高木浩光@自宅の日記 - 富士通総研が研究員のコラムを削除、国民ID・共通番号制度を巡る現況
■ 富士通総研が研究員のコラムを削除、国民ID・共通番号制度を巡る現況 先週の金曜日、富士通総研のコンサルタントらによるコラムのサイトに掲載された、「国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを」という記事が、その日のうちに説明なく削除されるという事件があり、いったい何があったのかと憶測を呼んでいる*1。 国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを, 榎並利博, 富士通総研, 2011年5月13日(現時点では「エラー404 お探しのページは存在しません」と表示される) 政府からの圧力を疑う人が続出していたが、私の感触では、番号制度*2をめぐる現在の状況では、そういうことは考えにくいのではないかと思う。それよりも、この記事の主張の組み立て手法に見られる典型的な不味さが、富士通総研やその周辺の関係者に見抜かれたためではないか。私はそう憶測する。 榎並氏の3
高木浩光@自宅の日記 - 今こそケータイID問題の解決に向けて
■ 今こそケータイID問題の解決に向けて 目次 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 Web開発技術者向けの講演でお話ししたこと 研究者向けの講演、消費者団体向けの講演でお話ししたこと 総務省がパブリックコメント募集中 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 6月初めのこと、ソフトバンクモバイルが「電波チェッカー」というiPhoneアプリを直々に開発して、iTunesストアで配布を始めたというニュースがあったのだが、それを伝えるITmediaの記事で、「取得された電波状況情報はiPhoneのUDIDとともにソフトバンクモバイルに報告される」と書かれているのが気になった。*1 「電波チェッカー」で検索して世間の反応を探ったところ、ソフトバンクモバイル社のCTO(最高技術責任者)の方が、Twitterで直々に市民と対話な
高木浩光@自宅の日記 - 「ライフログ活用サービス」という欺瞞
■ 「ライフログ活用サービス」という欺瞞 実は、今年3月、総務省の「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」からは、有識者ヒアリングとして意見を述べる機会を頂いた。ただし、私に発言の機会が与えられたのは、「ライフログWG」における検討内容のうち、「より信頼されるサービスに向けて(配慮原則の提言)」の部分についてのみで、それ以外の部分については対象外だった。 あまり重大な指摘をする余地のない部分であったが、私としては与えられた使命を全うすべく可能な限り改善点を洗い出して、意見として列挙した。 この「配慮原則の提言」は、報告書案では「ライフログ活用サービス」という表現を使っているが、実質的には、これはすべて「行動ターゲティング広告」を対象としたものになっている。「ライフログ活用サービス」というと、利用者が自ら望んで活用する話に聞こえるが、行動ターゲティング広告では、基本的
高木浩光@自宅の日記 - ユニークIDがあれば認証ができるという幻想
■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。 各サイトの「かんたんログイン」に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない(不正アクセス禁止法違反になる)ので、自分用のアカウントを作成して(会員登録して)、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は
Winnyサイトブラウザ "Nyzilla" - Download
発行元: Hiromitsu Takagi, Toshima-ku, Tokyo, JP (期限切れ中) 脆弱性対応期限: 2012年12月23日まで 重要なお知らせ 現在、インストーラ(Nyzilla_Setup.exe)のコード署名の証明書の有効期限が切れています。(2011年12月30日) 最新情報 インストーラ(Nyzilla_Setup.exe)のコード署名の証明書の有効期限が切れました。(2011年12月30日) 脆弱性対応期限を延長しました。(2011年12月23日) Nyzillaとは Nyzillaは、Winnyのサイトを閲覧するブラウザです。ファイル共有・交換ソフトではないので、ファイルのアップロード機能はありませんし、ダウンロード機能もありません(※1)。WebブラウザやFTPソフトと同じように、1つのサイトとだけ接続して、そのサイトがどんなファイルを公開しているか(
高木浩光@自宅の日記 - 誤報是正「無罪判決でWinny利用者増加」は誤り
■ 誤報是正「無罪判決でWinny利用者増加」は誤り Winnyノード数は無罪判決後やや増加? ネットエージェント調査, INTERNET Watch, 2009年10月14日 逆転無罪の影響か?「Winny」のノード数が増加――ネットエージェント調べ, japan.internet.com, 2009年10月14日 逆転無罪判決でWinnyノードはやや増加、ネットエージェント, @IT, 2009年10月15日 Winny裁判、判決後にノード数が増加! 〜 10月最高値を更新, RBB TODAY, 2009年10月16日 上記の報道があり、たくさんの人々がこれを鵜呑みにしたようだが、増加した事実はない。 8月22日の日記に書いたように、5月から、Winnyネットワークに対して、ランダムなIPアドレスをソースノードとした偽キーの散布が、目的不明ながら、何者かによって断続的に実施されている
高木浩光@自宅の日記 - 「WPA-TKIPが1分で破られる」は誤報
■ 「WPA-TKIPが1分で破られる」は誤報 先月、無線LANのWPA-TKIPが1分以内に破られるという報道があり、話題となった。 無線LANのWPAをわずか数秒から数十秒で突破する新しい攻撃方法が登場、早期にWPA2に移行する必要あり, Gigazine, 2009年8月5日 今回の方法は昨年11月に発表された「Tews-Beck攻撃」(略)がQoS制御を利用する機器に限定されるものであり、鍵の導出に15分もの時間が必要であったのに対して、わずか数秒から数十秒で導出してしまうことができるというもの。(略) 今回発表される方法では、TKIPにおける定期的に変更される鍵について、TKIPのプロトコルの新たな脆弱性を利用して極めて短時間(数秒から数十秒)で導出し、その鍵を効率よく利用する方法として新たな中間者攻撃を開発したとのこと。 無線LANセキュリティ「WPA」をわずか1分以内で破る手
高木浩光@自宅の日記 - ダウンロード違法化反対家の知られるべき実像
■ ダウンロード違法化反対家の知られるべき実像 あるきっかけで、あるダウンロード違法化反対家の人の、自宅のものと思われるIPアドレスを知ってしまった。知ることができたのは、2007年と2008年のいくつかのある日におけるIPアドレスである。そのIPアドレスを手元のWinnyノード観測システムの接続ログと突き合わせてみたところ、5回の日時において、WinnyノードのIPアドレスとして観測されていたのを見つけた。 それらのIPアドレスがソースとなっていたキーを抽出し、16日の日記の方法で視覚化したところ、図1のとおりとなった。 他の区間でどうだったかを調べたいところだが、2007年の部分と2008年の部分では、ISPが異なっており、ポート番号も「4857」と「3857」という具合*1に違っていた。 一般的に個人宅に割り当てられるIPアドレスは時々変化しており、それを追跡することは通常、簡単でな
高木浩光@自宅の日記 - エコポイント申請画面が共用SSLサイト上にある件
■ エコポイント申請画面が共用SSLサイト上にある件 「エコポイント」の情報システムがわずか3週間で完成した理由, 有賀貞一, NIKKEI NET, 2009年8月26日 こうした問題を解決するために、エコポイント事務局と関係省庁が選択したのが、米セールスフォース・ドットコムの基盤サービス「Force.com」だった。セールスフォースはこのForce.comを「クラウドコンピューティングプラットフォーム」と表現している。利用者はサーバーなどのインフラを持つことなく、この基盤上で独自のシステムを構築できる。 という記事を読んで、「エコポイント」のサイトを初めて訪れたのだが、これはまずい。 「エコポイント」公式サイトの運営者は、「グリーン家電エコポイント事務局」となっていて、プライバシーポリシーでも個人情報取扱責任者が「グリーン家電エコポイント事務局」として書かれている。しかし、国民の視点か
高木浩光@自宅の日記 - やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合
■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日 (略)こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。 (略)iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。 (略)契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ
高木浩光@自宅の日記 - 日弁連はストリートビュー問題に対して何か行動しないの?
■ 日弁連はストリートビュー問題に対して何か行動しないの? 前回の日記に対して、弁護士の壇俊光氏よりご当人のブログ上にて以下のご批判を頂いた。 横浜市墓地条例とGSV, 壇弁護士の事務室, 2008年9月26日 高木浩光さんのところでこんな記事を拝見した。(略) 横浜市墓地条例の解釈としては(中略)刑事罰の予定されている条項の解釈は厳格になされなくてはならない。公道を墓地や霊堂に含むというのは無理である。 というわけで、道義的な問題や個人情報などの問題はあれどもGSVで公道から撮影する行為は条例に反しないというのが法律実務家としての結論である。 違法行為と決めつけた記述が見受けられるが、この問題は、謙虚に法律を学んだうえで論じる姿勢が望ましい。 9月26日時点での内容より http://danblog.cocolog-nifty.com/index/2008/09/gsv-a1b6.htm
高木浩光@自宅の日記 - 「この先自動車通り抜けできません」を通り抜けていたGoogleストカー, Googleストカーの目線と常人の目線を比較する
これは何だろうかと気になり、もう一度現地に出向いて確認してきた。前回の日記で最後の写真に示した路地の入口は、もう一歩引いて撮影すれば、以下のようになっていた。 「二輪の自動車以外の自動車通行止め」のマークがあるが、これは道路交通法上の規制を意味するのだろうか? それとも、単に「通り抜けできないような道ですよ」と言っているだけなのだろうか。 気になったので目白警察署に尋ねてみたところ、これは「標識」ではなく「看板」であり、道路交通法上の規制の効力は及ばないものとのことだ。ではどういう意味があるのかと尋ねたところ、「地域住民の要請でこのような看板を出すことがある」「部外者に入ってこられては迷惑になる場所や、実際に車が入り込んで動けなくなったような場所に出している」「区役所と協力してやっている」とのことだった。 Googleのストリートビュー撮影カー(以下「Googleストカー」とする)はそのよ
高木浩光@自宅の日記 - 通信プラットフォーム研究会 傍聴録 (Google社の発言あり)
■ 通信プラットフォーム研究会 傍聴録 (Google社の発言あり) 通信プラットフォーム研究会が一般公開されているのを最近になって知り、先週7日に開かれた第6回会合を傍聴してきたので、討議の様子を書き留めておく。 それまでの会合の議事録を事前に読んで行ったのだが、これほど大きな会合(たくさんの人に発言権があり、たくさんの人が傍聴するもの)とは予期していなかった。構成員だけに発言権があると思っていた(各回のヒアリング対象が「オブザーバー」として発言することもあると理解していた)が、そうではなく、「オブザーバー」(傍聴者のことではない)全員に発言権がある形式だった。「オブザーバー」の今回の出席者は、配布資料の座席表によると以下の通り。 ヤフー、モバイル・コンテンツ・フォーラム事務局、マイクロソフト、東日本旅客道、日本インターネットプロバイダー協会、テレコムサービス協会、情報通信ネットワーク産
高木浩光@自宅の日記 - 一般家庭向けISPのIPアドレスはどのくらい変化しているのか
■ 一般家庭向けISPのIPアドレスはどのくらい変化しているのか 前回の日記では、脚注9で「もし、家庭向けのインターネット接続サービスで、IPv6アドレスの上位アドレスが固定的に割り当てられるようになったら、上位アドレスで個人が特定されてしまう。そこで、上位アドレスについても、現在のIPv4アドレスの割当と同様に動的に割り当てられるように運用するべきである」と書いた。では実際のところ、現在のIPv4アドレスはどのくらい変化するものとなっているだろうか。以前からたびたび「Yahoo!BBのIPアドレスは固定で変化しない」という噂を耳にするのだが、本当だろうか。 そこで、2006年8月末から観測しているWinnyノードのIPアドレスから*1、その状況を推定してみた*2。図1は、2008年6月末までの1年10か月分の観測データから*3、Winnyノード(IPアドレスとポート番号の組*4)の継続存
高木浩光@自宅の日記 - 朝日新聞の記事を真っ当な内容に書き直してみた
■ 朝日新聞の記事を真っ当な内容に書き直してみた 朝日新聞の 強力ウイルス、ネット銀行標的 「感染なら防御策なし」, 朝日新聞, 2008年3月3日 という記事のことが、スラッシュドットジャパンで「意味不明だ」と話題になっていた。 朝日新聞の「感染なら防御策なしの強力ウイルス登場」報道を理解できますか? , スラッシュドットジャパン, 2008年3月5日 まあ、朝日新聞のIT記事にしては良い出来ではないか。肝心の要点である以下の部分はきちんとおさえられていたから、私には何の話か理解できた。 ユーザーが振り込みをしようとすると、気付かないうちに振込先がウイルス作成者の口座に書き換えられ、振込金をかすめ取られるなどの被害を受けることになる。 しかし、この点がなぜ重要なのか、それが伝わらない記事だったのだろう。 このマルウェアが危険視される理由は、銀行側がこれまでにとってきた「二要素認証」の導入
高木浩光@自宅の日記 - Wikipedia ∩ Winny で何が判るか
■ Wikipedia ∩ Winny で何が判るか 毎日新聞の朝刊にこんな記事が出た。 原田ウイルス、ウィキペディアに項目 自ら作成し更新?, 毎日新聞, 2008年1月27日 容疑者(24)が、インターネット上の百科事典「ウィキペディア」日本語版に、同ウイルスの項目を自ら作成していた可能性が高いことが26日、分かった。「ウイルス対策ソフトには全く対応していない」と、性能を誇るような文章を書き込むなど、更新も頻繁にしていたとみられる。府警もこの事実を把握。 (略)容疑者が匿名で開設したホームページ(HP)「P2P−DESTROYER」に関する項目もほぼ1人で書き込んでいた。 調べてみた。 まず、「原田ウイルス」のエントリの変更履歴から、初版の内容を見ると、次などの文が気になる。 山田ウィルスの亜種なのではなかという噂があったが、実際は山田ウィルスとは全く別物といえる。 山田ウィルスと同様
高木浩光@自宅の日記 - オレオレ警告を無視させている大学
■ PKIよくある勘違い(10)「正規の証明書でやっているので警告が出たとしてもそれは安全だ」 「サーバをオレオレ証明書で運用するのはケシカランことだ」という認識が普及してくると、こんどは逆に、こんな説明が流行するようになるのかもしれない。今のところ「よくある」という状況ではなく、稀にしかないようだが、こんな事例があった。 「セキュリティの警告」画面が表示される場合があります。 実際にログインしてご利用いただくサーバの証明書には問題はなく、セキュリティ上の心配はございません。「はい」をクリックしてご利用をお続けください。 このサイトは、実際のところ「Cybertrust Japan Public CA」発行の正規の証明書が正しく設定されているようだ。正しいサーバ証明書で運用されているのだから、利用者のブラウザ上でオレオレ警告が現れたなら、それはまさに盗聴されているときだ。それなのに、「はい
高木浩光@自宅の日記 - EZwebサイトでSession Fixation被害発生か?, サブスクライバーIDをパスワード代わりに使うべきでない理由
■ EZwebサイトでSession Fixation被害発生か? au booksでの事故 意図的な攻撃でなく偶発的な事故なのかもしれないが、auの公式サービス「au books」のEZwebサイトで、Webアプリケーションの脆弱性が原因の情報漏洩事故が起きたようだ。 顧客情報漏えい:書籍販売サイト「au Books」で, 毎日新聞, 2007年6月26日 ゲーム攻略本(1冊1890円)の紹介サイトからアクセスし、その攻略本を買おうとすると、他の顧客の氏名、住所、電話番号、生年月日、会員パスワードが表示された。そのまま購入手続きをとると、他の顧客が購入したことになってしまうという。 au携帯電話におけるオンライン書籍販売サイト「au Books」におけるお客様情報の誤表示について, KDDI, 2007年6月26日 1. 発生事象 本年6月22日20時37分から23日18時45分までの間
高木浩光@自宅の日記 - WASF Times版「サニタイズ言うな!」
■ WASF Times版「サニタイズ言うな!」 技術評論社の「Web Site Expert 」誌に、Webアプリケーション・セキュリティ・フォーラム関係者の持ち回り企画「WASF Times」が連載されている。私の番も回ってきたので昨年9月発売号に寄稿させていただいた。近頃はサニタイズ言うなキャンペーンもだいぶ浸透してきたようだし、もういまさら不要という気もするが、以下、その原稿を編集部の承諾のもと掲載しておく。 「サニタイズしろ」だあ? Webアプリを作ったらセキュリティ屋に脆弱性を指摘された――そんなとき、「入力をサニタイズしていない」なんて言われたことはありませんか? 「入力」というのは、ブラウザから送信された情報をCGIパラメータとして受信した値のこと。これを「サニタイズしろ」というのです。なんでそんなことしないといけないの?プログラムの内容からして必要のないことなのに? そう
高木浩光@自宅の日記 - 要約版:「サニタイズ言うなキャンペーン」とは
■ 「逆」にしたERBが登場 27日の「(略)とかERBとか、逆だったらよかったのに」の件、大岩さんが、逆にしたERB改造版を作ってくれた。 自動quoteつきERBの実験, おおいわのこめんと (2005-12-29) さて、使い勝手はどうだろうか。 ■ 要約版:「サニタイズ言うなキャンペーン」とは 27日の日記「『サニタイズ言うなキャンペーン』とは何か」は、いろいろ盛り込みすぎたせいか思ったよりわかりにくいものになって いるらしいので、結論から順に整理しなおしてみる。 結論: まず「サニタイズ」という言葉を使うのを避けてみてはどうか。正しく説明することの困難から逃げようとしないで。 例外1: 万が一に脆弱性があるかもしれないことを想定しての保険として、CGIの入力段階でパラメタを洗浄することを、サニタイズと言うのはかまわない。 例外2: 既存のシステムに応急手当としてCGIの入力段階で
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
