2012年2月版 「情報セキュリティ月間」はイベント目白押し


山本洋介山
bogus.jp

2012/3/12

 2月は毎年恒例の「情報セキュリティ月間」。それに合わせて開催された数多くのイベントに馳せ参じるため、寒さの中、日本全国を駆け巡った人がセキュリティクラスタの中にも多く見られました。

 また、日本でも久しぶりとなるCapture The Flag(CTF)がようやく大々的に開催されたり、CODEGATEの予選には多くの日本人の参加者があったりと、CTFも盛り上がりを見せています。一方でDNSの脆弱性が報告されたり、ICカードのプライバシーが問題となったりと、さまざまなレイヤで話題が繰り広げられることにもなりました。

「LOVE PC」キャンペーンってなーに?

 2月は「情報セキュリティ月間」で、セキュリティをテーマにしたイベントやセミナーが目白押しとなりました。

 一部だけを抜き出してみても、2月9日には肉を食べながらセキュリティを語る「29sec2012」が開催されたほか、2月10日には「NICT情報通信セキュリティシンポジウム2012」、2月16日〜17日には松山で「情報セキュリティシンポジウム道後2012」が開催されるという具合です。内閣官房情報セキュリティセンター(NISC)が取りまとめたものだけでも、1299件に上るイベントが開催されました。

 その中でひときわ目を引いたのが、「LOVE PC」キャンペーンというものでした。「PCにセキュリティという名の愛を」というキャッチコピーの下、突如出現したこのWebサイト。セキュリティというイメージからはあり得ない、ピンク色をベースにした女子向けサイトのようなデザインで、「誰が何のためにやっているのだ?」と一躍タイムライン(TL)の話題となります。

毎年 2 月は「情報セキュリティ月間」です。安心安全な IT のある暮らしのための基本的なセキュリティ対策を「Love PC」のサイトでご紹介しています。http://t.co/zVrnBtSQ #JSECTEAM
Feb 01 via CoTweet Favorite Retweet Reply

 実は、IBMやマイクロソフトなどの大手企業が運営事務局メンバーとなり、情報処理推進機構(IPA)や日本ネットワークセキュリティ協会(JNSA)などが後援する活動でした。「カジュアルなサイト」という路線を狙っていたようなのですが、TLではそれを面白がる人は少なく、本物なのか偽物なのかを探っている人の方が多いように感じられました。

 さらには、サイトを見た人の中から「右クリックが禁止されている」だの、「セキュリティポリシーがおかしい」(指摘を受けすぐに修正されました)だの、多数の突っ込みを食らうはめに。主な活動が、FacebookでJVNの脆弱性情報やセキュリティ関係の記事をシェアするという淡々としたものだったこともあり、残念なことに2月の半ばにもなるとあまり話題に上ることもなくなってしまいました。

 情報セキュリティ月間のキャラクターとしては、経済産業省の「セキュリーナ」もいますが、このあたりのアピール方法、もう少し何とかならないものでしょうか。

雪の中、第1回SECCON CTF開催!

 2月18日には、福岡県で「第1回SECCON CTF」が開催されました。「将来の情報セキュリティを担う若手技術者を発掘したい」という目的から、基本的には学生のみの参加だったようですが、なぜか当日は社会人との混成チームもあったようです。

【関連記事】
SECCON CTF福岡大会レポート

http://www.atmarkit.co.jp/fsecurity/special/167ctf/01.html

 運営側、参加側どちらにも、TLでよく見かける人が多数参加していました。雪の中会場に向かう様子や準備にいそしむ様子がTwitterを通して垣間見えて、TLを読んでいる方も開始前からわくわくしました。

 さすがに競技中はつぶやくどころではなかったのか、参加者からのツイートはほとんどなかったのですが、運営の人たちが、得点経過だけでなく会場の写真などをアップしてくれたおかげで、雰囲気がよく伝わりました。長時間の戦いの後、第1回の優勝チームは「Ubel Panzer」となりました。おめでとうございます。

第1回 優勝チームはUbel Panzer ! おめでとうございます。#seccon http://t.co/Y6JqZmlF
Feb 19 via TwitBird Favorite Retweet Reply

 残念だったのは、雰囲気以外の情報があまり伝わらなかったところです。「用意された問題のうち、Web関連の問題には誰も手を出さなかった」など、少しだけ傾向は漏れ伝わってきたのですが、もう少し問題の中身やルールなどの情報が外に伝わってきたらいいなと思いました。

【関連リンク】
第一回 Seccon CTFまとめ(Togetter)

http://togetter.com/li/260225

 このように大きなCTF大会が開催されるのは日本では久しぶりのことです。後日、運営委員長の竹迫氏がラジオに出演した際には、「どうしてこれまで開催できなかったのか」と聞かれていたのですが、「マスコミに『犯罪を助長するようなことをやらせるなんて何事か』と叩かれたせいで開催できなくなった」ともいえず、言葉を濁していたのが印象的でした。TLでもこのことに言及している人が何人もいました。

大人だなぁ。「オメーらが、犯罪者を育てるって報道して騒いだだろーがっ!」って言わなかったよ。
Feb 21 via Tween Favorite Retweet Reply


Ghost Domain Names脆弱性の危険性は?

 2月8日、DNSサーバの新たな脆弱性に関する論文が発表されました。上位ゾーンの権威サーバがそのゾーンへの委任を取り消しても、そのゾーンのキャッシュが消えないようにできるという問題です。消したはずのドメイン情報が、幽霊(Ghost)のように消えずに残ったままになることから「Ghost Domain脆弱性」と名付けられましたが、人によって、危険なのか、それほど危険ではないのかで、意見が分かれていました(なお、BINDの脆弱性は3月にリリースされたバージョン9.9.0によって対策されています)。

 JPドメインの中の人である@OrangeMorishita氏は、使用中のドメイン名には影響がないため、拙速な対応よりも正しい理解が大切と考えているようでした。

【5つのまとめ少し訂正】1)BIND限定ではなくDNSプロトコルの実装に起因する脆弱性 2)対象はBIND以外にも色々 3)使用中のドメイン名には影響がないので焦らないこと 4)キャッシュDNSサーバーにDNSSECを適用しても防げない 5)今回は拙速な対応よりも正しい理解が大切
Feb 09 via Mo-Footer Favorite Retweet Reply

 逆にqmail.jpの@beyondDNS氏は、この問題を重大な危険性をはらむものと考えているようで、DNSサーバの入れ替えや使用しているキャッシュDNSサーバの変更など早めの対策を勧めていました。さらに、さまざまなDNSサーバに対してGhostが残ることを実証する実験を行うなど、問題の啓蒙活動にも取り組んでいました。

Ghost Domain Names (ゾンビドメイン)とは上位ドメインの管理者が削除したはずのドメインが利用可能なまま残るというDNSの仕組み上の不良のことです。(削除が滲透しないので、ICANNが震盪する。)
Feb 19 via web Favorite Retweet Reply

ゾンビドメインを検出して対策しているキャッシュサーバもすでにあります。unboundはその一例です。ISC(BIND)は事の重大性を誤解しているのか、当分修正はでそうもないので、BINDサーバを使っているなら、サーバの入れ替えを検討すべきです。
Feb 20 via web Favorite Retweet Reply

 しかしながら、DNSなど低めのレイヤのセキュリティにはあまり関心を持たれないのか、自分でDNSサーバを管理している人が少ないからなのか、@beyondDNS氏がいろいろ情報を提供してもどうも反応が薄かったようです。また、この問題提起に反応を返すのも、いつものセキュリティクラスタを構成する人とは異なる人が多かったのが印象的でした。

 やはり、一口にセキュリティといっても物理層からアプリケーション層、政治層まで、興味と得意分野は人によってさまざまで、1人ですべての分野をカバーするのは難しいことを実感させられます。

セキュリティクラスタ、2月の小ネタ

 この他にも2月のセキュリティクラスタでは以下のようなことが話題となりました。3月はいったいどのようなことがTLを賑わせるのか楽しみですね。

  • CODEGATE予選、SUTEGOMA2余裕の予選突破!
  • Shibuya.XSS大人気でキャンセル待ちが200人
  • IBMが通話履歴をビッグデータとして勝手に解析する?
  • 不正アクセス禁止法改正で、はまちちゃん逮捕!?
  • セキュリティキャンプ継続決定
  • 「目grep」に続く「耳grep」
  • OCN、3カ月半にわたり、他人のメールパスワードを再設定できるひどい状態だったことが明らかに
  • 検閲があるはずのiPhoneでも、ユーザーのデータを収集するアプリが出現
  • OAuthを単体で認証に使うと危険!
  • 農林水産省にも標的型メールによる攻撃が
  • AnonymousがpcAnywhereのソースコードをBitTorrentに放流
  • 鉄道系ICカードでは他人の履歴情報を閲覧できるかも!?
Profile
山本洋介山
bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。

2012年1月版へ    

Twitterセキュリティクラスタ まとめのまとめ 2月版 バックナンバー


セキュリティクラスタまとめのまとめ 連載インデックス

TechTargetジャパン

Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

キャリアアップ

- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る
- PR -

ホワイトペーパーTechTargetジャパン

ソリューションFLASH

「ITmedia マーケティング」新着記事

BENLY、動画マーケティングの一気通貫ソリューションでPurpleCowと業務提携
デジタルマーケティング事業を営むBENLYは11月21日、PurpleCowが運営する動画制作クラウ...

エムプロモとROI、購入後追跡アンケートまでサポートするO2Oサンプリングを開始
マクロミルの子会社であるエムプロモは11月21日、O2Oサンプリングの営業推進ならびに商品...

Square、無料POSレジ「Squareレジ」のグローバル提供を開始
Squareは11月20日、iOS/Android対応のPOSレジアプリ「Squareレジ」のグローバル提供を始...