2006年03月09日(木)<< 前の日記 | 次の日記 >>
この日の詳細

■1 捜査情報流出:興味本位でウィニー設定 愛媛県警の警部[http://www.mainichi-msn.co.jp/today/news/20060309k0000e040075000c.html] このエントリーをはてなブックマークに追加

警部は県警の事情聴取に、「県民の皆さまに多大な不安とご迷惑をおかけし、大変申し訳ない」と話しているという。県警は、 情報漏えいの意図はなく、地方公務員法(守秘義務)違反などには当たらないとの見方を強めているが、未承認のパソコンで捜査情報を取り扱うなどの内規違反は明らかだったとみて、流出経過を調べている。
県警がそう見てるのだから、安心だ。

この記事に頂いたコメント

Re: 捜査情報流出:興味本位でウィニー設定 愛媛県警の警部 by sashenka    2006/03/10 15:12
愛媛県警警部、わいせつ画も入手 ウィニー捜査資料流出 http://www.asahi.com/kansai...

■ 関連記事

詳細はこの日の詳細から

2005年03月09日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1 「モバイル機器の指紋認証デバイスに頼ってはいけない」〜生体認証デバイスは信頼されなければならない[http://blog.sakichan.org/ja/index.php/2005/03/05/dont_trust_mobile_biometrics][セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

セキュリティホール memo[http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/03.html#20050308_mobile] から。「生体認証デバイスは信頼されなければならない」の部分は、私自身の意見がタイトルに反映されていないので、10日に追加した。
モバイル機器で指紋認証するのは賛成の立場だ。指紋認証のアプリケーションとしては、非常にうまい使い方だと思う。例えば、自分のIDを証明する様なカードに指紋認証を付けるというのは、カード所持人本人であることを証明するのには好都合だ *1
モバイル機器やカードはものが小さいので、物理的に指紋が使いやすいアプリケーションであるし、自分の側にあるものだから、よその信用できるかどうか分からないデバイスに指紋を登録するのと違って、指紋で認証することに対する抵抗が薄い。
そのためには、少なくとも物体に付着した指紋の像からの偽造には耐えるデバイスでなければ困るのは全く指摘されている通りだ。
この様な使い方をすれば、仕組みをうまく作ればだが、認証装置は自分が持ち歩くわけだから、 生体認証を使った認証を他の人に自分の生体情報を渡すことなく行える仕組みが作れるという大変大きなメリットがある。最近、指紋以外の色々な認証方法が出てきているが、 相手に自分の生体情報を渡さずに認証できる仕組みを作るのはなかなか困難な様だ *2
指紋認証については「グミ指」の問題が指摘されているが、各種の製品が十把一絡げに「グミ指で危険」と考えるのはよろしくない。
ここで注意すべきは、
これらを組み合わせると、携帯電話等のモバイル機器の指紋認証は、機器が悪意の第三者が入手すれば容易に破ることができる
という「機器が存在する」ということであって、 全てのモバイル機器の指紋認証がこの攻撃によって、突破されることが証明されている訳ではないということだ。
指紋認証にしても生体認証にしても、同じ様なセンサーが使われていて、利用者には同じように見えても、認証に用いているアルゴリズムは異なる。
機器に残された指紋から作成した指紋イメージで認証を突破できるのは、ある種のアルゴリズムを用いた場合なのだが *3 、その製品がどの方法を用いているかは、調べてもなかなか分からない。
その中には安全なものもあるし危険なものもある。その違いが利用者に分からないということは確かに大問題だ。これでは、全てを信用するか全てを信用しないかになってしまうし、いくつかのblogを含めたメディアも中身に違いがあるということに言及しない傾向にある。実際、この記事のトラックバックを見ても、
指紋、ダメじゃん!

上記記事では「モバイル機器の認証デバイス」と限っているが
そんなん、多分理論は同じ。
モバイルで破られれば、銀行でも破られる可能性高いと思われ。
や、
たしかにいろんなところに自分の指紋が残ってると思うので、それをキーにした認証を使うのは怖いですね
しかも指紋などの情報は漏洩したからといって変更できるものでもないため詐称の手段が出てくると全滅です
の様に、指紋認証全体について不安感が広がっていることが分かる。
同じパスワードを使う認証でも、一方向性ハッシュを用いてパスワードを格納するのと、プレーンテキストのパスワードを格納するのは安全性は大きく違う。通信路が信用できないのであれば、またパスワードのやり取りの方法を考えなければいけない。
パスワードをプレーンテキストで格納するシステムがあるからと言って、パスワードを使うシステムは危険だということにはならないだろうし、パスワードは大事なものだから、そのシステムがどの様にパスワードを格納するのかには注意をする *4
生体認証は生体情報を扱う。だからこそ、使われている技術は信頼できるものでなければならないのに、「生体認証だから安全」という主張だけでマーケティングするのは、生体認証市場全体の将来を危うくするのではないか。
*1: そのカードの他の部分が脆弱であってはならないことは言うまでもない。
*2: 生体情報そのものは自分がICカードに入れて持ち歩くという手があるけれども、相手のデバイスでスキャンするのであれば、その機器がいつでも信用できるかという問題がつきまとう。やはり認証のために入力デバイスそのものを個人が持った方が安全だ。
*3: 指紋を最終的に二値化して照合している場合に限られる。
*4: そして、信用できないシステムには信用していないシステムなりのパスワードを付ける。これができるのはパスワードの有利な点だ。

■ 関連記事

■2 Googleサジェスト[http://labs.google.com//intl/ja/suggestfaq.html]<< 前の記事 このエントリーをはてなブックマークに追加

Google[http://www.google.co.jp/] に、最近のFEPに搭載されている予測入力機能の様に、途中まで入力した検索文字列から始まる候補を表示してくれる機能が付いた様だ。
「 サポートされるブラウザは、Internet Explorer 6.0 以降」と書いてあるけれども、純粋にJavaScriptで書かれていて、FireFoxでもきちんと動作する。

■ 関連記事

詳細はこの日の詳細から

2004年03月09日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1 ご解約者様へのお詫び送付先確認ページ[http://bb.softbankbb.co.jp/information/listchk/][セキュリティ] このエントリーをはてなブックマークに追加

以前に申し込んで開通できないってことになったデータを入力してみる。
お申し込み者氏名と回線電話番号は分かるとして、カスタマーIDは分からないし、 連絡先メールアドレスもどれを使ったか忘れてしまった。
とりあえず、生年月日を入れてみるけれども、「そのデータは該当なし」と言われる。
生年月日は登録されていないとして、他の個人情報が含まれているのかどうかはこれでは分からないので、申し込みメールアドレスに使ったんじゃないかと思われるものを片っ端から入れたらヒット。
警察当局から分析のご依頼を受け、弊社にてお客様情報の照合作業を行った結果、誠に遺憾ながらお客様の情報が含まれていることが判明いたしました。 当方の不手際により、このような結果となり、お客様に大変ご迷惑をおかけしておりますことを深くお詫び申し上げます。
とかいう画面が表示された。
という訳で、どれか一つ選んで入力しても安心できないので、片っ端から入れてみないといけないらしいんですが、この試行のログを記録されていたりすると、今まで漏洩していなかった電話番号やら色々な連絡先電話番号やらメールアドレスがさらに紐付けられることになるわけで、ちょっと困ったインターフェイスだと思いました。
住所も氏名も電話番号も漏洩しているわけで、そのまま郵送してくれば良いんじゃないかと思ったりですね。

■ 関連記事

詳細はこの日の詳細から

2001年03月09日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1 どうもゲーム会社らしい[http://twilightex.tripod.co.jp/index.html]次の記事 >> このエントリーをはてなブックマークに追加

偶然に見つけた。 ゲーム製作の現場はどこも大変。
でも、もう一度やってみたいと思ったりも。

■ 関連記事

■2 メータ巻き戻し[http://catv-8-109.medias.ne.jp:10080/~takayuki/diary/?200103a&to=200103073#200103073]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

同じニュースを見て、
  • タンパフリーなカウンターモジュール
  • 1Km毎にカウントアップする信号を供給するのみ
  • 10秒に1カウント以上はしない
  • 指定数値にセットするのはディーラーorメーカーのみ可能
みたいなものを考えたけれども、ディーラーから鍵の組み合わせ情報が漏れたりする事件もあったんで、 完璧じゃないですね。そもそも新品のモジュールを手に入れれば、何日かで指定数値に持っていけちゃう。
エンジン回転数を含めたもっともっと多くの情報をコンピューターユニットに記録して、 その数値を読み出す道具は簡単に手に入るけど、改ざんは事実上不可能という状況を作る問題。
なんか暗号の適用分野と重なってきますね。

■ 関連記事

■3 中国初の人型ロボット、発表[http://www.peopledaily.co.jp/j/2000/11/29/jp20001129_44763.html][CLIP]<< 前の記事 このエントリーをはてなブックマークに追加

今まで見つけたところでは、信憑性の高いページ。

■ 関連記事

詳細はこの日の詳細から

以上、11 日分です。

指定日の日記を表示

前月 2020年01月 翌月
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

予定

    ToDo

      link

      keikuma on Twitter

      keikuma Name:前田勝之
      Location:長崎市
      Web:http://www.nantok...
      Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

      サイト内検索

      Google AdSense

      Powered by hns-2.19.9, HyperNikkiSystem Project