V.S.A. III

こんにちは、五十嵐智です。IPA の情報セキュリティ技術動向調査タスクグループが技術動向調査の報告書を発表しました。

情報処理推進機構：情報セキュリティ：調査・研究報告書：情報セキュリティ技術動向調査（2008 年上期）
http://www.ipa.go.jp/security/fy20/reports/tech1-tg/index1.html

概要
　広範な情報セキュリティ分野において、継続的に、かつ、質の高い技術情報を収集する能力を保つことは、IPA 内部においては困難な課題とされてきました。このような能力を確保するため、「情報セキュリティ技術動向調査TG（タスクグループ）」1という注目すべき 動向を見張る専門委員から成る会議体を設置しました。

　情報セキュリティ技術動向調査TG においては、情報セキュリティのエンジニアリングの分野において注目すべき動向を発表しあ い、発表内容に基づいて討議します。その第1 回目の会合を2008 年6 月25 日に開催し、本報告書を取りまとめました。


目次
序 2008 年上期の技術動向 - 今日のセキュリティエンジニアリングの課題
1 多様な文脈をもつセキュリティエンジニアリングの課題
2 イントラネットセキュリティをめぐる技術動向
3 検疫ネットワーク技術の標準化動向
4 インシデント対応・災害復旧
5 Linux 用の新しいセキュアOS：SMACK
6 仮想化ソフトウェアのセキュリティ
7 PKI 関連の動向（RFC 5280）
8 インターネット経路制御のセキュリティ動向
9 アイデンティティ管理技術
10 C コンパイラの最適化の問題
11 Debian の openssl

ざっくりと目を通してみましたが、各セクション毎に著者が異なるためか、それぞれ掘り下げ方がまちまちでした。

「4 インシデント対応・災害復旧」の部分が、いわゆるウィルスやSQLインジェクションなどの説明になっていました。
「SMACK」については全く知らなかったので、参考になりました。

じっくりと読んでみたいところですが、お時間の無い方は、各章のまとめの部分だけでも読んでおくとよいかもしれません。

こんにちは、五十嵐智です。KDDI が携帯電話で住基カードや免許証などの公的カードとの連携を検討しているそうです。

住基カードもケータイに？--KDDIが対応試作機を開発:モバイルチャンネル - CNET Japan

　なお、タイプBは住民基本台帳カードや運転免許証、パスポートなどで採用されており、タイプAはたばこの自動販売機で使われるtaspoなどで採用されている。KDDIは、これらの公的カードと携帯電話との連携の可能性を今後検討していくという。

益々携帯電話の重要性が高まってきます。クレジットカードなんかも携帯電話に全部統一してしまえばいいのに、と思っている私には朗報です。

しかし、あんまり携帯電話に集中しすぎると、なくした時のショックは大きいですね。そういう点も考えつつ、携帯電話がもっと進化すればいいなぁと思ってます。

こんにちは、五十嵐智です。Firefox 3.0.2 がリリースされました。セキュリティ上の脆弱性も修正されているので、Firefox ユーザは、早めにアップデートしてください。メニューの[ヘルプ]->[ソフトウェアの更新を確認...]でも更新できます。

Mozilla Japan - Firefox 3.0.2 リリースノート

Firefox 3.0.2 で修正済み

MFSA 2008-44resource: トラバーサル脆弱性

MFSA 2008-43BOM 文字と下位サロゲート文字が実行前に JavaScript から切り捨てられる

MFSA 2008-42メモリ破壊の形跡があるクラッシュ (rv:1.9.0.2/1.8.1.17)

MFSA 2008-41XPCnativeWrapper 汚染を通じた特権昇格

MFSA 2008-40マウスドラッグの強制

修正された脆弱性の中に、「resource: トラバーサル脆弱性」というのがあります。「トラバーサル脆弱性」というと、「ディレクトリ・トラバーサル脆弱性」のことかなと思ったので、調べてみました。

MFSA 2008-44: resource: トラバーサル脆弱性

resource: プロトコルにおいて URL エンコードされたスラッシュを用いた場合に、Linux 上でディレクトリトラバーサルが可能になることが、Mozilla 開発者の Boris Zbarsky によって報告されました。

ローカル HTML ファイルに課せられた制限が、resource: プロトコルを用いることで回避可能であることが、Mozilla 開発者の Georgi Guninski によって報告されました。この脆弱性は、攻撃者がシステムに関する情報を読み取ったり、そうした情報をファイルに保存するよう被害者に対して指示することを可能にするものでした。

「ディレクトリ・トラバーサル」については、私などが説明するよりも以下をご覧頂くとよいでしょう。絵入りで詳しく説明されています。

脆弱性を利用した攻撃手法（3） --- ディレクトリ・トラバーサルとOSコマンド・インジェクション：ITpro

ディレクトリ・トラバーサルとは，「../」のような文字列を使ってWebサーバーのディレクトリ・パスをさかのぼり（横断して），公開されていないディレクトリにアクセスする手法のことである

「resource: プロトコルを使って」ということは、「http:」の代わりに、「resource:」を使ったリンクを埋め込んでおくと、それで本来必要の無いリソースの部分にアクセスできてしまうようになる、ということなのだと思います。「resource: プロトコル」なるものを知らなかったので、私も完全には理解できていませんが。

とにかく、世の中には悪さをするための色々な手法が転がっているということですね。

Firefox をお使いの皆さんは、早めのアップデートを。

こんにちは、五十嵐智です。オンラインストレージ「Dropbox」が公開されました。

オンラインストレージ「Dropbox」公開、Windows/Mac/Linux間でデータ同期 | ネット | マイコミジャーナル
http://journal.mycom.co.jp/news/2008/09/12/009/

クローズドベータで高い評価を得ていたオンラインストレージサービス「Dropbox」が公開された。容量2GBのサービスを無料提供している。

Dropboxは、オンラインストレージを中心に、Windows(Vista/ XP)、Mac(Tiger/ Leopard)、Linux(Ubuntu 7.10以降、Fedora Core 9以降)などで動作するPC間のデータ同期を可能にする。ユーザーが意識することなく、自動的にデータの同期やバックアップが行われる簡単・手軽なサービスであるのが特徴。

Dropboxソフトウエアをインストールすると、各PCにDropboxのフォルダが作成され、それをローカルストレージ内のフォルダと同様に扱うだけで、保存や修正したデータが自動的にオンラインストレージ、そしてオンラインストレージ経由で他のPCにも反映される。オフライン作業も可能で、オンラインになった際にアップデートが更新される。Webインターフェイスも用意されており、DropboxソフトをインストールしていないPCではWebブラウザを通じてDropboxにアクセスできる。データ転送には、AES-256による暗号化が用いられる。

さて、tPot の運命や、いかに？

エンジン部分とUI 部分を完全に切り離して Web API でやってよ、と言ってたのは Dropbox みたいになって欲しかったからなんだけど。

tPot のウリは、単なるファイルの共有だけじゃないもんね。タグとか、タグとか、タグとか．．．あれ？

# 個人でのファイルの同期と情報共有は視点が全然違うか。
# まだ tPod 生き残りの余地はありそうですね。
# かくして、まだまだ開発・保守は続くのであった。

こんにちは、五十嵐智です。Google Chrome がいきなり出鼻をくじかれて、話題になっているようですが．．．

Google はすごいっ、と思いますし、私は Google 推奨派です。しかし、これだけははっきり言っておきたいのですが、Google が世界を制覇するとは思っていません。Google が目指すクラウド・コンピューティングの世界を彼ら自身の手で実現しようとすると、彼らの収益源そのものが消滅することになり、ビジネスモデルを変えない 限り、ネットワークそのものの OS 化が実現した途端に Google は崩壊することになるからです。 Google の目指す世界は、Google の手によって推進されますが、別の企業か団体が実現することになるはずです。このことは今のうちに予言しておきます。

クラウド・コンピューティングの実現と収益源の消滅の話の部分には少し論理の飛躍があります。広告源や、彼らの技術を収入源とするビジネスモデル は、データや情報が満遍なく均等に世の中に行き渡ることによって、意味がなくなり、崩壊すると考えています。つまり、広告は位置透過に存在することにな り、一企業が収入源とするモデルは成り立たなくなりますし、技術が拡散することにより、その囲い込みができなくなるからです。

したがって、Google は自身の目標とする世界が実現した時、自分自身を崩壊させてしまうことになります。

Google のやり方には賛否両論あると思いますが、世の中に是非を問うてからツールを出すのではなく、どちらかといえば強引にツールを出してしまってから、世の中を席巻させる今のやり方は、テクノロジーの推進には非常に有効に機能していると思っています。

話は変わりますが、機械を前にしてプライバシーを守ろうという人はいるでしょうか。SF的になりますが、仮にロボットが自分の部屋にいて、そいつ の前で裸になるのをためらったり、自分の行動を躊躇したりするのか、ということです。もちろん、そのロボットの性質や機能にも拠るでしょうが、ネットワー クなどにつながっていない、単体の機械としてのロボットなら、まず間違いなく、機械の前におけるプライバシーを論じる人はいないでしょう。

ここで問題となるのは人の介在です。ロボットがネットワークにつながっていて、それを誰かが覗き見できるとなると、話は違ってきます。ここがプラ イバシーの難しいところです。プライバシーを放置しておかれる権利などと言ったりしますが、人が介在しなければ、プライバシーの侵害はありえません。

そこで、Google に話を戻して考えて見ると、彼らが人ではなく機械だと考えた時に、完全なセキュリティの下に、人の行動を記録し、追跡し、分析し、予測することのどこに問題が発生するでしょうか。完全な機械であれば、そこには何も問題はないはずです。

気持ちが悪いのは、そこに人がいるからです。Google で働く人々、そして、インターネットでつながれた人々。セキュリティが完全ではないこと。そうした要因が気持ち悪さを増長させます。

しかし、Google の目指す(と、私が思っている)世界は、完全に機械によって自動化された世界です。したがって、今現在の過渡期における問題は重要ではないはずです。反発があって当たり前。それを乗り越えなければ、最終目標には近づけないのですから。

この部分を納得できるかどうか、それが Google 推奨派と懐疑派の分かれ目なのだとオレは思っています。

こんにちは、五十嵐智です。sato さんのブログを読んで、災害訓練があったことを知ったわけですが、休職中の私のところには何も連絡が来ませんでした。

もしや - satoのブログ - TYZOH(タイゾウ)

うちの会社は昨日災害訓練メールが来ました。

安否確認システムの目的には二つ考えられます。

1. 事業継続のための活動可能人材の確保。
2. 文字通り、従業員とその家族の安否確認。

で、訓練とはいえ、休職者にはなにも通知がなかったということは、1の目的しか考えていないということなのでしょうね。

各地域で災害が起こった際に、事業継続性を確保することはもちろん大切なのですが、CISSP 的には、人命第一、従業員の安否確認が第一だと思います。何かあった時に、自分の会社の従業員とその家族の安否がちゃんと把握できないような会社は、社会的に抹殺されてしまうかもしれません。事業継続どころではないと思うのですが。休職中とはいえ、従業員にかわりはないのだから、そこのところを考えて欲しいものです。

復職したら、テコ入れしてやる！