■ テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた 先週から、「ドコモ口座不正引き出し事件」の原因として、被害の発生した銀行が4桁数字の暗証番号で認証処理していたことが取りざたされており、リバースブルートフォース攻撃の手口が暗証番号特定の手段として使われた可能性について、テレビのワイドショーでも扱われるなど、世間での認知がかつてなく高まっている。 そこで、この機会に、昔から存在していたテレフォンバンキングの危険性について、銀行側に抗議すれば今ならご理解いただけるのではないかと考えた。この問題は十数年前にも銀行側に伝えているが、サービスを止めるわけにもいかないし、電話経由での自動処理による攻撃は考えにくいと当時は考えられたのか、対処されることはなかった。2020年の今日、電話経由のサイバー攻撃は技術面で十分に容易に可能となっていると考えられ

■ 魔女狩り商法に翻弄された田舎警察 Coinhive事件 大本営報道はまさに現代の魔女狩りだ 前回の日記（6月11日23時46分公開）の件はその後、以下のように展開した。 6月12日 他人PCで仮想通貨獲得 了解得ず「採掘」初立件 神奈川県警など,*1 毎日新聞, 6月12日朝刊 仮想通貨マイニング（Coinhive）で家宅捜索を受けた話, モロ@ドークツ, 6月12日9時43分 Coinhive設置で家宅捜索受けたデザイナー、経緯をブログ公開　「他の人に同じ経験して欲しくない」, ITmedia, 6月12日12時17分 仮想通貨「無断採掘」疑い サイト運営者を書類送検,*2 共同通信, 6月12日20時45分 Police to press charges over cryptocurrency 'mining' of computers without consent, The M

■ 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」 序章 昨日の読売新聞朝刊解説面に以下の記事が出た。 ［解説スペシャル］ウイルスか合法技術か 他人のPC「借用」 仮想通貨計算 サイトに設置 摘発相次ぐ, 読売新聞2018年6月9日朝刊 「まさか違法とは……」。こううなだれる首都圏のウェブデザイナー（30）は今年3月、横浜地検にウイルス保管罪で略式起訴され、罰金10万円の略式命令を受けた。自分の運営する音楽サイトに昨秋、「コインハイブ」と呼ばれるコインマイナー用のプログラムを設置したところ、これがウイルスと判断されたのだ。 （略）昨年末から神奈川や宮城、栃木、茨城県警など全国の警察が捜査を開始。これまでに確認できただけで5人のサイト運営者がウイルスの供用や保管などの容疑で捜索を受け、既に略式命令を受けたケースもある。（略） 略式命令を受けたウェブデザイナー

■ 優良誤認表示の「通信の最適化」（間引きデータ通信）は著作権侵害&通信の秘密侵害、公正表示義務を まえがき 3年前、「通信の最適化」でついに事故が発生し、炎上したことがあった。しかし、当時はまだこの問題への世間の理解が浅く、問題提起しても、天才プログラマの清水亮から「ピュアオーディオを有難がる宗教法人と大差ない」とか「トラブルはアプリ書いた人の能力の問題」などと小馬鹿にされる始末だった。川上量生は「どこが通信の秘密なんだよ」とひたすら独り言を続けていたし、ガラケー全盛期に名を馳せたケータイジャーナリストの面々もろくに動く様子がなかった。 ハッハッ、見ろ！第1種電気通信事業がゴミのようだ！！ #通信の最適化（）, 2015年6月 「通信の最適化」に関する高木浩光氏の見解, 2015年7月 kadongo38氏「日本の通信事業者よりAppleやFacebook, Google の方が問題」,

しかも、取得主体が個人情報保護委員会であるなら、.go.jp（政府ドメイン名）に置かないと、「政府機関の情報セキュリティ対策のための統一基準」の遵守事項（6.3.2(1)）違反だよ。何回言ったらわかるの？ たかがドメイン名（笑）とバカにしてるんだろうが、政府ドメイン名の使用については、どういう風の吹き回しか知らない*3が、国会でも質問主意書が出る（「政府ドメインの統一に関する質問主意書」2018年1月25日提出, 衆議院質問答弁経過情報）くらい国会議員に注目されてる*4んだぞ。「閲覧者が偽サイトを政府の真正サイトと誤信し個人情報をだまし取られる「フィッシング詐欺」などの被害について早急な対応が必要と考えるが」とか言われてるんだぞ。 国会で吊し上げられることになってももう知らんぞ。 大事な原稿も落としたことだしもうぶっちゃけて言っちゃえば、事務局長に嫌われると「あいつらの話を聞くな」とか言わ

■ 「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか 残念なニュースが入ってきた。 都税のサイトに不正アクセス ６７万件余の個人情報流出か, NHKニュース, 2017年3月10日 このサイトについては、今年の正月早々に以下の件で話題になっていた。 「国税クレジットカードお支払サイト」は誰が運営するサイトなのか, togetterまとめ, 2017年1月5日 このとき、タイトルには「国税……」とあるが、「国税クレジットカードお支払サイト」と「都税クレジットカードお支払サイト」の両方を話題にしていた。 これは、GMOペイメントゲートウェイ株式会社とトヨタファイナンス株式会社が組んで、東京都への都税の納税代行と、国税庁への国税の納税代行をする「クレジットカードお支払いサイト」を運営している*1のだが、サイトの画面構成からして、誰が運営主体なのか不明だということが問題となっていた

■ GPS捜査の総務省ガイドライン改正で携帯電話事業者と警察が不正指令電磁的記録の罪を犯すおそれ 目次 経緯 刑法168条の2 不正指令電磁的記録に関する罪 パブリックコメント提出用意見書（期限超過） 4月にこういう記事が出ていた。 携帯GPS情報、本人通知せず捜査に活用 指針見直しへ, 朝日新聞, 2015年4月17日朝刊 総務省が、通信事業者の個人情報の取り扱い方を定めるガイドラインの見直し案を17日に発表する。意見公募の手続きを経て、6月にも運用がはじまる見通しだ。 （略）捜査機関が、裁判官の令状にもとづき、GPS情報を取得できる規定がガイドラインに盛り込まれたのは2011年11月。誘拐犯や指名手配犯の居場所の把握に有効と考えられた。ただ、プライバシーへの配慮から、取得を本人に知らせる「条件」つきだった。 だが、被疑者に知られると証拠を隠されたり、逃げられたりする恐れがある。誘拐犯な

■ なぜソニーが駄目でアップルやマイクロソフトは良いのか 8月14日の日記を書いた翌週のこと、なんとなく「hiromichu」でググってみたところ、以下のページが見つかり、魂消た。 hiromichu - PlayStation®Home オフィシャルサイト, http://playstationhome.jp/community/mypage.php?OnlineID=hiromichu このページで「トロフィー」のところをクリックすると、なんと、私がどんなゲームで遊んでいたかまで表示されてしまう。URLの「OnlineID=」のところに任意のIDを指定することで、全ての人のゲームプレイ状況を閲覧できてしまう。（このサイトにログインしていなくても。） プレステ3を買ってPlayStation Networkを使い始めてかれこれ何年にもなるが、これまで、全くこのことに気付かないまま、いくつ

■ ウイルス罪法案、バグ放置が提供罪に該当する事態は「ある」と法務省見解 いわゆる「ウイルス作成罪」の新設を含む刑法等改正法案の審議が、一昨日から始まっており、今日の午前中には、野党議員からのつっこんだ質疑があり、意外な答弁が出てきた。 第177回国会 衆議院法務委員会 平成23年5月25日 衆議院TV, 会議録 第177回国会 衆議院法務委員会 平成23年5月27日 衆議院TV, （会議録未公表） 特に注目に値するのは、今日の午前中の以下の部分。*1 大口善徳議員：（略）解釈上の疑義等問題点について明らかにしていきたいと思う。コンピュータウイルスについて、刑法168条の2に、1項1号でこのコンピュータウイルスの定義が書いてあるわけですが、「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」と、こういう定義であ

■ Macっ娘ならオートメータ君つかいたおすわよね iPhoneといっしょにMacに乗り換える子が多いみたい。Mac買ったらまず開くのは「アプリケーション」フォルダなんだけど、左隅にいるちょっと気になるロボット君、「Automator」君っていうんだけど、知ってた？

■ 今こそケータイID問題の解決に向けて 目次 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 Web開発技術者向けの講演でお話ししたこと 研究者向けの講演、消費者団体向けの講演でお話ししたこと 総務省がパブリックコメント募集中 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 6月初めのこと、ソフトバンクモバイルが「電波チェッカー」というiPhoneアプリを直々に開発して、iTunesストアで配布を始めたというニュースがあったのだが、それを伝えるITmediaの記事で、「取得された電波状況情報はiPhoneのUDIDとともにソフトバンクモバイルに報告される」と書かれているのが気になった。*1 「電波チェッカー」で検索して世間の反応を探ったところ、ソフトバンクモバイル社のCTO（最高技術責任者）の方が、Twitterで直々に市民と対話な

■ クッキー食えないのはドコモだけ ろくに安全な作り方も確立していないくせになぜかやたら蔓延ってしまった「簡単ログイン」。そもそもUI設計からしておかしい。ボタンを押せば入れるなら、ボタンがある意味がない*1。ログアウト不可能な常時ログインサイトだ。（それなのに「ログアウト」ボタンがあったりする。） 「そんなこと言ったって便利だから必要なんだ」とか、「ケータイでパスワードなんか入れてられない」だとか、「お客さんが付けてくれって言ったら俺たちIT土方には何も助言なんてできないんだ」とか言う人が出てくるわけだが、そんなのは、一般のインターネットのサイトだって、昔から「□ 次回から自動的にログイン 」とか「□ 次回から入力を省略」といったチェックボックスが普通に用意されている。amazon.comなんか大昔からログインしっぱなしだ。 そしてそれはcookieによって実現されてきた。個人識別番号な

■ 先週からEZ番号の変更が不可能にされていた KDDI社員の方からタレコミがあった。 従来、EZ番号は、EZオプションを廃止して再加入すると新たな番号が付与されるようになっていたのだが、5月10日から、同じ個人には同じEZ番号を継続して付与するよう、システム変更があったという。その意図は、「EZ番号変更による問題行為の防止」だという。電話番号を変更してもEZ番号は変わらないようになったという。 エンドユーザのプライバシーにかかわる仕様変更であるにもかかわらず、プレスリリース等を出さずこっそり変更していることから、私から注意喚起をしてほしいとのことだった。 この情報は、とくに隠されているものではなく、聞かれたら答えられるよう各種窓口に周知されているものだそうで、以下のチラシが店頭掲示用として配布されているようだ。 KDDIのこの措置が誰の要求に応じたものなのかは知らない。 ２ちゃんねるを調

■ ケータイIDに添えて年齢情報も送信されるようになる？ 4月9日、「利用者視点を踏まえた（略）諸問題に関する研究会」の第二次提言案が公表された。 「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」第二次提言（案）に対する意見募集, 総合通信基盤局電気通信事業部消費者行政課, 2010年4月9日 この提言案には重要な論点が複数含まれている。特に、今このタイミングで一般市民が広く察知して議論を深めておく必要性が高いと私が思うのは、「I CGMに関する検討について」の「2.青少年保護に向けた取組強化について」の「利用者年齢認証の確実化」の部分。 ここに書かれている文章はクネクネクネクネして文章の論理構造を把握しづらいものになっているので、以下に階層的箇条書きでまとめてみる。（脚註は私によるツッコミ。今時間がないので後日追加する予定。） 年齢認証の確実化を巡る課題 趣旨：SNSなど

■ ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を 昨年示していた、 やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合, 2009年8月2日の日記 日本の携帯電話事業者の一部は、「フルブラウザ」にさえ契約者固有ID送信機能を持たせて、蛸壺の維持を謀ろうとしているが、iPhoneのような国際的デファクト標準には通用しないのであって、今後も、他のスマートフォンの普及とともに、蛸壺的手法は通用しなくなっていくであろう。 そのときに、蛸壺の中の開発者らが、このニコニコ動画の事例と同様のミスをする可能性が高い。「IPアドレス帯域」による制限が通用しない機器では、アプリケーションの内容によっては特に危険な脆弱性となるので、関係者はこのことに注意が必要である。 の懸念が、今や、さらに拡大し、ケータイ業者のみならず、一般のシステムインテグレータの思考

■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。 各サイトの「かんたんログイン」に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない（不正アクセス禁止法違反になる）ので、自分用のアカウントを作成して（会員登録して）、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は

■ 2年前に書いた懸念がいよいよ現実のものになりつつある 2008年に書いた懸念、 単純所持刑罰化ならウイルス罪を同時施行しないとセキュリティバランスが悪化する, 2008年5月5日の日記 これが現実になりつつある。 先週、長崎市立の中学校の校長が、自宅のパソコンで、児童ポルノに該当し得ると疑われるファイル名のファイルを開いたと疑われる事態が、ウイルス（トロイの木馬）によって暴露され、三流下劣メディアから嘲笑されるという事件が起きた。 中学校校長がロリコン画像を大量所持か / 性的画像と一緒に学校資料も, ロケットニュース24, 小林涼子編集長（システム担当 矢野さとる）（29日16:30修正、下記の追記2参照）, 2010年3月21日 （略）この人物が校長だといわれているのはなぜか？ それはロリコン画像のほかに最近使ったデータとして学校名付きで学力向上対策.jtd、学校生協への学校紹介.

■ 音楽著作権団体らの杜撰なアンケートがフィッシング被害を助長する 音楽6団体、違法ダウンロード防止の啓蒙キャンペーン, ケータイWatch, 2010年3月4日 プレスリリース, 音楽関係6団体「やめよう！違法ダウンロード」キャンペーン開始, 社団法人日本レコード協会, 2010年3月4日 【特設サイトURL】 パソコン http://www.happy-musiccycle.jp/ 携帯電話 http://www.happy-musiccycle.jp/mobile/ このURLがあちこちに貼られて宣伝されているようだ。たとえば、懸賞情報のメールマガジンなどに掲載されているようだ。 社団法人日本レコード協会 QUOカード1000円分300名プレゼント, 無料サンプル＆懸賞情報サイト 社団法人日本レコード協会 QUOカード1000円分300名プレゼントキャンペーン! エルマークを広めよう

■ iTunesストアの不正アクセス被害で問題にすべきポイントは何か iTunesストアで不正アクセス行為が横行しており、身に覚えのない高額な請求をされて困ったという話は、昨年の秋くらいからチラホラとブログ界隈に出ていた。たとえば以下の報告では、中国語の商品等が不正に購入された被害を示している。 iTunesのアカウント不正利用に関する一例, 2009年10月31日〜11月4日 お問い合わせいただいたアカウントロック解除のお願いについてご案内します。 アカウント名　xxxxxxxxxxx　は、お客さまの事前承諾なしに商品が購入されたというお問い合わせをいただきました。不正使用で、アカウント名　xxxxxxxxxxx　は、変更されていますので、○○様のアカウントを有効かする事はできません。 アカウントロック解除はできませんご了承下さい。 ○○様のもう一つのアカウント名　 yyyyyyyyyy

■ 誤報是正「無罪判決でWinny利用者増加」は誤り Winnyノード数は無罪判決後やや増加？ ネットエージェント調査, INTERNET Watch, 2009年10月14日 逆転無罪の影響か？「Winny」のノード数が増加――ネットエージェント調べ, japan.internet.com, 2009年10月14日 逆転無罪判決でWinnyノードはやや増加、ネットエージェント, @IT, 2009年10月15日 Winny裁判、判決後にノード数が増加！ 〜 10月最高値を更新, RBB TODAY, 2009年10月16日 上記の報道があり、たくさんの人々がこれを鵜呑みにしたようだが、増加した事実はない。 8月22日の日記に書いたように、5月から、Winnyネットワークに対して、ランダムなIPアドレスをソースノードとした偽キーの散布が、目的不明ながら、何者かによって断続的に実施されている