たしかに私は1年ほど前、三田市役所に電話したことがある。三田市だけでなく他の自治体にも同じ内容で問い合わせをした。それは、以下の報道を受けて、実態がどうなっているのか、自宅研究のため、各自治体に取材を試みたものであった。*1 漏洩元のうち岐阜県飛騨市は、情報が流出した一人一人に事情を説明して謝罪し、記者会見で事実を公表した。 しかし、他の13団体は「不特定多数の目に触れておらず漏洩ではない」（海陽町）、「他自治体からさらに外部へは流出していない」（渋谷区）、「すぐに削除された」（愛知県尾張旭市）などとして具体的な措置はとらなかった。 すべての自治体は独自に個人情報保護条例を持ち、「正当な理由」のない個人情報の提供を禁じる。条例は（略）本人以外から個人情報を得ることを禁じている。総務省は各自治体の判断を尊重するとした上で、「省庁で同じことがあれば漏洩として対処する問題だ」とした。 個人情報の

■ 追跡されない自由を奪う技術を肯定的に捉えた珍しい学術論文の例 行動ターゲティング広告がオプトアウト方式で概ね許容されてきたのにはいくつかの理由がある*1が、その一つは、cookieはいつでも消去することができ、閲覧者側で追跡から逃れることができるからというものであった。実際、行動ターゲティング広告を展開している事業者は、そのようなエクスキューズ*2をしていることが多い。 しかし、cookieを消しても、ブラウザの特徴的な挙動、たとえば、User-Agentが特殊なものであったり、利用しているプラグインのリストなどから、ある程度の確率で閲覧者を追跡できてしまうことが、研究成果として発表された例がある。 Peter Eckersley (Electronic Frontier Foundation), How Unique Is Your Web Browser?, Proceedings

■ ダウンロード刑罰化で夢の選り取り見取り検挙が可能に 罰則ないから*1として2010年1月から施行された「ダウンロード違法化」*2。これに今、「2年以下の懲役又は200万円以下の罰金」の罰則が設けられようとしているようだ。 違法ダウンロードに罰則 著作権法改正案を可決 衆院本会議, 産経新聞, 2012年6月15日 違法ダウンロード:罰則を科す法案 審議なく衆院を通過, 毎日新聞, 2012年6月15日 そこで、Winnyネットワークを対象に、どのくらい簡単に利用者を検挙できるようになるか、以下、考察してみる。 これまで、Winnyネットワークでは違法な公衆送信が数多くなされてきたが、刑事訴追はあまり順調に進んでいるとは言い難い状況であった。その原因は、公衆送信の故意の立証が容易でなかったためであろう。 ここは「一次放流者」と「二次共有者」を分けて考える必要がある。一次放流者（最初にWi

■ 「個人情報」定義の弊害、とうとう地方公共団体にまで 現行個人情報保護法の「個人情報」の定義に不備があることを、これまでずっと書き続けてきた。「どの個人かが（住所氏名等により）特定されてさえいなければ個人情報ではない」（のだから何をやってもよい）とする考え方がまかり通ってしまいかねないという危機についてだ。 2003年からはRFIDタグ、2008年からはケータイIDによる名寄せの問題を中心に訴えてきたが、当時、新聞記者から説明を求められるたび、最後には「被害は出ているのでしょうか」と、問われたものだった。当時は悪用事例（不適切な事例）が見つかっておらず（表沙汰になるものがなく）、これが問題であるという認識は記者の胸中にまでしか届かなかった。 それが、昨年夏から急展開。スマホアプリの端末IDを用いた不適切事案が続々と出現し、それぞれそれがなぜ一線を越えているか説明に追われる日々になった。ス

■ spモードはなぜIPアドレスに頼らざるを得なかったか spモードの事故 NTT docomoのスマホ向け独自サービス「spモード」が、今月20日に大規模な事故を起こして、重大事態となっている。 スマホ向けネット接続が不具合 ドコモ 別人のアドレス表示, MSN産経ニュース, 2011年12月20日 ドコモのspモードで不具合、他人のメールアドレスが設定される恐れ, 日経IT Pro, 2011年12月21日 ドコモの「spモード」でトラブル、関連サービスが一時停止, ケータイ Watch, 2011年12月21日 ドコモ、spモード障害で「ネットワーク基盤高度化対策本部」設置, ケータイ Watch, 2011年12月26日 ドコモ 約1万9000人に影響, NHKニュース, 2011年12月27日 ドコモの“メアド置き換え”不具合、影響数や新事象が明らかに, ケータイ Watch,

■ 「Tポイントカード3人に1人が持つ」は本当か、街角で聞いてみた 先週、マイナンバー制度（納税番号制度（aka 共通番号制度））のICカード配布の話の流れで、（住基カードが4%しか普及していないのに）TSUTAYAのTポイントカードは「今や国民の3人に1人が持つ」という話*1が話題になっていた。「共通番号を官民で使えばカードを1枚にできる」などといった主張も出ていた。 その一方で、本当にそんなにたくさんの人が持ってるのか疑問だとの声も出ていた。「レジから聞こえてくる声に耳を傾けていると、Tポイントカードを持ってる人なんて存在しないんじゃないかと思えてくる。」という声もあった。（「Togetter - 「「ポイントカードはお持ちですか」への反応」」参照）。

■ 技術音痴なIT企業CTOが国のWGで番号制度の技術基盤を歪める 非公開で進められている（傍聴が許されていない）「情報連携基盤技術WG」の配布資料を入手した。しかも、この「情報連携基盤技術WG」には、存在自体が非公表のサブWGがあり、その構成員は、「情報連携基盤技術WG」から中立の有識者らを除いた、ベンダーの人々だけの集まりになっているらしい。入手した資料は、そうしたベンダーの構成員から今月提出されたもののようだ。 入手した資料のうち、一つは重大な問題のある文書であり、他にもう一つ、問題のある文書があった。 「番号制度」は、推進派に言わせれば「国家百年の大計として国の礎を作ることに他ならない」という*1ものであり、ベンダー試算によれば何千億円もの国家予算が必要と言われているものである。しかも、その方式設計は国民のプライバシー影響を左右する重要なものであって、一度不適切な方式を普及させると

■ ウイルス罪について法務省へ心からのお願いです （時間切れなので完成度がいまいちのまま公開。後で書き直すかも。） ウイルス罪法案の国会答弁でバグ放置が提供罪に該当する事態は「ある」とされた件について、多くの疑問の声があがっている。ただ、その声の多くは、どんなバグでも罪になると誤解している様子がある。議員の質問では「重大なバグ」と、状況を限定して尋ねたものだった点に注意が必要である。「重大なバグ」とは、たとえば、電子計算機が動かなくなってしまうような、そういう破壊的な結果をもたらすものなどを指すのだろう。 そうすると、法務省は今回の不安の声に対応してこう釈明するかもしれない。「どんなバグでも犯罪になるわけではありません。法務大臣の答弁は、重大な結果をもたらす場合について述べたものです。通常のバグであれば、『不正な』に該当しないことから罪には該当しませんので、ご安心ください」と。続く国会の法

■ 警察と検察と裁判所で何があったか 岡崎図書館事件(2の1) 6月20日のこと、Twitterで @librahack から言及された。見に行ってみると http://librahack.jp/ というサイトが出現していた。なんと、岡崎図書館事件で逮捕された方は不起訴処分になっていた。@librahack からフォローされていたのでダイレクトメッセージで連絡が欲しいとコンタクト。メールで何があったのか事実関係を聞かせてほしいとお願いしたところ、数日後、ご本人からのメールが到着した。 当時の中川氏は、警察にまだ何されるかわからないと恐れている様子だった。起訴猶予処分だから今後起訴される可能性も残っていると思っていたようで、ご家族への配慮や業務への影響から、「正直あまり警察を刺激したくない」とのことだった。それでも、http://librahack.jp/ を立ち上げたのは、「問題点を電話し

■ やはり起きていた刑事的萎縮効果による技術停滞 岡崎図書館事件(13) 12月12日の夕方、Twitterの#librahack界隈で以下のサイトが発掘された。 杉並区立図書館 新着図書 更新情報 （非公式）, http://www.naotaka.com/library/ 更新停止のお知らせ 突然ですが、2010年6月22日をもちまして、「杉並区立図書館 新着図書 更新情報 （非公式）」の更新を停止させていただきます。 当ページをご利用の皆様にはご迷惑をおかけしますが、ご理解のほど、よろしくお願いいたします。 6月22日といえば、librahack.jp が公開された翌々日だ。東京の杉並区立図書館といえば、使われている図書館システムは三菱電機ISのMELIL/CS（新型）だ。 このサイトの公開された当時に書かれたサービス説明が、以下にある。 杉並区立図書館の、「その日の新着図書」がわか

■ 「VeriSignシール」という幻想 オレオレ証明書ではないSSLサーバ証明書は、2つの独立した機能を果たしていると言える。1つ目は、SSLプロトコルによるサーバとクライアント間の暗号化通信のために不可欠な役割であり、2つ目は当該サイト運営者の実在証明の機能である。ただし、今日では、後者を含まない、前者だけのサーバ証明書もある。 後者の実在証明は、かつては認証局サービスを提供する各事業者がそれぞれの独自の基準で、サイト運営者の実在性を確認、認証していたが、それでは利用者にわかりにくいことから、認証の際の実在性確認の方法が標準化され、誕生したのがEV SSLであった。 その結果、VeriSignなど、古くから実在証明に力を入れていた認証局サービスでは、EVのものとEVでない実在証明付きサーバ証明書の2種類が存在することとなった。VeriSignでは、EV証明書の提供開始後も、EVでない実

■ 先週からEZ番号の変更が不可能にされていた KDDI社員の方からタレコミがあった。 従来、EZ番号は、EZオプションを廃止して再加入すると新たな番号が付与されるようになっていたのだが、5月10日から、同じ個人には同じEZ番号を継続して付与するよう、システム変更があったという。その意図は、「EZ番号変更による問題行為の防止」だという。電話番号を変更してもEZ番号は変わらないようになったという。 エンドユーザのプライバシーにかかわる仕様変更であるにもかかわらず、プレスリリース等を出さずこっそり変更していることから、私から注意喚起をしてほしいとのことだった。 この情報は、とくに隠されているものではなく、聞かれたら答えられるよう各種窓口に周知されているものだそうで、以下のチラシが店頭掲示用として配布されているようだ。 KDDIのこの措置が誰の要求に応じたものなのかは知らない。 ２ちゃんねるを調

■ KDDIの固体バカが言う「EZ番号はプライバシーに関する情報ではない」 これまで、契約者固有ID（サブスクライバID）について、それ単体では「個人情報」（日本の個人情報保護法が言う）に該当しないという法解釈は存在した。それは、個人情報保護法がそういう法律だから（プライバシー保護の法律じゃないから）そういうものだという話*1だった。それでも、4月3日の日記にも書いたように、ウィルコムからは、「CPに対しても個人情報保護法に従った慎重な取扱いを求めています」という回答を得ていた。 ところが、auのKDDIが、以下のQ&Aを掲載していることに気づいた。 EZ番号（固体識別番号）を変更したい。, auお客様サポート よくあるご質問 「EZ番号」（固体識別番号）はau電話ごとに割り振られており、変更することができません。 ■EZ番号はお客さまがURLにアクセスした際にサイト提供元のサーバに通知さ

■ ２ちゃんねるが日本のインターネット終了の引き金を引くか 一昨年、 日本のインターネットが終了する日, 2008年7月10日の日記 これを書いたとき、ケータイから一般のインターネット端末へと青少年の使用端末が移行するであろう近い将来、青少年ネット規制法の改正によって、日本のインターネットが強制終了となるというシナリオを想定した。スマートフォンが開花しつつある今、その運命の分かれ目は間近に迫っている。 そういう岐路に立たされている今、一昨日の日記「ケータイIDに添えて年齢情報も送信されるようになる？」に書いたように、青少年の保護を口実に、年齢情報までインターネット接続事業者に送信させようという動きが出てきている。総務省研究会の提言案自身が述べているように、悪いことをしようとする者を排除することはできないわけで、いくらかハードルを上げることで悪事のコストを高めることはできるだろうけども、それ

■ 共用SSLサーバの危険性が理解されていない さくらインターネットの公式FAQに次の記述があるのに気づいた。 [000735]共有SSLの利用を考えていますが、注意すべき事項はありますか？, さくらインターネット よくある質問（FAQ）, 2010年2月10日更新（初出日不明） Cookieは、パスなどを指定することができるため、初期ドメイン以外では共有SSLを利用している場合にCookieのパスを正しく指定しないと、同じサーバの他ユーザに盗まれる可能性があります。 （略） 上記については、「同サーバを利用しているユーザだけがCookieをのぞき見ることができる」というごく限定的な影響を示していています。また、Cookieの取扱いについて、問い合わせフォームやショッピングカート等、ビジネス向けのウェブコンテンツを設置されていなければ特に大きな問題とはなりませんが、個人情報を取り扱われる管

■ まだまだ他でも破綻しているケータイID認証 前回の補足。以下は、私が気づいたことではなく、2009年夏に「かんたんログインが危うい」との話題で持ち切りだったときに、既に公に語られていたことである。 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 特にUserAgentからIMEI番号を正規表現などで抜き取ってそれだけを利用している場合は、この方法を使えば偽装可能。uidの方を使うようにした方がいいかも。 モバイル用GWのIPアドレスを気にしてた時代もあったなぁ, コメント欄#1, 匿名の臆病者, 2009年8月6日 透過プロクシという仕組みはご存じない? あ、ということは少なくともhttpsにx-jphone-uidが乗っていたら擬装の虞か。(端末はuidを吐かないので) しかし、携帯電話会社がこの

■ ここまで破綻しているケータイID認証（簡単ログイン） 2009年夏、はてなブックマーク界隈では「かんたんログイン」が危ういという話題で持ち切りだった。IPアドレス制限をしていても突破できてしまうのではないかという話だった。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフトバンクの携帯用GatewayをPCで通る方法があるようです, ke-tai.org, 2009年8月4日 これは要するに次のような話だった。 まず、SoftBankの携帯電話で特定のAPN mailwebservice.softbank.ne.jp でネット接続して、所定のProxyサーバ sbwap

■ サイボウズOfficeも匙を投げた「簡単ログイン」 今年2月20日のこと、サイボウズOfficeに「簡単ログイン」機能があることに気づいた私は、以下の質問をサイボウズ社に送った。 「サイボウズ Office 8 ケータイ」の「簡単ログイン」機能についてお尋ねします。 「携帯端末認証に対応しているので、毎回ログインする手間なく利用できます」とのこと。試用版で試したところ、たしかに2度目以降はパスワードが不要のようです。 この機能は、いわゆる「契約者固有ID」を用いて実現しているものと理解していますが、「契約者固有ID」を用いて端末認証を行う場合、通常は、IPアドレス制限を行って、携帯電話事業者のゲートウェイのIPアドレスからのアクセスしか許さないように実装するものであると考えます。 しかしながら、「サイボウズ Office 8 ケータイ」はそうしたIPアドレス制限を施しておらず、一般のイ

■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。 各サイトの「かんたんログイン」に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない（不正アクセス禁止法違反になる）ので、自分用のアカウントを作成して（会員登録して）、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は

■ 日経新聞電子版の望みを叶えるGreasemonkeyスクリプト TweetBuzz - 日経新聞電子版始動、しかし個別記事へのリンクを禁止、違反者に損害賠償請求も示唆 - スラッシュドット・ジャパン ということで、日経新聞社が「リンクポリシー」なるもの*1において望んでいることを、利用者側で実現してみせるGreasemonkeyスクリプトを書いてみた。 // ==UserScript== // @name NIKKEI Web 0.0 // @namespace http://takagi-hiromitsu.jp/ // @description 日経新聞電子版閲覧時の訴訟リスクを回避する // @include http://*.nikkei.com/* // @include http://*.nikkei.co.jp/* // @exclude http://it.nikkei