Internet Week 2009「インターネットセキュリティ2009」

木谷 公哉(KITANI Kimiya)
kitani[at]bakkers.gr.jp
最初に
下記の掲載情報は、筆者の独断と偏見に基づいたものです。従ってその情報が正しいかどうかは保証しませんし、責任を持ちません。情報としてそういうものもあるのだなと思っていただきながら、しかし情報の正否はご自身で検証してください。情報を探す切っ掛け程度の参考にはなるかなと思います。
1)インターネットセキュリティ2009
マルウェア、ウェブサイト改ざん、なりすまし等、インターネット上での脅威に関する情報を得ること得たい。
- 関連記事: Internet Watch
  1. 09:30 -- 10:22: 2009年のインターネットセキュリティの課題を振り返る
    • Conficker
      • セキュリティパッチが提供されてから1ヶ月後に流行った攻撃(パッチが当たってない?)
      • 管理共有(admin$)を使った感染
    • USBウィルス
      • NoDriveTypeAutoRunレジストリキーを設定したらいいが、更新プログラム(953252)が適応されていないと有効にならないバグもあった
        ※当初は手動更新だったが、現在は自動更新に含まれる
      • それ以外にAutorun.infそのものの機能を停止するコマンドもある
      • Window7になった、漸く自動再生の挙動が変更。非光学のリムーバブルメディアに対しては(すなわちCD/DVD等以外)、自動実行機能をサポートしなくなった
        ※WindowsXP/Vista, Server2003/2008でWindows7と同じ挙動をさせたければ、「更新プログラム 971029」を適用する。※自動更新ではなく手動でなければ駄目。
    • アプリケーションソフトへの攻撃:Adobe Reader / Flash Player, QuickTime, Firefoxが多い。
    • Gumblar (GENOウィルス, JSReDir-R)
      • Internet ExplorerのJavascript脆弱性攻撃
      • PDFファイルの脆弱性攻撃
      • SWFファイル、Adobe Flash Playerの脆弱性攻撃
      • FTP接続の盗聴とその情報を元にWebページ改ざん。
        ※暗号化する前の情報をキャプチャするので、SFTPによる暗号化通信を行っても突破される
      • 第三者攻撃(盗聴できたFTPアカウントをつかって次々とWebページを改ざん
      • 首輪付き:つまり一旦感染するとウィルスを経由して外部からPCに対して新たな命令できる(被害者が一点加害者に)
      • ウェブサイトに埋め込まれるJavascirpt: 意図しないものが入っているかどうかチェック(CMSなど使っていると分かりにくいが、diffなどとっておくといいか)
      • さらに被害が拡大(高度化):span送信、にせアンチウィルスのインストール(ランサムウェア(身代金要求ソフトだったりする)、Google検索結果を改ざん、マルウェアサイトへの誘導、アンチウィルスソフトの停止、自分自身のアップデート
      • 全自動システム:感染PCから外部への攻撃は、プロキシを経由する、自身を常にアップデートしていることから対応が非常に難しい。すでに4万件以上の感染者がいるようだ(カスペルスキー情報)。
    • にせウィルス
      • ThreatExpert: 独自の解析システムでチェックしてくれる
      • MalWare URL: マルウェアのサイト一覧
      • (事例1)Windows Enterprise Suite: アクセスするとスパイウェアが見つかりましたとかいって削除するツールをダウンロードさせる。それをチェックすると、あまり引っかからない。アンチウィルスソフトで検出できないように作られている。
      • (事例2)英ISP VAserv: zero-day攻撃を受け、脆弱性を突かれたソフトウェアの会社社長は自殺:発見者による情報公開が早くて、情報公開前に出した脆弱性修正パッチが不十分で結局大ダメージを受けたそう(10万ものWebサイトのデータが消されたようだ)
    • アンチウィルスソフトウェア
      • AV-Comparatives.org: On-Demand Comparativeはつまりは、「AV-Comparatives.orgと同じ検体をどれだけ用意できたか否か」を確認しているだけのように思うとのこと。
      • Retrospective/Proactive Test: ヒューリスティック。更新をとめて、1週間で検出できる新種のウィルスをチェック。これは結構興味深いし情報としてはよいと思うとのこと。確かに。
    • ソフトウェアの更新
      • つまり、Adobe AcrobatやFlashのようなものもMicrosoft Updateに統合できないのか?
      • Microsoft Updateは従来、サードパーティにも解放する予定だったはずとのこと。
      • カスペルスキーの2010:自動アップデート機能があるとのこと。
      • Secunia PSI: リンク先の記事に書いて有るとおり、脆弱性発見ツール
  2. 10:28 - 11:58: パネルディスカッション 脅威のトレンド2009: 「ソフトウェア、プロトコル、ウェブサイトを巡る動向」
    1. JPCERT
      • 多様化する攻撃手法:そもそも被害者がしらぬまに加害者になるため、問題が複雑化している。ここ1年ではGumblarにつきると思う。
      • 公開アドレスに届いたメールのうち、実行ファイルが添付されていた数: 2009年9月以降、異常に増えている(JPCERT)。
      • 攻撃の特徴:脆弱性の悪用、JavaScriptが大活躍(Adobe, IE, PDF, Webへの悪性コード埋め込み等)。
      • 偽メール
        • 運送業者を偽造(DHL等)
        • Microsoftを偽造
      • にせアンチウィルスソフト
        • サイトにアクセスするとウィルス感染警告が出てきて、直すツールのインストールを促される
        • インストール後の動作は、非常に綺麗な画面が出てきてユーザをまどわす。
      • 改ざんされたWebからの誘導(Gumblar)
        • iFrameを利用したケースが多い。
        • 2009年7月ぐらいから急速に流行ってきている
        • 誘導するため、被害者が加害者になるケースでもある
    2. NRIセキュリティテクノロジーズ:Webサイトの動向
      • やはりGumblar。芋ずる式で広がってしまう特徴がある
      • 昔からある手法がまだ通じる:価格.comのWeb改ざん事件は2005年のことだが、それは2000年ぐらいから出てきた脆弱性問題だった。SQLインジェクションなど。
      • Webアプリエーションのセキュリティ診断を実施している企業は、2割程度
      • クロスサイト・スクリプティング脆弱性は、チェックした半分ぐらいのWebサイトで発見される。つまりチェックを依頼をされるということはセキュリティ対策の意識が高いと思われるが、それでも多くの脆弱性が見つかる。つまり世の中のWebアプリケーションソフトは非常に多くのバグが内包している危険性あり。やはりコードを開発するときにセキュリティ対策要素を最初から入れ込むような教育が必要なのではないか。
      • 質疑応答
        • パスワード:暗号化されている割合がすくないケース有り。暗号化せずにパスワードを保存していないと回答する人もいる・・・。クレジットカード情報も・・・。技術者のレベルではなく、危機管理上の問題で、それが40%もあるとは危機的な状況だなぁ・・ということ。
    3. チェックしておきたい脆弱性情報2009
      • TCPのゼロ・ウィンドウ・サイズ
      • TCPの孤立した接続状態
      • Firefoxのように一時的に接続停止して、後から再開したときに続きからやってくれるのはいいのだが、そうでなく新たに接続するようなケースだと、WebサーバのKeepAlive時間サーバに負荷をかけてしまう。
      • Apacheはたとえば100件までしか接続を受け取らないなら、その通りになるがISSは段階をおって受け付けるようになる。つまり何割か制限しつつなんとか受け付けようとするようだ。
      • Adobe Readerだけで5件も脆弱性があった。
      • X.509証明書のドメイン名処理: ドメイン名にNULLを含むX.509証明書の取り扱い問題。Firefox, Thunderbird, fetchmail, WebDAV, Safari, Google Chrome, Gnu wget, IE, ProFTP, BlackBerry Device, OpenLDAP... とにかく大量に出てきた
      • PHPで開発されたサイトで脆弱性が発見されている。PHPが有名だからだが、SQLインジェクション等もチェックが必要だろう。
      • バージョンチェック: Firefoxプラグインのバージョンチェック, Flash Playerのバージョンチェック, MyJVNバージョンチェッカ (2009/11/30公開された)
    4. パネルディスカッション
      • 管理者はどう対応していけばいい?
        • サーバ側の対策をしっかりしよう。
        • ウェブサーバを安全に構築するだけでなく、その後のセキュリティ対策を常に継続していってほしい。つまり開発したシステムも更新していく必要があるのだ。
        • 利用者側のシステムをいかにして更新できるかの運用体制作りも非常に重要
        • サーバ管理とクライアント管理が違う場合もあり、連携が難しいことが、以前出てきたNIMDAで浮き彫りにされてきたと思う
      • 質問1)Web開発者側に説明しても理解してもらえない場合もあるがどうすればいいのか
        • ウェブサイト作成依頼クライアントと開発会社との三社で話し合うこともあるが、なかなかセキュリティに関していれていることも少ない。したがって仕様要件の段階で、SQLインジェクションやクロスサイトスクリプティング、パスワード漏えいしないようなリストを作っておくべきだ。最初の段階はセキュリティアドバイザーなどが必要かもしれないが、それは最初に1度だけでしょう。
      • 質問2)来年の対策は?
        • やはり運用体制そのものを変えていかないといけないと思う。
        • 現状では、アプリを狙っているケースが増えているので、アプリの脆弱性対策が重要になってくるだろう。そして流行させるツールとしてWebサイトが利用されている現状がある。この流れは加速していくでしょう。従ってWebサイトを安全に管理することも重要になってくる。
        • Twitterなどのクラウドなどのケースはいままでとは異なる対策が必要になってくるでしょう。ちょっとしたことで大量にダメージを受けるようなケースも出てきた。これは脆弱性だけでなく情報ソースそのものに問題もあるわけだから、今後注視していく必要がある
    5. 12:00 - 12:41 海外におけるインターネットセキュリティインシデント概観 (JPCERT)
      1. 韓国大規模DDoSインシデント 〜その後
        • 2009年7月7日頃に数日にわかった発生
        • 主な原因は、公開ソフトがマルウェアに置き換えられたことによって、Botnetが構築された(非常に巧妙で複雑であり、今だ全容は明かになっていない)
        • AttackerはZombie Botを構成し、そこからDDoS Attackをする。これがメジャーな流れだ。ただし、Attackerは他のサーバから別のBotNetを経由して、Zombie Botへ命令をあたえるなど、巧妙だそうだ。Zombie Botを作成するのは、普通のソフトをマルウェアに変更することで広げたとのこと。
        • JPCERTで攻撃があったとされるサイトをチェックすると、アメリカ側は韓国全体のIPを遮断したのか、アメリカの攻撃サイトリスト先は攻撃をうけてないようだ。
        • JPCERT/CCは、KrCERT/CCと2国間で協力している。もちろん可能な範囲でね。
        • 2009年11月現在、調べれば調べるほど、マルウェア配布経路が1つでないこと、新たな事実がどんどん発覚するので全容解明が難しい。
        • マルウェアは2009年2月ぐらいから公開されていて、マイドキュメントデータを情報漏えいしつつ、あるときマルウェアのアップデートが行われ、今回の攻撃に切り替わったようだとのこと
        • 中小企業向けのDDoS対策サービスを検討しているとのこと
        • 韓国のウェブサイトのマルウェア配布状況を監視するようだ。2010年は100万サイトぐらいを監視するらしい。ようはクローラーで怪しげなファイルを置いてないかチェックしていくらしい
        • 日本でいうサイバークリーンセンターのようなものを検討(BotにさせられているIPユーザへの通知とか)
        • 普段対応していたDDoS攻撃の10倍以上の規模を想定する
        • リアルタイムのコミュニケーション(ISP, ウェブサイト管理者等)問題がある
        • 国外との協力が不可欠(海外サイトがBotになっているケースもあるし)
      2. 中国<における大規模ネットワーク障害
        • DDoS攻撃で逮捕者が出た(FIREWALLの会社だった・・・)。標的がオンラインゲームであり、億単位の被害がでた
        • インターネットカフェで、DDoS攻撃をうけてネットが使えない。近くの同業者が嫌がらせをしているケースもあり、簡単なDDoS対策していても役に立たないレベルだ。しかもDDoS攻撃をサービスしているサイトがある・・・
        • QQというサイト:中国で有名であり7億ぐらいのユーザ数とアクティブが3億ぐらいになっている。
        • それはともかく、大規模障害については、標的:DNSPod(無償のDNS解決サービス)、ユーザ「爆風(万能動画再生レーヤー:1.2億ユーザ)」、個人ゲーム運営(ログインした段階でレベルが高い状態で始めることができる。ちまちま低いレベルからしたくないという中国人気質があるようだ。中国のゲーム人口は2億を超えているとのこと。) というものがあり、ようは個人ゲーム運営業者によるユーザ争奪戦に関連したDNSPodへのDDoS攻撃で大規模障害が起こってしまったようだ。
        • 攻撃者は直接相手を攻撃したが、おちないのでそれが利用しているDNSPodを攻撃。これが止まった。ISPの方がDDoS攻撃を察知して、DNSPodを含むIPを禁止してしまった。DNSのTTLキャッシュが切れたときに、爆風ユーザの大量のDNSPodへのリクエストが発生。でもISP側で止まってしまう。すると今度はISP側のDNSも過負荷に?これで億単位の被害がでたらしい
        • 爆風自体もDNSクエリを大量に送っていたことも問題視された。結局、爆風自体のアップデートが出た。
        • 南北分離のインターネット事情がある。それをうまく切り分けてくれるのが、DNSPodだった。
        • 逮捕者は、学歴が小中学校だった。その後は、DNSPodサーバのロードバランスを考える(野良サーバは制限する)。ちゃんとしたサーバはこのような無償サービスではなく自分自身で対応してほしいといっているらしい。
2)インターネットをとりまく制作と規制の最新動向
  1. 著作権法の改正とインターネットについて -平成21年度改正著作権法の概要
    • 権利保護強化(高度な匿名性)、実質的な権利の制限(新たな情報伝達手段としての可能性)、非実質的な権利の制限(情報を複製して伝達していく仕組み)
    • 平成21年6月19日官報第5095号により公布(著作権法の一部を改正する法律:大改正)
    • 平成21年7月10日官報号外第146条により公布(国立国会図書館法の一部改正する法律)
    • 主な改正
      • 私的使用複製の範囲の見直し
        私的使用目的で行う不正はOK(著作権法第30条)
        • 違法なインターネット配信から音楽や映像を複製(ダウンロード)することは、私的使用目的であっても、違法(権利侵害)となる
          -- 国外で行われるものについても、日本国憲法上問題有れば対象となる。
          -- 罰則等:違法配信と知りながら録音録画を行う場合のみを対象としており、罰則の適応もない
      • 著作権等侵害品の頒布申し出の侵害化
      • 国立国会図書館における所蔵史料等の電子化
      • 美術の著作物等の譲渡等の申し出に伴う複製等
      • 送信の障害の防止等のための複製(47条の5)
        キャッシュ等は適法
      • 検索エンジンのための複製等(47条の6)
        基本的には適法だが、違法があった場合には対象となる。
      • 情報解析のための複製等(47条の7)
        基本的には適法だが、違法があった場合には対象となる。
      • 電子機器利用等に必要な複製(47条の8)
        メモリやブラウザ(YouTubeなども含む)で利用されている一時情報は適法
      • 権利者不明の場合の利用の円滑化(67条の改正)
        テレビ放送するなどする場合、権利関係が複雑すぎる問題の簡素化
  2. 日本におけるファイル共有ソフトを悪用した著作権侵害への対策
    • ファイル共有ソフトを悪用した著作権侵害対策協議会(CCIF)の設立(2008年5月)
    • ファイル共有ソフトを利用している情報機器をチェックする仕組みも進められている(IPアドレス等)
    • 現在約176万人(Winny, WinMX, Limewire, Share, Cabos等)
    • 著作権侵害事犯への対処(議論)
      • 啓発(警告) メールによる注意喚起活動
      • アカウントの停止
      • 損害賠償請求等
      • 調査、検挙
    • ガイドライン(案)の作成(パブリックコメント中)
    • 常にWinnyなどファイル共有ソフトを動かしていて、常にダウンロード・アップロードしているいくつかを対象にテスト(203件に啓発メールを出す)。処理に問題ないレベルだと判断されている。一定数は改善されている。
    • 公共、学校・法人施設内、ネットカフェ、ホテル等ではなかなか対応してもらうのが難しい。
    • 2010年2月以降は、本格稼働
      • ISPにもしていくということになると、ISP側としては海外だけでも多数あり、その対応も1%程度しか出来てないが、そこあたりをどうクリアするか不安
      • 海外にサーバを置いて法律をかわすなどしているISPもあるようだが、そのあたりどう考えるのか。まだグレーだそうだ
      • この改正で、Winnyのような利用者などで逮捕者が増えることはあるのか(従来どおり罰則規定がなく、権利者が民事訴訟などで対応していくとのこと)。
      • プロバイダ責任制限法の発信者情報開示は非常に手続が煩雑(裁判)になる。まずCCIFから啓発(警告)メールをまずする方が、ユーザの方からしても利益になる
      • (Q)ISP運用者から: ユーザの無線LAN AP乗っ取りにより、迷惑メールが送信されてしまう事例がかなりある。今回CCIFさんから警告メールの送信依頼があった場合、どう対応すればいいのか?
        出来る範囲でセキュリティの甘い部分を指摘していくしかないでしょう。
      • 年内には閣議決定(2010年1月施行に向けて頑張っている)
      • (Q)国内にサーバがあることのみを対象にするのは、意味がないのでは? ユーザはそんなこと知らずに使っているのではないか。海外との連携はどのようになっているか。
        仮に海外にサーバがあっても、国内ユーザがダウンロードした上で、そこからアップロードできるような仕組み(ファイル交換ソフトはインストールすると自身がサーバとなる)なのだから、そこらあたりに適応されてきたりする
      • (Q)キャッシュの適応について:ISPによるキャッシュも適法か? はい適法だ。
  3. フィルタリング提供義務とブロッキング
    1. フィルタリング提供義務の現状
      • 出会い系サイト規制法(警視庁)
      • 青少年インターネット環境整備法
        フィルタリングがあることの紹介だけですんでいる
      • その他条例
        東京都青少年の健全な育成に関する条例等
    2. 中国におけるフィルタリング導入政策
      • 海外から輸入されるPCも含め国内で利用されるすべてのPCにフィルタリングソフト導入を義務づけられた。実際は実施されていない。
      • 主な機能
        プロキシ禁止、パスワード保護、ステルス実行、アンロード禁止、オンライン許可時間帯設定、IP・画像フィルタ、定期的な画面キャプチャ、などなど2つのソフトウェアから成り立っている
      • フリーダウンロード可能になっていて、小中学校ではほぼすべて導入された(5月の段階)
      • 個人検閲、独占禁止法、消費者権利保護法的に問題があるのではないかと議論があった
      • ネットに接続できる時間が設定できて、それ以外はブラウザが落ちるなどの強制遮断措置が入っている
      • 3分間ごとに画面キャプチャーをとっている
      • 肌の露出度に応じて、自動ブロックされ、しかも1つでもブロックされるとブラウザがおち、さらにブラックリストに自動登録されてしまい以後管理画面で解除しないと以後アクセスできない。
      • アクセスログを見るとブロック理由、場所全部の情報が載っている
      • ある台湾のHPで語句によるブロックをされてしまう
      • Safariなどのブラウザはブロックされるのか:出ます。従ってIEやFirefoxなど特定ブラウザで監視しているようだ
      • 問題:脆弱性、コード無断使用疑惑、ダムバスター、外国よりの圧力(実施数日前)--- 準備不足ならばインストール時期をずらせても良い、財務省は関知してないとか、使用・不使用はユーザ自身が決める、学校や保護者については大好評だそうだ。
    3. 児童ポルノのブロッキングに関する法律問題(日本)
      • いままでは自主規制であり、法律で決めるものではないとものになっている。
      • 安心ネット促進協議会(いくつかのISPで実験している)、EMA、I-ROI, 児童ポルノ流通防止協議会
      • 方法1)DNSポイズニング(DNS側でリストをおいておき、該当するならダミーのIPアドレスを返す:イタリア、ノルウェー、スエーデン等)
      • 方法2)ハイブリット・フィルタリング
        ISPのルータでIPアドレスで検出したものをURLでチェックしブロック(イギリスとオーストラリア)
      • 憲法第21条2項(検閲をしてはならない),電気通信事業法第4条1項(通信の秘密を侵してはならない)という縛りがある
      • 児童ポルノの改正で、単純保持も犯罪だということを付け加えようという議論がある
      • 改正されることで、単純所持が犯罪化されれば、正当防衛として捕まる可能性がある
      • オーバーブロッキング
        • DNSポイズニング
          一部のホスト内違法があったら、ホスト名全体がブロックされてしまう
        • ハイブリット。フィルタリング
          IPアドレスで検出したものからURLでブロックするので問題が回避できるが、費用がかかってしまう。
        • いずれにしても
          サイトの中身が変わる可能性があり、さらに判断をどうするのかが問題
          18歳未満のアイドルの水着姿の写真は児童ポルノ?
          裸の乳幼児のオムツCMは児童ポルノ?などなどいろいろ問題はある
      • 規制派も表現の自由派も結局対立点はあまりない。問題は「何が児童ポルノか分からない」「児童性愛者」である。さらにアニメや絵などはどうなんだという問題もある
      • 少なくても児童虐待情報は閉め出したいという気持ちは一緒だ?
      • 先進国では自主的な取り組みとして広く行われている
      • 児童ポルノの流失抑制については、反論がすくなく、放置していると強力な法規制がなされる恐れがある。そのリスクを考慮すべき。
    4. 質疑応答
      • 商取引上、違法になる場合の規制はどうなるのか
        - 違法・有害であることが明かな場合には、警察による検挙という手段になるでしょう。特に新たに規制が設けられるわけでない。
        - 日本ではフィルタする内容は、法律では縛らない。中国では国が関与するようだ。
        - フィルタリングは受信者側は対応することであり、ブロッキングは発信・受信者の意図にかかわらず行われるものである。従ってブロッキングを行うことはなかなか難しい。
        - フィルタは義務でブロックは努力義務になっているが、罰則規定のある内容の法律が自民党からだされたことがあるので、注視していく必要がある。
  4. 出会い系サイト規制法強化とインターネットへの影響
    1. 出会い系サイト規制法強化による影響(ライブドア)
      • ライブドアは出会い系サイト(オンライン結婚情報サービス)をサポートしている。その運営を通して説明する
      • 改正にあたって、本人確認の厳格化、削除義務、届け出制が義務化となった
      • 本人確認の厳格化
        - 自己申告が駄目になった
        - クレジット決済か免許証や保険証などに目視確認が必要。
      • 削除義務
        - 18歳未満が書き込みをしていることを知ったとき、速やかに削除しなければならない。
      • 届け出制
        - 事業者は警察署への届け出が必要になった
      • 出会い系サイト規制法の改正
        - 2008年12月施行。2009年2月に完全実施(ライブドア)
    2. インターネットの健全な利用方法について(モバゲータウンを参考にして): ディー・エヌ・エー)
      • モバゲータウンは携帯からのアクセスだが、すでに7506万人もいることになり(パソコンは8255万人)、パソコン利用者とほとんど同じぐらいのアクセスがある。
      • 登録するとアバターが仮想住人として様々なコンテンツを無料で楽しむことができる
      • 会員数の推移:2009年10月時点で、1500万人を越えているような状態。
      • 会員の年代:19歳未満が470万人(32%),20〜29歳611万人(42%),それ以上367万人(26%)。高校生の男性は6,7割、女性は5割ぐらいが登録されている。
      • 投稿数:1日、1000万件ぐらい
      • 悪い事例:
        - 誹謗中傷に関するコミュニケーションがなされてしまっている。
        - 免許証の写真をそのまま載せてしまっている(住所、名前が全部ばれる)
        - 画像で、携帯電話のメールアドレスを入れたり(規制できないから)
        - クレジットカード番号も含めた画像を載せてしまう(持っているよ程度しか思っていない
        - 合格証書(受かったよ程度だが、個人情報が漏れる)
      • どう規制に関して努力しているか
        - 事前書き込み制限(400名のスタッフが24時間365体制で実施) - キーワード審査 - ベイジアンフィルタによる審査 -- 電話番号を計算式にあらわして回避をする -- 特定文字を間にはさみ、それを消すことでアドレスになったりするなどに有用 - 多送信チェック - ミニメール利用制限(ユーザ同士でのメッセージ送信機能) -- 13歳未満は利用できない、18歳未満、同年齢以下しか送れない等、それ以降は18歳未満とやりとりできないなど. - 簡易年齢認証 - 特定ユーザ間利用制限(ブラックリスト)
3)3時間でわかるこれからの電子認証
  1. テーマ「電子認証にかかわる国内外の動向」
    1. SSLサーバ証明書の動向
      • v1.1→1.2: Apple, Google, Research in Motion(Back Berry)などが参加
      • EV SSLとは: EVガイドライン、RSA2048/SHA-1以上が義務化、OCSPレスポンダが必須などを定めているのが異なる点
      • MD5→SHA-1 (2011年以降)
      • SHA-1: Secure Hash Algorithm 1: openssl sha1 で利用できる
        - Apache 2.0.xではSHA-1が使えない。(回避方法があるが)
      • 問題:日本では半分は携帯からのアクセスあるが、携帯やゲーム機など組み込み系への対応をどうするのかが課題。ドメインの日本語対応もしなければならない。
      • 2013年を目処として電子政府の移行としている。
    2. 暗号アルゴリズムの動向
      • もっとも利用されているのは、公開鍵・秘密鍵認証(Challenge-and-Responseプロトコル)
      • 次期IC旅券
        - チップの複製を検出するセキュリティ機能の搭載 - 一定条件のもとでは署名の複製がされてしまう
      • インターネットでSSL/TLS、日常では、無線LANやICカード内で。
      • 暗号アルゴリズムの危殆化 (2010年問題)
        - MD5も脆弱性が発見されていて、SHA-1も同様である。(偽造問題 -- SHA-2以降が望ましいが・・・)
        -- 2008年12月30日ドイツで発表。(200台からなるPlayStation3を用いてMD5衝突を利用してCA証明書の偽造に成功
        -- SHA-1も2の80条なので今すぐは大丈夫だが、将来機器性能が上がってくると安心できない
        - RSA 1024bitについては、素因数分解問題がある。
        -- 一般数体ふるい法で計算する、
        -- スーパーコンピュータレベルで、2015-2020年ぐらいの進歩で可能な範囲に入ってくる(CRYPTREC)
      • 2010年問題に対応するため、1024bit RSAを使っているのなら2048bit RSAを使うように変更すること。sshログインとか、SSL認証もそうであろう。
      • 電子政府推奨暗号リスト
      • SHA-3選定スケジュール: 2012に最終候補決定(予定)
    3. 海外における電子認証の動向
      • 社会基盤としてのID管理とは?
        - インターネットでは匿名性を維持する方向だが、行政などは個人認証を元とした認証となる。
        - つまり住基ネットのようなものだが、使い道が非常に限定されていて使い物にならないと思われている
        -- [社会基盤ID [認証 - 署名]] という位置づけになる。
        - 社会保障番号制度は、民主党税制改革の根幹(2009年3月)
        -- 戸籍制度見直しへ議連 民主有志(2009年10月)
      • 小回り国家エストニアでの事例を紹介
        - 日本からすると真逆の体制となっている。小回りがきくから出来ること。ともかく何をしたいのかを説明するときに役立つ。
        - エストニアは人口135万人程度である
        - エストニアでは、11桁の国民IDの発行を受けており、全面導入が強制されている。
        - 誰が自らの個人情報に対してアクセスしたかの確認、民間サービスでも利用でき、運転免許証や健康保険証の代替も可能
        -- このようにひとつのIDに様々な情報が紐づけられていて便利になっている
        -- 携帯電話にモバイルIDという電子証明書を格納したSIMカードを利用するため、電子政府ポータルログインや電子文書への電子署名ができる
        -- ネットバンク
        --- 国民IDとモバイル電話番号を入れて、ショートメッセージによるハッシュ認証を用いて確認を取るようにしている
        -- インターネット投票も簡単に可能なのである
        - かなり貧乏な国だそうで、欧州の公的な基金を利用して、電子政府関連プロジェクトを動かしている。このことから、柔軟な法制度を保っているのではないか?
        - エストニアの個人情報保護法
        -- 非常に厳しいものとなっており、個人情報、私的個人情報、機密個人情報にわかれていて、機密個人情報は許可制となっている。
        -- 国民ID自体は公共オープンだが、それに付随した情報をどうやって守るかという点を考えている
  2. テーマ「運用の現状と課題」
    1. TLS/SSLの暗号利用に関する現状と課題
      • (後日情報)Internet Watch掲載記事で「IE使うならVista以降が無難、SSLの暗号強度調査結果からというのがありました
      • ブラウザが一番どのプロトコルを使いたいかに依存する
      • もっとも堅いのは、Firefox2/3。それ以外は問題ある物が多い
      • MD5の衝突攻撃:2004年Wangらにより発見。
        - 選択プレフィックス衝突探索:2007年Stevensらが発見。
        - さらにこれを進化させることで、2009年新年早々中間証明書を偽造できてしまった
      • AES暗号を入れていても512ビットのRSAを使っていたり、AESを使える夜にしたのにMD5を使っているなど
      • AESを使えるようにしたら、SSL2.0やEXPも利用可能になってしまった・・・
      • AES256-SHA1が使えるはずなのに、RC4-MD5が選択されてしまっている。
      • 強い暗号を選んだばかりに、弱い機能も包括的に取り込んでしまって、気づかず強度が下がっているケースがある
        - IE7 for Vista: AESは使われるけど、AES128が優先されてしまう。
        - IE7 for XP: RC4-MD5が優先で使われてしまう
    2. 全国の大学をつなぐ認証基盤「UPKI」
    3. 我が国における電子署名認証基盤のあり方