はじめに yumetodo.hateblo.jp の記事を書いたyumetodoです。やっぱりGPKIよくわかってません(ぇ。 結論 自前認証局によるGPKIは安らかな眠りにつきそうです。 セコムトラストシステムズさん、あとは任せた。 2月のGPKI騒動は結局何だったか 上の記事を書いたのが2月のことです。 2018年3月1日木曜日 1時15分06秒 UTC+9 Elic Mill So, to be clear, you would only revoke misissued certificates if required to do so by Mozilla -- not because they represent control failures, or in order to demonstrate to other root programs your CA's respo
Hiromitsu Takagi @HiromitsuTakagi これはしょうがない。緊急時なのだし(情報漏洩が起きるわけでない限り)このままいくしかない。ただ、こういう事実があることは周知されていた方がよい。 dot.asahi.com/dot/2021051700… Hiromitsu Takagi @HiromitsuTakagi 識別符号(アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号≒パスワード)がないので、不正アクセス禁止法が禁ずる行為には当たらないが、虚偽内容で予約するのは、人の事務処理を誤らせる目的で行えば電磁的記録不正作出・供用罪。 twitter.com/yasushia/statu…
前回、運転免許証記載情報の真正性を確認する方法を紹介しました。 パスポートにも免許証と同様にICチップが埋め込まれており、海外渡航時の入国審査では本物のパスポートかどうかチェックが行われています。 不動産取引や民間サービスの本人確認業務でも、同じ方法でICチップの確認を行えば身分証偽造による詐欺行為を防ぐことができます。 今回パスポートのICチップにアクセスして真正性を確認するAndroidアプリをつくったのでその仕組みを紹介します。 目次 電子パスポート仕様パスポートは世界で通用する身分証明書です。 それぞれの国が独自仕様のパスポートを発行すると大変なので、 国際民間航空機関(以下ICAO)がICチップの技術仕様を標準化し、各国のシステムで相互運用できるようになっています。 ICAOはDoc 9303 Machine Readable Travel Documents(機械可読な旅券)と
FirefoxはGPKI(政府による公開鍵基盤)に対応しておらず、一部政府系サイトの閲覧時に警告が表示されることが以前から問題となっている(過去記事)。この問題を解決できるよう活動は行われているものの、この状況が改善することはまだしばらくないようだ(IIJ 大津繁樹氏によるTweet、「yumetodoの旅とプログラミングとかの記録」ブログ、Bugzillaでの議論)。 Bugzillaではこの問題に対するステータスが2月27日に「WONTFIX」(修正予定無し)へと変更されている。長い議論となっているが、証明書を発行する認証局に対する基本要件(Baseline Requirements、BR)に準拠していない時期に発行された証明書がまだ有効なままで残っているのが非対応の理由となっている。 この問題がWONTFIXとなったことを受けて、GPKI側は問題のある証明書を無効化する準備をしている
はじめに 煽っておいてすみません。ぶっちゃけGPKIよくわかってないです。 一応 GPKIとはなにか? - IT digitalforensic.jp の内容が理解できる程度にはわかっているつもりですが。 前提知識 誰がどんな立場にいるかわからんと全くわからんと思うので CA/Policy Participants - MozillaWiki 問題 アプリケーション認証局2(Sub) | 政府認証基盤(GPKI)のホームページ にもあるように、 https://www.gpki.go.jp/selfcert/finger_print.html にアクセスしようとすると のようにルート証明書が信用できんといわれるんですね。 それで、ルート証明書を信用してくれるように mozilla.dev.security.policy › Japan GPKI Root Renewal Request (
「情報流出した基礎年金番号は、2015年9月から新しい番号に変更します――」。 日本年金機構が、年金情報流出問題に際して2015年6月に公表した対策を聞いて、私はあれ?と意外に思った。基礎年金番号って、他人に見せてはならない「秘密の番号」だったっけ、と。 実はこの点に、2015年10月から配布されるマイナンバーの運用にも関わる、年金情報流出問題が明らかにした課題が隠されている。 見える番号なのに、秘密にすべき? 公的機関や民間企業が個人に割り振る番号の中には、一部の人や企業と番号を共有する「見える番号」でありながら、むやみに公表するのが望ましくない「秘密の番号」とみなされているという、相矛盾した性質を持つものがある。 例えばクレジットカード番号は、氏名、有効期限と共に人の手に渡れば、通販サイトによってはカードの持ち主になりすまして買い物ができてしまう。カードを紛失して再発行する際は、新しい
「利用者は、自分(納税者)がトヨタファイナンスに納付を委託するのだということをちゃんと理解した方がよい」というお話。
■ eLTAXに反省なし 誤りを認めない告知文の捻出に3か月を費やしその間利用者を危険に晒す 3月14日の日記「治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ」から3か月近く経った今日、eLTAXが注意喚起を出しているとの情報が入り、なぜ今頃になって再び注意喚起をするのだろうかと首を傾げた。 3ヶ月前の高木さんのblogの「署名済みActiveXコントロールのダウンロードを有効にする」eLTAXの件で、問題の対策して今日利用者向けにお知らせしているようです。https://t.co/Qk37l9cRMkhttps://t.co/epQvcdKiu5 — あさくら (@AkioAkioasakura) 2016年6月3日 よく見てみれば、あれ以来、何ら注意喚起を出していなかったのだ。つまり、これは再度の注意喚起などではなく、3か月経ってこれが初の「お
■ 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ ここ数年、不正送金の被害がインターネットバンキングの法人口座で急増しているという*1。その原因は今更言うまでもなく、Java実行環境(JRE)やAdobe製品の古いバージョンの脆弱性を突いてくるマルウェアである。しかしそれにしても、法人口座を扱うパソコンがなぜ、Java実行環境やAdobe製品をインストールしているのだろうか。インストールしなければ被害も起きないのに……。 その謎を解く鍵が、eLTAX(地方税ポータルシステム)にあるようだ。eLTAXでは、インターネットバンキングの口座を用いた納税ができることから、インターネットバンキング用のパソコンでeLTAXの利用環境も整えるということが普通になっていると思われる。そのeLTAXが、昨日までは、Java実行環境のインストールを強要していた。eL
2015年6月1日、職員PCがマルウェアに感染したことにより、情報漏えいが発生したことを日本年金機構が発表しました。ここでは関連情報をまとめます。 公式発表 日本年金機構 2015年6月1日 (PDF) 日本年金機構の個人情報流出について 2015年6月3日 (PDF) 個人情報流出のお詫び - 日本年金機構 理事長 水島藤一郎 (平成27年6月2日) 2015年6月3日 (PDF) 個人情報流出の報道発表を悪用した不審な電話等にご注意ください! 2015年6月3日 (PDF) 日本年金機構の個人情報が流出したお客様へのお詫びについて 2015年6月6日 (PDF) 日本年金機構ホームページの一時停止について 2015年6月8日 (PDF) 日本年金機構ホームページの暫定対応について 2015年6月22日 (PDF) 日本年金機構の個人情報が流出したお客様へのお詫びについて 2015年6月
企業や自治体などで広く使われているサーバーの基本ソフト、「ウィンドウズサーバー2003」のサポートがことし7月に打ち切られます。 しかし、全国の都道府県庁の7割近くで更新が間に合わない見込みであることが分かり、専門家は、サイバー攻撃の被害を防ぐため早急な対策を呼びかけています。 今から12年前の平成15年に発売された「ウィンドウズサーバー2003」は、企業や自治体などで業務用のソフトを動かしたり、文書の保存を行ったりする「サーバー」と呼ばれるコンピューターで広く使われてきました。 この基本ソフトについて、メーカーのマイクロソフトは、日本時間のことし7月15日でサポートを打ち切ることを決めていて、総務省は先月、全国の自治体に注意を呼びかけていました。 ところが、NHKが全国のすべての都道府県庁を取材したところ、全体の7割近い32の都道府県で更新が間に合わず、使い続ける見込みであることが分かり
■ 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12) また同じ過ちが繰り返された。いったい何度繰り返せば学習するのか。 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始! http://t.co/JRFplpoiWP #プレスリリース — (株)共同通信社 (@Kyodonews_KK) 2014, 12月 2 このプレスリリースは誰が流したものか。以下の画面のように冒頭に「経済産業省」と記載があり、これを見た人は�経済産業省が流したものだと思うだろう。*1 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始!, 株式会社共同通信社 申込先のリンクが http://kojinjohohogo-guideline.jp と書かれている。 やるのはいいけど、.go .jpじゃないわ、
■ 年金機構から基礎年金番号の付番機能を剥奪せよ 我が目を疑うニュースが飛び込んできた。 性同一性障害者に年金共通番号 一時ネット閲覧可能に, 共同通信, 2013年5月7日 日本年金機構が、性同一性障害で性別変更した人を判別するため、昨年10月から基礎年金番号10桁のうち前半4桁に共通する固定番号の割り当てを始めていたことが7日、分かった。この4桁の番号が性同一性障害者を示すと明記した機構の内部文書が一時インターネットで確認できる状態だった。 「内部文書が一時インターネットで確認できる状態だった」というのが意味不明だなと思いつつ、Twitterを検索してみたところ、この問題と戦っている方々のツイートと、問題提起のブログが見つかった。 GID(性同一性障害)年金基礎番号 強制付番問題について, URAIKADA | FTMTSのために, 2013年4月19日 急ぎで載せました「GID(性同
かつて私も炎上型の指摘者だったことがある。高木氏とは比べ物にならないくらい小さなものだったが,それには理由があった。 当時,私のような存在,つまりはウェブサイトの問題点を指摘するような人は多くはなく,またIPAの取り組みも始まっていない時期だったため個人で通知せざるを得ず,決して好意的には受け入れられるとはいえない状況下にあって,なんとか問題点を理解させるためには,またリスクが顕在化しないうちに対応を迫るには,ある程度の「現実的な指摘」が必要だったのだ。 やさしい指摘者ではいられなかったのである。 叱らねばならなかったのだ。分別のつかない子供を叱るように。そして私は疲れてしまった。だから指摘者であることをやめたのだ。問題があるとわかったらそのサービスは使わない。指摘して修正を待つこともしない。私は疲れているのだ。 だが,高木氏は違った。彼は問題が小さなうちに見つけ出し,それがリスクとして大
先日武雄市が図書館の利用カードをTポイントカードに置き換える計画を発表したが、セキュリティ研究家高木浩光氏がこれに対しプライバシ保護の観点から苦言を呈した。これを知った武雄市長が高木氏に対し「公開討論をしましょうよ」と呼びかけた。高木氏は「専門外のことを話すことは許されていません」とこれを断ったのだが、武雄市長側はこれに反発、「上京してあなたの職場にこのblogを持って行きます」「国会議員に働きかけます」との発言を連発、失笑を浴びている(Togetterまとめ)。ちなみに高木氏が所属している産業技術総合研究所(産総研)は非特定独立行政法人であり、その職員は国家公務員ではない。 なお、図書館の利用カードをTポイントカード化する件に関する問題点は高木氏の最新の日記でまとめられている。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く