■ ウハ、三井住友銀行の素晴らしいセキュリティ教室 昨日の日記でリンクした「シンプルな安全確認ルールと……」の講演では、「本当に伝えるべきことを誰も伝え ていない」という趣旨のことを述べたのだったが、なんと、民間事業者が 既にそれを伝えていたことを知った。 簡単！ やさしいセキュリティ教室 金融犯罪に遭わないために, 三井住友銀行 すばらしい。ほぼ完璧の出来栄えだ*1。いつから公開されていたのだろう？ 少なくとも10月31日には既にあったようだ。 ぼやぼやしているうちに仕事を一つ先に取られてしまった。 以下、ハイライトシーン。 そもそも「アドレスバーがない」なんて論外 簡単！やさしいセキュリティ教室, 三井住友銀行 うはは。 三井住友銀行では、このような画面によるログイン方法を提供しません 簡単！やさしいセキュリティ教室, 三井住友銀行 うひひ。 偽メールの例3 ただいまアクセス集中により

■ トレンドマイクロが嘘を言い始めてしまったが大丈夫だろうか *1 11月25日の日記で いろいろ質問したところ、正確に回答するためにメールで回答したいとのこと だった。そして、今日、メールでの回答が到着した。 と書いたが、同じ日の同じころトレンドマイクロの製品Q&A（トラブルシューティング）に、「solution 12478」というエントリが追加されていた。 このエントリは11月25日に登録されたが、11月28日に改定されている。改定部 分がどこかというと、以下の部分だけのようだ。 上記機能に伴い、弊社サーバに送信された情報の扱いに関しましては、アクセス先URLのパラメータ部分を除くURL情報（*注1）のみ弊社サーバに蓄積され、お客様に関する各種情報（アクセス元IPアドレスやアクセス時間、ブラウザの種類など）につきましては一切保持されません。 solution 12478: [URLフィ

■ ウイルスバスター2006はトレンドマイクロの定義で言うところのスパイウェアである 星澤さんがウイルスバスター2006のスパイウェア疑惑について、11月2日から書いていらしたが、18日になってもト レンドマイクロから回答が得られないとお困りのご様子だったので、21日 の午前、私も聞 いてみることにした。 一般的に、ユーザからの問い合わせが多くなる商品を販売している会社では、 この種の重要事項の問い合わせ（たとえば脆弱性の指摘など）が、ユーザの一 般的な質問に紛れ込んでしまい、判断のできる肝心な担当者へ情報が伝わらな いということが起きがちなものだ。そこで、大代表に電話をし、個人情報保護 担当者と電話で話したいと伝えた。 （トレン ドマイクロの個人情報保護方針にはメールアドレスしか書いてない。） すると「システムの都合でここから個人情報保護担当者には電話をつなげない」 と言われるわけだが、

■ オレオレ証明書の区分 改訂版 はてなキーワードに「オレオレ証明書」の項目ができていた。 ここにある冒頭の「(特にPKI上不適切な場面で使われる)自己署名証明書。」 という定義は私の定義とは異なる。自己署名とは限らないし、 不適切な場面とも限らないからだ。 そのためその下にある第一種〜第五種の区分の記述と矛盾が生じている。 私の定義では、クライアント側で認証パスを辿れない（検証できない）証明書 のすべてをオレオレ証明書としている。それは、サーバ側の設定ミスかもしれ ないし、設定が正しくても今まさに通信路上で攻撃を受けているのかもしれな い。証明書の発行の意図に関係なく、クライアントから見れば等しく「オレオ レ」と言っているようにしか見えない。 攻撃を受けている場合を除いて、クライアント側でオレオレ証明書となる場合 の、その原因別の区分を9月3日の注釈で書 いていた。他に第六種もあったので

■ 攻撃者視点ではなく開発者視点での解説を 8月に@ITに「機密情報に合法的に近づけるWebアプリケーションを守れ」という記事が 出ていた。 タイトルからして意味がわからない。「合法的に近づける」とは何だ？ 英文 の直訳か何かか？ その連載第2回「多様化するWebアプリケーションへの攻撃」が今日掲載されたのだが、問題を正しく理解し ないまま書かれた記事と言わざるを得ない。例えば次のように書かれている。 この例では、「userid=-20298745283」がクエリストリング にあたる。クエリストリングはURL内に含まれているため、誰でも見ることが できる。従って、ユーザーのちょっとした出来心やいたずら（例えば 「この数字の最後を1つだけずらせばどうなるかなー？」） によって、脆弱性が露見することも多い。 この例であれば、誰が見ても明らかなように、「userid」のパラメー タがユーザー管理

■ ITmediaが利用規約から無断リンク禁止条項を撤廃 Webメディア御三家、つまり、INTERNET Watch、ITmedia（旧ZDNet JAPAN）、 日経IT Proと言えば、日本のWeb文化をリードしてきた新時代のマスメディアだ。 旧態新聞会社達が決して扱うことのなかった話題を、いつも期待を裏切ること なく報道してくれた頼れるメディアだ。たとえばこんな報道があったのも Webメディアならではと言えよう。 文化庁、「ディープリンクを拒否するつもりはない」, ITmediaニュース, 2002年7月10日 旧態マスメディアの主要な何社かが、記事ページへの無断リンク*1を禁止すると定めているところ、 そのナンセンスさはこれまでにも幾度となく議論されてきた。 しかし、実はITmediaが利用規約で無断リンクを禁止しているというのは、 知る人ぞ知る事実であったものの、あまり積極的に語

■ SSL 2.0でないと接続できないサイトにアクセスするとどうなるか 昨日の日記は、 必要もないのにSSL 2.0を有効にせよと指示しているサイトの例だったが、 本当にSSL 2.0でないとアクセスできないサイトというのは、どうやら非常に 珍しいようで、探してもそうそう見つかるものでもない。 次のサイトがひとつ見つかったので、SSL 2.0をオフにしてここにアクセスし てみると、どんな結果になるか体験できる。 https://www.hellowork.go.jp/ FirefoxでSSL 2.0をオフにして上のURLにアクセスすると下の図の警告が出る。 OpenSSLのdebugモードで接続してみたところ次のようになった。 $ openssl s_client -debug -connect www.hellowork.go.jp:443 CONNECTED(00000003) wri

■ フィッシングサイトが8月17日で閉鎖 フィッシングサイト [fishing-site.com] が8月17日で閉鎖になっていた。 この度、釣具・釣り用品の通信販売としてご愛顧いただきましたフィッシングサイトは、 2005年8月17日をもちまして閉店させていただく運びとなりました。 まさか、名前が悪いと言われて閉鎖……なんてことはなかろうとは思うが。 ■ 携帯電話の「フルブラウザ」は何を約束する言葉か 職場では隣の席にいる大岩さんの、自宅の日記 で、携帯電話のいわゆる「フルブラウザ」の https:// 対応の話が書かれ ていた。 携帯電話の世界では、一般的に言って、セキュリティに標準として求められる 仕様があまり明確になっていないという状況がある。携帯電話のWebブラウザ がSSL対応したのは比較的最近のこと（といってもDoCoMoではもう4年前）だか ら、全員がSSL対応電話を使って

文字潰れを起こしていて読めない。 「フィッシング とは」の図解ページなんかは、図に書かれた文章からして文字が米粒大に なっている。 パッと見で勝負。中身は読んでもらう必要なし。 という方針で作られているのだろう。 ■ 「常に新しい」新銀行東京は時代に取り残されていた 「都民になったことだし、新銀行東京*1 に口座でも作るか」 とサイトを訪れてみたところ、なんと、インターネット バンキングのログイン画面は、 アドレスバーを隠したポップアップウィンドウになっていた。 古いシステムを今から作り直すお金がないというのならわかるが、今年新たに 開業した銀行がのっけからフィッシング詐欺の基礎対策をしないというのは、 わけがわからない。いったいどこの業者が作ったのだろうか。 しかも「右クリックは禁止です」と得意げだ。

■ 滋賀県浅井町の温泉施設にフィッシングサイト 中日新聞にこんな記事が出ていた。 温泉施設近くの草野川にフィッシングサイト 浅井町, 中日新聞2005年7月20日 追記（8月13日） 上のリンク先が消えていた。そこには次のような内容の記事があった。 フィッシングサイトは延長約二百メートルで、草野川漁業協同組合がニジマスを放流する。営業時間は午前十時から午後五時までで、釣った魚は河原で焼いて食べることもできる。 温泉施設近くの草野川にフィッシングサイト 浅井町, 中日新聞2005年7月20日

■ ActiveXをやめてセキュリティを後退させてしまったWebUD 4月のJVN#A7DA6818 「WebUD における任意のプログラムが実行される脆弱性」は、7月に 発表されたIPAの定例発表資料の以下の記述によると、ベンダー自身によ る届出だったそうだ。 ≪「WebUD」における任意のプログラムが実行される脆弱性≫（項番4）は、製品開発者自身から脆弱性およびその対策情報の連絡を受けたものです。 なるほど、対処方法などの説明がずいぶん出来栄えよいなと思った（たとえば 「『信頼された発行元』から削除」の手順を忘れなかったことなど） *1のだったが、そういうことだったのか。 当時は、asahi.com などでは一旦ダウンロードを中止していた。 その中止されたダウンロードが7月になって再開された。 〈ＷｅｂＵＤ〉ダウンロード再開のお知らせ, 朝日新聞社から, 2005年7月4日 現在の配布

■ 「セキュリティ屋」がセキュリティを駄目にした 先日のスパイウェア感染を招く指示が警察庁サイトなどに書かれていた話や それに類似の事案を多数見るにつけ、 いったいどうしてこんなことになってしまったんだと、 崩れおらずにはいられない。 そもそも、ActiveXコントロールを使うにあたってセキュリティ設定は変える 必要がない。初期設定のままで普通に動くからだ。 たとえばIBMの「らくらくWeb散策」の説明ページを見ても、次のように書かれ ている。 らくらくウェブ散策の動作環境 JavaScript、CSS(Cascading Style Sheets)、署名済みActiveXコントロールを 利用できるようになっている必要があります。(通常は既に利用でき るようになっています。) お客様の安全に関わることといったら、事業者達にとって発言に慎重にならざ るを得ないはずだ。先日、東急ハンズにワイヤ

■ 警察庁の指示がスパイウェア感染を招き金融被害をもたらしている可能性 最近、必要もなくやたら文字を小さく表示させるWebサイトが増えている。 官公庁も例外ではない。そのくせ、「文字を大きくするには」などという案内 を用意して、曰く、「アクセシビリティ」なのだという。アホかおまえら。 作っていておかしいと思わないのだろうか。もしかすると彼らは、文字を大き くするブラウザ設定で作業しているのかもしれない。だから自分のページでは、 文字を少し小さく作りたくなるのだろう。すると、そこを閲覧する人がまた少 しブラウザの文字サイズを大きくする。そして、そこが作るページはさらにま た少し小さい文字となり、そこを閲覧する人がまた少しブラウザの文字サイズ を大きくする。つまり、文字サイズのデフレスパイラルに陥っているわけだ。 一度地獄まで落ちたらよい。 たとえば、最近リニューアルされた警察庁のトップページ

■ 官庁はJavaの脆弱性にどう対処すればいいのか 現状、Webを閲覧利用するにあたって、JRE（Javaの実行環境）のインストール を求められるのは、民間商用サイトにおいてはめったにないことだと言ってよ い。それに対し、政府系の電子申請システムを利用しようとすると、大半のケー スでJREのインストールを求められる。これは、ファイルに対する電子署名の 処理をクライアント側で行うようにしたこと、採用したXML形式による署名の ためにJavaライブラリが充実していることなどが原因だろうか。Javaの普及を 願う者としては願ったり叶ったりだが、JREの脆弱性発覚時の体制がWindowsの それほどには確立していないことが、仇となってしまっている。 インストールさせる者による脆弱性告知 先日の宮城県のケースはともかくとして、 JREをインストールさせている官庁（中央省庁および地方自治体）にとって、

■ 岡山県と外務省が他人の著作物の知的所有権を主張中 自治体の中で先進的と言われる岡山県の電子申請システムは、公的個人認証などに対応した電子申請のため、 利用者に専用インストーラを配布している。 配布されているのは、http://www.pref.okayama.jp/e-entry/ready/install.jar に置かれている実行形式のJavaファイルであるが、これを起動すると図1のよ うに「ライセンス利用許諾」*1なるものが現れる。 ここには次のように書かれている。 ３　インストールツールに関する知的所有権 (1) 本インストールツールに関する著作権及びその他の知的所有権は、岡山県に帰属します。 岡山県, 電子署名アプレットライブラリファイルインストーラ, 「ライセンス利用許諾」 しかし、配布ページにも書かれている（図2）ように、これは、「Log4j」や 「Xalan」、「Apa

■ 白浜に滞在中 飛行機に乗り遅れ三次会から登場の ひろゆき氏に言われた。 「高木さんは永遠の厨房ですよね！」 ( ´_ゝ｀)フーン

■ クロスサイトリクエストフォージェリ（CSRF）の正しい対策方法 「クロスサイトリクエストフォージェリ」がにわかに注目を集めている。古く から存在したこの問題がなぜ今まであまり注目されてこなかったかについて考 えているところだが、引越しやら転勤やらでいまひとつ日記を書く時間がない。 しかし、 @ITの記事などのように混乱させる解説も散見されるので、一点だけ対策 方法について書いておくとする。 クロスサイトリクエストフォージェリ――Cross-Site Request Forgeries (CSRF)を防止する簡潔で自然な解決策は以下のとおりである。 前提 ログインしていないWeb閲覧者に対するCSRF攻撃（掲示板荒らしや、ユーザ登 録を他人にさせる等、サイト運営者に対する業務妨害行為）はここでは対象と しない。 ログイン機能を持つWebアプリケーションの場合、何らかの方法でセッション 追

■ 自動アップデートは電子署名検証が必須なのだが…… トレンドマイクロ社の「ウイルスバスター」で、問題のある更新データを配布 してしまったために、大規模な障害が発生した。 メディア・ＪＲなどＬＡＮ障害、ウイルス対策で不具合, セキュリティホールmemoによるまとめ 奇しくも、前日に「『重要インフラでは自然災害や人為的ミスによるIT障害への対応も』――情報セキュリティ基本問題委員会が第2次提言を公表」という話題が出ていたところだった。 重要インフラのセキュリティとか、サイバーテロとか以前から言われつつも、 具体的にどういう事態だろうか？ という疑問はあったと思われるが、 こういうところ（ウイルスバスターのようなもの）がけっこうアキレス腱になっ ているのだということが明るみになった。 今でこそ Windows Updateは全自動になっているが、4年前ごろは手動だった。 そのころから「もう自動

■ PKIよくある勘違い(8)「自分専用なのに第三者から証明書を買えというのはおかしい」 PKIというよりSSLにある勘違いであるが、オレオレ証明書を使うべきでないという考え方が広まってくると、今度は、自分専用のサーバなのに、「オレオレ証明書じゃだめなのか？」と考えてしまい、「自分専用なのに何万円も払って証明書を買わないといけないなんてのは、どう考えてもおかしい！ 何か間違ってる！」といった思考に至ることがありそうだ。 自分専用であればオレオレのサーバ証明書で運用してかまわない。ただし、ブラウザの警告を無視して「はい」を押してはいけない。「能動的な盗聴」の被害に遭うおそれがあるという点で、SSLの機能は完全には働かないからだ。 こういうとき、Webブラウザが Firefoxであれば、次の手順で設定することで、自作のサーバ証明書で正しく安全に運用できる。 まず、サーバに自作の証明書と秘密鍵を