2007年03月30日 - キッズgooのフィルタリング機能に嫌われる
子供を持つ親としては、わいせつな内容や暴力的なコンテンツを含むサイトの利用を制限したくなるものなのだろう。
フィルタリングソフトやサービスは、親や学校にて子供のネット利用を制限する目的で導入される。
NTTドコモ、同性愛とトランスジェンダーをキッズiモードでフィルタリング via セキュリティホールmemoに目を通し、スラドがキッズgooにより弾かれているとの書き込みを見つけた。
ふっと思い立ち、Sempliceをキッズgooにて検索してみたのだよ。
「 semplice 」の検索結果(きっずgoo)よりこのブログ、Sempliceを開く。
「ごめんね。ページがひょうじできませんでした。」
ウイルス対策掲示板ver2、Bottom Dead Centerなどもフィルタされており。
セキュリティホールmemoでは検索結果一覧に「(このページは、キッズgooではひょうじしていません。)」と表示され、サイトの名称が非表示となっているのかな。
ちなみに、自分のサイトがフィルタ対象とされているか否かは、「http://kids.goo.ne.jp/cgi-bin/kgframe.php?BL=0&SY=2&MD=2&TP=http://www.example.net/」のhttp://www.example.net/の部分を変えて調べればよい。
少し落ち込んだ。
気を取り直して幾つかのセキュリティ対策やマルウェア対策サイトとして相応に著名だろうと考えられるサイトを、ざっと軽くテストした。
著名かつ重要なサイトが漏れているやもしれないんだけど、フィルタ対象となっていないか、もしくは単に自分の主たる情報源ではないためである。
なお同じドメイン・同じ運営者のサイトであっても、ページによりフィルタ対象となっているものとなっていないものが混在している例があった(ウイルス対策掲示板では、ガイドページはフィルタ対象外)。
独立行政法人 情報処理推進機構
警察庁セキュリティポータルサイト@police
セキュリティ対策特集2006 親子で備えるセキュリティ対策(Yahoo! JAPAN)
情報セキュリティブログ(日立システムアンドサービス)
Semplice(つまり、ここ)
セキュリティホールmemoを含むhttp://www.st.ryukoku.ac.jp/~kjm/以下
ウイルス対策掲示板 Ver. 2
Bottom Dead Center
abcdefのワンクリウェア試験記録 入り口
CLUBPC security
葉っぱ日記
まっちゃだいふくの日記★とれんどふりーく★
高木浩光@自宅の日記
システム管理な雑記
Tef-Room
ネット詐欺相談室
PC CLUB
星澤裕二のSecurityWatch
まるちゃんの情報セキュリティ気まぐれ日記
セキュリティ雑感
てくてく糸巻き
HotFix Report
武田圭史のセキュアーで行こう!
パソコン安全教室
トップページに記載されているプライバシーポリシー(キッズgoo)はプライバシーポリシー(goo ヘルプ)にリダイレクトされ、表示される内容は子供にはあまりにも難解で理解を妨げている。
未成年者による契約は法的に無効ではありますが。
「セキュリティのために!」とのサービスが子供には十分な理解を得られず、啓蒙活動的な視点では不十分なんではなかろうか。
またプライバシーポリシー(goo ヘルプ)には、「その利用目的を具体的に定め」と記載されているものの、利用目的なるものが説明されていない。
Lucaさんは数ポップ先のコンテンツは見る気がしない、一応見たけど発見できなかったし、あったとしてもプライバシーポリシー中に含まれていないんだから無いのと同じだ。
プライバシーマークって、個人特定に繋がる情報を収集するのか否かやその利用目的が明記されていないプライバシーポリシーであっても、取得できちゃうんですね。
プライバシーマークやプライバシーポリシーへの自分の理解は、このような問題を扱うには十分なものではありません。
どうなんでしょうか。どなたか詳しい方がおりましたらば、率直なサジェスションをいただけないでしょうか。
2007年4月3日、掲載サイトの記載を修正
フィルタリングソフトやサービスは、親や学校にて子供のネット利用を制限する目的で導入される。
NTTドコモ、同性愛とトランスジェンダーをキッズiモードでフィルタリング via セキュリティホールmemoに目を通し、スラドがキッズgooにより弾かれているとの書き込みを見つけた。
ふっと思い立ち、Sempliceをキッズgooにて検索してみたのだよ。
「 semplice 」の検索結果(きっずgoo)よりこのブログ、Sempliceを開く。
「ごめんね。ページがひょうじできませんでした。」
ウイルス対策掲示板ver2、Bottom Dead Centerなどもフィルタされており。
セキュリティホールmemoでは検索結果一覧に「(このページは、キッズgooではひょうじしていません。)」と表示され、サイトの名称が非表示となっているのかな。
ちなみに、自分のサイトがフィルタ対象とされているか否かは、「http://kids.goo.ne.jp/cgi-bin/kgframe.php?BL=0&SY=2&MD=2&TP=http://www.example.net/」のhttp://www.example.net/の部分を変えて調べればよい。
少し落ち込んだ。
キッズgooによるフィルタリングは、日本のセキュリティ対策サイトへの過剰反応(同月31日追記事項)
気を取り直して幾つかのセキュリティ対策やマルウェア対策サイトとして相応に著名だろうと考えられるサイトを、ざっと軽くテストした。
著名かつ重要なサイトが漏れているやもしれないんだけど、フィルタ対象となっていないか、もしくは単に自分の主たる情報源ではないためである。
なお同じドメイン・同じ運営者のサイトであっても、ページによりフィルタ対象となっているものとなっていないものが混在している例があった(ウイルス対策掲示板では、ガイドページはフィルタ対象外)。
官公庁
独立行政法人 情報処理推進機構
警察庁セキュリティポータルサイト@police
企業、団体
セキュリティ対策特集2006 親子で備えるセキュリティ対策(Yahoo! JAPAN)
情報セキュリティブログ(日立システムアンドサービス)
個人
Semplice(つまり、ここ)
セキュリティホールmemoを含むhttp://www.st.ryukoku.ac.jp/~kjm/以下
ウイルス対策掲示板 Ver. 2
Bottom Dead Center
abcdefのワンクリウェア試験記録 入り口
CLUBPC security
葉っぱ日記
まっちゃだいふくの日記★とれんどふりーく★
高木浩光@自宅の日記
システム管理な雑記
Tef-Room
ネット詐欺相談室
PC CLUB
星澤裕二のSecurityWatch
まるちゃんの情報セキュリティ気まぐれ日記
セキュリティ雑感
てくてく糸巻き
HotFix Report
武田圭史のセキュアーで行こう!
パソコン安全教室
キッズgooのプライバシーポリシーへの疑問(2007年4月1日修正)
トップページに記載されているプライバシーポリシー(キッズgoo)はプライバシーポリシー(goo ヘルプ)にリダイレクトされ、表示される内容は子供にはあまりにも難解で理解を妨げている。
未成年者による契約は法的に無効ではありますが。
「セキュリティのために!」とのサービスが子供には十分な理解を得られず、啓蒙活動的な視点では不十分なんではなかろうか。
またプライバシーポリシー(goo ヘルプ)には、「その利用目的を具体的に定め」と記載されているものの、利用目的なるものが説明されていない。
Lucaさんは数ポップ先のコンテンツは見る気がしない、一応見たけど発見できなかったし、あったとしてもプライバシーポリシー中に含まれていないんだから無いのと同じだ。
プライバシーマークって、個人特定に繋がる情報を収集するのか否かやその利用目的が明記されていないプライバシーポリシーであっても、取得できちゃうんですね。
プライバシーマークやプライバシーポリシーへの自分の理解は、このような問題を扱うには十分なものではありません。
どうなんでしょうか。どなたか詳しい方がおりましたらば、率直なサジェスションをいただけないでしょうか。
更新履歴
2007年4月3日、掲載サイトの記載を修正
Posted by Luca at 22:23
│
│
2007年03月11日 - 彼らは1年ほどで1億5000万ドル以上も稼いだ - 詐欺ソフトウェアの販売
昨年の9月よりWinfixer関連不審ソフトへの集団訴訟が継続中なのだが、詐欺ソフト販売業者の顧客データベースが発見されたらしい。あまりの金額に驚いた。
詐欺的行為でこれだけの金額を騙し取れるならば、多くのいかがわしい詐欺ソフトウェアが刹那的に販売されている現状にも納得がいく。
Bochner氏(集団訴訟を起こした弁護士)は、悪徳業者が管理するデータベースをネット上で発見した。
いかなる保護もアクセス制御もなされず、よく言われる所の「路上に落ちていたファイル」だったらしい。
ニュースポータルでよく顧客情報漏れ事件が騒がれ、路上に落ちていた状態とはなどと議論される今日この頃。
大事なファイルや顧客データベースの管理には、慎重さが求められるのだろう、だが彼らにはそんなものは無かったようだ。
WinFixer2005による脅迫は自作自演
ブラックウォームの警告・WinAntiSpywareとWinAntiVirusProはwinfixer.comの新商法
ErrorSafeによる詐欺的ダイアログ表示 - 誰が広告を表示させたのか
Bogus wareとRogue ware、インチキソフト
詐欺的行為でこれだけの金額を騙し取れるならば、多くのいかがわしい詐欺ソフトウェアが刹那的に販売されている現状にも納得がいく。
A California attorney claims he has unraveled part of the mystery behind a questionable software program and is prepared to go to court. Attorney Joseph M. Bochner filed a class-action civil suit last September in California Superior Court in Santa Clara County against two men the suit alleges are behind Winfixer, a purported security software.
The lawsuit names Marc J. Cohen of Florida, and was amended last week to add James Reno of Ohio as an additional defendant, Bochner said. It seeks compensation and a halt to the distribution of Winfixer, among other remedies.
Winfixer has been a moving target for security experts, at times going by the names ErrorSafe, WinAntiSpyware, WinAntiVirus, SystemDoctor and DriveCleaner.
(和訳:Luca)
Joseph M. Bochner弁護士は昨年9月、セキュリティソフトと称されるWinfixerの背後に潜むと主張される2人に対して、サンタクララカウンティーのカリフォルニア上級裁判所に集団民事訴訟を起こした。
訴訟はフロリダのMarc J. Cohenの名をあげて、そして先週オハイオのJames Renoを追加の被告人として加えるために修正されたとBochnerは言った。
Winfixerは時々ErrorSafe、WinAntiSpyware、WinAntiVirus、SystemDoctor、DriveCleanerと名前を変え、セキュリティエキスパートには重要な標的であった。
Mystery around 'Winfixer' slowly unravels, lawyer says (Network World, 20070308)
Bochner氏(集団訴訟を起こした弁護士)は、悪徳業者が管理するデータベースをネット上で発見した。
いかなる保護もアクセス制御もなされず、よく言われる所の「路上に落ちていたファイル」だったらしい。
The multi-gigabyte database -- apparently left unsecured and open to the Internet -- contained names, addresses, credit-card numbers, transaction amounts and the version of Winfixer that was sold, he said. For example, on Jan. 20, 2006, the data showed 2,351 sales to users worldwide, with an average transaction amount of $40, Bochner said.
The database covers transactions made from January 2005 through January 2006.
I think this is far larger than anyone has ever expected, Bochner said. "It's not inconceivable that these people have made $150 million or more over the last few years."
(和訳:Luca)
何ギガバイトものデータベースは、明らかに安全でない場所に置かれてインターネットにオープンであり、氏名・住所・クレジットカード番号・取引金額と彼らが売ったWinfixerのバージョンが含まれていたと言う。例えば、2006年1月20日に、データは世界中のユーザーへの2351件の売り上げを示しており、平均取引額は40ドルであった。
データベースは2005年1月より2006年1月の取引金額をカバーする。
連中は最近のわずかな年数で、1億5000万ドルあるいはそれ以上儲けたと想像される。
Mystery around 'Winfixer' slowly unravels, lawyer says (Network World, 20070308)
ニュースポータルでよく顧客情報漏れ事件が騒がれ、路上に落ちていた状態とはなどと議論される今日この頃。
大事なファイルや顧客データベースの管理には、慎重さが求められるのだろう、だが彼らにはそんなものは無かったようだ。
関連記事
WinFixer2005による脅迫は自作自演
ブラックウォームの警告・WinAntiSpywareとWinAntiVirusProはwinfixer.comの新商法
ErrorSafeによる詐欺的ダイアログ表示 - 誰が広告を表示させたのか
Bogus wareとRogue ware、インチキソフト
Posted by Luca at 10:50
│
│
2007年03月08日 - 新種のアドウェアが十分に検出できない理由への推論
アドウェア(Adware)(広告配信プログラム)に対して「某ソフトウェアではスパイウェア(Spyware)を検出できませんでした!」などの投稿を見かける機会がある。
新たなアドウェアへのある程度の検出漏れは仕方無いのではなかろうか。
(アドウェアとスパイウェアは同義ではないし、この場ではそのような議論は置いておく)
アドウェア(Adware)は広告を表示するプログラムであり、バルーン表示やポップアップ表示や妙なダイアログなどをちらつかせて、様々な製品やサービスの宣伝をするものである。
現在ネットには、多くの広告表示プログラムが溢れている。
(広義の)スパイウェアとして扱われるようなものだけではなく、一般的な著名な企業によるプログラムもまた、広告を配信する目的で配布されている。
もしもいきなり既存のシステムファイルを汚染するようなマルウェアであるならば、ヒューリスティックスキャンやビヘイビアブロッキングで未知の検体であってもリスクがあると検出できるやもしれない、場合によっては。
だが単に「ポップアップを表示する」のみをもって、検出対象とできるんだろうか。そのような対策ソフトウェアがあったらば、多くの「誤検知」で非難轟々となってしまうだろう。
単純に考えてもらいたい。
検出対象としてブロックするべきか否かは、インストールの経緯や手段の悪質性、または表示される広告の中身や目的(詐欺か否か等)により各社が判断している。
(悪質なアドウェアを、配布者よりの抗議により検出対象よりホイホイと外す対策側メーカーもあるが)
既知のものとほぼ同様のものであるならば「ある悪質なアドウェアと同一・またはバージョン違い」的な理由にて、検出対象とされるだろう。
だが最終的に判断するのは、やはり機械ではなく、人間の目と判断に依存する部分が大きいだろう。
ワンクリック詐欺目的で配布されるアドウェアや、あるサービスを利用するよう強要するアドウェアがあったとする。
リスクを評価し検出対象として扱うべきか否かを判断するのは、最終的には人間による判断が必要なのだ。
対策ソフトメーカーへのフィードバックや独自の情報収集にて、あるアドウェアが詐欺的目的であるなどの理由によって検出対象として扱われるとしてもだ。
所詮アンチウイルスソフトウェアやスパイウェア対策ソフトなどのプログラムは、人間の代理足るには及ばない。
「有用な情報を提供するお助けソフト」と「悪質な詐欺目的のアドウェア」を、機械の目で全て判断するよう求めるには、あまりにも無理がある。
何故ならば、対策ソフトは未知のアドウェアを、表示される文面や配布者の意図までを明確に識別した上でブロックできないからだ。
新たなアドウェアへのある程度の検出漏れは仕方無いのではなかろうか。
(アドウェアとスパイウェアは同義ではないし、この場ではそのような議論は置いておく)
対策ソフトウェアに万能性を求めても無理なのでは
アドウェア(Adware)は広告を表示するプログラムであり、バルーン表示やポップアップ表示や妙なダイアログなどをちらつかせて、様々な製品やサービスの宣伝をするものである。
現在ネットには、多くの広告表示プログラムが溢れている。
(広義の)スパイウェアとして扱われるようなものだけではなく、一般的な著名な企業によるプログラムもまた、広告を配信する目的で配布されている。
もしもいきなり既存のシステムファイルを汚染するようなマルウェアであるならば、ヒューリスティックスキャンやビヘイビアブロッキングで未知の検体であってもリスクがあると検出できるやもしれない、場合によっては。
だが単に「ポップアップを表示する」のみをもって、検出対象とできるんだろうか。そのような対策ソフトウェアがあったらば、多くの「誤検知」で非難轟々となってしまうだろう。
単純に考えてもらいたい。
検出対象としてブロックするべきか否かは、インストールの経緯や手段の悪質性、または表示される広告の中身や目的(詐欺か否か等)により各社が判断している。
(悪質なアドウェアを、配布者よりの抗議により検出対象よりホイホイと外す対策側メーカーもあるが)
既知のものとほぼ同様のものであるならば「ある悪質なアドウェアと同一・またはバージョン違い」的な理由にて、検出対象とされるだろう。
だが最終的に判断するのは、やはり機械ではなく、人間の目と判断に依存する部分が大きいだろう。
ワンクリック詐欺目的で配布されるアドウェアや、あるサービスを利用するよう強要するアドウェアがあったとする。
リスクを評価し検出対象として扱うべきか否かを判断するのは、最終的には人間による判断が必要なのだ。
対策ソフトメーカーへのフィードバックや独自の情報収集にて、あるアドウェアが詐欺的目的であるなどの理由によって検出対象として扱われるとしてもだ。
所詮アンチウイルスソフトウェアやスパイウェア対策ソフトなどのプログラムは、人間の代理足るには及ばない。
「有用な情報を提供するお助けソフト」と「悪質な詐欺目的のアドウェア」を、機械の目で全て判断するよう求めるには、あまりにも無理がある。
何故ならば、対策ソフトは未知のアドウェアを、表示される文面や配布者の意図までを明確に識別した上でブロックできないからだ。
Posted by Luca at 20:25
│
│
2007年03月07日 - パスワードのメモと、罠としてのトリガーパスワードの提案
パスワードは記憶のみに留めるべきではなく、後々忘却の彼方へ忘れ去られた場合に備え、いずこかへメモすべきである。
だがApple社のガイドは、安直過ぎてヒネリが足りない。
どこのパスワードか簡単に判別できるような場合では、ある意味での「強度」が不足する。
押入れの中なんて論外だ。浮気を疑った夫がmixiのパスワードを探しているやもしれない。
貸し金庫にしたって、死後に家族が取得して判明してしまい、秘密のネット活動がばれてしまうやもしれない。
(やっぱり浮気してたのね!きぃー!って修羅場は、死後であっても避けたいものです。。。。。。。冗談ですよ)
「パスワードを記載した紙の強度」を十分なものにするには、パスワードの記載にヒネリが必要なのだ。
abc1234なるパスワードならば、bcd2345などの1文字ずらしとか。みかか入力でもいい。
(みかかとは、NTTはかな入力で「みかか」と入力されるなどの事例)
そしてダミーとして、どうでもいい下らないサービスのパスワードは、無処理のものを記載しておく。これで重要なアカウントのパスワードは「あれ?この紙のパスワードは古いのか?」と勘違いされて、結果として保護されるやもしれない。
笑われてしまいそうな低レベルでの対策だが、個人レベルであるならばかなり「強度」は増すだろう。
「適切に設定」されているWindowsのログオン画面にてパスワードを一定の数だけ入力ミスしたらば、指定された時間はログインができなくなるだろう。ロックアウトだ。
あと一歩進めてみたらばどうだろうか?
指定された偽パスワードの文字列を入力されたのを確認したらば、ユーザープロファイルを丸ごと削除するとか、指定されたファイル・フォルダを削除・又は暗号化するようなソリューションはどうだろう?
大音量アラームの警報音とか、盗難元企業へのメールか何かでの通知、または自爆?とか。
需要は個人法人を問わず、相応にありそうですね。
盗難対策用ソフトウェアをインストールして、外部へ持ち歩くノートパソコンに自爆的行動をさせるための「トリガーパスワード」を設定したとする。
話は簡単だ。パソコンを格納するバックにメモ用紙を入れておき、そこにパソコンのパスワードであるよう装ったトリガーパスワードを記載しておくだけでいい。パソコンに偽パスワードの付箋紙を貼り付けてもいいし、マジックで書いてもいい。
第三者にパソコンを奪取されたり盗難に遭ったらば、犯人はトリガーパスワードでログオンをすると期待されるようにすれば良い。
後は、偽パスワードたるトリガーパスワードで、予め指定した処理が実行される。
そうそう。
プロバイダーなどが提供するサービスならば、指定したトリガーパスワードでメールの送受信を試みたらば、「誰かが偽パスワードで接続しようとしたぞ!」と通報するサービスがあってもいいだろう。
いいアイディアだと考えているんですが、どうでしょうか。
WindowsXPがパスワード情報を送信する話(2004年09月29日)(Semplice)
だがApple社のガイドは、安直過ぎてヒネリが足りない。
Appleは同社のウェブサイトMac 101に「My Mac Cheat Sheet」(PDFファイル)という文書を掲載している。その文書には、Mac OS X関連のユーザー名やパスワードだけでなく、電子メール、ISP、ルーターなどのログインアカウントを書きとめておく欄もある。
Appleはウェブサイトで「あなたや、Macに詳しいあなたの家族や友人のMacライフが少しだけ楽になるよう、忘れやすい情報を記入して安全な場所に保管しておくためのフォームを用意しました」と説明している。
Appleはどうかしてしまったのではと思うかもしれないが、そうではない。パスワードを付箋に書いてコンピュータのモニタやキーボードに貼り付けておくのは賢明ではないが、情報を書きとめて安全な場所に保管しておくのは有益である。
「パスワードは書きとめて」:アップル、Macユーザーにアドバイス(CNET Japan)
どこのパスワードか簡単に判別できるような場合では、ある意味での「強度」が不足する。
押入れの中なんて論外だ。浮気を疑った夫がmixiのパスワードを探しているやもしれない。
貸し金庫にしたって、死後に家族が取得して判明してしまい、秘密のネット活動がばれてしまうやもしれない。
(やっぱり浮気してたのね!きぃー!って修羅場は、死後であっても避けたいものです。。。。。。。冗談ですよ)
「パスワードを記載した紙の強度」を十分なものにするには、パスワードの記載にヒネリが必要なのだ。
abc1234なるパスワードならば、bcd2345などの1文字ずらしとか。みかか入力でもいい。
(みかかとは、NTTはかな入力で「みかか」と入力されるなどの事例)
そしてダミーとして、どうでもいい下らないサービスのパスワードは、無処理のものを記載しておく。これで重要なアカウントのパスワードは「あれ?この紙のパスワードは古いのか?」と勘違いされて、結果として保護されるやもしれない。
笑われてしまいそうな低レベルでの対策だが、個人レベルであるならばかなり「強度」は増すだろう。
指定した処理を実行させるためのトリガーパスワードなるアイディア
「適切に設定」されているWindowsのログオン画面にてパスワードを一定の数だけ入力ミスしたらば、指定された時間はログインができなくなるだろう。ロックアウトだ。
あと一歩進めてみたらばどうだろうか?
指定された偽パスワードの文字列を入力されたのを確認したらば、ユーザープロファイルを丸ごと削除するとか、指定されたファイル・フォルダを削除・又は暗号化するようなソリューションはどうだろう?
大音量アラームの警報音とか、盗難元企業へのメールか何かでの通知、または自爆?とか。
需要は個人法人を問わず、相応にありそうですね。
盗難対策用ソフトウェアをインストールして、外部へ持ち歩くノートパソコンに自爆的行動をさせるための「トリガーパスワード」を設定したとする。
話は簡単だ。パソコンを格納するバックにメモ用紙を入れておき、そこにパソコンのパスワードであるよう装ったトリガーパスワードを記載しておくだけでいい。パソコンに偽パスワードの付箋紙を貼り付けてもいいし、マジックで書いてもいい。
第三者にパソコンを奪取されたり盗難に遭ったらば、犯人はトリガーパスワードでログオンをすると期待されるようにすれば良い。
後は、偽パスワードたるトリガーパスワードで、予め指定した処理が実行される。
そうそう。
プロバイダーなどが提供するサービスならば、指定したトリガーパスワードでメールの送受信を試みたらば、「誰かが偽パスワードで接続しようとしたぞ!」と通報するサービスがあってもいいだろう。
いいアイディアだと考えているんですが、どうでしょうか。
関連記事
WindowsXPがパスワード情報を送信する話(2004年09月29日)(Semplice)
Posted by Luca at 22:04
│
│
