パスワードを忘れた? アカウント作成

最新から新しい日記やタレこみを確認できますよ。

14043139 story
インターネット

HTTPSやEV証明書を使っているのは「信頼できるサイト」なのか 92

ストーリー by hylom
何周目の議論だ 部門より

Abema TVやAbema TIMESの記事で「信頼できるサイトの見分け方」として、「アドレスバーにカギのアイコンが付いているかどうか」というものが紹介されたのだが、これに対し正しくないとの批判が寄せられている(Togetterまとめ)。

「アドレスバーにカギのアイコンが付いている」というのは、そのWebサイトがSSLを使っていることを示している。また、『カギのアイコンが付いているWebサイトで緑色になっていれば「ある程度の安全の指標」になるが「注意は必要だ」』ともコメントされている。これは、そのサイトがEV証明書を使用していることを示している。

EV証明書に関しては単にサイトの運営社名を保証するだけであり、「アドレスバーが緑色になるサイトなら大丈夫」というのは無責任であると2008年にセキュリティ研究者の高木浩光氏が解説しておりEV SSLを緑色だというだけで信用してはいけない実例も紹介している。また、氏は「実在証明の機能はTLS(SSL)の機能ではない」とも述べている。

13955270 story
政府

HTTPS化されたe-Govサイト、HTTPでのアクセスはすべてアナウンスページに転送する残念な仕様 73

ストーリー by hylom
この仕様を考えたのは誰だ 部門より

「電子政府の総合窓口」となっている政府のe-Gov WebサイトがHTTPS化されたのだが、これによってHTTPによる接続が廃止されたうえ、HTTPでアクセスした際にはHTTPS版ページへのリダイレクトは行われず、まったく別のページにリダイレクトされる仕様になっていることから、不便だという声が出ている(@pmx003_the_oのTweet)。

コンテンツのパス自体は変更されていないため、URLの「http://」を「https://」に変更すればアクセス自体は可能になるのだが、現状e-GovサイトにHTTPでアクセスするとすべて「e-Govサイトのhttpによる通信終了について」(URLは「https://www.e-gov.go.jp/sorry.html」)にリダイレクトされる仕様になっており、URLを再度入力しなければならなくなっている。

セキュリティ研究家の高木浩光氏はこれに対し、「廃止すると安全になると勘違いしてそうだな。(実際には、廃止しようが、攻撃者は http:// のページを出してくる。)」と指摘している。

13932821 story
プライバシ

Yahoo!知恵袋への投稿を元に信用行動スコアを算出するのは目的外利用となり個人情報保護法違反の可能性があるとの指摘 69

ストーリー by hylom
利用規約の策定は大変である 部門より

先日、ユーザーの「信用度」を数値化する「Yahoo!スコア」オプトアウトで開始、自身のスコア確認は今後検討という話があった。ここではYahoo!知恵袋などへの投稿についても「信用行動」スコアの算出に使われることが話題となったが、セキュリティ研究家の高木浩光氏によると、現状のYahoo!知恵袋の利用規約ではYahoo!知恵袋への投稿をスコア作成に利用することは「目的外利用禁止違反」となり個人情報保護法の第16条に違反している疑いがあるという(高木浩光@自宅の日記)。

Yahoo!知恵袋の利用規約では同サービス上での行動データをスコア作成に利用する旨が記載されていないため、スコア算出に行動データを利用することは目的外利用に相当するという。

13870706 story
日本

兵庫県警による「無限Alert」摘発事件に対する支援金寄付募集、1日で700万円近くが集まり終了 99

ストーリー by hylom
頑張ってください 部門より

先日、延々とメッセージを表示させるWebサイトのURLを貼った中学生らが補導・逮捕されるという事件が発生した。この事件については、取り調べを受けた男性がその様子を明らかにしたことでも話題になったが、この事件の容疑者となっている2名を支援するため一般社団法人日本ハッカー協会(過去記事)が寄付を呼びかけたところ、開始から24時間で553名から合計693万4,471円の寄付が集まったという(日本ハッカー協会の寄付呼びかけページ)。これによりひとまず十分な費用が集まったとして、寄付の受付は終了となっている。

寄付を集める理由としては下記が挙げられている。

家宅捜索を受けたうち二人は、現在、費用の問題で弁護士をつけていないとのことです。このままでは、裁判を受ける権利を行使することができないまま略式命令で罰金刑に処されてしまう展開が予想されます。

我々は本件について、後述するように、法の趣旨を逸脱した不当な摘発の可能性があるのではないか、と疑問を持っています。そして、もしもそうであるとすれば、IT技術の開発者と利用者の権利が不当に害されてしまうのではないか、と恐れています。

発起人は「みんなで逮捕されようプロジェクト」 を立ち上げた加藤公一氏、セキュリティ研究者の高木浩光氏、とつげき東北の3人。

13858189 story
著作権

ダウンロード違法化対象拡大の混乱続く、リーチサイト規制にも問題 101

ストーリー by hylom
どんどん出てくる 部門より

ダウンロード違法化に関する議論が続いているが、現在検討されている著作権法の改正案には著作権侵害サイトへのリンクを集めたようなサイトについても規制を行う内容が含まれているという(高木浩光@自宅の日記:リーチサイト規制の条文にも欠陥 ダウンロード違法化等著作権法改正法案原案)。

これによると、改正案には「著作権侵害コンテンツへのリンク提供」についても著作権侵害とみなすという条項が含まれており、「著作権侵害コンテンツ」とされる対象として、著作物をそのままコピーして無断配信するようなサイト/サービスだけでなく、「無断転載」や「ライセンス違反での配信」も含まれると定義されているようだ。その結果、「アニメアイコンのTwitterアカウントの一覧リンク集」や「いらすとやのイラストを20点を超えて使用している商用利用のスライド一覧のリンク集」、「剽窃論文の一覧リンク集」、「GPL違反ソフトウェアの一覧リンク集」なども著作権侵害として摘発・刑事罰の対象になるという。

13856310 story
ニュース

毎日新聞のサイバー犯罪に関する報道に対し誤報との指摘 42

ストーリー by hylom
そういうことにしたいのだろう 部門より

3月7日の毎日新聞に掲載されたサイバー犯罪に関する記事に対し、セキュリティ研究者の高木浩光氏が「大誤報だ」との指摘を行っている(高木浩光@自宅の日記:警察庁の汚い広報又は毎日新聞の大誤報を許すな)。

問題の記事では、仮想通貨を採掘(マイニング)するスクリプトをWebページに設置した事件(いわゆる「Coinhive事件」)についても触れており、「有罪判決が出ている」としている。確かに仮想通貨採掘絡みでの有罪判決は出ているものの、これはネットゲームのチートツールに仮想通貨採掘機能をこっそり実装していたというもので(過去記事)、Coinhive事件とは関係がない。

また、Coinhive絡みでは複数の事案があったが、一部は略式起訴で終了しており(過去記事)、また現在裁判が行われているものについてはまだ判決は出ていない。そのため、高木氏はこの記事について「誤報」だとしている。

13839121 story
著作権

録音・録画物以外のコンテンツもダウンロード違法化とする方針 191

ストーリー by hylom
何がしたいんだ 部門より

文化庁の文化審議会の著作権分科会が13日、インターネット上のあらゆるコンテンツについて、著作権を侵害していると知りながらダウンロードする行為を違法とする方針を決定した(共同通信朝日新聞)。

現在の著作権法では第30条の三で次のように規定されており、いわゆる海賊版サイトからの録音物(音楽や音声)もしくは録画物(動画)のダウンロードが違法となっている。

著作権を侵害する自動公衆送信(国外で行われる自動公衆送信であつて、国内で行われたとしたならば著作権の侵害となるべきものを含む。)を受信して行うデジタル方式の録音又は録画を、その事実を知りながら行う場合

今回の方針では画像など音楽や動画以外のコンテンツについても、権利者の許可無くアップロードされたものをダウンロードする行為は犯罪となる。また、スクリーンショットを保存する行為もダウンロードに該当することになるとのこと。さらに、著作権者の許諾を得ていない二次創作物についても「海賊版」という扱いとなるという(高木浩光氏のTweet)。そのため、たとえばTwitterに投稿された許諾を得ていないファンアートをダウンロードしたり、そのスクリーンショットを保存する行為も違法行為となる。

13816792 story
日本

Coinhive事件、高木浩光氏が証人として裁判に出廷 149

ストーリー by hylom
お疲れさまです 部門より
あるAnonymous Coward曰く、

サイト訪問者のWebブラウザ上で採掘を実行させる「Coinhive」をWebサイト上に設置して仮想通貨のマイニング(採掘)を行わせていたとして複数のサイト管理者が摘発される事件が発生しているが(過去記事その続報)、現在Coinhiveを設置したとして不正指令電磁的記録保管の罪に問われたウェブデザイナーの男性に対する裁判が行われている。この裁判で、この事件について当初から懸念を示していたセキュリティ研究者の高木浩光氏に対し、証人尋問が行われたとのこと(弁護士ドットコムNEWS)。

高木氏は今回の逮捕は構成要件が曖昧であることを説明するとともに、今回のCoinhiveについて「取り返しのつかないほどの挙動はしない」「自動的に実行されるが、サイトを離脱すると停止されるため問題ない」として刑法犯で処罰されるものではないと主張している。

また、証人尋問を傍聴してきた@shonen_mochi氏のTweetによると、検察側は高木氏と全面対決する姿勢を見せていたようだ。

13759400 story
プライバシ

トレンドマイクロ、無断での個人情報収集について「必要なもの」と主張し批判を浴びる 56

ストーリー by hylom
何を言っているのだ 部門より

トレンドマイクロがユーザーに周知せずに個人情報を収集していた問題を受け、AppleはApp Storeでの同社製アプリの配信を停止している。これに対し10月31日付けでトレンドマイクロが状況を説明する文書を公開した(ITmedia窓の杜)。

これによると、トレンドマイクロはAppleがアプリケーションによる個人情報収集について厳しい制限を課していることを肯定的に評価するいっぽう、自社による個人情報収集に対しては「一定の履歴データを収集することは、想定しうる被害を最小限にとどめるために当社にとって必要」として正当化しており、これがAppleとの間で「見解の相違」となっているという。

これに対し、セキュリティ研究者の高木浩光氏は「業界の信用を傷つける思想」と批判、抗議するべきと訴えている。

13722902 story
日本

WebサイトにCoinhiveを設置して閲覧者にマイニングさせた事案、罰金30万円が命じられる 69

ストーリー by hylom
裁判の方に注目ですかね 部門より

Webサイト内に「Coinhive」と呼ばれるスクリプトを設置し、サイト閲覧者の端末で仮想通貨を採掘させる行為が不正指令電磁的記録供用やを不正指令電磁的記録(ウイルス)保管に当たるとされて摘発された事件で、横浜区検察庁が容疑者を不正指令電磁的記録(ウイルス)保管の罪で略式起訴、罰金30万円の支払いが命じられた。また、不正指令電磁的記録供用容疑については不起訴になったという(毎日新聞)。

Coinhiveが不正指令電磁的記録に相当するかどうかはセキュリティ研究者の高木浩光氏が検証を行なっているが、検察や簡易裁判所は違法だと判断したことになる。なお、Coinhiveの設置を巡っては複数の人が摘発されているが、うち1人は命令を不服として裁判を申し立ててているという。

13620239 story
セキュリティ

サイトにCoinhiveを設置していたサイト管理者、不正指令電磁的記録取得・保管罪で摘発される 221

ストーリー by hylom
裁判にして司法の場で争うべきでしょうね 部門より

Webブラウザ上で仮想通貨の採掘を実行させる「Coinhive」を自身の管理するWebサイトに設置していたとあるWeデザイナーが、不正指令電磁的記録取得・保管罪で家宅捜索や取り調べを受け、罰金10万円の略式命令を受けていたことを報告しているITmedia)。

この問題についてはセキュリティ研究家の高木浩光氏がまとめているが、Coinhiveの設置が不正指令電磁的記録取得・保管罪に該当するかどうかは明確ではなく、今回の摘発は不適当である可能性がある。

こういった「Coinhiveの摘発」はこの一件だけではなく、「合同捜査本部があって複数の県警に事件が割り振られており、結構な人数が検挙されているらしい」という話があるようだ。また、ウイルス対策ソフトウェアなどを提供しているメーカーがこういった仮想通貨採掘スクリプトについて過剰に危険だと煽っているとの指摘もある。

13616130 story
インターネット

上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる 62

ストーリー by hylom
スラドですらちゃんと買っているのに 部門より

無償でSSL/TLS証明書を提供するサービス「Let's Encrypt」の利用が広まっているが、このサービスで発行された証明書を利用する上場企業や官公庁が登場したことが一部で話題になっている(上原哲太郎氏のTweetShigeki Ohtsu氏のTweet)。

SSL/TLS証明書の役割の1つは暗号化通信に利用するための鍵を提供することだが、別の役割としてその接続先を保証するというものもある。Let's Encryptは接続先サーバーがそのドメイン名に適切に紐づけられていることについては保証するが、証明書の所有者については保証しない。そのため、企業などでの利用には適さないとされている。

(以下、追記と訂正@6/8 0:55)セキュリティ研究家の高木浩光氏によると、「TLS(SSL)における証明書の役割は中間者攻撃を防ぐことであり、それを上回りもしないし下回りもしない。(実在証明の機能はTLS(SSL)の機能ではない。)」とのこと(指摘Tweet)。

SSL/TLS証明書にはドメインの認証のみを行うDV証明書と運営者の実在性審査を行うOV証明書、厳格に運営者の審査を行うEV証明書があるが(解説記事)、高木氏によるとOV証明書は無意味とのことで、DV証明書を利用するのであれば無料の証明書でも十分だという。そのため、企業サイトにおけるLet's Encryptの証明書の利用も問題ないようだ。

13603062 story
YRO

Coinhiveを設置したサイトの運営者が不正指令電磁的記録供用の疑いで捜査されるトラブルが発生中? 101

ストーリー by hylom
何が悪いんだ 部門より

Webブラウザ上で仮想通貨の採掘(マイニング)を実行させるサービス「Coinhive」を利用したWebサイトの運営者が警察に捜査されるというトラブルが発生しているとして、セキュリティ研究家の高木浩光氏が情報提供を呼びかけている

Coinhiveについては海賊版サイトなどが収益のために採掘コードを設置するケースがあったほか(過去記事)、広告ネットワークを経由して不正に採掘コードを第三者のWebサイトに埋め込むといったトラブルが発生していた。

一方でサイト運営者が広告などに代わる収益源として、利用者の同意を得た上で利用するケースも少なくない。たとえば豪UNICEFはCoinhiveを利用して仮想通貨を採掘し、その結果を寄付するWebサイトを開設しているほか、広告を表示する代わりに仮想通貨の採掘をさせるという試みも登場している。

13582559 story
テクノロジー

ハッキングなどの情報を提供していたサイト 「Wizard Bible」、検察からの圧力で閉鎖 41

ストーリー by hylom
日本ではサイバーセキュリティ研究は無理だったか 部門より

ハッキングなどに関する技術情報を提供していたWebサイト「Wizard Bible」が、4月22付で閉鎖した。Wizard Bibleは2003年にスタートしたWebマガジンで、主催のIPUSIRON氏だけでなく、複数のエンジニア・研究者などがセキュリティやハッキングなどに関連する記事を寄稿していた。

同サイトの告知によると、閉鎖の理由一部の記事が「不正指令電磁的記録提供」に該当すると判断され、検察から閉鎖を要求されたという(現在これらの説明は削除済み)。「問題のある記事が投稿された場合、記事の内容を改めたとしても、投稿者のPC内のそのファイルが存在するのでアウト。通報しなければならない」「アンダーグラウンドな内容を含むWizard Bibleを続けることは反省が足りない」などとされたという(eagle0wl氏のブログ)。

また、2017年にフィッシングサイトを開設した高校生が逮捕されるという事案があったが(河北新報)、この高校生がWizard Bibleに寄稿していたという話もあるようだ。

この事件を受けて、セキュリティ研究者の高木浩光氏は「本件は別にしても、不正指令電磁的記録の罪については、このところ妥当性を欠く検挙例の話が聞こえてきており、いよいよ放置できない段階に来た」とコメントしている。

13572328 story
セキュリティ

「英単語の一部を規則的に記号に置き換えたパスワード」は安全ではない 53

ストーリー by hylom
結局文字長を長くするのが一番なのよね 部門より

日テレNEWS24で「安全なパスワードの作り方」として安全でないパスワードの作り方を紹介していたことが話題になっている

紹介されていたのは、「アルファベットの代わりに似ている記号や数字を使う」というもの。「情報提供:トレンドマイクロ」となっているが、昨今ではこのような手法を考慮した総当たり攻撃が行われているため、あまり意味はないという。これに対しセキュリティ研究者の高木浩光氏は正しい「安全で覚えやすい」パスワードのつけ方として、「5万語の語彙の辞書(広辞苑など)をランダムに開いて3つの語を選んで繋げる」を提案している。

13544799 story
プライバシ

個人情報保護委員会が主催するイベントのWebサイト、個人情報保護の視点が足りず盛大に批判される 41

ストーリー by hylom
怒れる気力があってすごい 部門より

セキュリティ・プライバシ関連研究家の高木浩光氏が個人情報保護委員会の主催するイベントWebサイトに対し、個人情報保護の視点から不備が存在すると指摘している(個人情報保護委員会ゥァア゛ーッ ドガシャア)。

このサイトにはイベント参加申込のために氏名や社名、メールアドレスなどの情報を入力するページがあるのだが、ここに表示されている「個人情報の取り扱いについて」という項目においては取り扱い主体の記載が記載されていない。個人情報保護委員会は一昨年にもイベントの告知サイトで同様に個人情報の取り扱い主体をを記載しないという問題を起こしていたという。

また、このサイトで使われているドメインが.go.jpでない点についても指摘が入っている。

13499902 story
プライバシ

ネットへの投稿を収集して分析し、人材を求める企業に提供するサービスが登場、合法か違法か 60

ストーリー by hylom
適法にやる手段はあるだろうに 部門より

SNSやブログへの投稿やプロフィールを収集し、それをその投稿者に無断で企業に提供するというサービスがあるそうだ(NHK)。

このサービス「scouty」は、公開されているブログやSNSなどから情報を収集し、それらをまとめたものを人材を募集している企業に提供するというもの。レポジトリ共有サ―ビスや技術情報共有サービス、SNS、イベント情報サイト、個人ブログなどから情報を取得しているとのこと。

いっぽう、セキュリティやプライバシ問題の研究者である高木浩光氏はこのサービスに対し「違法では?」と疑問を呈している。同社はWHOIS情報から連絡先を集めていると公言しているが、これはWHOISの利用規約違反となる可能性があるという。さらに、情報が収集されることを希望しない個人に対してはデータの削除申請を受け付けるとしているものの、同社のプライバシーポリシーでは利用停止の条件として「あらかじめ公表された利用目的の範囲を超えて取り扱われているという理由又は偽りその他不正の手段により取得されたものであるという理由」が必要とされているなど、このサービスでは適切に個人情報を取り扱っているのかという点において疑問があるようだ。

13494231 story
プライバシ

大学の講義出欠確認用スマホアプリが話題に、GPSで学生を追跡している? 132

ストーリー by hylom
監視社会への第一歩 部門より
hylom 曰く、

岩手大学や長崎県立大学などが導入している、講義の出欠確認用スマートフォンアプリがGPSで学生を追跡しているのではないかとして話題になっている(Shota Omi氏のTweet)。

このアプリは富士通が開発したもので、アプリのページでは次のように説明されている。

「Campus eMe」は位置情報とビーコンを利用して、講義中にスマートフォンから自動的に出席を報告します。

岩手大学が学生向けに行った説明によると、教室に設置したビーコンとBluetoothで通信して出欠を把握するシステムになっているとのこと。そのためBluetoothが有効になっていればGPSはOFFでも構わないとのことだが、いっぽうでアプリに対し位置情報の利用権限を与える際のポップアップ画面では位置情報の利用を許可しないと出席報告が正常に行われないとの説明がされるという(高木浩光氏のTweet)。

13262882 story
インターネット

「都税クレジットカードお支払いサイト」が復活、ドメインを巡り批判が出る 31

ストーリー by hylom
混乱 部門より

Apache Struts 2の脆弱性を狙った攻撃でクレジットカード情報を流出させ、一時停止されていた「都税クレジットカードお支払サイト」が復旧した(ITmedia)。しかし、今度はこのサイトが新たに「https://zei.metro.tokyo.lg.jp/」というドメインを利用することになっている点や表記などが不正確である旨が批判されている(セキュリティ研究者・高木浩光氏によるTogetterまとめ)。

lg.jpは地方公共団体を対象としたドメイン(JPRSの説明)。このドメインを登録できるのは地方公共団体とそれらの組織が行う行政サービスのみとされている。を運営するのはトヨタファイナンスであり、地方公共団体ではない。また、問題の都税クレジットカードお支払サイトにアクセスすると組織名として「東京都」として表示されるようにもなっている。

特に大きな問題点として、情報の取得主体が誰なのかが不明瞭になっている点がある。さらに、個人情報保護法の義務である「利用目的の公表」をしていないとも指摘されている。なお、このサイトは都が運用をトヨタファイナンスに委託しているものではなく、トヨタファイナンス自体が運営主体とのこと。

13124560 story
変なモノ

「セキュリティフォント」なる仕組みが考案される 57

ストーリー by hylom
えんがちょ 部門より
90曰く、

WFrontierという企業が、「セキュリティフォント」なるソリューションを提案している。

セキュリティ研究家の高木浩光氏が面白おかしく紹介しているこの商材は、日本語フォントのグリフIDを雑に入れ替えたものとみられる。「コピーすると文字化けしてしまう」「暗号化したまま検索できる」などと宣伝されているが、解読は容易で特別な技能も不要のようだ。カエサルに返した方が良いのではないだろうかと思うが、スラドの諸賢はどうお考えだろうか。

この「セキュリティフォント」は、各文字に対してASCIIやUnicodeで規定されているのとは異なるコードポイントを割り当てることで、表示上は意味のあるように見えるがシステム的には本来とは異なるデータとして扱われる、というもののようだ。

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...