6月最後の戯れ言

no extension

梅雨真っ最中,皆様いかがお過ごしでしょうか。 私はいまだに次の仕事が決まりません。 誰か短期の仕事ください。

今回も戯れ言モードでポツポツ書いてみます。

Feedly にするか...

今まで RSS Reader をどれにするか決めかねていたのだが,やはり急ごしらえの digg reader ではなかなか行き届かないようである。 Feedly のほうが一日の長がある。

というわけで,メインの RSS Reader は当面 Feedly で行くことにした。 digg reader は予備系ということで。 まぁ digg reader の進行については Tumblr でチェックできるので,様子を見ながら今後を決めよう。

malware の感染防止に電子署名で対抗しようという話

え? なにこれ? ギャグなの?

「 同社によると、日本ではサイバー攻撃が増加し、とりわけ、文書を改ざんしてマルウェアを埋め込み、関係者になりすまして特定組織を攻撃する「標的型攻撃」の被害が深刻化している。 ビジネス文書として幅広く普及しているPDFファイルが悪用されるケースも依然として見受けられるという。
 中央省庁や地方公共団体での情報発信には、数多くのPDFファイルが使われており、PDFファイルを安心、安全に取り扱うことは、サイバー攻撃の被害を防止する意味で、地方公共団体でも喫緊の課題の一つになっていた。」
(「Adobe、GPKIの電子署名を検証できる機能をReaderとAcrobatに実装」より)

うん,まぁそうだね。 でも PDF を使った攻撃は主に Adobe 製の PDF Reader の脆弱性を突いたもので PDF フォーマットそのものは至極まっとうなものなのだよ。

で,こっからがバカウケ。

「 アドビシステムズは、住民が地方公共団体の発信するPDF文書を安心・安全に閲覧できるように、無償のAdobe ReaderまたはAcrobatでLGPKIの電子署名を簡単に検証できる仕組みを整えた。 住民が Adobe Reader、Acrobatを用いてPDF文書を閲覧する場合、特別な操作を行うことなく、その文書が「地方公共団体が作成した文書であること」ならびに「改ざんされていないこと」を確認できるという。
 地方公共団体は、Acrobatを利用し、LGPKIで発行する職責証明書を用いて、PDFファイルに電子署名を付与することが可能。 電子署名が付与されたPDFファイルはインターネットなどを通して公開され、住民はPDFファイルをAdobe ReaderまたはAcrobatで閲覧できる。 その際、LGPKIのルート証明書が「Adobe Approved Trusted List」を通してAdobe Reader、Acrobatに自動的にダウンロードされ、署名の検証も自動的に行われる。 住民はルート証明書のダウンロード操作などを意識する必要はないという。」
(「Adobe、GPKIの電子署名を検証できる機能をReaderとAcrobatに実装」より)

電子署名の埋め込み自体は PDF の規格として既にあるし LGPKI も X.509 型の PKI なので組み込むのは難しくないだろう。 しかし,よく見て欲しい。 なんで malware 対策を行うのに電子署名なんだ? 確かに電子署名は文書の改ざんを検出できる。 しかし,検出できるだけだ。 どう改ざんされたかはわからないし,そもそも「関係者になりすまして特定組織を攻撃する「標的型攻撃」」を回避することはできないのである。 malware 等を使った攻撃を回避したいのであればアプリケーション,つまり PDF Reader を常に最新の状態にしておくしかない(それもベンダが脆弱性を直ちに修正してくれるという条件付きでだ)。 この記事は前半と後半で全く整合がとれていない。 本当になんのつもりなのだろう。

そもそもが! である。 地方公共団体が特定企業のプロプライエタリなソフトの利用を促進するかのような対策ってどうなのよ。 知ってる人もいるだろうが,例えば欧州では2009年頃から FSFE(Free Software Foundation Europe)が中心となり政府系サイトでの「Adobe Reader」アイコンの掲示に対し抗議キャンペーンを行なっている。 そしてプロプライエタリ・ソフトへの対抗として PDFreaders.org サイトを立ち上げている。 もちろんここで言う Free は「無料のビール」ではなく「自由なソフト」を指すものだ。

このブログでは何度も書いてきたことだが,「無料でも不自由」なものより「コストがかかっても自由」なものを選ぶべきだ。 なぜなら自由はこちらから掴み取らない限り得られないものだから。

(余談だが JPCERT/CC の最近の文書では PDF に電子署名を埋め込み,更に OpenPGP 鍵で PDF ファイル自体に署名を行なっている(署名ファイルは別ファイル)。 日頃 OpenPGP 鍵できちんと運用を行なっている JPCERT/CC ならではである。 もちろんいずれの電子署名でも,これが担保するものは PKI で言うところの「完全性」「認証」「否認防止」であり, malware の有無とは関係がない)

無線 LAN の子機がね

今までパソコンで無線 LAN にアクセスする場合は(いや,アクセスする用事があるんだってば。無線ルータの設定は LAN 側じゃないとできないし,タブレットなんかのアクセスで AirDroid 使ったりするでしょ) USB 接続タイプの子機を使ってたんだけど,64ビット版 Windows 7 にしたら,その子機が動かなくなってしまったのですよ。 しょうがないのでドスパラまでホケホケ出かけて新しい(64ビット版 Windows に対応した)無線 LAN 子機を購入したのだった。 もともと安かった上に,たまってたポイントで値引きしてもらったので実質300円ほどでゲット。 ただドライバのインストールには手こずった。 なんかうまくドライバが入らなくて,一回アンインストールしてから再度入れたらうまく入った。 う~ん,う~ん。 まぁいっか,ゐごいてるから。 これで無線ルータ付属の BitTorrent にもアクセスできるようになったし,めでたしめでたし。