高木浩光@自宅の日記 - Claude 3に例の「読了目安2時間」記事を解説させてみた
■ Claude 3に例の「読了目安2時間」記事を解説させてみた Anthropicの先日出たばかりのClaude 3(Opus)が、ChatGPTのGPT-4を超えてきたと聞いて、自分の原稿を解説させてみたところ、確かに革新的な進歩が見られる。もはや内容を「理解」しているようにしか見えない。GPT-4では、昨年11月に試した時には、そうは見えず、優れた文章読解補助ツールという感じでしかなかった。 一昨年のCafe JILIS「高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱」は、発表した当時、長すぎて読めないから誰か要約してという悲鳴があがっていた。その後、ChatGPTの登場で、その要約能力に期待されたが、冒頭のところしか要約してくれなかったり、薄い論点リストが出てくるだけで、その期待に応えられるものではなかった。 もっとも、GPT-4でも、質問力があ
高木浩光@自宅の日記 - テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた
■ テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた 先週から、「ドコモ口座不正引き出し事件」の原因として、被害の発生した銀行が4桁数字の暗証番号で認証処理していたことが取りざたされており、リバースブルートフォース攻撃の手口が暗証番号特定の手段として使われた可能性について、テレビのワイドショーでも扱われるなど、世間での認知がかつてなく高まっている。 そこで、この機会に、昔から存在していたテレフォンバンキングの危険性について、銀行側に抗議すれば今ならご理解いただけるのではないかと考えた。この問題は十数年前にも銀行側に伝えているが、サービスを止めるわけにもいかないし、電話経由での自動処理による攻撃は考えにくいと当時は考えられたのか、対処されることはなかった。2020年の今日、電話経由のサイバー攻撃は技術面で十分に容易に可能となっていると考えられ
高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)
■ 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章) 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンスを示しておいた*1が、すでにわかりかけている人達にしか刺さらなそうだ。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。) — Hiromitsu Takagi (@HiromitsuTakagi) July 8, 2019 同様のことは4年前にNISCのコラムに書いたが、消えてしまっているので、ひとまず、その原稿を以下に再掲しておく。 スマホ時代の「パスワード」のあり方を再考しよう 高木浩光 2015年2
高木浩光@自宅の日記 - 検察官は解説書の文章を読み違えていたことが判明(なぜ不正指令電磁的記録に該当しないのか その3)
■ 検察官は解説書の文章を読み違えていたことが判明(なぜ不正指令電磁的記録に該当しないのか その3) 先月の「Coinhive事件、なぜ不正指令電磁的記録に該当しないのか その2」の続きである。 検察官の論告に対する世間と国会の反応 Coinhive事件の公判は、2月18日に結審を迎え、検察官から論告・求刑があった。その模様は報道と傍聴者のレポートで伝えられた。 コインハイブ事件、男性に罰金10万円を求刑 弁護側は無罪主張, 弁護士ドットコム, 2019年2月18日 仮想通貨マイニングのCoinhive設置巡る刑事裁判が結審、判決は3月27日, 日経 xTECH, 2019年2月18日 coinhive(コインハイブ)裁判の第四回公判 最終弁論の傍聴してきました。…, モッチー@少年クリプト編集長, 2019年2月18日 第四回公判, 元Coinhiveユーザー@Coinhiveuserの
高木浩光@自宅の日記 - 優良誤認表示の「通信の最適化」(間引きデータ通信)は著作権侵害&通信の秘密侵害、公正表示義務を
■ 優良誤認表示の「通信の最適化」(間引きデータ通信)は著作権侵害&通信の秘密侵害、公正表示義務を まえがき 3年前、「通信の最適化」でついに事故が発生し、炎上したことがあった。しかし、当時はまだこの問題への世間の理解が浅く、問題提起しても、天才プログラマの清水亮から「ピュアオーディオを有難がる宗教法人と大差ない」とか「トラブルはアプリ書いた人の能力の問題」などと小馬鹿にされる始末だった。川上量生は「どこが通信の秘密なんだよ」とひたすら独り言を続けていたし、ガラケー全盛期に名を馳せたケータイジャーナリストの面々もろくに動く様子がなかった。 ハッハッ、見ろ!第1種電気通信事業がゴミのようだ!! #通信の最適化(), 2015年6月 「通信の最適化」に関する高木浩光氏の見解, 2015年7月 kadongo38氏「日本の通信事業者よりAppleやFacebook, Google の方が問題」,
高木浩光@自宅の日記 - 「個人情報」定義の弊害、とうとう地方公共団体にまで
■ 「個人情報」定義の弊害、とうとう地方公共団体にまで 現行個人情報保護法の「個人情報」の定義に不備があることを、これまでずっと書き続けてきた。「どの個人かが(住所氏名等により)特定されてさえいなければ個人情報ではない」(のだから何をやってもよい)とする考え方がまかり通ってしまいかねないという危機についてだ。 2003年からはRFIDタグ、2008年からはケータイIDによる名寄せの問題を中心に訴えてきたが、当時、新聞記者から説明を求められるたび、最後には「被害は出ているのでしょうか」と、問われたものだった。当時は悪用事例(不適切な事例)が見つかっておらず(表沙汰になるものがなく)、これが問題であるという認識は記者の胸中にまでしか届かなかった。 それが、昨年夏から急展開。スマホアプリの端末IDを用いた不適切事案が続々と出現し、それぞれそれがなぜ一線を越えているか説明に追われる日々になった。ス
高木浩光@自宅の日記 - テレビ録画機「トルネ」の視聴ジャンルが無断公開されている
■ 何が個人情報なのか履き違えている日本 昨日の日記の件、みなさんからの声により、PlayStation 3をテレビ録画機にする製品「トルネ」についても同じ問題があり、どんなジャンルの番組をよく視聴しているかや、視聴時刻までもが公開状態になっていることが判明した。これについては後述する。 それより先に今言いたいのは、こういうことが起きるのは、何が「個人情報」なのかを、日本の事業者や行政がみんな揃って履き違えているためではないかということだ。 今回の件について、ソニーはこう釈明するかもしれない。「オンラインIDは個人情報に該当しない。オンラインIDに氏名などの個人情報を含めないよう登録画面で注意書きしている*1」と。しかしそういう問題でないのは明らかである。 日本の事業者はどこもかしこも、「個人情報」に該当しなければ何をやってもいいという誤った道に進み始めている。そして、日本の個人情報保護法
高木浩光@自宅の日記 - MIAUについての所感
■ MIAUについての所感 前々回の日記でMIAUの中川理事のTwitter発言に触れて以来、MIAUについて、はてなブックマークで小さなコメントを書いていたところ、MIAU側で反応があり、MIAUからの公式発表とインタビュー記事が出た。 「インターネット地図情報サービスWG」第一次提言(案)作成協力のご報告, MIAU, 2009年8月3日 インターネット・ユーザーの声を政策の争点にしたい - インタビュー, 日経ITPro, 2009年8月7日 これをベースに、MIAUについての感想を書いてみる。 日経ITProのインタビュー記事の冒頭と終盤で津田大介代表理事が述べているように、審議会が市民参加に配慮しようにも「代表がいないから呼べない」という問題が存在していて、それに応じられる団体としてのMIAUの役割は重要であり、特に、ある時期の著作権関連の審議会において大きな役割を果たしたことに
高木浩光@自宅の日記 - やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合
■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日 (略)こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。 (略)iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。 (略)契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ
高木浩光@自宅の日記 - 「NoScript」をやめて「RequestPolicy」にした
■ 「NoScript」をやめて「RequestPolicy」にした セキュリティ屋が、Firefoxユーザに「NoScript」の使用を推奨することがしばしばあるが、私は賛同しない。 JPCERT/CC、技術メモ「安全なWebブラウザの使い方」を公開, INTERNET Watch, 2008年11月4日 *1 技術メモ − 安全なWebブラウザの使い方, JPCERT/CC, 2008年11月4日 IV. 各 Web ブラウザに共通する設定上の注意事項 1. スクリプト等の実行を制限する JavaScript 等のスクリプトや(略)は(略)Ajax に代表されるインタラクティブなインターフェースが実現できるなど、高い利便性が得られます。反面、PC 上の重要なファイルを削除・変更するなど、悪意を持った処理が行われる可能性もあります。従って無制限にスクリプト等を実行できるようにしておくのは
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
高木浩光@自宅の日記 - 本当はもっと怖いGoogleマイマップ
■ 本当はもっと怖いGoogleマイマップ 適当に検索して見つけたブログで(既に消えているようだが)こんな発言があったようだ。 Googleマップで他人の個人情報を晒したことに気づいてあわてている人のニュースが、最近、盛んだ。 いったいどうしてこんなことになってしまうのか、私には不思議でならない。 私もマイマップはよく使っているので、公開・非公開の違いは注意深くチェック ... Googleマップに他人の個人情報を掲載する愚か者と、ここぞとばかりに ..., オリマー, 2008年11月8日 しかしどうだろう。Googleマイマップを「よく使っている」という人でも、自分が作成するマップがいつどの時点で公開状態となるのか(パブリッシュされるのか)、そのタイミングを理解している人はどれだけいるだろうか。 Googleマイマップの「新しい地図を作成」をクリックした直後はこうなっている。
高木浩光@自宅の日記 - 対策にならないフィッシング対策がまたもや無批判に宣伝されている, 追記(26日)
■ 対策にならないフィッシング対策がまたもや無批判に宣伝されている 「PCからオンライン取引、ケータイで認証」−ソフトバンクBBの新発想・認証サービス, Enterprise Watch, 2007年9月20日 「同サービスはまったく新しい認証の手段だ。暗号化技術にも依存しないので、クラッカーとのいたちごっこにもならず、これまでの認証の問題を一挙に解決することが可能。本当の意味でIT革命が起こせると期待できるサービスだ」と意気込みをあらわにしながら説明を行った。(略) 「PCを標的にしたハッキングやDoS攻撃を受ける可能性がゼロになる」(中島氏)。また、偽サイトとはシンクロしないため、フィッシング詐欺を100%防止することも可能だ。 ソフトバンクBB、携帯活用認証システムでWebサイトログイン対応に, ケータイWatch, 2007年9月20日 今回の新機能は、安全・簡便・低コストで、そう
高木浩光@自宅の日記 - ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。am/pmで使ったEdyは渡さない。
■ ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。am/pmで使ったEdyは渡さない。 高度ユビキタス化社会の到来は、プライバシーを守ろうとする人々のリテラシーをこうもややこしくする。一昨年書こうと思って準備したもののその後放置していた話を以下に書く。 2004年7月11日の日記に書いていたように、コンビニエンスストアのam/pmには、club apという会員サービスがある。am/pmで販売されているEdyカードには図1のように、club ap用の「仮パスワード」を記した紙が同封されている。 このサービスで特徴的なのは、「Edyご利用実績」という、am/pmでの買い物履歴を閲覧できるというものである。 一度メンバー登録すると、以後IDを使って、 Edyの決済やチャージの記録とお買い上げ品の明細がウェブ上で閲覧できます。小づかい帳、経費管理に、家計簿にと、便利な機能です
高木浩光@自宅の日記 - 新聞の意味不明な識者コメントはデスクの解釈で捏造される
■ 新聞の意味不明な識者コメントはデスクの解釈で捏造される 13日のWinny判決の日は、午後からIPAで講演のため留守にしていたこともあり、当日のマスコミからの取材申し込みはお断りさせていただき、事前に申し込みのあったものについてだけコメントさせていただいた。そもそも私は業務上この判決の是非についてコメントする立場になく、情報セキュリティの観点から今後のWinnyをどう考えるかについてのみ、コメントするようにしている。判決が出てから慌ててコンタクトしてくるようなメディアには、短時間で私の主張の趣旨が理解されない恐れがあり、危なくて応じられない。 しかし、注意深く応じたにもかかわらず、読売新聞13日夕刊には、言っていないコメントを掲載されてしまった。 高木浩光・産業技術総合研究所情報セキュリティ研究センター主任研究員の話 「ウィニーは、本人の意思に関係なく、個人のファイルやデータが流出して
高木浩光@自宅の日記 - Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根
■ Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根 Winny作者が著作権法違反幇助の罪に問われている裁判の地裁判決がいよいよ明日出るわけだが、有罪になるにせよ無罪になるにせよ、そのこととは別に、独立事象として、Winnyネットワーク(および同様のもの)がこのまま社会に存在し続けることの有害性についての理解、今後のあり方の議論を進めるべきである。 著作権侵害の観点からすればさして致命的な問題ではないと考える人が大半だろう。しかし、情報セキュリティの観点からすると、流出の事故を防止しなければならないのと同時に、起きてしまった事故の被害を致命的でないレベルに止めることが求められる。 これまでに書いてきた通り、Winnyは、従来のファイル交換ソフトと異なり、利用者達が意図しなくても、多くの人が流通し続ける事態は非倫理的だと思うような流出データであっても、たらい回しにいつまでも流通
高木浩光@自宅の日記 - サイボウズが再び「闇改修」をしたので電話で抗議したが無駄骨だった
■ サイボウズが再び「闇改修」をしたので電話で抗議したが無駄骨だった 結果を先に言うと、サイボウズ社はセキュリティポリシーによって、(アカウントを持つユーザからしか攻撃され得ないなどの)危険な状況が少ない脆弱性については告知するが、第三者から攻撃され得る脆弱性については告知しない(更新履歴やFAQには書いておくが積極的に知らせることをしない)という方針で、今回も、過去もそうしてきたし、今後もそうしていくつもりなのだという。 複数のサイボウズ製品にセキュリティ・ホール,情報漏洩などの恐れ, 日経IT Pro, 2006年8月28日 (1)は,細工が施されたリクエストを送信されると,公開を意図していないファイル(公開用フォルダに置いていないファイル)を表示してしまうセキュリティ・ホール(略) (2)は,Office 6に関するセキュリティ・ホール(略)。細工が施されたリクエストを送信されると,
高木浩光@自宅の日記 - RFIDタグ搭載ランドセルの校門通過記録で仲良しグループを割り出すという小学校教諭の発想は普通?
■ RFIDタグ搭載ランドセルの校門通過記録で仲良しグループを割り出すという小学校教諭の発想は普通? 論座2006年8月号に「IT技術は小学生を守るか」という記事が出ていた。これに次の記述がある。 立教小学校(略)の「登下校管理システム」は、ICタグを用いたセキュリティーシステムの草分けだ。(略)導入を進めた石井輝義教諭(情報科主任)は「動機は、どちらかというとセキュリティーよりも利便性にありました」と語る。(略) 「教師の仕事の一部を肩代わりしてもらうことで、生身の子どもと接することに集中できる」。今後はさらに、記録を時間順にソート(並べ替え)して仲良しグループを割り出す、長期欠席児童を把握するといった可能性を考えている。昨年5月の遠足では、バスに児童が乗り込んだかどうかタグで確認する実験も行った。無線LAN機能と専用ソフトを備えたモバイルPCをリーダーとして用いたという。 さらに、技術
高木浩光@自宅の日記 - IE 7のセキュリティ改善を台無しにするIE 7 Beta2日本語版
■ IE 7のセキュリティ改善を台無しにするIE 7 Beta2日本語版 「セキュリティで保護された」というと何を思い浮かべるだろうか。Windows用語のような気がするが、普通は、SSLによる接続( https:// ページへのアクセス)のことを連想するだろう。(「セキュリティ(暗号化処理)で保護された接続」など。) それはともかく、Internet Explorer 7 がさまざまなセキュリティ上の改良を施していることは既に報道等で伝えられているところだ*1が、報道されていないところとして、「インターネットゾーン」のセキュリティ設定の画面の改善がある。 凶悪設定3兄弟の改善 図1の「Download signed ActiveX controls」の部分は、日本語版で言うところの「署名済み ActiveX コントロールのダウンロード」という、悪名高い設定項目で、アホな業者がしばしばこれ
高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
