2005年06月28日
■ 佐賀県のアンケート結果「証明書のインストールは簡単」
佐賀県が電子申請システムのモニターアンケートの結果を公表している。アンケート結果の4ページ目に掲載されている「事前準備及び操作等に関する結果」は、次のように主張している。
「セキュリティ証明書」のインストールなどの事前準備、県庁ポータルID登録、 ICカードリーダ・ドライバ等のインストール、電子署名操作および全般的な 操作の各難易度については、グラフ6〜10のとおりとなっており、 全体的に「簡単」という回答が多くなっています。
そのグラフとは次だ。
そりゃあさぞかし簡単だろうよ。なにしろ佐賀県はルート証明書を安全でない 方法でインストールさせているのだから。
佐賀県が県民に説明する証明書のインストール手順を見ると、 安全でない通信で証明書をダウンロードさせたうえ、同じく安全でない通信で フィンガープリントを掲示して、両者を照合せよという、何の確認にもならな い誤った手順を指示している(図2)。県の広報誌などに掲載のものを確認せ よといった指示はみあたらない。
そりゃあ、証明書といっしょに目の前にフィンガープリントも並んでいれば、 ユーザにしてみれば「インストールは簡単」ということになろう。
これらのページ自身がLGPKI発行のサーバ証明書によるhttps:// ページなので、 当然にセキュリティ警告が出る(サーバ証明書の真正性が確認できないとの 警告が出る)わけだが、 佐賀県は「セキュリティ警告が表示されたら」のページで、「はい」ボタンを クリックせよと言っている。
本サイトにおいて次のページ(FAQ、意見投稿、アンケート、電子掲示板、申 請・届出、メールマガジン、ログイン、ID登録)を表示する際に、セキュリティ 警告画面が表示されることがあります。これは、本サイトと安全な通 信を行うために必要な「証明書」のインストールを促すものです。 「証明書」をインストールすることによって暗号化された安全な通信を行うこ とができます。
(略)
(1)インターネットエクスプローラをご利用の場合、セキュリティ警告画面が 表示されます。【はい】ボタンをクリックすることで、一時的に暗号 化された通信を行うことができます。
アンケート結果の最終ページには「自由意見」として次の意見が 掲載されている。
・マニュアルに従って行けば簡単に出来たが、パスワードや個人情報が守られ ていると解っていてもセキュリテイのところで不安は付いてまわる。(50歳代)
その不安を抱く直感は正しい。パスワードや個人情報は正しく守られていない のが事実であり、警告画面が現れるのはそのことを示している。 残念ながら県庁が主張することだからといって信用できないのが現状であり、 Microsoft社の言うことの方を信用した方がましだ。
■ いまだにプレゼント目当てに個人情報を入れさせている埼玉県
1月14日の日記「小学生にセキュリティ警告を無視させる埼玉県」の件は改善があったようだ。 埼玉県のサイト全体が「.lg.jp」に移転し、小学生向けクイズの https:// ページは VeriSign発行のサーバ証明書*1で提供されるようになっていた。
しかし、クイズの回答を入力して「次へ」ボタンを押すと、
というように、住所、氏名、年齢、電話番号、FAX番号、メールアドレスの 入力画面が現れる。埼玉県はいまだに小学生にこれを入力させているのか。 この情報がどのような目的に使われるのかの説明もみあたらない。電話番号は 何の目的で収集するのか。
3月の読売新聞にはこういう記事が出ていた。
- 小学生狙うネットのワナ, 読売新聞, 2005年3月28日
「選ばれたあなたにゲームの最新情報教えます。プレゼントもあるよ」――。 こんなウェブサイトを見た子供はどうするだろうか。渋谷区立笹塚小(高橋妃 彩子校長)の5年生約70人のうち、「ここをクリック」で先に進んだのは約 半数だった。(略)
クリックすると「プレゼントを送るので送り先を教えて」と続き、住所、名前、 生年月日、家族の勤務先などを入力する欄が現れる。「続きを知りたい」とど んどん先に進む子、「変だな」とためらう子など反応は様々だ。
(略)
文科省は新年度から全国15のモデル校で情報モラル授業を行い、指導方法の 研究や資料作成を通じて情報モラル教育の普及を急ぐ。都道府県レベルでも、埼玉県教委が小中高別の指導体系表を作ったほか、今月から 長崎県教委が各地で開いていた子供を守るためのインターネット講座をネット 上で見られるようにするなど、取り組みはようやく本格化しつつある。
どんな指導体系なのだろうか。個人情報の収集目的が説明されているかとか、 それが妥当かとかの判断なしに、単に相手が信用できる相手かどうかで判断さ せるのだろうか。小学生にとって、信用できる相手の判断基準とはどんなもの だろうか。
県庁や市役所や国の官庁なら信用できます。
といったものだろうか。それ以外にどんな基準があり得るのか。
昨年2月22 日の日記にも書いたように、 米国では、「児童オンラインプライバシー保護法(Child Online Privacy Protection Act)」により、子供から個人情報を収集する際には事前に親の 同意を得なければならないとされている。
埼玉県のクイズの当選者は一生記録に残る。 珍しい氏名なら、将来その子たちが大人になったときにも、 子供のころに埼玉県のどの市、どの区に住んでいたかがインターネットで検索 可能となるだろう。それ自体は人によっては容認できることであろうが、 埼玉県はその事実を当選者の子供たちに理解させているだろうか。
■ データの自動更新とコードの自動更新
日経IT Proのサイトにこんな記事が出ていた。
- 【緊急インタビュー】トレンドマイクロに聞く「いったい何
を間違えてしまったのか」 , 日経パソコン, 2005年6月23日
通常、パターンファイルはデータと簡単なスクリプトだけを含んでいます。プ ログラム部分はほとんどないため、パターンファイルの更新により、今回のよ うな深刻な被害が発生するとはあまり想定していませんでした。(略) パターンファイルで必要なテストは、「ウイルスを正しく見つけられ、誤検知 がない」というのが基本でした。
ところが、「ボットの検知」を実現するために、従来のパターンファイルの枠 を越えたファイルを配信する必要が出てきました。圧縮されたボットを検知す るために、特殊な圧縮形式を判別するプログラムが必要になったのです。
本来なら、ここでパターンファイル公開時に、以前とは異なるリスクを背負う ことになるということを、全社で意思統一していなければなりませんでした。 しかし、(略)
これは意外な発言だった。てっきりこれまでもプログラム(コード)の自動更 新はしているものだとばかり思っていたが、このインタビューによれば、これ まではデータのみを更新していたのだという。
たしかに、安全のためにデータのみの更新にとどめるというのは懸命な策だ。
しかし、同日付のトレンドマイクロ社のニュースリリース (文字が小さすぎて読みにくいので注意) によると、今後の取り組みとして品質管理を改善していくのだという。
もちろん、コードの更新はいずれ今後も必要となるだろうから、品質管理体制 を改善することも必要だが、それ以前に、データの自動更新とコードの自動更 新を分けるべきではないだろうか。
データの更新は全自動だがコードの更新は手作業による確認を必要とするといっ た設定を、ユーザの意思によって選択できるようにするべきだ。
そもそもコードを自動更新するという設定は、コンピュータの完全掌握を当該 企業に許すということにほかならないのであり、安全保障の観点でも自動にす るのは避けるべきことである。
Windows Updateは最近では自動にすることが容認されるようになってきている が、これは、脆弱性修正のためのものであることから重要性が高いのが理由で あるし、Microsoft社も最初からそれを推奨してきたわけではなく、これまで の信頼の積み重ねがあってユーザに許容されているのだろう。Microsoftが倒 れたら世界も倒れるという意味で、どのみち一心同体なのだから自動更新する んだという考えもありえる。
そもそも、Windows Updateをして、ユーザが正しい使い方をしていれば、ウイ ルス対策ソフトなんか不必要なのだから、それのコードの更新が自動で行われ る必然性は相対的に小さい。
*1 別にVeriSignブランドである必要はないのだが。
これらのページ自身がLGPKI発行のサーバ証明書によるhttps:// ページなので、 当然にセキュリティ警告が出る(サーバ証明書の真正性が確認できないとの 警告が出る)わけだが、 佐賀県は「セキュリティ警告が表示されたら」のページで、「はい」ボタンを クリックせよと言..
高木浩光@自宅の日記 6/28わたしは崇拝する信者でございます。理解は50%にも満たないのではありますが。最後の「ウイルス対策ソフトは不必要」は言い過ぎだと思います。
これはひどいなぁ、 確かに小学生相手に個人情報を聞いてどうするんでしょう。 「埼
いまだにプレゼント目当てに個人情報を入れさせている埼玉県(高木浩光@自宅の日記): 小学生にとって、信用できる相手の判断基準とはどんなものだろうか。 児童に対する性犯罪の問題を扱った『なぜ少女ばかりねらったのか』((著者のレイ・ワイアとティム・テイトにはこん..
- pmakino.jp tdiary ×17 : 7, 3, 1, 1, 1, 1, 1, 1, 1 (2022-12-01)
- http://www.studio-wiz.com/blog/2011/08/-for-android.html ×31 (2011-09-06)
- はてなダイアリー [rna] ×69 : 59, 4, 2, 2, 1, 1 (2010-02-16)
- www.mikamama.com tdiary ×35 : 19, 5, 5, 4, 1, 1 (2008-05-15)
- http://materia.jp/blog/20050629.html ×7 (2008-01-11)
- mikamama.com tdiary ×4 : 2, 1, 1 (2007-08-19)
- http://blogman.kansai.oki.co.jp/roller/page/skata/20070412 ×4 (2007-04-12)
- はてなダイアリー [namnchichi] ×2 : 1, 1 (2007-03-25)
- http://blog.ptlabo.net/index.php?view=all&month=0506 ×8 (2006-04-14)
- ココログ [stressfulangel cocolog] ×42 : 19, 11, 7, 3, 1, 1 (2005-12-30)
- http://reima.sub.jp/sb/sb.cgi?month=200506 ×10 (2005-10-07)
- http://www.oyakonews.com/oyanews/homep/HP2005/HP050717.html ×5 (2005-08-20)
- http://bakera.jp/hatomaru.aspx/htmlbbs/article/3065 ×9 (2005-07-17)
- bakera.jp/hatomaru.aspx/ebi/ [topic/2370/comment] ×19 (2005-07-17)
- http://blog.ptlabo.net/index.php?month=0506 ×9 (2005-07-15)
- http://blog.ptlabo.net/index.php?id=05060083 ×7 (2005-07-03)
- はてなダイアリー [rna 20050702] ×17 (2005-07-02)
- http://www.spade.pref.saga.jp/intra/portal/mail/C001_open.do... ×33 (2005-06-30)
- http://snowangel.jp/security/ ×6 (2005-06-30)
- はてなダイアリー [quintia 20050629] ×6 (2005-06-29)
- http://reima.sub.jp/sb/ ×17 (2005-06-29)
- 佐賀新聞 おくやみ ×100 / 証明書 インストール ×44 / キーワード不明 ×44 / 証明書のインストール ×43 / ルート証明書 インストール ×22 / 佐賀新聞おくやみ ×20 / 小学生向けクイズ ×16 / アンケート結果 ×14 / 佐賀新聞おくやみ欄 ×11 / アンケート 個人情報 ×11 / 佐賀新聞 おくやみ欄 ×11 / 子供クイズ ×10 / 佐賀新聞 今月のID ×10 / 情報モラル アンケート ×10 / ルート証明書 自動更新 ×8 / 電子申請 アンケート ×8 / 佐賀県 電子申請 ×7 / 珍しい氏名 ×7 / サーバ証明書 インストール ×5 / 佐賀新聞 パスワード 今月 ×5 / 電子申請 アンケート 結果 ×5 / セキュリティ証明書 ×4 / 佐賀新聞 ID パスワード ×4 / 証明書 自動更新 ×4 / 子供を守るためのインターネット講座 ×4 / 佐賀新聞 8月 パスワード ×4 / 証明書 警告 ×4 / Winny 利用目的 アンケート ×4 / 証明書インストール ×4 / セキュリティ証明書 証明書のインストール ×3 / LGPKI https ×3 / 電子県庁 アンケート ×3 / winny インストール確認 ×3 / 佐賀新聞:おくやみ ×3 / 証明書 自動インストール スクリプト ×3 / 佐賀県 FAQ アンケート ×3 / セキュリティ証明書のインストール ×3 / 県のクイズ ×3 / 佐賀新聞のおくやみ欄 ×3 / アンケートの結果 ×3 / パスワード 佐賀新聞 ×3 / ルート証明書+高木 ×3 / 高木浩光 佐賀県 ×3 / 高木 ルート証明書 Windows Update ×3 / lgpki サーバ証明書 lg.jp ×3 / 佐賀県 グラフ ×3 / 証明書 高木 ×3 / 佐賀新聞 今月のIDは ×3 / 個人情報保護法&アンケート ×3 / 埼玉県 セキュリティ 小学生 ×3 / https セキュリティ警告 はい ×3 / 電子申請 アンケート結果 2006 ×3 / 高橋妃彩子 ×3 / 証明書 佐賀県 高木 ×3 / サーバ証明書 ×2 / 住所 氏名 年齢 家族 電話番号 メールアドレス アンケート ×2 / 長崎県 サーバ証明書 ×2 / サーバ証明書のインストール ×2 / 佐賀新聞 今月のパスワード ×2 / ルート証明書 インストール 高木 ×2 / 証明書 自動インストール ×2 / 笹塚小 ×2 / サーバー証明書 インストール ×2 / モニター アンケート 日記 ×2 / 佐賀県 アンケート ×2 / 佐賀県教委 情報モラル教育 ×2 / ルート証明書 インストール スクリプト ×2 / 更新証明書 update ×2 / 懸命な策だ。 ×2 / 佐賀新聞今月のID ×2 / 埼玉県のクイズ ×2 / 証明書 佐賀県 問題 ×2 / アンケート 情報モラル 小学生 ×2 / www.spade.pref.saga.jp ×2 / 証明書 自動 インストール ×2 / 性犯罪 グラフ ×2 / 性犯罪 グラフ 表 ×2 / 珍しい 氏名 ×2 / 佐賀新聞 2006年 5月 ID ×2 / 高木浩光 ボット ×2 / 証明書 -hiromitsu.jp ×2 / ウイルス対策 -hiromitsu.jp ×2 / https 通信 サーバ証明書 ×2 / 佐賀県 電子県庁 ×2 / 小学生に 埼玉県 ×2 / メルマガ 設定 脆弱性 site:takagi-hiromitsu.jp ×2 / LGPKIサーバ証明書 ×2 / 電子証明書 真正性 フィンガープリント ×2 / ボタン 送り先 データ 判断 HTML ×2 / 高木浩光 電子証明書 ×2 / LGPKI ×2 / LGPKI 佐賀県 ×2 / 佐賀県 ×2 / -hiromitsu.jp フィンガープリント ×2 / 高木浩光 佐賀 ×2 / ルート証明書 なに ×2 / 佐賀県おくやみ情報 ×2 / 佐賀県 セキュリティ警告 ×2 / 佐賀のおくやみ ×2 / windows update 証明書 日付 できない ×2 / 証明書 設定 ×2 / 佐賀新聞 ID ×2 / 個人情報保護法 アンケート ×2 / ルート証明書 更新 ×2 / 個人情報 教育 証明書 ×2 / winny インストール 確認 ×2 / 個人情報 アンケート ×2 / アンケート 結果 ×2 / アンケート プレゼント 個人情報 ×2 / ルート証明書 インストール XP SP2 ×2 / windows update 更新証明書 ×2 / ボットの検知 ×2 / 佐賀新聞 今月のID ×2