「あなたブラクラ貼ったでしょ?」

「あなたがやったことはこれだけ大きな罪なんですよ」――インターネット上の掲示板に「不正なプログラム」を書き込んだとして検挙された男性がねとらぼ編集部の取材に応じ、兵庫県警に受けた取り調べの一部始終を語りました。「ブラクラ」という言葉すら知らなかった男性はなぜ書類送検されたのでしょうか(関連記事)。


f:id:nonbei:20190323054745j:plain
兵庫県警が「ブラクラ」だと主張しているページ。実際には「無限アラート」であり、「ブラクラではない」という意見が多い


事件のあらまし


 猫のアスキーアート(AA)とともに、「何回閉じても無駄ですよ~ww」と書かれたポップアップが繰り返し表示されるサイトのURLをインターネット上の掲示板に書き込んだとして、13歳の女子中学生が補導、39歳と47歳の男性が家宅捜索を受けたとの報道がなされたのは3月初旬のこと。

f:id:nonbei:20190323054906j:plain
NHKによる報道(NHKより/現在は削除済み)


 一部では掲示板に貼られたURLが「ブラウザクラッシャー」(通称:ブラクラ)にあたるとの報道もありましたが、問題視されたURLを確認してみると当該プログラムにブラウザをクラッシュさせる機能はなく、厳密には「無限アラート」へのリンクであり「ブラクラではない」という意見の人が大半です。


 またポップアップについてもタブを閉じてしまえば消せることから大きな害はほとんどなく、いたずら目的のジョークページとみる人が大半ですが、女子中学生ら3人は「不正指令電磁的記録供用未遂の疑い」(通称:ウイルス罪)で兵庫県警の摘発を受けました。


 ネット上ではこうした兵庫県警の判断に批判的な声も多く上がっていますが、プログラミングに関する著書も持つデータサイエンティストの加藤公一(@hamukazu)さんは、「みんなで逮捕されようプロジェクト」と題して同様のプログラムを公開し、抗議活動を行っています(関連記事)。


 ねとらぼ編集部は「みんなで逮捕されようプロジェクト」の取材過程において、加藤さんを通じ、家宅捜索を受けた39歳の男性(以降、Aさん)とコンタクト。Aさんが家宅捜索を受けたときの生々しい状況や、現在の心境についてメディアではじめて語りました。
早朝の扉ドンドンに家族が恐怖を覚えて通報 兵庫県警の不可解な家宅捜索

続きを読む

あるユーザーが「不正指令電磁的記録に関する罪」についての情報公開請求を行った

 JavaScriptでポップアップメッセージを無限に表示するページのURLを貼った未成年者1名を補導、2人を書類送検した兵庫県警に対して、あるユーザーが「不正指令電磁的記録に関する罪」についての情報公開請求を行ったことをブログで公開した。

 これは脆弱性診断などを専門とするセキュリティエンジニアのozuma(@ozuma5119)さんで、刑法第百六十八条の二又は第百六十八条の三(不正指令電磁的記録に関する罪)に基づく取締りその他の運用を行うにあたり、どのような内容をもって犯罪行為とするかの構成要件等を記載した文書(具体例を含む)の請求を行ったとしている。条文では「正当な理由がないのに、人の電子計算機における実行の用に供する目的で(略)電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する」としており、同氏は請求の理由として「何をやったら犯罪なのか、まずは兵庫県警の考えを知りたい」としている。


ソ-ス:「何をやったら犯罪なのか」セキュリティエンジニアが兵庫県警に対し情報公開請求【やじうまWatch】 - INTERNET Watch

Intel製CPUに見つかった新たな脆弱性「SPOILER」

2018年に複数見つかった脆弱性に続いて、Intel製CPUに新たな脆弱性が見つかりました。「SPOILER」と名付けられたこの脆弱性は、2018年に見つかった脆弱性・「Meltdown」や「Spectre」と同様に「投機的実行」と呼ばれる処理を悪用するもので、シリコンレベルでの大幅な再設計なしには修正はできないものだそうです。


ソ-ス:Intel製CPUに見つかった新たな脆弱性「SPOILER」はまたもシリコンレベルでの再設計による修正が必要 - GIGAZINE

今使ってるCPUはインテル Celeron プロセッサー G530。「投機的実行」はできないはず。

新たにW3Cが標準化したWebAuthn

たとえば指紋をクライアントのデバイスに登録するとその指紋に対応した公開鍵と秘密鍵が作成され、サービスのサーバーには公開鍵が保存されます。秘密鍵はデバイス上で保存されており外部に流出することはなく、ユーザー認証時には指紋認証や物理キー認証といった方法で本人確認を行った後、サービスのサーバーへ秘密鍵で署名して返送する仕組みだとのこと。


ソ-ス:パスワード不要のログイン方法「WebAuthn」がウェブ標準になる - GIGAZINE


関連:
サンワサプライ、Windows Hello対応指紋リーダー搭載のマウス - PC Watch

IPP Everywhereプリンター

Ubuntu Linux Mint

「IPP Everywhere」は、ドライバー等プリンター固有のソフトウェアがなくても、プリンターで印刷を可能にする仕組み。
主にスマフォ等モバイルデバイスから写真や文書を印刷する時に利用される仕組み。
例えば「Android 4.4」以降標準で「IPP Everywhere」のサポートが行われており、プリンタードライバーをインストールしなくてもプリンターを利用できる。

そのやり方
Ubuntu 17.04 その8 - ドライバーがなくてもプリンターから印刷可能に・IPP Everywhereプリンターをサポートするためテストの呼びかけ - kledgebを参照。





関連:
2017年1月6日号 『ドライバレス』でのプリンタ対応・UWN#492・493:Ubuntu Weekly Topics|gihyo.jp … 技術評論社

ドライバー不要のプリンター

Ubuntu 18.10のLinux KernelとXスタックをインストールする

Ubuntu

ソ-ス:・Ubuntu 18.04 その323 - Ubuntu 18.10のLinux KernelとXスタックをインストールするには - kledgebを参考に

1.ソフトウェアの更新

2.コマンドの実行
「端末」を起動し、以下のコマンドを実行

sudo apt-get install --install-recommends linux-generic-hwe-18.04 xserver-xorg-hwe-18.04

Windows 10の2月の月例更新には元号関連の不具合

Windows10

アプデ/10】 2019年2月20日配信のWindowsUpdateにて、問題になっていた不具合が修正 : ニッチなPCゲーマーの環境構築

関連:
Windows 10の2月の月例更新には元号関連の不具合がほぼ全ての場合バージョンに存在 | ソフトアンテナブログ

【アプデ/10】 ほぼ全てのバージョンのWindows10で元号関連に不具合。2019年2月13日のWindowsUpdateが原因 : ニッチなPCゲーマーの環境構築

韓国でSNIフィールドを使った特定サイトの接続遮断

DNS Network Security

アダルトサイトなど政府が不法と規定した有害サイトへの接続が11日から全面的に遮断された。


IT業界によると、KTなど韓国国内インターネットサービス事業者(ISP)は当局の要請を受け、11日から「サーバーネームインディケーション(SNI)フィールド遮断方式」を利用したウェブサイト遮断を始めた。この遮断方式は以前より強力なウェブサイト遮断技術。審議当局の関係者は「11日の一日間に約800件のウェブサイトがSNIフィールド遮断方式で接続が遮断された」と伝えた。


サイトが全面的に遮断されると、一部からは表現の自由の委縮や盗聴、検閲問題が指摘された。またISPの顧客センターやSNSなどでは特定サイトに突然接続できなくなった理由について使用者の問い合わせが集中した。


当局が従来使用した「URL遮断」はプロトコル「https」をアドレスバーに入力する方式で簡単に避けることができる。昨年10月に導入された「DNS(ドメインネームサーバー)遮断」方式もDNSアドレス変更などで迂回が可能だ。


今回導入したSNIはウェブサイト接続過程に適用される標準技術をいう。当局は接続過程でやり取りするサーバー名(ウェブサイトアドレス)が暗号化されずそのまま露出するという点を考慮して遮断を始めた。


当局のこうした決定に対し、有害情報の遮断などが目的ではあるとはいえ「表現の自由が委縮する」という声が出ている。ソン・ジウォン弁護士は「SNIフィールドを遮断するには、政府が機器間を行き来するパケット(データ伝送単位)を見るしかない」とし「インターネット利用者の表現の自由が委縮するだろう」と聯合ニュースを通じて述べた。

一部の男性はこの日、オンラインコミュニティーを通じて「成人が自由にアダルト動画も見られないのはおかしい」「独裁時代だ」「時代に逆行している」などと主張した。

また「有害サイト遮断」を目的に暗号化されていない個人情報を監視することに対する適切性問題を指摘する意見もある。IT専門市民団体オープンネットは「暗号化されていないSNIフィールドは一種のセキュリティーの弱点と見ることができるが、これを政府の規制に活用することが適切なのか疑問」とし「不法サイト遮断の目的だけに活用されるという保証はない」と指摘した。


ソ-ス:韓国政府、アダルトサイトを11日から遮断…「独裁時代か」の声も | Joongang Ilbo | 中央日報

関連:
DNS over HTTPSの必要性について - Qiita

Encrypted SNIの効果と韓国でのブロッキングの回避方法について - Qiita

ブラウザの「トラッキング拒否機能」

Security Firefox Google Chrome

 多くの人々がトラッキング拒否機能をオンにしているものの、ラッキング拒否機能は単にシグナルを送っているだけだという事実を知っている人は多くありません。ラッキング拒否機能について聞いたことがあり、「少しなじみがある」あるいはそれ以上になじみがあると回答した人でさえ、44.4%はトラッキング拒否機能がシグナルを送るだけだと知りませんでした。


 DuckDuckGoはこのトラッキング拒否機能の性質について、「ブラインドを上げた状態で『私の家を見ないでください』という看板を庭に設置する」のと同じようなものだと指摘。実際に、GoogleFacebookTwitterといった大手IT企業はトラッキング拒否機能のシグナルを無視しているとのこと。


 トラッキング拒否機能という名称に対して実際に行っている行動がほとんど効力を持たない点は、ユーザーに対し大きな誤解を招くとDuckDuckGoは主張しています。


 DuckDuckGoは政府がトラッキング拒否機能に関する企業への義務を設けることを期待しています。



ブラウザの「トラッキング拒否機能」にはほとんど意味がないという指摘 - GIGAZINE

国によるIoT機器へのセキュリティ調査

Security

 サイバー攻撃に悪用されるおそれのあるIoT機器を調査し、対象機器のユーザーへ注意喚起を行うプロジェクト「NOTICE(National Operation Towards IoT Clean Environment)」を、総務省および国立研究開発法人情報通信研究機構NICT)が2月20日から実施する。同プロジェクトの情報を発信するための専用ウェブサイトも2月1日に開設されている。

 NOTICEでは、国内にある約2億のIPv4グローバルIPアドレスにポートスキャンを行う。容易に推測されやすいID・パスワード約100通り(「password」「888888」「123456」「admin1234」など、過去のサイバー攻撃に用いられたものも含む)を、ルーターやウェブカメラ、センサーなどの機器を対象に入力することで脆弱な機器を特定する。

ISPからの注意喚起やNOTICEサポートセンターの案内にあたり、費用の請求や設定しているパスワードを聞き出すことはないとしている。NOTICEに便乗した詐欺にだまされないように注意が必要だ。


ソ-ス:国によるIoT機器へのセキュリティ調査、2月20日よりポートスキャン実施 - INTERNET Watch

関連リンク:
IoT機器調査及び利用者への注意喚起の取組「NOTICE」の実施(総務省)
「NOTICE」専用ウェブサイト

2019年2月1日は "DNS flag day"

DNS Network

■ はじめに

DNSにはEDNSと呼ばれる拡張機能があります。このEDNSの実装が正しくないDNSサーバやネットワーク機器が、インターネット上に存在しています。これまで、いくつかのオープンソースDNSサーバソフトウェアでは、EDNSの動作に不具合があるようなサーバ等に対しても名前解決ができるように、回避策が実装されていました。しかし「実装が複雑になりDNSの安定運用にも支障をきたすため、2019年2月1日以降のリリースから回避策の機能を削除することにした」というアナウンスがありました。


機能削除の予定日である2019年2月1日は "DNS flag day" と名付けられました。この記事では、その DNS flag day についてご紹介します。


■ EDNS (Extension Mechanisms for DNS)

DNSは古くから存在するシステムの一つです。元々の仕様としてDNSサーバ間の通信は、やりとりするDNSメッセージが512オクテット以下の場合はUDPを、それより大きなメッセージになる場合はTCPを用いることになっています。また、DNSメッセージ中の制御情報となるヘッダ領域は長さが固定になっており、情報を新しく追加することは無制限にはできません。


こうした元となる仕様は、設計当初のインターネットの状況を反映したものなのですが、当時はあまり問題とならず、仕様の許す範囲で徐々に機能が追加されていきました。しかし、近年になっても機能追加の要望は続き、やりとりするデータ量は増加傾向にありました。そのため、メッセージサイズの大きさ制限やヘッダ情報への追加の困難さなど、従来の制限は厳しいものとなってきていました。


そのため1999年、従来のDNSを機能拡張できるようにする目的で標準化されたものがEDNSです。そのEDNSで拡張される基本的な機能としては以下のものがあげられます。

DNSメッセージヘッダ: RCODEやフラグの拡張
DNSラベルタイプ: ラベル型の拡張
DNSメッセージのUDPペイロードサイズ: 最大512オクテットの制限を通信可能であれば65535オクテットまでに拡張

これらのEDNSの機能によって新たな情報が追加可能となったため、近年では "NSID" や "EDNS Client Subnet" などの、EDNSを用いた追加機能が標準化されています。


■ 実装の不備と回避処理

上記の通り、EDNSを利用することでさまざまな機能が、DNSに対して追加することができるようになりました。また、メッセージサイズの上限が増えたため、大きなメッセージでもTCPを使わずUDPだけで送信できることになり、負荷軽減や速度の向上が見込めるようにもなりました。


しかし、DNSサーバやファイアウォールをはじめとしたDNS機能を持つ各種ネットワーク機器において、正しくEDNSを処理できない機器がインターネット上に存在することが判明しています。そういった機器に対してDNSの通信を行ったとき、問い合わせや応答が不正になる場合があります。


そういった状況があったことから、各種オープンソース実装のDNSサーバソフトウェアはこれまで、通信途中で正しくないEDNSの機器を検知した場合、EDNSなしでの通信を再試行する、バッファサイズを512オクテットで再送する、TCPでの再送を行ったりするなど、名前解決ができるような回避策を実装し対応をしてきました。


DNS flag day

しかしながら、そのような特殊な対応は、DNSサーバの処理速度の低下を招いたり、プログラムコードのメンテナンスや新規機能の実装を困難にさせたりする要因になっています。


それを改善するため、各種オープンソース実装をしているいくつかの組織は、2019年2月1日以降にリリースされるDNSソフトウエアから、回避機能を取り除くと発表しました。その組織と主な実装は、以下の通りです。

Internet Systems Consortium (BIND)
CZ.NIC (Knot Resolver)
NLnet Labs (Unbound)
PowerDNS (PowerDNS Recursor)

これらの組織は、転機となる2019年2月1日を DNS flag day と名付け、DNSサーバ運用者やDNSソフトウェア開発者などに対して注意を呼びかけています。


ソ-ス:・JPNIC Blog :: 注意! 2019年2月から主要DNSサーバソフトウェアの挙動が変わります



DNS flag dayについて(速報版) - dns-flag-day.pdf

読みやすいフォント

HTML CSS Firefox

上記をまとめると、以下の CSS ができ上がります。ご参考になれば幸いです。

    body {
      /*  フォントの種類  */
      font-family: -apple-system, BlinkMacSystemFont,
                   "Hiragino Kaku Gothic ProN", Meiryo, sans-serif;
      
      /*  フォントのサイズ  */
      font-size: 16px;
      
      /*  フォントの色  */
      color: #333;
      
      /* 文字間隔の調整の設定 */
      letter-spacing: 1.5px;
      
      /* 行間の設定 */
      line-height: 1.75;
    }

ソ-ス:読みやすいフォントの CSS 設定例 | murashun.jp