高木浩光@自宅の日記 - 競争政策が消費者の安全・詐欺被害耐性を破壊しに来た
■ 競争政策が消費者の安全・詐欺被害耐性を破壊しに来た 内閣デジタル市場競争本部の「デジタル市場競争会議ワーキンググループ」が、「モバイル・エコシステムに関する 競争評価中間報告」 に対するパブリックコメントを募集している(今月10日23時59分まで)。これについては先月、ITmediaニュース「小寺信良のIT大作戦」で、「「iPhoneにサイドローディングさせろ」を国が言うのは妥当か」との記事が出ていて話題になっていた(はてブの反応、スラドの反応)。 中間報告の内容は多岐にわたっており、全部を把握していないが、ざっと見ると、技術的に誤った理解を前提にし、ろくに調査することなく技術面を蔑ろにしている箇所が、チラホラある。会合の記録を見ると、会議は非公開で行われ、パブコメ開始までに議事録も出して来ない*1。委員に技術者はいないし、技術者からの意見聴取もしていないようだ。そのくせ、技術的な問題
高木浩光@自宅の日記 - 検察官は解説書の文章を読み違えていたことが判明(なぜ不正指令電磁的記録に該当しないのか その3)
■ 検察官は解説書の文章を読み違えていたことが判明(なぜ不正指令電磁的記録に該当しないのか その3) 先月の「Coinhive事件、なぜ不正指令電磁的記録に該当しないのか その2」の続きである。 検察官の論告に対する世間と国会の反応 Coinhive事件の公判は、2月18日に結審を迎え、検察官から論告・求刑があった。その模様は報道と傍聴者のレポートで伝えられた。 コインハイブ事件、男性に罰金10万円を求刑 弁護側は無罪主張, 弁護士ドットコム, 2019年2月18日 仮想通貨マイニングのCoinhive設置巡る刑事裁判が結審、判決は3月27日, 日経 xTECH, 2019年2月18日 coinhive(コインハイブ)裁判の第四回公判 最終弁論の傍聴してきました。…, モッチー@少年クリプト編集長, 2019年2月18日 第四回公判, 元Coinhiveユーザー@Coinhiveuserの
高木浩光@自宅の日記 - しそうけいさつ化する田舎サイバー警察の驕りを誰が諌めるのか
■ しそうけいさつ化する田舎サイバー警察の驕りを誰が諌めるのか 兵庫県警が単なる「無限アラート」を「不正プログラム」と称して不正指令電磁的記録の罪を適用した捜査(家宅捜索)を行ったことが明らかになり、法解釈・適用の誤りである上に法制定時の参議院法務委員会附帯決議の要請をも無視しているとして批判の声が渦巻いているところだが、ここに来て、「すみだセキュリティ勉強会」が活動を休止するとして抗議行動に出たようだ。 「IT業界の萎縮を招きかねない」 “ブラクラURL書き込みで中学生補導”、弁護士に問題点を聞いた, ねとらぼ, 2019年3月5日 Japanese police charge 13-year-old for sharing 'unclosable popup' prank online, ZDNet, 2019年3月5日 「いたずらURL貼って補導」がIT業界の萎縮をまねく理由, IT
高木浩光@自宅の日記 - 警察庁の汚い広報又は毎日新聞の大誤報を許すな
■ 警察庁の汚い広報又は毎日新聞の大誤報を許すな 今日、警察庁がサイバー犯罪年度統計か何かをマスコミ向けに発表したようで、今日の夕刊各紙は1面で「仮想通貨被害677億円」(読売)、「標的型メール最多6740件」(日経)、「不審アクセス45%増 マイニング21人摘発」(毎日)の見出しが躍っている。 このうち毎日新聞が、コインマイナー事案を報じているのだが、「2018年に全国で21人が不正指令電磁的記録供用容疑などで摘発(逮捕・書類送検)された。」とあり、昨年6月の時点で16人と発表されていたところから、5人増えていることがわかる。当時「16人で打ち止め」とも聞いていたが、確かにその後、私のところへ新たに家宅捜索があったとの情報提供が数人あった。 問題は記事のそれに続く部分である。「サイト閲覧者 加担気づかず」の「加担」というのも意味不明だが、なんと、「摘発された人は「ネットの広告と同じ仕組み
高木浩光@自宅の日記 - 改正NICT法がプチ炎上、工場出荷時共通初期パスワードが識別符号に当たらないことが理解されていない
■ 改正NICT法がプチ炎上、工場出荷時共通初期パスワードが識別符号に当たらないことが理解されていない 先月のこと、NHKニュースが「総務省 IoT機器に無差別侵入」と報じたおかげで、一部のメディアが後追いし、プチ炎上して気の毒なことになっていた。その後もじわじわと延焼し、昨日になって、ひろゆき氏から「総務省のセキュリティ調査に「国が不正ログイン」と騒ぐ頭の悪い人たち」とのトドメ記事が出るに至った。これは最初のNHK報道が素人考えで偏向していたところに原因がある。 総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も, NHKニュース, 2019年1月25日 全国の家庭や企業にあるインターネット家電などいわゆる #Iot機器 に国が無差別に侵入を試みる。そんな世界でも例のない調査が来月から始まります。 #サイバー攻撃 対策の一環だということですが、実質的に不正アクセスと変わらない行
高木浩光@自宅の日記 - 業界の信用を傷つける思想を開陳したトレンドマイクロ社にセキュリティ業界は団結して抗議せよ
■ 業界の信用を傷つける思想を開陳したトレンドマイクロ社にセキュリティ業界は団結して抗議せよ トレンドマイクロ製品がApp Storeから締め出された事案が重大局面を迎えた。エバ・チェン社長兼CEOの声明が発表されると同時に、準備されていたZDNetニュースが報じられた。 App Store上の当社アプリに関する重要なお知らせ, トレンドマイクロ, 2018年10月31日 トレンドマイクロのチェンCEO、App Storeでのアプリ削除問題に謝罪と説明, ZDNet Japan, 2018年10月31日 これまでの説明とは異なり、もはやトレンドマイクロ社固有の事情を超え、情報セキュリティ業界の一般論として、業界が必要としている情報取得だったのだと正当化し、社会が理解すべきものだとして、世間に理解を求める声明になっている。 セキュリティ企業は、お客さまのセキュリティならびにプライバシーを改善
高木浩光@自宅の日記 - 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」
■ 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」 序章 昨日の読売新聞朝刊解説面に以下の記事が出た。 [解説スペシャル]ウイルスか合法技術か 他人のPC「借用」 仮想通貨計算 サイトに設置 摘発相次ぐ, 読売新聞2018年6月9日朝刊 「まさか違法とは……」。こううなだれる首都圏のウェブデザイナー(30)は今年3月、横浜地検にウイルス保管罪で略式起訴され、罰金10万円の略式命令を受けた。自分の運営する音楽サイトに昨秋、「コインハイブ」と呼ばれるコインマイナー用のプログラムを設置したところ、これがウイルスと判断されたのだ。 (略)昨年末から神奈川や宮城、栃木、茨城県警など全国の警察が捜査を開始。これまでに確認できただけで5人のサイト運営者がウイルスの供用や保管などの容疑で捜索を受け、既に略式命令を受けたケースもある。(略) 略式命令を受けたウェブデザイナー
高木浩光@自宅の日記 - 優良誤認表示の「通信の最適化」(間引きデータ通信)は著作権侵害&通信の秘密侵害、公正表示義務を
■ 優良誤認表示の「通信の最適化」(間引きデータ通信)は著作権侵害&通信の秘密侵害、公正表示義務を まえがき 3年前、「通信の最適化」でついに事故が発生し、炎上したことがあった。しかし、当時はまだこの問題への世間の理解が浅く、問題提起しても、天才プログラマの清水亮から「ピュアオーディオを有難がる宗教法人と大差ない」とか「トラブルはアプリ書いた人の能力の問題」などと小馬鹿にされる始末だった。川上量生は「どこが通信の秘密なんだよ」とひたすら独り言を続けていたし、ガラケー全盛期に名を馳せたケータイジャーナリストの面々もろくに動く様子がなかった。 ハッハッ、見ろ!第1種電気通信事業がゴミのようだ!! #通信の最適化(), 2015年6月 「通信の最適化」に関する高木浩光氏の見解, 2015年7月 kadongo38氏「日本の通信事業者よりAppleやFacebook, Google の方が問題」,
高木浩光@自宅の日記 - 個人情報保護委員会ゥァア゛ーッ ドガシャア
しかも、取得主体が個人情報保護委員会であるなら、.go.jp(政府ドメイン名)に置かないと、「政府機関の情報セキュリティ対策のための統一基準」の遵守事項(6.3.2(1))違反だよ。何回言ったらわかるの? たかがドメイン名(笑)とバカにしてるんだろうが、政府ドメイン名の使用については、どういう風の吹き回しか知らない*3が、国会でも質問主意書が出る(「政府ドメインの統一に関する質問主意書」2018年1月25日提出, 衆議院質問答弁経過情報)くらい国会議員に注目されてる*4んだぞ。「閲覧者が偽サイトを政府の真正サイトと誤信し個人情報をだまし取られる「フィッシング詐欺」などの被害について早急な対応が必要と考えるが」とか言われてるんだぞ。 国会で吊し上げられることになってももう知らんぞ。 大事な原稿も落としたことだしもうぶっちゃけて言っちゃえば、事務局長に嫌われると「あいつらの話を聞くな」とか言わ
高木浩光@自宅の日記 - 名古屋市ではアンケートで「統計的な処理にのみ用いる」は生データ公開の意だそうな
■ 名古屋市ではアンケートで「統計的な処理にのみ用いる」は生データ公開の意だそうな 先月こういう話題があった。 子宮頸がんワクチン調査 名古屋市が結果を事実上撤回 #nhk_news https://t.co/cokWXHnenS — NHKニュース (@nhk_news) 2016年6月26日 子宮頸がん「全国で初めて大規模調査を行った名古屋市が、ワクチンを接種したグループとしなかったグループとの間に症状の差は無かったとする分析結果を事実上撤回し、今後、データの分析はしない方針であることが分かりました」(えっ!) https://t.co/okXV3KF6O8 — Haruhiko Okumura (@h_okumura) 2016年6月26日 正しくは「速報と変わらず因果関係なし」 名古屋市子宮頸がんワクチン副反応疫学調査 https://t.co/O1EMviwMbQ :「撤回」とい
高木浩光@自宅の日記 - eLTAXに反省なし 誤りを認めない告知文の捻出に3か月を費やしその間利用者を危険に晒す
■ eLTAXに反省なし 誤りを認めない告知文の捻出に3か月を費やしその間利用者を危険に晒す 3月14日の日記「治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ」から3か月近く経った今日、eLTAXが注意喚起を出しているとの情報が入り、なぜ今頃になって再び注意喚起をするのだろうかと首を傾げた。 3ヶ月前の高木さんのblogの「署名済みActiveXコントロールのダウンロードを有効にする」eLTAXの件で、問題の対策して今日利用者向けにお知らせしているようです。https://t.co/Qk37l9cRMkhttps://t.co/epQvcdKiu5 — あさくら (@AkioAkioasakura) 2016年6月3日 よく見てみれば、あれ以来、何ら注意喚起を出していなかったのだ。つまり、これは再度の注意喚起などではなく、3か月経ってこれが初の「お
高木浩光@自宅の日記 - 「食べログ」アプリの「ブックマーク」デフォルト公開で利用者の意図に反して特定個人識別される危険
■ 「食べログ」アプリの「ブックマーク」デフォルト公開で利用者の意図に反して特定個人識別される危険 「食べログ」は著名なサービスであるが、その利用者の多くは店を探す目的のみに使い、レビュー(「口コミ投稿」)を書く気は全くないという人がかなりの割合で存在すると推察される。私もその一人で、出先でGPSを使って近くの店を探すため、もっぱらスマホアプリ版の「食べログ」を使ってきた。 一昨年の2月まで、オレンジ色のアイコンだった旧版の「食べログ」アプリは、「ブックマーク」機能があり、これは、スマホにローカルに記憶しておくものであったため、ログインが不要であり、私も、ログインせずに、このローカルブックマーク機能を活用していた。このような利用者は、完全に匿名であり、閲覧するだけの利用であって、一切の情報の公開に関与していないという意識で「食べログ」を使っていただろう。 これが、一昨年、白アイコンの新版「
追記(19日)東洋経済オンラインの的外れ記事 / 高木浩光@自宅の日記 - 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ
■ 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ ここ数年、不正送金の被害がインターネットバンキングの法人口座で急増しているという*1。その原因は今更言うまでもなく、Java実行環境(JRE)やAdobe製品の古いバージョンの脆弱性を突いてくるマルウェアである。しかしそれにしても、法人口座を扱うパソコンがなぜ、Java実行環境やAdobe製品をインストールしているのだろうか。インストールしなければ被害も起きないのに……。 その謎を解く鍵が、eLTAX(地方税ポータルシステム)にあるようだ。eLTAXでは、インターネットバンキングの口座を用いた納税ができることから、インターネットバンキング用のパソコンでeLTAXの利用環境も整えるということが普通になっていると思われる。そのeLTAXが、昨日までは、Java実行環境のインストールを強要していた。eL
高木浩光@自宅の日記 - CCCはお気の毒と言わざるをえない
■ CCCはお気の毒と言わざるをえない 驚きのニュースが舞い込んできた。CCCがプライバシーマーク(Pマーク)を返上したというのである。日経コンピュータの取材によれば、CCC社の「管理本部法務部リーダー」と、「経営戦略本部リスク・コンプライアンス統括部情報管理Leader」と、「経営戦略本部法務部会員基盤Leader」の3氏もそろってこれを認めているという。 CCC(ツタヤ)がプライバシーマーク返上で日本中のプライバシーフリークが騒然の事態(山本一郎) - Y!ニュース https://t.co/BKKhMTRyqX — やまもといちろう (@kirik) 2015, 11月 19 書きました。後編は来週掲載です。/ なぜCCCはプライバシーマークを返上し、T会員規約を改訂したのか(前編) https://t.co/mJFLHTEnvK — Naoki Asakawa / 浅川直輝 (@n
高木浩光@自宅の日記 - 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12)
■ 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12) また同じ過ちが繰り返された。いったい何度繰り返せば学習するのか。 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始! http://t.co/JRFplpoiWP #プレスリリース — (株)共同通信社 (@Kyodonews_KK) 2014, 12月 2 このプレスリリースは誰が流したものか。以下の画面のように冒頭に「経済産業省」と記載があり、これを見た人は�経済産業省が流したものだと思うだろう。*1 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始!, 株式会社共同通信社 申込先のリンクが http://kojinjohohogo-guideline.jp と書かれている。 やるのはいいけど、.go .jpじゃないわ、
高木浩光@自宅の日記 - 緊急起稿 パーソナルデータ保護法制の行方 その1
■ 緊急起稿 パーソナルデータ保護法制の行方 その1 昨年7月からブログには書かないことにしていた*1が、緊急事態であるので、政府のパーソナルデータ保護法制(個人情報保護法改正)の議論の状況についてに書いておきたい。本当は論文や講演の形で示していくつもりだったが、それでは間に合わない状況が発生中であるので、周知の目的で取り急ぎかいつまんで書く。副政府CIOの向井治紀内閣審議官とお話ししたところ、「ブログに書いたらエエやないですか。どんどん書いてください。」とのことであったので、それ自体書くことを含めて許可を得たところで書くものである。 先週、IT総合戦略本部の「パーソナルデータに関する検討会」の第7回会合が開かれ、「定義と義務」についての事務局案が示された。資料が公開されている。事務局案は、これまでの「個人情報」についての定義と義務は変更しないものとし、新たに「準個人情報」と「個人特定性低
高木浩光@自宅の日記 - Tポイントは何を改善しなかったか, Tポイント以外は何をやっていないか
■ Tポイントは何を改善しなかったか さて、昨年9月に、「Tポイントは本当は何をやっているのか」を書いてからもう9か月経った。その後、この件がどうなったかを確認しておく。 まず、問題となった「T会員規約」だが、10月1日に(毎年恒例の)改訂があったが、文言が少し直された程度で、問題とされていた肝心の部分は、何ら修正されなかった。 第4条 (個人情報について) 2. 当社が取得する会員の個人情報の項目 (1)「お客様登録申込書」の記載事項及びT-IDお申し込み時の登録事項(変更のお申し出の内容を含みます)氏名、性別、生年月日、住所、電話番号、電子メールアドレス等 (2)ポイントプログラム参加企業における利用の履歴 (3)T-ID及びTカードの停止・退会状況その他第3条第2項に関する事項 (4)ポイントの付与又は使用等に関する情報 (5)クレジットカード番号 (6)その他の記述または個人別に付
高木浩光@自宅の日記 - 動機が善だからと説明なく埋め込まれていくスパイコード
■ 動機が善だからと説明なく埋め込まれていくスパイコード 5月にこのニュースを見たとき、嫌な予感がしていた。 父娘遭難、携帯の位置情報得られず 消防への提供ルール化 北海道地吹雪, 朝日新聞, 2013年5月22日 北海道湧別町を襲った3月の地吹雪の中で父親が娘を抱いたまま亡くなった事故で、消防が父親の携帯電話の位置情報を携帯電話会社から得ようとしたが得られず、父娘の捜索を中断していたことが分かった。総務省は情報提供のしくみが整っていなかったことが原因とみて、位置情報をすみやかに伝えるルールを作り、全国の消防本部と携帯各社に通知した。 ルールを整備するのはよいことだが、この記事は、基地局レベルの位置情報ではなく、GPSレベルの位置情報を用いて救助しようという話になっていて、そもそも、キャリア(携帯電話事業者)に頼んだところで、どうやって端末のGPS位置情報が得られるの?という疑問を持った。
高木浩光@自宅の日記 - 過大なポリシーが人々を麻痺させ本人同意を形骸化させる
■ 過大なポリシーが人々を麻痺させ本人同意を形骸化させる ファミリーマートが公衆無線LANサービスを開始したが、その利用規約に、「履歴情報および特性情報の取得」として、とんでもないことが書かれていると、話題になっていた。 ぶっこ抜き注意?ファミリーマート無料Wi-Fiサービスの利用規約に注目が集まる, NAVER まとめ, 2013年6月6日 この利用規約は、インターネットから見られないようにされており、ファミリーマートに行って、そのWi-Fiアクセスポイントに接続してからでないと閲覧できないようになっている。(25日の時点でも。) 問題となる利用規約の記述は、「当社は、利用者様が本サービスをご利用になる際に、以下の情報(略)を取得し、管理し、利用します。」として、「本サービスにより閲覧されたホームページ」と書かれている点だ。 そこで、ファミリーマートお客様相談室に電話して(6月3日)、「
高木浩光@自宅の日記 - 書評:良いウェブサービスを支える「利用規約」の作り方
■ 書評:良いウェブサービスを支える「利用規約」の作り方 3月のこと。出版されたこの本を技術評論社より献本いただいた。 雨宮美季, 片岡玄一, 橋詰卓司, 良いウェブサービスを支える「利用規約」の作り方, 技術評論社, 2013 第1章「3大ドキュメント超入門」として、利用規約と、プライバシーポリシーと、特定商取引法に基づく表示について書かれており、第3章には「すぐに使える・応用できるひな形」なるものが掲載されている。 プライバシーポリシーについて、第1章の超入門で、個人情報保護法における「個人情報」に該当しない「個人に関する情報」もプライバシーポリシーの対象とするべきだと書かれている*1点は良い。2012年8月の総務省「スマートフォン・プライバシー・イニシアティブ」を参照し、「今後の流れに大きく影響する可能性があります。」とあり、スマホアプリ対応の解説となっている。 しかし、3章の「すぐ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
