高木浩光@自宅の日記 - PayPalフィッシングにひっかかりそうになった
■ PayPalフィッシングにひっかかりそうになった 木曜の夕方から風邪をひいて療養中。昼間寝すぎて寝付けないので日記でも書く。 フィッシングといえばPayPalが発祥の地。実際にどんな状況なのか知るために使ってみるべきだったが、実はこれまで一度もPayPalを使ったことがなかった。2月からWindowsマシンを捨ててMacに乗り換えて以来、シェアウェア料金を支払う場面に出くわすようになった。十年ぶりにKagi.comのシェアウェア支払いサービスを利用したとき、PayPalによる支払いの選択肢があったので、試しに使ってみることにした。 PatPalにアカウントを作成すると何通かのメールがやってくるのだが、これがHTMLメールになっている。このとき、「こんなことやってるからフィッシングにひっかかりやすくするんだよ」と思った。
高木浩光@自宅の日記 - ケータイWebはそろそろ危険
■ ケータイWebはそろそろ危険 これまでの背景と最近の状況変化 「安全なWebサイト利用の鉄則」にある通り、フィッシングに騙されずにWebを安全に使う基本手順は、(パスワードやカード番号などの)重要な情報を入力する直前に今見ているページのアドレスを確認することなのだが、しばしば、「そのページにアクセスする前にジャンプ先URLを確認する」という手順を掲げる人がいる。しかし、それは次の理由で失当である。 ジャンプ先URLを確認する手段がない。ステータスバーは古来よりJavaScriptで自由に書き換えられる表示欄とされてきたのであり、ジャンプ先の確認に使えない。 ジャンプ先URLを事前に確認したとしても、それが(任意サイトへの)リダイレクタになっている場合、最終的にどこへアクセスすることになるか不明。 そもそも、アクセスする前から、アドレス確認の必要性を予見できるとは限らない。普通は、アクセ
高木浩光@自宅の日記 - 日本の携帯電話はいつになったらアドレスバーを付けてくれるの?
■ docomo IDを作ると生でパスワードを保管されてしまう docomo IDについて, NTTドコモ My docomo-新規登録:ご登録前の準備, NTTドコモ docomo IDを作ると初期パスワードが発行されるが、これは各自、愛用のパスワードに変更して使えるようになっている。それなのに、「ID/パスワードをお忘れの方」の説明を見ると、パスワードを忘れたときは、携帯電話で現在のパスワードを閲覧できるのだという。 これはないわ。パスワードは照合さえできればよいのであって、不可逆変換して持っておけば十分。生で持つ*1必然性がない。パスワード忘れの場合は、再発行すれば済むこと。特にここの場合、登録時と同様に、初期パスワードを生成して画面に出せばよいのであって、何ら不都合がない。 弊社サービスではパスワードを平文で保存していますが何か, AnonymousDiary, 2010年1月2日
高木浩光@自宅の日記 - 地域型ドメイン名は廃止してはどうか
■ Firefox 3.5でSSLの確認方法が「緑なら会社名」「青ならドメイン名」と単純化される 今年中には正式版がリリースされると目されているFirefox 3.5だが、現時点でリリースされている3.5b4のベータバージョンで確認したところ、browser.identity.ssl_domain_display の初期設定値が「1」となるようだ。つまり、たとえば、楽天のログイン画面に移行すると、アドレスバー*1が図1のようになる。 これにより、パスワードやクレジットカード番号などを入力する前に、今訪れているサイトが本物であるかどうかを、アドレスバーに表示されるドメイン名で確認できるようになる。 この機能はFirefox 3.0でも実装されていたが、初期設定ではオフにされていた。従来は図2のように、青くなるだけでドメイン名は表示されず、クリックしてドメイン名を確認する必要があった(URL中
高木浩光@自宅の日記 - 通信プラットフォーム研究会 傍聴録 (Google社の発言あり)
■ 通信プラットフォーム研究会 傍聴録 (Google社の発言あり) 通信プラットフォーム研究会が一般公開されているのを最近になって知り、先週7日に開かれた第6回会合を傍聴してきたので、討議の様子を書き留めておく。 それまでの会合の議事録を事前に読んで行ったのだが、これほど大きな会合(たくさんの人に発言権があり、たくさんの人が傍聴するもの)とは予期していなかった。構成員だけに発言権があると思っていた(各回のヒアリング対象が「オブザーバー」として発言することもあると理解していた)が、そうではなく、「オブザーバー」(傍聴者のことではない)全員に発言権がある形式だった。「オブザーバー」の今回の出席者は、配布資料の座席表によると以下の通り。 ヤフー、モバイル・コンテンツ・フォーラム事務局、マイクロソフト、東日本旅客道、日本インターネットプロバイダー協会、テレコムサービス協会、情報通信ネットワーク産
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
高木浩光@自宅の日記 - 朝日新聞の記事を真っ当な内容に書き直してみた
■ 朝日新聞の記事を真っ当な内容に書き直してみた 朝日新聞の 強力ウイルス、ネット銀行標的 「感染なら防御策なし」, 朝日新聞, 2008年3月3日 という記事のことが、スラッシュドットジャパンで「意味不明だ」と話題になっていた。 朝日新聞の「感染なら防御策なしの強力ウイルス登場」報道を理解できますか? , スラッシュドットジャパン, 2008年3月5日 まあ、朝日新聞のIT記事にしては良い出来ではないか。肝心の要点である以下の部分はきちんとおさえられていたから、私には何の話か理解できた。 ユーザーが振り込みをしようとすると、気付かないうちに振込先がウイルス作成者の口座に書き換えられ、振込金をかすめ取られるなどの被害を受けることになる。 しかし、この点がなぜ重要なのか、それが伝わらない記事だったのだろう。 このマルウェアが危険視される理由は、銀行側がこれまでにとってきた「二要素認証」の導入
高木浩光@自宅の日記 - 飾りじゃないのよCAPTCHAは 〜前代未聞のCAPTCHAもどき, CAPTCHA機能の発注仕様をどうするか
■ 飾りじゃないのよCAPTCHAは 〜前代未聞のCAPTCHAもどき CAPTCHA*1が基本的に荒らし対策目的で使用されるものであることは以前にも書いた。ユーザビリティの犠牲が少ないものは早いうちに破られるし、改良してもイタチごっこになることも目に見えている。それでもなお活用する意義があるのは、使用目的が荒らし対策だからだ。新規ユーザ登録や、ログインなしでできるコメントやトラックバックなど、元々自由に利用させる機能である限り、完全に防ぐことはできないのであり、たとえ将来破られる可能性があろうとも何もしないよりはましだというわけだ。(荒らしがよりハードルの低いところへ行ってくれることを期待できる。) そのようなCAPTCHAは、日本ではあまり普及していないようだ。荒し行為が英語圏での状況ほど深刻なものになっていないためか、あるいは、イタチごっこになることが目に見えている技術の採用を嫌う国
高木浩光@自宅の日記 - 三井住友カードのCAPTCHA風無意味画像は月替わり?
■ 三井住友カードのCAPTCHA風無意味画像は月替わり? 8月10日の日記「飾りじゃないのよCAPTCHAは 〜前代未聞のCAPTCHAもどき」で書いた、三井住友カードの「会員番号・暗証番号でのログイン方法」は、その後8月15日に利用したときには、数字画像の背景が黄色になり、パターンが別のセットに切り替わっていた。 あいかわらず、ひとつの数字に1つの画像しかないものであり、これは全く何の解決にもなっていない。色を変えたのは、何がしたいのかまったく意味不明だ。 日替わりか? 週替わりなのか? と気にかけていたが、いつ利用しても変化がなく、同じパターンが使われていた。それが、9月25日に利用した際に、今度はピンク色の背景の別のパターンセットに切り替わっていた。そしてその後から今日まで、同じピンク色バージョンが使われている。 しかも、これら3色のセットはいずれも、CAPTCHA風味を醸し出す曲
高木浩光@自宅の日記 - ファーミング詐欺と区別がつかない自治体電子申請サイト
■ ファーミング詐欺と区別がつかない自治体電子申請サイト 日経IT Proに勝村氏の「記者の眼」が出ていた。 pharming(ファーミング)――オンライン詐欺は「釣り」から「農業」へ?, 勝村幸博, 日経IT Pro 記者の眼, 2005年2月10日 pharming(栽培、耕作)というのは、なかなかよいネーミングではないかと思っ た。勝村氏は、ベンダーのセールストークということを気にしているようだけ ども(私もフィッシング対策でアドホックな対策技術のビジネス展開には疑問 を感じるが)、フィッシングでないものまでもフィッシングと呼ぶよりはよい のではないか*1。 勝村氏は、おそらくメディア記者の中で最もセキュリティ話に強い記者さんで はないかと思う。かなりマニアックな話題が出てくることもあり、技術的に深 く突っ込んで解説されていることが多いし、間違ったことが書かれることが少 ないし、ベン
高木浩光@自宅の日記 - 高度に発展したユビキタス社会ではアクセス制御機能が電気通信回線を通じたものか見分けがつかない
■ 高度に発展したユビキタス社会ではアクセス制御機能が電気通信回線を通じたものか見分けがつかない 6日の日記「ログアウトし忘れのブラウザをそうと知りつつ操作するのは不正アクセス行為に該当するか」の、 「入力」は、ここでは、電気通信回線を通じて対象となる特定電子計算機に他人の識別符号を送信することを意味しているから、他人の識別符号を送信する方法として、一々キーボードを操作することは必ずしも必要ではなく、パソコンのインターネット接続ボタンを押す、識別符号が記録されているICカードを差し込むなどにより、自動的に識別符号を送信するコンピュータの機能を用いて入力することも含まれる。 不正アクセス対策法制研究会編著, 逐条 不正アクセス行為の禁止等に関する法律, 立花書房, p.75 を前提とした続き。 メール盗み見事件 京都市職員を容疑で書類送検, 京都新聞, 2006年9月8日 というニュースが出
高木浩光@自宅の日記 - 民間ブランドが行政機関には無益なのならVeriSign独占化を避けるべき, LGPKI Application CAに将来はあるのか
集計してみると、LGPKIを使用しているところが 17箇所、VeriSignを使用して いるところが 10箇所である。オレオレの高知県を除くと、SSLの申請システム を開始しているところの 37パーセントが LGPKI以外の証明書を使用している。 ドメイン名が「lg.jp」か否かということとの関係を見てみると、「lg.jp」ド メインのサイトでLGPKI以外が使われているところは存在しないことがわかる*1。 といっても「lg.jp」ドメインを使っているところは 7箇所しかない。そして、 「lg.jp」ドメインでないのにLGPKIを使っているところが 10箇所ある。 しかし、LGPKI以外を使っているところのすべてが、VeriSignを使っていると いうのは、イカガなものか。 そもそもなぜ、警告が出て安全でないのに(そして市民の安全意識さえも蝕む のに)LGPKIを推進しようとするのか、その
高木浩光@自宅の日記 - PKIよくある勘違い(0)「サーバ証明書は単なる暗号鍵であり認証局の署名は実在証明にすぎない」
■ NEDOのサイトで4つのサプライズ Firefoxを使用して*1、NEDOのサイトにアクセスする。 一番下に「著作権 ・リンクについて」という部分がある。 サプライズ1 クリックすると第一種オレオレ証明書*2の警告が出る。 サプライズ2 「なんだかなぁ」とうなだれつつ、「OK」ボタンを押してページ内容を 読みに行くと、「原則トップページへご自由にリンクしていただいて結構」と 言いながら、上記条件に合致すれば下記登録フォームに必要事項 を記入 し送信して下さるだけで、リンクして下さって結構です。 と、電話番号か住所の送信を要求している*3。 サプライズ3 「またこういう愚かな記述が……」とぐったりしつつ、 ここで「送信」ボタンを押すと、このページは暗号化され ていますが、あなたがこのページで入力する情報は暗号化されていない接続を 通して送られようとしており、第三者が簡単に傍受できます。
高木浩光@自宅の日記 - 日本のPKIを殺した真犯人は誰か
■ 日本のPKIを殺した真犯人は誰か WebのPKIがもはや再起不能なまでにズダボロになったのには、日本特有の原因 もある。そう思える根拠が2つある。 日本サンマイクロシステムズ犯人説 10月17日の日記「電子政府つくるは素人ばかり」に書いた、つくば市の電子申請・届出 システムの事例では、署名Javaアプレットを閲覧者に実行させるにあたり、 つくば市は、「NTT BizLink,Inc」という得体の知れない認証局により発行さ れた「TSUAPP0002」という出鱈目な証明書*1を用いてアプレットに署名していた。 これについて市役所に問い合わせた際、担当者は、 「信頼できる団体と考えている。 矛盾した表示になっているが、これはマイクロソフトが……。」 とコメントしていた。 全くナンセンスなコメントなのだが、じつは、ここにこの問題の病根が垣間見 える。 たしかに、「信頼できない団体」という表現
高木浩光@自宅の日記 - 電子政府つくるは素人ばかり, 信頼済みサイトゾーンのセキュリティレベルは「中」でなくてはならない, 使ってもいない機能を意味..
■ 電子政府つくるは素人ばかり つくば市の電子申請・届出システムがリニューアルした。行ってみると、いきなりこんなことが書かれていた。 ご利用のブラウザ等の設定により,下の図のようなセキュリティ情報が表示される場合がありますが,問題ありません。「はい」をクリックしてください。 市役所に電話して尋ねたところ、こういう感じの応答になった。 私: 問題ないのでしょうか? 市: 問題ないですね。 私: 問題ないのにどうして出るのでしょうか? 市: そうですね……。ブラウザの設定に起因する。 私: ブラウザの設定が悪いということですか? 市: そうではない。マイクロソフトがこういうふうにしているので。 これは、https://... のページのサブフレームの中に http://... のページを埋め込んでいるために発生している。フレームの中に入れなければよいのだし、他にも解決方法は何通りもある。 それ
高木浩光@自宅の日記 - せっかく購入した証明書をまるで無駄にする新潟県
■ 銀行スパイウェア犯と同じ手法でWindows XP SP2の警告を回避する警察庁電子申請システム 政府が整備を進める電子申請システムにおいて、中央官庁の大半がオレオレ証明書を使用し、オレオレ認証局をWebからダウンロードしてインストールするなどという不用意極まりない習慣を国民に植え付けようとしていたなか、警察庁だけは当初から違う対応をとっていた。 警察庁の電子申請システムはオレオレ証明書を使用しているものの、「警察庁認証局」のルート証明書をCD-ROMで入手しなければならないことになっている(第三種オレオレ証明書)。 警察庁認証局の自己署名証明書(ルート証明書)の入手 インターネットを利用して警察庁へ電子申請をしようとする場合には、通信の安全性を確保するために事前に以下の窓口に問い合わせて警察庁認証局の自己署名証明書(ルート証明書)を入手して下さい。 入手方法はCD-Rの手渡し又は、郵
高木浩光@自宅の日記 - IE 7のセキュリティ改善を台無しにするIE 7 Beta2日本語版
■ IE 7のセキュリティ改善を台無しにするIE 7 Beta2日本語版 「セキュリティで保護された」というと何を思い浮かべるだろうか。Windows用語のような気がするが、普通は、SSLによる接続( https:// ページへのアクセス)のことを連想するだろう。(「セキュリティ(暗号化処理)で保護された接続」など。) それはともかく、Internet Explorer 7 がさまざまなセキュリティ上の改良を施していることは既に報道等で伝えられているところだ*1が、報道されていないところとして、「インターネットゾーン」のセキュリティ設定の画面の改善がある。 凶悪設定3兄弟の改善 図1の「Download signed ActiveX controls」の部分は、日本語版で言うところの「署名済み ActiveX コントロールのダウンロード」という、悪名高い設定項目で、アホな業者がしばしばこれ
高木浩光@自宅の日記 - Mozillaで弱い暗号を使わない設定と銀行サイトで利用可能な暗号
■ Mozillaで弱い暗号を使わない設定と銀行サイトで利用可能な暗号 以下は、昨年10月16日に書き始めたものの、頓挫していた日記ネタである。書き終わっていないが、ワケあって今日、取り急ぎ放出する。以下の表にある調査内容は、昨年10月16日時点のものであり、現在もこの状態であるとは限らない。 職場では隣の席にいる大岩さんの自宅の日記に、Mozillaで弱い暗号の使用を無効にする方法が書かれている。 40ビット暗号の攻撃可能性 Mozilla Suite における弱い暗号化を無効化する設定 Mozilla Firefox における弱い暗号化を無効化する設定 私は9月8日の日記で、 サーバ側がSSL 2.0しかサポートしていないWebサイトにアクセスすると、弱いプロトコルで通信させられることになるので、ユーザの自衛策として、ブラウザの設定で「SSL 2.0を使用する」をオフにしておいた方がよ
高木浩光@自宅の日記 - ウハ、三井住友銀行の素晴らしいセキュリティ教室
■ ウハ、三井住友銀行の素晴らしいセキュリティ教室 昨日の日記でリンクした「シンプルな安全確認ルールと……」の講演では、「本当に伝えるべきことを誰も伝え ていない」という趣旨のことを述べたのだったが、なんと、民間事業者が 既にそれを伝えていたことを知った。 簡単! やさしいセキュリティ教室 金融犯罪に遭わないために, 三井住友銀行 すばらしい。ほぼ完璧の出来栄えだ*1。いつから公開されていたのだろう? 少なくとも10月31日には既にあったようだ。 ぼやぼやしているうちに仕事を一つ先に取られてしまった。 以下、ハイライトシーン。 そもそも「アドレスバーがない」なんて論外 簡単!やさしいセキュリティ教室, 三井住友銀行 うはは。 三井住友銀行では、このような画面によるログイン方法を提供しません 簡単!やさしいセキュリティ教室, 三井住友銀行 うひひ。 偽メールの例3 ただいまアクセス集中により
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
高木浩光@自宅の日記 - Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6)