日本外務省がCSCA証明書(公開鍵)の公開に応じない件に関するまとめ|Guest
OSSTech濱野氏によるブログエントリが話題になっている。曰く、パスポート真正性確認アプリ開発のため、日本の外務省にCSCA証明書(公開鍵)の情報公開請求を行ったところ不開示の決定を受けたという。 外務省の不開示決定旅券冊子の情報暗号化に関する情報であり,公にすることにより,旅券偽造のリスクが上がる等,犯罪の予防及び公共の安全と秩序の維持に支障を及ぼすおそれ並びに日本国旅券の安全性が損なわれ,法人の円滑な海外渡航に支障を来すことにつながる可能性がある等,旅券事務の適正な遂行に支障を及ぼすおそれがある。 また、当該情報は,国際的に外交手段でのみ交換する慣行があり一般への公開をしない共通認識があるため,公にすることにより,他国,国際機関等との信頼関係が損なわれるおそれがあるため,不開示としました。不開示の理由は「セキュリティ」「国際慣行」の二つに分解することができる。この決定について濱野氏は
パスポートのセキュリティ - AAA Blog
前回、運転免許証記載情報の真正性を確認する方法を紹介しました。 パスポートにも免許証と同様にICチップが埋め込まれており、海外渡航時の入国審査では本物のパスポートかどうかチェックが行われています。 不動産取引や民間サービスの本人確認業務でも、同じ方法でICチップの確認を行えば身分証偽造による詐欺行為を防ぐことができます。 今回パスポートのICチップにアクセスして真正性を確認するAndroidアプリをつくったのでその仕組みを紹介します。 目次 電子パスポート仕様パスポートは世界で通用する身分証明書です。 それぞれの国が独自仕様のパスポートを発行すると大変なので、 国際民間航空機関(以下ICAO)がICチップの技術仕様を標準化し、各国のシステムで相互運用できるようになっています。 ICAOはDoc 9303 Machine Readable Travel Documents(機械可読な旅券)と
J-STAGEがFirefoxでのアクセスを遮断、日本の電子ジャーナルが世界から不可視となった日|Guest|note
科学技術振興機構(以下JST)の運営する「J-STAGE」は、国立情報学研究所が運営する「CiNii」と双璧を成す、日本の電子ジャーナルプラットフォームである。それが2018年12月12日、Firefoxからのアクセスが不可能となった。 試しにFirefox 64でアクセスしてみたところ、確かにページ読み込みエラーとなり、コンテンツを表示することができなかった。サーバ証明書のエラーではないため例外を許可して続行することもできない。完全にFirefoxでのアクセスが遮断された格好だ。 翌日13日になってTwitterで原因の考察が始まり、J-STAGEの対応する暗号スイートに問題があることが判明する。 原因はJ-STAGEのTLS仕様違反J-STAGEはセキュリティ強化のため、2018年12月12日にTLS 1.2への切替とTLS 1.0/1.1の無効化を行うことを予告していた。これが影響し
追記(19日)東洋経済オンラインの的外れ記事 / 高木浩光@自宅の日記 - 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ
■ 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ ここ数年、不正送金の被害がインターネットバンキングの法人口座で急増しているという*1。その原因は今更言うまでもなく、Java実行環境(JRE)やAdobe製品の古いバージョンの脆弱性を突いてくるマルウェアである。しかしそれにしても、法人口座を扱うパソコンがなぜ、Java実行環境やAdobe製品をインストールしているのだろうか。インストールしなければ被害も起きないのに……。 その謎を解く鍵が、eLTAX(地方税ポータルシステム)にあるようだ。eLTAXでは、インターネットバンキングの口座を用いた納税ができることから、インターネットバンキング用のパソコンでeLTAXの利用環境も整えるということが普通になっていると思われる。そのeLTAXが、昨日までは、Java実行環境のインストールを強要していた。eL
金融機関の口座集約アプリの危険性について - プログラマでありたい
先日、銀行口座の口座集約のとあるiOSアプリの記事について、危険だよなぁと何気なく呟いたら中の人からリプを貰いました。Twitterで呟いているのですが、文字だけでは解りにくいのでまとめてみます。ただ、そのアプリ固有の問題ではなく、構造的な問題なのでアプリ名は開示しません。(安全なので安心ですという論調は、どうかと思いますが。。。) 口座集約アプリの構造 口座集約のアプリは、アカウント・アグリゲーション(Account aggregation)サービスと言われています。サービスの実体は、複数の銀行の口座情報とID,Passwordを預かり、代行でログインして結果のhtmlを解析(スクレイピング)して利用明細や残高を集約するものです。口座とID,Password情報、解析エンジンをどこに置くかで、クライアント型とサーバ型に分類されます。 サーバ型アプリケーション まずサーバ型アプリケーション
いやー、家計簿アプリ業界、そのうち絶対にヒドい事件がおきると予想します | ツイナビ
いやー、家計簿アプリ業界、そのうち絶対にヒドい事件がおきると予想します — Yusuke OSUMI (@ozuma5119) 2015, 6月 30 Zaimの件、そもそも家計簿アプリごとき(と敢えて言う)に、銀行やクレカのログインパスワードを入れちゃう人があんなにたくさんいることの方がよっぽど問題だと思う https://t.co/pidZhtUbej pic.twitter.com/jpNw41MqK0 — Yusuke OSUMI (@ozuma5119) 2015, 6月 28 Zaimの「金融機関の連携」機能、新生銀行にいたっては暗証番号までナチュラルに入れさせようとしてくるので、控えめに言ってこのアプリは頭がおかしいと思う https://t.co/50guysHXIV pic.twitter.com/BQnIaUnfGo — Yusuke OSUMI (@ozuma5119
「研究活動における不正行為への対応等に関するガイドライン」の策定にあたり実施した意見募集の際に御意見を提出された方の個人情報の漏えいについて:文部科学省
現在位置 トップ > 科学技術・学術 > 科学技術関係人材の育成・確保 > 研究活動における不正行為への対応等 > 「研究活動における不正行為への対応等に関するガイドライン」の策定にあたり実施した意見募集の際に御意見を提出された方の個人情報の漏えいについて 平成26年7月3日~8月1日に実施した「研究活動における不正行為への対応等に関するガイドライン」(平成26年8月26日、文部科学大臣決定)に係る意見募集について、平成27年1月18日付けで、提出された全ての意見(意見総数445件)の開示を求める行政文書開示請求がありました。これに対し、平成27年2月18日付けで御意見を提出された方の個人情報を不開示にした上で、電子データ(CD-ROM)により行政文書開示請求者に御意見をまとめた文書を開示しました。 平成27年4月28日に行政文書開示請求者から御指摘があり、不開示とした個人情報の一部が電子
高木浩光@自宅の日記 - 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12)
■ 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12) また同じ過ちが繰り返された。いったい何度繰り返せば学習するのか。 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始! http://t.co/JRFplpoiWP #プレスリリース — (株)共同通信社 (@Kyodonews_KK) 2014, 12月 2 このプレスリリースは誰が流したものか。以下の画面のように冒頭に「経済産業省」と記載があり、これを見た人は�経済産業省が流したものだと思うだろう。*1 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始!, 株式会社共同通信社 申込先のリンクが http://kojinjohohogo-guideline.jp と書かれている。 やるのはいいけど、.go .jpじゃないわ、
先生のための生徒のTwitterアカウント特定講座
生徒が普段、何をTwitterでつぶやいているか気になるね? 炎上しそうなつぶやきをしていないか?見られてはいけない画像が流出していないか?気になるよね? ということで、生徒のアカウントを簡単に特定する方法を教えちゃうよ。 ○○○高校あるあるbotで一網打尽その学校内での「あるある」をつぶやくbot(botという名前だが手動が多い)が1つくらいはある。botを作りたくなるお年ごろなんだ。ユーザー名でも検索できるけど、Googleで、 site:twitter.com ○○○高校 みたいに検索したほうが効率が良いかもよ。 ○高や○中など略されている場合もあるから注意が必要だよ。 ほとんど非公開アカウントではないから、フォロワーを見ることができる。その中から「○○高校1年」のようなプロフィールのアカウントを探そう。そこの部活や学年などの情報から個人を特定しよう。 校内行事で検索文化祭みたいなそ
「Mステ出演禁止歌手一覧がとんでもないwww」……拡散されているスパムツイートに要注意(GREEニュース) - エキサイトニュース
ここ最近、Twitter上で「Mステ出演禁止歌手一覧がとんでもないwww」と言うツイートが出回り、波紋が広がっている。 このツイートのリンクをクリックすると、アプリ認証画面に移行する。ここで「連携アプリを認証」すると、上記の投稿内容を勝手にツイートするほか、複数のアカウントを自動フォローすることになる。 この実質的なスパムにより、Twitter上では秒単位で「Mステ出演禁止歌手一覧がとんでもないwww」のツイートが流れる事態となっている。 もし意図せずに連携してしまった場合は、PC版のTwitter画面右上部分にある「歯車」をクリック。「設定」の「アプリ連携」から外すことができる。 先日から、「【画像あり】 Mステでおっpいポロリ放送事故ww」や「【芹那が消えた理由が身近すぎてガチで怖い!】」などのスパムが流行しており、注意が必要だ。アプリ認証を要求するツイートに対しては、本当に連
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
りそな銀行、関ジャニ大倉忠義さんの個人情報を漏洩させた件を大慌てでお詫び : 市況かぶ全力2階建
懲りない百度(Baidu)がまた日本語入力関連でやらかした件で(山本一郎) - 個人 - Yahoo!ニュース