2015-06-12(金) [長年日記]
■ 一部のサービスをHerokuから自前のjailing環境に移した
以前書いてから、ちまちまちまちま進めているのだが(のんびりすぎてぜんぜん進まない)、いままでHeroku上で動かしていたうち、24H動かしておきたいもののいくつかをIDCFクラウド上のIaaSへ移している。けっきょくDockerは使わずにjailingで行っちゃってるのであった。
ひとつはkindlizer-backendで、clockworkを使っているのでHerokuのfreeプランだと1時間おきに落とされてしまって事実上まったく動かない(笑)。cron向けに書きなおしてもよかったけど、まぁ(面倒くさいので)このまま移転。
あとはProduct Advertising API用リバースプロキシに登録してある自分のproxyサービスを移転。これは24H継続してアクセスがあるけど、もっぱら自分以外の人が使うほぼ完全なボランティアサービスなので、無償じゃないと続けられない。
いずれもAnsible経由で環境構築して、jailing下で動くようにしたのだけど、あんまり汎用的なモジュールじゃないから、公開できる感じじゃないのよなー。そもそもニーズがなさそうである。
わさますのmassrはそのままhobbyプランへ移行済みだし、他の小さいのは利用者が少ないので6Hくらい落ちても平気。グラコロ同盟は秋になったら考えよう(笑)。で、残るはtDiary.Netか……。メモリがつらそうだから専用のVPS立てていったんそこで動かしつつ、分散運用を模索するか。嗚呼、独自ノウハウの道よ……。
2015-06-10(水) [長年日記]
■ 健康診断で初めてCTスキャンを受ける
誕生日周辺にアサインされる会社の健康診断に、胸部CTスキャンのメニューが加わっていたので受けてみた。長年いろいろと病院にはかかっているけど、CTスキャンは初めてだなぁ。
とはいえもう一般化しつくしたような検査なので、ルーチン化した流れの中でスムーズにコトは進んで、どうってことない感じだった。思ってた以上に検査時間も短くて肩透かし。ただ、両腕を上にあげる姿勢は、五十肩の人とかはつらそう。幸いにしておれはまだそういう苦労はないんだけど。
やっぱMRIの方が面白いかなとチャットで漏らしたら、検査中に流れる音楽が好みのものじゃないのが苦痛だったという証言が複数得られた。そこなんだ(笑)。ということは、持参した音楽をかけてくれるMRIサービスがあればウケるのかな。
それはそうと、体重が昨年と小数点以下までまったく同じだった。すごくね?
2015-06-06(土) [長年日記]
■ 「巧妙な標的型攻撃メールの例」は間違い探しクイズではない
ここしばらく日本年金機構からの個人情報流出で大騒ぎだけど、そのさなかに上原哲太郎さんがTwitterに投下した「標的型攻撃メールの例」に対して、例によって「こんなのひっかかる方が悪い」的なレスがついてるのを眺めて苦笑いをしたり。
怪しいメール開く方がアホだろ見たいな話が出回っているようなので、7年ほど前に私が受け取ったメールを晒しておきますね(一部隠してます)。これを「怪しい」って判断できる人は大したもんだと思います。今はもっと巧妙だし。 pic.twitter.com/SwKNkH4t9s
— 上原 哲太郎 (@tetsutalow) 2015, 6月 2でも今日、この話題をかみさんと話して、そもそも前提条件が共有されていないのが原因らしいね、ということになった。140文字制限のTwitterではよくある話ではある*1。なるほどなるほど。
こういう情報を提示されると、人は「自分の観察力に対する挑戦」だと認識して対峙する。クイズにチャレンジする感じで。でもこれ、
- 自分が標的になっているわけではない
- あらかじめ「これは偽物ですよ」という正解が与えられている
というかなりぬる~い条件下の話なんだよね。解けて当然の低難易度クイズなので、わかったからといってドヤ顔されても困る。実際の標的型攻撃はこの逆で、
- 自分(の所属する組織)が標的になっている
- これが正規のメールか攻撃メールかはわからない*2
という状況下で発生するのだ。条件や文脈がぜんぜん違うし、だいたいクイズ気取りでみている人は自分が見破ったからといって組織の全員が見破れるとは限らないという点を見過ごしがちだ。「見ればわかる」と言ったところで、うっかり開いてしまう人はゼロにはならないし(ならないんですよ)、そういう人が萎縮して報告しないような空気になる方がよほど怖い(という話の続きは年金機構の情報流出を見てちょっと思ったことを読むとよい)。
なので、セキュリティ関係各位は標的型攻撃の例として「ちょっと隙のあるメール」を見せるの、やめた方がいいんじゃないかと思う。実際はほぼ隙のない巧妙極まりないメールが使われてるんだし*3、どうせ見せるなら「自分はぜったいだまされない」という根拠のない自信を打ち砕くくらい本当に見破れないクラスのヤツを出すべきなのではないかなぁ。
