水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2010年のえび日記 > 2010年6月

2010年6月

2010年6月30日(水曜日)

いっき(初代)はク○ゲー

公開: 2010年7月3日11時10分頃

いっき おんらいん (sunsoft.jp)が配信開始されたという噂を聞いて公式サイトを見に行ったのですが、迂闊にも笑わされてしまいました。

その強烈な世界観と、シュールなビジュアル、とんでもないゲームバランスが、多くの人の心に残り「愛されるク○ゲー」として語り継がれることになりました…。

以上、【いっき おんらいん】いっきとは より

やはり二人では無理があったのです。人々はク○ゲー、ク○ゲーと笑いました。

以上、【いっき おんらいん】おはなし より

公式サイトで、初代のいっきについて「ク○ゲー」という表現を連発! これは凄いというかなんというか……。

関連する話題: ゲーム / PS3

2010年6月27日(日曜日)

13階段

公開: 2010年6月27日19時25分頃

一気に読みました。

これは面白かったですね。

自ら手を下した死刑執行の記憶に揺れる刑務官と、傷害致死の前科から社会復帰しようとする若者の葛藤を描いた社会派小説……と思わせつつ、後半は逆転に次ぐ逆転。指紋が出た時の衝撃、そして……と、なかなか飽きさせないつくりで、一気に読んでしまいました。刑務官や死刑執行、保護観察に関する記述もかなり綿密で、非常に良質だと思います。

惨殺死体の描写などがあるので、そういったものが苦手な方にはオススメできませんが、そうでない人には是非読んでみていただきたい一冊です。

関連する話題: / 買い物

2010年6月26日(土曜日)

ふら・ふろ3

公開: 2010年6月27日10時45分頃

3巻出ましたよ!

「お菓子くれないと餓死するぞ」は爆笑してしまいましたが、一番好きなのは「ほっとシチュー」の話かなぁ。実は横にある「みかんオレ」がじわじわ来る。個人的には大家さんは良いからもっとアオ成分を増やしてほしかったです。

なんかラストのコマ「おわり」ってなってるのですけど、これで終わり? 終了ですか!? そんなぁ。

関連する話題: マンガ / 買い物 / ふら・ふろ

2010年6月25日(金曜日)

レベル99ラプソーン撃破

公開: 2010年6月26日17時10分頃

ドラクエ9 (www.amazon.co.jp)、ラプソーンを撃破。

暗黒神ラプソーンはドラクエ8 (www.amazon.co.jp)のラスボスですね。原作では超巨大な身体で、神鳥レティスに乗って戦うことになるのですが、今作ではわりと普通に殴りに行く感じになります。

行動はこんな感じ。

他の魔王と違って、レベル99でも2回行動です。

が、そんなに弱くはありません。特に叩き付けと神々の怒りが強力で、叩き付け+輝く息で死亡、神々の怒りが誰かに2発当たる+輝く息で死亡、といったパターンが良くあります。神々の怒りは分散すれば弱いのですが誰かに集中すると厳しく、つまりは運次第です。

逆に言うと、事故死さえなければかなり安定して戦えます。戦闘開始直後に凍てつく波動を使ってくることがないので、補助効果をかけ直す必要もあまりありません。長引くとマダンテが来ますが、「瞑想」→「不敵に笑う」→「マダンテ」→「凍てつく波動」→「MP回復」というパターン行動なので事前に読める上に、5回行動して全体500ダメージなので、かなりぬるいです。むしろ攻めるチャンスでしょう。

実戦では4ターン撃破。事故さえなければOKですね。

関連する話題: ゲーム / ドラクエ / ドラクエ9

2010年6月22日(火曜日)

エフセキュアブログのXSS報告

公開: 2010年6月26日14時20分頃

エフセキュアブログのXSSに関してご報告 (blog.f-secure.jp)」。XSSがありました、修正しました、という報告が出るのは珍しいですね。

本件に関しまして、はせがわようすけさま他、多数の関係者のみなさまのご指導、及びご厚誼を賜りましたこと、改めて御礼を申し上げます。追加で情報がわかりましたら、改めて追記をしてまいります。

こういうのが出るだけで、届け出た側の印象はだいぶ違いますね。

関連する話題: Web / セキュリティ / 情報セキュリティ早期警戒パートナーシップ

2010年6月21日(月曜日)

岡崎市立図書館の件、起訴猶予

公開: 2010年6月26日11時0分頃

岡崎市立図書館のDoSの話ですが、こんなサイトができたようで……「Librahack : 岡崎市立中央図書館HP大量アクセス事件まとめ (librahack.jp)」。なんと、逮捕されたご本人だそうです。

5月25日に偽計業務妨害罪で逮捕され、20日間の勾留と取り調べを経て、6月14日に不起訴処分(起訴猶予処分)となりました。これで事件は一応終結したと解釈しています。

以上、このサイトをご覧の方々へ より

起訴はされませんでしたが、起訴猶予処分ということだそうで。

※20日間の勾留 (拘留ではないので注意) ということですが、実際には逮捕が48時間 (25日~27日)、勾留が10日間 (27日~5日)、勾留延長が9日間 (6日~14日) という感じでしょうか?

1.岡崎市立中央図書館(通称Libra)のヘビーユーザーだった

2.Libraの新着図書ページが使いにくかった(特に、最近入った本を探すことができなかった)

3.そこで、自分専用サイトを作ることにした

以上、なぜプログラムを作ったか より

やっぱり、攻撃しようとしたわけではなくて、クロールしたらサーバが死んでしまったという話のようですね。

悪意を持って攻撃し、その結果として相手方業務に支障が出たのであれば、それは犯罪でしょう。しかし、過失でサーバを落としてしまったのであれば、それは犯罪にはならないはずです (民事責任は別途ありますが)。

今回の事件では、最初の報道を見た時点で「これは本当に攻撃なのだろうか?」と疑問に思いました。攻撃にしては、アクセスの頻度や回数が少なすぎると思ったからです。各所のコメントなどを見ると、Webサーバのログに見慣れている方は、おおむね同じようなご意見を持たれたのではないかと思います。

Twitterなどでは「逮捕して尋問してみないと故意かどうか分からない」という主張も出ているようですが、身柄を拘束して尋問しなくても、ログを見ただけで「これは悪意を持った攻撃ではないかもしれない」という疑念が浮かんでくるのではないでしょうか? 悪意がないかもしれないという疑念があったなら、ひとまず任意で事情聴取するとか、もっと慎重な捜査方法を選んでも良かったはずです。

しかし、サーバ運営をしたことがない人には、このあたりの感覚はなかなか分からないでしょう。不幸なことに、今回の捜査担当者にはその感覚がなかったのだと思います。それは仕方ない面もありますが、有識者の意見を仰ぐこともできなかったのでしょうか。捜査の内情については良く分からないのですが、どうも性急な捜査だった気がしてなりません。人を逮捕監禁して20日も拘束するのですから、そこはもう少し慎重になるべきではないかと思うのですが。

関連する話題: Web / セキュリティ / 法律 / 岡崎市立中央図書館事件 / librahack

2010年6月19日(土曜日)

CSS Nite in Ginza, Vol.52 告知開始

公開: 2010年2月26日0時30分頃

CSS Nite in Ginza, Vol.52 (cssnite.jp)の告知が始まりました。

……といっても9月16日ですのでまだ先の話ではありますが、「Web制作者に贈る Webのセキュリティ3つの誤解」という題で1時間くらいお話します。セキュリティの話というと、どうしてもプログラマや専門の方向けという印象になりがちですが、Webディレクターとか、マークアップエンジニアとか、IAとか、そういった方々に聞いていただける話にしようと思っています。

いちおう概要は上げていますが、内容はまだそんなに決めていません。こういった話が聞きたい、というリクエストがもしあれば、それに合わせて変えるかもしれません (変えないかもしれませんが)。

ちなみに会場は、最近行列ができたりして話題のアップルストア銀座です。参加費は無料ですので、お気軽にどうぞ。

※プレゼンにWindowsマシンを使わせてもらえないらしいというもっぱらの噂ですが、どうしようかなぁ。会社のiPadでも使ってみる?

関連する話題: Web / セキュリティ / CSS Nite / 講演

卒業

公開: 2010年2月26日0時30分頃

読み終わったので。

加賀登場第一作ということで読んでみました。加賀といえば「どちらかが彼女を殺した (www.amazon.co.jp)」「私が彼を殺した (www.amazon.co.jp)」のイメージだったので、そういう仕掛けのある作品かと思っていたのですが、わりと普通のミステリでした。

実はガリレオ (www.amazon.co.jp)的な要素もあったりして、東野圭吾の初期の作品っぽいなぁという印象です。ただ、ガリレオは元々そういう作品だから良いのですが、いきなり出されるとちょっと……と感じる人もいるのではないでしょうか。人によって賛否が分かれそうですね。

関連する話題: / 買い物 / 東野圭吾

2010年6月18日(金曜日)

第2回ワイヤーフレームコミュニケーション研究会

公開: 2010年2月24日16時5分頃

第2回ワイヤーフレームコミュニケーション研究会 マークアップエンジニアからインフォメーションアーキテクトへのキャリアパス ~マークアップはマイクロIA(インフォメーションアーキテクチャ)だ~ (atnd.org)」というイベントがあったのでUStreamで視聴してみました。

つぶやきがまとめられています。

興味深いと思ったのはCMSのWYSIWYG編集の話。WYSIWYGで自由闊達な編集ができるという機能をウリにしているCMSは結構あるのですが、実は企業サイト制作の現場ではそんな機能は求めていないのですね。むしろ、デザインルールから逸脱したコンテンツができてしまったりしないように、編集機能を制限したいという要望が強いです。しかし、なぜかWYSIWYG編集が好まれるという……。

関連する話題: Web

賭博堕天録カイジ 和也編 3

公開: 2010年2月9日17時10分頃

出ていたので購入。

2巻を読んだとき、「手を挙げれば良いのでは」と思ったのですが、まさにその手法が出てきましたね。

カイジが「拷問だろ」と言ったのに対して、和也が「どんなイメージなんだよオレって……」と頭を抱えるシーンが面白かったです。どんなイメージもなにも、賭博堕天録では村岡社長に「サドマシーン」「サディズムの権化」「変人、怪人(マニア)」と呼ばれていたわけですけれど。

ただ、「救出」ゲームは危なげなくだらだらと進みますし、後半はチャンとマリオの回想シーンなので、盛り上がりにはちょっと欠けるかも。和也は何か企んでいるようなので、このゲームにはまだ裏があるのだろうと思いますが。

関連する話題: マンガ / 買い物 / カイジ

2010年6月17日(木曜日)

secure.softbank.ne.jpの問題が解決に向かいそうなお話

公開: 2010年6月20日16時50分頃

こんなお話が。

前々から懸念していた件が解決しそうで朗報なのですが、モバイルサイトに携わらない人には何の話か分からないと思いますので、少し長くなりますが補足しておきます。

Yahoo!ケータイでWebサイトを見ようとすると、ソフトバンク側のゲートウェイを通ってWebサーバにアクセスすることになります。その際、ゲートウェイでは以下のような処理が行われます。

前者は、いわゆる契約者固有IDを付加する処理です。後者は細かい話になりますが、「絵文字一覧 使用方法 (creation.mb.softbank.jp)」を見ると絵文字の記述方法が2種類あることが分かると思います。実は最近の端末は「Unicode」の方式にしか対応していないのですが、ゲートウェイでの変換処理によって「ウェブコード」で書かれた絵文字が表示できるようになっています。

と、ここでピンと来る方もいらっしゃると思いますが、ケータイサイトを作っていると、「ソフトバンク端末でHTTPS通信時に絵文字が化ける」という現象に出くわす場合があります。

絵文字が化けるのは、HTTPS通信時にゲートウェイで通信内容を書き換えることができないからです。先に述べた絵文字の変換処理ができないため、最近の端末で見ると絵文字が文字化けてしまいます。

※「ソフトバンクの絵文字も実体参照で書ける件について (d.hatena.ne.jp)」に書かれているように、数値文字参照で記述すると回避することができるようです。ただし、大規模なケータイサイトではコンテンツ変換サーバが入っていることが多く、簡単には回避策をとれないこともあります。

では、いったんhttp:でアクセスしてからhttps:へのリンクを踏んだときに化けないのは何故でしょうか。その秘密は「WEB & NETWORK SSL/TLS (creation.mb.softbank.jp)」という文書に書かれています。

ソフトバンク3G携帯電話では、「端末⇔弊社GW(以降、GW)」および「GW⇔Webサーバ」の通信区間でそれぞれSSL/TLSのセッションを確立し、GWは「端末⇔Webサーバ」間のSSL/TLSセッションの中継を行います。GWでは、Webサーバのレスポンスに含まれる、XHTMLドキュメント等に記載されたWebサーバへのhttpsリンクを、GWへのリンクに変換します。端末から見た場合、リクエストはGWへのSSLセッションとなります。

Ex: https://www.foo.com/bar.html というURIはGWにて

https://secure.softbank.ne.jp/www.foo.com/bar.html と変換されます。

以上、SSL/TLS より

つまり、いったんhttp:にアクセスした場合は、そこに含まれるhttps:なリンクが書き換えられていて、リンクを辿ると https://secure.softbank.ne.jp/…… というURLにアクセスするようになっているわけです。secure.softbank.ne.jp を通ることで、x-jphone-uidの付加や絵文字のへ変換が行われるようになっています。

この仕組み、x-jphone-uidを使った「かんたんログイン」とは相性が良いのですが、Cookieを使おうとすると問題になってきます。前述のように、URL直接入力やメール、QRコードから来た場合はsecure.softbank.ne.jpを通りません。そのため、ドメインが secure.softbank.ne.jp になる場合とならない場合が出てきてしまい、それぞれ Cookie は別ドメインに発行されたものとみなされてしまいます。

詳しくは述べませんが他にもいろいろまずいことがあって、けっこう困っていたのですね。

そういったわけで、開発者としてはsecure.softbank.ne.jpを使いたくない場合があるのですが、なにしろhttps:なリンクはゲートウェイで全て変換されてしまうので、使わないという選択ができない状態でした。

今回の話では、以下のような対応が検討されているようです。

後者の具体的な方法は不明ですが、ともあれ勝手サイトはsecure.softbank.ne.jpを使えなくなるという方向ですね。絵文字の記述の仕方を変えたりする必要が出てきそうですが、そのあたりは公式なアナウンスが出ることを期待したいところです。

※文中で「QRコード」という語を使っていますが、QRコードは(株)デンソーウェーブの登録商標です。 (www.denso-wave.com)

関連する話題: セキュリティ / モバイル / secure.softbank.ne.jp

3Dゲームのキモは奥行き

公開: 2010年6月20日0時40分頃

E3でニンテンドー3DS (www.nintendo.co.jp)が発表され、みんなのニンテンドーチャンネルに動画が上がっていたので見てみました。

3Dって、ただ迫力があるというだけでゲーム性は変わらないし、むしろ画面が見づらくなるだけではないか……と考えていた時期が私にもありましたが、この動画を見て考えを改めました。

一番強く印象に残ったのは、宮本茂の「3Dで一番難しいのはジャンプして切り株に乗ること」という発言。以前、マリオ64に馴染めなかった話を書きましたが、それと全く同じことを言われていたのですね。今までの3Dのゲームでは、奥行きが分からずに失敗することが良くあったと。

ところが、画面が3Dになると、奥行きが出るわけです。映画の場合、単に「奥行きが出て映像に迫力が出る」という話でしかないと思いますが、ゲームの場合には、「奥行きの情報がプレイヤーに伝わる」ということは重大な意味を持ちます。音声がモノラルからステレオに変わると「右から足音がする」といった情報が伝わるようになりますが、ある意味、それと同じような進化なのでしょう。

これはプレイしてみたいですね。

関連する話題: ゲーム / 任天堂 / ニンテンドー3DS

2010年6月16日(水曜日)

レベル99エスターク撃破

公開: 2010年6月19日12時55分頃

ドラクエ9 (www.amazon.co.jp)、エスタークを撃破。

エスタークはドラクエ4 (www.amazon.co.jp)の中ボス、ドラクエ5 (www.amazon.co.jp)の超ボスとして君臨しますが、実は4と5で身体の色が違っていて、4では青、5では茶色です。9では茶色なので5のバージョンなのですが、セリフは4のものですね。

行動はこんな感じ。

これで3回行動します。

強いです。行動の多くが打撃なのですが、その打撃が強すぎです。守備力999でも500以上のダメージなので、2発当たったら死にます。しかも打撃の頻度がやたら高く、3回の行動が全て打撃ということもしばしば。強すぎです。ボロボロ全滅させられました。

その反面、全体攻撃の頻度は低めですし、他の魔王とたいして変わらない威力です (ギガブレイクはちょっと強いですが)。つまり、超強力な単体攻撃を捌きさえすれば良いわけです。

世界樹の葉を大量投入する方法もありそうですが、消費アイテムの物量作戦はスマートでないと思ったので、こんな作戦をとりました。

大防御していれば、打撃のダメージを2桁におさえられます。打撃の4割が前列キャラに当たるので、これでずいぶん楽になります。

大防御するキャラは大防御しかしませんので職業は何でも良いのですが、パラディンにしておけば必殺技「パラディンガード」が使えます。パラディンガードは大防御よりはるかに強力なので、必殺が出やすい「ひっさつのおうぎ」「さいしゅうおうぎ」などを持たせてパラディンガードを狙っていくのが良いでしょう。パラディンガードを出したら「におうだち」するとパーティー全員が安全になり、回復も不要になって楽勝になります。

レベル99エスタークとの実戦では、なんと1ターン目に必殺チャージしてパラディンガード発動、あとはにおうだちしながらダークフォースとたたかいのうたで強化して殴り、5ターンで撃破することができました。

パラディンガードは強すぎるので、ちょっと反則くさいですね。

関連する話題: ゲーム / ドラクエ / ドラクエ9

2010年6月14日(月曜日)

マナーを守りましょう

公開: 2010年6月18日0時40分頃

満員電車でアイフォーン操作の男性殴り逮捕 (www.yomiuri.co.jp)

同署幹部によると、松川容疑者は14日午前8時頃、新宿区の西武新宿線高田馬場駅のホームで、杉並区の男性会社員(49)を殴り、重傷を負わせた疑い。松川容疑者は、上りの満員電車内で携帯電話iPhone(アイフォーン)を操作していた男性に「マナーを守りましょう」と注意した。しかし、男性が無視して操作を続けたため、一緒に同駅ホームに降り、口論の末に殴ったという。

記事には書かれていませんが、この事件のために西武新宿線のダイヤは乱れ、後続の電車に乗っていた人は車内で20分も待たされることになりました。

iPhoneをいじっていたのがどれだけ迷惑だったのかは分かりませんが、殴った側のほうがずっと多くの人に多大な迷惑をかけたのではないかと思います。

関連する話題: 出来事 / 思ったこと

ゆとり時代のRPGとチュートリアル機能

公開: 2010年6月16日23時35分頃

こんな記事が……「ゆとり」が「甘やかし」に化けた日本 (business.nikkeibp.co.jp)

子供たちが熱中するテレビゲームにしても、最近はロールプレイングゲームでは「チュートリアル機能」というのがついているそうです。それはゲームをして困った時に、そこにアクセスすれば、簡単に突破する方法が分かると言うものです。

要するに、答えを出すために、あまり苦労しなくても、できてしまう。そんなゆとり世代がいきなり社会人になって、成果主義だ、なんて言われても、とても対応できないでしょう。

以上、「ゆとり」が「甘やかし」に化けた日本 より

チュートリアルというのは、実際に操作をしながらルールや操作方法を学ぶ機能のことです。「困った時に……アクセスすれば、簡単に突破する方法が分かる」といったような機能ではありません。チュートリアルの最中に与えられた課題は簡単に突破できるでしょうが、それは学ぶために用意された場だからです。本番が簡単になるわけではありません。

※簡単に突破する方法を知りたければ「ゲーム名 攻略」で検索するとあっという間に分かったりしますが、それはもちろん「チュートリアル機能」ではありません。

筆者は「最近は」と述べていますが、チュートリアルという考え方は大昔からあります。初代のドラゴンクエスト (www.amazon.co.jp)の最初の場面について、堀井雄二氏は次のように述べています。

『ドラクエ』を出すまではアクションゲームが主流だったので、どうなるのかなあという気持ちはありました。そのために、とっつきやすくなるような工夫はいっぱいしましたけどね。まずゲームの最初は、王様の部屋にとじこめられていて、とりあえずコマンドをいろいろ入れないと出られない。でも部屋を出たときには、宝箱をあけて、人と話して、ドアを開けて、階段を降りるといった、ゲームに必要なコマンドをだいたい覚えられるようにしたんです。戦闘になれば、相手が襲ってくるので「たたかう」を押していればいい。そうすれば経験値があがって、レベルアップして、どんどん強くなっていく。

以上、Entertainment Meister - Vol.2 堀井 雄二 インタビュー | 文化庁メディア芸術プラザ より

「チュートリアル」という名前こそ出てきませんが、これはまさにチュートリアルの機能でしょう。このドラゴンクエストが発売されたのは1986年5月27日。今から24年も前の話です。

チュートリアル機能を明確に打ち出したものとしては、ファイナルファンタジー5 (www.amazon.co.jp)の「初心者の館」が思い浮かびます。この発売が1992年12月6日で、18年前。チュートリアルという名前をそのまま使っていたものとしては、ファイナルファンタジータクティクス (www.amazon.co.jp)がありますが、1997年6月20日の発売で13年前です。いずれも「最近」と言うには古すぎますし、「ゆとり教育」が始まる前の話です。

ゆとり教育が始まったのは2002年と言われます。その年にはどんなRPGが出ていたのでしょうか。

私自身の日記を見ながら振り返ってみると、2002年は中古のワンダースワンカラーで旧作ゲームばかりプレイしていたことが分かりますが……ひとつ、スクウェアから出た新作のRPGがありました。私が購入したのは2003年の2月のことですが、発売日は2002年12月19日。そのゲームの名は「アンリミテッド:サガ (www.amazon.co.jp)」です。

ゆとり教育への転換の年に発売されたゲームですから、さぞかし親切で充実したチュートリアルがありそうに思えますね。筆者の方には、是非このゲームをプレイしてみていただきたいと思います。

※どんなゲームなのか知りたい方は、アンリミテッド:サガに関する日記をご覧ください。操作方法のあまりの難しさについて行けないプレイヤーが続出し、あっという間に値崩れした伝説のゲームです。

関連する話題: ゲーム / 思ったこと / アンリミテッド:サガ / ゲーミフィケーション

2010年6月12日(土曜日)

電波チェッカーの脆弱性

公開: 2010年6月14日23時40分頃

ソフトバンクのiPhone用アプリ「電波チェッカー (mb.softbank.jp)」に関して、こんなお話が。

言うまでもありませんが、これは、最近議論されているケータイサイトのセキュリティ問題に関連する話です。実際に多数のサービスに問題が発見されている状況があり、電波チェッカーはそれと同じことをしているように見える……という話の流れがあります。togetterのコメントを見ていると、流れを知っている人とそうでない人とで、かなりの温度差が見られますね。

まあ、当事者にも温度差はありそうですけれど。

UDIDは個人情報と結びつかない?

UDIDは個人情報に紐つくものではありません。

以上、https://twitter.com/miyakawa11/status/15935043947 より

電波チェッカーでは、利用者が登録した位置情報とUUIDとが結びつけられており、そのために「UUIDを知られると、登録した位置情報を取得されてしまう」という点が問題になっていました。

氏名等を取得してUDIDと結びつけることも、やろうと思えばできてしまいます。UDIDを取得するアプリケーションの利用時には、迂闊に個人情報を入れたりしないように注意する必要があるでしょう。

また、アプリケーションの提供者は、UDIDを何に利用しているのか明確にすべきでしょう。

パスワードを知られるのと同じ?

行った行為は、 自身のiPhoneのUDIDを知人のiPhoneにセットして行った?通常のIDとパスワードを知人に教えてログインできるかを試しているのと同じですね。

以上、https://twitter.com/miyakawa11/status/15934378849 より

UDIDは端末ごとに固定のものであり、どのサービスに対しても同一の値が送出されます。つまり、秘密情報ではありません。あるサービスのパスワードを別のサービス運営者に知られるようなことはありませんが (ないはずですが)、UDIDは、もとより他のサービスにも取得され得るものです。そして、知られても変更することはできません。

※Twitterのパスワードを別のサイトで入力する、なんてことは誰もしないはずです。本来は。

また、UDIDは人ではなく端末と結びついていて、端末を他人に譲渡しても変更されません。電波チェッカーを削除して端末を譲渡した場合、新しい持ち主が電波チェッカーを入れると、前の持ち主の情報が表示されてしまうことになります。これもパスワードにはない特徴ですね。

UDIDを詐称するのは難しい?

別の端末のUDIDを組み込むこと、皆さん簡単そうだと誤解されちゃってます。OSレベルのクラックを行ったのですかね?Takagiさんのようなレベルの方なら可能?

以上、http://twitter.com/miyakawa11/status/15938951825 より

これは良く分かりませんが、高木さんは既存のソフトウェアだけで可能 (twitter.com)と言われていますね。

そもそも、UDIDは端末側が送っているのであって、ゲートウェイで強制的に付加しているわけではないはずです。となれば、任意のUDIDを送出するアプリケーションを作ることができる可能性はあるでしょう (未確認)。また、通信がHTTPSでなければ、通信途中で改変するという方法も考えられます (やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 (takagi-hiromitsu.jp))。

いずれにしても、UDIDを詐称することが不可能、という前提で考えることは難しいのではないかと思います。

ともあれ、既にソフトバンク側では暫定対応が行われているようで (http://twitter.com/miyakawa11/status/15967750439 (twitter.com))、素早い対応は評価したいですね。

関連する話題: セキュリティ / モバイル / Apple

2010年6月10日(木曜日)

どこかで聞いたようなiPad情報流出

公開: 2010年6月12日22時10分頃

アップル最悪のセキュリティブリーチ。iPad所有者11万4000人分のデータ流出 (www.gizmodo.jp)」というお話が。

HTTPリクエストの一部としてICC-IDを提供する際、このスクリプトはそれに付属するメールアドレスも返してくるんですね。

(~中略~)

AT&Tのサーバーから応答してもらう部分は、単にウェブリクエスト内にiPad風の「User agent」のヘッダを入れて送るだけで良かったそうですよ。 この手のヘッダはユーザーのサイトのブラウザ種別を特定するものです。

ICCID (Integrated Circuit Card ID) というのは、SIMカードについている固有のIDです。WikipediaのSIMカード (ja.wikipedia.org)の項を見ると、ICCIDは19桁の番号のようですが、国や発行者を示す部分が7桁、チェックディジットが1桁あるので、残り11桁でユーザを識別していることになります。「iPad:シリアル番号、UDID、IMEI、ICCID、およびデータ通信契約番号を確認する (support.apple.com)」を見ると、iPadの場合、「情報」画面でICCIDの値を確認できるようです。

そして、AT&TのサービスにこのICCIDを送ると、対応するメールアドレスを返してくれる仕組みがあったと。この機能はiPad用のもので、通常のPCなどからはアクセスできないようにしていた……つもりが、単にUser-Agentを見て蹴っているだけだったので、User-Agentの偽装であっさり貫通、任意のICCIDを送り放題だったということのようですね。

認証らしい認証はしておらず、端末からニセのICCIDが送られてこないことを前提とした設計。……何なのでしょうか、この強烈な既視感(デジャ・ヴュ)は。

……って、言うまでもなくガラパゴスケータイの世界でさんざん見てきた光景ですね。

日本のフィーチャーフォンの世界では、通信がキャリアのゲートウェイを通ることが保証されており、そのゲートウェイで契約者固有IDが改変できないような処理を行っています。そのため、キャリアのゲートウェイ以外から来た通信は拒否することで、契約者固有IDが改竄されない前提でサービスを設計することができました (……が、その処理にも穴があることが指摘され始めている状況です。参考: どうするケータイ認証)。

ですが、スマートフォンやiPadの場合、そのような特殊なゲートウェイを通るとは限らないわけですから、リクエストが改竄されないことを前提とする設計には無理があります。日本のケータイサイト専門業者が作ったならともかく、AT&Tのサービスがというのは、ちょっとビックリしますね。

関連する話題: セキュリティ / モバイル / Apple

2010年6月7日(月曜日)

IPAのせいでUNLHA32.DLLが開発停止、の誤解

公開: 2010年6月11日0時55分頃

UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかける (slashdot.jp)」というお話が。ネタ元はUNLHA32.DLLの作者であるmiccoさんの日記のようですが……。

「『LZH 書庫なんて知らねぇ~よ』という態度」と解釈したのは, ベンダーについては「説明等を行ったあとは 3 年以上梨の礫で対応も行われていない」, JVN / IPA については「『ZIP, CAB, 7z 書庫など, 脆弱性情報として公開されている同様のケース (対策ソフト等で検疫が行われない不具合:JVNVU#545953。) と何が異なるのか?』といった質問に対して未回答だった」, といった経緯からです。

以上、http://www2.nsknet.or.jp/~micco/incidents/2010/inci1006.htm#i20100602 より

いや、これは誤解ではないかと……。JVNVU#545953 (jvn.jp)は、情報セキュリティ早期警戒パートナーシップの制度によってIPAやJPCERT/CCが取り扱ったものでありません。「脆弱性レポートの読み方 (jvn.jp)」に書いてあるのですが、IPAやJPCERT/CCが取り扱った情報なら、識別番号がJVN#で始まります。これはJVNVU#となっていますから、CERT/CCから提供された情報です。

何が異なるのか、という質問に対しては「ルールが異なる海外の組織で取り扱われた脆弱性である、という点で異なる」という回答で良いのではないかと思います。どうして未回答なのかは良く分かりませんが。

※単純に中の人が返信を忘れていることも結構あるので、つついてみると良いかも? :-)

それはそれとして、問題になっているのはこういうことですね。

確かに問題があると言えばありますが、それほど重大な問題でしょうか。たとえば、トレンドマイクロのInterScanはメールに添付されたZIPファイルをチェックしますが、パスワードがついていたり、中身のファイルが100個以上あったりすると、「チェックできなかった」という警告メッセージを残しつつもメールは通してしまいます。どんな種類のアーカイブでもチェックできると保証している製品があるならともかく、「仕様です」と言われるならそうかなと思う程度だと思うのですけれど。

関連する話題: セキュリティ / 情報セキュリティ早期警戒パートナーシップ / IPA / JPCERT/CC

2010年6月5日(土曜日)

日本ウェブ協会学生会員向けアカデミックプログラム #01「ブラウザの歴史」

公開: 2010年6月9日23時20分頃

日本ウェブ協会 (www.w2c.jp)にて学生会員向け アカデミックプログラム (www.w2c.jp)の第一回、「ブラウザの歴史 (www.w2c.jp)」が開催されました。

実は日本ウェブ協会の事務局はbA (www.b-architects.com)のオフィスと同じフロアで、徒歩で数歩の距離だったりします……が、現場ではなくUstream (www.ustream.tv)で視聴しました。:-)

話はWWW、NCSA MosaicからNetscape、IE……と続くブラウザの歴史やらブラウザ戦争やらなにやらですが、最後の質疑が興味深かったですね。一番記憶に残ったのは「仕様と実装って何ですか?」という質問が出たこと。仕様を決めて、実装するという流れは我々の業界ではあたりまえのことですが、学生さんだとピンと来ないですよね。

関連する話題: Web / UA / W2C

2010年6月3日(木曜日)

標的型攻撃に気付くポイント

公開: 2010年6月9日0時45分頃

実例から分かる標的型攻撃メールの「違和感に気付くポイント」と「違和感に気付いた後の対策ポイント」~「脆弱性を狙った脅威の分析と対策について Vol.3」 (www.ipa.go.jp)というものが公開されています。

よく「不審なメールを受け取っても、決して……」などと言われますが、そもそも不審なメールって何、という話があるわけです。この文書では、実際に標的型攻撃を受け、しかしながらメールに不審を感じて攻撃に気づくことができた事例が紹介されています。

最初に送信者だと思いこんだ職員は普段、件名だけで用件が分かるメールを送ってくることを知っていたため、「私信」という曖昧な件名に違和感を持った。

件名は大切ですね。「すみません」とか「関係ない話ですが」とだけ書かれた件名を見ると反射的にそのメールを破り捨てたくなりますが、それはある意味正しい反応なのかもしれません。

その他、「メール本文に宛先が書かれていない」等の違和感に気付くポイントもあります。

普段、業務で使うメールでは何気なく「○○様、××です」で始めていますが、それはそれで「私はちゃんとあなたの名前を知っていますよ」という意味がありそうですね。

関連する話題: Web / セキュリティ

最近の日記

関わった本など