セキュリティホール memo - 2004.06

Last modified: Fri Sep 10 12:12:35 2004 +0900 (JST)

■ 2004.06.30

N+I 2004 TOKYO に行くので、7/1 と 7/2 のこのページの更新は多分ありません。
》発明対価訴訟：液晶画面めぐり5億円、シャープ元研究員が提訴 (毎日, 6/30)。
》東シナ海ガス田話。問題の概要は【中国】日中境界海域で資源採掘施設 [05/28]　まとめサイト参照。
- 閣議後大臣記者会見の概要: 平成１６年６月２９日（火）１１：０５～１１：２２於：記者会見室 (経済産業省)
  
  Ｑ：　実際に船を出して来月ぐらいにやるということですか。
  　
  Ａ：　そうです。できるだけ早く来月前半に船を出して、いわゆる三次元調査を中間線に沿った日本の側の調査をやっていきたいと決めまして、今作業を進めているところです。今申し上げたように７月早々にも実際の船が調査の活動ができるように、今鋭意作業を進めております。
  (中略)
  
  Ｑ：　中国側からは共同でやりませんかという話が出ているのですが、これは結果的にそうなるのか、それとも独自に競合というか、こちら側でやっていくということですか。
  　
  Ａ：　共同ということは、お互いに協力し合って、譲り合ってやっていくということですけれども、こちらが外務大臣、私も含めていろいろなレベルでデータをくださいと、教えてくださいと言ったらそういうことを言っている。しかし、先方側は着々と進んでいるわけですから、共同開発というのは現実には全く考えておりません。
  
  まずは掘れ!
- 日本の調査開始に中国が不満表明　東シナ海ガス田開発 (asahi.com, 6/30)
  
  沈次官補は、日中間で東シナ海のＥＥＺの境界が合意されていないことを挙げ、「係争中のものについては一方的な行動をとるべきではない」との立場を説明。
  
  いやはや。中国はさんざんやっているくせに、よくこういうことが言えるなあ。
- 中国海軍艦艇の動向について (海上幕僚監部, 6/27)
  
  魚釣島の北北東　約８５kmの我が国の排他的経済水域内で、中国のヤンライ級測量艦「東測２２６」を確認した。
  　同船は、同日午後１時ごろから、ケーブルを曳航しながら航行し、海洋調査と思われる活動を実施している。
》 FOMAにまたもバグ～「P900i」自動的に再起動 (ITmedia, 6/30)。自動再起動キャンペーン実施中。
》ナショナル自転車が欠陥事故公表せず　１万台無料点検へ (asahi.com, 6/30)。なんだかなあ。
》アブラガニを「タラバ」として販売　そごうなど排除命令 (asahi.com, 6/30)。北海道物産展にニセタラバガニ登場、だそうで。
》サイバー犯罪条約来月発効　通信の秘密・表現の自由制約に懸念の声 (毎日, 6/28)。

今国会に提出された関連法案5本のうち、改正電波法と改正児童買春・児童ポルノ禁止法の2法が成立したが、他の法案は継続審議となった。このため条約の締結は、今秋の臨時国会以降とみられる。

　せっかく継続審議になったので、学問的・技術的議論すら困難にしかねない法案は直してほしいなあ。
》医薬品医療機器情報提供ホームページ (独立行政法人医薬品医療機器総合機構) というものがあるのですね。
》ネットワークアソシエイツ、セキュリティポリシーの遵守を可能にするCisco Network Admission Controlのサポートを発表 (NAI, 6/23)。 NAI もようやく CISCO NAC の「第1フェーズをフルサポート」を発表。本命は VSE 8.0i なのかな。
》ソフォス、Mac OS X ユーザーをウイルス攻撃から保護～ Sophos Anti-Virus for Mac OS X、ネットワーク一括管理機能を提供～ (Sophos, 6/30)。
》不正アクセス行為の禁止等に関する法律違反の第二回公判を傍聴した記録 (ちせのぺーじ@せきゅりてぃ)。ちせ氏は第一回公判の記録もされており、個人的にはこのあたりが興味深い:

・裁判官から「アクセス制限はなかったのか？」との確認。
・弁護側から「アクセス制限機能の解除された領域にアクセスしたに過ぎない」と説明。
(中略)
・裁判官から「パスワード認証におけるアクセス制限はなかったのか？」と再度確認。
》「セキュリティ対策推進協議会」設立～NTT Comら20社以上が参加 (Internet Watch, 6/30)。

「セキュリティ対策推進協議会（SPREAD：Security Promotion Realizing Measures Distribution）」(中略) は、日本ネットワークセキュリティ協会（JNSA）とTelecom-ISAC Japanが中心となり、OSにパッチをきちんと適用するなど、情報セキュリティ対策を推進するために設立された団体だ。
》輸入権関係
- ネットで読める吉川晃課長 (kbng, 06/26)。印刷して、明日新幹線の中で読むかなあ。
- 文化庁主催のシンポジウムへ (owner's log by Kentaro Takahashi, 6/28)。文中「6/22のBLOGで僕が書いたの」はこちら。
》「馬面」「小あご」ご用心、睡眠時無呼吸症候群で研究 (asahi.com, 6/30)。太っていない人も要注意。
》有線ブロードの大幅値引き、公取委が停止命令申し立て (asahi.com, 6/30)。ダンピングですか。
》総務省「国民のための情報セキュリティサイト」のコンテンツの追加 (総務省, 6/30)
》－ファイル交換ソフト利用経験者は、240.6万人に－「ファイル交換ソフト利用実態調査」結果（2004/6/28） (ACCS)。「インターネット上の WEB アンケートサイトを利用して実施」したという数値を、インターネット接続サービスの利用者数等の推移【平成16年3月末現在】（速報） (総務省, 4/30) にそのまま適用していいのか? 「利用経験者は、240.6万人に」と言うと多そうに聞こえるが、「現在利用者: 2.8%、過去利用者: 4.3%」と言うと少なそうに聞こえる。過去利用者 = 昔やってたけど今はやってない人、の方が多いし。 WinMX や Winny がビジネスに実際に影響を与えているとしても、数 % 程度の数字だと思うのだが。
》 BSE 関連
- 米で２例目のＢＳＥか　農務省が確認検査 (asahi.com, 6/26)。「疑似陽性」段階、確認検査中。
- 亀井農林水産大臣記者会見概要（平成16年6月29日(火)　9：59～10：22　於：本省会見室） (農林水産省)
- 米でＢＳＥの疑いある牛見つかる　農務省が発表 (asahi.com, 6/30)。「疑似陽性」段階、確認検査中。
- 米の労組牛の全頭検査を要求 (NHK, 6/30)
- ＢＳＥ：宮城で１頭が陽性反応　１次検査 (毎日, 6/30)
》鳥インフルエンザ関連
- 鳥インフルエンザ不衛生から (NHK, 6/29)。もとをたどれば、日常業務の不備に行きあたった模様。
- ベトナム：鳥インフルエンザが再発生　５０００羽処分 (毎日, 6/30)
- 鳥インフルエンザの毒性、年々強まる…米中専門家分析 (読売, 6/29)
》自動回転ドア関連
- 自動回転ドアの事故防止対策に関するガイドラインについて (経済産業省, 6/29)。「固定側内面の直径が 3m を越える自動回転ドア」が対象。それよりも小型のものや手動回転ドアの場合は対象外。
- 回転扉のＪＩＳ規格制定へ (NHK, 6/30)。JIS 化するそうで。
》個人情報流出話
- 個人情報流出：ＴＢＳラジオ番組でｉモード利用者に (毎日, 6/30)
  ｅｚ－ｗｅｂ用のセキュリティー保護を誤ってｉモード用のシステムに設定したため、ユーザーＩＤの混同が起こった。
- お茶の水大全学生データ流出 (NHK, 6/29)。PC 等の盗難によるもの。
- 視聴者アドレス１５０人分、読売テレビが誤送信 (読売, 6/30)。
  スタッフが送信の際、他人のメールアドレスを表示しない設定にしていなかったため
  状況がよくわからんなあ……。
》君の投票を待っているぞ!! (宮城県選挙管理委員会)。宮城県サイコー。
》「華氏９１１」が興行トップ　ムーア氏「度肝抜かれた」 (asahi.com, 6/29)。キタキタキター。
》警察不祥事関連
- 京都府警：捜査員の旅費、一括管理　裏金流用の疑いも (毎日, 6/30)
- 盗難事件でっち上げ、捜査書類３００件偽造　兵庫県警 (asahi.com, 6/30)
  兵庫県警で捜査書類偽造が明らかに (TBS, 6/30)
  兵庫捜査書類２００件偽造 (NHK, 6/30)
  兵庫県警事件でっちあげも (NHK, 6/30)
  兵庫県警、容疑の十数人を書類送検へ　書類偽造問題(asahi.com, 6/30)
  書類の偽造は６月と１１月の「職務質問強化月間」の期間中に集中しており、隊員に課せられたノルマが不正を助長したと県警はみている。
- 捜査用報償費ほぼ全額を不正会計処理　北海道警の２署 (asahi.com, 6/30)
  警察の不正報償費７００万円 (NHK, 6/30)
- テレビ西日本に爆発予告メール　容疑の元警視庁警官逮捕 (asahi.com, 6/30)
》 Webアプリケーションの脆弱性は修復してもなお93％に脆弱性が残る (Internet Watch, 6/30)。
》ネット上のポルノ規制は違憲～米最高裁判決 (Internet Watch, 6/30)。USA の「自由」に対する情熱はまだまだ冷めてはいないようです。
》マスターカード、フィッシング撲滅に注力--セキュリティ対策会社や連邦機関と連携 (CNET, 6/23)。どこまで本気なのかよくわからんが……。
》経済産業省のパブリックコメントって、興味深そうな話題が目白押しな気が。
》 2004 E-Crime Watch Survey Shows Significant Increase in Electronic Crimes (CERT/CC)。
》 WWDCの基調講演関係 (リンクとか備忘録とか日記とか, 6/30)。確か SAN をやるという話があった気がするので、「２ノードでアクティブ／スタンバイ構成を取れるファイルサーバ」なんて話が出てくるのだろうな。まあ、話はモノを出してもらってからだけど、とりあえず注目しておくことにしよう。
》 2004年 7月開催・東京、福岡、大阪、名古屋、札幌「脆弱性関連情報取り扱い説明会」 (JPCERT/CC)。7/20～30 にかけて全国行脚だそうです。

■ Apache 2.0.46～2.0.49 Input Header Folding Denial of Service Vulnerability
(secunia, Tue, 29 Jun 2004 03:01:09 +0900)

　apache 2.0.46～2.0.49 に欠陥。ap_get_mime_headers_core() 関数に欠陥があり、空白または TAB ではじまる長大なヘッダによって DoS 攻撃が可能な他、4GB 以上の仮想記憶を持つ 64bit 環境においては heap overflow が発生する。

　apache 2.0.50 で修正されている。また apache 2.0.47～2.0.49 用の patch が用意されている。

2004.07.15 追記:

　この欠陥だが、32bit 環境においても、PHP などの 3rd party モジュールにおいて顕著な影響が発生する、との指摘が登場している。 PHP 4.3.7 / 5.0.0RC3 に 2 つの欠陥を参照。

2004.07.30 追記:

fix / patch:

Red Hat Linux ES 3: RHSA-2004:342-10 - Updated httpd packages fix security issues
Fedora Core:
[SECURITY] Fedora Core 2 Update: httpd-2.0.50-2.1
[SECURITY] Fedora Core 1 Update: httpd-2.0.50-1.0
FreeBSD: ports/www/apache2
Mac OS X: APPLE-SA-2004-09-07 Security Update 2004-09-07

■ SA11966: Internet Explorer Frame Injection Vulnerability
(secunia, 2004.06.30)

　[Full-Disclosure] SUPER SPOOF DELUXE : Take Two の件のようなのだけど、手元の環境では再現しないなあ……。なんでだろ～。

2004.07.01 追記:

　関連:

[memo:7615] memo：フレーム中に任意のコンテンツ。 JavaScript + ポップアップウィンドウ有効だと、Windows XP SP2 RC2 でも有効のようです。
IEにセキュリティ・ホール，フレーム中に任意のコンテンツを表示させられる (日経 IT Pro, 6/30)。デモ成功時の画面が掲載されています。
IEにまた脆弱性、旧バージョンでは修正済みだがIE5/6には影響 (ITmedia, 7/1)
IEのフレーム内にほかのサイトを表示できるスプーフィング脆弱性 (Internet Watch, 7/1)
IE5/6でエンバグ、セキュリティホール復活 (slashdot.jp, 7/1)

2004.07.12 追記:

　IE の場合は、インターネットオプションの [セキュリティ] で、各ゾーンにおける「異なるドメイン間のサブフレームの移動」を無効にすることで回避できるそうだ。画像。

[memo:7619] 以下のスレッド
IEの“フレーム詐称問題”はセキュリティ設定で回避可能 (Internet Watch, 7/5)。各種 web ブラウザでの状況の一覧も掲載されている。

　なお、「異なるドメイン間のサブフレームの移動」を無効に設定すると、たとえば 2 ちゃんねる掲示板の閲覧に支障が出ます。専用ブラウザを使えばよいのでしょうが……。

　[memo:7646]。すいません。_o_

2004.09.09 追記:

　SA11978: Multiple Browsers Frame Injection Vulnerability (secunia)。 Safari: CAN-2004-0720。

■ 「オンラインすり」にご用心――新たなトロイの木馬プログラム見つかる
(ITmedia, 2004.06.30)

　Download.Ject が話題になったときに「偽装画像ファイルで?」という話が出ていたように記憶しているが、これのことか。 Windows XP SP2 にはこういうものへの対策も含まれていますね。

2004.07.01 追記:

　関連:

新たなトロイの木馬攻撃で浮き彫りになるIEの危険性 (ITmedia, 7/1)
ITmedia: 新たなトロイの木馬攻撃で浮き彫りになるIEの危険性 (IDG) (SecuLog, 7/1)
Windows XP SP2のセキュリティ機能 (@IT, 4/7)。[ツール] メニューの [アドオンの管理] に注目。
BHODemon 2.0 (definitivesolutions.com)。

■ 追記

[Full-Disclosure] Buffer overflow in apache mod_proxy, yet still apache much better than windows

Debian GNU/Linux: [SECURITY] [DSA 525-1] New apache packages fix buffer overflow in mod_proxy
FreeBSD: ports/www/apache13。1.3.31_1 以降で fix されている。 apache13-modssl の場合は 1.3.31+2.8.18_4 で fix されている。

Download.Ject に関する情報

　関連情報:

871277 - インターネットインフォメーションサービス (IIS) 5.0 - Download.Ject の検出と復旧について (Microsoft)

　関連報道:

IIS/IEを攻撃するDownload.Jectに関与したロシアのWebサイトが閉鎖に (日経 IT Pro, 6/29)

■ Juniper JUNOS PFE の IPv6 処理にメモリリークの脆弱性
(JPCERT/CC, 2004.06.30)

　2004.02.24 以降の Juniper JUNOS Packet Forwarding Engine (PFE) に欠陥。 JUNOS で IPv6 を有効にしている場合に、特定の IPv6 パケットによってメモリリークが発生する。これを利用すると、外部から DoS 攻撃が可能となる。

　2004.06.21 以降の JUNOS で修正されている。また、IPv6 を無効とすることで回避できる。

　関連:

■ 2004.06.29

》放射性廃棄物スソ切り問題連絡会。原発ゴミは、くらしを直撃する問題だということを理解しましょう。パブリックコメントはこちら: 総合資源エネルギー調査会原子力安全・保安部会廃棄物安全小委員会報告書（案）に対する意見募集について (経産省)。〆切: 2004.07.08 17:00。

　関連: 「クリアランス」に関する欧州放射線リスク委員会のガイダンスノート: 議論の紹介とECRRの反対する視点 (美浜の会)。
》「ソフトウェア等脆弱性関連情報取扱基準（案）」に対する意見 (JISA, 5/27)。匿名希望さん情報ありがとうございます。

ウェブアプリケーションの場合、その脆弱性を偶然発見する事は少なく、意図的にそのホームページを調べることで脆弱性が明らかとなることが多い

　根拠のある主張なのだろうか。

現在情報処理推進機構を窓口とする「コンピュータウィルスに関する届出制度」、あるいはコンピュータ不正アクセスに係わる届出制度」等が運用されていますが、エンドユーザにとっては今回の制度との関連が不明確であり、混乱を招く恐れがあります。

　何が不明確なんだろう。「ウィルスがきました」「攻撃を受けました」と「欠陥を見つけました」の区別がつけられないということだろうか。区別がつけられないような人がこの制度を使うとは、私には思えないのだが。

受付窓口を一本化するなど、エンドユーザにも解りやすく他制度との整合性を図った上で実施されるようお願いいたします。

　受付窓口を一本化すると、書式が複雑になるなど、逆に混乱が発生すると思うけど。 JISA の中の人は、「コンピュータウィルスに関する届出制度」や「コンピュータ不正アクセスに係わる届出制度」を実際に使った上で、このような意見を出しているのだろうか。
》「電子タグに関するプライバシー保護ガイドライン（案）」に対する意見 (産業技術総合研究所グリッド研究センターセキュアプログラミングチーム, 6/22)。関連: 政府の「電子タグに関するプライバシー保護ガイドライン」に足りないもの (高木浩光＠茨城県つくば市の日記, 6/26)。
》個人情報流出事件から教訓は得られるか (4)「おたく、欠陥ありますよ」と言われたら――後編 (日経)。
》ハイテク大手が団結、「公正使用権」法案を推進 (ITmedia, 6/23)。

Personal Technology Freedom Coalitionは22日に連邦議会議事堂で設立記者会見を行い、20を超える組織・企業が参加している。参加者は米学生連合や米消費者同盟から、Intel、Sun Microsystems、Gatewayなどのハイテク大手にまで及ぶ。Verizon Communications、BellSouthなどの通信会社・ISP大手4社も参加している。

　この観点では、隣の芝生は確かに青い。関連: Personal Technology Freedom Coalition Created (EFF, 6/23)。
》 SDELIST －サービスをリストアップしてログを作るアプリケーション (アダルトサイト被害対策の部屋)。
》ウイルスキラー北斗の拳とキティちゃん　続報 (セキュリティ＆コンサドーレ札幌)。お前はもう、キティちゃん。関連: 2004.6.9 ウイルスキラー北斗の拳アップデートのトラブルについて、 2004.6.9 ウイルスキラー北斗の拳アップデートのトラブルについて(修復) (viruskiller.jp)。4/1 だったらネタだと思われたのだろうけどなあ。(^^;;)
》 1CD snort (NetAgent)。USB メモリから設定を読み込むそうです。
》「Mac OS Xは安全」神話に根拠なし？ (ITmedia)。secure by default という観点では、Mac OS X は Windows 2000 / XP よりはいい感じだと思いますけどね。無闇に安全だと思うのはやめてほしいですけど。
》ダメージクリーンナップテンプレート DCT 361 における誤警告情報 (トレンドマイクロ, 6/28)。 DCT 363 で修正されたそうです。
》 InterScan VirusWall NT: Service Pack1(新パターン管理システム対応）Patch1における既知の問題 (トレンドマイクロ, 6/28)。「InterScan VirusWall for Windows NT 3.53 サービスパック1」「InterScan VirusWall for Windows NT 3.53 サービスパック1用パッチ1」公開のお知らせ (トレンドマイクロ, 6/24) を適用する前に読みませう。

■ 2004.06.28

》 HPメモリ・モジュール交換プログラム (hp, 6/26)。

HP製およびCompaq製の一部のノートブックと共に出荷された一部のメモリ・モジュールおよびこれらのノートブック用メモリ・オプション品に設計上の不具合があることが、HPが通常行なっているノートブックの検査中に確認されました。

　チェック用のユーティリティもあるそうで。当たりの方には、

HPは、問題の影響を受けるメモリ・モジュールが搭載されていることが確認されたノートブック1台につき１つの32メガバイトUSBフラッシュ・デバイスを無償で提供させていただきます。

　よかったね。関連: HP/Compaq のノートPC、約90万台がリコール (slashdot.jp)。
》「ハイテク犯罪捜査入門－基礎編」のツッコミかぁ (wakatonoの戯れメモ) のコメントから:

もちろん，拙著駄本は，一般の警察官，裁判官及び検察官を対象とした本でして，

　そういう状況だからこそ、メール配送システムがわいせつ物に認定されたりするのだろうなあ。全国の管理者のみなさ～ん、今日も元気にわいせつ物を運営していますか～?
》関西電力データねつ造ねた
- 関電記録ねつ造３６００件余 (NHK, 6/28)
- 関電立ち入り検査含め調査 (NHK, 6/28)
- 関西電力、データの捏造など不正処理 (TBS, 6/28)
- 関電、不正記録３６５９件火力１１カ所　検査結果ねつ造も (中日, 6/28)
- 関西国際空港エネルギーセンター他の定期事業者検査に関する調査結果の報告について (関西電力, 6/28)
  調査の結果、一連の不適切事項の原因として、次のような問題点があることが判明いたしました。
  　（１）品質システムの問題点
  　　・品質システムにおける検査の仕組みの整備不足
  　　・品質システムにかかわる部門のトップマネジメントの指導不足
  　　・記録の書き換えを抑止する仕組みの不足
  　　・内部チェック機能の不足
  　　（２）不適切事項の背景にある意識・風土の問題点
  　　・コンプライアンスの浸透不足
  　　・品質に関する説明責任の認識不足
  　　・職場内および本支店・現場間の風通しの悪さ
  　（３）法令を遵守する業務の仕組みの問題点
  　　・仕様書等が不適切
  　　・法令・社内規則等の理解不足
  ……なんだか、この期に及んですら「ひとごと」って感じがすごくするんだが……。
》輸入権関連
- 吉川さんは、これから試される (benli, 6/26)
- 吉川著作権課長講演録 (1) (造反有理, 6/23)
- 吉川著作権課長講演録 (2) (造反有理, 6/24)
  なお、この講演の正式な講演録は、（社）著作権情報センターの発行する「月刊コピライト」（非売品）に掲載される予定である。
- ずぶずぶの関係を見抜け (facethemusic, 6/28)
今日は時間が取れないので、多分ほとんど更新できません。

■ 追記

Hiki の脆弱性に関する注意喚起

　0.64 にも欠陥が発見されました: Hiki の脆弱性に関する注意喚起。0.65 で修正されています。また、詳細情報が 7/12 に公開されるそうです。かずひこさん情報ありがとうございます。

Download.Ject に関する情報

　関連情報:

Internet Explorer クロスゾーンの脆弱点の悪用 (ISSKK, 6/27)
英語版: Internet Explorer Cross-Zone Vulnerability Exploitation (ISS, 6/25)
Handler's Diary June 26th 2004: Download.Ject Detection and Recovery -- New Phishing Attack Technique (SANS ISC)
Handler's Diary June 27th 2004: Continued Sighting of Download.Ject; WiFi Security (SANS ISC)
Handler's Diary June 28th 2004: IWAP_WWW account on compromised IIS servers (SANS ISC)。IWAP_WWW アカウント、ですか……。
Microsoft IIS の SSL ライブラリの脆弱性について (IPA, 6/28 更新)

　関連報道:

ISS、IEに存在するパッチ未公開のクロスゾーンの脆弱点を警告 (Internet Watch, 6/28)
脆弱性を利用してIISサーバーへ攻撃するJavaScriptコード「Scob」が流行 (Internet Watch, 6/28)
IPA、IISのSSLライブラリの脆弱性について注意喚起 (CNET, 6/28)
IEにWebサイトアクセスで情報が盗まれる脆弱性 - JavaScriptの無効で回避 (MYCOM PC WEB, 6/28)
［WSJ］遮断されたトロイの木馬攻撃、だが専門家は「第二弾」を警告 (ITmedia, 6/28)
IISサーバーのページに埋め込まれるスクリプトは2種類，1つはパッチ未公開のセキュリティ・ホールを突く (日経 IT Pro, 6/28)
　不正侵入されたIIS 5.0サーバーのページに仕掛けられるスクリプトは，「Scob」と「Download.Ject」の2種類。(中略)
　「ベンダーによっては，ScobとDownload.Jectは同じものだと公表しているので，混乱を招いているようだ」（シマンテック Symantec Security Responseマネージャ星澤裕二氏）
そういうことだったのか……。

■ 「Winny事件を契機に情報処理技術の発展と社会的利益について考えるワークショップ」開催
(various)

　Internet Watch:

Winny暗号化アルゴリズムの詳細が明らかに～Winnyワークショップ (Internet Watch, 6/28)
Winny開発者の逮捕理由「著作権法違反幇助」は正当か!? ～弁護士各氏語る (Internet Watch, 6/28)
(小島注: 岡村弁護士は) さらに、「刑事裁判には専門委員制度がない日本の裁判所に、Winny事件を裁くだけの科学的知見があるのか」と語気を強めた。「著作権法という枠組みで科学技術の将来が決められてしまっていいのか。いささか乱暴ではないか」と指摘して講演を締めくくった。
専門委員制度については、たとえば専門訴訟 (最高裁判所) でしょうか。2003 年の民事訴訟法改正により登場したようです。あと、このへんも関連かな。
“世界に誇るべきソフト”Winnyに合法的利用の未来はあるのか？ (Internet Watch, 6/28)

　ITmedia:

Winnyの暗号化は「金庫に鍵をかけ、金庫の上に鍵を置くのと同じ」 (ITmedia, 6/28)
管理者とP2P技術の付き合い方はいかに？ (ITmedia, 6/28)
「著作権が技術の将来を決めていいのか？」 (ITmedia, 6/28)
「Winnyの否定は、IT立国自体の否定」 (ITmedia, 6/28)
Winny事件はソフト開発者を萎縮させる？ (ITmedia, 6/28)

　CNET:

弁護士から見たWinny事件の問題点とは (CNET, 6/28)

　個人 web ページ:

もう一つ論点が甘いのよねぇ (Lucrezia Borgia の Room Cantarella, 6/28)

■ 2004.06.25

》 [aml 40217] 木村晋介弁護士らが新刊『拉致と強制収容所』刊行。

救う会は金銭トラブルが週刊誌で報じられて，かなり行き詰まっているようですが，今後はこの法律家の会が拉致問題や脱北者問題，北朝鮮の人権問題を追及する中心となっていくのではないかと思います。

　関連: 拉致事件：救う会会長を業務上横領容疑で告発状提出 (毎日, 6/24)
》警察官個人データを落とす (NHK, 6/25)。京都府警ですか……。 Winny に撒き、道路に撒き、……。
》硫酸ピッチ不法投棄９人逮捕 (NHK, 6/25)。
》インフルエンザの薬で副作用 (NHK, 6/25)。タミフルだそうです。
》不整脈の薬で緊急通告の方針 (NHK, 6/25)。リドカインだそうです。
》 Sophos Anti-Virus for Linux オンアクセス機能を評価使用する (Sophos, 6/25)。オンアクセス対応キター。
》トレンドマイクロ方面誤警告話
- パターンファイル 913 における誤警告情報 (トレンドマイクロ)
- パターンファイル 915 における誤警告情報 (トレンドマイクロ)
　JP1 や一太郎を使っている人がかなり悲惨な状況になった模様です。パターン 917 で修正されたそうです。ちいちゃんさん情報ありがとうございます。

　2004.06.28 追記: 悲惨な状況になった人用:
- ウイルスバスター2004: 誤警告によりファイルが隔離された場合の対処方法 (トレンドマイクロ)
- ウイルスバスター2003: 誤警告によりファイルが隔離された場合の対処方法 (トレンドマイクロ)
- ServerProtect Ver5: ウイルスとして誤検出され、隔離されたファイルを元の場所に戻す方法 (トレンドマイクロ)
- Trend Micro Client/Server Security: 隔離されたファイルを戻す方法 (トレンドマイクロ)
　2004.06.29 追記: 日立からも情報が出ていたんですね。
- トレンドマイクロ社ウィルス対策製品によるJP1/NETM/DMモジュールのウィルス誤警告に関する件 (日立)

■ さまざまなアプリケーションを異常終了させるGIF画像がネット上に流出
(窓の杜, 2004.06.24)

　異常な GIF ファイルを閲覧しようとすると異常終了してしまうアプリがある、という話。窓の杜記事には 2 つのサンプル画像でのテスト結果が掲載されている。また、http://tts.s53.xrea.com/temporary/gif.htm に、夏樹さんによる検証結果が公開されている。 IE がだめだめなのだが、 Microsoft 的には「それはセキュリティ問題ではない」と言われてしまうのだろうなあ。Windows XP SP2 では修正されているっぽいし。

　関連: [memo:7611] GIF画像による異常終了

　夏樹さん情報ありがとうございます。

■ Download.Ject に関する情報
(Microsoft, 2004.06.25)

　IIS がいっぱいヤラレたので調べてみると、

修正プログラム未公開の IE の欠陥を突く JavaScript を仕掛けた web サイトが用意されており、
その JavaScript を IE でアクセスすると自動的にバックドアを仕掛けられ、
そのバックドアから MS04-011 patch が適用されていない IIS がヤラレ、
ヤラレた IIS にも修正プログラム未公開の IE の欠陥を突く JavaScript を仕掛けた web ページが用意され、(以下くりかえし)

……というストーリーなのかなあ。IIS attack については、MS04-011 patch を適用してあれば防げると Microsoft は主張している。IE については、

833633 - Internet Explorer のマイコンピュータゾーンのセキュリティ設定を強化する方法 (Microsoft) に基づくマイコンピュータゾーンのロックダウンが推奨されている
Windows XP SP2 RC2 は影響を受けないと告知されている (XP SP2 ではマイコンピュータゾーンのロックダウンが行われている)

というわけで、「マイコンピュータゾーンのロックダウンは必須」と認識すべきなのでしょう。

　関連:

[Full-Disclosure] New malware to infect IIS and from there jump to clients (Fri, 25 Jun 2004 08:22:11 +0900)
Alert: IIS compromised to place footer JavaScript on each page (Russ Cooper 氏, Fri, 25 Jun 2004 21:31:40 +0900)
Handler's Diary June 25th 2004: Compromised Web Sites Infect Web Surfers (SANS ISC)
Handler's Diary June 24th 2004: .org dns problems, RFI - Russian IIS Hacks? (SANS ISC)
JS.Scob.Trojan (シマンテック)
Scob (F-Secure)。
When executed, the trojan attepts to use an invisible frame to connect to a page at a remote web site. At the time of writing, the page in the web site is not available. While the page is not currently available, there has been reports that this downloader has been used to install variants of Padodor backdoor.
News from the Lab (F-Secure) も参照。
JS/Scob-A (Sophos)
ウェブサイトにアクセスしただけで感染--IEユーザーに警告 (CNET, 6/25)
大手サイトに仕込まれたトロイの木馬に要注意 (ITmedia, 6/25)

2004.06.26 追記:

　最新パッチの適用とJavaScriptの無効化を――トロイの木馬対策 (ITmedia, 6/25) によると、まず IIS attack があり、次にその IIS を通じた client attack、となっている。

　IIS攻撃の方法では一致、しかし規模では異論噴出 (ITmedia, 6/26)。まだよくわかっていないようだ。

2004.06.29 追記:

　関連情報:

Internet Explorer クロスゾーンの脆弱点の悪用 (ISSKK, 6/27)
英語版: Internet Explorer Cross-Zone Vulnerability Exploitation (ISS, 6/25)
Handler's Diary June 26th 2004: Download.Ject Detection and Recovery -- New Phishing Attack Technique (SANS ISC)
Handler's Diary June 27th 2004: Continued Sighting of Download.Ject; WiFi Security (SANS ISC)
Handler's Diary June 28th 2004: IWAP_WWW account on compromised IIS servers (SANS ISC)。IWAP_WWW アカウント、ですか……。
Microsoft IIS の SSL ライブラリの脆弱性について (IPA, 6/28 更新)

　関連報道:

ISS、IEに存在するパッチ未公開のクロスゾーンの脆弱点を警告 (Internet Watch, 6/28)
脆弱性を利用してIISサーバーへ攻撃するJavaScriptコード「Scob」が流行 (Internet Watch, 6/28)
IPA、IISのSSLライブラリの脆弱性について注意喚起 (CNET, 6/28)
IEにWebサイトアクセスで情報が盗まれる脆弱性 - JavaScriptの無効で回避 (MYCOM PC WEB, 6/28)
［WSJ］遮断されたトロイの木馬攻撃、だが専門家は「第二弾」を警告 (ITmedia, 6/28)
IISサーバーのページに埋め込まれるスクリプトは2種類，1つはパッチ未公開のセキュリティ・ホールを突く (日経 IT Pro, 6/28)
　不正侵入されたIIS 5.0サーバーのページに仕掛けられるスクリプトは，「Scob」と「Download.Ject」の2種類。(中略)
　「ベンダーによっては，ScobとDownload.Jectは同じものだと公表しているので，混乱を招いているようだ」（シマンテック Symantec Security Responseマネージャ星澤裕二氏）
そういうことだったのか……。

2004.06.30 追記:

　関連情報:

871277 - インターネットインフォメーションサービス (IIS) 5.0 - Download.Ject の検出と復旧について (Microsoft)

　関連報道:

IIS/IEを攻撃するDownload.Jectに関与したロシアのWebサイトが閉鎖に (日経 IT Pro, 6/29)

2004.07.05 追記:

　Microsoft から ADODB.Stream オブジェクトを無効にするプログラムが登場し、 Windows Update や自動更新、Microsoft Software Update Services で配布されています。Windows 2000 / XP / Server 2003 用です。

Download.Ject に関する情報 (Microsoft)
Internet Explorer で ADODB.Stream オブジェクトを無効にする方法 (Microsoft)

　なお、Windows XP SP2 RC2 では、ADODB.Stream オブジェクトはあらかじめ無効化されています。

2004.07.08 追記:

　ADODB.Stream オブジェクトを無効にしてもイケてしまうという報告があるようで。

IEの“攻撃回避プログラム”は万全ではない，回避できない攻撃手法が公開されている (日経 IT Pro, 7/5)
Download.Ject問題の根はIEの「セキュリティモデル設計」にある (ITmedia, 7/6)
「MSのパッチは不十分」――専門家が実証コード公開 (ITmedia, 7/7)
IEでまた別の欠陥――アドウェアがインストールされる問題は未解決 (ITmedia, 7/8)

　Jelmer Kuperus 氏の……というのはこれですかね。

2004.07.09 追記:

　Handler's Diary July 8th 2004: Time to update Mozilla/Firefox/Thunderbird and Ethereal; also: sightings of infected IIS 6 servers. (SANS ISC)。IIS 6 が 100 サイト、とあるけれど、その 100 サイトがある特定の一台のホストマシンに集中していました、なんてオチだったらアレだなあ。

■ 2004.06.24

》「米人気サイトでアクセス障害」，その真相は？ (日経 IT Pro)。結局よくわからない、ということですか。 akamai を買うことで減るリスクと増えるリスクはもちろんあるわけですが。
》アドバスターズというものがあるのですか。
》ソフトウエアリサーチでは「Greylisting+」を採用しています (ソフトウエアリサ-チ, 2004.04.29)
あとがき
問題を spam 対策に絞ると Greylisting+ による規制は因果の逆転を起こしています。
- spam を受信しないのではなく
- 受信しなかったメイルをspam
とみなしているのです。
なにはともあれ spam を受信しないようにすれば、何か制約が課されてしまうものです。
　なるほど。ちなみに、SRC には greylisting の設定というページもありますね。
》「過剰な情報は持たない」というセキュリティ対策--ヤフーとACCSの取り組みとは (CNET, 6/24)。

本事件は、攻撃を行った者が自らの犯行を被害者側に通知してきたという珍しいケースで、また同協会の迅速な対応により犯人逮捕から訴訟までがスピーディーに実行されたという特徴がある。

　ポカーン。「珍しいケース」「同協会の迅速な対応により」……。いやはや。「攻撃」「犯行」「犯人」という言葉は不適切でしょうし。 ……「攻撃」「犯行」「犯人」については訂正されました。_o_
》パケット履歴開示で「クローン携帯の亡霊」は消える？ (ITmedia, 6/22)。
》米刑事免責決議案を断念 (NHK, 6/24)。そういうことを考える時点でそもそも……。
》風しんの予防接種呼びかけ (NHK, 6/24)

ことし、群馬県や鹿児島県などで患者が相次ぎ、先天性風しん症候群にかかった赤ちゃんも４人報告されています。

　関連: 風疹 rubella (感染症情報センター)、風しん予防接種キャンペーン (感染症情報センター)。
》ＡＯＬ：顧客情報９２００万件転売、社員２人を逮捕 (毎日, 6/24)、ＡＯＬ顧客リスト９２００万件、迷惑メール業者に流出 (読売, 6/24)

日本のＡＯＬサービスの顧客がリストに含まれていたかについて、ＡＯＬジャパンは「事実を確認中」としている。

　jp.aol.com には今のところ何の情報もなさそうです。
》体験してネットのルールを学ぶ「NECネット安全教室」 (MYCOM PC WEB, 6/23)。

「NECネット安全教室」をNPO法人日本ガーディアン・エンジェルスと協働し行っている。内容は米国のガーディアン・エンジェルス内のサイバー・エンジェルスが、国内のネット犯罪やトラブルなどの増加に伴い子供と保護者のためのインターネットの利用教育プログラムとして開発した「オンライン・セーフティープログラム」を、NECと共同で日本語化したものを利用している。

　Cyber Guardian Angels JAPAN (guardianangels.or.jp) も参照。
》「ウィニー事件」初公判は９月１日＝京都地裁 (時事, 6/23) だそうです。
》 Windows XPスマートチューニング第124回: Internet Explorer 6の一部機能を制限する (MYCOM PC WEB, 6/23)。ダウンロードダイアログの「この種類のファイルであれば常に警告する」を常に有効にするレジストリ設定。
》米ネットワークアソシエイツ、買収の噂を否定 (ITmedia, 6/23)。火のない所に煙は立たずなのか、火のない所に水煙なのか。
》 Beastie Boys CD installs virus (The Register, 6/23)。 Avex の CCCDがPCで再生されるときに、自動的にCCCDに必要な情報、ドライバをシステムにインストールします話と似たような話かな。いやだねえ。

■ いろいろ
(various)

》 57497: Security Vulnerability in Solaris Systems With Basic Security Module (BSM) Configured to Audit the "ad" or "as" Audit Class (Sun)。local user が DoS できるそうで。
》 Linux Kernel i2c Integer Overflow Vulnerability
》 linux kernel IEEE1394(Firewire) driver integer overflow vulnerabilities
》 [Full-Disclosure] iDEFENSE Security Advisory 06.23.04: Lotus Notes URI Handler Argument Injection Vulnerability。

　Lotus Notes 6.0.3 / 6.5 における notes: URI の処理に欠陥があり、細工された notes: URI をたどると、攻撃者のコードが実行されてしまう。回避するには、HKEY_CLASSES_ROOT\Notes\Shell\Open\Command にある notes: URI ハンドラを削除する。対応するには、Lotus Notes 6.0.4 / 6.5.2 にアップグレードする。

■ 2004.06.23

》マイクロソフト、Windows NT 4 Serverのカスタムサポート料金を引き下げ (ITmedia, 6/23)。

しかし同サービスの料金は、かなり大量のNT 4サーバを動かしている大企業以外には、思わず躊躇するような額になりそうだ。
》シマンテック、ウイルス定義ファイル作りの裏側を公開: 日米アイルランド3交代制のウイルス解析チーム「Symantec Security Response」 (Enterprise Watch, 6/22)。

SSRのサンタモニカ拠点には、ウイルスを解析してワクチン生成までを自動的に行うシステム「SARA」が備えられているが、「これで解析できるのは、月あたり約15～20万件寄せられる調査依頼のうち95～98％まで。このため現在は1日250～350件を手作業で処理している」という。また「この件数は年々増えており、今後、半年から1年で倍になると考えている。そうすれば今後は500件以上をマニュアル処理しなければならなくなる」と (小島注: SSR マネージャの星澤裕二氏は) 述べた。

　ウィルス多すぎ。
》米Microsoft、Yahoo!など4社が迷惑メール撲滅手法を業界に勧告 (Internet Watch)。
》個人情報漏曳もの
- 個人情報紛失　コムサ・デ・モード、顧客名簿約100人分「置き忘れ」 (毎日, 6/22)
- 個人情報紛失　納税者名などの書類「盗難」埼玉・浦和税務署 (毎日, 6/22)
- 顧客情報３６万人分、大和ハウス工業のパソコン盗難 (読売, 6/22)
》中国のガス田開発「試掘に向け探査検討」と官房長官 (読売, 6/23)。「試掘に向け」「探査」を「検討」 = とりあえず何もしない。まずは掘れ!
》年金法条文に直し漏れ、上乗せ支給できない恐れ (読売, 6/23)。与党議員は中身を読み直さずに通した、ということですね。いやはや。

細田官房長官は２３日午前の記者会見で、「政府として大変申し訳ない。遺漏があったのは事実だ。うっかりミスということははっきりしている」と陳謝した。

　うっかり未納、うっかり直し忘れ。
》通勤客、出口に殺到…駅員銃撃にラッシュの朝騒然 (読売, 6/23)

パーンという大きな音が響き渡った後、それが銃声だと分かった客らは地上に向かう各出口に向けて一斉に走り出し、構内は一時、パニック状態になった。

　群衆心理恐いなあ。
》エレコムは金輪際リナックスを使わない (slashdot.jp)。日経産業新聞の「情報技術の死角遅れるルール作り」は上中下の 3 回連載で、こんな内容です:
- （上）ホームページの不備――善意の報告者どう保護: ASKACCS 話→脆弱性通報話
- （中）「無償」リナックスの罠: GNU GPL 話
- （下）無線ＬＡＮから漏えい――痕跡残らず犯罪助長: 無線 LAN タダノリ話 (高千穂大不正アクセス話)
　『「無償」リナックスの罠』については、#575380 (slashdot.jp) にもあるように、ふつうの記事です。ちなみに「ホームページの不備――善意の報告者どう保護」にはこんな記述が:

　米国では報告後四十五日たてば欠陥内容を公表できるという業界ルールがあり、企業に迅速な対処を促す圧力となっているが、日本では明確な基準がない。(中略)
　こうした声に応えるため、経済産業省は七月から、欠陥指摘の受付窓口を作る。独立行政法人の情報処理推進機構（ＩＰＡ）が間に立って、ホームページ運営者に対応を要請する。米国と同様、四十五日以内の対応を促す方針で、指摘が放置されたり告発者が疑われたりするのを防ぐ仕組みだ。

　記事的には 45 日で go go となっているが、はてさて。
》情報セキュリティ技術セミナー(東京都内重要インフラ向け) プレゼン資料 (@police)。2004.05.31 だったそうです。
》ウイルスバスターコーポレートエディション 5: 5.58へのアップデートの際に一部ファイルが更新されない (トレンドマイクロ)。修正モジュールが公開されている。
》パソコンに熱中するとキレやすい…脳科学者が指摘 (読売, 6/22)。何かと思ったらゲーム脳ネタか。まだやってたのね。関連: パソコンに熱中すると「ゲーム脳」に? (slashdot.jp)、「ゲーム脳」徹底検証: トンデモ『ゲーム脳の恐怖』 (ゲイムマンのコラム)。
》「壁に耳あり」の心配なし--英メーカー、Wi-Fi傍受を防ぐ「ステルス壁紙」を開発 (CNET, 6/22)。窓に貼ったら窓じゃなくなりそうだなあ。
》 [Full-Disclosure] pacsec.jp/core04 Call For Papers。 PacSec/core04 (2004.11.11～12、東京) の Call For Papers だそうです。

■ SYM04-010: Symantec Gateway Security 製品に DNS キャッシュ・ポイゾニングの脆弱性
(symantec, 2004.06.21)

　Symantec Gateway Security 5400 Series, v2.0 / 5300 Series, v1.0、 Enterprise Firewall v7.0.x / v8.0、 Symantec VelociRaptor Model 500/700/1000/1100/1200/1300 に欠陥。これらに付属する DNS プロキシ DNSd に、DNS キャッシュ汚染が発生するという重大な欠陥がある。シマンテックから修正プログラム (hotfix) が提供されているので、利用者は今すぐ適用すること。

　これのことか?: Symantec Enterprise Firewall DNSD cache poisoning Vulnerability。PoC コードが添付されている。

■ US-CERT Technical Cyber Security Alert TA04-174A: Multiple Vulnerabilities in ISC DHCP 3
(US-CERT, 2004.06.23)

　ISC DHCP 3.0.1rc12 / 3.0.1rc13 に 2 つの欠陥。dhcpd に対し、remote から DoS 攻撃や任意のコードの実行が可能になる模様。

CAN-2004-0460。ログに関連する buffer overflow が発生するようだ。
CAN-2004-0461。 vsnprintf() を持たない環境で buffer overflow が発生するようだ。

　ISC DHCP 3.0.1rc14 で修正されているので入れかえればよい。関連:

Vendor Status Note JVNTA04-174A: ISC DHCP 3 に複数の脆弱性 (JPCERT/CC JVN)
Handler's Diary June 23rd 2004: ISC DHCPD buffer overflow exploit code produced in the lab (SANS ISC)。CAN-2004-0461 について、dhcpd 動作権限 (通常 root) を取れる exploit 作成が可能である模様。しかし、いまどきの OS なら vsnprintf() を持ってるので無関係なのでは、という気がするのだけど。

■ またもやOperaにアドレス・バーを偽装されるセキュリティ・ホール
(日経 IT Pro, 2004.06.22)

　Opera 7.51 に、アドレスバーを偽装できる欠陥があるという話。「6月18日ごろ，セキュリティ関連のメーリング・リストなどに投稿された」というのは、 [Full-Disclosure] Opera Browser version 7.51 Address Bar Spoofing Vulnerability か? このコードは Linux 上の Opera 7.50 では動かないとフォローされている。日経 IT Pro 記事では、JavaScript を無効にすることで回避できるとされている。

　うーん、[Full-Disclosure] Opera Browser version 7.51 Address Bar Spoofing Vulnerability を手元の Opera 7.51 英語版 (build 3798) で動かしてみたが、再現できないぞ……。

2004.06.24 追記:

　Webブラウザー「Opera」にアドレスバーのURLを偽装できる脆弱性が新たに発見 (窓の杜, 6/23)。なぜ再現できないんだろう > 俺。

2004.07.09 追記:

　Opera 7.52 で修正されたようです。と言っている間に、また別の欠陥が発見されたようで: OperaにまたもやURLを詐称できる脆弱性～7.52でも修正されていない。

■ SNS Advisory No.76: Printing from Internet Explorer Lets Users to Cause DoS
(LAC SNS, 2004.06.23)

　IE 6 SP1 で、特定の web ページを印刷すると CPU 100% になり、大量の印刷物が生成されてしまうそうな。

■ 2004.06.22

》メーリングリストよりブログ日記の方が有効？ (famm.jp)。うーん。「あまり評価していない」というよりは、初心者に無条件に推奨するのはいかがなものか、と思うわけで。
》戦略論　間接的アプローチ復刊リクエストがあと 6 票になってますね。
》個人情報保護法完全施行まであとわずか「個人情報保護は経営陣の責任で」 (MYCOM PC WEB, 6/21)。岡村弁護士のおはなし。
》 MS、Windows NT 4サポートの戦略転換 (ITmedia, 6/22)

同社は米国金融資産の半分以上を握る金融機関コンソーシアムBITSとの間で、Windows NT 4.0の「特殊サポート」の条件について合意を交わした。この取り決めの下、同社は米国の銀行がWindows新版に移行する間、NT 4.0のセキュリティアップデートを延長して提供し続ける。
》（財）保安電子通信技術協会の試験事務規程の変更に対する国家公安委員会の承認について (警察庁, 6/21)。保安電子通信技術協会って何? と思ってちょっとしらべてみた:
- 財団法人保安電子通信技術協会
- 所管公益法人一覧表 (警察庁)。会長の「山本鎭彦」氏をぐぐると、元警察庁長官な方なのかな。
- 日本国の研究不安との訣別／再生のカルテ 2002年03月18日発行　第148号 (猪瀬直樹ホームページ)
  ○猪瀬● 現状の問題は、保通協のような警察利権団体がいっぱいできていることと、公営ギャンブルは自転車振興会や船舶振興会が、25％全部を持っていくことだね。それでヘンな財団法人、社団法人をいっぱいつくった。そういうものを潰していくうえでも、ゲーミング法に一元化するのが、いちばんいいんですよね。
- Ｐａｒｔ１．１９２５年～１９９０年１２月懐かしきあの時代へタイムトリップ (パチンコ Old Model Gallery)。
  １９８５年（昭和６０年）１０カウントつきセブン機
  　風営法および遊技機に関する規則の改正（旧要件）により、開発されたパチンコ台は、保安電子通信技術協会（保通協）で型式試験を受けることになった。それに伴い、セブン機は１０カウント方式になり、出玉は役１３００個程度に規制された。
　パチンコについては、POKKA吉田のピー・ドット・ジェイピーというサイトにいろいろ興味深い情報があるみたいだなあ。
》魔法電磁波、研究開発　県立大中心に (岩手日報, 6/16)。テラヘルツねた。三田地さん (ふたたび) 情報ありがとうございます。_o_

　西澤潤一氏がテラヘルツ研究の第一人者なのですか。卓上型波長可変テラヘルツ光源を開発－　新たな電磁周波数帯の実用化に大きく前進　－ (理化学研究所, 2001.05.01) というのがブレイクスルーだったのかしら。
》弊社提供番組のTVコマーシャルのクイズ応募者の個人情報流出と回収について (P&G Japan)。クイズ応募者情報１万件漏れの件の詳細情報。匿名希望さん情報ありがとうございます。

2004年6月17日、一般の方からBS-iクラブ事務局に、購入した中古のコンピューターに当該個人情報が記録されたCD-Rが入っていたとEメールにて連絡があり、判明しました。

　CD-R 入れっぱなしですか……。いやはや。
》病状を無断でＨＰ公開八戸市立病院で53人分 (京都新聞, 6/21)
》東シナ海ガス田話。読売と京都新聞とでは、報道姿勢がえらい違うなあ (笑):
- 川口外相、中国のガス田開発に強い懸念表明 (読売, 6/21)
- 天然ガス田の共同開発提案中国外相 (京都新聞, 6/21)
- 事務次官会見記録（平成16年6月21日（月）17：00～　：於会見室） (外務省)
　「２１日、青島市内のホテルで中国の李肇星外相と会談」の内容は、外務省 web ページにはないのかな……。
》琵琶湖西岸断層帯関連
- 琵琶湖西岸断層帯の地震を想定した強震動評価について (地震調査委員会, 6/21)
- 琵琶湖西岸地震の予測、震度６強以上 (読売, 6/21)
- 大津で震度６強、京都市６弱琵琶湖西岸断層帯で予測評価 (京都新聞, 6/21)
　地震調査研究推進本部という組織があるんですね。
》相次ぐイラク自爆テロ、サウジ過激派関与の疑い浮上 (asahi.com, 6/21)
》パックごはん：一部に金属部品混入の可能性　越後製菓 (毎日, 6/22)
》飛行情報：東京管制部システム、一時ダウン (毎日, 6/22)。また FDP か!
》六ヶ所再処理施設のウラン試験を凍結せよ (美浜の会)。

　間もなく始まる長計策定会議の中で、再処理路線とワンススルー路線とのコスト比較が行われるのは必至の状況であると言える。近藤委員長は「タブーなき議論」をと言っているが、それは提案されたことは検討することだと、６月７日の交渉の場で説明した。
　このようなときにウラン試験を行うことは、解体費を跳ね上げるだけでなく、その既成事実によって長計策定会議での議論に制約をかけることになりかねない。この面からも、ウラン試験は凍結すべきである。

　逆に言うと、原発利権な人は是が非でもウラン試験を実施して既成事実を構築したい、のだろうな。関連: 原子力長期計画見直し始まる (NHK, 6/22)。

　そういえば、原発関係ではこんなニュースもありました: 核燃機構再処理工場で汚染プルトニウム溶液漏出か (京都新聞, 6/21)

■ いろいろ
(various)

■ 2004.06.21

》台風 6 号情報 (NHK)。
- 東海道新幹線遅れ拡大見通し (NHK, 6/21 15:25)
  滋賀県内で架線に風で飛ばされた屋根のようなものが引っかかって送電が止まっています。
  これはキビシイ。
- JR 西日本列車運行情報 (JR 西日本)
- JR 東海運行状況 (JR 東海)
  00時08分現在
  台風６号による飛来物の除去作業のため、米原～京都間の運転を見合わせていましたが、現在は徐行により運転を再開しています。引き続き、一部の列車に運休や遅れが発生しています。
- 架線に巨大な屋根直撃　台風６号近江八幡　新幹線７時間不通 (京都新聞, 6/21)。デカ。
》 PGP Desktop 8.1が公開され (PGP 最新情報) たそうです。
》 Handler's Diary June 21st 2004: Sporadic Problems from Europe and Elsewhere to Various Sites (SANS ISC)。なんでしょうねこれは……。
》 Ciscoルータ、新セキュリティ技術に対応 (ITmedia)。NAC 話。
》日本のコンテンツ保護は厳しすぎる――なぜ戦わないのか？ (ITmedia, 6/21)。
》ソフトバンク BB 話。140 万、ではなかった模様。
- 【続報】BBフォンの発信記録漏えい，最大9万人の可能性も (日経 IT Pro, 6/18)
- ソフトバンクBB、「BBフォン」の着信先番号など発信記録65件が漏洩 (Internet Watch, 6/18)
- 本日の一部報道に関するコメント（続報） (ソフトバンク BB, 6/18)
  今回の事件において、通話発信記録が流出した原因は、一時的に一部ユーザの料金明細をチェックするために、通信課金システムから切り出し、顧客情報システムのエリアに保管していたためです。証拠物件のデータ形式から、この一時保管データが流出したものであると考えます。なお、ここに一時保管されたデータは、89,633人分であります。
- 照会件数の修正に関するお知らせ (ソフトバンク BB, 6/20)
  警察当局より依頼された照会件数を「23人分65件」とお知らせいたしましたが、精査した結果、正しくは「14人分65件」でした。
》ネオコンは中道派の別働隊だった？ (tanakanews.com)。
》ウイルスバスター2003 リアルセキュリティプログラムバージョン10.05公開のお知らせ (トレンドマイクロ, 6/18)。
》テラヘルツ波実用化進む (NHK, 6/19)。テラヘルツものについてどなたかから情報を頂いたおぼえがあるのだが、見あたらない…… (ごめん)。
》 Windows XP Service Pack 2 セキュリティ強化機能搭載プレビュープログラム (Microsoft)。XP SP2 RC2 日本語版です。

　「ただのバグフィックス集ではない」XP SP2にためらうテスター (ITmedia)。そのとおりだし、だからこそ意味がある。
》クイズ応募者情報１万件漏れ (NHK, 6/21) オフィシャル: お詫びとお知らせ (P&G Japan, 6/21)。
》アカネ色素商品回収始まる (NHK, 6/19)。
》 JPCERT/CC の報告様式が version 3.02 になっていました。明記しないと情報提供として扱う、ことを明記したのかな。
》「ハイテク犯罪捜査入門－基礎編－」レビュー投稿（ｗ (wakatonoの戯れメモ, 6/20)。

書いてる人、趣旨、内容を総合的に勘案して、オレがつけた評価は星5つ

　私には、とてもそんな気にはなれない。

自分自身が知らずのうちに犯罪者にならないために、そしてまわりの技術者を犯罪者にしないために、技術者のリテラシがどうあるべきかを考える材料としては「技術者になりたての人」から「ベテラン」まで万人に勧められる内容だろう。

　地雷が多すぎて、「技術者になりたての人」には勧められない。色々な意味で貴重な記述があるので、ある程度の技量がある人なら買ってもよいだろう。ただしそのような人には、地雷が鼻につくだろう。

Tariki 『筆者の人だ。読み中ですが、これは「わかんない人に教えるときの噛み砕く目安」にも使えますな。エンジニア以外に、コンサルやSE、インストラクターが読んでも役に立ちそうですよ。つうか書き手も読んだ方がいい。たぶん狙ったわけじゃないんでしょうけどターゲット広いっすよコレ。』

　「エンジニア以外に、コンサルやSE、インストラクター」に下手にこの本読ませると、仕事失う可能性あると思うけど。Java と JavaScript の違いがわからないような「SE」が来たら、みなさんならどうします? 私なら「この会社はダメだ、さようなら」と判断するが。

　TIP さんのような「バランス感覚のある、文章の上手い人」と組むといいのかもしれない、と思ったり。「ネットワーク初心者のためのTCP/IP入門」はいい本だったよねえ。しかしなぜか、もはや入手できないらしい。復刊リクエスト募集中なので、まだ持ってない TCP/IP 初心者の人はぜひ。

　「よい編集者」がいればいいのかもしれない。しかしそんな人は、なかなかいないわけで……。翔泳社さん、出番だ。と書いてみるテスト。
》国防研究院や海洋警察庁、韓国６機関にハッカー攻撃 (読売, 6/19)

国防省傘下の国防研究院や海洋警察庁、原子力研究所など６つの国家機関で、(中略) 電子メールの添付ファイルをクリックすると感染する「変種ｐｅｅｐ（のぞき）」と呼ばれるハッキングプログラムが侵入した

　……「国防研究院」や「海洋警察庁」の人がクリックしちゃうわけですか……。
》「日本の指揮権」了解、公使レベルの口頭確認にとどまる (asahi.com, 6/18)。なんじゃそりゃ……。
》インターネット事件簿セキュリティー啓蒙者が『テロリスト』と呼ばれた顛末 (iNTERNET magazine 2004年7月号立ち読みコーナー)。現実問題として、iNTERNET magazine ってあまり見かけないんですよね。
》韓国産「生ごみギョーザ」、日本に輸入なし　厚労省発表 (asahi.com, 6/19)。元ネタ: 不衛生な原材料を使用したとされる韓国産餃子への対応について（第３報） (厚生労働省, 6/18)。

廃棄用大根を使用した１２の製造業者からの輸入あり: ２社（いずれもチョニル食品製造から輸入。ただし、大根の使用はなし。）

　本当にだいじょうぶなんだろうか。食品ねたは、この他にも:
- 中国産冷凍ほうれんそうの輸入自粛解除について (厚生労働省, 6/17)。
- 輸入食品に対する検査命令の実施について (厚生労働省, 6/17)。対象: 中国産はるさめ。ほうれんそうが終ったと思ったら、……。
》地道な活動の重要性 (The Trembling of a Leaf, 6/20)。輸入権話といっしょに、【中国】(資源独占の恐れ！) 日中境界海域に施設 [05/28]　まとめサイト (nobody.jp) な話についても質問してみるといいかもしれません。【政治】民主党岡田代表「微妙な問題」　天然ガス田問題で中国大使と[06/12] には批判的な意見が多いようだが、対話姿勢をつくっておくのは悪くないと思うがなあ。対話姿勢を示す一方で、日本独自の調査という圧力をきちんとかけておけばいいわけで。そういう意味では、「まずは掘れ!」。最終的には win-win な関係になるのが望ましいわけでしょうし、中国市場なしでやっていけるほど世の中甘くないでしょうし。
》沙耶16歳さん、ご復活おめでとうございます。

■ 追記

ウイルス定義ファイル(DAT4367)の問題について: 　DAT4367 に関する問題 (NAI) が更新されています。どうやら、不具合が発生するのは、「本来アップグレードされているはずのものがアップグレードされていない」場合に限られるようです。そのため、この現象が発生した場合は「SDAT4367 を強制適用する」ことで解決できるようです。強制適用するための方法については、DAT4367 に関する問題 (NAI) を参照。
New (Linux) Kernel Crash-Exploit discovered: 　Vine Linux: [ 2004,06,19 ] kernel にセキュリティホール

■ Hiki の脆弱性に関する注意喚起
(Hiki Development Team, 2004.06.21)

　Hiki 0.63 以前に

remote から HTTP サーバのユーザ権限 (CGI プログラムである hiki を動作させているユーザの権限、web サーバの設定に依存) を取得できる欠陥
クロスサイトスクリプティング脆弱性

が存在するそうだ。Hiki 0.64 で修正されているそうだ。Hiki 利用者は入れかえよう。

2004.06.29 追記:

■ livedoorの情報セキュリティ
(沙耶 16 歳さん, 2004.06.21)

　livedoor blog を退会するには、ググらないと探せない退会申請フォームから、入会時には入力していない個人情報を入力させられた挙句、SSL 化されていない通信路 (livedoor プライバシーポリシー違反) を使わされる模様。素敵ですね。

■ 2004.06.18

》住基ネット　杉並区が国と東京都を提訴へ (毎日)。
》 [SECURITY] Fedora Core 2 Update: kernel-2.6.6-1.427。このカーネル以降で NX 対応になっているのだそうで。 NX が使える機械を買ってみる必要があるなあ……。
》「アカネ色素」に発がん性 (NHK)。いろいろなものに使われているようで。
》情報セキュリティー日本はどうなっているのか　山口英・奈良先端大教授に聞く (毎日)

山口　企業のシステム管理者が今、理想とするべきシステムと現実の差で最善の対策を考えるベスト・カレント・プラクティスが望ましい。「こうあるべき」と「こうなっている」は違います。そうすれば無駄にコストをかけてガチガチの対策をとることもなくなるでしょう。

　こちらも参照: セキュリティの消費者 (日経 IT Pro)。
》スペイン列車テロは当局の自作自演の可能性 (田中宇の国際情勢ウェブログ, 6/13)。

　スペインの事件を裏側から感じられるのは、今や大規模なテロ事件はその国の政治状況を激変させる力を持っており、テロリスト（と、それを支援しているかもしれない米当局）は、その力を十分生かしてテロをやっているということだ。日本でテロが起きるかどうかも、そのことを加味して考えた方が良いだろう。
》欧米からの自立を強める中東産油国 (田中宇の国際情勢ウェブログ, 6/18)。「テヘラン石油取引所」構想ですか。
》東京新聞社説、再び (The Trembling of a Leaf, 6/18)。輸入権話。いまさら気がついたのですが、東京新聞と中日新聞って、社説が違う場合があるんですね。
》共に悲しみ、怒って　拉致と強制連行は同質　人倫にもとる不法行為 (中日新聞, 6/13)
》 [Snort-users-jp:01087] Re: ユーザ会　 BoF の御案内。 2004.07.01、幕張メッセ、無料。
》 9.11 方面
- 乗っ取り機撃墜命令、現場への到達遅れる…９・１１委 (読売, 6/17)。撃墜命令って出てたんですね。
- 「イラク関与の証拠ない」米同時テロ調査委 (読売, 6/16)。大義なき戦争、US 内でもほぼ確定。
》イラク方面と関連
- 米軍、イラクで条約違反の極秘拘束事例　国防長官認める (asahi.com, 6/18)
- ＣＩＡ請負業者を逮捕　アフガンで拘束者を虐待死容疑 (asahi.com, 6/18)
- 自衛隊の多国籍軍参加、閣議了解　「我が国の指揮下に」 (asahi.com, 6/18)。まあ、
  自衛隊の任務については「人道復興支援等を行う」とした。サマワでのイラク人向けの給水・医療などの人道復興支援を中心としつつ、従来通り、空自輸送機による米兵輸送を含む「安全確保支援活動」を行うことも認めたものだ。
  こういう意味では「我々は多国籍軍ですから」となった方がわかりやすいですな。人道復興支援だけじゃないです～ほんとはそっちがメインです～。
- イラク駐留多国籍軍、指揮権は米軍に…米国防次官補 (読売, 6/17)。ふつうに読めばそうなる。曲解はやめましょう、と小学校で習いませんでしたか? > 日本政府の中の人。
- 元ＣＩＡ長官ら、ブッシュ政権退陣求める異例の書簡 (読売, 6/17)
- オランダ、来年３月でイラクから撤退方針 (TBS, 6/12)
- 国連職員イラク派遣せず (NHK, 6/18)
  国連のアナン事務総長は１７日、国連本部で記者団に対し、イラクの治安について「今は国連職員を派遣できる状況にない」と述べ、不安定な治安情勢が続く限り、国連職員の大規模な派遣は行う考えのないことを明らかにしました。
》ソフトバンク BB 方面。流出した顧客情報は加入者全員 660 万人の模様 + IP 電話「BB フォン」の通話記録 140 万件も流出?
- ソフトバンクＢＢ：約６６０万人の全顧客情報流出 (毎日, 6/18)
- ソフトバンクＢＢ：「業務改善命令もありうる」総務省 (毎日, 6/18)
- 流出の通話記録レンジで破壊 (NHK, 6/18)。破壊できたのだろうか。
- ソフトバンクＢＢ：ＩＰ電話の通話記録１４０万件が流出 (毎日, 6/18)
  ＩＰ電話を運営する他社は「通信の秘密にかかわる問題なのに、かつて聞いたことがない事態」と“業界のガリバー”の脇の甘さに驚きの声を上げた。
- ヤフーＢＢ事件、ＩＰ電話記録１４０万件も流出 (読売, 6/18)
- 通話記録１４０万件も流出ソフトバンクＢＢが運営 (中日, 6/18)
- ヤフーＢＢ、ＩＰ電話通話記録も流出 (TBS, 6/18)
- ヤフーBBからのIP電話記録流出が判明 (slashdot.jp, 6/17)
- 本日の一部報道に関するコメント (ソフトバンク BB, 6/18)。「一部」ってあなた……。
- ソフトバンク　「通信の秘密」守れず　拡大戦略に影 (毎日, 6/18)
》 2004.07.10「まじめな勉強会」は定員 30 に増強された模様。しかしあと 3 席しか残ってない模様。

■ 連載【ＩＴ奔流　ベンリ社会の行方】（２）生体認証　「他人のフリ」簡単
(読売, 2004.06.17)

　「グミ指」の松本勉先生、虹彩認証も赤外線写真で突破されていらっしゃるそうです。関さん、谷口さん情報ありがとうございます。

松本教授は「生体認証は、自由に変えられるパスワードなどと異なり、なりすまされても代替手段がないという怖さがある」と指摘し、認証の精度を客観的に示す必要性を唱えている。

　そこですよねえ。これだけ「個人情報漏曳」が続発する世の中ですし。関連:

脆弱性に関する報道について (OKI, 2003.09)
第１回ユビキタスネットワーク社会におけるバイオメトリクスセキュリティ研究発表会。虹彩照合技術の脆弱性評価（その１）
Computer Security Symposium 2003: Oct. 29。虹彩照合技術の脆弱性評価（その2）
2004年1月 SCIS2004 BS関係。虹彩照合技術の脆弱性評価（その３）

　安い製品には安い理由がある、ということですね。高価な製品は「生きているかどうか」を判断しているはずです。もっとも、第三者機関が検証しているわけでもないでしょうから、それらも十分なのかどうかはよくわからないというのが本当のところでしょうが。

■ 追記

New (Linux) Kernel Crash-Exploit discovered

Red Hat Linux ES 3: RHSA-2004:255-10 - Updated kernel packages fix security vulnerabilities
Turbolinux: Turbolinux Security Advisory TLSA-2004-18

キーボード入力などを記録し外部に送信するプログラムに関する注意喚起

　関連: 個人情報流出の新手ウイルス (NHK)。

コンピューターの不正アクセスなどの情報を提供している「ＪＰＣＥＲＴコーディネーションセンター」の調べによりますと、このウイルスに感染し情報を流し続けているパソコンが国内で少なくとも１５０台にのぼっているとことがわかりました。

　そうだったんですか……。明間さん情報ありがとうございます。

　もうひとつ関連: JPCERT/CC、キーロガー埋め込むウイルス「Psyme」に注意呼びかけ (ITmedia, 6/17 21:39)。

JPCERT/CCによると、IPアドレスベースでおよそ100件の届出があったという。

　およそ 100 件 = 150 台、なのか、ITmedia 記事のあと 50 件の報告があり、NHK が「150 件」を「150 台」と間違えたのか、どっちだろう。

[Full-Disclosure] Buffer overflow in apache mod_proxy, yet still apache much better than windows

　CVE: CAN-2004-0492。 Apache httpd 1.3 vulnerabilities (Apache Week) によると、この欠陥は Apache 1.3.26～31 に存在するそうだ。

オフィシャル patch:
http://archive.apache.org/dist/httpd/patches/apply_to_1.3.31/CAN-2004-0492.patch

■ 2004.06.17

》サポートが終了したRed Hat Linuxをアップデートするには（apt編） (@IT)。
》 Sasserワームの情報提供者は共犯者？ (ITmedia)。墓穴掘り?
》 akamai ねた
- DNS専門家が指摘するAkamaiの“弱点” (ITmedia)
- 「ゾンビPCにやられた」――アカマイ、DNSサーバへのDDoS攻撃を認める (ITmedia)
》セキュリティ情報は口コミで (日経 IT Pro)。いただいているコメントを見ると、

これはあまりにまずい記事です。すぐに訂正を載せるべきです。口コミは間違っていて伝わることがしばしばおきています。

なんてコメントがあって萎え。オフィシャル情報に導いてあげればいいだけじゃん。

スマスマでいった内容が間違いだった場合の影響(結構中居君とかいいかげんなこと言ってるんですが)まで考えて書いていますか?

　正しい情報が必要であるのは、べつにスマスマに限った話じゃないし。スマスマが出るのは、影響度が大きいという例でしかないのだし。スマスマが出るのは、既存のチャンネルではカバーしきれていないところへの影響度、という観点もあるのだろうし。
》個人情報の保護に関する法律についての経済産業分野を対象としたガイドラインの策定 (経産省)。足立さん情報ありがとうございます。関連記事: 企業の疑問に答える？　経産省が個人情報保護法についての「ガイドライン」公表 (ITmedia)。まずは読まねば。
》パッチ管理ツール「HFNetChk」の有償版を出荷へ (日経 IT Pro)。HFNetChk Pro 日本語版登場。関連: 元Windows開発チームが手がけたパッチ配布ツール、ネットワールドから発売 (Enterprise Watch)。
》過去の小さな汚点さえ消えない個人情報データベースの普及で就職難に (WIRED NEWS)。罪を憎んで、人はもっと憎む、という世界か。
》 Clamav-jp-users ML ができています。 ClamAV については ClamAVのページをどうぞ (info from [memo:7604])。 ClamAV はすごい勢いで発展していて素敵です。
》日本 SELinux ユーザ会準備サイトが開設されました。中村さん情報ありがとうございます。あぁっ Fedora Core 2 入れナイト……。.iso はどこだっけ……ごそごそ……。あぁっ local mirror が何か変だ……。
》フィッシングに対抗する団体「TECF」が発足，防止に向け標準仕様策定へ (日経 IT Pro)

こうした攻撃と思われる行為の76％が2003年10月以降に発生していることから，「問題が拡大中であることが分かる」（Gartner Group社）
》解放されるべきは、彼等である (The Trembling of a Leaf, 6/17) を読んでいて思ったこと: 47 氏逮捕も、そういう流れの中に位置付けできるのかな。
》社内ＬＡＮ：メール盗み見ソフト出回る　対策装置効果なく (毎日)。「１６日、分かった」ってあなた……。そんなの何年も前から分かっているんですが……。

■ いろいろ
(various)

》 Cisco Security Advisory: Cisco IOS Malformed BGP packet causes reload (シスコ)。
オリジナル英語版: Cisco Security Advisory: Cisco IOS Malformed BGP Packet Causes Reload。特殊な BGP パケットによって再起動させられてしまう欠陥。BGP を使っていない人には関係ない。

本脆弱性は BGP のサポートをしている、修正の施されていないすべての IOS バージョン (9.x, 10.x, 11.x そして 12.x) に存在します。
》 BEA WebLogic もの:
- BEA WebLogic SSL Connection Handling Denial of Service Vulnerability (secunia)。対象: WebLogic 8.x。
- BEA WebLogic Incorrect Identity RMI Method Execution Vulnerability (secunia)。対象: WebLogic 6.x～8.x。
》 CIAC Bulletin O-159: NETGEAR WG602 Wireless Access Point Default Backdoor Account Vulnerability
》 Internet Explorer File Download Error Message Denial of Service Weakness (secunia)
》 IBM Access Support ActiveX Controls Various Insecure Methods (secunia)。

なお、IBM Access Support というものはもはや配布されておらず、 IBM Message Center に取ってかわられたそうです。日本語版もあるんですね。

■ 追記

New (Linux) Kernel Crash-Exploit discovered: 　Miracle Linux: kernel-2.4.9 セキュリティ
[RHSA-2004:179-01] An updated LHA package fixes security vulnerabilities: 　Miracle Linux: lha セキュリティ

■ ウイルス定義ファイル(DAT4367)の問題について
(McAfee Support Information, 2004/06/17)

　エンジン 4.1.60 + DAT4367 の場合に、VirusScan 4.5.1 SP1 や NetShield 4.5 HFR for Windows などが起動しない場合があるそうだ。回避するにはエンジンを 4.2.60 や 4.3.20 にアップグレードすればよいのだが、すると今度は、Windows 9x/Me + VirusScan 4.5.1 SP1 において、PC が起動しない (!!) 場合があるそうだ。これを回避するには、DAT4366 以前にロールバックするか、 autoexec.bat に記載されているマスターブートレードスキャン部分をコメントアウトすればよいそうだ。

　なお、手元の VMware 3.x な

Windows 98
VirusScan 4.5.1 SP1
エンジン 4.3.20
DAT4367

という環境では、多少時間はかかるものの起動はできています。

　サポート Q & A にも情報を書いてほしいなあ……。 ……あ、出た: DAT4367 に関する問題 (NAI)。

2004.06.21 追記:

　DAT4367 に関する問題 (NAI) が更新されています。どうやら、不具合が発生するのは、「本来アップグレードされているはずのものがアップグレードされていない」場合に限られるようです。そのため、この現象が発生した場合は「SDAT4367 を強制適用する」ことで解決できるようです。強制適用するための方法については、DAT4367 に関する問題 (NAI) を参照。

■ キーボード入力などを記録し外部に送信するプログラムに関する注意喚起
(JPCERT/CC, 2004.06.17)

　たとえば [Full-Disclosure] spamming trojan? ではじまるスレッドからたどれるサイトにあるものも VBS/Psyme (NAI) です (と VirusScan Enterprise 7.1 は言いました)。この手のものはあちこちにはびこっているようで。最近も、[Full-Disclosure] Internet explorer 6 execution of arbitrary code (An analysis of the 180 Solutions Trojan) という話がありましたし。個人的には、現状では IE は全くおすすめできません。それでも IE を使う場合は、Qwik-Fix くらいは併用した方がいいと思います。 IE という意味では Windows XP SP2 がおすすめなんですけどね。

　この注意喚起の対象は IE だけではないようですが……。

2004.06.18 追記:

　関連: 個人情報流出の新手ウイルス (NHK, 6/18)。

コンピューターの不正アクセスなどの情報を提供している「ＪＰＣＥＲＴコーディネーションセンター」の調べによりますと、このウイルスに感染し情報を流し続けているパソコンが国内で少なくとも１５０台にのぼっているとことがわかりました。

　そうだったんですか……。明間さん情報ありがとうございます。

　もうひとつ関連: JPCERT/CC、キーロガー埋め込むウイルス「Psyme」に注意呼びかけ (ITmedia, 6/17 21:39)。

JPCERT/CCによると、IPアドレスベースでおよそ100件の届出があったという。

　およそ 100 件 = 150 台、なのか、ITmedia 記事のあと 50 件の報告があり、NHK が「150 件」を「150 台」と間違えたのか、どっちだろう。

■ 2004.06.16

》 clamav-milter を入れてみたホストの設定をいじってみた。現状の /etc/rc.conf:
```
sendmail_enable="YES"
sendmail_msp_queue_flags="-L sm-msp-queue -Ac -q5m"
	    
clamav_milter_enable="YES"
clamav_milter_flags="-H -N -P --local --outgoing --max-children=50 --quarantine-dir=/var/spool/quarantine"
```
　clamav-milter からの通知メールは一旦 queue に入ってしまうようなので、 queue の処理間隔が長いと、なかなか届かないようだ。
》だからどうした空は青いぞ (N0MURA さん)。目指すは天。
》犯罪の国際化及び組織化並びに情報処理の高度化に対処するための刑法等の一部を改正する法律案、議案審議経過情報 (衆議院)。けっきょく審議されないまま第 159 回国会は終ってしまうようです。今回のは廃案にして、サイバー犯罪条約とその国内法化に関するＱ＆Ａ (日本弁護士連合会) にあるような疑念を払拭した、新しい法案をつくってほしいなあ。
》マイクロソフト、自社開発のウイルス対策ソフトに関する報道を否定 (Internet Watch)。というか、下手にやっちゃうと独禁法 issue ですし。実現するにしても、フル機能なものにはならないと思うのだが。
》住基ネット：東京の杉並区議会、区の損害賠償訴訟に同意 (毎日)。
》お詫びとお知らせ (阪神百貨店, 6/16)。顧客名簿 788 人分を紛失。麗美さん情報ありがとうございます。しかしまた、トップページ上のリンクの目立たないことといったら……。
》イラク人虐待で英兵４人の起訴検討　ブレア政権苦慮 (asahi.com)。軍隊というところは、どの国も同じなんですかね。
》年金個人情報閲覧カードを過剰に発行　社会保険庁 (asahi.com)

　社会保険庁の地方事務所で、職員が公的年金の加入者・受給者の個人情報を閲覧できる専用磁気カードが、必要な職員の数より１万枚も多く発行されているうえ、職務上必要のない人の情報も簡単に閲覧できる状態にあることが１５日明らかになった。

　1 万枚って……なにそれ……。

　カードの１人１枚化について、同庁職員の大半が加入する労組「自治労国費評議会」はこれまで「労務管理に使われる恐れがある」と反対してきた。批判の高まりから、今回は「検討せざるをえない」と姿勢を軟化させている。

　「自治労国費評議会」の人は、自分達だけがかわいかったわけですね。受給者の個人情報はどうでもよかったと。
》三菱ふそうの品質規格、取り消しへ　欠陥隠し理由に (asahi.com)。ISO9001 認証登録を一時停止。

　現在は企業側に弁解の機会を設ける「登録の一時停止」の状態だが、７月１７日までに三菱ふそうから異議申し立てがなければ取り消しになる。
》 Windows XP SP2 RC2の公開が迫る (日経 IT Pro)。英語版 XP SP2 RC2 は出たようですね。

　ところでMicrosoftは，ユーザーに対して「安全なブラウジング」を推奨し，Webサイトで安全にブラウジングするための方法を公開している。その中では，例えばIEのセキュリティ設定を高（High）にするよう推奨している。しかし，そうではなく，私は別のブラウザを利用することを勧める。私は無償のMozilla Firefox（継続的に開発中）を利用しているし，Opera 7.51もいいだろう。どちらのブラウザも，IEよりも安全で，機能も高い。

　XP SP2 で IE もだいぶ安全になるけど、SP2 登場まではもうしばらくかかりそうだし、新規に登場する問題への修正はやっぱり時間がかかるだろうし。Mozilla や Opera も日常的に併用しておいた方がよいと思います。
》 Handler's Diary June 15th 2004: Akamai/Internet DNS Problems (Updated), Exploitation of IE URL Spoofing, MS Re-Releases NT 4.0 Patch, ISC Site Under Heavy Load (SANS ISC)。またしても akamai の DNS の調子が悪くなったようですね。実は DDoS 攻撃だったそうで。関連: サイト障害は「DNSへの大規模攻撃」が原因とAkamai (ITmedia)。

Akamaiのネットワークの問題は「インターネットインフラに対する大規模な国際攻撃」の一部だと、同社広報のジェフ・ヤング氏は説明する。(中略) この攻撃がAkamaiのみに向けられたものだと信じるに足る情報がない」とヤング氏。

　しかし、性能劣化が発生したのは akamai なところだけのようです。

■ 追記

[rsync-announce] Rsync 2.6.1 released (includes security note)

　CVE: CAN-2004-0426。

Red Hat Linux ES 3: RHSA-2004:192-06 - Updated rsync package fixes security issue
Miracle Linux: rsync セキュリティ
Vine Linux: [ 2004,06,11 ] rsync にセキュリティホール
Debian GNU/Linux: [SECURITY] [DSA 499-2] New rsync packages fix directory traversal bug

New (Linux) Kernel Crash-Exploit discovered

　CVE: CAN-2004-0554。 US-CERT Vulnerability Note VU#973654。

■ 2004.06.15

》時刻認証　第3回タイムビジネスシンポジウム、東京で開催 (毎日, 6/9)。
》 woody には影響しないセキュリティ情報 (debian.org)。やまねさん情報ありがとうございます。
》大飯発電所１号機の定期検査状況について(燃料取替用水タンクの変形について） (関電)。麗美さん情報ありがとうございます。
》「パソコンのほこりは有害な臭素化難燃剤の主要発生源」，環境保護団体調査 (日経 IT Pro, 6/7)。
》シャープ：「説明不足が原因」と釈明　「特許侵害」めぐるトラブル (毎日)。一日で和解しちゃいましたね。小竹さん情報ありがとうございます。
- お知らせ (シャープ, 6/11)
- お知らせ (イオン, 6/11)
》第９回情報セキュリティセミナー、2004.07.29、東京都千代田区、￥20,000-
》 MSN Alerts のコンピュータ・アラートへようこそ（.NET サインイン） (MSN)。

MSN Alerts はとても簡単で便利なサービスです。下にある「サインアップ」をクリックして、MSN コンピュータアラートをお楽しみください。

　「お楽しみください」ってあなた……。
》 Webハッキングライブセミナーなんてのがあったそうで。いや、大阪は明日ですが。鯉沼さん情報ありがとうございます。
》 Winny事件を契機に情報処理技術の発展と社会的利益について考えるワークショップ、会場変更 (東京電機大学内の別の場所) により定員を大幅に増やした上で、再募集が開始されています。 2004.06.28、東京都千代田区、無料。上原さん情報ありがとうございます。
》 Windows サーバーセキュリティ徹底解説第7章データレイヤの保護（EFSによるファイルの暗号化） (@IT)。
》セキュリティキャンプ 2004 (JIPDEC)。セキュリティ甲子園のリニューアル版だそうで。参加資格は「日本国内に居住する、平成１７年３月３１日時点において満20歳未満の方」だそうですので、高校生だけでなく、大学生の一部も参加できますね。根津さん情報ありがとうございます。
》 ClamAV 0.73 が出たそうです。

■ 追記

堺市の住基ネット　ずさん運用　契約結ばず業務を委託

　詳細: 住民基本台帳ネットワークシステムの基本的運用が危機にさらされています－堺市と富士通・住民基本台帳ネットの業務委託契２ヶ月間結ばれず－ (田中たけよし市議, info from [social-memo:32])。

また富士通の「府下１０自治体でも実態は同じ、他社もやっている」というように、この再委託と再々委託は堺市のみならず、全国の実態でもあると推察されます。

[Full-Disclosure] iDEFENSE Security Advisory 06.08.04: Squid Web Proxy Cache NTLM Authentication Helper Buffer Overflow Vulnerability

Debian GNU/Linux: この欠陥は Debian woody には存在しない。

Webmin Unspecified Denial of Service and Security Restriction Bypass

Apache HTTP Server 1.3.31 Released

Vine Linux: [ 2004,06,11 ] apache にセキュリティホール
なお、このapacheパッケージは最新の1.3.31からのバックポート修正パッチが適用されているため、Apache License, Version 2.0が適用されます。

[Full-Disclosure] Advisory 09/2004: More CVS remote vulnerabilities

Fedora Core:
[SECURITY] Fedora Core 2 Update: cvs-1.11.17-2
[SECURITY] Fedora Core 1 Update: cvs-1.11.17-1
Vine Linux: [ 2004,06,11 ] cvs にセキュリティホール

Subversion <= 1.04 DoS / heap overflow

Fedora Core:
[SECURITY] Fedora Core 1 Update: subversion-0.32.1-5
[SECURITY] Fedora Core 2 Update: subversion-1.0.4-2

■ いろいろ
(various)

■ PHP 4.3.7 Release Announcement
(PHP.net, 2004.06.02)

　Windows 版 PHP 4 の escapeshellcmd() と escapeshellarg() に欠陥があったそうです。 Windows 版 PHP 4 を利用している場合は、4.3.7 への移行が推奨されています。

This is a maintenance release that in addition to several non-critical bug fixes, addresses an input validation vulnerability in escapeshellcmd() and escapeshellarg() functions on the Windows platform. Users of PHP on Windows are encouraged to upgrade to this release as soon as possible.

　関連:

■ [Full-Disclosure] Buffer overflow in apache mod_proxy, yet still apache much better than windows
(Full-Disclosure, Thu, 10 Jun 2004 23:38:26 +0900)

　apache 1.3.31 以前に付属の mod_proxy に buffer overflow する欠陥があるという指摘。CVE: CAN-2004-0492。 Apache httpd 1.3 vulnerabilities (Apache Week) によると、この欠陥は Apache 1.3.26～1.3.31 に存在するそうだ。

fix / patch:

オフィシャル patch:
http://archive.apache.org/dist/httpd/patches/apply_to_1.3.31/CAN-2004-0492.patch
Vine Linux: [ 2004,08,02 ] apache にセキュリティホール (修正版)、mod_ssl にセキュリティーホール
Debian GNU/Linux: [SECURITY] [DSA 525-1] New apache packages fix buffer overflow in mod_proxy
FreeBSD: ports/www/apache13。1.3.31_1 以降で fix されている。 apache13-modssl の場合は 1.3.31+2.8.18_4 で fix されている。
OpenBSD: 013: SECURITY FIX: Jun 12, 2004

■ New (Linux) Kernel Crash-Exploit discovered
(linuxreviews.org, 2004.06.11)

　x86 / x86_86 アーキテクチャでの Linux 2.4.x / 2.6.x に、local user から DoS 攻撃を受ける (kernel が crash する) 新たな欠陥。 patch が公開されている。

　CVE: CAN-2004-0554。 US-CERT Vulnerability Note VU#973654。

fix / patch:

Red Hat Linux ES 3: RHSA-2004:255-10 - Updated kernel packages fix security vulnerabilities
Fedora Core: Fedora Core 2 Update: kernel-2.6.6-1.435
Turbolinux: Turbolinux Security Advisory TLSA-2004-18
Miracle Linux: kernel-2.4.9 セキュリティ
Vine Linux: [ 2004,06,19 ] kernel にセキュリティホール

■ お詫びと今後の方針について
(web-up.cside.biz)

　web-up.cside.biz で配布されていた CGI スクリプトには、

スクリプトの不正利用防止を目的として、以下のケースにおいて管理者様宛てに送信されるメールが弊社宛てにBCCにて送信される

という「プログラム的措置」が組み込まれていたそうだ。「以下のケース」とは:

1.スクリプトの初回設置時
2.著作権表示及びバージョン情報が改変・削除されたとき
3.シェアウェア登録IDが改変・削除されたとき（正規版スクリプトのみ）
4.シェアウェアスクリプト登録のご申請時設置URL
　以外のWEBスペースにて設置されたとき（正規版スクリプトのみ）

※試用版のみ、1において弊社サイトアクセス
　解析CGIにて設置URLを記録

　web-up.cside.biz 田久保氏は、免責事項として

本スクリプトの不正利用防止・設置状況把握を目的として、本スクリプトから設置先サーバーの情報を収集することがありますが、利用者はこれに同意したものとします。

と書いてある、と主張しているが、この文章を「設置先サーバーの情報 = CGI 利用者から CGI 管理者へ宛てたメールの一部」と解釈する人は、世の中にはいないだろう。

　対応策だが、この「プログラム的措置」を削除した版が近々リリースされるようだ。

　関連:

　匿名希望さん情報ありがとうございます。

■ Windows認証を数秒で解析脆弱なパスワードは即座に破られる
(日経 IT Pro, 2004.06.01)

　NTLMv1 はもうだめだめ、ということで。

■ 2004.06.14

》コンテンツ保護の“日米差”はどこからくるのか (ITmedia)。日本は社会主義国家だから、なのでは。
》 MSのFAT特許、米特許庁が見直しへ (ITmedia)。
》【事例】パッチ適用“半減”しても安心実害を封じ込める新戦術！---宝ネットワークシステム（上） (日経 IT Pro)。PitBull 利用事例。PitBull は安くはない製品だが、保守費用まで考えれば高くないという判断なのかな。もうちょっとすると、商用 Linux ディストリにも SELinux が組み込まれると思うけど、Windows 方面は……。
》新たに６２件欠陥・不具合隠し、三菱ふそうが公表 (読売)。まだ出し切っていなかったのか……。
》宇都宮市職員、不仲隣人の中傷に個人情報不正閲覧 (asahi.com)。こういう話って、あるんですねえ。
》国民保護法など有事法制関連７法成立　３条約締結も承認 (asahi.com)。水野さん情報ありがとうございます。
》 2004念07且10曰イー！ＯＦＦ＋「まじめな勉強会」な日 (まっちゃだいふく（みょ～)の日記)。とりあえず、名刺をつくっておかなければならない模様。
》 Zafi-B というウィルスがぽつぽつ届きはじめているなあ。

■ 追記

[Full-Disclosure] Internet explorer 6 execution of arbitrary code (An analysis of the 180 Solutions Trojan)

■ Mozilla Browser Address Bar Spoofing Weakness
(Secunia, Mon, 14 Jun 2004 21:04:41 +0900)

　Mozilla 1.0～1.6, Firefox 0.x に欠陥。 Internet Explorer Security Zone Bypass and Address Bar Vulnerability と同様の条件、つまり http://[trusted_site]%2F%20%20%20.[malicious_site]/ 形式の URL において、

malicious_site のドメインにワイルドカード A レコードが登録されている
malicious_site が誤った Host: ヘッダを受け入れる

場合に、アドレスバーにおける表示を trusted_site に偽装することができてしまう。

■ Internet Explorer Security Zone Bypass and Address Bar Spoofing Vulnerability
(secunia, 2004.06.12)

　IE 6 に欠陥。 http://[trusted_site]%2F%20%20%20.[malicious_site]/ 形式の URL において、

malicious_site のドメインにワイルドカード A レコードが登録されている
malicious_site が誤った Host: ヘッダを受け入れる

場合に、malicious_site 上のコードが trusted_site の権限で実行されてしまうという。またアドレスバーにおける表示を trusted_site に偽装することができてしまう。

　回避方法としては「他のブラウザを使う」が挙げられている。

■ Subversion <= 1.04 DoS / heap overflow
(subversion, 2004.06.10)

　Subversion 1.04 以前に欠陥。svn:// プロトコルや svn+ssh:// (ssh トンネル版)、svn+*:// (他のプロトコルによるトンネル版) の処理において heap overflow が発生、remote から任意のコードを実行される恐れがある。回避方法としては、svnserve を停止し WebDAV を使う、があるそうだ。

　Subversion 1.05 において修正されているので入れかえればよい。 CVE: CAN-2004-0413

fix / patch:

Fedora Core:
[SECURITY] Fedora Core 1 Update: subversion-0.32.1-5
[SECURITY] Fedora Core 2 Update: subversion-1.0.4-2
FreeBSD: ports/devel/subversion。まだ直ってないっぽい。

■ RealNetworks, Inc. がセキュリティ脆弱性に対応するアップデートをリリース
(Real Networks, 2004.06.09)

　RealPlayer 8 / 10, RealOne Player, RealOne Player v2 に重大な欠陥。

EEYE: RealPlayer embd3260.dll Error Response Heap Overflow (eEye)

embd3260.dll における映像ファイル名の処理において heap overflow が発生。これを利用すると、攻撃 web ページにより任意のコードの実行が可能。
Multiple vulnerabilities in RealPlayer (#NISR11062004) (NGSSoftware)

細工した .RA, .RM, .RV, .RMJ ファイルによって heap 破壊が発生、任意のコードの実行が可能。
[Full-Disclosure] iDEFENSE Security Advisory 06.10.04: Real Networks RealPlayer URL Parsing Buffer Overflow Vulnerability (iDEFENSE)

Real Player 10 に欠陥。大量のピリオド (.) が設定された URL の処理に欠陥があり、細工したファイル名により任意のコードの実行が可能。

　上記が同じ欠陥を指摘しているのか、それともそれぞれ違うものなのか、はよくわからない。

　RealOne, RealOne v2, RealPlayer 10 には修正プログラムが公開されているので、アップデート機構を通じて適用すればよい。 RealPlayer 8 は、RealPlayer 10 にアップグレード後、アップデートを行う。 RealPlayer 10 のインストールについては、 RealPlayerはスパイウェア？－「上手に」インストールする方法 (アダルトサイト被害対策の部屋) も参照されたい。

■ 2004.06.11

》 JANOG14 ～激濃ぃ～。2004.07.22～23、宮崎県宮崎市、本会議の参加は無料。セキュリティねたとしては、以下でしょうか:
- ISPにおけるDDoS対応について～DNSの活用とネットワークの立場から～ (7/22)
- 日本でISPのセキュリティ・オペレーションのためのML、NSP-SEC-JP立ち上げに関するご報告 (7/22)
- JPCERT/CC Update (7/23)
- パネル「脆弱性情報の一般公開前の提供について(仮)」 (7/23)
》 CNET Japan フォーラム: 企業情報セキュリティを考える。 2004.06.23、東京都港区、無料。 BB 話や ASKACCS 話もあるそうです。根津さん情報ありがとうございます。
》良心に蓋をさせ、邪な心を解き放つ ―― ファイル放流システム (高木浩光＠茨城県つくば市の日記, 2004.06.08)。 Mailing List はどこに入るんだろう、と考える今日このごろ。
》韓国で生ゴミから餃子つくってました話。すごいなぁ……。
- 生ゴミからできた材料が餃子・中華まんの具に (朝鮮日報, 6/6)
- 「生ゴミ餃子」大手企業にも納品、波紋広がる (中央日報, 6/9)
- 韓国ギョーザ輸入停止 (東京新聞, 6/10)。緊急処置発動。
- カップラーメンスープにも期限切れキムチ使用 (朝鮮日報, 6/10)
- 「生ゴミ餃子」約２０商品全量を回収・廃棄処分へ (中央日報, 6/10)
- 朝鮮日報: 「生ゴミ入り餃子」特集ページ
》ハッカージャパン7月号のご案内 (白夜書房)。ウェディング問題に関する Beyond さんの書きおろし 8p + インタビュー 4p あります。
》インターネット事件簿第13回　「ぼったくり」「氏ね」はどこまでが表現の自由？ (Internet Watch)。
》 TECO 液晶テレビ販売差し止め仮処分申請話
- TECO 20 型 / 27 型 /30 型液晶テレビ (イオン)
- 液晶初の特許紛争、シャープが台湾メーカーを提訴 (asahi.com, 6/10)
- イオン、シャープとの取引中止　液晶ＴＶ仮処分申請受け (asahi.com, 6/10)
- シャープ、イオン向け液晶テレビの販売差し止めを請求－大型モデルへ発展する可能性も (AV Watch, 6/10)
- イオン、液晶TVの販売差止め請求を受けシャープとの取引を停止－「シャープの企業姿勢に対し疑念を抱き、甚だ遺憾」 (AV Watch, 6/10)
- イオンの取引停止で波紋広がる液晶テレビ問題，シャープが主張する渦中の特許番号が明らかに (日経 NE, 6/10)
- 液晶特許紛争: シャープ vs 台湾メーカ & イオングループ (slashdot.jp)
　シャープにもイオンにも、この件の情報がないみたいなんですよね……。
》週刊東洋経済2004/6/12号P.544～57 (Ikegamiの日記)。Ikegami さん情報ありがとうございます。さっそく校内売店に行ったら、2004年6月5日増大号しか置いてなかった。(T_T)
》「事件の証拠を残し不要なデータは消去する」、情報漏洩を防ぐ三つの機能 (日経 IT Pro)。 EMC Centera (EMC) というものがあるのですか。おいくらなんだろう……。

■ 追記

Webmin Unspecified Denial of Service and Security Restriction Bypass: 　[SNS Advisory No.75] Webmin/Usermin Account Lockout Bypass Vulnerability (LAC)。

■ 2004.06.10

》ブルース・スターリング吠える
- サイバーパンクの草分け、ネットの「大混乱」を嘆く (ITmedia)
- 「政府のネット取り締まり」を訴えるSF作家 (ITmedia)
》 StartupList解析入門－ HijackThisよりもかなり大変 (アダルトサイト被害対策の部屋)。
》 NTT 大手町ビル電源故障話。現状は「バイパス供給状態」だったんですね。
- 大手町ビル電源故障の本格復旧について (NTT コミュニケーションズ, 6/10)。 6/22 までに実施だそうです。
- 大手町ビル電力設備故障に関する今後のサービスインフラの信頼性強化等について (NTT コミュニケーションズ, 6/10)
  これまで取組んできた中継ネットワークの二重化に加え、弊社の全てのノード拠点において、通信設備におけるUPS（無停電電源装置）と分電盤を含む配電系統の二重化を早急に実施いたします。
　麗美さん情報ありがとうございます。
》出生率が過去最低の１・２９、年金改革法“誤算” (読売)。「・」はやめましょう > 読売。

　政府は２００２年１月に公表した人口推計（中位推計）で、将来の合計特殊出生率が「２００７年に１・３０６で底を打ち、その後は１・３９まで回復する」と予測していた。２００３年については、前年と同じ１・３２にとどまると想定していた。

　つーか、その「予測」が根拠レスなわけでしょう。出産・育児に対して、社会全体がもっと手厚いサポートをするようにならないと。残るのが大量のジジババだけでは日本はジリ貧ですぜ。一方で、いろいろ使えるジジババパワーをうまく使えていないという面もあるわけですが。
》「動かないコンピュータ」の解決に裁判は役立つか動かないコンピュータ・フォーラム(1) (日経 IT Pro)。問題提起の章。

　一つには裁判所のITに対する理解の低さである。裁判官だけでなく，裁判の当事者である原告や被告の代理人である弁護士ですら，ITに関する知識が不十分だと感じることがある。こういった状況で果たして，プロジェクトの実態に沿った判断を裁判所が下すことができるのかどうか不安が残る。

　トンデモ判決はあるんだろうなあ。
》セキュリティツールキット : 更新情報 (Microsoft)

重要なお知らせ:
HFNetchk および MBSA 1.1.1 以前用の XMLDB の更新は 2004 年 7 月をもって終了いたします。早期に MBSA 1.2 への移行を行っていただきますようお願いいたします。また、今回の XMLDB 提供終了に伴い、本ページの更新も終了いたします。

　まだ MBSA 1.1x な方は MBSA 1.2 に移行しておきましょう。
》 [port139ml:05439] [重要]閉鎖のお知らせ、終わりの日 (B-) の独り言)。おつかれさまでした _o_。
》「ヤフーＢＢ」モデムに欠陥、２０万台無償交換へ (読売)

同社の親会社、ソフトバンクの広報室によると、顧客の苦情は昨年４月から来ていたが、公表の遅れについては「詳細な原因が分かるまで発表できなかった」としている。

　原因調査に 1 年と 2 か月かかりますか……。Y!BB はどうなっているんでしょう。
》【公安】攻殻機動隊が不当逮捕を調査【9課】 (2ch.net)。まとめサイトもできてます: http://kamakura.gozaru.jp/。バトーが「少佐、どうやらこの事件には自民の「知財族」といわれる族議員が深く関わっているようだ」と言っているので、知財族でぐぐってみました。
- 自民に新たな「族議員」誕生－－「知的財産」 (日経, 2003.09.01)
　関連ページをうろつくと中山先生話に、さらに輸入権話につながってしまった。
- お代官様、あんまりだ。 (真紀奈17歳さん, 2004.01.08)
- [【特設】中山教授「重大決意」問題] 「決意」から「決断」へ (The Trembling of a Leaf, 2004.02.16)
- [【特設】中山教授「重大決意」問題] 改革されるべき改革 (The Trembling of a Leaf, 2004.04.22)
- [【特設】「音楽障壁」問題] 衆院文科委(3)・The Defoliant (The Trembling of a Leaf, 2004.06.02)
- [国会・立法] これから (The Trembling of a Leaf, 2004.06.03)
　The Trembling of a Leaf さんは読みごたえあるなあ。
》 JASRAC寄附講座コンテンツ産業論 (立命館大学産業社会学部)。 6/12 「ハイテク犯罪の現状について」京都府警察本部生活安全部生活安全企画課ハイテク犯罪対策室長　白石喜一　氏。

受講者に望むこと
講義内容についても、提示される資料に対しても、講師の考えに対しても、つねに「ホントにその通りなのか」と尋ねるつもりで講義を聴いてほしい。

　実際に尋ねましょう。

■ FreeBSD Security Advisory FreeBSD-SA-04:12.jailroute - Jailed processes can manipulate host routing tables
(FreeBSD, Tue, 08 Jun 2004 06:06:14 +0900)

　FreeBSD 4.9-RELEASE 以前に欠陥。jail(2) の内側からホストのルーティングテーブルを操作できてしまう。最新の RELENG_4_8 や RELENG_4_9 に更新したり、patch を適用したりした上でカーネルをつくりなおしてインストール、再起動すればよい。また FreeBSD 4.10-RELEASE ではこの欠陥は修正されている。

■ 堺市の住基ネット　ずさん運用　契約結ばず業務を委託
(産経新聞, 2004.06.10)

　堺市も富士通も、不適切な運用を行っていたことは間違いないですねえ……。田中たけよし市議の指摘がなかったら、ずーっとこんな状態を続けていたってことなんですかね。もしかして、こんな運用、他にもあったりするんですかね。

　関連: 住基ネット、契約切れ後も運用　大阪府堺市 (asahi.com)。

　ジミーさん、麗美さん情報ありがとうございます。

2004.06.15 追記:

また富士通の「府下１０自治体でも実態は同じ、他社もやっている」というように、この再委託と再々委託は堺市のみならず、全国の実態でもあると推察されます。

■ 不正な個人情報取得メールに関するご注意
(Yahoo! JAPAN)

　Yahoo! JAPAN 狙いのフィッシングだそうで。「文書例」や「不正なホームページアドレス」の事例が掲載されていますね……。 61.121.100.100 は Nifty、202.212.115.115 と 218.47.162.23 はぷららですか。 http://www.pureweb.jp/~sagi/geocity/ID/login と http://j2k.naver.com/j2j.php/height/edit.yahoo.co.jp/config/send_webmesg?.src=pg&.target=dy4649 はまだ残ってますね……。正しいブラウザを使えば、http://www.pureweb.jp/~sagi/geocity/ID/login の方はソースしか見えないのですが。ソースが見えないブラウザは変なブラウザなので、使わないようにしましょう。こういう意味でも、Windows XP SP2 が待ち遠しいですね。

　またどちらも、「モード: セキュア (SSL)」の方は本物につながるようになってますね。SSL 使った上で、ちゃんと鍵の中身を確認しましょう。……とは Yahoo! の文書には書かれていないなあ。いまどきの世の中ではアドレスバー詐称攻撃とかもありますから、可能な限り SSL に誘導した方がいいと思うのだけど。そういう意味では、ログイン画面の「標準」という言葉はよくないですねえ。

■ enpa-sa-00014: Multiple security problems in Ethereal 0.10.3
(ethereal.com, 2004.05.13)

　Ethereal 0.9.8～0.10.3 に 4 つの欠陥。0.10.4 で修正されている。

fix / patch:

Red Hat Linux ES 3: RHSA-2004:234-06 - Updated Ethereal packages fix security issues
Fedora Core:
[SECURITY] Fedora Core 2 Update: ethereal-0.10.3-2.1
[SECURITY] Fedora Core 1 Update: ethereal-0.10.3-0.1.1
FreeBSD: ports/net/ethereal。まだ直ってない。

■ [Full-Disclosure] iDEFENSE Security Advisory 06.08.04: Squid Web Proxy Cache NTLM Authentication Helper Buffer Overflow Vulnerability
(Full-Disclosure, Wed, 09 Jun 2004 04:00:21 +0900)

　squid 2.5.x / 3.x に付属する NTLM 用認証ヘルパーに buffer overflow する欠陥がある、という指摘。CVE: CAN-2004-0541。

　patch があるので適用すればよい。また、NTLM 用認証ヘルパーを使わないことで回避できる。デフォルトでは、NTLM 用認証ヘルパーは使われない。

fix / patch:

Red Hat Linux ES 3: RHSA-2004:242-06 - Updated squid package fixes security vulnerability
Fedora Core:
[SECURITY] Fedora Core 1 Update: squid-2.5.STABLE3-2.fc1
[SECURITY] Fedora Core 2 Update: squid-2.5.STABLE5-4.fc2
Debian GNU/Linux: この欠陥は Debian woody には存在しない。
FreeBSD: ports/www/squid。2.5.5_9 で修正されている。

■ 追記

[Full-Disclosure] Advisory 09/2004: More CVS remote vulnerabilities

CVS: cvs 1.11.17 / 1.12.9 で修正されている。
Red Hat Linux ES 3: RHSA-2004:233-07 - Updated cvs package fixes security issues
Debian GNU/Linux: [SECURITY] [DSA 517-1] New CVS packages fix buffer overflow
OpenBSD: OpenBSD 3.5, OpenBSD 3.4

[RHSA-2004:179-01] An updated LHA package fixes security vulnerabilities

　Debian GNU/Linux: [SECURITY] [DSA 515-1] New lha packages fix several vulnerabilities

■ gooリサーチ結果 (No.59) 「第２回企業の個人情報保護と情報セキュリティ対策に関する意識調査」
(goo リサーチ, 2004.06.09)

　「調査対象：社内向けシステム企画運用管理を行うgooリサーチビジネスモニター」って、どういう基準で選択された人達なんだろう。

　top には「個人情報漏洩事件の多発をきっかけに、半数以上の企業が個人情報保護対策を推進」とあるが、中身を読んでいくと、「半数以上の企業」の約 2/3 は「検討中」という段階。

今後実施予定の項目としては「プライバシーマークの取得」が最も多く15.9％に達した【図3】。

　ISMS や BS7799 は無視されているんだろうか……と思ってみてみると、なんと、「ISMS の取得」や「BS7799 の取得」という項目自体がないではないか。うーん。また「プライバシーマークの取得」が最も多いと言っても、他の項目も 10% 台なわけで、それだけ特出しして「最も多く」などと言うべきではない気が。

■ 2004.06.09

》 2004.04.27 に書いた「sophos すり抜け zip」だが、さきほど更新された W32/Bagle-Zip ide ファイルで対応されたようだ。
》サポートが終了したRed Hat Linuxをアップデートするには（yum編） (@IT)。Fedora Legacy Project の使いかた。
》スパム洪水の背後にロシアと中国の影 (CNET)。
》 ASKACCS 関連
　いずれも ACCS 側からの情報に基づいた記事ですね……。
》輸入権関連
- タワーレコードとHMVジャパン、洋楽輸入盤の販売継続に関する共同声明 (Internet Watch, 6/8)
- 「これまで通りの流通を守るため、最大限の努力をしていく」――タワー・HMVが共同声明 (ITmedia, 6/8)
- 万一の際には抗議も辞さない――輸入CD問題に関するタワーレコードの考え (ITmedia, 6/8)
  「文化庁は趣旨のみで動いている。細則に関してあいまいな点が多いほか、実施・運用がどこまで検討されているのか、非常に懸念すべき点だ」（同社）
　監視・検証モードへ移行。
》 Yahoo! BBのADSLモデム約20万個に不具合。該当ユーザーには交換を実施 (Internet Watch, 6/9)。オフィシャル: 一部電源アダプター交換対応に関するお知らせ (ソフトバンク BB)。

この度、一部のお客様にご使用いただいておりますH型コンボモデム12M機器用の電源アダプターに不具合があることが判明いたしました。

　約 20 万個でも「一部」ですか……。自分が利用しているものが該当機種か否かの確認方法はどこにも記載されていませんね……。
》 ISDAS (JPCERT/CC) が毎日更新されるようになりました。次の目標は毎時間、ですかね。
》道路交通法改正: 概要、要綱、条文、新旧対照条文 (警察庁)。珍走対策やケータイ対策は 6 か月以内に実施だそうで。
》無線 LAN タダ乗り事例。高千穂大に不正アクセス　大学図書館職員を逮捕 (共同) 話のつづき。
- 他人の無線ＬＡＮ盗用…不正アクセスで逮捕の大学職員 (読売)
- 無線ＬＡＮの犯罪悪用確認　迫られる安全対策 (asahi.com)
　War driving → タダ乗り、の定番コース。麗美さん情報ありがとうございます。
》総務省と経産省、連携第１弾はＩＣタグの「個人情報保護」 (asahi.com)。おそまきながらではありますが、よいことです。
》 [aml 40027] ６・１１共謀罪に反対する市民の集い。共謀罪、いよいよ審議入りの模様。戦前へまっしぐら GO GO。こんな内容も:

●講　演
インターネット規制のねらうもの－Winny開発者逮捕が意味するもの
山下幸夫さん（弁護士)
》システムドライブに Program というファイルを作ると… (システム管理な雑記)。世の中にはよくわからない動作をする OS があるんですねえ。どこの会社の OS だろう。
》コスモ石油、個人情報漏洩事件に関する調査結果を発表 (日経 IT Pro)。

システム開発のためにあらかじめ抽出された会員情報を格納したサーバーに、当該データがダウンロードされた痕跡を発見したという。このサーバーに登録されていた会員情報は92万3239件だった。 (中略) 情報が漏れた可能性が高い会員92万3239人に対しては、6月分の商品代請求書（7月発送）で、ガソリン・マイル50マイル分（500円相当）を付与する。

　また 500 円か。
》 IT Pro 今週のSecurity Check : 切望されるWindows NT 4.0のサポート延長 (日経 IT Pro)。個人的には、手当が必要なのは組込方面くらいだと思う (Windows 2000 Embedded という製品はなかったので)。 NT 4.0 の組込方面をやっているベンダーが山のようにあるとも思えないので、そういうところについては個別対応すればいいんじゃないのかなあ。 Windows NT 4.0 って、Red Hat Linux 4.0 とか FreeBSD 2.1.6-RELEASE とかと同時期の OS なんですから。もう捨てましょうよ。
》漂流する日本の宇宙政策責任を巡って打ち上げ再開にゴーサインが出ず (日経 BP)。政治家不在、政治屋だらけ。なさけない。

■ [Full-Disclosure] Advisory 09/2004: More CVS remote vulnerabilities
(Full-Disclosure, Wed, 09 Jun 2004 22:00:04 +0900)

　CVS 1.12.8 / 1.11.16 以前に欠陥。このまえの話のあとで調べなおしたら、CVS にはまだまだ欠陥があったそうで。しかも複数。 remote から任意のコードを実行できるものも含まれるそうで。 CVE には CAN-2004-0414 CAN-2004-0416 CAN-2004-0417 CAN-2004-0418 が登録されたそうで。現状では予約されているだけのようですが。

fix / patch:

CVS: cvs 1.11.17 / 1.12.9 で修正されている。
SUSE: [Full-Disclosure] SUSE Security Announcement: cvs (SuSE-SA:2004:015)
Red Hat Linux ES 3: RHSA-2004:233-07 - Updated cvs package fixes security issues
Fedora Core:
[SECURITY] Fedora Core 2 Update: cvs-1.11.17-2
[SECURITY] Fedora Core 1 Update: cvs-1.11.17-1
Vine Linux: [ 2004,06,11 ] cvs にセキュリティホール
Debian GNU/Linux: [SECURITY] [DSA 517-1] New CVS packages fix buffer overflow
OpenBSD: OpenBSD 3.5, OpenBSD 3.4

Changelog:

2004.06.10: 　CVS, Red Hat, Debian, OpenBSD の fix / patch を追記。

■ 追記

[Full-Disclosure] Internet explorer 6 execution of arbitrary code (An analysis of the 180 Solutions Trojan)

　IE6に任意のコードが実行可能な脆弱性、すでに悪用法が公開されている (Internet Watch)。

[Full-Disclosure] Advisory 07/2004: CVS remote vulnerability

　Vine Linux: [ 2004,06,07 ] cvs にセキュリティホール(修正版)。前の版は実は直っていなかった。

　Fedora Legacy: [FLSA-2004:1620] Updated cvs resolves security vulnerabilities

■ 「ウイルスバスター2004」に不具合，ただしセキュリティ上の影響は小さい
(日経 IT Pro, 2004.06.08)

　手元のウイルスバスター 2004 は、気がついたら 11.31 になっていた。

■ 今日は Windows Update の日: 2004 年 6 月のセキュリティ情報
(Microsoft, 2004.06.09)

　6 月は以下の 2 点でした:

DirectPlay の脆弱性により、サービス拒否が起こる (839643) (MS04-016)

対象: Windows 98 / 98 SE / Me / 2000 / XP / Server 2003。ただし Windows 98 / 98 SE / Me 用の修正プログラムは用意されていない。

DirectX に含まれる DirectPlay の IDirectPlay4 API に欠陥。この API を使うアプリ (ネットワークゲームなど) に対して細工したパケットを投げると、そのアプリが異常終了してしまう。DirectX の最新版 DirectX 9.0b にもこの欠陥がある。 CVE: CAN-2004-0202
Crystal Reports Web Viewer の脆弱性により、情報の漏えいおよびサービス拒否が起こる (842689) (MS04-017)

対象: Visual Studio .NET 2003、Outlook 2003 with Business Contact Manager (英語版のみ)、Microsoft Business Solutions CRM 1.2 (英語版のみ)。また IIS がインストールされていない場合にはこの欠陥の影響を受けない。

Crystal Reports / Crystal Enterprise が入った IIS で ../ バグが発生する、ということみたい。情報閲覧 (情報漏曳) の他、ファイルの削除も可能だそうだ。 CVE: CAN-2004-0204

　いずれも patch があるので適用しましょう。 Window 9x/Me にはないですが。

■ Oracle E-Business Suiteに危険なセキュリティ・ホール，管理者はすぐに対応を
(日経 IT Pro, 2004.06.09)

#67: EBSの不正なアクセスに対する脆弱性 (対象バージョン: 11.0.x、11.5.1-11.5.8) (オラクル)。対象となるのは Oracle Applications 11.0 全リリース、Oracle E-Business Suite 11i (R11.5.1-R11.5.8)。Oracle E-Business Suite 11i R11.5.9 以降にはこの欠陥はない。
- 説明
- 対応策
Oracle E-Business Suite に SQL インジェクションの脆弱性 (JPCERT/CC JVN)

　patch があるので適用すればよい。回避策は存在しないようだ。

■ [SA11791] jCIFS Arbitrary Username Authentication Security Issue
(secunia, Wed, 09 Jun 2004 18:52:38 +0900)

　jCIFS: Common Internet File System Client in 100% Java (samba.org) 0.9.0 以前に欠陥。CIFS サーバ上で guest アカウントが有効になっていると、jCIFS は間違ったユーザ名でも認証に成功してしまう。 jCIFS 0.9.1 で修正されている。

■ 2004.06.08

》ＤＶ被害相談の女性が告訴状　警部補、容疑認める　警視庁 (産経新聞)。DV 被害の人を強姦するとは、どういう神経なのだ……。

同課などは告訴状の受理を保留したうえで警部補から任意で事情聴取している

　これまた身内に甘い対応ですか……。
》米Ciscoが米Trend Microと包括提携、IDSやルーター、スイッチにTrendの技術を導入へ (日経 IT Pro)。うわー、こりゃまた大きなお話ですねえ。
》 39%が「誰かを殺したい」。15歳以下のネット利用実態調査結果を発表（NS総研）(2004.6.7)。何それ……。「若年層の情報強者の層」って、どうやって選んだ対象なんだ? どのような設問が用意されたんだ?
》セキュリティフライデー，脆弱なパスワードを数秒で解読するシステムを開発 (日経 IT Pro) について、セキュリティフライデーの関さんから情報をいただきました (ありがとうございます):

NTLMv2はサポートしておりません。（安心してお使いください）

詳しくは日経バイト６月号をごらんいただけるとありがたいです。
》 AppInit_DLLs 削除話。
- HKLMの「AppInit_DLLs」キーの削除 (アダルトサイト被害対策の部屋)
- solution 9286: レジストリ値 "AppInit_DLLs" に追加された値の修復方法 (トレンドマイクロ)
　ここに値を設定するのが流行っているようで。削除するにはちょっとしたコツが必要になるようです。
》〈みずほ〉を名乗る金融業者にご注意ください (みずほフィナンシャルグループ, 6/3)。最近こういうのも流行っているようで。
》 go.jp 方面 web かいざん話。国立大学財務・経営センター、国交省福島河川国道事務所、厚労省学生職業総合支援センター。麗美さん情報ありがとうございます。
- 国の機関のＨＰに不正侵入 (NHK, 6/7)
- HP改ざん　厚労省所管の学生職業総合支援センターが被害 (毎日, 6/7)
- 改ざんで閲覧停止の関連ホームページを復旧　厚労省 (asahi.com, 6/8)
》世界の三菱話
- 三菱ふそう：欠陥隠し、さらに９３件 (毎日, 6/8)
- 三菱重工：横浜・本牧工場から硫酸流出 (毎日, 6/8)
　最近の三菱は本当にどうなっているんだろう……。三菱重工がロケット品質管理 (NHK) なんて話もあるようですが。
》フェンスに穴話。「また羽田か……」
- 羽田空港の金網に穴　一部の便に乱れ、侵入者はなし (asahi.com, 6/7)
- フェンスを各空港でも点検へ (NHK, 6/8)
- 羽田空港のフェンス、さらに３か所の破損見つかる (読売, 6/8)
》ネットランナー０４／０7月号 (sbpnet.jp)。「何があってもヌルいことはやりません」そうです。

【特集1】ナ・イ・シ・ョのファイル共有
次はBitTorrent？それともShareaza？ eetee？ FileCroc？やっぱりWinny2β7.2？

　そういえば、こんな記事も出てましたね。
- 欧米で人気のファイル交換ソフト「Shareaza 2.0」がオープンソースに (Internet Watch)
- http://news12.2ch.net/test/read.cgi/news/1086625220/41 (2ch.net)
- P2Pネットワーク「BitTorrent」のファイルを検索するサーチエンジン公開 (Internet Watch)
- ファイル交換ソフト「TrustyFiles 2.2」が「BitTorrent」に対応 (Internet Watch)
- ウィニー：“後継”？登場　「Share」利用者伸ばす (毎日)。関連:
  - 自己正当化したガキはどこまで増殖するのかしら？ (Lucrezia Borgia の Room Cantarella)
  - Share(仮称) Part 40 (2ch.net)

■ Webmin Unspecified Denial of Service and Security Restriction Bypass
(secunia, Mon, 07 Jun 2004 23:01:56 +0900)

　Webmin 1.140 (以前?) に 2 つの欠陥。

あらゆるユーザが、たとえアクセスが許可されていなくても、どんなモジュールの設定でも見ることができてしまう。
攻撃者が、変なユーザ名あるいはパスワードを送信することにより、正しいユーザを閉め出してしまうことができる。

　Webmin 1.150 で修正されている。Changes since Webmin version 1.140 も参照。

2004.06.11 / 14 追記:

■ [Full-Disclosure] Internet explorer 6 execution of arbitrary code (An analysis of the 180 Solutions Trojan)
(Full-Disclosure, Mon, 07 Jun 2004 10:21:52 +0900)

　前史: [Full-Disclosure] 180 Solutions Exploits and Toolbars Hacking Patched Users(I.E Exploits)。

　http://216.130.188.219/ei2/installer.htm にある IE 攻略トロイ (危険!! アクセスする場合は、JavaScript / アクティブスクリプトを無効にしてからにすること) について、http://62.131.86.111/analysis.htm で解説している。Jelmer 氏は、http://216.130.188.219/ei2/installer.htm では複数の既知の欠陥と 2 つの新種の欠陥が利用されている、としている。

　なお、http://216.130.188.219/ei2/installer.htm のスクリプト部分は Windows Script Encoder (ダウンロード) によってエンコードされている。これを外すには、たとえば Windows Script Decoder が使えるそうだ。 Obfuscated-HTML De-obfuscation Tools というページもあるそうで。

　また、http://62.131.86.111/analysis.htm に示されている exploit.zip の中身について、 VBS/Psyme (シマンテック: Downloader.Psyme) だと判断するアンチウィルスプロダクトがあるそうだ (Larry Seltzer 氏のメール)。

　……Secunia Advisory 出ました: Internet Explorer Local Resource Access and Cross-Zone Scripting Vulnerabilities。回避策として、アクティブスクリプトの無効化と ms-its: URI ハンドラの削除を挙げています。

2004.06.09 追記:

　IE6に任意のコードが実行可能な脆弱性、すでに悪用法が公開されている (Internet Watch)。

2004.06.15 追記:

2004.07.31 追記:

　Internet Explorer 用の累積的なセキュリティ更新プログラム (867801) (MS04-025) で修正された。

■ 追記

APPLE-SA-2004-05-21 Security Update 2004-05-24

　APPLE-SA-2004-05-28 Mac OS X Update 10.3.4 (古暮涼氏による邦訳版)。 Mac OS X 10.3.4 には CAN-2004-0485 の修正が含まれています。

　さらに、APPLE-SA-2004-06-07 Security Update 2004-06-07 (古暮涼氏による邦訳版) が登場。disk: URI ハンドラについての修正が含まれています。しかし、

コンポーネント: DiskImageMounter
CVE-ID: これは追加的な予防策であるため，CVE ID は取っていません。

このような扱いは全くいただけません。Apple という会社はあいかわらずのようです。関連記事:

■ 2004.06.07

》 Windows Server 2003 セキュリティ基礎講座 (ns-research.jp)。高いという人もいるようですが、どちらかというと安いのでは。
》サイバー犯罪条約関連ねた。
- 問題だらけのサイバー犯罪条約　米国も批准を見送る可能性(2004.5.12) (netsecurity.ne.jp)。全文らしきものをここ (F-Secure) で読むことができます。
- 問題噴出するサイバー犯罪条約　米国だけでなくカナダも批准に暗雲(2004.6.2) (netsecurity.ne.jp)。
- 理事会ニュース平成15年8月4日　第5号 (東京弁護士会法友全期会)。理事会ニュースは、なかなか興味深いコンテンツですね。しかし 3 月末で終了してしまっている……(T_T)。
　なお、日本では、議案審議経過情報 (衆議院) のとおりに批准されております。またこれにより、批准 5 か国以上 (内欧州評議会加盟国 3 か国以上) の条件を満たしたため、条約は発効しています。
》 Instructions for getting around blocking software (all kinds!) (peacefire.org)。circumventor というものを使ってアクセス制限ものを回避するのだそうです。中身的には、Win32 な Apache を使った proxy なのかな。
》 Eyeballing Burial of Submarine Reactors (cryptome.org)。US の原子力潜水艦の原子炉って、こうやって捨てるんですか。
》 FBI Visits Cryptme (cryptome.org)。↓の SA は Special Agent の略です。FBI Special Agent。

SA Renner said there is no investigation of Cryptome, that the purpose of the visit was to ask Cryptome to report to the FBI any information which Cryptome "had a gut feeling" could be a threat to the nation.(中略)
SA Kelly said such visits are increasingly common as the FBI works to improve the reporting of information about threats to the US.
》 Internet Week 2004 チュートリアルアンケートへのご協力のお願い (JPNIC)。今日まで。
》カーネル上でIDSとIPSを実現、SELinux拡張の新たなアプローチ (ITmedia)
》 “ノークレーム・ノーリターン”でも返品できる場合も～経産省が解釈示す (Internet Watch)。
》米欧間で旅客情報交換条約が成立 (Internet Watch)。US ←→ EU。
》【続報】NTTコム障害の“故障”部品は正常，再現試験実施へ (日経 IT Pro)。うーむ、正常ですか……。簡単には解決しませんね……。
》インタビュー●ジャパネットたかた社長　高田明氏「情報漏洩に対するマニュアルがあったわけではない」 (日経 BP)。

いま、多くの投資をして、記録メディアの管理や社内ネットワークのアクセス制御など、いろいろな対策をしています。これらの対策は、社員性悪説ではないのです。あくまでも、自分たちのことを自分で守るための性善説の対策なのです。
》明後日は Windows Update の日です。
》情報漏洩、事件に学ぶ事後対策 (日経 IT Pro)。ここから……というところで終っているので、つづきがほしい人は「日経コンピュータ 2004.05.31」を読みませう。日経コンピュータ　セミナー　経営を揺るがす“個人情報漏洩”の危機に備えるというのもあるのですか。2004.06.23 東京飯田橋、20,000 円 (日経コンピュータ定期講読 1 年分つき)。

■ 2004.06.06

》装甲ブルドーザーが役場や銀行破壊、住民ら避難　米国 (asahi.com)。すごいなあ。RPG-7 とか M136 AT4 みたいなものを使って履帯を破壊できれば停められるだろうけど、そんなものは警察はさすがに持っていないのかな。

　関連: FM 3-23.25 LIGHT ANTIARMY WEAPONS (globalsecurity.org)。 Army Field Manuals (globalsecurity.org) というページがあるんですね。

■ solution 9245: パターンファイルが自動的に100番台になった場合の対応方法について
(トレンドマイクロ, 2004.06.05)

　検索エンジン VSAPI 6.640 (2004.08.05 でサポート終了) 以前を使っていると、パターンファイル 901 (1.901.00) へのアップデート時に、パターンファイルの番号が 101 (1.101.00) に戻ってしまったり、アップデートに失敗したりする。 VSAPI 6.810 以降ではこの問題は発生しない。一般には検索エンジンのアップデートを行えば問題は解決するようだが、製品によって若干手順に違いがあるようなので、該当者は、solution 9245 からたどれる各製品毎の対応方法を参照しておくこと。

■ 2004.06.04

》 VirusScan Enterprise 8.0i (NAI)。なんだか、パケットフィルタやら buffer overflow protector やら、いろいろついているっぽいですねえ……。

　McAfee LinuxShield というのも出るそうで。オンアクセススキャナも付いているようです。
》寺田さん 4 連発: ワームの感染先探索特性 (keio.ac.jp)
》 Winnyを契機に情報処理技術の発展と社会的利益について考えるワークショップ。 2004.06.28、東京都千代田区、無料、100 名。
》 Clam AntiVirus 0.72 が出たそうです。

■ 2004.06.03

》警察の会計文書、全国の１割で保存期限内に処分 (読売)。警察が証拠隠滅ですか……。いやはや。
》スティーリング・ザ・ネットワーク―いかにしてネットワークは侵入されるか読了。いやあ、本当におもしろい。文句なくおすすめ。
》詳報●航空管制で障害，原因は実行判定ロジックのバグ (日経 IT Pro)。
》現場の声はMSに届いたか？　セキュリティパネルディスカッション (ITmedia)。半径 5m 的には、SUS 組んだら、かなり楽になりましたけどねえ……。 SUS の挙動に関するドキュメントの足りなさには困ったものですが。 ……あぁっ! また残作業を思い出した。ぐさぐさぐさっ。
》 CD ねた
- 著作権法改正案、“修正”ならず――文部科学委員会で原案通り可決 (ITmedia, 6/2)
- 改正著作権法、来年1月施行へ。残された手段は…… (ITmedia, 6/3)。何を言っているのだ。改正に反対したいのなら、改正に反対した陣営を次の選挙で勝利させ、法を再改正することこそが最も有効、に決まっているじゃないか。
- 米で新たなCDコピー防止技術導入の動き――消費者の不満を解消できるか (ITmedia, 6/3)
》ハニーポットをCD-ROM起動で実現する「Honeywall」 (日経 IT Pro)。
》自動車のフライトレコーダーは是か非か: 「Witness」は、物言えぬ被害者の“最後の味方”だ (ITmedia)。けっこう大きいなあ。もうちょっと小さいとうれしいのだが……。
》マイクロソフトのサーバー用VMは「驚くほど安い価格」で年内に登場 (Enterprise Watch)。流行るかな?
》 Windows Server System環境を包括的に運用管理する「MOM 2005」 (Enterprise Watch)。MOM キター。
》定点観測システム、その効果と悩み (ITmedia, 6/3)。あぁっ! また残作業を思い出した。ぐさぐさっ。
》「NT 4.0のサポート延長も米本社にプッシュしている」，マイクロソフトの東氏 (日経 IT Pro)。 ATM21 シリーズ (沖電気) のようにまだまだ現役の Windows NT 4.0 機がありますし、 Russ Cooper 氏によると Windows NT 4.0 は意外に安全だそうですし。 Windows 98 は土壇場で延長されましたが、Windows NT 4.0 はどうなりますか。土壇場はつらいので、情報は前広にお願いしますね Microsoft さん。
》 RSAカンファレンスセキュリティー問題はより複雑に　多様な議論が繰り広げられる (毎日)。
》全校生徒の住所入ったメモリーカード盗難　大阪・枚岡樟風高校 (asahi.com)。車上荒らしで全校生徒住所録などの個人情報が入ったメモリカードを盗まれる。麗美さん情報ありがとうございます。
》パスワードに「プラスアルファ」のセキュリティを (ITmedia, 6/1)。
》第159回国会　議案の一覧 (衆議院) というページがあるんですね。
》【CRYPTO-GRAM日本語版】捜査令状が守るセキュリティ (日経 IT Pro)。
》ネットエージェントさん、ありがとう！ (sakichan.org)。「通信傍受用仮メールボックス」は「PacketBlackHole」ベースの模様。
》英国の空、大混乱の模様
- Massive air disruption across UK (BBC)
- Air travel chaos hits Britain (CNN)
》イラク関連
- 懸命に生きる「バグダッド路上の子たち」　東京で写真展 (asahi.com, 6/3)。東京都港区、6/8 まで。無料。詳細はこちらを: 森住　卓　写真展　イラク･湾岸戦争の子どもたち。
- 米軍弾薬庫にロケット弾か、大爆発　イラク北部 (asahi.com, 6/3)
》児童ポルノ　禁止法改正案を可決　衆院特別委員会 (毎日, 6/2)。もともとの改正案は撤回され、「単純所持の禁止規定を削除した改正案」が衆院特別委員会で「全会一致で可決された」ようです。関連:
- 児童買春、児童ポルノに係る行為等の処罰及び児童の保護等に関する法律 (法務省)
- 児童買春等禁止法および児童福祉法の改正案に関するユニセフ公開セミナー (ユニセフ)
- 児童買春・児童ポルノ禁止法案の改正論議によせて (宮台真司氏)
》国際捜査共助法：衆院本会議で可決・成立 (毎日, 6/3)。オリジナル: 国際捜査共助法及び組織的な犯罪の処罰及び犯罪収益の規制等に関する法律の一部を改正する法律 (法務省)。
》佐世保女児殺人事件関連
- ネット利用「負」の側面に注意を…文科省が指導強化へ (読売, 6/2)。
  
  　佐世保の女児死亡事件を巡っては、学校へのＩＴ（情報技術）導入を推進してきた文部科学省内にも当惑が広がっている。
  　子ども同士のネット上のトラブルが、学校内での凶悪犯罪の動機につながるという事態を想定していなかったからだ。同省は「ネット社会の負の側面について十分指導するよう、各教委に徹底することになる」としている。
  
  　100 校プロジェクトのころから、そういう心配をしていた人もいたはずなのだが……。
- 小学生に広がる「チャット」　ルール教える学校も (asahi.com, 6/2)。
  関連: インターネットを利用する子供のためのルールとマナー集 (こどもばん) (インターネット協会)
  
  けいじ板への書きこみ、チャットへの参加、メーリングリストへの登録などは、先生かおうちの人と一緒（いっしょ）のときに行うようにしましょう。もし、自分一人のときにこれらの活動をしていた場合、だれかに迷惑（めいわく）をかけてしまったり、おこられてしまったり、悪い人からこわい目にあわされたとしても、だれも助けることができなくなってしまうからです。
- 小６同級生殺害：事件前夜のＴＶドラマで実行決意 (毎日, 6/3)。うーむ……。
- コラム：「会ってじっくり話してみたら」（黒川　将光） (毎日, 6/2)。親も巻き込んで、かな……。
- 小6同級生殺害背景に子供の世界に広がるインターネット (毎日, 6/3)。
- ニュース特集: 佐世保女児死亡 (asahi.com)
》ネットで数百件の中傷、選抜優勝の済美高が提訴検討 (読売)。
》電子教材は著作権侵害、作家らが差し止め請求 (読売)。
》スーフリ事件、元早大生に懲役１０年 (TBS NEWSi)。
》セキュアOSはいかが？ (日経 IT Pro)。 Fedora Core 2 つきの雑誌が並びはじめたようですね。 SELinux、流行るかな。私も試さナイト。

■ 業務上使わなくなった個人情報は捨てるべき？
(日経 IT Pro, 2004.06.01)

　日経コンピュータ 2004.05.31 の「特集 2: 情報漏曳、事件に学ぶ事後対策」関連記事。答えが簡単に見つかるものではないからこそ、議論を重ねる必要があるのだろうなあ。その過程で見つかるものもあるだろうし。

　ちなみに、fml 4 で confirm している場合、/var/spool/ml/mlname/var/log/confirm がおもいっきり個人情報と化しています。気がつかなさそうな場所にあるので注意が必要です。これに気がついたときには、のけぞりました。

■ 追記

Microsoft Windows 関連: 　weissbach さんからの情報 (ありがとうございます) によると、イメージマップによるステータスバー偽装の件は Safari 1.2.2 (v125.7) でも発生するそうだ。

■ MITKRB5-SA-2004-001: buffer overflows in krb5_aname_to_localname
(bugtraq, Wed, 02 Jun 2004 05:32:42 +0900)

　MIT Kerberos 1.3.3 以前に含まれる krb5_aname_to_localname() 関数に欠陥。これは aname → lname mapping を実施している場合に問題となる。 krb5_aname_to_localname() において buffer overflow するため、これを利用すると remote からサービス動作権限 (通常 root) を取得できる可能性がある。 CVE: CAN-2004-0523

　MIT Kerberos 1.3.3 用の patch が公開されている。MIT Kerberos 1.3.4 で修正されるそうだ。

fix / patch:

Red Hat Linux ES 3: RHSA-2004:236-14 - Updated krb5 packages available
Fedora Core:
[SECURITY] Fedora Core 1 Update: krb5-1.3.3-6
[SECURITY] Fedora Core 2 Update: krb5-1.3.3-7
Mac OS X: APPLE-SA-2004-09-07 Security Update 2004-09-07

■ Opera Favicon Displaying Address Bar Spoofing Vulnerability
(secunia, 2004.06.03)

　Opera 7.50 以前の 7.x に欠陥。大きな favicon 画像を利用して、アドレスバーやページバーなどを偽装することが可能。Opera 7.51 で修正されている。Opera 7.51 では、アドレスバー、ページバー、繰り返されるページ/ウィンドウにおける画像サイズを制限したそうだ。

　詳細: [Full-Disclosure] Phishing for Opera (GM#007-OP)

■ [Full-Disclosure] Format String Vulnerability in Tripwire
(Full-Disclosure, Thu, 03 Jun 2004 08:41:16 +0900)

　Tripwire オープンソース版 2.3.1 以前 / 商用版 2.4 以前に欠陥。チェック結果を電子メールにより通知する機能 (tripwire -m c -M あるいは tripwire --check --email-report) に format バグがあり、特殊なファイル名を設定したファイルを仕掛けられることによって任意のコマンドを実行させられる可能性がある。

　指摘文書にオープンソース版 Tripwire 2.3.1 用の patch が添付されている。

■ 2004.06.02

》米Sendmail、送信者認証スキームの公開実証実験～ソースコードも公開 (Internet Watch)。
》 KUBARK 対ゲリラ尋問 1963.7: ベトナム侵略戦争時代のアメリカ人向けの訓練マニュアル (令状の会)。
》 837251 - Internet Explorer は、 GZIP データ圧縮メソッドを使用するデータを正しく圧縮解除しません (Microsoft)。 patch。ダウンロードセンターから get できるのだから、KB からも link してくれればいいのに。麗美さん情報ありがとうございます。
》 BSE 関連
- ＢＳＥ安全基準の「危険」指定拡大　国際獣疫事務局 (asahi.com, 5/28)
》 [port139ml:05351] 個人情報取扱事業者について。政令第507号を理解する (日経 BP) も関連。個人情報の保護に関する法律 (内閣府) に情報がまとまっています。
》第４回産業構造審議会情報セキュリティ部会議事要旨 (経済産業省, 5/28)。
》慶応義塾大学出版会近刊紹介に「ハニーポット（CD-ROM付）」がありますね。 Honeypots: Tracking Hackers の邦訳のようです。
》個人情報漏曳もの
- お客様情報流出に関するお詫びとご報告 (阪急交通社)。「東日本営業本部が所有するデータの一部約６２万名様分」が流出。麗美さん情報ありがとうございます。
- ツノダ、情報流出は「３千人分」　社長は減給処分 (asahi.com, 5/27)。ツノダホームページにも情報が出ました。リコールもあってたいへんですねツノダさん……。
- 日本総研、顧客企業の社員情報紛失　ＣＤ２枚が行方不明 (asahi.com, 5/27)。「運送業者への受け渡しに手違いがあり、箱ごと紛失」……どういう手違いなんだろう。弊社コンサルティング業務にかかるお客さま情報の紛失について (日本総研) を見てもよくわかりませんね……。
》自民党：憲法改正案で政教分離見直し　伝統行事対象外に (毎日)。なんだかキナ臭い話になってきているようで。
》５月２１日関電交渉報告 (美浜の会)
- その１（質問１）。
  　関電は、「ウラン資源の利用年数が数倍から数十倍延びる」というグラフを、新聞広告をはじめ至る所で使って、プルサーマルの宣伝を行っている。しかし、これはまったくの虚偽である。全世界の原発でプルサーマルを実施して、回収ウランも全量使って、やっと1.25倍なのである。
- その１（質問２）。「原野商法」ですか……。
- その２（質問３）。前提が崩壊しています。
- その２（質問４）。回収ウランはほとんど使われないようですし、「使用済み燃料の90％以上が再利用できる」わけでもないようです。
- その２（質問５）。「文脈から判断したら分かる」読者って日本にどのくらいいるんですかねえ。
- その３（質問６）。「海外での実績」は実はないようです。
- その３（質問７）。詫びるつもりはないようです。
- その３（質問８）。ものわすれが激しいようです。
- その４
  ５月２１日の交渉で関電は、大飯３号機の原子炉用容器上蓋管台から漏えいしたひび割れ箇所がまだ判明しておらず、漏えい箇所の特定及び原因について調査中との回答を行った。一次冷却水の漏えいが確認されたのは５月６日である。２週間たっても、ひび割れ箇所の特定もできていないという。ＥＣＴ（渦電流探傷検査）、ＵＴ（超音波探傷検査）をやってもひび割れ箇所は特定できておらず、さらにヘリウム・リークテストをやってもヘリウムの漏れは見つからないという。深刻な事態である。
》関西電力関西国際空港エネルギーセンター・火力発電所自主検査データねつ造・改ざん関連
- 関西国際空港エネルギーセンターの定期事業者検査に関する調査結果の報告について (関西電力, 5/31)
  
  関空エネセンの機器に機能確保上問題がないことは確認された
  
  関西電力は、検査なしで確認できる能力を保持している模様。超能力者でも雇っているのか?
- 関西電力関西国際空港エネルギーセンター等における定期事業者検査に係る報告徴収について (近畿経済産業局, 5/31)
  
  この指示に対して、本日５月３１日、関西電力から別添のとおり報告がありました。当局は報告内容を検討した結果、下記の事項について、追加的に報告することを指示しました。
  
  「下記の事項」を見ると、事実上、報告し直せと言っているに等しい。近畿経済産業局も関電報告が十分なものだとは全く考えていないということで。報告期限は 6/30。
- 関電の関西国際空港・火力発電所の自主検査データねつ造・改ざん事件 (美浜の会, 6/1)
  
  　関電はプルサーマル再開にあたって、昨年１０月２３日に「品質保証体制は改善された」との報告書を出した。原子力安全・保安院は、この関電報告書を了承し、プルサーマル再開のお墨付きを与えた。
  　しかし今回の事件は、関電の品質保証体制自体がいかにいい加減なものであったかを露呈した。品質保証に関する関電報告書は、今回のデータねつ造を行っていたのと同時期に書かれたものである。一方で火力発電所の検査データをねつ造しながら、他方でプルサーマルの品質保証体制が改善されたとは、到底信じることがでない。さらに昨年１０月の関電報告書は、「社長の関与による品質保証体制の改善」をキーポイントにしている。それならなおさら、火力と原子力の区別など問題にならない。
  
  前提崩壊、ということで。いや実際、検査データのねつ造などという事が継続して行われるほどマインドが低下しているとなると、冗談抜きでやばいです。
》鮮やかなブルーと爽やかな炭酸の刺激が特徴の新コーラテイスト飲料「ペプシブルー」が夏季限定で日本初登場！ (サントリー)。CODE RED マダ～? (チン、チン)。販売されても 1 回しか飲まないと思うけど。
》京都府警覚せい剤汚染事件損害賠償請求
- 予告通り記者会見を開始する (miyazakimanabu.com)
- 5月27日の会見内容について (miyazakimanabu.com)
- 5月27日の記者会見で配布された訴状 (miyazakimanabu.com)
- 京都府警覚せい剤汚染事件資料 (miyazakimanabu.com)
　「トカゲのシッポ切り」をされた側による逆襲の模様。
》高千穂大に不正アクセス　大学図書館職員を逮捕 (共同)。う～む……。麗美さん情報ありがとうございます。
》 Yahoo!オークション、新規出品者などを対象に「郵送住所確認」を開始 (ヤフー)。

　当初、対象となるお客様は、新規出品者と、弊社よりご案内させていただく利用歴の短い出品者となりますが、将来的には順次対象者を拡大していく予定です。
》 RSA Conference 2004 - RFIDに残る課題 (MYCOM PC WEB)

慶応大学の中村修・助教授は、RFIDのセキュリティについて「プライバシーの問題を心配するのもいいがSFの世界でしか語られなかったような夢物語が既にあと3～5年程度で現実になる可能性があることを考えると、あまりあれはやるな、これはやるなとネガティブキャンペーンをされたくない」と語り、まずはシステムを作ってからセキュリティを考えるべきという考えを展開した。

　唖然。セキュアプログラミング ―失敗から学ぶ設計・実装・運用・管理 (O'Reilly) を一読されることを強くお勧めしておきます。設計が重要だからこそ、今きちんと考えておかないといけないと思うのですが……。
》ハイテクで「マイノリティ・リポート」が現実に……？ (ITmedia)。うーむ。
》 Network Associates、広範なスパム対策技術の特許取得 (ITmedia)。うーむ。
》監視カメラ・システムを手軽に実現、日本SGIが“手のひら”サイズのサーバー投入 (日経 IT Pro)。おぉぅ、安い。

　録画の設定は、次のような流れで進める。設定ツールで、ViewRangerのカメラが撮影している画像を表示。その画像の中で「部屋の入り口」のように変化を検知すべき領域を、設定ツールの画面から選択する。「その領域に大きな変化があった際に、30フレーム戻った時点から録画する」といった形で設定しておく。

　こちらの記事の方が、その大きさや機能がよくわかりますね: 日本SGI、世界最小・最軽量の監視用マイクロサーバーを発表 (Enterprise Watch)。いやあ、小さい。
》著作権法改正――「原案通り可決」の可能性高まる (ITmedia, 6/1)。海外盤CD輸入禁止に反対する (sound.jp) からいろいろたどれます。 6/1 の文部科学委員会審議 (衆議院 TV) を見てみましたが、数々の問題点が指摘されながら、それらを修正することなく「今国会で必ず通す」というのは、年金法案にも通じるお話ですねえ、公明党さん。
》愛媛県警捜査費不正流用疑惑 (テレビ愛媛)。

元職員の証言では (中略) 裏金づくりは、県内にある１９のすべての警察署や捜査に関わる県警本部のすべての課で行われていたと指摘している。 (中略) 大半の現金は、署長ら一部の幹部の間で私的に流用されていた疑いが強いと指摘している。
》男性の不妊症が世界的に急増、環境ホルモンなどが原因か (WIRED NEWS)。不妊症の半分は男性側が原因ですので、「なかなかできないねえ」というときは男性側も調べましょう。男性側に原因があっても、「不妊治療」は女性側でしか行えなかったりするんですよね。ただでさえ精神的な負担が大きいのに。間違っても「赤ちゃんまだ?」とか聞いてはいけません。宮内庁はわかりましたか。

　いまどきの世の中だと、妊娠しても、20% の確率で流産しますので、その点にも注意しましょう。数十年前は 10% だったそうなんですけどね。医療水準は向上しているのに流産率が上がっている点に注意しましょう。
》サウジアラビア外国人襲撃事件
- サウジで襲撃事件、欧米人ら１０人死亡 (TBS, 5/29)
- サウジ襲撃立てこもり、突入で犠牲者 (TBS, 5/30)
- 襲撃・立てこもりによる犠牲者２２人に (TBS, 5/31)
- サウジ襲撃事件、邦人宅も襲われる (TBS, 5/31)
- 日本人を巻き込むテロ攻撃の脅威 (外務省広域情報, 6/1)
- ニュース特集サウジ襲撃事件 (asahi.com)
- ＮＹ原油急騰４２ドル、市場最高値　サウジテロで懸念 (asahi.com, 6/2)
　犯人のうち 3 人はいまだに逃走中なんですかねえ……。
》セキュリティガイダンスセンター (Microsoft) ができていました。あぁ SUS……やってない仕事を思い出した。ぐさっ。
》【続報】NTTコムの大規模障害，原因は2カ所の分電盤の同時故障 (日経 IT Pro)。
》 Top 10 Signs that you are infected (SANS ISC)。

■ 追記

TCP プロトコルに潜在する信頼性の問題

OpenBSD: Cisco Applies For Patents To Secured TCP (kerneltrap.org)。
Feature: Understanding TCP Reset Attacks, Part I (kerneltrap.org)。 Part II も出るはずなのだけど、なかなか出ませんね……。
TA04-111A TCP 特許問題を時系列に追っかけてみよう・・・ (@Sam's Room)

■ 他人のメールを読む方法
([memo:7583], 2004.05.14)

　world writable な mail spool には注意しましょう。

■ Microsoft Windows 関連
(various)

Outlook 2003に複数のセキュリティ・ホール，パッチは未公開 (日経 IT Pro)。Microsoft からはあいかわらず何も出てきていませんね。
Microsoft Internet Explorer ImageMap URL Spoof Vulnerability。IE 5 / 6 において、イメージマップを利用してステータスバーを偽装できてしまうという指摘。デモページを参照。手元の IE 6.0 SP1 でも再現できた。 Mozilla 1.6 にはこの欠陥はないようだ。

2004.06.03 追記:

　weissbach さんからの情報 (ありがとうございます) によると、イメージマップによるステータスバー偽装の件は Safari 1.2.2 (v125.7) でも発生するそうだ。

■ 平成１５年度電気通信サービスモニターに対する第２回アンケート調査結果
(総務省, 2004.05.28)

　セキュリティ話としては「3. フィルタリングについて」「4. コンピュータウィルスについて」が関連でしょうか。

　「3. フィルタリングについて」では「必要だと思う: 58.1%、人によっては必要だと思う: 37.9%」であるにもかかわらず、実際に利用しているのは 9.0% のみであり、利用していない人の回答は「必要性を感じないから: 51.5%、フィルタリングソフトの存在を知らないから: 39.4%」。数字が合わないような気が。「必要だと思う: 58.1%」はあくまで一般論か? 「自宅で利用しているフィルタリングソフト」の選択肢に、Internet Explorer の「コンテンツアドバイザ」がないのも不思議な気がする。

　なお、アンケート調査結果（報告書より抜粋）では、フィルタリングの必要性のところだけしか載っていない。抜粋の仕方に強い作為を感じる。完全版を読みませう。 (誤字修正: らむじぃさん感謝)

　「4. コンピュータウィルスについて」では、Windows Update は 69.0% が存在を知っており、55.6% が配信あり次第アップデートしている、となっている。頻繁にはアップデートしない理由は「面倒だから」が 38.0% でトップ。アンチウィルスを使っているのは 56.7% で、使っていない理由は「(料金が) 高いから」が 42.2% でトップ。しかし、「ではいくらが適切と思うか」という質問はされていないのが惜しい。

■ 2004.06.01

》ただいま、超著作権侵害中 (2ch.net)。いい味出してますね。
》 WindowsとLinux、それぞれの脆弱性への対応は？ RSA Conference 2004 Japan パネルディスカッション (Enterprise Watch)。

中身はともかく“重要な情報がある”というだけでも事前に情報がいただけけないか

　魂の叫びですねえ……。
》【セキュアOS SELinux入門】第3回 Fedora Core 2をインストールしてSELinuxを利用する (日経 IT Pro)。
》派遣ＶＳ．正社員　モラルハザード生む職場の葛藤 (asahi.com)。

　法廷では、犯行の経緯や動機を詳細に語った。ごみ集積所で顧客情報の入ったＣＤ－Ｒを拾い、職場の端末からも、マウスを数回クリックするだけで、大量の顧客情報を一覧できることに気づいたこと。

　……なんじゃそりゃあ……。
》弊社に関する5月24日付け共同通信配信記事ならびに共同通信配信による5月25日付け東京新聞夕刊記事について (コスモ石油)。内部告発者処分を検討コスモ石油個人情報流出 (中日) に対するもの。「4月21日の公表文」というのは、お客様情報流出の可能性について (コスモ石油) のようだ。

　弊社は、上記のとおりお客様の被害拡大防止と早期の原因究明のために本件を公表したものであり、「内部告発」を受けてのものではありませんので、ご理解を賜りますようお願い申し上げます。

　しかし一方で、コスモ石油発表には「ネット告発者」や「通達」に関することがらは一切書かれていないし、中日も、「内部告発」を受けて発表した、とは書いていない。「ネット告発者」を捜索したこと自体は事実とみていいんだろうなあ。
》 URLフィルタリング製品「URLGUARDIAN for Linux」の販売開始について (NEC ソフト)。 URLGUARDIAN (キヤノンソリューション) の Linux 版なのだそうで。
》なぜ「テスト」は軽視されるのか？ (日経 IT Pro)。
》ソフトバンクBB、恐喝未遂事件容疑者逮捕を受け発表会開催～「PC JAPAN」休刊へ。容疑者の1人は「PC JAPAN」に執筆するライター (Internet Watch)。BEAMZ 氏に黒川かえる氏ですか……。PC JAPAN 休刊ですか……。

孫社長はPC JAPANについて「内容そのものはセキュリティ対策に力を入れた上級PCユーザー向けの雑誌だが、タイトル等が刺激的であり、適切なタイトルではないな、と本日議論をしていた」とコメント。

　ネトランにくらべればおとなしいものだと思うけどなあ。

「ソフトバンク・パブリッシングの目的は、IT業界の健全な発展のための出版であったが、今回このような事件があり、出版物にそのような誤解を受けるタイトルや記事が出ていたのではないかと反省した。今後は真剣な議論の上で社内の処分を速やかに行なっていきたい」と述べたのち、PC JAPAN以外の媒体についても「どのような雑誌や単行本が発行されているのか、再度議論をしてみたいと思う」とした。 (中略) 「今回の事件の温床となるような雑誌、書籍等は認識できたので、それについては何がしかの処置をしたい」とした。

　ネトラン休刊も時間の問題なのかな。関連:
- 元派遣社員はハッカー界の“著名人”…ヤフー名簿流出 (読売)
- 顧客情報流出　辞任の考えはなし　孫ソフトバンクBB社長 (毎日)
- Yahoo! BBの顧客情報漏洩事件、流出経路に業務委託先の社員 (Internet Watch)
- Yahoo!BBの個人情報流出事件で新たに逮捕者、内部関与者の存在も判明 (MYCOM PC WEB)。
- 弊社顧客情報を基にした恐喝未遂事件に関する現時点での調査結果について (ソフトバンク BB)
  2004年2月7日に、当社の代表メールに242名の個人情報流出に関する情報提供があった際に、即座に警察にその事実を報告、メールも提供し捜査を促しました。
  そのメールには、今回、警察発表があった協力者の、本事件とのかかわりの可能性が示唆されていました。先般の会見で本件に触れなかったのは、捜査上の問題で守秘を指導されていたからです。
》 Winnyで流出被害の会社員、北海道県警を提訴～慰謝料200万円を要求 (Internet Watch)。
》個人情報消去機能を搭載したパスワード管理ソフト「認術修業 v1.2」 (Internet Watch)。パスワード復活機能って、……。
》許可のないパソコンはネットワークにつながせない，NTTデータと米Phoenixが共同開発 (日経 IT Pro)。機器の接続許可・拒否を行うお話。その機器を使っているのが誰か、はまた別の話。
》 http://www.openbsd.org/cgi-bin/cvsweb/src/usr.sbin/ntpd/。今度は ntpd を独自実装だそうで。 OpenBSD 恐るべし。
》 NTT コミュニケーションズ電源事故、おさまったようですね。
- 障害の発生について（第三報：0時0分現在） (ntt.com)
- 障害の発生について（第四報/最終報） (ntt.com)
- NTT Comの大規模通信障害が11時間ぶりに完全復旧 (Internet Watch)
》 CSO のための情報漏洩問題におけるシステム対策セミナー (NAI)。 2004.06.15、東京都渋谷区、無料。トップバッターは日経 BP の藤田さん。Ted Barlow 氏の「NAIにおけるセキュリティポリシーとシステム構成事例」も興味深そう。

■ 追記

[Full-Disclosure] Advisory 07/2004: CVS remote vulnerability: 　バージョン管理ツールCVSのセキュリティ・ホールを突いた不正侵入が続発 (日経 IT Pro)。流行ってます。

私について

セキュリティホール memo - 2004.06

■ Apache 2.0.46～2.0.49 Input Header Folding Denial of Service Vulnerability (secunia, Tue, 29 Jun 2004 03:01:09 +0900)

2004.07.15 追記:

2004.07.30 追記:

■ SA11966: Internet Explorer Frame Injection Vulnerability (secunia, 2004.06.30)

2004.07.01 追記:

2004.07.12 追記:

2004.09.09 追記:

■ 「オンラインすり」にご用心――新たなトロイの木馬プログラム見つかる (ITmedia, 2004.06.30)

2004.07.01 追記:

■ Juniper JUNOS PFE の IPv6 処理にメモリリークの脆弱性 (JPCERT/CC, 2004.06.30)

■ 「Winny事件を契機に情報処理技術の発展と社会的利益について考えるワークショップ」 開催 (various)

■ さまざまなアプリケーションを異常終了させるGIF画像がネット上に流出 (窓の杜, 2004.06.24)

■ Download.Ject に関する情報 (Microsoft, 2004.06.25)

2004.06.26 追記:

2004.06.29 追記:

2004.06.30 追記:

2004.07.05 追記:

2004.07.08 追記:

2004.07.09 追記:

■ いろいろ (various)

■ SYM04-010: Symantec Gateway Security 製品に DNS キャッシュ・ポイゾニングの脆弱性 (symantec, 2004.06.21)

■ US-CERT Technical Cyber Security Alert TA04-174A: Multiple Vulnerabilities in ISC DHCP 3 (US-CERT, 2004.06.23)

■ またもやOperaにアドレス・バーを偽装されるセキュリティ・ホール (日経 IT Pro, 2004.06.22)

2004.06.24 追記:

2004.07.09 追記:

■ SNS Advisory No.76: Printing from Internet Explorer Lets Users to Cause DoS (LAC SNS, 2004.06.23)

■ いろいろ (various)

■ Hiki の脆弱性に関する注意喚起 (Hiki Development Team, 2004.06.21)

2004.06.29 追記:

■ livedoorの情報セキュリティ (沙耶 16 歳さん, 2004.06.21)

■ 連載【ＩＴ奔流 ベンリ社会の行方】（２）生体認証 「他人のフリ」簡単 (読売, 2004.06.17)

■ いろいろ (various)

■ ウイルス定義ファイル(DAT4367)の問題について (McAfee Support Information, 2004/06/17)

2004.06.21 追記:

■ キーボード入力などを記録し外部に送信するプログラムに関する注意喚起 (JPCERT/CC, 2004.06.17)

2004.06.18 追記:

■ いろいろ (various)

■ PHP 4.3.7 Release Announcement (PHP.net, 2004.06.02)

■ [Full-Disclosure] Buffer overflow in apache mod_proxy, yet still apache much better than windows (Full-Disclosure, Thu, 10 Jun 2004 23:38:26 +0900)

■ New (Linux) Kernel Crash-Exploit discovered (linuxreviews.org, 2004.06.11)

■ お詫びと今後の方針について (web-up.cside.biz)

■ Windows認証を数秒で解析 脆弱なパスワードは即座に破られる (日経 IT Pro, 2004.06.01)

■ Mozilla Browser Address Bar Spoofing Weakness (Secunia, Mon, 14 Jun 2004 21:04:41 +0900)

■ Internet Explorer Security Zone Bypass and Address Bar Spoofing Vulnerability (secunia, 2004.06.12)

■ Subversion <= 1.04 DoS / heap overflow (subversion, 2004.06.10)

■ RealNetworks, Inc. がセキュリティ脆弱性に対応するアップデートをリリース (Real Networks, 2004.06.09)

■ FreeBSD Security Advisory FreeBSD-SA-04:12.jailroute - Jailed processes can manipulate host routing tables (FreeBSD, Tue, 08 Jun 2004 06:06:14 +0900)

■ 堺市の住基ネット ずさん運用 契約結ばず業務を委託 (産経新聞, 2004.06.10)

2004.06.15 追記:

■ 不正な個人情報取得メールに関するご注意 (Yahoo! JAPAN)

■ enpa-sa-00014: Multiple security problems in Ethereal 0.10.3 (ethereal.com, 2004.05.13)

■ [Full-Disclosure] iDEFENSE Security Advisory 06.08.04: Squid Web Proxy Cache NTLM Authentication Helper Buffer Overflow Vulnerability (Full-Disclosure, Wed, 09 Jun 2004 04:00:21 +0900)

■ gooリサーチ結果 (No.59) 「第２回企業の個人情報保護と情報セキュリティ対策に関する意識調査」 (goo リサーチ, 2004.06.09)

■ [Full-Disclosure] Advisory 09/2004: More CVS remote vulnerabilities (Full-Disclosure, Wed, 09 Jun 2004 22:00:04 +0900)

Changelog:

■ 「ウイルスバスター2004」に不具合，ただしセキュリティ上の影響は小さい (日経 IT Pro, 2004.06.08)

■ 今日は Windows Update の日: 2004 年 6 月のセキュリティ情報 (Microsoft, 2004.06.09)

■ Oracle E-Business Suiteに危険なセキュリティ・ホール，管理者はすぐに対応を (日経 IT Pro, 2004.06.09)

■ [SA11791] jCIFS Arbitrary Username Authentication Security Issue (secunia, Wed, 09 Jun 2004 18:52:38 +0900)

■ Webmin Unspecified Denial of Service and Security Restriction Bypass (secunia, Mon, 07 Jun 2004 23:01:56 +0900)

2004.06.11 / 14 追記:

■ [Full-Disclosure] Internet explorer 6 execution of arbitrary code (An analysis of the 180 Solutions Trojan) (Full-Disclosure, Mon, 07 Jun 2004 10:21:52 +0900)

2004.06.09 追記:

2004.06.15 追記:

2004.07.31 追記:

■ solution 9245: パターンファイルが自動的に100番台になった場合の対応方法について (トレンドマイクロ, 2004.06.05)

■ 業務上使わなくなった個人情報は捨てるべき？ (日経 IT Pro, 2004.06.01)

■ MITKRB5-SA-2004-001: buffer overflows in krb5_aname_to_localname (bugtraq, Wed, 02 Jun 2004 05:32:42 +0900)

■ Opera Favicon Displaying Address Bar Spoofing Vulnerability (secunia, 2004.06.03)

■ [Full-Disclosure] Format String Vulnerability in Tripwire (Full-Disclosure, Thu, 03 Jun 2004 08:41:16 +0900)

■ 他人のメールを読む方法 ([memo:7583], 2004.05.14)

■ Microsoft Windows 関連 (various)

2004.06.03 追記:

■ 平成１５年度電気通信サービスモニターに対する第２回アンケート調査結果 (総務省, 2004.05.28)

■ Apache 2.0.46～2.0.49 Input Header Folding Denial of Service Vulnerability
(secunia, Tue, 29 Jun 2004 03:01:09 +0900)

■ SA11966: Internet Explorer Frame Injection Vulnerability
(secunia, 2004.06.30)

■ 「オンラインすり」にご用心――新たなトロイの木馬プログラム見つかる
(ITmedia, 2004.06.30)

■ Juniper JUNOS PFE の IPv6 処理にメモリリークの脆弱性
(JPCERT/CC, 2004.06.30)

■ 「Winny事件を契機に情報処理技術の発展と社会的利益について考えるワークショップ」開催
(various)

■ さまざまなアプリケーションを異常終了させるGIF画像がネット上に流出
(窓の杜, 2004.06.24)

■ Download.Ject に関する情報
(Microsoft, 2004.06.25)

■ いろいろ
(various)

■ SYM04-010: Symantec Gateway Security 製品に DNS キャッシュ・ポイゾニングの脆弱性
(symantec, 2004.06.21)

■ US-CERT Technical Cyber Security Alert TA04-174A: Multiple Vulnerabilities in ISC DHCP 3
(US-CERT, 2004.06.23)

■ またもやOperaにアドレス・バーを偽装されるセキュリティ・ホール
(日経 IT Pro, 2004.06.22)

■ SNS Advisory No.76: Printing from Internet Explorer Lets Users to Cause DoS
(LAC SNS, 2004.06.23)

■ いろいろ
(various)

■ Hiki の脆弱性に関する注意喚起
(Hiki Development Team, 2004.06.21)

■ livedoorの情報セキュリティ
(沙耶 16 歳さん, 2004.06.21)

■ 連載【ＩＴ奔流　ベンリ社会の行方】（２）生体認証　「他人のフリ」簡単
(読売, 2004.06.17)

■ いろいろ
(various)

■ ウイルス定義ファイル(DAT4367)の問題について
(McAfee Support Information, 2004/06/17)

■ キーボード入力などを記録し外部に送信するプログラムに関する注意喚起
(JPCERT/CC, 2004.06.17)

■ いろいろ
(various)

■ PHP 4.3.7 Release Announcement
(PHP.net, 2004.06.02)

■ [Full-Disclosure] Buffer overflow in apache mod_proxy, yet still apache much better than windows
(Full-Disclosure, Thu, 10 Jun 2004 23:38:26 +0900)

■ New (Linux) Kernel Crash-Exploit discovered
(linuxreviews.org, 2004.06.11)

■ お詫びと今後の方針について
(web-up.cside.biz)

■ Windows認証を数秒で解析脆弱なパスワードは即座に破られる
(日経 IT Pro, 2004.06.01)

■ Mozilla Browser Address Bar Spoofing Weakness
(Secunia, Mon, 14 Jun 2004 21:04:41 +0900)

■ Internet Explorer Security Zone Bypass and Address Bar Spoofing Vulnerability
(secunia, 2004.06.12)

■ Subversion <= 1.04 DoS / heap overflow
(subversion, 2004.06.10)

■ RealNetworks, Inc. がセキュリティ脆弱性に対応するアップデートをリリース
(Real Networks, 2004.06.09)

■ FreeBSD Security Advisory FreeBSD-SA-04:12.jailroute - Jailed processes can manipulate host routing tables
(FreeBSD, Tue, 08 Jun 2004 06:06:14 +0900)

■ 堺市の住基ネット　ずさん運用　契約結ばず業務を委託
(産経新聞, 2004.06.10)

■ 不正な個人情報取得メールに関するご注意
(Yahoo! JAPAN)

■ enpa-sa-00014: Multiple security problems in Ethereal 0.10.3
(ethereal.com, 2004.05.13)

■ [Full-Disclosure] iDEFENSE Security Advisory 06.08.04: Squid Web Proxy Cache NTLM Authentication Helper Buffer Overflow Vulnerability
(Full-Disclosure, Wed, 09 Jun 2004 04:00:21 +0900)

■ gooリサーチ結果 (No.59) 「第２回企業の個人情報保護と情報セキュリティ対策に関する意識調査」
(goo リサーチ, 2004.06.09)

■ [Full-Disclosure] Advisory 09/2004: More CVS remote vulnerabilities
(Full-Disclosure, Wed, 09 Jun 2004 22:00:04 +0900)

■ 「ウイルスバスター2004」に不具合，ただしセキュリティ上の影響は小さい
(日経 IT Pro, 2004.06.08)

■ 今日は Windows Update の日: 2004 年 6 月のセキュリティ情報
(Microsoft, 2004.06.09)

■ Oracle E-Business Suiteに危険なセキュリティ・ホール，管理者はすぐに対応を
(日経 IT Pro, 2004.06.09)

■ [SA11791] jCIFS Arbitrary Username Authentication Security Issue
(secunia, Wed, 09 Jun 2004 18:52:38 +0900)

■ Webmin Unspecified Denial of Service and Security Restriction Bypass
(secunia, Mon, 07 Jun 2004 23:01:56 +0900)

■ [Full-Disclosure] Internet explorer 6 execution of arbitrary code (An analysis of the 180 Solutions Trojan)
(Full-Disclosure, Mon, 07 Jun 2004 10:21:52 +0900)

■ solution 9245: パターンファイルが自動的に100番台になった場合の対応方法について
(トレンドマイクロ, 2004.06.05)

■ 業務上使わなくなった個人情報は捨てるべき？
(日経 IT Pro, 2004.06.01)

■ MITKRB5-SA-2004-001: buffer overflows in krb5_aname_to_localname
(bugtraq, Wed, 02 Jun 2004 05:32:42 +0900)

■ Opera Favicon Displaying Address Bar Spoofing Vulnerability
(secunia, 2004.06.03)

■ [Full-Disclosure] Format String Vulnerability in Tripwire
(Full-Disclosure, Thu, 03 Jun 2004 08:41:16 +0900)

■ 他人のメールを読む方法
([memo:7583], 2004.05.14)

■ Microsoft Windows 関連
(various)

■ 平成１５年度電気通信サービスモニターに対する第２回アンケート調査結果
(総務省, 2004.05.28)