【パスワードの定期変更3】〜漏洩リスク対策としてのパスワード定期変更

2016 年 2 月 1 日 コメント 3 件

【パスワードの定期変更1】〜まずは結論から
【パスワードの定期変更2】〜なぜ「パスワードの定期変更は無意味」と言ってしまうのか
からの続きになります。

 前エントリーの「【パスワードの定期変更2】〜なぜ「パスワードの定期変更は無意味」と言ってしまうのか」ではパスワードの定期変更の目的を推測リスク対策であると思っていた人が「パスワードの定期変更は無意味」という認識を持ちやすく、また「パスワードの定期変更は無意味」は多くの利用者から歓迎されやすいメッセージであることからそういった認識が広まりやすいということについて説明しました。

 本エントリーではパスワードの定期変更の本来的な目的として考えられる「2 漏洩したパスワードが何らかの方法で漏洩した場合に被害の発生または継続を防止する。(漏洩リスク対策)」の効果について果たして無意味と言えるほどに小さいのかということについて考えてみたいと思います。
 
 本エントリーはテーマ上、昨年書いた「パスワードを定期的に変更することに意味はあるのか?」 の内容と重複する部分が多くありますのでご了承ください。

【漏洩リスク対策としてのパスワード定期変更】
 パスワードを定期的に変更することによって、パスワードがなんらかの理由で流出した場合に悪用される期間を限定することができます。日本ではここ数年アカウント名とパスワードがリスト化されたものを使用して不正アクセスが行われる被害が多く発生しています。このようなパスワードリストは闇サイトなどで販売されており購入した人物が不正な目的に使用します。こう言った攻撃が行われた場合パスワードを一度も変更しない利用者は確実に被害に遭いますが、定期的に変更していた人は漏洩から悪用までの時間がパスワード変更までの時間よりも長ければ被害に遭うことはありません。パスワードリスト攻撃は対象となるシステム以外から漏洩したパスワードを他のシステム対して利用するケースもありますが、対象となるサービスを特定したリストの存在も確認されています。

【パスワード定期変更では遅すぎる?】
 パスワードの漏洩に関する対策としてパスワードを定期的に変更することに意味がないという人の主張として、パスワードの漏洩後攻撃者はすぐに悪用し短時間に損害を与えてしまうので、定期的なパスワード変更では手遅れであるというものがあります。一見もっともな主張のようにも見えますが、実際に発生しているインシデントを見ていると必ずしもそうとも言えないということがわかります。以下で具体的な事例を示しながら解説します。

【漏洩から悪用されるまでの時間】
 まずパスワードの漏洩から実際に悪用されるまでの時間ですが1990年代ではパスワードを盗み出す攻撃者がそのままその権限を悪用するといったケースがほとんどでしたが、2000年代中頃からは攻撃の分業化が進み、不正に取得されたパスワードがリストとして販売され悪用する人物がそれを購入して使用するというケースが多く確認されています。
 2013年12月に発覚した楽天市場に対する不正アクセスのケース[1]では、犯人は約160万件のIDとパスワードを6万5000円で購入、このうち250人のアカウントのポイントを電子マネーに交換、2万5000件が楽天市場にログイン可能であることが確認されていたということです。その後この2万5000件に関して何らかの被害が発生していたという情報は確認されていないので、2万5000件から250件を引いた2万4750件分のパスワードは悪用されることなく犯人の手元にあり逮捕されていなければ不正利用が行われうる状態にあったと言えます。
 同様に2015年4月に詐欺グループが摘発され彼らが利用していたサーバーが押収されたケース[2]ではインターネット通販サイトなどの利用者計約506万人分のIDやパスワードが見つかったと発表されています。このうち実際にIDやパスワードを入力して、通販サイトに接続した痕跡が確認されたのは約6万人分だったと報じられています。つまり506万人分から6万人を引いた500万人分については不正に利用されうる状態で攻撃されることなく保管されていた可能性があります。
 このような事例からも漏洩したIDパスワード等の情報が必ずしも短時間のうちに攻撃に利用されるわけではないということがわかります。

【悪用被害は短時間で終結しない】
 次にパスワードを悪用する攻撃者はすぐに損害を与えて攻撃を完結するのかということについてですが、悪用された時点ですぐに被害が発生しそれ以降は被害が拡大しないというシステムやサービスは意外と少ないと思います。通常システムが攻撃をされてアカウントの悪用が疑われるような場合、すぐにパスワードを変更をしてさらに被害が拡大しないような対応を取るかと思います。悪用されてからパスワードを変更しても手遅れで意味がないというのであればここでパスワードの変更を行う必要はないはずです。
 つまり一度パスワードが悪用されてアカウントに被害が及んだとしてもその時点でそれ以上被害が拡大することがないということはケースは限定的であり、多くの場合一度不正にアクセスされたアカウントはその後も被害が拡大し続ける可能性があります。特にメールやチャットなど継続して情報がやり取りされるサービスやデータファイルなど情報の出入りが継続してあるサービスでは、パスワードの変更によってその後やり取りされる情報漏洩や悪用を防止することが可能となりますのでその効果は無視できないと考えられます。
 2015年10月に福岡県の大学教員が使用するメールアカウントに対して元同僚からの不正アクセスを受けていたケース[3]では2014年10月~2015年5月にわたり計約7000回のアクセスが継続して行われたとされています。この間にメールの内容を盗み見られていただけでなく女性の性的な画像を他の同僚に送信するなどの悪質な嫌がらせも行われていたとのことです。こう言った場合においては不正なアクセスの被害が短時間で完結するわけではなく継続的に被害が拡大します。

【バックドアを設置される?】
 一度パスワードを入手した攻撃者はバックドアを設置するのでパスワードを変更しても悪用を継続できるし変更したパスワードも入手されるので意味がないと考える人もいます。これはWindowsやLinuxなどのOSにリモートアクセス可能なアカウントについてはそういった可能性がありますが、一般に利用されるID・パスワードの多くを占めるWebサービスなどのアカウントの話とは切り分けて考える必要があります。Webアプリケーションの場合は新しいバックドアのようなソフトウェアをインストールすることはできませんから一般的な意味でいうバックドアが仕込まれることは考えにくいでしょう。一般にOSへのリモートアクセスをパスワードだけで可能とするようなサービスの提供は危険であり、証明書やトークンの利用など認証方式自体を見直すべきでしょう。OSのリモートアクセス用のパスワードの話とWebアプリケーションのアカウントの話を混同してしまっている人も少なくないように思われます。

【パスワードが漏洩し続けるから変更しても無駄?】 
 パスワードが漏洩するようなサービスまたは利用者であれば定期的にパスワードを変更したとしてもそのパスワードもまた漏洩するのだから意味がないと考える人もいます。確かにパスワードを盗む人と悪用する人が同じであればそういうこともあるかもしれません。しかし先に説明したように最近ではパスワードを入手する人物とそれを悪用する人物は異なるケースが多くなっています。漏洩元と悪用者までの間で常にパスワードの情報を同期し続けるようなシステムが構築されれば変更による被害防止効果は薄れますが、パスワードを変更しない人が多くなればなるほど攻撃者はそこまで労力を払うことなくアカウントを悪用することが可能です。
 
【不正アクセスや情報漏洩の被害が発表されたら変更すれば良い?】
 被害が発生すれば100%すぐに発覚し発表されという前提であればこう言った考え方もあるかもしれませんが、被害が発生しても気づくまでに数年以上かかるケースも珍しくはなく、当然気づかれないままのケースもあります。また気づいても公表されないケースも存在します。2014年に発見され大きな問題となったHeartbleed脆弱性のようにソフトウェアの欠陥によって情報漏洩が発生する状態がサービス提供者が気づかれることなく長期間放置されているといったケースもあります。被害が発生すれば必ず短時間で発見され公表されるという前提はあまりにも楽観的過ぎると言えるでしょう。知らないうちにパスワードが漏洩し第三者の手に渡ってしまっているかもしれないことを想定した対策の一つとして、定期的なパスワード変更が有効に働く可能性は十分あると考えられます。

【サービス毎に違うパスワードをつければ良いのでは?】
 これまで何度か話に出てきたパスワードリスト型攻撃に対して、同じパスワードを異なるサービスで利用している場合のリスクが大きくなるためパスワードを使いまわさないようにといった注意喚起が行われています。これによって漏洩した他のサービスのパスワードを利用した不正アクセスをされることはなくなりますが、対象サービスそのもののパスワードが漏洩した場合は、被害にあってしまいます。パスワードリストが流通する場面の多くはどのサービスに有効なものなのかを明記した上で販売されることが少なくありませんので、他のサービスからのパスワードの悪用だけを脅威として考えるだけでは十分とは言えないでしょう。また実際に全ての利用者がサービス毎に違うパスワードをつけるというのも現実には難しいと思われ、そのような状態にはならないことが予想されます。
 
【サービスの提供者がしっかりパスワードを保護すれば良いのでは?】
 パスワードの漏洩はサービス提供者側(サーバー側)だけから起こるわけではなくフィッシングやコンピュータウイルスの感染、ショルダーハッキング(盗み見)など利用者側でも発生する可能性があります。(またサービス提供者は様々なソフトウェアを使用していますがこういったソフトウェアには常に多くの脆弱性が存在しています。こういった脆弱性についてはその存在が発見されて公表されるものもあれば公表されることなく悪用され続けるものもあります。各サービス提供者の努力だけではこのような未知の脆弱性についてまで対策を行うことは困難であり一般的ではありません。広く世界中のサーバーで利用されているOpenSSLに見つかったHeartbleedの脆弱性によって、世界中のサーバーから気づかれることなく利用者のパスワードなどが漏洩する状態が長い間放置されていたことが確認されています。

【生のパスワードを保管しているサービスは意外と多い】
 パスワード漏洩の問題のいくらかの原因はシステム側に利用者のパスワードがプレーンテキストもしくは簡単に復号できる状態で保存されていることにあります。そのためシステムにパスワードを保存する際はシステム側では元のパスワードを復元できないように適切にソルト及びストレッチの処理を施したハッシュの形式で保存することが望ましいとされています。しかし現実にはバックエンドのシステムとの連携等様々な理由により生のパスワードが平文で保存されているケースも少なくありません。私自身システム関連の業務や監査の際にこのような生のパスワード群に接する機会を持つことが少なからずあり、そのたびにこれらのパスワードが短い期間のうちに変更されることを願わずにはいられません。また普段そんなことはあってはならないと言った発言を行う方々の組織においても、その後よく調べてみると実は生のパスワードを管理していたというケースも何度となく経験しています。
 2015年7月に総務省が行い公開した調査[4]では回答が得られた28社のうち、有料サービスでは28%、無料のサービスでは70%がパスワードのハッシュ化を行っていないことが確認されています。またいくつかのサイト[5][6]に一部がまとめられているように平文パスワードが取得可能なサービスも継続的に確認されています。

【漏洩リスク対策としてのパスワード定期変更のまとめ】
本エントリーではパスワードの定期的な変更について「2 漏洩したパスワードが何らかの方法で漏洩した場合に被害の発生または継続を防止する。(漏洩リスク対策)」の観点からの効果を中心に解説をしました。ここまで書いてきたようにパスワードを定期的に変更することによってパスワードが漏洩したような場合に次回変更以後その漏洩したパスワードを無効化することができるという効果があります。パスワードを利用した認証において他に同様の効果を得るには二段階(要素)認証を適用するなどが考えられます。それらを利用していない場合においてパスワードを定期的に変更することはパスワードの漏洩リスクに対して一定の効果が得られることが過去の事例等と照らしても言えるかと思います。

【参考情報】
[1] IDとパスワードが流出! キミの楽天ポイントも知らずに盗まれる?(Livedoor NEWS, 2013/12/21)
http://news.livedoor.com/article/detail/8368351/

[2] 楽天、LINE、amazon利用者は注意! 中国向けサーバー流出のID使い約6万人分不正接続(産経ニュース, 2015/4/17)
http://www.sankei.com/affairs/news/150417/afr1504170035-n1.html

[3] 長崎大助教を逮捕=不正アクセス容疑-福岡県警など (時事ドットコム, 2015/10/14)
http://www.jiji.com/jc/zc?k=201510/2015101400405

[4] ウェブサービスに関するID・パスワードの管理・運用実態調査結果(総務省, 2015/7/30)
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000099.html

[5] パスワードを平文で送ってくるっぽいサイトまとめ
https://cleartext.azurewebsites.net/

[6] これは危険!生パスワードを保存しているサイトまとめ 
http://matome.naver.jp/odai/2138665666982620701

(今後の執筆予定)
【パスワードの定期変更4】〜パスワード定期変更のコストとメリットの評価について
【パスワードの定期変更5】〜まとめ

【パスワードの定期変更2】〜なぜ「パスワードの定期変更は無意味」と言ってしまうのか

2016 年 1 月 28 日 コメント 2 件

【パスワードの定期変更1】〜まずは結論から
からの続きになります。

【「パスワードの定期変更を行う目的」についての認識のズレ】

 セキュリティ専門家を含む多くの人が「パスワードの定期変更は無意味」と言ってしまう、言いたくなってしまう理由は複数考えられますが、原因の一つはセキュリティ上の対策として「パスワードの定期変更を行う目的」についての認識にズレがあるからです。「パスワードの定期変更を行う目的」として一般に言われているものとしては以下の二つが挙げられます。

 1 パスワードを総当たりによって推測されることを防止する。(推測リスク対策)

 2 漏洩したパスワードが何らかの方法で漏洩した場合に被害の発生または継続を防止する。(漏洩リスク対策)

 私が見る限り「パスワードの定期変更は無意味」と言ったりその話を聞いてなるほどと思う人の多くは、「パスワードの定期変更を行う目的」を1番の推測リスク対策であると認識しているように見受けられます。一方「パスワードの定期変更は無意味」とは言えないと考える人の多くは「パスワードの定期変更を行う目的」を2番の「漏洩リスク対策」であると認識している、あるいはその意義を認めている人であると思われます。

 1番の「パスワードを総当たりによって推測されることを防止する。」については、変更したパスワードに対して試行するパスワードが偶然一致する確率が存在するため、その効果は最も良い条件においてパスワードを推測するために必要な平均試行時間を最大でたかだか2倍にする程度の効果しかないことがわかっています。
 
 特にオンライン状態での攻撃を想定した場合、この最も良い条件とはパスワードを推測しようとする攻撃者が自由にパスワードの試行を行うことができる状態を想定したものであり実際にはこれは現実的ではありません。多くのシステムでは何度かパスワード試行の失敗が連続すると次のパスワード入力まで一定時間待たなければならなかったりアカウント自体がロックされるなどの対策が行われるのが一般的です。そのため、ここで計算の対象となるような連続したパスワード試行が行えるケースは実際には少なく、仮にそう言った機能がないサービスがあるとすれば無限にパスワード試行ができる状態自体を改める必要があるでしょう。
 
 オフライン状態での攻撃を想定した場合、すなわちパスワードがハッシュ化されたデータとして漏洩しこれを攻撃者が解析するという場合を考えます。このケースはさらにこれらハッシュデータが継続的に漏洩する場合と、一度だけ漏洩しその後は漏洩しない場合(例えば退職者のデータ持ち出しなど)に分けることができます。前者の継続的に漏洩する場合については常に変更された最新のデータに対してパスワードの推測を行うこととなり、これは先のオンラインでの試行回数の制限がないというケースと理論的に同じ状況になります。一方で後者のハッシュ化されたパスワードの一度だけ漏洩しその後漏洩することがないケースについては、パスワード定期変更の効果としては推測リスク対策というよりは漏洩リスク対策としての意義が生じることとなります。(悪用の時点でパスワードが変更されていることによって効果が生じるため。)
 
 つまりどのようなケースについて検討しても「パスワードの定期変更を行う目的」としては1番の「パスワードを総当たりによって推測されることを防止する。」はその意義を見出せないということとなります。

 つまり元々「パスワードの定期変更を行う目的」としては1番の「パスワードを総当たりによって推測されることを防止する。」の認識はあり得ないのです。しかしそのようなパスワードの定期的な変更の目的に関する誤認は広く存在しており、警視庁のサイトなどにも「長期間利用しているパスワードは破られる可能性もあるため、パスワードを定期的に変更することでセキュリティを高めることができます。」など誤った記述が存在しています。「パスワードの定期変更は無意味」という人の多くは「パスワードの定期変更を行う目的」として1番の「パスワードを総当たりによって推測されることを防止する。」であると考えており、上記のような「パスワードを総当たりによって推測されることを防止する。」の効果が小さいということを認識した際に「パスワードの定期変更は無意味」であることがわかったという発想に結びつきやすいものと考えられます。
 
 「パスワードの定期変更は無意味」と考えている人の中にここまで読んで、いやいや自分は2番の「漏洩したパスワードが何らかの方法で漏洩した場合に被害の発生または継続を防止する。(漏洩リスク対策)」についても考えた上で「意味がない」と言っているんだよという人もいることでしょう。この部分の議論については次の
【パスワードの定期変更3】〜漏洩リスク対策としてのパスワード定期変更」というエントリーで一律に「意味がない」とは言えない説明を書いていますのでご確認ください。
 
 本エントリーのテーマである「なぜ『パスワードの定期変更は無意味』と言ってしまうのか」に話を戻したいと思います。

【「パスワードの定期変更は無意味」は好意的に受け止められる】 

 「パスワードの定期変更は無意味」と言ってしまうもう一つの理由は、日々多くの人がパスワードの定期変更を強制されたり求められることにウンザリしており、「パスワードの定期変更は無意味」という主張やメッセージはその真偽を問わず好意的に受け止められる傾向にあるということがあります。実際に「パスワードの定期変更は無意味」といったメッセージを含む記事は大変話題になりやすくメディアサイトなどでは容易にPVを稼ぐことができます。またツイッターやフェイスブックなどSNSでも賛同され拡散されやすいために多くの人の目に触れることとなります。 
 
 そしてこの「パスワードの定期変更は無意味」というメッセージはパスワードの定期変更を強制したり、推奨する事業者やシステム管理部門を批判するための格好の材料として使われ、時に「パスワードの定期変更は無意味であることを分かっていない」と言った表現が用いられます。有名な人が言っているから、や大手企業のGoogleが推奨していないからと言ったことを根拠として「パスワードの定期変更は無意味」であることが確立された客観的事実であるかのように語られることもあります。そしてその考えに基づき企業やシステム管理者を馬鹿にしたり強く批判する発言を行うため、後からその考えを改めることができなくなるという状態に陥ってしまいます。

【「パスワードの定期変更は無意味」と言ってしまう理由】
 
 つまり「パスワードの定期変更は無意味」と言ってしまう理由は、「パスワードの定期変更の目的」を「パスワードを総当たりによって推測されることを防止する。(推測リスク対策)」ことであると考えている人が、この効果が想定していたほど高くないことを知らされた時あるいは気づいた時に、「2 漏洩したパスワードが何らかの方法で漏洩した場合に被害の発生または継続を防止する。(漏洩リスク対策)」の効果に十分思いを巡らせることなく「パスワードの定期変更は無意味」だと考えてしまうためであり、またそれが多くの人にとって望ましい事実のように受け取られるため、その言説の真偽に関する十分な評価が行われないまま広まってしまうことがさらにそう言った状況を生みやすくしていると考えられます。

(続編)
【パスワードの定期変更3】〜漏洩リスク対策としてのパスワード定期変更

(今後の執筆予定)
【パスワードの定期変更4】〜パスワード定期変更のコストとメリットの評価について
【パスワードの定期変更5】〜まとめ

【パスワードの定期変更1】〜まずは結論から

2016 年 1 月 28 日 コメントはありません

 ここ2年ほど続けてきたパスワードの定期的な変更をめぐる日本での一連の議論について論点も出尽くしたように思われますので、これまでの議論の経過についてまとめておきたいと思います。まず最初に本エントリーにて私の認識を結論として記述しておきます。内容は当初より変わるものではありませんが誤解のないように自身のスタンスを明確にしておきたいと思います。

【結論】
 パスワードを定期的に変更することによるセキュリティ上の効果に関する評価はケースバイケースであり、システムの用途や個々の利用者の利用形態によって意味がある場合もあればない場合もある。そのために一律に意味があるとも無意味であるとも言うことはできないと考えています。
 
 また、私は「パスワードの定期変更は無意味」と言う表現を客観的事実についての表現として使用すべきではないと考えています。その理由は、こういった表現によって多くの事実誤認が生じていると感じているからです。(個人の考えとして「パスワードの定期変更は無意味《だと思う》」といった表現については他人がとやかくいうことではないと思います。)

 ここで言う事実誤認とは「パスワードの定期変更にセキュリティ上のリスク低減効果がないことが科学的に認められている」という誤った認識がされることです。この事実誤認はさらに「パスワードの定期変更は無意味」という発言を行う原因ともなっており、さらに事実誤認が広がるという悪循環に陥っていると考えられます。

【サービス提供者としての考え方】 
 サービス提供側がパスワードを定期的に変更することを強制したり過剰にうながしたりすることは、多くの利用者にとって負担となり不評となることが多いので施策の採用についてはパスワード以外の認証方法の利用を含め慎重な検討が必要です。私自身は一般的に全ての利用者に対して一律にパスワードの定期変更を強制または推奨すべきと判断されるケースはそれほど多くないと考えています。認証方式の設定については単純に認証の仕組みだけでなく、初期設定や連続した認証失敗への対応、アカウント停止後の回復方法など総合的に検討する必要があります。例えば一定期間パスワードの変更がない場合にログインを停止したとしてもアカウントの復活方法が簡単なのであれば一定期間パスワード変更のないアカウントをロックし、必要に応じてパスワードを利用したログインを復活させるという方法での運用も考えられます。(電子メール送信によるパスワードリセットは認証方式として安全ではありませんが実態として現在多くのサービスで利用されています。)同時にパスワードを定期的に変更することによってパスワードを忘れる可能性が増えたり変更を繰り返すことで弱いパスワードを設定するようになるなどのセキュリティ上のデメリットがあることもありますのでこれらへの対応も合わせて検討する必要があります。

【利用者としての考え方】 
 個々の利用者としてはサービスや扱う情報の性質、利用形態、二段階(要素)認証など他のの認証方式利用の是非などを踏まえパスワードの定期的な変更を行うことによるメリットとデメリットなどを合わせてパスワードの定期変更を行うべきかを考える必要があります。利用する全てのサービスやアカウントについて一律にパスワードの定期変更が必要かどうかを考えるのではなく、それぞれ個々のサービスの自分の利用形態などに合わせて要否を考えるべきでしょう。利用者にとってパスワードを定期的に変更を行うべきか否かの判断には、アカウントが不正利用された場合に自身また他者に対してどの程度のマイナスの影響が及ぶのか、また定期変更を行うにあたり自身がどの程度負担を感じるのか、他のサービスと同じパスワードを設定しない、推測されやすいパスワードを設定しないなど他のセキュリティ要素を損なうことなく実現できるか、またパスワードを忘れずに管理できるかなどの要素も考慮する必要があります。
   
【「パスワードの定期変更は無意味」という表現について】 
 「パスワードの定期変更は無意味」と言う表現を使用すべきではないということについて「誰も本当に無意味だとは言っていない」「全く意味がないと言っているわけではない」、「コストに見合うだけのメリットがないという意味で言っている」などと言った主張をされる方がいますが私が問題視しているのは「パスワードの定期変更は無意味」という言葉そのものであり解釈の内容を問うものではありません。むしろそのように解釈にブレが生じる表現が用いられていることが事実誤認を生む原因となっていると言えるでしょう。
 
【「定期的」という表現について】
 一連の記述について経緯上「定期的」という表現を用いていますが、一般にパスワード変更の文脈において「定期的」とは「一定の期間を超えないうちに」という意味で使われる表現と認識しており、必ず一定の期間毎に変更するという意味を意図するものではありません。これは一定期間を最長とする不定期な変更を含むものと認識しています。

(続編)
【パスワードの定期変更2】〜なぜ「パスワードの定期変更は無意味」と言ってしまうのか
【パスワードの定期変更3】〜漏洩リスク対策としてのパスワード定期変更

(今後の執筆予定)

【パスワードの定期変更4】〜パスワード定期変更のコストとメリットの評価について
【パスワードの定期変更5】〜まとめ

日本年金機構情報流出事件と国家的対応

2015 年 6 月 4 日 コメントはありません

 日本年金機構の標的型メール攻撃への事前対策として何がまずかったかというのは、当該職員の業務要件がわからないと判断できないから何とも言えない。添付ファイルが実行ファイルだったとしたらそれは落としておくべき。事後対応についても十分とはいえないけどまぁ平均的な対応はとられているという印象。

 肝心の誰が何を目的に行っているかについて、限定された情報から推測するに2005年頃から政府機関に対して継続して行われている一連のサイバーエスピオナージの手口に類似。中国(場合によっては北朝鮮)に関係のある機関が日本に対して行う情報収集または撹乱の準備行為の可能性が高いと思われる。

 今回確認されているのは氷山の一角。今も様々な政府に近い公的機関や企業等で発生している話。バックドアが設けられ情報が漏洩し、メールは筒抜け、遠隔操作可能なサーバーや端末が無数に存在している。これはある意味、国家に対する諜報的な活動の可能性が高いわけだからその対応の責任を個別の一般省庁に求めるのは酷。10年以上以前から同様の事象を確認していながら未だにそのような行為が止められていない状態であることが問題。

 では、どうするか。以前よりずっと言っているのだけどもオールジャパンで国家的な情報システムの大掃除をする。一定期間を設け全国的に不正アクセスや情報漏洩の痕跡を探し出す。対象としては全省庁、政府関係法人、重要インフラ企業、一定規模の国関連の業務受託企業+自治体・公共団体等、その他任意参加を呼びかける。そして様々な組織に潜んでいる乗っ取られた端末やバックドアを一掃する(実際にはそこまでできないが)。これによって被害の実態とその証拠の保全を行う。なるべく多くの情報を抽出する動機付けとして、この期間に報告された事態については組織の管理責任をある程度免責することを保証する。

 これらのプロセスを経て得られた情報は国際的なサイバーエスピオナージの実態を示す貴重な情報となる。この情報を元に同種の被害にあっている関係諸国との協力体制を構築し国際世論を喚起することによって外交的な圧力を強め、攻撃元あるいは踏み台となった機関に協力を依頼しつつ関係諸国の政治的な対応を求める。

 少しは前進しているが2000年の省庁Web改ざん事件の時に話したことと基本的には変わっていない。

パスワードを定期的に変更することに意味はあるのか?

2015 年 3 月 15 日 コメントはありません

 皆さんはパスワードの定期的変更、してますか? 私ですか? 私はしていません。でも、使用するサービスで情報漏洩があった時やパソコンを買い換えるタイミングなど時々変更するようにしています。

 パスワードを定期的変更は無意味だという人がいます。私は無意味であるとは考えていません。パスワードを定期変更しなかったとしても多くの人が不正アクセスなどのセキュリティ被害にあうこともなく平穏な日々を過ごしていることが多いでしょう。そのためパスワードを定期的に変更しなくてもパスワードの盗用によるセキュリティ被害に遭うことはないと感じてしまいます。

 一方、なんらかの理由(フィッシングサイトに入力してしまった、コンピュータウイルスに感染し盗まれた、サービス提供企業の管理者が不正に持ち出したなど)で流出したパスワードが闇サイトでパスワードリストの形で販売されたような場合はどうでしょうか。パスワードを一度も変更しない人は確実に被害に遭いますが、定期的に変更していた人は漏洩から悪用までの時間がパスワード変更までの時間よりも長ければ被害に遭うことはありません。

 (私はパスワード定期変更は一般的に効率が悪い対策と考えこれを推奨する意図は持っていません。ただその効果について一律に否定する必要もないと考えています。ここではパスワードの定期的な変更は意味がないというようなことを言われている方々がその根拠として示される主張についてその矛盾点を指摘し、私がパスワードの定期変更が無意味とは言えないと考える理由などについて説明したいと思います。[3/15 22:20追記])
 
■攻撃者は短時間で攻撃を完了する? 
 パスワードの定期変更に意味がないと考える多くの人は、不正を働くような人物は「長期間に不正アクセスを続けない。ワンショットで必要なモノを手に入れたりバックドアを仕込む」( https://twitter.com/akira_mori0120/status/576016428861562880 )と考えることが多いようです。ですから定期的にパスワードを変更したとしても変更される前に被害が発生してしまいその後も被害が発生することもないので意味がないと考えているようです(私がそう考えているわけではありません)。

 果たしてこれは本当でしょうか?2013年12月に購入したパスワードリストを不正アクセスに使用した人物が逮捕されたケース( http://news.livedoor.com/article/detail/8368351/ )では、約160万件のIDとパスワードを6万5000円で購入、膨大なパスワードとIDを一件ずつ楽天市場のログイン画面に入力し250人からポイントを電子マネーに交換、2万5000件が楽天市場にログイン可能だったということです。記事では時間的な経過は明確には書かれていませんがその後もこの2万5000件について何らかの被害が発生していたという報道は出ていないようです。そのため2万5000件から250件を引いた2万4750件分のパスワードは悪用されることなく犯人の手元にあり不正利用が行われうる状態にあったと言えます。つまり犯人は不正アクセス可能な全てのアカウントについて即座に悪用しているわけではなかったということです。
(同様に2015年4月に発覚した事件(http://www.yomiuri.co.jp/it/20150417-OYT1T50074.html)では詐欺グループが管理するサーバーからインターネット通販サイトなどの利用者計約506万人分のIDやパスワードが見つかった発表されていますが、そのうち実際にIDやパスワードを入力して、通販サイトに接続した痕跡が確認されたのは約6万人分だったと報じられています。つまり506万人分から6万人を引いいた500万人分については不正に利用されうる状態で攻撃されることなく保管されていた可能性があります。
これらの事例からも漏洩したIDパスワード等の情報は必ずしも短時間のうちに攻撃に利用されるわけではないということがわかります。[5/15 23:55追記])


■被害にあってからパスワードを変更しても意味がない?

 すでに被害にあってしまってからパスワードを変更しても手遅れで意味がないという人もいます。攻撃対象となるサービスが電子メールやストレージサービスなどなんらか利用者にとって重要な情報を保存する可能性のあるものだったとしたらどうでしょうか。攻撃者はワンショットで必要なモノを手に入れるのでその後にはもう被害は発生しないのでしょうか?電子メールやストレージサービスでは継続的に新しい情報が入ってきます。ワンショットで必要なものが手に入れらた後に入ってくる情報(新しく送受信するメールや保存されるファイル等)には価値はないのでしょうか?サービスの内容によっては一旦不正にアクセスされた後でも被害が継続するものと思われます。一度不正にアクセスが行われた後であってもパスワードを変更することによってそれ以降の被害を防ぐことが可能です。不正アクセスが発覚したサービスなどが被害発覚後に利用者に対してパスワードの変更を求めるにはそういった意味があると思います。

■攻撃者はバックドアを仕込む?
 一度パスワードを入手した攻撃者は簡単にバックドアを設置するのでその後も悪用を継続できるしパスワードを変更しても変更したパスワードを入手されると考える人もいるようです。これはWindowsやLinuxなどのOSにリモートアクセス可能なアカウントについてはそういった可能性はありますが、世に出回るIDパスワードの多くを占めるWebサービスのIDパスワードの話とは切り分けて考える必要があります。Webアプリケーションの場合は通常そのアカウントで新しいソフトウェア(バックドアを含む)をインストールすることはできませんから一般的な意味でいうバックドアが仕込まれることは考えにくいでしょう。アプリケーションの機能によっては受信したメールなどを別のアドレスに転送することなどによって限定的なバックドアのようなものを設置される可能性はありますが、だからといって変更したパスワードを盗まれるようなことにはならないでしょう(よほど危険なアプリの作り方をしない限り)。バックドアの設置に関してはOSのリモートアクセス用のパスワードの話とWebアプリケーションのアカウントの話を混同してしまっている人も少なくないように思われます。

■変更してもパスワードが漏洩し続ける? 
 パスワードの定期変更に意味がないと考える多くの人は、パスワードが漏洩するようなサービスまたは利用者であれば変更したパスワードもまた漏洩するのだから同じと考えるようです。確かにパスワードを盗む人と悪用する人が同じであればそういうこともあるかもしれません。しかし上記のように最近では誰かが盗んだパスワードをリスト化して販売してそれを購入した人が悪用をしているようなケースが多くなっています。漏洩元と悪用者までの間で常にパスワードの情報を同期し続けるようなシステムが構築されれば変更による被害防止効果は薄れますが、パスワードを変更しない人が多ければ攻撃者がそこまで労力を払う必要はありません。
 
■不正アクセスや情報漏洩の被害が発表されたら変更すれば良い?
 被害が発生すれば100%すぐに発覚し発表されるのであればそういった考え方もあるかもしれませんが、被害が発生しても気づくまでに数年以上かかるケースも珍しくはありませんし、当然気づかれないままのケースもあります。また気づいても公表されないケースも存在します。(後述するHeartbleed脆弱性のようにソフトウェアの欠陥によって情報漏洩が発生する状態がサービス提供者が気づかれることなく放置されているといったケースもあります。[5/16 00:16追記])
被害が発生すれば必ず短時間で発見され公表されるという前提はあまりにも楽観的過ぎます。知らないうちに被害にあっているかもしれない、あるいは被害に遭う原因となるパスワードが第三者の手に渡ってしまっているかもしれないということを想定した予防的な対策として定期的なパスワードの変更が行われています。

■定期変更よりも優先すべきセキュリティ対策がある?
 パスワードの定期変更をする以前にすべきことはサービス提供者側にも利用者側にもいろいろとあります。(例:パスワードの使い回しを止める、複雑なパスワードをつける、二段階認証を利用する、ユーザーIDの使い回しを止める)だからといって、パスワード以外の認証手段が利用されていない状況ではパスワードの定期的な変更の意味が無いということにはなりません。
 
■サービス毎に違うパスワードをつければ良いのでは?
 パスワードの使い回しをしなければ大丈夫でしょうか?他のサービスに関して漏洩したパスワードを別のサービスに適用して不正アクセスされることはなくなりますが、そのサービスに関するパスワードが漏洩した場合にはやはり被害にあってしまいます。パスワードリストが流通する場面の多くはどのサービスのアカウントかを明記した上で販売されることが少なくありませんので、他のサービスからのアカウント(パスワード)の悪用だけを脅威として考えるのでは十分とは言えないでしょう。 また実際に全ての利用者がサービス毎に違うパスワードをつけることを想定するのは現実的ではないと思われます。パスワードをサービス提供者側で指定するなどしない限り多くの利用者は今後も複数のサイトで同じパスワードを利用し続けると考えるのが現実的ではないでしょうか。

■サービスの提供者がしっかりパスワードを保護管理すれば良いのでは?

 パスワードの漏洩はサービス提供者側(サーバー側)だけから起こるわけではなくフィッシングやコンピュータウイルスの感染、ショルダーハッキング(盗み見)など利用者側でも発生する可能性があります。(またサービス提供者は様々なソフトウェアを使用していますがこういったソフトウェアには常に多くの脆弱性が存在しています。こういった脆弱性についてはその存在が発見されて公表されるものもあれば公表されることなく悪用され続けるものもあります。各サービス提供者の努力だけではこのような未知の脆弱性についてまで対策を行うことは困難であり一般的ではありません。最近では2014年1月にHeartbleedと呼ばれるOpenSSLの脆弱性が発見されています。OpenSSLのソフトウェアは広く多くのサーバーに利用されていたため世界中のサーバーが利用者のパスワードなどが漏洩しうる状態で長い間放置されていたことが確認されています。[5/15 23:45追記])

■膨大な数のサービスのパスワードを異なるものを設定し全てを定期的に更新するのは現実的ではないのでは?

 はい。人によっては現実的に全てのパスワードを定期的に更新することはツールを使うか紙に書くなどしない限り難しいと思います。利用者の負担が大きすぎるということも理解します。だからといって定期的にパスワードを変更することによるセキュリティ上の効果が変化するわけではなく、意味があったものが意味が無いことになるわけではありません。
 
■で、結局パスワードは定期変更すべきなの?
 パスワードの定期変更に一定の意味があるのであれば利用者にパスワードの定期変更を強制または推奨すべきでしょうか?パスワードの定期変更というセキュリティ対策はそれによってセキュリティの攻撃を抑止する機能を持つものではなく、なんらかの事情(サービス提供側・利用者側の原因を問わず)によりパスワードが漏洩し悪用される状況において実際にそのパスワードが悪用される可能性を低下させる働きを持ちます。また間隔にもよりますがパスワードを定期的に変更するということは利用者にとっての負荷が高く最も不評な対策の一つです。そういった対策のプラス面マイナス面を考慮すると一般的にはパスワードの定期変更は効率の良い対策とは言えません。そのため私自身が定期変更を積極的に推奨することはほとんどの場合においてありません。

 しかしながらパスワードの定期変更の推奨や強制が全く必要ないあるいはすべきではないかというとそうでもないと思います。「セキュリティは最重要事項だ」というような人や組織は(パスワード以外の認証方式を導入すべきですがなんらかの理由で[3/15 17:45追記])パスワード以外の認証手段を利用できない状況においてはパスワードの定期変更を(推奨あるいは強制)考えても良いでしょう。多少利便性が下がろうが利用者の負担になろうが「最重要」なセキュリティには代えられないわけです(私自身は一般にセキュリティが最重要とは考えていません)。

 これに限らずセキュリティ上のリスクやコスト(ユーザーの離脱やパスワード忘れへの対応等)をサービス提供者が背負っている限りその判断に第三者が口出しするべきではないと考えています(もちろん専門家として助言を求められるような場合は別です)。サービスの提供者でも利用者でもない人物がパスワードの定期変更は無意味だからそれを止めさせようというのであれば、それによってもたらされるリスクを引き受ける(補償する)ことを考えるべきでしょう。

 この問題は最終的にはサービスの提供者と利用者のそれぞれがどれだけのコストとリスクを負担するかとそのバランスの問題に帰着します。結局ケースバイケース、リスク分析の結果とリスクに対する姿勢次第だということになります。対象となるアカウントが不正利用されるとどのような被害が発生するのか。保護すべき情報はどの程度重要なのか、どのような脅威が存在しているのか。利用者はどの程度負担に感じるのかなど、リスクとシステムを取り巻く様々な環境を考慮して決定する必要があります。

 より広い視点で見ると、多くの人が同じパスワードを使い続けることは闇市場で流通するパスワードリストの価値を高めることになります。同じパスワードが使い続けられる前提と変更される前提では攻撃者の負荷と悪用の機会は大きく変化します。当然固定されたパスワードのリストの方がずっと管理しやすく価値も高く維持できます。そのようなパスワードリストは時間が経過しても価値が低下しないので蓄積統合されいずれは大規模なパスワードリストとして攻撃者の間で流通することが考えられます。そういった事態を避けるためにも同じパスワードを使い続けないということについては広く利用者が意識をしておくべき事なのではないかと考えています。

■みんなが嫌がっているのだからパスワードの定期的な変更は意味が無いことにしてしまってもいいのでは?
 
 私は理由はどうであれ意図的に虚偽の情報を流布することで世の中を動かそうとすることは良くないと思っています。偏った事実認識に基づき「パスワードの定期変更に意味はない」という言葉が独り歩きすることによって防げる可能性のある被害が防げなくなること、また現実には様々な考慮すべき事象がありそれらから導かれた結果としてパスワードの定期変更の(推奨/強制)を行う判断に至ったサービスの管理者(運用者)が、その背景等を知らない利用者から一方的な批判を受けることは望ましくないと考えています。
 
補足1 「『パスワードの定期変更は無意味』だなどと言っている人はいない。」と言われることがありますがこちらのリンク先にあるように「パスワードの定期変更は無意味」という趣旨の記述をしている人が世の中には存在しているように認識しています。
パスワードの定期変更は無意味という意見( http://togetter.com/li/731333

補足2 ここに書かれているようなことについて、そんなことは当然だろう。何をいまさら偉そうに書いているんだと思う人も少なくないと思います。私もそう思います。セキュリティの専門家やセキュリティに興味のある人の中には上記の内容について納得がいかない人もいるようなのでこのようなエントリーを書く必要があると感じた次第です。

CCC(Tポイントカード)に対する「個人情報の取扱いに関する苦情」の案

2013 年 3 月 4 日 コメント 4 件

CCC(Tポイントカード)の個人情報の取扱いに関して、会員として不安な部分もあるためその具体的な内容について苦情を提示することで、これらの問題点を解消できるよう働きかけたいと考えています。以下が苦情として提示する内容です。記述の誤り、事実誤認、内容の不足などあるかと思いますので変更、追加、削除すべき事項等ありましたらご指摘ください。今週中には提示したいと思っています。

2013年3月5日 19:25 個人情報に関する問い合わせWebフォームより提出
2013年3月5日 19:36 電子メールにて個人情報保護相談窓口及びコンタクトセンターに提出
2013年3月15日 CCCより苦情の内容について担当部署に届けた等の回答を受信
2013年4月22日 CCCを担当する認定個人情報保護団体である一般財団法人日本情報経済社会推進協会(JIPDEC)に対して苦情処理を要請(受付番号 : 008526 )
2013年5月21日 JIPDECより連絡あり。CCCよりJIPDECに対しメールでの報告があったが内容に分かりにくい点があるため再報告を求めているとのこと。
2013年5月28日 JIPDECに対し状況確認を依頼。「当協会では、現在(5/27)の時点で当該事業者からの再報告を受け取っていない状況です。」との回答
2013年5月28日 一連の状況を経済産業省商務情報政策局情報経済課に伝え対応を依頼。JIPDECに対し状況確認を行うとのこと。

(苦情の文面案, 2013,03,05 )
———————————————————————-

カルチュア・コンビニエンス・クラブ株式会社 個人情報管理責任者 様

お世話になっております。T会員として御社のサービスを利用させていただいております。御社における個人情報の取り扱いに関し以下の事項について個人情報保護法に定められた「個人情報の取扱いに関する苦情」として申出ますので、内容をご確認いただきその回答及び必要な対応をいただきますようお願い申し上げます。

 

1 個人情報の取得および利用目的に関する説明が不十分

Tポイントカードの会員に登録するとき、「Tカード会員規約」へ同意するよう求められています。しかし印刷された規約自体は読みにくく、会員の購買履歴の利用など会員にとって重要な情報の取り扱いについて、分かりやすく説明されていません。また店舗によっては、登録者から要求されない限り、T会員規約等の文書が提示されない場合もあるようです。
同様の事例として携帯電話の契約や金融商品の契約時に行われる説明のように、重要事項については分かりやすく説明し、特に重要な事項については、個別に登録者が内容を確認しながらチェックマークを入れていくような用紙を利用することが望ましいと考えます。

 

2 取得される個人情報の内容や取り扱いが不明確

前項に関連し、Tカードを利用する際、どういった情報がCCCに取得されるのかがわかりません。ポイント加算の際、「購入する商品名」がCCCに送信・記録されその後マーケティング分析などに利用されることは、規約や入会時の説明から理解することができません。具体的な内容について以下に示します。

 

T会員規約 第4条 (個人情報について)

2. 当社が取得する会員の個人情報の項目

(2)ポイントプログラム参加企業における利用の履歴」

が「購入する商品名」の送信に関する項目と推察しますが、「ポイントプログラム参加企業における利用の履歴」が「参加企業の店舗やサービスを利用したこと」の履歴なのか「購入商品等のより細かな情報」を含むのかが明確ではありません。
これは個人情報保護法第十七条「偽りその他不正の手段により個人情報を取得してはならない。」に抵触する可能性があります。

「Tポイントをご利用のお客さまへ→よくあるご質問」において

http://www.ccc.co.jp/csr/tpoint/question.html

「Q:お店でTカードを提示してお買い物をした情報はCCCに提供されているのですか?

T会員規約に基づき、Tポイント提携企業の店舗でTカードを提示してお買いものをされた情報は、当社へ提供されます。その際に提供される情報は、T会員番号、日時、店名、金額、ポイント数、商品コードとなり、お客さま個人を特定できる情報は含まれていません。」

との記載がありますが、提供される情報に含まれている「T会員番号」は、会員情報を持つ御社にとって個人情報保護法でいう「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」に該当し、個人を特定できる個人情報であると考えられます。実際に個人情報開示請求を行った場合には、これら情報は会員個人と紐づいた形で開示さることから、個人を特定できる情報が含まれていないとは言えません。そのため、上記の「よくあるご質問」の記述は誤り、あるいは正しく事実が伝わらない記述と言えます。

 

3 個人情報の利用目的が不明確

「T会員規約 第4条 (個人情報について)

3. 利用目的

(3)会員のライフスタイル分析のため」

との記述がありますが「会員のライフスタイル分析」が、具体的にどのような分析を意味するのか、また何の目的で「ライフスタイル分析」を行うのか、「ライフスタイル分析」を行った結果が、どのように使用されるのか理解できません。

個人情報保護法第十五条「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。」に抵触する可能性があります。

 

4 ポイントプログラム参加企業における購買履歴等データの共同利用・相互提供の実態が不明確

「Tカード会員規約第4条(個人情報について)1.個人情報のお取扱い」において「本条第4項記載の共同利用者と本条第3項記載の各利用目的のために本条第2項記載の個人情報項目を共同して利用させていただきます。」との記載がありますが、この共同利用において「ポイントプログラム参加企業における購買履歴等データの相互提供」が行われているのか、ポイントプログラム参加企業が、「他の参加企業における会員の購買履歴等を直接参照することができるのか否か」が明確ではありません。そのため、自分の購買履歴等のデータが他の参加企業に見られることについての不安を感じています。
「Tポイントをご利用のお客さまへ→よくあるご質問」において

http://www.ccc.co.jp/csr/tpoint/question.html

「Q:購買履歴や個人情報は、Tポイント提携企業同士でお互いに提供しあっているのですか?

いいえ。お客さまの個人情報や購買履歴を一般企業はもちろんのこと、Tポイント提携企業であっても相互に提供することはありません。」
との記載がありますがここでは「個人情報や購買履歴を一般企業はもちろんのこと、Tポイント提携企業であっても相互に提供することはありません。」と書かれています。上記規約の「共同して利用」と、この「相互に提供することはありません」との記述に隔たりがあり、相互に提供されていないのに共同して利用するということが何を意味しているのか理解が困難となっています。

一方、御社が製品を利用しているとされるオラクル社が、インターネット上に公開している御社に関する事例紹介では以下のように書かれています。(p.14-15)
http://www.oracle.com/jp/corporate/features/exadata-case-456763-ja.pdf

 

「一般的にコンビニエンスストアなどでは、チョコレートなどの商品を購入した場合、「何が」「いくら」売れたかという分析は可能だ。しかし、Tカードの仕組みにより「誰が」「何を」「いつ」購入したかという情報まで取得できるのだ。男女比、リピート率、年代などの分析はもちろんのこと、さらには、そのT会員はガソリンスタンドでいつ給油したのか、どこで食事をしたのかなどの情報も取得可能になる。アライアンス企業は、これらの手に入れづらい情報を入手することによりデータに基づいて分析し企画をおこないマーケティングに生かすことが可能になる。」

この内容を文字通り解釈すれば、アライアンス企業は会員個人が特定できる状態で他のアライアンス企業における購買履歴等の情報を取得可能ということになり、上記「よくあるご質問」の記載内容と、矛盾しているように読めます。
現在インターネットのサイト等で外部の方が書かれている情報でも、Tポイント提携企業間で会員の購買履歴等が相互に閲覧できることを意味するような情報が広まっていることもあって、会員のプライバシについて不安を感じています。もしこれらの情報が誤りなのであれば、明確に否定していただき上記のような広告資料の記述については、内容の訂正を求めるか、正しい情報を示していただければと思います。またその実態に即した形で共同利用の形態(誰がどういった情報をどういった形で利用するのか)について、会員規約内で明示されるのが望ましいと考えます。

 

5 個人情報に関する開示請求手続き問い合わせ等に対する不誠実な対応

2012年6月に御社が保有する私の個人情報に関し、開示の請求方法をWebのお問い合わせフォームより問い合わせをさせていただきました。その一連のやりとりの中で「御社が保有し管理する私の商品購入履歴等の個人情報」の開示について聞いたところ、2012年6月27日にTSUTAYAコンタクトセンターからいただいたメールにおいて「ご依頼の内容を抽出するにことで、当社業務の適正な実施に著しい支障及ぼすことから、お断り申し上げます。」との回答を得ました。

その後御社コンタクトセンター及び御社個人情報苦情受付窓口に不適切な理由による不開示とし苦情を届け出ました。その後、御社の指定する認定個人情報保護団体である一般財団法人日本情報経済社会推進協会(JIPDEC)にも苦情対応を依頼しました。
さらにその後2012年10月に、御社が公開している【届出書による個人情報の開示等の求めに関する手続きに関して】が改訂され 、ポイントプログラム参加企業における利用の履歴として開示の対象とされるようになりました。本件については開示請求方法についての問い合わせを7月から行っており苦情を御社およびJIPDECに対して提示していたにも関わらず本件が開示可能となったことについてその後の連絡は一切ありませんでした。

また、現行の個人情報開示の手数料は、ポイントプログラム参加企業における利用の履歴について3000円となっています。これに基本手数料送料400円+その他項目毎500円が必要であり、郵送および支払いのための定額小為替手数料等を含めれば4000円以上と大変高額な手数料を支払う必要があります。また開示に要する時間も約1ヶ月と情報開示のためのハードルが大変高くなっています。本来「ポイントプログラム参加企業における利用の履歴」に含まれる会員の購買履歴等の情報は、ポイントの履歴情報と合わせて、オンラインで会員自身が無料で確認できるべきものであり、現在の個人情報の開示手続とその費用の設定は意図的に本人による個人情報の確認を困難にしていると思われても仕方の無い大変不誠実なものとなっています。

以上、会員が安心して御社のサービスを利用できるようご対応をお願いいたします。

 

 

カテゴリー: 情報セキュリティ タグ:

日本のネット選挙はビッグデータの草狩り場になるか?

2013 年 2 月 6 日 コメントはありません

 

ネット選挙:全面解禁へ

2013年2月5日の夕方以下のような報道が流れた。

ネット選挙:全面解禁へ 夏の参院選から適用
http://mainichi.jp/select/news/20130206k0000m010057000c.html

新経済連盟が参議院議員会館にて同日開催した「シンポジウム インターネットを使った選挙運動の解禁に向けて」の内容を受けての記事だったようだ。

シンポジウムの内容は以下のUstream Live(録画)で見ることができる。

新経済連盟主催「シンポジウム インターネットを使った選挙運動の解禁に向けて」
http://www.ustream.tv/recorded/29051348

録画の内容を見る限りは出席していない社民党をのぞき各党大筋賛成だが各論についての具体的な協議はこれからという印象を受けた。そのため上記毎日新聞の「インターネットによる選挙運動を全面解禁する公職選挙法改正案が今国会で成立する見通しになった。」は少し勇み足だと感じている。

個人的にはネットで選挙に関する十分な情報にアクセスできず不便と感じてきたので、この流れには全面的に賛成である。様々な課題はあると思うがぜひとも今年の選挙では実現して欲しいと思っている。

その実現に向けた具体的な調整はこれから行われると思うので早いうちに懸念事項などを洗い出しておく必要があるだろう。(法案を提示している各政党や団体ではすでに検討はされてはいると期待するが。)上記のシンポジウムでも懸念事項として、なりすまし、誹謗中傷、サイバー攻撃、サービス妨害などが挙げられプロバイダ責任制限法による対応などの議論が行われていた。ここ数日ちょうどネットを使った選挙運動が解禁されるとどういうことが起こりうるかということを考えていたので気になっていた事項でシンポジウムで触れられていなかった点について忘れないうちにアップしておく。

■ビックデータを活用した選挙運動

2008年の米国大統領選において当時ほぼ無名の新人上院議員であったオバマ氏が勝利を収めることができたのはSNSや動画サイト、電子メールなどインターネットと情報技術を巧みに利用した選挙戦略に負うところが大きいと言われている。当時のIT活用を中心とした選挙対策の様子は書籍「『オバマ』のつくり方 怪物・ソーシャルメディアが世界を変える」に詳しい。

「オバマ」のつくり方 怪物・ソーシャルメディアが世界を変える(ラハフ・ハーフーシュ (著), 杉浦茂樹, 藤原朝子 (翻訳) , 2009)
http://www.amazon.co.jp/dp/448409116X

専用のSNSサイト MyBOを立ち上げ支援者のコミュニティを構築。ゲーミフィケーションの要素を取り入れながらカジュアルに参加した市民を強力な支援者に育てていく。マイクロペイメントの仕組みを使ってより多くの人から10ドル単位で小額寄付を受け付け結果的に大規模な選挙資金を獲得する。コールセンターアプリケーションを支援者にインストールさせて知人への協力要請の電話を可視化して集中管理。郵便番号などの属性をもとに支援者のマイクロターゲティングを行い適切な時期に適切な地域の支援者に対する携帯メール送信を通じてイベントに動員するなど。ソーシャルメディアをはじめとする様々なテクノロジーを駆使したマーケティングの戦略と技術は5年前とは思えないほど洗練されていた。そのオバマ大統領が2012の大統領選で再選を果たしているがこの際にも2008年の選挙活動を支援したチームがさらにその手法を洗練させ、有権者に関するビックデータの分析により効率的な選挙戦運営を行ったと言われている。

バラク・オバマ版『マネーボール』 大統領選勝利の鍵はビッグデータの徹底活用(三国大洋, ZDNet Japan, 2012/11/08)
http://japan.zdnet.com/cio/sp_12mikunitaiyoh/35024226/

IT・選挙・戦略:内製のオバマ大統領、外注のロムニー候補(三国大洋, ZDNet Japan, 2012/11/22)
http://japan.zdnet.com/cio/sp_12mikunitaiyoh/35024785/

日本におけるネット選挙への対応について今後各政党や候補者がどこまで本気で取り組むか、上記の米国大統領選のようなテクノロジーを駆使した大規模マーケティングキャンペーンが行われるかは不明だが、こういった技術の応用が候補者や政党にとって大きくプラスに働くことは間違いないだろう。こういった活動についてはおそらくプライバシ上の懸念や個人情報の取扱といった問題が生じてくる。そこで気になるのが個人情報保護法の第五十条1項に示された個人情報取扱者に関する例外及び第三十五条の主務大臣の権限行使の制限に関する規定である。

■選挙運動で使用する有権者などのデータは個人情報保護法の対象外


個人情報の保護に関する法律(平成一五年五月三十日法律第五十七号)

http://www.caa.go.jp/seikatsu/kojin/houritsu/index.html

第五章 雑則  (適用除外)

第五十条 個人情報取扱事業者のうち次の各号に掲げる者については、その個人情報を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、前章の規定は、適用しない。
(略)
五 政治団体 政治活動(これに付随する活動を含む。)の用に供する目的

前章の規定とは「第四章 個人情報取扱事業者の義務等」の規定である。

第三十五条 主務大臣は、前三条の規定により個人情報取扱事業者に対し報告の徴収、助言、勧告又は命令を行うに当たっては、表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げてはならない。
2 前項の規定の趣旨に照らし、主務大臣は、個人情報取扱事業者が第五十条第一項各号に掲げる者(それぞれ当該各号に定める目的で個人情報を取り扱う場合に限る。)に対して個人情報を提供する行為については、その権限を行使しないものとする。

これらの条文によって選挙活動に使用する個人情報は個人情報保護法に定められた個人情報取扱事業者に対する制限や義務の対象とならないとされている。つまり選挙運動で使用される個人情報については実質的に個人情報保護法の枠組みからは外れた取扱が可能となってしまう。例えばある事業者が保有する個人情報を支援する政党に本人の同意無く提供したとしても、政党側の取得に関しては問題はないことになる。提供した事業者側には目的外利用や第三者提供などの問題があるように思われるが、これに対して行政機関の権限行使を行うことはできないとされている。他にも、ある政党や候補者を応援するスマートフォンアプリケーションを配布し、利用者の同意をとった上でスマートフォンの電話帳に登録されている第三者の個人情報である電話帳データを読み取り、政党の本部の支援候補者データベースに登録。その電話番号なりメールアドレスに対して支援や献金を求めるような要請が送られるなどといったことも法的には可能となる。

■選挙運動における個人情報およびプライバシの保護についてのルールが必要では?

今後ネットを使った選挙活動が活発化するということになれば意欲的な政党は有権者のデータベースを構築し個人のプロファイルと活動の履歴を継続的に維持管理し選挙の都度支援や投票の呼びかけに応用することも考えるかもしれない。
これまで個人情報やプライバシ保護の政策は選挙などの政治活動と切り離して考えられてきたと思われるが、候補者の支持政党や政治的な思想あるいはそれらに結びつくような情報は機微なプライバシ情報にあたるケースが多いこともあり、これらの取扱についてなんらかのガイドラインなり法的な枠組みが必要なのではないか。

先に挙げた「『オバマ』のつくり方 怪物・ソーシャルメディアが世界を変える」ではオバマ大統領の選挙戦対策のリーダーの一人の言葉として次の言葉が挙げられていた。

「オバマ」のつくり方 怪物・ソーシャルメディアが世界を変える(ラハフ・ハーフーシュ (著), 杉浦茂樹, 藤原朝子 (翻訳) , 2009)
http://www.amazon.co.jp/dp/448409116X

「選挙活動で重要なのは、短時間で何が何でも勝利を収めることだ。これは消費者と継続的な関係を築きたい企業と、明確な期限のある選挙活動の大きな違いだろう。」

カテゴリー: 情報セキュリティ タグ:

CCC(Tポイント)型の個人情報共同利用方式は(なぜ)違法なのか?

2013 年 2 月 2 日 コメントはありません

鈴木正朝先生が以下のようなツイートをされていた。法律の専門家の先生方がそのような指摘をされているのでそういうことなのだろうとは思うが、法律の素人なりにこの問題を理解するための準備として関連する情報を以下に整理する。なお文中に多くの引用があるが議論のポイントを明確にするために特に論点に関係すると思われる箇所は私の主観的な判断で太字による強調を行っている。

現時点での印象として私が感じたのは(適法違法の判断に影響するかは別として)「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」において経済産業省はCCC(Tポイント)型の個人情報共同利用方式に近いものをなんらか意識しているのではないか、あるいはCCC(Tポイント)はこのガイドラインを前提としてその会員規約を記述していたのではないかということである。そして同様のケースにおいて違法と判断される事項があるのであればその線引きを明確にする必要があるのではないかと考えている。

https://twitter.com/suzukimasatomo/status/296966544288780288

岡村、夏井、新保、板倉各先生、そして私とCCC型の共同利用方式に違法性を認める研究者の見解が増えている。

鈴木先生は以前よりCCCが運営するTカードについては個人情報保護法違反であると主張されている。

Tカードは個人情報保護法違反に該当するのか?(津田大介の「メディアの現場」vol.44より, 津田大介チャンネル – ニコニコチャンネル:社会・言論, 2012/9/13)
http://ch.nicovideo.jp/tsuda/blomaga/ar6354

香月:では先生はTカードについては個人情報保護法に違反しているとお考えですか?
鈴木:私は真っ黒だと思っています。(以下略)

そして上記を引用しつつ高木浩光先生もCCCの個人情報の共同利用について違法性の懸念を示している。

Tポイントは本当は何をやっているのか(高木浩光@自宅の日記:2012/9/23)
http://takagi-hiromitsu.jp/diary/20120923.html

T会員規約では、このような情報の提供を、個人情報保護法上の「共同利用」と位置付けており、このような「共同利用」の形態には違法性が指摘されている。

はたして、このような「共同利用」は適法なのだろうか。

夏井高人先生もこれらに同意する形で適法でなく問題があるとしている。

Tポイントにより収集される個人データの「共同利用」に関する高木浩光氏の疑問(夏井高人, Cyberlaw サイバー法ブログ, 2013/1/31)
http://cyberlaw.cocolog-nifty.com/blog/2013/01/t-1e0e.html

現状の約定を前提とする限り,個人情報保護法上の適法な共同利用とはならないと考えられるし,また,消費者契約法上も問題がある。

適法にビジネスするためには,Tポイントの解説の表示として,「顧客情報を収集・蓄積・分析・共同利用・加工または修正・販売または交換または贈与・第三者提供すること」を大きな赤色の太字で表示しなければならない(←個人情報保護法上適法かどうかはひとまずおく。)。そして,その次に,小さな字で「ポイントサービスもあります」と書かなければならない。

要するに,顧客のメリットを強調してはならない。それは,単なる誘引または個人データ収集の対価(代償)の一種なので,主たる目的ではあり得ない。

主たる目的が個人データの収集である以上,それを第一のものとしてできる限り目立つように表示するのでなければ,消費者保護法の趣旨に反することになる。

ドラッグストアが患者の医薬品情報をCCCに提供している点については以前薬害オンブズパースン会議から要望書が出され刑法(134条、秘密漏示罪)に抵触する可能性があるとしている。
「Tポイントサービスに関する要望書」を提出(薬害オンブズパースン会議, 2012/11/20)
http://www.yakugai.gr.jp/topics/topic.php?id=822

具体的には、第1に、ドラッグストアが患者の医薬品情報をCCCに提供する行為(①)は、医薬品情報を扱う「薬剤師」や「医薬品販売業者」が業務上知った秘密(患者の医薬品情報等)を漏らしたとして、刑法(134条、秘密漏示罪)に抵触する可能性があります。

また、第2に、会員が十分に理解しないまま、会員の個人情報を第三者である加盟店との間で利用する行為(②③)は、個人情報保護法(23条1項)に抵触します。

そこで、当会議は、CCCおよび医薬品販売業者に対しては、医薬品購入歴情報の抹消および加盟店契約自体の解消等を、各担当大臣に対してはCCCおよび医薬品販売業者たる加盟店がかかる情報抹消と加盟店契約解消等を行うよう勧告・命令・指導するよう、要望書を提出しました。

またこれら違法とする根拠について鈴木先生が具体的に議論したものと思われる資料が以下に公開されている。資料冒頭12ページあたりまでCCCの個人情報共同利用方式についての違法性の懸念について言及されている。

わが国の個人情報保護法制の立法課題(鈴木正朝, 総務省 第4回パーソナルデータの利用・流通に関する研究会, 2013/1/11)

http://www.soumu.go.jp/main_content/000196107.pdf

約款の共同利用条項は、公序良俗に反する不当条項であり無効であるというべきである。

また、これらの行為が広く報道されるなどしてすでに広く周知な状況でありながら、それを漫然と放置している行政の不作為もまた違法の誹りを免れないように思う。

と大変厳しい。この資料でCCCの個人情報共同利用の違法性を指摘する根拠として以下が論じられている。(他にもあればご指摘ください。)

ポイント加盟事業者に共同利用のための個人情報データベース等へのアクセス権を付与するなどの共同利用の実態がなく、単に個人 データを第三者に提供することの法的根拠として 約款上に共同利用として法的に構成することは、 「共同して利用する場合」(23条4項3号)に該当 せず、その点において共同利用の要件を充足しているとはいえない。

特に、共同利用者の範囲が日々拡大し、その範 囲が本人にまったく予見できないところで、これ を認めるときは、本人から見て「特定の者」(23 条4項3号)ということはできない。特に契約後、医薬品販売業者がポイント加盟事業者に加わるなどするときは本人に著しい不利益を与えかねない。これらの行為は、共同利用の実態がないにも関わらず、単に約款及びホームページへの法定事項の掲載をもって、共同利用の外形を粉飾しているにすぎず、本人同意とオプトアウト手続を回避する僭脱的手段を講じていることにほかならない。

つぎにこの違法性判断の根拠となる法令である個人情報の保護に関する法律(個人情報保護法)の条文を見てみたい。本来条文の全ての記述を考慮した上で判断が必要ではあるがスペースの都合上特に関連する箇所のみ抜粋する。

個人情報の保護に関する法律

http://www.caa.go.jp/seikatsu/kojin/houritsu/index.html

第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
(略)

2 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一 第三者への提供を利用目的とすること。
二 第三者に提供される個人データの項目
三 第三者への提供の手段又は方法
四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。

3 個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

4 次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。

一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

5 個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない

個人情報保護法に関連して各分野別に監督省庁からガイドラインが示されている。CCCの事業分野については経済産業省が所管するものと考えられるので経済産業省から示されている「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を参考とすることができる。これらのガイドラインは個人情報保護法第八条に基づき「特定の分野における事業者等が行う個人情報の適正な取扱いの確保に関する活動を支援する具体的な指針として」定められたものである。

個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(平成16年10月22日厚生労働省経済産業省告示第4号,平成 21年10月9日改正)
http://www.meti.go.jp/policy/it_policy/privacy/kojin_gadelane.htm

本ガイドライン中、「しなければならない」と記載されている規定については、それに従わなかった場合は、経済産業大臣により、法の規定違反と判断され得る。一方、「望ましい」と記載されている規定については、それに従わなかった場合でも、法の規定 違反と判断されることはない。

といった記述もあり事業者の立場からは個人情報の適正な取扱いを判断する上の指針となるだろう。ここでは関連すると思われる個人情報の共同利用に関する記述を以下に引用する。

2-2-4.第三者への提供(法第23条関連)
(3)第三者に該当しないもの(法第23条第4項関連)
(iii)共同利用(法第23条第4項第3号関連) (p.44)

個人データを特定の者との間で共同して利用する場合、以下の①から④までの情報を あらかじめ※1本人に通知※2し、又は本人が容易に知り得る状態※3に置いておくとともに、共同して利用することを明らかにしている場合は、第三者に該当しない。また、既に特定の事業者が取得している個人データを他の事業者と共同して利用する場合は、既に取得している事業者が法第15条第1項の規定により特定した利用目的の範囲で共同して利用しなければならない。

※1「あらかじめ」とは、「個人データの共同利用に当たりあらかじめ」をいう。
※2「本人に通知」については、2-1-7.参照。
※3「本人が容易に知り得る状態」については、2-1-11.参照。

【共同利用を行うことがある事例】

(略)

事例4)企業ポイント等を通じた連携サービスを提供する提携企業の間で取得時の利用目的の範囲内で個人データを共同利用する場合

①共同して利用される個人データの項目
事例1)氏名、住所、電話番号
事例2)氏名、商品購入履歴

②共同利用者の範囲(本人からみてその範囲が明確であることを要するが、範囲が明確である限りは、必ずしも個別列挙が必要ない場合もある。)
事例)最新の共同利用者のリストを本人が容易に知り得る状態に置いているとき

③利用する者の取得時の利用目的(共同して利用する個人データのすべての利用目的)

④開示等の求め及び苦情を受け付け、その処理に尽力するとともに、個人データの内容 等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者の氏名又は名称(共同利用者の中で、第一次的に苦情の受付・ 処理、開示・訂正等を行う権限を有する事業者を、「責任を有する者」といい、共同 利用者の内部の担当責任者をいうのではない。)

以上を見る限りはこの個人情報の共同利用という枠組みは「企業ポイント等を通じた連携サービス」の利用もその一つの形態として想定しており、また①共同して利用される個人データの項目の具体例として「事例2)氏名、商品購入履歴」といったものが示されている。必ずしもCCCのTポイントのサービスがこれに当てはまるかは不明であるが、経済産業省は何らかポイントサービスや商品購入履歴を共同利用の枠組みで扱うことを想定していると読み取れる。

また②共同利用者の範囲において括弧書きで「本人からみてその範囲が明確であることを要するが、範囲が明確 である限りは、必ずしも個別列挙が必要ない場合もある。」とし「事例)最新の共同利用者のリストを本人が容易に知り得る状態に置いているとき」が示されている。ここでは「最新の」という記述がありこのリストの更新がありうることを想定している点にも注意が必要である。また他に取り決めておくことが望ましい事項として以下が示されている。

【上記1から4までの事項のほかに取り決めておくことが望ましい事項】
●共同利用者の要件(グループ会社であること、特定のキャンペーン事業の一員であること等、共同利用による事業遂行上の一定の枠組)

続いて以下の記述がある。

上記①及び②については原則として変更は認められないが、次の場合、引き続き共同利用を行うことができる。
【引き続き共同利用を行うことができる事例】
事例1)共同利用を行う事業者や個人データの項目の変更につき、あらかじめ本人の同意を得た場合
(以下略)

ここで言う②は「共同利用者の範囲」であり原則として変更が認められていないがあらかじめ本人の同意を得た場合については「共同利用を行う事業者」を変更することができるとしている。

ここで問題が指摘されているCCCのT会員規約の個人情報の共同利用に関連する箇所を見てみる。

T会員規約(カルチュアコンビニエンスクラブ, 2012/10/1)

http://www.ccc.co.jp/member/agreement/

第4条 (個人情報について)
1. 個人情報のお取扱い
当社は、本条第2項記載の会員の個人情報を必要な保護措置を講じた上で取得し、本条第3項記載の各利用目的のために利用させていただきます。また、本条第4項記載の共同利用者と本条第3項記載の各利用目的のために本条第2項記載の個人情報項目を共同して利用させていただきます。(以下略)

4.共同利用者の範囲及び管理責任者
・当社の連結対象会社及び持分法適用会社
ポイントプログラム参加企業(TSUTAYA加盟店を含みます)
本条第2項の項目を本条第3項の利用目的のために共同利用することに関し、個人データの管理について責任を有する事業者は当社とします。

5.会員がポイントサービスの利用のためにポイントプログラム参加企業においてT-IDを入力又はTカードを提示した場合、当社とポイントプログラム参加企業との間において当該会員の個人情報が相互に提供されることについて、当該会員は同意したとみなされることとさせていただきます。かかる個人情報の提供にご同意いただけない場合には、ポイントプログラム参加企業におけるポイントサービス(ポイントの付与及び使用を含みます)をご利用いただくことはできません。

共同利用の対象となる「ポイントプログラム参加企業」の変更に関しては以下の記載がある。

7. 当社の連結対象会社、持分法適用会社及びポイントプログラム参加企業は、当社による他企業の合併・買収、新規のポイントプログラム参加企業の加入その他の事由により変動する場合があります。最新の情報は随時当社Webサイト、またはhttp://www.ccc.co.jpにてご覧いただけます。

参考までに他のポイントプログラムがプログラム加盟企業間でどのように個人情報の提供を行っているかについて確認してみる。

Ponta会員規約(株式会社 ロイヤリティ マーケティング, 2012/6/11)

第3条(個人情報の利用目的)
(7)共通ポイントPontaサービス提供のため、ポイントプログラム参加企業並びにそれらに関連する業務を行うために必要な範囲で第三者提供を行うため。

第4条(個人情報の提供)
1.当社及びポイントプログラム参加企業は、第3条に定める目的を達成するために必要な範囲内において第2条第1項記載の会員の個人情報を書類の送付又は電子的若しくは電磁的な方法等により相互に提供します。当社とポイントプログラム参加企業は、本項に基づいて相互に提供しあう個人情報について本章の定めに従って取り扱うことを協定しております。ポイントプログラム参加企業への会員の個人情報の提供に関する事項の詳細及びポイントプログラム参加企業は、随時Pontaのインターネットアドレス(http://www.ponta.jp/)にてご覧いただけます。
2.第1項に基づく個人情報の提供について、特定のポイントプログラム参加企業のみに提供し、その他のポイントプログラム参加企業には提供しないというお申し出には応じかねますので、ご了承ください。

Pontaでは個人情報保護法23条2の同意に基づく第三者提供という形でポイントプログラム参加企業との相互提供を行っているようである。

全く異なる業態であるが百貨店などのテナントとなる高級ブランドなどの企業は百貨店協会加盟企業との間で顧客の個人情報の共同利用が行われているようである。他の個人情報の共同利用の参考事例として示しておく。

タグ・ホイヤー(LVMH ウォッチ・ジュエリー ジャパン株式会社)プライバシーポリシー
http://www.tagheuer.co.jp/privacy/

3. 百貨店との間の共同利用
弊社は、個人情報保護法23条4項3号に基づき、日本百貨店協会加盟の百貨店と共に、下記の利用目的のために、下記のお客様の個人情報を共同して利用しております。

 

パルファム ジバンシイ(LVMHフレグランスブランズ)プライバシーポリシー

http://www.parfumsgivenchy.jp/page/privacypolicy.html

6. 百貨店との間の共同利用 -1
当社は、個人情報保護法23条4項3号に基づき、当社と取引のある日本百貨店協会加盟の百貨店とともに、6. 百貨店との間の共同利用 -2 の利用目的のために、6. 百貨店との間の共同利用 -2 のお客様の個人情報を共同して利用しております。当社と取引のある百貨店名については、当サイトショップリストにてご覧いただけます。

以上まずはCCC(Tポイント)型の個人情報共同利用方式が違法なのかを考える上で関連すると思われる情報のうち私の目に留まったものを列挙してみた。おそらくまだ見落としている事項が多くあると思われるのでお気づきの方がいらっしゃればぜひご連絡いただきたい。それら情報をまとめた上で個別の論点の有効性について個々に自分なりに検討してみたいと考えている。

カテゴリー: 情報セキュリティ タグ:

2012年5月2日に慶應大学宛に届いたフィッシングメールのサンプル

2012 年 5 月 2 日 コメントはありません

私の大学のメールアカウントに対して標的型のフィッシング(スピアフィッシング)と思われるメールが届きましたのでセキュリティの研究や対策に役立てるために公開しておきます。

何かこの情報を活用した事例がありましたら今後の情報セキュリティ対策の促進のためにお教えいただけると幸いです。

(スパム対策のため一部ヘッダ情報を書き換えています。xxxxxには実際のメールアカウントが入ります。またadminのアドレスのピリオドを全角文字に変えてあります。)

[メールクライアントでの表示]

差出人 慶應義塾大学SFC <admin@sfc.keio.ac.jp>
件名 慶應義塾大学SFC
返信先 webaccupgrade@ml.lt
宛先  undisclosed-recipients:;
送信日時 2012/5/2 12:33PM

[メッセージのソース]

—————————————-

Return-path: <admin@sfc.keio.ac.jp>
Envelope-to: xxxxx@imap.sfc.keio.ac.jp
Delivery-date: Wed, 02 May 2012 12:34:09 +0900
Received: from mail-gw1.sfc.keio.ac.jp ([133.27.4.126])
by imap08.sfc.keio.ac.jp with esmtp (Exim 4.69 #1 (Debian))
id 1SPQKP-0006Sa-1k; Wed, 02 May 2012 12:34:09 +0900
Subject: =?UTF-8?Q?=E6=85=B6=E6=87=89=E7=BE=A9=E5=A1=BE=E5=A4=A7=E5=AD=A6S?=
=?UTF-8?Q?FC?=
Received: from email13.mijndomein.nl ([188.93.148.117])
by mail-gw1.sfc.keio.ac.jp with ESMTP; 02 May 2012 12:33:58 +0900
Received: from localhost ([127.0.0.1] helo=email13.mijndomein.nl)
by email13.mijndomein.nl with esmtp (Exim 4.72)
(envelope-from <admin@sfc.keio.ac.jp>)
id 1SPQK5-0003Ha-LQ; Wed, 02 May 2012 05:33:49 +0200
MIME-Version: 1.0
Content-Type: text/plain;
charset=UTF-8;
format=flowed
Content-Transfer-Encoding: 8bit
Date: Tue, 01 May 2012 23:33:49 -0400
From: =?UTF-8?Q?=E6=85=B6=E6=87=89=E7=BE=A9=E5=A1=BE=E5=A4=A7=E5=AD=A6SFC?=
<admin@sfc.keio.ac.jp>
To: undisclosed-recipients:;
Organization: =?UTF-8?Q?=E6=85=B6=E6=87=89=E7=BE=A9=E5=A1=BE=E5=A4=A7?=
=?UTF-8?Q?=E5=AD=A6SFC?=
Reply-To: <webaccupgrade@ml.lt>
Mail-Reply-To: <webaccupgrade@ml.lt>
Message-ID: <37b4f31fec3f05306da91df7396c9b39@kvwbocholtz.nl>
X-Sender: admin@sfc.keio.ac.jp
User-Agent: Mijndomein Webmail


行政

アカウント加入者各位
アカウントサーバ:https://imap.sfc.keio.ac.jp/src/login.php
慶應義塾大学SFC

このメールは、保守/ユーザーセキュリティのアップグレード用のSquirrelMailの部からです。
システム。我々は、匿名の登録のために渋滞を抱えている
sfc.keio.ac.jpを占めています。そこでので、いくつかのsfc.keio.ac.jpアカウントをシャットダウンしている
アカウントは、この状態に起因する再更新する必要があります。

あなたのあなたのアカウントを確認することができるように私たちはあなたにこのメールを送っている
あなたのアカウントの安全とメンテナンスするため。あなたはまだである場合
sfc.keio.ac.jpアカウントのユーザーであることに興味を持ってあなたのアカウントを確認してください
下記のスペースを記入してください。

情報は、アカウントを確認するために必要になります。

*ユーザ名:(……………………)(必須)
*パスワード:(……………)(必須)
生年月日*日:(……………………)(オプション)
*国または地域:(………………)(オプション)
*セキュリティの質問:(……………………)(必須)
*セキュリティ回答:(……………………)(必須)

私達にあなたのアカウント情報を送信する前に、にログインすることをお勧めします
以下このリンク:

https://imap.sfc.keio.ac.jp/src/login.php

メモ:お使いのアカウントがログインを行う場合、あなたは私達にあなたの詳細を送信しようとしています
あなたのアカウントのメンテナンスに必要なアカウント、もしそれ以外の場合
それはすでに私たちのメインサーバから終了されていることを意味します。のために申し訳ありません
不便これは我々だけを確認するためにしようとしているあなたを起こしている可能性があります
あなたのアカウントを持つperfectelyよくネットサーフィン。

あなたがしなければならないすべては、クリックして返信し、上記情報を提供していると、
アカウントが中断だけアップグレードされません。あなたのおかげ
この要求への注意が必要です。

再び我々は不便をお詫び申し上げ、これはあなたを起こしている可能性があります。

警告

の7日後に彼/彼女のアカウントを更新することを拒否し、アカウントユーザー
この警告メッセージを受信することは、彼を失ったり、彼女のアカウントは永久にあるでしょう。

このコンピュータへの不正アクセスには、注釈に違反している
コー​​ド、刑法第? 8から606まで及び7から302とコンピュータ詐欺および
虐待法、18 U.S.C. ? 1030頁以降を参照。このオフィスは、の使用を監視することができる
を含むように州法および連邦法で許可されているコンピューティング·リソース、
電子通信プライバシー法、18 U.S.C. ? 2510-2521とメリーランド州
注釈付きのコード、裁判所および裁判手続の記事、第10項、
サブタイトル4。
このシステムを使用して誰もがすべての使用が対象であることを認め
情報技術の利用規定に(sfc.keio.ac.jp)ポリシー
で利用可能なリソース:

https://imap.sfc.keio.ac.jp/src/login.php

ウェブメールユニット/慶應義塾大学SFC(sfc.keio.ac.jp)

あなたは、命令を遵守します。

—————————————-

カテゴリー: 情報セキュリティ タグ:

セキュリティにおけるゲーミフィケーションの例

2012 年 1 月 26 日 コメントはありません

最近ゲーミフィケーションが流行しているようなので便乗して我々の研究室でのこれまでの取り組みを紹介。

福岡英哲,上原雄貴,水谷正慶,武田圭史, 情報処理学会コンピュータセキュリティシンポジウム2010

セキュリティいろはかるた

武田圭史, 伊藤ガビン, 倉田タカシ, 日立システム 情報セキュリティブログ編集部, 翔泳社2008.

 

情報セキュリティの課題とゲーミフィケーションとの親和性は高く他にも様々な取り組みを行っています。

 

 

 

カテゴリー: 情報セキュリティ タグ: