So-net無料ブログ作成
セキュリティ ブログトップ
前の30件 | -

CPU脆弱性問題は結局どうなのか [セキュリティ]

1月3日のニュースを発端に、主に業界を騒がせている例の問題。

「Spectre」と「Meltdown」と名付けられたこれらは、結局末端の消費者である我々にどのような影響があるのか。

情報収集の結果、あくまで消費者の視点で言えば「直近のセキュリティに関する影響は無い」と言える。

とはいえ近い将来起こり得る問題は依然として存在するし、対策が行われない機器が少なくないという問題も残るが、「Spectre」は攻撃を成功させるハードルが高い事や、「Meltdown」はOSやブラウザ等アプリケーション側の対策でも攻撃を防げるので、“少なくとも自分自身がアップデートを適切に行えば大した問題ではないように思える。
また、CPUの処理能力が低い製品の場合そもそもこの問題の根源である“投機実行”の機能が存在しない場合が多いため、IoT機器の場合この問題が最初から無い製品が大半であるように思う。

従って、“よほどの事が無い限り”、この問題が重大な影響を及ぼす前に問題が解決される可能性が高いと私は考えている。


となると、末端の消費者である我々にとって関心事となるのはセキュリティよりも“対策による処理能力の低下がどうなのか”という事だ。


まず私の場合、スマートフォンの「VAIO Phone A」はCPUにCortex-A53が使われる“Snapdragon 617”が採用されているので、投機実行の機能が無いためこの問題はまったく影響を受けない。

パソコンに関してはメインのRYZEN5 1600Xを使うパソコンは「Meltdown」の影響を受けない。「Spectre」の影響は一部受ける可能性が存在するが、ソフトウェアの修正による速度低下は「Meltdown」のそれよりも少ないため、実質ゼロらしい。

またサブPCのA8-3870KはCPUコアがPhenomⅡ系であるが、これもRYZENと同様に対策後の影響はほぼ無いようだ。

ああ、AMDで良かった。


というわけで私の所有するパソコンにはほぼ影響が無い今回の問題。

インターネットサービスプロバイダや各種買い物サイト及びG Mail等のメールサービスなどに使われるサーバーが対策をしてくれない場合には情報漏洩などの影響を受ける可能性があるが。

ひとまず安心かなあとは思うが、引き続き警戒はしようと思う。


なお、私と違いIntel製のCPUを使うパソコンや、VAIO Pone A以外のスマートフォンを使う方は、以下の情報を参考に自分の責任で判断しよう。


Meltdown
https://ja.wikipedia.org/wiki/Meltdown

Spectre
https://ja.wikipedia.org/wiki/Spectre


Googleが発見した「CPUの脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめ
http://www.4gamer.net/games/999/G999902/20180105085/



nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

Intel・AMD・ARM等のCPUに関する重大な問題 [セキュリティ]

昨日、私はこんな記事を書いた。

Intel製CPUの致命的問題が発覚
http://17inch.blog.so-net.ne.jp/2018-01-03

記事中で私は「AMDやARMなんかでも、発覚していないだけで潜在的に持っているのでは、と思う。」と書いたが、この懸念はやはり当たっていたようで、今日、様々なニュースサイトで一斉にこの問題に関するニュースが記事となっている。


Intel製CPUに内在する脆弱性問題の根は深く「すべてのプロセッサが
安全性と高速性を両立できない問題を抱える」との指摘
https://gigazine.net/news/20180104-meltdown-spectre/

Intel、AMD、ARMなどのCPUに深刻な脆弱性、影響を巡る報道で混乱広がる
https://news.mynavi.jp/article/20180104-567288/

Intel、プロセッサ脆弱性はAMDやARMにもあり、対策で協力中と説明
http://www.itmedia.co.jp/news/articles/1801/04/news009.html

プロセッサ脆弱性「Meltdown」と「Spectre」のまとめサイト開設
http://www.itmedia.co.jp/news/articles/1801/04/news010.html

CPUに脆弱性発見、機密データ漏えいの恐れ 業界全体で対応
http://www.afpbb.com/articles/-/3157363


以上、他にも色々あると思うが、内容は大体同じだろうと思う。


まあ細かい内容はさておき、無知な一般の消費者である我々に出来る対策は何があるのか。


それは情報収集と専門家により公開された対策を実行する事。

具体的にはソフトウェアのアップデートだ。


デスクトップやノートパソコンで動作するWindowsならば、Microsoftより提供されるアップデートパッチをインストールする。その他のOSも同様に、OSを提供する組織からアップデートパッチを受け取ってインストールすればいい。


スマートフォンの場合もWindowsなどと同様だが、こちらの場合は対策されない端末が非常に多いと思われる。
一部のメーカー及び機種に限られるとは思うが、アップデートが提供されたら出来るだけ早くアップデートしよう。

そしてアップデートが提供されない端末を所有している人は、出来るだけ早く問題を解決した新しい端末に買い換えるしか方法は無い。


その他の、主にARM系CPUを搭載するIoT機器等は、やはりスマートフォン同様に新しいファームウェアが発表されるのを待ち、発表されたなら即座にアップデートをする。
しかしこれもアップデートが提供されるものは極一部のデバイスのみだと思う。
さらに、まともに管理されていないものがほとんどであるために、問題の解決は絶望的であると思われる。

となると、故障や入れ替えによる新しい機器との交換まで問題が放置されるケースが非常に多いと予想され、これが潜在的な問題となって残ると私は思う。


なお、この混乱に便乗して様々な詐欺等の犯罪が激増すると思われる。

日頃から情報収集と学ぶことを怠っていない人は騙される事が無いと思うが、そうでないひとは騙される可能性が高い。

今からでも遅くは無いので、情報収集と勉強を始めたほうがいい。


さらに、アップデートをしたら新たな問題(例えばパソコン等が壊れる)が発生する可能性もあるだろう。

アップデートする前に重要な情報をバックアップする事も忘れないようにしたい。


※1/5 追記

GIGAZINEに関係各社の対応をまとめた記事が出ている。

CPUに内在する脆弱性問題「メルトダウン」「スペクター」への各社の対応まとめ
https://gigazine.net/news/20180105-meltdown-spectre-security/


記事中に「Firefoxでは、報告された手法に類似した技術を用いて、個人情報を実際に盗み取ることが可能であることを確認。対策を施した「Firefox 57.0.4」をリリースしました。」とあるので、水面下ではすでに影響が出ている可能性があるので注意。


nice!(1)  コメント(0) 
共通テーマ:パソコン・インターネット

Intel製CPUの致命的問題が発覚 [セキュリティ]

あけましておめでとうございます。

大しておもしろくもない記事ばかりかと思いますが、興味を持って訪れてくれる方々、どうか今年もヨロシク。


とまぁ新しい一年を迎え、心機一転と行きたいところだが、心機一転しようがしまいが変わることの無い現実に埋没する毎日ではそれも意味がない。

何故なら、この現実の中で生きていく為に最も必要なことが“努力の継続と忍耐”(ひらたくいえば悪足掻き)くらいしか無いからだ。

つまり心機一転などというものは気休め程度の効果しか無いのであるが、本当に苦しいからこそ気休め程度でも何か欲しいと思うのかもしれない。


というわけで新年早々つまらない現実を一つ。


Intelのプロセッサチップに根本的な設計上の欠陥が発覚
https://gigazine.net/news/20180103-intel-processor-design-flaw/

記事によると、少なくとも現在稼動する全てのIntel製CPUを搭載するコンピュータが影響を受けるようだが、その影響の範囲と深刻度は、私の知識と経験では計り知れない。

理由は影響の範囲が広すぎ、また、問題が現実の被害を発生する条件がいまのところあいまいにしか私に理解出来ていないからだ。

だが、もしこの問題を利用して利益を得る方法が確立されたならば、問題を修正していないあらゆるコンピュータは、情報漏えいや乗っ取りなどされ放題になるだろう、程度の予測は出来る。

この問題から逃れるにはOSの根幹に関わる部分に修正が必要で、これはコンピュータの処理能力に少なくない重荷となるため、性能低下が免れないという事だが、さもなければ問題を解決したCPUに交換するしか方法が無いというのだから、一般の消費者には事実上逃げ道が無い。


折角の正月なのに、現実という輩は現実逃避さえさせてくれないのか。

尤も、それは往々にして自分自身にも問題があるのだが。


それはともかく、この手の問題は例外なんてものを見た事が無い。

従って、AMDやARMなんかでも、発覚していないだけで潜在的に持っているのでは、と思う。


コンピュータに関わる問題は常に身近に存在し、生活に密着する技術であるがゆえに逃げることが適わない問題である。

心機一転というのなら、こうしたコンピュータセキュリティの問題に対する心構えをリセットし、慢心する事がないよう、初心を忘れずこれまで以上に情報収集と勉強に努めるべきであると思う。


nice!(2)  コメント(0) 
共通テーマ:パソコン・インターネット

お粗末すぎるWindows10の顔認証 [セキュリティ]


Windows 10の顔認証機能は赤外線写真の低解像度カラーコピーでだませることが判明
https://gigazine.net/news/20171222-windows-10-facial-recognition-bypassed-with-photo/


お粗末。

他に言葉はない。



nice!(1)  コメント(0) 
共通テーマ:パソコン・インターネット

他人の財布で [セキュリティ]


“顔パスで乗車”、上海の地下鉄が率先して採用
https://pc.watch.impress.co.jp/docs/news/yajiuma/1095207.html

中国ではスマートフォンを使った電子決済が普通になりつつあるが、今後顔認証による電子決済が普及する可能性が出てきた。


しかし顔認証はすでに簡単な方法で他人に成りすます方法が確立されている。

今のところはそれを公衆の面前で行う事は難しいかもしれないが、いずれそれも可能になるだろう。


従って、もしこれが実際の金銭支払いに適用されるようになれば、いずれ他人の財布で自由に買い物が出来るようになると思われる。


既存の生体認証技術はもう役に立たない?
http://17inch.blog.so-net.ne.jp/2017-11-28

nice!(1)  コメント(0) 
共通テーマ:パソコン・インターネット

既存の生体認証技術はもう役に立たない? [セキュリティ]

コンピュータを用いた“鍵”という装置は、単純な電磁式ロックから暗証番号を入力するもの等、過去に色々と開発されてきた。その中でも究極の鍵と言われた“生体認証”。出た当初は個人の識別にこれ以上安全な方法は無いとまで言われたが、現在では指紋や虹彩による生体認証は破ろうと思えば比較的簡単に破られる事が実証されている。

そんな事があってなのか、それとも単に利便性を追求、或いはコストダウンのためなのか。
もしかすると単にデザイン上の理由かもしれないが

Appleの最新携帯端末である“iPhone X”は、目玉機能として顔認証「Face ID」を搭載した。Appleによれば、「Face ID」は人間の顔を3次元データとして取得する事で、極めて強力なセキュリティ機能を単に画面を覗き込むだけという簡単さで可能にする“はずだった”


3Dプリンター製マスクでiPhone Xの顔認証「Face ID」を突破するムービーが公開中
https://gigazine.net/news/20171128-iphonex-face-id-mask/


iPhone Xの「Face ID」は発売が始まる前から色々言われていて、販売が始まってすぐに似通った顔立ちの他人でもロックを解除出来る例がネット上のニュースになり、このニュースの後にはメガネや付け髭、ゴム製のマスクを被るなどの方法でも解除出来るという実証実験も行われて来た。

しかしこれらの方法は成功する確率が低く、また他人が任意にロックを解除する方法としては少々敷居が高い。

だが今回公表された方法は低コストかつより高い確率でロックを解除出来る方法だ。

監視カメラなどを使って顔の3Dデータを取得し、3Dプリンターで精巧なマスクを作るだけなのだから。


この方法は個人では依然敷居が高いとはいえ、費用的にやろうと思えば出来る程度のコストであるし、本格的にセキュリティを破ろうとする組織が相手ではなおさら、役に立たない事が実証されてしまったと言える。



こうした例からみても、既存の生体認証技術はもう役に立たないのかもしれない。




iPhone Xの顔認証機能「Face ID」でスマホをロック解除すべきではない理由
https://gigazine.net/news/20170914-unlock-phone-face-id/



nice!(1)  コメント(0) 
共通テーマ:パソコン・インターネット

指摘されたからやめるとは(以下略 [セキュリティ]

Androidは位置情報サービスをオフにしてSIMカードを抜いているユーザーでも追跡することができる
https://gigazine.net/news/20171122-android-send-location-data/

まあ、タイトル通り利用者が拒否しても無駄だった、というGoogleによる個人情報の無断取得。
今回は「位置情報」だけ、という事になっているが。


記事では事態が発覚した後にGoogleは「情報の送信をやめる」、と言ったらしいが、これは裏を返せば“バレなければ何やってもOK”という事の裏返しである。

従って、この手の「個人情報の無断収集」は当たり前であるという事。


もはや無法状態。

やったもん勝ちで誰かに迷惑かけても自分だけが得をすれば万事OKという世界。

ダメだこりゃ。


ところでFirefoxを古いバージョンのESRに戻した私は、現在とても幸せを感じている。

こう書くと色々と勘違いされそうだが、これは「Firefox 57によって利用したいアドオンがほとんど使えなくなってしまった」事がそれだけストレスになっていた、という事であり、別に他に楽しみが無いわけではない。

要はそれだけ、厳選したアドオンを利用し整備した環境の使い勝手が優秀すぎた、という事だ。

ただこれもあと6ヶ月ほどの猶予しか無いが。



nice!(1)  コメント(0) 
共通テーマ:パソコン・インターネット

ボクハブタデス [セキュリティ]


LG製お掃除ロボットに脆弱性、室内を覗き見可能
https://pc.watch.impress.co.jp/docs/news/1088845.html

IoTと称する“何か”が、ゴキブリのごとく繁殖しつつある昨今。

特に大したモンでもなく、益体も無いゴミが何故これほどまでに有難がられているのか私には理解出来ない。


可能性や利便性を説きつつもデメリットに一切言及しない業界と、一方でそれを真に受ける消費者。

豚舎でエサを撒く人とブタの構図にしか、私には見えない。だがこうしたコトが時として様々なイノベーションを生む事も事実で、私自身も豚舎で飼育されている一匹のブタである事を考えると、否定一辺倒というわけにもいかない。


が、私はただのブタで終わりたくはない。

そう思うからこそ客観的な視点でこうした事象を見て、何か問題があれば対処を考えようとも思う。

何もしなければただのブタであり、一方的に搾取されるだけでなく、人間性すらも失うことになるだろう。


今回ネタとして取り上げた記事のような事例は、今後IoT機器の普及と共に無限に増殖していく。

何も知らず、何も考えず、ただエサを食むだけのブタになりたくなければ、都合の悪い事実を無視しないようにするべきである。


nice!(1)  コメント(0) 
共通テーマ:パソコン・インターネット

WiFiの脆弱性問題 [セキュリティ]

最近無線LAN(WiFi)の脆弱性問題が発覚して話題となっているようだ。


Wi-Fiを暗号化するWPA2に脆弱性発見
http://pc.watch.impress.co.jp/docs/news/1086255.html

あらゆる端末が影響を受けるWi-Fiの脆弱性はパッチ対応可能
http://pc.watch.impress.co.jp/docs/news/1086388.html


この問題の大半はいわゆる“子機”が対象であり、“親機”である無線LAN機能を持つルーターなどは一部例外を省き対象外である。

つまり無線LAN機能を持つパソコン、プリンター等の周辺機器、スマートフォン等のモバイル端末、IoT家電など、あらゆる無線LAN機能を持つ端末がその対象となる。

対策方法は記事にあるように、対策パッチが施されたファームウェアにアップデートする事だ。
だが、アップデートのサポートが事実上存在しない端末や、端末の所有者がアップデートをしないケースを考えると、世界中に存在する端末の大半が未対策のまま使われ続ける事になると思う。

こうした事を踏まえて考えると、一般の消費者は「可能ならファームウェアのアップデートをする」「対策できないスマートフォンなどは公共無線LANを可能な限り使わない」「安価な端末は対策済みの端末に買い替える」などの対策が出来るが、これは端末の所有者がこの問題と対策について知識がある場合に限られる。
この脆弱性を利用した犯罪の被害に遭いたくなければ、自ら学び自衛するしかない。

※ただし未対策の端末も永遠に使われ続けるわけではない。何時か壊れたり交換される日が来れば、次第に未対策の端末は減って行くだろう。


まあ、それ以前にセキュリティが“ザル”の無線LANルーターが約4割と言われる日本国内事情を考えれば、まずはそっちを対策しないとダメだろう。

日本のルータ4割に脆弱性、のっとりも容易
http://news.mynavi.jp/articles/2017/10/15/iot/


IoTの夢が青写真通りに実現する日は遠い。というか永遠に来ないかもしれない。


10/19追記

Wi-Fiを脅かす脆弱性「KRACK」、各社の対応状況は
https://japan.cnet.com/article/35108863/

上記リンク先の記事通り、Windows 7/8.1/10は2017年10月のWindows updateで対策済み。他はLinuxの一部のディストリビューションが対応済みで、他はほとんどがこれから対応予定のようだ。


nice!(1)  コメント(0) 
共通テーマ:パソコン・インターネット

安全ってなんだ? [セキュリティ]

マルウェア感染メールの割合が6カ月連続増加
http://www.security-next.com/086523

相変わらずコンピュータセキュリティの脅威は拡大の一途をたどっている今日この頃。

アメリカではロシア製のセキュリティソフトがハッキングに利用され、国家安全保障局の情報が盗まれたとか。

・・・まあ、ロシア製ですから。


一般人の我々が直接狙われる事は確率的にそれほど高くはないとはいえ、不特定多数を狙う攻撃には日常的に遭っているワケで、今日何も無かったからといって明日もそうだとは限らない。


注意は怠らない事だ。


nice!(1)  コメント(0) 
共通テーマ:パソコン・インターネット

Bluetoothで他人のスマホやパソコンを乗っ取ろう! [セキュリティ]

私は、今日見つけたこの記事によって、Bluetooth経由でスマートフォンやパソコンを乗っ取る事が可能という事を初めて知った。

Bluetooth経由でスマホからPCまで乗っ取れる攻撃手法が発覚
http://pc.watch.impress.co.jp/docs/news/1080650.html


パソコンにしろスマートフォンにしろ、Bluetoothを常にONにしっぱなしという人は少なくないと思う。

そのような人は、Bluetoothを使わない時は常にOffにするクセを付けた方が良さそうだ。
また不特定多数の人が出入りするような場所では、不用意にBluetoothをONにしない方が良い。

さらに記事によれば、これら以外にも乗っ取りの危険があるものが挙げられている。


“Armisは、BTは短距離通信のためのもっとも普及したプロトコルであり、BlueBorne攻撃は、現在世界に存在する一般的なPC、スマートフォン、TV、時計、車、医療機器など、82億を超えるBT対応の全デバイスに影響を与える可能性があるとしている。”

以上、記事からの引用。

もしこれらが乗っ取られたならば、社会にどのような混乱が起きるのか。

想定される混乱の規模が大きすぎて怖い。

nice!(1)  コメント(0) 
共通テーマ:パソコン・インターネット

きっと誰かが [セキュリティ]

平均年齢は60代? IT部門が直面する現実と忍び寄る変化
https://japan.zdnet.com/article/35105748/


誰もやりたくないし、やらなくても誰も困らない。きっと誰かが勝手にやってくれるから。

パソコン或いはスマートフォンを使う人は日本国民のほとんど全てかもしれない時代となった今、自らが毎日使うモノの維持管理に関して一般人の本音はこんなところだろう。


これが“常識”の世界にあって、その常識に埋没する彼らの、一体誰がデジタル土方とも言われるIT技術者になどなりたがるのか?

また、“神が降りるかなにか”して壮大な勘違いをしたままIT技術者になったとしても、すぐにやめてしまうか、生活のために無能なまま仕事を続ける人が少なくないのだろう。

IT技術者が不足する問題の根底にはとても多くの理由が埋没しているが、社会全体のこうした“常識”がその根底に存在し、あらゆる原因の根っこになっているのは間違いない。


このような状況でも、使命感に燃え現在のITを支える技術者が存在し、その平均年齢が60代?という事は、今ほど平和ボケが重症化していなかった時代に教育を受けてきた人が最後の砦になっているという事か。

彼らが引退した後、その後を引き継ぐ人材が少ない事が非常に深刻である。


ちなみに2020年の東京オリンピックに合わせて、今後「セキュリティ要員」とやらが大量生産されるという(彼らがどの程度役に立つかは甚だ疑問だが、居ないよりは遥かにマシとは思う)。

記事ではこれによる“2025年にセキュリティ要員の余剰”を心配しているが、大丈夫。

彼らの大半はオリンピック後すぐに他の仕事へ鞍替え(或いは元の仕事に戻る)する。

バブルになってもその崩壊後の影響は一時的なものか、或いはほとんど無いだろう。


まあ、これをきっかけに大量生産されたまがい物の中から一人でも多く、本物に生まれ変わる人材が出て来るといいな、とは思う。



セキュリティ問題、ブヒブヒ
http://17inch.blog.so-net.ne.jp/2016-03-06

昨日の続きブヒ
http://17inch.blog.so-net.ne.jp/2016-03-07

セキュリティ問題は今後増える事はあっても減る事は無い
http://17inch.blog.so-net.ne.jp/2016-04-14

IoTの“Mirai”
http://17inch.blog.so-net.ne.jp/2016-10-26-1

年々セキュリティ意識や倫理観が低下する理由
http://17inch.blog.so-net.ne.jp/2016-12-23

これが現実
http://17inch.blog.so-net.ne.jp/2017-02-10

おいしいとこ取りは駄目
http://17inch.blog.so-net.ne.jp/2017-02-24

気が狂ったかのように続けている
http://17inch.blog.so-net.ne.jp/2017-03-01

ITとOTを考える
http://17inch.blog.so-net.ne.jp/2017-03-29



nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

制御不能 [セキュリティ]

先日Micro$oftは、Micro$oft $toreのストアアプリのみ利用可能なWindowz10Sを出したが、これのメリットとして“安全なアプリ”のみが利用できる事でよりセキュリティ向上が図れるという説明をしている。そしていずれは他のWindowzもストアアプリの利用をもっと促進させるための手立てを、今以上に押し付けてくるに違いない。


OSと結びついた閉鎖されたストア内でのソフトウェア配布は、元々スマートフォン向けOS用にAppleのApp StoreやGoogleのGoogle Play(Android Marketから改称)が始めた事で、両社はこの仕組みにより莫大な利益を上げている。

要はMicro$oftもこれで金を稼ごうという事で、セキュリティなどは単なる飾りなのだ。

何故ならApp StoreやGoogle Playで配信される安全なはずのアプリが、実はマルウェアに感染していたという事例は少なくないし、こうした事が起きる度に対策しますと両社は言うが、実際に対策出来た例がないからだ。


Android端末を踏み台にしたDDoS攻撃発生 Google Playに300本の不正アプリ
http://www.itmedia.co.jp/enterprise/articles/1708/29/news052.html

スパイウェアを仕込むSDK、Google公式ストアで配信のアプリ500本が利用
http://www.itmedia.co.jp/enterprise/articles/1708/23/news043.html


結局こんな感じで、マルウェアの浸透を制御できていない。

そして現在のマルウェアは発見されない事が重要なので、こうして見付かるモノは全体の一部でしかない。正に氷山の一角なので、実際にはもっと多くのアプリが感染していて、それと知らずに使っている人は非常に多いのではないかと思われる。


だから、今は利用者が少なく攻撃者にとってメリットが薄いMicro$oft $toreだが、もしApp StoreやGoogle Playのように繁盛するようになったとしたら、或いは繁盛しなくてもなんらかの攻撃するメリットが生まれたとしたら。


Micro$oft $toreも現在のApp StoreやGoogle Playのように、表向きは平和で安全な様相を呈しながら実際には混沌と危険が渦巻く世界になると思う。



nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

ネット依存社会(病気) [セキュリティ]

「ネット依存症」という言葉がある。

大抵の日本人ならば聞いたことがあるだろう。

そして今日こんなニュースが。


ネット障害 国内各地で発生 総務省など情報収集
https://mainichi.jp/articles/20170825/k00/00e/040/278000c

そして記事にはこうある。

「ツイッター」には「ネットワーク障害で仕事が何もできない」といった書き込みが続々と寄せられ(以下略)


・・・

ネットが使えないだけで仕事が出来ないとは、私の常識ではありえない。
そもそも何故、ネットがないと仕事が出来ないような仕組みが存在するのか。

昨今、コンピュータ業界ではクラウドやWebアプリなど、インターネットへの接続を前提としたサービスが増えていて、さらにそれを利用する事を前提としたソフトウェアが主流となりつつあり、こうしたソフトウェアの利用を業務の中核に置く企業は少なくない。

そのおかげでインターネットが使えない=仕事が出来ない、となるわけだ。

これは社会がネット依存症になっていると言えなくないだろうか。


インターネットがどういう形で存在しているのか、そしてインターネットの動作がどういった事と引き換えに担保されているのか。
それを知っていれば、インターネットが使えなくなると困るような状況を受け入れる事など出来るはずもないというのが私の考え方だが、どうやら世の中の常識で言えば私の考え方は非常識極まりない、狂人のたわごとらしい。

が、現実はこんなものなのだ。



nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

Type-Cケーブルはクラック出来るのか [セキュリティ]


先ほど「USB Type-C ケーブルは何を買えば良いのか」という記事を投稿したばかりだが、記事を書いている間気になった事があったので別記事として書く事にした。


その気になる事とは、USB Type-CケーブルがCPUとメモリを内蔵する「一種のコンピュータ」になった事で、コンピュータにマルウェアを仕込む手段に悪用されるのではないか、という事。


例えばCypressというメーカーの「EZ-PD CCG3PA コントローラー」というE-Markerチップには、「ARM Cortex-M0」というCPUが内蔵され、64KBのフラッシュメモリと4KBのRAMを持つ。そしてフラッシュメモリの内容は書き換えが可能で、仕様に合わせたプログラムを書き込む事で製品バリエーションを作ることが可能らしい。

この仕様を悪用し、コンピュータにケーブルを接続しただけでマルウェアのダウンロード・インストールをする事は不可能ではないと私は考える。

もちろんほとんど全てのE-Markerを搭載するUSB Type-Cケーブルのセキュリティ対策は行われているだろうが、逆に穴がゼロの製品は存在しないと思う。それにケーブルのクラックに成功しても、デバイス側のUSB PDコントローラやデバイスドライバ、OSのセキュリティ対策など、クリアしなければならないハードルは数多いため、技術的に可能だとしても経済的に割が合わなければやる意味は無いが、今後USB Type-Cケーブルが標準となれば、その流通量の多さから今は無理でも将来はどうなるかわからない。
それにE-Markerチップの海賊版を作ってより高性能なCPUと大容量のメモリを積んだ「マルウェア書き込み済みケーブル」が販売されれば、市販のケーブルをクラックするよりも楽にマルウェアをバラまく事が出来る。


世の中便利になれば、相応に新しい問題が出るものだ。
特にコンピュータ関係の問題は物理的な障壁がほとんど無いために、犯罪者にとっては楽に金儲け出来る道具とされやすい。


まあいくら心配したところで、将来この心配事が現実にならない事を祈るしか、今の私に出来ることはないが。



nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

子供のオモチャから個人情報流出、そして誘拐事件に発展の可能性 [セキュリティ]

ぬいぐるみから80万人のユーザー情報が流出、つながる玩具に警鐘
http://www.itmedia.co.jp/enterprise/articles/1703/02/news107.html

スマート玩具に脆弱性、個人情報や子どもの居所情報流出の恐れも
http://www.itmedia.co.jp/enterprise/articles/1602/03/news065.html


少々古い記事だが、これらの記事によると最近はスマートフォンから子供にメッセージを送ったり出来るオモチャがあるらしい。いわゆる「IoT」を応用したものの一つというわけだが、そのおかげでオモチャを持つ子供と、子供の周囲に居る人たちの個人情報が流出しているという。
記事によると、オモチャということでセキュリティに関する配慮や対策がまったくされていないらしい。

オモチャから個人情報が盗まれた所で困ることはない。

そう考える人は多いと思うが、親子のやりとりというものは犯罪者からすれば身代金目的や人身売買目的のターゲットを探すための非常に有用な情報なわけで、記事中には実際に身代金の請求があったような記述も存在する。

特に人身売買の場合、顧客からの注文に応えるための情報収集は重要だし、ターゲットがいつどこに居るのか把握できれば誘拐も楽になる。


さらに、自分の子供とのやりとりを通じて他人の子供の情報までをも流出させる事になるため、その場合には間接的に犯罪の片棒を担ぐことにもなる。


自分には関係ない。

私から見て、こういう考え方をする人は悪質な犯罪者と大した違いはない。


永遠のランサムウェア [セキュリティ]


今日、一月ほど前に大流行したランサムウェア、「WannaCry」の活動が今現在でも続いていて、つい最近も日本国内の自動車生産工場が約一日の間、操業停止に追い込まれたという記事を読んだ。

これに関連する情報を探すと、次々と関連情報が出てきた。

以下はこの時見つけた記事へのリンク。


ランサムウェア「WannaCry」がいまだに消滅しない理由
https://japan.zdnet.com/article/35103374/


これからも生き残るWannaCry--ランサムウェアとワームの"顔"からみる理由
https://japan.zdnet.com/article/35103419/


WannaCryには真の目的があった?
http://news.mynavi.jp/articles/2017/06/27/mcafee/


また大規模ランサムウェア攻撃、世界各地で被害--今度は「GoldenEye」
https://japan.zdnet.com/article/35103415/


ランサムウェア「SamSam」、3万ドル超の身代金要求も--研究者らが注意喚起
https://japan.zdnet.com/article/35103365/


世界で新手のランサムウェア攻撃が多発、重要インフラや大手企業も被害
http://www.itmedia.co.jp/enterprise/articles/1706/28/news058.html


以上。他にも色々あるが、興味がある方は自分で調べて欲しい。

これらの記事の中で、WannaCryに限ってはいまだにその影響が消えていない事が意外だった。

とはいえ、私が意外に感じたのは自分の常識に縛られた感覚で見た話で、逆に世の中の常識で見るとごく当たり前の現象だと納得出来る。

それは何が起きたとしてもまったく変わらないコンピュータセキュリティに対する大衆の甘い考えと、無知と無関心がその根底にあるからだ。

そしてこの問題は日本の場合さらに深刻だ。


セキュリティ対策の不都合な真実--5年に一度しか来ないベンダーの正体
https://japan.zdnet.com/article/35102509/

この記事には以下のような文がある。(以下記事よりの抜粋)


ユーザー企業にセキュリティマネジメントができる人材がいないのと同様に、セキュリティ製品を提供しているベンダー側にも該当する人材がいないか、いたとしても非常に少数だからである。

(中略)

「機能もしないセキュリティ対策製品に多くの投資をしていたのか」と企業の読者は、憤りを覚えるかもしれない。しかし残念ながら、これが日本におけるセキュリティ対策の現状だ。


以上抜粋終わり。

こうした現状が日本の常識となって固定しているので、常識から外れた“砂中の一粒”でしかない私のような者達がいくら警告しても、“ぬかに釘”どころではないのも当然である。



相変わらずのバイドゥ&Simeji [セキュリティ]

ここしばらく黒翼猫という方のサイトを訪れていなかったが、今日訪れてみるとこんな記事が上がっていた。


Simeji IME / Baidu IMEのインストーラーに脆弱性→調べたら直っていなかった件
http://blog.livedoor.jp/blackwingcat/archives/1950649.html


毎度の事だが、Baiduのアプリケーションは悪質なサイバー攻撃となんら変わりないと、個人的には思う。

この記事には元ネタとしてこんなサイトのリンクも貼ってあった。


「Simeji」のWindows向けベータ版インストーラーに脆弱性
http://forest.watch.impress.co.jp/docs/news/1064154.html

[Simeji Windows版(β)]文字入力システムのインストーラにおける DLL 読み込みに関する脆弱性
http://jvn.jp/jp/JVN31236539/


これらのサイトは私が定期的にチェックするサイトではないために見逃していた。

しかしほぼ毎日チェックしているサイトにBaidu IMEとSimejiに関するこの問題の記事がまったく無かったのはどういう事か。過去に私が記事を消されたり、Wikipediaの記事が何度も繰り返し修正されたりした事と無関係には思えない。
影響力の強いサイトにはBaiduに都合が悪い情報を載せないような、なんらかの影響を与えている可能性があるという事だ。

bsmondai.png
グーグルで検索してもほとんど出てこない(たったの3件だけ、他は過去の話題のみ)

今回は問題を修正しましたという嘘を発表するが、すぐに何もしていない事が発覚。
やってない事をやったと主張するなど悪質極まりないし、問題の内容を考えると故意にやっているとしか思えないのだが。

Baidu IMEのインストーラーに脆弱性、今度こそ直したよ!→調べたら何も直っていなかった件
http://blog.livedoor.jp/blackwingcat/archives/1950691.html


まあこういうお粗末な所があるのが中国企業らしいといえばらしいが、注意深い人でなければ恐らくこうした表面的な情報に目を奪われて、実は他の問題から目を逸らせる方便である可能性を考える事も無いだろう。

バカを装って影でコソコソと何かやるというのは、多少頭の回る者ならば可能な事だ。


なんにせよ、セキュリティに関する情報を日頃から注意して調べている私ですら気付かなかったニュースである。

こうした事にほぼ無関心の者は、知らないのだからBaidu IMEやSimejiをなんの疑いもなくインストールすることだろう。

また知ったとしても「自分には関係無い」と判断してインストールする事もあるかもしれない。

サイバー攻撃を仕掛ける者は、こうした大衆の無知と無関心を最大限に利用した攻撃を行う。

多少の問題発覚はBaiduにとって行動になんら制限がかからないどころか、むしろ相手の油断を誘うエサになっている。なにしろ過去にあれだけ騒がれても利用者が少なくないのだから。


Baidu(バイドゥ・百度)の「Baidu IME」及び「Simeji」によるサイバー攻撃は、今後も確実に成果を上げ続ける事だろう。


私は日本語入力に、Windowsの場合ジャストシステムのATOKを、Androidの場合はオムロンのWnnを強く推薦する。

Windowsの場合MS IMEの開発がMicro$oftの中国国内の開発室なので、標準搭載の日本語IMEの使用には注意が必要だ。


ATOK
http://www.atok.com/


Wnn Keyboard Lab
https://play.google.com/store/apps/details?id=jp.co.omronsoft.wnnlab&hl=ja



アクマノスウジ [セキュリティ]

記事を書こうと思ってログインしたらこんな数字が。

kemononosuji.png

「666」が悪魔を表す数字だとかいう迷信を思い付いたカルト教信者に乾杯。
そしてその被害者には哀悼を。


私の感覚ではコレに相当するのがLINE。
血が流れないからわかりにくいが、それこそ理解していてやっているのだろう。

LINEがスマートスピーカー「WAVE」発表、内閣府協業の行政サービス連携も
http://ascii.jp/elem/000/001/500/1500108/

・・・韓国の国策企業(=スパイ)が日本の内閣府とツルんで事業とか。

しかもCEOに日本人の名前が出ている所が笑える。


まあ、アレだ。

○○に念仏という言葉の意味を身に染みて実感する事が多い今日この頃。

これもそういう類の話なのかと、諦めと共にどうすればいいのかと考えさせられる。

○○テクとかいうので世渡り上手と誤認する連中が、○○相手にそれが通用するからといって増長した結果がコレだ。

それを止められない、○○の既知の外に居る者共も者共だが、彼らは彼らで色々あって仕方ないとも。結果だけ見れば仕方ないでは済まないのだが。


いずれにせよ外国の国策企業は、その影響力を利用して敵対国の中枢にアクセスする手段をまた一つ得たという事だ。

どの組織も中枢がボンクラ揃いである以上、気付いている者は自己防衛するしかあるまい。

全体の1%に満たない者が全国に散らばっている現状、国政には無に等しい影響力しか無いのだから。


感染した人は泣きたくなるのかもしれない [セキュリティ]

欧州で感染が報告されたのは5月12日、日本では昨日の5月13日土曜日に感染したコンピュータが確認された新しいランサムウェアが、現在日本をはじめ世界中で猛威を振るっているという。

感染経路は今の所よくわからないが、今年4月にも同種のランサムウェアがDropboxのURLを悪用して拡散した例があるらしい。
※5/15追記。感染経路は主にメールのリンクや添付ファイルである模様。


今回影響を受けている環境は、主にWindows Xp、Windows 8、Windows server 2003等の、すでにサポート切れとなったOSが動作しているコンピュータらしいが、該当しないOSを使っているからといって安心は出来ないと思う。
※追記。今年3月から4月のWindows updateを適用していないWindows 7 / 8.1 も影響を受ける。
※5/15修正。


また、このランサムウェアには「WannaCry」という呼び名が付けられているらしい。
このランサムウェアには英国の国営医療機関がやられて機能停止したらしいので、そりゃ泣きたくもなるだろう。


なお、WannaCryについての情報は、現時点(5/14 13:30)であまり情報が出ていない。

情報不足でわからない事が多いが、感染させる手法は何もサポート切れのOSに存在する脆弱性を突く事に限らないので注意しよう。



15日は不審メールに要注意、業務停止の可能性も
http://news.mynavi.jp/articles/2017/05/15/ipa/

5月15日月曜日は特に厳重注意! - ランサムウェア「WannaCrypt」の攻撃
http://news.mynavi.jp/news/2017/05/14/135/

世界中サイバー攻撃・被害は99の国・地域で7万5000件以上
http://e.jcc.jp/news/12223760/

「NSAのハッキングツール」新たに大量流出 Windowsの脆弱性悪用も
http://www.itmedia.co.jp/enterprise/articles/1704/17/news051.html

マイクロソフト セキュリティ情報 MS17-010 - 緊急
https://technet.microsoft.com/ja-jp/library/security/MS17-010


ITとOTを考える [セキュリティ]

IoT時代のセキュリティを考える(2) : 安心への取組みと課題
http://blogs.mcafee.jp/mcafeeblog/2017/03/iot2-bf9d.html

今日、このような記事を読んだのだが、記事中に

「情報システム(IT)側とモノ(OT)」

という言葉が出ていて、ITはともかく“OT”とはなんだろう?と思って調べた。


すると「OT(Operational Technology)」という言葉が見付かって、恐らくこれだろうという推測を元にこの記事を書いている。

この“OT”、要はIoTにおける最終到達点である「各種の機器を動かすための技術」である。
(物理的な最終到達点はそうだとしても、論理的な最終到達点が“収益”である事は微動だにしないだろうが)

例えば自動車。
自動車は動力となるエンジンの力をタイヤに伝えて動くが、人間はエンジンの力を制御(アクセル)しなければならないし、進行方向を自在に決めるためには舵取り装置(わかりやすく言えばハンドル)も必要だし、停車した場所に自動車を停止させるためにはブレーキが必要だ。
これらの制御に必要な全ての機械的な構造とそのための技術が「OT」である(OTの定義には“高度化”の装飾語が付くが、例えば1970年代頃の自動車でもその機構は1800年代に出た初期の自動車と比べ比較にならないほど高度化していて、その基本は40年以上過ぎた現在でもほとんど変化していない)。
この自動車の例では「IT」が一切入っていないが、これに各種のアシスト(自動運転はその究極形態)を情報通信の技術によって加えるとIoTとなる。

記事中ではコンピュータセキュリティのブログらしく、ITの存在しない時代のOTとして「電車の自動停止装置」を例に出して話をわかりやすくしようとしている。


この件に関する論点は恐らくいくつでもあるだろうが、記事ではIT側とOT側がそれぞれにもう一方の事情を理解しないまま仕事をする事が問題であり、ITとOTの融合であるIoTの前にそれぞれの側にいる人の融合が必要だと書いている。

この問題を身近な例で例えるならば、縦割り行政の弊害とか、もっと身近な例では日常における人間同士の不仲も本質的には同じだと思う。要は自分の事ばかり考えて相手を理解する努力を怠るとロクな事にならないというワケだ。


とはいえこの問題、だからお互いに仲良くやろうと、そうは簡単にいかないから最先端のIoTでも問題になるわけで。

ある歴史の研究者によると、人類は精神的に4000年以上前からまったく進歩が無いらしい。
これは昔から自己厨が多く、それをたしなめる言葉や問題解決のための知恵が4000年以上変化していないという事が根拠となっていて、記事の最後にある「体験を共有する」などの方法も恐らく4000年以上前から行われている問題解決手段なのだろう。

まあ、どんなに技術が進歩しようとも人間は人間のままという事か。




参考記事:


融合するITとOT
http://itpro.nikkeibp.co.jp/article/COLUMN/20110817/365421/

2012年の展望:ITとOTの整合性確保がもたらすリスクと機会
http://www.gartner.co.jp/b3i/research/120904_inf/

融合するITとOT 広がる大革新の可能性
http://www.nttcom.co.jp/comware_plus/trend/201504_2.html


みんな見て見ぬ振り [セキュリティ]


中国製のネットワーク端末にバックドアの存在が発覚、IoT時代の大問題になる可能性
http://gigazine.net/news/20170306-dbltek-backdoor/


IoTの描く夢は大きいが。


古い時代に起きた類似の例といえば電気式の洗濯機とか。

まさか洗濯機で人が死ぬとは夢にも思わなかっただろう、当時の人達は。

気が狂ったかのように続けている [セキュリティ]

私は「コンピュータセキュリティの教育は義務教育でやるべき」と考えている。

誰もが当たり前にコンピュータを持ち、常時インターネットに接続し、情報のやりとりをしている以上、コンピュータセキュリティに関する知識を持っていませんでしたでは済まされない時代だと思うからだ。

が、現実は教える側の知識不足と意識の低さがこれを阻害している。

そもそも親が子供に教えるべき範疇のはずだが、その親が無知で無関心で無神経と来ている。
そりゃ、子供もそーなるワケだ。
そのうえ監督すべき国家機関自体がこうした一般人と同レベルというお粗末さ。
もう処置なしといえよう。


だが(専門家以外で)一握りの人間でも、この現実に危機感を持ってコンピュータセキュリティについて学ぶ事を死ぬまで続け、その成果をもって可能な範囲で周囲に働きかければ、少なくとも何人かは興味を持って学んでくれるかもしれない。
経験上無駄としか思えないが、それでも私はそれを気が狂ったかのように続けている。
望ましい変化が起きる可能性はゼロではないと信じて。


というわけで、現状の一端を知る意味で以下の記事は必見である。


Androidの“正規アプリ”4種にスパイウェア混入
http://techtarget.itmedia.co.jp/tt/news/1702/20/news01.html

数分で破られた「iOS 10」ローカルバックアップパスワードの脆弱性
http://techtarget.itmedia.co.jp/tt/news/1702/23/news03.html


まあ、読んだところで理解出来る人は限られるかもしれないが、記事のタイトルだけでも記憶し、その意味を考える時間を少しでも持ってもらえたのなら幸いである。


おいしいとこ取りは駄目 [セキュリティ]


「アンチウイルスソフトは死んだ」発言の真意は
http://www.itmedia.co.jp/enterprise/articles/1702/21/news035.html


「アンチウイルスソフトは死んだ」。

こう言われるようになって久しい。ここ数日だけでもプラットフォームに依存しないJava scriptの脆弱性が見付かったり、半年放置され続けたWindowz10の脆弱性、そしてランサムウェアの拡大など、セキュリティソフトの存在をあざ笑うかのように様々な問題が露見し続けていて、しかもそれは氷山の一角でしかない。

記事ではこの「アンチウイルスソフトは死んだ」という言葉に対し、セキュリティソフトはまだほとんどの人にとって必要な対抗手段である事と、同時に他の手段が重要である事を説明している。


が、私が最も重要視したのは、記事の最後にあるこの言葉だ。

一番いけないのは、結論だけを追ってしまうこと。「もうウイルス対策ソフトは死んだから入れるだけ無駄!」「アンチウイルスが不要だってネットに書いてあった!」と、背景を理解せずに“おいしいとこ取り”をしないように。

世の中「おいしいとこ取り」する人やそれを煽る情報があまりに多すぎる。

そのおかげで様々な問題が起きているが、「おいしいとこ取り」している人はその事実に気付かない。
セキュリティ問題に疎い、ほぼ全ての大衆はこうした者達だ。

自分がなにやっているのかわからず、問題が起きれば他人事。(若しくは自己保身)

いやいや、それはあなたがやっている事だから。


これが現実 [セキュリティ]


2016年後半から日本でマルウェア急増、世界の中でも「最悪の状況」に
http://news.mynavi.jp/articles/2017/02/10/eset/

記事中にはこんな事が書かれている。

丸川珠代五輪相(政府のサイバーセキュリティ戦略本部副本部長も務める)のサイトも被害に

丸川珠代五輪相(政府のサイバーセキュリティ戦略本部副本部長も務める)のサイトも被害に

丸川珠代五輪相(政府のサイバーセキュリティ戦略本部副本部長も務める)のサイトも被害に


まあ、政府からしてこの程度なのである。


他にも色々書かれているが、全部私がこのブログで警告している内容と被る。

素人の私が、専門知識も無しに理解出来る程度のことすら、世間では非常識同然に無視されているという事だ。

だから 日本でマルウェア急増、世界の中でも「最悪の状況」

などという事になるのだ。



ウイルス対策ソフトには害悪が存在 [セキュリティ]

数日前の記事だが、GIGAZINEにこんな記事が出ている。

「Microsoft以外のウイルス対策ソフトは害悪なので入れるべきではない」とMozillaの元開発者が告白
http://gigazine.net/news/20170131-stop-using-antivirus/

これには私も同意だ。

そもそも現在のセキュリティソフトは既知のマルウェア以外にはあまり役立たない。
未知のマルウェアに対する防御機能もあるが、これは誤動作が多いという弊害がある。
そして不要な機能が多すぎる。これが問題を起こす大きな要因。

ただ、記事のタイトルにもある「Microsoftのウイルス対策ソフト」もあまり信頼できない。
特にパソコンに対する負荷については、少なくともAVASTより確実に重い。
これは、以前ATOM系のCPUを使うWindowz10パソコンにAVASTを入れたところ目に見えて重くなったので、他に軽いセキュリティソフトをと思い「Windows Defender」に切り替えた。するとさらに重くなったという経験があるためだ。


まあ現実的に考えて、セキィリティソフトは入れなければマズイと思う。

しかしその為に入れない場合よりも多くのリスクを抱えるという矛盾はどうしたものか。

パソコンのおかげで色々便利にはなったが、セキュリティ問題にこうも手間を取られるという。

本当に、なんとかならないものだろうか。


まったくもってロクなものではない [セキュリティ]


DeNAとWELQ、DMM.comとはちま起稿、そしてLINEとNAVERまとめ。

どれもこれも、まったくもってロクなものではない。

何故彼らはこれだけの悪事を平然とやってのけるのか?

一番の問題はそのような手段を成立させてしまう消費者の無知と無関心という見方も出来るが、やはり最悪なのはそのような人達を食い物にするその精神的な異常性を持つ連中なのだろう。



「WELQ問題」責任者・村田マリ氏とDeNA社長の密接な関係
http://shukan.bunshun.jp/articles/-/6942

まとめサイト「はちま起稿」、DMM.comが運営していたことが判明
http://nlab.itmedia.co.jp/nl/articles/1612/28/news088.html

NAVERまとめ」に関する批判についてLINEが言及
http://japan.cnet.com/news/service/35094431/


年々セキュリティ意識や倫理観が低下する理由 [セキュリティ]

セキュリティの意識や倫理観は低下するばかり
http://www.itmedia.co.jp/enterprise/articles/1612/20/news115.html


この手の記事はほぼ毎年見かけるように思う。

この件に関して私が思う事は、このような変化はある意味当然であるという事。


何故かといえば、今や知識も経験も無い未熟な若者でも簡単に使える便利なデバイス・アプリケーション・サービス・社会的な流行や雰囲気などが物心付く前から存在するため、生まれたばかりの赤ん坊が自発的に産声を上げて肺呼吸を始めるように、そういった環境に慣れ親しんでいく人間が後から次々と増えていく事がまず理由の一つ。

そしてセキュリティ意識や倫理観の低下を加速させる要因として、この問題に危機感を持つ事が出来る人間が非常に限られるという現実の中で、危機感を持つ事が出来ない利用者が圧倒的多数になる事により、圧倒的多数の彼らの影響下にある子供達も当然に彼ら同様になり、またさらに劣化していくという悪循環を生み出している。

もちろんそのような環境の中で突然変異にように意識の高い若者が生まれている事も事実であるが、日本国内であればそのような例は100人に一人いるか居ないかという少数である上にピンキリでもあり、その中でピンに相当する者(最低でも私くらいには色々自分で調べて実行する)が100人に一人居たとしても、その中から周囲の人間に影響を与える事が出来る者はさらに100人に一人以下というように限られるため、その影響力はゼロに近いのも仕方の無い事かもしれない。(能力が高い者は、自分より低いと見做した相手に興味を持つ事は少ないため)

そしてさらに追い討ちをかける要素は、日常の中でこの問題について時間を割く事が難しい場合があることだ。

このブログで散々セキュリティに関する記事を書いている私ですら、仕事や私生活がちょっと忙しくなっただけでまったく手に付かなくなる。私の場合今年11月くらいから忙しさが増したおかげでブログの記事が随分減ったが、これは同時に情報収集や勉強の時間も減った事を意味する。おかげでWindows updateすら満足に出来ていない。(仕事用と自宅のメイン・サブPCだけはやっているが、それ以外の使用頻度が低い物は放置状態、というか電源すら入れていない、それ以前にMicro$oftが色々やらかしているおかげでWindowz updateの手間が大きすぎる事も問題だが)

こうなってくると当然にセキュリティに関する防備にも隙が出来るし、最新情報を得ていなければ未知の脅威に対する備えがまったく出来ないため、尚更危険である。


というわけで、セキュリティの意識や倫理観に関する問題は、問題の根本にあるデバイスやサービスの利用をするはるか以前、それこそ小学校に上がる前の頃から洗脳同然の教育が必要だと私は考える。何も知らないままメリットだけを受け入れたなら、後からデメリットを説明されても受け入れる事が困難だからだ。

従って大人に対する啓発などは非常に効果が薄く、無意味に近い。
だが現状を考えれば、無意味に近いことでもやらなければならない。

また、日本は社会に無駄があふれ返っている割りに人々にが余裕が無いため、例えるなら油の切れた機械を無理やり動かしてそこかしこでトラブルが起きている状態である。

この余裕の無さが様々な問題を生む大きな要因である事は明白で、それがセキュリティ問題や倫理に対する感覚マヒを引き起こす一因にもなっているように私には見える。
この問題の解決には人間本体の能力向上と社会的な構造問題の両方に対し同時にメスを入れなければ、片方だけやっても自動的に戻る力が働くので意味が無い。また意思を持って大衆にミスリードさせる力が少なからず存在するので、そういった勢力の弱体化も同時に行わなければならない。


まあ、この問題に対しては、どれほど無駄な足掻きと思えても出来る事はなんでもやる。どんな小さな事でも手を抜かない。そういう姿勢が必要だと思う。

それから同時に、影響する全ての要素を把握する広い視点を持つと共に、視界の広さを保ったまま細部まで把握する能力も必要かもしれない。


参考:

ITmedia エンタープライズ > セキュリティ
http://www.itmedia.co.jp/enterprise/subtop/security/index.html

マカフィー株式会社 公式ブログ
http://blogs.mcafee.jp/mcafeeblog/

Security NEXT
http://www.security-next.com/

JPCERTコーディションセンター
https://www.jpcert.or.jp/

他色々


さすがLINE社は韓国企業、著作権無視はやった者勝ちか [セキュリティ]

NAVERまとめに無断転載“された”側の訴え……「抗議への対応に驚愕」
http://www.itmedia.co.jp/news/articles/1612/12/news067.html


この記事によると、

“「NAVERまとめ」も、「コンテンツを無断利用された」と被害を訴える人が多いサイトの1つだ”

と書かれている。

私は意識して「NAVERまとめ」を利用しないようにしているし、そういう話を聞いた事が無かったので知らなかった。


また無断転載の被害に遭った方が転載された写真などを削除するように抗議すると、LINE側から自分自身の記事に“転載禁止の旨を追記すること”を求められたという。

これは「記事を書いた人が転載禁止と書かないのが悪い」という意味なのだろうか。

さすがはLINE。韓国企業なだけあって、著作権無視はやった者勝ちだと思っているのだろう。


追記:私が韓国企業を毛嫌いする理由の一部は、過去こちらに書いた。参考まで。

韓国企業は注意が必要
http://17inch.blog.so-net.ne.jp/2014-07-09


PWGen 2.9と日本語ファイル [セキュリティ]


PWGen_290.jpg

もう3ヶ月近くも前の事だが、PWGenが2.9にバージョンアップしていた。

日本語ファイルも2ヶ月前に作っていたのだが、公開するのを忘れていた。


携帯電話や家電などに留まらず、自動車すらもインターネットに常時接続される事が当たり前になりつつある昨今は、パソコンだけがネットに接続されていた時代と比較してコンピュータセキュリティに対する理解と備えがより重要になっている。

その基本的な対策の一つとして、パスワードの管理は極めて重要だ。


このパスワード問題、私の記憶にある限りもう20年以上ずっと言われ続けている事なのだが、20年前から現在に至るまで大衆の意識はまったく変化が無い。

現在はWeb上にある複数のサービスを利用するために、複数のパスワードを持つのが一般的だ。
このパスワードを安易なものとしたり、同じパスワードを複数のサービスで使いまわしたりという例があまりにも多く、そうした人達のパスワードは常に破られ続けている。


被害を防ぐには複雑かつ出来るだけ長いパスワードを重複無しで使い分ける必要があるのだが、パスワードをいちいち考えるのは意外と面倒な作業である。
そこでもしパスワードの設定が面倒だと思うのなら、この「PWGen」を使ってみると良い。

PWGenはパスワードを乱数によって自動生成してくれるので、例え100以上のサービスで全て違うパスワードが必要な場合でも簡単に全て違う安全性の高いパスワードを作る事が可能だ。


PWGen(2016年12月2日現在の最新バージョンは2.90)
http://pwgen-win.sourceforge.net/

PWGen 2.90 日本語ファイル
https://www.axfc.net/u/3747664.zip



前の30件 | - セキュリティ ブログトップ
メッセージを送る