idcon 17レポート - mad-pの日記

11月29日に行われた #idcon #17 に行ってきました。会場はmixiコラボスペースです。

今回はNext Generationとして若い世代のプライバシーに関する感覚が聞けました

@IdentityPenguin "IIW #17 報告"

名前が目立つのか覚えてもらえた
「ねえ、ペンギン」とか話しかけられるw

IIW#17 10/22-24 @Computer History Museum

「four principles of unconferences」
ワークショップの進め方
- 基調講演もプレゼンもなし
- 初日にアイスブレイク的な
- 学ぶこと、貢献することに情熱を持つ参加者主体で進める
- 毎朝、セッションと時間割を立候補で決める
- 夕方、一番貢献した人を決める

初日、冒頭のディスカッション

お題を与えられてテーブルに分かれて座る
各テーブルに必ず新人を入れる

セッションのお題決め → スロット割り当て

早い者順、他のセッションとのカブり具合を見ながら

topics around "Name"

NYM issues (pseudo-nym) Why do we need "real" name policies?
Personas and Privacy
real nameって何だ?
- 戸籍名とは限らない。realなactivityが結びついているものをreal nameと考える
ペルソナって?
- カカクコムではこれ、他ではこれ、という風に名前を使い分けているということ

Online data & ID after death

エンジニア、心理学者など多様な参加者6名
プライバシーとしての故人データ
- 生きている間はプライバシー権としてコントロールするとして
- モノと違って、これは誰に、という風に手渡しで分けられない
- 何十年経つまでは非公開、というったオプションも可能?
残す、残さないではなく、残す前提で話が進んでいった
- 基本消すんじゃないかという立場で参加したのだが
亡くなった人のデータには社会的な価値がある
- 何気ない写真、そのとき食べているお菓子、日常が歴史的な史料になる
- むやみに消していいんだろうか
「その人の物語」が受け継がれていくこともできるだろう

まとめ

セッション参加も楽しいが、自分でセッション立てると得るものは多い
エンジニアじゃなくても貢献できる & 得るものはある

Q&A

@nov どんなキーワードが出てました?
- UI & Identity: どう見えてどう人の振るまいを反映させていくか
@_nat 何人くらいでした? → 150人くらい
- ヨーロッパ方面が多かった

"Next Generation 枠 - アカデミックな新風"

関東学院大学のゼミ生による発表

「個人情報? 守ってますが何か?」チーム Shiroishi Tsubasa

たしろひかる、にしいりゅうじ、まつおかしょうご(田中太郎)、しばさきようすけ、から一字ずつ取ってプロジェクト「しろいしつばさ」
研究の動機
- SNSの広がりによって、様々なトラブルも発生している
- ネット上の自分の情報に関して無防備な人が多いのではないか?
- 大学生はどこまで個人情報について意識しているか、アンケートを取った
- 2013/10下旬、アンケート用紙による。回収サンプル数103、男40.8%女59.2%
アンケートの内容
- SNSの利用状況、目的、個人情報公開・保護を意識しているか、公開範囲、公開しているもの、マークの理解度、トラブルについて(自由記述)
回答者の年齢: 19歳と20歳で95%
使っているSNS: LINE 100%、fb74% tw83% mixi21%
- LINE: 連絡手段、fb/tw/mixi: 他人の状況把握、自分の情報発信
個人情報保護を意識しているか → 86%が「はい」を選択
- 実名、生年月日などは9割以上の人が公開している
- 「意識している」という答と実際に公開しているかどうかの間に有意な差はなかった
有意な差があったもの: 女子学生は男子学生に比べて、「友人なら可」が多い
公開している項目の中では実名の公開率が高い
- 位置情報はどのサービスでも公開率が低い
fb投稿らんに表示されている「マーク」の理解度を調査
- 全体への公開「地球マーク」が重要であるが、正解率は低い(24%)
- 公開範囲をカスタムという「歯車マーク」の正解は1人
- 個人情報への意識ありという答と正解率の間に相関がなかった
トラブルについて
- いくつかのサンプルが得られた
- (このスライド、もっと長い間映すか、読みあげてほしかったです)
まとめ
- 個人情報の公開や保護については多くの人が意識している
- その一方で知識はない
- 実名や写真の公開の割合は高く、特にオープンな環境であるtwですら実名も公開
- 位置情報については公開しない傾向
- 大学生を対象とした調査であることに注意しつつ、意識はあるが行動が伴っていないことがわかった
- 安全に使うにはどうするか: 公開範囲の設定をしないとアカウントが使えない、という方法はどうか

Q & A

@nov: 中学生のころどんなSNS使ってました?
- mixi, fb(高校)
- 中3でmixiが招待制から誰でも登録できるように変わった。高校に入ってすぐmixi, fb
@_nat: 使うのは基本ケータイやスマホでPCではなかった?
- 当時はほとんどガラケー
山中: ネットでモノを買うときは、スマホ? PC?
- → パソコンが多い(学生も会場も)
@hiroki: アパレルのような見定めしにくいものはケータイ・PCで買うことはあるか?
- 服だとサイズもあるし、店で試着してからPCで買うこともある
「意識している」というのをどう定義しているのか?
- アンケートで「はい」と答えた人だとすると「アンケートバイアス」がかかっているのでは?
- はいってみんな言うと思うが、いいえと答えた人もいる
- 「はい」の書いてある同じページに公開項目の問を置いたが、バイアスがかかった状態でも「実名」などは公開するにチェックをしている回答が多かった
@shingoym: 意識してるかしてないか、と言うと意識している。それは無意識に意識している。それを深ぼりすると面白い。どうして意識するようになったか、そのリテラシーをどこから得たのか、誰から教わったのか。失敗して学んだのか、親から学んだのか。質的なインタビューする必要があるでしょう
- みなさん使い方はどうやって学んだ?
  - → 使っているうちに。設定しないといけないな、と思った → それが identityのめばえ
なぜ田中太郎なのか
- → 個人情報の公開に無駄に敏感。自分はfbに名前を公開するのもコワイので田中太郎を名乗っている
- @_nat: TポイントカードやSUICAは使っている? → いいえ
- @_nat: そこまで徹底しているの? → そうでもない。カードはいいと思う。SNSについてはトラブルのニュースが多く心配
@_nat: 個人情報とプライバシーは別の概念。そういうことは意識しています?
- → しています。
- → 田中太郎は偽名だけどスードニムになっていて、いろんな属性が結びついていく。アメリカではreal nameっていうのは名乗った名前である。同じ名前を使い続けるとそれがreal nameになってしまう。そういうことを意識したことはあるか → いや、いまの話を聞いて田中太郎でも安心できないなと思った
@oritako: 先生同士でもいまはMLなんか使っていない。まずLINEでした。大学からのメールも使っていない
@nov: 今日、もし連絡先交換してくださいと言われたら何を教える? (2年生にひとりずつ聞いてみた)
- LINE: LINEの方が気軽
- tw: LINEは話さない人増やしてもと思う。最初はtwというカベを作っておいて、仲よくなってからLINE
- LINE: twはやってるけど見るだけ。使っているSNSはLINEだけ
- tw: LINE連絡先が多くなっちゃう。会話がないのにLINEの意味がない。twのDで十分
- LINE: 他にtwなどまったくやっていないしメールより気軽
- 面と向った人ならLINEでもtwでも何でもいい。知らない人との間では個人が特定できるような話はしたくない。自分自身が現れないような会話ならメディアは問わない
- LINE: 連絡には使わない
@oritako: 高校でLINE八分になってしまうと本当に深刻

NEC中央研究所佐古和恵様 "匿名認証技術〜私たちの生活はどうよくなるか〜" (Presented at IIW 17)

自己紹介
- 暗号技術、暗号プロトコル技術、情報セキュリティー技術
- 自称「生活者視点の暗号研究者」
- 電子投票、入札、抽選システム、匿名認証
- 最近の興味: innovation producer
  - ネットって生きにくい
  - パスワード多すぎる
  - 行動ターゲティング広告
  - Doc Searlsの「インテンションエコノミー」に感動
  - IIW17に参加

匿名認証

verifierにユーザIDを伝えることなく、ユーザの属性を証明する方法
- issuerがユーザーにcredentialを渡す。ユーザーがverifierに何らかの正当性を証明したい。属性を証明したい。ただし、自分が後で特定されるような情報(IDなど)は渡さない
- 特定されない(匿名)、属性を証明(認証)

「匿名」「プライバシ保護」について、暗号研究者の視点から

電子投票のプライバシ保護を例として
- 「田中さんがObamaに投票した」を安全に集計する方法(何を暗号化するか)
  - 「誰か」がObamaに投票した → 投票主体を匿名化
  - 田中さんが「誰か」が投票した → 投票内容を暗号化
- 「誰が」「何をした」の何かをかくそうとする、それが匿名化だと考えていた
最近の「k匿名性」
- 「田中さんが田町で乗車して渋谷で下車して化粧品を買って老眼鏡を修理に出した」
- 田中さん、だけをかくしても他が見えていれば「田中さんぽいぞ!?」と特定されてしまう
- 行動データを「あいまい化」して、一連の行動データや属性データから推測されないようにする

匿名認証(ユーザー匿名化) + (属性認証)

属性証明書との違い?
- 属性証明書って? → 役所の中で「この人は課長さんである」ことの証明など
- 自分が秘密鍵を持っています。この秘密鍵を持っている人は課長さんですよとかお医者さんですよということを証明してくれる証明書があります
  - → 公開鍵がIDとして働くので、「この前来たお医者さんがまた来た」とわかってしまう
one-time 属性証明書であれば?
- issuerとverifierが持ちよれば、誰に発行した属性証明書が使われたかわかってしまう
暗号コミュニティーのめざす匿名認証
- issuerとverifierが結託してもユーザが特定できない方式
- ブラインド署名: Microsoft U-Proveなど
- グループ署名
- ゼロ知識証明 IBM Identity Mixerなど
- Intel TPM 2.0 Anonymous Attestation

現実にセキュリティとプライバシが両立されるような応用例を考えるために、シンプルな匿名認証方式で考えてみよう

デジタル署名
- だれでも個人公開鍵を用いてユーザを特定可能
- → 「あの人こんなこと言ってたよ」が転送できる → 「署名のひとり歩き問題」
グループ署名
- 同じ内容が正しいと誰かが保証してくれる。誰が保証してくれるかを調べるには2通りのレベルがある
  - レベル1: 秘密鍵を持つ特権者がユーザを特定できる
  - レベル2: グループを確認するレベル。ユーザは特定できない
  - 例: 「NECの社員なら入れます」というゲートでレベル2認証すると、NECの誰かが来たことはわかるが、実際に来たのがNEC社員のうち誰であるかはわからない
応用例
- 例1: 買物をするのには支払い能力の認証だけがあればよい。主体は特定しなくてもよい
- 例2: ケータイのID
- 例3: 車車間通信

Q&A

失効させるには?
- CRLと同じ仕組みでこのグループに属さないという情報を流通させる
ユーザーIDを暗号化して埋めているような感じ?
- そのとおり。「確率暗号」という。nonceとidentifierをくっつけて暗号化したようなもの
グループ署名
- 複数人が異なる秘密鍵を持ち、共通の公開鍵を持つことができる
- 暗号化と署名はまた別
レベル1の人が暗号論的に存在しないことを保証することもできるか?
- それもできる
提示された例ではフロントエンドがレベル2でバックエンドがレベル1になっているが、これを逆にしてはどうか。集める人はレベル1で個人を特定して集めるが、第三者提供すると提供を受けた方はレベル2であって個人を特定できないという使い方があるのでは?
- その場合、レベル1から先はどうせコントロールできない(集める人を信頼しているから)。それならもっと効率のいい方法があると思う
「ポイントカードやSUICA、現在は完全に追跡されています。余分にお金を払うと追跡されないサービスがあるとして、いくらなら払うか」会場に聞いてみた
- 100円: 多くの人がOK
- 300円: 半数くらい
- 1000円: 数人
- 逆にぜったい払わないという人も2〜3人。「なんでユーザーが負担しなきゃいけないの」
revocation listが大きくなって運用が難しくなる? → そうです

まとめ

匿名認証の性質とさまざまな実現方法があること
open question: このような技術をどう応用すれば、実生活が改善するか。

@ritou "OAuth 2.0のCSRF対策拡張の話"

cf: OAuthのセキュリティ強化を目的とする拡張仕様を導入しました | mixi Engineers' Blog

CSRF 脆弱性を持つ日記投稿サービスの例

ユーザー認証機能あり
投稿フォームからPOST
CSRF例: 悪意あるサービスがユーザーAに「あるURL」をクリックさせると、日記サービスにPOSTする
リスク: ユーザーの意図しない投稿
- 投稿された日記に悪意あるURLが入っていたら…
日記投稿サービスがとるべきCSRF対策
- セッションIDを投稿フォームのhiddenに入れておく

CSRF 脆弱性を持つログインサーバー

ログインフォームからID/PWを送る → ログイン
攻撃者のID/PWを送ってやると、ユーザーAのセッションの中で攻撃者のアカウントとしてログインしてしまう
気づかずに保存したデータを悪用されてしまう
とるべき対策
- セッションIDをログインフォームのhiddenに入れておく

OAuth 2.0とCSRF

認可フローでは、ユーザーAのセッションにアクセストークンがひもづく
第三者のセッションに攻撃者のアクセストークンをひもづけさせようとする攻撃があり得る
ユーザーA(攻撃者)が認可コードを得た時点で、それをユーザーBのセッションに送り込む
- → ユーザーBのセッションにユーザーAのアクセストークンがひもづく
リスクはログインのCSRFと同等
攻撃者は認可応答のURLを他人のブラウザで実行させるだけでよい

stateパラメータによる対策

clientがセッションにひもづくstateを生成
- clientがstateをサーバーに送ると、それが送り返されてくる
- clientではニセの認可コードをつかまされていないことがわかる
  - ユーザーBのセッションなのにユーザーAのstateを渡された
clientの実装に依存している
- clientの実装を信用できない場合、server側で確認することはできない

server側で対策を取れる拡張を考えた

serverで生成するのでserver_stateパラメータを生成
clientはserver_stateをセッションにひもづける
serverは認可コードにserver_stateにひもづけ、認可応答には含めない
clientはセッションにひもづくserver_stateを認可コードにつけて送る
serverは一致するか確認
ポイント: clientが実装を省略できない
implicit grantでも使えるよ(今日は割愛)

導入状況

mixi Graph/APIなど
全部に入れてしまうと実装しないと使えなくなるので、一部のみ

mixiのOpenID Connect対応について

mixi platformもOpenID Connect対応したよ!
emailはログインに使っているものをverified=trueで提供

Q&A

@lef: サーバー重くなんないですか
- なんないです。長くなるので略
@_nat: RFCにはいつするの?
- 心しておきます

Mitsuo Okada, Founder & CEO, Capy Inc. "CAPTCHA is dead."

Capy: キャピー

CAPTCHA

何回入れても正解しない
CAPTCHAとは → 人間かボットかを判別している
ボットがかしこくなってCAPTCHAが難しくなった結果、ボットは通れて人間は通れない現象が起きているw
CAPTCHAが入れられなくて離脱する人がいる

新しいCAPTCHA

パズル型: ジグソーパズルのピースを正しい位置に置く
着せかえ型: クラウディアちゃんにサンタ帽をかぶせたら正解(ボットは絵が帽子であることがわからない)

スローガン

Innovation = Security x Design
世界を2015年くらいまでに変える

Q&A

何を送ってるの?
- 座標
音声のやつもある?
- 要望があれば

懇親会

そのまま会場で懇親会に突入しました。
若い世代とも交流でき、また匿名認証やプライバシーについて、さらにつっこんだ話ができました。

リコーの新しい360度カメラ「THETA」で写真を撮ってみました。

Next Generationのみなさんと