セキュリティの不備で、インドのセキュリティ専門組織の人事ファイルと医療記録が流出

インドの中央産業安全部隊(Central Industrial Security Force、CISF)の内部文書と職員の健康記録および個人ファイルが、データに対するセキュリティの過失によりオンラインで漏洩した。

インドのあるセキュリティ研究者が、同国政府からの報復を恐れて匿名で語ったところによると、CISFのネットワークに接続されているセキュリティ装置が生成するネットワークログを収めたデータベースが見つかった。しかしそのデータベースはパスワードで保護されていないため、インターネット上の誰でも自分のウェブブラウザからログにアクセスできた。

ネットワークログには、CISFのネットワークのどのファイルがクセスされたか、あるいはセキュリティのルールによりブロックされたかを詳細に記した記録があった。ログにはCISFのネットワークに保存されている文書の完全なウェブアドレスがあり、インターネット上の誰でもそのログにアクセスでき、それらのファイルをCISFネットワークから直接、これまたパスワード不要で開くことができた。

ログには24万6千以上の、CISFのネットワーク上のPDF文書の完全なウェブアドレスの記録があり、その多くが個人のファイルや健康記録に関連し、また、CISFの職員に関する、個人を同定できる情報があった。ファイルの一部は、日付が2022年という最新のものだった。

CISFは職員数16万以上という世界最大の警察組織であり、政府の施設とインフラおよび全国の空港のセキュリティの保護を任されている。

上記の研究者によると、そのセキュリティ装置はHaltdos製で、同社は企業などにネットワークのセキュリティ技術を提供しているインドのセキュリティ企業だ。データベースの露出が最初に見つかったのは、露出しているデバイスやデータベースを見つけるShodanによると3月6日だった。TechCrunchは、そのデータベースが「haltdos」という名前で構成されていたことを確認した。

HaltdosのCEOであるAnshul Saxena(アンシュル・サクセナ)氏は、何度もコメントを求めたが応じなかった。TechCrunchはまたCISFの広報に対して、メールでそのサーバーに保存されている外部に露出しているファイルのいくつかのウェブアドレスについて尋ねたが、回答は得られていない。善意のセキュリティ研究者から警告されたときは、インドの政府機関は秘かにそのセキュリティの問題を修復し、それが変わることのない周知の知識になったときには、その主張を拒絶または否定することが普通に行われている。

データベースは現在、アクセス不能になっているが、問題のセキュリティ装置はまだオンラインのようだ。

画像クレジット:Sanjeev Verma/Hindustan Times/Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)

バイデン大統領がソーシャルメディアのメンタルヘルスへの影響について訴え、一般教書演説で

ホワイトハウスは、バイデン大統領による初の一般教書演説に先立ち、米国におけるメンタルヘルスの危機に取り組む計画を発表し、特にソーシャルメディアが子どもや10代の若者に与える影響について強調した。この問題は、一部の議員の間で重要視されている。特に、内部告発者のFrances Haugen(フランシス・ホーゲン)氏がFacebook(フェイスブック、現在はMeta)に不利な内部文書を大量にリークした後はそうだ。内部文書には、10代の若者への悪影響を同社が認識している証拠も含まれていた。

ホワイトハウスによると、バイデン大統領は議会に対し、プライバシー保護の強化、子どもへのターゲット広告の禁止、テック企業による子どもの個人情報収集の停止を要請する。

一般的に、一般教書演説でテック企業が重要な役割を果たすことはない。バイデン大統領が米国3月1日夜、ロシアのウクライナ侵攻に関するより差し迫った危機を考慮し、言及さえしない可能性もある。とはいえ、大統領はソーシャルメディアのプラットフォームに対し、若いユーザーの安全を守るよう呼びかけている。ファーストレディのJill Biden(ジル・バイデン)博士がホーゲン氏を特別ゲストとしてこのイベントに招待したことは、ソーシャルメディア幹部に対する5回にわたる上院公聴会のきっかけとなったホーゲン氏の主張に、大統領が注目していることを示している。

「大統領は、子どものデータとプライバシーの保護をはるかに強化すべきと考えているだけでなく、プラットフォームやその他の双方向デジタルサービス提供者は、製品やサービスの設計において、利益や収益よりも、子どもや若者の健康、安全、幸福を優先させ確保すべきだと考えています」。ホワイトハウスのブリーフィングには、こう書かれている。

この文言は、ホーゲン氏が議会に登場した際に使っていた言い回しを彷彿とさせる。同氏は「60 Minutes」のインタビュー以来、元社員としての立場から、Facebookは安全性よりも利益を優先していると繰り返してきた。

大統領はまた、ソーシャルメディアが私たちにどのような害を及ぼすのか、およびその害に対処するためにどのような臨床的・社会的介入が可能かについての研究に、少なくとも500万ドル(5億7500万円)を投資する計画の概要を示した。また、米保健福祉省は「ソーシャルメディアとメンタルウェルネスに関する全米センター」を立ち上げ、10代のソーシャルメディア利用がもたらす影響について一般市民に啓蒙していく予定だ。

バイデン大統領はまた、子どもたちを対象とした過剰なターゲット広告やデータ収集を禁止するよう議会に要求する見通しだ。2000年に施行された児童オンラインプライバシー保護法(COPPA)は、13歳未満のユーザーの追跡やターゲティングを制限することを目的としているが、プラットフォームがユーザーの年齢を認識していることが証明されない限り、この法律を適用することはできない。つまり、子どもが「はい、私は13歳です」というボックスをクリックするだけで、子ども向けではないコンテンツにアクセスできてしまうため、COPPAは簡単に適用できないことが多い。

すでに一部の議員は、COPPAをより効果的なものにするためにアップデートを試みている。Ed Markey(エド・マーキー)上院議員(民主党、マサチューセッツ州)とBill Cassidy(ビル・キャシディ)上院議員(共和党、ルイジアナ州)は2021年、インターネット企業が13〜15歳のユーザーの個人データを本人の同意なく収集することを違法とする法案を提出した。この法案はまた「消去ボタン」を設け、ユーザー(またはその親)が、企業が収集した自らに関するデータを手動で消去できるようにするものだ。

「消去ボタン」のコンセプトは、Richard Blumenthal(リチャード・ブルメンタール)上院議員(民主党、コネチカット州)とMarsha Blackburn(マーシャ・ブラックバーン)上院議員(共和党、テネシー州)が最近提出した「Kids Online Safety Act(KOSA)」にも登場する。2021年10月には、YouTube(ユーチューブ)、TikTok(ティクトック)、Snap(スナップ)の代表者が上院の公聴会で、親が自分の子どもや10代の若者のオンラインデータを消去できるようにすべきだという意見に同意した。

ホワイトハウスのブリーフィングでは、アルゴリズムが選ぶコンテンツが、特に若い有色人種の女性の間で、メンタルヘルスに悪影響を与える可能性があることも取り上げている。

「『黒人の女の子』、『アジア人の女の子』、『ラテン系の女の子』と検索すると、ロールモデルやおもちゃ、アクティビティではなく、ポルノなどの有害なコンテンツが並ぶことがあまりにも多い。プラットフォームは、子どもたちが何が可能かを理解し、アクセスする機会に方向性を与えます」と報告書は述べている。「私たちは、プラットフォームやその他のアルゴリズムによって強化されたシステムが、差別的に子どもたちを標的にすることがないようにしなければなりません」。

ここ数年、ホワイトハウスがこのブリーフィングで説明したような問題を解決することを目指す法案がいくつか議会を通過したが、ほとんどは可決されるに至っていない。法案が成立するほどの勢いになっても、意図したことが達成されないこともある。トランプ前大統領は2018年「オンライン性的人身売買対策法(FOSTA)」に署名し、法制化した。その名の通り、人身売買を抑制するための法律だったが、かえって合意の上で働くセックスワーカーにとって、より危険な状況を作り出しただけだった。

バイデン大統領は、研究に500万ドル(約5億7500万円)を投じ、ソーシャルメディアとメンタルウェルネスに関する全米センターを設立したが、ソーシャルメディアとメンタルヘルスに関するコメントは、長年にわたって議会で議論されてきたことを繰り返したに過ぎない。しかし、これらのメッセージから、大統領が少なくとも、米国人のオンラインでの生活にいくらか注意を払っていることがわかる。

バイデン大統領は一般教書演説で、ソーシャルメディアの巨人に関する計画を示唆した。

「パンデミック以前にも、子どもたちは苦労していました。いじめ、暴力、トラウマ、そしてソーシャルメディアの害。今夜ここにいるフランシス・ホーゲン氏が示したように、我々はソーシャルメディアプラットフォームが利益のために子どもたちに対して行っている国家的な試みに対して責任を負わせなければならないのです。今こそ、プライバシー保護を強化し、子どもへのターゲット広告を禁止し、テック企業に子どもの個人情報収集をやめるよう要求するときです」。

また、ホーゲン氏は演説後、バイデン大統領の発言についてコメントした。

「バイデン大統領が一般教書演説でこの問題を提起し、これにより我々がソーシャルメディアが子どもたちの精神衛生に与えている真実の暴露を続け、この恐ろしい現実を変えるためにすべての関係者に力を与えられることに感謝しています」とホーゲン氏は報道機関にメールで送った声明で述べた。声明はTwitter(ツイッター)にも投稿された。「FacebookとInstagram(インスタグラム)は、私たちを中毒にし、また子どもと私たち自身の最悪の事態を増幅させるために設計された欠陥商品です。彼らは私たちの子どものメンタルヘルスを犠牲にして利益をあげているのです」。

【更新】3月2日米国東部時間午前9時20分、バイデン大統領とフランシス・ホーゲン氏の言葉を盛り込んだ。

画像クレジット:Al Drago/Bloomberg via Getty Images / Getty Images

原文へ

(文:Amanda Silberling、翻訳:Nariko Mizoguchi

MetaにEUのプライバシー規制当局が米国への個人データ転送に関する新たな予備決定を送付

TechCrunchが得た情報によると、Facebook(フェイスブック)は、EUのプライバシー規制当局から、ユーザーデータを引き続き米国へ転送できるかどうかに影響を与える「修正された」予備的決定案を受け取ったという。

「Meta(メタ、旧Facebook)には28日以内にこの予備的決定に対する意見を提出する権限が与えられており、その時点で他の関係監督機関向けに第60条の決定案を作成する予定です。これは4月中に行われると予想しています」と、アイルランドのデータ保護委員会(DPC)のGraham Doyle(グレアム・ドイル)副委員長は筆者に語った。

ドイル氏は、予備決定の内容については詳細を語らなかった。

しかし、2020年9月に関係者の発言を引用した当時のWall Street Journalの報道によれば、DPCは、Facebookにデータ移転の停止を指示する仮命令を出している。

最近そのデータマイニング帝国の名称を(Facebookから)変更したMetaは、投資家との電話会談で、EU-US間のデータ転送には継続的なリスクがあることを警告している。

同社は直ちに先のDPCの仮命令に異議を唱えようともしたが、2021年5月にアイルランド高等裁判所がDPCのやり方に対する異議を棄却する判決を下したため、この法的手段は頓挫していた。

欧州のデータ保護法と米国の監視権限との衝突を争点とするこの訴訟では、同社にデータ転送の一時停止を指示した先の仮命令以降、規制当局が今回は異なる結論を出すことになるような、事実関係に重大な変化があったかどうかは不明だ。

さらに、ここ数カ月の間に、欧州の他のデータ保護機関は、Google Analytics(グーグル・アナリティクス)など、米国へ個人データの転送を行う他の米国のサービスに対して「違法」との決定を下しており、少なくとも一般的な観点からは、DPCがMetaに対して最終的な決定を下す方向へ圧力が高まっている。

この規制当局はまた、当初の申し立て人であるMax Schrems(マックス・シュレムス)氏による手続き上の課題にも直面している。同氏は2021年1月に、長年の申し立てを速やかに最終決定するという合意を引き出している。つまり、もう1つの準期限があるということだ。

関連記事:フェイスブックのEU米国間データ転送問題の決着が近い

この合意条件に基づき、DPCはシュレムス氏が(並行して)「自らの意思」で行う手続きでも審理を受けることに合意した。これはシュレムス氏の最初の(2013年の)苦情に関する調査に加えて開始されたもので、現在はMetaに出されたこの新しい予備的決定を通して進められている。

シュレムス氏は、DPCから決定書が送られてきたことを認めたものの、それ以上のコメントはしなかった。

(さらにややこしいことに、2021年11月には、シュレムス氏が設立したプライバシー擁護団体が、他の苦情草案の公表を阻止しようとしたことに関連して、DPCが「手続き上の脅迫」を行ったとして、この規制当局に対して刑事上の汚職の訴えを起こしている……)

Metaにデータ転送の停止を命じる可能性のある最終的な決定が下されるまで、この数年にわたるデータ転送問題が、具体的にあとどれくらい続きそうであるかは、依然として不明だ。

しかし、もはや数年というよりは数カ月に近いはずだ。

第60条のプロセスには、利害関係のある他のデータ保護機関も加わることになる。これらの機関は、主導する機関の決定案に対して、まず1カ月の期間内に理由のある異議を唱えることができる。ただし、延長も可能だ。仮決定に対してデータ保護当局間で大きな意見の相違があった場合には、最終的な決定を下すプロセスに数カ月を要することになり、最後には欧州データ保護委員会が介入して最終的な決定を下すことになるかもしれない。

これらはまだ先の話だ。今のところ、ボールはMetaのコートに戻り、同社の弁護士がどんな新しい言い訳を思いつくか、見守る段階となっている。

この最新の進展についてMetaにコメントを求めたところ、同社の広報担当者は、次のように筆者に返答した。

「これは最終決定ではなく、アイルランドデータ保護委員会はさらなる法的提出を求めています。データ転送の一時停止は、当社のサービスを利用しているEU域内の何百万人もの人々、慈善団体、企業だけでなく、グローバルなサービスを提供するためにEU-US間のデータ転送に依存している他の何千もの企業にも損害を与えることになります。人々、企業、経済のつながりを維持するためには、EU-US間のデータ転送における長期的な解決策が必要です」。

この終わりの見えない物語には、もう1つ別の動きがある。それは、欧州委員会と米国の間で、無効となった「プライバシーシールド」に代わるデータ移転の取り決めについての交渉が続いていることだ。

ここ数カ月、FacebookとGoogleは、大西洋をまたぐ新たなデータ転送協定の合意を公に求めており、米国の数多くのクラウドサービス(少なくとも、個人データへの明確なアクセスを自ら放棄しないサービス)が直面している法的な不確実性を高レベルで修正するよう訴えている。

しかし欧州委員会は、今回は「迅速な解決」はないと以前から警告しており、欧州司法裁判所が2020年7月にプライバシーシールドを無効とする判決で指摘したすべての問題が解決された場合にのみ、代替案が可能になると述べている(これは、欧州の人々に合法的かつ簡単に利用可能な救済手段を提供すること、そしてインターネット通信の一括傍受に頼る米国の過度な監視力に対処することの両方を意味する)。

要するに、プライバシーシールド3.0の実現は、難しい注文のように思われる。Metaの通常時の要求のような、すぐにできる注文でないことは確かだ。同社の主任ロビイストであるNick Clegg(ニック・クレッグ)氏は、確かに難しい仕事を抱えている。

画像クレジット:Muhammed Selim Korkutata/Anadolu Agency / Getty Images (Image has been modified)

原文へ

(文:Natasha Lomas、翻訳:Hirokazu Kusakabe)

サイバー攻撃の被害に遭った赤十字、「国家が支援」するハッカーが未パッチの脆弱性を悪用したと発表

先日、赤十字国際委員会(ICRC)がサイバー攻撃の被害に遭い、51万5000人以上の「非常に弱い立場にある」人々のデータが流出したが、これは国家が支援するハッカーの仕業だった可能性が高いようだ。

ICRCはスイス時間2月16日に公開した最新情報の中で、ハッカーによる最初の侵入は、1月18日に攻撃が明らかになる2カ月前の2021年11月9日にさかのぼることを確認、分析の結果、侵入はICRCのシステムに対する「高度に洗練された」標的型攻撃であり、ICRCが当初の発表で述べたような業務契約している外部企業のシステムに対する攻撃ではないことがわかったと付け加えた。

ICRCは「攻撃者がICRCに関わるサーバー上のみで実行することを目的としたコードを作成していたことから、今回の攻撃がICRCを標的としたものであることがわかった」と述べている。今回更新された情報によると、攻撃者が使用したマルウェアは、ICRCのインフラストラクチャ内の特定のサーバーを標的として設計されたものだったという。

ハッカーは、ウェブベースのオフィスサービスを手がけるZoho(ゾーホー)が開発したシングルサインオンツールに存在する、既知でありながらパッチが適用されていない危険度の高い脆弱性を悪用して、ICRCのネットワークにアクセスする手段を得た。この脆弱性は、9月に米国のCISA(サイバーセキュリティ・インフラストラクチャ・セキュリティ庁)から警告を受けており、CVSS(共通脆弱性評価システム)の深刻度スコアは10点満点中9.8点となっている。

ICRCによると、不明な国家支援ハッカーはこの欠陥を悪用し、ウェブシェルを設置して、管理者資格の侵害、ネットワーク内の移動、レジストリファイルやドメインファイルの流出などの侵入後活動を行ったという。

「ネットワークに侵入したハッカーは、攻撃的なセキュリティツールを展開して、正当なユーザーや管理者に偽装することが可能になりました。これにより、データが暗号化されているにもかかわらず、データにアクセスすることができたのです」と、ICRCは述べている。赤十字は、今回の攻撃で盗まれたデータが公開されたり取引されたりしているという決定的な証拠はなく、身代金の要求もなかったと付け加えているが、個人情報が流出した可能性のある人々には連絡を取っていると述べている。

ICRCによると、標的とされたサーバー上のマルウェア対策ツールは攻撃を受けた時に有効であり、攻撃者が使用した悪意のあるファイルの一部をブロックしていたものの、展開されたファイルのほとんどは、マルウェア対策防御を「回避するために特別に作られた」ものであったとのこと。

このようなツールは、通常、APT(Advanced Persistent Threat、高度持続的標的型攻撃)グループや、あるいは国家が支援する攻撃者が使用するものであるとICRCは指摘しているが、赤十字社は、今回の攻撃が特定の組織によるものであると、まだ正式に判断したわけではないと述べている。Palo Alto Networks(パロアルト・ネットワークス)が2021年11月に発表したレポートでは、APT27と呼ばれる中国の国家支援グループに、同じ脆弱性を悪用した関連性が見られると述べている。

今回のサイバー攻撃の結果、赤十字社は、紛争や災害で離ればなれになった家族の再会などの重要な業務を遂行するために、スプレッドシートの使用に頼らなければならなくなったと述べている。

「弱い立場にある人々のデータに対するこの攻撃が、変化を促す要因となることを、私たちは願っています」と、ICRCのRobert Mardini(ロバート・マルディーニ)事務局長は、声明の中で述べている。「赤十字・赤新月運動の人道的使命に対する保護が、データ資産やインフラにまで及ぶことを明確に求めるために、今後は国家および非国家主体との関わりを強化していきます」。

「人道的データは決して攻撃されてはならないという確固たるコンセンサスを、言葉と行動で得ることが重要であると、私たちは信じています」。

画像クレジット:Fabrice Coffrini / Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

テキサス州司法長官、フェイスブックの顔認識技術をめぐりMetaを提訴

テキサス州司法長官Ken Paxton(ケン・パクストン)氏は、Facebook(フェイスブック)の顔認識技術の使用をめぐってMeta(メタ)を提訴した。司法長官室が米国時間2月14日に発表した。このニュースはウォールストリート・ジャーナルが最初に報じたもので、この訴訟では数千億円規模の民事制裁金を求めていると指摘している。同訴訟では、現在は中止しているMetaによる顔認識技術の使用が、生体データに関する同州のプライバシー保護法に違反していると主張している。

訴訟を発表したプレスリリースでは、ユーザーがアップロードした写真や動画に含まれる数百万件の生体識別情報をFacebookが保存していたと主張している。パクストン氏は、Facebookがユーザーの個人情報を「自社の帝国を拡大し、棚ぼた的巨額利益を得るために」悪用したと述べている。

「Facebookはもはや、人々の安全と幸福を犠牲にして利益を上げる目的で、人々とその子どもたちを利用することはありません」とパクストン氏は声明で述べた。「これは、テック大企業の欺瞞に満ちた商習慣の新たな例であり、止めなければなりません。私はテキサス州民のプライバシーとセキュリティのために戦い続けます」。

Metaの広報担当者はTechCrunchに「これらの主張はメリットがなく、我々は強く異議を唱えます」と電子メールで述べた。

この訴訟では、Facebookがその商慣行を隠すことで人々を欺き、アプリを利用するテキサス州民はFacebookが写真や動画から生体情報を取得していることに気づかなかったと主張している。また、Facebookがユーザーの個人情報を他の事業者に開示し、その事業者がさらに情報を利用していることにユーザーは気づかなかったと、詳しい説明なしに主張している。

「Facebookは往々にして、収集した生体識別情報を適切な時間内に破棄しておらず、テキサス州民を幸福、安全、セキュリティに対する増大し続けるリスクにさらしています」と訴状には書かれている。「Facebookは自らの商業的利益のために、顔認識技術を訓練し改善すべく故意に生体情報を収集し、それによって、世界の隅々にまで届き、Facebookのサービスを意図的に避けている人さえも陥れる強力な人工知能装置を作っています」。

Metaは2021年11月、Facebook上の顔認識システムを停止し、今後は写真や動画でオプトインしたユーザーを自動的に識別しないようにすると発表した。また、このシステム停止の一環として、10億点超の個人の顔認識テンプレートを削除するとも明らかにした。しかし、テキサス州当局はMetaにこのデータを調査のために保存するよう要請し、これによりシステムの完全閉鎖は遅れる可能性が高い。

Metaが顔認識に関する慣行で訴訟に直面するのは今回が初めてではない。2021年3月にFacebookは、イリノイ州民を侵害的なプライバシー保護行為から守るために作られたイリノイ州法に違反したとして、6億5000万ドル(約750億円)を支払うよう命じられた。このバイオメトリクス情報プライバシー法(BIPA)は、近年テック企業の足元をすくう強力な州法だ。Facebookを相手取った裁判は2015年に初めて行われ、Facebookが本人の同意なしに顔認識を使って写真にタグ付けする行為は州法に違反すると主張した。

関連記事:フェイスブックがイリノイ州のプライバシー保護法をめぐる集団訴訟で約694億円支払う

判決を受け、カリフォルニア州にある連邦裁判所による最終和解判決のもと、160万人のイリノイ州民が少なくとも345ドル(約3万9000円)を受け取った。最終的な額は、裁判官が不十分と判断したため、Facebookが2020年に提案した5億5000万ドル(約635億円)を1億ドル(約115億円)上回った。Facebookは2019年に自動顔認識タグ付け機能を無効にし、代わりにオプトイン方式にし、イリノイ州の集団訴訟によって拡大したプライバシー批判のいくつかに対処した。

6億5000万ドルという和解金は、通常の企業であれば大きな影響を与えるのに十分な額だろう。しかしFacebookは、FTC(米連邦取引委員会)が2019年に同社のプライバシー問題を調査し、50億ドル(約5776億円)という記録的な罰金を課したときと同様に、これを受け流した。

今回のテキサス州の訴訟は、プライバシー法の普及がMetaの業務だけでなく、すべてのテック大企業の慣行に大きな影響を与える可能性があることを示している。過去数年、はっきりとした同意なしにユーザーの顔を顔認識システムの訓練に使用したのは法律違反としてMicrosoft(マイクロソフト)、Google(グーグル)、Amazon(アマゾン)を訴える訴訟が相次いでいる。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Aisha Malik、翻訳:Nariko Mizoguchi

またカナダの募金サイトに不正アクセス、ハッカーがトラック運転手抗議デモへの寄付者の名前を漏洩

あるリークサイトは、募金サイトGiveSendGoがハッカーに狙われた後、オタワでのトラック運転手による抗議デモ「Freedom Convoy(フリーダムコンボイ)」への寄付者に関する情報のキャッシュを受け取ったという。

GiveSendGoのウェブサイトは現地時間2月14日、サイトが乗っ取られ、ハッカーによってコントロールされていると思われるページにリダイレクトされるようになり、その数時間後に「メンテナンス中」となって、もはや読み込めなくなったと明らかにした。リダイレクトされたページは、新型コロナウイルス感染症のワクチン接種の義務化に反対してカナダの首都を襲い、1週間以上にわたって交通と貿易に広範な混乱を引き起こしたトラック運転手たちを非難した。

このページには、Freedom Convoyに寄付をした人たちの「生の寄付データ」と称される数万件の記録を含むファイルへのリンクも含まれていた。

しばらくして、非営利のリークサイト「Distributed Denial of Secrets」が、GiveSendGoから30MBの寄付者情報を受け取ったと発表した。この中には、同サイトで行なわれた「すべてのキャンペーン」に対する寄付者の自称氏名、電子メールアドレス、郵便番号、IPアドレスが含まれていた。

Distributed Denial of Secretsは、極右グループに関する一連の流出データを保管していることで知られるサイトだが、このデータは研究者やジャーナリストにのみ提供されると述べた。

ジャーナリストのMikael Thalen(ミカエル・タレン)氏によると、今回の情報漏洩は、1000件以上の身分証明書類を保存しているAmazon(アマゾン)がホストするS3バケットをGiveSendGoがインターネットに公開したままにしていた、以前のセキュリティ過失とは別のものだ。タレン氏は2月13日夜に今回のデータ漏洩を最初に指摘した

関連記事:カナダのワクチン義務化に抗議するトラック運転手たちの寄付サイトから個人情報流出

GoFundMeがオタワで発生した暴力の警察報告を理由にクラウドソーシングキャンペーンを停止して数百万ドル(数億円)の寄付を凍結した後、マサチューセッツ州ボストンを拠点とするGiveSendGoは1月にFreedom Convoyの主要寄付サービスになっていた。週末には、カナダの裁判所がGiveSendGoが集めた資金へのアクセスを停止する命令を出したが、同社は命令に従わないと述べた。

抗議者らは2月初め、Freedom Convoのために800万ドル(約9億円)超を集めた。

GiveSendGoの共同設立者、Jacob Wells(ジェイコブ・ウェルズ)氏は、コメントの要請に応じなかった。

画像クレジット:Stephanie Keith / Bloomberg / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Nariko Mizoguchi

カナダのワクチン義務化に抗議するトラック運転手たちの寄付サイトから個人情報流出

カナダのワクチン義務化に抗議しているオタワのトラック運転手が利用している寄付サイトが、寄付者のパスポートや運転免許証が流出するセキュリティ上の不備を修正した。

マサチューセッツ州ボストンを拠点とする寄付サービスGiveSendGo(ギブセンドゴー)は先週、GoFundMe(ゴーファンドミー)が市内での暴力や嫌がらせに関する警察の報告を理由に数百万ドル(数億円)の寄付を凍結した後、いわゆる「フリーダム・コンボイ」活動の主要寄付サービスとなっていた。

1月に始まったこの抗議運動では、新型コロナワクチン接種の義務化に反対する数千人の抗議者とトラック運転手がカナダの首都に降り立ち、渋滞で通りがマヒするほどだ。GoFundMeの募金ページが約790万ドル(約9億1200万円)の寄付を達成した後、このクラウドソーシングの巨人はキャンペーンを阻止するために介入し、募金活動を、抗議活動への支援を公言するGiveSendGoに移行するよう促した。プレスリリースによると、GiveSendGoは、同社がキャンペーンを主催した初日に、フリーダム・コンボイの抗議者のために450万ドル以上(約5億1900万円)の寄付を処理したと述べている。

TechCrunchは、AmazonがホストするS3バケットに50Gバイトを超えるファイル(パスポートや運転免許証など)が保存されていることがセキュリティ分野の人物によって発見されたことを受けて、このデータ漏えいに関する情報を入手した。

この研究者は、GiveSendGoにあるフリーダム・コンボイのウェブページのソースコードを閲覧することで、公開されたバケットのウェブアドレスを見つけたという。

S3バケットは、ファイルや文書、あるいはウェブサイト全体をAmazonのクラウドに保存するために使用されるが、デフォルトでは非公開に設定されており、バケットの内容を誰でもアクセスできるように公開するには、複数のステップのプロセスが必要だ。

公開されていたバケットには、フリーダム・コンボイのページがGiveSendGoに最初に設置された2月4日から、1000枚以上のパスポートと運転免許証の写真とスキャン画像がアップロードされていた。ファイル名から、一部の金融機関が個人の支払いや寄付を処理する前に必要とする、支払いプロセスで身分証明書がアップロードされていたことが示唆される。

TechCrunchは、GiveSendGoの共同設立者であるJacob Wells(ジェイコブ・ウェルズ)氏に、現地時間2月8日に公開されたバケットの詳細について連絡を取った。しばらくして、バケットの安全は確保されたようだが、ウェルズ氏は、GiveSendGoがセキュリティの欠陥について、情報が流出した人々に知らせる予定があるかどうかなどの質問には答えなかった。

バケットがいつまで晒されたままになっていたかは正確には不明だが、無名のセキュリティ研究者が残した2018年9月付けのテキストファイルには、バケットが「適切に設定されていない」ため「危険なセキュリティ上の影響を及ぼす」と警告されていた。

画像クレジット:Kadri Mohamed / Anadolu Agency / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Akihito Mizukoshi)

Metaの監督委員会、FacebookとInstagramに「晒し」からユーザーを守る規定強化を要請

Meta(メタ)の外部諮問機関が米国時間2月8日に、新たな提言を発表した。同社にdoxing(個人を特定する情報を公開する行為。いわゆる「晒し」)からユーザーを保護するポリシーを強化するよう求めている。

Facebook(フェイスブック)は2021年、公共の情報へのアクセスとプライバシーに関する懸念とのバランスをとるのが難しいことを認識し、このポリシーに関する助言を求めていた。現在はMetaという名前で知られる同社の個人情報の共有に関する現在の規定では、その情報が「一般に公開される」可能性を例外として認めている。

身体的危害または金銭的損害を招くおそれのある個人情報または他の非公開情報をシェアする、提供する、またはそのような情報の提供を求めるコンテンツは、削除の対象となります。このような情報には、財産、住居、医療に関する情報や、違法な情報源から取得した非公開情報などが含まれます、また、個人情報は報道、裁判所への提出物、プレスリリース、またはその他の情報源を通じて一般に公開される可能性があることも認識しています。その場合、情報の投稿を許可することがあります。

監督委員会は、この種の被害は「救済が困難」であること、すなわち、ひとたび誰かの住所が公開されてしまうと、それを元に戻すことは不可能であることを指摘し、Metaがプライバシー違反ポリシーの中で、自宅の住所や個人を特定する画像の「一般に公開される」可能性を認めている例外規定を削除するよう勧告した。監督委員会によれば、この慎重さを欠く面がもたらす独特のリスクを考慮して、新しい規則は「プライバシーをより保護する」ものであるべきだという。

監督委員会は「いったん情報が共有されてしまうと、doxingのような結果として生じる危害に対処することは困難である」と書いている。「doxingによる被害は、女性、子ども、LGBTQIA+などのグループには過度に影響し、精神的苦痛、雇用の喪失、さらには身体的被害や死を含むこともある」。

この委員会の勧告では、ニュース記事の焦点となっている住宅の画像を共有する場合や、誰かが自分自身の家の画像を共有する場合など、いくつかの常識的な例外が設けられている。委員会はさらに、抗議活動を組織する目的で個人の住所の画像を共有することを、Metaは禁止するべきであると提言している。

委員会はまた、連邦政府や地方自治体の首長や大使など「政府高官に提供されている公邸」で抗議活動が行われる場合には、Metaは住所や住宅の画像を共有することを認めるべきだとも主張している。そうでなければ、ホワイトハウスのような場所でデモを計画しているイベントが規則に抵触する可能性があるからだ。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Taylor Hatmaker、翻訳:Hirokazu Kusakabe)

【コラム】10代によるテスラ車のハックを教訓にするべきだ

Tesla(テスラ)をハックした19歳のDavid Colombo(デビッド・コロンボ)が騒がれるのは、当然といえば当然の話だ。彼はサードパーティソフトウェアの欠陥を利用して、13カ国にわたる世界的EVメーカーの車両25台にリモートアクセスした。ハッカーは、遠隔操作でドアのロックを解除し、窓を開け、音楽を流し、それぞれの車両を始動させることができたと話している。

関連記事:100台を超えるテスラ車が遠隔操作の危険性にさらされる、サードパーティ製ツールに脆弱性

コロンボ氏が悪用した脆弱性はTeslaのソフトウェアのものではなく、サードパーティのアプリに存在するもので、そのためできることに限界があり、ハンドルやアクセルそして加速も減速もできなかった。しかし彼はドアを開け、クラクションを鳴らし、ライトを制御し、ハッキングした車両から個人情報を収集した。

サイバーセキュリティのプロにとって、このようなリモートでのコードの実行や、アプリキーを盗むのは日常茶飯事だが、私が恐れるのは、情報漏洩の開示に慣れてしまい、今回の件がコネクテッドカーのエコシステム全体の関係者にとって貴重な学習の機会であることが見逃されてしまうことだ。

今回のハッキングは、サイバーセキュリティの初歩的な問題であり、率直にいって起きてはならない過ちだ。コロンボ氏がTwitterのスレッドを投稿して通知した翌日に、Teslaが突然数千の認証トークンを非推奨にしたことから、問題のサードパーティ製ソフトウェアは、セルフホスティングのデータロガーだった可能性があるのだという。一部のTwitterユーザーの中にはこの説を支持する人もおり、アプリの初期設定によって、誰でも車両にリモートアクセスできる可能性が残されていることを指摘している。これは、コロンボ氏による最初のツイートで、脆弱性は「Teslaではなく、所有者の責任」と主張したこととも符合する。

最近の自動車サイバーセキュリティ規格SAE/ISO-21434と国連規則155は、自動車メーカー(通称、OEM)に車両アーキテクチャ全体に対する脅威分析とリスク評価(threat analysis and risk assessment、TARA)の実施を義務化している。これらの規制により、OEMは車両のサイバーリスクと暴露の責任を負う。つまり、そこが最終責任になる。

Teslaのような洗練されたOEM企業が、サードパーティのアプリケーションにAPIを開放するリスクを看過していたのは、少々らしくないような気もする。しかし低品質のアプリは十分に保護されていない可能性があり、今回のケースのように、ハッカーがその弱点を突いてアプリを車内への橋渡しとして使用することが可能になる。サードパーティ製アプリの信頼性は、自動車メーカーに委ねられている。自動車メーカーの責任として、アプリを審査するか、少なくとも認証されていないサードパーティアプリプロバイダーとのAPIのインターフェイスをブロックする必要がある。

たしかに、OEMが検査し承認したアプリストアからアプリをダウンロードし、アップデートすることは消費者の責任でもある。しかしOEMの責任の一部は、そのTARAプロセスでそうしたリスクを特定し、未承認アプリの車両へのアクセスをブロックすることにある。

私たちKaramba Securityは、2021年に数十件のTARAプロジェクトを実施したが、OEMのセキュリティ対策には大きなばらつきが散見された。しかながらOEMは、顧客の安全性を維持し、新しい規格や規制に対応するためにできるだけ多くのリスクを特定し、生産前に対処することを最重要視している点で共通している。

ここでは、私たちが推奨するOEMメーカーが採用すべきベストプラクティスを紹介する。

  1. 秘密と証明書を保護する – 広義のなりすましや身分詐称を確実に失敗させる(ファームウェアを置き換える、認証情報を詐称するなど)
  2. アクセスや機能をセグメント化する(ユーザーに対して透過的な方法で) – たとえ1つのポイントが失敗しても、被害は限定的になる
  3. 自分自身で継続的にテストする(あるいは他の人にやってもらうために報奨金プログラムを立ち上げる) – 見つけたものはすぐに修正する
  4. インフォテインメント、テレマティクス、車載充電器などの外部接続システムを堅牢化し、リモートコード実行攻撃から保護する
  5. APIをクローズアップする。未許可の第三者には使用させないこと。このような習慣があれば、今回の攻撃は免れたはずだ

消費者に対しては、OEMのストア以外からアプリを絶対にダウンロードしないことをアドバイスしている。どんなに魅力的に見えても、非公認アプリは運転者や乗客のプライバシーを危険にさらしていることがある。

EVは楽しいものだ。高度な接続性を有し、常に更新されすばらしいユーザー体験を提供しれくれる。しかし、EVは自動車であり、スマートフォンではない。自動車がハッキングされると、ドライバーの安全とプライバシーを危険にさらすことになる。

編集部注:本稿の執筆者Assaf Harel(アサフ・アレル)氏は、Karamba Securityで研究とイノベーション活動を指揮し、革新的な製品とサービスの広範なIPポートフォリオを監督している。

画像クレジット:SOPA Images/Getty Images

原文へ

(文:Assaf Harel、翻訳:Hiroshi Iwatani)

グーグルの「欺瞞的」なユーザー位置情報追跡をめぐりワシントンD.C.などが提訴

米国時間1月24日、ワシントンD.C.、テキサス州、ワシントン州、インディアナ州は、ビッグテックに対する最新の訴訟を発表した。この訴訟は、ユーザーがその種のトラッキングが無効になっていると信じていた場合でも、Google(グーグル)は位置情報を収集してユーザーを欺いたと主張している。

ワシントンD.C.の検事総長Karl Racine(カール・ラシーン)氏は「Googleは、アカウントやデバイスの設定を変更することで、顧客が自分のプライバシーを保護し、同社がアクセスできる個人データをコントロールできると、消費者に誤って信じ込ませました」と述べている。「実際にはGoogleの説明に反して、同社は組織的に顧客を監視し、顧客データから利益を得続けています」。

ラシーン氏は、Googleのプライバシー慣行を、消費者のプライバシーを損なう「大胆な虚偽表示」と表現した。同氏の検事局は2018年、ユーザーが位置情報を保存しないと明示されたプライバシーオプションを選択している場合でも、iOSおよびAndroidの多くのGoogleアプリが位置情報を記録していることが判明したとAP通信が報じたのを受けて、Googleがユーザーの位置情報をどのように扱っているかを調査し始めた。AP通信は、プリンストン大学のコンピュータサイエンス研究者と連携して、その調査結果を検証した。

「この件に関するGoogleのサポートページには、次のように書かれている。『ロケーション履歴はいつでもオフにできます。ロケーション履歴をオフにすると、あなたが行った場所は自動的に保存されません』」とAPは報じた。「しかし、それは事実ではない。ロケーション履歴を停止した状態でも、一部のGoogleアプリでは、タイムスタンプ付きの位置情報が許可なく自動的に保存されている」。

この訴訟では、Googleが、ユーザーがオプトアウトすることが不可能な位置情報追跡システムを構築したこと、Androidのアプリ内およびデバイスレベルでのプライバシー設定によるデータの保護方法についてユーザーに誤解を与えたことを主張している。また、Googleは、ユーザーの利益に反する選択をさせるために、欺瞞的なダークパターンデザインを用いたとしている。

このような行為は、消費者を保護する州法に違反している可能性がある。ワシントンD.C.では、消費者保護手続法(Consumer Protection Procedures Act、CPPA)により「広範囲にわたる欺瞞的で非良心的なビジネス慣行」が禁止されており、検事総長が執行している。

ラシーン氏のD.C.検事局は、Googleに対する差止命令を求めるとともに、プライバシーに関して消費者を欺いて収集したユーザーデータから得た利益の支払いを同社に求めている。

関連記事:グーグル、広告ビジネスをめぐるテキサス州の反トラスト法訴訟で棄却を要請

画像クレジット:Alex Tai/SOPA Images/LightRocket / Getty Images

原文へ

(文:Taylor Hatmaker、翻訳:Aya Nakazato)

【コラム】注意、会社はあなたを見張っている

新しい1年の始まりに、みんなに役立つことを教えよう。

ITが十分に確立されておらず、会社の構築とともに方針が急速に進化しているスタートアップで働く場合、雇用主が迅速に動いて物事を実行し、後から許可を取ろうとしてしまうリスクが普段よりも高くなる。これはほぼ直感的に理解できるだろう。通常、創業初期のスタートアップは落ち着きなく、猛烈なスピードで動いているものだ。これは合法か?もちろんそうではないが、スタートアップ業界には、会社が成功しなければ許可など無意味なことだという考えも多く存在するようだ。また、会社が一流の急成長企業のスピードで成長しているなら、十分な資金があり弁護士もいるので、後で解決することもできるだろう。

この記事は、スタートアップの従業員数人(みんなが知っているであろう企業だが、名前を明かさないことを希望した)との会話がきっかけで生まれた。会社名を特定するのに十分な裏付け情報を得ることはできなかった(がんばって聞き出すので、ご心配なく)。ここでは、やる気満々で2022年を迎えたみなさんに、いくつか毎年恒例のお知らせを。

会社でのSlack(スラック)では、話の内容に気をつけよう。DMはプライベートなものだと思っているかもしれないが、企業の管理者がSlackインスタンスで送信されたすべてのDMをエクスポートできることをご存じだろうか?もちろん、データのエクスポートについては法律があるが、DMで違法なことや非道徳的なことを話すと、上司がDMのコピーを見せてそれについて説明する羽目になるだろう。過ちを重ねても意味がない。疑った仕事熱心なIT部長が細かく調べることを決めると、雇用主を訴える場合もあるかもしれない。しかし個人的なトークは個人的なチャンネルに、仕事のトークは仕事のチャンネルと区別すれば簡単に避けられる。もちろん、あなたのテキストはプライベートにできかもしれないが、少なくともそれらにアクセスすることは難しくなる。そして、特にこだわりがあるなら、メッセージが一定時間を過ぎると消えるSignal(シグナル)Telegram(テレグラム)もある。

上司は会社の機器を監視することができる。契約書には、会社が提供する備品の使用や使用不可について条項があることが多い。その一部は明確だが(「違法なことをしてはならない」)、一部はもっと曖昧だ。それは仕方がない。契約書をよく読むこと。あなたの会社が、あなたがコンピュータ上で何をしているか監視することが許可されると謳っているかもしれない。法に認められているようには思えないが、多くの労働契約に遠回しに記載されている。AIツールがますます強力になり、追跡されても全然構わないという契約書に署名する世界では、ソフトウェアを作成する多数の企業(AktivTrakActiveOpsVeratio他多数)があなたを監視し、雇用主はこれらをあなたのコンピュータにインストールしてさまざまなレベルのステルス行為を行い、あなたの許可を得ることができる。

AktivTrakは9000を超える組織で使用されており、そのツールは「いつ、誰により、何がやりとりされたかについて理解を深め、同時にコンプライアンスの確保を助けるための知見を提供するための、ユーザーアクティビティおよびセキュリティイベント詳細ログの参照」のために使用できると主張している。みなさんはどうだか知らないが、私はもう安全に感じている(スクリーンショット:AktivTrak website)

人事部はあなたの味方ではない。あなたの会社の人事部門はフレンドリーで、よく手を貸してくれて、親切かもしれない。全力で職場の問題解決を手伝ってくれるかもしれない。しかし彼らはあなたの味方ではない。人事部は会社のために働いているのだ。会社の利益を守るためにそこにいる。あなたの利益と会社の利益が対立すれば、人事部門で働く人は、いくらフレンドリーでも、生活費を稼ぐ必要があるし、あなたが辞めた後、解雇された後、異動した後も彼らの上司と良好な労働関係を維持する必要がある。James Altucher(ジェームズ・オルタッハー)氏が自身のコラム「いずれ、あなたは解雇される」で指摘している通り。

会社への忠誠の義務はない。特に米国では、多くが「随意」雇用であり、すなわちいつでも、いかなる理由でも一時解雇される可能性があり、会社が機会を与える限り雇用されたままになり、最終収益に貢献する。特にスタートアップでは、これは変わりやすい分野である。なぜなら目的と目標は取締役会ごとに代わる可能性があるからだ。ある月は、エンジニアリング部門は会社にとって最も必要不可欠な存在である。しかし銀行口座の金額と資金調達環境はすぐに変わり、翌月にはすべてが変わってしまう可能性がある。特に状況が困難になると、指導的立場にある人にとってKPIを基に運営し、成長と顧客獲得のみに焦点を置くことが魅力的になるかもしれない。その場合、エンジニアリングは短期的にみると重要性が低く、突然広告費と販売活動が最優先事項になる。しっかりした長期的ビジョンを持った偉大なるリーダーたちが急な変化を起こさざるを得なくなる可能性がある。プロの世界の忠誠心は、雇用主のみに恩恵を与える神話である。あなたをやめさせる必要があればそうする。リクルーターが声をかけてきたら、電話をとってその市場でのあなたの値段を確認しよう。

辞めてはならない。マネージャーや人事部門の誰かが経験則であなたに自らの意思でやめさせようとしても、抵抗するのが最善策だ。やめてはいけない!多くのメカニズムが(一部の州では、失業手当を含めて)、あなたが一時解雇された場合にのみ適用される。もし辞めたら、特に会社を訴えないと約束した合意書に同意した場合は、将来的に選択肢を大きく弱めることになる。

人事部はあなたのSlack DMメッセージまたはEメールを、あなたに対して使用しただろうか?現在私は数社のスタートアップの多数の従業員とお話ししている。みなさんのご意見もお聞かせいただきたい。お問い合わせ先:tc@kamps.org

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Haje Jan Kamps、翻訳:Dragonfly)

【コラム】いずれメタバースは、あなたをモニターし行動を操作する世話役AI「ELF」で埋め尽くされる

メタバースはマーケティング上の誇大広告に過ぎないという人もいれば、社会を一変させると主張する人もいる。私は後者に属するが、多くの人が提唱しているようなアバターで埋め尽くされたアニメの世界について言っているのではない。

むしろ、社会を変えるような真のメタバースは、現実世界上の拡張レイヤーであり、10年以内にショッピングや社交からビジネスや教育まで、あらゆるものに影響を与え、私たちの生活の基盤になると考えている。

関連記事:【コラム】Web3の根拠なき熱狂

また、企業が管理するメタバースは社会にとって危険であり、積極的な規制が必要だと考えている。なぜなら、プラットフォームのプロバイダーは、SNSが古いと感じるようなやり方で消費者の操作が可能になるからだ。多くの人は、データ収集やプライバシーに関する懸念に共感しているが、メタバースで最も危険なテクノロジーであろう人工知能を見落としているのではないか。

実際、メタバースのコアテクノロジーを挙げろといわれれば、たいてい人はアイウェアを中心に、グラフィックエンジンや5G、あるいはブロックチェーンなどを挙げるだろう。しかし、それらは私たちの没入型未来の仕組みに過ぎない。メタバースにおいて糸を操り、私たちの体験を創造(操作)するテクノロジーはAIなのだ。

人工知能は、私たちのバーチャルな未来にとって、注目を集めるヘッドセットと同じくらい重要な存在になるだろう。そしてメタバースの最も危険な部分は、他のユーザーと同じような見た目で、他のユーザーと同じように行動するが、実はAIによって制御された模擬人格である課題志向の人工主体だ。彼らは私たちに「会話的操作」を行い、人工主体が本物の人間でないことに気づかないうちに、広告主に代わって私たちをターゲットにするだろう。

特に、AIアルゴリズムが表情や声の抑揚を読み取って私たちの感情状態を監視しながら、私たちの個人的な興味や信念、習慣や気質に関するデータにアクセスするようになると危険だ。

SNSにおけるターゲット広告が操作的だと思うかもしれないが、これはメタバースで私たちに関わる会話型エージェントの比ではない。彼らは人間のどんな販売員よりも巧みに私たちに売り込み、単にガジェットを売るだけでなく、最も資金を支払った人のために政治的プロパガンダやターゲットとなる誤報を押し付けてくるだろう。

そして、これらのAIエージェントは、メタバースにおける他の人と同じように見え、同じように話すので、広告に対する私たちの自然な懐疑心は働いてくれない。これらの理由から、私たちはAIによる会話エージェントを規制する必要がある。特に、AIが私たちの顔や声の情緒にアクセスでき、私たちの感情をリアルタイムで私たちに対して利用することが可能になる場合だ。

これを規制しないと、AIドリブンのアバターの形をした広告は、あなたが疑っているのを察知して、文章の途中で戦術を変え、あなた個人にインパクトを与える言葉や画像にすばやく照準を合わせてくるだろう。2016年に書いたように、AIが学習して世界最高のチェスプレイヤーや囲碁の棋士に勝てるなら、消費者を揺さぶることを学習して私たちの利益にならないものを買わせる(そして信じさせる)のは朝飯前だ。

しかし、私たちに向かってくるすべてのテクノロジーの中で、メタバースにおいて最も強力かつ精緻な強制力を持つことになるのは、私が「エルフ」と呼ぶものだ。この「デジタル生活促進者(electronic life facilitators、ELF)」は、SiriやAlexaのようなデジタルアシスタントの自然な進化形だが、メタバースでは姿なき声にはならない。消費者ごとにカスタマイズされた擬人化された人格になるだろう。

プラットフォームのプロバイダーは、これらのAIエージェントを仮想ライフのコーチとして販売し、あなたがメタバースを探索している間、1日中しつこく付きまとう。そして、メタバースは最終的に現実世界の拡張レイヤーとなるので、デジタルエルフは、あなたが買い物をしていても、仕事をしていても、ただぶらぶらしているだけでも、どこにいてもあなたと一緒にいることになる。

そして上記のマーケティングエージェントのように、これらのエルフたちは、あなたの顔の表情や声の抑揚、そしてあなたの生活の詳細なデータ履歴にアクセスし、あなたに行動や活動、製品やサービス、さらには政治的見解に至るまでをそっと促すようになる。

そして彼らは、今日のような粗雑なチャットボットではなく、身近な友人、親切なアドバイザー、気遣いのできるセラピストのような、人生において信頼できる人物として認識されるようになるキャラクターとして具現化される。しかも、友人にはできないような方法で自分のことを知り、血圧や呼吸速度に至るまで、自分の生活のあらゆる面を(信頼できるスマートウォッチを通じて)モニタリングする。

そう、これは不気味だ。だからこそプラットフォームのプロバイダーは、付きまとってくる人間サイズのアシスタントというよりも、あなた自身の「人生の冒険」の魔法のキャラクターのように見える、無邪気な特徴と物腰を持つ、かわいくて脅威を感じさせないエルフを作るのだろう。これが私が「エルフ」という言葉を使って表現した理由だ。エルフは、あなたの肩越しにいる妖精、あるいはグレムリンやエイリアンのような見た目かもしれないからだ。こうした小さな擬人化したキャラクターは、耳にささやいてきたり、私たちの前に飛び出して、こちらに注目して欲しい拡張世界のものに注意を引かせたりすることができる。

これが特に危険な点だ。規制がなければ、こうした「人生のお世話役」はお金を払った広告主に乗っ取られ、現在のSNSのどんなものよりも優れた技術と精度であなたをターゲットにすることになるだろう。そして、今日の広告とは異なり、これらの頭の良いエージェントは、かわいい笑顔やくすくすした笑いとともにあなたの周りを付きまとい、一日をガイドすることになるのだ。

このようなことが実際にどのように起こるのか、ポジティブな面もネガティブな面も伝えるために、2030年以降にAIが私たちの没入型ライフをどのように導いていくのかを描いた短いストーリー、「Metaverse 2030」を書いた。

最終的に、VR、AR、AIの技術は、私たちの生活を豊かにし、向上させる可能性がある。しかしこれらが組み合わさると、イノベーションは特に危険なものになる。これはこのような技術に共通する強力な特性、つまりコンピュータで作られたコンテンツがたとえ意図的に作られた捏造であっても、本物であると信じさせることができるという特性が理由だ。この強力なデジタル欺瞞能力こそが私たちがAIを活用したメタバースを恐れるべき理由であり、それが宣伝目的でユーザーにサードパーティアクセスを販売する強力な企業によって管理されている場合には特にそうなのだ。

メタバースの技術に問題が根付いてしまって元に戻せなくなる前に、消費者や産業のリーダーが意義のある規制を推進してくれることを期待して、私はこれらの懸念を提起したいと思う。

編集部注:本稿の執筆者Louis Rosenberg(ルイス・ローゼンバーグ)氏は、仮想現実と拡張現実のパイオニアであり、Unanimous AIのCEO。

画像クレジット:TechCrunch/Bryce Durbin

原文へ

(文:Louis Rosenberg、翻訳:Dragonfly)

【コラム】生体情報収集への道は善意で舗装されている

ここ数カ月、計画的な生体情報の収集がかなり熱を帯びて加速している。これについて心配していないのなら、した方がいい。

実際、バカバカしいと思うかもしれないが、普通以上に心配してみて欲しい。営利目的の生体情報収集は、この10年間で驚くほど正規化した。Appleが日常的にユーザーの指紋をスキャンするというアイデアは、かつては驚くべきものだった。今では銀行アプリやノートPCのロックを解除する方法として―もちろん顔認証で解除しない場合だが指紋が使われている。生体情報収集が主流になったのだ。

FaceIDや指紋認証などの機能が採用されてきたのは、それらが特に便利だからだ。パスコードがなくても問題がない。

企業やビジネスがこれを理解し、今では生体情報収集を採用する2大理由の1つが利便性となっている(もう1つは公共の安全のためだが、これについては後ほど説明する)。迅速な生体情報のスキャンによって、物事が迅速で容易になると言われている。

英国では最近、給食費の支払いに顔認証を導入し、時間短縮を図っている。しかし、データプライバシーの専門家や保護者の反発を受け、結局いくつかの学校はこのプログラムを中止することになった。彼らの主張によれば、どこかのサーバーに蓄積された幼い子どもたちの顔のデータベースを丸ごと利用することに対し、利便性はまったく見合わない。そして、彼らはまったく正しい。

音楽は耳に、チケットは手のひらプリントに

2022年9月、米国のチケット販売会社AXSは、印刷物や携帯電話上のコンサートチケットに代わるオプションとして、レッドロック野外劇場でAmazon Oneの手のひら認証システムを使用するプログラムを発表した(その後数カ月で他の会場にも拡大する予定だった)。この決定は、プライバシーの専門家とミュージシャンの両方から直ちに抵抗を受けたが、これはライブ音楽業界における生体情報収集をめぐる最初の火種ではまったくない。

2019年、大手プロモーターのLiveNationとAEG(コーチェラ・フェイスティバルなどの大型フェスティバルをコーディネート)は、ファンやアーティストからの世論の反発を受け、コンサートでの顔認証技術への投資・導入計画から手を引いた

しかし、ライブエンターテインメントにおける生体認証の利用をめぐる争いは、まだ決着がついていない。コロナウイルスの大流行によって、満員のスタジアムに依存するプロスポーツの経営者たちは振出しに戻り、新しい計画に大量の顔認証を取り入れることが多くなった。顔がチケットの代わりになり、表向きは誰もがウイルスから安全に守られることになる。

このような経営者たちの決意は固い。オランダのサッカーチーム、アヤックス・アムステルダムは、当初データ保護規制当局によって中止された試験的な顔認識プログラムの再導入を目指している。アヤックスの本拠地アムステルダム・アレナで最高イノベーション責任者を務めるHenk van Raan(ヘンク・ヴァン・ラーン)氏)は、ウォールストリートジャーナルの記事に引用によると「このコロナウイルスの大流行を利用して、ルールを変えることができればいい。コロナウイルスは、プライバシー(に対するどんな脅威)よりも大きな敵だ」と語っている。

これはひどい理由だ。プライバシーに降りかかるリスクは、ウイルスに対するリスクによって軽減されるものでは決してない。

同じ記事の中で、顔認識技術のTruefaceのCEO、Shaun Moore(ショーン・ムーア)氏は、プロスポーツの経営者との会話について、識別情報の受け渡しについてははぐらかし、チケットのバーコードをスキャンする際にウイルス感染の危険性があることを理由にタッチポイントに強くこだわっていると述べる。

チケットをスキャンする際の危険性については強引な主張であり、伝染病学者でなくとも言えることだ。大勢の人が叫び合い、歓声を上げることが主なイベントであるなら、担当者がチケットをスキャンするときの一瞬のマスク付きの交流など、心配するほどのことではないだろう。安全性の主張が崩れれば、利便性の主張も崩れる。単純な事実として、モバイルチケットを手のひらに置き換えたからといって、私たちの生活が飛躍的に、そして有意義に良くなるわけではない。認証にかかる+5秒は無意味なのだ。

ヴァン・ラーン氏がパンデミックを利用してプライバシー保護や懸念を覆すことを直接的に語っているのは興味深い。しかし、彼の理論は恐ろしく、欠陥がある。

確かにコロナウイルスは現実の脅威ではあるが、それは「敵」ではない。具現化しているわけでもなく、動機があるわけでもない。ウイルスなのだ。人間の手には負えない。保険用語でいうところの「天災」だ。そして、それが人間のコントロール下にあるものを正当化するために使われている。公共の安全や利便性のためと称して生体情報収集が大幅に増加している。

公共の安全と自由な社会

公共の安全は、しばしば生体認証による監視の強化が強要される原因となっている。8月、米国の議員たちは、飲酒状態での車の発進を防ぐために、新車にパッシブ技術を搭載することを自動車メーカーに義務付ける法案を提出した。この「パッシブ」技術は、眼球スキャン装置や飲酒検知器から、皮膚を通して血中アルコール濃度を検査する赤外線センサーに至るまで、あらゆるものを網羅する。

確かに、これは一見すると立派な動機のある大義名分である。米国運輸省道路交通安全局は、飲酒運転による死者は年間1万人近くに上ると推定しており、欧州委員会もEUについて同様の数字を挙げている

しかし、そのデータはどこに行くのだろうか?どこに保存されているのだろうか?誰に売られ、何をするつもりなのだろうか?プライバシーのリスクはあまりにも大きい。

パンデミックは、大量の生体データ収集の導入に立ちはだかる多くの障害を消し去った。このやり方を続けることが許されていると、結果は市民の自由にとって悲惨なものとなるだろう。監視の強度は記録的な速さで高まっており、政府や営利企業は私たちの生活や身体に関する最もプライベートな些細なことにまで口を挟むようになっている。

モバイルチケットは十分な監視だ。何しろ会場に入ったことを正確な時刻とともにシステムに知らせるのだから。壊れていないのなら、直さなくていい。そして、病原菌を撒き散らさないためという危うい口実で、生体情報収集を追加するのはやめるべきだ。

生体情報はできるだけ渡さないに限る。GoogleやAmazonが基本的人権や市民的自由に関してひどい記録を持っていることを考えると、これらの企業に生体情報データを渡さないことだけでは十分ではない。

典型的な巨大ハイテク企業と関係のない小さな会社は、それほど脅威ではないように感じるかもしれないが、騙されてはいけない。AmazonやGoogleがその企業を買収した瞬間、彼らはあなたと他のすべての人の生体認証データを一緒に手に入れることになる。そして、私たちは振り出しに戻ることになる。

安全な社会は、監視の厳しい社会である必要はない。私たちは何世紀もの間、ビデオカメラを一台も使わずに、ますます安全で健康的な社会を築いてきた。安全性以上に、これほど詳細で個別化された厳重な監視は、市民の自由を重んじる社会にとって脅威となる。

結局のところ、これが行き着く所なのかもしれない。自由で開かれた社会にはリスクがつきものだ。これは間違いなく、啓蒙主義以降の西洋政治思想の主要な信条の1つである。しかし、そのリスクは、厳重に監視された社会で生活するよりもはるかにましだ。

言い換えれば、私たちが向かっている生体情報の格子から逃れることはできない。今こそ、不必要な生体情報収集、特に営利企業が関与する生体情報収集を規制し、排除することによって、この流れを止めるべき時なのだ。

編集部注:本稿の執筆者Leif-Nissen Lundbæk(ライプニッセン・ルンドベック)氏はXaynの共同創設者兼CEO。専門はプライバシー保護AI。

画像クレジット:SERGII IAREMENKO/SCIENCE PHOTO LIBRARY / Getty Images

原文へ

(文:Leif-Nissen Lundbæk、翻訳:Dragonfly)

二要素認証の危殆化でハッキングされた暗号資産取引所Crypto.com、被害は約38.7億円以上に

Crypto.com(クリプト・ドットコム)は、先週末に同社のプラットフォームで発生した最近のハッキングについて、米国時間1月20日ウェブサイト上の声明で新しい詳細を共有し、483人のユーザーが影響を受け、1500万ドル(約17億円)相当以上のETH(イーサリアム)、1900万ドル(約21億6400万円)相当のBTC(ビットコイン)「その他の通貨」6万6200ドル(約750万円)相当の不正な引き出しが発生したと発表した。現在の暗号資産価値で3400万ドル(約38億7300万円)以上の価値がある総損失は、Crypto.comが声明を発表する前にアナリストが予測したものよりもさらに高いものだ。

同社の事後報告は、CEOのKris Marszalek(クリス・マルザレック)氏がBloomberg TVとのインタビューで侵害を認めたわずか1日後に行われた。彼の確認は、資金を盗まれたと訴える複数のCrypto.comユーザーから苦情が寄せられた後に行われた。それまで同社は「インシデント」としか言及せず、曖昧な対応に終始していたのだ。マルザレック氏はインタビューの中で、侵害がどのように発生したかについての詳細を共有していなかったが、彼はCrypto.comが影響を受けたすべてのアカウントに払い戻したことを認めていた。

本日の声明によると、Crypto.comは米国時間1月17日に「2FA(二要素)認証操作がユーザーによって入力されることなく取引が承認されていた」という疑わしい活動を検出したとのことだ。サイトは問題を調査するために14時間すべての引き出しを停止した。

Crypto.comは、攻撃者がすべてのユーザーに義務づけられている二要素認証を呼び起こさずに取引を承認することができた方法については述べていない。TechCrunchが詳細を問い合わせたところ、同社は今日発表された声明以外には、この侵害についてコメントすることを拒否した。

同社は「すべての顧客の2FAトークンを失効させ、追加のセキュリティ強化策を追加した」後、顧客にプラットフォームにログインして2FAトークンを再度設定するよう求めたと述べている。追加措置には、新しい引き出し用住所の登録と最初の引き出しの間に24時間の遅延が義務づけられているため、ユーザーは通知を受け、引き出しが不正と思われる場合はCrypto.comチームに連絡して「反応し、対処する十分な時間」を確保することになる。

同社は侵入後、内部監査を実施し、第三者のセキュリティ会社と契約してプラットフォームのチェックを行ったという。セキュリティ強化のため、2FAから「真の多要素認証」に移行する計画を発表したが、この変更の予定スケジュールは示していない。

Crypto.comはまた、2月1日から「一部の市場でWorldwide Account Protection Program(WAPP)」を導入すると発表した。これは、不正引き出しが発生した場合「認定ユーザー」に対して最大25万ドル(約2800万円)まで資金を回復するプログラムである。このプログラムの適用を受けるには、ユーザーは、多要素認証が利用可能なすべての取引タイプで多要素認証を有効にしなければならない。また、報告された不正取引の少なくとも21日前にアンチフィッシングコードを設定し、警察に被害届を提出し、それをCrypto.comにも提供し、鑑識調査に協力するための質問事項に答えなければならない。さらに、ジェイルブレイク(脱獄)デバイスを使用していないことが必要だと同社は述べている。

Crypto.comは世界第4位の暗号取引所だが、ここ数カ月は米国市場に強くアプローチしており、俳優のMatt Damon(マット・デイモン)を起用したバイラル広告や、ロサンゼルス・レイカーズとクリッパーズアリーナの命名権7億ドル(約797億円)の購入などのスタントを行っている。自社のことを「最も急成長している」暗号取引所と呼び、今週初めにはこの分野のアーリーステージのスタートアップを支援するために、ベンチャーキャピタル部門を5億ドル(約569億円)に拡大しました。今週の侵害事件と同社の対応の遅れによって、米国内での成長が停滞する恐れがある。

関連記事:Crypto.comのCEOが数百の顧客アカウントがハッキングされたことを認める

画像クレジット:Seb Daly / RISE via Sportsfile Flickr under a CC BY 2.0 license.

原文へ

(文:Anita Ramaswamy、翻訳:Akihito Mizukoshi)

赤十字国際委員会のデータが流出、「弱い立場にある」51万5千人の個人情報が盗まれる

赤十字国際委員会(ICRC)の業務委託先がサイバー攻撃を受け、紛争や移住、災害などで家族と離ればなれになった「非常に弱い立場にある」51万5000人以上の個人データが流出していることが明らかになった。

赤十字国際委員会は、データの保存に使用しているスイスの業者の名前や、セキュリティ事故の原因については明らかにしていないものの、これらのデータは60以上の赤十字社および赤新月社のナショナルソサエティから提供されたものだと述べている。

声明の中で、赤十字国際委員会は攻撃者に対し、データの保護必要度を考慮して、情報を公に共有したり漏洩させたりしないようにと訴えている。

「あなた方の行為は、すでに計り知れない苦しみに耐えている人々に、さらに多くの傷と痛みを与える可能性があります。今、あなた方が手にしている情報の背後にいる実在の人物、実在の家族は、世界で最も無力な人々です。どうか正しいことをしてください。このデータを共有したり、売ったり、漏洩させたり、悪用したりしないでください」と、声明には書かれている。

この情報漏洩を受けて、同団体は紛争や災害で離ればなれになった家族を再会させることを目的とした「Restoring Family Links(家族のつながりの回復)」プログラムを停止した。

赤十字社の広報担当者がTechCrunchに語ったところによると、盗まれた情報には、氏名、所在地、連絡先の他、同組織のプログラムの一部にアクセスするための認証情報も含まれていたとのこと。

今回のサイバー攻撃によって、51万5000人以上の氏名、所在地、連絡先などの個人情報が侵害された。被害を受けた人々の中には、行方不明者とその家族、親のいない子どもや親と離ればなれになった子ども、拘留者、その他の武力紛争や自然災害、移住により国際赤十字・赤新月社運動から支援を受けている人々が含まれる。また、これらのプログラムに従事する約2000人の赤十字社・赤新月社のスタッフおよびボランティアのログイン情報も流出した。赤十字の広報担当者であるCrystal Ashley Wells(クリスタル・アシュリー・ウェルズ)氏によれば、システムが細分化されているため、ICRCの他の情報が漏洩することはないという。

国際的な人権団体や災害救援機関がハッカーの標的となることは増えている。2021年、国連は正体不明のサイバー攻撃者にネットワークを侵害された。また、5月にMicrosoft(マイクロソフト)は、米国国際開発庁のメールアカウントがハッカー集団に乗っ取られ、数千人に悪意のあるメールが送信されたことを明らかにした。

画像クレジット:Alex Wong / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

消費者が自分のプライバシーデータを企業と共有、その見返りが得られるプラットフォームCadenが3.9億円調達

起業家のJohn Roa(ジョン・ロア)氏は、プライバシーの価値を信じている。2015年にデザインコンサルタント会社ÄKTAをSalesforceに売却した後、ロア氏はヨーロッパの島で数年間「世間から離れる」ことにした。

そして今、同氏はニューヨークに戻り、消費者が自分のデータを企業と共有し、その見返りとして報酬を得ることができるようにするスタートアップCaden(カデン)を立ち上げた。同氏はSalesforceで働いていたとき、長期休暇を始める直前に、データプライバシーの未来に関する論文の形で事業計画を書いたとTechCrunchに語っている。

事業計画を書いたときは「純粋に推論的なもの」だったとロア氏はいう。同氏は、サードパーティのデータ、つまり受動的に収集されたデータを保存する際に、規制によって企業に問題が生じると予想した。そして、ユーザーが自分の個人データを所有し、その使用について完全にコントロールして同意する「プライバシーファースト」の世界へ長期的には移行することを想定していた。

340万ドル(約3億9000万円)のプレシードラウンドでステルスモードから抜け出したばかりのCadenは、そうした世界を構築するためのロア氏の試みだ。このラウンドには、TechCrunchの親会社であるYahoo!の共同創業者Jerry Yang(ジェリー・ヤン)氏が、Starwood CapitalのBarry Sternlicht(バリー・スターンリヒト)氏、Citigroupの元CTO、Don Callahan(ドン・キャラハン)氏、その他のエンジェル投資家とともに参加した。

Cadenの創業者ジョン・ロア氏(画像クレジット:Caden)

同社は自らを「ゼロパーティ」データプラットフォームと呼んでいる。これは、ユーザーが自発的にのみブランドとデータを共有することを意味する。同社の主力製品の1つは、ユーザーが個人データを保存し、そこから導き出される洞察を見ることができる暗号化された「デバイス上の金庫」だ。この機能をロア氏は、Spotifyの「Year in Review」になぞらえたが、より広範な嗜好や行動パターンを網羅している。

Cadenの2つ目の主力製品はLinkと呼ばれるAPIで、ユーザーは自分のメールや銀行などのアカウントに接続し、データを抽出して金庫に保存することができる。ひとたび金庫に保存されると、ユーザーはCadenに保存されたデータの最終的な所有者であるため、いつでも信用する特定の企業にデータ使用の許可を与えたり、あるいは許可を取り消したり変更したりすることができる、とロア氏は話す。

同氏のチームは9カ月前にこの技術に取り組み始め、今後6カ月以内にベータ版のモバイルアプリを市場投入する予定だ。同氏はこのアプリを預金口座に例え「ユーザーは自分のデータに対する報酬をすぐに受け取り始めることができるようになる」と述べた。

米国の大多数の州では、2018年に制定されたカリフォルニア州消費者プライバシー法(CCPA)と同様の法案が成立、または検討されている。この法律では、消費者は企業による自身の個人情報販売をオプトアウトする権利が与えられている。企業は長年にわたってユーザーに関するサードパーティデータを収集してきたが、監査やコンプライアンスの要件が厳しいため、企業にとってサードパーティデータ収集は「資産というより負債」になっているとロア氏は話す。「ゼロパーティ」のデータは、ユーザーから直接取得するため、より正確で堅牢だと付け加えた。

Cadenは、まず消費者ブランドを引き付けたいと考えている。なぜなら、データへのより良いアクセスによって得られるものが最も大きいからだと、投資家のジェリー・ヤン氏はTechCrunchに電子メールで語った。

「データの収集と保存、洞察の推測、保護、サードパーティデータの購入、そしてそれらをすべて最新に保つためにどれだけの努力とリソースが必要でしょう。Cadenは多くの企業が自分たちでそれをせずに利用できるようなプラットフォームソリューションを作り出しているのです。最初の段階を超え、Cadenは消費者向け企業をしのぐことができると確信しています」とヤン氏はいう。

この分野に進出した企業は、Cadenが初めてではない。Datacoup(データクープ)は2012年に、ユーザーが自分のデータを企業に直接販売できるプラットフォームとして挑んだ。しかしユーザーがわずかな金額しか稼げなかったため、2019年に閉鎖に至った。消費者データは価値を評価するのが難しく、企業はその対価をできるだけ少なくする方法を探そうとする。

ロア氏は、Cadenが優れたユーザー体験を提供することでこうした課題を克服できると考えている。

一般にブランドは、ユーザーにデータを返したがらないが「今は、法律的には返さなければなりません。しかし、その手間を省く必要はありません」とロア氏は述べた。

「Cadenや他社がやっているのは、完全にユーザー主導のプロセスをより合理的なものにする方法を考案することです。ですので、サードパーティにデータを返すよう促す必要はないのです」と付け加えた。

また、直接的な支払いだけでなく、より良いブランド体験を通じて、消費者のために無形の価値を引き出したいと同氏は考えている。

「Cadenを使うことで、あなたの生活が少し楽しくなったり、あなたのためになることがあったり、話しかけられたりする。当社が注力している価値のポイントです。そしてこの点は、同業他社の多くが苦労しているところです」とロア氏は述べた。

画像クレジット:Caden

原文へ

(文:Anita Ramaswamy、翻訳:Nariko Mizoguchi

Crypto.comのCEOが数百の顧客アカウントがハッキングされたことを認める

Crypto.com(クリプト・ドットコム)のCEOであるKris Marszalek(クリス・マルザレック)氏は、米国時間1月19日に行われたBloomberg TVのインタビューで、約400の顧客口座がハッキングによって侵害されたと述べた。複数のCrypto.comユーザーが資金を盗まれたと主張してきたものの、これまで会社からの回答が曖昧だったへの苦情を受けて、侵害を認めるかたちとなった。

マルザレック氏は、ハッキングがどのように発生したかについての詳細は明らかにしなかったが、事件後「約13~14時間」で取引所がオンラインに戻り、影響を受けたアカウントはすべて払い戻されたとBloomberg TVに語った。

マルザレック氏の声明は、Crypto.comがハッキングが実際に発生したことを初めて公式に認めたことを意味する。同社は、米国時間1月16日にTwitterで「少数のユーザーが自分のアカウントで疑わしい行動を報告している」と指摘した後、同プラットフォームでの引き出しをまず一時停止した。また「用心のために」2要素認証を再設定するよう顧客に求めた。

同社はその後、顧客の資金が安全であるというやりとりの中で、発生した顧客の損失は同社がカバーするとの憶測を引き出し、何度もユーザーを安心させた。

損失額は1500万ドル(約17億1600万円)相当のETH(イーサリアム)に達する可能性があると、ブロックチェーンセキュリティプロバイダーのPeckShield(ペックシールド)は1月16日にツイートしている。PeckShieldはこのツイートで、資金の約半分がTornado Cash(トルネード・キャッシュ)に送られて「洗浄」されていると主張している。Tornado Cashは、イーサリアムのブロックチェーン上で「非保護の匿名取引」を提供しているとのこと。つまり、暗号がどこに送られたかを隠すことができるということだ。ブロックチェーンデータ会社OXT Research(OXTリサーチ)の別のアナリストは、このハッキングによって実際に取引所に3300万ドル(約37億7600万円)の損害が発生したのではないかと推測している。

損失の範囲について尋ねられたとき、マルザレック氏はBloomberg TVに、Crypto.comはまだ事件の事後分析に取り組んでおり、それは同社のブログに「数日中に」掲載されるだろうと述べた。

Crypto.comは世界第4位の暗号資産取引所だが、俳優のMatt Damon(マット・デイモン)を起用したバイラル広告や、ロサンゼルス・レイカーズとクリプト・ドットコム・アリーナの命名権7億ドル(約801億円)の購入などのスタントで、ここ数カ月、米国市場に強くその名を押し出してきた。自らを「最も急成長している」暗号取引所と呼び、今週初めには、この分野の初期段階のスタートアップを支援するためにベンチャーキャピタル部門を5億ドル(約572億円)に拡大した。今週のハッキングに関する影響は、米国での成長を一部停滞させる恐れがあるだろう。

画像クレジット:Crypto.com

原文へ

(文:Anita Ramaswamy、翻訳:Akihito Mizukoshi)

米民主党議員、ターゲティング広告を大幅に制限する新プライバシー法案を提出

米連邦議会の民主党議員3人が米国時間1月18日、Facebook(フェイスブック)やGoogle(グーグル)、大量に蓄積した個人情報を活用しターゲティング広告で収益を上げているその他のデータブローカー企業に不利益をもたらし、オンライン広告のあり方を劇的に変えようとする新しい法案を提出した。

この法案「Banning Surveillance Advertising Act(監視広告禁止法)」は、カリフォルニア州のAnna Esho(アンナ・エシュー)議員とイリノイ州のJan Schakowsky(ジャン・シャコウスキー)議員によって下院に、ニュージャージー州のCory Booker(コリー・ブッカー)議員によって上院に提出された。テック企業がユーザーに広告を提供する方法を大幅に制限し、個人情報の使用を全面的に禁止するものだ。

この法案が可決された場合「人種、性別、宗教などの保護された区分情報、およびデータブローカーから購入した個人データ」に基づくターゲティングはすべて禁止される。ただしプラットフォームは、都市や州レベルの一般的な位置情報に基づいて広告を表示することができ、また、ユーザーが利用しているコンテンツに基づく「コンテキスト広告」も認められる。

この法律が施行されれば、米連邦取引委員会(FTC)と州検事総長が違反行為を取り締まる権限を有することになり、故意に違反した場合には1件につき最高5000ドル(約57万円)の罰金が科される。

エシュー議員はこう述べている。「『監視広告』のビジネスモデルは、広告ターゲティングを可能にするために個人情報を収集し囲い込むという不適切な行為を前提としています。この悪質な慣行は、オンラインプラットフォームが社会に多大なコストをかけてユーザーのエンゲージメントを追い求めることを可能にし、誤った情報、差別、ライバル陣営を支持する有権者の弾圧、プライバシーの侵害など、多くの害悪を助長しています」。

本日、私は「監視広告禁止法」を@RepAnnaEshooと@RepSchakowskyとともに提出しました。この法律により、広告主は個人のオンライン行動を利用して利益を得ることを止めざるを得なくなり、その結果、私たちのコミュニティはより安全になります。

ブッカー上院議員は、ターゲット広告モデルを「略奪的で侵略的」と呼び、ソーシャルメディアプラットフォーム上で偽情報や過激主義を悪化させる慣行であると強調した。

また、検索エンジンのDuckDuckGo(ダックダックゴー)や、ProtonMailを開発したProton(プロトン)など、プライバシーに配慮した企業が、Electronic Privacy Information Center(EPIC、電子プライバシー情報センター)、Anti-Defamation League(名誉毀損防止同盟)、Accountable Tech、Common Sense Media(コモン・センス・メディア)などの団体とともにこの法案を支持した。

View this document on Scribd

画像クレジット:Bryce Durbin/TechCrunch

原文へ

(文:Taylor Hatmaker、翻訳:Aya Nakazato)

ニューヨークでジオフェンス令状とキーワード検索令状を禁止する法案の支持が高まる

ニューヨークで、州の法執行機関が論争の的になっている令状を使って、テクノロジー企業から住民の個人的なユーザーデータを入手することを禁止する法案が、最初に提出されてから2年後、再びチャンスを得ることになった。

この「Reverse Location Search Prohibition Act(逆位置検索禁止法案)」は2021年、ニューヨーク州議会と上院に民主党議員のグループによって再提出された。2年前に通過しなかったこの法案は、先日まず委員会に付託された。これは議場での投票が検討される前の最初の大きなハードルとなる。

この法案が可決されれば、米国の州法としては初めて、ジオフェンス令状やキーワード検索令状を禁ずることになる。これらの令状は、特定の時点に犯罪現場の近くにいたユーザーの位置情報データや、特定のキーワードを検索したユーザーの情報を、法執行機関がGoogle(グーグル)などのテクノロジー企業に提出するよう求めることができるというものだ。

ジオフェンス令状は「逆位置」令状とも呼ばれるもので、法執行機関が容疑者の特定に役立てるために、ユーザーの携帯電話やアプリから何十億もの位置情報を収集・保存しているGoogleに対し、犯罪が起きた際に一定の地理的範囲内にいた携帯電話の記録を引き渡すように、裁判官に令状を求めることができる。

ジオフェンス令状は、Google特有の問題である。法執行機関は、Googleの位置情報データベースが利用できることを知っており、Googleはそのデータベースを広告事業の推進に利用し、2021年は1500億ドル(約17兆円)近い収益を上げている。

Googleの検索についても同様だ。法執行機関は裁判官に令状を請求し、特定の時間帯に特定のキーワードを検索した個人の情報を、Googleに提供するよう求めることができる。あまり知られていないが、キーワード検索令状は広く使われており、Googleに限らず、Microsoft(マイクロソフト)やYahoo(ヤフー)からも、この種の法的手続きを用いてユーザーデータが収集されている

このような令状の使用は、電子フロンティア財団のようなインターネット人権団体から「漁猟」と呼ばれており、同財団はアメリカ自由人権協会(ACLU)とともにニューヨークの法案を支持している。この種の令状は、犯罪とは無関係の近くにいる無実の人々のデータも必ず収集するため、憲法違反と人権侵害であるとの批判がある。

TechCrunchは2021年、ミネアポリス警察がジオフェンス令状を使って、2020年に起きた警察官によるGeorge Floyd(ジョージ・フロイド)氏の殺害事件をきっかけに暴力行為に及んだとされる抗議者を特定したと報じた。その際、NBC News(NBCニュース)やThe Guardian(ガーディアン紙)の報道では、まったく無実の人々が、犯罪現場に近かったというだけで、暗黙のうちに犯罪の嫌疑をかけられていたことを明らかにした。

関連記事:ミネアポリス警察がGoogleにジョージ・フロイド氏抗議行動者特定のため個人データを要求

Googleが公表しているデータによると、ジオフェンス令状は、同社が受け取る米国内の法的要求の約4分の1を占めているという。位置情報や検索語を現実の容疑者に結びつける情報源として、Googleが法執行機関の間で広く知られるようになってから、同社は2020年に1万1500件以上のジオフェンス令状を処理したが、この慣行がまだ比較的初期の段階にあった2018年には1000件に満たなかった。

ニューヨーク州は、ジオフェンス令状全体の約2~3%を占めており、その数は数百件にのぼる。

関連記事:米国政府がグーグルに要求した令状の4分の1がジオフェンスに関するもの

ブルックリン中心部を代表するニューヨーク州の上院議員で、上院の法案を後援したZellnor Myrie(ゼルナー・マイリー)氏は、TechCrunchに次のように語っている。「私が代表を務めるブルックリンのような密集した都市コミュニティでは、単に犯罪現場の近くに住んでいたり歩いていたりするだけの何百人、何千人もの無実の人々が、個人の位置情報を引き渡すジオフェンス令状に巻き込まれる可能性があります。また、キーワード検索令状では、特定の言葉、名前、場所を検索したユーザーが特定されます。私たちの法案は、このような令状を禁止し、ニューヨーカーのプライバシーを守るものです」。

画像クレジット:TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

英国でMeta集団訴訟、競争法違反で約3520億円求める

Facebook / Meta(フェイスブック / メタ)が数年にわたり英国でソーシャルネットワークでの支配力を乱用していたとして、強力な訴訟ファンドの支援を受けた競争法の専門家が、同社に対し競争法違反で数十億ドルの集団訴訟を起こす。原告側が勝訴すれば、Facebookは31億ドル(約3520億円)の損害賠償金を英国ユーザーに支払わなければならなくなる。

集団訴訟は、Facebookの親会社であるMetaを相手取っていて、現地時間1月12日にロンドンにある英国の競争審判所に訴状が提出された。

この訴訟では、4400万人の英国のユーザーが2015年から2019年の間にデータを搾取され、Facebookはそうしたユーザーに賠償金を支払うべきだと主張するという異例のアプローチを取っている。Facebookの支配により、事実上、他に実行可能なソーシャルプラットフォームがなかったユーザーの個人データやプライベートデータをFacebookはすべて奪い、その見返りとしてユーザーが得たのは、実質的に友人や家族に赤ちゃんや子猫の写真を投稿できることだけだったと主張している。

ライザ・ロブダール・ゴームセン博士

この訴訟は、国際競争法の専門家であるLiza Lovdahl Gormsen(ライザ・ロブダール・ゴームセン)博士(写真上)が主導している。ロブダール・ゴームセン氏は、Facebookの市場支配について英国議会で意見を述べ、それに関する法的な学術論文も執筆した。

ロブダール・ゴームセン氏の訴えは、Facebook(最近Metaに社名変更した)が英国のFacebookユーザーに対して「不当な価格」を設定したという考えに基づいている。

Facebookにアクセスを許可するために設定された「価格」は、英国ユーザーの非常に貴重な個人データの放棄であり、その見返りとして、Facebookが巨額の収益を上げる一方で、ユーザーは単にFacebookのソーシャルネットワークプラットフォームへの「無料」アクセスを得ただけで、金銭的補償はなかった。

この主張で重要なのは、Facebookがユーザーのデータを自社プラットフォームに閉じ込めることによってだけでなく、Facebookピクセルで他のウェブサイトでもユーザー追跡し、ユーザーに関する深い「ソーシャルグラフ」データを生成することによって英国ユーザーを「囲い込んだ」ということだ。

ユーザープロフィールがCambridge Analytica(ケンブリッジ・アナリティカ)スキャンダルのような論争の中で何度も再浮上し、その市場利用を実証したことがロブダール・ゴームセン氏の主張を支えている。

ロブダール・ゴームセン氏の弁護士であるQuinn Emanuel Urquhart & Sullivan(クイン・エマニュエル・アークハート&サリバン)法律事務所は、Metaに書面でこの主張を通知している。ロブダール・ゴームセン氏は、影響を受ける人々、すなわち2015年10月1日から2019年12月31日の間に少なくとも1回はFacebookを利用した英国に居住するすべての人の代表を務める。

この「オプトアウト」集団訴訟は、Metaに対するこの種のものとしてはイングランドおよびウェールズでは初だ。オプトアウト訴訟であるため、Facebookの400万人の英国ユーザーは、損害賠償を求めるために積極的に訴訟に参加する必要はなく、訴訟からオプトアウトすることを選ばない限り、訴訟に加わることになる。

この訴訟に対する資金援助は、世界最大の訴訟資金提供者の1つであるInsworth(インスワース)が行っている。Quinn EmanuelとInnsworthは、過去にこの種の消費者集団訴訟を起こした実績がある。

Metaに関してはより広い背景があり、同社は米国での消費者集団訴訟、世界中での規制措置にも直面している。米連邦取引委員会(FTC)が起こした反トラスト訴訟ではInstagram(インスタグラム)とWhatsApp(ワッツアップ)のプラットフォームから分離される可能性がある。

ロブダール・ゴームセン氏は声明の中で、次のように述べている。「登場してからの17年で、Facebookは英国で友人や家族と確実に1カ所でつながることができる唯一のソーシャルネットワークとなりました。しかし、Facebookには暗い面がありました。市場支配力を乱用し、英国の人々に不当な利用規約を課し、個人情報を搾取していました。私は、Facebookにデータを搾取された4400万人の英国人のために、数十億ポンド(数千億円)の損害賠償を確保すべく、この裁判を起こします」。

筆者はロブダール・ゴームセン氏と電話で話したが、その際、Twitter(ツイッター)やMyspace(マイスペース)のような他のソーシャルネットワークが利用可能だったとFacebookは主張することができるかどうか尋ねた。

「TwitterやSnapchat(スナップチャット)などでは、人々は家族や友人と同じようにつながることができないと思います。Facebookはかなりユニークなやり方をしています」。

今回の訴訟は、Facebookピクセルが他のウェブサイトにも遍在していることにも基づいている。それがこの訴訟でどのような意味を持つのか、筆者は尋ねた。

「自分がFacebookのユーザーだと想像してください。自分のデータがFacebook.comで利用されることは承知しているかもしれません。しかし、ピクセルは、あなたがサードパーティのウェブサイトを利用するときに意味を持ちます。そのサードパーティのウェブサイトはもちろんFacebookとは何の関係もありません。つまり、Facebookは、あなたが実際にサインアップしたという以上に、ずっとたくさんのあなたのデータポイントを作り出しているのです」とロブダール・ゴームセン氏は述べた。

ユーザーは設定の奥深いところでFacebookのプラットフォームから自分自身を削除することは可能だが、実際には、ユーザーの大多数は削除方法がわからず、それが可能であることさえ知らない、と同氏は主張している。

ロブダール・ゴームセン氏は、英国国際比較法研究所(BIICL)の上級研究員、競争法フォーラムのディレクター、国際競争ネットワークの非政府顧問、Journal of Antitrust Enforcement(OUP)の諮問委員会の委員を務めている。

TechCrunchはFacebookにコメントを求めたが、記事公開時点では回答はなかった。

画像クレジット:Dr Liza Lovdahl Gormsen

原文へ

(文:Mike Butcher、翻訳:Nariko Mizoguchi