チャイルドフィルターの疑問点(2)
こんばんは。今日も昨日の続きで、チャイルドフィルターについてもう少し書いて見ます。この件については、多くの方々が問題点について言及されていました。
スマホにインストールする構成ファイルが署名なしだわ、ダウンロードサイトもサイバーセキュリティ財団のドメインではないとか…。この時点で「一体どうなん!?」と言いたくもなります。「本当にこの構成プロファイルは問題ないんだろうか?」という不安が頭を過ぎります。(^^;;
サイバーセキュリティ財団的には「俺の開発したサービスだから、絶対大丈夫!」とでも言いたいのでしょうか。だとしたら、なんというジャイアニズムなんでしょう。なんか、「オレオレフィルタリングサービス」ですね。
フィルタリング判定基準が非公開なわけですから、どういう理由で閲覧不可判定されたのか知る術がないですよね。もし、森友学園や加計学園関連のニュースがフィルタリングされたとしても分からないことになります。穿った見方をすれば、財団にとって都合の悪いことが書かれているサイトを容赦なくフィルタリングすることもあり得ることになります。何を以て「危険だ」と判断するのかが分からないのが不安です。
それと、チェック対象が80/tcpと443/tcpに限定されているのかどうかも分かりません。たとえばradikoだと、他に1935/tcpも使うようです。これもチェックされた場合、「つボイノリオの聞けば聞くほど」や、「北野誠のズバリ」もフィルタリングされてしまうのではないかという疑念も消えません。(^^;; 下手したら、CBCラジオ自体がフィルタリングされても分からないなと思ったり。
他には、Webサーバへ不正アクセスされて、偽の構成プロファイルを掴まされたり、DNSキャッシュポイズニング等で偽のDNS情報を掴まされて、悪意あるプロキシサーバへ誘導されたり…等と考えると背筋が寒くなります。VPNトンネルの先は完全委任せざるを得ないわけですから。
「フィルタリング対象コンテンツについては財団に無条件委任」はあまりにも怖すぎます。フィルタリングの根拠は知りたいですし、アクセス履歴の第三者提供はしてほしくないなと個人的には思います。ある程度ユーザ側でのコントロール権限は必要なんじゃないでしょうか。
チャイルドフィルターの疑問点(1)
こんばんは。昨日の続きになりますが、VPN+コンテンツフィルターのお話になります。トレンドマイクロも暗号化していない無線LANの盗聴対策となるVPNサービスとコンテンツフィルターを組み合わせたアプリを販売しているということを書きました。
個人的にはVPNサービスとコンテンツフィルターは別々に提供すべきだという風に書きました。トレンドマイクロの場合は、セキュリティ企業としての実績がありますのでまだいいのですが、ここで問題になっているのが「チャイルドフィルター」です。これもスマホやタブレットからVPNでプロキシサーバに接続して、フィルタリングするという代物です。
この「チャイルドフィルター」を提供しているのが、サイバーセキュリティ財団という財団法人です。今まで耳にしたことがない組織ですが、「財団法人が提供しているソフトウェアだから大丈夫だろう」と無条件に信用してしまう懸念があります。この財団は寄り合い所帯で、組織として特に実績がないという点が気になります。
単にVPNサーバまで接続するというだけであればいいのですが、ここで問題になってくるのは、プロキシサーバに接続してコンテンツフィルタリングする点です。どのサイトをフィルタリングするのか、どのサイトを通すのかということは分かりません。プロキシサーバで取得したユーザのアクセス履歴をどのように利用されるのかは全く分かりません。
このサービスの「お預かりする個人情報の取扱いについて」の項目が気になります。ログの自由な利用と、分析情報の第三者提供を積極的に行おうとしているようにも読めてしまう点が少々気になります。
「ブロックされたアクセス履歴も含めて、勝手に利用されるのではないか?」という不安が残ります。単純に無線区間の暗号化を施したいだけであれば、VPNサービスの提供だけでいいはずです。コンテンツフィルタリングによるアクセス履歴情報を収集したいがために、おまけでVPNサービスを提供しているようにしか思えません。
どうも引っかかる点があります。個人情報の利用範囲が広く取れるように思えて、その点が気になってしまいます。有無を言わさず財団のプロキシサーバに接続され、アクセス履歴を収集されるという疑念が消えない点が引っかかりますね…。
VPNとフィルタリングツールなど
こんばんは。まだ完全に追い切れてませんが、VPNやフィルタリングツールに関するネタを取り上げます。以前、公衆無線LANの危険性について書きかけたことがあります。こちらです。
karasuma-kitaoji.hatenablog.com
詳しいところまで踏み込めてませんでした。<(_ _)>
無線区間が暗号化されていない、または暗号化されていてもキーが共通になっていて、店内の客は簡単に知ることが出来る状態になっている無線LANでは盗聴の可能性があります。そんな状態で提供されている無線LANをどうしても使いたい場合はVPNで(無線区間を含めてVPNサーバまで)接続しましょうというようなお話です。
で、それに関連して、トレンドマイクロのVPNアプリです。インプレスのサイトからです。
信用出来ない公衆無線LANを経由する場合はVPNを使うように出来るそうです。で、その先にフィルタリングサーバが存在するようです。
個人的にはVPNサービスとフィルタリングサービスは、少なくとも別々のサービスにして提供すべきなんじゃないかと思います。
トレンドマイクロとは別ですが、この2つを分割させずに一体化サービスとして提供している「チャイルドフィルター」というサービスを福岡のサイバーセキュリティ財団が提供しています。これについて「???」な見方をされている方々が多いようです。
詳しいことは明日以降に調べた上で書いてみたいと思います。「フィルタリングサービスを導入させたいがための殺し文句としてのVPNサービス」なんじゃないかと邪推してしまいます。VPNで盗聴を防いでいても、このフィルタリングサーバで通信履歴を保存されてしまうわけですから、これはこれで引っかかるものがあります。
<つづく>
名寄市立大学のWebサーバ復旧までの臨時サイト
こんばんは。相変わらず名寄市立大学のWebサーバへはアクセス出来ないようです。
名寄市のページに臨時公開サイトへのリンクが貼られています。
臨時公開サイトはこちらです。
Googleですか。臨時公開サイトはいいのですが、http://www.nayoro.ac.jp/ でアクセスしようとした人は辿り着けませんね。現場の方々が捻り出した苦肉の策だという感じは十分伝わってきます。お疲れさまです。
digコマンドで調べてみると、ns.hotcn.ne.jpという名前のDNSサーバが出てきました。このドメインを調べてみると、北海道総合通信網株式会社なんですね。
とりあえず、ここで一時的に仮想サーバ借りて臨時サイト構築した後、DNS設定変更して、www.nayoro.ac.jpがこの仮想サーバを指すようにすればいいように思うのですが、そうは行かない事情があったのでしょうか。そのへんは分かりませんが、上手に誘導する方法があるだけに少々勿体ない気がしています。1日も早い復旧をお祈りしてます。
今日は東京日帰り
こんばんは。今日は諸用で東京日帰りでした。ネットワーク・セキュリティ関係の連載が終わりましたので、御世話になっていた編集者さんに御挨拶して来ました。次のネタに関しても少し話をして来ました。
と、以前イントラネット内のDNSサーバ構築のために購入したOpenBlocks販売元のぷらっとホームさんの営業担当さんに御挨拶して来ました。そんな大袈裟な物を作るつもりがなかったことと、HDDを使わないのと、コンパクトだということで3台購入しました。イントラネット内のDNSコンテンツサーバと、インターネット上にあるISPのDNSサーバに問い合わせるためのフォワーダーとしての役割を果たしていました。
今日は本来であれば、名寄市立大学の続きと、それに関連した小規模公立大学の状況を調べてみようかと考えていたのですが、さすがに新幹線車内でキーボードを打つと酔いそうになりますので見送りました。(^^;;
ということで、今日はこのへんで失礼いたします。
名寄市立大学のWebサイトがまだ落ちたままのようです
こんばんは。昨日に引き続き、今日も名寄市立大学のWebサーバ等の話題を取り上げます。先程名寄市立大学のWebサイト http://www.nayoro.ac.jp/ にアクセスしてみましたが、応答がありませんでした。WebサーバとDNSサーバは同じIPアドレスでしたので、名寄市立大学のDNSサーバに問い合わせるとクエリが返って来ない状態は変わっていません。
「名寄市立大学 不正アクセス」でググってみましたが、サーバ停止等に言及しているのは、自分のブログ関係と2日前の事務局長のツイートと、名寄市立大学淫夢同好会のツイートぐらいしかヒットしませんでした。Twitter側では、上記ツイート以外に私のツイートへのリプがヒットしたぐらいでした。
不正アクセスからもうそろそろ1週間が経過しようとしていますが、追加情報も出て来ませんし、IT系ニュースサイトも本件に関して取り上げていないことが少々気になっています。
時期的には合格発表があったかと思います。どうやら、名寄市のホームページに掲載されている模様です。
結構事態は深刻なはずなのですが、検索して調べてみる限りでは、どうも切迫感が伝わって来ないです。DNSクエリからはなんとか応急措置は出来る(最低限のことはなんとかなる)のではないかと踏んではいるのですが、そうも行かない理由があるのでしょうか。
メール・Web・DNSが1週間近く止まっているのは、1990年代前半ならともかく、現在ではかなり拙いのではないかと思えてなりません。続報を待ちつつ、ウォッチを続けて行きます。
今度は名寄市立大学で不正アクセスが
こんばんは。昨日は富山市内の小中学校4校でのメールによるウイルス感染を取り上げましたが、今回は名寄市立大学での不正アクセスについてです。
学内メールについて
— 名寄市立大学・短期大学部 (@nayoro_univ) 2017年3月6日
外部からの不正アクセスに伴い、学内メールが使用停止となっており、ご迷惑をおかけしております。現在、復旧に向けて調整してますが、しばらく時間がかかります。重要なメールを学内メールに設定している方は、相手先にその旨をご連絡くださいますようお願いいたします。事務局長
名寄市立大学Webサイトにアクセス出来ない…
Webサイトで何か情報公開されていないかと確認したところ、現時点でWebサイトもアクセス不可です。
そこで、他のサイトから名寄市立大学について調べてみました。受験生向けのサイトですが、学生数や教員数は掴むことが出来ました。
名寄市本体とは別ドメインになっています
こちらによると、全学生数651人だそうです。常勤教員が78名とのことです。推測ですが、事務職員は名寄市職員なのでしょう。このあたりからすると、プロパーの情報系職員が存在しなさそうです。どこかに外部委託しているのでしょうが、連携に手こずっているのでは?と見ています。今のところ、Twitter上でも進捗状況のツイートは見受けられません。
ドメインがnayoro.ac.jpとなっていて、名寄市のドメインcity.nayoro.lg.jpとは別になっています。管理は別なのでしょう。
しかし、メールサーバもwebサーバも落ちている状態というのは、もしかして、自前運用なのではないかという懸念も出てきました。「まさかの教員が片手間でネットワーク&サーバ管理を行っている」という20年ほど前の状況を連想しました。
digコマンドを叩いてみました
ちょっとdigで調べてみました。www.nayoro.ac.jpというサーバはn-ns.nayoro.ac.jpのCNAMEとして登録されていました。webサーバとDNSサーバが同居状態ですね。当然、このDNSサーバも応答しません。nayoro.ac.jpドメインのゾーンを管理しているDNSサーバは他にns.hotcn.ne.jpがあります。こちらはちゃんとクエリが返ってきました。(以下参照)
% dig @ns.hotcn.ne.jp www.nayoro.ac.jp
; <<>> DiG 9.8.3-P1 <<>> @ns.hotcn.ne.jp www.nayoro.ac.jp
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27861
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 1
;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;www.nayoro.ac.jp. IN A
;; ANSWER SECTION:
www.nayoro.ac.jp. 3600 IN CNAME n-ns.nayoro.ac.jp.
n-ns.nayoro.ac.jp. 3600 IN A 210.191.211.179
;; AUTHORITY SECTION:
nayoro.ac.jp. 3600 IN NS n-ns.nayoro.ac.jp.
nayoro.ac.jp. 3600 IN NS ns.hotcn.ne.jp.
;; ADDITIONAL SECTION:
ns.hotcn.ne.jp. 300 IN A 210.191.192.1
;; Query time: 37 msec
;; SERVER: 210.191.192.1#53(210.191.192.1)
;; WHEN: Tue Mar 7 17:30:05 2017
;; MSG SIZE rcvd: 125
どうも内部的な問題ではないかという気がしています。問い合わせ時にn-ns.nayoro.ac.jp を掴んでしまうと
ついでにnayoro.ac.jpのMXレコードを調べてみました。(以下結果)
% dig @ns.hotcn.ne.jp mx nayoro.ac.jp
; <<>> DiG 9.8.3-P1 <<>> @ns.hotcn.ne.jp mx nayoro.ac.jp
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24585
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 3
;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;nayoro.ac.jp. IN MX
;; ANSWER SECTION:
nayoro.ac.jp. 3600 IN MX 10 n-mail.nayoro.ac.jp.
nayoro.ac.jp. 3600 IN MX 0 nayoro-ac-jp.mail.protection.outlook.com.
;; AUTHORITY SECTION:
nayoro.ac.jp. 3600 IN NS n-ns.nayoro.ac.jp.
nayoro.ac.jp. 3600 IN NS ns.hotcn.ne.jp.
;; ADDITIONAL SECTION:
n-mail.nayoro.ac.jp. 3600 IN A 210.191.211.178
ns.hotcn.ne.jp. 300 IN A 210.191.192.1
n-ns.nayoro.ac.jp. 3600 IN A 210.191.211.179
;; Query time: 38 msec
;; SERVER: 210.191.192.1#53(210.191.192.1)
;; WHEN: Tue Mar 7 17:34:52 2017
;; MSG SIZE rcvd: 202
nayoro-ac-jp.mail.protection.outlook.com.の方が優先度が高くなっています。こちらまでは届いているけども、不正アクセスの影響で学内への転送に失敗しているのでしょうか。
とりあえず、nayoro.ac.jpのNSレコードのうち、n-ns.nayoro.ac.jpを修復までの間、一時的に削除しておいた方がいいような気がしてきました。
もう1週間近く経つので、少々気になっています…。