ある Anonymous Coward 曰く、ここ /.Jで もおなじみ、セキュリティ研究家の高木浩光氏が、PASMO の「マイページ停止センター」に問い合わせを行った際のやり取りを公開、話 題になっている。PASMO の「マイページ」というのは、PASMO の使用履歴を Web ブラウザから照会できるサービス。問題となっているのは、PASMO のカード番号と PASMO の申込時に登録しておいた名前、生年月日、電話番号だけで登録ができてしまう点だ。つまり、これらの情報を知った第三者が簡単に (そのユーザーに知られずに) PASMO の使用履歴をトラッキングできてしまうことになる。
コールセンターがエスカレートする事を禁じられてる? (スコア:5, すばらしい洞察)
コールセンターって集中受付口として電話を受けて、FAQや定型業務にはそこで応えて、それ以上はエスカレートさせる(担当部署に持ち込む、上司にあげる、クレーム担当に投げるなど)のが常識的に考えてあるべき姿だと思うんだけど。
これ、コールセンターが人間の壁として使われてて、適当にそこで済ませるように仕向ける状態になってるんじゃないか。担当者が問題をエスカレートさせる権限がないんじゃ。コールセンターから外に問題を出したら減点評価の対象になっている気がする。
だから高木氏がリンチしてるみたいになっちゃってる。途中で変わった担当者も、いわゆる業務担当者じゃなくて、コールセンターの監督的人間なんじゃないか。
エンドユーザが客じゃ無い企業(Pasmoはこの類)やら、独占企業にありがちなことだけど、コールセンターをコールセンター屋に丸投げして、適当な新人か、半ば左遷対象のようなやつを監督として付けて。受けた情報は適当な玉虫色した統計情報としてしかデータを上げない。(コールセンターの人間が個人情報保護方針を頭に入れてないばかりか、手元に置いてないとか無能を配置するにもほどがある)
こう言う所だとおそらく高木氏並にやらないと上まで情報が上がらないまま、月次レポートの円グラフ「その他クレーム」あたりに紛れて終わりだよ。どうしょうもない。
高木氏もそのあたりわかってて、辛辣な口調をそのまま日記に載せたんじゃ無いかと思うが。
Re:コールセンターがエスカレートする事を禁じられてる? (スコア:2)
うちの父も長期入院中にカードの更新あって抹消したことあります。
かなり怒ってましたが、私としてはカードというデリケートな物だから仕方ないかなと思いました。
が、一点腑に落ちない事が。
郵便局のほうは事前に局留めしてたんですけど、更新のカードはクロネコでした。
長期不在のときって郵便局だけじゃなくて各運送会社にも連絡なんですね。(水道ガス電気等は事情があってそのままにしてました)
話題になっているのリンク先 (スコア:2)
なぜtwitter経由はてブ?
Re:話題になっているのリンク先 (スコア:4, 参考になる)
だよねぇ。直接貼れ。
http://takagi-hiromitsu.jp/diary/20120226.html [takagi-hiromitsu.jp]
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:話題になっているのリンク先 (スコア:3, すばらしい洞察)
ですね、まず高木氏の日記 [takagi-hiromitsu.jp]のリンクを貼るべきじゃないのかと。
見たところ言ってる事は正しいんですが、コールセンターいじめを楽しんでるように見えるのが残念です。まるで暇潰しのためにクレーム入れてるみたい。
Re:話題になっているのリンク先 (スコア:3)
他人には暇潰しに見えるかもしれないですが、研究とはそういうものです。
しかも問題が問題なだけに、この穴は潰してもらわないと利用者としても困ります。
PASMO事業者の考慮不足を指摘していて、
利用者にとって不利益になることはしていないと思うので適切にPASMO事業者も対応して欲しいです。
第三者としてはコールセンターをいじめているように見えるかもしれないですが、
* コールセンターの人が技術に詳しい訳では無い一次受付である、
* コールセンター以外の連絡先が無い (セキュリティ問題エスカレーション専用の窓口が無い)、
ということに起因するので当事者同士の場合は適切なやりとりだと思います。
Re:話題になっているのリンク先 (スコア:2, 参考になる)
理屈は分かりますが、実際に行ったやり取りとしてもアレな上、そのまま文字に起こして公表する意味がよく分かりませんね。
本質的な問題点そっちのけで、センセの行動ばかりが非難されかねない。
つづく、とありますが、あっと驚く大どんでん返しを期待して良いのでしょうか。
Re:話題になっているのリンク先 (スコア:1)
まあ良い方に解釈すれば、「問い合わせをしたけど放置された」ってのを
回避するために、やり取りを全部さらけ出しちゃうってのは有効だと思いますよ
こうやって騒ぎになれば、PASMO側も何かしらカ対応せざるを得ないでしょうし
Re:問題点と改善方法を書くだけで (スコア:1)
この例に限らず、昨今は様々な企業のコールセンター全般において、
問題を理解しようとせず「丸め込んで門前払いする」様にクライアントから要求されているような場合が多いので、
コールセンターを請け負う側にも委託するクライアントの側にもこの様な教育は必要だと思いますよ。
電話そのものは「コールセンターを請け負う側」へ、
その記録を公開する事は「クライアントの側」への教育ですね。
Re:話題になっているのリンク先 (スコア:3)
義憤を通り越して趣味的なものを感じますが、社会利益になっているのでありがたい存在に感じます。
まっとうな企業がやってることならまぁ安心と思えるようなインターネット社会になるといいですね。
漠然とネットは怖いというイメージばかり定着してしまうのは望ましくありません。
サポートセンターの担当者さんはちょっと気の毒にも思えますが
世間のサービス提供者には、これぐらい怒られる行為なのだと、
また、利用者側に対しては、これぐらい怒るべき行為なのだと、
広く理解させるのに、高木さんのエンターテイメント性が役だってるんじゃないですかね。
なかなか直感的に悪用方法が理解しづらいですからね。
ビッグデータって奴を使うといろんなことができちゃうよって事とか。
Re:話題になっているのリンク先 (スコア:5, 参考になる)
悪用方法なんて、ストーカーが真っ先に思いつきますがな。
ストーカーなんて大抵が知人なんだから、氏名生年月日電話番号は知っている。
PASMOの番号も、何かの拍子にチラ見してケータイで撮るとかできますよね。
高木せんせの会話で相手担当が言ってますが、家族による監視なんてのもありますし、恋人の監視にも使えちゃう。
他には会社が社員の行動を把握するのにも使えるんじゃないかな。定期代支給のためにPASMO番号見せろと言われたら疑いもしないでしょう。
マジでこれはかなり危険な穴なので、全力で潰して欲しいです…。
Re:話題になっているのリンク先 (スコア:2, すばらしい洞察)
停止できるサービスなんて意味がない。
その時点までに個人情報抑えられてる可能性のほうがたかい
停止サービスの存在自体が本末転倒です。
そもそも”確実に本人、またはそのPASMOの所有者でなければ登録・閲覧不可な履歴参照サービス”
であるべきです。
駅でPASMOを元にパスワードを発行するなり、felicaリーダー通すなり。
Re:話題になっているのリンク先 (スコア:1)
そもそも「デフォで公開」なのが問題
Re:話題になっているのリンク先 (スコア:2)
>それで何か困るの?
>家族にも言えないような行動をすることの方が問題だと思いますけど。
プライバシー重視という観念をわかっていないものと思われます。
犯罪者の黙秘権も似たようなもので。
プライバシー=個人情報=履歴等含めた「個人に関する情報」が安全に管理されないと
社会不安につながりますんで、個人情報の保護はその内容如何にかかわらず必要です。
#ちなみに、高木先生によれば「個人情報=個人を特定できる情報:住所、氏名等」という考えは誤りです。
#http://takagi-hiromitsu.jp/diary/20111106.html#p01
新人。プログラマレベルをポケモンで言うと、コラッタぐらい
Re:話題になっているのリンク先 (スコア:1)
Re:話題になっているのリンク先 (スコア:1)
やるなら「伝えてくれ」じゃなく「責任者を出せ」じゃない?
バイトの姉ちゃんがちゃんと伝えられるとも思えない。
Re:話題になっているのリンク先 (スコア:2, 参考になる)
コールセンターではお姉さんが自分から誰かに代わることは禁じられているから
ややこしい話は「責任者に代わってくれ」と言ってもらうほうがいいらしい。
うちの姪が勤めているところだと、そういう時はすぐ変われるように上司に知らせるそう。
言ってることはもっともだが… (スコア:2)
高木先生ももうちょっとかみ砕いて説明してやれば良いのに。
そもそも、セキュリティの知識に関してレベルが違うのに、無理矢理答えを引き出そうとしても出てくるわけがない。
(当然、担当者はセキュリティについても高いレベルの知識を持っていろ。って話はあるが)
それにしても、こんな機能があるとはPASMO開始当初から使ってるが知らなかったわー
Re:言ってることはもっともだが… (スコア:2)
もっともかな~
センセ曰く
>私: 名前と生年月日と電話番号というのは公開情報ですよね?
そうなの?って感じ。特に生年月日なんて正しい数字書かないよ・・・
使用履歴と名前と生年月日と電話番号が結びつくのが問題と言うならわからなくもない。
というより、個人的には、パスモ履歴程度で煩雑な認証を掛けるより
利便性を優先する方が良いと思う。
それを良しとしない人の為にわざわざ停止窓口まで設けているわけで、
現状そんなに瑕疵があるとは思えないなあ。
##私もこの機能知らなかった。今後使おうと思うよ。
Re:言ってることはもっともだが… (スコア:1)
Re:言ってることはもっともだが… (スコア:2)
いやさ、本質論はわかるよ、
普通、氏名、電話、生年月日からPASMOの履歴がわかってしまうということは誰も知らない。
公開情報から予期せぬリスクを負ってしますと・・・
>名前と生年月日と電話番号というのは公開情報ですよね?
という発想に違和感を覚えるわけ。例えば名前は公開情報なのか?ということ、
個人的には違うと思うわけですよ。名前教えるにしても相手によって
教えるかどうか考えませんか?教えるかどうか考える余地があるってだけでもすでに“公開”ではないわけで。
更に言ってしまえば、氏名・生年月日・電話番号をすべて教える場合、
相応のリスクを担保できる相手だからこそ教えるという判断が働いているわけで、
たとえPASMOの履歴が知られてしまうという事実を知らなかったとしても、
それは相応のリスクの範囲に収まるのではないか?という理屈。
確かに、氏名・生年月日・電話番号が公開情報であると考えれば、
リスクはゼロという判断のもと情報をオープンにするわけで、
そこから“PASMOの履歴”が見られるのはケシカランとなると思いますが、
ここまでサポセンいじめるほどこれらの情報の公開は常識じゃないだろ!
と思ったのが本当のところ。
##長文失礼、クレーム対応とかホント面倒くさいんだぜ-
Re:言ってることはもっともだが… (スコア:2)
> >名前は基本的に公開情報です。
> だからさー。なんにも利害が無い人に名前名乗らないし、
> どーでもいい飛び込み営業でこちらの名刺なんて渡さないでしょ?
情報の分類としての公開情報、非公開情報と、公開情報だからと言って。ほいほい他人に公開するかという点が話がかみ合ってないような。
例えば電話番号は公開情報であり誰でも知り合るのでパスワードに使われて、他人が破ったとしても不正アクセスの要件を満たさないという議論があったようです。そういう意味では氏名・生年月日・電話番号を他人がバンバン適当に突っ込んで覗いても処罰できない可能性があるのでサイト構築として不適切です。
http://www.soi.wide.ad.jp/class/20030011/slides/10/34.html [wide.ad.jp]
Re:言ってることはもっともだが… (スコア:2)
>あなたが現状そんなに瑕疵があるとは思えないのは、
>単にあなたが名前電話番号生年月日は知らない奴にほいほい教えるもんじゃないというスタンスを持っているからで、
>そうではない他の人のスタンスを否定できないはずです。
そう、その点です。
センセはこれらの情報を公開情報だというスタンスに基づいて
理論を展開してるフシがあるわけで、
言い換えれば、これらの情報を公開してるのは当たり前の一般常識であり、
だからPASMOの履歴閲覧に問題があると言っているわけでしょ。
でもおっしゃるとおり、各種情報を公開する人もいるし、公開しない人もいるわけで
、公開することが一般常識ではないよね?ということ。
公開している人が間違ってるとかそういうことじゃなくて、
公開することが当たり前(一般常識)とすることに違和感を覚えてる訳。
Re:言ってることはもっともだが… (スコア:2)
もう、単に日本語の話しなんだけど…
公開という言葉を調べてよ…ついでに開示って言葉も。
公開
“特定の人に限定せず、広く一般の人々に入場・
観覧・使用などを許すこと。”
社内のアドレス帳は公開ではないわけ、
社内に対して限定的に公開されているわけですよ。
(社員であれば特定のひとに限定されてないということね)
飛び込み営業が名刺を受付に置くのだって、その会社の担当者に対し
目に止まればいいなーという意図のもと名刺を置くわけで、
完全に不特定の人に公開しているわけではないですよね?
クレジットカード会社に対しては単なる提示
クレジット会社に限定されてます。公開とも開示とも言わない。
各種組織名簿は本来、その組織内だけで使われますよね?
そりゃ意図せず外部に漏れたりするかもしれませんが、公開情報じゃないからこそ
問題になるわけで・・・?
そもそも、これらの情報が公開だというなら、
個人情報保護法とか要らないわけですし…
公開じゃない情報を多数集めたりした場合
制限が出てくるわけですから。
それに対し、センセはこれらの情報を一般に対する公開という意味合いの基、
理論を展開しているわけで、それは違うだろということ。
##公開って意味がわかって無いとしか思えないんだけど…提示などとは意味が違うよ。
特殊な使い方もされてないし辞書のママの意味だよ。
Re:言ってることはもっともだが… (スコア:1)
あなたは友人にも生年月日と電話番号
嘘教えますか?
Re:言ってることはもっともだが… (スコア:2)
PASMOがいやならケーキを食べればいいのよですか
わろす
不味いものは不味いぞ
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:言ってることはもっともだが… (スコア:2)
>なんで、pasmoが勝手にやった悪事のためにこちらが社会との接点たたなきゃいけないんだかw
経路の一つを遮断するんじゃなくて、「リスクを回避する」なら今や社会との接点を絶たなきゃダメでしょ。
仮にPASMOが停止したとしても、そういうばかげたセキュリティもないシステムが存在しないことが保証されていない。
今やあなたの名前と電話番号と紐づけられたデータベースは山ほど地球上にあってそれが恣意的に公開される可能性と、悪意によってこじあけられる可能性が常に存在する。それらは遅かれ早かれ発見され、第三者が自動化されたソフトウェアによって合併集積していく可能性もある。そうなった場合、後から情報を削除できる見込みはない。
Re:言ってることはもっともだが… (スコア:1)
まぁ、私も高木先生がサービス停止に持って行こうとしているところは、あまり同意できないですけど、
デフォルトで公開ってのは突っ込まれてしかるべきポイントかなとは思います。
使いたい人が使う分には問題ないですし便利なサービスですが、せめて申込書とかに
「使いたい人はここにチェック」みたいな項目があって、デフォルトはOFF。とするべきだったんじゃないかなぁと思います。
その上で、よく分からないけどチェックを付けたって人に対しては、自己責任と言い張っても良いとは思いますが。
問題点を勘違いしてるかな。 (スコア:5, 参考になる)
センセの日記を読んでる限りでは、このサービス自体はデフォルトOFFのようです。
問題はONにするときに公知の情報だけで出来てしまうと言うところ。
日記から該当箇所を引用させてもらうと、
ということで、アカウント自体は作らないと出来ないんだけど、家族とかtimesとかストーカーあたりなら
勝手にアカウント作れてしまうようなシステムで、アカウント作成時の本人確認の部分に問題があると言うことですね。
# pasmo側はこれらの情報は秘匿情報であり、公開した場合は本人の責任であると主張してるんですな。
# そして「んなわきゃない」と言うのがセンセの突っ込み。
スルースキル:Lv2
Keep It Simple, Stupid!
Re:言ってることはもっともだが… (スコア:1)
Re:言ってることはもっともだが… (スコア:2, 参考になる)
交通系ICカードは、仕様上利用履歴を20件しか保持できません。
駅の券売機やWebサービスで20件以上印字・確認出来るのは、サーバーとオンラインで接続されている為です。
それが出来ないPaSoRiや、一部駅の券売機、他事業者(PASMOをJR東日本やSuicaをJR東海で等)で履歴を印字しようとしても最大20件までしか印字されません。
(駅名が出ないのは内部番号と駅名を対応付けるインデックスが無いからであって、別の問題です
3か月以内のすべてで20件以上閲覧可能な事からPASMOのこのサービスはオンラインで接続されるサーバーから利用履歴を引き出していると推察されます。
親コメントのようにFeliCaリーダーを利用するとしても、カード内の何を使って認証するかが問題になりそうです。
例えばIDi(裏面のPB~)だけを認証に使うのではクライアント内で変換する以上、そこを突破されると他人の物を見放題になるという現状より悪化する危険性すらあります。
ですので入念なシステム設計、それこそ高木先生を呼んでセキュリティ業界の当たり前を教えてもらう位の気合いが必要になるはずです。
個人的には、オプトイン方式に変更が一番安全だと思います。
#業界関係者なのにこのシステムの存在を知らなかったのでAC
コールセンターって外注じゃないの (スコア:2)
外注だとするとセキュリティ云々の話は権限外で
そんなところを突っついても埒が開かないわけで
単なるパフォーマンスにしかなりません。
Re:コールセンターって外注じゃないの (スコア:4, すばらしい洞察)
利用者はコールセンターが社内か外注かを気にしなきゃならんの?
Re:お前こそ何を言ってるんだ!! (スコア:2)
然るべきところに会社情報のデータベースはありますよ。
個人情報保護方針 (スコア:2)
Re:個人情報保護方針 (スコア:2)
情報セキュリティ宣言
株式会社パスモは、事業活動を行ううえで情報セキュリティの重要性を認識し、お客さまからお預かりする個人情報を含めた情報及び関連システム機器の全情報資産を、様々な脅威から保護するために情報セキュリティポリシーを定め、情報管理における品質と安全を維持することが社会的責務と考えています。
これを実現するため、当事業活動に従事する関係者全員が参画し、情報セキュリティを確立していくことをここに宣言します。
PASMOシステム情報セキュリティ統括責任者
株式会社 パスモ
代表取締役執行役員社長 松田 明行
なんの冗談?www
Re:個人情報保護方針 (スコア:1)
http://www.pasmo.co.jp/privacy/index.html [pasmo.co.jp]
>第4条 当社は、法令等に基づく場合を除き、事前に本人の同意を得ることなく、個人情報を第三者に提供しません。
>第7条 当社は、当社で取り扱う個人情報を安全に管理するため、体制を構築し、個人情報に対する不正アクセス、個人情報の紛失、破壊、改竄及び漏洩などを防止する措置を講じます。
このサービス自体が違反してますな。
>第6条 当社では、お客さまからお預かりした個人情報を他の事業者と共同利用する場合には、あらかじめ共同で利用する事業者名及び目的をお客さまにお伝えします。
timesの件、pasmoから通知や広報されてませんが。
>第8条 当社の個人情報に対する開示・訂正・利用停止・その他お問い合わせなどをご希望されるお客さまには、法令に基づき合理的な範囲で速やかに対応いたします。
センセとのやりとり見る限り笑うしかないですな
無記名パスモの俺勝ち組 (スコア:2)
・・・って言いつつも紛失したら千円前後は損するリスクを負っておりますが。
#電車はたまにしか乗らないので初乗り運賃下回ったら千円チャージしてる。
たぶん、こんなおっさんの乗車履歴が狙われるリスクに比べると、無記名パスモの方がずっとリスキーだがな!
他にも (スコア:1)
ある証券会社でネット取引の登録をすると取引手数料が無料になるとかなんとかいうので
親に登録を頼まれたが、支店番号とカードの番号と名前しか入力する欄が無かった。
パスワード登録もなしでそのままネット取引ができるようになってびっくり。
あれが普通なのかな。
Re:他にも (スコア:2)
Re:他にも (スコア:1)
似たようなケースで、メルアドと生年月日を入れると、その場でパスワード変更ができるシステムを見たことがありますね。
パスワード変更するとログインした状態になるので、その場でメルアドを変えるとアカウント奪取完了という酷いシステムでした。
元パスワードが表示されてないだけマシとも言えなくも無いですけど、目くそが鼻くそよりマシ程度の違いであり、そこら辺を考えている担当者がどうしてこんなクソシステムを作らされたのかと言う辺りを想像すると胃が痛くなります。
いつも思うんだが。 (スコア:1)
この人はいったいどういう立場で
1.セキュリティの専門家(公的機関に勤めている)
2.市中のちょっとセキュリティに詳しい一般人
3.市中のちょっとセキュリティに詳しい暇人
自分の時間を使ってこんな風に電凸やっているのなら3にしかならないわけだが。
1なら文書で問い合わせる?べきかなと思う。
しかも、こうやってやり取りを公開しているのは穴を公開しているに等しいし
やっていること(市井のセキュリティホールに警鐘)は良いと思うが
もっとやり方があるんじゃないかと思う。
(足元を掬われないように)老婆じゃないけど心配してるよ。
何か問題でも? (スコア:2, すばらしい洞察)
相手には2と3を区別して扱う権限が無いので、
3だと思われたからどうこうと言うような話ではないし、
1であろうと2であろうと(建前上は)対応を変えるべきではありません。
ひろみちゅセンセも「一般客から見て適切な状態にあるか」を問題にしているので、
最後の最後まで一般客の立場でのクレームで、1とは名乗らないはずです。
そして、#2107403で指摘されていますが、
http://yro.srad.jp/comments.pl?sid=561372&cid=2107403 [srad.jp]
2や3の「一般客」に対応する上でのルールが守られていません。
守られていれば、その様な1・2・3の区別をするまでもなく適切に処理できたと思います。
1・2・3を区別したいのは誰でしょうか?(少なくともひろみちゅセンセではない)
試しに、適当な家電メーカーのコールセンターに電話をかけて、
「個人情報保護について聴きたい」と言ってみて下さい。
(そこで受けられる説明の妥当性を判断するには相応の「消費者教育」が必要かもしれません)
「相手が専門家なら対応を変えて一般客相手とは違う説明をする」と言う
誤魔化しが行われてはならない…とは思いませんか?
Re:何か問題でも? (スコア:2)
外部から専門的な指摘をする/されるのにどういう枠組みがあると社会的に幸せなのでしょうね。
私が思うには一定規模以上の会社はCERTを設け専用の窓口を作る事かな。
問い合わせる方は一般窓口しかないけど高木さんのように高木さんのように社会的立場で発言できる方は文書で送付するか監督官庁への連絡することが問題の解決に早いのではないだろうか。
高木さんも是正される事を期待して活動されていると思うのでね。
Re:何か問題でも? (スコア:2)
ええっ!!!?そんな馬鹿な、、
きちんと筋の通った内容を言っていようがいまいが、サンソウケンだろうが、ヒマジンだろうがクレーマーでしょう?
Re:何か問題でも? (スコア:2)
Re:何か問題でも? (スコア:2)
claimは、自分が所有する金銭や財産、または、誰かが自分から借りていると思われるものなどについて、公式の要求をする、つまり、要求する、請求する、という意味です。空港の手荷物引渡所にもちゃんと、baggage claimと書いてあります。
complainは、何かについて不愉快に思っている、または満足していないと述べるときに使います。
いずれにしろ、筋が通っているか否かで表現が決まるわけではありません。
Re:一人の神経質者のために (スコア:2)
Twitter @HiromitsuTakagi [twitter.com]
Re:何がしたいんだろう (スコア:3, 参考になる)
その手の話はセキュリティ議論で散々なされてるんでそちらを見ればいいと思いますが、簡単に言うと、
「密かにゼロデイ攻撃(根本対策が無い時点で発生する攻撃)が発生するよりは公知にして広く注意を促した方がマシである」
と言う事が大方の結論ですね。そのゼロデイ攻撃が、簡単に行え、尚且つ発覚しにくいものであればあるほど尚更。
セキュリティホールで発覚しても、対策が完了するまで公表されるべきではないと言うのは以下の2点が当てはまる場合です。
●現在まだそのセキュリティホールを使用した攻撃がほとんど発生していない。
●対策中である。
なので、対策中であっても大規模な脆弱性を突いた攻撃が行われる場合には公表され、注意を促されます。
今回の場合はどうかというと
●公知の公共サービスである
●サービスを利用したことがあれば簡単に気づける程度で発見しやすい
●ゼロデイ攻撃が発生していても攻撃を仕掛けられている方が気づきにくい。
(今回の場合気づくには、自ら利用登録しようとするか、問い合わせをする必要がある。ちなみにパスワードを忘れたときの手続きも、登録と同じ情報でできるので、自ら利用登録しても防止できない)
と言う事は当てはまります。まともなセキュリティ専門家ならすでにゼロデイ攻撃が行われていると考えるのが妥当かと思います。
高木氏は従来の例では、相手が対処を約束した場合には、対処が終了するまで公表を控えています。
そのことから今回は相手がまともな対処をする事が無いと判断して、公開に踏み切ったのでは無いかと。
こういった状況で、脆弱性を公開しなければ何か改善するというのは、警察官がいなければ逮捕される人が出ないので犯罪なんか無いんだ、と言う様なもんです。
Re:けど、なに? (スコア:2)
Lucifel1999さんがどの点を一番問題として考えているのか読み取れていないため、話をややこしくしてしまうかもしれませんが…
まず「個人情報」ですが、氏名や生年月日だけでなく、PASMOの利用履歴やアンケートの回答なども本人と紐付けることができれば立派な個人情報です。遊園地で何に乗ったとか、カラオケで何を歌ったとか、そんなどうでもいいような情報でも本人と結びつけることができれば個人情報です。
で、「氏名等の個人情報は公開情報だ」というのは、なにも会ったことのない第三者への公開に限りません。
たとえば親や兄弟、親戚は当然知っているor知りうる情報なわけで、親族からお金の利用を監視されるのも問題ないのでしょうか?
親戚はさすがに難しくても、親や兄弟であればPASMOのIDを見る敷居も比較的低いかと思います。
たとえば結婚している夫婦の場合、妻が夫の使うPASMO(定期)を見ることくらい容易でしょう。
そうした場合、やれ何を買ったのだのこの町には何しに行っただの聞かれる可能性は充分にあるでしょう。
個人情報が漏れなければPASMOの利用履歴も漏れない、というのは利用履歴に価値を見出していない人の考え方でしょう。人によっては悪用だってできますし、行動の監視は身近な人のほうが可能性は高いはずです。