高木浩光@自宅の日記 - テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた
■ テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた 先週から、「ドコモ口座不正引き出し事件」の原因として、被害の発生した銀行が4桁数字の暗証番号で認証処理していたことが取りざたされており、リバースブルートフォース攻撃の手口が暗証番号特定の手段として使われた可能性について、テレビのワイドショーでも扱われるなど、世間での認知がかつてなく高まっている。 そこで、この機会に、昔から存在していたテレフォンバンキングの危険性について、銀行側に抗議すれば今ならご理解いただけるのではないかと考えた。この問題は十数年前にも銀行側に伝えているが、サービスを止めるわけにもいかないし、電話経由での自動処理による攻撃は考えにくいと当時は考えられたのか、対処されることはなかった。2020年の今日、電話経由のサイバー攻撃は技術面で十分に容易に可能となっていると考えられ
高木浩光@自宅の日記 - 総務省が不正指令電磁的記録罪の典型的誤解を再生産中、原因を絶たねばならない
■ 総務省が不正指令電磁的記録罪の典型的誤解を再生産中、原因を絶たねばならない 昨日からこれが話題になりつつある。 総務省の資料より。ウイルスがダメなのはわかるけど、どこからがウイルスと捉えられるのかが問題。「ユーザーの意図に反する動作」っていわれても「ユーザー」のリテラシによるから難しいなぁ。 pic.twitter.com/hpGnPmUWlS — はぁこ🌸ビール女子麦子開発中 (@paco_itengineer) June 23, 2019 みんなに役立たないことにプログラミング技術を使った奴はタイーホ了解!!!!!!!!!自分のためにしか役に立たなかったり面白いだけで役に立たないことにプログラミング技術を使っているみなさん!!!!!!! pic.twitter.com/YUjSTzmUkj — sksat@OtakuAssembly (@sksat_tty) June 24, 2
高木浩光@自宅の日記 - 改正NICT法がプチ炎上、工場出荷時共通初期パスワードが識別符号に当たらないことが理解されていない
■ 改正NICT法がプチ炎上、工場出荷時共通初期パスワードが識別符号に当たらないことが理解されていない 先月のこと、NHKニュースが「総務省 IoT機器に無差別侵入」と報じたおかげで、一部のメディアが後追いし、プチ炎上して気の毒なことになっていた。その後もじわじわと延焼し、昨日になって、ひろゆき氏から「総務省のセキュリティ調査に「国が不正ログイン」と騒ぐ頭の悪い人たち」とのトドメ記事が出るに至った。これは最初のNHK報道が素人考えで偏向していたところに原因がある。 総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も, NHKニュース, 2019年1月25日 全国の家庭や企業にあるインターネット家電などいわゆる #Iot機器 に国が無差別に侵入を試みる。そんな世界でも例のない調査が来月から始まります。 #サイバー攻撃 対策の一環だということですが、実質的に不正アクセスと変わらない行
高木浩光@自宅の日記 - 「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか
■ 「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか 残念なニュースが入ってきた。 都税のサイトに不正アクセス 67万件余の個人情報流出か, NHKニュース, 2017年3月10日 このサイトについては、今年の正月早々に以下の件で話題になっていた。 「国税クレジットカードお支払サイト」は誰が運営するサイトなのか, togetterまとめ, 2017年1月5日 このとき、タイトルには「国税……」とあるが、「国税クレジットカードお支払サイト」と「都税クレジットカードお支払サイト」の両方を話題にしていた。 これは、GMOペイメントゲートウェイ株式会社とトヨタファイナンス株式会社が組んで、東京都への都税の納税代行と、国税庁への国税の納税代行をする「クレジットカードお支払いサイト」を運営している*1のだが、サイトの画面構成からして、誰が運営主体なのか不明だということが問題となっていた
高木浩光@自宅の日記 - 名古屋市ではアンケートで「統計的な処理にのみ用いる」は生データ公開の意だそうな
■ 名古屋市ではアンケートで「統計的な処理にのみ用いる」は生データ公開の意だそうな 先月こういう話題があった。 子宮頸がんワクチン調査 名古屋市が結果を事実上撤回 #nhk_news https://t.co/cokWXHnenS — NHKニュース (@nhk_news) 2016年6月26日 子宮頸がん「全国で初めて大規模調査を行った名古屋市が、ワクチンを接種したグループとしなかったグループとの間に症状の差は無かったとする分析結果を事実上撤回し、今後、データの分析はしない方針であることが分かりました」(えっ!) https://t.co/okXV3KF6O8 — Haruhiko Okumura (@h_okumura) 2016年6月26日 正しくは「速報と変わらず因果関係なし」 名古屋市子宮頸がんワクチン副反応疫学調査 https://t.co/O1EMviwMbQ :「撤回」とい
追記(19日)東洋経済オンラインの的外れ記事 / 高木浩光@自宅の日記 - 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ
■ 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ ここ数年、不正送金の被害がインターネットバンキングの法人口座で急増しているという*1。その原因は今更言うまでもなく、Java実行環境(JRE)やAdobe製品の古いバージョンの脆弱性を突いてくるマルウェアである。しかしそれにしても、法人口座を扱うパソコンがなぜ、Java実行環境やAdobe製品をインストールしているのだろうか。インストールしなければ被害も起きないのに……。 その謎を解く鍵が、eLTAX(地方税ポータルシステム)にあるようだ。eLTAXでは、インターネットバンキングの口座を用いた納税ができることから、インターネットバンキング用のパソコンでeLTAXの利用環境も整えるということが普通になっていると思われる。そのeLTAXが、昨日までは、Java実行環境のインストールを強要していた。eL
高木浩光@自宅の日記 - CCCはお気の毒と言わざるをえない
■ CCCはお気の毒と言わざるをえない 驚きのニュースが舞い込んできた。CCCがプライバシーマーク(Pマーク)を返上したというのである。日経コンピュータの取材によれば、CCC社の「管理本部法務部リーダー」と、「経営戦略本部リスク・コンプライアンス統括部情報管理Leader」と、「経営戦略本部法務部会員基盤Leader」の3氏もそろってこれを認めているという。 CCC(ツタヤ)がプライバシーマーク返上で日本中のプライバシーフリークが騒然の事態(山本一郎) - Y!ニュース https://t.co/BKKhMTRyqX — やまもといちろう (@kirik) 2015, 11月 19 書きました。後編は来週掲載です。/ なぜCCCはプライバシーマークを返上し、T会員規約を改訂したのか(前編) https://t.co/mJFLHTEnvK — Naoki Asakawa / 浅川直輝 (@n
高木浩光@自宅の日記 - 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12)
■ 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12) また同じ過ちが繰り返された。いったい何度繰り返せば学習するのか。 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始! http://t.co/JRFplpoiWP #プレスリリース — (株)共同通信社 (@Kyodonews_KK) 2014, 12月 2 このプレスリリースは誰が流したものか。以下の画面のように冒頭に「経済産業省」と記載があり、これを見た人は�経済産業省が流したものだと思うだろう。*1 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始!, 株式会社共同通信社 申込先のリンクが http://kojinjohohogo-guideline.jp と書かれている。 やるのはいいけど、.go .jpじゃないわ、
高木浩光@自宅の日記 - 不正アプリ供用事件の不起訴は何の立証が困難だったか
■ 不正アプリ供用事件の不起訴は何の立証が困難だったか 昨年4月の「○○ the Movie」事件、10月30日に警視庁が関係者を不正指令電磁的記録供用容疑で逮捕したものの、11月に処分保留で釈放となり、12月26日、嫌疑不十分の不起訴処分となった。この展開によって、今、次のような声があちこちで出ている。 情報流出アプリ「〓〓〓〓 the Movie」不正とは言い切れず不起訴!!, NAVER まとめ, 2012年12月29日 東京地検が不起訴処分にしたせいで再び横行? 新たなAndroid不正アプリ, INTERNET Watch, 2013年1月8日 不起訴処分となったアプリの事案はいわゆる「○○ the Movie」系の不正アプリだ。Androidアプリのパーミッション画面を経ていれば、裏で個人情報を収集することにユーザーが同意したとみなされると言えるかどうかは議論の余地が大いにある
高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)対策がいまいち進まなかったのはなぜか
■ クロスサイトリクエストフォージェリ(CSRF)対策がいまいち進まなかったのはなぜか 4月27日の日記「クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法」で、 「クロスサイトリクエストフォージェリ」がにわかに注目を集めている。古くから存在したこの問題がなぜ今まであまり注目されてこなかったかについて考えているところだが、引越しやら転勤やらでいまひとつ日記を書く時間がない。 と書いた。あれから2か月以上が経ってしまったが、今書いておく。 端的に言えば、「CSRF対策は所詮、荒らし対策にすぎない」 と考えられてきたためではないか。 荒らし対策をするしないは運営者の自由 あるサイトに脆弱性を発見した者が、その運営者に対してその脆弱性を直して 欲しいと希望することが、どのくらい妥当かというのは、その脆弱性によって 生じ得る危険性の種類によって異なる。 たとえば、IPA の脆弱性届出状
Winnyサイトブラウザ "Nyzilla" - Download
発行元: Hiromitsu Takagi, Toshima-ku, Tokyo, JP (期限切れ中) 脆弱性対応期限: 2012年12月23日まで 重要なお知らせ 現在、インストーラ(Nyzilla_Setup.exe)のコード署名の証明書の有効期限が切れています。(2011年12月30日) 最新情報 インストーラ(Nyzilla_Setup.exe)のコード署名の証明書の有効期限が切れました。(2011年12月30日) 脆弱性対応期限を延長しました。(2011年12月23日) Nyzillaとは Nyzillaは、Winnyのサイトを閲覧するブラウザです。ファイル共有・交換ソフトではないので、ファイルのアップロード機能はありませんし、ダウンロード機能もありません(※1)。WebブラウザやFTPソフトと同じように、1つのサイトとだけ接続して、そのサイトがどんなファイルを公開しているか(
高木浩光@自宅の日記 - ダウンロード刑罰化で夢の選り取り見取り検挙が可能に
■ ダウンロード刑罰化で夢の選り取り見取り検挙が可能に 罰則ないから*1として2010年1月から施行された「ダウンロード違法化」*2。これに今、「2年以下の懲役又は200万円以下の罰金」の罰則が設けられようとしているようだ。 違法ダウンロードに罰則 著作権法改正案を可決 衆院本会議, 産経新聞, 2012年6月15日 違法ダウンロード:罰則を科す法案 審議なく衆院を通過, 毎日新聞, 2012年6月15日 そこで、Winnyネットワークを対象に、どのくらい簡単に利用者を検挙できるようになるか、以下、考察してみる。 これまで、Winnyネットワークでは違法な公衆送信が数多くなされてきたが、刑事訴追はあまり順調に進んでいるとは言い難い状況であった。その原因は、公衆送信の故意の立証が容易でなかったためであろう。 ここは「一次放流者」と「二次共有者」を分けて考える必要がある。一次放流者(最初にWi
高木浩光@自宅の日記 - 「Tポイントカード3人に1人が持つ」は本当か、街角で聞いてみた
■ 「Tポイントカード3人に1人が持つ」は本当か、街角で聞いてみた 先週、マイナンバー制度(納税番号制度(aka 共通番号制度))のICカード配布の話の流れで、(住基カードが4%しか普及していないのに)TSUTAYAのTポイントカードは「今や国民の3人に1人が持つ」という話*1が話題になっていた。「共通番号を官民で使えばカードを1枚にできる」などといった主張も出ていた。 その一方で、本当にそんなにたくさんの人が持ってるのか疑問だとの声も出ていた。「レジから聞こえてくる声に耳を傾けていると、Tポイントカードを持ってる人なんて存在しないんじゃないかと思えてくる。」という声もあった。(「Togetter - 「「ポイントカードはお持ちですか」への反応」」参照)。
高木浩光@自宅の日記 - テレビ録画機「トルネ」の視聴ジャンルが無断公開されている
■ 何が個人情報なのか履き違えている日本 昨日の日記の件、みなさんからの声により、PlayStation 3をテレビ録画機にする製品「トルネ」についても同じ問題があり、どんなジャンルの番組をよく視聴しているかや、視聴時刻までもが公開状態になっていることが判明した。これについては後述する。 それより先に今言いたいのは、こういうことが起きるのは、何が「個人情報」なのかを、日本の事業者や行政がみんな揃って履き違えているためではないかということだ。 今回の件について、ソニーはこう釈明するかもしれない。「オンラインIDは個人情報に該当しない。オンラインIDに氏名などの個人情報を含めないよう登録画面で注意書きしている*1」と。しかしそういう問題でないのは明らかである。 日本の事業者はどこもかしこも、「個人情報」に該当しなければ何をやってもいいという誤った道に進み始めている。そして、日本の個人情報保護法
高木浩光@自宅の日記 - ローソンと付き合うには友達を捨てる覚悟が必要
■ ローソンと付き合うには友達を捨てる覚悟が必要 当初3月末開始とされていた「LAWSON Wi-Fi」が、なぜか「当初の計画より事前テストに時間を要したため」として、遅れて4月6日から開始されたのだが、早速Twitterでこんな指摘が出ていた。 少なくともこういうのを「ログイン」と呼ぶのはやめて頂きたい。金融機関などでは、暗証番号に電話番号や誕生日を使うのをやめるよう利用者を啓発する活動にコストをかけてきたが、そうした労力を台無しにする。ローソンとしては、無料の無線LANを使わせるくらい、本人確認が甘くても自社の問題だから許されると思っているのだろうが、こういうやり方が社会に悪弊をもたらすことに気付いていないのか。 今回は、前回の日記で取り上げた「PASMOマイページ」の問題とは違って、「ログイン」で電話番号と誕生日を使用している。一般に、不正アクセス禁止法では、このような、IDと電話番
高木浩光@自宅の日記 - やはり欠陥だった武雄市の個人情報保護条例
■ やはり欠陥だった武雄市の個人情報保護条例 5月8日に「「個人情報」定義の弊害、とうとう地方公共団体にまで」で、以下のように書いた。 対して、地方公共団体ではどうかというと、それぞれの独自の個人情報保護条例に従うことになるわけだが、「個人情報」の定義が自治体によって異なり、大別して3種類存在する*1ことが判明している。 照合可能型 「個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。」(千代田区の例) (行政機関個人情報保護法と同等のもの)(多数派) 容易照合型 「生存する個人に関する情報であって、特定の個人が識別され、又は識別され得るもの(他の情報と容易に照合することができ、それにより、特定の個人を識別することができることとなる
高木浩光@自宅の日記 - 要約版:「サニタイズ言うなキャンペーン」とは
■ 「逆」にしたERBが登場 27日の「(略)とかERBとか、逆だったらよかったのに」の件、大岩さんが、逆にしたERB改造版を作ってくれた。 自動quoteつきERBの実験, おおいわのこめんと (2005-12-29) さて、使い勝手はどうだろうか。 ■ 要約版:「サニタイズ言うなキャンペーン」とは 27日の日記「『サニタイズ言うなキャンペーン』とは何か」は、いろいろ盛り込みすぎたせいか思ったよりわかりにくいものになって いるらしいので、結論から順に整理しなおしてみる。 結論: まず「サニタイズ」という言葉を使うのを避けてみてはどうか。正しく説明することの困難から逃げようとしないで。 例外1: 万が一に脆弱性があるかもしれないことを想定しての保険として、CGIの入力段階でパラメタを洗浄することを、サニタイズと言うのはかまわない。 例外2: 既存のシステムに応急手当としてCGIの入力段階で
高木浩光@自宅の日記 - 駄目な技術文書の見分け方 その1
■ 駄目な技術文書の見分け方 その1 はてなブックマークのホッテントリを見ていたところ、300を超えるユーザに登録された以下の記事があった。 今夜分かるSQLインジェクション対策, 上野宣, @IT, 2006年11月2日 また上野宣か。顔見知りなのでズバリいくことにする。 しかし、その対策はまだ本当に理解されていないように思える。 へえ。 終わりの方を見てみると、 Webアプリケーションの対策 入力値のSQLの特殊文字を適切にエスケープ 入力値=プログラム(プロセス)に外部から入ってくるもの シフトJISの場合には1バイト文字を整理 SQLの記述をなくすためにO/R(Object/Relational)マッピングを活用 攻撃者に役立つ情報を与えないために、不要なエラーメッセージ(データベースが出力するエラーなど)の表示を抑止 対策に「準備された文」(prepared statement)
高木浩光@自宅の日記 - 個人情報の地方自治が信用ならないワケ
たしかに私は1年ほど前、三田市役所に電話したことがある。三田市だけでなく他の自治体にも同じ内容で問い合わせをした。それは、以下の報道を受けて、実態がどうなっているのか、自宅研究のため、各自治体に取材を試みたものであった。*1 漏洩元のうち岐阜県飛騨市は、情報が流出した一人一人に事情を説明して謝罪し、記者会見で事実を公表した。 しかし、他の13団体は「不特定多数の目に触れておらず漏洩ではない」(海陽町)、「他自治体からさらに外部へは流出していない」(渋谷区)、「すぐに削除された」(愛知県尾張旭市)などとして具体的な措置はとらなかった。 すべての自治体は独自に個人情報保護条例を持ち、「正当な理由」のない個人情報の提供を禁じる。条例は(略)本人以外から個人情報を得ることを禁じている。総務省は各自治体の判断を尊重するとした上で、「省庁で同じことがあれば漏洩として対処する問題だ」とした。 個人情報の
高木浩光@自宅の日記 - 「個人情報」定義の弊害、とうとう地方公共団体にまで
■ 「個人情報」定義の弊害、とうとう地方公共団体にまで 現行個人情報保護法の「個人情報」の定義に不備があることを、これまでずっと書き続けてきた。「どの個人かが(住所氏名等により)特定されてさえいなければ個人情報ではない」(のだから何をやってもよい)とする考え方がまかり通ってしまいかねないという危機についてだ。 2003年からはRFIDタグ、2008年からはケータイIDによる名寄せの問題を中心に訴えてきたが、当時、新聞記者から説明を求められるたび、最後には「被害は出ているのでしょうか」と、問われたものだった。当時は悪用事例(不適切な事例)が見つかっておらず(表沙汰になるものがなく)、これが問題であるという認識は記者の胸中にまでしか届かなかった。 それが、昨年夏から急展開。スマホアプリの端末IDを用いた不適切事案が続々と出現し、それぞれそれがなぜ一線を越えているか説明に追われる日々になった。ス
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
