IT ニュース&コラム 2021/ 4/ 5 通巻826号 ニュース版 ソフトウェアデザイン館 Sage Plaisir 21  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ■■ LINE のトーク内容が中国企業で閲覧可能だった問題 ■■ 2021年 3月17日、LINE は運用に関わる業務を委託した中国にある企業の技術者が 個人情報を閲覧できる状態であった問題の指摘に対し、説明は不十分だったと釈明した。 情報漏えいも発生していないとした。中国側のアクセス権も剥奪しているらしい。 中国の企業で現在も閲覧できるデータは、名前、電話番号、メールアドレス、 トーク(暗号化されている)、写真である。 友達リスト、アドレス帳、住所は日本のサーバーにある。 画像、動画、Keep、アルバム、ノート、タイムライン、LINE Payの取引情報 (ユーザー個人の識別は不可)は韓国のサーバーにある。 トークや写真が覗かれていると思うと気持ち悪いと思われるだろうが、 それだけなら国内企業で閲覧できるようになっていても同じこと。 プライバシーの問題も重要であるが、最近はコロナ関連で地方自治体が LINE を 使ったサービスを行っていることが明らかになっている。 ただ、LINE を使うのは 一部のサービスのみではないかと思われる。 業務に関わる情報は SNS に投稿しないようセキュリティ教育で注意を受けている だろうが、LINE で関係者と業務上のやりとりしていないだろうか。 LINE の Letter Sealing によってトークは暗号化されているが、LINE が本気になれば (中国に脅されれば)暗号の鍵をサーバーから取り出して、 政府関係者が書いた政府の内部のやりとりが中国に筒抜けになる可能性も考えられる。 常識的に考えれば、日本の上級役員が鍵を管理しているはずで、一般の人は守られて いるが、政府関係者やVIPのトーク内容は本気になれば覗けるのではないだろうか。 また、写真データを使わない LINE の機能を使おうとしたときでも、 写真データを公開しないと使えないため、データの使い道が怪しい点もある。 LINE の発表によると、 LINEの捜査機関対応業務従事者用CMS(Contents Management System)の開発、 LINEのモニタリング業務従事者用CMSの開発などをしており、おそらく、 データの一部しか閲覧できないよう制御されているのだろう。 アクセス権に関わる鍵は、運用時に覗くことができないようにアクセス権が厳重に 管理されたアカウント管理データベース サービスのサーバーの中にあるはずだ。 このサーバーのソースコードは汎用的な機能にしてオープンソースにするか、 第3者や政府の機関のサービスを使うべきだと思う(あれば)。 アカウントは1人でいくつも作成できるにして定期的にアカウントをパスワードの ように更新するのがよいだろう。 アカウント管理サーバーは、LINE に限らず Google や Twitter など各社が自社内で 持っている。匿名化された個人情報を売るときの鍵となるサーバーであるが、 自社内に存在する必要性はあるのだろうか。 ソース https://japan.cnet.com/article/35167954/ https://japan.cnet.com/article/35168122/ ■■ 注目ニュース 一覧 ■■ ◇ ハッカーがPHPの開発者になりすましてソースコードにバックドアを仕込んでいたことが判明。 https://gigazine.net/news/20210330-phps-git-server-hacked-backdoors/ … 内部Gitサーバーは信用できなくなった。 ◇ 国会に提出された議案を分かりやすく可視化してくれるウェブサービス LawHub を使ってみた。 https://gigazine.net/news/20210402-lawhub/ … ドキュメントもバージョン管理する時代へ。 ◇ オープンソースのソフトウェアで収益化&生計を立てることに成功した事例。 https://gigazine.net/news/20210315-selling-open-source-software/ … ソフトウェアの商売の基本。 ◇ 無料で自動文字起こししてくれるMicrosoft製アプリ Group Transcribeを使ってみた。 https://gigazine.net/news/20210317-group-transcribe-review/ … Googleドキュメントの自動文字起こし機能の対抗。 ◇ GoogleアプリがiOSで収集している個人情報の詳細が判明、あまりの多さに隠したがっていたのも無理はないとの声。 https://gigazine.net/news/20210317-google-privacy-labels-duckduckgo/ … アプリから財務情報も見えてしまう。 ◇ GoogleがPlayストアの手数料を半分にカットすると発表、Appleと違い収益が増えても増額なし。 https://gigazine.net/news/20210317-google-play-apps-revenue-undercuts/ https://japan.cnet.com/article/35167903/ … 1億を超えるまで 15%。 ◇ ITの開発現場によくいるやっかいな人の対処法をタイプごとに解説したサイトが登場。 https://gigazine.net/news/20210318-difficult-people-software-projects/ … ITのマネージャーほどメンタル関連のスキルが要求される。 ◇ インターネットの無限の複製能力を封じる可能性を秘めたコピー不可能なデジタルデータ NFT とは? https://gigazine.net/news/20210315-nft-copyright-questions/ https://japan.cnet.com/article/35168406/ … 所有者情報が埋め込まれているだけで複製できるのでは? ◇ Microsoftが本社の封鎖を解除すると発表、リモートとオフィス勤務を選べるハイブリッドワークプレイスも導入。 https://gigazine.net/news/20210323-microsoft-hybrid-workplace/ … まだリモートが推奨される。 ■■ ソフトウェアデザイン館 Sage Plaisir 21 ■■ ホームページ >>> http://www.sage-p.com/ メルマガ >>> http://www.mag2.com/m/0000083983.html ブログ >>> http://blog.livedoor.jp/sage_p/ ツイッター >>> http://twitter.com/Ts_Neko ダウンロード >>> http://www.sage-p.com/freesoft.htm サポート掲示板 >>> http://www.sage-p.com/kg_ban09/z6037C8.cgi 東日本大震災 >>> http://www.sage-p.com/saigai.html メール >>> ts-neko◇sage-p.com ←◇を@に変えてください 緊急メールは件名に「うどんメール」を付けてください。 このメルマガの登録・解除 - http://www.mag2.com/m/0000083983.htm