■ 無線LANのMACアドレス制限の無意味さがあまり理解されていない 職業マスメディアに代わって、ブログスタイルのニュースサイトが人気を博す時代になってきた。海外の話題を写真の転載で紹介する安直なニュースも人気だ。 このことろなぜか、無線LANのセキュリティ設定について書かれた記事を何度か見た。おそらく、ニンテンドーDSがWEPしかサポートしていないことが不安をもたらしている（そして実際に危険をもたらしている）ためだろうと思われる。 セキュリティの解説が増えてきたのはよいことなのだが、内容に誤りのあるものが少なくない。 実は危険な無線LAN, らばQ, 2007年10月21日 この記事には次の記述があるが、「接続されなければMACアドレスは盗まれない」という誤解があるようだ。 MACアドレスというのは、機器固有のIDのようなものです。たいていの無線LANアクセスポイントにはMACアドレスフ

■ ジャストシステムはどこへ向かっているのか ジャストシステムが、ユーザの安全確保よりも、何らかの別の目標*1に向かっているらしいことは、次の事例で一目瞭然だろう。 こんな言い回しは他で見たことがない。 脆弱性情報を公表することの目的が、まだ修正版の存在を知らされていないユーザに対してアップデートの必要性を周知することにあるということは、（ユーザの立場で考えれば）誰でもわかるはずだ。それなのに、ジャストシステムは、まず先に、「ご安心ください」と言う。（図1の1つめの矢印部分。） Kaspersky Internet Security 6.0 および Kaspersky Anti-Virus 6.0のVista対応版プログラム以前の製品（バージョン 6.0.0.306）で5つの脆弱性が発見されています。この問題に対する修正は、3月14日より無償でダウンロード提供しているVista対応版プログ

■ デイリーポータルZ 記者の家を探しに行く 5月27日の日記「PlaceEngineのプライバシー懸念を考える」では次のように書いた。 つまり、家庭の無線LANアクセスポイントのMACアドレスを誰かに知られることは、住所を知られることに等しい。そのような事態をPlaceEngineサービス（および類似のサービス）が新たに作り出したことになる。 「MACアドレスは個人を特定するものではない」と言えるだろうか？もし、別のネットサービスで、何らかの目的で家庭の無線LANのMACアドレスを登録して使うサービスが始まったとする。そのサービスもまた、「MACアドレスから個人が特定されることはありません」と主張するだろう。このとき、PlaceEngineとこのサービスの両者が存在することによって、わからないはずの住所が特定されてしまう事態が起きてくる。 PlaceEngineなどのサービスが存在する現

■ キンタマコレクターは約1000人もいるらしい 先週の白浜シンポジウムでは、夜の部で様々な情報を耳にした。驚愕の事実もいくつか聞いたが暗黙にオフレコ前提なのでここに書くということはできそうにない。 ネットエージェントの杉浦社長からも興味深い話を何点か聞いた。いわゆる「キンタマコレクター」（キンタマウイルスにより漏洩させられたファイルを収集し続けているWinnyノード）は、約1000人（ノード）との観測結果（2日間での観測）があるのだそうだ。 キンタマコレクターには2つのタイプがあり、ひとつは、普通のWinnyを使って流出ファイルを手当たりしだいに自動ダウンロードしている者――(A) で、もうひとつは、OpenWinnyやその他の自作と思われるダウンロード専用Winnyプロトコル互換プログラムによるダウンロードをしている者――(B) であるが、この約1000という数値はこれらの両方を含む。

■ JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり 一昨年7月のWASフォーラムのイベントで話した以下の件。 セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏, MYCOM PCWEB, 2005年7月12日 誤った解説や必要以上に危機感を煽る報道に不満 （略）アドレスバーがきちんと表示されていてURLが確認できる状態になった上で、SSLの鍵マークが表示され、ブラウザがSSL証明書に関する警告画面を出さなければ、いちいち証明書を開かなくても安全性は確認できるのに、未だに「安全性を確認するには証明書を開く必要がある」といった誤った解説が(それもセキュリティに詳しいとされている記者の記事の中で)なされている」と指摘。その上で「キーワードジャーナリズムは、よりユーザにとって手間のかからない対策手法を紹介すべきだし、

■ RFID児童登下校管理システムのクオリティは安心安全ソリューションってレベルか 2004年から2005年にかけてたびたびNHKニュースやテレビ東京で華々しく宣伝されていた、RFID児童登下校通知システムだが、去年あたりから悲惨なことになっていたようだ。 2006年8月13日の日記からリンクしていた個人ブログを再び見に行ってみたところ、その後こんなことになっていた。 「情報科な日々のつれづれ」の「ICタグ」カテゴリ 朝、7:36。 ICタグによる登下校システムの停止。（略） 事務所の電話は、鳴りっぱなし。 何とかならないかといわれても・・・・。 とにかく富士通に対応してもらうまで待つしかない。 原因は、どうやら、メールサーバの停止らしい。 7:36に最後の送信をしてから、停止したらしい。 それ以降に登校した子どもには、メールが送信されていません。（略） 27 September ご迷惑を

■ 新聞の意味不明な識者コメントはデスクの解釈で捏造される 13日のWinny判決の日は、午後からIPAで講演のため留守にしていたこともあり、当日のマスコミからの取材申し込みはお断りさせていただき、事前に申し込みのあったものについてだけコメントさせていただいた。そもそも私は業務上この判決の是非についてコメントする立場になく、情報セキュリティの観点から今後のWinnyをどう考えるかについてのみ、コメントするようにしている。判決が出てから慌ててコンタクトしてくるようなメディアには、短時間で私の主張の趣旨が理解されない恐れがあり、危なくて応じられない。 しかし、注意深く応じたにもかかわらず、読売新聞13日夕刊には、言っていないコメントを掲載されてしまった。 高木浩光・産業技術総合研究所情報セキュリティ研究センター主任研究員の話 「ウィニーは、本人の意思に関係なく、個人のファイルやデータが流出して

■ 「不　当　判 決」 村井証人証言は僕ら技術者を幸せにしたか この日記エントリは以下の文書を読んだ上でのものである。 京都地裁平成16年(わ)第726号著作権法違反幇助事件 判決要旨の原文 Winny裁判、罰金刑は重いか？軽いか？--自己矛盾を抱えた判決, 佐々木俊尚, CNET Japan, 2006年12月13日 「Winny自体は価値中立で有意義」の司法判断、その影響は!?, 佐々木俊尚, @IT, 2006年12月15日 Winny事件判決の問題点　開発者が負う「責任」とは, 白田秀彰, ITmedia, 2006年12月17日 Winny京都地裁判決要旨を読んで（前）, 弁護士 落合洋司（東京弁護士会）の「日々是好日」, 2006年12月17日 高性能車とウィニー, 元検弁護士のつぶやき, 2006年12月17日 まず、判決要旨（原文）には次の通り書かれている。 6. 被告人に

■ 三井住友銀行、「雨やどり」「お風呂あがり」で検索のテレビ広告で便乗フィッシングの危機（被害防止用エントリ） 三井住友銀行のテレビCMで、「雨やどり」「お風呂あがり」で検索させるシーンが放映されているらしいが、現時点で、検索結果の上位に登場するサイトは「雨やどり」「お風呂あがり」のどちらも三井住友銀行の本物サイトではない。「雨宿り」「あまやどり」「お風呂上り」「おふろあがり」も同様だ。 Googleで「雨やどり」で検索した1番目は、現在のところ、露骨な性描写を含む二次元児童性愛倒錯ゲーム*1のサイトになっている。2番目以下もマイナーなページばかりだ。ちょっとしたドメインのページに三井住友銀行を装った偽サイトを作成されると、それが上位に出てきかねない。そのような偽サイトによる詐欺の危険性を低減するため、この日記が先に読まれることを期待し、次のとおり書いておく。 初めて訪れたサイトが、どこか

■ 高度に発展したユビキタス社会ではアクセス制御機能が電気通信回線を通じたものか見分けがつかない 6日の日記「ログアウトし忘れのブラウザをそうと知りつつ操作するのは不正アクセス行為に該当するか」の、 「入力」は、ここでは、電気通信回線を通じて対象となる特定電子計算機に他人の識別符号を送信することを意味しているから、他人の識別符号を送信する方法として、一々キーボードを操作することは必ずしも必要ではなく、パソコンのインターネット接続ボタンを押す、識別符号が記録されているICカードを差し込むなどにより、自動的に識別符号を送信するコンピュータの機能を用いて入力することも含まれる。 不正アクセス対策法制研究会編著, 逐条 不正アクセス行為の禁止等に関する法律, 立花書房, p.75 を前提とした続き。 メール盗み見事件 京都市職員を容疑で書類送検, 京都新聞, 2006年9月8日 というニュースが出

■ ログアウトし忘れのブラウザをそうと知りつつ操作するのは不正アクセス行為に該当するか やじうまWatchによると、mixiにログインしたまま放置されていた店頭のPCを操作してプロフィールを「改ざん」した（当人曰く）という人がいて、それを著名サイトで公言していることが注目を浴びているという。いくつか反応を見てまわったところ、不正アクセス禁止法違反ではないかという議論*1があり、その中に、「パスワードを入力したわけではないから、不正アクセス行為にあたらない」などという主張をみかけた。 興味深い話題なのでちょっと検討してみる。なお、ここでは、技術的側面から行為の外形が不正アクセス禁止法3条の構成要件を満たしているかだけを検討するものであり、刑罰に値する違法性があるか否かについては検討しない。 まず、不正アクセス禁止法3条2項各号の「入力して」とは、手元のコンピュータにキーボードで入力することを

■ 飾りじゃないのよCAPTCHAは 〜前代未聞のCAPTCHAもどき CAPTCHA*1が基本的に荒らし対策目的で使用されるものであることは以前にも書いた。ユーザビリティの犠牲が少ないものは早いうちに破られるし、改良してもイタチごっこになることも目に見えている。それでもなお活用する意義があるのは、使用目的が荒らし対策だからだ。新規ユーザ登録や、ログインなしでできるコメントやトラックバックなど、元々自由に利用させる機能である限り、完全に防ぐことはできないのであり、たとえ将来破られる可能性があろうとも何もしないよりはましだというわけだ。（荒らしがよりハードルの低いところへ行ってくれることを期待できる。） そのようなCAPTCHAは、日本ではあまり普及していないようだ。荒し行為が英語圏での状況ほど深刻なものになっていないためか、あるいは、イタチごっこになることが目に見えている技術の採用を嫌う国

■ Winnyの可視化と無断リンク禁止厨の共通関係に見る問題の本質 YouTubeでキャンディーズの映像の一つを視聴して衝撃を受けた*1。当時の私は小学3年から5年生。物心つく直前だった。みんなで春一番を歌いながら下校した記憶くらいしかない。中高校生になってから「懐かし映像」としてテレビで見たときには古臭いオバさんたちにしか見えなかった。それが今になって見たこの映像は新鮮だった。今風の言葉でいえばようするにエロい。同じ曲を3種類の衣装で歌った姿を編集で合成した映像だが、これは市販されているのだろうか。近い将来にまた見たくなりそうだが、そのときにはもう見つからないかもしれない。これは購入しておきたいと、amazonを探してみたが売られていないようだ。 Winnyネットワークが消滅するべき理由 4月19日の朝日新聞朝刊13面の記事に対して、次のような反応があった。 Winnyの朝日新聞記事,

■ ICカードの非接触スキミングですって？ ええかげんなことぬかすな 今日の讀賣テレビの「ウェークアップ！」は、「狙われる銀行預金 偽造カード新手口」という特集を放送していた。 みていたところ、「日本をはじめ世界各国で捜査機関の顧問を務める人物」として紹介される*1松村テクノロジー社長の松村喜秀氏が登場し、銀行のICカードの「非接触スキミング」を実演していた。 おいおいおいおい、ちょっとまて、そんなええかげんな、根拠なしに危機感煽るなよ。 最近、金融機関では、セキュリティー対策として、偽造が極めて困難とされるＩＣチップを導入し始めているが、これにも大きな落とし穴が！ （松村エンジニアリング社長） 「これのデータはどうやって読めるかやってみましょう。 近づけるだけで、非常に早い時間で、簡単に読めます」 そこには、一瞬でカードのデータが現れた。これが、非接触型スキミング。 カードに触れずにデー

■ WinnyのDownフォルダをインターネットゾーンにする いくつかの国々では、貧困層に薬物乱用が蔓延し、注射器の回し打ちで悪性の感染症が広がっているとき、無料で注射セットを配布するのが正義なのだという。 ニートにWinny乱用が蔓延し、Downフォルダのダブルクリックで悪性のトロイの被害が広がっているとき、私達にできることといえば、せめて安全なファイルの開き方だけは伝えていくことではないだろうか。どうしてもWinnyを使いたいならDownフォルダをインターネットゾーンにして使え、と。 Vector Softライブラリに、「ZoneFolder.VBS」というVBスクリプトのパッケージがある。 この中にある「インターネットフォルダ.VBS」を実行すると、作成するフォルダ名を入力するよう求められるので、できるだけランダムな名前を入力する。