高木浩光@自宅の日記 - 朝日新聞の記事を真っ当な内容に書き直してみた
■ 朝日新聞の記事を真っ当な内容に書き直してみた 朝日新聞の 強力ウイルス、ネット銀行標的 「感染なら防御策なし」, 朝日新聞, 2008年3月3日 という記事のことが、スラッシュドットジャパンで「意味不明だ」と話題になっていた。 朝日新聞の「感染なら防御策なしの強力ウイルス登場」報道を理解できますか? , スラッシュドットジャパン, 2008年3月5日 まあ、朝日新聞のIT記事にしては良い出来ではないか。肝心の要点である以下の部分はきちんとおさえられていたから、私には何の話か理解できた。 ユーザーが振り込みをしようとすると、気付かないうちに振込先がウイルス作成者の口座に書き換えられ、振込金をかすめ取られるなどの被害を受けることになる。 しかし、この点がなぜ重要なのか、それが伝わらない記事だったのだろう。 このマルウェアが危険視される理由は、銀行側がこれまでにとってきた「二要素認証」の導入
高木浩光@自宅の日記 - 「nwitter」の違法性について考えてみる
■ 「nwitter」の違法性について考えてみる ウェブメールのアドレス帳を勝手に使って参加させようとするSNS「Tagged」について, GIGAZINE, 2008年2月13日 この「Tagged」はよくあるふつうのSNSなのですが、参加する際になぜかウェブメールのログイン情報(メールアドレスとIDとパスワード)を入力させられるという仕様になっており、その際の情報を使って「Tagged」運営側が勝手にウェブメールにログイン、アドレス帳に記載されている友人全員に「Tagged」への招待メールを送りつけるというとんでもないことをしているようです。 の件が再び話題になっていた。これは、 ウイルス的SNS、Webメールのアドレス帳からスパム送信, ITmediaニュース, 2007年04月10日 GoogleのGmail、MicrosoftのHotmail、Yahoo! MailなどのWebメ
高木浩光@自宅の日記 - Winny媒介型ウイルスの放流元を追跡してみた, 追記
ウイルスは .zip ファイル内に潜んでいることも多いことから、拡張子偽装だけ調べてもウイルス全般の調査にはならないが、ここではひとまず拡張子偽装されたファイルについてだけ調べることにした。 まず、時刻順に並んでいるキーのダンプから、ファイル名に「 .」を含むものだけ抽出しながら、ファイルのハッシュID(Winny用語で言うところの「ハッシュ値」)毎に、そのキーを送信してきたWinnyノードを出現順にシリアル番号を振りながら転記することで、データを整理した。 たとえば、2007年1月1日に最初に観測*2した拡張子偽装ファイルのハッシュIDは「%09fdce1365df9fc28dd921faXXXXXXXX」であったが、このIDについての観測記録の冒頭は次のようになっている。「X」は伏字であり、1行目にはファイル名を記載しているがここでは省略している(「tail +2」)。
高木浩光@自宅の日記 - Wikipedia ∩ Winny で何が判るか
■ Wikipedia ∩ Winny で何が判るか 毎日新聞の朝刊にこんな記事が出た。 原田ウイルス、ウィキペディアに項目 自ら作成し更新?, 毎日新聞, 2008年1月27日 容疑者(24)が、インターネット上の百科事典「ウィキペディア」日本語版に、同ウイルスの項目を自ら作成していた可能性が高いことが26日、分かった。「ウイルス対策ソフトには全く対応していない」と、性能を誇るような文章を書き込むなど、更新も頻繁にしていたとみられる。府警もこの事実を把握。 (略)容疑者が匿名で開設したホームページ(HP)「P2P−DESTROYER」に関する項目もほぼ1人で書き込んでいた。 調べてみた。 まず、「原田ウイルス」のエントリの変更履歴から、初版の内容を見ると、次などの文が気になる。 山田ウィルスの亜種なのではなかという噂があったが、実際は山田ウィルスとは全く別物といえる。 山田ウィルスと同様
高木浩光@自宅の日記 - 「ウイルス作成罪」はこうしてほしい / 国会提出刑法改正案の趣旨
■ 「ウイルス作成罪」はこうしてほしい / 国会提出刑法改正案の趣旨 「ウイルス作成罪」という言葉は誤解を招くようなので、国会提出法案での名称「不正指令電磁的記録に関する罪」あるいは、「ウイルス」の代わりに「不正指令電磁的記録」を用語として使用していきたいところだが、Web検索上の便宜のため今回はタイトルは「ウイルス作成罪」とした。以下では同じものを指すものとする。 ウイルス作者の逮捕 さて、ウイルス作者が著作権法違反で逮捕されるという事態になった。24日に読売新聞の取材を受け、コメントが以下のように掲載された。 院生逮捕 ウイルス野放し、作成に法規制なし 法令駆使し摘発/京都府警, 大阪読売新聞, 2008年1月24日夕刊 (略) ウイルス被害が広がる中、法務省は2004年、ウイルスの作成・所持を罰する「ウイルス作成罪」を盛り込んだ刑法等の改正案を国会に提出。しかし、同法案に盛り込まれた
高木浩光@自宅の日記 - 脆弱性情報公表の自由 〜 コントロールを取り戻せ
■ 脆弱性情報公表の自由 〜 コントロールを取り戻せ 今日は日弁連のシンポジウムでいつもの話をしてきた。明日からSCIS 2008に行く。 ところで、先週、次のブログエントリが話題になっていた。 JPCERT/CCとの「脆弱性情報ハンドリング」の記録, DSAS開発者の部屋, 2008年1月17日 私は「脆弱性研究会」の委員を務めているから内部の人と思われるかもしれないが、現場の業務に携わっていないし、研究会の席でもJPCERT/CCが製品開発者とどんなやりとりをしているかはあまり聞かされないので、上のような事例の公表はたいへん参考になる。 これを拝見して気になったのが次の点だ。 JPCERT/CCが脆弱性情報をハンドリングすることの目的は「脆弱性関連情報を必要に応じて開示することで、脆弱性情報の悪用、または障害を引き起こす危険性を最小限に食い止める」ことにあるため、三者が足並みを揃えて向
高木浩光@自宅の日記 - 古い手書きメモが出てきた
■ 古い手書きメモが出てきた 実家の蔵の整理中、大量のゴミ書類の中に、懐かしい手書きのメモをいくつか見つけた。 これはおそらく初めて自作したプログラム。たしかにN-BASICで動かしていた記憶がある。内容は、乱数で決められた4つの数字(同じ数字を含まない)を秘密として、これを当てる目的で4桁の数字を入力させ、桁位置まで合っているものが何個(○ヒット)で、位置は合っていないが含まれているのが何個(○ボール)というヒントを表示し、4ヒットになるまで繰り返し、かかった回数と時間を表示するというもの。(そんな玩具があったよね。色を当てるものだったか。) この時、配列の概念を知らないで書いていたのがわかる。桁数を任意にしようとすると破綻するという、誰もが通るはずの経験。冒頭の、乱数で4つの重ならない数字を作り出すループの書き方も下手クソだ。おそらく1981年。
高木浩光@自宅の日記 - 往年の愛読誌に読み耽る
■ 往年の愛読誌に読み耽る 一昨日の続き。PC-8801mkIIは動いた。ディプレイが見当たらなかった(何を使っていたかさえ思い出せない)が、PC-9801M用に使っていたPC-KD851が接続できるようだったので繋いでみたら動いた。ディップスイッチの切り替えが必要だったので、これを使っていたわけではないようだ。PC-8801mkIIをいつ買ったのかも思い出せない。 フロッピーディスクがなぜか1箱しか見つからない。とりあえずそれを挿して電源を入れてみると、「Sn88-DOS」「Disk Operating System for EDAS」とかいう文字が。駄目だ、覚えてない。S-DOSを使っていた覚えはあるが、Sn88-DOSって何だっけ? EDASはアセンブラだっけか。コマンドが全然わからなくて何もできない。 懐かしくて読みふけってしまった。なぜか一部がなくなっている。1981年4月号がな
高木浩光@自宅の日記 - 「ダウンロード違法化」で漏洩情報のWinny流通を抑止できるか
■ 「ダウンロード違法化」で漏洩情報のWinny流通を抑止できるか 11月の情報ネットワーク法学会大会の個別発表で、「匿名ファイル交換ソフトで違法複製物をダウンロードした者の法的責任」というご発表があった。その際に私は質問をしたのであるが、その意味するところは聴衆の方々にもわかりにくいものだったと思われるので、その趣旨をここに書き留めておくことにする。その前に、その考察に至る背景から。 「ダウンロード違法化」を望むのは権利者だけではない いわゆる「ダウンロードの違法化」、つまり、違法複製物又は違法配信からの録音録画を著作権法30条の適用対象外とする著作権法改正に向けた文化審議会著作権分科会私的録音録画小委員会の検討は、昨今の反対派の論調では単純に「権利者(流通業者)の横暴」とみなされているようだが、私には、それとは別の動機によって(を伴って)推進されているように感じられる。 それはつまり、
高木浩光@自宅の日記 - はてなブックマークを禁止する技術的方法, 追記, 追記2 (23日)
■ はてなブックマークを禁止する技術的方法 ある属性を持つ人々にとって、はてなブックマークは、必要な情報源を巡回するための効率的なツールとなっている。もはや「はてブ」されない記事は存在しないのも同然となってしまている人もいるかもしれない。ソーシャルブックマークサービスはなにも「はてな」だけではないのだが、事実上「はてな」が独占状態にあり(少なくとも一部の分野においては)、「はてなブックマーク」でないと情報源となり得ない状況になっている。この状況はアーキテクチャ的に望ましい状態ではないと思うが、しかたない。 そういう中で一つ問題がある。情報セキュリティの話題を追いかけるには「セキュリティ」タグを見ていればよいわけだが、ここに「JVN」のエントリが出てこない。 JVNの認知度が高まらないのにはいろいろな要因があって、JVNのサイトデザインが最悪だ(ユーザビリティを何も考えていない)という問題も
高木浩光@自宅の日記 - 一太郎Zero-day攻撃発覚経緯の謎 ―― 非国民は誰?
■ 一太郎Zero-day攻撃発覚経緯の謎 ―― 非国民は誰? 目次 一太郎zero-day攻撃発覚経緯の謎 Symantecは脆弱性分析のプロではない 日本人Symantec社員は非日本国民か 非国民は誰? ジャストシステム社も経済産業省告示を無視? 現行の届出制度はzero-day攻撃に対応していない 一太郎zero-day攻撃発覚経緯の謎 先週こんな報道があった。 一太郎の脆弱性を狙う新たな攻撃、集中的に狙われているとSymantecが警告, INTERNET Watch, 2007年12月14日 またか。 「また一太郎か」という意味ではなく、「また Symantec か」という意味でだ。 一太郎関連製品のバッファオーバーフロー系の脆弱性はこれまでに8回見つかっており、うち3回は、攻撃に悪用される前にIPAとJPCERT/CCを通じて事前に修正されたもの(JVN#90815371,
高木浩光@自宅の日記 - EZwebブラウザの「お気に入り登録」は偽サイトを見分ける手段にならない
■ EZwebブラウザの「お気に入り登録」は偽サイトを見分ける手段にならない 6月6日の日記「Upcoming Advisories」で書いていた、脆弱性届出「IPA#45031375」*1*2の件について、製品開発者がFAQとして事実を公開し、IPA#45031375 は11月26日に取り扱い終了となった。 EZwebで表示中のページのURLを確認する方法はありますか?, KDDI, よくあるご質問/お問い合わせ, 公表日不明*3 質問: EZwebで表示中のページのURLを確認する方法はありますか? 回答: 確認方法はございません。 なお、お気に入り登録時にURLが表示されますが、そのURLはサイト提供者が任意に指定することができるため、必ずしも閲覧中のサイトと一致しない場合があります。 PCサイトビューアーの場合、「メニュー」から「ページ情報」で確認が可能です。 FAQには掲載された
高木浩光@自宅の日記 - こんな銀行は嫌だ
■ こんな銀行は嫌だ 「こんな銀行は嫌だ――オレオレ証明書で問題ありませんと言う銀行」……そんな冗談のような話がとうとう現実になってしまった。しかも、Microsoftが対抗策を施した IE 7 に対してさえ言ってのけるという。 この原因は、地方銀行のベンダー丸投げ体質と、劣悪ベンダーが排除されないという組織の構造的欠陥にあると推察する。 【ぶぎんビジネス情報サイト】アクセス時に表示される警告メッセージについて ぶぎんビジネス情報サイトでは、サイトURL(https://www.bugin.cns-jp.com/)ではなく、ベースドメイン(https://www.cns-jp.com/)でSSLサーバ証明書を取得しております。このため、本サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心してぶぎんビジネス情報サイトを
高木浩光@自宅の日記 - 一太郎plug-inをIEとFirefoxで無効に 〜 ジャストシステムは本当の脅威を教えてくれない
■ 一太郎plug-inをIEとFirefoxで無効に 〜 ジャストシステムは本当の脅威を教えてくれない 目次 ワープロソフトの「脆弱性」とは? ゼロデイ攻撃に見舞われ続ける一太郎 「危険度:低」って正気で言ってるの? パソコン初心者並みの認識のソフト会社 「攻撃成立に必要なユーザの関与」は「積極的」か「消極的」か 知られざる一太郎ビューアplug-inの存在 受動的攻撃がもはや最大級の脅威 ジャストシステムは回答を拒否 製品ベンダーが発表しなければ危険性を周知できない 発見者の指摘があっても無視 メディアはJVN情報を伝えるときどうして発見者に取材しないの? plug-inを無効にする方法 ワープロソフトの「脆弱性」とは? 先週、新たな一太郎の脆弱性と修正パッチが公開された。「一太郎の脆弱性」と聞いて、どんなときに危険のある話だと理解されるだろうか。ジャストシステム社の告知文には次のよう
高木浩光@自宅の日記 - ユビキタス社会の歩き方(3) 無線LANのSSIDを不用意に明かさない
■ デイリーポータルZ 記者の家を探しに行く 5月27日の日記「PlaceEngineのプライバシー懸念を考える」では次のように書いた。 つまり、家庭の無線LANアクセスポイントのMACアドレスを誰かに知られることは、住所を知られることに等しい。そのような事態をPlaceEngineサービス(および類似のサービス)が新たに作り出したことになる。 「MACアドレスは個人を特定するものではない」と言えるだろうか?もし、別のネットサービスで、何らかの目的で家庭の無線LANのMACアドレスを登録して使うサービスが始まったとする。そのサービスもまた、「MACアドレスから個人が特定されることはありません」と主張するだろう。このとき、PlaceEngineとこのサービスの両者が存在することによって、わからないはずの住所が特定されてしまう事態が起きてくる。 PlaceEngineなどのサービスが存在する現
高木浩光@自宅の日記 - 厚生労働省の脆弱性放置は何が問題とされているのか
■ 厚生労働省の脆弱性放置は何が問題とされているのか 目次 今回の報道 過去の経緯 何が問題なのか 本当に動かなくなるのか 内閣官房に期待すること 新たな問題(Sun Microsystemsの愚行) 今回の報道 先週、NHKが、厚生労働省の電子申請システムのセキュリティ上の問題点を取り上げていた。 NHKニュース「厚労省 欠陥ソフトを放置」, 2007年7月5日 ニュース7 厚生労働省はホームページ上で特定のコンピューターソフトを提供していますが、このソフトには重大な欠陥があり、利用者がパソコンの情報を盗まれるおそれのあることがわかりました。(略) 厚生労働省は、こうした情報を把握できず、5か月以上にわたって、欠陥が修正された最新のソフトに切り替えたり、利用者に注意を呼びかけたりするなどの対策をとっていませんでした。 NHKニュース「厚労省 欠陥ソフト提供中止」, 2007年7月6日 お
高木浩光@自宅の日記 - 「ガラパゴス携帯のパラダイス鎖国」をWebの技術面から見る
■ 「ガラパゴス携帯のパラダイス鎖国」をWebの技術面から見る ワンクリック不当請求が問題となり携帯電話事業者各社が「お知らせ」を発表した2004年夏、8月29日の日記で総務省の「次世代移動体通信システム上のビジネスモデルに関する研究会」について少し触れた。実はもっと詳しく書くべき興味深い内容があったのだが、あまり言うのもいやらしい(せっかく解決に向けて動いて頂いているようなのに)という事情が当時はあったため、その後何もしていなかった。いまさらではあるが、これについて書き留めておく。 2000年に旧郵政省が「次世代移動体通信システム上のビジネスモデルに関する研究会」を開催していた*1。2001年に総務省情報通信政策局が報告書を公表している。 第1回 議事要旨, 郵政省, 2000年7月 第2回 議事要旨, 郵政省, 2000年9月 第3回 議事要旨, 郵政省, 2000年12月 第4回 議
高木浩光@自宅の日記 - EZwebサイトでSession Fixation被害発生か?, サブスクライバーIDをパスワード代わりに使うべきでない理由
■ EZwebサイトでSession Fixation被害発生か? au booksでの事故 意図的な攻撃でなく偶発的な事故なのかもしれないが、auの公式サービス「au books」のEZwebサイトで、Webアプリケーションの脆弱性が原因の情報漏洩事故が起きたようだ。 顧客情報漏えい:書籍販売サイト「au Books」で, 毎日新聞, 2007年6月26日 ゲーム攻略本(1冊1890円)の紹介サイトからアクセスし、その攻略本を買おうとすると、他の顧客の氏名、住所、電話番号、生年月日、会員パスワードが表示された。そのまま購入手続きをとると、他の顧客が購入したことになってしまうという。 au携帯電話におけるオンライン書籍販売サイト「au Books」におけるお客様情報の誤表示について, KDDI, 2007年6月26日 1. 発生事象 本年6月22日20時37分から23日18時45分までの間
高木浩光@自宅の日記 - ファイル交換/共有ソフトの分類の必要性
■ キンタマコレクターは約1000人もいるらしい 先週の白浜シンポジウムでは、夜の部で様々な情報を耳にした。驚愕の事実もいくつか聞いたが暗黙にオフレコ前提なのでここに書くということはできそうにない。 ネットエージェントの杉浦社長からも興味深い話を何点か聞いた。いわゆる「キンタマコレクター」(キンタマウイルスにより漏洩させられたファイルを収集し続けているWinnyノード)は、約1000人(ノード)との観測結果(2日間での観測)があるのだそうだ。 キンタマコレクターには2つのタイプがあり、ひとつは、普通のWinnyを使って流出ファイルを手当たりしだいに自動ダウンロードしている者――(A) で、もうひとつは、OpenWinnyやその他の自作と思われるダウンロード専用Winnyプロトコル互換プログラムによるダウンロードをしている者――(B) であるが、この約1000という数値はこれらの両方を含む。
高木浩光@自宅の日記 - PlaceEngineのプライバシー懸念を考える, 追記(29日), 追記2
■ PlaceEngineのプライバシー懸念を考える PlaceEngineが研究実験の段階を越えて商用サービスとして提供開始されているということで、「みんなの地図2」を購入した。使用してみて、想像以上に実用になるものであることを知った。東京の都心で試したところ、たいていの場所でかなりの精度で場所を特定してくれる。 「みんなの地図2」に付属のPlaceEngineクライアントは、ローカル(UMDもしくはメモリスティック)に保存されたデータに基づいて位置を計算するようになっているが、Windows用のPlaceEngineクライアントは、インターネット経由でサーバに位置の計算を問い合わせるようになっている*1。そのため、ノートPCでもネットがつながってさえいれば、GPSがなくても位置を調べることができ、それはとても興味深い機能であり、今後の応用が楽しみなシステムだと感じた。*2 しかし、この
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
