雑記

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|
2007|01|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|09|11|
2009|02|03|05|06|07|08|10|11|12|
2010|01|03|04|05|06|07|08|09|10|
2011|05|06|09|10|
2012|03|07|09|12|
2013|01|02|04|05|07|08|10|11|
2014|04|05|08|10|12|
2015|01|05|
2016|09|

2003-12-02 Internet Week 2003 初日 [長年日記]

というわけで,今日から4日間横浜です.

会場

はパシフィコ横浜.桜木町駅から歩いたのですが遠いですね.クロークに預けようと思って荷物を持っていったのを大後悔.しかも受付で聞くと「クロークは用意しておりません」,結局荷物はコインロッカーに.

インテリジェントレベルによる多段防御

ラックの偉い人ということで聞いてきました.内容は先日のセキュリティセミナーの話で投げっぱなしだった部分を埋めたような感じでした.例えば,方針の考え方というタイトルで「何が,どうなれば問題なのか?」と書かれているスライドの後に,3枚かけて基本方針や影響の分類等についての説明が続くと言った具合.

チュートリアルのタイトルでもある多段防御の手法はIDS/IPS(IDP)と総合管理ツールを組合せて,インシデントの検出と防御のうち可能なものは自動化して,インシデントの発生から実際の防御までのタイムラグを減らそうというもの.

資料はスライドのみ.特に図だけのスライドなどは説明文が欲しい所.数枚のスライドの追加はあったが,入手は可能との事.そういえばセキュリティセミナー第2回の高木氏の資料はどうなったのだろう? と思ったら公開されていた.これはこれでお金払って参加した人間の立場は?とか思わないこともないが,自分がもし参加者じゃなければこういうのは非常に嬉しいだろうし.難しいですね.

企業におけるIPv6ネットワーク利用

「IPv6の利用がこんなに広まっていますよ」という話かと思いきや「IPv6使ってください」という話でした.聞き終わった時点での率直な感想は,まだまだ待ちというか,2008年にはv4アドレス枯渇するとか言ってる割にv6の作業も進んでいないんだなぁと言ったもの.「通常の使用に必要な技術はだいたいReadyになっている」と書いておいて,後から「ほとんどのOSがIPv6でのDNSルックアップに未対応」と来たあたりでうーんと唸っていたら,さらに強烈なのが.問題のスライドのタイトルは「将来のF/W構成」.そこに描かれていた将来のF/W構成では,なんとF/Wをバイパスして外部と内部のネットワークで直接通信するそうです.境界上のルータでパケットフィルタリングするとか,「金庫モデル」を使うとか言っていましたが,言い訳にしか聞こえません.その前に,IPv6のIPsecではレイヤ4情報を参照できないため,従来のF/Wとの共存は不可能という話があるのですが,その後でこのスライド見せられたら「逃げただけじゃん」という印象しか持てないんですが.他にもツッコミどころが散見され,全体に自分達の首を自分達で絞めてた感じ.

そうそう,チュートリアルでは一貫して「玄関モデル」「金庫モデル」という言葉を使っていて,「やべぇ,そんな言葉あったんだ.知らなかったよ」とか思っていたのですが,ググって見ると「玄関モデル」が11件,「金庫モデル」が9件,しかもどうやらIPv6関係者以外では使われていない言葉の模様.私の知っている言葉で言い換えると「玄関モデル」はファイアウォールによる防御,「金庫モデル」はホストIPSによる防御です.ホストIPSってのはなかなかチャレンジングかも.

セキュリティホールmemo BoF

いつもお世話になっているセキュリティホール memoBoFに参加.

「日本Snortユーザーズグループ最新情報」はユーザーズグループ立ち上げましたのでよろしく,といった内容.

「個人情報保護法update」は2005年4月の本施行までに色々と準備しないとまずいよと言う話.湯沢で聞いたのとはだいぶ話が違ってました.

「セキュリティ関連出版関係」は良書が売れないという切実なお話.大学の図書館や情報系の研究室に行き渡らせることができれば多少は状況が改善されるのかな.

「サイバー犯罪条約批准ネタ」はこれに伴う法改正がかなりヤバいというお話.詳しくはこの辺を参照.

本日のツッコミ(全2件) [ツッコミを入れる]

- mak-y [横浜に出没してたとは。MMのカップル軍団に混じっているのかと思うと・・・]

- hs [金曜までは横浜滞在です.カップル軍団の間を縫うように桜木町駅へと向かうスーツ集団の図はなかなかシュールです.私はスー..]


2003-12-03 Internet Week 2003 2日目 [長年日記]

今日は1日「Security Day 技術だけでは守れない」に参加.資料の出来は日本標準レベル.

【基調講演】セキュリティ管理と高信頼性組織の構築

エンドユーザーが手軽にGbEを入手できる現状ではバックボーンは10Gが必要で,そうするとファイアウォールがボトルネックになる.これをどうするかと言う話から,昨日のIPv6話の「将来のF/W構成」と同じコンセプトの図がでてきたのにはちょっとビックリ.しかしさすがに昨日の話とは違い,このモデルで暗号化通信のバイパスを許すとやり放題になってしまうので,そこはちゃんと対策を考えなければならない,と言っていました.

とこれで終わってしまうと講演の内容が誤解されそうです.メインテーマは,既存のファイアウォールによるセキュリティ管理モデルは色々と限界がきているので,新しいモデルを考える必要がある(答を模索中).また,想定外のトラブルに対処するため,専門的なスキルと豊かな経験をもつスタッフを確保する(育てる)必要がある.というものでした.

JNSA・JPCERT/CC 活動報告

JNSA(日本ネットワークセキュリティ協会)の活動報告は,協会内のWGの紹介.淡々と説明があって特に質問もなく終了.

JPCERT/CCの活動報告は11月までのセキュリティ関係の出来事とJPCERTの動きおよび他のCERT等との国際連携事業に関する報告でした.この1年は国際協調体制の構築にがんばってたんだなぁ,にしては本業の影が薄いんでないの?というのが正直な感想.同じプログラムに出ていたy君曰く「手を広げすぎ」

【基調講演】法律から見たITセキュリティ

管理者が日常業務でやっていそうなことを法律に照らし合わせるとどうなるのかというお話でした.興味深かったのは,個人情報保護とアクセスログの取得について.あと,データ・りテンション(データの捨て方)の話は湯沢で聞いたときにはもう一つの重要な意味があったのですが.と思って日記を読み直して見ましたが,書いてない(^^;.ポリシーとしてデータを何年間保存するのかを明確に決めておいて,その期間が過ぎたらさっさと捨てなさい.その心は,裁判で訴えられたときに,「ウチはポリシーでデータの保存期間を○年と決めている.よって×年以前のログはない」と言える.さもなくば,「ログがあるはずだ」といって際限なく要求される.ということだったかと.

インターネット定点観測プロジェクト

もうすぐ情報提供開始します.だそうです.目的は予防だと言っていましたが,具体的にどういう情報を取ってどう予防に結びつけようとしているのかと言うビジョンがよく見えなかったです.

JNSA WG 報告

ハニーポットとセキュリティ被害調査についてのより詳しい報告.

ハニーポットの方は,2枚目の追加スライド「まだ出来てません.ごめんなさい」が全てを物語っていた感じでした.

セキュリティ被害調査の方は,なぜかスーッと流れてしまった感じでした.資料を読み直すとそれなりに興味深いデータがいろいろ載っているのですが,

【BoF】眠れない夏,オペレータの戦い

今年の夏はCISCOやらBlasterやらで大変だったね.というお話を元ネタにあれやこれやと.持ち込みノートによる感染拡大は辛いね,とか,ISP等の一部業者には脆弱性の情報を事前に伝えるべきかどうか,とかいった話題などで盛り上がりました.お土産にHPのセキュアOSを頂きました.

どうも

よく知らないまま「大丈夫」と言っていたらしい.それを信じてちゃんと確認しなかった私も悪いんだろうけど,そんな調子だと信頼失うよ?


2003-12-04 Internet Week 2003 3日目 [長年日記]

[SSL] PKI 〜基礎と応用〜

応用を楽しみにしていたのですが,「PKIの応用」かと思いきや,「PKIを応用したアプリケーション他」の話でした.お話は良くまとまっていましたし,細かい点でいくつか新しい知識が増えたので結構満足.

ちょっと以外というか,驚いたのは認証局のAssurance Lebelとして,Rudimentaryと言う「身元確認のために要求はない」というクラスが存在していたこと.こういうクラスの認証局が実際に存在し,ブラウザ標準のTrusted CA Listに含まれていたりしたら,ちょっとした工夫でSSL MITM攻撃が証明書に関する警告無しで成立してしまうような気がします.

管理者が注意したいネットワークの法律の最新動向2003

情報漏洩,不正アクセス,個人情報保護,名誉毀損をテーマにどういう法律が関わってくるのか,管理者としてどういった対策をとればよいのかというお話.

情報漏洩は,データの入力を委託した先の業者から漏れた場合でも,管理責任として訴えられる可能性がありますよ.集団訴訟の被告になると,1人頭数万円といった罰金でも1000人分のデータが漏れたら? 1万人だったら? という怖いお話.

不正アクセスはスライド2枚だけ.セキュリティホールを公の場で公開すると,不正アクセスの幇助になりかねないというお話で,A.D.2003からの一連の騒ぎを意識していた(というかほぼ名指し批判だったような)印象.

個人情報保護についてはセキュリティホール memo BoFの太田さんと同じような内容でした.あの時は湯沢で聞いたのとは違うとだけ書きましたが,まだ実際に施行されたわけではないので,色々な弁護士が自分なりの解釈を表明している段階なのかな? といった印象に代わりました.実はBoF内で発表した太田さんは弁護士では無い方だったので,ちょっと眉に唾つけてました.太田さん,ごめんなさい.

名誉毀損は,掲示板等の名誉毀損に絡んで掲示板の管理者が訴えられるというお話.とくれば当然2ch中心です.どうも岡村氏はひろゆき氏を敵視している模様.そうなるまでにいろいろあったのかも知れませんが,事情を知らない人間からすると,岡村氏がきつい言葉を使っていたという印象しか残らず.

会社設立

どうも私はいちおう公務員扱いと言うことで,兼業に関して制限があるはずだから今のままでは確認が受けられないということらしい.関連資料が手元に無いので,明日帰ってから.


2003-12-05 Internet Week 2003 最終日 [長年日記]

最終日の朝はこむら返りで目が覚めました.お酒の入った次の日は弱い??

負荷分散装置

負荷分散の仕組みや負荷分散装置の機能,構築のノウハウなど.

負荷分散のアルゴリズムが結構悩ましい問題だということがよくわかりました.Least Connection(保持しているコネクションがもっとも少ないサーバに割り当て)やRound Robinはセッションの管理が必要なHTTPなどのプロトコルでは使えない.一方でクライアントのIPアドレスで割り当てる(同一クライアントは必ず同じサーバに割り当てられるのでセッション管理不要)と,クライアント側でNATを使っていたときに負荷に偏りが出る.HTTPヘッダやCookieを使って(まじめにセッション管理して)振り分けるようなアルゴリズムはSSLでデータが暗号化されるとアウト.じゃあとSSLのセッションIDでやろうとするとIEの仕様が邪魔をする.と,なんか八方塞がりな感じ.山口氏の基調講演でGbE時代になればファイアウォールの負荷分散は必須みたいに言っていたのですが,なんかL2からL7まで見渡してよく考えなおす必要がありそうです.

Webサービスの基礎と,標準セキュリティメカニズム

前半は基礎編でちょっと退屈でしたが,後半のXMLセキュリティ話は非常に面白かったです.特に,最近話題のLiberty Allianceの話とか.実は「Libertyアーキテクチャ概要 バージョン1.1」を以前読んだときにはよく理解できておらず,『ふーん.で?』という印象だったのですが,SAMLの説明があった後に,LibertyはSAML認証アサーションを使っていると言う流れの今回の説明を聞いて,もやもやがパーっと晴れた感じ.「Libertyアーキテクチャ概要 バージョン1.1」を読んで,裏で何が動いているのかよう分からん,ともやもやした思いでいる人は,SAMLについて勉強すると良いかも.

本日のツッコミ(全2件) [ツッコミを入れる]

- taru_k [何かお祝いしますから、会社openの日が決まったら教えて下さい。 # ここに来て何だかもめているみたいですけど…年..]

- hs [設立はもともと年明けの予定なんだけど,トラブルが年越しすると厄介かも.12月ってなんだかんだ言って忙しいですからねぇ..]


2003-12-06 [長年日記]

ビジネスプランコンペ

本番までまだ時間があると余裕こいてたら,「動作確認のためパワーポイントのデータを10日までに送付して下さい」との通知が2日付の郵便で届いていました.今日もふくめて実質あと3日.しかも10分のプレゼンなのでかえってまとめるのが難しいことが今日の作業で発覚.ノート持ち込みじゃダメなのかなぁ.


2003-12-08 最後まで読んでね [長年日記]

インターネット感染する病

私は常日頃からある気がかりにとらわれていました.それは以前の私の常識に照らし合わせてみると,いささか突拍子もないものであり,私は,私がひとたびその考えを口にすれば,その相手が友人であれば顔をしかめ,あまり親しくない知人であれば二度と私に近づかなくなるであろうことを理解していました.

しかし私はとうとう見つけたのです.憎きあいつらに私と同じく苦しめられている人々を.彼らは,私の代わりに,私の気がかりが真実であると言う証拠を掴んでくれました.誓って言いますが,彼らが私に何かしたわけではありません.ただ淡々と事実を公開していただけです.私は彼らと共に闘う決意をしました.

あなたは私の言葉を信じないかもしれません.少し前までは,私自身,私の考えは突拍子もないものだと信じていたのですから.しかし,いずれは来るであろうあなたが気付く時のために,このアドレスを残しておきます.

とまあ

上に書いたようなことがインターネットの世界では結構頻繁に起きているのではないかと,某掲示板を見て思ったり.

インターネットは良くも悪くもフラットな構造をしています.そこにある情報がメジャーなのかマイナーなのか,あるいは正しいのか間違っているのかということは,なかなか判断できません.また,マイナーで一般には間違った考えに基づくものであっても,日本中,あるいは世界中といった規模の母集団があれば,数十人単位のコミュニティはあっさりと出来上がってしまう可能性は十分にあるでしょう.そうした情報に触れたときに,はたして私は正しい判断ができるのだろうか.

余談

そういえば,某まんがにそういう落ちの話があったなぁ.

会社設立

午前中は作戦会議.日ごろからもう少し積極的に行動すべきだったと反省.

午後いちで不明点を総務に問い合わせ.どうもあちらもよく分かっていないらしく,2度ほど確認の電話があったものの結論はもう少し待てとのこと.

本日のツッコミ(全6件) [ツッコミを入れる]

Before...

- hs [この正月は久々に帰省するので,何かご希望があれば快気祝いに送るよ.>taru_k]

- taru-k [やはり厳しかったか...スンマセン。ギリギリを狙ったのだが、適当に削除してくれてもOKです。"快気祝い"は別途連絡し..]

- hs [いえ,今後は「お国自慢」も書いていきます.という宣言だと思ってください.特定されても恥ずかしくないことを書いていけば..]


2003-12-09 [長年日記]

minicom

Linux box のシリアルポートの先にLFをデリミタとして認識する機材が繋がっている環境で,minicomを使ってテストが出来ないので何とかして欲しいという依頼.いろいろ調べた結果,スクリーンへの出力にLFを付加するオプションはあるものの,シリアルポートへの出力にLFを付加するオプションはない模様.sttyでいうところのonlcrをセットできれば解決する話だと思うのだが,なんかソース取ってきて書き換えないと出来なさそう.

この辺の設定が自由に出来るシリアル通信ソフトってないですかねぇ?

会社設立

ストレートに書いてしまって良いものかどうかちょっと微妙な情勢.

蛇が出るのを覚悟してやぶをつついてみたら,現金が落ちていて万々歳.と思いきや,思いがけないところから別の蛇が顔を出してまた一歩後退.といった感じ.

本日のツッコミ(全1件) [ツッコミを入れる]

- taru_k [会社設立:なんだかドラクエの宝箱みたい...]


2003-12-10 [長年日記]

false positive?

昨日久しぶりにCD-ROMを焼いてからどうもPCの様子がおかしい.デスクトップを管理している一番大本のexplorer.exeが頻繁に再起動している様子.B's CRIPの操作を一度キャンセルしてからこの現象が出始めたので,これが原因だろう.

で,ためしにMicrosoftに障害情報を送信してみると,おもむろにIEが立ち上がって,「このコンピュータはBlasterに感染している恐れがあります」と来た.ルータをかましてフィルタリングかけているので,感染するとしたらノートからだが,上の状況もあるし,Windows Updateも怠っていないので,ちょっと感染は信じがたい.念のため表示されたサポート情報からBlasterの痕跡を探すものの,やはり見つからない.とりあえずMcAfeeのスキャンを実行して出勤.帰ってきてから結果を見ても感染ファイルは0.さらに念を押してSymantecの駆除ツールで確認中.結果は明日の朝かな.

本日のツッコミ(全1件) [ツッコミを入れる]

- taru_k [私のノートPCでもB's-CRIPが常駐している。で、hsマシン同様explorer.exeが変な動きをしているのか..]


2003-12-11 [長年日記]

false positive? (続き)

"W32.Blaster.Worm has not been found on your computer"だそうです.そろそろ言っても良いでしょうか? 「MSのアホー」

なんかこういうことされると,報告する気が失せますねぇ.ただでさえこちらのコンピュータの情報を送信すると言うリスクを強いられているのに.

現状の IE は危険すぎて使いものにならない (セキュリティホールmemoより)

アドレスバーやステータスバーの表示内容を偽装できるそうです.なぜこれが非常に危険かと言うと,たとえば,今これを読んでいるあなたが実際にはwww.on-sky.netではない,よく似せた偽ページにアクセスしていても分からないということです.このページならまず問題にはなりませんが,もしオンラインショップがターゲットにされたらどうなるでしょう?

もうひとつ,さらに危険なのはSSLで暗号化されているページさえ,この脆弱性を使えば偽装できてしまう可能性があると言うことです.まず,悪意ある人間が適当なドメインをでっち上げ,SSLサーバ証明書を取得します.で,どうにかしてターゲットサイトへのアクセスをこのサーバへと飛ばすように仕込みます.あとはこのサーバで,ユーザーとターゲットサイト間の通信を中継してあげます.悪意あるサーバに対してSSLサーバ証明書を発行した認証局のルート証明書が,IE標準のTrusted CA Listに含まれていれば,「偽者かもしれないよ〜ん」というサーバ証明書に関する警告は出ない()ので,引っかかってしまったIEのユーザーが,間に悪意のあるサーバが介在していると認識できる可能性はかなり低いでしょう.結果,このサーバを立てた悪意ある人間は,ユーザーが入力した個人情報やクレジットカードの番号を抜き取ることが出来ます.

これがいわゆるSSL MITMというやつです.先日,SSL MITMについて書いたときには,この点(アドレスバーの偽装が難しい)をクリアするのが難しそうだったので,別シナリオのほうが現実味があると思っていたのですが...

言わずもがなですが,この脆弱性を使えばSSLでないMITMなんてお茶の子さいさいです.いろんなところに○○を××して,☆☆を△△させ,あとはただひたすら□□すれば,何でもできちゃうなぁ.(あまりにも現実的な手法だし,実際にやる人が出てくると困るので伏字.)

本日のツッコミ(全3件) [ツッコミを入れる]

- taru_k [送信レポートを送ったりヘルプを開いたりして、問題が解決された記憶が無い…。]

- hs [その場で解決されないのは当然として:-p,今回のように感染もしていないウィルスに感染しているという警告を出すのはさら..]

- taru_k [コレ怖すぎる…もう誰も信じられない。引き篭もろうかしら。]


2003-12-12 [長年日記]

現状の IE は危険すぎて使いものにならない (続き)

昨日の話の続きですが,手元の環境でSSL MITM攻撃を昨日書いたシナリオ通りに実現可能であることを確認しました.

現時点でIEを使ってSSL暗号化されたページ(https://で始まるページ)に不用意にアクセスするのは非常に危険です.必ずステータスバーの鍵マーク(右下に表示されるやつ)をダブルクリックして,アドレスバーに表示されているURLと,サーバ証明書の発行先のホスト名が一致しているか確認しましょう.

デモ

の準備は出来ているのだけど,公開してよいものかどうか.何をいまさらってか.

本日のツッコミ(全2件) [ツッコミを入れる]

- taru_k [でも「鍵マークのダブルクリック&チェックなんて、奥さま(結構ネット通販好き)にはできなさそう…」と思って聞いて見たと..]

- hs [すばらしい. 私は通常の閲覧は相変わらずIE(巡回がIEでオプティマイズされている)で,ショッピング系だけ他のブラ..]


2003-12-13 SSL man in tne middle(MITM) demo [長年日記]

限定30日間のデモと解説を作ってみました.

追記

12/17 :
  • 「限定30日間」と言うのは,30日経過するとデモが動かなくなるという意味で,この日記を消すわけではありません.分かりにくい表現でごめんなさい.
  • 1ヶ所修正しました.フットノート参照.
  • セキュリティホールmemoで小島さんがCAルート証明書をインストールしなくても良い例を出してくださっています.あの例で,表示される内容としては実際のMicrosoftのサイトに似せてあったり,個人情報の入力を促すようなフォームが並んでいたりするといったページを想像していただけると分かりやすいかなと思います.あるいは,netsecurity.ne.jpさんのページを,間に入ることによって改竄するとか.
12/24:
  • ISSからMicrosoft Internet Explorer domain URL spoofing filterというのが出ていますが,Donut Pではうまく動作せず,相変わらず偽装サイトの方に飛ばされてしまいます.ただし,Donut Pでは偽装サイトに飛んだ時にはアドレスバーの末尾に%00が表示されるなど,もともと気づきやすいような動作をしますので,問題ないのかもしれません.
    Dounat P 同様,IEをエンジンとして使っている他のアプリケーションについては,こうしたツールが本来の役割をちゃんと果たすのかどうかちゃんと確認した方が良いでしょう.
  • ZDNetにIEのサイト偽装問題で被害をこうむらないためにという記事が出ています.
    当該サイトがホスティングサービスなどを利用している場合は一概には言えないが、証明書の発行先と現在アクセスしているURLとかけ離れたものではないかを確認すべきだ。
    の下りは,私だったら,
    具体的には,証明書の発行先と現在アクセスしているURLのホスト名とが異なるものではないかを確認する.当該サイトがホスティングサービスなどを利用している場合,正しいサイトにアクセスしていても,アドレスバーの表示と証明書の発行先が異なる可能性はありうるが,それが本当に正しいサイトなのか,偽装された物なのか見分けることは困難なので,そうしたサイトでの個人情報の入力も控えた方が良いだろう.
    と書くところですが.「見分けることは困難」のあたりがちょっと弱気.あと,ホスティングしていても証明書の発行先がアクセス先と異なる事は無いような気もしますが,フレームを使ってhttpsでのアクセス先を隠している場合とかと混同してる??
  • ISSのツールとは別のものですが,IE用のサードパーティ製のパッチに脆弱性が存在したという話もあるようです.

準備するもの

脆弱性を含んだインターネット・エクスプローラ

SSL MITMの確認

まずは,以下のリンクにマウスカーソルを当てて見てください.カーソルを当てるだけでクリックはしません.
https://www.example.com/fake/URL/
すると,ウィンドウ下のステータスバーの表示が「https://www.example.com/fake/URL/」となり,www.example.comに飛ばされるよう誤解してしまいます.

次に,上のリンクをクリックしてみてください.するとこの時点では,次のような警告が出ます.

(クリックで拡大)

ここで,警告の項目のうち,「このセキュリティ証明書は信頼する会社から発行されていません」と言うところだけに警告マークがついていることに注意しましょう.確認したら,ここではいったん「いいえ」をクリックしてダイアログウィンドウを閉じてください.もし,以下の注意書きを読んでCAルート証明書のインストールはやらないという結論に達した場合,ここで「はい」をクリックすれば,問題点の確認だけ行うことも出来ます.

さて,次に認証局のルート証明書をインターネットエクスプローラにインストールするのですが,ここで警告を.

これから示す手順では,私がデモ用に準備したCAルート証明書を「信頼できる」ものとしてインターネットエクスプローラにインストールしますが,そうすると,このデモ用のCAルート証明書を使ってサインした,すべてのサーバ証明書が警告無しに許可され,SSLで暗号化されたページが表示されるようになってしまいます.今回のデモで使用したCAルート証明書の有効期限は2004年1月13日までとなっており,最後に説明するCAルート証明書のアンインストールを行わないと,この有効期限までの間,このCAルート証明書を悪用して,あなたのコンピュータにSSL MITM攻撃を仕掛けることが可能になります.
私は,デモの動作確認をした時点でCAルート証明書の鍵ファイル他,サインに必要なデータをすべて破棄しましたが,この「破棄しました」という記述自体が真実であると言うことを,インターネットを介してこのページを見ている人に対して証明することは出来ませんし,私がCAルート認証局の証明書を作成してから動作確認を終えるまでの約2時間の間に,このデモ用のCAルート証明書が盗まれなかったという保証もできません.それらのことを踏まえたうえで,以下の手順を本当に試すかどうか慎重に判断し,自己責任で作業を進めてください,
上の警告を読み,理解した上でなお試してみたいと言う方は,下のファイルをクリックしてください.

すると,「ファイルのダウンロード」というダイアログウィンドウが現れます.

(クリックで拡大)

「開く」ボタンをクリックしてCAルート証明書を開きます.

(クリックで拡大)

「証明書のインストール」ボタンをクリックすると,以下のように「証明書のインポート ウィザード」が開きますので「次へ」「次へ」「完了」の順にクリックして,CAルート証明書をインストールします.

(クリックで拡大)

「ルート証明書ストア」というダイアログウィンドウが出てきて本当にデモ用CAルート証明書をインストールしてよいかどうか聞いてきます.上の警告文をもう一度よく読んで理解し,本当によければ「はい」をクリックします.

これで準備は完了です.もう一度サンプルのリンクをクリックすると,今度は証明書に関する警告無しにジャンプするはずです.下のリンクは一番最初に書いたものとまったく同じものです.これを今度はクリックしてみましょう.

https://www.example.com/fake/URL/


















ほらね.今度は警告無しでここにジャンプしてくるはずです.

問題点の確認

「ほらね」と言われても別に日記が表示されるだけで,問題ないと思うかもしれませんが,今,あなたが見ている画面にはいくつか普通ではない点があります.

まずは,ウィンドウ上のアドレスバーを確認してください.(画像のサイズを小さくするため,一部だけ切り抜いて示します.)

赤線で示したアドレスの部分が見事に偽装されていますね.ここの文字列は任意に設定可能なので,例えば,オンラインショップのURLっぽく見せることも出来ます.

次にウィンドウの右下を見てみましょう.

鍵マークが付いているので,このページはちゃんと(?)暗号化されていることが分かります.さて,ここでちょっと思い出してみてください.

自分のアクセスしているページのURLが「https://」で始まっていて,ウィンドウの右下に上のような鍵のマークが付いていればそのページは安全だ.

という説明を受けたことがありませんか? もしくは今でもそう思っていませんか? その考えは今となっては誤りであると言うことを,これから説明します.

では,試しに右下の鍵マークをダブルクリックしてみましょう.

(クリックで拡大)

アドレスバーに表示されているサーバ名と,証明書の発行先のサーバ名が違います.上の例では,本当はwww.on-sky.netにアクセスしているのに,アドレスバーだけを見ると,あたかもwww.example.comにアクセスしているように見えます.繰り返しになりますが,この「www.example.com」の部分には任意の文字列を表示させられますので,例えば,オンラインショップのアドレスを偽装することも可能です.また,サーバ証明書()の発行先が「www.on-sky.net」である点にも注意しましょう.このドメイン自体は,私が所有している正当なものなので,私が「www.on-sky.netに対する証明書ください」と申請すれば,ベリサインだろうがどこであろうが100%間違いなく証明書を発行してくれるでしょう.そういった,最初から信頼されている証明書発行機関を利用すると,今回やってもらったような,CAルート証明書をインストールすると言う手順を踏まなくても,「証明書に関する警告無しにwww.on-sky.netにクライアントを誘導する」ということが出来てしまいます.この手法を悪用して犯罪を犯そうとする場合,証拠が残らないよう証明機関に嘘の申請をすることになりますが,審査の甘い証明機関はいくらでもありそうなので,問題ないでしょう.また,そうした犯罪の被害者になったとして,証明書を発行した証明機関に責任があると言うのは難しいでしょう.証明機関側からすれば,正当なドメインに対して正当な証明書を発行するだけですので().

この例では日記を表示させているだけですが,実際に偽装したいオンラインショップに似せたページを作ったり,あるいはそのオンラインショップのサーバにアクセスして,それを中継したりすることも可能です.これを概念的に図で示すと,以下のようになります.

図で「サーバ」となっているのが,ターゲットとなるオンラインショップ等,「中継機」となっているのが,この例ではwww.on-sky.net.「クライアント」となっているのがあなたのマシンです.ここで問題なのは,クライアントから暗号化されて届いた個人情報・クレジットカード番号などといったすべてのデータが,いったん平文になって中継機を通過してから再び暗号化されてサーバに届くと言う点で,中継機を通過する間に情報を盗み放題になってしまうと言う点です.また,上の図のモデルでは本来のオンラインショップとの中継を行うので,買い物自体は問題なく成功し,ユーザーは情報を盗まれたことに気づけないという点も重要です.

対策

私の考える最も良い対策は「パッチが出るまでインターネットエクスプローラを使わない」ことです.どうしても使いたい場合,「https://」で始まるサーバに接続したら,必ず右下の鍵マークをダブルクリックして,証明書の発行先として表示されるサーバ名とアドレスバーに表示されるサーバ名が一致しているかどうかを,ページを読み込む毎にいちいち確認するしかないでしょう.

あとかたづけ

以上で解説は終了です.最後に今回の確認作業でインストールしたCAルート証明書を削除します.

まずはウィンドウ上にあるメニューの「ツール(T)」→「インターネットオプション(O)」をクリックして,インターネットオプションウィンドウを開きます.

次に,「コンテンツ」タブ(図中①)をクリックしてから「証明書」ボタン(図中②)をクリックして,証明書の一覧を開きます.

証明書の一覧ウィンドウが開いたら,「信頼されたルート証明機関」タブ(図中①)をクリックします.すると一覧が表示され,今回インストールした証明書(発行先が「00 dummy root ...」となっているもの」がリストの一番上に表示される(図中②)はずですので,これをクリックして選択状態(背景が青)にします.選択したら「削除」ボタン(図中③)をクリックしてCAルート証明書を削除します.

途中,以下のような確認の警告が出ますので,内容を読んで間違ったCAルート証明書を選択していないか確認し,問題なければ「はい」を押します.



結び

さて,いかがだったでしょうか? 断っておくと,このシナリオによってSSLの枠組みそのものが否定されるわけではありません.本来なら鍵マークをダブルクリックすることによって確認すべきサーバ名を,アドレスバーに表示されているもので代用すると言うユーザー側の運用上の問題なのです.ただし,ブラウザはちっちゃな鍵マークだけを表示するのではなく,ちゃんと現在の通信で使われているサーバの証明書が,どこに対して発行されたものであるのかということを分かりやすい場所に表示すべきであって,それをアドレスバーで代用させていたのは,ブラウザを作っているベンダー自身であったのは確かです.

当初この一連の日記を削除することも考えましたが,すでにアクセス元に心当たりのない,いくつかのアクセスをいただいていたことから,どうせならより正確な情報を提供したほうが良いと判断しました.この判断が正しかったのかどうか,まだ少し悩んでいます.公開にあたっては,ユーザー側から見た問題点はなるべく具体的に示し,攻撃に必要な情報は最小限に抑え,これまでに書いてしまったもの以上に詳しい情報は書かないようにしたつもりです.

本日のツッコミ(全7件) [ツッコミを入れる]

Before...

- hs [オンラインショップが危ないと思わせてしまったのは,私のミスリーディングだな. 今回の例は,どちらかというとIEが危な..]

- hs [taru-k> そう.うまく中継器を作れば,クライアントでアクセスしようとしているショップを認識し,本物を引っ張って..]

- mak-y [なるほど。しかし、個人情報として漏れると困るものという意味では(どれも漏れると困るが)やっぱりIDとPassword..]


2003-12-15 [長年日記]

MSは知っている(かも)

セキュリティホールmemoを読んでいて,「成りすましたウェブサイトに騙されない方法について」という文書が13日付の文書として公開されているということを知りました.

SSL MITMを知ってから読むと,非常に良くできた文書になっていると思いませんか?こんな辺鄙なサイトの日記なんて読んでるはずがありませんから,内部には分かっている人がいるんでしょうね.そうじゃないとあそこまで練った文章は書けません.

ただ,...

P.S.

ご心配には及びません.絶対に消しませんから.

と,言い切れたらかっこいいなぁ.いまだに少し悩んではいますが,めったなことでは消すまいという思いではいます.

P.S.2

もし私が犯罪者だったら,絶対にクリスマス商戦に間に合わせるな.

本日のツッコミ(全1件) [ツッコミを入れる]

- taru_k [MSが“ここまでわかっていて”パッチ当てないって事は、結構面倒な所に食い込んでいるコードなんだろうか?それとも…]


2003-12-16 [長年日記]

ビジネスプランコンペ

今日が本番.プレゼンが終わった瞬間は「キタッ」と思ったものの,質問タイムで玉砕.地道に働けってことやね.

過去を捏造したってしょうがない

順番が逆だったような気もしますが,とりあえずMicrosoftに連絡.よく寄せられる質問とお問い合わせ先を読んでもどこに連絡すればよいのか良く分からないので,とりあえず,「マイクロソフトのセキュリティへの取り組みについて、ご意見をください」と言うページにあるアンケートに書くことに..Net Passportがないと駄目とのことなので,取得しましたよ.フリーコメント欄は120文字という制限があったため,文面にひと苦労.以下,私が記述した内容.URL欄には13日の日記のアドレスを記入.

私は13日付の成りすましへの注意喚起文書の公開以前に,アドレスバーを書き換えられるIEの欠陥に潜む問題に気づき,URL欄に示す日記で公開してしまっています.ユーザーに対し,さらに徹底した周知を行ったほうが良いと考えますが,いかがでしょうか?

ジャスト120文字.

Everything that has a beginning has an end.

というわけで,気分転換に見てきましたThe MATRIX REVOLUTIONS.

感想は「打ち上げ花火を見てる感じ」でしょうか.たまやー,かぎやーと見ているだけで十分楽しめる作品.でもなんか向こうのほうで花火のお題目やら見所やらを解説しているようなしていないような.あと,もうちょっと花火の作りについて知ってみないと,一流職人の作なのか,大量生産品なのか判断が付けにくい.

と言うわけで評価保留.ただ言えるのは,やはりこれも映画館で楽しむべき映画だと言うことでしょうか.2時間強はあっという間でした.

一人で部屋にいると考え込んでしまう

私はMicrosoftから来るかどうかも分からない返事を悠長に待っていても良いのでしょうか? 今はクリスマス商戦の真っ只中で,この瞬間にも知らず知らずのうちに個人情報を盗み取られている人がいるかもしれないというのに.

それとも,私が心配しているほどには,この問題はたいしたことはない? 具体的にはこうやればうまくいくだろうという算段は付いているのに?

自分で何かやるにしろ,これ以上どうすればよい?

本日のツッコミ(全2件) [ツッコミを入れる]

- taru-k [The Matxix革命 うぅ映画館で見たい...。12月25日(ってねぇ)の東京出張時がラストチャンスか?でも前後..]

- mak-y [見てからずいぶん経ってしまいました。それより早く、指輪物語がみたい。 で、MSはちゃんと返事があるのでしょうか?]


2003-12-17 [長年日記]

やりました行動を起こしました

たぶんいろんなところからお叱りやご批判を受けることになると思います.officeさんにとってもいい迷惑だったかも.

また,ほとんど対応する余裕を与えなかったMicrosoftさん,ごめんなさい.

本日のツッコミ(全2件) [ツッコミを入れる]

- mak-y [コメントが難しいけど・・・どうなる?]

- taru_k [“IEのセキュリティ機能の変更”を謳っているWin XP SP2で対応してくれると良いんだが。 ってもうすぐβ版が出..]


2003-12-18 [長年日記]

可能性

私の理解では,TCPの3 way handshakeって,クライアントへのなりすましは難しくてなかなか現実的ではないと言われていますが,サーバーへのなりすましは意外と簡単なはずです.これってたぶん盲点というか,過去の状況なら「出来るけどナンセンスだよねぇ」と笑い飛ばされて終わった話なのですが,今回の問題におけるSSL MITMへのアプローチとしては非常に有望であると私は考えていて,あと何手か打つことによって,正しいサーバへアクセスしようとしたクライアントでさえ,知らず知らずのうちに罠にはめることが,現実的な確率で可能であると思っています.

それでも,httpsのページを開いた後に鍵マークをダブルクリックして証明書の発行先を確認することで偽装を見破ることが出来ますので,まだIEを使っている人はぜひ鍵クリックの癖を付けてください.

これも具体的な手口を示唆する内容なので書いてしまってよいものかどうか非常に悩みました.しかし,元の文書の私の書き方が中途半端であったため,リンクを張っていただいたサイトで誤解されている所があったようなので,書くことにしました.こういうやり方は良くないという思いはあるのですが,こうする以外に良い方法が思いつきません.17日の行動のときも,実はリンクを張ってくれそうな有名な方にメールで相談しようかとも思ったのですが,それだと儀礼的無関心(関連リンク集)におけるBさんのような役割というか,「周知させた責任」みたいなものをその人個人に押し付けることになるんじゃないかと考えたりして...


2003-12-20 [長年日記]

寒波

灯油と夕食の材料を買いに出かけたら,雪がちらほら.その瞬間,今夜は鍋に決定.帰りにはこの勢いでしばらく振り続ければ積もるかなというぐらいにはなっていましたが,さてどうなる?


2003-12-25 [長年日記]

SSL MITM demo追記

ISSが公開した対策ソフトとZDNetの記事に対するコメントを追記.

今日のトリビア

「苺」「雫」という字は子供の名前に使えない.

「曽」の字を子供の名前に使えないのはおかしい,という裁判で最高裁が一般に良く使われる漢字は人名に使ってよい.という判断を出したそうで,関連して使えない字として最初の2つを挙げていました.ググるとそういう漢字って結構あるんですね.

主語がない

「最初の2つを挙げて」いたのはNHKのニュース番組です.

ググった中では誰も教えてくれない戸籍の話というページが非常に参考になりました.

本日のツッコミ(全5件) [ツッコミを入れる]

Before...

- taru-k [乗用漢字って...「うんうんこの心地よい加速感がね」って?" 常用"ですね。すんません。]

- hs [コメントって後で修正がきかないのがなかなか辛いよね. かといって修正を許すには認証とかが必要になってくるので,なかな..]

-  [愁って人名に使えますかね・・・]


2003-12-26 [長年日記]

厚さ2.8ミリのUSBメモリ(ZDNet)

あの形状で「単体でUSBポートに接続可能」というのは面白いですね.付属品のカード型ホルダーがコンパクトで,かつ端子部分が保護されると完璧なんですが.


2003-12-27 [長年日記]

銀世界

どうやら昨夜の雨が夜中に雪に変わったようで,今朝はちょっとだけ雪が積もっています.おぉ,寒.

携帯電話,車内で利用しただけで罰金

最近,私のまわりでも信号の変わり目でスタートが遅れたり,ふらふらする人が明らかに増えていたので,良いのではないでしょうか.見通しの良い交差点を遠くに見渡せる場所や,感応式の信号をわざと切り替えるような位置にこそこそとパトカーを止めて点数稼ぎなんかせずに,そういう人達を積極的に取り締まって欲しいものです. あと,

飲酒運転の罰則を強化した昨年6月以降、呼気中のアルコール濃度を測る検査を拒否するケースが5割も増えたため、拒否の罰則を30万円以下の罰金(現在は5万円以下)に引き上げる。

てのはなんとも.

ニュースへのリンク

Mainichi INTERACTIVEは他のニュースサイトとは違ってずっと記事を残してくれる上,最新のニュースでも,例えば記事のURLが

http://www.mainichi.co.jp/news/selection/20031227k0000m040114000c.html
なら
http://www.mainichi.co.jp/news/selection/archive/200312/27/20031227k0000m040114000c.html
といった具合に,URLに「archive/<年月>/<日付>/」といった単純な記述を加えてリンクを張ればずっとリンク切れにならないので,非常にありがたく使わせてもらっています.私は他のところで最初に記事を見つけても,リンクを張る場合にはなるべく毎日の記事を探すようにしています.

本日のツッコミ(全1件) [ツッコミを入れる]

- taru-k [今回の道路交通法改正案の中で私が注目したのは、"駐禁取締りを民間に委託"です。 ノルマ制とかになったら、猛烈な勢いで..]