証言をまとめました。(2012/11/11) その後発言者より訂正がありましたのでまとめなおしました。 このまとめも誤解を招いたかもしれません。関係者の方にご迷惑をかけたのならお詫びいたします。 ITメディアによると面識がない(マイミクではない)異性に対してのみのようです。 続きを読む
電話番号を検索するためのスマートフォン用のアプリが、利用者が登録していた名前やメールアドレスなどの個人情報を外部に送信していたことが分かりました。 送信された情報は73万件余りに上り、これらは一時、他人が閲覧できる状態になっていました。 問題のアプリは、アンドロイドのスマートフォン用のもので、「全国電話帳」というタイトルが付けられ、公式サイトを通じて無料配布されていました。 このアプリを導入すると、NTTの電話帳に載せられた電話番号を検索できますが、それとは別に、利用者がスマートフォンに登録した名前や住所、メールアドレス、電話番号などを、外部に送信していたことが分かりました。 これまでにインストールした人は、およそ3300人いて、セキュリティ会社によりますと、73万人余りの個人情報がこのアプリのサーバーに送信され、外部から閲覧できる状態になっていたということです。 アプリを開発した神奈川県
petrovich @petro_vich 今期No.1ヒャッハーアニメのアクセル・ワールド面白い。肥大化した自意識と力への信奉と視野狭窄が支配する子供だけの王国というどうしようもない舞台設定がビンビン来てる。主人公は一昔前だと岩投げられて殺されてそうな感じだけど眼鏡してないから大丈夫でしょう。 2012-05-08 01:36:43 petrovich @petro_vich アクセル・ワールドの黒雪姫さん、あなた身バレを恐れてシアンパイルから逃げ続けていたのでは?以前に常用アバターでハルユキの戦い振りをコソーリ観戦してたのも相当マズイけど、病院で常用アバターからの変身シーンを衆目に晒すなんて完全に自殺行為では。IP抜かれるどころの騒ぎじゃないっすよ。 2012-05-09 00:55:21
■ 企業秘密を含み得るメールの件名がNAVERへ送信されている 前回の日記の件、あのようなサービス形態(サービス内容の説明の構造を含む)が偶然に誕生したとは考えにくい*1ことから、現場で早まって安易な(b)の選択をする*2のでなく、元々本来の設計は「モニタ登録」した場合だけ送信するはずのものでなかったのか*3、今一度ちゃんと経営の判断も含めて検討されるよう促せないかと思い、(サポートデスクへの伝言では心許ないので)前回の日記を書いたのであった。 しかし、結局、翌日のサポートデスクからの電話回答は、利用規約の文言を変更するというもの、つまり(b)が選択されたものであった。以下のように、28日の午後*4に「必ずご確認ください」という注意書きが加えられていた。 この対応について、Twitterでは、当該事業者(NHN Japan)の本件当事者と、永久不滅プラス利用者の反応が、それぞれ以下のように
技術者としての良心に従ってこの記事を書きます。俺はセキュリティとプライバシーの人ではなく、JavaScriptとUIの人である。法律の勉強だって自分の生活と業務に関わりのある範囲でしかしないだろう。しかし少なくともJavaScriptやブラウザが絡むような部分については、確実に自分のほうが理解していると思っている。高木浩光さんが、あからさまに間違ったことを書いたり、おかしなことを書いていたりしても、徐々に誰も指摘しなくなってきたと思う。おかしなこと書いていたとしても、非技術者から見たときに「多少過激な物言いだけど、あの人は専門家だから言っていることは正論なのだろう」とか、あるいは技術者から見た時でも、専門分野が違えば間違ったことが書かれていても気付けないということもあるだろう。 もう自分には分からなくなっている。誰にでも検証できるような事実関係の間違い、あるいは、技術的な間違いが含まれてい
■ クレディセゾンへの信頼、明日、正念場 クレディセゾンといえば、信頼のおけるクレジットカード会社という印象があり、「永久不滅.com」のサービスが現れたとき(2006年)も、きわどいなあと思いつつも、そういうサービスとわかってて使う人向けの構成になっていたので、まあいいかと思った記憶がある。 しかし、昨年8月の「永久不滅プラス」なるツールバーの出現には気付かなかった。「永久不滅プラス」については、先日、8月18日の日記の中で書いたように、Tポイントツールバーと同様に、閲覧する全てのWebサイトのURLを全部送信するというきわどいもの*1ではあるものの、Tポイントツールバーとは違って、「モニター登録」という追加サービス(毎月100ポイント貰える)の導入を受け入れた人だけに対する機能として説明されているので、欺瞞的要素は見られず、きわどいサービスだけに誠意を尽くしているのだなと思った。 とこ
ユーザーのWeb閲覧履歴を平文で収集する問題が指摘されていた「Tポイントツールバー」の提供が中止。8月下旬に再開するという。 オプトとカルチュア・コンビニエンス・クラブ(CCC)は、Internet Explorer用ツールバー「Tポイントツールバー」のダウンロード提供をこのほど中止した。「皆様によりよいサービスをご提供するため」としている。同ツールバーは、ユーザーのWeb閲覧履歴を平文で収集していると指摘され、批判が相次いでいた。 Tポイントツールバーは、Internet Explorer 7/8/9向けのツールバー。検索窓から検索すると「検索スタンプ」を1日1個取得でき、検索スタンプ2個で「Tポイント」を1ポイント付与する仕組みだ。 同ツールバーをめぐっては、SSL通信を含むユーザーのWeb閲覧履歴を平文で取得していることなどがセキュリティ専門家に指摘されていた。 両社は8月15日、ツ
■ Tポイント曰く「あらかじめご了承ください」 「Tポイントツールバー」なるものが登場し、8月8日ごろからぽつぽつと話題となり、13日には以下のように評されるに至った。 Tポイントツールバー(by CCCとオプト)が悪質すぎてむしろ爽快, やまもといちろうBLOG, 2012年8月13日 その13日の午後、一旦メンテナンス中の画面となり、夕方には新バージョン(1.0.1.0)がリリースされたのだが、15日には、「Tポイントツールバーに関する重要なお知らせ」が発表されて、「8月下旬」まで中止となった。非難の嵐が吹き荒れる中で堂々と新バージョンを出してきたにもかかわらず、なぜすぐに中止することになったのかは不明である。 この「Tポイントツールバー」とはいかなるものか。以下の通り検討する。 騙す気満々の誘導 刑法の不正指令電磁的記録供用罪(第168条の2第2項)は、「人が電子計算機を使用するに際
http://d.hatena.ne.jp/mala/20120220/1329751480 の続き。書くべきことは大体既に書いてあったので、補足だけ書く。 Googleは制裁金2250万ドルを支払うことでFTCと和解した http://jp.techcrunch.com/archives/20120809google-settles-with-ftc-agrees-to-pay-22-5m-penalty-for-bypassing-safari-privacy-settings/ まさか(まともに調査されれば)こんなことになるとは思わなかったので驚いた。異常な事態である。そしてGoogle側の主張を掲載しているメディアが殆ど無いのも異常な事態である。 2250万ドルもの制裁金(和解金)が課せられるのは、2009年に書かれたヘルプの記述が原因だという。 問題の記述 http://obam
twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。結論として、当該ツールバーを導入すると、利用者のアクセス履歴(SSL含む)が平文で送信され、盗聴可能な状態になります。 追記(2012/08/10 20:10) たくさんの方に読んでいただき、ありがとうございます。一部に誤解があるようですが、ツールバーが送信している内容はURLだけで、Cookieやレスポンスまでも送信しているわけではありません。URLを送信するだけでも、以下に示す危険性があるということです。 追記終わり 追記(2012/08/13 23:50) ポイントツールバーにバージョンアップがあり、WEB閲覧履歴の送信がSSL通信に変更されました。従って、WEB閲覧履歴が盗聴可能な状況は回避されました。本日22:50頃確認しました。
Surprisingly Good Evidence That Real Name Policies Fail To Improve Comments | TechCrunch YouTubeが悪質なコメントを防ぐために実名を強く推奨しだしたそうだが、実名を強制したところで、悪質なコメントや犯罪の防止には全く役に立たない。これはすでに現実に行われた例がある。 韓国では国民全員にユニークなIDを振り、PV数が10万を超えるサイトには、必ずそのIDを使わせる、すなわち実名にすることを義務付けた。 しかし、この法律が行われた韓国で、悪質なコメントは減ったかというと、実は増えたのだ。 Empirical Analysis of Online Anonymity and User Behaviors: The Impact of Real Name Policy 実名を強制したことで、わざわざIDの
たしかに私は1年ほど前、三田市役所に電話したことがある。三田市だけでなく他の自治体にも同じ内容で問い合わせをした。それは、以下の報道を受けて、実態がどうなっているのか、自宅研究のため、各自治体に取材を試みたものであった。*1 漏洩元のうち岐阜県飛騨市は、情報が流出した一人一人に事情を説明して謝罪し、記者会見で事実を公表した。 しかし、他の13団体は「不特定多数の目に触れておらず漏洩ではない」(海陽町)、「他自治体からさらに外部へは流出していない」(渋谷区)、「すぐに削除された」(愛知県尾張旭市)などとして具体的な措置はとらなかった。 すべての自治体は独自に個人情報保護条例を持ち、「正当な理由」のない個人情報の提供を禁じる。条例は(略)本人以外から個人情報を得ることを禁じている。総務省は各自治体の判断を尊重するとした上で、「省庁で同じことがあれば漏洩として対処する問題だ」とした。 個人情報の
■ 追跡されない自由を奪う技術を肯定的に捉えた珍しい学術論文の例 行動ターゲティング広告がオプトアウト方式で概ね許容されてきたのにはいくつかの理由がある*1が、その一つは、cookieはいつでも消去することができ、閲覧者側で追跡から逃れることができるからというものであった。実際、行動ターゲティング広告を展開している事業者は、そのようなエクスキューズ*2をしていることが多い。 しかし、cookieを消しても、ブラウザの特徴的な挙動、たとえば、User-Agentが特殊なものであったり、利用しているプラグインのリストなどから、ある程度の確率で閲覧者を追跡できてしまうことが、研究成果として発表された例がある。 Peter Eckersley (Electronic Frontier Foundation), How Unique Is Your Web Browser?, Proceedings
2012年5月末、Twitterなどで「Facebookで新しい広告がスタートするので、自分のプライバシー情報を守りなさい」といった趣旨の情報が出まわりました。次の文面が最もRTされたようです。 【重要】金曜日から、facebookがユーザーの名前や写真を外部サイトへの広告などに使うことができるようになるそうです。初期設定では使用許可になっているので要注意! Home→アカウント設定→Facebook広告→第三者が表示する広告→「非公開」に変更すればOK また、これと似ていますが、違う情報がブログなどにも掲載されました。おそらく最も読まれたのは次の記事でしょう Facebookによると、Facebookを使っているユーザーの名前・顔写真を使って、第三者が広告を出せるようになる可能性があるようです。(ry) そこで、自分の情報を広告に利用できないようにする方法を紹介します。 Facebook
かつて私も炎上型の指摘者だったことがある。高木氏とは比べ物にならないくらい小さなものだったが,それには理由があった。 当時,私のような存在,つまりはウェブサイトの問題点を指摘するような人は多くはなく,またIPAの取り組みも始まっていない時期だったため個人で通知せざるを得ず,決して好意的には受け入れられるとはいえない状況下にあって,なんとか問題点を理解させるためには,またリスクが顕在化しないうちに対応を迫るには,ある程度の「現実的な指摘」が必要だったのだ。 やさしい指摘者ではいられなかったのである。 叱らねばならなかったのだ。分別のつかない子供を叱るように。そして私は疲れてしまった。だから指摘者であることをやめたのだ。問題があるとわかったらそのサービスは使わない。指摘して修正を待つこともしない。私は疲れているのだ。 だが,高木氏は違った。彼は問題が小さなうちに見つけ出し,それがリスクとして大
前: http://d.hatena.ne.jp/mala/20120308/1331193381 はてなのその後の話 http://hatena.g.hatena.ne.jp/hatenabookmark/20120313/1331629463 話題になってからの対応が遅い、という人がチラホラいたけれど、別に対応はそれほど遅いというわけでもないと思う。 これは近藤さんがSXSWというイベントに行っていて日本にいなかったためで、収益にも影響する話なので即断できなかったのだろう。 こういう時にあとさき考えないで不良社員が勝手に広報したり、勝手に修正しても良いと思う(個人の感想です) 公平のため記しておくとHUG Tokyoというイベントで大西さんにおごってもらった(はてなの脆弱性をちょくちょく報告しています) Twitterの話 先日、Twitterが外部サイト上でのボタン、ウィジェットでト
こんにちは。今回はmalaさんのインタビューをお届けします。 malaさんはNHN Japanのエンジニアとして多くのウェブサービスの設計に関わるだけでなく、セキュリティやプライバシの観点から見たアーキテクチャについて、ブログでさまざまな情報や問題提起を発信されています。 特に昨年末に公開されたブログ記事「はてな使ったら負けかなと思っている2011」は、インターネットはどこへ行くかという私のもやっとした問題意識にピッタリとハマる素晴らしい文章でした。あの記事を読んで、これはぜひ一度お会いして、インターネットの現状やエンジニアの役割について、お話を聞いてみたい、と思ったのが今回の企画の発端です。未読の方は、まずそちらからどうぞ。 なお、インタビューは三月末に行われました。無職期間中に公開する予定で、ずいぶん時間がかかってしまいました。文中、私の所属する企業の話も出てきますが、例によってここは
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く