アドテクとパーソナルデータとプロファイリングと : 企業法務マンサバイバル
2014年09月18日07:00 アドテクとパーソナルデータとプロファイリングと カテゴリ法務_情報法務 businesslaw Comment(0) アドテクとパーソナルデータについての勉強会に出席。 いわゆる“クッキー(cookie)”が、ネット広告エコシステムの中で広告主/広告メディア/エンドユーザーの間をどのように流通し取り扱われているかについて、過去アドテク企業で働いたご経験をお持ちの法務パーソンから、お話を伺いました。その勉強会のお話の中で、特に私が興味を抱いたのがこの図(発表者の方に掲載許可を頂きました。ありがとうございます)。 ネット広告エコシステムの中には、ネット上の様々なサーバーに蓄積されたビッグデータやサイトのログデータなどを一元管理・分析し広告配信の最適化を実現するDMP(Data Management Platform)という存在がいます。そして、このDMPに対し
ビッグデータ時代の個人情報保護法改正のあり方
2014年7月7日開催 OpenID BizDay #7 「どう変わる? 個人情報保護法改正とビッグデータ/パーソナルデータ活用ビジネス」 鈴木正朝様ご講演資料 http://www.openid.or.jp/news/2014/06/bizday-7.htmlRead less
マイクロアド社の広告配信ネットワークを通じて偽Flash Player更新サイトへ誘導された件をまとめてみた。 - piyolog
2014年6月19日未明よりニコニコ動画や2ちゃんねるまとめサイトで確認されていた偽Flash Playerの更新サイトへ誘導される事象に関する情報をまとめます。尚、この問題が確認された当初Yahoo!JapanのYahoo!プロモーション広告が原因であると騒がれていましたが、MicroAd社の広告配信サービスを経由して米国から行われた広告配信が原因であったことが同社の発表から明らかになりました。 (1) 公式発表 MicroAd 悪意のあるサイトへ誘導される広告表示に関して 広告配信障害に関するプレスリリースの追記に関して ドワンゴ マイクロアド社広告経由のマルウェアについて (2) 被害状況 MicroAdの広告配信サービス「MicroAd AdFunnel」を使用しているWebサイトにおいて、Flash Playerの更新を偽装した悪性なソフトウェアの配布が行われた可能性がある。 M
ニコニコ動画のニセFlashPlayer広告の原因はマイクロアド、悪質マルウェア配布の手口はこうなっている
「このページは表示できません! Flash Playerの最新バージョンへのアップデート!」というようにしてあたかもFlashPlayerを更新しなければならないかのように見せかけて、まったく関係のない悪質なソフトウェア(マルウェア)をインストールさせようとする広告が6月19日(木)からニコニコ動画で表示されるようになって大騒ぎになっていた件について、原因がマイクロアド社の広告ネットワークから配信される広告スクリプトであったことが発表されました。 マイクロアド社広告経由のマルウェアについて‐ニコニコインフォ http://blog.nicovideo.jp/niconews/ni046930.html 調査の結果、マイクロアド社の広告ネットワークから配信される 広告に埋め込まれたスクリプトにより表示されているものであったため、 マイクロアド社への連絡を行うとともに、 6月19日(木)正午ま
ビッグデータ「同意なしで提供も可能に」 NHKニュース
プライバシーに配慮しながらビッグデータの活用を進めていくためのルールを盛り込んだ「個人情報保護法」の改正を目指している政府の検討会は、「個人が特定されないようにデータを加工した場合は本人の同意を得なくても第三者に提供できる」などとした大綱の原案をまとめました。 商品の購入履歴や位置情報などのビッグデータは、新たな産業の創出につながると期待される一方、ほかの情報と組み合わせることで個人が特定されるおそれもあり、企業が活用に慎重になっています。 このため政府の検討会は、プライバシーに配慮しながら活用を進めるためのルールを盛り込んだ個人情報保護法の改正に向け検討してきました。 まず、今の「個人情報保護法」では、企業などが集めたデータをさらに別の企業など第三者に提供する場合、本人の同意を得ることが義務づけられていますが、大綱の原案では、企業の負担などを考慮して「個人が特定されないようデータを加工し
「忘れられる権利」とグーグル:プライバシーは誰が守るのか
ネット上に残る過去のプライバシー情報の削除を要請できる「忘れられる権利」。グーグルは、欧州連合(EU)最高裁にあたる司法裁判所が、この権利を正面から認める判決を出してからわずか17日で、「忘れられる権利」専用の削除申請ページを開設するという、同社としては異例のスピード対応ぶりを見せた。 判決以降、すでに数千件にのぼる削除申請が出ているといい、グーグルが一つひとつ審査を行い、削除基準に合致するものについては、6月半ば以降に削除を実施していくという。 ただここで、疑問も浮かんでいる。 そもそもプライバシーは、誰が責任を持って守るのか、ということだ。 グーグルCEOのラリー・ペイジさんは、英フィナンシャル・タイムズのインタビューで、こんなことを話している。 データは、グーグルのような民間企業が持っている方が、データ取得の適正手続き(デュープロセス)もない政府が持っているよりもずっといい…私たちに
とある診断員とSQLインジェクション
7. 通常のWebサーバとの通信 <html> <body> <form action=“register” method=“POST”> 氏名:vultest<BR> メールアドレス:vultest@example.jp<BR> 性別:男<BR> (以下略) </html> POST /confirm.php HTTP/1.1 Host: example.jp (以下略) Cookie: PHPSESSID=xxxxxxxxxx name=vultest&mail=vultest%40example.jp&gender=1 HTTP Response HTTP Request 8. 色々いじってみてどういう応答があるか確認 POST /confirm.php HTTP/1.1 Host: example.jp (以下略) Cookie: PHPSESSID=xxxxxxxxxx name
高木浩光@自宅の日記 - 現行法の理解(パーソナルデータ保護法制の行方 その2)
■ 現行法の理解(パーソナルデータ保護法制の行方 その2) この議論に参加するには現行法の理解が欠かせない。私も半年前にようやく理解したばかりであり、一部は論文として書いていた*1ところ、一般向けには、図を用いるなどしてプライバシーフリーク・カフェの動画コンテンツで提供したかったところだが、悠長にやっている場合ではなく、今すぐ全ての人が知るべきだと思うので、とりあえず取り急ぎ*2ほとんど文章だけで。以下、行政機関個人情報保護法や情報公開法と対比しながら、個人情報保護法の民間部門の第三者提供の制限について考える。 1. 個人に関する情報 まず最初に、先日の第1回「プライバシーフリーク・カフェ」(前編)の様子をまとめた「「個人を特定する情報が個人情報である」と信じているすべての方へ」を踏まえておかないといけない。ここは基礎の基礎であり、これを間違えていると全部が吹っ飛んでしまう。「個人を特定す
高木浩光@自宅の日記 - 緊急起稿 パーソナルデータ保護法制の行方 その1
■ 緊急起稿 パーソナルデータ保護法制の行方 その1 昨年7月からブログには書かないことにしていた*1が、緊急事態であるので、政府のパーソナルデータ保護法制(個人情報保護法改正)の議論の状況についてに書いておきたい。本当は論文や講演の形で示していくつもりだったが、それでは間に合わない状況が発生中であるので、周知の目的で取り急ぎかいつまんで書く。副政府CIOの向井治紀内閣審議官とお話ししたところ、「ブログに書いたらエエやないですか。どんどん書いてください。」とのことであったので、それ自体書くことを含めて許可を得たところで書くものである。 先週、IT総合戦略本部の「パーソナルデータに関する検討会」の第7回会合が開かれ、「定義と義務」についての事務局案が示された。資料が公開されている。事務局案は、これまでの「個人情報」についての定義と義務は変更しないものとし、新たに「準個人情報」と「個人特定性低
知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法
知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法:HTML5時代の「新しいセキュリティ・エチケット」(3)(1/2 ページ) 連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。前回は、同一オリジンポリシーを突破する攻撃の代表的事例であるXSSについて、特にDOM based XSSと呼ばれるものについて解説しました。今回はその続きとして、XMLHttpRequestによるXSSを解説します。 XHR Level 2によるリモートからのコード挿入によるXSS 従来、XMLHttpRequest(以下、XHR)は、表示しているドキュメントと同じオリジン(オリジンについては第1回を参照)としか通信できませんでしたが、現在の主要なブラウザーではXHR Level 2と呼ばれる実装により、オリジンを超えて通信することが可能になっています。 これは、Jav
さくらのVPSに来る悪い人を観察する その2
さくらのVPSにアタックしてくる人たちを、ハニーポットなど使いながらその行動を観察した記録です。観察日記。 今回のネタは以下2つです。 *SSH honeypot(Kippo)を使った悪い人の行動観察、アンケート */cgi-bin/php (Apache Magica攻撃)の観察 なおこのスライドは、2013年12月7日のSecurity Casual Talks(すみだセキュリティ勉強会)での発表資料です。 http://ozuma.sakura.ne.jp/sumida/ またスライド中、動画は以下のURLで閲覧できます http://youtu.be/gp3SBjZNWHURead less
さくらのVPSに来た攻撃観察記
1. さくらのVPSに来た、いろ いろアタック観察記 さくらのVPSに来たいろいろアタック観察記 (@ozuma5119) 1 "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 318 "-" "ZmEu" "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 200 748 "-" "ZmEu" "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 305 "-" "ZmEu" "GET /pma/scripts/setup.php HTTP/1.1" 404 298 "-" "ZmEu" 66.160.128.164 - - [31/Jul/2013:18:46:17 +0900] "POST /%70%68%70%70%61%74%
高木浩光@自宅の日記 - 目次を作成した
データプライバシー パーソナルデータ RFID(ICタグ/Wi-Fi/Bluetooth) 契約者・端末固有ID(ケータイID) IPv6 ストリートビュー Webビーコン スパイソフト プライバシーポリシー 行動ターゲティング 情報セキュリティ UDID/かんたんログイン Phishing(フィッシング詐欺) PKI(オレオレ証明書) SSL/HTTPS 電子政府 愚かな設定指示 脆弱性対応 サニタイジング Webセキュリティ ICカード(Edy/Suica/PASMO) ドメイン名 CAPTCHA FUD その他のセキュリティ 刑事刑法/行政刑法 不正指令電磁的記録に関する罪 岡崎図書館事件 不正アクセス禁止法 Winny 単純所持罪 通信の秘密 誤認逮捕 話題対象別 携帯電話 無線LAN Tポイント グーグル アマゾン ウイルスバスター プレイステーション 武雄市 はてな その他 無
入力情報を送信するIME
2013/12/26 コース:元祖こってり 「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。 入力情報を送信するIME IMEの通信解析で利用されたSSLの解析技術に関して NHKなどで報道されている、パソコン用の日本語入力ソフトBaidu IME、 Android用の日本語入力ソフト Simejiの送信データを解析した件に関して詳細をご説明します。 検証解析環境 <SSLによる暗号化通信を解析できる環境> 解析の結果、日本語入力の文字列が、SSLで暗号化され送信されていることがわかりました。 Baidu IME , Simejiでは、全角入力の場合のみ情報が送信されています。 クラウド入力Offの場合でも入力文字列を送信していました。 パスワードなど半角入力のみ
ビッグデータ活用のために法改正へ 欧米企業参入への対応も論点に
膨大な個人情報が含まれる「ビッグデータ」について、匿名性が高い情報であれば、本人の同意がなくても第三者に提供できるようにするよう、政府は個人情報保護法の改正を進めるとした。ビジネスで積極的に活用できるようにするためだ。NHKニュースが報じている。 「ビッグデータ」は、ホームページの閲覧履歴や携帯電話の位置情報など、インターネット上などに蓄積された膨大な電子情報で、本人に無断で第三者に提供することは個人情報保護法で禁じられています。 こうしたなか、政府のIT総合戦略本部は、「ビッグデータ」をビジネスに利用する動きが広がっていることから、より活用しやすい環境を整備するため、個人が特定されないよう処理した匿名性の高いデータは、本人の同意がなくても第三者に提供できるよう制度を見直す方針を決めました。 (NHKニュース「政府 ビッグデータ活用で法改正へ NHKニュース」より 2013/12/23 0
Androidの脆弱性を見つけちゃった話
JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性 が公表されました。 不肖私が昨年9月にIPAに届け出たものです。 これまでは情報非開示依頼があったので多くを語ることができませんでした。 ヤバい内容なのでみんなに注意喚起したかったけれどそれができない苦しさ。 周りでICS端末を使ってる人を見かけたら「事情は言えないけどブラウザにはChromeを使って。標準ブラウザ使わないで」と言うくらいしかできなくて申し訳ありませんでしたm(_ _)m 当時のいきさつを日記から掘り起こして記録に残しておきたいと思います。 2012年9月15日(土) WebViewを使ったビジネスアプリのフレームワークを作りたいという構想があって(PhoneGapにはないビジネス用の固有の機能を入れようと思って。バーコードリーダーとか印刷機能とか)、そういえば addJ
TakagiHiromitsu氏総務省のリスト型アカウントハッキング対策について指摘する
残念な形(17) @zannenform はい。専門家の皆さん、総務省にそう言ってやってください。 / “管理者パスワードは定期変更ではなく、ルールを決める | 水無月ばけらのえび日記” http://t.co/51dLoZd0 2012-02-12 23:26:20 徳丸 浩 @ockeghem 総務省に言っても無駄で、総務省の集めた先生方に言わないといけないと思います。ぜひ言いたいですね RT @zannenform: はい。専門家の皆さん、総務省にそう言ってやってください。 / “管理者パスワードは定期変更ではなく、ルールを” http://t.co/XfQpaVnV 2012-02-12 23:48:52
単純ではない、最新「クロスサイトスクリプティング」事情
単純ではない、最新「クロスサイトスクリプティング」事情:HTML5時代の「新しいセキュリティ・エチケット」(2)(1/3 ページ) 連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。第1回目は、Webアプリケーションセキュリティの境界条件であるオリジンという概念について説明しました。 現在のWebブラウザーでは、同一オリジンのリソースは同じ保護範囲にあるものとし、オリジンを超えたアクセスについてはリソースの提供元が明示的に許可しない限りはアクセスできないという、「同一オリジンポリシー(Same-Origin Policy)」に従ってリソースを保護しています。 その保護範囲であるオリジンを超え、リソースにアクセスする攻撃の代表事例であるクロスサイトスクリプティング(XSS)について、今回、および次回の2回に分け、HTML5においてより高度化された攻撃と、その対策を説明しま
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OSセキュリティチュートリアル
SECCON2013 slide
