FBI、大学襲撃を計画したテロ容疑者のSkypeログとパスワードを要求 24
ストーリー by hylom
さてどうなるか 部門より
さてどうなるか 部門より
taraiok 曰く、
FBIがMicrosoftに対し、Skypeの通信ログやパスワードを提供するよう求めているという(Boston Globe、CBSBoston、Techdirt、INQUISITR、Slashdot)。
FBIは銃や爆破物によるボストン州立大学襲撃を計画したとして昨年7月にAlexander Ciccolo容疑者を拘束した。この容疑者がISIL関係者とテロ計画を議論していた可能性があるとして、FBIのエージェントがMicrosoftに対しSkypeのログを提供するよう求めているという。Boston Globe紙によれば、捜索令状にはメッセージログだけでなく、Alexander CiccoloのSkypeパスワードも要求されているという。
Ciccolo容疑者はAR-15アサルトライフルとSigArms製ライフルを各1丁、グロックハンドガンを2丁所持。さらに火炎瓶を用意していたほか、ボストンマラソン爆弾テロ事件に使用されたものと同じタイプの爆弾を製造するために圧力鍋を購入していたとしている。Ciccolo容疑者がボストン警察署長の息子だったことも米国内では話題になった。
ただ、iPhoneの件とは異なりMicrosoftは過去にユーザーデータをロシア警察に引き渡したことがある。当時はプライバシー保護派に強く非難されたが、今回もMicrosoftがログを提供する可能性は十分にあると見られている。
パスワードを要求する意味が判らない (スコア:1)
Skypeの通信ログを要求するのは第2701~2712条に基づいた正統な要求と思われますが、これ、パスワードは含まないよね?
そもそも、なんでパスワードを要求するのでしょうか?
ここが理解できないです。
skypeにパスワードがないとアクセスできない情報ってありましたっけ?
FBIが何を意図してパスワードを要求しているのか、見当がつきません。
役に立たないモノ、しかも(おそらくは)保存されていないであろうものを要求する意味が判りません。
# skypeにはパスワードリセット機能はあっても、リマインダ機能はないよねぇ。
notice : I ignore an anonymous contribution.
Re: (スコア:0)
そりゃもちろん他のサービスにパスワードを使いまわしてる可能性があるからでしょう。
Re:パスワードを要求する意味が判らない (スコア:1)
その場合、「他のサービス」を行っている事業者に、情報の提出を求めるのが筋だと思いますが。
法に基づく正当な要請で済むのに、わざわざグレーなとこを渡る必要はないでしょう。
(余計な事をして反発をくらい、特例法の価値を落とすのは悪手だと思うのです)
FBIは何を意図してパスワードを要求しているのでしょうか?謎です。
notice : I ignore an anonymous contribution.
Re: (スコア:0)
サービス側では鍵を保存してなくてデータは取り出せても中身を確認出来ない仕組みになってるサービスはいくらでもあるし、個人が暗号化しているファイルのパスワードとかあるし。
あと礼状が出ている以上、グレーなんて事はないんでは。
何が悪いんだろう……。 (スコア:0)
これはiPhoneの件と違って、MSのサーバ側にあるログ/パスワードの提供だよね。
ログの提供なんて、どこの国のサービス事業者でも裁判所の令状があれば行っていると思うんだけど、米国は違うのか?
パスワードはハッシュ化されてそうだけど、復号化して渡せってことなのかなぁ。(面倒臭そう……)
ログがあればパスワードなんて不要な気がするけど、会話ログは保持してないってことなのか?
Re:何が悪いんだろう……。 (スコア:4, すばらしい洞察)
AppleもiCloudに置かれていたデータはすぐ提出してましたし、FBIの要請もそれが古いので端末のデータを割らせろというものでした。
関連しているので話題にはなるのでしょうが、ACさんが仰る通り言ってしまえば最初から誰も争っていないケースですね。
Re: (スコア:0)
ログはともかく、パスワードはまずいでしょうよ。
パスワードのハッシュなんか、FBIが入手してもほとんど意味がないですから。
平文で保存していても、復号可能でも、どっちもアウト。
Re: (スコア:0)
ログはともかく、パスワードはまずいでしょうよ。
パスワードのハッシュなんか、FBIが入手してもほとんど意味がないですから。
平文で保存していても、復号可能でも、どっちもアウト。
君がアウトと言ってもマイクロソフトがアウトと判断するかは別です。
Re: (スコア:0)
パスワードがあれば、FBIが犯罪者になりすましてログインして仲間と直接やりとりするとか・・・
今回の件だと、当人が拘束済みなのは知られてるので、仲間も反応しないだろうけど。
Re: (スコア:0)
その提供されたパスワードは、他のネットデーターへのパスワード候補や、暗号化されたデーターの解錠鍵候補にはなるのでは?
ハッシュ化されたパスワードの復号とか (スコア:0)
面倒くさそうも何も、普通は無理じゃろ…。
Re: (スコア:0)
一方向ハッシュってなんだろう(哲学)。
#そら、辞書攻撃でもすればクラックできるけど、そんなことはFBIが勝手にやってくれっていう。
Re: (スコア:0)
MicrosftやFacebook、Apple、Googleなんかに、FBI用のソルトで作ったハッシュファイルも作るように要請すれば、FBIはレインボーテーブルを一つ用意すればハッシュ値だけでも大丈夫。
Re: (スコア:0)
マジレスするとsaltは通常ハッシュ値と同時に手に入るので攻撃者もFBI用レインボーテーブルを作れることになりsaltが無意味になります。
Re: (スコア:0)
攻撃者がレインボーテーブルを作るコストを払えるなら、ハッシュ値が漏れた時点で終わりなので。
Re:ハッシュ化されたパスワードの復号とか (スコア:1)
(#2994385)
> マジレスするとsaltは通常ハッシュ値と同時に手に入るので攻撃者もFBI用レインボーテーブルを作れることになりsaltが無意味になります。
元コメント的には、通常のパスワードハッシュとは別に(生のパスワードを別保管は許容できないであろうことから)FBI用に別にパスワードハッシュ(固定salt)の情報を用意しておく、というネタだろうから、攻撃者が進入しても、そこを取得できるかってと、通常のパスワードハッシュより難しいだろう(通常運用で使わないので、パスワードだけ処理サーバに通知だけとかな処理でやってるなら、salt固定で、ハッシュテーブルにも記載がないとか入手する方法がすごく狭くなるだろうとか)ので、無意味ってことはないかな。
# とれちゃったら一気に弱くはなるので、そうではあるけど
(#2994423)
> 攻撃者がレインボーテーブルを作るコストを払えるなら、ハッシュ値が漏れた時点で終わりなので。
ここでキモは、固定saltだと思われます。通常のパスワードハッシュは各人でsaltが違う(+ストレッチ数も違うのがよくある)ので、レインボーテーブルを作るのが大変なので
通常のコストを払えるなら=ハッシュ値が漏れて終りは、ちょっと現実的とは言えないかなと。
# と思うが、現実としてのセキュリティ的にどうだろう...
M-FalconSky (暑いか寒い)
企業の忠誠心を試されているのか? (スコア:0)
しばらくskype使ってなかったんだけど、今はP2P型の通信じゃ無くなったの?
サーバ側にメッセージとか、通話記録とか残ってるのかな?
それにパスワードって、ハッシュ値でもいいのか?まさかお得意のブルートフォースする気か!
ていうか、パスワード使って何する気なんだろ。
なりすまして仲間に連絡する為とかかな。でも、もう世界中にバレちゃってるから意味無いか。
まぁ、他のサービスへのログインとか試すのかな。
スノーデンの一件で、黙ってやると批判されるから、今みたいな状況なのかな。
Re: (スコア:0)
メッセージングはすべてサーバー経由になってますよ。
なんせ、P2Pだったおかげで、どちらかがオンラインじゃないとメッセージ送れなくて、メッセンジャー競争で遅れをとって完全に負け組になってしまいましたから。
たしかMSに買収された後にサーバー経由に変わったと思う。
それから、SkypeはEnd-to-Endでの暗号化じゃないからすべてサーバー側で見れちゃいます。
GoogleHangoutやFacebookMessengerも同様。WhatsAppやAppleのiMessageやLINEは大丈夫。
「iPhoneの件とは異なり」 (スコア:0)
taraiokという人が何もわかっていないことはよくわかった。
Re:「iPhoneの件とは異なり」 (スコア:1)
ストーリーの最後の一文の厭らしさな。
主語のぼやかし方が実に上手で、書き手の偏見と印象操作の意図を十分に込めつつ、客観的な風合いを出している。
「iPhoneの件と異なり」
「プライバシー保護派に強く非難された」
「可能性は十分にあると見られている」
上記の記述はいずれも、記述の主体(主語)や、具体的な記述内容を考えるとハテナマークでいっぱいになるが、
無批判に一読すると、広く合意された事項のように錯覚させられてしまううまさがある。
よくもこんな文章を書けるものだ。
Re:「iPhoneの件とは異なり」 (スコア:1)
ここのルール
・Apple:決して批難されない
・Google:たまに批難される
・Microsoft:いつも批難される
Re: (スコア:0)
私が非難するのはだいたいMicrosoftですが、それはMicrosoft製品は仕事で使ってるから。仕事で使う道具に対しては、求めるレベルが高くなる。とくに、以前よりも不便になった点があれば非難する。
Google製品はおもちゃとしてしか使ってないから、不具合があっても別に気にしない。しょせんおもちゃレベルだと思ってるしそれ以上のことは期待してない。
Apple製品は使ってないから非難もできない。今のところ、使いたいとも思ってない。
Re: (スコア:0)
編集者が悪いですね。
どう頑張っても悪意を持つ人のタレコミはやめさせられないから、編集者頼りしかないのに。
あれ?(プログラマ向け) (スコア:0)
> パスワードを提供するよう求めている
Skype って、復号可能な状態でパスワード保存してるのかな?
普通ログインパスワードって、なんらかツブした状態で格納しておいて、
ユーザログイン時には同じアルゴリズムでツブした『結果同士を比較』したりすると思うんだが…。
・・・いや勿論、総当たりなど頑張れば一致する物は探せると思うけど… どうなんだろうか。