固定されたツイート上原 哲太郎/Tetsu. Uehara@tetsutalow·2019年12月22日脱PPAP論。なお脱PHS論のためのあれやこれやも準備中。 / “第595号コラム:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 | コラム | デジタル・フォレンジック研究会”第595号コラム:「私たちはなぜパスワード付きzipファイルをメール添付するのか」第595号コラム:上原 哲太郎 副会長(立命館大学 情報理工学部 教授)皆さんの組織でも、重要な情報を含むファ…digitalforensic.jp4164215このスレッドを表示
上原 哲太郎/Tetsu. Uehara@tetsutalow·5時間踏み込んだ意見なのは承知でコメントした。記事では端末になってるが私が言っていたのではonionサーバ。犯罪行為が明確であれば、令状主義の元でテイクダウンすることを真剣に検討する時期ではと。 / “ダークウェブに捜査のメス 海外との連携に課題: 日本経済新聞”ダークウェブに捜査のメス 海外との連携に課題: 日本経済新聞匿名性の高い闇サイト群「ダークウェブ」に捜査のメスが入り始めた。京都府警は長期にわたる集中的な捜査を進め、暗号資産(仮想通貨)口座やクレジットカード情報の違法取引の摘発にこぎ着けた。r.nikkei.com1027
上原 哲太郎/Tetsu. Uehara@tetsutalow·6時間“ドコモはこの点で非常にまずかったと言える。サービスの利用範囲を広げたことによるリスクの変化をきちんと銀行側に伝えていたのかどうかという点は、問われるべきです。”ここに尽きると思うんだよなぁ。 / “「銀行はみんなで赤信号渡った」 ドコモ口座の落とし穴:朝日新…”「銀行はみんなで赤信号渡った」 ドコモ口座の落とし穴:朝日新聞デジタル NTTドコモの「ドコモ口座」などのキャッシュレス決済サービスを通じて銀行預金が不正に引き出された問題では、銀行のセキュリティーの甘さも露呈しました。金融分野の情報セキュリティー技術に詳しい岩下直行・…asahi.com2950
上原 哲太郎/Tetsu. Uehara@tetsutalow·6時間認証要素は記憶・所有・生体の3種あるが、多要素認証では種別が違うものを使うのが原則。第2パスワードだと記憶だけだからね。本件は2パスワードが同一でも許していた時期に登録した古いユーザが被害にあったようだ。 / “客の使い回しパスワード悪用か SBI証券の1億円流出…”客の使い回しパスワード悪用か SBI証券の1億円流出:朝日新聞デジタル ネット証券最大手のSBI証券の顧客6人の口座から約9800万円が不正に引き出された問題で、同社は他の大手証券と異なり、口座にログインするIDを顧客が自由に決められるようにしていたため、狙われた可能性…asahi.com5481
上原 哲太郎/Tetsu. Uehara@tetsutalow·17時間まぁssh公開鍵送ってって頼んだのに秘密鍵が届いちゃうの、ままある。引用ツイート山本一成Yamamoto Issei@issei_y · 9月23日「公開鍵というのを送りますが、念のため重要そうな秘密鍵も送ります」このスレッドを表示35494
上原 哲太郎/Tetsu. Ueharaさんがリツイート山本一成Yamamoto Issei@issei_y·9月23日「公開鍵というのを送りますが、念のため重要そうな秘密鍵も送ります」71,7334,642このスレッドを表示
上原 哲太郎/Tetsu. UeharaさんがリツイートRiST@立命館大学セキュリティ団体@realRiST·19時間情報理工学部 1 回生各コースガイダンスにて団体紹介させていただきました! ご清聴ありがとうございました! 質問や入部希望などの連絡は本アカウントのDMにお願いします!!29
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月21日iOS14ではEphemeral MAC Addresssの実装が進んで、これまでスキャン時だけだったのが接続時にもランダムになるのか。Windows10もオプション実装済みだしAndroidでも進んでる。もうMACアドレスに頼った制御は考え直さないと。 / “iOS 14/iPadOS 14ではWi-Fiごとにランダム化…”iOS 14/iPadOS 14ではWi-Fiごとにランダム化されたMACアドレスを割り当てる「プライベート Wi-Fiアドレス」が導入され、ネットワークによってはインターネットにアクセスできな...Appleは日本時間2020年09月16日、iPhoneやiPad向けに「iOS 14/iPadOS 14」をリリースしましたが、このiOS 14/iPadOS 14、watchOS 7ではランダム化されたMACアドレスをネットワークごとに割り当てる「プライベート Wi-Fiアドレス」機能が導入されています。applech2.com4277343
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月19日国勢調査のネット回答終了。iPadで答えたけど、とても答えやすかった。国の情報システムとしてはかなり良い出来じゃないかなと。 国勢調査って回収率が段々落ちてるのが問題なのだけど、うちの学生さん達はちゃんと答えてあげて欲しい。草津市の法定人口に関わってくる。基礎データ重要。22893
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月19日バージョン2004の時も記憶域スペースの不具合で七転八倒してしまったので、ホンマ怖くてバグ落ち着くまで上げられないやないか…7このスレッドを表示
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月19日“既知の不具合として「Windows Subsystem for Linux」(WSL)が起動できない問題が確認されている。” それが一番困るんですが / “「Windows 10 バージョン 20H2」のリリース準備が完了 ~名前は“October 2020 Update” - 窓の杜”「Windows 10 バージョン 20H2」のリリース準備が完了 ~名前は“October 2020 Update”/“Windows Insider Program”の“Release... 米Microsoftは9月18日(現地時間、以下同)、「Windows 10 バージョン 20H2」のリリース準備が整ったことを発表した。8日から“Windows Insider Program”の“Beta”チャネルでテストされていたBuild 19042.508(KB4571756)が、最終ビルドとして“Release Preview”チャネルでリリースされている。forest.watch.impress.co.jp13357このスレッドを表示
上原 哲太郎/Tetsu. Ueharaさんがリツイートぷらいずあうと@praco0080·9月17日高校のとき授業中それやったことある。 4つボタンは先生の雑談の間に開けられて、3桁のダイヤルは一時間(=50分)あればなんとかなって、4桁ダイヤルは1日かける前に飽きた。引用ツイート上原 哲太郎/Tetsu. Uehara@tetsutalow · 9月17日ねとらぼさんが記事にして下さいました https://nlab.itmedia.co.jp/nl/articles/2009/17/news124.html… どうせなら実際の鍵を買って本当に210通りか数えてみるとか、実際解けるまで時間計るとかやって欲しかったけど高望みしすぎかな(笑)このスレッドを表示69
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月17日https://colab.research.google.com/drive/1CK6xmTpTbmWIhYWu_MrYpB-Xi_kPbpzb?hl=ja… 210通りを見てみたい人がいるかもしれないので列挙だけはしてみた。12240このスレッドを表示
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月17日ねとらぼさんが記事にして下さいました https://nlab.itmedia.co.jp/nl/articles/2009/17/news124.html… どうせなら実際の鍵を買って本当に210通りか数えてみるとか、実際解けるまで時間計るとかやって欲しかったけど高望みしすぎかな(笑)銀行の4桁暗証番号だけではない 自転車の「10桁押しボタン式鍵」実は“210通り”しかなく脆弱使い込んで数字がかすれたりしていると実質「1通り」になっているかも……。nlab.itmedia.co.jp13041このスレッドを表示
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月16日まぁそうですね(笑) 要するに言いたかったのは順列ではなく組み合わせだと場合の数がとても少なくなるけど、直感に反するので錯誤を招いて危険ということです。押しボタンのドア鍵も電子式だと順列ですが機械式は組み合わせの場合が多いので、ボタンの数の割に組み合わせは少ないです。引用ツイートrimka@rimka_com · 9月15日返信先: @tetsutalowさん汚れの付き方などから使った4個が簡単に判明してしまうので、順不同な場合は実質1通り1213
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月15日久々にでかい脆弱性。LAN内から簡単に権限昇格される。早くパッチしたほうがいいですね。 / “「Windows Server」の脆弱性「Zerologon」--その深刻性が明らかに - ZDNet Japan”「Windows Server」の脆弱性「Zerologon」--その深刻性が明らかにマイクロソフトは8月、今までに同社に報告されたもののなかで最も深刻度の高い部類に入る「Windows Server」の脆弱性に対処した。このほど、その詳細が明らかになった。japan.zdnet.com1234260
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月15日工事現場とかでみかけるこの種の鍵も順番無関係 https://nagasawa-mfg.co.jp/products/keylex/500/… ボタン12個でカタログには4096通りと書いてあるけど、桁数任意なので、0桁(何も押さない)から12桁(全部押す)まで全ての桁の組み合わせを足したものが4096通り。4桁とわかってれば495通り、5桁なら792通り、6桁なら924通り。長沢製作所キーレックス、レバーハンドル、古代・古代NEOなど、建築金物の製造販売を行う長沢製作所nagasawa-mfg.co.jp2109112このスレッドを表示
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月15日結局、銀行側の脆弱性が残ってる限り、色々やられる。でもやっぱり多くは資金移動業者側が被害補償するんですかね… / “「ドコモ口座」以外5社の決済サービスでも不正利用、高市総務相が明らかに - ケータイ Watch”「ドコモ口座」以外5社の決済サービスでも不正利用、高市総務相が明らかに 高市早苗総務大臣は、15日の会見で、「ドコモ口座」で発生した不正利用についての受け止めを問われた質問に返すなかで、「先週金曜に実施したゆうちょ銀行からのヒアリングの中で、すでに6社で被害が生じているということです」と述べ、ドコモ口座以外の決済サービスでも不正な預金引き出しが発生していることを明らかにした。k-tai.watch.impress.co.jp1723
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月15日やっぱり…PayPayは出金可能にするときにKYCしてたと思うが、支払いだけならKYCはSMSだけ。SMSは音声なし回線なら本人確認は緩くなるから、そこを狙われたかなぁ…? / “ゆうちょ銀行口座から「PayPay」通じて不正な引き出し | NHKニュース”ゆうちょ銀行口座 「PayPay」「Kyash」でも不正な引き出し | NHKニュース【NHK】ゆうちょ銀行が提携する電子決済サービスで不正な引き出しがあった問題で、スマホ決済サービスの「PayPay」と「Kyash…nhk.or.jp1130114
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月15日4桁暗証番号が話題になってるので思い出したけど、こういう押しボタン10個の数字から4桁を選んで押すタイプの鍵って、ものすごく弱いのはもう少し知られても良いと思う。算数弱い人は1万通りとある思ってしまいそうだが、実際はたった210通りしかない。3桁のダイヤル錠(1000通り)よりずっと弱い。211,7471,763このスレッドを表示
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月15日今年は始まって100年目の国勢調査、大規模調査の年 京都府はこのところ京都ゆかりのアニメとコラボして広報していて、2015年は「いなり、こんこん、恋いろは」だった 今年は「響け! ユーフォニアム」 素晴らしい! …けど、特設サイトなんでドメイン名が.comなん?開始100年の国勢調査/京都府ホームページ京都府にお住まいのすべての人と世帯が対象ですので、皆さまのご協力をお願いします!kyoto-kokusei2020.com913
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月14日ITプロパーをちゃんと役所において欲しい。今は付け焼き刃で戦う役人か出向とか5年任期雇用とかで使い捨てまくられてる民間人材がなんとか支えてるが限界。あと、政府調達の仕組みも何とかして欲しい。橋や船を作る感覚で情報システムは作れない。これで電子政府だ電子自治体だなんて無理ゲー。6370469このスレッドを表示
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月14日"役所は技官などプロパーで分かる人を育てないといけない。小泉政権の行政改革で、機構・定員をびしっと縛ってしまったので、こうした人材を増やすには別の人間を減らさないといけない。椅子取りゲームになってしまった。土木には昔から技官がいても、ITにはいないわけです。" これホント困るんだよな1205248このスレッドを表示
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月14日"政府に呼ばれるIT系の有識者が法律を知らないからです"自戒/とはいえ、技術屋が残存リスク受容を提案しても事務局が怖がって受け入れてくれない場面は何度か見た気がする。リスクの大小を上手く伝えるのは難しい。 / “楠正憲氏「システムのオープン化とバブル崩壊の重複…”楠正憲氏「システムのオープン化とバブル崩壊の重複が日本の不幸」デジタル化の遅れが指摘される日本の企業や行政。20年近く取り組んできた課題のはずが、なぜ思うように進んでいないのか。Japan Digital Designの楠正憲CTOは、「IT担当より強い現場」や「バブル崩壊以降の採用抑制やコスト削減」が背景にあると指摘する。business.nikkei.com1148219このスレッドを表示
上原 哲太郎/Tetsu. Ueharaさんがリツイートはぐりん@hagurinhagurin·9月13日「パスワード付ZIPファイルは無意味だから止めてほしい」1101.2万3.7万このスレッドを表示
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月14日証明用写真撮影ボックスにて。 マイナンバーは撮影したり申請したりするもんじゃないんだがなぁ… マイナンバーとマイナンバーカードは違うというのはいつになれば伝わるのか…722
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月13日今やるべき自衛策は「口座番号と暗証番号だけで金が引き出せてしまうような銀行からは預金を引き上げる」じゃないか。4桁暗証番号の定期変更なんてナンセンス。→お!なおった! / “ドコモ口座で何が起きたのか? |サクサク経済Q&A| NHK NEWS WEB”ドコモ口座で何が起きたのか? |サクサク経済Q&A| NHK NEWS WEBいったい何が起きているの?被害にあわないようにするためにはどうすればよいの?nhk.or.jp2108122
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月13日東大寺学園中・高等学校で情報の担当教員公募。高校では貴重な情報科専任の常勤教員公募です。 「情報の授業と校務の情報化を担当していただける方」とのことで悩ましいですが、最初から明記してあるのは採用後なし崩しに頼まれるよりずっと良心的。学校法人 東大寺学園 採用情報学校法人 東大寺学園tdj.ac.jp2926
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月13日さらに最近で言えば、dWifi。IDはdアカウントだがパスワードはdWiFi専用のものを使わせる仕様。さすがにdアカウントのパスワードを直接使わせてないが、錯誤を招く。フィッシングのネタに使いやすそうだし、Evil Twin作られると色々つらい。やるならIDもdWiFi独自のものを発行するべきだったのでは。1823このスレッドを表示
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月13日そういやドコモ自身も認証要素に対する理解が大丈夫なのか心配になる話がある。ネットワーク暗証番号(4桁)は元々回線認証とセットでのみ使うべき所、最近カジュアルに色んなところで回線と切り離して使ってしまってる。dアカウントとパスワードとネットワーク暗証番号で認証とかね…記憶x2は弱いよ…15052このスレッドを表示
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月13日”口座から不正に出金できてしまう理由は、ドコモ口座ではなく、一部金融機関の口座振替登録の脆弱性にある” これが銀行の経営陣にどれだけ理解されてるか。ドコモけしからんSIerもヘマしたな、になってないか。 / “ドコモ口座 信頼回復へ向け業界が取り組むべきこと(楠正憲…”ドコモ口座 信頼回復へ向け業界が取り組むべきこと(楠正憲) - Yahoo!ニュースドコモ口座が悪用された要因は本人確認の不備とWeb口振登録の脆弱性。これらを改善した上で安全かつ使い勝手の良いeKYC環境を構築し、被害者の訴えに対し真摯に向かい合える体制を構築する必要があるnews.yahoo.co.jp3243268
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月13日何のための金融ISACなのか。 / “ドコモ、提携銀に通知徹底せず 過去被害対応に不信の声 預金不正流出(時事通信) - Yahoo!ニュース”ドコモ、提携銀に通知徹底せず 過去被害対応に不信の声 預金不正流出(時事通信) - Yahoo!ニュース NTTドコモの電子決済サービス「ドコモ口座」を使って預金が不正に引き出された問題で、ドコモ側が今回と同様の手口による被害が昨年発生していたことを把握しながら、提携する銀行への通知を徹底していなかっnews.yahoo.co.jp33767
上原 哲太郎/Tetsu. Uehara@tetsutalow·9月13日ドコモは何故こういう所に目配りが出来る人をちゃんと配置できないのか不思議でならない。いい人いっぱいいるのにね。銀行、特に地銀は元々IT人材がいなさすぎるよね。今や業務の根幹と言っていいと思うのに。 / “「ドコモ口座」不正被害に見たもたれ合いの唖然 | 通信 | …”「ドコモ口座」不正被害に見たもたれ合いの唖然 | 通信登録をしたこともない電子決済サービスに、いつの間にか自分の銀行預金で万単位の金額がチャージされていた――。9月初め、NTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正な引き出しが明らかになっ…toyokeizai.net3129178