スポンサーサイト

■ スポンサー広告 Posted by ひぐま (Higmmer) on -------- at --:--:--
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

脆弱性情報の公表に関する疑問

■ 自作ソフト Posted by ひぐま (Higmmer) on 2008-01-27 at 01:37:27

◆共有テーマ: Firefox [コンピュータ]

できれば忘れたかったけれど、いつかは触れなければならなかった問題。

これらのエントリを拝読して真っ先に脳裏によぎったのは、自分が1年前に起こしたSage++の脆弱性を巡る騒動のことでした。

この時、自分は以下の2つの点において誤った対応をしてしまいました。

  1. 開発者の個人情報を守るために脆弱性を放置した
  2. 一般公表日前に「脆弱性の存在」を公表した

この件に関しては既にエントリを書いているのでここでは取り上げません。

――とはいえ、あれから1年という時間が経過していることを踏まえ、少しだけ当時のことについて思うところを記しておこうと思う。


まず1.について。勿論、自分の個人情報と引き換えにユーザーを犠牲にするような対応を取ったのは開発者として許されるものではなかったことは十分認識し反省している。しかし、脆弱性情報を入手するのに個人情報(特に住所・電話番号)の登録が必要だというシステムには若干疑問を覚えたのも事実だ。しかもその後のやり取りの中で実は本家Sageプロジェクトの開発者は製品開発者リストへの登録なしに(氏名とメールアドレス、公開鍵の提出のみで)脆弱性情報が提供されていたことが判明した。同じ機関から同じ情報を得るのに国内と海外とで対応が違うというのは理不尽だと思う。


これに関してはJPCERT/CCに質問状を提出し回答も得ているのだが、公開は望まないとのことなのでここで詳細を記すことは控える。ただ、先方としては個人情報無しでの(限定的な)情報提供というオプションも一応用意はしていたらしい。最初の連絡時には「個人情報の登録は必須」とのことだったため情報入手を断念したのだが、そんなことならもっとしつこく食い下がって交渉しておけば良かったと後悔した。


もっとも、現在では「簡易登録枠」という制度が新設され(→参考)、氏名とメールアドレスのみで脆弱性情報の提供を受けることが可能となっている。従って今後は同じ問題が起こることはないと思う。


一方2.についてだが、確かに一般公表日前に「脆弱性の存在(厳密には、その可能性)」を公表したのは誉められた対応ではなかったと思う。特にこの件の場合はSage++のみならず本家Sageも影響を受ける可能性があったわけで、それら多くのユーザーのことを思えばもっと慎重に対応すべきだった。ただ、率直に言って「脆弱性の存在」そのものを公表してはならないという感覚は自分にはなかったのも事実だ。あるソフトに未修正の脆弱性があるというという情報が出されることは決して珍しくないし、特にFirefoxのようなOSSについてはそれが顕著だ(つい先日も非jarアドオンを巡る脆弱性が発覚したばかり)。


そもそもSage++というソフト自体、Sage 1.3.6の脆弱性情報が公表されていたおかげで開発することができたという経緯もあり、そのような情報公開(共有)は有益なものだと考えていた。特に、何らかの事情でサポートや開発作業の継続が困難なことが明らかな場合には寧ろ積極的に情報を公開する方が望ましいのではないだろうか?自分がユーザーの立場なら、脆弱性そのものの修正が無理でもリスクを下げる次善策を案内したり、使用の中止を呼びかけてもらった方がありがたいと思うだろう。――ただ、全ての人がそう思うわけではないという点について配慮が足りなかったことについては改めてお詫びしたい。

ところで、この件には実は続きがあります。それは、上記とは逆に自分が発見者として脆弱性を通報する立場となった時の話です。

一連のSage++の開発過程における独自の調査や読者の方に教えて頂いたテストフィード等による検証作業を進める中で、Sageには未修正の脆弱性が複数存在することを把握するに至りました。それらは本家開発者に対して都度連絡していましたが、1年前のSage 1.3.10のリリース以降、開発者からのレスポンスが完全に途絶えてしまいました。そこで自分は昨年4月3日にIPAに対してSageの脆弱性情報の届出を行い、同5日に受理されました。

それから45日以上が経過した5月21日にIPAに対して進捗状況を問い合わせたら開発者との調整機関であるJPCERT/CCに確認するとのこと。しかし待てど暮らせど音沙汰がありません。そこで再問い合わせをしたところ6月11日になってやっと回答が来ました。そしてその時初めて、先方としても開発者との連絡がつかず修正や公表の目処が全く立たない状態に陥っていることが判明したのです。

当時自分は公開自粛中だったSage++の再公開準備を進めており、そのためにはIPAやJPCERT/CCとの連携が不可欠だと考えていました。独自の判断で情報を公開することでユーザーの混乱を再度招くことは避けたいと考えたからです。そこでSage++の公開可否について事前にIPAに打診していました。IPAの回答は「Sage++の公開は構わない。但し脆弱性関連情報は公表しないように」とのことでした。勿論、自分としても脆弱性の詳細を明らかにするつもりはありませんでしたが、以下の2点について公表することは必須と考えていました。

  • Sageには未修正の脆弱性が存在すること
  • 開発者との連絡がつかず、修正版が提供される目処が立っていないこと

それとともに、できればユーザー側で取ることができる対策方法も示したいと考え、それを踏まえた公表文案を作成して提示しました。ところがIPAからの回答は思いもよらぬものでした。それは対策方法どころか「脆弱性の存在」そのものの公表を控えて欲しい、そしてできれば、Sage++がその修正版であることも伏せておいて欲しいというものでした。

結局、Sage++の再公開時には「HTML出力時のセキュリティ対策を強化」とだけ記しました。

確かに「JPCERT/CC 脆弱性関連情報取り扱いガイドライン」では一般公表日前の脆弱性関連情報だけでなく対策情報についても公開しないよう求めています。なるほど対策情報を見れば脆弱性の推測が可能となり、攻撃者にヒントを与えることになるのは理解できます。しかし「脆弱性の存在を公表してはならない、修正版を作成しても修正内容を公表してはならない」という理屈は個人的には理解し難いものがあります。

経済産業省告示によると、「脆弱性関連情報」という用語は以下のように定義されています。

II. 用語の定義
2.脆弱性関連情報
 脆弱性に関する情報であって、以下に掲げる類型のいずれかに該当するもの。
 (1)脆弱性情報
   脆弱性の性質及び特徴を示す情報。
 (2)検証方法
   脆弱性が存在することを調べる方法。
 (3)攻撃方法
   脆弱性を悪用するプログラム、コマンド又はデータ及びそれらの使用方法。

経済産業省告示第二百三十五号 ソフトウエア等脆弱性関連情報取扱基準

これを文字通りに解釈すれば、単に「脆弱性が存在する」というだけでは「脆弱性関連情報」には当たらないように読み取れると思うのですがどうでしょう?ただ、この定義に従えばやはり対策情報の公開はできないことになります。前述のように対策情報は脆弱性の性質や特徴などの情報と表裏一体だからです。となると対策方法も不明な「脆弱性の存在」を教えられてもユーザーとしてはどうしようもありませんから、やはり何の情報も伝えないのが上策――ということなのかも知れません。

――それって何かおかしくありませんか??

考えてみれば、そもそも脆弱性関連情報の公開が制限されているのはあくまでも一般公表日前のことなのであって、それならばJPCERT/CCが一般公表日を決めてしまえばいいだけの話だと思います。現にガイドラインには「一般公表日決定の際には(中略)45日後を目安とします」との記載があります。しかし、そのルールが運用されているような形跡は見当たりません。そして、Sageに存在する脆弱性は約1年に亘って放置され続けています。

自分としては、本来ならこんな弱小ブログに書くよりJVNのような影響力のあるサイトできちんと脆弱性情報を公開してもらうのが望ましいと思っていました。ですが、ここに書いてしまった以上その責任は全て自分にあります。ご批判は甘んじて受けたいと思います。

最後に、Sageユーザーの方が現時点で取り得る対策方法について記しておきたいと思います。

  • Sageの使用を直ちに中止する (強く推奨)
  • やむなくSageの使用を継続する場合は以下のいずれかの対策を講じる
    • Sageの設定で「コンテンツエリアにフィードを読み込む」をオフにする
    • Firefoxの設定でJavascriptをオフにする(*)
    • 別途NoScriptを導入した上で外部サイト及び"file://"を遮断する(*)
(*) 但しSage 1.4では効果が不十分。Sage 1.4系列は使用しないことを推奨。

尚、拙作Sage++ (Higmmer's Edition)ではIPAに通報済みの脆弱性については修正してありますが、それでも安全であるという保証はどこにもないということをご理解下さい。少しでも不安のある方は他のフィードリーダーを使った方が幸せになれると思います(個人的にはWeb型で全文検索がついたGoogle Readerが最強だと思う)。今のところFirefox 3でSage/Sage++が使えるようになる見通しも全く立っていませんし、ここらが潮時のような気もします。

※ Firefox3対応版Sageの開発進行中!! 詳しくはこちらへ (2008/5/6追記)

スポンサーサイト

寒い!!

■ デジモノ Posted by ひぐま (Higmmer) on 2008-01-21 at 22:25:33

◆共有テーマ: ウィルコムWILLCOM [携帯電話・PHS]

暦の上では今日は「大寒」だったそうだけど、その通り本当に寒い1日だった。やっぱ昔の人は正しかった…と再認識。こんな寒い日は熱い風呂に入って早めに布団被って寝るに限る。

ところで「そう長くお待たせすることはない」という発言や某発表会に出展されていた謎のプロトタイプなどから一部で期待が高まっていたウィルコムの新機種の発表会だけど……

………だめだこりゃ。実を言うとこの発表を待たずに解約することに若干引っ掛かりを覚えてたんだけど、やっぱ待たずに905に乗り換えて大正解だった。

春モデルは「持っていて楽しくなる」

というかそれ、「待っていて虚しくなる」の間違いでしょ(笑)。

多くのユーザーからの祝福のコメントを受けたとし、こうしたユーザーを「十数年、PHS事業を進めてきた我々を支えてくれる人たち」と紹介

身内のパーティならともかく外向けの発表会でこれは「寒い」なぁ。もはや去っていった人々には何の用もないということだろうか。自分も(10年とはいかないまでも)それなりに長期ユーザーだっただけに、こういう言い方されると本当に虚しくなる。

それにしても

アカデミックパックの導入によって大学生の獲得に成功

というアピールが直後のホワイト学割発表の前に完全に霞んでしまったのにはワロタ。既に2周遅れてるところを目の前で更に1周追い抜かれた感じというか。

ま、とにかくスマートフォンの新機種が当分出ないと分かっただけで今日はあったかく眠れそう(笑)。

F905i 購入

■ デジモノ Posted by ひぐま (Higmmer) on 2008-01-16 at 23:59:59

色々悩んだ挙句、結局F905iを購入(決め手はヨコモーション)。相変わらずPやNの品薄が続いている中で割とすんなり買えたのはちょっと拍子抜け。

FOMA F905i

使い始めたばかりで全機能の10%も試せてないと思うけど今のところ概ね気に入っている(キータッチにはまだ慣れないけど)。ただやはりワンセグだブラウズだと使い倒しているとあっという間に充電警告が出るな(気付いたら長時間使ってしまってるだけ?)。でもまぁ今まで使っていた端末からすれば比べるべくもなく神端末なのは間違いない(笑)。これでやっと時代に追いつけるかと思うと感無量ナリ。

時既に遅し

■ デジモノ Posted by ひぐま (Higmmer) on 2008-01-12 at 23:57:15

◆共有テーマ: WILLCOM [携帯電話・PHS]

もう解約を決めてしまった今となっては関係ない話なんだけど――。

半年遅いよ。今さら

安くしても、ユーザーから見て2年ウィルコムと付き合えるか

としか言いようがない。残念。

まだ迷い中

■ デジモノ Posted by ひぐま (Higmmer) on 2008-01-07 at 23:57:26

◆共有テーマ: NTT DoCoMo [携帯電話・PHS]

このエントリを上げてから当ひまグへのアクセス数が普段の1.5倍くらいに急増。でも何の情報も提供できなくて申し訳ない(こっちも情報収集してる段階なので…)。

ただ検索ワードで見ると圧倒的にNが多いみたいでちょっと意外。それだけ購入検討してる人が多いということなのか単なる偶然なのかは不明。個人的にはFに気持ちが傾きつつあるんだけど、他機種に比べて電池の持ちがよろしくないということで二の足踏み中…。

905iシリーズ どれを買うべきか

■ デジモノ Posted by ひぐま (Higmmer) on 2008-01-04 at 23:56:13

◆共有テーマ: NTT DoCoMo [携帯電話・PHS]

というわけで、WILLCOMを見限ってDoCoMo(FOMA)への乗り換えを決意したのだが、肝心の905iシリーズが売ってなさ過ぎorz。中でもP905iは噂通りの品薄ぶりで、どの店に聞いてもいつ入ってくるか分からないと言われた。自分も当初はヨコオープンスタイルに魅かれてP905iを狙っていたんだけど、ここまで買えないとなるとちょっと考えてしまう。確かにワンセグ視聴やゲームするには最適なんだろうけど、果たしてそこまで絶賛するほど使い易いスタイルなのか…と。むしろカメラ撮影やブラウジング時の使い勝手も考慮すればF905iのヨコモーションの方がバランス的にはいいような気がする。意外とスライド式のD905iもスマートに使えて便利かも知れない。でも中身のソフトウェアの完成度はN905iが高いとも聞くし……うむむ。

ちなみにSHとSOは眼中にないです。今のところ。

さらばウィルコム

■ デジモノ Posted by ひぐま (Higmmer) on 2008-01-03 at 23:59:50

◆共有テーマ: WILLCOM [携帯電話・PHS]

長年に亘って付き合い続けてきたWILLCOMと遂に決別することにした。さすがに今使っている初代京ぽんでは機能や速度面での限界をとっくに超えていたので機種変のタイミングを探っていたのだけど、色々悩んだ末この際きっぱりと解約するのが最善という結論に至った。一時期はFOMAとAdvanced/W-ZERO3[es]との2台持ちを検討していたのだが、全部入りの905iシリーズの出現によって殆どの用途がカバーできるようになり、逆にAd[es]を使う機会は限られてくると予想。ならばWILLCOMへの支払い分をパケホーダイに回すのが得策と判断した。タイプSSバリューを選択すれば基本料も大幅に抑えられるし。

それでもこれまでWILLCOMから離れられなかった大きな理由はPCと接続しても定額・低価格でデータ通信できるという「いざという時の安心感」にあったのだが、それもEMOBILEやauの定額プランの出現によりアドバンテージが消滅。気がつけばWILLCOMは狭い・遅い・高いというデメリットのみが目に付くようになってしまった。

実を言うとW-VALUE SELECTならAd[es]の実質端末代金が2万円強になるという誘惑に一度は買う寸前まで行ったことも。しかし、そもそもAd[es]を今後2年間も使い続けるのはさすがに厳しいだろうなぁ…と踏み止まっていたところ、新規契約のみ実質0円というキャンペーンを始めたのを見て完全に目が覚めた。次世代PHSサービスの認可が下りたというニュースもあったが、はっきり言ってそれまでお布施を払い続ける義理はこちらには全く無いわけで。

……と思っていたところへタイムリーな記事を発見。

これは同意せざるを得ない。

1月2日

■ 雑記 Posted by ひぐま (Higmmer) on 2008-01-02 at 22:09:16

今日も寝正月。

1月1日

■ 雑記 Posted by ひぐま (Higmmer) on 2008-01-01 at 23:36:19

本当は年末にやるはずだったHDDのバックアップ作業でほぼ1日費やした(まだ続行中)。

暇だからTVをつけてみるも面白くない。ふて寝。

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。