2005年06月14日(火) これまでの06月14日 編集

■1 携帯のネット履歴分析 光高校爆発事件で山口県警[http://www.chugoku-np.co.jp/News/Sp05061301.html] このエントリーをはてなブックマークに追加

この手の事件が起きるといつも感じるんだけれども、
県警は、生徒が 主にネットから知識を得て自宅で爆発物を作ったとみている。 製造方法を解説した書籍が、自宅の捜索で見つかったことも判明した。
なのに、
男子生徒は「火薬は市販の花火をほぐして集めた。インターネットのホームページを参考にした」と供述。
と、「インターネット」に関する供述だけをクローズアップして、
高度な知識が必要と思われがちな爆発物の製造だが、 インターネットでは「マニュアル」などと称して、爆発物の材料や製造方法を掲載するサイトが氾濫(はんらん)している。過去に発生した少年による爆弾事件でも、大半が「インターネットから知識を得た」と供述。興味本位から安易に爆発物を製造するケースも後を絶たない。
と、インターネットの負の側面のみを強調。 こういったマスコミのネガティブキャンペーンに乗って、
村田国家公安委員長も記者会見で「言論と出版の自由はあるが、(インターネット上の)ルールを作らないといけない」と語った。
といった、言論抑圧が正当化されていくのは恐ろしい限りだ。

自分で爆弾を作るとしたら:

やはり、まず信用できる書籍に頼るだろう。ネットの情報と比べて、書籍の方がまだ筆者の信憑性の確認が取りやすい。爆発物を作るような状況では、失敗したら自分の命が危ない筈だから、信用できる資料を探したい。
恐らく、高校や市町村の公共図書館にある資料だけで、今回のレベルの爆弾は作れるはずだ。試しに近所の図書館の蔵書検索をして、要素技術が揃いそうかどうかは確認してみたが *1 、十分な文献があるようだ。こういった書籍で調べて作っていたら、今回の事件を上回る被害が出ていたと思われる。
私は作らないけれども、作れるだけの情報は何も「暗黒のネット」だけではなくて世の中に溢れていることは確かだ。ネットはアクセスを容易にしているだけに過ぎない。
*1: 迷ったけども、ここには検索キーワードや具体的な書籍は掲げない。 「日記で読んで図書館で借りてきて作った」はさすがに困るからだ。

■2共用サーバのPHPスクリプトからデータベースに安全に接続する方法 このエントリーをはてなブックマークに追加

パスワードをスクリプトに書くと他のユーザから読むことができるので困る。たとえFTPでアクセスできる空間が制限されていても、悪意のあるPHPスクリプトを設置されると読み出される可能性がある。
この問題、前に議論した覚えがあるなぁと思って検索したら、 [PHP-users 13062][http://ns1.php.gr.jp/pipermail/php-users/2003-February/013594.html] だった。自分のためのまとめが役に立った。今だと、perchildも魅力的。
あれ、でも、.pgpassってどうやって誰のホームの.pgpassを読み込んでいるんだろう。ちょっと確認しておこう。

interfaces/libpq/fe-connect.c[http://developer.postgresql.org/cvsweb.cgi/pgsql-server/src/interfaces/libpq/fe-connect.c]:

getpwuid()ベースで読むけれども、PGPASSFILE環境変数を渡すこともできるようですね。
ファイルは指定できるけれども、結局パーミッションの問題から逃れられないかなぁ。 管理者が各ユーザ毎にパスワード指定してデータベースを予め用意する運用だったらいけるかも知れない。ダメかな。環境変数は書き換え可能だな。

■3 ソフトバンクBB、1千万円着服容疑で元室長を告訴[http://www.yomiuri.co.jp/national/news/20050614ic03.htm] このエントリーをはてなブックマークに追加

本社の危機管理室内で、金庫に入れていた約1000万円がなくなっているのを社員が気づいた。
何のための現金だったのかはさておき、現金1000万円が漏洩する位だから、何が漏れても不思議では無い。しかも、「危機管理室」から漏れるのだから仕方がない。

■4 全国初フィッシング詐欺摘発〜Yahoo!に似せたサイトで[http://www.atmarkit.co.jp/news/200506/14/phishing.html] このエントリーをはてなブックマークに追加

ヤフーはこのサイトが使っていた 「Yafoo!」のロゴやサイトのデザインが同社の著作権を侵害しているとして著作権法違反で被害届を提出していた。
画面キャプチャーを掲げているところもあるが、本来、フィッシングは「似せた」サイトではなくて、画面の内容は全く同じなのだ。
この辺りをしっかり報じないと、利用者の対策が全く間違った方向に行ってしまう。 確認すべきはアドレスであって、画面に表示されているロゴの間違い探しをしても仕方がないのだ。

■5ネタ このエントリーをはてなブックマークに追加

■6 NTTコム、最大1万3千人分の顧客情報流出[http://www.asahi.com/national/update/0614/TKY200506140363.html?ref=rss][個人情報] このエントリーをはてなブックマークに追加

「IPコネクトアクセス」に申し込んだ顧客のマンション名、部屋番号、電話番号などの情報が登録されていた。
ニュースリリース[http://www.ntt.com/release/2005NEWS/0006/0614.html] によると、流出はこれだけでは無くて、
開通工事に必要な情報(お名前、マンション名、部屋番号、電話番号、IPコネクト回線ログインID、IPコネクト回線認証パスワード) 最大約13,000件
だという。NTTコミュニケーションズと言えば、 ICカード社員証ソリューション[http://www.ntt.com/business/solution/iccard/index.html] や、 機密情報保護対策ソリューション[http://www.ntt.com/business/solution/cinfo-protectsol/index.html] と言った、ソリューションを提供し、
最先端のセキュリティ技術をベースとした認証局やICカードにより、お客さまのセキュリティ向上をバックアップします。
という立場の会社の筈だ。
そういった会社で、一体どの様にして「顧客情報が入ったノートパソコンの盗難」という事件が起きたのだろうか。謎である。
当該ビルではICカードによる入退出管理を実施しております。
という対策を施していたのに盗み出されたのだ。犯人は ICカード社員証ソリューション[http://www.ntt.com/business/solution/iccard/index.html] をものともしない、 魔法の様な技術を持ったハッカー[http://www.nantoka.com/~kei/diary/?200501c&to=200501251S1#T200501251S1] に違いない。
盗難に遭ったノートパソコンには、社内の規程に基づき、ICカードによる認証とファイルの暗号化による複合的なセキュリティ対策を施しておりました。
何しろ、魔法の様な技術を持ったハッカーが相手なので、「複合的なセキュリティ対策」も効果がない可能性もある。大丈夫なのだろうか。

なぜ、「暗号化されているから大丈夫」と言い切らないのか:

せっかく、暗号化ソリューションを導入しているのに「暗号化されているから大丈夫」と言い切らないのだろうか。
この手のソリューションは「暗号化されているから大丈夫」と説明でき、客観的にも納得できることが重要なのではなかろうか。だからこそ、「秘密の仕組みで大丈夫」が非難されるのだ。
もちろん、運用に問題があったら何にもならないのだけど、仕組みに問題が無いとして、運用にも問題が無いことを証明するために、オービタビリティを確保しようとするのではないか。
「どういうソリューションを導入しても盗難や紛失に遭ったら同じ事」と評価されるのは問題だ。

思考実験:

セキュアであるべき情報(S)と、安全に生成した鍵(K)がある。SをKで安全な方法で暗号化した暗文が(C)である。
ここで、Cを輸送中に盗まれたとする。Kはまだ輸送していない。情報(S)が流出したと言えるか。
では、Cより先にKを輸送したとして、Kが盗まれた。情報(S)が流出したと言えるか。
C、Kが無事に相手先に到着したとして、情報(S)は流出していないと言えるか。
情報(S)が流出していないと言うためには、何を保証できれば良いか。
以上、1 日分です。

指定日の日記を表示

前月 2005年06月 翌月
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30

最近の日記

2017年02月21日

BIGの投票内容(発番)につきまして(2017.02.20)

2016年06月29日

「SEI-Net」不正侵入事件にみる佐賀県教育委員会の杜撰

2015年11月26日

武雄市図書館から“地方自治”を考える!

2015年11月21日

シリーズ武雄市TSUTAYA図書館(34) - 「第3のツタヤ図書館にデキレース疑惑 内部資料を独占入手!」落ち穂拾い

2015年10月30日

シリーズ武雄市TSUTAYA図書館(33) - 海老名市ツタヤ館運営の行方

2015年10月26日

シリーズ武雄市TSUTAYA図書館(32) - 10月26日付 文化通信「TRC、CCCとの関係解消へ」

2015年10月25日

シリーズ武雄市TSUTAYA図書館(31) - 続・検証「9つの市民価値」

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project