魂の制限速度

きっかけは男4人テキーラ片手のとめどない酔談である。後輩が唐突にこんな話をはじめる。

「インディアンは長距離を馬で移動した後は、必ず休憩しなければならない。1日馬に乗ったら、1日その場にとどまるという風に。そうしなければ、体の移動に魂の移動がついてこれず大変なことになってしまう」
インディアンが本当にこの言い伝えを守っているかはさておき、大変なことになってしまうという肝心な部分の表現のあいまいさはさておき、僕はなんとなくこの話に合点がいったのだ。

移動が多い毎日をしていると魂がついてきていないと感じることが時々ある。

東京からアメリカの西海岸に飛ぶと、時差のせいで夕方には激しい眠気におそわれる。そこで寝てしまうと現地の時間に体が慣れないために散歩をして無理矢理起きているようにする。ホテルから2ブロックはなれたコーヒー屋で往来を眺めてぼーっとする。エスプレッソをすすりつつ「あぁ日本は今頃朝か、、、」と思うあの感覚。あれは単なる寝不足などではなく、魂が体に追いついてくるのを待つけだるさなのではなかろうか。

話は戻る。もとがオタク気質な4人があつまる会であるがゆえに、
「2日移動して2日休まなきゃ行けないなら、半分のスピードでゆっくりいけばいいんじゃないか。」「馬のすすむスピードがたとえば時速20kmだとしたら、その半分の時速10kmでゆっくりすすめば4日連続でうごけるんじゃないか。」「まてよ、それはつまり魂の制限速度は10kmそこそこということではないか」
などと話は思わぬ方向に発展した。その間にも何年と熟成を重ねて作られたビンテージのテキーラが音もなくあけられていったことは強調しないといけないだろう。

さておき。
今月尊敬する人が体調をくずして休みに入った。その人はテレビ番組は録画しておいて二倍速再生でみることで時間を短縮するというインディアンもびっくりの芸当をし、朝はやくから夜遅くまで働き続け、インプットもアウトプットもおおい人だった。今頃魂がおくれを取り戻しているところなんだろう。

さておき。
今月生まれてはじめてはげた。10円ハゲよりも小さなハゲができていた。魂がおいついてまたフサフサと毛がはえてくるんだろう。

つまり。
無理することは楽しい。「絶対無理」を「なんとかできた」にかえることには最上級のカタルシスが伴う。しかし僕らは魂に制限速度があるという事実をわきまえて生きていくべきなのだ。


止まり木のない大都会

はてなやめます

一身上の都合により、ブログはhttp://blog.sparky.jp/ に引っ越します。
今までご愛読ありがとうございました。新天地でもよろしくお引き立ての程をおねがいいたします。

北朝鮮国境、にらみ合いの中でエロだけが国境を越えていたという話


写真と本文は関係ありません


元米軍でその昔に北朝鮮と韓国の軍事境界線、いわゆる38度線、に配属されていた知人と大阪で飲んでいた。思い出話が面白かった。


軍事境界線で北朝鮮軍と米/韓国軍がにらみ合いを続けていたときのことである。お互いがそれぞれの基地から双眼鏡で反対側にいる相手を見張っている。見張っていると言っても映画やテレビに出てくるような緊迫した空気はなく、双眼鏡で何となく相手を見ているというレベルであるらしい。こういう状況で米軍の兵士も北朝鮮軍の兵士に一種の連帯感の様なものが生まれる。

ある日、知人らがアメリカから持ってきた雑誌プレイボーイを基地の窓に北朝鮮兵士にも見せつける様に据えていると、北朝鮮側の基地から兵士達が彼に向かって手を振っていたそうだ。
1) 応じて彼はプレイボーイを1ページめくって、次のページが見えるようにしてあげる
2)北朝鮮側で何人かが双眼鏡で覗き込む、ひとしきり終わるとまた手を振ってくる
3) 1ページめくってあげる
4) 以降 2)と3)の繰り返し
かくて、にらみ合いの続く国境で、白昼堂々と高精度双眼鏡越しの和気藹々、米朝合同プレイボーイ鑑賞会が行われていたそうだ。


僕のイメージする北朝鮮国境との落差に驚いた。僕は戦場をテレビでしか見たこと無いので、それは月面と同程度にしかイメージができないものだった。でも戦場は僕らの日常と地続きで、しかも割と近いところにあるんだよ。きっと。

キリスト教概論、略してキリ概

日常

信じない人のための〈宗教〉講義

信じない人のための〈宗教〉講義


この本を読んでいて思い出した。そして腹がたった。のでメモしておく。


大学の時、授業にはキリスト教概論という必修科目があった。初回の授業で大教室を埋め尽くしたピチピチの1年生に向かって、教授はこう言い放った。
「毎年、なぜキリスト教を勉強するんですか?と尋ねる人がいますが、そんな人に私はなぜこの大学に入学したのですか?と問いたい。」


これを聞いて心のなかでずっこけた。
教授はおそらく毎年同じことを聞かれ続けて倦んでいるのだろうが、学問を教える人にはそれを学ぶことの意義を生き生きと伝える義務があるとおもう。
ましてそれが宗教学という言葉が大切な学問ならなおさらである。


この話をきいて以降、僕はなんとなくキリスト教の周りにいる人によいイメージを描けなくなった。

あなたのGumblar、わたしのGumblar

セキュリティ

「Gumblarとよばれるもの」が世間の注目を集めています。自責の念にかられつつも書くのですが、Gumblar(ガンブラー)が危ないと注意を促している各社がそれぞれ異なったGumblarの定義をしていて、何が危ないのか、何をすればよいのかが、非常にわかりにくくなってます。
以下に代表的な定義を簡単にまとめてみました。


Gumblarって何なのよ?

マルウェアの種類である派

  • クライアントPCに感染してFTPパスワードを盗むマルウェアだよ派(LACæ´¾)
  • Webサイトにスクリプト埋め込む改ざんツールだよ派
  • 黒い画面が出てきたり、セキュリティツールっていうソフトが勝手にインストールされるクライアントPCに感染型マルウェアだよ派

Webに埋め込まれる何か派

  • Webページのとの間に自動挿入される難読化されたスクリプトだよ派
  • 改ざんされたWebページに挿入される/*GNU GPL*/で始まるような文字列のことだよ派
  • Webで公開されていて、Adobe製品などの脆弱性をついて感染するマルウェアのことだよ派(カスペルスキー派)

攻撃手法全体の呼称だよ派

  • 盗まれたFTPアカウントなどを使ってWebが改ざんされる攻撃の総称だよ派(シマンテック派)
  • SQLインジェクションでWebを改ざんすることもあるよ派(トレンドマイクロ派)
  • 大きな特徴をもとに 1)Gumblar 2)Gumblar.X 3)8080 or CODE1にわかれるよ。これらの総称がGumblarだよ派(支持者複数)
  • 改ざんの手口に関係無く、サイトを見たユーザがGumblar.cnに飛ばされる攻撃の総称だよ派
  • ユーザがGumblar.cnに飛ばされる攻撃の総称だよ、だからサイトがhoge.ru:8080に変わったら8080って呼ぶよ派

よくわからない派

あきらめ派
  • Webが改ざんされてて、周りがGumblarで騒いでる時期だからうちもGumblarってことにするよ派
  • 攻撃の定義があいまいだから「いわゆるGumblar」とか突き放して書いてみるよ派(JPCERT/CC派)
  • 攻撃手法や名前にこだわるのは無意味だよ派
  • 悟ったよ。しかめっ面でセキュリティの話をするのはセキュ会社に任せるよ派(underforge of lack派)
勘違い派
  • 中国にあるオンラインギャンブルサイトの名前だよ。アクセスするとウイルスに感染するよ派
  • Googleが中国からハックされた攻撃がGumblarだよ派


まだ色々なものを落としている気はしますが、皆さんはどれをGumblarとよんでいるんでしょうか。僕自身は昨年から「クライアントPCに感染してFTPパスワードを盗むマルウェアだよ派」だったのですが。。。

なんにせよ定義を統一して、わかりやすく伝えることができるようにしたいものです。

Amazon AWSの約款には結構エグイことが書いてある

お先真っ雲

EC2を使い始めてはや半年以上が経過した。セキュリティの調査目的、つまりは自分のパソコンではやりたくない作業に使おうと思って契約したのだが、あらためて約款を読んでみると、IDSを動かすのも微妙なのではないかという位にその用途を縛っていることがわかった。
「え?約款て何??」という方も多いと思うが、EC2やS3をはじめとするAmazon AWSを使っている人は例外なく加入時に約款(ユーザーアグリーメント)を承諾しているんです。
これがその実物。http://aws.amazon.com/agreement/


こんな長い約款を読んでいる人なんていないと思うので注意すべき点を書いておく。僕もあまり真面目に読んでないので、このエントリーをみて引っかかった人は是非原文をあたって下さい。

AWSでのご法度/禁則事項

お金を払わないと強制退会になるのは当然として、AWSを使ったDoS攻撃なども全て禁止、即利用停止の対象である。

3.4.1. (i) ユーザがDoSを行った (ii) Amazonに対する攻撃、セキュリティ脆弱性探し、他のユーザの不利益になることを行った (iii) サービスの提供を妨害する行為を行った (iv) 支払いが滞った場合や利用料金が不自然に増加した場合 (v) Amazonによりユーザのアカウントが乗っ取られている、あるいはユーザが何らかの詐欺の被害者になっていると判断された場合 (vi) AWS コンテンツ (セクション 6.1) やマーク (セクション 6.2) を使用許諾に反して利用した場合 (vii) AWSをイリーガルな活動に使用した、あるいは他者の権利を侵害した場合 (viii) 分からん or (ix) ユーザが破産した場合

3.4.2. クレジットカードの引き落としが出来なかった場合などの通知がAmazonから行われて15日以内に返信しなかった場合。

15日以内というのは結構厳しい。AWSからのメールはわかりやすく振り分けないといけない。

稼働するアプリとその通信には責任をもって

EC2などで稼働するアプリにはユーザが全ての責任を負うことが繰り返し強調されている。

アプリケーションの検閲

そしてAmazonが必要と判断した場合にはアプリケーションの実態をコピーして提出しないと行けない。

4.4.1. オンラインアプリ(Webアプリと同義とおもわれる), Amazonが不正利用取り締まりのために、定期的にアプリケーションの稼働状況をクロールし、監視することに同意する。

4.4.2. クライアントサイドアプリ, Amazonが不正利用取り締まりのために必要と判断した場合、ユーザはアプリケーションのファイルをコピーしてAmazonに提供することに同意する。

提出を求められる条件はAmazon側が広めに解釈できるように書かれている。クライアントアプリのバイナリのコピーを渡すとかありえないと思うんだが。

EC2からのポートスキャンは禁止、オープンプロキシも禁止

いくつかの用途は約款で禁止が明確にうたわれている。具体的には以下のとおりである。

5.4.5. Network. 以下のような通信は禁止
プルーブや脆弱性のためのポートスキャン(原文にport scans for vulnerabilitiesてある。意味わからんね)
許可を得ていないペネトレーションテスト、通信、その他アクセス権のないシステムにログインしようとする行為
クロールされる側のサーバに負荷をかけるような、レートコントロールされていない、過剰なWebクロール
許可を得ていないネットワークモニタリングとパケットキャプチャ
ソースアドレススプーフなどプロトコルヘッダーの改ざんやnon-standard protocol headerの使用
フラッディング(L2の話か?)
あらゆる種類のDoS攻撃

そして、以下のネットワークサービスの稼働は認められていない

オープンプロキシー
オープンリレーサーバ
公開再帰DNSサーバ

実際には数カ月前からオープンプロキシを動かしていても、時々ポートスキャンしても何も言われないので、目立たなければ寛大なAmazon様がお目こぼししてくださるということと思われる。
が、原則禁止と約款に書かれていることの意味は大きい。

SPAM送信禁止

AWSを使ってSPAM送信することは禁止である。これも約款の中で繰り返し強調されている。

サービスの目的の制限

以下のようなサイトはAWSでホストすることが許されていない。

5.4.6. Services and Applications. 以下のようなサービスを提供することはできない。
ギャンブル関連全般
児童ポルノを含む全ての違法行為を助長するもの
特定の性や信仰、国籍、障害、性的志向、年齢などを避難するもの
フィッシング/ファーミングサイト
マルウエアやウイルスはじめあらゆる種類の有害プログラムを掲載しているサイト
第三者の権利を侵害するコンテンツ

逆に言えばAWSで稼働する、上記の目的のサイトを発見したらAmazonに報告したら高確率で止めてくれるということなんだろう。(と、ちょっと仕事のことも考えてみる。)
同人サイトなんかはAWSを使わない方が良さそうだ。

類似ドメイン名の使用禁止

6.2. Restrictions with Respect to Use of Marks. “amazon.mydomain.com”, “amaozn.com” or “amazonauctions.net” などのユーザがAmazon公式と勘違いする可能性のあるドメインネームを取得し、AWSで利用することは禁止。

確かにAWSのネットワーク内に“amazonauctions.net”が稼働していたら本家Amazonと勘違いしてしまうので理解はできるが、“amazon.mydomain.com”などサブドメインにいれることまで禁止するのはどうなのよ?

自分の身は自分で守れ

特にEC2ではAMI(イメージ)が最初から細工されている危険性が常にあるが、これについてAmazonは「検査はユーザの責任」と謳っている。

11.6.6. AMI(EC2でのOSディスクイメージ)はAmazonの検査やスクリーニングを受けていないことを了承する

AMIの安全確認は自己責任で。

補償は一方的に

この約款によると、メンテナンスや障害などでAWSのサービス提供が中断することをユーザは無条件に了承している。そしてそれに対するAmazonからの補償などは存在しない。

7.1. ダウンタイムとサービス停止. (i) サービスのアクセスが停電などにより一時的に出来なくなることがある (ii)以下の3つのいずれかの場合にも通告なくサービスが停止する (a) サービスメンテナンスのためのスケジュールダウンタイム (b) サービスが外部からの攻撃を受けた場合や、Amazon内から外部への攻撃が行われサービス停止しないと第三者への攻撃を遮断できない場合 もしくは (c) いずれかのサービスが不適切・反社会的とAmazonが判断した場合。ただしこれらによって引き起こされるいかなる被害についてもAmazonは補償の責任を負わない。

一方でユーザの過失でAmazonのサービスに悪影響を与えた場合、これをユーザが賠償することになっている。

12.1. 全般. 以下の場合についてユーザがAWSを使用した結果として発生した被害について賠償をすることを了承する (i) 本約款や関連法規に抵触する用途でAWSを用いたとき など

怖いですね。

まとめ

クラウドサービスの利用は今後も増えていくだろうし、増えて欲しいとも思っている。一方でクラウドサービスの場合、データもアプリケーションも丸ごと誰かに預けることが多い。あらゆるものが雲の中に置かれ、その責任や権利も曖昧になりがちである。
だからこそ(Amazonに限らずクラウドサービスプロバイダーと契約するときには)約款をよく読んで、彼らに裏切られた時の最悪の事態を想定しておくことが大切だと思う。他でもないあなた自身が承認したAWSの約款では、Amazonに大きな権利を認めているのだから。




続きを読むをクリックすると、約款の他の部分も適当に日本語に訳したものが出てきます。

続きを読む