Security の覚え書き

自宅のルーターにBUFFALOさんちの『WZR-HP-G300NH』というモデルを何年も使ってるんですけど、たま〜に気が向いてファームウェアとかチェックしてみたりするのであります。で、この夜も久しぶりにチェックしてみるとですね、『Ver.1.83』なんてのが19日付で出てるではありませんか。

▼ ソフトウェア ダウンロードサービス　|　BUFFALO バッファロー

うう、なんというタイミング。でもってルーターの方のバージョンを確認してみると『Ver.1.81』ってなってるんでこの際だから上げちゃおう、ということなのでございました。

で、何が変わったのかと言えば…、

●Ver.1.83 [2016.5.19]
【不具合修正】
1.BitTorrent使用時に、ダウンロード状況を確認したり、ダウンロードファイルに対する操作
（開始、停止、削除など）ができない問題を修正しました。

あー、あまり関係なさそうな感じなのでございました。

ちなみに過去の更新履歴はこの辺。

▼ WZR-HP-G300NHのファームウェア更新履歴

個人的にはこんな細々したことよりも、【セキュリティ】→【i・フィルター】で機能を【使用する】にチェックした上で【フィルター除外リスト】に使ってる端末のIPを全部登録しないとまともに外と通信できなくなる糞仕様を何とかして欲しいところではあります。

そもそも『i・フィルター』という謎サービスは契約（有料だぞ？）していないので、常に「※．現在、インターネットに接続されていません。」という謎コメント（i-フィルターを提供しているデジタルアーツ株式会社に繋がらない…という意味だと思うけど）が赤字で表示される謎仕様というのが理解出来ないポイントだったりするのでありました。

この手の謎仕様は当初に気付いてあれこれ試してスルーする方法に気付いたけど、よくわからなくて無用なサービスを契約しちゃう人もいっぱい出てきちゃってるんだろうなぁと思うワケでして、こういう抱き合わせ的な製品ってどうなんでしょうかね？

何日か前のネタ。『女性がAVに出演経験があるかどうかをSNSにアップした写真から「顔認識」で特定』。

うん、技術ってのはこうやって弱者の助けになるように使われるべきだよな、と思うのでありました。世の中どれだけの人が知らぬまま騙されて暮らしてるかと思うと…。騙されてても今が良ければ気にしないというお大人みたいな出来た人もいるんでしょうけど。

まぁでも悪用は厳禁ってことで、あくまでも自己防衛の為に…って条件付きですが。ちなみにそのサービスを提供している（であろう）ところは『FindFace』という名前なんですけど、アクセスしてみるとローカルにデータ保存を要求してくるし、これを却下すると表示されないしでちょっと怪しげな感じではあります。

怪しい…というだけならまだ良いのかもしれませんが、ローカルデータへのアクセスやブッコ抜きされたんじゃたまりませんので非常時に専用の端末を用意するぐらい準備した上じゃないと使わない方が良いかもしれませぬ。

ということで一応のメモということで。

本日のお題はローソン。あのコンビニの青いマークのアレである。そしてカスタマーセンターの対応もアレだったので書いてしまうことにした。

先ず、やりたかったことは自分のメールアドレスに送られてくる『ローソンメール』なるものを解除したかったという一点。自分では全く登録した覚えも無いメールがしつこく送られてくるので解除しようと思ったら手詰まりだった…というお話。

まず、ゴミであるローソンメールの最後に書かれている

◆配信中止のお手続きは...
http://rd.lawson.jp/r/c.do?shk_4FLAd_kd_cey

に従ってアクセスすると

こんな画面になるのだが、当然、自分では登録した覚えが無い（他人が勝手にわたしのメールアドレスで登録している）ので『その他』のところにその旨掻き込んで『配信解除へ進む』ボタンをクリックするのだ。

お客様の個人情報の送受信に安全性の高い技術を採用しています。

画面の最後にあるこの１文を見て、「ほほぅ、URLにメールアドレス等の個を特定する文字列も無しに個を特定し操作できちゃうのか、すげー（棒）」というアレな怪しさを感じつつひとまず信用して進めてみたところ…

が、しかしである。次の画面がこんな感じで一切何もできなくなってしまうのでありました。

そもそも、自分で登録した覚えは無いし、もちろん『Ponta会員』にもなっていないので送られてくるメールに紐付いた『Ponta会員ID』なるものも不明である。メールの方にはご丁寧にも『***********0663』と書いてあるがまさかこのアスタリスク付きで通るとは思えない。

当に解除する手立てが無くなってしまったのだ。何処の骨か知らないアホタレが勝手に他人様のアドレスを登録してくれたお陰で未来永劫、ゴミの様なメールが延々と送られてくることになってしまったわけである。

そもそも、登録時に本人認証（登録の際に使用するメールアドレスへのメールを介在したconfirm画面を経由した認証など）無しに登録出来てしまうこと自体が誠にもって迷惑な存在である。このこと自体はローソンに限ったことではなく、同じメールアドレスに勝手に送られてくるAmebaなども同類なのだが。

かといってじゃぁ毎度送りつけられるメールの本文の方にユニーク文字列を付加したURL等で解除出来る仕組み（TwitterとかGoogleのサービスはそうなっている）があるかと言えばそこまで作り込んではいないという手抜き状態なのだ。

ということでメールの最後の方にレガシーな方法も載っていたのでそちらを試してみることにした。そう、直接電話しろ、ということの様だ。

【ローソンメールに関するお問い合わせ】
　ローソンカスタマーセンター(24時間年中無休)
　0120-65-3963
　0570-01-3963(携帯から※通話料有料)

はたして…自動応答音声に従い適当に進めると

「コールが集中してるのでまたあとでかけ直せ」

となって勝手に向こう側から切られてしまうのだ。朝の7時半からそんなにクレームが集中するほど糞なサービスなのか、これ？祝日の朝だからコルセンのおばさんがいない、ってだけの話じゃないのだろうか。こんな状態で『24時間年中無休』とは詐欺である。まぁ確かに1次受信の機械は年中無休ではあるが。

ということで昼間にでも後で試してみることにして一旦終了。

この数日で各所で報じられた『Twitter公式アプリ、端末にインストール済みのアプリの一覧を取得開始』した…という件。最近増えまくってきている『プロモーションと称した広告』にウンザリしてた（即ブロック逝きだけど）のでオプトアウトしようと思って設定を探したんだけど見つからないのでチョイ困りなのでありました。

▼ Twitterヘルプセンター | Twitterのアプリリストとは

この中を一応全部読んでみたんだけど、やっぱり広告をバンバン流したいが為の端末内情報の収集な訳で、『端末内のアドレスブックの情報を半島へゴッソリ送って垂れ流してしまうLINE』なんかと比べれば遙かにマシなんだろうけど、やっぱり気持ち悪いというかウンザリするプロモーションという名前の広告にしか跳ね返って来ないわけでユーザにとっては情報を提供するだけの見返りになってないわけなのですよ。極端な言い方をしてしまえば『恩（端末内情報をロハでプレゼント）を仇（バンバン広告を送りつけられる）で返す』行為そのものな訳ですな。

せめての救いは『iOS端末の "広告トラッキング制限" やAndroid端末の "インタレストターゲティング広告のオプトアウト" で興味関心ベースの広告をオプトアウトしていた場合、その設定を端末で変更するまでアプリが収集されることはありません。』ということで無条件に情報を吸い取られる訳では無い点。ある程度セキュリティ方面への感心があってちゃんと設定してる人にとっては実害は出ない様に最低限の節度は保たれている様です。

やっぱりこういうのって好きになれないんだよなぁ…。まぁ無料でサービスを利用している手前、嫌なら使うな！なんでしょうけど、ある意味世界に浸透して日常の一部になって後から仕様変更ね、ってのがまぁ抵抗あるというかナンと言うか…。

ちょっと前から巷で大騒ぎのBash脆弱性ShellShockについての顛末を。ハッキリ言ってまぁ他人事だと思っていたフシもありまして、実は作業を放り出しッ放しだった訳です。このbashというのはLinuxなどに大抵は入っているパッケージだったりするんですけど、こいつに脆弱性が見つかったということでexploitも公開されちゃっていたりと何気にヤバイ状況ではあったわけです。

Bash 脆弱性 – ShellShockについて分かりやすかったのはこのパージ。

▼ Bash 脆弱性 – ShellShock- (2) CVE-2014-6271 / CVE-2014-7169 は何が危険で問題なのかを検証してみました – CLARA ONLINE techblog

でもって何がヤバイのかは

• リモートで任意のコマンドが実行できてしまう可能性がある。
• Bash は linux 等のシステムで必ずインストールされているパッケージなので、影響が大きい。

ということの様なので早急な対応が必要そうです。

でもってmmaacc.ddo.jpを名乗るこのサーバに異変が見受けられたのが昨日…。後から見つけた限りではその前夜、3日金曜の19時台からだった様なのですが、とにかくサーバにアクセスしようとしてもレスポンスが返ってこない、何も受け付けない…という状態だったわけです。そんな訳で昨日更新しようとしたポストも諦め、何でこんなに重いのか？というところを何となく探し始めたわけですが…。

サーバに仕込んであるHotSaNICの『netstat - TCP connections』が見たことも無い状態になっていましてですね、ははぁ、これが原因か！？となった訳です。でもそもそも、何故この様なことになってしまったのかはよく分かって無かったりするんですが、取りあえずsshで入ってみたいりしてリスタートしようとしてもそのコマンドすら受け付けて貰えず…。

このサーバ、VPSなんで毎週日曜早朝にあらゆるプロセスが強制再起動してるフシがあったのでそこでサーバ自体を再起動させちゃえ…ということで先ずはその辺から作業開始なのでありました。無事、立ち上がって来たところでサボりまくっていたYumを実行、85パッケージほど更新して取りあえずログを漁ってみます。

幸いなことに、サーバの再起動以降は先のSocket statを食いつぶす様な動きは見られないのでログから3日金曜〜4日土曜あたりの動きを追ってみることにしました。

Oct 3 19:52:02 dti-vps-srv★ yum: Updated: bash-3.2-33.el5_11.4.i386

※ ★の位置にはサーバ番号が入っている

ほへ？何ですか？これは？自分ではこの時はサーバを一切触っていないので覚えがないのですが…。まぁ恐らくはサーバの所有者（VPSの提供者）が勝手にアップデートしちゃったに違いありません。緊急性が高く、余所への影響が大きいという判断なのでしょう。

でもね、その後からですよ、先のSocket食いつぶしちゃってたのは。sshで入ろうにも溢れちゃってて繋がらないとか、手の打ちようが無くなっちゃうのでどうしようもなくなっちゃいます。やるならもうちょっとしっかりして欲しいと思うのですが。いや、その前にちゃんと自分で対応しろよ、という声が聞こえて来そうなのでこの辺で終わりにします。まぁ何事も無くて良かった良かったということで。

何時の日からか、レコチョクから覚えの無いメールがチョクチョク来るようになっていたので解除の手続きを…と思って調べたら解除する方法が無かったでござる、の巻。メールそのものは@icloud.com宛に来るので当然、mac.com宛に配送されてしまうんだけど、このicloud.comとかme.comとか迷惑極まりない存在だよなぁとつくづく思ってしまうのでありました。もともと、○○@mac.com自体はiToolsがU.Sでカットオーバーした時から使ってるアカウントで、その後にmeやらicloudやら訳の分からないドメインが後付けで増えていった経緯があるものの、iPhoneの爆発的な普及が影響してか勝手に人のアカウント名である○○の名前を使ってるアホが後を絶たないんですね。

Appleのサービスの遍歴は取りあえず置いておいて、問題はどうやってレコチョクスパムを止めるか…です。メールに来ていた添付のhtmlファイルを見ると、最下段に『メール設定変更/解除』というリンクがあったので先ずは正攻法でトライ。しかし変更するにはログインしろ、とか意味不明な手段しか無いことが判明。というか、スマホ専用だからPCじゃなくてスマホでアクセスしてログインしろ、ってどこか違ってねーか？というトンチンカンな作り。この仕組み作った奴絶対頭おかしい。

ならば、と件のサイトをくまなく探すも解除の方法は見あたらず。さらに誤登録に対するリカバリ報告する場所も無し。これがTwiterやFacebookだとちゃんと誤登録を解除する仕組みがあってブロック&ストップ出来るんだけど、何故か日本のサービスってこういったリカバリメニューが無いことが多いんですよね。そういえば日本のサービスではPlayStation®Networkから一時期身に覚えの無い「ウォレットへのチャージ完了のお知らせ」やら「購入明細」が来てましたけど、こちらはワールドワイドなサービスだけあってちゃんと止める手段が備わってましたっけね。でも登録する時点でメールを配信した認証ステップが無い時点で抜けてると言えば抜けてるんでしょうけど。

話は戻ってレコチョクスパム。仕方ないのでヘルプのページにあったアドレス（ad@recochoku.co.jp）宛に「解除しろ」というメールを送ってみたのだがどうなることやら。内容的には、

レコチョクさん
あんたんところ、担当部署がわからんから該当部署へ展開してね。
登録してないわたしのアドレスにスパム来るよ。
登録してないんだから当然ログインも出来ないよ。
スパムを解除する方法が提供されてないよね？
ちゃんと責任もって解除しなさいね。

というもの。
さてこの会社、ちゃんとした対応をするのかどうか、その辺が見物だなぁと思うのでありました。放置するならスパムドメインとして世界中のブラックリストに徹底的に登録していくことが必要だろうなぁと思うわけです。

そんな機会があるとは思えない内容だけど、あり得ないと思っていたりするからこそ陥る可能性があったりするもの。ということでポインタだけメモ。

▼ パスワードがわからなくてもWindowsにログインする方法（と対策）

■ 「Linux Live CD」を使う
■「System Rescue CD」を使ってパスワードをリセットする
■パスワード解析ツール『Ophcrack』を使う

▼ パスワードがわからなくてもMacにログインする方法（と対策）

■Mac OS XのインストールCDを使う方法
■シングルユーザーモードで起動する

インストールCDの方法は以前から知っていたものの、シングルユーザモードってのは知らなかったなぁ。
　

愛知県岡崎市立中央図書館は２８日、利用者１６３人分の個人情報がインターネットなどを経由して外部に流出したと発表した。０５年６月末時点で図書の予約や返却延滞をしていた一部の利用者の名前や年齢、電話番号、借りた本の題名、貸出日などが流出した。

ソフトを開発した三菱電機インフォメーションシステムズ（東京）によると、同図書館が最初のソフト販売先だった。岡崎市の利用者の個人情報を誤って残したまま、ソフトをほかの全国３７の公立図書館に販売してしまったという。宮崎県えびの市と福岡県篠栗町の図書館のホームページ（ＨＰ）から、岡崎市の個人情報１５９人分がダウンロードされたことが確認された。

同社は「個人情報の取り扱いが不十分で、誠に申し訳ない」と陳謝し、岡崎市立中央図書館は「多大なご迷惑と心配をかけ、おわびする」とコメントした。

同図書館では今年８月、ソフトの古さが原因でＨＰの閲覧が困難になる問題も発覚している。

岡崎市立中央図書館：利用者情報１６３人流出 - 毎日ｊｐ(毎日新聞)

先週、突然VectorのSoftライブラリがウィルスに感染している恐れがあると発表されたことは記憶に新しいが、その後の調査による結果が公表されているのでメモ。先ずは「「9月27日（水）1:00〜13:30 に弊社サイトよりソフトウェアをダウンロードされた方へ」」という告知ページだが、こちらは随時更新されている模様。そして肝心の「ウイルス対策が必要なソフト一覧」。感染が明らかになったファイルといういみだろうか、「ウイルス感染したと思われるソフト一覧」。対策が必要なファイルの一覧と、感染したファイル一覧が2種類出ているのはどうかと思うのだが、何も公表していないよりはマシなのでスルーしておく。そして最後に「感染したウイルスに関する詳細情報」。原則としてWindowsがターゲットになるのだろうが、仕事で窓も使用している人も多いだろうということで取り上げた。感染ファイルを眺めていくと、某フォントだとか気軽に落として入れちゃいそうなものがかなりあるような気もします。やはりexeってダメダメなんだなと思った今日この頃。

先日、我孫子市の防災・防犯情報メール配信サービスで「ウイルスメールが送信」された件について、彼の高木御大が追記を入れられてますが、何故か表のとある表記が「マスゴミ」となっているのはきっと気のせいなのだろうか。本文中では「コ」なので意味は分るのだが、つい本音が出てしまったのかタイポなのか気になってしまった。ま、意味的にはどちらも通じるので大意はないのだが。

ついにというか、今日で30ン歳最後の1日なんですな。まぁそんなことは放っておいて、ちょっと古いニュースネタで気になったものがあったのでメモ。

ITmedia News：安易なパスワードのトップ10発表

最も安易なパスワードの首位は「123」——。英国のWebサイトModern Life Is Rubbishが、主に英国で最も多く使われているパスワードのトップ10を紹介した。 (snip) トップ10は次の通り 1. 123 2. password 3. liverpool（イングランドの人気サッカーチーム） 4. letmein（「入れてくれ」——現代版「開けゴマ」） 5. 123456 6. qwerty（キーボード左上のキー配列） 7. charlie（英国でよくある人名） 8. monkey（理由不明） 9. arsenal（イングランドの人気サッカーチーム） 10. thomas（もう1つよくある人名）

えーっと、何故これが気になったかと言うとですね、過去にこの中にあるものを使っていたことがあるからで。PWDだけじゃなくてメールアカウントにも使ったことがあったりしたのもあります。そう、「qwerty」なんての、使ってましたしね。ただし、今はどれも使ってませんのであしからず。monkyってのは何となく分るような気がする。片手で打てるんですよ、この綴りは。何か作業しながらとか、ササッと処理したい場合には結構便利かもしれませんねー。って、こういう単純なのを推挙しちゃぁいけないって話でした。

とにかく流行も流行って漏れまくりな今日この頃、なかなかパロディの利いたFlashがあるのでクリッピング。

・日本＼(＾o＾)／ｵﾜﾀ

そう、誰もが知ってるあの「この〜木何の木気になる…」の歌に合わせて社名がスクロールするCMですね。マスコミを始め政府そのものが国民に大きな誤解を植え付けようと必死になっていますけど、これは特定のソフトが流出させたのではなく、Windowsに感染したウィルス君がインターネットに情報をアップロードしちゃっただけでございます。早い話がwinnyなんぞ無くてもメールで何れはバンバン流出する可能性が高いのでソフト云々のことではありませんですよ。これは使用者の問題ですね。えぇ、リテラシーの問題だったりします。この世界（何処だよ）では「最大のセキュリティ・ホールは人間である」というのが常識なんですけど、当にそれを地で逝ってる感が拒めません。みなさんも笑っていられる内はいいですけど、当事者になってしまったらそれこそ「人生オワタ」になっちゃいますんで気をつけませう。

やっと、というかまともな記事が出てきたのでクリップ。

ITmedia エンタープライズ：2006年も止まらない「Winnyで流出」、最新のマルウェア解説 (2/2)

相次ぐ情報流出によって「悪の根源はWinnyにあり」という風潮も出ているようだ。しかし、事態はあくまで「マルウェアがWinny経由で広まった」というだけのこと。しかも、山田ウイルス系に感染している場合、Winnyの使用を止める、あるいはWinnyファイルを削除しても根本的解決にはならず、流出は止まらない。

本編は「ITmedia エンタープライズ：2006年も止まらない「Winnyで流出」、最新のマルウェア解説 (1/2)」から始まるのだが、これでも某ソフトを暗にマイナスイメージ化しているのが悔やまれる。テレビでも連日の様に報道されている救いようの無い解説よりは遙かにマシであるが。それともう一つ、某ソフトを血祭りにあげて解決しそうな風説を意図的に流しているようにも思えるのだが、ウィルスはメール環境を媒体として広まる物の方が圧倒的に多い事実が隠されている。某ソフトを削除しろと言う前にメールソフトを削除させた方が効果的なのは皮肉か。そもそもPCにしろネットワークというものは白物家電ではないのだし、利用者にそれなりの学習能力を求められる類の域から脱してはいないという事実。この事実を隠して都合の良いところだけを声高に叫び、ひと度問題が起きると前後関係を無視してそのことだけに捕らわれて大騒ぎをするのはいい加減止めて欲しいと思う今日この頃なのだ。