「Amazonの個人情報や購買情報は流出している」はマジでした。 - canadieの日記
結果から先に書くと、即答に近い形で個人情報が漏れた。購買情報に関しては聞いてもないのに勝手に教えてくれた。 予想より反響が大きかったので文末にgmailを使った対策を追記した。 なお、米Amazonと同様、数日遅れて問い合わせ内容についてのメールが来たので追記しました。 Amazonのカスタマーサービス経由でアカウント情報が流出したことが判明 - GIGAZINE http://gigazine.net/news/20160125-amazon-customer-service-backdoor/ こーんな記事があったものだから、嘘くせえと思って実際に(英語めんどくさいので日本の)カスタマーサービスにチャットで問い合わせてみた。いうまでもなく、ソーシャル・エンジニアリングはクラックの基本である。セキュリティにうるさいAmazon社がこんなにザルなわけがないと思ったからだ。 なお、ニセの住所
Windows8に関する個人的な懸念 - 編集日誌になれません
はじめに パソコンが古くなったので、買い替えを検討しているのですが、そのなかで、来月発売されるWindows8についても、ちょっと調べてみました。しかし、Windows8には、かなり問題が多そうです。タッチパネル向けに設計されているので、マウスでは使いにくいということは知っていましたが、その他にも重大だと思える問題点があります。 実際にWindows8を触ったわけではないので憶測の域を出ませんが、Windows8の抱える問題点について、まとめてみたいと思います。 Vistaユーザーなので、出来の悪いOSには耐性があると思っていましたが、Windows8は予想以上でした。 思わぬところから個人情報の漏えいが生じるリスクへの不安がある Windows 8を立ち上げるためには、ログインが必須です。そして、そのログインには、Microsoftアカウントを使うことが推奨されています。Microsof
高木浩光@自宅の日記 - Tポイントは本当は何をやっているのか
■ Tポイントは本当は何をやっているのか Tポイントが実際のところ何をやっているのかは、以前から確認する必要があると考えていたのだが*1、その加盟店に公共図書館をを加えるという話が出てきて*2、いよいよ待ったなしの段階に入ったと思い、5月から6月にかけて「Tカードサポートセンター」に問い合わせて確認していた。 最初に問い合わせたのは5月8日で、「T会員規約にはこう書かれているが実際には何をやっているのか」と素朴に尋ねたところ、電話に出たオペレータからは、「ファミリーマートを利用した会員にガストでクーポンを出したり、ガストを利用した会員にファミリーマートでクーポンを出したりしている」という趣旨の説明があった。このオペレータは、このようなクーポン発行に、商品名レベルの購入履歴は使用しておらず、ファミリーマートの利用の有無(店舗レベル)に基づいてクーポンを発行しているという認識のようだった。 そ
Tカードは個人情報保護法違反に該当するのか?──津田大介の「メディアの現場」vol.44より:津田大介の「メディアの現場」
こんにちは。メルマガスタッフでMIAU事務局長の香月です。最近ネット上でプライバシーに関する問題が話題になっていますよね。特にCD・DVDレンタル大手のTSUTAYAを経営するカルチュア・コンビニエンス・クラブ株式会社(以下CCC)が運営するTカードに関する問題が一番の話題です。 まずは今回のTカードの仕組みを簡単に整理しましょう。 Tカードとは、TSUTAYAおよび一部提携企業で発行される会員証のことです。登録の際には氏名や生年月日、住所が必要です。TSUTAYAでCDやDVDをレンタルするには、このTカードに加入せねばなりません。またTカードにはポイント機能もついていて、TSUTAYAで購入した金額に応じてポイント(Tポイント)が貯まります。溜まったポイントは次回以降のレンタルで1ポイント1円としてお金の代わりに使用できます。ここまでだと普通のレンタルビデオ屋のポイントカードですが、T
個人の謝罪状はパソコンで作成しても良いのでしょ? - 発声練習
IT Media:武雄市長が情報漏えい、Yahoo!ブリーフケースで公開設定誤る ガジェット通信:『Tカード図書館問題』の武雄市長が個人情報を漏洩、公職選挙法違反の疑いとなる情報も 武雄市長物語:私の住所録の流出について 武雄市市長の樋渡さんが個人的な住所録をネットで公開していたことの話に関するFacebookでの本人の謝罪エントリーFacebook:樋渡 啓祐:深く反省しています。…についていたコメントが気になった。 これは失敗だとは思いますが、100人に経緯を説明しつつお詫びする手紙を書けば、あまり炎上しなさそう。 さすがに自筆100枚は大変だから署名くらい自筆にするのでしょうか? 選挙で選ばれる公人および公人を目指す候補者になったら、特定多数へ配る文書をパソコンで作れなくなるの?というのが疑問。選挙ナビ - 選挙に役立つ情報サイト:年賀状・寒中見舞・暑中・残暑見舞などのあいさつ状につ
武雄市長が肖像権配慮なくネットで一般市民を含む写真1万枚以上を公開、上半身裸の女児写真も | ガジェット通信 GetNews
一昨日ガジェット通信でもお伝えしたとおり年賀状用の住所録を『Yahoo!ブリーフケース』の公開ディレクトリに置き232件の個人情報を漏洩させ問題となった佐賀県武雄市市長・樋渡啓祐(ひわたしけいすけ)氏。今度は写真共有サービス『Flickr』に一般人の肖像を含む写真を公開設定のままアップロードしていたことが発覚。中には上半身裸の女児の写真も含まれていたとされ問題となり、このことをTwitterで指摘されると市長はFlickr上のすべての写真を非公開とし自身のブログで謝罪した。 あわせて、flickerに格納していた私のiPhoto写真が公開設定になっていました。先ほど、非公開設定として作業完了。関係者の皆さんにお詫びします。また、ご指摘、批判、アドバイス頂いた皆さんに感謝。今後、一層注意してflickerを含むクラウドサービスは使っていきたいと思います。(原文ママ) 私の住所録の流出について
『Tカード図書館問題』の武雄市長が個人情報を漏洩、公職選挙法違反の疑いとなる情報も | ガジェット通信 GetNews
Facebook市長として有名な佐賀県武雄市の市長が個人情報を漏洩した。漏洩した個人情報は氏名、郵便番号、住所などを含む個人情報232件。ファイル名から、武雄市長自身が管理する住所録ではないかと推測される。市長は自身のブログからリンクして公開している『Yahoo!ブリーフケース』の公開ディレクトリに個人情報が含まれる自身の住所録を置いていた。 市長はツイッター経由で個人情報漏洩を指摘され、23日22時40分頃ディレクトリごと削除した模様。 (武雄市長に指摘をおこなった @12648430 さんのツイートより) 公職選挙法違反の疑いも ファイルは年賀状の住所録管理・印刷ソフトの形式となっており、その住所録部分には武雄市の住所も多く含まれていた。これらの住所へ実際に印刷し年賀状が送られていれば、公職選挙法の「あいさつ状の禁止」に抵触することになるため、しかるべき機関による調査が必要だと考えられ
高木浩光先生、やっぱり間違っています。もっと勉強してください。 | 樋渡啓祐物語(2005年5月ー2015年2月)
あの高木浩光先生が、不思議なことに、「武雄市個人情報保護条例はやはり欠陥だった」と、ブログを書いておられる。 その中に、 「そらみろ、条例でちゃんと明文化しないからこういうことになる。」 と言われても、どういう論理展開であるか不明だが、以前に指摘したとおり、括弧書きがない場合も、括弧書きの対象である「他の情報と照合することができ、それにより特定の個人を識別することができることとなるものが機械的に除かれるわけではなく、「民間向けの「個人情報」定義よりもさらに狭い」わけではない。これは以前、書きました。良かったらご覧ください。高木さん、あなた、完全に間違っています。 また、毎日新聞+スポニチが、Tポイント付与を希望される利用者のTカード番号をCCCに提供するのと同じく、武雄市立図書館もTカードを利用してTポイントが付くようにしてほしいと希望された利用者に関して同意に基づき、CCCにTカード番号
高木浩光による怒濤の講演「ゲーム業界におけるプライバシー保護」がすごいことに
「高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」」というエントリーによってTポイントツールバーは「騙す気満々の誘導」であると指摘、その2日後にTポイントツールバーのダウンロードが一旦停止されたり、ほかにも「ダウンロード刑罰化で夢の選り取り見取り検挙が可能に」「ローソンと付き合うには友達を捨てる覚悟が必要」「武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨て」「やはり欠陥だった武雄市の個人情報保護条例」というように、次々とセキュリティに関して絶大な影響を与え続けてきた独立行政法人産業技術総合研究所の高木浩光(通称:ひろみちゅ)氏によるCEDEC2012の講演が、非常に秀逸な内容となっており、ゲームに限らず、スマートフォンまでも含めてそもそも「個人情報」とは一体何か?ということから、個人情報の現在の扱い、プライバシーに関して今後あるべき方向に至るまで、縦横
高木浩光@自宅の日記 - やはり欠陥だった武雄市の個人情報保護条例
■ やはり欠陥だった武雄市の個人情報保護条例 5月8日に「「個人情報」定義の弊害、とうとう地方公共団体にまで」で、以下のように書いた。 対して、地方公共団体ではどうかというと、それぞれの独自の個人情報保護条例に従うことになるわけだが、「個人情報」の定義が自治体によって異なり、大別して3種類存在する*1ことが判明している。 照合可能型 「個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。」(千代田区の例) (行政機関個人情報保護法と同等のもの)(多数派) 容易照合型 「生存する個人に関する情報であって、特定の個人が識別され、又は識別され得るもの(他の情報と容易に照合することができ、それにより、特定の個人を識別することができることとなる
高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」
■ Tポイント曰く「あらかじめご了承ください」 「Tポイントツールバー」なるものが登場し、8月8日ごろからぽつぽつと話題となり、13日には以下のように評されるに至った。 Tポイントツールバー(by CCCとオプト)が悪質すぎてむしろ爽快, やまもといちろうBLOG, 2012年8月13日 その13日の午後、一旦メンテナンス中の画面となり、夕方には新バージョン(1.0.1.0)がリリースされたのだが、15日には、「Tポイントツールバーに関する重要なお知らせ」が発表されて、「8月下旬」まで中止となった。非難の嵐が吹き荒れる中で堂々と新バージョンを出してきたにもかかわらず、なぜすぐに中止することになったのかは不明である。 この「Tポイントツールバー」とはいかなるものか。以下の通り検討する。 騙す気満々の誘導 刑法の不正指令電磁的記録供用罪(第168条の2第2項)は、「人が電子計算機を使用するに際
高木浩光@自宅の日記 - 個人情報の地方自治が信用ならないワケ
たしかに私は1年ほど前、三田市役所に電話したことがある。三田市だけでなく他の自治体にも同じ内容で問い合わせをした。それは、以下の報道を受けて、実態がどうなっているのか、自宅研究のため、各自治体に取材を試みたものであった。*1 漏洩元のうち岐阜県飛騨市は、情報が流出した一人一人に事情を説明して謝罪し、記者会見で事実を公表した。 しかし、他の13団体は「不特定多数の目に触れておらず漏洩ではない」(海陽町)、「他自治体からさらに外部へは流出していない」(渋谷区)、「すぐに削除された」(愛知県尾張旭市)などとして具体的な措置はとらなかった。 すべての自治体は独自に個人情報保護条例を持ち、「正当な理由」のない個人情報の提供を禁じる。条例は(略)本人以外から個人情報を得ることを禁じている。総務省は各自治体の判断を尊重するとした上で、「省庁で同じことがあれば漏洩として対処する問題だ」とした。 個人情報の
朝日新聞デジタル:Tポイント、医薬品の購入履歴を取得 販促活動に利用 - 社会
関連トピックスヤフードラッグストア「ウエルシア」の店頭では、Tポイントが使えることを示すのぼりがはためいていた=東京都内Tポイントの仕組み 4千万人以上が利用する日本最大の共通ポイントサービス「Tポイント」が、ドラッグストアで会員が買った医薬品の商品名をデータとして取得し、会員に十分な説明をしないまま販促活動などに使っていることがわかった。医薬品の購買履歴には、本人が他人に明らかにしたくない情報が含まれることが多い。日本薬剤師会などは「育毛剤を買った人にかつらの広告を送ったり、関節の痛みを和らげる薬を買った人に健康食品を勧めたりしないか」と懸念。厚生労働省も問題視している。 Tポイントは、住所氏名などの個人情報を登録して会員になり、無料で発行されるTカードにためる仕組み。提携店でカードを出すと、支払額の0.5〜1%程度がポイントになり、次からの支払いで1ポイントを1円として使える。
高木浩光@自宅の日記 - 追跡されない自由を奪う技術を肯定的に捉えた珍しい学術論文の例
■ 追跡されない自由を奪う技術を肯定的に捉えた珍しい学術論文の例 行動ターゲティング広告がオプトアウト方式で概ね許容されてきたのにはいくつかの理由がある*1が、その一つは、cookieはいつでも消去することができ、閲覧者側で追跡から逃れることができるからというものであった。実際、行動ターゲティング広告を展開している事業者は、そのようなエクスキューズ*2をしていることが多い。 しかし、cookieを消しても、ブラウザの特徴的な挙動、たとえば、User-Agentが特殊なものであったり、利用しているプラグインのリストなどから、ある程度の確率で閲覧者を追跡できてしまうことが、研究成果として発表された例がある。 Peter Eckersley (Electronic Frontier Foundation), How Unique Is Your Web Browser?, Proceedings
佐賀県武雄市の新図書館構想と地元市民問い掛けの顛末は
佐賀県武雄市における新図書館構想というものがある。民間企業であるカルチュア・コンビニエンス・クラブ(CCC)に業務委託することで利便性・先進性・コストダウンをウリにしようとする構想だ。ところがこの構想を発表した段階において、いろいろと識者からは問題点の提示がなされる [01] 。そもそもの発端は「TSUTAYA を運営している CCC に任せることで個人情報の取り扱いはどうなるのか」という部分。 去る 2012/05/04 に行われた『武雄新図書館構想発表記者会見』というものがあるのだけど、議会承認がまだの段階で市長が公表した『9つの市民価値』という提言がありました [02] 。 20万冊の知に出会える場所 雑誌販売の導入 映画・音楽の充実 文具販売の導入 電子端末を活用した検索サービス カフェ・ダイニングの導入 「代官山 蔦屋書店」のノウハウを活用した品揃えやサービスの導入 Tカード、T
日本図書館協会の見解は対案無しの荒唐無稽だ。 | 樋渡啓祐物語(2005年5月ー2015年2月)
CCC×武雄市図書館プロジェクトを始動させてはじめて、日本図書館協会なるものを知りました。定款によれば、社団法人で、役員のメンバー表はこちら。事業目的は、定款の、 第3条 この法人は,全国の公共図書館,大学図書館,学校図書館,専門図書館,公民館図書部,その他の読書施設及びこれらに関係ある者の連絡,提携のもとに,図書館事業の進歩発展を図り,わが国文化の進展に寄与することを目的とする。 とあります。 私は総務省時代、課長補佐として、沖縄問題の後、明治以来の公益法人改革の一端を担っていましたが、この手の「連絡、提携」型の社団法人は数多くありました(それから制度そのものが大幅に変わりましたが。)。 ● その日本図書館協会が、武雄市の新図書館構想に注文。佐賀新聞にも記載。また、Yahoo!のトップニュースにも。一社団法人の見解が、また、図書館全体じゃなくてね、個別の図書館に関する見解が、ニュースバリ
プライバシー侵害を懸念する際に「個人情報保護法」でいう個人情報でないから問題ないと主張する組織が相次いでいるのが問題 - 発声練習
高木浩光@自宅の日記:「個人情報」定義の弊害、とうとう地方公共団体にまでの追伸で述べられている 昨年夏以来、次々と登場する事案に、私的な時間のほとんど全てを費やしてきましたが、そろそろ限界を感じています。 は冗談抜きで本当に休みなく同じような話が連続で発生している(高木さんや同じく危機感を持っている方ががんばって指摘している。行動ターゲティング広告とプライヴァシー保護の話のリンクの後ろの方のリンク集参照)。 2008年の端末固有番号を用いた簡単ログインの話ぐらいから始まり、2011年夏のiOSでのUDID使用禁止、秋のsupercookie問題(の再燃)、10月のAppLog、11月のWi-FiのMACアドレスと位置情報の紐付け、12月のキャリアIQ、ConnectFreeによるSNS情報およびMacアドレスの無断取得と延々と続いている、データの突合せによりプライバシー侵害が発生する(した
高木浩光@自宅の日記 - 「個人情報」定義の弊害、とうとう地方公共団体にまで
■ 「個人情報」定義の弊害、とうとう地方公共団体にまで 現行個人情報保護法の「個人情報」の定義に不備があることを、これまでずっと書き続けてきた。「どの個人かが(住所氏名等により)特定されてさえいなければ個人情報ではない」(のだから何をやってもよい)とする考え方がまかり通ってしまいかねないという危機についてだ。 2003年からはRFIDタグ、2008年からはケータイIDによる名寄せの問題を中心に訴えてきたが、当時、新聞記者から説明を求められるたび、最後には「被害は出ているのでしょうか」と、問われたものだった。当時は悪用事例(不適切な事例)が見つかっておらず(表沙汰になるものがなく)、これが問題であるという認識は記者の胸中にまでしか届かなかった。 それが、昨年夏から急展開。スマホアプリの端末IDを用いた不適切事案が続々と出現し、それぞれそれがなぜ一線を越えているか説明に追われる日々になった。ス
高木浩光@自宅の日記 - ローソンと付き合うには友達を捨てる覚悟が必要
■ ローソンと付き合うには友達を捨てる覚悟が必要 当初3月末開始とされていた「LAWSON Wi-Fi」が、なぜか「当初の計画より事前テストに時間を要したため」として、遅れて4月6日から開始されたのだが、早速Twitterでこんな指摘が出ていた。 少なくともこういうのを「ログイン」と呼ぶのはやめて頂きたい。金融機関などでは、暗証番号に電話番号や誕生日を使うのをやめるよう利用者を啓発する活動にコストをかけてきたが、そうした労力を台無しにする。ローソンとしては、無料の無線LANを使わせるくらい、本人確認が甘くても自社の問題だから許されると思っているのだろうが、こういうやり方が社会に悪弊をもたらすことに気付いていないのか。 今回は、前回の日記で取り上げた「PASMOマイページ」の問題とは違って、「ログイン」で電話番号と誕生日を使用している。一般に、不正アクセス禁止法では、このような、IDと電話番
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
あらゆる個人情報をハッキングされたWIRED記者が考えるセキュリティ問題