INFOINFO
MAILMAIL

2015年 2月 5日(木)

* 【やじうまWatch】パスワードの変更間隔、16日でも27年でも効果は大差なし? 定量的評価の結果が話題に -INTERNET Watch

総当たり式で攻撃者がパスワードの解析を行って正解を突き止めるまでの平均時間から逆算して、どれだけの間隔でパスワードを変更するのが最適かを検証したものだ。導き出された結果の中で興味深いのは、辞書に載っている10万語を2語組み合わせたパスワードの場合、最適値とされる16日間隔でも、約27年間隔でも、パスワードを変更する効果はそれほど変わらないということ。一方で、4桁の数字パスワードであれば23.5分間隔が最適値だが、それでも平均27.4時間で突破されるということで、パスワードに必要なのは定期変更ではなくむしろ「長さ」であると見ることもできる。

パスワードの定期更新が有効なのは、使用者を特定してパスワードを類推する場合で、辞書を使った総当り攻撃だとあんまり意味ないよねぇ。しかも、頻繁に変更させると使用者が覚えられなくなって結局別の場所に書き出したりするわけで、そうなると元も子もないっていうか。あとは、システム側でパスワードの桁数を制限しているところが多いのも問題で、とくにセキュリティを高めて欲しい銀行系とかカード系が、桁数短めなのが困りもの。いまだに8桁固定とかあるからなぁ…。最低限20桁くらいにしてもらいたいもんだわ。

タグ : [  セキュリティ | テクノロジ | ニュース  ]      Posted by “Lupin” on 2015/02/05 17:07:29

2012年 3月13日(火)

* 個人情報 : 「落とし物のスマホ、拾った人はどう扱うか?」……シマンテックが50台をわざと“放置” | RBB TODAY

スマートフォンを見つけた人のうち、50%がスマートフォンを持ち主に返そうとしたこと、そして、発見者の96%がスマートフォンの中にあるデータにアクセスしたことが判明した。もちろん持ち主を割り出すためにデータにアクセスした可能性があるが、発見者の6割がソーシャルメディア情報や電子メールを見ようとしたこと、発見者の83%が企業情報(「HR Salaries(給与)」や「人事(HR Cases)」といった明確な名前の付いたファイルや、その他各種の企業情報)にアクセスしようとしたことが明らかとなっている。なお「ハニースティック」スマートフォンには、リモートコンピュータやネットワークにアクセスできるように見せかけたアプリケーションも組み込まれており、発見者の49%は「Remote Admin(リモート管理)」アプリを実行しようとしたという。「保存したパスワード」というファイルには、57%がアクセスした。

うは、これはなかなか興味深い調査だけども、返却率が半分ってのはなかなか微妙な数字だねぇ。で、実施されたのはアメリカのニューヨークシティ、ワシントンD.C.、ロサンゼルス、サンフランシスコの4都市とカナダのオタワだそうだけども、もう少し幅を広げてヨーロッパやアジアでもやって各国での反応の違いとかも調べると面白いかも。意外と日本は成績が悪いかもしれんけども(^^;)。

タグ : [  コラム | セキュリティ | 調査  ]      Posted by “Lupin” on 2012/03/13 20:45:59

2012年 2月21日(火)

* 「探検ドリランド」カード不正取得できる不具合 : 社会 : YOMIURI ONLINE(読売新聞)

インターネットのゲームサイト大手「グリー」(東京都港区)は20日、交流ゲーム「探検ドリランド」でシステムに不具合があり、利用者がゲーム内で使用する仮想のカードを不正に取得できる状態になっていると発表した。
(中略)
また、規約で禁止されているにもかかわらず、希少カードが1枚数万円でネットオークションで取引されているケースがあるという。

先週末くらいから2ちゃんを中心に話が広がって「祭り」になってた、レアカード複製話が大手サイトにも掲載されたか。しかし、レアやスーパーレアカードが十万円以上の価格でオークションに並んでたのは、昨年の秋ころからだって話で、今ごろになって「取引されているケースがある」とかってのは遅すぎだろ。

タグ : [  ゲーム | セキュリティ | ニュース  ]      Posted by “Lupin” on 2012/02/21 08:45:59

2011年 2月25日(金)

* asahi.com(朝日新聞社):HPでプログラム使用「犯罪性なし」 岡崎の図書館 - 社会

愛知県岡崎市立中央図書館のホームページ(HP)からプログラムで情報を集めた男性がサイバー攻撃をしたと誤解されて昨年5月に逮捕され、起訴猶予になった問題で、図書館は25日、「男性の行為は犯罪ではなかった」と初めて公式に認めた。図書館と男性がそれぞれのHPで声明を発表し、明らかにした。

いわゆる「Librahack事件」のその後の顛末だけど、ようやく図書館側が自らのシステムの不具合だったことを認めたようだね。もっとも、わけのわからない理由で被害届の取り下げは拒否されたままのようだけど。

タグ : [  インターネット | セキュリティ | ニュース  ]      Posted by “Lupin” on 2011/02/25 17:15:40

2010年12月10日(金)

* asahi.com(朝日新聞社):電圧低下0.07秒、月100億円減収の恐れ 東芝工場 - ビジネス・経済

「0.07秒」の電圧低下が、日本のものづくりを揺るがしている。8日早朝、中部電力管内で電圧が一瞬低下。東芝の半導体製造の主力である四日市工場が一部操業を停止した。コスモ石油四日市製油所も操業を停止したままだ。高い品質の電力に頼る日本の製造現場のもろさを露呈した。

今回の中部電力の「瞬停」、わずかに0.07秒だったわりには、かなり広範囲に大きな影響を及ぼしているね。っていうか、どこも本来ならUPSなり自家発電なりでバックアップしてそうな企業ばかりで、実際それらの装置が稼働していたにもかかわらず被害を出しているってのは、ちょっといただけないというか。電力に限らず、どうも最近はこういう非常時の備えがきちんとできていない企業が多いようなきがするんだけども、大丈夫なんだろうか…。

タグ : [  コラム | セキュリティ | 経済  ]      Posted by “Lupin” on 2010/12/10 15:20:32

2010年 8月 1日(日)

* asahi.com(朝日新聞社):ネット利用のうっかりミス…会社は厳しかった 民間調査 - ビジネス・経済

モデルケース別に懲戒処分の有無を質問したところ、「電子メールの誤送信により、社内機密データを漏洩(ろうえい)させた」場合は85.9%、「許可を得て持ち出した社内機密データをうっかり電車内に置き忘れた」場合は83.4%の会社が「処分の対象とする」と答えた。

この他、「許可を得て持ち帰ろうとした会社のパソコンを車上荒らしで盗まれた」「携帯電話を紛失し、社内機密データを漏洩させた」などの場合も7割を超える企業が処分対象としていた。

まぁ、これは妥当な線だろうなぁ。っていうか、この中だと「車上荒らし」以外は本人のミスで、別にネットうんぬんとは無関係だろ(笑)。車上荒らしに関しては若干同情の余地はあるものの、その危険性のある場所にセキュアデータを置いておくという行為自体がダメだからな。こういうニュース見てて思うことは、これって別にわざわざ「ネットの」とかつけんでもいい話じゃない、ってことかな。

タグ : [  セキュリティ | ニュース  ]      Posted by “Lupin” on 2010/08/01 13:28:03

2010年 1月13日(水)

* Google、中国事業閉鎖の可能性 言論の自由の問題めぐり - ITmedia News

今回の攻撃や、過去1年のWeb上の言論の自由を抑えようとする動きから、Googleは「中国での事業の実行可能性を見直すべきという結論を下し、Google.cnの検索結果の検閲を進んで続けることはしないという決定に至った」という。同社は今後数週間、法の範囲内でフィルタリングせずに検索エンジンを運営できるかについて中国政府と協議する予定で、「Google.cnと中国のオフィスを閉鎖しなければならない可能性もあると認識している」と述べている。

をを、Googleも中国での「自己検閲」に嫌気がさして、ついに撤退の方向で健闘を始めるのか。まぁ、現状では中国国内のシェアは「百度」が圧倒的に握っているようで、Google撤退は中国国内には影響は少なさそうだけど。ま、Googleも堪忍袋の緒が切れたってところなんだろうか。

タグ : [  インターネット | セキュリティ | ニュース  ]      Posted by “Lupin” on 2010/01/13 12:58:39

2009年11月30日(月)

* 安易なユーザー名とパスワードのワースト10、Microsoftが発表 - ITmedia News

1回の攻撃で試されるユーザー名とパスワードの組み合わせは40万通り近くに上り、8〜10文字のパスワードが狙われるケースがほとんどだったが、たとえ10文字以上の長いパスワードでも、辞書に載っているような単語を使っている場合、一部を数字や記号などに置き換えていたとしても安全とはいえないとしている。

これ、Microsoftの設置したハニーポット用のFTPサーバに攻撃を仕掛けてきた攻撃者の情報を分析した結果のようだけど、試されるパスワードの大半が“password”と“123456”だというのは、相変わらずそういう文字列を使う人が多いってことなのかぁ。あと、3番目に多いのが“#!comment:”だったってのもなかなか興味深いな。これって、そんなにポピュラーな組み合わせなのかねぇ?

タグ : [  セキュリティ | ニュース | 調査  ]      Posted by “Lupin” on 2009/11/30 13:15:31

2009年11月12日(木)

* asahi.com(朝日新聞社):ハッカーが米決済システム侵入 世界のATMから8億円 - 社会

米司法省は11日、英銀大手ロイヤル・バンク・オブ・スコットランド(RBS)の米決済処理部門RBSワールドペイのコンピューターシステムに侵入し、世界主要都市にある現金自動預払機(ATM)から900万ドル(約8億1000万円)を盗み出したとして、米ジョージア州アトランタの連邦大陪審がロシアや東欧のハッカー8人を起訴したと発表した。
(中略)
これを利用して日本や米国、イタリアなど少なくとも280都市の2100台に上るATMから現金を引き出した疑いがある。昨年11月初めに実行され、わずか12時間以内で行われたという。

12時間で280都市の2100台のATMを操作したってことは、少なく見積もっても出す係の人間が100人は必要な気がするんだけど、そいつらに払う手数料(っていうか分け前)だけでも、結構バカにならない金額になりそうだねぇ(^^;)。

タグ : [  セキュリティ | ニュース | 犯罪  ]      Posted by “Lupin” on 2009/11/12 09:23:45

2009年 2月23日(月)

* asahi.com(朝日新聞社):Winny流出で通報 女子高生盗撮容疑で男を逮捕 - 社会

藤原容疑者がパソコンに保存していた画像などのファイル数百点は今月上旬、「暴露ウイルス」と呼ばれるコンピューターウイルスに感染したファイル交換ソフト「Winny」を通じてネット上に流出。ファイルの中には、盗撮画像とともに容疑者を特定できる個人情報が含まれており、ネット利用者からとみられる通報が7、8日の両日、同署に3件寄せられた。

Winnyを介して個人ファイルが流出するって話は別に珍しくもないけど、その中に犯罪を示唆するものが含まれていて、それが元で逮捕されるってのは初めてなのかもしれんねぇ。ま、自業自得ってことだけどね。

タグ : [  セキュリティ | ニュース | 犯罪  ]      Posted by “Lupin” on 2009/02/23 21:40:16

2009年 2月13日(金)

* ポリスチャンネル、“防犯戦隊フリコマン”のイベント映像を配信 - BB Watch

「防犯戦隊フリコマン」は、2008年11月に警視庁葛飾署が誕生させたご当地ヒーロー。葛飾署のWebサイトによれば、フリコマンは「この世から犯罪による被害を撲滅するため、特別に選ばれた警察官により構成された、犯罪と戦う集団」という設定で、メンバーはフリコマンのほか、2次元キャラクターを3次元へと連れ出した「本田あやめ巡査」など5名。

えーっと、まぁ、その、うん、名前はわかりやすいよね、「振り込まん!」と完全に否定してるしね。でも、「2次元キャラクターを3次元へと連れ出した」ってのが、すごいんだ。どうすごいかって、これだからね…orz

タグ : [  インターネット | キャラクタ | セキュリティ  ]      Posted by “Lupin” on 2009/02/13 20:30:28

2009年 2月12日(木)

* 経済産業省、ニューアイドル「セキュリーナ」を起用してパソコンのセキュリティ対策を呼びかけ - GIGAZINE

最初に見たときは目を疑いましたが、これぐらい目を引けば対策呼びかけにはちょうどいいかもしれません。

うはー、経済産業省、すげーな、ここまでやるのか(笑)。しかも、キャラクタ化だけならともかく、PV付きで歌まで作っちゃうとは、どうかしてるぞ、経済産業省(褒め言葉)。

タグ : [  GIGAZINE | インターネット | キャラクタ | セキュリティ  ]      Posted by “Lupin” on 2009/02/12 13:41:04

2009年 1月 1日(木)

* 「生体認証」破り入国、韓国人女がテープで指紋変造 : 社会 : YOMIURI ONLINE(読売新聞)

このシステムはテロリストの入国阻止を主な目的に40億円以上をかけて導入された。比較的単純な手口で破られた可能性が浮上したことで、入国審査のチェック体制とともに、テロ対策についても見直しを迫られることになりそうだ。

うむー、最新のテクノロジも、やっぱり比較的アナログな方法で破られてしまうものなんだなぁ(^^;)。ま、実際にはアナログに見えても、かなりのテクノロジが使われているんだろうけどね。しかし、成田や関空のハブターミナルじゃなく、こういう地方空港から入国されるとなると、なかなか監視の目も行き届かない気もするんで厳しそうだな。

タグ : [  セキュリティ | テクノロジ | ニュース | 犯罪  ]      Posted by “Lupin” on 2009/01/01 14:10:17

2008年11月28日(金)

* asahi.com(朝日新聞社):携帯大好きオバマ氏ピンチ ホワイトハウスでは所持に壁 - 国際

まずハッキングされたり電話機を紛失したりして、外部に情報が漏れる恐れがある。また、法的に個人メールもすべて大統領の公式記録となるため、自由に削除もできず、最終的には公開対象となり、議会などの召喚の対象にもなってしまう恐れがある。

クリントン、ブッシュ両大統領は在職期間、電子メールの使用をあきらめたという。

をを、さすがにアメリカの大統領ともなると、個人的な電子メールのやり取りも「公」の記録となってしまうのか、なるほど。でも、ケータイ依存症から抜け出すにはいい機会かもね(笑)。

タグ : [  コラム | セキュリティ | 政治  ]      Posted by “Lupin” on 2008/11/28 21:11:53

2008年10月 1日(水)

* 「楽天メールマガジン情報漏洩続き」@水無月ばけらのえび日記

URLにセッション追跡や認証のための情報を埋め込む手法については、ずっと前から「Refererから漏洩する」という危険性が指摘されてきました。逆に、「ユーザが自分で積極的にリンクする」なんてことはあまりないだろうと思っていましたが……ソーシャルブックマークの普及によって気軽にリンクができるようになり、ユーザが自分でリンクしてしまう可能性も増しているわけですね。

今秋の頭くらいだったか、「楽天から個人情報が流出」ってな話が出てて、実際、Googleで指定されたキーワードで検索すると、ぞろぞろと個人情報の乗っかってたページの履歴が出てたんだよね。で、楽天サイドでも急遽、該当ページをメンテナンス状態にして、対応策を探ってたみたいなんだけど、どうやらこの件、ユーザサイドでの迂闊な取扱いに問題があったのが原因だったようで。
っていうか、こんなにたくさんの情報が流れるほど、SBMに個人ページを残しているってのが、なんとも無防備というか。こればっかりは、ユーザサイドの意識を高めるしか対応方法はないだけに、厄介な問題ではあるね。っていうか、でも、普通に考えたらやらないと思うんだけど…

ちなみに、FirefoxでGreaseMonkeyを使ってる人は「Greasemonkey 用スクリプト - Deny Rakuten News」をインストールしとくと、楽天の注文画面でいちいちメルマガ購読のチェックを手動で外さなくて済むので便利かも。

タグ : [  blog | まとめ | インターネット | セキュリティ  ]      Posted by “Lupin” on 2008/10/01 13:33:31

2008年 8月 1日(金)

* 妹の質問に答える非常に斬新なPHP用のCAPTCHAモジュール「妹認証」 - GIGAZINE

なお、作者のブログによると「なかなかログインさせてくれないツンデレモードも実装予定」らしいので、この妹認証を使えば、味気ない通常の認証と違って、ほんわかした気分になれるはずです……。

えーっと。まぁ、なんというか…

でも、こういうのでも、そのうち対応してくるBotが出てくるのかなぁ。兄Botとか言って…

タグ : [  GIGAZINE | インターネット | セキュリティ  ]      Posted by “Lupin” on 2008/08/01 23:37:45

2008年 7月 3日(木)

* McAfeeが実験:迷惑メールのリンクをクリックするとどうなるか - ITmedia News

期間中にボランティア10人が受信したスパムメールは計10万4000通あまり。1人当たり2096通、1日に約70通を受信した計算になる。内容はフィッシング詐欺メールやマルウェア感染サイトにリンクさせたメールが多数を占めた。

んー、1日に一人70通って、別にあやしいリンクをクリックしなくても、どっかでアドレスを曝してたら受け取るSpamと変わらないんではないだろうか? ウチだって、それくらい毎日受け取ってるなぁ(実際には半数以上はRejectしてるから、正確には受け取ってないけど)。
まぁ、マルウェアやらを仕込まれる可能性は高いだろうから、むやみに踏むのはやめとく方がいいと思うけどね。

タグ : [  インターネット | セキュリティ | 実験  ]      Posted by “Lupin” on 2008/07/03 13:05:18

2008年 6月20日(金)

* 「Winnyにハマった懲戒免職までの日々」——空自が“自虐ポスター” - ITmedia News

「家族にも内緒で毎晩ファイル共有ソフト」

「Winnyにハマった懲戒免職までの日々」

「どんだけ〜!公私の区別がつかない隊員達 平気で秘密文章をコピー、仕事を家に持ち帰る上官」

うは、これはひどい、ひどすぎる(褒め文句(笑))。いや、いいねぇ、こういう自虐的なセンス。で、これのあとに同じような問題をおこしちゃうとまずいからねぇ、ホント、気を付けてくださいね(^^;)。

タグ : [  セキュリティ | ニュース  ]      Posted by “Lupin” on 2008/06/20 20:12:53

2008年 2月21日(木)

* 日本のネットユーザー、セキュリティ対策は「最低」——シマンテック調査 - ITmedia News

 調査は昨年11月12日から12月17日にかけ、日本、米国、英国、ドイツ、フランス、オーストラリア、中国、ブラジルの計7404人(18歳以上の「成人」4687人、8〜17歳の「子ども」2717人)を対象に、ネットで実施した。
(中略)
 日本の成人の93%が「セキュリティソフト無しのネット利用に不安を感じる」と答えたが、セキュリティソフトを導入している成人は61%、パスワードを頻繁に変更しているのは13%と、どちらも8カ国中最低だった。
へぇ、これはちょっと意外な結果って感じだな。わりと日本のユーザは、きちんとしてるのかと思ったんだけどねぇ。でも、こういう結果が公表されると、今後、日本のユーザを対象とした攻撃なんかが増えてきそうな感じもするなぁ(^^;)。
タグ : [  インターネット | セキュリティ  ]      Posted by “Lupin” on 2008/02/21 23:36:54