今日（６月１８日）午後、GigaZineで「iOSとOS XでiCloud・メール・ブラウザ保存のパスワードが盗まれる脆弱性が発覚、Appleは半年以上も黙殺」1というセンセーショナルな記事が出ました。まぁ、Webメディアだからしょうがないかという感じではありますが、記事を読んだだけでは何のことやらさっぱりなので、読みましたよ、元の論文。 その論文は、これです。 Xing, Bai, Li, Wang, Chen, Liao: “Unauthorized Cross-App Resource Access on MAC OS X and iOS” 2 まずは、著者たちに拍手をしましょう。 その上で： 著者たちが、初めて発見したと主張するゼロデイ攻撃は以下の４つ、細かくは５つに分類されます。 Password Stealing (Keychainのアクセス・コントロール脆弱性)[MacOS

さて、マイナンバー対応バブル真っ盛りの夏を迎えつつありますが、皆さんいかがお過ごしでしょうか？ 折しも年金番号が盛大に漏れて1、マイナンバーへの影響もあるのではないかとなども言われておりますが、そもそも「番号」が漏れることを「住所・氏名・生年月日」などの各種個人情報以上に大騒ぎするのには私は違和感があります。それは、こと漏洩に関して言うと、プライバシーインパクトは「番号」＜「住所・氏名・生年月日」＜＜「付随する情報」だからです。 以下、簡単化のために「番号」＜「住所・氏名・生年月日」に焦点を絞ります。 1. なりすましによる被害 「番号」それ自体は、その本人のデータを他の人のデータから区別するという能力しか無いはずです。米国のSSNなどは、誤った理解から番号自体を本人確認に使ってしまったりしてなりすまし事故を盛大に起こしております2が、日本のマイナンバーや年金番号はそんなことはしていないは

Yahoo! CEO メリッサ・マイヤー「消費者からの不信がパーソナル・インターネットの発展を阻害している。」「自己情報コントロールを！」 ちょっと前のニュースになりますが、日本でも流れてましたかね？パーソナル・データの取り扱いに関する、Yahoo! CEOのメリッサ・マイヤー氏の発言が、最近の某国の某社を中心とした「オプトアウトで目的変更可能に」という主張と真っ向対立しているというニュースです。 The Drum の報道[1]によりますと、去る１月２２日に行われたパネル・ディスカッションで、米Yahoo! CEOのメリッサ・マイヤー氏は、「一部テクノロジー企業がデータ販売の境界を押し広げようとすることによって、政府・消費者双方の信頼を失い、パーソナライズド・インターネットの発展を阻害している。」と述べたとのことです。個人による意思を伴った同意を経ないで、パーソナル・データから利益を得よう

ベネッセから、子供等の個人情報が最大2070万件漏洩[1]したらしい。 これはいろいろな面で示唆深い事件だ。いくつか挙げて見よう。 子供のデータであること。 諸般の事情で名簿屋が取得できなくなっていたデータであること。 実際に個人の被害が確認されていること。 転々流通が確認され、その問題が意識されはじめたこと。 個人情報保護法改正のまっただ中であること。 これらのうち多くの点は、楠さんのブログ「ベネッセが埋めた名簿屋のミッシング・ピース」[2]で指摘されているので、そちらを参照されると良いと思う。（なお、転々流通の問題は、５年前にこの記事[3]で言及しているが、ようやくちまたに意識されるようになってきたようで感慨深い。実際今回の件では、複数の事業者がこのデータを販売しているが、そのうち少なくとも２つは、同じIPアドレスにサーバを持っており事実上同一であるように思われる。５年前に指摘した、個

某所でのパスワード管理が話題になっているので、私が手元で使っているパスワードを含むクレデンシャル管理に関する要求事項の目的・脅威部分をチラ見せ。ISO/IEC 29115 ベースに、ちょびっとだけ書き加えておりますです。 9.2       クレデンシャルの検証／認証 認証フェーズにおいて重要なのは、様々な手段を組み合わせることによって適切な認証レベルを獲得することである。 9.2.1            目的・脅威 クレデンシャルの検証／認証の目的は、ユーザの身元をクレデンシャルの保有の検証をもって間接的に確認し、意図したユーザのみにサービスを提供することを可能にすることである。 この状況における脅威には以下の様なものがある。