■ 競争政策が消費者の安全・詐欺被害耐性を破壊しに来た 内閣デジタル市場競争本部の「デジタル市場競争会議ワーキンググループ」が、「モバイル・エコシステムに関する 競争評価中間報告」 に対するパブリックコメントを募集している（今月10日23時59分まで）。これについては先月、ITmediaニュース「小寺信良のIT大作戦」で、「「iPhoneにサイドローディングさせろ」を国が言うのは妥当か」との記事が出ていて話題になっていた（はてブの反応、スラドの反応）。 中間報告の内容は多岐にわたっており、全部を把握していないが、ざっと見ると、技術的に誤った理解を前提にし、ろくに調査することなく技術面を蔑ろにしている箇所が、チラホラある。会合の記録を見ると、会議は非公開で行われ、パブコメ開始までに議事録も出して来ない*1。委員に技術者はいないし、技術者からの意見聴取もしていないようだ。そのくせ、技術的な問題

■ 緊急速報：マイナンバー法の「裏番号」禁止規定、内閣法制局でまたもや大どんでん返しか まえがき 個人番号（マイナンバー）を、法定された目的（税とか社会保障とか）以外で他人に対して提供を求めることが禁止されていることは、わりと広く知られており、みんな遵守してきたところだろう。だが、今、どう見ても目的外で提供を求めている（自社サービスの利用者登録の目的とされている）スマホアプリがあるということで、個人情報保護委員会の出方が問われているところ、宇賀説（宇賀克也『番号法の逐条解説』有斐閣）によれば合法ということになるのではないか？（おそらく弁護士らもそれを参考にしていたのでは？）という話が出ているのだが、これについて、番号法（行政手続における特定の個人を識別するための番号の利用等に関する法律、平成25年法律第27号）の立案過程で、内閣法制局で二転三転していたことが判明したので、至急、速報的に、こ

■ テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた 先週から、「ドコモ口座不正引き出し事件」の原因として、被害の発生した銀行が4桁数字の暗証番号で認証処理していたことが取りざたされており、リバースブルートフォース攻撃の手口が暗証番号特定の手段として使われた可能性について、テレビのワイドショーでも扱われるなど、世間での認知がかつてなく高まっている。 そこで、この機会に、昔から存在していたテレフォンバンキングの危険性について、銀行側に抗議すれば今ならご理解いただけるのではないかと考えた。この問題は十数年前にも銀行側に伝えているが、サービスを止めるわけにもいかないし、電話経由での自動処理による攻撃は考えにくいと当時は考えられたのか、対処されることはなかった。2020年の今日、電話経由のサイバー攻撃は技術面で十分に容易に可能となっていると考えられ

■ 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む IPAの「安全なウェブサイトの作り方」（改定第7版2015年、初版2006年）のHTML版が出ている。項目別にページが作られている。 1.1 SQLインジェクション 1.2 OSコマンド・インジェクション 1.3 パス名パラメータの未チェック／ディレクトリ・トラバーサル 1.4 セッション管理の不備 1.5 クロスサイト・スクリプティング 1.6 CSRF（クロスサイト・リクエスト・フォージェリ） 1.7 HTTPヘッダ・インジェクション 1.8 メールヘッダ・インジェクション 1.9 クリックジャッキング 1.10 バッファオーバーフロー 1.11 アクセス制御や認可制御の欠落 というのも、4年前にWELQ問題が火を噴いたのと同様に、キーワードWeb検索からの流入を当て込む「いかがでしたか系」の乱造記事のSEO汚染の

■ 空前の武雄市TSUTAYAドヤリングで住所・氏名・電話番号漏洩の危機 まもなく武雄市に2軒目のTSUTAYAが開業するということで、昨日から一般市民に先んじて内覧会に招集された市長のお友だちらから続々と喜びの声があっている。また、会員登録の事前登録が始まっているため、入手したTポイントカードの写真を撮ってツイートする人が次々と現れている。 カード作ってみた #osoreiri #武雄市 @ 武雄市立図書館 instagram.com/p/XbaH0pkQSn/ — 末広栄二さん (@e_suehiro) 2013年3月29日 武雄市のTカードに更新してきたーーー(^ー^) レンタル無料券とスタバの無料券もらったー(^ー^) twitter.com/kpnnnnu/status… — KPさん (@kpnnnnu) 2013年3月29日 このように、Tポイントカードの番号（Tカード番号）

■ オレオレ匿名化が良貨を駆逐する 「徒歩ログマップ」とビッグデータ 「auナビウォーク」（NAVITIMEのスマホアプリと同等品）に、「徒歩ログマップ」という機能がある。ナビタイムジャパン社のプレスリリース「『徒歩ログマップ』提供開始のお知らせ」によると、2011年4月28日から開始されていたようだ。 この機能、ほとんど説明がない。アプリでは図1の画面に出てくる表示しか説明がないし、ナビタイムジャパン社のプレスリリースでも次のように説明されているだけだ。 『徒歩ログマップ』機能とは、「NAVITIME」、「EZナビウォーク」のGPS情報を元に、5都市（「EZナビウォーク」「au one ナビウォーク」は7都市）及び現在地周辺で最近歩かれている道が地図上で表示できるサービスです。本機能は無料でご利用いただけます。 ・現在から1日以内に通行実績のある道路：緑色 ・1週間以内に通行実績のある道

■ 遠隔操作ウイルス事件での冤罪・誤認逮捕を警察自身が問題点検証した報告書 遠隔操作ウイルス事件において、冤罪や誤認逮捕を生み出したことについて、警視庁、神奈川県警、大阪府警、三重県警は、それぞれ、自らの捜査の経緯を検証し、報告書をWebサイト上で公表した。いずれも2012年12月14日に同時発表されている。しかし、半月あまりでこれらのいずれの報告書もWebサイトでの掲示が取りやめられていたことが発覚した。 【遠隔操作】誤認逮捕の報告書、警視庁と神奈川県警が公開から1ヵ月もしない内に削除, 2013年1月10日 私が各警察本部（広報課、広報室）に電話で問い合わせたところ、元々掲載期間を2012年末までとしたものであったため、12月28日や31日に掲載終了したとのことだった。国立国会図書館に納入しているわけでもない様子である*1。 この報告書は、警察の捜査のあり方を研究する上で重要な意義を持

■ ダウンロード刑罰化で夢の選り取り見取り検挙が可能に 罰則ないから*1として2010年1月から施行された「ダウンロード違法化」*2。これに今、「2年以下の懲役又は200万円以下の罰金」の罰則が設けられようとしているようだ。 違法ダウンロードに罰則 著作権法改正案を可決 衆院本会議, 産経新聞, 2012年6月15日 違法ダウンロード:罰則を科す法案 審議なく衆院を通過, 毎日新聞, 2012年6月15日 そこで、Winnyネットワークを対象に、どのくらい簡単に利用者を検挙できるようになるか、以下、考察してみる。 これまで、Winnyネットワークでは違法な公衆送信が数多くなされてきたが、刑事訴追はあまり順調に進んでいるとは言い難い状況であった。その原因は、公衆送信の故意の立証が容易でなかったためであろう。 ここは「一次放流者」と「二次共有者」を分けて考える必要がある。一次放流者（最初にWi

■ 武雄市長、会見で怒り露に「なんでこれが個人情報なんだ！」と吐き捨て 「日本ツイッター学会（自称）」会長兼「日本フェースブック学会（自称）」会長の、武雄市長（佐賀県武雄市）が、武雄市の市立図書館で、CCC（カルチャー・コンビニエンス・クラブ）と提携して、Tポイントカードを導入するとの構想を発表した。 武雄市とカルチュア・コンビニエンス・クラブ株式会社の武雄市立図書館の企画・運営に関する提携基本合意について, CCC カルチュア・コンビニエンス・クラブ株式会社, 2012年5月4日 ツタヤ運営企業に図書館委託 佐賀県武雄市, 共同通信, 2012年5月4日 図書館の運営、ツタヤに委託 佐賀県武雄市, 中国新聞, 2012年5月4日 図書館の利用カードはCCCのポイントカード「Tカード」へ切り替える。Tカードは若い世代に普及しており、図書館を使わない人が多いとみられる若年層を呼び込む狙いがあ

■ パスモは乗車履歴を第三者提供？ 他社のビッグデータに取り込まれる可能性 前回の日記の続き。 あの後、パスモ社の担当者と何を話したかというと、同社の個人情報保護方針に反しているのではないかという点と、個人情報保護法に違反しているのではないかという点であった。 電話する前の時点では、「乗車履歴自体は個人情報ではない*1」という見解も出るかな*2と予想していたが、担当者は、前回の最後の部分で示したように、あっさりと個人情報だと認めたため、そこは論点にならなかった。 まず追求したのは、利用目的の明示。 個人情報保護法は、第18条で、個人情報を取得したときは速やかにその利用目的を本人に通知又は公表しなけれなばらないと定めており、その例外として、「あらかじめ利用目的を公表している場合を除き」としている。記名PASMOを作って利用を始めると、乗車履歴をパスモ社ほかに取得されることになるが、その乗車履

■ ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか SuicaやEdyの登場によって、カードに記載の番号が新たな問題をもたらすであろうことは、8年前に関心を持ち、何度か書いた。 Edyナンバーは易々と他人に知らせてよい番号なのか, 2004年2月29日の日記 Edyナンバーはどのように使われるものか, 2004年7月11日の日記 許諾なしに公表されるEdyナンバーとSuica番号, 2004年7月11日の日記 その後、EdyナンバーやSuicaのIDiは無闇に掲示されることはなくなり、問題は起きなかった。コンビニのam/pmがEdyを用いて独自に展開していた「club ap」でも、利用者登録にはam/pm店舗のレジで印刷してもらう「仮パスワード」を必要とするようになっており、まあ一応ちゃんと設計されていた。*1 ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。

■ spモードはなぜIPアドレスに頼らざるを得なかったか spモードの事故 NTT docomoのスマホ向け独自サービス「spモード」が、今月20日に大規模な事故を起こして、重大事態となっている。 スマホ向けネット接続が不具合 ドコモ 別人のアドレス表示, MSN産経ニュース, 2011年12月20日 ドコモのspモードで不具合、他人のメールアドレスが設定される恐れ, 日経IT Pro, 2011年12月21日 ドコモの「spモード」でトラブル、関連サービスが一時停止, ケータイ Watch, 2011年12月21日 ドコモ、spモード障害で「ネットワーク基盤高度化対策本部」設置, ケータイ Watch, 2011年12月26日 ドコモ 約1万9000人に影響, NHKニュース, 2011年12月27日 ドコモの“メアド置き換え”不具合、影響数や新事象が明らかに, ケータイ Watch,

■ 何が個人情報なのか履き違えている日本 昨日の日記の件、みなさんからの声により、PlayStation 3をテレビ録画機にする製品「トルネ」についても同じ問題があり、どんなジャンルの番組をよく視聴しているかや、視聴時刻までもが公開状態になっていることが判明した。これについては後述する。 それより先に今言いたいのは、こういうことが起きるのは、何が「個人情報」なのかを、日本の事業者や行政がみんな揃って履き違えているためではないかということだ。 今回の件について、ソニーはこう釈明するかもしれない。「オンラインIDは個人情報に該当しない。オンラインIDに氏名などの個人情報を含めないよう登録画面で注意書きしている*1」と。しかしそういう問題でないのは明らかである。 日本の事業者はどこもかしこも、「個人情報」に該当しなければ何をやってもいいという誤った道に進み始めている。そして、日本の個人情報保護法

■ なぜソニーが駄目でアップルやマイクロソフトは良いのか 8月14日の日記を書いた翌週のこと、なんとなく「hiromichu」でググってみたところ、以下のページが見つかり、魂消た。 hiromichu - PlayStation®Home オフィシャルサイト, http://playstationhome.jp/community/mypage.php?OnlineID=hiromichu このページで「トロフィー」のところをクリックすると、なんと、私がどんなゲームで遊んでいたかまで表示されてしまう。URLの「OnlineID=」のところに任意のIDを指定することで、全ての人のゲームプレイ状況を閲覧できてしまう。（このサイトにログインしていなくても。） プレステ3を買ってPlayStation Networkを使い始めてかれこれ何年にもなるが、これまで、全くこのことに気付かないまま、いくつ

■ 警察と検察と裁判所で何があったか 岡崎図書館事件(2の1) 6月20日のこと、Twitterで @librahack から言及された。見に行ってみると http://librahack.jp/ というサイトが出現していた。なんと、岡崎図書館事件で逮捕された方は不起訴処分になっていた。@librahack からフォローされていたのでダイレクトメッセージで連絡が欲しいとコンタクト。メールで何があったのか事実関係を聞かせてほしいとお願いしたところ、数日後、ご本人からのメールが到着した。 当時の中川氏は、警察にまだ何されるかわからないと恐れている様子だった。起訴猶予処分だから今後起訴される可能性も残っていると思っていたようで、ご家族への配慮や業務への影響から、「正直あまり警察を刺激したくない」とのことだった。それでも、http://librahack.jp/ を立ち上げたのは、「問題点を電話し

■ 三菱電機ISに求められているものは何か 岡崎図書館事件(10) 今日の読売新聞朝刊社会面に次の記事が出ていた。 図書館システム不具合…三菱電機系 情報流出・蔵書検索が「サイバー攻撃」か？, 読売新聞2010年11月29日朝刊社会面 図書館利用者100人以上の個人情報が流出したほか、蔵書を検索しただけで「サイバー攻撃」と誤解された男性が偽計業務妨害容疑で逮捕され、その後、システムに原因があったことも分かった。同社は近く調査結果を公表し、関係者に謝罪する。 （略）MDISは06年には不具合を改良し、その後に納入した図書館には改良版を提供していたが、今回、岡崎市から障害の相談を受けた際には「システムに原因はない」と回答。このため図書館は警察に被害届を出していた。MDISは「保守担当者がシステムをよく理解していなかった」として、逮捕された男性への謝罪の意を表明する方針。 三菱電機ISが近く発表

■ 三菱図書館システムMELIL旧型の欠陥、アニメ化 - 岡崎図書館事件(7) 21日の日記で示したMELIL/CS（旧型）の構造上の欠陥について、その仕組みをアニメーションで表現してみる。 まず、Webアクセスの仕組み。ブラウザとWebサーバはHTTPで通信するが、アクセスごとにHTTP接続は切断される*1。以下のアニメ1はその様子を表している。 このように、アクセスが終わると接続が切断されて、次のアクセスで再び接続するのであるが、ブラウザごとに毎回同じ「セッションオブジェクト」に繋がるよう、「セッションID」と呼ばれる受付番号を用いて制御されている。 なお、赤い線は、その接続が使用中であることを表している。 次に、「3層アーキテクチャ」と呼ばれる、データベースと連携したWebアプリケーションの実現方式について。3層アーキテクチャでは、Webアプリケーションが、Webサーバからデータベー

■ 国会図書館の施策で全国の公共機関のWebサイトが消滅する 岡崎図書館事件(5) 平成22年4月1日施行の改正国立国会図書館法に基づき、国立国会図書館が、国・地方公共団体等の公共機関を対象に、インターネット上で公開されている資料のWebクローラによる収集を開始したという。その説明資料によると、クローラのアクセス間隔の基準は「1秒以上」だという。中野区立図書館の場合、/robots.txt が置かれておらず、セッションタイムアウトは実測で600秒*1であることから、1秒間隔でクローラが来ると*2、散発的につながらない状態がしばしば発生すると思われる。 目次 /robots.txtで自ら姿を隠す公共図書館 国立国会図書館法第25条の3第2項に違反 国会図書館が公共機関のWebサイトを消滅させる虞れ /robots.txtで自ら姿を隠す公共図書館 中野区立図書館や岡崎市立中央図書館は、三菱電機

■ Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6) もしや三菱電機ISのシステムはフリーソフトを使っていたりはしないかと、「WwKensaku.aspx」でググってみたところ（図1）、そこに現れたのは、 Anonymous FTPサイト専門の検索サイトだった*1。そこでさらに「WwKensaku.aspx」で検索してみると、なんとそこに現れたリンク先は ftp://210.230.245.201/ （図2）、このリンクをクリックすると図3の画面が現れた。

■ 岡崎図書館事件について その1 5月26日にこんな報道があった。 図書館HPにアクセス3万3000回 愛知県警 業務妨害容疑、38歳を逮捕, 朝日新聞2010年5月26日朝刊 県警生活経済課と岡崎署によると、容疑者は、4月2日から15日にかけて、岡崎市中央図書館のホームページに、計約33,000回のアクセスを繰り返し、ホームページを閲覧しにくい状態にしたという疑いがある。（略） 同課によると、容疑者は1回ボタンを押すだけで、1秒に1回程度の速度でアクセスを繰り返せるプログラムを作っていたという。容疑者は同図書館の利用者だったが、目立ったトラブルは確認されていないといい、動機を調べている。 図書館にサイバー攻撃, 読売新聞2010年5月26日朝刊 県警は25日、インターネット関連会社社長を偽計業務妨害容疑で逮捕した。（略） 調べに対し、アクセスしたことは認めているが、動機については話して