パスワードを忘れた? アカウント作成
15697574 journal
日記

i12bhdnの日記: 競争政策が消費者の安全・詐欺被害耐性を破壊しに来た 1

日記 by i12bhdn
15603748 story
論説

高木浩光氏の個人データ保護に関する約9万文字以上インタビュー 58

ストーリー by nagazou
ながい 部門より
ここではおなじみの高木浩光氏が、個人データ保護に関する話題をインタビュー形式で話すという内容の記事が掲載されている。個人情報保護法の令和3年改正に関わる話題が主題となっているが、個人情報保護に関する歴史的経緯や国外の取り組みなどを含んでいることもあって、記事冒頭でもこのインタビューは大変長いと前置きされるほどの長文となっている。目次の気になるトピックから読んでくださいとあるが、記事冒頭では目次の項目だけで23項目ある。なお編集子がCtrl+Aしてブラウザのラグインを用いて記事中の文字数を数えたところ97780文字あったので全文読む人は覚悟が必要だ(高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱:ILIS出版部)。
15546388 story
インターネット

コインハイブ事件、最高裁で無罪確定へ 246

ストーリー by nagazou
ムザイ 部門より
Webサイト上に暗号通貨(仮想通貨)のマイニングを行う「Coinhive」と呼ばれるスクリプトを設置したことで、不正指令電磁的記録保管罪に問われたいわゆるCoinhive(コインハイブ)事件で、最高裁は二審の有罪判決を破棄して逆転無罪を言い渡した(最高裁判決[PDF]日経新聞時事ドットコムITmedia)。

裁判ではこのプログラムが「閲覧者の意図に反した不正な動作」をしているかが争われた。一審判決は「意図に反した」点は認定したものの、不正性は認められないと判断された。二審では反意図性及び不正性が認められるとして罰金10万円の有罪が下されていた。最高裁では社会的に受容されている広告表示プログラムと比較した場合でも、処理能力に与える影響に有意な差はない。これは社会的に許容し得る範囲内であるとして無罪を言い渡したとしている。

なおこの件に関して、証人として裁判に出廷したこともある高木浩光氏が判決の前に考察を行う記事を掲載していた(不正指令電磁的記録罪の構成要件、最高裁判決を前に私はこう考える)。

あるAnonymous Coward 曰く、

本件プログラムコードは,そのような仕組みとして社会的に受容されている広告表示プログラムと比較しても,閲覧者の電子計算機の機能や電子計算機による情報処理に与える影響において有意な差異は認められず,事前の同意を得ることなく実行され,閲覧中に閲覧者の電子計算機を一定程度使用するという利用方法等も同様であって,これらの点は社会的に許容し得る範囲内といえるものである。

広告だって無許可でリソース使っとるやん、という割と素直な判決。

15449986 story
政府

行政手続きに使われる「xID」がマイナンバー法違反の指摘。これを受け自治体でアプリ利用停止へ 59

ストーリー by nagazou
統合しました 部門より
自治体などの行政手続きで利用されているデジタルIDサービス「xID」に、法的な問題があるとして自治体の利用停止の動きが広がっているようだ(高木浩光@自宅の日記読売新聞なか2656のblog)。

xIDは本人がスマホアプリにマイナンバーを入力しxIDを生成する仕組み。このxIDのシステムに関して高木浩光氏がマイナンバー法2条8項にある「裏個人番号」に該当するのではないかと指摘している。同氏によれば「裏個人番号」は、法的にはマイナンバーと同等のものになるという。マイナンバーは桁数が少ないことから、不可逆なハッシュでも総当たりによって元の番号を特定することができるためのようだ。

マイナンバー法では、マイナンバーは税・社会保障・災害対応の3項目の利用目的以外は認められていない。また先の目的以外に本人や行政機関・事業者などがマイナンバーを提供することを禁止している。xIDアプリにマイナンバーを入力させることが違法なマイナンバーの収集にあたるのではないかということになる。

xIDは加賀市や三田市、町田市などが自治体の電子申請システムや施設予約システムなどに導入済。しかし高木氏などの指摘を受けて利用停止する動きが出ているという。読売新聞によれば、加賀市は9月末に全申請を停止。愛媛県はこのアプリ経由の登録者のデータを削除、別方式で再登録を行った。東京都渋谷区はアプリ導入を撤回。川崎市や岐阜県も使用できないように設定変更したとしている。
15449960 story
政府

総務省、郵便局が顧客データを企業に販売できるよう法改正へ 65

ストーリー by nagazou
転居届のNHK通知も問題視されてるのに 部門より
あるAnonymous Coward 曰く、

総務省は日本郵政が顧客のデータを企業に販売できるように法改正を目指しており、そのため個人情報保護ガイドラインを来年夏までに見直すことがわかった(産経新聞)。

日本郵政グループは郵便物の配達状況から全国各地の住所について居住実態・自動車の保有状況・店舗の開店閉店情報などを把握している。
今後、その居住者情報を災害時に自治体に提供することで安否確認に利用したり、自動車保有状況をデータベース化して自動車販売ディーラーに販売し営業に利用してもらうなどの新規事業を想定している。

郵便配達という誰しもが利用しているサービスが個人情報を吸い上げ売り物にする、というのはいささかセンシティブで議論の余地がありそうだ。せめて各顧客の同意を得てからでないとダメなのでは?

なおこうした総務省の方針に対して、高木浩光氏は郵便局員への住民の見方が変わってしまう点や住居侵入などの犯罪に当たる可能性があるといった問題提起を行っている(高木浩光氏のツイート)。

15448497 submission

加賀市などが導入したデジタルIDのxIDがマイナンバー法違反で炎上中

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
加賀市がエストニアのような電子政府を目指して導入したデジタルIDの「xID」が、マイナンバー法違反であることを高木浩光先生などが指摘し炎上中です。(渋谷区も導入を計画中。)xIDは本人にスマホアプリにマイナンバーを入力させxIDを生成しますが、これはマイナンバー法2条8項かっこ書きのいわゆる「裏個人番号」に該当し、つまりマイナンバーと法的に同等のものですが、マイナンバー法9条はマイナンバーは税・社会保障・災害対応の3つの利用目的しか認めておらず、xIDのような「民間版マイナンバー」のような用途を利用目的として認めていません。また、マイナンバー法19条は、法9条の規定する利用目的以外に本人や行政機関・事業者などがマイナンバーを提供することを禁止しています。そのため、xIDはマイナンバー法9条、19条、2条8項但し書きに抵触して違法です。ところが加賀市や三田市、町田市などが自治体の電子申請システムや施設予約システムなどに導入済であり、富士ソフトやlayerXなどと業務提携し、xID社は、xIDを政府の推進するスーパーシティ構想・スマートシティ構想などに導入しようとしており、内閣IT戦略室やデジタル庁などはxIDの社長と親密な関係にあるようで、このxIDがマイナンバー法違反であることの社会への影響範囲は非常に大きいと思われます。
(ご参考)
xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)|なか2656のblog
https://www.naka2656-b.site/archives/30609966.html

情報元へのリンク
15400292 story
テクノロジー

JR東日本、先月から顔認証で犯罪者や仮釈放者を照合していた 191

ストーリー by nagazou
これはさすがにまずいんでは 部門より
あるAnonymous Coward 曰く、

読売新聞の26日朝刊のAI社会の解説記事内で、唐突に明らかにされたが、JR東日本は実は先月から、顔認証機能付きカメラで重要犯罪の容疑者や仮釈放者、挙動不審な人物などの顔を登録し、照合しているという(高木浩光氏のツィート)。

4月にはEUが監視社会防止のためにこうした事を原則禁止するという規制案を発表しているが、日本ではしれっと民間企業が運用開始していたようである。犯罪容疑者はともかく、仮釈放者や挙動不審者は法規制の対象ではないと思われるが、本人の同意なく勝手に照合して問題ないのだろうか?

15396212 story
日本

高木浩光氏、日本版ePrivacy立法を目指すのであれば、通信の秘密の概念そのものを見直すべき 53

ストーリー by nagazou
指摘 部門より
おなじみの高木浩光氏が、総務省がパプコメを募集していた「プラットフォームサービスに関する研究会 中間とりまとめ(案)[PDF]」(以下中間とりまとめ案)についての意見を上げている。中間とりまとめ案では、インターネット上の誹謗中傷への対応を念頭、インターネット上の違法有害情報への対応や利用者情報の取扱いに関して意見公募を行ったもの(高木浩光@自宅の日記)。

同氏によれば、現時点のとりまとめ案はEUで今年合意されたeプライバシー規則(案)を参考にして作られている部分があるという。日本の現行案が参考にしているのは、Cookie規制など表面的な扱いに参考にしただけだと指摘している。同氏は日本版ePrivacy立法を目指すのであれば、通信の秘密には機械的処理によって介入されることがあるといった部分を明確にするなど「通信の秘密」概念の再構成まで含めて検討するべきだと指摘している。
15396509 submission
人工知能

JR東日本、先月から顔認証で犯罪者や仮釈放者を照合していた

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
読売新聞の26日朝刊のAI社会の解説記事内で、唐突に明らかにされたが、JR東日本は実は先月から、顔認証機能付きカメラで重要犯罪の容疑者や仮釈放者、挙動不審な人物などの顔を登録し、照合しているという(高木浩光氏のツィート)。

4月にはEUが監視社会防止のためにこうした事を原則禁止するという規制案を発表しているが、日本ではしれっと民間企業が運用開始していたようである。犯罪容疑者はともかく、仮釈放者や挙動不審者は法規制の対象ではないと思われるが、本人の同意なく勝手に照合して問題ないのだろうか?

情報元へのリンク
14341724 story
情報漏洩

テレフォンバンキングがリバースブルートフォース攻撃される可能性について 27

ストーリー by nagazou
むずかしい 部門より
複数の銀行やサービスで発生している不正引き出し事件だが、セキュリティ研究家の高木浩光氏は、インターネットバンキングの普及でだいぶ影の薄くなっているテレフォンバンキングでも、先の不正引き出し事件同様にリバースブルートフォース攻撃によるハッキングの危険性があると指摘している(高木浩光@自宅(テレワークを除く)の日記)。

同氏はこの問題を指摘するために、三井住友銀行のコールセンターに電話したという。その流れ自体は複雑な上にとても長いので割愛するが、途中で上席担当が出てきた上で、危険性があること自体は認める流れるとなっている。

編集子が個人的に興味深かったのは、三井住友銀行の場合は、インターネットバンキングは継続し、テレフォンバンキングだけを止めるといったこともできるということ。キャッシュカードがICカードに切り替わってる場合は、磁気ストライプ型のキャッシュカードを偽造されても引き出せない基本設定になっていることなどだった。ほかの銀行でもそういうものなのだろうか。

なお高木氏は自衛策として、自分の暗証番号を複数回間違えて口座をロックしてしまう方法をおすすめしている。ネットバンキングやテレフォンバンキングがロックされていても、ATMからの引き出しはできるから問題ないそうだ。
14043139 story
インターネット

HTTPSやEV証明書を使っているのは「信頼できるサイト」なのか 92

ストーリー by hylom
何周目の議論だ 部門より

Abema TVやAbema TIMESの記事で「信頼できるサイトの見分け方」として、「アドレスバーにカギのアイコンが付いているかどうか」というものが紹介されたのだが、これに対し正しくないとの批判が寄せられている(Togetterまとめ)。

「アドレスバーにカギのアイコンが付いている」というのは、そのWebサイトがSSLを使っていることを示している。また、『カギのアイコンが付いているWebサイトで緑色になっていれば「ある程度の安全の指標」になるが「注意は必要だ」』ともコメントされている。これは、そのサイトがEV証明書を使用していることを示している。

EV証明書に関しては単にサイトの運営社名を保証するだけであり、「アドレスバーが緑色になるサイトなら大丈夫」というのは無責任であると2008年にセキュリティ研究者の高木浩光氏が解説しておりEV SSLを緑色だというだけで信用してはいけない実例も紹介している。また、氏は「実在証明の機能はTLS(SSL)の機能ではない」とも述べている。

13955270 story
政府

HTTPS化されたe-Govサイト、HTTPでのアクセスはすべてアナウンスページに転送する残念な仕様 73

ストーリー by hylom
この仕様を考えたのは誰だ 部門より

「電子政府の総合窓口」となっている政府のe-Gov WebサイトがHTTPS化されたのだが、これによってHTTPによる接続が廃止されたうえ、HTTPでアクセスした際にはHTTPS版ページへのリダイレクトは行われず、まったく別のページにリダイレクトされる仕様になっていることから、不便だという声が出ている(@pmx003_the_oのTweet)。

コンテンツのパス自体は変更されていないため、URLの「http://」を「https://」に変更すればアクセス自体は可能になるのだが、現状e-GovサイトにHTTPでアクセスするとすべて「e-Govサイトのhttpによる通信終了について」(URLは「https://www.e-gov.go.jp/sorry.html」)にリダイレクトされる仕様になっており、URLを再度入力しなければならなくなっている。

セキュリティ研究家の高木浩光氏はこれに対し、「廃止すると安全になると勘違いしてそうだな。(実際には、廃止しようが、攻撃者は http:// のページを出してくる。)」と指摘している。

typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...