■ SoftBankガラケーの致命的な脆弱性がようやく解消 ソフトバンクモバイルのガラケーWebブラウザで、https:接続する際の仕様に変更があった。昨年10月に予告が発表され、元々は2月に実施される予定だったのが、6月30日に延期されていたもの。これまで、https:サイトへのリンクのすべてが https://secure.softbank.ne.jp/ 経由に書き換えられる仕様だったが、この機能が廃止された。 ソフトバンクモバイル、携帯サイトの仕様変更で注意喚起, ITmedia, 2011年6月30日 Yahoo! ケータイ、2011年2月に仕様変更 ユーザーとサイト開発者に注意喚起, ITmedia, 2010年10月15日 MOBILE CREATION - WEB & NETWORK SSL/TLS, ソフトバンクモバイル これは、昨年6月に、ソフトバンクモバイル宮川CTOに

■ ウイルス罪法案、バグ放置が提供罪に該当する事態は「ある」と法務省見解 いわゆる「ウイルス作成罪」の新設を含む刑法等改正法案の審議が、一昨日から始まっており、今日の午前中には、野党議員からのつっこんだ質疑があり、意外な答弁が出てきた。 第177回国会 衆議院法務委員会 平成23年5月25日 衆議院TV, 会議録 第177回国会 衆議院法務委員会 平成23年5月27日 衆議院TV, （会議録未公表） 特に注目に値するのは、今日の午前中の以下の部分。*1 大口善徳議員：（略）解釈上の疑義等問題点について明らかにしていきたいと思う。コンピュータウイルスについて、刑法168条の2に、1項1号でこのコンピュータウイルスの定義が書いてあるわけですが、「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」と、こういう定義であ

■ りぶらサポータークラブで岡崎図書館事件を考えるフォーラム 岡崎市立中央図書館のある建物「りぶら」には、図書館本体以外にも「市民活動総合支援センター」などがあり、「りぶらについて」には、「図書館交流プラザが出来上がるまでには、設計から管理運営の計画まで、多くの市民が関わっています。」と謳われている。そんな岡崎市で活躍されている市民団体の一つに「りぶらサポータークラブ」がある。そのりぶらサポータークラブの主催で、先々週の土曜日に「図書館未来企画フォーラム『ネット時代の情報拠点としての図書館』―― “Librahack” 事件から考える――」が開催され、私も講演者として参加してきた。 このときの様子は、朝日新聞三河版で次のように報道された。 図書館アクセスで起訴猶予 男性、被害届取り下げ求める, 朝日新聞三河版2010年12月19日朝刊 岡崎市立中央図書館のコンピューターシステムに問題があり

■ 検察は何を根拠に犯罪と判断したか 岡崎図書館事件(14) 中川氏が、自分がなぜ起訴猶予に（嫌疑なしでなく）されたのか、10月に検察庁に聞きに行ってきたとのことで、librahack.jp にその報告が出た。 検察庁で聞いてきました, Librahack:容疑者から見た岡崎図書館事件, 2010年12月17日 故意を認定した理由はこういうことのようです。 コンピュータに詳しい技術者なので、リクエストを大量に送りつけたら、図書館のサーバに影響が出ることを予想できた。事実、まったく予想しなかった訳ではなく、少しは影響が出ることを予想していたはずだ。それなのに、リクエストを大量に送りつけたので、「故意があった」ものと判断した。 「なぜ嫌疑不十分ではなく、起訴猶予としたか？」と問い質したの対し、検察は、 影響が出ることをまったく予想しなかった訳ではなかったから。 と回答。さらに「それは過失になり

■ やはり起きていた刑事的萎縮効果による技術停滞 岡崎図書館事件(13) 12月12日の夕方、Twitterの#librahack界隈で以下のサイトが発掘された。 杉並区立図書館 新着図書 更新情報 （非公式）, http://www.naotaka.com/library/ 更新停止のお知らせ 突然ですが、2010年6月22日をもちまして、「杉並区立図書館 新着図書 更新情報 （非公式）」の更新を停止させていただきます。 当ページをご利用の皆様にはご迷惑をおかけしますが、ご理解のほど、よろしくお願いいたします。 6月22日といえば、librahack.jp が公開された翌々日だ。東京の杉並区立図書館といえば、使われている図書館システムは三菱電機ISのMELIL/CS（新型）だ。 このサイトの公開された当時に書かれたサービス説明が、以下にある。 杉並区立図書館の、「その日の新着図書」がわか

■ 警察と検察と裁判所で何があったか 岡崎図書館事件(2の1) 6月20日のこと、Twitterで @librahack から言及された。見に行ってみると http://librahack.jp/ というサイトが出現していた。なんと、岡崎図書館事件で逮捕された方は不起訴処分になっていた。@librahack からフォローされていたのでダイレクトメッセージで連絡が欲しいとコンタクト。メールで何があったのか事実関係を聞かせてほしいとお願いしたところ、数日後、ご本人からのメールが到着した。 当時の中川氏は、警察にまだ何されるかわからないと恐れている様子だった。起訴猶予処分だから今後起訴される可能性も残っていると思っていたようで、ご家族への配慮や業務への影響から、「正直あまり警察を刺激したくない」とのことだった。それでも、http://librahack.jp/ を立ち上げたのは、「問題点を電話し

朝日新聞名古屋本社版2010年12月1日朝刊30面「逮捕の男性に業者側が謝罪 岡崎図書館問題「不便かけた」」 朝日新聞社データベース事業センターの許諾のもと転載（承認番号：2-2096） ※朝日新聞社に無断で転載することを禁止する また、日経新聞は「図書館システムに不具合」の見出しで、次のように報じている。 （略） 岡崎市の図書館では今年３〜５月にシステム障害も発生。これを巡り、自作の検索プログラムで繰り返しアクセスした愛知県の男性が、「サイバー攻撃」と誤解され、愛知県警に業務妨害容疑で逮捕され、その後起訴猶予処分となった。同社はこの件も「システム仕様が原因だった」とした。 男性は新着図書情報を取得するためアクセスしただけだった。同社は当初、「システムに問題はない」と市側に説明していた。門脇三雄社長は「対応が早ければ（男性に）不快な思いをさせることはなかった。誠意をもって対応したい」と謝罪

■ 三菱電機ISに求められているものは何か 岡崎図書館事件(10) 今日の読売新聞朝刊社会面に次の記事が出ていた。 図書館システム不具合…三菱電機系 情報流出・蔵書検索が「サイバー攻撃」か？, 読売新聞2010年11月29日朝刊社会面 図書館利用者100人以上の個人情報が流出したほか、蔵書を検索しただけで「サイバー攻撃」と誤解された男性が偽計業務妨害容疑で逮捕され、その後、システムに原因があったことも分かった。同社は近く調査結果を公表し、関係者に謝罪する。 （略）MDISは06年には不具合を改良し、その後に納入した図書館には改良版を提供していたが、今回、岡崎市から障害の相談を受けた際には「システムに原因はない」と回答。このため図書館は警察に被害届を出していた。MDISは「保守担当者がシステムをよく理解していなかった」として、逮捕された男性への謝罪の意を表明する方針。 三菱電機ISが近く発表

■ かんたんログイン方式で漏洩事故が発生 ガラケーからiPhoneに乗り換えた人々が「ガラケーサイトが見れない!!」とご不満らしいという話は、聞いたことがあったし、そういう方々向けに「ガラケーサイトを閲覧できる」と謳うスマホ用の専用ソフトが提供されたというのも、どこかで見た記憶があった。 そんな10月9日の夜遅く、ある方から、「iPhone用のSBrowserというアプリで、クロネコヤマトのサイトを使ったら、知らない人の個人情報が出てきてびっくりした。どうしたらいいか」という相談が舞い込んできた。 早速、iTunes Appストアで「SBrowser」の商品説明ページを見に行ったところ、数々の雑言レビューが付いており（図1）、この種のアプリの需要とユーザ層が見えた。

■ 三菱電機IS曰く「2005年に想定した設計・構築、製品に欠陥とは考えていない」 8月11日の日記に書いた件がその後どうなったか確認してみた。 いくつかの図書館では、/robots.txt が修正されたことにより、検索サイトで正常に閲覧できるようになった。 以前は、8月11日の日記に書いたように、三菱電機ISの図書館システム採用の図書館の多くが、/robots.txt によってすべてのクローラを排除していたため、図1の「ビフォー」のように異常な検索結果になっていた。 なぜそんな設定をしていたのかは、このシステムでは以前からアクセス障害が発生していたためであり、朝日新聞が次のように伝えている。 ソフト会社、図書館側に不具合伝えず アクセス障害問題, 朝日新聞, 2010年8月21日 MDISは06年、不具合を解消した新ソフトを開発。東京都渋谷区など全国約45カ所に納入した。しかし、一部では

朝日新聞名古屋本社版2010年8月23日夕刊6面「パスワード、管理会社員が解除」 朝日新聞社データベース事業センターの許諾のもと転載（承認番号：2-1666） ※朝日新聞社に無断で転載することを禁止する このように、 ソフトの管理会社員が使い勝手をよくするため、外したという。（略） 同社は（略）個人情報の流出はなかったとしている。（略） 「複数の担当者が平行して作業するので、パスワードがない方が便利だと思った」と説明したという。 朝日新聞名古屋本社版2010年8月23日夕刊6面「HPパスワード、管理会社員が解除 九州の2図書館 改ざん可に」 とある。 このAnonymous FTPサイトは、その後（記事中の8月4日以後）Anonymous FTPサイトではなくなり、パスワードによるアクセス制御機能の付いたFTPサーバとなった。現在もインターネットから接続できる状態*1になっている。

■ Macっ娘ならオートメータ君つかいたおすわよね iPhoneといっしょにMacに乗り換える子が多いみたい。Mac買ったらまず開くのは「アプリケーション」フォルダなんだけど、左隅にいるちょっと気になるロボット君、「Automator」君っていうんだけど、知ってた？

■ Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6) もしや三菱電機ISのシステムはフリーソフトを使っていたりはしないかと、「WwKensaku.aspx」でググってみたところ（図1）、そこに現れたのは、 Anonymous FTPサイト専門の検索サイトだった*1。そこでさらに「WwKensaku.aspx」で検索してみると、なんとそこに現れたリンク先は ftp://210.230.245.201/ （図2）、このリンクをクリックすると図3の画面が現れた。

■ 国会図書館の施策で全国の公共機関のWebサイトが消滅する 岡崎図書館事件(5) 平成22年4月1日施行の改正国立国会図書館法に基づき、国立国会図書館が、国・地方公共団体等の公共機関を対象に、インターネット上で公開されている資料のWebクローラによる収集を開始したという。その説明資料によると、クローラのアクセス間隔の基準は「1秒以上」だという。中野区立図書館の場合、/robots.txt が置かれておらず、セッションタイムアウトは実測で600秒*1であることから、1秒間隔でクローラが来ると*2、散発的につながらない状態がしばしば発生すると思われる。 目次 /robots.txtで自ら姿を隠す公共図書館 国立国会図書館法第25条の3第2項に違反 国会図書館が公共機関のWebサイトを消滅させる虞れ /robots.txtで自ら姿を隠す公共図書館 中野区立図書館や岡崎市立中央図書館は、三菱電機

■ 今こそケータイID問題の解決に向けて 目次 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 Web開発技術者向けの講演でお話ししたこと 研究者向けの講演、消費者団体向けの講演でお話ししたこと 総務省がパブリックコメント募集中 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 6月初めのこと、ソフトバンクモバイルが「電波チェッカー」というiPhoneアプリを直々に開発して、iTunesストアで配布を始めたというニュースがあったのだが、それを伝えるITmediaの記事で、「取得された電波状況情報はiPhoneのUDIDとともにソフトバンクモバイルに報告される」と書かれているのが気になった。*1 「電波チェッカー」で検索して世間の反応を探ったところ、ソフトバンクモバイル社のCTO（最高技術責任者）の方が、Twitterで直々に市民と対話な

■ 「VeriSignシール」という幻想 オレオレ証明書ではないSSLサーバ証明書は、2つの独立した機能を果たしていると言える。1つ目は、SSLプロトコルによるサーバとクライアント間の暗号化通信のために不可欠な役割であり、2つ目は当該サイト運営者の実在証明の機能である。ただし、今日では、後者を含まない、前者だけのサーバ証明書もある。 後者の実在証明は、かつては認証局サービスを提供する各事業者がそれぞれの独自の基準で、サイト運営者の実在性を確認、認証していたが、それでは利用者にわかりにくいことから、認証の際の実在性確認の方法が標準化され、誕生したのがEV SSLであった。 その結果、VeriSignなど、古くから実在証明に力を入れていた認証局サービスでは、EVのものとEVでない実在証明付きサーバ証明書の2種類が存在することとなった。VeriSignでは、EV証明書の提供開始後も、EVでない実

■ クッキー食えないのはドコモだけ ろくに安全な作り方も確立していないくせになぜかやたら蔓延ってしまった「簡単ログイン」。そもそもUI設計からしておかしい。ボタンを押せば入れるなら、ボタンがある意味がない*1。ログアウト不可能な常時ログインサイトだ。（それなのに「ログアウト」ボタンがあったりする。） 「そんなこと言ったって便利だから必要なんだ」とか、「ケータイでパスワードなんか入れてられない」だとか、「お客さんが付けてくれって言ったら俺たちIT土方には何も助言なんてできないんだ」とか言う人が出てくるわけだが、そんなのは、一般のインターネットのサイトだって、昔から「□ 次回から自動的にログイン 」とか「□ 次回から入力を省略」といったチェックボックスが普通に用意されている。amazon.comなんか大昔からログインしっぱなしだ。 そしてそれはcookieによって実現されてきた。個人識別番号な

■ 先週からEZ番号の変更が不可能にされていた KDDI社員の方からタレコミがあった。 従来、EZ番号は、EZオプションを廃止して再加入すると新たな番号が付与されるようになっていたのだが、5月10日から、同じ個人には同じEZ番号を継続して付与するよう、システム変更があったという。その意図は、「EZ番号変更による問題行為の防止」だという。電話番号を変更してもEZ番号は変わらないようになったという。 エンドユーザのプライバシーにかかわる仕様変更であるにもかかわらず、プレスリリース等を出さずこっそり変更していることから、私から注意喚起をしてほしいとのことだった。 この情報は、とくに隠されているものではなく、聞かれたら答えられるよう各種窓口に周知されているものだそうで、以下のチラシが店頭掲示用として配布されているようだ。 KDDIのこの措置が誰の要求に応じたものなのかは知らない。 ２ちゃんねるを調

■ 「ライフログ活用サービス」という欺瞞 実は、今年3月、総務省の「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」からは、有識者ヒアリングとして意見を述べる機会を頂いた。ただし、私に発言の機会が与えられたのは、「ライフログWG」における検討内容のうち、「より信頼されるサービスに向けて(配慮原則の提言)」の部分についてのみで、それ以外の部分については対象外だった。 あまり重大な指摘をする余地のない部分であったが、私としては与えられた使命を全うすべく可能な限り改善点を洗い出して、意見として列挙した。 この「配慮原則の提言」は、報告書案では「ライフログ活用サービス」という表現を使っているが、実質的には、これはすべて「行動ターゲティング広告」を対象としたものになっている。「ライフログ活用サービス」というと、利用者が自ら望んで活用する話に聞こえるが、行動ターゲティング広告では、基本的

■ KDDIの固体バカが言う「EZ番号はプライバシーに関する情報ではない」 これまで、契約者固有ID（サブスクライバID）について、それ単体では「個人情報」（日本の個人情報保護法が言う）に該当しないという法解釈は存在した。それは、個人情報保護法がそういう法律だから（プライバシー保護の法律じゃないから）そういうものだという話*1だった。それでも、4月3日の日記にも書いたように、ウィルコムからは、「CPに対しても個人情報保護法に従った慎重な取扱いを求めています」という回答を得ていた。 ところが、auのKDDIが、以下のQ&Aを掲載していることに気づいた。 EZ番号（固体識別番号）を変更したい。, auお客様サポート よくあるご質問 「EZ番号」（固体識別番号）はau電話ごとに割り振られており、変更することができません。 ■EZ番号はお客さまがURLにアクセスした際にサイト提供元のサーバに通知さ