■ テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた 先週から、「ドコモ口座不正引き出し事件」の原因として、被害の発生した銀行が4桁数字の暗証番号で認証処理していたことが取りざたされており、リバースブルートフォース攻撃の手口が暗証番号特定の手段として使われた可能性について、テレビのワイドショーでも扱われるなど、世間での認知がかつてなく高まっている。 そこで、この機会に、昔から存在していたテレフォンバンキングの危険性について、銀行側に抗議すれば今ならご理解いただけるのではないかと考えた。この問題は十数年前にも銀行側に伝えているが、サービスを止めるわけにもいかないし、電話経由での自動処理による攻撃は考えにくいと当時は考えられたのか、対処されることはなかった。2020年の今日、電話経由のサイバー攻撃は技術面で十分に容易に可能となっていると考えられ

■ サイボウズ「闇改修」の件のその後 一昨日の日記の件*1について、出勤前の午前中にサイボウズのお客さま対応窓口から電話があった。 電話の要件は訂正があるとのことで、以下の3点を訂正するとのことだった。（以下は私による要約。） ディレクトリトラバーサルの脆弱性については、ログインしていない者によっても攻撃され得る。告知文を訂正する。 ユーザの一覧を取得できてしまう問題について、脆弱性としなかったのは、重要度が低いと評価していたという誤った認識によるものだった。告知文を訂正する。 去年のクロスサイトスクリプティング脆弱性対応について、対策として追加された警告表示機能がデフォルトでオフとなっている理由は、既存バージョンとの互換性を考えたものであり、それはユーザが混乱するのではないかと考えたためで、そのような認識は誤りだった。今後、デフォルトでオンとするように検討する。 そしてさきほど告知ページ

■ サイボウズが再び「闇改修」をしたので電話で抗議したが無駄骨だった 結果を先に言うと、サイボウズ社はセキュリティポリシーによって、（アカウントを持つユーザからしか攻撃され得ないなどの）危険な状況が少ない脆弱性については告知するが、第三者から攻撃され得る脆弱性については告知しない（更新履歴やFAQには書いておくが積極的に知らせることをしない）という方針で、今回も、過去もそうしてきたし、今後もそうしていくつもりなのだという。 複数のサイボウズ製品にセキュリティ・ホール，情報漏洩などの恐れ, 日経IT Pro, 2006年8月28日 （1）は，細工が施されたリクエストを送信されると，公開を意図していないファイル（公開用フォルダに置いていないファイル）を表示してしまうセキュリティ・ホール（略） （2）は，Office 6に関するセキュリティ・ホール（略）。細工が施されたリクエストを送信されると，

■ 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」 序章 昨日の読売新聞朝刊解説面に以下の記事が出た。 ［解説スペシャル］ウイルスか合法技術か 他人のPC「借用」 仮想通貨計算 サイトに設置 摘発相次ぐ, 読売新聞2018年6月9日朝刊 「まさか違法とは……」。こううなだれる首都圏のウェブデザイナー（30）は今年3月、横浜地検にウイルス保管罪で略式起訴され、罰金10万円の略式命令を受けた。自分の運営する音楽サイトに昨秋、「コインハイブ」と呼ばれるコインマイナー用のプログラムを設置したところ、これがウイルスと判断されたのだ。 （略）昨年末から神奈川や宮城、栃木、茨城県警など全国の警察が捜査を開始。これまでに確認できただけで5人のサイト運営者がウイルスの供用や保管などの容疑で捜索を受け、既に略式命令を受けたケースもある。（略） 略式命令を受けたウェブデザイナー

■ 魔女狩り商法に翻弄された田舎警察 Coinhive事件 大本営報道はまさに現代の魔女狩りだ 前回の日記（6月11日23時46分公開）の件はその後、以下のように展開した。 6月12日 他人PCで仮想通貨獲得 了解得ず「採掘」初立件 神奈川県警など,*1 毎日新聞, 6月12日朝刊 仮想通貨マイニング（Coinhive）で家宅捜索を受けた話, モロ@ドークツ, 6月12日9時43分 Coinhive設置で家宅捜索受けたデザイナー、経緯をブログ公開　「他の人に同じ経験して欲しくない」, ITmedia, 6月12日12時17分 仮想通貨「無断採掘」疑い サイト運営者を書類送検,*2 共同通信, 6月12日20時45分 Police to press charges over cryptocurrency 'mining' of computers without consent, The M

■ 駄目な技術文書の見分け方 その1 はてなブックマークのホッテントリを見ていたところ、300を超えるユーザに登録された以下の記事があった。 今夜分かるSQLインジェクション対策, 上野宣, @IT, 2006年11月2日 また上野宣か。顔見知りなのでズバリいくことにする。 しかし、その対策はまだ本当に理解されていないように思える。 へえ。 終わりの方を見てみると、 Webアプリケーションの対策 入力値のSQLの特殊文字を適切にエスケープ 入力値＝プログラム（プロセス）に外部から入ってくるもの シフトJISの場合には1バイト文字を整理 SQLの記述をなくすためにO/R（Object/Relational）マッピングを活用 攻撃者に役立つ情報を与えないために、不要なエラーメッセージ（データベースが出力するエラーなど）の表示を抑止 対策に「準備された文」(prepared statement)

■ eLTAXに反省なし 誤りを認めない告知文の捻出に3か月を費やしその間利用者を危険に晒す 3月14日の日記「治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ」から3か月近く経った今日、eLTAXが注意喚起を出しているとの情報が入り、なぜ今頃になって再び注意喚起をするのだろうかと首を傾げた。 ３ヶ月前の高木さんのblogの「署名済みActiveXコントロールのダウンロードを有効にする」eLTAXの件で、問題の対策して今日利用者向けにお知らせしているようです。https://t.co/Qk37l9cRMkhttps://t.co/epQvcdKiu5 — あさくら (@AkioAkioasakura) 2016年6月3日 よく見てみれば、あれ以来、何ら注意喚起を出していなかったのだ。つまり、これは再度の注意喚起などではなく、3か月経ってこれが初の「お

■ OECDガイドラインの8原則についてChatGPTに聞いてみた ChatGPTに色々聞いてみるテストは1月にTwitterに結果を報告していた*1が、GPT-4が使えるようになったということで、もう一度やってみた。ChatGPTは基本的に、質問者に迎合しようとする（質問者の期待に応えようとする）ので、ChatGPTが答えたといっても質問者の意図した答えになっているにすぎない（それゆえ、質問者の意図が明確にされず、ChatGPTも知らないことが問われると、全くの出鱈目を答えてしまうという現象が起きるようだ。）わけであるが、それでも、質問者が誘導しているわけでもないのに質問者が必要としていることを言葉の端々から察知して根拠を探してきてくれるような回答をする。以下は、できるだけ誘導しなように（といっても、後ろの方で明確に誘導しているところもあるがw）質問した例だが、最初のうちはChatGPT

■ 他社製品は「欠陥」と報道、自社のことは「不具合」とぼかす朝日新聞社 14日の朝日新聞朝刊に「ウィンドウズ、欠陥８件公表　ウイルス侵入の危険」という見出しの記事が出ていた。ネット版では「ＯＳなどに欠陥　ＭＳが修正版ダウンロード呼びかけ」という見出しになっている。こうし た記事が一般紙に出るようになったことは、今ではもう珍しくない。 ところが、22日、朝日新聞社からの告知として次の見出しの発表がなされた。 文字拡大・音声ツール「WebUD（ウェブ・ユーディー）」の不具合に関するお知らせ, 朝日新聞社, 2005年4月22日 「WebUD」において、画面を開いた際にブラウザ上で自動実行される部品に不具合があることが明らかになりました。 「WebUD」の利用者を狙った悪意あるサイトにアクセスした場合、悪意あるプログラムを実行される恐れがあります。これにより、利用者のPC内のファイルが読み取られ

■ 武雄市長、会見で怒り露に「なんでこれが個人情報なんだ！」と吐き捨て 「日本ツイッター学会（自称）」会長兼「日本フェースブック学会（自称）」会長の、武雄市長（佐賀県武雄市）が、武雄市の市立図書館で、CCC（カルチャー・コンビニエンス・クラブ）と提携して、Tポイントカードを導入するとの構想を発表した。 武雄市とカルチュア・コンビニエンス・クラブ株式会社の武雄市立図書館の企画・運営に関する提携基本合意について, CCC カルチュア・コンビニエンス・クラブ株式会社, 2012年5月4日 ツタヤ運営企業に図書館委託 佐賀県武雄市, 共同通信, 2012年5月4日 図書館の運営、ツタヤに委託 佐賀県武雄市, 中国新聞, 2012年5月4日 図書館の利用カードはCCCのポイントカード「Tカード」へ切り替える。Tカードは若い世代に普及しており、図書館を使わない人が多いとみられる若年層を呼び込む狙いがあ