カテゴリー
公開記事

ソーシャルエンジニアリングとMFA疲労攻撃

コンピュータやソフトウェアの欠陥ではなく,人間の欠陥を悪用したサイバー攻撃が多発しています。このような攻撃手法を「ソーシャルエンジニアリング」といいます。

いわゆる「オレオレ詐欺」は,被害者に対し「私はあなたの孫ですよ」などという認識を形成させ,金銭を詐取するもので,ソーシャルエンジニアリングの一類型です。

さて,これが少し高度になると,電話をかけてみて「はいXX株式会社AA部です」から「電話に応対した人はAA部所属」という情報を得て,「いつもお世話になっております。AA部長の何さんでしたっけ…にお取次ぎ願いたいのですが」と聞けば,「AA部長はYYでございます。取り次ぎましょうか?」などと答えてしまうのも人間でしょう。

このような人間の特性あるいは文化を利用して情報を取り出すのがソーシャルエンジニアリングですが,さらに進んで「YYさんにお取次ぎを…YYさんお久しぶりです!先ほどファイルを送りましたので確認を…ええ,H時M分くらいのです!」といってメールの添付ファイルを開封させ,結果としてウイルスに感染させる手法が横行しています。

また,ソーシャルエンジニアリングの特殊な例として「MFA疲労攻撃」(多要素認証疲労攻撃,MFA Fatigue Attack)が一時期問題になったことがあります。

近年は大手プラットフォーマー(GoogleやMicrosoftなど)の対策強化により少なくなりましたが,SMS認証やメール認証のリクエストを短時間に多数送信するものです。

そうすると,被害者のスマートフォンには「ログインを試行しましたか?間違いなければOKを押してください。」などというメッセージが多量に押し寄せるので,嫌気がさした被害者がついOKを押してしまうというものです。

認証システムを設計される方は,このような事象があることを念頭に設計しなければなりません。もっとも,当社としては認証システムの自社設計は到底推奨できず,大手プラットフォーマーが提供するものを利用すべきだと考えます。

カテゴリー
公開記事

海賊王とはなにか

 海運業界を悩ませる海賊ですが,「海賊王に俺はなる」と宣言する少年漫画が人気です。

 アデン湾やギニア湾はもとより,フィリピン・インドネシア・マレーシアの沿岸に接するスールー海域およびセレベス海域,マレーシアとシンガポールに接するマラッカ海峡およびシンガポール海峡,これら現代でも多くの「海賊」が出没する地域では,さぞ多くの海賊王志願者が生まれてくるのでしょう。

 海賊の定義は,1994年に発効したUNCLOS = United Nations Convention on the Law of the Sea すなわち「海洋法に関する国際連合条約」に示されています。

 UNCLOS Article 101の「Definition of piracy」には,「Piracy consists of any of the following acts:(海賊行為とは次に示す行為をいう)」として,

 (a)「any illegal acts of violence or detention, or any act of depredation, committed for private ends by the crew or the passengers of a private ship or a private aircraft, and directed:(民間の船舶または航空機における,乗組員または乗客によるすべての不法な暴力,逮捕または略奪行為であって,次のものに対するものをいう)」

 (i)「on the high seas, against another ship or aircraft, or against persons or property on board such ship or aircraft; (公海上にて行われる,他の船舶または航空機およびこれらの乗員または財産)」

 (ii)「against a ship, aircraft, persons or property in a place outside the jurisdiction of any State;(いずれの国の支配あるいは管轄も及ばない場所にある船舶,航空機,人または財産)」

 (b)「any act of voluntary participation in the operation of a ship or of an aircraft with knowledge of facts making it a pirate ship or aircraft;(船舶または航空機が海賊船舶または海賊航空機として運航されるものと知りつつこれに参加するすべての行為)」

 (c)「any act of inciting or of intentionally facilitating an act described in subparagraph (a) or (b).(a号もしくはb号に規定する行為を扇動または助勢するすべての行為)」

カテゴリー
公開記事

一定の手続きにより万人にアクセス可能な情報の転載と不法行為

新しい人権として「知る権利」というものがあり,表現の自由(憲法21条1項)から導かれるものとされています。

判例通説ともに「知る権利」は認められており,その性格は次の2通りに大別されると考えられています。

①表現の自由に対して反射的に表現を受け取る自由が存在するとの考えに基づく妨害排除請求権(自由権)としての性格。

②政府の有する情報の公開を求めることで国民が国政に関与するにつき重要な判断の資料を得る権利(最大判昭和44・11・26,刑集23巻11号1490頁)すなわち参政権に絡んだ請求権もしくは社会権的性格。

わが国においては,「目黒区駒場8丁目の団体職員生研太郎容疑者(49)がカルタヘナ法違反の疑いで逮捕され~」などとプライバシーを丸裸にする実名報道が一般的ですが,諸外国ではフルネームが報じられることはほぼありません。

表現の自由が極めて強いとされている米国でも,社会的影響が大きい事件のほか実名報道はなされていません。

インターネット上はどうでしょうか。ツイッターや5chなどといった,反社会的性格の強い人物が集うSNSでは,他人の個人情報を暴露することを生業としているケースも見受けられます。

インターネット上で「炎上」した人物について,実名や住所を暴いてやろうといったことは,かつて盛んにみられたものの,刑事事件化することが増え,昨今ではあまりみられなくなりました。

現在でも問題となるのが,裁判書(さいばんがき)や登記簿の公表です。これらを公開する人物は「公開情報で万人に閲覧可能なのだから違法でない。」と主張をすることは珍しくありません。

東京地裁平成25・2・27は,不動産管理会社の従業員が,マンション管理組合の役員を退任させる目的で,登記簿を取得し,これを他の管理組合役員に開示したことにつき,プライバシーの侵害にあたるとされた事例です。

本件では,登記簿に仮差押えの登記が混じっていたこともプライバシー侵害の認定上重要であったと考えられますが,銀行や信用保証会社からの登記、住所氏名も,インターネット上での公開となれば,例外なく不法行為責任を問われることになるでしょう。

裁判書については言わずもがなです。勝訴であれ敗訴であれ,裁判に関与したこと自体が「負の評価」となるのは当然であり,「●●氏が裁判沙汰に」程度の情報であっても不法行為責任を問われることは必至です。

カテゴリー
公開記事

海外航空券のBE-NO CARRY ON表記について

北米路線で格安なプランを利用すると,航空券に「BE-NO CARRY ON」なる表記がついていることがあります。

直訳すると「載せるでないわ!」になるのでしょうが,「There will be no carry on baggage allowance.」の略だという見解が有力で,「受託手荷物容量はございません」と解釈できます。

画像のチケットは,メキシコ合衆国のグアダラハラを訪れた際のもので,かつて当社ウェブサイトには,Estatua Doña Beatriz Hernándezの画像を掲載していましたが,ファイルサイズがあまりに大きいので削除してしまいました。

カテゴリー
公開記事

「住所」とは何か

「住所」は「引っ越したので新しい住所は…」のように使われることが多いのですが,この場合には住宅の位置を指定する座標としての意味が強いと考えられます。

他方,地方自治体選挙における有権者が投票を行うに際しては,住宅の位置としての「住所」では問題が生ずるため「引き続き三箇月以上市町村の区域内に住所を有する者(公職選挙法9条2項)」といった規定があります。

同様の問題は納税の場面でも生じ得るため「道府県内に住所を有する個人(地方税法24条1項1号)」のような規定もあります。

いずれも,単なる住宅の位置を指定する「住所」ではなく,人間の所在を問題にしていることは明白です。

判例は,①「反対の解釈をすべき特段の事情のない限り,その住所とは各人の生活の本拠を指す」(最大判昭和29・10・29,民集8巻10号1907頁),②「その人の生活にもっとも関係の深い一般的生活,全生活の中心」(最判昭和35・3・22,民集14巻4号551頁)としています。

上記の判例は,いずれも選挙権に関するものですが,租税に関する実務でも同様の判断がなされているようです。

カテゴリー
公開記事

[技術資料]Windows11における仕様変更の対処資料

Windows10からWindows11へのアップデートに伴い,多くの不便が生じているかと思われるので,仕様変更をロールバック等するための資料を作成しました。

①Windows11の新規インストールあるいは再インストール時にローカルアカウントを作成することができない問題

対処方法:「国または地域は…」画面が表示された時点で「Shift+F10」キーを押下→コマンドプロンプトが表示されるので「oobe\BypassNRO.cmd」を入力し「Enter」キーを押下。

ただし,キーボードが認識されない場合には,キーボードのUSBを異なるポートに挿入するか,地域設定の次の画面で,「Shift+F10」を押下するなどが必要になる場合もあることに注意。

成功すれば自動で再起動がかかるので,あとは「インターネットに接続していません」→「制限された設定で続行」の順にボタンをクリックしていけばローカルアカウント作成画面にたどり着く。

②Windows10では「Print Screen」キーを押下すると,画面表示内容がクリップボードに格納される(Excelやペイントに「Ctrl+V」で貼り付けられる)仕様であったところ,Windows11ではスクリーンショットを取得できず,「Snipping Tool」が起動される問題

対処方法:Windows11の設定画面(歯車アイコン)を開き,左側のメニューにある「アクセシビリティ」をクリックし,画面下方にある「キーボード」設定を開く。

「PrintScreenキーを使用して画面キャプチャを開く」の設定が「オン」になっているので,これを「オフ」に切り替える。

③右クリックで表示されるメニューが著しく不便な問題

対処方法:「Win(🪟)」キーを押下するなどして,スタートメニューを開き「すべてのアプリ」ボタンをクリックする。

下の方に「ターミナル」があるので,これを右クリックし,「詳細」→「管理者として実行」の順にクリックする。

「このアプリがデバイスに変更を…」と聞かれる場合には,「はい」をクリックする。

コマンドプロンプトが起動したら「reg.exe add “HKCU\Software\Classes\CLSID{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32” /f /ve」を入力し,「Entre」キーを押下する。

コマンドが実行されたことを確認して端末の再起動を実施する。蛇足だが,コマンドプロンプト上からは「reboot」コマンドで再起動が可能。

カテゴリー
公開記事

[ソフトウェア]AyameLabs disk eraser v1

ディスク抹消の需要が生じたところ,インターネットには安全なディスク抹消ツールがなかったため作りました。※本ソフトウェアは,無償で提供しますので,一切の損害について免責とさせていただきます。再配布は不可です。

100%当社代表社員にて書いたコードであり,Microsoft社のWindows標準仕様(CIPHER)を利用したものです。

md5:e268d31a71ad55c1b164d06dfc43546a

使用方法は以下の通り(batファイルをダブルクリックで実行できます)。

Which disk drive do you want to erase?と聞くので,cとかdとかeとかfとか入力し,Enterキーを押してください。

Do you really want to delete the disk in z drive? y or n などと聞くので,続行ならyを入力,中止ならnを入力してください。

③さらに,Press any key to continueと聞くので,Enterキーを押してください。

あとは処理が終わるのを待つだけです。

なお,安全側に倒して実装しており,たとえば使用中のCドライブを指定してしまっても実害はないはずです(削除済みのファイルが復元できなくなります)。

ダウンロード直後に実行するとSmart Screenのエラーが出る場合がありますが,ファイルを右クリックし,プロパティの設定を以下のように変更することで実行できます。