Windows10の基本テレメトリ項目、公開される
Windows 10の問題の1つであるデータ収集について、ついにMicrosoftが基本項目を公開しました。
「Windows 10 バージョン1703(Creators Update)の基本診断イベントならびに項目一覧」
ページを開くと、内容を見なくても分かる通り、すごい分量です。最初から「flight」という謎用語が出てきますし、レジストリとしか思えない項目名(HKLM_SensorPermissionState.SensorPermissionStateなど)も平気で出てきます。まともな日本語翻訳は、ちょっと難しそうです。
ちなみに、Woody Leonhard氏のカウントによれば、項目の数は全部で1966個だとか。分析にはフルタイムの人が必要なのでは……と思ったり。
とりあえず、データが出てきたことはよかったと思いますが、タイトルにあるように、Windows 10の場合、大型アップデートごとにOSそのものが変化します。あくまで1703(Creators Update)の話なのでご注意を。
(追記)
すみません、もう少し人間向けに書かれたページがあったのに、抜かしてました。
Windows 10, version 1703診断データ
マイクロソフトのDocs.comで大量の機微情報が見つかる
「マイクロソフトのDocs.comで情報暴露:利用者が意図しない、機微文書の公開」
「Dox」と「Docs」をかけたタイトルがミソなのですが、日本語には反映できませんでした……。
3月25日の話ですが、マイクロソフトの文書共有サービスDocs.comで、まずい情報が大量に存在し、かつ検索可能なことをセキュリティ研究者が発見しました。
twitter.comYou can probably see where I'm going with this and https://t.co/3TC07CB8gE. pic.twitter.com/zCJAcNNx3a
— Kevin Beaumont (@GossiTheDog) 2017年3月25日
この件、Docs.comは問題ありません。元々「一般向けに公開する」ことを旨としたサービスであり、公開されるのは仕様です。しかし、しばらく前にGoogle Documentsで日本の行政関係者がやらかしたように、Docs.comも「関係者間だけのファイル共有サービス」と勘違いされたようです。
全世界に公開されていた文書には、パスワード一覧、社会保障番号を含む個人情報一覧、医療情報などが含まれます。
こういった問題は、アイスケース事件などと同様で、オンラインサービスに対する認識のずれに起因するものといえるでしょう。
- 秘密裏に共有できる手段を提供する
- 公開されるものは、その旨を超強調表示する
- 企業や自治体はオンラインサービスに対する注意喚起研修を行う
ぐらいが現実的(?)な線でしょうか……。
米で「議員のブラウズ履歴を買おう(※)」というクラウドファンディングが発生
米国では、上院に続いて下院でも、プロバイダ(ISP)が顧客のネットアクセス履歴を用いた広告の展開を認める法案が可決されました。あとは大統領署名により施行されることになります。
この動きに対して「議員たちのブラウズ履歴を購入、公開してやろうぜ」というクラウドファンディングが起こっているようです。
「共和党議員の関心データをISPから購入するクラウドファンディング・キャンペーンが複数開始」
記事時点で既に述べ7000人以上がキャンペーンにお金を出しています(日本時間の3月31日8時過ぎ時点では、2つのキャンペーンはそれぞれ11,268人、3,786人が合計25万ドル以上を集めています)。
「議員のブラウズ履歴は購入できません。やめましょう」
同じ話を扱うThe Vergeの記事は冷静にタイトルで抑制を求めています。というのも、個人を指定したブラウズ履歴の取得は、今回の話でも不可能(違法行為)だからです。
代わりに、というわけでもないのでしょうが、こんな記事もあります。
「これが皆さん(のアクセス履歴)をプロバイダに売った265名の議員と、この法案のために支払われた金額の一覧です」
議員名と党(といっても共和党ですけど)、州、最も新しい選挙で集めた総額が票になってます。何の、かはともかく、ターゲット一覧ですね。
スマートフォンのMACアドレスランダム化、ハックされる
「研究者、MACアドレスランダム化を破る。テストで100%の追跡に成功」
「ストーカーからMACアドレスを守るのは難しい。特にAndroidは悲惨」
スマートフォンで無線LANをONにしていると、周囲のアクセスポイントを定期的にスキャンし、その際にMACアドレスを知らせます。複数の地点に無線LANの電波を受信できる機材を配置すれば、MACアドレスに基づいて所有者の追跡が可能となります。
このため、2014年にAppleはiOS 8で、2015年にGoogleはAndroid 6(Mashmallow)でそれぞれ、MACアドレスのランダム化機能を追加しました(Googleは後にAndroid 5にも同機能を追加)。もっとも、AppleはiOS 10でこの機能を破棄しています。
しかし、最近の研究により、現状は追跡防止の点ではまったくダメということが明らかになりました。
まず、Androidの場合、大半の機種は実際にはランダム化をしていなかったのです。原因は不明です。
さらに、iOSを含めても、MACアドレスをランダム化した状態でも追跡が可能なことがわかりました。これはMACアドレスを指定したRTS(Request To Send)パケットをスマートフォンなどに直接送りつけ、応答CTS(Clear To Send)パケットが来れば、それが本当のMACアドレス、というわけです。
その他にも、ランダム化の方法が単調といった問題も指摘されています。
匿名の脅迫者、iCloudで足がつく?
「Twitter上でのジャーナリストへの脅迫者、iCloudにより身バレか」
NewsweekのジャーナリストKurt Eichenwald氏に対して脅迫ツイートを送る事件があったのですが、先日、この事件に関して容疑者が逮捕されました。
この脅迫、徹底した匿名で行われていました。「匿名のTwitterアカウント」を、「現金で買ったプリペイドのSIM」経由で使っていたのです。
穴はiPhoneにありました。プリペイドSIMは、iPhone6で使われていたのです。そして、その電話番号に紐づけられたiCloudアカウントは5年前から存在していました。Appleは当該アカウントの情報を捜査側に提供し、そこから身元が判明したとのこと。iPhone本体の暗号解除には徹底抗戦するAppleですが、自社サービス内のデータの扱いは別です。
Chrome、段階的にシマンテックのEV証明書を制限
「Google、3万件の不適切なHTTPS証明書発行によりSymantecに懲罰」
「Google Chrome、3万の不適切なEV証明書の発行でSymantecのSSLを信用外扱いへ」
両記事のタイトルでわかる通り、Symantec(および子会社)によるTLS EV証明書について、Chromeチームは段階的に信用しない扱いとすることを発表しました。
- [実施中]Symantec関連の証明書の扱いのダウングレードで、EV証明書としては扱われなくなりました。具体的には、アドレスバーへの認証済みドメイン名所有者の表示がなくなります。期間は1年間以上。
- [Chrome61以降]新規のSymantec関連証明書は信頼扱いまでに最大9ヶ月の保留期間がかかるようになります。
- [Chrome59以降]Symantec関連の証明書を信頼する期間を段階的に縮小します。Chrome59の33ヶ月から次第に減り、Chrome64で9ヶ月となります。
Chromeチームは、今年1月19日からSymantecによる証明書の発行ポリシーおよび慣習について調査を開始し、結果として信用できないという結論に達しました。当初の調査対象は100件強でしたが、途中で次々と増大し、最終的に3万件もの問題があると判明したとのこと。
実際には、Symantecの証明書にまつわる問題は1年半前からありました。2015年10月、Symantecは本来のドメイン保有者の承認なしにサードパーティへの証明書を発行したとして従業員を解雇しています。また、かつて「google.com」ドメインを無関係な他人(セキュリティ研究者)が取得できてしまった(善意に基づいてGoogleに通報し解決)ことさえありました。
今回の措置が、ある程度の期間をおいたものになっているのは、Symantec(および子会社)による証明書のシェアが非常に高いことにあります。2015年の有効証明書内シェアが30%、FireFoxの集めているデータでは42%ものシェアがあるとのこと。
なお、Symantec側はブログ記事で反論しています。
米ミネソタ州の地裁、Googleに「ある名前を検索した全員」の氏名などを要求
「ミネソタ州の判事、『とある人物の名前を検索した全員の個人情報』をGoogleに要求する令状に署名」
米のミネソタ銀行で、送金詐欺事件が発生しました。被害額は2万8500ドル。
地元警察が調べたところ、この詐欺事件で使われたパスポート(他人のもののコピー)の画像は「Googleでは見つかるがYahooやBingでは見つからない」という状況だったそうです。
そこで警察はGoogleに対して、使われた名前を検索した全員の個人情報(氏名、メールアドレス、アカウント情報など)を提出するよう求め、地元のヘネピン(Hennepin)郡地裁が令状に署名したそうです。
名前を検索しただけで、同名の他人も含めて、全ての情報を出せというのは過剰な要求と感じられます。
この件について、The Register紙が追加調査も含めて報じています。
「判事、被害者の名前を検索した全員についての捜査令状に署名」
同紙の電話インタビューに対して、警察側は「著しく不正確だ」と言ってます。令状に「Edina町および周辺区画」とあるから、とのことで、確かに記載はあるのですが、文面から見て、この要求が地域を限定しているとはみなせませんね……。
また、こちらの記事では、Googleが要求を棄却したとも書かれています(Google広報はノーコメント)。
ところで、Googleはどこまでアクセスする者の情報を把握しているのでしょう。少なくとも「実名Googleアカウントにログインした状態」で検索した場合は、確実に分かると思いますが、ログインしていない状態のことは、ちょっと気になります(過去にログインした経歴があれば、その際のブラウザ情報から高い確率で特定できるかもしれません)。
