■ 空前の武雄市TSUTAYAドヤリングで住所・氏名・電話番号漏洩の危機 まもなく武雄市に2軒目のTSUTAYAが開業するということで、昨日から一般市民に先んじて内覧会に招集された市長のお友だちらから続々と喜びの声があっている。また、会員登録の事前登録が始まっているため、入手したTポイントカードの写真を撮ってツイートする人が次々と現れている。 カード作ってみた #osoreiri #武雄市 @ 武雄市立図書館 instagram.com/p/XbaH0pkQSn/ — 末広栄二さん (@e_suehiro) 2013年3月29日 武雄市のTカードに更新してきたーーー(^ー^) レンタル無料券とスタバの無料券もらったー(^ー^) twitter.com/kpnnnnu/status… — KPさん (@kpnnnnu) 2013年3月29日 このように、Tポイントカードの番号（Tカード番号）

■ パスモは乗車履歴を第三者提供？ 他社のビッグデータに取り込まれる可能性 前回の日記の続き。 あの後、パスモ社の担当者と何を話したかというと、同社の個人情報保護方針に反しているのではないかという点と、個人情報保護法に違反しているのではないかという点であった。 電話する前の時点では、「乗車履歴自体は個人情報ではない*1」という見解も出るかな*2と予想していたが、担当者は、前回の最後の部分で示したように、あっさりと個人情報だと認めたため、そこは論点にならなかった。 まず追求したのは、利用目的の明示。 個人情報保護法は、第18条で、個人情報を取得したときは速やかにその利用目的を本人に通知又は公表しなけれなばらないと定めており、その例外として、「あらかじめ利用目的を公表している場合を除き」としている。記名PASMOを作って利用を始めると、乗車履歴をパスモ社ほかに取得されることになるが、その乗車履

■ ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか SuicaやEdyの登場によって、カードに記載の番号が新たな問題をもたらすであろうことは、8年前に関心を持ち、何度か書いた。 Edyナンバーは易々と他人に知らせてよい番号なのか, 2004年2月29日の日記 Edyナンバーはどのように使われるものか, 2004年7月11日の日記 許諾なしに公表されるEdyナンバーとSuica番号, 2004年7月11日の日記 その後、EdyナンバーやSuicaのIDiは無闇に掲示されることはなくなり、問題は起きなかった。コンビニのam/pmがEdyを用いて独自に展開していた「club ap」でも、利用者登録にはam/pm店舗のレジで印刷してもらう「仮パスワード」を必要とするようになっており、まあ一応ちゃんと設計されていた。*1 ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。

02-01-2011 | News Written by ICT News Have you ever wondered if you could do house-by-house geolocation with google gears geolocation API? Yes you (and advertisers) can! Google is unlikely to fix this, since this is the same API mobile handsets use to locate themselves w/o GPS. Throttling is unlikely since handsets are usually NATted, so it *always* looks to google like there’s several hundred

米国のショッピングモールにて、携帯電話の電波を用いて客の動きを追跡する調査が行われるらしい。携帯電話が発する電波に含まれる ID を使って利用者の動きを追跡するそうだ (CNN.co.jp の記事) 。 『英パス・インテリジェンス社の製品で「フットパス」と呼ばれる』システムを利用するとのこと。携帯電話が電源オン時に発している電波を使うため、携帯電話の電源を切る以外に追跡から逃れる手段は無い模様。客がどの店に入ったか、特定の店に入った客がどの店に寄ったか、といった傾向を調査できるという。

■ Wi-FiのMACアドレスはもはや住所と考えるしかない 目次 まえがき これまでの経緯 2つのMACアドレスで自宅の場所を特定される場合 SSIDに「_nomap」でオプトアウト？ PlaceEngineはどうなった？ まえがき 先週、以下の件が話題になった。 Greater choice for wireless access point owners, Official Google Blog, 2011年11月14日 Removing your Wi-Fi network from Google's map, CNET News, 2011年11月14日 グーグル、Wi-Fiネットワークの位置情報収集で対応策を公開, CNET Japan, 2011年11月16日 Google's WiFi Opt-Out Process Makes Users Navigate Technic

今年4月、世界のインターネットトラフィックの15%が中国にリダイレクトされていた18分間があったそうだ（本家/.）。 この件はFOXニュースが入手した、米議会の委員会によるレポートから明らかになった。これによると今年4月18日、中国の通信企業China Telecomが18分間の間トラフィックを「ハイジャック」したとのことで、その間米政府や軍やその他国家機関、また民間サイトなど多くのデータが中国経由となったそうだ。 この出来事が意図的であったと断定する術はないとしながらも、レポートでは中国Googleへのサイバー攻撃を例にあげ、「中国がインターネットを、例えある一定の限られた時間だとしても何らかの形で制御しようとしている可能性」について問題を提起している。 なお、Georgia Tech Research Instituteの研究者Chris Smoak氏によると、このような現象は年2-3

自分にとって邪魔な人間に消えてもらうために「児童ポルノ・アタック」を仕掛けた男性 (/.J 記事) に懲役 12 年の判決が下されたそうだ (本家 /. 記事より) 。 英国の Neil Weiner 氏は、以前から折り合いの悪かった学校の管理人 Edward Thompson 氏が役職から解雇され、自分がその座につけるよう Thompson 氏のコンピュータに児童ポルノを仕込んだとされている。裁判では 2 件の児童ポルノ所持及び 1 件の司法妨害で懲役 12 年の有罪判決が下されたとのこと。この事件は、裁判官も「Thompson 氏を排除しようとの試みはもう少しで成功してしまうところであった」と認めた。また、警察が当初 Thompson 氏の逮捕を最小限の関係者にしか知らせていなかったのにも関わらず、Weiner 氏が地元メディアに情報を提供したことで事が公になり、本人や家族が大いに苦し

Welcome to the 2023 Common Weakness Enumeration (CWE™) Top 25 Most Dangerous Software Weaknesses list (CWE™ Top 25). This list demonstrates the currently most common and impactful software weaknesses. Often easy to find and exploit, these can lead to exploitable vulnerabilities that allow adversaries to completely take over a system, steal data, or prevent applications from working. CWEs are becom

2ちゃんねるで話題になっていたが、先日個人情報流出騒動が起きたセブンアンドワイのネットショッピングサイトのサーバで「.svn」や「CVS」ディレクトリが公開状態になっており、そこからソースコード等一式が流出するという事件が発生した模様だ（カジ速による2ちゃんねるの該当スレッドまとめ）。 先日スラッシュドットでも「.svn」「CVS」ディレクトリを狙ってWebサイトの非公開ファイルをゲットという話題があったが、まさにその通りの手口。ちなみに、問題となっているショッピングサイトは現在でも通常通り運営を続けている。

UbuntuやMac OSXを使っていると、権限の高いオペレーションを実行しようとしたときに、ユーザのパスワードを要求するダイアログが起動します。毎回ハイハイと思いつつ入力しているのですが、ふと考えるとこのセキュリティモデルというかユーザビリティー的に大丈夫なのかどうかと思うようになりました。 例えば、インストーラーでダミーのパスワードダイアログを表示させればマルウェア作者はユーザのパスワードを取り放題だし、OSのファイル保存ダイアログをクラックして、適当なファイル保存のタイミングで同ダイアログを出せば、無知なユーザはホイホイパスワードを入力してしまうのではないでしょうか。Webサイトのフィッシングと全く同じ話です。 このダイアログはそもそも CUIプログラム sudo のラッパーにすぎません。しかし、話はそんなに単純ではありません。CUIの場合は、ほとんどの操作が「能動的」なために、su

An unofficial blog that watches Google's attempts to move your operating system online since 2005. Not affiliated with Google. Send your tips to gostips@gmail.com. Sean Leather spotted a new Gmail feature that checks if the PGP signature attached to a message is valid. "A major benefit of public key cryptography is that it provides a method for employing digital signatures. Digital signatures enab

Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock () or https:// means you've safely connected to the .gov website. Share sensitive information only on official, secure websites.

■ Winnyの利用形態を視覚化してみた 3年前から稼働させているWinnyネットワーク観測システムで、観測したWinnyキーを記録している*1のだが、そのデータから利用者ひとりひとりがどんな行動をしているか、直感的に読み取れるよう視覚化を試みた。 これを行うためには、長期間にわたり同じ人が使っているノードを見つけ出すことが必要で、一般的には、IPアドレスが頻繁に変わってしまうので、単純には追跡できない*2のだが、今年のゴールデンウィークに観測システムを改良して以来、DNSの逆引きを自動化した関係で、固定のIPアドレスで（しかも固有のドメイン名に割り当てられたアドレスで）稼働させているノードが数十個見つかったので、それについて調べてみたところ、長期にわたって稼働し続けているものがいくつかみつかった。 図1は、2006年8月末から2009年4月末までの間に観測されたキーのうち、「〓.〓〓〓〓