キッズ携帯からスマートフォンへ

 一応、念のため、外出時には持たせていたキッズ携帯ですけど、ほぼ出番もなかったのでスマートフォンに変更しました。もちろん楽天モバイル。

未成年でも契約できるのかな?と不安を感じつつも手続きを進めたところ、すんなりと契約が終わりました。保護者の同意書も写真を撮って提出で申し込んだ翌日午後にSIMが届くという超特急開通でした。

未成年が利用するということで「あんしんコントロール by i-フィルター」の強制加入が条件となりましたが、これ・・・月額330円必要なんですよ。他社さんは無料だったりするのですが、さすがに1GBまで0円なので有料になりますよね。毎月払ったとしても他社より安いのでまぁいいか~と思ったけど、使い方を見てると不満爆発ですよ。

この機能、ホントざるで困る。総務省さんは形だけですね。
子供がネット上のトラブルに巻き込まれないようにフィルタリングに対応した専用ブラウザーとアプリ制御、利用状況の報告が可能なアプリをインストールさせるんですよね。

でもね。アプリ内のブラウザはフィルタリングされていないし、アプリ内課金も制御できていないんじゃない?大体、世の中のまっとうな企業のウェブサイトはスマートフォン標準のブラウザのみに対応していて、フィルター機能付きブラウザで正しく表示、機能するための対策は行っていませんよね。

それに、フィルタリングを確実にするために標準ブラウザの起動禁止ポリシーを設定しろって・・・とりあえず、通信事業者の提供するウェブサイトやサービスはすべて対応しているのか?って聞きたいよね。

本気に考えるなら未成年契約者用のAPNを用意してNW上でコンテンツフィルター動かしませんか?そしてWi-Fi接続時にはProxyを強制してちゃんとフィルタリングを機能させてほしいですね。

このソフトでよいなら、スマートフォン標準のペアレンタルコントロール機能でいいじゃん。
同等機能揃ってますよね。こっちのほうが抜け目なくて安心なんですけど~

というわけで、書類の郵送しました。300円の価値があることをちゃんと説明してくれれば利用してやらんでもないぞ~。

脱PPAPの動き

 脱PPAPって言葉が一般的になって、そろそろみんな忘れてるんじゃないでしょうか?

ところが脱PPAPって今が熱い!!

脱PPAPが始まって1年。やっと各社が新製品を提供できる準備ができた時期だからです。

ざっと見た感じ、PPAPを解決するというより、形を変えて本質的には解決していないな~と思った。

そもそもPPAPは効果が低くて受信側が面倒な仕組みだったので、「クリック一つで開ける世界」に戻さないとだめですよね。

  • せっかく暗号化してもパスワードを同じアドレスに送るので誤送信対策にならない
  • 添付ファイルを開くのに別メールのパスワードを探す必要がある
  • 過去のメールだとパスワードを探すのに苦労する
  • 展開後のファイルは保護されないので情報漏洩対策にもならない
  • 送信側は自動化しているので受信側の手間を全く考慮していない
PPAPのメリットってなに?
  • 圧縮機能を使うのでメッセージサイズが少なくて済む
  • アーカイブ機能があるので複数の添付ファイルを一つのファイルにまとめられる
  • チェックサムがついているのでファイル破損が検知できる
  • 展開方法が普及しているので困らない
これって添付ファイルのZIP圧縮によるメリットですよね。
PPAPのメリットを絞り出すと・・・
  • 誤送信してもパスワードが誤送信しなければ開けない
    • 自動送信だと確実に間違った受信者に両方届く
    • 2通盗聴しなければならないけど1通盗聴できるならすべて盗聴できている
      • 1通だけ盗聴できる方法を教えてくれ・・・
    • パスワード解析は時間が解決
  • 開くのに手間がかかるので、重要なファイルだと気づかせる
脱PPAPで実現してほしかったこと
  • 受信者はワンクリックで本文、添付ファイルを閲覧できる
  • 数十年昔の添付ファイルも開ける
  • 誤送信したときにメッセージを取り消す、開けないようにする
  • 誤送信に気が付いた時点でファイルでも開けないようにする
  • 送信側が受信者の手間を意識できるようにする
脱PPAPで残念なこと
  • 攻撃無効化対策なども考慮した結果、添付ファイルURLをPDFにしてしまった。
  • 添付ファイルを受け取るのにアカウント登録が必要
  • 添付ファイルURL開いたらワンタイムパスコードが届く
  • 受信者の手間が全く減っていない
こうなったらPPAP導入企業への報復ですよ。
暗号化されたZIPファイルが届いたら、送信者にURLを送信し、開いたサイトにパスワードを入力させて、複合化しコンテンツを検査するまで本来の受信者に届かないという仕組みを強い立場の企業や役所が導入して、PPAP製品の機能停止を促すしかないですよ。
もしくは、返信時はS/MIMEで暗号化するから公開鍵を要求するとかね。こっちは勝手ルールではなく世界標準なメール送信方法を採用しているので当然対応してくれるよね!!って。

PPAPを導入するような意識の高い組織は、きっと面倒でも受信者の要求には答えてくれるだろうから機能停止しなくても全く問題にはならないよね。

PPAPのウィルス対策ソフトで検査できない!!の問題はZIPだけではない

PPAPの一般化によって「パスワード設定されたZIPファイルはウィルス対策ソフトで検査できない」も問題の一つとして一般的になったのでは?と考えております。

まぁ,都合の良いように危険なのはZIPだけって認知されているようですね。7z形式にすればいいじゃないって発言もちらほら・・・

ウィルス対策ソフトで検知できないファイルって世の中には数多く存在しますよ

リアルタイムのファイル検査機能に限定すれば,利便性を損なうような検査時間がかかるサイズのファイルは対象外だし,マイナーな形式,パスワードで暗号化されたファイル。極端な言い方すれば,実行形式とメジャーなスクリプトを含むファイル以外は検査していない。

フルスキャン機能だと検査時間のかかるファイルも検査されるようになります。それでも解読に時間がかかる暗号化されたファイルについては対象外だし,マイナーな形式はそもそも・・・

検査されないファイルについては利用時に検査すればよいという考えで補完されます。悪意のあるプログラムである以上,実行時にはコンピューターが実行可能な状態でメモリーに展開されるはずですし,悪意ある動作を行うはずなので,そのタイミングで検知し動作を制限すればよいのです。

じゃぁ,PPAPのウィルス対策ソフトで検知できないことは問題無いってなります。その通りですよ。多分PPAP問題の深刻さを訴えるために利用されただけなんでしょうね。

ウイルス対策機能を搭載したファイアウォールはほぼリアルタイムで検査する必要があるため検査できるファイルはさらに限定的です。

検知したと表示が出来るファイルサイズは20MB程度が限界です。それ以上のファイルだと検査しながらデータを通し検知したら遮断するためダウンロード失敗という見え方になります。

ZIP形式は2重圧縮非対応で含まれるファイルが100個までなどと制限があります。

そもそも暗号化されていないHTTP通信のみが対象です。

最近はHTTPSが普及して多くの場合暗号化された通信ですので検査できません。

フリーソフトの大手配布サイト「窓の杜」や「Vector」はHTTPSですので検査できません

まぁ,ファイアウォールもちゃんと考えていまして,HTTPSを検査できる機能が用意されています。どうやってるかというと,通常の通信はVectorとパソコンの通信を暗号化しているのですが,Vectorとファイアウォール,ファイアウォールとパソコンで暗号化通信を行っています。ファイアウォール内部で暗号化通信を分断することで検査できるようにしています。

End to Endの暗号化をぶった切っているのでユーザーは正しいサーバーに接続しているかは確認できないのです。しかも,この機能は従来の2倍以上の処理性能が必要ですのでファイアウォールを通過するすべての通信を対象にしていないかもしれません。そもそもこの機能を搭載していない可能性も高いです。

ウィルス対策ソフトで検査出来ないから危険というならHTTPSも検査できないので危険!!といえますね。

ざっくりと暗号化はリスクを高める原因です。HTTPSが危険です。はい。

個人的な意見だと,ウィルス対策ソフトで検査できないことよりも,不正なデータで不具合を起こすソフトウェアや不正な動作が実行できるシステムが危険です。

ファイルの読み書き,送受信はコンピュータの基本的な機能です。正常な操作なのか,不正な操作なのかを完ぺきに判断し,操作を制限できるならファイルを検査する必要はありませんね。

Windows Updateで品質更新プログラムが提供されるまでの期間を守るのがウイルス対策ソフトの役割だと考えています。

オープンソースのLinuxは安全だぜ!!って昔から聞きますけど、安全なのは脆弱性が公開されていない最新バージョンのみで、古いバージョンはどのような修正を行っているかもプログラム言語で公開されているので攻撃者としては攻撃方法が確立しやすいですよね~

本当は脆弱性が発見されて対策されていないシステムが危険なんですよね


Microsoft Entra Connect Cloud同期のお勧め属性マッピング

ハイブリッドID構成の設定で必須設定じゃないかな~というやつを備忘録的に投稿しておきます。個人的な推奨値なので実際に設定する際は十分な理解と検証を心掛けてください。そのまま利用して不具合が発生しても責任はとれません。 Microsoft Entra Connect によって同期さ...