コンピューティングにおいて、ブラックリスト、不許可リスト、ブロックリスト、または拒否リストは、明示的に指定されたものを除くすべての要素(電子メールアドレス、ユーザー、パスワード、URL、IPアドレス、ドメイン名、ファイルハッシュなど)の通過を許可する基本的なアクセス制御メカニズムです。リストに記載されている項目はアクセスを拒否されます。反対に、ホワイトリスト、許可リスト、またはパスリストは、使用されているゲートに関係なく、リストに記載されている項目のみが通過を許可されます。グレーリストには、追加の手順が実行されるまで一時的にブロック(または一時的に許可)される項目が含まれます。
ブラックリストは、ホスト、ウェブプロキシ、DNSサーバー、メールサーバー、ファイアウォール、ディレクトリサーバー、アプリケーション認証ゲートウェイなど、セキュリティアーキテクチャの様々なポイントに適用できます。ブロックされる要素の種類は、アクセス制御の場所によって影響を受けます。[ 1 ] DNSサーバーは、例えばドメイン名のブロックには適していますが、URLのブロックには適していません。ファイアウォールはIPアドレスのブロックには適していますが、悪意のあるファイルやパスワードのブロックには適していません。
使用例としては、企業が自社のネットワーク上で特定のソフトウェアの実行を禁止する場合、学校が自社のコンピュータから特定の Web サイトへのアクセスを禁止する場合、企業がコンピュータ ユーザーが簡単に推測できる脆弱なパスワードを選択しないようにする場合などが挙げられます。
保護されているシステムの例
ブラックリストは、コンピューティングにおける様々なシステムを保護するために使用されます。ブラックリストの内容は、防御対象となるシステムの種類に応じて調整する必要があると考えられます。[ 2 ]
情報システム
情報システムには、ユーザーマシンやサーバーなどのエンドポイントホストが含まれます。このブラックリストには、企業環境で実行が許可されていない特定の種類のソフトウェアが含まれる場合があります。例えば、企業システム上のピアツーピアファイル共有をブラックリストに登録するなどです。ソフトウェアに加えて、人、デバイス、ウェブサイトもブラックリストに登録できます。[ 3 ]
メール
ほとんどのメールプロバイダーには、迷惑メールとみなされた特定のメールアドレスをブラックリストに登録するスパム対策機能が備わっています。例えば、特定のアドレスからのメールが止まらなくなることにうんざりしているユーザーは、そのアドレスをブラックリストに登録することができます。すると、メールクライアントは自動的にそのアドレスからのすべてのメッセージを迷惑メールフォルダに振り分けるか、ユーザーに通知することなく削除します。
電子メールスパムフィルターは、メールアドレスのブラックリストを作成し、そのアドレスからのメールが宛先に届かなくなるようにすることがあります。また、送信元ドメイン名やIPアドレスを用いて、より包括的なブロックを行う場合もあります。
プライベートな電子メールのブラックリストに加えて、次のような公開用に保持されるリストもあります。
- 中国スパム対策同盟[ 4 ]
- ファベル・スパムソース[ 5 ]
- スパムとオープンリレーブロックシステム
- DrMXプロジェクト
ウェブブラウジング
ウェブブラウザのブラックリストの目的は、ローカルフィルタリングによって、ユーザーが悪意のあるウェブページや詐欺的なウェブページにアクセスするのを防ぐことです。一般的なウェブブラウジングのブラックリストとしては、Firefox、Safari、Chromeにデフォルトでインストールされている Googleのセーフブラウジングがあります。
ユーザー名とパスワード
ブラックリストはユーザー認証情報にも適用できます。システムやウェブサイトでは、特定の予約済みユーザー名をブラックリストに登録し、システムやウェブサイトのユーザーが使用できないようにすることが一般的です。これらの予約済みユーザー名は、通常、組み込みのシステム管理機能に関連付けられています。また、通常、冒とく的な言葉や人種差別的な中傷表現もデフォルトでブロックされます。
パスワードブラックリストはユーザー名ブラックリストと非常に似ていますが、通常、ユーザー名ブラックリストよりもはるかに多くのエントリが含まれます。パスワードブラックリストは、ユーザーが簡単に推測できるパスワードやよく知られたパスワードを選択し、悪意のある第三者による不正アクセスにつながるのを防ぐために適用されます。パスワードブラックリストは、通常、パスワードの長さや文字の複雑さの要件を設定するパスワードポリシーに加えて、追加のセキュリティレイヤーとして導入されます。これは、多くのパスワードポリシーを満たしながらも、簡単に推測されてしまうパスワードの組み合わせ(例:Password123、Qwerty123)が多数存在するためです。
配布方法
ブラックリストの配布方法は様々です。シンプルなメーリングリストを使用するものもあります。DNSBLはDNS自体を活用する一般的な配布方法です。大量のデータ交換のためにrsyncを使用するリストもあります。 [ 6 ] Webサーバー機能も利用されます。シンプルなGETリクエストを使用することも、 RESTful APIなどのより複雑なインターフェースを使用することもできます。
例
- Google、Symantec、Sucuriなどの企業は、マルウェアが存在することがわかっているサイトの内部ブラックリストを保持しており、ユーザーがクリックする前に警告を表示します。
- DansGuardianやSquidGuardなどのコンテンツ制御ソフトウェアは、ブラックリストと連携して、職場や教育環境に不適切と判断されたサイトのURLをブロックする場合があります。このようなブラックリストは無料で入手できるほか、 Squidblacklist.orgなどの商用ベンダーからも入手できます。
- Squid(ソフトウェア)プロキシ用の無料ブラックリストも存在します。例えば、Blackwebなどです。
- ファイアウォールやIDSは、既知の悪意のあるIPアドレスやネットワークをブロックするためにブラックリストを使用することもあります。このようなリストの例として、OpenBLプロジェクトが挙げられます。
- 多くのコピー防止スキームにはソフトウェアのブラックリストが含まれています。
- Password RBL社は、 RESTful API 経由で配布される、Microsoft のActive Directory、Web サイト、アプリ用のパスワード ブラックリストを提供しています。
- オンラインオークションサイトのメンバーは、他のメンバーを個人のブラックリストに追加することができます。ブラックリストに登録されたメンバーは、あなたのオークションに入札したり、質問したり、「今すぐ購入」機能を使用したりすることができなくなります。
- リストの別の形式として、イエローリストがあります。これは、主に正常なメールを送信するが、一部スパムも送信するメールサーバーのIPアドレスのリストです。例としては、Yahoo、Hotmail、Gmailなどが挙げられます。イエローリストに登録されたサーバーは、決して誤ってブラックリストに登録されるべきではないサーバーです。イエローリストが最初にチェックされ、登録されている場合はブラックリストのテストは無視されます。
- Linux のmodprobeでは、
blacklist modulenamemodprobe 設定ファイルのエントリは、特定のモジュールの内部エイリアスをすべて無視することを示します。2 つ以上のモジュールが同じデバイスをサポートしている場合や、モジュールがデバイスのサポートを不正に主張している場合があります。 - 多くのウェブブラウザには、フィッシング対策のブラックリストを参照して、知らないうちに詐欺サイトにアクセスしようとしているユーザーに警告する機能があります。
- 多くのピアツーピアファイル共有プログラムは、著作権を行使する企業が所有していることが知られているサイトからのアクセスをブロックするブラックリストをサポートしています。例えば、Bluetack [ 7 ] のブラックリストセットが挙げられます。
使用上の考慮事項
インターネットセキュリティに使用されるドメイン名とIPアドレスのブラックリストに焦点を当てた最近の会議論文で述べられているように、「これらのリストは一般的には重複しません。したがって、これらのリストは悪意のある指標の1つのセットに収束しないようです。」[ 8 ] [ 9 ]この懸念と経済モデル[ 10 ]を組み合わせると、ブラックリストはネットワーク防御の不可欠な部分である一方で、ホワイトリストやグレーリストと連携して使用する必要があることがわかります。
用語をめぐる論争
いくつかの大手テクノロジー企業や機関は、人種差別との関連性が認識されているため、ブラックリストという用語から公的に距離を置き、代わりにデインリストまたはブロックリストという用語の使用を推奨している。[ 11 ] [ 12 ] [ 13 ] [ 14 ] [ 15 ] [ 16 ]この用語と人種差別との関連性、およびその使用を避けることの価値については議論がある。[ 15 ] [ 17 ]
この用語の使用をめぐる論争
2018年には、略奪的出版に関する報告書[ 18 ]に関するジャーナル解説が発表され、「白人」と「黒人」は人種差別的な意味合いを持つ言葉であり、「ホワイトリスト」や「ブラックリスト」といった文脈では避けるべきであり、「ブラックリスト」の最初の使用記録は「アメリカ大陸のヨーロッパ支配下の植民地でアフリカ人が大量奴隷化され、強制的に強制移送されて労働させられていた時代」であると主張した。この記事は、2020年夏にアメリカでジョージ・フロイド抗議運動が起こった後、主流メディアで取り上げられた。 [ 19 ]
多くのテクノロジー企業が「ホワイトリスト」と「ブラックリスト」を「許可リスト」や「拒否リスト」などの新しい用語に置き換え、「マスター」と「スレーブ」という用語についても同様の用語変更を行った。[ 20 ]例えば、2018年8月、Ruby on Railsは「ブラックリスト」と「ホワイトリスト」のすべての出現を「制限リスト」と「許可リスト」に変更した。[ 21 ]他の企業は2020年6月と7月にこの論争に反応した。
- GitHubは、「黒人コミュニティの開発者にとって不快な可能性のある」多くの用語を置き換えると発表した。[ 22 ]
- アップル社は開発者会議で、より包括的な技術用語を採用し、「ブラックリスト」という用語を「拒否リスト」に、「ホワイトリスト」という用語を「許可リスト」に置き換えると発表した。[ 23 ]
- Linux Foundationは、今後はカーネルコードとドキュメントで中立的な言語を使用し、「ブラックリスト」や「スレーブ」などの用語を避けると述べた。[ 24 ]
- Twitterエンジニアリングチームは、「ブラックリスト」や「ホワイトリスト」を含むいくつかの用語を廃止する意向を表明した。[ 25 ]
- レッドハットはオープンソースをより包括的なものにし、これらの用語やその他の用語を避けると発表した。[ 26 ]
ZDNetは、このような決定を下したテクノロジー企業のリストには「Twitter、GitHub、Microsoft、LinkedIn、Ansible、Red Hat、Splunk、Android、Go、MySQL、PHPUnit、Curl、OpenZFS、Rust、JP Morganなどが含まれている」と報告しています。[ 27 ]
この問題とその後の変更は、「ホワイトリスト」と「ブラックリスト」という言葉が広く使われているコンピュータ業界で論争を引き起こした(例えば、IPホワイトリスト[ 28 ])。これらの変更に反対する人々は、「ブラックリスト」という言葉が人種に由来するのではないかと疑問を呈し、「ブラックリスト」という言葉は中世イングランドで黒人名簿(ブラックブック)が使われていた慣習に由来していると主張している[ 20 ] 。
参考文献
- ^ティモシー・シミール、ジョナサン・スプリング(2013年11月12日)『情報セキュリティ入門:戦略に基づくアプローチ』ニューネス、ISBN 9781597499729。
- ^ 「ドメインブラックリストエコシステム - ケーススタディ」insights.sei.cmu.edu . 2015年6月17日. 2016年2月4日閲覧。
- ^ Rainer, Watson (2012).情報システム入門. Wiley Custom Learning Solutions. ISBN 978-1-118-45213-4。
- ^ "反垃圾邮件联盟" . 2015-08-11 のオリジナルからアーカイブ。2015 年 8 月 10 日に取得。
- ^ 「Fabelsources – ブラックリスト」。
- ^ 「ガイドライン」 . www.surbl.org . 2016年2月4日閲覧。
- ^ 「BISSフォーラム – FAQ – ブロックリストに関する質問」Bluetackインターネットセキュリティソリューション。2008年10月20日時点のオリジナルよりアーカイブ。 2015年8月1日閲覧。
- ^メトカーフ、リー、スプリング、ジョナサン・M. (2015年1月1日). 「ブラックリスト・エコシステム分析」.第2回ACM情報共有と協調セキュリティワークショップ議事録. pp. 13– 22. doi : 10.1145/2808128.2808129 . ISBN 9781450338226. S2CID 4720116 .
- ^ Kührer, Marc; Rossow, Christian; Holz, Thorsten (2014-09-17). 「Paint It Black: Evaluating the Effectiveness of Malware Blacklists」. Stavrou, Angelos; Bos, Herbert; Portokalidis, Georgios (eds.). Research in Attacks, Intrusions and Defenses . Lecture Notes in Computer Science. Vol. 8688. Springer International Publishing. pp. 1– 21. doi : 10.1007/978-3-319-11379-1_1 . ISBN 9783319113784. S2CID 12276874 .
- ^ Spring, Jonathan M. (2013-09-17).悪意あるドメイン名の削除ダイナミクスのモデル化:eCrimeが利益をもたらす理由. 2013 ECrime Researchers Summit (eCRS 2013) . IEEE. pp. 1– 9. CiteSeerX 10.1.1.645.3543 . doi : 10.1109/eCRS.2013.6805779 . ISBN 978-1-4799-1158-5. S2CID 8812531 .
- ^ Cimpanu, Catalin (2020年6月14日). 「GitHub、奴隷制への言及を避けるため「マスター」を別の用語に置き換える」 . ZDNET . 2025年1月2日閲覧。
- ^ 「ジョージ・フロイド:ツイッターが「主人」「奴隷」「ブラックリスト」を削除「 . BBCニュース. 2020年7月3日. 2025年1月2日閲覧。
- ^ Cimpanu, Catalin (2020-07-11). 「Linuxチームが新しい用語を承認、『ブラックリスト』や『スレーブ』などの用語を禁止」「 . ZDNET . 2025年1月2日閲覧。
- ^ Kan, Michael (2020年7月17日). 「Apple、コーディングプラットフォームから「マスター/スレーブ」および「ブラックリスト」用語を削除へ」 . PCMag . 2025年1月2日閲覧。
- ^ a bコンガー、ケイト (2021-04-13). "「『マスター』『スレーブ』とコンピューター業界における侮辱的用語をめぐる争い」。ニューヨーク・タイムズ。 2025年1月2日閲覧。
- ^ミラネージ、カロライナ (2021年6月29日). 「テクノロジーにおけるインクルーシブな言語とデザインの重要性」 . Forbes . 2025年1月2日閲覧。
- ^ Jocom, Juan Miguel (2022年3月24日). 「論説 | 「ブラックリスト」と「ホワイトリスト」は人種差別主義者ではない、あなたこそが人種差別主義者だ」 . The Seattle Collegian . 2025年1月2日閲覧。
- ^ Houghton, F., & Houghton, S. (2018).「「ブラックリスト」と「ホワイトリスト」:略奪的出版に関する議論における人種差別的言語の蔓延に関する有益な警告」
- ^ Taylor, Derrick Bryson (2020年7月10日). 「ジョージ・フロイド抗議活動:タイムライン」 .ニューヨーク・タイムズ. ISSN 0362-4331 . 2020年10月14日閲覧。
- ^ a b Cimpanu, Catalin. 「GitHub、奴隷制への言及を避けるため「マスター」を別の用語に置き換える」 ZDNet . 2020年10月14日閲覧。
- ^ 「merge pull request #33681 from minaslater/replace-white-and-blacklist · rails/rails@de6a200 · GitHub」 . Github.com . 2022年3月3日閲覧。
- ^ 「GitHub、奴隷制への言及を避けるため「マスター」を別の用語に置き換える」 ZDNet 2020年8月14日閲覧。
- ^ 「Apple、包括的な言語を推進するため『ブラックリスト』と『マスターブランチ』を廃止」 msn.com 2020年7月20日閲覧。
- ^ 「inclusive-terminologyのプルリクエスト」 . git.kernel.org . 2020年8月14日閲覧。
- ^ 「私たちは、より包括的な言葉遣いを優先するために、使用をやめたい言葉のセットから始めています」。twitter.com 。2020年8月14日閲覧。
- ^ 「問題のある言語を排除することでオープンソースをより包括的にする」 redhat.com 2020年8月14日閲覧。
- ^ 「Linuxチームが新しい用語を承認、『ブラックリスト』や『スレーブ』などの用語を禁止」「 . ZDNet . 2020年8月14日閲覧。
- ^ 「IPホワイトリスト - ドキュメント」 . help.gooddata.com . 2023年7月10日閲覧。
