セキュリティ

情報視覚化があるというので参加。NICTのnicterが一番見栄えと機能的に面白そうだった。

サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話

要するに、こういうことか。

• 基本的なミスにより、セッション管理の方法が不味かった
• mixi IDを推測(簡単)さえすれば、一人づつ個人情報の一部が見えた。これが「個人情報漏洩のおそれ」

問題なのは、mixiがアプリケーションを審査しているわけではなく、また契約上外部に飛ばした後の行動については制限できない(していない?)ため、安全性を強要することができないという点。

審査をするとどうなるかは AppStore で見ているので、妥当な選択ではあります。ただ、これだけ人数が多いのにぐだぐだなソフトウェアで課金しようという動きが出てくると…ちょっと怖いものがありますね。課金する場合の別契約とか特約とかオプションでないのかなあ。そっちで政府系の公募のように「事前に第三者のセキュリティ審査を受けろ」とするとか。

IPv4アドレス枯渇対応セミナー「kokatsu.jp アクションプラン2010」 (発表資料)

上司に許可をとって出かけてくる。IPv4のIANAプール枯渇は後2年程に迫っているし、そこから1年ちょっと位すれば多分JPNICの枯渇も迫ってくるだろう。その時になって騒いでも遅いし、業界的には備えておくべき事。というわけで、社内の取り組みとは別に、自主的に最近IPv6まわりを覗いている。学生時代から無駄にJANOGとかを見ているわけではないし、仕事柄一通りの通信シーケンスとパケット構造位は押さえているので、予備知識だけはある。

なお、IPv4が限界であり、時期はともあれデュアルスタックを経由して、最終的にはIPv6に移行するしかない、LSN等の技術を駆使して伸ばすにも限界がある、というのが参加者の基本的な共通認識としてあるということを記しておく。

今回知った重要なポイントは「NTTのNGNがIPv6対応することにより、一般に普及するとISP他は考えている」「NTTのNGNがIPv6対応する2011年4月が色々な計劃のマイルストーンになる」「LSN(Large Scale NAT)は思った以上に歓迎されていない」という三点。

まず、前者。今迄にもアーリーアダプタ向けにIPv6接続サービスを提供しているところはあるが、そういった所は基本的に自前の網を使っている。だが、一般へは基本的にNGNを通じてIPv6を提供するということになる。NGNとISPの相互接続方式についてはまだぶれがあるが、現在のフレッツ網の延長の感覚でエンドユーザには見えるという方向にするのだろう。

正直なところ、勘違いしてNTT-NGNとIPv6化は基本的に直行した話だと思っていたので、NGNによる集約はインパクトがあった。そして、このNGNにより、一般に対してIPv6が提供される日付が決まってくる。それが2011年4月だ。

アクションプランによると、ISP等は基本的にこの日をデッドラインとしてIPv6への対応を推進しているし、SEやASPもこの日を意識して顧客の様子を見ながた対応というシナリオになっている。よって、現行機器を入れる場合もこの日付を見込んでIPv6について考えておく必要がある。

とはいっても、いきなりIPv6が使えるようになってはいそうですかと言うわけではない。エンドユーザへのインパクトは最小にする必要があるし、機器設定の変更などが無いようにすることが至上命題となる。

と、言うわけでIPv4はLSN(Large Scale NAT)を使いできるだけ延命させつつ、IPv6+IPv4 privateの形におさめるのが、ISPには重要となる。ビッグローブの岸川氏の資料の11ページがわかりやすいが、基本的にLSNはコストが高い上に、ポート番号による同時接続数の制限やDoubleNATによる問題^[1]等で回線品質が劣化する。劣化する一方でかかる管理・運用コストは高い。ISPとしてはなるべく使いたくない技術というわけだ。

予定では、IPv4 Global+IPv6(Option)→IPv4 Global回線の受付停止&IPv6+Ipv4 Private回線受付開始→IPv4 GlobalをIPv6+IPv4に移行→IPv4 Globalの料金見直し、となっている。徐々にIPv4の状況をNGNにあわせてIPv4 Privateに移動しながら、IPv6のサービスを先行展開することで利用メリットを増大させ、最終的にはデュアルスタックでどちらも使えるが IPv6 の方が料金が安いしメリットがあるよという状態に持っていきたいわけだ。その先におそらく IPv6 native があるのだろうが、そこは通信モデムによるアクセス回線と同様に、IPv4 private になった時点で利用者数を見ながら細々と続けていくという事なのだろう。

そもそも論では、IPv6を設計した時にIPv4→IPv6の移行期間はもっとあるという前提だったらしい。IPv4 Globalが潤沢にあるうちに移行していれば、LSN等の問題がからむ事もなくより容易であったろう、との事。実際には鶏と卵の問題で明確なメリットが無く普及せず、枯渇ギリギリまで粘った結果がこれだよ、となりいらん苦労が重なっているわけですな。2011年4月というラインがあるが、これを過ぎるとどんどん面倒な事が増えるので、対応コストを考えると先にやってノウハウを確保しながら動かしつつなおして行くのが推奨策のようだ。

なお、最後に中村修氏による「大人ならそうですよねー」という大ちゃぶ台返しがあり、非常にためになった事を付け加えておく(笑) そこが重要だというのは理解したが、文章化してまとめきれる自信が無い。他のレポートが上がっているだろうから、そちらを参照して欲しい。

1. 簡単に言えば、2重にNATするとUPnPなどが効かないので、ネットゲームやメッセンジャー等(パケットペイロードにIPアドレスを含むプロトコル)が繋がらなくなる。 [↩]

相方に言われてふと見たページで、母親のセキュリティインシデントを発見。夜中だったので、電話では無くメールで、取るべき対策方法を加えて送信する。

父親は流石元研究者^[1]だけありそれなりにITリテラシがあるので安心していたのだが、流石に掲示板の書く中身までは対応しきれないようだ。KIDS goo あたりで教えておくべきか。

それにしても、(おそらく現状では)実害は無いとはいえ、見た瞬間本当にヒヤリとしてしまった。こうなると妹夫婦が心配だな。

1. というか、私をこの道にはめた張本人。 [↩]

Inside Yahoo!メール 第1話「迷惑メールとBotnet」 (Yahoo! JAPAN Tech Blog)

ここ4,5年程のボットばらまきスパムメールに関する良いまとめ。昔は 3rd relay を許可しているメールサーバを探しだして使っていたのが、今は 3rd relay 用のサーバをボットでたてまくっているわけです。

ボットネットの裏には商売人がいて、時事ネタで罠メールをばらまき罠サイトに複雑に誘導、被害者達をボットに感染させる。そして、そうやって出来たボットネットを時間貸して貸し出している。迷惑メールを送る方は安く借りて大量にばらまいてウマウマ。記事にあるように、たとえひっかかる率が0.0.0001%だとしても、大量にばらまけば利益になる。

かくして我々はスパムメールに埋もれ、膨大なメールの配送のための回線費用を間接的に支払っているわけです(溜息)

私の場合1996年位の第一次インターネットブームあたりから使いはじめて、何度か移転しているものの、メールアドレスはもう回収不可能なほどにばらまかれてしまっている。そのため、数日放置しておくと1000通たまることもある。

そうして見るとApple の Mail.app ではサブジェクトでスレッドを寄せてくれるので、各所から同じ題名でまとまっているのがよくわかる。ベイジアンフィルタで8,9割型は防げているので処理もそれほど手間どらない。graylisting などの手法を使えばいいのだが、主なメールの受取先が共用のサーバのためあまり派手に手をいれられない。まあ、処理できているうちはまだなんとかなるので、10倍程増えたら対策を考えることにしようと思っている。

ソフトウェアの弱点(脆弱性)情報を発見して独立行政法人情報処理通信機構(IPA)に届出をすると、ソフトウェアの開発者やウェブサイト運営者に連絡して、なおすよう取り計らってくれる届出制度。

その規範となる情報セキュリティ早期警戒パートナーシップガイドラインの2009年度版で、簡単に言えば「◯◯のウェブサイトで使っている製品のバージョンが、脆弱性があるってよく知られたバージョンのままなんですけど…」的なウェブサイトの届出について、注意喚起を出してまとめて終了とバルクで取り扱えるようになった。

早速IPAで「EC-CUBE」の古いバージョンを利用しているウェブサイトへの注意喚起を出したわけだが、このEC-CUBEという製品の開発者側での公表内容が少し特徴的だった。

IPAから推奨されているEC-CUBEのバージョンアップには、現在のところ高度に専門的な知識が必要になりますが、脆弱性対策に限っては、該当箇所の修正によって対応することができます。

旧バージョンをご利用の方でバージョンアップが難しい方も、脆弱性情報の対象バージョンを参照の上、必ず対策は行って下さい。

これだけでは何を言っているのかわかりにくいが、まとめると。

1. ウェブのショッピングカートシステムとして稼動させているので、事業者から見るとうかつな「バージョンアップ」は難しい。
2. そこで、「バージョンアップ」ではなく「該当箇所の修正」で逃げてください、と告知。
3. 実際に細かい情報まで見にいくと、脆弱性ごとに「ここをこう書きかえればOK、と修正する箇所が具体的に書かれている」
4. 修正情報はプログラマにおなじみの diff などの差分ではなく、「手動でこうなおせ」というもの。

手慣れたプロならば、差分を取るなりバックアップシステムで確認しながらするなりでバージョンアップも可能だし、diff があれば一気に対応もできる。そこをあえて、普及している対象を考えてローテクな場当たり対策に徹しているところが、公知する立場と対策をして欲しい立場の違いということで実に興味深かった。この目線をしっかりと覚えておきたいものだ。

会社の上司Aの肝煎りで、一日部内で業務を止めてシェルコードに関する集中勉強会をする。

普段は Ollydbg ばかりで、Immunity Debuggerは初めて使ったが、DLL 内のトランポリン用命令の探索がさくっとできるのは便利そうだ。一々ダンプさせてgrepさせていたのが馬鹿のように思える。

そして、今はシェルコードですらインタラクティブ+ヴィジュアルで構築の時代なのか。昔ちまちまと禁止文字を考えながらやっていた時代は遠くなったものだ。まあ、それでも色々と手法は必要なわけで、初心者がすると大変なわけだが…。

知っている知識の実践と確認という点があるとはいえ、色々とためになる時間だった。

朝から大雨。6時間耐久試験なので、ちょっと早めに家を出て食事をすませてから会場に行く。が、出る出口を間違えてしまい雨の中ちょっと駆け足気味で移動する羽目に。

試験耐久用具として、事前に時間配分(定期的なトイレ・水・軽食)を決めた上で、お茶ペットボトル二本、チョコレート一袋、目覚まし用のタブレットにガム、軽食用に餡パンと、とにかく水分と糖分を切らさず動けるように準備した。

その甲斐あってか、それなりに明晰な頭脳のままで試験終了。雨で空調が煩かったので、後半耳栓を投入したもの思ったより効いていたようだ。

あとは結果を待つのみ。

今迄のモジュールの総括と、模試。10ドメインにばっさり分けられてはいるものの、実際には相互に関連しておりあっちの概念がこっちで、とか。レイヤ分けして理解しないと混乱してしまう。私の場合業務経験で半分以上のドメインは簡単な詰めこみですむのが幸いか。

で、模試。ミスをしなければ確信で8割いけるが、1問1分前後という時間制限と、本番の6時間という長時間によるケアレスミスを含めてぎりぎりというところか。大体の基礎はできている感じなので、後は連携部分と、「CISSP的に重要」という試験向けの理解を深める方向でよさそうだ。

以上(ぐでー)

モジュールEが確認なので、実質的に今日がまとめの内容。「アクセス制御」「アプリケーションセキュリティ」「運用セキュリティ」と内容も豊富。技術的になればなる程私は有利なので、今日も下地となる知識はばっちり。こういう所でCISSP的思考が必要などの欠点もわかるので、そこだけは対応が必要。

矢張り誤字やウェブアプリケーションセキュリティまわりの認識の違いが気になって、講師につい休憩時間につっこんでしまう。あと、BASIC がコンパイラ言語って、かなり珍しい意見だと思う。普通はインタプリタ言語だよねぇ…VBは別枠にあったし。

昨日に引き続き、モジュールBは「法、規則、コンプライアンス、捜査」「事業継続と災害復旧の計画」「物理（環境）セキュリティ」。全部苦手というかあまり関連した業務をしなかったので頭で概略を覚えているだけで、半分近く欠けている領域ばかり。

飲み物やおやつで体調とテンションに注意しながら受けたものの、昨日以上にぐったりと疲労。ノートも順調に2冊目に突入。暗記しなければいけない単語が多いし、ここが一番の難関かつ、覚えておけば点が稼げる領域になりそうだ。

朝から夜まで、ただひたすらにCISSP認定講師によるセミナーを受ける。CISSPの試験対策ではなく、あくまで考え方を詰めこみ理解を助けるためのセミナーなので、事前のある程度の理解は必須。ある意味受験条件に業務経験が必要なのは、理屈だけではなく実践で適用できる形に覚えていないとどうにもならないためと言える。

CISSPのCBK(セキュリティ分野における共通知識をまとめたもの)は、10ドメインに分かれている。今日はその中から、モジュールA(全5モジュール)として「イントロダクション」「情報セキュリティとリスクマネジメント」「セキュリティアーキテクチャと設計」を受講。

事前情報に従ってノートと単語帳と筆記用具を持参し、ただひたすらにノートを取り続ける。どうせテキストの内容は後から見直せるので、思考法を理解する方が先決だ。かなり余裕をもって実効スペース1/4位程でかいているとは言え、一日終了でノートの2/3が埋まった。万年筆でよかった…これがボールペンなら間違いなく手首にきてしまっている。筆圧が弱くてさらさらと書ける万年筆に感謝。

〆めの自己確認テストまでやって、講師にも質問してセミナー終了。その後、ちょっと仕事場に顔を出してみると、何故かトラブル発生。いきなり関連のミーティングにも誘われ、結局仕事をこなしてから帰宅。頭が働かん…。

なお、昨年までは分厚いCISSP本を配布していたそうだが、今年からは資料を一新したのとサービス分終了ということで配布はなし。CBKの全文を見るには英語で公式サイトを見るしかないのか…テキストに主要部分はまとめられているとはいえ、ちょっと不安だ。

急にMAC(強制アクセスコントロール)まわりの把握が必要になったので、昨日に引き続き紀伊国屋本店に行き、購入。こういう時はオライリー本かAWに限る。

• SELinuxシステム管理――セキュアOSの基礎と運用 (Bill McCarty)

信頼性でWikipedia対抗　朝日新聞、講談社、小学館など無料辞書サイト – ITmedia News

とりあえず、公開鍵暗号を書いた人は Bruce Schneier に小一時間説教されてきてください。よくもまあという位にツッコミ所が多すぎて、真実を拾う方が大変だ。