ベネッセが埋めた名簿屋のミッシング・ピース
数百万件規模の個人情報漏洩であれば、過去にも10年前のYahoo! BB事件を筆頭に諸々あったけれども、それが実際に名簿屋で売買され、漏洩元の競合他社からDMが届くなど、露骨なデータ活用まで確認された事案としては史上最大規模ではないか。我が家にもジャストシステムからDMが届いたし、子持ちの知り合いには軒並み届いているようだ。データを販売した名簿屋が堂々と宣伝しているのも新時代の到来を感じさせる。別会社までつくって大層な力の入れようだが、社名と代表者を変えても同じCMS、キャッチフレーズ、代表挨拶、住所では頭隠して尻隠さず、よほど大きなビジネスチャンスと期待したのだろうか。こうやっていくつもの会社をつくって個人データを転売されてしまうと、個別にオプトアウトしても意味がなくなってしまう。
続きを読む弊社が提供する通信教育サービス等のお客様に関する情報 約760万件(最大可能性 約2070万件)
・郵便番号・お客様(お子様とその保護者)のお名前(漢字およびフリガナ)・ご住所・電話番号(固定または携帯)・お子様の生年月日、性別
日本国内でのLINE利用を韓国当局が傍受することは困難
月刊FACTA7月号で、LINEが韓国の国家情報院に通信傍受されているとする記事が掲載された。これに対してLINEの森川亮社長が「国際基準を満たした最高レベルの暗号技術を使って通信されていますので、記事に書かれている傍受は実行上不可能です」と反論、さらにFACTAの阿部編集長が「それが破られているというのが本誌の認識」と再反論している。その後LINEはITMediaの取材に対し「暗号化後データは独自形式、解読は不可能」と回答した。
LINEの開発者向けブログによるとLINEはサーバーとの通信に通常TLS/SPDYを使っているが、3G通信などで遅延が大きい場合には利用者の操作性を優先して暗号化せずに通信を行う場合があると書かれている。データセンターは日本にあるとのことなので、FACTAの記事にある韓国政府のサイバーセキュリティ関係者の発言が仮に事実であったとして、少なくとも韓国国内での遅延の大きな3G回線等を経由したLINEの平文通信は適法かつ容易に傍受できたと考えられる。
続きを読むWe allow for non-encrypted connections. SPDY is usually used with TLS, but this slows down connection times and transfers-especially over mobile connections. Thus we decided to allow for non-encrypted connections over a mobile network.
RSAとNSAとの秘密契約疑惑で揺らぐ暗号システム評価
RSAといえば代表的な公開鍵暗号アルゴリズムで、作者が暗号を商用化するために設立した会社の社名でもある。その老舗がNSAから1000万ドルを受け取って、同社の暗号ツールキットBSafeで、NSAが開発したバックドアを含む擬似乱数生成器Dual Elliptic Curveを標準設定にしたとロイターが報じた。事実であればRSAやBSafeのブランドだけでなく、Dual_EC_DRBGをSP 800-90Aとして標準化したNISTへの信頼も揺らぐ。
続きを読むあるNSAメモは、大胆にもその進捗状況についてこう書いている。「暗号解読機能がオンラインで使えるようになった。これでこれまで捨てられていた大量の暗号化インターネットデータを活用できる」 (略) ReuterがNSAはRSAに1000万ドル払って欠陥アルゴリズムを使わせたと暴露したことによって話は変わってきた。NSAがある種の邪悪な黒幕で、人気のセキュリティー標準を陳腐化しようと必死になっている、と思われていたものが、実は金を使って企業に侵入していたのだから。
Bitcoin考: 貨幣的な、あまりに貨幣的な
久々にBitcoinに興味をもったのはWebSig1日学校2013の基調講演を引き受けた際に紹介しようと思ったのが契機だった。講演の数日前に会社へいく道すがらBBC World NewsのPodcastを聞いていたらFBIによる闇オークションSilk Road摘発の報道で、日本人の中本哲史が開発した電子貨幣として紹介されていた。調べ直して流通量が10億ドルを超えていることや、この数ヶ月の乱高下を知って驚いた。
続きを読む