「キーロガー」を含む日記 RSS

はてなキーワード: キーロガーとは

2019-09-08

Amazon社内犯かなぁ

使い回してないログインパスワード不正購入されたんだよ。使い回してないからどこのサイトで何が漏出したところでAmazonアカウントに入られる訳がない。

で、不正購入された日にキャンセル処理したんだけど、その時こっちの購入履歴にないものも「購入されてますが取り消しますか?」って言われたんだよ。えっ、非表示にされてんの? どういうこと? 当然取り消します。

思えば私が数件のものを買ったタイミングで紛れ込ますように不正購入されてるんだよね。購入タイミング見られるような環境から不正購入されてるらしい。

クレカは無事なのでクレカ情報見られる感じの、端末そのもの乗っ取りとかキーロガーとかでもないと思うんだ。だからこそAmazon内部犯が疑わしい。

調査メールの「パスワード流出は他サイトなので関与しません」も身内の犯行をバックレるために言ってるとしか思えなくなってきてる。使いまわしてないから他サイトから流出しないんだけど、なんで自信満々でそんなこと言えんの? しませんじゃなくて最低限調査しろよ。

パスワード変更しても不正購入されるとかパスワード意味ないんだけど、これどうすればいいの? 弁護士相談したら不正購入者IP開示とかできる?

2019-06-22

キーロガー疑惑オメガキーボード使ってみた

ユーザーキーボード入力収集して広告に活かすというオメガ株式会社プレゼン資料らしきものが少し話題になっている。

https://apps.apple.com/jp/app/anytype-%E6%97%A5%E6%9C%AC%E8%AA%9E%E6%96%87%E5%AD%97%E5%85%A5%E5%8A%9B-%E7%9D%80%E3%81%9B%E6%9B%BF%E3%81%88%E3%82%AD%E3%83%BC%E3%83%9C%E3%83%BC%E3%83%89/id1078897849

オメガ株式会社自身の着せ替え機能付きキーボードアプリANYTYPEのAppStoreページ。

実際にインストールして軽く使ってみた。

完全無料キーボード上に広告が表示される

課金して広告オフする機能はない

製品としてのクオリティは低い

・着せ替えは普通に使えた

レビュー数274件って感じでユーザー数は既にそれなりにいるっぽい

・軽く使ってみた感じだと、フルアクセス許可して使えるようになる機能には「絵文字キーボード」「顔文字キーボード」「広告サジェスト」「入力連携した演出」があった

・「ミッキー」と入力すればキーボード上部でディズニーランドHPリンクが表示された

・「野球」と入力すれば米アニメっぽい野球GIFキーボード全体にさらっと流れてクスッとき

・ANYTYPEから他のキーボードに変更するのが難しい気がするがこれ普通なのかね

個人情報収集について —

[フルアクセス許可]の設定をオンにすると、入力内容(パスワードクレジットカード番号などの個人情報)の収集や、ユーザーインターフェースの操作の記録についてのメッセージが表示されますが、ANYTYPEはこれらを一切行いませんので、安心してご利用ください。

appstore説明文にこういう風に書かれてる。自社のこのアプリでは入力情報収集はしてないのだろう。サジェスト機能とかのためにキーボードフルアクセス必要なのだろう。プレゼン資料が本物なら自社のキーボードアプリでは情報収集しないが、提携企業キーボードアプリでは情報収集するということなのだろう。

フルアクセス許可について

クレジット番号やパスワード電話番号などの個人情報は取得しておりませんので安心してご利用ください。

詳しくは本体アプリ利用規約をご確認ください。

ヘルプには上記のように書いてあった。

第5条 本アプリにおける情報の取り扱い

当社は、広告表示最適化のために、広告識別ID、利用アプリ特定入力情報を本アプリから当社が運用するサーバーに送ることにより取得し、善良な管理者の注意義務をもって管理します。

でも利用規約にはこういう風に書いてある。appstore説明文と矛盾してる気がするけど問題ないのかな。

キーボード幅寄せ・高さ調節でカスタマイズ可能

appstore説明文に書かれてるけど、どこにその機能あんの?

▶便利なユーザー辞書機能

よく使う挨拶文やメールアドレスなどをユーザー辞書に登録することで入力時間を大幅に短縮できる

appstore説明文に書かれてるけど、どこにその機能あんの?

オメガ株式会社では、独自収集した膨大な量のビッグデータ人工知能で解析し、個々のユーザーに合わせて欲しいときに欲しい広告配信できる世界初広告配信技術を開発しております

公式サイト上記のように謳ってたからてっきりこのアプリ情報収集したビッグデータ広告サジェストに活かしてるのかと思ったけど別にこのアプリでは情報収集してないらしい。appstore説明文で情報収集しないと明記してるのは心強い。利用規約が少し矛盾してる気がするが多分大丈夫なのだろう。

このアプリ問題ないとしても、プレゼン資料にあるような情報収集行為Appleとの規約違反になりそうだけど大丈夫なんだろうか。

2019-03-05

不正指令電磁的記録に関する罪(ウイルス作成罪)で誰でも逮捕できる

これヤバない?拡大解釈できる法律であるが、「ユーザ不利益意図しない動作キーロガーや保存された情報勝手に持ち出す情報搾取ランサムウェアのように勝手ディスク暗号化など)を起こすものマルウェアであるというのも理解できるので、そういったマルウェアを広く取り締まるために現状のように広く意味を取れる文面なったのもわからなくもない。ただ、現状の警察IT知識のなさが浮きだって、あらゆるもの逮捕できる法律へと変化してしまっている。

無限ループ無限ポップアップするjavascriptで捕まった今回の事件なんて、誰にもなにも実害は与えていないはずだ。もし踏んでしまったとしてもただブラウザバックしたり、タブを閉じればいいだけの話である議論を呼んでいるcoinhiveのような無駄CPUリソース消費をさえもしていないので、ユーザ側の動きとしてはただ無益情報を表示するだけの無意味サイトを踏んだたけの話である。どこにも違法性はないはずだ。

今回の事例をリアルで例えるなら道端のうんこ誘導してうんこ踏ませたくらいの罪でしかない。多くの人は「あ~うんこ踏んだわ」と思いながら多少は不快になるだろうが、所詮その場限りのことであろう。しかし、現状を見るようだと、どうやらうんこ踏んだことに激怒した県警があるようだ。こういった不正定義曖昧コンテンツ逮捕できるということは警察様の望まないコンテンツを貼っただけで逮捕できる可能性があるということである。つまりインターネット上に何かしらのコンテンツを上げている人は常に捕まる危険性があるということにほかならない。

こんな意味のわからない状況であるが、ポップアップ広告はどうやら一般的認められているため不正スクリプトではないらしい。神奈川県警coinhive検察側の発言でも社会的に認められているとあったが、社会的に認められているって一体どこの社会なのかが甚だ疑問であるインターネットを利用するユーザアンケートを取れば9:1くらいでポップアップ広告想定外動作であると答えられても不思議ではない。このような広告の方が広告収入を得るために誤タップ誘導していて、alartの無限ループなんかよりもはるか迷惑である。それなのに、ポップアップ広告は取り締まらずに、結果として、警察様の基準のよくわからない機嫌を損ねたwebサイトばかりを取り締まる。ついでに言えばこんな訳のわからない家宅捜査に令状を出す裁判所も頭おかしいと言わざるを得ない。これらは国家権力濫用であると言っても過言ではない。coinhive書類送検できるとというのであれば、真偽のわからない情報ユーザを惑わせ、時間を消費させ、広告を踏ませようとするクソアフィサイトの方がはるか有害であるのでさっさと取り締まれ

さて、これを書いている僕もいずれ家宅捜索され逮捕されるのであろうか。(警察様にとって)意図しない警察様を批判する不正文字列ディスプレイ表示してしままう文章を書いてしまったのだから

2019-02-19

anond:20190219154945

個人同定してサイト超えて売り込むためのキーロガー

えっ

これは黙ってやったら完全に違法でしょ

2018-05-20

anond:20180520181934

そういう曖昧な書き方して知ったかで逃げるのやめろ。

最近だとファームウェアトロイが潜んでいた以下のような事があったのは事実

https://pc.watch.impress.co.jp/docs/news/1109726.html

もっと大手の、例えばXiaomiスマホなんかでも以前はリセラーお節介日本語対応させるという名目で、ショップ独自カスタムROM(その類のはOTAアップデートが潰されている)を入れて送ってくる、というような事があった。

それらの中にはキーロガーやスニファが混入されている(それがインセンティブになっている)事も2年ほど前なら多々あった。それも事実。RottenSysなどのように。だが近年では激減している。Xiaomiに至っては公式ROM日本語サポートするようになったので現行機種では主要なセラーで買えばマルウェアが混入したショップROMが入っていることはなく、公式ROMになっている。入手した端末がショップROMだったとしても、中華スマホを買う人間ならだいたいはそのまま使うことはなく、ブートローダーアンロックし、XDAフォーラムをあさって好きなカスタムROMを導入するなどが可能なパワーユーザーであるはずなので問題にならない。また、怪しい通信をしている事があればコミュニティ上(XiaomiならMIUIフォーラム等)で話題になるが、大手メーカーはそういう疑念にきちんと答えてきている。公式ROMでもユーザー情報収集をする機能はたいてい備えているが、それらは許可を得てから収集されるし、ユーザー体験の為に必要範囲情報収集し厳重に管理しているものだ。要するにAppleMSGoogleと同じだし、それらと同様に中国企業のことをよく知ろうとし、信用できると思うかという個人的問題にすぎない。

2018-03-06

違法漫画サイトの利用者おっさんが物申したい

まず、若い世代に。

なんかあれこれと理由つけて違法サイト擁護をしている若い子がいるけど、君らは作品創作するという難しさ・厳しさを知らんでしょ。

君らがもし何かを作る事になって、それが無価値のように無料晒しものになったら笑って許せるのかという事。

全く一切君らにお金が入ってこないんだよ。本来お金が入ってくるはずのものに一銭もお金が入らないの。一銭にもならないってくらいに無価値になるの。

価値じゃないかサイトを使って読むんだよって言う子もいるよね。

同じ立場になって同じことやられてお金の入らない創作側になって、全く理不尽でもなくそれを黙って受け入れられるのかって話。

無理でしょ?お金にならないものをやる気にならないでしょ。ならなくたって自分作品が世に出るから良いって?そんな偽善はうぜえの一言です。

そういうのは同人世界でなら、まだ許されるし許せるかもしれない話だよ。商業ではそうはいかない。利益が必ず絡むからね。

あれこれ理由を付けている子の特徴だと、買ってまで読む価値がないという子や少ない小遣いでやりくりして買えないっていうんだけどね。

買ってまで読む価値がないなら、もうそこで忘れなよ。違法サイトを使ってまで読む価値も君らにはないだろう?

面白かったら買うって言う子もいたな。嘘をつけとしか言いようがないが、まあ稀にそういう子もいるんだろうけど、それでも間違いだよ。

そんなものは取ってつけた理由だ。

違法サイトをなんとか容認させようとしているだけに過ぎない。

少ない小遣いでうんたら~の子にも言うけど、そんなのおっさん子供の頃も同じです。むしろ今も昔も変わらないよ。

昔のコミックス360円~だった。でもね、小遣いも少なかったんだよ。個人それぞれはあっても昔は1000円でも多いという時もあった。

3000円もらえたら歓喜だったよ。これでほしいものが買えるってね。

今はコミックスもそれなりに高いよね。分かる。分かるよ。確かに高くなった。でも、小遣いも1000円じゃないでしょ。それなりにもらってるよね。

毎月やりくりしてるのは今も昔も変わらないんだよ。お金がなければ買えないなぁって思って来月買うかって楽しみをとっておいたもんだ。

それをネットでタダで見れるからなんて言って、それが問題サイトだって言われると小遣いがうんたら潰すの反対なんてのは、あんまりにも都合の良い話ではないかい?

君らのやってることは、単なるデジタル万引きです。違法サイト勝手に公開しているだけだって?そうやって押し付け自分は棚に上げるのは止めたほうが良いよ。

どんなに違法サイトが悪くても、利用者も悪そのものだよ。わかってるのに利用してるんだし。わかってなかったらわかってなかったで質が悪すぎる。

若い世代には、まず物を作る、物語創作するという事がどんなに大変なことかを考えて理解してほしい。

学校で作文書いてって言われたら、スラスラ書けないでしょ?少しは考えるよね。文の構成を。それと同じだよ。

それを作家は苦労して絵にして、文にして、作品に仕上げて、やっとお金になるんだ。

それを台無しにしているのは、違法サイトであり、利用者である人たちだ。

そして、おっさんおばさん世代にも言いたい。

お前らは若い世代の手本になるべく年齢層だろうに。なんでお前らが混じって違法サイトを眺めてるんだよ?

それだから、今の若い子たちが失望して軽蔑してくるんだよ。当たり前だ。

金がねーからとは言わせねーよ。いい年した中年がてめえで金も出さずに利用してんじゃねー。

お前らが手本になって「こういうサイトは駄目なんだ。こういうサイトがあるから作家創作意欲をなくしてしまう。廃れてしまうんだ」って言って

違法サイトを潰す方向へ行動するべきだろうに。

それを厚かましいツラしながら使ってるんじゃねーよ。若い子たちが老害って言ってきても文句は言えねーよ。

言われてもおかしくないような事をしてるんだから

おっさんおばさん世代なら、前述しているように物を作る大変さが分かるだろうに。

若い子たちよりも先に経験していることなんだぞ。

お前らみたいな馬鹿野郎いるから、若い子たちに軽く見られるんだよ。

尊敬されろとは言われないが、せめて若い子たちに笑われない生き方しろよ。

ホント、あのサイトを利用している中に中年以上が混じってると聞いて、びっくりした。

なんにしてもだけど、若い子たちにはモノづくりの大変さを理解してもらいたい。

今は無料という言葉ゲーム無料で遊べるものも増えたし、当たり前だと思ってしまう子たちも少なくないかもしれない。

でもね、お店で売っているものっていうのは無料ではないんだ。お金を出して買うものなんだよ。

利益がなければ作家作家家業を続けるのも難しいんだ。

慈善事業ではないのだから

そこの所を理解してほしい。そして違法サイトを使うのは止めてほしい。

問題ないと思って使ってても、裏でアドウェアだったりキーロガーを仕込んでいることもあって違う意味危険な事もある。

その被害にあったと騒いでも後の祭りしかならないんだ。

うまい話には裏があるとは、よく言うようにそういう危険性は常に潜んでいる事も理解してほしい。

2016-12-14

http://anond.hatelabo.jp/20161213220028

タブレットなんて重くて邪魔なだけだよ。しか会社のやつって、何が入ってるかわからなくない?キーロガーとかGPS送信とか入ってそう

2016-04-15

キーロガー

とあるシミュレーションゲームプレイしていたら毎回途中から非常に遅くなるのでおかしいなと思って調べていたらキーロガーっぽい動きをしてる事を発見した。カスペルスキーどうなってるんだよ。ちゃんと検出しろよ。しかさらに調べるうちにwindows10にもキーロガーが。。もうどこを信じたら良いか分からないな。

2016-02-11

ネットカフェ重要サイトへのパスワード入力はやめよう

数年前の出来事

一人暮らしゲームする時はいつも一人だ。

埼玉県大宮駅の某ネットカフェCSOプレイしたらパスワード流出して課金したポイントを全額使われてしまった。

あんまり名前を聞かないローカルネットカフェだ。

いままでこういった被害はなく、初めてネットカフェCSOプレイしたらパスワード流出した。

個室なので誰かにパスワードを覗かれているわけでもないし、8文字ランダムパスワードを2秒ぐらいで入力しているので目視で覚えられる奴はいないだろう。

となると、PCに予めキーロガーが仕込まれているのではないかと考える。ちなみにPC触る前に再起動する癖があるのでもう店の関係者を疑っている。

次の日にネクソンから不正アクセスにあっている可能性がある」とのメールを頂いた。

有料アイテム購入履歴確認すると、プレイしたことのないタイトル(一時期CMで出てたキャラかわいいあのゲーム)のアイテム購入履歴かずらずらと並んでいた。

そんなゲームプレイしたこともないしインストールしたこともないので不正アクセスされているので補償を依頼したが、ネクソン側の言い分としてはそれは不正アクセスなのかどうか判断できないので対応できないと返された。

糞だなネクソン(怒)

ネクソン場合不正アクセス被害を受けたとしても補償は1度しか受けられないというおかしルール存在する。(http://www.nexon.co.jp/support/inquiry/unfair.aspx)

結論

2015-11-12

http://anond.hatelabo.jp/20151112025229

LINEなんて、韓国サーバもあってアプリ韓国製なのに「純国産です」などとぬかしたNHN森川社長。嘘をついている責任に耐えられなくなったか韓国本社に嫌気がさして辞めたのかな?

で、LINEユーザ個人情報をいろいろ抜かれているだろうけど、スカイプ結構情報を抜いているよな...

あと、OneDriveなどのクラウドサービスで、違法写真バックアップ逮捕されたりしているんでしょ?もう実際に中身を見られているのよね。

それからBAIDU IME (SIMEJI) が問題になったことがあったけど、Google IMEキーロガーとは言わないが、「品質向上目的に」入力内容を転送していたりするんじゃないのかな?(これは裏が取れていないので間違いだったら大変申し訳ない...)

現在コンピューターネットワークは、小説1984年」のテレスクリーン権化だね。

2014-12-01

http://anond.hatelabo.jp/20141201113255

>(キーロガー盗撮などで)


そんなのが仕込まれてる環境では、パスワード入力が1回だろうと何度だろうと

結局全部ぶっこ抜かれるんだから回数の視点考えるのは意味が無いように見える

増田は何を問題視

何度もパスワード入力させるWebサービス

パスワード入力する機会が多いほど(キーロガー盗撮などで)パスワードを盗まれる機会も多くなると考えるべきじゃないの。

2013-12-27

百度/Simejiキーロガー事件

これ犯罪として捜査されないとおかしいんじゃないの

どうなってんの?

百度/Simejiキーロガー事件

これ犯罪として捜査されないとおかしいんじゃないの

どうなってんの?

2013-08-13

PC遠隔操作事件】ラストメッセージ全文(転載

元記事が消えた時のために転載。

【PC遠隔操作事件】「真犯人」からのラストメッセージ(江川 紹子) - 個人 - Yahoo!ニュース

http://bylines.news.yahoo.co.jp/egawashoko/20130810-00027167/

■はじめに
お疲れ様でした。
冬山はいかがでしたか?
私は紅葉のはじめの頃に行ったので快適でしたが、雪が積もった山は大変だったと思います。

さて、これまでメールにてさまざまな質問が寄せられました。
関連報道で謎とされている部分もあります。
それらについてFAQ形式でお答えしたいと思います。

■なぜこうしたことをなさったのですか 警察・検察にどんな恨みがあったの?動機について詳しく教えて。
私もまた、間違った刑事司法システム被害者です。
ある事件に巻き込まれたせいで、無実にもかかわらず人生の大幅な軌道修正をさせられた人間です。
それがどんな事件だったのかは詳しくは言えません。
サイバー関係ではありませんが、彼らが間違いを犯した原因の趣旨は、その事件も今度の事件も大して変わりは無いものです。
刑事司法の問題点として良く出てくるキーワード、「自白偏重」「代用監獄」「人質司法」「密室取調」「作文調書」...etc
私はそれらを実体験をもって知る人間です。

そして、そのとき私は負けてしまった。やってないのに認めてしまった。
起訴された。公判で「反省している」と発言した。
おかげで刑務所に行かずに済んだが、人生と精神に回復不能な大きな傷を残した。

一連の事件は、私が「負け犬」から復帰するためのリベンジと言えます。
『先に償いをさせられた人間はその分の犯罪を犯してもいい』という持論。
あなたは間違っている、たとえどんな理由があっても許されない、そういう突っ込みがあることを理解する程度の理性はあります。
でも、それが私だけの哲学であり、誰にも軌道修正されない行動原理です。
いつかのDigで誰かが「犯人は壊れている」と表現していました。
そう、壊れている。私を壊したのは奴らだから。

■警察・検察をナメてるの?
慇懃無礼な文面から「ナメている」「グリコ森永事件みたいだ」などと言われてますが、そんなことはありません。逆です。
警察・検察の怖さは思い知っています。
どれほど怖いか、どれほどしつこいかを。
それを知っているからこそ、ここまで神経症・偏執狂とも言えるまでに厳重な注意を払って動いてきました。
ほとんどの人は、それだけの体験をしたなら、「もう警察には逆らってはいけないのだ」「目をつけられないようコソコソ生きよう」そういう卑屈な人生を送るのでしょう。
しかし私はその気持ちのベクトルが逆に働きました。
恐ろしい警察・検察に挑戦し、乗り越えることこそが私の人生に課せられた試練であり、それ無くしては一生負け犬として生きていくしかないと思いました。

■自殺予告について。
・ミス
「ミス」は嘘です。ごめんなさい。自殺する気は全く無かったです。
11月10日前後に、どこかの記事で「犯人が致命的なミスか?」「Torを使わず直接書き込んだ箇所」というのが載ったのがきっかけです。
決定的なミスで警察も期待しているかのような報道だったゆえ、ちょっと乗せられてみました。
結論を言うとその書き込みもTorです。
Torに割り当てられる出口ノードによっては2ch書き込み可能なところもあります。
たまたまそのとき書けるところに当たったので、わざわざシベリアの依頼スレを使わなかったというだけの話です。
結局何だったのかというと、一部メディアが言っていた「観測気球」という表現が半分合っていて、あとの半分は「面白半分」です。

・新聞紙予告犯」という漫画を読んで、とても共感を覚えました。
特に、登場人物の犯人グループの一人であるゲイツ」君の境遇には自分と重ね合わせできるものがありました。(11月に入ってからはじめて単行本で読んだので、このマンガに感化されて一連の事件を起こしたというわけではありません。念のため)
その作品に出てきた、新聞紙を使う手口をちょっとだけ真似てみたというわけです。

・写真位置情報
恥ずかしいことに、これは本当にミスしました。
保土ヶ谷の適当な住宅地の緯度経度を入れたつもりが、10進数→60進数の変換を忘れてしまいました。
これは本当に私の無知であり、ラックの西本さんに「犯人は教養がない」と言われても仕方ありませんねw
結果的には、保土ヶ谷の団地が捜索され、意図どおりにはなりましたが。

■決して死を選ばす、生きてすべての真実を明らかにしてください。
死を選ぶつもりはありませんが、自首することもありません。
もし仮に捕まったとして、私が白旗を掲げて自白したとしたなら、動機について「逆恨み」と表現されることでしょう。
「前科者が前に捕まったことを逆恨みしてまた犯罪を犯した」と、報道各社は警察発表そのままに垂れ流すでしょう。
私が前に経験した事件の判決が覆ることも無いでしょう。
もっと掘り下げてくれるほどマスメディアの皆さんのジャーナリズムを信用していません。
記者クラブで警察とベッタリなのは分かっているから。
「真実を明らかに」という点ではこのドキュメントだけでも十分なのではないですか?
これだけ詳細に書いたなら、あと残りの謎なんて、私の住所氏名年齢程度の些細なことでしょう。
そんなことで事件の全容が変化するわけでもないです。

■ご本人について・・・お名前、性別、年齢など可能な限り、ご本人様について教えてください。
ご想像にまかせます

■取材させてください
できません。
このドキュメントを持って、私から発信すべきことはもうありません。

余談になります。基本的に面会取材は一切受けるつもりは無かったのですが、英国のBBCの方から取材依頼のメールが来たとき、ちょっとだけ気持ちが動きました。
以前見た「ポチの告白」という映画を思い出したのです。
警察腐敗、刑事司法の問題、記者クラブ制度の病巣、そういう部分を明らかにした、社会派な内容です。
登場人物が警察腐敗を暴こうとするも、記者クラブ制度に漬かった国内メディアには全く相手にされず、普段記者クラブから締め出されている海外メディアを頼るシーンが出てきます。
そのシーンを思い出し、BBCの取材依頼なら受けてもいいかな?と傾きましたが、やっぱり止めました。
そこまで出しゃばり屋でもないし、「凄腕ハッカー」のような扱いで出されても困る。(そこまで誇れる技術力があるつもりもない。)
「刑事司法の問題」という部分で言いたいことはいくらでもあるとは言え、私程度が言えることは誰かもっと頭のいい専門家が既に言っています。
だからわざわざ出る必要も無いと思い、他のメディアと同じようにBBCのメールも無視しました。
落合洋司先生がBBCの取材を受けていたようなので、それで私が言いたいこと、世界に向けて言うべきことは言ってくれたと思います。多分。

■どんなことを考えていますか?世間の反応についてどう思いますか?
警察が誤認逮捕をやらかす、世間が騒ぐ、という意図どおりの結果になったとは言え、反響が予想以上に大きく戸惑っています。
同時に達成感も大きいものとなっています。
正直なところ、もともと犯行動機は私怨が主で、あまり政治的自己主張は考えていませんでした。
警察・検察・世間が騒いであたふたしたら嬉しいな、自分の溜飲が下がる、それだけでした。
「刑事司法の矛盾を暴く」というような高尚な目的意識も高くはありませんでした。
また、神保哲生さんが、「ダウンロード刑罰化・ACTA・サイバー犯罪条約児童ポルノ単純所持処罰などのネット規制の動向に抗議する意図も犯人にはあったのではないか?」のように分析していましたが、そのあたりについても全く考えていませんでした。
それらについては、事後に専門家コメントを見て深く考えるようになりました。
もともとネット規制は私もどちらかというと大反対です。
刑事司法の諸問題、ネット規制に関する諸問題、どちらについても国民の自由が奪われる方向に向かっていくことは防がないといけないと思っています。
後付けの動機となってしまいますが、今となって思えば、自分の行為がその一助になれたら本望です。
(もっとネット規制のほうは私のせいで逆に締め付けが強くなりそうですが)

余談です。
家電量販店ウイルス対策ソフトのコーナーでは、「遠隔操作ウイルスの脅威」のように煽るPOPを付けて売っていますね。
私はそういうところに立ち寄り、一連の事件の社会的影響を確認したりしています。
売り場に立っているソフトメーカーの販促スタッフに、ぱそこんしょしんしゃの振りをして神妙な顔で、「最近ニュースで話題の遠隔操作ウイルスがすっごく不安なんです(>_<)」のように話しかけてみました。
すると「この製品が一番最初にiesysに対応したんですよ!」と、とても嬉しそうにアピールされました。
何だかおかしかったです。
今まさに目の前に真犯人がいるとはこの人は微塵も思ってないんだろうな・・・と内心考えながら、説明をしっかり聞いてあげました。

■目的通りに誤認逮捕を招き、警察・検察が謝罪しているが、今どのように感じているか
警察官検察官もっと人並みに、人の話をちゃんと聞く姿勢があれば1件も誤認逮捕など起こさなかったのでは?と。
あの人たちはコミュニケーション能力以前の問題、日本語というか地球語が通じない宇宙人です。
彼らにそういう能力が無いことを分かっていて試した私も私ですが。
結合試験のテストパターンを作って流したら再現性のあるバグの結果が得られた、そんな感想です。
テスト結果を全国に、全世界に提示できたことは大変有意義だと思います。

■警察の技術レベルについてどう思われたか
CSRFについては見破られると思っていました。
後述のようにいろいろ工夫したとは言え、「2秒で送信」問題は消せなかったので。
私の知っている警察のしつこさは、被疑者をシロにする方向には働かなかったのだなと再確認。

iesysについては見つけられなくても仕方が無いです。
投入前に、主要なウイルス対策ソフト体験版をいくつか試用し、検知に引っかからないことを確認しました。
完全自作プログラムだったので定義ファイルパターンマッチすることは無いですが、ヒューリスティック検知に引っかかるかも?と興味を持ちテストしました。
特にキーロガー機能でOSのキーボードマウス入力命令をフックしているあたり、「怪しいプログラムアラートぐらい出てもおかしくないと推測。
結果的にはどの製品でも引っかかることはありませんでした。
あの手の「ヒューリスティック検知搭載」と謳って売っている製品が、それをどのような基準で行っているのか興味深いところですね。

警察の技術レベルが高いか低いかですが、今回の失態の趣旨は、デジタルとは関係ない部分での捜査手法の欠陥のほうが、原因の多くを占めていると思います。
技術レベルは高いところもあれば低いところもあるのでしょう。少なくともサイバー課をナメてはいないし油断してもいません。
140人の捜査体制だ、FBIに協力要請だ、そういうのを見て正直プレッシャーを感じてもいます。

最近の動向として、「犯人がアクセスした可能性のある90億ログを解析している」という。
これについては、直接関連するサイトへのアクセスは下見閲覧段階も含めて完全にTorを使っています。
たとえば横浜市サイトやJALのサイトなど、一度も生IPでアクセスしたことはありません。
この時点で9割5分、捜査線上に挙がることすら無いと思っています。

しかし全てのアクセスでTorを使ったわけではない。
間接的に関連するようなサイトは、普通に閲覧したところもあります。
ビッグデータ解析のようなことをして、「こいつはこのサイトとこのサイトを見ているので怪しい」という、
100人か200人かの「犯人候補」の中に絞り込まれることも無いとは言えないです。
全国津々浦々、それら犯人候補のところに一人ずつ家庭訪問すれば、どこかで私に突き当たるかもしれない。

その可能性も予測しているため、油断は一切していません。
前に述べたようなオンラインでのアクティビティだけではなく、自分しか触らないローカルPCの中身までも偏執的なまでに注意を払っています。
つまり、私のPCを調べたところで証拠は何も出ません。他の100人200人の犯人候補者と同様に。

犯行に使った罠Javascriptトロイソースファイルのものから、細かいメモに至るまで、ファイルを置く場所については厳重に管理していました。
そしてそれらが存在した記憶媒体、およびそれらを開いたことのあるシステム記憶媒体は全部、とっくに完全消去の後、スクラップにして燃えないゴミに出してしまいました。
現在うちにあるシステムや外部記憶媒体全部、どんな高度な復元やフォレンジックを行おうと関係ありそうなものは何も出ません。

令状なしで来ても「どうぞどうぞ」と見せてあげますよ。
エロ画像の10枚や20枚は普通にあるので、それだけ鑑賞してお帰り下さい(笑)

それとも、犯人候補の中からあてずっぽうに選んでお得意の自白強要しますか?
「真犯人」を追求したつもりが、「新犯人」を作ることにならないといいですね。
私は根っからのカタギであり、ヤクザ過激派セクトの人のような海千山千犯罪者ではないですが、経験者であるだけに、否認なり黙秘なり適切に対応する自信はありますよ。
「テメエコノヤロウ」とか、「お前の関係先にガサ入ってガチャガチャにしてやるからな!」(原文ママ)とか同じようなセリフを言われても今度は負けませんよ。

■一体、このゲームをどこまで続けるおつもりですか?どのように決着をつけるつもりでしょうか。
もうやめます。
私の気が済むまでやって捕まらなければ勝利、という条件を設定していましたが、ここまで反響が大きいと、私の溜飲は下がりました。もう負け犬ではないです。
私が巻き込まれた事件のことも、私が起こした事件のことも、全部忘れて再出発します。

■誤認逮捕された4人の男性への謝罪の気持ちはありませんか。
こうでもしないと警察・検察を自省させることはできなかった、仕方の無いこととは言え、大変申し訳ないと思っています。無関係の4人を巻き込んだこと、軽く考えてはいません。
自分は悪くないなどと言う気はないです。償わなければならない罪を犯したことは分かっています。
でもそれ相当の罰は先に受けている。だからこれ以上責任を負うつもりはないです。
罪と罰の因果の逆転。そういうことが起こっていることを分かってください。

■横浜事件
・●●小学校
横浜市サイト脆弱性があったのを見つけたので、横浜市小学校一覧から無作為に選んだだけです。

・「鬼殺銃蔵」の意味
「餓鬼殺し」を省略して「鬼殺」。また、日本酒の商品名とかけたというのも合ってます。
殺し屋であるゴルゴ13、「こち亀」に登場したパロディキャラ「後流悟十三」、あと昔読んだ「隣人13号」の主人公の「村崎十三」、そのあたりのキャラクターイメージし、「じゅうぞう」という読みに決め、「銃蔵」と当て字にして完成。
それほど深く考えて決めたわけでもない、30秒ぐらいで決めた名前です。

・本文
猟銃で射殺していく内容は、春ごろに読んだ小説「悪の教典」を参考にしました。

・CSRFについて補足説明
CSRFの仕組み自体はオーソドックスだったのですが、ちょっと工夫を入れました。
1)犠牲者は最初の一人のみに絞った
不特定多数が見る掲示板に貼るという性質上、複数の人が踏むのは当然。
そして複数の人から一字一句違わない脅迫文言が届いたら、どんなに警察がお馬鹿でも何らかの仕掛けを疑うでしょう。
サーバ側のPHPで制御することで、最初に踏んだ一人にのみ有害CSRFが発動し、2人目以降は無害なリダイレクトが発生するだけという仕組みになっていました。

2)キャッシュで罠スクリプトを発見されない工夫
A「直接踏ませるスクリプト。BをJSONPクロスドメイン読み込みして実行する」
B「CSRFを行う有害スクリプト。Aとは別サイトに設置。」
の2部構成。
Bの側に、1)で書いた制御を入れました。
そして、Aでは、
「Bを読み込んで変数に格納(B1)→Bを再度読み込む(B2)→B1を実行」
というフローで動作します。Bを2回読み込むというのが肝心です。1)の制御により、B1はCSRF、B2は無害スクリプトになります。
永続性記憶装置に保存されるブラウザキャッシュには、B1はB2に上書きされ、B2だけが残ります。
変数に格納されただけのB1は実行後、DRAMから揮発してしまいます。

ただし再読み込み時、キャッシュ再利用の挙動はブラウザごとに異なります。
IE等では、2回目の読み込みは発生せず、キャッシュから拾ってきてしまいます。(2回目もB1になる。)
URLの語尾にgetクエリユニーク文字列を付加するというのがキャッシュリサイクル対策の常套手段ですが、
これをするとどのブラウザでも全く別のURLとして扱われ、キャッシュも個別に残ってしまうのです。
解決方法が思い浮かばなかったので、Aの時点でダメブラウザ入り口で弾くようにしておきました。

3)エスケープ
一応気休めで、文言も含めたスクリプト全体を、encodeURI()関数でエスケープしてありました。
仮に有害スクリプトキャッシュが残ってしまっていたとしても、発見しづらくなる効果を狙いました。
その時刻付近のブラウザキャッシュに対し、脅迫文言の一部で機械的にgrep検索をかけたとしても、罠Javascriptの構文は引っかからないはずです。
もっとも2)がちゃんと機能していれば別に平文のままでも良かったのですが。一応念のためにという感じ。

4)iFrameにより関連サイト4~5箇所次々と読み込む
単に文言を送信させるだけなら、所定CGIにリクエストパラメータ付きでPOSTする仕組みで良かったのですが、
それだけではなく、「犯人性を高める」工作を入れました。
明大生のPCに小学校サイト等へのアクセス記録があったというのはこれのことです。
「小学校サイト」「横浜市トップページ」「入力フォームのページ」などを読み込ませることで、あたかも自分でアクセスしたようなブラウザログ・キャッシュが出来るのを狙ってのことです。
何の前触れも無くいきなりCGIだけを触った痕跡しかなかったとしたら、警察の捜査員が見ればどう考えても何らかの仕掛けを疑うと思ったため。
もっとも、開かれている数秒のあいだに全て終了させた以上、「2秒で250文字を送信」という不自然さは消せないわけですが。
数分のあいだ開かせ続けられるような魅力的コンテンツを用意できれば、時系列的にもっと自然な形で文言の送信ができたのですが。
まぁ面倒だったので、時間的不自然があることは把握しつつ、うまく行くかどうかはダメ元でのチャレンジでした。
警察がお馬鹿だったので見事に嵌ってくれたわけですが。

・「告白文」のゆくえ
上記のように、CSRFスクリプトをこれだけ工夫しすぎたせいで、ちょっと動作の不具合があったみたいです。
後で試したら、大丈夫だと思っていたブラウザでもうまくいかないことがあったり。
おそらく「告白文」のほうは、踏んだ人の環境では正常動作しなかったのだと思います。
逮捕2日目でネタバラシしたつもりが、発覚まで3カ月以上も費やさせてしまったことについて遺憾の意を表したいです。

7月初旬のあの時期、告白文は届いていたと思っていたのに「誤認逮捕」報道が無いことについて、警察が完全に黙殺したか、釈放はしたものの明大生に因果を含めて騒がないようにしたか、記者クラブでベッタリのマスコミに因果を含めて黙殺させたか、そっちの可能性で考えてしまっていました。

■CSRFとオリジナル遠隔操作ウイルスを作成しているが、途中切り替えたのはなぜか
CSRFでは、脆弱性のあるサイトにしか通用しないです。
それを探し出すのもまた手間なので。
もっとどんなサイトでも適用できる汎用性のある手段をと考えて、iesys.exeを設計しました。

■大阪
●●●氏へのお詫びに●●●のBDを全巻買いました。
今まで見たこと無かった作品でしたが、ファンになってしまいました。
新作映画も見に行きたいと思います。

■福岡
遠隔操作先PCオーナーは福岡の人だったと分かり、福岡ドームとか太宰府天満宮とかを脅迫する文言を書きかけたのですが、気が変わりました。
警視庁の方たちに、遠路はるばる福岡までガサ入れしに行かせてあげるのも一興かなと思い、わざと東京のターゲットにしました。
単純に警察に対する嫌がらせです。
(せっかくだから稚内とか利尻島とかも思いついたんですが、さすがに僻地すぎて無視されるだろうな・・・と思ってやめました。)

■三重-「わざと消さなかった」は虚偽では?
最初の感染確認後すぐ遠隔操作で2chに伊勢神宮脅迫書き込みを行い、その後しばらくPCの中身を物色していたのですが、
iesysのキープアライブ通信が途絶え、オフラインになってしまいました。
単にオーナーが電源オフにしたのかと思い、自分でプロセス停止をしたことまでは分かりませんでしたが。

したらばのスレッドsuicaコマンドさえ書き込んでおけば、次にオンラインになったときに勝手に消える仕組みですが、このときはそれはしませんでした。

このPCが捜索された際、ひょっとしたら警察の捜査の実行画面が見られるかも?という好奇心が沸いたので。
夏からやっている連続犯行予告にもそろそろ飽きてきていて次の展開に行くタイミングを計っていたこともあり、
iesysを発見されたらそれはそれでいいかなという気持ちでした。
結果的にはその後一度もオンラインにならず、観察を続けることはできなかったのですが。

いずれはどこかで発見されるよう仕向け、また告白文でネタバラシするつもりだったというのも本当です。
何より誤認逮捕が明らかにならなければ、本当の攻撃対象である警察・検察に何のダメージも与えられないのですから。

■安部総裁殺害予告もやったのか?
私ではありません。
模倣犯?ということもちょっとだけ頭をかすめましたが、
10月上旬という時期から、模倣犯とするには時系列的な矛盾があります。
「遠隔操作」が言われ始めたのが10月7日ぐらいですが、安部さん殺害予告はそれより前からあったようなので、私の事件に触発されたという線は無いでしょう。
報道によると発信元とされるオーナーは否認しているとのこと。
私がやったのと類似の何らかの仕掛けによるものなのか何なのか、私にも分かりません。

■黒子のバスケ脅迫は
知りません 関係ないです

■「犯人像」についてコメント
メディアに出てくる「専門家」の方々が、各自好き勝手に犯人像を語るのはとても面白かったです。
的外れなのもあり、当たってるのもあり、いい感じにバラけていると感じています。
そもそもこれまでの行動・言動は、プロファイリングの面で犯人像を絞り込ませないための工夫を入れています。
・C#を使うような若者かもしれないし、「はだしのゲン」に思い入れのある中年かもしれない。
・皇室や神社を攻撃するような反日左翼かもしれないし、部落開放同盟を攻撃するような右翼かもしれない。
・アニメフィギュアコレクターなのかもしれないし、まったく興味が無いのかもしれない。
・「また来世~」などと、伊集院光ラジオのファンかもしれないし、そういうフリをしているだけなのかもしれない。
・将棋が好きなのかもしれないし、そうでないのかもしれない。
・引きこもりなのかもしれないし、アウトドア派なのかもしれない。

挙げればキリが無いけれど、こういう気まぐれで無軌道な動きはわざとやっています。
引き出しが多いほうだと人から言われるほうですが、私の引き出しにあるものも、全くの守備範囲のものも、程よくミックスして出しているわけです。
このドキュメントでまた材料が増えたわけですが、この段階で今度は「専門家」の方たちがどうプロファイリングするのか、かなり興味深いですね。

■捜査特別報奨金制度の対象となったことへのコメント
>犯人に関する情報について
>~この犯人を知っている
>~事件について噂話を聞いた
>このメールを送信した者を知っている
身近な人だろうと誰にも喋っていません。
このような情報は全宇宙の誰からも得られません。

>これらの言葉遣いや言い回しを使う者を知っている
>同じような表現を用いて文章を書く人を知っている
一般社会ではきわめて常識人ですので、それらのようなキチガイ文書を書くことはありません。
よって、私に関する情報は全宇宙の誰からも得られません。

>このような特徴を持つウイルスを過去に作成した人や団体を知っている。
>このウイルスを作成した者を知っている。
お話になりませんね(笑)

■片桐裕様へ
たしか就任直後から「2ch潰す」とか「ネット規制する」とかいろいろ言ってますね。
そんなに言論統制が好きなら、あなた日本人やめて中国の小役人にでもなったほうがいいのではないですか?
あなたの大好きな検閲・規制・弾圧がいっぱいでまさに理想の国ですね。誤認逮捕しても怒られないでしょう。
というわけで、貴様は今後発言するときは語尾に「アル」を付けて喋ること。(命令)

■改めて世の中に言いたいことは
私のように警察・検察裁判所に対して悔しい思いをされた方は多数いると思います。
上訴、再審請求、国賠請求、あるいはデモや街宣、出版、主張サイト開設、そういった法を侵さない正攻法の戦い方もいいですが、勝ち目は無い場合が多いです。
法が間違っているのなら、法を侵してでもどんどん逆襲すべきです。
国家権力という途方も無い相手と戦うのに、コソコソ隠れるゲリラ戦術を選択するのは卑怯でも何でもないことです。
戦うべき人が戦えば国は良い方向に向かう、そう信じています。

■最後に
私からは以上です。もう何も発信しません。
●●●@●●のメールアドレスはもう解約しましたので、メールをもらっても受け取れません。
最後まで読んでくれてありがとうございました。
さようなら。

(固有名詞などは一部●●で伏せててあります)

2013-03-08

[]Androidノートアプリ

Androidノートアプリ

スワイプだけでフォルダー内の全ファイルを閲覧。すべてのファイルが横に並んでいる。[[参考:m&gt;notes]]のように。

縦にファイルをつなげる。これはファイルグループ化。これも[[参考:m&gt;notes]]。親となるファイルに独自記法が書かれていればつながる。親子管理用のデータは持たない。(Dropboxなどで他端末にコピーデスクトップアプリで開いた時に有効になるように相対パスファイル指定)UI上は記法ではなくファイル選択(親を開いて子を選択・子を開いて親を選択。選択肢にはファイル名によるフィルタリングをしたい。できればファイル内容の全文検索でも。UI統合できるはず)親を子にすれば子が孫になるように。見た目はリスト、でもデータ構造はツリー。

設定項目に「ホームフォルダー」。その外にも出られる。制限しない。戻れることが大事

自動命名・自動保存。ファイル名がどうしても付けられないなら適当ファイル名で適当なところに残す。開きやすければいい。

アンドゥ。「キーロガーと併用して」で済ませるのもあり。

起動時のビュー(最小化から復帰した時除く)は設定可能。ビュー別にホームアイコン作成することも可能に。

モーダルダイアログ排除。またはダイアログタップで閉じられるように。

アプリカーソルキー不要。大きく表示するビューを用意。ダブルタップや長押しで切り替え。文字を打つときには戻るように。でもこれはAndroidに任せるべき。

カーソル位置が分かりにくい上に意図しない位置へ行くのでアンダーライン必須。でもアンダーラインよりも背景色を行ごと変更したほうが分かりやすい。背景に横罫画像も使える。

検索キーワードハイライト統合検索キーワード検索のたびに追加。検索キーワードの目次生成。置き換えでも追加。置き換えた箇所が強調表示になる。自動的に追加されるハイライトの色はモノトーン。追加されるたびに古い強調表示は弱くなる。操作で別の色に変更できればいい。強調箇所は独自形式のデータにするしかない。どうせ他のアプリでは再生できないのでこのアプリ専用データ

[[ファイル名(拡張子不要)]]でリンク最初の「.」以降不要。あってもいい。それで重複が発生したらタップ時にリスト表示。選ばせる。

自動リンク。同一フォルダー内のファイルファイルのあるフォルダーから相対パスホームフォルダから相対パス絶対パスに。

http:// にもリンク

ファイルを集めて一冊の本に。リンクを応用、見出し正規表現定義)へのリンク自動生成して1つのファイルに書き出し。1フォルダー内のファイルだけでいい。そのファイルの冒頭には「本」ファイル用の見出しを入れる。その見出しだけの本を作れば本の本、同じプログラム本の本本の本も生成可能。設定項目が増えそうなので不要

自動インデント自動リスト生成。

1. のあとで改行すると 2. が生成されるような。

タブストップ調整。タブ文字1つで表組み。LTSVが崩れのない表になるような。

スクロールハンドル

スクロールバーには目次を表示したい。ドラッグ中に半透明で画面の右側だけを使って表示するとか。

RIGHT:[[:t/App]]

----

CC0

2011-10-23

無駄だった

ああああどれもこれも無駄だった。

ドラ○エやポケ○ンのレベル上げも、そのことで友達と話したことも、

中学校のクソ教師のレベルの低い授業も、

強制でやらされたクラブ活動部活動も、

全部全部無駄だった。

一日何時間ゲーム趣味と言った娯楽に費やしただろうか?

一日何時間を下らない授業に費やしたか

一日何時間下らない部活動を強制されたことか?

それらにいくらお金をかけただろうか?

自分みたいな不幸な人間をこれ以上出してはいけない。

以下を提言する。

漫画テレビゲームネット等の娯楽の制限

中高生漫画テレビゲームを購入する際は、保護者の許可を得なければならない。

中高生ネットを使用する際、保護者キーロガー等によるログ管理を義務付け、使用時間を適切に管理しなければならない。

部活動の強制禁止

小中高において、クラブ活動および部活動を生徒に強制してはならない。

●授業の公開

小中高において、すべての授業を保護者リアルタイムで配信および配信から1週間以上保存しなければならない。

2011-08-09

pixivセキュリティ騒動についてまとめておく

togetterchromeが固まるくらい重いのと、書いてある内容に同意できてもエタ東となる4時の組み合わせは気分が悪いので、自分用に。

最初に書いておくと、これは特にpixiv擁護ではない。というより、擁護できる部分は特にない。

前提知識

pixivを擁護したがっている人たちというのがいて、連日出てくる問題を鎮火させようと頑張っている。

カオスラウンジとズブズブだったpixivも悪の企業であると認めず、pixivは悪くない、pixivは俺たちの居場所だ、と信じて自分たちの立場を守ろうとする。(俺正義タイプ

本の宣伝をしたいが代替サービスユーザーがまだ少ない。pixiv宣伝用に使い続けるしかないのからpixivを守りたい。(我欲タイプ

カオスラウンジ大好き!pixivも大好き!(信仰タイプ

pixivとかユーザーのことなんて全くどうでもいいけど、批判に対して反対意見を言える俺かっこいい。(自己顕示タイプ

大体想像できる動機はこんなところ。

メンツは固定しているないが、毎度の騒動で発生源となっているtogetterまとめを網羅的に眺めると、誰が鎮火しようとしているのか分かりやすい。

はてブでいうとb:id:sa_tieb:id:katsura_1b:id:tailtame辺りが該当。彼らを駆り立てているものは一体何なのか。(なお、エタ東も方向性が違うだけで同類にカテゴライズしている)

もっとも動機が不純だからといって、成すことが正しければ良い結果をもたらすこともあるし、独善が「悪事」としか呼べない暴走を引き起こすこともある。評価は人による。

ID漏洩騒動

pixivの新規登録画面は極めてシンプルで、pixiv idの用途については特に記されていない。(※要改善

登録するとユーザーにはユニーク数字idが付与されるので、pixiv idログイン用のみだと考えている人は少なからずいるようだ。

実際にはpixiv id名でディレクトリが作られるほか、スタックフィード(活動履歴)のidアカウントを共用するpixivブログや、姉妹サイトdrawrflashで手書きできるサイト)のidとして利用されている。

pixiv idを外部から見られないものとして、個人名を使うなどする人もいて、問題となったことは過去に数度ある。id変更の機能追加をするという話もあったが今のところは実現していない。

今回の騒動の発端となったのはこのpixiv id画像絶対パスから参照可能だ、という最初から判明していたことを何度運営に要望を出しても改善されないまま放置されたことに業を煮やしたことユーザー達のtwitterである

これを、「最初から判明していたことだから今更問題ではない」と擁護する連中が現れた。

IDパスロック騒動

id最初から漏洩するような仕様で、スタックフィードなどからidを参照することも可能だ」と判っても問題点を把握できないユーザーが多数いたことで、危機の周知は次段階に移る。

IDパスワードを同じにしている人は危ない。プレミアムユーザーならクレジット番号などの登録もしているので危ない。」と危険を訴えた。この辺りから「ただの言いがかりレベル」などと鎮火ツイートが広がる。

現在PCスペック技術の向上は目覚しく、家庭用でもハイスペックPCがあれば簡単なパスワードであれば数分~数十分で破ることもできるとされる。

が、それはメモリ内で高速に試行できるローカル環境上の話であって、web上のパスワード認証に対して必要とする時間は全く別物という視点が抜け落ちていて、とても現実的ではない。

だが、総当たりなどせずとも、簡単な単語IDと同じパスワード誕生日などであれば簡単にログインできてしまう可能性がある。

それを、「例えローカル上で10万回/秒でログイン試行できるPCでも、web上のパスワード認証に対しては通信とサーバーレスポンスボトルネックとなって100回/秒程度のパフォーマンスしか発揮できないと思う。並列で大量にリクエストを殺到させればサーバーが落ちるだけだし、そもそも膨大なオーダーのログイン攻撃が仕掛けられれば、突破するより前にファイヤーウォールが異常を関知するか、サーバー管理者が気付く。そもそもイラストコミュニティサイトに対して逮捕されるリスクを犯して潜入したところで、成りすまして暴言コメントを書いたり個人情報を抜く程度で、不正アクセスリスクにリターンが見合っていないわけで…。」

などと問題点すり替えて、指摘する側がさも間違っているかのように発言を繰り返す。

大手ポータルサイト銀行携帯キャリア、有料ポイント運用するネトゲなどであればそれなりに堅牢なログイン構造にするのが当然で、既に大手のお絵描きコミュニティしかカードの支払まで行われるサイトパスロックがないというのが問題でないはずがない。

httpsログインできないことも当然問題である

admin騒動

admin.pixiv.net他に接続するとグローバルIPからでもログイン認証が出てくるというもの。発覚したのは実は1年も前だという。今回twitter等で公になってからも1時間程度は誰もがアクセス可能であった。

あくまでログイン認証画面が出てくるだけで、ID/パスワードが判明したわけでもなく、webログイン認証に対するブルートフォースは非現実なのは変わらないが、「外部からadminツールにログイン可能」というセキュリティ意識の無さが露呈し、大騒ぎとなる。

更に話が広まる際には「adminツールが流出した」「バックドアが仕掛けられた」「ログインキーロガーが仕掛けられている」「アクセスするとウイルスを仕込まれる可能性がある」「今すぐ退会せよ」など虚実入り乱れた話となる。

普通に考えれば、外部からアクセス可能な状態で晒され続けたという事態が発覚した時点でサーバーを落として対策を取るはずなのだが、隠蔽体質に定評のあるpixivが何のアクションも起こさない為、念のためアクセスを控えるよう呼びかける。

「そこまで大事になっているのであればサーバーを落とすわけで、実害はない」などと見当違いな「俺の脳内pixivセキュリティ安全神話ツイートが擁護派から出てくる。

It workssl!騒動

admin.ads.pixiv.orgに接続すると「It workssl!」と表示されるもの。これがapacheデフォルト表示「It works!」と異なることから、「何者かに書き換えられたか、運営が謎のミスをしたのか」と疑惑生まれる。

ads.pixiv.orgは広告関連のサーバーのようだが、侵入された場合は他のサーバーも同様に危険である可能性が高く、「個人情報カード情報が抜かれる危険性もある」と指摘されると「万が一侵入されていても個人情報流出する可能性は低い」と根拠のないpixiv言い訳を持ち出す。

カード情報決済代行会社が保存していると運営から「なぜか」一部ユーザーメールで通知されていたようで、ここまでの騒ぎになっておきながらサイトトップでも発表しないなど、さらに不信感が募る。

まとめ

ID漏洩する危険性がある」という問題点から、罪のないユーザーが被害に遭うことを防ごうしたものの、サービス開始時から仕様改善される望みが薄い。

さらに管理者ページが外部から閲覧できたことは、あってはならないセキュリティ意識、にもかかわらず、「批判は的外れで間違いだらけ」というまさに的外れな擁護ツイートが広まる。

ここまでサンドバックになってて何も発言せずパスロックを実装するpixivある意味凄いが、その沈黙がさらなる疑惑を生んでいることにいつ気が付くのか。

2010-06-02

監視されてるんでしょ?

PCの中身も監視されてるとか言ってたよね?

じゃあキーロガーとか入ってるんでしょ?

増田に書き込まなくてもテキストエディタに書けばいいじゃん。

カメラ付けてるような奴らが仕込んでないことなんてないよね。

スニッフィングすればいいじゃん。

2010-03-19

GoogleIMEはどうやって「読み」を取得してるのか→GoogleIMEを釣るアイディ

GoogleIMEの新しいバージョンが発表されたらしい。

難読人名、難読地名、難読用語から、ネットスラングまで色々と対応してくれるそりゃ大したものなようだが、よく考えたら

Googleはどうやってそんなものの「読み」を獲得してるのだろうという疑問がある。

語彙はGoogleお得意のデータベースがある。使用頻度や品詞なんちゃらの分類もお得意だろう。

だけど「読み」だけは、普通に考えたらネットからさらってそれを採用するってことはできない。

騎士くん」を「ナイトくん」と読むことも、「美空ちゃん」を「ぴゅあっぷるちゃん」と「読む」ということを

獲得することは、普通に考えたら不可能だ。日本語IMEは「読み」と語彙の紐付けで初めて成り立つものだから、

いくら「語彙」があったところで、「読み」が獲得できなければ無意味なわけだ。

そういう「難読モノ」や「ネットスラング」にまで対応するというのは、日本語IMEシステムにとってかなり難儀な技だと思う。

じゃあ、Googleはどうやってそんなものを獲得しているのだろう。

まさかわざわざ人力で入れているとも思えない。それはgoogleの芸風ではない。

Google Chrome検索サイトから、キーロガーのように獲得するか?

いやそれもダメだ。難読や変読のは、「本来の読みを無視した読み」で変換をかけるからだ。

ひとつの仮説としては、Wikipedia報道関係のニュースサイトなどで、

美空(ぴゅあっぷる)ちゃん」とか、「大分(おおいた)県」などのように、

漢字(よみがな)」という並び方に着目して「読み」を獲得しているのではないかということだ。

いったん「漢字」と「ひらがなの並び」の関連が取れれば、それを「読み」として獲得することは自動化できるだろう。

で、ここまでの推論が基本的アイディアとして正しいと仮定した上で。

はてなダイアリー2chで、「漢字(よみがな)」という法則を使って、GoogleIMEを釣ることはできないだろうかということ。

柊かがみ(おれのよめ)」という字面を並べまくることで、「おれのよ」ぐらいまでを入力したところで

柊かがみ」を変換候補に出すような釣り方とか、もしくは全く大間違いの「読み」をGoogle認識させる事は可能なのではということ。

まあ実際問題、メディア関連のサイトやwikipeidaあたりから獲得した読みをひっくり返すほどの

評価を与えられるとは思わないが・・・。

2010-01-31

http://hyper-text.org/archives/2010/01/ftp_security.shtml

よって、サーバとの通信時に暗号化が行われる SFTP (SSH File Transfer Protocol) や FTPS (File Transfer Protocol over SSL/TLS) を使用するようにしましょう。SFTP に対応したクライアントとしては WinSCP、FTPS 対応クライアントとしては NextFTP (シェアウェア) がそれぞれ個人的なオススメです。

はあ???

キーロガー仕掛けられてたら通信暗号化しててもパスワードは盗まれるし既にウィルス感染しているってことはAPIフックでもなんでもし放題でAPIフック使えば平文取得出来るんだけど???何を言っているのこいつは???

2009-03-31

mixiハッキング問題:妥当な反応の範囲内

http://zapanet.info/blog/item/1584

ダイエット等で有名な方が、「mixiプロフィール改ざんされる」とmixi運営局に問い合わせました。返答は、

「原因はわかりません」

「調べようもありません」

だそうです。

1度だけの改ざんなら、たまたまパスワードがばれた、漏れたということも考えられます。ところが、数ヶ月の間に何度も頻繁にパスワードを変えたのにもかかわらず、何者かの手によって何度もプロフィール改ざんされたそうです。

ソフトウェア技術者ですが、ぶっちゃけて言えば、mixiの回答は、妥当な反応の範囲内だと思います。なぜなら、「その『某ダイエットで有名な方』に非常に近い方(家族親友)が、いたずらでやっている」可能性が最も高いからです。具体的には:

  1. 直にパソコンに触れる方(家族など)が、本人が寝ている時に改ざんしている
  2. 本人のパソコンに、キーロガー(キー入力を全部記録するソフト)を入れて、新しいパスワードを入手している

これぐらいでしょう。

そりゃぁ、ハッキングってことも考えられなくはないですよ。ただ、ハッキングは相当、技術が必要です。考えてみてください。頑張ってmixiハッキングできたとして、何で、その「某ダイエットで有名な人」のプロフィールだけを書き換えるのでしょう?もっと、大勢のプロフィールを一気に書き換えるとか、規模のでかいことをやりませんか?

何十人、何百人のプロフィールが一度に書き換わる、ぐらいの事故が起これば、ハッキングを疑ってもいいですが、一人の方のプロフィールだけが書き換わっている、ということであれば、純粋技術的な観点で見れば、まず、その方の家族親友で書きかえることができる人がいないかどうかを疑うのが自然です。ただ、警察でもないのに、mixiが、「ご家族やご親友で疑わしい方がいるのではないですか?」なんてユーザに言えるわけがないでしょう?どんな反応をされるかわかりませんからね。ブログにでも書かれて、「mixi社はユーザ家族犯人呼ばわりする」なんていう話が広がったら大損害ですから。

だから、「原因はわかりません」「調べようもありません」と、答えておくのが、不親切ではありますが、一番、無難な回答なのではないかと思います。

アーカイブ ヘルプ
ログイン ユーザー登録
ようこそ ゲスト さん