帰ってきました

2週間の四国旅行から帰ってきて、明日から日常生活復帰。
うまいもの食って、あちこち行って、ドライブして、山に行って、海に行って、川に行って、キャンプして、いまさらこんな経験ができると思ってなかった。
旅行って1人が一番、2人も良いけどいろいろ大変、それ以上は…と思ってたけど、家族と一緒もよかった。 明らかなのは、使った費用のことは考えたくないってこと。
旅行マップでも作りたいと思ってるけど、そんな根性はないかもしれない。

クラウド・ストレージのThe Linkup閉鎖 – ストレージ移行失敗でデータ消失

コンシューマー向けストレージ・サービスを提供していたThe Linkup (ex-MediaMax)が閉鎖。
Loss of customer data spurs closure of online storage service ‘The Linkup’ – Network World
Nirvanix denies responsibility, says its own customers’ data remains safe
By Jon Brodkin , Network World , 08/11/2008
Share/Email 5 Comments Print
Can you trust your data to the cloud? For users of an online storage service called The Linkup, formerly known as MediaMax, the answer turned out to be a resounding “no.”
一部データへのアクセスが不可能になった。 アクセスできなくなったデータの容量は不明。
あるユーザーのデータは全部残っているし、あるユーザーのデータは何もない。
原因は、旧サービスMediaMax から新アプリケーションに移行した際に、データが移行できていなかった。
で、サービス終了。
世の中、こんなもんなんだろうなあ。

ID管理三国志時代 - OpenID、SAML、CardSpaceが一堂に会したセミナー

OpenID、リバティ陣営が共同セミナーを開催 - @IT
ID管理三国志時代の幕開けか
OpenID、リバティ陣営が共同セミナーを開催
 OpenID、SAML、CardSpace、3つのアイデンティティ管理の技術仕様が互いにデファクト・スタンダードの地位を争い、今後10年は”アイデンティティ三国志”の時代となってしまうのだろうか――。この問いかけに対して、それぞれ立場から専門家が意見を述べる珍しいイベントが行われた。
 7月18日、リバティ「アライアンス日本SIG主催による「第3回 Liberty Alliance 技術セミナー」がNTT武蔵野研究開発センタで開かれた。
 
(OpenID)

「日本人は平均して20個のIDとパスワードを使っているが、覚えられるパスワードはせいぜい2、3個だ」。自社調査の結果を引用して、アイデンティティ管理の問題をこう指摘するのは、野村総合研究所 情報技術本部 上級研究員の崎村夏彦氏だ。
。「残念ながら、今のネットの世界はベンダセントリック。OpenIDはネット上の”私”を取り戻してユーザーセントリックにしていくためのもの」(崎村氏)。

(CardSpace)

マイクロソフトの田辺茂也氏は、こう述べる。「マイクロソフトはかつて1度失敗している。CardSpaceはさまざまなアイデンティティ管理のフレームワークを使ったメタフレームワークだ」。
個々のカードは”Information Card”と呼び、CardSpaceは正確にはInformation CardをローカルPCで管理するためにマイクロソフトが実装したIDセレクタでしかない。まだCardSpaceの採用例は少ないが、IDセレクタの実装はHiggins、Digital Me、OpenCardSpace、Infocard Selector for Safariなどがあるという。また、認証フレームワークにはSAML、X.509、Kerberos、LDAPを利用可能にしていくほか、通信に”WS-*”で総称されるWebサービスを利用するなどオープンな技術仕様となっている。また、2008年6月にはマイクロソフトのほか、ノベル、オラクル、グーグル、PayPal、Equifaxをボードメンバとする業界団体「Information Card Foundation」が立ち上がっている。

(SAML)

 SAMLも.NET Passportの中央集権的なシステムへの反発から登場した分散型の認証フレームワークだ。米サン・マイクロシステムズらが2001年9月に立ち上げたリバティ・アライアンスで規格が開発され、最終的にXML関連の業界団体OASISで2003年にSAML 1.0が、2005年にSAML 2.0が2005年に策定されている。
 Webサービスでの利用を想定してHTTPだけを利用する簡易なOpenIDと異なり、サーバ間通信を想定したSOAP利用が可能な点や、XML電子署名を用いた高度なセキュリティもSAMLの特徴だ。各種Webサービス間でシングルサインオンを実現するためにも使えるが、既存の2つ以上の組織・サービス間でユーザー情報を連携させるフレームワークとして利用されることが多い。例えば、企業内のIDを使ってGmailやSalesforce.comを利用する際にはSAMLが利用できる。

(OpenID今後の拡張)

 1つはOpenID 2.0の拡張仕様として定義されているAX(Attribute Exchange)やSREG(Simple Registration Extention)に代わるもので、安全に住所や氏名、クレジットカード番号などIDに付属する属性情報を交換する仕組みとして「TX」(Trusted Data Exchange)が提唱されているという。AXではさまざまな属性情報をやり取りできるが、暗号化をHTTPSに依存している。このためセッション単位での認証・暗号化となり、”非否認性”がない。非否認性とは、いったん署名した署名者が、後からその署名が自分のものではないと否認することを防げることで、TXではXML暗号やXML電子署名を用いて実現する。
 
認証強度をメッセージに載せるためのプロトコル「PAPE」(Provider Assertion Policy Extension」が策定間近だという。PAPEを使うとバイオメトリクスやハードウェアトークンを用いたセキュアな認証をID提供者に求めることができる。現在崎村氏はPAPEを使ったOpenIDとSAMLの連携を提案中だという。

(SAMLのシンプル化)

NTT情報流通プラットフォーム研究所の伊藤宏樹氏は、HTTP POSTを利用したSAMLアサーションで、XML電子署名の生成コストを低減する「SimpleSign Binding拡張」や、SOAP Bidingと並ぶ「RESTful Binding拡張」の提供可能性について検討中であることなどを紹介した。
新たな展開として認証コンテキスト拡張の必要性を議論しているという。認証手段はIDとパスワードという仕組みだけでなく、X.509を使ったデジタル証明書、携帯電話であればサブスクライバID、PCであればIPアドレスなど、さまざまなものがある。
 

(仕様統一)

 NewOrgはまだ設立構想が議論されている仮名の団体で、アイデンティティ管理の問題に取り組む個人や組織所属の専門家がグローバルに集う組織だ。

緊急対応から見たWebサイト用データベースセキュリティ対策~継続するSQLインジェクションの脅威

[2008年08月06日]
緊急対応から見たWebサイト用データベースセキュリティ対策~継続するSQLインジェクションの脅威~
2008年に入って増加しているSQLインジェクション攻撃を中心に、LACで提供している個人情報漏えい緊急対応サービスである「個人情報119」を通して得た情報を基に、Webアプリケーションやデータベースセキュリティ対策の状況、および対策方法をまとめました。
CSL Report / DBSL Report | LAC

SQL インジェクション攻撃は、2000 年頃には認識されていた攻撃手法で、Web アプリケーションのエラーメッセージを悪用した情報詐取や、画面に使われているデータの改ざんを行います。2005 年以降は、クレジットカード情報やオンラインゲームのI D、パスワードの詐取を狙う、いわゆる金銭目的のための攻撃が大半を占めています。
2008 年3 月頃からはSQL インジェクション攻撃の検知数が増加しており、5 月をピークにその後も高い数値で推移
データベース側でのログを取得しておく必要があります。データベース側で取得
すべき主要な操作とは
. データベースへの接続
. 重要情報に対する操作
. データベース管理情報へのアクセス
. 設定変更(データベースやオブジェクトの変更等)
. 強力な権限を持つユーザの操作
が挙げられます。また、SQL インジェクション攻撃内容を把握するため、ぜひ実行された、
SQL 文を取得することを検討してください。

通販サイトからカード番号流出 – アイリスプラザ

「対策を行っていた」通販サイトからSQLインジェクションでクレジットカード情報が流出。
通販サイトからカード番号流出:利用明細に注意! : サイバー護身術 : セキュリティー : ネット&デジタル : YOMIURI ONLINE(読売新聞)

アイリスプラザによれば、クレジットカード番号の流出がわかったのは2008年6月6日のこと。カード会社から「オンラインゲームなどでクレジットカード番号が不正利用された痕跡があり、アイリスプラザからの流出の可能性がある」と指摘があった。調査したところ、2008年3月3日から5月30日にかけて、中国のIPアドレスからSQLインジェクション攻撃があったことがわかった。
 アイリスプラザでは、2006年ごろからSQLインジェクションへの対策を行っていた。そのためパソコン向けのウェブサイトでは被害は出ていないそうだ。アイリスプラザによれば「以前に携帯電話向けの通販サイトを準備していたが、公開せずに中止していた。SQLインジェクション攻撃の被害にあったのは、この携帯電話向けサイト。消去せずに残していたことが問題だった」とコメントしている。表からは見えない携帯電話向けサイトが存在していて、それが犯人に狙われたことになる。
カード流出事件を受けて、アイリスプラザではお詫びの文章と経緯を説明するFAQなどをウェブサイトに掲載している(「◆情報流出によるお詫びとご説明」) アイリスプラザによれば流出した可能性があるのは、クレジットカード番号28,105件と、カードの有効期限987件。クレジットカードのパスワード、氏名・住所などは流出していないそうだ。パスワードがわからなければ不正利用は起きにくいはずだが、オンラインゲームなどで不正利用された痕跡がある。