clubhouseは安全か。
clubhouseについて考える。
私は、巷がアカウントが高額売買されてるニュースがながれたその日に、どうしても欲しくなって海外の友人におねだりして、アカウントを人よりほんの数日早く貰ったただのミーハーだ。
が、通常のインビテーション2枠に加え、定期的に5枠が人より早くわりあてられてている。こんなに増えていいの?ってぐらい来る.
最初は徳が…とか笑ってた。
もちろん、インフルエンサーではない。
むしろ使ったはほんの数回だし、モデレーターをやることもない。
そこで考えてみた.
私は複数の携帯を持つ。
そして複数のSNSをやっている。
それぞれのアカウント及びその登録メアドは使い分けていて、メアドによるマッピングもかなり難しいのではないかと思う。(Googleさんが頑張ればできるが、Googleさん次第)
そして携帯番号の登録をしていない。
Googleさんにも公開していない。
clubhouseは、電話帳に登録された実データからの招待制。
これだと高確率で、リアルの繋がりがマッピングできる。
かつ、招待の際にはいちど、アドレス帳データが読み込まれる。
まず、このアップロードされたデータが安全なのかも謎。
そして、音声データは記録されない、とのことだけど、中華を経由してるらしい。上海で声紋盗られて色々偽造されたり、刷り込み詐欺に使われちゃうかも.
そして本当に記録されてないのかも謎。
広告収入も今はないようだけどどうやって収入を得てるモデルなのかも謎。
そして。私に人より多い招待枠が来ること。
これは多分、私の繋がりデータがすくないから、実際の繋がりをサーチするためなんじゃないかと睨んでいる。
ビッグデータで、リアルの電話に登録してある情報とマッピングしてリアルなネットワークを監視するんだろう。
私みたいなごくごく一般人のデータなんて集めても何の意味も持たないし、既に漏れてるところには漏れてるんだろうからどうでもいいんだけど、でもやっぱちょっぴ嫌だなとか思いつつ、流行り物すぎなので手を出してしまうのでした…。
セキュリティと正義について。
最近考えていることがある。
セキュリティと正義についてだ。
たとえば、ethical hacking。
正義の名の下にethicalの名の下に、よその人たちの持ち物にハッキングかけまくる行為が横行している.
本来、ethical hackingとは、高い倫理観の下、正当な手続きの下行う行為である。
ここを履き違えて、親切心で許可なく他人のサイトのセキュリティチェックを行い、事後報告で伝える、という行為がある。日本の不正アクセス禁止法には当たらない可能性もある、というグレーゾーンをついている行為だ。
日本の不正アクセス禁止法で定義される不正アクセスは、とてもグレーで、物理で例えるなら、ドアをこじ開けて侵入するような行為でない限り、不正アクセスには認められないケースもある。
あなたのご自宅に、おたく、裏口の鍵が空いてて侵入できましたよ、実際に入って、タンスに印鑑と通帳があるのをみました。
危ないからかぎしめたほうがいいですよー。
と突然言われたら?
鍵空いてますよ、で報告を受けるならいいと思う。
でもね、鍵が空いてて、入れた状態だから入ってみた。
試しにタンス開けたら通帳があった、盗んでないけど、証拠に通帳の中身、写真撮ったよ。
危ないから気をつけてね?
あ、自分通りすがりの正義の人です!ドヤー
とか突然見知らぬフリーメールから通帳の写真付きで送られてきたらどう思う?
不法侵入だよね?情報窃盗だよね?
その人が本当に何も盗んでないかしんじられないよね。
通帳は盗まれてなくても、パンツ被ってスーハーしたかも知れないじゃない?
ペンテストのブラックボックステストだって事前に誰かしら、所有者の了解や必要な手続きを取るわけよね。
行きすぎた勘違いの正義感は、テロリストとなんら変わらない、と思います。
年金機構、職員のインターネットアクセスをしばらく禁止って…
年金機構のID流出についての見解と某大臣の発言について
緊急投稿2 heat bleed について
お久しぶりです。
数少ない、リーダーさんもお忘れなんじゃないかと思いますがお久しぶり、セキュママです。
HeatBleedの衝撃とともに、ムスコのつかまり立ちと高速ハイハイに脅威を感じる今日この頃です。
さて、HeatBleedがホットですね。
皆さん、パスワード変更しちゃいました?
焦って変えない方がいいですよ。
このHeatBleed、パッチが当たって、さらに、サーバ側で暗号キーを作り直して、再起動して、って処理が終わらないとダメなんです。
サイトには数多くの被害を受けているサイト情報やあやしいであろうサイトが記載されてますが、それらのサイトで、被害状況の把握、使ってるモジュールのバージョン情報と使ったパッチ及びその対応が発表されてからでないと、パスワードの変更状況から盗み見されちゃって、変更の意味がないわけですよ。
アメリカの有名どころのサイトは情報出てますが、日本のサイト情報のまとめはほとんどないですよね。
どうなってるんでしょうね。個人的には楽天がヤバイ気がしてます。
あとは、オープンソースバリバリ使ってそうなゲームサイトとか。
しかも、今回、バグが見つかったオープンソースは、結構商用でも使われてて。
銀行も危ないかもですね。
日本は被害状況を隠す傾向にあるから、来週あたり大変なことになる予感です。
日本のニュースも小保方さんとかやってる場合じゃないんですよ。
さらに今回、スニーフィングでカード情報とか個人情報が危ないとか言われてますが、私はサーバーで保護されてる方のものの方への影響もバカにならないんでは?と思ったりしてます。
SNSなんかたいがい一つのパスワードを使いまわしてるから、サイトのひとつが被害にあってたら連動して全部もれちゃって全財産なくしたりする人もいるかもね。
っていうか、こんなに大事になってからその穴を狙うのは、コソ泥っていうか、小物だから被害額が大きくても社会混乱はない、と思う。
でも、金銭的被害で済むなら不幸中の幸いだ。
何億台もある重要システムのサーバで管理もれはあるだろうな。
某国のハッカーや、極悪テロリストが悪用しませんように…
というわけでまとめ。
今回の個人的被害を最小限にするには。
1 少し待つ。そして、サイト側の対応が終わったら、めんどくさくてもパスワードをいっこいっこ変える。そして頭で覚える。紙で書くなら金庫管理。
クレジットカードの明細や銀行の明細は細かくチェックする。
2 この機会にアナログな生活に戻る。現金以外なるべく使わない。
余分なサイトの個人情報は全部削除する。(気休めだけど)
っーことです。
ネットショッピングだけでなくって、お店で使うクレジットカードの決済情報もインターネット流れてますからね!注意ですよー!場所によってはipsecじゃないものもあるし。
因みに、銀行のATMは独自ネットだから、その銀行自体がすでに乗っ取られて無い限りは大丈夫。