Hitachi ABB Power Grids 社が提供する Ellipse APM には、クロスサイトスクリプティングの脆弱性が存在します。

Rockwell Automation 社が提供する Stratix Switches には、複数の脆弱性が存在します。

複数の Delta Electronics 製品には、複数の脆弱性が存在します。

Eaton 社が提供する Intelligent Power Managerには、複数の脆弱性が存在します。

Windows 版 MySQL には、権限昇格の脆弱性が存在します。

Links to Software Code Excerpts in Tweets Are Fair Use

Phoenix, Arizona—The Electronic Frontier Foundation (EFF) filed a lawsuit today against Proctorio Inc. on behalf of college student Erik Johnson, seeking a judgment that he didn’t infringe the company’s copyrights when he linked to excerpts of its software code in tweets criticizing the software maker.

Proctorio, a developer of exam administration and surveillance software, misused the copyright takedown provisions of the Digital Millennium Copyright Act (DMCA) to have Twitter remove posts by Johnson, a Miami University computer engineering undergraduate and security researcher. EFF and co-counsel Osborn Maledon said in a complaint filed today in U.S. District Court, District of Arizona, that Johnson made fair use of excerpts of Proctorio’s software code, and the company’s false claims of infringement interfered with Johnson’s First Amendment right to criticize the company.

“Software companies don’t get to abuse copyright law to undermine their critics,” said EFF Staff Attorney Cara Gagliano. “Using pieces of code to explain your research or support critical commentary is no different from quoting a book in a book review.”

Proctoring apps like Proctorio’s are privacy-invasive software that “watches” students through eye-tracking and face detection for supposed signs of cheating as they take tests or complete schoolwork. The use of these “disciplinary technology” programs has skyrocketed amid the pandemic, raising questions about the extent to which they threaten student privacy and disadvantage students without access to high-speed internet and quiet spaces.

Proctorio has responded to public criticism by attacking people who speak out. The company’s CEO released on Reddit contents of a student’s chat log captured by Proctorio after the student posted complaints about the software on the social network. The company has also sued a remote learning specialist in Canada for posting links to Proctorio’s publicly available YouTube videos in a series of tweets showing the software tracks “abnormal” eye and head movements it deems suspicious.

Concerned about how much private information Proctorio collects from students’ computers, Johnson, whose instructors have given tests using Proctorio, examined the company’s software, including the files that are downloaded to any computer where the software is installed.

He published a series of tweets in September critiquing Proctorio, linking in three of those tweets to short software code excerpts that demonstrate the extent of the software’s tracking and access to users’ computers. In another tweet, Johnson included a screenshot of a video illustrating how the software is able to create a 360-degree image of students’ rooms that is accessible to teachers and seemingly Proctorio’s agents.

“Copyright holders should be held liable when they falsely accuse their critics of copyright infringement, especially when the goal is plainly to intimidate and undermine them,” said Gagliano. “We’re asking the court for a declaratory judgment that there is no infringement to prevent further legal threats and takedown attempts against Johnson for using code excerpts and screenshots to support his comments.”

For the complaint:
https://www.eff.org/document/johnson-v-proctorio-complaint

For more on proctoring surveillance:
https://www.eff.org/deeplinks/2020/08/proctoring-apps-subject-students-unnecessary-surveillance

Contact:  CaraGaglianoStaff Attorneycara@eff.org

最近、国連定例記者会見にAFP（フランス通信社）などのフランス人記者が出没しています。　「国連事務総長が西サハラ個人特使の指名に失敗」のニュースはフランス系メデイアが発信元だったので、4月20日の国連定例記者会見を覗いてみました。　ところが、フランス人国連事務総長報道官の報告は、「正式声明を待っていたので、遅れてごめん！まだ声明は手元にないが、今朝、イドリス・デビ・チャド大統領が逝去された（戦死）。チャド内戦で少なくとも2,200,000人が緊急人道援助を必要としている。617,000,000＄がいるのに、まだ6％しか集まっていない」と、戦死のお悔やみで始まったのです。　チャドには、チャド湖の枯渇と難民の取材で2週間滞在しました。　イドリス大統領にはリビアでインタヴューしました。　友人のオスマン・ラジオキャスター、大丈夫かな？？

窓の杜の記事によると、Twitter上で日本企業の業務に深く組み込まれてるソフトウェアの作者に対して、政府が勲章でも授与するべきではないかという話が出て、バズっていたようだ（斉藤ハゼ@テキレボEX2さんのツイート、窓の杜）。 元は斉藤ハゼ@テキレボEX2さんのツイートでは、藍綬褒章か黄綬褒章は該当するんじゃないかなあとしている。この意見に賛同する意見も多く出ていた模様。取り上げられていたツイートでは、「サクラエディタ」や「FFFTP」、「+Lhaca」の三つが候補として挙げられていたようだ。業務に使用されているフリーソフトは多岐に及ぶと思うが、スラドの皆さんであればどのソフトを候補にするだろうか。

すべて読む | ITセクション | ソフトウェア | IT | スラドに聞け！ |

関連ストーリー：
令和2年の文化功労者が発表。IIJとぐるなびのインターネット起業家が2名含まれる 2020年10月28日
英国人洞窟探検家がイーロン・マスク氏を訴えていた名誉棄損裁判、 陪審はマスク氏による名誉棄損は認められないと評決 2019年12月08日
任天堂の宮本茂氏や漫画家の萩尾望都氏などが文化功労者に選出される 2019年10月29日
英ISP協会、今年の「インターネットの悪漢」賞は結局取りやめ 2019年07月14日
COBOLを開発した故グレース・ホッパー准将にアメリカ合衆国大統領自由勲章が授与される 2016年11月26日
モハメド・アリ氏死去 2016年06月06日

4月22日、虎ノ門のオフィス街に「ミャンマーの民主化活動は勝利するぞ！」、「テロリストであるミャンマー国軍への支援をやめろ！」といった声が響き渡った。（藤ヶ谷魁）

On Earth Day 2021, APC launched its 2020 edition of Global Information Society Watch (GISWatch) on the theme of "Technology, the environment and a sustainable world: Responses from the global South". Listen to voices from around the globe as we join the global movement for climate justice.

Language English

実物の約3分2サイズに作られた子どもが主役の街「キッザニア」。このキッザニアでは、子どもたちが実際に仕事をすることで社会のしくみを学ぶことができる。このキッザニアで29日から、リモート環境で映像クリエイターの仕事を体験できる「アニメーションスタジオ」が追加されるそうだ（リリース、ねとらぼ、マイナビニュース）。 このプログラムでは、4人で1つのチームを構成、Zoom経由でチーム内のコミュニケーションをとりながら、専用アプリを使用して1本のアニメーションを完成させるのだそう。完成させたアニメーションは後日「キッザニア東京」「キッザニア甲子園」の劇場パビリオンで上映される予定とのこと。仕事完了メールを来場時に持参すると、キッザニア専用通貨「キッゾ」を給料として受け取れるとしている。 あるAnonymous Coward 曰く、 https://www.kidzania.jp/koshien/news/detail/post-1002.html キッザニア東京・甲子園共以下は同じ。 https://online.kidzania.jp/contents/internal-public/00001/002/initial/index.html?utm_source=web&utm_medium=online&utm_campaign=online_web_20210415_news https://nlab.itmedia.co.jp/nl/articles/2104/17/news023.html https://news.mynavi.jp/article/20210416-1872472/ 情報元へのリンク

すべて読む | ITセクション | ビジネス | グラフィック | アニメ・マンガ | お金 |

関連ストーリー：
YouTubeが日本の配信者に税務情報の提出を求める。提出しない場合は一律24％米国から課税される場合も 2021年03月12日
Twitterがメンバーシップ的な機能「Super Follow」を発表。今年中の導入を予定 2021年02月26日
実業之日本社が「Skeb」を10億円で買収へ 2021年02月15日
ソニー、クリエイター向け高性能スマートフォン「Xperia PRO」を発表。税込で約25万円 2021年01月28日
YouTube、他の人に不快感を与える可能性があるコメントの投稿前に指摘する新機能 2020年12月07日

Are tech giants really damned if they do and damned if they don’t (protect our privacy)?

That’s a damned good question that’s been occasioned by Google’s announcement that they’re killing the invasive, tracking third-party cookie (yay!) and replacing it with FLoC, an alternative tracking scheme that will make it harder for everyone except Google to track you (uh, yay?)  (You can find out if Google is FLoCing with you with our Am I FLoCed tool).

Google’s move to kill the third-party cookie has been greeted with both cheers and derision. On the one hand, some people are happy to see the death of one of the internet’s most invasive technologies. We’re glad to see it go, too - but we’re pretty upset to see that it’s going to be replaced with a highly invasive alternative tracking technology (bad enough) that can eliminate the majority of Google’s competitors in the data-acquisition and ad-targeting sectors in a single stroke (worse). 

It’s no wonder that so many people have concluded that privacy and antitrust are on a collision course. Google says nuking the third-party cookie will help our privacy, specifically because it will remove so many of its (often more unethical) ad-tech competitors from the web. 

But privacy and competition are not in conflict.  As EFF’s recent white paper demonstrated, we can have Privacy Without Monopoly. In fact, we can’t settle for anything less.

FLoC is quite a power-move for Google. Faced with growing concerns about privacy, the company proposes to solve them by making itself the protector of our privacy, walling us off from third-party tracking except when Google does it. All the advertisers that rely on non-Google ad-targeting will have to move to Google, and pay for their services, using a marketplace that they’ve rigged in their favor.  To give credit where it is due, the move does mean that some bad actors in the digital ad space may be thwarted. But it’s a very cramped view of how online privacy should work. Google’s version of protecting our privacy is appointing itself the gatekeeper who decides when we’re spied on while skimming from advertisers with nowhere else to go. Compare that with Apple, which just shifted the default to “no” for all online surveillance by apps, period (go, Apple!).

And while here we think Apple is better than Google, that’s not how any of this should work. The truth is, despite occasional counter-examples, the tech giants can’t be relied on to step up to provide real privacy for users when it conflicts with their business models.  The baseline for privacy should be a matter of law and basic human rights, not just a matter of a corporate whim. America is long, long overdue for a federal privacy law with a private right of action. Users must be empowered to enforce privacy accountability, instead of relying on the largesse of the giants or on overstretched civil servants. 

Just because FLoC is billed as pro-privacy and also criticized as anti-competitive, it doesn’t mean that privacy and competition aren’t compatible.  To understand how that can be, first remember the reason to support competition: not for its own sake, but for what it can deliver to internet users. The benefit of well-thought-through competition is more control over our digital lives and better (not just more) choices.

Competition on its own is meaningless or even harmful: who wants companies to compete to see which one can trick or coerce you into surrendering your fundamental human rights, in the most grotesque and humiliating ways at the least benefit to you? To make competition work for users, start with Competitive Compatibility and interoperability - the ability to connect new services to existing ones, with or without permission from their operators, so long as you’re helping users exercise more choice over their online lives.  A competitive internet - one dominated by interoperable services - would be one where you didn’t have to choose between your social relationships and your privacy. When all your friends are on Facebook, hanging out with them online means subjecting yourself to Facebook’s totalizing, creepy, harmful surveillance. 

But if Facebook was forced to be interoperable, then rival services that didn’t spy on you could enter the market, and you could use those services to talk to your friends who were still on Facebook (for reasons beyond your understanding).  This done poorly could be worse for privacy, but done well, it does not have to be. Interoperability is key to smashing monopoly power, and interoperability's benefits depend on strong laws protecting privacy.

With or without interoperability, we need a strong privacy law. Tech companies unilaterally deciding what user privacy means is dangerous, even when they come up with a good answer (Apple) but especially not when their answer comes packaged in a nakedly anticompetitive power-grab (Google). Of course, it doesn’t help that some of the world’s largest, most powerful corporations depend on this unilateral power, and use some of their tremendous profits to fight every attempt to create a strong national privacy law that empowers users to hold them accountable.

Competition and privacy reinforce each other in technical ways, too: lack of competition is the reason online tracking technologies all feed the same two companies’ data warehouses. These companies dominate logins, search, social media and the other areas that the people who build and maintain our digital tools need to succeed. A diverse and competitive online world is one with substantial technical hurdles to building the kinds of personal dossiers on users that today’s ad-tech companies depend on for their profitability. 

The only sense in which “pro-privacy” and “competition” are in tension is the twisted sense implied by FLoC, where “pro-privacy” means “only one company gets to track you and present who you are to others.”  

Of course that’s incompatible with competition.

(What’s more, FLoC won’t even deliver that meaningless assurance. As we note in our original post, FLoC also creates real opportunities for fingerprinting and other forms of re-identification. FLoC is anti-competitive and anti-privacy.)

Real privacy—less data-collection, less data-retention and less data-processing, with explicit consent when those activities take place—is perfectly compatible with competition. It's one of the main reasons to want antitrust enforcement.

All of this is much easier to understand if you think about the issues from the perspective of users, not corporations. You can be pro-Apple (when Apple is laying waste to Facebook’s ability to collect our data) and anti-Apple (when Apple is skimming a destructive ransom from software vendors like Hey). This is only a contradiction if you think of it from Apple’s point of view - but if you think of it from the users’ point of view, there's no contradiction at all.

We want competition because we want users to be in control of their digital lives - to have digital self-determination and choices that support that self-determination. Right now, that means that we need a strong privacy law and a competitive landscape that gives breathing space to better options than Google’s “track everything but in a slightly different way” FLoC.  

As always, when companies have their users’ backs, EFF has the companies’ backs. And as always, the reason we get their backs is because we care about users, not companies.

We fight for the users.

第263回官民競争入札等監理委員会（書面審議）

第620回 入札監理小委員会（開催案内）

　ミャンマーで取材中の北角裕樹氏が4月18日夜、軍・治安当局によって逮捕・拘束された。　国軍による残虐な弾圧とそれに対する民衆の不屈の抵抗を報道してきた北角氏に対し、当局は「偽情報を流布した」という根拠のない罪名をかぶせて氏をインセイン刑務所に監禁した。この行為は、武力クーデターを起こしたミャンマー軍が真実の報道をどれほど恐れているかを示したものである。氏は日本経済新聞社を退社後フリー・ジャーナリストとしてミャンマーの取材を行なってきた。2月末にも一時拘束されたがその後もSN..

ドコモの健康管理のためのサービス「わたしムーヴ」が2022年3月31日に終了する。これによりサービスに連携する機能を持ったオムロン製品25機種に機能制限や使用不能などの影響が出るとして話題になっている（オムロン ヘルスケア、INTERNET Watch、ITmedia）。 この25機種の中でも中でもWi-Fi体重体組成計「HBF-253W」に関しては、わたしムーヴ終了後はデータ転送および機器単体での運用ができなくなるそうだ。オムロン側は代替機種の割引販売により対応する方針だが、睡眠計「HSL-101」、ねむり時間計「HSL-001」「HSL-002C」に関しては代替機種が存在していない。代替機種がある場合でも割引機種に関してはユーザーによる新規購入が必要となる。 過去にオムロンは自社のクラウドサービス「ウェルネスリンク」を2018年3月18日で終了させていた。INTERNET Watchの記事によれば、オムロンはこの代替としてドコモのわたしムーヴを推奨してきたとされ、長年のオムロンユーザーほど不満を持つ可能性は高いと思われる。

すべて読む | ITセクション | ビジネス | クラウド | ニュース | スラッシュバック |

関連ストーリー：
テレビリモコンと乾電池型IoTデバイスを組み合わせて視聴情報を取得する実証実験 2021年02月26日
運転免許証とマイナカード統合への工程表が見えてきた。まずは22年度の免許管理システムの一元化から 2020年10月16日
キヤノン、同社製カメラユーザーを対象に30日間容量無制限で動画・画像を保存できるクラウドサービスを発表 2020年02月17日
クラウド連携スマートリモコン、クラウド側の障害でリモコン操作が一時的にできなくなる 2018年12月26日
IoTデバイス「うんこボタン」、サーバー側のSSL/TLS証明書失効により全回収・交換に 2018年11月29日
クラウド連携機器は利用する前にサービス終了後のことを考えておこう 2018年03月07日
Windows 10のAndroid/iOSデバイスとの連携強化は大きな賭け？ 2015年05月31日

トレンドマイクロ株式会社が提供する Apex One、Apex One SaaS およびウイルスバスター コーポレートエディションには、複数の脆弱性が存在します。

宇宙航空研究開発機構（JAXA）をはじめとする国内約200の企業や研究機関に対し、サイバー攻撃を行った疑いで警視庁公安部は20日、中国共産党員でシステムエンジニアの男を書類送検した（読売新聞、NHK、日経新聞）。 この男は2016年9月~17年4月に5回、サイバー攻撃に使用されたレンタルサーバーを偽名で契約していたという。警視庁の事情聴取では、男は偽名でサーバーを契約、IDなどを転売したことを認めたものの、すぐに立件できなかった。このIDなどはハッカー集団に渡り、中国人民解放軍の指示でサイバー攻撃が行われたと推察されている模様。 この男とは別に、日本にいた中国人元留学生も偽名でサーバーを契約していた疑いがもたれている。警視庁はこの男に関しても任意で事情聴取していたが、こちらも立件はできなかったという。こちらに関しては隊「61419部隊」に所属する人物から指示を受けていたらしい。なお、二人はすでに日本を出国しており国内にはいないそうだ。

すべて読む | セキュリティセクション | 日本 | 犯罪 | セキュリティ | インターネット | IT | 中国 |

関連ストーリー：
Exchange Serverの脆弱性「ProxyLogin」を悪用したゼロデイ攻撃で被害多発 2021年03月08日
Bloomberg、2年前に全方向から否定された「Super Microのマザーボードにスパイチップ」という話に再び挑戦 2021年02月13日
2009年に起きたカナダ・ノーテル破綻は中国のサイバー攻撃が原因か。市場を引き継いだのはファーウェイ 2020年07月07日
ベトナム政府、新型コロナウイルス対策のため中国政府機関に対しサイバー攻撃を仕掛けていた？ 2020年04月28日
北朝鮮ハッカーは日本企業の下請けもやっている？ 2020年02月06日
三菱電機、不正アクセスによる攻撃を受け情報漏洩 2020年01月20日
未経験エンジニアに「有料で業務経験を積ませる」サービスが登場 2021年04月28日
鹿島建設、サイバー攻撃を受けてデータ流出か。犯行グループは身代金要求 2021年05月01日