Hatena::ブログ(Diary)

児童小銃 RSSフィード

みえない自由が欲しくて
みえない銃を撃ちまくる
THE BLUE HEARTS 「TRAIN-TRAIN」

なんばりょうすけの仮住まいです

連絡先: rna◎cyber●email●ne●jp


プライバシーポリシー


2006-05-01

[] IEは窓から投げ捨てよう(とりあえず)

レジストリをいじると回避可能なようですが、現在 CSSXSS の方も結局なおってない(自分でも確認しました)ので当分は IE 使うのやめるってことで。

でも上のコメント欄によると firefox でも XSS ネタが見つかってるそうで。。。

  • こまめにログアウト(必要な作業がある場合のみログインする)

というのもご検討ください。

2006-04-19

[] 『論座』5月号に Winny について山口英氏の記事

ひろみちゅの記事目当てで買ったら、山口英氏の談話が載っていました。たった一ページで情報セキュリティ政策全般についての話がメインですが、内閣官房・情報セキュリティ補佐官としての立場から、官房長官の「Winny 使わないで」会見の意図も説明していました。

官房長官の「ウィニーが持つリスクを正しく認識できない人は使うべきではない」と国民にお願いしました。こうした呼びかけが、選択の自由を保障する考え方からすれば乱暴なのは承知していますが、あえて幅広く注意を喚起することで短期的な効果を狙ったものです。

情報流出について新たに罰則規定を設けることには慎重で、談話は

「情報管理原理主義」に偏り、政策・業務のクリエイティビティー(創造性)が犠牲になるとしたら、それは「行政改革」の本旨に反することになるのではないでしょうか。

との言葉で締めていました。

[] Winny はウィルスではない、のか?

なんかすっかり乗り遅れて今更な気はするけど。。。

Winny 経由で感染する暴露型ウィルス*1 Antinny による情報流出事件が多発していて、メディアでは「Winny は危険」みたいに言われている。これに対し「Winny 自体はウィルスではない(ので事件の本質ではない)」*2とか「あくまで使う人の問題であり包丁が危険だというのと同じレベル」みたいな反論をネットのあちこちで目にする。

これに対し高木浩光氏が『論座』5月号の記事「あまりにも情報流出のリスクが大きい」およびその補足エントリで、Winny の危険性を示して反論している。

これを見ていて思い出したのは SONYrootkit 問題。これは SONY BMG の CD がコピー防止のために rootkit と呼ばれる特殊なソフトを勝手にインストールすることが社会問題になったというもの。

Winny ネットワーク」が危険

rootkit 自体はウィルスではないが、ウィルスの部品として使える。具体的には単純なウィルスに、ウィルスの存在を隠す機能を追加するのに使える。したがって、多くの PC に rootkit がインストール済みになることは、

  • 比較的高度な技術を要する機能を持ったウィルスがより簡単に作れるようになる。
  • その機能はウィルスの増殖力を高める。
  • その機能はウィルスによる有害な活動を長引かせる。

という効果を生むため、SONY BMG のやり方は危険だとされた。

Winny もそれ自体はウィルスではないが、上に挙げたような効果をもたらす点で、rootkit とよく似たポジションに位置すると思う。つまり Winny のネットワークがウィルスの活動の重要な部分を肩代わりすることでウィルスによる被害をより深刻にするという側面がある。

Antinny はネットワーク上での増殖と有害な活動の実行を Winny に丸投げすることで自前ではごく単純な機能しか持たずに済んでいる。また、Winny ネットワークではウィルスに感染していない多くの PC がウィルスの拡散と情報流出の被害拡大を自動的に繰り返してくれるという点も重要。普通のウィルスがウィルスの拡散や有害な活動を感染した PC でしか行わないのと比べるとずっと効率的で持続的だ。

Winny というソフトウェアはウィルスではないが、一度ウィルスの混ざった Winny ネットワークは、それ自体がウィルスに感染した生物のような触れると危険な存在になってしまう、とは言えるのではないか。

おまけ: 包丁問題

包丁で人が殺されても包丁は悪くない、同様に Winny で情報流出が起こっても Winny 自体は(あるいは Winny ネットワーク自体は)悪くない、いわゆる「所詮は包丁問題」という説については「それも程度問題」と反論できるだろう。

銃について同様の論調が強いアメリカでも、さすがに機関銃の所持は規制されている*3

情報の拡散速度や情報流通の持続性において、例えば Web のアップローダーと Winny の間に拳銃と機関銃ほどの差があるのは間違いない。というかそのくらいの差はないと誰も Winny なんて使わない。WinMXgnutella に比べても効率的で匿名性が高いとされている(故に「お宝」が沢山集まることを期待できる)からこそ Winny は栄えたのだ。

規制となると言論の自由とのバランスの問題は出てくるが、Winny ネットワークみたいな制御不能な超伝導みたいな情報流通が自由な言論に不可欠なんだろうか? というか、Winny なんかなくても公共性の高い情報がきちんと表に流通するような制度と文化と民度が維持されなきゃ、Winny があってもエロ動画と違法コピーが流れるばかりで国家権力に対抗するパワーなんてそこには生まれないと思う。

もちろん Winny の危険性を口実に P2P 技術そのものが規制されたり、情報管理の名目で流出情報の単純所持までが規制されたりするとマズイけど。

*1:正確には「トロイの木馬

*2:これを言う人たちと「Windows こそがウィルスだ」みたいなジョークを言う人たちが重なってそうな気がするのは気のせい?

*3:テキサス州等一部の州を除く。

2006-04-12

[][] IE の CSSXSS は今月の月例パッチでなおったかもなおってないらしい

今月のパッチを当てた IE では document.styleSheets[0].imports[0].cssText が「アクセスが拒否されました」になって実証コードが動かなくなりました。

追記: 実はなおってないかも。

こちらでは確認していませんが星屑さんが新たな実証コードを作って確認した模様。。。

http://d.hatena.ne.jp/hoshikuzu/20060414#P20060414IECSSXSS

2006-03-13

[] 『ネットランナー』にはまちちゃんインタビュー

4月号 p164 に「こっそりやってもつまんない!「はまちや」氏はセキュリティ専門家 2.0?」と題して*1はまちちゃん(id:Hamachiya2)へのインタビューが載っています。

脆弱性を攻撃する動機は啓蒙活動というわけではなく「ただ面白いからやっているだけ」とする一方、こんなことも。

それにもし啓蒙活動だとしても、システム管理者にこっそり連絡して、こっそり直してもらうのは、あまり意味がないと思うんですよ。それって初心者ユーザーには肝腎の所は隠しておくってことだから。どうして隠す意味があるのか、よく分からないな。だって隠したままじゃ、初心者は何も知らないままで問題のあるソフトやサービスを使い続けることになるわけじゃない。あとになってからアナウンスするなんて、すべてを「対岸の火事」にしたがってるみたい。

とはいえ、手加減はしてるんだとも。

あ、これがもし「他人の銀行口座にこっそり侵入して、預金を引き出す」みたいな重大な脆弱性だったら、さすがに手法を公開なんかしないで、きちんと報告しますよ!

攻撃ではなくて「面白いかどうか」を追求した「いたずら」であり、それが迷惑だと感じるなら「なぜ迷惑だと思ったのか、理由もはっきり書いた上で伝えてほしいな」とのこと。

そういうことなので、理由をはっきり書いた上で伝えたいと思います。攻撃の内容が比較的無害なものだとしても、JavaScript を使った攻撃の場合クライアント側に攻撃コードが丸見えですから、少し技術のわかる人なら簡単に悪質なコードに改造できてしまうことがあるのです。

例えば mixi の「はまちちゃん」攻撃の場合、日記エントリを一個増やす事自体はたいして罪はないかもしれませんが*2、あの手口を応用してユーザのプライバシー情報を取得したり暴露したりするような攻撃が可能でした。

はまちちゃんはそこまで気付いていなかったのでしょうか? それとも当然気付いていたけど「でもそれは改造した人が悪くてぼくの責任じゃないもん!」と思ってスルーしていたのでしょうか? あるいは「Web にプライバシーなんてないよ!(過激派)」ってこと?

後になってからアナウンスするのは無意味じゃないか、というのは一理あると思う。とにかく対処が終わるまで伏せるべきという考え方もあるみたいだけど、僕はそうばかりも言ってられないという立場(そのあたりはid:rna:20050423:p1に書いた)。はてなの CSSXSS の件みたいに3ヶ月以上穴が空きっぱなしで何のアナウンスもないというのはどうかな!せめて自衛を促すアナウンスがあったらいいと思うのだけど…!

*1:脱力。これがネトランクォリティー。

*2:それでも夜中にあれを踏んで何が起こったのか理解できず凄く怖い思いをしたという人もいた。

2006-02-15

[][] 引き続き(ry

結局今月のMS月例パッチには CSSXSS への対応は入ってませんでした。はてな的にはInternet Explorer の脆弱性が近々対応できる見込みであるため、Internet Explorer の修正により、この問題に対応する方向ってことだったのだけど。。。

てことで、××君のプライベートモードになった日記を読みたければ(ry

2006-02-10

[][] 2月のパッチ

たぶん2月の月例パッチでIEにCSSXSSへの対応が入ります。リリースは15日。バレンタインデーまでが勝負です! (何の?)

ちなみに

メールには一応返信あったし、あとで問い合わせるまで連絡なかったから知らなかったけど、内部的には対応の努力はしていたようなので、スルーってわけでもないとは思うけど。。。

ちなみに12月にはてなに送った攻撃コードは「はまちちゃんゲーム」という名前で、ゲームを開始すると(キャンセルしても)プレーヤーの日記に「こんにちは!こんにちは!」と書き込むものでした。

2006-01-31

[][][] 引き続き CSSXSS をご利用下さい

無言で却下とあいなりました。ついに対処されたのかと思ったら相変わらずでした。

そんなわけで、

  • 他人の日記に書き込みたい方
  • 他人のプライベートモードの日記を読みたい方

は、引き続き CSSXSS を使った攻撃サイトを作成してターゲットとなるはてなユーザにリンクを踏ませて下さい。そんなことされると困るという方は、以下のどれかで対応しましょう。

  • 日記更新の時以外はログアウトする。ログイン中はリンクを踏まない。
  • IE の JavaScript をオフにする。
  • 当分の間 IE を使わない。

はまちちゃんがゼロデイやるとすぐ対応するのにね。結局本気で攻撃されるまで対処しないってこと?

[][] Re: ブラウザの脆弱性なのにWebアプリで対応しろと迫る人達

MS があてにならないから(少なくとも対応に時間がかかりそうだから)なんとかして欲しいわけですよ。実際先月のパッチでは修正されなかったし。それに、対応ってのは注意喚起とかの告知も含めてです。これも MS がやるべき? それで十分? そうとは思わないけど?

はてなの責任ではないかもしれない*1けど、少なくともはてなにできることで、はてなにしかできないことがある場合、はてなに動いて欲しいんですよ。はてなに幻想持ってるとか甘えてるとか言われるかもしれないけど。

というか実際動いてはいたらしいです(今知った)。「Web サイト側での対応が困難である事が判明」というのがどこまで妥当な判断かよくわかりませんが*2

*1:でも穴があいている事についてはてなに責任はないけど、穴があるのを知ってからの対応についてはいくばくかの責任があるのでは?

*2:投稿を2ステップにしてPOSTするまでrkmを出さない、っていうのじゃ(技術的に)ダメなの?