高木浩光@自宅の日記 - Bluetoothで山手線の乗降パターンを追跡してみた , ユビキタス社会の歩き方(6) Bluetoothの「デバイスの公開」「検出可能にする」..
■ Bluetoothで山手線の乗降パターンを追跡してみた この日記を書き始めてからもう6年になろうとしている。書き始めたきっかけは、RFIDタグのプライバシー問題が理解されないことに焦りを感じたからだった。当時の空気では、RFIDタグは5年後くらいに普及し、しだいにRFIDの埋め込まれた日用品で溢れかえるようになり、10年後くらいにプライバシー問題が顕在化すると目されていた。しかし、6年経った現在、私の靴にRFIDタグは埋め込まれていない。 当時の議論で描かれていたRFIDタグの問題は、無線LANやBluetoothにも共通することであり(MACアドレスがユニークIDとなる)、それらの方が先に普及するかもしれないという予感はあったが、現時点でも、無線LAN機器を持ち歩いている人はごく一部の人に限られている。しかし、Bluetoothはどうだろうか。これまでにも何度か、最近のBluetoo
高木浩光@自宅の日記 - 日常化するNHKの捏造棒グラフ
■ 日常化するNHKの捏造棒グラフ こういう話は「なにをいまさら」という感じだが、 「テレビ全体の信頼にも関わる」、NHK放送総局長, 産経新聞, 2007年1月24日 という話も出ていることだし、先週の日記の脚注1にも書いたので、この機会に書いてみる。 先週の件は、NHK総合テレビ1月20日22時放送の「@ヒューマン」という番組だったことまでは思い出したが、残念ながら証拠画像を入手することはできなかった。しかし、画像検索で nhk.or.jpドメインを軽く探したところ、すぐさま典型的な捏造例が2つ見つかった。 図1は、図2のグラフの一部にモザイク処理を施したものだ。 このグラフを提示して何を解説しているかというと、 繊維製品製造業のグラフです。 先進国から発展途上国に大量の生産拠点が移ったため、日本の繊維工場は減少しています。 という。繊維工場が減少していると解説されながら、図1のグラフ
高木浩光@自宅の日記 - 東京地下鉄でBluetooth探査
6路線約4時間で329個のBluetoothデバイスが検出された*1。あまり人は多くなかった。公開設定にしている人の割合は、これまでの経験から、だいたい10人〜15人に1人くらいと感じる。 既知との遭遇 さて、同じ人に遭遇しているだろうか。6路線のログを集計してみると、さすがに同じ人はいなかった。では、この6路線のログを1日夜の山手線4周と7日朝の山手線3周と突き合わせるとどうか。 なんと、驚いたことに4人もいた。 001CEEXXXXXX 2009-03-14.18:04:06 16:56 | 0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48 001CEEXXXXXX
高木浩光@自宅の日記 - Java用「winnytp://」プロトコルハンドラを作ってみたら簡単にできた
■ Java用「winnytp://」プロトコルハンドラを作ってみたら簡単にできた タイミングのよいことに、11日の日記の「Winny可視化のため、WebブラウザにWinnyプロトコルハンドラを」に対して、「高木版Winnyプロトコルハンドラは妙だ」という反応があった。 それを言うなら winnytp://a272e2d2e7a6844d97ab5fd9619be1d6 というURIで、ネットワークのどこかにある a272e2d2e7a6844d97ab5fd9619be1d6 というハッシュのファイルを指すのが自然なんじゃないかと。 高木版Winnyプロトコルハンドラは妙だ, blog.fuktommy.com, 2006年6月25日 べつにそれに限定される理由はない。両方があり得るというだけのことだ。 URL (Uniform Resource Locator) として、場所を指定して
高木浩光@自宅の日記 - 「地底人の秘密」のセキュリティ脆弱性:検索で誘導するテレビCM手法の不安
■ 「地底人の秘密」のセキュリティ脆弱性:検索で誘導するテレビCM手法の不安 富士通FMVのテレビCMで、最後に「地底人の秘密」と入力して検索してみせるシーンが出てくるものがある。こうした手法は以前から他の会社のCMでも商標名を入力させるなどしばしば見かけるようになっていた。 しかし、本物のキャンペーンサイトが検索のトップに出てくるとは限らない。「ある日突然、なりすましサイトがトップに出る」ということも起こり得る。(フィッシング詐欺など。) トップを奪われたとき、それを検索サイトに苦情を言って削除させるというのは甚だ筋違いだし、ドメイン名のサイバースクワッティング紛争と違って、単なるページの内容について文句を言うことはできないだろう*1。 消費者は検索結果を安易に信じたりせず、たとえ画面が本物っぽい内容でも、どこのドメイン名のページなのか常にアドレス(URL)の確認を欠かさないようにしない
高木浩光@自宅の日記 - 無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者
馬鹿じゃないのか。このようなセキュリティに関わる情報公開ページは https:// で提供する(閲覧者が望めば https:// でも閲覧できるようにする)のが当然なのに、携帯電話会社ともあろうものが、そろいもそろってこんな認識なのだ。 (8月2日追記: ソフトバンクモバイルについては「7月27日の日記に追記」参照のこと。) それをまた、ケータイWeb関係者の誰ひとり、疑問の声をあげていないことがまた、信じ難い。何の疑問も抱かずにこれをそのまま設定しているのだろう。 こんな状態では、ケータイWebの運営者は、DNSポイゾニング等で偽ページを閲覧させられても、気付かずに、偽アドレス入りの帯域表を信じてしまうだろう。 つまり、たとえば、example.jp というケータイサイトを運営している会社が example.co.jp であるときに、攻撃者は、example.co.jp のDNSサーバに
高木浩光@自宅の日記 - 「日本のインターネットが終了する日」あとがき
■ 「日本のインターネットが終了する日」あとがき 10日の日記「日本のインターネットが終了する日」には、書ききれなかったことがある。また、頂いた反応を踏まえて追記しておきたいこともある。 青少年は結局どうすればいいのか はてなブックマークのコメントに、「本当に知らなければいけない人には理解されないかと思うとね・・・哀しくなってくる」という声があった。リンク元のどこだったかには、「肝心の子供たちにはどう説明したらいいんだ」というような声もあったと思う。 契約者固有IDの送信を止める設定をしてしまえば、モバゲータウンや魔法のiらんどなどが使えなくなってしまう。設定をアクセス先毎に変更しながら使うという方法もあり得るが、子供たちにそれをさせるのは無理な話だろう。保護者としては、確実に安全に使える設定を施した上で電話を子供に渡したいはずだ。「住所氏名は入れちゃ駄目」というのは、これまでも子供たちに
高木浩光@自宅の日記 - EV SSL導入に伴い生じ得る特有の脆弱性
ANSER WEBというASPサービスでインターネットバンキングを提供している金融機関が、EV証明書を導入した理由は、「NTT DATA CORPORATION」という社会的信頼の高い企業による運営であるという表示によって、利用者に本物サイトであることの確認手段を提供したことにあるのだから、これらの金融機関は、利用者が「NTT DATA CORPORATION」という名称さえ見てくれればいいことを前提としている。 しかし、もし、図3のように、ドブログのようなサイトでまで緑色で「NTT DATA CORPORATION」と表示されるような世の中になってしまったら、どうなのだろうか。 まず、少なくとも、EV証明書導入サイトがやってはいけないことがある。 もし、ドブログのユーザコンテンツ(つまりブログ)のページが、https:// でも表示できるようになっていたらどうか。どこの馬の骨ともわからな
高木浩光@自宅の日記 - 日本のインターネットが終了する日
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
高木浩光@自宅の日記 - MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定を
■ MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定を Mac OS Xの初期設定の危険性 私の周囲に物理的に近づくことのできる人は、私が使っているノート型コンピュータの無線LANインターフェイスのMACアドレス*1を知ることができる。たとえば、セミナー等で私が講演している会場に来れば、講演中に私が無線LANのスイッチを切り忘れていたなら、無線LANのパケットを傍受することで私のMACアドレスを知るだろう*2。それだけでは他の人のアドレスと混じって区別できないだろうが、別の場所で再び同じことをすれば、両方に存在したものが私のMACアドレスだ。 これはもう隠しようがないので、先に自ら暴露してしまおう。「00:1f:5b:d1:ec:bd」は私のMACアドレスだ(図1)。 これを暴露するのはリスクのある行為であり、お薦め出来ない。また、仮に他人のMA
高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
高木浩光@自宅の日記 - IE 7のセキュリティ改善を台無しにするIE 7 Beta2日本語版
■ IE 7のセキュリティ改善を台無しにするIE 7 Beta2日本語版 「セキュリティで保護された」というと何を思い浮かべるだろうか。Windows用語のような気がするが、普通は、SSLによる接続( https:// ページへのアクセス)のことを連想するだろう。(「セキュリティ(暗号化処理)で保護された接続」など。) それはともかく、Internet Explorer 7 がさまざまなセキュリティ上の改良を施していることは既に報道等で伝えられているところだ*1が、報道されていないところとして、「インターネットゾーン」のセキュリティ設定の画面の改善がある。 凶悪設定3兄弟の改善 図1の「Download signed ActiveX controls」の部分は、日本語版で言うところの「署名済み ActiveX コントロールのダウンロード」という、悪名高い設定項目で、アホな業者がしばしばこれ
高木浩光@自宅の日記 - 民間ブランドが行政機関には無益なのならVeriSign独占化を避けるべき, LGPKI Application CAに将来はあるのか
集計してみると、LGPKIを使用しているところが 17箇所、VeriSignを使用して いるところが 10箇所である。オレオレの高知県を除くと、SSLの申請システム を開始しているところの 37パーセントが LGPKI以外の証明書を使用している。 ドメイン名が「lg.jp」か否かということとの関係を見てみると、「lg.jp」ド メインのサイトでLGPKI以外が使われているところは存在しないことがわかる*1。 といっても「lg.jp」ドメインを使っているところは 7箇所しかない。そして、 「lg.jp」ドメインでないのにLGPKIを使っているところが 10箇所ある。 しかし、LGPKI以外を使っているところのすべてが、VeriSignを使っていると いうのは、イカガなものか。 そもそもなぜ、警告が出て安全でないのに(そして市民の安全意識さえも蝕む のに)LGPKIを推進しようとするのか、その
高木浩光@自宅の日記 - セキュリティ商社の餌食になる思考停止事業者を自衛のため見分けよ
■ セキュリティ商社の餌食になる思考停止事業者を自衛のため見分けよ INTERNET Watchの4日の記事によると、UFJカードがフィッシング詐欺対策ツール を導入したという。 UFJカード、フィッシング詐欺を防ぐ個人情報保護ツールを導入, INTERNET Watch, 2005年4月4日 同ツールを起動することにより、利用者がアクセスしようとしているサイトが正規のUFJカードのサイトであるか判別できる。UFJカードを装ったメールに記載されたURLを開くと、正規のページではない場合には「UFJカードとは関連のないホームページにアクセスしました。」というメッセージダイアログが表示される。 そんなことができるのか? と、にわかには信じがたい。UFJカードのプレスリ リースを確認してみると、次のように書かれていた。 本ソフトはフィッシング詐欺*1対策機能等を持っており、お客様はUFJカードホ
高木浩光@自宅の日記 - WinnyのDownフォルダをインターネットゾーンにする
■ WinnyのDownフォルダをインターネットゾーンにする いくつかの国々では、貧困層に薬物乱用が蔓延し、注射器の回し打ちで悪性の感染症が広がっているとき、無料で注射セットを配布するのが正義なのだという。 ニートにWinny乱用が蔓延し、Downフォルダのダブルクリックで悪性のトロイの被害が広がっているとき、私達にできることといえば、せめて安全なファイルの開き方だけは伝えていくことではないだろうか。どうしてもWinnyを使いたいならDownフォルダをインターネットゾーンにして使え、と。 Vector Softライブラリに、「ZoneFolder.VBS」というVBスクリプトのパッケージがある。 この中にある「インターネットフォルダ.VBS」を実行すると、作成するフォルダ名を入力するよう求められるので、できるだけランダムな名前を入力する。
高木浩光@自宅の日記 - ウイルスバスター2006はトレンドマイクロの定義で言うところのスパイウェアである
■ ウイルスバスター2006はトレンドマイクロの定義で言うところのスパイウェアである 星澤さんがウイルスバスター2006のスパイウェア疑惑について、11月2日から書いていらしたが、18日になってもト レンドマイクロから回答が得られないとお困りのご様子だったので、21日 の午前、私も聞 いてみることにした。 一般的に、ユーザからの問い合わせが多くなる商品を販売している会社では、 この種の重要事項の問い合わせ(たとえば脆弱性の指摘など)が、ユーザの一 般的な質問に紛れ込んでしまい、判断のできる肝心な担当者へ情報が伝わらな いということが起きがちなものだ。そこで、大代表に電話をし、個人情報保護 担当者と電話で話したいと伝えた。 (トレン ドマイクロの個人情報保護方針にはメールアドレスしか書いてない。) すると「システムの都合でここから個人情報保護担当者には電話をつなげない」 と言われるわけだが、
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
