■ なぜ一流企業はhttpsでの閲覧をさせないようにするのか 「かんたんログイン」などという似非認証方式は、たとえIPアドレス制限を実装したとしても安全でない。仕様が公開されていないからという点の他に、技術的な理由として、少なくとも次の2つがある。 「IPアドレス帯域」と俗称される重要情報が安全に配布されていない。 SSLを必要とするケータイサイトでは、通信経路上の攻撃によってなりすましログインされてしまう。*1 2番目には解決策がない。 1番目については解決策はあるだろうが、携帯電話事業者がサボタージュしていて、実現される見通しがない。これについては、2008年7月27日の日記にも書いたが、その後どうなったかを調べてみたところ、ソフトバンクモバイル以外は、何ら改善されておらず、当時のままだった。 NTTドコモ 「iモードセンタのIPアドレス帯域」のページをhttps:// でアクセスする

■ はてブiPhoneアプリでログインしてはいけない 昨日、iPhone OS用の、はてなブックマークアプリがリリースされたのだが、 はてなブックマーク for iPhone(アプリ版)を公開しました, はてなブックマーク日記 - 機能変更、お知らせなど, 2010年2月22日 これは、下の図のように、最初のトップ画面（左）は専用アプリが表示しているものの、どれかをタップして画面を進めると、それはアプリに埋め込まれた「内蔵ブラウザ」（Safari部品）によって表示されるようになっている（中央、右）。

まつもとより: メールを日常的に使うようになって以来、怪しげなメールには日常的に付き合わされてきました。個人的にいっていちばんひどかったのは2003〜2005年ごろで、この時期、私はセキュリティの甘い会社と仕事をしてい...［続きを読む］ ひとつ前のエントリで、知人のPさんを騙る詐欺メールが舞い込んだことを書きました。内容はよくあるものでしょせんは大量送信型の危険性の低いものでしたが、そのメールのスタイルがPさんそっくりにカスタマイズされていました。私はこれを見て、詐欺師がもう一歩進めるのは実に簡単なことだと感じました。内容まで踏み込んで個別のターゲットに合わせたメールを送ることが、過去メールを参照すれば容易にできるからです。詐欺師が「うっかり」を狙っているうちは、「うっかり」した行動さえとらなければ被害は防げます。「どこからどう見ても信じてしまう」ようなウソをつかれたら、お手上げです。

■ 警察庁は子供にハッキングを唆すのを止めるべき（パスワードを玩具にするな） 小６・中３ サイト侵入で補導, 朝日新聞 マイタウン徳島, 2010年2月19日 女児は「アバター」と呼ばれる自分の分身に、現金と交換する疑似通貨で服やペットを買って楽しむ会員制ゲームをしていて、他人のアバターの服（２２００円相当）を盗もうと計画。昨年１０月、徳島市の中学３年の女子生徒に「疑似通貨を増やすいい方法を教えてあげる」とネットを通じて持ちかけてＩＤとパスワードを聞き出し、不正にゲームに入ったとされる。 （略）女児は「いろんなアイテムがほしくて悪いことをした」と話しているという。 小学6年生の女子児童が不正アクセス禁止法違反で補導されたというニュースだが、今もこういう事件が起きているらしい。子供達は、何が悪いこととされたのか、本当にわかっているのだろうか。同じことは6年前にも書いたが、もう一度書いておく。

■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ

短縮URLサービスを提供する米bit.lyは11月30日(現地時間)、大手専業ベンダらと協力して今後数週間内にもスパムやマルウェアといったセキュリティ上の脅威に対抗する新サービス3種類を提供していくと発表した。Twitterブームで利用が拡大している同サービスだが、URL偽装が容易なこともあり、マルウェアやスパムの頒布に悪用されているという指摘がある。新サービス提供でさらなる利便性向上を狙う。 今回新たに提供されるのは、VeriSignの「iDefense IP」、Websenseの「Threatseeker Cloud」、Sophosの"振る舞い分析技術"の3つのサービス。iDefense IPはマルウェアの検知と排除を行うサービスで、URLやドメイン、IPアドレスを基に、マルウェアの仕掛けられたURLをブラックリスト化する。Threatseeker Cloudはアンチスパム対策技術の1

2010/02/02 アンチウイルス・ソフトウェア業界は、かつて音楽業界がMP3で経験したのと似た悪循環を抱えている。こう問題提起をするのはカスペルスキーのシニア・ウイルス・アナリストのマグヌス・カルカール氏だ。マルウェアを判定するための基本データとなる「シグネチャ」の無断コピーが新興のアンチウイルス企業の間で横行し、業界の健全性が損なわれているからだという。 かつてアンチウイルス・ソフトウェアの企業を立ち上げるには、膨大な技術投資や世界規模の配布、販売チャネルの構築が欠かせなかったが、今は非常に手軽にスタートできる。「安いサーバ、安いプログラマを探してきて、後はアンチ・ウイルスのスキャナを買って、PR会社に宣伝を頼めばおしまい」（カルカール氏）。ユーザーがアップロードするファイルをサーバ側で静的に解析する「オンデマンド型スキャンサービス」は、クラウドの中にあるので、利用しているソフトウェ

■ ノード数水増しは不適切な設計のクローラによる不慮の事故だった 前回の日記の件、大阪市立大学の研究実施責任者より連絡を頂いた。前回、可能性として、 誤報を誘発するためにノード数を水増しした何者かによる愉快犯 ――(A) 大阪市立大学の正当な研究用のWinnyクローラが、異常な設計になっているために引き起こされた、不慮の社会的混乱事故 ――(B) 大阪市立大学の研究の目的自体が、偽ノードを大量に発生させることによる何らかの実験（たとえば、通常のWinny利用を阻害する目的など） ――(C) の3つを挙げたが、(B)であるとのこと。大阪市立大学では、P2Pファイル共有ネットワークにおける検索キーワードの流行が時間的にどう変化するかを統計的に分析する研究を進めていて、統計的推定のためには、データの収集頻度を増やす必要があるということで、クローラをマルチスレッド化する改造を年末に行い、年始より稼

■ NHKまでもが「Winny利用が増え続けている」と誤報 いいかげんにしろ NHKが今日になってテレビでこんな誤り情報を流した。まことに遺憾。なぜ私に確認しない。Webでちょっと「winny 利用者」で検索するだけで信用できない情報とわかるじゃないか。 交換ソフト 利用者は依然多数, NHKニュース, 2010年1月27日 依然として２０万台以上に上っており、特にＷｉｎｎｙは、元日に少し減ったあと、利用が増え続けているということです。

少し前の話になりますが，半導体メーカーの品質保証部の方からニセモノの半導体を使ってロケットや航空機を墜落させるテロの話を伺いました。ニセモノの半導体は，刻印されたIDなどが正規品と全く同じで，初期テストでも正常に動作しますが，例えば一定時間経過後に発火するように細工が施されているそうです。航空機やロケットだけではなく，自動車やネットワーク機器なども狙われているとのことでした。また，テロほど深刻ではないかもしれませんが，安物のマイクロプロセサの刻印を高級グレード品のものに書き換え，高額で販売するといった手口も多いと聞きます。 こうしたニセモノの半導体への対策として，SEMI（Semiconductor Equipment and Materials International）は半導体のトレーサビリティ/セキュリティ技術を長年にわたって標準化してきました。最新の仕様である「T20」では，次の

そもそもこのサービスにとってCAPTCHAが何の意味をなすのか疑問*1だが、それはともかく、この部分のHTMLソースを見ると、画像のURLに答えが書かれている。（図2の「gifcat/call.php?SID=948545」） これでは何の意味もない。 これの目的がもし、他サイトからのリンクで検索させられる事態を防ぐためであるなら、画像なんか表示せず、直接INPUTフィールドに値を埋め込むようにしておけばいい話だ。*2 <input name="attestationkey" value="948545" type="hidden"> ちなみに、図2で示される画像のURLに直接アクセスしてみると、図3のように、リロードする毎に（同じ番号の）違う画像が現れる。何回か繰り返してみると、1つの数字あたり4種ほどの画像が用意されているだけだとわかる。 背景のノイズのようなものも、動的に生成されてい