タグ: サイバーセキュリティ

カテゴリー
公開記事

IoTデバイス向け移動体通信サービスの比較(非広告・非利益相反)

弊社圃場の観測機器更改に伴い、通信サービスを新たに選定することになりました。

「最安値 データ通信SIM」などと検索しても、あまりに検索結果が汚染されており、「比較サイト」を称するblogなども事実のかけらもない滅茶苦茶な記事しか書きません。

通信業界はコンプライアンス軽視が著しいと言わざるを得ません。もっともNTT東西会社のようにちゃんとした社もあるとは思いますが、末端まで監督できているとは到底いえないでしょう。

本題に戻ります。本当に安いのは法人向けの上り優先回線でした。

楽天コミュニケーションズ様の「上り優先タイプ」は、上り速度がベストエフォート、下り速度が200kbpsのサービスです。月額料金は最低の1GBで280円、10GBで420円、30Gbで740円、100GBで1,850円、最大の400GBで6,590円などとなっています。事務手数料にあたる「SIM初期発行手数料」が税抜き3,000円/SIMカード枚数となっているようです。

では他の法人向け事業者はどうかと思い、IoTデバイス向け通信サービスで有名なS社様のプランを見てみたのですが、コンシューマ向け通信サービスと大差ありませんでした。ただ、S社様は通信サービスだけでなく、付随するデータ処理サービスも展開しており、単純に比較はできません。

なお、コンシューマ向け通信サービスで最安のものは、日本通信様の「合理的みんなのプラン」および「合理的50GBプラン」で、それぞれ20GBで1,390円および50GBで2,178円と他の通信事業者を凌駕しています。

音声つき回線は、IoTに使用する場合にはSIM窃取などのリスクを考えなければなりませんが、個人で契約するのであれば日本通信様が第一選択となるように思われます。

本記事は、第三者からの資金提供を受けておらず、利益相反はありません。

カテゴリー
公開記事

Google PixelでGcamアプリケーションが停止を繰り返す問題と対策

前回の記事で紹介したGcamアプリケーションですが、最近のAndroid15アップデート配信後に問題が発生しているようです。具体的には、起動後数秒でアプリケーションが停止するというものです。

再インストールにより解決するとの報告もありますが、アプリケーションのバージョンを変更することで問題が解消することを確認しました。

前回の記事で紹介したバージョンは、Gcam_8.8.224_V4.0-MWPでしたが、今回インストールし検証したバージョンは、Gcam_8.8.224_V5.0-MWP.apkです。MD5ハッシュ値は16ec5a96db7510f02f42bf54bafc4dd9です。

カテゴリー
公開記事

Google PixelにGcamアプリケーションをインストールする際のリスク評価

昨今,サイドローディング(App StoreやGoogle PlayなどのOSベンダが公開するアプリストアによる独占を排除するということ)について議論が進んでいます。

欧州連合では,DMA/GDM(Digital Markets Act/Gesetz über digitale Märkte。デジタル市場法)と呼ばれる,我が国の独占禁止法的な要素を含む立法により,サイドローディングが事実上スタートすることになりました。

もっとも,欧州連合のDMA/GDM規制は,ただちに得体の知れないアプリケーションがアプリストアに流れ込むことを是とする趣旨ではなく,一定程度OSベンダによる規制を認めるものと解釈されます。

さて,我が国および大韓民国においては,スマートフォンのカメラを無音化することができず,海外の美術館などで両国民がひんしゅくを買うことがしばしばあるといいます。

Google社製のスマートフォンについては,海外の有志が,日本国内でも海外同様にカメラの無音化設定が表示されるアプリケーションを公開しています。

ただし,これはサイドローディングの議論で問題視される,いわば「野良」アプリケーションであり,セキュリティ的にインストールすることが許容されるか否かについては議論があるところでしょう。

そこで,当社では,これらのアプリケーションの挙動を解析することにしました。

今回の実験で用いたのは,Google Pixel 6(Android 14,セキュリティアップデート2024 Sep 5)です。インストールしたアプリケーションは「Gcam_8.8.224_V4.0-MWP」で,そのMD5ハッシュ値は「45ffc62e75860861e915ce0d2b34a899」でした。

かつてのカメラアプリといえば,ベンダ純正のものと比較した場合,オートフォーカスの合焦速度やノイズ処理において著しく劣ることが常識でした。もっとも,今回の実験で使用する「Gcam」は純正アプリケーションを改造したものであり,その懸念はあまりなさそうです。

まずは1枚撮影してみました。

もちろん,純正アプリケーションではシャッター音が鳴り,「Gcam」ではシャッター音は鳴りませんでした。概ね条件は同一のはずですが,どうやら白色の背景のノイズ処理の仕様が異なるようで,「Gcam」のほうがやや粗いと感じます。

そのほかは同等とみてよいでしょう。

セキュリティ面では,権限要求として「カメラ」,「マイク」,「音楽とオーディオ」および「写真と動画」の許可が必要でしたが,「位置情報」および「通知」に関しては拒否しても動作しました。

「写真と動画」および「音楽とオーディオ」の権限要求が不可分である点は,純正のアプリケーションと異なります。

ソースコードについて現時点で不審な点はありませんが,Linuxカーネルに不適切なコードが混入した事件を想起するならば,重要なデータが格納され,あるいは電子メールアカウントやクラウドへのアクセス権がある端末での使用は推奨できません。

【2024 Oct 20追記】

「Gcam」が送受信するパケットを確認したところ,概ね1日あたり8kBほど送受信がありました。なお,バックグラウンドでのデータ送受信を防止するには「データ使用量」画面で「バックグラウンド データ」設定をOFFにする必要があります。

カテゴリー
公開記事

ソーシャルエンジニアリングとMFA疲労攻撃

コンピュータやソフトウェアの欠陥ではなく,人間の欠陥を悪用したサイバー攻撃が多発しています。このような攻撃手法を「ソーシャルエンジニアリング」といいます。

いわゆる「オレオレ詐欺」は,被害者に対し「私はあなたの孫ですよ」などという認識を形成させ,金銭を詐取するもので,ソーシャルエンジニアリングの一類型です。

さて,これが少し高度になると,電話をかけてみて「はいXX株式会社AA部です」から「電話に応対した人はAA部所属」という情報を得て,「いつもお世話になっております。AA部長の何さんでしたっけ…にお取次ぎ願いたいのですが」と聞けば,「AA部長はYYでございます。取り次ぎましょうか?」などと答えてしまうのも人間でしょう。

このような人間の特性あるいは文化を利用して情報を取り出すのがソーシャルエンジニアリングですが,さらに進んで「YYさんにお取次ぎを…YYさんお久しぶりです!先ほどファイルを送りましたので確認を…ええ,H時M分くらいのです!」といってメールの添付ファイルを開封させ,結果としてウイルスに感染させる手法が横行しています。

また,ソーシャルエンジニアリングの特殊な例として「MFA疲労攻撃」(多要素認証疲労攻撃,MFA Fatigue Attack)が一時期問題になったことがあります。

近年は大手プラットフォーマー(GoogleやMicrosoftなど)の対策強化により少なくなりましたが,SMS認証やメール認証のリクエストを短時間に多数送信するものです。

そうすると,被害者のスマートフォンには「ログインを試行しましたか?間違いなければOKを押してください。」などというメッセージが多量に押し寄せるので,嫌気がさした被害者がついOKを押してしまうというものです。

認証システムを設計される方は,このような事象があることを念頭に設計しなければなりません。もっとも,当社としては認証システムの自社設計は到底推奨できず,大手プラットフォーマーが提供するものを利用すべきだと考えます。