続・ボクがチャイルドフィルターをオススメしない理由

質問しても、利用解除申し込んでも、梨の礫だったわけですが、ちょっと動きが出てきたので、その辺をまとめておきます。

とにかく、利用する上で機能面でも運営面でも規約面でも不明な点、不安な点が多すぎる、ということで、オススメできないと思った次第。

[From ボクがチャイルドフィルターをオススメしない理由 - Soukaku's HENA-CHOKO Blog]

まず、既にエントリーに書いていた、解除申込みのその後ですが、

解除申込みすると「通常3営業日以内にご連絡いたします。」と表示され、「入力された内容を確認しだい、削除用のプロファイルをこのメールアドレス宛てにお送りします。」という内容の確認メールも届くのですが、それ以降は音沙汰がありません。とりあえず、このまま督促しないでいたらどうなるか試してみますけど、自力でプロファイル削除できないユーザだと、解除申込みからプロファイル削除までの間、アクセスログ抜かれ放題になるんですけど、それで善しと思ってるんですかね…。

[From サイバーセキュリティ財団って、実際どうなのよ?というお話 - Soukaku's HENA-CHOKO Blog]

結局、10 営業日(実際に解除申し込みしたのが 3 月 11 日の夜なので、 2 週間も)放置されたままだったんですが、痺れを切らしてしまいまして、 26 日のお昼過ぎに再度解除申し込みをしてみたところ、27 日の朝に解除プロファイルが添付されたメールが送られてまいりました。
#おまけに、そのメール、SPAMに分類されてたという…。

メール本文には「ご連絡が遅くなり申し訳ありません。」とありました、一応…。
多分、再度解除申し込みしていなかったら、そのまま放置状態が続いていたんじゃないかと思うと、ちょっとねぇ…。

サイバーセキュリティ財団って、実際どうなのよ?というお話

先週末に書いた、チャイルドフィルターに対する批判エントリー、結構いろんな方に読んでいただけたようです。

自分のやってる事業が窮地に陥るようなセキュリティインシデントが発生している最中という、本来であれば何事にもおいて最優先でその対策への対応・指揮に当たらなければならない状況下であったにも関わらず、人に会うことを優先させた人がトップに立つ組織ですよ、サイバーセキュリティ財団って。多少、話盛ってるにしても、そういうことを対外的に文章にしてしまう時点で、信用しちゃいけないタイプの人だ、と感じましたし、そういう人物がチャイルドフィルターに絡んだ情報流出事故が発生した際に、果たして誠意を持って対応・対処できるのかという点において不安しかない、というのが正直なところなのです。

[From ボクがチャイルドフィルターをオススメしない理由 - Soukaku's HENA-CHOKO Blog]

しばらく、それに関することは書かなくていいかな、とか思ってたんですが、今週も終わりになって、動きがあったのでその辺をまとめておきます。
#流石に週刊化はしないと思うが…。

忽然と消えた特別顧問

財団案内に、国内でも著名なセキュリティベンダーの名前がいくつか載っていたことは把握していたんですが、とりあえず言及しないで静観しておこうという感じでいたところに、突如それらの会社の名前が消えたということで、取り上げておきます。

3 月 16 日あたりまでは、財団案内には以下のような形で 4 社の名前が乗っていたのですけど、3 月 17 日の時点で突如名前が消えました。

チャイルドフィルター プロジェクトメンバー

F-Secure は法人向けのアンチウィルス製品で、デジタルアーツは Web フィルタリング製品で有名なところですし、インフォセックも脆弱性診断やセキュリティ監視と行った分野では実績のある会社だったりします。最初は特別顧問とはいえ「へぇ、なんでか知らんけど、よく参加してるよなぁ」と感じてはいました。
先週後半にチャイルドフィルターの話が流れ始めたタイミングで、財団案内を見た時に特別顧問がごっそりチャイルドフィルター プロジェクトに移動したのをみて、「あ〜、自分とこの製品とバッティングするようなプロジェクトにデジタルアーツの名前載せちゃってて、ホント大丈夫?」と気にはなっていたんですけどね。やはりなんらかの形で問題になったために会社側から降りるという申し出がなされたのか、はたまた財団側で「迷惑かけちゃいかん」と判断して名前を消したのか、その真相は闇の中ではありますが、結果的に特別顧問から名前が消えた会社が出てきた、ということになったというわけです。
#自分のエントリーが影響した、とは考えにくい…。

セキュリティに関する情報交換や注意喚起やってます?

ところで、財団案内のビジョン、書かれていることには、とても良いことが書いてあるなぁ、と思う部分もあるんですよ。

これから訪れる超ICT化の時代に対応出来うるサイバー防衛戦士の育成は全ての企業・個人において最重要課題であります。
業界の垣根を越え全ての人々がサイバーセキュリティに対する注意意識を持たなくてはならない今当財団が設立されました。

[From 一般財団法人 サイバーセキュリティ財団]

書いてあるのはいいんですけどね、財団メンバー間でのセキュリティ関する情報交換、注意喚起や「注意意識」(ふつう、危機意識のような…)を持つための活動といったこと、普段からやってるんですかねぇ、という疑惑がが出てきた…。

ボクがチャイルドフィルターをオススメしない理由

子を持つ親として、またIT技術者として、自分の子供達に PC やスマホを与える時にどうしよう、って結構悩みどころ。世の中には同じように悩んでいる方も多いと思うんですが、そこにそういう話が流れてきた。

子どもがインターネットの交流サイトなどを通じて犯罪に巻き込まれるのを防ごうと、福岡市のIT企業などで作る財団が、子どものスマートフォンにダウンロードすれば有害なサイトへの接続を制限できる「フィルタリング」サービスを開発し、無料で提供を始めました。

[From 無料で有害サイト接続を制限 - NHK 福岡 NEWS WEB]

当財団が提供するフィルタリングサービスは全ての通信を暗号化しフィルタリングを行いますので、特定のアプリを使う必要はありません。
また、利用するための費用は一切かかりません。

[From 一般財団法人 サイバーセキュリティ財団]

フィルタリングについては、法律でも「保護者の責務」として規定されてますんで、それを無視するのもアレですし、

(保護者の責務)
第六条  保護者は、インターネットにおいて青少年有害情報が多く流通していることを認識し、自らの教育方針及び青少年の発達段階に応じ、その保護する青少年について、インターネットの利用の状況を適切に把握するとともに、青少年有害情報フィルタリングソフトウェアの利用その他の方法によりインターネットの利用を適切に管理し、及びその青少年のインターネットを適切に活用する能力の習得の促進に努めるものとする。
2  保護者は、携帯電話端末及びPHS端末からのインターネットの利用が不適切に行われた場合には、青少年の売春、犯罪の被害、いじめ等様々な問題が生じることに特に留意するものとする。

[From 青少年が安全に安心してインターネットを利用できる環境の整備等に関する法律]

まぁ、どんなもんかと思って申し込んだり、色々と調べてみたりしたんですが、使い始める前「こりゃダメだ」って結論に至ったので、その辺をまとめておく。

rspamd の Web GUI にアクセスしてみる

rspamd をアップデートしたことで、使えるようなった機能があるので、いろいろと試してみよう

アップデートだけで結構な分量になってしまったので、フィルタについては別エントリーにて。バージョン上がったことで追加された機能もあるようなので、そのあたりの話もおいおい書いてきたいですね〜。

[From rspamd と rmilter をアップデート - Soukaku's HENA-CHOKO Blog]

ということで、まずは Web GUI から

Web GUI を有効にしてみる

と言っても、実際のところデフォルトの設定の状態でも、Web GUI は待受ポート 11334 で起動していて、下のような形で待ち受けしています。ただ、そのままでは localhost からの接続要求しか受け付けてくれないので、外部からも見れるように設定を変える必要があるというわけです。

root@vps2:~# lsof -i:11334
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
rspamd 13943 root 9u IPv4 905829 0t0 TCP localhost:11334 (LISTEN)
rspamd 13943 root 10u IPv6 905830 0t0 TCP localhost:11334 (LISTEN)
rspamd 13945 _rspamd 9u IPv4 905829 0t0 TCP localhost:11334 (LISTEN)
rspamd 13945 _rspamd 10u IPv6 905830 0t0 TCP localhost:11334 (LISTEN)
rspamd 13946 _rspamd 9u IPv4 905829 0t0 TCP localhost:11334 (LISTEN)
rspamd 13946 _rspamd 10u IPv6 905830 0t0 TCP localhost:11334 (LISTEN)
rspamd 13948 _rspamd 9u IPv4 905829 0t0 TCP localhost:11334 (LISTEN)
rspamd 13948 _rspamd 10u IPv6 905830 0t0 TCP localhost:11334 (LISTEN)
rspamd 13949 _rspamd 9u IPv4 905829 0t0 TCP localhost:11334 (LISTEN)
rspamd 13949 _rspamd 10u IPv6 905830 0t0 TCP localhost:11334 (LISTEN)

手っ取り早いのは、 rspamd 自身が待ち受けしている 11334/tcp を localhost 以外からアクセスできるよう設定することなんだけど、それはそれで芸がないし、無制限にアクセスを許可するのもよろしくないので、rspam の FAQ の中にある WebUI questions の部分に記述されている httpd からリダイレクトさせる方法で。

ところが、実際 Apache に対して設定してみたのだけど 500 Internel Server Error が出て上手く行かなかったので、結局 rspamd 側の設定でポート開放して、 iptables でアクセス元を絞る形に。

rspamd と rmilter をアップデート

ここ 2 年半ぐらい、rspamd を使い続けているサーバ、動作上特に不満があるわけでもなかったのだけど、

以前、インストールメモをエントリーとしてあげていた、 rspamdrmilter の組み合わせ、なかなか調子良く動作してくれている。

[From rspamd + rmiter の組み合わせに、ClamAV を連携させてみた - Soukaku's HENA-CHOKO Blog]

2週間ほど前から、そのサーバが受信・配送したメールに Spam がチラホラ紛れ込んでくるようになったので、「こりゃ自前でフィルタ書かんと駄目かな~」と思いつつ、公式サイトをチェックしてしてみたら…。

Rspamd is also available in some versions of Debian and Ubuntu. However, we are looking for an active maintainer for rspamd in these ‘official’ repos, as now rspamd is terribly outdated there.

Please DO NOT use those packages, as they are no longer supported.

[From Downloads]

「パッケージ、アップデートされねぇなぁ、 sid なのに…」とは感じてたんですけどね、「メンテナ探してるんだけど、 Debian/Ubuntu の公式サイトで配布してるのは古いんで使わないでね。」という状況だったはつゆ知らず…。

ということでフィルタを書く前に、公式サイトに書いてある手順を元に、最新バージョンの rspamd / rmilter にアップデートしてみた。

ということで、以下作業手順とログ

まず、現時点で、インストール済みのバージョンは、以下の通り。

root@vps2:~# dpkg -l rspamd rmilter
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name               Version        Architecture   Description
+++-==================-==============-==============-=========================================
hi  rmilter            1.6.3          amd64          Another sendmail milter for different mai
hi  rspamd             0.9.9+b1       amd64          Rapid spam filtering system

公式サイトで見ると、 rspamd は 1.4.4 、rmilter は 1.10 が最新のようなので、随分とバージョンが上がってますね…。

隠蔽するのが常識、になってるもんだと思ったら…

とあるサイト、特定の順番に従ってアクセスすると、ページの表示が出来なくなるという事象があるようで、それの確認をしていたところ、全く別の問題点にヒットしてしまいまして…。

見つけてしまったからには、黙っているわけにはいかんよなぁ、ということで、見つけた直後に管理者に対する連絡はしてあるんですけど、なにせ腰の重そうな組織の管理する Web サーバなんで、対処までに時間かかりそうだなぁ、というのが…。
# IPA 通すようなレベルでもないんで、今回は直接問い合わせメールフォームから連絡しましたが。

内容的には「Web サーバの設定としては、やっちゃいけないよね」的なことなんで、構築ベンダの技術レベルを疑いたくなりますし、そもそも公開前に脆弱性診断的な事をやってないのか、ということも気になるわけで…。

#ホントに知らせようと思っていた問題点は、まだ伝えられてなかったりするんだよね…。

「社内の常識」の押し付けで躓いたゴルスタ

利用者である中高生に、「運営批判したら即アカウント凍結、解除には反省文」という対応を行っていた中高生専用を謳っていたSNS 「ゴルスタ」の騒動ですが、結局運営会社であったスプリックスが非を認め(形式上は)謝罪することになったわけですが…。

ちなみに、スプリックス社長の平石明氏は、自身のインタビューが掲載されたWebページにどんどん削除依頼を出しているのか、ページが消えていってます。

[From ゴルスタ運営会社スプリックスの「謝罪文その2」がいろいろと酷い - Hagex-day info]

とまあ、社長の過去のインタビュー記事消されているということなのですけど、残ってたら困るようなことでも話してたんですかね、と勘ぐりたくなりますね。

やはり、騒動の影響は大きかったのでしょう。一時期、謝罪文とゴルスタ終了の告知の画像だけが表示されるページを表示していたスプリックスのWebサイトも、先週あたりから通常時のものに近いものが表示されるようにはなりましたが、企業コンセプトを説明するページや採用情報といったメニューが復活しておらず、事業の柱のひとつであるはずの教育IT事業の紹介ページへのリンクも消されているなど、本来の内容には戻せていないようです。

なぜ、スナップスタディまで?

「教育IT事業」の目玉としていたゴルスタで、盛大に躓いたわけですから、事業体制の立て直しは大変でしょうね。で、本来サービス止めなくても良さそうな「スナップスタディ」というサービスも終了しているんですね。

その辺の疑問のヒントとなるようなことをまとめてくれていた人が居たようで、

ツイッターおじさんがなぜ「ゴルスタ」が生まれたのか
をかってに推測してみた。

[From 「ゴルスタ」がなぜ生まれたか考えてたツイッターおじさん。(だれも聞いてない) - Togetterまとめ]

文京区立図書館サイトでメンテナンス終了後に起きていたこと

前に突っ込み入れていたとおり、昨年末から今年年初にかけて行われていた、図書館システムのリニューアルに関連する Web サイトの SHA2 対応のためのサーバ証明書入れ替えの件で、サイトのオープン直後に TLS バージョンが変わった件、

サービス再開の時点で、 TLS 1.2 に対応した状態になっていることが理想的状況だったはずなのだと思うのですが、誰がどのタイミングで設定変更の必要性を認識し、どのように対処をしたのか、行政側も承知の上で行われたものなのか、というのが気になるわけです。

[From 文京区立図書館サイト、メンテ明け直後に何かが起きていた? - Soukaku's HENA-CHOKO Blog]

行政情報開示請求で、それに関する文書を入手してみたところ、

その 3 ページ目にズバリ原因が記述されておりました。

位置情報は、ゴルスタのヤミに消ゆ?

先週末から、全く見ることのできなくなっていたゴルスタの運営元である株式会社スプリックスのサイトですが

炎上の影響なのか「アクセス集中のため」に運営会社のWebサイトがダウンしているという状況になっているために、会社としては正式な謝罪や状況説明がなされていると言い難く(サイトのダウン自体、偽装疑惑がありますし…)、

[From ゴルスタ という闇 - Soukaku's HENA-CHOKO Blog]

半日ほど前に、やっと復旧したようです。
が…

SPRIX トップページ[2016/08/31]

上の画像の通り、今回話題となっているゴルスタでの個人情報暴露に関する謝罪文書のPDFへのリンクだけのものとなっていました。おそらく、ほとぼりが冷めたな〜、と思ったタイミングで通常形式のサイトに戻そうって考えているのでしょう。
通常形式に戻した時に、今回の謝罪文書へのリンクがどう扱われるかで、今回の問題に対する企業としての姿勢を推し量る材料になるんじゃないでしょうか?

報道を見る限りでは、

インターネット上では「個人情報の流出だ」などと批判が相次いでおり、運営会社は取材に「担当者が誤って書き込んでしまった。本当に申し訳ない」と話している。

[From 「ゴルスタ」、個人情報をツイート 中高生向けアプリ:朝日新聞デジタル]

というようにミスだったと主張していますが、今回の場合は運営担当者が「意図的に暴露した」と言ったほうが正確なんじゃないかと思いますし、謝罪文書の内容そのものに対しても再発防止策の記述が不十分という批判の声も多く聞かれますんで、そう簡単には収束しないのではないではないかと…。

AVGをやめてSophos Anti-Virus for Linux を使ってみる

サイトへのアクセス統計をチェックしていると、7 年も前のエントリーを見に来て頂いてるのは有難いのですが、

ほんとに、ふとした思いつきで、AVG AntiVirusのLinux版を入れてみたので、備忘録的にメモ。
ClamAVが動いている環境ではあるのだけど、念のため複数のAnti Virusスキャナを動かしてみよう、という興味本位でのお試しではありますが・・・。

[From ふと思い立ったので、AVGを入れてみた - Soukaku's HENA-CHOKO Blog]

実際のところ、既に AVG 使ってなかったりしますし、 AVG 自体も Linux 用の無償版の公開を取りやめてしまっているので、改めて実情に合わせた新たなエントリーを起こしてみました。
今回の目的も、SMTP に対するウィルスチェックを行う、というものです。

今度は、 Sophos だ!

Linux で使えて無料、という条件だと Sophos Anti-Virus for Linux が該当するので、今回は Sophos を Amavis から呼び出してメールをチェックする形にします。

Linux へのインストールに関しては、以下のところを参考にしつつ、 設定を進めていきます。

今までLinuxの無償アンチウイルスソフトといえばClamAVが代表的でしたが5月18日にSophos Anti-Virus for Linuxに無償版が提供されることが発表され、選択肢が広がりました(個人利用に限りますが…)。
基本的な使い方をさらってみたのでメモしておきます。

[From Sophos Anti-Virus for Linuxを使う - 雑木林]

Sophos Anti-Virus for Linux の入手とインストール

まず、入手ですが、これはプロダクトの紹介ページにある"ダウンロード"のボタンをクリックして、氏名とメールアドレスの入力フォームに必要な情報を入力して、"送信"をクリック。

画面が切り替わったら、"ダウンロード"をクリック。

氏名とメールアドレスを入力ダウンロードへ進む