DANNY YADRONさんの記事の翻訳版です。政府機関とハッカーとの接触についてで、有能なスタッフとなりえる人材を政府機関がこういった場で探している、という話です。
この記事からは最後の1文を引用します:
ある時点で当局者の1人が、ハッカーやセキュリティーの専門家、数人の記者で構成される50人の聴衆に向かって、政府で働くことなどあり得ないと考えている人はいるかと尋ねた。手を挙げたのはたった1人だった。
なんだかんだと言って、結構政府に信頼を寄せているのかなぁ、と思える結果です。
日本ではどうなんでしょうね。情報関連の政府機関員がスカウトをしているのでしょうか? それとも各都道府県警察が募集をしている特別捜査官やサイバー捜査官くらいなのでしょうか? いずれにしても、機関内部でゼロから技術者を育成するのはコストとリスクが高すぎるので、民間から有能な者を登用しようとするのは正しい方向性なのだろうと思います。
三井物産セキュアディレクション株式会社の寺田 健さんが発見した、Apache Struts 2の脆弱性(Apache Struts 2 Documentation – Security Bulletins > S2-016、S2-017)が猛威を振るっています。※1
オンラインゲーム上の通貨やアイテムを現実の通貨で売買する RMT と言われるものが存在します。ゲームによっては禁じられていたり、公認されていたりしますが、この RMT が存在することによって、ゲーム内の通貨やアイテムや現実の価値と交換できうるものになっています。このことから、ゲームのアカウントをあの手この手で奪い取ろうとする悪人が現れています。
今回はこのことについて…というか、体験談というか、そんなものを書いてみたいと思います。
続きを読む
皆さんはお手持ちの携帯電話でダイヤルアップ接続をすることはありますでしょうか? 私はよく NTT ドコモの FOMA のパケット通信でダイヤルアップ接続をしています。普段は FOMA P902i とノートパソコンを Bluetooth 接続していますが、今回は USB ケーブルで接続した場合に一挙に3つも認識される COM ポートについて書きたいと思います(USB モードを通信にしている場合のみ COM ポートは使用できます。ストレージモードでは COM ポートは使用できません)。このメモで例として使用しているのは FOMA P902i ですが、他の FOMA でもほとんどの機種で同様です。
続きを読む
一部で話題になっているのですが、KDDIの携帯電話サービスau向けの携帯電話端末の一部において前回アクセスしていたサイトのURLを他サイトにREFERERとして漏らしてしまう不具合が発覚しています。例えばインプレス社のWebマガジンであるケータイWatchでは「auのGPS搭載端末にアクセス先のURLをサーバーに渡すバグ」という記事で伝えています。しかし、同記事によればKDDIは〝また、「特に報道発表やホームページ上での告知は行なわない」としている。〟とのことで一切発表は行わないつもりのようです。この対応は本当に適切といえるのでしょうか? 私としてはそんなことはないと思います。
携帯電話端末は現在のところクッキー(Cookie)をサポートしていないため、セッション管理はURLを用いて行わざるを得ない側面もあります。KDDI向けのezwebサービスに関しては必ずしもそうはいえないものの、一般のフレームワークを使用する限りはこのような仕組みになってしまうことも多々あることも事実です。そのURLがもれることによって、(サイトの出来の良し悪しやタイミングにもよりますが)個人情報がもれる危険性があるのも確かなことなのです。このことから、少なくとも危険性があることだけは告知すべきではないかと思います。告知されなければユーザーは身を守ることもできません。どんなに細かいセキュリティ上の不具合であっても、情報公開がきちんとなされることを望みたいと思います。これはKDDIに限らず、他のキャリア、他のベンダーに対してもです。
今からでも遅くはありません。KDDIは告知を行うべきだと筆者は考えます。