2019年3月18日のtwitterセキュリティクラスタ

怪しい人が運営してたっぽい「破産者マップ」です(Banされた?)。

例の地図。削除フォームに個人情報を入力し、免許証のコピーも送信したのに削除されないとの相談あり。個人情報を抜くためのトラップか。
#例の地図被害対策弁護団

@166mochizuki 個人情報を送ると一時削除料と称して3万円のAmazonギフトコードを要求されたそうです。Yahoo!知恵袋で切実な相談が寄せられていました。やはりお金だったんですね。

お金を請求受けたという方へ。絶対払わないでください。被害報告が私のところに報告されています。当初から予想されていたとはいえ、支払わず、無視してください。

@WMGjqEkelvEtglX 経過報告させていただきます。管轄の警察に改めて相談しましたら、すでに相当数の相談が全国の警察に寄せられており、都道府県単位ではなく全国足並みを揃えて警察が動いているとのこと。どの罪状に当てはまるか検討、確認を行っているとのことでした。皆さん相談なさっているようで頼もしいです。

@WMGjqEkelvEtglX 併せて個人情報保護委員会にも改めて通報しました。こちらも同じくかなりの数の通報があり、作成者、管理者への対応策を委員会で行っているとのことでした。社会に与える影響を考え、それほど時間はかからないとの話でした。皆さん本当に頼もしいです。

@WMGjqEkelvEtglX また弁護士への相談、及び弁護士会への通報も依頼しました。大体同じですが、やはり相手の方が先にマップの話をするくらい、通報が殺到しているようです。全ての機関の動きが早く、とても驚いています。もしかしたら、ツイッターで見ている情報以上に、全国の方々が動いているのかもしれません。

例のマップ,私がみたときは特定の個人から検索できるようにはなっていなかったけど,「個人情報データベース等」に該当するか(個人データに関する規制がかかるか)。

外のユーザから検索できなくても中の人が検索できるなら該当すると言えそうだけども。

@kyoshimine 私もそう思います。けれど,検索エンジン事業者が集めた情報は,これに当たらないという議論がありましたので,一応問題提起してみたところです。

@redipsjp 全文検索みたいなやつですね。あれが当たらないのも、いかがなものかという感じはするのですが、そういう議論はありますね。

ただ今回は、伝統的な普通のデータベースではないかと思います。

@kyoshimine @redipsjp まず、ゼンリン住宅地図が、オプトアウト制度を入れることになったきっかけとされていることから、個人データの第三者提供とされていることは確かであり、本件も(さらには鳥取ループ作の「マッポン」も)同様なのでしょう。次に、「検索できるように体系的に構成」に当たるのかということについては、

@kyoshimine @redipsjp 「検索できるように体系的に構成」における「検索」というのは氏名等のキーで探し出せるという意味ではなく、「体系的に構成」と一体的な意味で、1つずつのレコード(=個人に関する情報)を連続的に処理できるという程度の意味であったはず、というのを論文に書きました。
alis.or.jp/img/issn2432-9…

@kyoshimine @redipsjp はい。昭和63年法の昔テープだった時代は固定長で並んでいたことでしょう。といってそのような記録方式が本質なわけではなく、ヨーロッパ発の制度としては自動処理することが問題なのだから、そのような処理が可能な状態に準備されたデータであり、要するに固定カラムになっているものということに。

@HiromitsuTakagi @kyoshimine RDBMSに格納されている限りは,アプリケーションがどんな形であれば,およそ個人情報データベース等に該当することになりますね。私もその解釈が適切だと思います。

@redipsjp @kyoshimine RDBMSに格納されているといっても、個人別でない形(行が各個人ではなく、例えば事象別)で格納されているものは該当せず、たとえ、レコードにいろいろ書かれている中のいくつかの一部分にたまたま個人情報が記述されていても個人データに該当しないかと。(公的部門では保有個人情報となり得るが。)

@HiromitsuTakagi @kyoshimine 確かにその種のフィールドがなければそのとおりですね。

公開情報も個人情報に該当する。公開情報であっても、個人情報保護法上の第三者提供の義務はかかる。

ここまでは法律解釈としては確立しているし、文言としてもそうなると思うのだが、そもそも公開情報を渡すことが「提供」「取得」にあたるのかは、やや疑問を持っている。

今回の破産者の情報公開は、住所情報との紐付け(さらにいうと、Google Mapsを利用したUI)がプライバシー・インパクトを劇的に高めたものと評価できるだろう。
これに対して、個人情報保護法違反を主張することは、有効な対応とならない。早い話、オプトアウトの届出をすれば同法はクリアできてしまう

【取材しました】望月宣武弁護士「プライバシーの侵害や個人情報保護法違反にあたり、差し止めを求めるなどの法的措置を検討しています」

破産者の住所・氏名を公開したマップが波紋 弁護士「プライバシーの侵害」 buzzfeed.com/jp/ryosukekamb… @kamba_ryosukeさんから

3月18日 破産者の住所・氏名を公開するサイトに関する問い合わせについて – さくらのサポート情報 help.sakura.ad.jp/hc/ja/articles…

破産者マップがGoogleMapsにbanされた模様なのでRTを開始する。 pic.twitter.com/gEvJ4EM57V

Google側からのBANじゃなく、自分で設定したAPI利用料の制限超えた可能性。GoogleMapAPIは従量課金制なので利用者がアクセスする度にサイト製作者側にお金がかかる。請求金額ヤバそう #破産者マップ twitter.com/HiromitsuTakag…

Googleマップの利用規約。
google.com/intl/ja_JP/hel…
禁止行為として、
「第三者の権利(プライバシー権、パブリシティー権、知的所有権を含む)に対する不適切、違法な行為またはそれを侵害する行為」
が挙げられていますね。

1.さくら否定の件
help.sakura.ad.jp/hc/ja/articles…

2.現時点でないのは正解。一部誤報。契約者情報等は残存するはず
特定を逃れる為、CFのIP変更した模様

3.当初3/17の時点で 219.94.163.36 www1426.sakura.ne.jp
hasanmap.tokyo のvh確認ログ存在
twitter.com/39ff/status/11… @kunihirotanaka pic.twitter.com/f0I1dNQ40S

その他に気になったことはこのあたり。

この「ツイート」が見つからんね。探し方が足りないんだろうなあ。 pic.twitter.com/8eoJaenbSm

講話が「犯罪を犯すことの不利益」「将来を台無し」という内容中心であったことが窺える。(「何が犯罪に当たるかよくわかった」という声は無かったかあってもピックアップされていない。)

パワーポイントを使うことが「活用」と評価されるんだな。 pic.twitter.com/Cdg7QKSp7a

奈良県警は警察庁に確認した上で開示するので、開示までの延長が必要になるとのこと。
従来の予想通り、本件に関して各都道府県警で取締りの基準となる構成要件等の文書は警察庁が用意している文書のみである可能性が高まった
また、各都道府県警から開示される文書は全く同じである可能性が極めて高い

11:45 広島県警から着信 「開示請求時の「構成要件等」の「等」とは何を具体的に想定されているのか」と聞かれた。「具体的には、どのような文書があるのかこちらは把握していないので、公開対象は、本法の取締りを行う際に基準となっている具体的な文書を全てを対象としてもらいたい」と回答

14:30 京都府警から着信 本法の解釈や取り締まり範囲については、個別の案件ごとに検討し対応しており条文をもとに警察庁とも随時相談しながら決めているとのこと
本法については、教養用の資料の中に、一部記述があるとのことなので、その中の関連部分を抜粋して郵送して頂くこととなった

和歌山、山梨、高知、広島から電話連絡あり。受付完了の連絡および開示・延長・不開示の期限等に関する定型説明を頂いた。今後、ただの連絡はツイートを省略します。

IoTSecJP東京での資料、公開できる部分だけ公開いたしました。
良くわからなくなってしまっているかもしれません。
申し訳ないです……。#IoTSecJP
speakerdeck.com/belboz/examina…

今日の発表資料です。「8sとOPAつなげてみた – Admission Controller編」
speakerdeck.com/ken5scal/k8sto… #k8sjp

Anti-Intelligence技術について考えてみる – セキュリティコンサルタントの日誌から scientia-security.org/entry/2019/03/…

先日の情報処理学会全国大会で使用したスライドを公開しました。
現在のアクセス状況(特に停止したサーバーに対するもの)を掘り下げた内容です。

『福岡大学NTPサーバーへの様々なアクセス』

speakerdeck.com/tanyorg/fu-gan…

#福大NTP

『teratailをはじめ、公共の目にとまりやすいWEBサイトでそのような(攻撃に関する)情報を共有すること自体がリスクになっているので、慎重にならざるを得ません』 / “C – アドレスに0x00を含む時にret2libcできない|teratail” htn.to/4nujiiVWzjU

いよいよ今週!なんかサプライズも用意できればと思っております。 / 事故対応の勘所~日々巧妙化するサイバー攻撃。もしもの時にあなたは会社を守れますか?最新アップデート情報やユーザー事例が学べる1日~|2019-03-20|ITセミナー・製品情報 news.mynavi.jp/itsearch/semin…

【重要なお知らせ】
Lifebearのアカウント情報が流出している懸念があるとの外部からの報告を受け、現在調査を行なっております。
皆さまにはご迷惑とご心配をお掛けしてしまい、誠に申し訳ございません。
調査結果が判明しましたら速やかにご報告いたしますので、少々お待ちいただけますと幸いです。

調査段階ではありますが、万が一の為、現在使用されているパスワードの変更にご協力をお願いいたします。
パスワード再設定URL:lifebear.com/user/lost_pass…
この度はご心配とご迷惑をおかけしておりますこと、重ねてお詫び申し上げます。

「裏広告」や「フェイク広告」などの“ネット広告費”の不正。
「売上を優先すあまり不正を野放しにしている」など、業界関係者からの告発が数多く寄せられています。一方、業界の健全化を求める声も上がっています。ネット広告業界の実態についてご意見・情報をお寄せ下さい。
www3.nhk.or.jp/news/special/n… pic.twitter.com/ttShgW0NCS

Microsoft、ChromeとFirefox向け「Windows Defender Application Guard」拡張機能公開
itmedia.co.jp/news/articles/… pic.twitter.com/mijvW59h59

「手ぶらで決済」実現に向けて–NEC、顔認証決済を実証実験 japan.zdnet.com/article/351343…

「Windows Defender Application Guard」が「Chrome」「Firefox」の拡張機能に japan.zdnet.com/article/351343…

圧縮・解凍ソフト「WinRAR」の脆弱性、さまざまな攻撃キャンペーンで悪用 japan.zdnet.com/article/351343…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>