2005年06月14日(火)
<< 前の日記 | 次の日記 >>
これまでの06月14日
編集
■1 携帯のネット履歴分析 光高校爆発事件で山口県警[http://www.chugoku-np.co.jp/News/Sp05061301.html]次の記事 >> | 固定リンク | Tweetする
この手の事件が起きるといつも感じるんだけれども、
県警は、生徒が 主にネットから知識を得て自宅で爆発物を作ったとみている。 製造方法を解説した書籍が、自宅の捜索で見つかったことも判明した。なのに、
男子生徒は「火薬は市販の花火をほぐして集めた。インターネットのホームページを参考にした」と供述。と、「インターネット」に関する供述だけをクローズアップして、
高度な知識が必要と思われがちな爆発物の製造だが、 インターネットでは「マニュアル」などと称して、爆発物の材料や製造方法を掲載するサイトが氾濫(はんらん)している。過去に発生した少年による爆弾事件でも、大半が「インターネットから知識を得た」と供述。興味本位から安易に爆発物を製造するケースも後を絶たない。と、インターネットの負の側面のみを強調。 こういったマスコミのネガティブキャンペーンに乗って、
村田国家公安委員長も記者会見で「言論と出版の自由はあるが、(インターネット上の)ルールを作らないといけない」と語った。といった、言論抑圧が正当化されていくのは恐ろしい限りだ。
□ 自分で爆弾を作るとしたら:
やはり、まず信用できる書籍に頼るだろう。ネットの情報と比べて、書籍の方がまだ筆者の信憑性の確認が取りやすい。爆発物を作るような状況では、失敗したら自分の命が危ない筈だから、信用できる資料を探したい。
恐らく、高校や市町村の公共図書館にある資料だけで、今回のレベルの爆弾は作れるはずだ。試しに近所の図書館の蔵書検索をして、要素技術が揃いそうかどうかは確認してみたが *1 、十分な文献があるようだ。こういった書籍で調べて作っていたら、今回の事件を上回る被害が出ていたと思われる。
私は作らないけれども、作れるだけの情報は何も「暗黒のネット」だけではなくて世の中に溢れていることは確かだ。ネットはアクセスを容易にしているだけに過ぎない。
恐らく、高校や市町村の公共図書館にある資料だけで、今回のレベルの爆弾は作れるはずだ。試しに近所の図書館の蔵書検索をして、要素技術が揃いそうかどうかは確認してみたが *1 、十分な文献があるようだ。こういった書籍で調べて作っていたら、今回の事件を上回る被害が出ていたと思われる。
私は作らないけれども、作れるだけの情報は何も「暗黒のネット」だけではなくて世の中に溢れていることは確かだ。ネットはアクセスを容易にしているだけに過ぎない。
*1: 迷ったけども、ここには検索キーワードや具体的な書籍は掲げない。
「日記で読んで図書館で借りてきて作った」はさすがに困るからだ。
この記事に頂いたコメント
- Re: 携帯のネット履歴分析 光高校爆発事件で山口県警 by - 2005/06/15 00:56
- ネットで調べたら自爆しそうですもんねぇ・・・。 <s>嘘情報多すぎですよ。<...
- Re: 携帯のネット履歴分析 光高校爆発事件で山口県警 by ten 2005/06/16 07:56
- 言論が抑圧されるのが恐ろしいことには同意ですが、インターネットを利用している 人...
■ 関連記事
- 社員寮管理人夫婦殺害事件「テレビのニュース番組を見て思いついた」…両親殺害高1が供述2005-06-29
- 爆発物製造図った高校生を逮捕 埼玉、殺人予備容疑で2003-08-16
- 捜査情報流出:興味本位でウィニー設定 愛媛県警の警部2006-03-09
- Linuxセキュリティ How To2000-05-18
- 東京・杉並区のマンションで2歳男児がスプレー缶を炊飯器に入れ加熱 爆発で壁崩れる2005-12-18
- パイプラインでウオツカ密輸2004-12-11
- ぐる2005-02-01
- ぐる2002-09-07
- ダウンロード違法化反対家の知られるべき実像2009-08-31
- 「脱線」便乗詐欺が数十人? JR西、不審者リスト提出2005-06-07
- バカニュース2004-05-29
- 高校の同窓生と飲み会2005-05-04
- 個人データ引き出す 京大の研究員を逮捕2004-02-04
- ドラマに見るサーバルーム2005-04-21
- “官製SNS”で地域コミュニティ復活 行政スリム化も2005-06-21
■2共用サーバのPHPスクリプトからデータベースに安全に接続する方法<< 前の記事 | 次の記事 >> | 固定リンク | Tweetする
パスワードをスクリプトに書くと他のユーザから読むことができるので困る。たとえFTPでアクセスできる空間が制限されていても、悪意のあるPHPスクリプトを設置されると読み出される可能性がある。
この問題、前に議論した覚えがあるなぁと思って検索したら、 [PHP-users 13062][http://ns1.php.gr.jp/pipermail/php-users/2003-February/013594.html] だった。自分のためのまとめが役に立った。今だと、perchildも魅力的。
あれ、でも、.pgpassってどうやって誰のホームの.pgpassを読み込んでいるんだろう。ちょっと確認しておこう。
この問題、前に議論した覚えがあるなぁと思って検索したら、 [PHP-users 13062][http://ns1.php.gr.jp/pipermail/php-users/2003-February/013594.html] だった。自分のためのまとめが役に立った。今だと、perchildも魅力的。
あれ、でも、.pgpassってどうやって誰のホームの.pgpassを読み込んでいるんだろう。ちょっと確認しておこう。
□ interfaces/libpq/fe-connect.c[http://developer.postgresql.org/cvsweb.cgi/pgsql-server/src/interfaces/libpq/fe-connect.c]:
getpwuid()ベースで読むけれども、PGPASSFILE環境変数を渡すこともできるようですね。
ファイルは指定できるけれども、結局パーミッションの問題から逃れられないかなぁ。 管理者が各ユーザ毎にパスワード指定してデータベースを予め用意する運用だったらいけるかも知れない。ダメかな。環境変数は書き換え可能だな。
ファイルは指定できるけれども、結局パーミッションの問題から逃れられないかなぁ。 管理者が各ユーザ毎にパスワード指定してデータベースを予め用意する運用だったらいけるかも知れない。ダメかな。環境変数は書き換え可能だな。
■ 関連記事
- 続・共用サーバのPHPスクリプトからデータベースに安全に接続する方法2005-06-17
- 続・SC4202005-06-15
- mod_proxy_pass_env.c2002-11-07
- [PHP-users 12442] PHPとColdFusionの比較優劣2003-01-08
- マシン切替器2002-03-31
- 続・PHPでNPHな処理2003-10-01
- 携帯向けインターネットブラウザScope - 情報漏洩問題まとめ2005-08-07
- typoによるバグ2003-07-29
- メータ巻き戻し2001-03-09
- 買いたい本2003-10-06
- シリーズ・クロールとDoSの違いと業務妨害罪と(6) - レガシーの呪縛2010-07-23
- 大文字と小文字2003-02-13
- cronでうまく動かない2000-05-07
- ぐる2009-08-22
- 「スクリプトを実行しても安全だとマークされているActiveXコントロール」は安全か2005-04-07
■3 ソフトバンクBB、1千万円着服容疑で元室長を告訴[http://www.yomiuri.co.jp/national/news/20050614ic03.htm]<< 前の記事 | 次の記事 >> | 固定リンク | Tweetする
本社の危機管理室内で、金庫に入れていた約1000万円がなくなっているのを社員が気づいた。何のための現金だったのかはさておき、現金1000万円が漏洩する位だから、何が漏れても不思議では無い。しかも、「危機管理室」から漏れるのだから仕方がない。
■ 関連記事
- 新型インフル、世界の死者8000人に迫る 1週間で1000人超増加2009-11-29
- robots.txtに従わず、図書館HPにアクセス3万3千回 業務妨害容疑で男逮捕2010-05-26
- 「ワンクリック請求」初摘発、被害6億6000万円2005-04-13
- 危険なチャリンカー商法とは2005-04-06
- ふうどりーむず、おせち遅配で4億円減収2006-01-07
- 「カカクコム」からの個人情報盗難はSQLインジェクションだった2005-07-07
- 続・ robots.txtに従わず、図書館HPにアクセス3万3千回 業務妨害容疑で男逮捕2010-07-12
- 千円札コピー11枚、小6男児「自販機で試そうと」2009-09-25
- スパイウエア使った不正振り込み、容疑で男逮捕 警視庁2005-11-10
- 売春周旋容疑:女子生徒にノルマ、32歳女逮捕 警視庁2010-05-14
- 1700万円通帳届け出たのに・・・報労金255万円求め提訴2009-10-17
- RAID話2002-09-18
- 海賊版で9000万円 自称「西の横綱」逮捕2005-04-30
- 内部機密情報のセキュリティ対策2004-03-15
- ぐる2002-01-31
■4 全国初フィッシング詐欺摘発〜Yahoo!に似せたサイトで[http://www.atmarkit.co.jp/news/200506/14/phishing.html]<< 前の記事 | 次の記事 >> | 固定リンク | Tweetする
ヤフーはこのサイトが使っていた 「Yafoo!」のロゴやサイトのデザインが同社の著作権を侵害しているとして著作権法違反で被害届を提出していた。画面キャプチャーを掲げているところもあるが、本来、フィッシングは「似せた」サイトではなくて、画面の内容は全く同じなのだ。
この辺りをしっかり報じないと、利用者の対策が全く間違った方向に行ってしまう。 確認すべきはアドレスであって、画面に表示されているロゴの間違い探しをしても仕方がないのだ。
■ 関連記事
- Yahoo!ニュースに似せた「中国軍侵攻」記事、ヤフー「警察に被害届」2005-10-19
- ちょっとまったFC2ブックマーク2005-09-15
- フィッシング詐欺防御ソフト関連のコメント2005-04-12
- ディープリンクについての考察2005-06-05
- 日記サーバ移転2002-02-22
- 「最高レベルのセキュリティが破られた」――カカクコム、不正アクセス事件を説明2005-05-18
- 「ディープリンクは著作権侵害となる可能性があります」2005-06-03
- 「ワンクリック請求」初摘発、被害6億6000万円2005-04-13
- 続・「セキュリティのため」ActiveXコントロールの導入を勧めるUFJカード2005-04-05
- 高知県電子申請システムはどうしてアドレスバーを隠すのか2005-02-16
- 日本企業初!!フィッシング詐欺対策機能を持ったツールを導入2005-04-07
- フィッシングに対する注意2005-08-15
- フィッシング詐欺 官民で撃退 総務省など指針策定へ2005-01-21
- 米最高裁、P2P企業のGroksterらに著作権侵害の責任追求を認める逆転判決2005-06-28
- 「脱線」便乗詐欺が数十人? JR西、不審者リスト提出2005-06-07
■5ネタ<< 前の記事 | 次の記事 >> | 固定リンク | Tweetする
■ 関連記事
- SYA!nikki2005-02-18
- カードマジック2005-01-02
- SYA!nikki2005-02-11
- カードマジック2002-01-10
- 「ネタ元はアンテナのどれか」2004-03-12
- ぐるぐる2001-04-01
- 「元日本兵」のニュースの影で…2005-05-31
- 勘のいいメル友2005-01-11
- [単行本]人間力ー自分でツキを呼び、直感を磨く方法ー2009-10-19
- Yahoo!ニュースに似せた「中国軍侵攻」記事、ヤフー「警察に被害届」2005-10-19
- http://www.moe/2003-09-11
- 出張16日目2005-11-29
- 道路標識の新解釈2000-05-21
- 続・鉄道関連ネタ2001-06-16
- オレオレエンジニアのネットワーク設計2005-04-03
■6 NTTコム、最大1万3千人分の顧客情報流出[http://www.asahi.com/national/update/0614/TKY200506140363.html?ref=rss][個人情報]<< 前の記事 | 固定リンク | Tweetする
「IPコネクトアクセス」に申し込んだ顧客のマンション名、部屋番号、電話番号などの情報が登録されていた。ニュースリリース[http://www.ntt.com/release/2005NEWS/0006/0614.html] によると、流出はこれだけでは無くて、
開通工事に必要な情報(お名前、マンション名、部屋番号、電話番号、IPコネクト回線ログインID、IPコネクト回線認証パスワード) 最大約13,000件だという。NTTコミュニケーションズと言えば、 ICカード社員証ソリューション[http://www.ntt.com/business/solution/iccard/index.html] や、 機密情報保護対策ソリューション[http://www.ntt.com/business/solution/cinfo-protectsol/index.html] と言った、ソリューションを提供し、
最先端のセキュリティ技術をベースとした認証局やICカードにより、お客さまのセキュリティ向上をバックアップします。という立場の会社の筈だ。
そういった会社で、一体どの様にして「顧客情報が入ったノートパソコンの盗難」という事件が起きたのだろうか。謎である。
当該ビルではICカードによる入退出管理を実施しております。という対策を施していたのに盗み出されたのだ。犯人は ICカード社員証ソリューション[http://www.ntt.com/business/solution/iccard/index.html] をものともしない、 魔法の様な技術を持ったハッカー[http://www.nantoka.com/~kei/diary/?200501c&to=200501251S1#T200501251S1] に違いない。
盗難に遭ったノートパソコンには、社内の規程に基づき、ICカードによる認証とファイルの暗号化による複合的なセキュリティ対策を施しておりました。何しろ、魔法の様な技術を持ったハッカーが相手なので、「複合的なセキュリティ対策」も効果がない可能性もある。大丈夫なのだろうか。
□ なぜ、「暗号化されているから大丈夫」と言い切らないのか:
せっかく、暗号化ソリューションを導入しているのに「暗号化されているから大丈夫」と言い切らないのだろうか。
この手のソリューションは「暗号化されているから大丈夫」と説明でき、客観的にも納得できることが重要なのではなかろうか。だからこそ、「秘密の仕組みで大丈夫」が非難されるのだ。
もちろん、運用に問題があったら何にもならないのだけど、仕組みに問題が無いとして、運用にも問題が無いことを証明するために、オービタビリティを確保しようとするのではないか。
「どういうソリューションを導入しても盗難や紛失に遭ったら同じ事」と評価されるのは問題だ。
この手のソリューションは「暗号化されているから大丈夫」と説明でき、客観的にも納得できることが重要なのではなかろうか。だからこそ、「秘密の仕組みで大丈夫」が非難されるのだ。
もちろん、運用に問題があったら何にもならないのだけど、仕組みに問題が無いとして、運用にも問題が無いことを証明するために、オービタビリティを確保しようとするのではないか。
「どういうソリューションを導入しても盗難や紛失に遭ったら同じ事」と評価されるのは問題だ。
□ 思考実験:
セキュアであるべき情報(S)と、安全に生成した鍵(K)がある。SをKで安全な方法で暗号化した暗文が(C)である。
ここで、Cを輸送中に盗まれたとする。Kはまだ輸送していない。情報(S)が流出したと言えるか。
では、Cより先にKを輸送したとして、Kが盗まれた。情報(S)が流出したと言えるか。
C、Kが無事に相手先に到着したとして、情報(S)は流出していないと言えるか。
情報(S)が流出していないと言うためには、何を保証できれば良いか。
ここで、Cを輸送中に盗まれたとする。Kはまだ輸送していない。情報(S)が流出したと言えるか。
では、Cより先にKを輸送したとして、Kが盗まれた。情報(S)が流出したと言えるか。
C、Kが無事に相手先に到着したとして、情報(S)は流出していないと言えるか。
情報(S)が流出していないと言うためには、何を保証できれば良いか。
この記事に頂いたコメント
- Re: NTTコム、最大1万3千人分の顧客情報流出 by 匿名希望 2005/06/16 14:43
- 内部犯行説もあるようですがそれはともかく、暗号化している=>紛失・盗難されても...
■ 関連記事
- ACCS不正アクセス事件、元研究員に懲役8月求刑2005-01-25
- 「パソコンにセキュリティーが掛けられているので情報が流出する可能性は低い」2005-06-20
- 131万全顧客情報紛失 みちのく銀、金融最大2005-04-22
- NTTドコモ東海:基地局情報ネット流出 ウイルス感染か2005-06-02
- ぐる2005-01-27
- HDD パスワードクラッカーポッド2005-01-27
- テザリングでノートPCももっと便利に2010-06-07
- 「カカクコム」からの個人情報盗難はSQLインジェクションだった2005-07-07
- データの荷造り2005-08-27
- 静脈認証も安心できない? 大根で作った偽造指で認証に成功2005-07-04
- EFSを試してみる2005-08-23
- SSO等についてのメモ2003-02-12
- サーバ移行2005-07-05
- あなたを・もっと・知りたくて2008-03-11
- これ入れればセキュリティ対策はバッチリ症候群2005-04-08
![[はてなアンテナに登録]](http://d.hatena.ne.jp/images/a_append.gif)
