UDID他についてソフトバンクモバイルCTOとのやりとり

30
宮川 潤一 @miyakawa11

お待たせ致しました「電波チェッカー」始動です。電波状況を計測し、自動でソフトバンクの電波改善要望サーバへ登録します。基地局設計に反映。 ダウンロード→ http://itunes.apple.com/jp/app/id370134730?mt=8 #SBareakaizen

2010-06-01 18:27:26
宮川 潤一 @miyakawa11

電波チェッカー、お客様のご期待の大きさに、嬉しさと反省が身体中の血管を駆け巡ります。やり遂げねば。

2010-06-02 00:51:05
宮川 潤一 @miyakawa11

手厳しい指導、いつも有難うございます。勿論どちらもやります。アプリは社内製作なのでお金はかけずに作りました。RT @Shinskys こういうの作る暇とお金があったら一つでも基地局作れって思うのだが。マスターベーションの極み。信者への受けはイイよね「孫さん、やるぅ!」ってww

2010-06-02 11:34:36
宮川 潤一 @miyakawa11

@shin_nami はい、その通りです。お客様ニーズの収集ツールとして、生の声を弊社データベースに取り込み、基地局建設計画の詳細チェック、見直しまで含めて反映させていただくことが目的です。 #SBareakaizen

2010-06-02 12:34:06
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 電波チェッカーについてお尋ねします。UDIDを送信するとのことですが、UDIDは個人識別番号ですが、何の目的で使用しているのでしょうか。

2010-06-03 21:08:15
宮川 潤一 @miyakawa11

@HiromitsuTakagi UDIDを取得するのは電波チェッカーで登録されたポイントをiPhoneで表示する為です。登録されたポイントはサーバーで保持され、エリア改善情報として反映致します。 #SBareakaizen

2010-06-03 23:23:51
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 しかし、その目的であれば、アプリ初回起動時に乱数で十分に長い専用のIDを生成して、それを記憶し、次回以降そのIDを送信して使用すればよいのではないでしょうか。

2010-06-03 23:51:18
宮川 潤一 @miyakawa11

@HiromitsuTakagi 確かにご指摘の方法もありますが、誤削除、リフレッシュ、トラブル等で再インストールが必要な事態が発生した時に過去の登録情報をそのまま利用出来ることを考慮してUDIDが有効と考え、この仕様にしました。 #SBareakaizen

2010-06-04 00:54:41
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 再インストールを越えて同一人物による記録であることを識別できる必要があるのでしょうか。一方で、Appleはストアへのアプリ登録において、UDIDを使用する場合には利用者の個別同意確認をするよう求めているとのことですが、その趣旨をどのようにお考えでしょうか。

2010-06-04 01:06:21
宮川 潤一 @miyakawa11

@HiromitsuTakagi 登録して頂いた情報を無駄にしない為、再ポイント登録がないよう配慮しました。インストール時の注意事項にUDID取得を記載しております。ご質問のAppleでの正式審査も当然通しております。個人情報に紐付く認証としての使用ではありません。

2010-06-04 08:24:56
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 つまり、利用者が(再インストールしたとしても)過去の自分の登録情報を見られるようにしているということでしょうか。

2010-06-04 09:21:41
宮川 潤一 @miyakawa11

@HiromitsuTakagi はい、その通りです。再インストールしても過去の登録情報を見れるようにしております。

2010-06-04 11:39:52
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 そうしますと、任意のUDIDをサーバに送信するとサーバは登録情報を応答するということかと思いますが、それはつまり、他人のUDIDを用いてその人の位置情報履歴を閲覧できてしまうということではないでしょうか。重大なセキュリティ欠陥だと思います。

2010-06-04 11:44:45
宮川 潤一 @miyakawa11

@HiromitsuTakagi 当然ながら単純にUDIDだけで情報を抽出している訳ではありません。詳細はセキュリティに関わることなのでこれ以上申し上げられないこと、話を切るようで心苦しいですが、何卒ご理解下さい。

2010-06-04 15:53:49
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 UDIDだけではないと言っても、鍵付ハッシュで変換することくらいしかできず、その鍵はアプリ固有とせざるを得ないものです。再インストールで識別が継続するのですから。つまり、その鍵は誰にでも得られる値であって、他人のUDIDで位置情報を得られるということです。

2010-06-04 18:14:28
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 総務省の「電気通信事業における個人情報保護に関するガイドライン」は、位置情報の取り扱いを第11条で規定しています。そのように重要情報として扱われるものが、UDIDから他人の情報を引き出せるという御社のサービスは、第11条に違反していないと言えるでしょうか。

2010-06-07 11:48:14
宮川 潤一 @miyakawa11

@HiromitsuTakagi GPSで取得した位置情報の表示は緯度経度座標等の他人が位置特定できる情報はありません。サーバからの返却データは地図を含まない別レイヤおよび別データとして加工しており、セキュリティ及びパフォーマンスの向上の観点から独自技術で対応しております。

2010-06-07 19:01:49
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 技術的に言っておっしゃることがよくわからないのですが、サーバが返す値がどんな加工形式の位置情報データであれ、「電波チェッカー」自身がそれを地図上に位置表示できるのですから、誰でも他人のUDIDから位置情報を得られるのは明らかです。

2010-06-07 20:02:59
宮川 潤一 @miyakawa11

@HiromitsuTakagi すみません、きちんと説明する責務はあるかとは思いますが、弊社も企業故、開発の中身までは本twitterでのやり取りでは公開しかねます。弊社来社戴ければ、NDAサインは戴きますが、中身の説明は真意致します。いかがでしょうか?

2010-06-08 01:56:19
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 原理的に不可能なこと、それをやっているとおっしゃっているように聞こえるのすが、もしかしてUDIDの他に、iPhoneのMACアドレスないしシリアルナンバーを使用ているのでしょうか? 「電波チェッカー」の説明にはUDIDに関する記述しかないのですが。

2010-06-08 18:27:09
宮川 潤一 @miyakawa11

@HiromitsuTakagi MACアドレス、シリアル番号は使用しておりません。GISに関わる情報です。twitter上での本回答は生理的に受入できませんので、下記のサポートメールにて御容赦戴けますか?denpacheckersupport@mb.softbank.co.jp

2010-06-08 19:16:13
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 電波チェッカーについてお尋ねします。計測で記録した位置情報を削除したいのですが、1点ずつ選択し削除するボタンはあるものの、全部を削除する機能は用意されてないのでしょうか。UDIDで紐づいた位置情報が永久に残るのは避けたいのです。1個ずつ消すのはつらいです。

2010-06-10 18:02:58
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 昨日お尋ねした「電波チェッカー」の削除機能の件の続きですが、屋外計測については、もしかして、まったく削除できないのでしょうか。

2010-06-11 17:19:58
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 実際にUDIDがあればその人の登録位置情報を地図上で閲覧できてしまうことを確認しました。知人のiPhoneに私のUDIDをセットして電波チェッカーを起動したところ、私の自宅等の位置が現れました。位置情報漏洩の欠陥ですのでIPA脆弱性届出窓口に届け出ました。

2010-06-11 21:08:18
1 ・・ 4 次へ