So-net無料ブログ作成
検索選択
セキュリティ ブログトップ
前の30件 | -

感染した人は泣きたくなるのかもしれない [セキュリティ]

欧州で感染が報告されたのは5月12日、日本では昨日の5月13日土曜日に感染したコンピュータが確認された新しいランサムウェアが、現在日本をはじめ世界中で猛威を振るっているという。

感染経路は今の所よくわからないが、今年4月にも同種のランサムウェアがDropboxのURLを悪用して拡散した例があるらしい。
※5/15追記。感染経路は主にメールのリンクや添付ファイルである模様。


今回影響を受けている環境は、主にWindows Xp、Windows 8、Windows server 2003等の、すでにサポート切れとなったOSが動作しているコンピュータらしいが、該当しないOSを使っているからといって安心は出来ないと思う。
※追記。今年3月から4月のWindows updateを適用していないWindows 7 / 8.1 も影響を受ける。
※5/15修正。


また、このランサムウェアには「WannaCry」という呼び名が付けられているらしい。
このランサムウェアには英国の国営医療機関がやられて機能停止したらしいので、そりゃ泣きたくもなるだろう。


なお、WannaCryについての情報は、現時点(5/14 13:30)であまり情報が出ていない。

情報不足でわからない事が多いが、感染させる手法は何もサポート切れのOSに存在する脆弱性を突く事に限らないので注意しよう。



15日は不審メールに要注意、業務停止の可能性も
http://news.mynavi.jp/articles/2017/05/15/ipa/

5月15日月曜日は特に厳重注意! - ランサムウェア「WannaCrypt」の攻撃
http://news.mynavi.jp/news/2017/05/14/135/

世界中サイバー攻撃・被害は99の国・地域で7万5000件以上
http://e.jcc.jp/news/12223760/

「NSAのハッキングツール」新たに大量流出 Windowsの脆弱性悪用も
http://www.itmedia.co.jp/enterprise/articles/1704/17/news051.html

マイクロソフト セキュリティ情報 MS17-010 - 緊急
https://technet.microsoft.com/ja-jp/library/security/MS17-010


ITとOTを考える [セキュリティ]

IoT時代のセキュリティを考える(2) : 安心への取組みと課題
http://blogs.mcafee.jp/mcafeeblog/2017/03/iot2-bf9d.html

今日、このような記事を読んだのだが、記事中に

「情報システム(IT)側とモノ(OT)」

という言葉が出ていて、ITはともかく“OT”とはなんだろう?と思って調べた。


すると「OT(Operational Technology)」という言葉が見付かって、恐らくこれだろうという推測を元にこの記事を書いている。

この“OT”、要はIoTにおける最終到達点である「各種の機器を動かすための技術」である。
(物理的な最終到達点はそうだとしても、論理的な最終到達点が“収益”である事は微動だにしないだろうが)

例えば自動車
自動車は動力となるエンジンの力をタイヤに伝えて動くが、人間はエンジンの力を制御(アクセル)しなければならないし、進行方向を自在に決めるためには舵取り装置(わかりやすく言えばハンドル)も必要だし、停車した場所に自動車を停止させるためにはブレーキが必要だ。
これらの制御に必要な全ての機械的な構造とそのための技術が「OT」である(OTの定義には“高度化”の装飾語が付くが、例えば1970年代頃の自動車でもその機構は1800年代に出た初期の自動車と比べ比較にならないほど高度化していて、その基本は40年以上過ぎた現在でもほとんど変化していない)。
この自動車の例では「IT」が一切入っていないが、これに各種のアシスト(自動運転はその究極形態)を情報通信の技術によって加えるとIoTとなる。

記事中ではコンピュータセキュリティのブログらしく、ITの存在しない時代のOTとして「電車の自動停止装置」を例に出して話をわかりやすくしようとしている。


この件に関する論点は恐らくいくつでもあるだろうが、記事ではIT側とOT側がそれぞれにもう一方の事情を理解しないまま仕事をする事が問題であり、ITとOTの融合であるIoTの前にそれぞれの側にいる人の融合が必要だと書いている。

この問題を身近な例で例えるならば、縦割り行政の弊害とか、もっと身近な例では日常における人間同士の不仲も本質的には同じだと思う。要は自分の事ばかり考えて相手を理解する努力を怠るとロクな事にならないというワケだ。


とはいえこの問題、だからお互いに仲良くやろうと、そうは簡単にいかないから最先端のIoTでも問題になるわけで。

ある歴史の研究者によると、人類は精神的に4000年以上前からまったく進歩が無いらしい。
これは昔から自己厨が多く、それをたしなめる言葉や問題解決のための知恵が4000年以上変化していないという事が根拠となっていて、記事の最後にある「体験を共有する」などの方法も恐らく4000年以上前から行われている問題解決手段なのだろう。

まあ、どんなに技術が進歩しようとも人間は人間のままという事か。




参考記事:


融合するITとOT
http://itpro.nikkeibp.co.jp/article/COLUMN/20110817/365421/

2012年の展望:ITとOTの整合性確保がもたらすリスクと機会
http://www.gartner.co.jp/b3i/research/120904_inf/

融合するITとOT 広がる大革新の可能性
http://www.nttcom.co.jp/comware_plus/trend/201504_2.html


みんな見て見ぬ振り [セキュリティ]


中国製のネットワーク端末にバックドアの存在が発覚、IoT時代の大問題になる可能性
http://gigazine.net/news/20170306-dbltek-backdoor/


IoTの描く夢は大きいが。


古い時代に起きた類似の例といえば電気式の洗濯機とか。

まさか洗濯機で人が死ぬとは夢にも思わなかっただろう、当時の人達は。

気が狂ったかのように続けている [セキュリティ]

私は「コンピュータセキュリティの教育は義務教育でやるべき」と考えている。

誰もが当たり前にコンピュータを持ち、常時インターネットに接続し、情報のやりとりをしている以上、コンピュータセキュリティに関する知識を持っていませんでしたでは済まされない時代だと思うからだ。

が、現実は教える側の知識不足と意識の低さがこれを阻害している。

そもそも親が子供に教えるべき範疇のはずだが、その親が無知で無関心で無神経と来ている。
そりゃ、子供もそーなるワケだ。
そのうえ監督すべき国家機関自体がこうした一般人と同レベルというお粗末さ。
もう処置なしといえよう。


だが(専門家以外で)一握りの人間でも、この現実に危機感を持ってコンピュータセキュリティについて学ぶ事を死ぬまで続け、その成果をもって可能な範囲で周囲に働きかければ、少なくとも何人かは興味を持って学んでくれるかもしれない。
経験上無駄としか思えないが、それでも私はそれを気が狂ったかのように続けている。
望ましい変化が起きる可能性はゼロではないと信じて。


というわけで、現状の一端を知る意味で以下の記事は必見である。


Androidの“正規アプリ”4種にスパイウェア混入
http://techtarget.itmedia.co.jp/tt/news/1702/20/news01.html

数分で破られた「iOS 10」ローカルバックアップパスワードの脆弱性
http://techtarget.itmedia.co.jp/tt/news/1702/23/news03.html


まあ、読んだところで理解出来る人は限られるかもしれないが、記事のタイトルだけでも記憶し、その意味を考える時間を少しでも持ってもらえたのなら幸いである。


おいしいとこ取りは駄目 [セキュリティ]


「アンチウイルスソフトは死んだ」発言の真意は
http://www.itmedia.co.jp/enterprise/articles/1702/21/news035.html


「アンチウイルスソフトは死んだ」。

こう言われるようになって久しい。ここ数日だけでもプラットフォームに依存しないJava scriptの脆弱性が見付かったり、半年放置され続けたWindowz10の脆弱性、そしてランサムウェアの拡大など、セキュリティソフトの存在をあざ笑うかのように様々な問題が露見し続けていて、しかもそれは氷山の一角でしかない。

記事ではこの「アンチウイルスソフトは死んだ」という言葉に対し、セキュリティソフトはまだほとんどの人にとって必要な対抗手段である事と、同時に他の手段が重要である事を説明している。


が、私が最も重要視したのは、記事の最後にあるこの言葉だ。

一番いけないのは、結論だけを追ってしまうこと。「もうウイルス対策ソフトは死んだから入れるだけ無駄!」「アンチウイルスが不要だってネットに書いてあった!」と、背景を理解せずに“おいしいとこ取り”をしないように。

世の中「おいしいとこ取り」する人やそれを煽る情報があまりに多すぎる。

そのおかげで様々な問題が起きているが、「おいしいとこ取り」している人はその事実に気付かない。
セキュリティ問題に疎い、ほぼ全ての大衆はこうした者達だ。

自分がなにやっているのかわからず、問題が起きれば他人事。(若しくは自己保身)

いやいや、それはあなたがやっている事だから。


無料のスマホ充電ステーション [セキュリティ]

そもそも無料でスマートフォンの充電が出来る施設が存在する事を私は知らなかったのだが、どうもそのようなものが存在するのだそうで。

無料の公衆スマホ充電ステーションを不用意に使うとデータが盗まれる危険性
http://gigazine.net/news/20170221-free-charging-station-security/

○○ホイホイとしか思えない無料充電ステーションという話だった。



これが現実 [セキュリティ]


2016年後半から日本でマルウェア急増、世界の中でも「最悪の状況」に
http://news.mynavi.jp/articles/2017/02/10/eset/

記事中にはこんな事が書かれている。

丸川珠代五輪相(政府のサイバーセキュリティ戦略本部副本部長も務める)のサイトも被害に

丸川珠代五輪相(政府のサイバーセキュリティ戦略本部副本部長も務める)のサイトも被害に

丸川珠代五輪相(政府のサイバーセキュリティ戦略本部副本部長も務める)のサイトも被害に


まあ、政府からしてこの程度なのである。


他にも色々書かれているが、全部私がこのブログで警告している内容と被る。

素人の私が、専門知識も無しに理解出来る程度のことすら、世間では非常識同然に無視されているという事だ。

だから 日本でマルウェア急増、世界の中でも「最悪の状況」

などという事になるのだ。



ウイルス対策ソフトには害悪が存在 [セキュリティ]

数日前の記事だが、GIGAZINEにこんな記事が出ている。

Microsoft以外のウイルス対策ソフトは害悪なので入れるべきではない」とMozillaの元開発者が告白
http://gigazine.net/news/20170131-stop-using-antivirus/

これには私も同意だ。

そもそも現在のセキュリティソフトは既知のマルウェア以外にはあまり役立たない。
未知のマルウェアに対する防御機能もあるが、これは誤動作が多いという弊害がある。
そして不要な機能が多すぎる。これが問題を起こす大きな要因。

ただ、記事のタイトルにもある「Microsoftのウイルス対策ソフト」もあまり信頼できない。
特にパソコンに対する負荷については、少なくともAVASTより確実に重い。
これは、以前ATOM系のCPUを使うWindowz10パソコンにAVASTを入れたところ目に見えて重くなったので、他に軽いセキュリティソフトをと思い「Windows Defender」に切り替えた。するとさらに重くなったという経験があるためだ。


まあ現実的に考えて、セキィリティソフトは入れなければマズイと思う。

しかしその為に入れない場合よりも多くのリスクを抱えるという矛盾はどうしたものか。

パソコンのおかげで色々便利にはなったが、セキュリティ問題にこうも手間を取られるという。

本当に、なんとかならないものだろうか。


ドナルドよ、おまえもか [セキュリティ]

世の中にスマートフォンというセキュリティリスクのカタマリが出回るようになって何年経ったのだろうか。

もはやスマートフォンが原因の問題は一年中報道されていて、しかもそれは氷山の一角に過ぎない。

そしてなによりも、スマートフォンを使う消費者達のほとんどが、スマートフォンがなんであるのか正確に理解しないまま、毎日利用している。

彼らの無知と無関心と無神経のおかげで様々な社会問題が起きているというのに。


今日見つけたGIGAZINの記事によると、アメリカ大統領のドナルド・トランプ氏もそういった“無知なスマホユーザー”の一人であるようだ。


トランプ大統領はいまだにセキュリティ面が不十分なAndroidスマホを使用している
http://gigazine.net/news/20170126-president-trump-unsecured-android/


記事によると、現在ドナルドが使用するスマートフォンは韓国企業の三星製品である「Galaxy」であるらしい。

Galaxyといえば過去に三星自身が個人情報を盗むマルウェアを仕込む等、様々な問題が起きている端末のシリーズ。最近では爆発する端末が出て販売中止になった機種すらもある。

こうした三星製品である事を置いておいても、OSのセキュリティホールが見付かった後にその穴を埋めるアップデートが即座に提供されないAndroid OSを使った端末である事も問題である。

ドナルドの前にアメリカ大統領だったオバマ氏の場合、セキュリティ問題を理由に当時スマートフォンの中で最もセキュアだとされたBlackberryのカスタム品(セキュリティ機能をさらに強化していた)を使っていたのは有名な話だ。


この「現アメリカ大統領が市販のGalaxyを使っている」というありえない問題、一体何故なのか。

大統領に就任するまでにアメリカ政府の、大統領周辺のセキュリティ担当部門が専用端末を用意する事が間に合わなかったのか、それともドナルド本人がセキュリティ機能を強化した端末に換える事を拒否したのか。

真相はわからないが、今後この問題がより大きな問題を引き起こさない事を祈るしか私に出来る事は無い。




まったくもってロクなものではない [セキュリティ]


DeNAとWELQ、DMM.comとはちま起稿、そしてLINEとNAVERまとめ。

どれもこれも、まったくもってロクなものではない。

何故彼らはこれだけの悪事を平然とやってのけるのか?

一番の問題はそのような手段を成立させてしまう消費者の無知と無関心という見方も出来るが、やはり最悪なのはそのような人達を食い物にするその精神的な異常性を持つ連中なのだろう。



「WELQ問題」責任者・村田マリ氏とDeNA社長の密接な関係
http://shukan.bunshun.jp/articles/-/6942

まとめサイト「はちま起稿」、DMM.comが運営していたことが判明
http://nlab.itmedia.co.jp/nl/articles/1612/28/news088.html

NAVERまとめ」に関する批判についてLINEが言及
http://japan.cnet.com/news/service/35094431/


年々セキュリティ意識や倫理観が低下する理由 [セキュリティ]

セキュリティの意識や倫理観は低下するばかり
http://www.itmedia.co.jp/enterprise/articles/1612/20/news115.html


この手の記事はほぼ毎年見かけるように思う。

この件に関して私が思う事は、このような変化はある意味当然であるという事。


何故かといえば、今や知識も経験も無い未熟な若者でも簡単に使える便利なデバイス・アプリケーション・サービス・社会的な流行や雰囲気などが物心付く前から存在するため、生まれたばかりの赤ん坊が自発的に産声を上げて肺呼吸を始めるように、そういった環境に慣れ親しんでいく人間が後から次々と増えていく事がまず理由の一つ。

そしてセキュリティ意識や倫理観の低下を加速させる要因として、この問題に危機感を持つ事が出来る人間が非常に限られるという現実の中で、危機感を持つ事が出来ない利用者が圧倒的多数になる事により、圧倒的多数の彼らの影響下にある子供達も当然に彼ら同様になり、またさらに劣化していくという悪循環を生み出している。

もちろんそのような環境の中で突然変異にように意識の高い若者が生まれている事も事実であるが、日本国内であればそのような例は100人に一人いるか居ないかという少数である上にピンキリでもあり、その中でピンに相当する者(最低でも私くらいには色々自分で調べて実行する)が100人に一人居たとしても、その中から周囲の人間に影響を与える事が出来る者はさらに100人に一人以下というように限られるため、その影響力はゼロに近いのも仕方の無い事かもしれない。(能力が高い者は、自分より低いと見做した相手に興味を持つ事は少ないため)

そしてさらに追い討ちをかける要素は、日常の中でこの問題について時間を割く事が難しい場合があることだ。

このブログで散々セキュリティに関する記事を書いている私ですら、仕事や私生活がちょっと忙しくなっただけでまったく手に付かなくなる。私の場合今年11月くらいから忙しさが増したおかげでブログの記事が随分減ったが、これは同時に情報収集や勉強の時間も減った事を意味する。おかげでWindows updateすら満足に出来ていない。(仕事用と自宅のメイン・サブPCだけはやっているが、それ以外の使用頻度が低い物は放置状態、というか電源すら入れていない、それ以前にMicro$oftが色々やらかしているおかげでWindowz updateの手間が大きすぎる事も問題だが)

こうなってくると当然にセキュリティに関する防備にも隙が出来るし、最新情報を得ていなければ未知の脅威に対する備えがまったく出来ないため、尚更危険である。


というわけで、セキュリティの意識や倫理観に関する問題は、問題の根本にあるデバイスやサービスの利用をするはるか以前、それこそ小学校に上がる前の頃から洗脳同然の教育が必要だと私は考える。何も知らないままメリットだけを受け入れたなら、後からデメリットを説明されても受け入れる事が困難だからだ。

従って大人に対する啓発などは非常に効果が薄く、無意味に近い。
だが現状を考えれば、無意味に近いことでもやらなければならない。

また、日本は社会に無駄があふれ返っている割りに人々にが余裕が無いため、例えるなら油の切れた機械を無理やり動かしてそこかしこでトラブルが起きている状態である。

この余裕の無さが様々な問題を生む大きな要因である事は明白で、それがセキュリティ問題や倫理に対する感覚マヒを引き起こす一因にもなっているように私には見える。
この問題の解決には人間本体の能力向上と社会的な構造問題の両方に対し同時にメスを入れなければ、片方だけやっても自動的に戻る力が働くので意味が無い。また意思を持って大衆にミスリードさせる力が少なからず存在するので、そういった勢力の弱体化も同時に行わなければならない。


まあ、この問題に対しては、どれほど無駄な足掻きと思えても出来る事はなんでもやる。どんな小さな事でも手を抜かない。そういう姿勢が必要だと思う。

それから同時に、影響する全ての要素を把握する広い視点を持つと共に、視界の広さを保ったまま細部まで把握する能力も必要かもしれない。


参考:

ITmedia エンタープライズ > セキュリティ
http://www.itmedia.co.jp/enterprise/subtop/security/index.html

マカフィー株式会社 公式ブログ
http://blogs.mcafee.jp/mcafeeblog/

Security NEXT
http://www.security-next.com/

JPCERTコーディションセンター
https://www.jpcert.or.jp/

他色々


さすがLINE社は韓国企業、著作権無視はやった者勝ちか [セキュリティ]

NAVERまとめに無断転載“された”側の訴え……「抗議への対応に驚愕」
http://www.itmedia.co.jp/news/articles/1612/12/news067.html


この記事によると、

“「NAVERまとめ」も、「コンテンツを無断利用された」と被害を訴える人が多いサイトの1つだ”

と書かれている。

私は意識して「NAVERまとめ」を利用しないようにしているし、そういう話を聞いた事が無かったので知らなかった。


また無断転載の被害に遭った方が転載された写真などを削除するように抗議すると、LINE側から自分自身の記事に“転載禁止の旨を追記すること”を求められたという。

これは「記事を書いた人が転載禁止と書かないのが悪い」という意味なのだろうか。

さすがはLINE。韓国企業なだけあって、著作権無視はやった者勝ちだと思っているのだろう。


追記:私が韓国企業を毛嫌いする理由の一部は、過去こちらに書いた。参考まで。

韓国企業は注意が必要
http://17inch.blog.so-net.ne.jp/2014-07-09


PWGen 2.9と日本語ファイル [セキュリティ]


PWGen_290.jpg

もう3ヶ月近くも前の事だが、PWGenが2.9にバージョンアップしていた。

日本語ファイルも2ヶ月前に作っていたのだが、公開するのを忘れていた。


携帯電話家電などに留まらず、自動車すらもインターネットに常時接続される事が当たり前になりつつある昨今は、パソコンだけがネットに接続されていた時代と比較してコンピュータセキュリティに対する理解と備えがより重要になっている。

その基本的な対策の一つとして、パスワードの管理は極めて重要だ。


このパスワード問題、私の記憶にある限りもう20年以上ずっと言われ続けている事なのだが、20年前から現在に至るまで大衆の意識はまったく変化が無い。

現在はWeb上にある複数のサービスを利用するために、複数のパスワードを持つのが一般的だ。
このパスワードを安易なものとしたり、同じパスワードを複数のサービスで使いまわしたりという例があまりにも多く、そうした人達のパスワードは常に破られ続けている。


被害を防ぐには複雑かつ出来るだけ長いパスワードを重複無しで使い分ける必要があるのだが、パスワードをいちいち考えるのは意外と面倒な作業である。
そこでもしパスワードの設定が面倒だと思うのなら、この「PWGen」を使ってみると良い。

PWGenはパスワードを乱数によって自動生成してくれるので、例え100以上のサービスで全て違うパスワードが必要な場合でも簡単に全て違う安全性の高いパスワードを作る事が可能だ。


PWGen(2016年12月2日現在の最新バージョンは2.90)
http://pwgen-win.sourceforge.net/

PWGen 2.90 日本語ファイル
https://www.axfc.net/u/3747664.zip



最近のOutlookメールの不調 [セキュリティ]

最近のOutlookメールの不調に関係のありそうな記事を見つけた。

数日前にこんな記事が出ていたようだ。


Outlook.comの長期不調、Microsoftが修正済みと発表
http://www.itmedia.co.jp/news/articles/1611/24/news052.html


そして「Outlook 不調」というキーワードであひる先生にお尋ねすると、こんなサイトが。

ダウン ディテクター Outlook
http://downdetector.jp/shougai/outlook


どうもOffice365(ネットワーク接続が前提のオフィスアプリケーション)でもトラブルが出ているらしい。Microsoftアカウントが必要なサービス全てに影響が出ているのだろうか?


最近はクラウドなどインターネットでの通信が前提のアプリケーションやサービスが増えているが、インターネットの信頼性はそれほど高くは無い。今回の例のようにサービスを提供する側のトラブルで使えなくなったり、或いは回線そのものがISPなどの障害で使えないとか、災害による停電や基幹通信ケーブルの切断などで使用出来なくなるとか。

これらの問題はローカルで完結するシステムであっても同様のリスクがあるが、インターネットを利用する事が前提のサービスの場合、局所的な障害が広範囲に影響を及ぼすという問題がある。実際今回の問題も被害を被った人はかなり多いはずだ。


コンピューターネットワークが人類に多大な恩恵をもたらしている事に異議を唱えるつもりはまったくないが、だからといってそれを盲目的に受け入れるのは間違っていると思う。



Hotmail(Outlookメール)の使用をあきらめる [セキュリティ]

先日、突如としてThunderbirdアクセス出来なくなったHotmail。

調べるとアクティビティ(アクセスの履歴)に“セキュリティチャレンジ”なるものがあったので、パスワードを変更すると再びアクセス出来るようになった。


ところが。


昨日、またしてもアクセス出来なくなった。トラブルから復帰して一週間たらずなのに。

Thunderbird側のメッセージによると、サーバーから「failure: unknown user name or bad password.」というメッセージが返って来ているので、原因は別としても問題自体は先日のケースと同じようだ。

だがブラウザでアカウントにログインしてアクティビティをチェックすると、セキュリティチャレンジは発生していない。念のためにパスワードを変更してみたが、症状は変わらなかった。
仕方なく他の面でアクセスの制限があるかもしれないと調べてみるが、有効な情報は見付からない。


こうした事がこう何度も起きるとなると、もうサービスへの信頼はゼロだ。

そこで私は最も確実な解決方法を選択する事にした。

それはHotmailとは別のメールサービスに移行することだ。


今まではインターネットを使う各種サービスに登録したメールアドレスを修正するのが面倒で避けてきたが、こう何度も不便を強いられるとなれば話は別。10年以上使い続けた愛着のあるアドレスを捨てる事に若干の抵抗はあるが、使えないサービスはさっさと捨てて他のメールサービスに移行しよう。

問題のアドレスは主に買い物専用のアドレスで、10件ほどのサービスに登録していたが全部Gmailのアドレスに変更した。
正直Gmailは使いたくないのだが、緊急避難的に今すぐ使えるアドレスとして止むを得ずの選択だ。

私は他にも二つ、末尾がco.jpとlive.jpのアドレスを持っているが、こちらも何時このようなトラブルに見舞われるか知れたものではない。事実双方とも過去にセキュリティチャレンジによるアクセス不能が起きているからだ。
(ちなみに今回謎のトラブルでアクセス出来なくなったのは.comのアドレス。)

従って、なるべく早くこれらも他のサービスに移行するつもりだ。


参考:

Outlookメール(Hotmail)をThunderbirdでPOP受信する
http://17inch.blog.so-net.ne.jp/2016-03-04

ThunderbirdでOutlookメールが突然受信出来なくなった場合の対処
http://17inch.blog.so-net.ne.jp/2016-11-23



IoTの“Mirai” [セキュリティ]

マルウェア「Mirai」に感染したIoT機器が急増、亜種も相次ぎ出現
http://www.itmedia.co.jp/enterprise/articles/1610/20/news061.html

以下、記事からの引用

「IoTの市場が急拡大する一方で、セキュリティにはほとんど注意が払われず、こうしたボットネットによる脅威は増大している」

セキュリティにはほとんど注意が払われず

・・・現実はこんなものだ。

IoTの未来は、現在以上の混沌となるだろう。

我々は、そうした混沌の中で生き抜く術を身につける必要がある、という事だ。



こんなモノを使ったら絶対に危険だ [セキュリティ]


Baidu、医師の診断を手助けする医療用チャットAIを発表
http://pc.watch.impress.co.jp/docs/news/1024415.html


バイドゥ(百度、Baidu)がこのようなソフトウェアを、しかもスマートフォン向けに出すとは。

危険すぎる。


これを使った場合、情報の盗難、そして最悪の場合病院機能の破壊も可能だと思う。

もし万が一日本で利用する計画があれば、24時間365日の通信の監視と、マルウェアが混在しないか毎日チェックするべきだ。

日本国内のあらゆる混乱は、中国の野心を利する。

もちろん中国にそんな野心が無いと仮定したとしても、セキュリティリスクを考えたらバイドゥのサービスは利用しない事が重要だ。




LINE社の、李海珍という男 [セキュリティ]

LINE開発プロジェクトのリーダー 李海珍氏 素性はネイバー創業者で韓国諜報部の検索システム開発者
http://echo-news.net/culture/naver-founder-and-line-developing-leader-lee-have-jin-worked-for-korean-intelligence-agency/3

まあ、どこまで本当かわからないが。

この手のニュースはそれなりに多く、また背景となるさまざまな事柄から、真実味があると私は思う。


韓国国情院のLINE傍受の話も、出所が内調という話である。

韓国国情院 LINE傍受
https://duckduckgo.com/?q=%E9%9F%93%E5%9B%BD%E5%9B%BD%E6%83%85%E9%99%A2+LINE%E5%82%8D%E5%8F%97&t=ffsb&atb=v28&ia=web

一般人には無関係な話かもしれないが、政治や警察、或いは自衛隊関係者と、関係者ではなくとも彼らの情報を知り得る立場の一般人は、LINEの使用は十分に注意するか、使用しない事が最善であると思う。

でも、戦時中にアメリカが日本の軍事情報を得ていた情報源が、民間のラジオや新聞だったという話もあるので、機密情報という観点からはゴミにしか見えない一般人の日常会話も、重要な情報を得る元となるのかもしれない。

LINE森川亮社長の抗議について
http://facta.co.jp/blog/archives/20140619001250.html


上場予定のLINE社、現会長も韓国情報機関関係者と判明
http://echo-news.red/Japan/Korean-LINEs-Hidden-Chairman-Ex-Developer-for-Intelligence-Agency-Disclosed-by-Japans-Government

以下上記リンクの記事からの抜粋

なお李海珍氏は(関係の深い人物と合わせて)NAVERの株式7パーセントも有しているとあり、韓国政府と並ぶNAVERーLINEグループの大オーナーである。これらの点に鑑みると、李会長がLINE社HPに主要役員として載っていないことには、どんな理由があるのだろうかと大いに疑問となる。

*以前にも報じたが、NAVERのもう一人の共同創業者であるキム・ボムス氏は米国に入国しようとした際にJFK国際空港で、FBI、米国内歳入庁、および国土安全保障省の合同チームに「個人情報の不正入手」の容疑で身柄拘束を受けている。



Firefoxが中国のSSL認証局発行のSSL証明書をブロック [セキュリティ]

中国最大の認証局「WoSign」が証明書発行日改竄などを行っていたとしてFirefoxがブロックの方針
http://gigazine.net/news/20160928-wosign-firefox-block/

先日私は「世界は偽のSSL証明書だらけらしい」という記事を書いたのだが、この記事を書く動機となった中国のSSL認証局が偽のSSL証明書を発行していた問題でFirefoxがこの認証局の発行するSSL証明書をブロックする事が決まったらしい。


記事によると問題の認証局「WoSign」は、偽の証明書発行の他にもイスラエルのStartComという認証局を買収しながらも所有権の変更を明かさなかったという問題も発覚している。

この件について私は、他の認証局の名前でも偽のSSL証明書を発行し、これを悪用する意図があったと考えている。


まあ地球上で中国だけが悪質な行為を平然と働いているのではない(そのような意味では欧米や日本も大差は無い)が、中国は他者を欺いて利を得ようとする行為があまりにも多いために信用できない国の代表であると感じる。

特にコンピュータセキュリティに関する問題の多くが中国の政府民間を問わず確認されているので、この点に関しては注意を要すると思う。

バイドゥなどもそうだが、背後に国家が絡んでいる企業も非常に多いため、こうした問題は国家ぐるみでやっている可能性が高い事も、強く警戒する必要がある理由の一つだ。


とはいえ、今回の偽SSL証明書問題は、国際的に信用のある機関より正式にライセンスを受けた組織がやっているという事も問題として考える必要がある。

近い将来自動運転自動車などにもこの問題は深く関わって来るし、当然にIoTなどにも無関係ではない問題だ。

これらに関係する人々は、こうした現状の中どうやって利用者の安全を担保するのか、常にゼロから考え直すくらいのつもりで仕事をして欲しいと思う。

注意を聞き入れないポケモンGOプレイヤー達 [セキュリティ]

ポケGO「ミニリュウの巣」不忍池、度重なるマナー違反でスマホゲーム遊戯全面禁止に
http://nlab.itmedia.co.jp/nl/articles/1609/18/news022.html

まあこのような事態は予想できる事だ。

全てのスマートフォン所持者がそうではないにしろ、「注意を聞き入れない」者があまりにも多すぎる。
スマートフォンに限った事ではないが、自分の行為について注意された時に注意を無視するバカが居るかと思えば、逆ギレして暴力を振るう者まで居るのだから、ポケモンGoの登場はトラブルの元を増やす結果になるのは当然だ。


こうした問題は予想出来る事なので、ゲーム運営する会社はこれを未然に防ぐ努力をすべきだ。 具体的には公共性の高い場所ではプレイ不可能にする事。

また、仮想的なキャラクターとはいえゲーム会社の所有物を設置するのだから、その土地の所有者や周辺の住人に許可を得るべきだ。現在はモンスターなどを設置している土地を無断で利用しているわけで、これは犯罪行為ではないのかと思う。


実際、バカ発見器となっているスマートフォン。
特にポケモンGoのような人気ゲームともなれば、プレイヤーの本性がむき出しになる。

この記事を読む方は、くれぐれもバカ丸出しのプレイをしないように。


PCデポはヤバイ [セキュリティ]

PCデポ 詐欺

この単語で検索すると色々情報が出てくるが、正直「騙される客の問題」も無視出来ないので今まで記事にもしなかった。

なにより私自身興味が無かったこともある。


しかし、この記事を読んで気が変わった。


PCデポ社長高齢者PCサポート事業への批判に答える
http://diamond.jp/articles/-/100666


もう冒頭から酷い内容で、自分達に責任はないと言いたげな表現

「10台プランを推奨することは防ぎようがなかったと思います。」

これはなかろうと。
社長からしてこんななので、PCデポ側はまったく反省していないようだ。


まあ、私は昔からPCデポで買い物する事は稀であり数年に1度程度しか行っていないし、ユーザーサポートなど量販店で出来るレベルのものはほとんど自力で解決出来るので使う事もない。

しかし世の中の多くの人はこうした「パソコンを扱う店」のサービスに頼らざるを得ないわけで、契約内容や契約手法などについて悪意すら感じる今回の件について、私はこう言いたい。


PCデポは今すぐ店を畳め!


09/06追記

PCデポ トウゼンカード

で検索すると、同社の酷い内情が理解出来る。こんな会社とはどのような契約であっても結んではならないと思う。

世界は偽のSSL証明書だらけらしい [セキュリティ]


中国最大級の認証局「WoSign」がニセの証明書を発行していたことが判明
http://gigazine.net/news/20160901-wosign-fake-certificate/


ネット通販やネットバンキングなど、暗号化されたhttp通信を行う必要がある場合に使われるSSL証明書。

コイツを発行する認証局の一つ、中国の「WoSign」がニセのSSL証明書を大量に発行していたらしい。
GIGAZINEの記事によると、フロリダにある大学のサイトに発行されたSSL証明書が偽物である事が偶然に発見されたという。

偽のSSL証明書はセキュリティホールとなり、過去にも他の中国の認証局による同様な偽SSL証明書が発覚して証明書が無効化されたりしているので、これはもう故意にセキュリティホールを持つ証明書を発行しているとしか思えない。

Mozilla、Google に続き中国のルート認証局 CNNIC を拒否
http://scan.netsecurity.ne.jp/article/2015/04/06/36133.html

今回記事になった件はすでに14ヶ月も問題が放置されているそうだ。
偽のSSL証明書は悪用すれば通信を乗っ取り偽のサイトへ誘導する事も出来る。例えば銀行にアクセスした通信が実は犯罪者のサーバーに繋がっていた、という事に利用出来るのだ。


今回こうした偽SSL証明書は中国だから、なんて一瞬思ったのだが、過去に中国以外にもあったような記憶がかすかに残っていたのでアヒル先生に尋ねてみたところ、中国以外の国に存在する認証局でも偽SSL証明書が発行されていた例がいくつも確認された。
ただ、外部からサーバーを乗っ取られたために偽SSL証明書を発行してしまった例もあり、今回の中国の認証局のような、故意にやっているとしか思えない例だけではなさそうだ。

SSL認証局が偽の証明書を発行、大手サイトに影響の恐れ
http://www.itmedia.co.jp/enterprise/articles/1103/24/news020.html


こうした偽SSL証明書の問題は、SSL暗号化通信=安全という認識を改める必要がある事を示している。現在多くのWebサイトで採用されているが、サイトの関係者が「ウチはSSLだから安心」などと考える事は大きな間違いであるということだ。

私はクレジットカードの決済でSSL暗号化通信を良く使うが、もし利用したサイトの証明書が偽物だった場合、ある日カード会社からの請求がとんでもない事になっていることに気付かされる日が来るかもしれない。

https」で始るWebサイトは通信が暗号化されているから安心だ・・・という認識は、もうすでに“非常識”なのかもしれない。


未知のセキュリティホール [セキュリティ]

アップルがiPhoneの欠陥修正、人権活動家が遠隔操作の標的に
http://jp.reuters.com/article/apple-iphone-cyber-idJPKCN1102E6


この記事を要約すると

・iPhone6にWebリンクが挿入されたメッセージが送られて来た

・リンクを踏むと、3つの欠陥を利用するプログラムがインストールされる

Appleはその3つの欠陥を知らなかった


こんな感じか。

メッセージを送信した者は、監視システムを提供するイスラエルの企業らしい。(証拠は?)
過去にもイタリアのセキュリティシステムを売る会社が、AdobeFlashに関する未知の欠陥を利用したスパイウェアを販売していた事実が、外部からのハッキングによって発覚している。

こうした事実は、世の中にはソフトウェアの開発者に知られていない未知の欠陥を知る者が存在するという事を示している。彼らはそれで金を稼いでいるわけで、世の中のあらゆるソフトウェアの粗探しをし、欠陥が見付かればそれを外部に漏らさず金儲けに利用しているわけだ。

こんな状態であるので、ソフトウェアの欠陥を突く攻撃にソフトウェアによる防御はあまり効果が無い。効果があるのはほとんどの場合、今までに発見されている欠陥を利用した攻撃に対してのみだ。

そうなると、最後の砦はコンピュータを利用する末端の人間となる。
ただでさえ防御が難しい攻撃に対応するためには、利用者自らが能動的に知識を得て自ら対策を講じなければならない。

しかし現実にはそんな事は無理だ。不可能だ。
世の中のほとんどの人は、コンピュータセキュリティに関して受動的にでも情報を得ていればかなりマシな方なのだから。

私には「世界中ネギを背負ったカモで溢れ返っている」状態がイメージされて仕方が無い。


追記

国内ランサムウェア被害報告件数が2015年比で約7倍、過去最悪を更新
http://news.mynavi.jp/articles/2016/08/28/trendmicro/

「知っているが理解はしていない」人が多いものだから、今後こうした例は増える事はあっても減る事はないだろう。



Microsoftアカウントが盗まれる脆弱性が問題に [セキュリティ]

WindowsMicrosoftアカウントが盗まれる既知の脆弱性--概念実証サイトが公開に
http://japan.zdnet.com/article/35086867/


というわけで、Microsoftアカウントを使用している方は注意。

記事によると、IE11又はEdgeでMicrosoftアカウントにログインした状態で“攻撃者が用意したネットワーク共有にアクセスさせるよう特別に細工されたウェブページ”を閲覧するか、Outlookでこのサイトのリンクをクリックした場合にアカウントのユーザーIDとパスワードが盗まれるらしい。


なお、FirefoxやChromeではこの脆弱性が存在しないため安全らしい。

IEとOutlookといえば、多くが企業内で業務に使っていると思う。
Micro$oftはこの脆弱性を修正しないという事なので、問題の影響を受ける人は今すぐにでも対策すべきだ。


以下、記事より具体的な対策方法の抜粋。

Internet Explorer、Edge、Microsoft Outlookを使用せず、MicrosoftアカウントでWindowsにログインしないようにすれば、問題は回避できる」


ポケモンGO8か条とやら [セキュリティ]

ポケモンGoについて、“8か条”とやらが書かれた記事を発見した。

それでも「ポケモンGO」やりますか? やるならやってはいけない“8か条”
https://thepage.jp/detail/20160725-00000009-wordleaf


記事曰く、


【その1】歩きスマホ、ながらスマホはするべからず

【その2】民家に不法侵入するべからず

【その3】神社、病院で遊ぶべからず(ついでに言えば一部例外を省き公共性の高い場所全てが同様)

【その4】立ち入り禁止場所に立ち入るべからず

【その5】盗撮・迷惑行為はするべからず

【その6】貴重品を手放すべからず

【その7】偽アプリ、詐欺アプリに手を出すべからず

【その8】夢中になりすぎるべからず


・・・アホかと。


8か条の全てが、いちいち言われなければわからないのか、と思う事ばかり。
それどころかそもそもポケモンGoなど無くても常識的で至極当たり前の事だ。


何故こんなものがわざわざ記事になるのかといえば、そうしなければならないほど問題が深刻だからだ。

要するに「ポケモンGoのプレイヤーはいちいちこんな事を言われないと人様に迷惑をかけてしまう愚か者」と認識されているという事だ。

しかも、一部の者達はこんな幼稚な注意を受けてさえ迷惑行為をやめられないし、場合によっては逆ギレするという、3歳児以下の反応を見せてくれるのだから呆れて物が言えない。


まあ、分別も付かないお子様には必要な注意ではある。



参考:

Pokemon GOに潜む危険
http://blogs.mcafee.jp/mcafeeblog/2016/07/pokmon-go-b709.html


夏休み子供デバイス利用について、多忙な保護者のための5つのアドバイス
http://blogs.mcafee.jp/mcafeeblog/2016/07/5-f190.html


だから、LINEは韓国企業だというのに [セキュリティ]

LINE上場は「最悪のタイミング」? 予想以上に強かった“韓国色”
http://www.itmedia.co.jp/news/articles/1607/11/news063.html

ITmediaに掲載された産経新聞の記事で、しかも1週間も前のだが、LINEの株式上場について。

記事のタイトルに「予想以上に強かった“韓国色” 」とあるが、これには違和感しかない。
私が過去に書いた通り、LINEはその前身が韓国企業“NHN(現NAVER)”の子会社であるNHN Japanだ。NHN Japanの時代から悪評しか聞かなかったし、LINEを出した時も過去を知っている人は色々と警戒したはず。

が、そういう過去は知る人ぞ知るという類の情報で、当時は「NHN Japan?なにそれ?」という程度の会社だったから、LINEに関して大々的に「日本企業による日本製アプリ」と宣伝されても、同社の過去を知らない人にはなんの違和感もなく受け入れられたというわけだ。(その後社名をLINEに変えて現在に至る)

そういう会社であるので、LINEは表向き日本企業の顔をしていながら支配権はほぼ100%韓国のNAVER社にある。産経の記事にもあるように役員の大半が韓国人であり、株式も韓国人と韓国企業が独占している。

だから、今になって「予想以上に強かった“韓国色”」というのは完全に間違った認識であり、本当ならば「元々韓国企業だから」でないといけない。

産経ですらこの体たらく。予想以上の“予想”とはどんな予想だったのか。
私は産経の記事の中で日本のナショナリズムを煽る(つまり反中・反韓)記事が大嫌いだが、ここまでノーテンキな記事を掲載できるという事は、記事に対する私の印象は間違っていないようだ。

他のマスゴミなどもはや言うまでもないし、国民に至っては過去にあれだけ韓国による対日工作の痛手を受け、しかも現在進行形でそれが続いている事を実感しているのに、スマートフォンを持つ国民の大半がLINEを使うという状況はもう手の施しようが無い。

性善説は日本の常識かもしれないが、世界の常識でそれはあり得ないのである。

グローバル化がここまで進展している以上、性善説を信じる心と性善説を否定できる判断力の両方を身につける必要があると思うのは私だけだろうか。



「ポケモンGo」等のARゲームについての注意 [セキュリティ]


配布が始った7月6日以来、世界中であまりにも人気を集めているらしいAR(拡張現実)ゲームポケモンGo」。

日本国内ではまだ遊べないが、先行して公開された地域では早くも犯罪の温床となっている。


この件に関して犯罪といえば、昨日書いた「正規のゲームにマルウェアを埋め込んで配布」にあるようなマルウェアを感染させるなどのネットワーク犯罪だけだと思う人がほとんどかもしれない。

しかし、「現実世界を舞台にしたARゲーム」という仕様が、ネットワークの中だけでなく現実世界での犯罪に利用される結果を生んでいる。

私はプレイした事が無いが、「ポケモンGo」というゲームはGPSの座標を使ってポケモンを配置し、その座標に行くと端末のカメラ越しに肉眼では見えない「ポケモン」が表示されるというものらしい。要するに一種の宝探しゲームだ。

その関係で、ポケモンを探すために警察署へ侵入する人が出て警察署から注意喚起が出される事態になっていて、こうなると当然警察署以外の入ってはいけない場所(様々な理由で危険な場所も含まれる)にも侵入する人が出ている事は確実だ。これは非常に迷惑かつ危険を伴う行為なので、ゲームに熱中するあまり周りが見えなくなる事が無い様に注意すべきだ。

また、「ポケモンGo」のプレイヤーが強盗の被害に遭ったケースも発生している。


部屋に居ながら端末の画面内で完結するゲームと違い、ARは現実世界が舞台となる点においてプレイヤー及び周囲に居る無関係の人間の身体や財産が危険に晒される可能性が存在する。

今後この手のゲームは増えていくだろうから、ARゲームが原因の事故や犯罪も増えていく事は確実。

注意をしたところで無視する人の方が多いだろうが、少しでも問題を減らすために、ゲームの製作会社を始め関係する全ての業界と私のような懸念を持つ個人は、プレイヤー達に責任と危険性への自覚を促す努力をすべきだ。


さらにこうした犯罪に関する危険性を排除してもなお残るのが、「歩きスマホ」の問題だ。

画面を見ながら歩く行為は、周囲への迷惑行為になる場合がある。自分以外人が居ない場合でも、自分自身がケガをする可能性も少なくはない。
社会問題にすらなっている「歩きスマホ」を正当化しかねないこの手のゲームは、本来ならばゲームで利益を得ている者の責任においてこのような問題が発生しないよう努めなければならない義務があるはずだが、現実には「歩きスマホの問題」は無視されている。

そうなるとプレイヤーのモラルが問われる事になるが、これは過去の例からまったく期待できない。

・・・まあなるようにしかならないか。

だが、本来この手のARゲームは、公道上や公共性が高い場所でゲームが遊べない制限を設けるべきだと思う。
可能ならそういう遊び専用の公園でも作って、そこだけでやって欲しい。


現実世界でポケモン探し、スマホユーザーに警察署が注意 豪
http://www.cnn.co.jp/tech/35085588.html

アメリカで「Pokemon GO」強盗が発生中
http://www.gizmodo.jp/2016/07/712rgo.html



正規のゲームにマルウェアを埋め込んで配布 [セキュリティ]

野生の偽 “Pokémon GO” があらわれた!
http://blogs.mcafee.jp/mcafeeblog/2016/07/pokmon-go-8a6c.html

McAfeeのセキュリティブログに掲載されたこの記事によると、「ポケモンGo」というAR(拡張現実)を利用した人気ゲームに対し、マルウェアを埋め込んで非正規サイトでバラ撒くという事件が起きた模様。


このゲームはAndroidの正規ストア(Google Play)で配布されているが、地域によって配布されていない場所もあるようで、そうした地域に住んでいる人達は非正規のサイトを探し回ってこのゲームを入手しようとしたらしい。

そしてマルウェアが埋め込まれているにも関わらず遊ぼうとして被害に遭うというわけだ。
(ゲーム自体は本物なので気付かない人が多いのだろうと思う)


埋め込まれたマルウェアに感染すると、端末を乗っ取られて自由に遠隔操作され、端末内部の情報はもとより端末上のあらゆる操作(入力した文字情報や、マイクからの音声・カメラ撮影した映像・GPSの位置情報等)で発生した情報が送信される。

もし端末でネットバンキングを利用していたとしたら、ネットバンキングに登録しているあらゆる情報(含むパスワード等)も送信されるので、端末外の情報を合わせて必要とする二次認証を利用していない場合には銀行口座のお金は無事ではないだろう。

他にも私などには想像も付かない悪用方法があるかもしれない。

なんにせよ、アプリを非正規のサイトから入手する事はやめるべきだという、良い例である。


なお、ポケモンGoに関しては日本のGoogle Playでもすでに情報は上がっているようだ。
ただし「このアイテムはお住まいの国でご利用いただけません」という事でダウンロード出来ないらしい。

遊びたいからといって、非正規のサイトへ行かないように。


birdかと思ったらbadだった [セキュリティ]

中国製マルウェア「HummingBad」、「Android」機器1000万台に感染か
http://japan.cnet.com/news/business/35085407/

8500万台のAndroid端末に感染して月3000万円を荒稼ぎする中国製マルウェア「HummingBad」
http://gigazine.net/news/20160708-hummingbad/


・・・なんの疑いもなく「Humming Bird」と読んでいたら、Birdではなく“bad”だった。


件のマルウェアは、中国にある表向きどこにでもある普通の広告分析会社がバラ撒いていたという。

要するにその辺の普通の会社がやっていたと。


被害は主に中国国内だというが、アジア各国や欧米諸国でも数十万台単位の感染が確認されているとか。

私にとっては特にどうということもない話だが、問題の深刻さでいえばかなり深刻。

技術の高度化が進むにつれて、“それ”を理解出来る人間はどんどん減っていくのに、その技術の恩恵を受ける人が多くなればなるほど理解が進まないために問題が起きまくるという現実。

芸人の有吉の言葉だったか?

「ブレイクするっていうのはバカに見つかるってこと」

という言葉が重い。



追記。

パソコンとはほとんど直接の関係は無い話だが。

今日の参院選選挙は与党が過半数の議席を獲得するのが確実となった。

この結果に対し自民党は早くも「アベノミクスへの信任である」という、あまりにも都合が良い解釈を発表している。私から見れば一見してバカかと思うが、言っている本人は当然そんな表向きの意味とは違う事を考えているのだろう。彼らはわかっていてそういう事をしているのだ。

このブログは政治や経済の問題を扱う場所ではないのでこれ以上は書かないが。

政治や経済に問題があれば、パソコンどころではなくなってしまうのも現実。

この件は以上。



例え悪意はなくとも [セキュリティ]


昨日バイドゥとSimejiに関する記事を書いたのだが、今日はこんなネタが。


中国百度が1月前に公開したChrome互換ブラウザを試した結果→1年前のゼロディ内蔵でした
http://blog.livedoor.jp/blackwingcat/archives/1931608.html


百度のWeb Browser最新版、2年間にわたってBSDライセンス条項を独断で削除。ライセンス違反疑惑?
http://blog.livedoor.jp/blackwingcat/archives/1931657.html


まあ、例え彼らに悪意がなくともバイドゥなど所詮この程度なのだ。

Simejiなどもそうだが、もう使うな、とまでは言わない。言ったところで使う人は使うと思うので。

ただ、使用に関しては十分なセキュリティ対策を行い、自分の行いが他人に迷惑をかけないようにはして欲しいと思う。


前の30件 | - セキュリティ ブログトップ
メッセージを送る