北海道銀行もセキュリティ強化

雑記

もう使っていない銀行からセキュリティ強化を案内するメールが送られてきた。
そこで久しぶりにログインしてみたら、思ったより口座に残金があった!
それは置いといて。

「合言葉認証」の導入について

この機能は、画面上に表示される全10問の質問の中から3問を選択いただき、お客様ご自身しか知りえない回答を登録いただきます。
以後、通常使用されている環境以外からログインされた場合などにログインネーム、ログインパスワード、ワンタイムパスワードの入力の後、今回登録いただいた質問が表示される場合がございます。

※回答内容は「漢字」、「ひらかな」、「カタカナ」、「数字」、「アルファベット」、「西暦」、「和暦」などすべて登録時に入力いただいたとおり記録されますので、登録内容をお忘れにならないよう特にご注意願います。
※質問への回答は「全角16文字」以内で登録可能です。(半角文字は登録できません。)
※一旦登録いただいた内容は変更できません。
※万が一、登録した内容をお忘れになった場合は下記、道銀ダイレクトバンキングセンターへお電話いただくか、最寄の本支店窓口で書面により登録内容初期化のお手続きをいただき、後刻再登録が必要となります。

要するに変更不可能ないわゆる全角文字で構成される、複数のパスワードってことかなぁ。
質問が、母親/父親の旧姓とかなら「お客様ご自身しか知りえない回答」にはならないけど。
どんな質問の選択肢が用意されるだろうか。

※登録作業は28年2月15日以降、初めてログインいただく場合に、すべてのお客様を対象に操作いただきます。(登録作業が完了しない場合はサービスへログインできません。)

合言葉認証ってのはまだ見たことないな。
期日が来たら、暇なときにでも試してみる。

NetGear の EX6100 を firmware update したらログインできなくなった

雑記

firmware を V1.0.1.28(だったかな?) から V1.0.1.36 に upgrade したら web UI が刷新されて "NEW EXTENDER SETUP" なるボタンが出てくるのだけど初期設定が完遂できない。
登録ボタン押下すると html やら js がアドレスバーに url と一緒に付加されて遷移しようとするのでこいつら大丈夫か?という感じはある。

        if(cf.login_ng.value !="ng-hide")
        {
          $('.loginInfo').css('display','none');
        }

ng-hide じゃないと loginInfo (User & Password input field) を隠してしまうみたい。

疲れて眠くて色々と書くのも調べるのもめんどくさいので解決方法だけ。

  • Chrome でトップページを開く
  • 右クリックで要素の検証
  • loginInfo のノードの css から display = none を削除(カーソル合わせて Delete キー なりなんなり)
  • 普通に前のユーザとパスワードを入力する
  • ログインできるはず

設定からパスワードと QA を設定すると、次回からは普通にユーザとパスワードが入力できるようになる。
login_ng = ng-hide になって EX6100 から帰ってくるということでもある。

要するに新しい Web UI では秘密の質問による復旧手順を用意してあって、その秘密の質問が未設定だと "NEW EXTENDER SETUP" が表示されて初期設定を強制的に要求するのだけど、その機能がどうやらバグってるようだということ。
去年の 9 月に firmware upgrade されたみたいで、更新した人もいるだろうにネットに情報上がってないのなんでだろう。。
ちゃんと wifi やらも動いてるのに、まさか firmware の upgrade に失敗してるということもなかろう。

この製品の javascript 読んでると Netgear 製品全般について色々と思うところはある。

日本の処方箋(マイナンバー)

雑記 北國新聞

またこの新聞のネタ

軽減税率の話を追いかけてみると新聞各紙にいらいらしてくる。どんどん廃刊になればいいのに。。
というわけで、しばらく前にみかけた (2015-12-06 付け朝刊) 記事にコマツの坂根という人がマイナンバーに関することを書いてたんだけど、めちゃくちゃだったのでここでつっこんでおこう。


坂根氏: 米国で勤務したことがあり公的年金の給付を受けている。そのための資料の発送元はマニラ。米国番号制度のおかげで手続不要で簡単。

海外のよく分からない土地の人に勝手に住所を含めた個人情報渡されて簡単に名寄せできるんなら、余計に怖いわ。
それに日本国内で転居したときはどうやって転居先を検知できるんでしょうね。ちょっと調べただけじゃ分からなかった。
坂根さんに関しては国内では転居してないのでしょう。そりゃー届くよ。


坂根氏: 日本の社会保障費は高齢者を優遇している。マイナンバーを機に見える化されれば是正を求める声が上がる。

優遇されてることはすでに「見える化」されて知っているんだー。
なんでいまだに是正を求める声が上がらないんでしょうね。聞こえないふりをしているのでは!


坂根氏: スウェーデンでは医療費が膨らんで財政が厳しいことを番号制度のおかげで国民が知っているので風邪ぐらいなら我慢する。

スウェーデンの人に限らず欧州の人は風邪ひいたらすぐに仕事を休むことには言及しないの、なぜ?
風邪ひいてるのに職場こられる方が迷惑なの知らないなら、この人も手と頭を動かす仕事はろくにしてないな。
番号制度とも関係なくて、医療費が膨らんでるのはマイナンバーと関係なくほとんどの国民は知ってるだろうし、そんなことで正当な医療活動も受け辛くさせるのは飛躍しすぎ。
お前は誰に何を我慢させたいんだ?戦時中のつもりか?


全般的にマイナンバーとはあんまり関係のない話で、制度のメリットを説明する内容にもなっていない。
子育て世代重視するような姿勢を持ち出したのは人気獲得のためだと理解している。
中小企業でも大企業でも、一度代表を退いた後、相談役になったタイプの人ってなんでこういう大雑把になんとなく理解しただけで満足しちゃう人ばかりになってしまうんだろうね。
おそらくは自分で手を動かしたり頭を動かしたりする癖がついていないから、世の中の事象を細部まで考える癖がついていないのだろう。


こういう会社経営者の思い込みを一方的に書き散らかしてほったらかしなところもとっくに時代遅れだし、軽減税率で守る価値なんぞないよ。
こんな場末のブログでつっこみを入れても誰も読んでくれない。。

地方紙で一番読まれるのは「おくやみ欄」と聞いたことがある。
あれ、電子化して検索できるようにしてくれればかなり便利になるし新聞とる人も減るだろうな。

津幡町の特産品おまん小豆にまつわる伝承

石川県 雑記

# この題名のせいで BAN されたりしないだろうな。。

たまたま目にした北國新聞 2015-11-17 付の記事に不気味な話が載っていた。
おまん小豆という津幡町の名産品があって、名前のせいでちょっと前に全国でも話題になってた記憶がある。
私はこの伝承も特産品のことも全然知らなかったのだけど、この日の記事は読んでたら背筋が寒くなった。

普段はこんな記事は書かないのだけど、ネットに放流したい気分になったので記事の一部を文字起こししておく。
記事内の一般人の実名は伏せ字にするが、記者の名前はそのままにしておく。
北國新聞が嫌いなことは最初に言っておくけど、当該記事に出てくる人物については批判する意図はまったくない。

対外的な伝承は以下の通りらしい。(当該記事より引用)

津幡町の観光資料によると、「おまん伝説」は藩政期、西砺波郡埴生村(現小矢部市)でたびたび決壊するため池「埴生大池」を治めるため、埴生村大字綾子村の村役、八十嶋家で働いていた娘おまんが志願して人柱になったと伝わる。家族や八十嶋家の主人らが止めても、おまんの決心は固く、村人が涙を流す中、池の底に埋められたという。

記事の主題はこちら。津幡町は石川県、小矢部市富山県
県境をまたいで隣り合っていて、現在では道路も整備されて交通の便は良い。

津幡町では水害から村を守るため、すすんで身をささげた少女の美談として伝わるが、小矢部市では無理やり人柱にした悲話となっている。一つの物語が県境をまたいで異なる内容になった謎を追った。(谷内俊介)

この商品の特産化を進めた方は特産化を進めるに当たり、おまんに関する資料を集めたらしい。

資料によると、大池を氾濫させていたのは池の主である大蛇だ。村人に少女を差し出したら池を荒らさないと告げ、村人が必死で探したところ、見つかったのはおまんだけだった。八十嶋家で働いていたのはおまんではなく、おまんの母親で、村人はおまんの手足を縛って人柱にしたという。

○○さんは「年貢の取り立てが厳しかった八十嶋家を悪く思う人が、当て付けで悲話にしたのかもしれない」と津幡の内容の方が真実なのではと推測する。


嫌われるほど取り立てが厳しい村役が使用人の娘を人柱にするぐらいのことを、ためらったりするだろうか?
そもそもの伝承によると池の底に埋めたことになっていて、埋めた人がいるわけだから、志願するのを止めたというところが嘘ではないだろうか?


迷信の強い時代にこういった悲話があることは仕方のないことだけど、それを改竄して美談にしたということであれば、年端もいかない若者に事実上、強制させた神風特攻を、志願制だったということにして美談化した話がオーバーラップする。
それを考えてこの記事を読むと身の毛がよだつほどに恐ろしい。


北國新聞は地方の産経と呼ぶ人もいるぐらい保守色の強い論調の新聞だけど、この新聞記事は中立の内容といえるもので読んだ人に判断を委ねているようにも読める。
これを読んだ人はどう捉えたのかな。

北洋銀行名義のあやしいメールが送られてきた。

雑記 ネット

もう引越して使っていない地方の銀行からあやしいメールが送られてきた。

Subject: パスワード等の管理には十分ご注意願います
From: hokuyobk@finemax.net (北洋銀行

北洋銀行なのに finemax.net ? hokuyobk ? なにこの怪しさは。。
ユーザ名からドメイン名まであやしい。

ドメイン名 finemax.net を whois してみる。以下は抜粋。

String for search [ FINEMAX.NET ]


[Domain Name]     FINEMAX.NET
[Status]          clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited
[Nameserver]      HAOSMTP.FINEMAX.NET
[Nameserver]      NS.FINEMAX.NET
[Nameserver]      NS02.IDC.JP
[Nameserver]      NS03.IDC.JP

[Registrar]
        FirstServer,Inc.
        LANA ID : 474
        http://do-reg.jp
[Creation Date]   2001-11-28 10:40:49(JST)
[Expiration Date] 2016-11-28 10:40:49(JST)
[Last Update]     2015-11-01 00:15:26(JST)

[Registrant]
        Hitachi,Ltd.
        Name:           tatsuo terada
        Address:         isogo1-2-10 yokohama-shi isogo-ku Kanagawa, Japan

[Admin Contact]
        Handle:         DRYC0043
        Organization:   Yahoo Japan Corporation
        Name:           Yahoo Japan Corporation
        E-Mail:         dns-admin@idc.jp
        Postal-Code:    160-0004
        Address:         4-29 Yotsuya Shinjuku-ku Tokyo, JP
        Phone-Number:   03-4354-0230
        Fax-Number:     03-4354-0087
[Tech Contact]
        Handle:         DRYC0043
        Organization:   Yahoo Japan Corporation
        Name:           Yahoo Japan Corporation
        E-Mail:         dns-admin@idc.jp
        Postal-Code:    160-0004
        Address:         4-29 Yotsuya Shinjuku-ku Tokyo, JP
        Phone-Number:   03-4354-0230
        Fax-Number:     03-4354-0087

日立の所有物か。Yahoo Japan とのコラボってのがイメージと違うな。

そういえば北洋銀行にはシステム用の開発子会社があって、北洋情報という名前だった気がする。
金融関係はお金があるから給料はこの業界にしては割といいという噂があったけど、中の人は、おっと誰かきたようだ。

http://www.hokuyois.co.jp/

finemax という日立のソリューションがあるらしい。

http://www.hitachi.co.jp/products/it/finance/solutions/application/channel/netbanking_kojin/index.html

ゆうちょも finemax.net のドメインからメール送ってくるみたい。

http://www.jp-bank.japanpost.jp/information/crime/inf_crm_email.html


というわけで finemax.net はどうやら北洋銀行からの本物のメールのようです。 SPF も pass してますからね。


しかしながら、北洋銀行のほーむぺーじはこちらですね。
http://www.hokuyobank.co.jp/

https からわざわざ http にリダイレクトしてあるので、パスワードの管理に注意しろとかいうメールを送る水準ではないように見えます。
せっかく証明書を取得してるのになんでこんなことを??

IT 音痴な日本のインフラよりの金持ち組織があちこちの IT 事業者からいろんなドメインとソリューションを売りつけられてごちゃっとしている構図ですかね。

ついでに。以下がメールの本文。

平素は北洋ダイレクトをご利用いただき、誠にありがとうございます。

最近インターネットバンキングの不正利用被害が全国的に増加しています。
「会員番号」や「パスワード」・「乱数表」等の管理には以下の通り十分ご注意願います。
1.パソコンやスマートフォンの本体・記憶媒体(ハードディスク・メモリ)への保存はお避けください。
2.クラウドサービス・外部ストレージサービス等への保存はお避けください。
3.定期的なパスワード変更をお願いします。

なお当行では無料のセキュリティツール(SaAT Netizen や Secure Starter)をご用意しています。是非ご利用願います。

なお、このメールはすべてのお客さまへ配信しております。
本アドレスは送信専用です。返信されても回答できませんのでご注意ください。

SaAT Netizen と Secure Starter

https://www.netmove.co.jp/security/saat_netizen.html
https://www.netmove.co.jp/security/s-starter.html

hosts ファイルの監視と不正実行監視とかなら一般的なウィルス対策ソフトと変わらなさそうに見える。
銀行各社各様のセキュリティ対策ソフトがあちこちで推奨されてるみたいなので、真面目にインストールしてる人はどんどんパソコンが重くなっていくのでしょう。


あと、定期的なパスワード変更はもう推奨すんな、ということをお約束的に。


北洋○○のことを多少知ってるが故にいろいろとつっこみたくなったのでした。

NTT 光ルータに undocumented api があった

雑記

ここに書いてあったのを分割した。NTT 西日本のフレッツ光ルータでスマホを内線に登録した - まにっき

apk を取得してデコンパイル

この AGEphone の設定してたときにマニュアルを読んでみても、内線を登録するためのパスワードをどうやってルータ側から自動的に取得しているのか分からない。ルータのパスワードを変更して使っていれば設定画面の項目は取得できるわけないよね?
ワンタッチでできてお手軽!とか AGEphone 楽チンとかどこかに書いてあったので、web 設定画面にログインするための user/password セットの初期値はそのまま "user"/"password" なので、みんな初期値のまま使っていて、それを元に web 画面から抽出してるのかな???

気になって仕方ないし、純粋な研究目的なのでデコンパイルしてみました。

com/ageet/AGEphone/NTT/Provisioning/NttProvisioningHttpClient.java

によるとルータの IP アドレスは 192.168.1.1 に固定されている。
このコンストラクタを呼び出してるところ箇所からゲートウェイで上書きされてるところは、生成された java ソース検索してみた限りでは見当たらなかった。
こちらの自宅ではひかり回線に移行する前のネットワーク構成を維持するために、ルータを別のアドレスに変更して運用しているので、ここで取得に失敗していた様子。

結論としては

http://192.168.1.1/cas_tel_list/
http://192.168.1.1/cas_tel_conf/

というリソースに管理パスワードなしでアクセスしてパスワードなどを取得していた。

wget で 取得してみる。ntt.setup というドメインはルータそのものを指していて、ルータを DNS サーバとして利用しているときのみ使うことができる。


wget --no-proxy "http://ntt.setup/cas_tel_list/"

取得できる内容はこんな感じ。

ResultCode=0000
ConfList=5,6,7

ConfList には、未接続の内線番号が入ってくるみたい。


wget --no-proxy --header "Content-Type: application/x-www-form-urlencoded" "http://ntt.setup/cas_tel_conf/" --post-data="id=***MAC アドレス***&ip_tel_num=5&term_type=1"

ip_tel_num は ConfList に載っている一つ目の番号を書いてみる。
MAC アドレスに入れる値は内線番号一覧に登録済みの MAC アドレスのうち、最初の一つ目じゃないと拒否されるように見える。
で、パスワード諸々が取得できる。

ResultCode=0000
ip_tel_num=5
username=0005
password=*********
rtpport1=
rtpport2=
dscp=46
sipsv_addr=***********
sipsv_port=5060
regsv_addr=***********
regsv_port=5060
sip_domain=***********

↑これ、パスワードって呼び名よりは PSK (Pre Shared Key) と思えるもので web 画面でもマスクされてないから、端末に直接アクセスできる人にとっては機密情報ではないという認識なのかもしれない。だけど、この情報があれば外線も発信できてしまうわけで、そうなるとちょっと前にニュースになってた海外に勝手に電話をかけられて高額請求されたとかいう話も思い浮かんでくる。

http://www9.nhk.or.jp/kabun-blog/220644.html

こういう仕様があるのを見てしまうと、他にも今のご時勢で考えれば微妙なバックドアが仕込まれているんじゃないかと疑ってしまう。

この隠れたリソースについてはかなり昔からあって、変わっていないみたい。この記事によると 2007 年ぐらいの NTT 提供の製品にはついていたようだ。
実際は中の人達や関係者であればこのことを知っていたのだろう。

パーソナルフォン(WI-100HC) 無線LAN電話器 - rabbit51

こんなに昔からあるものなら、今さら個人のブログで公開しても問題ないよね。

その後

AGEphone の導入マニュアル、後から読んでみたら P4 の下の方に書いてあった。

http://flets-w.com/wi-fi/scene/and.pdf

③ホームゲートウェイIPアドレスを「192.168.1.1」以外で設定している場合
→ホームゲートウェイIPアドレスを192.168.1.1」に変更し、再度実施
※ 「192.168.1.1」 以外では内線番号を自動で取得することが出来ません。

ははは。一通り設定が終わって色々動いてるんだ、簡単に言いなさんな。
プライベートアドレスはおまえらの所有物じゃないんだよ。
こういうところにも NTT の仕事の流儀を感じてしまう。

NTT 西日本のフレッツ光ルータでスマホを内線に登録した

雑記

ひかり電話に内線設定という項目を見つけたので自分のスマホを登録してみた。
レンタルしている NTT 西日本の PR-500KI という機種のルータ。
web 画面からの設定はみたままで簡単なので割愛。

スマホアプリの設定にてこずったのでそこだけ記事にする。

スマホの設定

SIP 通信をしてくれるアプリが必要なので、最初に試したのが NTT 東西で推奨されている AGEphone。

カンタン設定 | スマホdeひかり電話 | フレッツ光公式 | NTT西日本
https://play.google.com/store/apps/details?id=com.ageet.AGEphone&hl=ja


AGEphone の設定がまったく分からない。
自動で設定してくれると書いてあるのだけど、どうやっても勝手に設定してもらえない。


で最終的に落ち付いたのが Zoiper。

https://play.google.com/store/apps/details?id=com.zoiper.android.app&hl=ja

Zoiper

Zoiper Config -> Accounts -> Add account

Host: ルータの IP アドレス
Username: 内線番号
Password: 個別設定のパスワード
Authenticated User: 個別設定のユ−ザID

VPN で自宅に接続すれば自宅の回線から外線発信できるので iijmio を使っている身としては電話代がお得になる。
ちなみに Zoiper での内線発信するときは、内線番号をダイアルして外線と同じように発信ボタン押すだけ。

AGEphone

AGEphone の簡易設定より

ドメイン: ルータのIPアドレス
ユーザID: 内線番号
パスワード: 個別設定のパスワード
認証ID: 個別設定のユ−ザID

うまくいった Zoiper の設定から『ユーザID』 に「内線番号」を『認証ID』 に「ユーザID」 を入れればよさそうな感じがしたので AGEphone でも試してみたら接続できた!できたけど使わないからアンインストール。


ルータに関する別のことを分割した