■ Tポイントは本当は何をやっているのか Tポイントが実際のところ何をやっているのかは、以前から確認する必要があると考えていたのだが*1、その加盟店に公共図書館をを加えるという話が出てきて*2、いよいよ待ったなしの段階に入ったと思い、5月から6月にかけて「Tカードサポートセンター」に問い合わせて確認していた。 最初に問い合わせたのは5月8日で、「T会員規約にはこう書かれているが実際には何をやっているのか」と素朴に尋ねたところ、電話に出たオペレータからは、「ファミリーマートを利用した会員にガストでクーポンを出したり、ガストを利用した会員にファミリーマートでクーポンを出したりしている」という趣旨の説明があった。このオペレータは、このようなクーポン発行に、商品名レベルの購入履歴は使用しておらず、ファミリーマートの利用の有無（店舗レベル）に基づいてクーポンを発行しているという認識のようだった。 そ

■ ID番号は秘密ではない。秘密でないが隠すのが望ましい。なぜか。 俺、実は今日が誕生日なんだ……。 僕らはいったいいつから誕生日を隠さなくちゃいけなくなったんだろう。はてなにもmixiにもGREE*1にもニセの生年月日で登録した*2自分がいる。Facebookの友達にも生年月日を明かさない設定にしている。プライバシーやセキュリティを啓発する立場の者が生年月日を明かすだなんて、匿名主義者達の嘲笑の的にされかねない。そして気付いてみれば、誕生日を祝ってくれるのは、両親とほんの数人の身近な友人だけになっていた。 先月、スマホアプリのプライバシー騒動の件で立て続けてにいくつもの取材を受けた*3が、決まって聞かれるのは、「利用者が気をつけるべきことは何でしょうか」という問いであった。 これに対して私が答えたのはこうだ。「利用者が何か気をつけなくてはならないようではいけない」と。つまり、事業者が解決

■ ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか SuicaやEdyの登場によって、カードに記載の番号が新たな問題をもたらすであろうことは、8年前に関心を持ち、何度か書いた。 Edyナンバーは易々と他人に知らせてよい番号なのか, 2004年2月29日の日記 Edyナンバーはどのように使われるものか, 2004年7月11日の日記 許諾なしに公表されるEdyナンバーとSuica番号, 2004年7月11日の日記 その後、EdyナンバーやSuicaのIDiは無闇に掲示されることはなくなり、問題は起きなかった。コンビニのam/pmがEdyを用いて独自に展開していた「club ap」でも、利用者登録にはam/pm店舗のレジで印刷してもらう「仮パスワード」を必要とするようになっており、まあ一応ちゃんと設計されていた。*1 ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。

■ spモードはなぜIPアドレスに頼らざるを得なかったか spモードの事故 NTT docomoのスマホ向け独自サービス「spモード」が、今月20日に大規模な事故を起こして、重大事態となっている。 スマホ向けネット接続が不具合 ドコモ 別人のアドレス表示, MSN産経ニュース, 2011年12月20日 ドコモのspモードで不具合、他人のメールアドレスが設定される恐れ, 日経IT Pro, 2011年12月21日 ドコモの「spモード」でトラブル、関連サービスが一時停止, ケータイ Watch, 2011年12月21日 ドコモ、spモード障害で「ネットワーク基盤高度化対策本部」設置, ケータイ Watch, 2011年12月26日 ドコモ 約1万9000人に影響, NHKニュース, 2011年12月27日 ドコモの“メアド置き換え”不具合、影響数や新事象が明らかに, ケータイ Watch,

■ ミログ第三者委員会の「提言」を許してはならない 10月10日の日記「スパイウェア「app.tv」に係るミログ社の大嘘」の件、ミログ社から「第三者委員会報告書」（以下「報告書」という。）が開示された。 第三者調査委員会の調査結果に関するお知らせ, 株式会社ミログ, 2011年12月16日 100ページにも及ぶこの報告書の内容は、「app.tv」と「AppLog」について事実関係を明らかにした上で、いずれも違法行為ではなかったとする結論を導くものであり、加えて、冒頭で、「ユーザーからの同意取得に関する提言」として、一般論を社会に向けて提案するものとなっている。 報告書には次の2つの重大な問題がある。 app.tvの不正指令電磁的記録該当性の検討で肝心の点がすっ飛ばされている。 「ユーザーからの同意取得に関する提言」は到底受け入れられるものではない。 以下、これらを順に明らかにする。 app

■ Wi-FiのMACアドレスはもはや住所と考えるしかない 目次 まえがき これまでの経緯 2つのMACアドレスで自宅の場所を特定される場合 SSIDに「_nomap」でオプトアウト？ PlaceEngineはどうなった？ まえがき 先週、以下の件が話題になった。 Greater choice for wireless access point owners, Official Google Blog, 2011年11月14日 Removing your Wi-Fi network from Google's map, CNET News, 2011年11月14日 グーグル、Wi-Fiネットワークの位置情報収集で対応策を公開, CNET Japan, 2011年11月16日 Google's WiFi Opt-Out Process Makes Users Navigate Technic

■ スパイウェア「app.tv」に係るミログ社の大嘘 株式会社ミログが9月27日に提供開始した「AppLog」がスパイウェアまがいであるとして、朝日新聞10月5日朝刊に以下の記事が掲載された。 アプリ利用時間や回数丸わかり「アップログ」に批判, 朝日新聞2011年10月5日朝刊 AppLog: insidious spyware rolled out in Japan by Milog, Inc. *1, The Asahi Shimbun, 2011年10月5日 スマートフォンの利用者がどんなアプリ（ソフト）をいつ、何回使ったかを記録して好みを分析し、興味を引きそうな広告を配信する。そんなプログラムが現れ、インターネット上で批判を集めている。プログラムは電話帳など無関係に見えるアプリに組み込まれ、アプリ利用者への説明が十分ではないからだ。（略） 問題視されているのは、利用者に存在が見えに

■ 「Tポイントカード3人に1人が持つ」は本当か、街角で聞いてみた 先週、マイナンバー制度（納税番号制度（aka 共通番号制度））のICカード配布の話の流れで、（住基カードが4%しか普及していないのに）TSUTAYAのTポイントカードは「今や国民の3人に1人が持つ」という話*1が話題になっていた。「共通番号を官民で使えばカードを1枚にできる」などといった主張も出ていた。 その一方で、本当にそんなにたくさんの人が持ってるのか疑問だとの声も出ていた。「レジから聞こえてくる声に耳を傾けていると、Tポイントカードを持ってる人なんて存在しないんじゃないかと思えてくる。」という声もあった。（「Togetter - 「「ポイントカードはお持ちですか」への反応」」参照）。

■ 技術音痴なIT企業CTOが国のWGで番号制度の技術基盤を歪める 非公開で進められている（傍聴が許されていない）「情報連携基盤技術WG」の配布資料を入手した。しかも、この「情報連携基盤技術WG」には、存在自体が非公表のサブWGがあり、その構成員は、「情報連携基盤技術WG」から中立の有識者らを除いた、ベンダーの人々だけの集まりになっているらしい。入手した資料は、そうしたベンダーの構成員から今月提出されたもののようだ。 入手した資料のうち、一つは重大な問題のある文書であり、他にもう一つ、問題のある文書があった。 「番号制度」は、推進派に言わせれば「国家百年の大計として国の礎を作ることに他ならない」という*1ものであり、ベンダー試算によれば何千億円もの国家予算が必要と言われているものである。しかも、その方式設計は国民のプライバシー影響を左右する重要なものであって、一度不適切な方式を普及させると

■ このまま進むと訪れる未来 岡崎図書館事件(15) この物語はフィクションであり、登場する団体・人物などの名称はすべて架空のものです。 2017年5月、それは新聞各社のベタ記事報道から始まった。 朝売新聞2017年5月26日朝刊 美術館の電子書籍を破壊 愛崎県警 不正指令電磁的記録作成容疑、32歳を逮捕 岡知市立美術館の電子書籍データを破壊する不正なプログラムを作成、提供したとして、県警生活経済課と岡知署は25日、不正指令電磁的記録作成及び同供用の容疑で、コンピュータソフトウェア制作会社社長を逮捕した。 発表によると、容疑者は、昨年12月、ハードディスクを繰り返し執拗に消去するプログラムを作成し、インターネットのホームページで公開していた。今年3月に市立美術館の主任主査がこれをダウンロードしたところ、美術館の電子書籍データがすべて破壊された。プログラムは35回にわたって繰り返し0（ゼロ）

■ タイトル未定（新春特別長編） 2017年5月、それは新聞各社のベタ記事報道から始まった。 朝売新聞2017年5月26日朝刊 美術館の電子書籍を破壊 愛崎県警 不正指令電磁的記録作成容疑、32歳を逮捕 岡知市立美術館の電子書籍データを破壊する不正なプログラムを人の実行の用に供する目的で作成、提供したとして、県警生活経済課と岡知署は25日、不正指令電磁的記録作成及び同供用の容疑で、コンピュータソフトウェア制作会社社長を逮捕した。 発表によると、容疑者は、昨年12月、ハードディスクを繰り返し執拗に消去するプログラムを作成し、インターネットのホームページで公開していた。今年3月に市立美術館の主任主査がこれをダウンロードしたところ、美術館の電子書籍データがすべて破壊された。プログラムは35回にわたって繰り返し0（ゼロ）を書き込むよう作られており、誤消去したファイルを元に戻すソフトを使った復旧作業

■ 検察は何を根拠に犯罪と判断したか 岡崎図書館事件(14) 中川氏が、自分がなぜ起訴猶予に（嫌疑なしでなく）されたのか、10月に検察庁に聞きに行ってきたとのことで、librahack.jp にその報告が出た。 検察庁で聞いてきました, Librahack:容疑者から見た岡崎図書館事件, 2010年12月17日 故意を認定した理由はこういうことのようです。 コンピュータに詳しい技術者なので、リクエストを大量に送りつけたら、図書館のサーバに影響が出ることを予想できた。事実、まったく予想しなかった訳ではなく、少しは影響が出ることを予想していたはずだ。それなのに、リクエストを大量に送りつけたので、「故意があった」ものと判断した。 「なぜ嫌疑不十分ではなく、起訴猶予としたか？」と問い質したの対し、検察は、 影響が出ることをまったく予想しなかった訳ではなかったから。 と回答。さらに「それは過失になり

■ やはり起きていた刑事的萎縮効果による技術停滞 岡崎図書館事件(13) 12月12日の夕方、Twitterの#librahack界隈で以下のサイトが発掘された。 杉並区立図書館 新着図書 更新情報 （非公式）, http://www.naotaka.com/library/ 更新停止のお知らせ 突然ですが、2010年6月22日をもちまして、「杉並区立図書館 新着図書 更新情報 （非公式）」の更新を停止させていただきます。 当ページをご利用の皆様にはご迷惑をおかけしますが、ご理解のほど、よろしくお願いいたします。 6月22日といえば、librahack.jp が公開された翌々日だ。東京の杉並区立図書館といえば、使われている図書館システムは三菱電機ISのMELIL/CS（新型）だ。 このサイトの公開された当時に書かれたサービス説明が、以下にある。 杉並区立図書館の、「その日の新着図書」がわか

■ 警察と検察と裁判所で何があったか 岡崎図書館事件(2の1) 6月20日のこと、Twitterで @librahack から言及された。見に行ってみると http://librahack.jp/ というサイトが出現していた。なんと、岡崎図書館事件で逮捕された方は不起訴処分になっていた。@librahack からフォローされていたのでダイレクトメッセージで連絡が欲しいとコンタクト。メールで何があったのか事実関係を聞かせてほしいとお願いしたところ、数日後、ご本人からのメールが到着した。 当時の中川氏は、警察にまだ何されるかわからないと恐れている様子だった。起訴猶予処分だから今後起訴される可能性も残っていると思っていたようで、ご家族への配慮や業務への影響から、「正直あまり警察を刺激したくない」とのことだった。それでも、http://librahack.jp/ を立ち上げたのは、「問題点を電話し

■ 三菱電機ISに求められているものは何か 岡崎図書館事件(10) 今日の読売新聞朝刊社会面に次の記事が出ていた。 図書館システム不具合…三菱電機系 情報流出・蔵書検索が「サイバー攻撃」か？, 読売新聞2010年11月29日朝刊社会面 図書館利用者100人以上の個人情報が流出したほか、蔵書を検索しただけで「サイバー攻撃」と誤解された男性が偽計業務妨害容疑で逮捕され、その後、システムに原因があったことも分かった。同社は近く調査結果を公表し、関係者に謝罪する。 （略）MDISは06年には不具合を改良し、その後に納入した図書館には改良版を提供していたが、今回、岡崎市から障害の相談を受けた際には「システムに原因はない」と回答。このため図書館は警察に被害届を出していた。MDISは「保守担当者がシステムをよく理解していなかった」として、逮捕された男性への謝罪の意を表明する方針。 三菱電機ISが近く発表

■ 逮捕時報道で疑問を挟めなかったメディアは一般紙だけではなかった 岡崎図書館事件(9) このところ、公安資料Winny放流事件のこともあり、新聞社やテレビ局から何度か取材や問い合わせを頂く機会があったが、そういうなかで、記者から岡崎図書館事件のことについて触れられることもあり、新聞が最初の逮捕時報道で疑問を挟めずに警察発表をそのまま流したことを恥じ入るといった趣旨の言葉を頂くこともあった。 その一方で、「技術屋と法律屋の座談会（第2回）」で会場のフリーライターの方から「マスコミ報道が悪いと言われても、まあストレートニュースってそういうものよね」という発言が出たように、警察発表を短時間で記事にしていくという警察担当記者の日常作業からすれば、たしかにそんなものなのかもしれない。実際、警察がそういう発表をしたという事実は伝えられるべきであるし、もしあの報道がなければ、私たちはそういう逮捕事案が

今回の出演中、DPI広告の例としてPhormのケースについて、技術的な観点から、生のHTTPを使えなくなってしまう件について解説しようとしたとき、途中で何を言うのだったかわからなくなって固まってしまった。この件については、後日、日記でちゃんと説明しようと思う。アニメ化する必要があると思っている。 それから、肝心なところを話し忘れてしまった。通信の秘密が、片方の同意で合法となるとされる点について、ニコ生放送では、鈴木先生のお話から、通信の秘密には社会的法益もあるはずという点までは話が進んだものの、その先の論点、つまり、具体的にどういう社会的利益が損なわれるのかについて、話す用意をしていたのに言いそびれてしまった。このことについても、後日の日記で書こうと思う。

■ 岡崎図書館事件(8) 警察組織に期待すること 最初に書いたように、逮捕報道の翌々日に岡崎署に電話したが、このときは、捜査中なので基本的に内容について答えて頂けない状況で、それはしかたがないので、報道向けの警察発表に問題があるのではないかということを述べた。つまり、それが犯罪であることを示す肝心の部分（故意が疑われる事実に関する情報）が報道向けに発表されていないことが、産業の発展に対して萎縮を招くとの意見を述べたところ、その趣旨は伝わったようで、「上層部で今後検討していかなければいけない」とのお返事を得た。 その後、不起訴処分となり、「はははー。何かあるんですね？」で私が想像していたような背景というのは結局何もなかったことがわかり、それは何だったのかを確認しようと思い、6月21日に再び岡崎署に電話してみたところ、5月に話してくださった方（O氏*1）は県警本部に戻っていて岡崎署にはもういな

■ 岡崎図書館事件(2の2) 図書館はどうしたのか 前編 岡崎市立中央図書館のホームページへの大量アクセスによる障害について, 岡崎市立中央図書館, 2010年9月1日 が話題になっている。 事件直後、つまり逮捕報道の翌々日の5月28日、最初に電話取材したのは岡崎市立中央図書館だった。このときは録音していたが、とくに意味のある情報が得られなかったので聴きかえすことはなかったのだが、今日改めてはじめてその内容を聴いてみたところ、図書館側の姿勢が当初から現在まで全く変わっていないことに驚愕した。この時点で既に言うべきことは言っていたが、図書館側は当初から話を受け入れる様子がまるでなかった*1。以下、正確性を期すためそのまま内容を示す。先方は、岡崎市教育委員会図書館交流プラザ中央図書館企画室の三浦氏（日経コンピュータ8月4日号の記事で図書館側として出ていた方）。 私: 情報セキュリティの研究をし

■ 三菱図書館システムMELIL旧型の欠陥、アニメ化 - 岡崎図書館事件(7) 21日の日記で示したMELIL/CS（旧型）の構造上の欠陥について、その仕組みをアニメーションで表現してみる。 まず、Webアクセスの仕組み。ブラウザとWebサーバはHTTPで通信するが、アクセスごとにHTTP接続は切断される*1。以下のアニメ1はその様子を表している。 このように、アクセスが終わると接続が切断されて、次のアクセスで再び接続するのであるが、ブラウザごとに毎回同じ「セッションオブジェクト」に繋がるよう、「セッションID」と呼ばれる受付番号を用いて制御されている。 なお、赤い線は、その接続が使用中であることを表している。 次に、「3層アーキテクチャ」と呼ばれる、データベースと連携したWebアプリケーションの実現方式について。3層アーキテクチャでは、Webアプリケーションが、Webサーバからデータベー