2005年04月11日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1 続・PowerEdge SC420[http://www.nantoka.com/~kei/diary/?200503c&to=200503232#T200503232][おかいもの]次の記事 >> このエントリーをはてなブックマークに追加

届いた。
梱包
さすがにきちんと箱に入って(当たり前)送られてきた。
開いてみると、ディスク1台位の増設は苦もなくできそうだ。

音がうるさいという指摘もあったけれども、(既にウチにある)他のサーバと比べてむしろ静かな方だった。安心。

■ 関連記事

■2 PKIよくある勘違い(9)「『詳細設定』ボタンで証明書の使用目的を制限できる」[http://takagi-hiromitsu.jp/diary/20050410.html#p01]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

この記事。ちょっとした操作ミスで消してしまって書き直している。このため、初出の時と微妙に内容が違うかも知れない。
安全な通信を行うための証明書[http://www.nantoka.com/~kei/diary/?200501b&to=200501172#T200501172] について調べた時に、 「安全な通信を行うための証明書」の利用規程[http://www.nantoka.com/~kei/diary/?200501b&to=200501173#T200501173] について、
各県で「安全な通信を行うための証明書」の利用規程を掲げているが、これには判で押した様に
○禁止事項
安全な通信を行うための証明書の入手と設定に当たっては、次に掲げる行為を禁止します。
・本証明書を、証明書ポリシー(CP)に定められている目的以外に使用すること。
○免責事項
・××は、利用者が安全な通信を行うための証明書の入手と設定を行ったことにより発生した利用者の損害及び利用者が第三者に与えた損害について、一切の責任を負いません。
等と書かれている。 証明書ポリシーに定められている目的とは 地方公共団体組織認証基盤・アプリケーション証明書証明書ポリシー(CP)[http://www.lgpki.jp/unei/C-6-2-3_CP_Ap_20041125.pdf] によれば、
1.3.2 適用性・適用環境など
アプリケーション証明書は、以下の用途及びアプリケーションでの使用を前提とする。
・Web サーバ証明書
地方公共団体で運営されるWeb サーバ等の各種サーバに適用し、住民・企業等に対するホームページによる広報及び申請業務等や地方公共団体内の業務システム等で使用する。また、地方公共団体組織認証基盤として運用される各種サーバに適用する。Web サーバ証明書の有効期間は、証明書を有効とする日から起算して3年とする。
を指していると思われるが、これはエンドユーザー向きの内容ではない。
なぜこの禁止事項が書かれる様になったのか推察すると、同じくこのCPに、
2.1.3 証明書利用者の義務
アプリケーション証明書の利用者は、次の義務を負う。
・アプリケーション証明書は、例規に基づき本CP に従って利用する。
・アプリケーション証明書及びその秘密鍵を安全に管理する。
・アプリケーション証明書の管理は、地方公共団体組織認証基盤における認証局鍵情報等利用規程に基づいて行う。
・秘密鍵が危殆化した場合は、速やかに本CP「1.1.2 関連規程」に示す各CPS に定め る組織に報告する。
・アプリケーション証明書は、本CP「1.3.2 適用性・適用環境など」で定める目的以 外で適用しない。
という規定があるからではなかろうか。ここでいう、「アプリケーション証明書の利用者」は自治体でサービスを提供している側であって、サービスを利用するエンドユーザーではない。
と書いた。
ところが、 PKIよくある勘違い(9)「『詳細設定』ボタンで証明書の使用目的を制限できる」[http://takagi-hiromitsu.jp/diary/20050410.html#p01] の記事によると、
東京都は、「サーバ認証」と「電子メールの保護」だけを有効にせよと指示している。「使用許諾」で「禁止事項」とされていたのは、 この通りの以外の設定をする行為が禁止されていたのである。(電話で問い合わせた際、そのような趣旨の説明を受けた。)
と、確かにエンドユーザに対して、「サーバ認証」と「電子メールの保護」以外の証明書として用いることを禁止していた様だ。
同じ「安全な通信を行うための証明書」は他の自治体でも配布されている。例えば、 発行者の部分に「Application CA」と表示されていれば接続先が間違いなく徳島県であり、安全な通信が行われていると主張する徳島県[http://www.nantoka.com/~kei/diary/?200501b&to=200501172S11#T200501172S11] では、
2 安全な通信を行うための証明書 使用許諾

「安全な通信を行うための証明書」を使用するための注意事項です。よくお読みください。

「安全な通信を行うための証明書」の入手と設定の前に、下記規約を十分にお読みください。
下記規約に同意できない場合は、当証明書の入手と設定をお断りします。同意される場合は、下部にある【同意する】をクリックしてください。当証明書の入手と設定の手順に移ります。

1. 禁止事項
安全な通信を行うための入手と設定に当たっては、次に掲げる行為を禁止します。

 (1) 本証明書を、証明書ポリシー(CP:Certificate Policy)に定められている目的以外に使用すること。
との規約を掲げているのだが、 「安全な通信を行うための証明書」のインストール[http://e-nyusatsu.pref.tokushima.jp/03prepare/05.html] の手順に従ってインストールすると、 規約に違反する状態でインストールされてしまう
実は、 証明書の使用目的の設定方法は基本中の基本の設定で、書くまでもないことだったのだろうか。だとすると、証明書の扱いについて、私はまだまだ勉強不足だった様だ。
この手順通りにインストールすると、サーバ認証、電子メールの保護ばかりでなく、IPSecの認証、暗号化ファイルシステム、Windowsハードウェアドライバの確認、Windowsシステムコンポーネントの確認、埋め込みWindowsシステムコンポーネントの確認、キー回復、ドキュメント署名、ファイル回復、すべてのアプリケーションポリシー、秘密キーのアーカイブ等々、 ローカルの証明含めてあらゆることにオールマイティのルート証明書として導入されてしまうということを、ゼンゼン知らなかった。
私の知識と経験では「安全な通信を行うための証明書」を正しく使うことはできなかった様だ。「安全な通信を行うための証明書」を使うためには、まだまだ勉強しないといけないことがたくさんあるが、心配なことはやらないだけの分別があって助かった。
「安全な通信を行うための証明書」のインストール[http://e-nyusatsu.pref.tokushima.jp/03prepare/05.html] を読んでインストールする人の中には、私の様にこのことを知らないで、 規約に違反する状態でインストールしてしまう人がいるかも知れない。潜在的に危険を非常に大きくする。 証明書の使用目的の設定方法は基本中の基本の設定で、書くまでもないことだとしても、ついうっかり 規約に違反しないように詳しく説明しておくべきではなかろうか。

■ 関連記事

■3 Slashdotted[http://tdiary-users.sourceforge.jp/cgi-bin/wiki.cgi?Slashdotted]<< 前の記事 このエントリーをはてなブックマークに追加

朝から日記サーバの様子を見ていると、異常にロードアベレージが高いことに気づいた。こないだ、 ロボットにぼこぼこ[http://www.nantoka.com/~kei/diary/?200503c#T200503294] にされて対策して以来、こういうことは無かったのにと思ったのだけど、トラフィックとログを見て驚いた。
トラフィック
スラッシュドットの記事[http://slashdot.jp/comments.pl?sid=250152&cid=721281] にURLが出たのが、9時51分。
スラッシュドットからリンクされたことで、急激にトラフィックが増加していることが分かる。
ウチのサーバは、Slashdottedにならないで良く頑張った様だ。このマシンは、もうすぐ日記サーバを引退するけれども、これまでよく頑張ったし、最後に「AMD-K6 300MHz, メモリ320MのATマシンでも、これだけやれるんだ」ってことを見せてくれた様な気がする。
引退させるのかわいそうになってきた。ちゃんと余生を過ごす場所を考えよう。

■ 関連記事

詳細はこの日の詳細から

2005年04月12日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1SYA!nikki[SYA!nikki]次の記事 >> このエントリーをはてなブックマークに追加

0050 ばんごはん:

サモサのような何かを作った。
ばんごはん

■ 関連記事

■2フィッシング詐欺防御ソフト関連のコメント[セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

コメントをいくつか頂いた。こういうコメントを頂くのはありがたい。 私がきちんと理解できていない場合は指摘して頂けるのは助かるし、 逆のケースであってもうまく説明できていない事が分かるからだ。
以下で指摘頂いた記事は、うまく説明できていなかったと感じたので、補足したいと思う。

「フィッシングを防ごうという姿勢は評価してもいい」[http://www.nantoka.com/~kei/diary/board.cgi?act=read&msgid=221]:

内容はともかく、フィッシングを防ごうという姿勢は評価してもいいかもしれないです。
という意見は他でも聞くのだが、少なくとも、ここで取り上げている東京スター銀行については、これに賛成しかねる。
「結局、アドレスバーと証明書を確認することに尽きる」[http://www.nantoka.com/~kei/diary/?200504a&to=200504073S5#T200504073S5] あたりから書いたのだけれども、東京スター銀行の場合は、本来であれば真っ先に確認すべきアドレスバーと証明書を確認することができない様にしている。当然、証明書の確認の重要性は説明していないし、そもそも認識していないのであろう。
また、 ログイン画面においては第三者のサイトからスクリプトの挿入を許している[http://www.nantoka.com/~kei/diary/?200504a&to=200504073S6#T200504073S6]
結局、サーバ側で行うべき対策をやらずに、 これ入れればセキュリティ対策はバッチリ[http://www.nantoka.com/~kei/diary/?200504a&to=200504085#T200504085] とばかりにソフトウェアを ユーザ側の危険負担で導入させている訳だ。とにかく客を安心させれば良いとしか思っていないのだろうか。
セキュリティ関する知識が無いのが原因だとしても、「日本企業初!!のセキュリティ」を信用して、被害に遭うのが利用者であることを考えると、事業者として知識が無かったでが許されることではないと考える。

「『SFSとマークする』と『デジタル署名する』は直交した概念」[http://www.nantoka.com/~kei/diary/board.cgi?act=read&msgid=219]:

些細なことですが、ActiveXコントロールにおいて、「SFSとマークする」と「デジタル署名する」は直交した概念かとおもいます。
技術的には全くその通りなのだけど、署名したものを一般に配布するとなると…という論を組み立てれば良かった。

■ 関連記事

■3 続・「スクリプトを実行しても安全だとマークされているActiveXコントロール」は安全か[http://www.nantoka.com/~kei/diary/?200504a&to=200504071#T200504071]<< 前の記事 このエントリーをはてなブックマークに追加

コメント[http://www.nantoka.com/~kei/diary/board.cgi?act=read&msgid=219] を頂いたので加筆。
ActiveXコントロールは一度パソコンの中に組み込まれると、 どこからでもActiveスクリプトを通じて起動することができる。
例えば、 UFJカード[http://www.nantoka.com/~kei/diary/?200504a#T200504041]東京スター銀行[http://www.nantoka.com/~kei/diary/?200504a#T200504073] が導入を勧めたフィッシング詐欺対策ツールだが、例えば、
<OBJECT ID="obj" CLASSID="CLSID:[clsid]" codebase="[url]">
    <PARAM NAME="[param]" VALUE="[value]">
</OBJECT>
と言った感じのコードをhtml中に書けば、誰でも起動できる。上のサンプルで角括弧で囲った中身は、秘密の値ではなく、実際にこのソフトを起動しているページに行けば見ることができる。
だから、私がこのページのhtmlに適当な値を入れて、上記のコードを書いておけば、 いきなりフィッシング詐欺対策ソフトが起動して、閲覧者をびっくりさせるいたずらをすることは可能である。多分。
だとすると、「任意のファイルを盗み出すActiveXコントロールを作成して、ページに置いておき、そのURLをメールで知らせさえすれば、簡単に他人のファイルが盗み出せるのではないか」と考えた方は鋭い。実際にこの方法で詐欺を行った人が既にいる。
そこで、その様な悪意のあるActiveXコントロールをインストールしてしまわないように、様々な対策が採られた。しばらくの間はいたちごっこが続いたが、無署名のActiveXは原則として取り込まないという方針になって、この問題に関しては、一応の解決を見た様である *1
ActiveXコントロールの作成者が証明書を取得して、自分が作成したActiveXコントロールに自分が確かに作成したものだと署名をするわけである。署名がされていれば、署名を確認することによって、誰が作成したActiveXコントロールか確認することができるし、偽物をインストールしてしまう心配はない。
さて、「直交する概念」のもう一つの方。「スクリプトを実行しても安全だとマークされているActiveXコントロール」である。
ActiveXコントロールが組み込まれると、どのページからでも起動できるということを書いた。インターネットエクスプローラーのデフォルトの設定では、一切の警告なく、そのActiveXコントロールが起動する。例えば、コントロールの作成者あるいは配布者とは全く関係の無いページでもコントロールは当たり前の様に起動する。
例えば、あるフィッシング詐欺対策ソフトは、一度組み込むと、このソフトを利用している複数のサイトで自動的に起動できる様になる *2 。何度もダウンロードしなくて良い様になっている訳だ。
「ActiveXコントロールが全く任意に起動されるのだったら、悪意のある第三者が勝手に自分のサイトで、既に入っているActiveXコントロールを起動する心配があるのではないか」と考えた方は鋭い。
実はこれに対応するために、「スクリプトを実行しても安全とマークされているコントロール(SFS)」という概念があり、「スクリプトを実行しても安全とマークされているコントロール」のみが、第三者のページから勝手に起動されることを許される仕組みになっている。
このマークを誰が付けるかと言えば開発者だ。
ActiveX コントロールでは、コントロールの作成者の身元についての正確な識別、コード署名後にコントロールに変更が加えられていないことの検証、およびそのコントロールは安全であるという確認を要求することでこの問題を解決しています。このような解決方法をとっているため、ActiveX コントロールはオペレーティングシステムの能力を完全に利用することができますが、コントロールをインストールして使用しても安全だということを保証するために、認証機関から証明書を取得するという厳格な方法にも依存しています。
(中略)
初期化またはスクリプトを実行しても安全とマークされているコントロールは、 コントロールの初期化にどのような値を使用してもユーザーのシステムに損傷を与えることがなく、どのような方法で初期化を行ってもユーザーのセキュリティを脅かすことはないと、開発者が保証していることになります。

ActiveX コントロールの開発者は、そのコントロールが本当に安全かどうかを確認してから、安全だとマークする必要があります。たとえば、少なくとも次の点について評価する必要があります。

・メモリ リークやメモリ領域の破壊を招く恐れのある、配列のインデックス範囲オーバーや、メモリの不適切な操作を行わないこと。
・初期化、メソッドのパラメータ、プロパティ設定関数など、すべての入力を検証および修正すること (許容 I/O の検証と防御のメソッドを実装すること)。
・ユーザーに関するデータまたは、ユーザーから提供されたデータを悪用しないこと。
・さまざまな環境でテストされていること。
そして、例えば VeriSign[http://www.verisign.co.jp/] は、コード署名に際して、
他の当事者によるデータ、ソフトウェア・システムの使用または操作に損害を与え、不正目的の使用を許し、または妨害することが合理的に予想されるプログラム、アプリケーションによって自動的に変更されるコード、ウイルスまたはデータを排除するために、業界標準に合致した合理的な配慮を尽くしたこと。
を要求している。
この仕組みがActiveXの安全性を支えているのだが、正しく運用されているかどうかという点には疑問が残る。
「安全だ」とマークした上で署名を行ってActiveXコントロールを配布している開発者は、どの程度、安全性を確信しているのだろうか。
世の中には、適当にマークして署名する開発者がいるかも知れないから、ActiveXをインストールする際には、開発者の信頼性まで評価しなければならない。これが一般ユーザに可能だろうか *3
ちなみにマイクロソフトは、先ほどと同じ文書の中で、
誤用されないよう、十分な防護力を備えたコントロールを作成することはプログラマにとって比較的簡単なことですが、他の作成者やプログラマによって作成されたスクリプトと自分の作成したコントロールが一緒に使用されたときの 安全性を保証することは不可能です。
と言っている。
*1: 但し、 高知県[http://takagi-hiromitsu.jp/diary/20050306.html#p01] の例に見る様に、セキュリティ設定を変更させることが一般化すると、攻撃者が同様にセキュリティを変更させる詐術の被害に遭う可能性が高まるし、この様な危険な設定にしたまま戻し忘れて被害に遭うことも考えられる。
また、実装上の問題によって未署名のActiveXコントロールが取り込まれる可能性は否定できない。
*2: 個別に「ソフトウェア使用許諾契約書」のぺージが出てくるが、これは各サイトについて、クッキーを利用して表示するかどうか判断しているに過ぎない。
*3: 幸いなことに、「署名」されているのだから、署名者をどれだけ信用できるかという問題に置き換えることができる。

■ 関連記事

詳細はこの日の詳細から

2005年04月13日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1届いた本[book]次の記事 >> このエントリーをはてなブックマークに追加

研究したいことの基礎をお勉強するために取り寄せた本。

[和書]写真から作る3次元CG―イメージ・ベースド・モデリング&レンダリング[http://www.amazon.co.jp/exec/obidos/ASIN/4764902869/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]画像理解―3次元認識の数理[http://www.amazon.co.jp/exec/obidos/ASIN/4627821409/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]3次元ビジョン[http://www.amazon.co.jp/exec/obidos/ASIN/4320085221/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]コンピュータビジョン―視覚の幾何学[http://www.amazon.co.jp/exec/obidos/ASIN/4339023639/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

■ 関連記事

■2 「ワンクリック請求」初摘発、被害6億6000万円[http://headlines.yahoo.co.jp/hl?a=20050413-00000305-yom-soci][CLIP]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

中西容疑者らのサイトは、 利用者が解約手続きをすると、電話番号が記録される仕組みになっており、中西容疑者は入手した電話番号を使って、末松容疑者ら部下約50人に大阪市内のビルや倉庫を拠点に架空請求電話をかけさせていた。
解約手続きのページに電話番号の入力欄でもあったか、メールアドレスあるいはサブスクライバーIDか何かと電話番号が対応した何らかの個人情報を持っていたかだろうか。
ワンクリック請求自体、言いがかりを付けて恐喝する様なものだから、コンタクトが取れる相手さえ絞り込めれば良いわけで、何らかのアクションを起こすとそれだけで、相手に情報を与えてしまう危険性がある。
「ノークリック請求」という言葉を思いついたが、良く考えてみるとそれを「架空請求」と呼ぶんだった。

■ 関連記事

■3 オープンソースはダメ? マイクロソフトが教える“よいRFP”とは[http://www.atmarkit.co.jp/news/200502/25/ms.html][オープンソース][電子自治体]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

「メインフレームの利用率が高く、ベンダにロックインされている。そのためベンダを変えられないし、システムのリプレースも困難。メンテナンスコストも増大している」
確かにその通りの状況があります。
「オープンスタンダードとオープンソースを間違って理解している人が多い」
(中略)
「電子政府/電子自治体にとって大事なのは、オープンスタンダードであって、オープンソースではありません」
間違って理解している人はいるだろうし、オープンソースであれば、かなりオープンスタンダードが保証されるけれども、オープンソースでなければオープンスタンダードではないかと言えばそれは違う。
電子政府あるいは電子自治体を構築するにあたり、オープンスタンダードであることはとても大切だ。メインフレームからサーバに変わっただけで、再び、
「メインフレームの利用率が高く、ベンダにロックインされている。そのためベンダを変えられないし、システムのリプレースも困難。メンテナンスコストも増大している」
と同じ状況になるからだ。
ここまでの主張はもっともなのだけど、「では、マイクロソフトはオープンスタンダードなのか」という疑問には答えていない様に思える。

■ 関連記事

■4 ネット上での立ち振る舞いを「小二病・中二病・高二病・大二病」に分類してみる遊び[http://www.otsune.com/diary/2005/04/10.html#200504101]<< 前の記事 このエントリーをはてなブックマークに追加

「大二病だ!」と思ったけれども、
大二病は一周してしまって「丁寧な中二病」と同じになっているところがポイント。「自分は高二病ではない」というキャラ作り。
確かに一周してるような気もする。そうやって人は成長していくんです。人生のPDCAスパイラルを登れ!的。

■ 関連記事

詳細はこの日の詳細から

2005年04月14日(木)<< 前の日記 | 次の日記 >>
この日の詳細

■1 「ワンクリ業者タイーホ」と携帯電話改造とサイバーノーガード[http://d.hatena.ne.jp/yaneurao/20050416][セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

なるほど。キーパッド部分を改造して直接ハードウェア的に線を引っ張り出すんですねぇ。
「携帯電話は改造してはいけない」って思いこみ *1 が邪魔をしてて、思いつかなかった。どうせ犯罪をやるのだから、この程度のことは問題にならないのだ。
セキュリティ対策を考える時に、この落とし穴に嵌ってしまうことは案外と多いので、注意が必要である。
「就業規則で禁止してるから、それはあり得ない」として、その規則が遵守されているかどうかの検討も、検証する方法も考えないし、対策すら考えない。
「禁止されている」から「ありえない」のだ。
経験上、堅い職場に行けば行くほど、この落とし穴に嵌っているケースが見受けられる気がする。「悪用を禁止します」と書いておけば、「悪用は禁止されている」のだから、悪用されないのだ。素晴らしい。
*1: 法的に「してはいけない」のと、壊れるから「してはいけない」のと、不可能だから「してはいけない」のと、誰かがダメって言ってるから「してはいけない」のは違う。携帯電話の場合は、改造しないことを前提に技術基準適合証明によって個別に免許を受けないで済んでいるものを改造するのだから、電波法に違反することになる。すなわち「法的に」してはいけない。が、高周波回路を触るわけではないのに、電波法違反というのも何か変だという気がしないでもない。

■ 関連記事

■2 ブラウザのプロパティ画面のURLを非表示にする方法[http://mm.apache.jp/pipermail/apache-users/2005-April/005385.html][セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

セキュリティ上URLを利用者に知られたくないサイトが
存在するのですが、ブラウザ(IE)上で

 [右クリック]-[プロパティ] 

を選択するとプロパティ画面にそのサイトのアドレスが表示されてしまいます。

このプロパティ画面のアドレス表示を非表示にする方法について
どなたかご存知の方がいらっしゃいましたら、
ご教示いただけませんでしょうか。
突っ込みどころ満載なので、当然のごとく突っ込まれているが、こういう意識が、 アドレスバーや証明書を隠したオンラインバンキングのログイン画面[http://www.nantoka.com/~kei/diary/?200504a&to=200504073S5#T200504073S5] を作り出すのかも知れない。
これまで、特に 他のドメインで運用している時に、見た目のため隠す[http://www.nantoka.com/~kei/diary/?200502c&to=200502224#T200502224] のだと思っていたのだけれども、「セキュリティのために」隠しているところがあるのかも知れない。
何らかの手段を使えば容易に知ることができる可能性があるものを「隠しているから」安全だというのは危険な考えだ、例えば「特許出願中の秘密のアルゴリズムによって高速かつ安全な暗号化を実現しました。」と書いてあったら、絶対に疑わなければならない。
秘密のアルゴリズムがどの程度秘密かは疑わしいし、そもそも秘密のアルゴリズムが安全であることは誰にも確認できない。自己矛盾だ *2
「Security (Of|By|Through) Obscurity」と言う言葉がある。「隠せば安心」と訳すのか。往々にして「頭隠して尻隠さず」になる。
ひょっとしてこの記事に「ブラウザのプロパティ画面のURLを非表示にする方法」を探してたどり着いた方がいる可能性を考えて補足しておく。
大体の場合、次に思いつくのは 右クリックを禁止する[http://www.nantoka.com/~kei/diary/?200502b&to=200502161#T200502161] ことの様だ。元記事の質問者も、MLで随分指摘されたにも関わらず、
javascriptの右クリックを無効にする方法でURLの非表示を実現することにしま
した。
という方法に飛びついた様だ。
よく知られている様に、これには回避方法があるし、そもそもURLを知られては困るという作りに問題があるのだ。
「でも、隠した方が少しは安全だよね」という指摘が良くある。そもそも安全であれば隠す必要は無いし、隠すことによってフィッシング等のリスクが高まる。
もう一つ、こちらも重要なのだが、隠していると危険も隠れてしまう。隠していなければ、見落とした問題に鋭いユーザが気づいてくれるかも知れないのだ。しかも、悪いことをしようとする人は、アドレスバーを隠しているところには危険が隠れている可能性が高いことを知っていて、重点的に狙ってくる。
隠した方が安全といってアドレスバーを隠すのは、落とし穴が開いてるかも知れないからと言って、「念のために」と言って葉っぱをかぶせる様な行為だ。安全そうに見える道を信用して歩いている利用者がいきなり穴に落ちることになる。
*2: いや、「特許出願中で秘密」ってのも自己矛盾なのだけど。

■ 関連記事

詳細はこの日の詳細から

2005年04月15日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1 ほぼ全世帯数の情報流出 旧湯沢市の1万人分[http://www.sankei.co.jp/news/050415/sha036.htm][電子自治体][個人情報][セキュリティ][P2P]次の記事 >> このエントリーをはてなブックマークに追加

秋田県湯沢市(人口約5万7000人)の市民1万1255人分の住所、氏名、性別、生年月日が記載されていた名簿が、インターネット上に流出していたことが15日、分かった。
という大変な個人情報流出事件が発生した。流出したのは基本四情報のみでは無く、
備考欄には「入院中」「4月まで関東方面」「居所不明」など対象者の動向を日付とともに記していた。
というから、プライバシー面から見た被害は甚大だ。
「漏洩」では無く、「流出」と書いたのは、
市町村合併協議会の担当職員がPCにWinnyをインストールして使っていたところ、Winnyをターゲットにしたウイルスに感染。個人情報を含むファイルがファイル共有ネットワーク上に公開されたという。
からだ。様々な問題がある。
  • 個人情報を簡単にコピーして各々のパソコンで軽々しく扱える環境であったこと
  • 職場でWinnyを使っていたこと
  • Winnyを使ってはいけないという教育がなされていなかったこと
  • Winnyをインストール可能であったこと
  • Winnyのトラフィックが通過可能なファイヤウォール設定であったこと
  • 平成14年3月頃の流出に今まで気づかなかったこと
ちなみに、この事件を起こした職員は既に処分されている。
市は個人情報の管理が不十分だったとして11日付で担当職員を訓告処分にした。
訓告処分というのは、大体において「今度から注意しなさいね」ということを、ある程度偉い人が「文書で」本人に伝えることを言う。「注意」の場合は、一般に口頭で行われる。
いずれも、懲戒に至らない程度の問題があった時に行われる処分で、似ているけれども「戒告」というのは 地方公務員法[http://www.houko.com/00/01/S25/261.HTM] に定められている 法的な処分という点において、ずいぶん異なる[http://www.hou-nattoku.com/mame/yougo/yougo61.php]
結局、「上司に注意された」というのと「法的に処分された」という差がそこにはあって、今回の場合は「上司に注意された」訳だ。
ずいぶん軽いという声も多い様なのだけど、このケースで該当する職員に戒告以上の処分をすると、上記の問題点の多くが他の人にも及ぶわけで、その辺りを鑑みて、訓告なのだろうと考えた。
いずれにせよ、職員のモラル確保が比較的行いやすい自治体においてでさえ、内部は信用できるから大丈夫モデルでのセキュリティ確保には無理が出てきている様だ。
職員は信用できても、スパイウェアやウイルスを取り込んで、結果として情報を流出させてしまうケースに対応するには、内部が信用できないモデルでシステムを構築するか、その辺りまで含んだ教育を行き届かせる必要がある。
「モラル+教育」と「内部が信用できないモデルの構築」は、ある程度バランスする必要があって、どっちか片方では安全と可用性は満たせない。両方が必要だけれども、どっちにどれだけコストを掛けるべきかは、組織の性質によって違ってくる。
コンピューターセキュリティにおいては、信用できる人の行動が信用できないという問題を認識しておく必要がある。
「社員を疑う必要はない」と言い切れるほどモラルを確保できている職場においても、社員の行動は信用できるかどうか分からない。モラルが確保できていても教育が必要だし、ミスに備えて内部が信用できないモデルもある程度取り入れた方が良いだろう。
逆に人の入れ替わりが激しい職場では、モラルと教育にお金を掛けても安心できないので、内部も信用できないモデルでシステム構築をするしかない。この場合でも、どうやっても、システム管理者だけは信用できないといけない。この問題があって、外注や派遣でアウトソースしていたシステム管理を社内に取り戻す動きが最近強くなってきている。
結局、「モラル+教育」と「内部が信用できないモデルの構築」のバランスの問題に落ち着く。

「Winny」を入れたのは事務連絡などの公務に使うため[http://www3.nhk.or.jp/news/2005/04/15/d20050415000120.html]:

職員は、「Winny」を入れたのは事務連絡などの 公務に使うためだと説明しているということですが、湯沢市では、この職員を訓告処分にするとともに、今後業務用のパソコンで「Winny」を使うことを禁止しました。
スペースモラトリアムノカミサマ[http://pmakino.jp/tdiary/20050415.html#p01] より。
そうですか。公務に使うんだったら仕方がないですね。でも、とっても危ないですから、今後業務用のパソコンで「Winny」を使うことを禁止して下さい。というか、今まで禁止されていなかったんですか。公務だったら仕方がないか。
しかし、内部のユーザがWinnyを業務で使っていても安全な社内システムを作り上げるのは相当の困難を伴う気がする。モラル+教育+システムの総力を挙げても。

■ 関連記事

■2 「萌え」関連銘柄が急動意、「市場規模888億円」との報道が刺激、マーベラスはストップ高で上場来高値[http://charge.biz.yahoo.co.jp/vip/news/kab/050412/050412_mbiz157.html]<< 前の記事 このエントリーをはてなブックマークに追加

萌え市場は今後の成長市場だと思って、この辺りの関連銘柄で構成された投資信託が無いかと思っていたのだけど。
ただ、萌え関連銘柄を正しく評価できるアナリストが育っているかというと疑問ではある。萌えコンサルタントの仕事を拡大させねば。

■ 関連記事

詳細はこの日の詳細から

2005年04月16日()<< 前の日記 | 次の日記 >>
この日の詳細

■1某運営委員会 このエントリーをはてなブックマークに追加

ローカルな話題を集約していくのに、「blogって良いよね」という話になった。 htmlでページ作るよりも敷居が低いし、掲示板よりも集積機能が充実している。
blogスペースを貸し出すようなことを考えないといけないのだけど、何をベースに作るとやりやすいかなぁ。

■ 関連記事

詳細はこの日の詳細から

2005年04月17日()<< 前の日記 | 次の日記 >>
この日の詳細

■1航空券予約次の記事 >> このエントリーをはてなブックマークに追加

東京出張用の航空券を予約した。
時間帯からするとJALの方が都合が良いのだけど、この状況だと避けられるものだったら避けたいという心理も働くのでANAに。

■ 関連記事

■2予定<< 前の記事 このエントリーをはてなブックマークに追加

たらみ図書館[http://www.lib.isahaya.nagasaki.jp/tarami_web/index.html] に出かけて本を借りる。
明日は研究室にセットアップ済みのサーバを持ち込む予定。

■ 関連記事

詳細はこの日の詳細から

2005年04月18日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1「REMOTE HOST IDENTIFICATION HAS CHANGED」が出たら、~/.ssh/known_hostsを消せ[セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

既に確認してknown_hostsにあるサーバに対して、よそからアクセスする時のためにフィンガープリントを印刷して持っておきたいと思って方法を探している時に見つけた。
known_hostsはとても大事なものだから、消してはいけない。サーバ証明書の様な問題が起きてしまって、sshの安全性が損なわれてしまう。
逆に新しいサーバにログインする時は、フィンガープリントを確認する必要があって、一つ一つ確認済みのものをknown_hostsに溜めていくものだ。

GlobalKnownHostsFile as read only known_hosts[http://triaez.kaisei.org/~kaoru/diary/?200305a#200305045]:

高橋さんとこ[http://triaez.kaisei.org/~kaoru/diary/?200504b#200504181] から。
~/.ssh/known_hosts だけじゃなくてもうひとつ read only の known_hosts を用意しませんか、という話。
素晴らしい!
sshを運用に入れると何が問題ってこれが問題 *1 なんで、hostの公開鍵を事前に持っていなかったらむしろ接続できないって運用は良いかも知れないってことを思いついた。事前に管理者の手で信用できる公開鍵を制約しちゃえば良いよね。一般のユーザはそれで良いはず。運用に関してすごく良いヒントになる気がする。
*1: 信用できない公開鍵を平気で受け入れる人がいること。

■ 関連記事

■2IP over TCP(のフリ)の実装[network]<< 前の記事 このエントリーをはてなブックマークに追加

TCP over TCP[http://shugo.net/docs/tcp-tcp.html] は色々問題があるのだけれども、諸般の事情があってNATの内側からトンネルを掘りたい時にどうするか。
NATルータあるいはF/Wから見るとTCPに見えるけれども、実は再送タイミング等は上位のトンネルアプリがコントロールしているって何かがあれば良いわけですね。
既に実装があるに違いない。ひょっとして、SoftEtherってそうですかね。

■ 関連記事

詳細はこの日の詳細から

2005年04月19日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1 QRコードのり弁をつくる[http://portal.nifty.com/special05/02/22/]次の記事 >> このエントリーをはてなブックマークに追加

あー確かに読めそう…。結末は記事でお楽しみ下さい。

■ 関連記事

■2 XP開発部屋の一例[http://www.scissor.com/resources/teamroom/indexjaJP-utf8.html]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

Mimori's Algorithms tDiary[http://www.mimori.org/~h/tdiary/20050418.html#p03] より。
素敵な環境ですねぇ。
自然光を取入れ、机は木製にし、高い天井の部屋を選んだことで快適な労働環境を実現しています。
っていう様な人間への快適さは意外と大事な気がする。クリエイティブな仕事をする時は特に。

■ 関連記事

■3細い線一本あれば…[セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

ファイヤウォールやNATの中からでも、
% ssh -R 10022:localhost:22 [オレサーバ] -N
してしまえば、細い線の様な接続だけれども外部からの道ができる。
秘密チャネルを使って指示を待ち続け、そういう事をするウイルスもあるだろうから、 「外へは自由にアクセスできるけれども、外からは入ってこられない」というセキュリティモデルは限界に来ているかも知れない。

■ 関連記事

詳細はこの日の詳細から

2005年04月20日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1 中国反日デモ:男が中国銀行支店に火炎瓶を投げ逮捕 横浜[http://www.mainichi-msn.co.jp/kokusai/asia/news/20050420k0000e040039000c.html]次の記事 >> このエントリーをはてなブックマークに追加

朝からラジオでニュースを聴いていて、 なぜ 中国銀行[http://www.chugin.co.jp/] @岡山が?って思ったんですけど、別の中国銀行があるんですね。正式には、「中國銀行」って書く様な。

■ 関連記事

■2 FreeBSD-SA-05:04.ifconf[http://home.jp.freebsd.org/cgi-bin/showmail/announce-jp/1289][freebsd]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

ローカルユーザーの権限昇格に悪用される可能性がある系。
インストールしたばかりのneoは、natをやるためにIPDIVERTのサポートを有効にしないといけなかったので、ついでにmake updateして対応。
他のサーバも折りを見て直さないと。

■ 関連記事

■3 電子申請 行政ソフトに不具合[http://www.nhk.or.jp/news/2005/04/20/d20050420000025.html][セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

セキュリティホール memo[http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/04.html#20050420_shinsei] から。 NHKの報道[http://www.nhk.or.jp/news/2005/04/20/d20050420000025.html] によれば、
独立行政法人・情報処理推進機構によりますと、これらのソフトを入れると利用者のパソコンがコンピューターウイルスや不正侵入の被害を受けやすくなり、パソコンの中のデータが外部に流出したり消されたりするおそれがあるということです。
という。IPAやるな!って感じだ。
原因として、
・指定している JRE のバージョンが古いので、 Sun Alert ID 57591: Security Vulnerability With Java Plug-in in JRE/SDK[http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/11.html#20041124_Java] に該当してしまうお話。 対応としては、新しい JRE をインストールする。 J2SE JRE 1.4.2[http://java.sun.com/j2se/1.4.2/ja/download.html] の最新は1.4.2_08のようです。
Java セキュリティポリシーの独自設定に関する注意喚起[http://www.ipa.go.jp/security/vuln/20050228javapolicy.html] (IPA ISEC, 2005.02.28) に該当するような、不適切なポリシー設定がなされているお話。 対応としては、適切なポリシーを設定する。
の異なる二つの問題が挙げられているが、背景では根本的なところで共通している問題があって、「自分のところのシステムを動かすのが大事で、利用者の環境がどうなっても構わない」という、 利用者のパソコンを自分のところの専用端末とでも思っている[http://www.nantoka.com/~kei/diary/?200503b&to=200503162#T200503162] 様なシステムの作り方に多くの問題が端を発している様に思う。
一部の行政のサービス提供者は、利用者のパソコンを「ウチの自治体サービス端末」とでも思っているのではなかろうか。 そして、イントラネットを構築する積もりで、利用者に「これを導入しろ、信用して『はい』を押せ」とやっているのではないか。だとすると、これだけ、オレオレ証明書にもプラグインにも、無頓着な作りを看過していることが理解できる。 だとすると、端末で起こる問題にも責任を負う必要が生じるはずだが、一切責任を負わないと宣言しているのはどうしたことだろうか。
こういった問題を意識せずにシステムを構築しているのだから、もっと大きな問題を抱えているシステムがあることは容易に想像できる。
今回の問題は、いわばJavaだから分かったという話で、幸運だったと言えよう。 例えば、 ActiveXコントロールが悪用された時に何をやり出すか[?200504b&to=200504123#200504123] は、なかなか分からない。恐らく署名したところにも、ひょっとすると開発した人にも。

■ 関連記事

■4 ajaxな住所入力フォーム[http://www.kawa.net/works/ajax/zip/ajaxzip.html][Ajax]<< 前の記事 このエントリーをはてなブックマークに追加

アプリケーションの実例。

■ 関連記事

詳細はこの日の詳細から

以上、10 日分です。

指定日の日記を表示

前月 2005年04月 翌月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project