不快な青色LED!?

キャッシュカードの暗証番号と預金者保護

預金者を保護する法案の与党内での調整が完了したようです。新聞の報道内容からすると、この内容は銀行にとってかなり不利な条件に思えました。

暗証番号をキャッシュカードに書き込むと言った重大な過失を銀行側で証明できる場合は預金は保障されない、というのは当たり前ですが軽い過失の定義が大問題です。

生年月日や電話番号などを暗証番号に使用し、カードと同じ場所に保管している場合が軽微な過失、だそうです。そして預金額の75%を銀行が保障しなければならない法案になっているようです。

暗証番号に家族の生年月日を含む生年月日、家族や会社の電話番号を含む電話番号、住所に関連する番号、自家用車の車ナンバーなど番号等を暗証番号にするのは「軽微」な過失ではありません。契約条件の禁止事項として明記されている場合、重大な過失とみなすべきです。

このような法案は、損害保険等で適切な予防措置を取っていない場合でも保険会社に保険金を支払え、と言うのと同じではないでしょうか?

このような甘えた法案が成立するようなら日本人のセキュリティに対する意識はいつまで経っても向上するはずがありません。過保護が子供をダメにするのと同じでは無いでしょうか?

今までは銀行と預金者の契約は、預金者にとって不当な契約関係にあったとは思います。しかし、それを理由に新しい法案で預金者を過保護にしてよい訳はありません。

アメリカでも同じとは….

国の出先機関などの仕事をする際にセキュリティ確保が難しいとは思っていたのですが、アメリカの安全保障に関わる機関も

米国土安全保障省（DHS）は同省に課されたサイバーセキュリティに関する責任を果たせず、緊急事態に対しても全くの「無防備状態」である可能性がある。連邦会計監査官らは米国時間26日に発表した報告書の中でDHSをこう酷評した。

という状況らしい。

日本の場合、民も官ももっとおおらか（？）なので良いターゲットにされないように気を付けないとならないですね…

OZMallもSQLインジェクションに脆弱だった!?

価格.comもですが、OZMall（オズモール）もSQLインジェクションに脆弱だったようです。

私は両方のサイトの登録ユーザでは無いため直接の影響はありませんが、もし仮にユーザだったとしたらSQLインジェクションに対して脆弱な場合、UNIONクエリが可能な脆弱性だったかが気になります。

少しWebセキュリティに詳しい方ならご存知とは思いますが、UNIONクエリが可能な場合、SQLインジェクションを直接行えるテーブル以外のテーブルの情報を自由にアクセスできます。システムカタログへのアクセスも可能な場合は最悪の事態です。

価格.com、OZMallともに登録ユーザには案内しているのかも知れませんが、どの程度の問題だったか正確の公表しないとならないと思います。

既に価格.comは詳細を公表しないと発表していますが、盗まれたメールアドレスを利用したフィッシング詐欺などがあった場合はどうするのでしょうか? 価格.comはメールを通じてユーザに連絡するつもりなのでしょうか? メールは送信元が判りづらいため、この様なケースの場合、メールを利用した連絡はフィッシング・ファーミングを誘発する原因になりかねません。

もし私が両サイトのユーザであれば、パスワードの変更と共用したいたパスワードを全て変更します。
# Webサイトのパスワードは覚えない主義ですから、私の場合は他のサイト
# のパスワードを変更する必要はないですが。

不正アクセスの方法?

　不正アクセスの手口は「判明している」（穐田社長）としながらも「類似犯罪のヒントとなる情報は出したくない」

別に価格.comから情報を出すまでも無く、不正アクセスの方法はいくらでも出回っています。問題を公開すると具体的な不具合の数やその他の情報を公開しないとならなくなる為非公開にしている、と思われても仕方ありません。

例えば、SQLインジェクションに対して脆弱であった場合「SQLインジェクションでメールアドレスのみではなく、ユーザが使用していたパスワードが盗まれた可能性はあるのか?」と言った質問に答えなければならないからでしょう。

パスワードはコピーする！を読んで頂ければ分かりますが、Webサイトのパスワードがメールアドレスとセットで盗まれて困るユーザは多いのではないでしょうか?
# 私は困りませんが :)

パスワードはメモする！

メモしたパスワードを誰でも見れる場所にポストイットで貼り付けて置くことは悪いことですが、パスワードをメモする事は悪いことではありません。

機会があるときにはこの話をするのですが、私は更パスワードをメモすることも止めています。Webサイトのサービスなどは自分でもとうてい覚える事が不可能なパスワードを設定して忘れてしまいます。Webブラウザに記憶させ、Webブラウザのマスターパスワード＋OSのファイルシステム暗号化機能を使う事にしています。

全てのWebサイトのサービスに同じパスワードを使っていると万が一パスワードが漏洩した場合、私に成りすまして他のサイトで悪事を働く、という事は十分考えられます。しかもパスワードはセキュリティを考えないWebサイトではSQLインジェクションで漏れたり、盗聴で漏れたり、内部の犯行でデータが持ち出されたり、と危険性を考えるといくらでも思いつきます。

パスワードが必要になったらどうするか? は通常Webサイトからメール送信でリセットできるようになっています。これを利用します。

突き詰めて考えると、パスワードのリセットがメールでできる事にも十分リスクがあります。しかし、どちらにしてもユーザはこの機能を無効にすることができないのでこのリスクは受け入れるしか無いでしょう。
# この機能が無効にできるWebサイトってあります?

クロスサイトスクリプティング問題

Xbox 360サイトにクロスサイトスクリプティング問題があったようです。

ところで、SQLインジェクションに比べて、クロスサイトスクリプティングを使ったクレジットカード情報の取得やユーザの成りすましは「技術的に」難しいと考える人もいるかも知れません。しかし、悪用には技術スキルは必要ありません。クロスサイトスクリプティングの仕組みや現在のインターネット環境を考えると脆弱性の悪用は非常に簡単です。

Step1 盗み出したクッキーを保存するサーバを設置（探せば乗っ取れるサーバは直ぐ見つかります）
Step2 ユーザを攻撃対象に誘導するWebサイトまたはメールを送信
Step3 Step1で盗み出したクッキーを使ってユーザに成りすまして悪事を働く

という簡単な手順で脆弱性を悪用できます。
本気のクラッカーならこの程度の事は簡単に実行できてしまいます。