headless 曰く、

Googleが安全保障上の問題を理由に、Android OSをHuaweiに対する輸出制限から除外するよう米商務省と交渉しているとFinancial Timesが報じている(VentureBeatの記事、 Ars Technicaの記事、 The Vergeの記事、 Bloombergの記事)。

米商務省は5月15日、米国のテクノロジーを販売・移転するのに産業安全保障局(BIS)のライセンスが必要となるエンティティリストにHuaweiを追加したが、5月20日には90日間の一時的な一般ライセンス(TGL)を発行している。これにより、Huaweiは8月18日まで輸出管理規則(EAR)で制限されない米国のテクノロジーを個別のライセンスなしで入手可能となっており、今後商務省ではTGLの期限を延長するかどうかの判断を行なう。

Googleが交渉しているのは、TGLの延長またはライセンスの免除だという。Financial Timesの情報提供者によれば、GoogleがAndroidを輸出制限から除外すべきと主張する根拠は以下のようなものだ。HuaweiがAndroidを入手できなくなればHuaweiはAndroidのオープンソース部分をフォークしたハイブリッド版のAndroidを開発することになる。ハイブリッド版はGoogle版と比べてバグが多くなることが予想され、Huaweiの端末が(特に中国により)ハッキングされる可能性が高まるとのこと。

GoogleはFinancial Timesに対し、商務省の措置を確実に順守するため同省と連携しているとしたうえで、同社が注力しているのは既存のHuawei端末を利用するGoogleユーザーのセキュリティを保護することだと述べたとのことだ。

一方、FacebookがWhatsAppやInstagramを含む同社のアプリについて、Huawei製端末へのプリインストールを停止したとReutersが報じている。ReutersではHuaweiに新たな一撃が加わったと述べているが、Android Policeの記事では最近のHuaweiに関するニュースの中で、ようやくいいニュース(ゴミアプリがプリインストールされなくなる)が出てきたと評している。

Microsoftがストアアプリ向けに提供している広告SDKを通じた不正広告攻撃キャンペーンが4月から発生しており、1か月以上経過しても対策は行われていないようだ(Softpediaの記事、 The Registerの記事、 Bleeping Computerの記事、 Born's Tech and Windows Worldの記事)。

不正広告攻撃の内容としては、アプリのバナー広告に触れなくてもデフォルトブラウザーでWebページが開き、「賞品が当たった」「ウイルスに感染している」などと表示されるというもの。サードパーティー開発者によるアプリだけでなく、Microsoft製のアプリや、Outlook.comなど広告の表示されるMicrosoftのWebサイトでも発生しているらしい。MSDNのフォーラムでは4月17日にアプリ開発者が報告しており、4月19日にはMSDNのコミュニティサポート担当者が広告チームに伝えると回答している。しかし、その後の更新情報はなく、開発者やユーザーから不満の声が数多く投稿されている。修正予定なしとSDKチームから聞いたとのコメントもみられる。当初の報告はドイツのユーザーからのものだったが、英国やオランダからの報告も出ているほか、4月末にはフランスでも発生していたようだ。

Microsoftコミュニティーにボランティアのモデレーターが投稿した記事によれば、不正広告ページの中にはWindows Defender SmartScreenでブロックされるものもあるが、ドメイン単位でのブロックは行われていないという。また、偽のウイルス警告ページがダウンロードページにリダイレクトする偽セキュリティアプリはMicrosoftが望ましくない可能性のあるアプリケーション(PUA)に区分しているものの、Windows Defenderがマルウェアとして検出することはないそうだ。

MicrosoftはThe Registerに対し、同社がユーザーに無断でメッセージを送ることはなく、そのようなメッセージが表示されたらブラウザーのウィンドウを閉じればいいと述べるのみで、広告SDKの問題については触れなかったとのことだ。

日本語版には未反映だが、Appleが3日付でApp Store Reviewガイドラインを改訂し、ペアレンタルコントロールアプリでのモバイルデバイス管理(MDM)機能の使用を認める文言を盛り込んだ(英語版ガイドライン、 The Vergeの記事)。

AppleはiOS 12のペアレンタルコントロール機能「Screen Time」発表直後からサードパーティーのペアレンタルコントロールアプリにガイドライン違反を通告し、ペアレンタルコントロールアプリとして重要な機能の削除を要求してアプリ開発者から強い批判を浴びている。これについてAppleではこれらのペアレンタルコントロールアプリが「MDMと呼ばれる高度に侵入する技術」を使っており、「App Storeのポリシーに明確に違反」すると反論していた。

改訂版のガイドラインでは新たに「Mobile Device Management」という項が追加され、Appleの許可が必要となるものの、MDMの主目的であるモバイルデバイス管理アプリ以外にもペアレンタルコントロールサービスで利用可能なことが明記された。利用にあたっては収集するデータを事前に提示することや、収集したデータを第三者に提供しないことをプライバシーポリシーで約束することなどが求められている。VPN Appsの項ではペアレンタルコントロールアプリやコンテンツブロッキングアプリ、セキュリティアプリなどでもNEVPNManager APIを利用可能にする文言が追加された。

また、「子ども向け」カテゴリのアプリではサードパーティ広告とアナリティックスを含めることが禁止(これまでは行動ターゲティング広告のみ禁じられていた)され、収集したデータの第三者への送信禁止も明記された。これ以外の項目でもプライバシー関連の制限強化や明確化が行われた。このほか改訂版ガイドラインでは、2.5.5でIPv6完全対応が必須化されており、4.2.7ではリモートデスクトップアプリの接続先にゲームコンソールが追加、4.7ではHTML5ベースアプリで提供を禁止する機能として賭博・慈善活動への寄付・電子商取引の追加などの変更が行われている。

昨年Mozillaが開始した既知の個人情報流出の影響を通知するサービス「Firefox Monitor」が、「Firefox Monitor 2.0」にアップデートされた（窓の森、Mozilla Blog）。

メールアドレスを入力すると、そのメールアドレスが過去に発生した漏洩情報などに含まれていないかをチェックできるというサービス。登録したメールアドレスに関する新たな情報漏洩が確認された場合に通知を行う機能も備える。Firefox Monitor 2.0では複数のメールアドレスを登録してまとめて監視できるようになったほか、分かりやすく状況を確認できるダッシュボードが追加された。

headless曰く、

Googleは信頼できるChrome拡張にするための対策を昨年発表しているが、これに関連するChromeウェブストアのポリシー変更が発表された（The Keyword、The Verge、The Next Web、Android Police）。

Googleではサードパーティー開発者によるGoogleアカウントやAndroidデバイスのデータへのアクセスを見直すProject Strobeを昨年から実施しており、今回のポリシー変更はその一環だという。Google+のコンシューマー向けサービス終了もProject Strobeの成果によるものだ。

まず、拡張機能はその機能の実装に必要なデータへのアクセスのみを要求することが求められる。ある機能を実装するのに利用可能なパーミッションが複数ある場合、アクセスするデータの量が最も少ないものを選択する必要がある。このように選択することは従来から推奨されてきたが、今後はすべての拡張機能で必須となる。また、これまでは個人情報を扱う拡張機能のみプライバシーポリシーの公開が必須となっていたが、変更後は個人の通信やユーザーによるコンテンツを扱う拡張機能が追加される。新ポリシーは今夏のロールアウトが計画されており、開発者が対応する時間をとれるよう事前に発表したとのこと。このほか、サードパーティーアプリによるGoogle Drive APIへのアクセス制限も合わせて発表されている。GmailはGoogle API Servicesユーザーデータポリシーを変更し、今年1月からサードパーティーアプリのデータアクセスを制限しているが、これと同様の制限をGoogle Driveにも課す計画だ。こちらは2020年初めから適用される。

Project Strobeとは別に、拡張機能を不正にインストールさせる手法を禁ずるChromeウェブストアの新ポリシーも同日発表されている。Googleは昨年、Chromeウェブストアでホストされた拡張機能を他サイトから直接インストールするインラインインストールを廃止しているが、他サイトからChromeウェブストアへ誘導する際に不正な手法が使われることもあったという。新たに禁止されるのは、拡張機能が具体的に何をするものなのか不明瞭または目立たないように説明する、拡張機能のインストール以外のアクションを実行するボタンなどからChromeウェブストアへ移動させる、Chromeウェブストアを表示する画面を小さくしてメタデータが表示されないようにする、といった3種類の手法だ。新ポリシーは7月1日から適用され、これを守らない拡張機能はChromeウェブストアから削除されるとのことだ（Chromium Blog、FAQ、Android Policeの記事[2]）。

米国家安全保障局 （NSA）の元局員エドワード・スノーデン氏がNSAによる国民監視を暴露してから6年が経過した。彼の予言した大衆監視社会は実現化しつつある。一方でスノーデンが公開した情報は風化しつつある。情報公開元の一つであったThe Interceptは3月、取締役会の決定によりスノーデン関連のアーカイブの公開を取りやめた。

スノーデンの啓示によって歴史はまったく変わらなかった。告発対象となったアメリカ諜報機関はほとんど無傷だ。制度上の変化もなかった。2015年6月、愛国者法第215条の失効により、政府のメタデータの収集能力は喪失した。が、それも大衆の監視を抑えることにはつながらなかった。今でもプライバシーは広告収入、四半期ごとの収益というシリコンバレーのビジネスを継続させる一種の「希望」となり、そしてスパイたちへの対抗力として使われ続けている。

むしろスノーデンの監視社会への警告は、テロリストに悪用されつつあるとも言える。ISISのリーダーであるアブー・バクル・アル=バグダーディーは、アメリカのOPSECを信奉し、それにより今でも生存している。彼はOPSECを参考にして自分の位置を特定するリスクのある電子機器を制限したり、ウサーマ・ビン・ラーディンが死亡する原因となった宅配便の利用を避けるようになった。スノーデンは強力な暗号化を推進していたが、より高いレベルのセキュリティを達成するには、テクノロジを放棄する必要があることを、ISISリーダーの例は示している（CounterPunch.org、Slashdot）。

headless曰く、

Microsoftが5月の月例更新で修正したRemote Desktop Servicesの脆弱性（CVE-2019-0708）について、影響を受ける旧バージョンWindowsにパッチを適用するよう呼び掛けている（MSRCのブログ記事、The Verge、Ars Technica、BetaNews）。

BlueKeepとも呼ばれるこの脆弱性は、悪用するとリモートからの任意コード実行が可能になるものだ。Microsoftでは脆弱性をワームに転用することが可能であり、SMBv1の脆弱性を悪用するWannaCryのようにネットワークに接続したコンピューター間での感染拡大が起こる可能性があるとしてパッチ公開時に注意喚起していた。今回改めて注意喚起したのは、5月28日にErrata Securityが公表した「BlueKeep脆弱性が修正されていないコンピューターが100万台近くインターネットに直接接続している」という調査結果がきっかけとみられる。

Microsoftによれば、現在のところワームによる攻撃は確認されていないものの、脆弱性を狙った攻撃が可能であることは間違いないという。実際には脆弱性を悪用するマルウェアが出現しない可能性もあるが、確実とはいえない。WannaCryの元になったEternalBlueエクスプロイトの場合、Microsoftがパッチを提供してから1か月後に公開されたが、さらにその1か月後にWannaCryの大規模感染が発生した。つまり、パッチの提供開始から2か月経過しても未適用の環境が多かったということになる。そのため、同様な事態になることを避けることが注意喚起の目的のようだ。

あるAnonymous Coward曰く、

英政府通信本部（GCHQ）は各種メッセージングサービスで送受信されるメッセージを法執行機関などが閲覧可能にするシステムの導入を提案しているが、これに対しApple、Google、Microsoft、Facebook傘下のWhatsAppといったIT大手やセキュリティ専門家らが共同でこの提案を放棄することを求めた書簡を送付した（CNBC、CNET、ITmedia、Slashdot）。

問題となっている提案は、ユーザーに見えない形で法執行機関などのユーザーをメッセージの送受信先に追加するというもの。書簡ではこういった行為がサービスプロバイダとユーザーの信頼を損なうほかセキュリティにも問題が出る可能性があるとして反対している。

長崎県・佐世保共済病院のPCでコンピュータウイルスが検出され、院内システムが利用できなくなったために救急患者を含めた新規患者の受け入れを見合わせるというトラブルが発生していたという（NHK、日経xTECH、長崎新聞）。システムはすでに復旧しており、6月3日には受診制限を解除したとのこと（佐世保共済病院の発表）。

5月28日に放射線検査機器を接続したPCでウイルスが見つかり、電子カルテ用のPCへの感染も確認された。そのため被害拡大を防ぐために院内のネットワークを遮断したという。院内のシステムはインターネットには接続されていないという。

あるAnonymous Coward曰く、

内部告発サイト「WikiLeaks」では、米政府機関などの機密情報などのリーク情報を公開していたが、これに対し米政府は同サイトの創設者であるジュリアン・アサンジ氏をスパイ活動法違反などの疑いで追起訴した。これに対し、米国では報道の自由を侵害する行為ではないかとの批判が高まっているという（日経新聞、WIRED）。

批判の内容は、「この国の歴史で初めて政府は、本当の情報を公開した者を公訴した」「もしこの訴訟でアサンジを有罪にするなら、政府は誰でも有罪にできる」といったもの。これが前例となり、政府が隠している情報を公開したジャーナリストが今後訴えられる可能性も危惧されている。

あるAnonymous Coward 曰く、

JavaScriptを使って無限にアラートを表示させる行為について、トレンドマイクロが「ウイルス供用罪の可能性があり非常に悪質な行為」だと主張していたことに対し批判が出ている（黒翼猫のコンピュータ日記 2nd Edition）。

アラートループ摘発事件はこの資料を基に「非常に悪質だが低い技術力で検挙可能な行為がある、端緒になる」という判断が行われたという経緯だったのだろうか。

トレンドマイクロは無限にアラートを表示させるようなWebページを「ブラウザクラッシャー（ブラクラ）」だと誤解させるような記事を2013年にセキュリティブログで公開しているだけでなく、『2013年のスマートフォンの脅威と2014年の脅威予測」カンファレンス』というイベントでもJavaScriptを使った無限ループについて「ブラクラ」だとし、ウイルス供用罪の可能性があると発表していた（発表資料）。

こういった無限アラート表示については、そのURLをネットに投稿した男性などが摘発される（アラートループ事件）も発生したが、最終的には起訴猶予処分となり、弁護士からは「嫌疑無しにすべきだった」との声も出ている。

米国務省が非移民ビザを含むビザ申請者の大部分に対し、利用しているソーシャルメディアの情報を申告するよう求める新方針を5月31日に開始したそうだ(The Vergeの記事、 The Hillの記事)。

ビザ申請フォームにはソーシャルメディア情報を入力する項目が追加され、ドロップダウンリストからソーシャルメディアのサービス名を選択してIDを入力することになるようだ。入力したソーシャルメディアIDは米政府の監視リストによるバックグラウンドチェックと組み合わせて使われるという。ビザ申請者はソーシャルメディアを使用していないというオプションを選択することもできるが、虚偽の申告をした場合は入国時に重大な問題となる可能性もあるとのこと。現在のところドロップダウンリストで選択できるのはメジャーなソーシャルメディアサイトのみだが、今後すべてのサイトを選択できるようになるとのことだ。

ソーシャルメディアIDの要求は、ドナルド・トランプ大統領が入国時のスクリーニング強化を命じた2017年3月の大統領令から派生したものだという。ただし同様の計画はそれ以前から出ており、ビザなしでの入国に必要なESTA電子渡航認証システムの申請フォームでは、2016年12月からソーシャルメディアIDを申告する項目がオプションとして追加されている。

家電量販店大手のヤマダ電機が、同社のネットショッピングサイトに不正アクセスがあり顧客の情報が漏洩したとの発表を行った。

これによると、不正アクセスによって決済アプリケーションが改ざんされており、3月18日から4月26日の間に同サイトに登録されたクレジットカードの情報が流出した可能性があるという。流出した可能性があるクレジットカード情報はクレジットカード番号および有効期限、セキュリティコード最大37832件とのこと。

同サイトではセキュリティコードの保存は行っていなかったが、アプリケーションの改ざんによって顧客が入力した情報が抜き取られてしまったようだ（Yahoo!ニュース）。

nemui4曰く、

ゴム印などで知られるシャチハタが、護身用のスタンプを開発するという（毎日新聞）。

どうか冤罪ネタには使われませんように。このネタ関係のtogetter見たけど、安全ピンでグサグサやっていいと思うよ。痴漢するやつは階段でコケて足くじいてしまえ。

痴漢された際にこのスタンプを相手の手などに押すことで証拠を残すというもの。まだ具体的な完成形については検討中だそうだが、真剣に商品化を目指すそうだ。

taraiok曰く、

国土安全保障省（DHS）の国境担当は、米国に出入りする旅行者に対して、令状なしでスマートフォンやラップトップPCといったデジタル機器の中身を自由に検閲できる。米上院議員の二人は超党派的な法案により、この状況を変えることを望んでいる。この二人はオレゴン州の民主党員であるRon Wyden、ケンタッキー州の共和党員であるRand.Par Paulの両氏。二人はProtecting Data at the Border Act[PDF]という法案を発表した（CNET、CNETその2、Slashdot）。

DHSによる国境での電子機器の検閲数は、ここ4年間で急増しているという。2015年には4,764件であったのに対し、2018年の検閲数は33,000件にまで増加。Ron Wyden上院議員は、「国境は頻繁に移動するアメリカ人にとって、権利のない地域になりつつある。休暇を取った、仕事のために移動しなければならないという理由で、政府があなたの電子機器を検閲することはおかしい」とWyden上院議員は声明で述べている。