とりあえず虚心にやってみたところ150点中117点で「中レベル」とのこと。まあ平均超えたのは良しとするが、職業柄的にはもうちょい高くしたかったところ。

関連タグ:セキュリティ
2015-11-10 [日記]

 そら見たことかとしか言えない。そもそも「感染」とか「同問題に対処」とか笑いすぎる。明らかに組み込むべくして組み込んだものだろうと。

 そして「このSDKは使用してない」とか言われてもソースコードが流入してる可能性は十分あるだろーしな。百度に身売りされた時点で全く信用なんかしてないさ。

2015-11-10 [日記]

 だーかーらー外部のセーブデータなんか使うなと小一時間。



 …でもまてよ。ワンクッション置いてこれらのセーブデータを書き換えるマルウェアが作られるとゆー可能性はあるんだな。そういったデータの書き換えはガードが緩いだろうし。やっぱ警戒する必要はあるのか。
 ところで流石にFGOは関係ないですよね?w
2015-11-06 [日記]

 そいやこのサイトでも取り上げたことはなかったような。
 その影響度は大きいものの攻撃手段としてはソニー・ピクチャーズの杜撰な情報管理が要因として大きいと思ったから敢えて取り上げるまでもないとか思ってたんだよな。

 そいやむしろその前にあったXperiaZ3の公式アプリが乗っ取られた件はどうなったんだろう。その後続報を目にしてないが。
2014-12-25 [セキュリティ]

 CloudStackで提供されるインスタンス向けの各IPに「VPN有効化」のボタンが付いているが、ひょっとしてVPNを有効にできるIPって各ネットワークの代表アドレス(※[送信元 NAT]となっているもの)だけなんだろうか。唯一成功したのがコレだけなんだが。
2014-11-19 [技術・作業]

 ところでさ。

 我々はこーしてネットワークが接続されまくった世界に生きていて、その中でセキュリティ対策を諸々やってるわけだけどもさ、当然それらのほとんどはTCP/IPを前提としたシステムで構築されているわけだけどもさ、IPと同レイヤーもしくはちょっと下のレイヤーで別のプロトコルが無条件で入り込んでるとか想像したことないですかね?F/Wもルーティングもまったく影響せずに届く、みたいな。
 もちろんそれには端末側、及びネットワーク機器がある程度そのプロトコルを解釈してやりとりできる必要があるんだろうけれども、その機能をこっそり組み込む、あるいは最低限IPとして振る舞うようなパケット(※その場合パケットですらないのかもしれないが)としてこっそり浸透してるなんてこと想像したことないですかね?
関連タグ:セキュリティ
2014-05-19 [セキュリティ]

 こうなると「もはやウィルスバスター自体が不正コード・マルウェアだろ」とか言われかねないんじゃないかと思う今日この頃。

 …まあ私自身は既にそういう認識なんですが。
2012-12-27 [セキュリティ]

 なんだかなぁ。
 前から何度か述べてる通り私はトレンドマイクロ製品は(過去の経緯から)ほとんど信頼していないわけですが、この話を目にする度「信頼してない」が「関わっちゃいけない」にレベルアップしそう。とりあえず個人的に導入することは決して無いとして、仕事でセキュリティ関係を導入する際にも極力避けることにしています。
2012-10-09 [ソフトウェア]

 ムダに最近のアニメ調だ。正確に言えば逆輸入なんだろうな。

 しかし「DAEDALUS」で「ダイダロス」はちょっと無理矢理な気がする(苦笑)。気持ちは分からんではないが。
関連タグ:セキュリティ
2012-06-15 [技術]

 個人的には「若い人は簡単なパスワードを使う」という話ではなく、自分と他者の意識の差についてどれだけ自覚してるか、なんじゃないかとゆー気もする。つまり

 「パスワードに『password』とかって新しくね?裏かいてね?」
 「逆読みとかCoolじゃね?」
 「『オー』を『ゼロ』に置き換えるとかトンチ効いてね?」

 「いやどれもありがちだから」
関連タグ:セキュリティ
2012-06-12 [セキュリティ]

 コレに限らず最近のバスター…と言うかトレンドマイクロのセキュリティツールは誤検知が多く、且つその場合にユーザの利便性に大きく関与するような問題を多く発生させているように思います。先日も某所でWindows標準のファイルをウィルスだと誤検知して軽く騒ぎになりました。
 また、なんか発生させた場合の対応が日に日におざなりになってるよーに見えるんですよね。誤検知の発生なんて当たり前…とまではいかないにしてもいちいち細かいところまでは対応してらんない、利益率低いし、的な雰囲気は感じます。

 なので私的にはむしろ「トレンドマイクロ系ツールのブロック」を基本としています。商品選定的にw
関連タグ:セキュリティ
2012-06-11 [セキュリティ]

 その一方で日本代理店であるところのキヤノンITソリーションズがDL販売に使っているVectorは情報漏洩とかやらかしてるわけだけどな。

 …で、ここしばらく様子見というか放置していたVectorの不正アクセスの件だが、本日10:00時点で確認した限り4/25の最終更新以降約1.5ヶ月一切追加情報が出ていない。調査中との言い分だが、こんだけ時間経って何か問題が発生したとしても「いやウチとの因果関係わかんないじゃん?」で逃げられるように思う。
関連タグ:セキュリティ
2012-06-05 [セキュリティ]

 もうタイトルだけで話は十分かもしれないが。
 件のVector不正アクセスによる情報流出から1ヶ月………まさかここまでロクな情報が出てこないとは………逆の意味で見くびっていた………。こーなるとラックとかの専門業者に調査を依頼してるってのすら眉唾に思えてきた。
 そんな中、なにやら本日「サイトにアクセスしにくくなってる」とかゆーメッセージが表示されている。直前に行われたメンテの悪影響かそれともまたぞろ攻撃でも受けてんのか。
 とにかくさっさと次の段階に進めよー。このままじゃユーザ情報削除もできないじゃんよー。
2012-04-24 [セキュリティ]

 ちょっと前から話題になってた本件の経緯?がよく分かる記事。とりあえず挙がってるので入れたものは無いが、コレ以外にも世の中ムダに権限求めるアプリはいくらでもあるから氷山の一角かもしれない。特に無料ライブ壁紙系はあからさま過ぎてほとんど入れられない(苦笑)。

 そーいや最近迷惑な勧誘電話が増えてきた気がするな。一時期なりを潜めていた某ニッテイとか。こーいった話と関係してるんだろか。
2012-04-16 [セキュリティ]

 ダウンロードサイト「Vector」の不正アクセスの第一報から2週間以上、HP上の最後の報告から1週間以上経過しつつ未だ調査中以上の情報が開示されないとゆー、ある意味で異常事態。より大規模な、つーかケタが2つは違うPSNの不正アクセスの場合1週間ちょい程度でユーザへの告が行われたことを考えれば、もはや「真面目に調査してない」「調査しても詳細が判明しない」「判明したけどとてもくちにできない」のさあどれでしょう、という気にもなってくる。つまりはほとぼり覚めるの待ってるだけじゃないかと。
 
 こういったセキュリティ問題の場合、そりゃ起こす事自体問題なわけだけれども事後の対応でよりはっきりと企業の信頼度が浮き彫りになります。
 今回の場合、以前書いた通りそもそも原因と初動に疑問が残る、その後の対応が鈍い、ユーザにはほとんど何も通知されない、質問してもほぼ無回答など・対応が不十分と言うよりほぼ皆無、等々。正直なところ個人的にはもはや「全く信頼の置けないダメ企業」と判断せざるを得ず、今後二度とベクターを使うことはないだろうし、他者にもオススメしないどころか利用を控えるように働きかけることになるでしょう。


 さて。

 そうなってくると今回のgdgdがある程度収束するのを見計らってベクターから退会することになるわけです。
 が、しかし先に述べたPSNの事件の時に「個人情報の完全な削除には応じない・応じられない」というケースがあったことが話題になりました。いやいや今までアンタらを信用してたから登録してたのに、その信頼が崩れれば登録削除が当然だろう、それが「個人情報保護」だろうセニョール、と言いたいところですが、少なくとも日本国内の法律(個人情報保護法)では「不正な手段による個人情報の入手」の場合を除き、例え本人からの依頼があっても企業側に「個人情報を完全に削除する義務はない」のだそうです。うわーウザいなにそれ。
 まあ一応言い分としては理解できる点もあるのです。例えばクレジットカードで自己破産した人の情報はいわゆるブラックリストに登録され、以後別の会社でもカードを作るのが困難になります。このブラックリストを本人の意思で消されたりした日にゃブラックリストとしての意味合いがなくなり健全な運営ができなくなる、などです。
 その是非はともかくとして、この場合の「個人情報保護」とは「個人の情報を適切に保護する」とゆー意味合いではなく「個人情報を取り扱う業者が損しないように保護する」といった方が正確ですな。「原子力保安院」が「原子力事業に携わる人及び家族の幸せのみを保安する院」なのと似たようなものでしょう。

 しかし今回のような「ユーザが企業を信頼できなくなった」場合はブラックリスト云々といった事情とは全く異なります。確かにユーザからの依頼に基づく完全な削除義務はないかもしれませんが、それ以上に企業には「個人情報を適切に管理する義務」つーのがあります。この義務を守れずに流出させといて「削除する義務はないから消さないよてへぺろ」とか言う筋合いではないだろうということです。(そいやてへぺろで思い出しましたがベクターっていつのまにやら資本がソフトバンク系列なんですね。道理で個人情報を軽く扱ってるわけだ。)
 まあそんなわけなのでとりあえずは「完全削除」を依頼してみるつもりです。まあ仮に対応されたとしてこーゆー企業の口約束で「消しました」言われても何の信ぴょう性もないんですが、対応次第で次は消費生活センター辺りに話を投げることになるんですかね。
2012-04-07 [セキュリティ]

 しかし一方でESETのDL版を購入する際の支払いに経由するVectorは不正アクセスを受けて個人情報流出の可能性があるわけだけどな!


 …そのVector、3/23の報告を最後にその後追加情報無し(18:00現在)。
 拉致があかないんで
  ・「一部の個人情報」って言うけど結局何が漏れたの?
  ・「一部の方の情報」って言うけど割合としてはどんなもんなの?
  ・そもそも自分のって漏れたの?他の人も気になってるんじゃ?
  ・攻撃喰らったサーバってどんな状況だったの?
 …といったところをメールで問い合わせたところ返信があり、結果「ほとんどお答えできません(意訳)」。なんとなく「不正なクレカ使用がなければいいだろ別に」的なニュアンスが伝わってくる返信内容でした。
関連タグ:セキュリティ
2012-03-27 [セキュリティ]

 へーほー?こりゃまた意外なものが意外なところから意外な形式で。是非Android版も。

 一方で有償版の月315円=年3780円が他サービスと比較して高いか安いか微妙なところ。何クライアントまでOKなのかとか他の要素次第か。
関連タグ:セキュリティ
2012-02-15 [セキュリティ]

 こーしてみると2011年とかさっぱり関係ないですな。
 そして意外と「pass」ならば問題ないとゆー事なのか…?まーいちいち挙げるまでもなく辞書攻撃やら総当りでもすぐひっかかるだろうけれども。

 あ、でも「master」でやってるところはあるなw だってそーゆー指示だったんだものw まあそーゆー場合は大抵IP制限かかってるが。
関連タグ:セキュリティ
2011-11-25 [セキュリティ]

 …なんとゆーネットリテラシーの低い国…。きっとPCなどロクに扱えないお爺ちゃん達のためにゆるゆるのセキュリティだったんだろうなぁ…。
関連タグ:セキュリティ
2011-10-26 [セキュリティ]

 職業クラッカーふぁきゅー&だむゆー。
 とりあえず今んとこ私の元に不正アクセスが有無のメールは来ていない。どちらにせよPSNはパスワード変えたのだが。問題は他んとこだよなー。一応全て変えたつもりではあるのだが。
2011-10-12 [セキュリティ]

  • 誤認?意図的じゃね?w
  • これじゃどっちがマルウェアか分からんな。
  • まあどっちにしろMSのセキュリティソフトなんて微妙もいいとこなんで使ってないからカンケーないけどなw
2011-10-03 [セキュリティ]

 「でも、お高いんでしょう?」
 サービス内容からしてどちらかとゆーと企業向けなよーに思う。こうしてOSのカーネルレベルで縛りを入れてスマフォのガラ化も推進する気かauは。そのうちAndroid標準機能でも使えないのが増えてきそうな悪寒。今度のプライベートIP化で使えないのが出てきそうだし。

 それはそうと「サービス開始」なんて記事タイだから始まったものと思ってたら11月ですか。大分先ですな。
2011-07-28 [モバイル]

 OSレベルでの問題は、バージョンアップの足が遅い日本のキャリアにはなかなか痛い話だな。もっとも根本的な原因はバージョンアップを認可する上の連中にあるのかもしれないが。
2011-06-23 [セキュリティ]

 まかぴーかー(苦笑)。まータダだから文句を言う筋合いではない。むしろ無償展開したdocomoを賞賛すべきだろうか。

 こーしてみると「Android au」とか謳って前面に出してるauよりもdocomoの方が地味にAndroidに力入れてるように思えるんだよな。逆の例で言うとIS11Sのキャリアメール対応が9月にずれ込む点とか。つーか最近auの(及びその外注メーカーの?)ソフトウェア開発力の低さが目について仕方ない。
2011-06-23 [セキュリティ]

 「ただしアジア以外に限る」大杉。

 それはそうと先日私もPS3のファームを上げてパスワードの更新を行いました。その際にメールアドレスそのものを別のものに変更、クレジット情報も削除し、今後PSNでの買い物はEdyで行うことにしました。
2011-06-02 [ゲーム]

 そしてこの脆弱性を狙ったウィルスは
  「ウィルスバスターバスター」
  「アンチウィルスバスター」
  「ウィルスバスターキャンセラー」
  「ウィルスバスタージャマー」
などと呼ばれ、さらにこれに対するカウンターとして
  「ウィルスバスタージャマーキャンセラー」
が登場し、混迷の度合いは一層増すのであった。

 ~ミンメイ書房刊 『ヴィールスとウィルス』より抜粋~
2011-02-15 [セキュリティ]

 フリーダムであるが故の弊害の1つですな。まあ今のところアプリのインスト時にアクセスする情報がわかるからまだなんとなく判別つくけど、この辺りも偽装できたりし始めたりするとまたややこしくなりそうですな。

 そして仕様上正式なマーケットを使えない3.0未満のAndroidタブレットの場合より一層注意が必要そうだ。てか早いとこ3.0搭載のAndroidタブ出ないかなー、と。
2011-01-24 [セキュリティ]

 ※取り急ぎ試しただけなので余計な設定を入れてる可能性があるので注意。

 Fedora Core4でrsshを使ってsftp限定&jailをやろう話。
 インストールそのものはアップされてた(※現時点で本家には無かったが)rpmでOK。 個別にコンパイルする必要はないっぽい。sftp限定だけならrssh.confの設定変更だけで出来た。

 jail話。jailを行うには一般的なchroot設定と同じように、稼働に必要なファイルを chroot対象のフォルダに叩き込む必要があるようだが、最新版rsshにはそれらをある程度勝手にやってくれる mkchroot.shが付属してたので実行。いくつかエラーがでるけど、見たところ余計なコピーをやろうとしてるだけで 特に問題は無いっぽい。その後rssh.confのchrootpathを修正するわけだが、これだけではうまくいかなかった。
 なので一般的なchroot環境構築の手法に従って、dev下の追加、bin下の追加と、sh及びbash、及びそれらの稼働に必要な lib関係のコピー、及びetc下のgroup、shadowの設定を行い、とりあえずフツーにchrootを可能にしてから sftpしたところ、無事jail環境で稼働するようになった。
2005-11-19 [技術・作業]

 仕事柄、個人情報流出がどーのこーのという話にはつい敏感になってしまう。特にここ最近の仕事は地方公共系のメルマガサーバの構築なので、担当の方も詳しくないなりに(詳しくないからこそか?)色々確認しようとしてくる。先日京都のメルマガに登録してある情報が漏れたというニュースがあったときも念押しの電話を頂戴した。ウチの地方はイマイチ情報に対する認識が甘く、公共機関の思考法もそれに比例することがままあるため、上記のような細かいツッコミはむしろ理想的であると言える。

 先日、某猛犬ソースの個人情報が漏れたとかでニュースになっていた。漏れたのは1年以上前に収集したアンケートデータだったらしく、データとしてそれほどクリティカルなものだとは言えない。と、おそらくサーバ管理者の方は考えたのであろう。パスワード管理もされていないごくフツーのWEBサーバ上に、パーミッションを制限しない形でファイルが置かれてたらしい。そーいえばちょっと前のどこかの個人情報が漏れた時にも、管理者が作業しやすいよう自分のサイトに置いといたのが原因だったような。

 よーするに、個人情報が流出した事件のうち「外部からの強力なアタックが完璧なセキュリティを突破してデータを盗み出した」なんてコトはほとんどないのである。てゆか私は知らない。人為的ミス・・・というのもおこがましい程の思考の甘さが原因の大部分なのだろう。これだけセキュリティやらプライバシーやらが取りざたされてる現代社会で未だそーゆー事例があるのはどーしたものであろう。
関連タグ:セキュリティ
2002-08-13 [技術・作業]