あなたのタレコミがスラッシュドットを支えます。さぁ、タレこめ!
あるAnonymous Cowardのタレコミによると、ニューヨーク州議会に、匿名によるネットでの発言を禁じる法案が提出されたそうだ(WIRED)。これを提出した議員によると「強制的に身元を明らかにさせることによって、サイバーいじめに注目が集まるようになる」という。
あるAC曰く、
表現や思想の自由を保障する米国憲法修正第1条が廃止されない限り、たとえ可決されたとしても、この法案が憲法審査を通る見込みはないだろう。
とのことですので、SlashdotでのAC発言は一応続けられそうな感じです。
Engadgetの記事によると、Twitterがニューヨークのイベントで「Do Not Track」ヘッダへの対応を発表したそうだ。「Do Not Track (DNT)」は、ターゲット広告などに利用されるトラッキングを拒否するための方法のひとつ。ユーザーがブラウザ側の設定でDNTを有効にすることで特別な HTTPヘッダが送られ、相手によっては尊重してくれる(かもしれない)仕組み。
Do Not Trackに対応する利点としては、ブラウザ側の一律設定であるため、トラッキングCookieを仕掛けてくる業者ごとにオプトアウトの仕組みを探したり、オプトアウトを示すCookieを管理する必要がないこと。またどこかの機関が作るブラックリストに頼らないで済むことらしい。対応ブラウザはFirefoxをはじめInternet Explorer、Safari、Operaなど。Chromeは年内にも対応する見込みとのこと。
# Google的には対応したくないんだろうな
TwitterはDNTの導入と同時期に、「おすすめ」のパーソナライズ化も発表している(ITmedia)。TwitterユーザーがTwitterボタンやウィジェットを設置しているWebサイトを閲覧するとその情報がTwitter側に蓄積され、その情報をベースにフォローするユーザーを「おすすめ」する仕組みだという。こちらはデフォルトで有効となり、無効にするにはDo Not Trackもしくはユーザー設定画面で明示的に設定を行う必要があるという。
カリフォルニア州の議員たちは、遺伝子検査から自分の体の秘密が漏れることを防止するための「Introduced by Senator Padilla(遺伝情報保護法)」を用意しているらしい。この法案では、DNA情報の収集、分析、保存、家族の病気の歴史を共有するためには、本人や家族などの書面による同意が必要となるという(nature、法案PDF、本家/.)。
こうした法案が出てきた背景には、遺伝子情報を得るための技術が発展してきており、分析時間の短縮や低コスト化など遺伝子情報を手軽に入手しやすくなってきたことにあるようだ。
この法案に対して、研究者たちは猛反発している。同法案に対して、カリフォルニア大学が提出した抗議書類では遺伝子関連の研究費用が管理コストを含めて毎年594,000ドル高騰するという試算を提出している。研究者たちはこれにより競争力が低下すると懸念を表明している(カリフォルニア大学抗議文PDF)。
Android OS が搭載されたスマートフォンから個人情報を流出させるアプリが問題になったのは、記憶に新しいところと思います。警視庁は、これらのアプリがコンピューターウイルスにあたる疑いが強まったとして、不正指令電磁的記録供用の疑いで関係先の捜査を開始しました(NHKのニュース記事)。
問題のアプリは、インストールするとアドレス帳に登録されていたすべての名前やメールアドレス、電話番号などが無断で外部のサーバーに送信されるというものでした。
捜索を受けた関連会社は、アプリによって流出した個人情報が送られたサーバーへの接続記録があるということです。接続記録があるというだけですので、すべての関連会社がこのアプリに関連しているとは限らないと思われますが、警視庁は押収した資料を分析して、アプリが公開された経緯などについて調べを進めることにしているとのことです。
Android OS あるいは Android 向けアプリの安全性が求められるなか、今回の件が不正なアプリを作成することの抑止力として働いてくれれば、いちユーザーとしては嬉しいです。
先日武雄市が図書館の利用カードをTポイントカードに置き換える計画を発表したが、セキュリティ研究家高木浩光氏がこれに対しプライバシ保護の観点から苦言を呈した。これを知った武雄市長が高木氏に対し「公開討論をしましょうよ」と呼びかけた。高木氏は「専門外のことを話すことは許されていません」とこれを断ったのだが、武雄市長側はこれに反発、「上京してあなたの職場にこのblogを持って行きます」「国会議員に働きかけます」との発言を連発、失笑を浴びている(Togetterまとめ)。ちなみに高木氏が所属している産業技術総合研究所(産総研)は非特定独立行政法人であり、その職員は国家公務員ではない。
なお、図書館の利用カードをTポイントカード化する件に関する問題点は高木氏の最新の日記でまとめられている。
佐賀県武雄市とカルチュア・コンビニエンス・クラブ(CCC)は、武雄市図書館・歴史資料館の企画・運営に関する提携について基本合意した(CCCのニュースリリース、 USTREAMの記者会見動画、 高木浩光@自宅の日記)。
運営開始は2013年4月1日を予定しており、CCCが運営する「代官山 蔦屋書店」のノウハウを活用した品揃えやサービスの導入のほか、Tポイントカードの導入、物品販売や外食事業など付属事業の展開も行うとのこと。記者会見では図書利用カードをすべてTポイントカードに置き換える計画が明らかになり、貸し出し履歴がCCC側や他の事業者に渡るのではないかという懸念が高木浩光氏などから上がっている。CCC担当者によれば履歴の扱いについては未定とのことだが、武雄市長は何を借りたかという情報は個人情報ではないという独自の主張を展開したそうだ。なお、日本図書館協会の図書館の自由に関する宣言では「利用者の読書事実・利用事実を外部に漏らさない」ことが定められている。
昨今米国ではワイヤレス医療機器の脆弱性を利用した攻撃が注目を集めているという。糖尿病対策に使用されるインスリン・ポンプのハッキングを行うデモストレーションなどにより、それが非常に簡単であることが証明されたからだ(Healthcare、informationweek.com、WIRED、本家/.)。
また医療機器に対するサイバー攻撃で大きな実例被害は発生していない。しかし、米国議会はこの件を重く見てワイヤレス対応の医療機器が販売される前に、連邦機関は食品医薬品局(FDA)などによるセキュリティ査定制度などを行うよう政府に求めたそうだ。
また、アメリカ合衆国退役軍人省(VA)は、2009年1月~2011年春の間にマルウェアに感染している医療機器が173製品あったと報告している。戦場で負傷した退役軍人を抱えているVAはこの問題を非常に重視、約5万台のデバイスを隔離する仮想LANを構築した。さらに、PurdueおよびPrinceton大学の研究者とともに、外部干渉からワイヤレス医療機器を保護するためのファイアウォール「MedMon」を構築したと発表している(upi.com)。
警視庁が23日、東京都で幼稚園や保育園を監督する市や区の担当者を集めた会議を開き、幼稚園の行事などで撮影した子供の写真を安易にネットに掲載しないよう注意を呼びかけたそうだ(時事通信)。
「児童ポルノ愛好家に狙われる恐れがある」からとのこと。ついに家族の写真をネットに掲載すると危険になる時代になってしまったのか。
taraiok 曰く、
The Guardian 紙と Mozilla が提携してオンライン行動調査を行うこととなった。このプロジェクトはインターネット広告サイトなどが Cookie の動作などからどのようなユーザー情報を得ているかを調査するもの。参加方法はFirefox の Add-ons "Collusion" をインストールする。インストールが成功すれば、画面の右下に丸い白アイコンが表示される (The Guardian の記事、本家 /. 記事より) 。
あとは丸一日程度、日常的な Web サイト巡りをすればよい。Web サイト巡回が終了したら、先ほどの白丸アイコンをクリック。するとユーザー行動が蜘蛛の巣状に視覚化される。このとき、広告サイトは赤い ○ で囲まれるという。
データを送信するには画面左側の「Export Graph」を押して、テキストデータを表示、これを全部コピーして The Guardian 紙のサイト上にあるテキストボックスに貼り付ける。そして「Send」ボタンを押せば調査情報が匿名で The Guardian 紙に送信される、というもの。
東京メトロの駅員がパスモの乗車履歴を無断で入手してストーカー行為を行っていたことが明らかになった。また、この駅員は2ちゃんねるに乗車履歴の投稿も行っていたという(朝日新聞)。
東京メトロの駅端末には「氏名と生年月日を入力すれば、記名式パスモを使うすべての人の乗車履歴を見られる」という機能が導入されており、これを悪用したもの。この機能は昨年1月下旬に導入されていたが、この問題発覚後、閲覧可能な端末を駅事務室内のみに制限したとのこと。この機能自体については「1人で複数のパスモを使う人など、紛失したカードの特定が難しい場合の対処に必要な機能」として、無効にすることはないようだ。
なお、朝日新聞の調査によると、東京メトロを除くJR東日本、東急、小田急など19社はICカード本体がなければ社員でも乗車履歴は確認できないという。また、南海電鉄は16桁の会員番号と5桁+12桁のカード番号があれば本社の端末で乗車履歴の閲覧が可能だそうだ。ただし、氏名、生年月日、電話番号、定期券利用区間といった基本的な情報については14社が「カードなしで氏名などの入力で駅の端末から検索できる」とのこと。
その正体はドワンゴ会長ではないかと噂されている匿名ブロガーのkawango氏がブログにて、結局、人類の歴史のなかでは、プライバシーを守ろうという時代はネットが出現する過渡期におこった出来事で、結局は短期間で終わるんじゃないか。という論調を展開しています。
Twitter上ではこの記事に対する賛同意見が多く見受けられたように感じたのですが、聡明なスラド住人の皆様の意見はいかがでしょうか?
m.sakkanen 曰く、
スマートフォン向けの無線 LAN 接続サービスの LAWSON Wi-Fi にてログイン時に電話番号/誕生月日を求められるという問題に対して、ローソン側が準備が整い次第、できる限り早い時期にパスワード方式の選択を可能にするという発表をしたようだ (ITmedia ニュースの記事、ローソンのニュースリリースより) 。
これにより、任意の番号を用いたパスワード機能が利用できるようになり、シートに印字される Ponta 会員 ID 番号の一部がマスキング処理されるようになる。利用規約の記載も変更されるようだ。
既存方式も残す決定のようだが、これで問題は片付くのだろうか?
「任意の番号」というあたり、「パスワード」じゃなく暗証番号なんだろうなあとか邪推。
ローソンがPonta会員用のAndroidアプリ(ローソン公式スマートフォンアプリ)をリリースしました。その「Ponta会員ローソンアプリ利用規約」に、禁止事項として次が規定されています。
「10) 手段のいかんを問わず他人からIDや電話番号・誕生月日を入手したり、他人にIDや電話番号・誕生月日を開示したり提供したりする行為。」(高木浩光氏による画面キャプチャ)
なぜ、こんな利用規約を設けたかというと、同アプリおよびローソン店頭のLoppiにログインするには、Ponta会員ID・電話番号・誕生月日の3つの情報が必要だからです。つまりこれらを入手できれば、他人に成り済ましてPontaポイントを利用できるということです。
Ponta会員IDはレシートに印字されています。つまり、電話番号と誕生日を知っている人の捨てたレシートを拾えば、その人に成り済ますことができます。
ちなみにセキュリティ専門家の高木浩光氏によると、ID・電話番号・誕生日は不正アクセス禁止法の「識別符号」に当たらないとのこと。
danceman 曰く、
女性が大勢集まる場所を教えてくれるアプリ「Girls Around Me」は、Gizmodoからは「世界で最も気持ち悪いアプリ」、The New York Times の記事では「断トツで『気持ち悪すぎる』で賞」とまで言われていたが、とうとう iTunes app ストアから削除された (本家 /. 記事、The Sydney Morning Herald の記事より) 。
Girls Around Me は、位置情報に基づいた SNS 「Foursquare」の一般公開データを使用していた。Foursquare には、Foursquare 利用者が venue (場所) に到着したらチェックインする機能があるのだが、Girls Around Me はこれを利用して、Girls Around Me 利用者から近いスポットの中から女性が多く集まっている場所を教えていた。また、Foursquare のチェックインは Facebook (または Twitter) アカウントから行うため、Facebook のプライバシー設定が緩かった人は Girls Around Me 利用者に対して顔写真から名前、年齢、あらやる情報をさらけ出す羽目になっていた。このため、Girls Around Me は「女性をストーカーするアプリ」であるとの批判が寄せられた (Girls Around Me というものの、設定を変えれば男性の情報を求めることもできたとのこと) 。
初めて同アプリに対する批判が掲載されたのはつい先日 3 月 30 日のことだったが (Cult of Mac の記事) 、Foursquare が直ちに行動を起こし、「社の API ポリシーを侵害している」との理由から Girls Around Me の API アクセスを遮断、Apple は iTunes App ストアから同アプリを削除することとなった。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー