Last update 2005/07/12
ここには過去の「MS Watch」が集めてあります。
これより古い分については、こちらへ。
これより新しい分については、こちらへ。
XP SP2のIEにセキュリティホール
標題: XP SP2のIEにセキュリティホール --- フィッシング詐欺に悪用される弱点が見つかっています。詳しくは、 http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050222/156504/ XP SP2のIEにポップアップの「タイトル・バー」を偽装される弱点 をどうぞ。 知恵比べだから、次から次に出てきますね。
「家電製品にもウイルス」の時代はやってくるのか
標題: 「家電製品にもウイルス」の時代はやってくるのか --- 詳しくは、 http://japan.cnet.com/news/sec/story/0,2000050480,20080831,00.htm?tag=nl 「家電製品にもウイルス」の時代はやってくるのか をどうぞ。 やってくるんでしょうね。\(^O^)/ 携帯電話でもそうだけど、Bluetooth使っている機器は、いまんところ、無 防備ですもんね。
Xboxに発火につながる不具合
標題: Xboxに発火につながる不具合 --- 数日前のニュースです。詳しくは、 http://www.itmedia.co.jp/news/articles/0502/18/news010.html Xboxに発火につながる不具合、世界1410万台の電源コードを交換へ をどうぞ。 さすがに発火につながると、MSといえども、交換に応じますね。
米MSのブラウザー更新計画をアナリストが批判
標題: 米MSのブラウザー更新計画をアナリストが批判 --- http://hotwired.goo.ne.jp/news/20050221104.html の記事です。 ガートナーってMS寄りだと思ってたんですが、 流石にIE7はXP SP2のみ対応は良くないとのこと。 あと平凡なスパイウェア対策ソフトなんか出さずにそんなのが不要に なるような環境を作るべきだとも。 どれもあたりまえのことだけど・・・ アナリスト曰く「責任感のある業界リーダーとみなされたい のなら、ウィンドウズ2000にも対応させるべきだ」 責任感ない業界リーダーと思われたほうが儲かるからなあ・・・ ryo ==== 標題: Re: 米MSのブラウザー更新計画をアナリストが批判 --- 「(小手先の改良ではなく)IEを抜本的に設計し直すべきだ」 というのが、できませんからね。 それをやると、Windows自身を抜本的に設計し直すことになるだろうし、そ こまでいかなくても、IEでシステムを作っていると、いろいろ動かなくなるも のもでてくるだろうし、IEがWindowsと一体化しているので分離不可能という、 独禁法のときの主張にも影響しそうだし。 中村(show)
最高裁のサイトもオレオレ警告の無視推奨
標題: 最高裁のサイトもオレオレ警告の無視推奨
---
高木浩光さんの自宅日記サイト http://takagi-hiromitsu.jp/diary/ で「最
高裁も推奨するオレオレ警告の無視」が記載されています。
これ、かなり無茶苦茶。爆笑しつつ寒気が。
----------------
たま@無精庵 (ウィルスの媒体、OutlookExpressとHTMLメールを根絶しよう)
blog: http://hesomagari.seesaa.net/
===
標題: Re: 最高裁のサイトもオレオレ警告の無視推奨
---
顔が引きつってしまうような内容ですよね。
Firefox のライブブックマークに登録しているので、
高木さんのサイトはいつも速攻でチェックしています。
ところで、livedoor Blog や AutoPage は RSS の更新が遅くて、
数時間とか時には数日も更新されなかったり、
次の投稿まで更新されないこともありました。
--
ryuji
===
標題: Re: 最高裁のサイトもオレオレ警告の無視推奨
---
Okuno Tatsuji wrote:
> 顔が引きつってしまうような内容ですよね。
頭が痛くなる話ですよ。水漏れを防ごうと蓋をしたけど、器の底が抜けている
からダダ流れ、という世界ですから。
セキュリティと言うとコンピュータ関連だけだと思われがちですが、例えば住
基ネットで怖いのは、真夜中にお役所に忍び込まれて、専用端末で個人情報取り
放題、などという点です。システム回りも怖いのですが、物理的な問題はどうな
んだ、という事です。大都市ならコンピュータ管理のためのセキュリティなんぞ
もあるとは思いますが、人口千人単位の町村では、住基ネット用の端末が無造作
に置かれていたりするわけですから。例えば**町の役場に夜間忍び込んで、新
宿区民の情報なども引き出せるということですからね。
> ところで、livedoor Blog や AutoPage は RSS の更新が遅くて、
> 数時間とか時には数日も更新されなかったり、
> 次の投稿まで更新されないこともありました。
ブログの更新は、多分更新用のサーバの負荷次第なんでしょう。ところで、更
新ができないというか、フォームでボタンとして割り付けられているコマンドの
挙動がWindowsに限られているというか、MacOS用のブラウザでは上手く行かない
というサイトもあります。
----------------
たま@無精庵 (ウィルスの媒体、OutlookExpressとHTMLメールを根絶しよう)
blog: http://hesomagari.seesaa.net/
MSがアンチウイルスソフト参入
標題: MSがアンチウイルスソフト参入 --- 匿名希望さんから。 --- ここから --- 下記のニュースを見て、驚きました。 「MS、2005年中に有料のアンチウィルス製品市場に参入」 http://internet.watch.impress.co.jp/cda/news/2005/02/17/6495.html …問題山積みの VBマクロを直す/無くす方が先ではないのでしょうか? あるいは、他のセキュリティ問題にしても。 これではまさに、究極の「マッチポンプ」ではないでしょうか? 自分で火をつけて、自分で消火して、住人からは火を消してあげた金を 取ろうと? これはちょっと、酷いんじゃないでしょうか。 --- ここまで --- いつものMS、相変わらずです。 当然、マッチポンプで儲けるつもりです。\(^O^)/ 2005/02/11にMSのアンチウイルスソフトのことを紹介しましたが、紹介し忘 れた記事にこんなのがあります。 http://www.itmedia.co.jp/enterprise/articles/0501/17/news085.html [WSJ] MSの無料スパイウェア対策ソフトを推奨できない理由 まあ、いろいろやってくると思いますよ。独占的な地位を悪用して。 でも、だんだんWindows離れは進むでしょうね。Linuxのデスクトップも充実 してきたし。 この前の松下のジャストいじめのときに書きましたが、ぼくもそろそろ、ほ んと、Macintoshのノートに変えようかなと。ただ、もう1回、ThinkPadを買 いたいとは思っているんです。 この前、仕事で打ち合わせした人は、WindowsからもうMacintoshに変えちゃ ったとのことでした。いまのMacintoshは、OSはいわばFreeBSDですから、Unix 使う人は、どんどん乗り換えてますよね。 ほんと松下は嫌われましたね。それとあの裁判官はバカですねえ。
ICカードは当分磁気ストライプ互換?
標題: ICカードは当分磁気ストライプ互換? --- 2005/02/13日曜日に日経だと思ったけど、キャッシュカードのセキュリティ の話。 それだと、やっぱ、磁気ストライプの微弱磁気を服やかばんを通して読み取 れるように書いてありました。ほんとかな。 それから銀行がセキュリティ確保の決め手としてしきりに進めているICキャ ッシュカードですが、やっぱりと思ったことがあります。 この前、読者からICキャッシュカードの規格についてリンクなど紹介しても らいましたが、 http://www.zenginkyo.or.jp/news/pdf/icstandardsummary0321.PDF 全銀協ICキャッシュカード標準仕様 - 要約 には、 6. 経過期間等の考え方 円滑なIC キャッシュカードの導入を促進するため、IC カード、金融機関ホ スト、ネットワークに与える諸影響のバランスを勘案して、段階的な移行の考 え方を以下のように示し、これをもとに技術仕様を規定した。 ■ 磁気ストライプからIC への移行 a 経過的に磁気ストライプとIC 端子が並存するレイアウトを定義し、 b 磁気ストライプ上にIC 並存型か否かを識別する「おもて磁気ストライプ等 のサービスコード」を定義し、 IC 対応端末が誤ってIC 並存型のカードの磁気ストライプにより処理を行うこ とがないようにした。なお、相互運用性確保のためには、IC・磁気ストライプ 並存期間において、IC 非対応のATM を含め、ネットワークレベルでの「おも て磁気ストライプ等のサービスコード」対応が必要である。 ■ IC による「経過期間」処理と「基本形」処理 各金融機関が個別のスケジュールによりIC カード化、あるいはオフラインデ ビットカード業務という新規業務への取組みを開始できるよう、金融機関ホス ト改造の時間を考慮し、金融機関ATM におけるIC による処理に関する「経過 期間」処理を定義した。なお、経過期間は、ホスト改造に必要な相応の期間、 すなわち仕様制定から5 年間、平成17 年度末までとし、これを経過した後は、 ATM ネットワークの対応状況も踏まえてすみやかに基本形に移行することとし た。 と書いてあって、じゃ、当分、セキュリティだめじゃんと思ったのね。 日経の記事にも、現在のICキャッシュカードのセキュリティは、磁気ストラ イブと同じレベルなどと書いてあって、標準仕様の構想どおりなら、来年3月 まではICカードのセキュリティは大したことないと考えていいんでしょうか。 あと、ぼくが不思議に思っているのは生体認証の銀行間互換性です。 たとえば、ぼくが九州に行ったとき、東京三菱の掌静脈認証が使えるとは思 えないんです。UFJと東京三菱は合併するから互換性をもたせるだろうけど、 みずほは? その他、地銀は? メガバングなど大手行の不良債権処理は峠を越えたというけど、地銀、信金 などはこれからで、何行潰して何行合併させるか金融庁も頭を抱えているとい われてますよね。そんな状態で、セキュリティ強化に投資できるでしょうかね。 そんなこんないろいろ考えると、来年3月よりずっと先まで磁気ストライプ 互換で、しかも一番レベルの低い銀行、セキュリティが弱い銀行に揃えかねな いんじゃないかと。\(^O^)/
Re: 発信者番号を偽装した「振り込め詐欺」に注意
標題: 発信者番号偽造
---
コールバックサービスを使った偽装ってので、昨年末あたりには
警察のホームページなんかで注意を促していましただ。
穂高
===
標題: Re: 発信者番号を偽装した「振り込め詐欺」に注意
---
これって、使用していない携帯電話に請求が来るのと裏腹のように見えます
ね。クローン携帯問題なんぞと関係していそう。まぁ、NTTなどは「絶対に無
い」と言い張っているわけですが、2chあたりでは一度に同じ番号が二つ存在し
たという実体験レポートもあったような。
----------------
たま@無精庵 (ウィルスの媒体、OutlookExpressとHTMLメールを根絶しよう)
blog: http://hesomagari.seesaa.net/
===
標題: Re: 発信者番号偽造
---
なるほど、警察も注意を促していたんですね。
「読者からのメール」にしてほしいという読者から。
--- ここから ---
発信者番号を偽装した「振り込め詐欺」に注意、の件ですが、毎日の以下の
記事で間違いないと思います。
振り込め詐欺:偽の発信者表示 「コールバック」悪用も
http://www.mainichi-msn.co.jp/shakai/jiken/news/
20050129k0000e040061000c.html
--- ここまで ---
MS Office文書暗号解読の恐れ
標題: MS Office文書暗号解読の恐れ --- ちょっと前の記事ですが、MS Officeで暗号化した文書は、解読されるそう です。詳しくは、 http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20050121/155075/ 米Microsoftの「Office」で暗号化した文書に解読の恐れ,シンガポールの研 究者が報告 をどうぞ。 PDFの報告は読んでないけど、これも、初期化ベクトルに固定値を使うので 鍵の探索空間が不必要に狭くなってしまうという話にみえますね。
発信者番号を偽装した「振り込め詐欺」に注意
標題: 発信者番号を偽装した「振り込め詐欺」に注意 --- 詳しくは、 http://internet.watch.impress.co.jp/cda/news/2005/01/21/6163.html 発信者番号を偽装した「振り込め詐欺」に注意 をどうぞ。 発信者番号なんか偽装できるのかと思いますが、どうもできるみたいですね。 なんか穴があるんでしょうね。もう何がなんだか。
MSでiPodが大流行
標題: MSでiPodが大流行 --- MSでiPodが大流行でMS幹部が苦りきっているそうです。詳しくは、 http://hotwired.goo.ne.jp/news/culture/story/20050204201.html 『iPod』を「自粛」できないマイクロソフト社員たち をどうぞ。
MSのアンチウイルスソフト
標題: まさにいたちごっこ --- MSの「スパイウェア対策ソフト」が早くも標的に http://hotwired.goo.ne.jp/news/technology/story/20050210306.html だそうです。 何をやっても穴だらけのものしか作れないようです、MSは ryo === 標題: MSのアンチウイルスソフト --- MSはセキュリティ強化の一環として、スパイウェア対策ソフトとウイルス対 策ソフトを会社ごと買って、MS製品に仕立てようとしていますが、どうも、お 笑い状態です。 ryoさんが、すでに#11745でMSのアンチウイルスソフトがすでに攻撃されて いることを紹介してくださってますが(ありがとうございます)、そもそも出来 がよくないみたいですね。詳しくは、 http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050205/155768/ 米Microsoftのセキュリティ・ソフト,その実力は? をどうぞ。 http://www.asahi-net.or.jp/~FV6N-TNSK/gates/bangai83.html がんばれ!!ゲイツ君番外編83 にも書いてあるけど、MSのアンチウイルスソフトは、ウイルスに感染しないと だめなんですね。使えねー。\(^O^)/
毎度おなじみWindowsのセキュリティ情報
標題: 毎度おなじみWindowsのセキュリティ情報
---
なんと、NHKの午後のニュースでも放映していました。と言う事は、マズイか
も、の問題でしょうね。SP2を適用していないと、下手をするとパッチがあたら
ない、なんてぇ事もありそうで、人によってはSP2のダウンロードから始め、そ
れが終ってから、という可能性もありそうです。敢えてSP2を当てない人の立場
は・・・などと考えると、それはそれで困ったものですが。
http://go.microsoft.com/?linkid=2086206
サーバ回りにもセキュリティ情報が出ています。運用している方は併せて以下
も参照する事をお勧めします。
http://go.microsoft.com/?linkid=2086237
http://go.microsoft.com/?linkid=2086238
今、アップデート中ですが、優先度の高い更新プログラムで10個も出てくる
のはなぁ。
個人的にはXPマシンは一台ではないので、かなり面倒です。
----------------
たま@無精庵 (ウィルスの媒体、OutlookExpressとHTMLメールを根絶しよう)
blog: http://hesomagari.seesaa.net/
===
標題: Re: 毎度おなじみWindowsのセキュリティ情報
---
Tamai Kazuhiro wrote:
> 個人的にはXPマシンは一台ではないので、かなり面倒です。
Windows2000Proでは8個のアップデートがありました。これも厄介です。ひと
つはIEの穴です。パッチをひとつ宛てると、別のパッチをすぐに適用しなければ
ならない、なんてぇ事が、OSのクリアーインストールをすると、やたらに発生し
ます。パソコンはリブートの嵐。
かなり悲しい・・・・。
----------------
たま@無精庵 (ウィルスの媒体、OutlookExpressとHTMLメールを根絶しよう)
blog: http://hesomagari.seesaa.net/
===
標題: Re: 毎度おなじみWindowsのセキュリティ情報
---
たまさん、ありがとうございます。
記事も出ていますね。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050209/155909/
Windowsなどに危険なセキュリティ・ホールが多数,早急にパッチの適用を
http://internet.watch.impress.co.jp/cda/news/2005/02/09/6406.html
マイクロソフト、Windows、IE、Officeなどの脆弱性13件〜“緊急”は9件
をどうぞ。
RFIDの暗号破り
標題: RFIDの暗号破り --- ところが暗号化されているとはいっても、鍵長が短すぎるとチャレンジレス ポンスの暗号が破られてしまうという論文が出ています。 こちらはRFIDの話しですが、仮想被害者のポケットの中にあるMobil Speed Passや車のイモビライザー付きの鍵カバンの中に納めたスニッファーで数秒 のうちに読み取って、解析して、シミュレーターを使って複製した「鍵」で 実際にガソリンを買う様子がビデオで公開されています。 http://www.rfidanalysis.org/#videos 上の方に説明によると、最初の鍵を解析するにはPCを10台使って2週間以上 かかったそうですが、そのプロセスをFPGAに実装してさらにそのFPGAを16個 並列につなぐことによって5個のタグを2時間以内に解読したそうです。 読み取りは一瞬、2時間以内に複数の鍵が解読出来て、16個のFPGAをつない だ装置も$3500以下で作成可能だったそうですから十分に実用になります。 スラッシュドットのストーリーに関連するリンクがまとまってますのでこち らも参考に http://slashdot.jp/article.pl?sid=05/01/31/2230251&topic=28&mode=nested これでRFIDは暗号化できるから安心だという主張が崩れてしまいましたね、 どういう仕組みで暗号化しているのか、ちゃんと役に立つ強度を持つ鍵を使っ ているのかきっちりと説明してくれない様な物は信用出来ません。 これまで「安全だ」一点張りのRFID推進陣営はどう出てくるんでしょうか? てつや from Yokohama === 標題: RFIDの暗号破り --- これこれ。ぼくもスラシュッドットでみて紹介しようと思って、そのままで した。ありがとうございます。 鍵長の問題は無線LANの暗号もそうでしたよね。初期化ベクトルを固定して いるので、鍵の探索空間が不必要に狭くなって簡単に破られたと。 まあ、そんなセキュリティ機能すらOFFにして出荷するのが、ヤフーBBや日 本の無線LAN機器のメーカーでしたから、問題なし。\(^O^)/ OFFにして出荷する理由はセキュリティ機能をONにして出荷するとつながら ないなど、ユーザからクレームが来やすくなって対応するコストが面倒だから です。これも広義のセキュリティの実装がタコだからセキュリティなしの状態 になってしまう例ですね。 余談ですけど、ぼく、イモビライザーって言葉知らなかったの。 スーパー戦隊イモレンジャーなんてのがあって、石焼いも型の変身装置で変 身するのかと思いました。\(^O^)/ 車の盗難防止ですごいなと思ったのは、映画007。悪い奴がボンドのスーパ ーカー盗もうとしたら、爆発して一緒に殺しちゃいましたね。\(^O^)/ あれ、いいなあと思って。\(^O^)/ 自爆テロとの違いがよーわーらんけど。\(^O^)/ 中村(show)
Re: ICカードのスキミング
標題: Re: ICカードのスキミング --- やっぱ、ウェークアップの報道、嘘ばっかだったんだ。 ころりとだまされるおれも大バカで、すみません。 匿名希望さんから。 --- ここから --- 中村様: いつも楽しく中村正三郎のホットコーナーを拝見させて頂いております。 6日付けのICカードに関するコメントです。 ここから先の話はICカードがよほどタコな実装でなければっていう前提での コメントです。 ICカードと磁気カードの違いは、磁気は読まれたらコピーできるので偽造で きるっていうとですが、ICカードは暗号や乱数を利用して読まれても偽造が出 来ないっていう前提で作られたものです。これがなければICカードの存在意義 は何一つないですっていうくらいのものです。 読まれてもOKなんです。そこを勘違いされないでください。TVに出ていた人 は正直ICカードの開発の由来さえ知らないのでは?と思いました。 認証技術のチャレンジレスポンスが通信路で盗聴されても大丈夫っていうイ メージです。プロトコルがわかっていても、暗号と擬似乱数を破らなければ意 味ないのです。 暗号も使わず、何回読ませても同じデータしかやり取りしてなければ、TVの ようなことはありえますが(これがいわゆるタコな実装)、ちゃんと実装して いれば、ICカードのCPUで擬似乱数生成や暗号処理を行っていつも違うデータ が流れているはずです。 暗号や乱数アルゴリズムがすでに破られているっていうことになれば話は別 ですね。 TVで放送されたデータ(読まれたデータをモザイクで写したみたいですが) が「偽造・成りすましをする者にとって意味あるデータなのか」というところ がポイントになります。 ICカードに関する話は多分http://www.jicsap.com/あたりに公開されている のでもしよろしければごらんください。 ただ、お察しの通り非接触ICは距離がある程度はなれていても読めるため、 読まれたことさえ気付かないので、これによる問題(になる可能性?)もある にはあります。 例えば、第3者にICカードを持っていることがばれる・・・いわゆるRFIDと 同じ系統の問題などなど さらに、こちらは詳しく述べませんが、暗号に関する研究の前線では、CPU 処理の電力、電流の変化などから秘密鍵などを破る実装攻撃っていうものある にはあります。 (この攻撃方法が現実的か非現実的かはさておき)この辺に関することは CRYPTREC(http://www.ipa.go.jp/security/enc/CRYPTREC/index.html) とか http://www.ipa.go.jp/security/fy11/report/contents/crypto/crypto/ report/SmartCard/sc.html あたりに公開されてます --- ここまで --- さらに同じ人から補足メール。 --- ここから --- ICカードとリーダライタ間のプロトコルが安全ではないという可能性も確かに ありますね。 つまり、無線LANのWEPのようにもともとのプロトコル自体が安全でない・・・・ っていう可能性も否定はできないですね。 ただ、 http://www.ytv.co.jp/wakeup/special-report/special-report.html の文章を見ると、こういった脆弱性をついたものではなく、いかも、単にホラ 読める(このデータが攻撃者にとって意味はない)でしょう・・・・って言う 感じなのですが。 う〜〜〜ん、どちらにしてもこう考えていくと理論より、実際の実装に関して、 本当に安全に正しく作られているかになりますね。 --- ここまで --- 言い訳しますと、おれ、あの映像見て、プロトコルも暗号も破られたんだと 思ったんです。あっさりと。\(^O^)/ なぜ、そう思ったかというと、無線LANの暗号もそうだったし、Windowsの認 証もそうだったけど、実装がタコで、暗号の初期化ベクトルのかなりの部分が 固定だったり、同じチェレンジデータを送ったり、探索すべき鍵空間を非常に 狭めて破りやすい実装になってた実例があったじゃないですか。てっきりそう なんだろう、だから、簡単に解けたんじゃないかと反射的に思っちゃったんで す。 それと、昔、Software Designという雑誌だったかな、暗号の国際会議で、 ドイツ銀行だったかな、そこの人がオンラインバンキングに使う暗号システム を発表したら、暗号学者たちが、その場で解いちゃって、発表した人は真っ青 になったという話が出ていて、そりゃ、真っ青になりますよ、だって実際にそ の暗号、オンラインバンキングで使われ始めたところだったそうですから! そういうのがよぎったんですね。たしか、その記事で、匿名さんが紹介して くださったCPUの電力、電流の変化を観測して暗号を破る方法も紹介されてい て、えぇーっ、そんなことまでやるの?と驚いたことがあるんです。なんか、 ほとんど、映画「エナミーオフアメリカ」の世界ですね。^^; Maedaさんから。 --- ここから --- こんにちは。先日、サルベージ会社についてメールさせていただいた者です。 今回は、読売テレビの「ウェークアップ」で取り上げられた、ICカードのス キミングについてです。 わたくしもこの番組を偶然視聴しましたが、かなり問題がある内容でした。 ◇偽造キャッシュカードについて 内容が理解できませんでした。現在の磁気カードを採用しているキャッシュ カードの内容は、エンボス加工で印字されている内容だけのはずです。個人情 報は 入っていません。暗証番号も金融機関のホストコンピュータが保持しています。 現在、金融機関などの民間企業や病院などで使用されている磁気カードはほ とんどがISO規格となっており、容量が72バイトほどです。 ただし、20年ぐらい前(もっと前かもしれません)まではカード側に暗証番号 が記録されていました。現在は記録されていません。 ◇ICキャッシュカードについて (1)非接触型・接触型 現在、クレジットカード大手や都市銀行が採用しているICカードは、EMV仕 様(*)というデファクトスタンダードの仕様を採用していますが、これは接触 型ですので、スーツやかばんの外からアクセスすることはできません。 (*)Europay International、MasterCard International、 Visa Internationalの共同制定、残念ながら詳細な仕様は 一般に公開されていな いようです。 (2)暗号化回路 これらのカードは、単純なメモリカードではなく、暗号化のために、CPU+ソ フトウェアが搭載されており、カードリーダで読みこむという性格のものでは ありません。 (3)複製 このような仕様から、磁気カードのように簡単に複製できるものではありま せん。少なくとも現在のところ、量産工場による生産が前提です。 全銀協ICキャッシュカード標準仕様 - 要約 http://www.zenginkyo.or.jp/news/pdf/icstandardsummary0321.PDF 東京三菱銀行 - スーパーICカード「東京三菱-VISA」 バイオメトリクス(手のひら静脈認証)も採用。 http://www.btm.co.jp/tsukau/card/visa/security.htm 高木浩光@自宅の日記 - ICカードの非接触スキミングですって? ええかげんなことぬかすな http://takagi-hiromitsu.jp/diary/20050206.html#p01 専門家ではありませんので、間違いがあるかもしれません。その場合はご容赦 ください。 --- ここまで --- 同じくMaedaさんから補足。 --- ここから --- 「(2)暗号化回路」の部分が説明不足かと思いますので、補足いたします。 全銀協の仕様要約によると、 「暗号関連機能として、セッション鍵生成機能、 端末公開鍵設定機能、認証コードの生成機能・確認機能、 静的データ認証・動的データ認証機能、および セキュアメッセージング機能をサポートする。」 とありますので、単にメモリの内容を固定された鍵で暗号化して通信している わけではありません。ホストコンピュータとの通信も必要になります。 したがって、カードリーダで一度アクセスすれば良いようなものではないで しょう。 ご参考まで。 --- ここまで --- ああ、無知だと、簡単にだまされるという実例ですね。 ノストラダムやら霊能力者のテレビをバカにしている場合じゃ、ありません ね。せめて、高木さんのページ読んでから書けばよかった。すみません。 Sutoさんから。 --- ここから --- はじめてお便りします わたしは、銀行に籍を持っていますが、銀行システム開発のためメーカーに 出向しています 「ウェークアップ」について書かれていますが、あの番組はあまりにひどい ので筆をとりました >> すでに暗証番号がわかっている偽造キャッシュカードに、 >> 盗んだり、拾ったりした別のキャッシュカードから個人の >> 情報を移すのが新手口。これだと、暗証番号がわからなく >> ても、預金が引き落とせるんですね。 …これ、大嘘です 銀行のキャッシュカードの磁気ストライプはJISX6302の付属定義書として規 定されていますが、それによればここに書かれている内容は次のものです 開始符号/IDマーク/業態コード/暗証NO/企業コード/ 会員番号(口座番号)/予備エリア/有効期限/予備エリア/ 終始符号/LRC 昔は暗証NOというエリアに暗証番号が書かれていましたが、今からおよそ 20年前にセキュリティー問題の指摘がありまして、そのときから未使用項目と なっています カードの動作を追いかけますと、まずATMよりホストマシンに磁気ストライ プの情報、入力された暗証番号・金額が送られます ホストマシンでは磁気ストライプのIDマーク・業態コード・企業コードに よりどの会社のカードかを判別します よその会社なら、そちらに情報を転送します 自分のところのカードですと会員番号をキーとして元帳を検索して、元帳に 記録されている暗証番号と入力された暗証番号を照合します 照合OKですと、元帳から残高を減らしてATMに対して引き落としOKを通 知します それで初めてATMから現金が出てきます ということで、その口座の暗証番号がわからなければ、お金を引き出すこと は不可能なのです あと気に入らないのは不正引き出しの補償についてです イーバンクが例で出されていましたが、ここであげられているキャッシュカ ード盗難保険は多くの金融機関で採用されているごく普通のものであって、イ ーバンクだけのものではありません 例をあげるのなら、偽造キャッシュカードに対しても補償を付けている北国 銀行であるべきです --- ここまで --- イーバンクについては、補償はどうでもいいんです。^^; 自分で引き出し時間と引き出し金額が設定できるのが、いいなあと思って、 力点はそっちだったんですが、なんにせよ、お怒りごもっともです。すみませ ん。 で、銀行のキャッシュカードの暗証番号処理がいい加減だったというのは、 おれ、自分で電脳騒乱節で書いたのを思い出したので、原稿、調べてみました。 電脳騒乱節のVol.1の第1回「我々は、留守だ」で取り上げてます。初出が すぐわからないんだけど、単行本のまえがきを1991年5月に書いているから、 前年の1990年か、1989年ころの原稿でしょうね。 これ、コンピュータウイルスとマスコミ報道のことを取り上げたネタで、 「我々は留守だ」というのは、ウイルスの和訳なんです。\(^O^)/ それと 専門家がなにがしろにされているという意味をかけたものなんです。 この中で、当時の成蹊大学の高橋三雄(この人、パソコンが使える経営学だ か経済学だかの教授という触れ込みで、マスコミに便利に使われていた)が、 ウイルスなんて何にも知らないのにテレビ局に呼ばれてこれから何か話さない といけないからといって、困って東京電機大の安田寿明に電話してきた話を書 いてます。 高木さんの日記でも、小学生にRFIDつけてどうのこうのという話で、ウェー クアップの取材を受けて、苦笑しているところがありましたが、当時と同じで すね。テレビ屋ってちっとも反省も進歩もないよね。 思い出した話というのは、安田寿明が「利用明細書を拾い集めてCDカード を偽造して現金を引き出し,銀行の暗証番号チェックは,実はまともなチェッ クになりえていないことを世間に晒すことになった事件の顛末を分析」した、 文藝春秋1988年11月号の「CD金庫破り事件簿」のことです。このときまで、 暗証番号がカード上にあって、この事件を境に変えたようですね。 で、ほんとうに思い出したのは、「あれ以来、銀行はやり方を変えたという けど、非常に短時間で認証が終わってるけど、ほんとにホストとやり取りして 認証してるんだろうか」と疑問を口にしたら、当時、よく会ってた古瀬幸弘君 (いま、彼、どうしてるのかな。すっかりご無沙汰だけど。立教の先生になっ たのは知ってるけど)が、「そんなのマルチタスクで、暗証番号を入れる前に ホストと接続しておいて、暗証番号入れたら、即認証しているんじゃないの?」 と指摘して、一応、おれのほうがコンピュータ屋の癖に、そんなのも思いつか ないなんて、おれ、すごく恥ずかしかった。つくづくバカやなあと。\(^O^)/ 電脳騒乱節は、図書館にももうないだろうけど、月刊文藝春秋ならまだあり そうだから、興味がある人は読んでみてください。 ところで、原稿を読み直して、へえと思ったは、あのころ、天皇崩御で大騒 ぎだったんですね。あれから、もうそんなに経ったのか。何もかもが変わって しまったはずですよねえ。
ICカードのスキミング
標題: ICカードのスキミング --- 土曜日、日テレ系読売テレビの朝番組、文珍が司会している「ウェークアッ プ」で、スキミングの新しい手口を紹介していました。先日、紹介した高木さ んのサイトだと、ウェークアップの報道の仕方も難ありのようですが、とりあ えず参考ということで。 読売テレビのサイトに、この内容が出ていました。 http://www.ytv.co.jp/wakeup/special-report/special-report.html です。URLからすると、毎週、書き換わりそうですから、いまのうちに保存し ておいたほうがいいかも。 すでに暗証番号がわかっている偽造キャッシュカードに、盗んだり、拾った りした別のキャッシュカードから個人の情報を移すのが新手口。これだと、暗 証番号がわからなくても、預金が引き落とせるんですね。 クレジットカードは事後引き落としで面倒だから、いまはすぐ金を引き出せ るキャッシュカードが狙われているそうです。 おれが注目したのが、ICカードも簡単にデータが読めちゃうこと。すでにプ ロトコルも解析されちゃってるってことですよね。番組でやってましたがサイ フに入れてコートを着てても、瞬間的に読めちゃう。バッグに入れててもだめ。 すぐ読めちゃう。 これ、本当なら、銀行がしきりとセキュリティ対策だといって、ICカードに 切り替えるようにいってるのは、大嘘だし、逆効果。むしろ犯罪者に蜜を与え てやるようなもんですよね。磁気カードなら、現物が盗まれないと情報を盗ま れないけど、非接触だと、情報盗まれたことにも気づかないもんね。 銀行が一方的な契約で補償しないことが問題になってますが、これが改善さ れないなら、ICカードには怖くて絶対できないですよね。 おれ、JRの非接触型ICカード、スイカ(Suica)使ってますけど、これ、クレ ジット機能付きのタイプもあるけど、それ、絶対いやだったのね。非接触だと、 読み取られそうで。もし、この放送が本当なら、やっぱ、やばいじゃんと思い ましたね。 JALも、ICカードにしろってチラシ送ってきてるし、いま、キャンペーン中 なのね。すいすい手続きできるし、しかも、Suica機能までつくといって。 ますます怖い、怖い。まんじゅう怖いじゃなくて、ほんとに怖いよ。古典落 語の「まんじゅう怖い」を知らない人は勉強してください。 それと最近、デビッドカードのテレビコマーシャルしてますよね。買い物し たとき、カードでといってクレジットカード出したつもりがキャッシュカード 出しちゃって、バカじゃん、お前と思ったら、デビッドカードだからOKってな ストーリーの。 日本は数年前にデビッドカードのサービスが始まったけど、始まる前、やっ ぱ、銀行からデビッド機能をつけましょうなんていってきたけど、断固拒否。 おれの理解は、クレジットカードなら、何を買ったか明細が来て、それから 引き落としだから、何かあっても止められるし、カード会社が補償もしてくれ るけど、デビッドだと即時引き落としで銀行は補償もしてくれないでしょ。ど う考えても、デビッドカードやばいよと思うんですよ。 そのころ、九大に行ったとき、飲み会で先生方とカード犯罪の話になって、 やはり、デビッドカードの話が出たんだけど、みんな、あれ、やばすぎるって 意見でした。セキュリティの専門家の先生方じゃないけど、コンピュータやネ ットワークのハードやソフトの専門家ですからね。やっぱ、おれの考え、正し かったんだと思いました。 それと、ネット専業銀行のイーバンク(堀江君のライブドアが資本参加した けど、元の経営陣たちとケンカになって訴訟騒ぎになった銀行です)は、100万 円までは補償してくれるんだったかな。あと、今度、個人ごとに、引き出し可 能最高額と引き出し可能時間の設定ができるようにするんだってね。これ、け っこう有効な対策かもねと思いました。 以上、何か、間違っていることがあったら、教えてください。
ボットに気をつけろ
標題: ボットに気をつけろ --- この前、たまさんがボットのことをちょろっと書いてましたが、解説記事が ありました。詳しくは、 http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20041215/153889/ インターネット上の新たな脅威「ボット(bot)」に気をつけろ!(上) http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20041216/153951/ インターネット上の新たな脅威「ボット(bot)」に気をつけろ!(下) をどうぞ。 いままでの言葉でいえば、トロイの木馬ですね。
Re: Windowsのセキュリティホール
標題: Re: Windowsのセキュリティホール --- MS、月例パッチ13本のリリースを予告--うち2本は「緊急」レベル http://headlines.yahoo.co.jp/hl?a=20050204-00000004-cnet-sci MSが何をどう言い繕おうとも 「今年ずっとこのような状況が続く」わけでしょうね、やっぱり。 ryo === 標題: Re: Windowsのセキュリティホール --- ryoさん、2004/01/14に >ここ数年「このような状況が続」いてばっかりなんです >けど・・・それとも、「もっともっとひどい状況になる」と >言いたいのでしょうか? と書いてましたけど、ひどい状況のほうになっていきそうですね。 中村(show) *** ryoさんの2004/01/14の書き込みはこうです。*** === 標題: Re: Windowsのセキュリティホール --- http://japan.cnet.com/news/sec/story/0,2000050480,20080003,00.htm を読んでいたら (引用はじめ) Microsoftのセキュリティプログラムマネージャー Stephen Toulouseは、「12月には緊急レベルのパッチが 1つもなかったが、1月に2つも緊急レベルのパッチが リリースされたからといって、今年ずっとこのような 状況が続くわけではない」と語った。 (引用終わり) ここ数年「このような状況が続」いてばっかりなんです けど・・・それとも、「もっともっとひどい状況になる」と 言いたいのでしょうか? ryo