新生鳩丸掲示板♯

今年になってこの件の被害にあっているものですが、経緯の詳細を書いたら「広告･宣伝の可能性があると判断され」てしまいました。そのため、詳細は書きませんが、まだ個人情報の流出は続いています。詳細が掲載されないのは残念です。

> アンチウィルスソフトの側では、どのように対応するのが望ましいでしょうか?

実際にどうするのが望ましいかは難しい問題ですが…

(個人的には勝手に削除とかしてほしくない人なので。)

少なくともそのファイルを『チェックできなかった』と明確にユーザに示す必要はあると思います。

ベストではないですけど、面倒でもチェックできなかったファイルは『破棄』・『隔離』・『通過』のどれかを毎回その場でユーザ自身が選ぶようになっていた方がいいのではないでしょうか。

>警告が出ても通過したら大丈夫(だろう)と思ってしまうのが普通ではないかと。

　コメントありがとうございます。

「警告が出ても通過したら大丈夫(だろう)と思ってしまうのが普通」、というのは確かにそのとおりだと思いますが、アンチウィルスソフトの側では、どのように対応するのが望ましいでしょうか?　もちろん、全てのアーカイブを完璧にチェックすることができれば望ましいでしょう。しかし、現実にはそれは難しいだろうと思います。

　チェックできないアーカイブを受け取ったときの選択肢としては、

・ファイルを破棄する

・警告を表示しつつも通す

　という二つが考えられると思うのですが、ファイルを破棄するとなると、不正なアーカイブに限らず、アンチウィルスソフトが知らない形式のファイルは全て破棄する必要があるはずで、ファイルのやり取りがかなり不便になる可能性があります (単に破棄するのではなく管理者に届くとか、いろいろなオプションも考えられそうではありますが)。

　そう考えると、不正なファイルでも通すことがある、という仕様を許容する方向もあるのではないでしょうか。

　ただ、その警告が分かりやすいかどうかというのはまた別の問題としてありますね。実際、社外の方から添付ファイルを受け取るときに、送信した側にInterScanの警告メッセージが送られて問い合わせを受けたり、といったことも起きていますし。

>「1回あたり3,000回くらい」って何かと思ってしまいました。

　64000アクセスで21回の停止なので、1回の停止あたりで見ると3000回のアクセス……ということが言いたかったのですが、確かに分かりにくいですね。表現を少し見直してみました。

>無かれ桁洋?

　ぬはー。ご指摘ありがとうございます。

「流れていたよう」が正しいのです。

　修正しておきました。

『「仕様です」と言われるならそうかなと思う程度』なのはそこそこ知識のある人だからだと思います…

警告が出ても通過したら大丈夫(だろう)と思ってしまうのが普通ではないかと。

http://www.vector.co.jp/for_authors/upload/warn_lzh.html

ズレてますね…。さすがVectorというか何というか。

しかし開発停止はともかく、使用停止を広く呼びかけちゃったので、すでにvector.co.jpが「今後はLZH書庫による新規ソフト登録は受け付けない」旨をソフト作者にメールしてたりします。

（既に登録してあるものは書庫形式の変更は必要ないそうですが）

> 14日間で3万3千回のアクセス、6万4千回で21回の停止……って、1回あたり3,000回くらいのアクセスで死んでいる計算ですね。まあ、悪意を持って攻撃をしたのなら犯罪だというのは分かるのですが、それにしても、サーバ弱すぎませんか?

「1回あたり3,000回くらい」って何かと思ってしまいました。

> ※なお、パスワードが公開されているという噂が無かれ桁洋ですが、このリストにはパスワードは含まれていませんでした。「IDのリストが公開されている」という話が、伝言ゲームで「パスワードのリストが公開されている」に変わったのでしょうか?

無かれ桁洋?

全てが中間者攻撃できない状態になってくれるとFONなどのwifiスポットへのアクセスが安全になって個人的には嬉しいですね。

DNSSECにコンテンツの公開鍵入れられるようにすれば良いのでは? と思いましたが、DNSSECが正しいかを検証するのは現状ではISP等のDNSキャッシュサーバーでしたっけか。

> jarを使った攻撃手法

これも既知で、少なくともFirefoxではだいぶ前に対策済みです。

MFSA 2007-37: jar: URL スキーマによる XSS 問題

http://www.mozilla-japan.org/security/announce/2007/mfsa2007-37.html

国民からランダムに選ばれた審査員で構成される検察審査会の議決に「国民の期待」がとてもよく表れていますね。

>たまたま動くだけで仕様じゃないから攻撃者は悪用しないでくれるし対策不要なわけではないので。

　全くおっしゃるとおりで……。

　というわけで本日、WASFカンファレンスにて、その「たまたま動く」XMLHttpRequestの脆弱性が公表されました。

　徳丸さんは「2件公表する予定」と言いつつ結局1件しか公表されなかったので、まあ何というか……いろいろあるのでしょうとしか言えませんが、知らないうちに実装されている、というのはなかなか怖いなと思う次第です。

>811SHや830SHではたまたま動きますが、それらは「仕様」としてサポートされているわけではありません。

　ありがとうございます。なるほど、今までは非公式だったのですね。

　それはそれで怖い。

　実は、今日のWASFで徳丸さんが発表された内容でも、

「端末がひっそりとAjaxに対応した……と思ったら、同じメーカーの次世代の端末では何故かまたひっそりと機能が無くなっていた。何があったのか」

　みたいな話がありました。

　セキュリティに関係してくる機能が、非公式に (全く知らされないうちに) 追加されたり削除されたりするのは、正直ちょっと怖いと思うわけです。

たまたま動くだけで仕様じゃないから攻撃者は悪用しないでくれるし対策不要なわけではないので。

それに、それを言ったらケータイの端末IDって何かの仕様で保証されているのでしたっけ。iモードIDはドコモ自らかんたんログインで使えると広報しつつ安全な使い方が誰にもわからないようですが。