Hiromitsu Takagi

@HiromitsuTakagi

自宅研究員 blog@takagi-hiromitsu.jp

東京都
takagi-hiromitsu.jp
Joined December 2008
1,954 Photos and videos Photos and videos

You may also like

·

Tweets

You blocked

Are you sure you want to view these Tweets? Viewing Tweets won't unblock

  1. 19 minutes ago

    何もかも出鱈目。出鱈目のオンパレード。

    5 retweets 10 likes
    Show this thread
    Show this thread
  2. 20 minutes ago

    出鱈目。対策されている。

    国際化ドメイン名を導入するまではアドレスの確認もそれなりに機能しましたが、現状だと目視での確認は難しい気がしますね。誤認しやすいドメイン名も簡単に取れてしまう上、分かりづらいドメイン名が正規に運用されてますから。チラシだって偽のURLを書いたのを配ることもできますし …
    1 reply 10 retweets 11 likes
    Show this thread
    Show this thread
  3. 24 minutes ago

    いいえ。取得手段が異なるだけ。DV証明書は取得時に通信路で介入されるリスクを無視して取得をネット経由で完結させたもの。そのリスクを無視しないなら電話なりでドメイン保有者との一致を確認する必要があっただけの話。

    それをサイトの信用度といえるかどうかは別としてサーバー運営者の実在性と正確な組織名を登記簿謄本なりで確認して証明書に記載することがOV証明書を導入した目的ですよね。少なくとも当時のNetscapeやら認証局事業者はSSLサーバーやサーバー証明書をそうやって売ってきたのでは …
    1 reply 8 retweets 9 likes
    Show this thread
    Show this thread
  4. 32 minutes ago

    出鱈目。Netscapeは、通信路の暗号化のためにSSLを発明してそれに不可欠な認証局を事業化したのであって、サイト運営者の信用度を示すためではない。後のDV証明書もLet's Encryptもその点で何ら変わりない。(証明書取得手段が異なるだけ。)

    NetscapeがSSLを発明してRSAとVeriSignを創業した時点ではクレジットカード番号なり個人情報を安全に入力できるようにするためサーバー証明書をつくったんだろう。ところが後のDV証明書なりLet's Encryptでその前提が崩れ、GoogleはURLを隠し名前空間を支配する方向に突き進んだ
    1 reply 21 retweets 31 likes
    Show this thread
    Show this thread
  5. 52 minutes ago

    ハア?ねえよ。 「URLの仕組みを理解するためには、少なくともDNSの階層構造や名前空間について理解する必要があるのでは?」

    URLの仕組みを理解するためには、少なくともDNSの階層構造や名前空間について理解する必要があるのでは?DNSプロトコルについて理解する必要はないにしても。GoogleやAppleの動向としてURLを隠蔽する方向に向かっていることを、どう考えるかは悩ましいところですが …
    1 reply 17 retweets 27 likes
    Show this thread
    Show this thread
  6. 57 minutes ago

    whoisで調べる必要なんかないし、DNSの仕組みを知る必要もない。DNSの仕組みを知る必要性をなぜ言う? URLの仕組みが教育されるべきだと長年訴えてきたが、中学・高校の教科書出版社がついてきていない。

    よくドメイン名を確認せよといいますが、普通スマホにはwhoisとか入っていませんし利用者の多くはDNSとかURLの仕組みを知りませんよね。そもそもドメイン名自体が実在性なりを確認せずに発行されちゃいますし。OVなりEV証明書の組織名を確認するのはまだ現実的だと思ったんですが …
    1 reply 27 retweets 28 likes
    Show this thread
    Show this thread
  7. 1 hour ago

    「TLS証明書のOrganizationを見よ、といっても」という仮定がデタラメ。誰がそんなこと言ってるわけ?

    かれこれ四半世紀近くセキュリティーは啓発が大事って話になってるけど、これだけ利用者が増えてくると、啓発されなくても安全に使える仕組みをつくっていかなければダメだし、スマホになってからドメインを確認せよ、TLS証明書のOrganizationを見よ、といっても破綻しているよね
    1 reply 14 retweets 23 likes
    Show this thread
    Show this thread
  8. Retweeted
    1 hour ago

    10年以上前から言われ続けているのに、お偉い人が「鍵マークがあれば90%安全なサイトです」っていうなんの根拠もない嘘を平気で広めると、これまで積み上げてきた人たちの頑張りはすべて無駄になる。 それが炎上しても誤りを認めず、謎の安全説だけがどんどん広まっていくんですよね。

    脇の甘い発言ではあるけれど数年くらい知識が古いだけでフルボッコにされちゃうセキュリティー界隈は怖いね。現に被害が続いてるからシビアな訳だけど / “東大大学院 大澤昇平特任准教授が「信頼できるサイト」の見分け方を解説 → 間違いが多すぎて、エンジニアが逆に注意…”
    1 reply 29 retweets 25 likes
  9. Retweeted
    1 hour ago

    僕が5年半前に書いたブログで、SSL/TLSではフィッシングサイトは見分けられないよって記したんだけどなあ。そういった意味で、全然「最近の」動向ではないです。ハイ。

    Let’s EncryptのDV証明書によるphishingサイトのTLS化とかEVSSLのブラウザUI変更は最近の動向ですよね。一般利用者がドメイン名をどこまで意識すべきか、OVやEVのOrganizationにしても普通は確認しないだろうとか悩ましいところで。いっそブラウザにwhoisを組み込むとか? …
    1 reply 11 retweets 10 likes
    Show this thread
    Show this thread
  10. Retweeted
    23 Sep 2014
    Replying to

    自ら出鱈目リテラシー吹聴しておいて今ごろ何言ってるの?「トレンドマイクロは過去のブログ記事で…の冒頭にHTTPSが付いているか、あるいはSSL暗号化通信を示す鍵マークがあるか確認するよう呼びかけた。しかし、最近の…それだけでは不十分だ」

    1 reply 62 retweets 34 likes
  11. Retweeted
    31 Aug 2014
    Replying to

    対策方法が出鱈目。 「ブラウザに鍵マークが表示されるため必ずチェックしましょう。」などと、SSLの使用を確認せよとなっていて、ドメイン名やEVの会社名を確認するという肝心のことを書いてない。 ウイルス対策ソフト会社は昔からずっとこう。

    45 retweets 23 likes
  12. 2 hours ago

    ハア?そんな話じゃありませんが?

    Let’s EncryptのDV証明書によるphishingサイトのTLS化とかEVSSLのブラウザUI変更は最近の動向ですよね。一般利用者がドメイン名をどこまで意識すべきか、OVやEVのOrganizationにしても普通は確認しないだろうとか悩ましいところで。いっそブラウザにwhoisを組み込むとか? …
    1 reply 22 retweets 40 likes
    Show this thread
    Show this thread
  13. 2 hours ago

    ハア?15年前から言ってきたことだが?

    脇の甘い発言ではあるけれど数年くらい知識が古いだけでフルボッコにされちゃうセキュリティー界隈は怖いね。現に被害が続いてるからシビアな訳だけど / “東大大学院 大澤昇平特任准教授が「信頼できるサイト」の見分け方を解説 → 間違いが多すぎて、エンジニアが逆に注意…”
    1 reply 97 retweets 158 likes
    Show this thread
    Show this thread
  14. Retweeted
    4 hours ago

    トレンドマイクロに転職されてはどうか。馬が合いそう。 東京大学大学院 大澤昇平特任准教授が「信頼できるサイト」の見分け方を解説 → 間違いが多すぎて、エンジニアが逆に注意喚起する事態に・・・。 - Togetter

    1 reply 158 retweets 193 likes
  15. Retweeted
    5 hours ago

    東京大学大学院 大澤昇平特任准教授が「信頼できるサイト」の見分け方を解説 → 間違いが多すぎて、エンジニアが逆に注意喚起する事態に・・・。 - Togetter から やばいですね☆

    37 retweets 28 likes
  16. Retweeted
    5 hours ago

    【管理人マイハイより情報連携】 一部ニュースで、間違ったフィッシング詐欺対策が公開されています。正しい対策やフィッシング被害の実情等を下記にまとめましたので、ご一読願います。最近の手口は、セキュリティエンジニアの私から見ても厄介です。

    20 retweets 13 likes
  17. Retweeted
    8 hours ago
    Replying to

    有名人かはわかりませんが、書店であの表紙見てツボだっただけです。で、件のツイート見て「あ、あの表紙の人だ!」と。

    2 retweets 3 likes
  18. Retweeted
    8 hours ago
    Replying to

    有名人(意味深)さんなんですか?

    1 reply 1 retweet 2 likes
  19. Retweeted
    8 hours ago
    Replying to

    誰だろうって見てみたら、あの(AI救国論)表紙の方じゃないですか?

    1 reply 7 retweets 2 likes
  20. Retweeted
    8 hours ago

    うわぁ…。 技術的に不適切だった発言を指摘されて、全く関係ない話題にすり替えてきたぞ。芸人じゃなくてペテン師の才がおありようで。 最初、プライドチョモランマによる見苦しい言い訳と思ってたけどピュアハートだこれ。

    5 replies 77 retweets 98 likes
    Show this thread
    Show this thread
  21. Retweeted
    5 hours ago

    予め申し上げておきますが、目的は「誤った情報の速やかな訂正or削除」です。大澤准教授のご対応を期待します。

    16 retweets 12 likes
  22. Retweeted
    7 hours ago
    Replying to

    矛盾してますよ

    1 retweet 1 like
  23. Retweeted
    7 hours ago
    Replying to

    そうです

    2 retweets
  24. Retweeted
    9 hours ago

    『Voice』12月号は本日9日発売! 「著者に聞く」では、『AI救国論』(新潮新書)著者の大澤昇平氏()が登場。東大最年少准教授が、平成の日本の「敗因」を説く。 東大最年少准教授が語る、日本が「失われた30年」に陥った理由 | Web Voice さんから

    1 retweet 1 like
  25. Retweeted
    21 hours ago

    情報学環のこの最年少先生もトレンドマイクロもどちらもダメですな。

    まあ、最年少先生の言ってることは、トレンドマイクロ の言ってることと同じなんだけどねー。
    9 retweets 6 likes
  26. Retweeted
    9 hours ago

    すごいな。その違いを知っていても、安全なサイトかどうかは見分けられないということを自ら明らかにしておいて、自分はTLS(SSL)の説明したから、有益な情報共有をしたと言い切れるって……。まるで、本質を理解されておられない。まぁ、こんな言を採用する媒体も悪い。

    Replying to @MaihaiStyle
    いえ、無知なので情報の非対称性を埋めるために情報共有をしていると申しています。 http, https の違いを知ってる人と、知らない人で、どっちが http…
    37 retweets 37 likes
  27. Retweeted
    22 hours ago

    ふつうのひとは、東大の先生が「90% くらいは信用できる」と言ったら、「よっぽど運が悪くない限り大丈夫なのね」と認識すると思います。んで、現実にはまったく安全性の判断材料になりえないと指摘されて、「100% 安全とは断言してない」と言い訳するのは、ちょっと不誠実だと思います。

    36 retweets 46 likes
  28. Retweeted
    12 hours ago

    >信頼できるWebサイトの見分け方のポイントは「アドレスバーにカギのアイコンが付いているかどうか」 この誤った内容、改めフィッシングの専門家に出てもらって再警鐘したほうがいいのでは? 気象庁を装った偽メール問題 専門家が「信頼できるサイト」の見分け方を解説

    15 retweets 12 likes
  29. Retweeted
    23 hours ago
    Replying to

    例の特任准教授の(意味のない)「フィッシングサイトの中のhttpsの割合と、httpsの中のフィッシングサイトの割合は異なります」の発言を受けてのものなので,私が言及したのは(http,httpsそれぞれの)全ウェブサイトのなかのフィッシングサイトの割合です.

    1 reply 1 retweet
  30. Retweeted
    23 hours ago

    そんなこと言ったらhttpの中のフィッシングサイトの割合はどうなん?ウェブサイト全体の中でフィッシングサイトの割合はそんなに多くないからあたったら運が悪いとか言うわけ?

    1 reply 2 retweets 1 like
  31. Retweeted
    Nov 7

    この解説した専門家って誰かな?エンドユーザー向けの啓発活動もやってる身としては、誤った情報をばら撒かれるのはやめて欲しい。

    海原雄山「このゴミ記事を書いたのは誰だぁっ!!!!!!」 * 専門家が「信頼できるサイト」の見分け方を解説 …
    18 retweets 21 likes
  32. Retweeted
    18 hours ago

    「アドレスバーにカギのアイコンが付いているかどうか」 ↑今は詐欺サイトとそうじゃないサイトのhttps対応率は詐欺サイトの方が高くなるので、完全に誤った判断方法。フィッシング詐欺被害者を増やす事にしかならない。

    1 reply 17 retweets 7 likes
    Show this thread
    Show this thread
  33. Retweeted
    20 hours ago

    さらに言うとその下で「クレジットカード番号などが〜〜見られることはありません。」って言っているの、暗号化の説明としては間違いじゃ無いんだけど、SSL 使ってるフィッシングサイトに対しても出ちゃうの、ミスリーディングだろう。

    1 reply 4 retweets 1 like
    Show this thread
    Show this thread
  34. Retweeted
    20 hours ago

    実際「この接続は保護されています」っていう言い回し自体が良くないよねぇ。シンプルに「この接続は暗号化されています」にみたいになっていないのは何故だろう。セキュリティ界隈の用語的な問題??

    1 reply 3 retweets 2 likes
    Show this thread
    Show this thread
  35. Retweeted
    21 hours ago

    記事の方がまだ幾分ましで、番組内の発言だと「この接続は保護されています」(=SSL) であれば 90% 安全と言っており、EV SSL とか関係無い。 しかも 10% はハッキングされいるケースとも言っていて、フィッシングサイトの 10% は本物の証明書であるという誤った印象を与えている。

    . セキュリティエンジニアの者ですが、このような嘘を書くことは詐欺師への幇助になりかねず,修正願えませんか。 昨今の詐欺サイトはLet's Encryptでカギが付いているのが普通です。
    1 reply 17 retweets 9 likes
    Show this thread
    Show this thread
  36. Retweeted
    11 hours ago
    Replying to

    多くのセキュリティエンジニアが不備を指摘おり、私からも大澤氏に記事訂正・削除を要求していますが、「緊急性はない」との理由で先延ばしにしています。(フィッシング報告数・被害額が過去最悪ペースで増加する状況で「緊急性なし」と判断する理由が私には不明ですが...)

    今年度のフィッシング報告数は、毎月過去最悪を更新している状況であり、一般への対策周知は緊急の課題です。その中で、セキュリティエンジニアの多くが疑問を持つ今回記事への弁明を「再調査のために」延期ならまだしも、「緊急性はない」というのは理解できません。 …
    Show this thread
    16 retweets 15 likes
  37. Retweeted
    13 hours ago

    まあ想像通りな方でむしろ安心したが。そしてこれも予想通りで「この接続は保護されています」という表示が緑色で表示されることもどうやら勘違いしている様子。それはただ証明書に妥当性があること、Webサイトにセキュリティ上の問題(脆弱な暗号、mixed content等)がないことを示しているだけ。

    2 replies 37 retweets 46 likes
    Show this thread
    Show this thread
  38. Retweeted
    13 hours ago

    東大最年少准教授「httpsなサイトは90%安全www」 指摘『すでに多くのフィッシングサイトはhttps。不正確な注意喚起は被害を増やすだけだ』 東大最年少准教授「絶対安全とは言ってないのでセーフwwwオレは正しいwww」 専門家としても人としてもダメだこりゃ。

    . セキュリティエンジニアの者ですが、このような嘘を書くことは詐欺師への幇助になりかねず,修正願えませんか。 昨今の詐欺サイトはLet's Encryptでカギが付いているのが普通です。
    3 replies 192 retweets 158 likes
    Show this thread
    Show this thread
  39. Retweeted
    11 hours ago

    ご認識の通り、現在フィッシングサイトの半数以上はSSL/TLS対応を行っております。 p.11 「% of Phishing Attacks Hosted on HTTPS」

    無料&自動で「正当な認証局から」認証されるのが当たり前の現代においては現在の詐欺サイトでhttps対応してないところなんか無いんだから、安全である確率が高いという事実は存在し得ないんでないかな。 詐欺サイト管理者がLet's encryptを導入しないケースはほぼ無く、逆は…
    16 retweets 9 likes
  40. Retweeted
    13 hours ago
    Replying to

    9月の銀行系フィッシング詐欺は過去2番目に最悪、被害額は4億円を超えています。10月11月はさらに超える見込みです。 これは警察庁把握のものだけなので、実被害額はもっと大きい。 今この瞬間にも、フィッシング詐欺に騙されて何十万円、何百万円と抜かれている人がいます。

    20 retweets 14 likes