インターネットは3年くらい前から始めたのですが、当時の雑誌に「cookieは危険というのは幻想。実際は全く無害」といった記事があり、初心者の私に強く印象づけられました。
 それ以来、アングラ系サイトなどをまわるときにもcokkieは躊躇なく受け入れてます。
 ところで最近会社のPCがウィルスに感染する事件が起こり、ネットワークセキュリティツールについて調べていたところ、「cookieによる個人情報流出を防止!」などと謳っているセキュリティツールがありました。
 結局の所、cookieによって個人情報が流出するというのはどれくらいのレベルのものなんでしょうか?
 アクセス時刻やIPアドレス、掲示板書き込みに使用したハンドル名程度なら気にしないのですが、たとえば、特定のサイトへのログオンパスワードが別のサイトの管理者の手に渡る、などということがあり得るものなのでしょうか?
詳しい方回答いただけたらうれしいです。

このQ&Aに関連する最新のQ&A

A 回答 (5件)

>これはJAVAを利用して、ということですか?



VBマクロです。マイクロソフトをさまよっていたらば.VBマクロで.絶対ファイル名がわかりうるならば.その内容はすべて読み取れると記載があったと思います。アドレスは忘れました。

したがって.windowsやprofileやprogramfileの中身はすべて筒抜けと考えています。又.多くの場合に.導入時のディレクトリー(ホルダー)名は.初期設定のままでしょうから.この内容も筒抜けです。

あるアドレスでメモ帳を勝手に起動するサイトがありました。同じように.特定のソフトを起動して.そのソフトが起動しないと接続できないようなサイト.あるいは特定のブラウザであることを要求するサイトは.条件によっては.中身が相手に筒抜けであると感じています。というよりも.該当ソフトに元々細工がしてあるか.該当ソフトに細工するソフトを使用させる(変な画像閲覧用ソフトの使用で.電話番号が書き換えられた方が多くいますね)ことで.いくらでも可能でしょう。

VBマクロを使用できる環境下で.VBマクロの動作を一つの孤立したタスクとして.みずからが作成したファイル以外のファイルのアクセス権をなくし.終了時は作成したファィルすべてを削除し.システム情報に対するアクセス権を制限し.仮想システム情報を与える(当然ですが.プライバシー情報は与えないか.疑似情報を与えるようにします)ようにならないと.筒抜けだと思います。
簡単に言えば.VBマクロを使用したウイルスソフトが動作できなくなるような環境.関係ウイルス駆除ソフトが必要なくなるような環境でもない限り.筒抜けだと思いますし.筒抜けになるようなソフトの開発も容易でしょう。
個人での対応としては.複数の機械を用意し.インターネット接続用に中身が知れ渡るような偽装環境を作成したり.インターネットから入手したソフトを動かすだけの専用機を用意して(通信関係を細工されても.通信していないのだから影響しない)使ったり.個人情報保存専用の機械(通信していない.市販ソフトのみをしようしておけば.影響を受けない.ソフト会社の通信サポートを受けなければ.ソフト会社に中身を知られることがない。性悪説で行動を取ることが.セキュリティの確保につながります)を用意したりすることでしょう。
    • good
    • 0

>cookieを媒介として流出するということはあり得るでしょうか?



知りません。ただ.管理者が流失しているともとれる内容はあります。
一応.著作権法によって.匿名で投稿した文章などは.匿名であることを守る義務が課せられています。次に.通信会社は.通信内容の保秘義務が課せられています。
しかし.個々の商店が入手した顧客名簿に関する保秘義務は.顧客に対してはありません。ただ.各商店の従業員は.商店に対して顧客名簿の保秘義務を負う場合と負わない場合があります。

cookie の内容についても.パスワード等をそのものずばりを送信している所もありますし.暗号化しているところもあります。又.ブラウザによっては.独自の内容をファイルヘッターとして送信しているものもあるようで.内容が公開されていないことからosが知っている登録名・シリアルナンバー等を送信している可能性があります。つまりブラウザによっては.特定のcookieが送られてきたときに.osが知りうる情報を送信するように作成又は変更されている可能性があります。
javaマクロ命令によっては.メールアドレスを送信するような内容が作れます。

コンピューターセキュリテイの考え方にたつならば.
windowsの構造上osが知りうる情報は.すべてcookieを媒介として流出するように.ブラウザ等を改変可能です。(例としては.ieの障害復旧プログラムで.システムファイルが簡単に変更されています。もしこのプログラムに細工がしてあったならば.全情報は該当プログラムを配っているマイクロソフト社に通知されます)
したがって.十分osについて知りうる人物であるならば.容易に実現可能です。
なお.本来のosであるならば.OSが知りうる情報は.タスクやユーザーによってその接続権が制限され.os作成者ですら.該当ユーザーに化けないと取得できないようになっているはずです。システムファィルの更新は.通信で行わず.郵送など物理的に切断された状態にない限り信頼できません。
又.すべての送信内容は.マニュアルとして記載され.公開されてなければなりません。
オーム心理教関係者が官公庁のソフトを作成し.そのセキュリティで騒動がありましたね。マニュアルに記載のない内容は.ソウトウェア作成者がセキュリティ破壊を行っていると解釈できます。

マイクロソフト社ではこのようなセキュリティに対応をとるという話がありません。
インターネットに接続している以上.接続しているコンピューターの保管しているすべての情報は.cookieとして流出可能です。ただ.これを実現した人物がいるか.実施しているかは知りません。

この回答への補足

詳説いただきありがとうございます。
>インターネットに接続している以上.接続しているコンピューターの保管
>しているすべての情報は.cookieとして流出可能です
これはJAVAを利用して、ということですか?

   IEブラウザの「セキュリティオプション」で安全度「中」以上ならば、
   JAVAはローカルリソースにアクセスする事は出来ない
といった内容の文章を見かけたことがあり、安心していたのですが……。

補足日時:2001/06/24 12:20
    • good
    • 0

以下の内容はいかがですか



参考URL:http://www.hyuki.com/security/effpriv.html

この回答への補足

教えていただいたページを読んでみると、
「サイトの管理者が訪問者に一意のIDを付与し、そのIDの持ち主のサイト内での行動と関連づけてデータベース化されることもあり得る」
というように理解したのですが……。

 そうなると、通販サイトなどで入力した氏名や住所、また購入した商品と
(cookieによって)付与されたIDとを関連づけてDB化することも可能と
いうことになりますね。
 こういった情報がそのサイトの管理者だけが握っているのならまだいいのです
が、流出すると困りものです。
 cookieを媒介として流出するということはあり得るでしょうか?

補足日時:2001/06/23 14:29
    • good
    • 0

以下の内容ではいかがでしょうか。



参考URL:http://www01.tcp-ip.or.jp/~world/document/cookie …
    • good
    • 0

cookieっていわば覚書みたいな感じでサイトの運営者が独自のパラメータなどをクライアント側に保存する機能ですから、わかりやすいパラメータだと抜かれちゃう可能性はありますね。


例えばクッキーの中身が "ID=AAAA","PASS=BBBB" じゃ目の前にエサをぶら下げているのと同じでしょう。

確かブラウザにはcookieの設定が3つくらいあって「すべての要求を受ける」「まったく受けない」のほかに「オリジナルのサーバからの要求に対して送信する」というのがあると思います。
とりあえずこの状態にしておけばそれほど大きな問題は起きないと思います。

この回答への補足

>cookieっていわば覚書みたいな感じでサイトの運営者が独自の
>パラメータなどをクライアント側に保存する機能ですから
cookieの本来の目的はそうだと思いますが、「悪意のあるcookie」という表現がされているものもあるようです。こういうcookieは一体何をしようとしているのでしょうか?

>例えばクッキーの中身が "ID=AAAA","PASS=BBBB" じゃ
>目の前にエサをぶら下げているのと同じでしょう。
つまり、Aというサイトのcookieの中身をBというサイトの管理者がのぞき見ることは(IDとPASSWORDさえ判れば)技術的に不可能ではないということですね。

>確かブラウザにはcookieの設定が3つくらいあって
>「すべての要求を受ける」「まったく受けない」のほかに
>「オリジナルのサーバからの要求に対して送信する」というのが
>あると思います。
アドバイスありがとうございます。
IE5.01を使用しているのですが、「インターネットオプション→セキュリティ→レベルのカスタマイズ→cookie」とすすんでみても「コンピュータに保存されているcookieの使用許可」と「セッションごとのcookieの使用許可(保存なし)」という2つの項目しかありませんでした。

補足日時:2001/06/23 14:15
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Qセキュリティアナリストさんへの質問です。 私は将来的にセキュリティアナリストとして働きたいと思ってい

セキュリティアナリストさんへの質問です。
私は将来的にセキュリティアナリストとして働きたいと思っています。
その為に、資格等を取得したいのですが、業務上であった方が良い資格、どのような技術を頻繁に使うかを教えて欲しいです。
宜しくお願いします。

Aベストアンサー

資格なら情報処理安全確保支援士
とかがあります。
ただ、IT業界は、医者や弁護士と違い、資格がなくてもできます。
介護職ですら資格が必要なのに。
PG/SEも資格はありますが、こんなのは新卒時で入社するときの参考程度にしかなりません。

私はセキュリティーホールとか見つけることができるし、ウイルスもどきも作れます。
過去にMSにセキュリティ問題を指摘し、修正パッチを世界に配信させたこともあります。

https://www.exploit-db.com/
※↑ウイルス対策ソフトを入れていると見れない場合があります。
※ウイルスの定義は別として、ある程度感染して被害が出て、ウイルス対策メーカーに認識されなければ検出されません。


ここには実際の攻撃コードがたくさん乗っています。
ここに乗っているのは既に対策されているので使えないと思っていいですが、
最新の対策をしてないと有効です。

まずはこのサイトをみて意味がわかるようなスキルをつけましょう。
andoroidスマホだと、相手の電話番号がわかるとたいていの場合、捜査できます。
勝手にアプリをインストールして、それを見えなくすることも可能です。
iPhoneも認証なしでロックを外す・・・とかありますね。

私はこういうのは実際どうやるんだろう?
と学生の頃興味があり、独学で勉強してました。
映画に出てくるようなハッキング方法は、大爆発シーン同様、嘘、演出です。

最後ですが、ほとんどの場合はこのような高度な知識、テクニックは必要ありません。
パスワードか簡単、メモが机などに貼ってある。画面を後ろから見る。
電話の話し声が聞こえそこから情報を手に入れた。とか人的なものが影響します。
複雑なパスワードを定期的に変更する。とかもいいかもしれませんが本人が覚えてられませんよね。
だから実際の運用と理想は違います。

インフルエンザにかからないために、外に出ない、無菌室にいる。
完全防護服を着て外出する。とかも非現実的と同じですね。

大手企業では門番がいて、防犯カメラもある。扉を開けるにはIDカードが必要。
こういうところでも、実際は簡単に入れます。
海外の実験番組で、修理サービスマンのふりをして簡単に会社に入り込み
机に無造作に置いてあった自動車の鍵を盗み、駐車場で移動して、エアコンや音楽の設定を変える。
いつが気がつくか?というのもありましたよ。
誰も怪しいと思った人はいないし、気がつきませんでした。

資格なら情報処理安全確保支援士
とかがあります。
ただ、IT業界は、医者や弁護士と違い、資格がなくてもできます。
介護職ですら資格が必要なのに。
PG/SEも資格はありますが、こんなのは新卒時で入社するときの参考程度にしかなりません。

私はセキュリティーホールとか見つけることができるし、ウイルスもどきも作れます。
過去にMSにセキュリティ問題を指摘し、修正パッチを世界に配信させたこともあります。

https://www.exploit-db.com/
※↑ウイルス対策ソフトを入れていると見れない場合があります。
※ウ...続きを読む

Q個人の半固定 IPアドレスへ、個人がアクセスすることは、どのくらい有り得ることでしょうか。

ある個人のIPアドレスに対して、悪意の人物がアクセスをするという話を聞きますが、それは現実的に可能なことなのでしょうか。

極論的に「可能」か「不可能」であるか?という話ならば可能なのでしょうが、そうではなく現実的な線で有り得ることなのか、を教えてください。


(1)個人で、その行為をデキる人間が日本に何人位いると思いますか。
(2)技術的な難度はどのくらいのことなのでしょうか。
(3)AさんがBさんのパソコンのIPアドレスにアクセスした時に、ISPはそれに気付きますか?また「他人のIPアドレスにアクセスした時点で警察が動ける(=犯罪になる)事態に該当するでしょうか。

Aベストアンサー

>セキュリティ対策とは
>Windows update をしてウイルス対策ソフト+ファイアウオールソフトを導入している程度と捉えていいでしょうか。
定期的に定義ファイルを更新してパスワードを他人に推測されたり総当り攻撃で判明しないパスワードにする。
といったとこでしょうか。

>そのなかで、Windows update をして
>ウイルス対策ソフト+ファイアウオールソフトを導入しているPCから個人情報を取れる人は、どの程度いるでしょうか。
ファイアウォールやパスワードを適切に設定しているのであれば0であると信じたいです。
一人でもいれば大騒ぎです。あちこちの会社からひっぱりだこでしょう。
その人は誰も知らないシステムの脆弱性を知っているということですから。

Q【「Androidはファイルからコンピュータウィルスに感染することはあり得ない」って本当ですか?】

【「Androidはファイルからコンピュータウィルスに感染することはあり得ない」って本当ですか?】


Androidはプログラムを実行しない限り悪さをしないのでファイルのウィルスチェックは不要でAndroidに入っているアプリがウィルスかどうかだけチェックすれば外部からダウンロードしたファイルがウィルスであってもプログラムとして実行されないのでファイル閲覧で感染することはない。

正しい認識ですか?

Aベストアンサー

Androidのウイルス=「不正アプリ」
実在するAndroidウイルスの例4つ
偽バッテリー節約ソフトによる個人情報の収集
偽セキュリティソフトによるAndroid端末の乗っ取り
Twitterアカウントを乗っ取り、勝手に投稿
リモートアクセスツールによる盗撮・盗聴
詳細は下記URLをご覧ください。
https://japan.norton.com/android-virus-1763

QCookies について

Cookies について質問いたします。yahooのページに入っていないにもかかわらず、必ずクッキーで、yahoo.co[1].txt が残るのは何故ですか?

Aベストアンサー

Cookieフォルダから削除して、Yahooのページに一切入らないでブラウジングをやっていると入っているということですか?

作成年月日が判ると思いますが、その日時には心当たりはないですか?

サードパーティのCookieを受け入れるように設定していたら、あるいは、どこかのページで入ったのかも知れませんが、ハッキリは分かりません。
http://www.soi.wide.ad.jp/class/20050020/slides/10/21.htm
http://blog.lucanian.net/archives/50823597.html

QCookieについて

HTTPプロトコルで使われるCookieという機能について教えてください。

あるウェブサーバからあるブラウザのCookieを取得しようとするとき、
そのウェブサーバはそのウェブサーバが発行したCookieしか取得できない
ということですが、これは正しいですか? また正しいとしたら、
それはブラウザ側が制御するのでしょうか?

とぼけた質問かもしれませんが、どなたかぜひご教授ください。
また参考になるサイトがありましたら教えてください。

Aベストアンサー

Cookieはサーバー側で発行し、クライアントで保管します。(その場限りで消費される場合もある。)クライアントは該当するドメインもしくはURLにアクセスしたときにその情報をサーバーに送ります。

例外はJavaScriptでSetCookieを呼び出している時ですね。(この場合はクライアントでCookieが設定されます。)

>そのウェブサーバはそのウェブサーバが発行したCookieしか取得できない ということですが、これは正しいですか?
必ずしも正しくないです。

www.*****.comと言うドメインで.*****.comに有効なcookieを発行すれば、xxx.*****.comでもcookieが送信されます。またCookieの仕組みから行けば、別のサイトで有効なCookieを発行する事も可能です(この辺はブラウザ側の扱いの問題ですが。)

http://www.futomi.com/lecture/cookie/
Cookieの解説はここが詳しそうです。


人気Q&Aランキング

おすすめ情報