木走日記 このページをアンテナに追加 RSSフィード

2014-04-15 インターネット暗号通信プロトコルSSLの原理

[]インターネット暗号通信プロトコルSSLの原理 17:22




 前回当ブログでインターネット上の暗号化ソフトSSLに重篤な欠陥があると一般の読者に警鐘を鳴らしました。

ネットショップ利用者は早急にパスワードの変更を!〜暗号化ソフトSSLの欠陥・Heartbleed(心臓出血)は「壊滅的」

http://d.hatena.ne.jp/kibashiri/20140414

 重大な問題にも関わらず、予想通りといいますか読者の反応は今ひとつでありました。

 この問題、メディアの取り上げ方も地味でありますが、そもそも記者のみなさんが暗号通信とかSSLをどれほど理解して記事をおこしているのか、あまり理解されていない事は容易に想像できます。

 前回のエントリーに対してもある読者からそもそもSSLって何なのさ、知識もないし関心もない、という冷たい(苦笑)メールを頂きました。

 私は副業で工学系の大学や専門学校でネットワーク工学を外来講師として教えています。

 暗号通信やSSLの原理は専門知識のない人には理解するのはハードルが高いようです。

 そこで今回はSSLについて、専門知識を有しない読者を対象に暗号通信のいろはから理解いただけるように、説明を試みます。

 なお、難しい数学的理論や専門性の高い用語は省いて説明を試みますので、各暗号技術におけるハッシュ計算などの理論的説明は削ぎ落として説明いたします。

 ・・・

■暗号鍵が文字通りキーとなる暗号通信〜共通鍵暗号方式

 ご存知のとおりデジタル通信においてはすべての情報はデジタル信号で送られます。

 例えばアルファベットの大文字半角文字'A'は0と1のデジタル信号では8ビット’0110 0001’で扱われます。

 送信側が暗号を掛けずそのままのビット列(以下暗号を掛けないそのままの情報を平文、暗号を掛けた情報を暗号文と記す)を通信して正しい受信者に送ろうとしてしまえば、ネット上第三者はその情報をのぞき見れば、それが’0110 0001’というビット列であること、すなわち文字'A'であることを盗み見可能です。

 そこで通信の暗号化がなされます、その際キーとなるのは文字通り暗号鍵(あんごうかぎ)と呼ばれるビット列です。

 送信側と受信側であらかじめ秘密裏に共通の暗号鍵暗号アルゴリズムを共有します。

 暗号鍵といってもただのビット列ですが、説明を簡単にするために暗号鍵を’1111 1111’の8ビットを採用したとしましょう。

 採用される暗号アルゴリズムは、やはり説明を簡単にするために、排他的論理和という論理演算にいたしましょう。

 排他的論理和とは、演算対象の二つのビットが排他的すなわち0と1の組み合わせなら結果は1、排他的でないすなわち0と0か1と1ならば結果は0となる論理演算です。

 送信側は送りたい平文に暗号鍵と暗号アルゴリズムを使って暗号化し暗号文を作成します。

 文字'A'すなわち’0110 0001’に、暗号鍵すなわち’1111 1111’を使って、暗号化すなわち排他的論理和を演算すれば、暗号文すなわち’1001 1110’が作られます。

 送信側はこの暗号文をネット上正しい受信者に通信致します。

 ネット上で第三者がこの情報’1001 1110’をのぞき見ても、それが文字'A'であることを解読することは、使用された暗号鍵と暗号アルゴリズムを知らない限り不可能です。

 一方正しい受信者は暗号文’1001 1110’を受信したら自分の持っている暗号鍵’1111 1111’を使って、暗号文を解読して平文に戻します(復号といいます)。

 すなわち暗号文’1001 1110’に、暗号鍵すなわち’1111 1111’を使って、復号化すなわち排他的論理和を演算すれば、平文すなわち'A'である’0110 0001’がよみがえります。

 このように送信側と受信側で秘密裏に世界でただひと組の共通の暗号鍵を共有することで暗号通信を行うことが可能です。

 この方式を共通鍵暗号方式と呼びます。

■図1:共通鍵暗号方式

f:id:kibashiri:20140303145325j:image



■不特定多数と可能な暗号通信〜公開鍵暗号通信

 次に不特定多数と暗号通信を可能にする技術を説明しましょう。

 送信側を大切な個人情報を送信するネットショップのユーザー、受信者側をその個人情報を受信するネットショップ側と仮定すると理解しやすいでしょう。

 まず受信者側では暗号化する暗号鍵を広くネットで公開し誰もがダウンロード可能とします。

 ここでこの公開鍵は広く不特定多数のユーザーがダウンロード可能となります。

 ただしこの公開鍵は暗号を掛けることは可能ですが、暗号を解読して平文に戻す、すなわち復号することはできないように工夫されています。

 この暗号を解読できる鍵は、世界でたったひとつだけ受信側が秘密裏に持つのです。

 こうして不特定多数の送信者が受信側に暗号通信可能となります。

 第三者がのぞき見てもこの暗号文を解読することは不可能です。

 不特定多数からの暗号文は正しい受信者のみ、すなわち秘密鍵を持っているネットショップ側だけが復号可能となります。

 ただしこの方式では暗号通信は一方通行である点に注意が必要です。

 この方式を公開鍵暗号方式と呼びます。

■図2:公開鍵暗号方式

f:id:kibashiri:20140303150831j:image



■SSLは公開鍵暗号方式の技術を利用した共通鍵暗号方式の通信〜ハイブリッド暗号通信

 さて、共通鍵暗号方式と公開鍵暗号方式を理解して頂いたら前準備は完了、SSL(Secure Sockets Layer)の説明に入りましょう。

 実際のインターネットの暗号通信プロトコルであるSSLはハイブリッド暗号方式を採用しています。

 先ほど共通鍵暗号方式の説明で「送信側と受信側で秘密裏に世界でただひと組の共通の暗号鍵を共有することで暗号通信を行うことが可能」 と述べましたが、実は遠く離れた二つの送信側と受信側の端末で、「秘密裏に世界でただひと組の共通の暗号鍵を共有する」方法は容易ではありません。

 メールでやりとりしますか、危険この上ないですね、電話で人間が教えますか、何十万人相手のネットサイトでは非効率でやってられませんね。

 そこでSSLでは「秘密裏に世界でただひと組の共通の暗号鍵を共有する」方法として公開鍵暗号方式の技術を利用します。

 まず受信側が用意している公開鍵を用いて送信側が作成した世界でただ一つの共通鍵を暗号化します。

 鍵自身を暗号化してしまうのがポイントです。

 この「暗号化された共通鍵」を複合できるのは秘密鍵を持っている受信側だけであります。

 それ以外世界中の誰もこの「暗号化された共通鍵」を解読はできません。

 「暗号化された共通鍵」を受け取った受信側は秘密鍵を使って複合します、この瞬間「秘密裏に世界でただひと組の共通の暗号鍵を共有する」ことに成功したわけです。

 あとは安心して共通鍵暗号方式で双方向可能な暗号通信が行えることになります。

■図3:ハイブリッド暗号方式

f:id:kibashiri:20140415171720j:image

f:id:kibashiri:20140303145325j:image

 ・・・

 今回このSSLの暗号通信そのものに欠陥があったわけではありません。

 SSLを利用する「オープンSSL」というソフトウエアのライブラリのひとつに不具合があったということです。

 ただ「オープンSSL」がインターネットに参加しているサーバーのおおよそ三分の二に普及しているという事実と、この不具合が重篤で下手をすると暗号鍵そのものも漏洩してしまうという事実が、この問題を深刻にしているのです。

 このエントリーがこの問題に対し読者の参考になれば幸いです。



(木走まさみず)




(関連エントリー)

■2014-03-03 暗号通信とビットコイン取引の原理の初心者向け説明を試みる

http://d.hatena.ne.jp/kibashiri/20140303 

■2013-02-11 遠隔操作ウイルス事件で日本の警察が突きつけられた技術的超難問

http://d.hatena.ne.jp/kibashiri/20130211

■2012-01-05 不思議な不思議な数式、ディフィー・ヘルマン鍵共有

http://d.hatena.ne.jp/kibashiri/20120105

2014-04-14 暗号化ソフトSSLの欠陥・Heartbleed(心臓出血)は「壊滅的」

[]ネットショップ利用者は早急にパスワードの変更を!〜暗号化ソフトSSLの欠陥・Heartbleed(心臓出血)は「壊滅的」 17:07


 12日付け読売新聞記事から。

暗号化ソフトSSLに欠陥、悪用狙い攻撃相次ぐ

2014年04月12日 08時07分

 インターネットショッピングやネットバンキングなどで広く利用されているデータ暗号化ソフトの「オープンSSL」に欠陥が確認され、これを狙った攻撃が相次いでいることが分かった。

 警察庁が明らかにした。

 同ソフトは、クレジットカードの番号や住所、電話番号などを暗号化するもので、通信販売事業者や銀行などがネット上での決済などの際、利用者に提供している。関係者によると、同ソフトの欠陥は2年前から指摘されてきたが、同ソフトを提供するウェブサイトが7日に欠陥を公表し、修正した最新版を公開している。

 同庁によると、攻撃は9日以降、断続的に確認されていて、多いときには1時間に約350件に上ったという。欠陥のあるソフトを使っているサーバーを探し、悪用するためとみられる。同庁では「各企業などで欠陥のあるバージョンを使っているかどうかを確認し、見つかった場合はアップデートをしてほしい」と呼びかけている。

2014年04月12日 08時07分

http://www.yomiuri.co.jp/it/20140411-OYT1T50132.html?from=ytop_ylist

 うむ、インターネットで広く使われている暗号化ソフトの一部のバージョンにバグが見つかりました、事態はカードの暗証番号等暗号化されてきた個人情報など機密情報の大量同事漏洩の可能性がある深刻なものであり、このプログラムミスによる欠陥は「オープンSSL」を使用しているウエブサイトが世界的に広がっておりサーバー数で65万台以上(利用ユーザー数は億人単位ですが全く推測不能)という点を鑑みると、早急に対応策を立ててもおそらく被害の広がりは避けれないものとの悲観的予測が専門家からはでています。

 各ウェブサイトの運営者は慌てて修復に乗り出しましたが、インターネットセキュリティーの研究者がこのバグにつけたニックネームは「Heartbleed(ハートブリード、心臓出血)」というものです。

 「ハートブリード」とは何か、以下の14日付けWSJ日本語版記事が詳しいです。

「ハートブリード」とは何か―基本5項目

By DANNY YADRON

http://jp.wsj.com/article/SB10001424052702303433504579498863228091356.html

 記事によれば、このバグが公表された7日の時点でOpenSSLは全てのインターネットサーバーのおよそ3分の2で利用されており、専門家は、このバグが「壊滅的」であり、「10段階評価の11」だと指摘しています。

1.ハートブリードとは何か

 ハートブリードとは暗号化ソフトOpenSSLの一部のバージョンに見つかったセキュリティー上のバグ(欠陥)である。このバグが公表された7日の時点でOpenSSLは全てのインターネットサーバーのおよそ3分の2で利用されていた。

 サーバーから極秘データが流出することから、グーグルとインターネットセキュリティー会社Codenomiconの研究者はこのバグに「ハートブリード(心臓出血)」というニックネームをつけた。

 ハッカーはこのバグを利用すれば、保護されたデータをホストサーバーから収集することができる。セキュリティーに関する著作物のあるブルース・シュナイアー氏は自身のウェブサイトで、このバグが「壊滅的」であり、「10段階評価の11」だと指摘している。

 ヤフーやアマゾンなど主要な多くのウェブサイトやサービスに脆弱性が認められています。

2.影響を受けるのは誰か

 まだはっきりしない。バグが公表された時点では、ヤフーメール、アマゾンウェブサービス、OkCupidなど多くのウェブサイトやサービスに脆弱性が認められた。一部の研究者はヤフーからユーザーの名前とパスワードを収集することができたと発表し、バグの仕組みを示した。それ以降、企業はバグ修復のための措置を講じてきた。カナダの徴税当局は9日、予防措置として、インターネットによる納税申告サービスを一時的に閉鎖することを決めた。

 事態が深刻なのは、「オープンSSL」を使用しているウエブサイトが世界的に広がっておりサーバー数で65万台以上(利用ユーザー数は億人単位ですが全く推測不能)という被害の広範囲に渡る規模だけではありません。

 ネットワークの専門家が、このバグ「ハートブリード(心臓出血)」が「壊滅的」であり、「10段階評価の11」だと指摘しているのは起こる事態の広範囲さだけではなく、その事態の重篤(じゅうとく)な点です。

 8日付け@IT記事では、通信相手からメモリ上の情報、例えば暗号化通信に用いるSSLサーバー証明書の秘密鍵、ひいてはユーザー名やパスワード、あるいはメールや重要な文書など、暗号化しているはずのコンテンツがことごとく読み出されてしまう恐れを指摘しています。

OpenSSL 1.0.1/1.0.2系に脆弱性、秘密鍵漏えいの恐れも

(前略)

 この脆弱性は、OpenSSL 1.0.1から1.0.1fならびに1.0.2-betaから1.0.2-beta1に存在する。TLS/DTLS Heartbeat拡張の実装に問題があり、通信相手からメモリ上の情報、例えば暗号化通信に用いるSSLサーバー証明書の秘密鍵、ひいてはユーザー名やパスワード、あるいはメールや重要な文書など、暗号化しているはずのコンテンツが読み出されてしまう恐れがある。

(後略)

w.atmarkit.co.jp/ait/articles/1404/08/news134.html

 開発元のOpenSSL Projectは米国時間の2014年4月7日、問題を修正したOpenSSL 1.0.1gをリリースし、早期にアップグレードするよう推奨しています。

 サイト運営者やサーバー管理者は迅速にアップグレードする必要があるでしょう。

 読者が一般ユーザーであれば残念ながら自分で出来ることは少ないです。

 アマゾンや楽天などでネットショッピング等で個人情報を暗号化した経験のある人は利用しているサービスがハートブリードの影響を受けたかどうかを当該サイトでチェックしてください、その上で念のためパスワードの変更を検討してください。

 上記WSJ記事より。

5.自分でできることは何か

 利用しているサービスがハートブリードの影響を受けた場合は、その会社が暗号化ソフトを更新してからパスワードを変更したほうがいい。影響を受けているかどうかわからないときは、セキュリティー会社クオリスが設置したツールにサービスのアドレスを入力すれば確認できる。

 影響を受けていない場合でも、パスワードの変更を検討することをお勧めする。これを機に、数字と文字と記号を組み合わせた頑丈なパスワードを使っているどうかを確認しよう。可能であれば、2つの認証方法で本人確認を行う2要素認証を設定してもいい。

 ・・・

ネットワーク上で、コンピュータやネットワーク機器が自身が正常に稼動していることを外部に知らせるために送る信号を「ハートビート」(heart beat)と呼びます、英語で心臓の拍動のことです。

 ネットワークで接続されたコンピュータやネットワーク機器は、通信相手から長時間通信がないときに、用がないから黙っているのか、ダウンしてしまったのか確認する術がありません。

 このため、多くのプロトコルやアプリケーションでは、用がないときでも一定時間ごとに「生きている」ことを相手に伝えるための信号を送るように設計されています。

 このとき送られる信号やパケットがハートビートであります。

 発覚した深刻な不具合は、「オープンSSL」の「ハートビート」(heart beat)拡張機能で内包してしまっていたバグなので、「Heartbleed(ハートブリード、心臓出血)」と命名されたものです。

 呼称の由来はさておき、起こる被害の広範囲に渡る可能性とその被害の重篤さを一般読者のみなさんにアナウンスする必要があると考え、エントリーを起こしました。



(木走まさみず)

2014-03-03 暗号通信とビットコイン取引の原理の初心者向け説明を試みる

[]暗号通信とビットコイン取引の原理の初心者向け説明を試みる 17:02



 私は副業で工学系の大学や専門学校でネットワーク工学を外来講師として教えています。

 最近いろいろなところでビットコインについて質問を受けます。

 暗号通貨であるビットコインの原理は専門知識のない人には理解するのはハードルが高いようです。

 そこで今回はビットコインの取引について、専門知識を有しない読者を対象に暗号通信のいろはから理解いただけるように、説明を試みます。

 なお、難しい数学的理論や専門性の高い用語は省いて説明を試みますので、ビットコインの生成法や、各暗号技術におけるハッシュ計算などの理論的説明を削ぎ落として説明しますので、いくつかの説明部分は実態とは正確性に欠けている事をご了承ください。

 では、暗号通信とビットコイン取引の原理の初心者向け説明をいたします。



■暗号鍵が文字通りキーとなる暗号通信〜共通鍵暗号方式

 ご存知のとおりデジタル通信においてはすべての情報はデジタル信号で送られます。

 例えばアルファベットの大文字半角文字'A'は0と1のデジタル信号では8ビット’0110 0001’で扱われます。

 送信側が暗号を掛けずそのままのビット列(以下暗号を掛けないそのままの情報を平文、暗号を掛けた情報を暗号文と記す)を通信して正しい受信者に送ろうとしてしまえば、ネット上第三者はその情報をのぞき見れば、それが’0110 0001’というビット列であること、すなわち文字'A'であることを盗み見可能です。

 そこで通信の暗号化がなされます、その際キーとなるのは文字通り暗号鍵(あんごうかぎ)と呼ばれるビット列です。

 送信側と受信側であらかじめ秘密裏に共通の暗号鍵暗号アルゴリズムを共有します。

 暗号鍵といってもただのビット列ですが、説明を簡単にするために暗号鍵を’1111 1111’の8ビットを採用したとしましょう。

 採用される暗号アルゴリズムは、やはり説明を簡単にするために、排他的論理和という論理演算にいたしましょう。

 排他的論理和とは、演算対象の二つのビットが排他的すなわち0と1の組み合わせなら結果は1、排他的でないすなわち0と0か1と1ならば結果は0となる論理演算です。

 送信側は送りたい平文に暗号鍵と暗号アルゴリズムを使って暗号化し暗号文を作成します。

 文字'A'すなわち’0110 0001’に、暗号鍵すなわち’1111 1111’を使って、暗号化すなわち排他的論理和を演算すれば、暗号文すなわち’1001 1110’が作られます。

 送信側はこの暗号文をネット上正しい受信者に通信致します。

 ネット上で第三者がこの情報’1001 1110’をのぞき見ても、それが文字'A'であることを解読することは、使用された暗号鍵と暗号アルゴリズムを知らない限り不可能です。

 一方正しい受信者は暗号文’1001 1110’を受信したら自分の持っている暗号鍵’1111 1111’を使って、暗号文を解読して平文に戻します(復号といいます)。

 すなわち暗号文’1001 1110’に、暗号鍵すなわち’1111 1111’を使って、復号化すなわち排他的論理和を演算すれば、平文すなわち'A'である’0110 0001’がよみがえります。

 このように送信側と受信側で秘密裏に世界でただひと組の共通の暗号鍵を共有することで暗号通信を行うことが可能です。

 この方式を共通鍵暗号方式と呼びます。

■図1:共通鍵暗号方式

f:id:kibashiri:20140303145325j:image



■不特定多数と可能な暗号通信〜公開鍵暗号通信

 次に不特定多数と暗号通信を可能にする技術を説明しましょう。

 送信側を大切な個人情報を送信するネットショップのユーザー、受信者側をその個人情報を受信するネットショップ側と仮定すると理解しやすいでしょう。

 まず受信者側では暗号化する暗号鍵を広くネットで公開し誰もがダウンロード可能とします。

 ここでこの公開鍵は広く不特定多数のユーザーがダウンロード可能となります。

 ただしこの公開鍵は暗号を掛けることは可能ですが、暗号を解読して平文に戻す、すなわち復号することはできないように工夫されています。

 この暗号を解読できる鍵は、世界でたったひとつだけ受信側が秘密裏に持つのです。

 こうして不特定多数の送信者が受信側に暗号通信可能となります。

 第三者がのぞき見てもこの暗号文を解読することは不可能です。

 不特定多数からの暗号文は正しい受信者のみ、すなわち秘密鍵を持っているネットショップ側だけが復号可能となります。

 ただしこの方式では暗号通信は一方通行である点に注意が必要です。

 この方式を公開鍵暗号方式と呼びます。

■図2:公開鍵暗号方式

f:id:kibashiri:20140303150831j:image



■暗号技術を利用したユーザー認証技術〜電子署名

 私たちの日常生活において大切な契約をするときには、契約書に本人が自著で署名・捺印をして、確かに本人が契約したことを証明いたします。

 ネットワークにおいても通信相手が正しい本人であることを証明することはとても重要です。

 暗号通信においてもセキュリティ上次の3要素は完全に守られなければなりません。

 機密性:悪意のある第三者がのぞき見ても理解不能であること。

 完全性:悪意のある第三者が改ざんしていないこと。

 ユーザー認証:悪意のある第三者がなりすましていないこと。

 そこで公開鍵暗号方式の技術を応用して「電子署名」というユーザー認証技術が生まれました。

 電子署名においては送信側(署名する本人)が暗号を解読する鍵(認証鍵)を公開し、不特定多数が彼の署名文(暗号文)を認証(復号)可能とします。

 ただし暗号を掛ける鍵(署名鍵)は世界でただひとつ送信側・本人が秘密鍵として保持します。

 これによって彼が署名した文(暗号を掛けた文)は不特定多数の受信者が認証(復号)することになります。

 受信者側は正しく認証できたこと、この文を暗号化できるのは送信側・本人だけである事実から、悪意のある第三者によるなりすましはないこと、途中で1ビットでも第三者が改ざんしていたらただしく認証(復号)できないことから改ざんもないこと、そしてもちろん機密性つまり途中で第三者に見られても理解不能であること、暗号通信におけるセキュリティ上の3要素が完全に守られていることが証明されるのです。

■図3:電子署名

f:id:kibashiri:20140303150851p:image



■暗号通貨ビットコインの取引

 暗合通貨であるビットコインの取引には「電子署名」の技術が応用されています。

 技術的にビットコインがなぜ偽造不可能なのか説明致します。

 例えばあなたが同じメールを10人の友人に送信したとします。

 当然ながらあなたの送信済みフォルダに1通、友人たちに合計10通、同一のメールが存在することになります。

 つまり通信の世界では情報を通信するということは複製をコピーすることに他なりません。

 メールをビットコインに置き換えれば、上記の例では1枚のビットコインが11枚に増えてしまいます。

 これを防ぐためにビットコイン取引では電子署名の技術を応用して、ビットコインの1対1の取引の本人認証などのセキュリティを維持しつつ、誰から誰へ売られたのか記録しているのです。

 ビットコインには中央銀行のような中央機関は存在せず、通貨の発行や取引はすべてピアツーピア・ネットワーク上、つまり1対1を原則として行われているのです。

 ビットコインのすべての取引履歴はブロックチェーンと呼ばれる台帳に記録されます。

 ブロックチェーンには過去のすべての取引が記録されているため、これを見れば、取引の整合性を誰でも検証することができるのです。

 ・・・

 さてMt.Goxはサイバー攻撃により顧客のコインをすべて失ったとあります。


 これは電子署名が成功しビットコインの所有者が変更したにも関わらず、失敗と通知して再送信を繰り返すという手口が用いられたようです。

 上記の電子署名の送信側がMt.Gox、受信側が犯行グループと考えれば理解しやすいでしょう。

 認証行為が成功したにも関わらず、失敗通知を繰り返しどんどんビットコインを引き出していったものと思われます。

 しかしこの犯罪行為も正確にブロックチェーンに履歴がすべて残っているはずです。

 ブロックチェーンを解析することで今回の犯行の真犯人に迫ることができるかもしれません。

 今回のエントリーがこの問題における読者の参考になれば幸いです。



(木走まさみず)

2013-02-11 遠隔操作ウイルス事件で日本の警察が突きつけられた技術的超難問

[]遠隔操作ウイルス事件で日本の警察が突きつけられた技術的超難問 17:47



 11日付け産経新聞電子版記事から。

派遣先会社で遠隔操作か 勤務時間中?匿名化ソフト使用の形跡

2013.2.11 15:27 [ネット犯罪]

 遠隔操作ウイルス事件で、威力業務妨害容疑で逮捕されたIT関連会社社員、片山祐輔容疑者(30)=東京都江東区=が勤務先から派遣されていた会社のパソコン(PC)に、匿名化ソフト「Tor(トーア)」が使用された形跡があったことが11日、捜査関係者への取材で分かった。

(後略)

http://sankei.jp.msn.com/affairs/news/130211/crm13021113510007-n1.htm

 うーん、遠隔操作ウイルス事件で容疑者が勤務時間中に匿名化ソフト使用の形跡があったとの報道であります。

 私はIT零細業を経営するかたわら副業として工学系大学などでネットワーク工学などを教えています関係で今回容疑者が使用したとされる匿名化ソフト「Tor(トーア)」についても既知でありますので、今回は一般の読者に私の専門の立場からの本件に関する現段階での私見を述べてみたいと思います。

 まず現段階で写真付き実名で報道しているのは4名もの冤罪を出してしまった本件に対して警察側の並々ならぬ威信というか意地のような決意のようなものを感じますが、今回の逮捕には防犯ビデオが決め手となっており、ネットワーク上で警察が犯人の痕跡にたどり着き技術的に特定できたわけではまったくない点は重要だと思われます。

 この容疑者が、幼いといっていいでしょう己の自己顕示欲により猫の首へのSDカード装着などリアルな痕跡を残したからこそ逮捕につながったわけですが、容疑者がもう少し慎重で大人の判断を有していればこのような幼稚な現実世界での痕跡は残していないでしょう、そうであったならば警察はおそらく犯人の特定には至っていないに違いありません。

 今回の事件は技術的には2つの要素に分けることが出来ます。

 第一に遠隔操作ウイルスを用い、すなわち第三者のパソコンにウイルスを仕込み、遠隔操作で成り済まして掲示板等に脅迫文を書き込ませた点です。

 このような遠隔操作ウイルスはBot(ボット)と呼ばれますが、実はその製作には技術的にはそれほどのハードルはありません。

 この容疑者は自作したと自慢していたようですが、もちろん優秀な技術者だったかも知れませんが、これをもって稀代な才能とは必ずしもいえません、詳細は述べませんが一部のネットワーク技術者ならボットを実現することは技術者の間でよく知られている技術で十分作ることができます(もちろん良識ある技術者はそのような不正プログラムを決して製作はしません)。

 第二に、こちらのほうが警察にとって技術的に大きな壁になったのですが、容疑者が遠隔操作ウイルスを第三者のパソコンに仕込む際に、匿名化ソフト「Tor(トーア)」が使われて容疑者の痕跡が一切消えていたことです。

 「Tor(トーア)」とは、インターネットにおける接続経路の匿名化を実現するための規格、及びソフトウェアの名称であり、そもそも米海軍調査研究所(United States Naval Research Laboratory)が開発元です。

 Torは米国海軍が開発したソフトですが、そもそもの目的は世界中に散らばっている米国のスパイたちとの連絡手段として、送信元となる『足』が付かないようにするために作られたと言われています。

 メール送信やウェブサイトへのアクセスでは通常、「ネット上の住所」と呼ばれるIPアドレスが残り、利用者を特定できるわけですが、Torでは、海外をまたいで複数のサーバーを経由させることで発信元を秘匿でき、利用者の匿名化が図れるのです。

 Torは"The Onion Router"の略称であり、オニオン・ルーティング、まさにたまねぎの皮を重ねる様にインターネット上の接続経路を隠していく、一種の暗号技術です。

 Torでは暗号鍵生成のためにはDiffie-Hellman鍵交換方式が用いられています、また通信の暗号化としてはAESという方法が使用されています。

 Diffie-Hellman鍵交換方式は以前当ブログでも解説したことがあります、興味のある読者は是非ご一読ください。

2012-01-05 不思議な不思議な数式、ディフィー・ヘルマン鍵共有

http://d.hatena.ne.jp/kibashiri/20120105

 Torは、アメリカでは国家機密情報の漏洩で話題になった『ウィキリークス』への投稿にも使われています、FBI(米連邦捜査局)ですら、まったく手を焼いている技術なのです。

 今回の事件は、このアメリカ海軍が開発した匿名ソフトTorを利用して、悪意ある遠隔操作ウイルスの第三者パソコンへの仕込みを痕跡無く達成したものです。

 日本の警察は現時点で技術的に痕跡の逆探知に成功していなかったことは間違いありません。

 匿名ソフトの悪用によるウィルス配布、今回の遠隔操作ウイルス事件で日本の警察が突きつけられたのは技術的超難問であると言わざるを得ません。



(木走まさみず)

sakimisakimi 2013/02/12 01:55 実家でテレビ流してて気になったのが、torを平然と名前出して流してた事ですね
Winnyやら何やらでも、報道後に使用者が増えて使い方がわかっていない連中が捕まっていたりするのだし
太古の時代の、ファミコンカセット読み込みや、コピーディスクのセクタ書き換えとはのような
専門秘術がソフトさえ使えば誰でも一見使えると思わせる報道って問題だと思う、それがウィルスだと気が付かない連中もいるだろうし
EPROMなんて知らない連中だろうし

む 2013/02/12 20:56 容疑者が真犯人であるかのような書き方ですので、訂正した方が良いかと。
防犯ビデオを含めて容疑者が真犯人であるとはっきりするような証拠はまだ何も発表されていません。

2012-06-25 ネットビジネスの実態に全く追いつけていない日本の法律

[]会員制AVサイトの商流事例など〜ネットビジネスの実態に全く追いつけていない日本の法律 15:32



 25日付け日経新聞紙面記事。

ネット配信、消費増税なら外国勢有利 各社、募る不公平感 「国外取引」も課税求める

http://www.nikkei.com/search/?searchKeyword=%E3%83%8D%E3%83%83%E3%83%88%E9%85%8D%E4%BF%A1%E3%80%80%E4%B8%8D%E5%85%AC%E5%B9%B3

 ネット上、有料記事扱いなので引用は避けますが、興味深い記事であります。

 ネット配信事業者が此度の消費税増税で商売にならんと悲鳴を上げているというのです。

 記事によれば、電子書籍の国内配信事業に力を入れる紀伊国屋書店の高井昌史社長が「あまりに不公平なので公正取引委員会にまで苦情を申し入れた」のだそうです。

 電子書籍などを海外事業者からダウンロードすれば消費税はかからないが、同じ本を国内事業者からダウンロードすると課税され、数年後には税率10%となる雲行きだからです。

 ネット商品はサイトなどで価格比較が簡単にできます。

 記事によれば、税理士法人プライスウォーターハウスクーパースでは、国内勢が価格競争するには「消費税分を吸収しなければならず、利益が減ってしまう傾向がある」(宮川和也代表社員)とあり、別の国内大手出版社の幹部も「米アマゾン・ドット・コムなどが海外から配信してくれば勝負にならない」と強調しています。

 つまりこういうことです。

 ネット配信サービスのサーバーが海外にあれば有料コンテンツをダウンロードしても消費税無し、国内にあれば有料コンテンツをダウンロードすれば消費税課税となるのです。

図1:電子出版の商流と課税・非課税

f:id:kibashiri:20120625142913j:image:w640

 これは一言で言えば、日本の消費税関連法規がネットビジネスの現状にまったく追いついてないことから生じている「不平等」です。

 しかし長年IT業界に関わってきた私から言わせれば、何をいまさら感が漂ってしまっている日経記事なのであります。

 私の知っている、読者の皆様に公表できるぎりぎりの範囲である事実をお話しましょう。

 一部のネットビジネスでは上記のからくりを何年も前から利用(?)しています。

 代表的なのが会員制AV(アダルトビデオ)サイトです。

 私が知っているあるサイトでは、サイトの運用はすべて日本で行っていますが、サーバーはロサンゼルスに置いてあります。

 会員は月数十ドルの会費をクレジットカードでドル建てで決済します。

 コンテンツは台湾などの海外ブローカーから購入しています。

 つまりこういうことです。

 サーバーをロサンゼルスに置く目的はただひとつ、日本の法律から逃れるためです。

 ネット上では日本の法律に触れる無修正ビデオを扱いますので、サーバーを海外に置く必要があるわけです。

 結果的に、会費をドル建てで会員から集めるため為替リスクは発生しますが5%の消費税は発生しません。

 なおコンテンツを台湾など海外ブローカーから購入しているのは、日本の合法的なAV(アダルトビデオ)の非合法版(無修正版)がいくつかのヤミのルートによって大量に海外ブローカーの手に渡っているからです。

 図にするとこんな感じです。

図2:会員制AVサイトの商流

f:id:kibashiri:20120625151658j:image:w640

 なぜ私がここまで詳しいのか、それは実際のAVサイト運用者から直接、話を聞いているからです。

 したがって本件の情報精度には自信があります(海外ブローカーとのコンテンツの受け渡し手段まで詳細に話してもらいましたが、ここでは話せません)

 法律がネットに全くついていっていないのです。

 そして合法・非合法含めてネットではいろいろなビジネスが(旧態依然とした法律をあざ笑うかのように)法律の目をかいくぐるように展開しているのです。



(木走まさみず)

 2012/06/25 15:41 全くネットについていってないことは分かりましたが、そこから何か意見を添えて欲しかったです。(この法律を改正すればいい、など)
AVサイトについてもこうすれば取り締まれる等の意見があれば知見が得られたかも知れません。

kibashirikibashiri 2012/06/25 17:42 ?様

>全くネットについていってないことは分かりましたが、そこから何か意見を添えて欲しかったです。(この法律を改正すればいい、など)

 これは舌足らずなエントリーになってしまったようです、ご指摘ありがとうございます。

>AVサイトについてもこうすれば取り締まれる等の意見があれば知見が得られたかも知れません。

 その点を含めて近々このエントリーに絡めて再度まとめてみたいと思いました。

ぼんぼん 2012/06/25 18:15 海外のサーバーを日本から直接管理すると、確かアウトだった気がします。
まぁ、対応方法は幾らでもあるとは思いますが
上に政策あれば、下に対策有りって事で
結局イタチごっこなんでしょうね

似非トレーダー似非トレーダー 2012/06/26 08:09 あぁ、その問題ね、株やFX取引でも同じ問題が発生しちゃってます。いろいろドス黒い話もあるので識者を探し出して現状をうかがってきてください :-)