■2003-03-09(日) [長年日記]
▼ 日本エンタープライズ 携帯電話による地下鉄乗車サービスにおける松下電器産業株式会社との協業について(PDF)
▼ 日刊スポーツ 別れた女性にセーラー服強要した男逮捕
読者の知りたいという欲求に答えたすばらしい記事(笑)。
怖くなった女性は、水野容疑者の要求通りセーラー服姿で駅を訪れたという。セーラー服は高校時代のもので、夏服だった。寒さのために上からコートを羽織っていた。水野容疑者はその後、セーラー服姿のままで、女性を連れまわしていたという。
正直、これは買ってもいいなぁ。あと体温計も欲しいな。体重や血圧は測るだけでなくて、蓄積しないと健康管理には意味がないから、こうやって自動的にデータロギングしてくれるのは非常に便利そうだ。
▼ 関連記事たくさん
大日本印刷,チップ内で指紋認証を行うICカードを発売へ
INTERNET Watch 東レインター、“オートIDセンター”のタグ管理仕様に対応したICタグ
INTERNET Watch 凸版が無線タグのデモを展開、カゴに入れるだけで商品金額を即座に計算
うわ、こんなのやってたんだ。一応、SHOP JAPANの方も歩き回ったんだけど気が付かなかった。
▼ 「PaSoRi (パソリ)」ドライバソフトウェアに関する重要なお知らせ
 |  |
参考資料は山根先生の近況。実際に手元のマシンにPaSoRi(パソリ)とFeliCa Offline Viewer(FOV)がインストールされているのでちょっと試してみた。
FOVはFAQにあるようにパソリに関するオンラインヘルプを表示させるソフトで、ヘルプファイルは最近では良くあるようにHTMLで書かれている。なんでこれがシステムの脆弱性につながるかというと、このFOVが実はHTTP Daemonになっていて、こっそりローカルでウェブサーバが立ち上がっているのだ。試しにTelnetから「telnet 127.0.0.1 ****」(****は特定の4ケタのポートナンバー)とたたいてみたら「HTTP/1.0 500 Unexpected exception」と帰ってきた。
さすがにローカルコンピュータ以外からのアクセスは無条件にすべてはじく様になっているが、ユーザーのあずかり知らぬところでHTTP Daemonを動かすのはちょっと問題。クロスサイトスクリプティングで狙い撃ちされたら、IEの設定によっては危険なスクリプトでもいきなり実行されてしまう(クロスサイトスクリプティングについてはこっちを参照、要は「かご抜け詐欺」みたなもの)。
つまり、今回のセキュリティホールはFeliCaやパソリのものというよりも、Windows(とIE)自体が持つ脆弱性が顔を出しただけ。まあ、ヘルプファイルを表示させるためだけに、わざわざHTTP Daemonを使うことにも疑問の余地はあるけど(クロスサイトスクリプティングを用いてWeb上から任意のスクリプトを実行させてサポートしようとかスゴイことを企んでいたんじゃないかとちょっとだけ邪推)。
ICカードでどれだけセキュリティを高めたとイバってみても、その周辺にセキュリティホールがあるならば、それに足を引っ張られて無意味になる。システム全体の脆弱性は、そのシステムに組み込まれた要素の中でもっとも弱いところに等しくなる。今回でいえばOSそのものであって、それ自体が致命的なことだけど、場合によってそれはユーザーだったりもする。まあ、結局セキュリティは「○○○○があるから大丈夫」というもんではなくって、OSからユーザーからメーカーからオフィスから、それこそ周辺のありとあらゆるモノを同時にセキュアなものにしないとダメだ。つまり「教育」に勝るものなし。
興奮のあまり、「2冊目の写真集」のところにタグミスが。青山さんったら、もう(笑)
だ、だだ、だって手が震えるんですもの(笑)