筆者の敬愛するショートショートの天才 ラファティ の「九百人のお祖母さん」  同じ作者の「つぎの岩につづく」

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

究極のスペシャリティコーヒー ゲイシャ(geisha)

 まったくセキュリティの話題ではないのですが、数年前から筆者はスペシャルティコーヒーに凝っています。スペシャルティコーヒーというのは、平たく言うとおいしいコーヒーです。くわしくいうとこういうことらしいです。
 カップオブエクセレンスの新しいのが入ると、いち早く試してました。数年前は、まだ入手しにくかったと思うのですが、最近は簡単にだいたいの豆は入手できるようになりました。
 でも、最近は、ゲイシャ(geisha)しか飲んでません。
 これは全然違います。一瞬、軽いように感じるのですが、深い味と香りがずっと残ります。なんといってもすごいのは、「お茶」という感じがします。おかげで、毎月、すごいコーヒー代かかってます。
 楽天でもamazonでも入手できます。

 ちなみに、こんなお店で扱ってます。amazonに出店しているのは、ひぐちさんだけみたいです。
 珈琲工房ひぐち
 直火焙煎コーヒー豆 しげとし珈琲
 珈琲の王国Beans510
 コーヒー豆専門店 豆蔵
 珈琲豆の宅配便 かほりちゃん
 広島珈琲
スポンサーサイト

日本最強のサイバーテロ集団とは……マングローブ

 盗聴のことを調べていたら、ふと西岡研介の「マングローブ―テロリストに乗っ取られたJR東日本の真実」
を思い出して、読みかえした。西岡研介さんは「噂の真相」で検事長のスキャンダルをスクープするなどしたつわものです。西岡研介さんの本

 本の内容は、まあ、タイトルそのまんまなんですが、膨大な事実と取材で積み上げられていて、われわれの身近でこんなことが起きていたのかー、と驚くことしきりだったりします。
 なんといっても、この本を読むと日本最強のサイバーテロ集団って、革マル派じゃないのか? という気持ちになりますね。西岡さんはサイバー方面は、それほど取材していないのですが、ところどころに垣間見える断片から、かなり実践的な技術を持っていそうな印象を受けます。学生運動はなやかな頃に青春を過ごした人には革マル派というと、懐かしい響きがあるかも知れませんが、過去の存在ではないということがこの本を読むとよくわかります。

「マングローブ―テロリストに乗っ取られたJR東日本の真実 」 西岡研介 講談社 (2007/6/19)
「『JR総連・東労組』崩壊の兆し!?―「JR東日本革マル問題」の現状」 宗形 明 高木書房 (2007/10) 

最大100万件のメールアドレス漏えいなのかも?

 筆者は別に漏えい事件を探しているわけではないのだが、また見つけてしまった。
 通常アクセス可能な範囲以上をつつくと、違法行為になりかねないので、あくまで推定ですが、100万件以上あるかも。
 最近筆者が見つけた中では一番規模が大きいし、システムの脆弱性とか、ファイルの消し忘れとか、いろんな要因がからんでいるようなので、修正もやっかいそうである。安易に作ったCMS+会員管理って、かなりヤバイいんじゃないの?
 ああ、頭が痛い。
 他力本願で、善意の協力会社さんに、通報などをお願いしています。
 対処完了したら、くわしい話を紹介したいと思います。

あー失踪したい 「失踪日記」 吾妻ひでお
「うつうつひでお日記」 吾妻ひでお
「リトル・フォレスト 」五十嵐 大介


CMSと会員管理システムのよくある問題

CMSと会員管理システムだと、ページを下記のどちらかあるいは両者の折衷案で生成しているような気がする。会員管理の場合も人数多いと「1.」じゃなくて「2.」で対応しているとこもあるみたいだ。最新の情報を見たい人は「更新」ボタン押すとかね。

 1.個々のリクエストごとにいちいちDBにクエリ発行して、動的にページを生成する
 2.なんらかのタイミングで静的ページを生成して、一般の外部には静的ページを閲覧させる
   例えば、新しい記事をDBに登録したタイミングで、静的ページを生成するとか
   一定時間おきに、DBの最新情報でいっせいに更新かけるとか。1日1回あるいは数時間に1回くらいなのかな?
(2008年11月27日)

ところで、設計時点で想定していないページが生成されてしまった場合ってどうなるんだろう? そのまま放置されるんじゃ? 存在するページ(リンク切れとか、ページが消えているとかあるんで)からインデックスとか生成するツールもあるみたいだけど、それって最終的には、ページをひとつづつ人間が眼で確認するんだよなー。そうでないとエラーページとか、想定外のページとか、判断できないもんね。どうなんだろう? (2008年11月28日追記)

more...

手帳とカレンダーをネットで買おう

 買わなくては思いつつ、ついつい忘れてしまう手帳とカレンダー。
 今年もまだ買っていません。
 思い出した時に、ネットで買ってしまうことにしました。
 筆者がここ数年愛用しているのは、ジーパンのポケットにも入る超コンパクトな能率手帳「ライツ2小型版」です。
 カレンダーは、同じく能率協会のA5サイズの卓上カレンダー。本当は、大きなカレンダーを壁につるしたいのですが、いかんせん賃貸の貧乏住まいなものでかけられないんですね。このカレンダーは見やすいし、持ち運びしやすいんで、重宝しています。イノベーターとか、高橋書店とか、いろいろ使いましたが、今はこれを使ってます。

more...

あの記事がよく読まれたみたいなので

 こんな会話がありました。クリックすると拡大します。筆者のヘタ4コマです。

more...

「サイバーセキュリティ賢者の選択」体験談をいただきました

 ここのところ、インシデントの通報先の話を書いていますが、昨晩、実際にIPAさんに通報した経験をお持ちの方からコメントをいただきました。
 内容はかなり具体的であり、ガセではなさそうだし、他の方の参考になりそうなので、ご紹介したいと思います。
 以下、いただいたコメントを筆者がアレンジして、伏字にしたものです。moreをクリック!

 そろそろ買っておかなければ……筆者は毎年、能率手帳ライツ2小型版です。手帳、カレンダー

more...

修正情報 筆者の事実誤認などを修正しました

 下記の記事に、みなさんにご指摘いただいたものを反映して、修正しました。

 コメントありがとうございます IPAとjpcert/ccさんについて

 事実誤認もありました。お恥ずかしい次第です。
 ご指摘いただいた方々にお礼を申し上げるとともに、関係各位に深くお詫びします。

サイバーセキュリティ賢者の選択-自分が被害者で発見者になってしまったら

先日、Scan Vol.496 に「サイバーセキュリティ賢者の選択-自分が被害者で発見者になってしまったら 」という記事を寄稿しました。
この記事は、下記の記事の続報というか、その後、考えたことみたいなもので、雑感みたいなものである。

発見した事件や脆弱性の通報先 誰か受け取って!

すごくアクセス増えました。
いろいろ反響もあり、当該サイトでちょっと動きがあったりもしました(くわしくは後日、ご報告します)。
ひとつだけ、補足しといた方がよさそうなことを、くどいようですが、書いておきます。

個人情報を流出させてしまっているサイトに
 ・事故への対応
 ・利用者への報告
この2つを対応してもらいたいと思っているのですが、日本にはそういう指導を強制力を持って行えるとこがないのです。

セキュリティホール memoさんにもコメントをいただきました。まったくおっしゃる通りだと思います。でも、それだと結果として、なにもしないで、自分だけ利用するサイトを変えるのと変わらなかったりするような気がします。垂れ込みには、常にリスクがあるので、報告して改善される可能性とどっちもどっちではありますが……
うーん、jpcert/cc かー。今度、なんかあったら、連絡してみるかなー?

その後 善意の協力会社さん経由で連絡 問題サイトのひとつは対処完了の模様

先日、このブログとScanさんの記事で書いた情報漏えいの件ですが、善意の協力会社さんがあらわえました。無事に、そちらのお会社さん経由で、問題サイトおよびIPAへの連絡は完了しました。
みなさん、ありがとうございました。
問題のサイトは複数あるのですが、ひとつのサイトでは、とりあえず情報漏えい元のファイルを削除したようです。

発見した事件や脆弱性の通報先 誰か受け取って!
民間のセキュリティ研究者がセキュリティインシデント通報先を募集

IPAさんも今回は迅速に対応していただけたようで、善意の協力会社さんがIPAさんに連絡して、すぐに当該問題サイトに連絡をしていただけたようです。
ありがたいことです。「のろい」などといって、すいませんでした。

ただ、今のところ、そのサイトでは、利用者にお詫びはもちろん、なんの情報公開もしていません。
うーん、ずっと黙っているのかな?
動きあったら、続報します。

メールのセキュリティって SSLとかS/MIME

メールのセキュリティについて原稿を書くことがあり、あらためてSSLやS/MIMEの普及状況について少し調べてみた。
まあ、調べたといっても、ぐうたらな筆者なので、WEBでチェックするくらいです。
プロバイダは、驚くほどSSLやS/MIMEを採用しませんね。取り扱ってもべらぼうに高い有料オプションだったりとかで、やる気がないことおびただしい。
ニフティなんか、SSL対応にしようとすると毎月千円以上かかるんですよ! これだったら、どっかで新規にSSL対応のメールアカウント別途契約した方がやすいんじゃないか?
自分とこで利用者に送るメールには、S/MIMEの電子署名もつけていないし、でもって内容がフィッシング詐欺にご用心みたいなのが記事であったりすると「おまえがいうな!」という感じですね。
SSLにいたっては、WEB上でSSLなら安心みたいなことをいっていたりするので、じゃあ、なんでメールはSSL使わないんだとつっこみたくなる。
これだけ利用されているメールなのに、なんでここまでセキュリティ対策を放置してるか非常に不思議である。

●筆者の使っているソフト
秀丸エディタ作者の作った 秀丸メール S/MIME、SSLにも対応 動作も速い優れもの

たった1,365円の国産ネットワークスニファ VIGIL だからといってメール盗聴してはいけません


コメントありがとうございます IPAとjpcert/ccさんについて

 先日、個人情報漏えいと脆弱性情報について、誰か受け取って欲しいということを書いたところ、さまざまな方からコメントをいただきました。「私が受け取ります。まかせてください」という方には、個別に連絡させていただいております。
 それとは別に「IPAに届け出するとよいです」「jpcert/ccに届け出るといいです」といったアドバイスを複数いただきました。アドバイスはありがたいのですが、IPAとjpcert/ccに届けを出さないというか、出せないので、ここでその事情を書いておきたいと思います。

 ・この2つの組織は、不正アクセス禁止法に抵触する可能性を問題のサイトが指摘してきた場合、通報者を守ってくれないような気がする
  通報者を守るというのは、それなりに骨の折れる作業で、ポリシーを守る気概がないとできないと筆者が考えています。しかしながら、この2つの組織の多くのメンバーは、他の組織(主として民間企業)からの出向者です。数年の出向中に刑事事件化しかねない案件に必要以上に関係したくないと判断すると思います。
  筆者は「サイバーノーガード戦法」とか言い出した本人なので、問題サイトが提訴してくる可能性も考えないと怖いです。
  「水無月ばけらのえび日記」脆弱性届出の危険性と動機にて過去に300件以上、通報して大丈夫だったというご指摘をいただきました。もっとも、同じ記事で大丈夫とも言い切れないと懸念ももたれているようです。アドバイス、ありがとうございます。(2008年11月26日追記)
 過去に「サイバーセキュリティ 賢者の選択」に近い経験を実際になさったAさんから情報提供がありました。ありがとうございます。記事はこちらです。やっぱり、怖いです。(2008年11月26日追記)

 ・情報公開しない 情報隠蔽を前提として届け出る必要がある
  個別の問題の内容については、基本的にこれらの組織では公開しませんし、問題のあったサイトに対して公開するように伝えたとしても強制力はありません。言葉は悪いですが、これらの組織に問題を届け出るということは、問題のあったサイトの情報の隠蔽を認めることが前提となります。
  これは非常によくないことだと思います。

 ・IPAは、インシデント情報は受け付けない
  基本的な技術知識の欠如あるいは、ポカミスによる個人情報の漏えいは、脆弱性ともいえるし、インシデントともいえます。IPAではインシデント情報は受け付けていませんので、対象外となります。
  自己保身を含め、さまざま理由で受け付けたくない場合は、インシデントということで回避可能です。

  ↑ 別記事で描きましたが、今回は前向きに対応していただけました。私の認識違いでした。申し訳ありません。(2008年11月18日追記)

   セキュリティホールmemoさんにて、個人情報がWEBに放置されていた場合もIPAさんの「ウェブアプリケーション脆弱性関連情報の届出」 で対応することになっているというご指摘をいただきました。筆者の知識不足でした。この場を借りて、お礼させていただくいとともに、関係各位にはお詫びして、修正します。なお、ご指摘いただいた記事はこれじゃなくて、この記事だと思います。これには、IPAに関する記載はありません。
勝手なお願いですが、IPAの人は、ものすごい勢いでここを見ているようなので、よかったら、事実誤認があったら、お知らせください。事実誤認はすぐに対応します。「なにを書かれているか気になるが、まともに相手にしたくない」という気持ちは、よくわかりますけど……(2008年11月23日追記)

 ・のろい やっぱり遅いかもというご指摘もいただきました(2008年11月26日追記、本文を参照)
  まあ、のろいですよね。
  ↑ 別記事で描きましたが、今回は迅速に対応していただけました。私の認識違いでした。申し訳ありません。(2008年11月18日追記)
 IPAさん自身の対応は、遅くはないが、強制力がないため、結果として対応が遅くなる(あるいはしてもらえない)ということが多いみたいです。(2008年11月23日追記)
 「水無月ばけらのえび日記」にて、最近は、遅れ気味というご指摘がありました。ありがとうございます。やっぱり遅いのかな。(2008年11月26日追記)
その他、いろいろいいたいことはあるのですが、まあ、主なとこは、こんなとこなのだと思います。
でも、誤解しないでください。IPAもjpcert/ccも存在価値のあるよい組織だと思います。でも、現在の制度のもとでは、脆弱性情報、インシデント情報への対応という点では、じゅうぶんな機能を果たせないのではないかと思います。
組織や担当者の問題ではなく、セキュリティ情報を取り巻く制度の欠陥だと思います。ようするに、セキュリティ情報をまともに扱っても、なにもいいことはない(というか、むしろよくいないことが起こりかねない)から、誰も扱いたがらないってことなんですよね。こういう状況でIPAやjpcert/ccに、脆弱性情報やインシデント情報への適切な対応や指導を求めるのは酷というものだと思います。

余談ですが、これらの組織の方もこのブログはごらんになっているようです。もちろん、「うちで受け付けています」という申し出はありません。ご本人たちが、現行制度上での限界をよくご存知なのだrと思います。子供じみたあてこすりの自粛をはじめました。(2008年11月26日)

ESET Smart Security パッケージ版 2,708円  ダウンロード版
仮想ブラウザ ZoneAlarm ForceField 3,899円  ダウンロード版
秀丸エディタ作者の作った 秀丸メール かなり優れもの
PrisonMEMO 国産プロファイリングツール
国産ネットワークスニファ VIGIL 安価で強力
 

発見した事件や脆弱性の通報先 誰か受け取って!

 このところ、立て続けに、ヤバイもの(個人情報漏えい、脆弱性)を発見してしまっている。
しかし、困ったことに、どこに通報すればよいのかわからない。
 もちろん、その事件の発生もとの会社に連絡するという手もあるが、「サイバーノーガード戦法」をとられて、さらにこちらを悪者にしたてるというクロスカウンターを放ってくる危険性が高い。
見も知らない人間から「オタク、個人情報漏れてますよ」とかいわれたら、まず通報者が恐喝とかなんか、ヤバイこと考えているんじゃないかと疑うのは無理もないだろう。

 となると、じゃあ、警察?、いや、それもこっちの素性を明かしたり、状況を詳しく説明したりと、ものすごく面倒かつ最悪こちらが悪者扱いされるリスクが高い。
 こういうことを管轄している業界団体もないし、持ち込み先がないのである。

 そこで、ハタと気がついたセキュリティ関連企業であれば、筆者のかわりにもとの会社へのコンタクトとかしてくれるかも知れない。セキュリティ関連企業なら自分とこの実績にもなるし、うまくすれば仕事ももらえるかも知れない。
 幸い、このブログのアクセスログを見ると、セキュリティに関係してそうなとこも少なくない。

 そこの あ な た 。
 お願いだから、筆者の発見した個人情報漏えいや脆弱性を私に変わって、その企業に連絡してくれませんか?
 お礼とかまったくいりません。
 記事にさせてくれれば、それでOKです。

 ご希望の企業さんは、この記事にコメントしてください。コメントは非公開となり、筆者以外は見ることができません。


偽ウィルスソフト fakealerを見たよ

fakealer というトロイの木馬の仲間がある。
偽のアンチウィルスソフトをダウンロードさせて、クレジット番号とか盗もうとするやつらしい。

fakealer ってこんな感じ
マカフィーさんとこの説明
トレンドマイクロさんとこの説明
IT Proさんとこの記事

筆者が見つけたのは、下記のURLであるって、そこにゆくと感染しちゃうかも知れないよ。
してはいけません。見た感じちゃんとしたサイトっぽく作ってあるんですね。すごいですね(死語)。

追記を開くと、そのURLを見れますが、アクセスしてはいけません。
アクセスする時は、じゅうぶん準備と注意をいたしましょう。

more...

dynabook ss RX2/T7G を買った

筆者は10年くらい ThinkPad 以外のパソコンを使っていなかったのだが、Lenovo に変わってからどうもしっくりこないんで、他メーカを試してみることにした。
軽くて使いやすそうだったので、dynabook ss RX2/T7G にしてみた。

他メーカを使ってあらためて ThinkPad のよさがわかってしまっうという、あまりうれしくないことになyっている。もっとも、筆者はどっぷり ThinkPad にはまっているので、かなりバイアスがかかっていると思って読んでください。

ThinkPad と比べて気になるのは・・・


more...

みなさん、自分のメールアドレスを検索してますか?

みなさん、自分のメールアドレスを検索してますか?
運が悪い人は、大量のメールアドレスが放置されているページにヒットしてしまうかも知れません。
もちろん、その大量のアドレスの中に、自分のアドレスがあるわけなんですが・・・・・・

冗談だと思うかも知れませんが、いまだに、アングラサイトでないまっとうな商売をしてそうなサイト上に、メールアドレスあるいはそれに加えた個人情報が放置されていることが少なくありません。
もっとも、そのような状態を見つけても、下手に文句をいうと不正アクセス禁止法で訴えられる可能性もあるので、注意が必要です。
自己紹介

LANGLEY

Author:LANGLEY
セキュリティにカンするコラムを書き散らしています。
あくまでもコラムなんで、気楽に読み物としてご覧ください。

カテゴリ
ちょっといいソフト
最新記事
月別アーカイブ
最新トラックバック
星新一DVD
メールフォーム
原稿依頼、たれこみは、こちらからどうぞ

名前:
メール:
件名:
本文:

RSSリンクの表示
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。