カリフォルニア州でデバイスのデフォルトパスワードを禁ずる法律が成立

良いニュースだ!

California州が2020年から、すべての新しい消費者電子製品に、“admin”, “123456”, あるいは古くからお馴染みの“password”といった、デフォルトのパスワードを設けることを禁ずる法律を成立させた。

その法律によると、ルーターやスマートホーム製品など、同州で生産されるすべての新しいガジェットは、最初から“リーズナブル”なセキュリティ機能を持っていなければならない。とくにパスワードについては、各デバイスが、あらかじめプログラミングされたユニークな(他機と共通でない)パスワードを持っていなければならない。

また、新しいデバイスはどれも、ユーザーがデバイス固有のユニークなパスワードを入力してそれを最初に使用するとき、新しいユーザー固有のパスワードの設定を求め、その設定を終えたあとにのみ、最初のアクセスを認めるものでなければならない。

何年も前から、ボットネットたちが、セキュリティのいい加減なデバイスを利用して、大量のインターネットトラフィックでサイトを襲撃してきた。その大量のトラフィックによる攻撃は、分散型サービス妨害攻撃(distributed denial-of-service, DDoS)と呼ばれている。ボットネットが目をつける‘いい加減なセキュリティ’の典型が、デバイスに最初から設定されている、そしてユーザーがそれを変えることもない、デフォルトパスワードだ。上に例を挙げたような、よく使われるデフォルトパスワードは、そのリストがどこかに公開されているので、マルウェアはそれらを利用してデバイスに侵入し、そのデバイスをハイジャックする。そして、ユーザーの知らないうちにそのデバイスは、サイバー攻撃の道具にされてしまう。

2年前には、Miraiと呼ばれる悪名高きボットネットが、何千台ものデバイスを悪用してDynを攻撃した。Dynは、多くの大型サイトに、ドメインネームサービス(DNS)を提供している。DDoSでDynが麻痺してしまうと、これに依存しているサービスに誰もアクセスできなくなる。被害サイトの中には、TwitterやSpotify, SoundCloudなどもいた。

Miraiは、比較的単純素朴な、しかし強力なボットネットで、デフォルトパスワードを悪用していた。今度の法律でデフォルトパスワードというものがなくなれば、このタイプのボットネットは防げるが、でもセキュリティの問題はほかにもたくさんある。

もっと高度なボットネットは、パスワードには見向きもせず、個々のIoT(物のインターネット)デバイスの脆弱性につけこむ。その典型的なデバイスは、スマート電球、アラーム、家庭用電子製品などだ。

IT評論誌The Registerの指摘によると、今回のカリフォルニア州法は、バグが見つかったときのソフトウェアのアップデートを、デバイスのメーカーに義務付けていない。大手のデバイスメーカー、Amazon、Apple、Googleなどはソフトウェアを常時アップデートしているが、無名に近いブランドの多くはやっていない。

しかし、そんな現状でも、この法律は、何もないよりましである。今後もっともっと、改定していただきたい。

[下の引用記事(未訳)の関連記事]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

アメリカ政府はFacebook Messengerの通信傍受要請で敗訴

アメリカ政府の捜査官たちは、FacebookのMessengerアプリ上の通信の傍受を要求して、裁判所に拒絶された。

大規模なギャング団MS-13を捜査している国と州の合同法執行チームは、音声通話のリアルタイム聴取を拒否したこのSNS大手を、法廷侮辱罪で地裁に告訴していた。

ロイターが得たその筋の情報によると、裁判所はその告訴を退けたが、その理由はまだ明らかでない。

カリフォルニア州フレスノの地裁に持ち込まれたその告訴は、当のギャング団のメンバーに対する殺人罪などでの捜査に関わっている。政府は16名の容疑者を追っていたが、証拠の入手はもっぱらFacebookに依存していた、とされる。

ロイターによると、FBIが提出した宣誓供述書は、Facebook Messengerを指して、“法執行機関がモニターする方法はほかにない”、と言っている。Facebookが所有するWhatsAppは、エンドツーエンドの暗号化により、Facebook自身すら通信内容を傍受できないが、前から法執行機関は、それを捜査妨害と主張してきた。

しかしFacebook Messengerの音声通話はエンドツーエンドの暗号化をしていないので、通話のリアルタイム傍受が可能だ。

電話の場合、裁判所の認可があっても、法律では、通話の傍受は通信会社の許可を要する。しかしFacebookのようなインターネット企業は、この法の対象にならない。

プライバシー擁護団体は、今回の告訴を、インターネット企業に対するこの例外を取り除くことがねらい、と見なしている。彼らは前から、政府が暗号化アプリにバックドアを設けようとしている、と避難している。わずか2年前にはFBIが、サンバーナーディーノの銃撃犯Syed Farookの暗号化されたiPhoneの解読をめぐる、同様の要求で、Appleを告訴したばかりだ。

FBIはコメントを拒否した。Facebookはコメントの要求に応答しなかった。

[関連記事: 5000万のFacebookユーザーがセキュリティ侵犯で被害(未訳)]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Googleを辞めた研究員がProject Dragonflyの人権違反懸念で上院に書簡を送った

上院の通商科学運輸委員会に宛てた書簡で、元Googleの研究員Jack Poulsonが、8月の終わりに同社を辞めた理由を詳しく述べている。今週初めに送られたその小文は、Project Dragonfly(蜻蛉プロジェクト)に対する、増大する懸念を詳述している。それは、中国市場に有意に参入しようとするGoogleの試みだ。

書簡は上院が、データに関する懸念に関してGoogleの新任プライバシー最高責任者(chief privacy officer) Keith Enrightを喚問しようとしていたときに届いた。Dragonflyも、委員会の議題に上(のぼ)る予定だったと思われる。そのプロジェクトは“喫緊の道徳的倫理的問題を喚起する”、と書かれた先月の別の書簡には、1400名近くのGoogle社員が署名していた。

Poulsonは自分の書簡に、“注目すべきは、Project Dragonflyが、同社のAI Principles(AI原則)がリリースされた同時期に進められていたことだ”、と書いている。Poulsonによると、“人権団体や調査報道記者、Googleの社員、そして多くの国民の理解によれば、Project DragonflyはAI Principlesの、‘その目的が広く受け入れられている人権の原則に背反している、技術の設計や展開には手を染めない’とする原則に、真っ向から違反している”、という。

Poulsonは、社内で特に問題になった4点を挙げている。そのリストには、検索のクエリに(質問者の)電話番号を伴わせることや、中国政府と共同開発した“人権”、“学生の抗議”、“ノーベル賞”などの検索ワードのブラックリスト、などがある。Poulsonは、大気の質に関するデータの政府によるコントロール、そして“内部的なプライバシーレビュープロセスの壊滅的不履行”、なども挙げている。

最近の新聞報道によれば、GoogleのCEO Sundar Pichaiは、Googleの中国進出計画や、検索の偏りをめぐって、共和党議員への説明を求められている。

画像クレジット: TechCrunch

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

MozillaのFirefox Monitorが今後のアカウントハックのアラートサービスを開始

今年の早い時期にMozillaは、ユーザーのオンラインアカウントが最近のデータ漏洩事件でハックされたことを検出するサービスFirefox Monitorを発表した。それは、ユーザーのメールアドレスを入力するとHave I Been Pwnedのデータベースを調べて、どのサイトでいつ、何が漏洩したか〔例: パスワード〕を教えてくれる。そして今日(米国時間9/25)Mozillaはさらに一歩進んで、ユーザーがMonitorの登録ユーザーになっておくと将来の漏洩をアラートしてくれることになった。

Firefox Monitorは最初、実験的サービスとみなされていたが、今では正式のサービスになっている。

どこのサイトのアカウントもハックされていなければ、それはとてもラッキーだが、それでもFirefox Monitorのアラートサービスに登録しておいて損はない。そのうち、あなたのメールアドレスの流出が報告されるかもしれない。そもそも最初にMozillaが、人びとに要望する機能について尋ねたとき、いちばん多かったのが、今後のデータ流出の通知だった。

Mozillaによると、Firefox Monitorは、今後数か月の同団体のロードマップに載っているいろんなプライバシー/データセキュリティ機能のひとつにすぎない。Mozillaは自分を中立的な機関と位置づけているから、立場としては良い。たとえばChromeは、Googleが大量のユーザーデータを集めていることが最近ますますユーザーにとって、プライバシーをめぐる懸念になり、批判にさらされているのだから。

〔訳注: Firefox Monitorの利用は、過去のハッキングスキャンも今後のアラートも無料。リリースノート(英文)。〕

[Firefoxが近くデフォルトでトラッカー(ユーザー情報の収集)をすべてブロックする]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

「ほぼすべて」のPCとMacに、暗号化データを盗まれるセキュリティー欠陥がある

現代のコンピューターの殆どが、たとえディスクが暗号化されていても、数分のうちに機密データを盗む新たな攻撃に対する脆弱性があることが、最新の研究によって明らかになった。

F-Secureが水曜日(米国時間9/12)に公表した新たな発見によると、同社がテストしたあらゆるノートパソコンで、ファームウェアのセキュリティー対策がデータ盗難を防ぐのに十分な働きをしたものは皆無だった。

F-Secureの主任セキュリティー・コンサルタント、Olle SegerdahlはTechCrunchに、この脆弱性は「ほぼすべての」ノートパソコンとデスクトップ——WindowsもMacも——のユーザーを危険に晒すと語った。

新たな攻撃は、長年ハッカーらがシャットダウンされたパソコンからデータを盗むために使っていたコールドブートアタックと呼ばれる伝統的手口に基づいている。現代のコンピューターは、電源が切断されるとき、データが読み出されないようにメモリーをランダムに上書きする。しかし、Segerdahlと同僚のPasi Saarinenはこの上書きプロセスを無効にして再びコールドブートアタックを可能にする方法を見つけだした。

「いくつか余分な手順が必要だが、この欠陥は容易に利用できる」」とSegerdahlは言う。あまりに簡単なので、もしこの技法がどこかのハッカーグループにまだ知られていなかったとすれば「大きな驚きだ」と彼は言った。

「パソコンのデータを盗む任務を課せられた者なら誰でも,すでに同じ結論に到達しているとわれわれは確信している」

パソコンを物理的にアクセスすることが可能なら、データを盗み出せる可能性が高くなることは誰もが知っている。だからこそ、こんなに多くの人たちがディスク暗号化を使って——WindowsならBitLocker、MacならFileVaultなど——デバイスの電源が切れているときのデータを守っている。

しかし研究者らは、ほぼすべてのケースで、BitLockerやFileVaultが保護していたにもからわらず、彼らはデータを盗むことができたと言っている。

研究者らは上書きプロセスのしくみを理解したあと、ファームウェアがメモリーから秘密を消し去るのを防ぐ方法の概念実証を行った。そこからはディスクの暗号化キーを探し、見つかれば保護されたボリュームをマウントするために使用する。

危険にさらされるのは暗号化ディスクだけではない、とSegerdahlは言う。成功したアタッカーは、「メモリー上で起きるあらゆるものごと」を盗むことができる。パスワードや企業のネットワークIDなど、盗まれればさらに深刻な被害につながりかねない。

彼らの発見は、公表される前にMicrosoftとAppleとIntelに伝えられた。研究者らによると、攻撃に耐えられれたのはごく僅かなデバイスだけだった。MicrosoftはBitLocker対策に関する最近更新された記事で、スタートアップPINコードを使うことでコールドブートアタックを緩和できると書いたが、Windows “Home” のユーザーは残念ながらそれができない。なお、T2チップを内蔵したApple Macは影響を受けないが、それでもファームウェアにパスワードをかけることで保護は強化される。

MicrosoftとAppleは両社ともこの問題を軽視していた。

アタッカーはデバイスを物理的にアクセスする必要があることを認め、Microsoftはユーザーに対して「デバイスへの物理的な不正アクセスを防ぐことも含め、適切なセキュリティー習慣を実践すく」ようユーザーに勧めると言っている。Appleは、T2チップをもたないMacを保護する手段を検討していると語った。

Inte にも問い合わせたが、公表できるコメントはないと言った。

いずれにせよ、研究者らによると、該当するコンピューターメーカーが既存デバイスを修正できる見込みはあまりない。

「残念ながらMicrosoftにできることは何もない。なぜならわれわれはPCハードウェアメーカーのファームウェアの欠陥を利用しているからだ。」とSegerdahlは言う。「Intelのできることにも限度がある。エコシステムにおける彼らの立場は、メーカーが新しいモデルを作るためのリファレンスプラットフォームを提供することにある」

企業もユーザーも「各自で」行動する必要がある、とSegerdahlは言った。

「こういう出来事に備えておくことは、デバイスがハッカーによって物理的に損なわれることなどないと仮定するよりも、好ましい行動だ。そんな仮定が成り立たないことは明らかなのだから」

[原文へ]

(翻訳:Nob Takahashi / facebook

10月3日以降Apple App Storeのすべてのアプリにプライバシーポリシーが必要とされる

Appleは、ユーザーの個人情報をどのように使っているか、そして、その安全と共有について、ユーザーにちゃんと伝えていないアプリを取り締まろうとしている。AppleがApp Store Connectポータルにポストしたデベロッパー向けの発表によると、まだテスト中のものも含めてすべてのアプリに、2018年10月3日の時点で、プライバシーポリシーがなければならない。

Appleは従来から、ユーザーデータの保護に徹している企業だから、これまでプライバシーポリシーのないアプリがApp Storeに実際にあったことは、Appleの怠慢だったとも言える。しかしヨーロッパの規制GDPRが発効した今となっては、それはきわめて重要な方針発表になった。顧客データの取り扱いについて最終的な責任があるのはアプリのメーカーだが、そんなアプリをホストしているAppleにも、ある程度の責任はある。

今日では、アプリだけでなく、それらのアプリをホストするプラットホームも、アプリの振る舞いについて責任がある、とされる。また、アプリに関するプラットホームの方針から生ずるユーザーデータの悪用に関しても、もちろん責任がある。

たとえばFacebookのCEO Mark Zuckerbergは、Cambridge Analyticaのスキャンダルに関して合衆国上院に呼びだされた。8700万ものFacebookユーザーのデータが、Facebookのアプリを使って不正に取得されたのだ。

したがってAppleの新しい要求は、同社に新たな保護層を与えるものだ。Appleがうっかり見逃してしまったアプリでも、これからは、そのアプリのプライバシーポリシーとその文言により責任を問われる。

Appleは、プライバシーポリシーのリンクやテキストは、デベロッパーがそのアプリの新バージョンを提出するまで変えてはならない、としている。しかし、リンクが変わらなくてもリンク先のWebページの内容は変わるかもしれない、という抜け穴がここにはある気がする。

Appleによると、プライバシーポリシーはApp Store全域のすべてのアプリおよびアプリのアップデートに10月3日の時点で必要であり、TestFlightのテストプラットホームに関しても必要である。

すべてのアプリにプライバシーポリシーがあることと、その内容がユーザー保護の観点から適切であることを、Apple自身が検査するのか、そのへんは明らかでない。もしApple自身が検査と排除の作業をやるのなら、スタッフを増員しないかぎり、アプリの承認プロセスが長引いてしまうだろう。

Appleは、いかがわしいアプリのチェックと排除をこれまでもある程度やっており、最近の例では、Facebookのデータ泥棒的VPNアプリOnavoを、App Storeから排除したe。でも、そのアプリは長年無事だったのであり、App Storeのテキストは、それが集めたデータをFacebookが共有した、と開示している。今ごろになってやっと排除されたことは、ユーザーデータを集めることを主要な機能とするアプリに対して、Appleの姿勢がこれからはより厳しくなることを、意味しているのだろう。

画像クレジット: TechCrunch

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

GoogleがMastercardとパートナーしてユーザーのオフラインの買い物を追跡する

Bloombergの記事によると、GoogleはMastercardとの秘密契約により、クレジットカードの利用データから小売の売上を調べられることになった。このことは、Googleの本当の顧客が広告主であることの、また新たな証拠だ。

オンライン広告は今や、他のすべての広告媒体を抜き去った。企業は、テレビや新聞などよりも多くの広告費をネット広告に支出している。

オンライン広告に人気があるのは、広告キャンペーンの効果を調べやすいからだ。GoogleやFacebookに広告を出せば、そこから何人の顧客が自分のオンラインストアに来たか分かる。しかも、彼らが何を買ったかすら分かる。

でもテレビ受像機のオンライン広告を見た人が、お店に来てテレビを買った場合はどうか? テクノロジー企業はこれまで何年も、このような、オンライン広告とオフラインの売上とのギャップを填める努力をしてきた。たとえばGoogleは、ユーザーが位置履歴を無効にしていても、常時密かに位置を追跡している日本語関連記事〕。GoogleがMastercardとパートナーしたのも、そのためだ。

Bloombergによると、Mastercardのアメリカ国内のトランザクションデータはすべて、暗号化されてGoogleへ送られる。GoogleはMastercardに金を払い、おそらく他のカード会社からも、同じ方法で情報を得ようとしている。

Googleに個々のトランザクションは見えないが、その大量のデータから有意な情報を取り出すことはできる。たとえば同社は、オフラインの購入をユーザーのプロフィールとマッチングできる。そしてそのユーザーが、広告をクリックしたことも分かる。

広告主はメールのデータベースをアップロードして、オフラインの売上をGoogleのプロフィールと広告クリックにマッチできる。Googleは彼らに、すべてのオフライン売上のレポートを送る。すると広告主は、自分たちのオンライン広告キャンペーンの売上寄与効果が分かる。

それは広告の顧客に、彼らのキャンペーンに効果があったと説得するための、うまい方法だ。オンライン広告の売上効果を確信した彼らは、次の広告予算でGoogleへの配分をさらに大きくするだろう。

このやり方は、大規模な広告ビジネスを構築するためには、プライバシーをある程度、二の次にしなければならないことを、あらためて示している。しかしGoogleがMastercardとの今回の契約を公表しないことは、かなり気持ち悪いな。ユーザーには、(自分のデータの使われ方について)知る権利があるからね。

このMastercardの一件は、ユーザーのGoogleアカウントの“Web and App Activity”(Webとアプリのアクティビティ)でオプトアウトできるそうだが、その設定は見つけにくいし、大量のものをかき分けて探さなければならない。そもそも、オフラインの購入は、“Web”でも“アプリ”でもないけどね。〔訳注: 今はアメリカ限定だから日本語のGoogleアカウント設定にはない。〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Firefoxが近くデフォルトでトラッカー(ユーザー情報の収集)をすべてブロックする

Mozillaが今日(米国時間8/30)、そのFirefoxブラウザーがデフォルトでは自動的にすべてのクロスサイトトラッキングをブロックする、と発表した

この戦略には、3つの部分がある。まず、今ナイトリーリリースでテストしているバージョン63では、Firefoxはすべての遅いロードのトラッカー(広告に多い)をブロックする。遅いとは、ロードに5秒以上かかる、という意味だ。次にFirefox 65では、サードパーティのトラッカーからのすべてのクッキーとすべてのストレージアクセスを取り去る。そしてさらに今後は、暗号通貨の採掘をするスクリプトと、ユーザーの個人識別情報を取るトラッカーをブロックする。ただしこれらはいずれも、最初のテストの結果次第で提供が遅れることもある。

MozillaのNick Nguyenが、こう書いている: “物理的な世界では、いろんな店の何百人もの店員が店から店へとユーザーをつけ回して、見た物や買った物をスパイしたりしないだろう。でもWebでは、ユーザーがそんなことを予想しなくても、どこへ行ってもつけ回されている。それに対して、ユーザーがプライバシーのレベルを設定できるブラウザーは、まだ多くない”。

これらの新しい機能を今すぐ試したい人は、安定に達していないFirefox Nightlyリリースをインストールすればよい。それのプライバシー設定には、トラッカーをブロックする“Content Blocking”という項目がある。それを有効にすると、説明のメッセージと、‘厳しい設定にすると閲覧できなくなるサイトもある’、という警告が出る。

なお、この、トラッキングを防ぐプライバシー設定は、Firefox for iOSにはすでにある。

というか、AppleのSafariブラウザーには、すでに昨年からこのようなプライバシー機能がある。ただし、Appleが機械学習を使っているのに対してFirefoxは、従来的なブロックリストを使っている。もちろん、ねらいは同じだが。

このブロック機能は、ユーザーの選択権を奪わない。サイトが事前にユーザーに、データ収集の可否を尋ねて、ユーザーがOKしたら、そのサイトのトラッカーはブロックされない。Nguyenは書いている: “2004年にFirefoxがポップアップ広告をブロックしたときも、広告主にはユーザーに尋ねるオプションを与えた。2018年には、それと同じ考え方でユーザーに可否決定の権利を与えたい”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

スマートメーターの警察によるデータ利用には令状が必要

どれだけ電力を使っているかがわかると、その家庭で起きている多くのことがわかる——特に、その情報が数分ごとに収集されて中央に記録されていれば。スマートメーターのデータを警察当局が取得するためには捜査令状が必要であると、利用者が想定することはプライバシーの観点から妥当であると連邦裁判所が判断したことは実に示唆的である。

これはデジタルプライバシーの戦いにおけるニッチな勝利に思えるかもしれないし、ある意味でそのとおりなのだが、それでも重要な決定だ。われわれ消費者がモノのインターネットなどの形でユビキタス技術を導入するリスクのひとつとして、かつてないほど膨大な量のデータを生み出しながらそのデータが必ずしも適切に保護されていないことが挙げられる。

このケース実に良い例だ。従来の回転式メーターは、おそらく月に1回地元の電気会社が見に来るだけでデータの精度といえば、その家やアパートの一室に誰かが住んでいるか、その人たちが異常に多く電力を使っているかどうかがわかるくらいだ——地下室で麻薬を密造している連中を探している人にとっては有効な情報。

一方スマートメーターは短い間隔、おそらく15分毎に正確なメーターの値を送信し、そのデータは数年間保存される。これほど詳しいデータがあると、誰かが住んでいるかどうかだけでなくいつ在宅しているか、最近冷蔵庫をあけたかどうか、どの部屋にいたか、洗濯の頻度はどのくらいかなどもわかる。その家の電力ネットワーク上の個々の電気製品を識別することは決して難しくない。

もちろんこれは、電力会社の負荷分散や需要予測などに役立つ。しかし、もし当局がそれ以上のことをしたいと思ったら、たとえば、犯罪捜査で誰かがある時刻に在宅だったかどうかの証明に使ったとしたらどうだろう。

懸念をもったある市民グループが、数年前にスマートメーターを義務化したイリノイ州ネイパービル市を訴え、データの収集は不当な捜査にあたると指摘した。

当初の裁定は、電力消費データを自発的に第三者に提供したことは、住民がプライバシーの権利を放棄したことを意味すると事実上判断した。プライバシー放棄ということは、データを取得することは「捜査」ではないことを意味する。

しかし、第7巡回控訴裁判所は控訴審(EFFが主導)で、第三者など存在しないという裁定を下した。データを収集したのは市であり、データを使いたかったのも市だ。また、仮に存在したとしても、「居住者は、自宅に電気を引くことでほぼ定常的に監視されることのリスクを想定していない」。よってこれは捜査〈である〉。

ただしデータ収集は、「訴追目的」でなく行われた場合は〈不合理〉な捜査ではない、と裁判所は判定した。つまり、市が電力グリッドの管理と改善を目的として行動しているかぎり、捜査令状なしにこの情報を収集することは完全に合理的であることを意味する。

しかし、それ以上の目的で必要となった場合、たとえば犯罪捜査目的であれば、当然令状が必要になる。

この区別は重要だが、常に遵守されているわけではない。系統的な収集とメタデータの分析によって、個人の行動と習慣の驚くほど詳細な記録を生成することが可能であり、憲法修正第4条などによる保護の抜け穴を見つけて塞ぐことは簡単ではない。

本件が最高裁まで行く可能性はあるが、これは言論の自由や政府の情報アクセスなどの重要課題ではないので、実際にはありそうにない。電力利用量のための捜査令状は、生死にかかわる問題ではないと思われるが、法廷闘争では重要になりうる——捜査令状を要求することが不合理な要求ではない理由でもある。

ネイパービル市や同じ立場にある都市がこの決定に従う可能性は高そうだ。これはわれわれのプライバシーにとっての勝利であり、同じようなデータ収集活動に対する戦いの一歩だ。

[原文へ]

(翻訳:Nob Takahashi / facebook

AppleがFacebookのOnavoをアプリストアから削除、ユーザーデータの無断収集を処罰

Facebookの次の大きなプライバシー問題はなんだろう?と、座席から身を乗り出すようにして期待していた方、お待ちどおさまでした!。The Wall Street Journalによると、AppleはFacebookのOnavoアプリがApp Storeのポリシーに違反しているとして、近く削除することになった。

本誌TechCrunch宛ての声明で、Appleはその理由を説明している:

“私たちはAppleのエコシステム全体にわたって、ユーザーのプライバシーとデータのセキュリティの保護に力を入れている。私たちのガイドラインの最近のアップデートにより、分析や広告/マーケティングのために、アプリがユーザーのデバイスにインストールされているそのほかのアプリに関する情報を集めるべきではないし、またどのユーザーデータを何のために集めているかを明白にすべきである、と明確に決定した。”

しかし、Onavoがこんなに長く続いたことは、ある意味では不思議だ。

Facebookが2013年に買収したOnavoは、二つのことをする。まず、ふつうのユーザーには、OnavoはVPNのように振る舞い、“あなたとあなたのデータの安全を守り”、“有害なWebサイトをブロックしてあなたの個人情報の安全を確保する”。

しかしOnavoの本当の用途は、アプリの利用データを大量にその親会社に送り、人気勃興中のアプリや衰退気味のアプリを知らせて、モバイルのトレンドに関する貴重な鳥瞰図をFacebookに与えることだ。その情報はFacebookに、競争に勝つための戦略と(Snapchatがその好例)、今後の有利な買収候補に関するヒントを、他社に先駆けて与える。

ユーザーにとって便利なアプリと、密かな情報収集、このアプリの二重人格性を、Appleは問題視している。Onavoは、アプリの説明では“あなたの個人情報を守る”ことを強調し、合法的なVPNのふりをしている。

しかしOnavoのVPN機能を使うユーザーが、データをFacebookと共有することをためらったとしても、それはユーザーからの明示的なオプトインではなくて、デフォルトで勝手にonなのだ。このアプリの本当のねらいは、説明の中に奥深く埋(うず)もれている: “Onavoはあなたのモバイルデータのトラフィックを集めます。… その理由は、私たちはFacebookの一員なので、その情報をFacebookのプロダクトとサービスを改良するために使い、それらのプロダクトやサービスの人びとにとっての価値を知り、より良い体験を構築したいからです”。

今年の2月までで、OnavoアプリはiOSとAndroid合わせて3300万回ダウンロードされた。今AppleのApp Storeで検索すると、そのアプリは出てこないが、Googleのやや自由放任的なアプリストアではまだ生きている。だから今のところFacebookは、Androidの上では強力な目と耳を利用できるのだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

密かにユーザーの位置追跡を続けている件についてGoogleが説明文を更新

4日前(米国時間8/13)には、位置履歴追跡が無効にされてもユーザーの追跡を続けていると認めたGoogleが、Webサイトを更新して、位置に関する同社のポリシーを詳細に説明した。

その、Googleアカウントのヘルプページにはこうある: “この設定は、Google Location ServicesやFind My Deviceなど、そのほかの位置サービスに影響を与えない。また、検索やMapsなどのサービスで、あなたのアクティビティの一部として何らかの位置データが保存されることもありえる。Google AccountでLocation Historyを無効にすると、そのGoogle Accountに結びついているすべてのデバイスでそれは無効になる。”

この更新は、今週初めの記事で追跡問題を初めて報じたAssociated Pressが再び報じた。Googleは最初、同社自身の不正確な報告を否定したが、その後否定を取り消し、説明をより明確にした、と述べた。

同社は今週初めに、次のように述べた,

Location Historyは全面的にオプトインのGoogleプロダクトであり、ユーザーはいつでもそれを編集、削除、無効化等にできる。その記事が言っているように、ユーザーがこのプロダクトを無効にしたときには、Googleで検索をしたり、運転の方向を知るためにGoogleを使用したときなどには、Google体験を改良するために位置の利用を続ける、とユーザーに確実に知らせている。

Googleは追跡を続けることへの理解を求めるために、言葉遣いを改めた、と言っている。同社はAPにこう語っている: “Location Historyを説明する言葉に関し、弊社のプラットホーム全体やヘルプセンターとの整合性および明確性の実現に努めた”。

もちろん、ヘルプページの言葉を直すことは、追跡の継続という問題への対応とは無関係だ。しかもそれは、同社のユーザー位置追跡ポリシーを完全に明らかにしていない。しかも率直に言って、ヘルプページでその情報を見ようとするユーザーは、ほとんどいないだろう。消費者の信頼を維持するためには、問題に関する透明性がまだまだ必要だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Amazon Echoをハックして盗聴できることをセキュリティ研究者たちが発見

DefConでハッカーたちが、スマートスピーカーの新たなセキュリティ問題を公表した。このセキュリティカンファレンスでスピーチしたTencentのWu HuiYuとQian WenxiangはBreaking Smart Speakers: We are Listening to You(スマートスピーカーを破る: あなたを盗聴できる)と題するプレゼンを行い、彼らがAmazonのEchoスピーカーをハックして、それにスパイ役をやらせた方法を説明した。

このハックは、まずAmazon Echoのハンダ付けされている部品を交換するなどして、それを改造する。そしてハックの被害者となる正常なEchoは、改造Echoと同じネットワーク(同じLAN上)に接続していなければならない。

この設定で改造Echoは盗聴者になり、他のEchoスピーカーからの音声をリレーする。他のスピーカーたちは、何かを‘送信’をしてるわけではない。

この方法はとても難しいが、Amazonの人気増大中のスマートスピーカーを悪用するための第一歩だ。

研究者たちは、プレゼンの前にそのエクスプロイトをAmazonに通知した。そしてWired誌によると、Amazonはすでにパッチをプッシュしたそうだ。

しかしそれでもそのプレゼンテーションは、悪質なファームウェアを搭載した一台のEchoが、同じネットワークに接続している一群のスピーカーを変えてしまうことを示している。たとえばホテルの各室にEchoがある場合など、危ないだろう。

Wiredは、Echoのネットワーキング機能がハックを可能にした仕組みを説明している:

手術をされたEchoをターゲットデバイスと同じWi-Fiネットワークに接続できたら、ハッカーはAmazonのスピーカーのソフトウェアのWhole Home Audio Daemon呼ばれる部位を利用できる。同じネットワーク上のEchoは、この部位を使って互いにコミュニケートする。このデーモンに脆弱性があることをハッカーは発見し、それを、ハックしたEchoから悪用して、ターゲットのスピーカーの完全なコントロールを取得した。たとえばそのEchoに勝手な音を出させたり、もっと困るのは、オーディオを黙って録音したり、遠くのスパイに送ったりできる。

AmazonはWiredに、“セキュリティフィックスによるアップデートが自動的に行われたので顧客は自分のデバイスに何もする必要がない。この問題は、犯人がデバイスに物理的にアクセスできて、デバイスのハードウェアを変える能力を持っていることを必要とする”、と述べている。

ただしハックを実行するために犯人がアクセスできなければならないのは、犯人自身のEchoのみである。

Amazonは、その音声デバイスが顧客をモニタしているという懸念を一蹴したが、今年のDefConでハッカーたちは、それができることを証明した。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Facebook、米国フォロワーの多いページのセキュリティーを強化

本日(米国時間8/12)Facebookは、多数の米国人フォロワーをもつFacebookページの安全を強化し,偽アカウントや乗っ取ったアカウントを使ってページを運営することを困難にする新しい規制を実施する。米国に多くのフォロワーをもつ人々を皮切りに、一部のFacebookページではPage Publising Authorization(ページ発行承認)プロセスの通過が必要になっている。Page管理者は自分のアカウントのセキュリティーを確保し、位置情報の検証も行わなければならない。

手続きは数分で終わるとFacebookは言っている。この承認が必要なページの管理者は、ニュースフィードのトップに通知が表示されプロセスを開始するよう誘導される。

承認プロセスを拒否すると、ページに投稿できなくなるとFacebookは言っている。規制は今月から適用が開始される。

ページ管理者がクリックしていくと、なぜこれか行なわれていて、どんなステップがあるのかを説明するメッセージが表示される。アカウントの安全を確立するために、Facebookはページ管理者に二要素認証の利用を要求する。こうすることで第三者に乗っ取られる可能性が小さくなり、これはページ管理者に限らず全Facebookユーザーがとるべき最善の行動でもある。

さらにページ管理者は自分の位置情報も検証する必要がある。これに基づいてページの主要所属国が設定され、6月に導入された新しいページ情報タブに表示される

Facebookは、そのページを管理している人たちの属する国を一覧表示し、それぞれの国から管理者が何人参加しているかも表示する。

また、ページ履歴にはそのページが他のページと統合された時期も表示される。

同社によると、新しいポリシーはまず米国内ユーザーの多いページに適用され、Instagramでも近く同様の規定が実施される。Instagramでは、フォロワー数の多いアカウントに関して、より詳細な情報を見られるようにする。

「目的は、組織や個人が自らの素性や行動内容を偽ってアカウントを作るのを防ぐこと」とFacebookの発表リリースに書かれている。「今回の変更は、Facebookページの信憑性と透明性を高めるための継続的取り組みの一環である」。

今回の変更は、中間選挙に向けてロシアが選挙妨害に関与している可能性をFacebookが発見したことを受けたものだ。同社はこの発見に基づき、Facebookページ8件、Facebookアカウント17件、およびInstagram アカウント7件を削除した。

多数の米国人ユーザーと繋がっているFacebookページの安全性と管理状態の透明性を高める今回のポリシー変更は、Facebookにできる行動として良い第一歩と言える。それでも、民主主義を破壊し、分裂をうながそうと企む連中は、いずれこうした規制の抜け穴を見つけるのだろう。

原文へ
 
(翻訳:Nob Takahashi / facebook

カリフォルニア州で画期的なデータプライバシー法が成立

【抄訳】
カリフォルニアのデータプライバシー法は、内密のデータ収集が生きる糧(かて)でもある多くのテクノロジー企業の強い反対を乗り越えて、あとは知事が署名するだけで成立の運びとなった。そのCalifornia Consumer Privacy Act of 2018は州議会を通り、今、成立のためにJerry Brown知事のデスクに向かっている。

アップデート: 知事が法案に署名したので、法は来年末に発効する:

[カリフォルニア州議会プライバシーと消費者保護委員会委員長Ed Chauの知事署名直後のツイート]

この法は、消費者が知らない間に自分のデータを集められて売られることを防ぐための、さまざまな強力な措置を集めている。その全文はここで読めるが、主な内容は以下のとおりだ:

  • 企業は自分が集める情報とその事業目的、およびそれらを共有するサードパーティを開示しなければならない。
  • 企業はそのデータを削除する消費者の公式の要求に応じなければならない。
  • 消費者は自分のデータが売られることを拒否でき、それに対し企業は料金やサービスのレベルの変更で報復してはならない。
  • しかしながら企業は、データの収集を許されることに対して“金銭的なインセンティブ”を提供してもよい。
  • カリフォルニア州当局は違反した企業に罰金を科すことができる。

ご覧のようにこれは、FacebookやGoogleのような企業に抑制を課すもので、とくにこの二社は、個人的にまたは業界団体等を通じて、法案に反対する勢力に加担していた。

また長年、顧客データを有料でサードパーティと共有していたAT&TやVerizonのようなインターネットプロバイダーも、法案に反対していた。

しかしこの法律は、詳細な条文を知らなくても誰もが支持するようなものだった。なぜならば、大手テク企業やISPたちのやり方に対して、すべての良識ある人びとが怒っていたからだ。

知事のデスクに向かっている法案は、お金持ちの活動家Alastair Mactaggartが提案していたものよりも、やや緩(ゆる)い。彼は11月の州民投票を呼びかけていたが、しかし議会が法律を成立させたなら活動をやめる、と言っていた。そして、そのとおりになった。

[知事署名前のツイート]

【後略】

〔参考: EUのGDPR

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

モバイルのプライバシーで頑張るKeepsafeが守秘機能を強調したブラウザーをリリース

プライベートな写真アプリKeepsafeを作っているKeepsafeが、製品ラインを拡大し、モバイルのWebブラウザーをリリースした。

協同ファウンダーでCEOのZouhair Belkouraによると、写真アプリ、VPN、プライベートな電話番号生成アプリなどKeepsafeの製品はすべて、プライバシーの保護で共通しているだけでなく、意図的にそれらの機能をシンプルで分かりやすくしている。Belkouraによるとそのやり方は、独特のジャーゴンや複雑な設定の多い、今のセキュリティ技術の対極にある。

さらにBelkouraによると、インターネット上のプライバシーには複数のレベルがある。たとえば政府機関や大手テクノロジー企業が個人データにアクセスしているが、そのことは知識のレベルでは気になっても、感情のレベルでは誰も本気で気にしていない。

そして、“うるさいご近所さん”という問題もある。つまりBelkouraによれば、“10億人がGmailを使っていて、それらのメールはすべて広告のためにスキャンされているにもかかわらず、ご近所の人に‘あなたのメール読ましてくれる?’と言ったら必ず断られる”。

Keepsafeの今度のブラウザーは、この二種類のプライバシーに対応しているようだ。まず、自分のブラウザーをPINでロックできる(Touch IDやAndroid Fingerprintも使える)。

Keepsafe browser tabs

また実際にWebを閲覧しているときは、通常の個々のタブで、ソーシャルサイトや広告やアナリティクスによる個人追跡をブロックできる(追跡者の種類も指定できる)。ただしクッキーとキャッシュは保存されるから、今ログインしているWebサイトやそのほかのセッションのデータは維持される。しかし、タブ全体をプライベートに指定すると、そのタブを閉じたら何もかも消え去る。

従来のブラウザーにもプライベート(匿名)モードがあるが、Belkouraに言わせると、Keepsafeのブラウザーはプライバシーを最前面に打ち出して設計されている。ユーザーには最初からそのことが、強烈かつ明確に訴求される。そしてこのブラウザーは、同社のさまざまなプライバシー製品の一環にすぎない。今後は、それら複数のプライバシー製品の統合も予定している。

そのKeepsafe Browserは、iOSもAndroidも無料だ。

収益化に関してBelkouraは、“プライベートなブラウザーそのものを売り物にしたくはない。今後もっと総合的なKeepsafe Suite(総合ソフトウェア集)が形をなしてきたら、そこらで課金を考えたい”、と言っている。

画像クレジット: Keepsafe

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

監視カメラがあなたを認識して警告や解説をメッセージするパーデュー大学のPHADEシステム

[筆者: Sarah Wells]
今や、通りにも、美術館にも、お店にも、どこにでもカメラがあるという認識は、人間の第二の天性になっている。でもそんなカメラが、人間とコミュニケーションできたらどうだろう? パーデュー大学のコンピューターサイエンスの研究者たちは、そのディストピア的な未来を現実化して、今日、ペーパーに発表した。ただし彼らによると、それはそんなに怖いものではないそうだ。

そのシステムはPHADEと呼ばれ、PHAの部分は“private human addressing,”(プライベートな人間アドレシング)の頭字語だ。プライベートというのは、カメラと個人の携帯電話がコミュニケーションするけれども、そのときにIPやMacのアドレスなどに相当する個人データはいっさい送信されない、という意味だ。この技術が依存するのは、そんな具体的なデータではなく、動きのパターンから人物の所在を突き止める方法だ。だからその通信にハッカーが割り込んだとしても、人の物理的な位置はわからない。

美術館の通路を歩いていると、自分が知らなかった絵に目が止まった。ガイドは団体客の世話に追われている。お金を払わなかったので、オーディオツアーのヘッドホンは使えない。その作品の前で考え込んでいると、突然スマホのブザーが鳴り、その美術作品とそれを描いた画家についての詳しい情報を、自分の手のひらの中で知ることができた。

そんなことができるために研究者たちは、テーマパークなどで使われている方向性オーディオ(directional audio)に似た技術を使う。その技術は、ライブのビデオデータを分析して、歩行者の個々の動きのパターンを同定する。そしてそれが、絵画の前など特定の範囲にあれば、その映像を捉えているカメラの位置(“モーションアドレス”)へ、解説のアナウンスを流す。ユーザーのスマートフォンは、モーションアドレスが自分の位置とマッチしたら、解説メッセージを受信する。

この技術は、このように美術館の作品解説などに役に立つだけでなく、歩行者を犯罪から護ることもできる、と研究者たちは考えている。

コンピューターサイエンスの助教授でこの技術の共同開発社であるHe Wangは、声明文でこう述べている: “われわれのシステムは監視カメラと人間を結ぶ橋になる。犯罪や事故の多い地区で監視カメラをこの技術で強化すれば、たとえば“あなたをつけている不審者がいる”などと、警告することができる”。

テクノロジーをフルに利用する監視社会に対しては批判の方が多いが、カメラがあなたを見守っていてくれることには、利点もありそうだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

iOS 12ではFace IDに2人目の顔を登録できるらしい

ARの機能向上からグループFacetimeまで、iOS 12に関する注目すべき発表は山ほどあった。しかし、今年の秋にやってくるAppleのモバイルOSには、WWDCのキーノートでは触れられなかった実用的なアップデートがある。

9to5Macによると、 iOS 12ではFaceIDに2種類の顔を登録できるらしい。

これまでFace IDでは、iPhone Xに登録できる顔は1つだけだった。9to5MacはiOS 12ベータを精査する中でこの変更に気づいた。そこにはFace IDの設定項目として「別の顔を登録する」が新たに加わっていた。

説明は以下の通り。

あなたの顔を学習し続けことに加えて、Face IDは別の顔も認識することができます。

あまりはっきりしない説明だが、9toMacはテストしてこの機能を確認し、以下の問題点を見つけた。Face IDに2種類の顔を登録したユーザーが、その別の顔を削除するために自分のFace ID登録をはじめからやり直さなければならない。言い換えると、別の顔をリセットしたければ、登録済みの自分の顔もクリアする必要がある。

そんなちょっとした不便さはあるものの、Face IDに第2の顔を登録できることは実に理に適っている。カップルが携帯電話を行き来させることは実用上よくあることだし、親が自分の携帯電話を子供に使わせてゲームをさせたりアプリを試したりすることもある。

そしてこれは次世代iPadにFace IDが採用される兆候かもしれない。タブレットはスマホ以上に複数ユーザーで共有する機会が多いのだから。

[原文へ]

(翻訳:Nob Takahashi / facebook

Facebook曰く、Cambridge Analyticaの不正に気付かなかったのは「古いタイプの脅威」に集中していたから

Cambridge Analyticaの2016年大統領選挙に関わる大規模なデータスキャンダルを見聞きした人々の多くは、どうしてそんなことが起きたのか不思議に思っている。実は、Facebookも、起きると思っていなかった。Facebook COOのSheryl Sandbergが今晩(米国時間5/30)のCodeカンファレンスで語った。

「2016年に戻って、人々が国や州や選挙機密について何を心配していたかを考えると、ほとんどがスパムやフィッシングによるハッキングだった」とSandbergは言った。「それがみんなの心配事だった」。

SandbergはSonyのメールハッキング事件を引き合いに出し、当時Facebookには、他の企業が抱えていた多くの問題はなかったと説明した。不幸なことに、Facebookはその分野で失敗はしなかったものの、「違う種類のもっと狡猾な脅威が来るとは思っていなかった」とSandbergは言った。

「われわれは新しい脅威がやってくることを予期していなかったことに気付いた。以前は古い脅威に集中していたが、今はこれがわれわれの抱えている問題であることを理解している」

今後に向けてSandbergは、今Facebookは問題を認識しており、将来の選挙に向けてこれらの脅威によりよい対応ができるようになったと語った。さらにSandbergは、Cambridge Analyticaの不正アクセスを発見したのが遅かっただけではなく、FacebookはいまだにCambridge Analyticaが何のデータをアクセスしたのかを正確にはわかっていないことも壇上で語った。Facebookは英国政府が独自の監査を行った際、まだ自社による監査の最中であったため、調査が一時中断した。

「われわれが当社のものであると識別できた可能性のあるデータを彼らは一切持っていなかった」とSandbergは言った。「今日にいたるまで、Cambridge Analyticaが何のデータを所有していたのか、まだわかっていない」。

[原文へ]

(翻訳:Nob Takahashi / facebook

Yahooから30億のメールアカウントを盗んだハッカーが5年の懲役と全資産没収

11月に罪を認めたカナダ人ハッカーKarim Baratov(23歳)は、Yahooをハックして最大30億のアカウントを露出した罪の、少なくとも一部に関して有罪が確定し、刑期5年の懲役刑が下(くだ)された。司法省によるとBaratovは、ロシアの諜報機関FSBの二人のエージェントの指示により、それらのアカウントを漏洩した。

二人の職員、Dmitry DokuchaevとIgor Sushchinは、同じくYahooハックに関わったラトビア人のハッカーAlexsey Belanと共にロシアに居住する。その居住地からして、これら三名が関与に関して罪を問われることはないと思われるが、Baratovのカナダ国籍は、彼を訴追可能にした。

司法省によるBaratovの刑の宣告(要約)には、こう書かれている: “この共謀罪におけるBaratovの役割は、FSBで働いていた彼の共謀者にとって関心のある個人のWebメールのアカウントをハックし、それらのアカウントのパスワードを金と引き換えにDokuchaevに渡すことだった”。

カリフォルニア北部地区担当の連邦代理検事Alex G. Tseが、外国政府の不正行為に加担しようとする未来のハッカーに対して、厳しい警告を発している:

“今回の量刑は、人に雇われてハッキング行為をすることの重大な犯罪性を反映している。Baratovのようなハッカーは、彼を雇って金を払う人びとの犯罪目的を考慮することなく、自分の仕事に専心する。これらのハッカーは軽犯罪者ではなく、犯罪者が個人情報を不法に入手して悪用するために使用する、重要な道具である。Baratovに対する5年の懲役刑は、国民国家がスポンサーとなるサイバー攻撃に参加するハッカーに向けて、その重大な結果を知らしめるために法廷が送る、明確なメッセージである。”

Baratovは5年の実刑に加えて、彼の保有資産225万ドルの全額を罰金として支払わなければならない。彼は陳述の中で、2010年から逮捕の2017年までに11000件のメールアカウントをハックしたことを認めた。

Baratovの罪にはほかに、加重的個人情報窃盗と、コンピューター詐欺と悪用法に違反する共謀罪が含まれている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

GDPRの施行でアメリカのニュースサイト触法懸念でヨーロッパからの読者を敬遠

EUの新しいプライバシー法が施行された金曜日(米国時間5/25)には、アメリカの一部のニュースサイトがヨーロッパの読者にとって存在しなくなった。そのGeneral Data Protection Regulation(GDPR)と呼ばれる規則は、消費者の何らかの個人データを集めるインターネット企業が従うべき厳格な要件の集合を定めている。その影響はきわめて大きいので、アメリカのメディア企業Troncは、何かが違反と見なされることと、それがもたらす予期せざる結果を恐れて、ヨーロッパの読者をすべてブロックすることに決めた。

EUをブロックするTronc傘下のサイトは、Los Angeles Times, The Chicago Tribune, The New York Daily News, The Orlando Sentinel, The Baltimore Sunなど、地方の名門紙が多い。Lee Enterprises傘下の新聞、The St. Louis Post Dispatch, The Arizona Daily Starなども、ヨーロッパの読者をブロックした

[Tronc傘下の新聞はどれもGDPRに違反しているようだ、ヨーロッパからのトラフィックを遮断した]

ヨーロッパの人たちが読まなきゃ(当面)文句ないだろう、と考えたTroncと違って、アメリカの大手全国紙の多くは、Webサイトの問題箇所を削除改変したバージョンを提供したり、ユーザーデータの利用に関してオプトインを求めたりしている。NPRは、同サイトのプレーンテキスト・バージョンを読者にすすめて、喜ばれている。

[USA TodayのGDPR遵守バージョンは広告も自動再生ビデオもなく、すっきりしてとても良い]

多くの地方紙が、その多くがアメリカの市場に貢献しているEUのユーザーを遮断して良しとしているが、一部は、これを機にむしろ、国際的な読者を惹きつけて目立とうとしている。彼らは、のけ者にされたヨーロッパのユーザーに、遮断作戦を公然と批判するよう、すすめている。

彼らは、批判されて当然である。GDPRのプライバシー規則は2016年4月に採択されたから、企業がコンプライアンスを整備する時間は規則の施行まで2年もあったのだ。

GDPR入門記事(未訳)

[原文へ]
(翻訳:iwatani(a.k.a. hiwa