最近話題の生成AI、いわゆるクリエイター界隈ではあっちらこっちらで話が広がって、しかも誤解や間違いもどんどん広まって、いったいどうしたことかと混迷を極めている。見る人が見れば本当に面白い状況だろう。加えてXの唐突な規約変更（と誤解されている）で投稿画像が無断学習されると騒ぎになり、SNSは今や群雄割拠の戦国時代みたいになっている。自分もXのフォロワーがやれブルースカイ、クロスフォリオに移行するやら、今後のイラストはすべてポイぴくを挟むやら、創意工夫をもってAI 学習の手から逃れようとしているのを眺めていた。

これらの行為率直に言って、無駄だなと思う。無駄ではないがあんまり成果の出る行動ではないな、と思う。むしろ AI 学習から逃れられない上にインプレッションが下がるだけなのでどちらかというと損失の方が大きいだろう（人はURLをタップして新規ページにアクセスするという一手間をとんでもなく惜しむ、自分も画像直貼りなら見る絵も、URL クリックになった場合はサムネが余程好みでない限りほぼ100％見ない。これについては論文出てるから興味ある人は読んでみるのをお勧めする）

まずこの情報社会のインターネットという大きな箱において、データ収集されないで済むものの方が少ない。基本インターネットに上げた時点ですべて情報社会の餌になると考えた方が逆に健全だ。デジタルタトゥーとか言うだろ、使い方も意味も違うが、構造自体はほぼそれと同じだ。原則として「セキュリティ保護（パスワード認証）のないデータはすべて学習の対象となる」と考えた方が良い。これはインターネットという性質を考えれば自明の理だ。AIのスクレイピングを阻害するプラットフォームに上げたとて、基本人が自由にアクセス出来るのにAIが学習出来んわけなかろう。人間が自由に見れるものはAIも自由に見れる。これが基本原則であることを分かってない人が多すぎる。勿論サーバーにAI 学習を阻害する設定を相当しっかりやっていればだいぶ軽減はされるが、まあ最終的にアクセス出来れば学習は出来る。これは変わらんと考えておいた方がいい。むしろXはAPI 制限などをbot 対策などを相当労力掛けてやったので（ユーザーからは不満たらたらだったが）そういう意味ではAI 学習対策がなされている方だとも言う考え方もあるようだ。X自体の学習は防げなくても、X外からの学習は防げるからなあ。こればっかりは何を良しとするかだけど。

話がそれた。

まあそうやって他SNSに移行しようとどうしようと基本的に生成AI からの学習は逃れられないし、それはインターネットという情報社会の性質上仕方のないことだといえる。まあ仕方ないという理由で諦められないから絵師の一部はみんな怒ってるのかもしれないが。ただひとつ間違えないでほしいんだが、そもそも学習して誰しもクオリティの高い画像が出力出来るようになるのは悪いことじゃない。これは学習が法的権利として制限されていないからだとかそういう小難しい話をしたいのではなく、単純な社会全体としての話だ。

「”一部の人間しか出来なかったもの”が、簡単にちょっとの手間で”皆が出来るようになる”のはいいことだ」

というのが人間社会の基本的な原理原則だからだ。

レトルトや時短料理なんて最たるものだろう。ホテルのシェフが時間かけて、時には数日かけて作っていた料理が、かつて圧力鍋、今では自動調理鍋なんてもので似たようなクオリティが一瞬で誰でも出来る。材料入れてボタン押すだけ。シェフ監修がいわゆる偏向学習LoRAだとするなら、自動調理鍋や圧力鍋が生成AIに当たる部分だ。この例えに色々モノ申すところはあるだろうが、細かいところが問題なのではなく、論旨は「誰にでも出来るようになるのは社会にとって絶対的”正”だ」ということだ。

この視点において、この先も生成AIが大きく制限されることは恐らくない。だって社会にとって悪いことではないからだ。かつて裕福な家庭しか画家を雇い自画像を残せなかった時代が、技術の発展でカメラが生まれ、カメラも高価で専門職に頼む必要があったものが、インスタントカメラになって世間の多くに普及し、絵の具や鉛筆がなきゃ美術を成しえなかった人たちが、パソコンとペンタブという十万程度の投資で無料のYoutubeを見て誰もが絵を描ける環境を整えられるようになった。お金が無くても、技術が無くても、環境が無くても、苦労が無くても「出来る」ということは、社会にとってはその社会の技術が熟成した証拠でありその結実でもある。人間はそういう歴史を積み重ねて文化を発展させてきたのだ。そういう意味において、生成AIの在り方は正しいと言える。

ただし、ただしだ。

ただ、それでは絵師たちは自分たちの努力が無価値と感じ、自分たちの成果が使い潰されていると感じるだろう。仕事は取られ、搾取されるだけ搾取され捨てられてしまうんだ、と。もうここまでの文を読んで反AIの人間は多くが読むのをやめたと思うが続ける。本当にそうだろうか。本当に絵師たちはそんな無価値なものなのだろうか、と思う。

結論を言う。そんなことはない。

だってみんな圧力鍋で美味しいビーフストロガノフを作れるようになったらお店で出るビーフストロガノフは売れなくなるのか。みんな簡単に手軽にスマホで写真が撮れるようになったら、写真家の仕事は無くなるのか。無くならないだろう？無くならないんです。写真という技術が生まれてなお、未だに筆を執ってキャンバスに写実風風景画を描き続けてる画家がいてその作品が売れているように、どれだけ高精度の生成AIによって高クオリティの絵が乱立しようと絵師と呼ばれる人たちの生み出すオリジナルイラストの価値が損なわれることはないんです。

ただ、弱肉強食とも言える淘汰は発生するだろう。「淘汰」とは即ち、プロとしてのクオリティレベルの向上を指す。単純に言えば、これまでのようにちょっと絵を描いてお小遣い稼ぎみたいのは出来なくなる。なぜならそのレベルなら生成AIでいくらでも個人が作成出来るようになるからだ。写真家が普通の風景写真を売ろうとしても売れないように、イラストもただ絵がちょっとうまいだけでは売れなくなる。プロに頼むからにはプロのクオリティを求められる。

ここまで読んで気付いた方もいるかもしれない、特に今プロとして第一線で働いているイラストレーターの方。

別に普通に……これまでもそうだったのではないだろうか？

そうなのだ、プロであり技術があるほど、生成AIがあろうとこれまでと変わらないのだ。

生成AIは少し見れば分かる通り、とにかくコンセプトアートに弱い。「猫耳娘」とか「セーラー服の美少女」とか汎用的なお題ならいくらでも出力出来るが、「猫耳娘のイヤリングが彼女が猫の頃を彷彿とさせる飼い主の想い出の品がモチーフになってる」とか「セーラー服の美少女の足元には好きな人との思い出の公演が映っており、画面に添えられた花言葉はふたりのこれからの関係を暗示している」などといった、「一枚絵でドラマを読み解かせる」という構造がとにかく不得意だ。生成AIの構造と成り立ちを考えればそれは至極当然だ。AIにとってイラストはドット単位の色の集合体であり、そこに意味はない。そこに意味を感じるのは人間であり、読み取るのが観客であり、読み取りやすく指向的にドラマを仕込むのがイラストレーターと呼ばれる絵を描く人間の仕事だ。

だからこそむしろ、イラストレーターはより重宝され、求められることになる。人間はドラマやストーリーに魅力を感じる生き物だ。そういう意味で、どれだけクオリティが高かろうと、重要な場面でのイラストは現状絶対にAIに任せられない。色んなジャンルでよくある「周年絵」であれば、これまでのドラマや記念コンセプトをふんだんにあしらいたいだろう。こういうものこそイラストレーターに任せていくようになる。

もちろん、そういったコンセプトを生成AIが表現できないのは「現状」の話だ。時代は変わる。コンピューターの普及、スマートフォンの普及で情報社会レベルが格段に変わったように、やがて生成AIもコンセプトアートをきちんと表現していく時代も生まれるだろう。もう十年は先の話だろうが、ただ十年後はそうなるかもしれない。それにはもう少し時間が掛かる。それまでに絵師としてのポジションをどう確立させていくかは、今現在絵を描いている人間に求められている課題だ。そんな課題と向き合うことなくこれまで通りの世界でイラストを描き続けたいというのは、残念ながらただの停滞思考に過ぎない。時代は変わる。どう足掻いても。それに適応していかなければ廃れるだけだ。それに適応しなかったものから、絵を描いて仕事をする、というポジションから脱落することになってしまう。

ちなみにAI生成なんかじゃなくて絵を描く楽しみを知るべきだ！というのはお門違いである。

「自動調理鍋を使わずじっくり数時間かけて煮込んでこその料理だ！」「一瞬の風景を何時間も掛けて描くことに意味があり、写真なんて偽物だ！」「ピアノを習ったことないやつがデジタルで曲を作るな！」とは誰も言わないだろう。求めてるものがそもそも違うのだ。じっくり料理をすることに、じっくり観察して絵を描くことに、楽しみを見出す人がその手段を選べばいい。生成AIで絵を出力することが「絵を楽しんでいない」とイコールにはならない。もちろん主張したい気持ちも伝えたいことも一定の理解はある。だがこれを読む貴方だって「音楽とはホールの生演奏を聴いてこそすべてだ」と言われても困るだろう。そうじゃない、手軽なものはいくらだってあっていいのだ。そうやって多くの人間が手軽に楽しめるようになることが文化の発展であり、先人たちが作ってきた成果なのだ。

だから生成AIでイラストレーターの仕事が奪われるとか、そういうデマは少し落ち着いた方が良い。もしこれからも絵を描く仕事を続けていきたいなら、どうやって生成AIと共存していくか、それを考えてみてほしいと思うよ。学習を「無断学習」とか「窃盗」とかいうのも、考え直した方がいい。情報社会はデータの集積で成り立つ社会である以上、収集されるのは貴方たちのイラストに限らない。すべてだ。検索履歴・ワードすら貴方たちのデータはデータベースに集積されている。それが嫌なら電子世界から手を切れ。ネット回線を閉ざした山奥に籠れ。便利な通販があるのも、いつでも繋がれるSNSやアプリがあるのも、そういう情報解析の技術の末のもので、我々がいるのはそういう社会なんだよ。

とはいえ、生成AIによる成果物の取り扱いについては早く文化庁が結論を出してある程度法規制してほしいとも思うよ。悪用する人間はどんな技術に対してもどこにでもいるからね。あと、生成AI イラストと声優業界の生成AIボイスの問題は別物だと思ってるぞ。あれは声という一個人の尊厳の侵害に障る部分が多いからな。言った言わないは千年前から現在に至るまで人間の問題になる議論だから慎重に取り扱わなければいけないと思う。刑事犯罪立証に関わることもある部分だからね。ただ声帯を失くした人への補助AIとかはどんどん発展してほしいね。

以上、11/15を前にした人間のぼやきでした。

Permalink | 記事への反応(1) | 15:24

2024-11-12

■「機械学習されないための加工」は画像の価値を減らすものばかり問題

・robots.txtなどでWeb クローラーに避けてもらう

・パスワード付きページなので条件が揃わないと外部からアクセスできないようにする

・画像の中にサインを入れておいて機械学習側の誤爆を狙う

・画像全体に "ウォーターマーク” を掛けてそのまま利用できないようにする

・画像全体を変色させる加工を施して学習素材として利用させにくくする (GlazeやNightshadeなど)

・スクレイピング対象から避けやすくするため長辺を256px未満にする←New！

上2つのように「自由には触れさせない」作戦はまあいいとして、それ以外は多かれ少なかれ画像を劣化させる方向にばかり頭を使っている印象。

仮にそれで機械学習の対象から外されたとしても、自らの子と言っても過言じゃないイラストの「劣化版」を出して憚らない、ってのは端から見ていて辛い。

＝＝＝＝＝

2024/11/13追記：

そう言えば、コピープロテクトのせいで正規ユーザーが被害を被る、って話は昔からあったね。

CDのリッピングは容易で法的にもセーフだけど、そのせいでCCCDとかいう特級呪物が産まれたし。

ただ、正規ユーザーが被害を受けない限りにおいては、コピープロテクトなどの防衛策で予見される金銭的損害を講じるのは正当だと思う。画像の素材集や映画などにウォーターマークが乗ってたりするのはこのパターン。

でも、無償公開分……収益は考慮しない趣味絵のようなものにまでウォーターマークを適用するのは (正規ユーザーも被害を受けるので) よろしくない。

逆に、Skebはなぜ (依頼した人に渡す分じゃなくて) ネット公開する分の画像にウォーターマークやGlazeなどを施さないのか。処理コストを嫌がっているのか、中の人がその手の技術を好きじゃないのか。

Permalink | 記事への反応(3) | 20:22

2024-11-10

■サル と金子勝でも分かる！マイナ カード 保険証

https://president.jp/articles/-/87827

このままでは国民皆保険が壊れていく…金子勝｢マイナ保険証は政治献金企業が儲かる究極の寄生システム｣

この記事が本当に💩なので、一つずつ説明していきます。

敬称略です。

マイナ カード システムは日本の大手 IT 企業8社が受注しており情報 産業のための救済事業？　日本版オリガルヒ！オリガルヒ！

政治献金と技術的に遅れた日本の情報産業のための救済事業との結びつきは非常に強い。
ほぼ10年間でマイナンバー関連事業を少なくとも3000億円近く発注していると見られるが、大企業8社が共同受注などで独占的に契約している。

そんなことはありません。むしろ、大手 IT 企業はこの手の自治体公共事業が薄利すぎて足を洗いたがっているというのがほぼほぼ現在の状況です。最近では大手の撤退が激しく、元々大手が担っていた部分を別の中堅SIerが無理して受注したものの、ノウハウもなく薄利過ぎて対応出来ず納期通りに納品できない案件が続発しています。そこで、入札参加条件が上げられた結果、入札が予定価格を上回り、随意契約になると言うケースが多発しています。

やり玉に挙がっている8社とは恐らく以下の企業のことです。

見る人が見れば、NTT系が基本を抑えつつ、周辺の企業が参画しているというのがわかると思います。大手5社のコンソーシアムで、NTTコムがメイン、NTTデータ、NEC、日立、富士通の合わせて5社で共同受注しています。そして、他に手を上げた企業はありません。

NEC・日立・富士通は関連公共システム（住基や戸籍、税務システムなど）が関わりそれらとのつなぎ込みが必要になるからですね。

他に手を上げた企業がない上、入札では予定価格を上回ってしまった結果、随意契約と言うケースです。報道によれば、いずれも随意契約にするにあたって、調整の結果入札価格よりも低い価格で受注させているようです。

他、凸版とDNPは物理的なカードの発行業務をやっており、合わせて800億円ぐらいの受注額です。そしてマイナカードは1億枚発行していますので、1枚辺り800円。カードは物理的に1枚300円はしますし、送付事務に使う簡易書留は350円しますので。単純に残りの取り分は150円です。全然高くありませんね。ここで事務手続きなどをやる事になります。数が多いので最大限コストは低く抑えていると思いますし、全てが郵送交付ではないとか細かい話はあるでしょうけれども。

JECCはリース会社です。国の予算の関係でいったんファイナンスを引き受る。大手 IT 企業がごそっと出資している特殊な会社です。金額はでかいですがこの会社が入るのは主に行政の硬直性の問題です。

さて、これは日本版オリガルヒなんでしょうか？

何故か突然旧ソ連・ロシア方面の用語が出てきて面食らった人もいると思いますが、オリガルヒとは、官製の新興財閥だそうで、その方面の人たちからは社会主義国家ソビエト連邦が崩壊したどさくさに紛れて、民間にいくときに出来た悪しき存在という事で、よく批判に出てくる用語です。

さて、彼らはオリガルヒなのでしょうか？

そんなわけないんですね。

一般的にIT 企業が求める水準の利益率とは30%と言われる中、政府系の仕事は利益率が1割を切る事があたりまえです。エンジニア不足の中でやりたくない仕事です。

NTT系が1300億円程度の受注をし、物理的発行やリース会社を合わせて8割以上で、残りとは大きな差があります。ここで金子らなぜNEC 日立富士通を入れたのか。それは5社が献金していると言いたいが為に3社を水増しした感じがしますね。

マイナンバーカードとマイナ 保険証は利便性もセキュリティもまったくないために、普及しない。

まずは、利便性について検討しましょう。金子はこの一文のみ、内容も根拠も全く触れず、まるで自明のような扱いですが事実とは異なります。

政府は、マイナンバーカードの調査を定期的に行っており、最新の結果はこちらです。

https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/8adde791-e214-4b5b-b9ad-4eb89a354dbc/2c98d210/20240321_mynumbercard-promotion_outline_02.pdf

こちらはほぼ1年前のアンケートですが、

取得率は約87%
常に持ち歩いているのは約半数（マイナカード or スマホ証明書利用）
使っている人の多くは利便性を感じている。
- 利用したことのある人の内、最大8割強の人が利便性を感じる。
- 健康保険証に限っても利用したことのある人の半数以上が利便性を実感。

と言う結果が出ています。ほぼ食わず嫌いですね。

少なくとも、利便性が「まったくない」と言う事は「まったくない」ことがわかります。

次にセキュリティについて検討しましょう。

やたら多くの紐付けをするために、なくしたり盗まれたりすると、すべての個人情報が漏れてしまう。

これは事実とは異なります。

ここでは逆に、全ての情報が漏れるにはどのような条件が揃う必要があるかを並べてみると

マイナンバーカードが盗まれる
マイナンバーカードのパスワードが完全に漏れている
マイナポータルのシステムを使うと登録者に行われる各種通知を登録者が見逃す
不正検知システムが何らかの方法でバイパスされる

と言う事が必要。

パスワードを用いずに物理的に情報を窃盗するには

マイナンバーカードが盗まれる
盗んだマイナカードの表面情報を偽造する。
マイナンバーカード以外の何らかの身分証明を行う
自治体職員を騙しきる

と言う事が必要です。

さてこれを「セキュリティがまったくない」と表現するのが適切でしょうか？

現状、これよりも固いセキュリティを強いているシステムは本当にわずかです。

複数種類のカードが発行されて、極めて不効率？

暗証番号のない顔認証マイナ保険証、スマホのマイナ保険証（これもマイナ保険証をスマホに接触させないと使えない無意味なもの）など、数種類のカードが発行される極めて非効率なもの

これは明確に誤りです。何故ならば、1人に発行されるマイナカードは1枚しかないからです。受け取る側のシステムも一つ。

「マイナ保険証をスマホに接触させないと使えない無意味なもの」も誤りです。最初の1回だけ行えばよく、使う時にマイナカードは必要ありません。

初回のそれはマイナカードで認証する為に必要というだけの話です。

さて、金子はこの状況を「数種類のカードが発行される極めて非効率なもの」とする一方で、「多数数の紐付けを止め、一つひとつ独自のOS（オペレーティング・システム）で」を提言しているのですが、整合性がありません。

最初 から スマートフォンとクラウドで対応する能力がなく、

マイナンバーシステムが設計されたのは今から 10年前の2014年ですが、当時はまだスマートフォンに安全に電子証明書を持たせる仕組みがありませんでした。

現在できる様になったのは、日本政府や担う企業なども参画し国際標準規格を作ったからです。ISO18013-5が正式に出来たのは2021年です。最初からできた所は存在しないでしょう。そしてこの規格を世界が利用しようとしています。

技術的にとんでもなく遅れた4桁の暗証番号で顔認証も不安定なプラスチック カード

これも誤りです。いまでもICカードが最も堅いセキュリティ確保の手段の一つです。

それは何故かと言うと、ICカードに入れた鍵は、現実的な手段では取り出す事も複製もできないからです。これはパスワードが漏れていても完全に中身を出せないと言う意味でもあります。

こういったことを言っている人は、大抵プラスチックカードといえば磁気カードの時代で認識が止まっている事が多いです。

ICカードは、単に定型の情報を返すものではなく、このカード自体がコンピュータです。マイナカードを利用する時にパスワードを入れますが、このパスワードはオンラインではなく、カードの中で処理されます。そして複数回数間違えると、カードの中の最も重要な鍵、電子証明書が消されアクセス出来なくなります。また、電子証明書も、このICカードが演算して帰す事で行われます。こういったことを理解しているのでしょうか。

また、顔認証が不安定という詳細が明らかにされていませんが、事実として顔認証は99%の精度があります。たまに「マスクをしていたのに顔認証が通った」という人もいますが、これはマスクをしていても顔認証ができる技術を使っているからです。他人のマイナカードで認証ができてしまったと言った話が出回っていますが、反マイナカード保険証団体の調査した結果2件だそうです。日本の保険医療の件数は数億件ありますが、そのうち2件です。

今回のマイナ 保険証では、日本のIT 企業はクラウドを運営するノウハウに欠けており、時代遅れになっている欠点が露呈してしまった

その理由をオンプレミス方式で、クラウドプラットフォームにしてないからだと説くのですが、今回出てきたトラブルはシステム的なトラブルはほんのわずかであり、ほとんどはインプットするデータの問題でした。

これは、仮にアメリや中国の巨大IT 企業に依頼しても同じ事が起きていたでしょう。

金子は「マイナ保険証のひどい醜態」を自明のごとく上げていますが、その具体的な中身について一切論じていませんが、これが事実だと言う客観的な証拠がありません。全国民が使用しているシステムであると言う事を考えたとき、例外でマイナーなトラブルしか起きていませんが、これはむしろ過剰品質とさえ言える状態です。

元台湾の閣僚 である オードリー・タン氏をデジタル 大臣につければ解決 ！？

オードリー・タン氏は、マイナンバーシステムの普及が必要不可欠だと言う事を自明のものとして扱った上で、普及を進めるにはどのようにしたら良いかと言う点で多くの提言を行っています。

また、台湾は日本以上に全ての情報が「中華民國統一證號」に統一されており、身分証の携帯が義務づけられているなど、日本より遙か前から「国民総背番号制です。前からあるが故にシステムが古い所があって運用に苦労をしているようですが、その全てを捨てて失敗だなという暴論が出ているとは聞いたことがありません。

一つひとつ 独自のOS（オペレーティング・システム）で丁寧にプログラムを組んでいくことが必要？

ちょっとこれの意味が分かりません。金子は、オードリー・タン氏の名前を出した直後にこれを言っているのですが。その段落を全部抜き出すとこうです。

マイナ保険証については、通常の健康保険証廃止を止め、一からやり直して、クラウド上でスマホのアプリにする。多数の紐付けを止め、一つひとつ独自のOS（オペレーティング・システム）で丁寧にプログラムを組んでいくことが必要である。

もっと意味が分かりませんが、ここから頑張ってエスパーしてみます。

一つの IDで多数の結びつけを行うのは危険？

これについては全く逆です。マイナンバーシステムを通じてデータを関連づけすることによって、システム間で生の個人情報を槍と知りなくて良くなると言うメリットがあります。

共通 IDがない場合、一貫した行政処理を行う時には、住所氏名生年月日といった従来からの本人の個人情報で判別するしかなくなります。

一方で統一つぃたIDで管理されている場合は、その結びつけの情報だけでデータのやりとりが出来ます。また、結びつけの情報は中央に存在するシステムが管理するのみで、接続されているそれぞれのシステムではユーザを識別する情報は別々です。中心に存在するシステムを通さないと結びつけが出来ない仕組みになっています。

また、中央のシステムで結びつけの情報を捨てるだけで容易に結びつけが出来なくすることが簡単にできます。

しかし、リアル情報を使ってしまうとそのような事はできません。

一からやり直して、クラウド上でスマホのアプリにするほうがいい？

既にマイナポータルはスマホで動いていますし、一からやり直す必要はありません。

また、既に述べたようにICカードは現時点で全国民規模で動作させるセキュリティとしては最も固いものの一つです。スマホのアプリ専用にするのはセキュリティ（これは情報保護・不正アクセス回避という他に、可用性という意味も含みます）の問題があります。

現在、スマートフォンに入れることが出来る環境が揃ってきましたので、スマートフォンに入れた証明書を普段は使用して、マイナカード本体は家に置いておく、と言うスタイルが可能になります。

また、マイナカードのアプリケーションはいわゆる「クラウド」と呼ばれるシステムで多数動いており、既にクラウド上であると言えます。

一つひとつ 独自のOS（オペレーティング・システム）がよい？

既にOS レベルで独自に作成する意味はありません。それも一つ一つ別のシステムに刷るなどと言う意味はありません。

これは、交通安全のために、全ての自動車の運転方法をバラバラにするべきだ、と言っているようなものです。

また、問題になっているのはその上に乗っているサービスであるため、これによって何かが良くなることはありません。

丁寧にプログラムを組んでいくとよい？

一概には言えませんが、金子が成功例としてあげるGAFAMなどでは「Agile開発」と言われる手法が一般的になっていますが、これは「丁寧にプログラムを組んでいく」から連想されるものとは大きく異なるものです。

そもそも 政府の医療 IT化の方向性が完全に間違っている？

最後に金子はこう述べています。

政府や厚生労働省が描いている医療の姿はまさにこれそのもの（もう少し具体化され、洗練されていますが）だと思いますが、何故これが「完全に間違っている」のでしょうか。

また既に実現している部分があります。

一方で実現されていない部分もあり、それを補うためにマイナンバーシステムを共通 IDとして活用しようと言う事になっています。

感想

ツッコミどころが多すぎるのを真面目に突っ込んでみるということをやってみたが、人生の時間を無駄にしたと思いました。

なので推敲も見直しもせずに上げます。

Permalink | 記事への反応(2) | 23:56

2024-11-08

■anond:20241107202201

楽天は全部ヤバい。

特に楽天銀行はヤバい。

あのサイト、認証なしでID からパスワード、支店名、口座番号、秘密のパスワード全部入力が補完されるから

誰かのPCで楽天銀行のサイトにアクセスして利用履歴があるなら、誰でもログインできる

Permalink | 記事への反応(3) | 10:29

2024-11-07

■ワイ「端末壊れたんでeSIM再発行頼むで」楽天モバイル「契約中の番号でSMS 認証せよ」ワイ「は？」

バッカじゃねーのかな。

この仕組みを考えた奴何も考えてねえだろ。

こう言う頭のいいふりしたバカにシステムを作らせてはいけない。

詳細

eSIMを設定したモバイルルータが死んだので、楽手モバイルでeSIMの再発行手続きをしたところ、二段階認証の表示が出た。

SMSまたは登録のメールでコードを送ったのでみてね、だそうである。

しかし待てど暮らせどメルアドにコードが送られてこない。なんだこれは。

で、楽天モバイルのfaqを漁るとこんなことが書いてあった。

https://network.mobile.rakuten.co.jp/faq/detail/00001914/

継続的にセキュリティー対策を強化しており、5月下旬より一部のお手続きについてワンタイムパスワードの送信方法をメールから SMSに変更しました。

は？

ばっかじゃねーの？　ホテルで部屋のパスワードを忘れたので新しく発行してくれと言ったら、部屋の中にメモを書いておいといたと言うようなものである。鍵を開けるための鍵を鍵の中においてどうするのか。

さらに

送信されるメールには15分間有効と記載されていますが、ワンタイムパスワードの有効期限は発行から 3分です。

とか意味の分からない事も書いてある。なんだこりゃ。

その後 … これ、セキュリティより悪化してない？

どこを探しても見当たらないので、楽天モバイルのチャットサポートに行った。

例によって延々とFAQを検索しろ、このページを見ろと書かれたページを下までスクロールし、チャットサポートをオープンするリンクを見つけるも、最初はbotに繋がり、botに「SMS 認証されてもSMS 受診できないんだが」と入れて上記の何も答えになってないページを案内され「満足しねえよ」のボタンをおし、さらに「解決しねえよ」というボタンをおし（ここで満足をおすと解決扱いになってオペレータ接続のボタンが出てこない）ようやく出てきた「オペレータとの連絡を希望」のボタンを押すことで、真のチャットサポートにたどり着いた。

オペレータとの接続を待たされること1時間弱、出てきたオペレータに状況を伝えると、何と特に本人確認もせず「今から30分間だけ二段階認証を解除するのでその間に手続きしてくれ」と言う答えだった。

そして楽天アプリでリロードすると、今度はワンタイムパスワードを入れると言う画面にならずにあっさりと認証が通って、eSIMがあっさり使える様になった。

使える様になったのはいいんだが……あれ？ワイ、今何にも本人である事の証明とかやってないけど！？

これ余計にセキュリティ悪化してないか？

ばっかじゃねーの？

結論：セキュリティが重要な人は、楽天モバイルを使ってはいけない。今SIMを乗っ取られるとSMSま認証を乗っ取られる事に繋がる。

ということで

楽天モバイルは自社回線のSMS 認証を強制するため、何らかのトラブルでSMSが使えないと詰む。またモバイルルータなどで使っていてもSMSが受信できないので詰む。
なんとかする方法は楽天 ~~トラベル~~ モバイルのサポートに連絡することだが、基本的に電話サポートは繋がらないので、楽天モバイル以外にネット回線を持ってないと詰む。故に楽天モバイルをメインの回線にするのは大きなリスクがある
そして、楽天モバイルのサポートの本人確認はザルで、簡単に突破できてしまう。標的型攻撃を受けるとたいていの人は簡単に乗っ取られるため、それが嫌な人は使ってはいけない。特に著名人や社会的地位がある人は使ってはいけない。

真面目にやれ

これは一体何なのか。シンプルにいって考えた奴はセキュリティのことを何にも分かってない。セキュリティってのは犯罪から守ると言う意味ではない。完全性・可用性についてもセキュリティだ。これはセキュリティの中に警察だけではなく、消防救急が含まれる事からも明らかだ。

しかし、こいつはセキュリティ強化といって完全性・可用性を捨てた。こんな基本的な事すら分かってないやつが楽天で意思決定してんのか？

そして、仮に乗っ取りなどの対策強化と言う点でも、実際のケースを想定して仕組みを組み立てていないので、多要素認証を真っ当にやるよりも安全性が低下している。

確かに電子メールで多要素認証は、メールは盗聴が簡単であると言う点から考えると不確実性は高い。だが、そこでSMSが使えない時に行われると想定される手続きで、SMSを強制したうえで、重大なセキュリティホールを開けてしまう理由にはならない。

例えば、登録されている電話番号から番号通知ありで電話させて認証するだとか、楽天アプリで認証させるとか、決済情報の一部を入力させるとか、eKYCやマイナカード認証を強いるとか、色々で多様な認証を用意しておき、そのうち利用できるものを複数組み合わせるとか、まともな方法はいくらでもある。

要するに手抜きである。そうでなかったらくそばかである。

早く是正してくれ。

追記

楽天トラベル素で間違えたわ。こうやって書くぐらい楽天経済圏に金を落としているのに、ご覧の有様や。

チャットサポートはログインしてないと利用不可だったとしても、eSIM再発行する楽天モバイルアプリとID/パスワードは共通やから何の意味もない。仮にそうでも、楽天経済圏（笑）のワイのような人間は、普段からログインしっぱなしやろうし、再認証とかなくスルーされて気付かん程度だったんだわ。

この状態でこの運用だとセキュリティー的にはザルもザルなことには変わりがない。今回はチャットサポートやったけど電話だとパスワード認証できんやろうしな。

これならメールで2段階認証する方がだいぶマシやろな。

Permalink | 記事への反応(24) | 20:22

■

松屋のモバイルオーダーでクレカ使ってるんだけど最近いちいちメールでパスワード認証を求められるようになって非常にめんどくさい

数百円の少額決済なんだし自動で決済してくんねーかな

Permalink | 記事への反応(1) | 09:52

2024-11-06

■マイナンバー化のご褒美に運転免許 更新講習を簡易化するのは止めるべき

来年 3月から運転免許証をマイナンバーに一体化すると市役所で更新できてオンラインで講習を受けられる様になるという。オンライン講習って動画流してページスクロールして終了ボタン押すと完了ってやつでしょ？

はっきり言って危ないから止めろ。そんなのどうせちゃんと見ない人間多数で講習の意味無くなるだろ。

現状の講習簡略化も問題あり

増田はゴールド免許だ。だから更新は5年ごとで講習の時間も30分で終わりだ。

だが正直、30分では全然足りてない。最初に安全運転啓発ビデオみたいなのを見る。これだけで15分消費だ。その後に口頭で道交法や車両法の改正点や問題視されてる事故類型を説明するのだが、これが全然時間足りてない。だから「あとは『交通の教則』読んでおいてね」で解散となるんだが、どうせ殆どがちゃんと読んでないだろう（増田は全部読む）。

そもそも更新年数が伸びたら法改正点や問題になる危険行為は増えるのに、逆に短縮化してしまうというのが良くない。

ドラレコ 動画のやべぇコメ群

というのもようつべのドラレコ動画なんか見るとなんかやべぇのだ。生活保守というの？危ない運転してるのはDQNで自分は正しい側に居ると信じ切っているような。なんで事故に至るか？という教習所でやった筈の危険予測的な視点がゼロ。

そして道交法などをちゃんと理解していない。

例えば右折の際に道路を向こうから横断する歩行者がいるのにそのままはねてしまったとする。すると「こんなドライバーには運転の資格がない」というコメが並ぶ。

しかし危険予測的な視点で見れば、フロントガラス横のAピラーに死角があり右折行動で車が向きを変えるのと歩行者の動きがシンクロしてAピラーの死角に入り続けてしまったと考えられるのだ。ドラレコはルームミラー裏に設置するからこの死角が無い。しかも最近車の衝突安全基準が高まったせいでこのピラーは太くなっているが、不格好なのでガラス端部の黒塗り、内装などでそれが判り難くなっている。

すると予防としては低速の右左折では顔を横か前後に動かして死角を見る癖を付けるという事になる。

最近流行りのデマの「クルドカー」も同じだろう。殆ど全部が定積載の解体屋トラックだ。そして近年車両法改正があったので「交通の教則」には積載時の最大はみ出し量が載っているのだ。読んでないって事なのだな。

運転は免許を受けてする行為なので業務の一つとして扱われる為、運転が日常行為であってもこういう態度は許されてないのだ。

そこで更新も自宅で動画放置してEULA読み飛ばしみたいな感じで終了でいいのかって事ですよ。

上から命じる形で「ここはこう変わったから覚えておきなさい」とされないとダメでしょ。

大体、視力検査や聴力検査（呼ばれて返事）、深視力（両目が見えてるか）、手足が無くなっていないかという障害の有無の確認なんかはどうすんの？

仮にマイナ免許にするにしても講習の簡略化はすべきではない。

マイナ 免許証というガバガバ セキュリティ

最近もマイナ免許にすれば詐欺が無くなる！という増田が沢山参照されていたが、

https://anond.hatelabo.jp/20241104113721

未だにこういうハイテクっぽいもの＝安全という信者は多く居るんですな。この増田によると、マイナ免許反対は反社か脱税しているか日共との事だそうで程度が知れるのだが、この程度の人でも家のローンを組めると言うのは喜ばしい事でもある。

だがこういう人はこれまでの経緯も通信の仕組みも全然知らない。

ICチップ書き換え、読みだしの容易さ

公衆電話のテレホンカードは一時期、セキュリティが向上する筈だったICカードが導入された。磁気カードより改竄がやり難いとの判断だ。

だが実際はIC リーダを使うとプリペイド額上限の引上げなども簡単で悪用が天井無しになり、旧来の磁気カード式に置き換えという形ですべて撤去されてしまった。

マイナ免許では免許情報をICチップに書き込むという運用を予定している。この時、警官に免許証の提示を求められてパスワードが必要ではナンセンスなので、そのまま読み取り出来るようになる筈だ。今も無接触でリーダにかざすとリーダと端末（パソコンなど）の間はUSB 通信して平文で番号が送られるが、そこに免許情報も追加されるわけ。

って事は誰でも非接触で免許番号や種別拾えるってことだ。

危ない仕様だが、レンタカー屋で免許種別確認、電波が届かない場所での事故処理などを考えたらこうしないと困るのは判る。

だけど、これは満員電車にリーダを持って乗り込み、免許情報を集めて回るという方法が出来ないか？

また諸外国で問題になってるポピュラーな手口として、ATMのクレジットカード挿入口にカードリーダと暗証番号パッドを被せてしまうというのがある。これが格段にやり易くなる。例えばカーシェアの車に免許確認のリーダが設置されたりした場合などだ。

なので全然安全にはならない。

通信

元増田などは銀行やコンビニのATMなどもインターネットを経由していると思ってるかも知れないが違う。これらは専用線が引かれている。インターネットはかなりセキュリティが低い通信システムだ。だからマイナの前の住民基本台帳ネットを作る際には公衆回線と繋げないという事が誓約されていた。

マイナカードはインターネットを使う事が前提で設計されているので暗号化が必須だ。だが暗号化は通信の全部にがされるわけではない。ヘッダの部分は平文なのだ。

そしてこのヘッダ部分に情報を載せてしまうサービスというのは絶対に出てくる。例えばセッション IDに入れてしまうなど。

またセッション乗っ取りによるログインなどもよくある事だ。レンタカー屋や保険代理店、元増田の場合だとARUHI店舗でローン申し込みの際にマイナカードを提示する。その読取り端末が無線だった場合、そのネットワークはちゃんとクローズドになってるの？って事だ。スマホなどWifiでは全部の端末に同じ情報が流される。各端末は宛先が自分以外のデータを全部捨てているだけだ。これは単に約束事なので破ることも出来る。全データを保存するアプリを入れたら免許番号と免許情報が集まる集まるってことだ。