TidBITS#1121/09-Apr-2012 TidBITS#1121/09-Apr-2012今週のニュースとして、Dropbox が紹介ボーナスを二倍にし、しかもこれが以前に遡って適用される! ことをお伝えし、注目すべき FileMaker 12 のリリースを紹介する。また、高速で変化を遂げつつある Flashback マルウェアについて Adam が詳しく解説する。このマルウェアが 600,000 人の Mac ユーザーに感染したという報道もあるので、あなたが感染しているかどうかをチェックする方法と、今後 Flashback の犠牲に陥らないための予防法とを説明する。こちらもセキュリティの話題だが、Rich Mogull がクラウドベースのサービスにおけるセキュリティの実装方法を説明するとともに、あなたのクラウドプロバイダの従業員があなたのデータを読むことが可能かどうかの判別方法も語る。今週注目すべきソフトウェアリリースとしては TinkerTool 4.8、Hazel 3.0.4、SpamSieve 2.9、App Tamer 1.2.1 がある。
記事:
----------------- 本号の TidBITS のスポンサーは: ------------------
---- 皆さんのスポンサーへのサポートが TidBITS への力となります ----
文: Adam C. Engst <[email protected]>
訳: 亀岡孝仁<takkameoka@kif.biglobe.ne.jp>
Dropbox に入会するようあなたが招待した友人一人一人のために、このクラウドベースの蓄積とファイル共有サービスは長いことあなたとあなたの友人の両方に 250 MB の無料蓄積スペースを与えて来た。これは人々にこのサービスに申し込むよう勧誘する有効な方法であり、そして Dropbox はつい最近この特典を更においしくしボーナスとして与えるスペースを倍の 500 MB にした。(Educational Dropbox アカウントは既に 500 MB の紹介ボーナスを受けていたが、どうもそちらはそのまま変わらずということらしい。)
もっと良いことに、そしてこれは真にしゃれた動きであるが、Dropbox はこの倍増をあなたのこれまでの紹介全てに遡って適用したのである。その結果、私のアカウントは既に 13.25 GB (2 GB が基本容量、加えて 250 MB は最初に誰かから Dropbox に紹介された時のもの、更に 8 GB が 250 MB の紹介から、そして 3 GB が Camera Upload ベータテストから; "Dropbox の Camera Upload をテストして追加ストレージを貰おう" 29 March 2012 参照) であったものが今や 21. 25 GB へとジャンプした。これは 8 GB の紹介ボーナスが二倍の 16 GB に増えたお蔭である。注釈しておくと、この 16 GB というのは無料の Dropbox Basic アカウントが紹介から得られる最大の容量である;有料の Dropbox Pro アカウントは紹介当たり 1 GB を稼ぐことが出来、最大 32 GB まで行ける。
ということで、もしこれまであなたの Dropbox アカウントは満杯に近い状態にあったならば、一息つける追加のスペースが得られているかもしれない。自分が持っているのはどの程度のスペースなのかを見るには、Dropbox メニューを見ればよく、そこには全スペースのうち何パーセントが使われているかが表示されている。あなたの Account Infoページを見れば、あなたの蓄積容量がどの様にあなたのファイルとあなたと共有しているファイルの間で分割されているかが分かる。
コメントリンク12914 この記事について | Tweet リンク12914
文: Mark H. Anbinder <[email protected]>
訳: 亀岡孝仁<takkameoka@kif.biglobe.ne.jp>
一連のFileMaker 12 ソフトウェアのリリースで FileMaker, Inc. は、その由緒あるデータベースプラットフォームを生き返らせようとしている。その中身は、頑健な新バージョンの Mac 及び Windows アプリケーション、64 ビットサーバーソフトウェア、そしてアップデートされた iOS アップス(無償ダウンロード)である。新バージョンは直ちに入手可である。
同社は明らかに、伝統的なデータベース設計技能をあまり必要とせずにユーザーが簡明なデータベースインターフェースを使える様にする総合的な設計ツールを開発するのにかなりの努力を投入したようである。FileMaker Pro 12 は、ユーザーがそのまま、或いはカスタマイズして使える拡張されそして改善された一連の "スターターソリューション" データベーステンプレート、そして 40 種のテーマが提供されていて、データベース設計者としては更なる時間やエネルギーを殆ど費やさずに豊かでプロの様な外観を与えられる。テーマの多くが iPhone や iPad での使用に特化したレイアウトを提供している。
FileMaker Pro 12 は Mac OS X 及び Windows の両方に対して $299 で入手可であり、アップグレード価格は $179 で、更に FileMaker Pro 12 Advanced は $499 で、アップグレードは $299 となっている。FileMaker Server 及び FileMaker Server Advanced はそれぞれ $999 と $2,999 で、アップグレード価格は $599 と $1,799 である。アップグレード価格は、FileMaker Pro 及び Server 9, 10, 又は 11 の所有者に適用される。FileMaker Pro/Server 8 又はそれ以前の所有者は新品を買い直さなければならず、そして FileMaker Pro/Server 9 のユーザーに対しては、アップグレード価格は 27 September 2012 迄しか適用されない。
あなたの手のひらの中で -- 我々は、FileMaker の人達から FileMaker Go アプリケーションのリリース以来 (Steve McCabe の "FileMaker Go で FileMaker データベースを iOS に" 9 February 2012 参照) iPhone, iPod touch, そして iPad からの FileMaker Pro データベースへのアクセスが大事になったという話を聞いても驚かなかった。これらの iOS アップスは、デスクトップ上に作られたデータベースへの携帯端末からのアクセスを目指して作られたのだが、FileMaker Go 12 のリリースに伴い無料となった。新バージョンは今や App Store で入手可である。(FileMaker Go 11 の有料バージョンも、FileMaker Pro 11 や FileMaker Server 11 を使い続けたいという人向けに App Store から引き続き入手可となっている。)
Steve McCabe の批判の一つにあるように、FileMaker Go 11 のユーザーは、とりわけ iPhone の小さい画面上で、ラップトップやより大きなデスクトップ画面上での使用のために設計されたレイアウトの周りでズームしたり引いたりするため、しょっちゅうピンチしたりスワイプしたりしなければならなかった。バージョン 12 では、この余分な作業は我々に代わって FileMaker がやってくれている;提供されているテーマを使えば、既存のデータベースにも数回のクリックで適用でき、ごちゃごちゃしたフィールド列をより大きな画面用の整然としたレイアウトに変えられるだけでなく、携帯サイズやタブレットに最適化された画面もシームレスに提供する - 更に、マウスやトラックパッドではなく指を使ってフォームとやり取りしている時に便利なようにより大きな行間や制御手段が提供されている。
同時に、FileMaker は FileMaker Go アップスに対してより充実した iOS 特有の機能も盛り込んでいる。ユーザーが許可すればデータベース設計者は iOS の位置情報を使うことができ、ユーザーはオーディオとビデオをデータベースにマルチメディアフィールドを使って直接記録でき、そしてマルチメディア再生は Apple TV の様な機器への AirPlay ストリーミングをサポートする。
我々は、同社が我々が長いこと FileMaker Go でイライラを感じていたことの一つに対応してくれたのを見て嬉しく思う。ワイドエリアネットワーク対応の改良が両端でのソフトウェアでなされ、今や iOS ユーザーはサーバーがほぼ何処にあってもデータベースにアクセス出来る。FileMaker の iPhone 及び iPad アップスの以前のバージョンでは、同じローカルネットワーク上にあるか、或いは遠隔ネットワークに対して VPN 接続している時にのみデータベースを開くことが出来た。
FileMaker のレイアウト機能も変更され、行間と文字の大きさはピクセル単位でではなくポイント単位で設定出来る様になったが、これは Retina ディスプレイの世界ではとても重要である、何故ならばピクセルサイズは機器毎に大きく違うからである。(同社は、アップスは現行の iPhone 及び iPad モデルの Retina ディスプレイに対して最適化された異なるグラフィックスを自動的に提供することは無いが、解像度に依存しないことでこれは将来可能になるであろう。その間、テキストとこれらのアップスで描かれたある種の他の視覚要素は Retina ディスプレイの長所を有効活用するであろう。) iOS アップスは今やデータを Excel, CSV, そしてタブ区切りのテキストファイルへエクスポートする独自の能力も有しており、これらは直接メールで送り出せる。
FileMaker Go 12 は無料で入手できるが、平均的なユーザーはこれだけで有用であるとは思わないであろう;これらのアップス経由でアクセスされるデータベースは FileMaker Pro 12 又は FileMaker Server 12 で作成されるか或いはホストされていなければならない。
デスクトップ上では -- FileMaker Pro の核であるデスクトップバージョンは根本的に変化する程には変わらなかったが、それでも幾つかの良い追加がなされている。メディアを扱っている時、ユーザーは今や画像、ビデオファイル、或いは PDF の様な書類をデータベースウィンドウの対応する収容フィールドにドラッグ出来る。従来であれば、フィールドを選択するのに何回もクリックを繰り返し、ファイル選択の会話ボックスをナビゲートし、それからファイルを選択しそして添付するかアップロードするかしなければならなかった。ローカルのデータベースにユーザーが組み込んだメディアはそのデータベースファイルに保存するか、或いはユーザーのハードドライブ上のオリジナルにリンクすることが出来る。
FileMaker Pro 11 では幾つかの基礎的なチャート機能を導入したが、同社によればこれがとても人気が高かったので、FileMaker Pro 12 には Quick Charts ツールと更に幾つかの新しいチャートも追加された。そこにはバブル図、散布図、そして積み重ね棒グラフ又はカラムチャートが含まれる。
余力 -- FileMaker 製品群の一番遠い所で、同社は FileMaker Server 及び FileMaker Server Advanced 製品を 64 ビットモードで走るよう強化した。同社によれば、更なるメモリへのアクセスのお蔭で大きなデータベースの性能は改善されるという。同時に、FileMaker 12 には再構築された Web 出版エンジンが搭載され、Web ページ内に埋め込まれた FileMaker データの提供時、或いはユーザーが Web ブラウザ経由でデータベースに直接アクセスする時の実行速度が上がる。
FileMaker 12 Server 及び Server Advanced はまたデータベースユーザーに対してマルチメディアをストリームして提供する能力も得た。画像、オーディオ、そしてビデオファイルは集中的に管理そして暗号化され、そしてそのコンテンツは使用可能なネットワーク接続を通じて必要に応じて配信出来る。
思い切った行動 -- 我々は、この最新版の FileMaker に見られる進歩と改善はその前の数版のリリースに較べてより印象的であると感じている、そして殆どの本格的な FileMaker ユーザーは、とりわけ付属する iPhone 及び iPad アップスを使う人達は、アップグレードしたいと思うであろうと推察する。注意して欲しいのは、FileMaker 11 と FileMaker 12 のデータベースは相互互換ではないことで、アップグレードするなら全て、ハンドヘルドから、デスクトップ、そしてサーバーに至るまで全て一斉に行う必要がある。
コメントリンク12912 この記事について | Tweet リンク12912
文: Adam C. Engst <[email protected]>
訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>
Apple は Mac OS X 10.7 Lion および 10.6 Snow Leopard のユーザー向けに Java ライブラリのアップデートをリリースした。(2012 年 4 月 3 日の記事 "Java for OS X Lion 2012-001 and Java for Mac OS X 10.6 Update 7" を参照。)これらのアップデートはそれぞれのシステムに内蔵される Java ランタイムエンジンをバージョン 1.6.0_31 にアップデートするとともに、Java バージョン 1.6.0_29 に見られた複数の脆弱性を修正しているが「その最も深刻なものは信頼できない Java アプレットが任意のコードを Java サンドボックスの外で実行することを許す可能性があった点だ」という。これらのリリースノートで述べられていないのは、問題となった脆弱性が実際に Flashback マルウェアの新しい変種によって攻撃に利用されていたか否かという疑問に対する答だ。(2012 年 2 月 27 日の記事“変身する Flashback マルウェアに警戒を”を参照。)
[更新情報: 2012 年 4 月 12 日(米国時間)に、Apple は Flashback を除去するアップデートを Lion および Snow Leopard 用にリリースした。これらはソフトウェア・アップデート経由でも、また Apple のサポートダウンロードページから 直接にも入手できる。これらのアップデートについて詳しくは 2012 年 4 月 12 日の記事 "Apple Releases Flashback Malware Remover" をご覧頂きたい。このアップデートをインストールすると、あなたが意図的に Java を再有効化しない限りウェブページ上の Java が無効となる。]
高い感染率 -- ロシアにあるアンチウイルス開発会社 Doctor Web は、自社の調査の結果、550,000 台以上の Mac が、悪意ある Java アプレットを起動する JavaScript コードを含むよう改ざんされたウェブサイトをユーザーが訪れたことにより感染していることが判明したと発表した。その後 Doctor Web の Sorokin Ivan は tweet の中でその推定数を 600,000 台に増やした。[更新情報: その後 4 月 11 日(米国時間)までにこれらの数字は 300,000 台以下へと落ちた 。]
私たちはこれまで Doctor Web からの発言を一度も見たことがなかったが、これがどんな会社なのかという質問が TidBITS Talk に出たのに答えて、セキュリティアナリストの Brian McNett は次のように述べた:
私自身が Doctor Web という名前を聞いたのは今回話題に上った時が初めてだったが、その後 Sorokin Ivan が Twitter で F-Secure の Chief Research Officer である Mikko Hypponen に返信しているのを見た。私は Mikko をよく知っていて彼を十分信頼している。彼は信頼できる情報源を使う男だ。どうやら Doctor Web はロシアの会社で、その顧客も大体においてロシア人が中心なので、他の国でこの会社があまり有名でなくても不思議ではない。彼らの重要な発見は Flashback が感染したマシンの MAC アドレスを User-Agent として利用することによりそのコマンド・コントロールのサーバに接続しているという事実だ。これは珍しいやり方であって、そのお陰で彼らは他の誰よりも早く感染を追跡することができた。この発見を公に、しかもデータを添えて発表したことは、彼らの信憑性を増していると言えるだろう。
Mikko Hypponen は tweet の中で、F-Secure が Doctor Web と話をしたことと、この感染数が本物らしく見えることを述べている。また Kaspersky Labs がその後i独立の確認を出していて、Doctor Web の数字が妥当なものであり実際それらが Mac についての数字だと述べている。
Mac セキュリティ会社 Intego によれば、Flashback に感染した Mac は何も症状を示さず、ただ Flashback のコマンド・コントロールのサーバとの間の通信がネットワーク監視ツールによって探知され得るのみだという。最近の Flashback 変種でこの種の確認情報を私たちは見たことがないが、以前のバージョンの Flashback では、ウェブブラウザや、Skype など他のネットワークアプリケーションにコードを埋め込むことによって、ユーザ名やパスワードを取り込もうと試みていたことがある。そのような場合、影響を受けたプログラムは頻繁にクラッシュする傾向があった。セキュリティ会社 Sophos によれば、パスワードを盗み出す他に、Flashback は検索エンジンの結果出力を汚染して、(クリックスルー率を不正に増やすことで)広告詐欺をしたり、犠牲者をさらなる悪意あるコンテンツに誘導したり(ただしその Mac が既に汚染されていればそれは不要なことにも思えるが)する可能性があるという。
より懸念されるのは、Intego がここ数週間に 何十もの Flashback 変種 を確認したと言っている点だ。それは、Flashback の背後にいるプログラマーたちが素早い変更を加えていて、探知を避けたり、新たに判明した脆弱性を利用したりしようと活発に活動を続けていることを示唆している。その結果 Flashback の予防・探知・除去についての従来のアドバイスが時代遅れになってしまうかもしれない。ちなみに、Intego は Flashback を作成した人々が 2011 年に MacDefender を作成した人々と同一である ことを示す証拠を掴んだとも述べている。(2011 年 5 月 2 日の記事“偽の MACDefender アンチウイルスソフトウェアに注意”と 2011 年 5 月 25 日の記事“Apple、次第に深刻化する MacDefender 問題に反応”参照。)
Flashback 感染を検出する -- では、あなたが感染しているかどうかを、どうやって確かめればよいのか? セキュリティ会社 F-Secure が、現在の状態における Flashback 感染を検出する方法の説明を公表した。この説明文には感染したものを除去する手順も記されているが、そちらの手順は上級ユーザー以外にはお勧めできないものだと私たちには思える。
それはさておき、検出の手順は結局 Terminal で下記の defaults read コマンドを走らせることが要点だ。(F-Secure が述べているのは最初と最後のもののみで、残りは Safari 用のテクニックを Google Chrome、Firefox、それに iCab へ拡張したものだ。)いずれの場合も、それぞれのコマンドに対する返答の末尾に "does not exist" と表示されたならば、感染して いない 。(この defaults read コマンドは走らせても完全に無害だ。これは単に、それぞれのアプリケーションパッケージの内部にある Info.plist ファイルの内容に特定のデータが存在しているかどうかを調べようとしているに過ぎない。)
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Google\ Chrome.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
defaults read /Applications/iCab\ 4/iCab.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
もっと手軽な方法を提供するために、雑誌 Real Studio Developer の出版者 Marc Zeedar が、これらの defaults read チェックをカプセルに封入して、あなたが感染しているか否かを示したダイアログを表示する Test4Flashback というシンプルなアプリケーションを作った。このアプリケーションは、除去を試みることは一切しない。
Flashback に対しあなた自身を保護する -- さて、もしあなたが 10.7 Lion を使っていて、まだ Java をインストールしていないならば、あなたは Java を必要とする日が来るまで何もしなくてよい。もしあなたが Lion で Java をインストールしたか、あるいは 10.6 Snow Leopard を使っているならば、直ちにソフトウェア・アップデート経由で Apple の Java アップデートをインストールして、今回の変種の Flashback による感染を予防しておくべきだ。それから、インストール済みの Java を削除するのは難しいけれども、Java を無効に設定することは可能で、これはシステムワイドにも、また個々のウェブブラウザの中でも、設定できる。(私たちの知る限り、Flashback は完全にウェブベースの攻撃に依存している。)
あなたの Mac 全体にわたって Java を無効にするには、Java Preferences ユーティリティ (/Applications/Utilities にある) を開いて、チェックボックスのチェックを外しておけばよい。ただし CrashPlan や、その他 Java ベースのソフトウェアをあなたが使っている場合はこの方法は使えない。(Adobe のアプリケーションの中にも Java ベースのものがある!)
Safari の中で Java を無効にするには、Safari > 環境設定 を選んで「セキュリティ」パネルで「Java を有効にする」のチェックを外せばよい。
Google Chrome の中で Java を無効にするには、アドレスバーに about:plugins とタイプして、下の方へスクロールし、Java Plug-In 2 for NPAPI Browsers の Disable リンクをクリックすればよい。
Firefox の中で Java を無効にするには、Tools > Add-ons を選んで Plugins タブをクリックし、Java Plug-In 2 for NPAPI Browsers を無効にすればよい。
もしもあなたがほんの時たまのみ Java を使う必要があるのならば、あなたがめったに使わないブラウザの中でのみ Java を有効にしておき、Java を必要とする特定のサイト(例えばウェブ会議のツール)ではそのブラウザを使うようにしてはいかがだろうか。
例えば Intego の VirusBarrier のようなアンチウイルスソフトウェアをインストールしても、保護が提供される。これは、そのソフトウェアの基本的機能のお陰でもあるし、また Flashback マルウェアが特定のアンチウイルスプログラムを探知した場合に自らのインストールを中止するようになっているからでもある。
最後に一言。Flashback の変種の中には Java の脆弱性を利用せずに Mac に入り込もうとするワームも存在していることも見逃してはならない。そのようなワームは、ユーザーを騙して管理者パスワードを入力させることによって、それを攻撃の起点とする。そのような策略からあなたが身を守る唯一の手段は、あなたがパスワードの入力を求められた際に、それがたった今あなたが自ら実行したアクションに対する直接の反応として現われたものでない限り、例えばあなたが自ら意図的にダウンロードした新しいソフトウェアをインストールしようとしているような場合でない限り、疑いの目をもって対処することだ。
皆さん、くれぐれもご用心を!
コメントリンク12918 この記事について | Tweet リンク12918
文: Rich Mogull <[email protected]>
訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>
Dropbox や iCloud のようなサービスが極めて大きな人気を得た今、当然ながら、クラウドにあるデータのセキュリティに対する関心も非常に高まっている。私たちが最も慎重に扱うべき自分のデータをクラウドサービスに(あるいはどのようなサードパーティのプロバイダにでも)いったん預けてしまえば、他の人の手の中にある自分たちのデータがどの程度セキュアなのかと思案したくなるのはごく自然なことだろう。けれども時として、私たちの情報を見ることができるのが厳密に言って 誰 なのかを把握するのは、困難な問題だ。ことに、「セキュア」だの「暗号化された」だのといった業界用語が、必ずしもあなたのデータを見ることができるのが あなた 一人だけであることを意味しないのだからなおさらだ。
クラウドプロバイダはどのようにしてあなたのデータを保護するか -- クラウドのプロバイダがあなたのデータを保護する方法がたくさんあることもあって、実際の実装方法はサービスによってさまざまだ。すべてのコンシューマ向けクラウドサービスは、私たちクラウドの世界にいる者が public と呼ぶ種類のものであって、 multi-tenancy (マルチテナント機能) のために作られている。
クラウドサービスが public とは、インターネット上の誰もがアクセスでき利用できるということだ。これに対応するため、クラウドプロバイダたちは個々の顧客を互いに 隔離 し 分離 しておく必要がある。隔離するとは、つまりあなたのデータがそのサービスの中であなただけのための仮想の小さな領域の内部に保存されるようにし、人々がお互いに他の人のものを見ることができないようにするということだ。
実際的な意味を言えば、マルチテナント機能とはあなたのデータがバックエンドにおいて他のすべての人たちのデータと互いに混ぜ合わされるということだ。例えば、カレンダーサービスにおいてはあなたのイベントも他のすべてのユーザーたちのイベントも同じデータベースの中に存在していて、そのカレンダーのコードの働きによってあなたの面会予定が他の人のスクリーンにポップアップしたりしないようになっている。ファイルストレージのサービスでも同じことだ。すべての人たちのファイルが一緒くたに保存されているが、誰がそのファイルの持ち主なのかを、そのサービスのデータベースがきちんと管理している。例えば Dropbox のような一部のサービスでは、どんなファイルでもその一つのバージョンのみを保存して、違うオーナーたちからもそれを単に指し示すだけで運営していることもある。複数のオーナーたちがたまたま同じファイルを持っていれば、形の上ではその人たちはたった一個のインスタンスを共有しているわけだ。このやり方はまた一人のユーザーがファイルの複数個のバージョンを持っている場合にもストレージ量を減らす役割を果たす。
マルチテナント機能ではデータが互いに交じり合うけれども、クラウドプロバイダは隔離のテクニックを用いて、あなたがサービスを利用する際にあなた自身のデータのみが見えるようにしている。さらに分離のテクニックによって、あなたがそのシステムを使用中に悪意を持って他の誰かのデータを追いかけたりすることが絶対にできないようにしている。
だから、クラウドプロバイダのデータベースとアプリケーションコードとが、人々の情報をお互いに切り分けておけるための鍵となる。あなたの情報専用にたった一つのハードドライブがあるわけでもなければ、専用に一つのデータベースがあるわけでもない。そんなことをすれば、効率的でもないしサービスが運営を続けて行けるだけの費用効果もあり得ない。だからこそ、ファイルや電子メール、カレンダー項目、写真、その他あなたがクラウドサービスに保存しているあらゆる種類のデータに、マルチテナント機能が用いられているのだ。
もちろんすべてのサービスがそのようになっているわけではないが、圧倒的多数のサービスでそうなっている。
暗号化は救いの手なのか? -- マルチテナント機能のアーキテクチャには明白な問題点が二つある。一つ目は、もしもそのアプリケーションあるいはそのサービスが依存して走るデータベースに何らかの誤りがあれば、誰か他の人があなたのデータを見てしまうかもしれないという点だ。偶然それが起こってしまった事例も見たことがある。例えば去年 Dropbox で、どのユーザーでも他のどんなユーザーのアカウントをも見られるようになってしまったことがあった。インターネットには(クラウドであろうとなかろうと)誰かがウェブページや URL を操作して許可されていないデータにアクセスできるような状態に知らぬ間になってしまった実例の長い歴史があり、悪い連中はいつもそのような脆弱性を見つけようと目を光らせている。
二つ目は、最近報道でよく取り上げられている問題だが、クラウドプロバイダの従業員たちがあなたのデータを見る可能性もあるという点だ。もちろん、より良いサービスならば通常たくさんのポリシーやセキュリティコントロールを適用してそのような事態を予防しているけれども、理論的にはこれはいつでもあり得ることだ。
この種の懸念を和らげるための一つの方法は、暗号化によるものだ。暗号化は数学的処理とデジタル鍵(長い文字列)とを組み合わせることによって、あなたのデータを一見デタラメな文字列に見えるものへと変換する。暗号を解いてデータが読めるようにするためにはその鍵が必要となる。
大多数のクラウドプロバイダでは暗号化 (SSL/TLS によるもの、https URL で判別できる) を使ってあなたが利用する際のインターネット接続を保護しているので、ネットワーク上で誰もそれを傍受できないようになっている。(残念なことに、大手の電子メールプロバイダの中であなたの接続を必ずしも常には暗号化していないものも未だに存在しているが。)何らかのセキュリティ機能のリストの中に「暗号化」と書かれていれば、たいていの場合それが意味するのはこれだ。けれども、送信中のデータを暗号化することは、戦いの半分に過ぎない。プロバイダのデータセンターの中にあるあなたのデータについてはどうなのだろうか? あなたのデータをクラウドプロバイダの従業員たちの目から秘密に保とうと願うならば、ストレージの暗号化も必要となる。
実際、いくつかのプロバイダはデータセンターの中にあるあなたのデータを暗号化している。それをするためには三つの方法がある:
クラウドプロバイダが知っていて管理する一つの鍵(または一連の鍵)を用いて、すべてのユーザーのすべてのデータを暗号化する方法。
クラウドプロバイダ が管理するユーザーごとの鍵を用いて、個々のユーザーのデータを暗号化する方法。
個々の ユーザー が管理する鍵をユーザーごとに設定して、そのユーザーのデータを暗号化する方法。
圧倒的多数のクラウドサービスが(もし暗号化をしているなら)一つ目の方法を採用している。つまり、すべてのユーザーで共有される鍵をクラウドサービスが管理している。なぜなら、セットアップし管理するのが最も簡単だからだ。けれども困ったことに、これでは大したセキュリティは提供できない。依然としてクラウドプロバイダにはあなたのデータを読むことが可能である上に、もしもアタッカーがそのサービスのウェブアプリケーションを破ってしまえば、データもその人物に読まれてしまう可能性が高い。(データはウェブサーバに到着するよりも前に暗号解読されるからだ。)
ではいったいなぜこのような暗号化をするのだろうか? それは主として、ハードドライブが失われたり盗まれたりした場合に保護できるからだ。クラウドプロバイダは膨大な数のドライブを持っているので、これは世界最大の懸念というほどのことではないし、仮に特殊なソフトウェアなしにデータが読み取れたとしても、特定のユーザーに的を絞ってドライブを盗み出すのは不可能に近いだろう。また、プロバイダとしては「あなたのデータを暗号化します」という宣伝文句をマーケティングに使えることも意味する。Dropbox はこの方法であなたのデータを暗号化している。
二つ目の方法は、それに比べてもう少しだけセキュアだ。個々のユーザーのデータをそれぞれの鍵で暗号化することで、場合によっては、一人のユーザー(あるいは一人のアタッカー)が別の人のデータを手に入れられる可能性が減る。ただしそれは、アタッカーがシステムのどの部分に侵入したかに大きく依存するし、アプリケーションが間違った鍵を間違ったユーザーに渡してしまわないためにきちんとしたプログラミングがされていることにも依存している。どの程度多くのサービスがこのやり方をしているのかを知るのは困難だが、正しく実装しさえすればかなり効果的になり得る。この方法の最大の弱点は、クラウドプロバイダの従業員たちならばやはりあなたのデータを読めてしまうことだ。なぜなら、彼らは鍵にアクセスできるのだから。
三つ目の方法こそ、最良のセキュリティを提供する。ユーザーたるあなたが、あなたのデータへの鍵を持っている唯一の人物だからだ。あなたのクラウドプロバイダでさえ、決してあなたの情報を覗き込むことができない。何か問題があるかって? この方法では、いろいろなことが... ほとんどすべてのことが、うまく行かなくなる。まず何よりも、あなた自身が鍵を管理する責任を負うことになり、もしも鍵をなくせば、あなたはデータにアクセスできなくなってしまう。永遠に。また、ウェブサーバでさえあなたのデータを読むことができないので、ウェブページ上でデータに関する作業をすることが、不可能とは言わないまでも、極めて困難になってしまう。こうして、この方法はいくつかの種類のサービス(多くはファイルの保管や共有)では使えるけれども、サービスによっては使うことができないし、使えるサービスにおいてもその対象は自分の鍵を管理できる能力のある上級ユーザー のみ となってしまう。
いつも言えることだが、これらの選択肢を比べればセキュリティと利便性との二律背反がくっきりと浮き彫りになる。
クラウドプロバイダがあなたのデータを読めるかどうか判別する方法 -- 上記の三つの方法のうち二つで、プロバイダはあなたのデータを読むことができる。でも、あなたのデータがそれに該当しているかどうかを、あなたはどうやって知ることができるだろうか?
あなたのクラウドデータがプロバイダからアクセス可能となっていることの兆候としては、互いに異なる(けれど類似している)ものが三つ考えられる:
もしもウェブブラウザの中で、アカウントのパスワードのみを入力しただけであなたのデータを見ることができてしまうならば、プロバイダもそれを読める可能性が極めて高い。あなたがウェブブラウザの中でデータを読めて、それでもプロバイダに対してはデータが隠されているためには、そのサービスが複雑な JavaScript コードまたは Flash/Java/ActiveX コントロールを用いてローカルにデータの暗号解読をして表示するのが唯一の手段だ。
もしもそのサービスがウェブアクセスとデスクトップアプリケーションの両方を提供していて、かつあなたが同じアカウントパスワードを使ってその両方でデータにアクセスできるならば、プロバイダもそれを読める可能性が高い。その理由は、おそらくあなたのアカウントパスワードがあなたのデータの保護のためにも使われている(通常はあなたの暗号化鍵のロックを外すためにあなたのアカウントパスワードが使われる)からだ。プロバイダが巧みにものごとを構築して、同じパスワードを異なった方法で利用してデータの暗号化とウェブアクセスの認証とに使い分けることも技術的に言えば可能ではあろうが、実際にはそんなことは行なわれていない。
もしもあなたが新しいデバイスやアプリケーションからもあなたのアカウントのユーザ名とパスワードを使ってクラウドサービスにアクセスできるならば、おそらくプロバイダもあなたのデータを読める。これもまた、上の項目のもう一つのバリエーションに過ぎない。
今回この話題が報道で取り上げられて大騒ぎになるよりもはるか以前から、私が Dropbox が私のファイルを読むことは可能だと知っていたのは、まさにこれが理由だ。ログインしただけで私のファイルが読め、iPad でアカウントのパスワードを使っただけで他のパスワードなしにすべてが見えるのを目にするやいなや、私は自分のデータを暗号化している鍵が Dropbox に管理されていると確信した。全く同じことが企業を専門とするファイル共有サービス Box にも言える。(ただしそこのサイトを読むだけでは判断が難しい。)もちろん、Dropbox が保存するのはファイルのみなので、あなたのファイルを Dropbox が目にするより以前の段階であなたが自分でファイルに暗号化を施しておくことはできる。この点については 去年私が Securosis に書いた記事 に説明しておいた。
そして iCloud はどうか? iCloud では、私はたった一つのユーザ名とパスワードしか持っていない。iCloud では、豊かでよくデザインされたウェブインターフェイスが提供され、それを使って私は個々の電子メールメッセージ、カレンダーイベント、その他を管理できる。そのウェブサイトで使っている同じユーザ名とパスワードで、新たなデバイスやコンピュータを登録することもできる。つまり、そもそもの初めから、Apple は私のコンテンツを読むことが可能だ。この点は、最近 Ars Technica が記事にした通りだ。
だからと言って、Dropbox や iCloud,その他のサービスがセキュアでないことにはならない。概して彼らは従業員たちに盗み見をさせないために、技術的にも会社のポリシーによる制限としても、広範囲にわたる規制を施している。けれどもそれは、この種のサービスがあらゆる場合においてあらゆるユーザーのために適しているのではないということをも意味している。特に、契約上、あるいは法律上の理由で、特定のデータを機密に保つ義務を負っている企業や政府機関などでは問題となるだろう。
正しいやり方で -- バックアップサービスの CrashPlan は、異なるユーザーのニーズに合わせて柔軟性のある暗号化を提供する実例であって、ここは三つの別々のオプションを提供する。(CrashPlan で自分に適したオプションを選ぶための詳細は、Joe Kissell の "Take Control of CrashPlan Backups" をご覧頂きたい。)
第一に、デフォルトの選択肢では、あなたのデータはあなたのアカウントパスワードにより保護される鍵を用いて暗号化される。この方法でもあなたのデータは他のユーザーたちから分離され保護されるが、あなたは CrashPlan ウェブサイトや CrashPlan Mobile アプリを使ってファイル情報を一覧することができる。けれども CrashPlan 社の従業員たちはやはりあなたのデータにアクセス可能だ。
第二に、もっと強いセキュリティが欲しいならば、あなただけが知っている別個のバックアップパスワードを追加することができる。このやり方でもやはり CrashPlan ウェブサイトや CrashPlan Mobile アプリを使ってアクセスができるが、CrashPlan 社の従業員たちは(あなたがその別個のパスワードを入力した後のウェブセッションの最中にはひょっとすると違うかもしれないが)あなたのデータを見ることができない。アタッカーたちもあなたのデータにアクセスできない。ただし、力ずくのクラッキングやソーシャルエンジニアリングの方法などでパスワードが狙われる可能性があることは忘れてはならない。
最後に、第三のオプションとして、あなたが独自にデバイスごとの暗号化鍵を生成できるようにすることもできる。この場合、CrashPlan はその鍵を見ることも知ることもないので、あなたのバックアップを読めるのは、純粋にあなたのみだ。(ただし、あなたからその鍵を叩き出すことのできる人は別だ。人を叩きのめす棍棒の威力を、決して侮ってはいけない。xkcd の漫画が、見事にその点を突いている!)技術的には個々のデバイスごとにそれぞれ異なる暗号化鍵を使って、たとえ一つのシステムが侵入を受けたとしても、他のデバイスからのバックアップは影響を受けないようにすることもできる。(すべてのデバイスで同じ暗号化鍵を使うよう設定することもできる。)この方法は非常に管理が難しく、平均的なユーザーの必要をも技量をも、大きく超えていることは明らかだろう。(そう、私だってこのオプションは使っていない。)
だから、もしもあなたがアタッカーからも、クラウドプロバイダの従業員たちの盗み見からもデータを絶対的に安全に保ちたいのならば、パスワードまたは暗号化鍵をあなたのみが知っているような方法を使うデータ暗号化オプションを提供するサービスを探すべきだ。あなたが次に調べてみたクラウドサービスでそのようなオプションが提供されていないならば、そのプロバイダの従業員たちがあなたのデータを読める可能性が技術的には存在していると分かる。そして、クラウドプロバイダがデータを読めるという見出しが次に大きな話題となった際には、あなたは友だちに向かって得意満面で、そんなことはとっくに知っているさと言ってやれるだろう。
コメントリンク12920 この記事について | Tweet リンク12920
文: TidBITS Staff <[email protected]>
訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>
TinkerTool 4.8 -- Marcel Bresink が TinkerTool のバージョン 4.8 をリリースした。Mac OS X 内部のさまざまの設定を調整できるようにする、システムユーティリティだ。(以前、Matt Neuburg が取り上げている。2012 年 10 月 29 日の記事“Lion でフラストレーション? TinkerTool をお忘れなく”参照。)TinkerTool は引き続き Mac OS X 10.6 Snow Leopard でも使用できるが、今回のアップデートは 10.7 Lion におけるシステムの挙動をコントロールする新たな方法を追加することに焦点が絞られている。Launchpad や Mission Control のアニメーション、Spaces や Mission Control の間で移動する際の遅延時間、Dock Stacks をスクロールして開く機能、などだ。また、iTunes 10.4 かそれ以降で新しいトラックを再生する際に Dock にポップアップ通知を追加できるようにし、Quick Look でテキストファイルをプレビューしている際にコピー操作を可能にし、ウィンドウの縁を掴んでリサイズする際に厳密に縁の上でなくても操作できるよう設定もできる。10.6 Snow Leopard よりも以前のバージョンの Mac OS X を走らせている人のために、TinkerTool は古いバージョン用に別々のアプリケーション (TinkerTool Classic は 10.1 Puma、10.2 Jaguar、10.3 Panther 用、TinkerTool Classic Generation 2 は 10.4 Tiger および 10.5 Leopard 用) としても入手できる。(無料、1.7 MB、リリースノート)
Hazel 3.0.4 -- Noodlesoft はそのファイル・クリーンアップユーティリティの改良を続けて、最近アップデートしたバージョン 3.0 (2012 年 3 月 4 日の記事“Hazel 3.0.1”参照) を Hazel 3.0.4にアップデートした。今回のリリースでは、パターンの編集中にトークンをクリックして追加できるようにしたり、Run Rules サブメニューの中で一時停止しているフォルダに一時停止アイコンを表示するなど、数多くのユーザーインターフェイスの挙動を変更した。カスタムトークンを削除してもそれを使っているパターンから削除されなかった問題や、同じ名前で複数のカスタムトークンが作成されていたバグが修正された。さらにこのアップデートでは数字を含むカスタムトークンのフォーマッティングが正しくなかったのを修正し、Growl メッセージがスラッシュをコロンに変換するのを防止し、古いキーワード属性を使ったルールを開いた際のクラッシュを防止し、Throw Away Duplicate Files オプションが設定されている状態でコピーアクションを使う際のバグを修正している。(新規購入 $25、アップグレード $10、5.0 MB、リリースノート)
SpamSieve 2.9 -- C-Command Software が SpamSieve 2.9 をリリースして、メンテナンスに関する多数の問題点に対処を施した。このスパムフィルタリングソフトウェアの今回のアップデートでは、Apple Mail で「良い」Exchange メッセージを学習するやり方を改良するとともに、Microsoft Outlook で到着するメッセージを処理する方法も向上させている。また、GNTP を経由した Growl 通知にも対応し、Herald 通知プラグインを通してメッセージの迷惑メール判定を学習する機能にも対応した。その他の変更点としては、スコアスクリプトに新たな自動学習パラメータを追加すればケースバイケースで環境設定における設定に優先して扱うことができるようになり、Apple Mail において Change Settings コマンドのメールボックス移動に関する挙動を変更し、より良いトラブルシューティングのために常時稼動 AppleScript を調整している。また SpamSieve は今回から OS X 10.8 Mountain Lion の Gatekeeper セキュリティ機能に適合するためコード署名を組み込んでいる。それから、エラー処理の改善やその他のバグ修正などもこのアップデートには施されている。(新規購入 $30、無料アップデート、9.3 MB、 リリースノート)
App Tamer 1.2.1 -- St. Clair Software が App Tamer 1.2 をリリースした。我らが Adam Engst も、そのメニューバーアイコンの変更にいくらか寄与しているようだ。SSt. Clair Software のブログ記事によれば、この CPU 監視ユーティリティの今回のアップデートは、あるユーザーからカラフルなメニューバーアイコンにして欲しいという要望が届いたことがきっかけとなったけれども、その後になって見知らぬ CPU プロセスが MacBook のバッテリを消耗させていたという Adam の記事 (2012 年 2 月 16 日の“Lion での iCloud 関連の減速問題を解く”) を読んだ作者が、その方向で進化させることに心を決めたという。より良くあなたの注目を得るために、App Tamer 1.2 はそのメニューバーアイコンを動的にカラー付けできるようになり(この機能を App Tamer の環境設定で有効に切り替えると)CPU 使用量が増大して 100 パーセントに近づけば(薄い黄色から濃い赤へと)次第に鮮やかな、より警戒的な色に変化する。また、このメニューバーアイコンはスピードメーター風の針を使ってプロセッサの負荷を反映した表示もするし、アイコンの隣にパーセンテージを表示するように設定もできる。バージョン 1.2 では起動・終了するすべてのプロセスを表示することができなくなっていた問題点を修正し、アプリケーションアイコンが Dock になくとも App Tamer をダブルクリックすればそのウィンドウが開くようにした。その後すぐに出された 1.2.1 アップデートでは、非常に高い負荷の下で動作する際の問題を解決するとともに、Mac OS X 10.5 Leopard でのメニューバーアイコンの動作を修正した。(新規購入 $14.95、無料アップデート、3.6 MB、リリースノート)
文: TidBITS Staff <[email protected]>
訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>
今週お読み頂きたい記事としては、Stephen Fry が広範囲にわたる観察に基づいて iPhone のリリース以後 Apple の競合各社が繰り返しへまをし続けてきたと語る記事と、New York Times の Nick Bilton が中国の労働環境に問題があることを知りながら使ってきた Apple 以外の会社がすべてこの問題についてだんまりを決め込んでいることに関して全体像を見通した記事がある。
Stephen Fry が語る: iPhone の競争相手には何が欠けていたか -- 今やこの分野では Apple が頂点にいるが、これほどの成功を得たのはただ単にその製品のみが理由ではない。多芸多才の Stephen Fry は 2007 年よりもずっと以前から複数の携帯電話と複数のスマートフォンを持ち歩いていて、その彼が語るのは、iPhone の登場以後に Apple の競合各社が犯した誤りが Apple による市場の再形成に大きく力を貸したという点だ。
労働条件についてあまりにも沈黙し過ぎ -- ここ二ヵ月ほどの報道の多くを見れば、そのデバイスの大部分を製造している中国における労働者の安全に対して Apple が酷い仕打ちをしてきたという印象を強く受けるかもしれない。けれども、Apple の最大のメーカーの一つ Foxconn は、世界中の大会社の大多数のために携帯電話、コンピュータ、タブレット機、その他テクノロジー製品を製造している巨大企業であるというのが実態だ。New York Times の Nick Bilton は、他の会社、Dell、HP、Samsung、Microsoft などにも、労働条件の問題についてどのような対処をしているのか問い合わせてみた。その返答は? 完全な沈黙か、紋切り型のプレスリリースのみで、実際の情報はほとんど返ってこなかった。
TidBITS は、タイムリーなニュース、洞察溢れる解説、奥の深いレビューを Macintosh とインターネット共同体にお届けする無料の週刊ニュースレターです。ご友人には自由にご転送ください。できれば購読をお薦めください。
非営利、非商用の出版物、Web サイトは、フルクレジットを明記すれば記事を転載または記事へのリンクができます。それ以外の場合はお問い合わせ下さい。記事が正確であることの保証はありません。
告示:書名、製品名および会社名は、それぞれ該当する権利者の登録商標または権利です。
TidBITS ISSN 1090-7017©Copyright 2012 TidBITS: 再使用はCreative Commons ライセンスによります。
, 
日本語版最終更新:2012年 4月 14日 土曜日, S. HOSOKAWA