先月、新料金プラン「カケホーダイ&パケあえる」にしましたが、早速失敗したなと思った事がありました。
楽ナビに P-04A を USB で接続して使えるようにしましたが、この春にドコモに MNP したのだから、MVNO ではなく、ドコモで使えるようにしようと、ドコモ お客様サポートに電話。
数コールでつながるという幸運(?)もあり、早速「iPhone5s で使っている SIM を FOMA携帯に入れて、カーナビで使いたいので、mopera U を契約したい。」と告げました。
すると、若干のやり取りがあった後、数分ほど保留。
そして、「FOMA携帯で利用するのであれば、mopera U ではなく iモード契約が必要です。ただ、新料金プランでは、SPモード と mopera U と iモード契約は、同時に契約できません。」との回答。
やるなドコモ。
2014年7月8日火曜日
2014年6月22日日曜日
新料金プラン
3月に2台契約した iPhone5s ですが、2台目は家族間通話のみで勿体無く、データ通信プランに変更するため、イオンモールの用事のついでにドコモショップに寄りました。
事前に、ITmedia Mobile の「ドコモの新料金プランがスマホ+タブレットの“2台持ち”でお得になるか調べてみた」で情報収集。
2台目は妻が使ってますが、妻は通話と携帯メールはガラケー(月1,400円ほど)を使っています。
事前に、ITmedia Mobile の「ドコモの新料金プランがスマホ+タブレットの“2台持ち”でお得になるか調べてみた」で情報収集。
| 項目 | 料金(税別) |
|---|---|
iPhone5s
|
|
タイプXiにねん・学割2014
|
0円
|
Xiパケ・ホーダイ for iPhone
|
5,200円
|
spモード
|
300円
|
AppleCare+ for iPhone
|
408円
|
月々サポート
|
-2,940円
|
消費税
|
442円
|
小計
|
3,410円
|
2台合計
|
6,820円
|
2台目は妻が使ってますが、妻は通話と携帯メールはガラケー(月1,400円ほど)を使っています。
ドコモショップにて自宅にある Nexus5 に変更すると告げ、データ専用プランへの変更を試算してもらいました。
「月々サポートが無くならないで変更できるか試算してみますね」って言っていたが、恐らくわかっていてやっているんだろうなって思いつつ暫し待つ。
2台目は iPhone ではなくなるので、AppleCare+ を外した。
試算の結果(消費税の計算が恐らく正しくない)として、2,859円安くなった。
ここで分かったのは、学割が外れること。
| 項目 | 料金(税別) |
|---|---|
iPhone5s
|
|
タイプXiにねん・学割2014
|
0円
|
Xiパケ・ホーダイ for iPhone
|
5,200円
|
spモード
|
300円
|
AppleCare+ for iPhone
|
408円
|
月々サポート
|
-2,940円
|
消費税
|
442円
|
小計
|
3,410円
|
iPhone5s(データプラン)
|
|
Xiパケ・ホーダイ ライト
|
4,700円
|
プラスXi割
|
-1,909円
|
spモード
|
300円
|
月々サポート
|
-2,940円
|
消費税
|
400円
|
小計
|
551円
|
2台合計
|
3,961円
|
2台目は iPhone ではなくなるので、AppleCare+ を外した。
試算の結果(消費税の計算が恐らく正しくない)として、2,859円安くなった。
ここで分かったのは、学割が外れること。
そして、プラン変更で iPhone に刺しても使えなくなると脅され、一旦退散。
自宅に戻ってから記事を読み直すと、ショップで試算してもらった「新料金プラン」が高かった事に気付く。
その原因は「シェアパック10」となっていた事。
どうも、客の有利な情報を提案してくれないのも含め、携帯ショップは好きではない(雰囲気も)。
ショップに出直すのもイヤなので、まずは、試算だけでもと 151 に電話。
整理すると、以下のとおり。
過去のデータ通信量は、2人あわせて2GBほど。
ここが悩みどころだが、超えても LINE とかは使えるので問題はないかな。
自宅に戻ってから記事を読み直すと、ショップで試算してもらった「新料金プラン」が高かった事に気付く。
その原因は「シェアパック10」となっていた事。
どうも、客の有利な情報を提案してくれないのも含め、携帯ショップは好きではない(雰囲気も)。
ショップに出直すのもイヤなので、まずは、試算だけでもと 151 に電話。
| 項目 | 料金(税別) |
|---|---|
iPhone5s
| |
カケホーダイプラン(スマホ/タブ)
|
2,700円
|
パケットパック(データSパック)
|
3,500円
|
spモード
|
300円
|
AppleCare+ for iPhone
|
408円
|
月々サポート
|
-2,940円
|
消費税
|
520円
|
小計
|
4,488円
|
iPhone5s(データプラン)
| |
データプラン(スマホ/タブ)
|
1,700円
|
spモード
|
300円
|
シェアオプション
|
500円
|
月々サポート
|
-2,940円
|
消費税
|
200円
|
小計
|
-240円
|
2台合計
|
4,284円
|
整理すると、以下のとおり。
- データプランへの変更はショップのみだと思っていたが、新料金プランは 151 で変更可能。 ※Xiパケ・ホーダイ ライトの場合はショップのみとなっているのは、SIMの交換となるからだろうか。
- 音声がかけ放題となる。
- かけ放題や家族間通話無料には SMS が含まれない。 ※なんでキッズ携帯で SMS料金が課金されているのか不思議だったのだが、これで解決。
- データ通信制限が10GBから2GB(13ヶ月は+2GB)に減る。
- 旧プランに戻っても学割2014は無くなる。
- spモードなどのプロバイダオプション「docomo Wi-Fi」の月額使用料が永年無料のまま。
- シェアグループの場合代表回線の割引対象料金から割引く(2台目の小計をマイナスとした)。
「シェアグループの子回線の割引対象料金の総額が「月々サポート」の割引額に満たない場合、引ききれなかった割引額はシェアグループの代表回線の割引対象料金から割引きます(翌月へくりこしての割引きは行いません)。」
過去のデータ通信量は、2人あわせて2GBほど。
ここが悩みどころだが、超えても LINE とかは使えるので問題はないかな。
2014年5月14日水曜日
ROP (Return-Oriented Programming)
少し旧聞となるが、Windows XP で利用できる最終バージョンである EMET 4.1 に、ROP (Return-Oriented Programming) と言う攻撃手法を使うことにより、迂回されてしまうことが判明しているそうな。
Microsoftの「EMET」に迂回される問題、次期版で解決へ
では、ROP とは何か?
RECONシリーズ最終回 Return Oriented Programming(ROP) - ITセキュリティのアライ出し
これでは、ちょっと理解できない。
Return-oriented Programming (ROP) でDEPを回避してみる - ももいろテクノロジー
コードを使った実証実験の方が分かり易い。
と言いつつ、コードから遠ざかっている私には、全部理解できていない。もうちょっと勉強させてもらおう。
以下のページも見つけたが、これも後日読むことにした。
Practical Return-Oriented Programming
Microsoftの「EMET」に迂回される問題、次期版で解決へ
BromiumによるとEMETの迂回は、「ROP(Return-Oriented Programming)」と呼ばれる攻撃手法を応用することで可能になるという。ROPを使った攻撃手法では既に、Windowsの攻撃防御機構「Data Execution Prevention(DEP)」や「Address Space Layout Randomization(ASLR)」も迂回されてしまうことが判明している。
では、ROP とは何か?
RECONシリーズ最終回 Return Oriented Programming(ROP) - ITセキュリティのアライ出し
ROP はReturn-into-libc と同様に、アセンブラで2命令程度の短いコードブロックをたくさん組み合わせることで、シェルコードの代替として実行する手法である。
これでは、ちょっと理解できない。
Return-oriented Programming (ROP) でDEPを回避してみる - ももいろテクノロジー
Return-to-libcによるDEP回避では、libc内の関数を呼び出すことでシェル起動を行った。 そして連続して関数を呼び出すために、pop命令+ret命令の先頭にジャンプしてスタックを操作するということを行った。 この手法を発展させ、ret命令で終わる命令列の先頭へのジャンプを繰り返すことで、任意の命令列を実行させることができる。 これはReturn-oriented Programming (ROP) と呼ばれる。
コードを使った実証実験の方が分かり易い。
と言いつつ、コードから遠ざかっている私には、全部理解できていない。もうちょっと勉強させてもらおう。
以下のページも見つけたが、これも後日読むことにした。
Practical Return-Oriented Programming
2014年5月13日火曜日
IE5 Quirks と HTML5 Quirks
Windows XP のサポートも終了し、カスタムサポートを締結せずに IE6 をネイティブで利用するには Windows2003 を使うしかない状況になりました(カスタムサポートを締結しても、IE6 のサポートは最大1年)。
ネイティブではありませんが、もう一つの方法としては、IEの互換モードを使う方法もあります。
ところが、IE11からはドキュメントモードが非推奨となったそうです。
IE5 Quirks の検証があまりされていないのか、不具合も多数出ているそうです。
そうなると、IE10 が移行先となります。
【参考】IE10 のドキュメントモード
IE5 Quirks:互換モード
IE7 Standards:IE7標準モード
IE8 Standards:IE8標準モード
IE9 Standards:IE9標準モード
Standards:標準モード(IE10標準)
IEに関しては、以前サポートポリシーが変更(コンポーネントのサポートポリシー)となり、OSのサポート期間と同じになったため、恐らく Windows8(Windows2012) まではサポートされます。
※Windows8.1 の標準ブラウザは IE11 です。
IE10 は、IE5 Quirks と HTML5 Quirks の2つのモードがあるようなので注意が必要です。
ネイティブではありませんが、もう一つの方法としては、IEの互換モードを使う方法もあります。
ところが、IE11からはドキュメントモードが非推奨となったそうです。
IE5 Quirks の検証があまりされていないのか、不具合も多数出ているそうです。
そうなると、IE10 が移行先となります。
【参考】IE10 のドキュメントモード
IE5 Quirks:互換モード
IE7 Standards:IE7標準モード
IE8 Standards:IE8標準モード
IE9 Standards:IE9標準モード
Standards:標準モード(IE10標準)
IEに関しては、以前サポートポリシーが変更(コンポーネントのサポートポリシー)となり、OSのサポート期間と同じになったため、恐らく Windows8(Windows2012) まではサポートされます。
※Windows8.1 の標準ブラウザは IE11 です。
IE10 は、IE5 Quirks と HTML5 Quirks の2つのモードがあるようなので注意が必要です。
- 相互運用可能な (HTML5) Quirks モード
- Interoperable HTML5 Quirks Mode in IE10
HTML5 などの業界標準のサポートを向上し、他のブラウザーとの相互運用性を高める目的で、Internet Explorer 10 では、Quirks モードの既定の動作が修正されました。
This HTML5-based quirks mode is the default quirks mode in IE10. IE's legacy quirks mode is now referred to as Internet Explorer 5 quirks.
2014年5月12日月曜日
Apache Struts
開発から離れてかなり立つため、WebやDBなどは知らないことが多い。
特に Apache Struts というのは、Apache HTTP Server のことだと思っていた。 勉強不足です。
存在に気付かないふり? Struts
脆弱性は何も守る側が先に発見できるとは限らない。当然、攻撃者が発見する事も多い。それがゼロディとなって現れる。そして、それが保守しているサイトを攻撃されるかも知れない。
そう言った意味で、余程外界との接触を絶たない限り、侵入される可能性は少なからずあると言う事が書かれていました。
この記事の事例にある会社のレベルまで達していないな、自分の保守しているシステムは。やばいぞ。
特に Apache Struts というのは、Apache HTTP Server のことだと思っていた。 勉強不足です。
存在に気付かないふり? Struts
- 例えばApache Strutsにおいては、Googleで「filetype:action」で検索しておけば、Apache Strutsを利用し、かつインターネットに公開されているページを、全てではないにしても労力をかけずある程度把握できる。脆弱性(攻撃方法)が公表されてから実際の攻撃が行われるまでの時間が、徐々に短くなってきているのもうなずけるだろう。
- 一般的にやられないという言葉は、「侵入されない」とか「マルウェアに感染しない」といったリスクゼロの状態を保つことを指すことが多いように筆者は感じているが、もはやそれは不可能である。であるならば、やられないの言葉の定義を変えてしまうことが必要であると筆者は考える。「何をやられたら嫌なのか」「何をやられたら困るのか」「どのような状態を避けたいのか」を考え、それをやられないようにと考えてほしいのである。極端な言い方になるが、サーバに保存された重要な情報を盗まれてしまうことを避けたい場合、仮に侵入を許してしまったとしても、重要な情報を盗まれなければよいのである。
脆弱性は何も守る側が先に発見できるとは限らない。当然、攻撃者が発見する事も多い。それがゼロディとなって現れる。そして、それが保守しているサイトを攻撃されるかも知れない。
そう言った意味で、余程外界との接触を絶たない限り、侵入される可能性は少なからずあると言う事が書かれていました。
この記事の事例にある会社のレベルまで達していないな、自分の保守しているシステムは。やばいぞ。
2014年5月11日日曜日
DNSキャッシュポイズニング
DNSキャッシュポイズニングに関する話題です。
なぜ、DNSはキャッシュポイズニング攻撃の危険に(まだ)さらされるのか
以前、対外接続環境の構築・保守をしていたことがあり、Firewall, メール, プロキシ, 社外向けDNSの設計に携わっていました。
その頃は、やっとセキュリティの重要性が認識され始めた頃で、Sendmail より qmail の方がセキュリティが高いとかやっていた頃です。
その後、別システムの設計のため対外接続環境を引き継いだのですが、社内でFirewall などを見ていくのは困難なため、社外にアウトソーシングしたそうです。
記事中に紹介されている Web-based DNS Randomness Test で、自宅と会社のDNS を調べてみましたが、GREAT ということで一安心。
そこで、DNSキャッシュポイズニングを調査。
DNSキャッシュポイズニングの影響と対策
カミンスキー氏が発表したDNSアタック手法と対策例
DNSキャッシュポイズニングの原因・対策・その理由
対策として色々あるが、主に以下の対策が有効(その他は記事参照)。
久々に DNS の設定の話を読んで懐かしく。
本当にセキュアな状態を保つのは難しい時代になってますね。
なぜ、DNSはキャッシュポイズニング攻撃の危険に(まだ)さらされるのか
以前、対外接続環境の構築・保守をしていたことがあり、Firewall, メール, プロキシ, 社外向けDNSの設計に携わっていました。
その頃は、やっとセキュリティの重要性が認識され始めた頃で、Sendmail より qmail の方がセキュリティが高いとかやっていた頃です。
その後、別システムの設計のため対外接続環境を引き継いだのですが、社内でFirewall などを見ていくのは困難なため、社外にアウトソーシングしたそうです。
記事中に紹介されている Web-based DNS Randomness Test で、自宅と会社のDNS を調べてみましたが、GREAT ということで一安心。
そこで、DNSキャッシュポイズニングを調査。
DNSキャッシュポイズニングの影響と対策
カミンスキー氏が発表したDNSアタック手法と対策例
- キャッシュDNSサーバが本来得られる正しい検索結果は、UDPを使っているため攻撃者による詐称が可能。
- 攻撃により、メールが正常に届けられない、Webサイトを正常に閲覧できない、Webサービスの危険性が一層高まる、SSLの意味がなくなる、などのリスクがある。
DNSキャッシュポイズニングの原因・対策・その理由
対策として色々あるが、主に以下の対策が有効(その他は記事参照)。
- UDPによるDNSクエリを行う場合に利用するSourceポート番号を適切にランダム化する。
- 外部DNSサーバの再帰問い合わせ機能を無効化あるいは制限する。
- 外部向けDNSサーバと内部向けキャッシュDNSサーバを分ける。
- 外部向けDNSサーバを増やす。
久々に DNS の設定の話を読んで懐かしく。
本当にセキュアな状態を保つのは難しい時代になってますね。
2014年5月10日土曜日
ランサムウェア
一時期流行った、ウィルスに感染するとハードディスクの中身を暗号化して、解除するのに金銭を要求するランサムウェア。
古い情報収集型不正プログラムが再登場、ランサムウェアに誘導
ここに出てくる「不正なパッカー」と「ランサムウェア」とは。
ここで気になったのは、パッカーの説明にある「IntelliTrap機能」。
サンドボックス上で実行して、パターンマッチングした方が確実で良いと思うが、今でも使われている機能だろうか?
古い情報収集型不正プログラムが再登場、ランサムウェアに誘導
今年確認された情報収集型不正プログラムには、不正なパッカー、難読化、「身代金要求型不正プログラム(ランサムウェア)」のバンドルといった新たな不正活動が追加されていました。
ここに出てくる「不正なパッカー」と「ランサムウェア」とは。
- パッカー
- ランサムウェア
パッカーとは、実行形式ファイルを実行可能な状態(自己解凍形式)で圧縮するソフトウェアのことである。圧縮することを「パックする」とも言う。共にセキュリティ関連の話題で言及されることが比較的多い。
ランサムウェアとは、マルウェア(悪意のあるソフトウェア)の一種で、ユーザーのデータを「人質」にとり、データの回復のために「身代金」(ransom)を要求するソフトウェアのことである。
ここで気になったのは、パッカーの説明にある「IntelliTrap機能」。
パターンマッチング方式にて判定を行った後にIntelliTrap機能によりルールベース方式による判定が行われます。このため、既にウイルスパターンファイルにて定義されたウイルスに関しては正確な検出名にて警告を確認することが可能です。
サンドボックス上で実行して、パターンマッチングした方が確実で良いと思うが、今でも使われている機能だろうか?
2014年5月9日金曜日
XSS(Cross Site Scripting)
Google 検索アプライアンス に脆弱性が出たようだ。
Google 検索アプライアンス ダイナミック ナビゲーションにクロスサイトスクリプティングの脆弱性(JVNVU#94205147)
自分の知識が怪しいので、XSS についておさらいしよう。
クロスサイトスクリプティング脆弱性とは?
- リスクはcookieの盗難とページの改ざん
- 対策は入力チェックとサニタイジング
ということで、この製品(アプライアンス)に、XSSの脆弱性があったということだった。
ActiveXを動かしたいということで、とかく信頼済みサイトに入れたがる。
そんなサイトに脆弱性があったら、cookieの盗難どころの騒ぎではなく、backdoor を仕込むのは容易に出来てしまう。
しかも、XSSの脆弱性は、インフラ管理者では防ぎようがないのも厄介な問題。
2014年5月8日木曜日
APT(advanced persistent threat)
FireEye の New FireEye Advanced Threat Report Reveals Global Expansion of Malware Attacks; Malicious Servers Now Located in 206 Countries and Territories によると、日本がAPT攻撃のターゲットの第4位になったそうな。
APT攻撃とは、独立行政法人情報処理推進機構の標的型攻撃/新しいタイプの攻撃 の 実態と対策が詳しい。
もう噛み砕いて易しいのは、シマンテック社の「サイバー攻撃 : 標的型攻撃とは、APTとは」(以下、引用)。
- 標的型攻撃とは、金銭や知的財産等の重要情報の不正な取得を目的として特定の標的に対して行われるサイバー攻撃。
- 標的型攻撃は「プロの」犯罪者による窃盗行為。
- 標的型攻撃の典型的手法はフィッシングメール(偽装メール)+不正プログラム
- APTは標的型攻撃の一種
- APTは、具体的な標的に対して行われること、密かに行われること、標的への攻撃指向性が強いこと、そして、それらゆえに標的に対してカスタマイズされた手段で行われること、の4点において他の標的型攻撃と異なる
Symantec Develops New Attack on Cyberhacking によると Mr. Dye estimates antivirus now catches just 45% of cyberattacks.(アンチウィルスではサイバー攻撃の45%しか検知できない) とのこと。
昨今良く言われる通り、もう Firewall と アンチウィルスなど入り口で止めるのは限界があり、出口対策や、利用者のリテラシー教育でしか対策しようがなくなっているということでしょう。
登録:
投稿 (Atom)