Twilog

 

@HiromitsuTakagi

Hiromitsu Takagi@HiromitsuTakagi

Stats Twitter歴
3,050日(2008/12/23より)
ツイート数
157,150(51.5件/日)

ツイートの並び順 :

表示するツイート :

2017年04月28日(金)1 tweetsource

2017年04月27日(木)10 tweetssource

4月27日

@HiromitsuTakagi

Hiromitsu Takagi@HiromitsuTakagi

これもおかしい。「納税者」言うのは東京都主税局の立場だよ。私ら被害者は、トヨタファイナンス社の自主事業である代行サービスに利用料を払って利用した顧客なんだよ。「納税者様」とか他人事のように言うなや💢

「納税者様ならびに関係者の皆様には、これまでご心配とご迷惑をおかけしまし…」 pic.twitter.com/KDijYV7gaZ

posted at 01:30:05

4月27日

@HiromitsuTakagi

徳丸 浩@ockeghem

『GMOペイメントゲートウェイ社は本サイトのセキュリティに関する国際規格PCIDSS準拠を改めて確認しております』<元々準拠してたでしょうに、これではよくわからない / “「都税クレジットカードお支払サイト」への不正アクセスに関…” htn.to/hXpkwriRSC

Retweeted by Hiromitsu Takagi

retweeted at 01:12:19

4月27日

@HiromitsuTakagi

Hiromitsu Takagi@HiromitsuTakagi

この言い草はないだろよ。事故る前もPCIDSS準拠と言いながら、カード情報非保持にしてなかった。準拠してなかった原因の報告なしに、なーにが「改めて確認しております」だよ。

「…社は本サイトのセキュリティに関する国際規格PCIDSS準拠を改めて確認しております。」 pic.twitter.com/mapA64xGz7

posted at 01:04:05

2017年04月26日(水)25 tweetssource

4月26日

@HiromitsuTakagi

とみたまさひろ@tmtms

"本来ならばカード番号などの情報はサーバーに残らない仕組みとなっていたはずが、開発会社の判断でカード情報をサーバー内に保持しており、カードの不正使用につながった" / ひー / “ぴあ、個人情報15万件流出か カード不正利用63…” htn.to/dCpx24

Retweeted by Hiromitsu Takagi

retweeted at 23:54:36

4月26日

@HiromitsuTakagi

hylom@hylom

都税クレジットカードお支払いサイトのドメインとか問題、(想像はしていたけど)分かりやすいならルールを破っても良いという擁護の声があってとても日本的だなーと思いました

Retweeted by Hiromitsu Takagi

retweeted at 22:25:13

4月26日

@HiromitsuTakagi

 @kzgh

都税支払いサイトの問題、指定代理納付者が1社しか指定されていないのがよくなかった。複数指定されていれば、.lg.jpでの運用は構造的におかしいということが明白になっていたのに。

Retweeted by Hiromitsu Takagi

retweeted at 21:55:06

4月26日

@HiromitsuTakagi

うてん。@uten00

都税支払いサイトの時点でいろいろ問題つっこまれまくってたけどそのまま東京都が対策取らないまま放置された結果が公共機関ドメインの汚染って最悪すぎるわ

Retweeted by Hiromitsu Takagi

retweeted at 21:53:51

2017年04月25日(火)108 tweetssource

4月25日

@HiromitsuTakagi

Hiromitsu Takagi@HiromitsuTakagi

ここに「委託」とあるのがひっかかる。受講システム自体は指定事業者の独自事業だが、それと同時に、受講完了の伝達や、受講料の一部(IPA徴収分)の徴収の委託のことを指すのかもしれない。東京都主税局とトヨタファイナンスにも同様の委託部分があるのかもしれないが、サイト運営の委託ではない。 pic.twitter.com/HzTNTz1DF8

posted at 23:47:42

4月25日

@HiromitsuTakagi

Hiromitsu Takagi@HiromitsuTakagi

つまり、指定の事業者に個人情報を預けて講習を完了させて来い(本人と指定事業者とは直接の利用関係)ということであり、トヨタファイナンスに金を支払うと東京都主税局に代理納付されるのと相似形だろう。

posted at 23:41:46

4月25日

@HiromitsuTakagi

Hiromitsu Takagi@HiromitsuTakagi

ここが不自然。「仕様と異なる運用がされていた事実を厳粛に受け止め」と言いながら、「取り扱う情報の種類に関わらず」と言ってる。「仕様と異なる運用」のせいにしようとしたものの、クレジットカード以外の個人情報もあるだろと誰かに指摘されて、「種類に関わらず」を挿入してお茶を濁した様子。 pic.twitter.com/Wyt1udYt4C

posted at 22:32:41

4月25日

@HiromitsuTakagi

こいつ@8796n

ぴあの個人情報もってけドロボー出血大セールのリリース読み直してるんだけど、対ユーザーでクレカの履歴見とけって書いてるけどパスワード漏れてるわりにその注意喚起が「途中経過報告にて、(中略)ログインパスワードの変更をお願いしております」しか書いてないんだよね。危機意識足りないのでは… pic.twitter.com/7WRQwl0BOq

Retweeted by Hiromitsu Takagi

retweeted at 22:04:27

4月25日

@HiromitsuTakagi

Hiromitsu Takagi@HiromitsuTakagi

「専用の開発体制にて構築されたものであり、他のサービスとは完全に切り離されております。」

と言いながら、「ぴあ社がプラットフォームを提供する」とは、これにかに?「Powerd by ぴあ」とは何だったのか。 pic.twitter.com/6gRxqaPbhv

posted at 21:38:16

4月25日

@HiromitsuTakagi

Hiromitsu Takagi@HiromitsuTakagi

孫請けに出していたくせに、自社のせいではないと言いたげなこの記述。続く文には、自社にも責任があると書かれているが、後から嫌々書かされ、自分に言い聞かせるような記述で大変見苦しい。書かなきゃいいのに。
「当社からの外部発注先が構築・運用するサーバーにて発生したものではありますが…」 pic.twitter.com/xGy2IMQcrc

posted at 21:33:10

4月25日

@HiromitsuTakagi

Hiromitsu Takagi@HiromitsuTakagi

パスワードが漏洩した可能性があると認識しているのに、他のサイトで同じパスワードを利用している顧客に対してそっちのパスワードも変更するようにと促すことを、此の期に及んでも怠っており、その責任まるで認識していない様子。 pic.twitter.com/L7Q5pYcbPI

posted at 21:21:43

4月25日

@HiromitsuTakagi

Hiromitsu Takagi@HiromitsuTakagi

クレジットカード情報はそうだろうが、個人情報についても「当社の発注仕様…と異なり」とでも言うのかしら。

「これは、当社からの発注仕様、運用ガイドラインと異なり、委託先のデータベース上(ファンクラブサイト)と通信ログ上(チケットサイト)に不適切に保持されていたことによるもので、」 pic.twitter.com/qlPaWbCvX5

posted at 21:17:23

4月25日

@HiromitsuTakagi

Hiromitsu Takagi@HiromitsuTakagi

クレジットカード以外の個人情報なら漏洩してもかまわないから、脆弱性情報を気にしなかったことも問題がないかのように言っている。

「当初、…関連するwebサーバー上にクレジットカード情報は保存されていない認識でおりまし たが」 pic.twitter.com/x3htSgS8bS

posted at 21:13:18

4月25日

@HiromitsuTakagi

Hiromitsu Takagi@HiromitsuTakagi

パスワードが漏洩した可能性があるからパスワードリセットをしたのに、その理由(漏洩した可能性)に触れず、他のサイトで同じパスワードを使っている人たちに対してそれらも変更するようにと促す案内をしないのだね。自分のことしか頭にないようだ。
www.bleague.jp/news/22849.html

posted at 20:44:58

4月25日

@HiromitsuTakagi

徳丸 浩@ockeghem

『3月7日~15日の間、「Apache Struts2」への攻撃による、Webサーバー及びデータベースサーバーへの不正アクセスの痕跡が確認されました』<3月7日か。早いな / “[PDF]ぴあ社がプラットフォームを提供する B.…” htn.to/Fqa3he2s

Retweeted by Hiromitsu Takagi

retweeted at 20:25:11

4月25日

@HiromitsuTakagi

MAEDA Katsuyuki@keikuma

…もしですよ。指定代理納付者が5社とか参入してて、手数料やサービスで競争していたとするじゃないですか。5社にlg.jpのドメイン使わせて競争させるんですか?広告もバンバン打ちますよね…そうなった時に、1社だけに使わせるのは不公平ですよね。

Retweeted by Hiromitsu Takagi

retweeted at 20:00:34

4月25日

@HiromitsuTakagi

MAEDA Katsuyuki@keikuma

…どうしてこうなったのかは、薄々想像はできて、指定代理納付者は、地方自治法第二百三十一条の二に基づいて指定されるところ、一社しか指定されておらず、事業者の方は他社が参入することは望まないし(防ごうとする)し、都としても現状一社しか指定しないので、これを疑問に感じなかったのではと。

Retweeted by Hiromitsu Takagi

retweeted at 20:00:10

4月25日

@HiromitsuTakagi

MAEDA Katsuyuki@keikuma

もし、東京都主税局が運営主体で、トヨタファイナンスが委託を受けてるという関係だったら、 zei.metro.tokyo.lg.jp のドメイン名で、東京都 Bureau of Taxation の証明書使っていて、何の問題もないところ、実は、*そうではない*というのが大問題。

Retweeted by Hiromitsu Takagi

retweeted at 19:59:58

4月25日

@HiromitsuTakagi

gnss@gnssho

どの決済業務もGMOに委託してるのになぜ都税だけ情報漏えいしたの?とトヨタファイナンスに問い合わせると「GMOに委託してるのでGMOに聞いてくれ」といい、GMOに問い合わせると「サイトを稼動させてるだけなのでトヨタファイナンスに聞いてくれ」と言われる。なんなのこのたらい回しは!!

Retweeted by Hiromitsu Takagi

retweeted at 19:47:16

4月25日

@HiromitsuTakagi

Hiromitsu Takagi@HiromitsuTakagi

どうすればいいのかは、togetter.com/li/1067266 に書いた通りだけど、結論だけ言えば、

このサイトは、トヨタファイナンス社のドメイン名のサーバに「トヨタファイナンス株式会社」のEV SSLで運営すればよかっただけの話。なんら困難でないことなのに。

posted at 04:39:27

4月25日

@HiromitsuTakagi

Hiromitsu Takagi@HiromitsuTakagi

この画面(個人情報の直接書面取得に当たる)、情報の取得主体は誰なの? 画面からして、「明示」されている個人情報の取得主体は「東京都主税局」だよね?

(実際の取得主体がトヨタファイナンス株式会社であるなら、個人情報保護法18条2項違反だろ。) pic.twitter.com/D4p3uZZ65f

posted at 02:52:08

4月25日

@HiromitsuTakagi

Hiromitsu Takagi@HiromitsuTakagi

EV SSLが「東京都」になってるし。トヨタファイナンス株式会社の運営サイトに「東京都」のEV SSLを使わせちゃうの。どんだけ東京都は都の信用を民間に売り渡しちゃうの? 都民に断りなくそういうことして許されると思ってるの?

で、「公式」って何? pic.twitter.com/EAbQ7zJbPw

posted at 02:36:52

4月25日

@HiromitsuTakagi

焼きプリン(特殊市民)@baked_pudding

@nytminton 既に他の方から問題点を列挙した図も送られているようですし、海老名なのでしたらTRCのこともご存じでしょうから「民間」=「TSUTAYA(CCC)」ではないこともご承知のことと思います。全貌を踏まえるとなると大変なテーマとは思いますが、発表がんばってください。

Retweeted by Hiromitsu Takagi

retweeted at 01:50:12

4月25日

@HiromitsuTakagi

NYT@nytminton

@baked_pudding なるほど、わかりやすさを重視したつもりでしたが、気になってしまったようで申し訳ないですm(_ _)m
この問題に関しては完全に素人ですのでご意見等は非常に助かります。ありがとうございます。

Retweeted by Hiromitsu Takagi

retweeted at 01:50:06

4月25日

@HiromitsuTakagi

NYT@nytminton

ゼミでTSUTAYA図書館についての発表をします。海老名市民は知ってると思いますが、TSUTAYA図書館はカフェが併設されるなど多くのサービスが受けられる一方、歴史書の出エジプト記が旅行ガイドに分類されるなどの問題点もあります。これらを引っくるめて賛成反対の投票をお願いします。

Retweeted by Hiromitsu Takagi

retweeted at 01:48:46

4月25日

@HiromitsuTakagi

Hiromitsu Takagi@HiromitsuTakagi

1 フィッシング攻撃に敏感になる
→ 敏感になっても見分けつかない
2 短縮URLにも注意を払う
→ 短縮URLはどうでもいい
3 疑わしいメールが来たら、要注意
→ 疑わしくないメールが来る
4 脅威の告知と緊急対応の要求には細心の注意を払う
→ 急を装わないメールが来る

posted at 00:57:39

このページの先頭へ