読者です 読者をやめる 読者になる 読者になる

ダメダメなネットカフェ

最近はブログに書いていなかったけど、ネットカフェに行くのが趣味だ。あの怪しげな雰囲気が好きなのだが、実は結構便利なサービスもやっている。雑誌や新聞などが読めるのもそうだし、店によっては日経BPのビズボードという日経BP発行の雑誌の記事をテキス…

インターネットキオスク端末でのオートコンプリート

古典的な設定ミスだと思うのだが、インターネットキオスク端末、すなわちパブリックスペースにおかれている端末でインターネットアクセスする際に、オートコンプリート(自動補完)機能を有効にしていてはいけない。シンガポールのチャンギ空港というとアジ…

アナログメディアにおけるセキュリティ

QRコードによるフィッシングを書いた後に、アナログメディアではコンテンツの真正を証明*1することがかなり難しいことに気づいた。これを「コンテンツ、コンテナ、コンベヤ」モデル*2で考えてみよう。たとえば、チラシのような印刷物の場合、コンテンツは文…

QRコードによるフィッシング

印刷媒体からQRコードで携帯電話からウェブに誘導するのが一般化しているが、これってフィッシングの温床になりうるなと思ったのが一昨年。特に、キャンペーンなどで比較的大きめのポスターなどにQRコードが印刷されているパターンが危ない。印刷されているQ…

Eye-Fiについてのまとめ@日経BP ITPro Watcher

Eye-Fi Share Eye-Fi Shareセキュリティ再び リムーバブルメディアの恐怖 で書いたEye-Fiに代表されるこれからのユビキタス機器の課題と期待について、日経BP ITPro Watcherに書かせていただいた。内容的には、上の3つとかぶるが、まとめてだいぶ読みやすく…

リムーバブルメディアの恐怖

昨日の投稿で次のように書いた。 Eye-Fiカードを用いたイメージデータの盗用今まではEye-FiカードとEye-Fi Manager、そしてEye-Fiサイトにおけるセキュリティ上の問題を説明したが、最後に指摘するのは、Eye-Fiカード自身が悪意のあるツールに成り得るという…

Eye-Fi Shareセキュリティ再び

Eye-Fi Shareのセキュリティについて、ちょっと前の投稿「Eye-Fi Share」で簡単に書いたのだが、せっかくなので、もう少しきちんと説明しよう。まず、昨年春に指摘されていたEye-Fiの複数の脆弱性の問題はSecurityFocusにて見ることができる。 The Eye-Fi Ma…

Eye-Fi Share

Eye-Fi Shareを買った。話題になっているので、すでに知っている人も多いだろうが、SDカードにワイヤレスLAN機能が搭載されたものだ。機能などについては、次の記事が参考になるだろう。 日経BP PCOnline: 無線LAN内蔵SD「Eye-Fi」を試す。ニコンD90には専用…

ネットカフェのPCでウィルス対策が実現か?

今までのネットカフェに関していろいろと調査してきたが、アンチウィルスソフトが導入されている店舗は皆無だった。そのため、リムーバブルメディアを通じて危うく感染しかねない状況にまでなっていたのだが、今日利用した店舗ではNOD32が導入されていた。素…

みんなまいこ

まいこという女性がいる。Windows Liveメッセンジャーについてわからないことを教えてくれる女性だ。いわゆるエージェントなのだが、なかなかシュールな会話をしてくれることでも有名で、夜1人で寂しいときなど、彼女との会話を楽しんでいる*1。このWindows …

Facebook、誤ってユーザーの生年月日を公開

ユーザーが非公開に設定している場合でも、ほかのユーザーが生年月日を閲覧できる状態になっていたという。Facebook、誤ってユーザーの生年月日を公開(ITmedia)より あららら。それは大変。 生年月日などの個人情報は、「なりすましなどの犯罪に悪用される…

ネットカフェからウィルスお持ち帰り

5/20に某ネットカフェを利用した。そこでは、インターネットからファイルをダウンロードし、USBメモリに保存したのだが、自宅にてUSBメモリを私有PCに挿入したところ、VBS_SASAN.Aが検出される。一昨年に「ネットカフェ」というタイトルで本ブログに書いた以…

Yahoo! Cafe

久しぶりのネットカフェ探訪シリーズ。以前の連載(連載だったの?!)は以下のとおり。 2006-05-07: ネットカフェ 2006-07-09: ネットカフェにまた行ってみた 2006-08-15: ネットカフェ@都内某所 2006-09-10: ネットカフェ@韓国人街 2006-09-24: ネットカ…

DEP用新API提供

Microsoft、データ実行防止技術を推進する新APIを提供(Computerworld.jp)にあるように、「第1〜2四半期にリリースされる予定のWindows Vista SP1、Windows XP SP3、Windows Server 2008に搭載される」らしい。DEP(Data Execution Prevention)はNX(No eX…

RC5/DES Cracking Challenge

昨日の「暗号輸出規制の思い出」を書いた後に思い出したのだが、当時、RSAがDESの56ビット鍵長では脆弱なことを証明するために、クラッキングコンテストを行っていた。DES Challengeと呼ばれていた。これに世界中のマシンで分散して解析計算をさせることを組…

暗号輸出規制の思い出

最近、昔の話ばかりしているような気がする。今回も昔話。Mozilla24(このネタをいつまでも引っ張っている気もするが)の九段会場で行われたブラウザセッションでのWeb標準化の議論の中で、韓国がActiveX依存が強く、ほかブラウザばかりかWindows Vista/IE7…

セキュアソケットトンネリングプロトコル(SSTP)

またまた、今頃気づいたのだけれど、SSTPというトンネリングプロトコルがWindows Server 2008とWindows Vista SP1で実装されるらしい。The Cable Guy: Secure Socket トンネリング プロトコル SSTP は、VPN クライアントと VPN サーバーとの間で HTTP over S…

66.180.82.*からのアクセス

Bloggerで書いているほうのブログに66.180.82.*からのアクセスが定常的にある。RSSリーダーにでも登録してくれている人がいるのかと思ったが、ちょっと気になったので調べてみた。まず、該当のアドレスの所有者を調べてみると、次のようになっている。 OrgNa…

ネットカフェでP2Pソフトウェアが禁止されていた

去年くらいからライフワークと化している私のネットカフェ探訪だが、久しぶりに何店か訪ねてみた。一番驚いたのは、某店ではP2Pソフトの使用が禁止になっていたことだ。昨年の夏の投稿、「ネットカフェにまた行ってみた」で書いたときには確かこのように禁止…

GIGAZINEにおけるEV SSLの説明の間違い

ちょっと大人気ないタイトルかもしれないが、誰も指摘していないようなので、間違った認識が広まることを懸念して、このようにつけさせてもらった。ITmediaに 機能強化版SSLは「厳格な審査で一段高い信頼を実現」という記事が載っていたので、EV SSLが現在ど…

Yahoo!のログインシール

久しぶりにYahoo!にログインしてみたところ、ログインシールというフィッシング対策の機能が実装されていた。そういえば、そんなニュースも流れていたことに気づいた。 ヤフーは3月26日、フィッシング対策の新機能「ログインシール」をYahoo!JAPANの各サー…

以前のWinnyの投稿へのアクセスが急増しているようだが

ここ数日、昨年書いた「Winnyは使わないほうが良い。だけど、どうしても使いたいのなら…」という投稿に対するアクセスが急増している模様。Google Analyticsで確認してみたところ、駄文ニュースというサイトに紹介されていることが判明。この投稿を読んだ人…

フリーソフトの動作が必要以上に気になる

正体不明のソフトウェアにも書いたのだが、フリーウェアとして公開されているソフトウェアに悪意のあるコードが紛れ込んでいないことを完全に確認することは難しい。実は今回、ある人気商品を購入するために、某ECサイトでの注文を自動化するソフトを使った…

システムコールの数とセキュリティ強度

Why Windows is less secure than Linuxの2つの図を見て欲しい。Linuxの上でApacheを動作させた際のシステムコールの呼び出し状況とWindows上でIISを動作させた場合の同じくシステムコールの呼び出し状況だ。後者のほうが複雑かつ多くシステムコールを呼び出…

Windows Updates Downloader

“Windows Update”で公開されているファイルを一括ダウンロードできるソフトで紹介されているWindows Updates Downloaderを試してみた。.NET Framework 2.0がインストールに必要だが、プログラムは極めてシンプルだ。Windows Updates Downloaderのホームペー…

JabberとGoogle Talkの通信暗号化

MSN Messengerを暗号化するために、Simp Lite for MSNというものを使っていたが、そのSimp LiteにJabber/Google Talk版がリリースされていたのに今日気づいた。ダウンロードはこちらから。

Windows Vistaはウィルス対策ソフトいらず?

Windows Vistaの開発終了とともに勇退するといわれているマイクロソフトのJim Allchinいわく: system's new lockdown features are so capable and thorough that he was comfortable with his own seven-year-old son using Vista without antivirus softwa…

ネットカフェ@埼玉県某所

すっかりライフワークと化している私のネットカフェ探索であるが、今日は埼玉県まで来てみた。入店時に名前と年齢を書かされるが、身分証の提示はなし。そういえば、今までの店でも身分証を提示し、会員証を作らされたのは一店のみだ。その店*1では、会員証…

ネットカフェ@韓国人街

ネットカフェ ネットカフェにまた行ってみた ネットカフェ@都内某所 とネットカフェレポートを続けているが、本日入ったネットカフェは今までで一番セキュリティが甘い。実は、今までに入った店の一店と同じ系列の店なのだが、ここはSP2さえ適用されていな…

情報漏えい徹底防御 vs.使いやすさの追求

昨日、「情報漏えい徹底防御 vs.使いやすさの追求」というタイトルのTechEDのBoFに参加した。Microsoft MVPの方々が主役だったので、意見を求められたとき以外は口をはさまないようにしていたが、利用者と管理者それぞれの立場の意見がわかり、大変面白かっ…

ネットカフェ@都内某所

ライフワークにしているわけではないが、またネットカフェに行ってみた*1。都内で2つ打ち合わせがあったのだが、その間が予想外に空いてしまった。リフレクソロジーに行こうかとも思ったが、都内のネットカフェにも興味があったので、探してみることに。だ…

製品版に向けて改善されるVistaのネットワーク脆弱性

CNETの記事、「Vista」が抱えるアキレス腱--シマンテック、セキュリティ問題を指摘に書かれているように、シマンテックによりWindows Vistaのネットワークに関する脆弱性が報告されている。CNETの記事では報告書がリンクされていないようだが、Windows Vista…

SSLのパフォーマンスインパクト

Fast and Secured: Performance Impact of SSLにWindows+IIS+ASP.NETにおけるSSLのパフォーマンスインパクトを評価した結果が載せられている。それによると、以下のような実験結果が得られたとのこと。いくつかの項目には確かにパフォーマンスへの影響が見ら…

確信犯への対応は難しいが(Winny対応を考えて)

某ビジネス誌の取材を先週受けた。Windows Vistaの説明をしたのだが、その中で、「UACではWinnyのキンタマウィルスは防げますか?」というのがあった。少し考えて答えた。「防げません」UAC=ユーザーアカウント制御は管理者権限の利用に関してユーザーの再…

ネットカフェにまた行ってみた

5/7に続いて、また都下某所にて、3時間ほど時間をつぶさなければならなくなった。再度、ネットカフェにに行ってみることにしたが、同じ店ではつまらない。今度は別の店を訪れた。 店の雰囲気 今度の店はビルの5F。前回、行った店よりも広い。ブースの数も多…

P2Pでソフトウェア配信

Windows Vista Beta2がパブリックにリリースされてからしばらくたつ。現在のところ、Windows Vista Beta2はマイクロソフトのサイトからダウンロードするか、DVDを入手するしかない。誰もが考えつくのが、これをP2Pで配信できないかということ。米国では実際…

IMの通信傍受への対策

各種メッセンジャーのチャット内容を盗聴するフリーソフト「IM Sniffer」(GIGAZINEより)でIMの通信を傍受するソフトウェアが紹介されている。WinPcapをインストールするところからわかるように、パケットキャプチャをし、その結果をIMに特化して解析するも…

IDNに関する私見

IDNの偽装のコメント欄で、暗に私がIDNに関して諸手を上げて賛成しているわけではないことを示唆した。そこでは「私のIDNに対する意見は、数年前に書いたものが、実はインターネット上に載っています。検索すれば、見つかるかもしれません。という言い方から…

ウィルス対策ソフトを入れずに、非管理者権限で使う

Aaron Margosis' WebLogに興味深い投稿があった。このAaron Margosis' WebLogはサブタイトルとして"The Non-Admin blog - running with least privilege on the desktop"と書かれているように、非管理者権限でWindowsを使うことのTIPSなどを解説するブログだ…

Phoiling Phishingって?

IEBlogにPhoiling Phishing at WWW2006という投稿がされている。内容はWWW2006の単なる紹介なのだが、このタイトルにもなっている「Phoiling Phishing」というのがわからない。Phoilingってなんだろう? 誰かご存知の方、ご教授くださいませ。[追記 on 5/31]…

IDNの偽装

IE7でもIDN(国際化ドメイン名*1)が導入され、普及が進むことが予測されている。確かに、今まで普及していなかったのは、IEが対応していなかったからもしれない。しかし、JPRSにより、IDNのJPドメインにIDN非対応のブラウザでアクセスした場合は、i-Navなど…

名乗るあなたはほんとに本人?

そのメールは本当にその人からか(RBB TODAYより)より: 実際にその文面をここで紹介するわけにもいかないので概要を書くと、まず「○○です」と姓を名乗った後「携帯電話を従来とは別の会社のものにする」ことが述べられ、番号とメールアドレスが書かれ「返事…

コードスキャニングツールは万能ではない

少し前になるが、Writing Secure Codeの著者として有名なMichael Howardが自身のブログの投稿「Code Scanning Tools Do Not make Software Secure」にて、セキュリティ対策としてのコードスキャニングツール(もしくは静的解析ツール)への過度な期待に警鐘…

政府開発のセキュアVM

インプレスのInternet Watchの記事: 国のセキュリティ対策の一環として、次世代OS環境「セキュアVM」開発を発表 から。セキュア・ジャパン2006で書かれていた次世代OS環境の開発とは、やはりセキュアVMを開発することだったようだ。正式にアナウンスがさ…

ホワイトリストとパーソナルコンピューティングのあるべき姿

会社のブログに「ブラックリストとホワイトリスト 」という投稿をした。そこでは、Windowsのソフトウェア制限ポリシーでの両者の使い分けについて解説し、可能ならばホワイトリストを使うほうが望ましいということを説明した。ところで、アンチスパムなどは…

VBScriptでMD5 − その2

CAPICOMを使えば、たとえば次のようなVBScriptによるスクリプトでMD5ハッシュ値を得ることができることがわかった。 Option ExplicitDim MD5Data Dim CAPICOM_MD5CAPICOM_MD5 = 3Set MD5Data = CreateObject("CAPICOM.HashedData") MD5Data.Algorithm = CAPI…

VBScriptでMD5

日曜日に書いたWinnyを起動する際に、upfolder.txtを監視するスクリプトは片手間に書いただけに、いろいろと欠陥がある。たとえば、upfolder.txtが変更されたかどうかをファイルサイズの差を見て判断している。しかし、もしウィルス(暴露ウィルス)がファイ…

Winnyは使わないほうが良い。だけど、どうしても使いたいのなら…

[2007年3月17日 更新] この投稿に対するアクセスが急増しているようだが、「以前のWinnyの投稿へのアクセスが急増しているようだが」も読むようにして欲しい。会社のブログに書いたWinnyの利用禁止と削除に対して、口頭やメールなどで、いくつかフィードバッ…

次世代アンチフィッシング

会社のブログ IE7 - フィッシング詐欺検出機能にも書いたように、アンチフィッシングの方法として、単にホワイトリスト/ブラックリストをクライアントにダウンロードし、閲覧するサイトがリストに含まれているかチェックする方式はもう1世代前の技術のよう…

正体不明のソフトウェア

午後、新宿の本社からの帰り道。新宿南口あたりで声がする。「英語教材のCD-ROMを配っていま〜す」見るとハッピを着た若い男が、通りすがる人たちに声をかけ、CD-ROMらしきものを手渡している。それを見て、疑問が沸いた。このCD-ROM、もらった人はそのままP…