11月版 イベントの秋の裏で盛り上がったプライバシー問題
山本洋介山
bogus.jp
2011/12/13
11月は、AndroidアプリケーションやPlayStation Network(PSN)、そして無線LANアクセスポイントから、ユーザーの情報が閲覧できる、あるいは送信されるというプライバシーに関する話題が、セキュリティクラスタ以外も巻き込んで大きな話題となりました。10月に引き続き、怪しい動きをするAndroidアプリがいくつも浮上したほか、政府機関への標的型攻撃も終息の兆しを見せないことから、タイムライン(TL)から目を離せなかった人も多かったようです。
また11月は、セキュリティ系のイベントやセミナーが各所で開催され、イベント自体もさることながら、TLも大盛り上がりでした。
「AVTokyo 2011」開催、クラスタ関係者も多数集合
11月12日に、チームステゴマ2の代表でもある@tessy_jpさん主催のカンファレンス「AVTokyo 2011」が開催されました。
この直前の9日、10日には「PacSec Tokyo 2011」も開催されました。PacSecのために海外から招かれたスピーカーや参加者の中には、引き続き東京に滞在してAVTokyoにも参加した方も多かったようで、国際色豊かなイベントとなりました。
AVTokyoは去年まで夜間の開催で、内容はともかく、見るからに怪しげなイベントでした。今年は昼からの開催で、3フロアを使って、それぞれの部屋でスピーチやパネルがあるという趣向。まじめなカンファレンスのノリになるかと思いきや、昼夜関係なく物理的に暗いクラブを会場に使ったこともあり、これまでと変わらず「大きなオフ会」のようなノリの、楽しいイベントとなりました。
個人的にも、日頃タイムラインで拝見している方々に実際にお目にかかることができました。うれしかったり、予想していたイメージと違って驚いたり、Twitterの話で盛り上がったりと、スピーチ以外にも楽しいことがたくさんありました。
AVTokyoは、Ustreamなどによる外部への中継がなかったからかもしれませんが、多数の参加者がイベントの様子をツイートしていました。TLを見て盛り上がりを実感できただけでなく、同時開催で見られなかったスピーチの概要を知ることもでき、とてもありがたかったです。会場にいた人の中にも、イベント終了後にあらためてハッシュタグを追って、聞けなかったスピーチの実況を読んだ人も多かったのではないでしょうか。
11月にはこのAVTokyoとPacSec以外にも、全国各地でたくさんのセキュリティ系セミナーや勉強会が開催されました。特に「セキュリティもみじ」や「セキュリティうどん」、そしてマイナビのセミナーでは、ツイートが盛り上がっていました。実況ツイートがあると、参加できなくても会場に行った気分になって楽しめるので、うれしいですね。
| 【関連リンク】 Togetter:AVTokyo 2011まとめ http://togetter.com/li/213408 |
PSNでトロフィーが自動的に公開される問題が明らかに
今年何かと話題になっているソニーのPlayStation Network(PSN)。今度はトロフィー情報の公開が話題となりました。
PSNには、ゲーム進行状況に応じてトロフィーが与えられるという機能があります。同様に、PlayStation 3用の地デジレコーダー「torne」にも、録画した番組に応じてトロフィーが与えられる仕組みがあるのですが、これらのトロフィーが、PSNにログインしていない人からもWebから自由に閲覧できることが分かったのです。
特に、テレビ番組を録画するtorneのトロフィー機能では、どのようなジャンルの番組を好んで見ているかが分かってしまいます。このことから、他人に自分の趣味嗜好を知られたくないユーザーにとって大きな問題とされました。
もともとこのトロフィーは公開するものという想定です。しかし問題の本質は、その情報が「無条件に」公開されてしまうところにあります。ユーザーが、情報公開の可否や、見せる情報の種類をコントロールできないことが問題とされたのです。高木浩光先生をはじめプライバシー問題に興味を持つ人たちによって、Twitterで問題点の洗い出しが行われました。
| 【関連記事】 PlayStation Networkのトロフィー情報が外部から閲覧可能な問題、SCEが対応発表(ITmediaニュース) http://www.itmedia.co.jp/news/articles/1111/17/news111.html |
ここに登場してきたのが、2ちゃんねるの「ゲーム・ハード板」やまとめサイトで、トロフィー公開に関する話を読んだ人たちです。なぜかソニーが攻撃されていると勘違いしたり、自分たちのトロフィーを公開できなくなってしまうと思い込んだ人たちがセキュリティクラスタに多数参戦し、大きく盛り上がりを見せました。高木先生に論戦を挑んでは説得されたり、捨て台詞を残して逃亡したりという流れになりましたが、この対話の中で、問題点がよりくっきりと明らかになったのではないかと思います。
結局、PSN側が規約を改訂し、またトロフィー情報の公開/非公開をユーザーが設定できるように仕様が変更されたようです。中には「ユーザーに許諾も得ず、勝手に改訂するなんて……」と不満を述べる人もいたようですが、一応の解決を見たといえるでしょう。
@ChihiroShiiji
椎路ちひろ@3日目東5ぺ-18b 自分がトロフィーを誇りたいのだから他人も当然そうある筈→公開当然と言う思い込みが凄い。あと事実上の仕様と顧客向けの説明の区別ができてない人も多いような…。両者の乖離が問題だという話でもあるわけなのだが…。 http://t.co/6mwnSkMm
FavoriteRetweet
@youkoseki
you koseki 高木先生に突撃してるゲハ勢をサンプルにゲーマーは愚かとかいうのはやめていただきたく思います。なおXBOXは実績の非公開も選べますので仕事もせずゲームに明け暮れたい皆様にオススメします。
FavoriteRetweet
| 【関連リンク】 Togetter:ソニー・PSN/PlayStation Networkのプロフィール情報が無制限に公開されている問題について http://togetter.com/li/210706 |
Googleが無線LAN APをマッピングして総務省の指導を受ける
Googleは以前から、ストリートビューの写真撮影と同時進行で、世界中にある無線LANアクセスポイント(AP)をくまなく調査し、APのMACアドレスと地図を結び付けるという活動にいそしんでいるわけですが、11月になり、なぜか急に総務省が、この無線LANパケット傍受の件でGoogleに指導を行いました。このことが話題となっています。
| 【関連記事】 総務省がGoogleに指導 無線LAN通信を傍受、「通信の秘密侵害」の恐れ(ITmediaニュース) http://www.itmedia.co.jp/news/articles/1111/11/news089.html |
公開されているMACアドレス情報をどう使おうがGoogleの勝手なのか、傍受した情報を利用することが通信の秘密を侵しているのかはともかく、総務省が問題としたのは、携帯事業者など通信事業者の通信内容を傍受していることだったようです。
そこでGoogleが解決策として、「APのMACアドレス情報を収集してほしくなかったら、SSIDの最後に『_nomap』を付けてね」と発表しました。同じように無線LAN AP情報から位置情報を返すサービスを提供していたPlaceEngineも、この動きに追随します。
何も回避手段がないよりはいいのかもしれませんが、TLでは、「公共的なデバイス以外の情報は、利用すべきではないのではないか」とか、「避けてもらう方がわざわざSSIDを修正するなんて、筋が違うだろ」とか、「何も考えずに設置してるだけでSSIDの修正方法を知らない人も多いのに、どうするんだ」と、Googleの提案に否定的な意見が飛び交っていました。
また、これらのニュースをきっかけとして、「無線LAN APのMACアドレスと位置情報がGoogleなどによってマッピングされている」という事実を始めて知った人も多かったようです。
何かの拍子にMACアドレスが明らかになれば、その人の住所まで知られてしまうのではないかと心配する人や、高木浩光先生が紹介した「2つのMACアドレスを入力することで、住所が判明するかもしれないスクリプト」を使ってみたところ、本当に自宅の場所が表示されてびっくりしたという人もいました。
@Cokeesque_DF
コーラ愛飲者S Wi-FiのMACアドレスやそれと同一のSSIDを動画等で公開するのは、もう自分の住所を公開するのと同義ということですね。家で撮ったGPS情報が埋め込まれている写真をアップしたら、そのExif情報から家の場所が特定されるのと似ているかも。 http://t.co/kssFNIrf
FavoriteRetweet
| 【関連リンク】 総務省:グーグル株式会社に対する「通信の秘密」の保護に係る措置(指導) http://www.soumu.go.jp/menu_news/s-news/01kiban08_02000056.html はてな匿名ダイアリー:Google Location ServerからのWi-Fi情報削除とかのまとめ http://anond.hatelabo.jp/20111116141249 |
セキュリティクラスタ、11月の小ネタ
その他にも11月には以下のような話題がありました。来月はどのような出来事がTLを騒がせるのでしょうか。楽しみですね。
- ウイルス供用罪で初めて逮捕者が! 理由はブラクラ!
- 衆議院だけでなく参議院もやられてしまっていた件&藤村官房長官の公式サイトに脆弱性
- 家電量販店でAndroid端末を購入する際に店員にGoogleアカウントとパスワードを聞かれる不思議!?
- iPhoneをヨドバシで買うと、モバゲーアプリが勝手にインストールされてびっくり
- システム障害が起きたときに、それを「どこかの“スーパーハカー様”のサイバー攻撃のせい」にする件を「エアハカー詐欺」と呼ぶことに
- クローズアップ現代「暴走するサイバー攻撃」の内容が残念でがっかり
- 富士通の電子申請サーバ、DoS攻撃くらってストップ。10県200市町村に波及
- 韓国の「メイプルストーリー」で会員情報1320万件が流出。数多すぎ
- キャッシュポイズニング可能なDNSサーバを使っている人に自ら毒入れをして警告する人現る
| Profile |
| 山本洋介山 bogus.jp 猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。 |
| 2011年10月版へ |
 |
セキュリティクラスタまとめのまとめ 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
