/* * セキュリティ情報の集め方 * */ はじめに セキュリティ情報をどこからどうやって集めるのか、わたしの経験をもとにできるだけ具 体的に書いてみることにしました。みなさんのお役にたてれば幸いですが、「な〜んだ、 そんなことか」という結論になるかもしれません。 英語の壁を超える セキュリティに関係するほとんどの新しい情報は、英語で発信されています。セキュリテ ィ情報を集めるには、どうしてもこの英語の壁を乗り超える必要があります。この壁は、 日本語だけで十分生きていける環境にどっぷり使っている私たちにとっては、ほんとに高 くて大きい壁ですね。どうやってこの壁を乗り越えるか。私がやってきたことを書いてみ ます。 英語の得意な人は、読み飛ばしてください(そして、私がやってきた方法を笑い飛ばして ください)。英語にはなじみが無くて、ほとんど日常、英語には接していない方を対象に しています。私は決して英語が得意なほうじゃありません。中学、高校の成績は、「中の 下」くらいでした。英語と接する環境で育ったわけでもありません。私にとって英語とは 、ほんとに外国語でした。今でもそうです。そんな私がとった方法は、正しい学習方法か どうかわかりません。ですが、私がやってきた方法を書いてみます。 結論から先に書きます。「やるしかない・・・」。これです。「な〜んだ、そんなことか 」でしょ?まず目標を決めましょう。やりたいことは、英語で発信されるニュース記事や Bulletinなどを「読む」ことです。この際、「書く」や「話す」は隅に追いやって「読む 」ことに専念しましょう。決してセキュリティ情報を集めるために英会話学校などには通 わないことです。^_^ 「読む」ためには、「慣れる」ことです。「慣れる」ためには、「数をこなす」ことです 。私は、趣味が昂じて、ここ2年ほどの間、毎日、インターネット中を探し回り、セキュ リティに関係する情報を集め回っていますが、毎日目を通す記事やアーティクルだけでも 、おそらく英語の教科書何十ページ分かに相当するんじゃないかと思います。わかっても わからなくてもとにかく読む。毎日毎日、読む、読む、読む・・・慣れる道はこれしかあ りません。とにかく読んでみましょう。 といっても、単語の意味もわからず、文法も文脈もわからず、ひたすら読むのはつらいも のです。でも意味がわからなくてもとりあえず読んでみてください。目的は、「英語の文 章を読むことに慣れる」ことです。英語の文章を読んでいるときの「目の抵抗感」が、日 本語の文章を読んでいるときの「目の抵抗感」と同じ位になってきたら成功です。多分、 10日もすれば目が慣れてくると思います。 教材は何を使いましょうか。せっかくですから、セキュリティ問題を扱ったニュース記事 を読むことをお勧めします。次のステップのためにも、日本語に翻訳されている記事を  NewsComhttp://cnet.sphere.ne.jp/News/ などから選び、その英文記事を読んでみましょ う。NewsCom では日本語の記事の最後に英語記事へのリンクが配置してありますので、そ れをクリックして英語記事をGet しましょう。そして何度も何度も読んでみてください。 多くの人は、わたしもそうでしたが・・この最初の一歩で尻込みしてしまい、「英語はな あ〜」と思って、この壁に立ち向かうことをあきらめてしまいます。なんとしてもこの最 初の一歩を乗り越えましょう。 英語の文章を読むことに慣れてきたら、またはそれと平行して、「概略の意味をつかむ」 訓練をしましょう。翻訳版のある先ほどのニュース記事などを使うといいと思います。数 行の短いひとつのパラグラフごとに、英文をよんで概略の意味をつかんでから、日本語で 確かめてみるとか、あるいは、その逆でもいいです。このとき、文法や単語の意味など細 かいことは気にしないことです。日本語に翻訳する必要さえありません。簡単な英語でも 、いざ日本語に翻訳するとなると意外に難しいものです。英語は英語のまま読んでみまし ょう。そして英語で書いてある順序のまま読んでみましょう。そして、おおまかな意味だ けをつかみましょう。 Microsoft today acknowledged a security hole in its Internet Explorer browser that という英文があったとき、「Microsoft は、今日、確認した、セキュリティホール、IEブ ラウザ」でいいのです。これであなたの頭の中では、「IEにセキュリティホールが発見さ れて、それをMicrosoft が認めた」という意味が組み立てられているはずです。まずthat 以下を訳してからなどとやっていたら日が暮れてしまいます。翻訳者になるのが目標では ありません。 辞書もできるだけ使わないで読む訓練をしたほうがいいと思います。わからない単語があ るとどうしても心配になりますが、概略の意味がつかめるのなら、わからない単語はわか らないままにしておきましょう。日本語だって難しい熟語が出てきても辞書なんか引かな いでしょう。どうしてもその単語の意味がわからないと先に進めないときにだけ辞書を引 けばいいのです。細かく辞書を引いて、いちいち日本語に翻訳するのは時間の無駄で手間 をかけるほど挫折の原因になります。細かなことは気にしないでできるだけ多くの英文を 読むことです。 うまく表現できませんが、慣れてくると単語をスペルの一文字一文字ではなく、単語全体 の形(イメージ)で覚えていけるようになります。例えば、「securityhole」という英語 が、いざ書くとなるとスペルがわからなくなったりしますが、それでもこの英語のイメー ジは頭の中にやきついて離れなくなりますから、どんな多くの英文の中に隠れていてもそ れが浮かび上がってきます。センテンス全体もイメージとして捉えられるようになります 。すると英語の斜め読みとでもいえる読み方ができます。実際は読んでなくて、頭の中に も入っていないんですが、英文を(読むのではなく)ざっと眺めてみるというような読み 方です。そのためには、とにかく数をこなすことです。それしかありません。 流し読みして目にとまった記事は、次にじっくり読んでみます。このとき必要なら辞書を 使います。辞書を手で引くのはやっぱり面倒ですね。コンピュータを使いましょう。私は 、BABYLON というのを使っています。 http://www.babylon.com/jap/ これは、わからない単語の上をマウスで右クリックすれば訳語がでてきますから、いちい ちクリップボードにコピーしたりする他のソフトに較べて早く読めます。その他にもある と思いますので、自分の気に入るものを探してみてください。 翻訳ソフトもいくつか試してみましたが、完全なものはまだないようです。翻訳された日 本語を英文と対照しながら再度組み立てなおしたり、変な日本語をまともな日本語に訳し かえていかなければならないなど、へんな日本語をもう一度理解しなおさなければならな い分、余分な手間がかかり、英文をさっさっと読む目的にはあまり実用的ではないような 気がします。 セキュリティ情報を得ようと思えば、どうしても英語の壁を超えなければなりません。一 番の近道は、とにかく数をこなして慣れることです。最初は苦しいかもしれませんが、こ れ以外の道はないように思います。 どんなツールを使っているか これといった秘密兵器は使っていません。 ブラウザ(Microsoft Internet Explorer または Netscape Navigator) メーラー(Microsoft Outlook Express) ニュースリーダー(Microsoft Outlook Express) WWWチェッカー(WWWC) 情報を集めるのにこれだけあれば十分でしょう。便利なのはWWWCです。 http://www.forest.impress.co.jp/bookmark.html#wwwc から入手できます。このツールはホームページが更新されたかどうかをチェックできます 。毎日更新されるニュース系以外のサイトをここに登録しておき、一日一回くらい動かせ ば目的のページが更新されたかどうかがわかります。毎日でなくても、一週間に一回くら いのチェックでもいいでしょう。 その他に、私は使っていませんが、ホームページの自動巡回ツールなどを使ってみるのも いいかもしれません。 どこから情報を得るか インターネット上には、探してみると公的機関からアンダーグランドまで、セキュリティ 情報を手に入れることができるサイトが意外に多くあります。しかし、その中には2 次、 3 次、4 次・・・情報だったり、デマ情報だったりするものもあります。情報が伝播する につれて、どうしても情報が落ちたり、歪んだりしてきます。そのため、できるだけオリ ジナルに近いサイトからの情報を手に入れることが必要です。 また、セキュリティと聞くと何か秘密めいたものがあって、アンダーグランド系のサイト に情報がいっぱいつまっていそうな気がしますが、そんなことはありません。わたしの経 験では、アンダーグランド系のサイトなどチェックしなくても公のサイトからほぼ100%実 用的に十分必要な情報が得られます。あまり妖しい(?)世界にははまり込まないほうが いいかと思います。 こうした情報を提供しているサイトを網羅的に紹介すると、いったいどれを重点的にチェ ックすればいいのかわからなくなりますので、私なりにまとめたものを紹介します。 まず情報を入手できるところには、 Web メーリングリスト ニュースグループ があります。このうちWeb とメーリングリストをチェックすれば実用的に十分です。余裕 があればニュースグループも読んで見るといいでしょう。 どんな目的でセキュリティ情報を集めたいのかによってチェックするところが違ってきま す。大きく分けて、Windows95/98/NT などのOSやそのもとで動くインターネット関連のソ フト、特にブラウザのセキュリティ問題を知りたい場合と、サイトの管理者としてサーバ ー関連のセキュリティ情報を知りたい場合の2つに分けられると思います。ブラウザなど の情報を知りたいときは、ニュース系のサイトと、Microsoft やNetscapeのサイトをチェ ックすれば十分です。サーバー関連の情報は、ニュースサイトにはほぼ掲載されませんの で別のところを探す必要があります。 ニュース系 ネットニュースを流しているところはたくさんありますが、とくに厳選してNews.ComとWi red の2つを紹介します。その他のニュースサイトにセキュリティ情報が無いという意味 ではありませんが、この2つをチェックしておけばブラウザなどのクライアントに関係す る情報はほぼ間違い無くキャッチできます。私の感じでは、多くのセキュリティ情報の中 でこれはニュースにするべきだなと思ったものは、ほぼこれらのサイトからも記事になっ ています。記者の選眼力は確かなものがあるように思います。また、Microsoft やNetsca peなどベンダーからのコメントも取っていますので、確認したのかしてないのか、修正す るつもりがあるのか無いのか、いつ頃になりそうなのかなどの情報を得る事が出来ます。 ただ細かいことを言えば、問題の内容について理解が不十分じゃないかな?と思われるよ うな記事もありますので、記事を良く読んで自分なりに考えてみることも必要です。 C|Net News.Com "The Net" http://www.news.com/Categories/Index/0,3,1,00.html?st.ne.nav.net.idx Wired http://www.wired.com/news/ ほぼ一日遅れで日本語でも読めますので、「やっぱり英語はどうも・・」という方は、日 本語の方をチェックしてください。 News.Com http://cnet.sphere.ne.jp/News/ Wired http://hwj-www.hotwired.co.jp/news/index.html ニュースサイトはこの他にもいっぱいあります。余力があれば他のサイトも探してみてく ださい。例えば、 New York Times(Technology) http://www.nytimes.com/yr/mo/day/tech/ (無料ですが、登録が必要です)などは、ときに大ヒットしたりします。 こうしたニュースサイトでは、記事のダイジェストをe-mailで無料で配信しているところ もありますので、申し込んでおくとWeb をチェックする手間がはぶけます。 ブラウザ系 ブラウザは、ほとんどの方が Microsoft Internet Explorer か Netscape Navigatorのど ちらかを使われていると思いますので、この2つだけ紹介します。 Microsoft Internet Explorer Security Advisor http://www.microsoft.com/security/ IE Security http://www.microsoft.com/windows/ie/security/ Netscape Navigator Security Notes http://home.netscape.com/products/security/resources/notes.html Microsoft Security Advisorは、IEに限らずMicrosoft 製品のセキュリティ問題について のページです。その中でも新しく発見されたセキュリティホールなどに対しては、Micros oft Security Bulletin が発行されます。このBulletinの日本語版はありませんので、ど うしてもこの英語版をチェックする必要があります。(「なお、このページの情報は英語 で説明されています」などと毎回書かずに、ぜひ翻訳版を出して欲しいところです) Microsoft のセキュリティ問題に対する姿勢は、今年の春頃から積極的に問題を公表する という方向に変わってきています。表現も回りくどい言いまわしがなくなり、明快になり ました。例えば、問題があればAtRiskと書いてあります。(その点日本語版では、「可能 性あり」なのでちょっと弱いですね)。また今すぐパッチを当てるべきなのか、問題に直 面していなければ後回しにしてもよいのかについても、明快に記述されるようになりまし た。例えば、 Microsoft highly recommends 〜 available patch as soon as possible. のように書いてあれば、今すぐパッチをあてるべきであるという意味です。 問題がどこかで報告されてから修正版が出たり、Bulletinが発表されるのは、(問題の性 質によりますが)早くて24時間以内、遅くてもほぼ1 週間以内です。日本語版はそれより さらに1 〜2 週間程度遅れています。「Microsoft の対応は遅い・・・」という「うわさ 」を聞くこともありますが、他のベンダーの対応と比較してみても、私はそう遅いとは思 っていません。ただ、日本語版での対応は、最近少しづつ改善されてきましたが、一歩遅 れているようです。日本語の修正版を出すのは少し遅れてもいいですから、 Untrusted Scripted Paste問題のときのように、問題があることだけでも、そして暫定的 に何をすればいいかだけでも先に日本語で公表して欲しいところです。 このBulletinをフォローしておけば、Microsoftの製品のセキュリティ問題については、ほぼカバーできます。このBulletinは、発行される毎に、e-mailでも入手で きます。Security AdvisorのページのThe Microsoft Security Notification Serviceを参照して申し込んでください。 Bulletinの発表と同時に技術情報(サポート情報)が発表されることが多いので、対応するMicrosoft Knowledge Baseのアーティクルも参照されるといいでしょう。 KB(Knowledge Base)のアーティクルID(例えば Q162721 のようなもの)をメールのヘッダに書いて(本文は空白)、 mshelp@microsoft.comにメールすれば、 e-mailでKBを入手できます。 Netscapeのセキュリティ問題に対するスタンスは、ちょっと違うようです。どちらがいいのか判断は避けますが、私には、Netscapeはできるだけ問題の公表を遅らせ て処理しようというスタンスを取っているように見えます。これは、公表することによって被害が拡大する恐れを排除したいためだと思います。したがってNetscapeか ら問題が発表されるのは広く知られてからになることが多く、少し遅れるようです(最近のUnix版Navigatorのバッファーオーバーフロー問題のように例外もありま す)。ただ問題になったことについてはほぼ公表していますので、NetscapeのSecurityサイトをチェックすれば情報を得る事ができます。 セキュリティ問題を誰かが発見したときには、まずベンダーに報告し、ベンダーが問題を修正してから、あるいは修正や対策のめどがたってから公表する。1〜2週間、 あるいは1月程の一定の期間をおいて、ベンダーが対策を取らなかったり発表しない場合に、その問題をどこかで公開するという方法がとられることが多いですが、中 にはいきなり公開される問題もあるので、そんな場合、それぞれ対応が違うようです。いづれにしてもほとんどの明らかになった問題については、Microsoftや Netscapeの上記のサイトから発表されていますので、これを押さえておけばまず大丈夫です。 問題に対しては、Microsoftは、パッチを当てるという方法で修正し、Netscapeは、バージョンアップで対応しています。そのため、Microsoftの場合は、自分の使っ ているソフトがどこまでパッチを当てたのか管理しておかなければならないし、Netscapeの場合は、次のバージョンアップのリリーススケジュールまで待たなければな りません。それまでの暫定処置は、それぞれのAdvisoryを良く読んで対策をとってください。 少し遅れますが、日本語の情報については、それぞれ Microsoft Security Advisor http://www.microsoft.com/japan/security/ IE Security http://www.microsoft.com/windows/ie_intl/ja/security/ Netscape http://home.netscape.com/ja/netscape/index.html?cp=ijahnja をチェックしておきましょう。 ブラウザ関係のバグは、ニュースグループの comp.security.misc あたりに最初に発表されることもよくあります。 また、メーリングリストの BugTraqや NTBugTraq(いずれもあとで紹介)などにも流れます。セキュリティ関係のニュースグループはいくつもありますので、余力があればそれらのグループもチェックする といいかもしれません。ただし、これらのニュースグループを毎日チェックするのは、かなりの根気と努力が必要です。というのは、流れるニュースのほとんどは、セ キュリティ情報を集める目的からすればいわゆる「ノイズ」で、未確認情報や、ガセネタ、デマ情報、設定の誤りによるうっかりミス情報など、いろんなものが混じっ ている玉石混合情報だからです。しかし、根気良くチェックすれば年に何度かはきらりと光る宝石を発見できるかもしれません。 共通系 CIAC、CERT、AusCERT、そして日本のJPCERT/CC、IPAからの情報をチェックしておけば、重要なセキュリティ問題を見落とすことはありません。この5つのサイトは 必ずチェックしておきましょう。 CIAC http://www.ciac.org/ アメリカエネルギー省が運営するComputer Incident Advisory Capabilityです。各ベンダーが発行する情報をInformation Bulletinとして公 表しています。e-mailでの情報は、http://www.ciac.org/ciac/CIACMailingLists.htmlから、申し込んでください。 CERT/CC http://www.cert.org/ アメリカComputer Emergency Response Team です。What's Newをチェックすれば新しい情報を得れます。Advisoryのe-mailでの情報は、 http://www.cert.org/contact_cert/certmaillist.htmlから、申し込んでください。 CERT Advisoryの日本語版の、新しいものは、http://www.lac.co.jp/firewall/cert/から、古いものは、 http://www.jpcert.or.jp/ESA/index.htmlから入手できます。 AusCERT http://www.auscert.org.au/Information/Advisories/aus_advisories.html オーストラリアのAustralian Computer Emergency Response Teamです。ここからもときどき独自の情報がでますので、チェックしておくといい でしょう。 JPCERT/CC http://www.jpcert.or.jp/ 日本のコンピュータ緊急対応センターです。主に日本で発生しているアタックの情報が随時公表されます。[New]最新情報 http://www.jpcert.or.jp/whatsnew.htmlをチェック。e-mailでの情報は、メーリングリストhttp://www.jpcert.or.jp/announce.htmlから申 し込んでください。 IPA http://www.ipa.go.jp/index-j.html 日本の政府関係機関(特別認可法人)の情報処理振興事業協会です。IPAに届けられた日本での不正アクセス被害の届出状況が毎月発表されます。 http://www.ipa.go.jp/SECURITY/ciadr/txt/list.html IPAやJPCERT/CCが発表する被害報告は、日本で届出があったり対応したものの数で、実際に被害を受けた数ではありません。実際の被害数は公表される数字からはと ても推定できない数に上るでしょう。そのため、この数字から、あまり大したことは無いな、とたかをくくるのは誤りです。しかし、アタックの種類とその規模の大体 の傾向は示しているように思います。したがって、現実問題として日本で発生しているアタックに対して実用的な対策をとる上では有用な情報になります。少なくと も、報告されている問題に対しては最低限対策を取っておく必要があります。(逆に言えば、報告されている問題に対して対策がとってあれば、とりあえずは、安心し て眠れるわけです。) よく聞かれることに、「自分の所は攻撃対象になるような重要なサイトでもないし、攻撃されても盗まれて困るようなデータは何も無いから・・」というのがありま す。これは、誤りだと思います。最近の傾向を見ていると、「総なめ」とでもいうようなアタック(とその全段階の調査、スキャン)があります。サイトを立ち上げて インターネットに繋いだとたんに数時間もたたないうちにやってくるという例もあります。また、日本のサイトに対するアタックは、そこから重要なデータを盗むとい った目的ではなく、他のサイトへのアタックの「踏み台」にするという例が多いように思います。アタック先に問い合わせたら、そこは「踏み台」サイトであったとい う経験をされた方は多いでしょう。まさに日本のサイトは、「使い放題」なのかもしれません。これでは「技術立国」日本のサイトとしては悲しい限りだと思います。 Java系 Javaのセキュリティ情報は、Sun の Java Securityページから得られます。 Java Security http://java.sun.com/security/ ここには、Javaのセキュリティに関するいろんな文書やFAQも集まっています。Java のセキュリティ問題が出る頻度は、そんなに多くはないので時々チェックすれば 十分でしょう。余裕があれば、Java securityに関するニュースグループ comp.lang.java.security などをチェックしてみてください。 MicrosoftのJVM(Java virtual machine)に関する問題は、こちらには載りませんのでMicrosoftのサイトをチェックする必要があります。 Windows系 ブラウザ系のところで紹介したようにMicrosoft製品のセキュリティ問題は、Microsoft Security Advisorに掲載されますので、必ずチェックしましょう。 http://www.microsoft.com/security/ Windows系のメーリングリストやニュースグループはたくさんありますが、ひとつだけ推薦するとすれば NTBugTraq http://ntbugtraq.ntadvice.com/ というメーリングリストです。上記のサイトから申し込んでください。このメーリングリストを毎日チェックしていれば、NTのセキュリティ問題に関する情報は、ほぼ 100%収集できます。Microsoftのセキュリティ問題の関係者も参加していますので、Scurity Advisorに載る前の情報なども得る事ができます。 余力があれば、その他の Windows系のメーリングリストやニュースグループを、http://www.microsoft.com/workshop/essentials/mail.asp から探し出してみて ください。 Macintosh系 Macの情報については、マシンを持っていないこともあって集めていませんでした。しかし、Mac系はいろんな情報サイトがいっぱいあるようです。詳しくは知らないの で紹介することはできませんが、探してみてください。 Unix系 Unix系もそれぞれのベンダーやディストリビュータなどからそれぞれ Security Advisoryなどが出ており、メーリングリストやニュースグループもたくさんありま す。すべてをチェックするのはかなり大変な作業になります。そこで、これもひとつだけ, Unix系のメーリングリストとして有名な Bugtraq というメーリングリスト を紹介します。 Bugtraq http://geek-girl.com/bugtraq/ このWebには、メーリングリストの過去の Archives があります。リストへの参加方法は、ページの下に説明してあります。Bugtraqには、ベンダーなどからの advisory情報もほぼもらさずポストされますので、ここを毎日チェックしていれば、これもほぼ 100% Unix系の情報を得る事が出来ます。Unix系はソースが共通のも のが多いため、自分のOSのベンダー以外から出る情報にも注意している必要があります。 各ベンダーからは、Advisoryが出ており、これの e-mail サービスをしているところも多いです。申し込んでおくといいでしょう。 おわりに その他にも情報サイト、メーリングリスト、ニュースグループなどまだまだありますが、上で紹介したサイトを毎日チェックしていれば、ほぼもらすこことなく情報を 集めることができると思います。これだけのサイトを毎日チェックするだけでもかなりの作業になりますが、余力があればここで紹介しなかったところもチェックして みてください。また、日本のサイトはあまり紹介しませんでしたが、セキュリティ情報を流しているサイトやメーリングリスト、ニュースグループもいくつかありま す。あちこち手当たり次第探してみて気に入ったところに落ち着くというのも良い方法です。それぞれチェックしてみてください。 もっと多くのサイトを紹介しようとも思いましたが、一日中情報収集できるのならともかく、仕事開始前や帰宅してからの短い時間の間に効率的に情報収集しなければ いけない多くの人にとって、有り余るサイトを紹介しても実現不可能だと思って、できるだけオリジナルな(オリジナルに近い)情報を発信しているサイトを中心に、 どうしてもというサイトに絞り込みました。いずれもありふれた有名なサイトばかりで、どっか特別なサイトの情報でも出てくるのかと期待された方には期待に添えな かったかもしれません。 セキュリティ対策は、何かをしてしまえばそれで終わりではなく、こつこつと情報を集め、ひとつひとつ丹念に対策をとっていく、それを毎日延々と繰り返すというの がセキュリティ対策の第一歩だと私は思います。セキュリティホールはどんなOSやソフトであろうと、どんなに長い間安定して使われていようと、いつか突然でてきま す。長い間、まったく問題無いと思われていたものに、ある日突然発見されたりするものです。よく冗談で「Unixはセキュリティに強いけど、NTはぼろぼろだ」とか言 われますが、そんなことはありません。どんなOSにも例外無くセキュリティホールはあります。強いOSを使っているからと安心することなく、常に最新の情報を集め、 対策を怠らないようにしないと大きな代償を払わなければならなくなります。私はまるっきり趣味でセキュリティ情報を集めてきましたが、仕事でセキュリティ情報を 集めなければならなくなった方や、インターネットのセキュリティ問題に感心を持っておられる方の参考にしていただければ嬉しいです。ありがとうございました。 (1998/10/24--1998/10/27)