はてなキーワード: 不正アクセスとは
https://anond.hatelabo.jp/20170818014810
例のアレ系のネタ(淫夢、クッキー☆、syamu game、ハセカラ/恒心教)が抱える特有の問題点を踏まえて、例のアレ系のネタの製作者に要求することを書いてみました
先にまとめ書いとくと、AV、ボイスドラマ、個人の動画を素材にして何か作りたいんだったら、素材元が損害を被らないように配慮しろってことね
おそらくこれが守るべき最低限のラインでしょう これが守れないなら非難されても仕方がない
この程度のことさえ実行できないなら今すぐネットをやめろ
・同性愛者、男優、声優、syamu氏を馬鹿にするような表現を一切使用しないこと
(ホモ、死ね、くさい、うんこ、同性愛者は○○、不細工、きもいみたいなのは全てアウト)
→素材にして著作権を侵害しているのに、黙認させて頂いているということを自覚しろ
・男優、声優、syamu氏を特定しない、特定しようとする輩がいたら何があっても止めること
・男優、声優、syamu氏へのなりすまし、リア凸、誹謗中傷、名誉毀損、ストーカー等の迷惑行為を一切やめること
→迷惑行為を行わないのは当たり前
・男優、声優の顔が写り込んでいる全ての実写素材にモザイクをかけるか、一からアニメ化すること
→使用させて頂いているのなら、アウティングや身バレ、特定防止のために、男優の身元を一切わからないようにするのは当然の義務
・syamu氏、声優(動画企画者)に動画の使用許可を取ること
(許可を取るのは当たり前)
→対人マナーとして当たり前
・既存の顔写真や音声が使われている動画は、全て自主的に削除すること
・男優、声優、syamu氏の個人情報等を記載しているサイトを、何らかの方法で全て削除すること
・弁護士とコテハンに抗議したいのなら合法的な手段以外使わないこと
(誹謗中傷、サジェスト汚染、殺害予告、爆破予告、不正アクセスのような犯罪なんてもってのほか)
・個人情報が載っているまとめサイトやwiki、動画を全て削除すること
(個人情報を晒さなくても、抗議する方法なんていくらでもあるはず)
→いくら弁護士とコテハンが悪かろうが、犯罪行為の免罪符になることは絶対にあり得ない
・騒ぎに関係のないやつを巻き込むような抗議をやめること
(爆破予告や不正アクセスでどれだけ迷惑がかかるのかわかっているのか)
例のアレ系のネタ(淫夢、クッキー☆、syamu game、ハセカラ/恒心教)の問題点について、
簡潔に記載しているサイトが確認できなかったので書いてみました
こういうコンテンツが流行っているのにニコニコ動画やツイッターの運営が動かないというのはやばいと思う
※ここに書き込むのは初めてなので、内容が的外れだったら申し訳ありません
同性愛者向けのAVを素材として、ネタ動画やコラ画像を作成しているコンテンツ
ボイスドラマ/syamu氏の動画を素材として、ネタ動画やコラ画像を作成しているコンテンツ
炎上したコテハンと弁護士並びに関係人物に、嫌がらせを行っている集団の総称
ありとあらゆる国内の証券会社で、株取引画面にアクセスする際のスマートフォンやアクセストークンによる二段階認証(多要素認証)などの、ログイン用のIDとパスワードが流出してしまった”後”の対策が一切されていない。
つまりIDとパスワードが流出した時点で、第三者によって自由に株取引がされてしまうリスクを利用者は常に負っているということになる。
例えばGoogleやYahooやAmazonでは、認証されていない端末やブラウザからアクセスがあった場合は、登録されている電話番号へSMSを送信し、本文に記載されているワンタイムパスワードを入力しないとログインができないようにする二段階認証を採用している。
国内でも、大手銀行のネットバンキングでは、出金手続きをする際は専用のアクセストークンやスマホアプリに表示されるワンタイムパスワードの入力を求められる。
しかし、何故か国内企業の証券口座に関してはこういったIDやパスワードが流出してしまった”後”の対策が一切されていない。
証券会社側の弁護もしておくと、銀行口座への出金に関しては、契約者の名義と出金先の銀行口座名義の姓名がカタカナで一致しないと出金できない仕様になっているところが多いようだ。
しかし株取引に関してはIDとパスワードだけで自由に行うことができてしまい、ネット上でのイタズラ目的などで不正な取引をされ、結果的に莫大な金銭的損失を被る可能性は常にある上に、登録されている個人情報に関しては見られ放題で、まさにやりたい放題ということになる。
個人的に気に食わない身近な人物のログイン情報をソーシャルエンジニアリングで抜き取ったり、株関連のブロガーや株取引を実況する動画配信者などのネットで活躍する人物にターゲットをしぼってログイン情報を抜き取り、不正な株取引で金銭的な損害をあたえることは充分に可能ということになる。torをつかってIPアドレスを偽装してしまえば、刑事事件に発展したとしてもIPアドレスから犯人を特定することは実質的に不可能になってしまい、中学生でも簡単に完全犯罪ができてしまうということになる。
もちろん、前述のような対策をとったからといってフィッシングサイトでワンタイムパスワードを入力させられる等の手口もあるため100%リスクを回避できるというわけはないが、現時点で一般的に実施されているIDとパスワードによる認証に加えて、SMSやワンタイムトークンによる二段階認証を採用すれば、IDとパスワードの流出に起因する不正アスセスのリスクの大部分は回避できるであろうと思われるのにも関わらず、国内の多くの証券会社がその対応をしていないのは、単純に対応を怠っているとしか思えない。
私が確認したところでは
においては、この記事の執筆時点ではIDとパスワードが流出した”後”におけるこれらの対策はされていないようだった。
以前、何社かにこれらのセキュリティリスクについて電話窓口で指摘したところ、例のごとく「パスワードを定期的に変更(以下略」と言われてしまった。
しかしこの「パスワードの定期変更」については以前から、定期変更を繰り返すことで必然的に覚えやすい簡単なパスワードを設定するユーザーが増えてしまう、毎回複雑なパスワードを設定したとしても覚えられない為にメモを残してしまいそれがセキュリティリスクになる等の問題点が指摘されており、2018年からは総務省でも「パスワードの定期変更は不要」という見解を示している。
利用者としては、大金を預けている以上は最低限のセキュリティ対策をしてほしいところではあるが、専用窓口でその旨を伝えても「面倒くさい人が来た」という対応をされてしまい、何だかなぁという感じだった。
(2020/09/16)
報道各社によると、SBI証券で悪意のある第三者による不正アクセスにより利用者の有価証券売却および、偽造した本人確認書類を利用するなどして、当該銀行口座そのものを不正に開設した“偽口座”への出金が複数件確認されたとのこと。被害総額は現時点で9864万円とのことらしい。第三者の不正アクセスによる有価証券の不正取引どころか、偽口座へ出金までされる事態になってしまった。SBI証券では、利用者の任意ではあるが「PC登録あんしんサービス」というサービス名でメールアドレスによる二段階認証を早期に導入した数少ない証券会社であっただけに残念。余談ですが、この記事を最初に投稿してから以降、7ペイ騒動等の相次ぐセキュリティインシデントの発覚を受けて、松井証券など一部の証券会社では電話番号等による二段階認証を導入している。しかしこれらの利用はあくまで任意であり、セキュリティ意識の高い利用者以外は従来通りのIDとパスワードだけの認証に留まっているのが現状のようです。
そもそもは暇だったのでwikiでジョン・タイターの記事を見ていた時
彼は”未来が変わる可能性がある”から漠然としたことしか予言できなかった。
彼が掲示板に書き込んだ情報を見ることで未来が変わる可能性がある。現在の私たちには予言が正しいのか間違っているのかはわからない
なので”未来人が存在する”ことを前提に彼らが予言したことが正しいのか、間違っていたのかを確認できる掲示板とかあればいいなぁ
具体的には
・スレが立つときに自動的にパスワードを設定する。これは可能な限り強固で簡単にわからないようなやつ
・一定時間後(一日後でも一ヶ月後でもいつでもいい)、パスワードを永久に公開する。公開後はスレに書き込めない
何がしたいかというと もしタヌキ型ロボットでもなんでもいいけど未来人がいるとしたら未来でパスワードを確認しない限りスレに書き込むことができない。
まぁシステムのクラックとかでパスワードが流出する可能性はあるけどそれはセキュリティーの専門家さん達に丸投げ
・未来人からみれば書き込みを現在の人たちがみるのは予言の後であり未来が変わる可能性は低い
・現在の私達から見ればスレッド立ち上げ時はパスワードはわからないのでそもそも不正手段でない限り書き込み不可
・でももし書き込みがあり、その内容が真実だった場合未来人が書き込んだ可能性がある。(もちろん不正アクセスで書き込んだ可能性でもある)
以上酒飲みながら5分で考えて書きました
無料エロ動画ばかりも良くないなと思って、DMMで有料動画を購入して見ることにした。セールの動画は安いし、クオリティーも高いので、満足して大人の階段登ってる感を実感してたんだけど、今日なんかアカウントのエラーがあったらしくて、アカウントが凍結された。それでさ、エラーページに電話番号が書いてあってそこに電話しろ、と。エロサイトのアカウントエラーの復旧で電話ってどうなのよ?こんなの家族がいる前で電話なんか絶対できねーじゃんかよ!それでさ、電話したらめちゃくちゃ事務的な声なお姉さんが出るわけ。
俺「ア、アダルトビデオの購入です」
姉「かしこまりました、ご利用のメールアドレスを教えてください」
俺「*******@gmail.comです」
俺「クレジットカードです」
姉「カード番号の末尾を教えてください」
俺「******です」
というようなやり取りをしたんだけどさ、要するにGWで行った海外で嫁が寝てる間にホテルのバスルームでDMM動画ストリーミングして**してたのが、不正アクセスだと思われたらしい。だからといってさ、電話かけてお姉さんと話させる仕様はちょっと酷すぎませんか?こういうのに興奮する人はいいと思うんだけどさ、普通の人は困ってしまいます。
京都大学 安岡氏はブログで以下のような発言をした。 https://srad.jp/~yasuoka/journal/611343/
このOrarioは、京都大学のKULASISにずっと不正アクセスを繰り返していて、正直なところ私(安岡孝一)としてはアタマに来ていたのだ。
また、自分の発言がorarioへの営業妨害にあたることを自ら認めている。 https://srad.jp/~yasuoka/journal/611364/
来月30日以降Orarioが、学生の所属大学、所属学部・学科、性別、卒業年度、登録時間割の匿名加工情報を、第三者に販売営業するつもりなら、私の昨日の日記はOrarioに対する営業妨害だ。
ところが、mala氏による分析(https://gist.github.com/mala/f2b7659f78bb396bf1eb6788be38a72d)があってからは、不正アクセスといわなくなった。
そのかわり、京都大学のセキュリティーポリシーに違反しているというようになった。
https://srad.jp/comment/3203194
だからと言って、京都大学のセキュリティーポリシー [kyoto-u.ac.jp]に違反して、京都大学の全学情報システムその他を利用するようなプログラム等を開発運用することは、全く認められません。それはOrarioに限ったことではありません。セキュリティポリシーをしっかり読んでから、出なおして来なさい。
そして、ひろみちゅ氏の見解(https://twitter.com/HiromitsuTakagi/status/858306861895884800) が出てからは、何もいわなくなった。
安岡氏の主張が完全に間違いであることは誰の目にも明らかとなったわけだが、「単位を取り消す可能性がある」発言を取り消さないばかりか、orarioが「不正アクセスをした」という事実無根のデマを打ち消すこともせず、自ら認めた営業妨害を黙認し続けているあたりは非常に悪質であるといわざるをえない。
彼は嘘つき先生といわれることに不快感を示していることからそうはなりたくはないと思っているはずだが、今は彼の嘘が少なくとも京都大学ではまかり通っている状態である。
これは、イギリスやアメリカで起きているPost-truth現象に似ていると思う。
学生はどういう思いでいるのだろうか。
正しいことを正しいという社会を目指しているのではないのか。
何のために学んでいるのだ。
現在大学の中でOrarioのアクセスがどうこうという問題が起きているようだが、
ひとまずこの記事については、下記URLにある、京都大学の専門家であらせられる記事について、一人歩きしてる感があるので、
もう少し彼のような上流側(という表現で良いかどうかは不明だが)の専門家ではなく、
下流でプログラムをガッツリ書いているほうの専門家として私(匿名で失礼)が纏めたいと思う。
https://srad.jp/~yasuoka/journal/611343/
Orarioの芳本大樹が書いた『時間割アプリの「Orario」の特性と安全性について』(2017年4月17日)という文書を読んだ。このOrarioは、京都大学のKULASISにずっと不正アクセスを繰り返していて、正直なところ私(安岡孝一)としてはアタマに来ていたのだ。
Orarioの特性と安全性について、本当にスクレイピング技術をクライアント端末側で行っているのであれば、
この部分は間違いではないと私(匿名で失礼)は考えている。
この部分の書き方、実に大学教授らしい逃げ道を多く用意していて。
KULASISにずっと不正アクセスを繰り返していて
上記発言、これは本来「開発時の検証段階」の話をしているのであれば「正解」、である。
逆に今のOrarioの通信についてを不正アクセスとしているのであれば「正解ではない」、である。
何せ、開発者が勝手にアカウントを使って入り込んで様々な検証を行う必要があるため、
KULASISサーバに対してクラッキング/ハッキングを行って根こそぎどうこうしたなどという大がかりな不正アクセスではなく、
あくまで大学側が定める規約規則から若干外れた使われ方がされているという意味の不正アクセスである。
(そもそもスクレイピングなんて技術を使う連中はID/PASSWORDがない状態でのサーバへの不正アクセスなどできない
開発時は「京大のKULASISアカウントをもったユーザが開発に携わっていないのであれば」押し出してきている京大の規約によれば、不正アクセスにあたるのかもしれない。
個人的には当たらないと感じるが。
京大の規定に定められたユーザが「特定のブラウジングツール(Orario)」により、
KULASISにアクセスしているのだからアクセスとしては不正ではない。
本当にスマートなWebスクレイピングで行われているのであれば、Webブラウザと全く同じ動きをするはずで、
それを不正アクセスと断罪してOrarioは不正というのは表現が汚いと考える。
これはコメント欄にもあるが、
https://srad.jp/comment/3196554
また、ChromeやSafari(及びその他マイナーなWebブラウザ)なども御校のWebサーバーよりコンテンツデータを取得し、HTMLを構文解析し画面表示を行っていますが、これらはセキュリティポリシーには適合しているのでしょうか?
ご大層にはっておられるリンクを流し読みをする限り、そんな厳格に何かを定めているわけではないように思われる。
それ故、実際にOrarioがスマートフォンによるスクレイピングを行っているのであれば、
Webブラウザの一種とも言えなくはない為、これを不正と断ずるのは、「正しくない」だろう
京大のユーザが開発に携わったかを証明できない以上、彼にとっては不正なのかもしれないが、
ここでそれをOrarioは不正アクセスと断ずる論理性が私(匿名で失礼)にはわからない。
他にもこの部分
Orarioアプリでは「Webオートメーション(Webスクレイピング)」と呼ばれる技術を用いています。この技術により、利用者様のスマートフォン(にインストールされているOrarioアプリ)に学生アカウント(大学ID・パスワード)を入力すると、自動で当該利用者様の教務用ページから時間割の生成に必要な情報のみを取得し、Orarioアプリの時間割テーブルに当該利用者様の時間割を生成・表示することができるという仕組みとなっています。
全く信用できない。少なくとも先月以前、OrarioからKULASISへのアクセスパターンを解析した限りでは、そんな風なアクセスパターンには見えなかった。嘘を書くのもいい加減にしろ。
Webスクレイピング技術に関して、なぜアクセスパターンが問題になるかが一つ疑問である。
下記のOrarioが出しているPDF(http://www.orario.jp/wp-content/uploads/2017/04/Orario%E3%81%AE%E5%AE%89%E5%85%A8%E6%80%A7%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E8%A6%8B%E8%A7%A3.pdf)にあるように、簡単にいうならばID/Passwordを利用したPOST通信を行い、その返答値をスクレイピング(切り貼り)している。
それをアクセスパターンを解析で一体何が取れるのか?という部分が、この辺りが分かる自称専門家の私(匿名で失礼)にもさっぱりわからない。
もっというと、「そんな風なアクセスパターンには見えない」、というならば、セキュリティの観点上公開すべきではないだろうか、
逆に一体アクセスパターンを見て私(匿名で失礼)も何を行っているのかが気になるところである。
ただでさえ、不正アクセスという言葉をつかって攻撃しているわけだから、
アクセスパターンを公開して断罪すべきだし、セキュリティ観点からみても他大学との共有はすべきで、
学生に対してもその証拠を出して止めさせるべきだろう、というのが個人的見解である。
学生の求める「単位」をつかって脅しをかけている時点で、お察しだが……。
そもそも上記で述べた開発時のほぼ不正アクセスと考えられる通信についてを「アクセスパターン解析で見つけた」というのであれば理解ができるが、
現在すでにスクレイピングが確立している通信に関して、アクセスパターンでOrarioかどうかを判別するのが可能かというと何とも言えないと思う。
(ご丁寧にOrarioが通信用のUserAgentにOrarioの文字を含めているなら別だが……
(もちろん、アクセスログを見て、ログインページからWebスクレイピングしたいページへ遷移するまでの時間を取るとあまりに短すぎる、という話ならやれるかもしれないが……。
たとえKULASISが京都大学がオリジナルで開発した大学教務事務パッケージだとしてもそうだろうと考えている。
同様に日立や富士通も同じような大学教務事務パッケージがあるが、
基本ログ処理がザルでろくにuser-agentの確認もできない大学も多く存在したりすることを知ってる自分としては、
本当だろうか?嘘を書くのもいい加減にしろ? と思う。
UIが糞(システムのスマートフォン対応がノロい)だからアプリが流行るということに気づくべき。
富士通、日立にしてもそうだが、APIを提供したほうがいいのではなかろうか。
とくにKULASISだったか何だったは、京都大学謹製と聞いている(違ったら失礼
少なくとも他の大学教務事務パッケージではなかったと記憶している。
であれば、京都大学がAPIを提供し大学側で専門家を集めてOrarioを超えるものを作ってはどうか?
実際大学でこういうことをやろうにも、問題になってくるのは予算で。
教務、事務、学務、図書館、など様々な縦割りが存在し、それぞれがそれぞれの予算でそれぞれのシステムを入れている。
これが実に糞で。
一つの大きなシステムを入れ替えるとなると、横との連携をとって全ての組織の号令をとらなければならない。
ここまで問題になってくるとやはりその辺りの対応の遅さが問題なのではないかと考えている。
大学がアホ → 学生に良い物を提供したいという思いがあるならもっとフットワーク軽くしろ
教授がアホ → 曖昧な表現で、素人を先導しようとするのが見え見えで気に入らない
Orarioアホ → コメントにもあるけどやり方が汚いのは確かだから甘んじて受け入れろ
以上です