ICHIRO BLOG引っ越しました

引っ越しの理由
無縫地帯

OpenSSLとDNSの件が相当にヤバい雰囲気になっております

2014.04.18

かなり深刻な状態になっているOpenSSLの脆弱性問題に加えて、インターネットの根幹にあたるDNSにも根本的な欠陥が発見され、騒ぎが拡大していますが日本が平和すぎてむしろ大変です。

山本一郎です。何かこのところずっと咳が止まりません。咳のし過ぎで腹筋痛や背筋痛になった話を自慢したら、聞いていたプログラマーが咳とくしゃみが一緒に出たタイミングでぎっくり腰になったという面白エピソードを披露してきて、この世の中は上には上がいるんだという気持ちを新たにしました。ちくしょう。

ところで、相変わらず報道メディアの多くは某小保方女史にまつわるSTAP細胞関連にリソースを割くのが楽しくて仕方ないようですが、それよりも報じるべき問題は他にあるだろうと思うわけです。とくに今、スマホが普及してネットに接続することが日本国民の誰にとっても当たり前となりつつある状況において、信頼性の担保された安全な通信の存続が危ぶまれる事態が矢継ぎ早に続々と発生している件がほとんどまともに報じられないのは何なのでしょうか。

ネット上で機密通信を実現するための技術の一つである「OpenSSL」に脆弱性が発覚し、世界的に大きな影響が及んでいることは先日の拙ブログに書いたばかりです。

OpenSSLの件がやばすぎてどう対応すればいいのかイマイチよく分かりません

これだけでも相当にまずい事態であったのですが、さらに大きな問題が露見しました。事の経緯は以下のブログなどが比較的分かりやすくまとめられております(拙ブログも取り上げていただきありがとうございます)。

インターネットの根幹「DNS」に根本的欠陥が見つかる(Yahoo!ニュース個人 2014/4/16)

インターネットでの国別コード、「.jp」ドメインを管理する日本レジストリサービス(JPRS)は15日、DNSサーバへの攻撃の危険性が高まっているとして、DNSサーバの設定を確認するように緊急呼びかけを行いました。Yahoo!ニュース個人
しかし、上記記事を読んでもよく分からないという人は少なくないでしょう。DNSやサーバ、キャッシュ、IPアドレスなどと言われても具体的な想像がしにくいと思われますので、どういう事態が起きているのかをかなり乱暴な例え話にしてみますが、仮に電話機の短縮ダイヤルで「山本一郎」を登録しているとしましょう。しかし、誰かがこっそりと短縮ダイヤルの登録を書き換えてしまったため、「山本一郎」の短縮ダイヤルに電話しても私のところにはつながらず、山本一郎に成りすました誰か別の人間に電話がつながる可能性が出てきたということです。この場合、インターネットにおける短縮ダイヤルを統括しているシステムが「DNS」にまつわる諸々だと解釈してみると分かりやすいかと思います。

まあ厳密に言うと違う気もしますが。

で、残念なことですが、OpenSSLの問題と同じように、このDNSにまつわる問題はエンドユーザー側で何か具体的に有効な対策を施す術はほとんどないのです。ネットワーク管理者側がDNSサーバー周りの見直しをして対策を講じるのを待つしかありません。

これもまた前回のブログ記事で書いたことの繰り返しになりますが、やはりウェブを利用する個人や企業の担当者一人ひとりの良心が試されており、そういう善意の積み重ねがウェブの安全を担保しているということでして、そのためにもメディアがこうした状況を分かりやすい形で広く国民に周知し、より多くの人に関心を持ってもらうことが非常に重要だと考えます。

昨年末くらいに、2014年はネットセキュリティ的に何か大きな事件が起きそうだとはぼんやり感じていたわけですが、こうも立て続けに事が起きてしまうとは驚きです。ネットが技術者と一部の好事家だけの利用するニッチなインフラであればここまで杞憂することもないのですが、現実にはそうではないだけに事態は深刻です。

平成24年末のインターネット利用者数は、平成23年末より42万人増加して9,652万人(前年比0.4%増)、人口普及率は79.5%(前年差0.4ポイント増)となった総務省
こんなインターネット界の危機という深刻な大問題を前にしてmixi話を振るのも人間としてどうかとは思うのですが、先日mixiの脆弱性申告制度にまつわるネタが流れてきて、geek界隈がリアルドラゴンストライク状態になっているログを読んで心が暖まりました。

以前は、私もこんな記事を書いてmixiの取り組みをおおいに後押ししようとしていたのに、残念無念です。

mixiが「脆弱性報告制度」開始でギークな皆さんからの愛が集まっているようです (ヤフーニュース個人 やまもといちろう 13/10/1)
mixi脆弱性報告制度:評価対象外になったもの (WEB系情報セキュリティ学習メモ 14/4/15)

いいですね。何というか「うちの脆弱性を検証してよ。教えてくれたらお金上げるからさ」と良心的なgeekを吊り上げておいて、頑張って検証して報告すると「けっ、そんなの最初から知ってたよ。金なんか誰がやるかバーカ」というmixiの清々しい態度が高感度MAXであります。

「弊社において既知の脆弱性のため対象外」ならさっさと直しておけよと思うわけなんですけどね。素敵ですね。倒産して欲しいですね。

mixiについてはなぜかFACTAが寸止めのmixi内紛記事を書いておりましたが、そろそろほんといい加減どうにかなりませんでしょうか。