2005年07月04日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1 静脈認証も安心できない? 大根で作った偽造指で認証に成功[http://itpro.nikkeibp.co.jp/free/NC/NEWS/20050701/163801/][生体認証]次の記事 >> このエントリーをはてなブックマークに追加

関連資料が、金融庁の 偽造キャッシュカード問題に関するスタディグループ(第9回)[http://www.fsa.go.jp/singi/singi_fccsg/gaiyou/f-20050415-singi_fccsg.html#00]資料[http://www.fsa.go.jp/singi/singi_fccsg/gaiyou/f-20050415-singi_fccsg/02.pdf] として公開されている。
指紋認証などと異なり、表から見える身体的特徴を使わないことから、「なりすまし」に強いと一般に思われている。だが実は、静脈認証の歴史は浅く、ぜい弱性が十分に検証されてきたとは言えない。
一方で、
静脈認証はまだ開発されて間もない技術であり、また、病気により基となる生体情報が変化する可能性が指摘される等問題点も指摘されており、評価が確立していないとも言えるのではないか。
という指摘もある。
実際に静脈パターンを再生して、他人になりすますという攻撃が成功した訳では無いが、これは製造が技術的に若干難しいというだけで、紫外線硬化樹脂等で三次元造形をしてやれば、作れないことも無さそうな気がする。
スタディグループの議論から、興味深い発言をメモ。
・生体認証では、認証に使うテンプレート(生体認証情報)の作成にあたり、基となる生体情報から特徴点を抽出し情報を圧縮する方式で行えば、テンプレートから基となる生体情報を復元することは困難となるため、情報の流出は防げると考えられるのか。
・基本的にはそのとおりであるが、 テンプレートの仕組みにもよる。テンプレート上の情報から基となる生体情報を再現することは困難であるが、テンプレート上の情報と一致しさえすればよいということであれば、生体情報の偽造が可能となることも考えられる。その場合、事実上、流出したことと同じになるのではないか。
・生体認証の問題点は、その認証精度や装置のセキュリティについて客観的に評価されていない点である。指紋や虹彩の認証はある程度歴史があり、認証精度の評価が行われているが、 新しい認証方式ほど客観的な認証精度の評価の実施は難しく、経年変化の調査等、簡単にはできない点がある。
・生体認証について否定することはないが、上手に利用する必要がある。過剰な幻想を持ったりせずに冷静に判断するべきである。まだ評価が固まっていない点もあるが、 特に金融業界のような大きな顧客が関心を持つと、製造者側は評価が甘くなることがあり得る。利用者側は、技術の評価結果の提示を製造者にきちんと求めることが重要である。

■ 関連記事

■2 Vocal Cancelがウイルスな件について。[http://www.geocities.jp/troj_hirofu/][セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

実際には、ウイルスよりもある種さらに質が悪い、スパイウェアだったのだけれども、この作者が、 SoftEther[http://www.softether.com/jp/] の開発にも関わっており、しかも担当したのが、プログラムファイルのリソースデータを暗号化・復号化するプログラムであったことから、 SoftEther VPN 2.0 プログラムからの信頼できないコードの除去について[http://www.softether.com/jp/vpn2/report1.aspx] という事態に繋がった。
そもそも、VPNの様なセキュアさを要求されるソフトウェアに、中身が分からないものを使うのは心配で仕方がないのだけれども、暗号化を担う様なソフトウェアの開発者が、「隠せば安全(Security by obscurity)」な手法を採ったのが不思議だ。
当たり前の事だけれども、実行時に復号化されるということは、展開する方法も展開するための鍵も、配布されているソフトウェアの中に存在するということだ。
つまり、コードを解析するなり、実行中のメモリ内容を解析するなりの手間さえ掛ければ、それを抽出することは可能だ。これは、総当たりで暗号を解くことが時間さえ掛ければできると言っているのとは全く異なる。「やればできる」という話だ。
こういう、本当は秘密でない「秘密」に頼った暗号化は危険だというのが、「Security by obscurity」はいけないという話。秘密の暗号化手法だから安心というのはとんでもない話なのだ。
プログラムの作者が何かを隠して自分の権利を守りたいというのは、まっとうな動機なのだけれども、特にセキュリティに関するプログラムに関しては、そのバランスが非常に難しくなってくる。
この日記では何度も繰り返している気がするけれども、 実行ファイルを実行することはパソコンを自由にさせること[http://www.nantoka.com/~kei/diary/?200506a&to=200506081S2#T200506081S2] なのだ。高度なセキュリティが要求される環境で、安全を確保するためには、実行するファイルは全て信用できるものである必要があるのだけれども、隠されていればその分だけ、信用できるかどうかを判断するのが難しくなっていく。

TROJ_HIROFU.A[http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_HIROFU.A]:

日本人の作者の名前が付いたのは初めてじゃないかなぁ。
シマンテックは、 Trojan.Hirofu[http://securityresponse.symantec.com/avcenter/venc/data/trojan.hirofu.html] の様だ。

ソフトウェア制作者が信頼を得ること:

が、「ソースは秘密だけど、信用して使うことができる」ためには必要な様だ。
パッケージソフトウェアでも信用できない会社のものは心配だし、シェアウェアでも広く信頼されて使われているものは多い。
特にセキュアな情報や、センシティブ情報を扱うソフトウェアを作る人や会社は、自分を厳しく律していないと黒く見られただけで不利になる。
スパイウェアを配布したことのある会社が作った製品に、自分の重大なプライバシーを委ねることができるだろうか。失った信頼を回復するのは難しい。

■ 関連記事

詳細はこの日の詳細から

2002年07月04日(木)<< 前の日記 | 次の日記 >>
この日の詳細

■1ぐる[ぐる] このエントリーをはてなブックマークに追加

ニュースネタなどから。

USJが賞味期限切れ食材 運営会社社長が謝罪[http://www.asahi.com/national/update/0704/015.html]:

「賞味期限が切れても大丈夫だ」と判断したらしい。 まぁ、「賞味」期限ですからね。調理の努力で取り返せば良いのかも知れず。

時速100キロの電車からホームへ飛び降り、立ち去る[http://www.asahi.com/national/update/0704/016.html]:

某チャネルから。
「何でこんなことを」ですね。 映研の撮影説有力(?)。

フレッツ・ロボ[http://www.zdnet.co.jp/broadband/0207/03/flets.html]:

かわいい顔をした盗撮ロボに変身。

プリペイド電話、度数不足で110番断念 雪山で遭難者死亡[http://www.cnn.co.jp/fringe/K2002070201685.html]:

しなくて済んでよかったらしい。

■ 関連記事

詳細はこの日の詳細から

2001年07月04日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1日記バード[日記] このエントリーをはてなブックマークに追加

またロックファイル削除し忘れて止まっていました。
結局、サーバをリブートした時に、プロセスが走っていた場合に、 ロックファイルが残るというのが原因だったので、 rc.dにでも書けば簡単に解決するのだけれども、 ユーザー権限で「起動時に1回だけ実行」っていうコマンドってなかったでしたっけ。

■ 関連記事

詳細はこの日の詳細から

2000年07月04日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1ぐるぐるタイム[ぐる] このエントリーをはてなブックマークに追加

仕様書上げなきゃいけないし打合せに出張行かなきゃいけないし・・・

特許技術の制限[http://wisteria.dyndns.org/diary/?200006c&to=200006304S4#200006304S4]:

学術的研究とか個人的使用とか例外はある様ですけどね。 「無料で配る場合は勝手に使って良い」とかやると、 ライバル社の主要技術使った製品を戦略的にタダで配るところが出てくるかも知れない。
ビジネスやソフトウェアに特許を認めるのを全否定はしませんが、 新規性が欠けていたり当業者が容易に思いつきそうなものが特許になったりとか、 公告にもなっていないのに権利を主張したりする動きはイヤですね。

■ 関連記事

詳細はこの日の詳細から

以上、14 日分です。

指定日の日記を表示

前月 2019年11月 翌月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

予定

    ToDo

      link

      keikuma on Twitter

      keikuma Name:前田勝之
      Location:長崎市
      Web:http://www.nantok...
      Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

      サイト内検索

      Google AdSense

      Powered by hns-2.19.9, HyperNikkiSystem Project