2010年1月 Archives

WAFの解説と、選定に際しての着眼点。
原文を見ると、後編は、WAFのべきとべからず集、になるらしい。
出典は「CSO Online」なのに、日本ではCIOにくくらないといけないのね。

Webアプリケーションへの攻撃をいかに阻止するか？（前編）｜巧妙化する攻撃への有効策として普及が進む「Webアプリケーション・ファイアウォール」。製品選定に際しての着眼点はココだ！ - CIO Online

　現在、WAFが導入される主な理由は2つある。1つは、PCIデータ・セキュリティ基準（PCI DSS：Payment Card Industry Data Security Standard）において、一般公開されているWebアプリケーションは、コード・レビューの実施か、もしくはWAFにより、既知の攻撃から保護することがセキュリティ要件として定められていることだ。もう1つは、セキュリティ攻撃の対象がネットワーク・レイヤからアプリケーション・レイヤに移行しているという認識が高まっていることである。なお、ホワイトハット・セキュリティが2006年1月から2008年12月までの3年間に行った877のWebサイトの評価調査では、82％のWebサイトに深刻度が「高い」、「重大」、あるいは「緊急」の問題が1つ以上あることが明らかになっている。

WAFが備えているべき特徴
●HTTP通信の完全な解析が可能
●ポジティブ・セキュリティ・モデルの提供
●アプリケーション・レイヤに対応したルールを持つ（SQLインジェクションなどの攻撃のあらゆる亜種を検出できる汎用的なルール)
●セッション・ベースの攻撃からの保護が可能
●きめ細かなポリシー管理が可能

OWASPが挙げるWAF製品の選定基準
●誤検出がほとんどない（正当なリクエストを決して拒否しない）
●初期設定状態でも強力な防御機能を発揮する
●堅固なセキュリティ設定が可能な動作モードと、設定の容易な動作モードが用意されている
●防御できる脆弱性の種類が多い
●個々のユーザー・セッションの改竄を防げる
●緊急パッチなどによって問題が生じないよう設定できる
●ソフトウェアかハードウェアとして提供される（一般にハードウェアが好まれる）

　

Scientific Americanの記事。
Endangered Species: Humans Might Have Faced Extinction 1 Million Years Ago: Scientific American
百万年前には人類のeffective population (有効人口？）が18,500人くらいで、総人口は55,500人と推定される。
なんだかこの頃、人口が減っていた形跡があり、絶滅しかかっていたと思われるらしい。

パスワードを調べた結果、相変わらず(ますます?)脆弱なパスワードが使われてるという記事。
人類の遺伝子レベルの欠陥、というのが面白い。

ニュースな英語 - goo辞書パスワードは「123456」

記事は昨年12月、FacebookやMySpaceなどにソフトウェアを卸している会社「RockYou」のデータベースがハッキングされた事件に端を発しています。このときネット上に流出した3200万個のパスワードを、「Imperva」というハッキング対策ソフトウェア会社が調査したところ、 利用者の20％が、人気のパスワード5000個を使っていたとのこと。つまり、大勢が使いがちポピュラーなパスワードがあるというわけです。逆に言えばハッカーは、そのポピュラーなパスワードを一分に何千個の速度で次々と試行すれば、かなり簡単に情報が盗み取れるのだと。

記事には、情報流出したRockYouユーザーの内、100万人が利用していたという32種類のパスワードが「人気」順で載っています。100万人が32種類ですから、単純計算して、同じパスワードを3万人以上が使っているというわけです。
一番人気（most popular)のパスワードは、前述したように「123456」。記事いわく、ネット黎明期の一番人気は「12345」。人類は20年近くかけてインターネットに慣れて、ネットの危険性をも承知するようになり、その結果とった安全対策と言えば、数字を一ケタ追加しただけだったという......。

そのほかの人気パスワードは、定番の「12345」。そして「1234567」に「123456789」。ちょっとひねって「654321」。

「password」というそのままやん！なものや、「iloveyou」とか「iloveu」（まあ嬉しい）。なぜか「princess」もポピュラー。RockYouというサービスのパスワードを「rockyou」にして、覚えやすさを何より優先してしまったものもあります。

href="http://www.imperva.com/news/press/2010/01_21_Imperva_Releases_Detailed_Analysis_of_32_Million_Passwords.html"
target="_blank">「Imperva」社サイトのこちらによると、調べたユーザーの実に半分近くがパスワードとして「名前やスラング、辞書にある言葉、簡単な言葉（数字の連番や「qwerty」などキーボード上で並ぶ文字列そのまま）など」、推察しやすいものを使っているとか。

これはいったいどういうことなのでしょう？　人類はネットに慣れて賢く用心深くなったかと思いきや。むしろネットに慣れすぎてしまって安全ボケしているのかもしれません。記事では調査したImpervaの担当者が「人類の遺伝子レベルの欠陥なんじゃないかと思う（I guess it's just a genetic flaw in humans）」とまで。

とするならばせめて、2種類のパスワードを使い分けてくださいというアドバイスに、なるほどと思いました。銀行やメールなど高いセキュリティーが必須なサービスについては、長くて複雑なパスワード（少なくとも12文字で、英数字や記号を組み合わせたもの推奨）。それほどセキュリティーを必要としない（つまり個人情報を提供していない）SNSやお遊びサイト用には、短くて単純なものを。

米ニューヨーク州の銀行、SCNBがSQLインジェクションで顧客情報漏洩。
8千件以上の顧客情報。credentials、とあるからパスワードのことか。
その情報が平文で保存されていたと指摘されている。
攻撃方法はSQLインジェクションではないかと思われる。

SCNB hit by breach - over 8,000 clear text credentials stolen - Security

According to Amichai Shulman, Imperva's CTO, what is amazing about the case is not just the fact that the bank has taken until earlier this week to reveal that around 10 percent of its customers' credentials were compromised, but that the data was stored as plain text.

"What I find astonishing about this hack is that you would think that a banking application would undergo much more stress testing than most and, as a result, the storage of user credentials in plain text would have been spotted and remediated early on in the system development process," Shulman said.

"Although the full modus operandi for this banking hack has yet to be revealed, but given that the server was accessed and 8,378 credentials were stolen, I would assume the attacker gained access using an SQL injection approach," he added.

米軍のサイトが侵入され、DBの情報がさらされた。
U.S. Army Website Hacked - DarkReading

犯人は、TinKode、ルーマニアのハッカーらしい。先月はNASAのサイトに侵入した人。
TinKodeのブログ上の報告記事。
TinKode Stuff » Blog Archive » Army.mil full disclosure
マイクロソフトSQLサーバーのSQLインジェクション脆弱性を利用した、とある。テーブルのリスト、平文で保存されていたパスワードなどが掲示されている。
テストから、攻撃ステップが報告されている。
1=1という古典的なパターンが成功、1=2にすると詳細なエラーメッセージを表示してしまっている。

SQLインジェクションでカード情報1億3千万件を盗まれたHeartlandがVisaに$60Mの支払いで合意。

Heartland To Pay Up To $60 Million In Breach Settlement With Visa - security breaches/Attacks - DarkReading

フリー~〈無料〉からお金を生みだす新戦略 (単行本)
クリス・アンダーソン (著), 小林弘人 (監修), 高橋則明 (翻訳)

# 単行本: 352ページ
# 出版社: 日本放送出版協会 (2009/11/21)
# 言語 日本語
# ISBN-10: 4140814047
# ISBN-13: 978-4140814048
# 発売日： 2009/11/21
新宿あり 予約2件目

原著：
Free: The Future of a Radical Price (ハードカバー)
Chris Anderson (著)
# ハードカバー: 288ページ
# 出版社: Hyperion (2009/7/7)
# 言語 英語, 英語, 英語
# ISBN-10: 1401322905
# ISBN-13: 978-1401322908
# 発売日： 2009/7/7

スゴイ速さで翻訳が出たんだなあ。訳文はところどころ読みにくい。

デジタルデータを筆頭として、いろいろなものが無料化されていく状況の解説。
ロングテールのWired編集長の新刊。
（ロングテールも、アップデート版なんて、出してるのね。）
ロングテール(アップデート版)―「売れない商品」を宝の山に変える新戦略 (ハヤカワ新書juice)
Googleのビジネスや、Linux、その他多数の事例を紹介して、フリーのビジネスの隆盛を論じる。
1895年に米国で発明された食品Jell-Oのレシピ配布が無料のものをマーケティングに使う手法の始まり、として紹介（試供品はその前からあったみたいだけど）するのを皮切りに、歴史的経緯を紹介しているのは面白い。
そして今では、オンラインでは無料であることが当たり前になっている、とまで言い切っているけど。
ちょうど、マスメディアが有償化の動きを見せ始めたのは、皮肉になってしまった。

Media Outlets Prepare to Charge for Content Online - NYTimes.com
ルパート・マードックのNews CorporationがかかえるFox News Channel, The Times of LondonやThe New York Postを遠からず有償化するのを始めとして、ビデオのHuluなどいろんなメディアが有償化を検討しているらしい。
マードックがWSJに書いたコメント：
【オピニオン】新技術はジャーナリズムの脅威ではない＝マードック氏 / オピニオン / オピニオン / ホーム - The Wall Street Journal, Japan Online Edition - WSJ.com

質の高いコンテンツは無料ではないということだ。今後、質の高いジャーナリズムの命運は、報道機関が料金を払うに足るだけのニュースと情報を提供することで顧客を獲得できるかどうかにかかっている。

無料のルールというのを提唱している。
説明も書いてあるけど、根拠は今ひとつよく分からない。
他にも、根拠や出典がよく分からない話がいっぱいあった気がする。

1.デジタルのものは、遅かれ早かれ無料になる
2.アトムも無料になりたがるが、力強い足取りではない
3.フリーは止まらない
4.フリーからもお金儲けはできる
5.市場を再評価する
6.ゼロにする
7.遅かれ早かれフリーと競いあうことになる
8.ムダを受け入れよう
9.フリーは別のものの価値を高める
10.稀少なものではなく、潤沢なものを管理しよう

人は原子、世界は物理法則で動く―社会物理学で読み解く人間行動 (単行本)
マーク ブキャナン (著), Mark Buchanan (原著), 阪本 芳久 (翻訳)

# 単行本: 310ページ
# 出版社: 白揚社 (2009/06)
# ISBN-10: 4826901550
# ISBN-13: 978-4826901550
# 発売日： 2009/06

社会現象を考える上で、人間ひとりひとりの行動、特性を考えていてもわからないことが多い。集団として初めて現れる特性が重要。それを社会物理学といって、原子の集合の特性を扱う物理学の考え方を取り入れる。

ダニエル・カーネマンの、頭と腹の、二つのシステムや、ベル型カーブでは説明できなくなる広い裾、の話など、他の本でも出てきた内容があり、この辺が最近注目されているんだな。

翻訳はあまり読みやすくない。

関連を感じた本：

• ブラック・スワン―不確実性とリスクの本質 ナシーム・ニコラス・タレブ - けにあmemo


• リスクにあなたは騙される　ダン・ガードナー - けにあmemo


• なぜ、アメリカ経済は崩壊に向かうのか―信用バブルという怪物: チャールズ・R. モリス, Charles R. Morris, 山岡 洋一: 本 - けにあmemo

この本の場合は、個人個人は利己的な考え方があるのに、集団の中では互恵的な行動をとるようになるところに注目している。
性善説的な説明で、嬉しくなる。

原タイトルは、The Social Atom。すっきり、カッコいいタイトル。
タイトルを翻訳するのって難しいなあ。

The Social Atom: Why the Rich Get Richer, Cheaters Get Caught, and Your Neighbor Usually Looks Like You (ハードカバー)
Mark Buchanan (著)
The Social Atom: Why the Rich Get Richer, Cheaters Get Caught, and Your Neighbor Usually Looks Like You

# Hardcover: 256 pages
# Publisher: Bloomsbury USA (May 29, 2007)
# Language: English
# ISBN-10: 1596910135

監視ビデオカメラが、スマトラトラを撮影した記事。
TigerCam: First-Ever Video of Sumatran Tigress and Cubs in the Wild | Wired Science | Wired.com

初めてらしい。
World Wildlife Federation が設置した監視カメラに、虎が近づいて匂いを嗅ぐ。その後、おそらくカメラを舐めているのではないか、とのこと。

Tiger cubs sniff WWF camera trap from WWF on Vimeo.

日本は優秀なハイテク製品で評価が高いけど、状況が変わってないか検証してみよう、という記事。
Roundup: East vs. West Smackdown | Wired.com Product Reviews

最初はビデオカメラで、
Japan Sony HDR-XR520V
対
USA Canon Vixia HF S11

CanonはいつからUSAの会社になったんだ。
しかも評価内容が、メモリ容量がソニーの方が大きいからソニーの勝ち、って。

他の哺乳類は良いけど鯨を食べるのは野蛮と批判する人たちの船の事故。
シー・シェパードの捕鯨抗議船　日本の監視船と衝突 - MSN産経ニュース

　シー・シェパードによると、ギル号は抗議活動中に第２昭南丸に衝突され、船体が半分以上沈んだ状態になった。シー・シェパードは「（事故発生時）ギル号は静止していたが、突然衝突された。（日本側は）救助もしてくれなかった」と批判。調査捕鯨を行う日本鯨類研究所は、ギル号が衝突してきたとしている。

　水産庁によると、ギル号は６日午前、調査捕鯨船団の母船に薬品入りのボールのようなものをぶつけたり、船団に異常接近するなどの妨害行為を行った。事故当時、第２昭南丸は近づくギル号に放水などで警告したが、ギル号が急に減速するなどしたため衝突したと説明している。（共同）

ビデオを見ると、どちらが真実かは明らか。

全然静止してないし、警告もしてる。
当たり屋だな。

暗号化 プライバシーを救った反乱者たち スティーブン・レビー 斉藤 隆央 (単行本 - 2002/2/16)

新品: ￥ 2,625
# 単行本: 482ページ
# 出版社: 紀伊國屋書店 (2002/2/16)
# ISBN-10: 4314009071
# ISBN-13: 978-4314009072
# 発売日： 2002/2/16

確か、公開鍵暗号誕生の経緯を書いた本があったなあと思って、でもしばらく思い出せなかった。 読んでみたら、これだった模様。
前半、ディフィーとへルマンによる公開鍵暗号方式、RSAの三人によるRSAアルゴリズム、の二つが発明されるところが楽しい。
そしてRSAが会社になって最初苦戦して成功し始めるあたりまでは面白く読めた。

用語が、ちょっと疑問。
復号化、はやはり違うと思うし。
ハッシュ・アルゴリズム（訳注：検索を高速化するアルゴリズムの一種）っていうのもなあ。文脈によっては正しいだろうけど。この際、ソートや検索のためのハッシュとは、意味が違うだろう。

原著: Crypto: How the Code Rebels Beat the Government--Saving Privacy in the Digital Age (Penguin Press Science)
# ペーパーバック: 368ページ
# 出版社: Penguin (Non-Classics); Reissue版 (2002/1/15)
# 言語 英語, 英語, 英語
# ISBN-10: 0140244328
# ISBN-13: 978-0140244328
# 発売日： 2002/1/15

ハードカバーの出版は、Viking Adult (2001/1/4)。

表紙に、David Kahnの推薦文として、暗号における『超マシン誕生』だ、と書いてあるけど。 分かるひとがどのくらい居るのかな。超マシン誕生―コンピュータ野郎たちの540日 (1982年)

毎年、正月にはなにか起こるのね。
『アメーバブログ』で前代未聞の情報漏えい！ 芸能人ブログのパスワード流出で芸能人「ショック」と嘆く - livedoor ニュース『アメーバブログ』で前代未聞の情報漏えいが発生した。『アメーバブログ』はタレントやモデルなどの芸能人ブログに力をそそいでおり、日本最大数の芸能人ブログをサービスとして公開しているのだが、その芸能人たちのIDとパスワードが記載されているエクセルデータがインターネット上に漏洩しているのである。しかも、複数の芸能人ブログから情報が流出している状態である。

情報漏えいが発覚したのは2010年1月1日の午前1時ごろで、そのころに掲載された芸能人数人のブログ画像がなぜかエクセルデータになっており、そのエクセルデータをダウンロードすると『アメーバブログ』運営スタッフの管理表のようなデータが手に入るという。その画像というのは『アメーバブログ』側が用意したお正月用の画像で、その画像のみがエクセルデータを含んでいる。

管理表には数百人の芸能人ブログのIDとパスワードが記載されており、ブログデザインの進行進捗なども同時に書かれている。また、各芸能事務所の担当者のメールアドレスらしきものも多数記載されている。これほどまでに芸能人のパスワードが漏れた事例は過去にないだろう。前代未聞の情報漏えいである。

当編集部は『アメーバブログ』の運営会社サイバーエージェントに電話をしたものの、当然かもしれないが1月1日とあって電話対応する者はおらず。このことに関して『アメーバブログ』のエクセルデータ製作者に直接電話をしてお話をうかがったところ、「ご迷惑をおかけしております。ただいま早急に対応中です。パスワードを変更していただければ問題ありません」と話していた。サイバーエージェント側は1月1日午前3時現在、すでに対応にあたっているようだ。