高木浩光@自宅の日記 - ウイルス罪新設の刑法改正でWinny媒介型暴露ウイルスの被害を激減できる
■ ウイルス罪新設の刑法改正でWinny媒介型暴露ウイルスの被害を激減できる 昨日の日記(追記あり)では、ウイルスの放流元(つまり、おそらくはそのウイルスの作成者)を特定できるかを調べてみたが、実は、放流元が誰であるかということはあまり重要なことではない。なぜなら、国会に提出されている「不正指令電磁的記録等の罪」を新設する刑法改正案では、作者でなくても、他人に実行させる行為も作者と同等に処罰するものとしている(不正指令電磁的記録供用罪、3年以下の懲役又は50万円以下の罰金)からだ。 改正案の刑法 第19章の2 不正指令電磁的記録に関する罪 (不正指令電磁的記録作成等) 第168条の2 人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。 一 人が電子計算機を使用するに際してその意図に沿うべき
sakichan.org - sakichan リソースおよび情報
sakichan.org は、あなたがお探しの情報の全ての最新かつ最適なソースです。一般トピックからここから検索できる内容は、sakichan.orgが全てとなります。あなたがお探しの内容が見つかることを願っています!
ITmedia エンタープライズ:PC世界のリフォーム詐欺、「ミスリーディングアプリ」って何だ? (1/5)
この1年で新たなセキュリティリスクとして急速に注意が呼び掛けられるようになった「ミスリーディングアプリケーション」。その手口と対策を探る。 この1年、新たなセキュリティリスクとして「ミスリーディングアプリケーション」について注意が呼び掛けられるようになった。ミスリーディングアプリケーションは、「詐欺的ソフトウェア」「偽セキュリティ対策ソフトの押し売り」などとも呼ばれているが、いったいどんな手口なのだろうか? そして、「お小遣い稼ぎ」の手段として広く知られるようになったアフィリエイトプログラムとは、どんな関係があるのだろうか? この記事では、実際の画面を用いながら、その手口と危険性について説明していこう。 PC世界の「リフォーム詐欺」 ミスリーディングアプリケーションのことを一般の人にも分かりやすく説明するとすれば、「インターネットを使った『リフォーム詐欺』のようなもの」だと言える。リフォー
高木浩光@自宅の日記 - ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。am/pmで使ったEdyは渡さない。
■ ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。am/pmで使ったEdyは渡さない。 高度ユビキタス化社会の到来は、プライバシーを守ろうとする人々のリテラシーをこうもややこしくする。一昨年書こうと思って準備したもののその後放置していた話を以下に書く。 2004年7月11日の日記に書いていたように、コンビニエンスストアのam/pmには、club apという会員サービスがある。am/pmで販売されているEdyカードには図1のように、club ap用の「仮パスワード」を記した紙が同封されている。 このサービスで特徴的なのは、「Edyご利用実績」という、am/pmでの買い物履歴を閲覧できるというものである。 一度メンバー登録すると、以後IDを使って、 Edyの決済やチャージの記録とお買い上げ品の明細がウェブ上で閲覧できます。小づかい帳、経費管理に、家計簿にと、便利な機能です
大西 宏のマーケティング・エッセンス: 【警告】Googleカレンダーで情報流出?
2006年10月03日09:06 【警告】Googleカレンダーで情報流出? カテゴリインターネット kinkiboy Comment(12)Trackback(10) 無防備な人が多いには驚きます。Googleカレンダーで、まるでソーシャルブックマークみたいに公開設定をしている人が何人もいます。実に詳細な仕事のスケジュールが公の場にさらされており、このことを私どもの会社のスタッフが気づき、ぜひこのブログで警告してあげて欲しいというリクエストがありました。 見てみると、その人の所属する会社、どのような仕事をしている人かだけでなく、取引先の会社や仕事内容までわかってしまうものがありました。このことが取引先に知れたら信用問題になるでしょうし、関係者が見れば大変な情報でしょう。わかる人が見れば進行しているプロジェクト内容も推測できます。人がどのように動いているのかはトップシークレットのひとつであ
高木浩光@自宅の日記 - 刑法18章の2「支払用カード電磁的記録に関する罪」は何のためにある?
■ 刑法18章の2「支払用カード電磁的記録に関する罪」は何のためにある? ETC車載器付け替え、料金詐欺で運転手を逮捕, 読売新聞, 2006年9月17日 埼玉県警は17日、(略)を電子計算機使用詐欺の疑いで逮捕した。 というニュースを見て、けったいな刑法学者さまの7月のエントリを思い出した。 平成13年の刑法改正により、支払用カード電磁的記録に関する罪(163条の2ないし163条の5)が新設されました。これにより「支払用カード」の不正作出、供用、譲渡,貸し渡し、輸入、所持、不正作出の準備等が処罰されることになりました。 (略)SuicaやEdyも、電磁的記録を構成部分とする支払用カードです。 では、モバイルSuicaやおサイフケータイは、本罪の対象となるのでしょうか。 携帯電話は「カード」か?, 続・けったいな刑法学者のメモ, 2006年7月21日 けったいな法学者さまはこの続きで、刑法
窓の杜 - 【NEWS】MS、Word文書に電子的な“墨塗り”を施せる「Word 2007」用アドオンを公開
米Microsoft Corporationは8日、Word文書に電子的な“墨塗り”を施して情報漏洩対策を支援する「Microsoft Office Word 2007」(以下、Word 2007)用アドオン「Microsoft Office Word 2007 Redaction Add-in」のBeta版を無償公開した。動作にはWord 2007のBeta 2 Technical Refresh版(以下、Beta 2 TR)と.NET Framework 2.0が必要。なおWord 2007 Beta 2 TRを含むOffice 2007 Beta 2 TRの入手方法については、下記URLにある本日の記事を参照してほしい。 Word文書をメールやWebサイトなどで配布する際、文書内の一部に含まれる機密やプライバシーに関わる情報を隠したいことがある。このとき、文字と同色の“マーカー”機能
高木浩光@自宅の日記 - 高度に発展したユビキタス社会ではアクセス制御機能が電気通信回線を通じたものか見分けがつかない
■ 高度に発展したユビキタス社会ではアクセス制御機能が電気通信回線を通じたものか見分けがつかない 6日の日記「ログアウトし忘れのブラウザをそうと知りつつ操作するのは不正アクセス行為に該当するか」の、 「入力」は、ここでは、電気通信回線を通じて対象となる特定電子計算機に他人の識別符号を送信することを意味しているから、他人の識別符号を送信する方法として、一々キーボードを操作することは必ずしも必要ではなく、パソコンのインターネット接続ボタンを押す、識別符号が記録されているICカードを差し込むなどにより、自動的に識別符号を送信するコンピュータの機能を用いて入力することも含まれる。 不正アクセス対策法制研究会編著, 逐条 不正アクセス行為の禁止等に関する法律, 立花書房, p.75 を前提とした続き。 メール盗み見事件 京都市職員を容疑で書類送検, 京都新聞, 2006年9月8日 というニュースが出
「自分だけは大丈夫」,セキュリティ対策を妨げる「正常化の偏見」
現在では,専門誌やITニュース・サイトに限らず,一般誌/紙や通常のニュース・サイトなどでも,コンピュータ・セキュリティの重要性を解説することが増えている。それにもかかわらず,一般ユーザーの多くは,セキュリティに対して無関心のように思える。 その理由としてよく聞かれるものの一つが,コンピュータ・ウイルスなどの被害に遭ったとしても,身体に危害が及ぶことはないからということ。あるベンダーの方は,セキュリティ対策を一切施さないユーザーから,「本物のウイルスとは異なり,コンピュータ・ウイルスに感染しても寝込むことはない。何かあったらOSを再インストールすれば済むこと」と言われて,言葉に詰まったという。 筆者も,「被害に遭ったとしても致命的なことにはならない」と思っていることが,一般ユーザーの多くがセキュリティ対策に無関心であることの大きな理由の一つだと考えていた。しかし,最近ある講演を聞いて,たとえ
高木浩光@自宅の日記 - サイボウズが再び「闇改修」をしたので電話で抗議したが無駄骨だった
■ サイボウズが再び「闇改修」をしたので電話で抗議したが無駄骨だった 結果を先に言うと、サイボウズ社はセキュリティポリシーによって、(アカウントを持つユーザからしか攻撃され得ないなどの)危険な状況が少ない脆弱性については告知するが、第三者から攻撃され得る脆弱性については告知しない(更新履歴やFAQには書いておくが積極的に知らせることをしない)という方針で、今回も、過去もそうしてきたし、今後もそうしていくつもりなのだという。 複数のサイボウズ製品にセキュリティ・ホール,情報漏洩などの恐れ, 日経IT Pro, 2006年8月28日 (1)は,細工が施されたリクエストを送信されると,公開を意図していないファイル(公開用フォルダに置いていないファイル)を表示してしまうセキュリティ・ホール(略) (2)は,Office 6に関するセキュリティ・ホール(略)。細工が施されたリクエストを送信されると,
高木浩光@自宅の日記 - 飾りじゃないのよCAPTCHAは 〜前代未聞のCAPTCHAもどき, CAPTCHA機能の発注仕様をどうするか
■ 飾りじゃないのよCAPTCHAは 〜前代未聞のCAPTCHAもどき CAPTCHA*1が基本的に荒らし対策目的で使用されるものであることは以前にも書いた。ユーザビリティの犠牲が少ないものは早いうちに破られるし、改良してもイタチごっこになることも目に見えている。それでもなお活用する意義があるのは、使用目的が荒らし対策だからだ。新規ユーザ登録や、ログインなしでできるコメントやトラックバックなど、元々自由に利用させる機能である限り、完全に防ぐことはできないのであり、たとえ将来破られる可能性があろうとも何もしないよりはましだというわけだ。(荒らしがよりハードルの低いところへ行ってくれることを期待できる。) そのようなCAPTCHAは、日本ではあまり普及していないようだ。荒し行為が英語圏での状況ほど深刻なものになっていないためか、あるいは、イタチごっこになることが目に見えている技術の採用を嫌う国
高木浩光@自宅の日記 - 公務員研修で体験させておくべき演習 「蛍光ペンで墨塗り」の巻, 追記(8月6日)「折り返し」機能を無効に?
■ 公務員研修で体験させておくべき演習 「蛍光ペンで墨塗り」の巻 隠したはずの個人情報丸見え 千葉市教委のホームページ, 朝日新聞, 2006年8月1日朝刊 HP墨塗り情報、丸見え 千葉市教委が謝罪, 朝日新聞, 2006年8月2日朝刊千葉版 同市は02年末、システムからの情報漏洩(ろう・えい)などを防ぐため「情報セキュリティポリシー」を作り、対策を進めてきた。(略)市のHPを担当する情報政策課の(略)課長補佐は「(今回の問題を)31日夜に聞いたときは正直驚いた。さらなる注意を職員に呼びかけていくしかない」とショックを隠さなかった。 という報道が出ている。この種の事故については2003年7月29日の日記にも書いていた。そのときは「フォントの背景色を黒にした」?と書いていたが、Microsoft Wordの「蛍光ペン」機能を黒色で使ったのではないかと予想した。当たりだった。 千葉市教委HP「
USBメモリを用いたソーシャル・エンジニアリング
ソーシャルエンジニアリングの第一歩は、「組織内の人に化けること」にある。イーサン・ハントみたく化けの皮を被る必要もない。もっと重要なのは、機密ではないが、組織内の人しか知りえないような情報を知っていること。例えば座席表やビルドサーバの名前だとか。 ひとたび組織内の人に化ける情報を得たならば、攻略はぐっと楽になる。「欺術」を参考に潜入を進めることができる(ホントにやっちゃダメよ)。ここでは、USBフラッシュメモリを使って最初のハードルを効率的に超える方法を考えてみよう。 オフィスの受付窓口の片隅や、社員食堂(外の人も入れる)の廊下でUSBメモリを拾ったら、どうするよ? USBメモリなんてありふれているし、最近じゃオサレな奴やカワイイ系まで出回っているぐらいだ。誰かが落としたんだろうな… で、何が入っているのだろうか? で、自分のPCに挿してみる…が、すぐに覗けない。それぐらい知ってるって、し
隠したつもりが--AT&T、NSA監視プログラム訴訟でうっかり情報公開
AT&Tが米国政府の盗聴活動に協力したとする訴訟において、同社を担当する弁護士が隠したつもりの情報を誤って公開してしまった。 AT&Tの弁護士は先週25ページの文書を裁判所に提出した。同社はこのうち3ページにわたる箇所を太い黒線で塗りつぶし、読めないようにしたつもりでい(PDFファイル)た。 ところが、Apple ComputerのMac OS Xの「Preview」や、X Window Systemで使用されている「Xpdf」ユーティリティといった一部のPDF読み取りソフトを使えば、この黒塗り箇所をコピー&ペーストできる。 黒塗り箇所には、AT&Tがサンフランシスコ中心街の交換センターにインターネットと電話のトラフィックを監視するための秘密部屋を設置していると言われる理由が懇切丁寧に書かれている。2006年1月にこの集団訴訟を起こした電子フロンティア財団(EFF)は、この部屋が国家安全保
■ - hoshikuzu | star_dust の書斎
■CSSXSS脆弱性よりもっとヤバイ脆弱性がIEに発見されたようですね そのうち整理され、まとまった情報が日本語で出ることでしょうけれど。とりあえず。 Secunia - Advisories - Internet Explorer "mhtml:" Redirection Disclosure of Sensitive Information Secunia - Internet Explorer Arbitrary Content Disclosure Vulnerability Test CSSXSS脆弱性と同じ方向性のIEの脆弱性が発見され、実証コードがSecuniaでデモンストレーションされています。 このことによりログイン中の本人でないと閲覧できないはずの情報が、罠ページを踏むことで悪意ある者に盗まれます。セッション管理にも影響あり。最悪乗っ取りまで考えられるかも… mhtml
「ボットネットを“飼って”みました」,Telecom-ISAC Japan
Telecom-ISAC Japanの企画調整部副部長である小山覚氏は4月26日,「RSA Conference Japan 2006」の講演で,「ボットネット」を実際に運用することで判明した調査結果を公開した(写真1)。 小山氏らはインターネットでボット「rxBOT」のソース・コードを入手して,検証ネットワーク内にボットネットを自作した。その上で,ボットネットの命令伝達体系やサーバー攻撃手法などを調査した。小山氏は「最近のボットネットは,使い勝手も良く機能も豊富で,非常に洗練されている。真剣に対策を講じなければならない」と訴えた。 Telecom-ISAC Japanは,国内の通信事業者やISPで構成するセキュリティ組織である。小山氏はボットネットを自ら運用した背景について,次のように語った。「去年までは,ボットネットの管理者(Herder)からボット(ボット・プログラムに感染して乗っ取
「Winny」の次は「Share」--毎日新聞、関係会社から6万5690人分の個人情報流出
毎日新聞社は4月27日、関係会社「毎日開発センター」が運営していた会員組織「毎日フレンド」の会員約6万5000人分の個人情報が流出していたことを発表した。調査の結果、毎日開発センター社員の個人用パソコンに保存されていた会員名簿が、ウイルス感染によってPtoPソフト「Share」を介して流出した。 流出が確認された個人情報は、毎日フレンドの会員6万5690人の氏名、住所、電話番号、生年月日、趣味など。また、流出したファイルには毎日新聞東京本社管内約2200件の店名、住所、電話番号などの販売店データも含まれていた。なお、毎日フレンドは2006年3月でサービスを終了しており、今回流出した会員情報は2005年10月時点のものであるという。 毎日新聞社や関係会社では、個人情報保護について内規を設け徹底しており、ファイル交換ソフトについても2006年春から使用を禁止していた。しかし、この社員は自宅の個
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://neta.ywcafe.net/000678.html
「見逃した番組を見られる」ファイル交換ソフトを使う大きな理由の1つに
Winnyのウイルスで、日立製作所の業務情報が漏洩 流出日は4/22 (その3) 日立製作所が昨年1月発表した社内シンクライアントは機能してないのか? - 天漢日乗