哲太郎の備忘録

久々に出てきたと思ったらまた宣伝です(^^;

第９回　コンピュータ犯罪に関する白浜シンポジウム
　「顔の見えないネット社会～匿名性を考える～」

今朝公開しました(朝方までコチョコチョ書いてました・・・)。

今年のテーマは匿名性です。去年Winnyの一件があったので、今年はもう少し議論が深まっているかと思ってこういう話にしてみたのですが・・・実情は今の時期はまだまだ個人情報一色ですね(^^;去年個人情報やったの早まったでしょうか(^^;;;

というわけで使わせていただいているココログですが、やや旧聞に属しますがSSIインジェクションなんて話があるのですね。
ココログは SSI インジェクション可能 (水無月ばけらのえび日記)
うーんいまどきSSIじゃないとだめなんてと思うのですが、MovableType自身はSSIなんて使ってたでしょうか。ココログ向けに拡張するときにどこかで使ってる関係で生かしていて、そのままになってるんでしょうか。

↑この辺に現在時刻が出てれば、まだそのままってことですが。execはできないらしいので、まぁ悪用できるシナリオはなかなか難しそうですけど。水無月さんには何かアイデアがあるんでしょうか・・・

ついに日本の銀行を狙ったフィッシングサイト＆メールが飛び交っています。私もよく使っているUFJです。
UFJ銀行をかたる日本語フィッシング詐欺メールが出回る(ITmedia)
フィッシング詐欺サイト情報 さんに有用な情報がまとまっています。
手口は最も古典的なもので、バックエンドでパスワード認証などはせず、単純に10桁の「お客様番号」とパスワードを詐取します。またUFJの場合、個別に配布される暗号表がないとお金の移動にかかることはできないはずですが、パスワードだけでも残高照会や入出金明細の閲覧はじめ、個人情報満載の「登録情報閲覧」などのいろんな情報を見たり、一部は変更することが可能です。かなりの脅威です。

新潟大の一件ですが、こちらが詳しいです。

新潟大の成績情報流出，PDFファイルが検索サイトのキャッシュに(ITPro)

うーん、こういうの防ぐのってかなり難しいですよねぇ。各教員のITリテラシあげるしかないんでしょうけど。

学生ら１８０人の成績情報がネット流出　新潟大 (朝日)
　新潟大でセキュリティで頑張っておられる須川賢洋先生のお膝元だけに、どういう対応されるのか注目してるのですが、今日になってもまだ新潟大のトップページにも法学部のトップページにも何も出てません・・・

　認証方式として暗証番号だのパスワードだのは漏れやすいということで、生体認証(バイオメトリクス)が代案として示されることがよくあります。特に指紋認証は結構、ユーザにウケもいいみたいです。わかりやすいし使いやすいからでしょう。
　でも、指紋認証は使い方を間違えるとどうかなぁと思うことがあるんです。今日偶然見て気になったのはこれ。
住友信託銀：外勤営業担当者　指紋認証備えたＰＤＡ配備(毎日)
　PDAに顧客情報入れて持ち歩いている以上、落とす可能性があるので何か対策が必要でしょう。でも、この種のものに指紋認証ってあまり意味がないと思うのですが。PDAは手に持つものですから、その筐体には使用者の指紋がたくさんついているはずです（特殊な加工でもしない限り）。拾得者に悪意があれば、それを使って一発で指紋認証を騙せてしまう可能性があります(たとえば有名なグミの指を使って)。たとえ4ケタの暗証番号でも、3回間違えたら端末が完全にロックされるような仕様にしておいた方がきっと下手に指紋認証するより安全だと思うのですけどね。もちろん、件のPDAは指紋とパスワードを併用していたりするかもしれませんが・・・というより、していて欲しいのですが・・・・（基本的には併用を考えているようですが）。
　バイオメトリクス全体がだめだとはいいませんけど、指紋は本人に知られずに容易にパターンをとることができるので、網膜や手の静脈パターンなどに比べると簡単にいつのまにか偽造されている可能性があります。指紋認証って、結局本当に人間が自分の指を使っていることをほかの方法（たとえば他人の立ち会い）で証明できないと、ごく限定的な効力しかないと考えるべきでしょう。

最近はよいまとめサイトがいくつもあるので事件のおっかけしなくてもいいんですが
ドコモ、2万4632件の個人情報流出(ITmedia)
この事件の今後は気になります。というのはドコモはそれなりにセキュリティには金も手間もかけているはずで、いくつかのシステムはISMS認証も取得しています。今回のシステムがそれに該当するのかどうかはわかりませんが、可能性は高いでしょう。
報道によると漏洩に関わった可能性のある人物は254名だそうですが、ログ取られているのを知っていて堂々と盗る人はいるでしょうか。あるいはシステムに大きな穴があったのでしょうか。

フィッシングに対する自衛策のひとつはURLの確実な確認なのですが、以下のような話が出ています。
国際化ドメイン名がフィッシングに悪用される問題～Secuniaなどが指摘 (Internet Watch)
この話、国際化ドメインの話が出た最初からずっといわれ続けてる話だと思うのです。特に日本語は「ヘ」はひらがなとカタカナで区別できませんし、ひらがなの「り」とカタカナの「リ」、カタカナの「ロ」と「口」（くち）、「エ」と「工」(こう)みたいに紛らわしい字も多いので、たとえば私が「テツタロウ.jp」というドメインを持っていたとして、誰かに「テツタ口ウ.jp」というドメインをとられると厄介なことになるというのは当初から指摘されていたことです。それがフィッシングに使えるということも、多くの人が指摘していました。英語圏の人には目新しく感じるだけのことなんでしょう。それを脆弱性と呼ぶのはどうかと思いますが。
この問題、各サイトに簡単な自衛策があります。要は（商標登録と同じように）まぎらわしいドメインは全部押さえてしまうということです。ただ、たとえば上記のキリル文字問題への対処は、aを多く含むドメイン名の保持者ほど大変になってしまうという問題がありますが（全組み合わせを登録しなくてはならないので）。
そもそも、こういう紛らわしいドメイン名は登録できないようにレジストラかレジストリで機械的に排除してほしいと思うのは私だけでしょうか。

といってたらJPRSがこんな文書を出しました。

昨年日本語でのフィッシングが行われて、今年はたぶんまとまった被害が出るという意味で日本のフィッシング元年かもしれないなぁと思っていたのですが、どうやら現実味を帯びてきたようでして。
今朝(2/7)、NHKニュースでフィッシング詐欺の話をやってくれています。それなりに被害が認知されてきたということなのかもしれません。一般メディアにこの手の話が出るのはよいことだと思っています。周知が必要なことですから。
ただ、困るのは対処法です。NHKの報道はJPCERT/CCの話として、「セキュリティの設定が甘いとひっかかるからちゃんとしてくれ」なんて趣旨のことを言ってましたが、「セキュリティの設定をちゃんとする」と言われても困っちゃいますよね？マイクロソフトのいう「3つの手順」を守ったからといって完璧とは言えないわけですから。
私自身、講演などでもよく、「フィッシングかどうかを判断するにはどうしたらいいの？」という質問をもらいますが、今のところ特効薬はないとしか答えられないでいます。もちろんURLをちゃんと確認するとか、SSLの場合は証明書を確認するとか、一応の自衛策はありますが、一般ユーザ全員にそんなことを徹底するのは現実には難しいでしょう。何か技術的方策が必要です。
既に知られ、一部で使われているのはアンチウィルスソフトウェアや迷惑メール防止ソフトウェアにフィッシングメールを検出除去させることです。フィッシングの場合、迷惑メールと同様に内容に乱数要素を入れやすいのですが、フィッシングサイトへの誘導URLが必ず必要ですから、既知のものはかなりよい精度で検出できます。あと、アンチウィルスソフトウェアの技術を使えばフィッシングサイトへの参照を横取りして警告を出すこともできるでしょう。
ですが、この手法は当該フィッシングサイトが既知になってからしか有効じゃありませんし、なによりもユーザに負担を求める手法になっているのもどうかと思うのです。ユーザの自衛にばかり期待するのだけではなく、もう少しサーバ側、つまりフィッシングで使われる認証サイトの事業者側も対処してくれないものでしょうか。もちろん認証のやり方を変える（究極は公開鍵暗号を使ったクライアント認証やICカード/USBキーなんでしょうね）という対処もあるでしょうが、それ以外にも今すぐできるものがいくつかあります。たとえば、今の多くのフィッシングサイトはユーザにそれを気づかせないようにするために認証情報を本物のサイトに転送したりしますが、単純な構成をすると、事業者のサーバ側から見ると突然いろんなユーザに対する認証が同じIP（しかも多くの場合通常ありえないような海外）からやってくるように見えるはずですから、アノマリ検出的手法ですぐわかるんじゃないでしょうか。それともそういうことを既にやっているサーバがあるんでしょうか？どなたかご存知でしたら教えてください。
まぁこの手の手法も回避策がすぐ考案されちゃうかもしれませんが（すぐに思いつくものがいくつかあります）、しばらくは有効なんじゃないでしょうか。アノマリ検出手法自体は、各ユーザにうまく使えばフィッシングされてるかもしれないことをまた別の角度から検出できますから（特にクレジットカード会社はスキミング対策のために決済サーバでそういうアノマリ検出をしていると聞きますからノウハウはあるでしょう）、そういう意味でも取り組んでもらえればいいんじゃないかと思うのです。

・・・とかいっていたらこんな報道がありました。
ＵＦＪカードの顧客、「フィッシング詐欺」で被害(日経)
しばらく増えそうですね。丸山さんの記事がこの件について詳しいです。ついでに丸山さんの古い記事にちょっとトラックバック。

ペ・ヨンジュンさんの公式サイトがhackされて、会員登録の情報が漏れたみたいです。
「ヨン様」国内公式サイトに攻撃、個人情報流出か (朝日)
“ヨン様”のＨＰ、中傷集中で閉鎖・個人情報流出も(日経)
公式サイトに事件の詳細がありますが、その中で個人情報漏れが最大で1024人ということの根拠が今ひとつ理解できません。変更があっただけじゃなくて、読み取りがあったかどうかのログ検証はされてるんでしょうか。
あと、報道各社は単に「個人情報の流出」を問題にしていますが、それよりアカウント＝IDとパスワードが、個人情報と結びついた形で漏れていることが問題じゃないんでしょうか。公式サイトのお詫び文には

今回のことにより流出した個人情報は、会員登録時にご入力いただいた氏名、住所、電話番号、メールアドレス、パスワード、性別、生年月日です。個人情報が流出した場合の具体的な被害例は、個人情報を他のサイトで無断公開される、パスワードを改ざんされるなどが考えられます。

とありますが、ちょっと認識が甘いように思いました。もともとIDがどのような形態のものだったのか確認してませんが(メールアドレスでしょうかね?)、もし自分でIDやパスワードを自由に選べるようになっているタイプだとより危険です。複数のサイトでIDとパスワードに同一のものを使う人は珍しくありません。サイト運営者がするべきことの一つは、登録していた人に「他のサイトの」パスワードについてもし同一のものを使っているのであれば変更を求めることだと思います。その旨をサイト管理者の方に私の方からも伝えましたが、どうなるでしょうね。
(04.12.28追記) 一応サイトのメッセージが書き換わったようです。

Yahoo! BBの顧客情報データがインターネット上に掲載。現在は削除済み (Internet Watch) (同記事がBroadband Watchにも)
ヤフーBBの顧客情報9213件がネット上に - NHKに匿名で連絡(IT保険ドットコム)
Yahoo! BBの顧客情報がインターネット上にアップロード。今度はNHKから連絡(RBBToday)
Yahoo！BB会員情報9213件、一時ネットに掲載(ITmedia)
大手新聞各紙の報道はこんな感じです：毎日、朝日、日経。

なおソフトバンクBBからのニュースリリースがこちらです。

この報道、「ネットに掲載」という報道のされ方はあまり適当ではない気がします。たまたまタレコミの経路がネット経由だったというだけの話でしょう。もちろん、CD-Rなどを匿名郵便で送りつけるなどよりはかなり２次流出の危険のある方法だったわけですが。いずれにせよデータ流出が広い範囲に及んでいそうだということが明らかになりました。

気になるのは法的措置云々の部分。SBBのニュースリリースには

一連の件に関し、弊社は業務妨害での刑事告訴、及び不法行為・信用毀損等に基づく損害賠償請求での民事訴訟を、それぞれ準備をするとともに、サイト管理者に対し投稿者の情報を開示するよう要請いたします。

とありますが、この刑事告訴や賠償請求の相手ってだれが含まれるんでしょう。情報を流通させた人は含まれるでしょうけど、各マスコミに持ち込みにきたタレコミ人も訴えるんでしょうか。
普通マスコミはこの手の持ち込みネタの情報源を明らかにしてくれないのですが、NHKはそのサイトがどこだったかSBBに教えちゃったみたいですね(少し驚き)。もちろんSBBとしては、今回の情報流出経路を明らかにするためにそういう情報が欲しいのはわかりますが、サイト管理者に情報提供を受けてどうするつもりかがわかりません。もしサイトに掲載したタレコミ人も訴えるぞとかいうとタレコミそのものが減って逆効果になりませんか。むしろ、情報流出源に関する情報を提供してくれた人には懸賞金をというくらいの勢いじゃないとだめなんじゃないでしょうか・・・てそうか、それはそれで下手するとわざと広く流通させてから徐々にタレ込むというマッチポンプされちゃう危険がありますね。難しいですねぇ。