武田先生と徳丸の対話: 某サイトから漏洩したパスワードがAmazonに対して悪用されなかった事例からどこまでのことが言えるか
-
- いいね!163
徳丸 浩
@ockeghem
興味深い。やられる前に変更できてよかった / 他17コメント b.hatena.ne.jp/entry/ascii.jp… “ASCII.jp:Amazonから「パスワード変えといた」メールが来た” htn.to/pYMDss
2016-08-18 11:19:55
徳丸 浩
@ockeghem
あまり意味のある反例とは思えませんが RT @keijitakeda: 「パスワードは漏洩したらすぐに悪用される」の反例 twitter.com/ockeghem/statu…
2016-08-20 19:37:19
徳丸 浩
@ockeghem
これが、(1)フィッシングで漏洩した、(2)マルウェアにより漏洩した、(3)当該サイトの従業員が漏らした等であれば、「すぐに攻撃しないとは意外だ」となりますが、今回のケースはパスワードの使い回しをしていたことから他サイトからの漏洩の可能性が高いからです @keijitakeda
2016-08-20 20:40:34
keijitakeda
@keijitakeda
@ockeghem 使い回しているパスワードが他サイトから漏洩した場合、そのパスワードはすぐに悪用されるとはかぎらない。ということでしょうか?
2016-08-20 20:46:44
徳丸 浩
@ockeghem
Amazonでは「たまたま」悪用されなかっただけで、他のサイトや目的で攻撃を試みたかもしれません RT @keijitakeda: @ockeghem 使い回しているパスワードが他サイトから漏洩した場合、そのパスワードはすぐに悪用されるとはかぎらない。ということでしょうか?
2016-08-20 20:50:00
keijitakeda
@keijitakeda
@ockeghem 「たまたま」であろうがなかろうがある論理が成立しないケースの存在を示すものが「反例」だと思います。
2016-08-20 20:53:52
徳丸 浩
@ockeghem
サイトXから漏洩したパスワードがサイトYに対して攻撃が来なかったことが推定されるというだけのことですので、例として出すまでもなく自明ことでしょう RT @keijitakeda: @ockeghem 「たまたま」であろうがなかろうがある論理が成立しないケースの存在を示すもの
2016-08-20 20:57:33
keijitakeda
@keijitakeda
@ockeghem つまり「使い回しているパスワードが他サイトから漏洩した場合、そのパスワードが他のサイトに対してすぐに悪用されるとはかぎらない。」ことは自明だと考えられているということになりますでしょうか。一方漏洩元となったサイトに対してはすぐに攻撃されているとお考えでしょうか
2016-08-20 21:00:21
徳丸 浩
@ockeghem
それに対しては、この事例からは「分からない」が正解かと思います RT @keijitakeda: @ockeghem つまり「使い回しているパスワードが他サイトから漏洩した場合、そのパスワードが他のサイトに対してすぐに悪用されるとはかぎらない。」ことは自明だと考えられていると…
2016-08-20 21:08:30
keijitakeda
@keijitakeda
@ockeghem この事例から何が言えるかという話をしているのではなく、一般論として「パスワードは漏洩したらすぐに悪用される」が成立するか(この事例がその反例となるか)という話をしていたかと思います。
2016-08-20 21:11:14
徳丸 浩
@ockeghem
私は元々「この事例から何が言えるか」を話題にしています RT @keijitakeda: @ockeghem この事例から何が言えるかという話をしているのではなく、一般論として「パスワードは漏洩したらすぐに悪用される」が成立するか(この事例がその反例となるか)という話をしてい
2016-08-20 21:14:04
keijitakeda
@keijitakeda
@ockeghem こちらのツイートで「『パスワードは漏洩したらすぐに悪用される』の反例として意味があるとは思えない」という話をされているのかと思ってしまいましたが、ご本人が違うというのであれば違うのでしょう。失礼しました。 twitter.com/ockeghem/statu…
2016-08-20 21:16:36
徳丸 浩
@ockeghem
「『パスワードは漏洩したらすぐに悪用される』の反例として意味があるとは思えない」という意見は、「この事例から何が言えるか」という話題かと思いますが RT @keijitakeda: …ご本人が違うというのであれば違うのでしょう。失礼しました。
2016-08-20 21:21:05
keijitakeda
@keijitakeda
@ockeghem 「『パスワードは漏洩したらすぐに悪用される』の反例として意味があるとは思えない」の理由として「サイトXから漏洩したパスワードがサイトYに対して攻撃が来なかったことが推定されるというだけのことですので、例として出すまでもなく自明」を挙げられたと認識しました。
2016-08-20 21:25:32
徳丸 浩
@ockeghem
はい。「この事例は」自明でないことの例ではない(自明なことの例にすぎない)ので、「反例として意味があるとは思えない」と言いました RT @keijitakeda
2016-08-20 21:28:12
keijitakeda
@keijitakeda
@ockeghem そこで何が自明なのかを確認するため私は「使い回しているパスワードが他サイトから漏洩した場合、そのパスワードが他のサイトに対してすぐに悪用されるとはかぎらない。」ということが自明か?という確認をしました。
2016-08-20 21:30:18
keijitakeda
@keijitakeda
@ockeghem ということで「使い回しているパスワードが他サイトから漏洩した場合、そのパスワードが他のサイトに対してすぐに悪用されるとはかぎらない。」は自明でしょうか?
2016-08-20 21:32:02
徳丸 浩
@ockeghem
私はそんな話はしておらず、自明とまでは言えないと思います RT @keijitakeda: @ockeghem ということで「使い回しているパスワードが他サイトから漏洩した場合、そのパスワードが他のサイトに対してすぐに悪用されるとはかぎらない。」は自明でしょうか?
2016-08-20 21:33:32
keijitakeda
@keijitakeda
@ockeghem では「サイトXから漏洩したパスワードがサイトYに対して攻撃が来なかったこと」は自明なのでしょうか?
2016-08-20 21:35:12
徳丸 浩
@ockeghem
そうですね。「サイトXから漏洩したパスワードを用いてサイトYに対して攻撃が来ない場合がある」は自明と言ってよいかと思います RT @keijitakeda: @ockeghem では「サイトXから漏洩したパスワードがサイトYに対して攻撃が来なかったこと」は自明なのでしょうか?
2016-08-20 21:37:27
keijitakeda
@keijitakeda
@ockeghem では「他サイトから漏洩パスワードを用いて漏洩元とは別のサイトに対して攻撃が来ない場合がある。」は自明でしょうか?
2016-08-20 21:39:44
徳丸 浩
@ockeghem
まぁ、あるかないかで言えば、「攻撃が来ない場合もある」でしょうね。パスワードが目的でなかったケースとか RT @keijitakeda: @ockeghem では「他サイトから漏洩パスワードを用いて漏洩元とは別のサイトに対して攻撃が来ない場合がある。」は自明でしょうか?
2016-08-20 21:45:47