学びの冒険者 原口直敏Side←L "The Logical Brain Monster"

学ぶための方法や時間活用術、戦略、Tips、実績等々。
苦手な人も、得意な人も、必要に迫られちゃった人も、
学びについて語り合おうじゃありませんか!


テーマ:
「【マイナンバー】個人番号カードの真のリスク」
犯罪リスクとして本当に危険なのは
マイナンバーそのものよりも
個人番号カードの身元確認としての機能と
電子証明書だということを説明しました。

しかし、もしそうであれば、
当然こんな疑問が出てくるのではないでしょうか?


「なぜ、犯罪に直接悪用できない
個人番号ばかりがクローズアップされるの?」


これには理由があります。
マイナンバー法が出来る前に
国民全員の共通番号の是非について
違憲訴訟がありました。

これに対して最高裁は平成20年3月6日に
合憲判決を下したのですが、
それには条件がありました。

その条件の一つがこれです。

「何人も個人に関する情報をみだりに第三者に
開示または公表されない自由を有すること」

ここで言う「個人に関する情報」には個人番号も含まれ
個人番号を含んだ個人情報=特定個人情報も含まれます。
つまり、これが実現しないとマイナンバー法自体が
違憲になってしまうのです。

そして、この判決は犯罪抑止の観点ではなく、
個人情報保護の観点から出されたものです。
そして、マイナンバー法における個人番号の扱いも
個人情報及びそれに付随する個人情報保護の観点から
書かれています。
マイナンバー法の大まかな構成を優先順位に従って書くと
以下のようになります。


1.個人番号を使った利便性等の向上を目指す
2.それを合憲化するために個人番号等を手厚く保護
3.それに伴うセキュリティ対策の実施


2つ目が個人番号の保護。
3つ目が犯罪抑止の観点。
個人番号保護の方が優先順位が高いわけです。

ただ、個人番号カードを作る側は
犯罪抑止のことを考えて必要なセキュリティ対策は
一応なされています。
条文にもそう言った記述があります。
ただ、この部分の啓蒙はマイナンバー保護に比べて
足りない印象を受けざるを得ません。
いいね!した人  |  コメント(0)  |  リブログ(0)

テーマ:
個人番号カードの申請には、
セキュリティの観点で超重要なポイントがあります。

それはずばり、以下の二つの電子証明書の要否です。

「署名用電子証明書」
「利用者証明用電子証明書」

これらの電子証明書は
意識しなければ勝手についてきて
パスワードの設定を要求されます。

ただ、「【マイナンバー】個人番号カードの真のリスク」にも
書いた通り、
電子証明書がついてくるということは
セキュリティリスクが増えるということでもあります。

特に、オンライン申請やコンビニでの
住民票の取得などを考えていない、
高齢者などにこの電子証明書は必要でしょうか?
使い方も分からない人に電子証明書を発行しても
危険が増すばかりです。

この選択は【なんとなく】ではなく、
【明確に必要性を考えた上】で決断を下してください。
逆に、この点の決断を下せないのであれば、
個人番号カードの申請は【待つべき】です。


僕自身はセキュリティについても技術についても
そこそこ熟知していますし、
オンラインで手続きをする予定もあるので
電子証明書はつけて申請しました。
ですが、その分リスク管理は厚くする必要があります。

ポイントはいかにして電子データの読み取り、
つまりスキミングを防ぐ仕組みを確立するか。
身分証明書として渡してもスキミングをできず、
自分が使う時だけ読み取れる仕組みを作る必要があります。
そして、同時に不要時のマイナンバーの読み取りも
防止する必要があります。

一応、そういう仕組みを考えたので、
個人番号カード受領後、実例を使って
その方法を解説する予定です。
いいね!した人  |  コメント(0)  |  リブログ(0)

テーマ:
個人番号カードの最大のリスクは
実はマイナンバーではありません。

マイナンバーが手に入れば、
確かに本人を脅したり騙したりする
キッカケにはなります。
しかし、マイナンバーだけでは、
【実質的に何もできない】のです。
少なくとも現在の制度では。

理由は簡単でマイナンバー自体に
本人の身分確認の機能は存在しないからです。
マイナンバーだけを提示しても
お役所も企業も何もしてくれません。
マイナンバーを使用するためには、
番号自体の確認と【本人の身元確認】の
両方が必要だからです。

逆に言うと、犯罪者から見た場合、
一応流行だからマイナンバーがらみの詐欺もやりますが、
喉から手が出るほど欲しいのは【身元確認情報】なのです。

今までだと、「運転免許証」や「住基カード」がそれらにあたります。
「運転免許証」は身元確認に使われるので、
これを利用すれば色々と悪用が出来ます。

「でも、写真がついているでしょ?」

そんなものいくらでも手があります。
郵送やオンラインの申込み、
偽の委任状を作って代理人のふりをする。
加工とかも...これ以上はちょっと自粛します。

例えば、これで色々な契約をしてしまったり、
住民票を移してもっとひどいことをしたり、

住基カードには電子証明書が入っているので、
そもそもオンライン前提です。
顔なんか関係なく、そのカードなり
カードからコピーした電子証明書を持っていれば、
本人とみなされます。

「でも、パスワードがあるでしょ?」

パスワードだけなら
これもいくらでも手があります。

純粋に技術的なアタックから、
本人から直接聞きだす心理学的なアプローチまで。
これも、具体的な手口はここには書けません。
自主規制。
リアルでお会いした方だけにお話しします。

さて、個人番号カードの問題は、
「運転免許証」の写真つき身元確認情報と
「住基カード」の電子証明書が
一つのカードになっちゃったことです。

「住基カード」ってオンライン認証に使うモノなので、
家からつないでいる人は外に持ち歩いたりしません。
一方、「運転免許証」は外に持ち歩いている人が
結構多いのではないでしょうか?

「住基カード」のように電子証明書が入っているカードを
外に持ち出すということは、
その電子証明書をだれかに読み取られる
スキミングのリスクがあるということです。
でも、今まではそれ程持ち歩かないから
スキミングのリスクにはそんなにさらされなかった。

ところが、「個人番号カード」になると、
「運転免許証」のような写真つき身分証明書と
「住基カード」のような電子証明書つきカードが
一体になっちゃっているから
持ち歩かざるを得ない。

これは犯罪セキュリティの観点からは
危険なことです。


では、どうしたら良いのか?


考えるべきポイントは二つ。

1.「個人番号カード」申請時の電子証明書オプションの是非
2.「個人番号カード」に施すセキュリティ対策

これらについては別の記事で
具体的に書かせて頂きます。
いいね!した人  |  コメント(0)  |  リブログ(0)

テーマ:
ラジオを聞くともなく聞いていたら、
セキュリティ喚起のために
LINEの初歩的な乗っ取り方法を説明していた。

僕が驚いたのは、
それを聞いた人が驚いていたこと。

「もしかして、普通の人は
乗っ取りが難しい事だと思っているのだろうか?」

そんな風に感じたので、
SNSは【構造的に】乗っ取りが簡単であることを
普通の人にも分かるように説明してみます。

まず、「認証」と言う言葉を念のため説明します。

「認証」とはアクセスしてきた人が
その「本人」であることを確認すること。
ログインする時パスワードなんかを訊かれますよね?
それを認証と言います。

それが分かった上で説明に入りましょう。

SNSの乗っ取りが【構造的に】
簡単な理由はただ一つ。

SNSは【構造的に】認証が脆弱だからです。


■SNSは【構造的に】認証が脆弱な理由
セキュリティの世界では認証は3つの方式に分けられます。

1)身体的認証(指紋、顔、静脈など)
2)物理的認証(磁気カード、トークンなど)
3)情報的認証(ID、パスワードなど)

そして、認証が重視されるシステムでは
これらを複数使うことが常識です。

ガラケー時代の携帯会社独自サービスの場合、
使用している携帯電話のチェック(物理的認証)と
パスワードチェック(情報的認証)が効いていたので、
今のSNSに比べると比較的安全ではありました。

ところが、現在のSNSサービスは
インターネットを通じて
PC、スマートフォン、Wi-fi機器、
あらゆる媒体から使用できるし
そうでなければユーザーは離れて行きます。

認証手段は基本的にIDとパスワードのみ。

しかも、IDにメールアドレスが使われることが
圧倒的に多い。
メールアドレスはオープンの情報だから
いくらでも調べられます。
ふと思いつくだけでもこれだけあります。

・ランダムに推測する
 (推測したアドレスにメールをして
  エラーが返って来なければ存在する)
・本人が使ったスマートフォンやPCの痕跡から
・SNSの友達申請などでプロフィールを収集
・破棄された名簿や名刺から収集
・相見積や問合せを装って営業窓口から収集
・逆に営業メールを装って情報を引き出す
・偽の販売サイトを作って大々的に情報を集める
 (既存の販売サイトからホームページのデータを
  フルダウンロードしてちょっと変えればそれっぽくなる)

メールやメッセージって文字情報だけだから、
心理学的要素を考慮した文章力さえあれば
怪しまれずに接触することは容易です。
身なりとか挙動でおかしいと思われる危険はゼロですし、
送る前にメールやメッセージを冷静にチェックできる。
これは大きいです。
リアルなやりとりでは、
相手の言葉に対する反応が1秒遅れたら
確実に「おかしい」と感じますが、
ネットでその程度の時差は誤差の範囲。

なので、ネットで怪しまれずに接触したり
情報収集するのは、
リアルと比べると超簡単です。

でIDさえ分かればパスワードを知れば良い。
手段はパッと思いつくだけでもこれだけあります。

・有り勝ちなパスワードを試す
 (有り勝ちなパスワード統計から)
・あらゆる文字列を総チェック
 (プログラムまかせ)
・本人が使ったスマートフォンやPCの痕跡から
・SNSのプロフィールから
 (個人情報からパスワードを推測)
・本人からパスワードを教えてもらう
 (SNSのセキュリティ調査等を装う)

しかし、SNSにはさらに乗っ取りを容易にする仕組みが
SNS自体に組み込まれています。

そのSNSで使えるアプリであるとか、
その自動的に友達申請や招待をする仕組みとか...
いくら安全を考えてプログラムを作っても、
人がやることだから
セキュリティホールはゼロにはできません。

なので、SNSを使う場合、特に仕事で使う場合は、
漏れたら【社会的に】エライことになるようなものは
絶対に避けるべきです。

「例の件」とか「いつもの場所」とか、
関係性を疑われたくないなら
すべて敬語を使うとか...
いくらでもぼかす方法はあるはずです。
いいね!した人  |  コメント(2)  |  リブログ(0)

テーマ:

仕事で【必要】になった事は一度もない。
この仕事でトルクス(ヘックスローブ)に出会うのは、
パソコンのハードディスク系かもしれないけれど、
【仕事】ではこんなところは取り外さない。
ただ、あると【便利】な時はあるけれど。


まあ、お守りですね。


一応、仕事で遭遇するサイズを考えると
このセットになります。


PROMATE 精密ヘクスローブレンチ8p SHL-8
へクスローブT5、T6、T7、T8、T9、T10、T15、T20


これよりデカいサイズのトルクスは
この仕事では不要。
デカいサイズの場合はトルクスではなく
大抵六角レンチ。


多分、それだけデカい専用機器は
素人が軽はずみに分解することはほぼ皆無だから。
そもそもそんな軽はずみな奴はマシン室に入れないし。


てな訳でバイクとかやっている人が使っているトルクスとは
サイズが全く違います。


PCの自作を個人的にやる人は別にして、
仕事ではお守りレベル。
一応、これだけ持っておけば安心です。

PROMATE 精密ヘクスローブレンチ8p SHL-8/ダイドーコーポレーション
¥価格不明
Amazon.co.jp
いいね!した人  |  コメント(0)  |  リブログ(0)