タグ: 対策

pacsafeのRFID Safeな財布、コンドのキーカードが使えなくてダメだわ 2017年09月13日

Untitled

酔っ払って財布なくしたのでとりあえず財布を新調する必要があったのだけれど、Silom Complexのカバン屋で見かけたpacsafeという旅行用カバンや盗難などに対してセキュリティ対策を施した製品を多くリリースしているメーカーの財布を購入。1600バーツだったかな。

pacsafe – パックセーフ | 株式会社エイアンドエフ – 世界中の優れたアウトドア用品を30年以上輸入販売

この財布、RFIDセーフという機能が盛り込まれていて、カード式電子マネーを財布の外から触れずに盗むようなケースに対応するために財布の布がRFIDの信号?電波?を通さないようになっている。

しかし、よくよく考えたら地下鉄やBTSのカードも入れたままじゃ使えなくて不便この上ない。財布に入っている電子マネーを非接触で財布の外から盗むって、バンコクでそんなことしてる奴おらんよ。やっぱり不便だわこの財布。。。

利便性を考えて現金ではなく非接触型のカードにしてるのに、いちいち財布をポケットから取り出して、さらに財布からカード取り出してっていうのは不便の極みですな。

日本(東京)に帰ったらいの一番でApple Watchを買いたいのはSuicaがApple Watchが使えるから。家出る時に時計するのを忘れなければ、財布をカバンやポケットから取り出す動作も不要でコンビニ会計や、改札を通れるのは便利じゃないかと。多分両手にいっぱい荷物持ってる時なんかは重宝すると思います。

Untitled

Data Traveler Locker+ G3 ってな暗号化機能付きUSBメモリを買いました 2015年08月19日

image

タイの大手ショッピングサイトLazadaにてData Traveler Locker+ G3という暗号化機能のついたUSBメモリを購入。16GBもので999THBでした。商品の発送がよく見ると「International Shipping」となっていて普通にタイでは売ってないのか?とふと考えてしまった。確かにこのモデルは店頭で売ってるのは一度も見たことがない。

ちなみにこのData Traveler Locker+ G3という型番、仕事で異なるお客さんが立て続けに「USBメモリは暗号化できるものでないと。これ見積もり取れる?」って感じで指定してくるものがだいたいこのKingston製なのでLazadaで見つけた時に「高いものではないし、一回自分でも触ってみるか」と思い購入。

001

発送は香港からでした。極々簡素な包装。パッケージはいつものKingstonのUSBメモリと変わらない。中身のメモリ自体は、何故か金属製。それもアルミとかではなく、ずっしりしたメタル(ヘビーメタル!)。外装をわざわざ金属製にする必要性がわからん。無駄にゴツイ作りをしています。

image

image

一番最初にUSBメモリをPCやMacに挿してマウントされる”DTL +G3″というドライブを開き、Windowsならそのドライブのルートフォルダ、Macの場合はルートフォルダ > Mac のフォルダの中の暗号化アプリを立ち上げて、暗号化用のパスワードを入力、その入力した暗号化キーで最初にドライブの保存領域をフォーマットして準備完了。

次以降に使う際には、USBメモリを挿して同じく”DTL +G3″というドライブ名のドライブが自動的にマウントされるのでそのドライブ内の暗号化アプリを立ち上げ、パスワード入力。パスワードが正しくて復号化ができれば新たに別に”Kingston”という名前のドライブがマウントされ、そのドライブが暗号化されたドライブとなる。ここにデータを書き込んで使用するという使い方になります。

つまり最初の”DTL +G3″というドライブは暗号化アプリをPC/Macに提供するための役割を持ち、このドライブには他のファイルを書き込めなくて、暗号化アプリに正しいパスワードが入力されて、”Kingston”がマウントされるとそこが本来の暗号化機能を提供するドライブとなるわけです。

PC_2015-8-19_22-31-19_No-00
↑ H:ドライブが上記で書いてる”Kingston”に該当するドライブ。ドライブ名をその後自分で変更しました。

これって、オープンソースのディスク暗号化ツールTrueCrypt使って同じようなものを作れるんじゃない?もしくは今ならMicrosoftのWindowsについてくるBitLocker To Goとか。このBitLocker To GoはHDD暗号化機能のBitLockerの暗号化機能をUSBメモリにも適用できるもの。Windows標準の機能でUSBメモリ暗号化して、それ以降WindowsマシンでUSBメモリ使うときには挿した直後にパスワードを聞いてきて認証されればファイルが読めるようになる。WindowsのBitLocker To GoはWindows 7までは高機能版のUltimateやEnterpriseでないと使えなかったがWindows8~10ではHomeからひとつ上のProで使うことができるようなのでこれも低コストで暗号化USBメモリを実現出来るんじゃないかと思う。

TrueCrypt – Wikipedia
BitLocker – Wikipedia
BitLocker To GoでUSBメモリを暗号化する - @IT

ちなみにBitLocker To GoはWindows専用。TrueCryptはMac版もあってUSBメモリにMac版のプログラムも仕込んでおけるけど以前テスト的にこれで暗号化メモリ作った時にはWin<->Macの両方で使っているとすぐに暗号化されたファイルが不整合起こして読めなくなったような気がする。Windowsだけで使ったほうが無難ですな。

さらにはTrueCryptは去年あたりからプログラム上の問題でセキュリティホールがあると開発者自身から指摘されていて開発が中止されている様子。でも再度有志が集まり別途開発を進めてる動きもあるみたいでちょっとややこしい。

開発が停止したと思われていた暗号化ソフトTrueCryptが復活に向けて動きだす – GIGAZINE

TrueCryptの暗号化の問題はちょっと横においておくとして、TrueCryptを使えば通常の暗号化機能のないUSBメモリでもUSBメモリを挿したあとにTrueCryptを立ち上げ、パスワードなどを入力、その後別途マウントされる暗号化対象のドライブにファイルを読み書きすることができるようにセットアップすることが可能である。

ほとんど機能的に一緒ではあるが、ここで異なるのは単純にTrueCryptで作った暗号化USBメモリはTrueCryptの実行ファイルを置いている非暗号化領域にもファイルが書き込めてしまう点が問題か(アクセス権限をちゃんと設定すれば書き込み禁止にできるような気もするが)。

仕事で急いでいる時とかパスワード入れるのめんどくさくなってついつい暗号化領域ではなく、この非暗号化領域にファイルを書き込んで使ってしまうことは想像に難くない。こんな運用をしていてUSBのメモリをなくすと元も子もない。非暗号化領域に保存したファイルは拾った人間が自由に読めてしまう。

その点、ほぼ同じ機能ではあるが、このKingstonのUSBメモリなら非暗号化領域もアクセスの権の設定によってファイルが書き込めなくなっているのでユーザーはめんどくさくてもパスワード入力して暗号化ドライブをマウントしてから使うことになる。ということは通常のUSBメモリとこのKingstonの暗号化機能付きのUSBメモリの価格差はこの「非暗号化領域に書き込めないように”よりセキュア”に作ってます」ってところなのだろうか?

といろいろ考えたKingstonのUSBメモリでした。ま、他にも暗号化強度やパフォーマンス、使い勝手などいろいろ考えないといけないポイントはあるんでしょうけど。てか、ちょっと今からTrueCryptでの非暗号化領域を書き込み不可にするアクセス権設定をいろいろやってみたくなった。これができれば基本的に暗号化USBメモリってわざわざ買うこともないのかとも思ってしまいますな。。。

キングストン 16GB セキュリティUSB3.0メモリー DataTraveler Locker+ G3 DTLPG3/16GB
キングストンテクノロジー
売り上げランキング: 69,773

↑ 珍しくタイで購入した価格のほうが安い。。。

LINE 乗っ取られは。。。 2014年08月25日

Line powered by Naver Japan NHN
“Line powered by Naver Japan NHN by Jon Russell, on Flickr”

LINE乗っ取りの実情聞いてるとどうもパスワードの設定とか、モバイル側での設定とかそんなのじゃなくサーバーが脆弱性もっててサーバー側で丸ごと乗っ取られてるんじゃないかという気がしなくもない。

*つい先日の知り合いの事例
1. パスワードはランダムに発生させた文字列12文字以上
2. そのパスワードはLINE専用、他のサービスで使っていない
3. PIN CODEは設定済みとのこと
4. Email設定済みで他のPCでログインは可能

この人はセキュリティ対策もわかってる人なのでちゃんとパスワードはランダム関数で発生させた意味をなさない文字列のパスワードで12文字以上のものを設定していた。そして他のサービスではこのパスワードは使ってないらしい。

乗っ取りのひとつの理由として他のサービスで同じパスワードを使っていて、それが情報流出で乗っ取り犯に情報が渡り、そのパスワードでログインされるというもの。しかし、今回の場合それには当たらないし、パスワード情報が流出しようがほとんどの場合はパスワード情報自体はハッシュ値で保存されているだろうから、それはそのまま使えない。そのハッシュ値のもとになる文字列を探し当てるために再度総当りが必要になってひとつひとつのパスワード解析に時間がかかりすぎる気がする。

9-1. パスワードの取り扱い : IPA 独立行政法人 情報処理推進機構:情報セキュリティ

結局パスワードの総当たりなどで突破しようとすると一件一件に時間がかかりすぎて、その後のiTunesカードを買って送ってくれ作戦の成功率を考えてもそれだけ時間をかけるメリットがない。パスワード解析の暁には確実に騙して金を手に入れることができるのであれば時間かけてもやるだろうが、その後のメッセージの送り方、騙し方を考えると成功率は全然高くないはず。

セキュリティ調査レポート Vol.3/パスワードの最大解読時間測定 【暗号強度別】 | サービス | ディアイティ

上記のリンクではPC上で総当りの手法でzipファイルのパスワードやMS Officeファイルのパスワードの突破を試みるときにかかる時間について実験してるが、英文字大小、数字、記号が入力できるパスワードで10桁のものが設定されていた場合すべてのパスワードのパターンを試すまでに341年かかる。これをネットワーク越しにやるなら時間的には何倍、何十倍とかかるはずなので、こんなことをやるぐらいならもっと金になる話がいっぱいあると思う。

今回のパスワードが突破されたことを考えたら、逆にサーバー側になんらかの脆弱性があって、乗っ取る時はサーバー丸ごと一台分、ユーザ数は何十万人分とかを一気に乗っ取って、それに対してiTunesカード買ってくれメッセージを一斉送信、返答のあるアカウントだけ、人が個別対応、とするなら効率的なんである程度やっても意味があるかなと思う。

LINEの他端末でのログインを不可にすれば乗っ取られの実績はないみたいだが、サーバー側が乗っ取られるのであれば、その対策も簡単にサーバー側で設定が書き換えられてしまう可能性があってすぐに他のPCでログインされてしまうと思う。とすればユーザ側でパスワード変更やらの設定で対策しようが何も意味がなく、サーバー側で脆弱性対策をしっかりやってもらわないといつまでもなくならいということになる。ネットでも「サーバー側に問題あるんじゃない?」的な事を書いてる記事が出てこないんだけどホントにユーザ側設定が原因で乗っ取られてるのかな?100%がそうじゃないと思うんだが。。。

まあ上記のような勘ぐりをしてしまう。ただ、個人的にはこういうセキュリティハッキング的な話なんて職場の人間とするようなこともとんとなくなっており、そういうニュースも最近は全然読まないので全然見当外れの内容を書いてしまってるかもしれない。なんか具体的にこんな形でハッキングしてんだよ、ってな面白い話を知ってる方はぜひご教示ください。。。

んで、結局現状LINE使ってる人はどうしたらいいの?って質問の答えは、「使わない」がいいんじゃないでしょうか。。。通常の使い勝手は別に悪くないんだが端末リセットした時とか、他の端末に乗り換えた時にメッセージ引き継げないのが(絶対サーバー側にメッセージ残してると思うんだけどなぜにユーザーに見せないのか?それともホントにサーバー側に残してないの?)どうもめんどくさくてイマイチ好きじゃないんだよなあ。それ考えるとFacebookメッセンジャーのほうが使いやすい。メッセージデータはサーバーにあってマルチデバイス対応ですもん。LINEと同じぐらいに使ってるユーザー多いし。ですが、他のサービス使おうが本質的に乗っ取りのリスク自体はLINEと一緒ですな。SMS使うか。。