So-net無料ブログ作成
セキュリティ ブログトップ
前の30件 | -

指摘されたからやめるとは(以下略 [セキュリティ]

Androidは位置情報サービスをオフにしてSIMカードを抜いているユーザーでも追跡することができる
https://gigazine.net/news/20171122-android-send-location-data/

まあ、タイトル通り利用者が拒否しても無駄だった、というGoogleによる個人情報の無断取得。
今回は「位置情報」だけ、という事になっているが。


記事では事態が発覚した後にGoogleは「情報の送信をやめる」、と言ったらしいが、これは裏を返せば“バレなければ何やってもOK”という事の裏返しである。

従って、この手の「個人情報の無断収集」は当たり前であるという事。


もはや無法状態。

やったもん勝ちで誰かに迷惑かけても自分だけが得をすれば万事OKという世界。

ダメだこりゃ。


ところでFirefoxを古いバージョンのESRに戻した私は、現在とても幸せを感じている。

こう書くと色々と勘違いされそうだが、これは「Firefox 57によって利用したいアドオンがほとんど使えなくなってしまった」事がそれだけストレスになっていた、という事であり、別に他に楽しみが無いわけではない。

要はそれだけ、厳選したアドオンを利用し整備した環境の使い勝手が優秀すぎた、という事だ。

ただこれもあと6ヶ月ほどの猶予しか無いが。



nice!(0)  コメント(0) 

ボクハブタデス [セキュリティ]


LG製お掃除ロボットに脆弱性、室内を覗き見可能
https://pc.watch.impress.co.jp/docs/news/1088845.html

IoTと称する“何か”が、ゴキブリのごとく繁殖しつつある昨今。

特に大したモンでもなく、益体も無いゴミが何故これほどまでに有難がられているのか私には理解出来ない。


可能性や利便性を説きつつもデメリットに一切言及しない業界と、一方でそれを真に受ける消費者。

豚舎でエサを撒く人とブタの構図にしか、私には見えない。だがこうしたコトが時として様々なイノベーションを生む事も事実で、私自身も豚舎で飼育されている一匹のブタである事を考えると、否定一辺倒というわけにもいかない。


が、私はただのブタで終わりたくはない。

そう思うからこそ客観的な視点でこうした事象を見て、何か問題があれば対処を考えようとも思う。

何もしなければただのブタであり、一方的に搾取されるだけでなく、人間性すらも失うことになるだろう。


今回ネタとして取り上げた記事のような事例は、今後IoT機器の普及と共に無限に増殖していく。

何も知らず、何も考えず、ただエサを食むだけのブタになりたくなければ、都合の悪い事実を無視しないようにするべきである。


nice!(1)  コメント(0) 

WiFiの脆弱性問題 [セキュリティ]

最近無線LAN(WiFi)の脆弱性問題が発覚して話題となっているようだ。


Wi-Fiを暗号化するWPA2に脆弱性発見
http://pc.watch.impress.co.jp/docs/news/1086255.html

あらゆる端末が影響を受けるWi-Fiの脆弱性はパッチ対応可能
http://pc.watch.impress.co.jp/docs/news/1086388.html


この問題の大半はいわゆる“子機”が対象であり、“親機”である無線LAN機能を持つルーターなどは一部例外を省き対象外である。

つまり無線LAN機能を持つパソコン、プリンター等の周辺機器、スマートフォン等のモバイル端末、IoT家電など、あらゆる無線LAN機能を持つ端末がその対象となる。

対策方法は記事にあるように、対策パッチが施されたファームウェアにアップデートする事だ。
だが、アップデートのサポートが事実上存在しない端末や、端末の所有者がアップデートをしないケースを考えると、世界中に存在する端末の大半が未対策のまま使われ続ける事になると思う。

こうした事を踏まえて考えると、一般の消費者は「可能ならファームウェアのアップデートをする」「対策できないスマートフォンなどは公共無線LANを可能な限り使わない」「安価な端末は対策済みの端末に買い替える」などの対策が出来るが、これは端末の所有者がこの問題と対策について知識がある場合に限られる。
この脆弱性を利用した犯罪の被害に遭いたくなければ、自ら学び自衛するしかない。

※ただし未対策の端末も永遠に使われ続けるわけではない。何時か壊れたり交換される日が来れば、次第に未対策の端末は減って行くだろう。


まあ、それ以前にセキュリティが“ザル”の無線LANルーターが約4割と言われる日本国内事情を考えれば、まずはそっちを対策しないとダメだろう。

日本のルータ4割に脆弱性、のっとりも容易
http://news.mynavi.jp/articles/2017/10/15/iot/


IoTの夢が青写真通りに実現する日は遠い。というか永遠に来ないかもしれない。


10/19追記

Wi-Fiを脅かす脆弱性「KRACK」、各社の対応状況は
https://japan.cnet.com/article/35108863/

上記リンク先の記事通り、Windows 7/8.1/10は2017年10月のWindows updateで対策済み。他はLinuxの一部のディストリビューションが対応済みで、他はほとんどがこれから対応予定のようだ。


nice!(1)  コメント(0) 

安全ってなんだ? [セキュリティ]

マルウェア感染メールの割合が6カ月連続増加
http://www.security-next.com/086523

相変わらずコンピュータセキュリティの脅威は拡大の一途をたどっている今日この頃。

アメリカではロシア製のセキュリティソフトがハッキングに利用され、国家安全保障局の情報が盗まれたとか。

・・・まあ、ロシア製ですから。


一般人の我々が直接狙われる事は確率的にそれほど高くはないとはいえ、不特定多数を狙う攻撃には日常的に遭っているワケで、今日何も無かったからといって明日もそうだとは限らない。


注意は怠らない事だ。


nice!(1)  コメント(0) 

Bluetoothで他人のスマホやパソコンを乗っ取ろう! [セキュリティ]

私は、今日見つけたこの記事によって、Bluetooth経由でスマートフォンやパソコンを乗っ取る事が可能という事を初めて知った。

Bluetooth経由でスマホからPCまで乗っ取れる攻撃手法が発覚
http://pc.watch.impress.co.jp/docs/news/1080650.html


パソコンにしろスマートフォンにしろ、Bluetoothを常にONにしっぱなしという人は少なくないと思う。

そのような人は、Bluetoothを使わない時は常にOffにするクセを付けた方が良さそうだ。
また不特定多数の人が出入りするような場所では、不用意にBluetoothをONにしない方が良い。

さらに記事によれば、これら以外にも乗っ取りの危険があるものが挙げられている。


“Armisは、BTは短距離通信のためのもっとも普及したプロトコルであり、BlueBorne攻撃は、現在世界に存在する一般的なPC、スマートフォン、TV、時計、車、医療機器など、82億を超えるBT対応の全デバイスに影響を与える可能性があるとしている。”

以上、記事からの引用。

もしこれらが乗っ取られたならば、社会にどのような混乱が起きるのか。

想定される混乱の規模が大きすぎて怖い。

nice!(1)  コメント(0) 

きっと誰かが [セキュリティ]

平均年齢は60代? IT部門が直面する現実と忍び寄る変化
https://japan.zdnet.com/article/35105748/


誰もやりたくないし、やらなくても誰も困らない。きっと誰かが勝手にやってくれるから。

パソコン或いはスマートフォンを使う人は日本国民のほとんど全てかもしれない時代となった今、自らが毎日使うモノの維持管理に関して一般人の本音はこんなところだろう。


これが“常識”の世界にあって、その常識に埋没する彼らの、一体誰がデジタル土方とも言われるIT技術者になどなりたがるのか?

また、“神が降りるかなにか”して壮大な勘違いをしたままIT技術者になったとしても、すぐにやめてしまうか、生活のために無能なまま仕事を続ける人が少なくないのだろう。

IT技術者が不足する問題の根底にはとても多くの理由が埋没しているが、社会全体のこうした“常識”がその根底に存在し、あらゆる原因の根っこになっているのは間違いない。


このような状況でも、使命感に燃え現在のITを支える技術者が存在し、その平均年齢が60代?という事は、今ほど平和ボケが重症化していなかった時代に教育を受けてきた人が最後の砦になっているという事か。

彼らが引退した後、その後を引き継ぐ人材が少ない事が非常に深刻である。


ちなみに2020年の東京オリンピックに合わせて、今後「セキュリティ要員」とやらが大量生産されるという(彼らがどの程度役に立つかは甚だ疑問だが、居ないよりは遥かにマシとは思う)。

記事ではこれによる“2025年にセキュリティ要員の余剰”を心配しているが、大丈夫。

彼らの大半はオリンピック後すぐに他の仕事へ鞍替え(或いは元の仕事に戻る)する。

バブルになってもその崩壊後の影響は一時的なものか、或いはほとんど無いだろう。


まあ、これをきっかけに大量生産されたまがい物の中から一人でも多く、本物に生まれ変わる人材が出て来るといいな、とは思う。



セキュリティ問題、ブヒブヒ
http://17inch.blog.so-net.ne.jp/2016-03-06

昨日の続きブヒ
http://17inch.blog.so-net.ne.jp/2016-03-07

セキュリティ問題は今後増える事はあっても減る事は無い
http://17inch.blog.so-net.ne.jp/2016-04-14

IoTの“Mirai”
http://17inch.blog.so-net.ne.jp/2016-10-26-1

年々セキュリティ意識や倫理観が低下する理由
http://17inch.blog.so-net.ne.jp/2016-12-23

これが現実
http://17inch.blog.so-net.ne.jp/2017-02-10

おいしいとこ取りは駄目
http://17inch.blog.so-net.ne.jp/2017-02-24

気が狂ったかのように続けている
http://17inch.blog.so-net.ne.jp/2017-03-01

ITとOTを考える
http://17inch.blog.so-net.ne.jp/2017-03-29



nice!(0)  コメント(0) 

制御不能 [セキュリティ]

先日Micro$oftは、Micro$oft $toreのストアアプリのみ利用可能なWindowz10Sを出したが、これのメリットとして“安全なアプリ”のみが利用できる事でよりセキュリティ向上が図れるという説明をしている。そしていずれは他のWindowzもストアアプリの利用をもっと促進させるための手立てを、今以上に押し付けてくるに違いない。


OSと結びついた閉鎖されたストア内でのソフトウェア配布は、元々スマートフォン向けOS用にAppleのApp StoreやGoogleのGoogle Play(Android Marketから改称)が始めた事で、両社はこの仕組みにより莫大な利益を上げている。

要はMicro$oftもこれで金を稼ごうという事で、セキュリティなどは単なる飾りなのだ。

何故ならApp StoreやGoogle Playで配信される安全なはずのアプリが、実はマルウェアに感染していたという事例は少なくないし、こうした事が起きる度に対策しますと両社は言うが、実際に対策出来た例がないからだ。


Android端末を踏み台にしたDDoS攻撃発生 Google Playに300本の不正アプリ
http://www.itmedia.co.jp/enterprise/articles/1708/29/news052.html

スパイウェアを仕込むSDK、Google公式ストアで配信のアプリ500本が利用
http://www.itmedia.co.jp/enterprise/articles/1708/23/news043.html


結局こんな感じで、マルウェアの浸透を制御できていない。

そして現在のマルウェアは発見されない事が重要なので、こうして見付かるモノは全体の一部でしかない。正に氷山の一角なので、実際にはもっと多くのアプリが感染していて、それと知らずに使っている人は非常に多いのではないかと思われる。


だから、今は利用者が少なく攻撃者にとってメリットが薄いMicro$oft $toreだが、もしApp StoreやGoogle Playのように繁盛するようになったとしたら、或いは繁盛しなくてもなんらかの攻撃するメリットが生まれたとしたら。


Micro$oft $toreも現在のApp StoreやGoogle Playのように、表向きは平和で安全な様相を呈しながら実際には混沌と危険が渦巻く世界になると思う。



nice!(0)  コメント(0) 

ネット依存社会(病気) [セキュリティ]

「ネット依存症」という言葉がある。

大抵の日本人ならば聞いたことがあるだろう。

そして今日こんなニュースが。


ネット障害 国内各地で発生 総務省など情報収集
https://mainichi.jp/articles/20170825/k00/00e/040/278000c

そして記事にはこうある。

「ツイッター」には「ネットワーク障害で仕事が何もできない」といった書き込みが続々と寄せられ(以下略)


・・・

ネットが使えないだけで仕事が出来ないとは、私の常識ではありえない。
そもそも何故、ネットがないと仕事が出来ないような仕組みが存在するのか。

昨今、コンピュータ業界ではクラウドやWebアプリなど、インターネットへの接続を前提としたサービスが増えていて、さらにそれを利用する事を前提としたソフトウェアが主流となりつつあり、こうしたソフトウェアの利用を業務の中核に置く企業は少なくない。

そのおかげでインターネットが使えない=仕事が出来ない、となるわけだ。

これは社会がネット依存症になっていると言えなくないだろうか。


インターネットがどういう形で存在しているのか、そしてインターネットの動作がどういった事と引き換えに担保されているのか。
それを知っていれば、インターネットが使えなくなると困るような状況を受け入れる事など出来るはずもないというのが私の考え方だが、どうやら世の中の常識で言えば私の考え方は非常識極まりない、狂人のたわごとらしい。

が、現実はこんなものなのだ。



nice!(0)  コメント(0) 

Type-Cケーブルはクラック出来るのか [セキュリティ]


先ほど「USB Type-C ケーブルは何を買えば良いのか」という記事を投稿したばかりだが、記事を書いている間気になった事があったので別記事として書く事にした。


その気になる事とは、USB Type-CケーブルがCPUとメモリを内蔵する「一種のコンピュータ」になった事で、コンピュータにマルウェアを仕込む手段に悪用されるのではないか、という事。


例えばCypressというメーカーの「EZ-PD CCG3PA コントローラー」というE-Markerチップには、「ARM Cortex-M0」というCPUが内蔵され、64KBのフラッシュメモリと4KBのRAMを持つ。そしてフラッシュメモリの内容は書き換えが可能で、仕様に合わせたプログラムを書き込む事で製品バリエーションを作ることが可能らしい。

この仕様を悪用し、コンピュータにケーブルを接続しただけでマルウェアのダウンロード・インストールをする事は不可能ではないと私は考える。

もちろんほとんど全てのE-Markerを搭載するUSB Type-Cケーブルのセキュリティ対策は行われているだろうが、逆に穴がゼロの製品は存在しないと思う。それにケーブルのクラックに成功しても、デバイス側のUSB PDコントローラやデバイスドライバ、OSのセキュリティ対策など、クリアしなければならないハードルは数多いため、技術的に可能だとしても経済的に割が合わなければやる意味は無いが、今後USB Type-Cケーブルが標準となれば、その流通量の多さから今は無理でも将来はどうなるかわからない。
それにE-Markerチップの海賊版を作ってより高性能なCPUと大容量のメモリを積んだ「マルウェア書き込み済みケーブル」が販売されれば、市販のケーブルをクラックするよりも楽にマルウェアをバラまく事が出来る。


世の中便利になれば、相応に新しい問題が出るものだ。
特にコンピュータ関係の問題は物理的な障壁がほとんど無いために、犯罪者にとっては楽に金儲け出来る道具とされやすい。


まあいくら心配したところで、将来この心配事が現実にならない事を祈るしか、今の私に出来ることはないが。



nice!(0)  コメント(0) 

子供のオモチャから個人情報流出、そして誘拐事件に発展の可能性 [セキュリティ]

ぬいぐるみから80万人のユーザー情報が流出、つながる玩具に警鐘
http://www.itmedia.co.jp/enterprise/articles/1703/02/news107.html

スマート玩具に脆弱性、個人情報や子どもの居所情報流出の恐れも
http://www.itmedia.co.jp/enterprise/articles/1602/03/news065.html


少々古い記事だが、これらの記事によると最近はスマートフォンから子供にメッセージを送ったり出来るオモチャがあるらしい。いわゆる「IoT」を応用したものの一つというわけだが、そのおかげでオモチャを持つ子供と、子供の周囲に居る人たちの個人情報が流出しているという。
記事によると、オモチャということでセキュリティに関する配慮や対策がまったくされていないらしい。

オモチャから個人情報が盗まれた所で困ることはない。

そう考える人は多いと思うが、親子のやりとりというものは犯罪者からすれば身代金目的や人身売買目的のターゲットを探すための非常に有用な情報なわけで、記事中には実際に身代金の請求があったような記述も存在する。

特に人身売買の場合、顧客からの注文に応えるための情報収集は重要だし、ターゲットがいつどこに居るのか把握できれば誘拐も楽になる。


さらに、自分の子供とのやりとりを通じて他人の子供の情報までをも流出させる事になるため、その場合には間接的に犯罪の片棒を担ぐことにもなる。


自分には関係ない。

私から見て、こういう考え方をする人は悪質な犯罪者と大した違いはない。


永遠のランサムウェア [セキュリティ]


今日、一月ほど前に大流行したランサムウェア、「WannaCry」の活動が今現在でも続いていて、つい最近も日本国内の自動車生産工場が約一日の間、操業停止に追い込まれたという記事を読んだ。

これに関連する情報を探すと、次々と関連情報が出てきた。

以下はこの時見つけた記事へのリンク。


ランサムウェア「WannaCry」がいまだに消滅しない理由
https://japan.zdnet.com/article/35103374/


これからも生き残るWannaCry--ランサムウェアとワームの"顔"からみる理由
https://japan.zdnet.com/article/35103419/


WannaCryには真の目的があった?
http://news.mynavi.jp/articles/2017/06/27/mcafee/


また大規模ランサムウェア攻撃、世界各地で被害--今度は「GoldenEye」
https://japan.zdnet.com/article/35103415/


ランサムウェア「SamSam」、3万ドル超の身代金要求も--研究者らが注意喚起
https://japan.zdnet.com/article/35103365/


世界で新手のランサムウェア攻撃が多発、重要インフラや大手企業も被害
http://www.itmedia.co.jp/enterprise/articles/1706/28/news058.html


以上。他にも色々あるが、興味がある方は自分で調べて欲しい。

これらの記事の中で、WannaCryに限ってはいまだにその影響が消えていない事が意外だった。

とはいえ、私が意外に感じたのは自分の常識に縛られた感覚で見た話で、逆に世の中の常識で見るとごく当たり前の現象だと納得出来る。

それは何が起きたとしてもまったく変わらないコンピュータセキュリティに対する大衆の甘い考えと、無知と無関心がその根底にあるからだ。

そしてこの問題は日本の場合さらに深刻だ。


セキュリティ対策の不都合な真実--5年に一度しか来ないベンダーの正体
https://japan.zdnet.com/article/35102509/

この記事には以下のような文がある。(以下記事よりの抜粋)


ユーザー企業にセキュリティマネジメントができる人材がいないのと同様に、セキュリティ製品を提供しているベンダー側にも該当する人材がいないか、いたとしても非常に少数だからである。

(中略)

「機能もしないセキュリティ対策製品に多くの投資をしていたのか」と企業の読者は、憤りを覚えるかもしれない。しかし残念ながら、これが日本におけるセキュリティ対策の現状だ。


以上抜粋終わり。

こうした現状が日本の常識となって固定しているので、常識から外れた“砂中の一粒”でしかない私のような者達がいくら警告しても、“ぬかに釘”どころではないのも当然である。



相変わらずのバイドゥ&Simeji [セキュリティ]

ここしばらく黒翼猫という方のサイトを訪れていなかったが、今日訪れてみるとこんな記事が上がっていた。


Simeji IME / Baidu IMEのインストーラーに脆弱性→調べたら直っていなかった件
http://blog.livedoor.jp/blackwingcat/archives/1950649.html


毎度の事だが、Baiduのアプリケーションは悪質なサイバー攻撃となんら変わりないと、個人的には思う。

この記事には元ネタとしてこんなサイトのリンクも貼ってあった。


「Simeji」のWindows向けベータ版インストーラーに脆弱性
http://forest.watch.impress.co.jp/docs/news/1064154.html

[Simeji Windows版(β)]文字入力システムのインストーラにおける DLL 読み込みに関する脆弱性
http://jvn.jp/jp/JVN31236539/


これらのサイトは私が定期的にチェックするサイトではないために見逃していた。

しかしほぼ毎日チェックしているサイトにBaidu IMEとSimejiに関するこの問題の記事がまったく無かったのはどういう事か。過去に私が記事を消されたり、Wikipediaの記事が何度も繰り返し修正されたりした事と無関係には思えない。
影響力の強いサイトにはBaiduに都合が悪い情報を載せないような、なんらかの影響を与えている可能性があるという事だ。

bsmondai.png
グーグルで検索してもほとんど出てこない(たったの3件だけ、他は過去の話題のみ)

今回は問題を修正しましたという嘘を発表するが、すぐに何もしていない事が発覚。
やってない事をやったと主張するなど悪質極まりないし、問題の内容を考えると故意にやっているとしか思えないのだが。

Baidu IMEのインストーラーに脆弱性、今度こそ直したよ!→調べたら何も直っていなかった件
http://blog.livedoor.jp/blackwingcat/archives/1950691.html


まあこういうお粗末な所があるのが中国企業らしいといえばらしいが、注意深い人でなければ恐らくこうした表面的な情報に目を奪われて、実は他の問題から目を逸らせる方便である可能性を考える事も無いだろう。

バカを装って影でコソコソと何かやるというのは、多少頭の回る者ならば可能な事だ。


なんにせよ、セキュリティに関する情報を日頃から注意して調べている私ですら気付かなかったニュースである。

こうした事にほぼ無関心の者は、知らないのだからBaidu IMEやSimejiをなんの疑いもなくインストールすることだろう。

また知ったとしても「自分には関係無い」と判断してインストールする事もあるかもしれない。

サイバー攻撃を仕掛ける者は、こうした大衆の無知と無関心を最大限に利用した攻撃を行う。

多少の問題発覚はBaiduにとって行動になんら制限がかからないどころか、むしろ相手の油断を誘うエサになっている。なにしろ過去にあれだけ騒がれても利用者が少なくないのだから。


Baidu(バイドゥ・百度)の「Baidu IME」及び「Simeji」によるサイバー攻撃は、今後も確実に成果を上げ続ける事だろう。


私は日本語入力に、Windowsの場合ジャストシステムのATOKを、Androidの場合はオムロンのWnnを強く推薦する。

Windowsの場合MS IMEの開発がMicro$oftの中国国内の開発室なので、標準搭載の日本語IMEの使用には注意が必要だ。


ATOK
http://www.atok.com/


Wnn Keyboard Lab
https://play.google.com/store/apps/details?id=jp.co.omronsoft.wnnlab&hl=ja



アクマノスウジ [セキュリティ]

記事を書こうと思ってログインしたらこんな数字が。

kemononosuji.png

「666」が悪魔を表す数字だとかいう迷信を思い付いたカルト教信者に乾杯。
そしてその被害者には哀悼を。


私の感覚ではコレに相当するのがLINE。
血が流れないからわかりにくいが、それこそ理解していてやっているのだろう。

LINEがスマートスピーカー「WAVE」発表、内閣府協業の行政サービス連携も
http://ascii.jp/elem/000/001/500/1500108/

・・・韓国の国策企業(=スパイ)が日本の内閣府とツルんで事業とか。

しかもCEOに日本人の名前が出ている所が笑える。


まあ、アレだ。

○○に念仏という言葉の意味を身に染みて実感する事が多い今日この頃。

これもそういう類の話なのかと、諦めと共にどうすればいいのかと考えさせられる。

○○テクとかいうので世渡り上手と誤認する連中が、○○相手にそれが通用するからといって増長した結果がコレだ。

それを止められない、○○の既知の外に居る者共も者共だが、彼らは彼らで色々あって仕方ないとも。結果だけ見れば仕方ないでは済まないのだが。


いずれにせよ外国の国策企業は、その影響力を利用して敵対国の中枢にアクセスする手段をまた一つ得たという事だ。

どの組織も中枢がボンクラ揃いである以上、気付いている者は自己防衛するしかあるまい。

全体の1%に満たない者が全国に散らばっている現状、国政には無に等しい影響力しか無いのだから。


感染した人は泣きたくなるのかもしれない [セキュリティ]

欧州で感染が報告されたのは5月12日、日本では昨日の5月13日土曜日に感染したコンピュータが確認された新しいランサムウェアが、現在日本をはじめ世界中で猛威を振るっているという。

感染経路は今の所よくわからないが、今年4月にも同種のランサムウェアがDropboxのURLを悪用して拡散した例があるらしい。
※5/15追記。感染経路は主にメールのリンクや添付ファイルである模様。


今回影響を受けている環境は、主にWindows Xp、Windows 8、Windows server 2003等の、すでにサポート切れとなったOSが動作しているコンピュータらしいが、該当しないOSを使っているからといって安心は出来ないと思う。
※追記。今年3月から4月のWindows updateを適用していないWindows 7 / 8.1 も影響を受ける。
※5/15修正。


また、このランサムウェアには「WannaCry」という呼び名が付けられているらしい。
このランサムウェアには英国の国営医療機関がやられて機能停止したらしいので、そりゃ泣きたくもなるだろう。


なお、WannaCryについての情報は、現時点(5/14 13:30)であまり情報が出ていない。

情報不足でわからない事が多いが、感染させる手法は何もサポート切れのOSに存在する脆弱性を突く事に限らないので注意しよう。



15日は不審メールに要注意、業務停止の可能性も
http://news.mynavi.jp/articles/2017/05/15/ipa/

5月15日月曜日は特に厳重注意! - ランサムウェア「WannaCrypt」の攻撃
http://news.mynavi.jp/news/2017/05/14/135/

世界中サイバー攻撃・被害は99の国・地域で7万5000件以上
http://e.jcc.jp/news/12223760/

「NSAのハッキングツール」新たに大量流出 Windowsの脆弱性悪用も
http://www.itmedia.co.jp/enterprise/articles/1704/17/news051.html

マイクロソフト セキュリティ情報 MS17-010 - 緊急
https://technet.microsoft.com/ja-jp/library/security/MS17-010


ITとOTを考える [セキュリティ]

IoT時代のセキュリティを考える(2) : 安心への取組みと課題
http://blogs.mcafee.jp/mcafeeblog/2017/03/iot2-bf9d.html

今日、このような記事を読んだのだが、記事中に

「情報システム(IT)側とモノ(OT)」

という言葉が出ていて、ITはともかく“OT”とはなんだろう?と思って調べた。


すると「OT(Operational Technology)」という言葉が見付かって、恐らくこれだろうという推測を元にこの記事を書いている。

この“OT”、要はIoTにおける最終到達点である「各種の機器を動かすための技術」である。
(物理的な最終到達点はそうだとしても、論理的な最終到達点が“収益”である事は微動だにしないだろうが)

例えば自動車。
自動車は動力となるエンジンの力をタイヤに伝えて動くが、人間はエンジンの力を制御(アクセル)しなければならないし、進行方向を自在に決めるためには舵取り装置(わかりやすく言えばハンドル)も必要だし、停車した場所に自動車を停止させるためにはブレーキが必要だ。
これらの制御に必要な全ての機械的な構造とそのための技術が「OT」である(OTの定義には“高度化”の装飾語が付くが、例えば1970年代頃の自動車でもその機構は1800年代に出た初期の自動車と比べ比較にならないほど高度化していて、その基本は40年以上過ぎた現在でもほとんど変化していない)。
この自動車の例では「IT」が一切入っていないが、これに各種のアシスト(自動運転はその究極形態)を情報通信の技術によって加えるとIoTとなる。

記事中ではコンピュータセキュリティのブログらしく、ITの存在しない時代のOTとして「電車の自動停止装置」を例に出して話をわかりやすくしようとしている。


この件に関する論点は恐らくいくつでもあるだろうが、記事ではIT側とOT側がそれぞれにもう一方の事情を理解しないまま仕事をする事が問題であり、ITとOTの融合であるIoTの前にそれぞれの側にいる人の融合が必要だと書いている。

この問題を身近な例で例えるならば、縦割り行政の弊害とか、もっと身近な例では日常における人間同士の不仲も本質的には同じだと思う。要は自分の事ばかり考えて相手を理解する努力を怠るとロクな事にならないというワケだ。


とはいえこの問題、だからお互いに仲良くやろうと、そうは簡単にいかないから最先端のIoTでも問題になるわけで。

ある歴史の研究者によると、人類は精神的に4000年以上前からまったく進歩が無いらしい。
これは昔から自己厨が多く、それをたしなめる言葉や問題解決のための知恵が4000年以上変化していないという事が根拠となっていて、記事の最後にある「体験を共有する」などの方法も恐らく4000年以上前から行われている問題解決手段なのだろう。

まあ、どんなに技術が進歩しようとも人間は人間のままという事か。




参考記事:


融合するITとOT
http://itpro.nikkeibp.co.jp/article/COLUMN/20110817/365421/

2012年の展望:ITとOTの整合性確保がもたらすリスクと機会
http://www.gartner.co.jp/b3i/research/120904_inf/

融合するITとOT 広がる大革新の可能性
http://www.nttcom.co.jp/comware_plus/trend/201504_2.html


みんな見て見ぬ振り [セキュリティ]


中国製のネットワーク端末にバックドアの存在が発覚、IoT時代の大問題になる可能性
http://gigazine.net/news/20170306-dbltek-backdoor/


IoTの描く夢は大きいが。


古い時代に起きた類似の例といえば電気式の洗濯機とか。

まさか洗濯機で人が死ぬとは夢にも思わなかっただろう、当時の人達は。

気が狂ったかのように続けている [セキュリティ]

私は「コンピュータセキュリティの教育は義務教育でやるべき」と考えている。

誰もが当たり前にコンピュータを持ち、常時インターネットに接続し、情報のやりとりをしている以上、コンピュータセキュリティに関する知識を持っていませんでしたでは済まされない時代だと思うからだ。

が、現実は教える側の知識不足と意識の低さがこれを阻害している。

そもそも親が子供に教えるべき範疇のはずだが、その親が無知で無関心で無神経と来ている。
そりゃ、子供もそーなるワケだ。
そのうえ監督すべき国家機関自体がこうした一般人と同レベルというお粗末さ。
もう処置なしといえよう。


だが(専門家以外で)一握りの人間でも、この現実に危機感を持ってコンピュータセキュリティについて学ぶ事を死ぬまで続け、その成果をもって可能な範囲で周囲に働きかければ、少なくとも何人かは興味を持って学んでくれるかもしれない。
経験上無駄としか思えないが、それでも私はそれを気が狂ったかのように続けている。
望ましい変化が起きる可能性はゼロではないと信じて。


というわけで、現状の一端を知る意味で以下の記事は必見である。


Androidの“正規アプリ”4種にスパイウェア混入
http://techtarget.itmedia.co.jp/tt/news/1702/20/news01.html

数分で破られた「iOS 10」ローカルバックアップパスワードの脆弱性
http://techtarget.itmedia.co.jp/tt/news/1702/23/news03.html


まあ、読んだところで理解出来る人は限られるかもしれないが、記事のタイトルだけでも記憶し、その意味を考える時間を少しでも持ってもらえたのなら幸いである。


おいしいとこ取りは駄目 [セキュリティ]


「アンチウイルスソフトは死んだ」発言の真意は
http://www.itmedia.co.jp/enterprise/articles/1702/21/news035.html


「アンチウイルスソフトは死んだ」。

こう言われるようになって久しい。ここ数日だけでもプラットフォームに依存しないJava scriptの脆弱性が見付かったり、半年放置され続けたWindowz10の脆弱性、そしてランサムウェアの拡大など、セキュリティソフトの存在をあざ笑うかのように様々な問題が露見し続けていて、しかもそれは氷山の一角でしかない。

記事ではこの「アンチウイルスソフトは死んだ」という言葉に対し、セキュリティソフトはまだほとんどの人にとって必要な対抗手段である事と、同時に他の手段が重要である事を説明している。


が、私が最も重要視したのは、記事の最後にあるこの言葉だ。

一番いけないのは、結論だけを追ってしまうこと。「もうウイルス対策ソフトは死んだから入れるだけ無駄!」「アンチウイルスが不要だってネットに書いてあった!」と、背景を理解せずに“おいしいとこ取り”をしないように。

世の中「おいしいとこ取り」する人やそれを煽る情報があまりに多すぎる。

そのおかげで様々な問題が起きているが、「おいしいとこ取り」している人はその事実に気付かない。
セキュリティ問題に疎い、ほぼ全ての大衆はこうした者達だ。

自分がなにやっているのかわからず、問題が起きれば他人事。(若しくは自己保身)

いやいや、それはあなたがやっている事だから。


これが現実 [セキュリティ]


2016年後半から日本でマルウェア急増、世界の中でも「最悪の状況」に
http://news.mynavi.jp/articles/2017/02/10/eset/

記事中にはこんな事が書かれている。

丸川珠代五輪相(政府のサイバーセキュリティ戦略本部副本部長も務める)のサイトも被害に

丸川珠代五輪相(政府のサイバーセキュリティ戦略本部副本部長も務める)のサイトも被害に

丸川珠代五輪相(政府のサイバーセキュリティ戦略本部副本部長も務める)のサイトも被害に


まあ、政府からしてこの程度なのである。


他にも色々書かれているが、全部私がこのブログで警告している内容と被る。

素人の私が、専門知識も無しに理解出来る程度のことすら、世間では非常識同然に無視されているという事だ。

だから 日本でマルウェア急増、世界の中でも「最悪の状況」

などという事になるのだ。



ウイルス対策ソフトには害悪が存在 [セキュリティ]

数日前の記事だが、GIGAZINEにこんな記事が出ている。

「Microsoft以外のウイルス対策ソフトは害悪なので入れるべきではない」とMozillaの元開発者が告白
http://gigazine.net/news/20170131-stop-using-antivirus/

これには私も同意だ。

そもそも現在のセキュリティソフトは既知のマルウェア以外にはあまり役立たない。
未知のマルウェアに対する防御機能もあるが、これは誤動作が多いという弊害がある。
そして不要な機能が多すぎる。これが問題を起こす大きな要因。

ただ、記事のタイトルにもある「Microsoftのウイルス対策ソフト」もあまり信頼できない。
特にパソコンに対する負荷については、少なくともAVASTより確実に重い。
これは、以前ATOM系のCPUを使うWindowz10パソコンにAVASTを入れたところ目に見えて重くなったので、他に軽いセキュリティソフトをと思い「Windows Defender」に切り替えた。するとさらに重くなったという経験があるためだ。


まあ現実的に考えて、セキィリティソフトは入れなければマズイと思う。

しかしその為に入れない場合よりも多くのリスクを抱えるという矛盾はどうしたものか。

パソコンのおかげで色々便利にはなったが、セキュリティ問題にこうも手間を取られるという。

本当に、なんとかならないものだろうか。


まったくもってロクなものではない [セキュリティ]


DeNAとWELQ、DMM.comとはちま起稿、そしてLINEとNAVERまとめ。

どれもこれも、まったくもってロクなものではない。

何故彼らはこれだけの悪事を平然とやってのけるのか?

一番の問題はそのような手段を成立させてしまう消費者の無知と無関心という見方も出来るが、やはり最悪なのはそのような人達を食い物にするその精神的な異常性を持つ連中なのだろう。



「WELQ問題」責任者・村田マリ氏とDeNA社長の密接な関係
http://shukan.bunshun.jp/articles/-/6942

まとめサイト「はちま起稿」、DMM.comが運営していたことが判明
http://nlab.itmedia.co.jp/nl/articles/1612/28/news088.html

NAVERまとめ」に関する批判についてLINEが言及
http://japan.cnet.com/news/service/35094431/


年々セキュリティ意識や倫理観が低下する理由 [セキュリティ]

セキュリティの意識や倫理観は低下するばかり
http://www.itmedia.co.jp/enterprise/articles/1612/20/news115.html


この手の記事はほぼ毎年見かけるように思う。

この件に関して私が思う事は、このような変化はある意味当然であるという事。


何故かといえば、今や知識も経験も無い未熟な若者でも簡単に使える便利なデバイス・アプリケーション・サービス・社会的な流行や雰囲気などが物心付く前から存在するため、生まれたばかりの赤ん坊が自発的に産声を上げて肺呼吸を始めるように、そういった環境に慣れ親しんでいく人間が後から次々と増えていく事がまず理由の一つ。

そしてセキュリティ意識や倫理観の低下を加速させる要因として、この問題に危機感を持つ事が出来る人間が非常に限られるという現実の中で、危機感を持つ事が出来ない利用者が圧倒的多数になる事により、圧倒的多数の彼らの影響下にある子供達も当然に彼ら同様になり、またさらに劣化していくという悪循環を生み出している。

もちろんそのような環境の中で突然変異にように意識の高い若者が生まれている事も事実であるが、日本国内であればそのような例は100人に一人いるか居ないかという少数である上にピンキリでもあり、その中でピンに相当する者(最低でも私くらいには色々自分で調べて実行する)が100人に一人居たとしても、その中から周囲の人間に影響を与える事が出来る者はさらに100人に一人以下というように限られるため、その影響力はゼロに近いのも仕方の無い事かもしれない。(能力が高い者は、自分より低いと見做した相手に興味を持つ事は少ないため)

そしてさらに追い討ちをかける要素は、日常の中でこの問題について時間を割く事が難しい場合があることだ。

このブログで散々セキュリティに関する記事を書いている私ですら、仕事や私生活がちょっと忙しくなっただけでまったく手に付かなくなる。私の場合今年11月くらいから忙しさが増したおかげでブログの記事が随分減ったが、これは同時に情報収集や勉強の時間も減った事を意味する。おかげでWindows updateすら満足に出来ていない。(仕事用と自宅のメイン・サブPCだけはやっているが、それ以外の使用頻度が低い物は放置状態、というか電源すら入れていない、それ以前にMicro$oftが色々やらかしているおかげでWindowz updateの手間が大きすぎる事も問題だが)

こうなってくると当然にセキュリティに関する防備にも隙が出来るし、最新情報を得ていなければ未知の脅威に対する備えがまったく出来ないため、尚更危険である。


というわけで、セキュリティの意識や倫理観に関する問題は、問題の根本にあるデバイスやサービスの利用をするはるか以前、それこそ小学校に上がる前の頃から洗脳同然の教育が必要だと私は考える。何も知らないままメリットだけを受け入れたなら、後からデメリットを説明されても受け入れる事が困難だからだ。

従って大人に対する啓発などは非常に効果が薄く、無意味に近い。
だが現状を考えれば、無意味に近いことでもやらなければならない。

また、日本は社会に無駄があふれ返っている割りに人々にが余裕が無いため、例えるなら油の切れた機械を無理やり動かしてそこかしこでトラブルが起きている状態である。

この余裕の無さが様々な問題を生む大きな要因である事は明白で、それがセキュリティ問題や倫理に対する感覚マヒを引き起こす一因にもなっているように私には見える。
この問題の解決には人間本体の能力向上と社会的な構造問題の両方に対し同時にメスを入れなければ、片方だけやっても自動的に戻る力が働くので意味が無い。また意思を持って大衆にミスリードさせる力が少なからず存在するので、そういった勢力の弱体化も同時に行わなければならない。


まあ、この問題に対しては、どれほど無駄な足掻きと思えても出来る事はなんでもやる。どんな小さな事でも手を抜かない。そういう姿勢が必要だと思う。

それから同時に、影響する全ての要素を把握する広い視点を持つと共に、視界の広さを保ったまま細部まで把握する能力も必要かもしれない。


参考:

ITmedia エンタープライズ > セキュリティ
http://www.itmedia.co.jp/enterprise/subtop/security/index.html

マカフィー株式会社 公式ブログ
http://blogs.mcafee.jp/mcafeeblog/

Security NEXT
http://www.security-next.com/

JPCERTコーディションセンター
https://www.jpcert.or.jp/

他色々


さすがLINE社は韓国企業、著作権無視はやった者勝ちか [セキュリティ]

NAVERまとめに無断転載“された”側の訴え……「抗議への対応に驚愕」
http://www.itmedia.co.jp/news/articles/1612/12/news067.html


この記事によると、

“「NAVERまとめ」も、「コンテンツを無断利用された」と被害を訴える人が多いサイトの1つだ”

と書かれている。

私は意識して「NAVERまとめ」を利用しないようにしているし、そういう話を聞いた事が無かったので知らなかった。


また無断転載の被害に遭った方が転載された写真などを削除するように抗議すると、LINE側から自分自身の記事に“転載禁止の旨を追記すること”を求められたという。

これは「記事を書いた人が転載禁止と書かないのが悪い」という意味なのだろうか。

さすがはLINE。韓国企業なだけあって、著作権無視はやった者勝ちだと思っているのだろう。


追記:私が韓国企業を毛嫌いする理由の一部は、過去こちらに書いた。参考まで。

韓国企業は注意が必要
http://17inch.blog.so-net.ne.jp/2014-07-09


PWGen 2.9と日本語ファイル [セキュリティ]


PWGen_290.jpg

もう3ヶ月近くも前の事だが、PWGenが2.9にバージョンアップしていた。

日本語ファイルも2ヶ月前に作っていたのだが、公開するのを忘れていた。


携帯電話や家電などに留まらず、自動車すらもインターネットに常時接続される事が当たり前になりつつある昨今は、パソコンだけがネットに接続されていた時代と比較してコンピュータセキュリティに対する理解と備えがより重要になっている。

その基本的な対策の一つとして、パスワードの管理は極めて重要だ。


このパスワード問題、私の記憶にある限りもう20年以上ずっと言われ続けている事なのだが、20年前から現在に至るまで大衆の意識はまったく変化が無い。

現在はWeb上にある複数のサービスを利用するために、複数のパスワードを持つのが一般的だ。
このパスワードを安易なものとしたり、同じパスワードを複数のサービスで使いまわしたりという例があまりにも多く、そうした人達のパスワードは常に破られ続けている。


被害を防ぐには複雑かつ出来るだけ長いパスワードを重複無しで使い分ける必要があるのだが、パスワードをいちいち考えるのは意外と面倒な作業である。
そこでもしパスワードの設定が面倒だと思うのなら、この「PWGen」を使ってみると良い。

PWGenはパスワードを乱数によって自動生成してくれるので、例え100以上のサービスで全て違うパスワードが必要な場合でも簡単に全て違う安全性の高いパスワードを作る事が可能だ。


PWGen(2016年12月2日現在の最新バージョンは2.90)
http://pwgen-win.sourceforge.net/

PWGen 2.90 日本語ファイル
https://www.axfc.net/u/3747664.zip



最近のOutlookメールの不調 [セキュリティ]

最近のOutlookメールの不調に関係のありそうな記事を見つけた。

数日前にこんな記事が出ていたようだ。


Outlook.comの長期不調、Microsoftが修正済みと発表
http://www.itmedia.co.jp/news/articles/1611/24/news052.html


そして「Outlook 不調」というキーワードであひる先生にお尋ねすると、こんなサイトが。

ダウン ディテクター Outlook
http://downdetector.jp/shougai/outlook


どうもOffice365(ネットワーク接続が前提のオフィスアプリケーション)でもトラブルが出ているらしい。Microsoftアカウントが必要なサービス全てに影響が出ているのだろうか?


最近はクラウドなどインターネットでの通信が前提のアプリケーションやサービスが増えているが、インターネットの信頼性はそれほど高くは無い。今回の例のようにサービスを提供する側のトラブルで使えなくなったり、或いは回線そのものがISPなどの障害で使えないとか、災害による停電や基幹通信ケーブルの切断などで使用出来なくなるとか。

これらの問題はローカルで完結するシステムであっても同様のリスクがあるが、インターネットを利用する事が前提のサービスの場合、局所的な障害が広範囲に影響を及ぼすという問題がある。実際今回の問題も被害を被った人はかなり多いはずだ。


コンピューターネットワークが人類に多大な恩恵をもたらしている事に異議を唱えるつもりはまったくないが、だからといってそれを盲目的に受け入れるのは間違っていると思う。



Hotmail(Outlookメール)の使用をあきらめる [セキュリティ]

先日、突如としてThunderbirdでアクセス出来なくなったHotmail。

調べるとアクティビティ(アクセスの履歴)に“セキュリティチャレンジ”なるものがあったので、パスワードを変更すると再びアクセス出来るようになった。


ところが。


昨日、またしてもアクセス出来なくなった。トラブルから復帰して一週間たらずなのに。

Thunderbird側のメッセージによると、サーバーから「failure: unknown user name or bad password.」というメッセージが返って来ているので、原因は別としても問題自体は先日のケースと同じようだ。

だがブラウザでアカウントにログインしてアクティビティをチェックすると、セキュリティチャレンジは発生していない。念のためにパスワードを変更してみたが、症状は変わらなかった。
仕方なく他の面でアクセスの制限があるかもしれないと調べてみるが、有効な情報は見付からない。


こうした事がこう何度も起きるとなると、もうサービスへの信頼はゼロだ。

そこで私は最も確実な解決方法を選択する事にした。

それはHotmailとは別のメールサービスに移行することだ。


今まではインターネットを使う各種サービスに登録したメールアドレスを修正するのが面倒で避けてきたが、こう何度も不便を強いられるとなれば話は別。10年以上使い続けた愛着のあるアドレスを捨てる事に若干の抵抗はあるが、使えないサービスはさっさと捨てて他のメールサービスに移行しよう。

問題のアドレスは主に買い物専用のアドレスで、10件ほどのサービスに登録していたが全部Gmailのアドレスに変更した。
正直Gmailは使いたくないのだが、緊急避難的に今すぐ使えるアドレスとして止むを得ずの選択だ。

私は他にも二つ、末尾がco.jpとlive.jpのアドレスを持っているが、こちらも何時このようなトラブルに見舞われるか知れたものではない。事実双方とも過去にセキュリティチャレンジによるアクセス不能が起きているからだ。
(ちなみに今回謎のトラブルでアクセス出来なくなったのは.comのアドレス。)

従って、なるべく早くこれらも他のサービスに移行するつもりだ。


参考:

Outlookメール(Hotmail)をThunderbirdでPOP受信する
http://17inch.blog.so-net.ne.jp/2016-03-04

ThunderbirdでOutlookメールが突然受信出来なくなった場合の対処
http://17inch.blog.so-net.ne.jp/2016-11-23



IoTの“Mirai” [セキュリティ]

マルウェア「Mirai」に感染したIoT機器が急増、亜種も相次ぎ出現
http://www.itmedia.co.jp/enterprise/articles/1610/20/news061.html

以下、記事からの引用

「IoTの市場が急拡大する一方で、セキュリティにはほとんど注意が払われず、こうしたボットネットによる脅威は増大している」

セキュリティにはほとんど注意が払われず

・・・現実はこんなものだ。

IoTの未来は、現在以上の混沌となるだろう。

我々は、そうした混沌の中で生き抜く術を身につける必要がある、という事だ。



こんなモノを使ったら絶対に危険だ [セキュリティ]


Baidu、医師の診断を手助けする医療用チャットAIを発表
http://pc.watch.impress.co.jp/docs/news/1024415.html


バイドゥ(百度、Baidu)がこのようなソフトウェアを、しかもスマートフォン向けに出すとは。

危険すぎる。


これを使った場合、情報の盗難、そして最悪の場合病院機能の破壊も可能だと思う。

もし万が一日本で利用する計画があれば、24時間365日の通信の監視と、マルウェアが混在しないか毎日チェックするべきだ。

日本国内のあらゆる混乱は、中国の野心を利する。

もちろん中国にそんな野心が無いと仮定したとしても、セキュリティリスクを考えたらバイドゥのサービスは利用しない事が重要だ。




LINE社の、李海珍という男 [セキュリティ]

LINE開発プロジェクトのリーダー 李海珍氏 素性はネイバー創業者で韓国諜報部の検索システム開発者
http://echo-news.net/culture/naver-founder-and-line-developing-leader-lee-have-jin-worked-for-korean-intelligence-agency/3

まあ、どこまで本当かわからないが。

この手のニュースはそれなりに多く、また背景となるさまざまな事柄から、真実味があると私は思う。


韓国国情院のLINE傍受の話も、出所が内調という話である。

韓国国情院 LINE傍受
https://duckduckgo.com/?q=%E9%9F%93%E5%9B%BD%E5%9B%BD%E6%83%85%E9%99%A2+LINE%E5%82%8D%E5%8F%97&t=ffsb&atb=v28&ia=web

一般人には無関係な話かもしれないが、政治や警察、或いは自衛隊関係者と、関係者ではなくとも彼らの情報を知り得る立場の一般人は、LINEの使用は十分に注意するか、使用しない事が最善であると思う。

でも、戦時中にアメリカが日本の軍事情報を得ていた情報源が、民間のラジオや新聞だったという話もあるので、機密情報という観点からはゴミにしか見えない一般人の日常会話も、重要な情報を得る元となるのかもしれない。

LINE森川亮社長の抗議について
http://facta.co.jp/blog/archives/20140619001250.html


上場予定のLINE社、現会長も韓国情報機関関係者と判明
http://echo-news.red/Japan/Korean-LINEs-Hidden-Chairman-Ex-Developer-for-Intelligence-Agency-Disclosed-by-Japans-Government

以下上記リンクの記事からの抜粋

なお李海珍氏は(関係の深い人物と合わせて)NAVERの株式7パーセントも有しているとあり、韓国政府と並ぶNAVERーLINEグループの大オーナーである。これらの点に鑑みると、李会長がLINE社HPに主要役員として載っていないことには、どんな理由があるのだろうかと大いに疑問となる。

*以前にも報じたが、NAVERのもう一人の共同創業者であるキム・ボムス氏は米国に入国しようとした際にJFK国際空港で、FBI、米国内歳入庁、および国土安全保障省の合同チームに「個人情報の不正入手」の容疑で身柄拘束を受けている。



Firefoxが中国のSSL認証局発行のSSL証明書をブロック [セキュリティ]

中国最大の認証局「WoSign」が証明書発行日改竄などを行っていたとしてFirefoxがブロックの方針
http://gigazine.net/news/20160928-wosign-firefox-block/

先日私は「世界は偽のSSL証明書だらけらしい」という記事を書いたのだが、この記事を書く動機となった中国のSSL認証局が偽のSSL証明書を発行していた問題でFirefoxがこの認証局の発行するSSL証明書をブロックする事が決まったらしい。


記事によると問題の認証局「WoSign」は、偽の証明書発行の他にもイスラエルのStartComという認証局を買収しながらも所有権の変更を明かさなかったという問題も発覚している。

この件について私は、他の認証局の名前でも偽のSSL証明書を発行し、これを悪用する意図があったと考えている。


まあ地球上で中国だけが悪質な行為を平然と働いているのではない(そのような意味では欧米や日本も大差は無い)が、中国は他者を欺いて利を得ようとする行為があまりにも多いために信用できない国の代表であると感じる。

特にコンピュータセキュリティに関する問題の多くが中国の政府民間を問わず確認されているので、この点に関しては注意を要すると思う。

バイドゥなどもそうだが、背後に国家が絡んでいる企業も非常に多いため、こうした問題は国家ぐるみでやっている可能性が高い事も、強く警戒する必要がある理由の一つだ。


とはいえ、今回の偽SSL証明書問題は、国際的に信用のある機関より正式にライセンスを受けた組織がやっているという事も問題として考える必要がある。

近い将来自動運転自動車などにもこの問題は深く関わって来るし、当然にIoTなどにも無関係ではない問題だ。

これらに関係する人々は、こうした現状の中どうやって利用者の安全を担保するのか、常にゼロから考え直すくらいのつもりで仕事をして欲しいと思う。

前の30件 | - セキュリティ ブログトップ
メッセージを送る