■ テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた 先週から、「ドコモ口座不正引き出し事件」の原因として、被害の発生した銀行が4桁数字の暗証番号で認証処理していたことが取りざたされており、リバースブルートフォース攻撃の手口が暗証番号特定の手段として使われた可能性について、テレビのワイドショーでも扱われるなど、世間での認知がかつてなく高まっている。 そこで、この機会に、昔から存在していたテレフォンバンキングの危険性について、銀行側に抗議すれば今ならご理解いただけるのではないかと考えた。この問題は十数年前にも銀行側に伝えているが、サービスを止めるわけにもいかないし、電話経由での自動処理による攻撃は考えにくいと当時は考えられたのか、対処されることはなかった。2020年の今日、電話経由のサイバー攻撃は技術面で十分に容易に可能となっていると考えられ

■ 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」 序章 昨日の読売新聞朝刊解説面に以下の記事が出た。 ［解説スペシャル］ウイルスか合法技術か 他人のPC「借用」 仮想通貨計算 サイトに設置 摘発相次ぐ, 読売新聞2018年6月9日朝刊 「まさか違法とは……」。こううなだれる首都圏のウェブデザイナー（30）は今年3月、横浜地検にウイルス保管罪で略式起訴され、罰金10万円の略式命令を受けた。自分の運営する音楽サイトに昨秋、「コインハイブ」と呼ばれるコインマイナー用のプログラムを設置したところ、これがウイルスと判断されたのだ。 （略）昨年末から神奈川や宮城、栃木、茨城県警など全国の警察が捜査を開始。これまでに確認できただけで5人のサイト運営者がウイルスの供用や保管などの容疑で捜索を受け、既に略式命令を受けたケースもある。（略） 略式命令を受けたウェブデザイナー

■ 信頼あるドメイン名の意義を軽視する地方自治体の愚行 全国の都道府県の電子申請システムが続々と稼動を始めつつあるが、そのいくつかは独自ドメインを使用している。例えば以下などがそうだ。 山梨県: http://www.ycma.jp/ 富山県: http://e-toyama.net/ 茨城県: https://www1.asp-ibaraki.jp/ 徳島県: https://www.tok-j.info/top/ フィッシング詐欺の流行が懸念されているこのご時世に、ニセのドメインと区別しづらいこうしたドメイン名を使うというのは不用意なことであり、これらはセキュリティ意識の欠如した人物が企画したものと推察される。 一般に、Webを使うにあたってユーザは、自分が使うアクセス先サイトの本物のドメイン名を普段から暗記しておかなくてはならない。山梨県の電子申請システムを使う市民たちは、「ycma

■ LINEがこの先生きのこるには 先々週、テレビ東京のワールドビジネスサテライトで、最近流行の「LINE」が特集されていたのだが、経済系の番組であるにも関わらず、「元カレが出て嫌」、「知らない人が出て怖い」という街の声をとって伝え、電話帳アップロードの件にも触れるなど、負の面も扱っていて、とてもよい番組であった。 人気急拡大「LINE」の実力は, ワールドビジネスサテライト, 2012年6月22日 番組を見た後、久しぶりにTwitterを「LINE 知らない人」で検索してみたところ、以前にも増して大量のツイートが出てきたのだが、そのほとんどが、「芸能人のマネージャですが」という詐欺spamが来たという報告であった。ちょうどこのころ、LINEに対して大量のspamが発生していたようだった。そして、LINEの運営元はspam防止に動いたようだった。 @magic_kanata ご報告ありがと

■ 武雄市長、会見で怒り露に「なんでこれが個人情報なんだ！」と吐き捨て 「日本ツイッター学会（自称）」会長兼「日本フェースブック学会（自称）」会長の、武雄市長（佐賀県武雄市）が、武雄市の市立図書館で、CCC（カルチャー・コンビニエンス・クラブ）と提携して、Tポイントカードを導入するとの構想を発表した。 武雄市とカルチュア・コンビニエンス・クラブ株式会社の武雄市立図書館の企画・運営に関する提携基本合意について, CCC カルチュア・コンビニエンス・クラブ株式会社, 2012年5月4日 ツタヤ運営企業に図書館委託 佐賀県武雄市, 共同通信, 2012年5月4日 図書館の運営、ツタヤに委託 佐賀県武雄市, 中国新聞, 2012年5月4日 図書館の利用カードはCCCのポイントカード「Tカード」へ切り替える。Tカードは若い世代に普及しており、図書館を使わない人が多いとみられる若年層を呼び込む狙いがあ

■ 逃げてー!「健康クラウド」ゼロプライバシー特区？（見附市、新潟市、三条市、伊達市、岐阜市、高石市、豊岡市） 昨年8月、総合特別区域法が施行され、内閣官房の総合特別区域推進本部で手続きが進められてきたところ、先月、以下の総合特区が指定されたそうだ。 スマートウエルネスシティ総合特区が指定されました, 新潟県見附市, 2012年1月27日 見附市が代表となり、７市、２団体で国の総合特別区域に申請していた「健幸長寿社会を創造するスマートウエルネスシティ総合特区」が、総合特区に指定されました。（略） 見附市の規制・特例措置等への提案 （略）自治体供用型健康クラウドの整備 さて、この「健康クラウド」というのはいったい何だろうか。この特区の規制・特例措置はどのようなものだろうか。詳しいことは以下の資料に書かれている。 健幸長寿社会を創造するスマートウエルネスシティ総合特区 別記様式第5の1 事業名

■ spモードはなぜIPアドレスに頼らざるを得なかったか spモードの事故 NTT docomoのスマホ向け独自サービス「spモード」が、今月20日に大規模な事故を起こして、重大事態となっている。 スマホ向けネット接続が不具合 ドコモ 別人のアドレス表示, MSN産経ニュース, 2011年12月20日 ドコモのspモードで不具合、他人のメールアドレスが設定される恐れ, 日経IT Pro, 2011年12月21日 ドコモの「spモード」でトラブル、関連サービスが一時停止, ケータイ Watch, 2011年12月21日 ドコモ、spモード障害で「ネットワーク基盤高度化対策本部」設置, ケータイ Watch, 2011年12月26日 ドコモ 約1万9000人に影響, NHKニュース, 2011年12月27日 ドコモの“メアド置き換え”不具合、影響数や新事象が明らかに, ケータイ Watch,

■ なぜソニーが駄目でアップルやマイクロソフトは良いのか 8月14日の日記を書いた翌週のこと、なんとなく「hiromichu」でググってみたところ、以下のページが見つかり、魂消た。 hiromichu - PlayStation®Home オフィシャルサイト, http://playstationhome.jp/community/mypage.php?OnlineID=hiromichu このページで「トロフィー」のところをクリックすると、なんと、私がどんなゲームで遊んでいたかまで表示されてしまう。URLの「OnlineID=」のところに任意のIDを指定することで、全ての人のゲームプレイ状況を閲覧できてしまう。（このサイトにログインしていなくても。） プレステ3を買ってPlayStation Networkを使い始めてかれこれ何年にもなるが、これまで、全くこのことに気付かないまま、いくつ

■ ウイルス罪法案、バグ放置が提供罪に該当する事態は「ある」と法務省見解 いわゆる「ウイルス作成罪」の新設を含む刑法等改正法案の審議が、一昨日から始まっており、今日の午前中には、野党議員からのつっこんだ質疑があり、意外な答弁が出てきた。 第177回国会 衆議院法務委員会 平成23年5月25日 衆議院TV, 会議録 第177回国会 衆議院法務委員会 平成23年5月27日 衆議院TV, （会議録未公表） 特に注目に値するのは、今日の午前中の以下の部分。*1 大口善徳議員：（略）解釈上の疑義等問題点について明らかにしていきたいと思う。コンピュータウイルスについて、刑法168条の2に、1項1号でこのコンピュータウイルスの定義が書いてあるわけですが、「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」と、こういう定義であ

■ 検察は何を根拠に犯罪と判断したか 岡崎図書館事件(14) 中川氏が、自分がなぜ起訴猶予に（嫌疑なしでなく）されたのか、10月に検察庁に聞きに行ってきたとのことで、librahack.jp にその報告が出た。 検察庁で聞いてきました, Librahack:容疑者から見た岡崎図書館事件, 2010年12月17日 故意を認定した理由はこういうことのようです。 コンピュータに詳しい技術者なので、リクエストを大量に送りつけたら、図書館のサーバに影響が出ることを予想できた。事実、まったく予想しなかった訳ではなく、少しは影響が出ることを予想していたはずだ。それなのに、リクエストを大量に送りつけたので、「故意があった」ものと判断した。 「なぜ嫌疑不十分ではなく、起訴猶予としたか？」と問い質したの対し、検察は、 影響が出ることをまったく予想しなかった訳ではなかったから。 と回答。さらに「それは過失になり

■ Macっ娘ならオートメータ君つかいたおすわよね iPhoneといっしょにMacに乗り換える子が多いみたい。Mac買ったらまず開くのは「アプリケーション」フォルダなんだけど、左隅にいるちょっと気になるロボット君、「Automator」君っていうんだけど、知ってた？

■ Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6) もしや三菱電機ISのシステムはフリーソフトを使っていたりはしないかと、「WwKensaku.aspx」でググってみたところ（図1）、そこに現れたのは、 Anonymous FTPサイト専門の検索サイトだった*1。そこでさらに「WwKensaku.aspx」で検索してみると、なんとそこに現れたリンク先は ftp://210.230.245.201/ （図2）、このリンクをクリックすると図3の画面が現れた。

■ 共用SSLサーバの危険性が理解されていない さくらインターネットの公式FAQに次の記述があるのに気づいた。 [000735]共有SSLの利用を考えていますが、注意すべき事項はありますか？, さくらインターネット よくある質問（FAQ）, 2010年2月10日更新（初出日不明） Cookieは、パスなどを指定することができるため、初期ドメイン以外では共有SSLを利用している場合にCookieのパスを正しく指定しないと、同じサーバの他ユーザに盗まれる可能性があります。 （略） 上記については、「同サーバを利用しているユーザだけがCookieをのぞき見ることができる」というごく限定的な影響を示していています。また、Cookieの取扱いについて、問い合わせフォームやショッピングカート等、ビジネス向けのウェブコンテンツを設置されていなければ特に大きな問題とはなりませんが、個人情報を取り扱われる管

■ なぜ一流企業はhttpsでの閲覧をさせないようにするのか 「かんたんログイン」などという似非認証方式は、たとえIPアドレス制限を実装したとしても安全でない。仕様が公開されていないからという点の他に、技術的な理由として、少なくとも次の2つがある。 「IPアドレス帯域」と俗称される重要情報が安全に配布されていない。 SSLを必要とするケータイサイトでは、通信経路上の攻撃によってなりすましログインされてしまう。*1 2番目には解決策がない。 1番目については解決策はあるだろうが、携帯電話事業者がサボタージュしていて、実現される見通しがない。これについては、2008年7月27日の日記にも書いたが、その後どうなったかを調べてみたところ、ソフトバンクモバイル以外は、何ら改善されておらず、当時のままだった。 NTTドコモ 「iモードセンタのIPアドレス帯域」のページをhttps:// でアクセスする

■ Googleドキュメントの「招待メール」の危険 ことの始まり 先々週の話。1月23日に次の記事が出ていた。 『Google Docs』の設定にご用心：知らないうちに書き換えも？, WIRED VISION, 2009年1月23日 この記事の趣旨は、「Googleスプレッドシート」の共有設定の画面の説明文「Let people edit without signing in」が誤解を招くために、誤って、誰にでも閲覧や編集を許す設定にしてしまいかねないという話である。この画面は、日本語表示では図1の表記となっている。 WIRED VISIONの記事の言い分では、「people」が上の招待メール送信先の人々のことを指すように読めて、下の「プライバシー」設定も変更しないといけないように誤解してしまうという。 そもそも、この機能の意図されている動作はどういうものか。私も試しているうちに一時混乱し

■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日 （略）こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。 （略）iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。 （略）契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ

■ 私のMacintosh環境 昨年はMacに戻ってきた年だった。TigerのときにもMacにスイッチしようと思ったが、いまひとつ使いにくいと感じたのと、軽いノート型がなかったので断念していた。それが、MacBook Airが発表されたのと、自宅にMac miniを買ってLeopardの使いやすさに触れ、アルミニウム型キーボードの打ちやすさにも感激したことで、ついにスイッチを決意したのだった。 Leopardはあまりカスタマイズがいらないと感じたが、いくつか必要なところがあった。以下、自分用のメモがてら、どんなカスタマイズをしたかまとめておく。USキーボードを使っていて、Emacsのキーバインドに慣れていることを前提としている。 キー入力のカスタマイズ 記号入力の慣れからUSキーボードを使わざるを得ないが、そうすると日本語入力でやや問題が生ずる。また、矢印キーを使いたくないので、ほとんどの

■ 楽天ad4Uの隠しリンクを露出させるユーザスタイルシート 脆弱性を突いてブラウザの閲覧履歴を調べるという禁じ手に手を出した、掟破りの（自称「次世代」）行動ターゲティング広告「楽天ad4U」について、amachangの「IEのinnerHTMLやappendChildで要素が挿入された瞬間を取得する方法」を参考に、その隠しリンクを露出させるユーザスタイルシートを作ってみた。（Internet Explorer用。） #ad4u_list { display: expression(function() { if (!this.__mark) { this.__mark = true; // alert(this.innerHTML); var o = '<div style="overflow:scroll; border:dashed 4px red;">'; o = o + this

■ 公衆無線LANで使うと危ないiPod touchアプリに注意 ヨドバシカメラでiPod touchを購入すると公衆無線LANサービスの加入案内が付いてくるように、iPod touchは、公衆無線LANでの使用が奨励されている機器である。 しかし、現状の公衆無線LANサービスは、無線通信の暗号化に用いる鍵が加入者全員で同一のところがほとんどであり（あるいは、暗号化しないところもある）、電波を傍受されて通信内容を読まれる危険性や、気付かないうちに偽アクセスポイントに接続してしまう（そして、通信内容を読まれたり書き換えられたりする）危険性がある。 ただ、現時点では、このリスクはしかたのないものとして受容されており、その代わりに、パスワードや重要な情報を送受信する際には、アプリケーションレベルでの暗号化（SSL等の使用）が必須という考え方になっている。 つまり、Webブラウザを使う場合であれば

■ Googleアカウントを削除するとマイマップやカレンダーを削除できなくなる Googleマップの「マイマップ」は、Googleアカウントでログインして作成・編集するものであり、図1のように、ログインして「自分で作った地図」を一覧し、「×」ボタンを押すことによって、作った地図を削除することのできるタイプのサービスである。したがって、Googleアカウントを削除すれば、そのアカウントが所有するすべてのマイマップも同時に削除されると考えるのが普通だ。 実際、アカウント削除の機能がどこにあるかというと、「アカウント」のリンク先の画面（図2上）の「マイサービス」という部分の「編集」というリンクの先（図2下）にある。「マイサービス」には、「iGoogle」「ウェブ履歴」「カレンダー」「ノートブック」「マップ - マイマップ」と書かれており、マイマップもこの中に含まれると理解される。