雑記(2015/12/23)

天皇陛下の82歳の誕生日ですよー。

今年の科学界の不祥事

2015年もっとも騒がれた科学界の不祥事まとめ : ギズモード・ジャパン

2015年の科学者の不祥事ということで、データ捏造や論文撤回、セクハラといった大事小事のワースト12がまとめられています。なお、日本で大騒ぎとなった「STAP細胞」は2014年です。

全て海外の話題なため、聞き覚えのない事柄が多かったですが、Baiduが画像解析技術でGoogleを抜いたという主張がズルだった、というのは見た覚えがある気がします。

行き過ぎた脆弱性の調査?

Facebookに脆弱性を指摘して報奨金を得た技術者の調査が行き過ぎだとFacebookとトラブルに - GIGAZINE

ここ数年で企業からの情報流出という事態が非常に増えてきている印象です。

原因としてはさまざまで、ヒューマンエラーによるものが多いような気もしますが、システム的な脆弱性を突いた不正アクセスも少なくないです。

外部向けシステムの運営側も、特に個人情報を扱うサービスでのシステム脆弱性は致命的であるため、報奨金プログラムなどで外部の技術者から脆弱性の指摘をもらって潰していくという話もあります。

そんな仕組みの中で、Facebook脆弱性を指摘して報奨金を得た技術者の調査が行き過ぎているということでトラブルになる事案があったそうです。

脆弱性を指摘した技術者の調査とは、Instagram(Facebookが買収している)が利用しているAWSAPI秘密鍵を入手し、技術やシステムに関するデータを不正入手した上での指摘だということ。

Facebook側は脆弱性の指摘には感謝するが調査の過程であれプライバシー侵害やデータ破壊、サービスの妨げや品質を貶めるようなことはしないよう務めてほしい、といった旨の回答とともに報奨金の支払いには当たらないとしたようです。

どちらの主張が正しいかはわかりませんが、少なくとも悪意ある人物が同じことをしたときの損害を考えると…

パスワードを使わない認証

Google、パスワードなしのログインのテストを開始 | TechCrunch Japan

Googleがパスワードを使わない新しい認証技術をテスト中だそうです。

仕組みとしては、認証の際にアカウント所有者のデバイスにプッシュ通知を送り、それに回答することでログインする、というものだそうです。

どうにもワンタイムパスワードや秘密の質問といった、古来の認証方法の域を出ないようにも見受けられますが、フィッシング詐欺への対策も兼ねた試行となっているようです。

最終的にどんな認証形式になるのかはわかりませんが、いい加減に銀行口座での数字4桁認証は死滅してほしいです。