V.S.A. III

こんにちは、五十嵐智です。銀行などは30日まであるようですが、今日が仕事納めという方も多かったのではないでしょうか。

私のこのブログも一応今回で今年は書き納め。書いたり書かなかったりで波のある一年でした。

今年一年を振り返って見て、私にとって一番インパクトがあったのは、Google ストリートビューの日本版公開でしたね。テクノロジーは凄いと思っていますが、在り方や Google のやり方のために、今や国まで動かそうという勢い。良くも悪くもいろいろと話題にもなりました。このドタバタも来年まで持ち越すことになりそうです。

情報セキュリティ面では、SQLインジェクションが猛威を振るっていましたし、ここにきて USB メモリ経由で感染するマルウェアの出現など、様々なインシデントがありました。I-O DATA さんや BUFFALO などが、ウィルスチェック機能の付いた USB メモリを発売しています。個人で買うには高いですが、会社で社員に買ってくれないかな、と思う今日この頃。

さて、来年はどんな年になるのでしょうか。

まだお仕事があるよという方も、仕事納めだったよという方も、皆様、よいお年をお迎えください。

追伸： 趣味のブログの方は年中無休となっていますので、よろしかったら遊びに来てください。
リンク： V.S.A.： Vulcan Science/Security Academy - 特撮 と SF と 情報セキュリティ の日々.

こんにちは、五十嵐智です。10年以上前、まだ日本ユニシスと資本関係にあった(※)米国ユニシスが "OPUS" というコンピュータを開発し商品化した。ネーミングの由来は定かではないが、"Open Parallel Unix System" ではなかったかと、今にして思う。

http://www.unisys.co.jp/tec_info/tr50/5012.htm

当時 OS 屋だった私は開発、保守ということで米国に延べ8ヶ月滞在していたのだが、その間に「技報」として共同執筆したのが上の URL で示した論文。

Pentium CPU のマトリックス構成で、最小単位は 4 × 4 の 16 CPU で構成され、その最小単位で増設してスケーラビリティが上がるはずのアーキテクチャだった。

結果から言うと、このマシンは、当初考えられていたよりもスケーラビリティが得られず、また、そのアーキテクチャを存分に生かすミドルウェアが存在しなかったために、頓挫し、ほとんどのユーザに代替機として Windows サーバを提供するという残念な結末を迎えた。

CPU それぞれがメモリとディスクを持ち、他の CPU の資源との共有領域が全く無い、いわゆる "Shared Nothing" の完全疎結合のハードウェアアーキテクチャでありながら、OS はシングルシステムイメージ(SSI)で単一の UNIX として見えるという、現在の「仮想化」や「クラウド」の考え方を既に取り入れたソフトウェアアーキテクチャを持っていた。

Chorus というマイクロカーネル上に、UNIX SVR4 を実装するという点からも、「仮想化」の原点にあることがわかると思う。動的に CPU の数を増加させることはできなかったが、不具合が発生した CPU を動的に切り離すということができた。

保守泣かせだったのはすべてが C++ で記述されていたこと。オブジェクト指向言語の特徴であるオーバーライドやオーバーライトによって、アセンブリ言語レベルでのデバッグが非常にやりづらい という点にあった。C++言語は開発者チームにとっては非常に便利だが、デバッグツールの良し悪しが保守チームの質に直接影響するような言語なのである。

今ならこのコンピュータが現れても、なんの違和感もなく、単なる仮想化技術の延長上で、ブレードサーバの変則型として受け入れられただろうが、当時はかなり異質なアーキテクチャだったのだ。

そのため、個々の CPU をうまく使いながら全体のパフォーマンスを上げるというソフトウェア技術が確立しておらず、この OS の上で動くミドルウェアが十分なパフォーマンスを出せないばかりか、Shared Nothing のアーキテクチャがネックとなって、デッドロックやデータ不整合を起こすというようなトラブルもあったらしい。

(「らしい」というのは、日本でそういう大変なことが起きていた頃、私は米国で純粋に OS のことばかりやっていたので、その上で動くミドルウェアのトラブルには遭遇していなかったからである。)

その結果、最初に書いた通り、OPUS は撤退することとなり、ユーザには代替機を提供する事を余儀なくされたのである。

「仮想化」や「クラウド･コンピューティング」が華やかなる今、この OPUS があったら非常に面白い結果となっていただろうに残念である。

※当時は日本ユニシスの大株主で、三井物産とともに3分の1ずつの株を保有していた。現在は日本ユニシスが「ユニシス」という看板を買い、米国ユニシスが株をすべて売却したので、資本関係はない。日本ユニシスは三井物産が筆頭株主の純日本企業である。

こんにちは、五十嵐智です。サイバークリーンセンターの CCC クリーナーが更新されました。毎週水曜日の定期更新ではなく、イレギュラーな更新があったようです。

サイバークリーンセンター(CCC) ｜ ボット ウイルスの駆除手順
https://www.ccc.go.jp/flow/index.html

・ファイルサイズ:10.8Mbyte
・CCCパターンVer:703
・Update:2008/12/11 19:24

こんにちは、五十嵐智です。2008年12月10日に「第19回情報セキュリティ政策会議」が開催され、それに関連して三つの意見募集が行われています。

[PDF] 第19回情報セキュリティ政策会議の開催について（報道発表資料)

本日、「情報セキュリティ政策会議」（議長：内閣官房長官）の第１9 回会合が開催され、その概要は以下のとおり。

なお、本会合では、「第2 次情報セキュリティ基本計画」（案）、「政府機関の情報セキュリティ対策のための統一基準（第4版）」（案）及び「重要インフラの情報セキュリティ対策に係る第２次行動計画」（案）についてパブリックコメントに付すことが決定された。

• 意見募集中案件詳細：「政府機関の情報セキュリティ対策のための統一基準（第４版）」（案）に関する意見の募集

• 意見募集中案件詳細：「重要インフラの情報セキュリティ対策に係る第２次行動計画」（案）に関する意見の募集

• 意見募集中案件詳細：「第２次情報セキュリティ基本計画」（案）に関する意見の募集について

意見募集の〆切はいずれも2009年1月13日となっています。

情報セキュリティに携わる方は、意見を提出するしないに関わらず、目を通しておいた方が良いですね。私もこれから読んでみます。

こんにちは、五十嵐智です。CISSP の皆さん！ブログの相互リンクをしましょう！！

「CISSP」の認知度を高める一環として、CISSP 同士でブログの相互リンクを行おうと考えています。

ブログの内容が情報セキュリティでなくても構いません。CISSP の人たちはこんな人たちというのを紹介できればと思っています。実際、このブログも情報セキュリティの話ばかりではありません。

名前もニックネームなどで構いません。本名を晒す必要はありません。

と、ここまで書いておいてなんですが、このブログでは、リンクメニューがありません。それでもいいよ、という方は、お手数ですが、

V.S.A. III
http://www.tyzoh.jp/community/ikarashi/

をリンクしていただけますでしょうか。どうぞよろしくお願いいたします。

こんにちは、五十嵐智です。情報処理推進機構(IPA)から、平成20年秋期情報処理技術者試験の午後分の解答が公表されました。

情報セキュリティアドミニストレータの午後 I 問 2 設問 3 を眺めてみたのですが、ちょっと首をひねるような解答でした。ウィルスに感染している PC を「ハブ」に接続した場合、DHCP サーバから IP アドレスを取得しなければ、あたかもウィルスが拡散しない(二次感染しない)かのように読める解答です。

本当に DHCP サーバから IP アドレスを取得しなければ、単に PC をつなぐだけならウィルスは拡散しないのでしょうか。

もし、情報セキュリティに携わる人たちがそう考えているのだとしたら、一大事です。

私の現状では、テストする環境がないのですが、次のようなテストをすれば、簡単に確かめられるはずです。

1. ネットワークに接続されて稼動している PC を LAN から物理的に取外す。
2. LAN 内の存在する他の PC に定期的にポーリングするようなプログラムを実行する。
3. PC を LAN に物理的に接続する。

さて、2 のプログラムからのポーリングは失敗するでしょうか。これがウィルス感染だったらどうなるでしょう。机上でしか考えていないのですが、たぶん、これで実証できるはずです。

しかも、IP のレイヤーでなくても、下位層で活動するウィルスがあったら、IP アドレスは関係なくなります。そういうウィルスが現存するかどうかはわかりませんが、技術的には可能なはず。IP より下位の層に脆弱性(リスク)が存在する可能性を見逃してはいけません。

「DHCP サーバから IP アドレスを取得しなければ、単に PC をハブにつなぐだけならウィルスは拡散しない」と思っている方は、この機会に、是非とも考えを改めるべきでしょう。

【追記 2008/12/05】

ちょっとタイムリーな記事を見つけたので追記しておきます。

DHCPサーバー機能を持つウイルス出現、非感染パソコンを悪質サイトに誘導：ITpro

　今回出現したウイルスも"原理的"には同じ。異なるのは、ウイルスに感染したパソコンではなく、同じネットワークに存在する非感染パソコンに被害を与える点。

　 今回のウイルスは、感染すると、そのパソコン上でDHCPサーバーを動作させるとともに、ネットワークを流れるデータを監視する。そして、別のパソコンが 正規のDHCPサーバーに対して送信した問い合わせパケットを見つけると、その問い合わせに対して偽の応答を送信する。

　偽の応答には、攻撃者のDNSサーバーを参照させるような設定情報が含まれる。このため、この応答を受け取ったパソコンは、攻撃者の意のままに、悪質サイトに誘導される恐れがある。

このような「ネットワークを流れるデータを監視する」ウィルスの場合、原理的には自分自身が IP アドレスを持っている必要がありませんね。

こんにちは、五十嵐智です。2008年12月1日に施行された気になる法律が二つ。ひとつは「改正携帯電話不正利用防止法」、もうひとつは「改正迷惑メール防止法」。

「改正携帯電話不正利用法」が施行、警察庁が注意喚起:モバイルチャンネル - CNET Japan
http://japan.cnet.com/mobile/story/0,3800078151,20384494,00.htm

12月1日より改正携帯電話不正利用防止法が施行～警察庁が注意を呼びかけ：RBB TODAY (ブロードバンド情報サイト) 2008/12/01
http://www.rbbtoday.com/news/20081201/56136.html

携帯電話の売り買いの本人確認が厳しくなってます。SIM も。


J-CASTニュース : 罰金最高3000万円　改正迷惑メール防止法が施行
http://www.j-cast.com/2008/12/01031273.html

「改正迷惑メール防止法」の方はほとんど Web のニュースにはなってなかったようなんですが、真面目な企業ほど大変なはずです。


そして、もうひとつ気になるのは児童ポルノの国際協定。

児童ポルノ、「閲覧」だけでも犯罪に--世界会議で提言:ニュース - CNET Japan
http://japan.cnet.com/news/media/story/0,2000056023,20384501,00.htm

【引用】

　採択された協定では、ネット上の児童ポルノを所持や販売だけでなく、ネット上でのアクセス、閲覧も犯罪とすることを提言。また、児童を対象とした性的描写のあるマンガやアニメも児童ポルノに含まれることなどが規定された。

【引用終わり】

この協定で、各国は国内法の整備を行わなければならなくなります。