スポンサーサイト 

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
  • [--/--/-- --:--]
  • スポンサー広告 |
  • トラックバック(-) |
  • コメント(-) |
  • この記事のURL |
  • TOP ▲

タイピングの音によるキーロガー 

http://www.itmedia.co.jp/news/articles/0509/14/news066.html
おっかねー!タイピングの音から、どのキーが押下されたかを判別しちゃうらしいですよ。

論文に目を通したところ、典型的な音声認識手法を使っている模様。
キーボード押下だと、周波数成分よりパワー(音量)の方が重要なんじゃないかなーと思ったりはしたけど。
ただ、この手法でパスワードが盗まれる場面はなかなか無いと思う。
打鍵音を認識する条件として

  1. 認識対象者にばれないよう、打鍵音を拾うマイクを設置する必要がある
  2. 10分程度、認識対象者の打鍵音を学習する必要がある
     音声だけではなく、「何をタイプしているか」の正解文も必要
    技術と根気があれば、暗号解読手法のように言語的な確率で正解文を導出できるかもしれない
  3. ランダム文字列のパスワードには、言語モデルが適用できない(むしろ邪魔をする)
     とはいえ、パスワードを英単語のような定型句にしている人は多そう
     それ以前に、パスワードは短すぎて言語モデルが使えないかもしれない



このようにハードルがいくつかあるとはいえ、予想だにしない盗聴手法であることには違いない。
ネタ兼知識として知っておくのはよいかも。

のまネコ問題 

http://www.itmedia.co.jp/news/articles/0509/25/news001.html
つい先日知ったばかりで、こんなことになってるとは・・・面白すぎなんですが。
以前、ミュージックステーションにオゾンが出演していたときには、動きまくってました。w

事件を見守っていたところ・・・結果、9月30日にこうなった。
http://www.itmedia.co.jp/news/articles/0509/30/news080.html
avexの発表
http://ecweb1.avexnet.or.jp/sa4web/050930info.htm

avexの発表を見ていると、ものすごい嫌々書きましたという感触を受けるな。^^;
特に、最後の文は必要なのか??と思ってしまう。
オチなんだろうか?
もうちょっと文章に秀でた人に書いてもらえばよかったのになー。
そして、一方の2ちゃんねるサイドの対抗策、のまタコはどうなるんだろうか。
気になる。
あぁ・・・きっと今年の流行語はインスパイアだな。

「持ち主が離れると自動的にPCがプロテクト」手間いらずのPC個人認証システム 

http://enterprise.watch.impress.co.jp/cda/security/2005/08/22/5979.html

ありそうで無かったモノだと思う。
# 既出の製品なのかもしれないが

ただ、便利すぎると本人のセキュリティに対する意識が薄れそう。
セキュリティ問題の中には、意識することで防げる問題も多く、特に新しいタイプの攻撃の防御策としては普段からの意識が占めるウェイトは大きいだろう。
この先、技術に頼りすぎることで問題が生じることは大いにありそうだ。
セキュリティを考える上では、はがゆい問題だなぁ。
  • [2005/09/20 23:53]
  • セキュリティ |
  • トラックバック(0) |
  • コメント(0) |
  • この記事のURL |
  • TOP ▲

バイリンガルなワーム 

http://japan.cnet.com/news/sec/story/0,2000050480,20086642,00.htm
賢いワームが登場。
複数の言語を操るらしいですよ。
賢くなるにつれ、人を騙すための手口を多く備えていく。
この先、ソーシャルエンジニアリングの手法も取り入れていくのかなーと思ったり。

最近のオンライン詐欺は、個人に特化した攻撃が多くなっているため、パーソナル情報に沿って攻撃をする強力なワームがどんどん出てきそう。
インターネットを使う場合に、セキュリティの知識は必須、といった世の中が来るかもしれない。
# 技術だけで解決できればいいんだけどね・・

原発情報漏洩しまくり 

http://internet.watch.impress.co.jp/cda/news/2005/07/22/8522.html
http://www.itmedia.co.jp/news/articles/0508/30/news065.html
なんか違う・・・。w

Winnyを使うな、と決めたほうがよいと思うが。
P2P技術に非はあまり無いと思うが、少なくとも著作権侵害の対策が施されていないwinny。
著作権侵害の温床となっているのが現状で、それを目的とした利用者がほとんどだろう。
もうこの辺はモラルの問題だとは思えども。

無形物だと犯罪の意識って希薄になる傾向があるみたいですな。
しかし、業務マシンでwinnyっていいご身分だなぁ。
公務員最高?

ベスト電器、1000円分のお詫び 

これまた、だいぶ古い話だけど。発掘発掘。 http://internet.watch.impress.co.jp/cda/news/2005/07/11/8358.html 記事内で、丸紅ダイレクトが誤表記の価格でPCを売ってしまい、物議をかもし出した点に触れていたが、今回のも十分問題あるような。 以前ヤフーBBが個人情報漏洩事件を起こしたときは500円だったことを考えると、今回は個人情報よりも高いお詫びになったとも言える。 # 個人情報漏洩に関してはもっと高額の支払いが多いけど 価格入力の際に、原価を割ってるとか、桁が違うとかでアラートがでる仕組みにしておけばいいのになぁ。 直接関係ないけど、現在通っている大学で「プレゼンテーション技法」なる講義がある。受講している人に話を聞いたところ、最後にはセキュリティ事故(だけに限らないかも)を起こした場合のマスコミ対応の仕方、までやるらしい。wちょっと笑ってしまった。

100キロ上空からナンバー識別能力 

http://japan.cnet.com/news/biz/story/0,2000050156,20085654,00.htm
ブッシュ大統領の暗殺未遂犯を逮捕しました、よかったね。
といったニュース。
個人的には、暗殺に関してはわりとどうでもよくて「一〇〇キロ上空まで降下して、条件次第で車のナンバーぐらいの大きさのものを識別できる」が気になった。

やる気になったら、かなりのレベルまで監視されちゃうわけで、プライバシーもへったくれも無い世の中がやってきつつあるのかもしれない。
(地下を移動すればいいんだけども)

プライバシーは情報セキュリティを考える際にも重要な要素だ。
便利な世の中になる一方で、どこから生活を覗かれているか分からない状況になっては逆に不便になってしまう。
外と繋がる空間と、繋がっていない空間の切り分けが必要なのだろうか。
そのためには認証技術が役立ちそうだが、理想はうまく融合することなんだろうなぁ。

セキュリティとユーザビリティ 

「安全なブラウザ」などもう存在しない
http://japan.cnet.com/column/pers/story/0,2000050150,20085434,00.htm


脆弱性のより少ないWebブラウザを使うことは重要だとは思うが、絶対安全なブラウザはもう存在しない。
自分自身の行動に責任を持って振るまうべき点は、インターネットも現実社会も同様だ。

ここで少し引っかかった点は、Webブラウザの選択の指標として脆弱性の少なさのみに着目すべきかという点。
セキュリティ技術の目的としてよく耳にする以下の三項目(CIA)。
 ・機密性(Confidentiality)
 ・完全性(Integrity)
 ・可用性(Availability)

このCIAを達成するにはユーザの操作ミスを防ぐことも重要な要素である。
つまり、ユーザビリティも重要なわけで、完全なWebブラウザが無い以上、「自分にとって使いやすい」ことを指標にして、Webブラウザを選択するのも有効だろう。
タブブラウザがよい、マウスジェスチャは必須だ!などの操作性も重要なのだ。
また、httpsプロトコルを使用する際、FirefoxではURL欄の背景が黄色になる、といったような可視性も重要である。

セキュリティを達成するためのアプローチは広く存在するため、まだまだ気づいていない点が多くありそう。
広い視野を以て、自分なりのセキュリティ体系を築きたいものです。

バイオメトリクス 

http://akiba.ascii24.com/akiba/news/2005/07/09/656851-000.html
ID/パスワードのみでのログイン機構では不安だ。
そんな需要からバイオメトリクスに注目が集まっている。

USBで利用できる指紋認証機器を扱った上記記事中に「指を切られて持っていかれたら……?」という記述を見つけた。
以前にも海外で、指紋認証付きのベンツを指を切断され、指ごともって行かれたという記事を見かけた。

これらを読んでいて思ったのは、バイオメトリクスによって、情報技術を使った攻撃の矛先が本人への肉体へ向けられる危険性があるのではないか、ということ。
強力な認証技術は、恐らく軽微な犯罪からは財産を守ってくれるだろうが、バイオメトリクスに頼り切る危険性は多分に含まれているように思う。

結局のところ、財産を守るのは技術だけでは不足しており、心構え等も重要なファクターであると言えるだろう。

ウイルス被害を体感 

http://is702.jp/

ウイルス等の被害を体感できるサイト。
もっとインタラクティブなものを想像していたんだけど、紙芝居だなぁ。
でも、ウイルスなどによる被害の認知度を上げるにはよい試みではないでしょうか。

情報倫理03 

倫理は直接関係ないが、セキュリティのあり方について。
強い資本主義の傾向を示した考え方かもしれないが、ご勘弁。

大前提として、情報セキュリティの目的は情報資産の保護にある。
資産とは何か、goo辞書の国語辞書によれば

[資産]
(1)金銭や土地・家屋・証券などの財産。
(2)企業が所有し、その経営活動に用いる財産。
[財産]
(1)個人や団体などのもっている土地・建物・物品・金銭・有価証券などの総称。資産。しんだい。
(2)〔法〕 一定の目的の下に結合した、金銭的に価値があり、法律により保護または承認されているものの総体。物権・債権・無体財産権の類。
(3)その人にとって貴重な事柄。

つまり、金銭に結びつく情報やその人/企業にとって貴重な事柄を守ることが目的になる。
しかし現状、セキュリティという言葉ばかりが先行しているのではないだろうか。
守る必要のある対象の価値や性質等をしっかり捉えてから、必要なセキュリティを考えるべきだろう。
(いわゆるリスクアセスメント)

すなわち、対象の価値に見合っただけのセキュリティを導入すべきである。
弱いセキュリティに問題があるのは当然だが、強すぎるセキュリティにも次のような問題がある。
 ・コストばかりが先行し儲けが減るばかりか赤字の可能性がある
 ・業務の効率が大幅にダウンするそもそも企業は利益を追求する団体であるため、必要のない損失は防がなければならない。
その点から考えても、無意味に強いセキュリティは不要である。

また、セキュリティを守りの手段としてのみ利用するのは、戦略として充分とは言いがたい。
企業であればセキュリティを自社のアドバンテージにする等により、利益に結びつけるべきだと思う。

情報倫理02 

数年前に長崎の佐世保で小学生の女の子が同級生をカッターナイフで殺してしまう事件がおきた。
この事件で注目すべき点の一つとして、加害者と被害者のインターネットでのやりとりが事件の一因になった点が挙げられる。
サイバー生活手帳では、インターネットのような空間をサイバー空間と読んでいるが、そのサイバー空間でのやりとりが事件に結びついたのである。
今となってはあまり衝撃はないのかもしれないが。

サイバー空間の特徴として、親の目がほとんど届かない、個人的な空間である点が挙げられる。
つまり、インターネットを使っている子供は、極端にいえば無法地帯に雨ざらしになっている危険性がある。

さぁ、自分の子供にインターネットの使用を禁止するか?
実に困った問題が発生する。
恐らくインターネットを使えないことは、現代を生き抜く上で、強力な情報収集の手段を失うことになる。
アダルトサイトなどをブロックしてくれるような、フィルタリングソフトもあるが、完璧ではないだろうし、よからぬ情報のみへの接触を絶つことは難しい。

ここで困ってしまう理由は、恐らく親にとっても自分自身に経験がないことなのだ。
自分が子供の時代にはインターネットなんてものは無かったし、あらゆる方面の情報があふれかえった媒体もなかった。せいぜい、コンシューマゲーム機程度だっただろう。

もちろん、自分達の親の時代にはファミコンはなかっただろうし、そのまた親を見ても・・・といった繰り返しではある。
しかし、インターネットほど、目の届かない範囲であらゆる情報に触れられる媒体は無かったと言っても過言では無いだろう。

これからの時代、子供のインターネット利用をタブーとするのもよくないと思え、やはりインターネットの利用方法や情報の捕らえ方、検索の仕方などを基本知識として教えることが重要なのかなと思う。
つまり、情報倫理を教育の一環とすべきなんだろうなと思うわけです。

参考文献
サイバー生活手帖―ネットの知恵と情報倫理
矢野 直明
日本評論社 (2005/04)
売り上げランキング: 122,781

情報倫理01 

現在、大学にて矢野直明先生に情報倫理を教わっている。

参考
サイバー生活手帖―ネットの知恵と情報倫理
矢野 直明
日本評論社 (2005/04)
売り上げランキング: 122,781

情報倫理00 

学校の課題にて、情報倫理を考える課題がでたので、毎日思ったことをメモって行くことにしよう。
書きためるって重要だね!
それ以外にも、課題が5つ、試験が1つたまってて危険!

パスワードをメモする・・・是非は? 

「パスワードはメモしておけ」--MSのセキュリティ担当幹部、自説を披露

あ、なるほど。と思った。

セキュリティポリシーとして「複数のサイトでユーザID、パスワードを同じにしていはいけない」「パスワードは簡単に連想できるものではいけない」のようなフレーズをよく耳にする。
が、実践できている人はなかなかいないだろうと思う。

多くのサービスに囲まれた現代人にとって、サービス毎に異なる複雑なパスワードを利用するのは困難だろう。
多くのサイトで同じパスワードを利用する、なんてことはままあることだと思う。
# ものすごい記憶力の持ち主にとってはなんのことはないかもしれないが

そこで、マイクロソフトのお偉いさん曰く 「パスワードはメモしておけ」なのである。
メモを見られたら一巻の終わりじゃないか!という意見はごもっともだ。
たとえ鍵付きの引き出し(または金庫)に保管していたとしても、無理やり鍵をこじあけられれば終わりである。
# もちろん付箋にID/パスワードをメモってディスプレイの枠に貼り付けるなどはご法度

しかし下記の点が期待できる。
 1.サイトによって違うパスワードを利用することが容易(記憶のみに頼るよりは)
 2.違うパスワードを使っているため、一つのパスワード盗難から被害が広がりにくい
 3.PCに侵入されてのパスワード盗難を防止

つまり、手元にメモを取っておくことで、サービス毎に異なるパスワードを使いこなせるかもしれない。

一方で記憶のみに頼るのは、多くのサービスで類似したID/パスワードの組を使用することにつながる。
なんらかの方法で一つのID/パスワードを知られてしまった場合、身の回りのサービスのほぼ全てに侵入されるのは洒落にならない。

メモを取ることを推奨するわけではないが、自分にあったセキュリティポリシーをたまには考え直してみることが必要かな、と考えさせられた一言でした。

データを人質に 

ファイルのデータを人質に

なかなか素敵な犯罪。
ファイルを勝手に暗号化することができるなら、素直にデータ持ち逃げして売り払ってはどうなんだろう。
データ買ってくれる人がいない、という問題を克服しているということなんだろうか。
リスクが異常に高まる気がするんだが・・。

別に売り払わなくても、インサイダー情報を仕入れて株で一儲けできそうなもんだよね。

フィッシング パーソナライズ 

セキュリティ専門家ら、パーソナライズされたフィッシング攻撃に警鐘

個人情報を巧く活用した事例ではあるんだけど、悪事では困る。^^;
フィッシングに個人情報を活用するのは、かなり効果的なんじゃないかなーと予想。例えばポイントが貯められるサイトで

「●●様 (ID:xxxxxxxxx) 今年度より、ポイント更新手続きを実施することになりました。 つきましては、下記サイトより更新手続きをお願い致します。
現在のポイント:○○  ※注意  期間内にポイント更新手続きをして頂きませんと  ポイントが無効になります!」

のような内容のメールがきたら「ポイント無効にされるのはたまらん。更新せねば!」と思うような人も多いはず。
損得が絡むと、行動を起こしてしまいそうなものだし。

実際、今の稚拙な内容のスパムでも多少の成果をあげていることを考慮すれば、かなり強烈な攻撃になるのではないでしょうか。

指紋認証 

ここのところ注目を浴びている、バイオメトリクス(生体認証)。
中でも今ホットな手のひらの静脈パターンによる認証と、指紋認証。
銀行や郵便局のATMに導入される予定の認証システムでは、指紋認証の方が多く採用されているらしい。
ただ、「指紋認証=安全」と考えている人も多いようだが、案外そうでもない。

http://it.nikkei.co.jp/it/sp/security_c.cfm?i=20050303sp001sp
こちらにも掲載されているとおり、実は指紋だけなら粘土のようなもので型をとれば偽造ができてしまう。
# 指紋の型を不正に取得されること自体、レアケースかもしれないが

さらに、スラッシュドットだったかで、指紋認証を取り入れた高級車を、指ごと(切断されて)盗まれたという記事を見かけた。
ここまでされると、指紋のみの認証はまったく役に立たない。
結局のところ注目されている認証技術も完璧なものはないため、他の認証技術との組合せが必須になりそうだ。
実際、指紋認証とただ呼ばれていても、指の静脈認証を同時に行っているようだ。

ただ、認証の手間が増えることはユーザビリティ低下を招くだけであるため、がちがちな認証も困りもの。その場面で適当なだけの認証機構を備えてほしいものだ。
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。