 
|
はてなキーワード: 漏洩とは
西洋学問に汚染されたイカレタ経済学者のいうこと聞いてると、そのうち水道局まで民営化されそうな気がするので独り言を残しておこうと思う。
彼らは口癖のようにいつもこう言う。
「市場の競争原理を利用して、より質の高い水を低コストで利用者にお届けする」
そして、彼らの言うとおりにこの何十年間やってきた結果、起きたことは
・寡占による価格の上昇
とかそういうことが起こった。
もちろん、公共サービスを民営化したら、その事業において利益は残るようになった。だが、それはその事業においてのみの金銭的成功である。社会全体としては大きな遺恨を残すことになる。
例えば、イギリスは水道局の民営化によって 多大な利益を多国籍企業にもたらした。しかし、利益を出すのに、まず大量の人員を削減しなければならず、配管の資材や工事のコストも最大限に抑えられた。一見、聞こえが良いが、イギリスではコストカットによって水漏れ工事が多発し、全体の約40%以上の水が漏洩して失われている言われている。しかも、彼らはコストを最優先する生き物なので、新たに水資源を確保する工事コストとブッ壊れた配管をなおす工事コスト、どちらが安いかを見積もって とりかかる。その為、前者が安い場合は、大事な水資源の破壊を引き起こす。さらに、水質汚染まで深刻化し、イギリスではまともな水道水が供給されていない。
それだけではない。工事する業者は一番いところが選定される為、今まで受注していた地元密着型の企業は選ばれず、大手外資本がそれに参入することになる。これも競争原理が働いている。だが、これによって地方の雇用は激減、治安は荒れ放題、結果 雇用促進や治安維持費などの歳出が増大し、それが財源を圧迫する始末
こうした、社会全体としてはデメリットの方が大きいものを「コウリツカ」の名の下に弱者切捨てを行うのが今の時代の「グローバルスタンダート(笑」というわけだ。最近ではコイズミさんとかタケナカさんとかノダさんとかハシシタさかが有名。そして、それを後押しする知識人のなんと多いこと。ウンコ投げつけてやりたい気分ですわ、マジで
その日、自宅に帰ってきて部屋に入った俺は妙な感覚に襲われた。
空気が一瞬振動したというか、景色がすっと退いたというか、とにかく「何かが動いた」気配がしたのだ。
不思議に思ったが、その後は何も変化は無く、疲れているせいだと思い、早めに床についた。
次の日の朝、習慣でニュースサイト巡りを始めた俺は、口にくわえた歯ブラシをポトリと落とした。
記事のタイトルはこうだ。「埼玉県在住の男性(30)が個人情報を全世界に向けて大公開www」
慌てて中身を読んだ俺の顔は、赤くなったり青くなったり白くなったりしていたと思う。
そこに書かれているのは、まさしく「個人情報」だった。
2ch のスレッドの >>1 にあたる人物は、俺の本名を名乗り、
本人の証拠として、俺の財布に入っているはずの免許証のスキャン画像をアップロードし、
内緒にしているロリータ趣味を暴露し、PCの奥深くに隠された秘蔵のおかず画像やブックマークを晒し、
住所、電話番号、家族親類、友人関係、卒業した学校、クレジットカードの番号、全てを漏らさず書き込んでいた。
対して「いいぞもっとやれ」「ロリ乙www」「変態だー!」などの、完全に他人事なレスが付けられていた。
その日から俺のもとには、「なぜあんな馬鹿な事をした」と責める親類からの電話と
「○○さんですか」「取材受けてくださいよー」と遠慮無くインターフォンを鳴らす記者、テレビクルー。
果てには、個人情報の漏洩について賠償金を求める友人からの内容証明郵便が届いたりした。
俺は会社を休んで部屋の隅っこでガタガタ震えていたし、テレビもネットも現実も全てが恐ろしかった。
事件から二週間が経ち、恐る恐る郵便受けから回収した新聞を読んだ。そして、真相を知る。
今までメディアをシャットアウトしていたため、全く知らなかったのだが、
あれから、俺と同じように個人情報を撒き散らす人物が世界中で続出していたというのだ。
事態を重く見た政府と警察は、被害者(そう、新聞には“被害者”と記されていた)の部屋の調査を開始。
「脆弱性」だと。
なんでも、「現実世界にクロスサイトスクリプティングが可能な脆弱性」があったそうだ。
「部屋に入った人を無差別に襲うスクリプトを注入できる脆弱性」があったそうだ。
2008/01/09 厚生年金の記録改竄、社保庁が不正に関与
2008/01/23 社会保険料の国民負担率が4割超、過去最高
2008/02/19 年金記録未統合5千万件のうち特定25%のみ
2008/03/10 社保庁、不祥事で多忙になり自主退職が急増
2008/07/17 愛知、社保庁職員が年金情報をヤミ金に提供
2008/10/03 厚生年金改竄、大幅引き下げ事案だけでも75万件
2008/11/15 国民年金基金幹部ら逮捕、冊子製作費水増し
2008/11/17 国民年金加入者8割が減免対象だが殆ど不申請
2008/12/06 長野や新潟で元公務員への年金過払い発覚
2008/12/26 舛添厚労相、社保庁ヤミ専従問題で40人刑事告発
2009/04/08 「宙に浮いた記録」で無年金の恐れ、51万人
2009/04/10 社保庁、ねんきん定期便ミスで3万2000人に再送
2009/05/01 厚労省試算、成長率マイナス1%なら年金制度31年度に破綻
2009/07/31 国民年金保険料、昨年度納付率62.1%で過去最低
2009/09/01 企業年金未払い、総額1588億円、143万人分
2009/09/11 年金記録漏れで更迭の元社保庁部長、独行法人の理事就任
2009/12/28 解体される社保庁、分限免職525人、45年ぶり大量処分
2010/03/18 国民年金の免除・猶予者、4百万人と過去最多
2010/07/20 サラリーマン妻の年金記録、45万人で実態とズレ
2010/07/27 基礎年金番号が成人人口より123万件も多い管理ミス
2010/08/06 年金番号ずさん、重複や未整理で100歳以上は2倍以上交付
2010/08/06 国民年金保険料、納付率は過去最低60・0%
2010/08/06 税金や年金、20歳未満世代は8千万円払い損、60歳以上は4千万得
2010/08/09 国民年金の納付率、免除含む計算では実質わずか43%
2010/08/18 年金福祉施設売却301件で2千億円、なお建設コストは1.1兆円
2010/09/29 日本年金機構、年金記録統合ミス1133人分の内、半数を放置
2010/10/02 日本年金機構、「宙に浮いた年金」2千数百人分の統合処理放置
2010/10/15 年金記録照合業務で、年金機構職員がNTT側に入札情報不正漏洩
2010/12/15 年金記録、コンピュータと紙台帳との不一致が100万人
2011/01/25 厚生年金の試算、1967年生まれ以降では1000万円以上の払い損
2011/05/26 年金記録漏れ問題で、紙台帳の全件照合断念
これは言ってることは概ね合ってるし、このことは前の記事でも言われてる。計算量的には安全って前記事でもある
ただこれ言ってる現役プログラマーってカオスラウンジ関係者なのはわかってるよね
個人を攻撃するわけではないけれど、大震災のデマツイートやってた人との関係者でもあることも知ってるよね
>IDが漏洩したわけではないのに「ID漏洩発覚」と騒いでいた人たち
>「GPGPUでパスワードクラックが可能」という明白な事実誤認
騒ぎを見ていた感じじゃ、これ騒いでたのってTwitter民でしょ。発信元が誰かさんなのかもしれないけど定かじゃないので断言できない
わかりやすい言葉を選んだんだろうけど、これで余計な誤解招いたんだろうな。これは誰かさんの失態
確かにこれは誰かさん連中が騒いでた。でもデフォルトメッセージが「it workssl!」に変わったことに対して明確な反論してる人を見ていないな
誰か明確な反論してる人っているのこれ? 反論できる人って運営しかいないんだけど、運営から何も無いから騒いだんだろう
でも一番最初に騒がれてた感じだと「あぶねえから一応ログアウトして他のパス変えようぜ!」って内容だったと思うけど、違う?
>馬鹿が騒いでる
私の名前はバルネラ。
私はどこにでもいる。
あなたの周りにもきっとたくさんの私がいる。
でも私はその存在を許されない。
普段はひっそりと陰に隠れているけれど、
今度もまた、"あぱっち" に隠れていた私が見つかった。
私が "あぱっち" の中にいるというニュースは世界中に広まって、
2~3日もすれば私は消されてしまう。
だけどそれでいい、
見つかってしまった私はたくさんの人に迷惑をかける。
"あぱっち" の中の私はもうすぐ消えてしまうけど、
それはたくさんの私の中のほんのひとつ。
まだまだ見つかっていない私はいっぱいいっぱいいる。
だから、もっともっと私を見つけて、そして消して。
だって私は見つかって、
そして消えるためだけにいるのだから。
私はずっと待ちつづける。
その瞬間が来るのを、ただじっと。
※脆弱性 【vulnerability】 (バルネラビリティ)
コンピュータやネットワークなどの情報システムにおいて、第三者が保安上の脅威となる行為(システムの乗っ取りや機密情報の漏洩など)に利用できる可能性のあるシステム上の欠陥や仕様上の問題点。
攻撃ではなく喚起が目的であれば、技術的解説に対して暴言を吐いて妨害したりはしないし、リプライ爆撃をする必要もありませんよね。
これだけで十分だと思いますけど追記すれば。
IDが漏洩したわけではないのに「ID漏洩発覚」と騒いでいた人たち、「情報流出の兆候がある」とほのめかしていた誰かさんや、「GPGPUでパスワードクラックが可能」という明白な事実誤認。
これらが業務妨害ではなく注意喚起に過ぎないとするのは、印象操作にしてもちょっと酷いのでは。
喚起サイドの目的が本当に「ID問題への対処」ならば仕様変更の署名活動でもするべきだし、「セキュリティへの不安」ならば情報を拡散して悪意あるハッカーの攻撃の機会を増やすのではなくIPAへ通報するべき。
「喚起」という建前(目的)に対して取るべき「手段」がちぐはぐだから、「攻撃(というか夏厨の狂騒?)」としか見なされないのだという点を見直すべき。
私的な意見だが、これを見て安心したり、馬鹿が騒いでるだけかと思った人は少し考えるようにして欲しい。あまりに短絡的ではないだろうか。
ID見えてるけどいいの?ってやつ。別にIDがバレること自体はたいして問題ありません。twitterも丸見えですね。
問題なのは、IDが外部から見られることをユーザーに知らせてないことと、後述のパスロックが実装されていなかったこと。IDが見られることについては以前から指摘されていましたが、長い間改善されませんでした。定期的に話題になっていましたが、今回はパスロックの件が明らかになったので大きな問題になりました。
ログイン時に決められた回数間違った情報を入力するとロックがかかって一定時間ログインできなくなったりするのがパスロックです。この機能はtwitterにも実装されています。
pixivにはこの機能がなかったため、パスワードの総当たりが可能でした。時間さえあれば他の人のアカウントでログインできるので、プレミアム登録をしている人はクレジットカードの情報が盗まれる危険がありました。
総当たりは現実には無理だから心配ないという意見もありますが、個人的には辞書アタック程度で突破できるんじゃないかと思います。たかがイラストコミュニティサイトに複雑なパスワードを使う人が多いとは思えないので。
現在は数回間違った情報を入力すると画像認証、さらに間違えるとロックがかかる仕様になっています。IP変えれば意味ありませんが…
ちなみにパスロック実装したよ!ってアナウンスはまだされていません。
pixivの粗探しをしていたら管理画面への入り口を発見しちゃったよ、ってやつ。
もちろん管理画面に誰でもアクセスできるのは異常なことです。騒ぎになってからすぐにこの入り口は閉じられましたが、数年間入り口が開かれていた可能性が高い(もともと閉じられていたものをわざわざ公開する理由がない)ため、誰かが侵入に成功していてもおかしくはありません。もし悪意のある人が侵入していたら、全ユーザーのクレジットカード情報を盗んだりpixivにウイルスを仕込んだりできます。
これはあくまでも可能性の話ですが、公式に安全が証明されるまでは警戒するに越したことはありません。運営から個人へのメールでは安全だと言っていますが、短時間で数年間のログを調べることができたのだろうか?と疑問に思います。
デフォルトで「It works!」と表示されるところに「It workssl!」という表示が出た問題。
打ち間違いか、lsコマンドをミスしてslと打ち込んだ人を馬鹿にするためのプログラムと絡めたジョークではないかという意見もあります。運営のお遊びだとして、このようなジョークを仕込めるほどの人がいるのにadmin画面を公開するようなヘマをするだろうか?ユーモアのあるハッカーの仕業では?公式の発表がないのでなんとも言えないところです…
とても短くまとめたので、詳しいことが知りたい人は他のまとめを探して読むことをおすすめします。はてなにも分かりやすいまとめがあります。
札束枕とか言ってた頃が懐かしい…
覚えていない人も多いと思うけど、PIXIVのIDというのは一昨年ぐらいまではユーザー名として使用されていた。誰かのイラストにコメントをすれば、IDが名前欄に表示されたんだよ。「初期から判明していた」わけでもなんでもない。どうヒネた言い方しても「IDの漏洩」は有り得ない。
togetterがchromeが固まるくらい重いのと、書いてある内容に同意できてもエタ東となる4時の組み合わせは気分が悪いので、自分用に。
最初に書いておくと、これは特にpixiv擁護ではない。というより、擁護できる部分は特にない。
pixivを擁護したがっている人たちというのがいて、連日出てくる問題を鎮火させようと頑張っている。
カオスラウンジとズブズブだったpixivも悪の企業であると認めず、pixivは悪くない、pixivは俺たちの居場所だ、と信じて自分たちの立場を守ろうとする。(俺正義タイプ)
本の宣伝をしたいが代替サービスのユーザーがまだ少ない。pixivを宣伝用に使い続けるしかないのからpixivを守りたい。(我欲タイプ)
pixivとかユーザーのことなんて全くどうでもいいけど、批判に対して反対意見を言える俺かっこいい。(自己顕示タイプ)
大体想像できる動機はこんなところ。
メンツは固定しているないが、毎度の騒動で発生源となっているtogetterまとめを網羅的に眺めると、誰が鎮火しようとしているのか分かりやすい。
はてブでいうとb:id:sa_tie、b:id:katsura_1、b:id:tailtame辺りが該当。彼らを駆り立てているものは一体何なのか。(なお、エタ東も方向性が違うだけで同類にカテゴライズしている)
もっとも動機が不純だからといって、成すことが正しければ良い結果をもたらすこともあるし、独善が「悪事」としか呼べない暴走を引き起こすこともある。評価は人による。
pixivの新規登録画面は極めてシンプルで、pixiv idの用途については特に記されていない。(※要改善)
登録するとユーザーにはユニークな数字のidが付与されるので、pixiv idはログイン用のみだと考えている人は少なからずいるようだ。
実際にはpixiv id名でディレクトリが作られるほか、スタックフィード(活動履歴)のid、アカウントを共用するpixivブログや、姉妹サイトdrawr(flashで手書きできるサイト)のidとして利用されている。
pixiv idを外部から見られないものとして、個人名を使うなどする人もいて、問題となったことは過去に数度ある。id変更の機能追加をするという話もあったが今のところは実現していない。
今回の騒動の発端となったのはこのpixiv idが画像の絶対パスから参照可能だ、という最初期から判明していたことを何度運営に要望を出しても改善されないまま放置されたことに業を煮やしたことユーザー達のtwitterである。
これを、「最初期から判明していたことだから今更問題ではない」と擁護する連中が現れた。
「idは最初期から漏洩するような仕様で、スタックフィードなどからidを参照することも可能だ」と判っても問題点を把握できないユーザーが多数いたことで、危機の周知は次段階に移る。
「IDとパスワードを同じにしている人は危ない。プレミアムユーザーならクレジット番号などの登録もしているので危ない。」と危険を訴えた。この辺りから「ただの言いがかりレベル」などと鎮火ツイートが広がる。
現在のPCスペックの技術の向上は目覚しく、家庭用でもハイスペックなPCがあれば簡単なパスワードであれば数分~数十分で破ることもできるとされる。
が、それはメモリ内で高速に試行できるローカル環境上の話であって、web上のパスワード認証に対して必要とする時間は全く別物という視点が抜け落ちていて、とても現実的ではない。
だが、総当たりなどせずとも、簡単な単語やIDと同じパスワード、誕生日などであれば簡単にログインできてしまう可能性がある。
それを、「例えローカル上で10万回/秒でログイン試行できるPCでも、web上のパスワード認証に対しては通信とサーバーレスポンスがボトルネックとなって100回/秒程度のパフォーマンスしか発揮できないと思う。並列で大量にリクエストを殺到させればサーバーが落ちるだけだし、そもそも膨大なオーダーのログイン攻撃が仕掛けられれば、突破するより前にファイヤーウォールが異常を関知するか、サーバー管理者が気付く。そもそもイラストコミュニティサイトに対して逮捕されるリスクを犯して潜入したところで、成りすまして暴言コメントを書いたり個人情報を抜く程度で、不正アクセスのリスクにリターンが見合っていないわけで…。」
などと問題点をすり替えて、指摘する側がさも間違っているかのように発言を繰り返す。
大手ポータルサイトや銀行、携帯キャリア、有料ポイントを運用するネトゲなどであればそれなりに堅牢なログイン構造にするのが当然で、既に大手のお絵描きコミュニティ、しかもカードの支払まで行われるサイトにパスロックがないというのが問題でないはずがない。
admin.pixiv.net他に接続するとグローバルIPからでもログイン認証が出てくるというもの。発覚したのは実は1年も前だという。今回twitter等で公になってからも1時間程度は誰もがアクセス可能であった。
あくまでログイン認証画面が出てくるだけで、ID/パスワードが判明したわけでもなく、webのログイン認証に対するブルートフォースは非現実的なのは変わらないが、「外部からadminツールにログイン可能」というセキュリティ意識の無さが露呈し、大騒ぎとなる。
更に話が広まる際には「adminツールが流出した」「バックドアが仕掛けられた」「ログインにキーロガーが仕掛けられている」「アクセスするとウイルスを仕込まれる可能性がある」「今すぐ退会せよ」など虚実入り乱れた話となる。
普通に考えれば、外部からアクセス可能な状態で晒され続けたという事態が発覚した時点でサーバーを落として対策を取るはずなのだが、隠蔽体質に定評のあるpixivが何のアクションも起こさない為、念のためアクセスを控えるよう呼びかける。
「そこまで大事になっているのであればサーバーを落とすわけで、実害はない」などと見当違いな「俺の脳内のpixivのセキュリティ安全神話」ツイートが擁護派から出てくる。
admin.ads.pixiv.orgに接続すると「It workssl!」と表示されるもの。これがapacheのデフォルト表示「It works!」と異なることから、「何者かに書き換えられたか、運営が謎のミスをしたのか」と疑惑が生まれる。
ads.pixiv.orgは広告関連のサーバーのようだが、侵入された場合は他のサーバーも同様に危険である可能性が高く、「個人情報やカード情報が抜かれる危険性もある」と指摘されると「万が一侵入されていても個人情報が流出する可能性は低い」と根拠のないpixivの言い訳を持ち出す。
カード情報は決済代行会社が保存していると運営から「なぜか」一部ユーザーにメールで通知されていたようで、ここまでの騒ぎになっておきながらサイトトップでも発表しないなど、さらに不信感が募る。
「IDが漏洩する危険性がある」という問題点から、罪のないユーザーが被害に遭うことを防ごうしたものの、サービス開始時からの仕様で改善される望みが薄い。
さらに管理者ページが外部から閲覧できたことは、あってはならないセキュリティ意識、にもかかわらず、「批判は的外れで間違いだらけ」というまさに的外れな擁護ツイートが広まる。
ここまでサンドバックになってて何も発言せずパスロックを実装するpixivはある意味凄いが、その沈黙がさらなる疑惑を生んでいることにいつ気が付くのか。
togetterがchromeが固まるくらい重いのと、書いてある内容に同意できてもエタ東となる4時の組み合わせは負けた気分になるので、自分用に。
最初に書いておくと、これはpixiv擁護ではない。というより、擁護できる部分は特にない。
pixivを潰したがっている人たちというのがいて、連日火をつけようと頑張っている。
大体想像できる動機はこんなところ。
ほぼメンツは固定しているので、毎度の騒動で発生源となっているtogetterまとめを網羅的に眺めると、誰が火をつけようとしているのか分かりやすい。
はてブでいうとb:id:sa_tie、b:id:katsura_1、b:id:tailtame辺りが該当。彼らを駆り立てているものは一体何なのか。(なお、エタ東も方向性が違うだけで同類にカテゴライズしている)
もっとも動機が不純だからといって、成すことが正しければ良い結果をもたらすこともあるし、独善が「悪事」としか呼べない暴走を引き起こすこともある。評価は人による。
pixivの新規登録画面は極めてシンプルで、pixiv idの用途については特に記されていない。(※要改善)
登録するとユーザーにはユニークな数字のidが付与されるので、pixiv idはログイン用のみだと考えている人は少なからずいるようだ。
実際にはpixiv id名でディレクトリが作られるほか、スタックフィード(活動履歴)のid、アカウントを共用するpixivブログや、姉妹サイトdrawr(flashで手書きできるサイト)のidとして利用されている。
pixiv idを外部から見られないものとして、個人名を使うなどする人もいて、問題となったことは過去に数度ある。id変更の機能追加をするという話もあったが今のところは実現していない。
今回の騒動の発端となったのはこのpixiv idが画像の絶対パスから参照可能だ、という最初期から判明していたことをid漏洩だと騒ぎ立てたことから始まる。
「idは漏洩したわけではなく、最初期からこのような仕様で、スタックフィードなどからidを参照することは可能だ」と判明したことで、祭りは次段階に移る。
「パスワード総当り攻撃に対する対処がない、悪意あるユーザーがブルートフォース攻撃を仕掛ければ突破されてしまう」と騒ぎ立てた。この辺りからただの言いがかりレベル。
確かに現在のPCスペックの技術の向上は目覚しく、家庭用でもハイスペックなPCがあれば簡単なパスワードであれば数分~数十分で破ることもできるとされる。
が、それはメモリ内で高速に試行できるローカル環境上の話であって、web上のパスワード認証に対して必要とする時間は全く別物という視点が抜け落ちていて、とても現実的ではない。
例えローカル上で10万回/秒でログイン試行できるPCでも、web上のパスワード認証に対しては通信とサーバーレスポンスがボトルネックとなって100回/秒程度のパフォーマンスしか発揮できないと思う。
並列で大量にリクエストを殺到させればサーバーが落ちるだけだし、そもそも膨大なオーダーのログイン攻撃が仕掛けられれば、突破するより前にファイヤーウォールが異常を関知するか、サーバー管理者が気付く。
そもそもイラストコミュニティサイトに対して逮捕されるリスクを犯して潜入したところで、成りすまして暴言コメントを書いたり個人情報を抜く程度で、不正アクセスのリスクにリターンが見合っていないわけで…。
大手ポータルサイトや銀行、携帯キャリア、有料ポイントを運用するネトゲなどであればそれなりに堅牢なログイン構造にすると思うけど、お絵描きコミュニティにパスロックがないというのが即叩き材料になるとは思えないが。
もちろんパスロック自体はないよりはあった方が安心できるのは間違いない。でもセキュリティ専門の人ならまずhttpsでログインできないことを指摘するよね。
admin.pixiv.net他に接続するとグローバルIPからでもログイン認証が出てくるというもの。発覚してから1時間程度はアクセスが可能だった。
あくまでログイン認証画面が出てくるだけで、ID/パスワードが判明したわけでもなく、webのログイン認証に対するブルートフォースは非現実的なのは変わらないが、「クラックされた」「ロジックボムが爆発する」など大騒ぎする。
更に尾ひれが付いて「adminツールが流出した」「バックドアが仕掛けられた」「ログインにキーロガーが仕掛けられている」「アクセスするとウイルスを仕込まれる可能性がある」「今すぐ退会せよ」など騒がれる。
普通に考えれば、そこまで大事になっているのであればサーバーを落とすわけで、実害はないのだろうな、と思うわけだけど「既にハッカーに乗っ取られていて、運営は手も出せないのでは」とまで言い出す人まで。
アイマス2に男キャラが追加されたのをきっかけに「可能性を生み出しただけでアウトなんだよ!」とネガキャンしまくっていた人たちを思い出す。
「セキュリティ問題とギャルゲーを同一視するのは間違いだ」という指摘は正しいけれど、ハッカー映画に影響された「俺の脳内のセキュリティ問題」なんてゲームの世界と大差ない。
admin.ads.pixiv.orgに接続すると「It workssl!」と表示されるもの。これがapacheのデフォルト表示「It works!」と異なることから、「ハッカーに書き換えられた、侵入の痕跡だ」と大騒ぎする。
ads.pixiv.orgは広告関連のサーバーのようで、万が一侵入されていても個人情報が流出する可能性は低いのだけど、「個人情報がマニアに売られている」「カード情報も抜かれている」と騒がれる。
実際にはカード情報は決済代行会社が保存しているようで、アカウントに不正アクセスで潜入しても見られるのはカード末尾4桁のみ。
「IDが漏洩した」という新たな材料で騒ごうとしたものの、実は既出の仕様だったためにパスワード総当りの「可能性」によるセキュリティ問題に切り替える。
そこから管理者ページが外部から閲覧できたことを、管理者権限が奪われた「可能性」があると話を大きくし、どうも全体の根拠が怪しいと分かると「何も言わないpixivは不誠実だ」と批判する。
ここまでサンドバックになってて何も発言せずパスロックを実装するpixivはある意味凄いが、それが付け入る隙をネチネチと探すネットの暇人クレーマーたちの加虐心をくすぐって余計な火種を生んでいることにいつ気が付くのか。
追記:セキュリティ関連については悪意を持ったユーザーに狙われる可能性があることから、表に告知を出さないというのがpixivのポリシーらしく、直接メールで問い合わせれば返事は受け取れるそうです。
不安な方はデマかもしれない情報を無責任に広める前に、直接運営に問い合わせましょう。もちろんパスワードを変えるなど自衛も重要です。
Togetter - 「pixivとインテリアショップの件(解決済み)」
一連の事件で一番アウトだと思ったのはこれ。
pixivから絵師を集めて家具を作って展示するというイベントなんだけど、この被害者となった赤雪姫の作品はイベントの告知にも大々的に利用されるなど、「看板作品」として扱われていた。
しかし家具のみに使うという許諾を離れて、勝手に傘が作られた。
ここで不信感が募るも、まだそれはインテリアメーカーの独断と暴走だったものが、pixivが作ったカタログにも無断で編集された画像が使われただけでなく、さらに無断で使用許諾の出していないラフ画から社員がトレスで描き上げたイラストまでが使われていた。
pixiv側が本来守るべきユーザーの著作権をないがしろにして、ビジネスとして筋を通さなければならない場面で、無断使用でも許されると甘えてしまった。
ユーザーとの距離感を見誤った結果なんじゃないかなと。不幸なのは2009年の段階でこういう事件がおきていたにも関わらず、表沙汰にならなかったことで後々まで体質を変えられなかったこと。
pixivの東京幻想というユーザーが、無断で外部の写真を二次利用しており、権利者が申し立てたにも関わらず対応が悪手だったので炎上した事件。
「トレスに対して例え権利者がパクリだと主張しても、権利者が本人証明をして削除申請しない限り、投稿された絵を削除しない」という方針に対しても批判が相次いだけど、個人的にはそれは問題ないと思う。
例えば「株式会社ポケモンの者です」と騙って通報すればポケモンの絵を全部削除できるなら、二次創作のグレーゾーンなコミュニティであるpixivは成立しない。
感情として「二次創作とトレスは別物だ」というのは分かる。しかし法的には両者が同じグレーゾーンの創作物である以上、権利者の申し立てでしか削除しないという方針を厳守すること自体は創作者を守る行為として容認されてもいいと思う。
もっとも「ネットでは漏洩の危険性があるので郵送であれば個人情報を送るので送付先を知らせてください」という権利者の申し立てを無視して、問題が炎上して東京幻想が自ら記事を削除したら「該当画像は既にないので今後は返信しない」と返すのは、創作者の権利をないがしろにしているとしか思えない。
こうした態度が「pixivは特定ユーザーと癒着して、特別扱いしている」という不信感の元になってしまった。
[pixiv社長のトレス発見厨発言で中傷画像を上げるも削除された腐女子が逆切れ中 : イフカルト - ライブドアブログ]
社長の迂闊な発言が招いた騒動。社長の写真をトレスしたイラストを使い、社長の発言を揶揄する画像を投稿したところすぐさま削除されたために騒動が大きくなった。
ただこの社長の発言を理解するには、トレパクの実態と、通報に血眼になるユーザーの存在も理解する必要があると思う。
pixivに連日莫大な投稿があり、その中には一定の割合でトレスや模写がある。絵画を模写したとしか思えない絵、アニメの一場面をパロディにしたもの、他人のイラストを複数組み合わせた絵、背景を拾ってきた写真を利用して描いた絵、小物をググった資料で描いた絵。
中には元ネタを昇華して一つの作品になっていると思うものもあるし、実際に高い評価を得ている作品もある。「ぐぬぬ」や「キラッ」のようなアニメのパロディはトレスだが許容される文化なのか、削除されるべきなのか。
一方で通報に力を注ぐユーザーがいる。その原動力は自分の作品が奪われたら許せないという正義感なのかもしれないし、トレスが評価を得ているのが許せないという嫉妬なのかもしれない。
その一例がこれだ。
膨大な作品の中から血眼になってトレスや、レーティングの不備を探して通報することに励む人たち。彼らのやっていることは確かに正義だろう。
想像に過ぎないがpixivの業務の大半は、違反の対処に注がれているのではないかと思う。投稿された膨大な絵から規約違反のものがないかくまなくチェックし、通報を受け付け、権利者であれば本人証明の元削除を行う。
「絵師同士で繋がる楽しいコミュニティ」の裏側で、地味で途方もない作業に人と時間を奪われている厭忌が社長の発言に繋がったんじゃないだろうか。
そうした態度を表に出すpixivが、TINAMIと比較して悪だと言われている。表に出すべきでない発言なのは間違いではないが、これをもって善悪を論じれるとは思わない。
徹底したクリエイター志向で創作者がのびのびと作品を展示できる清浄な浜辺を目指すTINAMIに対して、コミュニティ志向でグレーゾーンの砂場で絵師が遊べる場を守りたいpixivという違いがあるだけに過ぎないと思う。
「ボーカロイドフェスタ02」という同人イベントにて頒布されたカタログに、参加者の年齢が記載されてしまった事件。
この件については高木先生がロックオンしていたのでそのうち語ってくれるんじゃないでしょうか。
pixivが全参加者の年齢までもをウッドベルに渡す必要があったのかは不明だし、望まない個人情報が公開されてしまった管理体制の不備は責められるべきだと思うけれど、pixivを叩くための材料と化して主犯であるウッドベルに対する追及が弱いのが不満に思う。
個人情報漏洩に対する広報が弱いのは二次被害を防ぐためなのかと好意的に考えていたけれど、インテリアイベントでの著作権侵害も埋没していた辺り、単に隠蔽体質があるだけなのかもしれない。
スラッシュドット・ジャパン Submission | Pixivで「現代アート」祭り勃発
梅ラボの作品がpixivから削除されなかったため、現代アートタグを付けた大量の作品が投下された事件。
俺にはただの悪乗りとしか思えなかった。
カオスラウンジを妨害したいという悪意を、「許された人々」の無邪気な行動だとデコレーションして、削除したpixiv運営を槍玉に挙げるやり方には吐き気しかしなかった。
pixivが削除基準を恣意的に運用したのは問題かもしれないが、pixivにもユーザーを選ぶ権利はあるはずだし、pixiv運営に抗議するマンガをpixivにアップロードして削除されたから批判するというのは真っ当な大人のやり口とは思えない。
この騒動ではマサオという絵師に好感を覚えた。pixiv内で有名な彼が自らの絵で"現代アート"を作り投稿するとたちまち話題になり、それを政治利用とする人間も沸いたが、「くらだねえ」と一喝していた。
pixivはカオスラウンジと癒着し、犯罪集団を擁護している、というような見解が広まっているけど、俺はそうは思わない。
pixivが権利者の申し立てにしか応じない、二次創作やトレスなどグレーゾーンの創作物を作品として認めるというポリシーを持って運営していることは一貫しており、今回もそれに則ったに過ぎないんじゃないかな。
カオスラウンジがそもそもpixivを発祥とする集団ということを考えると、共にメディア露出したり、そこからプライベートな付き合いが生じていること自体は自然だと思う。
それをもって「カオスラウンジと付き合いを持つことが罪だ」と魔女狩りすべきではないし、pixivが活動内容まで関与していないという声明を出した以上、尚もpixivを糾弾するのであれば活動内容に踏み込んで付き合いがあった証拠を出すべきだと思う。
この騒動は本当はpixivよりも、著作権侵害や反発が散々指摘されても画像を引っ込めなかった梅ラボや、退会どころか言及すらしないカオスラウンジメンバーこそが批判されるべきなんじゃないかな…。
迂闊に言及した社長が矢面に立ち批判され、対抗馬のTINAMIが注目され、イラスト投稿コミュニティの一極化が変化することで、結果としては健全な競争を生み全体にはいい影響を及ぼすのかもしれない。
ただpixivというイラストコミュニケーションの場を提供し、サーバーインフラや規約違反対処など見えない裏方で尽力していたのもまたpixivなのだ、という点は評価されてもいいと思う。
悪いこと
悪そうなこと
悪いと思えないこと
pixiv自体が著作物の権利意識が希薄な状態で運営されていて、その緩さがユーザーの著作物までもを蔑ろにしたことが、全ての騒動の原因だろう。
権利者以外の削除申請は通さないルールで運用しているとはいえ、少しでもユーザーの著作物を保護する気概を見せていれば、きっとここまで炎上することはなかったと思う。
「pixivがユーザーを金儲けに利用したのが悪い」という批判がブコメにあったけど、それは必ずしも悪いとは思わない。
これはTINAMIに移住したユーザーの方が理解できると思うけど、大量のユーザーを支える帯域や、新機能追加のためのシステム開発、投稿物管理体制に掛かるコストは愛だけで賄えるものではない。愛や理念だけで動くならゼリー嬢は解雇だ。
連日サーバー増設や電源工事を行って、ユーザーが快適に過ごせる環境へと投資しているが、そこに掛かる少なくないコストはいずれユーザーが何らかの方法で負担することになる。
pixivが画像を発表する場となり、評価される場となり、他の絵師やファンと出会う場となってくれた、そこに支払われた「見えないインフラ」のコストに関しては、もう少し評価されてもいいんじゃないかな?というのは本文に書いた通り。
ただpixivが「見えないインフラ」に投資してきたように、ユーザーの存在もpixivという場を活気付け、相互に恩恵を与えていた。ユーザーとは単純な客ではなく、コミュニティの価値に内包される参加者なのだ。
場とユーザーのシナジーこそがpixivが一時代を築けた根拠だったことを考えると、ユーザーに対する敬意を蔑ろにしたpixivの罪は重いということは肝に銘じて欲しいと思う。
よろしければこの文書に対する反論「これ物凄くpixivだけをかばおうとしてる嘘だらけのまとめだよね」と「それに対する俺の再反論」も併せてどうぞ。
気を回しすぎというか、先回りしすぎというか、あるいはそんなに自分ところの従業員が信用できないのかなあ、というか。まあ昨今の炎上事件を見てれば心配になるのはわからんでもないが、ブログでヘマするような従業員ならブログが無くたってどっかしらで何かやらかすだろうから、勝手に心配してないで教育すればいいだけの話じゃないかな。
機密漏洩に関しても、ブログやってるやってないに関わらず、教育するでしょ? 昔勤めてた会社では普段からやってたけど。特にメディアとの接触が多く見込まれるトレードショウなどのイベント前に、ブリーフィングで、一般的な話から、進行中の各プロジェクトに関してどこまで喋って良いか、って具体的なことまで。
仕事の関係上、今勤めている会社のエゴサーチ(自社に関する書き込みチェック)を行っている。
「A社に内定しました、嬉しいです」と書いてあった就活生のブログを発見した。
となると「A社社員が書いているブログ」ということになり、A社総務部的には「好ましからざるブログ」となる。
何気ない書き込みが企業秘密の漏洩(やインサイダー)になるかもしれないし、
個人の見解が会社見解と受け取られかねないし、政治的に微妙な書き込みをしたときにも問題になる。
因みに、今のところ、A社社員、と名乗って「私的に」ブログ・ツイッターをしている社員は
確認されていない。
自分のように「入社してからネットブログが普及した世代」であれば、
「私的ブログでは社名等を出さない」のような大人の気配り(ネチケット)をするからだろう。
しかし、「幼い頃からネットブログがあった」という「ブログネイティブ世代」だと、
学生のノリで、就職活動の経緯を無修正でブログアップし、その中で内定社名もポロッと
書いてしまう。
悪気はなかったのかもしれないが、「入社してからネットブログが普及した世代」
からみると「脇の甘さ」が気になる。
S&Pが東京電力の長期会社格付けを投資不適格であるB+にまで引き下げた。
これで、新規融資も社債の発行も不可能になり、株式を保有している投資家は、評価額の時価基準での再評価が必用となった。莫大な損失を計上しなければならなくなったのである。
東京電力のgoing concernに赤信号がともったわけである。
こうなった以上、この日記の4月21日に書いたように、電力供給の安定の為には、政府保証をつけるしかなく、その為には、100%減資の上、上場廃止、一株だけを発行して第三者割り当てで政府が買い、全発行株式保有という形式に持っていくしかない。社債や融資、福島第一の核物質漏洩に伴う損害賠償義務と東電資産を見合いにするしかないとなる。従業員は一旦全員解雇の上、新しく設立する東京電力新社に採用、東京電力新社は、東京電力から設備や営業権を借りて電力供給業務を続けるとなる。ここで重要なのは、東京電力新社という別会社が、営業所や発電所等の設備を借りるという事である。社債保有者や金融機関や被災者が東京電力の資産を担保として差し押さえをかけようとした時に、対抗するには、別法人に賃貸中という事実が必用となる。送電経路の一部でも差し押さえられてしまっては、電力供給の安定が難しくなる為である。
解雇して新社へ採用という作業を挟むことで、大幅な人員の削減と給与待遇の切り下げも実現できる。
東京電力の負債の支払い力は、分不相応な人件費等のコスト削減以外に無い。そして、それが実現できるのが、地域独占企業という例外的条件なのである。
ゴルバチョフはとてつもなく無能だったけど、アレですんだチェルノブイリはマシってこと?
たしかに、Wikipediaのチェルノブイリ原子力発電所事故によると、
当初、ソ連政府は住民のパニックや機密漏洩を恐れ、この事故を公表しなかった。また、付近住民の避難措置なども取られなかったため、彼らは甚大な量の放射線をまともに浴びることになった。
(陸軍兵士とその他の労働者で構成された)多くの「解体作業者 (liquidator) 」が清掃スタッフとして送り込まれたが、大部分がその危険について何も知らされておらず、効果的な保護具は利用できなかった。
だそうだから、ゴルバチョフのが無能かもしれんが、だから福島最悪ってのは変。
それはさておき、確かに福島はヒドイが、しかしそれでもチェルノブイリにはかなわない気がしている。
特に5年10年後と月日が流れるにつれ、復興しちゃって、見る影がなくなっていってると思う。
などと書いた事がある→http://anond.hatelabo.jp/20110325013839
HTMLはわかるけど、サーバーサイドはお遊びでphpを触ったぐらいだったので、会員制でデータをためこむサイト作りに初めて挑戦した。
今回重視したのは、「いかに個人情報をお漏らししないようにして、万が一漏らしても被害を少なくするか」ということ。
世の中、有償サービスでもパスワードを平文で保存してるサービスが意外と多いらしいので、流出した時のリスクを少しでも減らせる対策として書きます。
サーバー:ロケットネットのキャンペーンにでレンタルサーバ年1000円ポッキリプラン クライアント側の処理:HTML+CSS+jQuery(とプラグインもろもろ) サーバ側の処理:PHP Webサーバー:Apache データベース:MySQL
俺も巻き込まれたところでは、サミータウンがメールアドレスとパスワードセットでお漏らししてお詫びに1ヶ月無料なにそれこわい。
サミータウンだけならまだいいけど、メアドとパスワードを他のサービスで共通化して使ってる情弱なので、
共通化してメアドとパスワードをどこかのサービスが一箇所でも漏らすと、ヤフオクID乗っ取り事件みたいなことになる。
http://internet.watch.impress.co.jp/cda/news/2008/09/26/20967.html
俺だってできれば人様のメールアドレスとパスワードとか預かりたくない。
万が一、肉親のメールドレスを発見してパスワードにrapemeとか入ってたら明日からどういう顔すればいいかわからない。
ググってみてもどこにも情報のってない。うーん困った。ダメもとで「個人情報ってどうやって保存したらいいんだろう。。。」
って、twitterでつぶやいたら、「住所とかは可逆暗号化でいいけど、パスワードはハッシュで不可逆化しないとだめだよ!」
「住所とかは可逆暗号化でいいけど、パスワードはハッシュで不可逆化しないとだめだよ!」
何のことかわからなったので、調べてみると、
・ハッシュ=ハッシュ値を使った、元のデータに戻せない暗号化方式
うーん。。。よくわからん。。。
電話番号とか住所は、第三者が使用する情報なので、可逆が必要。パスワードは、認証にしか使わないので、
ハッシュ値の結果が一致すれば元のデータがわからなくてもOK、という方式なのでこういった暗号の使い分けをする。
●可逆暗号のイメージ(もとにもどせる) 暗号化キーは開発者が指定する。 090-xxxx-xxxx →(暗号化)→ !'&%($% →(復号化)→ 090-xxxx-xxxx ●ハッシュのイメージ(もとにもどせない) 登録password(DBに保存)→(ハッシュ値抽出)→!"$#'$#=" ログインpassword →(ハッシュ値抽出)→!"$#'$#=" ※二つのハッシュ値が合っていれば、パスワード一致として認証する。
今回はMySQLの関数で実現した。encode関数で暗号化して、decode関数でもとに戻す。
例えばtel_noという項目だけあるテーブルがあるとすると、
//データベースに保存する時 insert into テーブル名 (tel_no) values (encode(tel_no,'暗号化キー')); //データベースから取得する時 select decode(tel_no,'暗号化キー') from テーブル名;
これで、データベース格納時は暗号化(バイナリ化)されて、データベースから取り出してHTML表示する時に復号化はされる。
<ユーザ登録時>
$password=(フォームから取得) $hash=hash('sha512',$password) //ユーザ登録時は、ここで生成した$hashをデータベースにぶっこむ。
ユーザ認証時は、入力されたパスワードと、データベースのパスワードが一致するかチェック。
//フォームから入力されたパスワード $input_password=(フォームから取得) $input_hash=hash('sha512',$input_password); //MySQLに保存されたパスワードを取得(略) $db_hash==(データベースから取得) //判定 if($input_hash==$db_hash) echo 'ログインしますよ!'; //ここにログイン処理を書く else die('メアドとパスワードがあってないよ!');
これでもしSQLインジェクションとかでデータが流出しても、ハッシュ暗号のパスワードに関してはまず解析されないはず。。。
可逆暗号のデータもphp側の暗号化キーが盗まれない限りバレない。。。はず。。。
何でもかんでも暗号化するとコードが煩雑になるし、パフォーマンスにも影響でそうなので、
住所データの都道府県とか、漏れても良いような情報は暗号化しませんでした!!
個人情報保護法 2条による定義 「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
これで、もし漏れても、俺、ウンコ漏らして臭いけど、パンツから出てないからいいよね?というレベルにはなった。はず。
万が一漏れても大丈夫!と書いたけど、そもそも漏らすなというお話になる。色々調べた結果、以下の対策をほどこした。
・当初jQuery側でSQL組み立ててPHPに渡してたので、これだと任意のSQLが実行できて漏らし放題なのでやめる。
・GETとかPOSTでDBに渡すパラメータを扱ってる場合、ちゃんとエスケープする。
例えばログイン認証するPHPで、GETメソッドでフォームからデータを取得するような場合、
$id=$_GET['id'] $pwd=$_GET['pwd'] $sql="select * from ユーザーテーブル where uid='$id' and pwd='$pwd'
とかやってると、login.php?id=admin'&pwd=' OR '1'='1とかパラメータを渡されるとあら不思議!
select *from ユーザテーブル where uid='root' and pwd='' or 1=1
で、誰でもログイン出来ちゃう!ので、mysql_real_escape_stringでエスケープしたり、渡されたパラメータが想定した値かどうか(例えば数値かどうか、とか)のチェックをいれたりする。
・保存するデータにタグやJavascriptを埋め込まれないように、保存されたデータを出力する場合はPHP側でhtmlspecialchars関数使ってエスケープするようにする。
こんな感じでお漏らし対策をした。間違いがあったら教えて欲しい。
ちなみに出来上がったサイトはこれ。
あとで読むためのブクマや自動的にブクマしてるやつもいるんだろうが、
本当に役立つと言っているやつも中にはいる。
記事を批判するコメントもあるが、無言ブクマするようなやつは読まないだろう。
万一、Evernoteのアカウントとパスワードが漏洩すると、これらの情報すべてが漏れてしまいます。情報管理は自己責任で!
こんな注意書きバカは読まない。
そして、こんな注意書きで多数のバカにリスクを負わせたことの免責にはならない。
記事を書いた本人はこんな寝言をほざいている。
しかし、サーバーのデータの流出など自分で気をつけていてもどうにもならない。
その上、アカウント名とパスワードを厳重に管理しなければならない。
Evernoteのクライアントをスマートフォンや各PCに入れているならなおさらだ。
まわりに少しでも悪意のある人間がいるのなら、
おそらく、これを試すようなバカのEvernoteのデータなど簡単に盗まれるだろう。
どこからでも重要な個人情報にアクセスできる利便性よりも、情報が流出した時のリスクの方がでかい。でかすぎる。
どう考えても、こんなライフハックもどきを万人に勧めるべきではない。
即刻消すべきだ。