武田圭史

１２月１４日（金）といううわさがちらほら・・・

エントリーの主題からははずれるが、、、

つまり、PlaceEngineが合法と解釈されるなら、probe request傍受に基づく行為も合法となり、逆に、probe request傍受で得た情報の窃用が違法だというのなら、PlaceEngineも違法と言わざるを得ない。

ユビキタス社会の歩き方(5) [重要] 自宅を特定されないようノートPCの無線LAN設定を変更する

(高木浩光＠自宅の日記, 11/5)

（秘密の保護）
第59条　何人も法律に別段の定めがある場合を除くほか、特定の相手方に対して行われる無線通信（電気通信事業法第４条第１項又は第164条第２項の通信であるものを除く。第109条並びに第109条の２第２項及び第３項において同じ。）を傍受してその存在若しくは内容を漏らし、又はこれを窃用してはならない。

電波法59条(法律１３１号, s25/5/2)

少なくとも暗号化を行っている無線LANやステルスモードに設定されているアクセスポイントについてはたとえブロードキャスト用のMACアドレスが宛先となっていたとしても「特定の相手方に対して行われる無線通信」であることは明らかなので、これについてその存在を漏らし窃用することは、法律の趣旨からしても電波法59条に違反していると言えるのではないだろうか？

PlaceEngineのデータベースに自宅の無線LANアクセスポイントが登録されないようにすればよいわけだが、現状ではそれは不可能。

(高木浩光＠自宅の日記, 11/5)

この場合、自分が使用するアクセスポイントの位置を特定されるのを防ぐために、意図的に間違った位置情報を登録するということは有効なのではないだろうか？（ひょっとして業務妨害？）

(11/3 追記) PlaceEngineはMACアドレスを傍受し測位に使用しているようなので『SSIDステルス』『ANYプローブ応答禁止』を設定したとしても登録されてしまうらしい。
このことは「無線LANのステルス機能ではPlaceEngineに登録されるのを阻止できない」（高木浩光＠自宅の日記, 10/27）にしっかり書かれていた。第三者の利用を前提としているわけではない電波の情報を傍受し使用しているとすれば窃用と言われてもしかたないだろう。

「いわゆる『SSIDステルス』の設定、かつ、『ANYプローブ応答禁止』の設定」をした場合には（「このネットワークがブロードキャストしていない場合でも接続する」をオフに設定できなくはなるが）、他人にPlaceEngineのデータベースに登録されることはないのではないか？（正規通信で使用されるSSIDを傍受して登録される可能性はあるがこれは明白な違法行為であり、現在のWiFiの仕様上防ぎようがない。）(11/3 訂正削除)

【参考】
■電波法59条(法律１３１号, s25/5/2)
http://www.houko.com/00/01/S25/131.HTM

■ユビキタス社会の歩き方(5) [重要] 自宅を特定されないようノートPCの無線LAN設定を変更する(高木浩光＠自宅の日記, 11/5)
http://takagi-hiromitsu.jp/diary/20071105.html#p01

■無線LANのステルス機能ではPlaceEngineに登録されるのを阻止できない（高木浩光＠自宅の日記, 10/27）
http://takagi-hiromitsu.jp/diary/20071027.html#p02

防衛省に続き警視庁もGPS携帯を導入するとのこと。

警視庁は7日までに、全地球測位システム（ＧＰＳ）付き携帯電話を使い、交番などで勤務する地域警察官の勤務状況を把握する独自のシステムを導入する方針を決めた。

外勤やそれに近い交番勤務だとやむを得ない気もするが、金融商品取引法対応・内部統制強化の一貫などとして営業マンにGPS携帯を持たせて管理するなんて時代になるのだろうか。

あまり話題にもならないうちに、最近の携帯にはかなりの割合でＧＰＳ機能が搭載されるようになっている。今後、監視やマーケティングなどの目的で利用されるケースが増えると位置情報の目的外利用など新たな問題の発生が予想される。

前のエントリーでも書いたが、導入にあたっては利用目的と範囲・手順を明確にしておくべきだろう。

【参考】
■交番の警官にＧＰＳ携帯・警視庁、管理強化へ(NikkeiNET, 11/7)
http://www.nikkei.co.jp/news/main/20071107AT1G0701K07112007.html

■2007年以降、3G携帯は原則GPS機能搭載へ(ITmediaモバイル, 2004/5/18)
http://plusd.itmedia.co.jp/mobile/articles/0405/18/news034.html

防衛省幹部をGPS携帯で監視するという話がでている。前事務次官の接待問題からこれを歓迎するムードも広まっている。大臣が省庁の調達に関して影響力を持つ職員が業者等との癒着することのないようしっかりと管理監督する必要はあるのは当然だが、この場合どうも目的と手段がかみ合っていない印象を受ける。

下記の記事では、

「元事務次官のゴルフ接待問題を受け、防衛省は幹部をGPS携帯電話で監視することを考えている。（ロイター）」

という趣旨に対して、

「GPS携帯は国防上の緊急事態の際に出勤しなければならない上級職員にのみ支給されるという。」

と書かれているが、目的が「接待の監視」なのに支給先は「緊急事態の際に出勤しなければならない上級職員」なのはなぜだろう？
「接待の監視」であれば支給の対象は調達に関して権限または影響力を持つ職員とすべきだろう。

もし報道内容が事実なのであれば、プライバシーの問題以前に「接待の監視」が目的なのか「緊急事態に必要な職員を出勤させる」のが目的なのかもう一度よく考える必要がある。

そもそも国家公務員（特別職を含む）の「接待の監視」を目的にGPS携帯電話の導入が必要というのであれば、同じロジックに基づき、全ての省庁の調達絡む幹部についてGPS携帯電話を持たせて監視すべきだろうし、同様に全ての国会議員についてもGPS携帯電話を持たせるべきだとの声もでてきそうである。

緊急事態に対応が必要な省庁の職員だからGPSが必要というのは一見もっともなように見えるが必ずしもそうではない。GPS携帯電話が提供するのは、ある時点における携帯電話（と通常その所有者）の位置情報である。緊急に出勤させるには通話かメールで呼び出せば良いわけで、誘拐や失踪でもしない限りはGPSの位置情報通知機能は必要ないのである。

ちなみに、仮に幹部職員にGPS携帯電話を持たせたとして、ある職員が休日にゴルフ場にいる事がわかった場合、誰と一緒にプレイしているかはどうやって調べるのだろうか？関係企業の社員にGPS携帯電話を持たせこれらを全て監視するとか？

ん～・・・！？

以前、次官に夜間携帯電話で連絡がとれないという事が問題とされたことがあった。こういった際にGPSで位置情報が取得できると考えたのかもしれないが、当然携帯電話の電源が入らない限りGPSも使えないわけで・・・。

（11/2 追記）
結局のところ本当の狙いは休日や夜間などに宅直（自宅待機）や一定時間で登庁することを求められている職員が、勝手に登庁可能区域外に出てしまうことを抑止。ついでに企業との癒着への精神的な重石にでもなれば一石二鳥、なんとなくそれっぽい理由にもなり実現しやすいということか。

【参考】
■防衛省、GPS携帯による幹部の監視を検討(ITmedia, 11/1)
http://www.itmedia.co.jp/news/articles/0711/01/news114.html

有志の皆様に企画・運営していただいている神戸情報セキュリティ勉強会（仮称？）のアナウンスが行われています。

地域のセキュリティコミュニティーを支援する目的で、カーネギーメロン大学日本校がキャンパス施設等を提供しています。

軽食を用意しての懇親会（昼の部：無料）と場所を変えての懇親会（夜の部：有料）も計画されています。席に限りがありますのでお早目にどうぞ。

■有志による第01回神戸情報セキュリティ勉強会の案内ページ
(まっちゃだいふくの日記★とれんどふりーく★)
http://d.hatena.ne.jp/ripjyr/20071117/1193292004

■第1回神戸情報セキュリティ勉強会（詳細・申込）
http://www.cmuj.jp/071117workshop/index.html

日本国内で利用されている電子投票システムとその運用形態について主に仕様面から安全性について調査・分析した結果を、「現行電子投票システムの選挙への適用に関する安全性分析」というタイトルで、下記シンポジウムで発表します。

これは将来的な電子投票の利用を否定するものではなく、その安全性について問題提起をし、今後情報社会における安全な民主主義の実現に向けた健全な議論のための参考とするための試みです。アクセス可能な情報の範囲や時間的制約のために限定的な分析ですが、実施にあたっては各電子投票機器ベンダーの皆様から情報提供とご協力をいただきました。どうもありがとうございました。

コンピュータセキュリティシンポジウム2007 (CSS2007)
平成19年10月31日（水）～11月2日（金）　於 奈良新公会堂
主催　情報処理学会　コンピュータセキュリティ研究会
http://css2007.naist.jp/index.php?option=com_frontpage&Itemid=1

10月31日（水）
会場Ｃ:セッション１Ｃ　13:30～14:50
「現行電子投票システムの選挙への適用に関する安全性分析」
久光 弘記、武田 圭史 (カーネギーメロン大学)

９月末に開催が噂されていましたリバースエンジニアリング祭りですが、私の怠慢により企画の進行が滞っております。

多くのお問い合わせをいただいておりますので、時期は遅れるもののなんとか実現の方向で企画を進めていきたいと考えています。規模を大きくしてなどのような構想もありましたが、前回と同程度の規模で構えず、段階的に進めていければと思います。

楽しみにしていた皆様、発表ネタを準備していただいていた皆様にはご迷惑をおかけしますが、今しばらくお待ちください。なお、公募枠への応募を予定されていた方、これから考えてみようと思う方、その他ご希望、御意見、御提案など遠慮なくご連絡いただければ幸いです。本ページ右上のメールアドレスか本エントリーのコメントまでお寄せください。

久々のイベント告知です。

近年、社員・職員による情報の持ち出しや不正行為、脅迫など情報セキュリティの分野においても内部犯行対策の必要性が高まっていますが、これらの対策についてのノウハウの共有や研究は日本では活発には行われていません。今回のセミナーでは米国ＣＥＲT/CCの内部犯行対策研究グループより研究員を招き米国の内部犯行対策研究の成果や、米国における内部犯行対策の動向などについて紹介する予定です。　
これまで日本ではあまり取り上げられることの少なかったテーマです。席に限りがありますので、ご興味がおありの方は早めにお申し込みください。

■概要
１　日時 2007年10月24日(水) 17:30～19:00

２　場所 カーネギーメロン大学日本校 KHB001号室

３　内容 (予定)
　　講演：17:30～18:30
　『サイバー犯罪被害軽減のための方策：内部犯罪データの分析からの指針』
　 Ms.Dawn Cappelli, CERT/CC CMU SEI
　ディスカッション：18:30～19:00

４　言語 英語 （同時通訳なし、資料については日本語概訳配布予定）

５　参加料 無料

■申込は下記ページにて
カーネギーメロン大学日本校情報セキュリティセミナー
「サイバー犯罪被害軽減のための方策：内部犯罪データの分析からの指針」
http://www.cmuj.jp/071024seminar/index.html

「神は存在しない」を科学的に論証する野心作

この書籍は海外特に米国などで話題となったが、日本ではそれほど話題になっていないようだ。宗教というテーマは日本人にはあまりなじみがなく、一般には書店であまり手にとる気にならないのかもしれないし、この書籍で主張している「超自然的な意味での神は存在しない」は、無神論者が多い日本では、あまりに当たり前すぎるのかもしれない。

ブログの感想や書評などを読んでも割と辛口の評価が多いのだが、私はこの書籍を最新の科学理論を神の存在と絡めて紹介する科学的エンターテイメントとして楽しく読めた。宗教論、思想書あるいは科学書としてこの書籍をとらえれば突っ込みどころは多いのかもしれないが、この書籍の本質はそういうところとは違う。「本当に神は存在するのか」という小学生でも一度は考えたことがありそうな素朴な疑問（少なくとも日本人は）について、大の大人が、それも大学教員のポジションも持つ著者が、必死に論証をしようとし、それをまさに命がけで世界に発信しようとしているのだから、これが面白くないわけがない。この命がけという感覚が日本では実感をもって伝わりにくいかもしれないが、例えば、この本を日本で人前で読んでも、ふーん、小難しい話が好きな人だねと思われる程度だが、米国で人前でこの本を読むには身の危険の覚悟が必要である。気分はまさに「王様の耳はロバの耳！」なのである。

著者は誰にでもわかりやすく「つまり神は○○なのである」という断定的な書き方はしていないため、多くの読者が消化不良の印象を持つようである。実際かなり勢いに任せて書いた感があり、著者がこれまで「利己的な遺伝子」などの著作で主張するダーウィン主義の考え方をちりばめながらも、途中からはキリスト教に対する恨みつらみや聖書の矛盾点へのツッコミがグダグダと書かれている。

基本的には、これまでの著作と同様にダーウィン・マンセーな内容であり、いつもの調子で「人間による神の信仰」という事象を得意の進化論で「スパッ」と斬ってくれるのかなと期待するわけだが、この「スパッ」の切れ味がこれまでの著作ほど切れてなくてグダグダしているのが、辛口の評価につながったようだ。

　以下ネタばれ注意

続きを読む…

私の加入する超大手のプロバイダよりセキュリティサービスの加入を勧める電話が自宅に２回ほど電話がかかってきた。以下その時の会話の様子（記憶に基づくものなので正確ではない可能性がある）。

プ：「ここのところセキュリティの問題が大変深刻となっており、総務省から指導があり私どもの方で対策をとることとなりました。つきましては、全てのお客様にセキュリティ対策を行ってもらうようお願いしています。そこで今回、お客様に私どもの提供するセキュリティ対策サービスをご利用いただくようお願いしています。」

私：「具体的にどういうことをするのですか？」

プ：「はい、私どもの方でお客様のアカウントの設定をさせていただいてサーバで皆様のもとに送られる架空請求や詐欺メールなどをブロックするようにします。」

私：「つまり、迷惑メール対策をしてくれるということでしょうか？」

プ：「はい、さらにサーバ側でウィルス対策も行うことができまして、これでお客様に対するウィルスを１００％ブロックすることができます。」

私：「１００％ですか？本当ですか？」

プ：「本当です。」

私：「１００％ということはないでしょう。１００％とは言わない方が良いと思いますよ。なぜなら・・・（略）」

プ：「はいわかりました。そうかもしれませんね。」

私：「ちなみにこのサービスは有料なのですか？」

プ：「はい、迷惑メール対策が通常月額△△△円のところが○○○円、ウィルス対策も含めたパックが通常月額□□□円のところが☆☆☆円となっております。」

私：「総務省が全プロバイダ加入者に対してお金を払ってこのサービスに加入するように指導しているのでしょうか？」

プ：「いえそういうわけでもないのですが、皆様に安心してインターネットを使っていただくために必要な対策でございます。」

私：「私はプロバイダが提供しているメールサービスを利用していないので、関係ないと思いますが。」

プ：「皆さん気付かれないところで攻撃を受けていたり被害を受けているということがよくあるんです。念のために加入されていた方がよろしいかと思います。」

私：「・・・・・・」

私：「この電話が詐欺ではないということはどうすれば確認できますか？」

プ：「後で申し上げますフリーダイアルにお電話いただければ通話先が正しいプロバイダであることが確認できます。」

私：「わかりました。検討してその気になればこちらからお電話します。」

◆数日後

プ：「現在セキュリティの問題が大変深刻になっておりまして、全てのお客様に対策をお願いしております。先日お電話させていただきましたがその後検討の方はいかがでしょうか？」

私：「この対策にはお金がかかるのですか？」

プ：「はい通常月額△△△円のところが○○○円となっております。現在セキュリティが大変危険な状態となっておりますので、お客様全員にお願いしております。」

私：「全員にお願いしているといいながら有料サービスに強引に加入させるという勧誘の仕方には問題があるのではないでしょうか？特にセキュリティの知識のない人がそういう言い方をされると、わけもわからずに加入しないといけないと思ってしまう。本当に必要なら通常のサービスの範囲で提供すべきだろうし、こういった勧誘方法は問題があるのではないかと上司の方に伝えてください。」

プ：「はい、わかりました。」

エンドユーザに必要なセキュリティ対策を浸透させるのに様々な苦労があることは理解できるが、事実誤認を導くような説明や、不慣れな要員による誤った説明、脅しともとれる強引な勧誘方法は問題があるだろう。こういったことが続くようであれば、情報セキュリティ業界全体に対する不信にもつながるのではないだろうか？

受ける側にとってはこの電話自体がまさに迷惑であり迷惑メールの対策を勧めるために自ら同様の迷惑行為を行う結果となっている。また誇張やまぎらわしい表現や誤った説明は場合によっては詐欺ともとれる。信頼できると思われていたＩＳＰだけに残念だ。