武田先生と徳丸の対話: 某サイトから漏洩したパスワードがAmazonに対して悪用されなかった事例からどこまでのことが言えるか
-
- いいね!163
keijitakeda
@keijitakeda
@ockeghem では「サイトXから漏洩したパスワードは漏洩したらサイトXに対してすぐに悪用される」は自明でしょうか?
2016-08-20 21:47:48
keijitakeda
@keijitakeda
@ockeghem 元の話題はこの事例が「パスワードは漏洩したらすぐに悪用される」の反例として成立するか否だと認識しています。その反例を示した動機は「パスワードは漏洩したらすぐに悪用される」が常に成立するわけではないことを示すということです。
2016-08-20 21:50:56
keijitakeda
@keijitakeda
@ockeghem その話題の前提となる「パスワードは漏洩したらすぐに悪用される」の解釈について確認をしているとの認識です。
2016-08-20 21:52:15
徳丸 浩
@ockeghem
「パスワードは漏洩したらすぐに悪用される」とは限らないこと自体は自明な例を含めれば明らかであり、自明でない例としてとは、(1)フィッシングで漏洩した、(2)マルウェアによる漏洩した、(3)当該サイトの従業員が漏らした場合等を既に示しました @keijitakeda
2016-08-20 22:00:50
keijitakeda
@keijitakeda
@ockeghem 徳丸さんは「(1)フィッシングで漏洩した、(2)マルウェアによる漏洩した、(3)当該サイトの従業員が漏らした場合等」において「パスワードは漏洩したらすぐに悪用される」とは限らないとお考えであるという認識であっていますでしょうか?
2016-08-20 22:03:30
徳丸 浩
@ockeghem
そこは正直わからないですね。ですので、安全側に倒して、「すぐの攻撃に備えた対策をするべきだ」と思います RT @keijitakeda: @ockeghem 徳丸さんは「(1)フィッシングで漏洩した、(2)マルウェアによる漏洩した、(3)当該サイトの従業員が漏らした場合等…
2016-08-20 22:07:31
keijitakeda
@keijitakeda
@ockeghem いずれにせよ徳丸さんは「パスワードは漏洩したらすぐに悪用される」とは限らないこと自体は自明な例を含めれば明らか」とお考えとのことですよね。私もこれに同意です。そして私が反例によって示したかったのはそのことですので、その点について議論することはないかと思います。
2016-08-20 22:10:10
keijitakeda
@keijitakeda
このケースにおいてパスワードは2013年にTumblrから漏洩したものと考えられ3年間その漏洩は気付かれておらず、その間Tumblrに対する悪用があったとの認識も無いと思われる→ Amazonから「パスワード変えといた」メールが来た ascii.jp/elem/000/001/1…
2016-08-20 22:20:34
keijitakeda
@keijitakeda
@ockeghem まとめの冒頭で徳丸さんの『「パスワードは漏洩したらすぐに悪用される」とは限らないこと自体は自明な例を含めれば明らか』の趣旨が書かれていますが「パスワードは漏洩したらすぐに悪用される」を文字通り読むと「いずれかのサイトで必ず悪用される」という主張と読めます。
2016-08-22 22:00:21
keijitakeda
@keijitakeda
@ockeghem それを踏まえ元発言を考えると「『パスワードは漏洩したら(いずれかのサイトで)すぐに悪用される』とは限らない」の反例としてはこの十分ではないと思います。そこで徳丸さんは「パスワードは漏洩したら(いずれかのサイトで)すぐに悪用される」とお考えでしょうか。
2016-08-22 22:04:58
徳丸 浩
@ockeghem
この質問に答えることは簡単ですが、この質問に答えると、きっと次の質問があるのでしょうね RT @keijitakeda: …そこで徳丸さんは「パスワードは漏洩したら(いずれかのサイトで)すぐに悪用される」とお考えでしょうか。
2016-08-22 22:57:10
keijitakeda
@keijitakeda
@ockeghem 私は「パスワードは漏洩したら(いずれかのサイトで)すぐに悪用される」こともあるしないこともあると思っています。それと同じ考えであれば次の質問はないと思います。違う考えの場合は内容によってその意図を理解するために質問をしたくなるかもしれません。
2016-08-22 23:00:15
徳丸 浩
@ockeghem
その点については先生の意見と同じです。攻撃者の意図や状況により変わると思います RT @keijitakeda: @ockeghem 私は「パスワードは漏洩したら(いずれかのサイトで)すぐに悪用される」こともあるしないこともあると思っています。それと同じ考えであれば…
2016-08-22 23:18:34
徳丸 浩
@ockeghem
しかし、私は既に実質的に同じ質問に回答していると認識していますが twitter.com/ockeghem/statu… @keijitakeda: @ockeghem 私は「パスワードは漏洩したら(いずれかのサイトで)すぐに悪用される」こともあるしないこともあると思っています…
2016-08-22 23:21:43
徳丸 浩
@ockeghem
まぁ、あるかないかで言えば、「攻撃が来ない場合もある」でしょうね。パスワードが目的でなかったケースとか RT @keijitakeda: @ockeghem では「他サイトから漏洩パスワードを用いて漏洩元とは別のサイトに対して攻撃が来ない場合がある。」は自明でしょうか?
2016-08-20 21:45:47
keijitakeda
@keijitakeda
@ockeghem いえ、こちらの回答では「攻撃が来ない場合もある」の対象が特定のサイト(先の例ではAmazon)のことを示しているのか、漏洩元を含むあらゆるサイトのことを示しているのかは明示していないかと思います。今回の質問と回答は後者に関するものと認識しています。
2016-08-22 23:40:35
徳丸 浩
@ockeghem
@keijitakeda 昨日の対話では、発端は特定サイトへの悪用のことを指していたが、この質問から(漏洩元を含まない)あらゆるサイトへの悪用の話題になり、本日のご質問は(漏洩元を含む)あるゆるサイトへの悪用の話題と認識します。いずれでも私の答えは同じですが
2016-08-22 23:52:00
徳丸 浩
@ockeghem
自分のこの回答を点検してみたのですが、自明と言えるような気もしてきましたが、「使い回しているパスワード」 という修飾が余計なのだと気がつきました。攻撃者は通常使いまわしているかどうかはわからないはずです twitter.com/keijitakeda/st… @keijitakeda
2016-08-23 00:02:10
keijitakeda
@keijitakeda
@ockeghem ということで「使い回しているパスワードが他サイトから漏洩した場合、そのパスワードが他のサイトに対してすぐに悪用されるとはかぎらない。」は自明でしょうか?
2016-08-20 21:32:02
keijitakeda
@keijitakeda
@ockeghem そういう意味では昨日のは「漏洩元とは別の(特定の)サイトに対して攻撃が来ない場合がある」「漏洩元とは別の(全ての)サイトに対して攻撃が来ない場合がある」「漏洩元とは別のサイトに対して攻撃が来ない(サイトがある)場合がある」の3通りの解釈がありえたかと思います。
2016-08-23 00:02:39