パスワードを忘れた? アカウント作成
15603748 story
論説

高木浩光氏の個人データ保護に関する約9万文字以上インタビュー 58

ストーリー by nagazou
ながい 部門より
ここではおなじみの高木浩光氏が、個人データ保護に関する話題をインタビュー形式で話すという内容の記事が掲載されている。個人情報保護法の令和3年改正に関わる話題が主題となっているが、個人情報保護に関する歴史的経緯や国外の取り組みなどを含んでいることもあって、記事冒頭でもこのインタビューは大変長いと前置きされるほどの長文となっている。目次の気になるトピックから読んでくださいとあるが、記事冒頭では目次の項目だけで23項目ある。なお編集子がCtrl+Aしてブラウザのラグインを用いて記事中の文字数を数えたところ97780文字あったので全文読む人は覚悟が必要だ(高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱:ILIS出版部)。
15546388 story
インターネット

コインハイブ事件、最高裁で無罪確定へ 246

ストーリー by nagazou
ムザイ 部門より
Webサイト上に暗号通貨(仮想通貨)のマイニングを行う「Coinhive」と呼ばれるスクリプトを設置したことで、不正指令電磁的記録保管罪に問われたいわゆるCoinhive(コインハイブ)事件で、最高裁は二審の有罪判決を破棄して逆転無罪を言い渡した(最高裁判決[PDF]日経新聞時事ドットコムITmedia)。

裁判ではこのプログラムが「閲覧者の意図に反した不正な動作」をしているかが争われた。一審判決は「意図に反した」点は認定したものの、不正性は認められないと判断された。二審では反意図性及び不正性が認められるとして罰金10万円の有罪が下されていた。最高裁では社会的に受容されている広告表示プログラムと比較した場合でも、処理能力に与える影響に有意な差はない。これは社会的に許容し得る範囲内であるとして無罪を言い渡したとしている。

なおこの件に関して、証人として裁判に出廷したこともある高木浩光氏が判決の前に考察を行う記事を掲載していた(不正指令電磁的記録罪の構成要件、最高裁判決を前に私はこう考える)。

あるAnonymous Coward 曰く、

本件プログラムコードは,そのような仕組みとして社会的に受容されている広告表示プログラムと比較しても,閲覧者の電子計算機の機能や電子計算機による情報処理に与える影響において有意な差異は認められず,事前の同意を得ることなく実行され,閲覧中に閲覧者の電子計算機を一定程度使用するという利用方法等も同様であって,これらの点は社会的に許容し得る範囲内といえるものである。

広告だって無許可でリソース使っとるやん、という割と素直な判決。

15449986 story
政府

行政手続きに使われる「xID」がマイナンバー法違反の指摘。これを受け自治体でアプリ利用停止へ 59

ストーリー by nagazou
統合しました 部門より
自治体などの行政手続きで利用されているデジタルIDサービス「xID」に、法的な問題があるとして自治体の利用停止の動きが広がっているようだ(高木浩光@自宅の日記読売新聞なか2656のblog)。

xIDは本人がスマホアプリにマイナンバーを入力しxIDを生成する仕組み。このxIDのシステムに関して高木浩光氏がマイナンバー法2条8項にある「裏個人番号」に該当するのではないかと指摘している。同氏によれば「裏個人番号」は、法的にはマイナンバーと同等のものになるという。マイナンバーは桁数が少ないことから、不可逆なハッシュでも総当たりによって元の番号を特定することができるためのようだ。

マイナンバー法では、マイナンバーは税・社会保障・災害対応の3項目の利用目的以外は認められていない。また先の目的以外に本人や行政機関・事業者などがマイナンバーを提供することを禁止している。xIDアプリにマイナンバーを入力させることが違法なマイナンバーの収集にあたるのではないかということになる。

xIDは加賀市や三田市、町田市などが自治体の電子申請システムや施設予約システムなどに導入済。しかし高木氏などの指摘を受けて利用停止する動きが出ているという。読売新聞によれば、加賀市は9月末に全申請を停止。愛媛県はこのアプリ経由の登録者のデータを削除、別方式で再登録を行った。東京都渋谷区はアプリ導入を撤回。川崎市や岐阜県も使用できないように設定変更したとしている。
15449960 story
政府

総務省、郵便局が顧客データを企業に販売できるよう法改正へ 65

ストーリー by nagazou
転居届のNHK通知も問題視されてるのに 部門より
あるAnonymous Coward 曰く、

総務省は日本郵政が顧客のデータを企業に販売できるように法改正を目指しており、そのため個人情報保護ガイドラインを来年夏までに見直すことがわかった(産経新聞)。

日本郵政グループは郵便物の配達状況から全国各地の住所について居住実態・自動車の保有状況・店舗の開店閉店情報などを把握している。
今後、その居住者情報を災害時に自治体に提供することで安否確認に利用したり、自動車保有状況をデータベース化して自動車販売ディーラーに販売し営業に利用してもらうなどの新規事業を想定している。

郵便配達という誰しもが利用しているサービスが個人情報を吸い上げ売り物にする、というのはいささかセンシティブで議論の余地がありそうだ。せめて各顧客の同意を得てからでないとダメなのでは?

なおこうした総務省の方針に対して、高木浩光氏は郵便局員への住民の見方が変わってしまう点や住居侵入などの犯罪に当たる可能性があるといった問題提起を行っている(高木浩光氏のツイート)。

15400292 story
テクノロジー

JR東日本、先月から顔認証で犯罪者や仮釈放者を照合していた 191

ストーリー by nagazou
これはさすがにまずいんでは 部門より
あるAnonymous Coward 曰く、

読売新聞の26日朝刊のAI社会の解説記事内で、唐突に明らかにされたが、JR東日本は実は先月から、顔認証機能付きカメラで重要犯罪の容疑者や仮釈放者、挙動不審な人物などの顔を登録し、照合しているという(高木浩光氏のツィート)。

4月にはEUが監視社会防止のためにこうした事を原則禁止するという規制案を発表しているが、日本ではしれっと民間企業が運用開始していたようである。犯罪容疑者はともかく、仮釈放者や挙動不審者は法規制の対象ではないと思われるが、本人の同意なく勝手に照合して問題ないのだろうか?

15396212 story
日本

高木浩光氏、日本版ePrivacy立法を目指すのであれば、通信の秘密の概念そのものを見直すべき 53

ストーリー by nagazou
指摘 部門より
おなじみの高木浩光氏が、総務省がパプコメを募集していた「プラットフォームサービスに関する研究会 中間とりまとめ(案)[PDF]」(以下中間とりまとめ案)についての意見を上げている。中間とりまとめ案では、インターネット上の誹謗中傷への対応を念頭、インターネット上の違法有害情報への対応や利用者情報の取扱いに関して意見公募を行ったもの(高木浩光@自宅の日記)。

同氏によれば、現時点のとりまとめ案はEUで今年合意されたeプライバシー規則(案)を参考にして作られている部分があるという。日本の現行案が参考にしているのは、Cookie規制など表面的な扱いに参考にしただけだと指摘している。同氏は日本版ePrivacy立法を目指すのであれば、通信の秘密には機械的処理によって介入されることがあるといった部分を明確にするなど「通信の秘密」概念の再構成まで含めて検討するべきだと指摘している。
14341724 story
情報漏洩

テレフォンバンキングがリバースブルートフォース攻撃される可能性について 27

ストーリー by nagazou
むずかしい 部門より
複数の銀行やサービスで発生している不正引き出し事件だが、セキュリティ研究家の高木浩光氏は、インターネットバンキングの普及でだいぶ影の薄くなっているテレフォンバンキングでも、先の不正引き出し事件同様にリバースブルートフォース攻撃によるハッキングの危険性があると指摘している(高木浩光@自宅(テレワークを除く)の日記)。

同氏はこの問題を指摘するために、三井住友銀行のコールセンターに電話したという。その流れ自体は複雑な上にとても長いので割愛するが、途中で上席担当が出てきた上で、危険性があること自体は認める流れるとなっている。

編集子が個人的に興味深かったのは、三井住友銀行の場合は、インターネットバンキングは継続し、テレフォンバンキングだけを止めるといったこともできるということ。キャッシュカードがICカードに切り替わってる場合は、磁気ストライプ型のキャッシュカードを偽造されても引き出せない基本設定になっていることなどだった。ほかの銀行でもそういうものなのだろうか。

なお高木氏は自衛策として、自分の暗証番号を複数回間違えて口座をロックしてしまう方法をおすすめしている。ネットバンキングやテレフォンバンキングがロックされていても、ATMからの引き出しはできるから問題ないそうだ。
14043139 story
インターネット

HTTPSやEV証明書を使っているのは「信頼できるサイト」なのか 92

ストーリー by hylom
何周目の議論だ 部門より

Abema TVやAbema TIMESの記事で「信頼できるサイトの見分け方」として、「アドレスバーにカギのアイコンが付いているかどうか」というものが紹介されたのだが、これに対し正しくないとの批判が寄せられている(Togetterまとめ)。

「アドレスバーにカギのアイコンが付いている」というのは、そのWebサイトがSSLを使っていることを示している。また、『カギのアイコンが付いているWebサイトで緑色になっていれば「ある程度の安全の指標」になるが「注意は必要だ」』ともコメントされている。これは、そのサイトがEV証明書を使用していることを示している。

EV証明書に関しては単にサイトの運営社名を保証するだけであり、「アドレスバーが緑色になるサイトなら大丈夫」というのは無責任であると2008年にセキュリティ研究者の高木浩光氏が解説しておりEV SSLを緑色だというだけで信用してはいけない実例も紹介している。また、氏は「実在証明の機能はTLS(SSL)の機能ではない」とも述べている。

13955270 story
政府

HTTPS化されたe-Govサイト、HTTPでのアクセスはすべてアナウンスページに転送する残念な仕様 73

ストーリー by hylom
この仕様を考えたのは誰だ 部門より

「電子政府の総合窓口」となっている政府のe-Gov WebサイトがHTTPS化されたのだが、これによってHTTPによる接続が廃止されたうえ、HTTPでアクセスした際にはHTTPS版ページへのリダイレクトは行われず、まったく別のページにリダイレクトされる仕様になっていることから、不便だという声が出ている(@pmx003_the_oのTweet)。

コンテンツのパス自体は変更されていないため、URLの「http://」を「https://」に変更すればアクセス自体は可能になるのだが、現状e-GovサイトにHTTPでアクセスするとすべて「e-Govサイトのhttpによる通信終了について」(URLは「https://www.e-gov.go.jp/sorry.html」)にリダイレクトされる仕様になっており、URLを再度入力しなければならなくなっている。

セキュリティ研究家の高木浩光氏はこれに対し、「廃止すると安全になると勘違いしてそうだな。(実際には、廃止しようが、攻撃者は http:// のページを出してくる。)」と指摘している。

13932821 story
プライバシ

Yahoo!知恵袋への投稿を元に信用行動スコアを算出するのは目的外利用となり個人情報保護法違反の可能性があるとの指摘 69

ストーリー by hylom
利用規約の策定は大変である 部門より

先日、ユーザーの「信用度」を数値化する「Yahoo!スコア」オプトアウトで開始、自身のスコア確認は今後検討という話があった。ここではYahoo!知恵袋などへの投稿についても「信用行動」スコアの算出に使われることが話題となったが、セキュリティ研究家の高木浩光氏によると、現状のYahoo!知恵袋の利用規約ではYahoo!知恵袋への投稿をスコア作成に利用することは「目的外利用禁止違反」となり個人情報保護法の第16条に違反している疑いがあるという(高木浩光@自宅の日記)。

Yahoo!知恵袋の利用規約では同サービス上での行動データをスコア作成に利用する旨が記載されていないため、スコア算出に行動データを利用することは目的外利用に相当するという。

13870706 story
日本

兵庫県警による「無限Alert」摘発事件に対する支援金寄付募集、1日で700万円近くが集まり終了 99

ストーリー by hylom
頑張ってください 部門より

先日、延々とメッセージを表示させるWebサイトのURLを貼った中学生らが補導・逮捕されるという事件が発生した。この事件については、取り調べを受けた男性がその様子を明らかにしたことでも話題になったが、この事件の容疑者となっている2名を支援するため一般社団法人日本ハッカー協会(過去記事)が寄付を呼びかけたところ、開始から24時間で553名から合計693万4,471円の寄付が集まったという(日本ハッカー協会の寄付呼びかけページ)。これによりひとまず十分な費用が集まったとして、寄付の受付は終了となっている。

寄付を集める理由としては下記が挙げられている。

家宅捜索を受けたうち二人は、現在、費用の問題で弁護士をつけていないとのことです。このままでは、裁判を受ける権利を行使することができないまま略式命令で罰金刑に処されてしまう展開が予想されます。

我々は本件について、後述するように、法の趣旨を逸脱した不当な摘発の可能性があるのではないか、と疑問を持っています。そして、もしもそうであるとすれば、IT技術の開発者と利用者の権利が不当に害されてしまうのではないか、と恐れています。

発起人は「みんなで逮捕されようプロジェクト」 を立ち上げた加藤公一氏、セキュリティ研究者の高木浩光氏、とつげき東北の3人。

13858189 story
著作権

ダウンロード違法化対象拡大の混乱続く、リーチサイト規制にも問題 101

ストーリー by hylom
どんどん出てくる 部門より

ダウンロード違法化に関する議論が続いているが、現在検討されている著作権法の改正案には著作権侵害サイトへのリンクを集めたようなサイトについても規制を行う内容が含まれているという(高木浩光@自宅の日記:リーチサイト規制の条文にも欠陥 ダウンロード違法化等著作権法改正法案原案)。

これによると、改正案には「著作権侵害コンテンツへのリンク提供」についても著作権侵害とみなすという条項が含まれており、「著作権侵害コンテンツ」とされる対象として、著作物をそのままコピーして無断配信するようなサイト/サービスだけでなく、「無断転載」や「ライセンス違反での配信」も含まれると定義されているようだ。その結果、「アニメアイコンのTwitterアカウントの一覧リンク集」や「いらすとやのイラストを20点を超えて使用している商用利用のスライド一覧のリンク集」、「剽窃論文の一覧リンク集」、「GPL違反ソフトウェアの一覧リンク集」なども著作権侵害として摘発・刑事罰の対象になるという。

13856310 story
ニュース

毎日新聞のサイバー犯罪に関する報道に対し誤報との指摘 42

ストーリー by hylom
そういうことにしたいのだろう 部門より

3月7日の毎日新聞に掲載されたサイバー犯罪に関する記事に対し、セキュリティ研究者の高木浩光氏が「大誤報だ」との指摘を行っている(高木浩光@自宅の日記:警察庁の汚い広報又は毎日新聞の大誤報を許すな)。

問題の記事では、仮想通貨を採掘(マイニング)するスクリプトをWebページに設置した事件(いわゆる「Coinhive事件」)についても触れており、「有罪判決が出ている」としている。確かに仮想通貨採掘絡みでの有罪判決は出ているものの、これはネットゲームのチートツールに仮想通貨採掘機能をこっそり実装していたというもので(過去記事)、Coinhive事件とは関係がない。

また、Coinhive絡みでは複数の事案があったが、一部は略式起訴で終了しており(過去記事)、また現在裁判が行われているものについてはまだ判決は出ていない。そのため、高木氏はこの記事について「誤報」だとしている。

13839121 story
著作権

録音・録画物以外のコンテンツもダウンロード違法化とする方針 191

ストーリー by hylom
何がしたいんだ 部門より

文化庁の文化審議会の著作権分科会が13日、インターネット上のあらゆるコンテンツについて、著作権を侵害していると知りながらダウンロードする行為を違法とする方針を決定した(共同通信朝日新聞)。

現在の著作権法では第30条の三で次のように規定されており、いわゆる海賊版サイトからの録音物(音楽や音声)もしくは録画物(動画)のダウンロードが違法となっている。

著作権を侵害する自動公衆送信(国外で行われる自動公衆送信であつて、国内で行われたとしたならば著作権の侵害となるべきものを含む。)を受信して行うデジタル方式の録音又は録画を、その事実を知りながら行う場合

今回の方針では画像など音楽や動画以外のコンテンツについても、権利者の許可無くアップロードされたものをダウンロードする行為は犯罪となる。また、スクリーンショットを保存する行為もダウンロードに該当することになるとのこと。さらに、著作権者の許諾を得ていない二次創作物についても「海賊版」という扱いとなるという(高木浩光氏のTweet)。そのため、たとえばTwitterに投稿された許諾を得ていないファンアートをダウンロードしたり、そのスクリーンショットを保存する行為も違法行為となる。

13816792 story
日本

Coinhive事件、高木浩光氏が証人として裁判に出廷 149

ストーリー by hylom
お疲れさまです 部門より
あるAnonymous Coward曰く、

サイト訪問者のWebブラウザ上で採掘を実行させる「Coinhive」をWebサイト上に設置して仮想通貨のマイニング(採掘)を行わせていたとして複数のサイト管理者が摘発される事件が発生しているが(過去記事その続報)、現在Coinhiveを設置したとして不正指令電磁的記録保管の罪に問われたウェブデザイナーの男性に対する裁判が行われている。この裁判で、この事件について当初から懸念を示していたセキュリティ研究者の高木浩光氏に対し、証人尋問が行われたとのこと(弁護士ドットコムNEWS)。

高木氏は今回の逮捕は構成要件が曖昧であることを説明するとともに、今回のCoinhiveについて「取り返しのつかないほどの挙動はしない」「自動的に実行されるが、サイトを離脱すると停止されるため問題ない」として刑法犯で処罰されるものではないと主張している。

また、証人尋問を傍聴してきた@shonen_mochi氏のTweetによると、検察側は高木氏と全面対決する姿勢を見せていたようだ。

13759400 story
プライバシ

トレンドマイクロ、無断での個人情報収集について「必要なもの」と主張し批判を浴びる 56

ストーリー by hylom
何を言っているのだ 部門より

トレンドマイクロがユーザーに周知せずに個人情報を収集していた問題を受け、AppleはApp Storeでの同社製アプリの配信を停止している。これに対し10月31日付けでトレンドマイクロが状況を説明する文書を公開した(ITmedia窓の杜)。

これによると、トレンドマイクロはAppleがアプリケーションによる個人情報収集について厳しい制限を課していることを肯定的に評価するいっぽう、自社による個人情報収集に対しては「一定の履歴データを収集することは、想定しうる被害を最小限にとどめるために当社にとって必要」として正当化しており、これがAppleとの間で「見解の相違」となっているという。

これに対し、セキュリティ研究者の高木浩光氏は「業界の信用を傷つける思想」と批判、抗議するべきと訴えている。

13722902 story
日本

WebサイトにCoinhiveを設置して閲覧者にマイニングさせた事案、罰金30万円が命じられる 69

ストーリー by hylom
裁判の方に注目ですかね 部門より

Webサイト内に「Coinhive」と呼ばれるスクリプトを設置し、サイト閲覧者の端末で仮想通貨を採掘させる行為が不正指令電磁的記録供用やを不正指令電磁的記録(ウイルス)保管に当たるとされて摘発された事件で、横浜区検察庁が容疑者を不正指令電磁的記録(ウイルス)保管の罪で略式起訴、罰金30万円の支払いが命じられた。また、不正指令電磁的記録供用容疑については不起訴になったという(毎日新聞)。

Coinhiveが不正指令電磁的記録に相当するかどうかはセキュリティ研究者の高木浩光氏が検証を行なっているが、検察や簡易裁判所は違法だと判断したことになる。なお、Coinhiveの設置を巡っては複数の人が摘発されているが、うち1人は命令を不服として裁判を申し立ててているという。

13620239 story
セキュリティ

サイトにCoinhiveを設置していたサイト管理者、不正指令電磁的記録取得・保管罪で摘発される 221

ストーリー by hylom
裁判にして司法の場で争うべきでしょうね 部門より

Webブラウザ上で仮想通貨の採掘を実行させる「Coinhive」を自身の管理するWebサイトに設置していたとあるWeデザイナーが、不正指令電磁的記録取得・保管罪で家宅捜索や取り調べを受け、罰金10万円の略式命令を受けていたことを報告しているITmedia)。

この問題についてはセキュリティ研究家の高木浩光氏がまとめているが、Coinhiveの設置が不正指令電磁的記録取得・保管罪に該当するかどうかは明確ではなく、今回の摘発は不適当である可能性がある。

こういった「Coinhiveの摘発」はこの一件だけではなく、「合同捜査本部があって複数の県警に事件が割り振られており、結構な人数が検挙されているらしい」という話があるようだ。また、ウイルス対策ソフトウェアなどを提供しているメーカーがこういった仮想通貨採掘スクリプトについて過剰に危険だと煽っているとの指摘もある。

13616130 story
インターネット

上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる 62

ストーリー by hylom
スラドですらちゃんと買っているのに 部門より

無償でSSL/TLS証明書を提供するサービス「Let's Encrypt」の利用が広まっているが、このサービスで発行された証明書を利用する上場企業や官公庁が登場したことが一部で話題になっている(上原哲太郎氏のTweetShigeki Ohtsu氏のTweet)。

SSL/TLS証明書の役割の1つは暗号化通信に利用するための鍵を提供することだが、別の役割としてその接続先を保証するというものもある。Let's Encryptは接続先サーバーがそのドメイン名に適切に紐づけられていることについては保証するが、証明書の所有者については保証しない。そのため、企業などでの利用には適さないとされている。

(以下、追記と訂正@6/8 0:55)セキュリティ研究家の高木浩光氏によると、「TLS(SSL)における証明書の役割は中間者攻撃を防ぐことであり、それを上回りもしないし下回りもしない。(実在証明の機能はTLS(SSL)の機能ではない。)」とのこと(指摘Tweet)。

SSL/TLS証明書にはドメインの認証のみを行うDV証明書と運営者の実在性審査を行うOV証明書、厳格に運営者の審査を行うEV証明書があるが(解説記事)、高木氏によるとOV証明書は無意味とのことで、DV証明書を利用するのであれば無料の証明書でも十分だという。そのため、企業サイトにおけるLet's Encryptの証明書の利用も問題ないようだ。

13603062 story
YRO

Coinhiveを設置したサイトの運営者が不正指令電磁的記録供用の疑いで捜査されるトラブルが発生中? 101

ストーリー by hylom
何が悪いんだ 部門より

Webブラウザ上で仮想通貨の採掘(マイニング)を実行させるサービス「Coinhive」を利用したWebサイトの運営者が警察に捜査されるというトラブルが発生しているとして、セキュリティ研究家の高木浩光氏が情報提供を呼びかけている

Coinhiveについては海賊版サイトなどが収益のために採掘コードを設置するケースがあったほか(過去記事)、広告ネットワークを経由して不正に採掘コードを第三者のWebサイトに埋め込むといったトラブルが発生していた。

一方でサイト運営者が広告などに代わる収益源として、利用者の同意を得た上で利用するケースも少なくない。たとえば豪UNICEFはCoinhiveを利用して仮想通貨を採掘し、その結果を寄付するWebサイトを開設しているほか、広告を表示する代わりに仮想通貨の採掘をさせるという試みも登場している。

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...