サーバ管理者日誌

とりあえず、

install Bundle::CPAN

しようとするのだけど、エラーを吐いてうまく行かない。 ライブラリパスに既にインストールしてある、古いPerl用のLWPを使おうとしているのが原因だと思うのだけど、どうやって騙せば良いかしばらく悩んだ。
何ということはなくて、先に、

install Bundle::LWP

しておけば良かったという話。前にも引っかかった覚えがある。
しかし、CPANで入れるのとpkg/portsで入れるのとどっちがよいか悩ましいところではある。今のところ、Perl周りはCPANに追従しないといけない機会が多いからCPANで入れているけれども、

pkg_add: package XXX has no origin recorded

と表示されるのが気になる。無視すれば良いのだけど、必要なものを見落としそうになるし。ORIGINをでっちあげるのも面倒だし。

小技だけれども、リモートのマシンはオープンするポートを制限していることが多いので、/etc/make.confに、

SUP_UPDATE=     yes
SUP=            /usr/local/bin/cvsup
SUPFLAGS=       -g -L 2
SUPHOST=        localhost

と書いておき、cvsupのレポジトリを持ったサーバから、

ssh -R5999:localhost:5999 target

とやってログインすると、手元のレポジトリを使わせることができて便利。

日記デザイン改変にあわせて、ちょっと凝った事をしようと思い立ったので、現状のサーバリソースで大丈夫かどうかちょっと不安になった。
時々、ロボットさんにボコボコにされることがある様なので、そういう状況がどの程度の頻度で起きるのか確認しておこうと思った。
そういう場合の簡単な解決法は、mrtg+snmpなのでインストールしてみた。これはしばらく動かしてみないと、トレンドがつかめないので、しばらく放置。
うまいindexを作って、端末の背景にしておくと良いかも知れない。アクティブデスクトップの有効な活用法で思いつくのはこういう分野だ。

写日記改装につき、手動リンク。 位置情報リンクや「あたり」を自動生成してくれないのはつらい。


~

□ 1918 鳥栖:

「日本のＩＴ戦略と知的財産はこう進む」[http://www.keikakuhiroba.net/executive/1-1.asp] という対談の、 眞柄泰利[http://www.microsoft.com/japan/presspass/exec_jp/magara.aspx] 氏の発言より。

オープンソースに関しては、個人的には存在の是非を問うつもりは全くありません。ただ残念なのは、その成果物に対して知的財産を必ずしも肯定しているわけではないことです。そこに若干の矛盾が生じているという気もいたします。
最終的な判断はマーケットに任せるべきだと私は考えていますが、将来の知的財産立国を考えますと、いまのオープン的な流れを認めることと、知的財産を認めることの間には、非常に難しい問題があると思います。

ここではかなり控えめな表現になっているけれども、 日本の論点2005[?200503a&to=200503031S1#200503031S1] に掲載されている氏の主張を見ていくと、

• 知的財産立国を目指すのと、オープンソース・ソフトウェア推進は矛盾する
• なぜならば、オープンソース・ソフトウェアを推進することは知的財産の否定だからだ
• この矛盾を放置すれば、経済の発展が阻害され、国際競争力を失う。
• (Winny事件の様に)利用者におけるモラルハザードを引き起こす

という立論になっている様だ。
「オープンソース・ソフトウェアを推進することは知的財産の否定」だとしているけれども、この論はあやしいと思うしこの誤解は多い。
オープンソース・ソフトウェアは、著作権を放棄している訳ではない。むしろ、著作権を行使することによって、オープンソースがオープンソースであり続けることを担保している。オープンソース・ソフトウェアは、情報モラルの上に成り立っているのである。モラルハザードを引き起こすことも無いはずだ。

□ [和書]日本の論点 2005[http://www.amazon.co.jp/exec/obidos/ASIN/4165030406/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

ykatoの日記[http://d.hatena.ne.jp/comiken/20050303#p4] より。
決闘罪[http://www.houko.com/00/01/M22/034.HTM] というものがあるのは知っていたし、最近 暴走族や暴力団の「タイマン」を取り締まる[http://www.union-net.or.jp/cu-cap/kettou.htm] ために使われているというのも知っていたのだけど、記事によれば、

中学生同士がルールを決めて１対１で殴り合いをしたとして、

ルールを決めて「殴り合い」をしたとなっている。
これまで、決闘というのは、「ルールを決めて命を賭けて闘うこと」だと思っていたのだけれど、この記事の書き方だと「殴り合い」でも決闘罪で言うところの決闘にあたるということらしい。
ひょっとして、記事が悪いのかと思ってルールを調べてみたら、 スポニチアネックス[http://www.sponichi.co.jp/society/kiji/2005/03/03/06.html] に「ルール」が掲載されていた。

（１）素手のみ
（２）急所は攻撃しない
（３）相手がギブアップしたら終了

というもので、集団でチームを組んでナイフを持ち出す様なケンカ(というかもはや殺し合い)と比べると、確かに「ルール」と言える様に思える。
これがダメだと、多くの格闘技もダメと言えなくも無いわけだけれども、その辺りの線引きはどこにあるのだろう。
「常識的な判断」と言うけれども、その判断を恣意的にするのは良くないから、法律があるのであり、法じゃ無いものが判断する国家は法治国家じゃ無くなる。

□ 2309 ひなまつり:

日経コンピュータ[http://itpro.nikkeibp.co.jp/NC/] の記事から。

中には高知県のように、自らが構築したテスト用認証局を本番使用している県もある。本人が「私は正しい」と主張しているだけなので、第三者認証の必要性を理解しているのかどうかにすら疑問符が付く。

と指摘されている。 この問題、以前に、 「安全な通信を行うための証明書」[?200501b&to=200501172#200501172] と題して取り上げた問題だ。
日経コンピューター本誌(2005.3.7 no.621 pp.125)によると、

認証局証明書を組み込むためにブラウザ・メーカー各社が掲げる条件をLGPKIは満たしていないからだ。

という。 高木先生の懸念[http://www.takagi-hiromitsu.jp/diary/20050115.html#p02] は当たっていた様だ。

残念ながら記事では、偽の証明書を組み込むことによる、もっと重大な被害の方に関して触れられていなかった。一旦、偽の証明書を組み込んでしまうと、自治体サイトに一切近寄らなくても、利用者は危険にさらされ続ける。
2005年1月17日の調査[?200501b&to=200501174#200501174] によれば、11もの県が、ハッシュの比較の重要性も説明せずに、ダウンロードしたルート証明書を組み込めと言っている。
ある県に至っては、ハッシュの確認どころか、 デタラメな確認方法[?200501b&to=200501172S11#200501172S11] を指示して、 「これで接続先が間違いなく徳島県であり、安全な通信が行われていることが確認できました。」[https://www.tok-j.info/navigate/public/mu1/bin/egovweb/contents/cert_site.htm] 等というウソを流布させている。
この問題、自治体のシステムだけで済む問題ではなくて、日本全体のPKIに関わる問題なのだ。
記事によれば、

4月以降、運営協議会が専門部会を設置して、LGPKIの課題を協議する可能性はある

ということだが、それまでの間に、信頼できないLGPKIの証明書と称する何かを組み込んでしまった利用者は危険にさらされ続けるし、一旦組み込んでしまった利用者は、どうやって証明書チェーンを信頼できる状態に戻せば良いのだろうか。
「課題を協議する可能性がある」等と悠長なことを言っている場合では無いはずだ。

今まで、費用対効果の面から *1 メールサーバでのウイルスフィルタリングはやっていなかったのだけれども、最近数が多くて、いちいち消すのが面倒になってきた。
しばらくは.procmailのルールを追加してしのいでいたが、さすがに限界を感じて、ある程度減らしてくれる様な何かを探したら、 ClamAV[http://clamav-jp.sourceforge.jp/] というものを見つけた。

Clam AntivirusはTomasz Kojm等によって開発・メンテナンスされているLinuxやBSD、Mac OS Xなど各種UNIX系のシステムで動作するアンチウイルスソフトです。シグネチャによるパターンマッチング方式を採用していて、2004年5月27日の時点で約21,694種類のウイルスに対応しています。GPLライセンスに従って利用することができるオープンソースのソフトウェアです。

素晴らしい。ということで、早速導入。
この手のソフトは、サーバに負荷を掛ける傾向にあるので、net-snmpを導入してmrtgでロードをしばらく見ていくことにする。

公的個人認証の仕掛けについて興味があって住基カードを取得してみようと思った。 色々な資料は出ているけれども、技術的にどうなっているという具体的な資料に乏しくて、「で、結局どうなってるの」という疑問が次から次に出てくるのだ。
住民基本台帳カードの多目的利用について[http://www.lasdec.nippon-net.ne.jp/rdd/icc/guide/kouen/gaisetsu.pdf] という資料を読むと、住基カードからすると公的個人認証は、住基カード上の１アプリケーションで、図書館用のアプリケーション等と同列のアプリケーションに過ぎない。
ということは、恐らく、公的個人認証での秘密鍵は公的個人認証アプリケーションを導入する時に、外部で生成したものをカードの中に格納することになるのではないかと思うのだけど、この場合、秘密鍵が安全なものであることをどうやって担保するのだろうか。
公的個人認証利用者ガイドによれば、[http://www.jpki.go.jp/guide/jpki_sgd_usersguides.pdf]

必要となる秘密鍵と公開鍵のペアは利用者自身が市区町村窓口に設置された鍵ペア生成装置でIC カード内に生成します。

とあるが、「秘密鍵と公開鍵のペア」はICカード内で生成されるのだろうか。公開鍵には都道府県知事の署名が要るわけだから、これに署名して格納するのだろうか。
秘密鍵にパスフレーズは無いようだ。 公的個人認証サービスリーフレット[http://www.jpki.go.jp/jpkiguide/jpki_leaflet02.jpg] によると、カードを自宅のリーダライタにセットして、暗証番号を入力すれば署名できるとしている。
秘密鍵の秘匿性はどうやって確保してるのだろうか。住基カード内のアプリケーションは、暗証番号とハッシュを渡すと署名してくれるような作りになっているのだろうか。
このあたりのAPIについては、 公的個人認証利用者クライアントソフトの技術仕様について[http://lascom.or.jp/www/jinfo/jpkiap/jpkiap.html] という資料が出ているものの、実際の処理をPC側のライブラリがやっているのか、それともカード側がやっているのかが、なかなか明確に見えてこない。
いや、絶対にカード内でやっている(いないとまずい)のだけど、そうだと確信できる体験がないのだ。

ということで、これはもう自分でカード作って色々調べてみるしかないなということで、カードリーダライタと住基カードを調達することに。
幸い、 LAN板に詳しい人[http://www.lancard.com/diary/] とかが人柱に立っていることだし。

□ [和書]Q&A住基ネットとプライバシー問題―情報漏れを恐れるより将来のメリットを![http://www.amazon.co.jp/exec/obidos/ASIN/4502906905/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

□ [和書]あなたの「個人情報」が盗まれる[http://www.amazon.co.jp/exec/obidos/ASIN/4093892237/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

□ 図書カードと実印と印鑑証明:

リモートから自分サーバ経由でメールを送るために、SMTP-AUTHを導入しているのだけれども、ログに というメッセージが出てうるさくてたまらないので、色々いじっている内に、ログインそのものができなくなった。
とりあえず、作業前の状態に書き戻して調べてみたら、パスワードを設定する時には、 と、 Postfixのmain.cfで指定したメイルサーバのFQDNを指定しないといけない[http://www.f-bell.net/FreeBSD/smtp-auth.html] のを忘れていたのが原因だった。
気づいてみれば簡単な話なのだけれども、数時間を費やしてしまった。
件のメッセージを消すには、OTP認証をしない様に、sasl2の設定ファイルを置けば良い筈なんだけれども、どこに置いてもうまくいかないので、portsで、 してしまった。 Mimori's Algorithms tDiary[http://www.mimori.org/~h/tdiary/20040620.html#p02] から。

※設定を変更する場合、最初に変更前の設定をメ モなどとって記録してください。その後、設定を 変更し、端末で起動している全てのブラウザを終 了させた後、再度起動させてから電子申請・届出 システムにアクセスしてください。 電子申請・届出終了後は、セキュリティの設定を変更前に戻してください。

高知県　電子申請・届出システム〜「お使いのブラウザ設定方法」[http://www.pref.kochi.jp/~jyouhou/denshishinsei/activex.pdf]

という不思議な説明の背景には、こういう事情があったのですね。
戻さないと危険だということを認識しているのに、どうしてこんな変更をさせる様な仕組みになっているのか不思議に思ったところです。
しかし、どうして 高知県ばかりがこんなに色々問題[namazu.cgi?key=%B9%E2%C3%CE%B8%A9&submit=Search%21&whence=0] を抱えていますかね。高知県が特殊と思いたいところ。

□ お役所対応の見本[http://d.hatena.ne.jp/eiji8pou/20050307/1110197537]:

□ 情報企画課勤務だからといってパソコンやインターネット等に詳しいとは限らない[http://blog.johnmung.net/?eid=109374]:

□ 邪推すると:

また、 パッチ当てを忘れた。[http://www.bsddiary.net/d/200311.html#11]
しかも、パッチを当て忘れたもので稼働して、リビルド必要になったりしてはまる。

□ 絶賛rebuild中:

□ [和書]BSD magazine 2003 No.18 CD-ROM2枚&デーモン君携帯ストラップ付[http://www.amazon.co.jp/exec/obidos/ASIN/4756143962/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

とりあえずできている部分だけでリプレースしました。作業途中でページを見た方にはご迷惑をお掛けしました。
lib/HNS/Style.pm, lib/HNS/Tools/Title.pmには手を加えることになりました。

□ IEだと:

□ IEでfloatを使うと:

日本語.jpのフィッシング詐欺対策に「ソ二一.jp」問題は含まれているのか[?200502c&to=200502213#200502213] 、 続編[?200502c&to=200502252#200502252] で疑問に思っていた問題だが、直接問い合わせされた方がいらっしゃる。

1.JPRSで登録可能な文字として定義している文字については、全て異なる文字として登録を受け付けているので、結果として 日本語文字に有る"見た目に似た文字列"を登録することは可能である
2.JPRSとしては"見た目に似た文字列"を取得できること自体は問題ではなく "見た目に似た文字列を使用して取得したドメインで混同を招ような使用"をすることが問題であると考えている
3.JPRSは"見た目に似た文字列"を不正な目的で使用されている場合にはJPドメイン名 紛争処理方針(JP-DRP)に従い基づき解決を図ることが出来ると考えている
4.JPRSとしてはWHOISに登録情報が公開されるため、見た目に似たドメイン名の悪用を前もって牽制することができると考えている

IDN(多言語ドメイン・日本語ドメイン)での"見た目に似た文字列", mmasuda[http://unixluser.org/diary/?200503a&to=200503085#200503085]

ということで、今回の リリース[http://日本語.jp/access/phishing.html] では、「(キリル文字を用いたような)報道されている問題」に関しては、

IDNの導入で起こりえる問題を認識し、サービス導入時から対応策を実施してきている日本語JPドメイン名は、安心してご利用いただけます。

国際化ドメイン名(IDN)のフィッシング詐欺脆弱性について, 日本語.jp[http://日本語.jp/access/phishing.html]

ということであって、日本語内の字形の良く似た文字、あるいは概念類似の文字については何もコメントしていないという立場だ。
しかし、同じリリースの中では、

今回問題にされているフィッシング詐欺問題の本質は、視覚による錯覚を利用するというものであり、IDNによって新たに引き起こされるものではありません。たとえば、ASCIIドメイン名でも、1(イチ)とl(エル)、0(ゼロ)とO(オー)による錯覚は存在します。ただし、日本語ドメイン名ではよく似た「ー」(長音)と「一」(漢数字)が使えるようになるなど、IDNによってその組合せが増えることも事実です。

国際化ドメイン名(IDN)のフィッシング詐欺脆弱性について, 日本語.jp[http://日本語.jp/access/phishing.html]

ということを述べている。これを述べた後に、

IDNの導入で起こりえる問題を認識し、サービス導入時から対応策を実施してきている日本語JPドメイン名は、安心してご利用いただけます。

国際化ドメイン名(IDN)のフィッシング詐欺脆弱性について, 日本語.jp[http://日本語.jp/access/phishing.html]

と結論するのは、利用者をミスリーディングする意図があったと解釈されても仕方がないのではないか。
ここで言う「利用者」は、ドメインの登録者だけでなく、実際にフィッシング詐欺に遭う利用者を含んでいる。
2の「"見た目に似た文字列を使用して取得したドメインで混同を招ような使用"をすることが問題」等、「悪いことやるヤツがいるからいけない」と言っている様なものだ。確かにその通りで、似たドメインを悪用する問題は日本語.jpに限らず起こりうる。
その立場を取るのであれば、

IDNの導入で起こりえる問題を認識し、サービス導入時から対応策を実施してきている日本語JPドメイン名は、安心してご利用いただけます。

国際化ドメイン名(IDN)のフィッシング詐欺脆弱性について, 日本語.jp[http://日本語.jp/access/phishing.html]

等とミスリーディングを行うべきではない。こういう対策は取っているが、日本語独自の問題があるから注意すべきだと言って良い位だ。事件に関連して、防衛意識を上げる機会を奪ってしまった罪は大きいのではないか。
このリリースの後に、「実は日本語独自の問題はあります」と言ったところで、利用者には「日本語ドメインはフィッシング詐欺には大丈夫」と誤った情報が入っているから、気を付けないといけないという情報がなかなか浸透しない。
ドメインの登録権は、確かに、「JPドメイン名紛争処理方針(JP-DRP)に従い基づき解決を図ることが出来る」かも知れないが、これを見て「日本語ドメインはフィッシング詐欺対策済みだから安心」と思って、フィッシング詐欺に遭う「利用者」の立場はどうするのだろうか。
紛争処理方針に従って解決した頃には、フィッシング詐欺は終わってしまっている筈だ。そもそもこの文書は「フィッシング詐欺脆弱性」に関する議論だったのではないか。
どうもこの文章、ドメインを登録する「利用者」が減らない様にということだけを考えて、エンドユーザーに対する配慮が欠けたものになってしまった様に思えてならない。

とある方から、 あたたか〜い アイスココア[http://silver.lacmhacarh.gr.jp/tmp/DSC00093.JPG] を見つけたと聞いて、「コールド専用品は温めちゃダメでしょ」と思ったので、確認しようとして見つけた。
世の中に出回っている缶ジュースが、メーカー、品名、内容、JANコード等から画像付きで検索できるデータベースだ。
やはり、 コールド専用ですので温めないでください。[http://www.cancanziten.com/?can=1213] とあった。

セキュリティホール memo[http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/03.html#20050308_mobile] から。「生体認証デバイスは信頼されなければならない」の部分は、私自身の意見がタイトルに反映されていないので、10日に追加した。
モバイル機器で指紋認証するのは賛成の立場だ。指紋認証のアプリケーションとしては、非常にうまい使い方だと思う。例えば、自分のIDを証明する様なカードに指紋認証を付けるというのは、カード所持人本人であることを証明するのには好都合だ *1 。
モバイル機器やカードはものが小さいので、物理的に指紋が使いやすいアプリケーションであるし、自分の側にあるものだから、よその信用できるかどうか分からないデバイスに指紋を登録するのと違って、指紋で認証することに対する抵抗が薄い。
そのためには、少なくとも物体に付着した指紋の像からの偽造には耐えるデバイスでなければ困るのは全く指摘されている通りだ。
この様な使い方をすれば、仕組みをうまく作ればだが、認証装置は自分が持ち歩くわけだから、 生体認証を使った認証を他の人に自分の生体情報を渡すことなく行える仕組みが作れるという大変大きなメリットがある。最近、指紋以外の色々な認証方法が出てきているが、 相手に自分の生体情報を渡さずに認証できる仕組みを作るのはなかなか困難な様だ *2 。
指紋認証については「グミ指」の問題が指摘されているが、各種の製品が十把一絡げに「グミ指で危険」と考えるのはよろしくない。
ここで注意すべきは、

これらを組み合わせると、携帯電話等のモバイル機器の指紋認証は、機器が悪意の第三者が入手すれば容易に破ることができる

モバイル機器の指紋認証デバイスに頼ってはいけない, 崎山伸夫のBlog[http://blog.sakichan.org/ja/index.php/2005/03/05/dont_trust_mobile_biometrics]

という「機器が存在する」ということであって、 全てのモバイル機器の指紋認証がこの攻撃によって、突破されることが証明されている訳ではないということだ。
指紋認証にしても生体認証にしても、同じ様なセンサーが使われていて、利用者には同じように見えても、認証に用いているアルゴリズムは異なる。
機器に残された指紋から作成した指紋イメージで認証を突破できるのは、ある種のアルゴリズムを用いた場合なのだが *3 、その製品がどの方法を用いているかは、調べてもなかなか分からない。
その中には安全なものもあるし危険なものもある。その違いが利用者に分からないということは確かに大問題だ。これでは、全てを信用するか全てを信用しないかになってしまうし、いくつかのblogを含めたメディアも中身に違いがあるということに言及しない傾向にある。実際、この記事のトラックバックを見ても、

指紋、ダメじゃん！

上記記事では「モバイル機器の認証デバイス」と限っているが
そんなん、多分理論は同じ。
モバイルで破られれば、銀行でも破られる可能性高いと思われ。

ゴルゴのような生活, 一体どうなんでしょう[http://blog.urocon.net/archives/200503/08-2238.php]

や、

たしかにいろんなところに自分の指紋が残ってると思うので、それをキーにした認証を使うのは怖いですね
しかも指紋などの情報は漏洩したからといって変更できるものでもないため詐称の手段が出てくると全滅です

最近流行している指紋認証の問題点について, とりあえずやってみる[http://blog.goo.ne.jp/myuki_zzz/e/e73f8c3938fc8e169bb61f70dfeb3516]

の様に、指紋認証全体について不安感が広がっていることが分かる。
同じパスワードを使う認証でも、一方向性ハッシュを用いてパスワードを格納するのと、プレーンテキストのパスワードを格納するのは安全性は大きく違う。通信路が信用できないのであれば、またパスワードのやり取りの方法を考えなければいけない。
パスワードをプレーンテキストで格納するシステムがあるからと言って、パスワードを使うシステムは危険だということにはならないだろうし、パスワードは大事なものだから、そのシステムがどの様にパスワードを格納するのかには注意をする *4 。
生体認証は生体情報を扱う。だからこそ、使われている技術は信頼できるものでなければならないのに、「生体認証だから安全」という主張だけでマーケティングするのは、生体認証市場全体の将来を危うくするのではないか。

Google[http://www.google.co.jp/] に、最近のFEPに搭載されている予測入力機能の様に、途中まで入力した検索文字列から始まる候補を表示してくれる機能が付いた様だ。
「 サポートされるブラウザは、Internet Explorer 6.0 以降」と書いてあるけれども、純粋にJavaScriptで書かれていて、FireFoxでもきちんと動作する。

□ 1430 おかいもの:

今まで使ってたHDDが、 とか恐ろしいことを言い出したので、壊れる前にディスク交換。
最近は外付けSCSIディスクがあまり売っていなくて、遠くまで買いに行くことになった。
サーバのSCSIボードが、DC-390Uという非常に昔のものだったせいか、120GBのディスクを認識してくれなくて困ったけれども、フラッシュをアップデートして無事に認識。
newfsして、dump/restore中。

□ cvsupdate停止中:

□ 完了:

ここには書けない事情がある事件があって、今日は少し政治色が濃い記事を書く。どこかに書きたいのだけれどもどこにも書けないから、政治的に昇華させて書きたいストレスを発散するわけだ。
言論の自由の中から、匿名での発言の自由を取りのぞこうという動きがあるらしい。
実名で闘うのも良いけど、匿名での発言は決して有害無益とは言い切れないし、既に権力を握っている側と対決しないといけない時は、匿名というのは大きな武器になることが多い。
憲法が保障している権利の中で、言論の自由は非常に重要な権利だし、民主主義が正しく機能するためには不可欠の権利だ。
マスコミと違って圧力でコントロールできない個人が、世論を動かす可能性があるのがインターネットだ。
権力者がようやくこの可能性に気づいて、これを危険視して、様々な方法で規制を掛けようとし始めているというのは、陰謀論的に過ぎるだろうか。
ライブドア対フジテレビの戦いを見ていると、ネットを潰そうという動きが起きている時に、マスコミは現在権力を持っている側なのだから、ネットを潰す側に回る可能性はあると思う。その時、ネットが力を持っていればいるほど、権力を奪われる危機感は強くなるだろう。
歴史に学ぶと、後に悪法と言われる法律も、成立した時は様々もっともらしい理由を付けて成立している。法律が成立した時とは違う目的に使われ出すことは非常に多いのだ。
たとえ、匿名掲示板が様々な問題を引き起こしているとしても、言論の自由と引き換えに規制することに警戒をしないといけない。
逆に、様々な問題をネットの匿名性が原因と結論づけられない様に、ネットの匿名性を大事に守っていく必要がある。
これは私の予感だけれども、情報の取捨選択は受け手がするということを突き進んでいくと、いずれは匿名掲示板とうまく付き合う方法を見つけ出すに違いないと思う。
過渡期の混乱で、将来への扉を閉ざしてしまうのはあまりにも惜しい。

サイドバーの表示をどうするか[?200503a&to=200503073S2#200503073S2] ということで悩んでいたのですが、 「CSSでの複数コラム組みレイアウト」[http://www.ichiro.to/note/columns] という記事で、「widthにマイナス値が使える」ということを知りました。
「width: 100% - 10em」で意図したことができるわけで、問題解決です。

レースコンディションによるセキュリティホールとして有名な例ですね。
手元の、FreeBSDの/etc/dailyを見たら、 って書いてありますね。みんなが書き込めるディレクトリで、find -exec rm -f をrootで実行するなと。

最近、 ハトのマークのひっこし専門[http://yar-3.net/puki/pukiwiki.php?%A5%CF%A5%C8%A4%CE%A5%DE%A1%BC%A5%AF%A4%CE%A4%D2%A4%C3%A4%B3%A4%B7%C0%EC%CC%E7%A5%C8%A5%E9%A5%D6%A5%EB%A4%DE%A4%C8%A4%E1] で有名な人のところから。
続・「ソ２１.jp」問題[http://www.nantoka.com/~kei/diary/?200502c&to=200502252#T200502252] で触れた話だけれども、日本語には似た概念で同じ読みだけれども違う文字という組み合わせを持つものが多い。多分、国語学で用語があるのだろうけど。
例えば、「はかる」については、「計る」「量る」「測る」あたりは概念類似で文字が違うが同じ読みをする。「収める」「納める」「治める」あたりも同じ様なものだと思う。
恐らく、日本語で「はかる」だったものに漢字文化が入ってから、文字を使って細かい意味を表出することを導入してこうなったのではないかと思っているのだけれども、どういう資料を調べたら、これが裏付けられるのかも見当が付かなくて、そのままになっている。国語学を勉強した人には常識なのかも知れない。
ところで、「計る」は数量や時間、「量る」は容量や重さ、「測る」は面積や速度を「はかる」のだけれども、こういうのを確認するために以前はいちいち辞書を引いていた。これが自動的に出てくるので、最近はATOKを手放せなくなった。

ICカードやモバイルデバイスを利用し、ユニークIDとそのIDを取得した場所および時間を手がかりとしてユーザの要求を特定し、適切なサービスを起動するもので、本技術を使用することにより、Suicaに利用されているFeliCa仕様のICカードをはじめ、Bluetooth規格の端末機器や各種ICカード、その他ユニークIDを持つモバイルデバイスを統一的に扱うことができる。

本技術の特長は、個人情報の提供や事前登録などを必要とせずに匿名で利用でき、また既に流通し所有している非接触ICカードを利用可能としたことである。

プレスリリース「ＩＣカードと電子ポスターを利用したマーケティング技術を開発」, 独立行政法人 産業技術総合研究所 広報部, 2005年3月10日[http://www.aist.go.jp/aist_j/press_release/pr2005/pr20050310/pr20050310.html]

の話は、 3月11日の日経産業新聞の記事[http://it.nikkei.co.jp/it/newssp/iccard.cfm?i=2005031008205uh] で知った。
ちょうど、 「Suica番号がメールアドレスと結び付けられ始めた」[http://takagi-hiromitsu.jp/diary/20050305.html#p01] の記事を読んだ後だったので、どういう立場で書かれているのか深読みをしていたのだけれども、 深読みに過ぎなかった[http://takagi-hiromitsu.jp/diary/20050311.html#p02] らしい。組織が大きくなると、色々と難しい問題が出てくる様です。
直接関係ないけれども、思いつくヒトは「実施時のセキュリティ問題は置いておいて」システムを提案して、設計するヒトは「問題は運用でカバーすればいいや」と思って設計して、実装するヒトは「問題は設計レベルでカバーされている筈」と思って実装して、営業するヒトは「とにかく安全ですから」と言って売り込んで、運用するヒトは「大丈夫って言ってるんだから大丈夫」と思いこんで運用して、利用者は大丈夫でないものを大丈夫と信じ込まされて使っているという、どこかで聞いた様な話を思い出した。

高木浩光＠自宅の日記[http://takagi-hiromitsu.jp/diary/20050311.html#p03] から。
Webアプリの欠陥が無くならない原因として、

この種のものが適正な費用をかけずに構築されているのではないでしょうか。即ち、安い構築事業者を使う、安いサービスにアウトソースする、あるいは入札して安いところが落札するとか、これをどう防ぐのかが難しいのです。

「プライバシー問題の解決が難しいのはなぜか」, 第８回　コンピュータ犯罪に関する白浜シンポジウム　ＲＥＰＯＲＴ, 高木 浩光[http://www.jstage.jst.go.jp/article/shirahama/8/0/54/_pdf/-char/ja/]

という問題を指摘している。これは常々感じるところで、受注者からすると、セキュリティはバグの有無という品質管理の観点と比べてもさらに見えにくい品質なので、ここを落とせば、顧客に見えないところで相当なコストを削減できる性質がある。
ことに入札ということになると、設計上明に要求されていないけれども、実装者の良心として対策すべきことを盛り込んで価格を出せば、必ず負けるという残念な状況がある *1 。
知らなければ大穴を空けたまま納品してしまえば良いことなので、良心の呵責も少ないけれども、知っていると技術者の良心を取るかお金を取るかという、困った状況に追い込まれる。
入札の場合、お金を掛ければ、つまり最低制限価格を上げれば、極端な安値で落札されることは無くなるけれども、これがセキュリティ面を含めた品質の向上に繋がるかというとそうはならないという問題がある。受注者からすると、同じものを高い金額で納めるだけのことになってしまう可能性が高い。
結局、あくまで入札を使いつつ、この問題を解決するためには、仕様書を作成する段階でセキュリティに関して十分な要件を定義する必要があるし、その通りに実装されたかどうかを第三者が確認する必要が出てくる。
ただ、この場合、設計者は実装者以上に実装に関する知識と考察を要求されることになるので、そこまでやって設計と実装を分離して割が合うのかどうかが新たな問題となるだろう。
もう一つ指摘しておくと、セキュリティは各工程で作り込むものであって、システムができあがってから、何らかの対策をしてセキュリティを確保するということは、大抵の場合、不可能である。
ところが、

「SSLを使っているのでセキュリティは万全です」という認識であったりする

「プライバシー問題の解決が難しいのはなぜか」, 第８回　コンピュータ犯罪に関する白浜シンポジウム　ＲＥＰＯＲＴ, 高木 浩光[http://www.jstage.jst.go.jp/article/shirahama/8/0/54/_pdf/-char/ja/]

という状況は、冗談でなく往々にして起こる。類似の例に、

「ベリサイン社の証明書を取得しており、セキュリティは万全です」

というものもあるし、

「ファイヤーウォールを導入したのでセキュリティは万全です」

や、

「IDSを設置したのでハッカー対策は万全です」

というものもある。セキュリティを確保してくれる魔法の箱はない *2 。

こういうのを、 「同訓異字」[http://www.google.co.jp/search?hl=ja&client=firefox-a&rls=org.mozilla%3Aja-JP%3Aofficial&q=%E7%95%B0%E5%AD%97%E5%90%8C%E8%A8%93&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja] と呼ぶようだ。

kei6氏(nantoka.comのひと)も組み込みをやってるそうな。
FreeBSDサーバ管理者だとばかり思ってたので、意外ですた。

私の中では、セキュアプログラミングと組み込みとUNIXは、より低いレイヤのことを考えてないといけないという線で繋がっています。
最近のプログラマは、即戦力に育たないといけませんから、PHPならPHP、JavaならJava、CならCの言語だけの教育を受けて、実戦配備されちゃうことが多いので、パケットやメモリを意識しないプログラマが増えている気がします。
セキュアなコードを書こうと思うと、例えば、「?ID=abc%d」を受け取って、「'abc-31491'は無効なIDです。」と表示されるのはとてつもなくマズイだろうということにピンと来ないといけないのですが、上のレイヤだけの教育では、この辺りが身に付いて来ない気がします。
日本の将来を考えると、この辺りの問題はとても深刻だと思うのですが。

□ 1929 シーサー:

個人情報保護法の絡みで、

過去に「サービスA」の提供のためにとして同意を得て収集した個人情報がある。
この度、「サービスA」をより充実させて「サービスA+」とし、名称も変更した。
実際に個人情報を使用する範囲や目的に変更は無いが、収集した際に提示した利用目的に現われる名称とは異なる。

という場合に、以前のサービス利用者に改めて同意を得る必要があるかという相談を頂いた。
これは、お客さんがどう思うかを考えれば答えが出るわけで、クライアントとしては納得できる対応策にたどり着いたので一件落着である。
類似事例を探していて、 「小泉内閣メールマガジン」のご利用条件[http://www.kantei.go.jp/jp/m-magazine/jyouken_ya.html] を見つけた。

登録いただいたメールアドレス等の情報は、「小泉内閣メールマガジン」の配信及び制作以外には使用しません

「小泉内閣メールマガジン」のご利用条件[http://www.kantei.go.jp/jp/m-magazine/jyouken_ya.html]

とあるのだけれども、内閣が変わった時はどうするのだろうか。

なるほど。そう来ましたか。そうですか。それ以外がないと勝手に勘違いしたこっちが悪いということですね。確かに、「場合があります」って書いてあるだけで、それ以外が無いとは一言も書いていないですね。うっかりひっかかりました。
御社のプライバシーポリシーは客を引っかけるためにあるんですか、そうですか。これは不親切じゃないですか、同じ勘違いをみんなするんじゃないですか、とか確認したところ、会社としての正式な回答ではないということなので、しばらく保留。
同じ勘違いをしないように、みなさんも注意。

メールサーバが重いのだけれども、ボトルネックはディスクではないかという気がしたので、ディスク交換で色々あって浮いたディスクで、SCSI化してみる。
dump/restoreでコピーしているのだけれども、imapのファイルが山ほどあるので、ディスクtoディスクでもずいぶんコピーに時間が掛かる様だ。

著作者には、自分のコンテンツを自分の好きな媒体に公開する権利があるわけですが、コンテンツが囲い込まれるのはイヤだったので、mixiに入ってはいますけれども、私の日記は「外部blog」の、ここのままです。
日記サイト運営ビジネスっていうのが成り立たないかなぁということを考えてきて、考えている内に、今や実際色々なビジネスが誕生しているのですが、書き手の立場として、コンテンツを人質に取られるのは嫌だという意識が邪魔をしていた様です。
日記サイト運営をビジネスとして考えれば、逆に、コンテンツを人質に取れるというのはビジネス上非常に有利なポイントな訳ですし、実はこれから日記を書こうという利用者の多くは「コンテンツを人質に取られる」ということを意識しないはずです。
つまり、ビジネスとして考える時に、ビジネス提供側の立場に切り替えができなかったということで、反省となっています。

「シェルでセキュアなテンポラリファイル!! の巻」[http://www.bsddiary.net/d/200503.html#14] というコメントを頂いきました。
「filter > foo.$$」は、時々、Makefileの中から使いたくなって、危険だと分かってはいるのですが、mktemp(1)使うのも面倒なので、自分専用のtmpに書くようにしていたりします。
/tmpをあえて使わなくても良い時代になったかも知れません。

産経新聞社の記事[http://www.sankei.co.jp/news/050315/sha071.htm] 。
AH0K's Diary[http://www.ah0k.com/diary/d200503b.html#14-3-3] にサンプルがありますが、まともな日本語になっている様です。
日本でも、本格的なフィッシング詐欺時代突入かも知れません。

□ ＵＦＪ銀行を偽装した電子メール詐欺が発生していますのでご注意ください[http://www.ufjbank.co.jp/ippan/oshirase/050315_chuui.html]:

ITソリューションの商談では，ユーザー企業が“当て馬”を使うケースが多い。当て馬とは，発注する気が最初からないにもかかわらず，ユーザー企業が見積もりを取る業者のことだ。発注を内定しているシステム・インテグレータに料金の引き下げ促す手段に使う。また，情報システム部門が発注先の選定理由を経営トップに説明するための“飾り”に使う場合もある。

IT商談の“引き合いバブル”，失注の理由をご存じですか[http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050313/157370/]

たしかに、これはたまったものではない。モノの見積もりと違って、ソリューションの見積もりは、それ自体がソリューションの提供だからだ。
あるシステムの見積もりをするには、そのシステムを理解しなければならないし、実現するための要素技術の選定をしないといけない。
各々の工数を出して、リスク係数を掛けて、リスクテイクファクターに利益を含んだ形で、ようやく、受注希望金額が算出できる。
本来はここからが交渉で、もう少しコストを落としたいという事情があれば、例えば、「この技術の開発にコストが掛かっています。将来、システムのボトルネックになるのは分かっていますが、ここは既存の技術で間に合わせましょう。立ち上げ後に、ビジネスが予想以上の速度で拡大したら、改めてここを作り直す費用を確保して下さい。」 等という相談になるのが、理想的な姿で、こういう交渉が可能な様に分析、見積もりするのがITソリューションの見積もりだと思っていた。
つまり、ITソリューションの見積もりは金額だけで比較はできないので、簡単に「合い見積もり」を取ることは本来できない。
けれども、こうやって積算させておいて、A社の書いた積算資料を単価を安く書いたB社に回して、コストを浮かすことができたとかよろこんでいる事例もある様だ。本当はITでそんなことはないのだけれど。
もし、合い見積もりをやるなら、RFPから始めるべきだろうけど、受注側はもっと高コストになる。難しい問題だ。

個人情報保護法対策をうたった詐欺まがいの商法が横行している模様。
知人から相談を受けたところによると、個人情報保護法を気にもしていなかった様な小規模な事業所を狙って、いかにも国の機関の様な、例えば「内閣府認証の個人情報保護協会」等と名乗って電話を掛けてくる様だ。

• ４月１日から個人情報保護法が施行されるのはご存じでしたか。
• 顧客名簿などをパソコンで扱っておられる全ての事業所が対象になります。
• 対策を行っていないと、罰金や懲役になります。
• 対策は済んでいますか
• パソコンは何台お使いですか

という感じで、20万円程度のお金を振り込むと、「個人情報保護対策マニュアルセット」と、(パソコンに導入する)「個人情報保護対策キット」を送ってくるというものらしい。
「罰金や懲役」と聞いて、驚いて私のところに相談してきたのだけれども、それらのものが金額に見合うものなのかどうかは別として、どうもあやしい商売の感をぬぐえないし、そんなの買っただけで対策済みにはならないから、きっと無駄という説明をしておいた。
同じお金を使うのなら、初心者向きの本を買って勉強して *1 、とりあえずウイルス対策ソフトを入れると良さそうだ *2 。あと、シュレッダーも *3 。

Stressful Angel[http://stressfulangel.cocolog-nifty.com/stressful_angel/2005/03/_315.html] から。
2月17日に3Dセキュア[?200502b&to=200502172#200502172] について書いたのだけれども、この時に「3Dセキュア」の仕組みそのものに問題を感じてやり取りしていた。
某カード会社に至っては、3Dセキュアの仕組み自体を理解していないのか、秘密のはずのトークンが事実上わずか2つに限定されるという運用になっていて、これはこれで問題なのだけれども、トークンを使う認証そのものに穴があるのだから、結果は一緒だ。
「3Dセキュアを使う時は、普通にカード番号を使う時よりも、さらに、利用者はフィッシング詐欺に気を付けないとならない」ということを結論にしておく。

□ 対策されたらお知らせ下さい:

導入したらトラックバックspamに見舞われそうな気もするけど、その対処は対処で学ぶところがありそうだ。というかとにかく導入したい。

□ 導入してみた:

昨夜のニュース番組で、 ICタグを靴に取り付けて在庫管理をする三越百貨店[http://bizns.nikkeibp.co.jp/cgi-bin/search/wcs-bun.cgi?ID=337271&FORM=biztechnews] のレポートを放送していた。
「便利だけどもプライバシー問題が」という切り口を期待していたけれども、ICタグのコストが問題で、それは 響プロジェクト[http://itpro.nikkeibp.co.jp/free/NBY/RFID/20031219/1/] で解決されるというバラ色の未来が描かれて終わっていた。
書籍にICタグを入れると、立ち読みする客の行動が追跡できて、マーケティングに威力を発揮するし、靴にICタグを入れると、販売機会を逸したとかこれまで取れなかったマーケティング情報が取れるようになるとか、素晴らしいことばかりだ。
幸い、録画できたのでいずれ続報を。

高木先生も 「銀行業界が自治体に苦情を申し立てても不思議でない」[http://takagi-hiromitsu.jp/diary/20050315.html#p01] と題して取り上げている。

警告が出たら「いいえ」を押すのが当然の常識として人々にもともと理解されているはずのところが、昨今では、その常識が崩れつつある。その原因は、自治体の電子申請システムだ。自治体の愚かな行いが、銀行に対するphishing攻撃の危険性を増大させている。

「銀行業界が自治体に苦情を申し立てても不思議でない」, 高木浩光＠自宅の日記[http://takagi-hiromitsu.jp/diary/20050315.html#p01]

国や自治体がこの国のPKIをズタボロにしたというのは大げさではない。
インターネットはエンドユーザーがネットワークの一部を支えているという点で、旧来のクライアントサーバ型のシステムと非常に大きく異なる。
クライアントサーバ型システムでは、サービスの提供者側が利用端末までを管理して、閉じたシステムを構成していた。利用端末に至るまでがサービス提供者の責任範囲だから、どういう端末を使おうが、サービス提供者の責任に於いて自由に決定することができる。
イントラネットもこの形体に近い。閉じたシステムなのだから、社内サービスを提供する側が端末側も管理し、責任を負う格好で、オレオレ証明書を導入することも許されるだろう。
インターネットに公開するサービスは事情が違う。端末を運用して、責任を負うのは利用者の側なのだ。あるサービスを利用するために、あやしいルート証明書を導入してしまったら、その端末は信用できない端末になってしまう。これはその端末で利用する全てのサービスに影響を与える。
プラグインを導入するのも一緒だ。信用できないプラグインを導入してしまえば、その端末は信用できない端末になってしまう。これもその端末で利用する全てのサービスに影響を与える。
端末の利用者は、同じパソコンを様々なサービスの利用に使うのだから、信頼できるルールに則って提供される証明書しか受け入れてはいけない。これは安心してネットワークを利用するPKIを構築するために、端末運用者(=利用者)に科せられた責務だ。
一部の行政のサービス提供者は、利用者のパソコンを「ウチの自治体サービス端末」とでも思っているのではなかろうか。
そして、イントラネットを構築する積もりで、利用者に「これを導入しろ、信用して『はい』を押せ」とやっているのではないか。だとすると、これだけ、オレオレ証明書にもプラグインにも、無頓着な作りを看過していることが理解できる。
だとすると、端末で起こる問題にも責任を負う必要が生じるはずだが、一切責任を負わないと宣言しているのはどうしたことだろうか。

□ 自治体が署名したActiveXのバグ:

「paypаl.com」と「paypal.com」，違いが分かりますか？[http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050311/157348/index.shtml] から。
これまでに何度か、「ソ二一.jp」問題と「養老乃瀧.jp」問題として、日本語におけるIDNの運用の問題について取り上げてきた。
日本語.jpのフィッシング詐欺対策に「ソ二一.jp」問題は含まれているのか, 2005年2月21日[?200502c&to=200502213#200502213]
続・日本語.jpのフィッシング詐欺対策に「ソ二一.jp」問題は含まれているのか, 2005年2月25日[?200502c&to=200502252#200502252]
IDN(多言語ドメイン・日本語ドメイン)での"見た目に似た文字列, 2005年3月8日[?200503a&to=200503081#200503081]
この声明が日本語独自の問題に触れていないのは仕方がないとしても、 ITProの記事[http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050311/157348/index.shtml] が、

さらにJPRSによれば，IDNを導入した時点で今回のような事態は十分予想されていて，防ぐためのガイドライン――「JETガイドライン（RFC3743）」や「ICANNガイドライン」――を用意しているという。これらに基づいて，IDN登録を運用すれば，多くの場合，今回のような事態は避けられる。
(中略)
実際，JPRSではガイドラインに従った運用をしているので，「example.jp」（すべてASCII）は登録できるが，「exаmple.jp」（ASCIIにキリル文字аが混入）は登録できない。

「paypаl.com」と「paypal.com」，違いが分かりますか？, ITPro, 2005/03/16[http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050311/157348/index2.shtml]

と、日本語特有の問題に言及していないのは残念だ。

市広報課は「悪意のある者、あるいはウイルスに感染した方よりメールマガジン配信サーバーあてにメールを送付されたことが原因」と話している。通常、サーバーに外部から返信があっても登録者にメールは送られないが、送信者が市広報課に偽装されていたため、自動的に転送されてしまったという。

市長メルマガにウイルス, 東京新聞, 2005/03/14[http://www.tokyo-np.co.jp/00/sya/20050314/eve_____sya_____004.shtml]

このシステム、「秘密の」アドレス宛に特定(市広報課)のFromを付けたメールを送ると、購読者宛に配信するという仕組みになっていた様だけれども、「秘密の」筈のアドレスが、Receivedのfor等の形でヘッダに付いたまま配信されていたか、あるいは全然秘密のアドレスになっていなかったのではないか。
この話、 Webアプリの欠陥が無くならない原因[?200503b&to=200503122#200503122] で触れた話と通じるものがある。
ある程度、メール配信の怖さを知っていれば、「メール配信システムの構築」と言う案件があって積算をする時に、

• 外部から勝手に配信されることをどう防ぐか
• いたずらによる登録にどう対応するか
• エラーメールの処理をどうするか
• ウイルスの誤送信をどう防ぐか
• エラー時の特定のMTAの困った挙動にどう対応するか
• 隠れバウンスエラーにどう対応するか

と言った様なことを最低限気に掛けるものだ。実際、安全なメール配信システムを構築するのは本当に難しい。そういった中で、どこまでは許せるということを考えながら、例えば、

• ドメイン内部からであることを詐称されない方法で確実に判定する
• 送信時に何らかの方法でパスワードを確認する
• フィルタリングして添付ファイル付きメールは配送しないようにする
• エラーメールを分析する方法を用意する

ということを盛り込んだ仕様を考えて、ある程度のスクリプトを開発することを前提にして積算することになる。
ところが、蓋を開けてみると、Webで入力すると特定のaliasのincludeが書き換えられるだけの仕組みが構築されたりする。発注者が要求したことは確かにできるのだ。
セキュリティのためのコストを当然掛けるべきコストという認識が発注者に広まる必要があるのだけれども、 個人情報保護法でクライアントの意識は変わるのだろうか[http://slashdot.jp/article.pl?sid=05/03/14/0456231] 。

□ ウイルスメール配信のお詫びとご報告[http://www.city.musashino.tokyo.jp/section/01030kouhou/news/net-news/net-news17/0312mailmaga.html]:

□ ウイルスメールの配信の経過報告[http://www.city.musashino.tokyo.jp/section/01030kouhou/news/net-news/net-news17/0314mailmaga.html]:

読んでるところ。新しい地平を拓くために歴史に学ぼう。

□ 寿司詐欺[http://yutunapenguin.ameblo.jp/entry-b46a66540b4f0a069ed14cadd93eaa75.html]:

□ しかし考えてみると:

□ http://rss-jp.net/ のページが:

IE6.0がIPv6に対応しなくなったので *1 、 踊るカメ[http://www.kame.net/] を見られなくなって久しかった。
考えてみると、proxyがIPv6で取りに行けば良いわけで、ちょいちょいと設定してやって、踊るカメ復活。
ちなみに、このページのロゴもIPv6だと動くようになっていたりします。

batten(という名前のファイルサーバ)のSCSIカードに、Tekram DC-390という非常に古いものを使っていたのだけど、AHA-2940UWが余っていたのを思い出して載せかえた。
特に性能差は感じないけれども、寝かせておくのももったいない。

サーバのバージョンアップ時に、Perlのライブラリを入れ替えたために動かなくなっていたようで、問い合わせを頂いた。若干修正して復旧。
ただ、このテスト自体もはや役目を終えた感があるので、事情説明と自分でどうやって確認したらよいかというコンテンツを作って、サービス終了にしたいと思う。
最近は、デフォルトで第三者中継は許さないように設定するものだし、仮に中継をされるとすると、このテストでやっているような単純な手法ではないから、このテストで安心する弊害の方が大きいかも知れない。
とはいえ、ログを見ると、ぼちぼちは第三者中継を許す設定で立ち上げていて、直してみて直ったことを確認している様子が最近でもあるから、非常に古い書籍などに附属しているCD-Romや設定例で導入しているケースがあるのかも知れない。

feed mater[http://feedmeter.net/] と、 track feed[http://trackfeed.com/] を導入してみた。
hnsにはログ解析機能があるのだけれども、古い日記に張られたリンクが表示されるのは非常に面白い。

□ 1910 飲み会:

□ 1815 ばんごはん:

で驚いて起床。棚の上に不安定に置いてあるものが転がり落ちた程度。
サーバ置き場であるところの諫早は震度４程度だったらしい。一通りログをチェックしたけれども、ログに現われるような症状は無し。電源も通信線のリンクも切れなかった様だ。

otsuneさんとこ[http://www.otsune.com/diary/2005/03/19.html#200503191] とかから。うーん。すごいバッドノウハウだ。
一般的なバッドノウハウは、最初に作った人は、それが「バッドな」ノウハウであるということをきちんと認識している。自己署名証明書だってそうだ。開発して最初にやった人のところでは、分かってやってるんだから問題も起きない。
ところが、分かっていない人が結果だけを真似すると困ったことが発生し出す。自己署名証明書のあやうさを理解していなくても、手順だけを追えば自己署名したオレオレ証明書ができあがる。そして、一般市民に対して、オレオレルート証明書をインストールせよということを言い出す。
どうも、この「結果だけ真似て問題を起こす」という現象が、コンピューターの分野では他の分野に比べて、非常におきやすいような気がする。
元の話題の角を丸くするってのも、バッドノウハウだって分かっている人がやっている分には良いのだろうけど、その内、テクニックだけが流布すると、CSSを使ったマークアップ全体がメタメタになってしまうに違いない。
もう少し頑張って、round-corner.css, round-corner.js を読み込んでおいて、 とか書いたら、見えないところで巧妙に処理して、見えないところでよろしくやってくれるというのは作れないだろうか。

お寿司詐欺登場！[http://yutunapenguin.ameblo.jp/entry-b46a66540b4f0a069ed14cadd93eaa75.html] の記事が盛り上がっている様です。
スシスシ詐欺[http://dic.yahoo.co.jp/tribute/2005/03/14/1.html] とかいう名前が付いているようですが、「泣き売(ナキバイ)」という由緒正しい呼び名があります。
古典的なやり方では、道ばたなんかで売り子が悲壮感を漂わせて万年筆を売っている、悲壮感で注目を集めることはできますが、これで売り込むのは難しいですから、サクラ登場。寅さんみたいな口上がうまい人が、サクラとして間接的に売り込みをやるわけです。
「おい、何をメソメソして売ってるんだ、そんなんじゃ売れるもんも売れねぇだろう」と大声で話しかけることによって、周囲の関心を集める。同じように不思議に思っていた人が聞き耳を立てる。
「なんだ、工場クビになっちゃったか。そんで退職金代わりに万年筆。これを売らないと生活も立ちゆかない。この不況だもんな。」等と、メソメソしてる役の人は大声で話せないことを、周りの人に聞こえるように解説。
「よし、分かったそういう事情だったら、かわいそうだと思って買ってやるから、モノをきちんと見せてみろ。オレだってこう見えても、万年筆には詳しいんだ。そうやってウソついていい加減な商品売ってるんだったら許さないからな。」とか公平性をアピールしつつ、「なんだ、こんなに良い品物じゃないか。これをこの値段で売るってのは、相当困ってるんだな。」「ねぇ、みなさんも買ってやって下さいよ。」というのがクライマックスだ。
この商法。客の「かわいそうだから何とかしてあげたい」という善意と、「良いモノを安く手に入れたい」という欲の両方に訴求してくるという極めて巧妙な方法だ。
この手でスパコンを売り込む手法も 提案[http://www.t3.rim.or.jp/~s-muraka/bkantei02/kantei19.html] されている様だ。

「リンクを張る時は相手の許可を得ること」と教育するのは「間違っている」と主張してきた。「許可を得た方が良い」も間違いだ。
教育するならば、 リンクは出典の明記[http://www.nantoka.com/~kei/diary/?200502a&to=200502041#T200502041] だと言うことと、正当な引用とパクリの違いを説明すべきだ。
世の中には、もちろん無断で、正当な引用を行っている出版物やサイトが数多く存在している。「リンクを張る時には相手の許可を得ること」と指導された子どもが、この現実に直面してどの様に考えるだろうか。
正当な引用という概念を知らなければ、「みんなパクッっているじゃないか」と考えてしまうし、自分がページを作った時に、勝手にリンクを張る他人の方を間違っていると判断するようになる。
もっと差し迫ったことを言えば、「このページは友達専用」とかいうページに平気でプライバシーを書いてしまう子が出てくるかも知れない。
「インターネットとは」の説明では、「インターネットでは公開した時点で、誰でも自由に読むし、どこからも参照される」という説明をしたのだから、この原理原則を変える間違ったルールを教える必要はない。
子どもの頃から教育の現場で間違ったこと教えて、再生産されていくと、タイトルの様な人が多数を占めてしまうかも知れない。ウェブの世界ではなくなる。
こういう指導がなされる背景には、 自由なリンクを認めなかったり[?200502a&to=200502033#200502033] 、 リンク設定届出書の提出を要求[?200502a&to=200502042#200502042] するお役所の文化が横たわっている気がする。
お役所のお墨付きを得て、 無断リンク禁止教[http://d.hatena.ne.jp/HiromitsuTakagi/20040426#p2] が布教されていく。

□ 素通り禁止教[http://dp27007957.lolipop.jp/htdocs/mt/200501221009.php]:

自治体からのお知らせをRSSで配信している事例を見つけたのは初めてのような気がする。素晴らしい。
自治体の情報発信ということでメールマガジンを発行している自治体も多いが、個人情報保護まで考えると、メールマガジンには結構なコストが掛かっている筈だ。
不達アドレスの管理もしなければいけないし、 ウイルスを配信[?200503b&to=200503164#200503164] してしまう様な事態を避けるための対策も必要だ。
そういうことを考えると、もっとRSS配信が活用されて良いように思う。

□ リンクについて[http://www.yonago-city.jp/policy_link.htm]:

sshコネクションを外に対してしか張れない2台の間でsshを張りたくて *1 ちょこちょこっと。
で、host1のsshポートをmyserverの10022に引き出して、 で、host2の20022に持ってきて、 で解決。localhostのサーバ鍵が違うよって言われたりするけど。

昨日は九州でも地震があったが、東京はもっと大変なコトになっていた様だ。

ＮＨＫ広報局などによると、同サイトでは１７日午後４時から１３分間、「都内全域でＪＲ各線の線路が炎上しています」、「新宿駅のプラットホームが陥没しています」といった架空の情報が複数誤って載せられた。

ＮＨＫ“大誤報”…携帯「都内全域のＪＲ線路が炎上中」[http://zakzak.co.jp/gei/2005_03/g2005031901.html]

当のサイト[http://k.nhk.jp/] には、何のお知らせも掲載されていない様だし、 お知らせ[http://www.nhk.or.jp/pr/koho.html] も出ていない。誰も信用していないと送り手側は判断したのだろうか。 インターネットでの情報提供を始めた時には、

インターネットはいまや、人々の生活や企業経営などに必要不可欠な道具となっており、我が国の社会経済基盤として、その重要性はますます高まっています。
こうした状況を踏まえ、平成17年度、ＮＨＫでは、放送を補完する観点から、インターネットのホームページを利用して、放送番組の二次利用や関連情報の提供を充実させ、視聴者のみなさんの生活に一層役立てていただきたいと考えています。
(中略)
なお、視覚障害者および携帯端末向けにもニュース情報などを提供します。

平成17年度 放送番組補完インターネット利用計画, 平成17年2月[http://www.nhk.or.jp/pr/keiei/netriyou/]

と重要性と必要性をアピールしたはずだ。ミスをした時だけ、影響が小さかったと判断するのはよろしくない。
しかし、よりにもよって、どうしてこういうテキストでテストをしますかね。

最近、 Nessus[http://www.nessus.org/] な様な脆弱性スキャナや、 Tripwire[http://www.tripwire.org/] の様な改ざん検知ツールが手軽に導入できるようになっている。 この様な優秀なツールが身近に導入できるようになるのは素晴らしいことだ。
だけれども、こういったツールは「これを導入すればセキュリティ対策はバッチリ」という魔法のツールではない。
脆弱性スキャナは、問題かも知れない項目を指摘してくれる。自動化することによって、面倒な操作を代りにやってくれるし、見落としを無くしてくれる。分かりやすいレポートも作成してくれる。けれども、その攻撃や問題に対処するにも判断するにも、問題の本質に対する知識や理解は不可欠だ *1 。
セキュリティホールに対する正確な知識が無いのに脆弱性スキャナを動かして、「こんなにレポートが出力された」と大騒ぎするのは本末転倒だけれども、ツールの使い方から入ってしまうと、往々にしてそういうことをやってしまう。 脆弱性スキャンツールの使い方をマスターしたことを、脆弱性スキャンをマスターしたことと勘違いしてしまうのだ *2 。
改ざん検知も同じような問題がある。改ざん検知システムを稼働させることは、実は運用設計と表裏一体だ。
例えば、CGIを使ったシステムで、ログやデータファイルの様に、動的に変更あるいは生成されるファイル群と、静的な筈のコンテンツが混在するようなディレクトリ配置は好ましくない。
これを放置したままで、改ざん検知システムを導入した場合、改ざんの警告が擬陽性に紛れてしまったり、静的な筈のファイルを検知対象から誤って外してしまうようなミスがやがて起こる。
そういったミスを防ぐように運用設計できて初めて、改ざん検知がシステムとして動き出す。
運用の問題を放置したまま、「改ざん検知システムを導入しました」というのは、実は「ツールを買いました」に過ぎない *3 。システムとして運用して初めて、セキュリティを高めることができる。

ところどころ読んで、良い本だと思っていたのだけど、今回初めて全編通してしっかり読んだ。「13歳」と銘打っているけれども、大人が読むにも良い本だ。特に就職と就社を混同して悩んでいる学生さんは、世の中こういう考え方で生きる方法もあるのかという発見があるかも知れない。
「13歳」が自分で読むにはちょっと難しいかも知れないけれども、将来の生き方を考えるのは真剣なことだから、妥協しないで難しいこともきちんと書いてあるのは良い。 単純に夢や希望を語っているだけの本では無いと言うことだ。
既に仕事に就いている私が読んで思ったこと。この本には数百種類の仕事が紹介されているけれども、今、自分がやっている仕事よりやりたい仕事は無かった。これはありがたいことだ。今の仕事に頑張る意欲が得られた。

□ 2034 ばんごはん:

otsuneさんとこ[http://www.otsune.com/diary/2005/03/22.html#200503223] から。
「発注したWebアプリケーションの開発が終わって、納品されたときにやっておくべきセキュリティチェックの為のリスト」という立場が良いですね。
開発者がチェックするのは当然。

「チケット使うと激安！」という情報が流れていたので、2台購入。消費税・送料込み45,399円(2台で)でした。
手持ちのパーツに要るもの足してちょっとしたサーバ作ろうと思っても、きっとこの金額にはなりそうにない。
メモリがECCなので買い足すと結構な値段になるし、普通のメモリとは混在不可の様なので、1台から抜いて刺しちゃうということを目論んで2台。

「母親が倒れた！」ということなので、お見舞いに。そこまで心配な状況では無いようだ。一安心。

大学によって、先生と相談。1年間ほど休学する方向で。

□ 留年カウンセリング:

BOX HEAD ROOM[http://tamac.daa.jp/archives/200503/21.php] から、 Stressful Angel[http://stressfulangel.cocolog-nifty.com/stressful_angel/2005/03/_323_.html] 経由。
素晴らしいハックだ！

この先、どの様なストーリー展開になるか分からないけれども、こういう製品を作る人は、生体認証の重要性を分かっていないのではないかと思う。こういう製品を薦めて良いのだろうか。

販売会社の人からは、あっさりと「そうです。 ある意味オモチャみたいなものですが、流出させたくないファイルにアクセスするために、二重・三重のハードルを加えることで、セキュリティーのレベルはかなり上がるんですよ。実際、会社に置いてあるコンピューターに、ハードディスクを外付けにできるくらい信用されている人になら、そのファイルは見られても構わないんじゃないですか？」と、明確な回答。そりゃそうだ。

トラブルたずねて三千里：（191）「セキュリティー」って面白い（上）[http://www.mainichi-msn.co.jp/it/coverstory/archive/news/20050322org00m300063000c.html]

生体情報は究極の個人情報だし、変更できないという特徴を持つ。 無くす心配や忘れる心配が非常に低いし、機器がきちんと作られていれば、なりすましの被害を受ける可能性も低い。
パスワードは使い分けをする。
パスワードは秘密の共有によるセキュリティだから、本当は全ての相手に対して各々別のパスワードを使用した方が良い。だけれども、ありとあらゆるものにいちいちユニークなパスワードを使うのは大変だから、レベルを分けて運用している人が多いと思う。
例えば、本当にセキュアなサーバに使うパスワードと、毎日、時には自分が管理していない端末からログインするために使うパスワードは分けている場合が多いだろう。相手が平文でパスワードを記憶しているかも知れない、よその掲示板等の削除用パスワードに同じパスワードを使う人もいないはずだ *1 。
こういった序列で行くと、生体情報を究極のパスワードあるいはIDとして使うためには、 生体認証機器は信用されなければならない[http://www.nantoka.com/~kei/diary/?200503a&to=200503091#T200503091] 。
生体情報そのものを内部に持つべきではないし *2 、自分が持ち歩くデバイスを介して本人であることの証明を行うシステムになっているべき *3 だ。
マイクロソフト社が、 指紋リーダー製品[http://www.asia.microsoft.com/japan/presspass/addcont.aspx?addid=605] を出しているけれども、

フィンガープリントリーダーは、 セキュリティを強化するための機能ではありません。企業ネットワークへのアクセスや、財務情報などの機密データを保護する目的では使用しないでください。

パスワードが必要な Web サイトにワンタッチでログオンすることが可能な指紋リーダー単体製品「Microsoft(R) Fingerprint Reader」を12月10日（金）より発売[http://www.asia.microsoft.com/japan/presspass/addcont.aspx?addid=605]

という様なレベルの安全性の様だ。こういう意識で指紋情報を扱ってもらうのは困る。
「指紋を使っているから安心」という様な「なんちゃって生体認証機器」が普及すると、生体情報のセキュアさが薄れてしまう。そうなってしまうと、きちんとした生体認証機器であっても、もはや安心して使えなくなってしまう。「おもちゃ」に生体情報を使ってはいけない。

□ [エレクトロニクス]Microsoft Fingerprint Reader [DG2-00003][http://www.amazon.co.jp/exec/obidos/ASIN/B0006O4IDA/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

日記をWebに公開し始めたのは、 1998年10月14日[?199810b&to=199810140#199810140] なので2500日程度経っているけれども、書いていない日が結構あるので、記事を書いた日がどれ位あるのか数えたら、802日分あった。
結構な日数続いてる様だ。

良いものを見つけた。メモ。

Masudaさんとこ[http://unixluser.org/diary/?200503c&to=200503224#200503224] から。議論は お金について考えたこと[http://d.hatena.ne.jp/sakidatsumono/20050317] の方で進んでいます。

判定結果は下記の通りです。

保守・リベラル度 -9.06
(経済的な)右・左度 6
あなたの分類はリベラル右派です。
保守は伝統や公共の福祉を重視し、リベラルは個人の自由を重視する価値観です。
右派は小さな政府、左派は大きな政府を志向する価値観です。
いわゆる右翼は保守に、左翼はリベラルに対応しますので、ご注意ください。

「戻る」ボタンで前の画面に戻ってください。

日本版ポリティカルコンパス(ドラフト1版)結果[http://sakidatsumono.ifdef.jp/political-compass.html]

らしい。上下左右の幅が分からなかったけれど、 [政経羅針盤]今日のメモ[http://d.hatena.ne.jp/sakidatsumono/20050322#p1] によると、「上下軸が上は+5、下は-7あたり。左右軸は±7程度。」の様だ。あれ？
確かに「個人の自由を重視する価値観」が非常に強いし、「小さな政府」は原則として正しいと思っている。原則に反する回答をしたのは、

地方切り捨ては許容すべきではない [同意する]
教育は国が財政保障すべき [強く同意する]

位だ。これに関しては、以下のような思いがある。
地方を「切り捨て」るのは許容できない。これまでいわば、地方からの借りで、一極集中を作り出すことによって、国全体の急速な成長を実現させたのだから、この借りは返す必要がある。
教育は日本の唯一と言っても良い位の資源だし、個人に最後に残る財産として教育があるのは、セーフティネットとしての役割を果たすはずだ。

□ 自分の政治的位置を知る[http://hatahata.mods.jp/archives/2005/02/post_148.html]:

知人からこういうWeb日記を付けてみたいという相談を受けて、ちょっと調べてみた。
無料のblogサービスでも良いのかなと思ったけれども、例えば、

ユーザーが本サービスにおいて情報等を掲載等した場合、ユーザーはエキサイト株式会社に対して、当該情報等について全世界において無償で非独占的に使用する権利（複製権、頒布権、翻案権、送信可能化権を含む公衆送信権を含みますが、これらに限られません）を許諾したものとみなします。また、ユーザーはエキサイト株式会社に対し、情報等に関して著作者人格権を行使しないものとします。

エキサイト・サービス利用規約[http://regist.excite.co.jp/idcenter/new/?pname=blog&brand=xcit&targeturl=http://www.exblog.jp/login.asp]

の様な条項が入っている。ここでエキサイトを取り上げていることに他意はない。分かりやすいところに書いてあったからというだけの話だ。
こういう条項が入っていると、例えば、過去に書いた記事を訂正あるいは削除しても、それが間違った情報を含んだままで、自分の名前の元に例えば出版されることがあったとしても、全く文句が言えないということになる。これは恐い。
システムを無償で借りるために、自分のコンテンツを一部とはいえ、他人のものにするのは、私には抵抗がある。
もっとも、有償だから大丈夫かと言えば、これは規約を確認してみる必要があるのだけれども、少なくとも発信するコンテンツの内容について、何らかの形の制約は必ずと言って良いほど設けられている。
私の場合、コンテンツの権利と責任は自分のものにしておきたいので、これを実現するためには自分のサーバで運用するしか無いようだ。

竹島問題、 毎年８月にやっている アリラン祭り[http://kyushu.yomiuri.co.jp/maturi/maturi42/42_ariran.htm] に変な方向で影響を与えないかなぁと心配していたのですが、 「対馬は朝鮮領土」中国１５世紀の地図見つかる[http://japan.donga.com/srv/service.php3?biid=2005031793628] という大変な格好で飛び火。
既に、 「対馬島は我々の領土」[http://members.at.infoseek.co.jp/koreawatcher/docs/tusima2.htm] という主張もされている様です。
ちなみに、対馬は長崎県。「壱岐・対馬」と言うので、「イキツ島」という島があると思っている人も時々いるようですが、それは違います。「壱岐島と対馬島があるのね」っていうのも微妙に違います。
対馬を韓国として表示したテレビ番組[http://myjulia.btblog.jp/lk/kulSc01AA420E37CB/1/] もありましたが、非常に残念に思います。
日本一離島の多い長崎[http://www.pref.nagasaki.jp/koho/plaza/no1/no1_1.html] にいると、こういう外交問題の時以外も、もう少し普段から島にも目を向けて欲しいと思います。

これまでにスパムが宣伝する商品サービスの購入にまで至ったことがあるとの回答も、全体の1割以上に達したとされる。

スパムの意外な事実……読んでクリック、買っちゃうユーザーまで多いと判明, 2005/3/24[http://pcweb.mycom.co.jp/news/2005/03/24/005.html]

滅多にないことですが、spamあるいは勝手にオプトインのメルマガもどきで、欲しいものを見つけることがあります。ですが、絶対にその業者からは買わないようにしています。
製品を作っているところが発信している場合は、いくらその商品が魅力的に見えても、その商品は買わない様にしています。
理由は三つあります。
まず、ここで問題にされている様に、spamが結果として利益につながることを少しでも防ぐためです。spamによって実際にものが売れるからこそ、spamを送ろうとする業者が後を絶ちません。
二つ目、spamの様な非道徳的な宣伝行為を行う業者が信用できるかどうかという問題です。広告ページにはいくら効果的な文言が並んでいても、それは全部ウソである可能性があります。何しろspamという非道徳的な宣伝行為を行う業者ですから、それで製品が売れるのであれば、誇大広告をすることに抵抗は無いでしょう。
三つ目、spamを平気で送るような業者が私の個人情報を守ることを真剣にいるとは到底思えません。お金になるのだっら、送信先名簿を買った時の様に、客の情報をよそに売ることに抵抗は無いでしょう。
広告元には悪意はなくても、「正規の手段で集めたメールアドレス」とか「オプトインだから大丈夫です」とか「弊社が発行しているメールマガジンに」という言葉を信用して、spamに広告を出稿している例もあります。
これらも、悪意があるのかどうか判断ができませんから、残念ながら、購入の対象から外すことになります。
最近ではspamを公開している人も多くなりました。一度でもspamに広告を載せてしまえば、ブランドイメージが崩壊するということです。
普通の広告手段で「この製品を買ってみようかな」と思った人が、本当にその会社が信用できるのかどうか心配しているといった状況を考えてみて下さい。
情報を集めるために、検索エンジンで製品名を検索してみると、あやしげなspamに出している広告がたくさん引っかかってきます。
もちろん、その会社のページも見つかりますが、もはや、その製品は信用できなくなってしまいます。
マーケティングを考えた時に、インターネット広告媒体は比較的低い費用から取り組むことができますが、他の媒体よりも掲載される媒体に注意が必要です。雑誌はその雑誌のジャンルに興味を持っている人しか読みませんが、インターネットは後で検索ができます。
例えば、成人向け情報を満載したようなメールマガジンに広告が掲載されると、そういうものに興味を持たない人でも、製品名から検索した結果、そのメールマガジンを見ることになるでしょう。この場合、製品を検索した人が、成人向け情報に嫌悪感を持つ人であれば、その製品を買おうとしなくなるでしょう。それがspamだったらなおさらです。
広告代を払って、ネガティブな印象を与えるということが、起きてしまうわけです。 インターネットに広告を出稿する時はどういうメディアにどういう形で掲載されるか、絶対に注意が必要だと思います。

Masudaさんとこ[http://unixluser.org/diary/?200503c&to=200503242S2#200503242S2] から。
1アマでも、毎分25字になりますよ！

「母親」がblogで情報提供を呼びかけていて、これが話題になっていた。
こういうケース、ネットにいる人達の多くは、何か助けてあげたいと思うし、無数の人の小さな善意を積み重ねて、何かができる可能性がネットにはあると思う。
だけれども、悪意のある人にも情報が拡散していくのがネットの難しいところだ。
例えば、母親が書いているとしているblog。これが本物かどうか、私には確信を持てなかった。非常に悪いケースを考えると、全く無関係な人が他の子どもの写真を使って、ネットを騒がせて楽しむページを作ったという可能性を否定できない。
万が一そうだったとすると、そこにリンクを張ることによって、誤った情報を流布させて、本物の親御さんに迷惑を掛けることになる。写真を無断で使われた子どもも将来に渡って被害を受けることになる。
そういった判断で、私はリンクを張っていない。
インターネットが信頼できるメディアになるためには、利用する人一人一人に、情報を取捨選択する能力が求められる様だ。それが嫌だったら、旧来のメディアに取捨選択の判断を委ねるしかない。
この問題。旧来のメディアに一切頼らずに、みんなが「確かにこの人が母親で、この写真は本人の写真で、実際にそういう事件が起きている」と確信できる情報の発信をするにはどうすれば良かっただろうか。インターネットメディア、日記やblogによる情報発信の将来に関係する課題だ。
メディアリテラシーの演習課題に良いかも知れない。

文化庁所管の社団法人「コンピュータソフトウェア著作権協会」（東京都文京区）の ホームページ（ＨＰ）からサーバーに侵入したとして、不正アクセス禁止法違反の罪に問われた元京都大学研究員・河合一穂被告（４１）の判決が２５日、東京地裁であり、青柳勤裁判長は「自身の能力、技能を誇示したいとの動機もあり、 手口も巧妙で悪質」として、懲役８月、執行猶予３年（求刑・懲役８月）を言い渡した。

不正アクセスの元京大研究員に有罪判決, 2005年3月25日[http://headlines.yahoo.co.jp/hl?a=20050325-00000404-yom-soci]

「ホームページからサーバーに侵入」というのは、「玄関から家屋に侵入」という感じだろうか。良く分からない。この違和感は、 「不正アクセス禁止法 私はこう考える」[http://takagi-hiromitsu.jp/diary/20050324.html#p01] の記事に、「建造物侵入との対比」として触れられている。
今回の手口を「巧妙で悪質」とすると、

今回の個人情報の盗難は魔法の様な技術を持ったハッカーによって行われた。魔法に有効な対策はない。従って当社には責任はない。

サーバ管理者日誌「セキュリティ、どこまでやれば大丈夫？」――経産省、不安をなくす指標作りへ」, 2005年1月27日[http://www.nantoka.com/~kei/diary/?200501c&to=200501273S2#T200501273S2]

を助長 *1 する気がする。
この事件については、どうも報道する立場の人が良く理解していないままに報道しておかしいことになっているんじゃないかという気がする。注意して読まないと。

□ 不正アクセス禁止法 私はこう考える[http://takagi-hiromitsu.jp/diary/20050324.html#p01]:

「今回の判決がサイバーノーガードの勝利を意味するということではない」[?200503c&to=200503252F1#200503252F1] と書いたけれども、個人情報を盗み出された直接の被害者が、管理側に不備があったとして民事の訴訟を起こした場合にどうなるかという話と、今回の刑事事件の判決は別の話だと思ったからだ。
例えば、倉庫業をやっている人がお客さんから預かった物が泥棒にあって盗まれてしまったという状況で、泥棒が窃盗という行為について有罪に問われるか否かと、お客さんから預かった品物を失った倉庫業者の責任の有無は直接はリンクしていない。
ただ、「巧妙で悪質」と言ってしまうと、「不可抗力だった」という抗弁をしやすくなる様な気がする。「倉庫業をやるんだったら頑丈な倉庫にしまって鍵を掛けておくべきじゃないか」と利用者が主張するのに対して、「こんなに巧妙な手口は予見不可能だった。不可抗力だ」と言う反論に使われるのではないか。
実際、法廷において、刑事事件の判決をこういう形で民事事件の論拠として提示することが可能なのだろうか。だとすると、どの程度の証拠能力を持つのだろうか。
いずれにしても、今回の件について「巧妙で悪質」という必要があったかどうかは疑問である。巧妙かどうかは罪状の構成に関係が無いし、こういった事件で手口に善悪は無い。

で、office氏が悪くて、ACCSは悪くないって言いたいの？
結局どっちの味方か分からない。

身近な名無しの読者さん

という指摘を受けたので、結論をまとめる。
刑事上、「不正アクセス」をしたのは事実でoffice氏も管理者が認めた積もりのないアクセスだという認識はあったはずだと思う。刑事上罪になるかどうかは、刑事で争われることであって、私自身はこれを不正アクセスにあたるとする解釈を疑問に思っている。
悪いかどうかについては、やり方にも問題があったと思うし、特に事後処理に問題があったと思う。しかしながら、不正アクセス禁止法で処罰されるとすると実はこれは関係がない問題なので、実際の法の運用の境界がどこに引かれるのかが不明確 *3 なことが不満だ。
民事上は、ACCSは責任を免れないはずだ。ところが、盗まれた個人情報の性質もあって、被害者は実際にはなかなか訴えないだろう。訴えられなければ事件にはならないから、裁判で「悪い」と言われることはない。だけども、一般から集めた情報を適切に保護していなかったACCSが「悪かった」ということは証明された。
だけれども、誰かが「悪い」ってことを証明するためだからと言って、自分がやった悪いことを免責してもらえることは普通はない *4 。やるとすれば逆に法制度が必要だろう *5 。
結局、「どっちも悪い、ただし文脈が異なる」が結論ですけど、まとまっていますか？

調べものとかで調べたURIをメモ

□ 不正アクセス行為の禁止等に関する法律違反の判決公判を傍聴した記録[http://sp.homelinux.com/seer/lib/05u/jl.html]:

□ Ajax: Web アプリケーション開発の新しいアプローチ[http://antipop.zapto.org/docs/translations/ajax.html]:

□ SAJAX - SIMPLE AJAX TOOLKIT[http://www.modernmethod.com/sajax/]:

□ それでも弁当禁止　抗議殺到　持ち込み問題[http://www.chunichi.co.jp/expo/news/20050318_011.html]:

おやすみに読んだ本をメモ

□ [和書]近くて近い人のことば―韓国人から日本人へ[http://www.amazon.co.jp/exec/obidos/ASIN/4915924815/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

□ [和書]竹島は日韓どちらのものか[http://www.amazon.co.jp/exec/obidos/ASIN/4166603779/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

□ [和書]日本一怖いインターネットの本―ID・パスワードが簡単に盗まれる!個人でも最低限しないと怖い設定・対策![http://www.amazon.co.jp/exec/obidos/ASIN/4756908403/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

□ AC関連:

本当に「中傷」だったのかどうか検証した記事はないものだろうか。

Stressful Angel[http://stressfulangel.cocolog-nifty.com/stressful_angel/2005/03/_326_.html] から。 元記事。
[http://cnews.canoe.ca/CNEWS/WeirdNews/2005/03/07/953315-ap.html]

５０杯以上のテキーラのショットグラスを飲んで急性アルコール中毒になり、病院に搬送されるも心不全でなくなったそうです。

テキーラ早飲みコンテストで優勝者死亡, 2005年3月21日[http://10e.org/mt/archives/200503/210126.php]

さすがのドミニカ人もテキーラ５０杯はムリだった様です。
ちなみに、 ロシア人もウオツカ1.5リットルはムリ[?200311b&to=200311201#200311201] な様です。

発注していた本とハードが届いた。

□ [和書]BSD magazine No.17 (2003) (17)[http://www.amazon.co.jp/exec/obidos/ASIN/4756143458/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

□ [和書]FreeBSD expert―ワンランク上のFreeBSDユーザを目指せ! (2005)[http://www.amazon.co.jp/exec/obidos/ASIN/4774122092/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

□ [和書]セキュリティウォリア―敵を知り己を知れば百戦危うからず[http://www.amazon.co.jp/exec/obidos/ASIN/4873111986/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

□ [エレクトロニクス]Microsoft Fingerprint Reader [DG2-00003][http://www.amazon.co.jp/exec/obidos/ASIN/B0006O4IDA/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

コメント[http://www.nantoka.com/~kei/diary/board.cgi?act=read&msgid=201] を頂いた。
確かに、情報の受け手が真偽の推定をより確かにする方法はあって、そういう注意を払っていくのが、インターネット上の情報を活用する読み手のリテラシーだと考えています。
特に日記の様なメディアで実感するように、インターネットは双方向メディアですから、参加者全員がコミュニケーションにある程度の責任を持っていると考えます。
もっともっと、日記やblogの様なメディアが普及した時の事を考えると、リンクを張ることの意味をある程度理解して、みんなが自分の意志でリンクを張るようになると、デマ記事や悪意のある記事はフィルタされていって、全体を見るとゆるやかなネット民主主義による記事の配信が実現できるのではないかと思ったりするわけです。
そういった社会の中で、より広く記事を広めたいと思ったら、最初の発信者が信用される工夫をすれば良いのですが、そういった方法として何があるかを考えていました。
ところで、今回の記事には県警の生活安全課の電話番号が記載されていたけれども、チェーンメールかも知れないという記事で、公的機関の電話番号が書いてあって、「そこに確認しよう」というのは注意が必要だ。
そこに書いてある番号は、いやがらせ先の普通の個人の電話番号かも知れないし、本当に公的機関かも知れないが、問い合わせの電話で本来の業務に支障が出る場合もあるからだ *1 。ここまで考えると、記事の送り手と受け手の双方が工夫をしないとなかなか難しい。

それでも弁当禁止　抗議殺到　持ち込み問題[http://www.nantoka.com/~kei/diary/?200503c&to=200503261S4#T200503261S4] 関連。
食べ物の怨みは恐ろしいですからね。

夏休みは、わたしと弟のリョウタと、お父さんとお母さんで、万博に行きました。
お母さんが朝早く起きて、お弁当を作ってくれて、お昼に食べようと楽しみでした。わたしの好きなからあげと、リョウタはエビフライを作ってもらいました。
入り口のところで、係の人が、「弁当は持って入ってはいけないから、ここで捨てなさい」と言いました。捨てないといけないことになって、少しだけ食べたけど、せっかく作ったのにすごく悲しかったです。お母さんはすごく悲しそうでした。お父さんはすごく怒っていました。
会場は広くてたくさん並んでいました。いっぱい歩いて疲れたのでパビリオンを出たところで、おなかが空いたのでお昼ごはんにしようと言いました。
食堂に入ったらすごく混んでいて、お父さんとお母さんはおそばを食べて、わたしはチキンライスを食べました。待っている人がいるから、早く食べなさいと言われて急いで食べました。パフェを食べたいと言ったら、お母さんが「待っている人がいるからだめ」と怒りました。
お金を払う時になって、またお父さんが怒って、お父さんとお母さんがけんかしたみたいになりました。せっかく万博に来たのにリョウタと一緒に悲しくなりました。
暑かったので、のどがかわいたけど、お母さんが「それくらいがまんしなさい」って言って、お父さんが「ここの飲み物は高いからがまんできるよな」って言ったから、わたしはがまんしました。リョウタはがまんできなかったので、カップに入ったジュースを買ってもらいました。カップのジュースは安いのだそうです。
昼からは、お父さんが疲れたと言って、お母さんも早く帰ろうと言ったので、展示を一つだけ見て帰りました。
おみやげを買おうと思ったのに、お父さんが「こんなところでもうお金を払わなくて良い」と言って怒ったので、買いませんでした。

という話を、３５年位経っても、昨日のことの様に思い出すに違いない。

帰ってきた模様。
情報が一人歩きしてチェーンメール化しないかどうか心配になってきた。

例の大変な翻訳になってしまったという話の本。予約できる様になった模様。
より詳しい情報は、監訳の 鍋島公章さんのページ[http://www.kosho.org/books/networksa/] からどうぞ。

長崎県議会[http://www.pref.nagasaki.jp/gikai/] 平成16年11月定例会の議事録から。 「長崎県のＩＴ産業の伸び率は非常に低い。」という指摘に関連して。

この「ながさきＩＴモデル」の一つの柱として、リナックスのようなオープンソースのソフトウェアを使うということがございます。
それで、地場企業が「ながさきＩＴモデル」を採用するかどうかにかかわらず、ＩＴ は、技術革新が早い分野でございますので、常に研修等を受けていただく必要があるんですが、「ながさきＩＴモデル」 オープンソースソフトの採用というのは、世界的なＩＴの技術革新の流れに沿っているというふうに考えております。

高原剛長崎県総務部長, 長崎県議会平成16年11月定例会, 平成16年12月2日

「当然だ、何をいまさら」って思うかも知れないけども、「県」がこれだけはっきりと、「世界的なIT技術革新の流れに沿っている」と明言するのは、実はすごいことなのだ。
もし、オープンソースがブームで終わったら、この時こう言ったじゃないかと必ず指摘される。だからこそ、それだけの確信がないと、こうはっきりとは明言できない。

ひどいロボットがいて、リンクを根こそぎ再帰的に持って行こうとするものだから大変。
して回避してみる。

一度手続をすれば、関連する手続を一気に完了させられるという様なサービスを提供しようというのが ワンストップサービス[http://e-words.jp/w/E383AFE383B3E382B9E38388E38383E38397E382B5E383BCE38393E382B9.html] で、特に行政分野では、例えば引っ越しする時に、何度も色々な窓口で手続をしなきゃいけないという様な問題が顕著で、これをITで解決しようという方向で流行した。
CRM[http://e-words.jp/?w=%82b%82q%82l&headline=%8C%A9%8Fo%82%B5%8C%EA%8C%9F%8D%F5] も一頃流行した概念で、例えば、購買からサポート等の履歴を、ITを活用してマネジメントして、顧客満足度を向上させ、関係を深くしていこうという方向で流行した。
例えば、引っ越しの時に、行政がやっている水道に留まらず、ガスや電話その他の全ての住所変更手続が一回でできれば、確かに便利だ。
ホテルに泊まった時に、前回、そば殻マクラを使っていたら、最初からそば殻マクラがセットされていたりすると、気が利くなと思って評価が上がる。
だけれども、いずれも個人情報保護法と両立させるのが難しい側面を持っている。
実際に、個人情報保護対策で明らかに不便になったサービスもいくつか存在する。簡単なところで言えば、ピザの出前が今まで電話番号で済んでいたものが、毎回、住所を説明しないといけなくなったりしている様だ *1 。 個人情報保護対策特需が一巡したところで、この辺りを上手に解決できるソリューションが再び求められるようになると思う。

罰則を強化すれば解決するというものではない。
プライバシー保護、例えば深刻なドメスティックバイオレンスやストーカー行為を受けている状況で、シェルターを提供する組織が携帯電話を提供する場合もある。
逆に、この法律ができたからと言って、最初から犯罪に使おうという犯罪者に対する抑止力には働きにくい。一つ罪が増えるだけの話だ。
「犯罪に使われる可能性があるから規制」って方向で行くと、橋の上げ下ろしにまで国家が口を出す社会になって、小さな政府は実現できない。

書き上げた！なんとかページ数に収めた！

佳境に入ってきた。このシリーズ、人事問題が発生したり、なかなかドラマチックで読み物として面白い。

「オレの無線LANのアクセスポイントの電源を切ったのはお前か？」
「はい、そうですが何か？」
「おかげでネットワークにつながらず、午前中無駄にしちまったよ。人のネットワーク機器を勝手にいじるんじゃない！」

にわか管理者奮闘記〜第2回 社内ネットワークの恐るべき実態[http://www.atmarkit.co.jp/fsecurity/rensai/beginner02/beginner02.html]

「オレのPCをネットワークから切り離したのはお前か？」
「はい、そうです。別の部署ですが、先日ワーム感染があったので、高原さんのPCがカリカリ動いているようでしたし、用心のために切り離しておきました」
「帰宅時にファイルのダウンロードを仕掛けて帰っていったんだ！」

にわか管理者奮闘記〜第2回 社内ネットワークの恐るべき実態[http://www.atmarkit.co.jp/fsecurity/rensai/beginner02/beginner02.html]

とか、ネットワーク管理をするには、なかなかスリリングな職場だ。

現行の「みどりの日」は五月四日に移動ですか。混乱するなぁ。
でも、昭和の日だけ特別扱いなのは長期的に見るとバランスを欠く気がする。

これはビジネスになるなぁと思っていたら、 エルゴ・ブレインズ、P2Pコンテンツ配信システムを開発〜「本格的動画配信」有料サービスを開始予定!!〜[http://release.japan.cnet.com/article.php?id=1694] という記事を見つけた。

某サーバのSSL鍵を入れ替えたり。秘密鍵の取り扱いには気を使う。一時的に置いたら、消す時には、rm -P するとか。
安全に保存するのは難しいから、秘密情報のコピーを簡単に作ってはいけない。

６Ｐチーズとこいもの煮物、みそ汁、ごはん、おつけもので３０００円というパロディ画像 *1 があったけれども、こんなのがパロディと気づかれずに流布してしまう時点で、失策だったのだろうと思う。
実際のメニューの価格表等をまとめたページとして、 【愛知万博】会場内の飲食店リスト[http://www.hinalog.com/archives/cat__.php] を見つけたけれども、これを見る限り、そう高い値段では無い様に見える。
結局のところ、「弁当を取り上げられた」上に、「途中出場を許さない」という不満と、一部のぼったくり店の海の家 *2 式営業、ごはんを食べるためにも並ばないといけないと言った不満が、デマを混ぜながら拡散しているだと思われます。
デマを流す時は、ある程度の事実に少量のウソを混ぜるのが信用されやすい方法で、公式発表が遅れると情報不足からデマでも信じてしまうという状況が生まれやすくなります。
この辺りからも、事件を起こした時の正式発表のあり方を考えることができると思います。

□ 【愛知万博】予約できる交通機関・レストランなど[http://www.hinalog.com/archives/000381.php]: