■ 検察官は解説書の文章を読み違えていたことが判明（なぜ不正指令電磁的記録に該当しないのか その3） 先月の「Coinhive事件、なぜ不正指令電磁的記録に該当しないのか その2」の続きである。 検察官の論告に対する世間と国会の反応 Coinhive事件の公判は、2月18日に結審を迎え、検察官から論告・求刑があった。その模様は報道と傍聴者のレポートで伝えられた。 コインハイブ事件、男性に罰金10万円を求刑 弁護側は無罪主張, 弁護士ドットコム, 2019年2月18日 仮想通貨マイニングのCoinhive設置巡る刑事裁判が結審、判決は3月27日, 日経 xTECH, 2019年2月18日 coinhive(コインハイブ)裁判の第四回公判 最終弁論の傍聴してきました。…, モッチー@少年クリプト編集長, 2019年2月18日 第四回公判, 元Coinhiveユーザー@Coinhiveuserの

■ しそうけいさつ化する田舎サイバー警察の驕りを誰が諌めるのか 兵庫県警が単なる「無限アラート」を「不正プログラム」と称して不正指令電磁的記録の罪を適用した捜査（家宅捜索）を行ったことが明らかになり、法解釈・適用の誤りである上に法制定時の参議院法務委員会附帯決議の要請をも無視しているとして批判の声が渦巻いているところだが、ここに来て、「すみだセキュリティ勉強会」が活動を休止するとして抗議行動に出たようだ。 「IT業界の萎縮を招きかねない」　“ブラクラURL書き込みで中学生補導”、弁護士に問題点を聞いた, ねとらぼ, 2019年3月5日 Japanese police charge 13-year-old for sharing 'unclosable popup' prank online, ZDNet, 2019年3月5日 「いたずらURL貼って補導」がIT業界の萎縮をまねく理由, IT

■ 改正NICT法がプチ炎上、工場出荷時共通初期パスワードが識別符号に当たらないことが理解されていない 先月のこと、NHKニュースが「総務省 IoT機器に無差別侵入」と報じたおかげで、一部のメディアが後追いし、プチ炎上して気の毒なことになっていた。その後もじわじわと延焼し、昨日になって、ひろゆき氏から「総務省のセキュリティ調査に「国が不正ログイン」と騒ぐ頭の悪い人たち」とのトドメ記事が出るに至った。これは最初のNHK報道が素人考えで偏向していたところに原因がある。 総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も, NHKニュース, 2019年1月25日 全国の家庭や企業にあるインターネット家電などいわゆる #Iot機器 に国が無差別に侵入を試みる。そんな世界でも例のない調査が来月から始まります。 #サイバー攻撃 対策の一環だということですが、実質的に不正アクセスと変わらない行

■ 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」 序章 昨日の読売新聞朝刊解説面に以下の記事が出た。 ［解説スペシャル］ウイルスか合法技術か 他人のPC「借用」 仮想通貨計算 サイトに設置 摘発相次ぐ, 読売新聞2018年6月9日朝刊 「まさか違法とは……」。こううなだれる首都圏のウェブデザイナー（30）は今年3月、横浜地検にウイルス保管罪で略式起訴され、罰金10万円の略式命令を受けた。自分の運営する音楽サイトに昨秋、「コインハイブ」と呼ばれるコインマイナー用のプログラムを設置したところ、これがウイルスと判断されたのだ。 （略）昨年末から神奈川や宮城、栃木、茨城県警など全国の警察が捜査を開始。これまでに確認できただけで5人のサイト運営者がウイルスの供用や保管などの容疑で捜索を受け、既に略式命令を受けたケースもある。（略） 略式命令を受けたウェブデザイナー

■ ID番号は秘密ではない。秘密でないが隠すのが望ましい。なぜか。 俺、実は今日が誕生日なんだ……。 僕らはいったいいつから誕生日を隠さなくちゃいけなくなったんだろう。はてなにもmixiにもGREE*1にもニセの生年月日で登録した*2自分がいる。Facebookの友達にも生年月日を明かさない設定にしている。プライバシーやセキュリティを啓発する立場の者が生年月日を明かすだなんて、匿名主義者達の嘲笑の的にされかねない。そして気付いてみれば、誕生日を祝ってくれるのは、両親とほんの数人の身近な友人だけになっていた。 先月、スマホアプリのプライバシー騒動の件で立て続けてにいくつもの取材を受けた*3が、決まって聞かれるのは、「利用者が気をつけるべきことは何でしょうか」という問いであった。 これに対して私が答えたのはこうだ。「利用者が何か気をつけなくてはならないようではいけない」と。つまり、事業者が解決

■ パスモは乗車履歴を第三者提供？ 他社のビッグデータに取り込まれる可能性 前回の日記の続き。 あの後、パスモ社の担当者と何を話したかというと、同社の個人情報保護方針に反しているのではないかという点と、個人情報保護法に違反しているのではないかという点であった。 電話する前の時点では、「乗車履歴自体は個人情報ではない*1」という見解も出るかな*2と予想していたが、担当者は、前回の最後の部分で示したように、あっさりと個人情報だと認めたため、そこは論点にならなかった。 まず追求したのは、利用目的の明示。 個人情報保護法は、第18条で、個人情報を取得したときは速やかにその利用目的を本人に通知又は公表しなけれなばらないと定めており、その例外として、「あらかじめ利用目的を公表している場合を除き」としている。記名PASMOを作って利用を始めると、乗車履歴をパスモ社ほかに取得されることになるが、その乗車履

■ ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか SuicaやEdyの登場によって、カードに記載の番号が新たな問題をもたらすであろうことは、8年前に関心を持ち、何度か書いた。 Edyナンバーは易々と他人に知らせてよい番号なのか, 2004年2月29日の日記 Edyナンバーはどのように使われるものか, 2004年7月11日の日記 許諾なしに公表されるEdyナンバーとSuica番号, 2004年7月11日の日記 その後、EdyナンバーやSuicaのIDiは無闇に掲示されることはなくなり、問題は起きなかった。コンビニのam/pmがEdyを用いて独自に展開していた「club ap」でも、利用者登録にはam/pm店舗のレジで印刷してもらう「仮パスワード」を必要とするようになっており、まあ一応ちゃんと設計されていた。*1 ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。

■ spモードはなぜIPアドレスに頼らざるを得なかったか spモードの事故 NTT docomoのスマホ向け独自サービス「spモード」が、今月20日に大規模な事故を起こして、重大事態となっている。 スマホ向けネット接続が不具合 ドコモ 別人のアドレス表示, MSN産経ニュース, 2011年12月20日 ドコモのspモードで不具合、他人のメールアドレスが設定される恐れ, 日経IT Pro, 2011年12月21日 ドコモの「spモード」でトラブル、関連サービスが一時停止, ケータイ Watch, 2011年12月21日 ドコモ、spモード障害で「ネットワーク基盤高度化対策本部」設置, ケータイ Watch, 2011年12月26日 ドコモ 約1万9000人に影響, NHKニュース, 2011年12月27日 ドコモの“メアド置き換え”不具合、影響数や新事象が明らかに, ケータイ Watch,

■ ミログ第三者委員会の「提言」を許してはならない 10月10日の日記「スパイウェア「app.tv」に係るミログ社の大嘘」の件、ミログ社から「第三者委員会報告書」（以下「報告書」という。）が開示された。 第三者調査委員会の調査結果に関するお知らせ, 株式会社ミログ, 2011年12月16日 100ページにも及ぶこの報告書の内容は、「app.tv」と「AppLog」について事実関係を明らかにした上で、いずれも違法行為ではなかったとする結論を導くものであり、加えて、冒頭で、「ユーザーからの同意取得に関する提言」として、一般論を社会に向けて提案するものとなっている。 報告書には次の2つの重大な問題がある。 app.tvの不正指令電磁的記録該当性の検討で肝心の点がすっ飛ばされている。 「ユーザーからの同意取得に関する提言」は到底受け入れられるものではない。 以下、これらを順に明らかにする。 app

では、この「利用規約を見る」ボタンを押せば、「端末情報を取得します」というのが何であるのかが、わかるようになっているのだろうか。 このボタンを押すと、Webブラウザが開くようになっており、表示されるのは以下のWebページであった。 セカイカメラ サービス利用規約, セカイカメラ サポートセンター このページの内容をくまなく見てみたが、どこにも「端末情報」という文字列は存在しないし、「UDID」の文字列もなければ、「端末識別」という文字列もない。内容的にUDIDに関係しそうなところを探して*5も、次の記述しか存在しない。 8. プライバシー 8.1　登録ユーザーが当社に届け出る情報および当社が取得したユーザーに関する情報は、当社が別途本サービスにおいて掲示するプライバシーポリシーに従って取り扱われるものとし、ユーザーは、かかるプライバシーポリシーに基づく個人情報の取扱いにつき同意するものとし

■ 「Tポイントカード3人に1人が持つ」は本当か、街角で聞いてみた 先週、マイナンバー制度（納税番号制度（aka 共通番号制度））のICカード配布の話の流れで、（住基カードが4%しか普及していないのに）TSUTAYAのTポイントカードは「今や国民の3人に1人が持つ」という話*1が話題になっていた。「共通番号を官民で使えばカードを1枚にできる」などといった主張も出ていた。 その一方で、本当にそんなにたくさんの人が持ってるのか疑問だとの声も出ていた。「レジから聞こえてくる声に耳を傾けていると、Tポイントカードを持ってる人なんて存在しないんじゃないかと思えてくる。」という声もあった。（「Togetter - 「「ポイントカードはお持ちですか」への反応」」参照）。

■ MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定を Mac OS Xの初期設定の危険性 私の周囲に物理的に近づくことのできる人は、私が使っているノート型コンピュータの無線LANインターフェイスのMACアドレス*1を知ることができる。たとえば、セミナー等で私が講演している会場に来れば、講演中に私が無線LANのスイッチを切り忘れていたなら、無線LANのパケットを傍受することで私のMACアドレスを知るだろう*2。それだけでは他の人のアドレスと混じって区別できないだろうが、別の場所で再び同じことをすれば、両方に存在したものが私のMACアドレスだ。 これはもう隠しようがないので、先に自ら暴露してしまおう。「00:1f:5b:d1:ec:bd」は私のMACアドレスだ（図1）。 これを暴露するのはリスクのある行為であり、お薦め出来ない。また、仮に他人のMA

■ 法務省担当官コンピュータウイルス罪等説明会で質問してきた 情報処理学会、JPCERT/CC、JAIPA、JNSA共催で、法務省の立案担当官による説明会が開かれたので、コンピュータウイルス罪について質問してきた。 情報処理の高度化等対処のための刑法等の一部を改正する法律（サイバー刑法、刑事訴訟法）説明会, 2011年7月26日 私から尋ねた質問と、それに対する回答は以下の通り。 質問：まず最初に、6月16日の参議院法務委員会での法務大臣答弁で、バグについての説明があったが、ここで、「バグは、重大なものとはいっても、通常はコンピューターが一時的に停止するとか再起動が必要になるとかいったものであり」とか、そうでないものは「バグと呼ぶのはもはや適切ではない」と説明されていた。これはすなわち、「バグ」という言葉を、一時的な症状を起こすものと定義したうえで、これは不正指令電磁的記録に当たらないとし

■ 技術音痴なIT企業CTOが国のWGで番号制度の技術基盤を歪める 非公開で進められている（傍聴が許されていない）「情報連携基盤技術WG」の配布資料を入手した。しかも、この「情報連携基盤技術WG」には、存在自体が非公表のサブWGがあり、その構成員は、「情報連携基盤技術WG」から中立の有識者らを除いた、ベンダーの人々だけの集まりになっているらしい。入手した資料は、そうしたベンダーの構成員から今月提出されたもののようだ。 入手した資料のうち、一つは重大な問題のある文書であり、他にもう一つ、問題のある文書があった。 「番号制度」は、推進派に言わせれば「国家百年の大計として国の礎を作ることに他ならない」という*1ものであり、ベンダー試算によれば何千億円もの国家予算が必要と言われているものである。しかも、その方式設計は国民のプライバシー影響を左右する重要なものであって、一度不適切な方式を普及させると

■ ウイルス作成罪創設に向けて国民に迫られる選択 先々週、JNSAの時事ワークショップ「ウイルス作成罪を考える」に参加してきた。JPCERT/CCの早貸淳子氏から前回提出法案に沿った解説があり、それに続いて、私から前回提出法案の問題点がどこにあるのかについてお話しした後、会場にお集りの業界の方々からのご意見を頂きながら議論した。（以下はそのとき使用したスライド。） 不正指令電磁的記録作成罪法案の問題構造, 2011年1月24日 私が述べたことは、これまでここに書いてきたこととほぼ同じであるが、早貸氏との議論を通して、以前より問題の見通しがすっきりして、やはりそうだという想いを強くした。今回、新たな説明方法を思いついたので、それを以下に書く。（以前より正確さが増したはず。） 法案が前回のまま提出されると、「(A)解釈」で賛成するのか「(B)解釈」で賛成するのか、国民は選択を迫られる。そして、

■ 警察と検察と裁判所で何があったか 岡崎図書館事件(2の1) 6月20日のこと、Twitterで @librahack から言及された。見に行ってみると http://librahack.jp/ というサイトが出現していた。なんと、岡崎図書館事件で逮捕された方は不起訴処分になっていた。@librahack からフォローされていたのでダイレクトメッセージで連絡が欲しいとコンタクト。メールで何があったのか事実関係を聞かせてほしいとお願いしたところ、数日後、ご本人からのメールが到着した。 当時の中川氏は、警察にまだ何されるかわからないと恐れている様子だった。起訴猶予処分だから今後起訴される可能性も残っていると思っていたようで、ご家族への配慮や業務への影響から、「正直あまり警察を刺激したくない」とのことだった。それでも、http://librahack.jp/ を立ち上げたのは、「問題点を電話し

朝日新聞名古屋本社版2010年12月1日朝刊30面「逮捕の男性に業者側が謝罪 岡崎図書館問題「不便かけた」」 朝日新聞社データベース事業センターの許諾のもと転載（承認番号：2-2096） ※朝日新聞社に無断で転載することを禁止する また、日経新聞は「図書館システムに不具合」の見出しで、次のように報じている。 （略） 岡崎市の図書館では今年３〜５月にシステム障害も発生。これを巡り、自作の検索プログラムで繰り返しアクセスした愛知県の男性が、「サイバー攻撃」と誤解され、愛知県警に業務妨害容疑で逮捕され、その後起訴猶予処分となった。同社はこの件も「システム仕様が原因だった」とした。 男性は新着図書情報を取得するためアクセスしただけだった。同社は当初、「システムに問題はない」と市側に説明していた。門脇三雄社長は「対応が早ければ（男性に）不快な思いをさせることはなかった。誠意をもって対応したい」と謝罪

■ Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6) もしや三菱電機ISのシステムはフリーソフトを使っていたりはしないかと、「WwKensaku.aspx」でググってみたところ（図1）、そこに現れたのは、 Anonymous FTPサイト専門の検索サイトだった*1。そこでさらに「WwKensaku.aspx」で検索してみると、なんとそこに現れたリンク先は ftp://210.230.245.201/ （図2）、このリンクをクリックすると図3の画面が現れた。

■ ウィルコムから回答「契約者固有IDは弊社にとって個人情報」 契約者固有ID関係でいろいろ調査していた2月、私はウィルコムに対して、以下の質問を送った。 Date: 2010/02/18 06:52:07 Subject: 個人情報保護と公式サイト掲載基準についての公開質問 WILLCOMの個人情報保護方針についてお尋ねします。 http://www.willcom-inc.com/ja/service/contents_service/create/uid/index.html の説明によれば、 > 公式サイト向けに個体識別情報の送出を行っておりますが、一般サイト向けに > は個体識別情報を送出は行っておりません。 とのことで、「個体識別情報を受け取るためには申請が必要」とあり、「審査 基準は公式サイト掲載基準と同等」とあります。 そこで「公式サイト掲載基準」 http://www.w

■ ノード数水増しは不適切な設計のクローラによる不慮の事故だった 前回の日記の件、大阪市立大学の研究実施責任者より連絡を頂いた。前回、可能性として、 誤報を誘発するためにノード数を水増しした何者かによる愉快犯 ――(A) 大阪市立大学の正当な研究用のWinnyクローラが、異常な設計になっているために引き起こされた、不慮の社会的混乱事故 ――(B) 大阪市立大学の研究の目的自体が、偽ノードを大量に発生させることによる何らかの実験（たとえば、通常のWinny利用を阻害する目的など） ――(C) の3つを挙げたが、(B)であるとのこと。大阪市立大学では、P2Pファイル共有ネットワークにおける検索キーワードの流行が時間的にどう変化するかを統計的に分析する研究を進めていて、統計的推定のためには、データの収集頻度を増やす必要があるということで、クローラをマルチスレッド化する改造を年末に行い、年始より稼