アーカイブ

2005 年 7 月 のアーカイブ

買ったばかりのWindowsPCを直でインターネット接続すると4,5分でボットに感染する?

2005 年 7 月 27 日 コメント 6 件

「買ったばかりのWindowsPCを直でインターネット接続すると4,5分でボットに感染する」という話を聞いたのですが、皆様のところにはそんなにトラフィックが来ていますか?

ダイアルアップもまずいってことですよね・・・。

カテゴリー: 情報セキュリティ タグ:

フィッシング対策にニ要素認証は有効か?

2005 年 7 月 24 日 コメント 1 件

乱数表を用いた二要素認証を用いたソリューションに関する記事がITProに掲載されている。

 加えてDowner氏によると,IdentityGuardはフィッシング対策にも使いやすいという。「乱数表を使って送信者認証を実現できる」(Downer氏)とするためだ。具体的には,事業者からユーザーに送るメールの中に,特定の行/列とそこに位置する数字の組み合わせ(例えば,「A列3 行の数字は『4』」)をいくつか記載して送信する。乱数表の情報を知っているのは事業者とユーザーだけなので,この情報が正しければ,そのメールは事業者から送られてきたことが確認できる。

オンラインバンキングなどで認証に使用する質問と答を平文(と思われる)メールの中にセットで書き込んで銀行側から送信するというのはなんとも大胆な発想だ。パスワードに相当するものをメール送信し送信者認証を行うとなると一度でも本文が漏れればリプレイ攻撃が可能になるし、ユーザがオンラインサービスのために利用する乱数表と同じものを送信者認証にも使用するのであれば、銀行が自ら「なりすまし」のためのヒントを漏洩していることになる。

二要素認証でフィッシングで情報を盗まれたとしても、一要素は動的に(乱数表を使って)生成するのでMan-In-the-Middle攻撃をされない限りはパスワードだけの一要素認証より若干安全ですと言うなら話はわかる。

 「ファーミングも心配するような,より高度なセキュリティを求めるシステムには,PKIを利用したVPNソリューション『Entrust TruePass』を提案する」(同氏)。TruePassでは,デジタル証明書を使ってクライアントとサーバー間の認証およびデータの暗号化を行うので,ファーミング対策にもなるという。

「ファーミングを心配する」のが「より高度なセキュリティ」なのかという疑問はおいておくにしても、PKI-VPNを利用してオンラインバンキングサービスを提供するとなれば、同社のいうコストの問題が出てくるため現実的でないだろう。いったい誰のためのファーミング対策だろうか?そもそも、通信の相手を認証するという意味では「フィッシング」も「ファーミング」も同じレベルの脅威となる筈である。

乱数表を使った二要素認証自体はクライアントの認証のためにすでにいくつかのオンラインバンキングでも使われているが、使い方を誤ると新たな危険を生み出す可能性がある。歴史あるセキュリティ専業ベンダーがこのような危険に対する配慮をしていないとは思えないが、今回の記事からは読み取ることができなかった。

【参考情報】
「フィッシングにはニ要素認証で対抗する」――カナダEntrustの上級副社長(ITPro, 7/22)
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050722/165128/

カテゴリー: 情報セキュリティ タグ:

ウィルス作者情報提供者にMS社より25万ドル(2,800万円)提供

2005 年 7 月 9 日 コメント 1 件

2004年5月に出現し、世界中に大きな被害を及ぼしたSasserワームの作者である19歳の少年が、5月に逮捕され今週8日に1年9ヶ月の保護観察と30時間の奉仕活動の刑が確定したことを受けて、マイクロソフト社からワーム作者特定につながった情報提供者2名に対し計25万ドル(約2800万円)が支払われたとのこと。一人当たり1400万円とすると結構な額だ。

これはマイクロソフト社が2003年から行っているマイクロソフト・ウイルス対策報奨制度(Microsoft’s anti-virus reward program)によるもの。

情報セキュリティの確保を狙いとした一アプローチとしても興味深い。

「セキュリティ賞金稼ぎ」という職業が成立する日も近い?

【参考情報】
Microsoft to Pay Reward to Sasser Worm Informants(Microsoft, 7/8)
http://www.microsoft.com/presspass/press/2005/jul05/07-08SasserRewardPR.mspx

Interpol joins Microsoft in fight against cybercrime(Interpol ’03/11/5)
http://www.interpol.int/public/icpo/pressreleases/pr2003/pr200331.asp

カテゴリー: 情報セキュリティ タグ:

不正侵入容疑で留学生逮捕

2005 年 7 月 6 日 コメント 1 件

昨日のエントリーで、価格.comの事件について

PS. ぜひとも第2弾で犯人逮捕までの追跡劇を描いてもらいたい。

と書いたところ、日経に「旅行会社のサーバーに不正侵入容疑で留学生逮捕・警視庁」という記事が掲載された。

「男は今年1月から6月にかけて、価格比較サービス大手「カカクコム」(東京・文京)のサイトや、人材派遣大手「アデコ」(東京・港)、静岡新聞が運営する就職支援サイトにも不正に侵入した疑いが浮上しているという。」(NIKKEI NET)

絶妙のタイミングだ・・・。

【参考情報】
旅行会社のサーバーに不正侵入容疑で留学生逮捕・警視庁
http://it.nikkei.co.jp/security/news/index.aspx?i=2005070509837ca

カテゴリー: 情報セキュリティ タグ:

ガイアの夜明け(7/5)

2005 年 7 月 5 日 コメント 2 件

情報セキュリティ被害の大変さ、深刻さが描かれていたのでそれなりに啓蒙の意味はあったのかもしれないが、情報セキュリティの観点からは不完全燃焼の感がぬぐえない。

「何が原因で、どうすれば被害を防げたのか。」
「被害発生時の対応はどうあるべきだったのか。」
「同種の事故防止に向け今後何を整備していかなければならないか。」

というような話題は一切触れず、不気味なハッカーを神格化し、視聴者の恐怖心を煽り、被害を受けたらひたすら徹夜でシステムを再構築、挙句の果てに「ウィルス対策ソフトのパターン更新」と「万全のセキュリティ対策」の一言で全てを片付けるとは・・・。

ん、まてよ・・・。ウィルス対策ソフトのパターンを更新していたら今回の攻撃は防げたということなのか?

そもそも価格.comさんは記者会見で「最高レベルのセキュリティが破られた」と言っているわけなのでそれはさすがにないと思いたいが・・・。

PS. ぜひとも第2弾で犯人逮捕までの追跡劇を描いてもらいたい。

【参考情報】
「サイバー攻撃との闘い~IT犯罪から会社を守れ~」
 日経スペシャル「ガイアの夜明け」(7/5火, 22:00放送)
http://www.tv-tokyo.co.jp/gaia/backnumber/preview050705.html

カテゴリー: 情報セキュリティ タグ:

開かれた警察

2005 年 7 月 4 日 コメント 3 件

免許証の住所変更のため、警察署を訪れた時のこと。

「あ、そこの欄は免許証のこの長ったらしい数字を書いてね。」などと、驚くほど親切なお巡りさんに変更届の書き方を教えてもらっていたところ突如館内放送が流れた。

「緊急配備!△△○丁目☆☆ビル、セ○ム異常感知!」署内が騒然となり何人かの警官が急いで署外へ駆け出す。先ほどまでパソコンを操作していた警察官達も手錠のついたベルトを着用しながら次から次へと現場へ向かう。頭の中では「踊る大走査線」のBGMが・・・。

警察署内では私の記入に付き合ってくれている警察官と何人かが残っているだけになり、先ほどまでに比べかなりガランとした感じに・・・。

「皆出払っちゃって大丈夫なんですか?」
「いやいや他にもたくさんいるから大丈夫なんだよ。」とお巡りさん。

しかしセ○ムの通報でこれだけ多数の警察官が対応してくれるとは驚きだ。

そのことを話すと、「最近の泥棒は凶暴だし、警備員だけでは何もできないからね。」と親切なお巡りさん。

なるほど、警備員だけでは犯人が武器を持っている場合に危険だし、内部からロックされた場合に扉をこじあけたりすることもできないそうだ。

しかし、これを見て思ったのは、警察署内の動きがこんなにも一般人に筒抜けになって良いのか?ということだ。どこで何が起こって、誰がどう対応して何人が現場に駆けつけたか、残された警官がどの程度いるのか、署内を観察することで、その後の対応の様子もかなり詳細にわかる。

受付カウンターからはパソコンで作業中の画面や机の上の書類なども丸見えだ。窓口のある大部屋にいるのは、窓口業務担当だけかと思っていたがそうでもないらしい。

そういえばどこの官公庁でも警察署でも用があって訪問すると、担当者の机の脇まで簡単に入れてしまうことは珍しくない。開かれた官庁や警察のイメージを持ってもらうための作戦とも言えるが、この個人情報保護法の時代には少し無防備な気もする。官公庁における物理アクセスの制限は職員のこれまでの文化や業務の要領も関係するので急に変えるのも難しいのかもしれない。

開かれた警察署内で見るお巡りさん達の勇士は頼もしくて良いのだが、それが誰でも見える状態というのは別の意味で不安にも思える。

P.S. そういえば区役所では住基カードの発行端末に接続されたイーサーがむき出しで、無線LANのAPでもなんでも差し込めそうな状態だったなぁ。

カテゴリー: 情報セキュリティ タグ:

オープンソース技術者とは何か?

2005 年 7 月 2 日 コメントはありません

人材育成にも関わるようになったためか、「オープンソースの技術者」という言葉を良く耳にする。私の認識では「オープンソースの技術者」の意味するところは、自分が作成または改変したコードをオープンソース・ライセンスの下で公開したり、CVSなどを用いてオープンソースプロジェクトをマネージできる人かと思っていたが、実際の使われ方はどうも違うらしい。

どうもLinuxやBSDのOSの使用やその上のアプリケーションの利用に長けている人をオープンソースの技術者と呼んでいるようだが、その人自身はオープンソースソフトウェアの開発に貢献しているわけでもないので、単なるUNIX系技術者なのではないだろうか。(Unix, Windows, Macに共通してオープンソースでくくる何かがあるのであれば、オープンソース利用技術者といっても良いのかも知れない。)

確かにオープンソースといわれるソフトウェアを適切にインストールしたり設定したり運用したりするにはそれなりの経験が必要だが、オープンソース技術者というには、表現の切り口がちょっと違うような気がする。技術そのものにはオープンもクローズもないわけで・・・。

オープンソース技術者という用語はかなり普及しているのだろうか?

カテゴリー: 人材育成 タグ:

CMU-EXPOブースへのご来場ありがとうございました

2005 年 7 月 2 日 コメント 2 件

情報セキュリティEXPOが無事終了しました。会期中カーネギーメロン大学(CMU)ブースに、お越しいただいた皆様ありがとうございました。

今回ペンシルバニア州日本事務所の計らいで、データストレージEXPO内にCMUのブースを出せてていただいたのですが、正直これほどの反響があるとは予想しておらず全くノーマークでした。初日の来訪者が予想をはるかに上回ったため、急遽私を含め増員で対応することとなりました。

CMUは良く知っているが、日本校の事は会場に来て初めて知ったという方が多く、まだまだ広報が足りていないということを実感しました。

ブースでの対応のため、十分に会場内を見て回ることができなかったのですが、いくつかのセキュリティ企業のブースにおしかけ(逆営業?)、関係者の皆様とネットワークを広げたり強化できたことも大きな収穫でした。

というわけで皆様今後ともどうぞよろしくお願いします。

【参考情報】
IST第2回情報セキュリティEXPO
http://www.reedexpo.co.jp/i-security/

カテゴリー: 情報セキュリティ タグ: