琴線に触れる

いわゆる OS に付属しているブラウザとしての IE は、絶対にこうであってはならない事が今回起きています。自分の周りでも、一般ではそもそも『何それ?』と知らない人も多い。たとえ忠告したとしても、忠告の内容の意味が解らないから、対処方法が解らない。

『Google Chrome を使って下さい』

と言っても、その意味が伝わらないのが当たり前なのです。

と言ってる中。Twitter に凄いリツイートが回って来ました。

IEはいけない！クロムに変えなきゃ！っと騒いでた姉のPCを見て現実を知った pic.twitter.com/EZJd5hSPuX

— 高峰ひなた (@takamine_hinata) 2014, 5月 1

これはさすがに吹き出しましたが( 構成が見事なオチなので )、これがリアルな現実ですね。

何が危ないのか

最終的には、『パスワードが盗まれる』という危険が待ち受けています。但し、その危険が 100% 起こるのでは無くそこに至る経路があって、その経路の最後までたどり着く必要があるので、『運が悪い人』がそうなります。

まず、パスワードがいきなり盗まれるのでは無く、ウィルスに犯される必要があります。ウィルスに犯されるには、ウィルスの元となる核のようなものが埋め込まれたサイトを IE で閲覧する必要があります。そして、そのサイトは、悪者によってハッキングされているか、悪者が用意したサイトである必要があります。

言い換えれば、一般的な日本の正当なサイトだとその可能性は低いです。ゼロではありませんが( ハッキングされてしまうかもしれないので )、たとえハッキングされても、管理者がすぐ気が付けば対処されるので、対処されないある期間にアクセスしてしまったらアウト・・・という確率の問題になります。そしてそれは、とても低いです。

それより最も危ないのは、スパムメール上に書かれている URL で、その URL を IE でクリックしてしまうと非常に危ない事になり。そもそも、それが目的のスパムメールならば、クリックした時点で 100% の確率になってしまいます。

そういった意味でも、一番危ないのは一般の人なので、回りの知っている人間が助けてあげる必要が今回はとても重要になります。知らない立場からすれば、助けてもらう事に努力する必要があります。

いつまで続くの?

これが今回最も問題となった事で、Microsoft の対応が完了する予定が 4/14 で、( 5/2 更新プログラムを緊急リリース )まだとても先だという事と、ゴールデンウィークに突入するので、危険が少し大目に見積もられると言う事です。危険な状態が長く続けば、たとえその確率が低くても、単純計算では犠牲者の数が増えるという事なので、アメリカでは国家レベルで

『IE を使うな』

となっています。

頑張って、周りの PC に詳しい方にお願いしましょう



関連する記事

また、洒落にならない脆弱性ですね。ホント洒落にならない・・・・学校に PC が何台あると思ってるんだ・・・・

Fix it で解決する

MicrosoftFixit51004.msi を実行する必要があります。

ドキュメントの日付は、最終更新日: 2013年11月18日 で出来立てほやほやです。

ただ、OS に WindowsXP が書かれて無いんだけど・・・まいったなぁ。やっときゃいいんだろうか。

あ。関係してるわ

マイクロソフトは、Windwos XP Service Pack 3 にインストールされている Microsoft Office 2007 を介してこの脆弱性を悪用しようとする標的型攻撃を確認しています。

まず、最も解りやすい SQL の中で用いられる ' ( シングルクォート ) という記号
ですが、これを使って SQL インジェクションを起こす例が解りやすいと思いますし、
世の中でもいろいろ事例は紹介されています。

しかし、この方法で SQL インジェクションが起きると言う事は、入力データに '
が一つ含まれていると、SQL そのものがエラーになります。 

SQL インジェクションを起こせる WEB アプリは作るのは簡単です。デバッグしな
ければ出来上がります。ですが、それ以前に入力値の ' をエラーにならないように
変換するのは『常識中の常識』のはずなんです。

もちろん、それだけで全て解決するわけではありませんが、余程『マヌケ』なエンジ
ニアがリーダで無い限りそんな事が起こるはずが無いのですが。

もし、そんな事があったとしたら・・・何かかねじれている『人災』と言えます。
または、個人営業か、小さな会社で経験の少ないプログラマ数人でやってるとかです。

それと、例え千歩譲って SQL インジェクションが可能だとしても、そこから全ての
システムが見渡せる程『システム』って単純じゃ無いんです。テーブル数は数百あっ
たり、100を越える列のあるテーブルがあったり、データも記号や数字しか入って無
かったりで、設計書があったとしても『謎』だらけなのがシステムってもんです。

そりゃあ、悪者からすれば、個人情報をピンポイントで探せば良いのかもしれませ
んが、例え見つけても『暗号化』や『符号化』というような、そのままではどうにも
ならないものが手に入るだけで、そこから個人情報を悪事に使えるようにするには
まだハードルがあります。

ふつーのエンジニアだったら、そこが一番大事な事は解っているので、当然防御は
何重もやってるはずで、インターネットをちょっと検索して出てくるくらいの方法
でどーにかなるものでも無いんですけれど。

仮に、一万歩譲って、ハッシュ化のアルゴリズムが解って、ハッシュ後の値が解った
からと言って、漏れるパスワードは短くガードの弱い辞書に乗ってそうなパスワード
だけなんですけれど。


怖いのは、サーバーソフトか人間の脆弱性です


関連する記事

クロスサイトスクリプティングは少なくともプログラマにしか理解できないと思います
『会員ＩＤやパスワードが第三者によって不正に抜き取られた』とはどういう事か

どうも、言葉だけが独り歩きしていて、一般の人からすると

『とんでもないすごい技術』

と思われているフシがありますが、まともなエンジニアならば、というか
今時そんな穴を作ってお金もらっているような『マヌケ』なシステムがそ
うそうあるとは思え無いのが、現時点の常識です。

まず、たとえ存在していたとしても、パスワードがそのまま漏れる事はあ
りません。漏れるとしたら、一時的なパスワードがクッキーの中に入って
いるので、それが漏れる可能性はあります。しかし、現在ではそれさえも
防御する事をエンジニアは普通に考えていますし、ブラウザ側でもそれは
封鎖されつつあります(設定変更でもしないかぎりXSSは起こりません)。

というか、お金を扱うサイトでログインを継続できるとしたら、普通自信
を持って対策を講じているはすです。例えば Google とか。

今はそんなに甘く無いのです。

そりゃあ、数年前に実際にお金は扱わないですが、クッキーの中にパスワ
ードが裸で置かれていたシステムを知っていますが( その時忠告しました )
世の中の WEB サービスは、広告収入で成り立っている場合、システムは
それほど優れたものではない可能性が多いです。

個人とか、小さな会社である事もあるので。

ですから、カード情報がどこに保存されるか・・・という事には神経尖ら
せたほうがいいと思います。

カード情報は、可逆のデータで保存されますから。


★ クロスサイトスクリプティングで盗まれるのはクッキー情報
★ クッキー情報は、間接的または一時的なもの(情報)である
★ 盗まれても使え無いように考慮されてある
★ 最新のブラウザでは、自分のサイトに自分で埋め込んでも XSS は動作しない


関連する記事

SQLインジェクションなんて普通起きないはずなんです
『会員ＩＤやパスワードが第三者によって不正に抜き取られた』とはどういう事か

楽天ポイント、勝手にネクソンで…トラブル続出 : 社会 : YOMIURI ONLINE（読売新聞）

そもそも、パスワードをサーバー側でそのまま保存する事はありません。
もし、そのまま保存してしまうと、誰かが魔がさしただけで全てのユーザ
のパスワードが流出してしまいます。
※ サーバ側のデータはパスワードを知る事ができない、不可逆の文字列で保存されます。

入力されたパスワードを知るのは本人だけです。

ですから、『不正ログイン』がもし起きたとしたら、ほとんど本人の責任
で起こっています。唯一、直接システムに侵入してパスワードを書き換える
という事は考えられますが、それは犯罪者からしてあまり意味の無いもの
でほとんどあり得ません。

パスワードが漏れる原因は以下のようになります

1) パスワードを推測された
2) フィッシング詐欺によって、パスワードを入力してしまった
3) スパイウェアによって、パスワードを盗まれた

まったくもって本人の責任です。

ただ、今回の記事では限定的にゲームで使われてしまっていますし、ねらい
どころが『ポイント』という事もあり、かなり限定的な犯人像が浮かぶわけ
でして、デシタルでは無くアナログの犯行であるように思います。

というのも、パスワードの管理は前述の通り、絶対にそのまま保存はしませ
んが、カード情報はそういうわけにはいかないのでそのまま保存されます。
( 全くそのままにするか、暗号化するかはシステム全体の仕様に依存します )
これを盗んでどう使ったかは、ちょっとゲームサイトのシステム知らないし
犯行手順を想像する事は少しむずかしいですが、ここで言う『会員ＩＤやパ
スワードが第三者によって不正に抜き取られた』とは、必ずしも正しい表現
では無いかもしれません

というか、楽天側がこういう表現する時点でその人の意図を疑います。

不正ログインは、ユーザの責任
カード情報の流出ならば楽天の責任

なので、状況からして『あいまい』になっているように思うわけです

関連する記事

SQLインジェクションなんて普通起きないはずなんです
クロスサイトスクリプティングは少なくともプログラマにしか理解できないと思います

この間ニュースでこんな記事が。

みずほ銀でもネット不正送金、被害１００万円


(c) saki｜イラスト素材 PIXTA


内容読むと、「フィッシング詐欺」の文字は全く無いのですが、そもそも
可能性としてスパイウェアであれ、フィッシングであれ、銀行のネットバ
ンクのセキュリティを通り抜ける事はほぼ不可能なんですが・・・
( ほんの少しだけ例外はあります )

なのに、そんな事はおかまいなしの記事だなぁ・・・と思ったり。

おまけにこんな感じで説明されています

メールを開くと自動的に特定のウェブサイトにつながる仕組みなどになっており、
「セキュリティー強化」などの理由で契約者番号や暗証番号を入力するよう求め
てくるという

手口としては完全に「フィッシング詐欺」なんですが、問題は表現の内容で、なん
だか「フィッシング詐欺」を知らない人間がなんとなく言葉を濁しているように
聞こえるわけです。

まず、『メールを開くと自動的に特定のウェブサイトにつながる仕組み』とあり
ますが、そんな仕組みはありません。もし、そんな事が可能なら既にウィルスに
感染しており、そんなウィルスが発生していたら、他の関係筋でニュースになっ
ているはずです。

メールを開いただけでどうにかなるようなものは既にセキュリティホールを使っ
たウィルスです。今時はなかなかお目にかかるほうが難しいはずです。また、
メールを開いた後に、「言葉巧みに」クリックさせて他のサイトに誘導するのが、
フィッシング詐欺の王道的な手口で、それに類する表現はありません。必要以上
に知識の無い読者を不安に陥れているとしか思えないんですよね。

さらに。

『契約者番号や暗証番号』とありますが、『契約者番号や』の『や』って何でし
ょう。適当にごまかしていますが、フィッシング詐欺でだまし取られる情報は、
ログインに必要なユーザーID と パスワードと、振り込み等のお金を移動するの
に必要な『暗証番号』です。

但し、今時はそれだけではお金は動かせないと思うのです。全ての銀行を知らな
いので何とも言えないところではありますが、逆に言えば、ユーザがきちんとセ
キュリティを守っておれば、このような被害には絶対に合わないはずなのです。

今は、『ワンタイムパスワード』というものがあり、それは本人でもその場限り
なので外部へ漏れても問題ありません。中には確かに『乱数カード』というもの
があって、個人単位に渡される暗証番号リストのようなものですが、それを丸ご
と入力してしまったら、さすがにこのような事件は起こってしまいますが・・・・

確かにそういうフィッシング詐欺は実在して確認されていますが、非常に確率と
して低く、今回は何故そうなったかは明かされていません。しかし、これではネ
ットバンクを怖がるだけだと思うんですよね・・・・。

それでいいんでしょうかね。

そしてもう一つ。

フィッシング詐欺として最も現実的で怖いのは、ネットバンクでは無く、ユーザ
ID と パスワードだけで決済できてしまう、カード情報が登録されているサイト
です。特にプロバイダ系は危ないです。先日 Nifty でもそんなのが舞い込んで
来たので通報しましたが、フィッシング詐欺の手口さえ知っておればまず心配は
無いですが、とは言え、被害にあわれる方が常に居られるというのも事実ではあ
ります。

このような、ユーザID と パスワードだけでセキュリティを保護している場合は
スパイウェアによって知らないうちに盗まれている事も考えられます。銀行より
は被害は小さいとは思いますが、請求書が来るまで気が付きにくいという難点も
あります。

だからこそ、こういう時こそ、もっと有用なサイト等のリンクを添えるくらいの
配慮が欲しいと思うのです。


ちなみに、自分でガードするには、まず『メールの添付ファイルは絶対に開かな
い』というところから守ればいいと思います。それを基準に、『見ても良いもの』
を選択できる知識を持つ事です。知識が無いのなら、知人のものでも開けてはダ
メなのです。

後は、『メールの中のリンクをクリックした後はキーボードを使わない』です。
そもそも、クリックしないほうがいいんですけどね・・・・全部無理って言うと
相当不便を強いるかもしれないので、これがギリギリです。

内容もそうですが、警視庁もいろいろやっておられるのだなぁ・・・と思いました

ネットDE警視庁　ワンクリック詐欺にご用心　けいしちょう第33号ｗｅｂ版　：警視庁

そもそも、技術的に言ってしまえば、正当な捜査機関がその気になれば、
インターネットへのアクセスは、いつどこにアクセスしたかが、契約単
位でバレバレです。こういう情報はやはり、警視庁が旗を振ってもらう
に限ります。

ただ、ワンクリック詐欺でも言える事ですが、捜査機関以外がインター
ネットへのアクセスだけで個人を特定する事は不可能です。悪人側では
それを知られてしまうと、それまでですし、基本無視すれば済む事です。



しかし、ツークリックに関しては「警視庁」はこう言ってます

ほかにも、「ツークリック詐欺」という手口があり、利用規約の同意や
年齢をたずねるメッセージボックスが出てきて、次の画面で「YES」を
押すと、自動的に登録されてしまうものです。 

（「NO」を押しても、「YES」の場合と同じ画面に進むこともあります。）
基本的には、ワンクリック詐欺と同じですが、表示されている規約に同
意した上でクリックしたのであれば、支払義務が生じることがあります。

『支払義務が生じることがあります』としか言えないところが頭の痛いところです

いずれにしても『料金を執拗に請求された場合』は、最寄りの警察署の
生活安全課、又は警視庁生活安全相談センターにご相談ください、との
事です

トレンドマイクロ オンラインスキャン

今まで脅威が見つかった事も無いし、一応ソフトウェア開発の業界人ですし。
でも、だからこそ定期的にオンラインでチェックをします。以前は、nifty 
のウイルスチェックサービスを使っていたのですが、久しぶりに赴いてみる
と様子が変わっていました。

結局、nifty では、トレンドマイクロでも、もし脅威が見つかった場合は駆除
は出来ないので、30日間の試用版をインストールして駆除する事になります。

試用版の場合は以前から何度かトレンドマイクロのウイルスバスターを使った
経験(試用のみですが)があるのでこちらでやってみました。

で、「速い!!」
( クイックスキャン時は80%短縮だそうです )

スキャンが異様に速いです。もちろん、フォルダのパスが表示されるので、見て
いると想像通りピンポイントでスキャンしていますが、それにしても速かったで
す。

実行したらしばらくほったらかしてテレビでも見ようかと思っていたら、見る間
に終わってしまいました。

で、脅威は無し。

自分は、飛行機乗るのも回避したいという、最悪の事態を通常のリスクと考える
こわがりなんで、まあ、脅威にさらされる確率は低いのでこんな運用でいいです
が、最近では一番怖いのは「スパイウェア」なんで、パソコン使って人生をエン
ジョイしたい人は一般的に、こういうソフトは買っておいたほうがいいと思いま
す。

ただ、入れるとなると、それはそれで解らない事があった場合、解決が難しいん
ですよね・・・。身近に詳しい人を最低一人は確保しておいたほうがいいのは事
実です。

(c) ハイヌリック医師｜写真素材 PIXTA


オンラインショッピングで使うそうです > パーソナルメッセージ

Visa Worldwide Tokyo | 「VISA認証サービス」の仕組み

からデモが見れます。パスワードを入れるのは当たり前ですが、パスワード
を求めているページが正当なものかを使っている人が簡単に確認できるのが
この「パーソナルメッセージ」ですね。

なるほど。

これは、MasterCard でも同じでした。「専用あいさつ文」と説明されていました。


また、仮に通常のいままでの使い方であっても、Visa も MasterCard も「ゼロ・
ライアビリティ」というルールで、利用者を守ろうという事になっているようです。


以下は、MasterCard の「利用者」が守られる条件です。( 普通の内容です )

•カードの紛失、盗難、および不正使用に対して適切な防衛対策を講じていた 
•紛失、盗難、または不正使用が判明した場合、直ちにカード発行会社に通知した
•過去12か月間において2回以上不正使用に関する報告をカード発行会社にしていない
•アカウントが、支払いに滞りのない良好な状態である場合
•カード発行会社の会員規約を遵守している場合


Visa Worldwide Tokyo | eコマースキャンペーンを展開
Visaカードの安全性を訴求し、
ネットショッピングでのカード利用者の拡大を狙う

本人認証サービス「J/Secure（TM）」｜クレジットカードなら、JCBカード
( JCB もおんなじですね )