武田圭史

　Windowsは多くの脆弱性が発見されているので危険だなどという話を聞くことは少なくなかった。これに対して、マイクロソフトからは実はWindowsはLinuxよりも脆弱性に関するアドバイザリーの発行数は少ないというアナウンスがなされ、先日もCNET Japanに「パッチの数はWindowsよりLinuxが多い」–Windowsの安全性をアピールするマイクロソフト」という記事が掲載されていた。

　一方、そもそも、パッチや発見された脆弱性の数を安全性の指標として使用すること自体に無理があるんじゃないか。むしろ、アドバイザリーが多いほど安全だと言ってもいいんじゃないかという意見もある。

　ソフトウェアの開発工程のテストの段階では検出できたバグの数をもって品質基準としているということもあるし、脆弱性が多く発見されているということは（リリース後とはいえ）それだけ多くの検証が行われているという見方もできる。また、内包するアプリケーションの数が多くなれば発見される脆弱性も多くなるだろうし、利用するユーザが多かったり脆弱性によって引き起こされるインパクトが大きければ、それだけ脆弱性を発見したり公開したりする動機付けも大きく、多くの脆弱性が発見されることになる。

　パッチの数というのはある見方では脆弱性の検証実績を示し、別の見方ではソフトウェアの重要性や社会的な位置づけを示すことになる、さらに別の見方ではリリース時点でいかに検証が足りていなかったかを示すとも考えられる。つまり数が多い方が安全とも言えるし、別の見方では数が少ない方が安全ということになる。

　クローズドソースのWindowsとオープンソースのLinuxではリリースに関する開発工程上の意味合いも異なってくるので、単純に発行されたアドバイザリーの数だけを使って、システムの安全性を比較する指標とすること自体に無理があるように思われる。

【参考情報】
「パッチの数はWindowsよりLinuxが多い」–Windowsの安全性をアピールするマイクロソフト(CNET Japan)
http://japan.cnet.com/news/ent/story/0,2000047623,20080635,00.htm

Windows Users Have Fewer Vulnerabilities(Microsoft)
http://www.microsoft.com/windowsserversystem/facts/analyses/vulnerable.mspx

More Advisories, More Security(Thierry Carrez@SecurityFocus)
http://www.securityfocus.com/columnists/299

　偽装した無線LANアクセスポイントを仕掛け、DHCPに偽サイトを登録したDNSサーバを設定することで最近はやりのファーミング(Pharming)が可能だ。不用意に疑わしい無線LANには接続しないとともに、重要情報をWebから入力する際はサーバの証明書の確認をしっかりと行うよう心がけたい。

　上記の場合はオトリとなる無線LANのアクセスポイントでユーザを釣っているイメージになるので、ファーミングというよりは行為自体はフィッシングと呼んだ方がしっくりくるような気もする。語感的には、攻撃対象となるユーザに直接働きかけるようなものをフィッシングと呼び、不特定多数を対象としてウィルスでhostsファイルを書き換えたり、DNSポイゾニングなどにより非同期に偽サイトに誘導する仕掛けをばらまく場合をファーミングと呼ぶイメージかと思う。

　米国でフィッシングとファーミングという用語が一般に広く浸透しているかというと、そうでもない。特にファーミングという用語はオンラインメディア以外では目にしたことはない。

【参考情報】
■pharming（ファーミング）――オンライン詐欺は「釣り」から「農業」へ？（記者の眼@IT Pro)
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050209/155922/

■ファーミング詐欺と区別がつかない自治体電子申請サイト（高木浩光＠自宅の日記）
http://takagi-hiromitsu.jp/diary/

　バレンタインデーは、日本では女性から男性にチョコレートを送る習慣があるが、米国では主に男性から特別な女性に花やプレゼントを贈ったり一緒に食事をしたりする日という位置づけなので日本人男性は特に注意が必要だ。

　我が家も今年は、米国流です。

　フィッシング(Phishing)詐欺被害の拡大もあり無線LANフィッシング(WiFiフィッシング, Evil twinホットスポット)などと呼ばれる手口が、いよいよ現実味を帯びてきた。流行のフィッシング詐欺にしろ、ここで紹介する無線LANのリスクなどは、少し考えれば誰でも思いつくことで、セキュリティに関わる人なら一度は気にするのだが、実害も発生していないし、ま、いいか～という形で見過ごされていたところもある。実際にいろいろな問題が起こってくると、対策が必要だということになり、対策推進連絡会のようなものが設立されることになる。

　無線LANフィッシングとはオープンな無線LANのアクセスポイントを設置し、そこに接続してきたユーザのID、パスワード、クレジットカード番号などの情報を盗み取るという手口だ。ホテルや喫茶店など公共のアクセスポイントと同じSSIDを設定して、公共のアクセスポイントになりすましインターネットとの間の通信を盗聴することで、暗号化されていないパスワードやクレジットカード番号、電子メールの内容などを盗むことができる。

　また、特定のSSIDを設定しなくても誰でも接続できるアクセスポイントを放置しておけば、意図してまたは意図せずこの無線LANに接続してきた人の情報を盗むことができる。WindowsXPには利用可能な無線LANを検索し接続する機能があり、このようなリスクを大きなものにしている。無線LANの通信が暗号化されていたとしてもアクセスポイントから先のネットワークで盗聴される危険がある。

　私の自宅周辺でも東京都内でもアクセス制御のないボランティア・ホットスポットは多数存在するし、出張先などでとりあえず接続可能な無線LANをサーチして無断利用するという人もいるようだ。そうでなくてもホテルなどで一時利用しているアクセスポイントが本当にホテルが提供しているものかは分からない。いわゆるフィッシング詐欺と異なり、どこで情報が盗まれたか本人には分かりにくいのもやっかいだ。

　対策としては、信頼できない無線LANは使用しない。暗号化されずにパスワードや重要情報が送信されるサービスを利用しない。一旦自宅や会社などの信頼できるネットワークにVPN接続するなどの方法が考えられる。

カリフォルニア州のSutter郡で、十分な事前の説明なしに小中学生にRFIDの着用を義務付けようとしたことが問題となっている。

教員も開発に関わっていたり、納入企業が学校に多額の寄付をしていたりその進め方にも疑問も多い。首から下げる写真付IDカードにRFIDの機能を持たせ、暗号化された１５桁の番号を通知する。すでに教室の入り口上部とトイレにリーダが設置されている。教員はPDAを使って出欠確認等をワイヤレスで行う。遠くからは読み取れないと書かれており、アクティブ型のRFIDではないように思われる。

アメリカではいくつかの私立学校がこの手の取り組みを始めている。主に児童・生徒のプライバシーが問題としてとらえられており、犯罪への悪用という議論はあまりない。今回は、親からの苦情を受け、とりあえずオプトアウトを設定しさらに協議を続ける模様。

ニューヨーク州バッファローのチャータースクールの時のような「プライバシー保護のための工夫」については言及されておらず、この手の反発を想定していなかったように思われる。

日本では「小学生を家畜と同様のタグで管理するのはけしからん。」という話が一部であがっていたが、奇しくも最近同じカリフォルニア州で実験解剖用の死体にRFIDをつけて管理するという話がでていたところ。

【参考情報】
■InClass(InCom Corporation)
http://www.incomcorporation.com/
当該システムの説明ページ

■School RFID Plan Gets an F(Wired News)
http://www.wired.com/news/privacy/0,1848,66554,00.html
Wiredの関連記事

■Students kept under surveillance at school　Some parents angry over radio device(San Francisco Chronicle@SFGate.com)
http://sfgate.com/cgi-bin/article.cgi?f=/c/a/2005/02/10/BAGG0B8I4D1.DTL
San Francisco Chronicleの関連記事

■University mulls barcodes for donated bodies(CNN.com)
http://www.cnn.com/2005/EDUCATION/02/04/cadaver.barcodes.ap/index.html
最近同じカリフォルニア州で提案された実験解剖用の死体にバーコードかRFIDをつけて管理する話

■行政主導の児童使用実験にインフォームドコンセントの機会はあるか
http://d.hatena.ne.jp/HiromitsuTakagi/20040707#p1
アクティブRFIDを用いた日本の取り組みに対する高木さんの主張

Windows AntiSpyware ベータ版の警告機能を妨害し、特定のオンラインバンキングサイトへアクセスした際にキータイプを記録する。

ベータ版を公開した甲斐があったといっていいものか。

Virus information Troj/BankAsh-A(SOPHOS)
http://www.sophos.com/virusinfo/analyses/trojbankasha.html

マイクロソフト、スパイウェアおよびウイルスからお客様を保護するための新たなソリューションの提供を発表
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=2164

　公的には認知されておらず、お金で大学や大学院の学位を発行するディプロマミルが問題となっている。

　米国では地域ごとに中立の認定機関が設置され、大学が一定の水準を満たすものであることを認定しており、このような機関に認定を受けていない大学は非認定校として、公には評価されないことになっている。

　これまで、認定校のリストなどが公開されておらず、ディプロマミルを抑制するためにデータベースの公開に至ったと思われる。日本でもいくつかの組織が学位販売ビジネスを展開しているようで、学歴詐称やあやしげな組織の資金源として使われたりすることもあるようだ。最近ではe-Learningの普及などで、国内にいながら海外の大学の学位が取得できるなどのキャッチセールスで非認定校が講義を提供していることもあるので注意が必要だ。
　
　ちなみに現在を含め私がこれまでに関係している大学は全てれっきとした認定校です。（当然ですが。）

【参考情報】
Institutional accreditation system（U.S. Secretary of Education）
http://www.ope.ed.gov/accreditation/Search.asp

「ニセ学位」対策に米教育省がデータベースを作成(Hotwired Japan, Wired News)
http://hotwired.goo.ne.jp/news/culture/story/20050209202.html

ディプロマミルに関する日本のリンク集(Yahoo!グループ　ブックマーク)
http://groups.yahoo.co.jp/group/free_soft/links/university_001082961651/

　マイクロソフトの2005年2月のセキュリティ情報として緊急８件、重要３件、警告１件が公開された。

　更新プログラム（パッチ）が提供されているので、「さあ皆さんWindowsUpdateしましょう！」ということになるのだが、何でもすぐに適用するのが良いのかという点については検討が必要だ。パッチ適用の副作用でクリティカルなシステムに障害が発生することもないとは言えないからである。

　ところがそのような障害を想定して、誰も適用を控えてしまうとパッチに問題がないことも確認できないので、周囲に対しては「パッチを当てましょう」と訴えておいて、しばらく様子を見てから自分のパッチをあてるというのが、ずる賢い戦略である。

　実際企業のクリティカルなシステムについては、リリース直後にパッチを適用するというのは躊躇される。セキュリティ情報として公開される脆弱性にはパッチ適用以外のリスク回避方法がある場合も少なくないので、ファイアウォールの設定や不要な機能の停止で、一時期をしのいで落ち着いたところでパッチを適用するということもオプションとして考えられる。

　この判断を行うためには、脆弱性や起こりうるリスク、攻撃コードやワームの流通状況の確認など、ある程度の知識や経験が必要だ。この議論は昨年マイクロソフトのパネルディスカッション（参考１、参考２）でも話したのだが、考えてみればマイクロソフトとしては立場上、社内で検証済みなので出たらすぐに適用してくださいとしか言えないのだろう。もちろん多くのユーザに適用してもらうことによってさらに検証が進むというメリットもある。

　家庭でメールとWebブラウジングにしか使っていないPCと、企業の会計や物流を扱うシステムを同列には考えられない。逆に言うとそのシステムがどのぐらいクリティカルで、現在動いているプロセスが止まったらどのようなリスクがあるかという判断は個々のユーザにしかできない。

　２００２年のUSENIXで発表された論文では、パッチの旬はリリースから１０日後と３０日後とされている。ちょっと遅すぎるような気もするが、今となっては古いデータに基づく限定されたケースの分析なので、実際には個々のケースの旬は対象システムの重要性、脆弱性のリスク、リスク回避の代替案、パッチの品質を天秤にかけながら自分で判断する必要がある。

　とりあえず自宅のPCはクリティカルサービスを運用しているわけではないので、WindowsUpdateをかけた。今のところ不具合はないようだ。

【参考情報】
2005年2月のセキュリティ情報(マイクロソフト)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-feb.mspx

修正パッチはすぐに適用すべき!? ～セキュリティパネルディスカッション
http://internet.watch.impress.co.jp/cda/event/2004/06/02/3346.html

現場の声はMSに届いたか？　セキュリティパネルディスカッション
http://www.itmedia.co.jp/enterprise/articles/0406/03/news009.html

Timing the Application of Security Patches for Optimal Uptime.
S.Beattie, S.Arnold, C.Cowan, P.Wagle, and C.Wright.
Proceedings of LISA ’02: Sixteenth Systems Administration Conference,
(Berkeley, CA: USENIX Association, 2002)
http://www.usenix.org/events/lisa02/tech/full_papers/beattie/beattie_html/

VoIPのセキュリティに関する団体
いろいろ課題がありそう・・・。

【参考情報】
VoIP Security Alliance
http://www.voipsa.org/

VoIPセキュリティ研究の業界団体が発足（ITmedia　Enterprise）
http://www.itmedia.co.jp/enterprise/articles/0502/08/news007.html

　「米ユリーカ・エアロスペース社(カリフォルニア州パサデナ)の最高経営責任者(CEO)を務めるタートイアン氏は、車に搭載されたマイクロチップの動作をマイクロ波エネルギーで妨害するシステムを開発している。このシステムを使って過剰な電流を送るとチップが過負荷になり、車が機能しなくなって徐々に減速すると、タートイアン氏は説明する。」

Hot Wired Japan:Wired News　2005年2月3日

　小型、低消費電力で携帯性が向上するのであれば、追われる方もこの技術を利用できる可能性も高いわけで、強制停車させられるのはパトカーの方だったりするかもしれない。ちょっと胡散臭い感じもするが、このような技術は当然車以外にも適用できると考えられるので、テロや軍事面での利用価値もあり、本当なら大変なことだ。

　ちなみに、同社のWebサイトを”Eureka Aerospace“をキーワードとして検索してみたが、それらしいものは見つけられなかった。

【参考情報】
カーチェイスに強力な武器：電磁波で強制停車(Hot Wired Japan:Wired News)
http://hotwired.goo.ne.jp/news/technology/story/20050207301.html

Car Chase Tech That’s Really Hot(Wired News English)
http://www.wired.com/news/autotech/0,2554,66473,00.html