少し前に、「パスワードは90日ごとの変更」が義務づけられる！？ (itpro.nikkeibp.co.jp)……という話がありましたね……。 今日、プライバシーマークについての社内文書がまわってきたのですが、そこにもしっかり「パスワードを定期的に変更する」という項目が……。訊いてみると、Pマーク制度では「パスワードの定期変更」が義務づけられていて、マークを取得・維持するためには定期的な変更を実施することが必須なのだそうで。 「プライバシーマーク制度 FAQ：監査について (privacymark.jp)」に「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン」という文書があります。これの 3.4.3.2 にそれらしい項目があるのですが、この項目は「個人情報の保護に関する法律についての経済産業分野を対象としたガイドライン (www.meti

公開: 2012年6月3日23時45分頃 こんな記事が……「日本人の得意領域・「ゲーミフィケーション」がやってきた！ (business.nikkeibp.co.jp)」 面白そうだと思って読んでみると、こんな記述が。 これについて日本人読者のみなさんに理解していただくには、日本人が一番よく知っている『ドラゴンクエスト』というゲームを例にとると説明しやすいということだ。 本当のことを言うとドラゴンクエストについては、今回鈴木さんに教えてもらって初めて詳しく知ったことなのだが、私なりにポイントをまとめてみなさんにお伝えすることにしたい。 以上、日本人の得意領域・「ゲーミフィケーション」がやってきた！ より ドラゴンクエストではゲームを起動すると最初に自分と老人しかいない狭い部屋からゲームが始まる。 (～中略～) 次に、動いていくとどうしても老人とぶつかる。ぶつかるとちょうど2人が向き合う形に

公開: 2012年5月20日18時10分頃 任天堂のサイトで、決算説明会の資料が公開されています。 2012年4月27日（金）決算説明会 (www.nintendo.co.jp)久々の赤字ということで話題になっているようですが、それはともかく興味深いと思ったのは、課金ビジネスに関するお話。 過去にデジタルビジネスについて、私たちが申し上げてきたことは、すべて当社ホームページのIR情報に書かれていますが、誤解されている方もおられるようですので、もう一度改めて整理してお伝えしますと、「追加コンテンツ販売を意識するあまり、パッケージとして未完成と受け止められるような商品を任天堂としてご提案するつもりはない」、「ネットワークを通じてコンテンツを配信することで、さらにお客様に長く、深く遊んでいただくために、追加コンテンツ販売を行っていくが、この際には、あくまでお客様に提供するクリエイティブなコンテン

では、この冷却機能の長期喪失という最悪の状態が起こった場合、福島原発で「最も危険」であったものは何か。 実は、それは「原子炉」ではなかったのです。 意外に思われるかもしれませんが、それは、「使用済み燃料プール」だったのです。具体的には福島原発四号機の使用済み燃料プールが、最も危険な状態に陥る可能性があったのです。 以上、「官邸から見た原発事故の真実」p123 より 続く話を要約すると、こんな感じです。 使用済み燃料プールには圧力容器や格納容器といった封じ込めのためのバリアが存在しないため、崩壊すれば「むき出しの炉心」になってしまい、放射性物質が容易に拡散する四号機のプールには千数百本にのぼる大量の使用済み燃料があったそのうち数百本は炉心から取り出したばかりで、まだ高い崩壊熱を出している状態だったそして、以下のような点が懸念されていました。 このプール自体が水素爆発や余震による地震、津波など

公開: 2012年2月18日17時10分頃 高木さんのリツイートで知ったのですが、こんなことを言っている方がいらっしゃるようで。 ちなみに私は（会社などを含めて）Facebookのアカウントを5つ持っている。これを全部使って同一人物をブロックすると、たぶんアカウントを停止されるだろう。おもしろいから、暇なときやってみるかな。 以上、https://twitter.com/ikedanob/status/160244909218078722 より アゴラや私のブログにFacebookのプラグインで馬鹿なコメントをしてくるやつは、ブロックして「嫌がらせを受けた」と通告している。複数回やるとアカウントを停止されるみたいだから、注意したほうがいいと思うよ。 以上、https://twitter.com/ikedanob/status/160240580188835840 より 感想のコメントは控え

公開: 2011年11月15日2時20分頃 ※この日記にはトルネ (www.amazon.co.jp)の隠しトロフィーに関するネタバレが含まれています。隠しトロフィーの情報を知りたくない方はご注意ください。 「PS3のトロフィー情報からユーザーをプロファイリングする」の続きです。既に高木さんが「テレビ録画機「トルネ」の視聴ジャンルが無断公開されている (takagi-hiromitsu.jp)」という記事を書かれていますので、興味のある方はそちらも参照してみると良いでしょう。 さて、私のトロフィー情報は「プロフィール - MinazukiBakera (playstationhome.jp)」で公開されていますが、ここにはトルネのトロフィーもあります。 トルネのトロフィーは全てが隠しトロフィーのようで、端から見ても名前が分かりません。そのため、どのトロフィーを取得しているのかは分からない…

更新: 2011年10月31日1時5分頃 いろいろと話題になっていたAppLog、「10月26日に次の一手を発表」と予告されていて、いろいろな期待や予測がなされていましたが……結局、発表されたのはこれでした。 AppLogSDKサービス終了のお知らせ (milog.co.jp)サービス終了だそうで。サービス終了の発表を「次の一手」として予告するのも変ですから、本来はもっと別な発表を予定していたのでしょう。しかし、その予定が流れてしまったのだと思います。おそらくは、パートナーとの契約を白紙に戻されてしまったのでしょう。 いちおう、おわびの言葉が出ていますね。 アプリケーションの利用者様から取得させて頂いた情報の扱いに関しては、第三者委員会をはじめ外部有識者の指導に従い適切に管理、破棄等の手順を踏ませて頂きますと同時に、情報取得を一切停止することを維持するために必要な運営管理を継続的に行って参

公開: 2011年10月10日11時30分頃 少し前から「AppLog」というものが話題になっていましたが、朝日新聞の記事になりましたね。 アプリ利用時間や回数丸わかり　「アップログ」に批判 (digital.asahi.com)記事を書かれたのは、岡崎市立中央図書館の事件でも活躍された神田大介さん。 そのAppLogのサイトはこちらのようです。 AppLog (www.applogsdk.com)見ていくと、いろいろ気になることが書かれています。 まず、どんな情報が送信されるかですが、以下のように説明されています。 Android ID端末の機種情報端末のOS端末にインストールされているアプリケーションの情報端末で起動されているアプリケーションの情報以上、AppLogSDKの概要 より

事業は一般競争入札で発注し、誰でも参加できる形にしていたが、入札直前に天下り先以外の参加が難しい条件をつけてライバルを排除していた。 「難しい条件」の具体的な内容は書かれていませんが、左の図を見ると「Pマーク」が利用されていたようですね。琉球新報に詳しい記事が出ていました……「天下り法人が独占　防衛省の防音工事補助金手続き代行 (ryukyushimpo.jp)」。 防衛省によると、同業務の発注は一般競争入札だが、個人情報を管理できる団体を第三者機関が認証して交付する「プライバシーマーク（Ｐマーク）」の認証を持つ業者か、申請中の業者しか入札に参加できない。Ｐマークの認証は５人規模の事業者でも３０万円ほどかかるという。 以上、天下り法人が独占　防衛省の防音工事補助金手続き代行 より 入札の要件としてPマークを必須とすれば、Pマークを取得できないような企業は排除されます。それを意図的に、天下り

公開: 2011年7月3日20時25分頃 こんなお話が……「ソニーの情報漏洩は起こるべくして起こった」情報通信技術研究会で専門家が総括 (itpro.nikkeibp.co.jp)。 例えば、サーバーが再起動させられるまで不正アクセスに気付けなかった件については、「定期的にログ解析さえしていれば簡単に気付けたはず。そんなごく基本的なことさえしていなかったことは明白」と喝破。 うーむ。「簡単に気付けたはず」と言われていますが、サーバの再起動が起きる前、つまり攻撃が成功する前の段階で気付けということですよね。JSOCの監視サービス (www.lac.co.jp)に匹敵する品質が求められていると思うのですが、そんなに簡単なことなのでしょうか。 そしてPSNはアカウント数が7700万あるサービスですから、ログの量も半端ではないでしょう。そういう量のログをそういう質で監視するというのは、それほど簡単

更新: 2011年7月9日23時0分頃 とあるシステムで徳丸本のストレッチングを採用することにしたという話がありましたが、その実装が佳境に入ってきました。私は指示だけ出して、実装はお任せ……と思っていたのですが、基本的な部分を作ってもらったところでバトンタッチされ、私が引き継ぐ形で実際にコードを書くことになりました。 基本的には徳丸本 (www.amazon.co.jp)のオススメどおりの実装にするという方針なのですが、実際にコードを書いてみると、いろいろと気になったり迷ったりした事も出てきました。そのあたりを簡単にメモしておきます。 ※ちなみに、このシステムはRuby1.9.2 + Ruby on Rails3での実装なので、PHPのコードサンプルをそのまま使っているわけではありません。 ストレッチ回数をどう決めるのか徳丸本327ページにあるコード例を参考にして実装。アプリケーションごと

公開: 2011年6月1日23時45分頃 PlayStation Networkが復旧したという噂を聞いたので、アクセスしてみることに。 PS3 (www.amazon.co.jp)に記憶させていたパスワードでログインすると、「お客様のパスワードはご利用いただけなくなりました。パスワードを変更する必要があります」と言われて、新パスワード入力画面に。パスワード入力とパスワード確認入力の欄はあるものの、旧パスワードの同時入力がないのが気になりました……が、機器認証済みのPS3からのパスワード変更ならCSRFも関係ないはずです。そこは気にせずにパスワードを入力することにしました。 パスワードの要件は、「英数字を含む8文字以上」と表示されています。8文字あれば良いとはいえ、PlayStation Networkはまだ攻撃者から注目を浴びている状態です。新しいパスワードは、できるだけ長くて強力なもの

公開: 2011年5月22日13時50分頃 こんなお話が。 巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に (slashdot.jp)」。巫女テスター（17歳）、システムの致命的な欠陥を発見しサーバーごとシステムをシャットダウンした一部始終 (togetter.com)巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 (togetter.com)とあるシステムを見ていたら「パスワード再発行フォームのメールアドレス入力画面にＳＱＬを仕込むと全ユーザーの情報を引き出したり」といった致命的な脆弱性を発見してしまい、そして……本番環境を動かないようにしてシャットダウン。その後は警察を呼ばれそうになりつつも、クライアントの理解が得られて最悪の結果は回避できたようで。まとめには出ていませんが、「課長と部長に報告したし、埒があかないから更に上

公開: 2010年11月28日22時40分頃 こんな話が……「非実在青少年」を削除、再提出へ　都条例改正案 (www.itmedia.co.jp)。 漫画、アニメーションその他の画像（実写を除く）で、刑罰法規に触れる性交もしくは性交類似行為または婚姻を禁止されている近親者間における性交もしくは性交類似行為を、不当に賛美しまたは誇張するように、描写しまたは表現することにより、青少年の性に関する健全な判断能力の形成を妨げ、青少年の健全な成長を阻害するおそれがあるもの 刑罰法規に触れる行為を不当に賛美しまたは誇張する作品がまずい……ということであれば、まずは時代劇から規制した方が良いのでは。忠臣蔵なんか露骨に殺人を賛美していて、「殺人に荷担しない奴はチキンだ」という雰囲気の中で話が進むわけです。忠臣蔵に限らず、時代劇の多くは殺人を肯定的に描いています。そういう作品を青少年に見せるのはまずいのでは

公開: 2010年11月28日22時40分頃 岡崎市で会見があり、三菱電機インフォメーションシステムズとの契約打ち切りが発表されたそうで。こんなリリースも出ていますね……「競争入札参加資格者の入札参加停止措置を行います (www.city.okazaki.aichi.jp)」。 例によって朝日新聞の神田記者がいろいろツイートしてくださっています。 岡崎市の会見ですが、市とMDISが契約解除で本日合意したという内容です。今年９月、MDISのシステムを来年１月以降も５年間利用するという契約を市は結んでいるんですが、これはMDISが辞退するという形で撤回されました。岡崎市によると、契約の解除に伴う違約金はMDISが負担するそうです。また、次期システムの導入時期は2013年1月に延ばし、それまでは現行のMDISのシステムを使い続けるが、MDISによる保守は無償で行われることになったそうです。目新し

公開: 2010年10月1日18時25分頃 国勢調査ですが、今年から一部地域 (東京都) のみオンラインで回答できるようになったそうで……「国勢調査オンライン ( トップ画面 ) (e-kokusei.go.jp)」。 私も一部地域に該当しているため、せっかくだからということでオンライン回答を体験してみました。以下、気づいたことや直してほしいと思った点をつれづれにメモ。 国勢調査の封筒にはがきっぽい案内が同封されていて、IDとパスワードのようなものが書かれています。「フィッシングにご注意」などと結構しつこく書いてありますが、そのわりにトップページはHTTPSでない模様。アドレスバーを確認してください、ということでアドレスバーの画像が掲載されているのですが、なぜかこのアドレスバーの画像が間違っています。画像ではURLが http://e-kokusei.go.jp となっていますが、これは正

公開: 2010年8月17日0時55分頃 岡崎市立中央図書館の事件、いわゆるlibrahackの件ですが、岡崎市議の耳にも入ったようで……「librahack事件（岡崎市中央図書館事件） (aiailifeyanase.cocolog-nifty.com)」。 そこで、私も図書館の担当者に聞いてみました。 「中央図書館りぶらに導入した蔵書検索システムは、全国のいくつかの図書館でも使用しているもので、この５年間、特にこのようなトラブルは起こっていない。しかし、コンピュータの技術革新はたいへん早く、今回のようなＷｅｂサイトの利用形態などは５年前には想定できなかった。」 とのことでした。 それはないでしょう。「５年前には想定できなかった」などということは、あり得ないと言って良いと思います。 絨毯爆撃で有名だったdloader(NaverBot)やBaiduspiderは、2003年の時点で稼働し

公開: 2010年6月14日23時40分頃 ソフトバンクのiPhone用アプリ「電波チェッカー (mb.softbank.jp)」に関して、こんなお話が。 iPhoneアプリ「電波チェッカー」がUDIDを送信していることへの問い合わせまとめ (togetter.com)電波チェッカーに関してソフトバンクモバイル宮川CTOに「じゃあ説明するから来社して下さいよ」と誘われた件 (togetter.com)iPhoneアプリ「電波チェッカー」がUDID偽装可能だったことが発覚してからのまとめ (togetter.com)言うまでもありませんが、これは、最近議論されているケータイサイトのセキュリティ問題に関連する話です。実際に多数のサービスに問題が発見されている状況があり、電波チェッカーはそれと同じことをしているように見える……という話の流れがあります。togetterのコメントを見ていると、流れ

公開: 2010年6月11日0時55分頃 「UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかける (slashdot.jp)」というお話が。ネタ元はUNLHA32.DLLの作者であるmiccoさんの日記のようですが……。 「『LZH 書庫なんて知らねぇ～よ』という態度」と解釈したのは， ベンダーについては「説明等を行ったあとは 3 年以上梨の礫で対応も行われていない」， JVN / IPA については「『ZIP， CAB， 7z 書庫など， 脆弱性情報として公開されている同様のケース (対策ソフト等で検疫が行われない不具合：JVNVU#545953。) と何が異なるのか？』といった質問に対して未回答だった」， といった経緯からです。 以上、http://www2.nsknet.or.jp/~micco/incidents/2010/inci1006.htm#i20100

公開: 2010年6月4日12時10分頃 エンジャパンの関連サイトから個人情報が流出したという話が出ているようで。 エン・ジャパン情報流出を謝罪　新卒採用システムが丸見え (www.j-cast.com)個人情報漏洩に関する報道についてのお知らせ (employment.en-japan.com)正確には、提携先の「EmPro-Aid　First」というサービスからの漏洩のようですね。 このたび流出が確認されたのは、弊社がウィルソン・ラーニング ワールドワイド株式会社との業務提携により、販売代理店として取扱っている採用管理システム「EmPro-Aid First」を利用して、新卒採用活動を行っている企業に応募された 9名の方に関する情報です。情報の流出原因は特定できていますので、現在、セキュリティー強化に向けての対策を講じています。 以上、個人情報漏洩に関する報道についてのお知らせ より