高木浩光@自宅の日記 - 単純所持刑罰化ならウイルス罪を同時施行しないとセキュリティバランスが悪化する, 追記(15日)
■ 単純所持刑罰化ならウイルス罪を同時施行しないとセキュリティバランスが悪化する 私は、著作権のあり方に関心がないのにWinnyの問題について意見を述べてきた。これは、著作権が情報セキュリティに影響を及ぼしていたからだった。著作権法による規制の強化が、制御不能な流通システムを誕生させ、人々に維持し続けさせ、その結果、漏洩情報の拡散も抑制不能になるという情報セキュリティ上の深刻な問題を引き起した。(関連記事1、関連記事2) このところ、児童ポルノの単純所持の刑罰化や、青少年に対するコンテンツ規制の法制化の機運が高まっているようだ。私は、それらの是非については専門外であり、とくに意見を持ち合わせていない。しかし、それらが情報セキュリティに及ぼす影響について関心を持っている。 児童ポルノ、所持だけで懲役1年以下・与党PT , 日本経済新聞, 2008年5月2日 児童ポルノ:所持は1年以下の懲役ま
高木浩光@自宅の日記 - Amazonは注文履歴の消去を拒否、アカウント閉鎖後もデータは残る
■ Amazonはやっぱり怖い そろそろ使うのをやめようと思う 今は朝6時。数時間前、寝ようとしたころに大騒ぎになっていた。 密かな趣味が全公開--Amazonのウィッシュリスト、改め「ほしい物リスト」に注意?, CNET Japan Staff BLOG, 2008年3月12日 これはひどいことになった。HATENA Co., LTD. では暗号解読の本をお求めのようだった。 幸い私は、ウィッシュリストを空にしていたので、何も見られることはなかったが、自分のAmazon登録メールアドレスを入れると、氏名と「茨城県」などの情報が表示された。(メールアドレスも非公開のものを使っているが、ワイルドカード指定もできたようなので、どうなっていたかわからない。もっとも、私は実名を隠していないが。) そもそも何年か前、この「ウィッシュリスト」なるサービスが始まったとき、やたらウイッシュリストへの登録が
高木浩光@自宅の日記 - Wikipedia ∩ Winny で何が判るか
■ Wikipedia ∩ Winny で何が判るか 毎日新聞の朝刊にこんな記事が出た。 原田ウイルス、ウィキペディアに項目 自ら作成し更新?, 毎日新聞, 2008年1月27日 容疑者(24)が、インターネット上の百科事典「ウィキペディア」日本語版に、同ウイルスの項目を自ら作成していた可能性が高いことが26日、分かった。「ウイルス対策ソフトには全く対応していない」と、性能を誇るような文章を書き込むなど、更新も頻繁にしていたとみられる。府警もこの事実を把握。 (略)容疑者が匿名で開設したホームページ(HP)「P2P−DESTROYER」に関する項目もほぼ1人で書き込んでいた。 調べてみた。 まず、「原田ウイルス」のエントリの変更履歴から、初版の内容を見ると、次などの文が気になる。 山田ウィルスの亜種なのではなかという噂があったが、実際は山田ウィルスとは全く別物といえる。 山田ウィルスと同様
高木浩光@自宅の日記 - 「ダウンロード違法化」で漏洩情報のWinny流通を抑止できるか
■ 「ダウンロード違法化」で漏洩情報のWinny流通を抑止できるか 11月の情報ネットワーク法学会大会の個別発表で、「匿名ファイル交換ソフトで違法複製物をダウンロードした者の法的責任」というご発表があった。その際に私は質問をしたのであるが、その意味するところは聴衆の方々にもわかりにくいものだったと思われるので、その趣旨をここに書き留めておくことにする。その前に、その考察に至る背景から。 「ダウンロード違法化」を望むのは権利者だけではない いわゆる「ダウンロードの違法化」、つまり、違法複製物又は違法配信からの録音録画を著作権法30条の適用対象外とする著作権法改正に向けた文化審議会著作権分科会私的録音録画小委員会の検討は、昨今の反対派の論調では単純に「権利者(流通業者)の横暴」とみなされているようだが、私には、それとは別の動機によって(を伴って)推進されているように感じられる。 それはつまり、
高木浩光@自宅の日記 - 第六種オレオレ証明書が今後増加するおそれ, 訂正(15日)
■ 第六種オレオレ証明書が今後増加するおそれ リンク元を辿ったところ、東京証券取引所の「適時開示情報閲覧サービス」のサイトと、民主党のご意見送信フォームの送信先サーバ*1でオレオレ証明書が使われているという話を立て続けに見かけた。 無知な鯖管, 別館「S3日記」, 2007年12月9日 民主党のSSL証明書が不正な件, 思考と習作, 2007年12月10日 これらはどちらも、中間認証局から取得したサーバ証明書なのに、中間認証局の証明書をサーバに設置していないという、第六種オレオレ証明書の状態になっているようだ。 この場合、Internet Explorerアクセスするとオレオレ警告が出ないため、サーバ管理者が気づいていないのだと思われる。 IEで警告が出ないのは、IEには独自の機能が搭載されているからで、サーバ証明書に記載の「Authority Information Access」拡張フ
高木浩光@自宅の日記 - ジャストシステムはどこへ向かっているのか
■ ジャストシステムはどこへ向かっているのか ジャストシステムが、ユーザの安全確保よりも、何らかの別の目標*1に向かっているらしいことは、次の事例で一目瞭然だろう。 こんな言い回しは他で見たことがない。 脆弱性情報を公表することの目的が、まだ修正版の存在を知らされていないユーザに対してアップデートの必要性を周知することにあるということは、(ユーザの立場で考えれば)誰でもわかるはずだ。それなのに、ジャストシステムは、まず先に、「ご安心ください」と言う。(図1の1つめの矢印部分。) Kaspersky Internet Security 6.0 および Kaspersky Anti-Virus 6.0のVista対応版プログラム以前の製品(バージョン 6.0.0.306)で5つの脆弱性が発見されています。この問題に対する修正は、3月14日より無償でダウンロード提供しているVista対応版プログ
高木浩光@自宅の日記 - 一太郎plug-inをIEとFirefoxで無効に 〜 ジャストシステムは本当の脅威を教えてくれない
■ 一太郎plug-inをIEとFirefoxで無効に 〜 ジャストシステムは本当の脅威を教えてくれない 目次 ワープロソフトの「脆弱性」とは? ゼロデイ攻撃に見舞われ続ける一太郎 「危険度:低」って正気で言ってるの? パソコン初心者並みの認識のソフト会社 「攻撃成立に必要なユーザの関与」は「積極的」か「消極的」か 知られざる一太郎ビューアplug-inの存在 受動的攻撃がもはや最大級の脅威 ジャストシステムは回答を拒否 製品ベンダーが発表しなければ危険性を周知できない 発見者の指摘があっても無視 メディアはJVN情報を伝えるときどうして発見者に取材しないの? plug-inを無効にする方法 ワープロソフトの「脆弱性」とは? 先週、新たな一太郎の脆弱性と修正パッチが公開された。「一太郎の脆弱性」と聞いて、どんなときに危険のある話だと理解されるだろうか。ジャストシステム社の告知文には次のよう
高木浩光@自宅の日記 - ユビキタス社会の歩き方(2) ストーカーから逃れて転居したら無線LANを買い換える
■ ユビキタス社会の歩き方(2) ストーカーから逃れて転居したら無線LANを買い換える 5月27日の日記「PlaceEngineのプライバシー懸念を考える」では、「無線LANアクセスポイントのMACアドレスを知られると、住所を知られることになる」という状況が生じ始めていることついて書いたが、そのリンク元に、それがもたらす被害の具体例としてストーカー被害を挙げている方がいらした。同じことについて私なりに書いてみる。 ストーカーに自宅を特定されて付き纏いなどの被害に遭っている被害者が、ストーカーから逃れるために転居することがしばしばあるようだ。勤務先を特定されていない場合や、転居先がそこそこ遠方であれば、その対処が有効なのだろう。 しかし、無線LANが普及した現在、平均的な家庭には無線LANアクセスポイントの1台や2台は設置されているであろう。自宅を特定したストーカーは、自宅前で無線LANパケ
高木浩光@自宅の日記 - EZwebサイトでSession Fixation被害発生か?, サブスクライバーIDをパスワード代わりに使うべきでない理由
■ EZwebサイトでSession Fixation被害発生か? au booksでの事故 意図的な攻撃でなく偶発的な事故なのかもしれないが、auの公式サービス「au books」のEZwebサイトで、Webアプリケーションの脆弱性が原因の情報漏洩事故が起きたようだ。 顧客情報漏えい:書籍販売サイト「au Books」で, 毎日新聞, 2007年6月26日 ゲーム攻略本(1冊1890円)の紹介サイトからアクセスし、その攻略本を買おうとすると、他の顧客の氏名、住所、電話番号、生年月日、会員パスワードが表示された。そのまま購入手続きをとると、他の顧客が購入したことになってしまうという。 au携帯電話におけるオンライン書籍販売サイト「au Books」におけるお客様情報の誤表示について, KDDI, 2007年6月26日 1. 発生事象 本年6月22日20時37分から23日18時45分までの間
高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)対策がいまいち進まなかったのはなぜか
■ クロスサイトリクエストフォージェリ(CSRF)対策がいまいち進まなかったのはなぜか 4月27日の日記「クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法」で、 「クロスサイトリクエストフォージェリ」がにわかに注目を集めている。古くから存在したこの問題がなぜ今まであまり注目されてこなかったかについて考えているところだが、引越しやら転勤やらでいまひとつ日記を書く時間がない。 と書いた。あれから2か月以上が経ってしまったが、今書いておく。 端的に言えば、「CSRF対策は所詮、荒らし対策にすぎない」 と考えられてきたためではないか。 荒らし対策をするしないは運営者の自由 あるサイトに脆弱性を発見した者が、その運営者に対してその脆弱性を直して 欲しいと希望することが、どのくらい妥当かというのは、その脆弱性によって 生じ得る危険性の種類によって異なる。 たとえば、IPA の脆弱性届出状
高木浩光@自宅の日記 - 情報処理技術と刑事事件に関する共同シンポジウムで講演予定, 未届けと推定される脆弱性情報が公開されているのを発見したら
■ 情報処理技術と刑事事件に関する共同シンポジウムで講演予定 再来週土曜日の以下のシンポジウムで講演とパネル討論に出ます。楽しみです。 情報処理技術と刑事事件に関する共同シンポジウム 「IT技術と刑事事件を考える−Winny事件判決を契機として−」 開催日時: 平成19年2月17日(土) 10:00-17:00 開催会場: 大阪弁護士会館2階ホール [大阪市北区西天満1-12-5] 主催: 大阪弁護士会 刑事弁護委員会、情報ネットワーク法学会、情報処理学会 概要: 昨今の情報処理技術、特にインターネット等の発展により、情報処理技術や著作権法などの特別刑法が複雑に絡みあった刑事事件が数多く起こっております。このような事件の弁護活動には、当然ではありますが情報処理技術に関する素養、関連諸法規の知識、さらには技術や産業の発展といった多角的な見識が必要とされます。 そのような中で、ファイル共有ソフ
高木浩光@自宅の日記 - WASF Times版「サニタイズ言うな!」
■ WASF Times版「サニタイズ言うな!」 技術評論社の「Web Site Expert 」誌に、Webアプリケーション・セキュリティ・フォーラム関係者の持ち回り企画「WASF Times」が連載されている。私の番も回ってきたので昨年9月発売号に寄稿させていただいた。近頃はサニタイズ言うなキャンペーンもだいぶ浸透してきたようだし、もういまさら不要という気もするが、以下、その原稿を編集部の承諾のもと掲載しておく。 「サニタイズしろ」だあ? Webアプリを作ったらセキュリティ屋に脆弱性を指摘された――そんなとき、「入力をサニタイズしていない」なんて言われたことはありませんか? 「入力」というのは、ブラウザから送信された情報をCGIパラメータとして受信した値のこと。これを「サニタイズしろ」というのです。なんでそんなことしないといけないの?プログラムの内容からして必要のないことなのに? そう
高木浩光@自宅の日記 - 「無断リンクは禁止とします」について岡山県警にも聞いたが……
■ 「無断リンクは禁止とします」について岡山県警にも聞いたが…… 10月7日の「「無断リンクは禁止とします」について栃木県警に聞いた」の際、同じく「無断リンクは禁止とします」としていた岡山県警に対しても同じ問い合わせをしていた。 最初の質問(9月25日): http://www.pref.okayama.jp/kenkei/sitepolicy.htm の「サイトポリシー」 を拝見してお尋ねします。 > 3.リンクについて > 当サイトへリンクされる場合は、リンク元のサイトの運営主体、リンクの目的 > 及びリンク元のページのURLを事前にご連絡ください。無断リンクは禁止とします。 とありますが、「無断リンクは禁止とする」理由を教えていただけますか。 また、事前に連絡が必要とされている理由を教えてください。 -- 高木 浩光@自宅 これにメールで返事を頂いたので、それについて次の質問をした(
高木浩光@自宅の日記 - Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根
■ Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根 Winny作者が著作権法違反幇助の罪に問われている裁判の地裁判決がいよいよ明日出るわけだが、有罪になるにせよ無罪になるにせよ、そのこととは別に、独立事象として、Winnyネットワーク(および同様のもの)がこのまま社会に存在し続けることの有害性についての理解、今後のあり方の議論を進めるべきである。 著作権侵害の観点からすればさして致命的な問題ではないと考える人が大半だろう。しかし、情報セキュリティの観点からすると、流出の事故を防止しなければならないのと同時に、起きてしまった事故の被害を致命的でないレベルに止めることが求められる。 これまでに書いてきた通り、Winnyは、従来のファイル交換ソフトと異なり、利用者達が意図しなくても、多くの人が流通し続ける事態は非倫理的だと思うような流出データであっても、たらい回しにいつまでも流通
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
