カテゴリー ‘セキュリティ’ の記事
まるでスパイのツール!
『紙と電子データの暗号化技術がさらに進化!携帯電話で閲覧が可能に』
ちょうどその技術ををしている富士通フォーラムでやっているということだったので、東京に行ったついでに早速体験しに行ってきました。
やってることや暗号化された画像の見た目はちょっとQRコードに似てるんですが、目的や仕掛けはかなり違います。
すごーく簡単に違いをまとめてみました。
(推測のレベルのものもあるんで「?」も多いですが)
| |
QRコード
|
富士通の暗号化
|
| 目的 |
・小さなスペースの中に解読精度の高い文字情報を埋め込む
・携帯電話からURL接続、メール送信、アドレス帳登録などの操作を簡単にする |
権限を持った限られた者のみに情報を開示する |
| 暗号化するもの |
文字、画像、音楽データ等 |
基本的に画像データのみ? |
| 読み取るには |
一般的なQRコードリーダーがあれば誰でも読み取れる |
専用の解読用アプリと暗号化の際に登録したパスワードが必要 |
| 暗号化するには |
デンソーウェーブよりアルゴリズムが公開されているため誰でも作成可能 |
富士通の専用ソフトが必要なはず?
暗号化アルゴリズムも公開しないはず? |
しかし携帯電話って言う道具を利用して秘密の暗号を読むなんて、なんだかスパイ映画みたいですよね。
実際に体験してみて
会場でデモで見せて頂いたのは以下のようなところ
■暗号化
画面上に表示された印刷イメージの中で、暗号化したい任意の範囲を選択し、パスワードをセットして対象範囲を暗号化
■読み取り
携帯端末にインストールされた専用アプリを通して、画面の中心に暗号化されたカメラ画像をあわせると複合化された部分が専用アプリに表示
残念ながら展示会の会場では、撮影禁止だったので肝心の写真はないんですが、デモを見たりお話を聞いたことからいくつか補足情報。
・読み取りデモの中でパスワードを入力する手順は無かったのは、あらかじめアプリにパスワードが設定されているそうな
・現在の試作品アプリは、Windows Mobileにしか対応していないとのこと。
・専用アプリが暗号化された範囲を複合化するまでには、やはり数秒かかります。QRコードのように早くない。
・暗号化された画像はかなり細かかったです。精度の悪いFAXやプリンターで出力した文書でも大丈夫やろか?
(説明してくれた方は、2、3回コピーしても大丈夫って言ってましたけど)
2009/05/17 | タグ( セキュリティ, 個人情報) | カテゴリ(セキュリティ, 携帯電話/モバイル) | コメント(0)
ノートPCが盗まれても離れた場所からデータ消去
企業の情報漏えい被害を抑えることができるなかなか素敵なノートPCが富士通から発表されていました。
ノートPCの紛失・盗難対策ソリューションを提供
携帯電話などでは、リモートロックみたいなサービスがありましたが、そのPC版みたいな感じですね。
ノートPCに仕込まれた低消費電力のPHSモジュールが、ウィルコムの回線網から消去コマンドを受け取ると、Windows等のOSを起動させずに自動的にHDのデータを読取不能、またはロックしてしまうというものだそうです。
これって、なかなかに実用的なソリューションですよねー。
外に持ち出すノートPCは「シンクライアント」なんていって、ほとんど情報を積まないようなソリューションが主だった中、ちょっと画期的な仕掛けですよね。
疑問点は以下のような感じでしょうか。
■不正に消去コマンドを受け取ることは無い?
ユーザーが直接コマンドを送るわけではなく、富士通が提供するシステムにログインして富士通の管理サーバーからコマンドが送られるようです。
とりあえず、コマンドの発信元が富士通の特定のサーバーなのかどうかなど、いろいろと不正利用対策はされているはず(?)ですよね?
■PHPモジュールでインターネットはできる?
消去・ロック等の制御コマンド受信用のPHSで、Windows等のOSからは認識されないらしいです。
なのでこのPHSで通信しようと思っちゃだめなようです。
■PHPが通じないところでは?
コマンドを受け取るのはPHSなんで、もちろん機能しません。
(ということで、山奥とかに盗難PCを持っていかれるとダメ)
■HDの消去って時間がかかるのでは?
どうやらHDが暗号化されているらしくって、この自爆装置は暗号化されたHDの中身を解読するためのキーを削除するものらしいです。
なのでかなり一瞬で消えちゃう(読取不能になってしまう)んじゃないでしょうか。
■気になる費用は?
まずは富士通のサイトからWeb注文できるようになるそうですが具体的なPC本体の金額は不明。
またランニングコストもまだ未定。(1,000円以内で検討中なそうな。)
とりあえず契約は富士通とだけで、ウィルコムと契約する必要はなさそう?、
その他ちゃんと電話番号を持っているPHSなので、PHSが通信中の基地局の位置からどのへんにPCがあるのかってもだいたい分かるみたいです。
応用編?
これと同じようなインフラで、Winnyなんかで流出して広まってしまったファイルのハッシュ値をコマンドどともに送ると、そのファイルを保有していた端末のHDから強制的に削除してしまうようなソリューションがあれば、かなり利用料が高くでも需要はありそうですよね。
技術的にも倫理的にもいろいろと実現は不可能そうですが。
2009/05/09 | タグ( ウィルコム, セキュリティ, 個人情報) | カテゴリ(コンピューター, セキュリティ) | コメント(0)
◎勝手にパソコンに鍵をかける
数年前にパソコン内のファイルを片っ端から暗号化して、身代金を要求するウイルスがいましたが、
「ファイルが見たかったら金を出せ!」
今度はもっと分かりやすくタチの悪い脅迫ウイルスが出回ってるそうです。
『新たな「脅迫ウイルス」出現、パソコンをロックして使用不能に』(ITPro)
感染すると、パソコンを強制的にロックして、解除コードを入力するまでは操作できなくしてしまうそうな。
解除コードを入手するためには、画面に表示されている番号にショートメッセージを送る必要があるらしい(やっぱり解除コードを購入させられるんでしょうね~)
何より分かりにくいのが、このロック画面がロシア語。
絶対分からんし…(-_-;)
どうやら、この解除コードについては、シマンテック社が解除コード生成プログラムを配布してるらしいんで、この解除コード生成プログラムをダウンロードしようにも、何せパソコンがロックされちゃってますもんね…
◎脅迫ウイルス応用編
パソコンをロックする以外に、脅迫できそうな嫌がらせ行為を考えてみました。
・日本語入力モードが、ローマ字入力じゃなく、カナ入力モードにさせられる(全く平気な人もいますが)
・Microsoft Office製品で、ファイルの保存ができなくなる
・「OK」ボタンをクリックしようとすると逃げる
・全てのiniファイルの数値パラメータを10倍にする
う~ん、考え出すとなかなか細かくいやらしい嫌がらせで楽しくなりますね…(^^ゞ
2009/04/19 | タグ( ウイルス, セキュリティ) | カテゴリ(セキュリティ) | コメント(0)
◎「ザッピングthatsping」を使うとブログが乗っ取られる!
たまにお邪魔しているブログを除いてみると…
「あれ?、強制的にwww.adxtn.comってサイトが表示される?」
もう一度、そのブログを表示してみると、最初からリダイレクトされているわけではなくって途中まで画面描画したところで飛ばされているようです。
「こりゃ何かブログパーツが悪いっぽい?」
ちょうどリダイレクトされた画面に「Thatsping.com」と書いてあるので、いろいろ調べてみると、どうやら株式会社ブログウォッチャーの運営サービス「ザッピング(thatsping)」のブログパーツが悪さをしているようです。
詳しいことはザッピング(thatsping)の新URLであるhttp://thatsping.jp/に詳しく書かれてますが、こういうことのようです。
<以下抜粋>
この度、「ザッピング」のURLを、弊社のシステムの都合により、http://thatsping.jp/へ変更致しました。ご利用の皆様には、多大なご迷惑をおかけしていることを、深くお詫び申し上げます。
ドメイン変更に関しましては、内外の要因によって、旧ドメインを失効した事に起因しております。これまでの間は、システム修正等を試みましたが、旧ドメインに本サービスを復旧させることが難しいと判断いたしました。
これって、もともとのドメインであるThatsping.comの更新忘れ?
Thatsping.comについては、whoisしてみると2008/11/3にDotstar,incが取得しているようです。
Dotstar,incって、ここのことことやろか?
http://www.dotster.com/
どうやら、このThatsping.comのドメイン失効については、少し前からザッピングのサイトでは告知をしていたみたいなんですけど、とにかくこのサービスはユーザー登録する必要が無いため、このことについてユーザーに連絡する手段が無かったようで。
きっとリダイレクトが開始されてから、びっくしりて気付く人が大半なんじゃないでしょうか。
しかし、あんまりこれまでは意識してなかったんですけど、ブログパーツ一個でサイト全体が他サイトに飛ばされる危険性ってあるんですよね。
なんとも恐ろしい…
今回はリダイレクトされた先のページに「Thatsping.com」って書いてあったから、また利用者も調査のしようがありますけど、これで普通にアダルトサイトなんかに飛ばされてしまうと、何が悪いんだか調べるのが難しいですよね。
もっと言うと、Thatsping.com側で悪意のあるJavaScriptを準備されてたら…(あ~怖っ。)
とりあえず、まだ継続して「ザッピング(thatsping)」を利用される気がある方は、無条件にタグを変更してくださいませ。
ドメインの有効期限切れについては、放ったらかしておくとこんなこと↓になるんで
あぁ~あのドメイン達が…
皆さんも気をつけませう。
2008/11/26 | タグ( セキュリティ, ブログパーツ) | カテゴリ(セキュリティ, ブログ) | コメント(1)
◎パスワード付きZIPファイルなら安心?
仕事で重要な情報をメール添付でやり取りする時に、添付ファイルをZIP形式で圧縮してパスワードをつけて送信するのを見かけたりしませんか?
そして、そんな中で何気に気になるのが、このパスワードの伝え方。
パスワード付きZIPファイルを添付したメールの文中に、
「パスワードは後ほどメールします」
と書いておき、メールの別便でパスワードを送信する方法ってよく見かけませんか?
でも、これって本当に大丈夫なんですかね?
きっとこのパスワード付きZIPファイルを不正に入手した人は、
・メールの盗聴
・正しいメール受信者のメールボックスの取得
・メール受信者のメールソフトの受信トレイを閲覧
などの手段によって入手しているはずです。
ということは、上記のどの手段であってもZIPファイル添付メールのすぐ後に送られているパスワード通知メールを見ることは限りなく簡単ですよね。
(おそらく同一の送信者、宛先のメールのはずですし)
◎パスワードをどう伝えるか?
正しくは、パスワードについては電話、郵送、またはインスタントメッセージなどの別通信手段で伝えなければ意味ないですよね?
とりあえずZIPにパスワードつけて別便のメールでパスワードを伝えれば、「個人情報の漏洩に気を使ってるっぽい」雰囲気をかもし出せるので、かなり広範囲に利用されている手段な気がしますが…(ーー;)
何より「パスワード付きZIPファイルそのものを信用するのが間違いなんだ!」というごもっともな意見も聞こえてきそうですが…。
まぁ、全ての重要な情報を毎度毎度CD-ROMに焼いて保険付きの専用宅配業者に依頼してたら、仕事が回らなくなってしまうのも分かるので、私はそこまでは言いませんけど。
とりあえずZIPファイルの解凍用パスワードを後から送信するメールで伝えるのはやめましょう。
もしかして、2者間で毎回変化するパスワードを安全に共有できるような簡単サービスって需要あったりして?
2008/07/31 | タグ( セキュリティ, パスワード) | カテゴリ(セキュリティ) | コメント(0)
◎犯人はAVGの新機能「リンクスキャナ」
先日に特定のキーワードで検索するとブラウザがクラッシュするこんなエントリーをしましたが
『このキーワードでブラウザをクラッシュさせろ』
原因が判明しました。
AVG Anti-Virus 8のリンクスキャナ機能らしいです。
情報を提供して頂いた野犬さんありがとうございましたm(_ _)m
AVGのオフィシャルコメントでは、Internet Explorerだけが対象になっているようですが、Firefox3でも同様なようです。
ということで、AVG Anti-Virus 8をご利用の方は、IEからGoogleを開いて
「ジャイアント横田」や、
「ごっごる」や
「メルカトル図法」や、
「ランゲルハンス島」などのキーワードで検索しちゃだめです。
きれいにクラッシュします。
どーしてもランゲルハンス島を検索したい場合は、AVGの設定画面を開いてリンクスキャナを停止しましょー。
2008/07/12 | タグ( avg, エラー) | カテゴリ(セキュリティ) | コメント(0)
◎VeriSignのSecured Sealが開かない
皆さん、Pマーク制度の陰謀にはまって、ちゃんと問い合わせフォームではSSL通信してますかー?
ちゃんと個人情報の取扱いについての同意文言を表示して「同意する」アクションをさせてますかー?
ということで、今回はSSL(というよりは、ベリサインのお話)。
SSL証明書を取り扱っている業者はいろいろあるものの、なんとなく偉そうな日本ベリサインの証明書を購入するとベリサイン セキュアドシールなるマークをサイトに表示して良いことになっています。
このシールは設置方法の説明によると、Adobe Flashのバージョンと、アニメーションGIFバージョンの二通りが用意されています。(ベリサインはFlash版を進めてるようです)
で、このセキュアド シール、クリックすると下のような画面が表示されて内容を確認できるという仕掛けです。
◎セキュアドシールが開かない!
ただし…
端末にインストールされているFlash Playerのバージョンを 9.0.124.0 にアップすると、このセキュアドシールが動かなくなってしまうような…
クリックしても無反応です(IEでもFirefoxでも同様)
なので、SSLセキュアドシールをどうしてもクリックしてみたい方は、しばらくFlash Playerを9.0.124.0にアップさせるのは待った方がええかもです。(^^;)
(とか言いながらも、9.0.124.0っていうのは、危険度「高」の脆弱性を含む修正版なので、インストールをおすすめします)
とりあえず、日本ベリサインに対しては、調査をお願い中です。
<<2008/6/25 追記>>
ベリサインにおいても、やっとこさ公式な不具合発表がありました。(対応じゃなくて発表です)
Adobe Flash Player バージョン9.0.124.0導入環境においてベリサインセキュアドシール(Flash形式)の検証ページが表示出来ない事象について
2008/04/16 | タグ( SSL, verisign, セキュリティ) | カテゴリ(セキュリティ) | コメント(0)
◎ウイルスバスター2008の広告が大胆だ!
今日たまたま見つけてしまったトレンドマイクロの動画広告の中のひとコマ。
つい先日にトレンドマイクロ自身のWebページが改竄されて、ウイルス配布サイトと化していた事が話題になった今、これ↑を自ら言ってしまうのは、あまりに大胆すぎるでしょー。
わたしゃこの広告を見てお茶ふきそうになりましたわσ(^◇^;)
『トレンドマイクロのウイルス情報ページ、改竄されたのは9日21時頃から』(INTERNET WATCH)
ほんと説得力あり過ぎ。
そりゃ画像の右下の人のような顔にもなるってもんですわ…(ーー;)
自らのサイトをいけにえにして、Webページ改竄の脅威を世に知らしめるには、最も効果的な自爆作戦だったかもしれません。そりゃ「ウイルス対策会社のサイトがウイルスに感染したいた」っていうのは絶好のネタですもんね。
いやいや、トレンドマイクロすごいぞ!
しかし、ほんと先日も配布されたパターンファイルに不具合があって、いろんな企業に経済的な損失を与えたばかりなんで、もうちょっといろいろと慎重にやって頂けるとうれしいんですけどー。
トレンドマイクロさん?
2008/03/20 | タグ( トレンドマイクロ, 広告) | カテゴリ(セキュリティ, 日記) | コメント(0)
◎参照元解析
たまぁにアクセス解析をやってると、やはり参照元サイト解析(どのサイトから自分のサイトに来てくれたのかの集計)は見たりするわけです。
参照元解析ってのは、ブラウザが教えてくれる「どのページから来ましたよー」というリファラ-
(referer)情報をとらえるものです。
なので、その情報を見ると自分のサイトは、どのサイトからリンクをはられていて、そこからどのくらいのアクセスがあるか分かるわけです。
mixiでいうところの足跡みたいなもんでしょうか(いや、かなり違うな…)
◎嘘つき急増中
で、問題なのは最近そのリファラを嘘ついてやってくるアクセスがすっごく多いんですわー。
「お、どこか新規のブログからリンクがはられている」
と思ってサイトを逆に訪問してみると、「○万円儲かる!」みたいな情報商材サイトだったり、アフィリエイトサイトだったり、出会い系サイトだったりするわけです。
当然に、うちのサイトへのリンクは無し。でも、
「おたくのサイトにリンクしてますよー」
っていう意味のリファラは偽装してうちにアクセスしてきてるんで、私も見事に引っ掛かってしまい逆アクセスしてしまうわけです。
何かだまされた感じですっごく悔しいぞ…(ーー;)
以前からこのリファラ・スパム(Referer Spam)ってのは存在してた手法なのですが、何か新手のリファラー偽装アクセスツールでも開発されたんでしょーかね。
こうやってアクセス解析をやってる人間からの逆アクセスを期待してるのか、自動バックリンクを期待してるんだか…。
.htaccessファイルなりで、アクセス拒否をすることはできるんでしょうけど、いちいちそんな対策をするのも面倒ですしねー(ーー;)
とりあえず、うちのサイトは自動バックリンクやってないんで、もう来ないでくださいましm(_ _)m
2008/02/16 | タグ( アクセス解析, スパム) | カテゴリ(スパム, セキュリティ) | コメント(0)
ホーム
先頭に移動