高木浩光@自宅の日記 - 年金機構から基礎年金番号の付番機能を剥奪せよ, 追記(6月29日)
■ 年金機構から基礎年金番号の付番機能を剥奪せよ 我が目を疑うニュースが飛び込んできた。 性同一性障害者に年金共通番号 一時ネット閲覧可能に, 共同通信, 2013年5月7日 日本年金機構が、性同一性障害で性別変更した人を判別するため、昨年10月から基礎年金番号10桁のうち前半4桁に共通する固定番号の割り当てを始めていたことが7日、分かった。この4桁の番号が性同一性障害者を示すと明記した機構の内部文書が一時インターネットで確認できる状態だった。 「内部文書が一時インターネットで確認できる状態だった」というのが意味不明だなと思いつつ、Twitterを検索してみたところ、この問題と戦っている方々のツイートと、問題提起のブログが見つかった。 GID(性同一性障害)年金基礎番号 強制付番問題について, URAIKADA | FTMTSのために, 2013年4月19日 急ぎで載せました「GID(性同
高木浩光@自宅の日記 - ローソンと付き合うには友達を捨てる覚悟が必要
■ ローソンと付き合うには友達を捨てる覚悟が必要 当初3月末開始とされていた「LAWSON Wi-Fi」が、なぜか「当初の計画より事前テストに時間を要したため」として、遅れて4月6日から開始されたのだが、早速Twitterでこんな指摘が出ていた。 少なくともこういうのを「ログイン」と呼ぶのはやめて頂きたい。金融機関などでは、暗証番号に電話番号や誕生日を使うのをやめるよう利用者を啓発する活動にコストをかけてきたが、そうした労力を台無しにする。ローソンとしては、無料の無線LANを使わせるくらい、本人確認が甘くても自社の問題だから許されると思っているのだろうが、こういうやり方が社会に悪弊をもたらすことに気付いていないのか。 今回は、前回の日記で取り上げた「PASMOマイページ」の問題とは違って、「ログイン」で電話番号と誕生日を使用している。一般に、不正アクセス禁止法では、このような、IDと電話番
高木浩光@自宅の日記 - こたえはきっとソースの中に 〜 ドコモのCAPTCHAモドキ
そもそもこのサービスにとってCAPTCHAが何の意味をなすのか疑問*1だが、それはともかく、この部分のHTMLソースを見ると、画像のURLに答えが書かれている。(図2の「gifcat/call.php?SID=948545」) これでは何の意味もない。 これの目的がもし、他サイトからのリンクで検索させられる事態を防ぐためであるなら、画像なんか表示せず、直接INPUTフィールドに値を埋め込むようにしておけばいい話だ。*2 <input name="attestationkey" value="948545" type="hidden"> ちなみに、図2で示される画像のURLに直接アクセスしてみると、図3のように、リロードする毎に(同じ番号の)違う画像が現れる。何回か繰り返してみると、1つの数字あたり4種ほどの画像が用意されているだけだとわかる。 背景のノイズのようなものも、動的に生成されてい
高木浩光@自宅の日記 - 「WPA-TKIPが1分で破られる」は誤報
■ 「WPA-TKIPが1分で破られる」は誤報 先月、無線LANのWPA-TKIPが1分以内に破られるという報道があり、話題となった。 無線LANのWPAをわずか数秒から数十秒で突破する新しい攻撃方法が登場、早期にWPA2に移行する必要あり, Gigazine, 2009年8月5日 今回の方法は昨年11月に発表された「Tews-Beck攻撃」(略)がQoS制御を利用する機器に限定されるものであり、鍵の導出に15分もの時間が必要であったのに対して、わずか数秒から数十秒で導出してしまうことができるというもの。(略) 今回発表される方法では、TKIPにおける定期的に変更される鍵について、TKIPのプロトコルの新たな脆弱性を利用して極めて短時間(数秒から数十秒)で導出し、その鍵を効率よく利用する方法として新たな中間者攻撃を開発したとのこと。 無線LANセキュリティ「WPA」をわずか1分以内で破る手
高木浩光@自宅の日記 - やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合
■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日 (略)こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。 (略)iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。 (略)契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ
高木浩光@自宅の日記 - Macでは「何回も何回も観てニヤニヤ」がバレる
■ Macでは「何回も何回も観てニヤニヤ」がバレる 前回の日記で「「何回もクリックされてる」というのは、いったいどうやって調べるというのだろう? 」と書いたが、Mac OS Xでは開いた日が記録されていると、はてなブックマークのコメントで教えて頂いた。 それは「Spotlight」の検索用インデックス内に記録されている。「最後に開いた日」の条件で検索できることは知っていたが、その他に、デフォルト設定ではメニューにない「使用日」という隠れた検索属性が用意されていることを知った。検索属性の指定で「その他」を選ぶと、たくさんの属性が用意されていて、その中に「使用日」という属性がある(図1)。 この「使用日」のチェックボックスをオンにすると、「使用日」で検索できるようになる。「使用日」とは、ファイルを開いたことのある日が記録されたもので、「最後に開いた日」より過去の開いた日も記録されている。 たと
高木浩光@自宅の日記 - Bluetoothで山手線の乗降パターンを追跡してみた , ユビキタス社会の歩き方(6) Bluetoothの「デバイスの公開」「検出可能にする」..
■ Bluetoothで山手線の乗降パターンを追跡してみた この日記を書き始めてからもう6年になろうとしている。書き始めたきっかけは、RFIDタグのプライバシー問題が理解されないことに焦りを感じたからだった。当時の空気では、RFIDタグは5年後くらいに普及し、しだいにRFIDの埋め込まれた日用品で溢れかえるようになり、10年後くらいにプライバシー問題が顕在化すると目されていた。しかし、6年経った現在、私の靴にRFIDタグは埋め込まれていない。 当時の議論で描かれていたRFIDタグの問題は、無線LANやBluetoothにも共通することであり(MACアドレスがユニークIDとなる)、それらの方が先に普及するかもしれないという予感はあったが、現時点でも、無線LAN機器を持ち歩いている人はごく一部の人に限られている。しかし、Bluetoothはどうだろうか。これまでにも何度か、最近のBluetoo
高木浩光@自宅の日記 - 私のMacintosh環境
■ 私のMacintosh環境 昨年はMacに戻ってきた年だった。TigerのときにもMacにスイッチしようと思ったが、いまひとつ使いにくいと感じたのと、軽いノート型がなかったので断念していた。それが、MacBook Airが発表されたのと、自宅にMac miniを買ってLeopardの使いやすさに触れ、アルミニウム型キーボードの打ちやすさにも感激したことで、ついにスイッチを決意したのだった。 Leopardはあまりカスタマイズがいらないと感じたが、いくつか必要なところがあった。以下、自分用のメモがてら、どんなカスタマイズをしたかまとめておく。USキーボードを使っていて、Emacsのキーバインドに慣れていることを前提としている。 キー入力のカスタマイズ 記号入力の慣れからUSキーボードを使わざるを得ないが、そうすると日本語入力でやや問題が生ずる。また、矢印キーを使いたくないので、ほとんどの
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
高木浩光@自宅の日記 - PKIよくある勘違い(8)「自分専用なのに第三者から証明書を買えというのはおかしい」
■ PKIよくある勘違い(8)「自分専用なのに第三者から証明書を買えというのはおかしい」 PKIというよりSSLにある勘違いであるが、オレオレ証明書を使うべきでないという考え方が広まってくると、今度は、自分専用のサーバなのに、「オレオレ証明書じゃだめなのか?」と考えてしまい、「自分専用なのに何万円も払って証明書を買わないといけないなんてのは、どう考えてもおかしい! 何か間違ってる!」といった思考に至ることがありそうだ。 自分専用であればオレオレのサーバ証明書で運用してかまわない。ただし、ブラウザの警告を無視して「はい」を押してはいけない。「能動的な盗聴」の被害に遭うおそれがあるという点で、SSLの機能は完全には働かないからだ。 こういうとき、Webブラウザが Firefoxであれば、次の手順で設定することで、自作のサーバ証明書で正しく安全に運用できる。 まず、サーバに自作の証明書と秘密鍵を
高木浩光@自宅の日記 - 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんと
■ 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんと 「コンピュータセキュリティを基礎から」というと、暗号の解説、特に共通鍵暗号と公開鍵暗号の違いからなどといった解説をよく目にする。昔は専門の方によって注意深く書かれていたのに対し、ここ何年かはひどい状況になっている。先月、宮崎で開かれたSCIS 2008の席でも暗号研究者の方々との雑談でそういう話になった。私は暗号は専門でないのでその話題は迂闊に書けないできたが、このところの巷の誤り解説の氾濫ぶりは目に余るものがある。 最もひどく蔓延っていてしばらく消えそうにない間違い解説の典型例は次だ。 「公開鍵で暗号化したものを秘密鍵で復号するのと同様に、秘密鍵で暗号化したものを公開鍵で復号できるようになっている。」 事例1: 日本ベリサイン株式会社による公開鍵暗号方式の解説 このような共通鍵暗号方式の問題点を解決する暗号方式が、公開鍵暗号方式
高木浩光@自宅の日記 - ユビキタス社会の歩き方(2) ストーカーから逃れて転居したら無線LANを買い換える
■ ユビキタス社会の歩き方(2) ストーカーから逃れて転居したら無線LANを買い換える 5月27日の日記「PlaceEngineのプライバシー懸念を考える」では、「無線LANアクセスポイントのMACアドレスを知られると、住所を知られることになる」という状況が生じ始めていることついて書いたが、そのリンク元に、それがもたらす被害の具体例としてストーカー被害を挙げている方がいらした。同じことについて私なりに書いてみる。 ストーカーに自宅を特定されて付き纏いなどの被害に遭っている被害者が、ストーカーから逃れるために転居することがしばしばあるようだ。勤務先を特定されていない場合や、転居先がそこそこ遠方であれば、その対処が有効なのだろう。 しかし、無線LANが普及した現在、平均的な家庭には無線LANアクセスポイントの1台や2台は設置されているであろう。自宅を特定したストーカーは、自宅前で無線LANパケ
高木浩光@自宅の日記 - 厚生労働省の脆弱性放置は何が問題とされているのか
■ 厚生労働省の脆弱性放置は何が問題とされているのか 目次 今回の報道 過去の経緯 何が問題なのか 本当に動かなくなるのか 内閣官房に期待すること 新たな問題(Sun Microsystemsの愚行) 今回の報道 先週、NHKが、厚生労働省の電子申請システムのセキュリティ上の問題点を取り上げていた。 NHKニュース「厚労省 欠陥ソフトを放置」, 2007年7月5日 ニュース7 厚生労働省はホームページ上で特定のコンピューターソフトを提供していますが、このソフトには重大な欠陥があり、利用者がパソコンの情報を盗まれるおそれのあることがわかりました。(略) 厚生労働省は、こうした情報を把握できず、5か月以上にわたって、欠陥が修正された最新のソフトに切り替えたり、利用者に注意を呼びかけたりするなどの対策をとっていませんでした。 NHKニュース「厚労省 欠陥ソフト提供中止」, 2007年7月6日 お
高木浩光@自宅の日記 - PlaceEngineのプライバシー懸念を考える, 追記(29日), 追記2
■ PlaceEngineのプライバシー懸念を考える PlaceEngineが研究実験の段階を越えて商用サービスとして提供開始されているということで、「みんなの地図2」を購入した。使用してみて、想像以上に実用になるものであることを知った。東京の都心で試したところ、たいていの場所でかなりの精度で場所を特定してくれる。 「みんなの地図2」に付属のPlaceEngineクライアントは、ローカル(UMDもしくはメモリスティック)に保存されたデータに基づいて位置を計算するようになっているが、Windows用のPlaceEngineクライアントは、インターネット経由でサーバに位置の計算を問い合わせるようになっている*1。そのため、ノートPCでもネットがつながってさえいれば、GPSがなくても位置を調べることができ、それはとても興味深い機能であり、今後の応用が楽しみなシステムだと感じた。*2 しかし、この
高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
高木浩光@自宅の日記 - RFID児童登下校管理システムのクオリティは安心安全ソリューションってレベルか
■ RFID児童登下校管理システムのクオリティは安心安全ソリューションってレベルか 2004年から2005年にかけてたびたびNHKニュースやテレビ東京で華々しく宣伝されていた、RFID児童登下校通知システムだが、去年あたりから悲惨なことになっていたようだ。 2006年8月13日の日記からリンクしていた個人ブログを再び見に行ってみたところ、その後こんなことになっていた。 「情報科な日々のつれづれ」の「ICタグ」カテゴリ 朝、7:36。 ICタグによる登下校システムの停止。(略) 事務所の電話は、鳴りっぱなし。 何とかならないかといわれても・・・・。 とにかく富士通に対応してもらうまで待つしかない。 原因は、どうやら、メールサーバの停止らしい。 7:36に最後の送信をしてから、停止したらしい。 それ以降に登校した子どもには、メールが送信されていません。(略) 27 September ご迷惑を
高木浩光@自宅の日記 - RFIDタグ搭載ランドセルの校門通過記録で仲良しグループを割り出すという小学校教諭の発想は普通?
■ RFIDタグ搭載ランドセルの校門通過記録で仲良しグループを割り出すという小学校教諭の発想は普通? 論座2006年8月号に「IT技術は小学生を守るか」という記事が出ていた。これに次の記述がある。 立教小学校(略)の「登下校管理システム」は、ICタグを用いたセキュリティーシステムの草分けだ。(略)導入を進めた石井輝義教諭(情報科主任)は「動機は、どちらかというとセキュリティーよりも利便性にありました」と語る。(略) 「教師の仕事の一部を肩代わりしてもらうことで、生身の子どもと接することに集中できる」。今後はさらに、記録を時間順にソート(並べ替え)して仲良しグループを割り出す、長期欠席児童を把握するといった可能性を考えている。昨年5月の遠足では、バスに児童が乗り込んだかどうかタグで確認する実験も行った。無線LAN機能と専用ソフトを備えたモバイルPCをリーダーとして用いたという。 さらに、技術
高木浩光@自宅の日記 - せっかく購入した証明書をまるで無駄にする新潟県
■ 銀行スパイウェア犯と同じ手法でWindows XP SP2の警告を回避する警察庁電子申請システム 政府が整備を進める電子申請システムにおいて、中央官庁の大半がオレオレ証明書を使用し、オレオレ認証局をWebからダウンロードしてインストールするなどという不用意極まりない習慣を国民に植え付けようとしていたなか、警察庁だけは当初から違う対応をとっていた。 警察庁の電子申請システムはオレオレ証明書を使用しているものの、「警察庁認証局」のルート証明書をCD-ROMで入手しなければならないことになっている(第三種オレオレ証明書)。 警察庁認証局の自己署名証明書(ルート証明書)の入手 インターネットを利用して警察庁へ電子申請をしようとする場合には、通信の安全性を確保するために事前に以下の窓口に問い合わせて警察庁認証局の自己署名証明書(ルート証明書)を入手して下さい。 入手方法はCD-Rの手渡し又は、郵
高木浩光@自宅の日記 - 公務員研修で体験させておくべき演習 「蛍光ペンで墨塗り」の巻, 追記(8月6日)「折り返し」機能を無効に?
■ 公務員研修で体験させておくべき演習 「蛍光ペンで墨塗り」の巻 隠したはずの個人情報丸見え 千葉市教委のホームページ, 朝日新聞, 2006年8月1日朝刊 HP墨塗り情報、丸見え 千葉市教委が謝罪, 朝日新聞, 2006年8月2日朝刊千葉版 同市は02年末、システムからの情報漏洩(ろう・えい)などを防ぐため「情報セキュリティポリシー」を作り、対策を進めてきた。(略)市のHPを担当する情報政策課の(略)課長補佐は「(今回の問題を)31日夜に聞いたときは正直驚いた。さらなる注意を職員に呼びかけていくしかない」とショックを隠さなかった。 という報道が出ている。この種の事故については2003年7月29日の日記にも書いていた。そのときは「フォントの背景色を黒にした」?と書いていたが、Microsoft Wordの「蛍光ペン」機能を黒色で使ったのではないかと予想した。当たりだった。 千葉市教委HP「
高木浩光@自宅の日記 - Windowsの「.p7s」拡張子に対するデフォルトの関連付けは不適切, 内閣官房のメルマガのS/MIME証明書がfree 60-day trial edition..
■ Windowsの「.p7s」拡張子に対するデフォルトの関連付けは不適切 S/MIME署名されたメールをS/MIMEに対応していないMUA(電子メール利用ソフト)で表示すると、「smime.p7s」という添付ファイル付きの形で表示される(図1)。 これは、RFC 2633にあるように、S/MIMEが、署名データをMIMEの添付ファイルの形式で付加するように設計されているからだ。 3.4.3.3 Sample multipart/signed Message Content-Type: multipart/signed; protocol="application/pkcs7-signature"; micalg=sha1; boundary=boundary42 --boundary42 Content-Type: text/plain This is a clear-signed me
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
