武雄市による小学校を通じた児童へのTポイントカード作成指示についての事情聴取

ぽち(武雄市民)さんから

というtweetに端を発した「小学生のデータをまとめて提供? #武雄市図書館は小学生ビッグデータの夢を見るか? – Togetterまとめ」から一夜明けて、今仁さんが「武雄市教育委員会文化・学習課担当係長」へ架電し事情聴取した結果の連続tweetが電子の海に流れ去ってしまうのはもったいないので以下に保存する。なお、2015.02.27 2244時までのものであり、tweet内のがぁこ病への取り消し線を行った上での修正および重要ポイントへの強調は当方の判断にて行った。

広告
武雄市による小学校を通じた児童へのTポイントカード作成指示についての事情聴取

経済産業省へNPO法人全国万引犯罪防止機構に加盟するLYKAON株式会社について情報提供す 2016.02.19更新

「個人情報の保護に関する法律を僭脱する事業に関する情報提供」と題して経済産業省へNPO法人全国万引犯罪防止機構に加盟するLYKAON株式会社について情報提供したので、次に全文(プレーンテキストをHTMLにしたもの)を公開する。

—- 情報提供文 ここから —

2015年2月19日0418時にNHKのニュースサイトにおいて、「万引き犯の画像 被害未然防止へ共有検討」と題するが公開されました。
いわく、「防犯カメラに写った万引き犯の画像をさまざまな店の間で共有できるデータベースの構築を目指して、具体的な検討を始める」とのことです。
この件について、「プライバシー大論争 あなたのデータ、『お金』に換えてもいいですか?」の93ページにて「経済産業省は防犯カメラの画像や顔認証データを本人同意なしで他企業に提供することを『防犯目的の限りにおいて適法』と全国万引犯罪防止機構からの問い合わせに対して判断を示した」との記述がありますが、個人情報の保護に関する法律にかんがみて、経済産業省がおよそ違法であるものを適法と判断することには問題があると感じ、本件に関する情報の提供をさせていただきます。

まず、NHKのニュース記事にで取り上げられているNPO法人全国万引犯罪防止機構についてですが、個人情報の保護に関する法律を僭脱する事業を営む企業が参画しています。当該企業はLYKAON株式会社(リカオン株式会社)ですが、「全国万引防止機構に加盟しております。」と明言しており、同NPO法人と関連があることが明白です。

同社については、2014年04月05日 10時32分に読売新聞WEBサイトにおいて、「客の顔情報『万引き対策』115店が無断共有」と題する記事が公開され、記事内で該当者名が明記されていないにも関わらず、これに対してLYKAON株式会社(リカオン株式会社)から、「平成26年4月5日(土) 読売新聞朝刊掲載記事について重要なお知らせです」という反応を出すとともに、その翌日である平成26年4月6日に読売新聞記事で問題とした製品紹介ページである「LYKAON share(リカオンシェア)」およびこの製品の運用実例を同社がYouTubeに公開していましたが、上記の製品紹介ページを非公開にした時期を同じくしてこの動画も非公開になりました。
なお、当方で非公開となる前に証拠保全したものがhttp://1drv.ms/1vJiO4d(2016.02.19 LYKAON株式会社 社員 中根由尚のDCMA申し立てにより非公開)です。

しかし、「顔認証システム利用における個人情報保護法の遵守」の「LYKAON株式会社 個人情報運用基準」4.(3)にて「弊社が管理するLYKAONshareシステムの利用によって取得した個人情報については、防犯目的として利用する」と明言していることから、LYKAON shareを一般には非公開のまま商材としていることがうかがえます。

上記のLYKAON shareの運用実例の動画をご覧いただくとおわかりになるとおり、司法が一切介在しない状況下で、任意の顔認識情報へ運用者の任意の印象にて監視対象であるとの情報を付加し、さらにこれをもって犯罪者であるとの予断を持って対応するというシステムとなっているため、人権および個人情報の保護に関する法律を僭脱していると考えます。

このようなシステムを販売する企業が加盟するNPO法人が主体となり、「防犯カメラに写った万引き犯の画像をさまざまな店の間で共有できるデータベースの構築を目指して、具体的な検討を始める」ことを経済産業省がお墨付きを与えることは、消費者の人権を尊重しつつ合法的に事業を営む企業への阻害要因となり得えると思慮します。

—- 情報提供文 ここまで —

その後放置していたのだが、2015.11.30 0200時に「ポラリス、顔認証防犯システムのリカオン買収へ:日本経済新聞」という報道が出た。

会社概要 – ポラリス・キャピタル・グループ株式会社」によるとファンド屋のようだ。ここからも「LYKAON 株式会社の株式取得について (PDF)」というリリースが出ている。
リリースを読んで驚いたのが、LYKAON株式会社で代表取締役会長兼CEOを名乗っていた河村蒼憧なるネオヒルズ臭い人物が出ておらず、代表取締役社長中村将之が出ていたことだ。慌てて「会社案内|LYKAON(リカオン)株式会社」を見に行ったところ、確かに2015.11.23を最後に代表取締役会長兼CEO 河村蒼憧という記述が消え、代表取締役社長兼COO 中村将之のみが記載されていた。ちなみにざわちんステマバナーも消えている。

また、「顔認証システムLYKAONシリーズ販売代理店一覧」なるページができており、その筆頭に株式会社日立システムズがリストされているのだが、日立製作所は企業統治的に大丈夫か?

さらに放置していたところ、LYKAON株式会社がYouTubeで公開していたものをOneDriveでミラーしておいたものについて、LYKAON株式会社 社員 中根由尚からDCMA違反だとして2016.02.14に申し立てがあり、Microsoftから規約違反だと判断されたので、ミラーを非公開とした。

そもそもよく考えて欲しい。LYKAON株式会社は、自社の広告として運用デモとPVをYouTubeに自ら公開していたが、炎上をきっかけに隠蔽した事実がある。
LYKAON株式会社は自分で製作して自分で公開した広告に基づいた「実際に問い合わせをうける」と「実質的な被害も被」ると主張する素晴らしく論理破綻した申立て文なので、次に全文を公開する。

—- LYKAON株式会社 社員 中根由尚によるMicrosoftへの申し立て書の全文 ここから —-

From: noreply@microsoft.com
Sent: Sunday, February 14, 2016 11:24 PM
To: DMCA Agent ; r.kajihara@lykaon.co.jp
Subject: Microsoft Content Infringement

We are in receipt of your notification and will review expeditiously.
Microsoft DMCA Agent

First Name: Yoshitaka
Last Name: Nakane
Contact Email: r.kajihara@lykaon.co.jp
Name of the intellectual property owner (if not you): Yoshitaka Nakane
Country: Japan

Please describe your intellectual property in detail: Dear Sir/Madam, My name is Yoshitaka Nakane. I am a WEB charge of LYKAON Co., Ltd. It is a Japanese company. This video is the original LYKAON Corporation. The video of youtube is unauthorized copying. We ask that you will be able to delete the page. Faithfully yours. LYKAON Co. Ltd. Nakane yoshitaka +81-800-200-9680 ——————– 該当URLから確認出来る動画は、LYKAON株式会社が制作した動画です。 弊社著作物の非公開している動画をダウンロードし無断転載もしております。 こちらの書き込みの件で実際に問い合わせをうけるなど、実質的な被害も被っております。 該当ページの削除をしていただけますようお願い致します。 LYKAON株式会社 中根由尚 0800-200-9680

Specific online location (URL) where we can view your work (if available online): https://www.lykaon.co.jp/
Specific online location (URL) where your intellectual property is being infringed: https://onedrive.live.com/?authkey=%21AKXFRmctYmCaFhQ&id=3D4E91BE7FAD917E%21133&cid=3D4E91BE7FAD917E
Additional information:
Required Statements: all checked
Signature: Yoshitaka Nakane

—- LYKAON株式会社 社員 中根由尚によるMicrosoftへの申し立て書の全文 ここまで —-

経済産業省へNPO法人全国万引犯罪防止機構に加盟するLYKAON株式会社について情報提供す 2016.02.19更新

在りし日のカレログ2の公式Webサイトのwhois情報

記念碑として保全しておく。

Domain Name:klg2.com
Registry Domain ID:
Registrar WHOIS Server: whois.discount-domain.com
Registrar URL: http://www.onamae.com
Updated Date: 2013–09–20 17:21:40.0
Creation Date: 2011–10–03 04:17:31.0
Registrar Registration Expiration Date: 2014–10–03 04:17:31.0
Registrar: GMO INTERNET, INC.
Registrar IANA ID: 49
Registrar Abuse Contact Email: abuse@gmo.jp
Registrar Abuse Contact Phone:
Domain Status: ACTIVE
Registry Registrant ID:
Registrant Name: Yoshinori Miura
Registrant Organization: manuscript inc.
Registrant Street1: higasinakano–4–4–5
Registrant Street2: –203
Registrant City: nakano-ku
Registrant State/Province: Tokyo
Registrant Postal Code: 1640003
Registrant Country: JP
Registrant Phone: 03–53384866
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: miura@ms-web.jp
Registry Admin ID:
Admin Name: Yoshinori Miura
Admin Organization: manuscript inc.
Admin Street1: higasinakano–4–4–5
Admin Street2: –203
Admin City: nakano-ku
Admin State/Province: Tokyo
Admin Postal Code: 1640003
Admin Country: JP
Admin Phone: 03–53384866
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: miura@ms-web.jp
Registry Tech ID:
Tech Name: Yoshinori Miura
Tech Organization: manuscript inc.
Tech Street1: higasinakano–4–4–5
Tech Street2: –203
Tech City: nakano-ku
Tech State/Province: Tokyo
Tech Postal Code: 1640003
Tech Country: JP
Tech Phone: 03–53384866
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email: miura@ms-web.jp
Name Server: dkns3.hosting-sys.jp
Name Server: dkns4.hosting-sys.jp
DNSSEC:
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
Last update of WHOIS database: 2013–09–20 17:21:40.0

在りし日のカレログ2の公式Webサイトのwhois情報

人生ゲーム借金返済計画がMACアドレスでかんたんログイン

基礎情報

 まずは、今回の案件のニュースリリースは、「人生ゲーム」スマホアプリ第2弾! AppStore/Google playで同時に配信開始! 「人生ゲーム」〜借金返済計画〜始動!!魚拓)である。

 「人生ゲーム」という版権管理およびとりまとめ担当として株式会社タカラトミーエンタメディアが関与し、株式会社スペースアウトが実装したのだろう。

 2012年初頭に人生ゲーム2012としてリリースされたiOS用Appにて、UDIDを認証に使っていることを発見し、株式会社タカラトミーエンタメディアへ問い合わせをしていたことを思い出したからである。ちなみに、問い合わせた結果が、「人生ゲーム2012」App Storeでの公開停止に関するお詫び魚拓)である。

 さらに、App Town ゲーム:iPhoneやiPadで億万長者を目指せ! 「人生ゲーム2012」が登場魚拓)にも株式会社スペースアウトが記載されており、実装が同じ会社であることから「前回で懲りてもうやらかしていないよね?」と期待したのである。

解析

 Appへの操作としては、起動し、ゲーム開始までの手順を行い、終了させ、この間の通信を監視した。

通信内容

 自社管理下のサーバーに自らMACアドレスをMD5ハッシュしたものを送信しているという、非常に残念な結果である。

考察

 前回は、株式会社アドウェイズがサービスし、UDIDを使っているAppDriverをユーザーの動向を調査するためとして株式会社スペースアウトが寄生させたことが原因であったため、連鎖的に「AppDriver」の不具合に関するお詫びをリリースさせ、さらに株式会社タカラトミーエンタメディアも上記のリリースを出すことになってしまったが、今回は自前でやっているのでさらに悪質である。

 ハッシュ化したところで、元にする識別子がMACアドレスである以上、MACアドレスを認証などに使用する場合の次のような副作用を逃れることはできない。

  • 一般的にはMACアドレスを変更する層は少ないためこれの一意性による名寄せの危険性がある。
  • JailbreakなどによるMACアドレスが変更可能であるために一意性が保証されないものを認証に使っているという脆弱性がある。

 また、UDIDがダメならMACアドレスを使おうと考えてしまうガラジニア丸出しの程度が知れることも副作用だろう。

経過(暫定決着)

 2012.11.20に株式会社タカラトミーエンタメディアへ架電して状況を説明したところ、調査した後にとりまとめてコールバックをいただけることとなった。また、同日に株式会社スペースアウトにもガラジニアの生の声を聴きたくて架電したが、既に株式会社タカラトミーエンタメディアから問い合わせが入っており調整中とのことだったので、こちらにはコールバックのお願いはしなかった。

 2012.11.20 2145時ごろに株式会社タカラトミーエンタメディア様から電話があり、次のような回答をいただいた。なお、「一般的にはMACアドレスが端末に紐付いた一意性がある識別子であるとの認識がある」とはおっしゃっていた。

  1. MACアドレスは個人情報か?
      定まっていない。
  2. MACアドレスを利用する目的は何か?
      ユーザーの識別機能およびユーザのランキング機能に用いている。
  3. なぜMACアドレスを使用することにしたのか?
      株式会社スペースアウトから実装を外注に出しており、同社および株式会社タカラトミーエンタメディアは把握していなかった。
  4. MACアドレスを利用したときの副作用を知っているか?
      把握していない。
  5. MACアドレスは名寄せにより個人情報になり得ることを理解しているか?
      把握していない。
  6. MACアドレスは一意性を担保できないことを理解しているか?
      把握していない。
  7. 今後の対応はどうするのか?
     配信停止を念頭に検討し、その後の対応についても再度検討する。

4〜6項のような認識であったため、ひととおりご説明をさせていただいた。

前回のように潔いとともにユーザーのことを思いやった対応を株式会社タカラトミーエンタメディアおよび株式会社スペースアウトに望む。

2012.11.21 1513追記

 次のiTunesのスクリーンショットのように、人生ゲーム借金返済計画がiTunes Storeから撤去されたことを確認した。ニュースリリースはまだのようだが株式会社タカラトミーエンタメディアさんの賢明な判断に敬意を表したい。

iTunes20121121

2012.11.24 1613追記

 株式会社スペースアウトはだんまりだが、株式会社タカラトミーエンタメディアさんのトップページに『「人生ゲーム 借金返済計画」 AppStore での公開停止に関するお詫び』と題するリンク魚拓)が出現し、リンク先には同題名のPDFが公開された。

 しかし、次の文面があるので監視を要するだろう。

今後の対応について アップデート、再公開などの対応につきましては、現在検討中です。決定次第随時当サイト上でお知らせ致します。

 また、何気なく「株式会社スペースアウト」を検索キーワードにググってみたところ、「裏ではみんなつながっている by 金無心Webサービス屋」という言葉が悲しくも実証される情報を見つけた。SlideShareに株式会社スペースアウトのアカウントがあるのだが、そのfollow先魚拓)に株式会社パンカクのCEOがいたのである。

SpaceOutPankaku

ネタ

 “UDID MACアドレス”を検索キーワードにググったところ、次のようなtweetがあったのでReTweetした。

 図らずもこれが実行された形になった。

人生ゲーム借金返済計画がMACアドレスでかんたんログイン

キングソフトとは何をしているのか

 「キングソフト、ひろみちゅ先生にステマ依頼」(2012.09.28 1713に確認したところ、Togetter運営から利用規約違反として非公開になっていることを確認したため、PDF魚拓で代替えします。)で話題になったキングソフトの系譜および関連する企業が今までやらかしてきたことについてまとめる。 

 まずは、キングソフト株式会社とはなにものかを見てみよう。会社概要で留意しておきたいのは、代表取締役および主要株主として表記されている沈海寅および翁永飆という名前である。そして、企業沿革を見てみると、2005年3月に設立し、2005年9月に日本市場参入となっている。

 これからするとまるで突然に日本市場に参入したのかというと、実はその前にこの2人は既に日本へ上陸し、事業を展開しており、セキュリティやプライバシーに関心のある方ならご存じのJWord(wikipedia)問題である。そこで、このJWordを提供しているJWord株式会社の会社概要を見てると、役員のファウンダーとしてキングソフト株式会社の代表取締役および主要株主たる沈海寅および翁永飆が記載されていることに気付くだろう。つまり、キングソフト株式会社はキングソフトブランドを展開するためのJWord株式会社のグループ会社であることが推測できる。さらに会社沿革をたどってみると、2010年までさまざまな企業と提携して来たことが分かる。

 そして、2004年8月25日付けのVenture Nowのアクセスポート、親会社3721ソフトの株式譲渡でGMOとの関係を強化という記事により、JWord(=JWord株式会社)が株式会社アクセスポートという会社に関連があることを公表している。株式会社アクセスポートといえば、ACCESSPORT株式会社による独自マーケット「Tapnow」でのAndroidアプリ無断再配布問題をやらかしている。なお、Android向けコンテンツストア「Tapnowマーケット」がセゾンカードやUCカードの「永久不滅ポイント」での決済に対応のように、株式会社クレディセゾンとユーシーカード株式会社がTapnowマーケットへ決済機能を提供している。さらに、マウスコンピュータLuvPad AD701にもTapnowがプリインストールされている。

 では、株式会社アクセスポートとはどのような会社なのかと会社概要を見てみると、ここでも代表取締役社長として沈海寅および翁永飆が表記されており、JWord株式会社、キングソフト株式会社、そして株式会社アクセスポートを両者が束ねていることが推測できる。

 さらに、最初にさかのぼると、株式会社インターパイロンがあるが、この会社には沿革等は記述されていないことから、持ち株会社的な位置づけのペーパーカンパニーであろうと想像する。

 これまで述べてきた関連をさらに強化するものとして、株式会社インターパイロンが展開しているNavinowというプロダクトがあり、キングソフト株式会社の次のプロダクトにバンドルされている。

 また、最近はやりのAndroidタブレット関連でも、eden TABがあるが、リンク先にある会社概要を見ると、ここでも取締役として沈海寅および翁永飆が表記されているとともに、主要株主としてキングソフト株式会社と小米科技有限公司が表記されており、Mobile In Style株式会社も関連会社であることがうかがわれる。

 以上のことを踏まえて関連図を描くと次のようになる。
img

 余談だが、GKな方々のおことばを…

キングソフトとは何をしているのか

EQはイクス株式会社または有限会社ダイチ製です

概要

 とっかかりは、高木さんのこのtweet。

 そして、某氏が引っ掛けてきたtweetがこれ。 

 即座に思いつくのはリワード広告である。もしiOS Appであれば検証しようと思い、Safari on OS XでアクセスしてみるとSafariが黙り込むという事態になったが、某氏がFirefoxで検証したところEQというAndroidアプリに行き着いた。
 しかし、Android端末を所有していないわたしには検証等ができないので、App Storeを検索してみたところ、同じ名称のiOS版 当時はver.1.2を発見した。

App StoreとGoogle Playでの名義について

 まず、EQの販売業者はTOYOTA MARKETING JAPAN CORPORATIONとあり、App StoreのTOYOTA MARKETING JAPAN CORPORATION Webサイトは正しく株式会社トヨタマーケッティングジャパンのWebサイトにリンクされているが、その下に©Daichi.Nという表記がある。

 しかし、Google PlayのEQの作成者のリストからリンクされているWebサイトはというと、作成者ではなくEQの説明サイトにリンクされているが、cmドメインを使っていること自体が胡散臭いといわざるを得ない。

 そこで、eq.cmなるドメインをwhoisしてみると、イクス株式会社なので、販売者名義は株式会社トヨタマーケッティングジャパンだが、実装はイクス株式会社であることになる。

 ここでおかしいのは、Andorid版はイクス株式会社製であるのに対し、iOS版はDaichi.N名であることである。 改めて、イクス株式会社の会社概要を見てみると、社長さんは野田大智さんだという。

 続けて、社長名でググってみると有限会社ダイチが引っ掛かった。

 同社の会社概要を見ると、会長名は間違いなく同姓同名なのだが、検索避けするためか画像になっている。そして、子会社の欄に「イクス株式会社」が記述してあるが、これもまた画像になっているという、会長名と子会社の隠蔽を謀りたがるとてもおもしろい会社である。

 つまり、Android版もiOS版も名義は違えど、イクス株式会社が実装したことが類推できる。

検証

Ver.1.2を検証

 起動して驚かされるのは、異常といえるほどの大量の個人属性情報を入力させられることだ。

SS1
SS2
SS3
SS4
SS5
SS6

 その後、これらの情報をeqs-apps.appspot.comへ送信する旨の断りなど画面遷移上は、一切ない

通信

 案の定、UDIDをeqs-apps.appspot.com(173.194.72.141)へ投げており、appspot.comはGppgle App Engine関連のサイトであるため、ユーザー視点からすると、株式会社トヨタマーケッティングジャパンではなくイクス株式会社への無断第三者送信を行うクソAppといえる。

 いちおう、Appからリンクされていたプライバシーポリシー利用規約を提示しておく。

Ver.2検証

 その後、2012.04.11にVer.2.0にアップデートされたので再度検証するも、生UDIDからMACアドレスのUTF-8読みに変更しただけというクソぶりを再確認しただけに終わる。

通信v2

トヨタ自動車さんに問い合わせ

 このようにユーザーからすると、意図して隠蔽された動作をするものについては、実装会社や名義貸ししている会社に問い合わせても梨の礫になることが一般的(明治に関しては本社に問い合わせても梨の礫だったが)である。

 そこで、トヨタ自動車の問い合わせフォームから、問い合わせてみた。

TOYOTA1

 2012.04.19 16:11に回答が到着しました。

TOYOTA2

 Ver.2検証のようにUIIDなるIDとMACアドレスを同一のPUSHで送信しているのだから、「MACアドレスとユーザプロファイルの登録」は紐付いている。これを理解できない三河の世襲自動車会社のエンジニアはクソとしかいいようがない。

 また、MACアドレスは一般的に変更されることなく使用されるため、端末所有者が変わった場合は、前の所有者のアカウントをそのまま意図せずに使ってしまうという脆弱性があることも認識できないようだ。これは、いったんEQを削除し、再度ダウンロードし、起動してみたところ属性情報入力の画面遷移にならなかったことから、MACアドレスによるかんたんログインになっていることを示している。

EQはイクス株式会社または有限会社ダイチ製です