Linux/CGP作業メモ

■WhisperCore 0.5.5 アップデートメモ
　セキュア環境を目指すAndroidカスタムROM，WhisperCoreが0.5.4から0.5.5にアップデートしているので内容のメモ。

　WhisperCore
　http://www.whispersys.com/whispercore.html
　WhisperCore 0.5.4アップデートメモ
　http://blog.isnext.net/issy/archives/1370
　WhisperCore 0.5アップデートメモ
　http://blog.isnext.net/issy/archives/1272
　WhisperCore 0.4アップデートメモ
　http://blog.isnext.net/issy/archives/1173
　NexusOneにWhisperCoreをインストールしたメモ
　http://blog.isnext.net/issy/archives/1094

■WhisperCore 0.5.5の改良点
・cacerts.bks untrusted.bks 2つの証明書DBを追加
・全アプリケーションのSSL通信でuntrusted.bksにマッチした接続を拒否

　今回は以下の問題への追加対応。アプリケーション毎に異なるSSL証明書の取扱に対して（Firefoxなどは自前でtrusted DBを持っていたりする）、Androidフレームワークを独自拡張することで、全てのアプリケーションでSSL接続の成立プロセスの中でuntrustedな証明書かどうかuntrusted.bksのデータと比較して確認し、もしuntrusted.bksとマッチする場合にはSSL接続を拒否するという仕組みを導入。これによりアプリケーション毎に必要だった対応を不要としデバイスの安全を確保した。

　認証局が不正なSSL証明書を発行、Googleユーザーを狙う攻撃が発生
　http://www.itmedia.co.jp/enterprise/articles/1108/31/news017.html

■アップデート
　既にWhisperCoreをインストールしている場合は アプリ一覧から
　WhisperCoreUpdaterを開き、Check for Updatesボタンを押すだけ
　新規インストールはこちらから（Nexusシリーズのみ対応）

　Android OSのアプリケーション任せだった部分をシステム全体で担保するというWhisperCoreの実装は非常にリーズナブルであると思う。DigiNotarのRoot CA証明書を削除したという対応は多く見られたが、DigiNotarの中間証明書が及ぼす影響まで含めて対応を検討し実装を行うというのは非常に素晴らしい試みだと思う。海外ではTwitter等でもそれなりに話題になっているWhisperCoreだが、国内では残念ながらほとんどtweetやblog記事を見かけないのは残念に感じる。もうちょっと注目してもらえるといいのになぁ…

(まだ評価されていません)

Loading...

■法人向けAndroid端末管理(MDM)ソリューションメモ
　企業がAndroid端末を導入しようとする際に、アンチウイルス等のセキュリティ製品に加えて検討すべき、アプリ制御等の構成管理機能を含んだMDMソリューションを調べてみたのでメモ。紹介順に大意なし。製品詳細は各リンク先参照。

SPPM for Android
http://www.axseed.co.jp/
http://www.axseed.co.jp/?page_id=1149

CLOMO
http://www.i3-systems.com/
http://www.i3-systems.com/cloud_mobile_management.html

Optimal Biz
http://www.optimalandroid.jp/
http://www.optimalandroid.jp/biz.html

ConnectOne
http://www.connectone.co.jp/
http://www.connectone.co.jp/product/android.html

AirWatch
http://www.datacontrol.co.jp/
http://www.datacontrol.co.jp/products/airwatch/index.html

VECTANT セキュアデバイスマネージメント
https://www.marubeni-access.com/
https://www.marubeni-access.com/topics/20110907-16.html

Trend Micro Mobile Security（TMMS） 7.0
http://jp.trendmicro.com/jp/home/
http://jp.trendmicro.com/jp/about/news/pr/article/20110706102858.html

KDDI 3LM Security
http://www.kddi.com/business/
http://www.kddi.com/business/3lm_security/index.html

ビジネス便利パック for Android
http://www.kddi.com/business/
http://www.kddi.com/business/benri_android/index.html

スマートフォン遠隔制御サービス
http://www.docomo.biz/
http://www.docomo.biz/html/service/remotecontrol/

ISM CloudOne
http://www.quality.co.jp/
http://www.quality.co.jp/company/newsrelease/news_20110906.html

Sophos Mobile Control
http://www.sophos.co.jp/
http://www.sophos.co.jp/products/enterprise/encryption/mobile-control/

SKYSEA Client View for Android
http://www.skygroup.jp/
http://www.skygroup.jp/news/110711_2/

McAfee Enterprise Mobility Management（EMM）
http://www.mcafee.com/japan/
http://www.mcafee.com/japan/products/enterprise-mobility-management.asp

ComputraceMobile for Android
http://www.absolute.com/ja-JP/
http://www.absolute.com/ja-JP/products/computrace/cm-overview/features.aspx

Android Biz Suite
http://www.sunmoretec.co.jp/
http://www.sunmoretec.co.jp/news/2009/press_20091001.html

mdport MDM for Android
http://www.t-gaia.co.jp/
（製品ページ無し？CEATECで確認、開発元がAXSEEDなのでSPPM for Androidと同じか？）

意外と国産ソフトウェアががんばっていて驚いた。MDMにおいては技術的手法よりも、端末調達からキッティング・配布・運用・修理交換・回線廃止まで総合的な運用サイクルをきっちり想定してから何を利用すべきか判断すべきと思う。またその過程で自社に必要なセキュリティ要件を定義できていないと製品選択もできないし、使わない余計な機能のためのライセンスコストを払い続けることになりかねないため、事前の要件設定が最も肝心なポイントになる。そういう観点ではキャリアが直接提供するサービスは企業規模が大きいほど運用面コスト面でのメリットが大きくなるかもしれない（調達から廃止までワンストップで構築できる可能性がある）。マルチキャリア・マルチデバイスの場合には技術的対応を重視する方がメリットが高いかもしれない。

昨今コストダウンのため法人名義で端末を貸与するのでなく、従業員の私物を社用で利用するケースを容認する事例が増えているようで、少々心配になる。スマートフォンの場合には、個人情報などが含まれる確率が極めて高く扱えるデータの範囲が広く自由度が高い分、利用者個人の意志に関わらず必要な時点で必要な対処ができるよう、法人が第一優先で管理権（データの消去権としてもいい）を持てるようできる限り貸与による運用を行うことが望ましいと考える。従業員との間でトラブルを起こさないためにも実はかなり大きなポイントになると思う。

上記の製品を調べる過程でKDDIがAndroid向けに相当本気で取り組んでいることを改めて実感した。自身で複数のサービスを提供するのみならず、他製品を作成している会社の取引先等にも名前を連ねていたりして、当該サービスを実現するまでにいろいろと努力があったことを伺わせる。docomoも同様と思うがあまり注目されていないのは、サービス名が「遠隔制御サービス」という管理っぽくない名称のせいのような気がする。SoftBankについてはアンチウイルスやワイプ等の基本サービスはあるが、アプリ制御などの法人として欲しい部分がないので独自にMDMの仕組みを構築することが必須になる。

個人的にはWhisperCoreのような本質的にセキュアを実現しようとする試みと連携できるMDM製品が出てきてくれることに期待したい。

(まだ評価されていません)

Loading...

■WhisperCore 0.5.4アップデートメモ
　セキュア環境を目指すAndroidカスタムROM，WhisperCoreが0.5.2から0.5.4にアップデートしているので内容のメモ。

　WhisperCore
　http://www.whispersys.com/whispercore.html
　WhisperCore 0.5アップデートメモ
　http://blog.isnext.net/issy/archives/1272
　WhisperCore 0.4アップデートメモ
　http://blog.isnext.net/issy/archives/1173
　NexusOneにWhisperCoreをインストールしたメモ
　http://blog.isnext.net/issy/archives/1094

■WhisperCore 0.5.4までの改良点
・Android 2.3.5アップデート (0.5.3)
・各種バグ修正 (0.5.3)
・DigiNotar Root CA証明書を削除 (0.5.4)

　CA証明書の削除は以下の問題への対応。セキュリティを看板にするカスタムROMの対処が迅速なのは好感が持てる。

　認証局が不正なSSL証明書を発行、Googleユーザーを狙う攻撃が発生
　http://www.itmedia.co.jp/enterprise/articles/1108/31/news017.html

■アップデート
　既にWhisperCoreをインストールしている場合は アプリ一覧から
　WhisperCoreUpdaterを開き、Check for Updatesボタンを押すだけ
　新規インストールはこちらから（Nexusシリーズのみ対応）

■SDK
　見過ごしてしまっていたが6月にWhisperCoreのAPIを利用可能なSDKがリリースされていた。現状はアプリケーションからroot権限無しにiptablesとpermission設定を行える部分が提供されているらしい。オンラインドキュメントも提供されている。興味の在る方は以下からどうぞ。
　http://www.whispersys.com/sdk.html

■WhisperCoreでカレログ対策
　ちょうどプライバシー関連で話題になっているカレログの対策としてWhisperCoreは有効な対処が実装されている。電源投入時のパスフレーズ入力とトラップによる強力な保護や、通信時にアプリ毎に通信先を制御できる機能、0.4で実装された指の軌跡によるロック破り対策、0.5で実装されたselective permissionsによるプライバシー情報へのアクセス禁止など、勝手に何かされてしまうということに対して非常に有効な対応が組み込まれている。

　Android環境においてはMDMによる構成管理など無断でのアプリ導入などを禁止する方法は他にもあるが、多くは法人向けに提供されているため個人で気軽に利用するのは難しいように思われる。WhisperCoreはNexusシリーズでしか動作しないという問題はあるが、カレログ対策には非常に有効なカスタムROMであることに間違いないと思う。非常に面白い実装だと思うので今回の件で少し注目されると嬉しい。

(1 投票, 平均値/最大値: 5.00 / 5)

Loading...

■au IS12T Fun Lounge版 追加レビュー
　Microsoft主催のIS12T発売イベント「Fun Lounge produced by Windows Phone」に参加して、改めてIS12Tをじっくり触ってきたのとテクニカルセッションでMSの開発担当の方にいくつか質問させていただいたので、その辺を簡単に追加レビューしておきたいと思います。ちなみに前回のレビューは以下です。

　au IS12T デザイニングスタジオ版レビュー
　http://blog.isnext.net/issy/archives/1246

　イベント自体は主催自らパーティと称する気楽な感じのイベントでしたが、たくさんのIS12TやHTC HD7など複数のWP7端末の展示をはじめ、多数のMS製品のショールーム的なスペースで行われたので、ガジェット好きな方にはなかなか興味深いイベントになっていたのではないかと思います。会場ではIS12Tが相当多数展示されてかなり自由に触れたのに加えて、多数のMS社員さんが説明員として配置されていて気軽に質問できるように配慮されており、とても参加者に喜ばれていたように感じました。

　今回IS12Tの製品版ということで、前回のレビューで確認しきれなかったことをいくつか確認してきました。まずはDLNA対応ですが、こちらはLinkCabinetというアプリで実現されているのですが、DLNAクライアントとしては動作せずDTCP-IPにも当然対応していません。あくまでもIS12Tの端末内データをDLNA対応機器で再生できるようにするということで、接続したネットワーク上にDLNAレンダラーが存在する必要があるようです。DLNAサーバとして動作するわけでもないらしいので、他のDLNAクライアントから接続してコンテンツを参照するということはできないようです。Android端末のDLNA対応機は多くがサーバとして動作するタイプのものなので同じように考えているとちょっと残念なことになるかもしれません。

　IS12Tの音質も気になっていたので、ヘッドホンジャックにいつものVictorのHA-FXC71-Bを接続し試聴してみました。Android端末だと通常MicroSDに入れた音楽ファイルを再生するとかするのですが、IS12TにはMicroSDスロットはないので、IE9で自サーバ上に置いた試聴用mp3にアクセスする形で再生してみました。WP7は音質がいいと宣伝されていたところOMNIA7の音質が軽くて疎でバランスが酷い印象だったことでこれは正しくないと感じていたので正直あまり期待はしていなかったのですが、IS12Tは違いました。HA-FXC71-Bと相性がとてもいいようで、高音から中音は素晴らしくクリアで音場も広く密度感も十分に感じさせます。そして低音がしっかり引き締まって全体のバランスをとてもうまくまとめており、正直に言ってこれまで試聴したどのスマートフォンよりも素晴らしいと思いました。女性ボーカルの表情がとても美しく聴こえます。楽曲にもよるかもしれませんが、J-POPやボーカル中心に聴かれる場合には、IS12TとHA-FXC71-Bの相性は本当に最高ではないかと思いました。オススメです。正直音楽プレイヤーとしてだけでもIS12Tが欲しいと感じました。（価格が安ければですが…w）

　前回のレビューで文字入力時に割とミスタッチが多かったと思ったので、こちらも改めて確認してみましたが、これはあまり変わりませんでした。というかMSの方もプレゼンの最中結構文字入力以外でもミスタッチする率が高くて、やっぱりなんだか過敏気味なんだなと思いました。押したところと違うところが反応するというよりは、押したいところの手前で先に反応されちゃってミスになるというような印象です。これはおそらく慣れで在る程度解決できると思うので、深刻な問題というわけではありません。むしろカーブフリックのデモを見て、これを快速に操作できるようにするため、敢えてそのようなチューニングにしているのかなと思ってしまいました。

　今回テクニカルセッションで多少専門的な質問をする機会があったので、二点ほど質問してみました。まずは気になっていたSSL/TLS renegotiation対応の検証でMangoになっても標準搭載ブラウザのIE9がStartSSLのCA証明書に未対応（最近のブラウザはほとんどが標準で対応しているのに）だったことについて、どうしたら対応させる（証明書の登録をする）ことができるのか質問してみました。が、簡単に説明で対応することはできないようで、MSのblogで記事として掲載するということでした。StartSSLは個人でも無償利用可能で非常に便利ですし、ブラウザでのアクセスだけなら一定の操作で先の画面を見ることが可能なのですが、ActiveSync時などはエラーになってしまい回避方法がないため対応はぜひしてもらいたいと思っています。blogの公開に期待しています。

　※8/29にblogが追加されました。フォローありがとうございます。比較的簡単な手順で追加することができるようです。
　　Windows Phone と 証明書について (8/28 イベントフォローアップ)
　　http://blogs.msdn.com/b/aonishi/archive/2011/08/29/10201508.aspx

　もうひとつはWindows Phone 7 Connector for Macの日本語対応についてです。本日のデモの中心人物でWP7系の記事に最近よく登場されているエグゼクティブプロダクトマネジャー石川大路さんに直接質問させていただいたのですが、「(Windows Phone 7) Connectorって何だっけ？」と返されてガーン！すかさず別の方が「Macと接続するやつですよ！」とフォローしてくださったのですが、もうこの時点で国内での扱いのレベルが容易に想像されてしまいます…。一応日本語化の取り組みはされているそうですが（国内ではなく米国側でされているらしい言い方でした）まだリリース時期は未定とのことでした。ただMango対応としてちゃんとやっていますよということだったので、もうしばらく待ってみる必要がありそうです。

　IS12Tは25日に発売されてから、3日で既に白ロムが３万前半、MNP一括も条件付き0円が出てくるなど、ものすごい勢いで値下がりをしているのでちょっと先行きが心配ではありますが、むしろ探せば購入しやすい条件が揃っているということなので、ロックフリーでもありますし興味の在る方はぜひ試されてもいいのではないかと思います。少なくとも音楽プレイヤーとしては個人的にはとてもいい選択肢になるのではないかと思います。

【おまけ】
　さて、ところで今日のFun Loungeの中でMicrosoftとしてWP7の活用事例で、音楽や動画をZuneで取り込みSkyDriveにアップしてストリーミング再生で聴くというようなデモをしていたのですが、これってMYUTA事件と同じことになるんじゃないかとちょっと心配してみたり。MS的には大丈夫という見解でプッシュしてるのかなぁ？それとも自分の知る情報が古いままなのかな…。テクニカルセッションで質問することでもないかと思って控えていたら、その後聞くのを忘れてしまった…。個人的にはSkyDriveにアップするとかしないからいいんだけど、やっぱりちょっと気になる…。

(1 投票, 平均値/最大値: 5.00 / 5)

Loading...

■Scientific Linux 5.6でrootkitチェック
　Scientific Linux 5.6でrootkitチェックを行った時のメモ。当然ながらインターネットからアクセスできる状態にする前にやっておくこと。Scientific Linuxではepelのリポジトリを使ってchkrootkitとrkhunterが利用可能なのでそれらを利用する。通常はyum-conf-epel-5-1をインストールすることでepelが利用可能。現環境ではphp等の関係でIUS Community Projectを利用しており、epelが導入されているのでそのまま利用可能だった。CentOSも同様の手順で利用可能。どちらも古くからあるツールだがepelに含まれることで使いやすくなっているのがありがたい。

■chrootkit
インストール
　# yum install chrootkit
チェック
　# chrootkit　（フル出力）
　# chrootkit -q（問題のみ出力）

chkrootkitはアラートが出た場合それを無視する設定をしないことを推奨している模様。以前はignoreする設定方法があったと思うのだが、今回探してみたが見つけられなかった。

■rkhunter
インストール
　# yum install rkhunter
チェック
　# rkhunter —update（アップデート）
　# rkhunter -c –createlogfile
　一度実行して出力確認する
　標準以外のリポジトリ使用時はアラートが出る可能性があるので
　内容を確認して”Checking for prerequisites”でWarningが出るようなら
　以下を実行する
　# rkhunter –propupd
　再度チェックを実行してアラートが消えることを確認する
　# rkhunter -c –createlogfile

rkhunterは自動でcron.dairyに組み込まれるが、chkrootkitは組み込まれないので必要に応じてcron用ファイルを作成する。

(まだ評価されていません)

Loading...

■携帯ブラウザのSSL/TLS renegotiation対応の検証メモ
　とある案件でSSL/TLS renegotiation機能の脆弱性の問題に突き当たったため検証したメモ。問題の内容と対策はこちらのページ( http://blog.abacustech.co.jp/blogx/entry/40 )がとても詳しいので参照。Webアクセスをするブラウザ（クライアント）とサーバの両方が問題に対応している必要があるので注意。対応状況が簡単に確認できる方法はそれぞれ以下。

※9/27追記　誤解を与えかねないRTがされていたので追記しておきますが、この検証はiOSやWP7のブラウザにSSL/TLS renegotiation機能の脆弱性が残存しているということを意味しません。SSL/TLS renegotiation機能の脆弱性に対してはRFC5746を実装する対処方法と、脆弱性発見当初実施された「SSL/TLS renegotiation機能に非対応とする」という対処方法があり、実際に非対応を選択しているSSLアクセラレータやロードバランサがあることを確認しています。今回実施しているのはあくまで対応か非対応かの検証であり、脆弱性があるかどうかは確認していません（おそらく脆弱性がある場合はデビル画像がチェックで表示されると推測はします…）。誤解のなきようお願いいたします。ちなみに検証をしようと思った動機は、RFC5746非対応の場合エラーになる事象を確認したからであり、スマホブラウザで該当脆弱性を発見したためではありません。

■サーバ側の対応確認
　ブラウザでQualys SSL Labのテストページにアクセスし確認したいサーバ名を入力する
　https://www.ssllabs.com/ssldb/index.html
　出力結果で、Renegotiationの項目が「Secure Renegotiation Supported」になっていればOK
　そうでない場合はサーバがRFC5746に対応していないことになる
　※脆弱性発見につながるため自身で責任を持って対応可能なサーバに対してのみ行うこと

■クライアント側の対応確認
　チェックしたいブラウザで以下のテストページにアクセスする
　https://ssltls.de/
　表示されたページ内でペンギンの画像のみが表示されればOK
　デビル画像が表示されたブラウザは使うのを止めた方がいいかもしれない

■スマホブラウザの対応状況（2011年8月17日現在の最新版で確認）
　結果の見方
　　○：ペンギンのみ表示
　　△：両方表示せず
　　×：デビルのみ表示

１）iPhone 3GS (iOS 4.3.5 8L1）
　Safari　△
　iLunascape 3　△
　Atomic Lite　△
　iCabMobile　△
　Mercury　△
　Opera Mini 6　○
　Sleipnir　△

２）iPad2（iOS 4.3.5 8L1）
　Safari　△
　iLunascape 3　△
　Atomic Lite　△
　iCabMobile　△
　Mercury　△
　Opera Mini 6　○
　Sleipnir　△

３）001HT（Android2.3.3）
　標準ブラウザ　○
　FireFox　○
　Dolphin HD　○
　Angel Browser　○
　Opera Mobile　○
　Opera Mini　○
　SkyFire　○

４）OMNIA7（Windows Phone 7 7392)
　標準ブラウザ（IE）△

５）IS12T（Windows Phone 7.5 7720) ※8/27追記
　標準ブラウザ（IE）○

６）Nexus One（Android2.3.4 WhisperCore 0.5.2）
　標準ブラウザ　○

７）GalaxyTab GT-P1000（Android 2.3.3）
　標準ブラウザ　○

８）Eee Pad TF101（Android 3.1）
　標準ブラウザ　○
　FireFox　○

■まとめ
　iOS系は独自実装のOpera Mini以外全滅。WP7もダメ。WP7.5(Mango)では問題ない。Android系は全て問題なかった。この問題に限って言えば、Android端末が最も安心できる選択肢となった。ちなみにssltls.deではStartSSLが利用されているようで、試験中にOpera MobileとWP7系IEのみ（WP7もWP7.5も）証明書対応ができておらず不正警告が表示された。サーバ側では厳密な検証は行っていないが通常OSが最新状態になっていれば問題ないと思われる（CentOS5.6の標準環境＋StartSSLでもサーバチェックでＢスコアとなり問題はなかった）。この問題では大手でもまだ未対応なサーバが多いらしいのだが、推測するにSSLアクセラレータ等を導入して古いファームウェアのまま動作させているサイトなのではないかと考える。通常は安定して稼働していればあまり手を付けない部分なので必要な対応が遅れている可能性は高いように思われる。事実そのようなサイトをひとつ確認してしまった…。今回の問題はサーバとクライアントの双方で対応されて安全性が担保されるということなので、サーバ運用者はチェックを行い必要に応じた対応をとることをオススメする。

【8/27】IS12Tの発売を受けてWP7.5端末の試験結果を追記して編集。
【9/27】微妙に誤解を招きそうなRTがされていたので注意書きを先頭近くに追記。

(1 投票, 平均値/最大値: 5.00 / 5)

Loading...

■WhisperCore 0.5アップデートメモ
　セキュア環境を目指すAndroidカスタムROM，WhisperCoreが0.4から0.5 (現在は0.5.2）にアップデートしているので、遅くなったがメモを書いておく。

　WhisperCore
　http://www.whispersys.com/whispercore.html
　WhisperCore 0.4アップデートメモ
　http://blog.isnext.net/issy/archives/1173
　NexusOneにWhisperCoreをインストールしたメモ
　http://blog.isnext.net/issy/archives/1094

■WhisperCore 0.5改良点
・アプリケーションのパーミッション設定を制御する機能を追加

■アップデート
　既にWhisperCoreをインストールしている場合は アプリ一覧から
　WhisperCoreUpdaterを開き、Check for Updatesボタンを押すだけ

■Selective Permissions
　Andoridではアプリケーションをインストールする際に、そのアプリケーションがアクセス可能なAPIを明示するため「このアプリケーションに許可するアクセス権」として表示し、それを了解して初めてインストールが可能になるという仕組みが用意されている。通常これは利用者が任意に選択許可することはできず、全て受け入れるか、受け入れないかの２択しかない。WhisperCoreが提供するSelective Permissionsアプリは任意のアプリがインストールされた後で、そのアプリケーションのいくつかのアクセス権を個別にON/OFFすることを可能にする。ON/OFFが可能になるアクセス権は全ての項目ではなく、位置情報や連絡先情報の読み書きなどプライバシーに関する項目がメインで、システムエラーを起こす可能性がある項目は設定することができなくなっているようだ。

　設定画面などはこちらを参照
　http://www.whispersys.com/permissions.html

　実際にMapsアプリで位置情報の読み込みをOFFにしたところ、GPS等が動作している状況でも「システム設定で現在位置情報を有効にしてください」とアラートが出て、現在位置を取得できなくなることを確認している。WhisperCoreではアプリケーションが誤作動を起こす可能性を回避するため、APIによる読み出しを拒否するのではなく空の応答を返すという実装をしているということなので、Selective Permissionsで設定を行ったことで、アプリのエラーなどシステム上に重大な問題が起きる可能性は比較的低いと思われる。

　セキュリティに詳しくアンドロイドのアプリのパッケージ（apk）構成に詳しい場合には、パーミッション設定を変更して再パッケージするという手段を使うこともできるが、アクセス権を適切に理解していないとエラーを引き起こす可能性もあり、一般の利用者には敷居が高い方法のため、Selective Permissionsのような実装は非常にリーズナブルであると思われる。

■WhisperCore0.5の使用感
　OS部分には大きな変更はなく0.4とほとんど体感で変わるものはない。ただ使っている中でひとつ面白いトラップに気がついた。WhisperCoreではストレージを暗号化してセキュリティを担保しているため、電源投入時に必ずパスフレーズの入力を求められるのだが、一度目でパスフレーズを間違うと「Try Agein」と「Reset」の選択肢が表示されるものの、「Try Again」は実質的に機能せず以降何度正しいパスフレーズを入力しても同じ繰り返しになるようになっている。電源ボタンで電源を落とすこともできないため、普通ならリセットするしかなくなってしまう。これがトラップで、実は一度パスフレーズを間違えたら素直に裏ぶたを開けて電池を入れ直し、電源投入からやり直す必要がある。ブルートフォースアタックに対する携帯端末で可能な対抗策としては、十分に現実的な対応だと思われる。なかなか面白い。

　WhisperCoreはAndroidのシステム的なセキュリティの在り方に現実的な実装という手段で提案を投げ掛ける非常に面白い存在だと思う。まだNexusOneとNexusSでしか利用できないのは残念ではあるが、ぜひいろんな人に試してもらえるようになるといいなぁと思う。Android向けのアンチウイルスソフトは雨後の筍のように増えてきたが、こうした取り組みはまだあまり聞かないので、他のセキュリティを看板にしている企業にもぜひがんばってもらいたい。当面WhisperCoreの利用は続けてみようと思う。

(まだ評価されていません)

Loading...

■ESET Cybersecurity for Mac 日本語版レビュー
　fansfansの「ESET Cybersecurity for Mac 日本語版」プレビューイベントに参加することができたので、簡単になりますがレビューを書いておこうと思います。パフォーマンスの適切な計測をしてから記事にしようと思ったのですがまだできておらず、来週一週間不在にしてしまうため期間が開きすぎるのもアレかなと思ったので、感想が中心になりますがレビューしておきます。今回はESETのMac用アンチウイルス＆アンチスパム製品「ESET Cybersecurity for Mac」のみをターゲットにしたものでしたが、会社や製品概要紹介の時間が長く実際にイベント内で使用して質問などする時間がやや少なくなってしまったのがちょっと残念でした。

　System6.0.3からMacを使っている身としては、Macの方が昔はMDEVとかウイルス感染すること多かったんだけどなーとかアンチウイルスソフトも必須で種類も結構あったんだよねーとか思ってしまうわけですが、OSのシェアと攻撃のしやすさからWindows向けウイルスの方が圧倒的に増えてしまったため、相対的にMacの方がウイルス感染リスクが少なくなってOS自体がセキュアであるかのような誤解が広まっていたところ、MacOSXでシェア回復と共に再度ウイルス感染リスクが高くなって再度こうしてたくさんのアンチウイルスソフトの選択肢が提供されてくることは喜んでいいやら悪いやら、なんとも不思議な気分です。

■ESET Cybersecurity for Mac

　ESETはアンチウイルスソフトNOD32という製品で有名なスロヴァキアの会社で、社名は女神イシス（古代エジプト名アセト）の名前に由来するのだそうです。神話に詳しいわけではありませんが、良妻賢母の象徴・豊饒の女神でかつ強力な魔術師ということなのでなかなか意味深い感じがします。国内ではNOD32を中心にパーソナルファイアウォールやアンチスパムを機能統合したESET Smart SecurityとしてキヤノンITソリューションズ社がWindows用製品を開発、EC studio社が販売を行うという体制を取ってきました。ESET製品は軽快な動作が非常に特徴的で、WindowsXPをメインで使っていた頃Avast!4からESET Smart Securityに切り替えた際に劇的に通常操作の体感速度が向上して感動したことを覚えています。

　今回のMac版ではWindows版と異なりアンチウイルスとアンチスパムの二機能のみの搭載となっています。レビュー用に提供されたバージョンは4.0.69.0になります。７月中にリリースされる予定のモニター版（レポートに協力すると抽選で50人に１年ライセンスをくれるらしい）は既に完成しているものの、今回はそのひとつ前のバージョンとのこと。このバージョンでも10.7には対応済みということでした。正式な製品版は秋頃になるそうです。プレビュー版ということで、EC studio社の担当さんからインストーラ入りUSBメモリをお借りして持ち込んだMacにインストールします。

　インストールはマウントされたインストーラをダブルクリックするだけで見慣れたMacアプリのインストーラ画面が表示されます。ライセンスの同意の後、いくつかインストーラ上で設定を選択しますが基本デフォルトでOK。インストール自体も難なく終わり再起動を要求されます。再起動するとログイン後にESETのスプラッシュ画面が開き、メニューバーにESETアイコンが表示されるようになります。この後ESETのアイコンからアクティベーションを行います。Windows製品では再起動時や起動直後からすぐにスキャンが始まるものもありますが、ESETではそうした動作は行われていないようで（ディスクアクセスの状況から判断しただけで仕様を確認したわけではありません）、明示的にローカルディスクの検査を一度行う必要があるように見えました。ESETではThreatSenseエンジンというヒューリスティック検出の技術を利用するため、所謂定義ファイルのみ依存型と異なり軽快に動作するのだということでした。ThreatSenseエンジンの標準設定では、SMART Optimizeという機能が有効になっており、ファイルのmtimeやctimeなどを参考にファイルの更新検知をして、一度チェックしたファイルはファイル自身かESETの定義ファイルの更新がない限り再チェックしないことで動作効率を上げているのだそうです。

　メモリ2G /Core2Duo 2GHzのMacBook白で、ローカルディスクの検査を行いながらSafariでEICARのテストウイルスをダウンロードするという実験を行ってみましたが、ダウンロード完了直後に画面右上にフロートウインドウが表示され、隔離された旨が通知されました。レスポンスは極めて良好だと思われます。ローカルディスク検査中のパフォーマンスをtopコマンドで確認してみると、CPU使用率は25%〜30%前後、esets_guiとesets_daemonが合わせて50%程度のCPUを使っているようでした。メモリもあまり消費しておらず非常に安定した印象です。他のアプリケーションを動かしても動作が遅くなったような印象はほとんど受けません。今回はイベントに合わせてクリーンインストールしたOSに試験データを入れて持ち込んでいたので、長期間稼働した場合のレスポンスの変化は気になるところです。

　他のMac用アンチウイルス製品との比較では、ウイルスバスターやSophosと比較してGUIの設定画面がよりわかりやすい印象がありました。また通知内容がわかりやすく、検出されたファイルのパスが確認しやすいため、ここは特に好印象でした。ただ検出通知された数と隔離されたファイルの一覧の数がリスト作成タイミングによっては合わない場合があるようで、ちょっと気になりました。動作速度面ではウイルスバスターは論外（３年ライセンスを３本持っていますがレスポンスが悪く数々の不具合が発生したため現在は使っていません）として、軽量でとても静か（余計な通知が一切ない）なSophosと比較しても遜色ありません。（できればSophosとの比較を数値的に出してみたかったのですがこれはまた別の機会に。EC studio社によると倍くらい速いとか。）

　プレビュー版のためローカライズの点で変な説明があったり内容が合ってなかったり誤訳があったりと、まだまだな部分は散見されましたがその場ですぐに対応を検討してもらえるなど、キヤノンITソリューションズ社とEC studio社の柔軟さは素晴らしいと思いました。実際のところ海外でのMac版リリースから約１年遅れての今回の日本語版リリースなため、なぜこれほど遅れてしまったのかと質問をしてみたのですが、開発担当のキヤノンITソリューションズさんからとても正直に（１）Mac開発のノウハウがなかったこと（２）マルチバイト対応を含む不具合が多く国内要求品質レベルまで高めるのに時間を要したこと、という回答をいただきました。製品の販促イベントでこうした事情を正直に話すことはとても勇気のいることだと思うので、ちょっと感心してしまいました。

　ライセンスも柔軟な設定が検討されており、価格こそ発表されなかったもののBootCamp下では１台のマシンで稼働するMacOSX版とWindows版は１つのライセンスキーでOKとのこと（VMwareとかVM環境用は個別購入が必要）。海外の価格と大きく異なることはないだろうということなので、年間2500円くらいになるのではないかと想像します。

■まとめ
　個人的にはESET Cybersecurity for Mac自体は優れた製品で、有用な選択肢のひとつになると感じています。ただしSophos Home Editionや Intego VirusBarrier Expressなど無料でそれなりに使える選択肢がある状況での個人向けアンチウイルスソフトとしての差別化はまだ十分ではないように思います。より具体的な数値でのパフォーマンス比較や、安定性信頼性の情報提供（イベントではPassMarkやAV-comparatives.org などの比較結果を紹介していました）を継続的に行っていく必要があると思います。それでもアンチウイルスソフトに敢えてお金をかけたいと思わせるのはなかなか難しいことのように思います…。しかしながら企業導入されているMac向けという観点であれば、かなり有望ではないかと思います。今回のイベントでは確認できませんでしたが、企業向けのESET製品マネージメントツールでESET Cybersecurity for Macが制御可能なのであれば、Macの企業導入が進む中むしろパフォーマンスと信頼性を前面に出して積極的に販促すべきだと感じました。そのためのサポート等関係バックヤードの構築も必要にはなりますが、個人向けよりは訴求できそうな気がします。

　今回イベントに参加してESETに関わる方々の熱意を感じられたので非常に良かったと思いました。特にEC stadio社の方は熱さを感じられました。きっと良い製品に仕上げていってくれると思います。現状はキヤノンITソリューションズ社が開発担当ということでしたが、ローカライズ作業自体は本家スロヴァキアで行っているとのこと。国内の要望にタイムリーに応えていくためにも、ローカライズはできる限り国内で可能な契約を検討して欲しいというお願いを勝手ながらさせていただきました。これまでいくつもの良質なMacアプリがローカライズ対応で苦労してきた（海外の開発者はなかなかマルチバイト圏を理解してくれない…）経緯を見てきたため、より高い信頼を得られるようぜひとも国内での対応力強化を期待したいと思っています。

　近くモニター版のリリース情報が提供されると思いますので、MacOSXをご利用の方はぜひ試してみていただければと思います。

(1 投票, 平均値/最大値: 5.00 / 5)

Loading...

■Android3.0タブレットで公開鍵を使ってssh
　ASUS Eee Pad TF101 Transformerで自宅サーバに公開鍵暗号方式でsshアクセスした設定のメモ。キーボードって素晴らしい。とはいえ、いろいろと不便なことも。その辺の覚書。

■ConnectBot
・マーケットからConnectBotをインストール。
・起動してメニューボタンを押して公開鍵管理を選ぶ
・もう一度メニューボタンを押して生成を選ぶ
　インポートの場合は事前にSDカードに鍵を用意しておき選択するだけ
・鍵の名前を入力し、必要な設定を行う
　起動時に鍵をロード、使用時に確認するはチェックをオススメ
・ランダマイズ用に表示される領域をタッチして鍵を生成する
・生成された鍵に名前がついてリスト表示されるので鍵マークが緑なのを確認
　赤のロックされた鍵マークの場合は使用できない状態という意味
・戻るボタンで接続画面に戻す
・下部メニューからsshを選択し、user@hostname:portの形式で入力して改行
・これで問題なければ接続する（最初は確認ダイアログが出る）
・二回目以降は接続画面で前回接続の表示が出るのでそこから選択でOK

自宅のCentOS5.6サーバにsshで接続したところ、ConnectBotでは接続以降英語キーボード配列での入力になるので注意。日本語キーボードを使っているとやや不便を感じる可能性あり。Tabキーによるコマンド補完も機能せず。またShift+数字キーが全てファンクション扱いになる（Shift+1キーが！でなく＜F1＞となる）ため、記号入力に若干の工夫が必要。パイプ（｜）などはShift＋バックスラッシュで入力できる。CtrlやESCは画面をクリックすると左下に表示されるので、指かマウスポインタでクリックすると入力待機状態になる。一応Android3.0でも大きな問題なく動作してくれている。若干使いにくいところではあるが、とりあえず利用可能なのでOKとする。設定などで使い勝手を向上できそうな気はするが、エミュレーション設定などでは変化がなく今のところ打つ手無し。あくまで緊急避難用なので深く追求しないかも。

(まだ評価されていません)

Loading...

■続「99.7%のAndroid端末に不正アクセスの危険」検証メモ
　こちらの記事の続き。HTCへの通知から約20日経過した本日、やっと日本HTCサポートセンターから電話があり直接お話をすることができた。blogに書いていいと確認を取れた事項は僅かだが、Googleアプリの認証トークンの再確認と合わせて再度記事とする。

■今回HTCに通知した内容
　前回の実験によってHTC sense用Twitterアカウントで同期すると平文で通信をしており認証トークンが見えてしまうことがわかった。大本になったこちらで指摘されているGoogle製アプリと同様の問題がHTC製アプリにもあるということを確認したということになる。厳密に言うと、HTC sense用Twitterアカウントは作成時に「SSL セキュリティを有効にする」というチェックがあり、確かにアカウント作成時にはHTTPSで認証が行われているのだが、その後のコンテンツ同期にはHTTPが用いられるため、認証トークンが見えてしまうという問題である。Twitter製アプリを利用すれば問題は回避可能なので致命的問題ではないが修正を期待して通知してみた。

■HTC日本サポートセンターの回答（掲載了解済みの内容）
・HTCよりアップデートが提供されるまで待って欲しい
・Googleアプリの修正もアップデートまで待って欲しい（＝サイレントフィックスは適用されない）

　問題は認識していただいたようで、なぜすぐに対応できないかなども説明をされたが詳細を書く了承は得られなかったので、ここで書けることは以上となる。もちろんいつアップデートが提供されるとかそういう情報はそもそも一切なし。…おっと、ちょっと待ってほしい。Googleがやると言っていたサイレントフィックスもアップデートまで適用されないって本当？何度か念を押したが上記の通りらしいので、その時は電話を切ったのだが、夜になってなんとなく心配になって現状の動作確認をしてみた。検証方法は前記事と同様である。問題だと思われたのはGoogle AccountのContactsとCalendar。そしてGoogle Marketの通信である。

■Googleアプリの再検証結果
１）Google Account
　全ての同期通信がHTTPS化されていた。サイレントフィックスされていることを確認！

２）Google Market
　変わらず、User-Agent: Android-Market/2 (ace GRI40) がHTTP平文でPOSTデータ中にrequest=から始まるコードを送信。何らかの認証コードが含まれているように見えるが、推測でしかなく黒とは断定はできない…。

　マーケットは微妙なところだが、少なくとも問題だった連絡先とカレンダーのアプリは通信がHTTPS化されていることが確認できた。サイレントフィックスは間違いなく行われており、手元の001HTには適用されている。…HTC日本サポートセンターの回答間違ってる？掛かってきた電話番号が+886からで台湾発の発信番号だったが、日本語は自然だったしアクセント等にも違和感は感じなかったし、ちゃんと話も通じてると思っていたのだが…用意されていた回答そのものが不正確だったということか…。…HTC大丈夫？と少し不安になってしまった。

■まとめ
　少なくともGoogleのサイレントフィックスは確かに行われているようだ。一方HTC製アプリについてはいつになるかわからないがアップデートを待って欲しいとのことなので、HTCユーザはそれまでの期間Twitter謹製アプリを利用することを推奨する。

(1 投票, 平均値/最大値: 5.00 / 5)

Loading...