業務アプリだけど……経験アリ＞要件定義段階でのセキュリティの検討

セキュアデベロップメント - ikepyonのお気楽な日々～技術ネタ風味～
セキュアデベロップメントそにょに - ikepyonのお気楽な日々～技術ネタ風味～

Webアプリじゃなく一般的な業務アプリになりますが、昔(もうかれこれ3年程前)に要件定義段階でのセキュリティに対する検討作業を進めた事があります。

この時はやや特殊な事情があり、要件定義段階からセキュリティ要件を詰める事が求められ、自分が担当となって作業を進めた事があります。
(尤も、その後色々な事情でデスマ化したんですけれど。orz　あ、自分が原因じゃない事だけは確かです(設計(外部設計)の段階で顧客に振り回されたってのが原因)。幸いな事に、自分はデスマ化する前に足を洗えたんですが(苦笑)。)

この時はJIS X 5080(今のJIS Q 27001)の詳細管理策をベースに、ハード、システム(主にOSやNW機器への設定)、開発、運用それぞれに対して、最低限満たすべき大粗の要件を定めてました。

多分Webアプリでも要件定義の段階で定められる内容って、恐らくこの程度のような気がします。
(あんまり細かく詰めてしまうと、いざ開発する段階で「あれがダメ」「これがダメ」という事で骨抜きになってしまったモノが出来てしまう恐れが強い気がします。)

……寧ろこの段階では、開発に関わるメンバ全員に対して「今回開発するモノはセキュリティに対して十二分に意識を払う必要があるぞ～」という意識付けを行うために行うようなものでは？、と思っていたり。

まぁ……開く人は開きますね＞Targeted Attackなメール

ターゲッテッドアタック - まっちゃだいふくの日記★とれんどふりーく★

ごく一部の人(※1)には口頭などで説明していたりするので知っているかもしれませんが……それ関係で飯を食っている(※2)のであまり大きな声では言えませんが……

まず間違いなく開く人は開きます……どの位と言われると正直困りますが……攻撃対象となる人の集団の質にもよりますが、最低1割は開くかなぁ……と。

個人的には、もし攻撃者の立場になって考えるなら……

添付ファイルよりも悪意のあるコードが置かれたURLを本文に記述(企業ユーザにアタックするならともかく、不特定多数の場合MS-Officeは入っていない人もいるから)

シナリオを「添付ファイルに書いて返信」から「リンク先にアクセスして画面の指示に従って入力」に変更、本文を修正

リンク先のURL、特にドメインはそれっぽいドメインを取得

リンクをクリックしてしまうと、悪意あるコードが実行され……(以下略)

……というシナリオにしてしまうかなぁ……。

「Plain-Textメールだとリンク先の偽装ができないので、URL丸見えなんですけどw」という意見に対しては……「それでもクリックする人はいる(事実 orz)」と切り返して差し上げます(苦笑)。
(この手の攻撃は……攻撃者側にとっては「100人送って1人でも開いてしまえば勝ち」であって、守る側からすると「えらい不利」だったりする訳でして……。)
---
(※1)例えばSKUFスタッフメンバとか……まっちゃさんやヤマガタさんにも「まっちゃ139勉強会」の懇親会で軽く話した事があったりします。
(※2)そういうメールによる被害を如何に避けるのかという方で、です。当たり前ですが、そういったメールを送る(spammer)側じゃないですよ。

+Lhaca デラックス版 Ver 1.20に脆弱性(追記アリ)

「+Lhaca」に任意のコードが実行されるパッチ未提供の脆弱性、Symantecが公表 - 窓の杜
米Symantec Corp.のBlogによる記事はココ。

+Lhaca(らか)デラックス版 Ver 1.20(以降、特に断りが無ければ「+Lhaca」と表記)に、特定の細工が施されたLHA形式書庫ファイル(*.lzh)を +Lhacaで開こうとすると、+Lhacaが強制終了したり、ウイルスなどの任意のコードを実行できてしまう脆弱性が発見されたとの事。

既にこの脆弱性を突くためのLHA形式書庫ファイルもInternet上に出回っており、Symantec製アンチウイルスソフトではTrojan.Lhdropperという名前で検出されます。

なお、デラックス版以外のバージョン(通常版、機能拡張版)に脆弱性が含まれているかは不明。

現時点(2007/6/26 14:15頃)において、+Lhaca公式サイトでは特に何もアナウンスされていませんし、対策済みのバージョンも公開されておりません。

……現時点では、+Lhaca以外の書庫解凍ソフトを使うのがベターかも……。
---
(2007/6/27 11:45頃追記)
セキュmemo経由。

正式版ではないものの、一応の対策版であるVer1.21が出ました。

……ただなぁ……正式版ではないとは言え、公式Siteのトップから全く辿れないのは如何なものかと(溜息)。＞Ver1.21
---
(2007/7/2 14:35頃追記)
修正したばかりの+Lhacaにまた脆弱性、新たな修正版をリリース - ITMedia
Ver1.21にも脆弱性が残されており、その後出たVer1.22にはテストコードが残されたままになっており orz 、更に新しいバージョンである1.23が出ました。

今度はトップページからも辿れるようになっていますね。

勉強会・懇親会以外での様子＞京都・大阪

勉強会(懇親会含む)の様子については、先に書いた通りですが、それ以外の様子はこんな感じでした。
---
(1日目 - 東京発)

定時即上がりで自宅に一旦帰宅

夜行バスの予約受付メールの内容を確認……「発車1時間前までに発券処理して下さい」だとーっ!!

この時既に19:30……発車は23:10なので、22:10までには発券処理……自宅からJR東京駅まではドアtoドアで1時間強……まずいぞ……

大慌てで残りの荷物を詰めて、シャワーを浴びて着替えて……夕食食べる暇なんて無いので、慌てて自宅を飛び出す

地元駅に到着した時に……定期を自宅に忘れた事に気付く orz

電車に飛び乗って、東京駅までゆらゆらと揺られつつ、軽く仮眠

東京駅には21時過ぎに到着、コンビニでバスの中で飲み食いするモノを調達し、大慌てで発券を済ます(安堵)

八重洲中央口外にある「ほんのり屋」で軽い夕食

時計を見ると、まだ21:30過ぎ……まだまだ時間があるので秋葉原に移動し、ゲーセン(Hey)で時間を潰す

22:55頃再び東京駅に到着、バスが来るまで待つ

バスは今回は1台編成(週末は人が多いので、2台編成になる時もある)

何故か今回も座席は「4A」……この席出にくいんだよなぁ……(4B席を跨いで出る必要がある)

途中PAでトイレ＋お茶休憩……その後暫くはウツラウツラと半分寝ていて半分寝ていない状態が続く
---
(2日目 - 京都→大阪→京都)

6:50頃、予定より早く京都に着く

7:00に京都タワー下の大浴場で汗を流す……この時間帯は自分と同じく夜行バスによる観光客がメインの様子

その後京都駅南口側にあるネット喫茶で時間潰し

10:00頃に活動再開、まずは駅の土産物屋でお土産を調達、その後遅めの朝食

地下鉄に乗り、四条駅→阪急烏丸駅に移動、泊まりのための荷物などの持ち歩きたくない荷物をコインロッカーに預けて、阪急で大阪へ

大阪(梅田)まで40分強……実際に体験すると、京都の人が大阪へ(またはその逆)気軽に移動するというのが良く分かる……関東で言うと、東京～横浜間がその感覚に近いかも……

初めての大阪～……歩くスピード速っ!!、エスカレーターも止まる人は右側だよ～(関東は左側なので)

大阪駅の地下街は広いし複雑……新宿の地下街よりも複雑かも……

ベタだけど、まずは「道頓堀」へ……地下鉄御堂筋線でなんば駅へ

なんば駅を下車……雨が酷い……何もこんな日に降らなくても(涙)

戎橋に到着……只今架け替え工事中、道頓堀には飛び込めないよう、高い塀が建てられていたり(笑)

更に「グリコのネオン」も只今お色直し工事中で、網が被せられていたり……

道頓堀商店街を東に向かって歩く……最初はやや観光客向けの店が中心だが、堺筋に近づくにつれて、なにやらアヤシイ雰囲気に……

地下鉄堺筋線の日本橋(にっぽんばし)駅まで歩く……雨が酷いよ～(涙)

1駅乗って「恵美須町」駅まで移動、今度もベタだけど「通天閣」へ

通天閣に初めて登る……大阪の街が一望できる……これで雨さえ降っていなければ……

ジャンジャン横丁まで歩き、美味しいと評判の某串カツ屋で昼食

本場大阪での串カツは初体験で、ソースどぶ漬けは「濃いのかなぁ……」と不安に思ったが、いざ体験してみると、どぶ漬けにしないと薄い位、そして美味しい

動物園前駅から梅田に戻る……ここから南は「でんじゃらすぞぉん(※1)」なので要注意!!

梅田で時間潰し……まぁ、主にドルオンとかドルオンとかドルオンとか orz

18時過ぎの阪急京都線で京都に戻る……座席に座れてのんびりモード

19時過ぎに京都(阪急烏丸)に到着、コインロッカーに預けていた荷物を回収して宿(東横イン 京都四条烏丸)へ

宿で荷物を整理後、外出

某牛丼店で夕食……全国馴染みの味である意味安心(マテ)

四条河原町までテクテク歩く……日も沈み、雨も止んだため結構過ごしやすい

河原町のナムコワンダータワーでドルオンとか orz

あ、でもプレイ料金が下がっていたのは嬉しいかも(500円6クレジット→200円3クレジットで事実上100円値下げ)

23時に宿に戻る

宿備え付けのLAN接続口からInternetへ接続、Webメールの確認後就寝
---
(2日目 - 京都(まっちゃ139勉強会・懇親会)→京都発)

朝はいつも通りの時間(5:20頃)起床……習慣って怖いですね(苦笑)

7:00から宿の朝食サービス(おにぎり、味噌汁、お茶)開始……結構美味しいかも

9:00頃まで部屋でノンビリ身支度し、荷物をまとめる

9:00頃宿チェックアウト……京阪四条駅まで歩いてみる

朝はまだまだ過ごしやすく、歩いてもあまり汗をかかない……が、日を浴びると……とーけーるー(嘘)

会場(龍谷大 深草キャンパス)最寄り駅の深草駅を下車……日差しが……暑ひ……

途中、何故かリクルートスーツを着込んだ集団とすれ違う……とっても暑そう……

めざまし勉強会後、学食で昼食……結構美味しいし、何より安い……こんな食堂が職場近くにあれば……orz

勉強会終了後、懇親会会場である三条へ移動……流石週末の夕方、観光客が多い^2

懇親会終了後、バス発車時間(23:00)までの間、やはり時間潰しでドルオンとか orz

22:50前には京都駅前のバス発着場に到着、バスに乗って東京へ

今回は初めて座席がC列(4C)だ～(喜)

珍しく爆睡モード(笑)
---
(4日目 - 東京着)

6:40頃に東京駅着、急いで自宅に帰る

荷物を置いて、風呂に入って……大慌てで自宅を飛び出る(別の用事があったため)

……結局、別の用事が済んで帰宅したのが17時頃……当然の如く(マテ)倒れて意識を失い、気がついたら真夜中でした。

いっぱんじん(※2)の皆様は、決してこんな無茶な日程を組まないように(笑)。
---
(※1)ある意味「リアルUG」な領域……通天閣の展望台から見ても、その様子をうかがい知る事ができます。決して「真っ当な人」が立ち寄って良い場所ではありません……興味がある方は各自で調べてみる事。
(※2)決して「逸般人」の方じゃありません(マテ)。

お疲れ様でした＞第11回まっちゃ139勉強会

少し遅れてしまいましたが、第11回まっちゃ139勉強会のスタッフ、講師、参加者の皆様、当日(6/23)はお疲れ様でした。

基本的に内容は「非公開」なので、あまり詳しい事は書けませんが、書いても差し支えなさそうな点のみ簡単ではありますが、ご報告という事で。
---
(0.めざまし勉強会)
HitoさんによるUbunto LinuxのLiveCDカスタマイズ用ツール(Ubinto Customizetion Kit:UCK)の紹介。
国内でUNIX/Linux系OSでLiveCDと言うとKnoppixが有名ですが、Ubunto LinuxはインストールCD自体がLive CDという面白い特徴があります(最近ではFedoraもこのスタイルを採用しています)。

LiveCDのカスタマイズと言うと、かなり難しい(経験とカン(特に容量計算)が必要になる)というイメージがありますが、最近はカスタマイズ用ツールが色々出ているよ～、というお話(とは言え、まだまだ発展途上な領域でもあるため、ある程度の技術力と「気合と根性w」で乗り切れる人以外は、手を出すのはもう少し待ってからの方がベターかも……)。

個人的には……ディスクイメージを取得し、外付けドライブやネットワークHDDに保存するためのLive CDが欲しいかなぁ……。
---
(1.セキュアOSについて)
田口さんによるセキュアOS概論。

中には「爆弾発言w」もありましたが、「非公開」なので書けません(笑)。
(この発言の瞬間、会場が笑いの渦に包まれましたとも、ええ。)
---
(2.パネルディスカッション)
柳原さん(Windows Server Worldで連載中の「システム管理者の眠れない夜」の著者)、ずきんさん、やたさんの3名がメインパネラーとなってのパネルディスカッション。

内容はやはり「非公開」なので書けませんが、一言で言えば「システム管理者は大変だけれど、みんな一生懸命頑張ってるよ～」……かなぁ……。

最近はシステム管理者らしい事はしていませんが、聞いていて、昔の雇われ管理者だった頃の記憶が甦ってきましたよ。
---
(以下 勉強会での雑感)

yamagata21さんが「いつもの指定席w(※1)」に座っていないっ!!(爆)

しかもずきんさんに「邪魔」発言(※2)されてイジケテたし(苦笑)

あえて名前は書かないが、某人の荷物の中の……むき出しの無線LAN外付けアンテナ(大きいヤツ)……よく職質受けなかったよなぁ……(苦笑)

やはりまっちゃさんは話の仕切りが上手い……『セキュリティ系エンターティナー』を名乗っても良いかも(マテ)

ちょっとパネルディスカッションでの議論がごく一部の人に限られてたような気が……(参加者が多いので、どうしても全員が議論に参加というのは難しいかもしれませんが)

会場が広いと電源確保も少し大変……次回以降はちゃんとした電源タップ(※3)を持っていこう(と毎回思いつつ、荷物の関係で持っていけてないし(苦笑))


また、懇親会の話は……あまりに「アレ(※4)」なので書けませんがな(ヲ
---
(※1)最前列の右端の席の事
(※2)確か受付作業時の時だったかなぁ……
(※3)家電量販店で売っている、家庭用タップの事　決してサージフィルタ付きのOAタップの事じゃありませぬ＞誰となく
(※4)■い話とか■い話とか■い話とか(マテ)

流石に日曜は倒れたが(苦笑)＞京都・大阪

何とか生きて帰ってきました(ヲ
流石に……

1泊4日

……という、どう考えても国内旅行の日程じゃないスケジュールは、流石に過酷でしたヨ。

帰京直後に(野暮用で)都心を歩き回ったという事もあり、流石に夕方～真夜中にかけて倒れていました(苦笑)。

まぁ、このネタでまっちゃ139勉強会の自己紹介の時にウケが取れたので、それはそれで良かったのですが(マテ)。

京都着

タイトルのとおりw
無事京都に着きました。

先に職場や家族用のお土産を買ってから、宿の最寄り駅(四条・烏丸)を経由し、荷物をコインロッカーに預けて身軽になってから大阪に行きたいと思います。

ベタだけど、この目で通天閣や道頓堀は見ておきたいですから(笑)。

そもそも使う理由が無いし＞MS製レタッチツールなど

100年Windows：マイクロソフトのレタッチ・ソフト - ITPro

あー、そう言えばそんなモノあったよねぇ(苦笑)。＞Digital Image Pro
多分「写真を撮る事が好き」という人にとっては、MS製のツールは「眼中に無い」んですけれどw

そもそも「アルファユーザ」である「プロ」や「ハイアマチュア」が要求するニーズを満たしておらず、細かい部分に手が届かないツールを好き好んで使う気にはならないし。
また各種ワークフローでのノウハウの殆ども「Adobe Photoshopを使っている事」が前提条件とされている以上、ますます使う理由が無くなる。

じゃあターゲットとしている「エンドユーザ」は？
そもそもデジタルカメラを買った時に付属しているツール(モノによってはPhotoshop Elementsなどがついてくるし)を使うだろうし、わざわざレタッチツールや画像管理ツールを「単体で」買うだけのベネフィットが見出せない以上、やはり手を出すという人はあまりいないだろう。
強いて言えば「標準で満足できない人」が他のツールに手を出すかもしれないが、最近はオープンソース系(GIMPなど)や各種フリーソフトも充実しているし……。

ついでに……Exif情報で画像管理します？
私は使いませんよ、そんな面倒な事好き好んでしませんってば(苦笑)。
素直に撮影した日・シーン毎にフォルダを作成し、フォルダ単位で管理した方がよっぽど楽です。
(Exif情報使うのって……強いて言えば、撮影時の情報(焦点距離・絞りなど)を確認する程度だし……。)

既に心は京都・大阪へ～

……といきたいのですが、明日夜の出発に向けて、やらなくちゃいけない事が山積だったり。orz

• 帰りに銀行で軍資金を引き出しておく
• ネットで予約した夜行バスの確認メールをプリントアウトする(※1)
• 同じく宿の予約確認メールをプリントアウトする
• 荷物の準備を行う
  • 換えの服
  • 歯ブラシ・髭剃りなどのアメニティ用品
  • ノートPC
  • ACアダプタ、PHS充電用のケーブル類などの小物
  • 日常呑む薬や風邪薬などの予備に持って行きたい薬
  • その他必要と思われるモノ……でも荷物は最小限にまとめておきたい
  
  
• 勉強会会場に行くまでのルート(乗り換え)情報を検索し、プリントアウトする
  
• 同じく京都(京都駅周辺、勉強会会場周辺、懇親会会場周辺)・大阪の地図をプリントアウトする
  
• 家族用に、旅行の行き先・日程などのスケジュール情報を軽くまとめ、印刷しておく(※2)
  

……んー、このくらいかなぁ……。
---
(※1)特に予約番号が重要……これを忘れると折角予約した夜行バスのチケットを発券してもらえないので(苦笑)。
(※2)勿論「万が一の時」用……まぁ、出来ればこれが役に立つような事は起きて欲しくはないですが。

---
(2007/6/21 15:40頃修正)
完了したタスクに取り消し線を入れてみました。
……後は家に帰って詰めていない荷物(少しだけですが)を入れればほぼ準備完了ですね。

VMWare Converter 3.0を使ってみた

さる事情により、P2V(Physical To Virtual)コンバートに関する事を検証する事に。

色々調べてみて、VMWare.incが無償で提供しているVMWare Converter 3.0 Starter Editionを試してみる事に。

途中紆余曲折がありつつも、Win2kサーバが入ったPCサーバのイメージを作成する事に成功。

……もっと変なトラブルがあると面白いのに(マテ)。

で、今探しているのがUNIX/Linux環境に対するP2Vコンバーター。しかもネット(LAN)経由でコンバート作業が行えるモノ。
ローカルで作業するタイプなら、色々なツールを組み合わせれば出来るっぽいんだけれど、それだと自分のニーズに合わないからなぁ……。
(要はコンバート対象に対して、あまり影響を与えない/残さないでコンバート作業ができるツールが欲しいのですヨ。)

誰か良さげなツール知りません？＞誰と無く

ID・パスワードを聞き出そうとする電話にご注意を

ISPを装い電話でID/パスワードを聞き出す手口に注意 --- JPCERT/CCが警告 - ITPro
JPCERT/CCからの発表はココ。

最近「ISPからの委託業者」を名乗る者から電話がかかり、ID・パスワードを聞き出そうとする事があったとの事。

まずはそのように名乗る者から電話がかかってきても、決してID・パスワードは教えない事(まずはどのISPからの電話なのか、向こうに名乗らせる事……どうやら相手はコチラが話す内容を基に、どのISPに契約しているのか推定しようとするとの事なので)。

万が一教えてしまったら、速やかにパスワードを変更し、ISP側に連絡して下さい。

上手いっ!! ＞ IPA 情報セキュリティ標語2007

「情報セキュリティ標語2007」の入選作品決定 - IPA

何故か./J経由(ヲ

うーん、流石賞を頂いている作品だけあって、皆さんなかなか上手いですね。思わず「うーん」と呻ってしまいました。

特に大賞を受賞した標語
「忘れずに、ネットと心のファイアーウォール」
は秀逸かと。

システムだけで守る事はどうしても難しく、やはり皆さんの普段からの心がけも重要ですよ、という事を再認識させてくれる、非常に良い標語だと思います。

月刊MS 2007/6号

2007 年 6 月のセキュリティ情報 - Microsoft
今月は計6本……ですが……

内1本はVisioに関するもので……まぁ、普通の人のPCにはまず入っていない(※1)ものだと(苦笑)

更にOSに関わる2本は、XP以前に当てはまるものと、Vistaのみ当てはまるものがある
……ので、実質4本という感じですね。サクサクMicrosoft Update/Windows Updateしてしまいましょう。

---
今月からセキュリティ情報のレイアウト変更が行われたんですが、一部の人達にはえらく不評なようですが(まぁHTMLがキタナイのは以前のレイアウトの時もそうだったような気がするのですが(汗))……私個人としては、前よりもずっと見やすくなったと思っています。

要は「慣れの問題」だと思うのですが(苦笑)。

あと……「謝辞」の部分で……

MS07-034 の問題を報告してくださった WebAppSec.JP の HASEGAWA Yosuke 氏

……あれ？、見た事ある名前が(笑)。

落ちた orz ＞ テクニカルエンジニア（情報セキュリティ）

「午後I」で足切り orz

……点数は聞かないで下さい（苦笑）。

まぁ、今回は全く勉強していなかったからなぁ、hahaha(マテ)。
(参考書すら買っておりませんよ……まぁ、我ながら無謀な事したよなぁと今更ながら思っておりますが。)

そう言えば今日は情報処理技術者試験の合否発表日だった……

そう言えば今日は情報処理技術者試験(※1)の合否発表日だった……んだけれど、受験票をお家に忘れたので、今どうか見る事が出来ないです。orz

……多分合否結果は深夜～明日AM中にはご報告できると思います。