高木浩光@自宅の日記 - 競争政策が消費者の安全・詐欺被害耐性を破壊しに来た
■ 競争政策が消費者の安全・詐欺被害耐性を破壊しに来た 内閣デジタル市場競争本部の「デジタル市場競争会議ワーキンググループ」が、「モバイル・エコシステムに関する 競争評価中間報告」 に対するパブリックコメントを募集している(今月10日23時59分まで)。これについては先月、ITmediaニュース「小寺信良のIT大作戦」で、「「iPhoneにサイドローディングさせろ」を国が言うのは妥当か」との記事が出ていて話題になっていた(はてブの反応、スラドの反応)。 中間報告の内容は多岐にわたっており、全部を把握していないが、ざっと見ると、技術的に誤った理解を前提にし、ろくに調査することなく技術面を蔑ろにしている箇所が、チラホラある。会合の記録を見ると、会議は非公開で行われ、パブコメ開始までに議事録も出して来ない*1。委員に技術者はいないし、技術者からの意見聴取もしていないようだ。そのくせ、技術的な問題
高木浩光@自宅の日記 - 年金機構から基礎年金番号の付番機能を剥奪せよ, 追記(6月29日)
■ 年金機構から基礎年金番号の付番機能を剥奪せよ 我が目を疑うニュースが飛び込んできた。 性同一性障害者に年金共通番号 一時ネット閲覧可能に, 共同通信, 2013年5月7日 日本年金機構が、性同一性障害で性別変更した人を判別するため、昨年10月から基礎年金番号10桁のうち前半4桁に共通する固定番号の割り当てを始めていたことが7日、分かった。この4桁の番号が性同一性障害者を示すと明記した機構の内部文書が一時インターネットで確認できる状態だった。 「内部文書が一時インターネットで確認できる状態だった」というのが意味不明だなと思いつつ、Twitterを検索してみたところ、この問題と戦っている方々のツイートと、問題提起のブログが見つかった。 GID(性同一性障害)年金基礎番号 強制付番問題について, URAIKADA | FTMTSのために, 2013年4月19日 急ぎで載せました「GID(性同
高木浩光@自宅の日記 - Wi-FiのMACアドレスはもはや住所と考えるしかない
■ Wi-FiのMACアドレスはもはや住所と考えるしかない 目次 まえがき これまでの経緯 2つのMACアドレスで自宅の場所を特定される場合 SSIDに「_nomap」でオプトアウト? PlaceEngineはどうなった? まえがき 先週、以下の件が話題になった。 Greater choice for wireless access point owners, Official Google Blog, 2011年11月14日 Removing your Wi-Fi network from Google's map, CNET News, 2011年11月14日 グーグル、Wi-Fiネットワークの位置情報収集で対応策を公開, CNET Japan, 2011年11月16日 Google's WiFi Opt-Out Process Makes Users Navigate Technic
高木浩光@自宅の日記 - ユニークIDがあれば認証ができるという幻想
■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。 各サイトの「かんたんログイン」に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない(不正アクセス禁止法違反になる)ので、自分用のアカウントを作成して(会員登録して)、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は
高木浩光@自宅の日記 - MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定を
■ MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定を Mac OS Xの初期設定の危険性 私の周囲に物理的に近づくことのできる人は、私が使っているノート型コンピュータの無線LANインターフェイスのMACアドレス*1を知ることができる。たとえば、セミナー等で私が講演している会場に来れば、講演中に私が無線LANのスイッチを切り忘れていたなら、無線LANのパケットを傍受することで私のMACアドレスを知るだろう*2。それだけでは他の人のアドレスと混じって区別できないだろうが、別の場所で再び同じことをすれば、両方に存在したものが私のMACアドレスだ。 これはもう隠しようがないので、先に自ら暴露してしまおう。「00:1f:5b:d1:ec:bd」は私のMACアドレスだ(図1)。 これを暴露するのはリスクのある行為であり、お薦め出来ない。また、仮に他人のMA
高木浩光@自宅の日記 - 日本のインターネットが終了する日
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
高木浩光@自宅の日記 - 単純所持刑罰化ならウイルス罪を同時施行しないとセキュリティバランスが悪化する, 追記(15日)
■ 単純所持刑罰化ならウイルス罪を同時施行しないとセキュリティバランスが悪化する 私は、著作権のあり方に関心がないのにWinnyの問題について意見を述べてきた。これは、著作権が情報セキュリティに影響を及ぼしていたからだった。著作権法による規制の強化が、制御不能な流通システムを誕生させ、人々に維持し続けさせ、その結果、漏洩情報の拡散も抑制不能になるという情報セキュリティ上の深刻な問題を引き起した。(関連記事1、関連記事2) このところ、児童ポルノの単純所持の刑罰化や、青少年に対するコンテンツ規制の法制化の機運が高まっているようだ。私は、それらの是非については専門外であり、とくに意見を持ち合わせていない。しかし、それらが情報セキュリティに及ぼす影響について関心を持っている。 児童ポルノ、所持だけで懲役1年以下・与党PT , 日本経済新聞, 2008年5月2日 児童ポルノ:所持は1年以下の懲役ま
高木浩光@自宅の日記 - 「ウイルス作成罪」はこうしてほしい / 国会提出刑法改正案の趣旨
■ 「ウイルス作成罪」はこうしてほしい / 国会提出刑法改正案の趣旨 「ウイルス作成罪」という言葉は誤解を招くようなので、国会提出法案での名称「不正指令電磁的記録に関する罪」あるいは、「ウイルス」の代わりに「不正指令電磁的記録」を用語として使用していきたいところだが、Web検索上の便宜のため今回はタイトルは「ウイルス作成罪」とした。以下では同じものを指すものとする。 ウイルス作者の逮捕 さて、ウイルス作者が著作権法違反で逮捕されるという事態になった。24日に読売新聞の取材を受け、コメントが以下のように掲載された。 院生逮捕 ウイルス野放し、作成に法規制なし 法令駆使し摘発/京都府警, 大阪読売新聞, 2008年1月24日夕刊 (略) ウイルス被害が広がる中、法務省は2004年、ウイルスの作成・所持を罰する「ウイルス作成罪」を盛り込んだ刑法等の改正案を国会に提出。しかし、同法案に盛り込まれた
高木浩光@自宅の日記 - 最終回: PlaceEngineの次に来るもの そしてRFIDタグの普及する未来
■ 最終回: PlaceEngineの次に来るもの そしてRFIDタグの普及する未来 この日記を書き始めたいきさつは、2003年の春、RFIDタグのプライバシー問題について、何が問題なのかあまりに理解されないことに危機感を覚え、ひとつひとつ書いていこうと決意したことからだった。 当時いろいろな方とお話しした中で最も印象に残っているのは、日経デジタルコアのイベントの宴席の2次会で同じテーブルについてお話しする機会のあった泉田氏との議論だった。そのときのことは2003年7月4日の日記に記録がある。その泉田氏は現在の新潟県知事である。 泉田氏はこうおっしゃった。「プライバシーが問題になるとしたら、政府がRFID読み取り網を整備するようなことになったとき。そうでなければ無理。」 つまり、街中にRFID読み取り機が設置され、そしてそれがネットワークに接続されるような状況は、国などが敷設しない限りあり
高木浩光@自宅の日記 - 一太郎plug-inをIEとFirefoxで無効に 〜 ジャストシステムは本当の脅威を教えてくれない
■ 一太郎plug-inをIEとFirefoxで無効に 〜 ジャストシステムは本当の脅威を教えてくれない 目次 ワープロソフトの「脆弱性」とは? ゼロデイ攻撃に見舞われ続ける一太郎 「危険度:低」って正気で言ってるの? パソコン初心者並みの認識のソフト会社 「攻撃成立に必要なユーザの関与」は「積極的」か「消極的」か 知られざる一太郎ビューアplug-inの存在 受動的攻撃がもはや最大級の脅威 ジャストシステムは回答を拒否 製品ベンダーが発表しなければ危険性を周知できない 発見者の指摘があっても無視 メディアはJVN情報を伝えるときどうして発見者に取材しないの? plug-inを無効にする方法 ワープロソフトの「脆弱性」とは? 先週、新たな一太郎の脆弱性と修正パッチが公開された。「一太郎の脆弱性」と聞いて、どんなときに危険のある話だと理解されるだろうか。ジャストシステム社の告知文には次のよう
高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか
■ 携帯電話向けWebアプリの脆弱性事情はどうなっているのか WEB+DB PRESS誌のVol.37に「携帯サイト開発 実践テクニック 2007」という記事が掲載されているのだが、そこにこんな記述があった。 端末認証 登録が必要なサイトの場合,利用する際にはログインが必要です.ID/パスワードを毎回入力するのでは,携帯の場合では特に面倒です. そこで携帯ならではの認証方法として,現在の端末では取得が容易にできる端末自体の情報(端末ID)を利用します. (略) セッション PCサイトでセッションを使う場合は,通常セッションIDをCookieに保存しますが,携帯ブラウザではCookieにデータを保存することができません.そこで携帯サイトでCookieを使う場合はURLにセッションIDを埋め込むことになります. セッションIDをGETで渡す セッションIDをGETで渡す場合は,PHPの設定ファ
高木浩光@自宅の日記 - 本物がいい加減なことをしていると偽物につけ入られる事例2件
■ 本物がいい加減なことをしていると偽物につけ入られる事例2件 スパイウェア対策ソフト売りのFUD PC世界のリフォーム詐欺、「ミスリーディングアプリ」って何だ?, ITmedia, 2007年1月11日 という記事が出ているが、ここで次の映像の冒頭を見てみる。 【動画】 眞鍋かをり「スパイウェアの恐さをもっとわかって」*1, ソフトバンクビジネス+IT, 2006年10月5日 いや正直ですね、ほんとにあの去年の春に、はじめてあのー、まあ、お仕事させていただいてソフトを頂いたんですけど、それまでセキュリティ対策を一切やってなかったので、あのー、はじめてあの、ソフトを入れてチェックしたときはですね、スパイウェアがね、208個出てきたんですよ。(ハハハハ。)ふふ。ちょっとひどい状態、もしかしたら情報出ちゃってたかもしれないなと思うくらいなんですけども、たいした情報入ってないんですけど、ねー、で
高木浩光@自宅の日記 - ログイン前Session Fixationをどうするか
■ ログイン前Session Fixationをどうするか 21日の日記「Session Fixation脆弱性の責任主体はWebアプリかWebブラウザか」で、ブラウザベンダはCookie Monster問題をどうするのだろうかということについて書いたが、Firefox 2.0 について調べてみたところ、解決していなかった。また、IE 7 も解決していない。 そのような状況では、セッション追跡がcookieだけによって行われている場合であっても、Session Fixation攻撃に対して配慮せざるを得ない。 これまで、Session Fixation対策といえば、ログイン後の状態をセッションハイジャックされることの防止のみが語られることが多かったが、ログイン前についてはどうだろうか。 たとえば、ログイン前から使えるショッピングカートに対してSession Fixation攻撃が行われると
高木浩光@自宅の日記 - リンクの話 まとめ
■ リンクの話 まとめ リンクの論点はそれはもう大昔から出尽くしていて、同じことが品を替え形を変えて延々繰り返し語られているわけで、わかっている者には今更すぎなのだけど、次々新しい人達は入ってきているわけだから、少しでも新しいパターンを見つけるなりして退屈しない方法で繰り返しているわけだけども、ここへ来てどうやら本当に変革の時期が来たような期待感もあるので、あらためてまとめも書いておくとする。 まず、企業や官公庁などの団体のWebサイトにける無断リンク禁止条項の問題と、個人のWebサイトにおけるそれとは明確に区別することを踏まえないといけない。団体のサイトは、その全てが、明らかに不特定多数の公衆に見てもらうために設置されている。それに対し、個人のサイトは必ずしもそうとは限らない。 団体のサイトの場合を簡単にまとめると、本当は見て欲しいはずなのに、見て欲しくないかのような「リンクポリシー」を
高木浩光@自宅の日記 - IPAセキュリティセンターさえディープリンク禁止などとしているわけだが, 追記(19日)
■ IPAセキュリティセンターさえディープリンク禁止などとしているわけだが タレコミがあった。IPAさえもがディープリンクを「ご利用条件」で禁止している。 ご利用条件 リンクについて (略) ・セキュリティ関連の情報については、頻繁にアップデートされています。 利用者に的確な情報を伝えるため、http://www.ipa.go.jp/security/ にリンクを張ることをお願いしております。配下のページに直接リンクしないで下さい。 情報処理推進機構:ご利用条件 脱力。電話すると知り合いにつながりそうな予感がするのでしない。直接関係者に連絡すればすぐに直りそうな案件だが、直ればよいという問題ではない。なぜこうなってしまうのか、そしてそれを皆が知ることがキモだ。 これは、ディープリンク禁止事例にしては理由が比較的明確にされている。「セキュリティ関連の情報は頻繁にアップデートされている」から、
高木浩光@自宅の日記 - 会社のポリシーは会議室で決めてない、現場でコピペしてるんだ, 追記(24日)
■ 会社のポリシーは会議室で決めてない、現場でコピペしてるんだ すごいタレコミがあった。東芝テクノネットワーク(株)の「サイトポリシー」と東芝テクノシステム(株)の「サイトポリシー」にすごいことが書いてある。 リンクについて ※御社の規定によって下記の2つよりお選び下さい。 (事前の連絡不要の場合) このウェブサイトへのリンクは原則として自由です。ただし、途中のページやページ内のコンテンツそのものにリンクを張ることや、当社が不適当と判断するホームページからのリンクはお断りすることがあります。 (事前の連絡必要の場合) 事前に当社からの文書による承諾を得ない限り、このウェブサイトへリンクをはることはできません。このウェブサイトへのリンクを希望する場合は、必ずリンク元のURL、当社ホームページの希望リンク先のURLをこちらへご連絡ください。リンクの際のURLは、(http: //www.tos
高木浩光@自宅の日記 - 「リンクお断りは普通」と人の心に種を蒔くAC
■ 「リンクお断りは普通」と人の心に種を蒔くAC 公共広告機構ACがハンドルネームで運営のサイトからのリンクを固くお断り, スラッシュドットジャパン, 2006年09月17日 現時点で公共広告機構の「本サイトについて」には以下のように書かれている。 1.リンクについて 本サイトへのリンクは、原則お断りいたします。特に以下のリンクは固くお断りいたします。 当機構の活動等を誹謗中傷、信用を毀損するおそれがあるサイトからのリンク 公序良俗に反する内容を含んだサイトからのリンク 違法なコンテンツを掲載したり、違法な活動に関与した、または関与した可能性のあるサイトからのリンク フレームやその他の方法で、本サイト・コンテンツであることが不明となるリンク サイトの管理・運営者が不明、またはハンドルネーム等により運営されているサイト、 あるいは代理運営されているサイトなどからのリンク また、本サイトをリン
高木浩光@自宅の日記 - 刑法18章の2「支払用カード電磁的記録に関する罪」は何のためにある?
■ 刑法18章の2「支払用カード電磁的記録に関する罪」は何のためにある? ETC車載器付け替え、料金詐欺で運転手を逮捕, 読売新聞, 2006年9月17日 埼玉県警は17日、(略)を電子計算機使用詐欺の疑いで逮捕した。 というニュースを見て、けったいな刑法学者さまの7月のエントリを思い出した。 平成13年の刑法改正により、支払用カード電磁的記録に関する罪(163条の2ないし163条の5)が新設されました。これにより「支払用カード」の不正作出、供用、譲渡,貸し渡し、輸入、所持、不正作出の準備等が処罰されることになりました。 (略)SuicaやEdyも、電磁的記録を構成部分とする支払用カードです。 では、モバイルSuicaやおサイフケータイは、本罪の対象となるのでしょうか。 携帯電話は「カード」か?, 続・けったいな刑法学者のメモ, 2006年7月21日 けったいな法学者さまはこの続きで、刑法
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
高木浩光@自宅の日記 - Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6)