最新 追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 1138   昨日: 2734

2005年10月11日

ITmediaが利用規約から無断リンク禁止条項を撤廃

Webメディア御三家、つまり、INTERNET Watch、ITmedia(旧ZDNet JAPAN)、 日経IT Proと言えば、日本のWeb文化をリードしてきた新時代のマスメディアだ。 旧態新聞会社達が決して扱うことのなかった話題を、いつも期待を裏切ること なく報道してくれた頼れるメディアだ。たとえばこんな報道があったのも Webメディアならではと言えよう。

旧態マスメディアの主要な何社かが、記事ページへの無断リンク*1を禁止すると定めているところ、 そのナンセンスさはこれまでにも幾度となく議論されてきた。 しかし、実はITmediaが利用規約で無断リンクを禁止しているというのは、 知る人ぞ知る事実であったものの、あまり積極的に語られることは多くはなかっ た。なぜなら、その話が出てしまうと、

ITmediaでさえ無断リンクを禁止しているのだから、禁止するのは妥当って ことなんじゃないの?

という展開となり、元々議論することが難しいこの話題は、腰元からボッキリ と折られてしまうに違いないからだ。

ITmediaの利用規約は、2005年8月の時点では次のようにリンクについて定めて いた。

ITmediaはアイティメディア株式会社(以下、「ITM」)が提供するサービスで す。本規約は、ITMがWebサイト「ITmedia(www.itmedia.co.jp)」において提 供するサービス「ITmedia」を利用される方すべて(以下、「ユーザー」)に ついて、ITmediaの利用を開始した時点で適用されます。(略)

7. 2次使用(リンク・転載)について

ユーザーは、ITmediaへのリンクまたは記事の転載を希望する場合には、事前に、お名前、連絡先、リンク元となるWebサイト(以下、 「貴サイト」)の内容、アドレスおよびリンクの趣旨などをお問い合わせページを通じてITMへ連絡し、ITMから承諾を得る必要があります

(i) リンクをお断りする場合 (略)

(ii) ITmediaのコンテンツを貴サイトに表示する場合 (略)

(iii) 画像への直接リンクのお断り (略)

ITmedia 利用規約, 2005年8月当時のもの

図1: ITmediaの2005年8月時点での利用規約から リンクに関する部分

つまり、リンクする前にITmediaから承諾を得ねばならないとされていた。 リンク元の内容や、リンクする趣旨まで書いて申し込まないといけないとされ ているので、事前審査があるのだろうか。

そこで私は、そのお問い合わせページから、 リンクの承諾を得るべく申請を行った。 このとき、リンクする趣旨についてはあえて書かないようにした。きっと、 リンクの趣旨については係員の方が尋ねてくださるのだろうと思った。

すると数日後に次の返事が来た。来たのはまるでテンプレートによる自動応答 のようなメールだった。

平素はITmediaをご利用頂き、誠にありがとうございます。

弊社記事に対するリンクに関して、下記記載事項に従って運用頂く場合は特に事前の連絡の必要はございません。 その際、事後でも結構ですので、ご連絡を頂けると幸いです。

(以下略)

なんと、事前に承諾を得る必要があるというのでわざわざ申請手続きをしたの に、しばらく待って来た返事は、事前の連絡はいらないというのだ。 私がどういう趣旨でリンクしようとしているのか確認していないくせに、だ。

言っていることとやっていることが違うじゃないか! ということで、苦情の メールを送った。待てど暮らせど返事は来ない。やっぱりここのメールは機械 応答だろうか……と不安になりつつも、返事はまだかと何度か催促してみた。

すると17日後にようやく人間の人から返事を頂くことができた。係員曰く、

このたびは弊社の利用規約に関して、重要なご指摘を頂きながら、迅速なご対応を行っておらず、誠に申し訳ございません。

高木様のご指摘を頂きました様に、弊社の利用規約とその後のご回答に一致していない部分がございます。現在掲載している利用規約はかなり以前に作成したもので、運用の実態と合っておりませんでしたので、本矛盾点を修正すべく作業中でございます。

という。そらみろ、やはりこの手の利用規約は飾りだ。他人の自由を制限する 文書であるにもかかわらず、当人達さえ内容を把握してない。

しばしば、「この手の規約は実態がないのだから無視してしまえばよいし、 みんな無視しているが何も問題ない」という主張を耳にする。しかし、こうし た無断リンク禁止の規約を真に受けている人もいる。実際に見た事例としてこ ういうケースがあった。 掲示板である種の話題が盛り上がると、「まとめサイト」というものが作られ ることがよくある。まとめサイトでは事件の概要とともに、関係する報道の 一覧を作ることで事件の性質をわかりやすくまとめるといった手法が使われる。 あるまとめサイトの編集者がITmeidaの記事へのリンクを作ったとき、掲示板 で何者かが「ITmedaiは無断リンク禁止だよ」との指摘を書き込んだ。すると、 まとめサイトの編集者はそれにしたがって一旦リンクを削除した。そして編集 者はITmediaに承諾を求める申請をした(と掲示板に報告があった)。ITmedia から承諾の返事が来る数日後まで、まとめサイトの表現内容は制限されたのだ。 こういうことが実際に起きているわけである。

そして、9月30日、ITmediaの利用規約は改定された。リンクに関する記述は 以下のようになっている。

7. 2次使用(リンク・転載)について

ユーザーは、下記の場合を除き、ITmediaへのリンクを行うことが できます。記事の転載を希望する場合には、事前に、お名前、連絡 先、Webサイト(以下、「貴サイト」)の内容、アドレスおよび趣旨などを、 お問い合わせページを通じてITMへ連絡してください。ITMでは営利目的の継続 的なリンクと記事転載を、有償サービスとして提供しております。

<リンクをお断りする場合>
以下の事項のいずれかに該当する場合は、リンク自体をお断りする場合があり ます。

  • 営利を目的としたものである場合
  • ITmediaに掲載された画像に対する直接リンクの場合(画像表示について
  • ITMの設立目的、企業理念またはイメージ等に合わない場合
  • ITMに経済的損失が生じると考えられる場合
  • ITMのページへのリンクである旨を表示しない場合
  • 独自のフレームの中に、ITMのWebサイトを取り込んだ形でリンクされる場合
  • 第三者が著作権を保有する記事へのリンクの場合
  • お名前またはリンクの趣旨等事前に連絡された事項に虚偽があった場合
  • その他ITMの運営に支障を来す恐れがあるとITMが判断した場合

ITmedia 利用規約, 2005年9月30日改訂版

無許諾リンクを禁ずる条項は撤廃された。めでたい*2。 これで目の上のたんこぶが取れたと言えよう。

ちなみに、他のWeb系メディアはどうかというと、リンクに許諾が必要などと いうことは言っていない。

  • impress Watch - 本サイトのご利用について

    ◆本ウェブサイトへのリンク

    本ウェブサイトへのリンクは、トップページ・記事ページとも、当社に連絡することなく自由にリンクしていただいて構いません。ただし、画像ファイルへのリンク、およびフレームを使用したHTMLページ内で表示する形でのリンクはご遠慮ください。

  • 日経 ITPro - このサイトについて

    リンクについて

    各コンテンツへは原則として自由にリンクいただいて結構ですが,URLは事前に予告なく変更・削除する可能性があることをご了承願います。

  • @IT アットマーク・アイティ - 著作権 リンク 免責事項

    リンクについて

    当サイトへのリンクは、原則として自由に行って構いません。また、その際の 許諾確認のご連絡も不要です。リンクの際は、各サイトのトップページ(略) あるいは各フォーラムおよびコーナーのトップへのリンクを推奨い たします。直接、記事ページへのリンクをされても構いませんが、URLは事前 に予告なく変更される可能性がありますので、あらかじめご了承ください 。リンクの際には、下記のバナーを用意しておりますので、ご自由にお使いく ださい。

  • MYCOM PC WEB - 著作権とリンク

    リンクについて

    • MYCOM PC WEBへのリンクは原則として自由です。
    • リンクには、MYCOM PC WEBへのリンクであることを明記して下さい。
    • リンクは自然な形式でお願いします。フレーム内で表示される形でのリ ンク等、弊誌の運用に差し支える形式はお断りしております。

    そのほかのケースにつきましては、個別に対応させて頂くことになりますので、ご遠慮なくお問い合わせ下さい。

これが標準なのだから、このような条件ならそもそも「リンク条件」だとか 「リンクポリシー」などというページを用意する必要さえ本来はない。

読売新聞社説「通常の利用なら全く問題はない」

旧態メディアの一部は個別記事へのリンク(いわゆる「ディープリンク」)を いまだに禁止している。

これは実態に即した規約なのだろうか。

読売新聞については、「ライントピックス無断見出し転載配信リンク訴訟」に 関係しているのかもしれない。先週この訴訟について、知財高裁のの判決が出た。

この判決では、見出しの著作権は認めなかったものの、損害賠償を命ずる理由 として、営利目的で反復継続利用していることや、読売新聞の業務と競合して いることなどを挙げている。つまり、たとえば、新聞社のトップページに並べ られている最新記事へのリンク一覧にある見出しを全部使って、ほぼ同じ内容 のリンク集を無断で作った場合などは、不法行為にあたる可能性があるという ことだろう。

したがって、特定記事について論評するとか、なんらかの論評のための根拠と して報道記事を挙げるためにディープリンクすることは、何ら問題がないはず である。

読売新聞の7日の社説も、そのことに同意しているように読める。

ネット配信された読売新聞の記事見出しを無断利用して事業化している会社に 対し、読売新聞社が損害賠償などを求めた訴訟の控訴審で、知財高裁が、見出 しの財産権を認め、賠償を命じる判決を出した。

(略)

ネットを通じて、さまざまな情報が広がって行くことは望ましい。だか らこそ読売新聞は、ネット向けのニュース配信にも力を入れている。

通常の利用なら全く問題はない。十分に活用してほしい。 そこから多彩な意見が生まれ、人と人のつながりができ、その結果、社会が豊かになればいい。

10月7日付・読売社説(2)

であれば、個別記事へのディープリンクを一切合財禁じている現行の「リンク ポリシー」なるものを改定してはどうか。

訴訟戦略上の都合としてできるだけ広くリンクの自由を制限しておいたのだ―― とすれば、それはまだ理解できた。だが、今回の社説が読売新聞社の本意であ るとするなら、現在のリ ンクポリシーは実態から乖離している。

リンクさえ禁止しておけば、ライントピックスのようなサービスが現れても、 利用規約違反だと主張することが可能になる――というのはわかる。だが、 本当に禁止したいことはリンク一般ではなかろう*3

もうそういうのはそろそろやめてはどうか。この種の文書を書く係員は法務の スキルがあるはずだ。本当にやりたいことは何なのか、自問自答して必要十分 な規約を作成するのがプロだろう。

*1 ITmediaのIT用語辞典「無断リンク」には次のように書かれている。

リンクしてほしくないページはそもそもインターネットで公開すべきではないため、リンクに許可が必要だという考えは本来誤りだが、著作権やプライバシーを拡大解釈している人が多いのか、個人サイトのオーナーなどの間で「無断リンク」という言葉は未だに使われ続けている。

*2  無断リンク禁止条項が撤廃されたのはめでたいことだが、今回改定された規約 でもまだ問題がある。

まず、リンクに関する説明の節の見出しが「2次使用(リンク・転載)につい て」と書かれており、これではあたかもリンク行為一般が、著作物の二次利用 にあたるかのように誤解する読者を増やしている。リンクは著作物の二次利用 ではない。リンクと転載は節を分けて書くべきである。

次に、「ITMのページへのリンクである旨を表示しない場合」にリンクをお断 りすると書かれているが、引用しないでリンクする場合にそれを要求される筋 合いはない。たとえば次のような形式でリンクすることは自由であるはずだ。

○○事件を伝えている <a href="http://www.itmedia.co.jp/foo.html">このニュース</a>によると、
犯人はセキュリティのかかっていない無線LANを使って殺害予告の書き込みをしたらしい。

引用をする場合には、出典表示としてITmediaの名前を記すことは当然である が、上の例のように引用していないのであれば、どのように表現しようが勝手 だろう。上の例のリンクをクリックしなかった読者にとっては、ITmediaの記 事は目にしないのだから、そのリンク先がどこだと知らされることは必須では ないし、一方、リンクをクリックした読者にとっては、ITmediaのサイトにジャ ンプすることによって、それがITmediaの記事だと認識しながら読むことにな るので、何ら問題がない。

これについて、ITmediaの係員にメールで問い合わせたところ、

この文言は、
・ITMのページへのリンクであるにも関わらず悪戯で競合他社のクレジットを入れたり
・当社と無関係な人物が執筆したかのように思わせるクレジットが入っている
場合がまだあるので残してあります。

という回答だった。そこで、

であれば、
・ITMのページへのリンクであるにも関わらず第三者のサイトへのリンクであるかのような記述をしないでください。
と書けばよいはずですが、なぜそれを採用できず、
・ITMのページへのリンクである旨を表示しなくてはならない
としているのか、その理由を教えてください。

と質問したところ、回答は「現在の記述でカバーできている」というものだっ た。この種の文章を書く立場の職種の人たちは、自分の仕事に論理矛盾があっ て平気なのだろうか?

*3 ライントピックスの 訴訟においても、原告である読売自身がリンク自体を争点にしていない。 それどころか、

LT表示部分にLTリンク見出しが流れても,LTリンク見出しをクリックして記事本文のサイトにアクセスするユーザは,ごくわずかしかおらず,ほとんどは,流れるLTリンク見出しのみを閲覧することで満足している。ライントピックスサービスは,LTリンク見出しの配信行為のみをもって,ニュース配信の機能を果たし,サービスとして完結している。

知的財産権判決速報, H17.10. 6 知財高裁 平成17(ネ)10049 著作権 民事訴訟事件

という主張をしているわけで、むしろ記事へのリンクがない 方が権利侵害の度合いが大きいとの考えを前提とした主張をしているくらいだ。

本日のリンク元 TrackBacks(9)

2005年10月17日

銀行やマスコミは対策の有効性の範囲で嘘を書いてはいけない

8月に書こうと思っていたが、時機を逸してしまった話題。

などのように、今年の夏は、スパイウェアが原因でインターネットバンキング で金銭被害が出たことが報道されたことから、各銀行がこぞってスパイウェア 対策に乗り出すという展開となった。

銀行が何らかの対策を発表するたびに、新聞やネットメディアで報道が繰り返 されたが、技術者の間からは「そんなものでは対策にならないのに」という懸 念の声が出ていた。

たしかに、スパイウェアに感染するような事態、つまり、悪意あるプログラム (トロイの木馬)を実行してしまうようなユーザのコンピュータでは、もはや、 銀行側でどんな対策をしたところで、この種の被害を完全に防ぐことは不可能 である。

しかし、完全な対策にならないからといって、その対策に全く意義がないとい うことにはならないのだろう。キーロガーによる攻撃が流行しているときに、 キーロガーを無効にする対策をするのには、一定の意義があるということなの だろう。

もっとも、「この銀行はキーロガー対策されているので」との認識から、ユー ザが、他の種類のトロイに対する注意を疎かにするということも起こり得る。 技術者達が「そんなものでは対策にならないのに」と懸念したのは、そうした 事態を心配してのことだろう。

だから、銀行は、対策を発表する際には、その対策が限定的なものであること を示さなくてはいけない。キーロガー対策であるなら、キーロガーへの対策に はなるが、その他のスパイウェアには効果がないので注意を怠らないようにと、 注意喚起するべきである。

たとえばソニー銀行の場合、キーロガー対策として「ソフトウェアキーボード」 なるものをサービス開始した際に、次のように表現に注意した発表をしていた。

キーボードの操作履歴が残らないため、入力情報を記録してパスワードなどを 盗用するタイプのスパイウェアに対して、通常のキーボードに比べ 安全な入力方法です。

スパイウェア等による不正利用防止のための機能追加について, ソニー銀行, 2005年8月1日

キーロガー以外のスパイウェアには依然として注意が必要であることの説明は 書かれていないものの(どうして書かないのだろうか?)、キーロガータイプ のスパイウェアに対して効果があるという書き方になっている。

それに対し、たとえばイーバンク銀行の同様の対策の発表においては、あたか もスパイウェア全般に対して効果があるかのような記述になっていた。

スパイウェア等による不正利用の対策として、暗証番号を安全に入力できる「ワンタイムセキュリティボード」(以下セキュリティボード)を8月5日(金)より導入いたします

イーバンク銀行、スパイウェア対策として「ワンタイムセキュリティボード」を導入, イーバンク銀行, 2005年8月4日

訴訟対策という意味でも不用意な表現ではなかろうか。

まあ、対策をした企業の立場からすれば、せっかく対策したのだから、最大限 有意義な対策であるかのように発表したくなるという気持ちはわからなくもな い。

だが、報道機関がそれを鵜呑みにして垂れ流すというのはいかがなものか。 日経コンピュータは、このイーバンク銀行の発表をうけて、次のような報道を していた。

これからはイーバンクを利用して出金などの取引をする際、4〜12桁の数字からなるパスワードの入力欄の下に、0から9まで各数字を特定の英字に置き換えた表が表示されるようになる。ユーザーはこの表に従って、パスワードの数字を置き換えた英字を入力する。 表は利用のたびにランダムに変わるので、スパイウエアなどで一度や二度キー 入力情報や通信データを盗み見られたとしても、 不正振り込みにつながる危険性は低い。

イーバンク銀行がスパイウエア対策にワンタイム・パスワードを導入, 日経コンピュータ, 2005年8月4日

これは明白に誤りである。「通信データを盗み見られた」場合は対策にならない。 「通信データを盗み見られた」という状況*1では、この対応表も同 時に盗み見られるからだ*2

イーバンク銀行は発表文で「通信データを盗み見られたとしても」とは書いて いなかったのに、日経コンピュータは誤った報道をして、イーバンク銀行のユー ザを過大に安心させるという過ちを犯した。

企業がセキュリティ対策をしたと発表したとき、「本当にそれで対策になって いるの?」との疑いを持って伝えるのが、ジャーナリストの役目だろう。イン ターネットが普及した時代、企業のプレスリリースは、誰でも簡単に直接読む ことができる。それを右から左へと無批判に横流しするだけなら、そんな報道 機関に存在価値はない。

*1 SSLを使用していても通信デー タは盗み見され得る。SSLで防止できるのは通信経路上での盗聴であり、通信 元であるコンピュータがスパイウェアに感染しているならば、SSLの暗号を復号した後の通 信データをスパイウェアは読み取ることができる。

*2 ユーザが変換後のパスワードをタイプし、送信ボタンを押す前に、盗み出したキーと対応表で攻撃者がログインできる。 訂正: ユーザのキー入力と変換表を入手できれば、元のパスワードがわかってしまう。

本日のリンク元 TrackBack(0)

2005年10月18日

まず神話を作り、次に神話は崩壊した!と叫ぶマスコミ

8月に書こうと思っていたが時機を逸してしまった話題シリーズ、その2。

一昨年5月12日の日記に書いていたように、2003年の3月にネットカフェでキーロガーが仕掛け られていて1600万円がインターネットバンキング経由で不正送金される事件が 起きたのを受けて、翌月にはこういう記事が書かれていた。

無力だったIDとパスワード

一方、銀行側のセキュリティに問題はなかったのか。

実は今回の事件、シティバンクが「乱数表」と呼ばれる認証手段を採用してい れば、未然に防ぐことも可能だった。乱数表は、利用者ごとに異なる数字が書 かれた表で、申し込み時に利用者に配られる。乱数表を採用しているネットバ ンキングの場合、利用者はIDとパスワード以外に、指定された乱数表の数字を 入力しなければ認証されない。乱数表を基に入力する数字は毎回異なるため、 仮に犯人が回収したログに乱数表の数字が残っていても、それを不正アクセス に使える可能性は格段に低くなる。

つまり、今回の事件が教えてくれるのは、「IDとパスワード」という従来の認 証システムの無力さ。これは銀行側も認めている。国内のネットバンキングに問い合わせたところ(下の表)、乱数表を使う銀行は「うちでは起こり得ない」、 IDとパスワードだけの銀行は「起こる可能性は否定できない」と、はっきり回 答が分かれた。

ネットバンクで1600万円が突然消える, 日経パソコン, 2003年4月8日

「乱数表神話」の誕生、だった。

なんとなく安全であるかのような気がしてしまう銀行の「乱数表」。乱数表と いってもビンゴカード程度のものでしかないが、「乱数表神話」が作られたとき、 一般市民達はヒステリックに乱数表の必要性を訴え始めていた。

  • 質問:どうしてネットバンクは乱数表を使用しないの?, 教えて!goo, 2005年7月17日

    親の入っているりそなダイレクトは乱数表(略)

    これならスパイウェアを怖がらなくていいのですが、これを使用しているネッ トバンクが少ないです。私は乱数表を用いてログインするのが一番セキュリティ が高いと思うのですが、どうしてほかの銀行では採用しないのでしょうか?

そして今年の8月、こういう報道があった。

ネット銀行口座のIDやパスワードをスパイウエアによって盗まれ、預金を不正 に引き出された事件が、7月1日と5日に相次ぎ発生した。顧客自身のパソコン から情報が盗まれたのは国内で初めて。乱数表を使ってセキュリティ強度を高 めていた口座も被害に遭った。

(略)

一方、ジャパンネット銀行の顧客が被害に遭ったのが、なぜ衝撃的かというと、 同行が「乱数パスワード」の仕組みを導入しているからだ。顧客に「ID カー ド」と呼ぶ、16個の数を記載したカードを送付しておき、利用のたびに、どの 数をパスワードにするかを指定する。毎回パスワードが異なるため、一度や二 度、キー入力情報や通信データを盗み見られても、不正振り込みにつながる危 険性は低いとされていた。そのような考えから、アイワイバンク銀行、三井住 友銀行、UFJ銀行なども同様の仕組みを採用していた。

しかし今回、その「神話」が崩壊した。ジャパンネット銀 行の顧客6人の口座から、計379万6000円が不正に引き出された。手口は明らか になっていないものの、複数の顧客が被害に遭っていることから、何らかのス パイウエアが使われ、乱数パスワードを破られた可能性が高い。

国内ネット銀を狙うスパイウエア 国内ネット銀を狙うスパイウエア, 日経コンピュータ, 2005年8月3日

神話の崩壊、だった。

これに踊らされる人たちが、いた。

マスコミが神話を作り、マスコミが神話の崩壊だと叫ぶ。

神話など初めから存在しない。

次の神話崩壊は何だろうか。

  • ソフトキーボードの安全神話が崩壊! ネット銀で不正送金, 日経○○, 2006年×月
  • 崩壊するネット銀行のスパイウェア対策神話, 日経△△, 2006年×月

というか、既に海外ではこういう報告が出ている。

フィッシング対策の業界団体である米Anti-Phishing Working Group(APWG) は米国時間8月22日,7月中に報告されたフィッシングならびにマルウエア(悪 質なソフトウエア)の動向をまとめたレポートを公表した。それによると, パソコンのスクリーン・ショットを記録して,ソフトウエア・キーボードへの 入力情報を盗むマルウエアが出現しているという。

ソフトウエア・キーボードへの入力情報を盗む“キーロガー”出現,パソコン画面をキャプチャする, 日経ITPro, 2005年8月25日

最初から予想されていたことだ。

銀行によっては銀行の担当者自身も予見していただろう。完全な対策にならな いことはわかっていながら、それでもなお、キーロガー対策をとりあえず何か やらざるを得ないということなのだろう。それは理解できる。しかし、重要な のは、対策の有効性の範囲(対策の限界)を包み隠さず示して、利用者に過度な安心感を抱かせないことだ。 なぜそれをしないのか。

ああ言われたらこう言い、こう言われたときにはああ言っておく

まだ一年と経っていないが、今年夏の預金者保護法の成立でもはやいささか 古い話となりつつある 柳田邦男「キャッシュカードがあぶない」では、スキミングで簡単にコピー されてしまうキャッシュカードの安全性についての銀行側の考え方が、次のよ うに紹介されていた。

東京三菱銀行広報室の当時のコメントはこうだった。

「暗証番号はセキュリティの最後の砦として、まだ有効であり、暗証番号がき ちんと管理されていれば、お金が盗まれることはないと考えています。暗証番 号の管理は、お客さま個人個人にしていただかなければ、いかんともしがたい ところです」

まさに利用者の「自己責任」であって、システムの問題でも、銀行の責任でも ないというのだ。磁気カード自体がスキミングなどの盗用技術の発達に対しセ キュリティの機能を失っているのではないかという問いに対しては、次のよう な論理を持ち出す。

「鍵は破る手段があれば鍵ではない、ということにはならないと思います。今 のセキュリティシステムに問題がないと言うつもりはありません。しかし、今 すぐできる対策と、時間がかかるものがあることがご理解いただきたい。今す ぐできることは、最後の塹壕としての暗証番号の管理であり、この告知をしっ かりやるように頑張ります、としか言いようがないのです」

三井住友銀行広報部も全く同じだった。

「キャッシュカードは磁気ストライプが偽造されただけで被害に繋がるもので はありません。推測されにくい暗証番号にしていただくことや、キャッシュカー ドの管理に気をつけていただくことで、被害の防止は可能だと考えております」

柳田邦男, キャッシュカードがあぶない, p.188, 2004年12月

つまり、キャッシュカードの磁気ストライプはスキミングでコピーされてしま うが、暗証番号で保護しているのだから直ちに問題があるというわけではない という主張。

そして今日のニュース。

UFJ銀行は18日、首都圏の複数の無人店舗内の現金自動出入機(ATM)に、隠しカメラが取り付けられていたのが見つかり、撤去したと発表した。

(略)

同行によると、暗証番号が盗み見られたとしても、キャッシュカードを盗まれ なければ、被害に遭う可能性は低いという。仮にカード記載の口座 番号も一緒に盗み撮られて偽造カードが作られたとしても、預金の出し入れな どのデータが偽造カードにはないため、通常のATM操作では預金を引き出す ことはできないという。

ATMに隠しカメラ UFJ銀行、暗証番号盗撮か, 朝日新聞, 2005年10月18日

スキミングでコピーされる!と騒がれたら、 「暗証番号があるので大丈夫」。

暗証番号を盗撮される!と騒がれたら、 「キャッシュカードがないと無理なので大丈夫」。

今どき「スキミングに注意が必要」という話を引き出せない朝日新聞の無能っ ぷりに呆れる*1

*1 ちなみに、共同通信配信の記事には、

同行は17日、容疑不詳のまま警視庁に被害届を提出。暗証番号が判明したカードをひったくったり、カード情報をスキミング(読みとり)したりして現金を引き出そうとしたとみている。

ATMに隠しカメラ UFJ銀の3都県十数カ所, 産経新聞(共同), 2005年10月18日

と書かれている。

本日のリンク元 TrackBack(0)

2005年10月20日

CSRF対策は進んでいるか

7月3日の日記で「クロスサイトリクエストフォージェリ(CSRF)対策がいまいち進まなかったのはなぜか」というのを書いたが、 ようするに、CSRF攻撃によってどんな被害が起きるのかが、各サイトの各ペー ジごとに異なり、その差が大きいため、一律に対策が必要ということは誰にも 言い出せなかったためと思われる。日記で、

たとえば、4月19日の「水無月ばけらのえび日記」などにも書かれているように、パスワード変更機能で旧パスワードの同時入力がないと、CSRFによってパスワードを強制的に任意の文字列に変更されてしまうという脅威があることになる。変更したパスワードで不正アクセスされれば、それによって起きる被害は、ユーザに降りかかってくる。

他にも、ログイン中のWeb操作で変更が可能な設定項目によって、公開か非公開かを変更できるようなシステムの場合、非公開にしていたはずのコンテンツを、CSRF攻撃によっていつのまにか公開に設定変更させられていたという被害が考えられる。この被害はユーザにとって取り返しのつかない事態となり得るので、サービス提供者にそうした被害につながるCSRFへの対策を求めることの妥当性は、高いものとなる。

と書いていたように、いくつか致命的となるケースはあるものの、しかしなが ら、たとえば、登録してある住所や電話番号などを改竄される(しかし閲覧は されない)という攻撃については、ただちに利用者に被害があるとまではいえ ない(「改竄されたらバックアップから元に戻せばいい」と判断するとか)と 理解されそうな問題であった。

ところが、今月14日に次の報道があった。

ガンホー・オンライン・エンターテイメントの発表にあるように、この事件で の被害は、登録情報の改竄だけだったらしい。

(1)2005年3月27日に発生した不正アクセス
(確認された被害状況)
550件の顧客情報を対象としたデータ(GungHo-IDのパスワード、メールアドレ ス、秘密の質問、秘密の答え)の改ざん
クレジット情報を含む「信用情報」に関しましては、改ざんの事実はありませ ん。

(2)2005年6月27日に発生した不正アクセス
(確認された被害状況)
502件の「ラグナロクオンライン」のアトラクションID及びそのパスワードの 改ざん
クレジット情報を含む「信用情報」、個人情報の改ざん及び不正アクセスは行 われておりません。

当社ネットワークへの不正アクセスに関する調査結果について, ガンホー・オンライン・エンターテイメント, 2005年10月13日

今回の被害の原因となった脆弱性の種類についてはガンホーは公表していない ので知らないが、一般的に言えば、CSRF攻撃を許してしまう脆弱性があるサイ トの場合、これと同様の被害をもたらす場合がある。

犯人の悪意が「脆弱性を攻撃して可能なことは何でもやる」という強いものだ とすると、被害が限定的であったのは、存在した脆弱性が、エントリごとの改 竄だけ可能で、全体を改竄することはできず、情報の持ち出しもできないとい うものだったのかもしれない。そういう性質を持つ脆弱性としては、SQLイン ジェクション脆弱性でもケースによってはそういうこともありそうだが、CSRF 脆弱性がまさにそのようなケースに該当することが多そうだ。

ガンホーの事例は、原因こそ公表されなかったものの、ユーザのエントリごと の情報改竄であっても深刻な問題となることを示した。

ただ、ガンホーの事例では、3月と6月のどちらでもパスワードの改竄が起きて いるので、そのため致命的な問題と判断されているだけなのかもしれない。パ スワードを含まない個人情報だけの改竄が起きた場合に、どのような扱いとな るかは、まだ公表された前例がないのかもしれないが、その種の結果を招く CSRF脆弱性への対策は必要性が高まっているように思われる。

本日のリンク元 TrackBack(1)

最新 追記

最近のタイトル

2024年03月16日

2024年03月13日

2024年03月11日

2023年03月27日

2022年12月30日

2022年12月25日

2022年06月09日

2022年04月01日

2022年01月19日

2021年12月26日

2021年10月06日

2021年08月23日

2021年07月12日

2020年09月14日

2020年08月01日

2019年10月05日

2019年08月03日

2019年07月08日

2019年06月25日

2019年06月09日

2019年05月19日

2019年05月12日

2019年03月19日

2019年03月16日

2019年03月09日

2019年03月07日

2019年02月19日

2019年02月11日

2018年12月26日

2018年10月31日

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|10|12|
2019|02|03|05|06|07|08|10|
2020|08|09|
2021|07|08|10|12|
2022|01|04|06|12|
2023|03|
2024|03|
最新 追記