【AdGuardニュース】クッキー, Google, Amazon, Twitter漏洩, 無許可監視など
今回のAdGuard News Digestでは、以下をご紹介します。
ChromeはサードパーティのCookieと決別できず、Twitterには情報漏洩が発生、欧州諸国はGoogleが学校にとって安全ではないと判断、スマートドアベルは警察とデータを共有(令状不要)、英国はハイテク企業に電話のスキャンを求めており、米国は携帯電話の位置情報を備蓄。
大手通信事業者、ユーザーを追跡する(クッキー不要の)新方法をテスト
欧州の大手通信事業者であるVodafoneとDeutsche Telekomは、サードパーティーのクッキーに代わる可能性のある新しいトラッキングツールをテストしています。
従来のトラッキング(個人情報追跡)方法は、ウェブサイトのインプリントを端末に保存することに依存していたが、TrustPidと呼ばれる新しいツールだと、サービスプロバイダーがすべてのデータを保存することが可能である。
TrustPidを使って、通信事業者がIPアドレスに基づいてユーザーに「擬似匿名トークン」を割り当てます。
サードパーティ・クッキーの廃止によりユーザーデータに飢えているウェブサイト運営者が、訪問者についてもっと知りたいと思えば、この識別子を呼び出して広告をパーソナライズすることができる。
ウェブサイトがユーザー個人を特定することはできないかもしれないが、ネットワーク事業者は簡単にそれを行うことができる。
TrustPidはこの仕組みは「プライバシー・フレンドリー」だと主張しているが、すでに、"supercookie"(スーパークッキー) として知られる物議を醸す追跡コードと比較されるようになっている。
クリアしたりブロックしたりできる通常のクッキーとは異なり、"supercookie"が保存されるのはデバイス上ではないため、ブロックすることができない。
Verizonは2016年に米国で、同意なしにユーザーのブラウザのリクエストに"supercookie"を仕込んだとして罰金を科された。
TrustPidは"supercookie"ではない、TrustPidはGDPRに準拠していると、Vodafoneが発言している。
これもまた、ハイテク企業がプライバシー保護を口実に追跡制限を回避しようとしている事例の一つである。
サードパーティ・クッキーの廃止が迫っているため、企業はユーザーデータを収集する新しい方法を考え出すことで、失われた広告収入を補おうとしています。
新しいトラッキング技術をいち早く採用し、広告市場の一角を占めようとする企業も見受けられます。
皮肉なことに、彼らは広告収入の追求を、ユーザーのメリットになるものとして見せようとしているのです。
デンマークとオランダ、学校でのGoogleサービス利用を制限
新学期が近づくにつれ、デンマークはGoogleに対して批判を宣言した。
デンマークのデータ保護機関は、学校での個人データ処理にChromebookとGoogle Workspaceを使用することを禁止している。
この禁止令は、一つの自治体に直接適用されているが、他の自治体もこれに従うよう勧告されている。
同庁は、ハイテク企業の個人情報処理方法は欧州データ保護法(GDPR)と相容れないと判断した。特に、グーグルが「必要なレベルのセキュリティなし」に米国などの第三国にデータを転送できることを問題視している。
Google Workplace for Educationには、Google Classroom、Google Docs、Google Slides、Gmail、Google Meet、Google Driveなどの代表的なEd-techツールが含まれている。
一方、オランダの教育省は、学校に対して、GoogleのChromeウェブブラウザとChrome OSを使用する際には、データの安全性を確保するために特別な措置を講じるよう促している。
現状では、この2つのサービスはGDPRに準拠しておらず、グーグルがアップデート版をリリースする予定の2023年8月に準拠する見込みです。
今のところ、Chromeを使い続けたい学校は、一部の学習者に不便を強いることになるであろうルールを守らなければならない。
例えば、ウェブサイトの自動翻訳を無効にする、スペルチェックをオフにする、広告のパーソナライズをオフにする、データがヨーロッパで保存されていることを確認する、などということが必要である。
また、学校はグーグルの検索エンジンをやめ、ダックダックゴー(DuckDuckGo)など、よりプライバシーに配慮した選択肢を選ぶよう奨励されている。
グーグルのデータ共有方法が各国政府の懸念にもなっているくらいなら、個人の人でも懸念を持ち始めるべきだろう。
Twitterのアカウント情報540万件が売りに出される
Twitterは休む暇がないようですね。
イーロン・マスクとの不毛な買収劇をめぐる法廷闘争に加え、ソーシャルメディアの巨人は新たな打撃を受けている。
Twitterのアカウント540万人分の電話番号とメールアドレスが入ったデータベースが30,000ドルで売りに出されたのです。
このデータは2021年12月にスクレイピングされたとされ、その後パッチが適用された脆弱性によって入手された。
このデータには、Twitterの公開プロフィール情報(ニックネームとプロフィールの説明)、電話番号および/またはメールアドレスが含まれています。
この侵害は、Twitterユーザー、特に公人に対して大きな脅威を与えています。
今後、有名人を巻き込んだソーシャルメディア暗号詐欺が増える可能性があります。
さらに、ユーザーのメールアドレスを既知のデータベースと照合することで、攻撃者は、政治家、活動家、有名人に関する情報を探り出し、彼らを脅迫することもできます。
特に、アダルトサイトや違法なマーケットプレイスなど、疑わしいコンテンツや禁止されているコンテンツを含む多くのウェブサイトへの登録に同じ電子メールを使用している人は、脆弱性があります。一般的に、このような情報漏洩を避けるために、SNSには専用のメールを使用したほうがよいでしょう。
Twitterのような大企業は、入念なセキュリティ・インフラを備えていてバグや情報漏えいとは無縁のように思われがちですが、それは誤った認識です。
Chrome、サードパーティCookieの廃止を再び延期
サードパーティーのクッキーに別れを告げるのは、Googleにとってあまりにも辛いようです。
同社のChromeブラウザにおけるトラッキングメカニズムの廃止を、今度は2024年の後半まで遅らせると発表した。
SafariとFirefoxはデフォルトでサードパーティークッキーをブロックしている一方で、Googleはもともと、Privacy Sandbox構想の一環として、2022年までにサードパーティークッキーのサポートを終了する予定であった。
その期限は、最初は2023年に延期され、現在は2024年に延期されている。
今年の初め、Googleはプライバシーを重視するユーザーと広告主の利益を調和させることを目的とした「プライバシーサンドボックス」構想を発表しました。
これは、サードパーティークッキーを「Topics」(トピックス)と呼ばれる仕組みに置き換えることで実現されるものだった。
プライバシーに配慮したトラッキングの代替案とされる「Topics」だが、Googleの広告独占を強化するだけで、テック大手は依然としてユーザー個人を特定することが可能だ。
トピックスとプライバシー・サンドボックス全体についての詳細なレビューはこちらAdGuardブログ記事にてご覧ください。
GoogleとAmazon、ドアベルとカメラのデータに警察をアクセスさせる
スマートビデオドアベルやホームセキュリティカメラを販売するGoogle傘下のNestとAmazon傘下のRingは、"緊急事態"の場合、ユーザーの同意や令状なしに、プライベートビデオデータへのアクセスを警察に許可できることを確認しました。Ring社は、今年に入ってから11件のこうした要求に応じたことを明らかにしており、その中には誘拐、自傷行為、殺人未遂に関するものもある。
Nestは、そのような要請を許可する権利を留保しているが、まだ許可していないと述べている。
Ringがユーザーデータを法執行機関に提供した後、顧客に通知しているかどうかは不明である。
法律で禁止されていない限り、通常緊急時の要請をユーザーに通知しているとNestは述べている。
米国の法律では、ビデオ映像を処理する企業が令状なしの要求に応じることを認めているが、法的にはその義務はない。
この慣行は、警察の過剰な介入や乱用につながる恐れがあるため、憂慮すべきものです。
法的な監視がない状況では、ある事件が緊急事態であるかどうかを決定する独占的な権利が企業に与えられており、ユーザーはそのような企業にデータを預ける前によく考える必要があります。
スマートホームシステムに組み込まれたバックドアによって、技術系企業はユーザーのデータに自由にアクセスできます。
しかし、この機能を必ずしも必要としないにもかかわらず、その代金を支払わなければならないのは、私たちユーザーである。
事実上、ユーザーはテック企業の詮索を自分のお金で賄うしかないということです。それ以外唯一の選択肢は、そのような製品を購入しないことのみです。
英国、児童性的虐待を検出するためのスマホスキャンをテック大手に求める
英国のサイバーセキュリティ責任者たちは、ハイテク企業に対し、携帯電話をクライアント側でスキャンするためのソフトウェアを構築するよう求めている。
このアイデアは、英国のオンライン安全法案案に沿ったものである。採用されれば、オンライン・プラットフォームに児童性的素材やテロリズムに関するユーザー・コンテンツのスキャンを強制することができるようになります。
このアイデアは、Appleが昨年、CSAMの検出機能を導入しようとしたことに似ている。
アップルは、エンドツーエンドの暗号化を危うくするとして、プライバシー擁護派の反発に遭い、結局この機能のローンチは見送られた。
今年初め、欧州委員会は、メッセージをスキャンしてCSAM素材を探し、メッセージ内の「グルーミング」を検出することをテック企業に義務付ける法律を提案した。
英国はプライバシーと児童保護の綱渡りをしたいのかもしれませんが、一度エンドツーエンドの暗号化が損なわれると、もう元には戻れないのです。
私たちは、不穏な動きを直接目撃しています。
まずEUで、そして今度は英国で、子どもの保護を口実にプライバシーが侵食されようとしているのです。
実行されてしまえば、子供保護のための有効性には疑問が残りますが、ユーザーのプライバシーへのダメージは回復不能で長期にわたります。
データブローカーが位置情報を米国政府に販売
米国自由人権協会(ACLU)が入手した文書によると、米国政府は2つのブローカーから電話の位置情報データを一括購入し、司法の監視を逃れてきたことがわかった。
移民や国境警備を扱う米国機関は、2017年から2019年にかけて、VenntelとBabel Streetから大量のデータを購入した。
一つの例では、米国税関・国境警備局(CBP)が3日間の間に携帯電話から133,654件もの位置情報を取得した。
ACLUは、この行為を、「スマートフォンのアプリから静かに抽出された」データに依存する不当な追跡と見ています。
アプリ開発者は、サードパーティのソフトウェア開発キット(SDK)をアプリに埋め込んで、ユーザーの位置情報を追跡できるようにすることができる。
これにより、開発者は、自社で解決策を考えるための費用と時間を節約することができます。
しかし、SDKの中には、ユーザーデータを第三者に転送し、販売することができるものがあります。
以前、私たちはSafeGraphというSDKベンダーが、中絶クリニックのクライアントの位置情報を販売していたことについて記事を書きました。
プライバシーを保護する方法の1つは、アプリに必要な権限のみを与えることです。
また、アプリがあなたの位置情報を特定することを許可しなければならない場合(例えば、天気予報アプリの場合)、そのアプリがあなたの位置情報を他の場所に中継しないかどうかを確認した方がよいでしょう。