高木浩光@自宅の日記
■ Claude 3による解説:「不適正利用禁止」規定は立案段階で内閣法制局にどう捻じ曲げられたか 昨日の日記「「不適正利用禁止」規定は立案段階で内閣法制局にどう捻じ曲げられたか」だが、おそらく「長すぎて読めない」という声が多そうなので、Claude 3に原稿を読ませて簡単に解説してもらった。これで興味が湧いたら原文を見てほしい。 Claude:はい、この文書の意味はよく理解できます。これは、個人情報保護法の2020年改正(令和2年改正)で新設された「不適正利用禁止」規定(第19条)がどのように立案されたかについて、情報公開請求で開示された内閣法制局審査資料を基に詳細に解説したブログ記事の原稿です。 主な内容は以下の通りです: 当初、個人情報保護委員会事務局は、プロファイリングなどの新技術に対応するため、「適正な利用」義務を新設しようとしていた。 しかし、内閣法制局との審査過程で、規範の明
高木浩光@自宅の日記 - Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根
■ Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根 Winny作者が著作権法違反幇助の罪に問われている裁判の地裁判決がいよいよ明日出るわけだが、有罪になるにせよ無罪になるにせよ、そのこととは別に、独立事象として、Winnyネットワーク(および同様のもの)がこのまま社会に存在し続けることの有害性についての理解、今後のあり方の議論を進めるべきである。 著作権侵害の観点からすればさして致命的な問題ではないと考える人が大半だろう。しかし、情報セキュリティの観点からすると、流出の事故を防止しなければならないのと同時に、起きてしまった事故の被害を致命的でないレベルに止めることが求められる。 これまでに書いてきた通り、Winnyは、従来のファイル交換ソフトと異なり、利用者達が意図しなくても、多くの人が流通し続ける事態は非倫理的だと思うような流出データであっても、たらい回しにいつまでも流通
「Winnyは既に必要な技術ではなく、危険性を認識すべき」高木氏講演
大阪弁護士会館で17日、情報処理技術と刑事事件に関するシンポジウムが開催された。シンポジウムは、Winny事件の判決を契機にIT技術と刑事事件を考えるという内容で、大阪弁護士会刑事弁護委員会、情報処理学会、情報ネットワーク法学会が共同で主催した。 シンポジウムでは、Winnyの開発者である金子勇氏によるWinnyの概説や、ファイル共有ソフトに関する刑事法的な問題点など、技術と法律の両面からWinnyやファイル共有ソフトの問題点についての講演が行なわれた。午後の講演では、産業技術総合研究所の高木浩光氏が「ファイル共有の抱える技術的な問題点」と題して、セキュリティの観点から見たWinnyの問題点を語った。 ● Winnyは「人が望まない」ことを止められない点が問題 高木氏はまず前提として、「Winnyがどのような目的や意図で開発されたのかという話とは無関係に、結果としてのWinnyを基に議論を
高木浩光@自宅の日記 - キンタマウイルス頒布にマスコミ関係者が関与している可能性
■ キンタマウイルス頒布にマスコミ関係者が関与している可能性 Winnyを媒介して悲惨なプライバシー流出事故が続いているのは、言うまでもなく、自然現象なのではなく、ウイルスを作成し頒布している者が企図するところによるものである。いったいどういう人が何の目的で作成し頒布しているかということは、憶測にしかなりようがないので、あまり多く語られることはないが、よく耳にする陰謀論的な説としては、(1)著作権侵害行為をやめさせたいと考えている者が、Winnyの利用を危険なものにするためにやっているという説、(2)ウイルス対策や流出対策の事業者の関係者が、事業の需要を創出するためにやっているという説(これは、Winny媒介ウイルスに限らず昔のウイルスのころから語られていたもの)などがある。 私の憶測では、少なくとも初期のキンタマウイルスは、単純に愉快犯だったのだろうと思う。論座2006年5月号では私は次
高木浩光@自宅の日記 - JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり
■ JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり 一昨年7月のWASフォーラムのイベントで話した以下の件。 セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏, MYCOM PCWEB, 2005年7月12日 誤った解説や必要以上に危機感を煽る報道に不満 (略)アドレスバーがきちんと表示されていてURLが確認できる状態になった上で、SSLの鍵マークが表示され、ブラウザがSSL証明書に関する警告画面を出さなければ、いちいち証明書を開かなくても安全性は確認できるのに、未だに「安全性を確認するには証明書を開く必要がある」といった誤った解説が(それもセキュリティに詳しいとされている記者の記事の中で)なされている」と指摘。その上で「キーワードジャーナリズムは、よりユーザにとって手間のかからない対策手法を紹介すべきだし、
高木浩光@自宅の日記 - 「ウイルス作成罪」はこうしてほしい / 国会提出刑法改正案の趣旨
■ 「ウイルス作成罪」はこうしてほしい / 国会提出刑法改正案の趣旨 「ウイルス作成罪」という言葉は誤解を招くようなので、国会提出法案での名称「不正指令電磁的記録に関する罪」あるいは、「ウイルス」の代わりに「不正指令電磁的記録」を用語として使用していきたいところだが、Web検索上の便宜のため今回はタイトルは「ウイルス作成罪」とした。以下では同じものを指すものとする。 ウイルス作者の逮捕 さて、ウイルス作者が著作権法違反で逮捕されるという事態になった。24日に読売新聞の取材を受け、コメントが以下のように掲載された。 院生逮捕 ウイルス野放し、作成に法規制なし 法令駆使し摘発/京都府警, 大阪読売新聞, 2008年1月24日夕刊 (略) ウイルス被害が広がる中、法務省は2004年、ウイルスの作成・所持を罰する「ウイルス作成罪」を盛り込んだ刑法等の改正案を国会に提出。しかし、同法案に盛り込まれた
高木浩光@自宅の日記 - 本物がいい加減なことをしていると偽物につけ入られる事例2件
■ 本物がいい加減なことをしていると偽物につけ入られる事例2件 スパイウェア対策ソフト売りのFUD PC世界のリフォーム詐欺、「ミスリーディングアプリ」って何だ?, ITmedia, 2007年1月11日 という記事が出ているが、ここで次の映像の冒頭を見てみる。 【動画】 眞鍋かをり「スパイウェアの恐さをもっとわかって」*1, ソフトバンクビジネス+IT, 2006年10月5日 いや正直ですね、ほんとにあの去年の春に、はじめてあのー、まあ、お仕事させていただいてソフトを頂いたんですけど、それまでセキュリティ対策を一切やってなかったので、あのー、はじめてあの、ソフトを入れてチェックしたときはですね、スパイウェアがね、208個出てきたんですよ。(ハハハハ。)ふふ。ちょっとひどい状態、もしかしたら情報出ちゃってたかもしれないなと思うくらいなんですけども、たいした情報入ってないんですけど、ねー、で
高木浩光@自宅の日記 - 一日中幼児たちの映像を不特定多数に公衆送信している保育所, 追記(19日)
■ 一日中幼児たちの映像を不特定多数に公衆送信している保育所 子ども守るIT ――学校で駅で街で, 朝日わくわくネット, 2005年9月28日 ネット中継 幼稚園での笑顔満開/職場で家で親安心 (略)こうしたシステムでは、保護者らには専用パスワードを配布して映像が見られるようにするが、権限のない部外者には映像を見せないのが普通だ。しかし、同保育所は「保育所に興味を持ってほしい」と、一般にも映像を公開している。もっとも、子どもの安全を守るため、カメラのズームアップはできないようにしており、保護者でもない限り、映像で子どもの見分けはできない。 という記事があった。「西脇保育所」で検索してみると見つかった。 社会福祉法人 西脇保育所 ライブ映像 たしかに、誰でもライブ映像を見られるようになっている。今見たところ、プールから出た女児たちが全裸になって着替えている様子が映っていた。 「映像で子どもの
高木浩光@自宅の日記 - ハマチをちゃんとテリヤキにするのは難しい, CSRF脆弱性を突く攻撃行為を現行法で処罰できるか
■ CSRF脆弱性を突く攻撃行為を現行法で処罰できるか CSRF脆弱性が攻撃されることは、それがもたらす被害の内容によっては、不正アクセス禁止法が守ろうとしているものと同等のものが侵害される場合もある。たとえば、本人でなければ見ることのできないはずの情報が、CSRF脆弱性を突く罠を仕掛けた者に送信されるといった攻撃は、不正アクセス行為の典型的な侵害事例と同様の被害をもたらす。また、同法の目的である「アクセス制御機能により実現される電気通信に関する秩序の維持」(第1条)が損なわれるという点も共通する。 しかしながら、CSRF脆弱性を突く攻撃行為は、結果が同じてあっても手段が異なるために、不正アクセス禁止法による処罰は難しいのではないかと以前から思っていた。これについては、2005年7月3日の日記「クロスサイトリクエストフォージェリ(CSRF)対策がいまいち進まなかったのはなぜか」にも書いた。
高木浩光@自宅の日記 - 編集長が見て見てと言うので買ったネットランナー5月号の仰天内容
■ 編集長が見て見てと言うので買ったネットランナー5月号の仰天内容 4月12日の日記「Winny利用教唆本のセキュリティ対策指南、その仰天内容」のリンク元を辿ったところ、 今月Winny特集やってるから、高木さんに取り上げてほしいなあ。 d.hatena.ne.jp/kgoutsu/, 2006年4月13日 という記述があった。どうやらこのブログ主は、「ネットランナー」の編集長の方らしい。 たしかに、Winnyの話題で「違法行為を蔓延させた刑事責任は出版社にある」という指摘が出てくるときに真っ先に槍玉に挙がるのは「ネットランナー」であることが多いが、実際のところ同誌はそれほど悪質なものではなく、セキュリティ対策をキチンと啓蒙するなどの良い点もあるとの主張を耳にすることもあった。 ネットランナーはほとんど読んだことがない*1ので、昔どういう内容だったとかは知らないが、編集長がこうおっしゃるく
高木浩光@自宅の日記 - Java用「winnytp://」プロトコルハンドラを作ってみたら簡単にできた
■ Java用「winnytp://」プロトコルハンドラを作ってみたら簡単にできた タイミングのよいことに、11日の日記の「Winny可視化のため、WebブラウザにWinnyプロトコルハンドラを」に対して、「高木版Winnyプロトコルハンドラは妙だ」という反応があった。 それを言うなら winnytp://a272e2d2e7a6844d97ab5fd9619be1d6 というURIで、ネットワークのどこかにある a272e2d2e7a6844d97ab5fd9619be1d6 というハッシュのファイルを指すのが自然なんじゃないかと。 高木版Winnyプロトコルハンドラは妙だ, blog.fuktommy.com, 2006年6月25日 べつにそれに限定される理由はない。両方があり得るというだけのことだ。 URL (Uniform Resource Locator) として、場所を指定して
高木浩光氏による「安全なWebアプリ開発の鉄則2005」(pdf)
1 安全なWebアプリ開発の鉄則2005 独立行政法人産業技術総合研究所 情報セキュリティ研究センター 高木 浩光 http://staff.aist.go.jp/takagi.hiromitsu/ Internet Week 2005 チュートリアル 2005年12月8日 配布資料 2 目次 • Webアプリの基本的な構成 – セッションIDによるセッション追跡 – セッションIDの配置 • セッション追跡に対する攻撃と防御 – セッションハイジャック – セッションライディング(CSRF:クロス サイトリクエストフォージェリ) – セッション固定化 • セッション追跡方式の欠陥 – 推測可能なセッション追跡パラメタ – 予測可能なセッションID – 稚拙な暗号の使用 • 権限確認の欠陥 – アクセス制御の欠如 – ユーザ識別の欠如 • 画面設計の問題 • 万が一に備えた適切な実装 •
高木浩光@自宅の日記 - ブログからFUDへ? 眞鍋かをりは30個の「スパイウェア」のうちcookieの数を明らかにせよ
■ ブログからFUDへ? 眞鍋かをりは30個の「スパイウェア」のうちcookieの数を明らかにせよ CA、スパイウェア撲滅キャンペーンに眞鍋かをりらが参加, INTERNET Watch, 2006年3月9日 最近までスパイウェア対策をしていなかったという眞鍋かをりは、CAのスパイウェア対策ソフト「eTrust PestPatrol アンチスパイウェア」でPCをスキャンしたところ、約30のスパイウェアが検出されたと告白。「目に見えてPCが故障するわけではなかったので意識していなかったが、気付かないうちに感染していて驚いた。何も対策をしていない人は、絶対感染しているはず」と訴えた。 また言ってるのか。一回目は黙っておこうと思ったが、繰り返すつもりなら、もうこれは黙認していくわけにはいかないだろう。 現在日本において「スパイウェアの被害」といえば、銀行から預金が盗まれる被害が連想される。昨年夏
高木浩光@自宅の日記 - 非接触型電子マネーは消費者にとって安全なのか
■ 非接触型電子マネーは消費者にとって安全なのか 最近、電子マネーの安全性にについて取り沙汰されているようだ。電子マネーの安全性というと、サービス事業者(発行者)ないし加盟店に損金が出るリスクと、消費者(利用者)に損金が出るリスクを分けて考えるべきだろう。 発行者の損金については、正直、外野がとやかく騒ぐことでもないという面がある。発行者は当然ながらそうしたリスクを詳細に検討した上で事業を展開しているはずであり、一定程度までの被害は必要コストとして計算されているはずだ*1。それに対し、消費者に損金が出るリスクが存在する場合にはそうはいかない。その事実が消費者に知らされるべきであり、回避策があるなら周知されるべきであろう。 さて、何か月か前にラジオライフ誌から取材したいとの申し入れが自宅日記のメールアドレスにあった。Suicaなどでスキミング被害が出ないのはなぜなのか技術的に解説して欲しいと
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
