高木浩光@自宅の日記 - 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む
■ 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む IPAの「安全なウェブサイトの作り方」(改定第7版2015年、初版2006年)のHTML版が出ている。項目別にページが作られている。 1.1 SQLインジェクション 1.2 OSコマンド・インジェクション 1.3 パス名パラメータの未チェック/ディレクトリ・トラバーサル 1.4 セッション管理の不備 1.5 クロスサイト・スクリプティング 1.6 CSRF(クロスサイト・リクエスト・フォージェリ) 1.7 HTTPヘッダ・インジェクション 1.8 メールヘッダ・インジェクション 1.9 クリックジャッキング 1.10 バッファオーバーフロー 1.11 アクセス制御や認可制御の欠落 というのも、4年前にWELQ問題が火を噴いたのと同様に、キーワードWeb検索からの流入を当て込む「いかがでしたか系」の乱造記事のSEO汚染の
高木浩光@自宅の日記 - 業界の信用を傷つける思想を開陳したトレンドマイクロ社にセキュリティ業界は団結して抗議せよ
■ 業界の信用を傷つける思想を開陳したトレンドマイクロ社にセキュリティ業界は団結して抗議せよ トレンドマイクロ製品がApp Storeから締め出された事案が重大局面を迎えた。エバ・チェン社長兼CEOの声明が発表されると同時に、準備されていたZDNetニュースが報じられた。 App Store上の当社アプリに関する重要なお知らせ, トレンドマイクロ, 2018年10月31日 トレンドマイクロのチェンCEO、App Storeでのアプリ削除問題に謝罪と説明, ZDNet Japan, 2018年10月31日 これまでの説明とは異なり、もはやトレンドマイクロ社固有の事情を超え、情報セキュリティ業界の一般論として、業界が必要としている情報取得だったのだと正当化し、社会が理解すべきものだとして、世間に理解を求める声明になっている。 セキュリティ企業は、お客さまのセキュリティならびにプライバシーを改善
高木浩光@自宅の日記 - 魔女狩り商法に翻弄された田舎警察 Coinhive事件 大本営報道はまさに現代の魔女狩りだ
■ 魔女狩り商法に翻弄された田舎警察 Coinhive事件 大本営報道はまさに現代の魔女狩りだ 前回の日記(6月11日23時46分公開)の件はその後、以下のように展開した。 6月12日 他人PCで仮想通貨獲得 了解得ず「採掘」初立件 神奈川県警など,*1 毎日新聞, 6月12日朝刊 仮想通貨マイニング(Coinhive)で家宅捜索を受けた話, モロ@ドークツ, 6月12日9時43分 Coinhive設置で家宅捜索受けたデザイナー、経緯をブログ公開 「他の人に同じ経験して欲しくない」, ITmedia, 6月12日12時17分 仮想通貨「無断採掘」疑い サイト運営者を書類送検,*2 共同通信, 6月12日20時45分 Police to press charges over cryptocurrency 'mining' of computers without consent, The M
高木浩光@自宅の日記 - 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」
■ 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」 序章 昨日の読売新聞朝刊解説面に以下の記事が出た。 [解説スペシャル]ウイルスか合法技術か 他人のPC「借用」 仮想通貨計算 サイトに設置 摘発相次ぐ, 読売新聞2018年6月9日朝刊 「まさか違法とは……」。こううなだれる首都圏のウェブデザイナー(30)は今年3月、横浜地検にウイルス保管罪で略式起訴され、罰金10万円の略式命令を受けた。自分の運営する音楽サイトに昨秋、「コインハイブ」と呼ばれるコインマイナー用のプログラムを設置したところ、これがウイルスと判断されたのだ。 (略)昨年末から神奈川や宮城、栃木、茨城県警など全国の警察が捜査を開始。これまでに確認できただけで5人のサイト運営者がウイルスの供用や保管などの容疑で捜索を受け、既に略式命令を受けたケースもある。(略) 略式命令を受けたウェブデザイナー
高木浩光@自宅の日記 - 匿名加工情報は何でないか・後編(保護法改正はどうなった その7)
■ 匿名加工情報は何でないか・後編(保護法改正はどうなった その7) このシリーズではこれまでに以下のことを書いてきた。 匿名加工情報は何でないか・前編(保護法改正はどうなった その2), 2015年12月6日の日記 匿名加工情報は「個人データであっても第三者提供を許す」の形ではなかった 関連: 匿名加工情報の条文構成はどう壊れて行ったか(保護法改正はどうなった その6), 2017年1月8日の日記 匿名加工情報の定義に該当するからといって36条〜39条の義務が課されるわけではない 匿名加工情報は何でないか・前編の2(保護法改正はどうなった その4), 2016年2月5日の日記 「委員会規則の基準で作成したもののみが匿名加工情報となる」では解決しない 十分に低減する加工をしたものは匿名加工情報に当たらない 匿名加工情報は何でないか・中編(保護法改正はどうなった その3), 2016年1月3
高木浩光@自宅の日記 - CCCはお気の毒と言わざるをえない
■ CCCはお気の毒と言わざるをえない 驚きのニュースが舞い込んできた。CCCがプライバシーマーク(Pマーク)を返上したというのである。日経コンピュータの取材によれば、CCC社の「管理本部法務部リーダー」と、「経営戦略本部リスク・コンプライアンス統括部情報管理Leader」と、「経営戦略本部法務部会員基盤Leader」の3氏もそろってこれを認めているという。 CCC(ツタヤ)がプライバシーマーク返上で日本中のプライバシーフリークが騒然の事態(山本一郎) - Y!ニュース https://t.co/BKKhMTRyqX — やまもといちろう (@kirik) 2015, 11月 19 書きました。後編は来週掲載です。/ なぜCCCはプライバシーマークを返上し、T会員規約を改訂したのか(前編) https://t.co/mJFLHTEnvK — Naoki Asakawa / 浅川直輝 (@n
高木浩光@自宅の日記 - GPS捜査の総務省ガイドライン改正で携帯電話事業者と警察が不正指令電磁的記録の罪を犯すおそれ
■ GPS捜査の総務省ガイドライン改正で携帯電話事業者と警察が不正指令電磁的記録の罪を犯すおそれ 目次 経緯 刑法168条の2 不正指令電磁的記録に関する罪 パブリックコメント提出用意見書(期限超過) 4月にこういう記事が出ていた。 携帯GPS情報、本人通知せず捜査に活用 指針見直しへ, 朝日新聞, 2015年4月17日朝刊 総務省が、通信事業者の個人情報の取り扱い方を定めるガイドラインの見直し案を17日に発表する。意見公募の手続きを経て、6月にも運用がはじまる見通しだ。 (略)捜査機関が、裁判官の令状にもとづき、GPS情報を取得できる規定がガイドラインに盛り込まれたのは2011年11月。誘拐犯や指名手配犯の居場所の把握に有効と考えられた。ただ、プライバシーへの配慮から、取得を本人に知らせる「条件」つきだった。 だが、被疑者に知られると証拠を隠されたり、逃げられたりする恐れがある。誘拐犯な
高木浩光@自宅の日記 - 個人情報定義は新経連の意向で米国定義から乖離しガラパゴスへ(パーソナルデータ保護法制の行方 その16)
■ 個人情報定義は新経連の意向で米国定義から乖離しガラパゴスへ(パーソナルデータ保護法制の行方 その16) 今回の国会提出法案で、個人情報の定義を拡充するとされていた点は、次の条文となった。 (定義) 第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。 一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を
高木浩光@自宅の日記 - 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12)
■ 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12) また同じ過ちが繰り返された。いったい何度繰り返せば学習するのか。 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始! http://t.co/JRFplpoiWP #プレスリリース — (株)共同通信社 (@Kyodonews_KK) 2014, 12月 2 このプレスリリースは誰が流したものか。以下の画面のように冒頭に「経済産業省」と記載があり、これを見た人は�経済産業省が流したものだと思うだろう。*1 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始!, 株式会社共同通信社 申込先のリンクが http://kojinjohohogo-guideline.jp と書かれている。 やるのはいいけど、.go .jpじゃないわ、
高木浩光@自宅の日記 - 緊急起稿 パーソナルデータ保護法制の行方 その1
■ 緊急起稿 パーソナルデータ保護法制の行方 その1 昨年7月からブログには書かないことにしていた*1が、緊急事態であるので、政府のパーソナルデータ保護法制(個人情報保護法改正)の議論の状況についてに書いておきたい。本当は論文や講演の形で示していくつもりだったが、それでは間に合わない状況が発生中であるので、周知の目的で取り急ぎかいつまんで書く。副政府CIOの向井治紀内閣審議官とお話ししたところ、「ブログに書いたらエエやないですか。どんどん書いてください。」とのことであったので、それ自体書くことを含めて許可を得たところで書くものである。 先週、IT総合戦略本部の「パーソナルデータに関する検討会」の第7回会合が開かれ、「定義と義務」についての事務局案が示された。資料が公開されている。事務局案は、これまでの「個人情報」についての定義と義務は変更しないものとし、新たに「準個人情報」と「個人特定性低
高木浩光@自宅の日記 - 多賀城市図書館は個人情報保護条例改正なしにTポイントを導入できるか
■ 多賀城市図書館は個人情報保護条例改正なしにTポイントを導入できるか 5月下旬に、武雄市のCCC図書館店が、宮城県多賀城市に伝染しそうだという報道があった。 ツタヤ図書館、宮城にも 多賀城市が新設、運営委託へ, 朝日新聞, 2013年5月25日 宮城県多賀城市は図書館を新設し、レンタル大手でTSUTAYA(ツタヤ)を展開するカルチュア・コンビニエンス・クラブ(CCC)に運営を委託する方針を決めた。同市は東日本大震災で被災しており、菊地健次郎市長は「人を呼べる拠点をつくりたい」としている。 (略)多賀城市長は3月、武雄市を視察した。 市によると、委託の形態や費用などについてCCCと交渉を進めている。CCC関係者によると、被災地への貢献も考慮して前向きに検討しているという。(略) ツタヤに図書館の運営委託検討 宮城・多賀城市、全国2例目, 産経新聞, 2013年5月31日 東日本大震災で被災
高木浩光@自宅の日記 - 書評:良いウェブサービスを支える「利用規約」の作り方
■ 書評:良いウェブサービスを支える「利用規約」の作り方 3月のこと。出版されたこの本を技術評論社より献本いただいた。 雨宮美季, 片岡玄一, 橋詰卓司, 良いウェブサービスを支える「利用規約」の作り方, 技術評論社, 2013 第1章「3大ドキュメント超入門」として、利用規約と、プライバシーポリシーと、特定商取引法に基づく表示について書かれており、第3章には「すぐに使える・応用できるひな形」なるものが掲載されている。 プライバシーポリシーについて、第1章の超入門で、個人情報保護法における「個人情報」に該当しない「個人に関する情報」もプライバシーポリシーの対象とするべきだと書かれている*1点は良い。2012年8月の総務省「スマートフォン・プライバシー・イニシアティブ」を参照し、「今後の流れに大きく影響する可能性があります。」とあり、スマホアプリ対応の解説となっている。 しかし、3章の「すぐ
高木浩光@自宅の日記 - もしも個人識別番号利用法に第15条がなかったら
■ もしも個人識別番号利用法に第15条がなかったら 先月、讃岐うどんチェーンの「はなまるうどん」が、健康保険証を提示すると50円引きするというキャンペーンを予告し、わけがわからないよと話題になっていた。 焼きうどんの予感?はなまるうどんの「レジで健康保険証を提示すると50円引き」キャンペーン, emo.tam, NAVERまとめ, 2013年3月23日 健康保険証を提示させるその意図が何なのか不明だが、キャンペーンのサイトを見ると次のように書かれている。 世界初。うどんに健康保険証、適用。, はなまるうどん 健康保険証割引のご利用は、1回のお食事につき、お1人様1回までとさせていただきます。 【キャンペーンに関する個人情報のお取り扱いについて】 ・会計時にご提示いただく際は、該当する保険証であることを確認させていただきます。 ・保険証に記載された氏名・生年月日などの個人情報を取得することは
高木浩光@自宅の日記 - 岡崎図書館事件から3年 〜 もう一つの誤認逮捕事件, 吹田市立図書館でサイバー攻撃騒ぎ、岡崎の教訓は活きていたか? 岡崎図書館..
■ 岡崎図書館事件から3年 〜 もう一つの誤認逮捕事件 一昨々日、去年の遠隔操作事件への対応で、 全署でサイバー教育へ…警視庁、誤認逮捕防止で, 読売新聞, 2013年3月13日 全警察署員に「サイバー講習」 警視庁、捜査能力向上狙う, 日本経済新聞, 2013年3月13日 という記事が出たところだが、今、日本のサイバー犯罪史上象徴的なもう一つの誤認逮捕事件、「岡崎図書館事件」から、3年が経とうとしている。図書館が最初に「ホームページにつながらない」との苦情電話を受け、担当者が三菱電機ISに対応策を尋ねたのが、3年前の今日、3月16日であった。 遠隔操作事件では犯人の取り違えであったのに対し、岡崎図書館事件は、犯罪でない行為を犯罪とみなしたと言うべき誤認逮捕であった。両者に共通するのは、捜査員や検察官の情報技術についての常識感の欠如であり、実際、振り返ってみると、どちらの事件でも、逮捕が報
高木浩光@自宅の日記 - パスモは乗車履歴を第三者提供? 他社のビッグデータに取り込まれる可能性
■ パスモは乗車履歴を第三者提供? 他社のビッグデータに取り込まれる可能性 前回の日記の続き。 あの後、パスモ社の担当者と何を話したかというと、同社の個人情報保護方針に反しているのではないかという点と、個人情報保護法に違反しているのではないかという点であった。 電話する前の時点では、「乗車履歴自体は個人情報ではない*1」という見解も出るかな*2と予想していたが、担当者は、前回の最後の部分で示したように、あっさりと個人情報だと認めたため、そこは論点にならなかった。 まず追求したのは、利用目的の明示。 個人情報保護法は、第18条で、個人情報を取得したときは速やかにその利用目的を本人に通知又は公表しなけれなばらないと定めており、その例外として、「あらかじめ利用目的を公表している場合を除き」としている。記名PASMOを作って利用を始めると、乗車履歴をパスモ社ほかに取得されることになるが、その乗車履
高木浩光@自宅の日記 - 心から利用者に説明する気なぞ微塵もない日本の事業者たち
では、この「利用規約を見る」ボタンを押せば、「端末情報を取得します」というのが何であるのかが、わかるようになっているのだろうか。 このボタンを押すと、Webブラウザが開くようになっており、表示されるのは以下のWebページであった。 セカイカメラ サービス利用規約, セカイカメラ サポートセンター このページの内容をくまなく見てみたが、どこにも「端末情報」という文字列は存在しないし、「UDID」の文字列もなければ、「端末識別」という文字列もない。内容的にUDIDに関係しそうなところを探して*5も、次の記述しか存在しない。 8. プライバシー 8.1 登録ユーザーが当社に届け出る情報および当社が取得したユーザーに関する情報は、当社が別途本サービスにおいて掲示するプライバシーポリシーに従って取り扱われるものとし、ユーザーは、かかるプライバシーポリシーに基づく個人情報の取扱いにつき同意するものとし
高木浩光@自宅の日記 - 不正指令電磁的記録罪創設刑法改正が前進か
■ 不正指令電磁的記録罪創設刑法改正が前進か 毎日新聞のスクープ記事によると、6年前から店晒しになっていた不正指令電磁的記録罪を新設する刑法改正案を、共謀罪から切り離して提出することを法務省が検討しているそうだ。 サイバー犯罪:「ウイルス作成罪」創設へ 刑法改正を検討, 2010年8月7日 コンピューターウイルスを使って個人情報を流出させるなどのサイバー犯罪を阻止するため、法務省はいわゆる「ウイルス作成罪」を新たに創設する刑法改正の検討に入った。(略)法務省は早期の法案提出を目指す。(略) 同種の刑法改正案は共謀罪を創設する組織犯罪処罰法改正案とともに03年以降3度、政府が国会に提出し、いずれも廃案となった。今回はサイバー犯罪防止の重要性がより高まっているとして、共謀罪を除き提出する方向で検討している。 そのまま切り離して再提出するのか、少しは直す余地があるのか。また、不正指令電磁的記録罪
高木浩光@自宅の日記 - 「VeriSignシール」という幻想
■ 「VeriSignシール」という幻想 オレオレ証明書ではないSSLサーバ証明書は、2つの独立した機能を果たしていると言える。1つ目は、SSLプロトコルによるサーバとクライアント間の暗号化通信のために不可欠な役割であり、2つ目は当該サイト運営者の実在証明の機能である。ただし、今日では、後者を含まない、前者だけのサーバ証明書もある。 後者の実在証明は、かつては認証局サービスを提供する各事業者がそれぞれの独自の基準で、サイト運営者の実在性を確認、認証していたが、それでは利用者にわかりにくいことから、認証の際の実在性確認の方法が標準化され、誕生したのがEV SSLであった。 その結果、VeriSignなど、古くから実在証明に力を入れていた認証局サービスでは、EVのものとEVでない実在証明付きサーバ証明書の2種類が存在することとなった。VeriSignでは、EV証明書の提供開始後も、EVでない実
高木浩光@自宅の日記 - 「ライフログ活用サービス」という欺瞞
■ 「ライフログ活用サービス」という欺瞞 実は、今年3月、総務省の「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」からは、有識者ヒアリングとして意見を述べる機会を頂いた。ただし、私に発言の機会が与えられたのは、「ライフログWG」における検討内容のうち、「より信頼されるサービスに向けて(配慮原則の提言)」の部分についてのみで、それ以外の部分については対象外だった。 あまり重大な指摘をする余地のない部分であったが、私としては与えられた使命を全うすべく可能な限り改善点を洗い出して、意見として列挙した。 この「配慮原則の提言」は、報告書案では「ライフログ活用サービス」という表現を使っているが、実質的には、これはすべて「行動ターゲティング広告」を対象としたものになっている。「ライフログ活用サービス」というと、利用者が自ら望んで活用する話に聞こえるが、行動ターゲティング広告では、基本的
高木浩光@自宅の日記 - MIAUについての所感
■ MIAUについての所感 前々回の日記でMIAUの中川理事のTwitter発言に触れて以来、MIAUについて、はてなブックマークで小さなコメントを書いていたところ、MIAU側で反応があり、MIAUからの公式発表とインタビュー記事が出た。 「インターネット地図情報サービスWG」第一次提言(案)作成協力のご報告, MIAU, 2009年8月3日 インターネット・ユーザーの声を政策の争点にしたい - インタビュー, 日経ITPro, 2009年8月7日 これをベースに、MIAUについての感想を書いてみる。 日経ITProのインタビュー記事の冒頭と終盤で津田大介代表理事が述べているように、審議会が市民参加に配慮しようにも「代表がいないから呼べない」という問題が存在していて、それに応じられる団体としてのMIAUの役割は重要であり、特に、ある時期の著作権関連の審議会において大きな役割を果たしたことに
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
