水無月ばけらのえび日記

マルプラクティスとは

• mal-practice
• 間違ったプラクティス
• 辞書を引くと「医療過誤」とあるが、ちょっとイメージ違うかも
• 「ベストプラクティス」の反対語みたいな感じ

マルプラクティス

●プラクティス

• Webアプリケーションに詳しくもないプログラマを丸抱え
• インハウスで開発したものの、まるでだめ
• 結果、はまる
• まるでだめ
• コピペで丸写し
• エスケープコードを丸呑み
• 業者に丸投げ
• 買ったけど電源入れてないから丸損
• 発火セーフ入れても丸腰
• やってることがまるでちがう
• でもそのことはマル秘
• 注入工具で丸出し
• 面目は丸潰れ
• 会社は丸焼け
• 社長は丸坊主
• やったやつは丸儲け
• 困る

この後、会場からも「マル」のネタがいくつか提供されましたが、メモしきれず。

最後に

最後に、以下の言葉で締めくくられました。

• 「失敗のパターンから学ぶ、成功への一筋の光」

感想

1日目の中島社長のセッションを聞いていると2倍楽しめるセッションとなりました。まあ、そうでなくても、何のことを言っているのか全く分からないという人は少なかっただろうと思いますが。

本人に直接言ってあげたほうが……と思わなくもなかったのですが、これは特定個人の問題ではないわけでして。ありがちな失敗のパターンをいかに共有していくのか、というところが課題になるでしょう。

登場シーン

謎のハミングとともに黒マスク、黒マントの人物登場。まあ、タイトルから分かると思いますが。

• 自分のハミングなら著作権侵害は大丈夫だろう

EpisodeⅠ: ハッカーの暗黒面

• 怒り、恐れ→フォースの暗黒面
• 限界を超えたくなる

• 古き良き時代: 実害がなければ良い
• 現代社会: 本当に悪いことをしていないかどうか分からない、アクセス制御の信頼性が重要

EpisodeⅡ: 匿名軍団の攻撃

• 振込詐欺救済法 (金融機関の原則との相克)
• 弁護士に言われたところで口座凍結なんて……
• 攻撃の検知と通信の秘密との兼ね合い
• 情報共有できない?
• ドグマの肥大化
• コンテンツと通信データの区別がない
• 通信データの過剰な保護
• ISPの保護者としての役割
• 攻撃トラフィック、フィッシングメール、名誉毀損メッセージetc
• 著作権制度: フランス 三振法 ISPから警告3回で遮断

感想

話の本筋とは関係ない部分ですが、officeさんの事件に関する話が微妙に不正確なのが気になりました。「アドレスバーに文字を入れた」と言われていましたが、csvmail.cgiには以下のようなコードが書かれていたので……

if ($ENV{'REQUEST_METHOD'} eq "POST") { 
    read(STDIN, $buffer, $ENV{'CONTENT_LENGTH'});
} else { 
    print "Content-type:text/html\n\n";
    print "<html>\n";
    print "<head><title>ANTI SPAM</title></head>\n";
    print "<body>CAN NOT ALLOW GET METHOD.</body>\n";
    print "</html>\n";
    exit(0);
}

GETアクセスされたら「ANTI SPAM」という謎のメッセージを表示して終了し、何も起きません。javascript: で始まる文字列を入れて POST すれば良いという話もありますが、officeさんがわざわざそんな面倒なことをしたとは思いにくいですし。

事件からずいぶん年月も経ったことですし、技術的な部分については情報を公開した方が良いのかもしれないと思ったり。

Microsoft の Security Development Lifecycle

• 「MSのSDLは重い。君たちにできることを簡単に言わないで」と良く言われる
• SD3+C = "Secure by design, by default and in development" + Communications
• 脅威モデル : バグ以外の脅威、STRIDE分析
• SDLは開発のライフサイクルではない。ウォーターフォールの中に組み込まれたり、併存する

Microsoftのセキュリティの歴史

• 1990年初頭 : シングルユーザOS、セキュリティに関する要求はあまりなかった
• 1994年 : NT3.1がマルチユーザOSとなる。セキュリティ上の脅威、ユーザを他のユーザから、プロセスを他のプロセスから守る必要
• 1998年くらいまで : 各製品チームが個別に対応していた。脆弱性が見つかったらマーケティング部門が対応
• 1997年 : 脆弱性の発見と公表が日常的に。ping of death とか INN とか phf とか
• 1998年 : MSRC設立(Security response center)。脆弱性受付のメールアドレスができる。アップデートリリース、メディア対応の一本化。内部の有志によるボランティアっぽい運営。
• Internet Security Task Force 設立、STF推奨事項、経営の関与etc
• Windows 2000 : 多くのセキュリティ機能を実装。増加するバグレポートが問題に。
• SGIP STOPPER SWIの設立(secure windows initiative)
• Windows XP : 魚を釣るかわりに魚の釣り方を教える。"PREfirst"
• 2001年 : codered/nimdaの大流行。2002年1月、有名なゲイツのメール
• first security push を .NET Frameworkに実施
• Windows Server 2003 : 予定出荷日間近に8000人の開発を停止して security push を実施
• 2004年7月から SDLの実施

まとめ

• セキュリティテストは重要だが十分ではない
• セキュアコーディングも重要だが十分ではない
• エンジニアの啓発とトレーニング etc. が必要

ソニーの製品セキュリティへの取り組み

• 家電製品のセキュリティ……被害は多発していない、対策の価値がエンドユーザに認知されていない
• セキュリティ対策のために製品の価格を上げることは許されない (多くのコストはかけられない)

ライトウェイトアプローチ (LWSSA)

• 費用対効果を高める工夫をする
• 費用対効果の大きいものから初めて、できるところまでやる
• 事後に発覚する1脆弱性につきパッチ作成費用100万円 (広報費含まず、安い事例)。131件の脆弱性を事前に発見 = 1億3000万コスト削減と考えられる
• 計画・設計～実装段階で個々に脆弱性が入り込む
• セキュリティを考慮した設計の実施、脆弱性検査→有効だが、費用対効果が悪い

• プログラマにセキュアプログラミングセミナーを実施 (4時間の座学、必修)。これにより、脆弱性の指摘内容を理解できるようになる
• 少数精鋭のセキュリティ専門組織が、ドキュメントレビューとコードレビューを行う (4ヶ月のトレーニングプログラムを受講)

ドキュメントレビュー

• 脅威分析表を準備する。簡素化したエクセルシート1枚
• 全てを見るのではなく、セキュリティに関連する部分だけ見る。これはドキュメントのほんの一部
• 気になるキーワードを見つける。たとえば、「検索ボタン」というキーワードからSQLインジェクション、XSSが連想される

コードレビュー

• 静的コード解析ツールを使い、結果を分析・整理
• 警告が脆弱性につながるかどうかを判定すると、判定コストが修正コストを上回る場合がある
• 簡単に修正できる場合は無条件に修正する

LWSSA2.0

• LWSSA1.0の限界 : 専門組織が全ての製品をチェックするのは無理。技術分野が広すぎる(ブルーレイとか)
• LWSSA2.0 では……
  • 開発者自身にセキュリティレビューを実施してもらう
  • 核技術領域の開発者にセキュリティを教える
  • 専門組織の中でセキュリティレビュアートレーニングプログラムを受ける。年間10名ほど、セキュリティレビューOJT

問答など

SDLはどのくらい大変?

• 大変です。日本にいても英語で書かないといけない。携帯の端末IDについて本国に説明したりとか……。
• 超大変。ドキュメント間の関係性とか分からない
• 「脅威分析があまりに大変で仕事にならない。ホントにやってるのか?」と聞かれたこともある。

インセンティブはあるのか?

• ない
• スキルを身につけたい人が自ら実践
• これをやっていないと製品を出せない決まり。製品が出せないということは、開発者の存在意義がなくなるということ (やらざるを得ない)

レガシーコードはどう取り扱う?

• 最近になって着手 (費用対効果が高い、現在のコードから着手)
• 古いコードは問題が出やすい、10年前のコードとかもう意味が分からない
• Windowsは互換性を重視している。「メモリリークするけど動かなくなるから仕方ない」とかコメントが書かれていたりする。:-)
• 分からないコードは入れない、ばっさり捨てる覚悟で

失ったものは?

• 楽しいプログラミング、簡単なツールの提供ができない (外には出せない)

Webアプリ開発に応用できそうか?

• できるんじゃないか
• 会社自体が数名の場合はできそう

パッチのコストの話が興味深かったが、MSでは?

• 各国語版でのテストプロセスがとても大変
• 具体的には言えない (が、高い)

感想

Webの話じゃないじゃん!

とはいえ参考になりました。「後から脆弱性が発覚してパッチをリリースする」ということになるとコストが高くつくので、事前にやっておくことでコストが抑えられる……という話は説得力があります。

MSの真似をするのは難しいでしょうが、軽量版でできるところまでやる、というアプローチは面白いですね。どこまでやるのかがポイントでしょうが……。

自転車とGREEについて

• 自転車はGIANTがオススメ
• GREEは2006年11月に携帯にシフト、携帯からのアクセスがぐんぐん増加

携帯の諸々

• Referer来ないかもしれない。auとSoftbankはおおむね来る。来ないなら来ないで統一されていれば良いものを……
• Cookieは、au来ます、Softbankは来ないかも。

Referer漏洩問題について

• そもそも他サイトにリンクしないこと。ドコモ公式では必須
• 端末不具合によって、何故かメールから叩いたURLに前のサイトのRefererが出ることが……
• セッション格納情報でチェックする? UA……Referer漏洩時点でばれている。端末固有情報?
• SIDを変えまくるという対策だと、戻ると死んだりする
• ユーザがGREEにGREEのURLを貼ることは多い (URLにはセッション追跡情報がついている)。GREEではURLをパースしてがんばっている
• 携帯ではHTMLソースは読めない? →スマートフォン経由だと読める場合があるので油断してはならない

携帯ネットワークの特徴

• 位置情報が取れる
• 課金システム
• IPアドレス帯域が固定(重要、絶対チェックした方が良い)

端末固有IDの偽装は可能か?

• 今のところ難しいようだ。ただしIPアドレス確認が必須。Softbankスマートフォン+iモードiDなどのパターンに注意
• ARP Spoofingのような手法による IP Spoofing はどうか?
• キャリアによって100%保証されているわけでもない

端末固有情報は一意?

• iモードIDは再使用されないことになっているのでユニーク
• 他の端末はどうだろう……
• メールアドレスの場合、別のユーザに再取得され得る
• SIMカードを入れ替えると別のUAからその端末情報が送られてくることがある

常識が通用しない

• パスワードは adgjmp 123456 などがほとんど
• ソーシャルハックにはとても脆弱
• 携帯の貸し借り、SIMカード貸し借り、簡単にパスワード教えたり……

凄いユーザがいる

• 総当たりフォースフルブラウジングとか普通に来る
• 8桁とかでも破られる。たとえば、着うたダウンロードのURL末尾が 1.mmf?dfX38fJu だった場合、8桁をひたすらブルートフォースでアクセスしてくるユーザがいる

質問

携帯キャリアのIPアドレス範囲のチェックはどうしているか?

アンテナでキャリアのサイトをチェックしたりして頑張っている

逆引きするのはどうか?

それは良いかもしれない

感想

質疑応答の「逆引きで見る」という話は瞬間的に「ヤバイかも」と思いましたが、高木さんが「そのDNSが安全かどうかという問題がありますが」とナイスフォロー。逆引きで判断する場合、PTRの値はそもそも信用できないのでパラノイド検査が必須になりますが、それでも大丈夫かどうかは怪しい感じがしますね。

※ちなみにパラノイド検査というのは、逆引きで得られた名前をさらに正引きして、元のIPアドレスと一致するか確認すること。

パスワードの話は興味深いですね。携帯端末からパスワードを入力するのはしんどいので、入力しやすいものをと考えると、どうしたって脆弱なものにしかなりません。普通に考えると、こまめにログアウトさせてパスワードを入れさせて……という方が安全そうですが、携帯サイトの世界では、パスワードに依存した認証は逆に危険なのかもしれません。

私の感想

「ライオン・エスケープ」ですが、楽天テクノロジーカンファレンス2007「Web開発者のための最新セキュリティ動向」で出てきた「安心クッキー」のリスペクトですね。しかし、今回の話の流れの中で出すのであれば、カカクコムで探した方が良かったのではないかと思いました。

※サウンドハウスでも良いのですが、「エスケープ」で検索しても何もヒットしなかったのです。カカクコムにはいろいろありそうです。

※「感想ってそこだけかよ!!」とつっこまれそうですが、笑いのネタは気になるので。

SSLの課題

• 利用範囲の拡大とともに発行基準が多様化、匿名でも取得可能になった。
• 一般のエンドユーザが確認することは困難 (一般ユーザがCP/CPSを読むというのは現実的でない)
• 鍵マークへの信頼を逆手にとって、フィッシングサイトに悪用されるようにもなってきた

EV SSL

• SSL証明書の発行審査基準の標準化 + 一般ユーザに分かる仕組み
• CA/Browser Forum (CABF) による EV ガイドラインの制定 (2006/10) Vista登場の2ヶ月前
• 日本企業では発行できないガイドライン (組織名は登記簿謄本に記載のものと完全に一致しなければならないとされているが、日本の場合はたいてい漢字で書かれている……)
• JCAF: 日本語版ガイドラインの作成、日本の法体系沿う運用の提案 (Appendix F)

• これまでのSSL=南京錠ひとつ
• EV SSL = 暗号:南京錠、実在証明は別途表示

審査基準

• 各社によって何を「実在」とするかが異なっていた
• 実在証明とは?
  • 法的実在
  • 物理的実在
  • 運用実在 (実際に企業活動を行っているか。海外:金融取引はあるのか、日本:帝国データバンク)
• 審査発行に関する外部監査が義務づけられている。第三者の監査法人によるチェックが入るため、例外運用が勝手にできない

課題

• 暗号アルゴリズム世代交代への対応
• 対応ブラウザの普及: 対応ブラウザがないと無意味。PCは良いが、携帯などが対応していない。実は、ブラウザの実装に関するガイドラインがない
• 日本語の取り扱い: UTF-8の文字をどう格納するのか
• 企業におけるドメインの管理: 大企業でもドメインの管理がルーズな場合が多い。ドメインの所有者とサイト管理者が異なる場合がある。これは認証局にとっても悩みのタネ、二重・三重の確認が必要。ドメインは企業の知的財産なので、ちゃんと会社で管理してください!
• 費用対効果の理解が得られるか: EV証明書は高い。普及すれば安くなるが、安くならないと普及しない。「フィッシング対策ソリューション」と比べると安いはずだが……。

暗号アルゴリズムの2010年問題

• 1024bit RSA は 2010年末までに 2048 bit に移行するべし。MD5はもちろん、SHA-1 も非推奨となる(SHA-256以降を推奨)。ただし SHA-256などはまだブラウザも対応していない
• 携帯などは1024bit のみ対応だったりする。携帯・PCふたつのサイトを立てなければならなくなる
• 移行を遅らせるべき、という提案をしている。1024bit解読には10ペタflopsが必要とされる、もう少し大丈夫。2012年まで待てば、ショボイ携帯は淘汰されて影響が最小限になると推察

質問

EV for mobile というのがあるが?

ルートがふたつある特殊な証明書。ルートの片方は1024bitのみで辿れるようになっている。おそらく日本でしか発行されていない。

Firefox3 で緑にならないのは?

原因はふたつ考えられる。

• ルート証明書の普及がまだかもしれない。
• XP と Vista で違う。Vista は EV を見つけると新しいルートを自動的に拾ってくる。XP でも何とかする技があるが、Vista の Firefox ではうまく行かないかもしれない。

私の感想

「EV SSL は高いけど、フィッシング対策ソリューションよりは安いでしょ」という話が印象に残りました。高いお金を払って使いにくいフィッシング対策を導入し、あげくそのソフトウェアが脆弱……なんて話もあったような気がしますが、ブラウザの基本機能で確認できるのが一番ですね。