2021年10月16日 (土曜日)

一般に知られていない情報セキュリティ上の脆弱性を報道する行為は犯罪行為となるか?

下記の記事が出ている。

 Missouri Governor Vows to Prosecute St. Louis Post-Dispatch for Reporting Security Vulnerability
 Krebs on Security: October 14, 2021
 https://krebsonsecurity.com/2021/10/missouri-governor-vows-to-prosecute-st-louis-post-dispatch-for-reporting-security-vulnerability/

| | コメント (0)

2021年10月15日 (金曜日)

オプトアウトできない約款

個人情報保護法は,あまりできのよくない法律とはいえ,個人情報の本人に対して幾つかの権利を与えている。

第三者に対する提供停止を含め,利用停止の請求ができることもそのような権利の1つだ。

以前は権利ではなかったが,何回かの一部改正を経て,現在では権利となった。

さて,世間には,第三者提供に同意しないと利用できないというような約款をもつサービスがいくらでもある。

(法律上の義務として個人情報または個人データを提供しなければならない場合は,そもそも適用除外なので問題とならないのだが,それ以外の場合において第三者提供の同意を義務づけることは)それ自体明らかに違法と言える。なぜならば,法定の権利の行使を事前に禁止しているのと同じだからだ。

その点に一応目をつぶるとしても,後になって(アカウントの削除を含め)自動的な利用停止を求めようとしても全く何もできないような仕様になっているサイトが山ほどある。

明らかに個人情報保護法違反の仕様だと言える。

関係官庁は,しっかり世間を見渡し,一所懸命働くべきだ。

単なる凡人の1人であり,かつ,高齢者である。この私でさえ,毎月大量の仕事をこなしている。凡人ではない秀才であれば,当然のことながら,私の何倍もの仕事をこなせるはずだと思う。

ちなみに,天才の場合は,普通の評価基準では評価できないので,仕事量が多いか少ないかは関係がない。一生に1つしか作成しなくても「明らかに天才の作品である」として後世の人々によって大事にされるようなとんでもなく超越的な作品を生み出せる者は,やはり天才の一員なのだ。

***

ダメサイトを見分ける方法は幾つかある。

専門家ではない素人でも見分けることのできる方法の1つは,個人情報保護方針,セキュリティ基本方針,財務状況,役員構成等の基本情報が完全に明示されているサイトかどうかだ。

無論,虚偽の情報であることもあるだろう。しかし,多くの場合はまともな会社だし,情報が開示されていれば検証可能なので,透明性が高い企業は比較的まともだと言える。

そして,明示された個人情報保護方針とセキュリティ基本方針を読めば,どのような考えの経営者なのかを理解することもできる。

それによって,オプトアウトではなく,事前に完全に拒否することが可能となるのだ。

逆にそれらの情報を(容易にみつけられるような状態で)開示していない企業は,何かうしろめたいところのある企業,または,法令順守の能力のない企業であるかもしれない。

 

| | コメント (0)

2021年10月12日 (火曜日)

YesWeHack

下記の記事が出ている。

 ZTE widens bug bounty to focus on 5G security
 ZDNet: Cotober 11, 2021
 https://www.zdnet.com/article/zte-widens-bug-bounty-to-focus-on-5g-security/

| | コメント (0)

2021年10月11日 (月曜日)

オーストラリア:金融機関のシステムは脆弱?

下記の記事が出ている。

 RBA flags ‘inevitable’ significant cyber attack on financial institutions
 ARN: 11 October, 2021
 https://www.arnnet.com.au/article/691957/rba-flags-inevitable-significant-cyber-attack-on-financial-institutions/

| | コメント (0)

2021年10月 8日 (金曜日)

EU:Final Opinion on Synthetic Biology III

EUの科学委員会(Scientific Committee on Emerging and Newly Identified Health Risks, Scientific Committee on Health and Environmental Risks, Scientific Committee on Consumer Safety)による下記の報告書を読んだ。勉強になる。Referenceにある文献(少なくともネット上で入手可能な文献)は,必読だと思う。

 Risks to the environment and biodiversity related to synthetic biology and research priorities in the field of synthetic biology
 https://ec.europa.eu/health/scientific_committees/emerging/docs/scenihr_o_050.pdf

| | コメント (0)

シンガポール:リモートワークの増加がクラウドセキュリティへの脅威を高めている?

下記の記事が出ている。

 Increasing cyberattacks targeting the cloud security network in Singapore
 TechWire Asia: 8 October, 2021
 https://techwireasia.com/2021/10/increasing-cyberattacks-targeting-the-cloud-security-network-in-singapore/

| | コメント (0)

コンビニのセルフレジにおける年齢確認

下記の記事が出ている。

 ローソン 酒やたばこセルフレジ販売へ 人手不足で作業省力化
 NHK News:2021年10月7日
 https://www3.nhk.or.jp/news/html/20211007/k10013296441000.html

ニュース報道なので,ローソンが実際にはどのようにして法令遵守しようとしているのかの詳細はわからない。もし法令遵守を考慮していない疑いがあるときは,例えば,個人情報保護委員会は,直ちに報告徴収の権限を行使すべきだ。

以下は,ローソンとは関係のない,あくまででも一般論。

人間により年齢確認をする場合でも,免許証等の提示により店員が視認で確認することは普通だ。しかし,セルフレジとは根本的に異なる。

人間による視認の場合,(人間の能力は普通言われているよりもはるかに高いので)かなりの精度で分別できる。しかも,視認の場合,正確なデータがデジタルで残されることはないという保証がある。あるとしても店員の記憶だけだ。

これに対し,セルフレジの場合,当該免許証等が真正なものであるかどうかを自動判別する仕組みが必要となるので,当該コンビニの支配権の外にある認証機関や関連官庁のデータベース中のデータとの照合が必要となる。それが適法に行われるための統一的な法令は,現行法の中には存在しない。それゆえ,常に違法行為となるリスクが存在する。日本国の場合,異なる組織間で整合性のとれたデータ照合を安全に実行するためのデータ,データセット及びメタデータの統一仕様が存在せず,そのような分野を規律するための(EUのeIDASのような)統一的な法令が存在しないので,情報セキュリティの観点からも,安全性の検証に手間取ることが予想され,かなり大きな問題が顕在化しつつあることに全ての関係者が明確に気づくべきである。

セルフレジの場合,明示または黙示で,年齢確認の目的のために免許証等の提示が求められる。このことは,逆に,目的外利用が許されないということを意味している。

ところが,セルフレジの場合,提示された免許証のデータをデジタルで自動的に記録し,関連データベースに自動転送することは,極めて容易なことだ。それが目的外利用に該当することは明らかだ。

無論,マーケティング等を含め,様々な目的のために二次利用すること及びデータを第三者提供することを明示し,本人が同意するのであれば,違法行為ではない。しかし,この場合,免許証の提示を求める時点でそのことを顧客が十分に理解できる仕組みを構築することが必要だ。しかも,顧客が了解しない場合,年齢確認のための処理以外の処理を全て機能させないようなキルスイッチの設置が必須となる。そのようなキルスイッチが正常に機能しているかどうか,当該事業者は毎日点検し,定期的に個人情報保護委員会に報告すべきだろう。また,個人情報保護委員会は,「事業者は善人ではない」という前提で,常に猜疑心をもち,定期的にソースコードレベル及びデバイスレベルでの徹底的な検証を実施し,もしごまかしが発見されたときは,関連事業者全部を1年~3年程度業務停止とするくらいの強い覚悟で監督を実施すべきだと考える。問題の発生に備えて,1事業者あたり1兆円程度または相当な額(1億人×推定平均損害額)の担保を事前に積ませるような法制の確立も望まれる。

更に,データを第三者提供する場合,後に,当該顧客が利用停止または削除を求めた場合,当該コンビニのセルフレジから,当該第三者に既にわたっているデータを含め,ワンクリックで全て自動的に消去するような仕組みの構築も必須と考える。当該第三者が外国政府または外国企業であり,当該セルフレジシステムの運営者の支配権が全く及ばないときは,当該運営者に関し,いかなる不可抗力の主張も許さず,無条件で全ての法的責任を負わせるような法制整備も必須だろう。

更に,画像データが保存される場合,運転免許証の形状・画像の複製や模倣と関係する関連法令との整合性が検討されなければならない。

当該事業者内にそのような検討をする能力のある法務部等が存在しない場合,公安当局及び警察当局は,最大限の猜疑心をもって警戒すべきである。

画像データの中に含まれる写真データ等の漏洩があった場合,当該事業者が,いかなる不可抗力の主張も許されず,無条件で全ての法的責任を負うような法制整備も必須である。

セルフレジによって一方的に大量の情報(データ)の提供を要求するのである以上,そのこととのバランスをとるため,事業者側には(一切の責任免除を認めない)無過失責任を原則とするような基本的な法理の確立が望まれる。

このことは,将来の人工知能技術の応用の前段階における「試金石」のようなものであり,もし政府が鈍感なままであるとすれば,(国防の問題も含め)日本国民に未来はない。

そもそも,人出不足の解消が目的と説明されているようなのだが,人出不足であれば総店舗数を削減すべきであり,自動化に投資するのは本末転倒と言える。

小売店の需要のある地域では,小型トラックによる巡回販売事業者や旧来の小売店の復活を推進するような政策が(国家レベルのフェイルセーフの観点からも回復力の観点からも)望ましい。コンビニチェーン等による独占的な支配の時代は「終わり」にしなければならない。

 

[追記:2021年10月9日]

セルフレジにおいて免許証等(外国人の場合,登録証・パスポート等)による自動的な年齢確認の仕組みを導入する場合,偽造・変造の証明書(カード)の使用があり得ること,そして,顧客が誤って別のカード等を使用した場合の対処も考えておかなければならない。

このような場合に検討すべき側面は多方面にわたる。

基本方針の設計の段階では,偽造・変造のカード等が使用されている疑いが自動判別される場合,警察や入管当局等に自動通報する仕組みを予め組み込むかどうか,その自動判別が誤判定だった場合にどのように対処すべきか(怒った顧客に対する個別対応を含む。),自動判定のために記録されえるデータの取扱いをどのようにすべきか,誤判定の場合でもデータを保存するか等を決定しなければならない。それらの基本方針は,当然のことながら,事前に公表されるべき性質のものなので,それを公表することによる結果も全ての範囲にわたって想定し,対処する必要性がある。

顧客が誤って(機密性の高い)勤務先の入退室用カードを使用してしまったというような場合を想定し,かつ,もしそのカードに含まれている電磁的記録が自動的にセルフレジまたはそれと連携するサーバ等の中に記録保存されるような場合を想定すると,そのような記録を残すことは,結果的に,不正アクセス禁止法違反となるような行為または建造物侵入行為またはテロ行為等の原因を発生させ得るリスクがある。そのようなリスクの発生を自動的に排除するような仕組みが設計・実装・運用されなければならない。リスクの存在が容易に想到可能であるにも拘らず何も対処しないことは,不作為による共同正犯または幇助犯の成立を是認し得る要素の1つとなり得る。この点に関して,問題となり得る犯罪類型の中には,共犯的行為または周辺的行為が独立罪として定められていることが多いということを明確に認識する必要性がある。

それらのことと自動的に連動することとして,捜査機関からデータの提供を求められた場合にどうすべきかに関しても,基本方針の設計の段階で明確に定められている必要性がある。データがセルフレジそれ自体ではなく,別のサーバや第三者のデータベース内に記録保存される場合,捜査機関等からの依頼または裁判所が発する記録命令付き差し押さえ命令の執行の場合,それらのデータ転送の経路を順たどり,迅速に対処する必要が生ずることがあり得る。Computer Forensicsの観点からすると,それらの転送の経路が正確であることを証明することが可能なレベルのログの一部を(保証を付して)提供できるような自動的な仕組みを設計・実装・運用することも予め定められる必要性がある。

それらの仕組みは,全て個人情報保護法に定める要件を完全に充足するものでなければならないので,本人から情報提供,利用停止または削除,第三者提供の停止等が求められた場合にも自動的かつ完全に対処できるような仕組みが設計・実装・運用されていなければならないことになる。捜査機関等からの求めによる第三者開示は,法定のものであるので,(理論的には)個々の事業者が利用目的として事前に明らかにしておく必要性のないものではあるが,(顧客対応という観点からは)そのようにして記録されたデータが捜査機関や入管当局等の手にわたる可能性があるということを自動的に明示するような仕組みを導入すべきだろう。

加えて,システムの仕組みが複雑になり過ぎること(または,収益を圧迫するレベルで高コストとなること)を避けるため,使用可能なカード等の種類を限定した場合,必然的に,「差別」の問題が発生することを覚悟しなければならない。特に,視覚等に障害のある者,手指等の触覚または動作に障害のある者や高齢者等を消費者取引行為から自動的に排除してしまうような仕組みは,差別行為そのものとなり得る。日本国民しか所持できない証明書またはカードのみを使用可能とした場合にも同様の差別の問題が発生し得る。

そのような差別の発生を回避するための相対的に合理的かつ有用な方法は,機械装置であるセルフレジではなく人間の店員による顧客対応である。機械装置は,機械装置として設計・実装されている以外の機能を発揮することはできないが,人間であれば臨機の対応が可能である。

現時点におけるEUの人工知能政策の骨格部分,その中でも特に「人間中心主義」の思想から学ぶべきことは多い。

| | コメント (0)

2021年10月 2日 (土曜日)

Flubot Malware

下記の記事が出ている。

 Flubot Malware Targets Androids With Fake Security Updates
 Threat Post: October 1, 2021
 https://threatpost.com/flubot-malware-targets-androids-with-fake-security-updates/175276/

| | コメント (0)

米国:30か国によるサイバーセキュリティに関する国際会合を開催

下記の記事が出ている。

 White House to convene 30-country cybersecurity meeting
 ZDNet: October 2, 2021
 https://www.zdnet.com/article/white-house-to-convene-30-country-cybersecurity-meeting/

 Biden administration to convene 30 countries to crack down on ransomware threat
 CNN: October 1, 2021
 https://edition.cnn.com/2021/10/01/politics/blinken-cybersecurity-alliance/index.html

| | コメント (0)

2021年9月28日 (火曜日)

女性はサイバー攻撃の標的になりやすい?

下記の記事が出ている。

 Women, Minorities Are Hacked More Than Others
 Threat Post: September 27, 2021
 https://threatpost.com/women-minorities-hacked/175038/

| | コメント (0)

より以前の記事一覧