警備資料

アクセスカウンタ

zoom RSS 「セキュリティフォント」という謎のセキュリティ技術が一世を風靡した2017年1月

<<   作成日時 : 2017/02/14 22:15   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

2017年1月のセキュリティクラスタでは、三が日が明けてすぐ国税の支払いを代行するサイトが「go.jp」ドメインで運営されていないことが物議を醸します。また、ついに始まった「マイナポータル」に関連するツイートも散見されました。

 さらに、何かと話題に上ることの多い前武雄市長が深く関わっている「セキュリティフォント」なる謎のマイナンバー保護の仕組みについてもたくさんのツイートが行われています。

 他にも、アパホテルが自社ホテルの各部屋に南京大虐殺を否定するような内容の書籍を置いていたことが知られ、中国からDDoS攻撃を受け予約受付がしばらくできなくなったことも興味を持たれていたようでした。

●「go.jp」ドメインじゃない国税支払いサイトが現れる

 お正月休みが明けていない人も多くいた1月4日には、「国税クレジットお支払サイト」というクレジットカードで税金を支払うことができるサイトが話題になります。国税を払うのだから当然「go.jp」ドメインを使った国税庁運営のWebサイトだろうという大方の予想を裏切り、noufu.jpという普通の汎用jpドメインを使った企業運営のWebサイトだったからです。

 これは実は「指定納付受託者」という国税の納付を委託された業者が運営しているWebサイトなので法的には全く問題はないようなのですが、go.jpドメインでないことに加えて、SSLのサイト運営者と実際の納付受託者が違うこともあり、いぶかしがる人が多くいました。

 また汎用jpドメインでの運営なので、簡単に似たような名前のドメインを取得できることを問題視する声も聞かれました。実際に犯罪者に詐欺などに使用されないように「n0ufu.jp」や「nouhu.jp」といった似たような名前のドメインを取得した人もいたようです。

 一方、1月16日には「マイナポータル」という今度は本当に国が運営するマイナンバー関連のWebサイトが運用開始されました(正式稼働は2017年7月予定)。こちらについてはドメインはgo.jpなのですが、動作保証されているブラウザが限定されていることや、カード読み取りのためにJavaアプレットを動かす必要があることなどから、Twitter上での評判はすこぶる悪く、先行きが不安でなりません。

●セキュリティフォントが“大人気”

 お正月休みが続いていた人も多かったであろう2017年1月7日から9日の三連休には、「セキュリティフォント」なる謎の語句がセキュリティクラスタを騒がせることになります。「簡単でコストも掛からず内部流出対策に最適で、マイナンバーが流出してもこれで大丈夫」という触れ込みの技術でしたが、この謎のセキュリティ技術に対してたくさんの人が調査したり、内容を確かめたりしていました。

 さてこの「セキュリティフォント」ですが、特殊なフォントとエンコーダー、デコーダーを使うことで「セキュリティフォント利用者はその内容を読めるが、ファイルが漏えいした場合でも、暗号化されているため他の人は読むことはできず、改ざんも困難になる」という仕組みのようです。

 説明だけを読むとフォントを細工して文字を置き換えることで普通の人には見られないようにしているようですが、見たところ1対1の置き換えであり、暗号としては強度に問題があると判断されています。

 また、製品の内容だけでなく「図書館問題」など話題に上ることの多かった前武雄市長の樋渡啓祐氏が事業に関わっているということも、セキュリティクラスタで話題となる一因となりました。同氏は1月19日に、セキュリティフォントの新会社を設立しセキュリティ事業に乗り出しています。

 とはいえ、今のところ実際に製品はなく、ネットに流れている情報や特許などの情報が判断材料となっており、セキュリティクラスタは正式な製品の公開を今か今かと手ぐすね引いて待ちわびている状態です。NHKがセキュリティフォントを採用したとの情報もあり、日を追うごとにセキュリティフォントの“注目度”は増していっているようです。


●アパホテルのWebサイト、中国からDDoS攻撃を受ける

 セキュリティキャンプの宿泊場所として使用されていたこともある、セキュリティクラスタでもおなじみの「アパホテル」ですが、2017年1月16日からDDoS攻撃を受け、しばらくの間Webサイトにアクセスできない状態が続いていました。

 攻撃のきっかけとなったのは、ホテル社長の夫が書いた南京大虐殺を否定するような内容の書籍がホテルの各部屋に置かれており、それを見つけた人がyoutubeに告発動画をアップロードしたことでした。

 当初は予約サイトだけが攻撃を受けていたのですが、その後、企業サイトの方も攻撃を受けたようです。サイトはCDNサービスのAkamaiを利用しているためDDoS攻撃には強いはずなのですが、それを上回る攻撃があったのか、攻撃に対応できるだけのプランを選んでいなかったのか、攻撃を防ぎ切れなかったようです。

 1月17日からは予約サイトのページにアクセスはできるものの、「【システムメンテナンスのお知らせ】」と表示されるだけで、予約ができなくなっていました。この数年中国からのDDoS攻撃は収まっていただけに、寝た子を起こすような事態になってしまいました。

 なお、アパホテルとしては主張を引っ込める気はないようで、まだまだ争いは続いていきそうです。サイトは23日には復旧し、その後問題なくアクセスは行えているようですので、中国のネットユーザーの怒りは既にのど元を過ぎたのでしょうか。あるいは、サーバがDDoS攻撃に耐えられるように増強されたのかもしれません。

 この他にも、2017年1月のセキュリティクラスタは以下のような話題で盛り上がっていました。2月はどのようなことが起きるのでしょうね。

・文科省、誤送信しないように今後は紙で管理する方針に
・経産省、毎年100人サイバー防衛人材を育成する意向
・フィッシング対策協議会のWebサイトが改ざんされる
・「SECCON 2016」決勝大会開催される
・怪しい日本語タイトルのウイルス付きメールが多数出回る
・BINDにまたまた高リスクの脆弱(ぜいじゃく)性
・「Quick Homepage Maker」で作成された多くのWebサイトが改ざんされる

●著者プロフィール
山本洋介山/bogus.jp/猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いています。

テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
「セキュリティフォント」という謎のセキュリティ技術が一世を風靡した2017年1月 警備資料/BIGLOBEウェブリブログ
文字サイズ:       閉じる