「グローバル企業」を含む日記

はてなキーワード: グローバル企業とは

2016-05-24

■パナマ文書　続・恵比寿関連　ＳＯＮＹ、ＣＣＣ

■パナマ文書281809について

http://anond.hatelabo.jp/20160409094753

と関連して、パナマ文書で20法人もの

大量のペーパーカンパニーを持つオフショア登録者に

「Ken Kiyoshi」という人物がいる。

彼の所在地は以下の通り。

Ken Kiyoshi  ICIJ Offshore Leaks Database
Connected to 1 address
Connected to 20 entities
Linked countries: Japan
Data from: Offshore Leaks
https://offshoreleaks.icij.org/nodes/117463
"281809";番号281809
"ADDRESS";"Room 1009, 4-20-2 Ebisu Shibuya-ku Tokoyo 150-0013 Japan";
所在地 〒150-0013　日本国東京都渋谷区恵比寿4丁目20番2号 1009号室
https://offshoreleaks.icij.org/nodes/281809

恵比寿4丁目20番2号は実在の日本の所在地。

パナマ文書が示す「〒150-6010」は、2016年現在の郵便番号区分では

恵比寿ガーデンプレイスを除く東京都渋谷区恵比寿を示す地域区分。

当該所在地の高層建築物は「恵比寿ガーデンテラス弐番館」に特定される。

「恵比寿ガーデンテラス弐番館は、1994年8月築、地上13階地下2階

建総戸数220戸？の大規模マンション。

Google ストリートビュー〒150-0013 東京都渋谷区恵比寿４丁目２０−２
https://goo.gl/maps/9dpcw9Zz3c42

「恵比寿ガーデンテラス弐番館１０階」の賃料は、公開されている

あたりでは、2LDKで42.2万円、41.4万円、1LDKで34.6万円、1Kで

22.5万円といった相場。富裕層向け住宅だ。

http://www.plus-home.co.jp/rent/6509/

http://www.marycorp.co.jp/detail_marycorp_1_marycorp_2_271

http://www.rnt.co.jp/building/detail/1576/

http://concierent.jp/rent/333/48434/

国税庁法人番号公表サイトのデータによれば

恵比寿ガーデンテラス弐番館を所在地とする法人は以下の三法人。

国税庁法人番号公表サイト
http://www.houjin-bangou.nta.go.jp/
3011001064749 株式会社ＣＯＮＴＡＩＮＥＲ東京都渋谷区恵比寿４丁目２０番２号恵比寿ガーデンテラス弐番館
3011001096420　東京都渋谷区恵比寿４丁目２０番２号恵比寿ガーデンテラス弐番館１３１５
5010401017455　東京都渋谷区恵比寿４丁目２０番２号恵比寿ガーデンテラス弐番館４１１

法人番号3011001096420と5010401017455は

パナマ文書が示す部屋番号1009とは異なるので、

株式会社ＣＯＮＴＡＩＮＥＲの所在地だけが

パナマ文書が示す顧客所在地と一致することになる。

株式会社ＣＯＮＴＡＩＮＥＲという会社

株式会社ＣＯＮＴＡＩＮＥＲは、

韓国人12人に活動している日本の男性アイドルグループApeace（エーピース）

https://ja.wikipedia.org/wiki/Apeace

などの芸能関係の事業をやっている。

コンサート、放送局への出演料、握手会などのイベント、

ファン向けグッズの販売などでまとまった儲けがあるようだ。

Apeace

http://apeace.jp/apeace_live/

企画・制作：株式会社CONTAINER/Golden Goose
特別協力：サミー株式会社
協力：文化服装学院 / メイクアップアーチスト学院
衣装協力：NAVAL
■日程
2011年6月18日(金)～ロングラン公演 
■会場
K THEATER TOKYO
東京都渋谷区恵比寿4-20-2 恵比寿ガーデンプレイス内 
■座席・料金
ロングラン公演：￥4,600(税込)

特ラ連レポート122

新規加入会員紹介コーナー

（平成23年6月～7月）

http://www.radiomic.org/activity/backnumber/No122/newkaiin.html

株式会社　ＣＯＮＴＡＩＮＥＲ（K－Theater）	会員番号030-0616
代表取締役　田村孝司	入会：7月25日	移動	AKG … 4本
シュアー … 12本
〒150-0001 東京都渋谷区神宮前4-12-20
担当　支配人　斉藤昇三	TEL 03-5421-7062 FAX 03-5421-7063
〔ひとこと〕厳しいレッスンと数々のオーディション審査より
キャスティングされた精鋭達２１名によるエンターテイメント
グループ、「Ａｐｅａｃｅ」が、K－Theater Tokyoでロングラン
公演をおこなっております。

この情報ではＣＯＮＴＡＩＮＥＲの所在地が神宮前になっている。

国税庁の法人データベースには当該所在地に8件の法人があるようだが

株式会社ＣＯＮＴＡＩＮＥＲという会社は登記されていない。

K－Theater Tokyoは恵比寿ガーデンテラス弐番館の

恵比寿ガーデンシネマの跡地につくられた日本初のK-POP 専用劇場。

2011年 5月27日から営業していたが2014年末に閉店し

今は映画館になっているようだ。

国税庁法人番号公表サイト
http://www.houjin-bangou.nta.go.jp/
東京都/渋谷区/神宮前４丁目１２－２０/登記記録の閉鎖等含める/商号等
8件見つかりました。
1011002035263 有限会社アートビートパブリッシャーズ東京都渋谷区神宮前４丁目１２－２０表参道ヒルズゼルコバテラスＷ４０５
2010401095900 株式会社アルファ・アンド・カンパニー東京都渋谷区神宮前４丁目１２番２０号Ｗ４０６
4011001005116 株式会社オモテサンドウ東京都渋谷区神宮前４丁目１２番２０－Ｗ３０４号
9011001050347 株式会社幸和画廊東京都渋谷区神宮前４丁目１２番２０－１０５号
4011002034898 有限会社後藤繁雄事務所東京都渋谷区神宮前４丁目１２番２０－４０５号
4011001072577 ミストラル株式会社東京都渋谷区神宮前４丁目１２番２０号
6011001061974 株式会社ＬＡＭＰＯ東京都渋谷区神宮前４丁目１２番２０号
3011001052051 株式会社ＯＫ東京都渋谷区神宮前４丁目１２番２０－４０８号

ちなみに特ラ連は特定ラジオマイクの利用者が設立した非営利団体で

任意団体特定ラジオマイク利用者連盟の略称。

イベント関連会社等は無線を使う関係で特ラ連とは利益共有の関係にある。

https://ja.wikipedia.org/wiki/%E7%89%B9%E5%AE%9A%E3%83%A9%E3%82%B8%E3%82%AA%E3%83%9E%E3%82%A4%E3%82%AF%E9%81%8B%E7%94%A8%E8%AA%BF%E6%95%B4%E6%A9%9F%E6%A7%8B

ディファ有明／イベントスケジュール

http://www.differ.co.jp/schedule_20150425.html

ApeaceLIVE2015♯3～Back to the Future～
　日付		4月25日（土）
　チケット料金		8500円　FC先行特典付き
　開場／開始		開場　13：45/18：15　
開演　14：30/19：00
　お問い合わせ先 株式会社CONTAINER　http://apeace.jp/
0570-064-257　平日14：00～18：00まで

このイベント告知を見ると、

株式会社CONTAINERの問い合わせ電話番号は0570-064-257になっている。

0570-064-257という番号は、

ソネットエンタテインメント株式会社の事業運営委託会社、

コネクトプラス株式会社または株式会社ロム・シェアリングの連絡先と同一だ。

特定商取引法に基づく表記 NU'EST JAPAN OFFICIAL FANCLUB
http://www.nuest.jp/info/law.html
役務提供事業者 ソネットエンタテインメント株式会社
運営責任者 代表取締役社長　中野秀紀
住所 東京都品川区大崎２丁目１番１号
運営委託
コネクトプラス株式会社
〒106-8011 東京都港区六本木3-16-35　イースト六本木ビル
株式会社ロム・シェアリング
〒106-0041 東京都港区麻布台2-3-5 ノアビル 1F
電話：0570-064-257（平日14:00～18:00）
サービス内容会員特典に記載のファンクラブ会員へのサービス提供
サービスの提供時期入会を承認した時点で当会の会員となります。

国税庁法人番号公表サイト
9010401061375 株式会社ロム・シェアリング 東京都港区麻布台２丁目３番５号ノアビル１階
http://www.houjin-bangou.nta.go.jp/

つまり、株式会社CONTAINERと株式会社ロム・シェアリングという法人は

実体として一体的に活動しており、ソニー傘下で仕事をしている。

資本元はソニーモバイルコミュニケーションズ ジャパン 株式会社

上記NU'EST JAPAN OFFICIAL FANCLUBサイトのプライバシーポリシーの管理は

ソネットエンタテインメント、すなわち日本、台湾、香港で運営している

インターネットサービスプロバイダのSo-netで、

そのSo-netを2016年に完全子会社化した親会社の企業名は

ソニーモバイルコミュニケーションズ。

So-net - Wikipedia
https://ja.wikipedia.org/wiki/%E3%82%BD%E3%83%8D%E3%83%83%E3%83%88%E3%82%A8%E3%83%B3%E3%82%BF%E3%83%86%E3%82%A4%E3%83%B3%E3%83%A1%E3%83%B3%E3%83%88
ソニーモバイルコミュニケーションズ - Wikipedia
https://ja.wikipedia.org/wiki/%E3%82%BD%E3%83%8B%E3%83%BC%E3%83%A2%E3%83%90%E3%82%A4%E3%83%AB%E3%82%B3%E3%83%9F%E3%83%A5%E3%83%8B%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%82%BA

Ken Kiyoshiとは何者なのか？

長江実業グループを率いるアジア有数の大富豪・

李嘉誠の次男である李沢楷（リチャード・リー）が

事業投資会社として創業した会社に、

パシフィック・センチュリー開発（Pacific Century Development / CCD）

というグローバル企業があり、

その日本法人である日本パシフィックセンチュリーグループ株式会社で

1998年3月に就任した代表取締役の名前は喜吉憲。

パナマ文書に書かれていた名前Ken Kiyoshiと姓名の読みが同一だ。

もちろん同姓同名の人物は他にもたくさんいるのは事実だが

租税回避の動機を持っている富裕層となると限られてくる。

PCCW - Wikipedia

https://ja.wikipedia.org/wiki/PCCW

李嘉誠 - Wikipedia

https://ja.wikipedia.org/wiki/%E6%9D%8E%E5%98%89%E8%AA%A0

李沢楷 - Wikipedia

https://ja.wikipedia.org/wiki/%E6%9D%8E%E6%B2%A2%E6%A5%B7

メモ：ＰＣＣＷ＆ＣＣＣ: 日本プロファイル研究所

http://timetide.way-nifty.com/jprofile/2013/07/post-07d0.html

ＰＣＣＷ＆ＣＣＣ
カルチュア・コンビニエンス・クラブ（株）H19有報時の役員抜粋
取締役	日下孝明　サンレジャー：港区参照　ご近所シリーズ０５参照
　
取締役　喜吉憲　Ken Kiyoshi
国際基督教大学出身
1971年4月-（株）日本興業銀行 入行
1997年4月-同行 香港支店長兼IBJ Asia Limited 副会長
1998年3月-日本パシフィックセンチュリーグループ（株）代表取締役
2003年4月-カルチュア・コンビニエンス・クラブ（株）顧問
2003年6月-同社 常務取締役
2004年6月-同社 代表取締役副社長 管理部門管掌
2006年3月-同社 取締役管理本部長
2006年7月-同社 取締役社長補佐
　
取締役　三木谷浩史 三極委員会メンバー
取締役	角川歴彦
取締役	奥谷禮子
　
■考察
国際基督教大学出身といえば、神政連の一押し→有村治子議員
→（公財）ドナルド・マクドナルド・ハウス・チャリティーズ・ジャパン 理事
ＰＣＣＷといえば→パシフィックセンチュリープレイス丸の内

日下孝明はワンダーコーポレーション代表というより

TSUTAYAの元社長と書いた方がわかりやすいか。

パナマ文書に日本の政治家はいないという話が独り歩きしていたが、

ほらほら、やっぱり出てきた。

自由民主党公認参議院比例区当選・第2次安倍改造内閣・

消費者及び食品安全担当大臣兼規制改革・少子化対策・

男女共同参画担当大臣有村治子の名が。

だがこの人とパナマとの関係性を考えるにはさらなる調査が必要。

不逮捕特権を持つ人物相手の捜査となると特捜以外に考えられない。

それはそうと、パナマ文書のKen Kiyoshiが支配する

ペーパーカンパニー(バージン諸島)のひとつに

CCCW Japan Limitedがしっかり入っている。

CCCW Japan Limitedの資本の源はもちろんCCCW Limitedだ。

PCCW Japan Limited | ICIJ Offshore Leaks Database
https://offshoreleaks.icij.org/nodes/131516
Ken Kiyoshi | ICIJ Offshore Leaks Database
https://offshoreleaks.icij.org/nodes/117463
PCCW Limited | ICIJ Offshore Leaks Database
https://offshoreleaks.icij.org/nodes/294534

ここまで出ると香港の件の華人とそれに連なる日本資本は

クロ判定するしかないのではないか。

ここまでのまとめ

グローバル企業ソニーの系列傘下の芸能イベント会社の所在地は、

パナマ文書の課税回避顧客の所在地と同一。

そしてその所在地にいるとされる人物Ken Kiyoshiは

楽天の三木谷浩史、角川グループの角川歴彦らと役員を務め

日本政界とも関係があるかもしれないＰＣＣＷ役員＆ＣＣＣ顧問の名前と同一。

Permalink | 記事への反応(0) | 06:11

2016-05-14

■パナマ文書乙

http://anond.hatelabo.jp/20160510063734
SKYTECH TECHNOLOGIES LTD

きょうはこれについて報道目的で解析する。

以下関係部分を抜粋・一部訳。

"address":"SHOJI AIHARA 1243-52; KANASAKI; SHOWA KITA-KATSUSHIKA; SAITAMA JAPAN",
アイハラショウジ相原商事?
日本埼玉県北葛飾郡庄和金崎1243-52(旧地名)
internal_id":"304774"　内部識別番号304774
"jurisdiction":"NIUE" 管轄:ニウエ
"struck_off_date":"13-MAY-2002", 2002年 5月13日凍結
"service_provider":"Mossack Fonseca" 仲介者:モサック・フォンセカ
"countries":"Japan",　国:日本
"valid_until":"The Panama Papers data is current through 2015",有効期限パナマ文書データ 2015年時点有効
"ibcRUC":"004893",カテゴリーibcRUC? 004893
"original_name":"SKYTECH TECHNOLOGIES LTD.",
正式名スカイテックテクノロジースレイテッド
"name":"SKYTECH TECHNOLOGIES LTD."　氏名,スカイテックテクノロジースレイテッド
"country_codes":"JPN",国番号 JPN(日本)
"inactivation_date":"20-MAY-2002", 凍結2002年 5月20日
"incorporation_date":"13-SEP-1999",　設立 1999年 9月13日
"node_id":10193590},　ノード ID 10193590
"id":169991, 識別番号169991
"type":"intermediary_of",　分類　仲介者
"source":215429,　ソース 215429
"target":193714,　ターゲット 193714
"id":11000940,識別11000940

SKYTECH TECHNOLOGIES LTDはおそらくペーパー企業の会社名

日本法人とされるアイハラショウジ(相原/藍原/粟飯原/愛原/商事)も

おそらく仮想名。どこかの会社の役員の名前か、完全な偽名の可能性もある。

日本埼玉県北葛飾郡庄和金崎は旧住所で

現在は日本埼玉県春日部市金崎1243-5と思われる。

埼玉県春日部市金崎1243-5は実在住所だが

あたり一帯は標準所得か、標準よりやや高い程度所得層が持つ低層住宅地。

おそらく課税回避しようとしている企業役員か、

あるいはその役員の親戚の自宅かもしれない。

もちろんまったく無関係の住所である可能性もある。

設立は1999年 9月13日となっているが、口座開設という意味なのか

実体会社設立と同一日なのかはなんともいえない。

ニウエはペーパー企業の仮想所在地。

2013年現在のニウエの総人口は1,229人で、世界最小規模の独立国家。

現地調査が極めて困難なタックスヘイブンのひとつ。

アジアでは日本を含め7か国しか外交関係がない。

国営ホテルが台風でつぶれるような小さい村のような島国に

グローバル企業の実体会社があるはずがないので

ペーパー企業であることは確定的。

ニウエは最近まで日本と国交が無かった。

が、第3次安倍内閣が国家承認をしたため現在は公式外交国。

口座所有者はそういう外交事情に詳しい関係者かもしれない。

ちなみにニウエはインターネットでは300万ページものアダルトページを有する

世界最大規模の事実上のアダルトドメインらしい。

だとするとアダルト関係企業のオフショアか？

なお、スカイテックという企業が日本にはかつて存在した。

設立は2004年なのでパナマ文書の設立年と矛盾する。

ただ、オーナーの星出茂治をウィキペディアで検索すると

スカイテック株式会社設立者でアダルト DVDをとり扱う

株式会社ハウルを2006年株式取得、とある。

星出氏ならば仕事上、ニウエが事実上のアダルトドメインだ

という事実は知っていても不思議ではない。

だがそれとパナマ文書の会社と関係があるかどうかは現時点では不明。

今後の実体調査を待つしかない。

｢パナマ文書｣等のオフショアリークデータの閲覧はこちら

ICIJ Offshore Leaks Database
https://offshoreleaks.icij.org/
SHOJI AIHARA | ICIJ Offshore Leaks Database
https://offshoreleaks.icij.org/nodes/11000940
https://offshoreleaks.icij.org/nodes/10193590

租税回避企業の商品は徹底的に不買したい

Permalink | 記事への反応(0) | 13:05

2016-04-26

■anond:20160426124418 続き

プレビューまでは全文見えるんだけどな。すまんやで。しかもまだ続く anond:20160426150324

anond:20160426124418 の続き

おそらく、上記のサービスを使っているシステムのうち、この問題のせいで悪用可能なものは多数あることと思います。特にデスクトップアプリでは、コンパイルされたアプリのバイナリから秘密情報がそのまま取り出せることは、サービス側で何も危険なことを要求していなくてもよくあります。Google が OAuth の使い方を多数提供しているうちで、client_secret と redirect_uri を両方受け取るエンドポイントのことが書いてあるのはたったひとつだけだというのは重要な点です。少なくとも Google の場合、redirect_uri があっても、このエンドポイントをウェブブラウザベースのアプリには推奨していません。しかし、だからといって実際に独自ブラウザでそれを使う人や、このフローを標準的なブラウザ用のエンドポイントにコピーする人が一切いなくなるはずがありません。それに加え、Google は例外なのであって、世の中にはセキュアな OAuth フローを受け入れず client_secret (や同等品) を常に渡すよう要求する愚かなサービスが今も満ちあふれており、そのフローがウェブブラウザを通るときでさえも要求しているのです。さらに悪いことに、こうしたサービスの多くはユーザのウェブブラウザを通して「しか」利用できないのですが、これは後ほど詳述します。

前掲のセキュリティ文書は、アプリの認証情報 (client_id と client_secret) を盗んだ人ができる悪行にいくつか言及しています。以下に、この攻撃と組み合わせることで (これまで筆者の知る限り公表されていない) 危険行為を実行可能にする問題をいくつか取り上げます。さらに皆様の独創性にかかれば、「秘密」のはずのものを盗んだ人が悪用できる方法は他にも発見できるはずです。

セキュアでないトークン

トークンベースの認証は多くの開発者にとって新しい概念です。そのため誤解も多く、EVS のようなものを設計する開発者の中にも、ただ何かの設計ガイドライン (たとえば OAuth) に従って API の動作を決めれば、あるいは他のプラットフォームのしていることをコピーすれば、自分のプラットフォームも自動的にセキュアになるはずだと考える人が少なくありません。しかし何かをセキュアにするには、その要素ひとつひとつを余さずセキュアにする必要があり、それらの組み合わせすべてをセキュアにする必要があり、全体の枠組みもセキュアにする必要があります。思い出してください、全体のセキュリティ強度はその弱点の強度に等しいのですから、何らかの大まかなフレームワークを固守することだけに頼りきって、その通りに使う限り何をやってもセキュアだ、などと安心するわけにはいきません。OAuth ベースのフレームワークそれ自体は、その内部要素のセキュリティを確保することに関しては殆ど何もしてくれません (ある種の要素で、あからさまにセキュリティを害するものだけは別)。

トークンベースのシステムで少しでもセキュリティらしさを出すには、最低でもトークン生成に暗号学的にセキュアな擬似乱数生成器 (CSPRNG) を使う必要がありますが、この話題はあまりよく理解されていません。さらに悪いことに、一般的なスクリプト言語の適切な CSPRNG 用 API は非常に少なく、しかしそうしたスクリプト言語が、人気ある最新サービスの多くを設計する際の基礎となっていることが多いのです。

もし生成されるトークンが予測可能であれば、攻撃者はトークンを推測するだけで別のユーザになりきって悪意ある行為をすることができてしまいます。筆者は、fortune 500 クラスの大企業による OAuth ベースなサービスが一種の単調増加 ID (おそらくデータベースのフィールド？) をそのままトークンに使っているのを見たことがあります。他にも、生成されるトークンがすべて単調関数の出力のようなサービスもありました。よく調べてみると、それは現在時刻に基づく非常に単純なアルゴリズムでした。こうしたシステムでは、まず自分としてログインし、現在のトークン ID を見て、その後の ID を予測すれば、続く任意のユーザになりかわってトークン交換その他の操作にそれを使うことができるでしょう。他のテクニックと組み合わせれば、もっと標的を絞った攻撃も可能です。

このクラスの攻撃は前述のセキュリティ文書で「4.5.3. オンライン推測による新規トークン取得の脅威」や「4.6.3. アクセストークン推測の脅威」に分類されています。この問題には解決策があるとはいえ、現時点でこの間違いを犯しているサービスの膨大さと、この間違いの犯しやすさを考えると、任意の OAuth ベースなサービスが外部レビューでセキュリティを証明してもらえる可能性はあまり高くありません。

本欄の主眼ではありませんが、乱数に対する攻撃の中には、セキュリティを固めた CSPRNG を使っていないと OAuth ベースのサーバを完全に破壊してしまえるものもあります。こうした問題は他のシステムでも非常に困ったものではありますが、動作のすべてが乱数のやりとりの上に成り立っている普通の OAuth 実装では、より一層この問題が際立ちます。こうしたトークンは EVS のサーバ側で生成され、「普通の実装における」OAuth がよくやる使い方ではサーバの信頼性を奪い、関連するトークンすべての予測可能性を高めていきます。最新の攻撃手法を防げるセキュリティ強化 CSPRNG が用意できないのであれば、もっとハードルの低い別のプロトコルに乗り換えたほうが良いでしょう。

一方、一部の OAuth ベースの実装は乱数の必要性をクライアント側に移すような構造になっていることも注目しましょう。色んな意味で、これは問題を別の場所に移しただけではありますが、サーバ側のアタックサーフィスを減らすのは事実です。これによって、少なくとも情報強者な利用者は、信頼できるサービスをセキュアに使うことが可能になります。ただし情報弱者は脆弱なまま放置ですが。今回の例に当てはめてみると、この種のセットアップでは AFCP の開発者が頑張って EVS をセキュアに使えるようにすることと、EVS 自体が陥落する危険を回避することは可能ですが、ABC や XYZ が EVS をセキュアに利用するかどうかは別問題です。

クロス サイト・リクエスト・フォージェリ (CSRF)

本論に入る前に指摘しておきたいのですが、CSRF 攻撃はその名前に反して、外部サイトからスタートする必要はありません。CSRF 攻撃というのは、自サイトへのリンクをユーザが貼れる、掲示板やメッセージングソフトのようなサイト自体からでもスタート可能なのです。

色々な手法で CSRF に立ち向かうべく設計された数々のテクニックやフレームワークがあります。これらのシステムの多くは、OAuth ベースのものと統合すると使いものにならなくなったり、サイトを攻撃にさらしかねない行為を促すことがあります。

CSRF を防止するひとつの仕組みとして、ブラウザから送られる referer (原文ママ) が外部サイトを指していないことを確認するというものがあります。多くの OAuth 実装はユーザを特定の外部サイトから連れてくるよう要求しますから、この防御策は執行できません。OAuth サーバがリダイレクトする膨大なサードパーティのドメイン、また関係する URL やドメインの完全なリストは明文化されていないうえに折々で変更があるため、EVS のドメインとページ全体をホワイトリストにするのは不可能です。

また、EVS の提供者が寝返って AFCP を攻撃しようとする可能性がないかどうかも検討する必要があります。OAuth の背後にある原則のひとつは OAuth ベースのサービス側が利用者を信用しないことです、しかし同時に、利用者側には CSRF 回避策を見なかったことにしてサービス側を完全に信用することを要求しています。理想の認証システムというものがあるとすれば、一方通行ではなく相互レベルの不信を確立するでしょうに。

転送元と転送先のどちらかだけの、部分的なホワイトリストというのも難しいことがあります。使っている CSRF 対策フレームワークによりますが、機能のオンオフに中間がなく、特定のページや転送元だけを無効にすることができないかもしれないので、その場合 EVS 利用者は CSRF 対策フレームワークを一切使用できなくなります。

OAuth は CSRF 攻撃を防ぐ CSRF トークンを指定するようにと、オプショナルな state パラメータを定義しています。しかしながら、OAuth ベースのサービスは一般的に state の長さや文字種を制限し、要求どおりそのままで返さないことがあるようです。そこで、おかしな互換性問題が起こるため、多くの OAuth ベースサービス利用者はリダイレクトのエンドポイントにおける CSRF 防御をすべてオフにせざるをえない状況に追いこまれています。これは「10.14. コード・インジェクションと入力バリデーション」に分類されています。state パラメータの別の懸念は、EVS 側で state にアクセスのある人はだれでも、リクエストを改竄して、それ以外はまったく有効なままのパラメータを付けて AFCP にブラウザを送り返すことができるという点です。

OAuth ベース API の利用者は、自分のアプリやサービスを登録する際にひとつか複数の URI をカッチリ決めておくよう求められるという制限も課せられています。これは redirect_uri に使えるホワイトリスト URI です。この仕組みにひそむ重大なユーザビリティ問題は後述するのでひとまず措くとして、この制限のせいで開発者は、state パラメータや他の潜在的に危険の伴うアイディアで姑息な工夫をこらし、泥沼に沈んでいくはめになっています。多くの OAuth ベースなサーバは、ホワイトリスト URI をひとつしか許可していなかったり redirect_uri との完全一致のみ有効でパラメータの追加を認めなかったりしています。このせいで開発者たちは CSRF 対策フレームワークの利用をやめたり、あらゆる危険なものを state パラメータに詰めこもうとし始めたり、浅薄なシステムを自前で作り出したりしています。その結果、redirect_uri と state の組み合わせによってはユーザを不適切なページに誘導する危険性が出てきます。これは「10.15. オープン・リダイレクト」に分類されます。

こうしたリダイレクトの問題は、パラメータをしっかり認証していないせいで、それ自体が悪用可能なのですが、これを前述の「OAuth サービスへの偽装」問題と組み合わせるとユーザに大惨事をもたらしかねません。盗んだ client_id と client_secret を使えば、悪いやつらは AFCP とまったく同じ情報で認証できるので、本物の AFCP にも見ぬけないようなリダイレクトを作ることができます。また、悪意あるユーザも、本来自分の持っていない AFCP 内の権限を取得するような state パラメータの利用方法や改竄方法を見つけることができるかもしれません。その際には、おそらく盗んだ認証情報も使うことでしょう。概して、「普通の実装における」OAuth の低品質な設計のせいで、また特定の分野に関する教育レベルが低い外部開発者の直面する問題のせいで、OAuth ベースの利用者に対する攻撃はしばしば、本来あるべき状態よりもずっと容易になっています。

ここで読む意義のあるものとして、さらに「3.5. リダイレクト URI」「3.6. state パラメータ」「4.4.1.8. redirect-uri に対する CSRF 攻撃の脅威」があります。

章のまとめ

セキュリティに関して言えば、「普通の実装における」OAuth の仕事ぶりはとてもひどいです。OAuth が目指していると思われるセキュリティ目標の多くは、達成されていません。さらに、OAuth ベースなサービスの中には、種々の攻撃に対して無防備でいることを利用者に公然と要求するものがあります。サービスをセキュアに使える場合も、そのことが知られているとは限らず (サービス側の、トークン生成手法といった重要なセキュリティ詳細が明文化されていないうえにクローズドソースなため)、OAuth は今なお多くの低品質なプログラミング習慣を招いています。OAuth は外部の開発者を守る点でほとんど何もしませんが、そうした開発者が使っている各種フレームワークの方はといえば、こちらも真のセキュリティを提供していなかったり、厳しい自制と注意がなければセキュアに使えなかったりする代物です。

この記事についていえば、個人的に蔓延していると思った問題の一部を取り上げたものに過ぎません。この中には、極度に低質な、一切 OAuth の規格で義務付けられていない慣習を、他所で OAuth に使っているのを見たまま開発者がコピーした結果というものもあります。

OAuth ベースのサービス開発者もその利用者側の開発者も、OAuth ベースのプラットフォームを実装したり利用したりするためには、ここでリンクした文書をすべて読んで理解する必要があります。挙げられている 50 クラスの攻撃も、各クラスの深刻度も完全に把握する必要がありますし、そのうえで「実装の仕様書やセキュリティ・ガイドラインには漏れがないとは限らない」ことにも留意すべきです。この記事は公式文書にない問題をいくつか取り上げているとはいえ、OAuth セキュリティ問題の表面をなでているに過ぎないことも覚えておくべきです。ここに混ざって、公式 OAuth 提案に加えられる変更点はどれもまったく新たなセキュリティ問題を引き起こすものですが、残念ながら変更はよくあることなのです。そこで各々が、乱数生成やセキュリティ調査技術といった OAuth 以外のセキュリティ関連分野も理解していなければ、OAuth でそれなりのレベルのセキュリティを実現することはできません。

真のセキュリティをお探しの方には、よそを探すようお勧めします。最後の章で OAuth の代わりになる選択肢をいくつか取り上げます。

ユーザビリティ関連

(略: ふつうの実装では、サービス側がプラグを引き抜くようにして自由に利用者を出禁にできる。ビジネス的にもまずいし、悪意あるユーザが API 利用者を騙って出禁になるとアプリへの DoS になる。)

(略: サービス側からは API 利用者という大きすぎる単位でしか見えないので、たとえばビデオカメラのアプリ単位で利用帯域などを制限せざるを得ないが、そうするとそのビデオカメラは、一部ヘビーユーザのせいで他のユーザが締め出される事態になる。OAuth 以外のサービスならふつうユーザ単位。対策としてユーザに開発者アカウントを取得してもらうのも面倒すぎる。ていうか手動プロセスを挟んでたり。)

(略: ふつうの実装は SaaS モデルしか見ていないので、URI を持たない AFCP のような社内ソフトや、ビデオカメラのようなデスクトップアプリには使えない。アプリが cURL 的なもので API を叩こうとしても、JavaScript が必要だと言い張るサービスもある。グローバル企業が地域別にドメインを分けていたら URI が足りない。客ひとりひとりにサブドメインを与える製品だと URI が足りない。足りるとしても追加・更新がメタ API で簡単にできない。ひとつの URI ですべてのリクエストをこなすのはセキュリティ問題もあり、ロードバランス等の必要性も出るし、社内ソフトやデスクトップアプリに余計なウェブサイトへの依存性を加えることになる。http サーバをlocalhostで立てるとかアホか。)

(略: オープンソースにしづらい)

(略: トークンが定期的に期限切れになるので可用性が下がる。たとえばビデオカメラから複数の動画をアップロードしている途中で切れたらムキーってなる。再認証して途中からできるのもそれはそれで CSRF の温床。AFCP のような場合は期限切れがあってはならないので、パスワード等を預かる認

Permalink | 記事への反応(2) | 14:55

■OAuthのことを1ミリも知らない俺が

OAuth ディスの記事を酒の勢いで訳してみたゾ。前半はつまらないから、「章のまとめ」か、それ以降だけ読むといいゾ。なぜか後半が切れてた。こっちだけでいいゾ anond:20160426145507 anond:20160426150324

http://insanecoding.blogspot.com/2016/04/oauth-why-it-doesnt-work-and-how-to-zero-day-attack.html

OAuth がうまくいかない理由と、既存サービスのゼロデイ攻撃 方法

OAuth とは

認証 (authentication: 本人確認) と承認 (authorization: 権限付与) のシステムを設計し、API を規定し、複数の異なるシステムを統合するために用いられる提案をまとめたものです。

OAuth には色々な種類があり、version 1.1a や 2、その各部の上に他の規格を乗せたものなどが存在します。世の中に出回っている数々の実装によって、具体的な利用状況は大きく異なります。

おことわり

前にも OAuth について書いたことがあり、たくさんの反響をいただきました。前回の記事に対する批判の一部を避けるため、今回の記事について先に断っておきたいのですが、この記事は OAuth の使われる典型的な場面に焦点を当てており、論じられる点のほとんどは、何らかの方法で OAuth を利用する大手サービスのほとんどすべてに当てはまるということです。

言いかえると、OAuth を用いているあらゆるプラットフォームが壊れているとは限りません。OAuth にはバリエーションが多いうえに、2.0 だけに限っても 76 ページに渡るパターンがありますので、OAuth に基づいた何かに適合していながらもセキュアであり、使っても問題ないものは存在しうると言えます。ですから、あなたのお気に入りの OAuth 実装や設計が、ここで論じられる問題の一部または全部を免れていることもありえます。確率は低いですが。

また、OAuth を使っているものの中には規格を誤用しているものがあるとか、OAuth はその使い方を強制しているわけではないとか言う人もいるかもしれません。どちらにせよ、ここでは特定の OAuth ベースの規格について述べるのではなく、現状で大手が OAuth をどう利用しているかについてを、それが規格に適っているかどうかに関わりなく論じるつもりです。こうすることで、多くの読者に影響を与えることになるでしょう。危険な方法で OAuth を使っているサービスの利用者であっても、また自ら OAuth ベースのサービスを管理していて、他のみんなが作っているのを真似てプラットフォームを作ろうと思っている人だとしても関係があるのです。

記事の構成

この記事は長くなりますし、言ってみればほとんどの章はそれ自体でひとつの記事として十分なほどの話題を扱いますので、大まかな流れをご説明しておきましょう。

この記事は、現在 OAuth 業界でおこなわれていることを調査した結果のまとめです。OAuth を使う製品のすべてにこの記事のあらゆる点が当てはまるというのではなく、危険だったり無価値だったりするサービスの背後に見つかった慣例や根本原因を紹介する記事です。

この前書きのあとは、まず OAuth のセキュリティ欠陥を分析することから始めるつもりです。こうした欠陥の中には、セキュリティのコミュニティでよく知られていて、書籍などですでに分析されている一般原則が当てはまるものもあります。しかしこの記事では書籍化されていないケースも扱いますし、有名な欠陥についても、平均的な開発者および責任者に理解しやすく、対策の必要性がはっきりするように工夫するつもりです。

その後は、OAuth の主要素が一般的に言ってどのように実装されており、そうした普通の実装がどのようにサービスを使いものにならなくするのか、すなわちそのサービスで達成できることを極度に、不適切に、かつ意図に反して低下させてしまうのかを分析します。ごく一部のケースでは回避策の足がかりになるかもしれないテクニックについて論じますが、そういうのを実装する馬鹿らしさにも注目します。こうした記述の中では繰り返し何度も、OAuth を使う人たちがどれほど自分と自分のビジネスにとって損なことをしているのかが説明されます。

最後に、OAuth が適切に使われうる数少ない場面と、すでに利用されている OAuth の代替品を簡単に取り上げます。代替技術に関する調査の結果を提供するつもりですが、その中には Amazon のような大企業がセキュアで使いやすく信頼性の高い API を実現するために何をしているかの報告も含まれるでしょう。

責任ある情報公開

いま普通に使われているかたちにおける OAuth の欠陥の幾つかを悪用すれば、大手サービスに対して強力な攻撃を仕掛けることができます。OAuth に対する攻撃は何も新しいものではありません。IBM や Oracle を含め、懸念した IETF メンバーが OAuth ベースのサービスに対する攻撃を 50 クラスも記述した 71 ページもの文書を 3 年以上前に出したように、また筆者も前回の記事でこうした点のいくつかを議論したようにです。それにも関わらず、OAuth ベースのシステムの主要なセキュリティ欠陥は非常に蔓延しています。

筆者は、いくつかの大手企業の役員や開発者に、そこの OAuth ベースシステムが抱えるセキュリティ欠陥を指摘したことがあります (そのうちのひとつは 4 年前のことです) が、全員、自社システムを修正するために一切何もしませんでした。まるで、OAuth の人気度からして、他の現実的な解決策をひとつも聞いたことがなく、それゆえに OAuth が最もセキュアな選択肢に違いないと決めてかかっているようです。どうも、OAuth のコア原則に対する攻撃のデモを文書化した情報も、聞いたことがないか、肩をすくめて無視するかしているようです。そこで、この情報をもっと広く拡散することによって、影響のある人たちの尻を蹴りとばしてあげたい、そしてサービスを設計あるいは管理している人たちにモーニングコールの役割を果たしてあげたいと願っています。

というわけで、OAuth ベースの何かを提供あるいは利用するご自分のサービスを調べて、こうした欠陥の一部あるいは全部が存在することに気づいたなら、どうぞ責任をもってこの情報を取り扱ってください。ご自分のサービスを適切にアップデートしたり、関係する問題に対応するようビジネスパートナーに適切な圧力をかけたりしてください。

ここで言及されている情報やリンクされている情報は今のところ既存のサービスに悪用できるかもしれませんが、どうぞ責任ある行動をとり、他人のものを破壊するのではなく改善することを目指してください。この記事は、自社サービスを不適切に実装している人たちへのモーニングコールのつもりで、その改善を促すために書いているのであり、悪用したがっているハッカーたちのハウツーもののつもりではないのです。

想定する利用形態

この記事では、ふたつのシナリオに注目して、その場面でどのように OAuth が組み合わされているのか、そしてなぜうまくいかないのかを検討します。記事を通して何度もこれらのシナリオに戻ってきますので、頭に入れておくことは大事です。

まず、Exciting Video Service (略して EVS) というサービスを思い描いてみましょう。ユーザが動画をアップロードしたり友人と共有したりできて、完全公開にしたりアクセス制限を設定したりできるようになっています。また EVS は動画のアップロードや削除、およびだれが視聴できるかの権限管理に OAuth ベースの API を提供しています。

ただ、例としてこの想像上のサービスに焦点をあてますが、論じられる問題はあらゆるサービスにも当てはまります。ファイルであろうと文書ストレージであろうと、カレンダー管理やオンライン会議、ディスカッション・グループ、はたまたリソース管理であろうと OAuth ベース API を提供する他のいかなるものであろうとです。また、筆者は本当にどの特定の動画サービスのことも言っていないということを覚えておいてください。問題点の一部あるいは全部は、OAuth を使っている既存の動画サービスに当てはまるかもしれませんが、EVS がそのサービスのことを指すわけではありません。どれが当てはまるかは読者への練習問題ということにしてもいいですね。

ひとつめのシナリオとして、ビデオカメラの製造会社を想定しましょう。そのビデオカメラには、録画した内容を EVS にアップロードする機能のあるソフトウェアを付属させたいと思っています。つまり、ユーザがビデオカメラを自分のコンピュータに接続して、その独自ソフトウェアを開き、ビデオカメラからアップロードしたい動画を選んでしばらくすると、それが EVS にアップロードされているというものです。

ふたつめのシナリオとしては、ある中小企業が職員用に EVS で 50 アカウントを購入し、全職員が動画をアップロードして同じ部門の職員と共有できるようにする、ということにしましょう。この会社は A Friendly Custom Platform (AFCP) というソフトウェアで職員と所属部門の管理をしており、この AFCP サービスを EVS に統合したいと考えています。望んでいるのは、管理者が AFCP を使ってだれかを営業部門に配置したら、その職員が自動的に営業部門のメンバー所有の動画すべてに対するアクセス権を取得するということです。営業部門からいなくなった人には逆のことが起こるようにもしてほしいと思うはずです。

問題点

セキュリティ関連

認証情報の盗難 / アクセス権の詐称

トークンベースの認証システム (OAuth のコア) が現在よく利用されている最大の理由のひとつには、「適切に実装されれば」サードパーティのアプリやサービスに各ユーザの認証情報 (パスワード等) を提供しなくて済むという点があります。サードパーティに個人ユーザの認証情報を渡すのは、以下の理由から望ましくありません:

必要以上のアクセス権をサードパーティに与えることになる。
認証情報を格納する場所が増えるということは、盗まれる危険が増える。
パスワード等を変更したときに API 利用者側でも更新が必要になる。
ひとつのアプリだけでアクセス権を破棄することが難しく、全アプリで破棄することになりやすい。
特別な認証要素を使っていると、制限が多すぎる。

上記の問題点は、OAuth だけでなくあらゆるトークンベースの認証システムでも回避できます。よく OAuth の強みとして挙げられていますが、独自というわけでは全然なくて、他にも同じ強みを実現しつつ OAuth の弱点のない選択肢はあるのです。

さて、確固とした土台に基づいてはいるものの、「普通の実装における」OAuth は、上記の問題を回避しようとして以下のような手順に沿ってシステムに情報を提供します:

ユーザがサードパーティのアプリ/サービス (たとえば AFCP) を訪ねて、特定のサービスと統合したいことを知らせる。
AFCP は、EVS でホスティングされた特別なログインページを出してユーザに EVS の認証情報を入力させる。
EVS は、その指定したアクセスレベルをユーザが本当にサードパーティ (AFCP) へ与えたいのか確認する。
EVS は AFCP に一種のトークン (複数の場合もある) を提供し、各種 API コールに使えるようにする。

このトークンはユーザの認証情報ではありませんから、そしてひとりのユーザとひとつのアプリの組み合わせだけに有効で、指定された権限しか持たず、あとから破棄されるようになっていますから、きちんと前述の問題点を回避しているように思えます。しかし実際には、ちゃんとした土台を核として持っているにも関わらず、OAuth の普通の実装で使われているこのフローは、上に挙げた問題すべてに対処しているとは言えません。

この設計はそもそも危険なスタート地点から始まっています。セキュアなプラットフォーム設計の第一原則は、危険な地点から始まったものは既にダメ、逆転不可能、ということです。手順 1 のせいで、EVS 自体ではなく EVS を利用するサービスから始まっているので、ユーザは最初の一歩からして中間者攻撃を受けたような状態にあります。これは、かかってきた電話に個人情報や口座番号などを教えるようなもので、自分の使っているサービスの者だと名乗っていますが、番号が本物かどうか分からなかったり非通知だったり、という場面のコンピュータ版だと言えます。最近はこういう詐欺がたくさんありますから具体例を挙げる必要はありませんね。要点は、接続を開始する相手が信用できなければ、その接続は一切信用できないということです。EVS 自体の側から手順を始めるのでない限り、上に挙げた目標をすべて実現する API 利用のためのセキュアな認証システムは設計不可能です。

(略: 手順 2 で、それっぽいページに誘導すれば認証情報を盗める)

(略: そうした詐欺を企業自体が後押ししているような風潮もある)

(略: スタンドアロンのアプリなら、ログインを詐称する必要すらない)

この種の攻撃は前述のセキュリティ文書で「4.1.4. 脆弱性を突かれたブラウザや組み込みブラウザを使ったエンドユーザ認証情報のフィッシング脅威」として分類されています。提案されている解決策は？

クライアントアプリがユーザに直接認証情報を求めることは避けるべきだ。加えて、エンドユーザはフィッシングや良い習慣について教育を受けることもできる。良い習慣は、たとえば信用できるクライアントにしかアクセスしないことだ。OAuth は悪意あるアプリに対していかなる防御策も提供していないので、エンドユーザはインストールするネイティブアプリすべての信頼性に自分で責任を負う。

さらに

クライアント開発者は、ユーザから直接に認証情報を集めるようなクライアントアプリを書くべきではなく、システムブラウザのような信用できるシステムコンポーネントにこの役目を移譲すべきだ。

基本的に言って、OAuth のセキュリティガイドラインは、OAuth を利用する開発者がユーザを攻撃しようとすべきではないとか、悪いことをしてはならないと言っています。外部の開発者が悪いことをしないことに頼るというのは、正気のサービス設計者が依拠するセキュリティモデルではありません。

私の知る主要な OAuth ベースのサービスはほぼすべて、ここに概説した手法で攻撃可能です。

OAuth こそセキュリティの新たな金字塔だとお考えの皆さん、目を覚ましてください！「普通の実装における」OAuth は、始まる前から負けていますよ。OAuth が存在するよりずっと前に実装された数多くのシステムはセキュアで、この問題を効率的に回避しています。残念なことに、あまりに多くのサービスが、せっかくセキュアだったのにインセキュアな OAuth モデルに移行してきました。だれかが開発者や管理者に「OAuth はもっとセキュア」「先取り思考」「将来への投資」とか何とか素敵な (しかし具体性の皆無な) バズワードを並べたてたからでしょう。ほとんどの場合、こうした変更は本当に既存の問題に対応しているのか、あるいは以前のシステムより幾らかでも良くしてくれるのかどうかをレビューすることさえなく実装されています。

OAuth サービスに偽装

OAuth ベースのサービス設計でよく見かける間違いは、ブラウザ用に、パラメータのひとつとして client_secret (あるいは同様のもの) を受け取るエンドポイントを提供することです。OAuth の client_id と client_secret パラメータは、基本的に言ってサードパーティのプラットフォーム固有の API ユーザ名とパスワードと等価ですから、EVS の API を利用する開発者だけにしか知られるべきではありません。パスワード同然のものなのですから、client_secret パラメータは「絶対に」ユーザのブラウザを通して送信すべきではありません (ヒント: パラメータ名の中に secret という言葉が入っているよ)。アプリやサービスのユーザがその client_id と client_secret を見つけることができる場合、そのユーザはそのサービスのふりをすることができ、潜在的には何かイケナイことができてしまうということになります。さらに注意すべき点として、client_secret パラメータを別の名前にするサービスもありますから、ご自分の関係するサービスをよくチェックして、他のパラメータも秘密にする必要があるのかどうかを調べてください。残念ながら、重要な変数が自分の素性をいつも表に出しているとは限らないため、この問題は意外と多く存在しています。加えて、client_id だけ使う認証フローを OAuth の上に乗せるサービスも出てくるでしょう。これには用心してください。特定の状況では、そういう client_id はまさしく client_secret 同然の働きをするのですから。

「普通の実装における」OAuth は、ウェブブラウザを使ってユーザを複数のウェブサイトに移動させるわけで、ひとつのサイトから別のサイトに client_id と client_secret (あるいは同様のもの) を送ってもらう必要があります。そうやって、たとえば AFCP と EVS の間でこれらをやりとりするわけですから、ユーザがブラウザの HTTP ログをモニタリングすれば、本当に見えてしまいます。これはアプリに組み込まれた独自ブラウザ各種でも、単に右クリックすれば何らかのネットワーク・ログ機能を持つ何らかの inspector にアクセスできてしまう場合などには可能です。

EVS と連携した AFCP にこの欠陥があると、AFCP に少しでもアクセス権限のある職員に本来の権限より多い権限を取得させてしまい、本来アクセスできないはずのところに許可が下りてしまう危険があります。別の例では、仮に Facebook が GMail 用の OAuth エンドポイントを利用しているとして、client_id と client_secret の両方がブラウザを通して送信される場合、Facebook のユーザは全員 GMail に対して Facebook そのもののふりをすることができてしまうということです。

この問題は、OAuth エンドポイントがユーザのウェブブラウザから平文で client_secret を送ってくることを期待するときにはいつも存在します。あるいはそうする必要があると誤解した API 利用者が、埋め込むべきでないところに secret を埋め込むときもです。この脆弱性が存在している可能性が高いのは、エンドポイントが client_secret (または同等品) と redirect_uri の両方を期待する (あるいはオプションとしてでも受け付ける) 場合です。redirect_uri パラメータは、今回のケースで言うと EVS がユーザをログインさせたあとでそのブラウザをどこに送るべきか指示するために使うよう設計されています。そうやって redirect_uri がエンドポイントへの転送に使われている場合、その処理はユーザのブラウザで実行されることが期待されているわけです。主要な OAuth 文書はどちらも、client_secret と redirect_uri の両方をこうした用途に使うようなケースを指示したり求めたりはしていません。

ざっと検索してみたところ、残念なことに、潜在的に違反の可能性があるそういった OAuth ベース API がたくさん見つかります。Google は OAuth の色々な利用方法を提案していますが、その中に、両方を一緒に使うことを広めるフローがひとつあります:

client_secret: 開発者コンソールで取得したクライアントパスワード (Android, iOS, Chrome アプリとして登録した場合のオプション)

Citrix もこんな間違いをしています:

(略: 以下、実際に脆弱だと確認したわけではないが、secret と redirect を併記しているサイトが列挙されている。)

Google で 2 分検索しただけでこのリストができました。皆様がもうちょっと労力をかければ、ずっと多く見つかることでしょう。ただし、上記リストは、こうしたサービスのどれかが脆弱だとか、誤用しやすすぎるということを直接に示すものではありません。色々な要素があり、たとえば Zendesk は特にこのケースでは redirect_uri パラメータをリダイレクトに使わないと明言していますし、アプリからエンドポイントを呼ぶときはフル機能版ブラウザではなく curl を使うべきだとさえ書いて、開発者が危険なことをするような誤解を極力避けようとしています。それでも、経験の浅い開発者はこうしたエンドポイントを独自ブラウザで読もうとするかもしれません。さらに、この組み合わせが世に出回っているというだけで開発者の警戒心が下がっていき、経験を積んだ OAuth ベースのサービス開発者でさえも似たような状況で潜在的にヤバイ誤用を気にせず適用するようになってきています。特に client_secret が別の名前になって、「秘密を守る」という概念が失われている場合はそうです。

サービスがこの点に関して壊れている指標となるのは、人気のある複数の OAuth ライブラリがこのサービスでうまく動かないときです。そういうサービスは一般的にいって独自の「SDK」を提供しており、サードパーティの開発者が選んだライブラリではこのフランケンシュタイン的な OAuth が使えないと苦情が来たときにはその SDK を使うよう指示します。こうしたカスタマイズは気付かれないまま進行することも多くあります。開発者の大多数は、SDK が提供されているなら、わざわざ手元のソフトで頑張らずに済ませたいと思うものですから。

この種の攻撃は前述のセキュリティ文書で「4.1.1. クライアントの機密情報を取得する脅威」に分類されています。しかしサーバがウェブブラウザを使用を要求し client_id と client_secret (または似た用途のもの) を同時に渡させるという具体的な攻撃パターンには一言も言及がありません。おそらく、その文書の執筆陣の予想では、こんな馬鹿げたサービスはだれも設計しないだろうし、その API を使う開発者もそれを独自のウェブブラウザや SDK で使ったりはしないだろうと思っていたのでしょう。こうした開発者は OAuth の規格からバラバラに取り出した要素をグチャグチャに混ぜて接着しておいて、自分のプラットフォームが OAuth 本来のセキュリティを保持していると思っています。そのツギハギのせいでどんな新しい問題が入り込むかもしれないのに、そこは一顧だにしません。残念ながら、これが近年の OAuth 業界によくあるやり方で、この既に猛威をふるっている問題は、パレードの参加者がどんどん増えて、人が使っている手法や、使っている「と思う」手法をコピーしていくことで、とどまるところを知らない連鎖になっています。

前掲のセキュリティ文書は、 Permalink | 記事への反応(3) | 12:44

2016-04-24

■富士通を退職して思うこと

筆者は、新卒で入社した富士通を三年で退職した。

退職から一年が経過し、新しい職場（WEBベンチャー企業）での仕事に慣れたこと、

また、富士通の同期入社の友人から頻繁に転職の相談を受けるようになったこともあり、本エントリを執筆する。

はじめに、筆者の退職理由を簡単に述べると、富士通という会社に未来を感じなかったことと、やりたい仕事はできないだろうと判断したためである。

参考までに、筆者は公共機関向けのシステム開発部門に所属していた。

担当していた業務は様々で、小規模なシステム開発や、子会社・下請企業の管理であった。

１．成果主義を謳いながら実態は年功序列主義

富士通には、人材キャリアフレームワークという社員評価制度があり、現場には、入社何年目はこのレベルの仕事、といった暗黙の了解がある。

本人の能力や意欲とは全く無関係に、入社後の経過年数で、仕事の裁量の幅が大きく制限される。

このことはいわば、学習指導要領ならぬ、業務指導要領があるようなものだ。

このような枠組みや暗黙の了解が存在すること自体が問題なのではなく、その枠組から逸脱した人材を想定しない・評価しないことが問題なのである。

筆者がお世話になった優秀な先輩方は、この業務指導要領の要件を満たして手に余った人、

いわば天井にぶつかった人から先に、より大きな仕事がしたいという理由で辞めていった。

筆者もその一人である。

既存産業の大きな成長が望めなく、社員個々の多様性が重要視される昨今の経済情勢において、

高度成長期における横並び思想をもとの作られたやり方が未だに社内を謳歌しているのは時代錯誤というほかない。

富士通への提言として、これからの時代は、年齢も在籍年数も関係ない人材評価制度を作っていくべきである。

そして重要なのは、会社の既存事業でいかに利益を上げたかについての評価ウェイトを下げ、

いかに新しい発想で新しい事業を提案したか・実現したかという評価項目を設立するべきである。

なお、富士通には社内ベンチャー制度があるが、これはうまくいかない可能性が高い。

なぜなら、社内ベンチャーを承認するのは旧式の人材の典型例である高齢な経営層であるからだ。

いままで数十の社内ベンチャーの審査結果を見てきたが、彼ら経営層に事業の将来性を判断する能力はないと痛感した。

また、他の理由としては、富士通の既存事業と衝突すると社内ベンチャーが潰されるということがある。

将来性のない既存事業を残して、将来を託すべき社内ベンチャーを潰すという企業風土なのだ。

２．社内既得権益集団が絶対に損をしないルール

富士通という会社には多数の既得権益集団がいる。そして、社内のルールは彼らが決して不利にならないように作られている。

なぜなら、ルールを作る権限は、先頭を走る集団、1980年代に大成功を収めた既得権益層がガッチリ握っているからだ。

いわば、前を走る人を抜かしてはいけないレースのようなものだ。

このような出来レースで若手社員のモチベーションが続くはずはないことは明らかだ。

筆者は、決して年功序列主義を批判したいのではない。

既得権益層が年功序列を悪用して、部下の手柄を自分の手柄にし、部下の失敗を部下に押し付けている実態に対する批判である。

ノブレスオブリージュ、権利を有するものには義務がある、という思想がある。

富士通の既得権益集団には会社の技術力や社員を率先することで、企業としての地位を向上させていく義務がある。

実態は、社内の後進に抜かされることを恐れるあまり、後進の他社に抜かされている。

これでは既得権益集団が義務を果たしていないことは明らかだ。

ちなみに、この既得権益集団に有利なルールが生み出した現状については、

同じく富士通OBである城繁幸氏の著書「若者はなぜ３年で辞めるのか？」（光文社新書）が詳しい。

３．企業ビジョンを失った社員たち

経営学において「ヴィジョナリーカンパニー」という名著がある。

この本によると、会社が永続的に成長・発展していくためには企業理念（ビジョン）を社員ひとりひとりが持つことが必要不可欠であると指摘している。

富士通の企業理念は、変革に挑戦し続ける姿勢や、よりよいICT社会づくりに貢献することを掲げている。

しかし、富士通という会社の現状として、このヴィジョンを失っている社員、とくに管理職がとても多い。

30代を過ぎて会社に定住することを決めた社員に変革に挑戦しようという熱意ある人物はひとりもいなかった、

そういう人々にとってICTで社会づくりなどどうでもいいのだ。

ただ顧客の要求を聞いて、それを子会社や下請けに作らせて予算や利益を達成することにしか興味がない管理職が大半であった。

これでは富士通の企業理念など誇大広告もいいところである。

元GEのCEOであるジャック・ウェルチ氏は、たとえ成果を出していようと企業ビジョンを共有しないものはクビにしろと自著で語っている。

このポリシーを導入したら、富士通の管理職の80%はクビになるであろう。そのくらいに富士通の管理職は夢や熱意のない人物ばかりであった。

そのような人材が将来的に会社を破壊する、というウェルチ氏の指摘の正当性を、富士通という会社の惨状が示しているのは皮肉という他ない。

富士通への提言として、ウェルチ氏のやり方を実行すればよいのだ。

成果によって管理職のクビを決めるのではなく、ヴィジョンを共有できているかでクビを決めるのだ。

このやり方を実行すると既得権益を握って離さない経営層や管理職が一掃される。

既得権益にしがみつくだけの人物こそ、ヴィジョンを持たない人物である割合がとても多かったことを付け加えておく。

４．発展途上国レベルの業務標準化の原因

経営コンサルタントの大前研一氏は、日本の生産性がアメリカの半分しかなく、もはや発展途上国にすら負けていると指摘している。

その原因について、日本では業務標準化が全く進んでいないためであると述べている。

このことについてITベンダに勤めていた経験から詳解したい。

まず、マイナンバー関連のシステムを例に挙げる。

自分の住む自治体と異なる自治体のマイナンバーのITシステムを比較してみてほしい。

ここで、自治体が異なればITシステムも異なることに気づくはずである。

はたして自治体ごとに個別のマイナンバーシステムを作る必要があるのだろうか？

答えはもちろんノーである。全国どこでも一律の業務であるべきであり、同じITシステムを導入するべきである。

なぜ、各自治体ごとにITシステムがバラバラなのか。

その理由は業務標準化がなされていないためである。

自治体ごとに業務フローが異なるために、別のITシステムを使用した時に業務がこなせないという事態が発生する。

そのため各自治体が個別にITシステムをITベンダーに発注することになる。

そこでITベンダーは各自治体ごとに個別のITシステムを作ることになる。

ITベンダー側からすると一度作ったことがあるものをカスタマイズして、業務の順番を入れ替えたり、扱うデータを多少変更するだけで済む。

それなのに膨大な金額を請求するわけだ、ITベンダーとしてはボロ儲けである。

（なお、主要ITベンダー決算書を見ていただくとわかるが、ITベンダーの利益率が高いわけではない）

特に自治体のITシステムは国民の税金で作られているわけである。

各自治体は、このような現状を放置していて、国民に申し訳ないと思わないのであろうか？

このことは、決してITベンダーにのみ責任があるわけではない。

総務省が陣頭指揮をとって各自治体の業務標準化・統一化を進めなくてはいけないのに、それが全くなされていないのは監督官庁としての責任放棄である。

このように業務標準化が全く進んでいない現状は自治体に限らず、民間企業においても同様である。

会計パッケージにおいて、世界のデファクトスタンダードになりつつあるSAP導入に失敗する事例を数多く見てきた。

失敗する理由は、個々の企業の業務に合わせてSAPをカスタマイズしており、そのカスタマイズでは対応できない業務フローが存在するからである。

問題なのは、そのような業務フローは、決して必然的な業務ではなく、過去の慣習から存在しているだけであることがとても多い。

ここにおいて、ITシステムが業務に合わせるのではなく、ITシステムに合わせて業務の方を変えていかなくてはいけないのだ。

日本のサービス・流通業の生産性は特に低い。

このことは、サービス・流通業の顧客からSAPのカスタマイズで無理難題があがってくることが特に多いことと無関係ではないであろう。

富士通は、既存顧客の業務標準化およびデファクト・スタンダードとなるITシステムの開発の陣頭指揮をとる役割を果たすべきだが、その望みは期待できない。

なぜなら関係が深い企業において、業務が効率化すると大量の社内失業者を出すことになるからだ。

そのような"顧客との良い関係"を崩すようなことはやらない会社である。

日本という国のあるべき姿を長期的に考えた際に必然的なことであるにもかかわらずである。

富士通の企業理念である、よりよい社会づくりに貢献するとは、まさにこの業務標準化を推し進めることなのではないのか。

５．時代に取り残されたガラパゴス化した閉鎖社会

富士通には外国籍の社員が相当数在籍している。しかし、彼らに求められる日本人への"帰化圧力"がとても強い。

同期入社の中国籍の友人は、対外発表会のために完璧な日本語の発音の練習をさせられていた。

完璧な日本語の発音は日本人に任せるべきで、中国に精通しているというメリットを活かせる部署に配置転換するべきである。

この現状に直面した外国籍社員は数年で辞めていく。

なお、残った外国籍社員をみると、小学生から日本にいるなど、生まれたのが海外というだけのほぼ日本人だったりする。

外国籍社員の離職率が高いことに対して、本部長が提示した対策が、

長く働きたい会社とはどのような会社か、というテーマで外国籍社員を集めランチタイムにディスカッションさせるというものだった。

この話を聞いたとき、筆者は絶句してしまった。

この席で「無能な人が本部長にならない会社で長く働きたい」という大喜利でもすればいいのだろうか。

富士通はグローバル企業を表明しているが、このような組織で海外進出などできるはずもない。

なぜならば富士通の利益構造では、海外において利益を上げられないからだ。

このカラクリの解説は大前研一氏が詳解されているので、参考にしていただきたい。※1

６．富士通の良いところ

ここまで富士通に対する批判と改善の提言を述べてきたが、富士通の良いところについても触れておきたい。

まず、個々の社員の仕事力や組織力といった点では、他の大企業と比較して遜色ない。ただし、富士通の主要グループ企業に限るが。

数十を超える大企業および中小企業と仕事をしたが、やはり大企業は個々の社員のレベルが高く、組織力も高い傾向にある。

顧客として他社と仕事を進めていくうえで、大企業の方が優秀な担当者に遭遇することが多く、仕事がとても進みやすかった。

この理由について、大企業の社員育成能力が高いことはもちろん、社内チェック体制が整っているからではないかと思う。

社内で質の悪いものは弾いており、社外に出さないようにしているのだろう。

また、富士通は顧客主義がきちんと徹底されている会社であると感じた。

筆者と富士通の顧客主義が異なっていた点はあるものの、顧客起点に立つという考え方は大事なことである。

これは、筆者が富士通に入社して良かったと感じることである。

人間関係について、他社と比較して良好な会社であると感じた。

柔らかい人が多く、職場の雰囲気はとても良かった。お世話になった直属の上司や先輩方は、優しく丁寧なご指導をいただいたことに感謝している。

７．おわりに

最後に、立花隆氏の著書「東大生はバカになったか」（文春文庫）から名文を引用したい。※2

「いま、この辞めたい気持ちを逃したら、この会社に骨を埋めて、あそこにいる連中と同じになってしまうと思った。」

結局、筆者の退職理由は、偉そうな顔をしているがロクなビジョンも打ち出せない富士通の上層部のような人間になりたくなかったからである。

富士通という会社に必要なのは、優秀な若手の育成などではなく、無用な老害の排除である。

筆者には、富士通という会社は、沈みゆく泥船にしか思えなかった。

※1「産業突然死」の時代の人生論、第44回　談合をなくす二つの妙案－"便利なゼネコン"はいじめの温床

http://www.nikkeibp.co.jp/sj/2/column/a/46/

（この記事のゼネコンをITゼネコン（ITベンダー）に置き換えていただきたい。）

※2 引用にあたり、語尾を改めた。

補足１．城繁幸氏の著書「内側から見た富士通」（光文社）についてのコメント

この本は富士通が先んじて導入した成果主義が、名ばかりで社員のやる気を奪う結果に終わったという実態を告発した本である。

この本について、いくつか述べたい。

まず、本題である、成果主義が経営層のご都合で導入されて、社員のモチベーションを奪うという最悪の結果に終わったという指摘はまさにその通りである。

また、この本が出版されてから10年以上経つが、実態は改善されていないし、する気もないのだろう。

（そもそも経営者のご都合成果主義の導入を失敗だと気づく能力が欠如しているのかも知れない）

富士通では、そもそも「成果」などを評価されていない。

管理職の仕事は、部下の成果を評価することではなく、予算内におさまるように部下の評価を調整することであった。

なお、成果主義の導入を評価している現場社員は誰もいなかった。

（成果主義を批判する幹部社員はいなかった。おそらく批判すると何らかのペナルティがあるのではないかと邪推している。）

補足２．転職について

筆者の転職について、考慮したことをいくつか述べる。

まず、次の会社・仕事の選び方および交渉の進め方については、山崎元氏の著書「会社は二年で辞めていい」（幻冬舎新書）を大いに参考にした。

転職は考えていなくとも、今の時代を働く考え方、人材価値のセルフマネジメントなどは一読の価値がある。

富士通という大手を辞めたはいいが、次の会社で苦労している人が多いという意見についてコメントしたい。

筆者に言わせれば、それは転職のツメが甘いのだ。

現職のどこに不満を持っていて、そのうち、どこが改善の余地があり、妥協するべきであり、次の職で改善を期待するのか、についての思慮が浅い。

社会のルールをわかっていないで転職したとしか思えないケースもある。

そもそも富士通という会社に勤めているにもかかわらずITゼネコンの生態系を理解していない社員がとても多い。

下請け企業にいけばもっとやりがいのある仕事ができる、などという浅い考えで転職する人はいる。

ITゼネコンの下請けを生業とする会社の社長は、中間管理職と何一つ違いはない。

上の指示（元請けの発注）を受けて下に伝達するだけであって、自身で新しい事業を生み出す能力のない企業である。

筆者はITゼネコンの生態系から離れた企業を選んだ。

新しい会社は、自社で新しい事業を生み出す能力があり、きちんと利益を上げている。

転職において改善したかったこと、専門的な業務ができること、自分のアイディアを事業に活かすことができること、それらがすべて達成できた。

なお、富士通からWEBベンチャーに転職する人が多いと思われがちであるが、一番多いのは地方公務員である。

Permalink | 記事への反応(9) | 13:52

2016-03-31

■

グローバル企業（Xvideos）にこれからアポ（エロ動画検索）だ、バーカ

Permalink | 記事への反応(0) | 10:37

■http://anond.hatelabo.jp/20160331101224

誰だ、お前？死ねよ。こっちはこれからグローバル企業とアポだバカ。

Permalink | 記事への反応(2) | 10:20

2016-02-28

■シャープにみる日本の様相

シャープがFoxconnに買収される方向になることが決まりつつある。

現時点では両社の交渉は延期だが、

最終的にはFoxconnに買収されることを私は支持している。

日本の社会全体で見ると、産業革新機構がシャープを買収して欲しいという論調だ。

しかし、私は思う。産業革新機構にシャープは任せられない。

エルピーダーメモリーの時、産業革新機構が出資したが、破綻した。

そもそも、コモディティ化が著しいメモリーに、日の丸だからというだけで

コスト感覚なしに、我々の大事な血税を出資してよかったのか。

コモディティ化した製品なので、為替による影響が大きい製品なのに。

私も愛国者であるので、日の丸企業にシャープを買収して欲しいと思う。

だが、産業革新機構だったら、Foxconnのテリー・ゴウ氏に買収してもらう方がいい。

または、日の丸企業だったら日本電産のCEOなどハングリー精神を持っているところがよい。

ある天才的な時価総額1位のIT 企業のCEOがいっていた。

「Stay hungry, stay foolish」

日本電産のCEOもFoxconnのCEOも一代で大企業を作り上げたたたき上げだ。

一方シャープや産業革新機構のCEOは社内政治でCEOになったのだろう。

ハングリー精神など生まれてこのかたもったことないだろう。

たしか、2000年前半あたりだろうか、シャープとサムスンが訴訟合戦となった。

シャープにとって不条理な訴訟にも関わらず勝ちに拘らないで、和解した。

これを見て、この会社先がないと感じた。

その後両社の立場がかわったのはいうまでもない。

私は、数年前台湾にある、とあるグローバル企業の日本法人とプロジェクトを一緒に行った。

グローバルで活躍する台湾企業には、今の日本企業にはないコスト感覚がある。

なぜこのコストなのか細かくリーズニングが徹底的に要求される。

グローバル企業なので株主の意見も強い。

数年前NHKで『ハゲタカ』というドラマが放映された。

当時、企業を荒らすハゲタカは悪だという日本の風潮があった。

ただ、グローバルでみるとどうだ。

正当な主張をしない株主は正しいのか？

正当に経営陣に意見を言わない株主は正しいのか？

シャープを見ればなにか見えてこないだろうか。

シャープのCEOが去年なにかの番組にでていて、

「これからはすべての入口となるテレビが重要なのでテレビに力をいれる」

といっていたが、この昭和時代のパラダイム・先見性のなさをみて

株主は黙っていたのだろうか。

株主がおとなしいと、経営陣を交代できない。

ならば黒船よろしくFoxconnに放り込まれて

経営陣・幹部は揉まれ新しくなったほうがいいだろう。

みなさんはどう感じられたか。

Permalink | 記事への反応(1) | 01:24

2015-09-02

■近頃の博報堂

ここ連日の博報堂叩きというか、広告業界の実態が炙り出されたというのか、

博報堂を好きだった私はとても悲しい。

かつて、私が一緒に仕事をさせていただいた博報堂のプランナーの方は、情熱があり、

一方で、品があり、スマートでとても好感を持てた。

素晴らしい仕事が出来たと感謝している。

今回のオリンピック関連の一連の問題（佐野さんは元社員なので、直接的には関係だろうが）、

さらなる追い打ちのようなステマの問題を知り、正直、がっかりした。

http://bylines.news.yahoo.co.jp/yamamotoichiro/20150829-00048930/

三浦崇宏さんの他の記事も読んだが、

http://news.aol.jp/bloggers/miura-takahiro/

品がなく、クリエイティブ性を全く感じることが出来ない。

ライターではないとは言え、正直、暴言にしかきこえません。。。

クリスマス期の充実している男性を

”本当のリア充は、この時期サンタの格好してコンパに登場して一日に3回戦までこなすようなツワモノです”

と言ったり、

9股している友人を

”リア充のなかのリア充、すなわち「リア王」”と言ったり。

自分の先輩のことを、

”大学時代にお世話になり今は某グローバル企業でアジアナンバー1のセールスを務める先輩”

と言ったり、

自慢をしたいのだろうが、全く嫌みにしかきこえてこない。

この方は一体何を言いたいのだろうか。と読んでいて怒りを覚えてくる。一方で、

こういった文章を書く人なので、ステマをやることに抵抗がないのだろうと理解出来る。

博報堂も、企業として、何故こういった価値のない暴言をコントロールしないのだろうか。

日本の名だたる広告会社で、社会に大きな影響を与える組織だからこそ、

本当の意味での想像力を働かせて、良い社会を作ってほしいと思う。

博報堂の品の良さ、スマートさはどこにいったのだろう。。。

Permalink | 記事への反応(0) | 02:04

2014-09-13

■「日本は内需の国であるドヤァ」って言う人が多いけど

えーと。

海外から金稼げないから、国が「未来の私たちから金を奪って」「今の日本に投資して」なんとか内需国として成り立ってるって段階なんだよね。

で、日本以外の国は、それができないから一所懸命海外から金を稼ぎに行こうとする。

そうすると、グローバルで戦える人や、グローバル企業を優遇しないと行けないから韓国みたいなことになってしまう。

そういう構造を理解できてない人がおおすぎるんじゃないでしょうか。

だから、世界戦略無くて良いよ、内需８０％だから海外から外貨獲得しなくていいよって本気で言ってる人ってバカなのかな、って。

Permalink | 記事への反応(1) | 21:49

2014-05-27

■未来を予測したら死にたくなった

今後、穀物価格の上昇は人口増大によりずっと続く天候などによってはとんでもない値段に跳ね上がるかも

海産物は恐らく枯渇するまで取り続ける何割かの海洋生物は温暖化、乱獲で絶滅

グローバル企業の台頭により長い暗黒の時代が来るかも

石油などのエネルギー価格は永遠に上昇

リンの枯渇、アメリカの地下水枯渇が起こるかもこれにより穀物価格はさらに跳ね上がる

イノベーションの鈍化今後、あまり技術革新は起こらないかもしれない

日本のでは、医療費の高騰、超円安により餓死者続出、自殺者7万人時代へ

商社、グローバル企業に就職しようと超熾烈な職の奪い合いが起こる

2002年と2014年なら2002年の方が良かった。

あまり長生きしない方がいいかも

Permalink | 記事への反応(4) | 18:46

2014-05-10

■アメリカでの同性愛は生命にかかわることなのでかなりデリケート なのだ。

かつてアメリカにアニメを輸出するとき問題になったのが銃表現であった。

銃社会アメリカでは、銃は日本以上に身近で、生死にかかわる感覚がずっとリアルだった。

よって銃表現を前にした大人たちのいう「子供に悪影響」という言葉の重みは、日本とアメリカでかなり違うこととなった。

日本側の理屈としては、銃表現じゃなく銃規制しろよとなるわけだが、アメリカの知識人は銃協会からいくらか貰っているようでなかなか規制に踏み切れず、手っ取り早くアニメ業界を規制することになった。

めぐってゲーム業界だ

ゲームも近年銃表現の規制が議論されているが、レーティングという自主規制でどうにか乗り切っているところだが、今後どうなるかはわからない。にしても今のところうまくいっているようだ

しかし同性愛は盲点だったと思う。

銃社会では銃表現に神経を尖らせているように、同性愛が問題になっている国では同性愛表現も、神経を尖らせているのだ。

しかし同性愛が問題になっているといっても、銃の問題と違い、同性愛者が被害者側なので勝手が違う事に注意してほしい。

アメリカをはじめキリスト教の文化圏では同性愛は教義に反することから、忌み嫌われる存在であり、結果同性愛者が殺される事件まで起こっている。

こういった歴史的経緯から、それらの国の文化人や一流企業といわれるところは、先鋭化したり、そこまでいかないまでもカウンターとして戦う姿勢を示すことが文化人、そして企業としての礼儀となったわけだ。

彼らは戦うしかないのである。だからパレードし鼓舞し、同性愛差別に対して戦うのである。そして文化人はかれらをめいかくに支持する姿勢を示すのである。

そんな戦場に任天堂は日本ののほほん文化とともに飛び込んでしまったのだ。

日本での同性愛はどうだろうか

修道文化がそうであるように、とくに弾圧されることもなくのほほんと生きてしまっているように思う。

むしろ明治になって欧米に合わせるために捨てざるをえなかった経緯すらあるわけだが

そうはいっても今日、テレビではおかまキャラを見ない日はなく、ちまたの本屋ではBLだ百合だとコーナーが設けられるまでになっている。

欧米に足並み合わせて一流国になるんだ的なコンプレックスはもうなくなったのだろう。むしろ何か問題でも？くらいな

（個人的には、BLとか百合って同性愛の人から見たらどうなんだろうと思う。コンテンツとして消費されることに対してとか）

個人レベルで気持ち悪がられることがあるにせよ、欧米に比べるとずいぶんのんびりまったりである。

そんな日本の文化をひっさげた平和ボケてき同性愛文化の任天堂が欧米で人生観察ゲームを発売してしまったのである。

戦場で戦っているところに丸腰の無防備マン登場である。

戦士たちから「戦う意思はあるのか？（同性恋愛要素盛り込むことであいつらとたたかうよな？）」と質問され

そして任天堂は「ないよ（マイノリティ要素は最初から想定してないよ）」と答えてしまったのだ。

日本の感覚としては、フラットで平等に意識しないこともアリだとは思うが

欧米はすでに戦争状態なのだ。無関心は罪なのだ。明確に意思表示を示さない企業は足手まといになるのだ。

今回の任天堂は欧米の戦争に巻き込まれてしまったわけで、気の毒だったとは思うし任天堂が差別しているとは思わないが

グローバル企業なんだからこのくらい対応しろよとは思う。

Permalink | 記事への反応(0) | 23:47

2013-11-15

■ひろゆきの日本ユニセフ（略）二言目いっとくか

言わずもがなだと思ってたんだけど、ブコメで疑問や批判として書かれてたので、いくつか追記しとく。

「なんでアグネスは黒柳徹子の口座を書かないの？」…A：アグネスが自分の職務に忠実なら、当然そうすべきだから。

まず、アグネスはなんで黒柳徹子の口座番号を書かないのかという話なんだが。「日本ユニセフ協会の大使であるアグネスも、グローバル組織の親善大使である黒柳徹子への個人口座へ入金をすすめるのが当然」という理屈…これ、自分の会社に置き換えてみたらどう考えても筋がおかしいことだってわかるでしょ。

アグネスの主たる職務は、自分が所属する日本ユニセフ協会のプロモーションと寄付金集めなのであって、その活動の成果を、任命組織じゃなくて親組織の側のエージェントである黒柳徹子に直接フィードバックせよ、っていうのは、あるグローバル企業の日本支社の営業マンが、自分の足を使った営業活動の末に取ってきた発注案件を「値段少し安くなるんで、本社直轄でやってるグローバル ECサイトで飛び込みの新規客として注文しといてくださいね〜」って言うのと同じだ。

当然、そのぶんの営業成績は自分にも日本支社にもつかない。自分の部署のPR・営業・啓発活動のコストを持ち出しにして成果だけは別セクションにつけちゃうわけだから、控え目に言ってただのバカ、悪い言い方をすれば職務倫理違反。本社側にとっても、支部とWebで実際に投入された活動と得た成果の数字が対応していない＝投下費用とリターンについて誤った指標を得ることになるわけで、長期的には全くよいことではない。

おわかりだろうか。ようするにひろゆきは、ルート営業さんが得意先に出入りして営業活動してるところにやってきて「お客さんのためを思うなら、グローバルのWebでモノ買ってもらうよう勧めるのが正しいのでは？　なぜそうしないのか答えてくれませんか？」って公開質問状送ってるようなもんなのである。それをお客さんに伝えるならまだしも（それも相当ひどいが）、日本ユニセフ協会の営業マンであるアグネスに言うのはどう考えても筋違いだ。

「黒柳徹子なら100％ユニセフ本部に渡るのに、あえて日本ユニセフ協会に寄付する意味って何？」…A：ユニセフ支援の活動が持続するから。

前のエントリでは黒柳徹子氏の個人口座（トットチャンネルのお願いチャンネル）への年間寄付を1億以下ぐらいじゃないかと書いたが、これは少なすぎるかもしれない。めいっぱい多めのセンで見積もって、記述からするとこれまでのピークだったと思しき2700万円/月を12倍し、年間3億円前後が彼女の個人口座への寄付のポテンシャルの上限だとしよう。一方、日本ユニセフは去年に161億円を集めている。50倍強だ。この50倍の差が、そのまま黒柳徹子氏と日本ユニセフという組織の力の差なのである。

パンフ、ポスター、イベント、プレスリリース、TVCM、メディア露出、ネットバナー、街頭活動など、定番のマーケティングチャネルや営業ツールを駆使してAIDMAを廻し続け、顧客ベースを維持・拡大することが、B2Cの事業活動全般においていかに大切かは言うまでもない。そして日本においては、まさに日本ユニセフ協会がユニセフの協力組織として、20％のマージンを使って畑を耕し、種を蒔き、水を与え続けているのだ。この作業が途絶えれば、いずれ畑は衰え、収穫は途絶える。これを100％使い切ろうというのは、種籾食べて次世代の食い扶持をなくすのと同じ話である。

黒柳徹子氏はユニセフ親善大使として多大な貢献をしているが、そこはやはり個人ベースの活動だから限界がある。日本のオプラ・ウィンフリーとでも言うべき認知と影響力を誇る彼女でさえ、自前のWebに自分で人を集めるだけでは、多く見積もっても3億円/年、実績ベースで過去の総計50億円弱（と本人が書いてる）の集金力がやっとなのだ。「徹子がいるんだから日本ユニセフはイラネ」という奴はそこをよく考えていただきたい。

「それにしたって19%（31億円）のピンハネ・中抜きは高すぎだろ」…A：どんだけ金を集めてきたかが最重要で、そのためのコストは変動費だ。

これは上の話とかぶるけれども。仮にユニセフ本部自体が日本にもリーチするためのPR活動を自分自身でやってて、日本ユニセフ協会はただの送金システムなのであれば、そりゃ19％は高いわ。しかし、実際はそうではない。日本でユニセフという組織がこれだけ認知されているのは、日本ユニセフ協会が推進しているさまざまなマーケティングミックスによって、我々が日常的にユニセフという組織について知り、理解して、共感して、実際に寄付に至るまでのさまざまなパスが提供されているからだ。

こうした活動の大半は、当然、固定費ではなく変動費である。一定のコストをかけて、何らかの施策を何らかの規模で投下して、一定のリターンを得るのだ。企業活動と同じである。「組織や拠出の規模が大きいから19%より下げられるはずだ」などというのは無茶もいいとこだ。あんたがたの会社は、売上規模が大きくなっても間接部門のコストはずっと一定でいいのか。暴動起きるぞ。規模のメリットによる生産性向上はありえるし当然あるべきだけど、その観点で評価しても、今の日本ユニセフ協会のパフォーマンスがことさら低いということはないだろう。それを「中抜き」とか「ピンハネ」と表現するに至ってはもう何をかいわんやである。

なお、自分はこうした団体に「利益率」という観点が必要なのかどうかは考えが定まっていない。たとえば日本ユニセフ協会が1000億円を集めて400億円をユニセフ本部に拠出できるとしたら（実際には協定の取り決めによりこれは無理なのだが）、それは現状より良いのか、悪いのか。限界効用ぎりぎりまでコスト投入して拠出の絶対額を限りなく増やすべきか、もっとレバレッジが効く他分野にその寄付を廻して社会全体のコスト効率を高めるべきなのか。これは読んでる人の意見を聞いてみたい。

「アグネスは無償でやってるか不透明」「19％の内訳が不透明」…A:日本ユニセフのサイトに書いてある。

http://www.unicef.or.jp/partner/partner_amb.html

ユニセフでは、世界的に著名な歌手や俳優、スポーツ選手などをユニセフの親善大使に任命しています。また、世界８ヶ所にあるユニセフ地域事務所の一部や、36ヵ国にある各国内委員会もユニセフ本部の承認のもと、親善大使（地域大使・国内委員会大使など）を任命しています。こうして任命された大使の方々は、お忙しい時間の合間を縫って、全くの無償のボランティアで、ユニセフの活動に協力してくださっています。

正味財産増減計算書(PDF)

ぐぐれば1発で出てくる情報について、わざわざブコメする時間使ってないない書いてるのは、情報強者たるネット民の沽券に関わらないだろうのか。ν速や保守速報あたりで「【悲報】日本ユニセフの会計が丸裸にwwww」とかってまとめられてないと読めないのか。なこたあないだろう。

ひろゆき憎しなんでしょ

2ちゃんねる的にいうとひろゆきと切込隊長が険悪になりはじめた頃から一貫してひろゆき派だし、いまでもその2人のどっちが好きかって言われたら前者を取るね。他のテーマでは面白いこと言うなと思うこともあるしテキストを興味深く読むこともある。けど、あーたは少なくとも経済倫理的な話をできる立場じゃないでしょ、という見方だし、この問題については、あのロジックは他への影響がでかすぎるからもう糞味噌書かせていただいた。後悔はしていない。

寄付に関しての個人的な考え

日本の税制では、認定公益団体への寄付金は課税控除される。しかも2011年からは従前の所得控除に加えて税額控除という仕組みも選べるようになり、たいていの場合、従来より大幅に控除額が上がった。「寄付が税金から控除される」というのは、どういうことなのか？　国民は、基本的には国家というシステムに公共サービスと再分配のためということで税金を納めるわけだが、このうち再分配のパートについては「再分配的な性格を持つ公益団体に直接寄付するというかたちで、自分が考える好ましい再分配のありかたに沿って、ある程度は自分の裁量で決めてもよいよ」ということだ。われわれは税金の細かい使途については全く関与できないけれども、「寄付して控除を受ける」ときには、かなり積極的に選択権を発揮できるのだ！

これは地味ながら大変うれしい権利だし、積極的に行使してゆくに越したことはないだろう。ブコメで「偉そうに言う増田は幾らしてるのか」「そういえばひろゆきは自分が寄付した話はしないよね」などという話題が出てたが、小金を貯めて寄付先を選んでエイヤと寄付するのは、自分にとっては汗水垂らして稼いだ金を「ただ税金として納めるのではなく、自由に用途を指定できる」という一種の娯楽であり、例年ある程度の枠を決めて、それなりに楽しませてもらっている。

まだ日本ユニセフ協会には寄付したことはない（資金力豊富だし、例の児ポがらみのアドボカシー活動の内容にはアグネス叩きのネット民と同じく共感しにくい点があるからだ）が、ユニセフが深く関わる「母子保健」というトピック自体には多大な関心があるので、ジョイセフという地味〜な団体に時々寄付している。あと災害に伴う緊急医療援助のときは赤十字と国境なき医師団（資金力豊富という点で同じだが、特に後者はマジで命を賭けてるし動きが速い）、移民支援ならAPFS（注：これは認定公益団体ではない）など。東日本大震災のときには初動が速かったCIVIC FORCEというところに寄付させてもらった。

一度やってみればわかるが、寄付行為というのは「人におしつけられてやるのは非常に嫌だが、主体的にやれば、得られる精神的満足感が思いのほか高い、コスパのいいエンターテインメント」なのである。家飲みでご機嫌になってるときにあれこれ考えて1000円を寄付するのは、もう2本ロング缶を飲むとかPPVでB級映画を見るよりもはるかに自分自身への効用が大きい。思わぬ収入があったときには思い切って20万円を3団体に分配して、もうドーパミンが出まくった。セブンで募金箱にジャラジャラ小銭を流し込む快感もお手軽だし悪くない。

だから「気持ちはあるけど日本ユニセフ＆アグネスは嫌だから、いい寄付先教えろよ」という人には「いやいや、それは寄付するときの一番の楽しみをスポイルしてるよ、自分で探して選ばないと超もったいないよ」と言いたい。ただ、いまの時分はてっとりばやくフィリピンに寄付して1000円を3000円にするのもいいだろう（自分はあの記事を読んで日本赤十字経由で1万円を3万円にしたのでほくほく顔である）。

なんで「自分がいくら寄付した」という自慢話にもとられかねない話をわざわざ書くかというと、自分はかつて、ある偉大なはてな民（自らの行為に震えながら、100万円単位の寄付領収書を何度も（!!!）うpした（1・2）、あの方である）の寄付スタンスに多大な感化を受けたからだ。それまでは自分も「寄付したことは隠すのが美徳」などと考えちゃったりしていたが、今はそんな発想はさらさらない。我々のような凡夫が、思いつきで気軽に寄付して、それを気軽に公言することで、廻りの人間の10人に1人でも共感させればいいのである。

「懐具合に余裕のある志の高い人間だけがチャリティに関われる。自分などはとてもとても…」などという、意味不明なうえに誰も得しない謙遜はやめよう。たとえば風俗通いを武勇伝として同僚に話せる奴が、なぜ寄付のことを武勇伝とか「やっちゃった話」として職場で話せないのか。パチンコや競馬で毎週のように1万円を溶かしてる奴が、なぜ寄付で3000円スって「まあ楽しませてもらったけどな！」と強がって吐き捨てないのか。なぜ艦これのDMM マネー大人買いが「米帝」とおののかれるように、ネットで無名 NPOへの高額寄付がおののかれるようにならないのか。そうなればいい。そうしよう。まずはあんたからだ。