Privacy | SEO-LPO.net

Siriの録音が定期的に契約企業に送られて分析されていた

内部告発者が持ち込んだその情報をThe Guradian紙に対して確認したApple（アップル）は、ユーザーの音声の録音を秘密裏に契約企業と共有していることにより、GoogleやAmazonなどのいかがわしい企業の仲間入りをしてしまった。その人物は、Siriのクエリは常時人間リスナーたちに送られ精査されていると告げた。そのことは、Appleのプライバシーポリシーに明記されていない。

それらの録音からAppleのIDはわからないそうだが、数秒間の中に個人的な内容が含まれていることもあり、誰であるかがバレてしまうこともある。たとえば位置情報やアプリのデータ、知人の詳細情報などだ。

ほかの企業と同じようにAppleも、このデータはサービスを改善するために収集し人間が分析していると言う。そして分析はすべて、安全な施設で守秘義務を負った者が行っていると表明している。そしてほかの企業と同じようにAppleも、それをやってることを開示を強制されるまでは言わなかった。

AppleはThe Guardianに、毎日のクエリの1%未満が送られていることを明らかにした。Appleはこれまで、Siriのクエリの量が多いことを常に自慢してきたから、1%という数字は慰めにならない。何億台ものデバイスがその機能を頻繁に利用しており、控えめに見積もってもその1%未満はたちまち数十万には達するだろう。

SiriのリクエストのAppleの言う「小部分」は、ランダムに選ばれているようだ。内部告発者が言うには「医師と患者の会話やビジネスの取り引き、犯罪臭のある取り引き、性的な関係などなど、プライベートな会話の数え切れないほど多くの断片が含まれている」そうだ。

リスナーは、Siriの起動が意図的でなく偶然だった場合を聴き分けるよう訓練されている。しかしそういう偶然の音声にも、IDは分からないけれども長くて大量の個人情報が含まれていることがある。

関連記事：Google is investigating the source of voice data leak, plans to update its privacy policies（Googleが音声データのリークを調査中、未訳）

つい先日も、Googleがクリップを分析していたことが明らかになった。そしてAlexaのクエリを録音しているAmazonは、そのオーディオを無期限に保存している。

Appleのプライバシーポリシーは、Siriのクエリのような非属人情報についてこう述べている:

検索のクエリも含め、私たちのサービスに対するあなたの使い方の詳細を集めて保存することがあります。この情報は、私たちのサービスが提供する結果の適切性を改善するために利用することがあります。インターネット上の私たちのサービスの品質を確かなものにするための、ごく限られた場合以外には、そのような情報にはあなたのIPアドレスが付随しません。

上で「検索のクエリ」と言っているのは、おそらくクエリの録音も含むのだろう。そして上では、一部のデータをサードパーティと共有する、と言っている。しかし、「あなたがあなたのスマートフォンに尋ねる質問が録音されて第三者と共有されることもある」とは上のどこにも書いてない。ユーザーがそれをオプトアウトする方法も、明記されていない。

Appleはプライバシーと透明性の重視を常に力説しているから、これは重大かつ明らかに意図的な手抜きだろう。今Appleに問い合わせているので、情報が得られ次第この記事をアップデートしよう。

[原文へ]

（翻訳：iwatani、a.k.a. hiwa）

プロバイダーの業界団体がMozillaをインターネットの悪党と非難

インターネットサービスプロバイダーの業界団体がFirefoxブラウザーの開発元であるMozillaを、DNSのセキュリティ規格をサポートしているために「インターネットの悪党だ」と決めつけた。

イギリスのインターネットサービスプロバイダーの業者団体であるInternet Services Providers’ Association（ISPA）が名指ししたのは、Mozillaがブラウザーへの実装を計画しているセキュリティ機能だ。彼らによるとそれは、ユーザーに「英国のフィルタリング義務やペアレンタルコントロールをバイパスすることを許し、英国におけるインターネットの安全性基準を毀損する」からだ。

Mozillaは昨年に「少数のユーザーを対象にDNS-over-HTTPS（日本語解説）をテストする」と発表した。ウェブサイトを訪ねるときは常に、それがHTTPSのサイトであってもウェブのアドレスをコンピューターが理解できるIPアドレスに変換する。DNSのクエリは通常暗号化されていない。しかしその問題のセキュリティ規格はアプリケーションのレベルで実装され、MozillaはDNS-over-HTTPSを使用する初のブラウザーメーカーになる。

それはDNSのクエリを暗号化することによってDNSリクエストを中間者攻撃から護り、リクエストをハイジャックして被害者を悪質なページに誘うことができないようにする。DNS-over-HTTPSには、パフォーマンスを上げる効果もあり、DNSクエリや全体的なブラウジング体験を高速化する。

しかしISPAは、DNS-over-HTTPSが英国の現在のウェブサイトブロック体制に即していない、と見ている。英国の法律では、著作権や商標権を侵害していたり、テロリストの素材や児童虐待の画像を含むウェブサイトはブロックされるとしている。ISPAの主張では、DNSクエリを暗号化するとインターネットプロバイダーが利用者のインターネットアクセスをフィルターすることがより困難になる。

ISPAだけでなく英国の諜報機関GCHQや、英国のインターネットブロックリストを管理しているInternet Watch Foundationも、ブラウザーがDNSの暗号化を実装することを批判している。

ISPAがMozillaを名指ししたことはたちまち、セキュリティコミュニティからの怒りに火をつけた。しかしソーシャルメディア上の反発の嵐の中でISPAは、その立場に強く固執した。同団体は「DNS-over-HTTPSをデフォルトにすることはオンラインの安全性とサイバーセキュリティと消費者の選択にとって有害である」と主張する一方で「さらなる議論を歓迎する」とも言った。

Mozillaには味方もいる。インターネットプロバイダーのAndrews & Arnoldは、非営利事業/団体支援の一環としてMozillaに2940ポンド（約40万円）寄付し、こうツイートした。「この金額は、弊社がISPAの会員だったら払うであろう会費と同額である」。

MozillaのスポークスパーソンであるJustin O’Kelly（ジャスティン・オーケリー）氏はTechCrunchに対し「 ISPの業界団体が、インターネットのインフラストラクチャの古くからの欠陥に対する改善措置を誤解していることは意外でもあり、失望している」とコメントした。

「彼らの主張とは逆に、DNSをよりプライベートにすることはコンテンツのフィルタリングやペアレンタルコントロールを妨害しない。DNS-over-HTTPS（DoH）は英国市民に真のセキュリティを提供する。私たちの目標はより安全なインターネットを構築することであり、私たちは今後もそのやり方に関して、イギリスの信頼性ある利害関係者らとの真剣で建設的な会話を継続していく」とオーケリー氏。

彼は「当面英国でDNS-over-HTTPSをデフォルトにする計画はないが、ヨーロッパにおけるDNS-over-HTTPSのパートナーを探して、この重要なセキュリティ機能をそのほかのヨーロッパの人びとに幅広く提供していきたい」とも語る。

DNS-over-HTTPSの展開はMozillaが初めてではない。昨年、CDNなど各種インターネットインフラサービスを提供しているCloudflareが、プライバシーにフォーカスしたDNSサービス1.1.1.1のモバイルバージョンをリリースし、そこにDNS-over-HTTPSを含めた。それより前にはGoogle傘下のJigsawが検閲撃退アプリInfraをリリースし、DNSの外部からの操作を防ごうとしている。

Mozillaは、FirefoxにおけるDNS-over-HTTPSの全面展開の日程をまだ決めていない。

[原文へ]

（翻訳：iwatani、a.k.a. hiwa）

Firefoxがユーザーを追跡から護る機能を強化しパスワードマネージャーをデスクトップに導入

もはや誰もが知っているように、Mozillaが再活性化したウェブブラウザーのFirefoxは、プライバシーが最大の差別化要因だ。米国時間6月4日、Firefoxのチームはそのメジャーリリースのひとつとして、広告主などがウェブ上でユーザーを追跡できないようにし、またFacebookにもそれができにくくしたバージョンを発表した。今回チームはさらに、そのパスワードマネージャーのデスクトップバージョンを立ち上げ、またデータ侵害通知サービスFirefox Monitorの一部改良を行った。

Firefox担当の上級副社長であるDave Camp氏が本日のアップデートの理由についてこう述べている。「昨年はいくつかのグローバルなスキャンダルがあって、人びとはますます身の危険を感じるようになっているので、テクノロジー企業もプライバシーの重視を口先では大声で言うようになった。残念なのはそれによって、テクノロジー企業自身の気づきが涵養されなかったことだ。Firefoxではつねに、口先以上のことをしている。本当に人々を護るには、プライバシーを再優先する新しいスタンダードの確立が必要だ」。

サードパーティの追跡者やクッキーがウェブ上でユーザーをつけ回すことを防ぐ「Enhanced Tracking Protection」（強化版追跡保護）のローンチも、Firefoxとしては当然のことだ。Mozillaはかなり前から、追跡（トラッキング）対策について語っていた。以前も同様の機能はあったが、プライベートウィンドウに限られていた。それは役に立ったしMozilla自身のの能力テストにも貢献したと思われるが、完全なものではなかった。しかしこれからは、新しいユーザーはEnhanced Tracking Protectionがデフォルトで有効になり、既存のユーザーは自分で有効にするか、Firefoxの次のマイナーアップデートを待てばいい。

ブラウザーの設定メニューに、これらの新しい機能が新たなコントロールの集まりとして登場する。またURLバーには盾型のアイコンが出るので、それをクリックしてもよい。デフォルトではEnhanced Tracking Protectionにより、Disconnectのリストに基づいてサードパーティの追跡クッキーはすべてブロックされる。ブロックするサイトと、追跡を許すサイトを、分けて設定することもできる。追跡を許さないと見られないサイトもあるからだ。

また、ブラウザーに組み込まれているわけではないが、今回Facebook コンテナエクステンションもアップデートされた。それにより、Facebookの「共有」や「いいね」ボタンをコンテナに入れてデフォルトで無効にできる。Facebookは、ユーザーがロックアウトされたときのための、便利なシャドウプロフィールを作れなくなる。Facebookのユーザーを勝手に作ることもできない。

さらに今日のアップデートで、パスワードマネージャーのLockboxがデスクトップに拡張された。これまではモバイルアプリのみだったが、このたび、そのFirefoxのデスクトップエクステンションがローンチされた。そして、名前がLockwiseになった。単純明快なパスワードマネージャーだが、現時点ではDashlaneや1Password、LastPassなどほど機能豊富ではない。

そして最後のアップデート項目として、Firefox Monitorのダッシュボードが新たに提供された。これは侵害されたデータの中にユーザーのメールアドレスがあったことを警告し、今後の侵害に備えるようアドバイスする。ダッシュボードがあると、どのメールアドレスがモニタされているのか、漏洩した可能性のあるのはどれか、などが目で見てわかるようになる。

[原文へ]

（翻訳：iwatani、a.k.a. hiwa）

米不動産保険大手から8億8500万件の顧客データが露出

セキュリティ関連の記者であるBrian Krebsからの最新ニュースだ。Fortune 500社の不動産保険大手であるFirst Americanが、同社のウェブサイトのバグのため、およそ8億8500万件の機密記録が露出した。

Krebsの記事によると、同社のウェブサイトは、銀行口座番号、勘定明細、住宅ローンと税の記録、社会保障番号、そして運転免許証の画像をシーケンシャルな形式で保存し露呈していた。そのため、ドキュメントのウェブアドレスを知っている者が簡単にアクセスできるだけでなく、アドレスの中の数字をひと桁変えるだけで他人のドキュメントも見られた。

パスワードなど、他人のドキュメントへのアクセスを防ぐ認証の仕組みはまったくなかった。

Krebs の記事は、いちばん古いドキュメントの番号が「000000075」で、数が大きいほど新しいドキュメントだと言っている。

露出した中で最も古いのは、2003年のドキュメントだそうだ。

彼の記事では「露出したファイルの多くは、住宅などの物件のバイヤーとセラーの間の電信によるトランザクションの記録で、銀行の口座番号などの情報が含まれている」と書かれている。First Americanは米国最大の不動産権原保険のひとつで、2018年の収入が58 億ドルだ。

First AmericanのスポークスパーソンMarcus Ginnaty氏が、本誌TechCrunchに次のように述べた:

5月24日にFirst Americanは、そのプロダクションアプリケーションのひとつに顧客データへの無許可アクセスを可能にする設計不良があることを知った。セキュリティとプライバシーおよび守秘性は最高位のプライオリティであり、私共には顧客の情報を保護する義務がある。したがって、弊社は直ちに対策措置を取り、アプリケーションへの外部アクセスを遮断した。私共は現在、これが顧客の情報の安全に及ぼした影響を査定している。私共は外部の科学捜査企業を起用して、弊社顧客データへの実害のある無許可アクセスがなかったことを確認した。

セキュリティ研究家のJohn Wethington氏よると、ウェブサイトを落としてもドキュメントの多くは検索エンジンにキャッシュされている。しかし本誌TechCrunchは、データがまだ読める状態である間は、露出したデータへのリンクを差し控える。

これは住宅ローンのデータ侵害としては、ここ数カ月で最新の事件だ。

TechCrunchは1月の独占記事で、金融や銀行関連の2400 万件あまりのドキュメントが、パブリッククラウドのストレージサーバー上で不注意により露出して、誰でもアクセスできる状態になったと報じた。そのデータには住宅ローンや一般ローンの契約書をはじめ、さまざまな機密情報が含まれていて、個人の財務状況が丸裸になってしまうのだ。

First Americanからの所見によりこの記事をアップデートした。

関連記事: Millions of bank loan and mortgage documents have leaked online（膨大な量の金融関連ドキュメントが漏洩、未訳）

[原文へ]

（翻訳：iwatani、a.k.a. hiwa）

WikiLeaksの取り調べに協力を拒否したチェルシー・マニングがまた拘置所へ

バージニア州アレクサンドリアの拘置所から1週間釈放されたチェルシー・マニング（Chelsea Manning）が、再び収監された。マニングは3月に、WikiLeaksに関する大陪審の取り調べ応じなかったため拘置されていた。

マニングは大陪審における自分の立場を明確にし、自分の主義に基づいてその訴訟手続きへの協力を拒否した。先週の釈放は1月に発行された召喚状の期限切れのためだが、再び召喚状を発行した大陪審そのものはあと18カ月の期限がある。

マニングの弁護士であるMoira Meltzer-Cohen氏は、5月17日のことについてこう言っている。「今日の審理の結果にはもちろんがっかりしている。でもそれは前回と同じく高圧的で一方的な制裁だ。つまり、まったく効果はない」。

米陸軍の情報分析官だったマニングは、25万件あまりの外交電信と大量の軍事的現地情報、および米軍による空襲の悲惨な映像を、2010年に機密共有団体WikiLeaksに漏洩した。マニングはそれに対する20あまりの罪状のほとんどで有罪とされたが、退任前のオバマ大統領が彼女の刑を減刑した。

先週釈放されたマニングはYouTubeビデオをシェアし、その中で、大陪審に逆らう倫理的根拠を述べている。

彼女が譲歩することはありえないと思われたため、Anthony Trenga判事は異例の選択としてマニングに、非協力が続くならば勾留30日以降は1日500ドル、60日以降は1日1000ドルの罰金を課すとした。先週短期間自由になるまでのマニングは2カ月拘置され、独房監禁が拘禁条件の一部のようだった、と弁護団は言っている。

Meltzer-Cohen氏はこう言っている。「大陪審とこのような訴訟手続きは、報道への脅威が拡大していることを広く知らしめ、本来正しくあるべき司法のシステムを政府自身の法によって毀損する方向へ機能している」。

つかの間の自由の間にマニングは、Twitchで「エーペックスレジェンズ」と「レッド・デッド・リデンプション2」をストリーミングした。

関連記事: ハッキング容疑でウィキリークス創設者を逮捕、米が引き渡しを要請

画像クレジット: ERIC BARADAT/AFP/Getty Images

[原文へ]

（翻訳：iwatani、a.k.a. hiwa）

WikiLeaksの機密文書暴露に協力したとされる元米軍兵士チェルシー・マニングが一時的に釈放

WikiLeaksに協力して大量の米政府機密文書を漏洩したとされる元米軍兵士チェルシー・マニング（Chelsea Manning）が、彼女のWiliLeaksとの関係を調べている大陪審への協力を拒否して収容されていたバージニア州のアレクサンドリア拘置所から2か月ぶりに釈放された。マニングが米国時間5月9日に出所したことは、Gizmodoが最初に報じた。

マニングは法廷侮辱罪と見なされ、バージニア州東部地区の大陪審の期限が切れるまで拘留された。釈放の前にマニングには、5月16日木曜日に始まる二度目の大陪審への召喚状が発行された。

彼女の弁護団がブログでこう述べている。「チェルシーは質問に答えることの拒否を続けるだろう。そしてあらゆる法的防御手段を駆使して、彼女には証言を拒否する正当な理由があることを地裁判事Trengaに証明するだろう」。

[二度目の大陪審も質問は同じである]

** Feds released Chelsea a few hours ago after Grand Jury expired – @EDVAnews prosecutors subpoenaed her to appear a 2nd time for a different grand jury – but for same questions – on May 16th – official statement from her pending https://t.co/BkXDxnrLmZ

— Chelsea E. Manning (@xychelsea) May 10, 2019

マニングはこれまで一貫して、連邦大陪審に協力する意思がないことを表明してきた。そのため、来週彼女が最新の召喚状に応じて出頭したときも、再び拘置所に戻されて拘留される可能性が極めて高い。

先月マニングはこう述べている。「今回も、そしてほかのどんな大陪審にも、私はお役に立てない。家に帰りたいけど、彼らは私の拘束を続けることができる。それによって、どんな有害な結果が生じてもね。でもギブアップはしないわ」。

[原文へ]

（翻訳：iwatani、a.k.a. hiwa）

無料パスワードマネージャー「Firefox Lockbox」がiOSに次いでAndroidにも

Mozilla（モジラ）がウェブブラウザーのFirefoxのユーザーのために作った無料のパスワードマネージャーが米国時間3月26日、Androidにやってくる。そのFirefox Lockboxと呼ばれる独立のアプリケーションでユーザーは、自分のFirefoxブラウザーに保存されている自分のログイン情報に、自分のモバイルデバイスから簡単にアクセスできる。

このアプリは、1PasswordやDashlane、LastPassのような本格的なパスワードマネージャーではない。パスワードの編集や、複雑なパスワードの提案、データ侵犯によりパスワードが漏洩した可能性の通知といった機能は用意されていない。

でも、このアプリは無料だし、自分のパスワードをそこらの保護されてないテキストファイルにメモしておく方法に比べるとずっと安全だ。設定により、LockboxをAutofillサービス（パスワード自動入力）として利用することもできる。

ただしこのアプリは、あくまでもFirefoxのコンパニオンだ。LockboxにあるパスワードはForefoxブラウザーでアクセスするWebアプリケーションには安全にシンクするが、任意のアプリケーション名を入力して指定することはできない。しかもそのアプリケーションは、パスワード（だけ）でなく顔認識や指紋入力で保護されているかもしれない。なお「パスワードはMozillaにも読めない方法で暗号化される」とFAQに書いてある。

Firefox Lockboxは、Mozillaが今はなきTest Flightプログラムで開発したプロジェクトのひとつだ。それはMozillaがいろんなことの実験をやるプログラムだったが、その中のいくつかは公式のプロダクトになっている。最近立ち上げたファイル共有アプリFirefox Sendなどもそうだ。

そのほかFirefox Color⁩や⁨Side View⁩、⁨Firefox Notes⁩、⁨Price Tracker、⁨Email Tabs⁩などもTest Flight出身で現役のアプリないし機能だが、すでに開発は終了し、今後はときどきメンテナンスリリースが出る程度らしい。今のMozillaは、便利なユーティリティよりも「プライバシーファースト」のソリューションに力を入れている。

Mozillaによると、iOS用のLockboxはすでに5万回あまりダウンロードされており、それが今日ついにAndroidにもやってきたのだ。

AndroidバージョンはGoogle Playで無料でダウンロードできる。

[原文へ]

（翻訳：iwatani、a.k.a. hiwa）

AppleがGroup FaceTimeの盗聴バグを見つけたティーンエイジャーにごほうび

Appleによると同社は、かかってきた起呼を取らなくても盗聴や盗視ができるGroup FaceTimeのバグを最初に見つけたティーンエイジャーに報酬を払うそうだ。

そのバグを最初にAppleに報告したのは14歳のGrant Thompsonと彼の母親だが、しかし彼らが同社との接触に手間取っている間にバグはよそでも見つかり、ソーシャルメディア上でヴァイラルに広まった。

支払いはAppleのバグ報奨制度(bug bounty)の一環として行われる。それは各社が、バグや脆弱性の発見者に対して支払っている謝礼金の制度だ。Thompsonの場合Appleは、彼の教育費援助もするらしいが、その額は明かされていない。

Appleのスポークスパーソンは本誌にこう語った: “報告されたバグに対応しただけでなく弊社のチームはFaceTimeサービスの全面的なセキュリティ監査を行い、FaceTimeのアプリとサーバーの両方にさらなるアップデートを行ってセキュリティを改善した。それには、FaceTimeのLive Photos機能の、これまで見つけられていなかった脆弱性も含まれる”。

そして、“最新のソフトウェアへのアップグレードをまだ行っていない顧客を保護するために、サーバーをアップデートして、古いバージョンのiOSとmacOSのFaceTimeではLive Photos機能をブロックした”。

AppleはiOS 12.4.1を木曜日（米国時間2/7）に展開し、Appleはそれについて、“重要なセキュリティアップデートなのですべてのユーザーに推奨される”、と言っている。同社のセキュリティ勧告のページも、バグの発見者としてThompsonの名をクレジットしている。

関連記事: Update to iOS 12.1.4 to re-enable Group FaceTime…iOS 12.1.4アップデート（未訳）

画像クレジット: TechCrunch

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

Googleが通話ログやSMSのメッセージにアクセスする未審査Androidアプリを削除

Googleが今、通話ログやSMSのメッセージにアクセス許可を求めるアプリで、Googleのスタッフが検査していないものを削除している。

Googleによるとこれは、機密性のある通話やテキスティングのデータにアクセスするアプリをGoogle Playからなくす努力の一環だ。

Googleは10月に、デベロッパーには新しくて安全な、プライバシーに配慮したAPIを使ってほしいので、今後Androidアプリがレガシーのパーミッションを使うことを禁止する、と発表した。これまでは多くのアプリが、通話ログやテキスティングのデータへのアクセスをリクエストして、ソーシャルな共有やスマートフォンのダイヤラーをリプレースするために、二要素認証のコードを調べようとしていた。しかしGoogleの認識では、このレベルのアクセスを一部のデベロッパーが悪用し、パーミッションを誤用して機密データを集めたり、単純に間違った扱い方をしたりしている。

GoogleでGoogle Playのプロダクト管理を担当しているPaul Bankheadは次のように語る: “今度の新しいポリシーは、アプリがその主要な用途を実現するために機密データへのアクセスを要し、ユーザーもそのことを理解している場合のみ、これらのパーミッションを許可するようにしていくためだ”。

通話やテキスティングのデータへのパーミッションを求めることを今後も維持したいデベロッパーは、パーミッション宣言に記入しなければならない。

Googleはそのアプリと、アクセス許可を維持したい理由を調べる。なぜこのデベロッパーはアクセスをリクエストするのか、それによるユーザーの利益は何か、逆に、通話やテキスティングのデータにアクセスされることのリスクは何か。

Bankheadによれば、新しいポリシーでデータアクセスが禁じられると、実用性がなくなるアプリもありえる。

Googleによると、すでに数万のデベロッパーがアプリのニューバージョンを提出しており、その中には通話やテキスティングのデータへのアクセスを不要にしたアプリもある。それ以外のアプリは、パーミッション宣言を提出した。

宣言を提出したデベロッパーは3月9日までに、承認またはパーミッションの削除要請を受け取る。どんな用途なら承認される（データアクセスが許される）のかに関してGoogleは、承認される用例のリストを用意している。

これまでの2年間だけでも、Androidアプリやそのほかのサービスによる、通話やテキスティングデータの重大なリーク事件がいくつかあった。2017年の晩くには、人気の高いAndroidのキーボードアプリai.typeが、ユーザー3100万人という大きなデータベースを露出し、3億7400万もの電話番号などが盗まれた。

Another huge database exposed millions of call logs and SMS text messages

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

ファイルマネージャーアプリES File ExplorerはAndroid機のデータを外部に露出する

とても多くのユーザーが使っているAndroidの人気アプリが、なぜバックグラウンドで秘かにWebサーバーを動かしているのだろうか？

そのES File Explorerは、2014年以来5億以上ダウンロードされた、と豪語している。これまででいちばん多く使われたアプリのひとつだ。シンプルなので、誰にも好かれた。それは単純なファイルエクスプローラーであり、ユーザーは自分のAndroidスマートフォンやタブレットのファイルシステムを調べて、ファイルやデータやドキュメントなどにアクセスできる。

しかしこのアプリは、楽屋裏で機能最小限のWebサーバーを、そのデバイスの上で動かしている。それによってAndroidデバイスの全体をオープンにしてしまい、データ窃盗などの攻撃の、為すがままになる。

フランスのセキュリティ研究家Baptiste Robert、ハンドル名Elliot Aldersonが先週、外部に露呈しているポートを見つけ、その発見を水曜日（米国時間1/16）にツイートで発表した。ツイートする前に彼は、本誌TechCrunchに、露呈しているポートを使ってデバイスからデータを盗み取れることを、デモしてくれた。

“そのローカルネットワークのすべてのデバイスが、データをそのデバイスにインストールされてしまう”、と彼は言った。

彼が書いた簡単なスクリプトで、同じネットワーク上の別のデバイスから、画像やビデオやアプリの名前、そしてメモリカード上のファイルさえ引っ張り出せることを、彼はデモした。被害者のデバイス上でアプリをリモートで立ち上げることすらできる。

彼はそのスクリプトを、テスト用に本誌TechCrunchに送ってきた。要らないAndroidスマートフォンを使って、彼が見たということを確認した。Robertによるとアプリのバージョンは4.1.9.5.2で、それより前のものにオープンなポートがある。

彼曰く: “いいことではないね”。

ES File Explorerが動いているAndroidデバイスと同じネットワーク上のデータを取得するスクリプトをセキュリティ研究者が作った（画像は提供されたもの…この記事の筆者はスクリプトを実際に動かしていない）。

ES File Explorerのメーカーにコンタクトしたが、まだ返事はない。何か来たら、この記事をアップデートしよう。

これはインターネット上の悪人が一般的に悪用できる欠陥ではないから、やられる心配は少ない。悪事を働こうとする奴は、被害者と同じネットワークにいなければならない。つまり、同じWi-Fiネットワーク、ということだ。でも万一そいつがネットワークのパーミッションを持っていたら、こんな出来損ないのアプリを悪用してデータを盗むことができる。だから安心はできない。

それは、HTTPプロトコルを使ってビデオを他のアプリにストリーミングするために使われる、という合理的な説明もある。しかし一方、露出したポートという問題を過去に経験したことのある人は、それは危ない、と言う。そのアプリは、こんなことも言っている: “この機能を有効にすれば、これによってあなたのスマートフォン上のファイルをあなたのコンピューターから管理できる”。…しかし‘あなたのコンピューターから’とは限らない。

そして、アプリを開いた途端にそれらのファイルは、そのWebサーバーが通信のために開いたポートによって外部へ露呈するのだ。そのことが、分からない人が多いだろう。

関連記事: サイバーセキュリティ強化のためにチェックすべきトップ5

画像クレジット: TechCrunch

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

Googleは顔認識技術を外部に売らないと決定…悪用を防ぐため

このところテクノロジー企業に対する、顔認識技術に関する強力な規範の要請が厳しい。先頭を切ったMicrosoftは厳格なポリシーを約束し、そのほかの企業にも同社の後に続くことを求めた。

そしてGoogleのSVP Kent Walkerは、アジアの医療に人工知能を活用することの利点を挙げたブログ記事の終わりの方で、同社が顔認識技術のAPIを売らないことを確約している。そして彼は、この技術の悪用を心配する声を列挙している。

Walkerは曰く: “顔認識技術は、行方不明者を見つけるなど、さまざまな良いアプリケーションの可能性がある。しかし多様な使い方のあるそのほかの多くの技術と同様に、顔認識技術の利用には細心の注意が必要であり、一定の原則と価値観に従う必要がある。そしてそれにより、悪用と有害な結果を避けなければならない。われわれは今後も多くの企業との協力関係を継続して、これらの課題を特定し対策を講じなければならない。そして一部の他社と違ってGoogle Cloudは、重要な技術的および政治的疑問がクリアされるまでは、顔認識の汎用APIを外部に提供しないことを選んだ”。

GoogleのCEO Sundar Pichaiは今週のThe Washington Post紙のインタビューで、AIの倫理をめぐる同様の懸念の高まりについて述べた: “テクノロジーは、とにかく作ってだめだったら直す、という従来のやり方をやめるべきだ。そんなやり方は、もうだめなのだ。長期的には、人工知能は核よりもずっと危険なものになりえる”。

顔認識技術をめぐって、とくにそのプライバシー問題と人種差別的問題を批判してきたACLUは、ピチャイの声明を賞賛するとともに、大企業に対しては今後も圧力をかけ続けなければならない、と言っている。

ACLUのテクノロジー担当部長Nicole Ozerが声明で述べている: “Googleが人権を侵害する顔監視プロダクトを今後も作らないし売らないようにするために、継続的に圧力をかけ続ける必要がある。またAmazonやMicrosoftに対しても、危険な顔監視技術を政府に提供しないよう、これから何度も呼びかけていく必要がある。企業には、自分たちの製品がコミュニティの攻撃に使われたり、人間の権利と自由を侵さないようにする責任がある。責任はすべての企業にある、という古い言い訳は、もはや通用しない”。

同団体はとくに、AmazonのRekognitionソフトウェアを厳しく批判している。今週同団体はまた、顔認識技術を使って“不審者”を見分けるインターホンで同社が特許を申請したことを、やり玉に挙げた。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

LinkedInが欧州データ保護規則（GDPR）に違反。非メンバーのアドレス1800万件をFacebookの広告ターゲティングに使用

仕事のためのネットワークで6億人近いメンバーをもつLinkedInは、不気味なほど立ち入った人とのつながりを推奨してくることで、数々批判を受けてきた。なぜ、どうやってLinkedInがそんな推奨情報を知り得たのかは未だ明らかになっていない。

このたび欧州当局とのやりとりの結果、欧州におけるLinkedInのGDPR（一般データ保護規則）の実施状況は、不気味なだけでなく明確なデータ保護規則違反だったことかわかった。LinkedInは1800万件のメールアドレスを不正利用していた。

アイルランドのデータ保護委員会（DPC）が11月23日に発行した報告書には、Microsoft傘下のLinkedInによる自社ソーシャルネットワークのメンバー以外の人々の情報取扱いについて書かれている。

要約すると、LinkedInは登録者を増やすために、不当な方法で1800万人のメールアドレスを使用したことを認めた。その後LinkedInはそのような慣行を中止した。

まず、DPCは、米国のLinkedInがメンバー以外の1800万人のメールアドレスを取得し、これを使ってFacebookでターゲット広告を配信した。その際に必要となるデータ管理者であるLinkedIn Irelandの指示を受けていなかった。

これには経緯がある。LinkedInやFacebookらはGDPRの発効に際してそれまでアイルランドで実施されていたデータ処理を米国に移管した。

同社はこれを運用を「効率化」するためだと主張したが、非EUユーザーのデータ利用に関するGDPR責任をすこしでも回避するためだという批判を浴びた。

結局問題は解決し、「LinkedInは問題を起こしたユーザーデータ処理を直ちに中止した」とDPCは言った。、

次にDPCは、追加調査を行い、LinkedInはデータにソーシャルグラフ作成アルゴリズムを適用することで、ユーザーにネットワークのつながりを推奨したり、「事前計算」に使っていたことがわかった。

これは、ユーザーがネットワークを一から構築する苦労を軽減するために、ネットワークのつながりを推奨するために利用されていた。。

「監視の結果LinkedIn CorpはEUユーザーデータ管理者であるLinkedIn Irelandの指示によって、事前計算処理を中止し、2018年５月25日以前の処理に関わる個人データをすべて消去した」とDPCは書いた。5月25日はGDPRが発効された日付だ。

LinkedInは今回の調査全体について以下の声明を本誌に提供した：

「当社は2017年のDPCによる広告キャンペーン問題に関する調査の趣旨を理解し全面的に協力した」とLinkedInの欧州・中東・アフリカ地区プライバシー責任者のDenis Kelleherが言った。「遺憾ながら当社で制定した厳格な手続きが守られなかったことをお詫びする。当社は適切な処置を行い、再発しないよう作業方法を改善した。監査に伴い、追加分野における非メンバーデータのプライバシーについても、改善するよう自発的に作業方法を変更した」

（「追加分野」というのは事前計算のことである）

LinkedInの言葉を額面通りよ受け取るなら、同社はDPCが発見した問題点の修正だけでなく、指摘を受ける前に、自発的に行動規範を変更していることを示している。

LinkedInに限らないが、これは「許可を得るのではなく、許しを請う」タイプのやり方だ。。
ちなみになぜLinkedInが罰金を課せれないのか不思議に思っている人へ。それは、5月末時点では、GDPRに罰金を強制する権限がなかったからだ。

もうひとつわからない——DPCは明確に指摘していない——のは、LinkedInがどこで1800万件のメールアドレスなどの関連データを収集したかだ。

これも報告書に書かれているFacebookによる顔認識の利用、WhatsAppとFacebookの相互間におけるユーザーデータの共有などの案件は現在も調査が継続している。ユーザー5億人に影響を与えたYahooのセキュリティー侵害は、さまざまな会社での作業慣行の変更へとつながっている。

[原文へ]

（翻訳：Nob Takahashi / facebook ）

CloudflareのプライバシーとスピードをアップしたDNSサービス1.1.1.1がモバイルアプリに

多面的なセキュリティ/Web最適化サービスを提供するCloudflareが、その、プライバシーにフォーカスしたDNSサービス1.1.1.1を今日（米国時間11/12）からモバイルユーザーにも提供する。

スマートフォンやタブレットで1.1.1.1を使うことは、これまでも可能だったが、これからは専用アプリをiOSとAndroidの両方のデバイスで使えるから、その無料の消費者向けDNSサービスを誰もが容易に利用できるようになった。

そのアプリは、ボタン一つ押すだけでon/offを切り替えられる。やることは、たったそれだけだ。

Cloudflareは1.1.1.1を、、まさに今年のエイプリルフールの日に展開したが、このサンフランシスコの大きなネットワーキング企業にとってプライバシーはジョークではない。このサービスを利用すると、ユーザーのDNS情報…インターネットに接続した時間、タイプしたWebアドレスなど…をCloudflareが処理することになる。DNSデータが1.1.1.1へ行くようになると、インターネットプロバイダーは、そのユーザーが訪ねているWebサイトを知ることが困難になり、ユーザーは検閲やハイジャックのおそれなく、サイトにアクセスできるようになる。

完璧なプライバシーを約束する万能薬ではないが、何もないよりはましである。

このサービスはしかも、もーれつに速い。ページのロードに何秒も浪費しない。世界の中の、これまで遅かった地域ではとくに効果が著しい。

CloudflareのCEO Matthew Princeはこう言う: “1.1.1.1を立ち上げたのは、世界中の消費者に、速くてしかもプライバシーの堅固なインターネットの閲覧を提供するためだ。とくにモバイル上では、1.1.1.1がアプリになったことによって、自分のスマートフォンの上で高速で暗号化されたDNSを利用することが、さらに容易になった”。

アプリのダウンロードは、AppleのApp StoreとGoogle Playから。

[↓Cloudflareのプライバシーを強化したDNSサービス（未訳）]

Cloudflare’s new ‘privacy-focused’ DNS service speeds up your web browsing

画像クレジット: Cloudflare

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

FacebookがPortalの発売を開始、プライバシーと広告のポリシーをあらためて説明

Portal現象に早く一枚加わりたい、と願っていたあなた、Facebookは今日（米国時間11/7）、そのビデオチャットデバイスの発売を開始する、と発表いたしました。同社の初めての本格的な専用ハードウェア製品には、構成が二種ある: AmazonのEcho Showに似たPortalと、大型のPortal+だ。お値段はそれぞれ、199ドルと349ドルである。小さい方は、二つで298ドルという売り方もある。

このデバイスが先月初めに発表されたときには、プライバシーを心配する声があった。同社はそれらの問題の一部を、ローンチ前に蕾のうちに摘み取ろうとした。なにしろ2018年は、Facebookのプライバシーにとって散々な年だった。同社はその後数週間、データ追跡と広告のターゲティングに関してあいまいな言い訳に終始し、またまた点を下げた。

そのことが念頭にあるFacebookは、ローンチを告げるブログ記事でPortalのプライバシーについてさらに呪文を並べた。その筆頭は、同社はビデオ通話を見たり聴いたりしないことを約束する、だ。通話は暗号化され、またすべてのAI技術はデバイス上でローカルに実行される。同社のサーバーには送られない。

その記事でFacebookはさらに、Portal上の会話の扱いはMessengerのそれと同じである、と約束している。その意味は、通話をのぞき見しないが、実際には使用データを追跡し、その後それをクロスプラットホームな広告に利用するかもしれない、ということだ。

Facebookはこう書いている: “Portalでビデオ通話をするとき、Messengerができるデバイス上と同じデバイス使用情報をわれわれは処理する。それには、音量レベル、受信量バイト数、フレームの解像度などが含まれる。そのユーザーの通話の頻度や長さが含まれることもある。この情報の一部は、広告目的に使われることもある。たとえばユーザーの大量の通話が、その人が見る広告を知る手がかりになるかもしれない。この情報には、通話の内容は含まれない”。

言い換えると、同社は個人を同定できるデータは集めないが、情報は追跡する。そして率直に言って、Facebookのアカウント保有者はすでにそういう条件で登録しているのだ。問題は、それのまた新たなレベルが登場してリビングルームやキッチンに入ってきても、ユーザーは平気かどうか、という点だ。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

だめ！

だめ。だめ。だめ。だめ。Alexaをシャワールームに入れないで。だめ。

〔訳注: これは、シャワールームで使えるAlexaデバイスを某社が発売する(Kickstarter資金募集中）、という記事。そのジョーク・スタイル。〕

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

Facebookはイラン起源の‘組織的な身元詐称行為’でページやアカウントをさらに削除

Facebookは、イラン起源の“組織的な身元詐称行為”として、82のページとグループとアカンウンとを削除した。

この大手ソーシャルネットワークは先週、その“身元詐称行為”を発見した。同社のサイバーセキュリティポリシーチーフNathaniel Gleicherがブログでそう述べている。彼によると、その作戦はもっぱらアメリカやイギリスの一般市民を名乗る（詐称する）もので、“人種問題や大統領の批判、移民問題など政治色の強い話題に関して投稿を行った”。同社によると、調査はまだ初期的段階だが、そのアクティビティをたどるとイランへ行き着いた。しかし犯人は特定できていない。

Facebookによると、イランの演技者たちのページのうち、少なくとも一つは、フォロワーが100万を超えた。Instagramからも、16のアカウントが削除された（内数）。

演技者たちはFacebookとInstagramで二つの広告に100ドル弱を、アメリカおよびカナダの通貨で支払った。広告の拡散により、Facebookユーザーへの彼らのリーチはさらに大きくなった。

同社はアカウント等削除の前にFBIとAtlanticに、彼らの発見を報告した、とGleicherは言っている。“発見から破壊への移行は1週間足らずで行われた”、という。

今回の削除に対するAtlantic Councilデジタル法科学研究所の分析によると、それらのアカウントは、“人びとのFacebookプラットホームからの離反ではなく、むしろエンゲージメントの強化をねらっている。そのために彼らは、さまざまなミームや、ビデオ、そして彼らの書き下ろしのコメントなどを駆使している”。同研究所によると、そのやり方には“効果があったようであり”、それらのポストは大量のシェアやリプライを受け取っている。

“外交政策に関するメッセージは、初期のイラン支持者たちのそれと歩調を合わせており、それは主に、中東に関するイラン政府側のストーリーを増幅している”、と分析は述べている。“人びとを分断させることを目的とするコンテンツへの彼らの注力は、ロシアの情報工作のやり方と非常によく似ているが、しかしイラン人による工作は保守よりもむしろリベラルをターゲットにしているようだ”。

Facebookは、アカウントとコンテンツの取り下げを、これまでも何回か行っている。たとえば8月には、セキュリティ企業FireEyeの支援のもとに、数百のアカウントとページを削除した。そのときも、イラン人による広範な人心誘導工作が見つかっている。これまでのFacebookのアカウント取り下げ努力は中間選挙をねらったニセ情報の拡散に関連していたが、イランの支援による作戦は、話題が多岐にわたっている。FireEyeによる当時（8月）の分析によると、イラン人たちは、“反サウジ、反イスラエル、パレスチナ人支持など、多様な話題を取り上げ、また、アメリカとイランの核合意など、イランに好意的なアメリカの政策を支持していた”。

Facebookのような大手テクノロジー企業は、2016年の大統領選に始まり、最近ではますます、国家が支援する演技者たちによるニセ情報や嘘のニュースの拡散を強力に取り締まるよう、議会からの圧力に直面している。

いちばん強く懸念されているのは、ロシア政府のために仕事をしているトロルたちの、ニセ情報の拡散による選挙操作だが、Facebook上のニセ情報拡散に関してはイランが、それとは別の強力なチームとして、台頭してきたのだ。

Facebook bans hundreds of clickbait farms for ‘coordinated inauthentic behavior’（未訳）

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

中国からトランプへお返し: iPhoneをやめてHuaweiにしたら

The South China Morning Postによると、中国外務省のスポークスウーマンHua Chunying（华春莹）が、トランプの安全でないiPhoneに対するスパイ行為に関する、昨日（米国時間10/24）のおそろしい記事を否定して、それを“フェイクニュース”と呼んだ。彼女は大統領のためにとくに言葉を選んで、Huaweiのハンドセットに換えるよう提案し、それがだめなら通信をやめたら、と言った。

その語調はときにはネット上の‘荒らし’のようにもなり、そのスポークスパーソンは、“この記事を見ると、オスカーの脚本賞を必死で狙ってる人たちが書いたように思える”、とも言った。

[政府支給のスマートフォンしか使ってない]

The so-called experts on Trump over at the New York Times wrote a long and boring article on my cellphone usage that is so incorrect I do not have time here to correct it. I only use Government Phones, and have only one seldom used government cell phone. Story is soooo wrong!

— Donald J. Trump (@realDonaldTrump) October 25, 2018

昨日（きのう）のThe New York Timesの記事は、“アメリカの諜報機関の職員によると、その機関は、中国とロシアが大統領の携帯電話の外国政府の内部の人間からの通話を盗聴し、また外国の政府職員間の通信を傍受していることを（そのアメリカの諜報機関が）知った”、と言っている。

Trumpは今朝Twitterで反撃し、記事を訂正しようとしたが、そんな時間はない、とも言い、それは“soooo wrong”（ものすごく間違ってる）だ、と付言した。さらに大統領は、その記事（私物のiPhone）と違って、政府支給のスマートフォンしか使っていない、と言っている。

Huaの声明はさらに一歩進んで、アメリカがHuaweiのハンドセットやそのほかの中国製のネットワーキング機器を、政府によるスパイ行為への懸念から禁じていることを、猛然と攻撃している。

画像クレジット: BRENDAN SMIALOWSKI/AFP

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

Mozillaは寄付の全額をTor Projectへのマッチングファンドに、Firefoxへの内蔵も開発中

Firefoxの生みの親であるMozillaが、その長年の盟友Tor Projectに再び目を向け、寄付の全額をTorの資金として提供することになった。オンラインのプライバシーを強化するオープンソースのプロジェクトTorは、今年も年末恒例の資金集め活動を開始したばかりだ。

TorはMozillaのサポートを今日（米国時間10/24）発表し、両者のパートナーシップがさらに続くことになった。昨年Torが調達した40万ドルあまりには、Mozillaの貢献も含まれている。これはテクノロジー系のスタートアップなら小額のシードラウンドにすぎない額だが、しかし2015年に政府の補助金への依存をやめて、資金源をクラウドファンディングに切り替えたTorにとっては、重要な収入源だ。

その2015年には、Torは330万ドルという記録的な額の寄付を受領した。それは2014年の250万ドルを上回り、今だにTorの年収の最高額だが、しかしその86％は国の補助金だった。それは、これまでで最高の額だが、Torの研究部長で社長のRoger Dingledineは当時、もっと頑張ってその比率を減らすべきだ、と認めていた。

Torは2016年以降の決算報告をまだ出していないが、昨年はプロダクトの面では大きな飛躍があった。Torは今でも、NSAの内部告発者Edward Snowdenが使ったことが、いちばんよく知られている。大きな飛躍というのは、今年の9月にAndroid用のモバイルブラウザーをローンチしたことと、同じ月にTor Browser 8.0をリリースしたことだ。後者は、これまででいちばん使いやすいTorのブラウザーで、Firefoxの2017 Quantumがベースだ。TorをFirefoxに内蔵するために、Firefoxとの密接な協働が続いた。Mozillaの元CEO Brendan Eichが作ったブラウザーBraveは、すでにTorを内蔵している。

Torはブラウザーと、盗聴や監視のおそれを最小化するTorネットワーク本体のほかにも、いろんなプロジェクトを抱えている。Tor自身のデータによると、Torの推定ユーザー総数はおよそ200万人だ。

Tor Foundationで資金調達を担当しているSarah Stevensonはこう語る: “Tor Projectには大胆なミッションがある。ネットワークに対する侵入や制限に抗して世界中のインターネットユーザーのプライバシーと自由を守ることだ。でもそれは、一人ではできない”。

“エジプトやベネズエラなどの国には表現の自由に対する制約があり、オープンなWebへの自由なアクセスができない。また企業サイドでは、GoogleやAmazonなどが人びとのデータを濫用し、監視経済を肥大させている。反対意見を封じ込めるために、インターネットアクセスを全面的に禁じている国すらある”。

というわけで、Tor Projectの果敢なミッションに賛同される方は、同団体にここで寄付できる。

〔参考記事〕

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

Facebookの3000万ユーザーの個人情報が漏洩、Facebookならこれぐらいは‘軽微’!?

Facebookが、2週間前に公表したデータ漏洩事件の詳細を発表した。最初に推計された5000万ではなく3000万のユーザーが、アクセス情報をハーカーに盗まれた。ご自分について確認したい方は、Facebook’s Help Centerへ行くとよろしい。被害を受けたユーザーにはFacebookが盗まれた情報の詳細を告知し、復旧方法を教える。アクセスはされたけれど、彼らにコピー〜ダウンロードされなかった情報もあると思われるが、その詳細は開示されていない。

Facebookのプロダクトマネージャー担当VP Guy Rosenが、記者たちにこう述べている: “この件に関しては目下FBIの捜査に協力している。FBIはわれわれに、捜査の間犯人に関する情報を明かさないよう求めている”。それは、犯人による証拠隠滅を防ぐためだ。

3000万のうち1500万は、名前、電話番号、そして場合によってはメールアドレスをアクセスされている。1400万はそれプラス、履歴書的情報…ユーザー名、性別、位置、言語、既婚・未婚、宗教、出生地、現住地（本人申請）、誕生日、Facebookにアクセスしているデバイスのタイプ、学歴、職業、最近訪れたサイト10箇所、フォローしている人またはPage、最近行った検索15件、などなど…にアクセスされた。残りの100万は、情報にアクセスされていない。

Facebookのその他のアプリ、Messenger, Messenger Kids, Instagram, WhatsApp, Workplace, Pages, それらに対する支払い決済情報、サードパーティアプリ、アドバタイザー、デベロッパー、などはアクセスされていない。Facebookによると、FBIの捜査中は犯人に関する証拠を明かさないことを、Facebookは法執行当局により求められている。

Facebookによると、ハッカーは、ユーザーのプロフィールを他人の観点から見るプライバシー機能“View As”の三つのバグの組み合わせを悪用した。それによって、そのアカウントの友だちにアクセスし、40万のアカウントのアクセス情報を盗んだ。そして別の方法を使って、彼らの友だち3000万の情報を握った。

多くのデータ漏洩と違って今回のは、最初に予想されたよりも軽微だった、とみなされている。ユーザーは、ログインの再行を求められたときちょっと戸惑ったが、今はこの事故のことを忘れているようだ、という。Q3の決算報告ではFacebookのユーザー数がやや減るおそれもあるが、盗まれたデータが実際に悪用されないかぎりは、Webの至るところで日々起きているエンドレスなサイバーセキュリティエラーのノイズの中で消えてしまうだろう。そのノイズの中には、FacebookのコンペティターGoogle+の閉鎖の遠因となったデータ遺漏事件も含まれている。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

創業10年でついに陽の光が当たってきたプライバシー保護型検索エンジンDuckDuckGo

プライバシーを重視する検索エンジンDuckDuckGo(DDG)に、このところ勢いがついてきた。同社の今日（米国時間10/11）の発表によれば、一日の検索数が2000万に達してからわずか1年弱後に、それが3000万に達した。前年同期比で50%の増加だ。〔下図に引用されているツイートによれば、1000万に達するのに7年かかり、それから2年で2000万に達している。ツイートの下に、推移のグラフのリンクがある。〕

一日の検索数1000万に達するのに7年かかり、それから2年で2000万に達した。その成長カーブは、忍耐と信念の歴史でもある。〔2008年9月創業〕

しかしその信念は報われた。ユーザー数は伸び続けており、その成長カーブは、優れた航空機の、きれいな離陸の航跡のようだ。

DuckDuckGo fun fact: it took us seven years to reach 10 million private searches in one day, then another two years to hit 20 million, and now less than a year later we're at 30 million! Thank you all #ComeToTheDuckSide https://t.co/qlSaz4j9ZH

— DuckDuckGo (@DuckDuckGo) October 11, 2018

一日に3000万の検索数は、Googleの30億強に比べると大海の一滴だ（Googleの数字は2015年のもの)。

ファウンダーのGabriel Weinbergはこう言う: “一貫して年率50%ぐらいで伸びていたから、マクロのレベルではそれほど意外でもない。数字がどんどん大きくなっただけだ。でも今年は、さらにはずみがついたようだ。とくに最近2か月の動きを見るとね”。

“世界中で伸びているんだけど、ここ数か月はアメリカがとくに大きい”。

DDGの検索エンジンはGoogleと違ってプライバシーを重視し、広告のターゲティングのためにユーザーを追跡したり、その特徴〔好みなど〕を調べたりしない。

その代わりDDGは、各回の検索で入力される検索キーワードに基づいて広告を表示する。Googleがやってるような、ユーザーをつけ回していろんなデータを集め、それらを高度なアドテックビジネスに注ぎ込むことはしない。

DDGによると、同社のユーザー追跡をしないビジネスモデルでも、2014年以降は黒字だ。アフィリエイトの売上もある。

アクティブユーザー数は公表されていないが、今年初めのサードパーティによる推計では、ユーザーベース2500万、となっている。

今年はメインの検索のほかに、トラッカー・ブロッカー(tracker blocker)というツールも立ち上げて、ユーザーのネット上の行動や活動を企業にスパイされないようにした。

資金面では最近、VCから1000万ドルを調達したが、外部からの投資はこれがやっと二度目だ。

同社によると、その資金は、プライバシー重視のビジネスモデルの一層の拡張に充てられ、また検索結果ではローカル市場をもっと取り上げていきたい。それにより、ローカル企業のマーケティングのグローバル展開を助けることにも、つながるだろう。

ヨーロッパのGeneral Data Protection Regulation(GDPR)のようなプライバシー規制も、きっとDDGの追い風になるだろう。

アメリカでも国レベルのプライバシー規制の法制化が検討されているから、企業による人びとの情報の扱いに一定のルールとコントロールが設けられるだろう。

そしてどんなに厳しいルールができても、元々ユーザーのトラッキングをしないDDGにとっては、それらが有利に働くに違いない。

画像クレジット: Stewart Bremner/Moment

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）