編集部が厳選した「いま、みんなに見てほしいまとめ」をイチオシとして紹介しています!グサッと刺さる良質まとめはこちら!

セキュアでなくても事故が起こらなければいいSFC武田教授とFB良品の問題点を叩いている人たちとの議論

XSS祭りが起こったFB良品を擁護している慶応大学の武田圭史教授(専門分野は情報セキュリティ)とこれまでにさまざまな武雄市の問題点を指摘してる人たちとの年末からのやり取りをまとめています。
インターネット fb良品 武田圭史
13493view 24コメント
20
ログインして広告を非表示にする
keijitakeda @keijitakeda
人物憎しで書くとこうなってることよくある。「事実と異なる内容を佐賀新聞ブログ論壇「ばってんがサイト」に掲載してしまい、関係各位にご迷惑をおかけいたしました。」抗議いただいた件の事実確認について(ばってんがサイト事務局) http://t.co/q8sWOZ1t
Seiji Matsuda R.I.P. @SeijiMatsuda1
@keijitakeda 情報が与えられない状況の中で不安を感じた場合、「人物差し」以外に計る方法は無いような気がします。まあ、必要な情報は再掲されたので良いですが。 http://t.co/uWbIarLn
keijitakeda @keijitakeda
私はセキュアでなくても事故がおこらなければいいし、セキュアであっても事故が起こったら駄目だと思ってます。
keijitakeda @keijitakeda
まぁ事故が起こるということはセキュアでなかったということですが世間一般のセキュアと言われる水準ってことで。
keijitakeda @keijitakeda
海外の通販とかクレジットカード番号をメールで送れとか言ってきてそんなんでセキュリティーがーとかいうのも大人気ないのでそのまま送ってる。
焼きプリン(特殊市民) @baked_pudding
「人物憎しで書くとこうなってることよくある。」https://t.co/73qh77dY 高木浩光氏憎しでどうなってるかは存じませんが、そういったご自身の体験談に基づいて、勝手に井上一夫氏もそうなのだと決め付けるのはよくありませんね。
ふむ (主に山と図書館) @fmht7
https://t.co/Tqqd6bmN 「セキュアでなくても事故がおこらなければいい」とは、セキュリティの研究者としての職を放棄したと等しいと思う。世間がなんのために生産的とは決して思えないセキュリティ対策などしているのか、それを全否定しかねない。
keijitakeda @keijitakeda
昨日の「人物憎しで書くとこうなってることよくある。」と書いたのはなんらかの意図を持って想像(思う)や可能性(がある)などの論調でネガティブな記事を書くと実際の話とは関係なくあたかもそれが事実のように周囲に認知されさらにネガテイブな論調につながるという状況について述べました。
keijitakeda @keijitakeda
私自身はそういう昨今の状況に危惧を抱いています。
高木一郎 @takagiichiro
https://t.co/VA8LM3qb これは一体どういう意味なのだろう。運転に例えると、たまたま事故が起こらなかった危険運転者より、運悪く事故に巻き込まれた安全運転者のほうがダメだという意味なのでしょうか。
いつき @ityuki
FB良品の中間者攻撃の実証実験、現在運用されてるサイトで実際に中間者攻撃を食らうとどうなるか、が分かるので、そういう意味でも面白いです(笑)→http://t.co/XNREcrf8
いつき @ityuki
@rocaz 振り上げた手をおろせないなら叩ききってあげよう、と言う訳で、実際に使えるPoCを作ってみましたw 暇があればどぞ。http://t.co/XNREcrf8
ふむ (主に山と図書館) @fmht7
@keijitakeda 情報公開も不十分な中検証を一つずつ行っていくと、 あまりにも計画が杜撰なためあれもこれもネガティブな状況に至ってしまい、あたかも「人物憎しで書かれたものとネガティブな解釈がなされてしまう」ことがあることに、武雄市界隈の問題で知ることができました。
keijitakeda @keijitakeda
こんな状況じゃあ、ただ面倒なことになるだけだから武雄市図書館の話題に触れたくなくなっちゃうよなぁ。ポジティブでもネガティブでも。
焼きプリン(特殊市民) @baked_pudding
https://t.co/8SoTQh6z そう言いながらわざわざ触れたがるのはどうしてなのかなあ。
keijitakeda @keijitakeda
ローカルでbatしかも管理者権限つき走らせればなんでもできるわけだけどそういうのもPoCっていえるのかなぁ。
焼きプリン(特殊市民) @baked_pudding
端的に申し上げれば、https://t.co/8SoTQh6z で行われていることは、当の本人が https://t.co/PIbyERuT で書いていた「意識的な情報操作」以外のなにものでもありませんが、恐怖は感じていないのでしょうね。
keijitakeda @keijitakeda
うちの区の図書館も(選択制で)貸し出し履歴の事後確認ができるようにならないかなぁ。
いつき @ityuki
@keijitakeda あれ以上やると、法律に引っかかるような気がしてマス。一番問題無さそうで簡単な方法を選んだだけです。さすがに勝手にhostsとかDNS Resolverを書き換えるexeファイルはマズイかなぁと。手動での方法だと出来る人が限られますし。
ふむ (主に山と図書館) @fmht7
@keijitakeda 生産性の維持を言い訳に場当たりや後追いの対策に終始してはいけないと思いますし、武雄市界隈の問題はそれ以前の既知で初歩的な問題と見受けられます。
いつき @ityuki
@keijitakeda セキュリティホールを突くPoCってどこまで作っても良いモノなのか、かなり難しい気がしています。気をつけないとウイルス作成罪やら不正アクセス何とかやらの法律の壁と、営業妨害とかの民事系の問題も含まれる可能性がありますし……。
いつき @ityuki
@keijitakeda 0-day使ってごにょると警察がすっとんでくると思いますし…。ウイルスならhosts位書き換えられるじゃろ?という前提で、そこを明示的にユーザーに操作して貰うことで、意図しない挙動では無いようにしています。その部分がPoCとして微妙というのは同意です
keijitakeda @keijitakeda
@ityuki 確かに難しい問題ですね。意味がわかっている人が手動で行うのが確実かと思いますが、batプログラムが何をしているのかまたそれが、現実のどういう脅威を想定して再現しているのかの説明があるとより丁寧かと思いました。
keijitakeda @keijitakeda
@ityuki hostsを書き換えられるぐらいのマルウェアへの感染が前提となるならFB良品に限らずSSLが適切に運用されていても被害が防げないような気がします。想定としてはDNSポイゾニングとかになるんでしょうかね。フィッシングだったらアカウントそのまま持っていけそうですし。
keijitakeda @keijitakeda
@ityuki 現実的に考えられる脅威としては無線LANアクセスポイントの成り済ましなどが行われ任意のIPにDNSが振られた場合にSSLのアドレス欄でのサイトの真正性が確認できないというようなことでしょうかね。
残りを読む(140)

コメント

yousukezan @yousukezan 2013-01-03 01:50:09
長かったのでまとめた。
やっつん@uraent/2/3に移転中 @yahttsun 2013-01-03 05:03:11
zipすると、運任せでサーバーノーガードやろうぜ
夢乃 @iamdreamers 2013-01-03 07:14:37
これ逆で、「こういう事故が想定されるから、これだけセキュアに設計しないといけない」じゃないのかなぁ・・・
Youhei Kondou @dw3w4at 2013-01-03 09:05:53
中村伊知哉、菊池尚人、武田圭史… 某市に甘い&甘い汁を吸ってる輩がすぐに3人も名が上がる…。SFC ってクズオブザクズだな。
ふむ (主に山と図書館) @fmht7 2013-01-03 10:27:51
忘れた頃に盛り上がりますねぇ。関連まとめ http://j.mp/VCeGR2 何度も「圧力、圧力」おっしゃってる様子が良くわかります。
Seiji Matsuda R.I.P. @SeijiMatsuda1 2013-01-03 11:13:26
何に対しての回答であるかわかりづらい部分があると思い、私自身の発言を補足編集させていただきました。
金の髭 @goldenhige 2013-01-03 11:26:11
私のツイートも入ってますが誤解なさらぬよう。同意してるのは「批判を行う際の考え方の大筋」であって「問題が起こらなければいい」の部分ではありませんのでw
Hato @Hato810810 2013-01-03 12:17:39
武田氏は技術面でのセキュリティ対策を提案する立場として、個人攻撃では何も解決できないし行うべき指摘、批判以上のものはまずいんじゃないのという。 他の人は市長の存在が社会的なセキュリティホールだと考えて(解決案があるにしろないにしろ)個人を叩く
Hato @Hato810810 2013-01-03 12:45:06
「問題が起こらなければいい」ってのは理解が難しい。 長年セキュリティ業界に居続けて、そこで出来ることの少なさから至った一つの悟りなのかな。いろいろなリスクが放置されてる現状に妥協しまくってるみたいだし。
とげとげ @togetoge10 2013-01-03 12:48:42
誹謗中傷だの圧力だのって言葉が出てきますが、実際に起こったことは「指摘したら逆ギレ、誹謗中傷された」なような気がします。
Tsuyoshi CHO @tsuyoshi_cho 2013-01-03 15:41:38
"ある時点(利用停止時)までで"事故がなければ良いなら限定的に同意するけど、現実はある日突然にサービスを停止することはないだろうし、そうはならないと思う。あと色々な有効な予防措置をしていけば、問題の発生の確率やタイミングをコントロールできるとは思うんだが...
くそみそピピック @Axtu__ 2013-01-03 22:39:52
SFC と言えば、クサロカさんも #SFC卒 ですよねえw
skiplope @skiplope1326 2013-01-03 23:17:23
『バランスはリスクの程度(発生可能性と発生時の大きさ)と必要な対策にかかるコストやデメリットとの対比』というのはセキュリティ屋としては当然の考え方なんですよね。ただこの場合、リスクやデメリットは運営側が負うのが大前提なんですが、件の武雄市の場合はどうにもその辺が曖昧なもんで、覚悟はあるのか、そもそもリスクを検討したのか訊かざるを得ないと。
ぴなな(特殊ひきこもり) @piospe 2013-01-03 23:35:10
発言に責任を持ちますが、なんだか、今回は恥ずかしい……全体を見ると、他の方々の指摘レベルを考えると、私の質疑は蛇足かもですね……
KIMATA RobertHisasi @robert_KIMATA 2013-01-04 01:08:48
「問題が起きなければ問題ない」というのは結果論でありトートロジィ。予見される問題があるなら、その結果予見される被害と対策を見積もって、割に合う範囲で行うのが対策
KIMATA RobertHisasi @robert_KIMATA 2013-01-04 01:13:57
http://togetter.com/li/433150#c910399 よって「セキュアでなくても事故がおこらなければいい」ではなく、「事後対応で十分な被害の事故しか予見されないから対策は不要」には同意(本件が本当にそうかどうかは別にして)
金の髭 @goldenhige 2013-01-04 07:30:51
武雄市には個人情報への意識の低さを露呈してきた実績があります。貸出履歴の件や図書館アンケ回答用紙無断ネット公開の件など。個人情報事故の被害について検討しているのかは疑問ですね。
Jean-Luc Picachu @JeanLuc_Picachu 2013-01-04 09:08:17
あ、頭が割れるよーに痛い…
いつき @ityuki 2013-01-04 13:49:56
私の考えがまとめに入っていないのでコメント欄で。https://twitter.com/ityuki/status/286452373700870144 セキュリティ問題が善意の第三者に致命的な影響を与える場合は必要と思います > 必要性を認識しない人に(略)正当化されうる?
アイヴァーン @Ivarn 2013-01-05 17:21:28
セキュリティ対策の必要性を認識しない人にそれを強制することは論外だとは思うけど,その指摘に耳を貸さず無視するだけではなく安全という虚言を広報するような時点で,おそらく「事後対応」じゃ取り返しのつかない事態になるまでまともな対応がなされないんじゃないのかねぇ。
アイヴァーン @Ivarn 2013-01-05 17:22:27
そういうような予想がされる時点で,もうすでにFB良品まわりとかは相当やばい状況なのではないかと思えたり・・・。いや,現実的な脅威もさることながら運営する人員的な面でのリスクというか。
アイヴァーン @Ivarn 2013-01-05 17:24:19
被害の規模(とか危険性)のスケールが違うけど,安全神話など謳われていた原発のようにそれこそ取り返しのつかない事態に至ってようやく対応がなされるくらいの状況が浮かんでしまうわけです。
藁科 英司 @hamanako 2013-10-03 01:09:25
武田さんがFB良品への提訴について肯定的なコメントをしていたことに違和感があったので、このまとめを見返したのですが https://twitter.com/keijitakeda/status/285650203531431936 とか滅茶苦茶ですね。とくに最後のインシデントはムスリムコミュニティに対する酷い仕打ちだったのに
ログインして広告を非表示にする
ログインして広告を非表示にする