【weekend edition】ポケットラジオと懐中電灯の有用性
こんにちは。大雨の影響で、西日本各地に大きな被害をもたらしています。被害に遭われた方々にはお見舞い申し上げます。
今回の大雨でTwitterのTLを眺めていると、懐中電灯の有用性を説くツイートがありました。夜間の移動は危険ですし、足元を照らす意味でも必要ではあります。
それ以外にも救助を求めるためのサインにもなるという話。暗闇だと見つけにくいですし、声もさほど遠くまで聞こえませんしね。モールス信号を知っていれば、点滅で伝えることも出来ますし。
懐中電灯に加えて、ポケットラジオを持っておくといいというのは、災害発生時に痛感します。スマホでradikoなり、らじる★らじるなりで聴くとなると、結構バッテリーを消費しますから、通信手段としての機能を優先させる場合には、乾電池式のポケットラジオで聴くのが正解ですよね。災害時には非常用充電スポットが提供される場合もあるでしょうが、そこまでたどり着けないという場面もあるでしょうし。
そういう意味では、ライト付きラジオがいいでしょうね。出来れば手回し充電式ラジオがいいでしょうね。以前も記事にしたことがありますが、個人的にはSONYのICF-B99がおすすめです。ワイドFM対応で、手回し充電と太陽光充電に対応してます。単三電池対応でスマホ・ガラケーに充電出来るのも◎ですね。
日頃から準備しておくことの重要性を感じる昨今です。
【weekend edition】大雨の影響で公共交通機関が大幅間引き運転でしたが…
こんばんは。西日本全域で大雨が続いていますね。被害に遭われた地域の皆様、お見舞い申し上げます。特に北九州方面がたいへんなことになっているようですね。無事をお祈りしております。
大阪を中心とする近畿圏でも、木曜・金曜と大雨が続いております。木曜日の段階から電車が間引き運転されていました。既に木曜日の段階で、翌日金曜日の近畿エリアJR在来線の運休・間引き運転を発表していました。金曜日は京都-西明石間の普通とJR東西線と環状線が動いていたぐらいでした。(これも夕方には京都ー神戸間に縮小されていましたが)阪急も神戸線・宝塚線が運休になるという状況でした。阪神・京阪はほぼ通常運転でした。
このような状況ですから、職場へ通勤出来ない方も多かったものと思われます。先日の大阪北部地震でも感じたことですが、「無理に出勤しようとすると、帰宅難民になるリスクを孕んでいるので、自宅待機すべき」だと思うんですよね。出勤時は電車が動いていたとしても、天候次第で運休・運転区間の縮小という展開も十分にあり得ます。
無理に出勤させて、従業員が帰宅困難となった場合、食料や寝場所を確保出来るのか?という問題もあるかと思います。これはこれで混乱をもたらすと思われますので、やばそうだと判断したら、自宅待機させる方向に誘導しないといけないのではないでしょうか。
リスクのあり方を考え直す時期に来ているように思えます。リモートワークという方法もあるわけですし、オフィスに集まるという風習を見直すいい機会なのではないでしょうか。こういうことを言うと、「セキュリティが云々」というような反論が聞かれます。様々な問題をクリアできるようになってきていますので、「セキュリティを『やりたくないことの言い訳』」にしてはすべきではないです。こういう風なことが頻繁に見受けられるので、情報セキュリティがコスト扱いされるんでしょうかねぇ…。
オフィスという物理的環境に縛られない働き方がもっと進んでほしいと思う昨今です。
野放しになってるIoT機器の多さに驚愕
こんばんは。今回はIoT機器に関しての記事です。security-nextの記事からです。
以前、自治体や電力会社管理のWebカメラが乗っ取られたというニュースが複数ありました。(当ブログでも取り上げました)
初期パスワードのまま無防備に接続する人が多い?
これらの事例に共通しているのは、初期パスワードのまま接続して設置したまま放置という点でしょうか。初期パスワードのまま接続するというのは、最もやってはいけないことなんですが、安直に考えているんでしょうね。「回線接続して電源入れたら使えるやん♪」ぐらいにしか考えてないのでしょうか。Webカメラを接続するということは、基本的にはインターネット接続するということですから、セキュリティ対策もそれなりに考えないといけないということが欠落しているんでしょうね。ちゃんと対策してくれるベンダがいないのでしょうか。「簡単に出来るから、自分たちでやったら金もかからないし」という風に考えていそうです。
つないだ後は放置プレイなんですか???
それにしても、連絡が取れないケースが3/4もあるというのが怖いですよね。踏み台にされたら…と思うと背筋が寒くなります。パスワード設定に問題があったり、管理画面が公開されているというのも「大丈夫なのか?」と思いたくもなりますよね。
IoT機器の安全なつなぎ方の講習って必要ですよね
こうしてみると、ユーザとしてのセキュリティ教育だけでなく、ガチの管理者としてではなく、IoT機器の管理者としての教育は必要でしょうね。「ライトな管理者」というところでしょうか。IoT機器が増えてくると、こういう教育の必要性が高くなってくるはずなんですが、こういうことをきちんとレクチャー出来る人材がいないんでしょうね。(御要望がありましたら、御連絡お待ちしてますw)
LTEでも油断は出来ないようで(中間者攻撃が実現したという話)
こんばんは。今回はセキュリティ面的に少々心配な記事がありましたので、取り上げてみます。impressの記事からです。
記事によると、LTEのL2における脆弱性が発見されたのだそうです。これを利用して中間者攻撃が成立することが発表されました。中間者攻撃以外に、受動的攻撃もあるのだそうです。この受動的攻撃を「aLTEr」と呼ぶのだそうです。
で、この中間者攻撃とaLTErを組み合わせて、DNSスプーフィングで悪意あるWebサイトへ誘導出来るそうです。
ここで気になるのは、「じゃあ、ユーザとしてこの脆弱性にどのように対応すべきなのか?」という点です。この記事に書かれているように、LTEの仕組みそのものを変えるのは現実的ではないですよね。ここではWebサーバ側でHSTS(HTTP Strict Transport Security)を導入するようにと主張されています。ユーザ側がhttpで接続しようとしてきた場合に、Webサーバが一旦httpで接続してhttpsにリダイレクトするとなると、最初の通信はhttpですので、ここに中間者攻撃を許す隙を与えてしまうことになります。それを防ぐために、Webサーバ側の設定で「最初からhttpsで接続しに来い!」という風にクライアント側に通知します。それを受けたクライアント側がhttpではなく、httpsで通信するようになります。
さて、ここで気になるのはhttps以外の場合です。pop3sやsmtpsの場合は平文プロトコル(pop3やsmtp)で接続しに来て、pop3sやsmtpsで接続し直すということはありません。最初からpop3sやsmtpsで接続しに行くので、httpsの場合のようなことはないことになります。PCでメールソフトを使う場面ぐらいでしょうから、主戦場はhttpsが使われるブラウザなり、スマホアプリという話になるんでしょうね。
このへんもう少し調べてみます。<(_ _)>
(いろんな意味で)気になるLINEモバイルの今後
こんばんは。ちょっと気になる記事があったので言及してみます。ITmediaの記事からです。
先日開催されたLINEモバイルの発表会に基づく記事ですが、SoftBank傘下に入ったことでどのような影響があったのかという点が気になります。SNSカウントフリーがかなり大きなダメージになったという印象なのですが…。
「3つの約束」の1つめは「マルチキャリア」
さて、この記事の中で「3つの約束」について触れられています。1つは「マルチキャリア」なんですが、SoftBank回線を使うのは傘下に入ったので理解出来ます。docomo回線を使ったサービスも継続出来るのでしょうか?一説にはOCNとは険悪になってると聞いたことがあります。docomo側もあまり快く思ってなさそうなので、サービスに影響が出ないかどうかは気になります。
(記事最後の方で「OCNとは良い関係である」とありましたが、実際のところはどうなんでしょうね?額面通り受け取っていいのかどうか、もう少し調べてみようかと思います。さすがに会見の席で「仲たがいしてます」とは言いませんよね。いくらなんでも。)
マルチキャリアというのは、docomo&auの事例ですが、mineoやIIJmioやBIGLOBE等がありますね。BIGLOBEの場合はdocomo回線を使ったサービスを提供しています。KDDI傘下に入っても続いていますが、今後どうなるかは分からないですよね。UQmobileの存在もありますから、こことどのような形で棲み分けて行くのか、あるいは両者の合併再編ということもあるかもしれません。
話は逸れましたが、ユーザにとってどれだけのメリットがあるのかは未知数な気がします。
2つめの約束は「格安スマホ最速チャレンジ」
これを「格安スマホ業界最速」などと言ってしまうと、以前買収されたどこぞのMVNOのようなことになってしまいますので、言葉を選んでる感がありますね。(^^;
「チャレンジ」なので、別にいいんでしょうね。「最速に挑戦する」ということなので、「最速ではない」という逃げが打てますね。(^^;
(本筋とは全く関係ありませんが、その昔、「体力の限界に挑戦する」というフレーズのテレビ番組「爆笑寄席」(関西テレビ)があったことを思い出しました。(^^;)
無理しなくてもいいんじゃないかと個人的には思うんですよね。MVNOである以上、限界はあるわけですし。それよりも、「通信の最適化」は無断でやってほしくはないですね。(爆)
最後は「スマホそのまま」だそうです
これはいいと思います。「4年縛り」が大きな問題になったぐらいですから、端末とSIMは別に考えましょうという流れはアリだと思います。SIMだけ交換するというのは合理的ですし、そういう考え方がもっと浸透してほしいです。
ただ、少々心配なのは、リアル店舗を全国100店舗以上に増やすとのことですが、体力的に大丈夫なのかが気がかりです。リアル店舗が経営の重荷にならないかどうかが傍目に見て不安要素でもあります。
WPA3に関する情報が少しずつ出始めたようなので
こんばんは。ここ数日でWPA3に関する記事がいくつか出てきましたので、目を通してみることにしました。以下はwired.jpさんの記事からです。
WPA3規格登場前に言われていたことですが、「ベタな暗号でも(ある程度は)保護される(意訳)」な点も一つのポイントかと思われます。辞書攻撃に対して強度が高くなっているということのようです。4ウェイハンドシェイクの脆弱性を解消すべく、SAEハンドシェイクを用いるという点が改善点のようです。SAEハンドシェイクについては後日調べてみますので、少々お待ち下さい。
他にも「Wi-Fi Easy Connect」が売りのようですね。特にIoT機器を安全に使うためにQRコードを使うということのようです。この記事からすると、スマートフォンがIoT機器とルータを接続する仲立ちをするようですね。両者のQRコードを読み取ることで、両者の接続に必要な情報を中継するという感じなのでしょうか。このあたりももう少し詳しい情報が出て来るのを待ちましょう。
この記事で少々気になるのが、「みんなが新しいものを購入しないといけない」とある点でしょうか。これは、「もしかするとファームウェアアップデートでは対応出来ないということを示唆しているのか?」とも取れるので、気になるところではあります。
他にITmediaでも記事を見つけましたが、ほぼ同様の内容でした。(当然ですね)
「少々弱めのパスワードでも保護される」とはありますが、あまりベタパスワードにはしない方が良さそうですね。(^^;;
今月中にchromeでhttpなサイトにアクセスすると「保護されてない」と表示されるように
こんばんは。以前から言われていましたが、chrome68のリリースにより、7月からhttpなサイトにアクセスすると「安全ではないサイトだ(意訳)」と表示されるようになるそうです。このあたりに関して、多くのサイトが記事にしています。
こちらは日経XTECHですが、有料会員しか読めなくなっています。
他にはプロモニスタさんや、エムタメさんが記事にしておられます。
いずれもWebサイトを運営している企業・官公庁・独法等各種組織に対して書かれているように取れる記事ですが、個人でWebサイトやブログを運営しておられる方々にとっても同様ですね。その影響もあってか、このブログも急ぎhttps化したという事実もあります。(^^;
現在ブログを運営されている方で、まだhttps化されていない方は、当該ブログサービスでhttps移行に関する手順を確認されておくことをおすすめします。組織でWebサイトを運営されている場合も、急ぎhttps対応をされることをおすすめします。SEO対策で気になる面もあろうかとは思いますが、今回の場合は「https化しないデメリット」の方が大きそうです。
「無料証明書ってどうなのよ?」的なコメントも見かけますが、Let's encryptも機能としては全く問題ありません。DV証明書としての機能は他社のSSLサーバ証明書同様に果たしてくれますので無問題です。Let's encryptに関しては、3ヶ月ごとの自動更新が問題なく出来るような設定にしているかという点が重要になります。
DV証明書以外にOV証明書、EV証明書がありますが(このあたりの話は後日改めて)、ドメインの存在を保証する目的であればDV証明書でOKです。
Xデーが来る前に急ぎ対応しておきましょうというお話でした。
