱や衝突も起こすようなサイバーセキュリティルールに従うために、中国人ユーザーのためのiCloud暗号キーを中国本土に移した。これは懸念を巻き起こした。というのも、この動きは中国政府が、中国拠点のAppleのクラウドパートナーに中国人顧客のデータを引き渡すよう要請することができることを意味するからだーFBIが米国においてAppleにデータ引き渡しを強制したように。Appleは事業を続けるために協力しなければならなかったーそして中国はAppleのグローバル全体の年間売上の20%近くを占めている。

Cookは、中国人ユーザーのデータを中国に保存することが、中国政府当局にとってデータへのアクセスが容易になるというのは“容認しない”と語り、暗号キー移管の正当性を主張した。

「我々は世界中いろんな国にサーバーを設置している」とCookは話す。「その方が、一つの国に置くよりもデータへのアクセスが難しくなる。大事なのは、暗号化プロセスがいかに働くかと、誰がその鍵を持つのかということだ。我々のほとんどのケースにおいては、あなたと受取手がその鍵を持つ」。

Alex Jonesを追放するという決断は“自主的”に行なった

Alex Jonesは言論の自由の最後の砦だったと言う人もいる。またサンデイフック小学校銃乱射事件はでっち上げだったと考えているAlex Jonesを危険な陰謀論者だと呼ぶ人もいる。

今年、FacebookはAlex Jonesを追放し、その後にTwitterが、そしてYouTubeも続いたーまた MailChimpSpotifyそして PayPalといったテック大企業も続いた。Appleは沈黙を続けた。JonesのポッドキャストはまだiTunesにあり、彼のアプリはAppストアにあった。その沈黙はJonesのコンテンツを排除するまで続いた。

「我々は政治的な立場はとらない」とCookは語る。「どちらかに偏ることはしない」。Appleのさまざまなプラットフォーム全般で、「ユーザーは、かなり保守的なものから、かなりリベラルなものまで全てを見る」。そしてCookは「それが、私がそうであるべき、と考えるものだ」と加えた。

Cookは、決断を誘発した何かがあったとは言わなかったが、他のテック企業とJonesのことで会話をしたことは“決して”ないと話した。

「会話してもよかったのでは」とReeveが尋ねると、Cookは「しかし、なぜ」と切り返した。「だって、大きな事でしょう」と言うReevにCookは「Appleが“自主的に”決断するということが大事なのだ」と答えた。

[原文へ]

(翻訳:Mizoguchi)

アメリカ政府はFacebook Messengerの通信傍受要請で敗訴

アメリカ政府の捜査官たちは、FacebookのMessengerアプリ上の通信の傍受を要求して、裁判所に拒絶された。

大規模なギャング団MS-13を捜査している国と州の合同法執行チームは、音声通話のリアルタイム聴取を拒否したこのSNS大手を、法廷侮辱罪で地裁に告訴していた。

ロイターが得たその筋の情報によると、裁判所はその告訴を退けたが、その理由はまだ明らかでない。

カリフォルニア州フレスノの地裁に持ち込まれたその告訴は、当のギャング団のメンバーに対する殺人罪などでの捜査に関わっている。政府は16名の容疑者を追っていたが、証拠の入手はもっぱらFacebookに依存していた、とされる。

ロイターによると、FBIが提出した宣誓供述書は、Facebook Messengerを指して、“法執行機関がモニターする方法はほかにない”、と言っている。Facebookが所有するWhatsAppは、エンドツーエンドの暗号化により、Facebook自身すら通信内容を傍受できないが、前から法執行機関は、それを捜査妨害と主張してきた。

しかしFacebook Messengerの音声通話はエンドツーエンドの暗号化をしていないので、通話のリアルタイム傍受が可能だ。

電話の場合、裁判所の認可があっても、法律では、通話の傍受は通信会社の許可を要する。しかしFacebookのようなインターネット企業は、この法の対象にならない。

プライバシー擁護団体は、今回の告訴を、インターネット企業に対するこの例外を取り除くことがねらい、と見なしている。彼らは前から、政府が暗号化アプリにバックドアを設けようとしている、と避難している。わずか2年前にはFBIが、サンバーナーディーノの銃撃犯Syed Farookの暗号化されたiPhoneの解読をめぐる、同様の要求で、Appleを告訴したばかりだ。

FBIはコメントを拒否した。Facebookはコメントの要求に応答しなかった。

[関連記事: 5000万のFacebookユーザーがセキュリティ侵犯で被害(未訳)]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Googleを辞めた研究員がProject Dragonflyの人権違反懸念で上院に書簡を送った

上院の通商科学運輸委員会に宛てた書簡で、元Googleの研究員Jack Poulsonが、8月の終わりに同社を辞めた理由を詳しく述べている。今週初めに送られたその小文は、Project Dragonfly(蜻蛉プロジェクト)に対する、増大する懸念を詳述している。それは、中国市場に有意に参入しようとするGoogleの試みだ。

書簡は上院が、データに関する懸念に関してGoogleの新任プライバシー最高責任者(chief privacy officer) Keith Enrightを喚問しようとしていたときに届いた。Dragonflyも、委員会の議題に上(のぼ)る予定だったと思われる。そのプロジェクトは“喫緊の道徳的倫理的問題を喚起する”、と書かれた先月の別の書簡には、1400名近くのGoogle社員が署名していた。

Poulsonは自分の書簡に、“注目すべきは、Project Dragonflyが、同社のAI Principles(AI原則)がリリースされた同時期に進められていたことだ”、と書いている。Poulsonによると、“人権団体や調査報道記者、Googleの社員、そして多くの国民の理解によれば、Project DragonflyはAI Principlesの、‘その目的が広く受け入れられている人権の原則に背反している、技術の設計や展開には手を染めない’とする原則に、真っ向から違反している”、という。

Poulsonは、社内で特に問題になった4点を挙げている。そのリストには、検索のクエリに(質問者の)電話番号を伴わせることや、中国政府と共同開発した“人権”、“学生の抗議”、“ノーベル賞”などの検索ワードのブラックリスト、などがある。Poulsonは、大気の質に関するデータの政府によるコントロール、そして“内部的なプライバシーレビュープロセスの壊滅的不履行”、なども挙げている。

最近の新聞報道によれば、GoogleのCEO Sundar Pichaiは、Googleの中国進出計画や、検索の偏りをめぐって、共和党議員への説明を求められている。

画像クレジット: TechCrunch

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

MozillaのFirefox Monitorが今後のアカウントハックのアラートサービスを開始

今年の早い時期にMozillaは、ユーザーのオンラインアカウントが最近のデータ漏洩事件でハックされたことを検出するサービスFirefox Monitorを発表した。それは、ユーザーのメールアドレスを入力するとHave I Been Pwnedのデータベースを調べて、どのサイトでいつ、何が漏洩したか〔例: パスワード〕を教えてくれる。そして今日(米国時間9/25)Mozillaはさらに一歩進んで、ユーザーがMonitorの登録ユーザーになっておくと将来の漏洩をアラートしてくれることになった。

Firefox Monitorは最初、実験的サービスとみなされていたが、今では正式のサービスになっている。

どこのサイトのアカウントもハックされていなければ、それはとてもラッキーだが、それでもFirefox Monitorのアラートサービスに登録しておいて損はない。そのうち、あなたのメールアドレスの流出が報告されるかもしれない。そもそも最初にMozillaが、人びとに要望する機能について尋ねたとき、いちばん多かったのが、今後のデータ流出の通知だった。

Mozillaによると、Firefox Monitorは、今後数か月の同団体のロードマップに載っているいろんなプライバシー/データセキュリティ機能のひとつにすぎない。Mozillaは自分を中立的な機関と位置づけているから、立場としては良い。たとえばChromeは、Googleが大量のユーザーデータを集めていることが最近ますますユーザーにとって、プライバシーをめぐる懸念になり、批判にさらされているのだから。

〔訳注: Firefox Monitorの利用は、過去のハッキングスキャンも今後のアラートも無料。リリースノート(英文)。〕

[Firefoxが近くデフォルトでトラッカー(ユーザー情報の収集)をすべてブロックする]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Twitterのバグで一部のダイレクトメッセージがサードパーティのデベロッパーへ誤送された

Twitterによると、ある“バグ”が、ユーザーのプライベートなダイレクトメッセージを、“それらを受け取る権限のない”サードパーティデベロッパーに送っていた。

このソーシャルメディア大手は金曜日(米国時間9/21)に、そのアプリ内でメッセージが露呈された可能性に関する警報を開始した。

“この問題は2017年5月から存続していたが、われわれは発見後すぐにそれを解決した”、とMashableの記者がTwitterにポストした、Twitterの警報メッセージが言っている。それによると、“この問題に対するわれわれの調査はまだ継続中であるが、現時点では、権限のないデベロッパーへ送られた何らかのデータが悪用されたと信ずべき理由はない”そうだ。

Twitterのスポークスパーソンは本誌TechCrunchに、何らかの通信が不正なデベロッパーに送られたことは“到底ありえない”、と述べたが、でも多くのユーザーに警報が送られている:

[私のDMが1年以上も送られていたのね??]

そのバグに関するTwitterの注記によれば、被害を受けたのは航空会社やデリバリーサービスなど、企業へ送られたメッセージのみだそうだ。Twitterによると、調査で判明したのは、“この問題が起き得たのは、ある特定の技術的情況においてのみ”、だという。

バグが見つかったのは9月10日だが、ユーザーへの報告はそれから2週間近く経ってからだ。

“あなたのアカウントがこのバグの影響を受けていたら、われわれはアプリ内通知とtwitter.com上で直接あなたにコンタクトする”、とも言っている。

同社によると、被害者はTwitterのユーザーの1%に満たない、という。最新の決算報告によると、同社のユーザー数は3億3500万人だ。

上の警報メッセージは、“あなたからのアクションは何も必要ない”、と言っている。

それは、今年二度目のデータ関連のバグだ。5月には、同社は誤ってその内部的ログに、ユーザーのパスワードをプレーンテキストで記録した、と述べた。Twitterはユーザーに、パスワードを変えるよう促した。

関連記事: 今すぐTwitterのパスワードを変えよう

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

テック大企業、上院公聴会に9月26日呼び出し

もしテック大企業が議員につるし上げられるのをまだ見ていない人は、カレンダーの9月26日にマークしておくといい。その日、またしてもテック企業に証言を求める公聴会が開かれる。

Apple、Amazon、GoogleそしてTwitterの幹部とともに、AT&TとCharterのポリシー責任者は今月下旬、個人のプライバシー保護にかかるアプローチについて質問を受ける。プライバシー保護についての可能なアプローチをより具体的に検討するよう求められる見込みだ。

参考人リストは変わりうる、と委員会はいっているが、Facebookの不在が目立つ。

委員会の委員長John Thuneは、「EUやカリフォルニアの新たな要求にどう応えようとしているのか。イノベーションに傷をつけることなく透明性のあるプライバシーのあるべき姿を推進するために議会に何ができるのか。公聴会はテック企業にとってプライバシーに対する取り組みを説明する場となる」と話した。

それはさておき、この公聴会のポイントが何なのかは明確ではない。

ある議会筋はTechCrunchに対し、プライバシーを守るために法的措置以外とのころで何ができるのか、プライバシーの要件をつくるために議会に何ができるのか、各社が考えを明らかにすることになる、と述べた。

数百万ものユーザーデータが流出していたとしてFacebookを巻き込むことになったCambridge Analyticaスキャンダルを受けて、ここ数カ月開かれてきた一連の公聴会の中で、今回が最新のものとなる。

プライバシーにフォーカスした上院通商委員会の公聴会はこれが今年2回目だ。FacebookのCEO、マーク・ザッカーバーグ4月に公聴会で証言し、その後、上院情報委員会は選挙におけるセキュリティと2018年中間選挙での偽情報キャンペーンについて議論するために数回の公聴会を開いた。

[原文へ]

(翻訳:Mizoguchi)

Tor Projectが匿名ブラウザーTorのAndroidバージョンをリリース

匿名ブラウザーTorを作っているTor Projectが、その匿名ブラウザーのAndroidバージョンをリリースした

このリリースにより、Tor Projectが長年承認していたAndroid用のブラウザーアプリOrfoxは、2019年に閉鎖する、と言っている。両方のアプリを使うためには、Tor ProjectのプロキシアプリOrbotをダウンロードする必要がある。

Tor Projecの匿名ブラウザーは、ユーザーが見たいデータが、あちこちに分散しているリレー役を経由してやってくるから、目的のサイトから本物のユーザーを知ることができない。そのときのリレー径路の情報は、どこにも残っていない。個人化広告も位置追跡も政府の監視も、目的の本人に辿りつけない。Torがドラッグの違法取引や武器の売買に利用されることもあるが、反体制の活動家やジャーナリスト、あるいは単純に匿名でいたい人にとっての避難所だ。

このリリースの数日前には、Firefoxの2017年のQuantumブラウザーをベースとするTor Browser 8.0がリリースされた。このメジャーアップデートには、新規ユーザーの登録ページや、サポートする言語の増、ブリッジングメソッドの改良により、トルコのようにTorが禁じられている国でもブラウザーにアクセス可、などの機能が加わった。

このサービスは、匿名ブラウジングの最高水準と見なされているが、まだ脆弱性が残っているので、政府の調査官がアクセスしてユーザーを見つけることができる。Firefox Quantumを使ったことにより、Tor 8.0はどれだけ堅固になっただろうか。でもユーザーはTorを使う前に、匿名性保護のためのガイドラインを読むべきだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa