武田圭史

リバースエンジニアリングまつり第二弾予告です。

４月９日リバースエンジニアリングをテーマにしたワークショップを秋葉原にて開催いたしましたが、大変好評につきご参加いただけない方も多数いらっしゃいました。
前回はどちらかというとイントロダクション的な意味合いもあり、深く踏み込んだ議論までできなかったという反省点もあります。その一方で実際にリバースエンジニアリングを行うための具体的な手法を紹介して欲しいという要望も多くありました。

というわけで、さらに規模を拡大したリバースエンジニアリングをテーマにしたイベントを秋開催に向けて計画中です。

時期的には９月下旬から１０月上旬、２～３日程度、東京またはその周辺を予定

・チュートリアル
・招待講演
・公募講演
・パネルまたはＢＯＦ

といった構成を検討しています。

特に今回は公募セッションとして、リバースエンジニアリングに関する取り組み、ケーススタディ、ツール、テクニックなど関連のトピックについて発表いただける方を広く募集してみようと考えています。

８月中旬頃に締切、１ヶ月前に発表していただく方を決定できればと思います。ネタをお持ちの方、またお持ちでない方も時間がありますので、ぜひご応募いただけますようご準備のほどよろしくお願いします。

例によりあくまで予定ですので途中でぽしゃったり大きな変更があるかもしれませんのでご了承ください。その他イベントに対する御希望やご意見などもありましたら遠慮なくお寄せください。

(参考情報)
■セキュリティ・ワークショップ「情報セキュリティのためのリバースエンジニアリング」 (カーネギーメロン大学日本校)
http://motivate.jp/archives/2007/04/49ws.html
■4/9リバースエンジニアリングWSにお越しの皆様へ（武田圭史, 4/6）
http://motivate.jp/archives/2007/04/49ws.html
■2007/04/09 リバースエンジニアリングまつりのメモ(by yoggyさん)
http://www.sabamiso.net/yoggy/hiki/?2007%2F04%2F09+%A5%EA%A5%D0%A1%BC%A5%B9%A5%A8%A5%F3%A5%B8%A5%CB%A5%A2%A5%EA%A5%F3%A5%B0%A4%DE%A4%C4%A4%EA%A4%CE%A5%E1%A5%E2
■「リバースエンジニアリングまつり」レポート (by eagle0wlさん on Wizard Bible vol.33)
http://wizardbible.org/33/33.txt

ほかにもレポートがあったような気がしますが・・・御存じの方ご紹介ください。

６月１５日（金）に「未知の脅威に対抗する組織のセキュリティー力（りょく）」と題して講演をしますのでご案内させていただきます。

セキュリティにおける見える化の考え方、インシデント対応を含めたいまどきのセキュリティ対策の考え方、その他最近の技術動向などについてもお話したいと思っています。

後半の「内部統制時代の情報セキュリティーガバナンス」と題したパネルでは岡村久道先生、マカフィーの久我信さん、宮崎緑さんとご一緒させていただきます。どんな展開になるのか楽しみです。

【イベント】
日経Business Innovation Forum　－　「見える化」による情報セキュリティー整備
２００７年６月１５日（金）　１３：３０～１６：４５
会場： 丸の内マイプラザホール
参加無料
http://www.adnet.jp/nikkei/innovation/

私の前のエントリー「住民票コードはパスワードなのか？」という疑問に対して高木さんが大変示唆に富んだエントリー「続・住民票コードを市町村が流出させても全取替えしないのが標準となるか」をアップしてくださった。
この中で高木さんは

「私から言えることは、次のどちらかしかあり得ないだろうという指摘だ。

(A) 住民票コードは、本人確認用途として用いられることがない（と制定されている）ので、住民票コードが公開状態となっても問題ない（住所氏名と共に公開状態となった場合において）。
(B) 住民票コードは行政機関内で閉じて秘密でなければならない（よう運用されている）ので、住民票コードが本人確認用途として用いられることがあり得る。」

とまとめている。この点については私もそのとおりだと思う。

ここで日本国民として(A)、(B)のいずれを選択するのが合理的かという問題が生じる。この点において、私自身の考えは、リスク要素も加味した経済合理性の観点から言って(A)を選択するべきと考えている。

(B)を選択した場合に住民票コードが漏えいした場合本人になりすまされるリスクが発生するが、(A)を選択した場合にはそのようなリスクは発生しない。

一方、(B)を選択した場合のメリットは身分証明書を見せなくても１１桁の番号さえ言えば自分が自分であることを証明できるということだけである。裏返せば他人であってもこの１１桁さえ言えれば自分であること認められるわけであり、身分証明書を提示しないメリットと引き換えにするにはあまりにリスクが大きい。

(B)を選択する前提として住民票コードは行政機関内で閉じて秘密として運用されるという前提がある。現在でも行政機関内の個人情報は秘密として扱われているはずだが、実際の運用を考えるといくらか不安な点が生まれる。通常パスワードのような本人確認情報はその利用時において紙に書いて渡すという行為は行われないが、住民票コードは紙に書いて提示することが求められる。住民票コードを本人確認認証情報として取り扱うに十分なレベルの保護を行うには従来の事務手続きを大きく見直す必要がありそうだ。

本来の住民票コードの導入目的に事務処理の効率化があるはずだ。(B)を選択した場合には、住民票コードに対する秘匿の要求が高くなってしまうため活用できる業務に対しても活用が難しくなってしまう。その観点からも住民票コードを本人確認認証用途に使用することのメリットは小さく、デメリットが大きいといえる。特に今回のような情報漏洩が発生する度に住民票コードの総取替が発生し、住民基本台帳カードも全て再発行ということになるのであれば、それこそ「住民票コード利活用の発展は見込めない」ということになってしまう。（本来漏洩があってはならないのだが・・・）

最後に高木さんは

「仮に現存の手続きの全てを検討して、いずれも住民票コードを本人確認用途で用いていないと確認できたとしても、今後そのような手続きが現れないことを保証する、法令等による定めがない限り、一市町村が上記の(A)だと勝手に解釈して、流出した住民票コードの全取替えをしないと決定するのは許されるのか？」

との指摘をしており、当初のエントリーより高木さんのはこの点について問題提起をしていたと理解している。この問題に対する一つの案として、「住民票コード」の流出時に住民票コードの全取替を行う必要をなくすためにも、「住民票コードを本人確認認証用途で用いてはならない」という法的な規制を加えるのが合理的ではないか。また、そのような規制が行われるまでの間においては、「住民票コードを全取替する」よう要請するよりも「住民票コードを本人確認認証に使うことの危険性」について注意喚起をした方が効率が良く安全ではないだろうか。

（以下5/29　追記）
パスワード等を紙に書かせることを要求しない前提として「その利用時において」という記述を追加した。

本人を確認する情報のうち署名、および印鑑については利用時においても紙により提示することとなるが、これらについては複製に一定レベルの物理的な困難性を伴うことを前提とするためパスワードのような純粋な情報とは区別して議論する。

「本人確認情報」という用語は住民基本台帳法において本人の「氏名、生年月日、性別、住民となった年月日、住所変更の日（市内で変更があった場合のみ）、住民票コード」と定義されている。これは情報レベルにおいてある人物の情報が特定の人物の情報であると識別・確認するための情報として使用されるものと考えられ、ある人物に対して本人であることを確認するために告知を求める情報（パスワードのようなもの）とは異なる意味を持つと解釈している。本エントリー及び先のエントリーで「本人確認情報」という用語を使用していたがこれらは、上記後者の意味（パスワードのようなもの）として使用しており、住民基本台帳法でいる「本人確認情報」ではない。今後、ある人物が特定の人物（本人）であることを証明するために提示が必要な情報については認証情報として住民基本台帳法でいう本人確認情報とは区別する。

高木浩光さんが「住民票コードを市町村が流出させても全取替えしない先例が誕生する？」というエントリーを披露されている。ここでは、住基情報がWinnyネットワークに流出した事故に対する対応として、住民票コードをパスワードとして使用しているサービスが存在するので流出した住民票コードを全取替えすべきだとの主張をされている。

ここで「住民票コードはパスワードなのか？」という疑問が生じる。私自身はこの話を聞くまで住民票コードはパスワードであるという認識がなかった。

高木さんは「住民票コードの記載を条件に本人確認手続きを簡略化した行政手続きとしては、例えば以下などがある」として、「年金の裁定請求等における住民票コードの利用について, 社会保険庁, 2003年」の例をあげている。

一部の手続きにおいて、住民票コードを記載していただくことで市町村長の証明書等の提出を省略できるようになりました。

（略）これにより、一部の手続については、住民票コードをご記入いただくことで、本人確認情報を証明する市町村長の証明書等（戸籍抄本や住民票の写し等）の添付が省略できます。（略）」

この手続きでは、住民票コードの記載により「本人確認情報を証明する（略）戸籍抄本や住民票の写し等の添付が省略でき」るとしており、住民票コードの提示をもって本人確認そのものを省略するわけではない。本人認証が必要な場合は住民票（あるいは住民票コード）と身分証明書などをあわせて判断し本人確認を行うのが正しい運用ではないかと思われる。

(5/26追記)
年金の裁定請求においては「戸籍抄本や住民票の写し等」以外に「年金手帳または厚生年金保険被保険者証」や「年金加入期間 確認通知書 （共済用）」等の提出が求められている。
http://www.sia.go.jp/sinsei/nenkin/saitei/shorui.htm
(追記ここまで)

本来、戸籍抄本や住民票の写しは記載された本人に関する情報が正しいことを証明するためのものでしかなく、所有者自身が本人であることを証明するものではない。実際にそういう運用があったとすればそれ自体が問題である。つまり、「戸籍抄本や住民票の写し」はパスワードに相当するものではなく、住民票コードをもって「戸籍抄本や住民票の写し」の提出に代えられたとしても、住民票コードがパスワードとして利用されているとは言えないのではないか。

(5/26追記)
住民基本台帳法によると住民票の写しは本人・家族以外でも交付を受けることができる。
http://www.houko.com/00/01/S42/081.HTM#012
(追記ここまで)

私の理解では、住民票コードはコンピュータでいうユーザＩＤ（またはユーザ名）に相当する概念であり、対象者を一意に特定するための符号である。情報セキュリティの用語で表現すれば住民票コードは個人に対する「識別(Identification)」のための符号と言えるだろう。もちろんこの情報を使えば本人を一意に特定できるため、知らせないことで他人の悪用に対する敷居を高めることはできるが、それを知っているからといって本人と認証するには不十分である。

これに対して、一般にパスワードと呼ばれるものは、その情報を知っているということをもって他の手段で識別された本人が間違いなく本人であることを証明する「認証(Authentication)」のための符号である。通常パスワード登録後は、紙に書きだすことを求めたり画面に表示されことはなく、利用者に対して厳に秘密情報として管理することが求められる。

「識別」のための情報を「認証」に用いる誤った例としては、米国で社会保障番号がパスワードのように用いられている事例があげられる。また、クレジットカード番号についても本来、識別のための情報でしかないクレジットカード番号が本人確認の目的も兼ねて使用されている例があるのは適切な用法とは言えないだろう。クレジットカードについてはかつて所有者の署名を持って本人確認をしていたが現在では形骸化してしまっている。（これはクレジットカード会社がリスクを負いつつ、利便性やコストを優先しているわけで第三者がどうこう言う必要はないのかもしれない。）

話をもとにもどすと、「住民票コード」をパスワードととらえるのか、単なるユーザＩＤとしてとらえるのかによって、とるべき対応が変わってくるだろう。自治体によって異なるかもしれないが、おおむね制度運用側は「住民票コード」を「識別」のための情報としてとらえているために、大きな支障はないと考えているのではないだろうか。気になる住民は変更するための制度があるのでそれを適用すればよいという程度の認識なのだろう。

「住民票コード」がパスワードとして利用されているケースが実際に存在するのであれば、まず修正すべきはその「住民票コード」の利用方法ではないだろうか？米国の社会保障番号と同じ過ちは避けるべきだろう。また制度運用側に「住民票コード」を本人認証のためのパスワードとして利用してよいという認識があるのであれば、これについてのあらためる必要があるのではないだろうか？

（慌てて書いたので後で若干記述を修正するかと思います。5/23 10:00）
（テニオハや一部表現を修正いたしました。5/23 12:00）
（請求するときに必要な書類に関する記述を追記しました。5/26 11:30）

せっかく神戸にＣＭＵ日本校があって会場等使えるので、CMUJ提供のセミナーなどとは違ったオープンなセキュリティ勉強会を時々開催できればと思っています。

まずは場所やインフラを提供しますので、一緒に企画や運営からご協力いただければと思います。
近傍の方で我こそはと思われる方は、画面右上にあるアドレスまでぜひご連絡ください。

よろしくお願いします。

１３日（金）に安全なシステム開発に対するソフトウェア工学的なアプローチについて神戸のカーネギーメロン大学日本校でセミナーを開催します。
英語で通訳はありませんが、参加無料です。席にまだ余裕があるようですが週末を超えると一杯になりそうですので興味のある方は早めにお申込みください。

【イベント詳細】
カーネギーメロン大学日本校情報セキュリティセミナー「予測可能なセキュアシステム開発について」
http://cmuj.jp/070413seminar/index.html

■日時　2007年4月13日(金) 13:30～16:00
■場所　カーネギーメロン大学日本校（神戸市）
■参加費　無料
■講演（英語　同時通訳なし）
　Dr. Lynn Robert Carter　「予測可能なセキュアシステム開発の基礎」
　Ms. Lakshmi Pratha Hari　「予測可能設計手法を用いたセキュアシステム設計」

来週4/9（月）秋葉原で開催を予定しているリバースエンジニアリング・ワークショップ（通称リバースエンジニアリングまつり）にご参加いただく皆様にお知らせがあります。

今回のワークショップについては、年度初めの平日で有料にもかかわらず予想を上回る反響があり１３０人の座席があっという間に（１日半で）満席となってしまいました。なるべく多くの方にご参加いただけるよう会場一杯まで受付をしましたが、それでも多くの方がお申込みをいただくことができない状態となりました。
予想外の事態に、あまり環境の整った会場を準備しておらず、当日は混雑とご不便が予想されますがどうかお許しください。

・会場が一般のオフィスビル内にありトイレがあまり大きくありません。
　当日は水分を控え目に、できれば事前に準備を済ました上で来場されることをお勧めします。
・喫煙場所がフロア内にありませんのでご了承ください。
・エレベータと座席の混雑が予想されますので早めにお越しいただくと良いかもしれません。

ということで皆さんのご理解とご協力をお願いいたします。

【イベント】
カーネギーメロン大学セキュリティ・ワークショップ「情報セキュリティのためのリバースエンジニアリング」
http://www.cmuj.jp/070409workshop/index.html

以前予告していたリバースエンジニアリングに関するイベントの開催が決定しました。

ふるってご参加ください。お申込みは以下のURLまで。

(追記 3/16)募集開始から２日で満席となってしまいました。お申込みいただきました皆様ありがとうございました。また、今回ご参加いただくことができなかった皆様には大変申し訳ございません。
今後とも皆様のご期待に沿えるようなセミナー、ワークショップを企画していきたいと思いますので、どうぞよろしくお願いします。

【イベント】
カーネギーメロン大学セキュリティ・ワークショップ
「情報セキュリティのためのリバースエンジニアリング」
http://cmuj.jp/070409workshop/index.html

【開催概要】
■日時 2007年4月9日(月) 13:30～17:30（予定）
■場所 秋葉原TKPホール
■参加費 一般３，０００円、学生１，５００円
■内容

講演１ リバースエンジニアリングの現状と課題
　武田圭史（カーネギーメロン大学日本校　教授）

講演２ リバースエンジニアリングによる脆弱性監査
　鵜飼裕司氏（eEye Digital Security, Senior Software Engineer）

講演３　マルウェアのリバースエンジニアリング
　星澤裕二氏（株式会社セキュアブレイン プリンシパルセキュリティアナリスト）

講演４　ソフトウェア製品開発・提供者から見たリバースエンジニアリング
　小野寺匠氏（マイクロソフト株式会社　セキュリティレスポンス マネージャ）

講演５　リバースエンジニアリングと情報セキュリティの法的問題
　高橋郁夫氏（IT法律事務所　弁護士）

パネルディスカッション
　リバースエンジニアリングの技術的課題、法的な課題などについてオープンなディスカッションを行います。

リバースエンジニアリング技術について語り合うイベント（講演＋パネル）を４月上旬に企画中です。
４月９日（月）@東京とかだと入社式やら入学式やら年度初めで困るというような方はいらっしゃるでしょうか？

また、こんなことを聞いてみたい、やってみたいなどということもあればご提案ください。
あと、都心で会場を提供してくださる方も募集中です。

予定は未定ということで大幅な変更があってもご容赦ください。

セキュリティホールメモ小島さんからの再度コメントをいただいた。

「特定のウイルスを防ぐための特定の技術 (代替技術なし) の場合であっても話は同じだと思います。リアルウイルスと戦うための技術 (薬) の世界では何年も前から問題になってますよね。その特許を override でき得るような法体系になっていれば別ですが。」

私は前提として、本来どうあるべきか、どうあって欲しいかという視点で考えるようにしている。既存の特許法の枠組みで云々ではなくて、その法律がそのまま放置された場合にどういう不具合が起こりうるか、現行法が実情に適合しているかという点も含めて考える必要があると思う。

だからWinnyでの情報漏洩のときと同様に、「法律がこうなっているのだからしかたない」、「今までもあった問題だからしかたない」と看過するのではなくて、本当にそれが何かまずいのであれば法改正や特別な措置も含めアクションに結びつけるための問題提起を積極的にすべきだと思う。

あるいは社会のコンセンサスとして、情報セキュリティについても特許制度の枠組みを活用すべきということになるなら、各企業や研究者はそのための対応をとっていくことになるだろう。セキュリティに限らずソフトウェアに関する特許やオープンソースと特許に関してはこれまでもいろいろと問題が起こってきた。今後情報セキュリティに関しても大きな問題が起こらないとはかぎらない。

小島さんがリンクで示した「人命は特許に優先する：危機に晒される数百万人の命　－安価な医薬品へのアクセスを守るための署名のお願い－ (国境なき医師団, 2006.12.20)」のような事態が存在するのであれば誰かがそういった問題を提起する必要があるのと同様だ。

今回のケースではセキュリティベンダーだって企業なのだから、新技術開発のインセンティブが必要だ、それによって技術革新が進むのだという考え方はありうる。一方で既存の制度枠組みが公共のセキュリティの向上を阻害するような事態が生起しうるなら一定の「override」するルールも含めて考える価値はあると思う。

ちなみに、今回の件については個人的にネットエージェントの杉浦さんとも話をしており、それほど深刻な状況にはないと感じていることを付記しておく。