https://ameblo.jp/chibitrin/ ま、かけるものは何でも　(^_^;) ja

最後に記事を書いてから、すでに3ヶ月が経っていた。
なんてこった。サボるにもほどがあるよなぁ～

こうしている間にも、世間ではいろいろな事件や事故が起こっていますね。
例えば…

カード情報窃盗で3人が起訴された（被害規模は過去最大の1億3000万件）　　とか
中国政府のフィルタリングソフト導入の目論見が失敗に終わった　　とか
IE8がセキュリティテストでFirefoxやGoogle Chromeに勝った　　とか
攻撃のターゲットのトップはソーシャルネットワーキングサービス（SNS）　　とか
新しいウイルスの52％は、その生存期間が24時間　　とか

その他にも、たくさんありますねー。
まぁ、今回は細かいことは割愛させていただきます（って放置しておいて、ソレなの？！）

では、この辺で…　　　えぇぇぇっ




]]> https://ameblo.jp/chibitrin/entry-10323401761.html Tue, 18 Aug 2009 23:39:18 +0900
個人情報をネット上に公開するのは危険！　ってのは分かっているけれど、殺人の道具にされるなんて…。ホント、怖い世の中になったもんだ。

ドイツ出身のDavid Heiss（21）は、今回被害者となったMatthew Pykeさん（20）の彼女であるJoanna Wittonさんに対し狂信的な想いを抱いていた。

PykeさんとWittonさんは、任天堂DSの「Advanced Wars」というゲーム向けのフォーラムを通じてHeissと知り合った。Heissは、その後Wittonさんに対し恋愛感情を抱くようになり、何度も彼女のFacebookプロファイルを訪問する。しかし、ネット上の付き合いのみでは物足らなくなり、ついには彼女とPykeさんの暮らす英国のアパートを訪れ、彼女に会いに行った。彼女らが住んでいるアパートの住所や勤務先など、必要な情報はすべてネット上から得ていた。

こうしてはるばる英国まで彼女に会いに行ったわけだが、当然門前払いをくらってしまう。で、どうしたかというと、それから1ヶ月の間英国に滞在し、彼女をストーキングした。これが昨年7月のこと。

その後、一度はドイツに戻ったが、あきらめきれず8月に再度彼女のもとを訪れる。このときも、彼女からは会うことを拒絶される。これをきっかけに、Heissはフォーラム上に脅迫状を送るようになる。が、もちろん彼女は本気にしない。「ネット上での脅迫なんて、よくあることだと思っていたわ」というWittonさん。

そして、9月。Heissは再び彼女らのアパートを訪れる。それでも彼女に会えないHeiss。溜まりに溜まったフラストレーションを抑えられず、持参したナイフでPykeさんに切りかかってしまう。

Pykeさんは、大量出血により死亡。彼の体には、なんと86箇所にもおよぶ刺し傷があった…

裁判によりHeissに下った判決は、「無期懲役」。

ネット上のトラブルが殺人事件にまで発展した今回のケース。稀なケースかも知れないが、改めてネットの怖さを思い知った感じがする。普段、何となく書いているブログや、特に考えもせずに投稿した記事やコメント。そこには、自分でも気づかないうちに多くの個人情報が含まれているのかも知れない。

例えば、俗にプロファイラーと呼ばれる人々は、掲載された写真や記事の内容から、その個人の私生活や普段の行動が分析できるという。家族構成や友人関係、行きつけのお店、職業、好きな食べ物、飼っているペットの名前、通常使用する交通機関など、様々な情報を得ることが可能だ。

今回の事件を受けて、警察はネット上への個人情報の開示について、さらに注意するよう警告している。

別の場所に書いている自身のブログを読み返してみたが、写真も割とたくさん掲載しているし、どこどこに誰と行った、などという情報も多く書いてあるなぁ。参加しているコミュニティからも、どんな人間なのかが分かってしまうし。かと言って、ブログを公開している以上、暗号文みたいなのばかりでは、読んでくれる人もつまらないだろうし（イヤ、反対にそのほうが面白いのか？）

言論の自由…　　

自由を求めるには、それなりのリスクも背負わなければならないということか。テレビ放送で、放送禁止用語を使ったら「ピーッ」って鳴るように、あまりにも個人的な言葉を書き込んだら同じような警告音が出る仕組みってないかなー？

私は昨日、Ａさん（ピーッ）と○×公園（ピーッ）で…

って、書きずれぇ～

やっぱり、最後は自己責任だな。
]]> https://ameblo.jp/chibitrin/entry-10259714647.html Tue, 12 May 2009 21:58:43 +0900

いつも思うけど、アメリカ人のアバウトさには驚かされる。

昨日、カリフォルニアのゴルフ場に予約のための電話をかけた。こっちは夜中の4時、向こうは昼の12時。コレだけ時差があるのに、ほぼ同じくらいどっちもテンションがなのには笑えたけど。必要事項を伝え、予約を取り付けると、「確認メール送る？」と聞かれたので、「うん、ぜひ」と答えると、数分のうちに送られてきた。

内容を確認しようと中身を見ると…

え？予約した名前のスペルが違うんですけど…　予約の人数も違うんですけど…

念のために言っておくが、これは英語という言葉の壁が原因ではない。一応、英語での日常会話くらいはできるし、電話では正しい情報が伝わっていることも確認している。すぐさまメールに返信し、確認メールの内容に誤りがあること、修正して再度新しい確認メールを送信してほしいことをお願いする。さっき、レスが早かったから、今度もすぐに対応してくれるだろう。

しかし、30分待っても連絡が来ない。だんだん（酒が切れてきて）眠くなってきたし、かといって気になったまま床に就くこともできないので、再度電話をかける。

Ring Ring Ring

"This is XXX, can you hold?"

あー、はいはい、待ちますよ。

あ、余談だけど、上記はアメリカではよくあること。電話に出たと思ったら、その第一声が「わり、ちょっと待って」って。しかも、相手が「NO」と言うことは全く想定していない聞き方。まぁ、まず日本の会社ではありえないよな。慣れてる人間にはどってことないけど、英語での電話に慣れていない人は大抵面食らってしまう。もしくは、聞き取れない（この場合、質問文なのに語尾を上げないから特にね）。で、「え？何？」って考えている間に、ブチッって保留にされちゃうんだよね。

それはともかくとして、数分後つながった別の担当者に、届いた確認メールの内容に誤りがあったことを伝え、直してもらう。次に送られてきた新しい確認メールには、きちんと正しい情報が記載されていた。　なので、安心して眠りに就く。

で、今日。ｲﾔ、正確には電話したときから日付は変わってないけどね。最初の担当者からメールが届いた。

「あー、あの確認メールは、要は時間が分かればいいんだよー。後の情報はぶっちゃけそれほど重要じゃないんだよねー」ってな内容。

えぇぇ？！　いいのか、そんなアバウトで？　朝から脱力してしまいましたよ。

でも、思えばアメリカの中小企業なんて、そんなのが多いよなー（さすがに、大きいところはもう少ししっかりしてると願いたいが）。で、考えた。今、日本でも少しずつではあるが普及しつつあるPCI DSS。発信源のアメリカでは、既に多くの企業がPCI DSSに準拠済みだ。しかし、PCI DSSってのは、もちろん最初に準拠するときもそうだが、その後準拠した状態を維持していくのも大変な基準である。アメリカの中小企業で情報漏えいやセキュリティ侵害が発生するのは、こうしたアバウトさが一つの原因なんじゃないか？アメリカに限ったことではないが、セキュリティ対策において、「あー、まぁ、こんなもんでいっかぁ～」という妥協的な姿勢がクセになってしまうと、絶対に抜けが生じる。もちろん、きちんと現状分析をしたうえで、関連するリスクを理解、その一部を許容するという前提があるなら別だ。

昨今、情報セキュリティに関する基準が次から次へと出てくるけど、どうも基準に振り回されている気がしてならない。みんな、基準に準拠しようと躍起になっているけど、基準はあくまでも基準。基準に準拠したからって、攻撃されないという保証はないのですよ。

企業は、「準拠」が目的ではなく、「保護」を目的としてセキュリティに取り組んでほしいな。



]]> https://ameblo.jp/chibitrin/entry-10240985503.html Sun, 12 Apr 2009 04:20:08 +0900

完璧なセキュリティとはいかないんだなー

BBCニュースによると、英国内務省のセキュリティ＆エロ対策…　　じゃなかった、テロ対策委員会に関する情報提供ページに、日本のアダルトサイトへジャンプするリンクが埋め込まれていたらしい（現在、そのリンクは削除されているので確認はできなかったけど。残念…　　ぇ）。

本来なら、当該のリンク先は、テクニカルアドバイザリボード（技術的な相談や問い合わせを受け付ける部門）になっている。ところが、「ぽちっ」とやると、艶かしいお姉さんたちが出てくるんで、そりゃびっくりするよな。特に英国は、ポルノグラフィに関しては厳しい国だしねぇ。

発見者のMike Riley氏は、同日に施行された、電子メールおよびインターネット電話の記録の保存に関するISP向けの新しい規制について情報収集をしていたところ、偶然このリンクの存在に気づいたとのことだ。で、すぐさまBBCに連絡したらしい（BBCの記事には書いてなかったが、先に内務省に連絡したことを願う）。内務省は、後にBBCに対して、「この問題については、リンクがどのようにして埋め込まれたのかを含めて、現在調査中」とのコメントを出している。

ちなみに、英紙のThe Registerでは、今回の騒動のことを「Japanese-Porn-Home-Office-Penetration Op」と呼んでいる。

うひひ

Get it?
]]> https://ameblo.jp/chibitrin/entry-10238080485.html Tue, 07 Apr 2009 06:23:24 +0900

When I am down, I think of a girl who used to be very close to me. I am who I am, thanks to her being in my life.

This is how her story goes...

She was born and raised in a perfect family who loved her dearly. She was smart, outgoing, adventurous, and determined. She had a dream and her strong determination led her to leave the comfortable life she'd been living for something completely new and uncertain. She thought she was ready. She thought she could conquer the world.

Well, she wasn't. She wasn't as prepared as she thought she was and did not have the slightest clue of what lies in her path. She ended up going through a life which no women (or men) should go through...

She was used, abused and cheated. She was beaten and raped. She was threatened to be killed with a gun. She went through an abortion scarring her from both inside and outside, physically and emotionally. She had eating and sleeping disorders, She became depressed and easily irritated. And one day, enough was enough, the thin piece of thread that held her sanity together finally broke.

She attempted to commit a suicide... She just wanted to put an end to everything...


Thanks to God, her suicide attempt was not successful. At least physically, that was. Psychologically? I am not so sure. She volunteered to spend some time in a mental health facility on that day, not because she wanted to get rehabilitated. She volunteered because if she didn't, cops would hand-cuff her and forcibly put her in a maximum security loony bin with 24/7 monitoring.

Today, she lives in a place where the Sun doesn't shine. She did not die when she put a gun to her head, but she decided that she would never show her face to anyone as long as she lives.


My life is not perfect. There are many things that I desire but don't get. However, what I am going through now is very trivial compared to what she had to go through.

So, when I am feeling down or run into a brick wall, I always think of her life and be greatful that I still have miles and miles until I hit the rock bottom. Thinking of her reminds me that I am still at a point where I can climb right up. Life can be hard sometimes, but when you realize you are not alone, you could gain your strength and courage to sail out into the rough sea once again...

]]> https://ameblo.jp/chibitrin/entry-10236750560.html Sun, 05 Apr 2009 03:43:23 +0900

そーいえば忘れてたけど、EV SSL証明書も偽装可能だっていうことが話題になってたよなー。
二人のセキュリティ研究者が「CanSecWest 2009」カンファレンスで発表してたっけ。

ちょっと前にMD5アルゴリズムへの衝突攻撃を利用して、SSLサーバ証明書の偽装が可能　ってニュースが駆け巡り、主要な認証局は、MD5アルゴリズムを利用したSSLサーバ証明書の発行を今後行わないと宣言したよね。

で、これまではEV SSL証明書はこの攻撃の影響を受けないとされていたんだけど、そーでもなかったらしい。この二人の研究者、Zusman氏とSotirov氏によると、MD5アルゴリズムを使ったサーバ証明書同様、偽装が可能とのこと。MITM攻撃を実行して、ブラウザのアドレスバーに例の「緑色のボタン」を表示させることが可能なんだって。信頼されているサイトと見せかけるためにね。

もちろん、攻撃者は予め正規のEV SSL証明書を取得しておく必要がある。しかし、これについてもそれほど難しくナイらしい。例えば、Mozilla.comなんかだと、なーんにも聞かれずに証明書が取得できるって。　ぇぇ～

あとは、JavaScriptを埋め込み放題ってことか…

原因は、アルゴリズムうんぬんより、ブラウザが本物と偽者を区別できないことにある。設計的な問題なのね。


緑色してるからって、暗に信用しちゃいけないってことだ。
セキュリティは、「まず疑うことから」ってのは基本だしね。



あー、アタシの嫌いピー○ンも緑だったなー。やっぱり、信用できん…　　ぇ



]]> https://ameblo.jp/chibitrin/entry-10233392335.html Mon, 30 Mar 2009 19:45:21 +0900

2009年3月26日で10歳になったメリッサちゃん。　おめでとー

え？

メリッサちゃんって誰かって？　それはもちろん

「あなたに頼まれてた例のアレ、送ったわよ。誰にも見せちゃダメだからね」

って甘い言葉で爆弾を送りつけてくるヤツですよ。


そうそう


ウ　　イ　　ル　　ス　


メリッサ（Melissa）ちゃんは、Word文書を介して感染したマシンのOutlookを利用し、アドレス帳に登録されているユーザの中から50人を選択して、ウイルス付きの電子メールをガーッてそれらアドレスに送りつける。


もう、10歳になったんだねぇ…　　この10年の間にたくさんの後輩も生まれたし。　感慨深いねぇ～　　ぇ



]]> https://ameblo.jp/chibitrin/entry-10231665709.html Fri, 27 Mar 2009 18:50:44 +0900

PGPって知ってるよね？

そう、「Pretty Good Privacy」の略で、暗号化ソリューションを提供している企業。その暗号化ソリューションは、“世界標準”であることをウリにしている。

そこが、とんでもない初歩的ミスをしてしまったんです。


PGPも、他の企業同様、ユーザや見込みユーザに対して販促資料や営業メールを送信している。今回のミスも、その営業メールが原因となった。担当者は、30日の評価版（トライアル版）を同社のホームページからダウンロードしたユーザ約300人に対して、「もっといい製品がありますよ」というメールを送信した。PGPだって顧客獲得のための活動は必要だもんね。

問題は、メールの宛先。本来なら、メールを一斉配信する場合、他の受信者にそれぞれのメルアドが分からないよう「BCC」に入れるのが基本だよね。ところが、PGPは今回それをやらなかったんだなー。

だから、300人分のメルアドがみーんな他の受信者に露呈しちゃった。

さらに、さらに、

苦情のメールを返した受信者が「全員に返信」で返しちゃったもんだから、問題がより大きくなった。


恥ずかしながら、自分も何度か間違えてメールを送信したことがある。（てか、きっと誰もが一度はやってるはず）


でもね、一介のユーザならともかく、PGPがそれをやっちゃマズイでしょ。しかも、その営業メールには「企業の機密情報や顧客情報の保護には、ぜひ我が社の暗号化ソリューションをご検討ください」って…


説得力ねぇぇぇ～


メール送信の際は、宛先をちゃんと確認しましょうね

]]> https://ameblo.jp/chibitrin/entry-10230369949.html Wed, 25 Mar 2009 12:36:54 +0900

Googleのキャッシュからクレジットカード情報がだだ漏れだそうな。

え？また？これで何回目だ？


すでに死んでる（機能していない）サーバに格納されているデータのキャッシュのコピーから2万2,000件のクレジットカード情報が露呈した。そのほとんどは米国と英国の利用者のものらしい。Googleのキャッシュを通じて取得できる情報には、クレジットカード番号、有効期限、カード所有者の氏名、住所なんてのが含まれている。Googleの検索エンジンを駆使すれば、誰でも見れてしまうこの情報、1万9,000件は今でも有効なカード情報である可能性が高いんだってさ。

問題のサイトは、クレジットカード犯罪に使用されていたもので、ここにカード情報を「ダンプ」していたと推測される。このサーバが登録されていた先はベトナム。

こんなだから、「Googleハッキング」なんて言葉が生まれたんだよなー。特別な攻撃ツールは必要とせず、言ってしまえばタダ検索すればいい。（まぁ、検索テクニックは必要だけど）

便利な機能ってのは、良い人にとっても悪い人にとっても、平等に便利なんだな。



]]> https://ameblo.jp/chibitrin/entry-10230212713.html Wed, 25 Mar 2009 01:32:36 +0900

最近、あちらこちらで「クラウド」という言葉を聞くようになってきたねぇ。

そんな中、電子プライバシー情報センター（EPIC）が、米連邦取引委員会（FTC）に対して、「Googleの“クラウドサービス”を調査しろ！」という嘆願書を提出した、というニュースが飛び込んできた。「ユーザのデータを安全に保管できないなら、そんなサービス閉鎖すべきだ！！」とね。

そもそも、何でこんなことになったのか。

事の発端は、特定のGoogle Docsファイルが権限のないユーザからも閲覧可能だったこと。Googleによれば、保管されているそれらファイル全体の0.05％が影響を受けたらしい。

EPICは、以前マイクロソフトのサービス（Passportサービス）についても、似たような嘆願書を出している。

「Googleは安全だ、安全だ、とそのホームページでも謳っているが、本当のところはどうなんだ？」というのがEPICの知りたいところ。で、FTCに調査依頼を出したというわけ。

これに対しGoogleは

「嘆願書のコピーはもらったけど、まだ詳しく見てないんだ。だけど、Googleを含め、多くのクラウドコンピューティングサービスは徹底したポリシーや手順、技術を採用して高度なデータ保護を行っているんだ。ユーザのPC上で管理するより、よっぽど安全だよ。我々は、ユーザのデータがどれほど重要かを認識しているし、それを保護する義務を誰よりも深刻に受け止めているよ。」

と、述べた。　ｲﾔ、実際はこんな口調じゃなかったと思うけどｗ

先週は、マイクロソフトのAzureも22時間ダウンするっていう障害があったしなー。それについては、まだ詳しい原因の説明はされていないし。

クラウドは便利だし、コスト削減にも有効だけど、安全に利用できるまでにはまだまだ沢山の課題がありそうだ。

が　ん　ば　れ　～
]]> https://ameblo.jp/chibitrin/entry-10227118685.html Thu, 19 Mar 2009 20:35:06 +0900