高木浩光@自宅の日記 - テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた
■ テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた 先週から、「ドコモ口座不正引き出し事件」の原因として、被害の発生した銀行が4桁数字の暗証番号で認証処理していたことが取りざたされており、リバースブルートフォース攻撃の手口が暗証番号特定の手段として使われた可能性について、テレビのワイドショーでも扱われるなど、世間での認知がかつてなく高まっている。 そこで、この機会に、昔から存在していたテレフォンバンキングの危険性について、銀行側に抗議すれば今ならご理解いただけるのではないかと考えた。この問題は十数年前にも銀行側に伝えているが、サービスを止めるわけにもいかないし、電話経由での自動処理による攻撃は考えにくいと当時は考えられたのか、対処されることはなかった。2020年の今日、電話経由のサイバー攻撃は技術面で十分に容易に可能となっていると考えられ
高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)
■ 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章) 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンスを示しておいた*1が、すでにわかりかけている人達にしか刺さらなそうだ。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。) — Hiromitsu Takagi (@HiromitsuTakagi) July 8, 2019 同様のことは4年前にNISCのコラムに書いたが、消えてしまっているので、ひとまず、その原稿を以下に再掲しておく。 スマホ時代の「パスワード」のあり方を再考しよう 高木浩光 2015年2
高木浩光@自宅の日記 - 業界の信用を傷つける思想を開陳したトレンドマイクロ社にセキュリティ業界は団結して抗議せよ
■ 業界の信用を傷つける思想を開陳したトレンドマイクロ社にセキュリティ業界は団結して抗議せよ トレンドマイクロ製品がApp Storeから締め出された事案が重大局面を迎えた。エバ・チェン社長兼CEOの声明が発表されると同時に、準備されていたZDNetニュースが報じられた。 App Store上の当社アプリに関する重要なお知らせ, トレンドマイクロ, 2018年10月31日 トレンドマイクロのチェンCEO、App Storeでのアプリ削除問題に謝罪と説明, ZDNet Japan, 2018年10月31日 これまでの説明とは異なり、もはやトレンドマイクロ社固有の事情を超え、情報セキュリティ業界の一般論として、業界が必要としている情報取得だったのだと正当化し、社会が理解すべきものだとして、世間に理解を求める声明になっている。 セキュリティ企業は、お客さまのセキュリティならびにプライバシーを改善
高木浩光@自宅の日記 - 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」
■ 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」 序章 昨日の読売新聞朝刊解説面に以下の記事が出た。 [解説スペシャル]ウイルスか合法技術か 他人のPC「借用」 仮想通貨計算 サイトに設置 摘発相次ぐ, 読売新聞2018年6月9日朝刊 「まさか違法とは……」。こううなだれる首都圏のウェブデザイナー(30)は今年3月、横浜地検にウイルス保管罪で略式起訴され、罰金10万円の略式命令を受けた。自分の運営する音楽サイトに昨秋、「コインハイブ」と呼ばれるコインマイナー用のプログラムを設置したところ、これがウイルスと判断されたのだ。 (略)昨年末から神奈川や宮城、栃木、茨城県警など全国の警察が捜査を開始。これまでに確認できただけで5人のサイト運営者がウイルスの供用や保管などの容疑で捜索を受け、既に略式命令を受けたケースもある。(略) 略式命令を受けたウェブデザイナー
高木浩光@自宅の日記 - 書評:良いウェブサービスを支える「利用規約」の作り方
■ 書評:良いウェブサービスを支える「利用規約」の作り方 3月のこと。出版されたこの本を技術評論社より献本いただいた。 雨宮美季, 片岡玄一, 橋詰卓司, 良いウェブサービスを支える「利用規約」の作り方, 技術評論社, 2013 第1章「3大ドキュメント超入門」として、利用規約と、プライバシーポリシーと、特定商取引法に基づく表示について書かれており、第3章には「すぐに使える・応用できるひな形」なるものが掲載されている。 プライバシーポリシーについて、第1章の超入門で、個人情報保護法における「個人情報」に該当しない「個人に関する情報」もプライバシーポリシーの対象とするべきだと書かれている*1点は良い。2012年8月の総務省「スマートフォン・プライバシー・イニシアティブ」を参照し、「今後の流れに大きく影響する可能性があります。」とあり、スマホアプリ対応の解説となっている。 しかし、3章の「すぐ
高木浩光@自宅の日記 - 岡崎図書館事件から3年 〜 もう一つの誤認逮捕事件, 吹田市立図書館でサイバー攻撃騒ぎ、岡崎の教訓は活きていたか? 岡崎図書館..
■ 岡崎図書館事件から3年 〜 もう一つの誤認逮捕事件 一昨々日、去年の遠隔操作事件への対応で、 全署でサイバー教育へ…警視庁、誤認逮捕防止で, 読売新聞, 2013年3月13日 全警察署員に「サイバー講習」 警視庁、捜査能力向上狙う, 日本経済新聞, 2013年3月13日 という記事が出たところだが、今、日本のサイバー犯罪史上象徴的なもう一つの誤認逮捕事件、「岡崎図書館事件」から、3年が経とうとしている。図書館が最初に「ホームページにつながらない」との苦情電話を受け、担当者が三菱電機ISに対応策を尋ねたのが、3年前の今日、3月16日であった。 遠隔操作事件では犯人の取り違えであったのに対し、岡崎図書館事件は、犯罪でない行為を犯罪とみなしたと言うべき誤認逮捕であった。両者に共通するのは、捜査員や検察官の情報技術についての常識感の欠如であり、実際、振り返ってみると、どちらの事件でも、逮捕が報
高木浩光@自宅の日記 - 企業秘密を含み得るメールの件名がNAVERへ送信されている
■ 企業秘密を含み得るメールの件名がNAVERへ送信されている 前回の日記の件、あのようなサービス形態(サービス内容の説明の構造を含む)が偶然に誕生したとは考えにくい*1ことから、現場で早まって安易な(b)の選択をする*2のでなく、元々本来の設計は「モニタ登録」した場合だけ送信するはずのものでなかったのか*3、今一度ちゃんと経営の判断も含めて検討されるよう促せないかと思い、(サポートデスクへの伝言では心許ないので)前回の日記を書いたのであった。 しかし、結局、翌日のサポートデスクからの電話回答は、利用規約の文言を変更するというもの、つまり(b)が選択されたものであった。以下のように、28日の午後*4に「必ずご確認ください」という注意書きが加えられていた。 この対応について、Twitterでは、当該事業者(NHN Japan)の本件当事者と、永久不滅プラス利用者の反応が、それぞれ以下のように
高木浩光@自宅の日記 - 「個人情報」定義の弊害、とうとう地方公共団体にまで
■ 「個人情報」定義の弊害、とうとう地方公共団体にまで 現行個人情報保護法の「個人情報」の定義に不備があることを、これまでずっと書き続けてきた。「どの個人かが(住所氏名等により)特定されてさえいなければ個人情報ではない」(のだから何をやってもよい)とする考え方がまかり通ってしまいかねないという危機についてだ。 2003年からはRFIDタグ、2008年からはケータイIDによる名寄せの問題を中心に訴えてきたが、当時、新聞記者から説明を求められるたび、最後には「被害は出ているのでしょうか」と、問われたものだった。当時は悪用事例(不適切な事例)が見つかっておらず(表沙汰になるものがなく)、これが問題であるという認識は記者の胸中にまでしか届かなかった。 それが、昨年夏から急展開。スマホアプリの端末IDを用いた不適切事案が続々と出現し、それぞれそれがなぜ一線を越えているか説明に追われる日々になった。ス
高木浩光@自宅の日記 - ローソンと付き合うには友達を捨てる覚悟が必要
■ ローソンと付き合うには友達を捨てる覚悟が必要 当初3月末開始とされていた「LAWSON Wi-Fi」が、なぜか「当初の計画より事前テストに時間を要したため」として、遅れて4月6日から開始されたのだが、早速Twitterでこんな指摘が出ていた。 少なくともこういうのを「ログイン」と呼ぶのはやめて頂きたい。金融機関などでは、暗証番号に電話番号や誕生日を使うのをやめるよう利用者を啓発する活動にコストをかけてきたが、そうした労力を台無しにする。ローソンとしては、無料の無線LANを使わせるくらい、本人確認が甘くても自社の問題だから許されると思っているのだろうが、こういうやり方が社会に悪弊をもたらすことに気付いていないのか。 今回は、前回の日記で取り上げた「PASMOマイページ」の問題とは違って、「ログイン」で電話番号と誕生日を使用している。一般に、不正アクセス禁止法では、このような、IDと電話番
高木浩光@自宅の日記 - ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか
■ ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか SuicaやEdyの登場によって、カードに記載の番号が新たな問題をもたらすであろうことは、8年前に関心を持ち、何度か書いた。 Edyナンバーは易々と他人に知らせてよい番号なのか, 2004年2月29日の日記 Edyナンバーはどのように使われるものか, 2004年7月11日の日記 許諾なしに公表されるEdyナンバーとSuica番号, 2004年7月11日の日記 その後、EdyナンバーやSuicaのIDiは無闇に掲示されることはなくなり、問題は起きなかった。コンビニのam/pmがEdyを用いて独自に展開していた「club ap」でも、利用者登録にはam/pm店舗のレジで印刷してもらう「仮パスワード」を必要とするようになっており、まあ一応ちゃんと設計されていた。*1 ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。
高木浩光@自宅の日記 - Wi-FiのMACアドレスはもはや住所と考えるしかない
■ Wi-FiのMACアドレスはもはや住所と考えるしかない 目次 まえがき これまでの経緯 2つのMACアドレスで自宅の場所を特定される場合 SSIDに「_nomap」でオプトアウト? PlaceEngineはどうなった? まえがき 先週、以下の件が話題になった。 Greater choice for wireless access point owners, Official Google Blog, 2011年11月14日 Removing your Wi-Fi network from Google's map, CNET News, 2011年11月14日 グーグル、Wi-Fiネットワークの位置情報収集で対応策を公開, CNET Japan, 2011年11月16日 Google's WiFi Opt-Out Process Makes Users Navigate Technic
高木浩光@自宅の日記 - テレビ録画機「トルネ」の視聴ジャンルが無断公開されている
■ 何が個人情報なのか履き違えている日本 昨日の日記の件、みなさんからの声により、PlayStation 3をテレビ録画機にする製品「トルネ」についても同じ問題があり、どんなジャンルの番組をよく視聴しているかや、視聴時刻までもが公開状態になっていることが判明した。これについては後述する。 それより先に今言いたいのは、こういうことが起きるのは、何が「個人情報」なのかを、日本の事業者や行政がみんな揃って履き違えているためではないかということだ。 今回の件について、ソニーはこう釈明するかもしれない。「オンラインIDは個人情報に該当しない。オンラインIDに氏名などの個人情報を含めないよう登録画面で注意書きしている*1」と。しかしそういう問題でないのは明らかである。 日本の事業者はどこもかしこも、「個人情報」に該当しなければ何をやってもいいという誤った道に進み始めている。そして、日本の個人情報保護法
高木浩光@自宅の日記 - スパイウェア「app.tv」に係るミログ社の大嘘
■ スパイウェア「app.tv」に係るミログ社の大嘘 株式会社ミログが9月27日に提供開始した「AppLog」がスパイウェアまがいであるとして、朝日新聞10月5日朝刊に以下の記事が掲載された。 アプリ利用時間や回数丸わかり「アップログ」に批判, 朝日新聞2011年10月5日朝刊 AppLog: insidious spyware rolled out in Japan by Milog, Inc. *1, The Asahi Shimbun, 2011年10月5日 スマートフォンの利用者がどんなアプリ(ソフト)をいつ、何回使ったかを記録して好みを分析し、興味を引きそうな広告を配信する。そんなプログラムが現れ、インターネット上で批判を集めている。プログラムは電話帳など無関係に見えるアプリに組み込まれ、アプリ利用者への説明が十分ではないからだ。(略) 問題視されているのは、利用者に存在が見えに
高木浩光@自宅の日記 - ウイルス罪について法務省へ心からのお願いです
■ ウイルス罪について法務省へ心からのお願いです (時間切れなので完成度がいまいちのまま公開。後で書き直すかも。) ウイルス罪法案の国会答弁でバグ放置が提供罪に該当する事態は「ある」とされた件について、多くの疑問の声があがっている。ただ、その声の多くは、どんなバグでも罪になると誤解している様子がある。議員の質問では「重大なバグ」と、状況を限定して尋ねたものだった点に注意が必要である。「重大なバグ」とは、たとえば、電子計算機が動かなくなってしまうような、そういう破壊的な結果をもたらすものなどを指すのだろう。 そうすると、法務省は今回の不安の声に対応してこう釈明するかもしれない。「どんなバグでも犯罪になるわけではありません。法務大臣の答弁は、重大な結果をもたらす場合について述べたものです。通常のバグであれば、『不正な』に該当しないことから罪には該当しませんので、ご安心ください」と。続く国会の法
高木浩光@自宅の日記 - りぶらサポータークラブで岡崎図書館事件を考えるフォーラム
■ りぶらサポータークラブで岡崎図書館事件を考えるフォーラム 岡崎市立中央図書館のある建物「りぶら」には、図書館本体以外にも「市民活動総合支援センター」などがあり、「りぶらについて」には、「図書館交流プラザが出来上がるまでには、設計から管理運営の計画まで、多くの市民が関わっています。」と謳われている。そんな岡崎市で活躍されている市民団体の一つに「りぶらサポータークラブ」がある。そのりぶらサポータークラブの主催で、先々週の土曜日に「図書館未来企画フォーラム『ネット時代の情報拠点としての図書館』―― “Librahack” 事件から考える――」が開催され、私も講演者として参加してきた。 このときの様子は、朝日新聞三河版で次のように報道された。 図書館アクセスで起訴猶予 男性、被害届取り下げ求める, 朝日新聞三河版2010年12月19日朝刊 岡崎市立中央図書館のコンピューターシステムに問題があり
高木浩光@自宅の日記 - 逮捕時報道で疑問を挟めなかったメディアは一般紙だけではなかった 岡崎図書館事件(9)
■ 逮捕時報道で疑問を挟めなかったメディアは一般紙だけではなかった 岡崎図書館事件(9) このところ、公安資料Winny放流事件のこともあり、新聞社やテレビ局から何度か取材や問い合わせを頂く機会があったが、そういうなかで、記者から岡崎図書館事件のことについて触れられることもあり、新聞が最初の逮捕時報道で疑問を挟めずに警察発表をそのまま流したことを恥じ入るといった趣旨の言葉を頂くこともあった。 その一方で、「技術屋と法律屋の座談会(第2回)」で会場のフリーライターの方から「マスコミ報道が悪いと言われても、まあストレートニュースってそういうものよね」という発言が出たように、警察発表を短時間で記事にしていくという警察担当記者の日常作業からすれば、たしかにそんなものなのかもしれない。実際、警察がそういう発表をしたという事実は伝えられるべきであるし、もしあの報道がなければ、私たちはそういう逮捕事案が
固定IDは"デジタル化された顔"――プライバシー問題の勘所 - NIKKEI NET:IT-PLUS
固定IDは"デジタル化された顔"――プライバシー問題の勘所 - NIKKEI NET:IT-PLUS 高木 浩光 産業技術総合研究所 グリッド研究センター, 2003年4月22日 以下は、過去に it.nikkei.co.jp に掲載されていた私のコラムで、2010年4月の日経新聞社サイトの改編に伴って消失したため、日本経済新聞社の承諾を得て転載するものです。 転載元:http://it.nikkei.co.jp/it/njh/njh.cfm?i=20030421s2000s2 RFIDとプライバシーの議論が始まると、たいていこんな発言が出てくる。「接近しないと読み取れない程度のものなのだから、その場で何を所持しているか知られたからといって、気にするほどの問題ではない」、「IDは単なる番号であり、番号からは個人を特定できない」、「IDはこれまでも使ってきたし、店の会員証と違わない」――これ
高木浩光@自宅の日記 - かんたんログイン方式で漏洩事故が発生
■ かんたんログイン方式で漏洩事故が発生 ガラケーからiPhoneに乗り換えた人々が「ガラケーサイトが見れない!!」とご不満らしいという話は、聞いたことがあったし、そういう方々向けに「ガラケーサイトを閲覧できる」と謳うスマホ用の専用ソフトが提供されたというのも、どこかで見た記憶があった。 そんな10月9日の夜遅く、ある方から、「iPhone用のSBrowserというアプリで、クロネコヤマトのサイトを使ったら、知らない人の個人情報が出てきてびっくりした。どうしたらいいか」という相談が舞い込んできた。 早速、iTunes Appストアで「SBrowser」の商品説明ページを見に行ったところ、数々の雑言レビューが付いており(図1)、この種のアプリの需要とユーザ層が見えた。
高木浩光@自宅の日記 - 朝日新聞名古屋版「パスワード、管理会社員が解除」の記事
朝日新聞名古屋本社版2010年8月23日夕刊6面「パスワード、管理会社員が解除」 朝日新聞社データベース事業センターの許諾のもと転載(承認番号:2-1666) ※朝日新聞社に無断で転載することを禁止する このように、 ソフトの管理会社員が使い勝手をよくするため、外したという。(略) 同社は(略)個人情報の流出はなかったとしている。(略) 「複数の担当者が平行して作業するので、パスワードがない方が便利だと思った」と説明したという。 朝日新聞名古屋本社版2010年8月23日夕刊6面「HPパスワード、管理会社員が解除 九州の2図書館 改ざん可に」 とある。 このAnonymous FTPサイトは、その後(記事中の8月4日以後)Anonymous FTPサイトではなくなり、パスワードによるアクセス制御機能の付いたFTPサーバとなった。現在もインターネットから接続できる状態*1になっている。
高木浩光@自宅の日記 - 岡崎図書館事件(8) 警察組織に期待すること
■ 岡崎図書館事件(8) 警察組織に期待すること 最初に書いたように、逮捕報道の翌々日に岡崎署に電話したが、このときは、捜査中なので基本的に内容について答えて頂けない状況で、それはしかたがないので、報道向けの警察発表に問題があるのではないかということを述べた。つまり、それが犯罪であることを示す肝心の部分(故意が疑われる事実に関する情報)が報道向けに発表されていないことが、産業の発展に対して萎縮を招くとの意見を述べたところ、その趣旨は伝わったようで、「上層部で今後検討していかなければいけない」とのお返事を得た。 その後、不起訴処分となり、「はははー。何かあるんですね?」で私が想像していたような背景というのは結局何もなかったことがわかり、それは何だったのかを確認しようと思い、6月21日に再び岡崎署に電話してみたところ、5月に話してくださった方(O氏*1)は県警本部に戻っていて岡崎署にはもういな
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
