武田圭史

特に目新しい話もなく、IE離れがさらに加速か・・・。
SSLのインタフェースがどのようなものになるのかが気になるところ。

・タブブラウザ化
・IDN対応
・PNG対応
・ニュース（RSS?）アグリゲーター機能搭載
・デフォルトで限定された権限で動作
・クロス・ドメイン／サイト・スクリプト動作の禁止
・SSLユーザインタフェースの改善
・アンチスパイウェアツールの統合

【参考情報】
■Microsoft Internet Explorer 7.0 Details Begin to Leak
http://www.microsoft-watch.com/article2/0,1995,1776290,00.asp?kc=MWRSS02129TX1K0000535

地球を破壊する方法が公開されています。くれぐれも悪用しないようにお願いします。

小惑星を光速の90%でぶつけたり、地球をブラックホールや太陽にぶつけたりするのはちょっと大変そうですが、電球の真空エネルギーを利用する方法なら私にもできるかも（？）。同じサイトで地球を動かす方法が紹介されていますが、地球を動かすことができれば破壊することもできそうですね。

【参考情報】
■How to destroy the Earth(Sam’s Archive)
http://ned.ucam.org/~sdh31/misc/destroy.html

■Destroying the Earth(Schneier on Security)
http://www.schneier.com/blog/archives/2005/03/destroying_the_1.html

経団連から「企業の情報セキュリティのあり方に関する提言」と題される文書が公表された。企業の立場と政府の立場でそれぞれ、あるべき姿、なすべき事を唱えている。

これまでも同様の報告や提言は政府の委員会や民間の団体から出されており、客観的指標の必要性や個人情報の保護を大きく取り上げている他は、これといって目新しいものではない。ただし、経団連のような組織が、情報セキュリティを企業が果たすべき社会的責任と明確に位置づけた点については高く評価されるべきだろう。

相変わらず「トップマネジメントの関与が重要」で、「システマティックな管理が必要」だし「人材は不足」している。同じような報告書や提言が繰り返される背景には、皆、問題は自分達の外にあると思っているということがあるのではないだろうか。このような提言を作成している人物や組織自体、十分に当事者意識を持って情報セキュリティの問題に取り組めているのだろうか。

2-（2）経営課題としての情報セキュリティ
―守りの情報セキュリティから攻めの情報セキュリティへ―

「守りの情報セキュリティから攻めの情報セキュリティへ」はいいかげん使い古されたフレーズだ。積極的にリターンを狙った情報セキュリティ投資を行いましょうということだが、誤解を招かないためにも素直にそう書いた方が良いだろう。攻めのセキュリティという言葉は色々な意味で使われるが、結局なんだかよくわからないことが多い。

3-（2）達成すべき合理的な情報セキュリティ水準

「あるリスクに対してはこのレベルの対策が必要」という合理的なセキュリティ水準の目安について、官民が協力し、何らかの具体的な指標を共有できるようにする必要がある。

現在のところ具体的なベンチマークやガイドラインは整備されているとは言えず、今後様々な場面で活用の余地があり、策定する価値は高いと思われる。

4-（2）政府の取組み

政府は、自らの情報セキュリティ対策を充実させ、政府機関および公務員による情報流出をなくし、企業の手本となるよう、以下の取組みを実施すべきである。
（中略）
政府の情報セキュリティへの取り組みを通じてベストプラクティス・モデルを提示し、民間への啓蒙、具体的な対策の普及に主導的な役割を果たす。

政府がモデルケースとなり規範を示すのは当然ながら、同様に経団連自身もモデルケースとなれば、この提言がさらに説得力を持つものになるだろう。

4-(3) 企業・政府が連携して取り組むべき課題
産学官が連携し、情報セキュリティの供給、利用側双方の人材を育成する。

人材の育成も必要だが、最も重要なのは人材の活用である。これまでも人材育成の必要性が唱えられ様々な事業が行われてきたが、そこで育成されたセキュリティ人材が十分に活用されているかというと疑問が残る。組織や社会において情報セキュリティを軸としたキャリアパスを確立し、人材を活用していく環境を整備しない限り、無駄な人材を生み出すだけに終わる。

5．個人情報漏洩等防止のための実効ある対策について
そこで、そのような不正行為に対する抑止力として、個人情報流出の状況等を踏まえ、不正な目的を持って情報を漏洩した個人を直接処罰できるような法制度について、業種横断的に検討を開始することが重要である。

組織内部からの情報漏洩の防止は頭の痛い問題である。個人情報保護法により組織は情報の保護責任を問われるが、不正に持ち出した本人が罰せられないのではやってられないということなのだろう。ここでは対象を個人情報に限定しているが、広く内部情報の持ち出しについても同じことが言えるので、範囲を限定する必要はないのではないかと思われる。

政府や民間の立場からお互いにあるべき姿を提言しあうのは容易だが、「情報セキュリティが重要である。」と言っている本人が実は一番分かっていないというのは冗談ではなく本当に良くあることなのである。それぞれの立場の人が、当事者意識をしっかり持って問題に取り組む事が重要である。

【参考情報】
■企業の情報セキュリティのあり方に関する提言（(社)日本経済団体連合会）
http://www.keidanren.or.jp/japanese/policy/2005/015/index.html

この度、UFJ銀行のセキュリティーの向上に伴いまして、
オンライン上でのご本人確認が必要となります。

この手続きを怠ると今後のオンライン上での操作に支障をきたす恐れがありますので、一刻も素早いお手続きをお願いします。

という連絡が　admin@ufjbank.co.jp　というアドレスからとどいたので、早速アクセスしてみる。ログイン後、「UFJ最新情報」というタイトルの画面で「クレジットカード番号」と言われても何のクレジットカード番号を入力すれば良いのかわからないし、「桁の暗証番号」じゃ何桁入力すれば良いのかわからない。フィッシングサイトにしてはユーザインターフェースが稚拙だ。

【参考情報】
■UFJダイレクトインターネットバンキング（偽物、いわゆるフィッシングサイト）
http://61.38.30.55/ib/login/index.htm
間違っても本当のカード番号を入力してはいけません。
　（上記サイトへのアクセスは自己責任でお願いします。思わず本当のカード番号を入力したくなってしまったとしても私は責任は負いません。）

Firefox（Mozilla, Netscapeも）とSun JREを使用していた場合、不正な署名アプレットに対し不用意に「Yes」をクリックするとアドウェアをインストールされ使っていないIEまでアドウェアに汚染されてしまうという話。当然ながら出所の確かではない署名アプレットを信用してはならない。

【参考情報】
■Firefox Spyware infects IE?
http://www.vitalsecurity.org/2005/03/firefox-spyware-infects-ie.html

■Alternative browser spyware infects IE
http://www.theregister.co.uk/2005/03/11/alternative_slimeware/

Schneier氏のブログにタンブラー錠の欠陥の話題が取り上げられていたが、ハッカー（広義の）とピッキングというのは切っても切れない関係にある。昔米国の大学にいた時にエンジニアの間でピッキング（犯罪としてではなく技術的探究心を動機とするものとして）が流行したことがある。古い大学の校舎などでは防犯上ドアが自動ロックになっており鍵を室内に置いたまま自分がロックアウトされてしまうことも少なくなかった。ピッキングは技術者の好奇心を駆り立てるだけではなく、（合法的に）実用的な技術でもあった。

私も何度か挑戦してみたが、完全にマスターするにはいたらず、その後、ピッキングを用いた犯罪が米国や日本でも問題になり、ピッキング用具の所有等が規制の対象となるようになった。

鍵の安全上の欠陥も情報システムの安全の欠陥は本質的に同じ問題であり、これらの問題に取り組む者は、高い職業倫理をもってミイラ取りがミイラにならないよう気をつけなければならないのはいうまでもない。

【参考情報】
■Bumping locks
http://www.toool.nl/bumping.pdf

■MIT Guide to Lock Picking
http://www.lysator.liu.se/mit-guide/MITLockGuide.pdf

先日のSHA-1が破られたというニュースに続きここのところ、各ハッシュアルゴリズムのコリジョン検出手法のペーパーが続々と公表されている。この様子であれはfull SHA-1のWeak collision の実用時間での検出も文字通り時間の問題かもしれない。

【参考情報】
■Shandong University Information Security
http://www.infosec.sdu.edu.cn/paper.htm

■How to Break MD5 and Other Hash Functions(Xiaoyun Wang and Hongbo Yu)
http://www.infosec.sdu.edu.cn/paper/md5-attack.pdf

■Cryptanalysis of the Hash Functions MD4 and RIPEMD(Xiaoyun Wang, Xuejia Lai, Dengguo Feng, Hui Chen, Xiuyuan Yu)
http://www.infosec.sdu.edu.cn/paper/md4-ripemd-attck.pdf

■Finding MD5 Collisions – a Toy For a Notebook(Vlastimil Klíma)
http://cryptography.hyperlink.cz/md5/MD5_collisions.pdf

■Colliding X.509 Certificates
http://eprint.iacr.org/2005/067.pdf

■Colliding X.509 Certificates based on MD5-collisions
http://www.win.tue.nl/~bdeweger/CollidingCertificates/

■How to Break MD5 and Other Hash Functions(Financial Cryptography)
http://www.financialcryptography.com/mt/archives/000394.html

カリフォルニア州内で発行される公的な証明書に非接触で個人情報を読み取り可能な状態で格納することを禁止する法案(SB 682)がJoe Simitian議員により提出された。先日、同州サッター小学校で児童・生徒にRFIDタグによる監視システムの実験が、保護者達の反対を受けて中止となったことを受けての提案。

今回の法案の対象はカリフォルニア州だが、片や米国政府は同国や友好国のパスポートにRFIDを搭載する準備を進めており、今後議論を呼びそうだ。

【参考情報】
■Identity Information Protection Act of 2005(SENATE BILL No. 682)
http://www.aclunc.org/cyber/050223-radioID.pdf

■New Bill Will Protect Californians’ Privacy Rights
http://www.aclunc.org/pressrel/050223-radioID.html

■RFIDを用いたシステムの設計・導入におけるプライバシーの配慮(武田圭史)
http://motivate.jp/archives/2005/02/rfid_1.html

FBIのフォレンジックに関する機関誌でデジタルビデオ映像の証拠としての証明方式に関する研究内容が昨年１０月に紹介されている。デジタルビデオで撮影したデータを法的な証拠として確かなものとするための電子的保存手段について言及している。現在テキストや静止画あるいは動画の保存データなど静的なデータに対して電子署名はすでに一般的なものとなっているが、リアルタイム動画や動画配信、ブロードキャスト／マルチキャスト・サービスなどについても電子署名や暗号化の適用範囲が拡大しつつある。

一般に電子署名を施す処理は計算量が大きく、大容量のストリームデータに逐次署名していたのでは、負荷が大きすぎ実用が難しくなってしまう。このためにハッシュチェーンやハッシュツリーを活用し効率を上げる方法などが考えられている。また、インターネット上などで応用する際にはパケットロス等も考慮しなければならない。このような研究は９０年代の終わりごろから取り組みが行われており、今後ブロードバンドサービスの普及に伴い様々な方面で実用化が進むと思われる。

【参考情報】
■Information Assurance Applied to Authentication of Digital Evidence(Duerr et.al.@Forensic Science Communications, FBI)
http://www.fbi.gov/hq/lab/fsc/backissu/oct2004/research/2004_10_research01.htm

■How to Sign Digital Streams, Gennaro and Rohtagi,
Rosario Gennaro and Pankaj Rohatgi. How to Sign Digital Streams. In Advances in Cryptology — CRYPTO ’97, 1997.
http://citeseer.ist.psu.edu/gennaro97how.html

米NISTより政府機関向けセキュリティ管理に関するガイドライン及び、政府職員等の身分証明書に関する仕様（電子的な仕様を含む）が示された。今後の米国政府機関等におけるセキュリティ標準として使用されることになる。身分証明書に関しては、電子的なカードの仕様や認証情報管理についても定義しており興味深い。

導入を裏付けるための予算が十分に確保されていないなど、目標である来年までの実現は簡単ではなさそうだが、具体的な指針が示されることでその後の各機関の対応がちぐはぐなものになることを防止することはできるだろう。

日本の省庁ではかなり緩やかな指針が示されることが多いが、結果として省庁自治体等で個別実装したシステムの仕様や実装の問題点が後から指摘ことが少なくない。省庁自治体等を通して実用的な基準として使用できる具体的なガイドラインあるいは「べからず集」を検討・提示すべきだろう。

【参考情報】
■SP800-53 Recommended Security Controls for Federal Information Systems(NIST)
http://csrc.nist.gov/publications/nistpubs/800-53/SP800-53.pdf

■NIST releases final security guidelines(ZDNet)
http://news.zdnet.com/NIST+releases+final+security+guidelines/2100-1009_22-5593256.html?part=rss&tag=feed&subj=zdnn

■Govt. braces for key security standard(NetworkWorldFusion)
http://www.nwfusion.com/news/2005/022805fips201.html?page=1

■FIPS 201 Personal Identity Verification for Federal Employees and Contractors(NIST)
http://csrc.nist.gov/publications/fips/fips201/FIPS-2