• hdk の自作ソフトの紹介 | PuTTYjp

PuTTY 0.62 の環境に上書きコピーしてみたが問題なく使えているようだ。 そうそう， PuTTYjp の実行ファイルは puttyjp.exe だが， putty.exe にリネームしても問題ない。

日本語環境が使えるのはありがたい。 作者の方には感謝です。

• PuTTY version 0.62 is released

いくつか修正があるが， “SECURITY FIX” として

“PuTTY 0.62 fixes a security issue present in 0.59, 0.60 and 0.61. If you log in using SSH-2 keyboard-interactive authentication (which is the usual method used by modern servers to request a password), the password you type was accidentally kept in PuTTY's memory for the rest of its run, where it could be retrieved by other processes reading PuTTY's memory, or written out to swap files or crash dumps.” （via “PuTTY version 0.62 is released”）

とある（0.61 より前のバージョンにも同様の問題があるので注意）。 日本語版はまだ見当たらない。

• Android携帯等の全履歴、プリインストールで無断収集 ≪ WIRED.jp
• AndroidとiOS、プライバシーを丸裸にするソフトが仕込まれていたことが発覚 -INTERNET Watch
• Carrier IQ問題、各社の反応--アップルやRIMなどが声明 - CNET Japan

発端はアメリカのセキュリティ研究者 Trevor Eckhart 氏の報告によるもの。

• CarrierIQ | Android Security Test
• CarrierIQ Part 2 | Android Security Test

で，この Carrier IQ の挙動がかなり極悪な上に OS の中の方に組み込まれていてユーザレベルでは解除できないということで，「これってルートキットちゃうん？」と騒ぎになったわけだ。そして，さらに悪いことに Carrier IQ 社は Trevor Eckhart 氏に対して記事を引っ込めろと圧力をかけてきたらしい。これに対し EEF が Trevor Eckhart 氏を擁護する構えを示したため Carrier IQ 社は圧力を撤回したが，この事自体が Carrier IQ への疑惑を深める結果になっている。

• Carrier IQ Drops Empty Legal Threat, Apologizes to Security Researcher | Electronic Frontier Foundation

また Carrier IQ は Android 機だけではなく iOS 機を含む他のスマートフォンにも組み込まれているようだ。

Carrier IQ に対する各社の反応は「Carrier IQ問題、各社の反応--アップルやRIMなどが声明」に載っている。 iOS 5 では， Carrier IQ は組み込まれているが既定で無効になっているそうだ（12/3 追記：既定で無効ではなく初期設定時に有効にするかどうか問い合わせてくる。そういえばそんな画面があったような）。「設定→情報→診断/使用状況」で確認できる（参考：「yebo blog: iOSのCarrier IQ」）。 BlackBerry を出している RIM 社は Carrier IQ を仕込んでないと言っているらしい。 Verizon 社も同様に否定している（12/5 追記：ただし実際にはVerizon製デバイスに組み込まれているという報告もある）。 Microsoft 社も否定。注目すべきは HTC 社の発言で

「スマートフォンメーカーHTCの反応は一歩踏み込んだものとなっており、Carrier IQを「デバイスに搭載するよう多くの米国キャリアから求められている」とAll Things Dに語るとともに、さらなる情報についてはキャリアに問い合わせるよう勧めている。」（「Carrier IQ問題、各社の反応--アップルやRIMなどが声明」より）

ということで， Carrier IQ の組込みがキャリア側の要請である可能性も出てきたわけだ。少なくとも Sprint 社と AT&T 社は Carrier IQ の使用を認めている。

ところで，今回の騒ぎは米国内の話として完結しているが，他の国はどうなんだろう。ちうわけで念のため au にメールで問い合わせをしてみた。回答はまだない。

（12/3-5 追記）

• キャリアが仕込むプライバシー侵害アプリ、Carrier IQの発見、対処法―iPhone版も存在した
• Apple曰く：弊社はCarrier IQを使用しない…ほぼ全製品で…今後は。
• Samsung And HTC Hit By Wiretapping Lawsuit Over Tracking Software | paidContent
• Carrier IQ、スパイウェア疑惑の払拭に懸命--「責任は通信事業者に」 - CNET Japan
• 米で話題の“スマホ覗き見”問題、国内3キャリアの端末は「確認中」 -INTERNET Watch
• 「カレログ」よりエゲツない？ 米国議員、FTCにキャリアIQの調査を要請|Computerworld
• Carrier IQ問題は「携帯ビジネスモデルの一面」～米プライバシー擁護団体 -INTERNET Watch
• Schneier on Security: Carrier IQ Spyware

（12/6 追記）

• CarrierIQ: The Real Story - Security Research by Dan Rosenberg
• Carrier IQ問題 - 「ユーザーのキー入力記録や送信はない」と米セキュリティ専門家 - WirelessWire News
• Carrier IQにキーロガーの機能なし--Linuxハッカーが分析 - CNET Japan
• Carrier IQの情報収集はサービス向上が目的――セキュリティ研究者が検証結果公表 - ITmedia
• 「問題はCarrier IQでなく、キャリアとメーカー」著名研究者が解析結果 -INTERNET Watch
• 「Carrier IQ」ソフトのデータ収集問題でApple、AT＆Tなど8社に集団訴訟 - ITpro

セキュリティ専門家 Dan Rosenberg 氏による追加検証では Carrier IQ の挙動は Trevor Eckhart 氏が言うほど極悪ではないようだ。

「いっぽう、Computerworldでは、このローゼンバーグ氏による分析に関し、同氏の「あの動画に写っているのは、キーをタイプするといったイベントにCarrier IQのソフトが反応しているところだ。トレバーはあれを目にして、どんなキーストロークでも記録され、携帯通信キャリアに送られている、と早とちりしたのだろう。仮にそうした行為が行われているとすれば重大なプライバシーの侵害にあたるだろうが、しかし私が分析したところではそうしたことは行われていない（ことがわかった）」というコメントが紹介されている。」（「Carrier IQ問題 - 「ユーザーのキー入力記録や送信はない」と米セキュリティ専門家」より）

では実際に Carrier IQ でどのようなことが行われているかというと

「その結果、同スマートフォンのCarrierIQではSMSの本文、Webページのコンテンツ、電子メールの中身やキーストロークは記録できないことが分かったと報告。一方、記録できる情報としては通話の際に押されたダイヤルボタン、GPSの位置情報（状況による）、閲覧したWebページのURLを挙げた。」（「Carrier IQの情報収集はサービス向上が目的――セキュリティ研究者が検証結果公表」より）

ということらしい。ただ Carrier IQ を巡る集団訴訟は既に始まっており，その行方が気になるところである。

個人的には Carrier IQ の機能をユーザレベルで無効できるようにしてもらいたいところだ。その点では iOS 5 は筋の良い実装をしていると思う。当初言われたほどの機能はなかったとしても Dan Rosenberg 氏の検証でもプライバシーに関わる情報を収集していることは確かなようだし，また Android 機はビジネス用途で使われることも多いため，機密保持の観点からも無効化のオプションは必要だと思われる。

SNS などのサービス・プロバイダだけでなくキャリアや ISP もユーザのアクティビティを収集しようといろいろな手を使っている。しかしアクティビティの収集はプライバシー（権）の侵害と紙一重である。それだけに「ユーザとの合意」が非常に重要になってくる。これも一種のリスク・コミュニケーションだと思う。

まぁいずれにせよ「ルートキット」は言いすぎだったかな。最近のメディアの口調も「スパイウェア」にトーンダウンしてるし（笑）

そういえば au への問い合わせの回答が来たのだが「確認中」とのことだった。まぁ報道でもそう言ってるしな。でも確認に時間がかかるということは日本のキャリア側も「寝耳に水」だったのだろうか。

（12/7-9 追記）

• auにもCarrier IQ入り端末が存在、ただし「動作せず」とKDDI -INTERNET Watch
• Carrier IQソフト、NTTドコモのAndroid端末に埋め込みなし -INTERNET Watch

IPA からセキュリティ注意喚起サービス「icat」がリリースされた。

• サイバーセキュリティ注意喚起サービス「icat」の公開

ブログパーツとしても使えるので，さっそくトップページに貼ってみた。

IPA が発信する注意喚起は本当に注意を要するものばかりなので要チェックである。 特に重要な注意喚起については背景がオレンジ色になるらしい。 そういうものが頻発しないことを祈る。

ただこれ Flash なんだよねぇ。 Flash 無効にしている方はごめんなさい。

• 2011年、これまでの事例にみる脅威とその対策 第3回
• 2011年、これまでの事例にみる脅威とその対策 第4回

「PCやUSBの持ち出しの禁止は、ファイアウォールが明確に外部ネットワークと内部ネットワークを分離されており、Good man IN, Bad man OUTである事を前提としている。 しかし、ITの利用形態の多様化により、このような単純なモデルでは実態を捉えにくくなっている。 特に、コンシュマー向け、ビジネス向けのクラウド利用が当たり前になっている現状では、内部ネットワーク、外部ネットワークの境界は、不明瞭になっている。」 （「2011年、これまでの事例にみる脅威とその対策 第3回」より）

「日本におけるセキュリティ対策は、ISMS(Information Security Management System)、個人情報保護法対策、J-SOX対策など、セキュリティマネージメントを中心に進められてきたと思います。 これらの取り組みでは、PDCAの重要さが指摘されているのですが、私が知っている限りでは、計測可能な事実（Fact）に基づいてCheckが実施されている例は数社に過ぎず、多くの場合、アンケート形式による確認が行われるだけで、 技術的なFactの確認が行われていません。 これでは、自組織のネットワークやコンピューターがどのような状況にあるのか知ることはできないですし、不正侵入を知ることもできないと思います。」 （「2011年、これまでの事例にみる脅威とその対策 第4回」より）

クラウドの普及はネットの「内側」と「外側」を曖昧にしている。 また，近年流行りのボット型マルウェアの多くはネットの「内側」から穴を開けるもので，更にボットの侵入に際しては特定の企業や団体を狙った「標的型攻撃」が急増している。 古いタイプの「イントラネット」は，ネットの内側からの攻撃を想定していないことがほとんどで，いったん侵入されたらやりたい放題になってしまう。 先の引用にある通り「計測可能な事実（Fact）に基づいて Check が実施」されているところは少ないようで，これではマルウェアが侵入・活動しても気づかないまま被害を拡大させることになる。

ここで思い出すのは春に発覚した PSN の情報漏えい事件と，最近話題の衆議院議員の情報漏えい事件である。

• 2011月11月16日「攻撃されていると分からない脅威」 / SciencePortal

たしかに標的型攻撃は脅威だが

「同氏は、「標的型攻撃は1つのソリューションで保護することできない。 すべての“攻撃フェーズ”で適切なソリューションを組み合わせ、総合的な対策を施すしかない。 企業はゼロデイアタックを心配するが、標的型攻撃のほとんどは、パッチが配布されている既知の脆弱性に対して行われている」と指摘する。」 （「「遮断」するべきか「許可」するべきか――それだけでは問題だ」より）

とあるとおり，（Duqu のような特殊な例を除けば）かなりの確率で防ぐことは可能だし，たとえ侵入されても検知する方法はあるのである。

（衆議院議員のケースはマヌケ過ぎるが，春の PSN の事例がきちんと分析され広く周知されていたなら防ぐことも可能だったのではないかという気もする。 ただし，聞くところによれば，衆院事務局が「パスワードを変更しろ」つってんのに，きちんと応じてる議員が半分弱しかいないらしい。 こんなレベルじゃ確かにやりたい放題できるわな。 衆議院はきちんと対応している議員を公表すべき。そうすればセキュリティ意識の乏しいバカ議員も特定できる）

時代が変わればセキュリティ要件も変わる。 守る対象も守り方も変わってくるのだ。 お宅のネットは大丈夫ですか？

• 内部犯行 vs 内部告発 -- 内部情報流出をどのように捉えるのか

この記事はぜひ全文を読んで欲しいのだが，かいつまんで紹介しよう。 まず

「KPMGが監査で関わった69ヶ国の企業348社での不正事件を調査したところ、CEOが犯行に及んだものが26%にのぼり、2007年の11%から比べて上昇しているのだ。 また内部犯行に関わった従業員の32%は役員を含む会計部門だった。 ちなみに最も「不満を持つ従業員」の想定に当たりそうな18～25歳の犯行は2%だと云う。」 （「内部犯行 vs 内部告発 -- 内部情報流出をどのように捉えるのか」より）

という部分。 もう「会社に不満を持った従業員や解雇者が会社に対して犯行を行う」というステレオタイプは通用しないということだ。 今回のオリンパスの件に関しても「CEO以外の経営役員がすべて不正に関与していたかもしれない」事態に発展しつつある。 オリンパスの件では元 CEO が内部告発者となったわけだが，もし自分の勤めてる企業のトップが不正を行っていたとしたら誰に告発すればいいのか？ 株主か？ それとも WikiLeaks のような告発サイトか？

しかし問題はそこではない。 もしあなたが企業内の内部犯行や内部告発の動きを察知したとして，はたしてどう振舞うのが正しいのだろう。

「企業や組織の内部規則や情報セキュリティポリシーなどは、その組織が犯罪や反社会的行為に携わらない状態を前提としている。 そのため通常ならば企業や組織の内部情報を外部に流出させることは内部犯行として捉えられる。 しかしもし企業や組織が犯罪や反社会的行為に手を染めているなら条件は同じではなく、企業や組織の内部情報を外部に流出させることは内部告発の場合がありうる。
もしあなたが企業や組織の情報セキュリティ担当者なら、情報流出の第1発見者になる可能性が高いかもしれない。 だが、発見したものが経営陣の不正の証拠になる通信内容やその内部告発だったならば、それをそのまま組織に報告してしまえるだろうか?」 （「内部犯行 vs 内部告発 -- 内部情報流出をどのように捉えるのか」より）

「WikiLeaks 以後」とも呼ばれる今の時代は過視的な時代でもある。 いいことも悪いことも視え過ぎてしまう。 「私は規則に従っただけ」という言い訳も（過視的であるが故に）通じない事態もありうるのだ。

私たちは「WikiLeaks 以後」について甘く考えてはいないだろか（故に TIJ などと揶揄される）。 過視的な時代だからこそ国家もメディアも企業も個人も情報鎖国状態ではいられないのだ。

参考：

• 『日本人が知らないウィキリークス』を読む

日本人が知らないウィキリークス (新書ｙ)

小林 恭子 白井 聡 塚越 健司 津田 大介 八田 真行 浜野 喬士 孫崎 享

洋泉社 2011-02-05

評価

by G-Tools , 2011/10/28

不過視なものの世界

東 浩紀

朝日新聞社 2000-10

by G-Tools , 2011/10/28

それはさておき，今回の iCloud/iOS 5 のリリースに関連し，一連の Apple 製品に対してセキュリティ脆弱性の報告が出ている。

• About the security content of iTunes 10.5
• About the security content of iOS 5 Software Update
• About the security content of Safari 5.1.1
• About the security content of Apple TV Software Update 4.4
• About the security content of OS X Lion v10.7.2 and Security Update 2011-006
• About the security content of Pages for iOS v1.5
• About the security content of Numbers for iOS v1.5

つまり，これらの製品に関しては「アップデートしてもよい」のではなく「アップデートしなければならない」。 メディアの報道は機能改善または追加ばかり強調されているが，これがセキュリティ・アップデートでもあることを忘れてはいけない。

それにしても，インシデント多すぎだろ！ なんでこんなになるまで溜め込むんだ。 思うのだが， Apple はソフトウェア製品の管理がまともに出来てないのではないだろうか。

ソフトウェアのメジャー・バージョンアップの際は，そのバージョンをトランクからブランチし，保守フェーズに入れる。 その一方でメインのトランクでは次のバージョンに向けての開発を行う，というのが普通である。 これは企業製品でもオープンソースの製品でもだいたい同じである。 でも Apple 製品はそうやっているように見えない。 リリースしたバージョンがほとんど保守されず（最近はユーザに暴露され緊急性の上がった脆弱性は fix されるようになったが），不具合や脆弱性の修正は次バージョンに含まれてしまうのだ。 これが1つか2つのそれも軽微な内容なら「次のバージョンに含めてしまえ」という判断もアリかも知れないが，上のリンク先を見るように， Apple 製品においてはインシデントがあまりにも多すぎる（インシデントに対してしかも脅威の大小も示されない）。

よく Android と iOS の対比で Android を Microsoft に喩える人がいるが，私に言わせれば，現在の Apple に最も近いのは1990年代の（つまり最も悪名高い時代の） Microsoft である。 あの時代の Microsoft はインシデントに対して積極的ではなく機能の改善や追加に躍起になっていた。 そのせいでセキュリティ上の問題が後回しにされユーザを不安に陥れている。

セキュリティ・インシデントを後回しにするような（そんな管理体制を敷くような）企業はユーザを軽視しているのと同義であり，そんな企業はク◯ッタレである（下品でゴメン）。

というわけで， iPad がメジャー・バージョンアップするたびに後悔するのだが（次は Android タブレットを買う！），ン万円もするものをひょいひょい買い換えられるほどお金持ちでも無いので，しばらく苦行は続きそうである。 おれは Apple 教の在家信者じゃねーっての！

経緯とかよく知らないし面倒くさいのでここには書かない。 詳しくは上のリンク先を参照のこと。

問題は「私達ユーザはどうすりゃいいの？」ということである。 短期的には「通報君Z」みたいなアプリもあるそうだが，これらのアプリが信用できるものなのかどうか保証があるわけではない（「知ってる」人達の間では信頼できるんだろうけど）。 本当は，それがスパイウェアなら（トレンドマイクロなり F-Secure なり McAfee なり）セキュリティ企業が提供するアプリでハネて欲しいし，それを期待してユーザはセキュリティ・ツールを入れているのだが，そういう方向には行かないで，ユーザの中でいつまでもグズグズと話が回ってるだけのように見えて腹立たしい。

ここで思い出すのが2005年の SONY BMG の CCCD （正しくは XCP-CCCD）によるルートキットのインストール問題だ。 ルートキットを入れること自体問題だが，そのルートキットがバックドアとして機能してしまうというので問題が拡大した。 当初 SONY BMG 側は言い訳がましい発言を繰り返していたが，集団訴訟に発展し，結果的に全ての CCCD をリコールせざるを得なくなった（もちろん CCCD は製造中止。それ以外にルートキットのアンインストールについても一騒動あったのだが）。 これによって SONY BMG は社会的に大きく信頼を落としたわけだ。

（今から考えれば，あれが CCCD の断末魔の叫びだったのかもなぁ）

翻って，今回のケースが

「日本では、今年7月14日に施行された改正刑法により、スパイウェアの（スパイウェアとしての）頒布は、刑法168条の2第2項、不正指令電磁的記録供用の罪に問われる場合がある。 そのような供用の目的でプログラムを作成する行為は、同第1項、不正指令電磁的記録供用目的作成罪に問われ得る」 （「スパイウェア「app.tv」に係るミログ社の大嘘」より）

のであれば，とっとと訴えるなりすればいいのであって，ユーザ間でいつまでもグズグズやってるから相手に言い訳の余地を残してしまうことになる。

2005年の件については Bruce Schneier 氏による興味深い記事があるのだが

• ソニーCDが明らかにしたセキュリティー業界の本質的問題(上) ≪ WIRED.jp Archives

肝心の（下）がねぇぞ， WIRED.jp ！ ホンマに困るんだよね，ここのサイトは。 サービス主体が代わるのはしょうがないとしても，昔の記事は昔の URL のまま残しておけよ。

まぁ，セキュリティ業界の体質とか著作権法（特にリバースエンジニアリング）の問題とか色々あるわけよ。

（10/12 追記）

• Android端末情報を許諾なしに取得・送信、ミログ「app.tv」がサービス停止

• 体系的に学ぶ 安全なWebアプリケーションの作り方
• 今なら36%オフな「徳丸本」PDF版を買った

試し読みもできるし， PDF 版が気に入らない場合は Amazon へのリンクも張ってあるので， Web アプリケーションエンジニアの方でまだ買ってない方はご検討あれ。 BOOKPUB は PayPal 決済ができるので助かる。 私は紙の本は既に持っているが， PDF は使い勝手がいいので，こっちも買うことにした。

PDF は印刷機能はブロックされているが（印刷するなら本を買えということだろうw），内容のコピーやアクセシビリティのための内容の抽出は可能なので使い勝手はいいと思う。 iPad のアプリ PDF Expert で読んでみたが，文書への落書きも問題なくできるみたい。 ブラボー！

同書は実用書なので使い倒すことに意義がある。 その点で PDF であるというのはメリットが大きいと思う。

セキュリティはリスクでありプロセスなので，全体最適で組み込んでいかないと，後から慌てて組み込んでも（部分最適は）必ず失敗する。 そういう意味で，この「徳丸本」はエンジニア必携の書だと思う。

体系的に学ぶ 安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践

徳丸 浩

ソフトバンククリエイティブ 2011-03-03

評価

by G-Tools , 2011/10/08

本家で0.61が出たようですが、対応の予定はありますでしょうか？

投稿者 ごった煮ユーザー : 2011年07月14日 22:38

すいません。本業が忙しくてなかなか手を出せそうにありません。

投稿者 ゑ : 2011年07月15日 00:35

（「ゑBLOG: PuTTY 0.60 ごった煮版 2007年8月6日版」コメントより）

で，代わりと言ってはナニだが，「ICE IV + putty」なるものがあるそうで，こいつの最新版は PuTTY 0.61 のコードをベースに「ごった煮版」の機能を追加したものらしい。

「PuTTY 0.61 よりも新しいソースコードをベースとして、 PuTTY 0.60 ごった煮版 2007年8月6日版 に諸々の機能を追加しました。」 （「ICE IV + putty」より）

というわけで，早速試してみた。 インストーラはなく，圧縮ファイルから必要なファイルを取り出してコピーするもののようだ（「ICE IV + putty」インストールの節を参照のこと）。 （一応バックアップをとった上で）オリジナルの PuTTY 環境に上書きコピーしたが問題なく動作しているようだ。 （pagent を起動させている場合はいったん終了させてから上書きコピーする）

やぁこれで自宅にある古い EUC-JP の環境にアクセスできるよ（今までは 0.60 でアクセスしていた。自宅サーバだし）。 めでたしめでたし。

それはさておき，トレンドマイクロ社の「ウイルスバスター モバイル for Android」が正式にリリースされたので早速導入してみた。

• プレスリリース - 2011/8/25 | スマートフォンのセキュリティに必要なアプリ・Web・紛失盗難対策を備えた新製品「ウイルスバスター モバイル for Android」
• トレンドマイクロ、Android向け「ウイルスバスター」を発表

元々，不正アプリ対策機能のみのβ版を使っていたのだが，通常のアプリへの負荷もなく使えてたのと，正式版で盗難・紛失時対策が追加されたので，もう迷うことなく導入を決めた。

スマートフォンについては，特に Android 機に関して， malware の脅威が喧伝されるようになったけど，そもそも携帯端末（旧来のガラケーも含めて）の最大のセキュリティ問題は端末の盗難・紛失リスクなんだよね。 例えばウイルスバスターの場合，不正アプリ対策用のパターンファイル更新は，β版で30日毎，正式版で1週間毎が既定になっている。 Windows 機でパターンファイルを毎日更新してもなおゼロディ攻撃に怯えるような状況に比べればずいぶん牧歌的である（もちろん今後は分からない）。 なので，今のところは，盗難・紛失時対策がしっかりしているものを選ぶべきだろう（もちろん失くしたりしないよう管理するのも大事）。 ちなみに別記事で「スマートフォンのセキュリティ管理」という記事を公開しているので，これからスマートフォンのセキュリティ管理に気を付けようという方は，この記事を最初に読んでいただけると嬉しい。

今回は店頭にパッケージが並ぶ（9/2 の予定）のを待つ気はなかったので（よく考えたらここ10年以上実店舗でパッケージソフトを買った覚えがない），オンライン購入した。 住所とか入力させられたので，てっきりパッケージが郵送されるのかと思ったが，サイトからパッケージをダウンロードしろと指示された（上述の通り STEINS;GATE HD にハマっていてこの指示メールに2日近く気がつかなかった orz）。 Android 機ユーザの方はお気づきと思うが， Android Market 以外の場所から入手したパッケージをインストールする場合には「提供元不明のアプリのインストールを許可しない」設定を一時的に外す必要がある。 この設定はインストール後かならず元に戻しておくのをお忘れなく。

指示メールの中にはアクティベーションキーが掲載されているので，アプリ起動後に設定しておく（トレンドマイクロにアカウントがない場合はアクティベーションキー設定前にアカウントを作成する操作がある）。

さて，アプリを見ると，主な機能が3つある。

• 不正アプリ対策
• Web脅威/迷惑着信対策
• 盗難/紛失時の対策

まずは不正アプリ対策を開いてパターンファイルのアップデートを行い，その後に不正アプリの検索を行う。 端末内のアプリやデータに問題がないことを確認したら残り2つの設定を行う。

インストール作業や機能設定作業を行っていると気づくことだが，このアプリは端末内の様々な情報にアクセスできる上，デバイス管理者として登録されるので，かなり上位レベルの操作も可能になっている。 たとえば盗難/紛失時の対策では

• GPS を使った端末の捜索
• 端末内の全データの消去
• 端末操作のロック
• リモートコントロールによるアラーム

といったことができる。 個人用としては必要十分な機能だと思うが，考えてみればこれは結構恐ろしいことで，もしこれが（malware が仕込まれた）偽のセキュリティ対策アプリだったらと思うと，ぞんぞがさばる。 そう考えると端末へ手動でインストールさせるというのは（現時点ではやむを得ないとしても）筋が悪いと思うのだが，何とかならないものだろうか。

ちなみに最近の Android 用の malware のトレンドは Android Market に出ている普通のアプリに malware のモジュールを仕込んで再パッケージしたもののようで，既に Android 2.3 の root を奪うものまで現れているらしい。

• Android 2.3のroot権限を奪う初のマルウェア見つかる

むやみに恐れる必要はないが油断は禁物。 対策としては「スマートフォンのセキュリティ管理」で挙げている5つのポイントを遵守するべきである。

さて，実際に端末を盗難・紛失してしまった場合は Web 上のサポートページから盗難対策のページへ行ってトレンドマイクロのアカウントでログインすると，以下のようなページが開かれる。

この画面から捜索・アラーム・ロック（またはロックの解除）・消去の各操作が行える。 この操作を行うためには当然 Web にアクセスできる環境が（端末とは別に）必要でる。 デスクトップ・パソコンが望ましいが，今時デスクトップが鎮座在してる環境は少ないような気がするので，ノートパソコンやタブレット機でもいいかもしれない。 しかし，スマートフォンほどではないかも知れないが，ノートパソコンやタブレット機にも盗難・紛失のリスクがあることをお忘れなく。

いまのところウイルスバスターを入れて「重い」といった弊害は出てないようだが，何せまだ使い始めたばかりなのでまだ分からない。 不便な点が出てくれば，そのうちここで愚痴ってみることにする。

そうそう（ディズニーランドの住人である） iOS 機は幸いにして不正アプリ等は皆無のようだけど，他の携帯端末と同じように盗難・紛失のリスクはあるので，備えておいて（孫じゃない）損はないと思う。

• マカフィー、iPhoneの紛失・盗難対策アプリ「WaveSecure iOS版」

ウイルスバスター モバイル for Android

トレンドマイクロ 2011-09-02

評価

by G-Tools , 2011/08/27

• mixi足あと今でも検証可能な部分のキャプチャを取った...

「imgタグで読み込まれた場合でも自分の訪問履歴に記録されているのがわかる。 つまり、mixiのログインCookieさえ送っていれば実際にはmixiを訪問していなくても、足あとをつけることができた。 例えばアダルトサイトが訪問者のmixiアカウントを収集したりすることができた。 mixiは不審なアクセスパターンやリファラがあれば弾く、といったような対策を取ることは出来るだろうが、根本的な解決にはならない。」

ただし現在の mixi は「友人、友人の友人、同級生、同僚以外の足あとが記録されなくなった」そうで，上述のように画像データを踏んでも赤の他人の行動を収集することはできなくなったらしい。 個人的には mixi は放置プレイ中（mixi ボイスに tweets を転送するとか，たまにマイミクの友人の日記を見るとかくらい）なので大した脅威ではないのだが，それ以前に「これって古典的な web bug の話だよな」と思ったのだが，そういう単純な話ではないらしい。

まず mixi の件について言えば

「足あと機能はGETリクエストだけで書き込み操作が行われる典型的なCSRF脆弱性と見なすことも出来ます。 CSRF脆弱性を残したままで「サードパーティCookie有効でログイン状態のまま外部サイトを訪問する機能を提供」していたことがそもそもの誤りです。」

ということで脆弱性問題と絡めた議論が必要らしい。

また， Cookie の送信についてはブラウザごとに挙動が違っていて

「サードパーティCookieをブロックする、という設定にしても保存済みのCookieが送られるブラウザが殆どなので。 サードパーティCookieの設定をオフにして送信もブロックするのはFirefox3以降のみで、Chromeはabout:flagsで設定する必要があります。 自分が知る限りsafariでは受信をブロックはできますが送信をオフにする設定ができません。 サードパーティCookieの送信をデフォルトで無効にしつつ、指定したドメインにはホワイトリスト方式で許可、という設定ができるブラウザは皆無です。」

ということらしい。 私はほとんど Firefox しか使ってないので（仕事は別），プライバシー・オプションで「サードパーティの Cookie も保存する」を無効にすることで問題なく運用できているのだが（サードパーティ Cookie を許可するには「例外サイト」でサイトを許可すればいい），他のブラウザは違うらしい。

サードパーティ Cookie の送信を無効にすると Facebook の [Like!] ボタンや Google の [+1] ボタンのような機能までブロックされてしまう。

「ぜなら彼ら自身が外部サイト向けの埋め込みウィジェットでサードパーティCookieに依存した機能を提供しているからです。 これらの機能を使うためにはサードパーティCookieが送信されている必要があり、ブラウザの設定をデフォルトに戻したりCookieをブロックしないように案内する必要があります。」

とあるが，これはブラウザ側の設計の欠陥じゃないだろうか。 言っておくがセキュリティはセキュリティとしかトレードオフにならない。 もしセキュリティが利便性とトレードオフになってしまう状況があるとしたら，それは設計（または実装）の欠陥なのだ。

（他にもブラウザの実装には問題があるようで，例えば

「XMLHttpRequestでも対応ブラウザであればクロスドメイン通信ができます」

というのには驚いてしまった。 あかんやろ！）

とはいえ，実際にはなかなか難しい。 その辺の怪しい出会い系サイトなら問答無用でブロックすればいいだろうけど， mixi のような大手のサービスについては簡単に「ブロックすればいい」と言うわけにはいかなだろう（個人的には mixi はブロックして構わないと思うが）。 またケータイやタブレット機に搭載されたブラウザでは Cookie の細かい制御はできない。 しかもアプリでは機能がブラックボックス化されているので，ユーザは内部でどのような通信が行われているか普通は分からない。 となると，せいぜい「怪しいサイトへは近づかない」「怪しいアプリは使わない」程度の防衛しかなくなってしまう。

それに行動ターゲティングの問題は Cookie だけにとどまらない。 ローカルに情報を格納し取り出す方法は Cookie 以外にもあるのだ。 有名なところでは Flash Cookie （ローカル記憶領域； 最新版ではユーザによる制御が可能になっている。 Windows ではコンパネの Flash Player から可能）がある。 また HTML5 では様々なストレージが利用可能だ。 他にも色々ある。

• evercookie - virtually irrevocable persistent cookies

もっと言うなら docomo のiモード ID のようにキャリアや ISP 側で情報を埋めこまれた場合，ユーザからはますます制御しづらくなる。

月並みだけど，ネットにおいてはユーザの行動を追跡することはそれほど難しくないし，これから様々なツールやサービスが登場するたびにユーザを繋ぐ鎖は増えていくだろう。 私たちはそういった縛りから「いつでも降りれる自由」を担保しておかなければならない。

• PuTTY version 0.61 is released
• 4年ぶりにPuTTYがバージョンアップ

機能面では Windows 7 のジャンプリストに対応した点が嬉しい。 これでデスクトップにアイコンを置かずに済む。 あとは GSS-API （Generic Security Standard Application Programming Interface）に対応したことかな。 個人的には GSS-API を使う局面はないけど。 リリースノートを見る限りセキュリティ上の大きな問題はなさそうだけど， PuTTY はセキュリティツールだし，うちの環境でもアップデートすることにした。

ところで日本語圏のユーザは PuTTY のごった煮版を利用している人も多いだろう。

• PuTTY ごった煮版

ごった煮版では UI が日本語化されている他，日本語用の文字コード（EUC-JP, ISO-2022-JP など）への対応が行われているのが特徴である。 今のところ 0.61 用の日本語パッチはどこにも公開されてないようだ。

0.61 は，もちろん日本語には対応してない。 文字コードも，欧州の文字コード以外では UTF-8 しか選択できない。 自宅サーバの Linux 機は今だに EUC-JP なのでちょっと困っている。 まぁ，ごった煮版の環境は残しているので，自宅サーバへの接続にはそっちを使えばいいのだが。

ところで，動作確認のために PuTTYgen （鍵ジェネレータ）を弄ってて気がついたんだけど， DSA 鍵の鍵長をいくらでも大きくできるんだね。 びっくりしたよ。 ちょっとググッてみたら，PuTTY では N を160ビット固定のままで L をいくらでも大きくできるようにしているらしい。

• DSA鍵の鍵長

DSA について簡単に説明すると「DSA は ElGamal 署名方式の改良版で， L ビットの素数 p を使って160ビットのメッセージに320ビットの署名を付けるもの」である。 この「160ビットのメッセージ（＝N）」を224および256ビットまで拡張したのが FIPS PUB 186-3 で定義される新しい DSA である。 DSA の仕様変更はもともと SHA-1 危殆化懸念に伴う SHA-2 への移行の要求から来ている。 だから L だけを大きくしても意味が無いのだ。 う～ん，どうなってるんだろう。 大丈夫なのか？ SSH。 ちゃんと勉強しておけば良かった。

ちなみに NIST の SP800-131A では SHA-1 は署名での利用に関して2010年まで Acceptable，2013年まで Deprecated だ（署名以外では Acceptable）。 ついでに RSA の1024ビット長の鍵についても2010年まで Acceptable，2013年まで Deprecated である。 古い鍵をそのままお使いの方は，この機会に鍵を強めのものに更新することをお薦めする。

（SP800-57 では2010年までと決められていたが（いわゆる暗号の2010年問題）， SP800-131A では少し緩和されている。 この辺の話について詳しくはまた後日紹介する）

参考：

• 暗号の話

• WebGL - A New Dimension for Browser Exploitation
• WebGLの（実質的に）仕様上の脆弱性について(日本語訳)
• 「WebGL」に脆弱性--セキュリティ企業が明らかに

US-CERT でも警告を発している。

“US-CERT is aware of reports indicating that WebGL contains multiple significant security issues. The impact of these issues includes arbitrary code execution, denial of service, and cross-domain attacks. WebGL is a new web standard that is enabled by default in Firefox 4 and Google Chrome and is included in Safari.
US-CERT encourages users and administrators to review the Context report and update their systems as necessary to help mitigate the risks.”
（via WebGL Security Risks）

WebGL というのは 3D のグラフィック表現をブラウザ上で可能にするための標準技術で， HTML5 の canvas 要素内で動作する。 今回懸念されている問題は大きく3つある。

• 任意のコードの実行（arbitrary code execution）
• サービス拒否（denial of service; DoS）
• クロスドメイン攻撃（cross-domain attacks）

このうちサービス拒否とクロスドメイン攻撃については，報告を行った Context Information Security 社で実証コードがあるということらしい。 これらの問題が厄介なのは WebGL の仕様上の欠陥を含んでいる点だ。

これに対し，WebGL の管理団体である Khronos Group は

「WebGLの管理団体Khronos Groupはこの問題について、DoSなどの攻撃についてはOpenGL規格の拡張機能「GL_ARB_robustness」で対応済みだと説明した。 この拡張機能は一部のGPUベンダーに採用されているが、他社にも採用が広がることを期待するとしている。 WebブラウザではWebGLコンテンツを有効にする前にGL_ARB_robustness拡張の存在をチェックすることができ、近いうちにWebGLでもこれが実装モードになる見通しだとした。
　クロスドメイン問題については、「Cross Origin Resource Sharing」（CORS）を選択できるようにするなど、悪用を防ぐ仕組みについてWebGL作業部会で検討すると表明した。」
（via 3D表示規格の「WebGL」に深刻なセキュリティ問題、主要ブラウザに影響）

また WebGL を実装している Mozilla Firefox は 6/21 にも公開予定の Firefox 5 でこの問題に対処するとしている（6/19 現在では Firefox 5 のリリース候補版が公開中）。

「Mozilla ではこの問題を認識しており、6 月 21 日公開予定の次期バージョン Firefox 5 で修正を行います。 これは Firefox 固有の実装問題であり、WebGL 仕様の問題ではありません。Firefox 5 が公開されるまでの間、ユーザは Firefox 5 のリリース候補版 を利用するか、WebGL 機能を一時的に無効化することで、自分自身の身を守ることができます。」
（via WebGL グラフィックスのメモリ漏えい問題）

引用のとおり Mozilla プロジェクトではこれを「Firefox 固有の実装問題であり、WebGL 仕様の問題ではありません」としているが，実際には Mozilla プロジェクトで把握している問題点は「ユーザの個人情報や機密情報のスクリーンショットを、攻撃者がキャプチャできてしまいます」（＝クロスドメイン攻撃）のみのように見える。 他の DoS 等についてどのように認識しているかは分からない。

一方，自社のブラウザに WebGL を実装していない Microsoft では， WebGL をセキュリティ的に有害な技術だと非難している。

• WebGL Considered Harmful
• 米Microsoft、3D技術のWebGLは「セキュリティ的に有害な技術」と懸念を表明

「Microsoftは、5月にContext Information Security社が発表した2つの報告書を調査した。 これは、WebGLに重大な脆弱性があることを指摘したもので、調査の結果としては、WebGLをブラウザーがサポートすることにより、ハードウエアの機能が直接ウェブの危険にさらされることになり、特権昇格で済むレベルの攻撃がリモートコード実行にまで至る可能性があると指摘している。
　また安全性を保証するには、サードパーティーのドライバーなどに依存せざるを得ないが、ドライバーは年に一度程度しかアップデートされないことが多く、セキュリティアップデートのスピードに追いつくことができないとも指摘。 また、これらの脆弱性により、DoS攻撃の脅威にさらされるともしている。」
（via 米Microsoft、3D技術のWebGLは「セキュリティ的に有害な技術」と懸念を表明）

Mozilla プロジェクトと Microsoft の主張が噛み合っていない（ように見える）のは， Mozilla プロジェクトがクロスドメイン攻撃を指して「Firefox 固有の実装問題」としているのに対し， Microsoft は任意のコードの実行や DoS を特に問題視している点にある。 Context report もどちらかというと Microsoft 寄りの立場で，

「高性能な3DコンテンツがWeb上で利用可能になることについては、一定の需要があるでしょうが、WebGLは、十分に安全にサポートするために必要なインフラクトラクチャを、十分考慮していないかたちで規定されています。 セキュリティ問題を緩和する方法の開発として、検証レイヤーの導入とドライバ ブラックリストは有効であると分かっています。 しかしながら、これはWebGLを安全にする責務を、ハードウェア製造者に押しつけています。 おそらく最適解は、これらを考慮に入れた上で、3Dグラフィックスの仕様をゼロから作り上げることでしょう。」
（via WebGLの（実質的に）仕様上の脆弱性について(日本語訳)）

と結んでいる。

Context report が言うように全面的に仕様を見直したほうがいいのか， WebGL の部分的な修正で済むのか分からないが，小手先の部分最適化はしばしば将来に禍根を残す。 ここは徹底的に議論して本当に最適な解を探っていただきたいところである。

WebGL を実装しているサイトはまだ多くない（つか，ほとんどない？）と思うのだが，とりあえず懸念がなくなるまで WebGL を無効にしておきたい人は以下の操作で WebGL を無効にできる。

Firefox の場合：

about:config の webgl.disabled を true にする。

Chrome の場合：

起動オプションに --disable-webgl をつける。

Opera は正式版では WebGL は実装されてない（のかな？）。 Safari は 9 で WebGL が実装されているそうだが，これは開発版かな？

ところで Google Chrome はこの件について反応がないように思えるがどうなってるんだろう。 ただ，この件とは関係ないが， Google は

「HTTPSを使って通信を暗号化しているWebページが、スクリプトやCSS、プラグインリソースなどを安全ではないHTTPを介して読み込むことにより発生する状態を「スクリプト混合の脆弱性」と定義」
（via Google Chromeの開発者版で「スクリプト混合の脆弱性」をブロック）

し， Chrome の開発バージョンからスクリプト混合を排除する措置をとるようなので，ついでにこっちも（クロスドメイン攻撃については）対応してくれないかなぁ，と期待するのだがどうだろう。

• Movable Type 5.1 および、5.05、4.29 セキュリティーアップデートの提供を開始

今回のリリースはセキュリティの脆弱性の改修を含むものとなっている。

「Movable Type 5.04 および 4.28 を含む以前のバージョンでは、アプリケーション上の入力項目の一部において、適切に入力エスケープ処理されないため、クロスサイトスクリプティング（XSS）および クロスサイトリクエストフォージェリ(CSRF)が発生する可能性があります。Movable Type 4 および Movable Type 5 のすべてのバージョンの、修正版へのアップグレードを強く推奨します。」 （via 「Movable Type 5.1 および、5.05、4.29 セキュリティーアップデートの提供を開始」）

以前のバージョン（5.0x または 4.x）を使っている人は 5.05 および 4.29 も同時にリリースされているので，そちらを当てても良い。

アップデートは上書きコピーで OK。 心配な方はちゃんとバックアップを取って作業するように。

Movable Type 5.1 の新機能についてはこちら。

• Movable Type 5.1 の新機能

まぁ管理画面は若干見やすくなったような気がする。

言い忘れていたが 6/9 に Movable Type 5.11, 5.051, 4.291 がリリースされている。

• Movable Type 5.11 および、5.051、4.291 セキュリティーアップデートの提供を開始

セキュリティ・アップデートなので必ずアップデートすること。