あるAnonymous Coward 曰く、

「巫女SE」として一部の/.Jユーザーの間で話 題になったn_ayase氏（氏のTwitter）が、派遣先で試験を行ったシステムに深刻な脆弱性を発見、独断でシステムを停止させてあわや警察沙汰になるところだったそうだ。

大文字小文字に数字をまぶしたパスワードはブルートフォースアタックに対して強固であると言えるだろうか。強固であるとお考えの方はご再考を (ZDNet の記事、本家 /. 記事より) 。

PC Pro Blog の記事にて、GPU を用いたパスワードクラックツール ighashgpu とお安い GPU (1 〜 2 万円で購入できる RADEON HD 5770) の組み合わせで総当たり試行を行った結果が掲載されている。CPU を用いた場合、1 秒間に 980 万パターンの試行が可能であり、5 文字の NTLM ログインパスワードは 24 秒で突破された。一方 GPU では 1 秒間に 33 億パターンほど。パスワードを 6 文字にすると CPU では突破に 90 分ほど要したが、GPU ではたったの 4 秒。7 文字になると CPU では 4 日間かかったが、GPU では 17.5 秒で突破できた。9 文字の大文字小文字混在のランダムな文字列では CPU では 43 年、GPU では 48 日と試算された。記号やスペースを加えた 7 文字のパスワードでは CPU で 75 日、GPU で 7 時間である。

GPU コンピューティングによりここまで安価な構成で高速に突破されてしまうとさすがに危機感を感じざるを得ない。そもそもシステムによってはパスワードの長さが著しく短く制限されているところもあるだろうし、そうなっていては手の打ちようもない。著しく長く複雑なパスワードを考案し、ポストイットにパスワードをメモって机の中にこっそりしまっておくとかいう状況は古典的ではあるが既に喜劇の領域だ。パスワードを擬人化するなどの方法を使ったり、もちろんセキュリティチップや生体認証などの利用も検討するべきだろう。

あるAnonymous Coward 曰く、

高速電算研究所の WEB サイトによれば、ZIP ファイルにかけたパスワードを忘れてしまった人のために GPGPU で高速に解析するサービスを開始したそうだ。

YouTube に実際のパスワード解析を行う動画がアップロードされているが、680 億個のパスワード空間を探索するのに要した時間は 108 秒。動画では大文字、小文字、記号を組み合わせた 6 桁のパスワードがあっさりと割り出されている。ZIP パスワード解析といえば PIKAZIP 等のフリーソフトが有名だが、高速電算研究所によれば Intel Corei7 で PIKAZIP を動作させた場合と比較して約 100 倍のパフォーマンスを実現したとのこと。

ZIP 暗号には互換性を重視した「Traditional PKWARE Encryption」が多く使われており、最大鍵長はわずか 96 bit (12桁) 。より強度の高い AES 暗号の普及はいまだ十分とは言えない。現在機密情報をやり取りする目的で、一般に暗号化 ZIP は広く使用されていると思われ、近い将来、現実的な時間でパスワードが解読されてしまうことも起こりそうだ。

capra 曰く、

米国在住の23歳、George Bronkは3200以上ものメールアカウントをクラックし、私的な写真をそのアカウントの持ち主のFacebookアカウントにアップした罪で訴えられているそうだ（IT WORLD、本家/.）。

容疑者の手口は定番とも言える、GmailやYahooメールなどのWebメールアカウントの「秘密の質問」に答えるというもの。Facebookのアカウントをチェックすれば簡単に答えが分かるものも多く、次々と成功したとのこと。一旦ログインに成功したあとはパスワードを変更して本人をロックアウトし、ユーザーの「きわどい写真」を探しだして本人のFacebookのアカウントにアップしていったそうだ。

容疑者は172のアカウントにおいてユーザのセミヌードの写真を見つけたそうで、うち1件に関しては、より際どい写真を送るよう脅迫していたことも分かっている。裁判では児童ポルノや個人情報の盗難、またハッキングの重罪において懲役6年を求刑されているとのこと。

「秘密の質問」形式はソーシャルネットワークが発達する前の時代には成り立ったのかもしれないが、これからはまた違った方法を開拓する必要があるのかもしれない。

8月29日、「カレログ」というAndroid向けアプリが発表された。

カレログは

家族やパートナーが現在どこにいるかを把握するスマートフォンのGPS機能を用いた位置情報通知サービスです。あらかじめ彼氏や家族の持つAndroid携帯電話に、カレログアプリをインストールしておけば、彼氏の現在のGPS位置情報を常にチェックすることが可能です。

というもので、一日であっと言う間にTL（Twitterのタイムライン）を埋め尽くし、総理大臣指名よりも大ニュースになってしまった。インターネット時代のストーカーかという着目点が多かったが、まぁその通りですな。

かの虚構新聞も「カレログ」女子、海岸の落とし穴に落ち軽傷　湘南との記事を掲載し応援している。

一方、我らの高木先生もさっそく注目、Twitterでの発言がひろみちゅ先生による「カレログ」の違法性検証にまとめられている。

hylom 曰く、

今日ではさまざまな機器に GPS が搭載されている。これらは ATM など意外な機器でも使われているが、「30 ドルで販売されている GPS ジャマー」で GPS 電波を妨害することで、身近な機器を簡単に暴走させられる (NewScientist の記事、本家 /. 記事より) 。

まず例として挙げられているのは 2010 年に北海で行われた実験だ。 THV Galatea という大型船舶において GPS ジャマーを用いて GPS を正しく利用できない状況にしたところ、ブリッジのディスプレイには誤った位置情報が表示されアラームが鳴り響き、航海支援システムやレーダーもクラッシュ、さらには衛星通信システムも利用できなくなるという状況となったそうだ。

恐ろしいのはこのような危険を持つ GPS ジャマーが 30 ドル程度で購入できてしまうことだそうで、実際にトラック強奪などの犯罪にも用いられているとのこと。GPS ジャマーが影響を及ぼすのは自動車や船、飛行機といった乗り物だけでない。GPS からの信号には時刻を示す情報も含まれており、たとえば携帯電話はこれを用いて通信タイミングの同期を行っているため、GPS ジャマーにより通話・通信が行えなくなることがあるという。また、時刻ベースの暗号化を用いる ATM でも利用されていることがあるそうで、これも影響を受ける可能性があるそうだ。

GPS 妨害装置は日本でも手に入るが、このような「予想外」のトラブルを引き起こさないためにも、十分に留意して使用してほしい。

Wingard 曰く、

PlayStation Blogによると、PlayStation Network(PSN)やQriocityサービスで使用するシステムが攻撃を受け、調査及び復旧作業のため4月21日の昼頃にサービスを停止したとのこと。23日夕方の時点では復旧していないようだ ( PlayStation Blog、 PSN - 障害・メンテナンス情報、 Qriocity - 障害・メンテナンス情報、 AV Watchの記事 ) 。

PlayStation 3などでは、オンラインゲームが利用できないほか、PlayStation Storeでの買い物やtorneのトルミル機能、トロフィー機能やフレンドリスト機能なども使えなくなっている。ただし、オフラインで遊べるコンテンツには影響はなく、トロフィーの獲得もできる。またtorneに関してはPSNを利用するのはトルミル機能だけであるため、スケジュール予約などにも全く問題はない。液晶テレビBRAVIAでは、Qriocityサービスを使用した「キュリオシティビデオオンデマンド」が利用できないほか、音楽検索機能「TrackID」も利用できないとのことだ。

あるAnonymous Coward 曰く、

「crapware」などと呼ばれる不要なプリインストールソフトウェアがスマートフォンにも進出している(PC Proの記事、本家/.)。

メーカー製パソコンの中には大量のcrapwareが搭載されているものもあるが、現在ではAndroidスマートフォンが同じような状況に陥っている。PC Proの記事によると、ソニーエリクソンのXperia Mini Proでは最初の起動時には、Googleアカウントの設定よりも先にマカフィーのWaveSecureのセットアップ画面が表示されるという。また、公式のAndroid Marketの他にアプリケーションストアが4種類プリインストールされているほか、体験版のゲームやメディア管理ツールなどもプリインストールされているとのことだ。

パソコンの場合、crapwareは容易にアンインストールできる。しかし、Androidスマートフォンではユーザーがアンインストールできないようにシステムの一部としてcrapwareを組み込んでいるものがほとんどだ。こういったcrapwareも端末をルート化すればアンインストール可能だが、セキュリティ上問題が発生するほか、保証が受けられなくなってしまうこともある。

ある Anonymous Coward 曰く、

本家 /. にて、「Why Doesn't Every Website Use HTTPS?」という興味深いストーリーが立てられている。

「HTTPS はよりセキュアなのに、なんでみんなが使わないんだ ?」という至極簡単な疑問が寄せられているだけなのだが、多数の回答が寄せられている。挙げられている理由としては「SSL 証明書を取るのにコストがかかる」「クライアントのパフォーマンスが悪化」などが寄せられている。

ただ、SNS サイトや個人情報を要求されるサイトは増えており、「すべての Web サイトを HTTPS 対応に」という話は悪くないような気がする。実際 Twitter や Google など、HTTPS 対応サイトも増えている。あなたのサイトも HTTPS 対応を検討してみては ?

# なんか SSL 証明書の営業みたいなタレコミになってしまった

capra 曰く、

米ネブラスカ州オマハにある空港で、自家製 MP3 プレイヤーが原因でターミナルが数時間閉鎖されるという事態が起きていたそうだ (OregonLive.com の記事、本家 /. 記事より) 。

大学院生が持っていたのはミント菓子の缶を使って制作された MP3 プレイヤー。この学生はオマハのクレイトン大学で開催されていた科学フェアに参加していたとのことで、この装置もそのために作られたものであったという。しかし空港の X 線装置を通してこの装置を確認した空港保安担当者には、缶のなかにバッテリーとワイヤーが仕込まれた「疑わしき装置」に見えたとのことで、マニュアル通り空港閉鎖の措置が取られたという。

ミント缶 MP3 プレイヤーが空港で引っかかったのは今回が初めてではなく、2 年前にもカリフォルニア州で同じ MP3 プレイヤーが空港の検査で止められ、爆弾処理班まで出動する騒ぎとなったそうだ。なお、このときはしっかり爆発物として処理された (画像) とのことである。