2005年04月01日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1 JPRSのIDN実装上の日本語文字集合類似字形の問題[http://sa.notwork.jp/2005/NOTWORK.JP-SA:050401-00.html][セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

影響範囲: 全てのユーザ
の問題の様です。

■ 関連記事

■2想像を超えて進化するロボット達<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

哀・地球博会場レポート〜会場内で深夜乱闘が発生[http://pc.watch.impress.co.jp/docs/2005/0401/uocchi/expo.htm]:

これまで独立した環境で成長してきて、他のロボットを見たこと無かったところに、他にもロボットがいることを知った途端に自我が芽生えたのでしょうか。
会場内でロボット同士による乱闘が発生した模様。この乱闘で近くを歩いていたモリソーさん(年齢、性別不詳、瀬戸市、海上の森在住)、キッココさん(0歳、性別不詳、瀬戸市、海上の森在住)が巻き添えとなり重傷を負った。
人間にまで被害を与えるとは、アシモフのロボット三原則はどこに行った。

Yahoo! JAPAN - 実録 サービスを支えるスタッフたち[http://aprilfool2005.yahoo.co.jp/honyaku/03.html]:

ロボットたちの会話は無線LANでの通信なので、人間の耳には届きませんが、静まりかえった翻訳ルームでは熱い友情で結ばれたチームワークで日々涙ぐましい努力が続けられているのです。
確かに、これだけの台数で協調して動作していると、感情の様に見えるものが出てきて、感情に見えればそれは感情かも知れない。

■ 関連記事

■3 究極の生体認証システム登場!大阪のベンチャー企業が開発[http://zx81.blogtribe.org/entry-3e4d77f7c1e2c5fefab075360b9f9794.html][セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

■ 関連記事

■4 サイバー犯罪事件簿〜姿なき侵入者〜[http://www.npa.go.jp/cyber/video/index.html][セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

オンラインで視聴できます。
まぁ、低予算の啓蒙ビデオなんでアレなとことはアレ *1 なんですけど、テクニカル的にはなかなか見所あります。
感想。家がとなりって早く言えよ!
*1: セットが恐らく警察関係の施設でそれっぽく作ったんだろうなぁとか。

■ 関連記事

■5Googleがダウンする<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

数日前から、他のサイトからは見えるのに、ウチからだけしばらくGoogleが見えなくなるという現象が発生していたのだけれども、
; <<>> DiG 8.3 <<>> google.com ns
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27062
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0
;; QUERY SECTION:
;;      google.com, type = NS, class = IN

;; ANSWER SECTION:
google.com.             3d22h44m23s IN NS  ns2.google.com.
google.com.             3d22h44m23s IN NS  ns3.google.com.
google.com.             3d22h44m23s IN NS  ns4.google.com.
google.com.             3d22h44m23s IN NS  ns1.google.com.
で、どれかのネームサーバに聞くと、
;; QUERY SECTION:
;;      www.google.com, type = A, class = IN

;; ANSWER SECTION:
www.google.com.         15M IN CNAME    www.l.google.com.

;; AUTHORITY SECTION:
l.google.com.           1D IN NS        a.l.google.com.
l.google.com.           1D IN NS        b.l.google.com.
l.google.com.           1D IN NS        c.l.google.com.
l.google.com.           1D IN NS        d.l.google.com.

;; ADDITIONAL SECTION:
a.l.google.com.         1D IN A         216.239.53.9
b.l.google.com.         1D IN A         64.233.179.9
c.l.google.com.         1D IN A         64.233.161.9
d.l.google.com.         1D IN A         64.233.183.9
と返事が戻ってくる。つまり、www.google.comは、www.l.google.comの別名で、l.google.comは、[a-d].l.google.com のネームサーバに問い合わせる様になっている。
うまく見えない時に、各々のネームサーバを引くと、いずれかのネームサーバ(16:41現在は、c.l.google.com)だけ、応答を返してこない状態になっている様だ。

■ 関連記事

■6 開幕1週間、42万人入場 きょう手作り弁当解禁[http://www.chunichi.co.jp/00/sya/20050401/mng_____sya_____001.shtml][愛・地球博]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

同協会によると、手作り弁当は認めるが、コンビニの弁当やおにぎり、ペットボトルは従来通り持ち込みを禁止する。
一瞬、エイプリルフールネタかと思ったんですが、
Q:お弁当の持ち込みはできるの?

アレルギー・食事制限、小中学校の行事の一環での持ち込み、家庭で調理した弁当は可能です。(加熱、保冷剤等を使用し、温度管理は十分注意を払ってください)
と変更されています。
小泉内閣メールマガジンによると、
「愛・地球博」では、食中毒の予防やテロ対策のために、お弁当や飲み物 を会場に持ち込めないというので、せっかく家で作ってきたおむすびも会場 に持ち込めないという苦情を耳にしました。もう少し訪問者のことを考えた 対応をするように早急に再検討するよう指示しました。
としていますから、 「せっかく家で作ってきたおむすびも会場に持ち込めないという苦情」に対応して、 「家庭で調理した弁当は可能」という対応だと思うのですが、過ちを改めるにはばかることなかれとしても、この対応によって、むしろ持ち込み禁止そのものの意義が疑われるのではないでしょうか。
中日新聞の報道によれば、博覧会協会はこれまで持ち込み禁止の処置について、
食中毒対策を最大理由に挙げたが、過去の博覧会で食中毒の発生件数は少ない。
会見で博覧会協会の会場管理担当者は「衛生機関と協議して決めた。学校などの遠足を例外としたのは、学校を信用し、衛生面の管理ができると判断したため」と話し、それ以外の弁当持ち込みは食中毒の恐れから認めないとした。
と、「食中毒対策」を理由にしてきました。 ところが、 厚生労働省 食中毒・食品監視関連情報[http://www.mhlw.go.jp/topics/syokuchu/] にある統計資料を見ても、食中毒発生事例の多くは飲食店や業者の仕出し弁当で起きており、特に集団食中毒を考えた場合、博覧会において大きな被害が発生するのは、むしろ、修学旅行等の集団が持ち込む弁当や、会場内で販売される飲食物および弁当に問題があった場合だというのが普通の見方でしょう。
一般の持ち込みでもし被害が出たとしても、その家庭だけの問題で、大騒ぎになりませんが、これらの弁当や飲食物で被害が出た場合は、それこそ集団食中毒事件になりますし、博覧会協会も責任を問われかねません。
これを認めておいて、一般の持ち込みを禁止する姿勢は、業者への配慮と疑われても仕方がないのでは無いでしょうか。
そこに今回の「家庭で調理した弁当は可能」という対応です。
市販されている弁当は、時には防腐剤を使うほど、時には過剰すぎるほどの防腐処理がされているものもあります。そこまで行かなくとも、味を犠牲にしても味付けを濃くするとか、食中毒を起こさないということに関しては、業者の信用が掛かっていますから、相当に気を使っています。
ところが、家庭で作る弁当は薄味にする傾向がありますし、わざわざ防腐剤を使う家庭はほとんどありませんから、特に梅雨時や夏場には不慣れな人が弁当を作ると腐敗が心配です。
そうやって考えると、手作り弁当だから食中毒のリスクが低いとは思えません。 まさに「首相に言われたから解禁した」という場当たりな対応で、「食中毒対策」を理由に持ち込みを禁止してきた姿勢が批判されても仕方がないでしょう。
むしろ、当たり前のことなのですから、自己責任を全面に出して、自己責任で持ち込みを認めるなり、ゴミを理由にするのであれば、容器にデボジット制を取り入れる等、いくらでも方法はあったでしょう。
まだ、間に合います。過ちを改めるにはばかることなかれです。 「改める」ということは「過ち」を認めることではあるのですが、そこにこだわっていては、万博自体が不成功に終わるのではないですか。
万博は特別なイベントですから、事前に立てた計画がうまくいかないことはあるのです。
大阪万博でも最後までダメ出しが続いた様ですし、そうやって臨機応変に対応することが、特別なイベントを成功させるためには必要な様です。
この対応が、成功した万博と、失敗した万博の明暗を分けた要素の一つかも知れません。

■ 関連記事

■7開示請求の手続[個人情報保護法]<< 前の記事 このエントリーをはてなブックマークに追加

4月1日になったので、「個人情報の保護に関する法律 第二十四、二十五条」に基づいて、某保険会社が保有するところの私の個人情報の開示請求をすることにした。
会社のホームページでは、第二十四条に従って、
「個人情報の開示、訂正等のご請求について」

お客さまからご自身に関する情報の開示・訂正・削除・利用停止(以下、開示、訂正等といいます)のお申し出があった場合は、請求者がご本人であることを確認させていただいたうえで、特別の理由がない限り回答・訂正等の対応をいたします。
1.「情報の開示、訂正等」のご請求方法

「情報の開示、訂正等」のご請求は、当社コミュニケーションセンター宛お申し出ください。

なお、手続き等の詳細は、ご請求書類の送付時に留意事項等記載した資料をお届けしますのでご確認願います。
2.「情報の開示、訂正等」のご請求に必要な書類

「情報の開示、訂正等」のご請求にあたっては、以下の書類が必要となります。

* 当社所定の開示等請求書
* 本人確認書類


3.「情報の開示、訂正等」のご請求に回答方法

開示、訂正等の対象者ご本人の請求書記載のご住所宛に当社所定の回答書類を郵送させていただきます。

4.情報の開示、訂正等」のご請求に関して取得した個人情報の「利用目的」

「情報の開示、訂正等」の請求に伴い取得した個人情報は、「情報の開示、訂正等」に必要な範囲のみで取り扱うものとします。
5.ご請求にともなう手数料について

「情報の開示」については、1回のご請求ごとに、手数料1,000円(消費税込)を申し受けます。
「情報の開示、訂正等」のご請求, 某生命保険会社, 2005年4月1日
とあるので、とりあえず「コミュニケーションセンター」にTel。
私:「個人情報の開示請求をしたいのですが」
オペレーター:「個人情報の開示の要求ですか?それはどういった…」
私:「要求ではなくて請求なんですけれども。御社のホームページに掲載されている…」
オペレーター:「少々お待ち頂いて良いですか」
ダメじゃん。結局、分かるヒトを探して折り返しお電話頂くことになった。

掛かってきた:

担当の人から電話掛かってきました。担当している人が少ないし、初めての話なので大変そうだ。
  • 個人情報開示請求書を送るので記入して返送して下さい。
  • 本人確認のために免許書のコピー等を同封して頂きます。
  • 手数料が1,000円掛かります
という説明を受けたので、とりあえず、住所を伝えて書類一式を送ってもらうことにした。
ここまではスムーズに行かないと本当は困る。実は、本題はここからなのだ。

■ 関連記事

詳細はこの日の詳細から

2005年04月02日()<< 前の日記 | 次の日記 >>
この日の詳細

■1 (学生が)個人でニュースサイトなんてやめておけ[http://d.hatena.ne.jp/halfway/20050330][hns]次の記事 >> このエントリーをはてなブックマークに追加

タイトルは過激だけれども、Web日記がblogと呼ばれるようになってからの違和感を随分まとめているような気がしたので、リンク。
ライブブックマーク的なニュースの価値というのは余所で議論されるだろうから、置いておいて、特に学生だから、インプットとアウトプットっていう観点で思ったことを書く。
学問にはインプットとアウトプットがあると思う。インプットは受験勉強に代表されるけれども、自分の中に情報を蓄える作業だ。あるテーマについて、Googleで検索して、見つけたページを読むのもインプット型の学問だ。
アウトプットは論文書きに代表されるけれども、自分の中に蓄えたものを使って、何かを生み出す作業だ。私の日記書きのスタイルはどちらかと言えばこちらに近かった。忙しいときはメモに終わっているけれども。
例えば、資格試験なんかのために勉強する時には、インプットとアウトプットのバランスを考えながら勉強を進める。別に資格試験でなくても、自分が何らかのスキルを身につけたいと思ったら、大体、同じような手法で取り組むのだけど。
まずは、全体像が見えないといけないので、インプットに比重を置いた勉強スタイルになる。概略が分かるような本を寝ながらでも読んで全体像を掴んで、徐々に興味を持ったところを掘り下げて自分のものにしていく感じだ。
ある程度、自分の中に蓄えができたなと感じたら、例えば模擬試験問題を解いてみたり、小論文をまとめてみたり、レポートをまとめてみたりする。日記でも良いと思っている。そういう意味ではこの日記は習作の山だ。
そういうアウトプット作業をしてみると、自分の中で理解できていないポイントが見いだせたり、あるいはアウトプットしてみることで、バラバラだった知識が有機的に繋がってきたりする。
これを繰り返しながら、目標に近づいていくのだけれども、見つけたページを要約してリンクを張るだけの作業にしてしまうと、情報はたくさん通り抜けていくけれども、それは単にスルーするだけで、実はインプットもアウトプットもしておらず、自分の中に蓄えられたり、有機的な理解になったりするものが少ないのではないかと思う。
読者からの反応あるいは自分のためのメモが財産になると確信しているのなら良いのだけれども、惰性で続けているのであれば、自分のための財産になる方向のスタイルを検討してみるのも良いのではないかと思う。

■ 関連記事

■2 WWWOFFLE & Estraier で快適キャッシュ検索[http://www.otsune.com/diary/2005/03/29.html#200503294][hns]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

キャッシュもローカルミラーもnamazuで検索できて素敵なシステムになってます。
特に、ローカルミラーの検索は、ローカルミラー導入済みの方にはお勧め。

■ 関連記事

■3 オレオレエンジニアのガイドライン[http://www.oresign.jp/wiki/%E3%82%AA%E3%83%AC%E3%82%AA%E3%83%AC%E3%82%A8%E3%83%B3%E3%82%B8%E3%83%8B%E3%82%A2%E3%81%AE%E3%82%AC%E3%82%A4%E3%83%89%E3%83%A9%E3%82%A4%E3%83%B3]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

otsuneさんとこ[http://www.otsune.com/diary/2005/03/30.html#200503306] から。
おもしろい!でも「COBOLとCORBAは親戚」ほどじゃ無いけど、お友達だと思ってたよ。

■ 関連記事

■4 指紋認証を突破するために指を切断される事件が発生[http://motivate.jp/archives/2005/04/post_40.html][セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

BBCの報道[http://news.bbc.co.uk/2/hi/asia-pacific/4396831.stm] では3月31日付なので、エイプリルフールネタでは無い様だ。
ついに起きたかというのが感想。
どんな認証技術を持ってきたって、認証技術は治安の代わりにはならないのでは無いかという気がする。パスワードだったら子どもを誘拐されるかも知れない。
パスワードについては、そういった事態に備えて非常用パスワードを設定しておき、そのパスワードを入力すると、見た目は全く通常通りにシステムにアクセスできている様に使える、監視センターではその様な事態が発生した事を察知して、逆探知等の対応を行うというシステムが存在するという噂はある。

■ 関連記事

詳細はこの日の詳細から

2005年04月03日()<< 前の日記 | 次の日記 >>
この日の詳細

■1 のぞみ公園[http://www.jalan.net/kanko/SPT_170260.html][おでかけ]次の記事 >> このエントリーをはてなブックマークに追加

昨日、初めての靴を買ったので、夕方からのぞみ公園にお出かけ。
写真は撮ったのだけど、携帯では無かったので写日記はなし。
子どもの遊び場としてはかなり良い感じだと思う。広くて良く手入れされているし、そこそこ遊具もある。お弁当持って行ったらお金掛からないし。大人気の様だ。
まだ、風が少し冷たかったけど、暖かくなったらまた来よう。

■ 関連記事

■2 オレオレエンジニアのネットワーク設計[http://d.hatena.ne.jp/magisystem/20050402#p1]<< 前の記事 このエントリーをはてなブックマークに追加

■ 関連記事

詳細はこの日の詳細から

2005年04月04日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1 「セキュリティのため」ActiveXコントロールの導入を勧めるUFJカード[http://www.ufjcard.com/release/release081.html][セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

何か新しいハードなりソフトを導入すると安全になるというのは、大体において幻想だ。 しかも、ActiveXは確かに、
お客様はUFJカードホームページ画面の起動ボタンをワンクリックするだけで、安全な環境で各種サービスをご利用いただけます。
「ワンクリックするだけ」かも知れないが、裏ではアプリケーションのダウンロード、インストール、そして実行という何でもありの事が起きている。
つまり、悪意あるいはセキュリティホールのあるActiveXプログラムをインストールしたが最後、その端末はどのページにアクセスしようと常に危険に晒され続ける訳だ。
一昔前にはこれを悪用して、ダイヤルアップ接続先を、ダイヤルQ2や国際電話に勝手に変更して、高額な課金をさせるという犯罪がずいぶん横行して、社会問題になった。
今ではこの方法は、ダイヤルアップ接続自体が少なくなっているので犯罪として成り立ちにくいが、キーロガーを仕込んだりしてクレジットカード番号やパスワードを盗み出す犯罪や、証明書やDNSを勝手に書き換えて、完璧なフィッシングサイトを作る出す事に悪用される心配がある。
という訳で、ActiveXをインストールするのは非常にリスクを伴うので、普段は必ずダイアログを出す設定にして、例え署名付きActiveXでも出所をきちんと確認する様にすべきだ。もちろん、ActiveXとは無縁のブラウザを使った方が安心だ。

フィッシングサイト詐欺に効果があるのか:

とは言え、一体どういうものか興味はあるので、IEを立ち上げて *1 アクセスしてみた。
UFJカードトップページ
トップページに「ウイルスや不正アクセスからガード!」という案内が出ている。
これをクリックすると、
セキュリティレベルを「中」にせよ
※Internet Explorerのお使いの方は、セキュリティーレベルを一時的に「中」に変更するか、信頼するサイトにこのサイトを追加してください。
という表示が出てくる。これは、ActiveXを実行しない様に設定しているからで、仕方がないので「中」に設定してアクセスしてみる。これは危険なので、後で忘れない様に戻さないといけない。
インストールできません

以下の点についてご確認ください。

1.Internet Explorler でインストールしていますか?
nProtect のインストールは ActiveX を利用しています。そのため、ActiveX が利用できるバージョンである Internet Explorler 以外のブラウザではインストールできません。

2.Internet Explorler のセキュリティポリシーは「中」または「低」になっていますか?
セキュリティポリシーが「高」になっているとActiveXのダウンロードができないため、インストールできません。

3.他社のセキュリティ製品が既にインストールされていますか?
nProtect は 他社製品が入っていても使用は可能ですが、他社製品の設定によっては ActiveX のインストールが正常に行えない場合があります。お使いの他社製品のマニュアルを参照し、設定を変更してください。

ここはドコ?:

説明のページが出てくるのですが、
ここはドコ?
良く関係が分からないアドレスになぜか接続される。一応、「UFJカードホームページ」とか書いてあるが、 これを信用してActiveXをインストールする人は、フィッシング詐欺に引っかかる人なので要注意だ。
そういう時は、ActiveXの署名を確認すると良い。ActiveXの場合、自由に動作するプログラムを組み込むわけだから、プログラムの配布者が署名をする仕組みになっている。
署名がきちんと行われていれば、その配布者を信用する限り、プログラムも信用できるという仕組みになっている *2 。もちろん 信用できない配布者が配布しているActiveXプログラムはたとえ署名されていても、インストールしてはいけない*3

わたしはダレ?:

セキュリティ警告が出てくるので、発行者を確認してみる。
わたしはダレ?発行先:INCA Internet. Co., Ltd.
「INCA Internet. Co., Ltd.」という会社名が表示されるのだけど、これは一体どういう会社だろうか。
株式会社UFJカード(本社:東京都千代田区、社長:安藤光輶、以下 UFJカード)は、2005年4月1日(金)より、ネットムーブ株式会社(本社:東京都渋谷区、社長:澤田富仁)の個人情報保護ツール「nProtect Netizen(エヌプロテクトネチズン)」をホームページに導入いたしました。
プレスリリースには全く登場しない会社である。

韓国? SEOUL? インカインターネット?:

ということで、証明書の内容を確認してみると、
C=KR,S=GYEONGGI-DO,L=SEOUL,O=INCA Internet. Co., LtdDNS Name=www.nprotect.com
kei% openssl x509 -text -in nprotect.cer
Certificate:
 Data:
 Version: 3 (0x2)
 Serial Number: 2152115 (0x20d6b3)
  Signature Algorithm: md5WithRSAEncryption
  Issuer: C=ZA, O=Thawte Consulting (Pty) Ltd., CN=Thawte Code Signing CA
  Validity
   Not Before: Jan 26 08:35:50 2005 GMT
   Not After : Feb 23 07:42:07 2006 GMT
 Subject: CN=INCA Internet. Co., Ltd., O=INCA Internet. Co., Ltd., OU=Development Department, C=KR, ST=GYEONGGI-DO, L=SEOUL
(中略)
 X509v3 Subject Alternative Name:
  DNS:www.nprotect.com
 X509v3 CRL Distribution Points:
  URI:http://crl.thawte.com/ThawteCodeSigningCA.crl
とか出てくる。
韓国? SEOUL? インカインターネット? 謎は深まるばかりだ。
「www.nprotect.com」にアクセスしても白紙ページが出てくる。

www.nprotect.comが白紙ページなのは…:

FireFoxでアクセスしてたのがいけなかった様で、トップページの言語振り分け用のJavaScriptが、FireFoxを想定していない作りだったのが原因の様だ。

このActiveXを導入しても安全でしょうか?:

全く安全に思えなかったので、導入は断念。
どこが作って、誰の責任で配っているか分からない様なActiveXプログラムを導入するためには、VirtualPCか何かで捨てても良い環境を作るしかない。
質問一覧[http://nprotect.netmove.co.jp/service/npnv4/ufj_card/support/qalist.html] を見ると、
どのようにしてフィッシングサイトを見分けるのですか?

nProtect Netizen には、 nProtect Netizen を起動したホームページに関連のある IP アドレスが予め登録されています。もしフィッシングサイトをブラウザで開いた場合、nProtect Netizen はこのフィッシングサイトの IP アドレスを調べ、予め登録されている IP アドレスの中にそのアドレスが見つからない場合はメッセージダイアログを表示させます。
と書いてあり、UFJカードのトップページには、
※ご利用には毎回起動が必要です。
フィッシングブロック【新機能】

URL を本物と見せかけ、大事な個人情報を横取りしようとするウェブサイトを「フィッシングサイト」と呼びます。 「nProtect Netizen」は起動している間、「nProtect Netizen」を起動させたウェブサイトとは関係のない「フィッシングサイト」等のURLをブラウザが開こうとした際に注意を促すメッセージダイアログを表示させます。このメッセージにて、お客様は上記サイトが正規のサイトかどうかを、簡単に判断することができます。
と書いているところを見ると、実際に試していないので全くの勘違いかも知れないが、
  • 予め(本物の)UFJカードのトップページから、「nProtect Netizen」を起動しておいて、
  • UFJカードページを見ている内に、なぜかフィッシングサイトにアクセスしてしまった場合に、
  • 予め登録されているIPアドレスの中にそのアドレスが見つからないので、
  • メッセージダイアログを表示
するんじゃないかという気がしてきた。まさかそんな筈はないと思うけど。
また、昨今、問題となっているフィッシング詐欺に対しての有効な対策機能である「フィッシングブロック」機能も備えております。フィッシング対策機能がついた製品は他社にもありますが、それらは警告を促すだけにとどまり、最終的にはお客様の意思決定に委ねられているため、抜本的な問題解決には至っておりませんでした。しかし、「nProtect Netizen」の「フィッシングブロック」機能は、お客様がアクセスしようとしているサイトが、正規のUFJカードのサイトであるかどうかを自動的に検知し、簡単に判別する画期的なツールです。
このプレスリリースを書いた人は、「フィッシング詐欺」が何か分かっているのだろうか。
もちろん、ActiveXを組み込むリスクよりも効果の方が大きいという判断をして、こういうツールの導入を顧客に勧めているのだから、まさか、 売り込み文句をスルーしてプレスリリースにしている筈はあるまい。
こんなことができたら確かに「画期的」だと思うのだけど、前述の事情でインストールしていないので試しようがない。Virtual PCを用意するしかないか。

インストールには管理者権限が必要:

ちなみに、インストールするためには、
管理者権限のないアカウントでインストールできますか?

管理者権限(Administrator権限)のないアカウントでは、インストールができません。権限を変更の上、ご利用ください。
なので、結構な覚悟が必要だ。

正規サイトのようですが、メッセージダイアログが表示されます:

正規サイトのようですが、メッセージダイアログが表示されます

Internet Explorer にツールバー(Google ツールバー、Yahoo ツールバーなど)をインストールしている場合、正規のサイトを開いているにもかかわらず、フィッシングブロックのメッセージダイアログが表示されることがあります。これは、ツールバーが独自の通信を行おうとするために発生する現象で、毎回発生するとは限りません。 メッセージダイアログが表示された後、ダイアログを閉じてページを再読み込みし、メッセージダイアログが再び表示されなければ、そのページは正規サイトになりますのでご安心ください。
この手の警告ソフトを作る時に気を付けないといけないのは、「偽の警告」をしてしまわないことだ。
偽の警告が度々発生すると、ユーザはそれに慣れてしまい、いずれ 「警告がでたら、『はい』を押す」[http://takagi-hiromitsu.jp/diary/20050111.html#p01] が習慣になってしまう。 そして、警告がでてOKを押したという事さえ忘れてしまう様になる。

勇気あるヒトバシラー:

な方がいらしたら、ぜひトラックバックやコメントなんかで教えて下さい。
例えば、
KeyCrypt 機能をONにするとどうなりますか?

KeyCrypt機能をONにすると、Internet Exploler上でWebサイトのサービスをご利用になる際、キーボードから入力する時点で内容が暗号化されるようになります。「キーロガー」など入力内容を記録する不正プログラムがパソコン内に潜伏していても、記録内容を解読できず、情報流出を無力化できます。
って、本当にひょっとしてだけど、 「ランダムな文字とバックスペースを交互に送り込んでるんだけなんじゃないのか」とか、色々興味は尽きません。

UFJカード不正利用事件[http://www.ufjcard.com/news/cont_sashikae.html]:

深読みすると、不正利用事件があったから、「何か対策しないといけない」と思ったのかも知れないけれども、実施する対策は慎重に評価すべきだ。「何か」を導入すれば良いというものではないし、クライアント側にツールを導入しても、「ホームページのセキュリティを強化」したことにはならない *4

関連記事[http://www.nantoka.com/~kei/diary/?200504a&to=200504073S8#T200504073S8]:

2005年4月8日付記。
この記事に関連するリンク。
*1: もちろん、ActiveXなのでFireFoxには対応していない。
*2: プログラムにセキュリティホールがあったら当然ダメだし、署名はそんなことは証明してくれない。あくまで、その会社が配布しているかどうかしか検証できない。
*3: 何らかの証明書を手に入れるのはさほど難しくないし、マイクロソフトの証明書でさえ、 第三者に騙し取られた[http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20010323/1/] ことがあるから、証明書自体の信頼性も検討しないといけない。もはやPKIの世界にはなっていない気がする。
*4: 当然のことだが、例えば、サーバからの情報漏洩の危険は全く小さくならないし、改竄のリスクも全く小さくならない。

■ 関連記事

■2nProtect:Netizen導入サイト<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

東京スター銀行[http://www.tokyostarbank.co.jp/]進研ゼミ[http://www.benesse.co.jp/zemi/]JCB[http://www.jcb.co.jp/] が導入済みの様だ。
詳細未確認だけれども、 リネージュ2でも使われている[http://ch.kitaguni.tv/u/350/Computer/PC/0000194201.html] とのこと。
みんな信用して導入しているのか知らん。ひょっとして私が全然知らないだけで、実はこのソフト、世の中では既に非常に有名で、「入れたら安心」っていうソフトなんですかね。
だからと言って、ActiveXで入ってくるのは責任の所在が分からなくなって、非常に恐ろしいんですけれども。

■ 関連記事

■3 メールに書かれたページにアクセスする前に、まずトップページにアクセスしてください。[http://npro-shop.jp/docs/direct/news/news_050324.html]<< 前の記事 このエントリーをはてなブックマークに追加

「東京スター銀行ホームページ」フィッシング詐欺対策機能を持ったnProtect Netizenサービス開始[http://npro-shop.jp/docs/direct/news/news_050324.html]
このプレスリリースは「東京スター銀行は」で始まる割に「ネットムーブ株式会社」名になっていて、誰が発表しているのか不明瞭だけど、ヒントを見つけた。
■使用方法

例:東京スター銀行のお客さまのもとに、東京スター銀行を装ったフィッシング詐欺のメールが届いたとします。メールに書かれているURLがフィッシングサイトかどうかを判断したい場合、以下のようにします。

1.東京スター銀行のホームページ(http://www.tokyostarbank.co.jp)にアクセスし、「nProtect Netizen」を起動します。
※メールに書かれているURLを直接クリックしないでください。
※起動後「フィッシングブロックボタン」をクリックして機能をONにしてください。

2. 別のブラウザウィンドウを立ち上げ、メールに記載されているURLをクリックしてそのサイトを開きます。もしこのときに、『東京スター銀行とは関連のないホームページにアクセスしました。』というメッセージダイアログが表示されたら、そのサイトはフィッシングサイトである可能性があります。
ということだ。導入した企業のセキュリティ感覚では「画期的」だったのだろうか。こんなのを確認するために、ActiveX稼働させる方がよほど危険な気がするのだけれども。
というか、そういうメールでフィッシング詐欺に遭う人が、東京スター銀行のホームページに安全にたどり着けるのだろうか。
偽サイトに誘導されて、偽ActiveXソフト導入させられたらそれこそ一大事だ。
当たり前のことだけれども、何よりも「アドレスバーを確認すること」「セキュアな情報を扱う時は、httpsであることを確認すること」「httpsならば証明書を確認すること」だろう。
そうでないと、例えば
【緊急】登録情報を至急変更してください【大変】

緊急セキュリティ対策のために、お客様のログイン情報を至急ご確認ください。
もし、ログインできない等の異常がありましたら、以下のフォームで至急ご連絡下さい。

1.なんとか銀行のホームページ(http://www.bank.nantoka.com)にアクセスし、「nProtect Netizen」を起動します。
※以下のURLを直接クリックしないでください。
※起動後「フィッシングブロックボタン」をクリックして機能をONにしてください。

2.別のブラウザウィンドウを立ち上げ、以下のURLをクリックしてそのサイトを開きます。 もしこのときに、『なんとか銀行とは関連のないホームページにアクセスしました。』というメッセージダイアログが表示されたら、そのサイトはフィッシングサイトである可能性があります。

ログイン確認ページ:http://www.bank.nantoka.com/Emergency/login-check.cgi
フィッシングメールの例(もちろんhtmlメール)
というメールに簡単にだまされてしまいかねない。

■ 関連記事

詳細はこの日の詳細から

2005年04月05日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1 続・「セキュリティのため」ActiveXコントロールの導入を勧めるUFJカード[http://www.nantoka.com/~kei/diary/?200504a&to=200504041#T200504041][セキュリティ] このエントリーをはてなブックマークに追加

セキュリティホール memo ML[http://memo.st.ryukoku.ac.jp/] で、 情報[http://memo.st.ryukoku.ac.jp/archive/200504.month/8289.html] を頂いた。実際にインストールされた様だ。
結論として、
nProtect:Netizen は、ニセサイトをつくった上で HTML mail をばらま
き、メールに設置したリンクから誘導させる攻撃 (= とてもありがちな
フィッシング) には、残念ながら対応できないような気がします。その
ニセサイトに、ニセの nProtect:Netizen 起動ボタン・起動画面があっ
たら、利用者はよけい信用してしまうかもしれません。

と判断しておられるけれども、これは同感だ。 「メールに書かれたページにアクセスする前に、まずトップページにアクセスしてください。」[http://www.nantoka.com/~kei/diary/?200504a&to=200504043#T200504043] の記事で述べた様に、そもそもフィッシング詐欺に引っかかるケースの大部分、むしろほとんどが、(信用できる方法で確認した)トップページからアクセスしておらず、URLの確認もしていない訳で、このケースではこのソフトは有効でない。

逆にもっと深刻なケースで、DNSが騙されているという状況ではどうか。毒入れ以外にもローカルに偽DNSサーバやDHCPサーバがあれば、DNSを偽ることができる。

ところが、こういうケースでは当然ながら、トップページへのアクセスも偽のページに誘導される。ActiveXを有効にして、起動することに慣れていれば、それこそ偽のActiveXを組み込ませることができてしまう。一度送り込めば何度でも悪用できるのだから、ホテルの共有LAN等で偽DHCPサーバを立ち上げて、一回だけ騙せれば良いのだ。
偽物を送り込むまでしなくても、何らかのインチキな画面を出しておけば、多くのユーザはその画面が本物と確認する方法はないから、本物と信じ込んでしまうだろう。
このケースで有効なのは、信用できる証明書によるhttpsの通信だけである。
結局、アドレスバーの確認と証明書の確認を欠かすことはできないし、この確認をないがしろにして、フィッシング詐欺問題を解決するのは困難な様だ。

こういうツールを組み込ませる会社は、自分のページでのアクセスさえ防御できれば、利用者の端末のセキュリティがどうなっても良いと考えているのではないかとさえ思ってしまう。
さすがに、そんなことは無かろうが、利用者のセキュリティ環境にリスクを与えるプログラムを「セキュリティを理由に」配布する際には、相当に吟味が必要だと思う。このプログラムを配布している会社は、十分な吟味を行ったのだろうか。

関連記事[http://www.nantoka.com/~kei/diary/?200504a&to=200504073S8#T200504073S8]:

2005年4月8日付記。
この記事に関連するリンク。

■ 関連記事

詳細はこの日の詳細から

2005年04月06日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1HiMD次の記事 >> このエントリーをはてなブックマークに追加

こないだお出かけして、HiMDのメディアをようやく手に入れたので、普段聴くアルバムを片っ端から転送中。
1GBも入ると、普段聴くCDはほとんど入っちゃうな。ますます音楽が大量消費されていく。 あー。新機種出てる。
しかも、「 USBバスパワーでの充電にも対応している。」し、 「 MP3ファイルをATRAC3plus形式に変換せずパソコンから本体へ高速転送することが可能。」らしい。
この二つが残念なところだったんだよなぁ。

■ 関連記事

■2春っぽいデザインに…[hns]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

そろそろ桜も開いてきたので、ヘッドラインの画像を春めいたものに変えた。
スタイルシートもうまく整理してあれば、季節毎に変えたりすると良いのかも知れないけど。

■ 関連記事

■3 危険なチャリンカー商法とは[http://allabout.co.jp/computer/netauction/closeup/CU20050405A/]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

チャリンカーは購入していない商品を、カタログなどから情報を得て出品。落札されてから商品を買いに走ります。
(中略)
これで5,000円の現金と、10%の5,000円分のポイントが手に入り、儲けになります。出品時に商品が必要ないので、一度に大量の出品が可能です。20件の出品をすると、20万円の儲けとなります。(ポイント含む)オイシイ商法ですね。
ってトコだけ読んで、マネする人が増えないだろうなぁ。

■ 関連記事

■4 金融機関等を装う電子メールについて[http://www.resona-gr.co.jp/others/notice_01.htm][セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

りそな銀行「りそなダイレクト」[http://net.resona-gr.co.jp/resonabank/direct/index.html] に掲載されたお知らせ。
尚、りそなホールディングスよりDWB02011@nifty.comの電子メールアドレスにて「ニュースリリース配信サービス」を実施しております。
そんなアドレスで配信するから、フィッシング詐欺被害の土壌が作られる。

■ 関連記事

■5 続・「セキュリティのため」のActiveX[http://www.nantoka.com/~kei/diary/?200504a&to=200504041#T200504041]<< 前の記事 このエントリーをはてなブックマークに追加

試してみたいけれども、自分のPCにインストールしてみるのは恐ろしいので、躊躇していたのですが、こういう時のために、 Virtual PC[http://www.microsoft.com/japan/windows/virtualpc/default.mspx] というものがあります。
パソコンの中に何台でも仮想的なパソコンを作り出せますし、環境をそのままディスクイメージとして保存しておくことができます。
これを使えば、万が一、ウイルスに感染してしまっても、そっくり環境を捨てることができますし、保存しておいた環境をコピーして他のことに使うこともできます。
こういうソフトとしては、 VMware[http://www.vmware.com/] が有名でかつ定評があるのですが、どうせホストOSがWindowsなのでVirtual PCを使っていまして、色々なアプリケーションの動作やセキュリティホールについて、例えばService Pack 1導入前の状況ではどうだったかということを検証するのに活用しています。
アプリケーションの配布パッケージの検証にも、とても便利です。この手の環境無しにやろうとすると、何度も長時間掛けてクリーンインストールを繰り返したり、ディスクイメージを丸ごと保管したりする必要がありますが、仮想PCをファイルで保存しておいて、メインのマシンの中で起動できるのは、作業効率がずいぶん違います。
ウイルスの感染実験をするのにも使えますけれども、この場合は、外に影響を与えない様に十分注意する必要があります *1 。きちんと監視していないと、自分は感染しなくても、感染活動を行っていて、よそに被害を与えるかも知れません。十分な注意が必要です。

前置きが長くなりましたが:

問題のAcriveXを動かしてみました。確かに、他のページに移動すると警告が出てきたりする様です。
ブロックされた様子
が、 セキュリティーホールmemo[http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/memo/2005.04/msg00011.html] で指摘されていた様に、
ところが、一旦全ての IE ウインドウを閉じ、nProtect:Netizen の終
了を確認した後に、同じ PC で http://www.jcb.co.jp を IE で開き、
ここから nProtect:Netizen を起動してみると、その後、
http://www.st.ryukoku.ac.jp や http://www.msn.co.jp にアクセスし
てみても警告が出ません。これはどういうことなのでしょう。よくわか
りません。
で、指摘されていた様な症状が出たり、別のウインドウを開いて出た警告を閉じて、そのウインドウから別のウインドウを開いたりしても、警告が出てこなくなったりしました。
これだと、フィッシング詐欺対策にならない様な気がします。というか、むしろ安心する分だけあぶないです。
ひょっとすると、ランダムに警告したりしなかったりすることで、フィッシングサイト側の対応をしにくくしているのかも知れませんが、誤警告はポジティブでもネガティブでもセキュリティを大きく下げますから、仕様だとすれば改善すべきでしょう。
もちろん、 Virtual PCという特殊な環境で使っているのが原因なのかも知れませんが、気になりました。

キーロガー対策:

はどうかなと思って、とりあえずフォームに文字を入力してみたんですが、どうもうまく動きません。
回復できないプロセッサエラー
「回復できないプロセッサエラーが発生しました。」と言って、バーチャルマシンがリセットされてしまいます。キーボードから一文字でも入力すると再現性を持って落ちます。ということで、キーロガー対策とかそういうの以前に、フォームへの文字入力が一切できません。
もちろん、 Virtual PCという特殊な環境で使っているのが原因なのかも知れませんが、気になりました。

関連記事[http://www.nantoka.com/~kei/diary/?200504a&to=200504073S8#T200504073S8]:

2005年4月8日付記。
この記事に関連するリンク。
*1: 外部との接続を即座に切断できる様にした上で、EtherRealやtcpdump等で送出しようとするパケットを監視したりします。

■ 関連記事

詳細はこの日の詳細から

2005年04月07日(木)<< 前の日記 | 次の日記 >>
この日の詳細

■1「スクリプトを実行しても安全だとマークされているActiveXコントロール」は安全か[セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

「安全だ」とマークした人は配布者なので、配布者を信用できれば安全だけれども、自分が作ったプログラムを「安全だ」って言い切るためには相当の慎重さと覚悟が要る。
簡単に「安全だ」と言える人は、現実的なサイズのプログラムを書いたことが無いか、不正な引数を与えればプログラムはクラッシュしても当然と思っているか、世の中には良い人しかいないと信じているか、とても楽観的な性格を持っているか、人智を超えたプログラミング能力を備えているに違いない。
つい最近、コード署名付きのJavaアプレットを開発した知人がいる。彼のプログラミング能力は私から見ると天才的だし、セキュリティに関する知識も相当のものだ。
それでも、コード署名するコードを書くのには相当の気を使ったという。作り手が意識すればセキュリティが確保しやすいと言われるJavaにしてそうである。機会があったら、「スクリプトを実行しても安全だとマークされているActiveXコントロール」を書くのには、どれ位の気を使うか聞いてみたいと思っている。
「スクリプトを実行しても安全だとマークされているActiveXコントロール」は、悪意のあるパラメータを渡されても、「安全」でないといけない。これを保証するのは大変だ。当然、クラッシュすることも許されない。
攻撃者が意図した時に、しかも好きなパラメータを与えて起動することができるという点が、スタンドアロンにインストールされるアプリケーションとの決定的な違いだ。
こういう点で、ActiveXコントロールを受け入れるのは、普通にアプリケーションをインストールするよりも遙かに慎重である必要がある。
署名は誰にでもできるけれども、署名した人が署名の意味を分かっていなければ、コード署名モデルは役に立たないのだ *1
「安全だ」とマークした配布者が信用できるかどうかを利用者が見極めるのは残念ながら難しいだろう。迷ったらインストールすべきでない。マイクロソフトもそう言ってる。
*1: もちろんコード署名には改竄防止という役割があるけれども、そもそも署名した人が署名の意味を分かっていなければ改竄以前の問題だ。正当に配布されたものに問題がある場合は救いようがない。安全じゃないものに署名しても安全にはならない。

■ 関連記事

■2 日本認証サービス[http://www.jcsinc.co.jp/][セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

とある銀行は日本認証サービスの証明書を使っているが、普段使いのFireFoxには日本認証サービスのルート証明書が組み込まれていない。
毎回、本物かどうか分からない証明書を受け入れていては、証明書の意味が無くなるので、ルート証明書を組み込むことにした。
まず、認証局としての日本認証サービスが信用できるかどうかだが、これは信用できると考えた。
次に、運用ルールが納得のいくものかどうか。これは、 「SecureSign パブリックサービス運用規定」[https://www2.jcsinc.co.jp/repository/SecureSignCPSv1.54-ja.pdf] にまとめられているので、確認する。私は受け入れられると判断した。
ということで、認証局のルート証明書を信頼できる方法で入手する方法を考えれば良い。
JCSIリポジトリ[https://www2.jcsinc.co.jp/repository/root-cert.html] にルート証明書があるが、これをFireFoxでダウンロードしてそのまま信用して組み込むわけにはいかない。なぜならこのページの真正性を確認するために使った証明書は、未証明の証明書だからだ。
このページに書いてある通り、フィンガープリントを確認しても安心できない。このページの内容も偽物の鍵に合う様に改竄されている可能性があるからだ。
オレオレ証明書と同じ様な堂々巡りに陥りそうだが、幸いなことにIEにはこのルート証明書は組み込まれている。
ということで、IEの証明書マネージャーでフィンガープリントを表示させて、確認することにした。
80桁の16進数を三つ照合して、無事に組み込み完了。

■ 関連記事

■3 日本企業初!!フィッシング詐欺対策機能を持ったツールを導入[http://www.tokyostarbank.co.jp/profile/pdf/050323.pdf][セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

東京スター銀行[http://www.tokyostarbank.co.jp/] も「日本企業初!!フィッシング詐欺対策機能を持ったツールを導入」していた様だ。
東京スター銀行のホームページをご利用いただいているお客さまに対して、安全・安心をご提供できるツールであり、これにより、アクセス中の個人情報保護のさらなる強化を図ります。
(中略)
特に、最近被害が拡大しているフィッシング詐欺に対しての有効な対策機能である「フィッシングブロック」機能を導入するのは、 東京スター銀行が日本で初めてとなります。

この「フィッシングブロック」機能は、 ツールを起動するだけで、お客様がアクセスしようとしているサイトが、 正規の東京スター銀行のサイトかどうか、簡単に判別することができます。もちろん、フィッシング詐欺は企業側の努力だけで防げるものではありません。この画期的なツールを無償提供することで、広くお客さまにご活用いただき、共闘してフィッシング詐欺に対策できることを目的としております。東京スター銀行はこれからも、お客さまに安全・安心をご提供すべく、努めてまいります。
ということの様だ。
昨日は、Virtual PCでうまく動かないで苦労していたけれども、色々やってみて「バーチャルマシン追加機能」をインストールしなければ、動作することが分かった。
警告画面
ここでは、UFJカードから起動しているけれども、関係ないページを開くと警告が表示されている。

使用方法:

フィッシング詐欺のメール *2 が届いた時はどうすれば良いかが書いてある。
使用方法
まず、東京スター銀行のホームページにアクセスして、「nProtect Netizen」を起動する。当然のことながら、 メールに書かれているURLをそのままクリックすると、何にもならないから気を付けないといけない。
次に、
別のブラウザウィンドウを立ち上げ、メールに記載されているURLをクリックしてそのサイトを開きます。もしこのときに、『東京スター銀行とは関連のないホームページにアクセスしました。』というメッセージダイアログが表示されたら、そのサイトはフィッシングサイトである可能性があります。
という使い方をする様だ。

フィッシング詐欺サイトにアクセスしてみる:

ということで、仮設のフィッシング詐欺サイトの様なものを作って試してみた。 日本初の画期的な機能が動作する瞬間である。
仮設フィッシング詐欺サイトへアクセス
使用方法に従ってnProtectを立ち上げ、 仮設フィッシングサイト[http://www.nantoka.com/~kei/upload/nProtect/tokyostar/phishing_test.html] にアクセスしているところだ *3

「日本初の画期的な機能」が動作する瞬間:

どうもうまく動いていないようだ。
なんとか☆ダイレクト ログイン画面
既にキャッシュにある内容にアクセスしているために、実際のアクセスが発生していない可能性を考えて、Etherealで監視してみたけれども、通信は発生しているにも関わらず、警告が表示されない。
これは一体どういうことだろうか。JavaScriptを使っているのがいけないのかも知れない。 仕様かも知れないが、危険なので直した方が良い。
もちろん、 Virtual PCという特殊な環境で使っているのが原因なのかも知れないが、とても心配だ。

結局、アドレスバーと証明書を確認することに尽きる:

もちろん、上記のログイン画面ではアドレスバーも表示されていないし、ステータスバーも隠されているので、証明書を確認する方法もない。
一番大事なことが確認できないのだから、 こんなログイン画面が表示されたら、偽物と思えば間違いない

東京スター銀行の本物のログイン画面:

ここで問題だ。
東京スターダイレクト ログイン画面
この画面は本物のログイン画面だろうか。 そして、どういう理由で本物あるいは偽物だと判断しただろうか。

続・東京スター銀行の本物のログイン画面:

実際に通信が発生しているかどうか、 Ethereal[http://www.ethereal.com/] で確認をしていたのだが、不思議なリクエストを見つけた。
ログイン画面を開く時に、「www3.tokyostarbank.co.jp」へのアクセスに混じって、 「www06.tracer.jp」というサイトへのアクセスをしている様だ。
<meta http-equiv="Content-type" content="text/html; charset=EUC-JP">
<title>東京スターダイレクトログイン</title>
<meta http-equiv="Content-Style-Type" content="text/css">
<meta http-equiv="Content-Script-Type" content="text/javascript">
<meta name="copyright" content="(C) Copyright 2003 TOKYO STAR BANK All rights reserved.">
<SCRIPT type="text/javascript" src=" https://www06.tracer.jp/VL/Trace?c=107&p=IB0000&tp=1"></SCRIPT>
によるものらしい。
何をやりたいかは、 CLICK TRACER[http://www.tracer.jp/top.html] をみて大体分かったが、 オンラインバンキングのページにアクセスする時に、外部の会社のロボットに追跡されるのは不安だ。
当然のことながら、このロボットはページで入力されるIDやパスワードにアクセスすることが可能 *4 なのだけれども、この点についても安心できるのだろうか。
ちなみに、 プライバシーステートメント[http://www.tokyostarbank.co.jp/privacy/statement.asp] には、
(14)インターネットをご利用の場合
当行は、お客さまへよりよいサービス提供のためにクッキー(cookie)を使用することがあります。ただし、この中にお客さまのお名前や連絡先などのプライバシーに関する情報を記録することはありません。クッキーは、例えばお客さまがAサイトにアクセスされた際にAサイト・ウェブサーバーからお客さまの PC(端末)内に一定のファイルを格納することにより、次回、お客さまがAサイトにアクセスされた際にAサイト・ウェブサーバー側で前回と今回のアクセス者が同一人であることを容易に識別できる技術です。 当行のサイトが設定するクッキーは、当行のサイトでしか読むことはできず、また、同クッキーには、電話番号、電子メールあるいは郵便などによって第三者がお客さまに連絡できるような情報は含まれておりません。また、お客さまは、お客さまのPCに保存されているクッキーをいつでも削除することができ、また、ブラウザの設定を変更することでクッキーがセットされないようにすることができます。
と書いてある。確かに「当行のサイトが設定するクッキーは、当行のサイトでしか読むことはでき」ないかも知れないが、第三者が自由にJavaScriptを埋め込める様にした上で、他のサイトからもTRACERを通じて同じクッキーを追跡可能になる様な仕掛けを作り込んでいる訳で、本質的にサードパーティクッキーと同じプライバシー問題を含んでいる。
ログイン画面で第三者のCookie警告
セキュリティが高度に要求されるオンラインバンキングの、しかもログイン画面でこういうことをするのは、「アクセス中の個人情報保護のさらなる強化を図ります。」という姿勢としてどうか。
「フィッシング詐欺は企業側の努力だけで防げるものではありません。」と言って、利用者に安全かどうか保証できないActiveXを組み込ませる前に、企業側がなすべき努力があるのではなかろうか。

フィッシング詐欺対策の教材として素晴らしい東京スター銀行:

今回行った 実験[http://www.nantoka.com/~kei/diary/?200504a&to=200504073S2#T200504073S2] においては、残念ながら「日本初の画期的な機能」が動作する瞬間を観察することは できなかった。
[http://www.nantoka.com/~kei/diary/?200504a&to=200504073S3#T200504073S3] これは、 Virtual PCという特殊な環境で使っているのが原因である可能性があるため、通常の環境下でどの様な動作をするのかを確認することが今後の課題である。
また、 ログイン画面[http://www.nantoka.com/~kei/diary/?200504a&to=200504073S5#T200504073S5] の節では、利用者が本物サイトと偽物サイトをどの様にして判断するかについて考察した。
さらに、 第三者サイトによるJavaScriptの埋め込み[http://www.nantoka.com/~kei/diary/?200504a&to=200504073S6#T200504073S6] について確認を行い、その危険性について考察した。
以上の様に、「日本企業初!!フィッシング詐欺対策機能を持ったツールを導入」した東京スターバンク銀行はフィッシング詐欺に関連する豊富な事例を提供しており、フィッシング詐欺対策を考える上で格好の教材であると考えられる。

関連リンク:

この記事関連の記事行きと、この記事に関連する記事のためにリンク設置場所を確保しておく。
本日記中の関連すると思われる記事は以下の通り。
*2: と、分かっているんだったらアクセスしなきゃ良いのだけど。
*3: FireFoxだとポップアップブロックが作動するから、偽のログイン画面は表示されない。
*4: ロボットとして、任意のJavaScriptを走らせることができるのだから。

■ 関連記事

■4キーロガーという脅威<< 前の記事 このエントリーをはてなブックマークに追加

キーロガー(keylogger)と言われるソフトがある。
元々は、デバッグ時にキー操作を記録しておいて、問題が起きた時に再現を助ける用途に良く使われた。私自身も非常に昔の話だけれども、PC98の時代に、記録と再現を行うプログラムを書いた覚えがある。
また、メッセージフックの教材としても非常に分かりやすいので、良く取り上げられるプログラムである。
ところが、このソフトをインターネットカフェ等の他人が使うパソコンに仕掛けておいて、 秘密情報を盗み出すという事件[http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku404.htm] が起きている。
キーロガーが仕掛けられたパソコンで入力したIDやパスワードは全て記録されてしまうため、この情報を使って、インターネットバンキングで他人のお金を振り込んでしまうわけだ。
それどころか、最近ではネットワーク経由でパソコンに入り込んで、知らない内に情報を盗み出し、しかも盗んだ情報をネットワーク経由で送り出すというものまで作られている。知らない内に自分のパソコンが盗聴器になっているわけだ。

キーロガーを体験してみる:

実際のキーロガーがどういう仕組みで作られているのかは、調べていないので *5 分からないけれども、Windows上のメッセージを収集するソフトとしてVisual Studioに付属してくる「Spy++」というものがある。
Windows上で発生する様々なイベントを収集して分析できるソフトウェアで、ウインドウやプロセスを指定して、特定のメッセージを収集、記録してくれるものだ。
このソフトを使って、キーボード関係のイベントを全て記録してみることにした。本物のキーロガーの仕組みがどうなっているかは分からないけれども、このソフトができることは全てできるはずだ。
例えば、パスワードを入力すると、
<00049> 000E0AAA P WM_CHAR chCharCode:'p' (112) cRepeat:1 ScanCode:19 fExtended:0 fAltDown:0 fRepeat:0 fUp:0
<00052> 000E0AAA P WM_CHAR chCharCode:'a' (97) cRepeat:1 ScanCode:1E fExtended:0 fAltDown:0 fRepeat:0 fUp:0
<00055> 000E0AAA P WM_CHAR chCharCode:'s' (115) cRepeat:1 ScanCode:1F fExtended:0 fAltDown:0 fRepeat:0 fUp:0
<00058> 000E0AAA P WM_CHAR chCharCode:'s' (115) cRepeat:1 ScanCode:1F fExtended:0 fAltDown:0 fRepeat:0 fUp:0
<00061> 000E0AAA P WM_CHAR chCharCode:'w' (119) cRepeat:1 ScanCode:11 fExtended:0 fAltDown:0 fRepeat:0 fUp:0
<00064> 000E0AAA P WM_CHAR chCharCode:'o' (111) cRepeat:1 ScanCode:18 fExtended:0 fAltDown:0 fRepeat:0 fUp:0
<00067> 000E0AAA P WM_CHAR chCharCode:'r' (114) cRepeat:1 ScanCode:13 fExtended:0 fAltDown:0 fRepeat:0 fUp:0
<00070> 000E0AAA P WM_CHAR chCharCode:'d' (100) cRepeat:1 ScanCode:20 fExtended:0 fAltDown:0 fRepeat:0 fUp:0
の様に表示される。
ここではイベントとして見やすい様に表示しているが、キーロガーとして作る時には、例えば入力タイミングの再現が必要だったら時刻情報を付加したり、逆に無駄な情報を省いて記録したりするだろう。

キーロガーを無効化するソフト:

という訳で、キーロガーを無効化するソフトが登場してきている。
色々な仕掛けのものがある様だけど、たまたま調べたソフトは解析をしてはいけないソフトだったので、調べていない。
たまたま調べてみたソフトでは、同様の事をやった場合に、
  1. 別のキャラクタでキーイベントが発生している様に見える。キーロガーを妨害するためだろう。
  2. だが、入力がエコーバックされる時には、本来の文字でイベントが発生する。
  3. パスワードフィールドへの入力の際は、本来の文字でのイベントは発生しない。
  4. だが、日本語FEPが有効で「半角入力」になっていたりすると、本来の文字でのイベントが発生する。
という結果が得られた。
そのソフト自体を解析していないので、実際のところは分からないけれども、想像するに、この対策ソフトがターゲットとしたキーロガーは2や4のイベントを無視するものだったか、日本語FEPの存在を想定していなかったのかも知れない。あるいは、日本語FEPの実装に依存するのかも知れない。世の中のキーロガーはここで試した様な作りになっていないのかも知れない。本当のところは分からない。解析したわけではないので。

キーロガー対策ソフトを有効に活用するために:

ということで、キーロガー対策ソフトを有効に活用するためには、
  • パスワード等の秘密情報は入力した文字がそのまま表示される入力ボックスに入力しない。ダミーの文字列を入力して確認する。
  • もちろん、表示されないと確認できないからと言って、メモ帳などで試し書きをしてはいけない。
  • 日本語FEPが無効になっていることを確認する。
方が良いと思われる。

そもそもキーロガーが存在する可能性のある端末で秘密情報を入力してはいけない:

もちろん、上で調べたキーロガー対策ソフトがたまたまそういう問題を持っていただけなのかも知れないが、確実に安心できるキーロガー対策ソフトというのは原理上作成が困難だと思われる。
例えば、キーボードの物理的なデバイスドライバに割り込むソフトを作るのは不可能ではないが、これに対応するソフトを作成するのは困難を極める筈だ。
そもそも、キーボードから入力した文字をあるプログラムに伝えないといけないという制約がある以上、キーロガー対キーロガー対策ソフトの対決は、キーロガー側がはるかに有利なのだ。
通常、自分が使う端末は信用できるものでないといけない。信用できないプログラムを導入した瞬間に大事な情報は扱えなくなるし、一度信用できなくなった環境は、最初から構築し直さないと元に戻すことはできない。
*5: あやしいソフトを色々収集して、それを動かしてみるとなると Virtual PCがいくらあっても足りない。

■ 関連記事

詳細はこの日の詳細から

2005年04月08日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1予定[おしごと]次の記事 >> このエントリーをはてなブックマークに追加

打合せ、コンサルティング、 東京スター銀行[http://www.nantoka.com/~kei/diary/?200504a&to=200504073#T200504073] 関連記事の調査、 某アーカイバのフォーマットの調査、 某MLのエラーメールの処理。
今日中に終わらんな。これは。

おしえてブロードバンド 第40回:フィッシングって何が危険なの?[http://bb.watch.impress.co.jp/cda/oshiete/9208.html]:

RinRin王国[http://www.pluto.dti.ne.jp/~rinou/index.html#20050408] から。
国内ではUFJカードや東京スター銀行などが、フィッシング詐欺対策用の個人情報保護ツールの導入をはじめています。 こういったツールを利用するのもいいでしょう。
とある。導入してみたのだろうか。
実際に導入してみたとすれば、 「セキュリティのため」ActiveXコントロールの導入を勧めるUFJカード[http://www.nantoka.com/~kei/diary/?200504a&to=200504041#T200504041] で指摘した問題に直面した筈なのだけど、署名さえされていれば発行元は気にしないのは一般的なのだろうか。

■ 関連記事

■2発送された本[book]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

Amazonに何冊かの本をまとめて注文したら、一冊だけ入荷が遅れているために全体が発送されない状態ままで1週間経ってしまったので、その一冊を一旦キャンセルして、別に発注したら、なぜかその一冊の方が先に発送されたらしい。なぜだろう。

[和書]クラッキング防衛大全 第3版 ネットワーク攻撃の手口とセキュリティ対策[http://www.amazon.co.jp/exec/obidos/ASIN/4798102814/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

cover
著者:Stuart McClure, スチュアート マックル, George Kurtz, ジョージ クルツ, Joel Scambray, ジョエル スキャンベリー, ハラパン・メディアテック, 宇野 みれ, 宇野 俊夫
出版社:翔泳社
定価:¥ 4,410
発売日:2002/07/17
ASINコード:4798102814
どうも読んだ様な気がしてならないのだけど、本棚を見回しても見つからないので発注しておいた。
ハードウェアのクラッキング技術を解説した本も読んだ覚えがあるんだけど、これも見つからない。タイトル調べて発注しないと。

■ 関連記事

■3SYA!nikki[SYA!nikki]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

■ 関連記事

■4 続・開示請求の手続[http://www.nantoka.com/~kei/diary/?200504a&to=200504017#T200504017][個人情報保護法]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

請求していた資料が届いたのだけれども、 電話[http://www.nantoka.com/~kei/diary/?200504a&to=200504017S1#T200504017S1] で依頼していた肝心の件についての回答が無かった。
休み明けにもう一度電話してみないといけない。

■ 関連記事

■5これ入れればセキュリティ対策はバッチリ症候群[セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

年度末のせいか知らないが、「セキュリティ対策のため」あるいは「個人情報保護対策のため」に、セキュリティ対策ハードウェアやらソフトウェアを吟味もせずに慌てて買ったトラブルが色々なところから。
架空のT社の場合。いくつかの部署が部署毎にバラバラに「個人情報保護対策」のために、リモートからアクセスできる様に *1 したり、リモートアクセスを認証するソリューションを一斉に導入したりした様だ。
3月の末頃に一斉に導入をやったものだから、基幹のネットワークの変更が相次いだ。各々の機器を納入した会社が、自社のソフトなりハードが動く様に、サーバの設定を変更したり、ファイヤウォールのポートを片っ端から開けたりした様子だ。
しかも、ソリューションが一定していないから、DMZに機器を追加してDMZから社内サーバへのアクセスを許してみたり、社内ネットワークに機器を追加して外部からの接続を許したりとやりたい放題だ。
他にもなぜか、個人情報保護対策用のノートPCや、個人情報保護対策用のUSBメモリや、個人情報保護対策用のプリンターや、個人情報保護対策用のパソコンや、個人情報保護対策用のデジカメが導入された様だ。
これまで通常のネットワークでの機材やソフトの調達については、予算という面でネットワーク管理部門がある程度のコントロールできていたのだが、個人情報対策費用ということで特別に、直接各部署に予算を預けたことが今回の悲劇を招いたと言えよう。
*1: ノートに個人情報を入れて持ち歩かないため、常にリモートアクセスをできる様にする。

■ 関連記事

■6フィッシングの主流がパソコンを盗聴器に変えるトロイの木馬の送り込みへ[フィッシング]<< 前の記事 このエントリーをはてなブックマークに追加

Windows Updateの偽サイト出現、フィッシングの可能性[http://itpro.nikkeibp.co.jp/free/NC/NEWS/20050407/158704/] の記事。 yamagataさんとこ[http://yamagata.int21h.jp/d/?date=20050407#p04] から。
そもそもトロイの木馬というのはそういうものだった。
こうやって、 信用できないところからダウンロードしたものを実行[http://www.nantoka.com/~kei/diary/?200504a&to=200504041#T200504041] したら、その瞬間にそのパソコンは信用できなくなる。パソコンが盗聴器になっていれば、キーボードで売ったパスワード、メールの内容が盗み出せるのは当たり前だし、マイクが入ったパソコンだったら、本当に「盗聴」する機能を持ったトロイの木馬が開発されるのは、そう遠くない話の様に思える。カメラ付きだったらと思うと背筋が寒くなってしまう。
偽装を一回だけ成功させて特定のパスワードを盗み出すよりも、継続的にあらゆるパスワードや秘密情報を盗み続けた方が、犯罪効率が良いに違いない。

■ 関連記事

詳細はこの日の詳細から

2005年04月09日()<< 前の日記 | 次の日記 >>
この日の詳細

■1SYA!nikki[SYA!nikki]次の記事 >> このエントリーをはてなブックマークに追加

■ 関連記事

■2借りてきた本[book]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

諫早図書館[http://www.lib.isahaya.nagasaki.jp/]たらみ図書館[http://www.lib.isahaya.nagasaki.jp/tarami_web/index.html] を回って借りてきた本。

[和書]うずらのロバート[http://www.amazon.co.jp/exec/obidos/ASIN/4879571253/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

どこぞのチャネルにいるうずらに、オマエの名前はロバートだと教え込むテスト。

[和書]ネット王子とケータイ姫―悲劇を防ぐための知恵[http://www.amazon.co.jp/exec/obidos/ASIN/4121501551/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]入門著作権の教室[http://www.amazon.co.jp/exec/obidos/ASIN/4582852548/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

小中学生向けのネットリテラシー教育について考えさせられることがあったので。

[和書]焼肉・キムチと日本人[http://www.amazon.co.jp/exec/obidos/ASIN/4569634001/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]アダルトチルドレンからの手紙[http://www.amazon.co.jp/exec/obidos/ASIN/4480036784/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]アダルト・チルドレンからの出発(たびだち)―アルコール依存症の家族と生きて[http://www.amazon.co.jp/exec/obidos/ASIN/4768467083/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

この間からシリーズ的に研究している。 感じるところがある人はこの手の本を手に取ってみると良いと思う。

[和書]社長をだせ!―実録クレームとの死闘[http://www.amazon.co.jp/exec/obidos/ASIN/4796634746/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]裏テレビ活用テクニック―ラジオライフテクニカルムック[http://www.amazon.co.jp/exec/obidos/ASIN/491554091X/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]Q&Aでわかる脳と視覚―人間からロボットまで[http://www.amazon.co.jp/exec/obidos/ASIN/4781906877/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]ブルートレイン伝説―青い流れ星の光跡[http://www.amazon.co.jp/exec/obidos/ASIN/4871495884/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

さくら、あかつき、トワイライト、夢空間は乗った。カシオペアがある内に乗らねば。

■ 関連記事

■3 「セキュリティ商社の餌食になる思考停止事業者を自衛のため見分けよ」[http://takagi-hiromitsu.jp/diary/20050408.html#p01][セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

この問題に言及しないはずは無いと勝手に決めつけて読者として期待していた高木先生の記事が出た。
そこで、 UFJカードに電話して尋ねてみた。担当の方にいろいろ質問したり意見を述べたところ、 この製品の採用を決めた担当者が異動してしまっていて詳しいことがわからないから、後日折り返し電話するとのことだった。
「セキュリティのため」ActiveXコントロールの導入を勧めるUFJカード[http://www.nantoka.com/~kei/diary/?200504a&to=200504041#T200504041] の記事では、
このプレスリリースを書いた人は、「フィッシング詐欺」が何か分かっているのだろうか。
もちろん、ActiveXを組み込むリスクよりも効果の方が大きいという判断をして、こういうツールの導入を顧客に勧めているのだから、まさか、 売り込み文句をスルーしてプレスリリースにしている筈はあるまい。
と、無責任なプレスリリースについて言及したが、「この製品の採用を決めた担当者が異動してしまっていて詳しいことがわからない」という無責任さにはあきれ果てるばかりだ。
業務としてセキュリティ問題に取り組む積もりはあるのだろうか。
当社は、2004年10月21日に財団法人日本情報処理開発協会より「プライバシーマーク(Pマーク)」の使用許諾事業者の認定を受けました。Pマークは、個人情報の取扱いについて適切な保護措置を講ずる体制が整備されている事業者を認定する制度で、個人情報に関するJIS 規格(JIS Q 15001:1999)に準拠している事業者であることを証明するものです。
当社では、今後とも、個人情報の取扱いについて 慎重かつ適切な保護措置を継続して推進していくことで、お客様の信頼にお応えできるように努力してまいります。
プライバシーマークやJIS Q 15001:1999は単なる飾りではなかろう。

関連記事[http://www.nantoka.com/~kei/diary/?200504a&to=200504073S8#T200504073S8]:

この記事に関連すると思われる記事へのリンクは 関連記事集[http://www.nantoka.com/~kei/diary/?200504a&to=200504073S8#T200504073S8] に集めています。

■ 関連記事

詳細はこの日の詳細から

2005年04月10日()<< 前の日記 | 次の日記 >>
この日の詳細

■1「セキュリティに絶対はない」という免罪符[セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

確かに「セキュリティに絶対はない」のだが、最近、この意味を誤解している人が急増している様な気がしてならない。
個人情報保護対策のために、駆け込みでセミナーを受けたりした担当者や責任者も多いようだが、こういったセミナー等では「セキュリティに絶対はない」ということを強調される。もちろん、「セキュリティに絶対はない」から、事故に備えた危機管理が重要であるということを強調するためだ。
ところが、セキュリティ対策が、個人情報保護法の施行に間に合わないのではないかと心配してた一部の人達には、この言葉が免罪符に作用してしまった様だ。
「どうせ『セキュリティに絶対はない』のだから、事故が起きてから対応すれば良い。」と説明で意図したのと全く違う方向に脳内変換されることがある。
そればかりか、セキュリティ対策ソリューションを提供するベンダーの側さえも、「セキュリティに絶対はない」を自社の製品の問題点を塗固するために発言するケースさえあった。費用対効果の話ではない。製品自体の欠陥だ。
「セキュリティに絶対(安全)はない」が、これは、「明らかに危険」と「見るからに危険」を放置する免罪符ではない。

「素人が被害を被っても、自己弁護できるような備え」にしか見えないのは、私の心が曇ってるからでしょうか。[http://www.nantoka.com/~kei/diary/board.cgi?act=read&msgid=217]:

コメントを頂きました。
私も「素人が被害を被っても、自己弁護できるような備え」にしか見えない事例ばかりが目に付いてしまいます。私の心も曇っているのかも知れません。
「悪いことをしようと思ったら、いくらでもできるのは当たり前」とも言われます。そういう可能性を思いつくのも心が曇っているからかも知れません。

■ 関連記事

■2 フィッシング詐欺に防御ソフト 銀行やカード会社が提供[http://www.asahi.com/business/update/0409/005.html]<< 前の記事 このエントリーをはてなブックマークに追加

yamagataさんとこ[http://yamagata.int21h.jp/d/?date=20050410#p05]花ずきん@酒好テム管理者さんとこ[http://d.hatena.ne.jp/hanazukin/20050410#1113105861] から。
カード利用者らは ソフトをダウンロードすれば、偽のHPかどうかを瞬時に判別できる。企業には、顧客の被害が増えればネット取引などに悪影響が出るという危機感が高まっており、 ソフトの導入が広がりそうだ
「偽のHPかどうかを瞬時に判別できる*という*」と書かないところを見ると、 試してみた[http://www.nantoka.com/~kei/diary/?200504a&to=200504081S1#T200504081S1] のだろうか。
防御ソフトは、導入企業と関係ないHPを開いたとき、画面上に告知が出る。システム会社「ネットムーブ」が 韓国企業と共同開発した。
「韓国企業と共同開発」ということを、この記事で初めて公式に知った。 「INCA Internet. Co., Ltd.」[http://www.nantoka.com/~kei/diary/?200504a&to=200504041S3#T200504041S3] という韓国の謎の会社の署名がされていて不審に思っていた疑問が氷解した。
「韓国企業と共同開発」した話は、UFJカードや東京スター銀行の紹介ページからは探し出せなかったので、 ActiveXコントロールの署名者の正体が全く分からなくて不審に思っていた[http://www.nantoka.com/~kei/diary/?200504a&to=200504041S2#T200504041S2] のだ。これは朝日新聞の特ダネだろうか。それにしても、ActiveXコントロールの署名者として登場する開発元をなぜ伏せていたのかが分からない。
せっかくだからその企業が、 「INCA Internet. Co., Ltd.」[http://www.nantoka.com/~kei/diary/?200504a&to=200504041S3#T200504041S3] だと言うことも書いてくれれば、この記事を信用できる限り、安心ができるのではないかと思う。
クレディセゾンも今月中に、クレジットカード最大手のジェーシービー(JCB)などカード会社2社も近く導入する予定だ。
JCBカード[http://www.jcb.co.jp/] は既に導入している様だ。

関連記事[http://www.nantoka.com/~kei/diary/?200504a&to=200504073S8#T200504073S8]:

この記事に関連すると思われる記事へのリンクは 関連記事集[http://www.nantoka.com/~kei/diary/?200504a&to=200504073S8#T200504073S8] に集めています。

■ 関連記事

詳細はこの日の詳細から

以上、10 日分です。

指定日の日記を表示

前月 2005年04月 翌月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project