2005年02月21日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1ぐる[ぐる]次の記事 >> このエントリーをはてなブックマークに追加

ログあたりから一回り。

リンク先が…[http://www.nantoka.com/~kei/diary/?200502b&to=200502191#T200502191]:

もちろんつっこんで頂いてウェルカムです。…ごめんなさい。ネタに詰まったのです。

佐賀県のWebサーバー上にフィッシングサイト、2週間にわたり開設[http://internet.watch.impress.co.jp/cda/news/2005/02/21/6519.html]:

某チャネルより。 佐賀県のプレスリリース[http://www.pref.saga.lg.jp/at-contents/kenseijoho/koho/kisha/data1702/16-1.html] も出ています。

これはどういう手口によるものでしょうか。
サーバの一部にそういうぺーじを作られた(ドメイン名はそのまま)ものなのか、バーチャルホストを作られたものなのか。
もし後者だったら、root権限を奪取されたということだし、前者だったらPHPかCGI経由の脆弱性も考えられるます。もし、個別のCGI等の脆弱性を探してまでフィッシング詐欺用のページを用意する様になって来ているとすると、相当の警戒が必要だという事になりそうです。
ひょっとすると、実は提供しているサービスの一部にタグのフィルタリングが甘い掲示板があって、そこに細工したページを書き込まれただけという可能性もありますが。
サーバ管理している立場としては他人事でないので、侵入経路等の情報を知りたいところなのですが、新たに犯行の手口を教える事にもなりかねないという意見があって躊躇しているところかも知れません。大概の場合、悪用する側の方は先に知っているのですが。

もうけばなし[http://www.mahoro.net/memo/?200502c&to=200502c1#200502211]:

gtk's memo.[http://www.mahoro.net/memo/] より。「あー、良くある」という話ですねぇ。
ウチは物売りをやっていないのですが、お客さんから「社内ネットワークが混雑してきて困っているから、スイッチをリプレースしたいんだけど、機種選定してもらえないか」という話で調べている内に、全然違うところにボトルネックを発見してしまって、機種選定する話が消えてしまったりとか、まぁそういうことがあります。
本来だったら、機種選定する費用よりお金貰えて良い様な気もするんですが、モノにはお金払うけれども、知恵にはお金を払えないという事情が世の中にはあるようで、物売りしないビジネスの難しさを感じます。

包丁購入者の記名義務化 兵庫・川西、使用目的も[http://flash24.kyodo.co.jp/?MID=RANDOM&PG=STORY&NGID=soci&NWID=2005022101002043]:

ネタですか?何の役にも立ちそうに無いのですが。このコストを押しつけられるお店の立場を全然考えていませんな。
寝屋川市で買う人か、寝屋川市で売る人かというところも不明なんですけれども、インターネットショップとか通信販売をどう処理するんだろう。
全国のインターネットショップが寝屋川市民向け販売のためにサイトを改造する必要が出てくるというのもひどい話だし、寝屋川市で販売する業者が対象になるとすると、寝屋川市でネットショップを開いている業者は、刃物類の扱いでサイトの改造が必要になる。これにはコストが掛かるのだから、その分寝屋川市の業者は全国的な競争で不利になる。
とか言うと、「それ位の手間と人命はどっちが大事だ」「少しでも抑制効果があるのだからやるべきだ」という反論がかえってくるんだろうなぁ。

「さくら」と別れの撮影会 寝台特急廃止でJR長崎駅[http://headlines.yahoo.co.jp/hl?a=20050221-00000156-kyodo-soci]:

ついに無くなりますか。無くなる前に 乗れて[?200108b&to=200108190#200108190] 良かった。

■ 関連記事

■2 [エレクトロニクス]SONY MZ-NH1N MDウォークマン(録再用)[http://www.amazon.co.jp/exec/obidos/ASIN/B0002JUIK6/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

一昨日購入した、 MZ-NH1[http://www.ecat.sony.co.jp/audio/walkman/products/index.cfm?PD=17433&KM=MZ-NH1] なんですが、 WAV conversion Tool[http://www.sony.co.jp/Products/Hi-MD/nf_wavcot.html] なるものを見つけました。
前日も触れたのですが、出先での録音ソリューションを色々考えていました。一昔前ならDATレコーダーを選ぶところだったのでしょうが、メディアの入手と保管に不安がありました。さらに、今後機器の選択が狭まってしまうと、DATのまま長期間保存する事に不安がありました。
メモリレコーダー、ハードディスクレコーダーも色々出ていて、これにも惹かれたんですが、特に出先で容量を使い切ってしまう様な事態を心配してしまいます。もっとも、パソコンにデジタルのまま取り込めるのは魅力的です。
で、MDというものもあったなぁと考えはしたのですが、MDには全然注目をしていなかったので、無圧縮録音ができない点と、せっかくデジタル録音なのにデジタルでの取り込みができない点が不満だったのです。メディアの入手性と保存性には優れているので、非常に迷っていたところです。
で、MZ-NH1だったらPCM録音ができますし、買ってみて気づいたのですが、録音レベルのマニュアル調整ができます。これは状況によっては非常に欲しい機能なのです。
残る問題が、PCに取り込んだファイルが著作権管理の関係で、ストレートにはWAVに持って来られないんじゃないかという課題で、どうしても何とかできなかったら、メディアが安い事ですし、必要だったら再取り込みするのを前提にメディアのまま保管しておけば良い矢と割り切っていました。
ところが、ちょっと検索してみたら、ちゃんとwavへの変換ツールが用意されているではありませんか。これで、PCM録音からパソコンへのデジタル取り込みのパスが完成します。素晴らしい。

[エレクトロニクス]SONY MCMD-R1 メモリーカードリーダー[http://www.amazon.co.jp/exec/obidos/ASIN/B000652OJE/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

という製品も見つけました。これでメモリカードを読むためにパソコンを持ち歩く必要が無くなります。
せっかくストレージとして使えるので、こんな製品が無いかなぁと言っていたばかりでした。ちゃんとあったんですね。

HNSAWS改訂[http://www.nantoka.com/~kei/HNSAWS/]:

上記のリンク張るのに、electronics-jp, kitchen-jp, toys-jp が扱える様に改造してみました。うまくいってるかな?

「SonicStage 2.3」へのアップグレードプログラム[http://www.sony.jp/support/p-audio/contents/download/ss20_upgrade.html]:

音楽CDから録音した曲、コンピュータ上の音楽ファイルを取り込んだ曲、Hi-MD機器または録音に対応した一部のメモリースティック対応機器で録音し、SonicStageに取り込んだ曲の転送できる回数に、制限がなくなります。
音楽CDの作成ができます。

ということで、このバージョンでずいぶんと制約が無くなっている様です。
これまでにmp3化したアルバムが山ほどあるのですが、サブフォルダ丸ごと、アルバム、アーティスト名で分類して取り込んでくれます。便利便利。

■ 関連記事

■3 日本語.jpのフィッシング詐欺対策に「ソ二一.jp」問題は含まれているのか[http://日本語.jp/access/phishing.html][セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

このプレスリリース。騒がれたから、大丈夫ですよと言ってみただけの感が否めない。不安や疑問に答えていないのだ。

なお、現実には、フィッシングでは誘導先のURIを偽装したり隠蔽したりするなど、もっと巧妙な手段が使われていることから、視覚的に似たドメイン名を使用すること自体はあまり有効なフィッシング手段ではないと考えます。

高木浩光@自宅の日記[http://takagi-hiromitsu.jp/diary/20050212.html#p03] でも指摘されているが、他に脆弱性があるからウチの脆弱性は放置して良いことにはならない。幸いブラウザの脆弱性は修正されつつあるし、これはプログラムの修正だから比較的容易に改善されていくだろう。しかし、運用の脆弱性は、その上にシステムが構築された後に修正するのが困難になる事が多いし、フィッシング詐欺脆弱性についてレジストラが配慮する方針であれば *1 、当然に考慮しておくべきことだろう。
さて、

今回問題にされているフィッシング詐欺問題の本質は、視覚による錯覚を利用するというものであり、IDNによって新たに引き起こされるものではありません。たとえば、ASCIIドメイン名でも、1(イチ)とl(エル)、0(ゼロ)とO(オー)による錯覚は存在します。ただし、日本語ドメイン名ではよく似た「ー」(長音)と「一」(漢数字)が使えるようになるなど、IDNによってその組合せが増えることも事実です。

として、「ー」「一」問題に触れながら、

JPドメイン名では、日本語JPドメイン名として使用できる文字を漢字・仮名・英数字に限定しています。そのため、キリル文字など英数字に非常によく似た文字が混在したドメイン名は登録できません。したがって、今回指摘された例にある不正サイトは、JPドメイン名には存在していません。
また、全角英数字や半角カタカナが使用された場合でも、JPドメイン名の登録時に、技術標準に則った正規化と呼ばれる処理によりASCII英数字や全角カタカナに統一し、同一の文字として扱いますので、異なるドメイン名として登録されることはありません。IDNに対応したブラウザも同じ正規化を行いますので、全角・半角の違いによって異なるサイトにアクセスすることはありません。

と、対策の方では触れず、

さらに、一般に、アルファベットだけで書かれたドメイン名と日本語ドメイン名のどちらの方が日本人にとって錯覚が少ないかを考えると、日本語ドメイン名の方が錯覚が少ないものと考えます。
以上により、日本語JPドメイン名では、上述のような既存のドメイン名と視覚的に非常によく似たドメイン名を使用した不正サイトの存在は起こりにくくなっています。

と結論されても、じゃぁ「ソ二一.jp」問題はどうなるのかという疑問は解決しないままである。

以上のように、IDNの導入で起こりえる問題を認識し、サービス導入時から対応策を実施してきている日本語JPドメイン名は、安心してご利用いただけます。

の認識と対策の中に、「ソ二一.jp」問題が含まれているのであれば、他の字形の似た文字についての対策も示して安心させて欲しいし、逆に含まれていないのであれば、字形の似た文字には注意すべきだという注意喚起をすべきだと思う。
もし、「ソ二一.jp」問題は依然として存在するのであれば、「フィッシング詐欺脆弱性について 」「安心してご利用いただけます」の結論は、利用者に誤解を生じさせて、危険にさらすことにならないか。

*1: もちろん、似たドメイン名でフィッシング詐欺に遭うのは、レジストラの責任じゃないので、知らんよという態度を取る事もできるだろう。だとすると、このプレスリリースで言おうとしていることが分からない。

■ 関連記事

■4読んだ本[book]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

図書館で借りてきて。

[和書]借家で猫をコッソリ飼いする方法[http://www.amazon.co.jp/exec/obidos/ASIN/4062741830/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

そんなに猫好きでは無かったんですが、飼い主さんの苦労や配慮が分かって、そういう人だったら猫くらい飼っても良いよねと思いました。筆者が目指したところでしょう。
表紙の猫がかわいい。こんなにしてのぞいてたらばれるけど。
犬か猫飼わない人は退去させられるペット可の市営住宅[?200308c&to=200308271S4#200308271S4] は長野県松本市だったけれども、これだけ苦労して猫を飼っている人がいる状況を考えると、本当に飼う人を優先したいという気持ちは分かります。
だけれども、本書が述べている様に、猫を飼うというのは、多くの場合「連れてきてしまった」という場合が多いと想像されるので、この市営住宅を利用するのは難しいと思う。
いずれにせよ、ペットを*飼っても*良いという住宅はもう少し増えても良いのでは無かろうか。

■ 関連記事

■5欲しいCD[音楽]<< 前の記事 このエントリーをはてなブックマークに追加

MD買ったのでCDが欲しくなった。ということで、買いたいCDリスト。

[音楽]acacia(アケイシャ)[http://www.amazon.co.jp/exec/obidos/ASIN/B00005J4YN/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[音楽]sweet,bitter sweet 〓YUMING BALLAD BEST[http://www.amazon.co.jp/exec/obidos/ASIN/B00005QCHC/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[音楽]Wings of Winter, Shades of Summer[http://www.amazon.co.jp/exec/obidos/ASIN/B00006LF4S/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[音楽]Yuming Compositions : FACES (初回)[http://www.amazon.co.jp/exec/obidos/ASIN/B0000QX5UG/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[音楽]VIVA! 6X7[http://www.amazon.co.jp/exec/obidos/ASIN/B00031Y98K/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

これ以前は、出れば買っていたのだけれど、買わなくなってからこれだけ経つか。

も欲しいところなのだけど、大抵の曲がかぶってしまうし。

■ 関連記事

詳細はこの日の詳細から

2005年02月22日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1フィッシング詐欺用サイトとサイト改竄の違い[セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

JPCERT[http://www.jpcert.or.jp/] から、 Web 偽装詐欺 (phishing) の踏み台サーバに関する注意喚起[http://www.jpcert.or.jp/at/2005/at050002.txt] も出ていて、実際に踏み台にされる事例が急増している様だ。
「ウチも対策をしないと」ということで、早速、Webページ改竄検出のソリューションを導入して一安心というところがあるかも知れないがちょっと待って欲しい。
それらのツールは、確かにWebページの改竄を検出してくれるかも知れないし、それはそれで大事なのだけれども、フィッシング詐欺用の踏み台化の対策としては不十分だ。

フィッシング詐欺サイト情報[http://www.rbl.jp/phishing/] というページがある。
この内容を参考に、フィッシング詐欺サイトがどの様に構築されるかを考えると、

  1. 自分のサーバに構築する
  2. 侵入したサーバのトップページをいきなり書き換える
  3. 侵入したサーバのアドレスの秘密のディレクトリ以下をこっそり使う
  4. 侵入したサーバにバーチャルホストを構築する
  5. 侵入したサーバの別ポートでサーバを構築する

というパターンがある様だ。この内、自分のサーバが悪用される事を心配するのは、2以降で、3,4については、トップページから再帰的にリンクを辿るタイプの改竄検知システムでは検知不可能だ。
サーバ自身でファイルの改竄検出をするタイプであれば、うまく設定すれば、2,3,4が検出可能。5は検出できないケースも出てくるだろう。

フィッシング詐欺用サイトを立ち上げる場合、トップページを書き換えて「書き換えたぞ!」とアピールする改竄とは、攻撃側の立場が全く異なる。一旦作ったサイトが長期間機能すれば機能しただけ、引っかかる被害者も多くなるわけで、なるべく長期間発覚しないのが望ましい。
トップページをいきなり書き換えて、フィッシング詐欺メールを送る前にサイトを停止されたら何にもならないのだ。
こうやって考えると、ページトップから辿っていく手法の改竄検出は、フィッシング詐欺サイト構築の検出には向いていない事が分かる。

攻撃者から見ると、上記、2,3は、サーバのコンテンツ管理者の権限以上が入手できれば実現可能。いくつかの事情 *1 で、コンテンツをhttpdあるいはCGI実行ユーザーの持ち物にしている場合、CGIに穴があったら実現される可能性がある。
4は、httpd.confの更新がrootにしかできないのであれば、root権限を奪取されなければ大丈夫だと思われる *2
5は、一般ユーザー権限があれば可能。もちろんhttpd権限でも可能。

ということで、結局、フィッシング詐欺サイトの構築を防ぐためには、

  • サーバ全体の防御を固める
  • ログを含めてシステムの監視を強化する

といった地道な対策が必要で、特効薬はない様だ。
あえて、特化した検出系の技術を考えると、httpアクセスをパケットキャプチャ的に監視して、コンテンツとして用意していない筈のURIを検知するというテクノロジが使えるかも知れない。

*1: suExecを利用している場合はそうせざるを得ない。理由がないのだったらもちろん止めるべき。
*2: 動作中のhttpdの動作をhttpdの実行ユーザー権限で変更する事ができる可能性はあるが、未検証。

■ 関連記事

■2買い落とし本リスト[book]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

買わなきゃいけない本リスト。

IPv6 magazine[http://www.amazon.co.jp/exec/obidos/tg/listmania/list-browse/-/2ND02RQUV4A96/249-3743634-2985128]:

書店で見つけた時に買っていたのだけれども、入荷しなくなってから買わなくなってた。10号で廃刊の様なので、買いそろえておかないと。

Amazon[http://www.amazon.co.jp/] では10巻が品切れだったので、 impress Direct[http://direct.ips.co.jp/book/impress.cfm] で発注。

[和書]FreeBSD expert―ワンランク上のFreeBSDユーザを目指せ! (2005)[http://www.amazon.co.jp/exec/obidos/ASIN/4774122092/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]BSD magazine No.17 (2003) (17)[http://www.amazon.co.jp/exec/obidos/ASIN/4756143458/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

FreeBSD PRESS[http://www.amazon.co.jp/exec/obidos/tg/listmania/list-browse/-/2NTZ7O2NCS308/249-3743634-2985128]:

これは創刊号の方を持っていない。
1〜8巻、14,15,16巻が無いのだけど、もはや入手が困難かも知れない。

■ 関連記事

■3 STEP - SuperTagEditor Plugin[http://haseta2003.hp.infoseek.co.jp/]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

リッピングした曲データに、SonicStageでID3タグを打つのが面倒で、他のタグエディタを探したのだけれども、OpenMGの.omaファイルに対応したものが見当たらなかった。
調べてみるとid3libの形で、OpenMGの情報が 公開[http://www.sony.co.jp/Products/OpenMG/overview/tech.html] されているので、作れないことはない様だ。
とは言っても、UIを最初から作るのは大変なので探し当てたのがこれ。
大量の曲のタグを打つのに非常に重宝した、SuperTagEditorのタグ入出力部分をプラグイン化したプロジェクト。 これ用のプラグインとして、id3libを組み込む事ができれば、.omaファイルも扱える様になるのでは無いかと目論んだけれども、クイックハックでできる話じゃなさそうなので、一時棚上げ。

■ 関連記事

■4なぜ○○銀行のインターネットバンキングは右クリックを禁止するのか[セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

ここ1ヶ月位でずいぶん状況が変わってきた。
実はこの記事の、○○銀行の○○の部分では、ある特定の銀行を想定していた。 その後、調べていくと、多くの銀行に共通する問題だということが分かったので、○○としておいたという事情があった。
最初に気づいた銀行とは、以前からやり取りをしていて、最終的にはアドレスバーを隠すのは止めるという方向で解決しそうだったので、様子を見ていた。
フィッシング防止のため地方銀行はこうするべき[http://takagi-hiromitsu.jp/diary/20050220.html#p01] の記事を読んで、そういえばどうなったかなと、以前アドレスバーを隠していた銀行を回ってみると、アドレスバーを隠す様なことは無くなっていた。いずれも、同じサービスを利用していた様だから、一斉に変更したのだろう。
世の中が一つだけれども、安全な方に動いたシーンをみる事ができたのは嬉しい。

アドレスバーを隠している理由は、恐らく、他のドメインでサービス本体を動かしているのを知られたくないという理由だろう。 これは、 高知県電子申請システムはどうしてアドレスバーを隠すのか[?200502b&to=200502161#200502161] で取り上げたのと同様、説明責任を回避してリスクを利用者に押しつける行為で許される事ではない。
面倒でもきちんと説明するか、 こうすれば良かったのではないか[?200502b&to=200502161S2#200502161S2] や、 フィッシング防止のため地方銀行はこうするべき[http://takagi-hiromitsu.jp/diary/20050220.html#p01] で提案されている様に、自分のドメインで運用すると、利用者に「ドメイン名が違うのは要注意」という習慣づけができて、より安全な社会になる。

■ 関連記事

詳細はこの日の詳細から

2005年02月23日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1 公益性のない無断複製自動公衆送信に関するローカルミラーシステムの考え方[http://takagi-hiromitsu.jp/diary/20050222.html#p01][hns]次の記事 >> このエントリーをはてなブックマークに追加

この日記では、 ローカルミラーシステム[?200309b&to=200309175#200309175] を運用しています。導入した動機は、 メモリンクのリンク先が消滅して困る[?200308b&to=200308153#200308153] というもので、日記で触れた内容をローカルに保存する行為を自動的に行う事を目的としています。
そのため、閲覧にはパスワード認証を設ける様にしていますし、筆者本人以外が閲覧することは想定していませんでした。
もちろん、保存したページを読者に公開すれば、読者の利便性は増すでしょうし、魅力あるコンテンツが作れるのではないかという思いつきはありました。
でも、それはまず第一に、他人のコンテンツの盗用につながりますし、既に指摘されている様にセキュリティ上の問題も生じさせます。
ですが、ローカルミラーシステムを公開した際には、ミラーしたコンテンツを一般に公開しないのは当然だという思いこみがあったせいで、その事に関して触れませんでした。
「ローカル」という言葉にあくまで自分だけのものだという思いはあったのですが、配慮が足りなかったと反省しております。

その様な事情ですので、もしローカルミラーシステムを、一般に公開する形で運用されている方がいらっしゃいましたら、自分にしか見られない様に設定する様にお願いします。
ローカルミラーシステム[?200309b&to=200309175#200309175] の記事にも注意書きを付記しました。

より抜本的には、筆者以外の読者にリンクの存在も表示しない様にすべきだと思いますので、今後手がけていきたいと思っています。

ローカルミラーを公開することについて:

ローカルミラーシステムでローカルに保存したコンテンツの公開を私は行いませんし、ローカルミラーシステムの仕組みは、保存したコンテンツを一般に公開する事を想定して作られていません。
保存したコンテンツを公開しようとお考えの方は、大きく二つの問題を検討して下さい。検討の結果、この目的にローカルミラーシステムは不適合だということが判明すると思います。

まず、著作権上の問題があります。保存したコンテンツを公開する事について、あなたが著作権上の権利を持っている事は確実でしょうか。ローカルミラーシステムでは、あなたが日記で触れたリンクの全てをローカルに保存して公開することになります。
従って、あなたが日記で触れるリンク先の全てが、コピーして公開可能なコンテンツであるか、あるいは、正当な引用であることを保証する必要があります。これは通常の日記を書く上で、非常に不便な制約になると思います。
もし、一般に公開する場合は、公開可能なものを明示的に分けて指定する仕組みが必要になると思いますが、ローカルミラーシステムにはこの機能はありません。

また、保存したコンテンツは、あなたのコンテンツの一部として公開されますから、万一、悪意のあるページを保存してしまった場合、筆者本人を含む読者に迷惑を掛ける可能性があります。つまり、一旦保存したページを*あなたが*公開する訳ですから、そのコンテンツに責任を持つ必要が生じるわけです。
また、収集したページがコピーされたものだという事を、利用者に表示する手段がありませんし、読者がキャッシュされたページを見た時に、そもそもそのコンテンツの出典を表示する機能が欠けています。
従って、一般に公開するのを前提にすれば、収集したページを確認したり、Googleがキャッシュを表示する時の様に、どこから収集されたものか視覚的に分かる様に明示する仕組みが必要になると思われます。

いわゆる「キャッシュ」を公開するシステムについては、それが著作権上、正当な引用を含んで、クリアにされているのであれば、ネガティブではありませんし、それはそれで便利な仕組みが作れる可能性はあると思っています。利用者としても活用している側面があります。
ですが、私としてはこういった問題をクリアしたシステムを作る予定は今のところありません。上記で述べた様に、結構実現が難しいのです。むしろ、私の興味は、自分専用であることを前提とした機能の充実に向いています。

■ 関連記事

■2 国内のWebサーバーがフィッシングに悪用される,関係者は「全く気付かなかった」[http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050222/156491/][セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

佐賀県のWebサーバー上にフィッシングサイト、2週間にわたり開設[http://www.nantoka.com/~kei/diary/?200502c&to=200502211S2#T200502211S2] の続報。

2週間程度偽ページが放置されていたわけだが,同センターによると「ユーザーや担当者は気付かなかった。指摘されてサーバーを調査して初めて分かった」という。

ということだが、これだけ気づかないということは、 フィッシング詐欺用サイトとサイト改竄の違い[http://www.nantoka.com/~kei/diary/?200502c&to=200502221#T200502221] で述べた、3以降のケースだったのだろうか。
フィッシング詐欺サイト情報[http://www.rbl.jp/phishing/?mode=show&date=20050204] で見ると、「.(ドット)」から始まるURIを使っている例もある様だ。これはディレクトリを見た時に、管理者に気づかれにくいかも知れないが、逆にちょっと気が利いた管理者はドットファイルをチェックする様なcronを仕込んでいるものだ。お勧め。

■ 関連記事

■3 iPodの背面ボディーが新潟県燕市で作られている話[http://koshipa.net/archives/000463.html]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

新潟県燕市周辺の磨き職人のピンチを解決[http://www.nhk.or.jp/gokinjo/backnumber/041202.html] という番組を観て、日経に載っていたのを読んで、「そうだよ!その方向だよ!」と思っていたんですが、 ワールドビジネスサテライト[http://www.tv-tokyo.co.jp/wbs/2005/02/22/tokushu/o1.html] でも取り上げられた様です。
逆見本市 *1 とか積極的に参加すると、大手企業がどうやって量産するか一生懸命悩んでる事を、中小の町工場の人が「こんなの、ウチなら簡単にできるよ」っていう状況があるかも知れません。
このマッチングはきっと大きなビジネスチャンスを産み出しそうです。

*1: 普通の見本市は「ウチはこんなの作ってますよ」とか「こんな技術を持ってますよ」というアピールをするのだけれども、中小企業にとっては見本市に参加するのにもオカネが掛かるし、自分で売りだと考える技術と、求められている技術が違ったりして、なかなか商談までこぎ着けるのが難しかった様だ。逆見本市では、実現したい製品あるいはモック等を「これが量産(あるいは安価に実現)できる技術があるところありませんか」という展示を行う。一般に、量産をしようとする方が大資本なので、見本市で展示するコストを払いやすいし、町工場の側からはまさに必要とされている技術を待っているお客さんがいる訳なので、商談に結びつきやすいと期待されている。

■ 関連記事

■4テーマを変更してみた[hns]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

日記ページを見た時の先頭部分にPIMがあるのは、筆者にはある程度便利だけども、毎回、スクロールバーを操作しないといけないわけで読者には面倒なんじゃないかと感じていました。
ということで、サイドバーも取り入れつテーマを変更しつつあります。なるべく画面下の方に移動したりして、最新記事を先頭の方からご覧頂けることを目指しています。
自分自身がAirH"を良く使う様になった事情もあって、データとして読みたいものから送ってくれた方がありがたいということを身にしみて感じたので、サイドバーはhtml的には後で送って、CSSで左側に出しています。これはtableではできないことですね。

■ 関連記事

■5 デジタルアーツ、インターネットアクセス制御に関する特許を22か国で取得[http://www.computernews.com/DailyNews/2005/02/2005022213218FAC90F22020.htm]<< 前の記事 このエントリーをはてなブックマークに追加

Silphium Diary[http://aki.nekoruri.jp/diary/200502c#D22_1] より。
同社の プレスリリース[http://www.daj.co.jp/company/release/2005/r022101.htm] によると、日本では「特許第3605343号」で特許になっているということだから、 特許電子図書館[http://www.ipdl.ncipi.go.jp/] で調べてみた。出願は平成12年3月31日(特開2001-282797)。そこまで昔の話ではない。登録は平成16年10月8日。
請求項は14項あるけれども、結局、全て請求項1に係っていて、
【請求項1】
コンピュータを使用してインターネットを介して外部情報のアクセスを制御する方法であって、アクセス許可サイトのリストを含む第1データベース、アクセス禁止サイトのリストを含む第2データベース、禁止語キーワードを含む第3データベース、及び有益語キーワードを含む第4データベースを備えた前記コンピュータを使用してインターネットを介して外部情報をアクセスする際に、前記コンピュータが、前記第1データベースに含まれるサイトへのアクセスは許可し、前記第2データベースに含まれるサイトへのアクセスは禁止し、前記第1および前記第2データベースに含まれないサイトについては、当該サイトからの情報が前記第3データベースに含まれるキーワードを有しない時にはアクセスを許可し、当該サイトからの情報が前記第3データベースに含まれるキーワードを有する時は前記第4データベースに含まれるキーワードを有する時のみにアクセスを許可することを特徴とするインターネット閲覧制御方法。
少なくとも、
コンピュータを使用してインターネットを介して外部情報のアクセスを制御する方法
の内側だから、.htaccess等によるサーバ側でのアクセス制御には係ってこない様に読める。
要は、
  1. サイトの許可リスト
  2. サイトの禁止リスト
  3. キーワード禁止リスト
  4. キーワードの許可リスト
を持っていて、まず、1,2の順にサイトマッチをやってヒットすれば確定。
次に、3(禁止キーワード)になければ禁止。3にあっても4(特例許可キーワード)にあれば許可。
確かに効率の良い方法で、サイトリストがあればサイトマッチで条件を決めた方が良いし、一般的にはわいせつなどとして引っかかる単語も、特定の用語を術語として使う様な学校や職場では救いたいだろうから、特例許可リストが必要になる。
サイトの許可リストを用意しておかないと、配布されている禁止サイトの中に、どうしても必要なページがある時に困る。
平成12年3月当時に、この方法が一般的だったかどうかは分からないけれども、当業者が容易に思いつかないかと言われると微妙な気がする。
もっとも、先行特許がないということは「課題の発明」と言えなくも無いので、そこが新規性であると認められれば、こうやって特許になるということらしい。

■ 関連記事

詳細はこの日の詳細から

2005年02月24日(木)<< 前の日記 | 次の日記 >>
この日の詳細

■1テーマとスタイル調整中[hns] このエントリーをはてなブックマークに追加

なかなか難しい。
せっかくだからこの機会に、各ページの表示上のヘッダ部分とフッタ部分を統一しようと思ったんですが、なかなかうまい方法がなくて思案中。

■ 関連記事

詳細はこの日の詳細から

2005年02月25日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1新しいテーマ[hns]次の記事 >> このエントリーをはてなブックマークに追加

新しいデザインのスクリーンショット
日記のテーマを今風というか、デザインをある程度重視したものに変えてみようと思いながらいじりつつある。 作成中。こういうのはやはりセンスが重要だと思うし、デザインの才能はないなと痛感する。
実際にいじるのはなかなか大変で、まず、日記のサンプルを表示した状態でhtmlファイルを保存して、これを書き換える格好で、htmlとCSSを同時進行で編集していく。
theme.phでいじれるところとそうでないところは、大体見当が付いているのだけれども、あやしいところは確認しながら作業を進めるわけだ。
最初はtheme.phを直接編集してたのだけれども、試行錯誤をやる過程では、htmlファイルをいじって確認した方が早い様だ。
htmlファイルができあがった時点で、theme.phに反映させる事にする。
かなりCSS依存度の高いデザインになっているので、CSS非対応のブラウザで変な事になっていないかどうか、複数のブラウザで見栄えをチェックしながら作業していたけれども、まぁ許容できる範囲ではないかと思う。
本当はこの機会に、htmlの非推奨要素をクリアしようと思ったけれども、そこまでできそうにはなかった。カレンダーや他のサイトからの切り貼りもあることなので、妥協する事にした。
こうやって、複数ブラウザ開いたりすると、画面が広いのはすごく嬉しい。
作業中のデスクトップのスクリーンショット

■ 関連記事

■2 続・日本語.jpのフィッシング詐欺対策に「ソ二一.jp」問題は含まれているのか[?200502c&to=200502213#200502213][セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

日本語というか多バイト文字集合を持っている国では考えないといけないことが非常に多いのではないかと思う。
JPドメイン名は対策済みです[http://日本語.jp/access/phishing.html] には、
日本語JPドメイン名として使用できる文字を漢字・仮名・英数字に限定しています。そのため、キリル文字など英数字に非常によく似た文字が混在したドメイン名は登録できません。したがって、今回指摘された例にある不正サイトは、JPドメイン名には存在していません。
とある。確かに、「今回指摘された例にある」不正サイトは、JPドメイン名には存在しないかも知れないが、JPドメインを使うと同様の対策されていない問題にぶつかるのではないか。
日本語には字形の良く似た文字があって、画数が多い漢字は特にアドレスバーでは見分けが付かない文字が出てくる。例に挙げた「二」と「二」の他にも、これは探せばいくらでも出てくる。
もう一つ注意しないといけない問題があって、意味も読みも同じだけれども、文字コードとしては違うという文字もある。「瀧」と「滝」、「龍」と「竜」等が代表格だ。
秀逸な例を見つけた。 養老乃瀧.jp[http://養老乃瀧.jp/] というドメインは既に取得されているが、「養老乃滝.jp」は登録されていない。 「養老之瀧.jp」「養老之滝.jp」「養老の滝.jp」「養老の瀧.jp」等も登録されていない。
商標の場合は、発音や見た目、概念で類似している商標は受け付けないだけの審査をやっているけれども、日本語.jpが「対策済み」としている対策には、機械的なルールだとしても、その様な審査が入っているのだろうか。
もっとも、こういう問題は、ドメイン名にハイフンを含むか含まないか、ローマ字が訓令式かヘボン式か、外来語をローマ字読みにするか正しいスペルにするかといった事で、実は昔から存在した問題だ。日本語.jpではこの問題は解決できないと言ってしまうのは当然ありだ。
それを、
日本語JPドメイン名では、上述のような既存のドメイン名と視覚的に非常によく似たドメイン名を使用した不正サイトの存在は起こりにくくなっています。
IDNの導入で起こりえる問題を認識し、サービス導入時から対応策を実施してきている日本語JPドメイン名は、安心してご利用いただけます。
と言ってしまうのは、もし上記の様な問題が解決されていないのだとすると、「日本語.jpを使えば視覚的に非常によく似たドメイン名による詐欺に遭いにくい」という誤った思いこみを招くのではなかろうか。
  • 日本語JPドメイン名では、
  • 上述のような
  • 既存のドメイン名と視覚的に非常によく似たドメイン名
  • を使用した不正サイトの存在
  • は起こりにくくなっています。
「上述のような」は、キリル文字や半角、全角の話であって、「(キリル文字や半角、全角の錯覚を使用した)既存のドメイン名と視覚的に非常によく似たドメイン名、を使用した不正サイトの存在、は起こりにくくなっています。」と読むのかも知れない。だとすれば、この文章では漢字に関しては言及していない事になる。注意して読みとる必要がある。

■ 関連記事

詳細はこの日の詳細から

2005年02月26日()<< 前の日記 | 次の日記 >>
この日の詳細

■1SYA!nikki[SYA!nikki] このエントリーをはてなブックマークに追加

1620 おでかけ:

1700 京ぽんと比較:

こちらは京ぽんから、位置情報を入れられる様にしたいところ。
京ぽんと比較

1830 おかいもの:

■ 関連記事

詳細はこの日の詳細から

2005年02月27日()<< 前の日記 | 次の日記 >>
この日の詳細

■1「チェックコードが一桁あるので、セキュリティが低いとは言えない」[セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

報道特集「キャッシュカード被害〜偽造犯の供述内容は!」[http://www.tbs.co.jp/houtoku/2005/050227.html] より。
キャッシュカードのスキミングによる被害が急速に増加しているが、 カードに秘密情報が含まれていなければ、スキミングなどしなくても偽造カードが作れるのではないか[http://d.hatena.ne.jp/HiromitsuTakagi/20031127] という指摘がなされていた。
番組によると、この懸念は当たりだったようで、銀行コード、支店番号、口座番号が分かればカードが作られてしまう銀行もあるという *1
これを防ぐために、「チェックコード」というものが導入されている銀行もあるという。銀行コード、支店番号、口座番号が分かっても、「チェックコード」が一致しないとカード偽造ができないから安全だと言うのだ。
ところが、この「チェックコード」なるもの、あっても1桁か2桁。そんなものは、恐らくチェックデジットに過ぎない。秘密情報であっても、突破できるレベルだ。
実際、偽造カードを作ったという犯行が起きているのだから、口座番号などから算出できる数字を使っていたに違いない。新たに口座毎にランダムなキーを割り当てて、それを照合する仕組みにはなっていなかったのだろう。実際にそうするのならば、それで安全性を確保しようとする意図があって設計するのだから、もっと多くの桁数を割り当てる筈だ。
恐らくは、カードが正常に読めたかどうか判断するための、単なる「チェックサム」あるいは「チェックデジット」を「セキュリティコード」等と名付けて、「これで安全性が確保できています」と主張していたということだ。
「チェックサム」や「チェックデジット」は、読み間違いを検出するためにあるもので、番号の真正性を確認するために使うことはできない。たとえ計算方法を秘密にしても、セキュリティを確保することはできない。方法を秘密にすることによって、欠陥は見えにくくなるけれども、見えない穴は開いたままなのだ。
欠陥を見えなくして利用者には「安全ですよ」と主張しておいて、問題が起きたら責任を利用者に転嫁するシステムは許されてはならない筈だが、たいていの銀行のキャッシュカードは、現状、そういう状況にある様だ。
こういった中で自分の預金を守るためには、キャッシュカードを利用するための口座を別に作って、大きい金額が入った口座は別に持つ様にするしかない。
*1: 番組によれば1/3の銀行は、この情報だけでカードが作れるという。

■ 関連記事

■2SYA!nikki[SYA!nikki]<< 前の記事 このエントリーをはてなブックマークに追加

2113 おひなさま:

購入。
おひなさま

■ 関連記事

詳細はこの日の詳細から

2005年02月28日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1 続・「チェックコードが一桁あるので、セキュリティが低いとは言えない」[?200502c&to=200502271#200502271][セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

録画を見直してみた。
1850万円の預金が不正に引き出されるという事件が起きた。供述調書によれば手口は以下の様ものだ。

  1. キャッシュコーナーで預金を引き出す際に、暗証番号を盗み見られた
  2. 車のナンバーから持ち主を特定
  3. 銀行を装って電話を掛け、口座番号を聞き出す
  4. 偽造カードを作成して、全額を引き出す

1については、最近は目隠しを立てる様になってきているし、自分自身は以前から気を付けているけれども、確実に大丈夫かと聞かれると自信がない。混んでいる時など後ろの人が盗み見る積もりになれば読み取れるのでは無いかと思うし、ショルダーハックと比較して、テンキーを盗み見るのはかなり簡単だろう。
3でソーシャルな手法を使っているが、そもそも口座番号は秘密情報では無いので、聞き出すのは簡単だろうし、聞き出すまでも無く知る事ができる場合が多い。事業をやっている場合は、請求書に普通に印刷されていたりするし、名刺に印刷されているものも見た事がある。少し前までは、公共料金などの領収書に引き落とし口座が印字されていたものだし、今でも印字している例は多いかも知れない。

こうやって、預金を引き出された法人が、銀行を相手取って民事訴訟を起こした訳だが、その中で銀行側が主張したのが冒頭の言葉だ。

23の金融機関のキャッシュカードの磁気データを分析したところ、チェックコードを設けていないと考えられるものは8金融機関もあり、全体の3分の1以上ある状況に照らせば、1桁のチェックコードがある被告のセキュリティ技術が一般水準以下であるとは到底言えない。
1桁のチェックコードがあるのは安全な方だ

「1桁で安全」という主張にも驚くが、これが一般水準だったら、キャッシュカードは恐くて使えない。
番組でも「銀行カードに詳しい技術者」に大手7金融機関のカードを分析を依頼していたが、チェックコード無しが1行、チェックコード1桁が4行、チェックコード2桁以上が2行という結果だった。

番組中、技術者は「チェックコード」ではなく「チェックサム」と言っていた。チェックサムだとすると、2桁以上あっても全く安心できない。枚数をある程度集めれば、計算式が推測可能だからだ。桁数を多くしてもサンプルが多く必要になるだけの話だ。

キャッシュカードを使わない様にするとATMが使えないということになるので、実際は相当に不便になる。自分自身も対策をしなければいけないと思いつつ踏み切れていない。
ネットバンキングに切り替えて、キャッシュカードを持つのを止めるというのも考えているところだ。
バランスの問題だけれども、ネットバンキングはキャッシュカードに比べると、利用者が努力すればまだ安全性を確保できそうだ。暗証番号では無くて長いパスワードが使えるし、フィッシングもオレオレ証明書も自分で気を付ければ、ほぼ被害を無くす事ができる。問題は銀行のシステムに穴があった場合だが、その場合に、被害者が自分一人ということはほとんど無いだろうから、比較的安心できる。
残念な事に、キャッシュカードを持たないでネットバンキングを利用することができない銀行もある様な気がする。

■ 関連記事

■2 続・例示用には実在しないドメイン「example.com」等を[?200502b&to=200502173#200502173]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

携帯電話アクセス自動振り分け表示
ウチのドメインいつの間にか乗っ取られたかと思ってびっくりしますから、お願いしますよ。
それから、メールアドレスの正当性チェックと称して、「nantoka」を含むドメインをはじくのも勘弁して下さい。スクリプトを配布される作者の方は、サンプルには、bad.example.com等を使って下さる様にお願いします。
Webで入力されたメールアドレスが正しいかどうか調べるためには、 Email::Valid[http://perldoc.jp/docs/modules/Email-Valid-0.14/Email/Valid.pod] あたりをお勧めします。但し、実際に配送してみるまで(配送してみても)、メールアドレスが正しいものであるかどうかを確認する方法はありません。そういう厳密な確認が必要な時は、セションキーを割り当てて、メールにアクセスすべきURIを書いて送って、そのURIへのアクセスを確認する方法がありますが、もちろん、そのアドレスが将来にわたって有効である保証はありません。

■ 関連記事

■3 寝台特急さくら、あさかぜ歴史に幕 長崎駅などで出発式[http://www.asahi.com/national/update/0228/028.html]<< 前の記事 このエントリーをはてなブックマークに追加

ついに九州寝台特急の歴史に幕が下りたわけです。ノスタルジーだけではやっていけないけど、鉄道旅行の楽しみが食堂車についで消えたのは寂しい限りです。とってもひょっとすると、いつか他の寝台車両が九州まで来る事はあるかも知れない。
さくら号 さくら号Bソロ外観 さくら号Bソロ室内1 さくら号Bソロ室内2

トワイライトエクスプレス[http://www.nantoka.com/~kei/TwilightExpress/]:

はまだ現役。もう一度乗りたい。

■ 関連記事

詳細はこの日の詳細から

以上、8 日分です。

指定日の日記を表示

前月 2005年02月 翌月
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28

最近の日記

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

2018年12月18日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project