2011 年 1 月 9 日

どうせ初夢だなんて韜晦するにしてももう少しマシな話書こうよ〜大阪基地案、意外に良いんじゃない？

今朝のサンケーの一面の社説にちょっと吹いた。

辺野古の基地問題を解決するために、在日外国人から税金を取り立てて原子力空母を建造して、そこに普天間の米軍を移転させて公海上に浮かべて中国ににらみを利かせるんだそうだ。

こういう噴飯ものの社説をネトウヨの厨房が書くんなら分かるが、ちゃんとした肩書きを持った先生が堂々と全国紙の一面に書くのが驚いた。

ツッコミどころ満載で、原子力空母を造船技術があれば簡単にできると思う技術音痴とか、原子力空母を作ったら後は海に浮かべっぱなしでほったらかしで大丈夫と思う経済感覚の無さとか、普天間の米軍は全部空母で海上運用できるのかという軍事音痴とか、船というのは母港がないと運営できないんだけどその母港をどこに決めるかで結局同じ問題が起きるのではないかということがピンと来ない政治音痴とか、もう言い出したらきりがない。

こういうバカ話ならオレでも書けるということでトライしてみた。

原子力空母を作るなんて荒唐無稽な話ではなくもっと実現可能な案はずばり
「普天間基地大阪招致案」
だ！

大阪には土地が余っている。
実際大阪湾を埋め立てて広大な埋め立て地があるのだが、ここの工場招致は全く計画通りに進んでいない。
USJの招致には成功したが、それ以降特にめぼしい成果が上がっていない。
大阪府庁をWTCビルにできるだけ移転して、３セクで作っちゃったインフラを活用しようと橋本知事も必死だが、間に合わないだろう。

基地を作っちゃえばいいじゃない！

都心からこんなに近い基地なんて、米海兵隊員にもきっと人気が出るよ。
「タコヤキはワールドワイドなテーストで〜す」
なんちゃってね。

とりあえず大阪ならジュゴンの海を埋め立てたり海上フロート滑走路なんか作らなくても余った埋め立て地があるのでヘリポートくらいなら今すぐでも移設可能だろう。

空路が混雑するっていったって、伊丹と神戸空港を廃港にしてしまえばスカスカだと思うけど。
関西に３空港はどうせ過剰投資だし、作っちゃったから神戸空港なんて必死だけど米軍に借り上げてもらって、大阪港と神戸港と２カ所を有効利用してもらえば兵庫県庁、神戸市も余計な苦労をしなくていいと思う。
国内線も関空に集中して神戸か伊丹にコミューターだけ飛ばすという手もありかも。
でもきっと要らないだろうな。

そして沖縄の基地を廃止にして、沖縄北方開発特命大臣管掌は、改組して
「大阪・北海道開発特命大臣」
と改名してもらう。
これまで沖縄に投下していた多額の「開発予算」は大阪に振り向ける。
これでいいんじゃないの？
大阪の失業率がずっと沖縄と全国一を競っているなんておかしいもの。
第２都市を底上げしないでなんで日本全体の底上げが実現するのかと考えたら、大阪テコ入れでしょ。
「大阪ばかり不公平な」
という批判が他の都道府県から出るなら
「大阪は沖縄のために基地を引き受けたのだ、それくらいの見返りがあっても当然」
と言い返せるんじゃないのか。

我ながらいいアイデアだと思うけどなぁ。
東シナ海に原子力空母を浮かべるなんて話よりもはるかに現実味があると思うんだが、誰か検討してみてくれんかね？

2011 年 1 月 8 日

0S10.6.6アップデートと話題のApp Store

OS10.6.6のアップデートが来てたので早速かけてみた。

今回のアップデートの目玉はApp Storeだと思うが、すでにお仲間のサイトの皆さんが詳細なレビューを書いておられるので、そちらを参照願いたい。

必要な情報はここらに全部書いてある。
（すごい手抜き・・・(＾＿＾；)／）

わかばマークのMacの備忘録 - Mac App Store について いろいろ思うこと

ワンクリックでアプリを購入、インストール、アップデートまでやってくれる『App Store』 | Macの手書き説明書

ソフトウエアアップデートでシステムをアップデートする
システムアップデートでApp Storeはインストールされる
動作条件もOS10.6.6以上となる

App Storeを起動したところ
使い方はiTunes Storeと同じで同じAppleIDでログインできる

早速一つアプルを落としてみる
懸念していたことが一つ現実になってフリートライアルという概念は無くなってしまうかもしれない
フリー版と有料版が別々に配布されるというiTunes Storeのお馴染みの形になる

ダウンロード即インストールということになり
アプリはアプリケーションフォルダの中にもうある

アプリ版のStuffitとApp Store版のStuffitが並んだところ
後者を排除するという流れにだけはなってもらいたくないものだ

アップデート後はドックにApp Storeのアイコンが登録されているが、これはマルチユーザ環境でも全てのユーザがそうなる。
これからのMacのシステムデフォルトということらしい。

2011 年 1 月 7 日

OSXのrootパスワードはシステムディスクがなくてもリセットできる２〜じゃオープンファームウエアパスワードなら安全なのか！？〜セキュリティのシチュエーションを整理してみた

先日、
OSXのrootパスワードはシステムディスクがなくてもリセットできる〜ていうことはrootパスワードではプライバシーも何も守れない！？
という記事を書いたところ、
「ファームウエアにパスワードをかけるFirmware Password Utilityでパスワードをかければ安全では？」
という反応をいくつかいただいた。

これについては若干問題を感じたので続けてみる。

結論からいうとFirmware Password Utilityはセキュリティを高める効果は非常に限定的で、特に窃盗にあった時のMacBookなどの情報を守るという意味ではほぼ「気安め」だと考えている。
その理由は以下の通り。

「わかばマークのMacの備忘録」さんからツイッターにいただいたのはこの情報。
Macのファームウェアパスワードを設定してセキュリティを強化する方法 - Inforati

旧OSのMacにはOpenFirmware Passwordというのがあった。
MacOSを読み込んで起動する前に、まずハードウエアを励起してシステムを読み込む準備をするOpenFirmwareというものが旧OSにあった。
このOpenFirmwareはPowerPCの旧Macのみの仕組みの筈だが、intelに移行したMacにも仮想的にこの仕組みが引き継がれているらしい。
intelになってMacのファームウエア（最初の起動の仕組み）はEFIに変わった。
EFIはintel、HPが提唱する新しいBIOSのようなものだと理解しておいていいと思う。

OpenFirmwareが残っているかのような振る舞いに見えるのは、ここでも取り上げた。
シングルユーザモードに入れない
OpenFirmwareのコマンドモードでシングルユーザモードに入れなくなるとかの振る舞いをする。
これは電源ボタン長押しのNVRAMリセットでクリアできた。

さらに旧OS にあったOpen Firmware Password Protectionもintel／Macでも使える。
これについてはAppleのサポートページでも解説されているが、UNIXのrootパスワードよりも、よりローレベルな（つまりよりハードウエア寄りなパスワードセキュリティ）が可能だと解説されている。
Mac OS X の Firmware Password Protection の設定方法

インストールディスクから起動してユーティリティメニューから
ファームウエアパスワード ユーティリティを起動する

「別ソースからの起動の時にパスワードを要求」にチェックを入れパスワードを入力する

Cキー起動（システムディスクからの起動）、シングルユーザモードは禁止、
optionキー起動（スタートアップマネージャー）ではパスワードを要求するようになる
（借りたキャプチャーで申し訳ない）

intel／Macで都合がいいのは旧OSのMacと違ってOS9を使ってパスワードリセットできなくなったことだ。
PowerPC時代、OS９から起動できた当時はオープンファームウエアパスワードをかけていてもOS9から解除できた。
でもintelになってそれができなくなった。
先日紹介したrootのパスワードをリセットするには再起動してシングルユーザモードに入らないといけないが、ファームウエアパスワード ユーティリティをかけていればシングルユーザモードには入れないので一見安全に見える。

確かに会社などに鎖をつけて固定しているMacに、安全策をかけるならこれもある程度効果はあると思われる。
しかしこのファームウエアパスワード ユーティリティも実は解除するのは簡単なのだ。

Appleのサポートページにも
「コンピュータの内部に物理的にアクセスする」
ことができないなら「安全」と繰り返し強調されている。

しかし、このファームウエアパスワード ユーティリティは
「メモリを入れ替えてPRAMクリア」
という非常に簡単な方法でリセットできる。
参照サイト
MacBookのファームウェア・パスワードを解除する | Weboo! Returns

メモリが２枚入っているなら１枚に減らし、１枚なら２枚目を差してみる、あるいは容量の違うメモリを挿すことで、ファームウエアパスワード ユーティリティは工場出荷状態にリセットされ、パスワードもSUM禁止も無効になってしまう。

上記の通り会社や学校のブースに固定されているMacなら、開けてメモリをいじったりはなかなかできないだろうから安全も確保できるかもしれないが、紛失・窃盗に遭った場合、例えば窃盗犯がrootパスワードのリセット法を知っているような奴なら、このファームウエアパスワード ユーティリティもほぼ気休めに過ぎないと思われる。

ファームウエアパスワード ユーティリティをお勧めしないもうひとつの理由は、これを使うことでシングルユーザモードやディスクターゲットモードなどが使えないことだ。
トラブルが起きた時にこういう手段が残されているのは非常に有効なのだが、わずかばかりの安全性のためにトラシューの有効な手法を失う方が問題が多いと思う。

何年か前に
「MacOSXのrootの権限はハッカーに数分で破られた」
というニュースが流れた。

このニュースは結構衝撃をもって受け止められて
「なんだMacは安全といったってWindowsと変わらんぢゃないか」
という揶揄の対象になった。
しかしこのニュースももう少し詳報が流れてくると、オンラインでクラックされたわけではなく
「懸賞をかけてMacの管理権のないユーザにログオンさせてroot権限を破れるかを競ったところ、あるギークはなんと数分でroot権限を乗っ取ってしまった」
という内容だった。

先日取り上げたrootパスワードリセット法を使えば、確かに数分でroot権限をとることができると思う。
なんせ再起動して２〜３コマンドを打つだけだ。
このギークもきっとこの手法を使ったんじゃないかという気がする。

それではこの手法を使ってネット越しにオンラインでMacをクラックする方法があるかというと、オンラインで何らかのコマンドを実行する場合sshとかtelnetとか実行するには管理権のパスワードは必要になってくる。
そのパスワードをリセットするためにそうした環境を使いたいわけで、これではニワトリとタマゴだから今のところオンラインで破れるという話は聞いたことがない。
rootを乗っ取れるのはあくまで物理的に触れる時だけだ。
（ただしtelnetの安全性には結構問題があるらしいので最近は使われないとのことだけど）

オンラインのセキュリティのためなら、通常のファイアウォールとかNATなどのセキュリティで現状充分だと思われる。

ここで問題なのは職場で、多くの端末を管理している管理者だろう。

教室のようなところならNetBootという手もあるかもしれない。
しかし何かの専用機、動画編集とかデザイン、DTPとかの業務用機だとなかなかNetBootだのの細工は難しいかもしれない。
不特定多数が使用する環境だと、中にはrootパスワードリセットをするような不心得者も出てくるかもしれないので、そういう場合は管理者アカウントを起動しておき、管理権のないアカウントでログオンしておいてユーザにはそちらを使わせるという考え方がいいと思う。
これでも勝手に再起動したりするのを防ぐことができる。
管理者アカウントはただ起動しているだけで、何も常駐させないで軽くすればいい。

個人ユーザがもっとも関心があるのは、自分が使っている個人用のMacのセキュリティだろうと思う。
自宅のiMacやMacProが盗難にあった時のことも心配だろうけど、やはりMacBookなどのモバイルを持ち出して紛失したとき、あるいは盗難に遭った時のセキュリティの問題だと思う。

rootパスワード、あるいはファームウエアパスワード ユーティリティでは残念ながら何も守れないと思う。
こういうセキュリティの弱点をあまり拡散するのは問題はないかという指摘もあったが、やはり拡散するべきだと思う。
WEPを数秒で破れると神戸大学の先生が発表した時に
「そういうことを発表するから悪用する奴がいる」
という反応もあったが、こういう手法が明らかになってしまうと広がるのはあっという間だ。

実際、このWEP破りのソフトを搭載した中国製の
「無線LANタダ乗りモデム」
が普通に秋葉原で売られるようになるまで１年もかからなかった。
今時WEPで無線LANを暗号化しているのは、「タダ乗りOK」を公言しているようなものだ。
ただ乗りされるだけならいいが、踏み台にされてハッカーに悪用されると最初に嫌疑をかけられるのはタダ乗りされた方だ。

これもすぐに周知になるだろうから、こうしたモバイルの個人情報を守るならそういう領域を暗号化するsparsbundleのようなディスクイメージソフトがいい。
私は個人的にExcesを使っている。

何人かFileVaultを薦める人もいた。

FileVaultはMacのシステムの機能でユーザの領域を全域暗号化する
開くにはログインパスワードが必要だがloginとはパスワード管理が違うので
パスワードリセットを実行されてもFileVaultのパスワードは変わらない

最近はFileVaultは安定しているということなので、確かにこれを使うという手はある。
しかしこのFileVaultの気に入らないところは「ユーザ領域を全域暗号化する」というところなのだ。
個人用、趣味用ならそれもいいかもしれないが仕事用となると万に一つもトラブルがあってログインできないというのは大問題だ。
自分のアカウントからロックアウトされる恐ろしさを一度でも体験していると、ユーザ領域全域を暗号化しようなんて思わない。
別の方法で暗号化したバックアップと、特定の領域だけ冗長性を持たせて持ち歩くというのが今の私のスタイルだ。

FileVaultの一番気に入らないのは暗号化する領域を設定できないということだ。

Exces以外にもいくつかディスクイメージ暗号化ソフトはあったと思う。
そういうものを複数使うというのが一番安全なんじゃないだろうか。
そういえば個人メモは私はMacJournalを使って暗号化しているし。

こういうリスク分散をするのが一番良いんじゃないかなぁ。

2011 年 1 月 6 日

OSXのrootパスワードはシステムディスクがなくてもリセットできる〜ていうことはrootパスワードではプライバシーも何も守れない！？

先日こういうサイトを見つけた。
MacOSXのパスワードを忘れたら | 知ってると便利！Web Tips

なんとOSXのrootパスワードはシステムディスクが無くてもリセットできるそうだ。
システムディスクがあればリセットできることは知っていたが、なくてもリセットできるということはもうrootパスワードでは物理的なアタックからは何も守れないということになる。
本当にそんなことが可能だろうか？
リンク先の手順に従って試してみた。

OS10.6（SnowLeopard）の場合は
シングルユーザモードに入って
/sbin/fsck -y
を打ってEnter、これは「ジャーナリングがかかっているためにこのプロセスは実行できなかった」という表示で止まる。
このコマンドを打つ意味はもうひとつよくわからなかった。
次に
/sbin/mount -uw /
と打ってEnter。
これをやっておかないと次のパスワードリセットのコマンドの「ソケットが用意されていない」という表示で止まってしまう。

（もしOS10.4の場合は、ここまでは
sh /etc/rc
だけでいいそうだ。Tigerの環境がないのでこれは検証できなかった）

次に管理者アカウントの名前が必要なので管理者アカウント名を知らない場合は
ls /Users
と打って管理者アカウントを探しておく。
複数アカウントがあってどれが管理者アカウントか分からない場合は全部のアカウントのパスワードをリセットする。

パスワードリセットのコマンドは、
passwd （アカウント名）
例えば管理者アカウントが「muta」の場合は
passwd muta
でEnter。

これで
「New passwordをタイプせよ」
という英文文字列が出るので、新しく設定したいパスワードを入力する。
さらに
「New passwordをリタイプせよ」
と表示されるのでもう一度新しいパスワードを入力する。

プロンプトが表示されたら
reboot
と打ってEnterでSUM（シングルユーザモード）から脱出する。

こうするとリセットしたアカウントにログインする時に以下のようなキーチェーンのアラートが出る。

パスワードリセットをかけるとログイン時にこういうキーチェーンのアラートが出る
旧パスワードを求められるが分からない場合は
「新しいキーチェーンを作成」を選択することになる
でもそれでログインしてユーザの全てのファイルにアクセスできる

このアカウントが管理者アカウント（最初に設定したユーザ）だったら
Terminalのroot権限を要求されるコマンドも新しいパスワードで実行できてしまう
つまり神の権限を手に入れてしまうということだ

キーチェーンは旧パスワードが分からない場合再構成ということになるので
ブラウザで銀行のアカウントページに自動ログインできない程度のセキュリティは利いている

このTipsはOSXのインストールした時に設定したパスワードを忘れてしまっても、新しいパスワードを設定してパスワードを回復できるということだ。
パスワードが分からないとアップデートも、インストーラを使うアプリのインストールもできないし、さらにトラブルを起こした時にユーティリティアプリやコマンドも活用できない。
パスワードがわからないというのは、
「友だちからMacをもらった」
というシチュエーション以外に、
「Macの管理をしているが前の管理者がいなくなってしまい、しかもそいつがいい加減な奴でパスワードがわからなくなってしまった」
というケースも考えられる。
（「そんな奴オランで」と突っ込まれるかもしれないが残念ながらこれは実話である）

そういうケースは便利で心強いのだが、逆にいうとアカウントのパスワードで個人情報や機密情報を守っているというのは気休めに過ぎないということも分かる。

例えば私は起動時に必ずログイン画面を通過して、ログインパスワードを入力しないとユーザ画面に入れないようにしている。
またスクリーンセーバやスリープ状態からの復帰もパスワードを要求するように設定することができる。
こうすることで厳重なパスワードで個人情報は守られるように思うが、これもシステムディスクがあれば破られてしまうという心細さを感じていた。

ところがこのTipsを利用するとシステムディスクが無くても破れることが分かる。
Macのシステムディスクを持っているのは結構少数派だと思うからまだ安心できないこともないが、ディスクなしでも破れるならこれを知っているかいないかだけのことだ。

アカウントのパスワードは個人情報の保護には役に立たないわけで、そういう目的なら別の暗号化が必要なのだが私はFile Vaultはあまり信頼していないので、別の方法が必要になる。

要はMacBookなどのモバイルは盗難や紛失には気をつけろ・・・ということだ。
物理的に盗難にあって相手がこのTipsを知っていたら、どうにも防ぎようがない。

2011 年 1 月 5 日

MacWinZipper（2プレビュー版）

MacとWindowsでアーカイブファイルをやり取りする時、特にWindowsでは圧倒的多数派のZipでファイルを渡す時にモジバケなどを防いでくれるアプリ。

MacはOSXになって標準でZipをサポートするようになった。
しかしこのZipというファイル圧縮法はやや方言がある。

Macでファイルあるいはフォルダのアイコンの上で右クリックをすると
"◯◯"を圧縮
というメニューがあって、これでZip圧縮できる。
しかしこのZipはMac同士、あるいはLinuxなどの渡す時には問題なくてもそのままWindowsに渡すと中身が文字化けしたり、Mac特有のWindowsユーザにとっては意味不明なファイルがZipに紛れ込んでいたりで、これが永らくWindowsユーザとMacユーザの間に悶着を起こしてきた。

ここらのいきさつは以前にもこちらで取り上げた。
Windowsで文字化けしないzipを作る
Windowsで文字化けしないパスワード付きzipを作る
Windowsで文字化けしない無圧縮zipを作る

MacZip4Win

ただしこのMacZip4Winは使い勝手もいいアプリだったのだが、作者サイトそのものが消滅しており今ではバイナリをダウンロードできなくなっている。
とても有用なアプリだったので、私のところで再配布が可能か検討していたのだが、その使い勝手を再現したアプリがこのMacWinZipperということになる。

年末に出たMacWinZipper2は暗号化機能がついたので、Windowsに機密情報を含んだZipを渡すのに利用できる。
ビジネス用といえる。

今現在はフリーウエアのMacWinZipper1も手に入るがいずれシェアウエアに完全移行するのかもしれない。

MacOSXの右クリックで圧縮したZipが右、
MacWinZipperのアプリアイコンにドロップして圧縮したZipが左
WindowsのファイルシステムはUTF16だというがZipをハンドルするプロセスで
ShiftJISが介在するようでこのモジバケは起きる
MacWinZipperを使えばこのモジバケが防げるだけでなく
._TXT.rtf等のWindowsから見たゴミにしか見えないファイルが混じることも防げる

さらに年末にリリースされたバージョン２ではファイルを暗号化できる
MacWinZipperにファイルをドロップするとこういうダイアログが表示される
ここでパスワードを入力するとファイルが暗号化される

バージョン２ではプロセス表示とGrowl対応も追加された

このファイルをWindowsに渡して右クリックで「展開」ウイザードを呼び出す

するとこの通りパスワード入力を要求される
圧縮時に設定したパスワードがないとこのZipは開くことができない

2011 年 1 月 1 日

あけましておめでとうございます。
今年もよろしくお願いします。

シングルユーザモードに入れない

新年早々早速一発目のトラブルシューティング。

といってもこれも今回初めて遭遇した問題ではなく、以前の問題と同じことをまたやっているという最近の多いパターン。

ある時ふと気がつくとシングルユーザモードに入れなくなっていた。
年末なのでそろそろ大掃除というか、大メンテナンスをやろうとAppleJackをかけるべくシングルユーザモードに入ろうとした。
しかしコマンド＋Sキーを押しながら再起動しても普通に起動してしまい、シングルユーザモードに入れない。

これではメンテナンスができない。
ちょっと焦り気味でググって同じ事例がないか探したところなんと自分のサイトがヒットした。
それはこれ。
OSXのtips3-3

それで原因はこの時と全く同じでPSU Blast Image Configをテストしかけて、結局うまく動かないので捨てたのだがこの最初の動作で
「オープンファームウエア」
を「コマンドモードに切り替える」という動作が原因だった。

ところが今回は前回と違って、もう一度PSU Blast Image Configを起動して「コマンドモード」を外しても元に戻らない。

シングルユーザモードに入れないままなのだが、これを何かリセットするコマンドがあった筈だと思い探してみたところ、こういう記事がヒットした。
Mac の PRAM および NVRAM をリセットする

要するにNVRAMをリセットすればいいのだが、その方法でここに書いてある電源ボタンを長押しして起動するという方法がうまくいった。
無事シングルユーザモードに入れて年末のメンテナンスも完了した。

しかし同じミスを最近いくつも繰り返している。
たまには自分の記事の過去ログに目を通した方がいいかもね。