Tedious diary more x4

写真日記ブログを合流させて完全に雑記ブログ化しました(>_<)


タグ:セキュリティ

1ヶ月前に iPhone X が手元に届いて iPhone 6s Plus から iPhone X に自宅で機種変したわけですが、1年半ぶりのセットアップは新鮮なものがありました。昔と違って iPhone を機種変時以外に初期化してセットアップし直すなんてことがないですからね。

さらに予備として置いておくか、それともサブの Android 機の買い替え資金捻出のために売却するかを迷っていた iPhone 6s Plus は年老いた家族のスマホデビューに使われることになり、超久しぶりに新規 Apple ID アカウント作成から完全新規セットアップをしてみたところ、色々思うところがありました。

おお、ここからもう機種変更・移行を簡単にしようとする手順がサポートされたのか!


と思うこともあれば、

セキュリティ絡みとはいえ、なんやこの面倒くささ。こんなの何も判らない初心者には敷居が高すぎるやろ……


と思うこともあり、最近の iOS はどんどんシンプルさが失われて(Android に比べて)iPhone が簡単とか言えない昨今ですが、久しぶりにアカウント作成からセットアップしてみると

下手するとスマホデビューは Android の方が簡単ちゃうか?


と思うくらいでした。そう思った理由を記しておきます。


続きを読む
    このエントリーをはてなブックマークに追加

前回、Amzon Fire TV Stick の新モデルが半年遅れでようやく日本でも発売されることを書きました。

Amazon、新 Fire TV Stick ようやく国内発表&予約開始

最近の Amazon といえば、もう一つ大きなこと、さらに重要なことがありました。

Amazon がやっと二段階認証導入


であります\(^o^)/

今まで

「Google も Apple も Microsoft もみんな、とっくに導入してるのに、なんで肝心の Amazon が導入できてないの?」
「これだけ大きなショッピングサイトなのに何故今まで導入してこなかった?」

という思いは誰しもあったでしょうが、ようやくです :D

AmzonTwoStepAuth11


既に Google や Apple (iCloud) などで二段階認証を設定している人も多いと思いますが、「二段階認証って、なんぞや?」という方へ簡単に説明すると、

ログインする時にメールアドレスとパスワードだけだと、何かの際にパスワードが漏れたら一発アウトで使われてしまうのを防ぐため、パスワードログインが成功した後に携帯・スマホへ送られる暗証番号を入力する「二段階認証」を設定することで、パスワード漏れによる成りすましを防ぐ


というものです。(二段階目の認証に必要となる暗証番号/コードは携帯・スマホへ SMS でメッセージを送る以外に取得する方法もあります。敷居は高いですが、その方が推奨されます。詳しくは後述)

二段階認証を設定しておけば、万が一、パスワードが漏れた場合でも盗人がログインしようとした場合にメールアドレスとパスワードだけではログインできず、自分の携帯・スマホへ送られたコード(暗証番号)が必要となるので、盗人の成りすましログインによる被害を防ぐことができます

特に Amazon の場合、

成りすましでログインされたら登録クレジットカードで
勝手に買い物されてしまう危険


がありますから、Amazon を利用する人、特にクレジットカードを登録して買い物している人は二段階認証の設定は必須と言っても良いでしょう。

「パスワードが漏れなきゃ別に良いじゃん」という人もいるでしょうが、同じメールアドレスと同じパスワードを他でも使っているなら、別のところで漏れた場合には盗人が Amazon などへ試してくるのは常です。

「毎回、ログイン時にそんな手間かけてられないわ、面倒〜」という人もいるでしょうが、自分専用のパソコンやスマホなどでは、1回目の二段階認証の際に「この端末ではコードの入力は不要です」へチェックしておけば、次からはその端末では二段階認証は不要になりますから、ぶっちゃけ手間なのは最初だけです。

その “ちょっとした手間” で大きな安心(絶対ではない)を得られるのですから、ショッピングサイトではやっておきたいことだと言えます。

もっとも、若干手間はかかるのは事実ですし、どんなものか判らない人もいると思いますので、以下に Amazon の二段階認証を設定する手順の概略を示しておきます。


続きを読む
    このエントリーをはてなブックマークに追加

先月あたりからチラホラと話は出ていたのは目にしていたものの、忙しさにかまけて忘れていたのですが、ふと思い出して該当情報から色々追っていくと、どうやらとっくの昔に動かぬ証拠が上がっていたようで。

ファーウェイ"Ascend G6"に続き"ESファイルエクスプローラー"が中国バイドゥと密かに通信していることが分かってきた:モバイルタンク4
ES ファイルエクスプローラー | secroid(セキュロイド)

上記ブログや secroid をどこまで信用するか?ということもありますが、端末情報その他を中国へ流し込んでいるのをキャプチャーして押さえている人は少なくないので、私自身は間違いないのだろうと判断しています。


続きを読む
    このエントリーをはてなブックマークに追加

やってしまいましたなぁ…という感じですが、まだ JAL 側に落ち度があったのかどうかは不明です。数的にサーバーがハッキングされた感じでは無さそうですが、どういったアタックを受けたのかという原因も、どこまで被害があったのか判りません。

単純なパスワードでやられたか(元々国内航空会社は銀行 ATM と同じく単純な数字パスワードが多いですが)、最近多い他のサイトのハッキングで得た情報を元にやられたか、ですが、詳細は今後明らかになるでしょう。

JALマイル、奪われる 不正ログイン、60人超被害:朝日新聞デジタル
ニュース - JALマイレージWebサイトに不正アクセス、約2700万人にパスワード変更を依頼:ITpro

現在不正ログインされた被害会員の可能性は約60人という状況なので、殆どの人は無関係かも知れませんが、こういう状況では

念のためのパスワード変更


が必要でありましょう。定期的なパスワード変更なんぞに意味はありませんが(定期的なパスワード変更よりもパスワードの強度や管理方法が重要)、こういう場合は別です。

JAL からも「パスワード変更のお願い」の案内が出ています。

Amazonギフト券以外の特典交換サービスへの影響は現時点で確認されておりませんが、詳細調査中であるため、安心してサービスをご利用いただくため、JMBパスワードの変更手続きをお願いいたします。
JMBパスワードはJALホームページから変更可能ですので、ログイン後、マイエリア下にある「会員情報の参照・変更」をクリックし、「パスワード(PIN)変更」よりお手続きください。

JAL - JALマイレージバンク特典「Amazonギフト券への交換サービス」の一時停止ならびに、JMBパスワード変更のお願い

なお、現在 JAL サイトへアクセスすると、人によっては以下のように会員情報が非表示になっている状態ですが、別にこれは心配することはありません。

続きを読む
    このエントリーをはてなブックマークに追加

昨秋から手を変え品を変え、盛んに不特定多数へ送りつけられ、話題になっている三菱東京UFJ銀行を騙るフィッシングメール。年明けからまた新たな文面バージョンが始まっており、昨日当方にも送られてきました。

幸い Gmail では一も二もなく迷惑メール行きになっており、それゆえ画像添付もデコードされないまま表示されており、これは騙されることもないでしょう。

MUFGspammail1


ただ、メールサービス側でそういったスパムチェックと対処が適切に行われていない場合は素通りにして、このフィッシングメールの本文である、

最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、利用者の個人情報漏洩事件が起こりました。
お客様のアカウントの安全性を保つために、「三菱東京UFJ銀行システム」がアップグレードされましたが、お客様はアカウントが凍結されないように直ちにご登録のうえご確認ください。

以下のページより登録を続けてください。


という内容が、もっともらしく表示されます。

私みたいにネットバンクを常用している人間がうっかりすると、一発で通帳と銀行印を預ける羽目になってしまいますね。

インターネットバンキングのパスワード等を騙し取る不審な電子メールにご注意ください(平成26年1月6日更新)。 | 三菱東京UFJ銀行
再び三菱東京UFJ銀行をかたるフィッシングメール、丁寧な日本語へと進歩 -INTERNET Watch
本物のログイン画面とうり二つ 三菱東京UFJ銀行をかたるフィッシングメールに注意 - ねとらぼ

ただ、メールの送信元をしっかり確認すれば一目瞭然ですし、リンクをタップする前、した後に URL を確認するのは必須事項です。

続きを読む
    このエントリーをはてなブックマークに追加

先週 Google から発表になっていた Android 端末の位置探索&リモートワイプ(内容消去・初期化)サービス「Android デバイス マネージャー」が、本日全ての Android ユーザーで利用可能になりました。

AndroidDeviceManager01
(実際には端末位置を示す地図はかなり細かい表示だが、わざと縮尺を変えてある)


この「Android デバイス マネージャー」というのは、以前から Apple から同社製品向けに提供していた「iPhone を探す」(iPad を探す / Mac を探す)と、ほぼ同じサービスで、

Android 端末の現在位置を別の端末・パソコンから探し出し
遠隔操作で最大音量で着信音を鳴らしたり、内容消去できるサービス


です。端的に

紛失・盗難時に心強いサービス


であります。これがあれば、紛失・盗難時に別のスマートフォンやタブレット、パソコンから、紛失・盗難した端末がどこにあるか、そして遠隔操作で内容を消去、端末を初期化して、中身のデーターを盗み見られることをできるだけ回避することができます。

今まででもセキュリティアプリなど一部のアプリで同様な機能を提供していましたが、今回は安心の? Google 純正の機能ですから、無駄なアプリを購入したりインストールする必要はなくなりました。

Apple はかなり早期にこの手のサービスがあったにも関わらず、Google はなかなか追随しないので、セキュリティに対する姿勢というのが窺えたのですが、これでようやく前進です。

ともあれ、お気に入りのセキュリティアプリで同様の機能を使いたいという一部の人を除けば、

「Android デバイス マネージャー」は全員が使うべき必須機能


であり、以下のように使い方も簡単です。


続きを読む
    このエントリーをはてなブックマークに追加

今週、ニューヨーク・タイムズに続いてウォールストリート・ジャーナルへの中国からのセキュリティ攻撃が明らかになり、各所でニュースになっていました。

中国ハッカー集団、米メディアを相次ぎ攻撃:日本経済新聞
NYTに続きWSJも、「中国ハッカーからサイバー攻撃を受けた」と報道:ITpro

これに続いて、今朝 Twitter も調査の結果、セキュリティ攻撃を受けた形跡があり約 25万人ユーザー情報にアクセスされた可能性があるとの発表を行いました。

今週、Twitterは通常とは異なるアクセスパターンがあり、調べてみるとTwitterのユーザーデータへのアクセスのようでした。行われていた攻撃は止めたのですが、調査の結果、ユーザー名、メールアドレス、セッションIDや暗号化されたパスワードなど、約25万人のユーザー情報にアクセスされた可能性があります。

該当するアカウントにはTwitterからパスワードのリセットをかけ、セッションIDの破棄をしました。この該当アカウントに含まれているユーザーの方々には、Twitterからパスワードの新規作成のご案内をお送りしています。ログイン時にこれまでのパスワードはご利用いただけません。

Twitterブログ: より安全にご利用いただくために

パスワードリセットのメールは順次送られているようで、私の一番古いアカウントも上記公式発表のあと、1時間くらいしてからパスワードリセットのメールが送られてきました。

一斉的なメール通知ですので、念の為に迷惑メールフォルダに Twitter からのパスワードリセットのメールが入っていないかを確認した方がいいでしょう。

また、こういう状況はフィッシング詐欺メールが横行する機会ですから、

「Twitter からのパスワードリセットのメールが本当に Twitter からのもので、リセット用ウェブページにアクセスした際に URL 欄がちゃんと twitter.com になっているか?」

を確認すべきです。


そしてパスワードリセットのメールが送られてきた人は、以下のことを行なっておきましょう。また、パスワードリセットのメールが送られて来なかった人も注意すべき点はあります。
続きを読む
    このエントリーをはてなブックマークに追加

その昔は

「中古の HDD を買ってきたら前に使っていた人の中身がそっくり入ってたわ〜」

とか

「中古パソコン買ったら、前の人の環境やデーターがそのまま残ってた…」

ということは、そう珍しくもありませんでした。全てが Own Your Risk な時代でした。

ところが今は法律もできたこともあって、中古パソコン、HDD/SSD を買い取って中古で売る店がそういった “買い取ったものをそのままスルーで中古で売る” ということはなくなりました。少なくとも真っ当な店では、ルール上はありません。

とはいえ、今でもそういうことはたまにあるようです。店員のチェックミス、作業忘れ、手順ミス…

そして、店としてそれなりの経験を積んできて、マニュアルを整備しているはずの

パソコン関連の中古買取販売最大手のソフマップでも
他人のデーターが入ったドライブを(新品として!)売っちゃうことがあるんだなぁ


ってなことが、私ではありませんが身近に起きました。

そんな他人のデーターが入った SSD を買う(それも新品で)経験をした友人が経緯をブログで簡単にまとめてますから、以下にリンクを貼っておきます。

続きを読む
    このエントリーをはてなブックマークに追加

NTT 東日本・西日本のフレッツ光契約者が月額 315円でレンタルできる SIM ロックフリーなモバイルルーター「光ポータブル」、その実態はバッファローから一般販売されている「ポータブル Wi-Fi DWR-PG」の OEM & SIM ロックフリー版であることは、前回の記事でも書きました。

元々がバッファロー製ということで、無線 LAN の接続にはバッファロー独自の AOSS も使えますし、業界標準の WPS も使えます。そして製品には Windows 向け AOSS 用ユーティリティソフトや設定ユーティリティそふとが同梱されています(本体内 ROM に収録されていて USB 接続でソフトをインストールする形式)。

ただ、例によって Mac 用ユーティリティソフトは用意されていません。バッファローに限らず、ユーティリティソフトは Windows 向けだけ、というのは良くあることで Mac ユーザーなら慣れていると思いますし、

どうせブラウザから設定できるなら
むしろ無駄なソフトのインストールなんか要らないぜ


という人も多いと思います(昔は Windows 用設定ソフトじゃないと設定ができない機器も多かったのですが、最近は絶滅しつつあります)。

ブラウザから管理画面にアクセスできれば Windows 用設定ユーティリティから行うのと全く変わりません(というかユーティリティからも結局ブラウザを起動する)。また、ブラウザベースでの話ですので、Mac ユーザーだけでなく Windows ユーザーや UNIX / Linux ユーザーでも同じです。

しかし Windows機のユーティリティソフト以外からの設定方法はマニュアルに書いてありませんし、

「光ポータブルを使いたいが、設定ツールは Windows 向けだけだと、うちは Mac だから無理かなぁ…」

という人が、ほんの少しでもいると不幸ですので設定方法をここに記しておきます。

また記事後半では、「光ポータブル」のセキュリティ上しておいた方が良いと思われる設定も付記しておきます。

「光ポータブル」は初期設定の無線セキュリティが WPA 系になっているので、Pocket WiFi のような初期状態でのセキュリティの甘さみたいな問題はありませんが、やっておいた方が良いことはあると思いますので。

続きを読む
    このエントリーをはてなブックマークに追加

【2010/4/29 追記】ある方に教えていただきましたが、Pocket WiFi のソフトバンク版である C01HW でも同じであり、当記事が有効のようです。

【2011/4/25 追記】フォロワーさんに教えていただきましたが、新型 Pocket WiFi GP01 でもセキュリティの初期設定が同じで、当記事が有効であるそうです。

【2011/12/26 追記】EMOBILE G4 対応 GP02 を一から設定してみましたが、そのままではないものの当記事を参考にセキュリティ設定を行うべき部分はありました。

前回の記事でも書いたように、Pocket WiFi (D25HW) は購入・契約すると、すぐに使える状態になっている。1枚紙の「かんたんセットアップマニュアル」(基本編・ゲーム編の2種類)の通り、

パソコンやゲーム機に無線 LAN の設定をするだけで
あとは Pocket WiFi の電源を入れるだけで使える簡便さ


になっている。この「買ってすぐに誰でも使える」コンセプト自体は素晴らしい。

ところが、Pocket WiFi の初期設定のままでは、いささかセキュリティ的に問題を抱えているのも事実。それは

  • ESSID (SSID) から Pocket WiFi が飛ばしている無線 LAN であることが丸わかり。

  • 無線 LAN 経由でブラウザで Pocket WiFi の設定画面にログインする仕様に関わらず、初期のログインパスワードが5桁の数字である。

  • Nintendo DS で使用することを念頭に置いているため止むを得ないとはいえ、初期の無線 LAN 暗号化設定が簡単に破ることが可能な WEP になっている。


という3点にあります。最悪の設定とまでは言えないものの、この初期状態のままでは

  1. パッと電波を見て、Pocket WiFi が飛ばしてる電波が見つかる。同時に WEP で使ってることも判る。

  2. ちょいちょいとやれば、ものの1分もかからずに WEP の暗号キーを見つけることができる。

  3. 見つけた WEP Key を使って Pocket WiFi の無線 LAN に繋ぎ、ネットに繋ぎ放題(だけなら良いけど、悪いことされて足がつくのは Pocket WiFi のユーザーに対してになる)。

  4. 加えて Pocket WiFi ということが判ってるから、ルーター設定画面のログインパスワードが(初期状態のままでは)5桁の数字の組み合わせであることも判る。手入力だとしんどいが、スクリプトを使えば5桁の数字なんか簡単に落とせるパスワードである。

  5. 万が一、Pocket WiFi の設定画面にログインされたら、設定変えられ放題になる。


という事態は十分考えられるわけで、やはり設定変更は強く推奨されるべきものです。イーモバイルは全く無頓着ですけど。

(言うまでもないですが WEP 暗号化キーを解読して、そのネットワークに侵入することは違法です。が、現実的にアタックされることは珍しくないのも事実です)

実際、発売3日目の昨日、梅田某所で Pocket WiFi の初期設定そのままで使ってると思われる電波が飛んでいて、「モバイルとはいえ、WEP Key なんて一瞬で Crack できるしヤバいよなぁ…」と感じたので、僭越ながら「Pocket WiFi (D25HW) を契約したら必ずやっておくべき設定」を書いておきます。間違いその他あれば、ご指摘いただければ幸いです。

なお、どうしてもそのまま使いたい、暗号化設定を WEP で使いたいという人は

Pocket WiFi では右下に WiFi 接続台数が出るので
自分が繋いでいる台数であることを時々確認すべし!


である。省電力設定で LCD 画面の情報は10秒ほどで消えてしまうが、電源ボタンを軽く押せば再び表示されるので、WEP で使う場合には、ただ乗りされていないか?を時々確認した方が良いでしょう。

PocketWiFi LCD Screen 1
上の写真例では右下に0(ゼロ)とあるところに
0〜5の WiFi 接続台数が表示される


なお、「MAC アドレスフィルタリング」「ステルス SSID」などの設定については、最後で少し触れます。

まずは、WEP で使う・WEP から変更するに関わらず、必ず変更すべき2つの設定から。

続きを読む
    このエントリーをはてなブックマークに追加

このページのトップヘ