最近のニュースの見出しには、supercookie、supertracker、HTTPヘッダ、X-UIDHなど、多くの専門用語が飛び交っています。そのニュースにざっと目を通すだけでも、これらが私たちのプライバシーを脅かす新種の脅威であることがわかるでしょう。では、これらは一体どのようなものなのか、少し掘り下げてみましょう。驚くほど重要な問題であることがわかるはずです。

cookieはすでに私たちに馴染みのあるもので、ウェブサーバがブラウザに保存させることができる小さな情報です。ユーザの特定やセッションの管理に非常に便利なものです。セキュリティやプライバシーを念頭に置いて設計されており、ユーザはこれらのcookieがどのように使用されるかを制御することが可能です。簡単に言えば、cookieはきわめて重要役割を果たす一方、プライバシーの問題となり得るものの、私たちはその脅威をツールで管理できるということです。

上に述べたことは、私たち一般人にとっては好ましいことですが、広告主にとってはそうではありません。ユーザのプライバシーに対する意識はますます向上しており、過剰なトラッキングを拒否できる機能を利用するようにもなっています。また、モバイルデバイスの革新により、私たちの行動も変わってきました。私たちのインターネットへのアクセスの多くが、ブラウザではなくアプリを通じて行われるようになっています。これは、利用するすべてのサービスに対して独立した「ブラウザ」を使用しているようなものであるため、これによって私たちのネットサーフィンの傾向の全容を把握することがより難しくなっています。ネットサーフィンの傾向を最も知りたがっているのは広告主です。広告を見ている人が誰だかわからなければ、広告は当たる確率の低い宝くじのようなものになってしまいます。

この流れに対抗するために開発されたのが、新世代のsupercookie*です。supercookieは、ブロードバンドのプロバイダによってウェブトラフィックに挿入される情報です。その目的は、トラフィックの出所であるユーザを特定し、特定したユーザ本人の情報を広告主に売ることでブロードバンドプロバイダが収益を得ることです。これらのsupercookieは通常、加入者が個人、すなわち、すべてのトラフィックの出所が1人の人間である、モバイルブロードバンド接続で利用されます。
 
では、supercookieが好ましくないのはなぜでしょうか？

・ユーザの了解を得ずにトラフィックに挿入され、拒否する方法がありません。

・ユーザのデバイス上では全く目に見えないため、ブラウザの設定や特定のツールを使用して制御することができません。

・広告主を支援し、モバイルブロードバンドのプロバイダの収益を生み出すために設計されており、ユーザのプライバシー保護を目的として設計されているわけではありません。

・通常のcookieのようにドメインを指定するものではなく、ユーザがアクセスしたあらゆるサイトに配布されます。

・非公開に設計されており、ほとんどのウェブ管理者が取り扱う必要のないヘッダ情報の目立たない部分に隠されています。

・インターネットサービスには、お金を支払う方法と、マーケティングの目的で第三者にユーザのプロファイルを提供して代価を払う方法がありますが、このシステムは、その両方を組み合わせたものです。ユーザは、マーケティング利益のために、代金を支払っている相手に利用されています。

しかし、一般のユーザとしてできること、また、すべきことは何でしょうか。

1. その名称にもかかわらず、この種のsupercookieは、通常のcookieとは技術的に全く異なるものです。通常のcookieに関連するプライバシー面での課題は依然として存在し、管理する必要があります。supercookieはcookieに代わるものではありません。通常のcookieを管理するために行っていることは、継続してください。

 2. supercookieを使用しているのは、モバイルブロードバンドのプロバイダ数社のみです。VerizonとAT&Tが話題に上っていましたが、少なくともAT&Tはメディアでの悪評のため、手を引いているようです。そのほかの通信事業者も同様の影響を受けています。ユーザがモバイルブロードバンド接続を使ってデバイスを利用している場合は、プロバイダがsupercookieを挿入しているかどうかを調べることができます。Wi-Fiではなく、デバイス固有のデータ接続を利用してこのページにアクセスし、「Broadcast UID:」の後に何が表示されるか確認してください。このフィールドは空白になっているはずです。もしそうでなければ、あなたが利用しているブロードバンドのプロバイダはsupercookieを使用しているということになります。プロバイダを変更するのも、supercookieを取り除く1つの方法です。

 3. もう1つの方法は、VPNサービスを利用することです。これにより、暗号化接続でユーザのトラフィックをすべてカプセル化すれば、不正に書き換えることはできなくなります。エフセキュアには、F-secure Freedomeがあります。言うまでもありませんが、supercookieの影響を受けていない場合でも、モバイルデバイスでFreedomeを利用することをお勧めします。詳細については、F-secure Freedomeのサイトをご覧ください。

 4. 大切なことを言い残しました。たとえ影響を受けていなくても（ほとんどの人がそうだと思いますが）、この問題は、インターネットの中立性がいかに重要かをあらためて認識させてくれるものです。つまり、ユーザのネットワークトラフィックを提供する通信事業者は、それだけをすべきであって、自身の利益のためにトラフィックを操作してはならないのです。この種の不正は、1つの悪質なトリックであり、他の企業からお金をゆすり取ることとは全く異質のものです。私たちは、道路網、郵便事業、電力供給など、社会の多くの共有資源においては、中立性や平等な扱いを当然のことと考えています。インターネットはすでに社会の重要な要素となっており、今後その重要性はさらに増していくでしょう。このネットワークにおける中立性と公平なルールの維持は、私たちの未来の社会にとって最も重要なことです。

安心なネットサーフィンを
Micke


追記　メディアでの悪評により、すでにAT&Tがsupercookieの使用を取りやめたことは、素晴らしいことです。皆さんがこの記事を読む頃には、supercookieを使用しているその他すべてのモバイルブロードバンドプロバイダが同じ行動をとっているかもしれません。しかしそれでも今回の一件が、なぜインターネットの中立性が重要で、法律で保証される必要があるのかということを示す良い例であることに変わりはありません。
 
*この記事では、2014年11月、Verizon、AT&Tなどが使用したX-UIDHベースのトラッカーに対して、よりシンプルなsupercookieという用語を使用しました。Supercookieという言葉は、他の文脈ではcookieに似たオブジェクトを指す可能性があります。共通の要素は、supercookieがよりしつこく、通常のcookieよりも削除するのが難しいことです。

＞＞原文へのリンク

　当社のドアを更新した。明確化するためだけに…。


　ご自身の分も印刷を。

　エフセキュアが報告した、Flash Playerに内在する脆弱性に対応するために、Adobe社は予定外のアップデートを公開した。

　我々はAnglerと呼ばれるエクスプロイトキットによるFlashのエクスプロイトを分析している際に、この脆弱性を発見した。高名なエクスプロイトキットの研究者であるKafeineよりサンプルを入手した。同氏は我々に、Flash Player 15.0.0.189は侵害せずに15.0.0.152は問題なく侵害するような脆弱性を特定するように依頼した。このことは、APSB14-22でパッチが当てられた何かが脆弱であることを示唆する。しかし、Microsoft Active Protections Program経由で我々が受け取った情報によると、このエクスプロイトはAPSB14-22（CVE-2014-0558、CVE-2014-0564、CVE-2014-0569）でパッチが当てられたいずれの脆弱性にも合致しなかった。

　おそらく、最新のパッチはエクスプロイトの動作を妨げたが、脆弱性の根本的な原因はまだ修正されていない。我々はこの可能性を考えたので、Adobe Product Security Incident Response Teamと接触をした。同チームは我々の説を確認して、予定外のアップデートをリリースした。コードの実行を引き起こしかねないメモリポインタの逆参照の扱いにある脆弱性CVE-2014-8439に対して、さらに堅牢にしたのだ。

　Anglerは2014年10月21日には既にこの脆弱性を侵害しており、そのすぐ後にエクスプロイトキットAstrumおよびNuclearが続いたと、Kafeineは報告している。このエクスプロイトキットの作者は、10月のFlashのアップデートを2日でリバースエンジニアリングした。これを考えれば、直ちにアップデートをインストールすることは最優先事項だ。それを手動でやろうと自動でやろうと。

　エフセキュアはこの記事で触れたFlashのエクスプロイトを以下のように検知する。

  •  Exploit:SWF/Salama.H
  •  Exploit:SWF/CVE-2014-0515.C

Post by — Timo

　Reginは一連の洗練された諜報ツールキットの中で最新のもので、世界中の広範な組織を標的に使用されている。既報の通り、活動中のマルウェア群でさらに複雑なものの1つで、他の数多くのツールキットとまったく同様に背後には長い歴史がある。我々は約6年前の2009年の初頭に初めてReginと遭遇した。北ヨーロッパの顧客の環境にあるWindowsサーバ上にそれが隠れているのを見つけた。

　そのサーバはたびたびクラッシュし、悪名高いブルースクリーンになっており、トラブルの兆候を示していた。「pciclass.sys」という、当たり障りのない名前を持つドライバがクラッシュを引き起こしているように見受けられた。より詳細な分析を行うと、当該ドライバは実はルートキットであった。もっと厳密に言うとReginの初期のバリアントの1つだった。



　上のスクリーンショットで認められるとおり、このドライバは明らかに既に2008年3月7日にはコンパイルされているが、それより早いタイムスタンプのある他のサンプルによって、作戦はさらにこれよりも前であることが示唆されている。

　結局のところ、複数の段階がある脅威における1つのコンポーネントに過ぎないことが分かった。このドライバはレジストリキーかNTFSファイルシステムの拡張アトリビュートを使って、次の段階のマルウェアを読み込める。ドライバに埋め込まれた設定が、このことを示している。



　我々は少なくとも以下のレジストリキーが、次の段階のペイロード用に使用されているのを目にした。

  •  \REGISTRY\Machine\System\CurrentControlSet\Control\Class\{9B9A8ADB-8864-4BC4-8AD5-B17DFDBB9F58}:Class
  •  \REGISTRY\Machine\System\CurrentControlSet\Control\Class\{4F20E605-9452-4787-B793-D0204917CA58}:Class
  •  \REGISTRY\Machine\System\CurrentControlSet\Control\RestoreList:VideoBase

　以下のフォルダには名前に「_」が付いたNTFS拡張アトリビュートが格納されており、また次の段階のペイロードも格納されているのが見られた。これは実際には2つの異なるアトリビュートに分割され得る。

  •  %WINDIR%
  •  %WINDIR%\security
  •  %WINDIR%\repair
  •  %WINDIR%\msapps
  •  %WINDIR%\msagent
  •  %WINDIR%\Cursors
  •  %WINDIR%\fonts
  •  %WINDIR%\Temp
  •  %WINDIR%\msagent\chars
  •  %WINDIR%\Help
  •  %WINDIR%\inf
  •  %WINDIR%\Spool\Printers
  •  %WINDIR%\CertSrv

　2013年および2014年の間、我々はより新しいバージョンのReginを分析してきたので、攻撃における複雑さと洗練度合が非常に明確になってきた。我々はReginを、Stuxnetや、Flame、Turla/Snakeのようなものと共に、高度に洗練された諜報作戦という同一のカテゴリに配する。

　いつもながら、このような事案で出所を特定するのは難しい。我々の感じるところでは、このマルウェアは珍しくロシアや中国から来たものではない。

　ミッコが火曜日にSlush 2014にて素晴らしい講演を行った。ご確認を。


R.I.P. Internet（訃報：インターネット）

　その他のSlushの動画はYouTubeにて提供されている。

誰もがどこからでも参加することができるプレス・コンファレンスのようなものです。たとえもし質問がなくても、あなたの賛否を投票することができます。

オバマ大統領も実施しました。スヌープ・ドッグ/スヌープ・ライオンも実施しました。ある宇宙飛行士も宇宙から実施しました。

そして私たちのミッコ・ヒッポネンは12月2日の米・東時間で午前9時（日本時間の12月2日午後11時）に再びReddit AMAに出演します。

もしオンライン・セキュリティについて彼に質問をお持ちでしたら、たいへん結構です。もしお持ちでない場合、ご準備いただくために、過去20年間にミッコ・ヒッポネンがセキュリティ業界で残したいくつかのソースをご紹介します。

1. 彼の2004年の仕事についてVanity Fairでチェックする

2. TED.comで紹介された彼の3つのプレゼンテーションを見る

• その1
• その2
• その3 

3. TEDglobalで彼の最初のプレゼンテーションが公開された直後の、彼のAMAをチェックする



4. 最初のPCウイルスの作成者に会うためにミッコとパキスタンへ行く




5. 最近彼が考えていることを知るために、Black Hatでの彼の直近のプレゼンテーション「マルウェア作成者としての政府当局」を観る




ボーナス：オンライン・セキュリティ、プライバシーや古典的なアーケイド・ゲームに関する洞察の流れを常に得るために、ミッコのツイッターをフォローする


サンドラ

＞＞原文へのリンク

　最近公開された調査で、ロシアにあるTorの出口ノードが、ここを経由してダウンロードされる圧縮されていないWindowsの実行ファイルを悪意を持って常に書き換えていることがわかった。当然ながらこのことは我々の興味をそそった。なのでウサギの穴を覗き込むことに決めた。あえて言うなら、その穴は我々が予期していたよりもずっと深かった！実際のところ、悪名高いロシアのAPTファミリーMiniDukeまでさかのぼった。これはNATOや欧州政府機関への標的型攻撃で使われたものとして知られている。しかし、今回のケースで使われたマルウェアは、MiniDukeの別版ではない。むしろ関連のない異なるマルウェアファミリーで、以来、我々はOnionDukeと呼ぶようにしている。では、最初から始めることにしよう。

　悪意のあるTorの出口ノード経由でユーザが実行ファイルをダウンロードしようとすると、実際に受け取るものは実行ファイルの「ラッパー」である。これにはオリジナルの実行ファイルと、もう1つの悪意ある実行ファイルの双方が埋め込まれている。分離したラッパーを用いることで、悪意のある人間がオリジナルのバイナリに含まれ得る完全性チェックを迂回し得る。実行すると、ラッパーはオリジナルの実行ファイルのディスクへの書き込みを開始し、これを実行する。そうしてユーザにすべてがうまくいっているように思い込ませる。しかし、ラッパーはもうひとつの実行ファイルもディスクに書き込んで実行する。我々が観測したすべてのケースにおいて、この悪意ある実行ファイルは同一のバイナリであった（SHA1: a75995f94854dea8799650a2f4a97980b71199d2。Trojan-Dropper:W32/OnionDuke.Aとして検知）。この実行ファイルはドロッパーで、埋め込まれたGIF画像ファイルを装ったPEリソースを含む。当該リソースは実際には、暗号化されたDLL（dynamically linked library）ファイルだ。ドロッパーはこのDLLの復号に進み、ディスクに書き込んで実行する。


感染プロセスのフローチャート

　ひとたび実行すると、DLLファイル（SHA1: b491c14d8cfb48636f6095b7b16555e9a575d57f。Backdoor:W32/OnionDuke.Bとして検知）は埋め込まれた設定（以下、参照）を復号し、設定データとして指定されているハードコーディングされたC&CサーバのURLへの接続を試みる。マルウェアはこうしたC&Cサーバから指示を受け取って、追加の悪意あるコンポーネントをダウンロード、実行する可能性がある。マルウェアが接触する全5つのドメインは、マルウェアの運用者によって侵害された無実のWebサーバのもので、専用の悪意のあるサーバのものではないということは触れておかねばならない。


埋め込まれた設定データのスクリーンショット

　当社の研究を通じて、我々はOnionDukeマルウェアファミリーの、複数の別のコンポーネントを特定することができた。たとえば、被害者のマシンからログイン情報を盗むことに特化したコンポーネントや、アンチウィルスソフトやファイアウォールの存在など、侵害されたシステムの詳細情報を収集することに特化したコンポーネントを観測した。こうしたコンポーネントの一部は最初のバックドアプロセスによってダウンロード、実行されるのを確認したが、他のコンポーネントについてはいまだ感染の媒介物を特定していない。こうしたコンポーネントの大半には自身のC&Cサーバの情報は埋め込まれておらず、むしろ最初のバックドアプロセスを通じてコントローラと通信を行う。

　しかしながら、あるコンポーネントは興味をそそる例外だ。このDLLファイル（SHA1: d433f281cf56015941a1c2cb87066ca62ea1db37。Backdoor:W32/OnionDuke.Aoverpict.comとして検知）には設定データの中にハードコーディングされた別のC&Cサーバのドメインoverpict.comが含まれる。またこのコンポーネントが、別のC&CチャネルとしてTwitterを侵害し得ることを示唆する証拠も含まれる。なぜ overpict.comドメインが興味深いのか。これは元々は「John Kasai」という別名で2011年に登録された。2週という期間内に「John Kasai」はairtravelabroad.com、beijingnewsblog.net、grouptumbler.com、leveldelta.com、nasdaqblog.net、natureinhome.com、nestedmail.com、nostressjob.com、nytunion.com、oilnewsblog.com、sixsquare.net、ustradecomp.comの各ドメインも登録した。このことは非常に重要だ。なぜならleveldelta.comとgrouptumbler.comの両ドメインはこれまでにMiniDukeによって使われているC&Cサーバのドメインだと特定されているからだ。これは次のことを強く示唆する。OnionDukeとMiniDukeは別々のマルウェアファミリーだが、その背後にいる人間は共有のインフラストラクチャの使用を通じたつながりがあるのだ。


OnionDukeとMiniDukeが共有するインフラストラクチャの可視化

　我々が観察したサンプルのコンパイル時のタイムスタンプや発見した日付に基づき、OnionDukeの運用者は遅くとも2013年10月の終わり以来、ダウンロードされる実行ファイルを感染させていると我々は考えている。また遅くとも2014年2月には、OnionDukeがダウンロードされる実行ファイルを書き換えることによる拡散だけでなく、海賊版のソフトウェアに含まれるトレントファイル群内の実行ファイルを感染させることによっても拡散したことを示唆する証拠もある。ただしOnionDukeファミリーは、より古いコンパイル時のタイムスタンプと次の事実から、もっとずっと古くからあるように見受けられる。埋め込まれた設定データの一部が、少なくともこれより前に3バージョン存在することを明確に示すバージョン番号4を参照しているのだ。

　調査の間、我々はOnionDukeが欧州政府機関に対する標的型攻撃に使われたことを示す強力な証拠も明らかにしてきた。感染の媒介物については、これまでのところ特定できていないのだが。興味深いことに、これは2つの非常に異なる、標的を定める戦略を示唆している。一方は「大砲で蚊を打つ」ような、書き換えたバイナリを通じて大衆を感染させる戦略で、もう一方は極めて特定の標的を狙っており、従来からAPT作戦と関連している。

　いずれにせよ、依然として大半は謎と推論で覆われているのだが、1つ確かなことがある。Torを使うことで自分を匿名化する一助となるかもしれないが、同時にあなたの背中に巨大な的を描くことになる。暗号化せずにTor（や他のもの）経由でバイナリをダウンロードするのは、まったくもって良い考えではない。Torの問題は、使用している出口ノードを誰が保守しているのか、何が彼らの動機なのかがまったく分からない点だ。VPN（Freedome VPNのような）はTorネットワーク上を経由する際にあなたの接続を暗号化するため、Torの出口ノードの保守を行っている人も、あなたのトラフィックを見たり改ざんしたりできない。

サンプル：

  •  a75995f94854dea8799650a2f4a97980b71199d2
  •  b491c14d8cfb48636f6095b7b16555e9a575d57f
  •  d433f281cf56015941a1c2cb87066ca62ea1db37

　Trojan-Dropper:W32/OnionDuke.A、Backdoor:W32/OnionDuke.A、Backdoor:W32/OnionDuke.Bとして検知する。

Post by — Artturi (@lehtior2)

　火曜日、Forbes誌のParmy OlsonがPrivacyGradeについての短い記事を発表した。PrivacyGradeとは何か？

　以下、PrivacyGradeのFAQより。

　PrivacyGrade.orgは、数多くのスマートフォンアプリの振る舞いへの注意を喚起する一助となることを目標としている。こうしたアプリは人々のプライバシーに影響を与え得る。PrivacyGradeはアプリのプライバシー関連の振る舞いについて詳細な情報を提供している。こうした振る舞いについて、A+（プライバシーをもっとも意識している）からD（プライバシーをもっとも意識していない）の範囲の格付けという形式に要約している。

　以下は当社のApp Permissionsについての格付けだ。



　アプリに格付けを与えることは、非常に主観的なものになり得る。

　たとえば一部の人にとっては、ソーシャルネットワークの統合のほうが、広告ネットワークとロケーションのパーミッションよりも懸念するものとなり得る。しかし、あなた個人の基準がどうであれ、PrivacyGradeの方は非常に興味深い統計情報を集めている。

  •  Most Popular Permissions
  •  Third Party Libraries

EFF（電子フロンティア財団）が適切なVPN（仮想プライベートネットワーク）を選択するための便利なガイドを公開しました。このガイドでは、わかりやすい用語を使って、この種のソフトウェアを使用すべき理由について説明しています。
 
このガイドには、次のように書かれています。「VPNを使用すると、共有ネットワークまたは公衆ネットワーク上で、プライベートネットワークに直接接続しているかのようにデータを送受信できるため、プライベートネットワークで使用できる機能、セキュリティ、管理ポリシーを活用できます。」
 
さらにこのガイドでは、ユーザがデータを暗号化する3つの一般的な理由を明示しています。このガイドによれば、VPNユーザのほとんどは、次の2つの理由からすでにVPNを使用しています。第1の理由は、遠隔地から会社のネットワークに接続するためです。第2の理由は、中国やイランのような国のインターネット検閲を避けるためです。しかし、ビジネスやデジタルフリーダムのためにVPNを使用していない場合でも、VPNを使用すべき明白な理由があります。

EFFのガイドには、その理由が次のように書かれています。「インターネットカフェやホテルのWi-Fiのような公衆ネットワーク上を移動するデータを暗号化するために商用のVPNを使用することもできます。」
 
ここに、皆さんがVPNをこの第3の理由のために使うべきかどうかを確認するフローチャートを用意しました。
 


エフセキュアでセキュリティアドバイザーを務めるショーン・サリバンは、公衆のWi-Fiについて実験した後に、次のように述べています。「相当数の公衆Wi-Fiプロバイダは、契約条項でワイヤレス通信には固有のリスクがあることを説明し、VPNの使用を勧めています。私の言うことを信用しなくても、彼らの言うことは信用してください。」
 
また、公衆ネットワークを使用していない場合でも、VPNを使用すれば永久クッキーのような、どこにでも存在する追跡要素から保護できます。
 
エフセキュアの非常にシンプルなFreedome VPNソリューションを試してみてください。このソリューションには、追跡防止や仮想ロケーションの設定機能なども備わっています。お試しは無料です。

＞＞原文へのリンク

まずはフィンランドで、次は世界で！私たちにはわかっていました。そして、ついに認められたのです。エフセキュアの非常にシンプルなセキュリティとオンラインプライバシー保護アプリ「F-Secure Freedome」が、フィンランドの「最優秀モバイルサービス賞（Best Mobile Service in Finland）」を受賞しました。


 
Freedomeが受賞したのはユーティリティおよびインフォテイメント部門です。昨日の授賞式には、Freedomeの製品マネージャを務めるPaiviと、当社のコンシューマ・セキュリティ部門の責任者であるSamuが出席しました。
 
Paiviは次のように述べています「設立後25年以上が経つエフセキュアが、新興企業との競争の中、受賞できたことを大変嬉しく思います。Freedomeの斬新でユーザフレンドリな設計が実を結びました。」
 
このコンテストは、Teleforumとフィンランド技術産業連盟がマイクロソフト、ノキア、サムソン、IBMなどの大手の業界パートナーと共同で企画し、110のモバイルサービスが11部門で評価されました。
 
ぜひ皆さんもFreedomeについて調べてみてください。なぜ、大きな話題になるのかがおわかりいただけるはずです。

＞＞原文へのリンク

今回が、エフセキュアのプライバシー保護の原則について説明するシリーズ（全3回）の最後のブログ記事です。前回までに、当社の基本理念を説明し、セキュリティがプライバシー保護に欠かせない理由について述べてきました。
 
しかし、プライバシーの保護とは、皆さんのデータを保護し、安全な状態に保つということだけを意味するのではありません。プライバシーの保護とは、私たちが企業としてどのように行動するかということでもあるのです。エフセキュアをプロバイダとして選ぶ場合、皆さんが知りたいのは、当社が責任ある形で行動しているか、ユーザのプライバシーを幅広い意味で支持しているかという点です。
 
私たちは、意味のあるメッセージを送り続けます
 
顧客に対するメッセージとマーケティングは、いつでも慎重に対応すべき課題であり、それに対する意見も分かれます。人によっては、あらゆる種類のマーケティングメッセージに拒否反応を示します。一方、気にしない人もいて、中には一部のマーケティングメッセージは役立つと考える人もいます。エフセキュアが顧客に接触する理由は、いくつかあると言ってよいでしょう。まず間違いなく、当社の製品とサービスポートフォリオを宣伝することが挙げられます（これこそ、マーケティングです）。また、ユーザが使用する製品について必要な情報を届けるという理由もあります。さらに、直接当社の製品とは関係しなくても、興味を引くと考えられる一般的なセキュリティとプライバシーに関する情報もお送りしています。私たちは、受け取る情報すべてに対する重要な情報の割合が最適になるようマーケティングメッセージを届けることを目指しています。皆さんは、内容に応じて受け取りを選択したり、断ったりすることで、当社からの情報の受け取り方を調整することができます。
 
私たちは、善良な企業です
 
経済的や外交的な利益を得るために、プライバシーに脅威を及ぼす力が世界中で働いています。つまり、プライバシーはもはや単なる技術的な問題ではなく、極めて倫理的、政治的な問題でもあるということです。そして、当社としても企業としてどのような立場を取るかを選択しなければならないときが来ています。エフセキュアは、プライバシーを侵害する開発には断固として反対します。プライバシーを保護するツールを販売するだけで、プライバシーへの脅威に対しては沈黙するという姿勢は正しくありません。私たちは変化を要求します。その姿勢は、「デジタルフリーダム宣言」にも反映されています。また、@MikkoのTEDでのプレゼンテーションもご覧ください。私たちの姿勢を最も効果的に訴えている人物は、他にはいません。
 
透明性
 
皆さんは当社に対して、「良さそうなことを言っているけれど、信用できるのだろうか？信頼していいのだろうか？」という疑問を持つでしょう。私たちが美しい言葉を並べるのは簡単ですが、お客様である皆さんには、私たちの主張を確認する手段はほとんどありません。そこで、必要になるのが透明性です。エフセキュアは先頭に立って、収集したデータの種類、データの処理方法、当社が拠り所とする原則を公表いたします。このようにして、単にマーケティングメッセージとしてプライバシーを利用する企業との違いを、最もわかりやすい方法で示します。
 
この原則に従って、私たちはプライバシーを保護するソリューションを提供いたします。お気づきのように、これは簡単なことではありません。当社のあらゆる階層からのコミットメントを必要とします。この原則を公開することは、当社の姿勢を示す一部にすぎません。本当に重要なのは、どのように毎日の通常業務を行っているかということです。私たちは、常にこの原則を心に留めながら、システムとプロセスを設計し、これらが決して侵害されないようにする必要があります。
 
私は夢を見ているのかもしれませんが、このような原則が十分に行き渡った社会で、デジタル市民として暮らすことに憧れています。現時点では、この望みはかなわないかもしれませんが、私たちは少なくともその実現に向けてできることをしています。社会が皆さんのプライバシーを侵害する可能性がありますが、私たちエフセキュアはこの原則を実現するよう熱心に取り組んでいます。まずは当社の製品という、デジタルの世界では小さな領域ですが、そこから取り組みを始めています。皆さんは選択することができます。この原則を支持していただけるなら、エフセキュアを選択して、プライバシーをより強力に保護することができます。
 
安全なネットサーフィンを
 Micke

＞＞原文へのリンク

最近、ザ・ニューヨーカー誌とのビデオインタビューで、エドワード・スノーデン氏は視聴者にDropboxやFacebook、Googleは危険であるため、使用を中止するよう忠告しました。しかし、利用者はどう思っているでしょうか？皆さんや私は忠告に従って、より安全なサービスに乗り換える準備ができているのでしょうか？
 
利用者が本当のところどのように考えているのかを知るために、エフセキュアは世界中で最近実施した利用者調査*の結果を調べてみました。この調査では、まさに上述したような内容について質問しています。結果は次のとおりです。
 

• 回答者の53%が、検索に基づくプロファイリングを避けるため、Googleのようなサービスから、よりプライベートな他のサービスに乗り換えたいと回答しています。
• 56%が、この1年で、米国に本社があるインターネットサービスに対して警戒心を高めました。
• 46%が、自分のデータが米国を経由せずに転送されるのであれば、サービスが有料でもよいと考えています。
• 70%が、自分のデータが経由している可能性がある国で、情報機関による大量監視の可能性について懸念を抱いています。
• 68%が、ときどきは、プライベートブラウジング、匿名モード、または通信の暗号化により、自分のプライバシーの保護に努めていると回答しています。
• 回答者の57%が、企業が無料のサービスと引き換えに、自分たちのプロフィールデータが利用されることに不満を持っています。

 
ドイツ、ブラジル、フィリピンでは、データプライバシーに対する懸念が強まっていることが明らかになりました。たとえば、データプライバシーへの懸念が高まる中、インターネットの使い方を最近数カ月で変えたかどうかを尋ねたところ、平均で56%の回答者が使い方を変えたと回答しました。国別では、英国が45%、米国が47%、フランスが49%となっているほか、ドイツではその割合は60%に、ブラジルとフィリピンでは67%にまで上昇していました。
 
皆さんも、よりプライベートで安全なサービスに乗り換える準備ができているでしょうか？もし準備ができているなら、エフセキュアには優れた製品があります。エフセキュアが提供するオンラインでのストレージと同期サービスであるyounitedは、徹底した暗号化により、セキュリティとプライバシーを保護します。また、F-Secure Freedomeは、たとえ公共のWiFiであろうと場所を問わず接続を暗号化し、ハッカーやオンライン追跡者からユーザを保護します。さらに、無償のF-Secure App Permissionsは、インストールしたモバイルアプリのうち、どれがユーザのプライバシーにとって脅威となるかを知らせます。
 
*F-secure Consumer Values Study 2014では、6カ国（米国、英国、フランス、ドイツ、ブラジル、フィリピン）の4,800人（各国800人、年齢、性別、所得別）を対象にオンラインインタビューを実施しました。調査はInformed Intuitionsとともに企画し、データは2014年7月にToluna Analyticsで集計されました。
 
画像はgreensefa、flickr.com提供

＞＞原文へのリンク

内部告発者によって世界は変わってきており、一般の人が本来知るべき秘密が依然として数多く隠されていることがわかってきました。スノーデン、マニング、アサンジ各氏のような注目を集めた情報漏洩者は世界的にその名が知られるようになり、勇気と引き換えに大きな代償を払っています。しかし公に情報をリークするほどまでに勇敢な人はほんのわずかで、内部告発者のほとんどは普通の生活を送り、匿名のままでいることを望んでいます。スノーデン氏が他の内部告発者に道筋を示したことは間違いありません。すでに何人もの人が名前は明かしていませんが、同氏に続いて情報のリークを試みています。内部告発は簡単ではなく、非常に大きなリスクを負います。このことは、FBIが1人の情報漏洩者を発見したという最近のニュースを見ても明らかです。
 
それにしても、オーウェルが描いた悪夢のような監視社会をさまざまな点で超えてしまっているこの世界で、匿名で情報をリークすることが果たして可能なのでしょうか。ここで、ジャーナリストに電話で情報をリークする場合のアドバイスをいくつか紹介しましょう。このアドバイスが必要な状況に陥る読者は多くはないと思いますが、非常に興味深い内容なので、ぜひ読み進めてください。私たちを取り巻くデジタルの世界がどのように動いているのかがわかります。
 
まず、最悪のシナリオを考えてみましょう。あなたがリークしたい秘密は、米国の安全保障に不利益をもたらします。つまり告発する敵は強大で、あなたを最も厳しい監視下に置くことができます。また、あなたはその情報にアクセスする権限を持ち、ジャーナリストに電話で話をしたいと考えたとしましょう。

ここに示すのは、そうした場合に、刑務所行きを免れるための基本的なルールとヒントです。

1. 最初に対象のデータにアクセスできるのが何人いるのかを把握する必要があります。こうした人は、あなたも含めて容疑者リストに入ります。人数が少ないほど、大きなリスクに晒されることになります。

2. 携帯電話は追跡に使用されます。携帯電話のネットワークを調べれば、あなたがどの基地局に接続しているかをいつでも把握できます。その他のサービスでは、GPSによる正確な位置情報までも記録し、保存できます。こうした情報のすべてに調査員はアクセスすることができるので、情報によって、あなたの身元が明らかにならないようにする必要があります。言うまでもありませんが、普段使っている携帯電話を内部告発に使用してはなりません。

3. 誰に情報をリークすべきかを調査する必要があります。ただし、絶対に自分のコンピュータで調査をしてはいけません。検索履歴であなたの身元が明らかになる可能性があります。自分のコンピュータで調査を行うと、（自分がしている操作を自覚してプライバシーツールを正しく使っていない限り）コンピュータとGoogleのユーザププロフィールの両方に痕跡が残ってしまいます。そのため、この調査は公共のコンピュータから行い、そのコンピュータからは、自分のアカウントには決してログインしないようにしてください。

4. 情報をリークするには「使い捨て」携帯電話が必要です。使い捨てであれば、あなたの身元と結び付くことはありません。使い方についてはいくつかのルールがあります。

1. 使わないときは必ずバッテリーを外して電源を切っておくこと。電源ボタンをオフにするだけでは、電話のすべての部分の電力が切断されたことにはなりません。
2. 自宅、またはその近所で決して電源を入れないこと。調査員は、携帯電話が接続した基地局を簡単に特定できます。自宅の近くで電源を入れると他の人よりも疑われやすくなります。
3. 自分の車の中または近くで決して電源を入れないこと。基地局に残された通話記録により、ナンバープレートを記録した交通監視カメラの映像と関連付けられる可能性があります。あなたの車が、自動車監視システムなどのデータ接続機能を搭載した新しい車種であれば、これは特に気をつけなければなりません。
4. 使い捨て携帯電話を、情報をリークする相手以外に決して使わないこと。たった1回配偶者に電話するだけでも通話記録が残り、あなたと電話が結び付けられます。もちろん、内部告発に必要な情報以外は、決して電話に保存してはなりません。
5. 使い捨て携帯電話を外で使うときには、普段使っている携帯電話は必ず自宅に置いたままにすること。そうしないと、使い捨て携帯電話を使っているときに、普段使っている携帯電話が「偶然」同じ基地局に接続しているのを調査員に気づかれる可能性があります。
6. 使い捨て携帯電話を持って外出するときは、普段使っている携帯電話の電源を入れたまま家に置いておくこと。こうすることで、一方の電源が切れると、一方の電源が入るという規則的なパターンを避けて、気づかれないようにすることができます。
7. その他のワイヤレス機器は家に置いたままにすること。タブレット、ワイヤレスの携帯型の支払い機器など、無線を使う装置を持って外出しないようにします。
8. ボイスチェンジャーを必ず使うこと。特に、容疑者リストの人数が少ないときは必須です。あなたの通話は録音されて、あなたの声と照合されるのは当然であると考えておきます。
   

5. 使い捨て携帯電話を手に入れます。見た目が古い、または性能のよくない監視カメラ使っている業者を、自宅に近すぎない場所で探します。調査員は、あなたが使い捨て携帯電話を買った店を特定し、監視カメラの記録を入手し、容疑者リストと照合する可能性があることを常に考えておきます。さらに良いのは、あなたの代わりに、他の人に使い捨て携帯電話を買ってもらうことです。

6. スマートフォンではなく、バッテリーが着脱できる安いプリペイドの携帯電話を選びます。現金で買って、どのような形であっても販売店に身元を明かしてはなりません。領収書やその他購入関連の書類は安全な方法で破棄します。

7. あなたとリークした情報を結び付ける物的証拠を保管する場所を考えます。物的証拠には、使い捨て携帯電話、関連する書類やデータを保存したメディアなどがあります。これは、容疑者リストの人数が少ない場合には特に重要です。こうした物的証拠を自宅や職場、車などに保管しておくと、調査員の捜索によってあなたが内部告発者であることが明らかになってしまいます。あなたと結び付かない安全な別の場所を探します。

8. これで、ジャーナリストに連絡する準備が整いました。使い捨て携帯電話の使い方は、厳格に守ってください。また、この段階では次のルールにも従ってください。

1. 監視カメラの映像で印象に残らないよう、目立たない服装をすること。
2. 電話をかけるときは、自宅からは十分に離れること。使い捨て携帯電話の電源を入れて通話を終えたら、すぐに再び電源を切ります。
3. 使い捨て携帯電話の電源が入っているときは、監視カメラが設置された公共の場所は避けること。
4. 移動中はクレジットカードを使わないこと。すべて現金で支払います。
5. 公共交通機関のペイメントカードなど、現金以外の支払い手段は絶対に使用しないこと。
   

9. リークされた情報を扱うジャーナリストは常に監視されていることを前提にしなければなりません。最初に連絡を取ったら、すぐに追跡が始まると想定してください。計画はできるだけ短い時間で終わらせて、使い捨て携帯電話の電源を入れる回数は最小限に抑えます。

10. 実行したら、リークした情報に関する物はすべて安全な方法で破棄します。自宅のゴミ箱に捨てるのは危険です。電話は川か、自宅から十分に離れた場所にあるゴミ収集所に捨てます。極めて猜疑心の強い内部告発者は、手袋をはめて電話を壊します。電話の筐体に指紋やDNAの痕跡が付着し、電子部品には追跡可能な電話のIDが残されている可能性があるからです。ばらばらにした破片は、必ず別々の場所に捨てます。

注意することが多くて大変です。しかも、通話時にプライバシーを守るということだけで、これだけのことが必要です。しかし、あなたが巨大権力に狙われても、自由な市民としての生活を続けたいなら、こうした注意を払う必要があるというのが現実です。あなたがそのような状況に陥らないことを望みますが、必要となった場合には適切に行動できようにしてください。

免責事項：この記事の主な目的は、今日の監視社会では、極めて執拗な監視が行われていることを示すことにあります。エフセキュアは、この記事の内容を実行すれば、有罪にならないということを保証するわけではありません。本当に内部告発を計画する場合は、この件について徹底的に調査し、他の情報源も調べるようにしてください（ただし、くれぐれもあなた自身のコンピュータで調査は行わないように）。

安全な内部告発を
 Micke

Dropbox、Facebook、Googleといったサービスからセキュリティやプライバシーを重視するサービスへ切り替えるべきだというエドワード・スノーデン氏の忠告に続いて、エフセキュアは実際に多くの人がそうすることを検討しているという調査結果*を発表します。6カ国で実施されたこの調査では、プライバシーに関する懸念が高まっていることから、大多数の人がこの数カ月の間にインターネットの利用に関する習慣を変えていることが明らかになりました。

最近のビデオインタビューの中でスノーデン氏は、Dropbox、Facebook、Googleといった大手インターネットサービスは危険であるため使用を避けるべきだと述べ、視聴者に注意を促しました**。実際に、回答者の53%が検索ベースのプロファイリングを避けるため、Googleなどのサービスから他のよりプライベートなサービスへの切り替えを前向きに検討していると答えました。また56%が、米国のインターネットサービスに対する不安がここ1年で高まってきていると答えたほか、46%が、自分の個人データが米国を経由せずに送信されるためなら出費をいとわないと回答しています。さらに70%は、自分たちの個人データが通過している国の情報機関が、大量監視を行う可能性について懸念していると回答しています。

回答者の68%は、少なくとも時折プライベートブラウジングやシークレットモードを使用することで、あるいは通信を暗号化することで自分たちのプライバシーを守るようにしていると答えています。また、57%は、企業が無料サービスを提供する代わりに自分たちのプロファイルデータを使うことに対し、賛成できないと答えています。

ドイツ、ブラジル、フィリピンでは、データプライバシーに対してより強い懸念が示されました。一例を挙げると、データプライバシーに対する懸念が高まっていることにより、ここ数カ月の間にインターネット利用に関する習慣を変えたかという質問に対し、平均56%（英国45%、米国47%、フランス49%、さらにドイツでは60%、ブラジル、フィリピンの両国では67%）の人が「変えた」と答えました。

エフセキュアのコンシューマ・セキュリティ担当エグゼクティブ・バイスプレジデントを務めるサム・コンティネンは次のように述べています。「この調査結果は、世論が変わりつつあることを示しています。人々は不安を抱いており、そうしたメッセージが広く伝わっています。セキュリティ業界では信頼が重要ですが、現在、同業者の多くが信頼を失っています。エフセキュアは、プライバシーを保護するセキュアなサービスを利用しようと考えている人に対し、誰にも侵入される心配のない優れたオプションを用意しています」。セキュリティ業界で26年にわたる実績を持つエフセキュアは、厳格なプライバシー法があるフィンランドの企業です。

エフセキュアが提供するオンラインでのストレージおよび同期サービスyounitedは、暗号化によりセキュリティとプライバシーを完全に保護します。また、F-Secure Freedomeは、公共WiFi上を含む暗号化接続や、ハッカーおよびオンライン追跡者からの保護を実現する、極めてシンプルなセキュリティとオンラインプライバシーのソリューションです。また、プライバシーを脅かす可能性のあるモバイルアプリを調べるには、無料のF-Secure App Permissionsをご利用ください。インストールしたアプリに送られた情報を知ることができます。

* F-Secure Consumer Values Study 2014（2014年エフセキュア消費者価値調査）は、米国、英国、フランス、ドイツ、ブラジル、フィリピンの6カ国からそれぞれ800人、合計4,800人を対象に年齢、性別、所得別に実施したオンラインインタビューです。この調査は、Informed Intuitionsとともに企画され、データは、2014年7月にToluna Analyticsにより収集されました。
**エドワード・スノーデン氏のThe New Yorkerによるビデオインタビュー（2014年10月11日）

　つい先日、当社はAndroid用のFreedome VPN Betaのテスターを勧誘した。さて、今ではお試しいただくのがさらに簡単になった。今やGoogle Play上で入手可能になったのだ。

　BというのはBetaのBだ。



　このバージョンのFreedomeには、ろくでもないアプリをスキャンするApp Security機能が含まれる。

　テスターは3か月間の無料サービスの他に、Freedomeをネタにしたパーカーを受け取る権利を得られる。



　なので、Betaをインストールして、Paivi（Freedomeの上級プロダクト・マネージャ。右）を喜ばせてほしい。

　フィードバック用のアドレスについては、Google Playのアプリのページで確認できる。

　我々は今年の頭頃、Fareitスパムの急増に遭遇した。Fareitとは、ZeusやCryptowallの配送に使われるダウンローダである。

　最近になって、また別の、スパムに使われるダウンローダに気付いた。このダウンローダのスパマーは、ユーザに正規のメールだと信じ込ませるために、一層の労力を払ったように見受けられる。

　ある最近のスパムは偽のKLM eチケットだった。エールフランスKLM社のセールス＆サービスセンターから送信されたように装っている。



　しかし、このスパマーは単純に英語を話す人に対し、気を配っただけではなかった。ここ最近、ポーランド語で送られた同じスパムも相当数目にした。

　たとえば以下のメールは、ポーランドを拠点とするオンライン決済サービス企業、dotpay.plから表面上は送付されている。



　おまけにこのメールはポーランドの有名ISPを使っている。



　そしてスパマーの言語スキルもこれで途切れたかと考えた正にその時、フィンランドをテーマにしたスパムのサンプルを入手した。



　文法は十分に納得のいくもののように見える。題名と添付ファイルにさえ正確なフィンランドの用語が用いられている。それのみならず、使用されているメールアドレス「suomi24.fi」というのは、フィンランドでもっとも人気のあるWebサイトの1つである。

　より効果的な詐欺を実施するために、スパマーは明らかにメッセージのカスタマイズに関する研究も行っている。標的とする国や人々の言語を使用するのみならず、人気のあるメールやサービスの提供者を用いることさえ実現している。

　これらのスパムのペイロードは、Wauchosというトロイの木馬型のダウンローダだ。

　以下にWauchosの最近のファイル名を挙げる。



　2つのサンプルの添付ファイルについては、http://www.google.com/webhpへの接続を試みることで、Wauchosはインターネット接続について確認する。

　以下のネットワーク接続を行う。

• http://188. 225.32.207/ssdc32716372/login.php
• http://188. 225.32.208/ssdc32716372/file.php
• http://188. 225.32.209/ssdc32716372/file.php
• http://188. 225.32.209/ssdc32716372/file.php
• http://188. 225.32.209/ssdc32716372/file.php
• http://92. 53.97.194/ssdc32716372/file.php
• http://46. 28.55.113/ssdc32716372/file.php

　また以下からトロイの木馬を追加的にダウンロードする。

• http://auto*.it/*/jeve.exe
• http://dd*.ru/old.exe

　これらのメールで見かけたWauchosのバリアントは、双方ともに情報を盗むZbotもしくはCridexをダウンロードする。

　当社ではこれらファミリーをTrojan-Downloader:W32/Wauchos、Trojan-Spy:W32/Zbot、Trojan:W32/Cridex.として検知する。

この記事は、エフセキュアのプライバシー保護の原則について説明する連載の第2回です。第1回の記事はこちらを参照ください。
 
第1回では、プライバシーを重視するというエフセキュアの基本理念を説明しました。この基本理念には、エフセキュアがどのようにして不必要なデータの収集を避け、収集したデータを皆さんが認めた目的以外に決して悪用しないようにするのかが反映されています。
 
しかし、それだけでは十分とはいえません。皆さんのデータがエフセキュアのシステムに保存された瞬間に、私たちは大きな責任を負います。エフセキュアが善意を持つだけでは不十分で、悪意を持った第三者が皆さんのデータを悪用できないようにする必要があるのです。これが、今回お話しするテーマです。
 
バックドアはありません
 
政府機関の多くが、一般の人がクラウドサービスに保存しているデータにますます関心を寄せています。そして、ユーザのデータを入手し調査できるよう、さまざまな機関がベンダーにバックドアの実装を強制する事例がいくつか明らかになっています。エフセキュアは、私たちにバックドアの実装を強制できない国で運営しています。したがって、皆さんは大規模なデータ収集という企てから保護されています。しかし、私たちは、犯罪者のために安全な隠れ家を用意しているのではありません。容疑が妥当であれば、容疑者に逮捕状が出された時点で法執行機関に協力します。このような場合には、もちろん関係者に協力しますが、逮捕状については1件ごとに妥当性を確認します。
 
セキュリティの確保なくしてプライバシーは保護できません
 
エフセキュアが、「私たちはあなたのデータを悪用しません」と約束するだけでは不十分です。他の誰もが悪用できないようにしなければなりません。そこで、エフセキュアでは、当社が実施するあらゆる計画と実装作業に高いセキュリティ標準を適用しています。また、当社の従業員もセキュリティ確保における重要な側面です。エフセキュアでは、従業員が皆さんのデータを悪用できないようにする技術システムとプロセスを備えています。
 
私たちは信頼できるサービスプロバイダを選択しています
 
今日の複雑なシステムが、最初から最後まで1社で構築されることはほとんどありません。これは、エフセキュアのシステムにも当てはまります。セキュリティとプライバシー保護の水準は、もっとも脆弱な部分によって決まります。つまり、社内と同じ厳しい原則を技術パートナーや請負業者にも適用する必要があるということです。顧客に、使用している製品にどのサービスがライセンスされているかを考えさせてはなりません。当然のことですが、エフセキュアは、皆さんに提供するサービスに対して全面的な責任を負います。他社が作成したサービスやコードを利用していても、当社のプライバシー保護の原則により、その責任を果たします。
 
最後の3つの原則については、最終回となる次回の記事で説明します。ご期待ください。
 
 
 
安全なネットサーフィンを
 Micke

＞＞原文へのリンク

　まだスマートフォンにパスコードを設定していないって？

　以下はContra Costa Times紙のMatthias GafniとMalaika Fraleyからだ。

　飲酒薬物運転の容疑者のスマートフォンからヌード写真を盗んだとして告発されている、カリフォルニア・ハイウェイ・パトロールの警官は、自身と同僚の警官たちは何年にも渡ってそうした画像を交換してきたと、捜査官に語っている

　10月14日の捜査令状の宣誓供述書によると、カリフォルニア・ハイウェイ・パトロールに5年勤務するこのベテラン警官は、これは警官たちの間の「ゲーム」だと称している。


情報元：Contra Costa Times紙

　ゲーム？

　これは犯罪だ！（あるいは、確実に事件化されるだろう）

　再びContra Costa Times紙より。

　カリフォルニア・ハイウェイ・パトロールの長官Joe Farrowは、「積極的かつ開かれた捜査」を組織内でも行っていると声明の中で触れており、数年前にロスアンゼルスで起きた、2人の警官が絡む同様の事件についても言及した。

　同氏は「今回の申し立てには怒りと嫌悪感を感じている」と述べている。「カリフォルニア・ハイウェイ・パトロールの各人には、高いレベルでの品位と精神力を求めている。我々の組織に、今回のような行為の入り込む余地はない」

　Farrow長官に期待しようではないか。長官は2008年に就任し、まさに本気で述べている。

　以下に長官が考慮すべき、2006年の出来事を挙げる。


情報元：The New Yorker誌

　ちょっと時期をさかのぼった頃から、カリフォルニア・ハイウェイ・パトロールには組織文化上の問題点があるようだ。

　強大な権力と共に、大きな責任を負うことになる。

　他の人間の尊厳を侵害することが「ゲーム」だと考えるような人間は、警官としてふさわしくない。

—————

　ここもしくはここから、カリフォルニア・ハイウェイ・パトロールにフィードバックを。

全世界は新たな現実に目覚めつつあります。プライバシーは、私たちが当然のことと考える基本的な人権でした。技術的には今でもその通りですが、グローバルなインターネットによって、この権利は容易に侵害されるようになりました。いかに容易になったかは、多くの国や企業が露骨かつ大々的にプライバシーを侵害している事実が証明しています。これには多くの動機が存在します。技術的実現可能性、商業的利益、外交および政治的な利益、テロに対する恐怖、そして最後に大事なことを言い残しましたが、人々の関心の低さです。
 
プライバシー侵害の誘因がなくなることはないでしょう。しかし、人々の関心は確実に高まっています。今、私たちがポストスノーデン時代にいることは明らかです。ユーザは、サービスプロバイダやソフトウェアプロバイダにどのようにしてプライバシーを保護しているのかを尋ねた上で、購入を決定するようになっています。
 
ユーザのデータ保護は、25年以上にわたるエフセキュアの使命です。だからこそ、エフセキュアは現在の状況を非常に憂慮し、この状況への関心を高めたいと考えているのです。しかし、関心を高めるだけでは十分ではありません。一丸となって行動し、エフセキュアのサービスと製品がユーザのプライバシーを侵害していないことを保証しなければなりません。ところが、それは企業のあらゆる機能に影響を及ぼす驚くほどに複雑な作業です。この理由から、エフセキュアはユーザのプライバシーを保護するため、その指針となる9つの原則を発表しました。
 
今回は、最初の3つをご紹介します。残りは近日中に掲載します。ご期待ください。
 
 
 
ユーザのプライバシー保護権を尊重します
 
これは、すべての原則の中で最も基本となるものです。エフセキュアの目標は、ユーザのために価値を生み出す製品やサービスを提供することですが、これはユーザのプライバシーを侵害することで達成されるわけでは決してありません。反対に、ユーザのプライバシー保護は、多くの製品における中心的な目標です。多くの企業は「無料」を謳ってサービスを市場に出していますが、実際にはユーザはプロバイダに個人情報を利用させることで代価を支払っているのです。エフセキュアは、決してそのようなことはしません。
 
あなたのコンテンツはあなたのもの

エフセキュアでは、ユーザ所有デバイス上のアプリ、あるいはエフセキュアのサービスへのアップロードデータなど、ユーザのデータを様々な方法で扱います。しかし、エフセキュアがどのような形でこれらのデータに接触しようとも、それは依然として「あなたの」データなのです。エフセキュアには、当社都合の目的でこれらを利用する権利はありませんし、法律用語が溢れる誰も読まない難解なユーザ規約でそのような権利を留保しているわけでもありません。
 
エフセキュアと共有する情報を決めるのはあなたです
 
エフセキュアはユーザのデータまたは個人情報に、いろいろな形でアクセス可能になる可能性があります。エフセキュアのサーバにユーザ自身がデータをアップロードする場合は、転送するデータを管理しているのがユーザであることは明らかです。また、エフセキュアの製品は、提供するサービスを向上するためにデータを収集することもありますが、大半の場合ユーザはそれを拒否することが可能です。収集されたデータのうち、ユーザの管理下にないデータは、ほんのわずかです。つまりエフセキュアは、自動データアップロードには「必要最低限」という方針を厳格に適用しているのです。エフセキュアは、それがサービスの向上に必要な場合のみデータを取得し、できる限りデータを匿名化し、必ずしも必要でなければ、ユーザが拒否できるようにしています。
 
以上が、プライバシー保護の9つの原則のうちの3つです。残りは近日中に掲載します。乞うご期待。
 

安全なネットサーフィンを
 Micke

＞＞原文へのリンク

　Flash Playerのインストーラ、Androidのセキュリティアップデートなるもの、海賊版のゲーム、アダルト動画のプレイヤー。疑わしいAndroidアプリに事欠くことは、ほとんどない。当社はこうしたアプリを自動的に分析しており、その処理中にスクリーンショットを取る。

　次に例を挙げる。


101個のろくでもないAndroidアプリ

　以下は、ある特定の例「Activate device administrator?」だ。



　Erase all data、Reset password、Limit password（全データの消去、パスワードのリセット、パスワードの制限）。

　中国移動通信（China Mobile、中国移动通信）の顧客は「Cancel」を選択すべきだ。