グーグル・スト・カーは墓場がお好き - 高木浩光@自宅の日記
■ 刑法上の囲繞地進入の再発防止策を示さないグーグル株式会社 11日の日記がASCII.jpで紹介された。2つ目の記事ではグーグル株式会社のコメントが掲載されている。 Google、女子高に突入!――セキュリティ専門家が指摘, ASCII.jp, 2008年9月12日 Googleストリートビューで「あの女子高」が消えた!, ASCII.jp, 2008年9月19日 「Googleマップ ストリートビュー」に神奈川県内の私立高校の敷地内で撮影されたと見られる画像が掲載されていた問題(関連記事)で、その後、当該画像がストリートビューから削除されていることが分かった。(中略) グーグル日本法人に今回の画像の削除理由について電話で確認したところ、「個別の画像が削除された理由やどのような申請があったかはお答えできない」(広報)として明確な回答は得られなかった。 また、「当社としてもぼかしの漏れなど
高木浩光@自宅の日記 - 「無断撮影公表に波紋」朝日新聞9月2日朝刊の記事
■ 「無断撮影公表に波紋」朝日新聞9月2日朝刊の記事 Googleマップの「ストリートビュー」について「無断撮影公表に波紋」と題する記事が、朝日新聞2008年9月2日朝刊社会面に掲載された。asahi.comには掲載されないようなので、朝日新聞社知的財産センターの許諾を得て*1以下に転載する。 [社会]「ネットに写ったわが家」波紋 道路沿いの家々や通行人を撮影した画像を、インターネットで自由に見られるグーグルの新サービス。先月、国内主要都市でサービスが始まると、利便性とプライバシー保護との兼ね合いをめぐり、激しい議論がわき起こった。(1面目次欄より) (転載許諾期間終了) 朝日新聞2008年9月2日朝刊29面「無断撮影公表に波紋」より 朝日新聞社知的財産センターの許諾のもと転載(許諾番号: 2-1257) ※朝日新聞社に無断で転載することを禁止する *1 有償での許諾。「読者提供」写真の転
高木浩光@自宅の日記 - グーグル株式会社の広報姿勢が嘘八百なことを示す事例
■ グーグル株式会社の広報姿勢が嘘八百なことを示す事例 ストリートビューについて、グーグル株式会社は、公道から撮影していて私道や敷地内には入っていないと説明している。このことは次のように報道されている。 グーグル地図新機能、削除要請次々 職質中の男性写真も, 朝日新聞, 2008年8月6日 グーグルは「公道から撮影した画像は基本的に公開が可能と判断した」と説明。 ネットで路上風景検索、京などでスタート グーグル新サービス 波紋, 京都新聞, 2008年8月18日 グーグル広報部は「公道から視覚的に見えているものだけを使っている。削除要請にも個別に応じ、個人情報保護に努めている」としている。 「ストリートビュー」のプライバシー問題、グーグルが方針説明, INTERNET Watch, 2008年8月5日 河合氏(引用時註: グーグル株式会社地図製品担当プロダクトマネージャー河合敬一)は、画像
高木浩光@自宅の日記 - 「LOCATION VIEW」のプライバシーへの配慮状況
(引用時、一部略) なるほど、これはプライバシーへの配慮だろうか。 ロケーションビュー社にプライバシーへの配慮状況について問い合わせてみた。 件名: 住宅地映像のプライバシー保護に関する公開質問 株式会社ロケーションビュー個人情報保護方針問い合わせ窓口御中 貴社の「LOCATION VIEW」サービスにおけるプライバシー保護へのお取り組みについて質問いたします。 「LOCATION VIEW」が公開している映像には、住宅地で撮影されたものも含まれていますが、その映像を一般公開するにあたって、貴社では何らかのプライバシー上の配慮に取り組まれていますか。特に以下の2点についてお答えいただけましたら幸いです。 (1) 撮影視点に関する方針 住宅地を撮影するにあたり、カメラの視点の高さについての規定あるいは方針はありますか。またその理由は何ですか。 (2) 撮影する道路の幅員等に関する方針 住宅地
高木浩光@自宅の日記 - 「この先自動車通り抜けできません」を通り抜けていたGoogleストカー, Googleストカーの目線と常人の目線を比較する
これは何だろうかと気になり、もう一度現地に出向いて確認してきた。前回の日記で最後の写真に示した路地の入口は、もう一歩引いて撮影すれば、以下のようになっていた。 「二輪の自動車以外の自動車通行止め」のマークがあるが、これは道路交通法上の規制を意味するのだろうか? それとも、単に「通り抜けできないような道ですよ」と言っているだけなのだろうか。 気になったので目白警察署に尋ねてみたところ、これは「標識」ではなく「看板」であり、道路交通法上の規制の効力は及ばないものとのことだ。ではどういう意味があるのかと尋ねたところ、「地域住民の要請でこのような看板を出すことがある」「部外者に入ってこられては迷惑になる場所や、実際に車が入り込んで動けなくなったような場所に出している」「区役所と協力してやっている」とのことだった。 Googleのストリートビュー撮影カー(以下「Googleストカー」とする)はそのよ
高木浩光@自宅の日記 - 日本の家屋の塀はグーグル社に適応して70センチ伸びるのか
■ 日本の家屋の塀はグーグル社に適応して70センチ伸びるのか 前回の日記に傍聴録を記したように、その研究会では図らずもグーグル社の考え方を聞くことができた。そのタイミングから、Googleマップの「ストリートビュー」について述べられたものと解釈している人がいるようだが、このご発言は、携帯電話や固定通信網における個人識別子の扱いに関連する議論の文脈において出たものである。 さて、Googleマップの「ストリートビュー」だが、日本でも開始されたと知って早速いろいろなところを見てみたところ、それは予期していたのとは違うものになっていた。車一台スレスレ通れるか通れないかのような細い道にまで撮影車が積極的に入り込んでおり、特に予想外なことに、住宅密集地で、高い視点から塀の中を見下ろして撮影している。 これは通常の通行人の目線で見える風景との違いを比べる必要があると思った。そこで、現地を訪れて実際の塀
高木浩光@自宅の日記 - ケータイWebはどうなるべきか
■ ケータイWebはどうなるべきか (未完成、あとで書く。) 技術的なセキュリティの話 先月27日の日記では、契約者固有IDによる「簡単ログイン」の危うさについて書いた。このログイン認証の実装方式は、携帯電話キャリアの「IPアドレス帯域」情報に基づいて、キャリアのゲートウェイからのアクセスのみ許すことによって、成り立ち得るものと考えられている(ケータイWeb開発者らには)ようだが、そもそも、その「IPアドレス帯域」なるものの安全な配布方式が用意されておらず、ケータイWeb運営者に対するDNSポイゾニング攻撃等によって、当該サイトに致命的な成り済まし被害が出かねない危険を孕んだものであることを書いた。 仮に、「IPアドレス帯域」の配布が安全に行われるようになったとしても、他にもリスクがある。通信路上に能動的盗聴者が現れたときに、致命的な成り済まし被害が出る。たとえば、6月3日の日記「通信路上
高木浩光@自宅の日記 - MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定を
■ MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定を Mac OS Xの初期設定の危険性 私の周囲に物理的に近づくことのできる人は、私が使っているノート型コンピュータの無線LANインターフェイスのMACアドレス*1を知ることができる。たとえば、セミナー等で私が講演している会場に来れば、講演中に私が無線LANのスイッチを切り忘れていたなら、無線LANのパケットを傍受することで私のMACアドレスを知るだろう*2。それだけでは他の人のアドレスと混じって区別できないだろうが、別の場所で再び同じことをすれば、両方に存在したものが私のMACアドレスだ。 これはもう隠しようがないので、先に自ら暴露してしまおう。「00:1f:5b:d1:ec:bd」は私のMACアドレスだ(図1)。 これを暴露するのはリスクのある行為であり、お薦め出来ない。また、仮に他人のMA
高木浩光@自宅の日記 - 無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者
馬鹿じゃないのか。このようなセキュリティに関わる情報公開ページは https:// で提供する(閲覧者が望めば https:// でも閲覧できるようにする)のが当然なのに、携帯電話会社ともあろうものが、そろいもそろってこんな認識なのだ。 (8月2日追記: ソフトバンクモバイルについては「7月27日の日記に追記」参照のこと。) それをまた、ケータイWeb関係者の誰ひとり、疑問の声をあげていないことがまた、信じ難い。何の疑問も抱かずにこれをそのまま設定しているのだろう。 こんな状態では、ケータイWebの運営者は、DNSポイゾニング等で偽ページを閲覧させられても、気付かずに、偽アドレス入りの帯域表を信じてしまうだろう。 つまり、たとえば、example.jp というケータイサイトを運営している会社が example.co.jp であるときに、攻撃者は、example.co.jp のDNSサーバに
高木浩光@自宅の日記 - 解放されたIPアドレスが別の人に割り当てられるまでの時間
■ 解放されたIPアドレスが別の人に割り当てられるまでの時間 昨日、某ISPから自宅に電話があった。セキュリティ係だそうだが、サポートセンター要員なのかマニュアル通りに話すだけで、こちらからの説明に対して、判断を要するような話になると会話が通じず、現場責任者の方と交代して頂いても埒が明かなかった。 今後の成り行きによっては、大変なことになる。 急遽調べておきたいのは次のことだ。 PPPoE接続のISPのように、ユーザのIPアドレスが頻繁に変わる回線において、IPアドレスの割当が解放されてから、同じアドレスが別のユーザに割り当てられるまでの時間。 たとえば、「48時間は割り当てられないようにされている」といった運用のISPがあるとか、「制限はなく、数分以内に別のユーザに割り当てられることもある」という運用が普通だとか、そういった事実関係を知りたい。
高木浩光@自宅の日記 - 一般家庭向けISPのIPアドレスはどのくらい変化しているのか
■ 一般家庭向けISPのIPアドレスはどのくらい変化しているのか 前回の日記では、脚注9で「もし、家庭向けのインターネット接続サービスで、IPv6アドレスの上位アドレスが固定的に割り当てられるようになったら、上位アドレスで個人が特定されてしまう。そこで、上位アドレスについても、現在のIPv4アドレスの割当と同様に動的に割り当てられるように運用するべきである」と書いた。では実際のところ、現在のIPv4アドレスはどのくらい変化するものとなっているだろうか。以前からたびたび「Yahoo!BBのIPアドレスは固定で変化しない」という噂を耳にするのだが、本当だろうか。 そこで、2006年8月末から観測しているWinnyノードのIPアドレスから*1、その状況を推定してみた*2。図1は、2008年6月末までの1年10か月分の観測データから*3、Winnyノード(IPアドレスとポート番号の組*4)の継続存
高木浩光@自宅の日記 - 日本のインターネットが終了する日
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
高木浩光@自宅の日記 - WASForum Conference 2008、7月4日と5日に開催
■ WASForum Conference 2008、7月4日と5日に開催 4年前から活動して来たWeb Application Security Forum (WASForum)ですが、今年も講演会を開催します。今年は、「CIO/CTO DAY」「Developers DAY」と銘打って二日間にわたって開催、会場も別々です。 7/4 CIO/CTO DAY - WEBサイトの危機におけるガバナンスと品格, WASForum Conference 2008 7月4日金曜日の「CIO/CTO DAY」では、株式会社カカクコム取締役COOの安田様と株式会社サウンドハウス代表取締役社長中島様のご講演があります。つまり、理想的なあるべき取り組みについてうかがうだけでなく、事故が発生してしまった事例をお伺いして、背景にある問題について深く議論ができればと考えています。ご講演の後にパネル討論の時間を設
高木浩光@自宅の日記 - 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか?
■ 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか? セキュリティホールmemoにまとめられているように、レンタルサーバのさくらインターネットのLAN上で、ARP spoofing攻撃が発生したのではないかとの疑いが浮上している。しかし、現時点でさくらインターネットは公式にそれを認めておらず、誰も確かな情報として伝えることができない状態にある。 昨今、Webサイトのコンテンツを改竄されて、ウイルスファイルへのインラインリンクを埋め込まれる手口の被害が多発しており、その際、Webサイトを改竄されたサイト運営者は、サイトを訪れた一般利用者に対してウイルス感染に注意を呼びかける告知を出すというのが、慣例になりつつある。これは、サイト運営者がサイト管理の不備を詫びる意味も含めて、行われている発表であろう。 しかし、ARP spoofingによる「改竄」は、Webサイトのコンテンツ
高木浩光@自宅の日記 - 単純所持刑罰化ならウイルス罪を同時施行しないとセキュリティバランスが悪化する, 追記(15日)
■ 単純所持刑罰化ならウイルス罪を同時施行しないとセキュリティバランスが悪化する 私は、著作権のあり方に関心がないのにWinnyの問題について意見を述べてきた。これは、著作権が情報セキュリティに影響を及ぼしていたからだった。著作権法による規制の強化が、制御不能な流通システムを誕生させ、人々に維持し続けさせ、その結果、漏洩情報の拡散も抑制不能になるという情報セキュリティ上の深刻な問題を引き起した。(関連記事1、関連記事2) このところ、児童ポルノの単純所持の刑罰化や、青少年に対するコンテンツ規制の法制化の機運が高まっているようだ。私は、それらの是非については専門外であり、とくに意見を持ち合わせていない。しかし、それらが情報セキュリティに及ぼす影響について関心を持っている。 児童ポルノ、所持だけで懲役1年以下・与党PT , 日本経済新聞, 2008年5月2日 児童ポルノ:所持は1年以下の懲役ま
高木浩光@自宅の日記 - PayPalフィッシングにひっかかりそうになった
■ PayPalフィッシングにひっかかりそうになった 木曜の夕方から風邪をひいて療養中。昼間寝すぎて寝付けないので日記でも書く。 フィッシングといえばPayPalが発祥の地。実際にどんな状況なのか知るために使ってみるべきだったが、実はこれまで一度もPayPalを使ったことがなかった。2月からWindowsマシンを捨ててMacに乗り換えて以来、シェアウェア料金を支払う場面に出くわすようになった。十年ぶりにKagi.comのシェアウェア支払いサービスを利用したとき、PayPalによる支払いの選択肢があったので、試しに使ってみることにした。 PatPalにアカウントを作成すると何通かのメールがやってくるのだが、これがHTMLメールになっている。このとき、「こんなことやってるからフィッシングにひっかかりやすくするんだよ」と思った。
高木浩光@自宅の日記 - 新型myloのオレオレ証明書を検出しない脆弱性がどれだけ危険か
自己署名の証明書になっていた。 これは明らかにセキュリティ脆弱性だ。この種類の脆弱性(ブラウザが証明書を検証しない)は、伏せておくよりも早く事実を公表して利用者に注意を促した方がよいという考え方もあり、すぐに日記に書こうかとも考えたが、このケースではIPA、JPCERT/CCを通した方が修正が早く行われるのではないかと考え、IPAの脆弱性届出窓口に通報した。 この届け出は3月27日に受理された。そして本日、JVNで公表となった。修正版が提供されているので、利用者はアップデートで対応できる。 JVN#76788395 ソニー製 mylo COM-2 におけるサーバ証明書を検証しない脆弱性, JVN, 2008年4月23日 パーソナルコミュニケーター "mylo" COM-2 セキュリティ脆弱性対策プログラムご提供のお知らせ, ソニー株式会社, ソニーマーケティング株式会社, 2008年4月2
高木浩光@自宅の日記 - Amazonは注文履歴の消去を拒否、アカウント閉鎖後もデータは残る
■ Amazonはやっぱり怖い そろそろ使うのをやめようと思う 今は朝6時。数時間前、寝ようとしたころに大騒ぎになっていた。 密かな趣味が全公開--Amazonのウィッシュリスト、改め「ほしい物リスト」に注意?, CNET Japan Staff BLOG, 2008年3月12日 これはひどいことになった。HATENA Co., LTD. では暗号解読の本をお求めのようだった。 幸い私は、ウィッシュリストを空にしていたので、何も見られることはなかったが、自分のAmazon登録メールアドレスを入れると、氏名と「茨城県」などの情報が表示された。(メールアドレスも非公開のものを使っているが、ワイルドカード指定もできたようなので、どうなっていたかわからない。もっとも、私は実名を隠していないが。) そもそも何年か前、この「ウィッシュリスト」なるサービスが始まったとき、やたらウイッシュリストへの登録が
高木浩光@自宅の日記 - CAPTCHAのレベルはblog主が選択できるようblogサービスが提供してはどうか
■ CAPTCHAのレベルはblog主が選択できるようblogサービスが提供してはどうか 先月末、江島健太郎氏の、 CAPTCHAは愚策, 江島健太郎 / Kenn's Clairvoyance, 2008年2月28日 というブログエントリが話題になっていた。そのはてなブックマークを見ると、以下のように非難轟々だった。 temtan [セキュリティ][プログラム] この人プログラム初心者って自覚あるみたいだけど、だったらこれが有効かどうかも判らないはずじゃない。なんで自信満々に言うんだろう。googleのプログラマより頭良いと思ってるのかな。★ hatest [ダメな例] Javascriptおぼえたての人は、なんでもJavascriptで出来ると思っちゃう典型的な例。Spamに狙われるような人気サービスでもない限りhttp://www.geekpage.jp/blog/のようなCaptc
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
高木浩光@自宅の日記 - 日本のインターネットが終了する日(掲載延期), 白浜サイバー犯罪シンポジウムに行ってきた