高木浩光@自宅の日記 - 主婦の友社が早速やらかしてくれました■ 主婦の友社が早速やらかしてくれました 仕事がはやい。 赤☆ネットのご利用環境 セキュリティ証明書(Mozilla Firefox3をご利用の方), 主婦の友社 愛読者サイトにアクセスをすると下の画面が表示されます。「赤☆ネット」は「www.en-jin.com」のセキュリティーを使用しているために、このような警告がでますが ご安心してご利用ください。
高木浩光@自宅の日記 - 単純所持刑罰化ならウイルス罪を同時施行しないとセキュリティバランスが悪化する, 追記(15日)
■ 単純所持刑罰化ならウイルス罪を同時施行しないとセキュリティバランスが悪化する 私は、著作権のあり方に関心がないのにWinnyの問題について意見を述べてきた。これは、著作権が情報セキュリティに影響を及ぼしていたからだった。著作権法による規制の強化が、制御不能な流通システムを誕生させ、人々に維持し続けさせ、その結果、漏洩情報の拡散も抑制不能になるという情報セキュリティ上の深刻な問題を引き起した。(関連記事1、関連記事2) このところ、児童ポルノの単純所持の刑罰化や、青少年に対するコンテンツ規制の法制化の機運が高まっているようだ。私は、それらの是非については専門外であり、とくに意見を持ち合わせていない。しかし、それらが情報セキュリティに及ぼす影響について関心を持っている。 児童ポルノ、所持だけで懲役1年以下・与党PT , 日本経済新聞, 2008年5月2日 児童ポルノ:所持は1年以下の懲役ま
高木浩光@自宅の日記 - Wikipedia ∩ Winny で何が判るか
■ Wikipedia ∩ Winny で何が判るか 毎日新聞の朝刊にこんな記事が出た。 原田ウイルス、ウィキペディアに項目 自ら作成し更新?, 毎日新聞, 2008年1月27日 容疑者(24)が、インターネット上の百科事典「ウィキペディア」日本語版に、同ウイルスの項目を自ら作成していた可能性が高いことが26日、分かった。「ウイルス対策ソフトには全く対応していない」と、性能を誇るような文章を書き込むなど、更新も頻繁にしていたとみられる。府警もこの事実を把握。 (略)容疑者が匿名で開設したホームページ(HP)「P2P−DESTROYER」に関する項目もほぼ1人で書き込んでいた。 調べてみた。 まず、「原田ウイルス」のエントリの変更履歴から、初版の内容を見ると、次などの文が気になる。 山田ウィルスの亜種なのではなかという噂があったが、実際は山田ウィルスとは全く別物といえる。 山田ウィルスと同様
高木浩光@自宅の日記 - 「ウイルス作成罪」はこうしてほしい / 国会提出刑法改正案の趣旨
■ 「ウイルス作成罪」はこうしてほしい / 国会提出刑法改正案の趣旨 「ウイルス作成罪」という言葉は誤解を招くようなので、国会提出法案での名称「不正指令電磁的記録に関する罪」あるいは、「ウイルス」の代わりに「不正指令電磁的記録」を用語として使用していきたいところだが、Web検索上の便宜のため今回はタイトルは「ウイルス作成罪」とした。以下では同じものを指すものとする。 ウイルス作者の逮捕 さて、ウイルス作者が著作権法違反で逮捕されるという事態になった。24日に読売新聞の取材を受け、コメントが以下のように掲載された。 院生逮捕 ウイルス野放し、作成に法規制なし 法令駆使し摘発/京都府警, 大阪読売新聞, 2008年1月24日夕刊 (略) ウイルス被害が広がる中、法務省は2004年、ウイルスの作成・所持を罰する「ウイルス作成罪」を盛り込んだ刑法等の改正案を国会に提出。しかし、同法案に盛り込まれた
高木浩光@自宅の日記 - Winny稼動ノード数が減少中
■ Winny稼動ノード数が減少中 先週、「ファイル交換ソフト利用者が急増」というニュースが流れた。 「ファイル交換ソフトユーザーが急増」──ACCS・レコ協など調査, ITmedia, 2007年12月21日 ファイル交換ソフト:利用者、3.5%から9.6%に急増--著作権侵害も激増, CNET Japan, 2007年12月21日 ファイル交換ソフト利用者は9.6% - 1年強で3倍弱の増加, Security NEXT, 2007年12月21日 ACCSなど、ファイル交換ソフト実態調査、利用者は1年半前と比べて2倍以上, BCN, 2007年12月24日 これには疑問の声が挙がっていたが、昨日、ネットエージェントからWinnyノード数は減少しているという発表があり、報道された。 クリスマスのWinnyノード数は2006年に比べ減少, INTERNET Watch, 2007年12月2
高木浩光@自宅の日記 - 一太郎Zero-day攻撃発覚経緯の謎 ―― 非国民は誰?
■ 一太郎Zero-day攻撃発覚経緯の謎 ―― 非国民は誰? 目次 一太郎zero-day攻撃発覚経緯の謎 Symantecは脆弱性分析のプロではない 日本人Symantec社員は非日本国民か 非国民は誰? ジャストシステム社も経済産業省告示を無視? 現行の届出制度はzero-day攻撃に対応していない 一太郎zero-day攻撃発覚経緯の謎 先週こんな報道があった。 一太郎の脆弱性を狙う新たな攻撃、集中的に狙われているとSymantecが警告, INTERNET Watch, 2007年12月14日 またか。 「また一太郎か」という意味ではなく、「また Symantec か」という意味でだ。 一太郎関連製品のバッファオーバーフロー系の脆弱性はこれまでに8回見つかっており、うち3回は、攻撃に悪用される前にIPAとJPCERT/CCを通じて事前に修正されたもの(JVN#90815371,
高木浩光@自宅の日記 - 日立の銀行用ソフトウェアキーボードが利用者の危険を増大させている, オレオレ警告を無視せよと指示する金融機関が他にも
■ 日立の銀行用ソフトウェアキーボードが利用者の危険を増大させている Internet Explorerの独自機能である「スクリプトによる貼り付け処理」が危険なものであることは、いろいろな場面で何度も言い続けてきた。 Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する, 2001年11月5日 この問題は、Internet Explorer 7 と Windows Vista においてようやくそれなりに一応の解決がなされた。2006年5月13日の日記に書いていたように、「スクリプトによる貼り付け処理の許可」のデフォルト設定は、「ダイアログを表示する」に変更されているのである。 当時、「こんな解決方法じゃ、設定を元に戻させる糞サイトが登場して元の木阿弥にされてしまう」との心配が頭をよぎったが、その懸念が早くも現実のものとなっていた。それも、よりによって、銀
高木浩光@自宅の日記 - EZwebブラウザの「お気に入り登録」は偽サイトを見分ける手段にならない
■ EZwebブラウザの「お気に入り登録」は偽サイトを見分ける手段にならない 6月6日の日記「Upcoming Advisories」で書いていた、脆弱性届出「IPA#45031375」*1*2の件について、製品開発者がFAQとして事実を公開し、IPA#45031375 は11月26日に取り扱い終了となった。 EZwebで表示中のページのURLを確認する方法はありますか?, KDDI, よくあるご質問/お問い合わせ, 公表日不明*3 質問: EZwebで表示中のページのURLを確認する方法はありますか? 回答: 確認方法はございません。 なお、お気に入り登録時にURLが表示されますが、そのURLはサイト提供者が任意に指定することができるため、必ずしも閲覧中のサイトと一致しない場合があります。 PCサイトビューアーの場合、「メニュー」から「ページ情報」で確認が可能です。 FAQには掲載された
高木浩光@自宅の日記 - オレオレ警告を無視させている大学
■ PKIよくある勘違い(10)「正規の証明書でやっているので警告が出たとしてもそれは安全だ」 「サーバをオレオレ証明書で運用するのはケシカランことだ」という認識が普及してくると、こんどは逆に、こんな説明が流行するようになるのかもしれない。今のところ「よくある」という状況ではなく、稀にしかないようだが、こんな事例があった。 「セキュリティの警告」画面が表示される場合があります。 実際にログインしてご利用いただくサーバの証明書には問題はなく、セキュリティ上の心配はございません。「はい」をクリックしてご利用をお続けください。 このサイトは、実際のところ「Cybertrust Japan Public CA」発行の正規の証明書が正しく設定されているようだ。正しいサーバ証明書で運用されているのだから、利用者のブラウザ上でオレオレ警告が現れたなら、それはまさに盗聴されているときだ。それなのに、「はい
高木浩光@自宅の日記 - オレオレ警告の無視が危険なこれだけの理由
警告を無視して先に進むと、その瞬間、HTTPのリクエストが cookie付きで送信される。 もし通信路上に盗聴者がいた場合*2、そのcookieは盗聴される。セッションIDが格納されているcookieが盗聴されれば、攻撃者によってそのセッションがハイジャックされてしまう。 「重要な情報さえ入れなければいいのだから」という認識で、オレオレ警告を無視して先を見に行ってしまうと、ログイン中のセッションをハイジャックされることになる。 今見ているのとは別のサイトへアクセスしようとしているのかもしれない さすがに、銀行を利用している最中でオレオレ警告が出たときに、興味本位で先に進む人はいないかもしれないが、銀行を利用した後、ログアウトしないで、別のサイトへ行ってしまった場合はどうだろうか。通常、銀行は数十分程度で強制ログアウトさせる作りになっているはずだが、その数十分の間に、通信路上の盗聴者により、
高木浩光@自宅の日記 - こんな銀行は嫌だ
■ こんな銀行は嫌だ 「こんな銀行は嫌だ――オレオレ証明書で問題ありませんと言う銀行」……そんな冗談のような話がとうとう現実になってしまった。しかも、Microsoftが対抗策を施した IE 7 に対してさえ言ってのけるという。 この原因は、地方銀行のベンダー丸投げ体質と、劣悪ベンダーが排除されないという組織の構造的欠陥にあると推察する。 【ぶぎんビジネス情報サイト】アクセス時に表示される警告メッセージについて ぶぎんビジネス情報サイトでは、サイトURL(https://www.bugin.cns-jp.com/)ではなく、ベースドメイン(https://www.cns-jp.com/)でSSLサーバ証明書を取得しております。このため、本サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心してぶぎんビジネス情報サイトを
高木浩光@自宅の日記 - ユビキタス社会の歩き方(5) [重要] 自宅を特定されないようノートPCの無線LAN設定を変更する
■ ユビキタス社会の歩き方(5) [重要] 自宅を特定されないようノートPCの無線LAN設定を変更する 昨日の日記を書いて重大なことに気づいたので、今日は仕事を休んでこれを書いている。昨日「最終回」としたのはキャンセルだ。まだまだ続く。 目次 Windowsの無線LANはプローブ要求信号として自動接続設定のSSIDを常時放送している Windowsの新たな設定項目「このネットワークがブロードキャストしていない場合でも接続する」をオフに Windowsの無線LANが放送するSSIDからPlaceEngineで自宅の場所を特定される恐れ 電波法59条について再び Windowsの無線LANはプローブ要求信号として自動接続設定のSSIDを常時放送している 昨日の日記の図3で、probe request信号の例としてSSIDが「GoogleWiFi」になっているものを使った。これは昨日キャプチャし
高木浩光@自宅の日記 - 最終回: PlaceEngineの次に来るもの そしてRFIDタグの普及する未来
■ 最終回: PlaceEngineの次に来るもの そしてRFIDタグの普及する未来 この日記を書き始めたいきさつは、2003年の春、RFIDタグのプライバシー問題について、何が問題なのかあまりに理解されないことに危機感を覚え、ひとつひとつ書いていこうと決意したことからだった。 当時いろいろな方とお話しした中で最も印象に残っているのは、日経デジタルコアのイベントの宴席の2次会で同じテーブルについてお話しする機会のあった泉田氏との議論だった。そのときのことは2003年7月4日の日記に記録がある。その泉田氏は現在の新潟県知事である。 泉田氏はこうおっしゃった。「プライバシーが問題になるとしたら、政府がRFID読み取り網を整備するようなことになったとき。そうでなければ無理。」 つまり、街中にRFID読み取り機が設置され、そしてそれがネットワークに接続されるような状況は、国などが敷設しない限りあり
高木浩光@自宅の日記 - 無線LANのMACアドレス制限の無意味さがあまり理解されていない
■ 無線LANのMACアドレス制限の無意味さがあまり理解されていない 職業マスメディアに代わって、ブログスタイルのニュースサイトが人気を博す時代になってきた。海外の話題を写真の転載で紹介する安直なニュースも人気だ。 このことろなぜか、無線LANのセキュリティ設定について書かれた記事を何度か見た。おそらく、ニンテンドーDSがWEPしかサポートしていないことが不安をもたらしている(そして実際に危険をもたらしている)ためだろうと思われる。 セキュリティの解説が増えてきたのはよいことなのだが、内容に誤りのあるものが少なくない。 実は危険な無線LAN, らばQ, 2007年10月21日 この記事には次の記述があるが、「接続されなければMACアドレスは盗まれない」という誤解があるようだ。 MACアドレスというのは、機器固有のIDのようなものです。たいていの無線LANアクセスポイントにはMACアドレスフ
高木浩光@自宅の日記 - ユビキタス社会の歩き方(3) 無線LANのSSIDを不用意に明かさない
■ デイリーポータルZ 記者の家を探しに行く 5月27日の日記「PlaceEngineのプライバシー懸念を考える」では次のように書いた。 つまり、家庭の無線LANアクセスポイントのMACアドレスを誰かに知られることは、住所を知られることに等しい。そのような事態をPlaceEngineサービス(および類似のサービス)が新たに作り出したことになる。 「MACアドレスは個人を特定するものではない」と言えるだろうか?もし、別のネットサービスで、何らかの目的で家庭の無線LANのMACアドレスを登録して使うサービスが始まったとする。そのサービスもまた、「MACアドレスから個人が特定されることはありません」と主張するだろう。このとき、PlaceEngineとこのサービスの両者が存在することによって、わからないはずの住所が特定されてしまう事態が起きてくる。 PlaceEngineなどのサービスが存在する現
高木浩光@自宅の日記 - 緑シグナルが点灯しないのに誰も気にしていない?という不思議, 追記
■ 緑シグナルが点灯しないのに誰も気にしていない?という不思議 フィッシング対策ソフトの導入動向 最近、金融機関が「PhishWall」や「PhishCut」を導入したというニュースをよく見かけるなあと思っていたら、どうやら、金融庁の監督指針の今年の改定でフィッシング対策について明記されたことが関係しているらしい。 主要行等向けの総合的な監督指針(平成19年6月版), 中小・地域金融機関向けの総合的な監督指針(平成19年8月版), 金融庁 III-3-7 インターネットバンキング III-3-7-2 主な着眼点 (2) セキュリティの確保 ホームページのリンクに関し、利用者が取引相手を誤認するような構成になっていないか。また、フィッシング詐欺対策については、利用者がアクセスしているサイトが真正なサイトであることの証明を確認できるような措置を講じる等、業務に応じた適切な不正防止策を講じている
高木浩光@自宅の日記 - 対策にならないフィッシング対策がまたもや無批判に宣伝されている, 追記(26日)
■ 対策にならないフィッシング対策がまたもや無批判に宣伝されている 「PCからオンライン取引、ケータイで認証」−ソフトバンクBBの新発想・認証サービス, Enterprise Watch, 2007年9月20日 「同サービスはまったく新しい認証の手段だ。暗号化技術にも依存しないので、クラッカーとのいたちごっこにもならず、これまでの認証の問題を一挙に解決することが可能。本当の意味でIT革命が起こせると期待できるサービスだ」と意気込みをあらわにしながら説明を行った。(略) 「PCを標的にしたハッキングやDoS攻撃を受ける可能性がゼロになる」(中島氏)。また、偽サイトとはシンクロしないため、フィッシング詐欺を100%防止することも可能だ。 ソフトバンクBB、携帯活用認証システムでWebサイトログイン対応に, ケータイWatch, 2007年9月20日 今回の新機能は、安全・簡便・低コストで、そう
高木浩光@自宅の日記 - ユビキタス社会の歩き方(2) ストーカーから逃れて転居したら無線LANを買い換える
■ ユビキタス社会の歩き方(2) ストーカーから逃れて転居したら無線LANを買い換える 5月27日の日記「PlaceEngineのプライバシー懸念を考える」では、「無線LANアクセスポイントのMACアドレスを知られると、住所を知られることになる」という状況が生じ始めていることついて書いたが、そのリンク元に、それがもたらす被害の具体例としてストーカー被害を挙げている方がいらした。同じことについて私なりに書いてみる。 ストーカーに自宅を特定されて付き纏いなどの被害に遭っている被害者が、ストーカーから逃れるために転居することがしばしばあるようだ。勤務先を特定されていない場合や、転居先がそこそこ遠方であれば、その対処が有効なのだろう。 しかし、無線LANが普及した現在、平均的な家庭には無線LANアクセスポイントの1台や2台は設置されているであろう。自宅を特定したストーカーは、自宅前で無線LANパケ
高木浩光@自宅の日記 - 現場でコピペしてるんだパート2 「CNETブログを封鎖せよ」
■ 現場でコピペしてるんだパート2 「CNETブログを封鎖せよ」 昨年10月、CNET Japanブログの一つに掲載されていた「時代にマッチした「サイト利用規約」を作ってみた」は、そもそも利用規約の形態になっていない上に、引用の方法を「blockquoteタグ推奨」と決め付けたり、引用元の明示方法に「直リンク」を強制するなど、他人の表現手法に指図しようとする悪例であり、そのことは昨年10月7日の日記「無思慮なサイト運営者が本来言わんとすることを利用規約の形式で書いてみた」で書いていた。その記事にはトラックバックを送っておいたが、著者の反応はなく、記事はそのままになっていた。その記事のはてなブックマークには、「これをこのままコピペする輩が続出の悪寒。blockquote推奨、とか。」といった懸念の声も出ていたが、その後も「お役立ち」などとしてブックマークされ続けており、最近でも数多く読まれて
高木浩光@自宅の日記 - 続・厚生労働省の脆弱性放置は何が問題とされているのか, 追記(11日), 追記(14日)
■ 続・厚生労働省の脆弱性放置は何が問題とされているのか 一昨日の日記の続き。結論から言うと、今日気付いた事実により、一昨日の最後の節「Sun Microsystemsの愚行」は取り消さねばならない。その問題は昨年既に解決されていた。したがって、電子政府でとるべき措置も明確になった。 目次 JREの脆弱性には2つのタイプがある 「電子申請システムを利用するにあたっては問題ありません」が嘘になる場合 JRE組み込みのアプリケーション開発という方法 Java Updateしても古いJREが消えない問題 ファミリバージョン指定という5.0 Update 7以降の機能 電子申請システムを安全かつ便利にするため今なすべきこと JREの脆弱性には2つのタイプがある まず、JREの脆弱性とは何かを確認しておく必要がある。JREの脆弱性には大別して2つのタイプがある。sandboxの柵が破れる脆弱性と、そ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
