高木浩光@自宅の日記 - 緊急速報:マイナンバー法の「裏番号」禁止規定、内閣法制局でまたもや大どんでん返しか
■ 緊急速報:マイナンバー法の「裏番号」禁止規定、内閣法制局でまたもや大どんでん返しか まえがき 個人番号(マイナンバー)を、法定された目的(税とか社会保障とか)以外で他人に対して提供を求めることが禁止されていることは、わりと広く知られており、みんな遵守してきたところだろう。だが、今、どう見ても目的外で提供を求めている(自社サービスの利用者登録の目的とされている)スマホアプリがあるということで、個人情報保護委員会の出方が問われているところ、宇賀説(宇賀克也『番号法の逐条解説』有斐閣)によれば合法ということになるのではないか?(おそらく弁護士らもそれを参考にしていたのでは?)という話が出ているのだが、これについて、番号法(行政手続における特定の個人を識別するための番号の利用等に関する法律、平成25年法律第27号)の立案過程で、内閣法制局で二転三転していたことが判明したので、至急、速報的に、こ
高木浩光@自宅の日記 - テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた
■ テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた 先週から、「ドコモ口座不正引き出し事件」の原因として、被害の発生した銀行が4桁数字の暗証番号で認証処理していたことが取りざたされており、リバースブルートフォース攻撃の手口が暗証番号特定の手段として使われた可能性について、テレビのワイドショーでも扱われるなど、世間での認知がかつてなく高まっている。 そこで、この機会に、昔から存在していたテレフォンバンキングの危険性について、銀行側に抗議すれば今ならご理解いただけるのではないかと考えた。この問題は十数年前にも銀行側に伝えているが、サービスを止めるわけにもいかないし、電話経由での自動処理による攻撃は考えにくいと当時は考えられたのか、対処されることはなかった。2020年の今日、電話経由のサイバー攻撃は技術面で十分に容易に可能となっていると考えられ
高木浩光@自宅の日記 - 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む
■ 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む IPAの「安全なウェブサイトの作り方」(改定第7版2015年、初版2006年)のHTML版が出ている。項目別にページが作られている。 1.1 SQLインジェクション 1.2 OSコマンド・インジェクション 1.3 パス名パラメータの未チェック/ディレクトリ・トラバーサル 1.4 セッション管理の不備 1.5 クロスサイト・スクリプティング 1.6 CSRF(クロスサイト・リクエスト・フォージェリ) 1.7 HTTPヘッダ・インジェクション 1.8 メールヘッダ・インジェクション 1.9 クリックジャッキング 1.10 バッファオーバーフロー 1.11 アクセス制御や認可制御の欠落 というのも、4年前にWELQ問題が火を噴いたのと同様に、キーワードWeb検索からの流入を当て込む「いかがでしたか系」の乱造記事のSEO汚染の
高木浩光@自宅の日記 - あのSuica事案が国立大入試問題になっていた
■ あのSuica事案が国立大入試問題になっていた 6月のこと、日本著作権教育研究会から連絡があり、私の著作物が今年の東京学芸大学の入試問題に使用されたとのことで、転載の許諾を求めるものであった。一昨日それが以下で公開された。 東京学芸大学過去問題2019年, サイバーカレッジ, 日本著作権教育研究会 出題されたのは、A類社会選修、A類環境教育選修、B類社会専攻の「現代社会」の問題において。5年前の朝日新聞に掲載されたコラムが以下のように使用されている。 コラムの途中までしか使用されず、肝心の主張部分は掲載されなかったが、Suica事案の何が問題なのかを説明した部分がバッチリ使われている。他にもあの「赤本」(教学社)にも収録されるようなので、これからの受験生にも読まれることになるであろうか。 このコラムの全文は既に2015年3月8日の日記の図1に転載していた*1。カットされた残りの文章は
高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)
■ 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章) 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンスを示しておいた*1が、すでにわかりかけている人達にしか刺さらなそうだ。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。) — Hiromitsu Takagi (@HiromitsuTakagi) July 8, 2019 同様のことは4年前にNISCのコラムに書いたが、消えてしまっているので、ひとまず、その原稿を以下に再掲しておく。 スマホ時代の「パスワード」のあり方を再考しよう 高木浩光 2015年2
高木浩光@自宅の日記 - 総務省が不正指令電磁的記録罪の典型的誤解を再生産中、原因を絶たねばならない
■ 総務省が不正指令電磁的記録罪の典型的誤解を再生産中、原因を絶たねばならない 昨日からこれが話題になりつつある。 総務省の資料より。ウイルスがダメなのはわかるけど、どこからがウイルスと捉えられるのかが問題。「ユーザーの意図に反する動作」っていわれても「ユーザー」のリテラシによるから難しいなぁ。 pic.twitter.com/hpGnPmUWlS — はぁこ🌸ビール女子麦子開発中 (@paco_itengineer) June 23, 2019 みんなに役立たないことにプログラミング技術を使った奴はタイーホ了解!!!!!!!!!自分のためにしか役に立たなかったり面白いだけで役に立たないことにプログラミング技術を使っているみなさん!!!!!!! pic.twitter.com/YUjSTzmUkj — sksat@OtakuAssembly (@sksat_tty) June 24, 2
高木浩光@自宅の日記 - しそうけいさつ化する田舎サイバー警察の驕りを誰が諌めるのか
■ しそうけいさつ化する田舎サイバー警察の驕りを誰が諌めるのか 兵庫県警が単なる「無限アラート」を「不正プログラム」と称して不正指令電磁的記録の罪を適用した捜査(家宅捜索)を行ったことが明らかになり、法解釈・適用の誤りである上に法制定時の参議院法務委員会附帯決議の要請をも無視しているとして批判の声が渦巻いているところだが、ここに来て、「すみだセキュリティ勉強会」が活動を休止するとして抗議行動に出たようだ。 「IT業界の萎縮を招きかねない」 “ブラクラURL書き込みで中学生補導”、弁護士に問題点を聞いた, ねとらぼ, 2019年3月5日 Japanese police charge 13-year-old for sharing 'unclosable popup' prank online, ZDNet, 2019年3月5日 「いたずらURL貼って補導」がIT業界の萎縮をまねく理由, IT
高木浩光@自宅の日記 - リーチサイト規制の条文にも欠陥 ダウンロード違法化等著作権法改正法案原案
■ リーチサイト規制の条文にも欠陥 ダウンロード違法化等著作権法改正法案原案 ダウンロード違法化対象範囲拡大の論点 著作権法の改正案が国会に提出されようとしているが、そのうち「ダウンロード違法化の対象範囲の拡大」の部分を巡って混乱が続いている。 画像や文書も…ダウンロード違法化、対象拡大?, 読売新聞, 2019年1月23日 静止画ダウンロード違法化案「目的を見失っている」──情報法制研究所、懸念と改善案を提言, ITmedia NEWS, 2019年2月8日 「意味のない法改正」「イラスト界が壊滅する」 違法ダウンロード対象拡大で漫画家らが“反対集会”, ITmedia NEWS, 2019年2月8日 法学者ら84人「ダウンロード違法化」に緊急声明 「海賊版対策に必要な範囲に限定せよ」, ITmedia NEWS, 2019年2月19日 DL違法化「必要な議論尽くされた」「バランスの取れ
高木浩光@自宅の日記 - Coinhive事件、なぜ不正指令電磁的記録に該当しないのか その2
■ Coinhive事件、なぜ不正指令電磁的記録に該当しないのか その2 昨年6月10日の日記「懸念されていた濫用がついに始まった刑法19章の2『不正指令電磁的記録に関する罪』」の「なぜ不正指令電磁的記録に該当しないのか」の節は、続きを書くつもりだったが、それからだいぶ経ってしまった。今改めてそれを書いておく。 当時、私が「Coinhiveの使用が不正指令電磁的記録の供用でない」と主張したことに対して、「それではあれが処罰できなくなる」だとか、「俺のPCのリソースが無断で消費されるのは許せない」とか「電気窃盗だろ」といった反応がチラホラ見られた。これらについて整理しておく。 刑法は「利益窃盗」を不可罰とする 刑法の講学上の概念として「利益窃盗」なる言葉がある。これは、刑法に規定された財産犯が二つのタイプに分けられることから来ている。すなわち、強盗、詐欺、恐喝には1項と2項が規定されていて、
高木浩光@自宅の日記 - 魔女狩り商法に翻弄された田舎警察 Coinhive事件 大本営報道はまさに現代の魔女狩りだ
■ 魔女狩り商法に翻弄された田舎警察 Coinhive事件 大本営報道はまさに現代の魔女狩りだ 前回の日記(6月11日23時46分公開)の件はその後、以下のように展開した。 6月12日 他人PCで仮想通貨獲得 了解得ず「採掘」初立件 神奈川県警など,*1 毎日新聞, 6月12日朝刊 仮想通貨マイニング(Coinhive)で家宅捜索を受けた話, モロ@ドークツ, 6月12日9時43分 Coinhive設置で家宅捜索受けたデザイナー、経緯をブログ公開 「他の人に同じ経験して欲しくない」, ITmedia, 6月12日12時17分 仮想通貨「無断採掘」疑い サイト運営者を書類送検,*2 共同通信, 6月12日20時45分 Police to press charges over cryptocurrency 'mining' of computers without consent, The M
高木浩光@自宅の日記 - 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」
■ 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」 序章 昨日の読売新聞朝刊解説面に以下の記事が出た。 [解説スペシャル]ウイルスか合法技術か 他人のPC「借用」 仮想通貨計算 サイトに設置 摘発相次ぐ, 読売新聞2018年6月9日朝刊 「まさか違法とは……」。こううなだれる首都圏のウェブデザイナー(30)は今年3月、横浜地検にウイルス保管罪で略式起訴され、罰金10万円の略式命令を受けた。自分の運営する音楽サイトに昨秋、「コインハイブ」と呼ばれるコインマイナー用のプログラムを設置したところ、これがウイルスと判断されたのだ。 (略)昨年末から神奈川や宮城、栃木、茨城県警など全国の警察が捜査を開始。これまでに確認できただけで5人のサイト運営者がウイルスの供用や保管などの容疑で捜索を受け、既に略式命令を受けたケースもある。(略) 略式命令を受けたウェブデザイナー
追記(19日)東洋経済オンラインの的外れ記事 / 高木浩光@自宅の日記 - 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ
■ 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ ここ数年、不正送金の被害がインターネットバンキングの法人口座で急増しているという*1。その原因は今更言うまでもなく、Java実行環境(JRE)やAdobe製品の古いバージョンの脆弱性を突いてくるマルウェアである。しかしそれにしても、法人口座を扱うパソコンがなぜ、Java実行環境やAdobe製品をインストールしているのだろうか。インストールしなければ被害も起きないのに……。 その謎を解く鍵が、eLTAX(地方税ポータルシステム)にあるようだ。eLTAXでは、インターネットバンキングの口座を用いた納税ができることから、インターネットバンキング用のパソコンでeLTAXの利用環境も整えるということが普通になっていると思われる。そのeLTAXが、昨日までは、Java実行環境のインストールを強要していた。eL
高木浩光@自宅の日記 - 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12)
■ 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12) また同じ過ちが繰り返された。いったい何度繰り返せば学習するのか。 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始! http://t.co/JRFplpoiWP #プレスリリース — (株)共同通信社 (@Kyodonews_KK) 2014, 12月 2 このプレスリリースは誰が流したものか。以下の画面のように冒頭に「経済産業省」と記載があり、これを見た人は�経済産業省が流したものだと思うだろう。*1 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始!, 株式会社共同通信社 申込先のリンクが http://kojinjohohogo-guideline.jp と書かれている。 やるのはいいけど、.go .jpじゃないわ、
高木浩光@自宅の日記 - LINEがこの先生きのこるには
■ LINEがこの先生きのこるには 先々週、テレビ東京のワールドビジネスサテライトで、最近流行の「LINE」が特集されていたのだが、経済系の番組であるにも関わらず、「元カレが出て嫌」、「知らない人が出て怖い」という街の声をとって伝え、電話帳アップロードの件にも触れるなど、負の面も扱っていて、とてもよい番組であった。 人気急拡大「LINE」の実力は, ワールドビジネスサテライト, 2012年6月22日 番組を見た後、久しぶりにTwitterを「LINE 知らない人」で検索してみたところ、以前にも増して大量のツイートが出てきたのだが、そのほとんどが、「芸能人のマネージャですが」という詐欺spamが来たという報告であった。ちょうどこのころ、LINEに対して大量のspamが発生していたようだった。そして、LINEの運営元はspam防止に動いたようだった。 @magic_kanata ご報告ありがと
高木浩光@自宅の日記 - かんたんログイン方式で漏洩事故が発生
■ かんたんログイン方式で漏洩事故が発生 ガラケーからiPhoneに乗り換えた人々が「ガラケーサイトが見れない!!」とご不満らしいという話は、聞いたことがあったし、そういう方々向けに「ガラケーサイトを閲覧できる」と謳うスマホ用の専用ソフトが提供されたというのも、どこかで見た記憶があった。 そんな10月9日の夜遅く、ある方から、「iPhone用のSBrowserというアプリで、クロネコヤマトのサイトを使ったら、知らない人の個人情報が出てきてびっくりした。どうしたらいいか」という相談が舞い込んできた。 早速、iTunes Appストアで「SBrowser」の商品説明ページを見に行ったところ、数々の雑言レビューが付いており(図1)、この種のアプリの需要とユーザ層が見えた。
高木浩光@自宅の日記 - Macでは「何回も何回も観てニヤニヤ」がバレる
■ Macでは「何回も何回も観てニヤニヤ」がバレる 前回の日記で「「何回もクリックされてる」というのは、いったいどうやって調べるというのだろう? 」と書いたが、Mac OS Xでは開いた日が記録されていると、はてなブックマークのコメントで教えて頂いた。 それは「Spotlight」の検索用インデックス内に記録されている。「最後に開いた日」の条件で検索できることは知っていたが、その他に、デフォルト設定ではメニューにない「使用日」という隠れた検索属性が用意されていることを知った。検索属性の指定で「その他」を選ぶと、たくさんの属性が用意されていて、その中に「使用日」という属性がある(図1)。 この「使用日」のチェックボックスをオンにすると、「使用日」で検索できるようになる。「使用日」とは、ファイルを開いたことのある日が記録されたもので、「最後に開いた日」より過去の開いた日も記録されている。 たと
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
高木浩光@自宅の日記 - Macっ娘ならオートメータ君つかいたおすわよね
高木浩光@自宅の日記 - Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6)