高木浩光@自宅の日記 - 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12)
■ 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12) また同じ過ちが繰り返された。いったい何度繰り返せば学習するのか。 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始! http://t.co/JRFplpoiWP #プレスリリース — (株)共同通信社 (@Kyodonews_KK) 2014, 12月 2 このプレスリリースは誰が流したものか。以下の画面のように冒頭に「経済産業省」と記載があり、これを見た人は�経済産業省が流したものだと思うだろう。*1 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始!, 株式会社共同通信社 申込先のリンクが http://kojinjohohogo-guideline.jp と書かれている。 やるのはいいけど、.go .jpじゃないわ、
高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」
■ Tポイント曰く「あらかじめご了承ください」 「Tポイントツールバー」なるものが登場し、8月8日ごろからぽつぽつと話題となり、13日には以下のように評されるに至った。 Tポイントツールバー(by CCCとオプト)が悪質すぎてむしろ爽快, やまもといちろうBLOG, 2012年8月13日 その13日の午後、一旦メンテナンス中の画面となり、夕方には新バージョン(1.0.1.0)がリリースされたのだが、15日には、「Tポイントツールバーに関する重要なお知らせ」が発表されて、「8月下旬」まで中止となった。非難の嵐が吹き荒れる中で堂々と新バージョンを出してきたにもかかわらず、なぜすぐに中止することになったのかは不明である。 この「Tポイントツールバー」とはいかなるものか。以下の通り検討する。 騙す気満々の誘導 刑法の不正指令電磁的記録供用罪(第168条の2第2項)は、「人が電子計算機を使用するに際
高木浩光@自宅の日記 - JPRSに対する都道府県型JPドメイン名新設に係る公開質問
■ JPRSに対する都道府県型JPドメイン名新設に係る公開質問 JPRSから以下のプレスリリースが出ていた。 「JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定」, 株式会社日本レジストリサービス, 2011年9月26日 内容を見て仰天。都道府県ドメインに第3レベルでの登録を認める「都道府県型JPドメイン名」を新設するという。そこで以下の公開質問状を送った。 株式会社日本レジストリサービス御中 都道府県型JPドメイン名新設に係る公開質問 東京都〓〓区〓〓〓〓〓 高木 浩光 2011年9月27日 貴社2011年9月26日報道発表の「JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定」について、Webのセキュリティ及び可用性の観点から、公共の利益に影響を及ぼす懸念があると思料するため、貴社に対し、以下の通り、公開を前提と
高木浩光@自宅の日記 - ID番号は秘密ではない。秘密でないが隠すのが望ましい。なぜか。
■ ID番号は秘密ではない。秘密でないが隠すのが望ましい。なぜか。 俺、実は今日が誕生日なんだ……。 僕らはいったいいつから誕生日を隠さなくちゃいけなくなったんだろう。はてなにもmixiにもGREE*1にもニセの生年月日で登録した*2自分がいる。Facebookの友達にも生年月日を明かさない設定にしている。プライバシーやセキュリティを啓発する立場の者が生年月日を明かすだなんて、匿名主義者達の嘲笑の的にされかねない。そして気付いてみれば、誕生日を祝ってくれるのは、両親とほんの数人の身近な友人だけになっていた。 先月、スマホアプリのプライバシー騒動の件で立て続けてにいくつもの取材を受けた*3が、決まって聞かれるのは、「利用者が気をつけるべきことは何でしょうか」という問いであった。 これに対して私が答えたのはこうだ。「利用者が何か気をつけなくてはならないようではいけない」と。つまり、事業者が解決
高木浩光@自宅の日記 - 岡崎図書館事件(8) 警察組織に期待すること
■ 岡崎図書館事件(8) 警察組織に期待すること 最初に書いたように、逮捕報道の翌々日に岡崎署に電話したが、このときは、捜査中なので基本的に内容について答えて頂けない状況で、それはしかたがないので、報道向けの警察発表に問題があるのではないかということを述べた。つまり、それが犯罪であることを示す肝心の部分(故意が疑われる事実に関する情報)が報道向けに発表されていないことが、産業の発展に対して萎縮を招くとの意見を述べたところ、その趣旨は伝わったようで、「上層部で今後検討していかなければいけない」とのお返事を得た。 その後、不起訴処分となり、「はははー。何かあるんですね?」で私が想像していたような背景というのは結局何もなかったことがわかり、それは何だったのかを確認しようと思い、6月21日に再び岡崎署に電話してみたところ、5月に話してくださった方(O氏*1)は県警本部に戻っていて岡崎署にはもういな
高木浩光@自宅の日記 - 国会図書館の施策で全国の公共機関のWebサイトが消滅する 岡崎図書館事件(5)
■ 国会図書館の施策で全国の公共機関のWebサイトが消滅する 岡崎図書館事件(5) 平成22年4月1日施行の改正国立国会図書館法に基づき、国立国会図書館が、国・地方公共団体等の公共機関を対象に、インターネット上で公開されている資料のWebクローラによる収集を開始したという。その説明資料によると、クローラのアクセス間隔の基準は「1秒以上」だという。中野区立図書館の場合、/robots.txt が置かれておらず、セッションタイムアウトは実測で600秒*1であることから、1秒間隔でクローラが来ると*2、散発的につながらない状態がしばしば発生すると思われる。 目次 /robots.txtで自ら姿を隠す公共図書館 国立国会図書館法第25条の3第2項に違反 国会図書館が公共機関のWebサイトを消滅させる虞れ /robots.txtで自ら姿を隠す公共図書館 中野区立図書館や岡崎市立中央図書館は、三菱電機
高木浩光@自宅の日記 - ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を
■ ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を 昨年示していた、 やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合, 2009年8月2日の日記 日本の携帯電話事業者の一部は、「フルブラウザ」にさえ契約者固有ID送信機能を持たせて、蛸壺の維持を謀ろうとしているが、iPhoneのような国際的デファクト標準には通用しないのであって、今後も、他のスマートフォンの普及とともに、蛸壺的手法は通用しなくなっていくであろう。 そのときに、蛸壺の中の開発者らが、このニコニコ動画の事例と同様のミスをする可能性が高い。「IPアドレス帯域」による制限が通用しない機器では、アプリケーションの内容によっては特に危険な脆弱性となるので、関係者はこのことに注意が必要である。 の懸念が、今や、さらに拡大し、ケータイ業者のみならず、一般のシステムインテグレータの思考
高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件
■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ
高木浩光@自宅の日記 - 「WPA-TKIPが1分で破られる」は誤報
■ 「WPA-TKIPが1分で破られる」は誤報 先月、無線LANのWPA-TKIPが1分以内に破られるという報道があり、話題となった。 無線LANのWPAをわずか数秒から数十秒で突破する新しい攻撃方法が登場、早期にWPA2に移行する必要あり, Gigazine, 2009年8月5日 今回の方法は昨年11月に発表された「Tews-Beck攻撃」(略)がQoS制御を利用する機器に限定されるものであり、鍵の導出に15分もの時間が必要であったのに対して、わずか数秒から数十秒で導出してしまうことができるというもの。(略) 今回発表される方法では、TKIPにおける定期的に変更される鍵について、TKIPのプロトコルの新たな脆弱性を利用して極めて短時間(数秒から数十秒)で導出し、その鍵を効率よく利用する方法として新たな中間者攻撃を開発したとのこと。 無線LANセキュリティ「WPA」をわずか1分以内で破る手
高木浩光@自宅の日記 - ドワンゴ勉強会でお話ししたこと
■ ドワンゴ勉強会でお話ししたこと 8月28日の夕刻、ドワンゴ主催の「技術勉強会」にお招き頂き、少しお話をしてきた。テーマは「P2Pネットワーク」。もしもニコニコ動画をP2P方式で配信する(回線コスト軽減のため)としたらというテーマが暗に想定されているようだったので、それに沿ってお話しした。講演者は他に、金子勇氏と、NTTの亀井聡氏、P2P型掲示板「新月」の開発者でドワンゴ社研究開発部の福冨諭氏ほか。 私からお話ししたのは主に以下の2点。 そもそもなぜP2Pにするのか。手段が目的になってしまってはいけない。 利用者のプライバシーを確保する設計の必要性と可能性。 1点目は、以前からあちこちで話してきたことで、そもそも「P2P」とは何かというときに、peer-to-peer方式のネットワークという元来の意味に立ち返れば、decentralizedな構成にできて、ad hocに構成できるといった
高木浩光@自宅の日記 - 津田大介氏の杜撰な評論 その1, 追記(30日)
■ 津田大介氏の杜撰な評論 その1 Twitterを「Winny」で検索していたところ、コンテンツ学会企画の津田大介氏の講演(「コンテンツビジネスと著作権-最新動向(仮)」)があったようで、数人の人がそれをTwitter中継しているのを見かけた*1。それらの内容からすると、津田氏はWinnyに対して浅薄な理解しかしていないように見受けられたので、どういう理解をしているのだろうかと、「Winny 津田大介」でWeb検索してみたところ、今年の1月に出鱈目な著作権問題評論を展開していたのを見つけた。 津田大介:著作権っていまモーリーさんが仰ったみたいに、実は著作権ってすごくそういうときに「悪用」って言ったらおかしいけど、利用されやすいんですね。たとえば、明確に日本の法律でコンピューターウイルスを作成したのって、どういう罪に問われるんだろうって時に、結構微妙なんですよ。 モーリー:ふーん。 津田大
高木浩光@自宅の日記 - Winny上の児童ポルノ流通を摘発することの困難性
■ Winny上の児童ポルノ流通を摘発することの困難性 前回の日記に対するはてなブックマークに、「ニコ動でいうところの釣り動画みたいな文化はないのだろうか?」というコメントがついていたが、近頃はWinnyがどういうものなのか全く知らない世代が出てきているようだ。最盛期から既に4、5年ほどが経過し、Winnyの家庭内使用が会社から禁止されるような世の中になった今、世代間情報格差が生じ始めているように思われる。 以下は前回の続きである。 ダウンロードの実態 では、Winnyでこういった児童ポルノファイルを取得しようとしている人はどのくらいいるだろうか。Winny互換プロトコルで接続を待ち受ける(だけで何も送信しない)プログラム「WinnyPot」を作成し、稼働させて調べてみた。 まず、従来から稼働させている、Winnyネットワーク巡回プログラム「WinnyWalker」に機能を追加し、接続先の
高木浩光@自宅の日記 - 「NoScript」をやめて「RequestPolicy」にした
■ 「NoScript」をやめて「RequestPolicy」にした セキュリティ屋が、Firefoxユーザに「NoScript」の使用を推奨することがしばしばあるが、私は賛同しない。 JPCERT/CC、技術メモ「安全なWebブラウザの使い方」を公開, INTERNET Watch, 2008年11月4日 *1 技術メモ − 安全なWebブラウザの使い方, JPCERT/CC, 2008年11月4日 IV. 各 Web ブラウザに共通する設定上の注意事項 1. スクリプト等の実行を制限する JavaScript 等のスクリプトや(略)は(略)Ajax に代表されるインタラクティブなインターフェースが実現できるなど、高い利便性が得られます。反面、PC 上の重要なファイルを削除・変更するなど、悪意を持った処理が行われる可能性もあります。従って無制限にスクリプト等を実行できるようにしておくのは
高木浩光@自宅の日記 - 「poeny」の使用は禁止できるか
■ 「poeny」の使用は禁止できるか 1月25日の日記で、「ある国立大学の事務系部局のものと思われるドメイン名のIPアドレスが、2006年からずっとWinnyネットワーク上に観測されている。これは何なのかと以前から気になっていた。」と書いた件、その後の調査で、それはWinnyではなく「poeny」であることが判明した。*1 2009-02-09.12:14:20 ***.jimu.********-u.ac.jp/133.**.**.***: Command 0: versionNumber=12710, versionString=Winny Ver2.0b1 (poeny) 「ポエニー(poeny)」とは、2006年初めに開発された、Winnyプロトコル互換のファイル共有ソフトであり、Winnyからいくつかの機能があえて削られたものである。 poenyのWinnyとは異なる主な点は次
高木浩光@自宅の日記 - 続・Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根
■ 続・Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根 明日から、Winny作者著作権法違反幇助事件の控訴審が始まるそうだ。個人的心情としては、金子さんには無罪になってほしいと思うが、そのためにWinnyに対する評価がねじ曲げられたり、学究的真理が歪曲されるようなことがあってはならない。このことについては地裁判決が出る前日の日記に書いた。 Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根, 2006年12月12日の日記 それから2年もの月日が流れたが、その間にも懸念していた状況は続いた。特に、一審では検察側が、作者がアップデートを続けていたことを幇助とみなす理由の一つとしたことから、アップデートが許されないことによってウイルス被害が続出しているというアピールが展開された。金子氏本人も一審の公判で、フラッシュメモリを手にとって裁判長に見せるアピールをしていた。ソ
高木浩光@自宅の日記 - 公衆無線LANで使うと危ないiPod touchアプリに注意
■ 公衆無線LANで使うと危ないiPod touchアプリに注意 ヨドバシカメラでiPod touchを購入すると公衆無線LANサービスの加入案内が付いてくるように、iPod touchは、公衆無線LANでの使用が奨励されている機器である。 しかし、現状の公衆無線LANサービスは、無線通信の暗号化に用いる鍵が加入者全員で同一のところがほとんどであり(あるいは、暗号化しないところもある)、電波を傍受されて通信内容を読まれる危険性や、気付かないうちに偽アクセスポイントに接続してしまう(そして、通信内容を読まれたり書き換えられたりする)危険性がある。 ただ、現時点では、このリスクはしかたのないものとして受容されており、その代わりに、パスワードや重要な情報を送受信する際には、アプリケーションレベルでの暗号化(SSL等の使用)が必須という考え方になっている。 つまり、Webブラウザを使う場合であれば
高木浩光@自宅の日記 - Googleカレンダーでやってはいけないこと
■ Googleカレンダーでやってはいけないこと Googleカレンダーで公開前提ではないカレンダー(非公開を前提としたカレンダー)を作っている場合、以下の操作をしないよう注意する必要がある。 「設定」画面でカレンダーを選んだときに出てくる画面の「カレンダーの情報」タブのところの一番下に、「非公開URL:」という項目がある。そこには、「これはこのカレンダーの非公開 URL です。このカレンダーのすべての予定を他のユーザーに見せたい場合を除き、このアドレスを他のユーザーと共有しないでください。」という説明書きがあるが、何のことやらよくわからない。ここで、「XML」「ICAL」「HTML」と書かれた部分の「HTML」のところをクリックすると次の画面が出る。 ここで、表示されているURLのリンクをクリックしてはいけない。 マップとカレンダーでちぐはぐな設計 これがいったい何なのかは、「ヘルプ」に
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
高木浩光@自宅の日記 - 緊急周知 Googleマイマップの削除で残骸が生じて消せなくなる欠陥, 残骸ではなく復活している模様(7日追記)
■ 緊急周知 Googleマイマップの削除で残骸が生じて消せなくなる欠陥 Googleマップの「マイマップ」機能で、秘密にしなければならない情報を利用者が誤って登録していた事故が立て続けに発覚しており、各地でマップ作成者の割り出しと作成者による削除の作業が行われているところと思われるが、Googleのシステムには不具合(バグ、欠陥)があり、削除不能に陥ってしまう場合が少なくない頻度で発生していることがわかった。削除作業を行う場合には注意が必要である。 背景 Googleマップは図1の構成になっている。図1は、「test_test」という文字列を含む地図を検索したときの様子で、検索結果の「A」をクリックしたときに、地図中の対応する位置に、当該登録地点の情報が「吹き出し」として表示されている様子を示している。登録地点にはテキストを書き込むことができるようになっており、ここでは「秘密の情報」と書
高木浩光@自宅の日記 - ケータイWebはどうなるべきか
■ ケータイWebはどうなるべきか (未完成、あとで書く。) 技術的なセキュリティの話 先月27日の日記では、契約者固有IDによる「簡単ログイン」の危うさについて書いた。このログイン認証の実装方式は、携帯電話キャリアの「IPアドレス帯域」情報に基づいて、キャリアのゲートウェイからのアクセスのみ許すことによって、成り立ち得るものと考えられている(ケータイWeb開発者らには)ようだが、そもそも、その「IPアドレス帯域」なるものの安全な配布方式が用意されておらず、ケータイWeb運営者に対するDNSポイゾニング攻撃等によって、当該サイトに致命的な成り済まし被害が出かねない危険を孕んだものであることを書いた。 仮に、「IPアドレス帯域」の配布が安全に行われるようになったとしても、他にもリスクがある。通信路上に能動的盗聴者が現れたときに、致命的な成り済まし被害が出る。たとえば、6月3日の日記「通信路上
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
