コンテンツ事業者がプロ責法の見直し訴え、検証WGヒアリングより - ニュース解説:ITpro
総務省「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」の「プロバイダ責任制限法検証WG」は2010年11月30日、第2回の会合を開催した。会合では関係者ヒアリングが行われ、日本音楽著作権協会(JASRAC)、日本レコード協会、コンピュータソフトウェア著作権協会、ユニオン・デ・ファブリカンの4団体が意見を述べた。 発信者情報開示手続きの簡素化を要望 JASRACでは、Webサイトに違法に掲載された歌詞と楽曲ファイルの検出のために終日クローリングし、データベースと照合して楽曲判定まで自動で行うシステムを使っているという。2002年10月から2010年10月末までにJASRACが実施した「侵害情報の送信防止措置」では、約49万件のファイルの削除を通知し、このうち約46万件が削除された。この間に通知したプロバイダーの数は453、侵害停止サイト数は約6982サイトに上る。削除を求めた
楽天では脆弱性が見つかるたびに工程全体を見直す
多様な脅威が存在するインターネット環境でビジネスをしている企業にとって、システム面のセキュリティ対策は非常に重要である。当社でも、楽天グループのWebシステムを脅威から守るため、さまざまな対策を積み重ねてきた。中でも重視しているのが、システム開発工程全体で脆弱性を作り込まない体制を築くことである。 現行システムに既知の脆弱性が見つかった場合、開発工程のどこかで対策漏れが生じた、あるいは対策そのものに不備があったことになる。脆弱性を発見したら、それをつぶすだけでなく、開発工程全体の見直しを図る。新たな脆弱性が明らかになった場合も、開発工程全体にフィードバックする。これが当社の目指すセキュリティ開発体制であり、実際にそうしたPDCAサイクルが日々回っている(図10)。
Microsoft、次期ブラウザー「IE9」に行動ターゲティング拒否機能を搭載
米Microsoftは現地時間2010年12月7日、次期ブラウザー「Internet Explorer(IE)9」に新たなプライバシー保護機能「Tracking Protection」を搭載すると発表した。Webサイト間で共有される個人情報に制限をかけ、オンライン行動を追跡されないようにできる。 この機能は、Webサイト閲覧中に外部サイトへ送られるデータの種類や、送信を禁止する外部サイトを指定し、個人情報が複数のWebサイトに共有されることを防ぐ。Webサイト閲覧履歴などユーザーのオンライン行動を非公開にし、行動ターゲティング広告の配信を拒否するといった対応が可能になる。 データ送信を禁止するWebサイトは「Tracking Protection List」と呼ぶリストに記載し、IE9へ登録する。このリストは、ユーザー自身で作ったり、公開されているリストをそのまま利用したりできる。Micr
FTC、行動ターゲティングの拒否手段「Do Not Track」を提案
米連邦取引委員会(FTC)は米国時間2010年12月2日、プライバシー保護対策の新たな提案に盛り込んだ個人情報管理手段「Do Not Track」について説明した。これはオンライン行動の追跡を消費者が拒否できるようにする手段で、複数のWebブラウザに通用する仕組みになるという。 FTCは、ユーザーに適したコンテンツやサービスを効率的に提供するという点で行動ターゲティング広告の価値を認めているが、その手法は透明性が不十分で、プライバシー侵害の懸念があると指摘する。そのため、消費者が行動ターゲティング広告の配信を拒否したり、特定データのみの収集を許可したりできるシンプルかつ使いやすい手段が必要だと、米国議会に対して説明した。 Do Not Trackは、FTCが12月1日に発表したプライバシー保護に関する枠組みの提案に盛り込まれている。この枠組みは、消費者のプライバシー保護と、消費者情報を利用
顧客情報流出による損失70億円超と試算、三菱UFJ証券
三菱UFJ証券の顧客情報約148万人分を不正に取得したなどとして、不正アクセス禁止法違反と窃盗の罪に問われた同社システム部の部長代理だった元社員(4月8日付で懲戒解雇処分)に対する初公判が、2009年9月9日に東京地裁で開かれた(関連記事1、関連記事2、関連記事3、関連記事4、関連記事5、関連記事6)。被告の元社員は起訴内容を認めた。今回の公判では、情報漏洩による三菱UFJ証券の損失額が、70億円以上になることも明らかになった。 検察側は証拠の一つとして、事件の影響によるとみられる損失額の試算を提出した。三菱UFJ証券は、148万人のうち情報が流出した約5万人に対して、「お詫びのしるし」として1万円相当のギフト券を6月下旬から発送。この費用が約5億円と述べた。このほか、事件調査や顧客からの問い合わせ対応、顧客情報の売却先となった業者と交渉するための弁護士費用、機関投資家からの発注減少による
スマートフォンによるボットネットの仕組み
世界のセキュリティ関連ブログで最近公開された記事のうち、ちょっと気になる話題を取り上げる。 まずは、スマートフォン関連の話題だ。米マカフィーによると、携帯電話機やスマートフォンなどのモバイル機器でボットネット的な分散型コンピュータネットワークを作る場合、通信手段としてSMSやHTTP、PtoPといった方法が考えられる(iBots? Mobile phone network 0wnage)。こうしたボットネットが動く環境は、プロセッサおよびメモリーの制約が大きいためパソコンベースのボットネットと違って処理能力が低く、ネットワーク接続の安定性が低い。 モバイル機器向けスパイウエアやボットネットがマルウエア制御コマンドをやり取りする際に使う通信手段は、テキストメッセージを送るSMSが多いという。特に、高度なマルウエアはコマンドSMSメッセージを途中で奪い取ってしまうので、ユーザーは感染したことに
ベルシステム24の派遣社員が逮捕、カード不正監視業務中にカード情報を盗んだ疑い
コールセンター大手 ベルシステム24の派遣社員が2010年7月8日、警視庁捜査2課に窃盗容疑で逮捕された。10人以上のクレジットカード情報を不正に入手し、商品約100点、約860万円相当を入手した疑いが持たれている。日本経済新聞の報道によれば、三浦賢一容疑者(27)は容疑を認めているという。商品の一部を質屋などに転売し、遊興費に充てていた。 三浦容疑者はベルシステム24に2007年5月ごろに入社。2008年1月からベルシステム24が業務委託を受けた三菱UFJニコスのセキュリティセンターで夜間(夜9時~朝9時)、クレジットカードの不正利用の監視業務に従事していたという。 セキュリティセンターでは不正検知システムが24時間365日稼働している。これはクレジットカードのすべての取引を監視して、過去にクレジットカードが不正利用されたいくつかのパターンに近い動きがあったときにアラームを出すシステムで
P2P環境に新たなリスクの予感
今回のお題として取り上げるのは、Winny/Shareによる情報流出事件である。新聞紙面で取り上げられることはだいぶ少なくなったが、4月に日大職員による学内情報や個人情報の流出事件が、5月に入って松山市内の小学生の成績や写真などの個人情報がWinnyネットワークへ流出するなど、数は少なくなっても流出事件が定期的に発生している。 Winny/Shareのユーザー数自体は減少している そもそもWinny/Shareの利用数は減っているのだろうか、増えているのだろうか。ネットワークフォレンジック機器の「パケットブラックホール」や、WinnyやShareの通信を止めるアプリケーションファイアウォールの「OnePointWall」を開発・販売しているネットエージェント社が、ユーザー数の推移の統計データを公開している(表)。
非偏在性を悪用
今回のテーマは、クラウドの非偏在性、すなわち「雲のようにつかみどころがない」という特性を悪用するとどうなるのかである。具体的には、ボットネットの基盤にクラウドが悪用される可能性である。 ボットネットとは、ボットと呼ばれる遠隔操作用プログラムが埋め込まれた複数のPCで構成されるネットワークのこと。攻撃者がボットネットに指令を出すことで、スパムメールなどを大量送信したり、フィッシング詐欺などに悪用したりする。ウイルスなどを通じてPCがボットに感染すると、ボットネットに強制参加させられ、知らないうちに自分のPCが迷惑メールの送信元になったり、さらなる感染拡大活動の片棒を担がされたりすることになるのだ(関連記事)。 これに対処するために、日本では総務省と経済産業省の共同プロジェクトである「サイバークリーンセンター」が設立されている。同センターとインターネット・サービス・プロバイダ(ISP)が連携し
[Web]Webビジネスを加速するには「フェアユース規定」が必須
2010年1月,「改正著作権法」が施行された。ブログやTwitterなどに書かれた情報を基にして個人や社会の動きを解析することや,検索エンジンが行うコンテンツの複製やストリーミング配信におけるキャッシュについて,必要と認められる限度においては権利者の許諾を必要としないことが明文化された。これにより,国内でも米グーグルのような検索サービスが可能になったほか,Webに公開されるライフログを解析する道が開けた。しかし,改正著作権法のガイドライン策定を担当した壇俊光弁護士は,今回の法改正では国内のWebビジネスを加速させるに至らないと考える。 著作権法をテコにして,人,企業が簡単に検挙できてしまうことだ。実際に,ビジネスの現場で著作権法の刑事事件は多い。例えば,2009年1月に発生した日本IBMの情報漏えい事件は,個人情報などが流出したことが問題だったにもかかわらず,罪状は著作権法違反だった。漏え
シャープがAndroid端末「IS01」の開発キット提供へ、開発者サイトも開設しSDKを公開
シャープは2010年3月30日、同社がKDDIに提供するAndroid携帯電話「IS01」の開発者向け専用モデル(開発キット)「JN-DK01」を2010年5月以降に発売すると発表した。また同日、Androidアプリケーション開発者向けサイト「SH Developers Square」を開設。ソフトウエア開発環境「SDK AddOn」のベータ版や技術情報を公開した。 JN-DK01のハードウエアはIS01と同等仕様で、OSの書き換えができる点が異なる。開発したアプリケーションを詳細に評価、分析することも可能という。携帯電話網への接続機能は搭載しておらず、無線LANで接続する。本体カラーは「IS01」がブラックとライトブルーなのに対し、JN-DK01はブラウン。販売方法はSH Developers Squareに今後掲載する予定で、価格は未定。 SDK AddOnは、Google Andro
ソフトバンク,2010年度内に基地局倍増など携帯の電波改善策を宣言
ソフトバンクモバイルは2010年3月28日,携帯電話やiPhoneなどスマートフォン向けの通信環境を改善することを目指す方針「電波改善宣言」を公表した。具体的な施策は三つ。(1)基地局の数を現在の2倍にする,(2)小型基地局(フェムトセル)の無料提供,(3)店舗や企業向けの無線LANルーターを無料提供---である。 ソフトバンクが同日に開催した社内公開イベント内で,孫正義社長が明らかにした。約2000人の参加者を前に壇上に立った孫社長は,同社の携帯電話ユーザーの中で,自宅で携帯電話の電波が届いている比率が98%であるというアンケート結果を公表。孫社長によると,ボーダフォン買収時と比べて基地局は倍増してきたものの,現在でも孫社長のTwitterアカウントには通信エリアの拡大を訴える要望が数多く寄せられているという。こうしたユーザーの声に応えるとした。「数千億円のコストがかかるが言いわけ抜きで
仮想化されたネットワークの運用は難しい──JANOG25で感じたクラウドの“実際”
2010年1月21日、22日とJANOG25が開催されました。今回の開催地は新潟です。冬の新潟ということで「雪」を楽しみにいざ出発。前日夜まで予定が入っていたので、夜9時ごろ東京発の新幹線で新潟に向かいました。到着したのは深夜でしたが、地元新潟の方々は温かく迎えてくれました。その日、夜更けまでお供させてもらったのはいうまでもありません。 初日の21日。しんしんと積もった雪を期待して外に出ると、とても温かく、雪なんてどこにもありません。雪ではなく雨が降っていました。しかし、JANOG25の会場では「巨大小林幸子」が歓迎してくれ、私の中でのJANOGの盛り上がりはこの時点で早くも最高潮を迎えました(写真1)。 JANOG25の三つのポイント 2日間にわたるプログラムを全体的に見てみると、いくつかの傾向が見えてきます。 1. IPv4枯渇/IPv6の話題が二つしかなかった IPv4アドレスの残量
ガンブラー対策でセキュリティ企業などがコミュニティ設立
セキュリティ企業のフォティーンフォティ技術研究所(FFR)など14社は2010年3月2日、「ガンブラー(Gumblar)」をはじめとするWeb経由の攻撃への対策方法を検討する「Web感染型マルウェア対策コミュニティ」を設立すると発表した(写真)。複数の企業が協力してマルウエア(不正プログラム)の検体や攻撃手法などの情報を共有して、有効な対策を迅速に打ち出すのが狙いだ。 Web感染型マルウェア対策コミュニティは、マルウエアの調査や研究を担当する「調査会員」と、調査会員が作成したレポートを基にユーザー保護に取り組む「賛助会員」で構成する。調査会員の各社は、マルウエアの解析結果や防御方法などをメーリングリストなどで報告。マルウエアの検体の共有や、共同分析などを通じて、有効な対策手段を検討する。調査結果や対策方法をまとめたレポートは、一般に公開する。 ガンブラーによるWebサイト改ざんは、国内では
システム設計段階におけるプライバシー保護の実現
McAfee Avert Labs Blog 「Protecting Privacy by Design」より February 2,2010 Posted by Ben Edelman 当記事は、米ハーバード・ビジネス・スクール助教授で当社(米マカフィー)アドバイザのBenjamin Edelman氏が寄稿してくれたものだ。 筆者は2010年1月最終週、Webブラウザ用ツールバー「Google Toolbar」の通信処理に問題があると指摘した。ユーザーがGoogle Toolbarを「無効化」して非表示にしたとしても、ツールバーは動きを止めず、ユーザーが表示したWebページや米グーグル以外の検索エンジンで実行した検索操作などのオンライン活動を記録し続けるのだ。米グーグルの対応は素晴らしかった。筆者がこの件を公表すると、直ちに許可なく行うこの通信処理の問題を修正した。しかし、大きな疑問が残
プライバシ団体が「Google Buzz」の調査をFTCに要請
電子プライバシ情報センター(EPIC)は米国時間2010年2月16日、米Googleの新しいコミュニケーション・ツール「Google Buzz」について調査を行うよう米連邦取引委員会(FTC)に申請書を提出した。Buzzの実装は「プライバシに関するユーザーの期待を大きく裏切った」と非難している。 Googleが2月9日に発表したGoogle Buzzは同社のインターネット・メール・サービス「Gmail」に組み込まれた新機能で、ユーザーは短いコメントを投稿して手軽に他のユーザーとやり取りできる。しかしリリース直後から、意図せず本名や居場所が公開されてしまった、などとする苦情が相次ぎ、Googleはこれらの問題を回避する手段をユーザーに説明するなど、対応に追われた。当初Buzzでは、Gmailで頻繁にメールやチャットをしている相手を自動的にフォローするよう設定されていたが、これを変更し、フォロ
ガンブラー再燃を契機にセキュリティの基本を見直そう
企業の正規サイトを改ざんする「ガンブラー(Gumblar)」が猛威を振るっている。2009年末から2010年初めにかけて、国内有名企業の正規サイトがガンブラーの被害を受けた。しかし、その攻撃手口は決して目新しいものではない。トレンドマイクロ サポートサービス本部 セキュリティエンハンスメントサポートグループ Threat Monitoring Center 課長の飯田朝洋氏は、「基本的なセキュリティ対策を適切に講じていれば、高い確率で被害を防止できる」と話す。 まず、ガンブラーとは何ですか。 ガンブラーとは、Webサイトを改ざんし、サイトへの訪問者を悪質なサイトへリダイレクトしてウイルスに感染させる「サイト誘導型」攻撃に対する呼称です。サイト誘導型攻撃は2006年くらいから観測されていましたが、2009年5月にリダイレクト先サイトのドメイン名が「gumblar.cn」のサイト誘導型攻撃が話
Microsoft、クラウド・コンピューティング推進の法規確立を提案
米Microsoftは米国時間2010年1月20日、米国議会とIT業界に対してクラウド・コンピューティング環境におけるプライバシやセキュリティ保護に取り組むよう要請し、クラウド・コンピューティング推進に向けた法律「Cloud Computing Advancement Act」の確立を提案した。 同法案は、技術革新の促進と消費者の保護を図るほか、データ・プライバシやセキュリティに関する重要問題を解決するためのツールを政府機関に提供することを目指すとしている。 その一環として、プライバシ保護の規定強化を目的とした電子通信プライバシー保護法の改正、インターネット犯罪の摘発を可能にするためのコンピュータ詐欺および不正使用取締法の近代化、国際的なデータ・アクセスの問題に対応するための新たなフレームワーク策定などが急務だと主張した。 Microsoft上級副社長兼法務顧問のBrad Smith氏(写
セールスフォースの全サービスが1時間強にわたって停止
米セールスフォース・ドットコムは2010年1月4日(米国時間)、同社のCRMサービス「Salesforce CRM」やプラットフォームサービス「Force.com」を運用するデータセンターで障害が発生し、全サービスが1時間15分利用できなくなったことを明らかにした。障害は米国太平洋時間4日午後12時10分(日本時間5日午前5時10分)に発生した。 セールフォースはシステムの稼働状況をWebサイトで公開している。それによれば、米国太平洋時間4日午後12時10分に全サーバーの性能が劣化し始め、同午後12時30分に全サーバーのサービスが利用不可能になった。同午後12時55分には北米にあるサーバーの一部が利用可能になったが、全サーバーが利用できるようになったのは同午後1時25分だった。障害の原因などは、発表していない。 セールスフォースでは2005年12月に、サービスが5時間にわたって停止するとい
DNSセキュリティ拡張の普及組織「DNSSECジャパン」が発足
2009年11月24日、DNSプロトコルのセキュリティ拡張「DNSSEC」の普及のための組織「DNSSECジャパン」が設立された。DNSSECは、DNSサーバーからの応答に公開鍵暗号方式による署名を付け加えることで、パケットの正当性を確認するプロトコルである。 DNSSECは2009年に入って、日本レジストリサービス(JPRS)や、各国のTLD(トップレベル・ドメイン)レジストリが2010~2011年頃のDNSSEC導入に向けて動き出したことで注目を集めている。ただし、DNSSECの実装にあたっては「パケットのデータ量やクエリ数が増えてサーバー負荷が増大する」、「ネットワーク環境によってはサイズの大きいUDPパケットを通さない可能性がある」など、いくつか技術上の課題が挙げられている。また、公開鍵暗号方式の鍵の運用・管理方法などにも未確定の部分が残っている。 そこでDNSSECジャパンでは、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
