List of vpn - Baldanders.info
tag:Baldanders.info,2015-03-17:/tags
2015-03-17T09:00:00+00:00
バルトアンデルスは連続的な怪物,時間の怪物である。(ホルヘ・ルイス・ボルヘス 『幻獣辞典』より)
https://baldanders.info/images/avatar.jpg
https://baldanders.info/images/avatar.jpg
公衆無線 LAN のセキュリティと VPN
tag:Baldanders.info,2015-03-17:/blog/000821/
2015-03-17T09:00:00+00:00
2015-03-17T09:00:00+00:00
今回は総務省が行った公衆無線 LAN に関するセキュリティ意識調査を元ネタにいろいろ書いてみる。
Spiegel
/profile/
<p> 今回は総務省が行った公衆無線 LAN に関するセキュリティ意識調査を元ネタにいろいろ書いてみる。 </p> <section> <h3>公衆無線LAN利用に関する情報セキュリティ意識調査</h3> <ul> <li><a href="http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000091.html">総務省|公衆無線LAN利用に関する情報セキュリティ意識調査結果</a></li> </ul><p> 調査の目的として2020年の東京オリンピックをにらんだ情報セキュリティの強化があるらしい。 いやぁ,役人ってのはなんでも利権にするんだねい。 </p><p> 調査時期は2014年11月ごろ。 直近1年間に日本(東京都,神奈川県,千葉県,埼玉県の1都3県)を観光目的で訪れ,かつ自分の端末でインターネット接続をした人(1都3県居住者を除く)が対象で,以下の内訳になっている。 </p><ol> <li><strong>公衆無線LAN利用の日本人</strong> 200人 : ふだん携帯端末(スマートフォン・タブレット)で日常的に公衆無線LANを利用している</li> <li><strong>自宅利用の日本人</strong> 200人 : ふだん携帯端末で自宅のみで無線LANを利用している</li> <li><strong>訪日外国人</strong> 660人 : ふだん携帯端末で日常的に公衆無線LANを利用している(アメリカ:214人,イギリス:217人,中国:229人)</li> </ol><p> 上述のページでは総評として </p><ol> <li>観光地で利用するインターネット接続手段として、訪日外国人は半分近く、日本人は8割近くが無料公衆無線LANを選択しており、公衆無線LANは携帯電話回線と並ぶ主要な利用手段となっている。</li> <li>公衆無線LANにおける情報セキュリティ対策について、無料の公衆無線LANであっても、4割近くの利用者が、事業者が対策すべきと考えている。(翻訳:つまり6割程度は利用者が対策すべきと考えている)</li> <li>公衆無線LAN利用時の脅威について半数以上が認知しているが、脅威への対策については実施率が大きく下がり、特に日本人においては半数以上が対策を取っていない。</li> <li>アクセスポイントのSSIDや暗号化、SSL通信の確認等の基本的な情報セキュリティ対策について、日本人の実施率が2~3割と極めて低い。</li> </ol><p> と結んでいる。 </p><p> 「情報セキュリティ対策」について少し補足しておくと,「公衆無線LAN利用時の脅威」として </p><ol> <li>通信の盗聴の懸念</li> <li>なりすましの懸念</li> <li>悪意あるAPやサイトへの誘導の懸念</li> </ol><p> を挙げているが,訪日外国人に比べると日本人の認知度は低く,対策を実施している日本人はさらに少ない。 対策の内容としては </p><ol> <li>接続端末のブラウザやOSのアップデートを行っている</li> <li>接続端末のファイル共有禁止の設定をしている</li> <li>無線LAN利用時のみ接続端末のWi-Fiの設定をONにしている(無線LAN未利用時はOFFにしている)</li> <li>接続する無線LANのSSIDを確認し、知らないアクセスポイントには接続しないようにしている</li> <li>接続するAPの暗号化種類について確認し、その種類によっては、接続をやめたり重要な通信は行わないようにしている</li> <li>サイト上で大事な情報を入力する際にはSSLを利用しているサイトであるか確認し、そうでない場合には重要な情報を入力しない</li> <li>そもそも無線LANで接続しているときには、盗聴されては困る情報は入力しない</li> <li>無線LANサービスの接続認証時にIDやPWを設定する際には、他のサイトで利用していないものを設定している</li> </ol><p> と示されており,この中で特に 4, 5, 6, 7 の項目について「公衆無線LAN利用にあたり講じるべき基本的な対策」として注目しているようだ。 </p><p> またセキュリティに関してはユーザを </p><ol> <li>セキュリティ/ユーザビリティともに重視</li> <li>ユーザビリティのみ重視</li> <li>セキュリティ/ユーザビリティともに重視しない</li> <li>セキュリティのみ重視</li> </ol><p> の四つの群に分けている。 このうち最も割合が多いのは 1 なのだが, 3, 4 の割合が日本人ではほぼ同じで少数派なのが面白い(訪日外国人の場合は 4 は 3 の倍近くいる)。 </p><p> 脅威の認知については,当然ながら 2, 3 の群のほうが低いのだが,ここでも日本人の(訪日外国人と比しての)認知の低さが際立つ。 2 と 3 の比較では訪日外国人では 3 のほうが若干認知度が低いのに対し,日本人では 3 のほうが(2 に比べて)認知度が高いのが面白い。 日本で「ユーザビリティのみ重視」人というのは本気で知らない(知ろうとしない)のだろうか? この群に対してもっと踏み込んだ調査があると面白いかもしれない。 </p> </section> <section> <h3>その無線 LAN セキュリティ対策は正しいですか?</h3> <p> そういえば先日,面白い記事があった。 </p><ul> <li><a href="http://csi.sproutgroup.co.jp/archives/000069.html">無線LANセキュリティ10の誤解(前編) | サイバーインシデント・リポート</a></li> <li><a href="http://csi.sproutgroup.co.jp/archives/000074.html">無線LANセキュリティ10の誤解(後編) | サイバーインシデント・リポート</a></li> </ul><p> 以下,タイトルだけを列挙する。 詳しくは元記事を見てください(タイトルだけ見て脊髄反射しないように)。 </p><ol> <li>APは購入時のデフォルト設定のまま運用しても問題はない → 設定の確認と変更をすべき</li> <li>WPS、AOSSなどの簡単接続機能は常時オンでよい → 使用時のみオンにした方がよい</li> <li>WEP側のSSIDはWPA側と独立しているので、セキュリティ上問題はない → LAN内に侵入されなかったとしても、踏み台にはされうる</li> <li>MACアドレス制限をかけているので他人が勝手に接続する心配はない → 接続していればMACアドレスは丸見えであり、かつMACアドレスの偽装は容易</li> <li>WPAは古くて危険。WPA2を使うべき → 「WPA」のセキュリティが劣る訳ではない。TKIPとAES(CCMP)の違いを誤解していると思われる</li> <li>WPA/WPA2-PSKでAESを使用していれば、パスワードがクラックされることはない → 弱いパスワードなら、認証パケットを入手することによりオフラインでクラックできる</li> <li>APのSSIDはデフォルトのものから変更すべき → 現在では無意味。下手な変更はむしろ危険性を増す</li> <li>APのSSIDは隠すべき → 隠しても意味はないばかりか、余計なリスクを招く</li> <li>公衆無線LANでも暗号化されていれば安全(公衆無線LANでもWPA2-PSK AESで暗号化されていれば安全) → WEPであれWPAであれ、公衆無線LANでの暗号化は無意味。安全な接続を使うべき</li> <li>公衆無線LAN経由でも、SSLなら問題ない → Cookieが漏れたり改竄される可能性がある</li> </ol><p> このうち 9 について少し引用すると </p> <figure> <blockquote> <q>公衆無線LANのAPでは、WEPやWPA/WPA2-PSKが使用され、申し込みをするとパスワードが送られてきて接続できるといった運用のものもある。だが、この暗号化は全くの無意味だ。WEPだから、WPAだからという話ではない。有線LANと異なり、APとクライアントの通信は誰でも傍受できる。暗号化されていたとしても、パスワードを知っていれば誰でも復号できる。そして公衆無線LANではそのパスワードは誰でも入手可能だから、暗号化されていないのと同じだ。</q> </blockquote> <figcaption><q><a href="http://csi.sproutgroup.co.jp/archives/000074.html">無線LANセキュリティ10の誤解(後編)</a></q>より</figcaption> </figure> <p> これにはいろいろ対策が考えられていて,キャリア系の公衆無線 LAN サービスの場合は認証や鍵配布に PSK(Pre-Shared Key)ではなく認証サーバを用いた EAP(PPP Extensible Authentication Protocol; RFC <a href="https://tools.ietf.org/html/rfc3748">3748</a>, <a href="https://tools.ietf.org/html/rfc5247">5247</a>, <a href="https://tools.ietf.org/html/rfc7057">7057</a>)を使うようになっている。 ケータイを使ったサービスでは SIM を使った <a href="https://tools.ietf.org/html/rfc4186">EAP-SIM</a>/<a href="https://tools.ietf.org/html/rfc4187">EAP-AKA</a> で認証を行っている。 また最近では </p><ul> <li><a href="http://internet.watch.impress.co.jp/docs/news/20150316_692877.html">公衆無線LAN「フレッツ・スポット」、2週間利用メニューを全国のセブン-イレブンで販売 -INTERNET Watch</a></li> </ul><p> といったサービスもあるらしい(これなら任意のユーザに対して個別にパスワードを発行できるし,2週間で使い捨てできる)。 しかし無料のサービスや自治体等が運営するフリースポットで EAP など期待するほうが無理な話ではある(暗号化すらしてないサービスもあるしね。とはいえ自治体には頑張ってほしいんだけどねぇ)。 </p><p> 無線 LAN は(有線と比べて)第3者による傍受(<span class="offrec">無線の場合は「盗聴」ではなく「傍受」というべきだろう。黙ってたって聞こえてしまうのだから</span>)やなりすましを受けやすい。 公衆無線 LAN では更にリスクが跳ね上がる。 それでも公衆無線 LAN を使いたいのであれば VPN を使って武装するしかない。 </p> </section> <section> <h3>Virtual Private Network いろいろ</h3> <p> VPN(Virtual Private Network)は物理的な回線・ネットワークの上に構築された仮想的(virtual を仮想的と訳すのは本来は間違いらしいのだが面倒なのでこのまま)なネットワークである。 もともと VPN は拠点間接続や(企業イントラネットなどの)プライベートネットワークに外からアクセスするための手段として使われてきた。 しかし最近は公衆無線 LAN やホテル・サービス用の LAN など内部構成が公開されておらず「安全でない」ネットワークをバイパスするための VPN サービスが台頭してきている。 このへんの話は以前にも書いたので,参考にしていただけると嬉しい。 </p><ul> <li><a href="https://baldanders.info/blog/000773/">VPN に関する基礎学習 — Baldanders.info</a></li> </ul><p> 最近 VPN サービスについて隙を見てちょこちょこ調べているのだが,無料で手軽に使える VPN サービスとして筑波大学の VPN Gate プロジェクトがあるようだ。 </p><ul> <li><a href="http://www.vpngate.net/ja/">VPN Gate 筑波大学による公開 VPN 中継サーバープロジェクト</a></li> </ul><p> このプロジェクトでは世界中で9千台以上の VPN 中継サーバがボランティアで稼働し,無償で利用可能となっている。 また VPN 中継サーバとしてプロジェクトに参加することも可能なようだ。 </p><p> (以下 3/21 修正) <!--
ただし,このプロジェクトでは <a href='http://www.vpngate.net/ja/about_abuse.aspx'>VPN 接続ログを最低3ヶ月は保持し必要であれば国内外の捜査機関に開示</a>すると宣言している。
安全でないネットワークをバイパスする目的のみであればこれでも必要十分かもしれないが,もっと高いセキュリティや(匿名性を含む)プライバシーを確保したければ他の手を考えた方がいいだろう。
</p><p class='offrec'>
(このログは「VPN Gate の発信元の IP アドレス を隠す機能を悪用して違法行為を行うユーザーの発生を防止」するためだと謳われているが,ユーザ側から見れば提供される VPN 中継サーバが悪意のない安全なサーバかどうかが利用する上での重要なポイントである。
しかし,このプロジェクトの運営を見る限り,そういう悪意のサーバを回避することは考えられていないように見える。
9千あまりの VPN 中継サーバの中に NSA がホストするサーバがないことを祈るばかりである)
--> </p><p> ただし,このプロジェクトでは <a href="http://www.vpngate.net/ja/about_abuse.aspx">VPN 接続ログを最低3ヶ月は保持し必要であれば国内外の捜査機関に開示</a>すると宣言している。 また VPN サーバは誰でも参加することができ,なおかつ VPN サーバを監査・監視する仕組みがない。 VPN サーバの出口ノードはサーバ運営者による盗聴やなりすましを受けやすい(このため VPN サーバやその運営者が信用できることがとても重要である)。 今のところ同プロジェクトに対してそのような疑義が持ち上がったことはないようだが,利用するのであれば注意が必要である(少なくとも常用するサービスではない,サーバへの監視・監査機能があれば手を出しやすいんだけどねぇ)。 </p><p> もうひとつ, <a href="https://baldanders.info/blog/000807/">F-Secure の Freedome</a> のようなセキュリティ企業の提供する VPN サービスを利用する方法がある。 ただしこれは有料の場合が多い(<a href="http://www.hotspotshield.com/">Hotspot Shield</a> のように機能限定版を無償で提供している場合もある)。 また技術の詳細が公開されていない場合が多く(F-Secure のような老舗ならある程度は信用できるかもしれないけど)あまりメジャーでない企業のサービスは躊躇するものがある。 </p><p> 最近 <a href="http://torrentfreak.com/">TorrentFreak</a> が VPN サービスの比較記事を出している。 </p><ul> <li><a href="http://torrentfreak.com/anonymous-vpn-service-provider-review-2015-150228/">Which VPN Services Take Your Anonymity Seriously? 2015 Edition | TorrentFreak</a></li> </ul><p> この記事では, VPN サービス・プロバイダに「ログをとっているか」とか「決済方法は安全か」などの質問を送り,その回答を掲載している。 この記事に載っているサービス・プロバイダは全て有料で海外拠点ばかりだが,日本に出口ノードがあるものもあり,安全のためにお金を払って構わないという方なら利用する手はあるかも知れない。 </p><p class="offrec"> (<a href="http://torrentfreak.com/">TorrentFreak</a> は友人に紹介してもらったのだが,こういう記事を定期的に出しているらしい。 この記事を見て自分なりにまとめてみようかと思ったのだが,英語不得手なこともあり,途中で断念してしまった。 だれかまとめ記事を作って!) </p><p> 公衆無線 LAN は便利だが安全な通信手段ではない。 これは肝に銘じておいて欲しい。 でも安全でない通信経路を安全に使う手段はいくつかある。 VPN はそうした手段のうちのひとつで,現在もっとも実効性のある手段でもある。 現在,パソコンに malware 対策ソフトを入れるのが当たり前になっているように,これからは携帯端末に VPN サービスを入れるのが当たり前になってくると思われる。 </p><ul> <li><a href="http://getnews.jp/archives/863902">GoogleはAndroid 5.1で「Google VPN」機能を実装、オープンなWi-Fiスポットでのセキュリティ向上を目的に | ガジェット通信</a></li> </ul><p> まずは公衆無線 LAN に関する問題の認知から。 それができたら VPN を含む対策を考えていって欲しい。 </p> </section>
Freedome を正式に導入した
tag:Baldanders.info,2015-02-18:/blog/000807/
2015-02-18T09:00:00+00:00
2015-02-18T09:00:00+00:00
F-Secure の VPN アプリ Freedome については,今までベータ版でお試しで使っていたのだが,ベータ版の期限が切れたので正式に導入することにした。
Spiegel
/profile/
<div style="clear: both"> <div style="float: right; padding-bottom: 0.5em; padding-top: 0.5em; padding-left: 0.5em; margin: 0.5em; padding-right: 0.5em"> <a href="https://www.flickr.com/photos/spiegel/16564868762" title="Freedome Activation by Yasuhiro ARAKAWA, on Flickr"><img src="https://farm9.staticflickr.com/8594/16564868762_4d3b45740b.jpg" width="281" height="500" alt="Freedome Activation"/></a> </div> <p> <a href="https://play.google.com/store/apps/details?id=com.fsecure.freedome.vpn.security.privacy.android">F-Secure の VPN アプリ Freedome</a> については,今までベータ版でお試しで使っていたのだが,ベータ版の期限が切れたので正式に導入することにした。 </p> Freedome の特徴は右の図のとおり。 Google Play のアプリ内課金であれば1,700円/年で購入できる。 またお金を払っていない状態でもアプリのチェックはしてくれるようだ。 Freedome は最近ロケーションに TOKYO を追加した。 VPN 経由のアクセスでも目に見えて速度が落ちるなんてことはないし,今のところ問題や不便はない。 そうそう。 Facebook がいちいち本人確認をしてくるのが少しウザいが,まぁこれはしかたのないところか。 <p></p><p> F-Secure 社や F-Secure のアプリがなにかやらかしてるという話は聞こえてこないので,一応信用することにした。 (でも,まぁ,企業だからね) </p><p> 今のところはスマートフォンのみの導入。 タブレットは自宅 LAN かスマホのテザリング経由のみでしかアクセスしないので,現時点では保留。 F-Secure は VPN 機能付きの無線ルータとか売ったりしないのかね。 </p><p> VPN は公衆無線 LAN に対する防衛という意味もあるけど「<a href="https://medium.com/@spiegel/-367d35f1a564">国家による検閲の迂回</a>」という意味合いも出てくると思う(<span class="offrec">もっとも<a href="http://techcrunch.com/2015/01/23/china-vpn-crackdown/">中国はメジャーな VPN をブロックし始めてるらしい</a>けど</span>)。 今後もこの辺は注意してみていくつもりである。 </p> </div>
師走の心は母心
tag:Baldanders.info,2014-12-01:/blog/000776/
2014-12-01T09:00:00+00:00
2014-12-01T09:00:00+00:00
Ingress がメディア芸術祭「大賞」に / 「ゆけ!勇者」 4周年 / 21世紀のロボット法 / supercookie のカウンタとしての VPN / Twitter ちゃんは知りたがる / あとで読む
Spiegel
/profile/
<p> 一気に寒くなってきたよ? ホンマに12月3日の打ち上げは大丈夫? </p><ol> <li><a href="#ingress">Ingress がメディア芸術祭「大賞」に</a></li> <li><a href="#yukeyusha">「ゆけ!勇者」 4周年</a></li> <li><a href="#robot-ro-ro-ro">21世紀のロボット法</a></li> <li><a href="#supercookie">supercookie のカウンタとしての VPN</a></li> <li><a href="#chika">Twitter ちゃんは知りたがる</a></li> <li><a href="#later">あとで読む</a></li> </ol> <section id="ingress"> <h3>Ingress がメディア芸術祭「大賞」に</h3> <ul> <li><a href="http://www.inside-games.jp/article/2014/12/01/83017.html">第18回メディア芸術祭、大賞は『Ingress』に!ゲームが受賞するのは『Wii Sports』以来7年ぶり | インサイド</a></li> </ul><p> つか「メディア芸術祭」って何? </p><p> あぁ,文化庁の主催なのね。 役人主導とか,それだけで格が下がるな(笑) </p><p> でも,おめでとう! </p><p> 個人的に Ingress が凄いと思うのは,「「個」の緩やかな連帯」としてゲームが成立している点だ。 はっきり言って,これを真似できるゲームは(少なくとも日本では)そうそうあるまい。 絶妙なゲームバランスといえる。 </p><p> 「ソーシャル・ゲーム」と呼ばれているものは,それこそ山のようにあるけれど,大抵はユーザ同士を「絆(ほだし)」として強固に結びつけることで容易に “drop” させない仕組みになっている(一種の囲い込み)。 はっきり言うが,ソーシャル・ゲームで「降りれない」ゲームはクソゲーである。 たとえゲームの内容が面白くてもだ。 </p><p> 願わくば Ingress に於いては今の緩い状態をぶち壊しにするようなチューニングはしないでほしい。 まぁ,やらかしたら「降りる」だけだけど。 </p> </section> <section id="yukeyusha"> <h3>「ゆけ!勇者」 4周年</h3> <p> 今日12月1日から「ゆけ!勇者」の4周年イベントが始まっている。 </p><ul> <li><a href="https://play.google.com/store/apps/details?id=com.xhachiapps.yukeyusha.android">ゆけ!勇者 - Google Play</a></li> <li><a href="http://www.xhachiapps.com/archives/3132">ゆけ!勇者 4周年記念イベントのお知らせ « xHachiApps</a></li> </ul><p> 4周年おめでとうございます。 4周年ですよ。 凄いなぁ。 でも,残念ながら私自身はここ2年くらいまったく遊んでない。 で,この記事を見て「続きでもやるか」とインストールしたのだが,すっかり忘れてるよ! </p><p> しょうがない。 少しづつ思い出しながら遊ぶか(笑) </p> </section> <section id="robot-ro-ro-ro"> <h3>21世紀のロボット法</h3> <p> SF者な方々なら「ロボット法」といえばアシモフの「ロボット3原則」なのだろうが,これはちょっと違うみたい。 </p><ul> <li><a href="http://orf.sfc.keio.ac.jp/420/">ロボット法-202X年のロボットと社会制度 - 慶應義塾大学SFC研究所</a></li> <li><a href="http://www.bengo4.com/topics/2352/">ロボットを「奴隷的に拘束」したら憲法違反? 「ロボット法」の可能性を研究者が議論|弁護士ドットコムニュース</a></li> </ul><p> つまり,ロボットを「身体の延長」あるいは「知性の延長」ととらえた場合にどのような法的問題が発生しうるか,といったようなことを議論するらしい。 キーワードは “telexistence”(遠隔存在感)。 たとえば「遠隔操作しているドローンが国境を超えた場合は密入国になるのか」「身体の延長としてのロボットが拘束を受けることは身体を犯されることと同等か」といったようなこと。 あるいは「ロボットが自ら学習し造り上げたものに製造物責任は適用できるか」といった命題もあるようだ。 </p><p> 個人的には「人と機械の協働(collaboration)」における法的問題が気になる。 人工知能は人間の活動を肩代わりする(もしくは収奪する)と思われがちだが,実際には機械と人間は「協働」するシチュエーションのほうが多いと思う。 今は人間のほうが主導的な立場だが,そのうち対等な関係になったり,あるいは機械のほうが主導的になることもあるだろう。 そういったことが起こりうるとして,両者の関係をバランスするような制度設計はどのようなものがいいのだろう。 </p><p> などと妄想してしまう。 </p><p class="offrec"> (てな妄想をしてしまうのは,やはり若いころに大野安之作品を読んだせいか。 「人と機械の協働」という点では大野安之さんの1980年代の傑作「That's! イズミコ」が面白い。 特に「バイ・ポーラー」編は一見の価値あり) </p> <div class="hreview"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4835449517/baldandersinf-22/"><img src="https://images-fe.ssl-images-amazon.com/images/I/51c7aTv2-5L._SL160_.jpg" alt="photo" class="photo"/></a><dl><dt class="fn"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4835449517/baldandersinf-22/">That's! イズミコ ベスト (Fukkan.com)</a></dt><dd>大野安之 </dd><dd>復刊ドットコム 2013-06-18</dd><dd>評価<abbr class="rating" title="4"><img src="https://images-fe.ssl-images-amazon.com/images/G/01/detail/stars-4-0.gif" alt=""/></abbr> </dd></dl><p class="similar"><a href="https://www.amazon.co.jp/exec/obidos/ASIN/4054057020/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4054057020.09._SCTHUMBZZZ_.jpg" alt="宇宙へ行きたくて液体燃料ロケットをDIYしてみた: 実録なつのロケット団 (学研科学選書)"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4592710584/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4592710584.09._SCTHUMBZZZ_.jpg" alt="小惑星に挑む"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4861769027/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4861769027.09._SCTHUMBZZZ_.jpg" alt="おざなりダンジョンTACTICS 6(創世の掟編) (CR COMICS)"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4199502092/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4199502092.09._SCTHUMBZZZ_.jpg" alt="アステロイド・マイナーズ 2(リュウコミックス)"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4835451090/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4835451090.09._SCTHUMBZZZ_.jpg" alt="ぬいぐるみ殺人事件"/></a> </p> <p class="description">これには「バイ・ポーラー」は収録されてないんだよなぁ。でも「のぼる ほし」とか「CONFUSION」とか好きな作品も入ってるので無問題。</p> <p class="gtools">reviewed by <a href="#me" class="reviewer">Spiegel</a> on <abbr class="dtreviewed" title="2014-12-01">2014/12/01</abbr> (powered by <a href="http://www.goodpic.com/mt/aws/index.html">G-Tools</a>)</p> </div> </section> <section id="supercookie"> <h3>supercookie のカウンタとしての VPN</h3> <p> まぁ要するに企業広告なんだけど </p> <figure> <blockquote> <q>たとえ影響を受けていなくても(ほとんどの人がそうだと思いますが)、この問題は、インターネットの中立性がいかに重要かをあらためて認識させてくれるものです。つまり、ユーザのネットワークトラフィックを提供する通信事業者は、それだけをすべきであって、自身の利益のためにトラフィックを操作してはならないのです。この種の不正は、1つの悪質なトリックであり、他の企業からお金をゆすり取ることとは全く異質のものです。私たちは、道路網、郵便事業、電力供給など、社会の多くの共有資源においては、中立性や平等な扱いを当然のことと考えています。インターネットはすでに社会の重要な要素となっており、今後その重要性はさらに増していくでしょう。このネットワークにおける中立性と公平なルールの維持は、私たちの未来の社会にとって最も重要なことです。</q> </blockquote> <figcaption><q><a href="http://blog.f-secure.jp/archives/50739207.html">エフセキュアブログ : supercookieとは何か?皆さんが考えているよりも重要な問題である理由</a></q>より</figcaption> </figure> <p> まぁ,この文章に尽きるかな。 こういう諜報や企業による stalking を防ぐためにも VPN を活用しましょうね,ってことなんだけどね。 </p> </section> <section id="chika"> <h3>Twitter ちゃんは知りたがる</h3> <p> Stalking といえば Twitter もだんだん露骨になってきてるね。 </p> <figure> <blockquote> <q>ツイッターは水曜、新たに「アプリグラフ(ユーザーの端末にインストールされたアプリのリスト)」を提供していくことを発表した。同社の<a href="https://support.twitter.com/articles/20172081-twitter#">サポートブログの投稿</a>によると、ツイッターは今後、ユーザーが自分のスマートフォンにダウンロードするすべてのアプリを絶えず追跡していくという。</q> </blockquote> <figcaption><q><a href="http://readwrite.jp/archives/17165">なぜツイッターはインストールされたアプリを知りたがるのか? | ReadWrite Japan</a></q>より</figcaption> </figure> <p> ただし,<a href="https://support.twitter.com/articles/20172081-twitter">元記事</a>にもあるように,この機能はオプトアウトできる。 まぁ Twitter はオプトアウトする方法を示してくれるのでまだましなほうかもしれない。 私は <a href="https://play.google.com/store/apps/details?id=jp.r246.twicca">twicca</a> に切り替えた。 いや,元々は twicca を使ってたのよ。 でも HTC の端末を使い出してからは既定で Twitter の公式アプリが入ってるので何となくそれを使ってたのよ。 だって Android ってベンダやキャリアが入れたアプリって削除できないじゃない,鬱陶しいことに。 なので,どうせ削除できないなら使っちゃえ,と思ってたんだけど,甘かったみたい。 </p> </section> <section id="later"> <h3>あとで読む</h3> <ul> <li><a href="https://dl.acm.org/citation.cfm?id=2673311">Security Collapse in the HTTPS Market</a></li> <li><a href="https://www.schneier.com/blog/archives/2014/11/economic_failur.html">Schneier on Security: Economic Failures of HTTPS Encryption</a></li> </ul> </section>
VPN に関する基礎学習
tag:Baldanders.info,2014-11-20:/blog/000773/
2014-11-20T09:00:00+00:00
2014-11-20T09:00:00+00:00
前回の続き。もう少しだけまじめに。
Spiegel
/profile/
<p> <a href="https://baldanders.info/blog/000771/">前回</a>の続き。 もう少しだけまじめに。 </p> <section> <h3>VPN に関する基礎学習</h3> <p> 私の知識は SoftEther あるいは SSL-VPN あたりで完全に止まってるので,まずは基本的なおさらい。 </p><p> VPN(Virtual Private Network)は物理的な回線・ネットワークの上に構築された仮想的(virtual を仮想的と訳すのは本来は間違いらしいのだが面倒なのでこのまま)なネットワークである。 なので,たとえば ssh や https を使った仮想ネットワークも VPN である。 ここでは VPN の機能として </p><ol> <li>カプセル化とトンネリング</li> <li>経路の暗号化</li> <li>認証とアクセス制御</li> </ol><p> を挙げ,これらの要件を満たしたものを VPN と呼ぶことにする。 </p><p> VPN は目的によって大きく2つに分かれる。 ひとつは「拠点間 VPN」でもうひとつは「リモートアクセス」だ。 「拠点間 VPN」は昔でいうところの「専用線」の代わりになるものだ。 「リモートアクセス」は企業イントラネットやプライベート・ネットワーク内部に外からアクセスするもので,これは近年の BYOD(Bring Your Own Device)への需要の高まりによって企業による実装が進んでいる。 </p><p> そして最近,3つ目の目的による VPN が台頭してきた。 つまり公衆無線 LAN やホテル・サービス用の LAN など,内部構成が公開されておらず「安全でない」ネットワークをバイパスするための VPN である。 これを仮に「バイパス型 VPN」と呼ぶことにする。 </p><p> 「バイパス型 VPN」と「リモートアクセス」はよく似ているが,「バイパス型 VPN」の出口ノードはイントラネットではなくインターネットになっているのが特徴である。 また「バイパス型 VPN」は「拠点間 VPN」と組み合わせ,国をもまたいで任意の出口ノードを作ることができる。 最近のネットワーク・サービスでは IP アドレスによってリージョンを設定しているものも多いが,「バイパス型 VPN」ではほぼ無意味になる。 また,このことによって IP アドレスベースの行動追跡を困難にする。 </p> </section> <section> <h3>「バイパス型 VPN」のセキュリティ・リスク</h3> <p> 言うまでもないことだが,「バイパス型 VPN」ではアクセスする VPN サーバ(およびその運営[社|者])が信頼できることが絶対条件である。 </p><p> 最近, Tor の出口に malware が仕掛けられているという報告があった。 </p> <figure> <blockquote> <q>悪意のあるTorの出口ノード経由でユーザが実行ファイルをダウンロードしようとすると、実際に受け取るものは実行ファイルの「ラッパー」である。これにはオリジナルの実行ファイルと、もう1つの悪意ある実行ファイルの双方が埋め込まれている。分離したラッパーを用いることで、悪意のある人間がオリジナルのバイナリに含まれ得る完全性チェックを迂回し得る。実行すると、ラッパーはオリジナルの実行ファイルのディスクへの書き込みを開始し、これを実行する。そうしてユーザにすべてがうまくいっているように思い込ませる。しかし、ラッパーはもうひとつの実行ファイルもディスクに書き込んで実行する</q> </blockquote> <figcaption><q><a href="http://blog.f-secure.jp/archives/50738408.html">エフセキュアブログ : OnionDuke:Torネットワーク経由のAPT攻撃</a></q>より</figcaption> </figure> <p> あぁ,この部分を見て「それ見たことか,だから Tor は...」とか言い出す人がいそうなので,続きも引用しておく。 </p> <figure> <blockquote> <q>Torの問題は、使用している出口ノードを誰が保守しているのか、何が彼らの動機なのかがまったく分からない点だ。VPN(Freedome VPNのような)はTorネットワーク上を経由する際にあなたの接続を暗号化するため、Torの出口ノードの保守を行っている人も、あなたのトラフィックを見たり改ざんしたりできない</q> </blockquote> <figcaption><q><a href="http://blog.f-secure.jp/archives/50738408.html">エフセキュアブログ : OnionDuke:Torネットワーク経由のAPT攻撃</a></q>より</figcaption> </figure> <p class="offrec"> (Tor の特徴は経路の暗号化の多層化により通信経路を隠蔽(匿名化)するものだ。 なので End to End では別途暗号化を行う必要がある) </p><p> Tor のような例は極端かと思われるかもしれないが,実際に VPN 製品を見てみるとプロトコルや使用する暗号 suite について明示してないものが多い。 例えばプロトコルは SSL/TLS を使ってると思われるが鍵交換に(DH や ECDH ではなく) RSA を使っているものがあったりする(RSA では PFS(Perfect Forward Secrecy)を達成できない)。 あるいはデータの暗号化にいまだに RC4 や TDES を使ってるものもあるみたいで「なんだかなぁ」という感じである。 </p><p class="offrec"> (最近では SSL 3.0 の仕様上の脆弱性が発覚したけど SSL を使ってる VPN 製品はちゃんと対応してるのかな,とか思うわけですよ。 TLS だってもう 1.2 より前のものはもうダメだよ。 分かってる?) </p><p> セキュリティにおける「信頼」は,「あなたは人として信頼できる」とかいった情緒的な意味での信頼ではなく,ユーザに対して透過的で合理的な運用をしているかどうかが問われる。 その上で第3者の審査を受け瑕疵や脆弱性を修正していくプロセスを通して信頼を積み重ねていくのだ。 </p> </section> <section> <h3>OpenVPN とオレオレ CA</h3> <p> VPN サービスのベンダが信頼できないのなら自分で VPN を構築する手もある。 実際ググってみると,クラウド型サーバと <a href="https://openvpn.net/">OpenVPN</a> を組み合わせてる例をよく見かける。 OpenVPN では経路の暗号化に OpenSSL を使っているようなのだが,驚いたのは「オレオレ証明書」で運用している人の多いこと。 「オレオレ証明書」って絶滅したのかと思ってたけど,まだ現役でのさばってるんだねぇ。 </p><p> はっきり言って自己署名しかない証明書はなりすましを防げない(だからルート証明書の管理って凄く大変なのよ)。 しかも(SSL/TLS が採用している) X.509 型の PKI は権威的 CA による認証がないと全く意味を成さない。 そう,「オレオレ証明書」だけならまだしも(いやダメだけど),「オレオレ証明書」を発行するための「オレオレ・ルート CA」を OpenVPN サーバ上に置いてるのよ。 いやいやいや。 みんな CA(Certification Authority)が何をするのか知らないのか? </p><p> 確かに昔は X.509 型 PKI の証明書を CA に認証してもらうのはコストが高かった(XMPP サーバもオレオレ証明書が多かったし)。 でも今は格安ないし無料で証明書を管理してくれる CA もあるのだ。 </p><ul> <li><a href="http://www.startssl.com/">StartSSL™ Certificates & Public Key Infrastructure - StartSSL™ Home</a></li> </ul><p> しかも今日,凄い発表があった。 </p><ul> <li><a href="https://letsencrypt.org//2014/11/18/announcing-lets-encrypt.html">Let’s Encrypt: Delivering SSL/TLS Everywhere</a></li> <li><a href="https://www.schneier.com/blog/archives/2014/11/a_new_free_ca.html">Schneier on Security: A New Free CA</a></li> <li><a href="http://jp.techcrunch.com/2014/11/19/20141118mozilla-eff-and-others-band-together-to-provide-free-ssl-certificates/">やっと、ついに、誰もが無料でHTTPSを使えるようになる!…MozillaやEFFが共同プロジェクトを立ち上げ - TechCrunch</a></li> <li><a href="http://news.mynavi.jp/news/2014/11/19/082/">SSL/TLSを無料・簡単に、Web全体の暗号化を目指す「Let's Encrypt」発表 | マイナビニュース</a></li> </ul><p> ブラボー! </p><p> 実際のサービスインは2015年夏頃らしいが,本当に素晴らしい。 もしできたら,このサイトも https にしたいものである。 </p><p> というわけで「オレオレ・ルート CA」などもっての外なので今すぐ止めましょう。 </p><p class="offrec"> (本当は GnuTLS が OpenPGP をサポートしてくれたらよかったんだけどねぇ。 あの話,随分前に立ち消えになっちゃったみたいだし。 まぁ OpenPGP の実装である GnuPG が X.509 との共存を目指した時点でしょうがないのかもしれないけど) </p> </section> <section> <h3>とりあえず Freedome と Hotspot Shield を試してみた</h3> <p> いずれも Android 用と iOS 用がある。 ベンダにアカウントを作る必要はなく,すぐ使うことができる。 Freedome は基本有料だが,現在出ているβ版は試用期間が長めに設定されているようだ。 Hotspot Shield は無料版と有料版がある。 有料と言っても月額500円程度(年額なら3,000円くらい?)。 </p><p> 無料版でしか試してないが, VPN 出口ノードは海外のみで日本はない。 Hotspot Shield の出口ノードは米国のみ。 <a href="http://community.f-secure.com/t5/F-Secure/What-are-the-virtual-locations/ta-p/38445">Freedome は複数の国に出口ノードがある</a>。 いきなり海外に飛ばされるのはなぁ。 </p><p> VPN 以外のセキュリティ機能は Freedome のほうが充実している。 </p> </section> <section> <h3>参考にしたページ</h3> <ul> <li><a href="http://fenics.fujitsu.com/products/ipcom/catalog/data/2/1.html">SSL-VPN入門 : 富士通</a></li> <li><a href="http://www.atmarkit.co.jp/ait/articles/0309/13/news001.html">SSL-VPNの導入メリット(前編):リモートアクセスVPNにSSL-VPNを採用する最適なケースは? - @IT</a></li> <li><a href="http://www.atmarkit.co.jp/ait/articles/0310/18/news001.html">SSL-VPNの導入メリット(後編):“SSL-VPN or IPSecVPN”どちらが最適ですか? - @IT</a></li> <li><a href="http://www.net.c.dendai.ac.jp/~baltan/">VPNプロトコルの方式と評価</a></li> <li><a href="https://ja.softether.org/">SoftEther VPN プロジェクト - SoftEther VPN プロジェクト</a></li> <li><a href="http://www.openvpn.jp/">OpenVPN.JP | OpenVPN日本語情報サイト</a></li> <li><a href="https://www.f-secure.com/ja_JP/web/home_jp/freedome">Freedome</a></li> <li><a href="http://hotspotshield.biz/">Hotspot Shield | VPNで個人情報やコンテンツを保護!Wi-Fiネットワークへの接続を安全に</a></li> </ul> </section>
VPN と匿名(隠蔽)通信
tag:Baldanders.info,2014-11-13:/blog/000771/
2014-11-13T09:00:00+00:00
2014-11-13T09:00:00+00:00
というわけで Hotspot Shield については試してみるかな。
Spiegel
/profile/
<p> 先日<q><a href="https://baldanders.info/blog/000762/#tools">個人的には安全な VPN サービスが欲しいところ。 そういうのがあれば,またお金を出してもいいかなぁ</a></q>と書いたが,この時点では F-Secure の<q><a href="https://www.f-secure.com/ja_JP/web/home_jp/freedome">Freedome</a></q>を念頭に置いていた。 しかし F-Secure のメインの顧客は企業で個人向けには若干敷居が高い感じ。 なので,個人向けにお手軽に使えるものを探していたのだ。 </p><p> したら,こんな記事を見かける。 </p><ul> <li><a href="http://bizmakoto.jp/makoto/articles/1404/21/news045.html">半径300メートルのIT:無料Wi-Fiサービスを安全に使う「個人用VPN」って何? - Business Media 誠</a></li> </ul><p> はっきり言って今時 <a href="http://bizmakoto.jp/makoto/articles/1309/11/news020.html">Facebook を引き合いに出す</a>のはナンセンスだと思うのだが(随分昔から Facebook は既定を https にできる),まぁ言わんとしていることは分からないではない。 VPN の利点は以下の2つがある。 </p><ol> <li>安全でない通信経路を暗号化し盗聴やなりすましを防止する</li> <li>roaming により追跡型の広告を防止する</li> </ol><p> 最近は BYOD の普及により企業でも VPN が一般化しつつあるが,それは主に最初の利点による。 端末から VPN を経由して(盗聴やなりすましを受けることなく)直接企業内のネットワークに入れるからだ。 </p><p> 個人の場合はちょっと事情が違う。 公衆無線 LAN アクセスポイントやホテル等の信用出来ない(LAN の接続構成が公開されていない)ネットワークサービスを安全に利用するために VPN は必要である。 また副次的な作用として roaming がある。 VPN の接続先によって利用しているキャリアや ISP に関係なく location を偽装することができる。 これによって監視型・追跡型の広告をある程度躱すことができる。 </p><p> ただ VPN サービスの場合,サービスプロバイダが信用できるかどうかがとても重要になる。 サービスプロバイダ自身が盗聴やなりすましを行っている可能性もあるのだから。 </p><p> また VPN だけでは匿名通信は達成できない。 匿名活動を行うためには <a href="https://baldanders.info/blog/000768/">Activity を徹底的に隠蔽する必要がある</a>が,暗号化だけでは「隠蔽」は達成できないからだ。 匿名活動を行うには <a href="https://www.torproject.org/">Tor</a> のような技術が必要となる(もちろんそれだけでもダメ)。 </p><p> いや </p><ul> <li><a href="http://www.gizmodo.jp/2014/11/torurl.html">フェイスブックが匿名化通信に対応、Tor専用URLを公開 : ギズモード・ジャパン</a></li> </ul><p> という記事を見かけて「それって意味あるの?」とつい思ってしまったので。 </p><p> というわけで <a href="http://www.hotspotshield.com/">Hotspot Shield</a> については試してみるかな。 </p> <div class="hreview"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4622077655/baldandersinf-22/"><img src="https://images-fe.ssl-images-amazon.com/images/I/41M81mMGOkL._SL160_.jpg" alt="photo" class="photo"/></a><dl><dt class="fn"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4622077655/baldandersinf-22/">プライバシーの新理論―― 概念と法の再考</a></dt><dd>ダニエル・J・ソローヴ 大谷 卓史 </dd><dd>みすず書房 2013-06-26</dd><dd>評価<abbr class="rating" title="4"><img src="https://images-fe.ssl-images-amazon.com/images/G/01/detail/stars-4-0.gif" alt=""/></abbr> </dd></dl><p class="similar"><a href="https://www.amazon.co.jp/exec/obidos/ASIN/4890780335/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4890780335.09._SCTHUMBZZZ_.jpg" alt="OECDプライバシーガイドライン―30年の進化と未来"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00IEG5IFY/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00IEG5IFY.09._SCTHUMBZZZ_.jpg" alt="Jurist (ジュリスト) 2014年 03月号 [雑誌]"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4785720999/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4785720999.09._SCTHUMBZZZ_.jpg" alt="よくわかる共通番号法入門 ―社会保障・税番号のしくみ"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4791767152/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4791767152.09._SCTHUMBZZZ_.jpg" alt="サイファーパンク インターネットの自由と未来"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/482222533X/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/482222533X.09._SCTHUMBZZZ_.jpg" alt="パーソナルデータの教科書~「個人情報保護」から「プライバシー保護」へとルールが変わる~"/></a> </p> <p class="gtools">reviewed by <a href="#me" class="reviewer">Spiegel</a> on <abbr class="dtreviewed" title="2014-11-13">2014/11/13</abbr> (powered by <a href="http://www.goodpic.com/mt/aws/index.html">G-Tools</a>)</p> </div>