2011年02月16日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1ThinkPad配送待ち[ThinkPad] このエントリーをはてなブックマークに追加

1月30日に、ThinkPad Edge 14 を発注しておいたのだけど、明日、手元に届く模様。
色々なところで話題になっているのだけれども、配送状況がメールで送られてくるのだけれども、これが、 Webページで確認できるステータスと一致しなかったり 、海外から日本に空輸されてくるところの配送状況は分かるものの、肝心の 国内の配送状況がさっぱり分からなかったり と、利用者目線に立っていない情報で残念でならない。
まだ手元に届いていないにも関わらず、表示上は「配送完了」になっていたりして、不親切この上ない。
仕方が無いのでコールセンターに電話したところ、手慣れた様子で、表示される配送完了の意味は、配送センターへの配送が完了した意味であることを説明して、国内配送の伝票番号を読み上げて下さった。
恐らく、毎日毎日、相当数の電話が掛かってくるのだと思うのだけど、 注文番号を告げただけで、簡単に分かるのだから、それこそWeb化すれば、コールセンターのコストを削減できるのに と思った。
ということで、どうやら既に長崎入りしている様なので、明日には手元に届くでしょう。

■ 関連記事

詳細はこの日の詳細から

2010年02月16日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1 無届けでインターネットサーバーを運営したとして逮捕[http://mainichi.jp/area/saitama/news/20100216ddlk11040276000c.html] このエントリーをはてなブックマークに追加

容疑は08年10月〜昨年7月、無届けで自宅にサーバー2台を設置したとしている。
この記事では詳細が分からないですが、電気通信事業法では、電気通信事業の届出を出さないで、電気通信事業を行うと「六か月以下の懲役若しくは五十万円以下の罰金」が科せられることになっています。
自前でサーバを建てている場合は、電気通信事業法に該当しないかどうか判断して、電気通信事業に該当する様であれば、届出をしておかないと、同じように逮捕される可能性があります。
自分でサーバを立ち上げようという趣旨の記事や書籍は色々なところで目にするのですが、届出について説明してあるものを見た記憶は、遥か以前に一度くらいしかありません。このため、最近は、届出の必要性を知らない人もいるのではないでしょうか。
以前は、この届出手続きも面倒で、書式を入手するのにさえ苦労していたものですが、今は、届出が必要かが判断できる マニュアル[http://www.soumu.go.jp/main_sosiki/joho_tsusin/policyreports/japanese/misc/Entry-Manual/TBmanual02/entry02_01.pdf] も公開されていますし、 書式や記入例[http://shinsei.e-gov.go.jp/search/servlet/Procedure?CLASSNAME=GTAMSTDETAIL&id=1456191120000] も公開されています。
[届出通知書]マニュアルを読むと、かなり広範な業務が「届出を要する」と判断されることが分かりますし、電子掲示板が届出不要であって、メルマガやコンテンツの媒介が電気通信事業に該当する等、線引きの判断も微妙であることが分かります。
その様なサービスを、実際に利益を伴うかどうかは別として、営利目的で行ったとみなされれば、届出が必要になる訳ですから、アドセンスやアフィリエイトを貼り付けた場合は、営利を目的としたとみなされる可能性があります。
イマドキ、自分でサーバを立ち上げてWebサービスをやる位で届出が必要になるという法制度に疑問はありますが、悪法も法ですから、見直されるまでは守るべきでしょう。
ちなみに、届出を行うと定期的にアンケートやお知らせが届くようになって「電気通信事業を営んでるんだなぁ」という感慨が湧きます。社会に影響を与えるようなWebサービスを作られた方は、むしろ胸を張って業として届け出るのも一興だと思います。

■ 関連記事

詳細はこの日の詳細から

2008年02月16日()<< 前の日記 | 次の日記 >>
この日の詳細

■1バゲットサンド[mixi][ごはん] このエントリーをはてなブックマークに追加

バゲットサンドを作ってみた。

バゲット長いまま、切込みを入れて、フタの部分が三角柱になるように切り離します。
チーズ、ハム、ローストビーフ、ローストしたベーコンなんかを詰め込んで、フタを戻して出来上がり。

お好みの長さで切り取ってお召し上がり下さいというスタイルです。
[写真]

■ 関連記事

詳細はこの日の詳細から

2006年02月16日(木)<< 前の日記 | 次の日記 >>
この日の詳細

■1 「魔の30分」で株価乱高下 時間短縮、先物がかく乱[http://headlines.yahoo.co.jp/hl?a=20060216-00000146-kyodo-bus_all][stock]次の記事 >> このエントリーをはてなブックマークに追加

確かに、ザラ場中に30分間の「時差」があるのは色々波乱の要因になってますね。

■ 関連記事

■2 16日旭硝子が堅調、FPD用ガラス進展に評価[http://headlines.yahoo.co.jp/hl?a=20060216-00000202-rtp-biz][stock]<< 前の記事 このエントリーをはてなブックマークに追加

もう一件、株式関係から。
12日の、 人の行く裏に道あり花の山[http://www.nantoka.com/~kei/diary/?200602b&to=200602121#T200602121] の記事で書いた銘柄なのだけど、乗ってみた方はおめでとうございます。

■ 関連記事

詳細はこの日の詳細から

2005年02月16日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1 高知県電子申請システムはどうしてアドレスバーを隠すのか[http://www.pref.kochi.jp/~jyouhou/denshishinsei/]次の記事 >> このエントリーをはてなブックマークに追加

ファーミング詐欺と区別がつかない自治体電子申請サイト[http://takagi-hiromitsu.jp/diary/20050212.html#p01] で取り上げられている、 pharming(ファーミング)――オンライン詐欺は「釣り」から「農業」へ?[http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050209/155922/] の記事とあわせてお読み頂きたい。
「アドレスバーを確認する」ことは、フィッシング詐欺に利用者サイドで対策するために、もっとも基本的なことだと思う。もちろんアドレスバーの確認だけでは、指摘されている様にファーミング詐欺成り済ましに対応できないので、そのためにサーバ証明書というものがある。証明書の内容を検証しないといけないのは述べられている通りだ。

ところが、セキュリティが特に重視される筈の電子申請システムで、肝心なアドレスバーを隠しているサイトを見つけた。
高知県 電子申請・届出システム[http://www.pref.kochi.jp/~jyouhou/denshishinsei/] がそれである。他の自治体でもこういうケースはあるのかも知れないが、高知県のシステムについては他にも問題が多いと思われるので取り上げた。

表示された画面から、例えば「処理状況確認画面」をクリックすると、 ものすんごい証明書[http://takagi-hiromitsu.jp/diary/20050111.html#p02] の警告が表示されるのだけれども、受け入れる *1 と、システム本体のログイン画面が開く。
高知県 電子申請・届出システムログイン画面
ログイン画面からアドレスバーがきれいさっぱり消えている。このページは例のオレオレ証明書によるhttpsのページなのだが、ステータスバーも消されているので、証明書を確認する事もできない。

これを、デザイン上の理由で「隠れている」のではなく、「隠している」と判断した理由がある。
先の 高知県 電子申請・届出システム[http://www.pref.kochi.jp/~jyouhou/denshishinsei/] の画面で、「処理状況確認画面」をポイントした時のステータスバーの表示に注目して頂きたい。
ステータスバー
これを見た限りでは、「http://www.pref.kochi.jp/~jyouhou/denshishinsei/#」にリンクされている様に見える。
ログイン画面のURIを確認するために、右クリックすると、
右クリックは使用できません。
「右クリックは使用できません。」なるウインドウが表示される *2 。仕方がないので、Firefoxで表示 *3 してみると、
ログイン画面のページ情報
と表示された。
リンク元のページのソースを見ると、

<a href='#' onClick='return openShinsei("https://www.cdc.net-kochi.gr.jp/egov/denshi/sinsei/service?citycode=39000")'>処理状況確認画面</a>

となっていて、openShinseiを経由して画面を開く事によって、実際のリンク先である「https://www.cdc.net-kochi.gr.jp/egov/shinsei/jsp/a_loginNN.jsp」を積極的に「隠して」いるのは間違いない *4 。まるでフィッシング詐欺を仕掛ける側が駆使する様な手法である。

net-kochi.gr.jpなる団体がどういう団体か、 NET-KOCHI(http://www.net-kochi.gr.jp/)[http://www.net-kochi.gr.jp/] を見てみたけれども、今ひとつ明らかではない。もちろん、ページにいくらもっともらしい事が書いてあってもそれが信用できないのは言うまでもない。
さらに、 http://www.cdc.net-kochi.gr.jp/[http://www.cdc.net-kochi.gr.jp/] を見てみると、「高知コミュニティデータセンターサイト」と称するページが表示された。「称する」と書いたのは確認する方法が無かったからで、ひょっとするとこれは本当に「高知コミュニティデータセンターサイト」なのかも知れない。サイト運営者については、 免責事項[http://www.cdc.net-kochi.gr.jp/policy/index.html] のページには、

高知コミュニティデータセンターサイトは、経済産業省からの委託を 受け、財団法人ニューメディア開発協会の監督支援のもとに、高知県や県内市町村、複数の企業・団体で構成される高知CDC整備促進協議会により運営されています。

と書かれている。
これを信用すると、

  • 高知コミュニティデータセンターサイトは、
  • 経済産業省からの委託を受け
  • 財団法人ニューメディア開発協会の監督支援のもとに
  • 高知県や県内市町村、複数の企業・団体で構成される高知CDC整備促進協議会
  • により運営

されている任意団体 *5 と思われる。

話が混乱してきたので整理すると、

  • 高知県 電子申請・届出システムの本体は、「高知コミュニティデータセンターサイト」と称するドメインで稼働しており、このことは利用者に対して隠されている。
  • 「高知コミュニティデータセンターサイト」というのは、任意団体である。
  • このドメインをホストしているのは、「NET-KOCHI(仮称)」という、任意団体である

という状況にあることが分かる。

ここまで見てくると、なぜアドレスバーやステータスバーを隠しているのかという事情が見えてくる。
私がこのシステムの利用者だったとしよう。高知県は信用できるけれども、システムにログインしようとすると、私にとっては謎の組織であるドメインのアドレスが表示されている。
この状況で「これはおかしい」と思うのは正しい。このシステムの利用を止めるか、一体どういうことになっているのか問い合わせをすることになるだろう。
仮に、県に連絡を取って、「そのドメインに委託しているのは事実だから大丈夫だ」という説明を受けたとしても、では、その謎の組織がどういう組織で、どの様な責任を持って電子申請システムを運用しているかの説明を求める事になるだろう *6
そういう説明をするのは面倒なので、面倒なことにならない様にアドレスバーを隠し、ステータスバーを隠し、ということになったのでは無いか。

なぜこれがいけないことなのか:

これがいけない理由が三つある。
まず、この様な方法で実際のドメインを隠して委託をすることは、サービス提供者側の説明義務の回避だ。もちろん委託する事を否定しているのではない。別ドメインでサービスをするのであれば、利用者はそこに疑問を持つのは当然であるし、疑問を持つべきである。この疑問に答える形で、委託した側の県側は説明責任を果たすべきではないか。それをJavaScriptの濫用によって他ドメインであることを隠蔽して回避している。
次に、このシステムはフィッシング詐欺耐性が弱くなる事は明らかだ。日常的にアドレスバーもステータスバーも隠されているのだから、ある日、偽物のサイトに誘導されていても気が付かないだろう。
最後に、この様なシステムの存在が社会全体のフィッシング詐欺耐性を弱くするという問題がある。この様に安易にアドレスバーやステータスバーを隠すのが当たり前になってしまえば、フィッシング詐欺を利用者として対策する事が非常に難しくなる。

こうすれば良かったのではないか:

まず、アドレスバー、リンク先、ステータスバーを隠すのは止めることだ。右クリックを禁止する必要もない筈だ。
もし、他ドメインで運用する必要があるのであれば、県側がその辺りの事情を説明する文書を用意して、利用者に説明すべきだ。隠して済む問題ではない。
あるいは、県のサブドメインで運用する解もある。この場合、pref.kochi.jpドメインの信用を一部委譲するわけだから、県と運営団体の間でしっかりした取り決めがなされる必要がある。

オレオレ中の認証局 Substantive test CA[http://takagi-hiromitsu.jp/diary/20050115.html#p01]:

証明書がLGPKIでないのは、この辺りの事情が関係しているのかも知れない。lg.jpドメイン以外でLGPKI AppCAの証明書を取得することは可能なのだろうか。可能だとしても、この様な任意団体に発行されるのだろうか。

なりすましは成立するか:

「なりすましという行為がそんなに簡単に成立するのか」という声があって、現実的にはそう簡単になりすましは行われないと思われているのでないか。
技術的な方法はいくつか知られている。 DNSに毒入れする方法があったし、 pharming(ファーミング)――オンライン詐欺は「釣り」から「農業」へ?[http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050209/155922/] の記事では、ウイルスによってhostsファイルを書き換える方法も指摘されている。
もしターゲットがローカルであれば、さらに簡単で、偽DHCPサーバを立ち上げる方法もあるし、嘘つきDNSを立ち上げる方法も考えられる。

こういう技術的な手法はシステムサイドのセキュリティ問題だが、アドレスバーを表示しない、確認しない文化になると、いくら上記の問題に対する技術的な対策を施しても、事実上、なりすましが成立してしまう。
例えば、Googleで、 「高知県電子申請システム」[http://www.google.co.jp/search?num=100&hl=ja&c2coff=1&client=firefox-a&rls=org.mozilla%3Aja-JP%3Aofficial&q=%E9%AB%98%E7%9F%A5%E7%9C%8C%E9%9B%BB%E5%AD%90%E7%94%B3%E8%AB%8B%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja] を検索して頂きたい *7
もし、これで上位に出てくるページが、「高知県電子申請システム」というページタイトルを付け、本物とそっくりのログイン画面を用意していたらどうなるか。
そこには、日常見慣れたアドレスバーもステータスバーも表示されないログイン画面が表示されるのである。これをフィッシングサイトだと見破れというのは利用者に酷ではないか。
ステータスバーも表示されないのだから偽証明書も要らないしアドレスはどうだったって良い。
攻撃者は、アドレスバーやステータスバーを隠したターゲットの偽サイトを作って、何らかの手法で著名な検索エンジンの上位に偽サイトを持ってくれば良い。

利用者として注意すること:

アドレスバーやステータスバーを隠そうとするサイトは疑って掛かる必要がある。本来表示されるべきものを隠すことによってセキュリティは向上しない。むしろ、隠す事によって危険が隠されていることが多い。もちろん隠しても危険は無くならない。
アドレスバーを隠すのは、道に空いた穴が危なく見えるからといって枯れ葉を被せて隠してしまう様なものだ。危険があることには変わりないし、穴に落ちない様に注意して歩いている人をも落とす落とし穴を作り出す行為である。

*1: 説明のページを読んでも何も記述がない様だ。もちろん、フィンガープリントの記載もない。ここでは、先のページを表示するために受け入れているが、普通はこういう証明書を受け入れてはいけない。試してみる場合は、自分が何をやっているか理解してからにして欲しい。
*2: ちなみにAltキーを押すと「Altキーは使用できません。」と表示される。
*3: Firefoxの場合、「右クリックは使用できません。」のダイアログは表示されるが、その後にちゃんとメニューが表示される仕様になっている。これは良い事だと思う。コンテキストメニューを奪われるのは不便だし、アドレスを確認しづらくなるのは、ここで述べている様にセキュリティ上も問題がある。
*4: その割には、「メンテナンスによるサービス停止情報」ページは、直接リンクを張っていたりして、場当たり的な対応が見える。
*5: 少なくとも、ページを調べた限りでは、団体の属性は表記されていなかった。
*6: これが任意団体でなくて、法人格をもっているなり何らかの形で責任を取れる事が分かる組織であれば、ここまで面倒な話にはならない。その組織が組織として責任を持って県から運用を委託されて運用しているという関係が分かれば良い。責任をとる人が分からないというのは困る。
*7: 現時点(2005/02/16 16:21)では、この日記が上位に来る様である。 面倒なことになりそうな気がするのでやらないけれども、この状況で、私がリファラを見て事前に誘導しようとした単語で検索した人にだけ偽物のページを表示するCGIを作って設置すれば、ログイン画面と見分けが付かない画面を表示する事は容易に可能だ。その人から見ると、「○○電子申請システム」を検索して、最初に出てきたページをクリックすると、ちゃんと(?)いつものログイン画面が出て、安心してIDとパスワードを入力することになる。

■ 関連記事

■2RSS関連[メモ][hns]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

■ 関連記事

■3ぐる[ぐる]<< 前の記事 このエントリーをはてなブックマークに追加

ニフティ、ついにパソコン通信の歴史に幕。ワープロ・パソコン通信サービスを終了[http://headlines.yahoo.co.jp/hl?a=20050216-00000002-rbb-sci]:

あぁ遂にという感じです。無料時代のPC-VAN、DDX経由のASCII、Nifty、草の根BBS、インターネットという様に付き合ってきたのですが、一つの時代の終焉を感じます。 「昔、パソコン通信っていうのがあってね。」という感じになるのかも知れません。
次は、「昔、ダイヤルアップ接続っていうのがあってね。」でしょうか。 テレホーダイ[http://e-words.jp/w/E38386E383ACE3839BE383BCE38380E382A4.html] を覚えていますか?

■ 関連記事

詳細はこの日の詳細から

以上、11 日分です。

指定日の日記を表示

前月 2020年06月 翌月
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

予定

    ToDo

      link

      keikuma on Twitter

      keikuma Name:前田勝之
      Location:長崎市
      Web:http://www.nantok...
      Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

      サイト内検索

      Google AdSense

      Powered by hns-2.19.9, HyperNikkiSystem Project