僕らのセキュリティ5日間戦争 – ＠IT

谷崎 朋子さんによる記事です。^※1

8月13日～17日、情報セキュリティを学ぶ4泊5日の「セキュリティ・キャンプ中央大会2013」が千葉の幕張で開催された。今年で10回目を迎える同キャンプは、22歳以下の学生を対象に情報技術の習得を目指す合宿形式の講習会だ。

いいなぁ、私が子供のころにこんなのがあったら応募していたと思います。今の人はこういう受け入れ先があって、本当に恵まれていますね。熱い仲間同士の友情とかできちゃったんじゃないでしょうか。

私の周りには技術の話ができる友人がまったくいないので、そういう友人がいる人がうらやましいです。

• ^※1

  題名でなんとなく「僕らの七日間戦争」を思い出しました。年代によって思い出すものは違ったりするのでしょうか？

OpenID 2.0の一部実装に脆弱性、その詳細と対策とは – ＠IT

Nov（OpenID Foundation Japan）さんによる、一部実装の脆弱性についての解説記事です。

この脆弱性は、RPからdirect requestで署名検証（11.4.2.1）を依頼された際、本来ならば「For verifying signatures an OP MUST only use private associations and MUST NOT use associations that have shared keys.」とすべきところを、保存してあるassociationのsharedとprivateの区別をせずに、shared associationをprivate associationとして署名検証を行ってしまい、署名検証成功を返してしまうところに起因します。

つまり、この脆弱性は実装側の問題であって、仕様の問題ではないということです。間違った実装でもそのまま動いてしまうものは結構あって、結構後になってから問題が発覚することはよくありますが、これもその例なのでしょう。

これからOpenID 2.0を実装しようとする人、または既に実装済みの人も念のために確認しておくとよさそうです。

Facebookの脆弱性を発見した専門家、報奨金もらえずも寄付金1万ドル集まる – マイナビニュース

先日取り上げたFacebookの脆弱性の発表についての記事の続報です。

Maiffret氏は、寄付金を募集するにあたって「独立した研究者の重要性に気付いてもらうため、このような活動を行おうと思った。世界中のセキュリティ研究者がより頑張ることができる環境を作るためにも、寄付をすることで彼らにメッセージを送りましょう」とコメントしている。

この主張、おかしいと思いませんか？ 彼（Khalil Shreateh氏）はルール違反をしたためにFacebookから報奨金を得ることができなかったのです。決してFacebookは独立系研究者をないがしろにしているわけではありません。それに、世界中のセキュリティ研究者の頑張りがこの件で否定されたわけではありません。

結局のところ、本来関係のない主張をしていることから今回の騒ぎに便乗しただけだと思います。どんな騒ぎでも注目を集めればお金になる世の中なのかもしれません。

チェックしておきたい脆弱性情報＜2013.08.20＞ – ITpro

Hitachi Incident Response Teamの寺田 真敏さんの連載記事です。一定期間内の脆弱性情報をまとめて解説してくれる記事は本当に便利で頼りになります。

Facebookのバグ発見者、ザッカーバーグCEOのタイムラインを使って報告 – ITmedia ニュース

鈴木 聖子さんによる記事です。

Facebookのタイムラインに他人がコメントを投稿できてしまう問題を見つけた研究者が、同社のマーク・ザッカーバーグ最高経営責任者（CEO）のタイムラインにリンクを投稿して対応を促した。これを受けてFacebookは問題を修正したものの、「他人のアカウントを許可なく利用した」としてこの研究者を批判している。

これは当然の対応だと思います。脆弱性を見つけて実力行使をしてしまっては、それを正当化することはできません。あくまでも自己に許された範囲内でテストを実施することが許されるのみで、それを超えてしまえばその行為は罰せられて当然です。^※1 このように適切にサービスベンダーが対応しない場合には、各国にあるセキュリティ仲介組織^※2に届け出るとよいでしょう。

いずれにしてもFacebookのセキュリティチームは、もう少しきちんとした対応をすることが期待されますね。

• ^※1

  ここではそれが私的か公的かは問いません。
• ^※2

  日本ならば独立行政法人 情報処理推進機構の情報セキュリティあたりでしょうか？

OCN認証ID・パスワードの不正利用防止に向けたセキュリティ上の脆弱性があるブロードバンドルータの利用調査および対策の実施について – NTTコミュニケーションズ

NTTコミュニケーションズ（NTT Com）のプレスリリースです。

NTT ComのOCNにおいては、2013年6月26日に発表したとおり、ご契約者以外の第三者が、インターネット接続時に必要なOCN認証ID・パスワードを不正に利用してアクセスし、認証パスワードを変更する事象が発生しました。この原因について調査した結果、ロジテック株式会社より過去に販売された無線LANブロードバンドルータの特定機器におけるセキュリティ上の脆弱性により、機器に設定されたOCNの認証ID・パスワードを外部から取得された可能性が高いことが判明しました。

NTT Comは、これまでOCNをご利用のお客さまに対して認証パスワードの定期的な変更とブロードバンドルータのファームウェア更新をお願いしてきましたが、このような状況を踏まえ、不正利用防止を徹底するため、OCNをご利用のお客さまを対象にセキュリティ上の脆弱性が判明している該当のブロードバンドルータのご利用に関する調査を実施するとともに、当該機器の利用が確認されたお客さまには不正利用防止に向けた対応を個別にお願いすることとしました。

そういえばそんな脆弱性が…、あった気がします。なるほど、すごく納得しました。しかし、ISP事業者が顧客が脆弱性のあるルーターを使っているかどうかまで、個別に調査する必要に迫られてしまうとは。ISP事業者も大変ですね。^※1

ところで、このプレスリリースでは同社の表記方針では「ルーター」とすべきところを「ルータ」としていますね。広報でチェックが入らなかったのでしょうか…？^※2

• ^※1

  約款ではルーター機器は顧客管理ということになっていると思われるので、本来であれば対応する必要がないハズですが、自社システム側のパスワードが漏れてしまうので、やむを得ず対応といったところでしょうか。
• ^※2

  同社のサービスプランや方針などの資料を見ると（印刷物、オンライン資料ともに）最近のものは「ルーター」表記に統一されています。例えば「ルーターレスプラン Arcstar IP-VPN VPNポータル NTT Com 法人のお客さま」ページ内の表記や同社が力を入れている「グローバルクラウドビジョン」関連の資料のように。

NSA関連情報の入ったコンピュータを英政府捜査官が破壊–The Guardianが暴露 – CNET Japan

Steven Musilさんの記事の日本語訳版です。

The Guardianの編集者であるAlan Rusbridger氏は、米国家安全保障局（NSA）の内部告発者であるEdward Snowden氏から提供された情報が含まれていたコンピュータを英国政府捜査官によって破壊された経緯をブログ記事で詳細に語った。

よくあるスパイ映画に出てくるエピソードに似た状況がイギリスでは発生していたようです。

こうも強硬に対応すると、結果的にこういった機関に対して不信感が募り、よくない方向に行くと思うのです。漏えいして、第三者に渡った情報についてはそれをあきらめるという決断をすることも時には必要なのではないかと、これを読んでいて思いました。

特に相手が報道関係の場合には、漏れた情報は回収できないと思うべきかかなぁ、と。

続きを読む →