積んでしまっていたブログネタの消化ですのでパパッと書いてしまいます。

PGP、使ってますか？

皆さんはPGPを使っていますか？メール等のメッセージを暗号化したり、ファイルに署名ができたりするソフトウェアです。IPAへのセキュリティに関する届出・相談で用いたりします。PKIのようなお堅い仕組みがなくても利用できるので、手軽にセキュリティを高めることができます。

Enigmailの脆弱性

Mozilla ThunderbirdでPGPをシームレスに使用できるアドオンがEnigmailです。今年、これに脆弱性(CVE-2014-5369)が発見されました。メールを暗号化したときにBCCの受信者へは平文を送ってしまい、BCC受信者の通信内容盗聴等によってメッセージの内容が漏えいするというものです。ご利用の方はアップデートを。

この脆弱性は現在の最新バージョンである1.7.2で修正され、BCC受信者にもメッセージが暗号化されて届くようになりました。しかし、これで問題が解消したわけではないと考えています。

JR秋葉原駅の電気街口を出て右側、総武線に沿って電気街の方へ向かう途中に、街頭の周りに太く広告が付けられています。「アキバWi-Fiシリンダー」と呼ばれる、広告付きの公衆Wi-Fiスポットです。

• 常設のWi-Fi連動型屋外広告「アキバWi-Fiシリンダー」の販売を開始 - ニュースリリース一覧 - ニュース - 電通

写真は2014年6月時点のもので、実際に試したのもこの時で少し日が経ってしまいましたが、どのようにつながるかをご紹介します。あと利用規約とプライバシーポリシーも(笑)

トラックワードとは、ブログ内にコードとJavaScriptを置くと、検索ワードなどのアクセス解析が行えるサービスです。2013年にサービス終了の予定でしたが、運営会社を変えてサービスを継続していたようです。私のブログも登録しっ放しで、テンプレートを変えた際にページに埋め込むコードの設定をしていなかったため、放置していました。

• ブログに貼るだけで無料でアクセスアップ、解析ができるツール　 Trackword(トラックワード)のサービス継続および運営会社変更のお知らせ
• Trackword(トラックワード)｜ブログ注目ワードランキングツールにインターナルがこだわる理由

そんなトラックワードから突然一通のメールが届きました。メルマガとかサービスに関するお知らせかな？と思ったら想像の斜め上（下？）を行っていたのでご紹介します。

去る6月11日から14日まで、ネットワーク技術のイベントであるInterop Tokyo 2014が開催されていました。

行く予定だったのですが、仕事の都合上行けませんでした。ITニュースサイトでトピックをチェックしています。

さてここで問題です。各社の出展状況がチェックできるInterop公式アプリはどちらでしょうか？

タイトルは半分ネタですｗ

今年もIPA（独立行政法人情報処理推進機構）主催のIT人材育成イベントであるセキュリティ・キャンプ全国大会2014が開催されます。

応募用紙に記入して提出することで申し込めますが、ネットワーク・セキュリティ・クラスのものには課題があり、これを解く必要があります。

＜ネットワーク・セキュリティ・クラスの課題について＞ ネットワーク・セキュリティ・クラスの基礎知識を問う質問および記述式質問は、security-camp-2014-nwファイルから何らかの 方法で抽出してください。 （**このファイルから質問を入手できるかどうかも課題です**） 回答は、当該ファイルから質問を抽出した後、質問・回答の箇所をコピーし当応募用紙に張り付けてください。

やってみました。わかれば5分くらいでできる内容ですが、募集期間終了後にWriteupを書きたいと思います:-)

[追記]書きました。続きからどうぞ。

Internet Explorer 6から11が影響を受けるゼロデイの脆弱性が発見されました。

• JVNVU#92280347: Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性
• IE6～11に影響のあるゼロデイ脆弱性、すでに標的型攻撃も確認 -INTERNET Watch
• IEのゼロデイ脆弱性、攻撃回避策の手順をマイクロソフトが説明 -INTERNET Watch

対象バージョンにWindows XPに搭載されている6も含む事で、Windows XPから最新OSへの移行が進むことを期待します。

WebブラウザはInternet Explorer以外にも多々ありますので、「いっそIEをやめる！」と決意した方のために、Internet Explorerを無効にする方法をご紹介します。また、Thunderbirdのみですが、メール内のリンクによる細工されたHTMLへの誘導を防止する方法もご紹介します。

久々に電子工作ネタです。slideshareにアップしました。

タイトルに「悪用厳禁！」とか付くタイプの方法です。思いつきで作ってみたら簡単にできましたのでご報告いたします。プログラミングなどの特別な事をせずに、Webから入手したファイルのみで行えてしまいますよ。

最終的にこうなります。

以前、Windows XPユーザーへ新しいPCへの買い替えをすすめる仕組みを入れましたというブログを書きましたが、別にWindows XPが憎いわけではなく、早めの移行を後押ししたいという意図があります。あまり「XPにはこんな問題があります」という後ろ向きな内容ではなく、「最新OSはこんなにメリットがあります」というほうがいいんですけどね。

今年に入ってから興味を引くような内容でTwitterアカウントのアプリ連携を行い、意図しない操作を行うTwitterスパムが流行しています。

• Twitterスパムに1ヶ月弱騙された結果をまとめてみた。 - piyolog

Kangoさんのブログが非常に興味深く、多くの行われる操作をまとめています。そのうち「フォローさせられたアカウントリスト」がありましたので、これらのアカウンについてより詳しい情報をまとめてみました。情報の取得は2014/2/27 22:00くらいに行ったものです。

• Twitterスパムにフォローさせられたアカウント一覧詳細

ログイン情報の保護のためにログインフォームはHTTPS(SSL/TLS)を選びましょう

mixiにログインする際にアドレスバーがmixi.jpで始まっているのに気付きました。最近のブラウザはHTTP接続の場合はhttp://を省略するようになっています。

※画像です

まさかパスワードをHTTPで送信していないよね？と思い、ソースを見てみました。

<input value="/home.pl?from=global" name="next_url" type="hidden">

HTTPでした。入力したパスワードはSSL/TLSで保護されていません。ちなみに「SSLはこちら」は以下のようになっていました。

<form action="https://mixi.jp/login.pl?from=login1" method="post" name="login_form">

HTTPSではそのままHTTPSへ送信しています。これに関する問題は以下のページに詳しく書かれています。

• SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも
• 日本3大SNSのログイン画面について、SSL利用状況を検証する | HASHコンサルティングオフィシャルブログ

これに加えて、mixi上には同様の問題が2点ほどあります。