前回ざっくりとご紹介した質問事項に、回答をざっくりと合わせると：

消費者庁：iTunes Storeは請求トラブルの数や金額をどれだけ把握しているか。

iTunes：利用者のプライバシーがあるから教えられない。

消費者庁：トラブルの原因はなにと考えているか、原因不明なら今後どう究明するつもりか。

iTunes：クレジットカード詐欺、電子メールアカウントの漏洩、アカウント情報を誤って共有（フィッシング詐欺など）のどれかが原因。iTunesだけの問題じゃない。

消費者庁：IDやパスワード保護にどう努力しているのか。

iTunes：プライバシーポリシーや利用条件に書いてある。第三者の認定審査を受けており、個人情報保護については世界的に見て最高水準。昨年12月からはパスワード変更時にカード番号の再認証が必要になった。注意喚起は精査して行っている。まもなく不正検出の新システムも導入する。

消費者庁：請求トラブルが利用者から訴えられたとき、どう対処しているか。

iTunes：不正が見つかったときは利用者に知らせている。利用者は銀行やカード会社に連絡できるし、利用者から問い合わせがあれば銀行は不正が認識できる。また、不正発覚時はアカウントを無効にしている。メールで請求明細を受け取れるし、iTunesには購入履歴もある。カード会社からの返金にも応じている。

消費者庁：利用者はiTunes Storeにメールでしか質問できないが、回答にどれだけ時間がかかるのか。メール以外の窓口は作らないのか。

iTunes：95%の質問に48時間以内に、25%の質問は4時間以内に答えている。顧客満足度は最高水準。オンラインサービスなのでメールでのコミュニケーションが最も効果的で効率的。

さすがアップル（の100%子会社）、お役所相手でもにべもない回答です。

Permalink | トラックバック(1) | 20:32

2010-01-13

■中国に対するあたらしい姿勢

原文→Official Google Blog: A new approach to China

執筆者：David Drummond（SVP，Corporate Development・Chief Legal Officer）

他の著名な組織同様，我々も日常的に様々なサイバー攻撃に直面しています。12月中旬，中国から我々のインフラを標的にした非常に洗練された攻撃を検知し，結果としてGoogleの知的財産を奪われました。当初，非常に高度とはいえ単なるセキュリティ上の問題に見えたのですが，すぐにまったく異なる事件だと明らかになりました。

第一に，攻撃はGoogleのみを標的にしたものではありませんでした。我々の調査によって，インターネット，ファイナンス，テクノロジー，メディア，化学などを含む幅広い分野の，少なくとも20の他の大企業が同様に標的にされたことが明らかになりました。我々は現在これらの企業に通知する作業の途中にあり，関連する合衆国当局とも作業をしています。

第二に，私たちの持つ証拠によれば，攻撃者の第一の目標は中国人人権活動家のGmail アカウントにアクセスすることでした。現時点までの我々の調査によって，私たちはこの攻撃の目標は達成されなかったと確信しています。2つのGmail アカウントにアクセスされたようですが，アクセスはアカウント情報（アカウント作成日など），及び件名に限られており，電子メールの内容そのものにはアクセスされていません。

第三に，この調査の中から，今回のGoogleへの攻撃とは別に，合衆国，中国，ヨーロッパ在住の，中国の人権支持者のGmail アカウントに対して第三者が定期的にアクセスしていたことを発見しました。これらのアカウントへのアクセスはGoogleの情報漏えいによるものではなく，おそらくはフィッシング詐欺や，ユーザのコンピューター上のマルウェアによるものだと思われます。

私たちはすでに得られた情報をもとに，Googleとユーザの使用するセキュリティ向上のために，インフラとアーキテクチャを改善しました。個人ユーザに対しては，評価の高いアンチウィルスソフトとアンチスパイウェアソフトを実行し，OSのパッチをインストールし，Web ブラウザをアップデートすることを推奨します。インスタントメッセージや電子メール内のリンクをクリックする時，またオンライン上でパスワードなどの個人情報を提供するようにもとめられた時は，常に警戒するようにしてください。こちらで私たちのサイバーセキュリティに関する推奨情報を読むことができます。このような種類の攻撃についてさらに知りたい方は，合衆国政府のレポート（PDF），Nart Villeneuve氏のブログ，GhostNetスパイ事件についてのこちらのプレゼンテーションを読むことができます。

私たちがこの攻撃についての情報を，この異例な方法で多くのみなさんに公開することにしたのは，私たちが掘り出した問題がセキュリティと人権に与える影響のためばかりではなく，この情報がさらに大きな言論の自由についてのグローバルな議論の核心をついているからです。過去20年間，中国の経済再編計画と中国市民の起業家精神によって，何億もの中国の人々が貧困を脱することができました。間違いなくこの偉大な国家は，今日の世界のさらなる経済発展と進歩の中心です。

私たちは，情報や開かれたインターネットへのさらなるアクセスによる恩恵が，検索結果への検閲に合意することによる私たちの不安よりも重要だと考え，2006年 1月にGoogle.cnをローンチしました。その際以下のように宣言しました。「私たちのサービスに対する制限や，新しい法律を含む中国国内の状況を注意深く監視します。もしここに示された目標が達成出来ないと確信した場合は，中国へのアプローチの再考も躊躇しません」

この攻撃と明らかになった監視—さらに昨年を通じてのWeb上の言論の自由をより制限しようとする計画も含めて—によって，私たちは中国における私たちの業務の実行可能性について再検討すべきだとの結論に達しました。今後Google.cnの検索結果に対する検閲を継続しないと決断し，これから数週間をかけて，法の範囲内でフィルターなしの検索エンジンの運営が可能かという点について中国政府と話しあいます。私たちはこの決断によってGoogle.cn，もしかすると中国オフィスも閉鎖しなくてはならなくなる可能性が十分にあることを理解しています。

中国における業務を再考するというこの決断は途方もなく困難でした。また，私たちはこの決断がさらに幅広い結果を生む可能性も理解しています。この方針は合衆国内の幹部たちによって指揮されたもので，Google.cnに今日の成功をもたらすために信じられないほど働いてくれた中国国内の社員たちによる情報や関わりはなかったと明確にしたいと思います。私たちはこの非常に難しい問題を解決するために責任をもって最大限の努力をします。

Permalink | トラックバック(4) | 12:23

2009-11-11

■脆弱性の詳細を公開する行為について

すみません、以下、無駄に長文気味です。

最近はてブでhotentryに、とあるWebサービスの脆弱性を発見したというブログエントリが上がってましたけど、提供元に通報することなく脆弱性の詳細を公表していることについて、誰も疑問に思わないんでしょうか?

エントリを見る限り

これは脆弱性の発見だと思います。

フィッシング詐欺などへの利用は十分に考えられる

と書かれており、筆者の方はこれが脆弱性であり危険であると認識されているようです。また、内容からして、Webサービス提供元が修正することが可能なものです。このような場合、「悪用されて被害が拡大するのを防ぐために、公開より先に提供元(あるいはIPAとか)に連絡し、提供元に修正の機会を与える」のが今日 "最善" とされている対応です(異論はあると思いますが)。

にも関わらず、エントリの末尾は

これがまたホットエントリー入りしたらきっと他の誰かが書いてくれる気がしますので(^ー^

と〆られており、エントリを公開することで被害が拡大する可能性についてはまったく考慮されていないようです。

エントリの途中に

厳密には(サービス名)の脆弱性ではなく、(被害を受ける側)の脆弱性

(被害を受ける側)は自業自得という気もしますが

などと書かれているので、筆者の方は報告不要であると考えているのかもしれません。しかし、記事の内容を読む限り、被害者はまったくの第三者であり、使ってもいないサービスの仕様に合わせて対策しないと「自業自得」というのはあまりにひどい。

他に「この状態がすでに長く続いているんだし、いまさら公開しても実害はないよな」とか「気づく人はとっくに気づいてるよ」という考え方もありうると思いますが、「だから公開してもいい」というのはちょっと違いますよね。

……と、ここまで、筆者の方を責めるような言い方で書いてきましたが(筆者の方、ごめんなさい)、そもそも「脆弱性の報告」とか「IPA」とか知らない人が大多数でしょうし、気づいてびっくりしたネタをブログに書きたくなる気持ちもわかります。俺がとどめを刺されたのは、はてブしている人が誰一人「いきなり公開しない方がいいよ」とか「報告はしましたか」とか書いていなかったことです(俺がはてブを確認した時点での話。いまこれを書きながら確認したら、id:AmaiSaetaさんがアドバイスされてますね)。知らない人がいるのはしょうがないとして、誰も教えてあげないの?

こえぇ。気をつけとこう。

どうやって気をつけるんですか。同じようなことは今後他のサービスでも別の形で起き得ますよね。使っていないものも含めて世界中のメジャーなサービス全部について仕様を確認するとか?

ただし、(サービス名)を使用している場合に限る

違いますよね。本文ちゃんと読みましたか?

……あぁ。俺が神経質すぎるのでしょうか? 頭に血が上っているから、話を大きく考えすぎているのでしょうか? 本文をちゃんと読んでないのは俺の方で、落ち着いて読んだら「なぁんだ」で終われるのでしょうか?

という感じでなんだかもうよくわからなくなってしまったため、いきなり当該エントリのコメント欄等には書かずに、まずはこっちに書いてみました。ご意見を頂けると助かります。

Permalink | トラックバック(0) | 01:10

2009-11-07

■危機意識

余り親しくない知り合いからスパムメールが届いた

どうやらメールアドレスリストぶっこぬかれたっぽく

彼の知り合いに万遍なくスパムが届いてるみたい。

本当に勘弁して欲しい。

しかもこれが二度目。

共通の知人に

「スパムメールが届いたでしょ？アイツまたやられてるよ、いい加減にして欲しいよな」

と言ったら

「まぁしょうがないよ。メアドくらい別に大したことないし」

だって。

不通の人の危機意識なんてそんなもんなんだな。

馬鹿はどこまでいっても馬鹿だし

そこら中にいる。

そりゃフィッシング詐欺無くならないわ。

Permalink | トラックバック(0) | 07:52

2009-03-03

■http://anond.hatelabo.jp/20090302213311

フィッシング詐欺を考えたとき，結構難しいことに気づいた．

TVCMを見て，よしっ,example銀行で取引するぞ，と思ったとするよね．

それなら，普通ググってexample銀行へ行くよね．

googleが間違った偽サイトを返してきたらどうするの?

検索結果が，man in middleされてたらどうすんの?

URLを手打ちすればいいの?

CMで連呼されているURLを手打ち。

httpsでアクセスしてサーバ証明書を確認

＃「○○で検索」式のCMは良くないよね

じゃあ電波がman i(ry

これもhttpsで保証される

結局は，ウェブでも，何かを信用するしかないということかな．

何かを信用しなければいけないとしても、「何を」信用するかを考えると言うこと。

＃httpsの仕組みではルート証明局(の証明書をブラウザに仕込んだブラウザ屋さん)

Permalink | トラックバック(2) | 10:11

2009-03-02

■真のURLって，どうやって知るの？

フィッシング詐欺を考えたとき，結構難しいことに気づいた．

TVCMを見て，よしっ,example銀行で取引するぞ，と思ったとするよね．

それなら，普通ググってexample銀行へ行くよね．

googleが間違った偽サイトを返してきたらどうするの?

検索結果が，man in middleされてたらどうすんの?

URLを手打ちすればいいの?

じゃあ電波がman i(ry

結局は，ウェブでも，何かを信用するしかないということかな．

Permalink | トラックバック(1) | 21:33

2008-05-14

■http://anond.hatelabo.jp/20080514220656

サイバー犯罪（懐かしいな、確か毎日新聞もよく使ってたな）の定義にもよるんだが、

愛知県警はそんなにでかい事件やってたか？

その時は専門部署がなかったんではないかな。

まあ、警察の歴史の場合は「組織としてできた」ってことが大事だからな。

ちなみに、京都府警は派手な事件かなり担当してる。

適当に検索して拾った結果がコレ。あとWinny作者逮捕な。

2008年5月　大阪府の大学サーバー侵入犯逮捕、同月、Share利用者3名逮捕

2008年1月　原田ウイルス作者逮捕、クラナド画像使ったウイルス作者逮捕

2007年5月　Winny違法ユーザー3名逮捕

2006年5月　フィッシング詐欺で盗んだID使ったオークション詐欺団逮捕

2005年7月　ワンクリ詐欺業者逮捕

2005年2月　ネットゲームで不正アクセスした学生逮捕

2003年11月　Winny違法ファイル交換ユーザー2名を逮捕

2003年5月　ヤフオクのID・パスワードを不正入手していた東京都の無職男性を逮捕、同月ワンクリ詐欺を逮捕

Permalink | トラックバック(0) | 22:22

2008-04-22

■フィッシング詐欺 組織がトロイの木馬を併用する新攻撃

EMC傘下のセキュリティ企業 RSAは4月21日、「Rock Phish」と名乗る犯罪組織がフィッシング詐欺とトロイの木馬を併用した新たな攻撃を仕掛けていることが分かったと伝えた。

　RSAによると、Rock Phishは欧州を拠点とする犯罪組織で、2004年以来、金融機関を狙ったフィッシング詐欺を仕掛けている。RSAの推定では世界各国で起きているフィッシング詐欺の50％以上はRock Phishが関与。ユーザーをだまして偽サイトで入力させたパスワードなどを使って、銀行口座から現金を盗み出している。

　今回この組織が、新たに「Zeus」というトロイの木馬の亜種を使い始めたことが判明したという。スパムなどから偽サイトに誘導されたユーザーは、そこで銀行口座などの情報を入力しなかったとしても、知らないうちにマルウェアに感染させられる。

　Zeusは感染したユーザーのコンピュータから個人情報などを収集し、外部に送信するトロイの木馬。これまでに150種類以上の亜種が出回っている。

　しかも今回のケースでは、Googleを思わせるURLを使ってマルウェアがホスティングされているため、セキュリティソフトも通過してしまう可能性があるとRSAは伝えている。

SEOスパム　検索スパム

SEO スパム

Permalink | トラックバック(0) | 10:17

2008-02-05

■http://anond.hatelabo.jp/20080205095434

らしいね。

共謀罪とワンセットになってるからまだまだ改正まで時間がかかりそうだけど。

だから、現時点でウイルス作成罪のようなものはない。

そのウイルスでフィッシング詐欺をしたり、データやコンピューターを壊すこと等は現行法でも犯罪だが、作成だけでは今のところ罪にならない。

Permalink | トラックバック(0) | 10:06

2007-11-19

■地銀ってそんなに小さいんですか？

だったら潰してしまえ。影響ないだろ。

http://anond.hatelabo.jp/20071118231214

SSLが必要ないなら使わなければ良い。

採算があわないなら止めてしまえば良い。

そうする事なく、間違った情報を広めて維持している身勝手さに憤っているのだ。

安全性を犠牲にするほど銀行業務は簡易なのか？

そんなわけないだろ。

武蔵野銀行 90店舗従業員2千人近く預金残高3兆円近く

勤め先まで知っているのが普通なのか？それは例外だろう。

普通は顔を知っている人が行内に一人いれば良い方。それも営業さんだ。

窓口なんて入れ替わりも多いし、なにより、今時はほとんどがATMですんじゃう世の中なのだから。

そもそもなぜSSLを使う？盗聴対策？

現にフィッシング詐欺が起こっているのにその対策を無効にする様な事を書いてどうするのだ。

普通の人が使うWebサービスの中で、オンラインバンキングは最もクリティカルな部類だろう。

そのサービスがこのていたらくでどうするというのだ。

Permalink | トラックバック(2) | 00:53

2007-11-13

■私的録音録画小委員会中間整理に関する意見　 パブコメ送ったよ

http://miau.jp/

もうそろそろ締め切りだよね。がんばれMiAU!

というわけで、私も送りました。ここで自分のダイアリーに貼るとお役人の中の人にIDと実名がリンクしちゃうので増田にはるよ。

1から4は個人情報（めっちゃ実名入り）なので5からはるね。

5. 該当ページおよび項目名：

全2件

104ページの a i 第３０条の適用範囲からの除外　の項目

105ページの a ii 第３０条の適用範囲から除外する場合の条件　の項目

6. 意見：

私が意見を述べるのは、以下の2件です。

■意見を述べる項目(1)

104ページの a i 第３０条の適用範囲からの除外　の項目について

☆意見(1)

違法録音録画物、違法サイトからの私的録音録画を第３０条の適用範囲から除外することに反対します。

挙げられた理由ウ、エには全く妥当性がありません。著作権者は既に違法サイトを叩き潰すのに十分な「送信可能化権」という武器を持っており、適切にコストをかけて対処すれば利用者への啓蒙やモラールに頼ったコストばかりかかって脆弱な対策は全く必要ではありません。

また、理由イに違法サイトからの録音録画、海賊版からの録音録画が違法であることは利用者に受け入れられやすいこととあります。なるほど個別の利用者に質問すればそう答えるかもしれませんが、現在横行するフィッシング詐欺を鑑みれば一般の利用者にとっては「それが普段利用している銀行のサイトであるかどうか」の見分けすらつけるのが難しいことがはっきりしています。適法な音楽・映像配信サイトであると利用者が判断することを期待するのは無理な相談でしょう。また、今後の一億総クリエイター時代においては違法サイトであるかの判断はさらに難しいものになります。実際にアマチュアバンドの創作した音楽ビデオを動画配信サイトが誤って削除した上バンドのアカウントを長時間ロックアウトした事件が発生してしまっています。

http://www.itmedia.co.jp/news/articles/0710/22/news109.html

大量の動画を見慣れている配信サイト側ですら難しい判断を個々のネット利用者に強制することとなり、とても現実的とはいえません。

また、ブラウザでインターネットに接する一般のユーザにとってダウンロードはリンクを触ったら勝手に行われてしまうものであるため、リンク先に飛んだら自分が違法行為をしてしまうかもしれないという懸念を常に抱いて行動せねばならないことになります。

これはリンクによって情報をつなぎ生態系を作るWWWという仕組みを真っ向から破壊する行為であり、明らかに文化の破壊です。

■意見を述べる項目(2)

105ページの a ii 第３０条の適用範囲から除外する場合の条件　の項目について

☆意見(2)

この条件のうち、アの条件は極めて運用が困難であり、第３０条の適用範囲除外自体が有名無実化するか、適用除外が大きな悪影響を生むことが考えられるため大きな問題があり、実施に反対します。

「利用者が明確に違法サイトと適法サイトを識別できるよう、適法サイトに関する情報の提供方法について運用上の工夫が必要」

とあるが、これは通常の考え方ではホワイトリスト方式またはブラックリスト方式の2方式のどちらかでしょう。

まず、ブラックリスト方式ですが、違法サイトのリストを作成して「ネット利用者のみなさん参考に見てくださいね」という行為自体が馬鹿馬鹿しいものです。

権利者がそのサイトの存在を認知し、違法サイトであると確認できた段階で、現状の手続きであってもサイトを潰すことが可能です。また、違法サイトのリストというものはむしろ利用者を誘導する道しるべになってしまいます。

明らかな違法録音録画物で物理的な実体を持つものからの複製に対しては、ブラックリスト方式によって情を知ってなお複製することをとがめることができるかもしれませんが、インターネット上のサイトに関しては同じ条件は当てはまりません。従来の手続きに従って粛々と潰せば良いだけです。

次に、ホワイトリスト方式ですが、創作者が企業に丸抱えで創作活動を行うしかなかった時代ならともかく、現代のインターネットは誰もが創作者になる可能性があり、そのための情報発信の敷居が極めて下がっている場所です。そこに「ホワイトリストに登録しないと正規の配信者になれない」つまり「気軽に公表したら違法配信者扱いされる」という負のインセンティブを全ての表現者に課すということは、せっかく育ち始めた音楽創作や動画創作の芽を端から摘んで回るというあからさまな文化の破壊行為ですし、無方式主義であるはずの著作権法を登録制にしてしまうという大変革も実行してしまうことになります。

このように通常とりうるどちらの方法も大きな問題を抱えています。このような対策は実施すべきではありません。