アーカイブ

2007 年 2 月 のアーカイブ

【書籍】カードセキュリティのすべて―進化する“手口”と最新防御策

2007 年 2 月 24 日 コメントはありません

身の回りで接する機会が増えてきたICカード。本書は従来の磁気カードから最新の非接触ICカードまで、カードを使った認証や決済に関するさまざまな話題が盛り込まれている。前半は専門外の読者にもわかりやすく数々の興味深いトピックを取り入れ読みものとしても面白く仕上がっている。後半は一転、電力解析などICカードに対する攻撃や耐タンパー技術について技術的に踏み込んだ解説が行われている。ある程度の知識を持つ読者にとっては前半は少し冗長に感じるかもしれないが、後半はICカードに対する様々な攻撃手法が技術的視点から詳しく解析されており手ごたえを感じるに違いない。本書は専門書というよりは様々なカードのセキュリティの話題に関する読み物という位置づけと思われるが、企業や大学の研究・開発の現場で活躍されてきた著者だけに技術的にも踏み込んだ記述もあり、カードのセキュリティについてどのような攻撃やその対策についての研究が行われているかなどを楽しく読み進めながら理解することができる。

本書の構成
———————
第1章 急増するカード犯罪
第2章 カードからお金を盗み出す手口
第3章 導入が本格化した「生体認証」技術
第4章 偽造を許さない「ICカード」の仕組み
第5章 ICカードのセキュリティを支える暗号技術
第6章 ICカードへのサイドチャネルアタックと耐タンパー技術
第7章 ICカードを狙うさまざまなアタックと耐タンバー技術
第8章 セキュリティ技術アップのための課題
———————

■書籍
カードセキュリティのすべて―進化する“手口”と最新防御策
日本実業出版社、神永 正博著
¥ 1,575 (税込)

card_security.jpg


※画像にはAmazon.co.jpへのアフィリエイトリンクが設定されています。

カテゴリー: 書籍 タグ:

リバースエンジニアリングまつり

2007 年 2 月 23 日 コメントはありません

リバースエンジニアリング技術について語り合うイベント(講演+パネル)を4月上旬に企画中です。
4月9日(月)@東京とかだと入社式やら入学式やら年度初めで困るというような方はいらっしゃるでしょうか?

また、こんなことを聞いてみたい、やってみたいなどということもあればご提案ください。
あと、都心で会場を提供してくださる方も募集中です。

予定は未定ということで大幅な変更があってもご容赦ください。

カテゴリー: 情報セキュリティ タグ:

【書籍】ユビキタス時代の著作権管理技術~DRMとコンテンツ流通

2007 年 2 月 21 日 コメント 1 件

WinnyやShareなどでさまざまな著作物が自由に交換されている一方で、地上デジタル放送やハイビジョンTV, Blu-ray, HD-DVD, iPodなどいつしか我々の周りには著作権管理のしくみを適用した様々な機器があふれかえっている。

著作権管理の技術や仕様はAACS, CPPM/CPRM, DTCP/DTCP-IP, DLNAなど多数のアクロニムが登場しとっつきにくい一面があるが、本書はこのような世界を平易な表現でわかりやすく網羅的に解説している。

本書では技術的に深く突っ込んだ議論が行われているわけではないが、現在どのような技術が適用されているのかなどを概観し、個々の技術について深く掘り下げたい場合には参考文献や紹介されているサイトを参考に、調査をしていけばよいだろう。

一般向けに詳しく解説されることの少ない分野ではあるが、著作権の一般概念にはじまり利用されている暗号技術などについても丁寧に記述されており、効率よく著作権管理技術の動向を理解したいという人にずばりお勧めである。

本書の構成
———————
序章 著作権管理の基礎知識
第1章 DRMの基礎技術
第2章 流通メディアから見た保護技術
第3章 暗号技術を中心としたDRM標準化動向
第4章 メタデータ活用を中心としたDRM標準化
第5章 コンテンツ流通システムの実際
第6章 コンテンツ流通市場におけるDRM
付録A XMLとWebサービス
付録B 著作権法(抄)
———————

■書籍
ユビキタス時代の著作権管理技術~DRMとコンテンツ流通
東京電気大学出版局、今井秀樹編著
¥ 3,150 (税込)

drm.jpg



※画像にはAmazon.co.jpへのアフィリエイトリンクが設定されています。

カテゴリー: 書籍 タグ:

セキュリティは特許より優先するか?

2007 年 2 月 15 日 コメント 5 件

セキュリティホールメモ小島さんからの再度コメントをいただいた。

「特定のウイルスを防ぐための特定の技術 (代替技術なし) の場合であっても話は同じだと思います。リアルウイルスと戦うための技術 (薬) の世界では何年も前から問題になってますよね。その特許を override でき得るような法体系になっていれば別ですが。」

私は前提として、本来どうあるべきか、どうあって欲しいかという視点で考えるようにしている。既存の特許法の枠組みで云々ではなくて、その法律がそのまま放置された場合にどういう不具合が起こりうるか、現行法が実情に適合しているかという点も含めて考える必要があると思う。

だからWinnyでの情報漏洩のときと同様に、「法律がこうなっているのだからしかたない」、「今までもあった問題だからしかたない」と看過するのではなくて、本当にそれが何かまずいのであれば法改正や特別な措置も含めアクションに結びつけるための問題提起を積極的にすべきだと思う。

あるいは社会のコンセンサスとして、情報セキュリティについても特許制度の枠組みを活用すべきということになるなら、各企業や研究者はそのための対応をとっていくことになるだろう。セキュリティに限らずソフトウェアに関する特許やオープンソースと特許に関してはこれまでもいろいろと問題が起こってきた。今後情報セキュリティに関しても大きな問題が起こらないとはかぎらない。

小島さんがリンクで示した「人命は特許に優先する:危機に晒される数百万人の命 -安価な医薬品へのアクセスを守るための署名のお願い- (国境なき医師団, 2006.12.20)」のような事態が存在するのであれば誰かがそういった問題を提起する必要があるのと同様だ。

今回のケースではセキュリティベンダーだって企業なのだから、新技術開発のインセンティブが必要だ、それによって技術革新が進むのだという考え方はありうる。一方で既存の制度枠組みが公共のセキュリティの向上を阻害するような事態が生起しうるなら一定の「override」するルールも含めて考える価値はあると思う。

ちなみに、今回の件については個人的にネットエージェントの杉浦さんとも話をしており、それほど深刻な状況にはないと感じていることを付記しておく。

カテゴリー: 情報セキュリティ タグ:

情報セキュリティ対策技術と特許の微妙な関係

2007 年 2 月 15 日 コメント 1 件

これまでもイベントや研究会等でご協力いただいている杉浦さんのネットエージェント社が「Winnyファイル拡散防止サービス」を開始した。同社はこれまでもその高度な技術力をベースにWinny, Shareの調査サービスなどユニークなサービスを提供している。同社のWebページによれば

「ネットエージェントは自社で開発したWinnyファイル拡散防止システムを利用し、Winnyネットワーク上に流出した漏えいファイルの拡散を防止します。」

(Winnyファイル拡散防止サービス, ネットエージェント)

というサービスだそうだ。
Winnyなどの匿名P2Pネットワークにおける検索情報のポイゾニングに関しては、私の同僚が2005年の2月頃からeDonkey、FastTrack、Gnutellaを対象に実験を行いその効果について確認をしている。また、偽キーデータと偽ファイルの挿入によるポイゾニングをWinnyの情報漏えい事故後の被害局限に応用することについてはが私自身が2006年3月頃から各所で提案し、その実際の効果の検証は2006年7月に機能を制限したWinny互換クライアントを利用し実施している。この際偽ファイルの配布と偽キーデータ配布の2つのアプローチを検証し、キーデータによるポイゾニングはキーデータを発信し続ける限りは有効だが、2次拡散効果が期待できる偽ファイル配布方式に比べると効率が悪いことを確認している。

今回同社のページに「Winnyファイル拡散防止システム (特許出願中)」との記載があり、このような情報セキュリティ対策技術に関して特許出願がなされたことに少し驚いた。

この出願がどういった狙いで行われているのかは直接確認しないとわからないが、営利企業の立場からすれば取得の可能性がある特許については早々に出願しておきたいという考えは理解できなくはない。私も企業の経営者の立場にあれば同じことを考えるかもしれない。これまで情報セキュリティに関する技術情報は他の技術領域に比べれば、早期に公開されることが多く一旦公開された内容については特許の対象とはならないために、あまり特許の問題を目にする機会は少なかったように思う。

今後、様々な企業がセキュリティ対策について特許を出願しその権利を行使するような時代が来るとなると、情報セキュリティ対策の普及や研究活動にも制約が及んでくることになるかもしれない。例えばある「特定の」(2/15追記)ウィルスを検知・駆除するための技術について特許出願が行われ、他の企業がそのウィルスを検知・駆除するために「同じ手法を使わざるを得ない状況が生まれた場合に」(2/15追記)特許使用料を支払わなければならないというような事態が起こるのだろうか?(あるいは実際に起こっている?)また、そういった事態がありうるとするとそれを逆手にとり、自分で作ったウィルスを検出・駆除するためには自分が権利を保有する特許を使用せざるを得ないというような状況を意図的に作り出し、ウィルスベンダー各社から使用料をせしめるなどという輩も出てくるかもしれない。

私は情報セキュリティ企業が情報セキュリティ対策や関連するサービスによって儲けてはいけないとは思わない。情報セキュリティ技術者は全てボランティアというような状態は結果的に社会にとってはマイナスだろう。きちんとした企業が優秀な人材を集め、質の高い価値のある製品、サービスを提供しそれに対して十分な対価を得られる環境が整備されるべきだ。特に国内の情報セキュリティ企業の活動が産業として成熟し国際的にも競争力を高めていくことは、国家としても重要な課題だと考えている。とはいうものの情報セキュリティにおいて積極的に特許の取得や権利の行使が行われるとなると、各種対策の実現や研究活動の制約が多くなりあまり望ましい状態ではないようにも感じる。
情報セキュリティ技術についても他の技術領域と同様に特許の仕組みを積極的に活用すべきなのだろうか?あるいは社会、企業の両方にとってメリットのあるなんらかのルールや枠組みが必要なのだろうか?

(参考情報)
■「Winnyファイル拡散防止サービス」提供開始(ネットエージェント, 2/13)
http://www.onepointwall.jp/press/20070213.txt

■Content Availability, Pollution and Poisoning in File Sharing PeertoPeer Networks(Nicolas Christin et.al.)
http://p2pecon.berkeley.edu/pub/CWC-EC05.pdf

■偽装ファイルによるWinny漏洩情報の隠蔽(武田圭史, 06/03/28)
http://motivate.jp/archives/2006/03/winny_4.html
■Winny流出には「P2Pネットワークポイゾニング」が有効 (InternetWatch, 06/03/27)
http://internet.watch.impress.co.jp/cda/event/2006/03/27/11378.html

(2/15 追記)昔に似たような話があったなと思い検索したら以下のような情報を発見した。
■平成17年度特許流通支援チャート・不正アクセス侵入検知防御技術(工業所有権情報・研修館, 2006年3月)
http://www.ryutu.ncipi.go.jp/chart/H17/denki31/frame.htm

■Intrusion Detection Systems: NIDS Patent(Insecure.org, 2000年5月)
http://seclists.org/ids/2000/May/0056.html

(2/15追記2)
セキュリティホールメモ小島さんの「特定の検知・駆除手法に対して特許が取得されている場合の話やけど・・・」について、「(様々な対象に適用可能な一般的な)特定の手法ではなく」「特定のウィルス」について例えば通常考え得る方法の特許を先行取得することで他のベンダーが同様の手法で検知することを妨害しうるかという疑問だったので、若干の補足を追記した。

カテゴリー: 情報セキュリティ タグ: