NEKOLAB

総務省 ＩｏＴ機器に無差別侵入し調査へ 前例ない調査に懸念も - NHKニュース 調査は家庭や会社などにあるルーターやウェブカメラなどのＩｏＴ機器およそ２億台を対象に来月中旬に開始し、無差別に侵入を試みて、初期設定のままになっているなどセキュリティー対策の不十分な機器を洗い出し、ユーザーに注意を促すとしています。 という記事が掲載された。 何を行うかを、ざっくり整理すると、 不正アクセス行為※による調査 個人や会社にある機器のポートスキャン 過去に大規模なサイバー攻撃に用いられたＩＤ、パスワードの組合せ約１００通りを入力し、不正アクセス行為を試みる。 １の結果を通信履歴等の電磁的記録の作成 ２の結果のうち脆弱とされた機器について電気通信事業者への通知 ということを行う。 これは、以下に示す総務省に掲載されている資料から記載した。 ※なお、NICTが示す資料には「特定アクセス行為」としているが、分かりやすく既存の概念としてここでは「不正アクセス」と表記した。もっとも今回の調査において特別に適法としているだけで、行おうとしていることはいわゆる不正アクセス行為と相違ない。ちなみに、今回の調査を適法にするため、 「国立研究開発法人情報通信研究機構法」 が昨年５月に改正、１１月に施行されている。 国立研究開発法人情報通信研究機構法附則第8条第2項に規定する業務の実施に関する計画の認可 私見としては、このような調査が政府によってされること自体に様々な危険性を秘めていると感じているが、すでに来月にはこの計画が実施されることが決まっており、遅かれ早かれ対応は不可避である。 市民は何をすればいい？ 個人や企業はあらかじめ対策を行っておくほうが賢明である（もっとも、それらの対策をしてもらうことがNICTも目的なので、どんどんやっておくべきだ）。 筆者の私見であるが、以下の３つを確認しておくとよい。 機器のパスワードを見直す 機器の設定画面に入るためのパスワードを見直しておく。見直すべき機器は以下のようなものが考えられる。 ルータ プリンタ NASなどのファイルサーバー類 その他、外部につながる可能性のある機器 ルータに管理者用の機能があることを知っている人は多いはずだ。 一方、プリンタやNASなどの機器...

http://news.livedoor.com/article/detail/15890992/ １月１８日に８億近いメールアドレスとパスワードが流出したというニュースが発表されました。 セキュリティ研究者 Troy Hunt氏による発表です。 https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/ 実際にメールアドレスが流出されているかは、Troy Hunt氏が創設した「Have I Been Pwned?」で調べることができます。 have i been pwned? はい、流出していました。調べたのは、過去に使っていたメールアドレスです。 画面の下の方に流出されたもととなった情報が書かれていました。どれもニュースになった事件ですね。 ２件目が今回の「Collection ＃1」という流出事件のものです。 他のメールアドレスでも試しましたが、そちらは問題ありませんでした。ほっ。 scrapboxで作成したものを転記しました

安心して使えるパスワードを作る方法を３つ選びました。 1. ランダム とても重要なサービスのパスワードであればランダム文字列で作るほうがいいでしょう。盗聴まで警戒するならオフラインで作るくらいの警戒をしてもいいくらいです。 作り方 WindowsならPowerShell上で以下の３つのコマンドを打つと、ランダム文字列が作れます。 パスワードの文字数は12文字以上で作ることが（今のところ）安全と言われています。 > $len = 12　＃文字数 > [Reflection.Assembly]::LoadWithPartialName("System.Web") > [System.Web.Security.Membership]::GeneratePassword($len,0) 結果は、こんな感じ。記号が混じります。 > F:RTWT])q]]} 記号を混ぜたくない場合は、３つめのコマンドを変えるといいでしょう。 以下は、英数字のみにするものです。 > do { $pwd = [System.Web.Security.Membership]::GeneratePassword($len,0) } until ( $pwd -match '^[0-9a-zA-Z]+$' ); $pwd 結果はこんな感じ。記号は混じりません。 > JKULrd6w2ca8 参考： https://stackoverrun.com/ja/q/10270645 オンラインで作っていいなら、パスワード生成アプリを使ってみましょう。ただし、信頼できるサイトで作るべきです。不正に収集されている危険性もあるかもしれません。 パスワードジェネレータ - LastPass デメリットは、ランダム文字列を覚えるのは不可能でしょう。 パスワード管理ソフトの助けを借りなければならないという手間があります。 安全性 英数字（６４種＝大文字英字２４種＋小文字英字２４種＋数字１０種）から１２文字のパスワードを作る場合、 64^12 ≒ 3.2 × 10^21 ≒ ３２垓通り以上 となります。 実際に解析するのに...

皆さん強いパスワード作ってますかー！ パスワードって大事ですよね。いいパスワードだと安心できますよね。 逆に悪いパスワードだと、夜も眠れませんよね。私はそう思います。 でも、強いパスワードとはなんでしょうか。 強いパスワードって何？ パスワード管理サイトのLastPassには、こう書いてます（筆者要約）。私が特に重要だと思うことには、下線を入れました。 専門家による良いパスワードのヒント 作成するアカウントごとに必ず固有のパスワードを使用します。（後略） パスワードには、個人を特定できる情報は使用しないでください。（後略） パスワードは 12 文字以上にし、英字、数字、特殊文字を含めます。14 文字、あるいは 20 文字のパスワードを生成する人もいます。 覚える必要のあるマスター パスワードを作成する場合は、お気に入りの映画のセリフや歌詞の一部を使用します。それにランダムな文字を加えます。単純なパターンで置き換えることのないようにします。 LastPass のようなパスワード マネージャを使用してパスワードを保存します。（後略） asd123、password1、Temp! のようなよく使われる弱いパスワードを使用してはいけません。 強いパスワードの例として、S&2x4S12nLS1*、JANa@sx3l2&s$、49915w5$oYmH などがあります。 セキュリティの質問には個人情報を使用しません。代わりに、LastPass を使用して別の「パスワード」を生成し、それを質問の答えとして保存します。それは、 子供のころに住んでいた住所や母親の旧姓などの情報は、ハッカーが容易に見つけることができる ので、総当たり攻撃で使用され、アカウントにアクセスされる危険性があるからです。 1 つの単語や文字のみを変えた類似のパスワードを使用してはいけません。（後略） 誰かとパスワードを共有した後、Web サイトでセキュリティ侵害が発生した後、最後に変更してから 1 年以上経った場合など、 パスワードを変更すべき理由が生じたときは、パスワードを変更します。 電子メールやテキスト メッセージでパスワードを共有してはいけません。（後略） いかがでしょうか。ためになりますね！ パスワードは１２文字以上。長ければ...

去年の１２月２７日に全国銀行協会が以下のニュースリリースを出している。 「銀行法に基づくAPI利用契約の条文例（初版）」および「銀行分野のオープンAPIに係る電文仕様標準について（第2版）」について 「銀行法に基づくAPI利用契約の条文例」は、APIを利用して顧客に家計簿サービスなどを提供する電子決済等代行業者と銀行とがどのような契約を結ぶとよいか、という例文である。 銀行、電信決済等代行業者双方にとって、契約が法律に沿っているか、双方にとっての利害関係がどうかはわかりにくいものと推測できる。 どのような契約条文を作ればよいか、といったものが条文例と解説が掲載されているので、これを参考にすると双方の認識共有をしやすいものになるのではないか。もちろん個別の内容によるところは双方検討が必要だろうが、一般的な内容に関しては、時間の節約になるだろうし、有意義なものといえるだろう。 「銀行分野のオープンAPIに係る電文仕様標準について」は、「オープン API のあり方に関する検討会報告書」で述べられている 残高照会 入出金明細照会 振込 といった内容の電文仕様の標準的な考え方を述べたものだ。 どういった項目を作ればよいか、というところが概念的に書かれているので、銀行業に詳しくなくてもその項目を網羅できれば、APIとしての十分性が成り立つだろう。 ただ、銀行業務的な観点で書かれているので、実際の電文例、つまり、JSONとかXMLとかそういった技術論的なものはほとんど書かれていない。 今後使われていく中で、技術的な観点も含めたデファクトスタンダードな考え方が別にできてくるのではないか？という一抹の不安を感じるが、一方で銀行業に精通していない技術者でも簡素に理解するための情報としては十分といえるだろう。 技術論の観点も興味深いが、法律や銀行業の観点で書かれた文書というのも、なかなか興味深い。

セブン銀行が顔認証のATM導入というニュースがでた。 ニュースによると、口座開設をATMからできるようにすることを目的としているようだ。 セブン銀行が顔認証のATM導入 - 共同通信 口座開設の本人確認は、先日まで申請手続きはネットでできたが、郵送で簡易書留を送るなどして本人を確認するなどの方法を行わなければ、それを認められていなかった。 しかし、昨年１１月に犯罪収益移転防止法（以下「犯収法」という。）の施行令や実施規則が改正されたことによって、ネットを通じた本人確認のみでよいことが認められた。 犯罪収益移転防止法 同施行令、同施行規則など - 警察庁 犯罪収益移転防止法 施行規則の改正について - 総理官邸 これにより、郵送のぶん１日以上は時間がかかっていたものが、遠隔地でも数十分でできるようになったというわけだ。 この流れは、FinTechなどの活用を掲げている政府の「未来投資戦略」に沿えば、当然の流れだったと言える。また、本人確認書類の受け渡しが事実上の条件となっている以上、対面でなければならない理由もない、といったところだろう。 もちろん銀行口座は、ほとんど普及しているものだし、急ぎでなければならないようなものともあまり言えない。 考えられるのは、 NISAやiDecoといった証券口座などの開設を簡便化することによる家庭からの投資を促すこと 地方銀行などの店舗が特定地域に限られる金融機関や海外にいる顧客などに対してでも顧客を確保しやすくすること 郵送確認などの費用をカットした低コスト化 といったメリットがあるだろう。 一方で、そもそも本人確認を何故するのかというのは、法律の名のとおり、暴力団やテロリストなどが犯罪によって得られた利益の流れを止めること、つまり、 マネーロンダリング（資金洗浄）を防ぐこと が目的の一つである。 今回のネットのみの本人確認は規制緩和であるから、今後口座開設のハードルが下がったのは否めない。裏を返すと、振り込め詐欺などの危険性が強まる可能性も秘めていると。 まだそんな話も出ていないが、いずれ悪用される抜け穴が顕在化する可能性はある。また、インターネットを通じた本人確認ができるということは、海外からもできるということなので、国家レベルでの犯罪の余地がある可能性...

商品券は、つまり「前払式支払手段」（先払い、プリペイドとか言われる類）のひとつである。 昔は、百貨店の出すチケットであったり、図書券であったりしたわけだが、電子化の現在は、その意味が多様化している。 前払式支払手段とは - 一般社団法人日本資金決済業協会 次の4つの要件をすべて備えたもののことをいい、資金決済に関する法律（以下「法」という。）の適用を受けることになります。 金額又は物品・サービスの数量（個数、本数、度数等）が、証票、電子機器その他の物（証票等）に記載され、又は電磁的な方法で記録されていること。 証票等に記載され、又は電磁的な方法で記録されている金額又は物品・サービスの数量に応ずる対価が支払われていること。 金額又は物品・サービスの数量が記載され、又は電磁的な方法で記録されている証票等や、これらの財産的価値と結びついた番号、記号その他の符号が発行されること。 物品を購入するとき、サービスの提供を受けるとき等に、証票等や番号、記号その他の符号が、提示、交付、通知その他の方法により使用できるものであること。  具体的には、 商品券やカタログギフト券、磁気型やIC型のプリペイドカード、インターネット上で使えるプリペイドカード等 がこれにあたります。  一方、これらの「前払式支払手段」は、店が閉鎖したり、サービスが終了したりすることで、使えなくなる。そういうときには、払い戻しができる。 商品券（プリペイドカード）の払戻しについて - 金融庁 上の金融庁のページの中に、「資金決済法に基づく払戻手続実施中の商品券の発行者等一覧」というExcelファイルが掲載されている。 「資金決済法に基づく払戻手続実施中の商品券の発行者等一覧」 一番古い2010年～2011年あたりは、いわゆる「商品券」ばかりだ。 2011～2013年あたりには、ガラケーアプリ、スマホアプリのポイントがチラホラとで始めている。 2014年からはスマホアプリのポイントの払い戻しのほうが主流となっている。 裏を返すと、2014年あたりからはアプリのサービス停止（をしているので、払い戻し手続きがされる）が絶えることなく続いているということでもある。 また時間のあるときに、統計的に分析してみたい、と思っている。 ...