無駄なものを作る記事から得た教訓


■無駄なものを作る記事から得た教訓

本日は、

平成 31 年度春期情報処理安全確保支援士試験日

だ。

平成最後の

情報処理安全確保支援士試験

となる記念すべき日。

受験者各位には、これまでの勉強の成果を

いかんなく発揮していただき、

是非とも合格していただきたいものである。

しかし、今回が平成最後ということを考えると、

次回は

令和最初の情報処理安全確保支援士試験

となる。

第一回(平成 29 年春期)情報処理安全確保支援士試験

の合格者である私としては、

令和最初の試験合格者

を目指すべきか!?とも思ったが、

面倒くさい。やめておこう。

で、そんな面倒くさがりの私だが、

最近はそのぐうたらぶりが

趣味の部分にも影響しだしている。

何をするにも、面倒くさくなってきているのだ。

昨年後半から取り組んできたことが、

何とか成功裏に終わったため、

いよいよ電子工作やセキュリティに

再度本腰をいれようとおもっているのだが、

どうもやる気が起きないのだ。



元々は

・セキュリティの勉強をしたい!

と思って raspberry pi を使った疑似攻撃環境を作り、

なるほど、こんなことができるのか!とか、

こうやって攻撃はされるのか!とか、

色々勉強できてきた。

そうこうしているうちに、

これだと普通の PC でできるよねー、

折角ラズパイには GPIO がついてるんだから、

なんか電子工作的なことしたいよねー

ということで、

ラズパイで電子工作

として、いろんなものを作ってきた。

もちろん、素人の趣味の域を出るものではないが、

最終的にはここまで行きたい!と思っていた、

ラジコン戦車まで作ることができた。

Raspberry Pi でブラウザから操作できるラジコン戦車を作る!

これ以降、電子工作には取り組めていない。

セキュリティの方に戻ろうとして、

現在 Vuls の挙動を確認しようとしているが、

これも結構インストールが面倒っぽくって、

なかなか進んでいない。

また、やっぱり動くものを作りたい、という

思いもあって、何か作ろうと思っているのだが、

何を作ればいいのか、さっぱり思いつかない。

どうせ作るなら、何か意味のあるものを、と

ついつい思ってしまうのだが、

何か意味がある動くもの、

が自分にとって何なのか、が思いつかず、

なんだかどんどん面倒になってきている。



そんな中、何かネタないかなーと思いつつ、

いつも記事ネタを提供してくださっている、

fabcross

さんのページを見ていたら、こんな記事を見つけた。

全力で肯定してくれる女の子マシーンを作って救われた

元々、この、

頭の悪いメカ by 藤原麻里菜

というシリーズは、ほかの記事を見た際に

目には入っていたものの、

つまんねーものつくってもなー、

と思ってあまり注目していなかった。

が、今回はタイトルがよかったのか、

なぜか読む気になって、ちょっと読んでみた。

面白いじゃないか…。

うなずきマシーンを作る、

ぐらいなら、まぁ、

新人記者のフレッシュ感満載記事

かなーとも思えなくはないのだが、

これを作ろうとした発端がまず病んでいる(笑)。

病んでいるが、すごく共感できる。

そんな私も病んでいる(笑)。

しかもやっていることは超くだらない。

が、電子工作としてはそこまで複雑な

ことはしていないので、私レベルでも

できそうと思えるレベル。

このレベル感も私にはちょうどよい。

残念ながら、使っているマイコンは

ラズベリーパイではなく Arduino だが、

まぁラズパイでもできなくはない。

ただ、LED を付ける、ボタンを押して反応させる、

モーターを動かす、等、初心者レベルで

できることを組み合わせて、面白いことをやっている。

その結果、全く役には立たないが、

筆者の文章力も加わって、読み物として

とても面白いと感じた。

ということで、気になってシリーズを見てみたが、

やっぱり、

『この人、頭おかしい…(いい意味で)』

という感想を抱くに至った。

クソリプに塩をまく!?

人工的にイヤホンケーブルを絡ませる!?

自撮りの魅力を半減させるマシーンを美女に普及させる!?

あほだ…。

発想がいってしまっている…。

が、発想、やっていることのくだらなさは

私には到底出せない、素晴らしいものだとまじめに思っている。

そしてまた、それを超絶まじめにやっている。

さらにはそんなに難しすぎることではないので、

趣味のレベルとしてはすごく参考になる。

で、ご本人の病みっぷりもあってか、

記事がまた面白い。

いやぁ、若いのに大したものだと

本気で感心した。



ということで、シリーズを

いろいろ読んでいたのだが、

この面倒くさがりの私が

今一度挑戦しようかと思わせてくれたのが、

この記事。

スマートにフリスクが出せる「フリスク銃」を作ってみた

ま、フリスクはちゃんととんでない。

が、腕に着けるとか真鍮でかっこよくするとか、

でも結果重くて後悔しだすとか、

まぁとても素晴らしい内容なのだが、

私も元々、ラジコン戦車に BB 弾を

飛ばす機能をつけたいと考えていた。

その際、エアガンとかいろいろ考えてみたが、

子供向けに遊びでつけたいだけなので

あまり本気のけがをするようなものもならず、

だとすると、ピッチングマシーンのように、

タイヤで BB 弾を挟んでとばすというのは

どうだろうかと考えていた。

で、この記事では同じようなことをやっている。

とび方も、多分この程度なのだ。

だとするとそんなに危なくはない。

そして、こんなに若い子ができているのだ。

私にできないはずはない、と思えてきた。

さらに言えば、

そんなのつけてもなぁ、

という気になっていたのだが、

この記事から、

こんなにくだらないことをやってもいいんだ!

みたいな変な勇気をもらった。

ちょっとやってみたくなってしまった。



直近はまず Vuls を何とかしたいが、

ラジコン戦車の配線を何とかしたいというのもあるし、

折角はんだを買ったのだから、

もうちょっと使いたいし、

なんなら Raspberry Pi Zero W も使いたいし。

やっぱり、

Raspberry Pi Zero W でラジコン戦車を作り直す!

というのをやってみようかな。

もっと見た目にもこだわって、

なんならガンタンクとかにしてみて、

BB 弾も飛ばせるようにしてみたい。

そういや、R2-D2 も作りたかったんだよなー。

そうやって、見た目動くもので

テンションが上がるものをまず作ったうえで、

自分の勉強にもなる、

・セキュリティ
・機械学習

なんかを組み込んでいく、とかにすると、

もっと進めていこうと思えるのかもしれない。

やばい、また妄想だけテンションが上がってきた。

もう一度、心機一転、作りたいものを考えてみよう。

まずは戦車の作り直し+BB 弾かなぁ。

英語も勉強も頑張らねばならないが、

趣味の時間は大切にしていこう。

とはいえその前に、

まずは作業環境を作るためにも、

自分の机、かたづけないとなぁ。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ, ラズパイで電子工作 | コメントする

早くも脆弱性発覚 – WPA3 –


■早くも脆弱性発覚 – WPA3 –

WiFi 通信を保護するためには、

一般利用者の場合、

WPA2

を利用するのがよいとされてきた。

が、KRACKs という WPA2 に対する

攻撃法が提案され、実際に攻撃コードも

公開されたため、Wi-Fi Alliance は

新たなセキュリティ規格である、

WPA3

というのを公開していた。

これに関しては、本サイトにおいても、

WiFi の新たなセキュリティ規格 WPA3 登場

として記載した。

これに関して、公開から一年足らずで、

WPA3 に対する攻撃法

が公開されたとのこと。

Wi-Fiセキュリティ新規格「WPA3」に影響を及ぼす脆弱性群「Dragonblood」

攻撃の種類としては、

・DoS 攻撃を引き起こすものが 1 件
・ダウングレードを発生させるものが 2 件
・情報漏洩につながるものが 2 件

ということらしい.

情報漏洩の方は、サイドチャネルを利用、

ということらしいから、そんなに

簡単にできるものではないかもしれない。

となると、結局、下位互換性を確保するための

仕組みを利用し、ダウングレードさせて

既存の KRACKs 等で攻撃する、が

主たる攻撃手法になりそうだ。

まぁいずれにせよ、ソフトウェアアップデートで

対応可能、ということなので、

WPA3 を使っている方は、

早急にアップデートをするほうがよい。



で、アップデートをするに越したことはないが、

結局のところ、WPA3 といえど、

所詮は

Client – Wi-Fi AP 間

を保護するだけのものだ、

ということを今一度認識したほうがよいだろう。

通常はその後インターネットに

データが出ていくわけだが、

その部分は別途 https 等で

保護されていない限り、

何の保護もない。

なので、WPA2 であろうと WPA3 であろうと、

端から端までを保護しているわけではない、

という場合が多いことは、

今一度強く認識しておくべきだと思う。

WPA3 でアップデートしたから、

すべての通信が安全というわけではない、

ということを、利用者としても

頭に入れておいたほうがよい。

技術的には面白そうなので、

もう少し詳細は追ってみようと思うが、

通信路上の保護という観点では、

あくまで end-to-end で

保護されているかどうか、を

確認しておくべきだと改めて認識した、

今日この頃であった。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | コメントする

2019 年春期情報処理安全確保支援士登録者数


■2019 年春期情報処理安全確保支援士登録者数

4 月 1 日時点で、IPA から、

2019 年度情報処理安全確保支援士登録者数

に関する発表があった模様。

国家資格「情報処理安全確保支援士(登録セキスペ)」2019年4月1日付登録人数は1,052人

2018 年度秋期の登録者数が発表された際には、

いよいよ正念場か!? – 情報処理安全確保支援士 –

において、大体 800 人前後ではないかと予想。

しかしながら今回の発表を見る限りでは、

1000 人程度が登録している。

想定よりは多かった。

上述の IPA のサイトにおける

「情報処理安全確保支援士試験合格者の登録状況」

の表を見る限り、

2018 年度の試験合格者による登録が

まだ微妙に続いていることが要因のようだ。

数%とはいえ、試験合格から一年以上経って

登録する人がいるということだ。

会社から費用負担してもらえたとか、

仕事上必要になった、メリットを感じられた、

ということであれば、よいことだと思う。



とはいえ、このペースであれば、

2016 年に内閣サイバーセキュリティセンターが掲げた、

2020 年までに情報処理安全確保支援士有資格者 3 万人

というのにはどう考えたって 1 万人程度足りない。

サイバーセキュリティ人材育成総合強化方針

まぁ、すでに分かり切ったことではあったが…。

何度も繰り返しの記載で恐縮だが、

既に

・維持費の高さ
・メリットの不明確さ

が一番の障害になっていることが

わかり切っているにも関わらず、

ここに何の手も打たないのだから、

達成できなくっても何の問題もない、と

認識しているんだろうなぁ。

まぁ、数の妥当性も、結局のところ

適当ではあるのだろうから、

3 万人に至っていないこと自体は

問題ではないように思える。

が、達成しようとしない、という姿勢は

正直いかがなものかとは思う。

ここでぐちぐち書いていてもしょうがないけど。



ただ、達成できなくってもいいと

割り切っているかと思えば、

どうもそうでもなさそうに思える点が気になる。

例えば、これまでは、

今回何人登録しました、

というのを IPA のプレス発表として

公表してきている。

そのせいもあって、各種セキュリティを取り扱う

ニュースサイトなどでも公開され、

私などもそういったサイトの情報をベースに

気づくことができていた。

が、今回はなかなか見つからなかったのである。

いつも通りの調べ方をしても、

4 月の登録者数がどれぐらいだったのか?

という情報が、なかなか出てこなかった。

おかしいなぁ?と思いながら、

暇を見つけて IPA のページにも行ってみたが、

プレスリリースには載っていない。

致し方なく、いろいろ調べてみた結果、

今回は

HOME > 国家資格「情報処理安全確保支援士」制度 > 登録者情報、活用インタビュー、資料ダウンロードなど

という所に新着情報としてあった…。

今までプレス発表していたものを、

なぜ急にこんなところに置きだしたのか?

多分恐らく、旧制度の移行期間も終わったことだし、

プレス発表するほどでもないか、とかになって、

置き場所を変えたのだとは思う。

が、本当はもう数が少なくなってきたから、

それをつつかれるのが嫌だから、

見つかりにくい所にこっそり移動したんじゃないの!?

と邪推してしまうのは、

私の心が歪んでいるからだけだろうか…。

まぁ真実はわからないので

なんともいえないが、この制度、

本当になんとかならんものかなぁ

とは思う。

試験の内容自体は自分自身としても

勉強するに値するものだったし、

まぁ資格を取ったからといって

即ち実践できるかと言われれば no だ。

が、内容はかなり実践的になってきているし、

実践者になるきっかけとしても

よいものだとは思っている。

でも制度としてはやっぱり金額がネック過ぎて、

残念だとしか言いようがない。

今後改善の見込みはもうないと思うが、

奇跡的に改善してくれないものかと

淡い期待を抱き続けている…。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ, 情報処理安全確保支援士 | コメントする

サイト開設からの軌跡(一年十ヶ月経過)


■サイト開設からの軌跡(一年十ヶ月経過)

サイト開設から二十二ヶ月。

今月も、素人がサイト開設したらどうなるか、の記録として、

PV 数などを残しておこうと思う。

  1. PV 数の推移
  2. 読まれている内容
  3. 今後の予定
  4. 所感

PV 数の推移

この二十二ヵ月における Page View 数、訪問者数、および記事数の推移は以下の通り。

経過月数 年月 月間 PV 数 一日平均 PV 数 訪問者数 記事数
1 2017/06 23 1 17 15
2 2017/07 124 4 46 20
3 2017/08 228 7 74 20
4 2017/09 533 17 250 8
5 2017/10 1280 41 599 8
6 2017/11 1690 56 854 16
7 2017/12 2546 82 1355 22
8 2018/01 4107 132 2015 17
9 2018/02 4673 166 2322 14
10 2018/03 4928 159 2557 14
11 2018/04 4822 161 2444 6
12 2018/05 6947 224 2982 7
13 2018/06 6911 230 3430 7
14 2018/07 9540 308 4755 5
15 2018/08 8801 284 4328 7
16 2018/09 8648 288 4146 6
17 2018/10 13262 428 6373 4
18 2018/11 12006 400 5749 4
19 2018/12 10829 349 5045 6
20 2019/01 14256 460 6416 4
21 2019/02 13516 482 6708 4
22 2019/03 11793 380 6171 6

記事、書けてないなぁ…。

とりあえず、これまで取り組んできたことが、

なんとか成功裏に終わった。

長年のどに刺さっていた小骨が

ようやく取れたような感じ。

他にもやらないといけないことはあるが、

今月以降、記事作成にもう少し時間が掛けられそう。

そして先月、PV 数、一日平均共に激減。

なんでだろうなぁ。

まぁ最近まとめ記事的なものは

前々かけていないので、

それが理由なのかもしれない。

まぁ、あまり気に病まずに

自分にとっても、見る人にとっても

有意義なものを書いていければと思う。



読まれている内容

先月の PV 数 Top 3 のうち、上位三記事は、

専用カメラモジュールを使う
いよいよ正念場か!? – 情報処理安全確保支援士 –
動いたぞ! DC モーター! – Raspberry Pi でラジコン戦車 –

となり、先々月と比べても不変。

ただ、すべて月単位でみたときに、

100 PV 程度減少している。

このあたりはどうしようもないので、

新たな記事を作成してあげていくしかないか。

一方、主力になってほしいと常に期待している

Raspberry Pi でブラウザから操作できるラジコン戦車を作る!

シリーズは、

Raspberry Pi でブラウザから操作できるラジコン戦車を作る! – WebIOPi から DC モーターを制御する –

が、五位にランクインし、Top 10 に返り咲き。

あと、先々月 Top10 入りした、

ラズパイでセキュリティ

は先月六位。

ある程度維持できている模様。

安定的に伸びて行ってほしい。

今後の予定

毎回代わり映えしないが、進捗確認の意味も込めて。

■Blog
・セキュリティ+ラズパイ関連ニュース(継続)

■セキュリティ
・脆弱性検査ツールの使い方と比較(未)
今月こそやる。
とりあえず Vuls を入れてみるかな。

・CTF 関連(未)
そろそろ本の選定にはいろうかなぁ。

・Bug Bounty Program(未)
こちらで稼げるようになりたいぞ。

■linux
・HTTPS/FTPS 化(未)
・SSH 公開鍵設定(未)
まぁこれはどこ見てもあるからいいかなぁ…。
やられ環境を安全化する際に検討してみよう。

■電子工作
・UART 設定(未)
一応残しているが…。

・OpenCV の利用(未)
ペンディング継続。

・機械学習(未)
次のシリーズ化最有力候補として考えている。
そろそろまじめに書籍かおうかな。

・家庭用セキュリティ機器の作成(未)
他の勉強を進めながら、はちょっと厳しいので、
もうちょっと構想固めてからかな。
時間はかかりそうなので、
じっくり取り組もうと思う。



所感

3 月は 2 月より日数が多いにもかかわらず、

月間 PV 数が 2,000 も落ちた。

一日平均 PV 数でも 100 PV ほど落ちている。

大幅減も甚だしい。

最近は大体 3 ヶ月毎に、

・ぐっと伸びる
・ちょっと下がる
・さらに下がる

というサイクルになっているので、

今月はぐっと伸びるとなることを

期待したい。

とはいえ、

・自身の勉強+見る人の参考になれば

が主テーマのサイトなので、

勉強ネタを増やして自分自身の成長につなげたい。

後、今年の大きな目標として挙げていた、

・英語(英会話)をちゃんと勉強する
・機械学習に取り組み始める
・Python をある程度習得する
・バグバウンティで稼げるレベルになる

については、英語にちょっと取り組み始めたぐらい。

機械学習か CTF か、どっちから行こうかなぁ。

CTF かなぁ…。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | コメントする

Raspberry Pi よりも簡単!? – 新たな電子工作キット obniz –


■Raspberry Pi よりも簡単!? – 新たな電子工作キット obniz –

どうやら、ラズパイよりも簡単に

電子工作できる、

obnize

というキットがあるらしい。

ラズベリーパイより簡単にIoT電子工作ができる「obniz」が1億円を調達、コンセプトは“ハードウェアのAPI化”

実際のものはこちら。

Amazon

obniz (オブナイズ) – クラウドにつながったEaaS開発ボード – クラウドの永久ライセンス付き

楽天

スイッチサイエンス obniz (オブナイズ)

値段も本体だけだと 6,000 円ぐらいで、

ラズベリーパイよりもちょっと高い程度。

SDK を使えば、JavaScript で

サーボモーターや DC モーターを

簡単に操作できるらしい。

うーん、まじめに raspberry pi より簡単かも。

しかも、初期状態でクラウドに

つながっているようで、

リモートからの操作も

簡単にできるようになっている模様。

私がこれまでやってきた

raspberry pi を使った電子工作

では、ローカルネットワーク内での

リモート操作は実現していたが、

インターネット経由の操作は

少し障壁が高いこともあり、

手を出してこなかった。

しかしながら、こちらでは

初期状態でそれが実現できるようである。

うーん、簡単だしやりたいことできるし、

電子工作に初めて取り組む

という人にとっては

障壁が下がってとってもよいのではないか。

しかも、すでに具体的なアプリケーションを

実現できるスターターキットが

二種類ぐらい販売されているらしい。

まずはこれで実際に試してみて、

その後は自分で好きなようにいじる、

というのができる模様。

やっぱりかなり障壁は低いように思う。

具体的には、以下のような

スターターキットが存在するようだ。



一つ目のスターターキットがこちら。

IoT Home Kit

これだと、

1. 外出先からエアコンや照明をコントロール
2. テレビやエアコンのタイマー起動設定
3. 距離センサによる人感センサーの実現
4. 天気予報 API を使った天気との連動

などができるらしい。

1 などはインターネット越しに

室内にある obniz を操作できることを

あらわしており、かなり簡単にできる模様。

2 なんかは個人的に欲しい機能だったりする。

しかも、これらの機能を一通り実現したら、
*実際にはしなくとも

自分でカスタマイズした処理を実現できる、

ということだから、

外出先からデバイスを操作する

というのが raspberry pi よりも簡単に

実現できる、ということでよいかと思う。

実際のものはこちら。

Amazon

obniz スターターキット/IoT Home Kit – スマホでもプログラム。自宅を自分の手でIoT化

楽天

スイッチサイエンス obniz IoTホームキット

値段も 12,000 円前後であり、

ラズパイがスターターキットレベルだと

大体 10,000 円ぐらいはすること、

obniz のスターターキットには

モーターを含めて必要なものが

すべてそろっていること、を考えると、

それほど高くはない。

うーん、これ結構いいなぁ。



さらに、二つ目のスターターキットはこちら。

AI Robot Kit

こちらは、

・ラジコン(遠隔操作)
・文字認識
・ライントレース
・顔認識
・外部連携(スマートスピーカーとの連携)
・障害物回避

などができるらしい。

車体が段ボールという所が

かなりチープな印象を与えるが、

本サイトでも作成した、

Raspberry Pi でブラウザから操作できるラジコン戦車を作る!

以上のことができるらしい。

どうも、カメラはスマホを使う模様。

まぁそういう考え方もあるよねぇ。

ちなみに実際のものはこちら。

Amazon

obniz スターターキット/AI Robot Kit – スマホでもプログラム。最新AIでロボットを動かす

楽天

スイッチサイエンス obniz AIロボットキット

正直いうと、意外と悪くない、と思う。

うーん、結構すごいなぁ…。

ちなみに、はんだ付けして

自分で機能を拡張する、

ということも考えられているらしく、

プロトタイプ基板もある模様。


Obniz プロトタイプ基板 + 中継基板 5mm

初めて電子工作に取り組む人にとっては

とっても障壁が低いのは確かだと思う。

加えて、自分で工夫できる余地もありそう。

結構いいんじゃないかと思っている。



ということで、今回は新たな電子工作キットとして、

obniz

というのを紹介してみた。

実際に使っていないので何とも言えないが、

ラズパイでいろいろ遊んできた自分としては、

・これ、かなり簡単に遊べそうじゃない!

という感じを持っている。

ラズベリーパイで同じことを実現しようとすると、

やっぱりそれなりに Linux の知識とかが

必要になってくる。

が、こちらはプログラミングの知識すら

あまりなくても簡単に実現できそうである。

ということで、

・電子工作に挑戦してみたいが、難しそう…
・あんまり知識はないが、IoT デバイスを作ってみたい!

という人には、値段を含めてうってつけではないだろうか。

私自身、ちょっと魅力的に感じている。

私の場合は、こういうものを作ることを通じて、

自分自身の学習につなげたい、

ということがある。

そのため、単純に動けばよい、というよりも、

ある程度原理を理解したり、

プログラミングをやったりして

知識を獲得しながら動かしたいと考えている。

なので、すぐにこれに飛びつくつもりは

今のところないのだが、

興味深いのは間違いない。

今後は、このキットと同じようなことができる、

Raspberry Pi キット

などを自作していってみたい、と思えた。

しかし、本当に興味深いデバイスであり、

こういうのがもっとどんどん出てくるとよいなぁ、

と思う今日この頃である。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ, ラズパイで電子工作 | コメントする

セキュリティ情報の公開は犯罪なのか?


■セキュリティ情報の公開は犯罪なのか?

恐ろしい世の中になってきたものだ…。

セキュリティ関連の情報を公開すると、

逮捕されることがあるらしい。

腹立たしい限りである。

そう考えるようになったきっかけはこれ。

いたずらスクリプトのURL貼った女子中学生の補導、海外でも波紋

これ自体は最初、

・そういうことをしちゃいかんよ、という見せしめだな

と思った。

正直、ブラクラ程度でやりすぎだろう、とは

思ったものの、

軽犯罪だから放っておいてよい、

という話でもないし、多少は仕方ないのかな、

ぐらいに思っていた。

が、だ。

これを見て考えが変わった。

「あなたブラクラ貼ったでしょ?」→39歳男性を書類送検 検挙男性が明かす「兵庫県警“決めつけ”捜査の実態」 (1/3)

この記事は逮捕された男性側の主張に

のっとっているので、これがすべて真実かどうかは知らない。

が、実際に逮捕されたらこうなるのだろうな、

というのは想像できるレベルのものだと思う。

しかし、ちょっと待ってほしい。

ブラクラを引き起こす URL を貼った、ってだけで、

人生棒に振りかねない状況になっている。

どう考えてもやりすぎだろう。

こんなの、普通に

『めっ!』

っていうレベルでいいじゃないか。

家宅捜索されて、起訴されて、って

そこまでやられなきゃならん話じゃないだろう。

職権乱用も甚だしいと言わざるをえないと思う。

人の人生を一体何だとおもっているのか。



もちろん、今回のブラクラ URL 貼り付けに関しては、

やってよい行為ではない。

何も知らずにクリックして飛ばされた先が、

マルウェアを実行するようなサイトであれば、

実際に大きな被害がでる可能性は十分にあった。

なので、今回の行為自体は当然ほめられたものではない。

しかしながら、実際にはブラクラにすらなっていない程度だ。

ブラクラなんぞ、何年も前からやられている話であって、

補導や逮捕してその人に一生の枷を負わせるレベルの

話だとは到底思えないのだ。

さらに言えば、法務省は今回の逮捕容疑となった

不正指令電磁的記録供用未遂の罪

に関連して、国民の懸念を払拭すべく、

以下のような文章を法務省 HP 上で公開している。

いわゆるコンピュータ・ウイルスに関する罪について

この中の一部には、以下のような文面が明記されている。

“また,プログラムによる指令が「不正な」ものに当たるか否かは,
その機能を踏まえ,社会的に許容し得るものであるか否かという観点
から判断することとなる。”
*法務省 HP 記載文書『いわゆるコンピュータ・ウイルスに関する罪について』より引用

一昔前なら、ブラクラ程度であっても

メモリ破壊等で PC をリブートさせられる等も

可能だったかもしれないが、現状はまず不可能だ。

また、今となっては、昔からあるジョークプログラム程度の

扱いだと思われる。少なくとも、マルウェア扱いはほぼされない。

と考えると、「不正な」ものとまでは言い切れない状況で、

かつ社会的に許容しうるものであるか、と言っている以上、

逮捕するほど深刻な問題ではない、と思われるにも関わらず、

今回逮捕に至っている。

あり得ない、というのが正直な感想だ。



これに関連して、

セキュリティ勉強会が中止になった、

という記事があった。

セキュリティ勉強会休止、「攻撃コードの研究発表でも逮捕されかねない」と懸念 いたずらURL事件受け

こちらも最初は、

いやいや、とはいえやりすぎでしょう。

という感想を持った。

ブラクラ URL 貼り付けの件は、

確かにやりすぎで、

行為に対する罰則が厳しすぎる

というのが私の意見だが、行為自体が

よろしくないのは否定していない。

一方、勉強会は行為自体もよろしいものなのだから、

そこは心配しすぎでしょ、と思っていた。

が、だ。

振り返ってみると、本サイトでも、

セキュリティ技術者は犯罪者と紙一重!?

で記載したように、ミスっただけで

逮捕された事例があるうえ、

Wizard Bible 事件のように、

トロイの木馬の原理を説明しただけでも、

逮捕される恐れがある。

ハッキングなどの情報を提供していたサイト 「Wizard Bible」、検察からの圧力で閉鎖

正直、これぐらいで逮捕されてしまうなら、

セキュリティの仕事なんかできないし、

セキュリティ情報を発信することもできない。

そう考えると、前述の勉強会中止は、

(もちろん現状に一石を投じる意味の方が大きいのだろうが)

あながちやりすぎでもないように思えてきた。

警察はいったい何をやりたいのだろうか…。



これまで上げてきたような事件が

今後も頻発するようであれば、

日本のセキュリティは終わってしまうと思う。

というか、脆弱性を突くコードを公開したら、

多分つかまるんだよね、と思えてしまう。

最近の傾向としては、脆弱性を発見したとしても、

それが現実的に攻撃に利用できる、ということを

示すためにも、PoC(概念実証コード)という形で、

その脆弱性を突けるコードを公開することが多い。

が、これやると捕まる可能性がある、ということだ。

そんなこと言いだしたら、国家資格であるはずの

情報処理安全確保支援士

なんか、試験問題の作成・提供者、試験合格者、

参考書提供者などなど、全員アウトですよ。

だって大体脆弱性の性質とその突き方(確認方法)を

書いているじゃない。

私が合格した年の試験問題にも、

ARP spoof を使ってマルウェアの挙動を解析する

というような問題が出ていたが、これもアウトだよね。

それ以外にも、一般的な脆弱性とその確認方法を

IPA なぞも公開しているが、これもだめですよ。

SQL Injection ができる、できないを

確認する方法、すなわち脆弱性を突けるコードが

書いてあるのだから。

ということで、こんな逮捕がまかり通ってしまえば、

セキュリティ情報、特に攻撃手法を提供することなんて、

一切できなくなってしまう。

セキュリティを学ぶためには、当然のことながら、

攻撃方法を知る必要がある。

でないと守りようがないのだ。

だからこそ、本サイトでも、

ラズパイでセキュリティ

などで、実際にこうやればこういうことができる、

ということを提示しているのだ。

もちろん自分の勉強のためではあるが、

どうせなら私のように勉強したい人の一助となればよい、

と考えて公開している。

これも、逮捕されちゃうんだろうか?



法律自体には、正当な目的でなく、

ということが前提として書かれているため、

正当な目的であればよいのだと思う。

なので、法の主旨としても、

悪意ある行為を禁ずる

でよいと思っているので、

それに外れないならば問題はないと思っている。

思ってはいるが、これまでの事件を振り返って

考えてみると、警察側が、

・それは正当な目的ではない

と判断すれば、少なくとも逮捕には至れるのだ。

たとえ裁判で無罪を勝ち取ったとしても、

そこに至るまでの労力や、人生上受ける

ダメージを考えれば、被害は大きい。

正当な目的か否か、を警察は本当に妥当に判断できるのか?

がこれまでの事件を考えると正直疑わしい場合もある。

となると、やっぱりセキュリティに関する情報を

発信したりするだけでリスクが大きいとなってしまう。

で、だれも発信しなくなると、当然学べる機会が

激減してしまう。

結果、悪意ある行為を行おうとする側ばかりが

知識、経験ともに獲得できていってしまう、という

状況に陥りかねない。

もちろん、現実的にそこまでいくことはなかろう、

と思ってはいるが、少なくとも、正当な目的で

セキュリティを発展させようと考える人々のうち、

何人かは確実に委縮している。

私も委縮しそうである。

自分の勉強もあるので、正当な目的の範囲内で、

今後もセキュリティ情報の発信は続けて行こうと思うが、

今回の件に関しては、調べれば調べるほど

恐ろしくなってきたので、あえて記事にしてみた。

法の存在意義はあると思っているが、

その法に基づいた警察による権限利用の妥当性については、

もっと精査していただき、

善意の人々のみが委縮するような誤った世の中を

作らないよう、警察には真摯に考えて頂きたいと思う。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | コメントする

AI 向け開発ボードの話


■AI 向け開発ボードの話

Google が AI 向けの開発ボードを発売とのこと。

Googleが機械学習むけの開発ボードとドングルを発売、エッジでのAI活用を加速

開発ボードは外見が raspberry pi のような感じで、

価格が約 150 ドル

USB アクセラレータの方は見た目フリスクみたいで、

こちらは 75 ドル、

さらには画像認識に使うためのカメラが約 25 ドルとのこと。

こんなに小さなサイズかつ安価に AI が使えるなら、

使ってみたいと思う。

なお、これらは TensorFlow を快適に動かせるものの、

推論エンジンとして利用されるものであって、

機械学習アルゴリズムのトレーニングには

向かないらしい。

ということは、適切なトレーニング済みモデルが

必要だということ。

それってどうやればいいの?とかが

まだまだよくわかっていない。

やっぱりちゃんと勉強したいものだ。



一方、ラズパイ向けの AI キットも存在する。

TechShare、Actcast対応の「Raspberry Pi AIカメラスターターキット」発売

こちらは今のところ画像認識に特化している模様。

こちらも無償で提供される

画像認識のサンプルモデルを使っていることから、

推論を中心とした処理を行うのかもしれない。

しかし、本体、カメラ、ケース、電源、micro SD を

全部含んで税抜き 10,000 円とは驚き。

利益ほとんどないんじゃない?

って思えるぐらいリーズナブル。

ラズベリーパイ自体の処理性能的にどうなの?

というのはあるが、最新の Model B+ を使っているし、

そこそこ使えるのかもしれない。

興味は非常にあるのだが、

今のところ、

それを使って何をやりたいか、

が定まっていない。

これが定まらないと、やっぱり単に、

書いてある通りにやったら動きました

で終わってしまうので、

まずは具体的な目標を明確化しよう。

ということで、

やりたいことがもうすこし固まったら、

これらの機材を使うかどうかは別として、

実際に動かし始めてみようと思う。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | タグ: | コメントする

Kali Linux 2019.1 release


■Kali Linux 2019.1 release

昨日、

Metasploit 5.0 release

において、

Metasploit が 8 年ぶりに

4.0 -> 5.0

へとメジャーアップデートされた、

という記事を書いた。

だとすると Kali Linux も

アップデートされているのでは?

と思って調べてみたら、

やっぱりアップデートされていた。

Kali Linux 2019.1 with Metasploit 5.0 available for download

Metasploit 5.0 も含まれているとのこと。

なお、Metasploit 5.0 で何が変わったか、は

上述の記事のほうが詳しく書いてある。

ま、相変わらず具体的な内容は

私には理解できていないままだけど…。

ということで、大本の

Kali Linux Downloads

を訪れてみた。

Virtual Box イメージもアップデートされているか?

を確認してみたが、ちゃんとアップデートされている。

Kali Linux VMware, and VirtualBox Image Downloads

ということで早速ダウンロード。

早く試してみたいが、今はそれどころではない。

落ち着いたら試してみよう。



となると次に気になるのは、

Raspberry Pi 用もアップデートされているか?

だ。

こちらは、

Kali Linux Downloads

のページ下部に、

Download ARM images

という項目があり、いつもはここにある。

ということで、そこにあったリンクから、

Kali Linux ARM Images

に飛んでみた。

するとそのページ下部に、

『Raspberry Pi Foundation』

というのがあるので、こちらをクリック。

すると、ちゃんと

Kali Linux RaspberryPi3 64 bit

があり、こちらも version が

2019.1

となっていた。

これもちゃんとバージョンアップされている。

以前、Raspberry Pi に Kali Linux を

入れた際の記録に関しては、

Raspberry Pi に Kali Linux をインストールしてみた

に記載している。

その際には、

・Default で使えるツールが通常版より相当すくない

という理由から、

・Kali Linux として使う意味はあまりない

ということを述べていた。

今回は果たしてどうだろうか?

ラズベリーパイに各種セキュリティツールを

導入する方法に関しては、

ラズパイでセキュリティ

でまとめているが、OpenVAS など、

インストールにかなり苦労するものもある。

となると、それが初めから入っている

Kali Linux は、やっぱり相当魅力的。

でも、Raspberry Pi 版だと結局入っておらず、

自分で入れなくてはいけない、となると、

Kali Linux の魅力は半減以下となる。

まだダウンロードしただけで試せてはいないが、

近いうちに新しいバージョンをラズパイに入れてみて、

結果についてまとめていこうと思う。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ, ラズパイでセキュリティ | コメントする

Metasploit 5.0 release


■Metasploit 5.0 release

既に一ヶ月以上前の話だが、

本サイトでも紹介している、

非常に強力なペネトレーション(侵入)テストツールである、

Metasploit

が 4.0 -> 5.0 に Update されていたらしい。

ペネトレーションテストツール「Metasploit 5.0」が公開

2011 年以来の release ということで、

8 年ぶりの update だ。

この記事によれば、

・REST によるデータベースアクセス機能の導入
・パフォーマンス改善
・evasion モジュールおよびライブラリの追加

などが行われているらしい。

何言ってるかさっぱりわからない…。

ちなみに、本家サイトはこちら。

Rapid 7 Metasploit

Metasploit に関しては、本サイトでも、

Windows でセキュリティ

以下の

metasploit の使い方

にて、Kali Linux に含まれている

Metasploit 4.0 の基本的な使い方

について紹介している。

しかしながら、あくまでも超基本的な使い方を

記載しているに過ぎない。

本家サイトを含め、

もうちょっと情報をキチンと整理して、

使いこなせるレベルになりたいものだ。



使いこなすための練習台としては、

現時点で、練習用の脆弱性てんこ盛りサーバーである、

metasploitable 2

を使っている。

これに関しては、

Metasploitable 2 Exploitability Guide

において、

metasploitable 2 に存在する脆弱性を

metasploit を使ってどのように利用するか?

が記載されている。

まずは metasploit 4.0 と 5.0 の両方で

これをそのままトレースしてみて、

何がどう違うかとかを見てみる所から始めるかな。

あと、同じく Rapid7 のサイトには、

Setting Up a Vulnerable Target

において、

metasploitable 3

が紹介されている。

随分前からあるので、存在自体は知っていたが、

metasploitable 2

との違いはなんだろうか?

こちらも合わせて試してみたい所だ。

ただ、こちらは metasploitable 2 と違い、

単純に Virtualbox 用イメージを

導入すればよい、というものではなさそう。

具体的なやり方含めて、要調査かな。

ひとまず現状取り組んでいることを

さっさと終わらせて、こちらのほうにも

注力したい。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: Windows でセキュリティ, ブログ | コメントする

サイト開設からの軌跡(一年九ヶ月経過)


■サイト開設からの軌跡(一年九ヶ月経過)

サイト開設から二十一ヶ月。

今月も、素人がサイト開設したらどうなるか、の記録として、

PV 数などを残しておこうと思う。

  1. PV 数の推移
  2. 読まれている内容
  3. 今後の予定
  4. 所感

PV 数の推移

この二十一ヵ月における Page View 数、訪問者数、および記事数の推移は以下の通り。

経過月数 年月 月間 PV 数 一日平均 PV 数 訪問者数 記事数
1 2017/06 23 1 17 15
2 2017/07 124 4 46 20
3 2017/08 228 7 74 20
4 2017/09 533 17 250 8
5 2017/10 1280 41 599 8
6 2017/11 1690 56 854 16
7 2017/12 2546 82 1355 22
8 2018/01 4107 132 2015 17
9 2018/02 4673 166 2322 14
10 2018/03 4928 159 2557 14
11 2018/04 4822 161 2444 6
12 2018/05 6947 224 2982 7
13 2018/06 6911 230 3430 7
14 2018/07 9540 308 4755 5
15 2018/08 8801 284 4328 7
16 2018/09 8648 288 4146 6
17 2018/10 13262 428 6373 4
18 2018/11 12006 400 5749 4
19 2018/12 10829 349 5045 6
20 2019/01 14256 460 6416 4
21 2019/02 13516 482 6708 4

相変わらず記事数が少ないが、

うまくいけば今月以降、

もう少し記事が書けるようになりそうだ。

うまくいけば、だけれども…。

PV 数自体は減ったが、一日平均は増加。

なんとか 500PV/日を達成したかったが、

微妙に届かず。

先週、先々週あたりは結構きれいに

一日 500 PV ちょいで安定して推移も、

ここ最近はまた PV 数が低下。

Google の検索アルゴリズムアップデートの影響か、

はたまた単に飽きられてきただけなのか、

それとも記事が少なすぎるのか。

まぁいろいろあるが、あまり気に病まず、

本サイトをより良いものにしていくことに

注力しようと思う。

あぁ、記事書かないと…。



読まれている内容

先月の PV 数 Top 3 のうち、上位三記事は、

専用カメラモジュールを使う
いよいよ正念場か!? – 情報処理安全確保支援士 –
動いたぞ! DC モーター! – Raspberry Pi でラジコン戦車 –

となり、一位は不動であるものの、

二位と三位が変動。

特に二位の

いよいよ正念場か!? – 情報処理安全確保支援士 –

に関しては、先々月急増した勢いそのままに、

今月も勢いが続いてくれた。

三位の

動いたぞ! DC モーター! – Raspberry Pi でラジコン戦車 –

は、先月よりも微増程度。

よって、これが増えてランクアップしたわけではなく、

前月二位の

ライブカメラ(監視カメラ)を作る!

が落ちた結果二位に浮上した、ということらしい。

まぁこのあたりの入れ替わりは別によいのだが、

トップとの差が激しいのが問題。

もうちょっとトップに迫ってほしいなぁ。

一方、主力になってほしいと常に期待している

Raspberry Pi でブラウザから操作できるラジコン戦車を作る!

シリーズは、Top 10 入り継続すらならず。

もうすでにオワコンですか…orz。

あと、先月 Top10 入りした、

ラズパイでセキュリティ

は今月七位までランクアップ。

とはいえ、PV 数的には伸びてないので、

まぁ安定して、という感じか。

今後の予定

毎回代わり映えしないが、進捗確認の意味も込めて。

■Blog
・セキュリティ+ラズパイ関連ニュース(継続)

■セキュリティ
・脆弱性検査ツールの使い方と比較(未)
今月こそまずはこれから取り組み始めたい!

・CTF 関連(未)
そろそろ本の選定にはいろうかなぁ。

・Bug Bounty Program(未)
こちらで稼げるようになりたいぞ。

■linux
・HTTPS/FTPS 化(未)
・SSH 公開鍵設定(未)
まぁこれはどこ見てもあるからいいかなぁ…。
やられ環境を安全化する際に検討してみよう。

■電子工作
・UART 設定(未)
一応残しているが…。

・OpenCV の利用(未)
ペンディング継続。
とりあえず優先順位は最下位かな。

・機械学習(未)
次のシリーズ化最有力候補として考えている。
書籍かって早く勉強始めたいぜー。

・家庭用セキュリティ機器の作成(未)
元々やりたかったこと。
カメラもついていて移動もできて、
家庭内ネットワークの脆弱性を診断し、
問題があれば通知してくれる。
そんな機器をラズパイで作れたら面白い。
しかもそれが見た目 R2-D2 とかなら直良しだ。
ちょっと構想を練りだしてみようと思う。



所感

2 月は日数が少ない分、月間 PV 数は減少も、

一日当たりの PV 数は伸びた。

ありがたいことである。

なんとか 500PV 超えたかったけどなー。

まぁ私にできることは

・自分の知識獲得とその結果のまとめを増やす
・見る人にとって意味のある記事を書く

ぐらいなので、粛々と頑張っていくか。

今年の大きな目標として挙げていた、

・英語(英会話)をちゃんと勉強する
・機械学習に取り組み始める
・Python をある程度習得する
・バグバウンティで稼げるレベルになる

については、まだあまりというか、

ほとんど取り組めていない。

頑張らねば…。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | コメントする