仕事の関係で、「このテスト受けてみて」とのお話から
Web上で受けられる性格検査にトライしました。
ユングのタイプ論をベースにしたものだそうで、紹介さ
れたのはMyPersonality.infoというサイトです。
他にも同じようなテストができる所はいろいろありそう
ですし、私家訳版で日本語を使えるコンテンツを出して
いらっしゃる方もいるので、気が向いたときにやってみ
ると面白いかもしれません。
■関連リンク
MyPersonality.info
HumanMetrics
The Personality Type Portraits
性格テスト【私家訳版】
socioarc
一般社団法人 日本MBTI協会
MBTI入門
タイプ論
城太郎日記
2010-06-30
MBTI
2010-06-10
Apple's Worst Security Breach
AT&TサイトのWebアプリケーションが持っていた脆弱性が
悪用され、iPad 3Gオーナーのデータ114,000件が流出した
という記事を見たのですが、その後でSophosのPaul Duck
linのブログにあった興味深いコメントを読んでいました。
第1に、アップルはこの問題に密接な関わりがあるけれども、
彼らはiPad SIMのためにビジネス・パートナーにAT&Tと組む
ことを選んだので、アップル内部、またはiPadに機密保護違
反は存在しない。
第2に、米国内の全iPad所有者に関する個人情報が漏洩し
たことも考えられるというクレームは扇情的で到底ありそうも
ない話の上、反証が困難。従って、この侵害の結果として国
家的に重大なセキュリティリスクが起こるようには少しも思え
ない
第3に、Eメールアドレスはホワイトハウスの従業員が係った
か否かに関係なく、使用されている時は常に公的に明らか
にされているものである
第4に、データを回復した自称「ハッカー」は、彼らが外部か
ら見えるべきでないと知っていたデータを読み出す為、故意
に繰り返しAT&TのWebサイトが保持していたバグを攻撃す
ることによってこれを成し得たと主張し、それは11万4000回
にも及んでいるように見受けられる。だとすれば、それはサ
イバー犯罪であってどんなハッカーでもない
さらに、「こうした大げさなショックゴシップセキュリティニュー
スに関する問題は、まさに狼少年によって引き起こされた問
題だ」と一刀両断しています。
第1についてはあまりよく知らないのですが、コメントを読んだ
後、不安を煽る記事の対極(?)としてBruce Schnierの提唱し
ている「セキュリティシアター(人々に安心感を与えるように設
計されているものの、必ずしも安全向上につながらないセキュ
リティ対策の事)」という言葉を思い出しました。
不安や恐怖は、適切な強度や方向性を持つのであれば身を
守る役目を果たす大切な感情だと思いますが、それが本当に
その場で必要なもの(だった)かを判断し後に活かすには、や
はり学習あるのみかな・・・と思います。
■関連リンク
Apple's Worst Security Breach: 114,000 iPad Owners Exposed
BUSINESS INSEIDER SAI
Ryan Tate, Gawker
Jun. 9, 2010, 5:04 PM
アップル最悪のセキュリティブリーチ。iPad所有者11万4000人分のデータ流出
ギズモード・ジャパン
iPad / AT&T Security breach
Apple - Support - Discussions
Reuters, News Corp. And Other Mainstream Media Blow It Again
-- Pass Up iPad Security Breach Scoop They're Now All Reporting
BUSINESS INSIDER The Wire
Joe Pompeo
Jun. 10, 2010, 8:31 AM
Apple's worst security breach, or a great big hyperbole?
Paul Ducklin’s blog
Posted on June 10th, 2010 by Duck
iPad Owners Exposed
Handler's diary
Published: 2010-06-10,
Last Updated: 2010-06-10 16:26:50 UTC
by Deborah Hale (Version: 1)
iPadユーザーのメールアドレスを不正入手したハッカーが
規制薬物所持で逮捕される
Computerworld.jp
2010年06月18日
AT&T's iPad Security Breach
Schneier on Security
June 21, 2010
ブルース・シュナイアー氏が語る「セキュリティ・シアター」の功罪
Computerworld.jp
2008年03月31日
[CRYPTO-GRAM日本語版]現実世界のセキュリティ:GHB
ITpro
2004/08/27
2010-06-03
Google社内のWindows離れ?
Googleが社内でWindowsの使用を段階的に中止していくという
報道を昨夜聞いてからちょっと関連報道を見ていたところ、"Win
dows以外のOSはユーザやハッカーにとってもなじみが薄いから
安全"という趣旨の言葉がありました。が、実際のところはどうな
のでしょうか。
●脆弱性データベースを使って対応件数を調べてみる
例えば、"すでに知られている脆弱性の数だけでOSの強度が
明確になるわけではない"という反論はあるかもしれませんが、
その気になれば誰もが見ることができる指標として、Web上で
公開されている脆弱性データベースを利用してみました。
JVN iPediaという、日本語で脆弱性情報をチェックできるデータ
ベースでは、深刻度を「危険」、「警告」、「注意」の3つに分類
しており、この深刻度とキーワードを絡めた検索を行う事がで
きます。
仮に、深刻度が「注意」の場合を比較的低リスクと見たとして
Windows、Linux、Macintoshという各OS名(製品名の細かな
違いを吸収する意図で、上記の様に大まかなキーワードを設
定し、日付などは未設定にしています)と「危険」、「警告」と
いった深刻度を組み合わせてサーチしてみると以下のように
なります。
------------------------------------------------------------
深刻度:危険
Windows :495件(53%)
Linux :254件(27%)
Mac OS :185件(20%)
深刻度:警告
Windows :310件(38%)
Linux :316件(38%)
Mac OS :197件(24%)
------------------------------------------------------------
次に、海外における同様サイトの一例として、SecuniaでAdv
anced Searchをかけてみました。
ここでは、脆弱性がもたらす深刻度を"Critical Level"として
表記しており、JVN iPedia同様、検索時のキーに含める事が
できます。
そこで、最も深刻度が高いとされている「Extremely critical」
、次に中程度の「Moderately critical」を各OS名称と組み合
わせてサーチすると、どちらもLinuxが最多となります。
------------------------------------------------------------
Critical Level:Extremely critical
Windows :37件(32%)
Linux :50件(42%)
Mac OS :30件(26%)
Critical Level:Moderately critical
Windows : 582件(12%)
Linux :3,693件(78%)
Mac OS : 489件(10%)
------------------------------------------------------------
ちなみに、Mac OSとしているキーワードをMacintoshにすると、
絞り込まれる件数はぐっと少なくなります。
●各OSに対応する検証コードの件数を調べてみる
では、Windows以外のOSがハッカーにとってなじみが薄いの
か?という点については、脆弱性を検証できるコードをサーチ
できるサイトがいろいろ存在しますが、絞込んだ後の件数表示
機能を備えていないなどもあって、Googleで以下のキーワード
をそれぞれ入力してざっくりと見てみました。
site:www.milw0rm.com "Exploit" "OS Name"
site:www.securiteam.com "Exploit:" "OS Name"
securiteam.comを対象とした際、サーチ時に"Exploit:"と文字
列を囲んで検索精度を上げるようにしています。また、"OS N
ame"の中にある文字列が、各OS名となります。
------------------------------------------------------------
milw0rm.com
Windows : 1,970件(58%)
Linux : 1,140件(34%)
Mac OS : 256件( 8%)
securiteam.com
Windows : 2,960件(81%)
Linux : 604件(16%)
Mac OS : 109件( 3%)
------------------------------------------------------------
すると、上記のようにWindowsが多勢を占めました。
総合的に見ると、MAC OSへ安全性の軍配があがりそうに見え
ますが、Microsoftが主張しているようにWindows自体にも様
々な防御手法が提供されていますから、最終的にはどこまで
堅牢に構成できるかに依存する人的な割合の方が大きい様に
思います。
当のGoogleは、これまで社内でずっとWindowsばかりを使って
いたかといえばそうでもなく、2009年7月頃に公開されている
ITproの記事によると"Googleの社内ではデスクトップの半数
以上はLinuxで、Windowsは8分の1程度、後はMacintosh"と
いうことですから、慣れなどの利便性だけを考えれば、社内的
には元々大したインパクトはないのかもしれませんね。
■関連リンク
[報道関連]
グーグルのクリス・ディボナ氏:
「われわれはプロプライエタリソフトも重視している」
CNET Japan
文:Joris Evers(CNET News.com)
翻訳校正:編集部
2007年1月17日 08時00分
プロプライエタリ・ソフトウェア - Wikipedia
Google社内は既に“脱Windows”
- 記者の眼 特別編:「Chrome OS」私はこう見る
ITpro
2009/07/13
Googleが新入社員にWindowsの使用を禁止?Chrome OSへの移行準備か
Tech Crunch
by MG Siegler on 2010年6月1日
GoogleのWindows使用中止報道、Microsoftが公式ブログで反論
INTERNET Watch
2010/6/2 16:18
「GoogleがWindows利用中止令」の報道、セキュリティ専門家は疑問視
ITmedia エンタープライズ
2010年06月02日 08時38分 更新
[OS]
Microsoft Windows - Wikipedia
Linux - Wikipedia
Goobuntu - Wikipedia
Mac OS - Wikipedia
「世界一安全なOSはMac OS XとBSD」との英調査結果
INTERNET Watch
2004/11/04 12:32
BSDとMacOSは安全なOSなのか
tokix.net
2004/11/05 12:35
LinuxとWindowsを比べた場合,安定性や安全性が優れるのはどちらですか
Linux一問一答:ITpro
2007/02/08
WindowsやLinuxより安全なOSになることを約束するMINIX 3
Info Q
2009年5月31日 午後3時1分
安全性の高い新OSの開発にNSFが助成金 - Zero Day
ZDNet Japan
文:Ryan Naraine(Special to ZDNet.com)
翻訳校正:石橋啓一郎
2010年4月13日 16時37分
[脆弱性DB]
深刻度を色分け表示--脆弱性対策情報データベース「JVN iPedia」が刷新
CNET Japan
吉澤亨史2007年11月26日 20時24分
脆弱性の深刻度評価の新バージョンCVSS v2について(2007年8月20公開)
独立行政法人 情報処理推進機構
セキュリティセンター
最終更新日 2009年11月30日
情報処理推進機構:情報セキュリティ:共通脆弱性評価システムCVSS概説
独立行政法人 情報処理推進機構
セキュリティセンター
最終更新日 2010年2月25日
[Bug Hunting]
Bug Hunting, Step by Step
eWeek.com
By: Paul F. Roberts
2005-10-31
BUG HUNTING
JOY OF SETUP
Written by Bob Arnson
April 4th, 2010 at 14:47
Bug Hunting Open-Source vs. Proprietary Software
slashdot
Posted by Zonk on Sat Oct 07, 2006 01:41 PM
2010-06-02
Can silent sheeps slam the door in face of ISP?
先日、朝日新聞2010年5月30日付の記事に、ISP(プロバイダ)
がユーザの通信を解析し、各利用者の好みに応じて広告を配
信することを総務省が容認したという話題が出ていました。
そこで、総務省が公開している「利用者視点を踏まえたICTサ
ービスに係る諸問題に関する研究会 第二次提言(案)」にざっ
くり目を通してみると、"Ⅱ ライフログ活用サービスに関する検
討について"という箇所が、朝日新聞の記事と関連が深そう
です。
ちょっと長いので、提言の内容を3つほどのブロックに分けて
整理しておきたいと思います。
●記事の中で使っている用語について
提言の中で書かれている"ライフログ"とは、"蓄積された個人
の生活履歴"としており、これを利活用したものとして、以下
2つに整理しています。
①利用者の興味・嗜好にマッチした情報を提供するサービス
②統計情報を提供するサービス
このうち、①に含まれる"行動ターゲティング広告"が、プロバ
イダユーザの通信を解析して生み出されるサービスということ
ですね。
では、"行動ターゲティング広告"なるものは?というと提言の
中で以下のように定義しています。
"行動ターゲティング広告とは、蓄積されたインターネット上の
行動履歴(ウェブサイトの閲覧履歴や電子商取引サイト上での
購買履歴等)から利用者の興味・嗜好を分析して利用者を小
集団(クラスター)に分類し、クラスターごとに広告を出し分け
るサービスを指す。
なお、通常、広告媒体であるウェブサイトの管理者が、自ら
のウェブサイト上のスペースを、広告掲載スペースとして対
価と引き替えに提供する場合のみを「広告」と呼び、自らの
ウェブサイト上のスペースを自らの宣伝のために利用してい
る場合は、「レコメンド」と呼ぶ。"
●DPIに基づく広告配信について
ここで言っている、行動履歴を取得する手法として、従来はP
2Pネットワークによる通信を制限するのに利用されてきた"D
PI"(ディープ・パケット・インスペクション)なる技術の利用を
総務省が容認した・・・というのが、朝日新聞のトピックなの
ですが、当然ながらそんな事されたくないというユーザもいる
でしょう。
提言の中では、プロバイダがDPIを使った通信解析を行う事
について、ユーザの同意がない場合には正当性を持たない
旨を表記しています。
------------------------------------------------------------
ISP によるDPI 技術を活用した行動ターゲティング広告
の実施は、パフォーマンスの高い広告を配信することや、
そのために利用者の嗜好を把握することを目的としてお
り、ISPによる電気通信役務(電気通信設備を用いて利
用者をインターネットに接続させる役務)にとって、必ずし
も正当・必要なものとは言い難く、正当業務行為とみるこ
とは困難である
利用者視点を踏まえたICTサービスに係る諸問題に
関する研究会 第二次提言(案) P.58 より
------------------------------------------------------------
●利用者の同意と拒否について
そして、提言の中では、プロバイダがDPI 技術を活用して行動
ターゲティング広告を配信するためにユーザから同意を得る際、
判断材料として、少なくとも以下を"容易に認識かつ理解できる
形で利用者に通知し、又は容易に知りうる状態に置くこと"とし
ています。
ア.取得の事実
イ.対象情報を取得する事業者の氏名又は名称
ウ.取得される情報の項目
エ.取得方法
オ.第三者提供の事実
カ.提供を受ける者の範囲
キ.提供される情報の項目
ク.利用目的
ケ.保存期間
コ.利用者関与の手段について、利用者に通知し、又は知り
得る状態に置くことが望ましい
なおかつ、ユーザがこうしたサービスを望まない場合について、
"利用者に対して、容易に利用可能なオプトアウトの機会を提供
すること。"とも述べているのですが、今でもPCをセットアップす
るだけでも大変、ネットにつながっただけで万々歳という人は
少なくないはずです。
各プロバイダがこうしたサービスを事業に乗せるとして、通信の
秘密に基づいてブラックボックス化された処理の中でDPIによっ
て得られた情報を悪用された場合は追いかけようがないのでは
?という懸念が生じて来るのは至極自然な話に思えますね。
ましてや、先に述べたような安全なネット利用に対する知識や
慣れがより求められる層にあるユーザが、望まないサービスを
拒否できるか?知らないもの、説明されても理解が困難なもの
は拒否しようがないわけですから、ここにも大きく疑問が残りま
す。
■関連リンク
「ネット全履歴もとに広告」総務省容認 課題は流出対策
asahi.com(朝日新聞社)
2010年5月30日
[総務省関連]
利用者視点を踏まえたICTサービスに係る諸問題に関する研究会
総務省
利用者視点を踏まえたICTサービスに係る諸問題に関する研究会
第二次提言(案)
平成22年5月
総務省
利用者視点を踏まえたICT サービスに係る諸問題に関する研究会
第二次提言(案)への意見募集で寄せられたご意見について
総務省
[通信の秘密]
通信の秘密 - Wikipedia
電気通信事業関連4団体,通信の秘密に関するガイドラインを策定
IT Pro
2007/05/30
[オプトイン/オプトアウト]
オプトインとは 【opt-in】
意味/解説/説明/定義 : IT用語辞典
オプトイン/オプトアウトとは
オプトイン/オプトアウト とは - Networkキーワード
ITpro
[テクニカル]
オープンソースのディープパケットインスペクションエンジン「OpenDPI」が登場
SourceForge.JP Magazine
2009年09月10日 15:53
[P2P]
ぷららのWinny遮断は是か非か(前編)
ITpro
2006/04/25
ぷららのWinny遮断は是か非か(後編)
ITpro
2006/04/26
プロバイダはどうやってWinnyの通信を見つけるのですか
- Winny問題なんでもQ&A
ITpro
2006/04/27
第8回 P2Pまわりの研究をやってきた人の独り言
国立大学法人 電気通信大学
情報ネットワークシステム学専攻 ネットワークアーキテクチャ学講座
大坐畠 智
2010.4
[市場調査]
パケットスニフティング:ディープパケットインスペクション(DPI)およびネットの
中立性
Packet Sniffing: Deep Packet Inspection and Net Neutrality
登録:
投稿 (Atom)
