ゲーム

2016年11月19日 (土)

あらゆるPC/Macから情報を盗める5ドルのラズパイ・デバイス   対抗手段はUSBポートをセメントで固めること


あらゆるPC/Macから情報を抜き取れる5ドルのラズパイ・デバイス

対抗手段はUSBポートをセメントで固めること 

 

このところ、コンピュータやiPhoneから情報を抜き取ってしまう、いや「盗む」とんでもないデバイスについての報告が目に付きましたので、どなたかに詳しい説明をして頂けたらと願いつつ簡単な紹介をしたいと思います。

 

まずは、Raspberry Pi Zero (ラズパイゼロと呼ばれているようです)という、元々の値段は5ドルという低価格の簡単なコンピュータを使って作られた、どんなPCからも、情報を盗み出すことが可能なデバイスです。Poison Tap と名付けられています。

                

Poison_tap

Samy Kamkar氏のサイトに掲載されている「Poison Tap


ハッカーのSamy Kamkar氏がこのデバイスを作りソースコードも公開しています。英語ですが、かなり分り易く書かれています。日本語ではPCWatch に掲載されていますので、それをお読み頂ければと思います。このデバイスをPCUSBポートに差し込むだけでそのPCの情報を盗み取れる能力を持っているそうです。

つまり、Samy Kamkar氏のサイトからコードを読み取って、自分のデバイスを作れば、誰でも他人のPCから情報を盗めるという、恐ろしい環境ができてしまったということです。しかもコストはたったの5ドル。

 

どんな仕組みなのか、そしてどのようなステップを踏んで情報が盗み出されるのかは技術的に結構難しいので、「工場長」さんに御登場頂ければ幸いです。

 

このデバイスを使っての被害に遭わないためにSamy Kamkar氏が勧めているのは、例えば、コンピュータを使っていないときには必ずブラウザーを閉じること、USBを使えないようにすること、スリープ状態になるときには暗号を使ってメモリーを開くようにしておくことです。しかし最終的には、USBポートにセメントを流し込んでポートが使えないようにするという、半分ジョークのような解決方法が示されています。御丁寧に、Amazonのセメント売り場までのリンクも貼られています。また、単にコンピュータにロックを掛けておくだけでは効果がないことも説明されています。

 

それで思い出したのが、1980年に当時MITのコンピュータ科学研究所の所長だったマイケル・ダートゥーゾス教授に伺った話です。『顔を持ったコンピュータ』にもインタビューが載っています。「ネットワークの一部になっているコンピュータを守るための究極的な手段は、物理的にそのコンピュータをネットワークから切り離すことだ」という考え方なのですが、それは今も生きているようです。

 

それ以上に心配しなくてはならない技術も開発されています。Wi-FiにつながっているスマホやPCから、仮に暗号化されていても入力時に情報を盗む技術です。それは次回に。

 

[お願い]

文章の下にある《広島ブログ》というバナーを一日一度クリックして下さい。

  

広島ブログ
広島ブログ

コメント

まず、この警告は一般ユーザー向けというよりは、サーバーなどに対するもので、スパイ映画やSF映画でも端末のパソコンやサーバーのUSBにチップを差し込んで情報を盗んだりサーバーを乗っ取るシーンがありますが、まさにそうしたことへの警告です。

USBは非常に利便性の高いものですが、それゆえのリスクもあり、サーバーはもちろん、端末になるパソコンでもUSBの使用を禁止している組織は多く、セメントで固めるまでもなく、物理的あるいはソフト的にロックされているケースも少なくありません。

こうしたセキュリティの専門家にとっては常識的なことがネット専業銀行では行われていても、大手地銀などでは全く無視されており、4年前のSNSに「某銀行とバトル」として書いたことがあります。

一般的なパソコンの利用者としては、こうしたものより、日常的なネット上のリスク、例えばJRのホームページを見ただけでウィルス感染するというようなことがあり、それを防ぐのはセキュリティ対策ソフトよりOSのアップデートですが、Windows10の強制的なアップデートが大きな問題になったほど、WindowsユーザーやAndroidユーザーにはアップデートに対する拒否反応が強く、理由があることとはいえ、Apple以外のパソコンやスマホのメーカーには悩ましい問題です。

また、Mac(Apple社のパソコン)の最新機種にはUSBポートは存在しませんし、公開されたソースコードはx86PCに対するものだったと思うのでiOS(iPhoneやiPad)は対象外のはずです。USBポートに差し込むだけで物理的にPCを破壊するというものも50ユーロで販売されていますが、MacBookは壊せないということでした。

ちなみに私が使っているパソコン(Mac)は、私が指紋認証したiPhoneと繋がっているAppleWatchによって制御されるようになっており、私がパソコンから離れればロックされ、パソコンの前に座ればロックが解除されるようになっています。

「工場長」様

コメント有難う御座いました。ユーザー側として心配しなくてはならない点を主に解説下さり、いつものことながら勉強になります。

ちょっと心配になったのは、Samy Kamkar氏の「Poison Tapに対する安全対策」のところでは、最初に「サーバー側の安全対策」次に「Desktop側の安全対策」と二つに分けられていて、「Desktop側の安全対策」には、本文中に列挙したようなことが掛かれている上に、例えば「コンピュータを離れる際にはいつもブラウザーを閉じる。しかしそれは実行するのが難しいだろう」というようなコメントが付け加えられていたことです。

人の情報を盗める装置を自分で作っておいて、しかもそのコードまで公開し、さらには、それに対する対策としてこんなことを書くのは、倫理的に問題があると思います。しかし、それに対する防衛策は私たちの方で取らざるを得ませんので、どのレベルの脅威にどう対応するのかについて、常に勉強しておく必要があるのだと思います。

そのために、「工場長」さんが何時も適切な情報や対策を提供して下さることに心から感謝しています。

今回のソースコードの公開が罪だと思うのは、これを真似して使ってみようとする人達が決して少なくないだろうと思われることです。

Raspberry Pi Zeroは1年前に発売され世界的にも話題になったシングルマザーコンピュータで、一時期は入手も難しいほど売れましたが、一通り遊んで、次に使い途もなく、次に行うことを探していたマニアも多くいます。

そうしたところに、こうした「使い途」が提示されれば、喰いつくマニアは少なくないはずです。

パソコンを自作し、プログラミングまで出来るようなマニアが身近にいる人は、しばらくは注意を怠らないようにした方が良いかも知れません。アカウントに簡単には分からないパスワードを付けて、離れる時はブラウザーを閉じてロックすることは、それほど難しいことではないと思います。

「工場長」様

再度のコメント有り難う御座いました。

できるだけパソコンから離れないこと、離れる際には、電源を切り、再起動にはパスワードか指紋認証を使うといった習慣をつけておくことも大切なのかもしれません。

2016年7月25日 (月)

ポケモン 5

ポケモン 5

 

Photo


 

老眼が進み、耳からの情報に頼る生活が続く中、「ポケモン 5」が近く日本でも配信されるというニュースが耳に入ってきました。「Windows 10」と同じように、こちらには決定権がなくていつの間にかゲームにはまってしまったらと、ちらっと頭の隅を掠めたのですが、その間タヒチを訪れ、「タカニ―ニー」というマルケーズ諸島出身のバンドに魅せられたりして、すっかり忘れていました。

 

その後、旬日を経ずして分ってた来たことは、ポケモンの第五バージョンを意味する「ポケモン 5」ではなく「ポケモン GO」だということ。でも、その意味は今一良く分りません。

 

そして、我が家にもポケモンが出没しているらしいということです。

 

「ポケモン GO」の意味も分からず、それが「ポケモン 5」だと思っていたような私の許に、世界中の多くの人々が追い求めている「ピカチュウ」が、わざわざ寄ってくれるとは思えないのですが、証拠を御覧頂いた上で、どうすれば良いのか、皆さんのアドバイスを頂ければ幸いです。

 

 

[お願い]

文章の下にある《広島ブログ》というバナーを一日一度クリックして下さい。

 


広島ブログ
広島ブログ

コメント

いきなり自宅にピカチュウを呼び寄せるとはハイレベルのポケモントレーナーに間違いありませんから、下手なアドバイスをしても笑われそうです。

Googleのアカウントが必要なため子ども(13歳未満)にはハードルが高くなっていますが、彼らにとっては大したハードルでもないでしょうし、いずれにしてもGoogleは、これでまた圧倒的なビッグデータを得ることになりますから、このゲームのヒットでの最大の勝者は任天堂ではなくGoogleです。

ポケモンの出現や施設は都市部の方が多いため有利な面もありますが、多すぎて、ゆっくり楽しむには郊外の方が良いこともありそうです。

ちなみに日本でのリリース前からインストールしていた私ですが、数日遅れて開始した息子のポケモントレーナーとしてのレベルは、既に私の3倍になります。

我が家は4人がかりで、まだ出ってきておりませんw

「工場長」様

コメント有り難う御座いました。「ピカチュウを呼び寄せる」などという大それたことはできません。「誤配送」という可能性もあるのかも。

任天堂の株価は今日大幅に下がったようですが、工場長さんのコメントの影響もあるのではと、改めて感心しています。

「⑦パパ」様

コメント有り難う御座いました。どこにいつ現れるのか分らないので、世界中の人が懸命に探しているのだと思って、分かった積りになっているのですが、本当のところどうなのでしょうか。

2017年8月
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31