2019年2月15日のtwitterセキュリティクラスタ

政府が脆弱なIoT機器を探す件の意見がいろいろと

バナー情報から機器を特定してその機器特有の初期パスワードを試すだけなら不正アクセス行為ではないと言えるかもしれないが、NICTの調査では約100個のID・パスワードを機械的に試すので「本来合法的な行為に限っている」という説明は通じないと思う。

takagi-hiromitsu.jp/diary/20190211…

NICTの調査を「本来合法的な行為」とするとNICTの調査で使われているID・パスワードをハニーポットで収集して、それを元に個人が同様の調査を無差別に行っても合法ということになってしまう。やはり、本来は不正アクセス行為だがNICT法により不正アクセスから除外されているというのが正しいのでは?

「1111、aaaa等」「1234、abcd等」が対象になっているのは、「過去に大規模なサイバー攻撃に用いられたID、パスワードの組合せ」が対象だからであり、Miraiが使うPassword Listにそれらが入っているから。 pic.twitter.com/XXx1SMOjAq

なんでMiraiが「1111、aaaa等」「1234、abcd等」を使っているかというと、そういう単純なパスワードを初期パスワードとしている機器が存在するから。よって初期パスワードを調査するのは合法というのであれば「1111、aaaa等」を外す必要はないのだが、それはどうなのか? pic.twitter.com/SPd9Skvdl1

MiraiではファームウェアにハードコードされておりWeb管理画面では変更できないパスワード(いわゆるバックドア)も利用されているが、これも「アクセス管理者」であるIoT機器設置者が認識していないので「識別符号」ではないということ?

そうなるとバックドアのパスワードを試すことは「脆弱性の利用」となりNICT法でも除外されていない行為となるのでは?

初期パスワードを変更していないことは「アクセス管理者」がアクセス制御機能を設定していないとも言えるので、初期パスワードでのログインが不正アクセス行為ではないというのはまだ理解できるが、バックドアでのアクセスが「識別符号」にも「脆弱性の利用」にも当たらず合法というのは腑に落ちない。

NICT法での「識別符号の基準」に
「これまで送信型対電気通信設備サイバー攻撃のために用いられたもの」

が加えられているからバックドアのパスワードを試すことはNICT法により不正アクセス行為から除外されている。

やはりバックドアのパスワードが「識別符号」ではないというのは腑に落ちないな。

結論としては「本来合法的な行為に限っている」というのは無理があり「本来は不正アクセス行為だがNICT法により不正アクセスから除外されている」が正しいのでは?

一般人が同様のことをやったら不正アクセスになると思う。

一番の理由は、ファームウェアにハードコードされていて利用者が変更できないバックドア・パスワード。これを試すことが「識別符号」か「脆弱性の利用」かは解釈が分かれると思うが、不正アクセス行為には該当すると思うので。NICT法ではこれを「識別符号」と解釈しているのだと思う。

NOTICEが探す脆弱なパスワードとか、こういうのですか?(違 pic.twitter.com/7FC1KL5ndv

静止画ダウンロード違法化についていろいろ

静止画ダウンロード違法化については反対派も反対するべき内容で割れてしまっていて、それなりにきちんと踏み込んだ意見書を出したはずの情報法制研究所に規制反対のコンテンツ業界が「生ぬるい、法案自体を出させるべきではない」と反発して統一戦線が組みづらいという謎の構図になっとるように思う。

静止画ダウンロード等違法化が仮に進んで、実際に刑事罰の範囲が大幅に制限されると言われてもCoinhiveのような運用をされかねないという時点で萎縮するのは間違いないわけで、これを分かってて前に薦めようという議論が警戒されるのも当然とも言える。ブロッキング議論より巧妙ですからね。

家宅捜索されて、それから8ヶ月間、(3年以下の懲役又は50万円以下の罰金)どの罪になるか分からないのは恐怖だった。当然日常が奪われるからね。 twitter.com/kirik_game/sta…

なんせ、高木浩光せんせと私との間でさえ、静止画ダウンロード違法化に関する考え方が違いますからね。高木せんせのほうが間口が広い。「原作のまま」がイシューですが、ネットで転がってるゲーム画面のキャプ画が正規版かなんて確認しないまま保存し再放流するユーザーが危機に晒されるかもってのはね

海賊版ダウンロードの刑事罰、常習性が要件 文化庁素案 t.asahi.com/v4lx

「スクショも違法」の海賊版サイト対策 弁護士が指摘するネットユーザーへの影響と問題点 realsound.jp/tech/2019/02/p…

その他に気になったことはこのあたり。

そうフィーリングで決められる。
自分も「やっぱりお金儲けは良くないよね」という若い検事の独自の主観で罰金30万円になりました。引き出してなく、お金受け取ってないのに。 twitter.com/ohashimasaki/s…

約束のネバーランド×サイバーセキュリティ月間

超難解な暗号を解読して、サイバー攻撃から身を守れるか!?
特設サイト→neverland.nisc.go.jp

3/3(日)秋葉原にてイベント開催!
動画→youtube.com/watch?v=3JlLwa…

#ミネルヴァと謎の暗号
#約束のネバーランド
#サイバーセキュリティは全員参加

サイバーセキュリティ月間、第3回コラム、本日公開です!
今週のコラムニストは、(株)ラック代表取締役社長の西本さんです!
nisc.go.jp/security-site/…
#サイバーセキュリティは全員参加

先週に開催したMINI hardening@OWASP名古屋の開催について久々にブログにしました!
NISCさんにも宣伝を協力していただきました!
minih.wasforum.jp/2019/02/12/201…
#minihardening
#サイバーセキュリティは全員参加

hashcatのパスワードクラッキングツールと誰でも買えるGPUだけでどんなに複雑な8文字のWindows NTパスワードハッシュを2時間半以内でグラックできるそうです。8文字のWindowsパスワードはあまり意味ないと考えた方が良いです。ユーザの場合は15文字以上のパスフレーズが必須。管理者は25+をお勧め!

KAPEという新しいファストフォレンジックツールが出たようです。binaryforay.blogspot.com/2019/02/introd… #DFIR

EUNITY プロジェクト第2回ワークショップ – サイバーセキュリティ分野での日欧対話の促進 – のスライドを公開しました。
eunity-project.eu/en/workshops/2…

JALマイレージ 不正アクセス事案についてまとめてみた – piyolog piyolog.hatenadiary.jp/entry/2019/02/…

リレーアタックでの車の盗難がニュースになっていますが、リレーアタックは海外では割とよくある窃盗方法です。予防策は「玄関に車のカギを置かないこと」と「缶のケースにカギを入れること」。要はカギの電波を増幅してロックを解除するため、電波が届かないようにすれば予防できます。

【#リレーアタック を知ってますか?】
車とスマートキーから出る電波を
増幅させ車を破壊せずに盗む
通称リレーアタックと呼ばれる
手口です
今回製作した金属製の缶に入れると
電波が遮断できました

これは一つの有効な対策ですが
万全ではないため保管場所など
大切な鍵の管理を見直してください‍♂️ pic.twitter.com/f8oLM5UjKu

500px、中国企業が買った後に漏れたってことね。。/ “写真投稿SNSの500pxやEyeEmで大量に個人情報が流出!さらにダークウェブで販売中 – デジタル@備忘録” digibibo.com/blog-entry-347…

こんな重要なものをパスワード無しで晒すというのが信じられないが、ある意味中国だな…/中国NewsClip:[新疆]オンラインにウイグル人ムスリムの顔認識情報データベース パスワード無しで放置|ふるまいよしこ|note(ノート) note.mu/wanzee/n/n0903… #ムスリム #新疆ウイグル自治区 #顔認識技術

【JC3】犯罪被害につながるメールが拡散中。件名は「アカウント情報検証を完成してください。」本文中のリンク先に表示されるサイトは、ログインIDやパスワード、クレジットカード情報などを詐取する偽サイトです。リンクをクリックしないようご注意下さい。
jc3.or.jp/topics/virusma… #フィッシング

CyberNewsFlash 「QNAP 社製 NAS に影響を与えるマルウエアに関する情報について」を公開。現在 QNAP 社では詳細について調査中とのことです。今後の情報に注意の上、対応の検討を。^YK jpcert.or.jp/newsflash/2019…

拡散する客による不適切動画…間違った情報を広めた人にも責任が… fnn.jp/posts/00424930… #FNN #動画 #めざまし #飲食店 #SNS

無料で画像に秘密のメッセージを隠したりテキストやファイルを暗号化可能な「Secret Messager」
bit.ly/2S3vDaN

総務省のIoT機器調査は「監視社会」の始まりか–議論が起きた理由 japan.zdnet.com/article/351327…

[ITmedia エンタープライズ]「Google Play」申請却下のアプリは55%増、公開停止は66%増 Googleが対策の成果を説明 bit.ly/2X2uu7f

「Thunderbird 60.5.1」が公開 ~4件の脆弱性を修正/“CalDav”にアクセスできない不具合にも対処 forest.watch.impress.co.jp/docs/news/1169… pic.twitter.com/KMAJUr1QBm

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>