| Next»
無線LANでの盗聴問題
2008/10/27 12:00
神戸大学院の森井教授らの研究グループは10月9日、無線LANの暗号方式「WEP」を数秒で解く方法を考案したという。
三種類の数式を利用して、WEP暗号を解く「鍵」を効率よく推測する方法で、WEPでの通信内容を10MB以上傍受すれば、鍵を推測できるらしい。時間でいえば10秒以内だ。研究用のパソコンで実験して確かめたということだ。
解読ソフトを入れたノートパソコンを持っていれば誰にも気づかれることなく盗聴できる可能性がある。この方式を使っている人は注意した方が良い。電子メールの内容から暗証番号などを盗まれて悪用される恐れがあるのだから、のんびりしている場合じゃないですよ。
参考:
現在販売されている無線LAN機器で採用されている暗号方式は4種類。暗号キーを入力する手順はどれもほぼ同じだが暗号強度には差がある。暗号強度を高い順に並べると「WPA-AES」「WPA-TKIP」「WEP-128ビット」「WEP-64ビット」になる。
WEPは無線LANで最も一般的な暗号方式。アクセス・ポイントとパソコン側に「WEPキー」と呼ばれる共通の暗号キーを入力し、これを基に作った暗号鍵で通信データを暗号化する。WEPには暗号キーの長さによって64ビット(英数字で5文字、16進数で10桁を入力)と128ビット(英数字で13文字、16進数で26桁を入力)がある。暗号キーは長い方が生成後の暗号鍵の複雑性が高まり、暗号強度は64ビットより128ビットの方が高くなる。
WEPは暗号データが解読される危険性が指摘されていて、改良して作られたのがWPA。WPAにはTKIPとAESがあり、WPA-TKIPはWEPに比べて暗号鍵の生成方法が複雑で暗号強度が高い。ただし、暗号アルゴリズムにRC4を使っているのはWEPと同じ。
WPA-AESは、暗号鍵の生成方法にTKIPと同じ方法を使ったうえで、暗号アルゴリズムをRC4からAESという新しい方式を採用。新方式のAESはまだ解読方法が判明していない分、AESの方が暗号強度が高いと言える。
三種類の数式を利用して、WEP暗号を解く「鍵」を効率よく推測する方法で、WEPでの通信内容を10MB以上傍受すれば、鍵を推測できるらしい。時間でいえば10秒以内だ。研究用のパソコンで実験して確かめたということだ。
解読ソフトを入れたノートパソコンを持っていれば誰にも気づかれることなく盗聴できる可能性がある。この方式を使っている人は注意した方が良い。電子メールの内容から暗証番号などを盗まれて悪用される恐れがあるのだから、のんびりしている場合じゃないですよ。
参考:
現在販売されている無線LAN機器で採用されている暗号方式は4種類。暗号キーを入力する手順はどれもほぼ同じだが暗号強度には差がある。暗号強度を高い順に並べると「WPA-AES」「WPA-TKIP」「WEP-128ビット」「WEP-64ビット」になる。
WEPは無線LANで最も一般的な暗号方式。アクセス・ポイントとパソコン側に「WEPキー」と呼ばれる共通の暗号キーを入力し、これを基に作った暗号鍵で通信データを暗号化する。WEPには暗号キーの長さによって64ビット(英数字で5文字、16進数で10桁を入力)と128ビット(英数字で13文字、16進数で26桁を入力)がある。暗号キーは長い方が生成後の暗号鍵の複雑性が高まり、暗号強度は64ビットより128ビットの方が高くなる。
WEPは暗号データが解読される危険性が指摘されていて、改良して作られたのがWPA。WPAにはTKIPとAESがあり、WPA-TKIPはWEPに比べて暗号鍵の生成方法が複雑で暗号強度が高い。ただし、暗号アルゴリズムにRC4を使っているのはWEPと同じ。
WPA-AESは、暗号鍵の生成方法にTKIPと同じ方法を使ったうえで、暗号アルゴリズムをRC4からAESという新しい方式を採用。新方式のAESはまだ解読方法が判明していない分、AESの方が暗号強度が高いと言える。
タカタの日進月歩ブログ
悪徳商法の手口
2008/03/21 12:00
ひとつの手口がダメになると、新しい手口が生み出されるのが悪の世界です。
なんといっても相手も騙しのプロですから、騙される危険性は誰にだってあります。
すくなくとも最新の手口と対策は知っておくことをおすすめします。
★内閣府「見守り新鮮情報」
月に一回、パソコンや携帯電話のメールお知らせあり。
PC → http://www.consumer.go.jp/shinsen/mima.htm
携帯 → http://filsp.jp/mimamori/m/m_top.html
なんといっても相手も騙しのプロですから、騙される危険性は誰にだってあります。
すくなくとも最新の手口と対策は知っておくことをおすすめします。
★内閣府「見守り新鮮情報」
月に一回、パソコンや携帯電話のメールお知らせあり。
PC → http://www.consumer.go.jp/shinsen/mima.htm
携帯 → http://filsp.jp/mimamori/m/m_top.html
タカタの日進月歩ブログ
ツークリック詐欺
2007/12/06 12:00
ワンクリックではなく、ツークリックだと!
なんだか、どんどんネット詐欺も広がっています。注意してください。
ワンクリックではなく、複数回クリックさせて、なんとなく利用に同意させておき、
さらに個人情報を入手したかのように支払いを強要する、そんな巧妙さが目立つらしい。
報告されている典型例は「極秘映像」「無料動画」と題した再生ボタンをクリックさせる手口。
画面に出る警告表示を無視して、画像をダウンロードする「実行」をクリックしていくと
年齢確認や料金、規約などを掲示した最終確認場面になり
同意ボタンをクリックして画像を再生してしまうと、
IPアドレスなど利用者の個人情報を入手したかのような画像と共に
高額の利用料金を期限内に指定口座に振り込むよう求める表示が、画面から消えずに残るというもの。
一度、利用規約に同意するクリックをしているため、落ち度を感じさせるのが特徴。
まぁ、クリックしただけでは住所も名前も特定できません。
まずは落ち着いて、無視することが大切です。
なんだか、どんどんネット詐欺も広がっています。注意してください。
ワンクリックではなく、複数回クリックさせて、なんとなく利用に同意させておき、
さらに個人情報を入手したかのように支払いを強要する、そんな巧妙さが目立つらしい。
報告されている典型例は「極秘映像」「無料動画」と題した再生ボタンをクリックさせる手口。
画面に出る警告表示を無視して、画像をダウンロードする「実行」をクリックしていくと
年齢確認や料金、規約などを掲示した最終確認場面になり
同意ボタンをクリックして画像を再生してしまうと、
IPアドレスなど利用者の個人情報を入手したかのような画像と共に
高額の利用料金を期限内に指定口座に振り込むよう求める表示が、画面から消えずに残るというもの。
一度、利用規約に同意するクリックをしているため、落ち度を感じさせるのが特徴。
まぁ、クリックしただけでは住所も名前も特定できません。
まずは落ち着いて、無視することが大切です。
タカタの日進月歩ブログ
駆除ソフト詐欺
2007/11/22 12:00
「あなたのパソコンはウイルスに感染している」と警告され、慌てて個人情報の漏洩を防ぐセキュリティソフトを取り込み、クレジット代金やカード番号を騙し取られる被害が相次いでいるらしい。
いかにも本物らしい警告表示画面だったりして、つい騙されてしまうらしいので要注意である!
といってもなかなか判別しづらいので、まず相談窓口の連絡先があるかどうか確信すること。その上で悪質なメッセージかどうか検索して確認することが大切。
情報処理推進機構(IPA)は、「警告に惑わされず無視すべき。購入する場合もソフトメーカーの確認を」と呼びかけている。
いかにも本物らしい警告表示画面だったりして、つい騙されてしまうらしいので要注意である!
といってもなかなか判別しづらいので、まず相談窓口の連絡先があるかどうか確信すること。その上で悪質なメッセージかどうか検索して確認することが大切。
情報処理推進機構(IPA)は、「警告に惑わされず無視すべき。購入する場合もソフトメーカーの確認を」と呼びかけている。
タカタの日進月歩ブログ
占いで情報収集!
2007/06/09 08:00
「暗証番号で性格がわかる」という占いで、暗証番号が盗まれるケースがあるらしい。
そんな重要情報を使うような怪しい占いは絶対にしないように。
他にも同じような手口で、メールアドレスや電話番号、生年月日の入手などがあるとのこと。
悪いヤツは後を絶ちません。まず、自己防衛を。
占いをするなとは言いませんが、
誕生日などは、占いで聞かれたりするので、絶対に暗証番号に使ったりしないようにしましょう!
そんな重要情報を使うような怪しい占いは絶対にしないように。
他にも同じような手口で、メールアドレスや電話番号、生年月日の入手などがあるとのこと。
悪いヤツは後を絶ちません。まず、自己防衛を。
占いをするなとは言いませんが、
誕生日などは、占いで聞かれたりするので、絶対に暗証番号に使ったりしないようにしましょう!
タカタの日進月歩ブログ
EV証明書
2007/04/23 12:00
電子証明書
2006年、電子証明書発行会社やネット関連ソフト企業が参加する米CA/ブラウザーフォーラムが、初めて統一基準となる規格を策定。
この規格に基づいた証明書が「EV証明書」。
従来と違い、登記簿謄本や印鑑証明書で運営会社の法的存在を確認することが義務付けされている。
マイクロソフトの新ブラウザで取得サイトを閲覧するとアドレス欄が緑になるのが特徴。
従来型の場合、色が変わらずに南京錠のマークが表示される。
問題なのは、EV証明書でない場合、危険度を勝手に判断されてアドレス欄が、黄色や赤になること。
無害なサイトであっても、アドレス欄が黄色や赤になっていると、来訪者はさっさと立ち去ることが予想される。。。
2006年、電子証明書発行会社やネット関連ソフト企業が参加する米CA/ブラウザーフォーラムが、初めて統一基準となる規格を策定。
この規格に基づいた証明書が「EV証明書」。
従来と違い、登記簿謄本や印鑑証明書で運営会社の法的存在を確認することが義務付けされている。
マイクロソフトの新ブラウザで取得サイトを閲覧するとアドレス欄が緑になるのが特徴。
従来型の場合、色が変わらずに南京錠のマークが表示される。
問題なのは、EV証明書でない場合、危険度を勝手に判断されてアドレス欄が、黄色や赤になること。
無害なサイトであっても、アドレス欄が黄色や赤になっていると、来訪者はさっさと立ち去ることが予想される。。。
タカタの日進月歩ブログ
DDoS攻撃
2007/04/10 12:00
ミクシイが運営する求人情報サイトがDDoSに遭ったらしい。
同社は警視庁へ被害届の提出を準備中と、日経に書いてあった。
DDoS攻撃と書いてあったが、「攻撃」の二文字がなくても通じる。
でも、攻撃と入れたほうが一般的には分かりやすい。
ディーディーオーエスと呼び、Distributed Denial of Serviceの略。
つまり、分散DoS。
複数のネットワークに分散しているコンピュータが、一斉に特定のサーバへパケットを送出。
通信路をデータで溢れさせて機能を停止させてしまう攻撃。
やり方はまず、攻撃対象とは無関係な多数のコンピュータに気付かれないように侵入。
攻撃実行用のトロイの木馬と呼ばれる種類のプログラムを仕掛ける。
攻撃を開始する時には、仕掛けたトロイの木馬に対して、一斉にパケットの送出命令を出すというものだ。
攻撃されたサーバから本当の「黒幕」コンピュータを割り出すことは難しいので、対策が難しいのが現状だ。
同社は警視庁へ被害届の提出を準備中と、日経に書いてあった。
DDoS攻撃と書いてあったが、「攻撃」の二文字がなくても通じる。
でも、攻撃と入れたほうが一般的には分かりやすい。
ディーディーオーエスと呼び、Distributed Denial of Serviceの略。
つまり、分散DoS。
複数のネットワークに分散しているコンピュータが、一斉に特定のサーバへパケットを送出。
通信路をデータで溢れさせて機能を停止させてしまう攻撃。
やり方はまず、攻撃対象とは無関係な多数のコンピュータに気付かれないように侵入。
攻撃実行用のトロイの木馬と呼ばれる種類のプログラムを仕掛ける。
攻撃を開始する時には、仕掛けたトロイの木馬に対して、一斉にパケットの送出命令を出すというものだ。
攻撃されたサーバから本当の「黒幕」コンピュータを割り出すことは難しいので、対策が難しいのが現状だ。
タカタの日進月歩ブログ
シンクライアント
2007/04/05 12:00
【thin client】
日経のメモ
ハードディスク駆動装置を搭載していない端末。
機能は通常のパソコンと同じだか、データの持ち出しができない。
「シン」は英語で「薄い」の意味で、ユーザー側の端末の機能が必要最小限に抑えられる点を示している。
データの保存や、文章作成ソフトなど業務ソフトを処理する機能は、ネットワークでつながったサーバー側で集中的に管理する。
とあるが、
どんどんパソコンが高性能・高機能になってきて、アプリケーションソフトのインストールやバージョンアップ、それに伴うメンテナンスなどにかかる運用と管理コストが大きくなりすぎたので、クライアントPCは表示や入力など最低限の機能のみを持った低価格な専用PCにして、アプリケーションソフトなどの資源はサーバで一元管理して、運用と管理コストの削減を図るためだったというのが背景。
で、最近の情報漏洩問題によるセキュリティコストの方が、運用と管理コストどころではなくなってきたので、そういうニーズで最注目ということですね。
日経のメモ
ハードディスク駆動装置を搭載していない端末。
機能は通常のパソコンと同じだか、データの持ち出しができない。
「シン」は英語で「薄い」の意味で、ユーザー側の端末の機能が必要最小限に抑えられる点を示している。
データの保存や、文章作成ソフトなど業務ソフトを処理する機能は、ネットワークでつながったサーバー側で集中的に管理する。
とあるが、
どんどんパソコンが高性能・高機能になってきて、アプリケーションソフトのインストールやバージョンアップ、それに伴うメンテナンスなどにかかる運用と管理コストが大きくなりすぎたので、クライアントPCは表示や入力など最低限の機能のみを持った低価格な専用PCにして、アプリケーションソフトなどの資源はサーバで一元管理して、運用と管理コストの削減を図るためだったというのが背景。
で、最近の情報漏洩問題によるセキュリティコストの方が、運用と管理コストどころではなくなってきたので、そういうニーズで最注目ということですね。
タカタの日進月歩ブログ
危険のランク
2007/03/27 12:00
マイクロソフトの場合を解説してあった。
緊急(Critical)
ウイルスがユーザーの操作なしで広がる可能性があるという意味らしい。
重要(Important)
ユーザーのデータの機密性や完全性が損なわれる恐れがある…って、難しいねぇ。。
警告(Moderate)
デフォルトセッティングの状態や、悪用が困難であるといった要素によって、悪用される可能性はかなり少ない…ということは、どうすればよいの?
注意(Low)
悪用は非常に困難であるか、悪用されたとしても影響はわずかである。
う〜ん、分かったような分からないような…
つまり、一般の人にとっての結論は、
すべてのパッチを適用しておくことが大事だということね。
緊急(Critical)
ウイルスがユーザーの操作なしで広がる可能性があるという意味らしい。
重要(Important)
ユーザーのデータの機密性や完全性が損なわれる恐れがある…って、難しいねぇ。。
警告(Moderate)
デフォルトセッティングの状態や、悪用が困難であるといった要素によって、悪用される可能性はかなり少ない…ということは、どうすればよいの?
注意(Low)
悪用は非常に困難であるか、悪用されたとしても影響はわずかである。
う〜ん、分かったような分からないような…
つまり、一般の人にとっての結論は、
すべてのパッチを適用しておくことが大事だということね。
タカタの日進月歩ブログ
Pマーク(プライバシーマーク)
2007/03/24 17:00
今日の日経に載っていた。。
過去にない情報流出の大手印刷会社が、認定の取り消し処分にならなかったようだ。
理由は、いきなり取り消すと企業や自治体の業務に支障をきたす恐れがあるから。…ということらしい。
流出された企業は訴訟を起すという報道も最初されていたが、この結論が本当だとしたら…会社の規模で評価されるということになるのだろうか。その線引きは、どこで行なわれるのだろうか。
議論を呼びそうだとも書いてあったが、ウチなら即、取り消し通知が来るでしょうね。
過去にない情報流出の大手印刷会社が、認定の取り消し処分にならなかったようだ。
理由は、いきなり取り消すと企業や自治体の業務に支障をきたす恐れがあるから。…ということらしい。
流出された企業は訴訟を起すという報道も最初されていたが、この結論が本当だとしたら…会社の規模で評価されるということになるのだろうか。その線引きは、どこで行なわれるのだろうか。
議論を呼びそうだとも書いてあったが、ウチなら即、取り消し通知が来るでしょうね。
タカタの日進月歩ブログ
| Next»
