List of spam - Baldanders.info
tag:Baldanders.info,2014-06-27:/tags
2014-06-27T09:00:00+00:00
バルトアンデルスは連続的な怪物,時間の怪物である。(ホルヘ・ルイス・ボルヘス 『幻獣辞典』より)
https://baldanders.info/images/avatar.jpg
https://baldanders.info/images/avatar.jpg
NIKKEI is Worst of Worsts. もしくは「無料(ただ)より高くつくものはない」
tag:Baldanders.info,2014-06-27:/blog/000709/
2014-06-27T09:00:00+00:00
2014-06-27T09:00:00+00:00
今回の失敗を繰り返さないために敢えて恥を晒しておく。私はマゾじゃないよ,念のため(笑) あっ,あと「日経 as a 楽天」とか言ってゴメンね。だって,まさか楽天を凌駕する evil なサービスがあるとは思わなかったもん。
Spiegel
/profile/
<p> 今回の失敗を繰り返さないために敢えて恥を晒しておく。 私はマゾじゃないよ,念のため(笑) あっ,あと「<a href="https://note.mu/spiegel/n/n42c9b10c4058">日経 as a 楽天</a>」とか言ってゴメンね。 だって,まさか楽天を凌駕する evil なサービスがあるとは思わなかったもん。 </p><p> いやね。 ただ私は Twitter 本(創業者がどうたらいう本)の無料キャンペーンで本を無料でゲットできればよかったのよ。 無料という言葉に騙された私が悪かったのです,ハイ。 </p><p> 「日経」と冠されているもので私がまじめに読んでるのは「日経サイエンス」と「日経エレクトロニクス」くらい。 しかも今年は資金繰りの関係で「日経エレクトロニクス」の購読は停止している。 紙の新聞や雑誌(=資源ごみ)をお金を出して買うなんてヘンタイの極みなので,なるべく厳選するようにしてるのだが,上述の2誌はその価値があると思っていた。 </p><p> 駄菓子菓子! </p><p> 先月末だったかな,それとも今月に入ってからだったか。 日経系列のアカウントが「日経ID」として統合されたというので手続きしたのですよ。 </p><p> そしたらその直後から spam (余談だが大文字で SPAM と書くと商品名になってしまうので必ず小文字で書くこと)の嵐。 「やぁこれはしまった」というのでメールが来る度に配信停止の手続きをしているのだが,一向に止まないのよ。 特に「日経ストア」と「日経BPメール」が酷すぎる。 日に何通も次から次へと来る。 しかも内容が激しくくだらないのよ。 どのくらいくだらないかというと,バイアグラの広告メールと同程度にはくだらない。 </p><p> もう完全に頭にきたのでアカウントを削除することにした。 ちまちま配信停止手続きなんかやってらんねー! </p><p> 駄菓子菓子(2度目) </p><p> 呆れたことに,日経IDには Web 上で退会する手段が提供されていないのだ。 <a href="https://account.nikkeibp.co.jp/fn/cancelallservice/delete">解約ページ</a>(このページを見つけるだけでどエラ苦労した)に行くと下のほ~うに以下の表示がある。 </p><div> <iframe src="https://www.flickr.com/photos/spiegel/14533943243/player/" width="500" height="144" frameborder="0" allowfullscreen="" webkitallowfullscreen="" mozallowfullscreen="" oallowfullscreen="" msallowfullscreen=""></iframe> </div><p> 「なんだ,ここで解約できるぢゃん」って思うでしょ。 私もそう思ったさ。 でもこのボタンをクリックすると </p><div> <iframe src="https://www.flickr.com/photos/spiegel/14327233589/player/" width="500" height="435" frameborder="0" allowfullscreen="" webkitallowfullscreen="" mozallowfullscreen="" oallowfullscreen="" msallowfullscreen=""></iframe> </div><p> なんと問い合わせフォームのページに飛ばされるのだ。 しかもこのページには解約についてひとっ言も言及されてない。 </p><p> もうね,目を疑ったよ。 なんどもオペレーションをやり直してみたさ。 でも結局このページに飛ばされる。 </p><p class="center"> <strong>!!!!!!客をナメるのもいい加減にしろ!!!!!!</strong> </p><p> もう本当に頭にきて問い合わせフォームに罵詈雑言の嵐をぶつけてやったよ。 したら返信で </p><blockquote> 「ご連絡いただいたメールアドレスよりご登録状況を確認したところ、氏名が一致しなかったため、個人情報保護の観点よりクレジットカードお預かり機能の削除をいたしかねます。」 <br/>(<a href="mailto:sc-cs2@nikkeibp.co.jp">日経BP社</a> より) </blockquote><p> などとよこしてきた。 まぁ向こうにしてみれば言われ慣れてることなんだろうね。 ここでようやく私も冷静になったのさ。 </p><p class="center"> <strong>馬鹿を相手にしたら馬鹿になる</strong> </p><p> というわけで,今後は粛々と解約手続きに入りたいと思います。 どうなるかお楽しみに。 </p><p> ちなみに日経IDでは一度クレカ情報を登録すると削除できない(変更はできる? かもしれない)。 もうひとつ Web Money Card を登録しようとしたらものすごい勢いで怒られた。 どうやらプリペイドカードはお気に召さないらしい。 </p><p> <a href="https://baldanders.info/blog/000517/">2011年の PSN の事例</a>を引くまでもなく,このような evil なサービスは早晩致命的な失敗をやらかすに決まってるので,とっとと撤退したいところである。 企業のこのようなくだらない「<a href="https://www.schneier.com/cgi-bin/mt/mt-search.cgi?tag=security%20theater">セキュリティ劇場(security theater)</a>」に付き合う義理は,ユーザにはない。 </p><p> (そう思って<a href="https://baldanders.info/blog/000684/">退会した mixi</a> は案の定,稚拙な攻撃にもかかわらず,<a href="https://note.mu/spiegel/n/n130d11a9c902?magazine_key=m26b1ee34ad3a">事後の処理に失敗</a>して被害を拡大させている) </p><p> あと,同業者として言わせてもらうが,こんな evil な実装した開発会社は今すぐインターネットに土下座して謝れ! (ってなことを言うと,往々にして知り合いに当たったりするんだよなぁ。世間は狭い) </p> <div class="hreview"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4822283100/baldandersinf-22/"><img src="https://images-fe.ssl-images-amazon.com/images/I/51-pZ52JsUL._SL160_.jpg" alt="photo" class="photo"/></a><dl><dt class="fn"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4822283100/baldandersinf-22/">セキュリティはなぜやぶられたのか</a></dt><dd>ブルース・シュナイアー 井口 耕二 </dd><dd>日経BP社 2007-02-15</dd><dd>評価<abbr class="rating" title="5"><img src="https://images-fe.ssl-images-amazon.com/images/G/01/detail/stars-5-0.gif" alt=""/></abbr> </dd></dl><p class="similar"><a href="https://www.amazon.co.jp/exec/obidos/ASIN/4881359967/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4881359967.09._SCTHUMBZZZ_.jpg" alt="暗号の秘密とウソ"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4105393022/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4105393022.09._SCTHUMBZZZ_.jpg" alt="暗号解読―ロゼッタストーンから量子暗号まで"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/427406560X/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/427406560X.09._SCTHUMBZZZ_.jpg" alt="スティーリング・ザ・ネットワーク―いかにしてネットワークは侵入されるか"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4757143044/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4757143044.09._SCTHUMBZZZ_.jpg" alt="信頼と裏切りの社会"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4797350997/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4797350997.09._SCTHUMBZZZ_.jpg" alt="新版暗号技術入門 秘密の国のアリス"/></a> </p><p class="gtools">by <a href="http://www.goodpic.com/mt/aws/index.html">G-Tools</a> , <abbr class="dtreviewed" title="2014/06/27">2014/06/27</abbr></p></div>
メールアカウントの不正使用
tag:Baldanders.info,2012-06-07:/blog/000604/
2012-06-07T09:00:00+00:00
2012-06-07T09:00:00+00:00
JPCERT/CC から「メールアカウント不正使用に関する情報提供のお願い」というメールが来ていた。
Spiegel
/profile/
<p>
JPCERT/CC から「メールアカウント不正使用に関する情報提供のお願い」というメールが来ていた。
通常は,この手のメールは同じ内容が Web でも掲載され URL が提示されているものだが,今回はそういうのが見つからないので,メモがわりに以下に内容を示す。
</p><blockquote>
「JPCERT/CC では、インターネットサービスプロバイダー (ISP) が提供するメールサービスのメールアカウントおよびパスワード (メールアカウント情報) が何らかの方法で窃取され、そのメールアカウント情報を使用して SPAM メールが大量に送信されるという事象の報告を受領しています。<br/>
本事象は、複数の ISP 事業者のメールサービスにて発生しており、SPAM メールの送信には、正規のメールアカウント情報が使用され、ユーザ認証を受けた上で送信されていることが確認されています。<br/>
これまでにも様々なユーザアカウント情報を窃取するマルウエア、ISP のアカウントを詐取しようとするフィッシングや ISP の POP サーバなどに対するBrute Force 攻撃等の情報提供を受けておりますが、今回の行為者がメールアカウント情報をどのように入手したかは特定できていません。」
</blockquote><p>
ちうわけで,なにか情報を持っている人は <a href="https://form.jpcert.or.jp/">https://form.jpcert.or.jp/</a> までご一報の程を。
</p><p>
そういや LinkedIn でも情報漏洩騒ぎがあったよな。
世知辛いねぇ。
</p>
掲示板から Google グループへ移行する
tag:Baldanders.info,2007-06-10:/blog/000330/
2007-06-10T09:00:00+00:00
2007-06-10T09:00:00+00:00
私が管理しているサイトがここのほかに3つあるのだが,いずれも掲示板への spam 攻勢に嫌気がさして書き込み禁止にしてしまっている。とはいえ,そのままにしておくわけにもいかないので使えそうな掲示板ツールかまたはサービスを探していたんだけどぴったり来るのはないみたい。
Spiegel
/profile/
<p>
私が管理しているサイトがここのほかに3つあるのだが,
いずれも掲示板への spam 攻勢に嫌気がさして書き込み禁止にしてしまっている。
とはいえ,
そのままにしておくわけにもいかないので使えそうな掲示板ツールかまたはサービスを探していたんだけど,
ぴったり来るのはないみたい。
それならいっそ掲示板なんか止めちまおう,
というわけで <a href="http://groups.google.co.jp/">Google グループ</a>を立ち上げることにした。
でもこれにするとちょっと敷居が高くなっちゃうんだよねぇ。
少なくとも Google アカウントを取得する必要があるし。
(自由に振る舞うためにはそのグループに参加しなければならない)
</p><p>
可能な限り spam を排除したければ,
そこに識別と許可の仕組みを導入するのが手っ取り早い。
例えば TypeKey や OpenID のような識別子(または Google や「はてな」などのアカウント情報)を使ったり,
CAPTCHA のような仕組みを導入したり,
である。
でもこのやり方では,
管理者は楽をできるかもしれないが,
利用者の自由度が減ることになる。
たとえば通りすがりにちょこちょこっとコメントするなんてことはやりにくくなる。
(実際,
通りすがりのコメントと spam を区別するのは難しい。
その判断には必ず管理者の恣意が働くからだ。
識別と許可の仕組みを導入することは,
spam とそうでないものの境界を管理者に有利なほうに書き換えることだ)
</p><p>
誰もがお手軽に利用できるようにするなら spam の混入を避けられない。
もちろんフィルタリングの手段はないこともないが(特定の単語の組み合わせではじく, IP アドレスではじく, referer ではじく,等),
フィルタリングには賞味期限がある。
あるフィルタリング・ロジックに対して,
それを回避する方法は必ずある(回避するする方法がないのなら,
それはフィルタリングではなくブロックだ。
誰も通さなくていいのならブロックで構わない)。
フィルタリングというのは相手が回避方法を思いつくまでのつかの間の防衛手段に過ぎない。
専任の管理者が常にチューニングを怠らないようにするならフィルタリングも意味があるだろうが
(実際,いくつかのセキュリティ関連企業はこうしたやり口で顧客からお金をまきあげているw),
個人で日曜大工的にサイトを運営している人には実りの少ない辛い仕事である。
</p><p>
というわけで,
かなり言い訳がましいが,
自サイトでの掲示板管理をすっぱり諦めることにした。
</p>
Trackback Auto Discovery を外しました
tag:Baldanders.info,2006-07-16:/blog/000213/
2006-07-16T03:17:47+00:00
2006-07-16T03:17:47+00:00
Trackback Auto Discovery を外しました
Spiegel
/profile/
<p>
<a href="http://nais.to/~yto/clog/2006-07-14-1.html">「トラックバックスパムを劇的に減らす方法」</a>を見て「なるほど」と納得。
早速うちでもやってみることにしました。
といっても Movable Type の場合はテンプレート内の <code><$MTEntryTrackbackData$></code> の記述を削除するだけで完了です。
</p><p>
記事内のリンクからトラックバック情報を読み取って自動でトラックバックを送る設定にしている場合はトラックバックが上手くいかなくなる副作用がありますが,
うちの場合トラックバックもそう多くないし問題ないかなと。
実際には spam はほぼ 100% プラグインが弾いてくれているのですが,
表示されないだけでデータベース内には残ってしまうので
定期的にチェックしてデータベースから削除する作業が鬱陶しいのですよ。
気が付いたら1,000件くらい溜まってることもありますし。
</p><p>
今回の措置でどのくらい効果があるか様子を見ていきたいと思います。
</p>
<div id="a000213more"><div id="more">
</div></div>
Trackback Auto Discovery を外しました
tag:Baldanders.info,2006-07-16:/blog/000212/
2006-07-16T03:16:34+00:00
2006-07-16T03:16:34+00:00
Trackback Auto Discovery を外しました
Spiegel
/profile/
<p>
<a href="http://nais.to/~yto/clog/2006-07-14-1.html">「トラックバックスパムを劇的に減らす方法」</a>を見て「なるほど」と納得。
早速うちでもやってみることにしました。
といっても Movable Type の場合はテンプレート内の <code><$MTEntryTrackbackData$></code> の記述を削除するだけで完了です。
</p><p>
記事内のリンクからトラックバック情報を読み取って自動でトラックバックを送る設定にしている場合はトラックバックが上手くいかなくなる副作用がありますが,
うちの場合トラックバックもそう多くないし問題ないかなと。
実際には spam はほぼ 100% プラグインが弾いてくれているのですが,
表示されないだけでデータベース内には残ってしまうので
定期的にチェックしてデータベースから削除する作業が鬱陶しいのですよ。
気が付いたら1,000件くらい溜まってることもありますし。
</p><p>
今回の措置でどのくらい効果があるか様子を見ていきたいと思います。
</p>
<div id="a000212more"><div id="more">
</div></div>
Trackback Auto Discovery を外しました
tag:Baldanders.info,2006-07-16:/blog/000211/
2006-07-16T03:15:30+00:00
2006-07-16T03:15:30+00:00
Trackback Auto Discovery を外しました
Spiegel
/profile/
<p>
<a href="http://nais.to/~yto/clog/2006-07-14-1.html">「トラックバックスパムを劇的に減らす方法」</a>を見て「なるほど」と納得。
早速うちでもやってみることにしました。
といっても Movable Type の場合はテンプレート内の <code><$MTEntryTrackbackData$></code> の記述を削除するだけで完了です。
</p><p>
記事内のリンクからトラックバック情報を読み取って自動でトラックバックを送る設定にしている場合はトラックバックが上手くいかなくなる副作用がありますが,
うちの場合トラックバックもそう多くないし問題ないかなと。
実際には spam はほぼ 100% プラグインが弾いてくれているのですが,
表示されないだけでデータベース内には残ってしまうので
定期的にチェックしてデータベースから削除する作業が鬱陶しいのですよ。
気が付いたら1,000件くらい溜まってることもありますし。
</p><p>
今回の措置でどのくらい効果があるか様子を見ていきたいと思います。
</p>
<div id="a000211more"><div id="more">
</div></div>
OpenPGP,PKI,公開鍵サーバ,そして spam
tag:Baldanders.info,2005-07-07:/blog/000108/
2005-07-07T12:04:14+00:00
2005-07-07T12:04:14+00:00
OpenPGP,PKI,公開鍵サーバ,そして spam
Spiegel
/profile/
<p>
<a href="http://hpmboard1.nifty.com/cgi-bin/bbs_by_date.cgi?user_id=CYQ00623">「PGPよもやま掲示板」</a>で<a href="http://hpmboard1.nifty.com/cgi-bin/thread.cgi?user_id=CYQ00623&disp_no=1759&log_no=1759">公開鍵サーバへ公開鍵を登録する(主に spam に対しての)リスク</a>について投稿がありましたが,
非常に面白い論点だと思いますので,
私もこの場で少し意見を書いてみたいと思います。
</p>
<div id="a000108more"><div id="more">
<p>
まず最初に,
そもそも OpenPGP ではどうして公開鍵サーバなるものが必要なのか簡単に説明します。
</p><p>
OpenPGP は PKI (Public Key Infrastructure: 公開鍵基盤)のひとつとして考えることができます。
PKI の機能としては大きく以下の3つが挙げられると思います。
(<a href="http://www.openpksd.org/docs/report2001/PGP-001/">「OpenPGPとPKI」</a>より抜粋)
</p><ol>
<li>利用者を登録し,公開鍵証明書を発行する</li>
<li>公開鍵が失効した場合には公開鍵証明書を破棄する</li>
<li>検証のために公開鍵証明書を保管する</li>
</ol><p>
OpenPGP では 1 と 2 (特に 2)の機能が弱く,
ユーザが手作業で公開鍵の入手(あるいは更新)から検証までを行う必要があります。
この弱点を補うために期待されているのが公開鍵サーバです。
ただし OpenPGP は X.509 (巷で PKI という場合は X.509 を指すことが多いですが)のような hierarchical PKI とは異なり公開鍵サーバの利用は必須ではありません。
これは OpenPGP が公的機関や他の第三者機関が信頼できない状態であっても最低限機能することを目標に設計されているためです。
</p><p>
さて,
ここからが本題です。
</p><p>
実は公開鍵サーバは OpenPGP 標準化以前の PGP v2 のころから存在しています。
そして現在でも基本的なインタフェースは変わっていません。
一方,
spam クローラによるメールアドレス収集は大規模になる傾向にあり,
単純な Web 巡回のみならず Google などの検索サービスを利用した収集も行われているようです。
最初に紹介した投稿に続くスレッドでも(匿名ですが)公開鍵サーバを利用したメールアドレスの収集が報告されています。
実際にこの状況がどの程度脅威になっているのかについては公開鍵サーバ側でアクセス解析等を行って定量的に調査する必要がありますが,
脅威になり得ることは想像に難くないでしょう。
</p><p>
現在ネット上にある公開鍵サーバはたいていの場合 Web インタフェースを備えていています。
この Web サービスによる検索機能が結構強力で,
不完全な文字列でもそれなりに探し出してしまいます。
例えば <a href="http://pgp.nic.ad.jp/pgp/index.html">pgp.nic.ad.jp</a> で「arakawa」をキーに検索すると<a href="">これだけの候補が出力</a>されます。
ただし,
検索機能に関しては実装によってまちまちのようで,
同じ日本国内の別実装である <a href="http://www.openpksd.org/">OpenPKSD.org</a> ではメールアドレスが完全に一致しない限り候補を表示しません。
</p><p>
Web インタフェースを使った検索サービスを廃止するか機能を制限すれば spam クローラに狙われるリスクは減りますが,
連携している他のシステムに支障が出る可能性もあります。
提案する価値はあると思いますが。
また,
世界中にある公開鍵サーバは常に peer-to-peer で同期しているため,
検索機能の制限が甘い公開鍵サーバがひとつでもあるとそこを狙い撃ちにされる可能性もあります。
(やるならいっせいに変更する必要がある)
</p><p>
ところで,
ユーザ ID にメールアドレスを含めないようにすることはできないのでしょうか。
<a href="http://www.ietf.org/rfc/rfc2440.txt">RFC2440</a> 5.11 章には
</p>
<blockquote>"By convention, it includes an RFC 822 mail name, but there are no restrictions on its content."</blockquote>
<p>
と書かれています。
微妙ですねぇ。
しかしメールアドレスを含まないユーザ ID が許容されるとしても運用としては困ったことになりそうです。
メールアドレスを含まないユーザ ID やダミーのメールアドレスを含むユーザ ID を許容してしまうと正しい公開鍵かどうか判断が難しくなります。
(公開鍵サーバには誰でもどんな公開鍵でも登録可能であること,
そして公開鍵の検証を行うのはあくまでユーザ側であることに注意してください)
</p><p>
次善の策ではありますが spam クローラに狙われるリスクを避けるために公開鍵を分ける方法もあります。
公開鍵を分ける方法については <a href="https://www.ipa.go.jp/security/pgp/index.html">IPA/ISEC の事例</a>が参考になると思います。
この例でいう「ルート鍵」のみを公開鍵サーバに登録し,
実際の運用鍵は使用する状況に合わせてローカルで運用するなりネットで公開するなりするのです。
もちろん公開した鍵については spam クローラに狙われるリスクを避けられませんが,
それ以外の公開鍵については回避できます。
これは複数のメールアドレスで複数の公開鍵を使い分けている場合にはよい方法だと思います。
</p><p>
PKI としての機能は大幅に制限されますが,
公開鍵サーバを利用しないという選択肢ももちろんあります。
この場合,
完全にローカルで運用できるのであれば何ら問題はないのですが,
ネット上に公開する必要がある場合は公開する「場所」が問題になります。
公開する「場所」は(乗っ取りや Phishing のような詐称がないことが保証された)信頼できる場所であることが重要です。
一番手っ取り早いのは SSL で暗号化されたサイトに置くことでしょうか。
例えば <a href="https://www.ipa.go.jp/security/pgp/index.html">IPA/ISEC では SSL で暗号化された「場所」に公開鍵を置いている</a>ようです。
しかし個人で運用しているサイト・ディレクトリでは SSL のような強力な手段を取れないこともあると思います。
この場合は,
サイト・ディレクトリの信頼性リスクと spam クローラに狙われるリスクを比較して何らかの割り切りが必要になってくるかもしれません。
</p><p>
ちなみに現在の spam クローラは公開鍵をデコードしてメールアドレスを得るといった芸当はできないようですが,
処理としてはそれほど難しいわけではありません。
ひょっとしたら近い将来に公開鍵をデコードしてメールアドレスを得るクローラが出現するかもしれませんね。
(そのようなニーズが spam 発信者側にあればですが)
</p><p>
参考文献:
</p><ul>
<li><a href="http://openpksd.org/Japanese.htm">OpenPKSD OpenPGP ドキュメント</a>
<ul>
<li><a href="http://www.openpksd.org/docs/report2001/PGP-001/">OpenPGPとPKI</a></li>
<li><a href="http://www.openpksd.org/docs/report2002/client-howto/intro/html/intro.html"> OpenPKSD活用法: クライアント編</a></li>
</ul></li>
<li><a href="http://www.oreilly.co.jp/BOOK/pgp/">『PGP 暗号メールと電子署名』</a> (ISBN4-900900-02-8)</li>
<li><a href="http://www.ietf.org/rfc/rfc2440.txt">RFC2440: OpenPGP Message Format</a> (<a href="http://hp.vector.co.jp/authors/VA019487/openpgp.html">日本語訳</a>)</li>
<li><a href="https://baldanders.info/blog/archives/000025.shtml">OpenPGP 関連リンク集</a></li>
</ul>
</div></div>