TidBITS: Apple News for the Rest of Us  TidBITS#1166/25-Mar-2013

「あなたが被害妄想なのではない、悪者は実際そこにいてあなたを狙っている」というのが、今週号の教訓だ。今週号は(決して私たちがそう計画をしたのでないことは誓ってもよいが)主としてセキュリティの問題が話題となる。まず Glenn Fleishman が、Apple のパスワードリセットページ iForgot に存在した脆弱性により誰のパスワードでもその人の誕生日を知っているだけでリセットできてしまったことを説明する。Apple は直ちにこれを修正したが、それまでどれだけの間この脆弱性がそのままの状態になっていたか分かったものではない。Apple はまた iOS 6.1.3 をリリースして、iPhone にパスコードを迂回してアクセスし Phone アプリに入り込めてしまうという一月前から知られていたバグを修正した。一方、事前の取り組みとして Apple は先週、パスワードの変更や購入、サポート依頼などが不正にできてしまう事態を予防する目的で Apple ID に二要素認証を実装した。これについても Glenn Fleishman が詳しく解説し、必要な手順も説明する。さらにもう一つセキュリティ関係の話題として、Joe Kissell が FlippedBITS コラム記事でパスワードに関してありがちな四つの通説の誤りを徹底的に暴く。セキュリティ以外の話題としては、Glenn が RSS リーダー NetNewsWire の将来に関するニュースを伝え、Adam Engst が PDFpen 6.0 に新たに装備された Word への書き出し機能をテストした結果を報告する。今週注目すべきソフトウェアリリースは、Skype 6.3 と PopChar X 6.2 だ。

記事:

----------------- 本号の TidBITS のスポンサーは: ------------------

---- 皆さんのスポンサーへのサポートが TidBITS への力となります ----


iOS 6.1.3、パスコード迂回バグを阻止

  文: Adam C. Engst: ace@tidbits.com, @adamengst
  訳: 亀岡孝仁<takkameoka@kif.biglobe.ne.jp>

Apple は静かに iOS 6.1.3 をリリースし、誰かが iPhone のパスコードを迂回しそして Phone アプリにアクセスすることを可能にするバグ を修正した。その他の唯一の変更は - 各種のセキュリティ修正以外に - 単に "日本の "マップ" を改善しました" としか書かれていない。パスコード迂回バグは iPhone にアクセス出来る誰かが電話を掛けたり、連絡先情報を閲覧したり、そして写真にアクセスするのを許してしまう - これは一か月以上前に公になっていた。

このアップデートは iOS 6 が走る全ての iOS 機器が対象で、iPhone 3GS とそれ以降、iPad 2 とそれ以降、そして第四世代 iPod touch とそれ以降が含まれる。いつもの様に、機器自身上での Settings > General > Software Update からアクセスする over-the-air アップデートの方が、ダウンロードもインストールも速いであろう。勿論、iTunes 経由でもダウンロードとインストールは出来る。私の iPhone 5 では、over-the-air バージョンはたったの 18.2 MB であった。

日本で Maps に依存しているのでない限り、セキュリティ関連のバグ修正はどれも重大なものではないので、このアップデートで他の新しい問題が取り込まれていないどうかを他の人が明らかにするまで、アップデートするのは待った方が良いかもしれない。

もう一つの警告。iOS 6.1.3 で閉じられたセキュリティホールの一つは evasi0n 牢破りによって使われていたものなので、もしあなたの iOS 機器を牢破りしたいのなら、アップグレードしてはいけない。勿論、そうすることはあなたをパスコードバグに対して無防備のままにするが、それは牢破りの世界でのトレードオフの一つに過ぎない。

コメントリンク13648 この記事について | Tweet リンク13648


Black Pixel が NetNewsWire の将来計画を述べる

  文: Glenn Fleishman: glenn@tidbits.com, @glennf
  訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>

RSS ニュースフィードのビューワーであり、アグリゲータ、同期サービスでもある Google Reader を終了する、と Google が最近発表して以来、Macintosh の多くの目が Black Pixel 社に集まった。Black Pixel 社は NetNewsWire の現在のオーナーで、NetNewsWire は最も人気ある Mac 用ニュースリーダーソフトウェアだが、Mac と iOS デバイスとの間の同期のために Google Reader に依存して働く。Black Pixel は ブログ記事の中で、同社が Mac および iOS 用の NetNewsWire の新リリースを目指して着実に開発作業中であって、独自の同期サービスを始める予定だと述べた。(他のいろいろな選択肢については 2013 年 3 月 18 日の記事“Google Reader の代替を探る”参照。また関連する記事として 2013 年 3 月 14 日の“Google Reader 消滅に際しての考察”もぜひお読み頂きたい。)

NetNewsWire はもともと Brent Simmons が開発して 2002 年にリリースした。2005 年にこれを NewsGator に売却した彼は、基本的にそれまでと同じ仕事を続けて、ソフトウェアをアップデートし iOS にも拡張した。2008 年になって、NewsGator は有料版と "lite" 版のリリースというそれまでの方式を、広告に支えられた無料版のみという方式に切り替え、料金を払えば広告がなくなるようにした。Simmons の提案により、NewsGator は 2011 年 6 月に NetNewsWire を Black Pixel に売却した。それ以来、Black Pixel が互換性アップデートを出してきている。

その途上で、Black Pixel の社長 Daniel Pasco は同社が Mac 版をオーバーホールし iOS 版は一から書き直したと述べている。Black Pixel への売却当時、 Simmons は NetNewsWire を最新のものにするために彼一人でこなさなければならない仕事の量に直面し、その仕事を Pasco 率いる開発者たちのチームに手渡すことができて嬉しいと述べた。

Pasco によれば、Black Pixel は Google Reader に代わるものをいずれ必要とすることが分かっていたという。Google+ が登場して Google Reader から共有機能が削除されて以来、観測筋の目には Google Reader がもはや余生を過ごす段階に来ていることは明らかとなっていた。

Black Pixel は当初、iCloud とその Core Data サポートを利用してデータベースの同期をする道を模索していた。けれども、個人的会話で聞いたところでは、また Apple の提供するものの上に同期サービスを構築しようと試みたことのある多くの開発者たちが書いた文章によれば、結局 iCloud は期待を裏切るものとなってしまった。このクラウドサービスには堅牢な機能があるかもしれないが、表に出ているインターフェイスと、利用可能なオプションの範囲が、開発者たちの必要に応えられるレベルに達していないもののようだからだ。Black Pixel は、iCloud の利用をあきらめ、独自の同期オプションを構築することになる。

コメントリンク13650 この記事について | Tweet リンク13650


Apple ID パスワードが攻撃により簡単にリセットされる

  文: Glenn Fleishman: glenn@tidbits.com, @glennf
  訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>

The Verge の報道 によれば、Apple の Apple ID パスワードリセットページ iForgotが攻撃を受け、しかもその攻撃のための具体的な手順が公表されていた。この攻撃には iForgot ページを開く URL に変更を加えたものが必要で、それに加えてユーザーの電子メールアドレスと誕生日を知っている必要があった。(The Verge はその手順へのリンクを掲載しなかったし、私たちも掲載しようとは思わない。)Apple は直ちに iForgot ページを閉鎖し、その日のうちに処理過程に変更を施したバージョンで再開した。

残念なことに、人の誕生日というものは比較的簡単に見つかる情報だ。例えば Facebook や Google+ のようなソーシャルネットワーキングサービスでは誕生日を尋ねられるし、その結果としてオンラインの友だちに知られるようになっていることも多い。(このことからも、ほとんど知りもしない人を「友だち」にするのが本当に良いことかどうか、考えてしまうではないか。)また、例えば Twitter で誕生日を祝う言葉を検索するのは簡単で、その上で誰かがどの年に生まれたのかの目星をつけることもできるだろう。そもそも、そういった私たちの個人情報は、過去のクレジットデータベースやその他の保存データの情報漏洩の結果として既にハッカーたちの隠れ家に行き渡っているかもしれないという事実を忘れてはならない。さらに、誕生日の情報はありふれたオンライン身元検索なんかを通じて入手できてしまうこともある。

ニュースが知れ渡った日の終わりまでに、Apple は iForgot を再開させて、パスワードのリセットのために二つの方法を提供するようにした。Apple ID アカウントの中で指定された救出用電子メールアドレスを(もし設定したあったならば)利用するか、またはアカウントのセットアップ時に作成された一連のセキュリティ問答(セットアップよりも後に、Apple がこの貧弱な検証オプションをすべてのアカウントに追加した際に問答を作成した人たちもいる)に答えるかのいずれかだ。

今回の攻撃は、既に二要素認証へ切り替え済みのユーザーたちには影響しない。この二要素認証オプションはそのたった一日前に Apple が英語圏のいくつかの国で開始していた。(2013 年 3 月 21 日の記事“Apple が Apple ID の二要素認証を実装”参照。)Apple の二要素システムでは、パスワードのリセットができるのは信用できるデバイス(Apple ID アカウントで検証を受けたもの)と、復旧鍵との両方を持っていなければできない。(パスワードと、これら二つの他の要素のうちいずれか一つを失ってしまえば、Apple ID アカウントが永遠に取り戻せなくなる!)

The Verge やその他のサイトには、パスワードをリセットするとあなたのアカウントにアクセスしたいと思う人にどんな利益があるかという点の説明は載らなかった。自分の電子メールアドレスに宛てて新しいパスワードを作成する手順が送られたのならば、当然そのアタッカーは既にあなたのログイン認証情報を知っているはずではないのか? 実は必ずしもそうではないのだ。

そのアタッカーは、何らかの方法であなたの電子メールを読むことができるようになったのかもしれない。例えばあなたのデバイスのどれかを盗むか一時的に手にしたかもしれないし、別の電子メールアカウントをクラックすることでそこから転送されているあなたのメインのアドレスを知ったかもしれない。そのような場合、その電子メールアカウントを使っただけでは他のサービスにログインすることはできないし、そこで何かを購入することもできない。

けれども Apple ID アカウントならば、たとえ一時的であっても乗っ取り犯があなたの電子メールを読めさえすれば、そのパスワードをリセットすることができ、結果としてそれ以後は iTunes 購入、iCloud に保存された連絡先やカレンダーイベント、Find My iPhone 追跡、その他付随したデータに乗っ取り犯がアクセスできるようになってしまう。もちろん、そのアカウントの本物のオーナーが正しいパスワードを入力しようとしてうまく行かないのを発見すれば犯行が露見してしまうわけだが、その時が来るまでの間に多大なダメージが加えられて厄介なことになったり高くついたりするかもしれない。

それを考えれば、改訂後の iForgot ページがパスワードリセットの手順をバックアップの電子メールアドレスにも送信するオプションを提供しているのは少し奇妙な気がする。多くの人は、一つの電子メールプログラムの中に複数のアドレスをセットアップしているからだ。もしも悪人が一つのデバイスに物理的アクセスを得て、どれか一つの電子メールアカウントに入り込むのを見逃したとしても、リセットの手順が彼の手に落ちる可能性が高くなってしまう。でも、Apple にできることは限られている。パスワードをリセットする方法は複数ある必要があり、手順を電子メールで送信するのはその妥当な方法の一つに過ぎない。

正直言って、今回 Apple が閉じた種類の攻撃は、正体不明の悪漢が使うものというよりも、むしろあなたの誕生日を知っている程度に近しい人が、たまたまそのタイミングであなたの電子メールにアクセスして、リセット方法のメッセージを見てその手順を使ってしまうという風に使われる可能性が高いと思う。被疑者としてはティーンエイジャーたちや若者たちが一番考えられる。デバイスも情報も、慎重に扱うべきデータも、見境なく共有してしまいがちだからだ。恋人に捨てられて、このテクニックを使って Find My iPhone で相手を追跡する、そんな筋書きのドラマが想像できるではないか。

コメントリンク13656 この記事について | Tweet リンク13656


FlippedBITS: パスワードにまつわる四つの迷信

  文: Joe Kissell: joe@tidbits.com, @joekissell
  訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>

"?Take Control of Your Passwords" の執筆をしながら、私はパスワードのセキュリティに関係するたくさんの通説に出くわし、それらの誤りを暴こうと試みた。もちろん、皆さんがこの本を買って下さり、パスワードの問題の解説や私がお勧めする解決法を詳しく読んで下さるのが私としては最も嬉しいけれども、今回の FlippedBITS 記事では、パスワードに関する最もありがちな誤解の四つだけに絞って解説してみたいと思う。四つとも、危険な状況に結び付く可能性を秘めている。

その1: 長さは 9 文字で十分 -- まず初めに、私自身が今や時代遅れとなった 2006 年の本 "Take Control of Passwords in Mac OS X" の中で広めてしまった通説を取り上げたい。当時入手できたデータを基にすればその本の中で言ったことは妥当であったけれども、私はテクノロジーの進歩というものを過小評価し過ぎていた。だから、当時私が書いたその助言をここに撤回し、謝罪をしたい。その本の中で私は、大文字と小文字、数字、記号を含んだランダムな 9 文字のパスワードを選べばどんな攻撃にも十分効果的に安全が保たれると述べ、その理由としてそのようなパスワードを力ずくで破るにはたとえスーパーコンピュータを使ったとしても平均して 数世紀 ほどの時間がかかるだろうからと述べた。

でも実は、私は数桁のレベルで間違いを犯していた。今日、既製のハードウェアと無料で入手できるクラック用ソフトウェアを使って、9 文字のパスワードは 最大 五時間半 で破られてしまう。(最大であって最小ではないことに注意!)もしもあなたのパスワードが 9 文字以下のものならば、それがどんなにランダムなものであろうと、WEP で保護された Wi-Fi 接続とほぼ同等の安全性しかない。(言い替えれば、たまたま思い付いて覗き見される程度のことに対してしか防御にならない。)

今日では 9 文字が短過ぎるというのならば、パスワードはどの程度長くする べき なのだろうか? それに対するはっきりとした答を出せればよいのにとは思うが、真実を言えば「場合による」というのが正解だ。例えば、ランダムな 14 文字のパスワードならば今日のテクノロジーの下でも力ずくの攻撃に対して効果的に安全だとある程度正当な理由をもって主張することはできる。けれども、その主張にはいくつかの条件を付けなければならない。

第一に、明日のテクノロジーがどうなるか、私には全く分からない。ひょっとしてこれから数年経てば、瞬き一つするうちにどんな 14 文字のパスワードでもクラックできる量子コンピュータを誰かが開発しているかもしれない。そんなに早く実現するとは思わないけれども、そうならないことに賭けるのは愚かというものだろう。

第二に、いろいろの暗号化テクノロジーのセキュア度は同じではない。弱い暗号化アルゴリズムで保護されたパスワードは数秒でクラックされてしまうかもしれないし、それと同じパスワードでもより良い方法で暗号化されていれば力ずくの攻撃に何年間も耐えられるかもしれない。さらにこれと関係した事実として、一部のセキュリティシステムはパスワードが推測される率を引き下げるために追加の防壁を設けている。そういったものも絶対確実ではない(この点についてはすぐ後で述べる)けれども、状況によっては単純なパスワードでも実質的な効力がずっと高くなるだろう。

第三に、パスワードの強度に影響するのは文字列の長さだけが要素ではない。xkcd の漫画 " Password Strength" に見事に描き出されている通り、たとえ小文字の英単語のみを組み合わせたパスワード (例えば correct horse battery staple) であっても、さまざまの文字種を混ぜたより短くランダムなパスワードに比べて強度が劣らないことがあり得る。その理由は、パスワードの エントロピー(そのパスワードを推測するのがどの程度強力かを数学的に近似した量)が文字列の長さ、文字種の複雑さ、ランダムさ、およびそれらの 組み合わせ によって決まるからだ。エントロピーの高いパスワードならば自動化された攻撃に対する抵抗力が高いけれども、エントロピーを高くするための道は一つではない。(具体的なパスワードのエントロピーをテストしたければ、そのためのオンラインのツールがたくさんある。私は、この目的には zxcvbn ツールを気に入っている。)

パスワードの文字数を一つ増やすごとに強度が指数関数的に増えるという事実を知っておけば少しは安心を感じられるだろう。だから、たった 26 個しかないアルファベットの小文字のみに限ったとしても、9 文字のパスワードに比べて 10 文字のパスワードはたった 10 パーセントではなくて 26 倍も良い! 小文字 9 個から成るパスワードの可能性は 5 兆種類以上 (26 の 9 乗) だが、小文字 10 個にするだけで 141 兆種類以上 (26 の 10 乗) に跳ね上がるのだ。つまり、ランダムな 9 文字のパスワードを 5.5 時間でクラックするシステムは、ランダムな 10 文字のパスワードをクラックするのに 500 時間以上かかることになる。これは膨大な違いだ。

たとえそうだとしても、500 時間では安心できるには程遠い。そこで 12 文字のパスワードにすれば 500 年間以上となり、これなら実用的には十分安全なものに思えるだろう。でも思い返してみよう。それは、七年前に私が 9 文字のパスワードに対して思ったことと同じだ。だから、14 文字の方がより安全だと私が言っているのは、今後数年間のテクノロジーの進歩を見越してその範囲でなら十分余裕があるだろうという意味であって、決してそういうパスワードが将来四億万年にわたってクラック不可能だと言っているわけではない。

その2: 老犬はいつも同じ手を使う -- 相当に強力なものだと自分が思うパスワードを作ってそれを覚えるために記憶の助けになるテクニックを編み出したという人たちを私は数多く見てきた。その中には皆さんも名前に見覚えがある Mac 界の有名人たちも含まれている。具体的な方法は人によりさまざまだが、そうしたパスワードには一貫した要素が含まれていたり、簡単に構築できるパターンが含まれていたりしがちだし、またサイトごとに決まる定型部分が含まれることもある。例えば Google 用には zombieGooCats を使い、Apple 用には zombieAppCats を使うといった具合だ。(実際は、この種のやり方をする人たちのほとんどはもっと凝ったテクニックを使っているけれども、ここでは一般的考え方を示すためにあえて単純な例を挙げてみた。)

かく言う私自身も、かつては(恥ずかしながら)そういうやり方を得意になって使っていたけれども、その後私の目からうろこが落ちた。その種のやり方はすべて、大きな問題を抱えている。また、"leet" を "1337" で(文字をその見た目に似た数字に)置き換えたり、キーボード上のキーのパターンを使ったり、その他さまざまのトリックを使ったやり方も、同じ問題を抱えている。どんなに賢いやり方だと自分では思っていても、ハッカーたちや、彼らの使う高度なクラッキングのアルゴリズムの方がもっと賢い。それらのツールはそれと気付ける人間などほとんどいないような微妙なパターンを膨大な数にわたってテストすることができ、その結果としてかなり長くて一見ランダムに見えるパスワードさえ実際にはかなり容易に推測できてしまう。忘れないで頂きたい。パスワードが人間に推測されることなどもはや心配する必要がないのであって、マシンに推測されることを心配すべきなのだし、マシンならばエントロピーの低いパスワードを(特に、よくある記憶補助のテクニックに基づいたものを)エントロピーの高いパスワードよりずっと早くテストする可能性が高い。(それに、もしもあなたがすべてのパスワードを同じテクニックを使ってパターンから構成していれば、あなたのパスワードを一つ以上知るだけでアタッカーは残りのパスワードを推測できる大きな手掛かりを得ることになる。)

さらに重要な点を言えば、たくさんのパスワードを作成して記憶するためにあなたがどのようなテクニックに依存するとしても、私に言わせれば、それは精神的努力の浪費であって、その努力はもっと他の有用な目的、例えば悪趣味な駄洒落を考えることに費やした方が意義がある。つまらない退屈な仕事を私たちに代わってさせるために私たちはコンピュータや iPad や iPhone やその他のデバイスを持っているのだし、それらの道具は私たちよりずっとうまくその仕事をこなしてくれる。1PasswordLastPass のようなパスワードマネージャが、あなたに変わってパスワードを生成・記憶・入力できるし、そうすれば好きなだけ長くてランダムなパスワードを使えるようになる。アプリにとって、32 文字のパスワードを作る労力は 10 文字の場合とほとんど変わらない。もちろん、それでもあなたが数個のパスワードを覚えていることは必要だけれど、うまくやりさえすれば ほんの 数個で事足りる。(私の場合、600 個以上のパスワードのうち 5 個だけを記憶している。)

その3: 一つのパスワードをすべてに適用 -- パスワードマネージャについて言えば、この種のツールを使えばパスワードを使う個々のサイトやサービスごとにすべて別々のランダムなパスワードを作ることが簡単にできるようになるし、そうすることを私はお勧めしたい。たとえどんなに素晴らしいパスワードであっても、同じパスワードを複数の場所で使い回すのがどれだけ良くないことかは、いくら強調しても強調し過ぎないくらいだ。自動化されたツールに依存すればパスワードの使い回しなど完全に不必要になるという事実を考えれば、なおさら非常に馬鹿げたことだと分かるだろう。

なぜ、パスワードの使い回しは良くないのか? 今のこの時代、どこかの大会社で何らかのセキュリティ漏洩が起こって何千、あるいは何百万ものパスワードが失われ、盗まれ、漏洩し、あるいはハッキングされた、というニュースは毎週のように聞こえてくるではないか。最近は Evernote でそれが起こった。それ以前にもパスワードが危険に晒された会社の例は Facebook、LinkedIn、Twitter など枚挙にいとまがない。この傾向は今後も間違いなく続くだろう。

さて、もしも誰かが Amazon.com のサーバをハッキングしてあなたのパスワードを盗み出したとすると、それは確かに悪いことに違いない。でも、もしもあなたがすべてのパスワードを一つ一つ別々にしていたならば、少なくともダメージはそのアカウントのみに限定される。けれども、もしもあなたが同じパスワードを iCloud、PayPal、Twitter、Gmail、その他で使い回ししていたならば、アタッカーがあなたのパスワードをそれら他のサイトすべてでも試してみるかもしれないというリスクをあなたは負うことになる。その場合、あなたはずっと大きなダメージを受けることになるだろう。

私は何も、別々のパスワードを使いさえすればセキュリティが保証されるなどと言っているのではない。別々のパスワードの一つ一つが 強力な ものであっても、そんな保証はない。けれども、一つのサイトでパスワードの漏洩が起こった場合にダメージを抑止することはできる。パスワード漏洩で最も被害を受けやすいのは、パスワードの使い回しの問題に無頓着な人たちだ。あなたはそうならないようにしよう!

その4: オンライン攻撃とオフライン攻撃 -- 自動化された攻撃の速度を緩めたり狂わせたりする目的で、追加の防壁を設けているサイトやサービスがある、とさきほど述べた。例えば、パスワードの入力でタイプミスをすれば、もう一回あるいは数回だけ再入力のチャンスが与えられるかもしれないが、新たな推測をタイプする度に次第に長い時間遅延が組み込まれていることもある。また、続けて何度か誤った入力をすれば、一定の期間中、あるいは何らかの別のアクションを通じて身元を確認できるまでの間、完全にロックアウトされたりすることもある。こうした障壁はすべて、自動化されたシステムがあなたのアカウントに侵入できるまで毎秒多数のパスワードを試み続けるのを防ぐためのものだ。

開発者たちがその種の障壁を用いるのは素晴らしいことだが、それは見かけほど強力な防壁とはならない。なぜなら、成功したアタックの大多数は、言わば正面突破によるものではないからだ。真の危険は、何らかの漏洩やセキュリティ違反によって、一つのサイトのすべてのパスワードを記録した暗号化ファイルまたはデータベースが誰かに入手されてしまった場合に起こる。いったんそのファイルを手にすれば彼らはいわゆる「オフライン攻撃」を実行できるようになる。つまり、この生のファイルを彼らは自動化されたツールを使って叩きのめし、可能なパスワードの候補を毎秒 数十億個 という速度でチェックして暗号を解読しようとするのだ。この方法ならば推測の速度を緩めるためのセキュリティ対策が完全に回避できるので、短い時間で膨大な数のパスワードの暗号化が解けてしまう可能性がある。(ここでは意図的に話を単純化している。賢明な開発者ならば複数のテクニックを組み合わせてオフラインのハッカーたちの意図を挫けさせようとする。鍵となる単語は "salting" と "hashing" だ。けれども往々にして、プログラミングのエラーや不適切なセキュリティ選択の結果、セキュリティホールが残されてそこをハッカーたちが突くことになる。)

だから、アタッカーたちが毎秒毎秒数十億個の速度で試行をすることができないからといって、短く単純なパスワードでよいと考えてはいけない。とりわけパスワードが保存されているコンピュータへの物理的アクセスが与えられた場合にどんなことが可能になるかを知れば、あなたはきっと驚きを禁じ得ないだろう。だから、あなたにとって最良の防御は、エントロピーの高いパスワード(それならば推測に時間がかかる)を使い、一つ一つのパスワードを別々のものにしておくことだ。

くよくよするな、明るく行こう -- あなたがこれまで依存してきたテクニックに問題があるという私の説明を読んでパスワードについての不安が強くなってしまったという人には、申し訳ないと思っている。まあ、ほんのちょっとだけ申し訳なく思っている。なぜなら、これを読むことで、パスワードのセキュリティを高め、あなたのデジタル生活に悪いことが起こる可能性を減らそうと実際あなたが何か行動を起こすために十分な程度には、不安を感じて頂きたいからだ。パスワードについてさらにもっと詳しいこと、とりわけあなたが直面するかもしれないさらなる脅威やリスクについては、そして私が実践しているストレス無用の三点戦略については、"Take Control of Your Passwords" をお読み頂きたいと思う。

コメントリンク13651 この記事について | Tweet リンク13651


Apple が Apple ID の二要素認証を実装

  文: Glenn Fleishman: glenn@tidbits.com, @glennf
  訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>

Apple は先週、Apple ID アカウントに対する二要素認証のオプションを静かに追加し、この機能を装備する Google、Dropbox、PayPal、Facebook その他、ますます増えつつあるサイトの列に加わった。認証にもう一段階のレイヤーを追加することで、Mac と iOS の何百万人ものユーザーたちが iTunes Store や App Store での購入、iCloud へのログインとデータ共有、Apple からのサポート、その他のために依存して利用する、ますます重要度を増しつつある Apple ID アカウントを保護する役に立てようというものだ。[訳者注: この記事の執筆時点で、二要素認証はまだ日本では利用できるようになっていません。この記事の内容は米国におけるものです。ご了承下さい。]

これはオプションではあるが、私たちとしては二要素認証を利用できるようになり次第それを有効にしておくことをお勧めしたい。オンラインの犯罪者たちは餌食となった Apple ID アカウントを利用してクレジットカードからお金を吸い出すことも、あなたのデジタル身元を乗っ取ることも出来るので、あなたのパスワードが盗まれるかもしれないと心配するのはもはや被害妄想でも何でもない。二要素認証は余計な手間だと思えるかもしれないし、注意深くセットアップする必要はあるけれども、Apple の二要素認証のせいであなたの生活に大きな影響が出るなどということはない。Apple によれば、二要素認証はたった三つの状況下でのみ呼び出される:

セキュリティの方程式を因数分解する -- 二要素認証における「要素」とは、ログインを成功させるために知っていなければならない、または実行しなければならない、二つの別々の個人的要素のことだ。第一の要素は多くの場合パスワードで、Apple ID でもそれは同じだ。第二の要素は言わば「帯域外」のもので、これは別途提供されるハードウェア、または別途登録されたソフトウェアを用いて知らされたり作成されたりするコードだ。この帯域外の部分こそ、既にあなたのパスワードを知っていたりあなたのコンピュータへのアクセスを得たりした誰かが、それと同じ手段を使って第二の要素も手にすることができないようにするために重要となる。

二要素認証は従来あまり使われていなかったが、オンライン犯罪の蔓延に伴って、ますます広く支持されるようになりつつある。私はキーフォブを二つ持っている。一つは PayPal/eBay 用、もう一つは E*Trade 用だ。それらのサービスにログインする度に、六桁の数字をキーフォブに入力しなければならない。この数字は一分ごとに変わる。一方 Google は iOS、Android、BlackBerry 用のモバイルアプリ Google Authenticator を提供して、いったんそれを Google アカウントに結び付けさえすればもっと手軽に一種のコードを提供できるようにしている。Dropbox も Google Authenticator を利用できるので便利だが、こちらはそのアプリの中で別途に登録され生成される項目となる。それから Facebook さえも、SMS テキストメッセージと Facebook iOS アプリの双方を通じて二要素認証を提供している。他にもアプリに依存しない多くのサービスが、やはり SMS テキストメッセージに依存してあなたが持っているモバイルデバイスにコードを送信することにより帯域外部分を提供している。

image

この二要素認証の方法により、従来 Apple が(他の多くの会社と同様)長らく依存してきた「セキュリティ質問」が不要になる。そういった質問は多くの場合「学生時代の親友の名前は?」といったタイプの質問のリストから選ぶようになっているが、質問が曖昧であることも多く、また身元のなりすましを目論む連中が Google、Facebook、その他の個人情報サービスを丸ごと飲み込むことにより簡単にハッキングされてしまうこともあった。("Take Control of Your Passwords" の中で、Joe Kissell はこの種のセキュリティ質問に対して正直な答を入力するのでなく基本的に何らかのパスフレーズを考えて使うことを推奨している。)

さらに悪いことには、かつて Mat Honan が自身のアカウントが乗っ取られた体験を手記に詳しく書き留めたように、クラッカーたちは時としてソーシャルエンジニアリング(ユーザーを心理的に騙す手法)とパスワードリセットの手順に潜む論理的欠陥との組み合わせを用いてアカウントの乗っ取りをすることがある。以前は、Amazon では登録されているクレジットカード番号の下四桁さえあれば電話で登録電子メールアドレスの追加をすることができた。ところが、クレジットカード番号の追加もまた、電話を通じてできた。そこでクラッカーたちは、盗んだ(まだ効力のある)クレジットカードや、あるいは偽造の(しかし正しいフォーマットの)クレジットカード番号を使って、まず電話をかけてクレジットカード番号を追加し、電話を切り、それからもう一度電話をかけて自分の電子メールアドレスを追加した。これで、彼らは自分の電子メールアドレスでパスワードリセットのためのメッセージを受け取ることができた。

Honan は Amazon のアカウントについてそれを手記に記録したが、それによればアタッカーはその結果そこに保存された他のクレジットカード番号の下四桁を見ることができ、その情報を使って Apple ID や他のサイトのアカウントでもパスワードをリセットしたり電子メールアドレスを追加したりした。

悪人がパスワードをリセットする必要があるだけでなく、それに加えて標的の所有するデバイスをロックの外れた状態で物理的に持っているか、またはその人に宛てた SMS メッセージを傍受できるかしなければならないということになれば、このような攻撃は失敗に終わる。個人を標的にした非常に高度な攻撃、例えば政府や企業のスパイ活動や、あるいは極めて厄介な離婚事件などに巻き込まれた人物を標的にした攻撃となれば、二要素認証でさえもまだ十分とは言えないかもしれないが、たまたま自分の身元が危険に晒されるようなよくある状況においては十分以上に機能するだろう。

あなたの決断を因子に切り分ける -- Apple の二要素認証をセットアップする前に、そちらに切り替えた後は何が起こるのかをきちんと考えておこう。この新しい方法には、長所も短所もあるからだ。

長所としては、次のようなことがある:

けれども、短所もいくつかある:

それから、二要素認証では保護されないアクセスの種類が二つある:

最後にもう一言。あなたが最近数日間に何か大きな変更を Apple ID アカウントに施した場合は、Apple は三日間にわたりあなたに二要素認証を有効にさせてくれない。また、もしもあなたの Apple ID パスワードが弱過ぎると Apple が判断すれば(2013 年 3 月 20 日の記事“FlippedBITS: パスワードにまつわる四つの迷信”参照)Apple は強制的にあなたにそれを変更させた上で、さらに三日間二要素認証への切り替えを待つ羽目にさせる。

Apple の二要素認証をオンにする -- さて、すべての準備が整ったならば、あなたがサポート対象の国に住んでいる場合には Apple のサポートページに書かれた手順を辿ればよい。具体的に説明すれば以下のようになる。(Apple が二要素認証を展開しているのは米国、英国、オーストラリア、アイルランド、ニュージーランドで、今後他の国も追加して行く予定だという。おそらくこれはローカライズの問題なのだろう。)

  1. My Apple ID サイトにナビゲートし、Manage Your Apple ID をクリックし、あなたの現在のアカウント情報を使ってログインする。

  2. 左側にある Password and Security をクリックし、表示されるセキュリティ質問に答え、Continue をクリックする。

  3. 一番上の "Two-Step Verification" 見出しと説明の個所にある Get Started リンクをクリックする。

    image

  4. すると Apple は三つのスクリーンを使って情報、利点、警告を表示する。それぞれを読み、前の二つでは Continue をクリックし、最後のスクリーンでは Get Started をクリックする。

    image

  5. Apple はあなたのアカウントに付随した iOS デバイスのリストを表示し、モバイルフォンについては SMS 番号を追加できるようにする。デバイスを確認したら、Continue をクリックする。

  6. ここで Apple は 14 文字の復旧鍵を提供する。この復旧鍵は、いったん失えば誰も取り戻すことができない。Continue または Print Key を押して次に進む。Apple は、この復旧鍵を書き留めておくこと、あなたの Mac 上には保存しないことを勧めている。それは妥当なアドバイスではあるが、強力な暗号化を使って項目を保存するツール (例えば 1Password や Yojimbo) を持っていて、かつそのツールのデータベースを保護する強力なパスワードがその同じコンピュータ上に保存されていないのならば、必ずしもそのアドバイス通りにしなければならないということはないだろう。

  7. あなたが本当にその復旧鍵を書き留めたことを証明するため、もう一度その復旧鍵を入力しなければならない! もう一度タイプして、Confirm をクリックする。正しく復旧鍵を入力していなければ Confirm ボタンを押せるようにならない。

  8. 最後の警告スクリーンが出て、万一あなたがアカウントのリセットのために必要な三つの要素のうち二つを失えばあなたの人生は完全にめちゃくちゃになるぞという説明が再び表示される。"I Understand the Conditions Above" を選んでから "Enable Two-Step Verification" をクリックすれば、この Manage Your Security Settings ページの表示が "Two-step verification is enabled" というものに変わる。

    image

その後直ちに、付随するすべてのアカウントに対して変更を通知する電子メールが届く。私の場合は本当に直ちに、数秒のうちに届いた。

それ以後は、Apple の被保護サービスのどれかにあなたがアクセスする度に、例えば My Apple ID サイトの Manage My Apple ID セクションを開こうとする度に、どの方法を使って検証するかと尋ねられる。方法を選択して次に進めば、コードが送られて来る。そのコードを入力すれば、それで無事OKだ。

image

image

万能の解決法ではない -- 二要素認証を使っても本人検証や身元詐称を巡るあらゆる問題を解決できるわけではないが、最も重大な問題のいくつかは解消される。アカウント乗っ取りを目的としたパスワードのリセットや、新規のデバイスからの Apple 関係のサービスを通じた購入、電話を使ったソーシャルエンジニアリングといった問題だ。

私は自分が商品の購入に使っているアカウントについて二要素認証を有効にした。皆さん一人一人にも同じことをお勧めしたい。作業を始める前に、あらかじめお持ちのデバイスを全部きれいに一列に並べて(それぞれどの Apple ID に付随しているかをはっきりさせて)おくのを忘れないようにしよう!

コメントリンク13654 この記事について | Tweet リンク13654


PDFpen 6.0、Word エクスポートを追加

  文: Adam C. Engst: ace@tidbits.com, @adamengst
  訳: 亀岡孝仁<takkameoka@kif.biglobe.ne.jp>

EPUB フォーマットは電子本の世界では一番人気のものかもしれないが、ビジネスの世界で書類を扱う人達の間では PDF が依然として支配的な力を持っており、Smile の PDFpenPDFpenPro と言ったユーティリティは必須のものである。Smile は、PDFpen の双方のバージョン 6.0 をリリースした。このバージョンでは、PDF を Word ドキュメントに変換する能力を追加し、新しい編集バーで PDF 編集を容易にし、そして Auto Save と Versions に対するサポートを提供、等々をしている。このアップデートは、バージョンとあなたのアップグレードの方法によるが、$30 又は $40 の値段となる。PDFpen 6.0 は OS X 10.7 Lion 又は 10.8 Mountain Lion を必要とする。

Apple の非常識なアップグレード規制 -- 通常、私はアップグレードの詳細は最後の所に掲載するが、Mac App Store にまつわる Apple の開発者に厳しい規則にお蔭で、少々厄介な事態にもなり得る。もし Smile から直接購入して彼らを通してアップグレードするなら、ことは簡単である: どちらのバージョンの PDFpen に対するアップグレードでも $30 だし、この機会に PDFpen から PDFpenPro に跳躍したいのなら、$40 である。しかしながら、PDFpen も PDFpenPro のどちらも Mac App Store 経由でも売られているのに、ここでは有料のアップグレードを Apple が許していない。そこで Smile は全く新しいアプリを PDFpenPDFpenPro に対してリリースした。言いたくはないが、もし以前のバージョンの PDFpen を Mac App Store から買ったのであれば、Apple からは如何なる通知も割引価格も提供されない - あなたは "アップグレード" するために新しいものを買わねばならないのである。(Smile は 48 時間の間 Mac App Store でも割引価格を提供したが、その期限はもうとうに過ぎている。)

それだけではない、事態はもっとややこしくなる。Apple は更に Mac App Store 外で売られる如何なるアプリにも iCloud ドキュメント同期を使うのを許さない。という訳で、もしこの機能が欲しいなら、以前に Smile から買っていたとしても、PDFpen を Mac App Store から買い直さなければならない。Smile から購入したものでは iCloud からの書類を開いたり、保存したり、或いは同期したり出来ない。幸いにして、Dropbox 同期はいずれの場合でも可能なので、Smile と直接取引しても (こうすることで彼らの稼ぎは 20% 以上増える)、クラウドストレージサービスを利用しての同期が妨害されることは無い。

もし 15 October 2012 以降に PDFpen を Smile から購入したのであれば、彼ら経由のアップグレードは無料で、そして自動的であるはずだ;内蔵の Check for Updates 機能が新しいバージョンをダウンロードし、そしてあなたのシリアル番号をアップデートするプロセスに導いてくれるであろう。

理屈の上では、PDFpen 6.0 の試行版を入手して試したとしても、望むなら前の状態に戻れるはずである。何故ならば自動アップデーターは PDFpen の以前のバージョンを Applications フォルダに保持するはずだからである。ただし当方での一回のテストではそうはならなかったので、アップグレードが始まるのを許可する前に、万一に備えて、前のバージョンの PDFpen 5.x の Zip アーカイブを作成するようお勧めする (Applications フォルダで PDFpen を Control-クリックし、Compress "PDFpen" を選択する)。或いは、単に Smile の Download ページから別のコピーをダウンロードすることも出来る。

Word へのエクスポート -- 所で、PDFpen 5.x から 6.0 へ何故アップグレードした方が良いかの話に戻ると、この新しいバージョンの看板機能は Microsoft Word フォーマット (.doc か .docx のどちらか) にエクスポートする能力である。エクスポートの後、そのテキストに対してやりたい作業は出来る様になるが、オリジナルバージョンにぴったり合う PDF を新たに作るのは無理かもしれない。

この機能は Nuance OmniPage Cloud Document Conversion Service を利用しており、ライセンスされたユーザーのみが使える (つまり、試行版の PDFpen 6.0 では働かない;Smile は購入前にチェック出来る様に幾つかの エクスポートサンプルを用意している)。ライセンス契約に同意する必要性のためか、私の場合 File > Export を二回選択しないとこれは動作しなかった。ということで、もしあなたも初回に問題を経験したならば、もう一回やってみるべきである。

エクスポートは単純な Save As 程速くはない - 7 頁のテスト書類でも 20-30 秒かかり、耐久テストとして 226 ページの "Take Control of Your iPad, Second Edition" を投入したら 37 分かかると言う予測を返してきた。幸いにして、実際にはたったの 7 分で済んだが、進行バーと経過時間カウンターから後どのぐらいかかるかの予測は出来る。変換中のドキュメント内での作業を続けることは出来ないが、変換作業中でも PDFpen 6.0 で他のドキュメントを開いての作業は出来る。

image

問題はこの変換はどれぐらい良いかであるが、正直言って、私の満足度は結構高い。これまで長年に亘って、私は色々な変換プログラムを試してきたが、その結果は通常惨憺たるもので、私の必要性がどれ程かによったが、泣きたいか笑いたいかのどちらかであった。"Take Control of Your iPad, Second Edition" の場合、PDFpen の変換はびっくりする程良かった。

全体として、変換されたドキュメントは "正常に" 見えた。どう言うことかというと、タブやインデントは正しく設定されており、適切なフォントが使われ、スクリーンショットは正しい大きさで取り込まれ、そしてその説明文も適切にフォーマットされ、行空けにはスペースではなくタブが使用されている、等々である。勿論、完璧という訳にはいかず、変換にはある種の間違いや理想的とは言えない選択もなされている所もあるが、どれも致命的ではない。私が気付いたこと:

PDFpen 6.0 からの PDF から Word への変換をあまり高望みをせずに始めたのであれば、失望されることは無いであろう。その変換ドキュメントを編集し再出版しなければならないのであれば、手直し作業は間違いなく残るが、手で PDF からテキストを抽出しそして Word に貼り付けるよりははるかにマシである。

その他の機能 -- PDFpen 6.0 における残りの新機能の多くは、既存の能力に対する微調整か或いは基底にある Mac 技術のサポートである。最も目を引くものは:* 新しい編集バーにより共通ツールや特性により速くアクセス出来る。

最後に、PDFpenPro にだけ提供されている二つの新しい機能がある。これがその弟分との違いとなっていて、主として Web 頁を PDF に変換、目次を作成する、そして PDF フォームを作成することをサポートしている。沢山のフォームを作成する人にはこの PDFpenPro 6.0 の新たな能力は嬉しいであろう。これは、テキストフィールドの部分、チェックボックス、そしてラジオボタンを検出しそしてそれに対応するフォーム要素を自動的に挿入することによってフォームを作成する。

他の新しい PDFpenPro 6.0 機能は、ドキュメント許可に対するコントロールである - もしあなたの PDF の印刷、保存、コピー、及び編集を規制したいのであれば、それが可能となる。但し、これらの PDF 許可は保障されているとは思うべきではない。何故ならば、これらの制約を取り除くソフトウェアも出ているので、もし誰かが意図してそれをやろうとすれば可能だからである。

最後の最後、はっきりと何時とはまだ言えないのだが、Michael Cohen は "Take Control of PDFpen 6" を書き上げるのに一生懸命になっている。そしてこれは 15 October 2012 以降に "Take Control of PDFpen 5" を買った人に対しては無料のアップグレードとなるので、今一冊購入しても損にはならない。これらは我々からでも Smile 経由のどちらからも買えるので、PDFpen 6.0 にもそのまま継続された機能についての勉強に使って欲しい。

コメントリンク13647 この記事について | Tweet リンク13647


TidBITS 監視リスト: 注目のアップデート、2013 年 3 月 25 日

  文: TidBITS Staff: editors@tidbits.com
  訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>

Skype 6.3 -- Microsoft が Skype 6.3 をリリースした。このインターネット電話アプリに、ほんの少し新機能を加えたメンテナンスリリースだ。今回のアップデートでは、グループ通話であなたが現在の話し手である際に他の参加者たちを表示するスライドショー表示を追加した。(他の人がスクリーン共有をしているグループ通話でも働く。)また DTMF (dual-tone multi-frequency) 音を発生する通話内ダイヤルパッドも追加された。これは、相手の電話番号へ通話中に通話ツールバーの中のダイヤルパッドを押せば表示される。このリリースではいくつかの改善も施されており、Ecamm の Call Recorder ソフトウェアを使っている際に Skype にサインインできる機能が備わり、デンマーク語、イタリア語、日本語、韓国語のローカライズ版での環境設定メニューが最適化された。(無料、37.5 MB、リリースノート)

Skype 6.3 へのコメントリンク:

PopChar X 6.2 -- Ergonis Software が PopChar X 6.2 をリリースし、このフォント発見ユーティリティで手早く特殊文字を見つける機能に二点の改善を加えた。今回のアップデートで、検索フィールドに入力するためのキーボードショートカット Command-F を追加し、PopChar の文字表の中にカーソルがあっても検索文字列をタイプし始められるようにした。コンテクストメニューにも二つの追加機能があり、選択された Unicode 文字の簡単な説明をコピーする Copy Character Description コマンドと、フォント名のリストをコピーする Copy Font List コマンドが装備された。このリリースではまた、新たに Unicode 6.2 対応を追加し、グループポップアップボタンの見栄えを(特に Retina ディスプレイで)改善し、一部のアプリ(例えば Microsoft Word)で探知されないフォントがあったバグを修正し、OS X 10.8 Mountain Lion でウィンドウがちらつく問題を回避している。最後に、Finder で PopChar アイコンをダブルクリックすれば PopChar が起動して しかも PopChar ウィンドウを開くようになった。従来は、Finder でアイコンをダブルクリックすると既に開いていた PopChar ウィンドウが閉じてしまっていた。(新規購入 29.99 ユーロ、TidBITS 会員には 25 パーセント割引、無料アップデート、3.6 MB、 リリースノート)

PopChar X 6.2 へのコメントリンク:


ExtraBITS、2013 年 3 月 25 日

  文: TidBITS Staff: editors@tidbits.com
  訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>

今週は他の読み物として一つだけお薦めしよう。Safari、Chrome、および Firefox に広告埋め込み拡張機能をインストールする、Mac を狙ったトロイの木馬についての警告だ。

広告を纏ったトロイの木馬に注意 -- ロシアのセキュリティ会社 Doctor Web によれば、Mac を狙ったトロイの木馬で Safari、Chrome、および Firefox に拡張機能をインストールするものが増えつつあるという。これらの拡張機能は、サードパーティの広告コードをそれとは無関係なウェブページに埋め込んで、クリックスルーの収益をマルウェアの著者の手へ流し込むように作られている。これらのトロイの木馬はさまざまのテクニックを使ってユーザーを騙し、拡張機能をインストールさせようとする。ビデオプラグイン、メディアプレイヤー、ダウンロード加速器、その他になりすますことが多い。安全のために、あなたにソフトウェアをインストールするよう促すサイトからインストールしないようにしよう。常に、信頼できる入手源からソフトウェアを入手しよう。

コメントリンク: 13653


tb_badge_trans-jp2

TidBITS は、タイムリーなニュース、洞察溢れる解説、奥の深いレビューを Macintosh とインターネット共同体にお届けする無料の週刊ニュースレターです。ご友人には自由にご転送ください。できれば購読をお薦めください。
非営利、非商用の出版物、Web サイトは、フルクレジットを明記すれば記事を転載または記事へのリンクができます。それ以外の場合はお問い合わせ下さい。記事が正確であることの保証はありません。
告示:書名、製品名および会社名は、それぞれ該当する権利者の登録商標または権利です。

TidBITS ISSN 1090-7017©Copyright 2013 TidBITS: 再使用はCreative Commons ライセンスによります。

Valid XHTML 1.0! , Let iCab smile , Another HTML-lint gateway 日本語版最終更新:2013年 3月 28日 木曜日, S. HOSOKAWA