2019年2月14日のtwitterセキュリティクラスタ

スクショもダウンロードNGってどうなるの?

【一部で混乱】「スクショNG」どこまで?文化庁に聞く
news.livedoor.com/article/detail…

「海賊版サイトのスクショが取締対象」であり、公式サイトなどは可能だとした。「二次創作」については「今後議論する」という。 pic.twitter.com/fAnQPTxFvE

ファイルをアップロードした侵害ユーザを告訴せず、そのファイルをダウンロードしたりスクリーンショットしたユーザだけを告訴することもできる――となれば、いろんな使い方ができるよね。政治的にも、トロール的にも。 pic.twitter.com/WEWkxg5tFX

違法ダウンロード対象拡大の疑問に回答 漫画家の赤松健さんがAbemaTVで
itmedia.co.jp/news/articles/… pic.twitter.com/7xpAjGpduU

[ITmedia NEWS]「スクショもNG」で広がる混乱、合法と違法の線引きは? “違法ダウンロード対象拡大”の問題点 bit.ly/2WZ3h5j

包括的ダウンロード違法化、警察における「妥当な」運用が期待できるのかについて私見。

映像と音声の場合、いわゆるP2Pアップロード系の事案であれば自動的にダウンロード違法化の刑事罰摘発が可能で、もしそれをやれば「全国初」ということでPRネタになるにもかかわらず、そうした事例は管見の限り発生していない。

丁度、警察庁通達が出る直前あたりに某府警のサイバー犯罪対策課あたりの方と取調室で話す機会があったので、ダウンロード違法化、実際に摘発まで進むんですかねーと雑談的に取り上げたところ「P2P取締りの一環でやるんじゃないかなー」と現場は大変やる気であった。

にも関わらず、現在に至るまで適用事例が出てないということは「警察庁通達」がそれなりの重みをもって現場に受け止められ、尊重されているということなのだろうと考えている。

今回の包括的ダウンロード違法化でも、同様の手続きが踏まれるのであれば、結果は同様になる (少なくとも違法化後、5年程度は) のではないかと予想している。

んで、小委を傍聴してたり報告書(案)を眺めた限りでは、その辺の事情が今居る文化庁の方々に理解されてるかどうか怪しいとも思っている。前回と同様の手続きが行われない場合は警察の現場の方々は嬉々として「全国初摘発」と記者会見を開くために乱用を始めるだろうと予想してる。

その他に気になったことはこのあたり。

世の殆どのOSはパスワードによるユーザ認証を実装してるが、平文保存してない。/etc/passwdを知る技術者はその実装法も理解してる。なのにその常識がWebに波及しなかったのはなぜか。結局技術者教育の問題なのかと悩む。 / “宅ふぁいる便の平文パスワード大量流出事件、変…” htn.to/bCz42zdxVq8

ウェブサイトとOSでは脅威も異なるし、ウェブサイトから平文パスワードが漏洩すると○○のリスクがある(増加する)と具体的に説明したドキュメントは、2010年以前にはほとんどなかったと思います(少なくともメジャーなものでは)。パスワードリスト攻撃が問題になったのは2012年以降ですし https://t.co/c7bTR6iosy

tlsが広範に使われるようになるまでパスワードを平文で流していたわけだし、誰もが自由にアクセスできるわけじゃないところに平文のパスワード保存するのが昔からおかしかった、という認識が誤りなんだと思う twitter.com/tetsutalow/sta…

あるいはsaslのようなチャレンジレスポンス形式においては、盗聴によるパスワード(認証に再利用可能なトークン)漏洩とサーバ内におかる平文保存は二者択一の関係なんじゃなかったっけ? よく覚えてないけど

WebアプリケーションはOSの知識がなくてもかける。というか下層が抽象化されたAPIで提供されていて隠蔽されているので知らなくても作れる。Windowの上でIDEでコード書いてWebサーバーにデプロイする時代なのでUNIXの知識がなくても仕事が出来る。 https://t.co/mt1fvyqTJ9

そういうエンジニアと、利用者のために基礎教養として書いた文書が(初出2013年7月)公開されてますよ。

第8講「パスワードは安全な認証方法か(pp86-97)」
image.gihyo.co.jp/assets/files/b…

やっと書き終わりました。

2月20日から始まる、総務省とNICTによる大規模なIoT機器調査と注意喚起「NOTICE」について調べて書いてみました – トリコロールな猫/セキュリティ security.nekotricolor.com/entry/soumu-ni…

総務省の資料に記載されたIPアドレスは特定アクセスに使用する予定のものです。一方、NICTのお知らせで公開したIPアドレスは、ポートスキャンに使用する予定のアドレスも加えたものです。

その点をNICTのお知らせに追記しました。ご指摘ありがとうございます。
nict.go.jp/info/topics/20… twitter.com/taku888infinit…

「政府によるハッキングだ!」セキュリティ調査に対する不安の声、実際は”誤解”?
abematimes.com/posts/5721897

#アベプラ
@ntsuji @8bit_HORIJUN @shigekixs pic.twitter.com/ZRndrO0Nqk

ハードウェアウォレットが新しく沢山出てるけど、自分の選び方を参考までに。
・まず安全性。出来ればOSSで、脆弱性が色々な人から指摘されてらその度に改善されてること。
・資金力がある会社。資金力がなければ3年後とかにアップデートやめてるかも。
・最後にサードパーティのサポートの多さ。

Enhanced Performance for the encrypted Web through TLS Resumption across Hostnames
arxiv.org/pdf/1902.02531… (PDF)
TLS1.3から異なるSNIでResumptionできるようになったんだけど、その調査論文。フルハンドシェイクしてるWebサイトのうち58.7%がResumption可能(?)。興味深い

ロシアが国外のサーバーから切り離すことを可能にする法案を進めているとのことだが、ロシアがインターネットから隔離されたらロシア発のサイバー攻撃や選挙介入はなくなるということ?まあ、国外の拠点から攻撃すればいいのだから、別にいいのか…。
headlines.yahoo.co.jp/hl?a=20190213-… @YahooNewsTopics

これ、最終的には、GPSを付けられた性犯罪者を避けるとか、
100m以内の接近が禁止されているDVで離婚した元パートナーを避けるとか、
そういうところに使われるんじゃないかな。
パーソナルセキュアルート、みたいな概念でさ。

m.japan.cnet.com/amp/story/3513…

平成30年中のサイバー犯罪の検挙件数は、9,046件(速報値)で過去最多となりました!警察では捜査体制を強化し、また、民間事業者や関係機関と連携し、積極的な被害防止対策を行っています。
詳しくはこちらnpa.go.jp/cyber/

セキュリティ通信ニュース更新しました!
最新フィッシング事情(1)連日続いた四大ブランド攻撃――不在通知装う偽佐川急便、電子マネー騙し取るライン乗っ取り
securitynews.so-net.ne.jp/news/sec_00040…

世の中に2万人以上の本格的なShodanユーザが居るとは・・ 怖過ぎるでしょ(笑) twitter.com/achillean/stat…

「著作権侵害だから」という理由で「スクリーンショットを規制」するとマジで死ぬというのをかつて証明した実例がある
gigaz.in/2RZzC8h

無料で自分のツイートをサクッと全消し可能なウェブサービス「TwitWipe」
gigaz.in/2S1rkNk

WEEKLY REPORT 2019-02-14を公開。セキュリティ関連情報は4件。ひとくちメモは、「Japan Security Analyst Conference 2019 開催レポートを公開」についてです。^TO jpcert.or.jp/wr/2019/wr1906…

DNSとは何か?「セキュリティの穴」にしない対策と基礎的な仕組みを徹底解説 dlvr.it/QyrXdQ pic.twitter.com/8l3KYZS5LV

「安全なパスワードは難し過ぎて自分さえログインできない」問題、どう対処するのが“正解”なの? – ねとらぼ nlab.itmedia.co.jp/nl/articles/19… @itm_nlabから pic.twitter.com/oCISuYmbMq

顧客が望むならソースコードも公開–カスペルスキーの信頼性確保への取り組み japan.cnet.com/article/351327…

シスコ、「Network Assurance Engine」の脆弱性を修正–アップデートを呼びかけ japan.zdnet.com/article/351327…

「macOS Mojave」の脆弱性で「Safari」のブラウズ履歴が閲覧可能に?–開発者が報告 japan.zdnet.com/article/351327…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>