  |
はてなキーワード: 不正ログインとは
「乗っ取りは現実的ではない」アインシュタイン稲田 DMで“わいせつ画像要求疑惑”の弁明にホワイトハッカーが異論
https://smart-flash.jp/entame/299434/1/1/
番組企画を装い、Instagramのダイレクトメッセージ(DM)で、一般女性に性的な画像を要求した疑惑が向けられているお笑いコンビ「アインシュタイン」の稲田直樹。
「稲田さんは、7月29日にSNSで、『全く身に覚えがない』と完全否定していました。その後、YouTuberのコレコレさんに再度追及され、『不正ログインされた形跡がありました。知らない間に沢山の方をブロックしていました』と投稿しました。現在は警察に相談しているそうです」(芸能記者)
乗っ取りが事実であれば重大な犯罪だ。逆に、本当に番組の企画を騙って女性にわいせつ画像を要求していたとすればこちらも大問題ーー。果たして真相はなんなのか。
と語るのは、国内初のネットセキュリティ対策会社「アルテミス」の創業者で、情報番組で司会男性の携帯電話をリモート起動させたこともあるほどの“腕”の持ち主である一般社団法人日本ハッカー協会の石川英治氏だ。
「もっとも典型的な“乗っ取り被害”は、何らかの方法でIDとパスワードを入手し、稲田さんのスマホではない別のスマホやパソコンからInstagramにログインしたというケース。ただその場合、稲田さんのスマホにSMSで通知が来るはずです。しかも、一度ログインできた場合、すぐにパスワードやメールアドレスなどを変更し、元のアカウントの持ち主を追い出すはず。稲田さんが何事もなく同アカウントを利用できていることを考えると、あまり現実的ではないでしょう」(石川氏)
では、稲田に気が付かれることなく、こっそりとログインしてDMを利用することはできないのか。
「その場合は前提として、スパイウェアを携帯電話に仕掛ける必要がありますが、今は、かなり難しいです」
と、こう語る。
「まず、iPhoneを利用している場合、AppStoreでしかアプリのインストールが出来ません。AppStoreのアプリは、アップルの審査を通過せねばならず、検査もかなり厳しい。故に、現状ではスパイウェアを仕込むのは、ほぼ無理です。Androidの場合は審査がザルなので、公式アプリにも危険なアプリが存在しているし、違法な野良アプリも出回っています。なので、スマホにスパイウェアを入れることは理論的には可能なんです。
ただいずれにせよ、リモートでインストールすることは不可能です。なので、携帯電話を直接他者が触れる環境が絶対に必要です。仮に、リモートで他人の携帯電話にアプリを入れることが出来る技術があるなら、女性にわいせつ画像を要求するより、世界的なIT企業に履歴書を送るべきです。100万ドル以上の報酬で採用されますよ。それぐらい稀有な技術ですからね」(石川氏)
もともと稲田は“DM好き芸人”として、SNSのDM機能を使ってファンと交流していることを公表していた。
「“ブサイク”ゆえに、女性に告白しても毎回、撃沈というのが稲田さんの“鉄板ネタ”の一つ。DMを使ったナンパまがいの行為をしていることは、芸人仲間からも弄られていました。こうした過去のエピソードからも、今回の“疑惑”がより一層真実味を帯びているんです。いずれにせよ警察の捜査の結果や、具体的な乗っ取りの手口などを詳細に説明しないとなかなか納得してくれるファンはいないのではないでしょうか」(芸能記者)
「稲田さんは、7月29日にSNSで、『全く身に覚えがない』と完全否定していました。その後、YouTuberのコレコレさんに再度追及され、『不正ログインされた形跡がありました。知らない間に沢山の方をブロックしていました』と投稿しました。現在は警察に相談しているそうです」(芸能記者)
タイトルがヘタすぎました。すみません。垢BANについては書いてないです(それは自分も知りたい)
改めてタイトルつけるなら 【2段階認証を安全に運用する方法(Google版)】 とかかなぁ
ちょっと勘違いしている人がちらほらいる(トラバ参照)ので追記しておきます
↑ということです
パスキーは『不正ログインのリスク』への対策の意味が大きいです
一部の人が感じている『パスキーを有効化すると詰みそう』というのは、少なくともGoogleには当てはまらないと思ってます(認証方法が*追加*されるだけだから)
2段階認証の認証方法を適切に管理するのが難しいなら、(『不正ログインのリスク』とのトレードオフを認識した上で)『2段階認証をOffにする』べきであり、パスキーとは直接的には関係ないです
2段階認証の設定を最新化できていないとか、電話番号だけにしているとかだと、パスキーを使っていなくても詰みます
自分が書き始めたきっかけがパスキーの話題だったので、わかりにくくて申し訳ない
できるだけ楽に以下のリスクからGoogleアカウントを守る方法を考えてみたよ
最低限、以下があればいい
| アカウント名 | 忘れないようにしましょう |
| パスワード | セキュアに生成し絶対に使い回さない。安全な場所に保管しておく(PW管理ツールを使う) |
| 2段階認証 | 有効化しておく |
| バックアップコード | 2段階認証を設定すると生成できる。安全な場所に保管しておく |
| パスキー | 普段使うデバイスで使えるようにしておく(複数登録できる) |
Googleのアカウント管理がやっかいなのは、Gmailやパスキーを使うのに必要となること
Googleにログインできなくなると、Googleに保存していたGmailもパスキーも使えなくなってしまう
なので、Googleだけは多少手間をかけてでも、リカバリ手段を確立しておく必要がある
その他の一般的なサービスは、登録したメアドさえ生きてればまぁなんとかなるでしょ(それはそれでどうかと思うけど)
いずれにせよ、どんな認証手段であれリカバリ手段はちゃんと確保しておきましょう
https://www.infosecurity-magazine.com/news/russian-hackers-spyware-exploits/
⸻
ロシアの国家支援型ハッカーグループAPT29が、かつてNSO Group(Pegasus開発)やIntellexa(Predator開発)といった民間スパイウェア企業が使用していた脆弱性の悪用手法を流用し、標的型攻撃を行っていたことが、GoogleのThreat Analysis Group(TAG)の報告で明らかになった。国家系ハッカーがこの種の商用スパイウェアの技術を用いるのは初の事例とされる。
⸻
攻撃の詳細:
「ウォータリングホール攻撃」と呼ばれる手法で、モンゴル政府の公式ウェブサイト(cabinet.gov.mn、mfa.gov.mn)を改ざんし、訪問者にマルウェアを配信。
• mfa.gov.mn:2024年2月、および7月に再度攻撃
• 対象:iOS(Safari)およびAndroid(Chrome)ユーザー
1. CVE-2023-41993(iOS WebKit):Safariのクッキーを窃取。iOS 16.6.1未満に影響。
2. CVE-2024-5274 および CVE-2024-4671(Chrome on Android):バージョンm121〜m123が対象。
• 注目点:
これらの脆弱性は、すでにNSO GroupまたはIntellexaによって以前に悪用されていたものと「同一または酷似」しており、国家系ハッカーが商用スパイウェア企業の技術を転用した初の例として注目されている。
⸻
対応と影響:
• GoogleはApple、Android部門、Google Chromeチーム、モンゴルのCERTに攻撃を通報。
• 悪用された脆弱性はすでに修正済みだが、未更新の端末には依然として効果がある。
⸻
結論:
本件は、民間スパイウェア技術が国家系のサイバー攻撃に転用されるリスクを強調しており、サイバーセキュリティ分野における警戒が一層求められている。
⸻
🔥 具体的な脅威一覧
• 脅威の内容:
モンゴル政府の公式ウェブサイトにアクセスしただけで、マルウェアが自動的に仕込まれる可能性がある。
• どんな被害が?
• 利用者の端末が知らぬ間に乗っ取られる
• スパイ活動に使われる
• 誰が狙われる?
外交官、政府職員、研究者などモンゴル関連の業務に関わる人全般
⸻
• 使用された脆弱性: CVE-2023-41993(iOSのWebKitの脆弱性)
• 脅威の内容:
攻撃者がSafariブラウザに保存された**ログイン情報やセッション情報(クッキー)**を抜き取る。
• どんな被害が?
⸻
• CVE-2024-4671(ヒープ破壊によるコード実行)
• 脅威の内容:
攻撃者は、Android端末に任意のコードを実行できるようになる。つまり、完全に操作可能。
• どんな被害が?
⸻
• 注目すべき点:
• この攻撃はロシア国家支援型のAPT29によるものとされ、国家機密や外交文書の収集が主な目的とみられる。
• どんな被害が?
⸻
💡 なぜこれが危険か?
• 商用スパイウェアの攻撃技術が広範な国家攻撃に転用されている
• 脆弱性は「すでに修正済み」でも、アップデートを怠った端末が多数あるため、攻撃は依然として有効
• 感染のトリガーがただのウェブ閲覧という手軽さにより、発見も困難
⸻
Netflixは解約後も、アカウント情報を最大10か月間も保存する仕様です。
この長期間にわたってアカウント情報を保持することは、不正ログイン・利用防止の観点から非常に危険であるといえます。
実際にTwitterなどのSNSで不正アクセスの投稿は多くあります。
Netflixは、解約後もアカウント情報やクレジットカード情報を最大10か月間保持しています。
この間、再契約をスムーズに行えるという点では便利に思えるかもしれませんが、不正ログイン・利用防止の観点から非常に危険であるといえます。
解約後もクレジットカード情報が保存され、不正アクセス・不正利用のリスクを高めることになります。
Netflixのアカウントは、パスワードが漏洩した場合に、解約後もログインが可能な状態が続くため、不正アクセスがしやすい状況にあります。
これにより、知らぬ間に不正利用が発生し、ユーザーがその存在に気づく頃には、すでに数ヶ月分の料金が引き落とされているという事態が起こり得ます。
実際にTwitterなどのSNSで不正アクセスの投稿は多くあります。
Netflixは世界中で使われている動画サービスです。そのため海外から不正アクセス・利用される可能性が高いです。
不正アクセスで言語がスペイン語などに変えられて利用されているケースが多いようです。
解約後、Netflixにアカウント削除を依頼することで、10か月の情報保存期間を避けることができます。しかし、これにはサポートに直接連絡を取る必要があり、すぐに削除できるわけではありません。
クレジットカード情報が保存されている場合、解約後でも情報が保持され続けるため、別途サポートに電話しクレジットカード情報を削除する手続きが求められます。
これもユーザーが自発的に行うべきであり、Netflixが自動的に処理してくれるわけではありません。
Netflixが解約後も情報を長期間保存する理由には、再契約を促すためという商業的な意図が見え隠れします。
しかし、ユーザーの個人情報やクレジットカード情報を不必要に長く保持することは、セキュリティ上の大きな欠陥です。不正アクセスや不正課金が発生した場合、ユーザーにとっては深刻な問題となります。
解約後にアカウントを完全に削除するためには、Netflixのサポートチームに手動で依頼しなければならない点も問題です。通常の解約手続きとは異なり、アカウント削除の手順が明確に示されていないため、ユーザーが気づかないうちに情報が長期間保持され、セキュリティリスクが増大します。
30代男。
10年以上前の話、他人のGoogleアカウントの検索履歴を見て興奮していた。
当時、よく大学のサークルや部活なんかがGoogleのPicasa(今はない)を写真を共有するのに使っていて、IDとパスを無造作にサイトや掲示板に書き込んでログインして見てくださいねーってやっていた。
最初はサークルのサイトを漁ってそういうのを見つけて、海とかプールで女子大生が水着になってる写真を収集しておかずにしてたんだけど、ある時PicasaとGoogleアカウントは紐づけられているから、誰かがログインしたままGoogleで何かを検索したらweb履歴からその内容を見ることができるということに気づいた。
盗んだパスワードではなく、自ら全世界に大公開してくれているパスワードなので不正ログインにはならないはず。(ならないよね?なってても時効だと思うけど)
もちろん誰の履歴なのかなんてわからないから想像するしかないんだけど、検索ワードからなんとなく推測することはできた。
女性向けの服のブランドのサイトがたくさん並んでたら女子。一気にテンションが上がる。
で、エロの話。
前述のように女の子の履歴であるとわかったところで見ていくと、明らかにその子がオナニーのおかずにしているであろう検索ワードが見れることがある。
女性向けのアダルトサイトとか、エロ動画のサンプル動画を集めたサイトとか(サンプルっていうのが慣れてない女子っぽい)、BLサイトとか。
これを発見できたら脳汁が出まくり(我慢汁も出まくり)、嘘みたいに興奮して、それだけでおかずにできた。
基本的に、履歴はそのアカウントからログアウトしない限りずっと蓄積されていく。
だから、巡回先みたいなのがいくつもあって、日々いろんなアカウントのログインとログアウトを繰り返しては顔も知らない女の子たちの検索履歴を拝見していた。
そうすると段々行動パターンもなんとなく見えてくる。
とある子は大体夜の20時くらいからネットサーフィンを始めて、アパレルのサイトを巡回した後にエロサイトに移動、30分くらいおかずを物色した形跡が続き、21時くらいに履歴が途切れる(=この時間くらいに果てたんだろう。)
たまに、リアルタイムで検索履歴が積みあがっているところに遭遇して、どこかの女の子が今まさにエロサイトを巡回してオナニーしているんだなーというのを感じて感慨深くなったりもした。
エロサイトだけじゃなくて、「胸 小さい」「胸 マッサージ 巨乳」みたいなのとか、「彼氏 ちんちん 大きい 入らない」みたいな、絶対人には知られたくないだろうなと思えるような悩みやコンプレックスの検索履歴を見ることもできて、これも興奮した。
その後、Googleもいろいろログイン方法を進化させていき、今では2段階認証とかが必要になったからもうできなくなっているはず。
そもそもインスタができてパスワードでアルバム共有っていう風習もみなくなった(Picasaは消滅してGoogleフォトに統合された)
というわけで、気持ち悪すぎる覗きが趣味な変態の思い出話でした。
書きながら思い出してまた興奮してきたな。
この記事を書くにあたって、はてなのアカウントを新規で作成しました。いちおう、自分の所属している自治体のSNS利用上のガイドラインとかいうので、規定されているので書いておきますが「あくまでこれは個人の意見である」ことを念頭においていただきたいです。
まぁこのガイドライン自体もたいがいだなんだけれど。まぁ不祥事とかあってできたガイドラインなのでしょうがないだろう。
一応、話の都合上、自分の身分について明かしておくことにします。
中学校技術科教員です。「教員がこういうことを書く」ことについても賛否があると思うのですが、あまりにひどいので匿名ダイアリーで書かせてもらうことにしました。自分の中でまとまり切ってないので、整理の意味合いもあります。
ちなみに、見る方については、こんなこところでこんなことを言っているのが本当に教員かどうかもわかりませんので、話半分に聞いてもらえればいいです。
また、特定の商品や特定の団体が出てきますが、それは営業妨害になってはいけないので、伏せておきます。どの商品か団体かはわかりませんよ。
さて本文です。
ここ何年か、特に、コロナ禍が始まってから、教育現場では様々なものが導入され、その対応に関して失望しつづけてきました。
もうこの自治体のICTに関する教育行政には期待するところがないどころか、理不尽がまかり通っています。というかデタラメです。
ICT以外も「ちょっとこれはどうなのよ」というところがあるけれど、それは目をつぶるとします。
GIGAスクール端末の導入について、令和3年度末には全国の自治体でほぼ完了している旨のニュースが流れたのですが、その時点でうちの自治体は一定数の導入はあるものの、一人一台端末にはなっていませんでした。一台の端末を複数人で使い回す状態。
ところが、文科省が公開しているデータの中の、整備の遅れている自治体にうちの自治体がない。
おそらくであるが、こういう調査は自己申告なので、どのレベルで整備されてるかについては報告者の判断に任されているのだろうと思います。ただ、GIGAスクールの趣旨から言って、一人一人に行き渡っていない状態で整備完了になっているところに、不誠実さを感じました。遅れてるなら遅れてるで報告すればいいのに。令和4年度の1学期で整備は完了し、うちの学校は一人一台になりました。まぁこんなのはまだ軽い。
なんか、常時持ち帰りは想定していないんだと。基本は学校で充電、保管をするということで、持ち帰りは「緊急時を想定しての持ち帰りを年何回か行う」のだそうだ。
それそのものはいいとしよう。家に持ち帰ってもWi-Fiが整っていないお家も一部あるだろうし、そういう端末を教育的な方針で遠ざけている家庭もあるわけで、そこにいきなり端末が無理やり入ってくるのも賛否あるだろう。
正直言って、その辺はどうでもいいのだが、持ち帰りにあたっては、充電保管庫に保管されている端末を全部取り外して持ち帰る準備をしなければならないのです。電源タップから各端末のACアダプタを取り外し、端末とラベリングされた番号をあわせて貸し出します。当初、ACアダプタも貸し出さなくてもいいんじゃない?と思いもしましたが、ACアダプタを貸し出して家で充電して持ってきてもらわないと、持ち帰った次の登校日にはバッテリーが残っていない可能性があるので、肝心の授業で使えないことがあるのです。つまり、ACアダプタも貸し出さないとならない。で、持ち帰りが終了して学校にもどってきたらACアダプタを回収して、保管庫内に再配置必要があります。数百ある端末の一つ一つのACアダプタを。誰がやるの?学級担任か、情報教育担当がやる羽目になる。これが学期に何回かあると、普通に数時間が無駄に消えていく。これは教員の仕事なのだろうか。まぁ授業に付随する仕事だと思えばギリギリそうかもしれないが、そもそも持ち帰りと家での充電を基本にすればいらない仕事では…。そういう自治体もあるらしいし。充電保管庫無駄になるけど。何も生み出さない作業に数時間…。働き方改革とはなんなのか。
ちなみに「ACアダプタを持ち帰り用と、学校保管用に用意したらどうだろうか?」と提案したが、予算の都合で却下されました。まぁわからんではないけど。ということで、戻ってきたACアダプタを再配置するお仕事はなくなりませんでした。
・GoogleWorkspace for Educationに付随するサービスについて
商品名は伏せると言っておきながらバリバリ出てるが、商品自体には問題ありません。話の内容的に伏せたままではよくわからないのでここは出させてもらうことにしました。
GoogleClassroomはよくできています。機能的にもうちょっとほしいところはあるけれど、まぁこんなもんだろう。
問題はうちの自治体の運用で、Gmailの機能が切られています。ついでにいうと、チャットの機能も。わからんではない。
無用なトラブルは避けたいという意図があるのであろう。しかも、サービスの提供者側(使わせる側)としての責任も出てくるからね。
ただ、古くはインターネットの掲示板から始まり、今ではTwitterやInstagram、LINEなんかのコミュニケーションツールも、トラブルがあれば学校が対応しています。別に学校管理下でなくても。それがその子達に必要であれば必要な指導をするのです。
TwitterもInstagramも、LINEも悪くない。そりゃあ、学習段階にある、日本語もろくに正しく扱えない、ツールの使用が未熟な者がコミュニケーションツールを使ってトラブルが起こらないわけがない。子供の方にも仕方ない部分はある。我々はそれを分かった上で、指導をするし、そういったことを重ねていく中で、子供は、日本語を扱う能力や、ツールの使用能力が高まっていくのである。「使わせない」ことが、成長を阻害することもある。
そして、悪いことばかりではなくって、GoogleWorkspace for Educationのアカウントは ed.jpドメインなので、各社が用意しているエデュケーション版だの学生版だのアカデミックパックだのの利用に活用できるはずなんだけど、使わせないことによってこういう利用もできない。
本来なら各種オンラインサービスの登録もできる。大抵のサービスはメールアドレスを登録して、認証させるので、世の中にごまんとある、そのプロセスを学習させることもできる。
どうせ、ed.jpドメインでなくてもGmail自体は無料で作成できるのだし、類似のサービスはいっぱいある。だったら、学校管理下のGmailアカウントでサービスの利用に慣れさせておくのは十分教育的だと思う。
あと、中学校技術科的にはOnShapeとか、無料のCADがオンラインで使えるので、Gmail使えればそういう授業展開もできるのにな…。と思っています。
ちなみにそのGoogleWorkspace for Educationだが、当初、「アカウント名がほぼ連番」、「初期パスワードがアカウント名+サフィックス」というダメダメな仕様でした。
これがどのくらいダメダメかというと、
例:
メールアドレスは公開前提だからよいとしましょう。(メールアドレスはメールを受信するものだから、広く公開されている。公開しなければメールは来ない)
問題はパスワードで、自分のアカウント名とパスワードから、他人のパスワードが推測できてしまうところがいけません。アカウントが送付されてきたときに目を疑いました。
そして、さすがにこれはまずいので、校長に進言し、文書まで作成して提出しました。その後も対応はされなかったので、多分、校長で止まっていたのだろうと思います。もしくはその上に届いたけど考慮されなかったか。
一応、何回か、初期パスワードから変えさせるように、という通知は来ましたので、自分の進言か、同様の進言が他からもあったか、だろうと思いますが、そもそも、初期パスワードを配布する時点でランダムパスワードを生成して割り当てるのが正解だと思います。
自分の学校は、全学年技術科の授業でアカウントとパスワードの話をしながら変えさせましたが、そもそも、正常に割り当てていればいらない指導だったし、それで週1時間しかない授業内容を持っていかれるのは痛かったのですが、しなければならない指導だったので、涙をのんで(大げさ)行いました。ただ、全ての中学校の技術科の先生が同じような対応ができるとは限りませんし、小学校に至っては…。
そして、1年ほど経った頃、別自治体で同様の(こっちはパスワードが誰もが同じだったらしいので、もっとよくないけど)設定でいじめによる自殺があり(これはニュースになっているので引用して、伏せません)、
https://www.asahi.com/articles/ASP9K4D3QP9KUTIL017.html
https://piyolog.hatenadiary.jp/entry/2021/09/17/162639
痛ましい事件です。今回は不適切なパスワードの設定が、不正ログイン、いじめをよび、結果自殺ということで、人が亡くなることとなりました。不適切なパスワードの設定が、遠因で人がなくなったのです。もし、パスワードの設定が適切であったなら、こんなことは起こらなかったかもしれません。
この事件の後、もう一度教育委員会の中の人に連絡をして、「町田の件、まずいですよ。うちでも起きかねないですよ。」と言ったら「なにそれ?」だったので、説明をして「担当部署に言ってみる」ということになりました。その後、2ヶ月ぐらい経ってかな?小学校の中学年までは強制的にパスワードをランダムパスワードにするという通知がきて、小学校高学年~中学生は絶対変えるようにという通知が来ました。町田の件が起こるまで事態の重要性に気づいてなかったか、軽視していたことが伺えます。何なら起きてからも対応が遅いです。ランダムパスワードに強制的にできるなら最初からやっとけば…。ちなみに町田の件には一切触れず、今までの運用がどうだったのかについても触れられていません。本当に残念な自治体…。
中学校技術科では「ネットワークを利用した 双方向性のあるコンテンツ」というのを教えることが学習指導要領で規定されています。
この内容を教えることは絶対なのですが、例え技術科の教員といえどもプログラミングに長けている者ばかりではありません。また、教員不足のため、他教科が専門であっても臨時で技術科の免許を付与されている者もいます。
で、今年度、某プログラミング学習サイトが導入されたのですが、これが控えめにいって酷い。
まぁHTML+CSSにJavaScriptの学習なんですが、画面の指示に従って入力していくだけで、その仕組みについて何の説明もなく、「これを入力すると文字が大きくなるよ」「これを入力すると文字の色が変わるよ」と、何の思考も促すことなくサイトが完成していくという…。
酷いのは内容もそうなのですが、その導入までの経緯や、導入後も酷くて、
まず、昨年度、教育委員会が一括導入前に無料で使える期間があって、教育委員会が事後アンケートを取りました。それはいい。
ただ、今年度からは一定のライセンス料が一人ひとりにかかるということで、昨年度のアンケートの際に、「無料ならまだしも、少なくともうちはいらない。それだけのライセンス料を教育委員会が払えるのであれば、別の用途に使用してほしい。その方が有効である。」と書きました。
そして、「好評だったので、導入することになりました」となり、「税金で買っているから使用は強制です」となりました。
前項でも書きましたが、中学校技術科は週1時間で、やるべき内容がみっちり詰まっており、そんな教育効果が疑問視されるようなものが入る余地はありません。税金で購入しているのは確かにそうなのですが、そもそも「いらない」って言ったよね?という感じです。
で、ずっと使用しないでいたら、「○○先生はいますか?」とその運営会社から電話が。そして、「いつ使いますか?」と使うこと前提で聞いてきて(まぁ会社的には一括導入してるんだからそうだろうけど)、「いや、当該内容の学習は別のものを使用して別のアプローチでやるので、うちの学校は使用しません」と答えました。
まず、「○○先生がどの学校にいて技術を担当している」という情報は教育委員会から流れているのでしょうか。それは運営上必要な情報なのでしょうか。
そして、教師には教育の専門家としての見地から、ある程度教材の選択の自由(どのような教材で教えるか)が認められていて、公権力によって特定の教材を強制されないようになっている(最低限の大綱的事項は強制されるが/これが指導要領)はずなのです。明らかにこれは最低限のラインを超えていると考えられます。もちろん、絶対的な教授の自由は認められていませんが、一定程度は保証されると認められています。
もうね、これは導入ありきで進んでいて、聞いた話によると(あくまで聞いた話で信憑性は怪しいのでそこは注意)「プログラミング教育はこれから重要だからという偉い人(偉い人は伏せます)の意向で繋がりがあるらしいその運営会社のを導入することは既定路線だった」という話。しらんけど。
だってね、まともな技術科の教員だったらこれ好評になるわけないのですよ。少なくとも自分の周りの人たちからは不評。まぁ自分の周り以外が好評だったのかもしれませんが、それはちょっと考えづらいかなと。だから「好評だったので」が怪しくなってくる。
加えて、この会社、いわゆる「~部門 No.1!」広告を公式サイトで打っているんです。「~部門 No.1!」広告っていうのは、調査会社に、自社の商品が1位となるような調査をさせて、あたかも自社製品に人気があるかのように見せる広告で、「ある特定の時期のある特定の対象のある特定の調査においてはNo.1ですよ」というものです。
優良誤認表示に近いので広告手法としてはちょっと…というものです。
仮にも情報教育の教材を扱う会社がこんな広告手法を使うこと自体どうかと思います。まぁある意味不適切な広告の例として教材になるかもしれませんが。
No.1の根拠となった調査自体も調べてみましたが、「先生が~」で始まる調査の調査対象が先生以外の対象を相当数含んでいたり(まぁこれは調査会社の方の問題なんだけど)とまぁ胡散臭い。
んで、この前、ついに教育委員会側から「そこをなんとか使ってくれんかねぇ」という電話がかかってきました。
担当の方は知り合いでもあって、恩もある方なのですが、「多分これ板挟みだな…」という感じなので、その方を立ててユーザー登録だけしようと思います。
私自身は「なんで使わないんだ!税金なんだぞ!」と呼ばれても上記記事のように答えるつもりではいたのですが、その人が困るのは本意ではないので、ユーザー登録だけしようと思います。
くやしいけど。
ということで、相当黙っていたのですが、そろそろ限界なので、匿名ダイアリーで吐き出します。
本当にうちの自治体のICTに対する教育行政はダメだと思います。最初のうちは言えば変わるかな…と思ってたけどもはや期待していませんし、これからも期待しません。ひどい。
何年か前に「あなたのIDとパスワードを手に入れました」的なメールが来て、どこぞのサイトがパスワードを平文で保存していたらしく、確かに自分が使っているIDとパスワードのひとつだった。
ただ、IDは他のいくつかのサイトでも使っているがパスワードはサイト毎に変えているので放っておいた。
それが、最近になって複数のサイトから覚えのないログイン通知が来たので確認したところ、確かに不正ログインされたようであった。
サイト毎にパスワードを変えていたと書いたが、内容が「固定文字列+そのサイトの略称」というものだったので、今までは流出したパスワードをそのまま入力するだけだったクラッキング用のプログラムが、サイトの略称と思われる文字列を置き換えるようになったのだと思われる。
同じ様な方法でパスワード管理をしていた人は注意していただきたい。
パスワードで何文字以上、小文字大文字数字記号全部使って、定期的に変えてとか要求多すぎ
パソコンの性能が上がったから総当り全部終わるのに◯日しかかからないんだよーなんて言ってもそれzipみたいな手元にあるのが前提
ネット経由なら1回の試行で1秒前後はかかるんだから総当りでかかる時間は生きてる間に終わらない
まず先にサービスが終わってる
そもそもある程度しっかりしてるところなら同じIDへの試行で何連続か間違えたらロックされる
総当りは成り立たない
考えを変えてパスワードを固定でIDを変える方法もあるけど、それってpasswordみたいな簡単なパスワードを設定してる人が困るだけ
実際10年以上前に作ったサブアカは適当にキーボードを打って作った想定し辛い文字列だけど小文字のみで6文字とかその程度だったけど未だに不正ログインとかない
パスワード設定時に要求するなら文字数や文字種別とかじゃなくて攻撃に使いそうな辞書に乗ってないことだけのチェックでいいんだよ
