技術基準適合証明(技適),スマートモニター

デジタルガジェットには、無線の電波を出すデバイスが多いです。よく知られている無線の技術としては、Wi-Fi、Bluetoothがあり、日常生活にはますます必要不可欠となっています。そして、それらに非常に関係のあることとして、電波法、技術基準適合証明(技適)があります。

リソースに限りのある電波を、公平かつ能率的に利用できるようにするため、電波法が定められています。技適マークの付与されていない無線機を使用すると、電波法違反となり、使用者が罰せられます。

私は、昨年の7月末に124ccのバイクを購入しました。バイクには、ドライブレコーダーやスマホホルダーを取り付けています。ここ最近は、ナビのために、注目しているデバイスがありました。

デイトナのモトスマートモニターです。
以下の点で注目していました。

①Apple CarPlay / Android Autoに対応している
②バイク向け
③防水防塵
④技術基準適合証明を取得している

しかし、法令の問題で発売延期となってしまいました。

なぜ発売延期となったのか、を推測されている方がいました。

Wi-Fiは、2.4GHz、5GHzという周波数で通信することができます。そのなかでもっと細かく周波数が分かれています。
日本では、5GHzの中では5.2GHz(W52)、5.3GHz(W53)、5.6GHz(W56)が使えます。5.8GHz(W58)は、日本では、車載ETCが5.8GHzを利用しているため、使えません。
5.2GHz(W52)、5.3GHz(W53)、5.6GHz(W56)でも、周波数によってはDFS機能が必要だったり屋外では使えなかったりします。それを以下の表にまとめました。

周波数DFS屋内屋外
W52不要使用可能条件付き使用可能
①AP と中継器は、人工衛星に影響を与えないように工夫が施された専用機器でなければならず、総合通信局に登録局の登録が必要
②端末は、①のAPや中継器と通信する場合は使用可能
③車両内、船舶内、航空機内は、屋内と同様扱いで使用可能
W53必須使用可能使用不可
W56必須使用可能使用可能

DFSとは何でしょう?

気象レーダーや航空レーダーも5.3GHz、5.6GHzを使っています。その電波との干渉を避けるべく、Wi-Fi機器は、動作中にレーダーを検出すれば、ほかのチャネルに移動しなければなりません。このチャネル変更処理がDFS(Dynamic Frequency Selection)です。

推測されていた方によれば、デイトナのモトスマートモニターは、技適の情報によれば、W56に対応していたが、DFS機能は付けていなかったのではないか、ということです。

今のところ、Apple Carplay/ Android Auto対応で、電波法に適切に対応しているものは、知る限りでは1つだけあります。タナックス株式会社のスマートライドモニターです。発表されたばかりで、Twitter上でタナックスの方に確認したところ、W56、DFS機能対応とのことでした。

海外からの輸入品とみられる電子機器がインターネット上によく出てきますが、技術基準適合証明を適切に受けていないと思われるものが多いです。他にApple Carplay /Android Auto対応と謳っているバイク向けのスマートモニターも、技術基準適合証明を適切に受けていなかったり、バイク向けなのに屋外使用不可のW52の電波を出していたりしています。

技術基準適合証明を受けずに販売しても捕まることはなく、技術基準適合証明を受けていない機器を使用したり、電波法に違反する状態で使用したりしたら、使用者が捕まるようになっています。そのため、購入者側のほうで、技術基準適合証明を受けているかを確認し、適切に技術基準適合証明を受けていないのであれば購入しないようにしましょう。

Coinhive,不正指令電磁的記録罪

ずっと注目していたCoinhive事件、12月9日に最高裁第1小法廷で上告審弁論が開かれた。

「技術開発を萎縮させる」「無断利用は明らかに違法」 Coinhive事件上告審弁論 – ITmedia NEWS
https://www.itmedia.co.jp/news/articles/2112/10/news067.html

Coinhiveとは何か、Coinhive事件とは何か、まずおさらいしておこう。
まず、Webサイトの運営者がCoinhiveをWebページに埋め込む。そのWebページを訪問した閲覧者のPCで暗号資産(仮想通貨)のマイニング(採掘)が行われ、運営者がマイニングの利益の7割を受け取ることができる、というものであった。現在はすでにCoinhiveのサービスは終了している。

広告を表示させることなく、Webページが閲覧されることで利益が発生するということで、Coinhiveに注目していた人もいた。そして、Coinhiveを設置していた21人が全国の警察に検挙されたのが、Coinhive事件である。

この事件での罪名は、不正指令電磁的記録に関する罪(刑法168条の2および168条の3)。

検挙されたうちの一人のWebデザイナーの男性が裁判を受けている。男性は、2018年3月に横浜簡易裁判所で罰金10万円の略式命令を受け、これを不服として異議を申し立てる刑事裁判を起こした。2019年3月、横浜地方裁判所で無罪判決が言い渡された。しかし、横浜地方検察庁が判決を不服として東京高等裁判所に控訴。東京高等裁判所では罰金10万円の逆転有罪判決。男性が上告、という流れだ。

弁論の内容に関する記事やツイートを読んで、感じたことを以下に挙げる。

検察「常識でわかりませんか?」
→常識で判断すれば、法律は要らなくなるんじゃない?

検察「自分が利益を得るために他人のPCを無断利用する行為が違法なのは、常識に照らし明らかだ」
→PCは、どんな処理でも電力を利用する。興味もない広告を表示するのにも電力を使う。検察側の言い分によれば、表示させることで利益を得ている広告も違法、ということになるんじゃないか?

検察「たとえ被告人が社会のためになるような情報を発信するWebサイトを運営していたとしても、社会のために他人の家を勝手に使っていいわけがない」
→Webサイトを表示させるのに電力を使うけど?この言い分によれば、Webサイトは全てアウトということになると思うが?

検察「マイニングは社会問題である」
→本件とは関係のない話だよね?

検察「coinhiveはcryptojacking(クリプトジャッキング)と言われ世界各国で問題になっている」
→cryptojackingは、「他人のWebサイトを不正に改竄して、マイニングツールを埋め込む行為」というのが正確な定義だと思う。今回の事件は、自分でマイニングツールを設置しているよね?
あらゆるサイトでcryptojackingの説明がされているが、「他人のWebサイトを不正に改竄して」という部分がなかったりする

検察「これが無罪になっては日本は格好の草刈り場になる!」
→これが有罪になっては日本から新技術が生まれなくなる!

検察「人々は、怖くてインターネットに繋げなくなってしまう」
→新技術開発者は逮捕されるのが怖くて、新技術を開発しなくなってしまう

検察「Coinhiveは通常表示されない言語で記述されており、ユーザーの同意も得ていない。被告人はCoinhiveの使用を隠そうとしていた」
→ソースコードは通常表示されない。表示されて目に見える部分だけが全てではない。バックグラウンドで動くプログラミングなどいくらでもある。

日本が世界から取り残されないよう、正しい判決を願う!

VPS,Linux,サーバ

これまでは、サーバのOSとして、CentOS 8を使っていました。
しかし、衝撃的なニュースが出て、対応に迫られました。

CentOS Project shifts focus to CentOS Stream – Blog.CentOS.org
https://blog.centos.org/2020/12/future-is-centos-stream/

ざっくり言いますと、こういう内容です。

  • CentOS 8は、2021年の終わりをもって、サポートを終了する。
  • CentOSは、今後CentOS Streamへ移行する。

CentOS Streamは、RedHatの開発ブランチという位置づけのようです。
つまり、安定した環境を求めたいユーザには適していない環境だと思います。

そこで、現在あるサーバをどうしていくか、時間をかけて検討してきました。

CentOSの代わりに、どういうOSが良いのだろうか、調査を行いました。
Linuxには、様々なディストリビューションが存在しています。
RedHat、Fedora、CentOS、Debian、Ubuntu、Slackware、…。
サポート期間の長さ、安定性という評判の良さだけでなく、実際に構築できるかどうかも、仮想マシンを使って確認してきました。
その結果、2021年8月14日にリリースされたばかりのDebian 11が良さそう、と判断しました。

OSが決まった後は、新たにVPSを契約して、サーバの移行作業を進めてきました。
サーバを構築したり、メインコンテンツとブログのサイトを分離したりしてきました。
本日、DNSレコードを変更し、Webサーバの切り替えを実施しました。
メインコンテンツのページは、現在も書き直しを進めていますが、CentOS 8サポート終了問題への対応は完了しました。

アプリ

13日夜、福島県沖を震源とする最大震度6強の地震が発生した。全国で150人以上がけがをされており、今後もさらなる地震に注意する必要があるということであった。

緊急地震速報システムというものがあり、地震波を検出して、強い地震が予想される場合に緊急地震速報をテレビや携帯電話に出すようになっている。

では、緊急地震速報をパソコンに通知してくれる方法はあるのか、調べてみた。いくつかアプリを見つけたので、紹介する。

ウェザーニューズ 緊急地震速報サービス The Last 10-Second

https://weathernews.jp/quake/html/urgentquake.html

ウェザーニューズは、様々な気象情報を提供する会社だ。緊急地震速報サービスも提供している。
しかし、このサービスを利用するには、月額300円(申し込み月は無料)の会員登録をしなくてはならない。

強震モニタ Extension (Chrome 拡張機能)

https://chrome.google.com/webstore/detail/%E5%BC%B7%E9%9C%87%E3%83%A2%E3%83%8B%E3%82%BF-extension/ghkclpkmplddbagagffmmcmdbgjecbbj?hl=ja

Chromeの拡張機能として、防災科学技術研究所の強震モニタを自動監視し、地震があるとアラームを出してお知らせしてくれる。Chromeの拡張機能なので、もちろんChromeをインストール、起動しておく必要がある。
ブラウザはFirefox派だ、とかEdge派だ、とかいう人もいると思う。

KiWi Monitor

https://kiwimonitor.amebaownd.com/

デスクトップアプリとして動作する。Windowsのみに対応している。普段はトレイに最小化しておいて、地震があったときに自動的にウィンドウが表示されて知らせてくれる。

JQuake

https://jquake.net/

デスクトップアプリとして動作し、Windows、macOS、Linuxに対応している。(Java 8をあらかじめインストールしておく必要がある。)KiWi Monitorと同様、普段はトレイに最小化して、地震があったときに自動的にウィンドウが表示されて知らせてくれる。ゲームなどで、地震があっても表示してほしくない場合にゲームモードをオンにすることも可能だ。

今日、地震速報アプリについて調べていて、いいものを見つけられなかったため一旦は諦めていた。しばらくしてTwitterを眺めていると、JQuakeがおススメというツイートが流れてきた。JQuakeを見てみると、確かにこれはいいなと思った。JQuakeを紹介したく、この記事を執筆した。

自分もJQuakeを一番おススメしたい。

署名,暗号化,セキュリティ対策

米国時間の8月29日、オープンソースのメーラー「Thunderbird」の最新版78.2.1が公開された。本バージョンでは、OpenPGPがデフォルトで有効化されたことが特徴だ。

「OpenPGP」がデフォルトで有効化された「Thunderbird 78.2.1」がリリース
「GnuPG」や「Enigmail」アドオンを導入しなくてもデジタル署名と暗号化メールが扱える

https://forest.watch.impress.co.jp/docs/news/1273939.html

そこで、今回はメールの暗号化・署名をテーマとする。

メールにおけるリスク

メールのやり取りにおいて、盗聴、なりすまし、改竄というリスクが存在する。

(盗聴)
メールは、いくつものメールサーバを経由して、相手に届く。相手に届くまでの通信経路上での盗聴により、情報が盗まれるリスクがある。

この対策のために、ファイルを暗号化して、メールで送るという方法がよく行われる。この場合、暗号化したファイルのパスワードも同じメールか、別のメールで知らせることが多いだろう。しかし、それでは暗号化した意味がないと考えている。なぜなら、ファイルの送信もパスワードの通知も、同じメールという手段を利用しており、通信経路上で盗聴されていると、1通目を見ることができているならば、2通目も見ることができるのではないか、と考えることができるからである。

IPAが発行している「中小企業の情報セキュリティ対策ガイドライン第3版」の付録3「5分でできる!情報セキュリティ自社診断」においては、「パスワードはその電子メールには書き込まず、電子メール以外の手段で通知することが必要」とされている。

SSLを用いたとしても、通信が暗号化されるのは、自分が使用しているメールサーバまでであり、そこから先の通信の暗号化は保証されていないため、盗聴を防ぐことにはならない。

盗聴対策としては、送信者の端末から受信者の端末までの通信経路上全てでメッセージが暗号化された状態で通信される手段が求められる。

(なりすまし)
送信者を別の人のものに偽装することができるので、それでなりすまして、情報を聞き出したり、勝手にメッセージを伝えるなどの不正行為が考えられる。

なりすまし対策としては、送信者が自身の端末から送信されたことを確認できる手段が求められる。

(改竄)
通信経路上で、メッセージに手が加えられ、不正なリンクを加えられるなどの不正行為が考えられる。

改竄対策としては、送信者が送信されたメッセージそのものであることを確認する手段が求められる。

対策

対策として、メール自体を暗号化したり、署名データを付けて送るという方法がある。そのための技術として、S/MIMEとOpenPGPがある。

暗号化と署名のそれぞれの仕組みは以下の通りである。

(暗号化)
送信者は、受信者の公開鍵を使用してメールを暗号化して送信する。受信者は、自分の秘密鍵を使用してメールを復号して読むことができる。メールを復号できるのは、送信者と受信者の端末のみであり、途中のメールサーバなどでは復号することはできない。

(署名)
送信者が自らの秘密鍵を使って、メッセージから署名データを作成して送信する。受信者は、送信者の公開鍵を使用して署名データを復号し、受け取ったメッセージと同一であることを以って、送信者自身の端末から送信されたメッセージそのものであることを確認することができる。

S/MIMEは、個人証明書をあらかじめ入手しておく必要がある。有料のところが多く、無料で入手できるところはあまりない。Let’s Encryptは無料でSSL証明書を発行しているが、S/MIMEには非対応である。無料でS/MIMEの証明書を入手できるところは、イタリアの認証局「Actalis S.p.A.」があるが、他にもあるかは把握していない。

OpenPGPでは、使用する公開鍵や秘密鍵を生成するために証明書を購入する必要はなく、無料で導入できる。ただし、対応するメーラーが限定されている。

メールのやり取りで、情報漏洩対策、なりすまし対策、改竄対策を実施したいならば、S/MIMEやOpenPGPを利用すべきである。

(参考)
中小企業の情報セキュリティ対策ガイドライン第3版
https://www.ipa.go.jp/security/keihatsu/sme/guideline/index.html