雑記

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|
2007|01|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|09|11|
2009|02|03|05|06|07|08|10|11|12|
2010|01|03|04|05|06|07|08|09|10|
2011|05|06|09|10|
2012|03|07|09|12|
2013|01|02|04|05|07|08|10|11|
2014|04|05|08|10|12|
2015|01|05|
2016|09|

2003-12-18

可能性

私の理解では,TCPの3 way handshakeって,クライアントへのなりすましは難しくてなかなか現実的ではないと言われていますが,サーバーへのなりすましは意外と簡単なはずです.これってたぶん盲点というか,過去の状況なら「出来るけどナンセンスだよねぇ」と笑い飛ばされて終わった話なのですが,今回の問題におけるSSL MITMへのアプローチとしては非常に有望であると私は考えていて,あと何手か打つことによって,正しいサーバへアクセスしようとしたクライアントでさえ,知らず知らずのうちに罠にはめることが,現実的な確率で可能であると思っています.

それでも,httpsのページを開いた後に鍵マークをダブルクリックして証明書の発行先を確認することで偽装を見破ることが出来ますので,まだIEを使っている人はぜひ鍵クリックの癖を付けてください.

これも具体的な手口を示唆する内容なので書いてしまってよいものかどうか非常に悩みました.しかし,元の文書の私の書き方が中途半端であったため,リンクを張っていただいたサイトで誤解されている所があったようなので,書くことにしました.こういうやり方は良くないという思いはあるのですが,こうする以外に良い方法が思いつきません.17日の行動のときも,実はリンクを張ってくれそうな有名な方にメールで相談しようかとも思ったのですが,それだと儀礼的無関心(関連リンク集)におけるBさんのような役割というか,「周知させた責任」みたいなものをその人個人に押し付けることになるんじゃないかと考えたりして...


2004-12-18

銀行カード偽造の被害者は泣き寝入りするしかないのか?

「報道特捜プロジェクト」というテレビ番組で見たのですが、銀行のカードが偽造されて勝手に預金を引き落とされるという被害が増えているそうです。予定を変更したそうなので、再放送なのかな。

番組の中では、被害のパターンとして、

  • 1987年(うろ覚え)以前に使われていた古いシステムでは、カードの磁気部分に暗証番号をそのまま記録しているものがあり、そうした古いカードを使った口座と同じ暗証番号を他のカードでも使っていると、そういった脆弱性をもつカードから暗証番号が漏れて、他のカードの預金まで引き落とされてしまう
  • 銀行のATMと本支店を結ぶオンラインの回線上に盗聴器を仕込まれ、口座番号と暗証番号が盗まれてしまう

という2種類が挙げられていました。前者の問題に対しては、金融機関に対して、今自分が使っているカードには暗証番号が記録されていないかどうか確認して、記録されているのなら交換してもらうか、交換できないと言われたら口座を解約するしかないでしょう。

それより番組を見ていてびっくりしたのは、銀行側はカードの利用規約にある、偽造カードが利用されても責任はとらないという項目(!)を盾に、後者の方法による被害者に対して損害の賠償に応じないばかりか、対策すらとろうとしていないという点でした。

2番目の問題の本質はおそらくセキュリティに関心のある技術者なら誰でも知っている、いわゆる「平文パスワード問題」です。つまり、銀行とATMを結ぶネットワーク上を平文の口座番号・暗証番号が流れるため、回線上に盗聴器を仕掛ければ、簡単にそれらの情報が盗めてしまうというものです。対策も(技術的には)簡単で、ATMと本支店の間の通信内容をきちんとした方式で暗号化してしまえば済む話です。が、途中にあった銀行協会の人間のコメントは「犯人が検挙されておらず、犯行手口の詳細が良くわかっていないため、対策が立てられない」だそうで、うっそで〜。正直にATMのシステム更新には莫大なお金がかかるのでと言ったらどう? って感じです。

ところで、番組に出演しておられた被害者の方は、カードや通帳を盗まれたこともなく、暗証番号のメモも取っていなかったそうです。さらに、その人は関東在住の人なのに、偽造カードによってお金が引き落とされたのは仙台で、なおかつ使われたカードは被害者とはまったく関係のない女性が、空き巣の被害にあって盗まれたものだったそうです。

ここまで状況が揃っていながら、銀行側が強気でいられるのは、前に書いた免責条項があるのと、被害者側は暗証番号を盗まれなかったことを完全には証明できるわけがないと考えているからでしょう。一方で、状況から見て銀行側にも、銀行側の責任により暗証番号が盗まれなかったことを証明するのは難しく、さらに言ってしまえば、盗聴器が仕掛けられた事により暗証番号が盗まれたという状況証拠をそろえるほうが簡単なのではないかと思いました。素人考えですが、その辺を攻めて、客観的に見て銀行の落ち度により暗証番号が盗まれた可能性が高いという結論に持っていければ、契約を無効としたり、顧客情報に関して不適切な処理を行ったとして責任を取らせることもできるような気がします。

具体的には、銀行側に

  • ATMと銀行本支店間の通信方式
  • 被害者の方の全ての引き落とし記録
  • 上記の記録から判る、全ATMと銀行本支店間のネットワークにおける点検・工事記録(請負業者があればなおよし)
  • 上記ATM、銀行本支店間のネットワーク、銀行本支店に、現時点で盗聴器が仕掛けられていないかの調査の請求

等の情報開示を求めるとか、第3者に、上記ATM、銀行本支店間のネットワーク、銀行本支店において、盗聴器を仕掛けられた、あるいは盗聴器を外すための工事をしたような痕跡が残っていないかどうかを調べてもらうとかするのかな。通信方式を聞いてみるのは、被害にあっていなくてもやってみて、銀行にプレッシャーをかけるのも良い手かもしれません。対応が不誠実なら解約したり。

そういえば昔、コードレスフォンの通話内容が簡単に盗聴可能であることがばれて、「スクランブル対応」とか変な売り文句の電話機が流行ったことがありましたね。

本日のツッコミ(全1件) [ツッコミを入れる]

- nishi [この番組、私も見ました(細切れだけど・・・) 銀行の対応方法は腹立たしいね。 大金は現金で隠し持てってことですかね。..]


2005-12-18

修羅場中の夢

金曜から緊急修羅場に入り、忘年会にも行けず。ぶっ続けで仕事をして朦朧とした状態で仮眠に入ってみた夢は…

夢の中で私は女性と付き合っていることになっているらしいのだが、その彼女からいきなり別れ話を切り出される。曰く「私、この人と結婚することにしたから」。彼女の横ではレイザーラモンHGがフォーの体勢で腰を振っている。なんじゃそりゃー、と突っ込んだところで自分が布団の上で腕立て伏せ状態になっていることに気づく。生まれて初めての突っ込み起き体験でした。

だれか夢占いして下さい。