11月版 イベントの秋の裏で盛り上がったプライバシー問題


山本洋介山
bogus.jp

2011/12/13

 11月は、AndroidアプリケーションやPlayStation Network(PSN)、そして無線LANアクセスポイントから、ユーザーの情報が閲覧できる、あるいは送信されるというプライバシーに関する話題が、セキュリティクラスタ以外も巻き込んで大きな話題となりました。10月に引き続き、怪しい動きをするAndroidアプリがいくつも浮上したほか、政府機関への標的型攻撃も終息の兆しを見せないことから、タイムライン(TL)から目を離せなかった人も多かったようです。

 また11月は、セキュリティ系のイベントやセミナーが各所で開催され、イベント自体もさることながら、TLも大盛り上がりでした。

「AVTokyo 2011」開催、クラスタ関係者も多数集合

 11月12日に、チームステゴマ2の代表でもある@tessy_jpさん主催のカンファレンス「AVTokyo 2011」が開催されました。

 この直前の9日、10日には「PacSec Tokyo 2011」も開催されました。PacSecのために海外から招かれたスピーカーや参加者の中には、引き続き東京に滞在してAVTokyoにも参加した方も多かったようで、国際色豊かなイベントとなりました。

 AVTokyoは去年まで夜間の開催で、内容はともかく、見るからに怪しげなイベントでした。今年は昼からの開催で、3フロアを使って、それぞれの部屋でスピーチやパネルがあるという趣向。まじめなカンファレンスのノリになるかと思いきや、昼夜関係なく物理的に暗いクラブを会場に使ったこともあり、これまでと変わらず「大きなオフ会」のようなノリの、楽しいイベントとなりました。

 個人的にも、日頃タイムラインで拝見している方々に実際にお目にかかることができました。うれしかったり、予想していたイメージと違って驚いたり、Twitterの話で盛り上がったりと、スピーチ以外にも楽しいことがたくさんありました。

 AVTokyoは、Ustreamなどによる外部への中継がなかったからかもしれませんが、多数の参加者がイベントの様子をツイートしていました。TLを見て盛り上がりを実感できただけでなく、同時開催で見られなかったスピーチの概要を知ることもでき、とてもありがたかったです。会場にいた人の中にも、イベント終了後にあらためてハッシュタグを追って、聞けなかったスピーチの実況を読んだ人も多かったのではないでしょうか。

 11月にはこのAVTokyoとPacSec以外にも、全国各地でたくさんのセキュリティ系セミナーや勉強会が開催されました。特に「セキュリティもみじ」や「セキュリティうどん」、そしてマイナビのセミナーでは、ツイートが盛り上がっていました。実況ツイートがあると、参加できなくても会場に行った気分になって楽しめるので、うれしいですね。

参加者の皆様、スピーカーの皆様、そして大切な心をよせていただいた個人スポンサーの皆様、本当にありがとうございました!まだまだつたない運営でいたらない点もあったとおもいますがまたアップグレードして帰ってきますので今後ともよろしくお願いします! #avtokyo
Nov 12 via webFavoriteRetweetReply


【関連リンク】
Togetter:AVTokyo 2011まとめ

http://togetter.com/li/213408

PSNでトロフィーが自動的に公開される問題が明らかに

 今年何かと話題になっているソニーのPlayStation Network(PSN)。今度はトロフィー情報の公開が話題となりました。

 PSNには、ゲーム進行状況に応じてトロフィーが与えられるという機能があります。同様に、PlayStation 3用の地デジレコーダー「torne」にも、録画した番組に応じてトロフィーが与えられる仕組みがあるのですが、これらのトロフィーが、PSNにログインしていない人からもWebから自由に閲覧できることが分かったのです。

 特に、テレビ番組を録画するtorneのトロフィー機能では、どのようなジャンルの番組を好んで見ているかが分かってしまいます。このことから、他人に自分の趣味嗜好を知られたくないユーザーにとって大きな問題とされました。

 もともとこのトロフィーは公開するものという想定です。しかし問題の本質は、その情報が「無条件に」公開されてしまうところにあります。ユーザーが、情報公開の可否や、見せる情報の種類をコントロールできないことが問題とされたのです。高木浩光先生をはじめプライバシー問題に興味を持つ人たちによって、Twitterで問題点の洗い出しが行われました。

【関連記事】
PlayStation Networkのトロフィー情報が外部から閲覧可能な問題、SCEが対応発表(ITmediaニュース)

http://www.itmedia.co.jp/news/articles/1111/17/news111.html

 ここに登場してきたのが、2ちゃんねるの「ゲーム・ハード板」やまとめサイトで、トロフィー公開に関する話を読んだ人たちです。なぜかソニーが攻撃されていると勘違いしたり、自分たちのトロフィーを公開できなくなってしまうと思い込んだ人たちがセキュリティクラスタに多数参戦し、大きく盛り上がりを見せました。高木先生に論戦を挑んでは説得されたり、捨て台詞を残して逃亡したりという流れになりましたが、この対話の中で、問題点がよりくっきりと明らかになったのではないかと思います。

 結局、PSN側が規約を改訂し、またトロフィー情報の公開/非公開をユーザーが設定できるように仕様が変更されたようです。中には「ユーザーに許諾も得ず、勝手に改訂するなんて……」と不満を述べる人もいたようですが、一応の解決を見たといえるでしょう。

自分がトロフィーを誇りたいのだから他人も当然そうある筈→公開当然と言う思い込みが凄い。あと事実上の仕様と顧客向けの説明の区別ができてない人も多いような…。両者の乖離が問題だという話でもあるわけなのだが…。 http://t.co/6mwnSkMm
Nov 09 via TogetterFavoriteRetweetReply


高木先生に突撃してるゲハ勢をサンプルにゲーマーは愚かとかいうのはやめていただきたく思います。なおXBOXは実績の非公開も選べますので仕事もせずゲームに明け暮れたい皆様にオススメします。
Nov 09 via twiccaFavoriteRetweetReply


【関連リンク】
Togetter:ソニー・PSN/PlayStation Networkのプロフィール情報が無制限に公開されている問題について

http://togetter.com/li/210706

Googleが無線LAN APをマッピングして総務省の指導を受ける

 Googleは以前から、ストリートビューの写真撮影と同時進行で、世界中にある無線LANアクセスポイント(AP)をくまなく調査し、APのMACアドレスと地図を結び付けるという活動にいそしんでいるわけですが、11月になり、なぜか急に総務省が、この無線LANパケット傍受の件でGoogleに指導を行いました。このことが話題となっています。

【関連記事】
総務省がGoogleに指導 無線LAN通信を傍受、「通信の秘密侵害」の恐れ(ITmediaニュース)

http://www.itmedia.co.jp/news/articles/1111/11/news089.html

 公開されているMACアドレス情報をどう使おうがGoogleの勝手なのか、傍受した情報を利用することが通信の秘密を侵しているのかはともかく、総務省が問題としたのは、携帯事業者など通信事業者の通信内容を傍受していることだったようです。

 そこでGoogleが解決策として、「APのMACアドレス情報を収集してほしくなかったら、SSIDの最後に『_nomap』を付けてね」と発表しました。同じように無線LAN AP情報から位置情報を返すサービスを提供していたPlaceEngineも、この動きに追随します。

 何も回避手段がないよりはいいのかもしれませんが、TLでは、「公共的なデバイス以外の情報は、利用すべきではないのではないか」とか、「避けてもらう方がわざわざSSIDを修正するなんて、筋が違うだろ」とか、「何も考えずに設置してるだけでSSIDの修正方法を知らない人も多いのに、どうするんだ」と、Googleの提案に否定的な意見が飛び交っていました。

 また、これらのニュースをきっかけとして、「無線LAN APのMACアドレスと位置情報がGoogleなどによってマッピングされている」という事実を始めて知った人も多かったようです。

 何かの拍子にMACアドレスが明らかになれば、その人の住所まで知られてしまうのではないかと心配する人や、高木浩光先生が紹介した「2つのMACアドレスを入力することで、住所が判明するかもしれないスクリプト」を使ってみたところ、本当に自宅の場所が表示されてびっくりしたという人もいました。

Wi-FiのMACアドレスやそれと同一のSSIDを動画等で公開するのは、もう自分の住所を公開するのと同義ということですね。家で撮ったGPS情報が埋め込まれている写真をアップしたら、そのExif情報から家の場所が特定されるのと似ているかも。 http://t.co/kssFNIrf
Nov 27 via webFavoriteRetweetReply


【関連リンク】
総務省:グーグル株式会社に対する「通信の秘密」の保護に係る措置(指導)

http://www.soumu.go.jp/menu_news/s-news/01kiban08_02000056.html
はてな匿名ダイアリー:Google Location ServerからのWi-Fi情報削除とかのまとめ
http://anond.hatelabo.jp/20111116141249

セキュリティクラスタ、11月の小ネタ

 その他にも11月には以下のような話題がありました。来月はどのような出来事がTLを騒がせるのでしょうか。楽しみですね。

  • ウイルス供用罪で初めて逮捕者が! 理由はブラクラ!
  • 衆議院だけでなく参議院もやられてしまっていた件&藤村官房長官の公式サイトに脆弱性
  • 家電量販店でAndroid端末を購入する際に店員にGoogleアカウントとパスワードを聞かれる不思議!?
  • iPhoneをヨドバシで買うと、モバゲーアプリが勝手にインストールされてびっくり
  • システム障害が起きたときに、それを「どこかの“スーパーハカー様”のサイバー攻撃のせい」にする件を「エアハカー詐欺」と呼ぶことに
  • クローズアップ現代「暴走するサイバー攻撃」の内容が残念でがっかり
  • 富士通の電子申請サーバ、DoS攻撃くらってストップ。10県200市町村に波及
  • 韓国の「メイプルストーリー」で会員情報1320万件が流出。数多すぎ
  • キャッシュポイズニング可能なDNSサーバを使っている人に自ら毒入れをして警告する人現る
Profile
山本洋介山
bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。

2011年10月版へ    


セキュリティクラスタまとめのまとめ 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間