Hiromitsu Takagi

@HiromitsuTakagi

自宅研究員 blog@takagi-hiromitsu.jp

東京都
takagi-hiromitsu.jp
Joined December 2008
1,956 Photos and videos Photos and videos

You may also like

·

Tweets

You blocked

Are you sure you want to view these Tweets? Viewing Tweets won't unblock

  1. 2 hours ago

    5年前

    Replying to @HiromitsuTakagi
    自ら出鱈目リテラシー吹聴しておいて今ごろ何言ってるの?「トレンドマイクロは過去のブログ記事で…の冒頭にHTTPSが付いているか、あるいはSSL暗号化通信を示す鍵マークがあるか確認するよう呼びかけた。しかし、最近の…それだけで…
    11 retweets 14 likes
    Show this thread
    Show this thread
  2. 2 hours ago

    セコムですら広報レベルだとこれだからな。一度広まった出鱈目は(致命的になるまで)延々再生産される。

    【女性の防犯】セコム広報です。便利で楽しいネットショッピングですが、ID・パスワードを盗み取る「フィッシング詐欺」には要注意!入力するときは、アドレスバーが「https://」であることや鍵のマークがあることなどを…
    1 reply 55 retweets 67 likes
    Show this thread
    Show this thread
  3. Retweeted
    12 Oct 2016

    【女性の防犯】セコム広報です。便利で楽しいネットショッピングですが、ID・パスワードを盗み取る「フィッシング詐欺」には要注意!入力するときは、アドレスバーが「https://」であることや鍵のマークがあることなどを確認しましょう。

    1 reply 29 retweets 58 likes
  4. Retweeted
    26 Jan 2015

    今日のスッキリでやっていた、フィッシング対策で、鍵マークの有無を確認するというのがありましたが、鍵マークは対象サイトが暗号化されていることを保証するだけであって、フィッシングサイトでないことは保証されないので不十分な対策ではないでしょうか。

    5 retweets 7 likes
  5. Retweeted
    26 Jan 2015

    スッキリがフィッシング詐欺の見分け方で、 ブラウザのURLの横に鍵マークがあれば安全って説明してた。 それでいーのかなー?と思ってたら、 はるな愛が「今後、いたちごっこで詐欺サイトも鍵マーク付かないの?」で聞いてて感心した。

    140 retweets 75 likes
  6. 2 hours ago

    「商取引の履歴で…」は 、ドメイン取得でもサーバ確保でも同じように生じるので、そこが越えられてきている以上、関係ないですね。

    巷で話題のhttps問題について。元々SSL/TSL自体に実在性証明の機能はないが、証明書(非EV)取得に伴う商取引の履歴で身元を追跡できる点が一定の安全性担保になると理解されてたところ、無料証明書の普及でその担保に意味がなくなった、との理解でいいんでしょうか。
    1 reply 4 retweets 10 likes
  7. Retweeted
    Nov 7

    リツイート禁止はアリ・ナシ? Twitterの根幹を揺るがす事態に!? で無料配信中

    3 retweets 4 likes
  8. Retweeted
    Nov 9

    公開しました 控訴審 第一回公判

    54 retweets 70 likes
  9. Retweeted
    11 hours ago

    サーバーをアップグレードしました。 なんと12コア24スレッドです。1VMに複数コアを割り当てられるので、かなり動作が軽くなりました。 CPUとマザーボードは、 からご提供いただいたものです。ありがとうございます。 「こうしす!」「こうしす!EE」の制作のために活用いたします!

    1 reply 4 retweets 27 likes
    Show this thread
    Show this thread
  10. Retweeted
    10 hours ago

    ちなみに「世界中のサイトの HTTPS 化に少しでも貢献ができて嬉しいです」って返しました。

    Let's Encrypt のスポンサーをやっていると「フィッシングサイトによく使われているサービスのスポンサーをやってることについてどう考えてますか?」って聞かれることがある。
    1 reply 55 retweets 154 likes
  11. Retweeted
    Nov 9

    Let's Encrypt のスポンサーをやっていると「フィッシングサイトによく使われているサービスのスポンサーをやってることについてどう考えてますか?」って聞かれることがある。

    140 retweets 264 likes
  12. Retweeted
    12 hours ago

    長い闘いだった。Mac mini をトラブルからやっと救えた。この数日、思いつく事を全部やっても救えなかった。ウイルスバスターが原因だと分かった。で、トレンドマイクロのサポートを尋ねた。答えがアホだった。Appleサポートに尋ねた。トレンドマイクロよりもウイルスバスターを熟知!無事に解決した。

    27 retweets 47 likes
  13. Retweeted
    Nov 8

    SSL/TLS証明書の使い方としては、ちょっと疑問を感じるサイトの例。(自治体の公共施設を名乗っているのに、証明書の名義が私企業名…)

    28 retweets 32 likes
  14. Retweeted
    Nov 7

    Tカード、個人情報連提携をオプトアウトして使おうと思ったんだけどこのふざけたUIを見て激萎え

    2 replies 759 retweets 756 likes
  15. Retweeted
    Sep 9

    トレンドマイクロのCVE-2019-9489のアドバイザリのページがいろいろ酷くてHTTPSなのに鍵マークも出ない

    63 retweets 82 likes
  16. Retweeted
    11 hours ago
    Replying to

    それはそうです(なので「一部」と逃げを……)。ただ、こういうのの積み重ねが、ユーザにそこを見て確認しろと啓蒙できないことになり、URL欄での組織名表示に効果が無いという調査結果に繋がったと考える次第です。

    1 reply 2 retweets 9 likes
  17. Retweeted
    Nov 9
    Replying to

    付け加えなら、それを運用でカバーしていく道を閉ざしたのは、システム運用者だから問題ないとしたNTT DATAらであるとは思いますが、やはりそもそもサービス提供主体以外の組織名で証明書を発行すべきではありませんでした。

    1 reply 18 retweets 21 likes
  18. Retweeted
    Nov 9
    Replying to

    これに関しては「インターネット上の身元確認手段として設計されたはずのEV証明書において、サービス提供主体とシステム運用者を区別せず”発行されてしまう”」というWebTrust自体の考慮不足が根本原因なので、NTT DATAに発行されてしまった時点で”負け”なんだと思います。

    1 reply 27 retweets 38 likes
  19. Retweeted
    Nov 9

    まあ、EVじゃないけど類似ドメインを取得してその類似ドメインで自社名でサーバ証明書取ってしまうような認識だったわけで、どうしようもなかったなという諦念しかないです。

    23 retweets 25 likes
    Show this thread
    Show this thread
  20. Retweeted
    Nov 9

    補足しておくと、複数のサービス提供主体が同一ドメインで同居するマルチテナントサービスに対して「EV証明書」を発行してはいけない、という話。サービスの提供主体(例えば銀行名)の名前が常にアドレスバーに表示され、それ以外のサイトでは絶対にそうならない、これが実現されないといけなかった。

    1 reply 43 retweets 60 likes
    Show this thread
    Show this thread
  21. Retweeted
    Nov 9

    EV証明書を「ゴミ」にした原因の一つはNTT DATAを始めとする誤ったサーバ証明書の運用だよなあ。「一度きりのチャンス」だったのに、こういうのを許してしまったことも含めてなにもかも詰めが甘かった。

    Replying to @Ivarn @Mattun_ and 2 others
    そして、現在においても例として青森銀行など NTT DATA に委託している地銀サイトではログイン時のドメインが銀行サイトと異なり、EV 証明書も NTT DATA 名義になっています。
    3 replies 264 retweets 389 likes
    Show this thread
    Show this thread
  22. Retweeted
    Nov 9

    気象庁を騙って送られたとされる から誘導されるマルウェアについて調査しました。 と考えています。 ■件名 案内・申請 ■送信元アドレス 気象庁(を詐称) 2019/11/06(水) 気象庁を騙る不審メールの調査

    1 reply 34 retweets 44 likes
  23. Retweeted
    16 hours ago

    東大最年少の准教授の本、読みました。とても良い刺激をもらえた。 学歴ロンダリングについても言及されていたが、東大教員も含め、否定的ではないとのこと。 やはり実力を付けられるか否かが大学院の目的。 よし、また一歩一歩頑張るぞ。

    1 reply 5 retweets 7 likes
  24. Retweeted
    8 hours ago

    例の最年少准教授のイキりWikipedia自分記事に笑ってるwww

    8 retweets 7 likes
  25. Retweeted
    9 hours ago

    東大最年少准教授って言ってる特任准教授がめっちゃ自分でWikipedia編集してるの面白いな

    16 retweets 17 likes
  26. Retweeted
    9 hours ago

    東大最年少准教授様はもうどうでもいいから、は例の「気象庁を装った偽メール問題 専門家が「信頼できるサイト」の見分け方を解説」って記事を削除してくれないかなぁ。あの表記はよろしくないよ。安全の指標にならないものをなるというコメントが含まれてるのは問題だと思うぜ

    1 reply 11 retweets 17 likes
    Show this thread
    Show this thread
  27. Retweeted
    10 hours ago

    「東大最年少准教授様が実名で言う事であれば、内容によらず90%(笑)正しい」も同じくらい危険かも?

    たとえ話は危ないので 単なるギャグとして。 ネット詐欺対処で「httpsで鍵が付いていれば安心」とお墨付きするのは 「背広着てネクタイしてるセールスマンなら詐欺師じゃない」ぐらい危…
    3 retweets 6 likes
  28. Retweeted
    10 hours ago

    最年少先生様、荒れているなあ。その理由、個人的には少なからず伝達能力不足が原因だと思うんだけれど。 それで至った結論が「義務教育の敗北」≒「お前らのような馬鹿とは話なんてできない」なら、情報発信はやめて研究に没頭された方がいいね。 …先日の自分の発言を自画自賛したくなってきた。

    14 retweets 23 likes
  29. Retweeted
    12 hours ago

    大澤[経済産業省認定未踏天才プログラマー/スーパークリエータ東大最年少特任准教授]様の逃げ口上がダサすぎて少し悲しくなってしまった。 当人のやったことはセキュリティ界隈の人達への"クソ"行為だし、指摘されて意固地に相手の非を唱えるなら、自分はそこに"悪意しか感じない"。

    5 retweets 12 likes
  30. Retweeted
    Nov 8

    昨日の件、例えば大澤氏がHTTPSとサイトの内容の信頼性について正しく認識していたとして、伝える内容があれでは「啓蒙のための方便」としても機能していない。 まさか准教授職にある人が、「他者に何らかの情報を伝達する際、その内容は自分だけが正しく認識できていればよい」と考えてはいないよね?

    10 retweets 13 likes
  31. Retweeted
    10 hours ago

    面白いことを言ってるね。SSLは暗号化の仕様であって、サイトが正当なものかを示す認証にはならないよ。 東京大学大学院 特任准教授が「信頼できるサイト」の見分け方を解説 → 間違いが多すぎて、エンジニアが逆に注意喚起する事態に・・・。

    11 retweets 21 likes
  32. Retweeted
    9 hours ago

    …なんだこりゃ。例えば僕が正当な認証局から発行された証明書を使ったサイトを持っているとして、それが、僕のサイトが悪意を持ったものでないことをどう担保しうるのだろうか。「確率が高いといっているだけで絶対安全とは断言していない」なのではなく、そもそも全然関係ない話じゃない?

    Replying to @ozuma5119
    番組では、正当な認証局から信頼されているウェブサイトは、そうでないサイトよりも安全である確率が高い、と発言しています。絶対安全とは断言していません。
    23 retweets 36 likes
  33. Retweeted
    12 hours ago

    いや、そこじゃないってwwww マジでwwww なんでそうなる。。。 もう、准教授を辞めたら。。。 セキュリティ素人でもわかるわwww

    だから、フィッシングサイトの内の HTTPS の割合と、HTTPS の内のフィッシングサイトの割合は違うんだっつーの。
    8 retweets 8 likes
  34. Retweeted
    10 hours ago

    残り10%もハッキングされた(証明書を奪われた)場合と言っているので、この准教授の認識は「証明書を正規に持っているサイトは100%信頼できる。なぜなら信頼された認証局が発行したからだ」とド素人並の根本的勘違い / “東大大学院 大澤昇平特任准教授が「信頼できるサイト…”

    2 replies 20 retweets 55 likes
  35. Retweeted
    10 hours ago

    一般の番組でしゃべってる以上「これを聞いて一般の人がどう感じるか」という観点が重要であり、これは数学的正当性の話ではなく国語の問題に見える。そういう意味では「義務教育の敗北」という本人の意見は間違ってない。ブーメランだけど。

    Replying to @ozuma5119
    番組では、正当な認証局から信頼されているウェブサイトは、そうでないサイトよりも安全である確率が高い、と発言しています。絶対安全とは断言していません。
    10 retweets 16 likes
  36. Retweeted
    10 hours ago

    面白いおもちゃを見つけ・・・ 東大の准教授でさえ、専門分野で頓珍漢な見解を出してしまうほど難しいのが情報セキュリティなので、私も日々勉強に励もうと再認識した次第です

    7 retweets 18 likes
  37. Retweeted
    10 hours ago

    耐久性のなさそうなおもちゃ

    6 retweets 2 likes
  38. Retweeted
    10 hours ago

    大澤先生、圧倒的にツイッタランド経験値が足りんw

    4 retweets 4 likes
  39. Retweeted
    9 hours ago

    樋渡さんの後継者が育ったの?と思ったら、もっとすごいクオリティらしい笑 やばいよジャパン

    6 retweets 5 likes
  40. Retweeted
    Nov 9

    大体この「90%」って数字さ、これお気持ちの数字だろ?全HTTPS接続のサイトを調べてその9割が安全だった、とかじゃねーよな。 一応理系の学者さんなんだからさ、適当な数字で語っちゃいかんよ・・・

    7 retweets 11 likes