アーカイブ

2007 年 11 月 のアーカイブ

リバースエンジニアリング冬祭り開催決定

2007 年 11 月 21 日 コメントはありません

秋祭りの予定が冬祭りになってしまいました。

満席が予想されますのでお早めのお申込みをお勧めします。

詳細・お申込みはこちら↓
http://cmuj.jp/071214workshop/index.html

カーネギーメロン大学セキュリティ・ワークショップ
「情報セキュリティのためのリバースエンジニアリング 2.0w」

1 日時 2007年12月14日(金) 13:30~17:30
2 場所
  TKP御茶ノ水ビジネスセンター ホール14A
  住所: 東京都千代田区神田駿河台4-6-1 御茶ノ水セントラルビル(旧日立本社)
3 内容
 ■講演
 高橋郁夫氏(IT法律事務所 弁護士)
 タイトル:脆弱性テストの合法性 -EU指令のわが国の解釈への示唆-

 星澤裕二氏(株式会社セキュアブレイン プリンシパルセキュリティアナリスト)
 タイトル:マルウェア解析の自動化

 鵜飼裕司氏(株式会社フォティーンフォティ技術研究所取締役副社長最高技術責任者)
 タイトル : リバースエンジニアリングとセキュリティ脆弱性分析

 武田圭史氏(カーネギーメロン大学日本校 教授)
 タイトル:コード解析のための知識と技術の体系化

 他1名調整中

 ■パネルディスカッション
 リバースエンジニアリングの技術的課題、法的な課題などについてオープンなディスカッションを行います。
4 言語 日本語
5 参加費 一般3,150円、学生1,575円 (税込)

第1回神戸情報セキュリティ勉強会無事開催

2007 年 11 月 20 日 コメントはありません

先週土曜日、有志の皆様の企画・運営による情報セキュリティの自主的な勉強会がCMUJのキャンパスで開催されました。スタッフの皆様、ご参加いただいた皆様ありがとうございました。

グループディスカッションスタイルが予想以上に好評だったようです。
大半の方が初対面であるにもかかわらず、濃い議論が展開されました。
日本の講演会やセミナーだと一方通行になりがちですが、予想以上に皆さんのノリがよかったので救われました。
笑いあり、考えさせられるところもあり、充実した時間がすごせたように思います。

次回以降も楽しみです。今後ともよろしくお願いします。

間もなくMLへのリンクも下記ページに設定されると思いますので興味のある方はぜひご参加ください。

【参考】
■第1回神戸情報セキュリティ勉強会(カーネギーメロン大学日本校, 11/17)
http://cmuj.jp/071117workshop/index.html

カテゴリー: 情報セキュリティ タグ:

【記事】高リスクの脅威が3つ–どうする日本の電子投票

2007 年 11 月 18 日 コメントはありません

先日発表した調査結果が記事として紹介されました。
日本における電子投票の課題についてよくまとめられています。

■高リスクの脅威が3つ–どうする日本の電子投票(日経IT Pro, 11/13)http://itpro.nikkeibp.co.jp/article/OPINION/20071113/286974/?ST=govtech

カテゴリー: 情報セキュリティ タグ:

祭りの予感(リバースエンジニアリング)

2007 年 11 月 14 日 コメントはありません

12月14日(金)といううわさがちらほら・・・

カテゴリー: 情報セキュリティ タグ:

電波法59条違反に一票

2007 年 11 月 7 日 コメント 3 件

エントリーの主題からははずれるが、、、

つまり、PlaceEngineが合法と解釈されるなら、probe request傍受に基づく行為も合法となり、逆に、probe request傍受で得た情報の窃用が違法だというのなら、PlaceEngineも違法と言わざるを得ない。

ユビキタス社会の歩き方(5) [重要] 自宅を特定されないようノートPCの無線LAN設定を変更する

(高木浩光@自宅の日記, 11/5)

(秘密の保護)
第59条 何人も法律に別段の定めがある場合を除くほか、特定の相手方に対して行われる無線通信(電気通信事業法第4条第1項又は第164条第2項の通信であるものを除く。第109条並びに第109条の2第2項及び第3項において同じ。)を傍受してその存在若しくは内容を漏らし、又はこれを窃用してはならない。

電波法59条(法律131号, s25/5/2)

少なくとも暗号化を行っている無線LANやステルスモードに設定されているアクセスポイントについてはたとえブロードキャスト用のMACアドレスが宛先となっていたとしても「特定の相手方に対して行われる無線通信」であることは明らかなので、これについてその存在を漏らし窃用することは、法律の趣旨からしても電波法59条に違反していると言えるのではないだろうか?

PlaceEngineのデータベースに自宅の無線LANアクセスポイントが登録されないようにすればよいわけだが、現状ではそれは不可能。

(高木浩光@自宅の日記, 11/5)

この場合、自分が使用するアクセスポイントの位置を特定されるのを防ぐために、意図的に間違った位置情報を登録するということは有効なのではないだろうか?(ひょっとして業務妨害?)

(11/3 追記) PlaceEngineはMACアドレスを傍受し測位に使用しているようなので『SSIDステルス』『ANYプローブ応答禁止』を設定したとしても登録されてしまうらしい。
このことは「無線LANのステルス機能ではPlaceEngineに登録されるのを阻止できない」(高木浩光@自宅の日記, 10/27)にしっかり書かれていた。第三者の利用を前提としているわけではない電波の情報を傍受し使用しているとすれば窃用と言われてもしかたないだろう。

「いわゆる『SSIDステルス』の設定、かつ、『ANYプローブ応答禁止』の設定」をした場合には(「このネットワークがブロードキャストしていない場合でも接続する」をオフに設定できなくはなるが)、他人にPlaceEngineのデータベースに登録されることはないのではないか?(正規通信で使用されるSSIDを傍受して登録される可能性はあるがこれは明白な違法行為であり、現在のWiFiの仕様上防ぎようがない。)(11/3 訂正削除)

【参考】
■電波法59条(法律131号, s25/5/2)
http://www.houko.com/00/01/S25/131.HTM

■ユビキタス社会の歩き方(5) [重要] 自宅を特定されないようノートPCの無線LAN設定を変更する(高木浩光@自宅の日記, 11/5)
http://takagi-hiromitsu.jp/diary/20071105.html#p01

■無線LANのステルス機能ではPlaceEngineに登録されるのを阻止できない(高木浩光@自宅の日記, 10/27)
http://takagi-hiromitsu.jp/diary/20071027.html#p02

カテゴリー: 情報セキュリティ タグ:

営業マンにGPS携帯・管理強化へ?

2007 年 11 月 7 日 コメント 5 件

防衛省に続き警視庁もGPS携帯を導入するとのこと。

警視庁は7日までに、全地球測位システム(GPS)付き携帯電話を使い、交番などで勤務する地域警察官の勤務状況を把握する独自のシステムを導入する方針を決めた。

外勤やそれに近い交番勤務だとやむを得ない気もするが、金融商品取引法対応・内部統制強化の一貫などとして営業マンにGPS携帯を持たせて管理するなんて時代になるのだろうか。

あまり話題にもならないうちに、最近の携帯にはかなりの割合でGPS機能が搭載されるようになっている。今後、監視やマーケティングなどの目的で利用されるケースが増えると位置情報の目的外利用など新たな問題の発生が予想される。

前のエントリーでも書いたが、導入にあたっては利用目的と範囲・手順を明確にしておくべきだろう。

【参考】
■交番の警官にGPS携帯・警視庁、管理強化へ(NikkeiNET, 11/7)
http://www.nikkei.co.jp/news/main/20071107AT1G0701K07112007.html

■2007年以降、3G携帯は原則GPS機能搭載へ(ITmediaモバイル, 2004/5/18)
http://plusd.itmedia.co.jp/mobile/articles/0405/18/news034.html

カテゴリー: 情報セキュリティ タグ:

GPS携帯による各省庁幹部と国会議員の監視について

2007 年 11 月 2 日 コメント 9 件

防衛省幹部をGPS携帯で監視するという話がでている。前事務次官の接待問題からこれを歓迎するムードも広まっている。大臣が省庁の調達に関して影響力を持つ職員が業者等との癒着することのないようしっかりと管理監督する必要はあるのは当然だが、この場合どうも目的と手段がかみ合っていない印象を受ける。

下記の記事では、

「元事務次官のゴルフ接待問題を受け、防衛省は幹部をGPS携帯電話で監視することを考えている。(ロイター)」

という趣旨に対して、

「GPS携帯は国防上の緊急事態の際に出勤しなければならない上級職員にのみ支給されるという。」

と書かれているが、目的が「接待の監視」なのに支給先は「緊急事態の際に出勤しなければならない上級職員」なのはなぜだろう?
「接待の監視」であれば支給の対象は調達に関して権限または影響力を持つ職員とすべきだろう。

もし報道内容が事実なのであれば、プライバシーの問題以前に「接待の監視」が目的なのか「緊急事態に必要な職員を出勤させる」のが目的なのかもう一度よく考える必要がある。

そもそも国家公務員(特別職を含む)の「接待の監視」を目的にGPS携帯電話の導入が必要というのであれば、同じロジックに基づき、全ての省庁の調達絡む幹部についてGPS携帯電話を持たせて監視すべきだろうし、同様に全ての国会議員についてもGPS携帯電話を持たせるべきだとの声もでてきそうである。

緊急事態に対応が必要な省庁の職員だからGPSが必要というのは一見もっともなように見えるが必ずしもそうではない。GPS携帯電話が提供するのは、ある時点における携帯電話(と通常その所有者)の位置情報である。緊急に出勤させるには通話かメールで呼び出せば良いわけで、誘拐や失踪でもしない限りはGPSの位置情報通知機能は必要ないのである。

ちなみに、仮に幹部職員にGPS携帯電話を持たせたとして、ある職員が休日にゴルフ場にいる事がわかった場合、誰と一緒にプレイしているかはどうやって調べるのだろうか?関係企業の社員にGPS携帯電話を持たせこれらを全て監視するとか?

ん~・・・!?

以前、次官に夜間携帯電話で連絡がとれないという事が問題とされたことがあった。こういった際にGPSで位置情報が取得できると考えたのかもしれないが、当然携帯電話の電源が入らない限りGPSも使えないわけで・・・。

(11/2 追記)
結局のところ本当の狙いは休日や夜間などに宅直(自宅待機)や一定時間で登庁することを求められている職員が、勝手に登庁可能区域外に出てしまうことを抑止。ついでに企業との癒着への精神的な重石にでもなれば一石二鳥、なんとなくそれっぽい理由にもなり実現しやすいということか。

【参考】
■防衛省、GPS携帯による幹部の監視を検討(ITmedia, 11/1)
http://www.itmedia.co.jp/news/articles/0711/01/news114.html

カテゴリー: 情報セキュリティ タグ: