6 posts tagged “security”

「NPO法人 飲酒運転防止対策振興会」とやらから怪しいメールが届く。ググってみると，文中の URL に同名のサイトはあるようだ。官僚の天下り先？ 文面はこんな感じ。

初春の候、益々ご清祥のこととお慶び申し上げます。
大変お忙しいところ突然のメールで失礼します。
NPO法人飲酒運転防止対策振興会（http://ddca.jp/）では、飲酒運転撲滅のための『飲酒運転ゼロ宣言』（http://ddca.jp/zero.php）をする宣言者と協力者を募集しています。
このメールは、そちら様のホームページを拝見して、送らせて頂きました。

飲酒運転をなくすための対策として罰則強化が図られましたが、罰則強化だけでは限界があります。全てのドライバーが自らの自覚に基づいて宣言者になれば、飲酒運転を撲滅出来ます。『飲酒運転ゼロ宣言』は、少しでも安心して暮らせる社会を実現する運動です。

多くの企業や団体、個人の方々に『飲酒運転ゼロ宣言』をお願いしています。
その上ぜひ、社会全体への意識啓発の一貫として、多数のホームページに当会バナーを掲載して頂きたくご依頼しております。
『飲酒運転から子どもの命を守る』ために、是非とも貴ホームページにも御記載して頂き、皆様にも同時に『飲酒運転ゼロ宣言』をお願い申し上げます。

このあと連絡先とバナー画像の案内が続くのだが... From フィールドにメールアドレスがなくて，めちゃめちゃ怪しいんだってば。でもヘッダを見てみたけど経路は（plala から発信されてるけど）まともっぽいかなぁ。ボットの可能性もあるけど， X-Mailer は “WsMail 1.7” ってなっていて，なんか同報メール配信（つまり spam 御用達）ソフトらしい。

まっ，そういうわけで spam ではかもしれない（少なくとも発信した人にはその自覚はないかもしれない）が，色々アレな感じ。だいたい，今時 From フィールドにすら電子メールアドレスを書かない（もちろん Sender フィールドなんかない）メールを誰が信用するっちうねん。ちうわけで，結局ゴミ箱へ。

もう電子メールは，リアルで近しい人とか SNS 等で事前に繋がっている人でない限り，電子署名を付けるなどして何らかの証明をしないと信用できない。 SiteAdviser でチェックしたら，案の定 spam の疑いをかけられてるし。電子メールの取り扱いにはご注意を。

• draft-ietf-openpgp-rfc2440bis-22.txt

次期 OpenPGP （RFC 2440bis）の Rev.22 が出ました。つっても章構成が若干変わったくらいで（Security Considerations の記述が別章になった）ほとんど変更なしですが。

ちょいネタだし，こっちでいいか。

“ietf-openpgp mailing list” で，すずきひろのぶさんが OpenPGP の暗号リストに Camellia 暗号を加えるよう提言されている。そしたらそのスレッドが凄いことに（笑）

後でちゃんと読む。

相変わらず，四コマ漫画ばっかりです。

今週は比較的暇なので，ブルース・シュナイアーさんの本を読んでます。私にしては珍しく本家で読書録を書きながらの本読みです。まっセキュリティ方面は仕事にも関連するところがあるしね。しかしまぁ，あまり根詰めると疲れてくるので「お言葉集」みたいなネタ本に走ったりするわけです。

でもこの『裁判官の爆笑お言葉集』はまぢでお薦めです。気楽～に読めるところがいいですね

今月は Microsoft のセキュリティ更新の項目が多かったせいなのか，自宅のマシンがなかなか「インストール準備完了」にならない（いつもはダウンロードまで自動で行ってインストール準備が完了したら通知させてインストールは手動で行う）。いっそのこと Microsoft Update を使って全部手動でやっちまおうかとも思ったけど，まぁそんなに急いで対策するほどのこともないだろうと放置してたら，先ほどようやく準備完了の通知が表示される。

やっとかぁ。稼動中のアプリケーションを全部落としてインストール作業を開始する。んで再起動っと。自宅のマシンは基本的に立ち上げっぱなしなのでこういうときでもないと再起動しないんだよねぇ。

最近は MS Office 関連の脆弱性報告が多い。まぁ私はだいぶ前に MS Office は捨ててしまったのであまり影響はないのだが。ある時点で暴露されている脆弱性の多さが（同様の機能の他製品に比べて）その製品自体の脆弱さを示すとは限らないのだが，脆弱性が暴露されるペースに比べてそれが修正されるペースが明らかに遅いというのはかなり問題かもしれない。ひょっとしたら今年はそういう観点から Office 製品の乗り換えが促進されるといったことがあるだろうか。だとしたら面白いのに。

せっかく OpenPGP のグループにも参加しているので、（本家でも書いたけど）こちらにも書いておこう。

• NIST's Plan for New Cryptographic Hash Functions
• NIST，新ハッシュ関数アルゴリズムの公募コンテストを開催へ

「ハッシュ関数って何？」って方のために簡単に説明しておくと、ハッシュ関数（正確には一方向ハッシュ関数）というのは任意のデータ列を固定長の数値列に変換（「要約」といいます）する関数で以下の特徴があります。

• ハッシュ値から元のデータを推測できない
• ひとつのハッシュ値に対し複数のデータが（実時間で）見つからない

こんなものがなんの役に立つのだろうと思われるかもしれませんが、実は認証や電子署名においては中核技術のひとつです。ハッシュ関数が所定の性能を発揮してくれないと重大なセキュリティ問題になります。実際、 SHA-1 というハッシュ関数に脆弱性が発見され暗号やセキュリティの世界では大騒ぎになりました。（この話に興味のある方は「暗号の危殆化と新しいアルゴリズム」を参照してください。手前味噌ですみません）

SHA-1 は暗号やセキュリティの世界ではメジャーで標準的なアルゴリズムなのですが NSA が開発したということでいまいち評判が良くありません（NSA というのはアメリカの諜報機関のひとつで、あの悪名高き世界規模の盗聴システム「エシュロン」を開発・運営していると言われています。それゆえに SHA-1 も「なんか裏口があるんじゃねーの」と疑われているわけです。まぁ今のところ「裏口」のようなものは発見されてないのですが）。その上に今回の脆弱性暴露があったため「ハッシュ関数もオープンな場で標準を決めようよ」という話になり今回のコンテスト開催となったのです。

実はこのコンテストには前例があります。かつて NIST （National Institute of Standards and Technology; アメリカ標準技術局）は時代遅れになった標準暗号アルゴリズム DES （Data Encryption Standard, 実はこの暗号の開発にも NSA が絡んでいます）に代わるものを探していて、その方法として全世界に呼びかけてコンテストを行いました。最終的に Daemen と Rijmen が提案した Rijndael という暗号が採用され、現在 AES （Advanced Encryption Standard）という名で標準となっています。この成功を受け、今回も同じようにコンテストを開こうというわけです。

新しいハッシュ関数は2012年を目処に標準に組み込まれるそうです。どうなりますやら。楽しみです。