高木浩光@自宅の日記 - テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた
■ テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた 先週から、「ドコモ口座不正引き出し事件」の原因として、被害の発生した銀行が4桁数字の暗証番号で認証処理していたことが取りざたされており、リバースブルートフォース攻撃の手口が暗証番号特定の手段として使われた可能性について、テレビのワイドショーでも扱われるなど、世間での認知がかつてなく高まっている。 そこで、この機会に、昔から存在していたテレフォンバンキングの危険性について、銀行側に抗議すれば今ならご理解いただけるのではないかと考えた。この問題は十数年前にも銀行側に伝えているが、サービスを止めるわけにもいかないし、電話経由での自動処理による攻撃は考えにくいと当時は考えられたのか、対処されることはなかった。2020年の今日、電話経由のサイバー攻撃は技術面で十分に容易に可能となっていると考えられ
高木浩光@自宅の日記 - 総務省が不正指令電磁的記録罪の典型的誤解を再生産中、原因を絶たねばならない
■ 総務省が不正指令電磁的記録罪の典型的誤解を再生産中、原因を絶たねばならない 昨日からこれが話題になりつつある。 総務省の資料より。ウイルスがダメなのはわかるけど、どこからがウイルスと捉えられるのかが問題。「ユーザーの意図に反する動作」っていわれても「ユーザー」のリテラシによるから難しいなぁ。 pic.twitter.com/hpGnPmUWlS — はぁこ🌸ビール女子麦子開発中 (@paco_itengineer) June 23, 2019 みんなに役立たないことにプログラミング技術を使った奴はタイーホ了解!!!!!!!!!自分のためにしか役に立たなかったり面白いだけで役に立たないことにプログラミング技術を使っているみなさん!!!!!!! pic.twitter.com/YUjSTzmUkj — sksat@OtakuAssembly (@sksat_tty) June 24, 2
高木浩光@自宅の日記 - しそうけいさつ化する田舎サイバー警察の驕りを誰が諌めるのか
■ しそうけいさつ化する田舎サイバー警察の驕りを誰が諌めるのか 兵庫県警が単なる「無限アラート」を「不正プログラム」と称して不正指令電磁的記録の罪を適用した捜査(家宅捜索)を行ったことが明らかになり、法解釈・適用の誤りである上に法制定時の参議院法務委員会附帯決議の要請をも無視しているとして批判の声が渦巻いているところだが、ここに来て、「すみだセキュリティ勉強会」が活動を休止するとして抗議行動に出たようだ。 「IT業界の萎縮を招きかねない」 “ブラクラURL書き込みで中学生補導”、弁護士に問題点を聞いた, ねとらぼ, 2019年3月5日 Japanese police charge 13-year-old for sharing 'unclosable popup' prank online, ZDNet, 2019年3月5日 「いたずらURL貼って補導」がIT業界の萎縮をまねく理由, IT
高木浩光@自宅の日記 - 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」
■ 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」 序章 昨日の読売新聞朝刊解説面に以下の記事が出た。 [解説スペシャル]ウイルスか合法技術か 他人のPC「借用」 仮想通貨計算 サイトに設置 摘発相次ぐ, 読売新聞2018年6月9日朝刊 「まさか違法とは……」。こううなだれる首都圏のウェブデザイナー(30)は今年3月、横浜地検にウイルス保管罪で略式起訴され、罰金10万円の略式命令を受けた。自分の運営する音楽サイトに昨秋、「コインハイブ」と呼ばれるコインマイナー用のプログラムを設置したところ、これがウイルスと判断されたのだ。 (略)昨年末から神奈川や宮城、栃木、茨城県警など全国の警察が捜査を開始。これまでに確認できただけで5人のサイト運営者がウイルスの供用や保管などの容疑で捜索を受け、既に略式命令を受けたケースもある。(略) 略式命令を受けたウェブデザイナー
高木浩光@自宅の日記 - ウハ、三井住友銀行の素晴らしいセキュリティ教室
■ ウハ、三井住友銀行の素晴らしいセキュリティ教室 昨日の日記でリンクした「シンプルな安全確認ルールと……」の講演では、「本当に伝えるべきことを誰も伝え ていない」という趣旨のことを述べたのだったが、なんと、民間事業者が 既にそれを伝えていたことを知った。 簡単! やさしいセキュリティ教室 金融犯罪に遭わないために, 三井住友銀行 すばらしい。ほぼ完璧の出来栄えだ*1。いつから公開されていたのだろう? 少なくとも10月31日には既にあったようだ。 ぼやぼやしているうちに仕事を一つ先に取られてしまった。 以下、ハイライトシーン。 そもそも「アドレスバーがない」なんて論外 簡単!やさしいセキュリティ教室, 三井住友銀行 うはは。 三井住友銀行では、このような画面によるログイン方法を提供しません 簡単!やさしいセキュリティ教室, 三井住友銀行 うひひ。 偽メールの例3 ただいまアクセス集中により
高木浩光@自宅の日記 - 企業秘密を含み得るメールの件名がNAVERへ送信されている
■ 企業秘密を含み得るメールの件名がNAVERへ送信されている 前回の日記の件、あのようなサービス形態(サービス内容の説明の構造を含む)が偶然に誕生したとは考えにくい*1ことから、現場で早まって安易な(b)の選択をする*2のでなく、元々本来の設計は「モニタ登録」した場合だけ送信するはずのものでなかったのか*3、今一度ちゃんと経営の判断も含めて検討されるよう促せないかと思い、(サポートデスクへの伝言では心許ないので)前回の日記を書いたのであった。 しかし、結局、翌日のサポートデスクからの電話回答は、利用規約の文言を変更するというもの、つまり(b)が選択されたものであった。以下のように、28日の午後*4に「必ずご確認ください」という注意書きが加えられていた。 この対応について、Twitterでは、当該事業者(NHN Japan)の本件当事者と、永久不滅プラス利用者の反応が、それぞれ以下のように
高木浩光@自宅の日記 - 「個人情報」定義の弊害、とうとう地方公共団体にまで
■ 「個人情報」定義の弊害、とうとう地方公共団体にまで 現行個人情報保護法の「個人情報」の定義に不備があることを、これまでずっと書き続けてきた。「どの個人かが(住所氏名等により)特定されてさえいなければ個人情報ではない」(のだから何をやってもよい)とする考え方がまかり通ってしまいかねないという危機についてだ。 2003年からはRFIDタグ、2008年からはケータイIDによる名寄せの問題を中心に訴えてきたが、当時、新聞記者から説明を求められるたび、最後には「被害は出ているのでしょうか」と、問われたものだった。当時は悪用事例(不適切な事例)が見つかっておらず(表沙汰になるものがなく)、これが問題であるという認識は記者の胸中にまでしか届かなかった。 それが、昨年夏から急展開。スマホアプリの端末IDを用いた不適切事案が続々と出現し、それぞれそれがなぜ一線を越えているか説明に追われる日々になった。ス
高木浩光@自宅の日記 - ローソンと付き合うには友達を捨てる覚悟が必要
■ ローソンと付き合うには友達を捨てる覚悟が必要 当初3月末開始とされていた「LAWSON Wi-Fi」が、なぜか「当初の計画より事前テストに時間を要したため」として、遅れて4月6日から開始されたのだが、早速Twitterでこんな指摘が出ていた。 少なくともこういうのを「ログイン」と呼ぶのはやめて頂きたい。金融機関などでは、暗証番号に電話番号や誕生日を使うのをやめるよう利用者を啓発する活動にコストをかけてきたが、そうした労力を台無しにする。ローソンとしては、無料の無線LANを使わせるくらい、本人確認が甘くても自社の問題だから許されると思っているのだろうが、こういうやり方が社会に悪弊をもたらすことに気付いていないのか。 今回は、前回の日記で取り上げた「PASMOマイページ」の問題とは違って、「ログイン」で電話番号と誕生日を使用している。一般に、不正アクセス禁止法では、このような、IDと電話番
高木浩光@自宅の日記:武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨て
■ 武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨て 「日本ツイッター学会(自称)」会長兼「日本フェースブック学会(自称)」会長の、武雄市長(佐賀県武雄市)が、武雄市の市立図書館で、CCC(カルチャー・コンビニエンス・クラブ)と提携して、Tポイントカードを導入するとの構想を発表した。 武雄市とカルチュア・コンビニエンス・クラブ株式会社の武雄市立図書館の企画・運営に関する提携基本合意について, CCC カルチュア・コンビニエンス・クラブ株式会社, 2012年5月4日 ツタヤ運営企業に図書館委託 佐賀県武雄市, 共同通信, 2012年5月4日 図書館の運営、ツタヤに委託 佐賀県武雄市, 中国新聞, 2012年5月4日 図書館の利用カードはCCCのポイントカード「Tカード」へ切り替える。Tカードは若い世代に普及しており、図書館を使わない人が多いとみられる若年層を呼び込む狙いがあ
高木浩光@自宅の日記 - 駄目な技術文書の見分け方 その1
■ 駄目な技術文書の見分け方 その1 はてなブックマークのホッテントリを見ていたところ、300を超えるユーザに登録された以下の記事があった。 今夜分かるSQLインジェクション対策, 上野宣, @IT, 2006年11月2日 また上野宣か。顔見知りなのでズバリいくことにする。 しかし、その対策はまだ本当に理解されていないように思える。 へえ。 終わりの方を見てみると、 Webアプリケーションの対策 入力値のSQLの特殊文字を適切にエスケープ 入力値=プログラム(プロセス)に外部から入ってくるもの シフトJISの場合には1バイト文字を整理 SQLの記述をなくすためにO/R(Object/Relational)マッピングを活用 攻撃者に役立つ情報を与えないために、不要なエラーメッセージ(データベースが出力するエラーなど)の表示を抑止 対策に「準備された文」(prepared statement)
高木浩光@自宅の日記 - ID番号は秘密ではない。秘密でないが隠すのが望ましい。なぜか。
■ ID番号は秘密ではない。秘密でないが隠すのが望ましい。なぜか。 俺、実は今日が誕生日なんだ……。 僕らはいったいいつから誕生日を隠さなくちゃいけなくなったんだろう。はてなにもmixiにもGREE*1にもニセの生年月日で登録した*2自分がいる。Facebookの友達にも生年月日を明かさない設定にしている。プライバシーやセキュリティを啓発する立場の者が生年月日を明かすだなんて、匿名主義者達の嘲笑の的にされかねない。そして気付いてみれば、誕生日を祝ってくれるのは、両親とほんの数人の身近な友人だけになっていた。 先月、スマホアプリのプライバシー騒動の件で立て続けてにいくつもの取材を受けた*3が、決まって聞かれるのは、「利用者が気をつけるべきことは何でしょうか」という問いであった。 これに対して私が答えたのはこうだ。「利用者が何か気をつけなくてはならないようではいけない」と。つまり、事業者が解決
高木浩光@自宅の日記 - ミログ第三者委員会の「提言」を許してはならない
■ ミログ第三者委員会の「提言」を許してはならない 10月10日の日記「スパイウェア「app.tv」に係るミログ社の大嘘」の件、ミログ社から「第三者委員会報告書」(以下「報告書」という。)が開示された。 第三者調査委員会の調査結果に関するお知らせ, 株式会社ミログ, 2011年12月16日 100ページにも及ぶこの報告書の内容は、「app.tv」と「AppLog」について事実関係を明らかにした上で、いずれも違法行為ではなかったとする結論を導くものであり、加えて、冒頭で、「ユーザーからの同意取得に関する提言」として、一般論を社会に向けて提案するものとなっている。 報告書には次の2つの重大な問題がある。 app.tvの不正指令電磁的記録該当性の検討で肝心の点がすっ飛ばされている。 「ユーザーからの同意取得に関する提言」は到底受け入れられるものではない。 以下、これらを順に明らかにする。 app
高木浩光@自宅の日記 - パスモは乗車履歴を第三者提供? 他社のビッグデータに取り込まれる可能性
■ パスモは乗車履歴を第三者提供? 他社のビッグデータに取り込まれる可能性 前回の日記の続き。 あの後、パスモ社の担当者と何を話したかというと、同社の個人情報保護方針に反しているのではないかという点と、個人情報保護法に違反しているのではないかという点であった。 電話する前の時点では、「乗車履歴自体は個人情報ではない*1」という見解も出るかな*2と予想していたが、担当者は、前回の最後の部分で示したように、あっさりと個人情報だと認めたため、そこは論点にならなかった。 まず追求したのは、利用目的の明示。 個人情報保護法は、第18条で、個人情報を取得したときは速やかにその利用目的を本人に通知又は公表しなけれなばらないと定めており、その例外として、「あらかじめ利用目的を公表している場合を除き」としている。記名PASMOを作って利用を始めると、乗車履歴をパスモ社ほかに取得されることになるが、その乗車履
高木浩光@自宅の日記 - ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか
■ ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか SuicaやEdyの登場によって、カードに記載の番号が新たな問題をもたらすであろうことは、8年前に関心を持ち、何度か書いた。 Edyナンバーは易々と他人に知らせてよい番号なのか, 2004年2月29日の日記 Edyナンバーはどのように使われるものか, 2004年7月11日の日記 許諾なしに公表されるEdyナンバーとSuica番号, 2004年7月11日の日記 その後、EdyナンバーやSuicaのIDiは無闇に掲示されることはなくなり、問題は起きなかった。コンビニのam/pmがEdyを用いて独自に展開していた「club ap」でも、利用者登録にはam/pm店舗のレジで印刷してもらう「仮パスワード」を必要とするようになっており、まあ一応ちゃんと設計されていた。*1 ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。
高木浩光@自宅の日記 - ケータイWebはどうなるべきか
■ ケータイWebはどうなるべきか (未完成、あとで書く。) 技術的なセキュリティの話 先月27日の日記では、契約者固有IDによる「簡単ログイン」の危うさについて書いた。このログイン認証の実装方式は、携帯電話キャリアの「IPアドレス帯域」情報に基づいて、キャリアのゲートウェイからのアクセスのみ許すことによって、成り立ち得るものと考えられている(ケータイWeb開発者らには)ようだが、そもそも、その「IPアドレス帯域」なるものの安全な配布方式が用意されておらず、ケータイWeb運営者に対するDNSポイゾニング攻撃等によって、当該サイトに致命的な成り済まし被害が出かねない危険を孕んだものであることを書いた。 仮に、「IPアドレス帯域」の配布が安全に行われるようになったとしても、他にもリスクがある。通信路上に能動的盗聴者が現れたときに、致命的な成り済まし被害が出る。たとえば、6月3日の日記「通信路上
高木浩光@自宅の日記 - 「日本のインターネットが終了する日」あとがき
■ 「日本のインターネットが終了する日」あとがき 10日の日記「日本のインターネットが終了する日」には、書ききれなかったことがある。また、頂いた反応を踏まえて追記しておきたいこともある。 青少年は結局どうすればいいのか はてなブックマークのコメントに、「本当に知らなければいけない人には理解されないかと思うとね・・・哀しくなってくる」という声があった。リンク元のどこだったかには、「肝心の子供たちにはどう説明したらいいんだ」というような声もあったと思う。 契約者固有IDの送信を止める設定をしてしまえば、モバゲータウンや魔法のiらんどなどが使えなくなってしまう。設定をアクセス先毎に変更しながら使うという方法もあり得るが、子供たちにそれをさせるのは無理な話だろう。保護者としては、確実に安全に使える設定を施した上で電話を子供に渡したいはずだ。「住所氏名は入れちゃ駄目」というのは、これまでも子供たちに
高木浩光@自宅の日記 - 日本のインターネットが終了する日
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
高木浩光@自宅の日記 - ハマチをちゃんとテリヤキにするのは難しい, CSRF脆弱性を突く攻撃行為を現行法で処罰できるか
■ CSRF脆弱性を突く攻撃行為を現行法で処罰できるか CSRF脆弱性が攻撃されることは、それがもたらす被害の内容によっては、不正アクセス禁止法が守ろうとしているものと同等のものが侵害される場合もある。たとえば、本人でなければ見ることのできないはずの情報が、CSRF脆弱性を突く罠を仕掛けた者に送信されるといった攻撃は、不正アクセス行為の典型的な侵害事例と同様の被害をもたらす。また、同法の目的である「アクセス制御機能により実現される電気通信に関する秩序の維持」(第1条)が損なわれるという点も共通する。 しかしながら、CSRF脆弱性を突く攻撃行為は、結果が同じてあっても手段が異なるために、不正アクセス禁止法による処罰は難しいのではないかと以前から思っていた。これについては、2005年7月3日の日記「クロスサイトリクエストフォージェリ(CSRF)対策がいまいち進まなかったのはなぜか」にも書いた。
高木浩光@自宅の日記 - 今こそケータイID問題の解決に向けて
■ 今こそケータイID問題の解決に向けて 目次 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 Web開発技術者向けの講演でお話ししたこと 研究者向けの講演、消費者団体向けの講演でお話ししたこと 総務省がパブリックコメント募集中 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 6月初めのこと、ソフトバンクモバイルが「電波チェッカー」というiPhoneアプリを直々に開発して、iTunesストアで配布を始めたというニュースがあったのだが、それを伝えるITmediaの記事で、「取得された電波状況情報はiPhoneのUDIDとともにソフトバンクモバイルに報告される」と書かれているのが気になった。*1 「電波チェッカー」で検索して世間の反応を探ったところ、ソフトバンクモバイル社のCTO(最高技術責任者)の方が、Twitterで直々に市民と対話な
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
高木浩光@自宅の日記 - 携帯電話販売店が本人同意を亡きものにする, 追記(21日)