「ほこ×たて」対決の功罪、ロシア人ホワイトハッカーに裏側を聞いた
なぜ、こうなった――フジテレビの人気番組「ほこ×たて」で2013年6月9日、ハッカーとセキュリティ技術者が攻撃、防御の腕を競う珍しい企画があった。「どんなパソコンにも侵入する世界最強ハッカーVS絶対に情報を守るネットワークセキュリティー」という触れ込みである。 IT記者として、これを見ないという選択肢はない。何より、難解なハッキングの世界を、テレビというメディアがどのように料理し、分かりやすく紹介するのか、興味があったのだ。 結論からいうと、番組を視聴した後、何ともいえない違和感が残ってしまった。「『ほこ×たて』といえど、やはりハッキング勝負の映像化は難しかったのか…」と考え込んでしまった。 今回の「ほこ×たて」の事態は、日々セキュリティ関連の記事を書いている筆者にとっても、無縁ではいられない。防御側であるネットエージェントの説明、攻撃側である楽天所属のヴィシェゴロデツェフ・マラット氏への
朝日新聞記者の不正アクセス容疑について 2013-06-25 - 弁護士 落合洋司 (東京弁護士会) の 「日々是好日」
http://www.asahi.com/national/update/0625/TKY201306250088.html 報道機関関係者が、遠隔操作事件の「真犯人」のメールアドレスにログインしていた件で、書類送検されたと報道されていますが、その中に朝日新聞の関係者がいて、朝日新聞が上記の通り弁解しています。 当該メールアカウントを使用した犯行声明メールは昨年10月9日、報道機関や弁護士に送信されました。その中に当該メールアカウントの識別符号(パスワード、以下:当該識別符号)が記載されていました。 この犯行声明メールは「【遠隔操作事件】私が真犯人です」と題し、「このメールを警察に持っていって照会してもらえば、私が本物の犯人であることの証明になるはずです」「ある程度のタイミングで誰かにこの告白を送って、捕まった人たちを助けるつもりでした」「これを明るみにしてくれそうな人なら誰でも良かった」
高木浩光さんへ、しっかりしてください - 最速転職研究会
技術者としての良心に従ってこの記事を書きます。俺はセキュリティとプライバシーの人ではなく、JavaScriptとUIの人である。法律の勉強だって自分の生活と業務に関わりのある範囲でしかしないだろう。しかし少なくともJavaScriptやブラウザが絡むような部分については、確実に自分のほうが理解していると思っている。高木浩光さんが、あからさまに間違ったことを書いたり、おかしなことを書いていたりしても、徐々に誰も指摘しなくなってきたと思う。おかしなこと書いていたとしても、非技術者から見たときに「多少過激な物言いだけど、あの人は専門家だから言っていることは正論なのだろう」とか、あるいは技術者から見た時でも、専門分野が違えば間違ったことが書かれていても気付けないということもあるだろう。 もう自分には分からなくなっている。誰にでも検証できるような事実関係の間違い、あるいは、技術的な間違いが含まれてい
高木浩光@自宅の日記 - ウイルス罪についてNHKが再び誤り解説を放送、無理解は深刻な状況
7月の刑法改正は過失を処罰するものではないのに、あたかも過失で処罰されるかのように視聴者は受け止めている。 録画を見返して確認してみると、放送では以下のように解説されていた。 徳永アナ: (略)そのうちの3台は我が国のパソコンです。1つは北海道、1つは香川県、そしてもう1台がこのBさん(東京都)のパソコン、Bさんのパソコンが知らず知らずのうちに乗っ取られ、ある日突然家のデスクトップのパソコンが「攻撃セヨ!」と命令を下していたということがわかりました。ちなみに、このケース、知らなかったので、お咎めなしでした、Bさんは。でも、7月に新たな法律ができた。今後はケースによっては、お咎めなしとは限らないとされています。 とよた真帆: 何ですか?ケースっていうのは。 徳永アナ: これはまだ始まったばかりの法律なんで、まだケースがまだまだ集まってないんですが、例えば、全くセキュリティ対策をしていない無頓
高木浩光@自宅の日記 - 逮捕時報道で疑問を挟めなかったメディアは一般紙だけではなかった 岡崎図書館事件(9)
■ 逮捕時報道で疑問を挟めなかったメディアは一般紙だけではなかった 岡崎図書館事件(9) このところ、公安資料Winny放流事件のこともあり、新聞社やテレビ局から何度か取材や問い合わせを頂く機会があったが、そういうなかで、記者から岡崎図書館事件のことについて触れられることもあり、新聞が最初の逮捕時報道で疑問を挟めずに警察発表をそのまま流したことを恥じ入るといった趣旨の言葉を頂くこともあった。 その一方で、「技術屋と法律屋の座談会(第2回)」で会場のフリーライターの方から「マスコミ報道が悪いと言われても、まあストレートニュースってそういうものよね」という発言が出たように、警察発表を短時間で記事にしていくという警察担当記者の日常作業からすれば、たしかにそんなものなのかもしれない。実際、警察がそういう発表をしたという事実は伝えられるべきであるし、もしあの報道がなければ、私たちはそういう逮捕事案が
asahi.com(朝日新聞社):ミクシィ利用者の個人情報丸見え 4200人分、3日間 - 社会
インターネットの交流サイト「ミクシィ」上で人気のゲーム「サンシャイン牧場」のシステムに不具合があり、クレジットカードで決済した利用者、最大約4200人の電話番号とメールアドレスが3日間閲覧できる状態だったことがわかった。ミクシィは、新たな課金システムや審査方法を検討する。 ミクシィによると、8月から同社以外の法人が開発したサービスをミクシィ上で提供し始めた。その一つが「サンシャイン牧場」で、中国・北京のゲーム会社「Rekoo」が開発、運営する。 約230万人が利用し、画面上に自分の農園や牧場を作って野菜や動物を育てる。当初は無料だったが、10月21日から、金を払うとゲーム内で使えるコインが手に入り、野菜が早く育つ肥料などの特別アイテムを入手できる仕組みを採り入れた。 しかし、導入直後から「金を払ったのにコインがない」などの苦情が寄せられ、約80人が支払った約38万円分のコインが反映さ
ミクシィ、4200人の情報が3日間「露出」 : 社会 : YOMIURI ONLINE(読売新聞)
パソコンや携帯電話の交流サイト「ミクシィ」上で人気のゲーム「サンシャイン牧場」のシステムに不具合があり、クレジットカードでアイテムを購入した利用者の電話番号とメールアドレス最大約4200人分が第三者によって取得可能な状態になっていたことが2日、明らかになった。 同ゲームは230万人が利用するほどの人気で、ミクシィは「トラブルを重く受け止めている」として、今後、審査制度を見直す方針。 ミクシィによると、トラブルがあったのは10月21日〜23日。 同ゲームは、ミクシィ上で会員が利用できるが、実際に制作・運営しているのは中国のゲーム会社「リクー・メディア」。 画面上に自分の「農園」や「牧場」を作って、トマトやナスなどを植えて収穫したり、ニワトリやヤギなどの動物を育てたりするゲームで、8月末にスタート。 最初はすべて無料で遊べるシステムだったが、10月21日から、有料の特別アイテムを使える仕組みを
高木浩光@自宅の日記 - 「WPA-TKIPが1分で破られる」は誤報
■ 「WPA-TKIPが1分で破られる」は誤報 先月、無線LANのWPA-TKIPが1分以内に破られるという報道があり、話題となった。 無線LANのWPAをわずか数秒から数十秒で突破する新しい攻撃方法が登場、早期にWPA2に移行する必要あり, Gigazine, 2009年8月5日 今回の方法は昨年11月に発表された「Tews-Beck攻撃」(略)がQoS制御を利用する機器に限定されるものであり、鍵の導出に15分もの時間が必要であったのに対して、わずか数秒から数十秒で導出してしまうことができるというもの。(略) 今回発表される方法では、TKIPにおける定期的に変更される鍵について、TKIPのプロトコルの新たな脆弱性を利用して極めて短時間(数秒から数十秒)で導出し、その鍵を効率よく利用する方法として新たな中間者攻撃を開発したとのこと。 無線LANセキュリティ「WPA」をわずか1分以内で破る手
高木浩光@自宅の日記 - 「NoScript」をやめて「RequestPolicy」にした
■ 「NoScript」をやめて「RequestPolicy」にした セキュリティ屋が、Firefoxユーザに「NoScript」の使用を推奨することがしばしばあるが、私は賛同しない。 JPCERT/CC、技術メモ「安全なWebブラウザの使い方」を公開, INTERNET Watch, 2008年11月4日 *1 技術メモ − 安全なWebブラウザの使い方, JPCERT/CC, 2008年11月4日 IV. 各 Web ブラウザに共通する設定上の注意事項 1. スクリプト等の実行を制限する JavaScript 等のスクリプトや(略)は(略)Ajax に代表されるインタラクティブなインターフェースが実現できるなど、高い利便性が得られます。反面、PC 上の重要なファイルを削除・変更するなど、悪意を持った処理が行われる可能性もあります。従って無制限にスクリプト等を実行できるようにしておくのは
「つんく♂がハロプロ卒業」? エイプリルフールネタを真に受けた「 ORICON STYLE 」がガチでネットニュース配信 - テレビの土踏まず
正直さいしょはぼくも「マジか?」って驚いたんですが。 【プロデューサーの卒業について】 日頃よりご愛顧頂きまして、誠にありがとうございます。 ここで、皆様にお知らせなのですが、 私、つんく♂もハロー!プロジェクトのプロデューサーを卒業することを決定しました。 結成より10周年を過ぎ、この先新たな展開をしていくためにも、 今までの自らの既成概念を蹴破って旅立つ勇気が必要だと考えました。 これからもハロー!プロジェクトを応援していくことを宣言させていただきます。 元ハロー!プロジェクト総合プロデューサー つんく♂ つんく♂がハロプロから身をひくよ、という話なんですけれども。 でも、これエイプリルフールのてっきとーなネタなんですよね。ちゃんと「 -April Fool Site- 」って書いてあります。まぎらわしいんですけど。 http://www.helloproject.tw/tsunku_
Winny流出の傾向と対策 - 第1回:かろうじて「イタズラ」で済んだキンタマ系ウイルス
現在でも「キンタマ系ウイルス」もその放流データもWinny上に残っている。脅威はいまだに去っていないといえるだろう 筆者にとって、すでに終結した事象と思っていた「Winnyによる情報漏洩」が最近また相次いで「発覚」している。そこでもう一度、Winny系のウイルス、特に「キンタマ系」と呼ばれるものについて、4回に分けて考えてみたい。 そもそも「コンピュータウイルス」はアイディアの産物といえる。他のプログラムに寄生することで利用者が意図せずにPC内へと取り込まれ、実行によってPC内の別のプログラムにも寄生するという、古典的なコンピュータウイルスはある意味画期的なアイディアだったと筆者は思っている。 コンピュータウイルスはその後、プログラムだけでなくマクロでも作成可能ということをExcelウイルスで実証し、従来Windowsマシンではありえないと思われていたワーム(ネットワーク越しに感染する)が
モノカルチャーの脅威――新たな標的はPDF
おそらく、Windowsの市場独占に対する最も聡明な反論は、「モノカルチャー」の主張だ。大多数のユーザーが同じプラットフォームを使っていると、それだけ多くのユーザーがそのプラットフォームへの攻撃に対して無防備になってしまう、というものだ。 Windowsは相変わらず独占的だが、ほかにも多数のモノカルチャーが現れている――それぞれに脆弱性の問題を伴って。Windowsと同様に、これらも脆弱性研究、さらには攻撃コード開発の点で注目が高まっている。ある意味では成熟の兆候と言える。 新たなモノカルチャーの筆頭は、明らかにAdobe Acrobatの文書フォーマット「PDF」だ。Acrobatのセキュリティ脆弱性は今に始まったことではないが(ここには1997年のものがある)、最近この分野ではいろいろと動きがあり、こうした問題へのAdobeのこれまでの対応は決して素晴らしいものではない。 直近の問題は
高木浩光@自宅の日記 - 駄目な技術文書の見分け方 その1
■ 駄目な技術文書の見分け方 その1 はてなブックマークのホッテントリを見ていたところ、300を超えるユーザに登録された以下の記事があった。 今夜分かるSQLインジェクション対策, 上野宣, @IT, 2006年11月2日 また上野宣か。顔見知りなのでズバリいくことにする。 しかし、その対策はまだ本当に理解されていないように思える。 へえ。 終わりの方を見てみると、 Webアプリケーションの対策 入力値のSQLの特殊文字を適切にエスケープ 入力値=プログラム(プロセス)に外部から入ってくるもの シフトJISの場合には1バイト文字を整理 SQLの記述をなくすためにO/R(Object/Relational)マッピングを活用 攻撃者に役立つ情報を与えないために、不要なエラーメッセージ(データベースが出力するエラーなど)の表示を抑止 対策に「準備された文」(prepared statement)
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
YOMIURI ONLINEに掲載された「iPhoneで人の情報丸見え」記事について、当事者から。
岡崎市中央図書館 #librahack 事件を取材した朝日新聞記者さんへの質問と回答まとめ (8月21日分)
無線LANに登録されたMACアドレスを知るには - Google 検索