SyuchiNikuRingの備忘録

お勉強したことをまとめておく場所。中の人の理解や感覚で書いているから不正確なことも多いかも。

改めて確認したもの。

やっほー。
今回は問題演習を通じて改めて確認したものをまとめておきます。

  • TFTP(Trivial File Transport Protocol)

特定のコンピュータ間でファイルを転送するときに用い、UDP上で動く。application層のprotocol。

  • HIPS

host型IPSのこと。

  • SSIDブロードキャスト

無線LANのアクセスポイントがSSIDを飛ばすこと。自己アピール。

  • Kerberos

clientが複数のserverを使う際にシングルサインオンを実現。認証されたclientにはチケットが配布され、これを他のserverに提示することで、他のserverはclientを認証し、アクセスを許可する。
いわば、一日フリーパスみたいなもの。

今回は以上です。

再確認シリーズ。最近忘れていたもの。

やっほー。
セキュリティに関して、最近忘れていたものを中心にまとめるよ。

  • PGP(Pretty Good Privacy)

メールや認証を実現するソフトウェアとその規格のこと。
PKI方式ではなく、ハイブリッド方式を用いて第三者に証明してもらう簡単な公開鍵暗号

  • ダンプスターダイビング

ソーシャルエンジニアリングの一つ。紙に書かれた者や廃棄されたものの中からセキュリティ上の情報を得ること。

  • SFTP(Secure FTP)

SSHにより暗号化された通信のこと。22/TCP

  • HSM(Hardware Security Module)

プラグインするボート型又は単体のネットワーク。接続機器として提供されており、単体で動作するSecurity Module。

  • TPM(Trusted Platform Module)

RSASHA-1などのハッシュ演算機能を持つ。チップ内で暗号化・復号・デジタル署名の生成及び検証、platformの完全性検証を行える。

今回はここまで。そろそろ覚えてほしい、中の人の脳みそよ。

再確認シリーズ。間違えたものを中心に&セキュリティポリシーに関する話。

やっほー。
今回は、問題演習で間違えた問題に関するキーワードを中心にまとめます。

Keyword

外部から受け取ったプログラムを保護された領域で動作させることでシステムが不正に操作されることを防ぐセキュリティモデル。
→Webページ上のJavaアプレットFlash、JSなどのプログラムの安全性の確認に使われる。

  • Server VLAN

モバイルデバイスとサーバ間のセキュアなアクセスを実現。モバイルデバイス群とサーバ群に専用のVLANを作り、IPsubNet単位のACLを適用。

  • WEP(Wireless Equivalent Privacy)

無線通信のセキュア化を実現。
WEP・TKIP(Temporal Key Integrity Protocol)・AES(Advanced encryption Standard)がある。この中で最も強いものはAES。

  • WPA(Wi-Fi Protected Access)/WEP2-EAP(WEP2-Extensible Authentication Protocol)

RADIUS(Remote Authentication Dial-In User Service)サーバを使った企業向けの認証システム
個人向けはPSK認証。

  • 802-1x

ネットワークのアクセス制限に使う。

  • LEAP

無線LANのセキュリティ機能。BYOD端末から最寄りのアクセスポイントまでのセキュリティを実現。

  • SAML(Security Assertion Markup Language)

ユーザ間の認証や属性、認可に関する情報を記述するためのXMLをベースにした言語。Webサイトやページとの間でこれらの認証情報を交換することでシングルサインオンを実現する。

ディレクトリサービスの標準仕様。これの暗号化バージョンがセキュアLDAP

ネットワーク上のパケットをモニターし、トラフィック調査やパケットキャプチャなどの障害解析の目的に用いるツール。

  • VPN コンセントレータ

インターネットVPNを終端する。

LAN上のクライアントのデータ一覧のこと。

リムーバルデバイスを用いデバイス間でデータをやり取りすること。例としてUSBを使ってデータを交換するなど。

  • Cloudベースの技術によるセキュリティ

SaaS(Software as a Service)
ユーザがapplicationソフトウェアとデーベースにアクセスするためを可能にする。Cloudプロバイダはインフラを管理し、ユーザはプロバイダのサーバ上にデータを貯める。
◎IaaS(Infrastructure as a Service)
仮想的コンピューティングリソースをインターネット上で提供すること。プロバイダはハードウェアとソフトウェア、ストレージをホスティングする。
◎PaaS(Platform as Service)
applicationの提供に関する開発ツールやサーバを提供する。

Security Policy

セキュリティポリシーは次の6要素から構成されます。

  1. ID authentication policy
  2. password policy
  3. acceptable use policy
  4. remote access policy
  5. network maintenance policy
  6. incident response policy

3番目のacceptable use policyはネットワークの使用に関するルールで、network maintenance policyはOSやアプリケーションの更新手順に関してのルールです。

個別具体的な内容に関しては、ISO/IEC27000 Security Standard等に12領域に分けられて言及されています。

質問箱の話

やっほー。

twitterにある質問箱,毎日必ず脈絡のない質問が昼前後に送られてくるという現象がおきており,定期的に配信される自動質問ではないか?と不審に思っておりました。

質問を検索すると知らない多数の人間も同じ質問に回答していることが発覚。

とはいえ,万が一,万々が一にも知り合い又はフォロワーが質問を投げていたということを考えて答えていたわけなのですが…やはり,自動質問の線が濃厚です。

こんな一連のツイートを発見しました。




これはいけませんねぇ……事実だとしたら,運営は非常にまずいです。
ユーザに通知されていない運営からの質問送信は、ユーザやその他運営以外の人間に対する利用状況の水増し行為と言えます。(引用ツイートに指摘されているとおりです)
ユーザに通知せずにデイリーボーナスよろしく質問を投げていたということは,最初のデフォルトを除く質問はフォロワーその他運営以外の人間からのものであろうというユーザ側の信頼を裏切る行為です。

ジラフによる買収後,運営公式ツイッターが質問箱の「自作自演」に関する解析を行った他,数々の放言により炎上しました。

それに続いて,ユーザに秘匿して定型質問の一斉配信です。些細なことですが,このような振る舞いはユーザからの期待と信頼を悪い方に裏切る行為であり,サービスに対するユーザ離れを招くものです。(中の人も退会しました。)

このようなことは厳に慎んでもらい,複数名に送られている同一内容の質問に関する調査を行い,回答をしてもらいたいですね。

“Windows10 ライセンス認証”エラーについて

やっほー。

数日前からPCの右下に”Windowsのライセンス認証”という透かしが出ています。
とはいえ,起動時やシャットダウン時に何かしらのメッセージが出てきたわけではないので,特に気にしていませんでしたが,この透かしが出ている人が少なからずいるようなので,ちょっとご紹介。

とまあこんな感じで話題になっているわけです。
現在は修復され,ほっといても24時間以内に自動でライセンスを正しく認証してくれるようです。
手動でもできます。いろいろなところにある通り,
設定→更新とセキュリティ→ライセンス認証→トラブルシューティングで元通りです。
Microsoftのコミュニティによれば,アクティベートサーバの一時的な問題だそうです。
answers.microsoft.com

誘導型ポップアップ"Apple警告"に関して

やっほー。

さっきネットサーフィンしていたら,
Apple警告...」となんかグダグダ書いてあるポップアップが出てきました。まあ6月くらいから流行り始めているyowwinnerprizeと同系統ですね。
出た画面がこちら。
f:id:SyuchiNikuRing:20181109224820j:plain

googleトレンドで調べてみても何も表示されないので,最近に出現したようです。

詳しい解説をしているサイトがあるので,信憑性はさておき,こちらをどうぞ。
Appleセキュリティ「Apple警告: セキュリティ上の脆弱性が検出されました」通知が表示されたけど大丈夫?について

試しにポップアップの「Close」をクリックしてみます。
f:id:SyuchiNikuRing:20181110104622p:plain
うさんくせぇ…前半はまだしも、「以下のボタンを…」から始まる後半は明らかにおかしいですね。「VPNを7日間使用」する意味もその後に「プレミアムバージョンを購入」する意味も分かりません。「パスワードが危険」なのにのんきにお試し期間付きのVPNを使うことをAppleがアナウンスすることは考えにくいです。そんなわけでまあ無視してタブを閉じれば良いのですが(そもそもポップアップの「Close」をクリックするまでもなく閉じれば良い)、せっかくなので、先ほどの警告画面の「インストール」と「キャンセル」をクリックした場合にどうなるのかを試してみます。

  • 「インストール」をクリックした場合

こんな感じになりました。
f:id:SyuchiNikuRing:20181110105933p:plain
予想通り、インストールするようにiTunesに飛ばされました。インストールするアプリとして表示されたのは、シマンテックのセキュリティプロダクトNortonです。Nortonに悪意あるプログラムを仕込んでいることは考えにくいので、今回のポップアップを仕掛けた者の意図はインストール数に応じた収入だったのではないのか、と考えられるわけです。
また、Nortonのページを見るとわかりますが、最近発見されたWi-Fiの脆弱性に「KRACK」というものがあります。KRACKはKey Reinstallation AttaCKの略で、攻撃者はターゲットの通信内容を盗聴可能になります。KRACKに関しては最後に書きます。
話を戻して、「KRACK 脆弱性」でググると、Nortonのページが一番上に出てきます。
f:id:SyuchiNikuRing:20181110112142p:plain
結局のところ、先ほども述べたようにポップアップを仕掛けた者の意図は、この検索結果を利用してNortonのインストールを誘導し、インストール数を稼いで収入を得ていたのではないかと考えられます。

  • 「Close」をクリックした場合

こうなります。
f:id:SyuchiNikuRing:20181110112708p:plain
「OK」をクリックします。
f:id:SyuchiNikuRing:20181110112742p:plain
あとは「OK」「Close」の繰り返しです。

さて、KRACKに関してです。
先ほども書きましたが、KRACKはKey Reinstallation Attackの略です。
概要としては、Wi-Fiの暗号化protocolであるWPAやWPA2の欠陥を利用します。既存のWi-Fiネットワークと同じSSIDをもつWi-Fiネットワークを用意します。既存のネットワークにアクセスしようとしてきた人に通信先を偽のネットワークに切り替えさせるパケットを投げて用意していた同名のSSIDWi-Fiネットワークに繋げさせます。そして暗号化protocolの脆弱性を利用してユーザの暗号鍵を変えることでユーザの通信を盗聴できるようになります。
詳細はこちらのカスペルスキーのページをご覧ください。
blog.kaspersky.co.jp

今回の話をまとめると、ポップアップが出てきたからと言って焦る必要もなく、今回に限れば特に害があるわけでもなさそうだということです。

民法のあれこれと行政法のあれこれ

やっほー。久しぶりですね。

今回は民法家族法領域の話と行政法の訴訟に関する話をまとめておきます。

家族法では、相続に関する規定が置かれいていますが、何でもかんでも好き勝手に遺言者の思い通りになるとは限りません。なぜか。相続財産も残された者にとっては経済上の利益となり、その利益をもって経済的に保護すべきだとされているからです。
そこで、法は遺留分減殺請求権を認めています。相続財産の一定割合についてはもらい受けることを主張する権利です。法で割合が決まってます。
しかし、遺言者の兄弟姉妹はこれを主張することはできません。

次に,行政法の訴訟に関してまとめます。

民事訴訟
抗告訴訟
争点訴訟
・当事者訴訟
ざっとこんな感じです。

行政法に関連する訴訟では、行政法に特に定めのないものは原則として民事訴訟の例によります。
抗告訴訟は、公権力、いわばお上を相手取って行う(直接的な)訴訟です。例を見てもらえるとイメージしやすいかもしれません。
(処分・裁決の)取り消し訴訟・無効確認訴訟・不作為の違法確認訴訟・義務付け訴訟・差し止め訴訟などが抗告訴訟に当たります。
争点訴訟は、私法上の法律関係に関する訴訟のうち、処分・裁決の存否や有効性を争っているものを指します。(私法上の法律関係に関する)処分・裁決の存否・有効無効が争点となり白黒はっきりできるものを争う訴訟です。
当事者訴訟には、形式的当事者訴訟と実質的当事者訴訟の2類型あり、法律関係を確認又は形成する処分・裁決に関する訴訟の中で当事者の一方を被告にする訴訟です。名前のままですね。私法関係は形式的ry、公法関係は実質的ryになります。
「形式的・実質的って何?」っていう話ですが、簡単なことで、当事者訴訟も争う内容に関しては行政の処分・裁決ですが、それをお上に直接言うか否かの違いです。
形式的当事者訴訟では、処分・裁決を行ったお上ではなく、その処分・裁決に基づいて法律関係を確認・形成しようとする者を相手に訴訟を起こします。まあ言ってしまえば「その処分・裁決を引っ提げてきた奴を訴えて、その中で処分・裁決について争おう」というものです。裁判で勝てば、お上もそれに従わなければなりませんから、実質的には処分・裁決に関して争っていることになります。
実質的当事者訴訟では、公法上の法律関係に関する処分・裁決に関して争いますので、当然相手はお上になります。なので、最初からお上相手に裁判を起こすということで、実質的と名前がついています。

間接的・直接的に名称変更すべきと思わなくもないですね。勉強していて最初は意味不明でした。「実質的とは?」みたいな。

こんかいはここまで。