セキュリティホール memo

》間もなく始まる“オプトイン規制”、改正迷惑メール法が12月に施行　 IAjapan迷惑メール対策委員長の木村孝氏に聞く (Internet Watch, 10/29)
》著作権保護期間とフェアユースについて討論、think Cシンポジウム (Internet Watch, 10/31)

　東京大学名誉教授の中山信弘氏は、「提言は非常に結構なものだと思う。提言の中では、保護期間の延長については、少なくとも今年度はないと思われる。フェアユースについては、ぜひ次の通常国会で立法化してほしいと強く言ってきたが、それは難しいかなという感じになっている。少しがっかりしているが、仮に次の通常国会がダメでも、その次の通常国会がある。めげずに頑張っていきたい」とコメントした。
(中略)
　フェアユースについては、中山氏が「現在ネット関連の新しいビジネスを行おうと思えば、多くは著作権侵害にぶつかってしまう。ネットビジネスは資源の少ない日本にとって大切な産業で、コンテンツがうまく回らなければ権利者にも還元できなくなる。なんとしてもいまフェアユースを導入すべきだと考えている」と主張した。

　中山先生のこの危機感と、

　これに対して甲野氏は、「フェアユースは、柔軟に世の中の動きに対応できるのはいいことだという印象を持っているが、（著作権法には）刑事罰もあるので規定が難しいのではないか。フェアユースは公的な目的には有効だと思うが、産業発展のためという点については疑問が残る。せめて報酬請求権だけは残すとか、よく議論をしなければいけない。時間がかかってもやむをえないかと思う」と語った。

　文化庁・甲野氏のこのズレ方。甲野氏は、現代社会のビジネス速度と、「産業発展のため」にこそフェアユースが必要、という観点が全くわかっていない模様。「時間がかかって」いるうちに日本が沈没していても ok ok ということか。

　関連:
- 「日本版フェアユース規定」の導入を提言、知財戦略本部の専門調査会 (Internet Watch, 10/29)
- 知財戦略本部、「日本版フェアユース導入」提言案にパブコメ募集 (Internet Watch, 10/30)
》明治安田生命のWinny流出、新たに約7000人分の流出が判明 (Internet Watch, 10/31)。既報部分よりも「新たに」の部分の方が多い……。

さらに過去の入社希望者についても個人情報が流出していることが確認されたという。新たに流出が確認された個人情報は、2005年～2008年の大阪職域FC営業部への入社希望者（法人営業職）に関するもの。
》アパグループ第一回「真の近現代史観」懸賞論文で、田母神“そんなの関係ねえ”俊雄航空幕僚長が「侵略国家はぬれぎぬ」と主張。いやはや。
- 田母神空幕長が「そんなの関係ねえ」 (デイリースポーツ, 4/18)
- 航空自衛隊の“将軍様”　田母神幕僚長が贅沢な「燃料垂れ流し出張」 1泊2日で100万円超か (MyNewsJapan / livedoor, 9/16)
- 防衛相、田母神空幕長を更迭へ＝「侵略国家はぬれぎぬ」と論文 (時事, 10/31)
- アパグループ第一回「真の近現代史観」懸賞論文受賞者発表 (アパグループ)
　「日本は侵略国家だったのではない、チンカス国家だったのだ」とかいう結論ならともかく、……。調査報告　日本軍と阿片 (NHK スペシャル) を見ても、時代に乗り遅れたチンカス国家にしか見えないし。もしかしたら、「蒋介石により日中戦争に引き込まれ」るくらいチンカスだったと言いたいのかもしれんが。
》「気候変動に対する中国の政策と行動」白書が発表 (asahi.com, 10/30)。中国は、まずは自国内の汚染をなんとかしませう。
》ネット詐欺師の集会場「DarkMarket」が閉鎖、一斉検挙を警戒か (日経 IT Pro, 10/29)
》米スタンフォード大学の研究者がトラフィック処理能力を高める「OpenFlow」技術を発表　 “帯域幅が大きい”“遅延が小さい”“消費電力が小さい”などの条件で経路を選択可能に (ComputerWorld.jp, 10/30)
》９・１１事件以降のアフガニスタン／イラク戦争と在日米軍基地 (関組長の東京・永田町ロビー活動日記ｂｌｏｇ版, 10/22)
》お願い～警察を監視している外国のブログなどを教えてください (情報流通促進計画 by ヤメ記者弁護士（ヤメ蚊）, 10/31)。マスゴミ話とつながっちゃうんだよなぁ……。
》内部統制報告制度では支配権のない持分法適用会社であっても「内部」統制の一部として評価しなければならないのに、100%子会社に情報の取り扱いを委託する場合は「外部」委託といわれる (まるちゃんの情報セキュリティ気まぐれ日記, 10/31)
》医者にとってのインフォームド・コンセント　「医療崩壊」と職業倫理 (日経 Medical Online, 10/17)
》なぜ社員はセキュリティ・ポリシーを無視するのか　ポリシーを守っていたら仕事にならないという現状も (ComputerWorld.jp, 10/30)。
》イスラエルのGPL違反訴訟が和解 (sourceforge.jp, 10/30)
》ファイル名のパズルゲーム (日経 IT Pro, 10/30)
》 Vista updates (KB957200 and KB953155) (SANS ISC, 10/30)
》海賊版 Windows への対抗策「黒くぬれ」で中国政府が逆ギレ。ストーンズの教えを実行しただけなのに……。
- Microsoft、中国でWindowsXPに海賊版対策機能を追加 (slashdot.jp, 10/23)
- 「黒デスクトップ事件」、国家版権局がまもなく見解表明 (asahi.com, 10/26)
- MSの海賊版対策、「ブラックスクリーン」を国家版権局局長が非難-中国 (web-tab.jp, 10/28)
- 「黒デスクトップ事件」、中国政府がマイクロソフトに対して異例の批判声明 (technobahn, 10/30)
　文句があるならとっとと捨てればいいのに。Linux + OpenOffice.org で十分ですよ?
》ミラクル・リナックス、ディザスタリカバリツール「Mondo Rescue」の導入・サポート開始 (sourceforge.jp, 10/31)
》パスワード管理ソフト4種類を試す (sourceforge.jp, 10/31)
》こうして“核”は持ち込まれた～空母オリスカニの秘密～ (NHK スペシャル, 11/9 放送予定)。関連:
- オリスカニー (空母) (ウィキペディア)。エセックス級 11 番艦。
- アメリカの世界戦略と日米安保 (佐世保市議会日本共産党山下千秋)
- ｢核兵器使用計画｣を読み解く ―アメリカ新核戦略と日本― (新日本出版社)
　まぁ、非核三原則の 1 番目と 2 番目はともかく、3 番目「持ち込ませず」がパーティージョークに過ぎないことは自明なのですけどね。
》日銀の内部資料が Winny に流出したことによる風評被害で酒屋が破産
- 日銀松江支店の情報流出：「風評被害」松江の酒店、資料流出で破産 (毎日, 10/30)
  
  日銀松江支店の臼井正樹次長は「交渉の内容は話せない。ご迷惑をおかけした企業には申し訳ない」と話している。
  
  日本語訳: とりあえず何もしない。
- 「破綻懸念先」の酒店が破産、日銀松江支店の内部資料流出で (産経 MSN, 10/30)
  
  内部資料は、男性職員が自宅のパソコンで作業中に、ウイルスに感染しインターネット上に流れた。今年３月下旬に流出が発覚。職員は４月に停職１カ月の処分を受け、自主退職している。
  
  停職1カ月で ok。
- 日本銀行松江支店における内部情報流出について (日本銀行, 3/22)
  
  ２．情報が記載されていた金融機関等に対しては、個別に事情を説明させていただき、謝罪致しました。また、情報の掲載がこれまでに確認されたサイトに対しては情報の削除依頼を行い、削除済となっています。
- 日銀支店の内部資料がWinnyで流出 (slashdot.jp, 3/23)
- 削除依頼はしています……日銀松江支店で融資先情報など流出 (マイコミジャーナル, 3/25)
  
  職員は以前私物パソコンでファイル交換ソフトを使用しており、同ソフトを介して情報が流出した可能性が高いが、同職員は「事件の原因となった作業をする前にはすでに同ソフトを削除していた」と話しているという。
  
  その後、嘘をついていたことが明らかになっています。 (日銀の内部調査報告書を参照)
  
  拡散してしまったネット上の情報は、収拾がつかなくなってしまっている。毎日新聞の報道によれば、破綻懸念先と記述された企業などから「日銀につぶされる」などの怒りの声も出ているという。
  
  そしてついに、実際につぶされてしまったということですね。
  
  日本銀行によれば、「流出した情報が出ているサイトや書き込みは、見つけ次第削除依頼しているが、すぐに応じてくれるところばかりでもなく、拡散ぶりに削除依頼が追いついていない」と話しており、こうした事件の事態収拾の難しさをあらためて示した形となっている。
  
  であるにもかかわらず、その後の状況についてはロクに報告していないと。
- 日本銀行松江支店における内部情報流出に関する内部調査報告書等について（調査報告書、総裁談話） (日本銀行, 4/15)。「被害者への補償」という項はどこにもない。さすがです。
》最後の「名タイ」発行　２万８３４号で休刊に惜しむ声 (中日, 10/31)。さようなら。いや、名タイがなくなっても惜しくないけど。
》 VRDA フィード：脆弱性脅威分析用情報の定型データ配信 (JPCERT/CC, 10/31)。「確かガンダム 00 に……」「それはヴェーダ」
》エプソンオフィリオプリンタ LP-S300/LP-S300N ご愛用のお客様へ「無償修理」のお知らせ (EPSON, 10/15)
》まさに天文学的数字、インフレで1ドル＝約4兆ジンバブエ・ドルに (gigazine, 10/31)。ハイパーインフレ継続中。
》あなたのクライアントは本当に大丈夫ですか？「情報漏えい事件の本質を探る」 (ネットエージェント)。2008.11.07、大阪府大阪市、15,000円。まっちゃさん情報ありがとうございます。
》 RBL.JP さんが一時見えなくなっていたそうで。

2008年10月31日10:45　UPSの不具合により1:00から8:00まで停止しておりました。現在は復旧しております。

　匿名希望さん情報ありがとうございます。
》酢が主成分の“おしゃれ消火器”を発売、宮田工業 (日経 KEN-Plats, 10/6)、キッチンアイ (宮田工業)。粉末ものは掃除がたいへんなのか……。でも滋賀にはキッチンアイ取り扱い店がない。宮田工業オンラインショップか。

　さて、消火器には耐用年数があり、期限後は廃棄する必要があるのだが、と思ってぐぐってみると、
- 最近発生した主な消火器破裂事故 (防災システム研究所)。いちばん新しいのが平成１３年な「最近」なのだが、「古い消火器の底が腐食していて破裂、顔面を直撃死亡（２４年経過）」といった事例もあるそうで。怖いなあ。
- 廃消火器の広域的処理の認定について (環境省, 2006.09.04)
- 家庭用廃消火器回収・リサイクル (初田製作所)。税込み 2,310 円で回収。
　あと、新規購入時に廃消火器を無料で回収してくれる販売店も複数あるので、相談してみませう。
》日本ユニシスグループ　本社エレベータ内に「非常用ボックス」を設置～事業継続計画(BCP)の一環として、従業員とお客さまの安全と安心を第一と考え～ (2007.11.12)。こういう事例あるんですね。

　あと、コクヨはエレベーターのコーナーに設置できる形式のものを販売しているそうです。
- ～コクヨの防災ソリューション～エレベーターやオフィスに設置する防災用品セットを発売～震災時のエレベーター閉じ込め対策～ (コクヨ, 2007.06.28)。これは「L タイプ」。
- エレベーター用防災キャビネット (コクヨ S&T)。高さの低い「S タイプ」もあり、「手すり付エレベーターにも対応可能」だそうで。
- 新築分譲マンション初！コクヨの｢エレベーター用防災キャビネット」を標準で装備 (大京, 8/28)。マンション話。
　taka さん情報ありがとうございます。

　探してみたら、エィアンドエィティーの「エレベーターチェア」という製品もあるそうで。東京都千代田区ではこれを配っているらしい。
- エレベーターチェア (防災情報新聞)
- 「エレベーター閉じ込め対策備品を設置しました」、千代田区四番町のマンション (日経 KEN-Plats, 8/8)
- 地震時の新対策「エレベーター防災用品 (日テレ NEWS 24, 9/1)

Microsoft 2008 年 10 月のセキュリティ情報

　トレンドマイクロ製品 + MS08-064 patch の環境で、再起動せずに使用し続けるとブルー画面になることがある模様。詳細については、Microsoft社製セキュリティ更新プログラム(MS08-064)の適用後に OSの再起動をせずに使用し続けるとブルースクリーンが発生する可能性についてのご報告を参照。

　MS08-067 つづき。

Proof of Concept binaries for MS08-067 targeting english Windows OS's (F-Secure blog, 2008.10.31)

■ 「OpenOffice.org 2.4.2」公開、2件の脆弱性を修正
(Internet Watch, 2008.10.30)

　OpenOffice.org 2.x に欠陥。WMF / EMF ファイルの扱いに欠陥があり heap buffer overflow が発生、攻略 StarOffice/StarSuite 文書によって任意のコードを実行できる。 CVE-2008-2237 CVE-2008-2238

　OpenOffice.org 2.4.2 で修正されている。また、OpenOffice.org 3 にはこの欠陥はない。OpenOffice.org Security Team Bulletin も参照。

　だそうです。まぁβですから、なんでもありでしょう。

■ 「一部PCメーカーによるノートブック型コンピューター用電池パック自主回収」への協力について
(SONY, 2008.10.31)

　SONY 製バッテリの OEM 先 Note PC ベンダーが、全世界で合計 10 万個のバッテリーの回収を開始。

　今回の事故原因につきましては、2004年10月から2005年6月の特定期間の製造ライン調整が、一部の電池セルの品質に影響を与えたものと推定しています。
　さらに、ごく少数ではありますが、一部部材不良によると思われる事故も含まれています。

　尚、この弊社製リチウムイオン電池セル（2.15Ah）は、2006年に一部のPCメーカーが発表したノートPC用電池パックの自主回収および自主交換プログラムで対象となっている電池セルとは異なるタイプの電池セルです。

　また、弊社のパーソナルコンピューター“VAIO”は、今回の自主回収対象となる電池セルを使用しておらず、“VAIO”に関連する回収のご案内はございません。

　関連:

米国消費者製品安全委員会、ソニー製リチウムイオンバッテリを自主回収～HP/東芝/Dellと共同で (PC Watch, 2008.10.31)。この記事がいちばんまとまっているみたい。「約35,000個」というのは、米国での回収総数なのだろう。
ノートブックPC用バッテリの自主回収に関する更新情報 (DELL, 2008.10.31)

当該バッテリの中にデルが全世界で販売した約300個が含まれていたため、デルはこれらの自主回収と無償交換をおこなうことを発表しました。デルは、日本国内では当該バッテリを販売していません。

ここまではいいのだが、問題はその後。

また、ソニーはデルに対し、2006年に同社が発表した不具合の可能性があるリチウムイオン充電池のバッテリ総数に、デルが全世界で販売した約15,000個が新たに追加されたことを通知しました。ソニーからの追加情報に基づき、デルは既存の無償交換専用ホームページhttp://www.dellbatteryprogram.comを更新しました。　デルでは、ご使用中のバッテリの当該有無を過去にご確認されたお客様にも再度ご確認いただくようお願いしております。

な、なんだってーーー。http://www.dellbatteryprogram.com/Default.aspx?LN=ja-JP を見ると、バッテリーモデル OU091 と W1436 が対象に加わっている。
重要なお知らせ - HP Compaq Notebook PCバッテリパック自主回収プログラムのご案内 (HP, 2008.10.30)

該当するバッテリパックは2004年12月～2006年6月に製造されたノートPCに搭載され、日本国内では約600個（世界では約74,000個）が該当すると算出しています。

今回の回収対象の大半は HP 製品に塔載されたのか。
（新たなお願い）ノートＰＣ用バッテリパックの事故に伴う自主回収プログラムについて (東芝, 2008.10.31)

■ Opera 9.62 for Windows Changelog
(Opera, 2008.10.30)

　~~週刊 Opera、今週号は 2 つの欠陥を修正して特製バインダーつきで 380 円~~ Opera 9.62 登場。2 つの欠陥が修正されている。

Advisory 906: History Search can be used to execute arbitrary code (Opera)。履歴検索話。
Advisory 907: The links panel can allow cross-site scripting (Opera)。JavaScript URL 話。

　なんだか Opera 9.61 の時も同じようなことを言っていたような気が……。

Advisory 903: History Search can reveal browsing history (Opera)。履歴検索話。Opera 9.61 で修正済。
Advisory 904: Fast Forward can allow cross-site scripting (Opera)。JavaScript URL 話。Opera 9.61 で修正済。

■ Microsoft社製セキュリティ更新プログラム(MS08-064)の適用後に OSの再起動をせずに使用し続けるとブルースクリーンが発生する可能性についてのご報告
(トレンドマイクロ, 2008.10.31)

　トレンドマイクロ製品 + MS08-064 patch の環境で、再起動せずに使用し続けるとブルー画面になることがある模様。対象製品は以下だそうで。

製品名 バージョン

ウイルスバスターコーポレートエディション 8.0

Trend Micro ビジネスセキュリティ 5.0

Trend Micro ウイルスバスタービジネスセキュリティ 3.6 / 3.5

ウイルスバスター 2009 17.x

ウイルスバスター 2008 16.x

ウイルスバスター2007 トレンドフレックスセキュリティ 15.x

　森田さん情報ありがとうございます。

　しかし、さきほど流れてきたメールマガジン「トレンドマイクロセキュリティレポート」には、この情報はないんだよなあ。

■ 2008.10.30

》 ICANN、新たなgTLD取得方法に関する意見を募集　 TLD取得の非特権化や英語以外の文字への対応を計画 (ComputerWorld.jp, 10/29)
》悪のレジストラ EstDomains、ついに削除へ。しかしここに至るまでには何年もかかった模様。
- Case EstDomains (F-Secure blog, 10/29)
- Three cheers for ICANN! (McAfee blog, 10/29)
- A Superlative Scam and Spam Site Registrar (Security Fix, 9/8)
　つづき。
- ICANN、ドメイン登録業者への認定取り消しを保留 (ITmedia, 10/31)
- EstDomains Update: Notice of Termination Stayed (ICANN, 10/29)
》蛇口などを銅製に換えると95％の病原菌を死滅させられる事を発表 (gigazine, 10/30)
》「情報セキュリティ実践トレーニング 2008 Autumn」が応募締切の約一週間前となりました (Eiji James Yoshidaの記録, 10/30)
》天皇伝説：上映認め、杉並区に施設使用命じる　東京地裁 (毎日, 10/30)。杉並区での上映は明日 10/31、杉並区勤労福祉センター。

　関連: 渡辺文樹監督の映画「天皇伝説」上映予定のお知らせ (月刊「創」ブログ, 10/27)

10月30日（木）墨田区曳船文化センター『天皇伝説』18:30～
10月31日（金）杉並区勤労福祉センター『ノモンハン』18:30～、『天皇伝説』20:30～
11月１日（土）板橋区赤塚公会堂『ノモンハン』18:30～、『天皇伝説』20:30～
11月２日（日）千代田区内幸町ホール
11月４日（火）中野区なかのZEROもみじ山文化センター『ノモンハン』18:30～、『天皇伝説』20:30～

　天皇伝説アーカイブ (月刊「創」ブログ) にいろいろ情報あり。

　それにしても、公安と同様、右翼もスルー力低いなあ。ぶっちゃけ、放っておいた方が効率的に忘れられるような種類のものだろうに。むしろ、抗議することによって記憶を強化し、潜在需要を掘り起こしていると思うのだが。
》こんにゃくゼリー、１７社中１３社が製造中止 (asahi.com, 10/30)
》麻生総理は「解散権」を縛られたのか (保坂展人のどこどこ日記, 10/30)

　金券バラマキは「所得制限」がないという。富裕層にも、政府から金券が届くことに何の意味があるのか。「カップラーメン400円」と答弁する金満総理にも、国民のひとりとして金券が届くことを想像すると、税金はもっと智恵を出して使えと言いたくなる。

　麻生金券コレクションに加えたいのかなあ。いや、そんなものがあるのかどうか知らないが……。
》人間は戦闘力を顔で判断する (slashdot.jp, 10/29)。顔ペイントとかお面とか、やっぱり大事なんだ。
》ポルトガル語圏を狙ったYouTubeスパムメール、転送先は日本国内 (トレンドマイクロセキュリティ blog, 10/30)
》 2008年夏モデルFMV-BIBLO NF/A75をお使いのお客様へ（重要なお知らせ） (富士通, 10/28)

当社が2008年4月に販売開始しましたノートパソコン FMV-BIBLO NF/A75におきまして、2008年10月13日、当該機種搭載のWebカメラ周辺から発煙する事故が発生いたしました。

　原因は調査中。
》 Microsoft Internet Explorer 6 or 7でPatch2がインストールできない (マカフィー, 10/28)。IE だと失敗するというのは珍しい話のような気がするなあ。なんでテストしてないんだろう。
》「リアリティツアー2--62億ってどんなだよ。麻生首相のお宅拝見」関連。まとめなおし。
- 目的地
  - 首相、資産は４億円超麻生首相の自宅（共同通信） (共同 / GOO, 10/24)
  - 一等地の自宅「２０億超」＝貸付金２億弱、際立つ資産‐麻生首相 (時事, 10/24)
  - 麻生首相のお宅拝見 (google maps)。見学コース。
- 状況
  - 「麻生さんのおうちを見にいこう」のどかな企画に警察暴力―関係者に聞いた現場の真実 (JANJAN, 10/27)
  - 麻生総理宅を見学するだけで逮捕される！ (レイバーネット, 10/27)
- 現場映像
  - 渋谷署警察官との事前打ち合わせ＠ハチ公前 (youtube.com)
  - 10/26 渋谷、逮捕前に打ち合わせするデカ (youtube.com)
  - 麻生邸見学「ツアー」逮捕の瞬間「１０／２６　麻生邸宅見学に向かおうとしたら逮捕」 (youtube.com)
- 現場写真
  - Reality Tour 麻生首相のお宅拝見　 62億円の豪邸を見物に行こうとしただけで逮捕ぉ！？！？ (ムキンポ小僧のかめよん写真館, 10/26)
    
    ハチ公前で警察に、麻生邸の近くまではこのまままとまって行っていいけど、麻生邸の手前に規制線が貼られてるから、そこから先は5.6人のグループに分かれて見学してくださいね、とお願いされ、警察の指示に従い、横断幕を畳み、拡声器も使わずに、公道をただ整然と歩いていただけなのに、出発して10分経つか経たないかでいきなり逮捕とは、これはとんだだまし討ちです。
- 現場音声 (抗議の様子)
  - 「麻生さんのおうちを見にいこう」逮捕事件　抗議と激励行動　音声 (JANJAN, 10/27)
- マスゴミ報道 (ケーサツ発表タレ流し)
  - 「首相宅見学」ネットで呼びかけ　無届けデモ　３人を逮捕　警視庁 (産経 MSN, 10/26)
  - 「麻生首相宅を見学」と称し無届けデモ (TBS, 10/26)
  - 「麻生首相宅見に行こう」　ネットで募り無届けデモ容疑 (asahi.com, 10/27)
  - 無届けデモ：ネットで首相宅行き呼びかけ　容疑の３人を逮捕　／東京 (毎日, 10/27)
- フリーター全般労働の会見を報道したのは毎日だけ?
  - 麻生宅拝見ツアー3名逮捕事件で記者会見 (レイバーネット)
  - 麻生首相宅見学ツアー：フリーター労組ら「暴行しておらず不法逮捕」と会見　／東京 (毎日, 10/28)
- 「救援活動」
  - 麻生でてこい！！リアリティツアー救援会ブログ
  - でてこい３人！　でてこい麻生！！　麻生邸リアリティツアーの不当逮捕に抗議する集会 (レイバーネット)。当該の 3 名はまだ拘留されたまま。 2008.11.06、東京都千代田区。
- 歩いただけで逮捕!! (雨宮処凛　すごい生き方ブログ, 10/26)、麻生でてこい救援ブログ (雨宮処凛　すごい生き方ブログ, 10/27)
- ようこそ、日本へ。首相の家を見学するだけであなたは逮捕されます (情報流通促進計画 by ヤメ記者弁護士（ヤメ蚊）, 10/29)
- Aの世界 (水無月ばけらのえび日記, 10/30)
》グーグル「ストリートビュー」…「のぞき見」不安 (読売, 10/30)。この記事だと、0/1 の解しかなさそうに見えちゃうなあ。同業他社の動きは全く紹介していないし。
》日経平均、終値９０００円台を回復　７営業日ぶり (asahi.com, 10/30)。円 - ドルについては東京円、９８円台半ばで推移 (asahi.com, 10/30) だそうです。
》育毛剤、ドーピングの禁止薬物リストから除外へ (asahi.com, 10/30)。スポーツ選手はたいへんだなあ。
》九十九電機、民事再生法の適用を申請 (slashdot.jp, 10/30)。な、なんとツクモがですか……。九十九電機，民事再生手続きを申し立て。事実上の破綻か (4gamer.net, 10/30) によると

このため不動産の売却などを含め，金融機関からの資金調達を受けるべく協議を続けてきたが，最終的に追加融資を受けることができず，資金繰りに窮する形となったようだ。

　米国発金融危機のあおりでおもいっきり貸し渋りされて倒れた、ということか。関連:
- 金融危機から、貸し渋りや貸し剥がしに問題は移って (起業の目, 9/20)
- 中川金融相　貸し渋り防止を金融機関に要請 (読売, 10/16)
  
  　会合には、大手行や地銀、信金の経営者ら２３人が参加した。金融相が業界団体だけでなく、ほぼすべての大手行のトップを呼んで中小企業への融資を求めるのは異例だ。
  
  今、現場ではガンガン貸し渋りやってます、ということなのかな。
  
  　中川金融相が「中小企業は大変厳しい状況にある」と積極的な融資を求めたところ、小川是・全国地方銀行協会会長（横浜銀行頭取）は、「（金融危機という）特異な環境下での時価会計の適用停止」を要望した。
  　時価会計を緩和すれば、銀行が保有する株式の評価額が増えて財務状況にプラスとなり、融資を行いやすくなる。欧米でも同様の議論があり、国内の経済界からも緩和を求める声が出ている。
  
  関連:
  - 時価会計の適用停止を考えてほしい＝小川・地銀協会長 (ロイター, 10/16)
  - 時価会計の適用停止を考えてほしい＝小川・地銀協会長 (会計ニュース・コレクター（小石川経理研究所）, 10/16)
  - 時価会計：見直し検討、麻生首相が指示 (毎日, 10/29)
》 The Two Best Books About the DMCA (EFF, 10/29)
- Digital Copyright。著者: Jessica Litman
- Wired Shut: Copyright and the Shape of Digital Culture 。著者: Tarleton Gillespie。授業に使っている例 (学習院大学シラバス 2008)。昨年は Who Controls the Internet? Illusions of a Borderless World という本を使っていたそうで (学習院大学シラバス 2007)
》刑事事件なら何を書いてもＯＫという意識が丸見えの「Re：社会部」（産経コラム） (情報流通促進計画 by ヤメ記者弁護士（ヤメ蚊）, 10/30)

　「Re:社会部」の「法廷ドラマも様変わり」というコラムは、公判前手続きが公開されないことに疑問を投げかけるものであり、そのこと自体は大切なことだろう。しかし、なぜ、公開されないことに問題があるかと言えば、それは、人間ドラマが見られなくなるため「物足りなさを感じる」という程度のことではなく、「適正な手続きを監視できなくなる」という重大なことなのだ。
　このコラムは、現在の記者の「知る権利」、「表現の自由」への認識を象徴するものだと思うが、その認識だけでは不十分であることをひとりでも多くの記者に気づいてほしいと思う。
》 Windows Azure，何と発音する？ (Okumura's Blog, 10/30)。アジャーと発音すると
- アチャーと思ってしまう
- バジャーと間違える
- 象印を連想してしまう
といった不具合があるような……。

　azure でぐぐると、「京都にあるゲイバー」とか出てくるな……。

　関連: 米国語ネイティブの人が "Windows as you are" と聴こえる、と言ってました (slashdot.jp, 10/30)
》大麻を大学内で売買、自宅に所持　慶大生２容疑者を逮捕 (asahi.com, 10/30)、慶大生大麻事件、複数の学生を任意聴取　神奈川県警　 (asahi.com, 10/30)、逮捕の２人は「塾高」出身　「ウワサあったが…」慶大キャンパスに動揺広がる (産経 MSN, 10/30)。

■ 書籍「はじめてのPHPプログラミング基本編5.3対応」にSQLインジェクション脆弱性
(徳丸浩の日記, 2008.10.29)

　書籍「はじめてのPHPプログラミング基本編5.3対応」で記述されている dbescape 関数に欠陥があり、SQL インジェクションが可能。

思うに、バインド機構に似た機能を自作しようというのが間違いで、そんなに簡単にできるものではない。PHPのsqlite_xxxx系の関数にはバインド機構が用意されていないようだが、

　SQLite ってそんなもんなんだ……。この本、初心者向けですよね。機能が足りてないソフトを初心者に触らせるのはよくないなあ。

あるいは、SQLiteの使用をあきらめ、MySQLを使ってもよかった。(中略) MySQLであれば、mysql_xxxx系の関数でバインド機構が利用できる。

■ 追記

【CSL】CSL緊急注意喚起レポート～新手のSQLインジェクションを行使するボットの確認～: 　【CSL】CSL緊急注意喚起レポート～新手のSQLインジェクションを行使するボットの確認～ (LAC) は 2008.10.06 付で修正されていました。

10月2日に公開した本レポート中において、脆弱性が再現できる環境に誤った記述がありましたので訂正をいたします。
具体的には、特徴2の記載内容において、ASP.Netでは%に続く文字が16進数表記できない文字列が続いた場合、%を除去せずにそのままWebアプリケーションに引き渡します。つまり、ASP.Netでは特徴2には該当しません。

　ASP.NET はさすがにマトモだった模様。

■ 2008.10.29

》もういくつ寝ると、うるう秒
- 「うるう秒」挿入のお知らせ　～　来年の元日はいつもより「１秒」長い１日です　～ (情報通信研究機構, 9/12)
- うるう秒に関するＱ＆Ａ　２００９年１月実施版 (情報通信研究機構)
- NTP うるう秒 (bsddiary.net)
- うるう秒に関する Windows タイムサービスの処理 (Microsoft)
- EndRun Tempus LX NTPサーバうるう秒に関する質問と回答集 (shoshin.co.jp)
》 Windows XP SP3 をインストールした後、Windows Update、Microsoft Update、または自動更新で更新プログラムが正常にインストールされない (Microsoft KB953541)

手順 1 : Windows の Wups2.dll ファイルを登録する
(中略)
手順 2 : Windows Update エージェントをダウンロードしてインストールする
》 PacSec2008 にてケロちゃんチェックの話をすることになりました。 (熊猫さくらのブログ, 10/27)

昨年度までは「対話的にコマンドを入力するシェルセッションへの適用」しかできませんでしたが、 TOMOYO Linux 1.6 で execute_handler と task.state が搭載されたことにより、現在では「 scp や sftp への適用」および「 TCP ポートフォワーディングへの適用」も可能になっています。
》ドライバ関連 (B-) の独り言, 10/27)
》 An Introduction to Packers (ESET Threat Blog, 10/27)
》 2008年Q3のスパム動向，危険ファイル添付が前期の8倍に増加 (日経 IT Pro, 10/28)
》九州新幹線の埋設型枠にはく離しやすい欠陥、「問題なし」と鉄道・運輸機構 (日経 KEN-Plats, 10/24)
》色が濃いほど遮熱塗料と通常塗料の遮熱性能に差 (日経 KEN-Plats, 10/28)

　遮熱塗料というと、屋根や壁に使うことばかりを考えがちだが、庭のコンクリート舗装や駐車スペースなどのほうが、効果が実感できるかもしれない。通常塗料との価格差がそれほど大きくない製品もあるので、幅広い視点で使い方を検討できそうだ。
》緊急時にエレベーターから脱出する方法は？ (日経 KEN-Plats, 10/24)

停電などによってエレベーターが停止した場合は、ただちに非常用バッテリーが起動して非常用照明が点灯します。かご内が真っ暗になることはありません。法令の解説には30分間以上点灯することが書かれています。

　へぇ。

2005年7月23日、東京都足立区で震度5強を観測した地震では、首都圏で約6万4000基のエレベーターが停止し、78基の閉じ込めが発生しました。いざというときの閉じ込め対策として、管理組合は飲料水、簡易トイレ、簡易毛布などをエレベーター内に常時備えておく検討をしてください。

　そんなものが備えられたエレベーター、あるんですかね……?
》 Google，Yahoo!，MS，言論の自由とプライバシを守るための取り組みを開始 (日経 IT Pro, 10/29)
》 SNSサイトにまつわる脅威 (日経 IT Pro, 10/29)
》インターネットに反発する新聞に未来はない～ネット情報の引用のないネット新聞なんて… (情報流通促進計画 by ヤメ記者弁護士（ヤメ蚊）, 10/25)
》マイクロソフト、VistaおよびWindows Server2008のSP2を限定ユーザーに提供へ――注目の強化点は？ (ComputerWorld.jp, 10/29)
》ディスク診断ツール、GSmartControl (sourceforge.jp, 10/29)
》米Microsoft、「Windows Live ID」でOpenIDをサポートへ (sourceforge.jp, 10/29)
》「禁じ手」を使わざるを得ない米国 (日経 BP, 10/29)

　では、現在の金融危機が解決するまでにどれくらいのスパンが必要なのだろうか。(中略) 今回の米銀および米国の危機は、最低５年、長ければ10年――。立ち直るまでその程度の時間は見ておくべきだろう。
》「日本語組版処理の要件」パブコメ (Okumura's Blog, 10/28)。日本語組版は、IT 方面の技術書がいちばんひどいような気がする。実用 SSH 第2版: セキュアシェル徹底活用ガイドは例外なのさフフン、と言えないところがつらい (正直、出版を断念すべきかと悩んだ)。
》 Googleストリートビューに波紋広がる (ITmedia, 10/29)

　総務省は町田市議会から意見書の送付を受け、「新しいサービスは歓迎だが、指摘されたプライバシーの問題など非常に関心を持っている。有識者の意見も聞き、今後を注視していきたい」（消費者行政課）と話す。

　日本語訳: とりあえず何もしない。

　ITコラムニスト、八田真行さん（29）の話「現時点でのグーグル社のやり方に問題がないとは言えないが、明確なデメリットも見えにくい。社会に明確かつ甚大なコストを強いるのであれば規制もやむを得ないが、漠然と『気持ち悪い』という程度で規制するのはイノベーション（革新）を阻害する。ストーカーに利用されるという意見もあるが、具体的にストーカーがどう利用するのかというと誰も答えられないのではないか」

　この人は、Google が今やっていることを harassment だと認識している人がいる、ということの意味がわかっていない。sexual harassment については「漠然と『気持ち悪い』という程度で規制するのはイノベーション（革新）を阻害する」といって容認する人はいないだろう。では google harassment なら容認すべきなのか。

　関連:
- 住宅ストリートビューの国際比較アメリカ・フランス・日本 (高木浩光＠自宅の日記, 10/26)
- 号外グーグル私有地進入事例調布飛行場でバリケード連続突破 (高木浩光＠自宅の日記, 10/28)。どういう神経をしていると、こういう行動が取れるのだろうか。
》 10/26 渋谷、逮捕前に打ち合わせするデカ (youtube.com)。「麻生さんのおうちを見にいこう」のどかな企画に警察暴力―関係者に聞いた現場の真実 (JANJAN, 10/27) で

　先頭グループにいた雨宮処凛さんは次のように証言します、
　「信号が赤だったのでとまっていて、進みだしたところに、私服の公安警官が走ってきて、先頭でプラカードを手に持っていた人に襲い掛かってきて、押し倒した。その人を助けおこそうとした人にも襲い掛かった。そして、私達全員を蹴り倒すような勢いで、制服の警察官が大挙して押しかけてきて、現場は大混乱でした。
　そして混乱が収まったころ、３人が逮捕されたいたことがわかりました。私達は、とくになにもしていなかったし、警察の言うことは聞いて、デモをしていたのてだはなくて、ただ歩いていただけだった。どこまでが参加者で、どこまでが通行人かもわからない状態だった。警察のやったことはとてもひどい内容だと思います」

と述べられている状況そのものの映像だなあ。

　関連: ようこそ、日本へ。首相の家を見学するだけであなたは逮捕されます (情報流通促進計画 by ヤメ記者弁護士（ヤメ蚊）, 10/29)
》「ヨドバシ・ドット・コム」がリニューアル直後から表示が遅すぎて激重になる大規模障害が発生、一体何が起きているのか？ (gigazine, 10/28)。Safari 3.1 以降の［開発］メニューには［ネットワークタイムラインを表示］というものがあるのか……。

キノトロープスリーイントの実績紹介のページを見に行くと、「大手量販店Webサイト」というのがあり、真偽不明ですが、どうやら本来であればヨドバシの事例が表示される予定だったらしい。
と、ここに来て事例のページを見ている最中に思わず「あっ！」と声を上げてしまいました。なんとそこには通称「セッション様」で数々のユーザーを苦しめ続けたあの「ウィルコムストア」があるではないですか。

　関連: ヨドバシどっと混む (水無月ばけらのえび日記, 10/29)

　「旧システムに戻す」のはできないのだろうか……。
》「OpenOffice.org移行の理由はMS Office 2007での大幅な変更」---会津若松市情報政策課本島氏 (日経 IT Pro, 10/28)。Office 2003 → 2007 でも同程度かそれ以上に混乱し費用もかかるわけだからなあ。

■ 2008.10.28

■ 追記

Microsoft 2008 年 10 月のセキュリティ情報

　MS08-067 つづき。

Microsoft Windows Server サービスでの RPC によるコード実行 (ISSKK, 2008.10.28 改訂)
Most common questions that we've been asked regarding MS08-067 (Microsoft Security Vulnerability Research & Defense, 2008.10.25)
Update on MS08-067 (MSRC blog, 2008.10.26)
Out-Of-Band Security Bulletin Webcast Questions and Answers - MS08-067 (MSRC blog, 2008.10.27)
マイクロソフトセキュリティアドバイザリ (958963) Server サービスに影響を与える悪用コードの公開について (Microsoft, 2008.10.28)
Here's what has been going on with MS08-067 since Friday (F-Secure, 2008.10.27)
Microsoft Windows RPC Vulnerability MS08-067 (CVE-2008-4250) FAQ - October 2008 (securiteam blog, 2008.10.25)
MS08-067の悪用コード (Exploit) (日本のセキュリティチーム, 2008.10.28)

■ いろいろ (2008.10.28)
(various)

Androidにぜい弱性，Webブラウザの悪用でデータ不正取得が可能に (日経 IT Pro, 2008.10.28)
「Yahoo! HotJobs」サイト，XSS攻撃でユーザー認証用クッキーが盗まれる状態に (日経 IT Pro, 2008.10.28)。US Yahoo! 話。修正済み。
米国のRFIDパスポート・カードに潜む危険性を研究者が指摘　 RFIDタグの不正コピーにより「他人に成り済まして出入国することも可能」 (ComputerWorld.jp, 2008.10.27)
[SA32417] Smarty "regex_replace" Modifier Template Security Bypass。PHP テンプレートエンジン Smarty に欠陥。Smarty 2.6.20 で修正されている。
[SA32418] libpng "png_handle_tEXt()" Memory Leak Vulnerability。libpng 1.2.33rc02 で修正されている。

■ 2008.10.27

》 5つのセキュリティ問題を抱える「Flash Player 9」を使い続けますか？　対応済みの「Flash Player 10」がリリース，「Flash Player 9」の次期最新版は11月前半公開予定 (日経 IT Pro, 10/27)。先週には日本語版アドバイザリが出ていたんだから、編集部で追記した上で公開するのがふつうだと思うのだが……。
- APSA08-08: Flash Playerにおける「クリックジャッキング（Clickjacking）」の回避策 (Adobe)
- APSB08-18: Flash Playerのセキュリティ脆弱性に対処するためのアップデート公開 (Adobe)
》教材システム『情報サイト』 (岩手県立情報教育センター)。ふつうの情報サイト + デモサイト一式作成ツール。フィッシングサイトやアダルトサイトのデモもあり。要 IIS。
》ペンシルバニア大学にボット攻撃を仕掛けた学生に懲役判決　ニュージーランドの未成年と結託してサーバにDDoS攻撃 (ComputerWorld.jp, 10/23)
》 EFF's New NSA Spying Shirts (EFF, 10/23)
》海上自衛隊特別警備隊関係の課程学生の死亡事案について (情報流通促進計画 by ヤメ記者弁護士（ヤメ蚊）, 10/24)。海上自衛隊特別警備隊関係の課程学生の死亡事案について (中間報告) (防衛省, 10/22) について。
》文化審議会著作権分科会が2つのパブコメ募集中 (slashdot.jp, 10/20)
- 文化審議会著作権分科会「法制問題小委員会平成２０年度・中間まとめ」に関する意見募集の実施について
- 文化審議会著作権分科会「過去の著作物等の保護と利用に関する小委員会中間整理」に関する意見募集の実施について
》意見募集：インターネット上の違法な情報への対応に関するガイドライン (slashdot.jp, 10/26)
》ダウンロード違法化話
- 私的録音録画小委員会： “iPod課金”見送り　ダウンロード違法化へ (ITmedia, 10/20)
- 「ダウンロード違法化」ほぼ決定　その背景と問題点 (津田大介 / ITmedia, 10/24)
》中央防災会議「首都直下地震避難対策等専門調査会」のページ (bousai.go.jp)。「首都直下地震避難対策等専門調査会報告」が公開されています。記者発表（帰宅行動シミュレーション結果等に基づくトイレ需給等に関する試算について） (首都直下地震避難対策等専門調査会, 10/27) なんてのもあります。トイレの不足もさることながら、トイレットペーパーの不足も懸念されている模様。
》 “ゼロインパクト”は本当か？「ノートンインターネットセキュリティ2009」を検証する (ITmedia, 10/24)
》日本語化されたファイアウォール・ルールのグループ名に注意 (@IT, 10/24)。こういう「日本語化」がいちばんうっとーしー。
》 VISAに聞く、実装レベルのカードセキュリティ基準「PCI DSS」【前編】 (Enterprise Watch, 10/23)、【後編】 (Enterprise Watch, 10/24)

　ちなみに、ISMS審査機関がPCI DSS準拠の審査を行うようになった背景には、1つのエピソードがある。ISMSは、情報セキュリティの質を維持・管理していくための組織・管理体制に主眼が置かれている。一方、PCI DSSはカード情報保護のための実装レベルの要件が定義されており、両者は相互補完の関係にあると考えられている。

　相互補完ねぇ……。PCI DSS って要は「カード屋の押しつけスタンダード」でしょ。

　両者には重複する部分も多いため、その差分を明らかにする「クレジット産業向けISMSユーザーズガイド」なるものが、VISA・JCB・ JIPDEC（日本情報処理開発協会）により作成されている。一方、ISMSとPCI DSS双方に順守するためにはそれぞれに年次の訪問審査などが必要となり、受診企業の負担は相変わらず大きい。そこで年次レビューに関しても、統一しようという動きが起きた。
　レビュー統一のためには、同一審査機関が双方の審査資格を取得しなければならない。ところが当初、PCI DSSの審査には結果に対する「無限責任」が課せられたため、既存のISMS審査機関には受け入れがたい話であった。そこでVISAとJIPDECは ISMS審査機関とともに、PCI SSCに日本限定で無限責任条項の見直しを要求した結果、現在では日本限定で活動する審査機関に限り、無限責任条項が緩和されている。
　こうした努力により、現在、数社のISMS審査機関がPCI SSCとの統一レビューを行える状況にあるという。

　なんじゃそりゃ……。
》アキバのメインストリートに堂々出店の裏DVD店、ようやく閉店 (Internet Watch, 10/24)。堂々人生。
》採用応募者情報が流出　明治安田生命、私有ＰＣから (asahi.com, 10/26)、個人情報の流出に関するお詫びとお知らせ (明治安田生命, 10/27)。Winny かよ……。

これまでの調査の結果、法人営業職の採用試験に応募した主に関西地方に住む女子学生約２千人分の氏名や大学名、住所、携帯番号、メールアドレス、面接での評価などが流出。また、採用内定者４５人分の顔写真や氏名、大学名が記載されたファイルが流出していた。

　うわ……。

同社の営業職員が保険加入を勧める際に活用する「世代別ワンポイント話法」「お客さま対応マル秘テク・ノウハウ集」などと書かれた社外秘の文書も、同時に流出しているという。

　お、これは欲しいかも。
》モバイルデータ通信料金の改定について～対応のau携帯電話を介したPC等のデータ通信を、定額の対象に～ (KDDI, 10/27)。上限13,650円 (税込) ですか。さて、他社は追従しますかね。
》「麻生さんのおうちを見にいこう」のどかな企画に警察暴力―関係者に聞いた現場の真実 (JANJAN, 10/27)

　このリアリティツアーは、格差社会の頂点の様子をのぞきにいくという企画で、フリーター全般労働組合が企画したもの。第一回は「過労死は自己管理の問題」「労基所はいらない」「各社が出るのは当然」などと言い放って物議をかもした人材派遣ザ・アールの奥谷禮子社長の自宅に、貧乏人が見学のために大勢でおしかけて、お弁当を食べてみたり、警備員の人と仲良く話をしたりしたそうです。(中略) 今回の第二回ツアーは、反戦と抵抗のフェスタのプレイベントとして企画されたもので、渋谷駅前に集合したのち、渋谷の駅から歩いて行ける距離にあるという、敷地だけでも６２億円するという、麻生首相のお宅を見学にいこうという、なんとも「のどかな」企画です。
　ですが、この、なんとも牧歌的な企画は、麻生首相のお宅に到達することができなかっただけでなく、３人もの逮捕者が出るという結果となってしまいしました。現場では何がおこったのでしょうか？　居合わせた人たちの証言をもとに、レポートします。
(中略)
　会場には、先日の明治公園で行われたデモでも使われた「お宅拝見！！」の横断幕のほか、麻生首相の顔をかいたプラカード、大きな風船に麻生首相の顔に「うち来る? イクイク」などと書かれたもの、ガイコツの巨大パペットの顔に、麻生首相の顔をくっつけたもの、プラカードなどが用意されて、なんとも陽気な一向ができあがっていました。
　ところが、「これは無許可のデモなので、横断幕やプラカードはダメだ」ということを集まってきた警察が言い出したので、愉快な横断幕や風船などはとりあえず降ろして、特に騒ぐこともなく、ブラカードや看板なども手に持って、５人くらいの列になって、ぼちぼちと出発しました。
　証言してくれた人の全てが口をそろえて、「とてものどかに始まったし、集まった人たちも警察に協力的で、おとなしく歩いていた。」と証言しています。
(中略)
　先頭グループにいた雨宮処凛さんは次のように証言します、
　「信号が赤だったのでとまっていて、進みだしたところに、私服の公安警官が走ってきて、先頭でプラカードを手に持っていた人に襲い掛かってきて、押し倒した。その人を助けおこそうとした人にも襲い掛かった。そして、私達全員を蹴り倒すような勢いで、制服の警察官が大挙して押しかけてきて、現場は大混乱でした。
　そして混乱が収まったころ、３人が逮捕されたいたことがわかりました。私達は、とくになにもしていなかったし、警察の言うことは聞いて、デモをしていたのてだはなくて、ただ歩いていただけだった。どこまでが参加者で、どこまでが通行人かもわからない状態だった。警察のやったことはとてもひどい内容だと思います」
(中略)
　また、マスコミ報道によると「渋谷で無届けのデモ行進、男３人逮捕」とあります。公安部発表は「公安部は、再三警告を行ったにもかかわらず、行進などを行った」とのことを主張しているようですが、筆者が、意見も立場も異なる、それなりの人数に聞いて回った結果としては、警察からの警告などは一度もなく、むしろ集まった人たちは、デモができなくても、麻生のうちを大勢で見に行くのが楽しいので、警察にも大変協力的で“デモをしていた”という認識は乏しいか、全くなかった、との事でした。５人くらいの列になって、という話も警察側からのものだったそうです。

　また公安か……。どうしてこう、公安ってスルー力が低いんだろう。こんな風に自作自演しないと「脅威」をでっち上げられないのかな。

　ケーサツ発表タレ流しのマスゴミ記事はこちら。
- 「麻生首相宅を見学」ネットで呼びかけ無届けデモ (産経, 10/26)
- 「麻生首相宅を見学」と称し無届けデモ (TBS, 10/26)
　関連:
- 首相、資産は４億円超麻生首相の自宅（共同通信） (共同 / GOO, 10/24)
- 麻生首相のお宅拝見 (google maps)。ここですかね。
》露エネルギア社が経営危機、新規のソユーズ宇宙船の建造費用が枯渇 (technobahn, 10/24)。あらら。
》グーグルがプライベートジェット戦闘機を購入、地元住民からはやり過ぎだと反発の声 (technobahn, 10/25)。迷惑会社 Google 事例がまた 1 つ。
》「ぶらり無賃乗車の旅」　mixi日記で東京ガス社員が不正旅行記 (ZAKZAK / ITmedia, 10/24)。恥ずかしいことを自慢するのはやめよう。

》伊藤ハム問題。伊藤ハム自身が事実関係を一般には明示していないのでアレなのだが、マスゴミ報道をまとめるとこういうことみたい。

東京工場 (千葉県柏市) では、約 40 年前 [1] から 3 本の井戸を使用して地下水を取水、「商品や機械の冷却」[4]「原材料を解凍したり材料を混ぜたりする過程」[2] 「塩や香辛料で味付けした生肉に弾力性を持たせるため水を加えたり、ピザ生地の製造過程で小麦粉を練る際」[5] に使用。
地下水は 3 か月ごとに検査していた [5]。 [5] を読む限りでは、3 本ある井戸を一斉に検査するのではなく、3 本別々に検査していたように見える。
なぜ地下水を使っていたのか? [3] より:

工場では地下二百メートルからくみ上げた水を一日三千五百トン使用。過去に上水道への切り替えを検討したが、「工場のある千葉県柏市に上水道の使用を申し入れたが、供給できないと断られた」（山田本部長）という。

必要量が多すぎて、水道水では無理だから。
製品自体の安全性は? [3] より:

世界保健機関の飲料水質ガイドラインで、塩化シアンの基準値は、日本の七倍にあたる一リットル当たり〇・〇七ミリグラム。検出された数値は、これを大きく下回り、同社の岩本信剛ＣＳＲ本部長は「製品からは基準を超える値が出ないと判断している」と強調した。

関連: 伊藤ハム：主婦らから不安の声　専門家「健康に影響なし」 (毎日, 10/25)

経緯:

9/18 (木)	井戸 A の定期検査実施
9/24 (水)	井戸 A の定期検査の結果が出る。水道法に基づく水質基準 (0.01mg/リットル以下) を越えるシアン化合物 (シアン化物イオン及び塩化シアン) (0.02mg/リットル) [4] を検出。ただし WHO の塩化シアン基準値 (0.07mg/リットル以下) は満足している。工場の課長レベルに報告 [7]
9/25 (木)	井戸 A の再検査を実施。[4][5]
10/2 (木)	井戸 A の再検査の結果出る [6]。0.03mg/リットルのシアン化合物を検出 [4]。しかし直後に控えていた年に一回の定期検査の結果を待つことにした [7]
10/3 (金)	井戸 B の定期検査を実施。[8]
10/7 (火)	井戸 A の年検査を実施。[6][7]
10/9 (木)	井戸 B の定期検査の結果出る [9]。異常値 (詳細不明だが 0.02～0.03mg/リットルか) のシアン化合物を検出 [5]
10/15 (水)	井戸 A の年検査の結果出る [1]。0.03mg/リットルのシアン化合物を検出 [4]。水質検査の担当部門から工場長に報告 [3]
10/16 (木)	井戸 A の使用を中止 [2]。井戸 B もこの日に使用中止?
10/22 (水)	役員クラスへ報告 [6]
10/23 (木)	柏市保健所に相談 [6]
10/24 (金)	柏市保健所が公表を指示 [6]。柏市保健所は「問題の井戸水」を採取、検査 [4]。
10/25 (土)	柏市保健所は検査結果を公表、基準値未満 (最大 0.002mg/リットル) とした [4]。「検出限界が 0.002mg/リットル」ということか?

なぜこの程度の内容を、一消費者が苦労して整理しなければならないのか。

参照:
- [1] - 伊藤ハム、１９４万個自主回収　地下水からシアン化合物 (asahi.com, 10/25)
- [2] - 伊藤ハム　２６７万個回収　柏の工場地下水からシアン (東京, 10/26)
- [3] - 『危機管理甘かった』　伊藤ハム　地下水にシアン発表遅れを謝罪 (東京, 10/26)
- [4] - 伊藤ハムが１９４万点自主回収、シアン化合物混入の恐れ (読売, 10/25)
- [5] - 伊藤ハム：工場地下水からシアン化合物　１３商品自主回収 (毎日, 10/25)
- [6] - 伊藤ハム：「甘い判断猛省」と謝罪会見　対応遅れも認める (毎日, 10/25)
- [7] - 甘い判断、公表まで１カ月　伊藤ハム・水源汚染　 (神戸, 10/26)
- [8] - 地下水からシアン　１３製品２６７万点回収へ　伊藤ハム (神戸, 10/26)
- [9] - TV 朝日「スーパーモーニング」10/27 放送分

　あくまでも「シアン化合物混入の恐れ」があるだけ (しかも WHO 基準は完全にクリアしている) であり、実際に商品から危険な量が検出されたわけでは全くない。いたずらに不安感を煽る必要は全くないのだが、マスゴミに論理は通用しない。伊藤ハムは、マスゴミはあてにならないことを認識し、自ら詳細な情報を全面開示してほしい。現在 http://www.itoham.co.jp/ にある情報は全く不十分。

■ 追記

いろいろ (2008.10.17): 　APSA08-09 日本語版: APSA08-09: Flash CS3 Professionalの潜在的な脆弱性 (Adobe)
行動ターゲティング広告はどこまで許されるのか: 　「第三者cookieは使われなくなりつつある」は本当か？ (武田圭史, 2008.10.21)
いろいろ (2008.10.25): 　Excel は映像配信にまで使えるのですね。世界初、『Excel』で音楽ビデオを配信：『AC/DC』の曲 (WIRED VISION, 2008.10.27)

Clandillon氏とSteve Milbourne氏が音楽ビデオとしては一般的でないExcelフォーマットを選んだ理由は、この上なく厳しい企業のファイアーウォールさえ通り抜けるビデオを作りたかったことにある。とりあえず、Excelのスプレッドシートを受け取れない人はまずいない。

　あら、セキュリティねたに戻った。

■ 2008.10.26

■ 追記

Google Webmaster Tools warning about hackable sites: 　Malware? We don't need no stinking malware! (Google Online Security Blog, 2008.10.24)

■ 2008.10.25

■ 追記

Microsoft 2008 年 10 月のセキュリティ情報

　MS08-067 つづき:

First Glimpse into MS08-067 Exploits In The Wild (McAfee blog, 2008.10.24)。これによると、 Spy-Agent.da が drop する Spy-Agent.da.dll に MS08-067 攻撃コードが含まれているようで。 basesvc.dll という文字列は Spy-Agent.da にはないのだけれど、 WORM_GIMMIV.A (トレンドマイクロ) にはある。
A Closer Look at Gimmiv.A (ESET Threat Blog, 2008.10.24)

■ いろいろ (2008.10.25)
(various)

Secunia Research: GNU Enscript "setfilename" Special Escape Buffer Overflow (Secunia, 2008.10.22)。 GNU Enscript は Adobe の enscript プログラムの置き換え版だそうで。ASCII → PostScript コンバータ。 CVE-2008-3863

patch はまだない。
Security Vulnerabilities and HIPER APARs fixed in DB2 for Linux, UNIX, and Windows Version 9.1 Fix Pack 6 (IBM, 2008.10.21)。 CVE-2008-4693 CVE-2008-4692 CVE-2008-4691
Excel使うな (Okumura's Blog, 2008.10.25)。「Statistics and Data Analysis」には使うなという話みたい。まぁ、Excel をワープロだと思ってる人は少なくないし、グラフィックツールだと思っている人までいるわけで。これがまた上手いんだ。その北小路　肉丸さんの信条がすごい。

★信条
　楽するために苦労をする

これはまさに、ハッカースピリット。

2008.10.27 追記:

　Excel は映像配信にまで使えるのですね。世界初、『Excel』で音楽ビデオを配信：『AC/DC』の曲 (WIRED VISION, 2008.10.27)

Clandillon氏とSteve Milbourne氏が音楽ビデオとしては一般的でないExcelフォーマットを選んだ理由は、この上なく厳しい企業のファイアーウォールさえ通り抜けるビデオを作りたかったことにある。とりあえず、Excelのスプレッドシートを受け取れない人はまずいない。

　あら、セキュリティねたに戻った。

■ 2008.10.24

》キャスリン・ビグロー監督もオバマ支持表明　イラク戦争を疑似体験する映画“Hurt Locker”ヴェネチア上映 (varietyjapan.com, 9/4)、ヴェネチア映画祭、キャスリン・ビグロー監督の『The Hurt Locker』プレミア上映 (AFP, 9/5)。AFP 記事の写真、左端の女性がキャスリン・ビグロー監督。Hurt Locker ってこんな大柄な女優が出てくる映画なのか? と思ったら、監督だった。

　The Hurt Locker は、日本では 2009 年公開予定の模様。うぉっ、TIME が A Near-Perfect War Film なんて言ってますぜ。
》オンラインゲーム内での「離婚」に腹を立てた女性、相手のオンラインゲームキャラを削除して逮捕 (slashdot.jp, 10/24)

「男性はゲームが下手で、容疑者にＩＤを教え、自分のキャラのステージクリアを頼んでいた」とのことで、不正アクセスなのかどうかも非常に疑問ではあるのだが、

　エェッ、そんな話だったの?! これで不正アクセス禁止法違反容疑はあり得んやろ……。こんなのに逮捕状出したの誰?

　関連: 本人から教えてもらったパスワードで不正アクセスは成立する? (水無月ばけらのえび日記, 10/25)
》［はまちちゃんのセキュリティ講座］ここがキミの脆弱なところ…！　第2回　しーさーふって何ですか？ (技評, 10/24)。ネーム多すぎ……。
》カップヌードルとパラジクロロベンゼンの件のつづき
》［米国］昇給ナシでも仕事量は倍増――景気後退がITワーカーの労働環境を直撃 (ComputerWorld.jp, 10/24)
》雇用保険・国庫負担金削減で「景気対策」という倒錯 (保坂展人のどこどこ日記, 10/24)
》【Click Forensics調査】オンライン広告の無効クリック率は16％――クリック詐欺、ボットネット悪用型が増加 (ComputerWorld.jp, 10/24)
》京品ホテル存続、自主事業継続闘争「ハゲタカは死んだ　よみがえれ京品ホテル」　企業は誰のものか、あらためて問い直そう (JANJAN, 10/24)、京品ホテル、自主営業中！。
》無断で敷地に入り「検査だ」と検査官、黙って見過ごしてはいけない (JANJAN, 10/24)
》「かつての天敵」小沢一郎、亀井静香が共に写る民主党ポスターが広島６区にお目見え (JANJAN, 10/23)
》マスコミが書かない麻生財閥の深い闇 (JANJAN, 10/23)
》【ハケンという蟻地獄】グッドウィル廃業で新たな混乱？ (JANJAN, 10/22)
》ＮＨＫの番組に期待を寄せる「同性愛者などＬＧＢＴ」～＜ＮＨＫは変わったのか＞今村裕治ディレクターに聞く　 (JANJAN, 10/20)

「僕が担当しているのは、まさしく”直球の福祉番組”だと思っています。これほど”公共放送的”な番組は、他にないのでは……とも思います。福祉番組はマイノリティー・サービスと言われます。マイノリティーの問題に正面から取り組み、取材をして、その姿を発信してゆく仕事は、”ＮＨＫの王道”を行っている番組であると、僕は思っています」
》中国ユーザー、Microsoftの海賊版対策に激怒 (ITmedia, 10/24)。そんなに気に入らないのなら、海賊版 Windows を消しちゃえばいいのに。
》サイゼリヤに不正要求の高校生、謝罪して返金 (ITmedia, 10/24)

　千葉県では、県立高の男子生徒2人が県内の3店舗で3000円分の不正請求を行っていたことが発覚した。返金したあとに、男子生徒らが説明した時間帯のレジ記録を確認したところ、ピザの記録がないことが明らかになった。
　主犯の高校生は会員制日記サイト「ミクシィ」内で＜3000円ほど稼がせていただいた　4戦3勝＞と犯行声明も出していた。サイゼリヤでは県内の各店舗に「兄弟のような高校生2人組に気をつけろ」と“警報”を発令したため、4件目以降は阻止できた。
　学校は22日夜に生徒から事情聴取し、その日のうちに保護者同伴で各店舗と地元警察を訪問。謝罪して返金したことを、23日朝の臨時集会で生徒に報告した。

　どうしてわざわざ mixi で自慢するかなあ。2重に愚かだ……。
》交際女と共謀、痴漢虚偽告訴の元甲南大生に実刑 (読売, 10/24)。懲役5年6か月だそうで。
》やめられない止まらない
- 東京円急騰、一時１ドル９２円台　１３年２カ月ぶり (asahi.com, 10/24)。値上げ続きだった輸入原料商品 (小麦原料ものとか……) については「円高還元」をしてほしいよね。
- 東京株、終値８１１円安の７６４９円　円高加速に懸念 (asahi.com, 10/24)。8000 円をあっさり突破。
- ロンドンではさらに進んでいるようで: 円急伸、一時１ドル＝９０円台　ユーロも一時１１３円台 (asahi.com, 10/24)
》 NHK スペシャル: 日本とアメリカ
- 第１回　“アメリカ”買収～グローバル化への苦闘 (10/26 放送予定)
- 第２回　日本アニメ vs ハリウッド (10/27 放送予定)
- 第３回　ホワイトハウスに食い込め～アメリカ大統領選・日本外交の苦闘～(仮) (11/2 放送予定)

■ Multiple problems in Wireshark versions 0.10.3 to 1.0.3
(Wireshark.org, 2008.10.20)

　Wireshark 0.10.3 ～ 1.0.3 に複数の欠陥があり、1.0.4 で修正されたそうで。 CVE-2008-4685 CVE-2008-4684 CVE-2008-4683 CVE-2008-4682 CVE-2008-4681 CVE-2008-4680

■ 追記

マイクロソフトセキュリティ情報の事前通知 - 2008 年 10 月 (定例外)

　MS08-067 が緊急に追加公開されました。詳細については、 Microsoft 2008 年 10 月のセキュリティ情報の「2008.10.24 追記」を。

Microsoft 2008 年 10 月のセキュリティ情報

　MS08-067 が緊急に追加公開されました。

MS08-067 - 緊急: Server サービスの脆弱性により、リモートでコードが実行される (958644)

　Windows 2000 / XP / Server 2003 / Vista / Server 2008 に欠陥。Server サービスに欠陥があり、攻略 RPC リクエストによって任意のコードを実行できる。 CVE-2008-4250

　Exploitability Index (悪用可能性指標): 1

　この欠陥を利用するウイルスが既に存在する。

TSPY_GIMMIV.A (トレンドマイクロ)
Spy-Agent.da、 Spy-Agent.da!bat、 Spy-Agent.da.dll (McAfee)
Trojan-Spy:W32/Gimmiv.A (F-Secure)

　関連:

2008年10月24日のセキュリティリリース (定例外) (日本のセキュリティチーム, 2008.10.24)
More detail about MS08-067, the out-of-band netapi32.dll security update (Microsoft Security Vulnerability Research & Defense, 2008.10.23)
MS08-067 Released (MSRC blog, 2008.10.23)
MS08-067 and the SDL (The Security Development Lifecycle, 2008.10.22)
memo ML: [memo:9539] [memo:9540] [memo:9541] [memo:9542] [memo:9543]
Windowsに緊急の脆弱性、パッチ提供後2時間で実証コードが登場　「悪用されやすい脆弱性」とセキュリティ専門家が警鐘 (ComputerWorld.jp, 2008.10.24)
MS Windows Server Service Code Execution PoC (MS08-067) (milw0rm)

　…… Microsoft Server サービスの脆弱性（MS08-067）を悪用した脅威 (トレンドマイクロ, 2008.10.24) によると、TSPY_GIMMIV.A はあくまで攻撃の結果として送り込まれるペイロードにすぎず、MS08-067 欠陥への攻撃コードは含まれていないそうです。

■ 2008.10.23

》ニンテンドーDSiでも従来ソフトではWEPになる? (水無月ばけらのえび日記, 10/23)
》 Microsoft、中国でWindowsXPに海賊版対策機能を追加 (slashdot.jp, 10/23)、 WINDOWS海賊版対策「回避のためのアノ手この手」 (サーチナ / Excite, 10/20)
》 Windows Vista および Windows Server 2008 用のシステム更新準備ツールについて (Microsoft KB947821)
》カップヌードルとパラジクロロベンゼン
- カップめん食べ異状、スープから防虫剤成分　神奈川 (asahi.com, 10/23)
- カップラーメンから防虫剤成分、嘔吐や湿疹…神奈川・藤沢 (読売, 10/23)
　これだけじゃない。
- 横須賀でもカップめんから殺虫剤成分 (asahi.com, 10/23)。こちらは明星製品。やはり神奈川県。
2008.10.24 追記:

　明星の件については、製造元は「よくある」「通常の異臭クレーム」にすぎず、「藤沢の件とは別と考えている」との見解。【カップめん防虫剤】「においが移っただけ」製造元は事件性否定 (産経 MSN, 10/24)

　あと、カップヌードルで「カップめん：日清製、８月にも防虫剤成分　大阪で３人訴え」(毎日, 10/24) という話もあったそうなのだが、

同社のお客様相談室の担当者は、男性へ報告したことを認めているが、「本人の管理の問題ではないか。一緒に持ち込まれたいずれの製品からも検出されている。これらは違う工場で作られており、男性以外からの苦情はなかった」と話した。

と、これも「よくある通常の異臭クレーム」であるっぽい。藤沢の事例だけが特殊な模様。

　関連:
- 日清工場、防虫剤使用せず　滋賀県が立ち入り調査 (中日, 10/24)
  
  滋賀県生活衛生課は２４日、日清食品滋賀工場（同県栗東市）を立ち入り調査し、製造や保管施設で防虫剤成分の使用はなかったとする調査結果を発表した。
- カップめん容器、神奈川県警鑑定へ　外部から混入の有無 (asahi.com, 10/24)
》ユーチューブとＪＡＳＲＡＣ、７００万曲の利用許諾契約 (asahi.com, 10/23)
》 DNSリゾルバのニューフェイス「Unbound」　DNSキャッシュ汚染に対する防御力強化も (@IT, 10/17)
》 VistaのUACを改善する無料ソフト「Norton UAC Tool」 (slashdot.jp, 10/22)、Vista User Account Control (NortonLabs)
》アキバ開催2年目の「Internet Week」、今年はお酒も出ます!? (Internet Watch, 10/22)
》 MyJVN (水無月ばけらのえび日記, 10/23)。Flash ですか。
》海自に埋蔵銀１５億円？　救難艇電池用の銀、大幅に余る (asahi.com, 10/23)
》「落札額は月１円」　全国１９県警で超低額入札相次ぐ (asahi.com, 10/23)。ケーサツの裏は闇。
》静岡空港　高さ制限超す土地が存在　国、準備書面で認める (中日, 10/23)。昨日は立ち木が問題だとされていたが、立ち木がなかったとしても、土地の高さ自体が高すぎる場所があり、土地を削らなければならない。

事業主体の静岡県はこれまで、土地について言及していなかった。(中略) 新たな問題が浮上したことで、事業のずさんさや県の隠ぺい体質への批判がさらに強まりそうだ。 (中略) 地権者の代理人弁護士は、土地と立ち木が見逃されてきた原因として、高さ制限の範囲を確認する県の航空測量にミスがあった可能性を指摘。「裁判と県民に対する説明のどっちが大切なのか。県はミスを隠そうとして、土壇場になって窮余の策を講じる体たらくになっている」と批判している。
》ソニー、営業利益が５７％減　円高と需要低迷で (中日, 10/23)、金融危機で米ＩＴの業績悪化、ヤフーは１５００人削減へ (読売, 10/22)
》火葬後に本人現れ発覚、福岡県警が遺体身元取り違え (読売, 10/23)。これはびっくり。
》九州新幹線高架に欠陥材　麻生グループ会社が販売 (asahi.com, 10/23)

　朝日新聞が入手した麻生の社内報告書によると、ＡＳフォーム型は、樹脂などでできた厚さ１センチの板。同社などが開発し、９８年に販売を始めた。下水処理場の池や小学校のプールの床などに使われたが、はがれて浮き上がってしまったり、外れてしまったりするトラブルが続発した。社内には「こんなことでは売れない」と出荷停止を求める意見もあったが、００年には九州新幹線への出荷が始まった。

　悪質だなぁ……。関連:
- 九州新幹線に欠陥材　高架橋パネル　はく離　「麻生」販売し補修　ＪＲ「聞かされず」 (西日本新聞, 10/24)
- 九州新幹線：高架橋パネルはく離　販売元「麻生」聴取 (毎日, 10/23)
》 IAjapan 第６回迷惑メール対策カンファレンス (IAJapan)。2008.11.06、東京都港区、2000円。

今年は大きく改正された特定電子メール法と特定商取引法の施行を年末に控え、事業者に影響が大きいことから秋にも開催することにしました。今回の法改正では、日本ではじめてオプトイン規制が導入されたことから、迷惑メールであるか否かに関わらず、広告宣伝メールを送信する事業者全てが対象になり、従来より多くの事業者が法規制の対象となると思われます。 (中略) 実際にビジネスを運営する上ではまだ分らない点をお持ちの事業者さんもまだ多いと思います。今回のカンファレンスでは総務省、経済産業省の担当官の方々から直接説明を受け、質疑応答をメインに考えています。また、それに先立ち「おさらい」として迷惑メール対策の法規制について基本について学ぶセッションも用意します。
　そのような訳で今回のカンファレンスは技術的対策というより、法規制への対応をメインに考えています。
》動物虐待画像や硫化水素自殺情報、プロバイダーの約款で禁止へ　通信業界団体が「モデル条項」の改定案 (Internet Watch, 10/22)、インターネット上の違法な情報への対応に関するガイドライン（案）」等に係る意見募集について (テレサ協, 10/22)

　それにしても、http://www.telesa.or.jp/ って、JavaScript 無効にするとわけわかめだな……。
》違法・有害情報対策で、官民の実務家がメール連絡網 (Internet Watch, 10/22)
》内閣官房、違法・有害情報対策のポータルサイト開設 (Internet Watch, 10/22)
》「WEPを数秒で解読」報道を受け、総務省も注意喚起 (Internet Watch, 10/21)
》フェアユース議論、利用者側の声も聞いて～MIAUが要望書 (Internet Watch, 10/21)
》東京円：続伸　１ドル９７円台、ユーロも一時１２４円台 (毎日, 10/23)、東京円：一時９６円台に突入　ユーロも１２３円台。ガンガン上がっているようで。

　この状況で株価が保つわけもなく、東証：一時８０００円割れ寸前　６５８円安 (毎日, 10/23)。他人事のような人の例: 首相ＶＳ記者団：株価「一喜一憂しないことだ」１０月２３日午前１１時４５分～ (毎日, 10/23)。これだからセレブは。関連: ホテルのバーで葉巻をくゆらすのがライフスタイルの麻生総理 (保坂展人のどこどこ日記, 10/23)。
》仏エレベーター：オーチス社ボタンから放射性物質、被ばく (毎日, 10/23)

　オーチス社によると、ボタンはインドにある下請け６社から仏国内の系列会社の工場に納入されたもので、製造過程で使用された金属が放射性物質を含んだリサイクル品だったとみられる。
　オーチス社のボタンとは別に、スウェーデン当局は２２日までに、「インドから輸入された工業部品からコバルト６０が検出され、一部はスウェーデン国内４カ所の工場に運ばれていた」と発表。仏政府と共にインド側と連絡を取っている。

　チャイナリスクの次はインドリスク?
》米国：原子力空母火災、油放置で被害拡大　報告書まとめる (毎日, 10/23)。CVN-73 USS George Washington 話。関連:
- U.S. Pacific Fleet Freedom of Information Act (FOIA) Reading Room (navy.mil)。 USS George Washington Fire Investigation の他、 USS San Francisco Submerged Grounding Investigation や USS Greeneville Collision Investigation (えひめ丸衝突・沈没事故) もあります。
- 原子力空母「ジョージ・ワシントン」の広報まんが、ウェブで公開開始 (gamenews.ne.jp, 6/16)、Manga CVN 73 USS George Washington (navy.mil)。文章は若干硬いかな。まぁ、広報誌だからね。火災話もあってなのか、主人公 (日系人) はダメージ・コントロールに配置され、消火訓練をしたりもする。
》ＮＹ原油：急落、一時６７ドル　１年４カ月ぶり安値 (毎日, 10/23)
》環境省：化学物質全２万種を監視　法改正へ (毎日, 10/23)

化学物質は約２万種あるとされ、現在監視対象としている約１０００種から大幅に拡大する。２３日にある経済産業、厚生労働との３省合同委員会の合意を得て、「化学物質審査規制法（化審法）」改正案を次の通常国会に提出する。
》 “国内最大規模”の違法着うたサイト運営、京都府警が2人を逮捕 (Internet Watch, 10/21)。『「第3世界」（3は実際には丸数字）』だそうで。これ↓ですかね。
- Searched for http://www.dai3.sakura.ne.jp/ (web.archive.org)
- Google に保存されている http://hp12.0zero.jp/182/7forever/ のキャッシュ (google)。 www.dai3.sakura.ne.jp に移転する前のページみたい。
2008.10.24 追記:

　大手違法着うた配信サイト開設者逮捕、と違法着うたサイトNOW (P2Pとかその辺のお話@はてな, 10/22) によると、http://www.dai3.sakura.ne.jp ではなく www.dai3-w.sakura.ne.jp ということになっている。
- Searched for http://www.dai3-w.sakura.ne.jp/ (web.archive.org)
　http://www.dai3.sakura.ne.jp/ のアーカイブは 2007.10.11 まで、 http://www.dai3-w.sakura.ne.jp/ のアーカイブは 2007.12.13 だけ、というところを見ると、昨年末に www.dai3.sakura.ne.jp から www.dai3-w.sakura.ne.jp に移ったんですかね。
》ゲームで「離婚」され逆上した女、「夫」消去して逮捕 (読売, 10/23)

　発表によると、泊容疑者は５月中旬、札幌市北区の男性会社員（３３）のＩＤとパスワードを無断で使い、オンラインゲーム「メイプルストーリー」に侵入し、男性がゲーム上で使っていたキャラクターを消去した疑い。(中略) 泊容疑者と男性は、ゲーム上でキャラクター同士を「結婚」させていたが、男性側から「離婚」されていた。

　ゲームだからと言って、安易に結婚したり離婚したりするのはやめましょう。

　関連: メイプルストーリー

■ 追記

Trend Microの企業向けセキュリティ製品に脆弱性、修正パッチ公開

　2008.10.22 付で日本語版出てます。

　patch 本体はウイルスバスターコーポレートエディション、ウイルスバスタービジネスセキュリティからどうぞ。

■ Secunia Research: Trend Micro OfficeScan CGI Parsing Buffer Overflows
(secunia, 2008.10.23)

　この件:

　CVE-2008-3862

　対応する日本語版 (ウイルスバスターコーポレートエディション、ウイルスバスタービジネスセキュリティ) 用 patch はまだない。2 週間後くらいに、ウイルスバスターコーポレートエディション、ウイルスバスタービジネスセキュリティで公開されると思われ。

2008.11.19 追記:

　OfficeScan 7.0 用、Client Server Messaging Security 3.5 / 3.6 用も出ていたようで:

　日本語版用:

　7.0 用だけまだみたい。

■ F-Secureセキュリティ勧告 FSC-2008-3 RPM解析における脆弱性
(F-Secure, 2008.10.22)

　F-Secure のアンチウイルス製品に欠陥。RPM ファイルの処理において integer overflow する欠陥があり、攻略 RPM ファイルを使って任意のコードを実行できる。

　Hotfix 等が公開されているので適用すればよい。

■ VideoLAN Security Advisory 0809: Buffer overflow in VLC TiVo demuxer
(videolan.org, 2008.10.21)

　VLC media player 0.9.0 ～ 0.9.4 に欠陥。TY ファイルのヘッダの処理に欠陥があり、攻略 TY ファイルによって stack buffer overflow が発生、任意のコードを実行できる。CVE-2008-4686

　VLC media player 0.9.5 で対応される予定 (現時点ではリリースされていない)。 TY demux plugin (libty_plugin.*) を削除することで回避できる。

　関連:

VLC Media Player TY File Stack Based Buffer Overflow Exploit (milw0rm)
VLC 0.9.4 .TY File Buffer Overflow Exploit (SEH) (milw0rm)

2008.11.02 追記:

　VLC media player 0.9.5 が登場しています。ただし、Windows 版のバイナリはまだ存在しないようです。

[videolan-announce] VLC media player 0.9.5 (videolan.org, 2008.10.25)

■ マイクロソフトセキュリティ情報の事前通知 - 2008 年 10 月 (定例外)
(Microsoft, 2008.10.23)

　うォッ、これはァッ! 明日リリース予定だそうです。

2008.10.24 追記:

　MS08-067 が緊急に追加公開されました。詳細については、 Microsoft 2008 年 10 月のセキュリティ情報の「2008.10.24 追記」を。

■ 2008.10.22

■ No School Like The Old School
(doxpara.com, 2008.10.21)

　libspf2 < 1.2.8 に欠陥。SPF レコードの扱いに欠陥があり、remote から任意のコードを実行できる。 CVE-2008-2469

　libspf2 1.2.8 で修正されている。

2008.11.05 追記:

■ 2008.10.21

》私は「わたし」でもＯＫ　文化審議会が了承 (産経 MSN, 10/21)。いままでは NG だったんだ……。
》サイゼリヤ方面。マスゴミ被害にあった企業がまた 1 つ。
- サイゼリヤ
- 微量メラミン検出報道について (サイゼリヤ, 10/21)
  
  6 ロット中 1 商品ロットからメラミン 4.3mg/kg が検出されました。
  * その他の 5 ロット商品からは検出されませんでした。(検出限界 0.5mg/kg)
  * 10 月 20 日時点ではお客様からの健康被害、クレーム等は報告されておりません。
  
  健康被害が発生するような量では全くないし、実際、健康被害も発生していない。
  
  * 検出商品ロット中のメラミン量は 1 食当たり体重 50kg の方の 1 日摂取許容量の約 60 分の 1 相当の微量で健康への影響はないとされています。(欧州食品安全機関の資料による)
  
  ここで EU の資料をひっぱってこなきゃならないという……。日本の役所もきちんとデータを出せ。
- サイゼリヤのピザ生地からメラミン検出、中国の業者が製造 (読売, 10/20)。
  
  メラミンは４・３ｐｐｍと微量だが、厚生労働省が自主回収の目安にしている２・５ｐｐｍを超えていた。
  
  読売は役人の言い値をタレ流すだけですか。
- サイゼリヤでメラミン検出　　利用客から不安の声 (読売, 10/20)。マスゴミは、さんざんヒステリックに煽っておいて「利用客から不安の声」だからなぁ。
- ピザ生地メラミン、「中国の検査信用」サイゼリヤ社長が釈明 (読売, 10/21)
  
  　サイゼリヤによると、同社は大手食品会社が販売した輸入菓子からメラミン検出が発表された翌日の９月２１日、製造元である中国・広東省の金城速凍食品に対し、在庫のピザ生地についてメラミン混入の有無を問い合わせた。２２日に「検出されなかった」という報告を受けたため、店頭での提供を続けたという。
  　日本に届いたピザ生地を同月２５日に改めて国内で検査に出したところ、今月１６日に結果が届き、８月９日製造分からメラミンが検出されたことがわかった。
  
  サイゼリヤはやるべきことをやっていると思うが。今回も、6 ロット中 1 ロットでのみ検出なのだし、金城速凍食品自身が「検出されなかった」としているのもあながち間違いというわけではないのではないか。
- サイゼリヤ(7581)はSTOP安に沈む　冷凍ピザ生地から有害物質メラミン検出で見切り売りが殺到 (毎日, 10/21)。むしろ買いどきかも。
- サイゼリヤ　ピザ生地にメラミン　検出洋菓子と同じ中国社製 (東京, 10/21)。これは比較的良心的な報道。
- 外食、中国食材の使用縮小　ロイヤルホスト、リンガーハットなど (日経, 10/21)
- サイゼリヤ：メラミン検出受けピザ販売を一時中止 (毎日, 10/22)
》ディスコが半導体製造装置にセキュリティ・ソフトを標準装備，産業用装置として初 (日経 IT Pro, 10/21)。Windows ベースで動いているから、ということだよね。

昨今，ダイシングソーのような精密加工装置が，USBメモリー経由でウィルス感染する事例が発生している。

　そういう事例ってけっこう多いんだよな。半径 50m 以内でも。
》 “青少年ネット規制法”施行日は2009年4月1日を予定 (Internet Watch, 10/21)
》ダガーナイフ所持禁止、猟銃許可厳格化　銃刀法改正案 (asahi.com, 10/21)。あれ? 今ごろになっても「閣議決定」というレベルなんだ。

衆議院の解散時期が不透明な中で審議入りは未定
》 Android携帯「G1」にも備わる“キル・スイッチ”、ユーザーの反応は？　猛反発が巻き起こったiPhoneのときとは状況が異なる (ComputerWorld.jp, 10/20)

　Appleに比べると、Googleは頻繁にリモート削除機能を使用する必要に迫られるかもしれない。なぜなら、Appleの「Apps Store」で提供されるアプリケーションは事前に同社のチェックを受けているのに対し、Android Marketでのアプリケーション提供は事前チェックを経ずに自由に行われるからだ。このため、Android Marketでは、悪意ある、あるいは好ましくないアプリケーションが出回る可能性がApp Storeよりも大きくなる。
》京品ホテル方面。これ、リーマンねただったのか。
- 京品ホテル (楽天トラベル)。京品ホテル自身の Web ページとかは止まっちゃってるみたいですね。宿泊予約したい場合は、直接電話するしかないのかな。
- リーマン債権処理の余波　品川の老舗「京品ホテル」廃業 (フジサンケイビジネスi, 10/18)
- 京品ホテル：廃業、解雇に労組が激怒　従業員ら占拠、「独自営業」へ (毎日, 10/21)
  
  　小林社長は「これ以上経営を続けるのは無理だ。解雇についてもきちんと説明している。リ社の破綻は関係ない」と話している。一方、組合の金本正道支部長は「昨年も８０００万円の利益が出ており廃業は納得できない。放漫経営であり、労働者を債権回収の犠牲にするな」と訴える。
- 京品ホテル、従業員が自主営業開始へ　東京・品川駅前 (asahi.com, 10/21)
- こよいの宿は京品ホテルへ～労組自主営業を支援しよう！ (情報流通促進計画 by ヤメ記者弁護士（ヤメ蚊）, 10/21)
  
  　労組の自主営業なんて、久しぶりに聞く感じだ。実際には、いまでも書店などで自主営業の話を聞いたことはあるが、お客さんを受け容れるような施設での自主営業はここのところなかったのではないか？
- 解雇の従業員が地位保全申し立て京品ホテルの２４人 (47news.jp, 10/21)
- 品川駅前で長い歴史を誇る京品ホテルが外資系ファンドに食い荒らされようとしています！ (東京ユニオン京品ホテル支部)
》 A small improvement to our version numbering (aka Why there won't be a "Flash Player 10 Update 1") (Emmy Huang, 10/20)。Flash Player バージョン番号話。例:
- 開発者用ビルド: 10.0.10.b (b はビルド番号)
- ベータ版: 10.0.11.b
- RC 版またはリリース版: 10.0.12.b
　数字自体は major.minor.bugfix.build になっていて、次の「bugfix or security release」は 10.0.{20,21,22}.b になるのだそうだ。
》サルコジ方面
- 銀行口座をヤラレた:
  - 仏大統領の銀行情報が盗まれる――なりすまし被害か (ITmedia, 10/21)、 French President a Victim of Identity Theft (McAfee blog, 10/20)
  - サルコジ大統領の銀行口座、ハッキングされる (Sophos, 10/20)
  - 仏大統領の銀行口座に不正アクセス　報道官認める (CNN, 10/20)
- プライバシー侵害:
  - サルコジ仏大統領：「私生活調査ノート」流出　内務省元長官を告訴 (毎日, 10/18)
    
    元長官はサルコジ氏が内相だった９８～０３年、当時のシラク大統領の命令でサルコジ氏ら政治家の私生活などを調査し、少なくとも２３冊のノートに克明に記録。先週、その一部がメディアで報じられていた。
  - サルコジ大統領、元諜報機関トップを告訴雑誌の醜聞記事掲載に関連 (AFP, 10/18)

■ Opera 9.61 for Windows Changelog
(Opera, 2008.10.21)

　Opera 9.61 登場。3 つの欠陥が修正されている。

Advisory: History Search can reveal browsing history。Opera の履歴検索において、結果を表示する際のエスケープ処理が不完全なため、スクリプトの挿入が可能となり、センシティブ情報の漏洩を招く。 CVE-2008-4696 (CVE-2008-4725 も?)

関連: Opera Stored Cross Site Scripting Vulnerability (security-assessment.com)
Advisory: Fast Forward can allow cross-site scripting。 javascript: URL を含んだリンクは Opera の Fast Forward 機能の対象となるが、ページが frame を含む場合に、当該 javascript が最も外側の frame で稼働してしまい、結果として XSS 欠陥を誘発する。 CVE-2008-4697
Advisory: Feed preview can reveal contents of unrelated news feeds。ニュースフィードの preview において、複数のスクリプトが抑止されないため、センシティブ情報の漏洩を招く。 CVE-2008-4698

■ キーボード打鍵時の電磁波で情報漏えい、スイスの研究者が実証
(Internet Watch, 2008.10.21)

　TEMPEST というと「ディスプレイ」が定番だが、「有線キーボード打鍵時に発生する微弱な電磁波」を捉えてキー入力を再現することに成功したのだそうだ。距離は最大で 20m、壁を隔てても捉えられる。USB, PS/2、ラップトップ PC で再現に成功。伊能さん情報ありがとうございます。

　元ねた: COMPROMISING ELECTROMAGNETIC EMANATIONS OF WIRED KEYBOARDS

■ Winny作者・金子氏の控訴審、2009年1月19日から大阪高裁で
(Internet Watch, 2008.10.21)

　やっとはじまるそうで。2009.01.19。元ねた: Winny事件控訴審第一回期日決定 (壇弁護士の事務室, 2008.10.21)。

うーん、インターネットウォッチ。言ったこととちょっと違うぞぉ。

■ 追記

Jack C. Louis and Robert E. Lee to talk about New DoS Attack Vectors

　関連:

CVE-2008-4609
CERT-FI Statement on the Outpost24 TCP Issues (CERT-FI)。2008.10.17 付で改訂されている。

Oct 17. The TCP issue reported by Outpost24 is being coordinated by CERT-FI. We are in a process of determining the impact of the techniques and principles described by the reporters of the issue. We are researching and handling the issue with several vendors from all potentially affected branches of network equipment and software. Once we are fully aware of what types of network equipments and services are most possibly affected, we will make more vendor contacts. Based on previous experience from similar coordination projects, we estimate that the full publication of the details of the issue may take until next year. CERT-FI will publish more information on the developments of the issue coordination as the coordination progresses.
Cisco Security Response: Cisco Response to Outpost24 TCP State Table Manipulation Denial of Service Vulnerabilities (Cisco, 2008.10.17)

Cisco PSIRT research indicates an attacker must complete a TCP three-way handshake to a device to successfully exploit the DoS vulnerabilities. This requirement makes spoofing the source of an attack more challenging. The TCP vulnerabilities that Outpost24 announced are an extension of well-known weaknesses in the TCP protocol.

It is possible to mitigate the risk of these vulnerabilities by allowing only trusted sources to access TCP-based services. This mitigation is particularly important for critical infrastructure devices. PSIRT recommends the implementation of infrastructure access control lists (IACLs) and control plane policing (CoPP) to protect core network functionality.
TCP Resource Exhaustion and Botched Disclosure (insecure.org)。nmap な人による解説。

■ いろいろ (2008.10.21)
(various)

Firefox Privacy Broken If Used to Open Web Page File (Liu Die Yu, 2008.10.07)。 Firefox 3.0.[1-3] における .url ファイルの扱いに欠陥があり、Same Origin Policy を回避できる。CVE-2008-4582
[Dovecot-news] v1.1.4 released。以下が直っている模様。
- CVE-2008-4577。ACL プラグインが負のアクセス権限を正のアクセス権限として処理してしまう。
- CVE-2008-4578。ACL プラグインにおいて、'k' 権限を与えられた場合に、parent/child/child という形式の mailbox の作成を抑止しない。
MS OWA 2003 Redirection Vulnerability (bugtraq, 2008.10.15)。 Outlook Web Access for Exchange 2003 において https://webmail.domain.tld/exchweb/bin/redir.asp?URL=http://www.csnc.ch という URL を踏むと http://www.csnc.ch にリダイレクトされる模様。 Outlook Web Access for Exchange 2007 にはこの欠陥はない。 CVE-2008-1547
BlosxomのXSS脆弱性が修正 (水無月ばけらのえび日記, 2008.10.20)。 CVE-2008-2236 。 Blosxom 2.1.2 で対応されている。
CVE-2008-4552。nfs-utils < 1.1.3 において、tcp_wrappers が netgroups を無視してしまう。なお、最新の nfs-utils は 1.1.4。
Linux カーネルねた。
- CVE-2008-4618 。Linux < 2.6.27 の Stream Control Transmission Protocol (sctp) 実装に欠陥。
- CVE-2008-3831。 Linux 2.6.24 の i915 ドライバに local DoS 欠陥。
- CVE-2008-4576。Linux < 2.6.25.18 の sctp ねた。
- CVE-2008-4554 Linux < 2.6.27 の do_splice_from に欠陥。

■ Google Webmaster Tools warning about hackable sites
(SANS ISC, 2008.10.20)

　Google ウェブマスターツールにおいてテストを実施し、CMS やプラットホームにセキュリティホールがあるように思われる、あるいはハッキング可能であるように思われる場合には警告を発することを検討中だそうだ。

2008.10.26 追記:

　Malware? We don't need no stinking malware! (Google Online Security Blog, 2008.10.24)

■ 2008.10.20

》インターネット規模の中間者攻撃が明らかに--BGPの信頼性に問題 (CNET, 10/20)。BGP 話は今にはじまったことではないのですが、

新たに明らかになったのは、「どんなネットワークでもこの攻撃にさらされる可能性がある」という部分だ。(中略) Kapela氏によると、この手法は、トラフィック分析は同一地域内で行わなければならないという従来の考え方を覆すものだという。中国にいながら米国の静的ネットワークを監視することも可能だからだ。
》確認されているだけでも攻撃が毎分1.5件，PHPアプリ狙う攻撃が大量無差別型に (日経 IT Pro, 10/20)
》ソフォス、Adobe Systems 社の Web サイト上に深刻な Web マルウェアを検知 (Sophos, 10/17)、 AdobeのWebサイトがSQLインジェクション攻撃受けマルウエア配布源に，Sophosが警告 (日経 IT Pro, 10/20)
》政府「北朝鮮に異常の兆しはない」緊急収拾へ (中央日報, 10/20)。ここ数日、「北で何かあるのでは」というのが話題になっている模様。

初めての震源地は読売新聞だ。読売新聞は１８日、北朝鮮が重大発表を控えて、世界各地の在外公館に対し、職員らの外出を禁ずる「禁足令」を出していると報じた。この記事は、仏ＡＦＰ通信を通じて全世界に打電され、金委員長の重病説ともに北朝鮮内部に緊迫な事態が発生したかのように増幅された。
産経新聞は１９日「北朝鮮が２０日から外国人の入国を禁じると聞いている」と報じた。同紙は、複数の朝日関係者の言葉として「金委員長が死去したことによる後継者の発表ではないか」「クーデターによる政変」といった憶測も出ていると伝えた。

　韓国政府は否定している模様。関連:
- 北朝鮮、数日以内に重大発表か在外公館に待機を発令 (AFP, 10/18)。上記「仏ＡＦＰ通信を通じて全世界に打電され」の件。
- 統一部「北の重大発表説、確認されていない」 (朝鮮日報, 10/20)
  
  　政府の消息筋は「北朝鮮が中国駐在の公館職員に外出自制命令などを下したのは事実だ」とし、日本の報道は中国の消息筋をの話を根拠としているとの見方を示した。「中国に出ている北朝鮮の“貿易関係者”のうち、年間売り上げが100万ドル（約1億円）を下回る人々に対し、帰国するよう指示が出された」（対北消息筋）との話もある。
  　これについて、政府の高位関係者は「韓国も先週同じような情報を入手し、見守ってきたが、北朝鮮にはこれといって変わった動きが見られない。日本のメディアはこうした情報を一足遅れで入手したのだろう」と説明した。
》三浦元社長「自殺」方面
- 三浦元社長自殺：訴追時「新証拠なかった」　ロス郡地検の広報官証言 (毎日, 10/16)
- 三浦元社長自殺から１週間、遺族側は市警の説明に納得せず　ロス疑惑 (産経 MSN, 10/18)
  
  　一方、検視局は当初、週内にも予定していた検視報告書の最終結果発表を、遺族側との面会が行われたのと同じ１６日、突然「あと数週間かかる」として延期した。遺族側は面会で、検視局に徹底調査を求めたとされる。
- 三浦元社長自殺：遺族側、遺体を引き取る (毎日, 10/20)
- 「三浦元社長は他殺」　弁護側の病理学者が結論 (東京, 10/20)
  
  　ゲラゴス氏によると、遺体には、殴打されてできたとみられる傷が背中の深部組織にあったほか、首を絞められたことによってできた可能性がある血腫がのどにあった。これらの傷は、首をつって自殺した際にできる傷ではないという。
》資源機構のＨＰ閲覧で情報流出の恐れ　７月から攻撃被害 (asahi.com, 10/20)。石油天然ガス・金属鉱物資源機構 (JOGMEC) が SQL インジェクション攻撃を受けていたそうで。 JOGMEC公開サーバーに対する不正侵入とホームページの改ざんについて（続報） (JOGMEC, 10/10)
》陸自内部文書、ウィニー介し流出　広島の幹部作成資料も (asahi.com, 10/20)、陸自情報：「ウィニー」に流出　広島の幹部ＰＣから (毎日, 10/20)。まだ Winny ですか。
》「個人的虚栄心」ヤングガンガン契約社員を解雇　SNS日記問題で (ITmedia, 10/18)
》 WEPは一瞬で解読――ニンテンドーDSはどうなる (ITmedia, 10/17)。放置プレイ。
》インターネットを政府が統制しようとしてることが分かる簡単な例 (情報流通促進計画 by ヤメ記者弁護士（ヤメ蚊）, 10/11)

３０条にはとても異質なものが一つ混じっているのです。(中略) 第１項の「フィルタリング推進機関」。これだけ、なんだか、違う。(中略) そう、このフィルタリング推進機関は、登録制なんだ。(中略)
　ほかの条文と整合させるのであれば、このような登録制はまったく不要だ。この登録制の部分だけは、異様な感じがする。
　それは、明らかに、政府が、自らの関与する余地を残し、そこから行政指導などの圧力をかけていくつもりがあることを示している。そうでなければ、ここだけ登録制にする必要は全くないはずだ。
》 Google ストリートビューと駐車場
- 今週のグーグル私有地進入事例寝屋川の公営住宅で「駐車場荒らし」 (高木浩光＠自宅の日記, 10/18)
- グーグルは大規模集合住宅の駐車場は公道だと思い込んでるんだろうね (崎山伸夫のBlog, 10/20)
》上司と部下の関係が悪い場合は上司に褒められても部下の責任感が低下する by JR西日本安全研究所 (まるちゃんの情報セキュリティ気まぐれ日記, 10/20)、ＪＲ西日本上司との関係研究 (NHK, 10/20)。興味深い。

上司との関係が悪い場合は、褒められても責任感が低下する

　誉め言葉がイヤミに聞こえる (イヤミにしか聞こえない)、という感じかなあ。
》 Live View (sourceforge.net)

Live View is a Java-based graphical forensics tool that creates a VMware virtual machine out of a raw (dd-style) disk image or physical disk. This allows the forensic examiner to "boot up" the image or disk and gain an interactive, user-level perspective of the environment, all without modifying the underlying image or disk.

■ Changes with Apache 2.2.10
(Apache.org, 2008.10.14)

　Apache 2.2.10 登場。mod_proxy_ftp の XSS 欠陥 CVE-2008-2939 が修正されている。iida さん、藤井さん情報ありがとうございます。

■ 行動ターゲティング広告はどこまで許されるのか
(日経, 2008.10.16)

　ユーザの行動を、従来よりも広く追跡するような「広告」手法が登場しているという話。

Web ブラウザでは、訪問したことのあるリンクの色が変化する。これを利用すると、brute force 的手法を使ってユーザの閲覧履歴を収集できる。

この問題は今にはじまったものではないが、一律な技術的対応は困難な模様。考察例: visited疑似クラスのビーコンを拾うサービスが登場 (水無月ばけらのえび日記, 2008.10.17)

一律な技術的対応が困難であるのなら、個人的には、Hisotry の制御機能を増やして利用者に判断させるべきであるように思います。参照: #1440854 (slashdot.jp)
携帯電話では、「個体識別番号」を使ってユーザの閲覧履歴を収集できる。日本のインターネットが終了する日で示されている件。

世界の常識では、このような「スーパー cookie」は不適切であると広く認識されているが、日本の常識は世界の非常識。

　これらは「個人情報保護法」における「個人情報」には該当しないため、第三者間で自由に取引でき、結果としてユーザのプライバシーが犯されるのではないか……と懸念されている。

2008.10.27 追記:

　「第三者cookieは使われなくなりつつある」は本当か？ (武田圭史, 2008.10.21)

■ 追記

ゴルフダイジェスト・オンラインで不正アクセス被害発生

　2008.10.10 時点で全面再開していたそうで。

弊社WEBサイト停止に関するご報告 (golfdigest.co.jp, 2008.10.17)

Microsoft 2008 年 8 月のセキュリティ情報

　ようやくスタンドアロン版の Microsoft Access Snapshot Viewer が登場。 MS08-041 - 緊急: Microsoft Access Snapshot Viewer の ActiveX コントロールの脆弱性により、リモートでコードが実行される (955617) を参照。

マイクロソフトセキュリティアドバイザリ (955179) Snapshot Viewer for Microsoft Access の ActiveX コントロールの脆弱性により、リモートでコードが実行される

■ Microsoft 2008 年 10 月のセキュリティ情報
(Microsoft, 2008.10.15)

　計 11 個。

MS08-056 - 警告: Microsoft Office の脆弱性により、情報の漏えいが起こる (957699)

　Office XP に欠陥。Content-Disposition: attachment が指定された場合には、その内容を処理せずダウンロードダイアログを表示しなければならない (KB260519) が、cdo: プロトコルハンドラではそのような処理がされていなかった。 CVE-2008-4020、 cdoプロトコルハンドラを利用したクロスサイトスクリプティング (葉っぱ日記, 2008.10.18)

　Exploitability Index (悪用可能性指標): 2

MS08-057 - 緊急: Microsoft Excel の脆弱性により、リモートでコードが実行される (956416)

　Excel 2000 / 2002 (XP) / 2003 / 2007、Excel Viewer 2003、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック、SharePoint Server 2007 (Standard 版を除く)、Office 2004 for Mac、Office 2008 for Mac、Open XML File Format Converter for Mac に 3 つの欠陥。

Excel のカレンダーオブジェクトの検証の脆弱性 - CVE-2008-3477、 iDefense Security Advisory 10.14.08: Microsoft Visual Basic for Applications - Multiple Vulnerabilities

VBA のパフォーマンスキャッシュの処理に複数の欠陥があり、攻略 Excel ファイルによって任意のコードを実行できる。この欠陥は Excel 2000 / 2002 (XP) / 2003 にのみ影響。

Exploitability Index (悪用可能性指標): 2
Excel のファイル形式の解析の脆弱性 - CVE-2008-3471、 ZDI-08-068: Microsoft Office Excel BIFF File Format Parsing Stack Overflow Vulnerability

Excel における Excel Binary Interchange File Format (BIFF) ファイルの処理に欠陥があり、攻略 BIFF ファイルを使って任意のコードを実行できる。関連: FILE: How to Create a BIFF5 File (Microsoft KB150447)

Exploitability Index (悪用可能性指標): 2
Excel の式解析の脆弱性 - CVE-2008-4019

Excel の REPT 関数において最大セル長の integer overflow が発生、攻略 Excel ファイルを使って任意のコードを実行できる。

Exploitability Index (悪用可能性指標): 1

MS08-058 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (956390)

　IE 5.01 / 6 / 7 に 6 つの欠陥。

ウィンドウロケーションプロパティのクロスドメインの脆弱性 - CVE-2008-2947

Exploitability Index (悪用可能性指標): N/A (既に攻略プログラムが存在)
HTML エレメントのクロスドメインの脆弱性 - CVE-2008-3472

Exploitability Index (悪用可能性指標): 1
イべント処理のクロスドメインの脆弱性 - CVE-2008-3473

Exploitability Index (悪用可能性指標): 1
クロスドメインの情報の漏えいの脆弱性 - CVE-2008-3474

Exploitability Index (悪用可能性指標): 3
初期化されていないメモリの破損の脆弱性 - CVE-2008-3475

Exploitability Index (悪用可能性指標): 2
HTML オブジェクトのメモリの破損の脆弱性 - CVE-2008-3476

Exploitability Index (悪用可能性指標): 3

　「緊急」なのは IE 5.01 / 6 のみ。IE 7 は最大でも「重要」。

　あと、MS08-058 patch に含まれる、セキュリティではない修正 (KB955832):

Internet Explorer 7 shows a password mask character that is too large for a password entry box on a Japanese Web site (Microsoft KB956609)。 IE7 では、パスワード入力時の伏字 (UNICODE 0x25cf) のフォントが、そのページの文字コードに基づくものになっていたために、パスワード入力欄と整合しない (大きすぎる) 場合があった。IE6 と同じ仕様 (どんなページでも Tahoma フォントを使う) に修正。
When you try to open a file by typing the URL location of the file, the application that opens the file may not start correctly (Microsoft KB954077)
Internet Explorer 7 で window.external プロパティを使用する Web アプリケーションを実行すると、エラーメッセージ "問題が発生したため、Internet Explorer を終了します" が表示される (Microsoft KB950066)
Internet Explorer 7 を使用して IFRAME 要素を含む Web ページにアクセスすると編集された IFRAME 要素のコンテンツが正しく表示されない (Microsoft KB943245)。今見れるのは rev.2.1 だが、MS08-058 patch に含まれている旨が記載されていない。
Taskkill.exe program stops responding when you try to end a process in an installation of Windows Vista that is running in audit mode (Microsoft KB954072)。関連: Windows を監査モードでカスタマイズする (Microsoft)
Some HTML nested table content does not render in Internet Explorer 7 (Microsoft KB956615)
Internet Explorer 7 で SHA512 ハッシュアルゴリズムを処理できない (Microsoft KB944937)

MS08-059 - 緊急: Host Integration Server の RPC サービスの脆弱性により、リモートでコードが実行される (956695)

　Host Integration Server 2000 / 2004 / 2006 に欠陥。SNA RPC サービスの認証を回避する方法が存在するため、remote から攻略 RPC リクエストを使って任意のコードを実行できる。 CVE-2008-3466、 Microsoft Host Integration Server 2006 Command Execution Vulnerability (iDefense)、 MS08-059 : Running Microsoft Host Integration Server 2006 as non-admin (Microsoft Security Vulnerability Research & Defense, 2008.10.14)

　Exploitability Index (悪用可能性指標): 1

MS08-060 - 緊急: Active Directory の脆弱性により、リモートでコードが実行される (957280)

　ドメインコントローラとして運用されている Windows 2000 Server に欠陥。 LDAP サービスに欠陥があり、remote から攻略 LDAP リクエストを使って任意のコードを実行できる。CVE-2008-4023

　Exploitability Index (悪用可能性指標): 2

MS08-061 - 重要: Windows カーネルの脆弱性により、特権が昇格される (954211)

　Windows 2000 / XP / Server 2003 / Vista / Server 2008 の kernel に 3 つの欠陥。

Windows カーネルのウィンドウ作成の脆弱性- CVE-2008-2250

Exploitability Index (悪用可能性指標): 1
Windows カーネルの例外未処理の脆弱性- CVE-2008-2251

Exploitability Index (悪用可能性指標): 3
Windows カーネルのメモリ破損の脆弱性- CVE-2008-2252

Exploitability Index (悪用可能性指標): 1

　いずれも、local user による権限上昇を招く。

　なお、この patch は Windows XP では 2 度インストールすることになる場合がある。詳細については KB954211 を参照。

　関連: MS08-061 : The case of the kernel mode double-fetch (Microsoft Security Vulnerability Research & Defense, 2008.10.14)

MS08-062 - 重要: Windows インターネット印刷サービスの脆弱性により、リモートでコードが実行される (953155)

　Windows 2000 / XP / Server 2003 / Vista / Server 2008 に欠陥。 Windows の IPP 実装 (IIS の ISAPI 機能拡張として機能する) に integer overflow する欠陥があり、remote の認証済みユーザが任意のコードを実行できる。 CVE-2008-1446

　Exploitability Index (悪用可能性指標): 1

MS08-063 - 重要: SMB の脆弱性により、リモートでコードが実行される (957095)

　Windows 2000 / XP / Server 2003 / Vista / Server 2008 に欠陥。 SMB プロトコルにおけるファイル名の扱いに欠陥があり、攻略 SMB パケットによって任意のコードを実行できる。ただし、この欠陥は「共有の種類がディスクの場合」にのみ発現するため、攻略の前段階として認証が必要になる (ただし guest ユーザでも攻撃可能)。 CVE-2008-4038

　Exploitability Index (悪用可能性指標): 2

MS08-064 - 重要: 仮想アドレス記述子の処理の脆弱性により、特権が昇格される (956841)

　Windows XP / Server 2003 / Vista / Server 2008 に欠陥。「メモリマネージャーがメモリの割り当ておよび仮想アドレス記述子 (VAD) を処理する方法に」欠陥があり、権限上昇を許す。 CVE-2008-4036

　Exploitability Index (悪用可能性指標): 2

MS08-065 - 重要: メッセージキューの脆弱性により、リモートでコードが実行される (951071)

　Windows 2000 に欠陥。Microsoft Message Queuing (MSMQ) サービスに欠陥があり、攻略 RPC リクエストによって任意のコードを local SYSTEM 権限で実行できる。 CVE-2008-3479、MS08-065 : Exploitable for remote code execution? (Microsoft Security Vulnerability Research & Defense, 2008.10.14)

　Exploitability Index (悪用可能性指標): 3

MS08-066 - 重要: Microsoft Ancillary Function ドライバーの脆弱性により、特権が昇格される (956803)

　Windows XP / Server 2003 に欠陥。Ancillary Function ドライバー (afd.sys) に欠陥があり、local user による権限上昇を招く。 CVE-2008-3464、MS Windows XP/2003 AFD.sys Privilege Escalation Exploit (K-plugin) (milw0rm)、 MS08-066 : Catching and fixing a ProbeForRead / ProbeForWrite bypass (Microsoft Security Vulnerability Research & Defense, 2008.10.14)

　Exploitability Index (悪用可能性指標): 1

　関連:

2008年10月のセキュリティリリースと Exploitability Index (悪用可能性指標) (日本のセキュリティチーム, 2008.10.15)
Monthly Security Bulletin Webcast Q&A - October, 2008 (MSRC blog, 2008.10.17)。これ、日本語に訳してほしいなぁ。

2008.10.24 追記:

　MS08-067 が緊急に追加公開されました。

MS08-067 - 緊急: Server サービスの脆弱性により、リモートでコードが実行される (958644)

　Windows 2000 / XP / Server 2003 / Vista / Server 2008 に欠陥。Server サービスに欠陥があり、攻略 RPC リクエストによって任意のコードを実行できる。 CVE-2008-4250

　Exploitability Index (悪用可能性指標): 1

　この欠陥を利用するウイルスが既に存在する。

TSPY_GIMMIV.A (トレンドマイクロ)
Spy-Agent.da、 Spy-Agent.da!bat、 Spy-Agent.da.dll (McAfee)
Trojan-Spy:W32/Gimmiv.A (F-Secure)

　関連:

2008年10月24日のセキュリティリリース (定例外) (日本のセキュリティチーム, 2008.10.24)
More detail about MS08-067, the out-of-band netapi32.dll security update (Microsoft Security Vulnerability Research & Defense, 2008.10.23)
MS08-067 Released (MSRC blog, 2008.10.23)
MS08-067 and the SDL (The Security Development Lifecycle, 2008.10.22)
memo ML: [memo:9539] [memo:9540] [memo:9541] [memo:9542] [memo:9543]
Windowsに緊急の脆弱性、パッチ提供後2時間で実証コードが登場　「悪用されやすい脆弱性」とセキュリティ専門家が警鐘 (ComputerWorld.jp, 2008.10.24)
MS Windows Server Service Code Execution PoC (MS08-067) (milw0rm)

2008.10.26 追記:

　MS08-067 つづき:

First Glimpse into MS08-067 Exploits In The Wild (McAfee blog, 2008.10.24)。これによると、 Spy-Agent.da が drop する Spy-Agent.da.dll (basesvc.dll) に MS08-067 攻撃コードが含まれているようで。 basesvc.dll という文字列は Spy-Agent.da にはないのだけれど、 WORM_GIMMIV.A (トレンドマイクロ) にはある。
A Closer Look at Gimmiv.A (ESET Threat Blog, 2008.10.24)

2008.10.28 追記:

　MS08-067 つづき。

Microsoft Windows Server サービスでの RPC によるコード実行 (ISSKK, 2008.10.28 改訂)
Most common questions that we've been asked regarding MS08-067 (Microsoft Security Vulnerability Research & Defense, 2008.10.25)
Update on MS08-067 (MSRC blog, 2008.10.26)
Out-Of-Band Security Bulletin Webcast Questions and Answers - MS08-067 (MSRC blog, 2008.10.27)
マイクロソフトセキュリティアドバイザリ (958963) Server サービスに影響を与える悪用コードの公開について (Microsoft, 2008.10.28)
Here's what has been going on with MS08-067 since Friday (F-Secure, 2008.10.27)
Microsoft Windows RPC Vulnerability MS08-067 (CVE-2008-4250) FAQ - October 2008 (securiteam blog, 2008.10.25)
MS08-067の悪用コード (Exploit) (日本のセキュリティチーム, 2008.10.28)

2008.10.31 追記:

　MS08-067 つづき。

Proof of Concept binaries for MS08-067 targeting english Windows OS's (F-Secure blog, 2008.10.31)

2008.11.04 追記:

　MS08-067 つづき。ついに来たようです。「準備できてる?」

TCP 445番ポートへのスキャン増加に関する注意喚起 (JPCERT/CC, 2008.11.04)
Worm Exploiting MS08-067 in the Wild (F-Secure blog, 2008.11.03)
Exploit-MS08-067、 W32/Wecorl、 KerBot (McAfee)
W32.Wecorl (Symantec)、 W32.Kernelbot.A (Symantec)

2008.11.05 追記:

　MS08-067 つづき。

WORM_KERBOT.A (Trendmicro)。たかさん情報ありがとうございます。
Troj/Kerbot-A (Sophos)
ushealthmart.com (Norton Safe Web Beta)。ウイルスリンクあり。中国ですか……。

2008.11.07 追記:

　MS08-067 つづき。

Latest on MS08-067 (MSRC blog, 2008.11.05)
脆弱性（MS08-067：CVE-2008-4250）を悪用したハッキングツールを確認 (トレンドマイクロセキュリティ blog, 2008.11.06)

2008.11.12 追記:

　MS08-067 つづき。

Hacker Tool Targeting MS08-067 Vulnerability (websense, 2008.11.11)。トレンドマイクロが報告していたものと同じ。
MS Windows Server Service Code Execution Exploit (MS08-067) (milw0rm)

2008.11.17 追記:

　MS08-067 つづき。

Exploit-MS08-067 Bundled in Commercial Malware Kit (McAfee blog, 2008.11.14)。トレンドマイクロや websense が報じていたものと同じ。
米マイクロソフトの緊急セキュリティ情報「MS08-067」について (日経 IT Pro, 2008.11.12)。First Glimpse into MS08-067 Exploits In The Wild (McAfee blog, 2008.10.24) の邦訳。
MS Windows Server Service Code Execution Exploit (MS08-067) (2k/2k3) (milw0rm)

2008.11.26 追記:

　MS08-067 つづき。

MS08-067 Vulnerability: Botnets Reloaded (trendmicro blog, 2008.11.25)
Further MS08-067 Woes (McAfee blog, 2008.11.25)

2008.11.28 追記:

　MS08-067 つづき。

ワームとMS08-067 (日本のセキュリティチーム, 2008.11.28)
Windowsの「緊急」脆弱性を突くウイルスが続出、PCを乗っ取られる恐れ (日経 IT Pro, 2008.11.26)
Windowsの脆弱性を突く新たなインターネットワームが拡大 (日経 IT Pro, 2008.11.27)
脆弱性（MS08-067：CVE-2008-4250）を悪用したワームの流通を確認 (トレンドマイクロセキュリティ blog, 2008.11.27)

2008.12.05 追記:

　MS08-066 patch には、Checkpoint ZoneAlarm Pro 6.5.645.000～7.0.482.000 などと不整合を起こす問題があったそうなのですが、 KB958752 patch を適用することでこの問題に対応できるそうです。もっとも、ZoneAlarm Pro 7.0.483.00 以降を利用することでも対応できるそうですが。

Older ZoneAlarm apps, MS08-066 (KB956803) & loss of connection (microsoft.public.internetexplorer.general)
MS08-066 Microsoft Ancillary Function ドライバの脆弱性により、特権が昇格される (Microsoft KB956803)

2008.12.08 追記:

　MS08-067 つづき。

Creating MS08-067 Exploits (F-Secure blog, 2008.12.05)

2008.12.18 追記:

　MS08-067 を突くワームが企業内ネットワークで流行った事例がいくつか出たらしい。

ブラスター型ウイルスが企業LANで猛威、5日間で200件近くの被害報告 (日経 IT Pro, 2008.12.17)
企業狙った「Blaster」を彷彿させる攻撃、「MS08-067」脆弱性で (Internet Watch, 2008.12.18)。企業を狙ったわけではないだろうと思うが……。

2009.04.18 追記:

　How Conficker makes use of MS08-067? (milw0rm, 2009.04.14)

2009.11.07 追記:

　関連:

Windowsの「緊急」脆弱性を突くウイルスが猛威、数百万台が感染の恐れ　シマンテックが調査、感染パソコンの過半数はWindows XPのSP1以前 (日経 IT Pro, 2009.01.07)
企業ネットワークに広がるワームに関する警告 (F-Secure, 2009.01.08)
MS08-067 Worm, Downadup/Conflicker (F-Secure blog, 2009.01.08)
More Than One Million New Infections (F-Secure blog, 2009.01.14)。この時点での全世界での感染台数は 3,521,230 台だそうで、「一日で 100 万台増えた」そうです。
Conficker.B (日本のセキュリティチーム, 2009.01.14)
Conficker Worm using Metasploit payload to spread (McAfee blog, 2009.01.15)
系譜から探る深刻度が増した「WORM_DOWNAD」 (トレンドマイクロセキュリティ blog, 2009.01.20)
Where is Downadup? (F-Secure blog, 2009.01.23)
コンピューターウイルス：警視庁の端末が感染　一部業務に支障 (毎日, 2009.01.24)
Conficker(Downadup)ワームに関するまとめ (日本のセキュリティチーム, 2009.01.24)
「最悪の事態はこれから」？不気味に急拡大する「Downadup」ワーム (Enterprise Watch, 2009.01.26)
Conficker/Downadup Scanning (SANS ISC, 2009.01.26)
Conficker - Re-Booted from Windows Embedded (SANS ISC, 2009.01.27)。 Windows Embedded な機械への Conficker 感染が広がっている模様。
Is it Time for Internetpol? (F-Secure blog, 2009.01.27)
Confickerワームの改良版が登場――現行の対策が無力化するおそれも (ComputerWorld.jp, 2009.02.23)
「Downadup」ワームのUPnPを使った攻撃 (日経 IT Pro, 2009.02.24)
Windowsの脆弱性悪用ウイルスに亜種、「自動更新機能」を備える (日経 IT Pro, 2009.02.24)
自動再生 (Autorun) & Excel 0-day (日本のセキュリティチーム, 2009.02.25)
Conficker.C (Downadup) (日本のセキュリティチーム, 2009.02.27)
東大病院でシステム障害、ワーム「DOWNAD.AD」が1000台以上に感染 (Internet Watch, 2009.03.03)
大阪府羽曳野市役所でウイルス感染、約40時間後に7割復旧 (日経 IT Pro, 2009.03.04)
「4月1日にConfickerが凶暴化」はデマ、便乗ウイルスには注意　セキュリティ企業や組織が警告、元凶は「マスコミの誇張」 (日経 PC Online, 2009.04.01)
世界のパソコンの4％がConfickerに感染，IBMのセキュリティ部門が推測 (日経 IT Pro, 2009.04.06)
【Weekly Threat Info】海外記事をナナメ読み：Downad/Conficker の新たな亜種はP2P通信で拡散 (トレンドマイクロセキュリティ blog, 2009.04.10)
マンチェスター市役所がConfickerワームで240万ドルの実害を被る (ZDNet, 2009.07.03)
Addendum to SRI's Conficker C Analysis Published (SANS ISC, 2009.09.25)
DOWNAD/Conficker Turns 1yr (trendmicro blog, 2009.11.04)

■ 2008.10.19

》 MSバルマー氏：「Windows 7を待つのもよい」--企業のVista導入見送りに対し (ZDNet, 10/17)

ZDNetのLarry Dignanの記事によると、Ballmer氏は「待ちたいならば待ってもよいだろう」と述べたという。「しかし私なら絶対にVistaを導入する」と同氏は述べた。

　今日 (昨日の深夜) のケータイ大喜利 (NHK) のお題に『サラリーマン川柳ならぬ「セレブ川柳」とは？』というのがあった (傑作揃いで大爆笑) のだが、「私なら絶対Vistaを導入する」は立派に「セレブ川柳」のような気が。
》＜主張＞野田聖子氏に消費者行政担当相の資格無し（発言を議事録で検討） (情報紙「ストレイ・ドッグ」(山岡俊介取材メモ), 10/19)

だが、はるかに問題なのは同記事にも書かれている96年４月、野田委員（当時）が衆院商工委員会で行った発言の内容だ。野田大臣は先手を打ち、「勉強不足だった」「業界擁護ということではなかった」などと言い訳している。だが、この96年４月といえば、さらにマルチ商法（連鎖販売取引）の規制を強化すべく訪問販売法改正が審議されていたまさに渦中の時期で、同委員会はその専門。しかも当時、最大手だった日本アムウェイは、実態はマルチ商法であるにも拘わらず、そうでないと主張し、マルチ商法に見合った書面を交付せず、規制逃れを行っていた。
》世界人権宣言の翻訳にみる自民党政府の人権意識の徹底的な希薄さ（怒）！ (情報流通促進計画 by ヤメ記者弁護士（ヤメ蚊）, 10/19)。日本の死刑・代用監獄に批判相次ぐ　国連規約人権委審査 (asahi.com, 10/17) の件。

　先日、ウィーンで「市民的および政治的権利規約人権委員会」による日本の人権状況に関する審査が１０年ぶりに行われた。多くのメディアは正確に報道していないが、本来、この審査は、５年ごとに行われるべきものだった。ところが、日本政府の怠慢で、５年間も遅れて、１０年ぶりの審査となった。なぜ、メディアはまず、そのことをきちんと報道しないのか。世界的には非常に恥ずかしいことだと思う。
　人権というと、すぐに、中国や北朝鮮よりはましだ、などという反応が返ってくるが、国連の人権に関する審査を５年間も先延ばしにする国の市民が吐けるせりふとは到底思えない。
　内容的にも、死刑についていえば、政府は国民感情から廃止できないと言い訳を述べた。人権委員会のメンバーは、「国民感情が死刑に反対するはずがないし、それを待っていたら死刑は廃止できない」という趣旨の発言をした。
　そう、人権とは、多数派から疎外される者について、考えなければならないことだ。多数派の人権はある意味、いつでも尊重されている。多数派でない者が多数派でないことによって、その権利が侵害されることを防ぐために、人権規定はある。そういう基本的なことすら、理解できていない日本政府の代表団に、委員はいらだちの色を隠さなかったという。
》日本の裁判所は壊れている、警視庁公安部の権力乱用にお咎めなし (JANJAN, 10/14)
》ビルマ方面
- 新国連安保理　理事国　日本の責任：流血の弾圧から１年　ビルマの軍事政権はまだ安泰だ (JANJAN, 10/18)
- いとうせいこう、沢知恵がビルマの軍事政権にＮＯをつきつける (JANJAN, 10/19)
》高知白バイ冤罪事件方面
- 高知白バイ事件―冤罪に手を貸す大マスコミ？ (JANJAN, 10/16)
- 高知白バイ事件・片岡さん一家にカンパを！ (JANJAN, 10/16)、片岡晴彦さんを支援する会HP
- 高知白バイ事件・最後の質問も門前払い (JANJAN, 10/19)
》中山前大臣は本質暴露モンスターか (保坂展人のどこどこ日記, 10/19)、だれやみ日記：一体どこまで　／宮崎 (毎日, 10/19)
》元朝日新聞記者が自らの表現の自由が侵害されたとして提訴～内部的自由確保の第1歩か？ (情報流通促進計画 by ヤメ記者弁護士（ヤメ蚊）, 10/18)
》自衛隊集団暴行事件に続き新入隊員暴行事件発覚するも大きく展開しないメディア (情報流通促進計画 by ヤメ記者弁護士（ヤメ蚊）, 10/17)
》 FBI、おとり捜査でオンライン犯罪者56人を一気に逮捕　 2,500人の会員を抱える闇サイト「DarkMarket」に潜入 (ComputerWorld.jp, 10/17)
》英国ではハードディスクの暗号化キーの黙秘は法律違反 (slashdot.jp, 10/18)

■ 2008.10.18

■ 追記

アドビシステムズ、 Adobe Flash Player 10の提供を開始

　バージョン番号が 2 桁になったせいで、各地でワッショイになっているようです。

Websites call Flash 10 "too old" (adobe.com, 2008.09.23)
Flash Player 10とバージョン判定 (水無月ばけらのえび日記, 2008.10.18)

■ 2008.10.17

》伊藤忠など日韓7社、ブラジル資源会社株の40％を30億ドルで取得 (ロイター, 10/17)。鉄の話。おめでとうございます。

新日本製鉄やＪＦＥホールディングスなど日本の鉄鋼大手５社と伊藤忠商事、韓国の鉄鋼大手ポスコは共同で、ブラジルの鉄鋼大手ＣＳＮから資源子会社ナミザ社株式の４０％を３１億２０００万ドル（約３１２０億円）で取得すると正式に発表した。資源大手の寡占化が進み、資源価格が高騰する中、鉄鋼主原料の安定調達を図る。

　関連: 世界の鉄鋼業再編とブラジルにおける攻防 (桜井敏浩 / bizpoint.com.br, 2007.11.21)
》 More McAfee Snakeoil Ranting (ha.ckers.org, 10/10)。Hacker Safe ねたみたい。
》 HashTab Windows Shell Extension (Beeblebrox.org)。 version 2.1.1 で日本語ダイアログが出るようになった模様。
》 IME 2007 変換精度、学習機能を改善した修正プログラムのご案内 (Microsoft)
》プレス発表　「第4回IPA情報セキュリティ標語・ポスター」の入選作品決定 (IPA, 10/17)
》介護保険料、自治体の６割「余剰」　利用見込み下回る (asahi.com, 10/17)。あら……。
》自転車で「当たり屋」、３３都府県で２００件の荒稼ぎ (読売, 10/17)。これはデマではないようです。
》警視庁：匿名携帯の規制強化　ＳＩＭカード譲渡禁止へ (毎日, 10/17)
》バイト代を大聖堂に寄付　落書きの京産大生３人 (中日, 10/17)
》３法科大学院は「不適合」と判定　山梨学院、東海、京都産業 (中日, 10/17)
》野田聖子議員とマルチ (アムウェイ)
- 野田・消費者行政担当相：パーティー券、アムウェイ１６万円分購入 (毎日, 10/17)
- 野田消費者相のパーティー、日本アムウェイが券購入 (asahi.com, 10/17)
- 野田消費者相のパーティー券、マルチ商法業者が購入 (読売, 10/17)。読売はなぜか「アムウェイ」の名前を出してませんね。
- 野田聖子じゃ、消費者庁は作れない (悪徳商法？マニアックスココログ支店, 10/17)
》「テロ防止目的のデータ・マイニングは意味をなさない」――米国学術研究会議が指摘 (ComputerWorld.jp, 10/15)
》韓国で、告訴なしに捜査処罰できる「サイバー侮辱罪」が成立か？ (情報流通促進計画 by ヤメ記者弁護士（ヤメ蚊）, 10/13)。「チェ・ジンシル法」話かな。
- 「チェ・ジンシル法」に待った！　遺族が実名使用の中止求める (朝鮮日報, 10/7)。あら。
- 「サイバー侮辱罪」の新設に与野党間で意見対立 (中央日報, 10/7)
- 韓国当局、悪質書き込みを集中取り締まり　「サイバー侮辱罪」の早期成立図る (産経 / ITmedia, 10/7)
- サイバー侮辱罪、2つの質問に答えよ　メディア行動、インターネット・メディアと文化にふさわしい制度改善を要求 (レイバーネット, 10/6)
- 「MBは頭が悪い」は刑事処罰されるほどの誹謗中傷か? ［コラム］サイバー侮辱罪はインターネット版「不敬罪」 (レイバーネット, 10/7)
》システム開発をめぐる法律問題［10］制度の特徴を考慮して紛争解決手段を選択する (日経 IT Pro, 10/14)
》固定ID問題が相変わらず問題にされない。。。 (まるちゃんの情報セキュリティ気まぐれ日記, 10/11)
》犯罪組織RBN死すとも，悪人は死せず (日経 IT Pro, 10/14)
》 UTMに頼り切ったセキュリティ設計は危険　プロキシ・サーバーを組み合わせた“多層防御”が必要 (日経 IT Pro, 10/14)
》マルウェア対策研究人材育成ワークショップ 2008 (日本のセキュリティチーム (Japan Security Team), 10/14)
》 SecuniaのCTO、エクスプロイト検出率比較調査の真意を説明 (Internet Watch, 10/17)。Internet Watch 独自取材なのかな。

　また、ほとんどの場合、セキュリティスイートはユーザーの役に立つものであり、それが役に立たないことを示すのがテストの目的ではなかったとしている。むしろ、セキュリティスイートには、攻撃を防ぐ点で欠点があること、セキュリティスイートに頼るよりも適切にパッチを当てることの方が効果的だということを示すことにあったという。

　USB メモリ感染型ウイルスなんてのも流行っているので、「セキュリティスイートに頼るよりも適切にパッチを当てることの方が効果的」が常に真なわけではないんだよなあ。

もしウイルス対策ベンダーが、(中略) パッチなしにシステムを保護することが本当にできるなら、

　そんなことができるなんて誰も言ってないと思いますけど……。

　あ、Microsoft も文句言ってました: Understanding Test Results for Security Solutions (Windows Live OneCare Team Blog, 10/15)。高橋さん情報ありがとうございます。

　前ねた
》経済産業省と財務省、Hynix製DRAMに対する相殺関税廃止を検討 (PC Watch, 10/16)
》 ATM 特別警戒中
- ＡＴＭ警戒で22件の振り込め被害阻止 (ニッカンスポーツ, 10/17)。10/15 の集中警戒の成果。
- 「振り込め」撲滅月間なのに…警官の目前で被害１６件 (読売, 10/17)。世の中甘くない。
  
  　ところが、１４日までの２週間で９４件の被害が発生し、約１億７０００万円がだまし取られたことがわかった。先月の同時期の１３８件（被害額約２億１５００万円）と比べると減少しているものの、撲滅にはほど遠い状況となっている。
  　このため同庁で急きょ、被害状況を分析したところ、被害が集中するとみていた無人ＡＴＭやコンビニエンスストアでの被害は想定より少なく、被害の全体の７割は行員などがいる金融機関のＡＴＭから振り込まれていたことが判明。さらに、１６件は警察官が常駐していたＡＴＭだったほか、金融機関の行員などがＡＴＭのそばにいながら被害を食い止められなかったケースも３５件（被害額４０００万円）に上っていた。
》日本の死刑・代用監獄に批判相次ぐ　国連規約人権委審査 (asahi.com, 10/17)。日本の常識は世界の非常識。

警察の留置場を拘置所代わりに使う代用監獄制度については、委員が「取り調べが長時間になる一方、弁護士との接見が限られる事態を招く」と指摘。日本政府は「廃止すれば、日本の刑事司法制度の利点の基盤が損なわれる」と答えた。

　「刑事司法制度の利点」 = 「冤罪つくり放題」。

　関連: 国連総長：「死刑執行停止を、廃止はすう勢」総会に報告書 (毎日, 10/17)
》中山前国交相：衆院選「やっぱり不出馬」古賀氏が調整拒否 (毎日, 10/17)
》 Biosafety Laboratories: Perimeter Security Assessment of the Nation's Five BSL-4 Laboratories (US GAO, 9/17)。15 項目の物理セキュリティチェックリストの全てがチェックされているのは、5 つある BSL-4 研究施設の内、たった 1 つ。ぐぐったら、Inspection Checklist for BSL-4 Laboratories (selectagents.gov) なんてのも出てきましたけど……。関連: Table 1. BSL-4 Laboratories in the United States (upmc-biosecurity.org)。

　日本では、BSL-4 クラスの施設が「国立感染症研究所村山分室」と「理化学研究所」にあるものの、前者は近隣住民の反対で BSL-4 としてはいまだに稼働できていない、後者は「遺伝子組みかえ体の研究」のためのものなのでウイルスは扱わない、のだそうで。そもそも BSL-4 に「近隣住民」がいるのが問題だと思うのだが……。
- BSL-4 施設を必要とする新興感染症対策 (jst.go.jp, 2006)。今年度に報告が出るのかな。
- 我が国におけるP４施設の設置に関する当センターの見解 (バイオハザード予防市民センター, 2006.11.15)
》グラフィカルなネットワーク・スキャナー、Umit (sourceforge.jp, 10/15)。nmap の GUI。
》田母神空幕長ら自衛隊トップら７人に政治献金疑惑　自衛隊法違反か (情報流通促進計画 by ヤメ記者弁護士（ヤメ蚊）, 10/15)
》「情報セキュリティ実践トレーニング 2008 Autumn」の募集を開始しました！ (Eiji James Yoshidaの記録, 10/15)。2008.11.17～21 (ネットワークセキュリティコース) / 2008.11.24～28 (Windowsセキュリティコース)、神奈川県横浜市、各コースともに一般受講者 189,000円。年齢制限あり (満20歳以上)。あなたが学生なら、「奨学受講者 (10,500円)」として扱ってもらえるかもしれない。
》「SPNセキュリティ技術解説セミナー」が応募締切間近！！！ (Eiji James Yoshidaの記録, 10/15)。2008.10.25、東京都渋谷区、3,000円。
》 IPSC 2008: 第1回セキュリティ・プライバシー国際会議。 2008.11.11～12、東京都千代田区、大学・研究機関 (非営利) 20,000円 / 会員 30,000円 / 非会員 40,000円。
》グーグルは交通法規も平気で無視する (高木浩光＠自宅の日記, 10/15)
》日本政府のメディアコントロールが中国政府並みであることを示す格好の例 (情報流通促進計画 by ヤメ記者弁護士（ヤメ蚊）, 10/16)。三井環氏ねた。
》「年金記録」の「310万廃棄事故」に関する質問主意書 (保坂展人のどこどこ日記, 10/16)
》殺害された女性の息子がサイトを作り、10年前の殺人犯が逮捕される (gigazine, 10/17)

■ 追記

クリックジャッキング：研究者が複数のブラウザに対する新たな脅威について警告

　Flash Player については、Flash Player 10 で対応されたそうで。

　あと、関連:

Clickjacking (McAfee blog, 2008.10.15)。個人的には、この説明↓がいちばんわかりやすかった。

To explain this, let's use an example. You have a web page A controlled by an attacker. A contains an element B. In a clickjack attack, B would be set to transparent and the z-index property of the layer set to higher than other elements of page A via CSS. B will also need to be so big so that the user can click it's content. The attacker can then place any button to do anything he wants in B. Then the attacker can place some buttons on page A. The location of the buttons in B must match the buttons in A. So when the user clicks on a button on page A, they are actually clicking the button in B because the z-index property of B's buttons are higher than A's buttons. This attack uses DHTML, does not require Javascript, so disabling Javascript will not help.
Clickjacking Details (ha.ckers.org, 2008.10.07)。まだ直ってないとされている項目もいろいろあるようで。

Source to generic clickjacking code available here.

この generic clickjacking code には Flash は使われていないように見える。
Malicious camera spying using ClickJacking (GUYA.NET, 2008.10.07)。こちらは Flash を使う例なのかな。
ユーザのクリックを乗っ取る「クリックジャック」 (slashdot.jp, 2008.09.27)、 CSS + Flash (slashdot.jp, 2008.09.27)
AdobeやNoScriptからクリックジャッキング対策発表される (slashdot.jp, 2008.10.13)。generic というのは、browser generic ということなのでは。IE でも Firefox でも Opera でも動くよ、という感じ。 MS-DOS generic という言い方、昔はよく使ったけどな。
これも関連かなあ: Ending Expressions (IEBlog, 2008.10.16)。IE8 standards mode では CSS expression をサポートしないことにした話。

マイクロソフトセキュリティアドバイザリ (951306) Windows の脆弱性により、特権の昇格が行われる

　関連:

Questions about Microsoft Security Advisory 951306 (MSRC blog, 2008.10.13)
Service isolation explanation (Microsoft Security Vulnerability Research & Defense, 2008.10.13)

■ いろいろ (2008.10.17)
(various)

JVNDB-2008-000068: hisa_cart における情報漏洩の脆弱性 (JVN, 2008.10.17)。 CVE-2008-4635
JVNDB-2008-000072: Movable Type におけるクロスサイトスクリプティングの脆弱性 (JVN, 2008.10.17)、 [重要] セキュリティアップデート Movable Type 4.22 の提供を開始 (movabletype.jp, 2008.10.15)。 CVE-2008-4634
APSA08-09: Potential vulnerability in Flash CS3 Professional (Adobe, 2008.10.15)。Mac 版にはこの欠陥はない。また Flash CS4 にはこの欠陥はない。回避方法も対応方法も書かれていない。 Adobe 的には「Flash CS4 にアップデートしてね」ということなのか。 CVE-2008-4473。

2008.10.27 追記:

　APSA08-09 日本語版: APSA08-09: Flash CS3 Professionalの潜在的な脆弱性 (Adobe)

2008.12.04 追記:

　JVNDB-2008-000072: Movable Type におけるクロスサイトスクリプティングの脆弱性 (JVN, 2008.10.17) ですが、Movable Type 4.22 では直り切っていなかったようで、4.23 が出ています。

[重要] セキュリティアップデート Movable Type 4.23 の提供を開始 (movabletype.jp, 2008.12.03)
JVN#81490697: Movable Type におけるクロスサイトスクリプティングの脆弱性

■ 2008.10.16

》男性型脱毛症を引き起こす遺伝的変異発見 (slashdot.jp, 10/15)
》自作マルウェアでID・パスワードを盗み、販売して100万円稼いだ高校生が逮捕・追送検 (slashdot.jp, 10/16)
》中山前国交相：やっぱり出る…引退撤回、次期衆院選出馬へ (毎日, 10/16)。宮崎１区、迷走中。
》鹿児島県警：パトカー内で少女とみだらな行為…巡査を逮捕 (毎日, 10/16)。勤務中にパトカー内で少女と……ですか。
》民主党は、前田議員だけがマルチなわけではない模様
- 民主パーティ券、マルチ業界が購入　議員複数に献金も (asahi.com, 10/15)
  
  前田議員らによる業界支援の議員連盟に参加していたのは、山岡賢次・党国会対策委員長＝比例北関東＝ら同党国会議員６人と当時無所属の参院議員。 (中略) 議連名誉会長だった石井一参院議員（比例）も、代表を務める党参議院比例区第８総支部に０７年に５０万円の献金を受けた。
  
  あらら、別件でも話題の山岡議員ですか。 ★080930 複数板「山岡国対委員長不祥事、問題発言集」マルチポスト報告 (2ch.net)
- これが小沢民主党のアキレス腱という「マルチ商法」議連（山岡賢治・前田雄吉・牧義夫・松木謙公）の献金疑惑～週刊新潮10月16日号より (マスコミに騙されるな！, 10/15)
　前田議員はというと、民主党を去るようで: 民主・前田議員が公認辞退　小沢代表、記者会見で発表 (asahi.com, 10/16)

　関連:
- 野田消費者相「マルチ擁護の質問した」　勉強不足と釈明 (asahi.com, 10/16)
- 野田聖子氏：マルチ擁護の質問した…「告白」で審議迷走 (毎日, 10/17)
- 民主、パーティー券代返金へ　マルチ商法団体に (asahi.com, 10/16)。2004 年の分。
》ついにXbox360の故障率の高さでマイクロソフトが集団訴訟を提起される (gigazine, 10/16)。手元の奴は幸いなことに問題なく稼働しているけど。さて、今日もバルドルと一緒にぽちっとな………………あれ?

　レッドリングキターーーーーーーーーーーーーーーーーーー (T_T)。Xbox 360 本体の保証プログラムについて (xbox.com) に従って対応しなきゃ。とりあえずここからメールを出してみた。関連: Xbox 360: リングライトのクアドラント 3 か所が赤く点滅する (Microsoft KB907534)
》グアンタナモをぶちこわせ！ TEAR IT DOWN! オンラインアクション (アムネスティ・インターナショナル日本)
》「Office 2003 SP2」のサポート終了、SP3へのアップグレードを　セキュリティ更新プログラムは2008年10月分が最後、今後は提供されない (日経 PC Online, 10/15)
》実はバスター侍（ウイルスバスター2009）も速かった！ (パソコントラブル出張修理・サポート日記, 10/15)

バスター侍に関して言えば、ウチの非力なノートパソコンでは、2008に比べると、2009は、通常利用時のもたつきを感じるようになりました。
どうやらアイドル時にせっせとスキャンを実行しているらしく、そこがもたつきの原因となっているように思えます。
》教員用コンピュータ整備率と成績 (Okumura's Blog, 10/14)
》 McAfee Security Journal Released! (McAfee blog, 10/14)
》 B-CAS見直し議論、具体化へ (ITmedia, 10/15)。カスはとっとと捨てて下さい。
》 Google、ドイツの著作権侵害訴訟で敗訴 (slashdot.jp, 10/15)。Google のみなさんおめでとうございます。
》園児の農園を大阪府が強制収用…第２京阪名道路建設で (読売, 10/16)。道路がいちばん大事ですか。
》日経平均株価、スターリン暴落を上回る歴史的暴落。たった 2 日でこれですか。
- 東京株急落９０００円割れ　１０００円超安に (asahi.com, 10/16)
- 【金融危機】東京株１６日終値、１０８９円０２銭安 (産経 MSN, 10/16)
- 世界同時株安：再び　東証一時９９５円安、ＮＹ７３３ドル暴落‐‐景気減速懸念 (毎日, 10/16)、東証：終値も１０００円超下落　８４５８円４５銭 (毎日, 10/16)
- ＦＲＢ：バーナンキ議長、景気先行きに悲観見通し (毎日, 10/16)
- 東京円：ドル売られ一時９９円 (毎日, 10/16)。対ユーロも円高だそうで。
- ＜カバーストーリー＞冷え込む世界景気…溶鉱炉も冷たく (中央日報, 10/16)
　関連: デンソーがマツダ株購入検討 (asahi.com, 10/16)
》米国連邦控訴裁、クアルコム製チップ搭載の携帯端末に対する輸入禁止命令を無効と判断　特許侵害訴訟を巡って係争中のブロードコムは上訴の構え (ComputerWorld.jp, 10/15)
》復旧せよ！偽セキュリティソフト被害端末 (トレンドマイクロセキュリティ blog, 10/15)。にせアンチウイルス話。

　ところで、トレンドマイクロのパターンファイル 5.599.00 で、Sun Java 2 SE に含まれる jusched.exe を TROJ_FAKEAV.MCS と誤検出していたようですね。おかげで、世界のそこかしこで「復旧せよ！偽セキュリティソフト誤検出被害端末」ということになっていた模様です。chiichan さん、まっちゃさん情報ありがとうございます。
- 自宅からの夕焼け　【追記あり】　[街角] (写真とコンピュータウイルスｅｔｃ, 10/15)
- 5.599.00においてJavaをTROJ_FAKEAV.MCSとして誤検知しています。5.601.00にて対応済み (まっちゃだいふくの日記, 10/15)
- ウイルスパターンファイル 5.599.00における誤警告情報 (トレンドマイクロ, 10/16)
》システム復旧ソフトに感染するウイルス「Robot Dog」 (日経 IT Pro, 10/14)。原題は「Robot Dog: Recovery Software Penetrating Virus」なので、『システム復旧ソフトを突き抜けるウイルス「Robot Dog」』という感じか。記事を読んだ限りでは、システム復旧ソフト自身に感染しているわけではないみたい。

我々が調べたところ，Robot Dogはシステム復旧ソフトを無効化するために，以下のような手口を使っていた。
（1）「harddisk0」の最初のフィルタ・デバイスを削除
（2）5種類の特別なリクエストだけに反応するよう「device\atapi」を設定
（3）ウイルス対策ソフトのリアルタイム監視機能を無効化するようシステム用サービスのアドレスが格納してあるテーブル「System Service Descriptor Table（SSDT）」を復旧
》「Black Hat Japan 2008」お疲れ様でした (葉っぱ日記, 10/15)
》書籍「PHP×携帯サイトデベロッパーズバイブル」の脆弱性 (徳丸浩の日記, 10/14)

「7-4-2 携帯サイトでのセッション管理」と「7-5 かんたんログインを実装する」が問題である。(中略) URLにセッションIDを付与した場合のセキュリティ上の注意点が抜けている。(中略) ケータイのゲートウェイからのIPアドレスのみアクセスできるように限定しなければならないのだが、その説明が抜けている。

　間違っている、というよりは、記述が足りない、ということみたい。
》 PAMを利用したGNU/Linuxのセキュリティ管理 (sourceforge.jp, 10/16)
》大前研一：世界に広がるチャイナフリーの動き (日経 BP, 10/15)。途中からソースコード開示話に。
》 Wikipediaで特定の国会議員に関する不都合な記述が一斉削除、編集は衆議院内部から (gigazine, 10/16)。マルチねた。当事者が自分で燃料を投下しているのかな。
》届出状況2008Q2 (水無月ばけらのえび日記, 10/15)

これは、とあるセキュリティ系の会社で使われていた Movable Type が古いまま放置されていて脆弱だったという話なのですが、DNSサーバをアップデートしていないのも同じことだと思うのですよね。

　DNS キャッシュポイズニング話は、単に「DNSサーバをアップデート」すれば対応できるわけではない場合がありますから。
》コンテナ型仮想化データセンター、日本販売開始 (Sun, 10/15)。Sun Modular Datacenter の件。資料ダウンロード・キャンペーン中だそうで。
》グリーン電力を景気対策の本命に (日経 IT Pro, 10/16)

■ ノートン・オンゴーイングプロテクションに注意
(amazon.co.jp, 2008.09.19)

　Norton Internet Security 2009 (amazon.co.jp) を発注しようとしてアクセスしたら、カスタマー・レビューで「ノートン・オンゴーイングプロテクションに注意」と言っている人がいる。

パッケージ版を購入して１年後にサービス期限延長になる人と、ダウンロード版を購入した人は本当に気をつけた方がいいです。「ノートン・オンゴーイングプロテクション」とは、パソコンからノートンをアンインストールしようが、他社セキュリティソフトに乗り換えようが、パソコンを使わなくなろうが、おかまいなく「毎年更新料をクレジット引き落としし続けますよ」ということですから。
サービス更新時にそういうシステムに同意したことにされてしまうようなので、必ず「ノートン・オンゴーイングプロテクション」を解除するようにしましょう。

　うへぇ。

もっとも、解除の方法はシマンテック社のサイトにはどこにも説明がないので、更新時期に送られて来るメールにしかアドレスが載ってないかもしれません。いずれにせよ、このシステムはユーザーの信頼を損なった以外の何ものでもありません。

　なんじゃそりゃ、と思って「更新サービス期限自動延長（ノートン・オートマチックリニューアルサービス）について」 (シマンテック) を見ると、確かに解除方法はどこにも書かれていない……。何これ……。実際には、自動延長サービスの停止フォーム (シマンテック) から実行できるようです。「ノートン・オンゴーイングプロテクション」でぐぐると、「他のキーワード: ノートンオンゴーイングプロテクション詐欺ノートンオンゴーイングプロテクション解約」と出てくるのも、なかなかすごいものがありますね……。

　トラブル事例は枚挙にいとまがないようで:

シマンテック　ノートン・オンゴーイングプロテクション（自動延長） (マーケティグリサーチャーnew_griffonのミニコラム, 2007.12.31)。長大なコメントあり。気になったコメント:

マカフィーにも自動延長のシステムがあるようで、ネット検索した限りでは、過去にわたくし共と同じ事例が見受けられます。

これか: 契約したサービスの自動更新とは？ (マカフィー)、マカフィーの自動更新契約を解除（解約）する時のお問合せ方法 (マカフィー)
ノートン、これは詐欺でしょう？ (オリーブのALMERIA脱出計画, 1/18)。長大なコメントあり。
ノートン・オンゴーイングプロテクション　キャンセルまでの道のり１ (雪山通信, 7/3)、ノートン・オンゴーイングプロテクション　キャンセルまでの道のり２ (雪山通信, 7/3)。だからと言って「ウイルスセキュリティ ZERO」に移るのは、個人的には勧められないが。
ノートン・オンゴーイングプロテクションへの怒り (かんちゃんのストレスをぶちまける場所, 8/3)
★シマンテックノートン★自動引き落とし詐欺★ (2ch.net)

　シマンテックのサポセンの対応もひどいなあ。これでは、いくら性能がよくても人に勧められないよ……。

■ Oracle Critical Patch Update Advisory - October 2008
(Oracle, 2008.10.14)

　Oracle 2008.10 版出ています。データベースソフトだけではなく、Oracle WebLogic Server や Oracle Workshop for WebLogic の修正も含まれていますので注意。

■ 追記

アドビシステムズ、 Adobe Flash Player 10の提供を開始

　APSB08-18 が公開されました。APSA08-08 も改訂されてます。

APSB08-18: Flash Player update available to address security vulnerabilities (Adobe, 2008.10.15)
Flash Player workaround available for "Clickjacking" issue (Adobe, 2008.10.15 改訂)
Understanding the security changes in Flash Player 10 (Adobe, 2008.10.15)。読んでおくべきなんだろうなぁ。
Flash Player 10 has launched! (Emmy Huang, 2008.10.15)

　Flash Player 10 では、Clickjacking の他にも、クリップボードの件など複数の欠陥に対応されているそうです。

■ CORE-2008-1010: VLC media player XSPF Memory Corruption
(CORE Security Technologies, 2008.10.15)

　VLC media player 0.9.2 (以前?) に欠陥。XSPF プレイリストファイルの扱いに欠陥があり、メモリ破壊が発生。攻略 XSPF ファイルを使って任意のコードを実行できる。

　VLC media player 0.9.3 以降で修正されている。最新版は 0.9.4。

■ 2008.10.15

》北朝鮮・中国からの攻撃により、韓国では 4 年で 13 万件の政府資料が流出
- 北、中国からハッカー攻撃…韓国政府資料１３万件が流出 (中央日報, 10/15)
- 韓国政府の資料13万件、北朝鮮・中国に流出 (朝鮮日報, 10/15)
》ネットエージェント、外部ストレージからの情報漏洩を防ぐ「USB関所守」 (マイコミジャーナル, 10/15)。「関所!」宇宙刑事シャリバンは 1 ミリ秒で関所を完了する。ではそのプロセスをもう一度見てみよう……あれ?
》民主・前田議員、脱税マルチ企業から講演料６０万円 (asahi.com, 10/15)
》山谷剛史のマンスリー・チャイナネット事件簿 2008年9月 (Internet Watch, 10/15)
》中国製粒あんからトルエン、女性に健康被害　茨城・常総 (asahi.com, 10/15)。回収指示が出ている、マルワ食品が中国から輸入したものだった模様。関連: 《当社輸入の中国製「餡（あん）」の回収について》 (マルワ食品, 10/7)
》中国、今度は「ホルムアルデヒドの鮎」 (東亜日報, 10/15)
》さらにニチレイの「冷凍インゲン」(中国産)
- 農薬：中国産冷凍インゲンから基準の３万倍　女性一時入院 (毎日, 10/15)
- 農薬：ニチレイフーズ社長謝罪　「管理は徹底」 (毎日, 10/15)
- 農薬：インゲン袋異常なし　混入場所を捜査 (毎日, 10/15)
  
  輸入業者によると、中国の農場や製造工場ではジクロルボスを保管、使用していないという。警視庁は毒物混入事件の可能性もあるとみて捜査を始めた。
  
  ギョーザ事件と同じような展開だなあ……。
- 農薬：中国「模範基地」に衝撃　冷凍インゲン輸出 (毎日, 10/15)
- 冷凍インゲン、包装に穴なし　「揮発性のにおい」 (asahi.com, 10/15)
  
  　一方、問題の冷凍インゲンを販売していたイトーヨーカドー南大沢店の井出文典店長（５５）は、ジクロルボスが検出された冷凍インゲンを、女性宅から回収したもので確認。「完全に異常だった。例えるなら揮発性のにおい。マジック（油性フェルトペン）のようなシンナーのようなにおいがした」と繰り返した。
  
  「においを嗅いでみる」が重要か。
  
  　東京都は、「残留農薬ならせいぜい１ｐｐｍ程度」であることから「故意か重大な過失で混入された」との見立てを示した。純粋なジクロルボスは石油臭がしないため、研究用の試薬ではなく一般に流通しているものが混入したと考えられるという。
- 検査４度くぐる　農薬冷凍インゲン　異常検出されず (asahi.com, 10/15)
- 会見の模様:
  - 【中国製インゲン】ジクロルボス保管、使用「ございません」ニチレイフーズ会見（１） (産経 MSN, 10/15)
  - 【中国製インゲン】「これだけの高濃度考えられない」ニチレイフーズ会見（２） (産経 MSN, 10/15)
  - 【中国製インゲン】「中国との取り引きやめない」ニチレイフーズ会見（３）完 (産経 MSN, 10/15)
》 Secuniaのセキュリティソフト比較調査に、ベンダー2社が異議 (Internet Watch, 10/15)。Panda もあわせると 3 社ですな。
- Exploits vs Antivirus - The Last Stand (Panda Research Blog, 10/14)。「正しい」テストをしていれば「Panda: 1.59%」にはならんやろ話。実際には 56% は検出・阻止できる模様。
- Testing Internet Security Suites: More Questions than Answers… (ESET Threat Blog, 10/14)
- Another useless test grabs headlines (Sunbelt blog, 10/14)
　前ねた、つづき
》 ASUS製ノートPCのリカバリDVDに機密資料やシリアルキークラックツールが混入 (slashdot.jp, 9/19) なんて話もあったんですね。
》ブラッディ・マンデイ (TBS)。期待して見てしまったのが大間違い。何この「24」の劣化コピー。脚本ダメ演出ダメのダメダメづくし。予算が 2 ケタか 3 ケタ違うことはわかるけれど、脚本や演出はセンスの問題だからなあ。主演の人がけっこういい味出してるのが惜しい。
》受注拒否を始めた「世界の工場」 (日経ビジネス, 10/14)
》 Russia official blasts "secretive" UN-NATO deal (Yahoo news, 10/9)。言ってることが3者3様で笑えますね。こんな感じ?

ロシア「そんな話聞いてねーぞ」
国連「あんたに言う必要ねぇし」
NATO「あれ? この前ちゃんと話しておいたよね?」

　山口さん情報ありがとうございます。まぁ、潘基文・国連事務総長が西寄りなのは今にはじまったことじゃないと思いますけどね。

■ アドビシステムズ、 Adobe Flash Player 10の提供を開始
(Adobe, 2008.10.15)

　こんなことが書かれています。

よりセキュアな環境をFlash Player 内で実現するためにFlash Player 10では、様々な新機能や拡張機能が提供されるほかに、Flash Playerの現在の動作が一部変更されます。この変更に伴って、セキュリティルールがより厳格になり、そのルールに準拠するために既存のコンテンツの更新が必要になる場合があります。また、セキュリティルールの変更に伴って、以前は使用できなかった機能や制限されていた機能にアクセスできる場合もあります。以下のAdobe Developer Connection の記事を確認の上、更新を行うことで、既存コンテンツがセキュアな環境で、正しく動くことが確認できます。

Flash Player 9およびFlash Player 10ベータのポリシーファイル変更点への対応
http://www.adobe.com/jp/devnet/flashplayer/articles/fplayer9-10_security.html

2008.10.16 追記:

　APSB08-18 が公開されました。APSA08-08 も改訂されてます。

APSB08-18: Flash Player update available to address security vulnerabilities (Adobe, 2008.10.15)

CVE-2008-4503 CVE-2007-6243 CVE-2007-4324 CVE-2008-3873 CVE-2008-4401
Flash Player workaround available for "Clickjacking" issue (Adobe, 2008.10.15 改訂)
Understanding the security changes in Flash Player 10 (Adobe, 2008.10.15)。読んでおくべきなんだろうなぁ。
Flash Player 10 has launched! (Emmy Huang, 2008.10.15)

　Flash Player 10 では、Clickjacking の他にも、クリップボードの件など複数の欠陥に対応されているそうです。

2008.10.19 追記:

　バージョン番号が 2 桁になったせいで、各地でワッショイになっているようです。

Websites call Flash 10 "too old" (adobe.com, 2008.09.23)
Flash Player 10とバージョン判定 (水無月ばけらのえび日記, 2008.10.18)

2008.11.07 追記:

　Flash Player 9.0.151.0 が公開されました。 Flash Player 10.0.12.36 / 9.0.151.0 に共通して修正されている欠陥が複数あるそうです。

APSB08-20: Flash Player update available to address security vulnerabilities (Adobe)
- XSS 欠陥の修正。 CVE-2008-4818
- DNS rebinding 攻撃を補助してしまえる状況の緩和。 CVE-2008-4819
- HTML インジェクション欠陥を阻止するよう、ActionScipt 属性をより厳密に実行するようにした。 CVE-2008-4823
- ポリシーファイルの処理において、非ルートドメインポリシーのバイパスを招く状況を阻止。CVE-2008-4822
- Mozilla における Flash Playe の jar: プロトコルの処理が情報漏洩を招く状況を阻止。CVE-2008-4821

　Flash Player ダウンロード (Adobe)。ただし、推奨されているのは Flash Player 10.0.12.36 への移行。

2008.11.18 追記:

　Flash Player 10.0.12.36 / 9.0.151.0 には CVE-2008-4824 という欠陥もあったのだそうです。この欠陥は AIR 1.1 以前にもあり、AIR 1.5 のリリースによって修正されるまで公開されませんでした。

APSB08-22 : Additional disclosure of security vulnerabilities fixed in Flash Player 10.0.12.36 and Flash Player 9.0.151.0 (Adobe, 2008.11.17)
APSB08-23 : AIR update available to address security vulnerabilities (Adobe, 2008.11.17)

■ SYM08-017: シマンテックのデバイスドライバにローカルでの特権昇格の脆弱性
(シマンテック, 2008.10.07)

　Norton 360 2.0 以前, Norton Ghost 14 以前, Norton Save and Restore 2.0 以前, Backup Exec System Recovery 6.x / 7.x / 8.x, Symantec LiveState Recovery に欠陥。これらに含まれる GEARAspiWDM.Sys に欠陥があり、local user が SYSTEM 権限を奪取できる。CVE-2008-3636

　Norton 360 は LiveUpdate すればよい。その他のソフトについては、http://www.gearsoftware.com/support/drivers.cfm から最新のドライバを入手しインストールする。

■ マイクロソフトセキュリティアドバイザリ (956391) ActiveX の Kill Bit の累積的なセキュリティ更新プログラム
(Microsoft, 2008.10.15)

　killbit ねた新作。

System Requirements Lab ActiveX コンポーネント (systemrequirementslab.com)
Download Helper ActiveX Control バージョン 7.2.0.19 (microgaming.com)
PhotoStockPlus Uploader Tool バージョン 1.0 (photostockplus.com)

■ Microsoft Exploitability Index (悪用可能性指標)
(Microsoft, 2008.10.14)

　3 種類。

安定した悪用コードの可能性
不安定な悪用コードの可能性
機能する見込みのない悪用コード

　あくまで安定するかどうかだけなのだけど、安定しないものよりも安定するものの方が開発は容易で効果的なのでしょう。

■ 追記

nVIDIAのGPUで大規模なリコール、生産工程に不具合が発生か？

　関連:

HP Pavilion Notebook PC dv2405とdv6205で発生する障害の対応について (HP)

HP Pavilion Notebook PC dv2405とdv6205で「障害内容」に記載する障害が発生した場合、製品購入後24か月以内であれば、該当製品のシステムボードを無料で修理交換いたします。

英語版: HP Limited Warranty Service Enhancement (HP)
MacBook Pro：ビデオ画像が歪む、またはビデオが表示されない問題 (Apple, 2008.10.10)

お使いの MacBook Pro に搭載されている NVIDIA グラフィックプロセッサに不具合が見られる場合、またはご購入いただいてから 2 年以内に不具合が発生した場合は、MacBook Pro の保証期間終了後も無償で修理いたします。

■ [SA32226] CUPS Multiple Vulnerabilities
(secunia, 2008.10.11)

　CUPS < 1.3.9 に複数の欠陥。

HP-GL/2 フィルタにおけるペン番号のレンジチェックが不十分。 CVE-2008-3641
SGI 画像ファイルリーダにおける Run Length Encoded (RLE) データのレンジチェックが不十分。CVE-2008-3639、 Multiple Vendor CUPS SGI imagetops Heap Overflow Vulnerability (iDefense)
テキストフィルタにおける cpi, lpi, column のレンジチェックが不十分。 CVE-2008-3640、 Multiple Vendor CUPS texttops Integer Overflow Vulnerability (iDefense)

　CUPS 1.3.9 で修正されている。

■ Security Notice for CA ARCserve Backup
(CA, 2008.10.09)

　CA ARCserve Backup r11.1 / r11.5 / r12.0 Windows, CA Server Protection Suite r2 などに 4 つの欠陥。

CVE-2008-4397。RPC でディレクトリトラバーサル穴、remote から任意のコマンドを実行可能。関連: CA BrightStor ARCServe BackUp Message Engine Remote Command Injection Vulnerability
CVE-2008-4398。tape engine サービスにおける検証に欠陥、crash できる。
CVE-2008-4399。database engine サービスにおける検証に欠陥、crash できる。
CVE-2008-4400。認証クレデンシャルの検証に欠陥、複数のサービスを crash できる。

　patch があるので適用すればいいみたい (typo fixed: iida さん感謝)。なお、この欠陥は ARCserve Backup r12.0 Windows SP1 にはない。

■ About Security Update 2008-007
(Apple, 2008.10.10)

　Mac OS X 10.4.11 / 10.5.5 用の Security Update 2008-007 登場。例によっていろいろ直っているのですが、なんじゃこりゃ……

Postfix
CVE-ID: CVE-2008-3646
Available for: Mac OS X v10.5.5
Impact: A remote attacker may be able to send mail directly to local users
Description: An issue exists in the Postfix configuration files. For a period of one minute after a local command-line tool sends mail, postfix is accessible from the network. During this time, a remote entity who could connect to the SMTP port may send mail to local users and otherwise use the SMTP protocol. This issue does not cause the system to be an open mail relay. This issue is addressed by modifying the Postfix configuration to prevent SMTP connections from remote machines. This issue does not affect systems prior to Mac OS X v10.5 and does not affect Mac OS X Server. Credit to Pelle Johansson for reporting this issue.

　わけわかめな設定がされていたということなのか? 手元に Mac OS X 10.5 がないのでよくわからんなあ。

　高橋さん情報ありがとうございます。

■ 2008.10.14

》風呂用玩具刺さり女児２人重軽傷　３０万個リコール (asahi.com, 10/14)、弊社商品「メルちゃんシリーズの『メルちゃんのバスタブ』」自主回収・交換のお知らせ (パイロットインキ, 10/14)
》米GA社、大型無人偵察機「スカイウォリアー」の自動離着陸実験に成功 (technobahn, 10/14)
》前田議員、業務停止命令のマルチ業者に講演料返還せず (asahi.com, 10/14)。山口さん情報ありがとうございます。

民主党の前田雄吉衆院議員（４８）＝比例東海＝ (中略) は一連の国会質問で「ごく一部の悪質業者は厳格に取り締まるべきだ」と繰り返しながら、自身は問題業者からの資金提供を放置していた格好だ。

　つづき: 民主・前田議員、予告した記者会見予定を中止 (asahi.com, 10/14)、前田議員の行為、小沢氏「非常に不適切」　けじめを示唆 (asahi.com, 10/14)
》 ASUSのEeePCに新たなウイルス混入発覚、今度は付属の外付けHDDに (gigazine, 10/14)。1匹見つけたら 30匹は……

　関連: Eee Boxのウイルスは工場で混入、対策ソフトで検知できず (Internet Watch, 10/14)
》１５人と格闘、隊員死亡　海自、集団暴行の疑いで調査 (asahi.com, 10/13)、海自隊員死亡　１５人対戦の半ばで棒立ち、それでも続行 (asahi.com, 10/14)。なんだか、死のぶつかり稽古を彷彿とさせる話だなあ。
》 AVTokyo 2008 終了 (てっしーの丸出し, 10/13)。おつかれさまでした。そのあたりの時間、私は遠藤響子さんの素敵な歌声に酔いまくっていたのですが。10/16 は東京ですね。
》オリコン訴訟、高裁での烏賀陽側提出資料公表 (SLAPP WATCH, 10/7)
》堀江貴文vs立花隆・日経BP裁判、地裁判決その後 (SLAPP WATCH, 10/10)
》 Diggのゆくえ (sourceforge.jp, 10/13)

それよりも重要だと思われるのは、Diggのコンテンツが、一般的なイメージと異なり、実際にはごく少数のユーザによって半ば恣意的にコントロールされていたのではないか、ということだ。
》「ＳＴＯＰ！架空請求！」を騙る偽サイトの件は本当に偽サイト (崎山伸夫のBlog, 10/12)。「アンチウイルス」でぐぐるとにせアンチウイルスソフトなサイトが出てくる、みたいな話か。
》日教組票と学力 (Okumura's Blog, 10/11)、日教組票と学力：補遺 (Okumura's Blog, 10/13)
》 Cracking CAPTCHA: Another Russian Business (McAfee blog, 10/10)。商売、商売。
》ソフトウエア等の脆弱性関連情報に関する届出状況 [2008年第3四半期（7月～9月）] (IPA, 10/14)、DNSキャッシュポイズニングの脆弱性、届出が急増、IPAまとめ (Internet Watch, 10/14)

　2008年第3四半期はウェブサイトの脆弱性の届出が509件で、届出件数が突出して激増しました。これは、2008年8月からDNS キャッシュポイズニングの脆弱性の届出が激増しているためです。全てのウェブサイト運営者は早急な調査と対策実施が必要です。(中略)
　2008年第3四半期は、ソフトウェア製品に関しては37件の取扱いが終了(*2)しましたが、届出が55件あったため、取扱い中は18件増加して累計337件となりました。ウェブサイトに関しては161件の取扱いが終了(*3)しましたが、届出が509件あったため、取扱い中が348件増加して累計698件となりました。

　DNS 毒入れの件は「ウェブサイトの脆弱性」として取り扱われているのですね。
》東証急騰、終値１１７１円高　過去最高の上昇率 (asahi.com, 10/14)。とりあえず底は打った? それでもまだ 10,000 円割れですから。
》「鳥取砂丘条例」が成立　全国初の落書き禁止、罰則も (asahi.com, 10/14)
》 Symantecのエクスプロイト検出率は他社の約10倍、Secuniaがテスト　それでも8割は見逃す (Internet Watch, 10/14)。そもそもそういうルールを書いていないベンダーがほとんどでしょうから。

　つづき
》一瞬にして無線LANのWEPを解読する方法がついに登場、まもなく解読プログラムを公開予定] (gigazine, 10/13)、一般的な環境で10秒でWEPを解読できる手法が登場 (slashdot.jp, 10/14)。まぁ、ずいぶん前から WEP は終っているわけですが、 WDS (Wireless Distribution System; いわゆる「リピーター機能」) が必要なので WPA2 に移れない場面があるんだよな……。

Dynamically assigned and rotated encryption keys are usually not supported in a WDS connection. This means that dynamic Wi-Fi Protected Access (WPA) and other dynamic key assignment technology in most cases can not be used, though WPA using pre-shared keys is possible. This is due to the lack of standardization in this field, which may be resolved with the upcoming 802.11s standard. As a result only static WEP or WPA keys may be used in a WDS connection, including any STAs that associate to a WDS repeating AP.

　802.11s ですか。関連: IEEE 802.11sメッシュネットワークとは (ITmedia, 9/24)
》 A Shock to the System (ESET Threat Blog, 10/10)。「システムの復元」の有効・無効で、見かけ上のアプリケーションサイズが変わる話。

So the true size of an ESET Smart Security installation, as shown by the results with System Restore turned off, is less than half the size of the Symantec installation. However, since Norton Internet Security 2009 bypasses Microsoft Windows' System Restore feature so that no Restore Point is created (unless the user creates a restore point manually), there's no way to tell this from the Passmark report.
(中略)
We're not suggesting intentional malpractice here, of course. But as far as we know, Norton Internet Security 2009 is the only product out of the ten tested against benchmark #7 (installation size)in the Passmark test that bypasses System Restore. So the fair and accurate way of running this particular test would have been to disable System Restore on the test system for every vendor tested. (Or to create a Restore Point manually for Norton Internet Security 2009, which on Vista would increase its size to 445MB.)

　Norton 2009 は「復元ポイント」が作成されるのを回避するのだそうで。それはそれで嬉しくないような。

　ところで、上記ブログの元ねたは Antivirus, Internet Security and Total Security Products Performance Benchmarking: Vista/Dual Core Hardware (Passmark Software, 2008.09) というものです。Norton 2008 と Norton 2009 の差を比較できるのが興味深い。Norton 2009 は、軽さでは定評のある ESET に肩を並べるくらいに軽いのですね。常駐メモリ使用量 (の低さ) やウイルス検索速度は他の製品と明らかに違う数値だなぁ。トレンドマイクロやマカフィーの 2009 は、残念ながら評価対象になっていません。
》今度は速いぞノートン先生！ (パソコントラブル出張修理・サポート日記, 10/3)。Norton 2009、やっぱり速いようですね。「Norton インサイト」が強力なのかな。
》気象のプロと地域の人の“感覚”の融合で予測不能なゲリラ雷雨の捕捉に成功～今夏における東京都のゲリラ雷雨発生回数は172回、事前捕捉率は76.7％～ (ウェザーニューズ, 10/6)
》韓国経済話。山口さん情報ありがとうございます。
- 経済レビュー・経常収支からみた韓国経済の課題 (三菱東京 UFJ 銀行, 4/15)
- ８月の経常収支が過去最悪に、４７億ドルの赤字 (聯合ニュース, 9/30)
  
  　経常収支は昨年１２月（赤字８億１０００万ドル）から今年５月まで６カ月連続で赤字を計上した後、６月には１８億２０００万ドルの黒字に転じたが、７月に再び２５億３０００万ドルの赤字を出し、８月には赤字幅が拡大した。今年の累計赤字は８月までで１２５億９０００万ドルに膨らんだ。
- ウォンは「ウォン安ドル高」。
  - ‘為替パニック’…韓国だけがなぜ？ (中央日報, 9/30)
  - ６年半ぶりのウォン安ドル高水準 (中央日報, 10/7)
  - ウォン、５日ぶりに上昇 (中央日報, 10/10)。「一時１４８５ウォンまで下がったウォンは外為当局が市場に介入して上昇に転じた」のが 10/10 の状況。
  - 対ドル相場71ウォン急騰、10年7か月来の上げ幅 (YONHAP NEWS / Yahoo, 10/13)。10/13 は 1ドル＝1238.00ウォン。
  - ドル - ウォンレート: 180 日グラフ、 30 日グラフ (exchange-rates.org)
  - ウォン相場、通貨危機当時の乱高下に酷似 (朝鮮日報, 10/13)
  ユーロも「ユーロ安ドル高」みたいですけどね。外為チャート: ユーロ／米ドル (Infoseek)
  
  あと、こんなのも: ＜金融危機＞人民元高でウォン買い支え？在住の韓国人―中国 (Record China / Yahoo, 10/12)
- ローンスター問題?
  - コラム(Our World) No.586 アメリカ流の法解釈 (ビル・トッテン, 2003.08.08)
  - 米英の資金が脱韓国ラッシュ…原因はローンスター問題? (朝鮮日報, 2006.10.01)
  - 英HSBC、韓国外換銀行の過半数株式取得へ (IBTIMES, 2007.08.20)
    
    　KEBの売却を巡っては、ローンスターが2003年にKEBを買収した際の不正に関する疑惑が、売却の障害となってきた。
    　ソウル裁判所は、2003年にローンスターがKEBのクレジットカード部門を低い価格で買収するために株価を不正操作したとの申し立てを調査している。同社はKEBの買収を容易にするために財務体質を過小評価することにも関与したとされている。
    　ローンスターは不正行為に関して一貫して否定している。
    　疑惑を巡る調査の影響で、ローンスターは昨年に韓国の国民銀行との間で合意していたKEBの過半数株式を売却する契約を解除せざるを得なくなった。
    　ローンスターのKEB買収と、それに続く売却の試みは韓国内で大きな批判を生んだ。韓国では外国ファンドに対する警戒が根強く、経営危機に陥った国内企業を標的にして短期間で利益を稼ぎ出すことを目的にしているとみなされている。
  - 株価操作：ローンスターに有罪判決 (朝鮮日報, 2/2)、ローンスター有罪判決、衝撃走るウォール街　外国人の投資心理を委縮させる可能性も (朝鮮日報, 2/2)、ローンスター有罪判決、外国メディアが大きく報道 (朝鮮日報, 2/4)。一審は有罪。
  - ローンスター[LS.UL]、東京国税局から約140億円の申告漏れの指摘受ける (ロイター, 3/31)
    
    ローンスターは、韓国でも銀行を買収しているが、韓国の国税当局との間でも課税について問題を起こしており、「ローンスターはアジアでのビジネスが岐路に差し掛かっているようだ」（投資銀行関係者）との指摘も出ている。
  - 米ローンスター、韓国高裁が外換カード株価操作疑惑に無罪判決 (ロイター, 6/24)、外換カード株価操作：ローンスター代表に逆転無罪 (朝鮮日報, 6/25)。一審は有罪、二審は無罪。今三審目をやっている最中の模様。
  - 「韓国は投資環境の開放が不十分」国家競争力強化委エルドン顧問が指摘 (朝鮮日報, 7/31)
  - 米ローンスター、ＫＥＢ株売却めぐり韓国政府を提訴も (ロイター, 9/5)
    
    　ローンスターは２００７年９月、ＫＥＢの発行済み株式５１％を英銀行大手ＨＳＢＣ(HSBA.L: 株価, 企業情報, レポート) (0005.HK: 株価, 企業情報, レポート)に６３億ドルで売却することで合意していた。
    　しかし、政府がローンスターの韓国事業の法律上の不透明性を理由にＫＥＢ株の売却承認を遅らせるなか、ＨＳＢＣのオファーは７月３１日に失効した。
  - HSBC、外換銀買収を断念 (朝鮮日報, 9/20)、外換銀買収：HSBCが放棄、米金融機関に関心か (朝鮮日報, 9/20)、【社説】外換銀の売却遅延、経済の負担とならぬように (朝鮮日報, 9/20)
    
    　2006年から始まった外換銀行の安値売却問題以降、韓国を訪れる外国人投資家の数はめっきり減ってしまった。2007年の外国人直接投資（FDI）は前年に比べて7%も減り、今年に入っても第2四半期にかけて投資額が大きく減少した。外換銀行をこのまま放置していては外資の誘致を妨げるのはもちろん、韓国経済全体にとってさらに大きな負担になってくるということだ。
    　これまでHSBC以外にも国民銀行やハナ銀行など、韓国の複数の金融機関も外換銀行の買収に関心を示してきたが、これには韓国政府が反対した。韓国の銀行がローンスターに資金を支払って外換銀行を買収すれば、国富が海外に流出しまう、というのがその理由だった。政府は今や韓国の金融機関に対しても、制限なしに外換銀行の買収競争に参加できるよう道を開く必要がある。ローンスターも捜査や裁判には積極的に協力し、韓国国民に表明した社会発展基金への寄付の約束も忘れてはならない。

■ 追記

[SA31342] Trend Micro OfficeScan Server "cgiRecvFile.exe" Buffer Overflow: 　アラート/アドバイザリ：ウイルスバスターコーポレートエディション・ウイルスバスタービジネスセキュリティのCGIモジュールにおけるバッファオーバーフローの脆弱性について (トレンドマイクロ, 2008.09.30 更新)。10/7 付で、ウイルスバスタービジネスセキュリティ 3.0 と Trend Micro Client/Server Security 2.0 用の patch も出たようです。

■ 2008.10.10

》 Wizard Bible vol.43 (2008,10,6) (wizardbible.org, 10/6)
》緊急FAQ――米国金融危機でITワーカーはどうなる？ (ComputerWorld.jp, 10/7)
》増え続けるスパムブログの現状は　ライブドアが検索に新技術、9割排除 (ITmedia, 10/10)
》楽天メールマガジン情報漏洩の話・その後 (水無月ばけらのえび日記, 10/7)
》「Firefox 3.1」もプライバシー・モード機能を搭載、Chrome/IE 8に対抗へ (ComputerWorld.jp, 10/10)。よいことです。
》東証終値、８２７６円　５年４カ月ぶり９０００円割れ (asahi.com, 10/10)。映画「U・ボート」の、深度計をふり切ってもなお沈降を続けるシーンを思い出した。いつになったら着底するのか。

　関連:
- 株価暴落：欧州は１０％以上　一時パニック売りも (毎日, 10/10)。いまどきの株取引って実は大半はコンピュータ (エキスパートシステム) がやってるはずなんだけど、そいつらって、これほどの状況にきちんと対応できているのか?
- 株価暴落：「大恐慌ではないか」…広がる動揺 (毎日, 10/10)
- 市場自体を閉鎖せざるを得ない国家が出る状況。そのおかげか、ロシアは持ちなおしたみたいだけど。
  - インドネシア、株式市場再開は13日以降に (日経, 10/10)
  - 【米金融危機】ロシア株式市場暴落、２日間閉鎖 (産経 MSN, 10/8)
  - 9日のロシア市場、世界株安の中で反発　MICEX指数9.8%高、RTS指数10.91%高 (ibtimes, 10/10)
- 「東証暴落８０００円台」と「麻生論文の解散予告」 (保坂展人のどこどこ日記, 10/10)
》シマンテックがメールセキュリティ製品をブランド統一、SMB市場の競争力強化へ (Enterprise Watch, 10/9)。Brightmail で統一。
》「ストリートビュー」法規制検討を、町田市議会が政府などに要請 (Internet Watch, 10/10)、町田市議会がストリートビューに対する意見書を賛成多数で採択 (slashdot.jp, 10/11)
》中国人とインターネットの関係＜後編＞インターネットのキラーサービスの過去と現在 (Internet Watch, 10/10)
》セキュリティソフトベンダーがゲーマーにセキュリティ啓発 (Internet Watch, 10/10)。東京ゲームショウ2008ねた。

11日と12日にはブース内でアンケートを実施し、回答した先着500人に「しょこたんオリジナルタンブラー」か、影山ヒロノブが歌う「ノートンファイターテーマソングCD」をプレゼントする。

　影山ヒロノブ……。
》 BlackHat Japan 2008 方面 (てっしーの丸出し, 10/10)
》 AVTokyo 2008 まであと1日 (てっしーの丸出し, 10/10)。「ベーゼンのある散歩道」遠藤響子ユニット special live (おんがくのまち　かこがわ) まであと 1 日。

　10/11 には、上野の森　菌類のふしぎ展もはじまるそうで。もやしもん状態。
》「写真削除には応じていない」とロケーションビュー (山崎潤一郎, 10/9)。削除しないのは、削除しなければならないようなものはそもそも公開していないはずだから。

結論から言うと、「写真削除には応じていない」（中山氏）そうだ。
同サービスを開始する際、顔のボカシ等、個人情報やプライバシーの保護の仕組み、また、カメラの視点の高さ、解像度、など十分に検討した上で、法律家等の意見も踏まえ、「問題なしと判断して開始したサービス」（中山氏）というのがその理由。
(中略)
ちなみに、これまで「２件の削除依頼に応じているが、その２件とも私道だったから」で「公道上から撮影した写真の削除例はない」（中山氏）という。

　なるほど。

楠さんの「ストビューの先にあるもの」を読んでいると、 (中略) なんて、とんでもなく便利なサービスが出てくることが予言されてるけど、その一方で、僕みたいな人間からすると、「気持ち悪さ」に拍車がかかるのは必至で、どうなってしまうのか想像もつかない。

　既に The Transparent Society (David Brin / WIRED, 1996.12) で描かれていると思いますけど…… (日本語訳は WIRED 28 号にあるのかな)。より詳細なバージョンが The Transparent Society: Will Technology Force us to Choose Between Privacy and Freedom? (davidbrin.com, 1999.06) になるのかな。日本語版がほしいなあ。

　この話はもともと「ガイア―母なる地球」の 1 シーンがオリジナルだし、最近の作品では「キルン・ピープル」にも関連するシーンが出てきますね。
》中山信弘先生の講演を聞いてきました (栗原潔のテクノロジー時評Ver2, 10/7)。

ここでサマリーを書こうかと思いましたが、津田大介さんがTwitter上でかなりの再現度で実況をされていますので、ご興味ある方は津田さんのタイムラインを参照ください。

　http://twitter.com/tsuda より:

中山「フェアユースを導入するということの意味は、何をしていいかということを官が決めるのではなく、行為者自らがこれはフェアであると信じていることをやったときに、そこを司法が判断するということ。これは事前規制から事後規制という大きな時代に沿っている」 ... 03:09 AM October 07, 2008 from twhirl
中山「フェアユースが導入されても、フェアな使い道がどうかは、自己のリスクで勝ち取らなければならないもの。単に導入されただけでは多くの事例が合法になるということではない」 ... 03:10 AM October 07, 2008 from twhirl
(中略)
中山「企業、裁判官、弁護士すべてがフェアユースが持つ社会的価値を十分に理解し、それを活用する気概を持たなければならない」 ... 03:24 AM October 07, 2008 from twhirl
中山「フェアユースは本来は来年国会で通るはずだったが、最近文化庁の歩みが遅くなってきており、来年の通常国会で成立するか怪しい状況になってきた。何とかして導入させたい」 ... 03:24 AM October 07, 2008 from twhirl

　あと、このあたり:

原「録画ネットなども含め、僕の経験からすると、裁判官は信頼できない。なぜ裁判官を信頼できるのか」 ... 03:33 AM October 07, 2008 from twhirl
中山「規定がなければ裁判官はそうならざるをえない。制限規定がないから擁護しようがない。ここの裁判官は実際に悩んでいる。そこにフェアユースを投げ込んでやれば、状況も変わってくるのではないか。裁判官を啓蒙していくこともやっていかなければならない。米国も最初は悩んだだろう」 ... 03:35 AM October 07, 2008 from twhirl
中山「米国もベータマックス裁判はとても裁判官が割れたケース。裁判官は悩む必要がある」 03:35 AM October 07, 2008 from twhirl

　それからカラオケ方面:

太田黒「カラオケ法理で権利侵害認められること多いけど、フェアユースで変わるか」 04:27 AM October 07, 2008 from twhirl
中山「そういう期待はある。カラオケ法理はカラオケ法理そのものが悪いわけではなく、あれをどんどん拡張させちゃったところ。私は問題だと思っているが、裁判官はどんどん拡張させている。フェアユースできることでその拡張に歯止めかかることを期待している」 ... 04:27 AM October 07, 2008 from twhirl

　というわけで、国会はとっととフェアユースを認めなさい。 (その前に文化庁の役人か……)
》 After a user is deleted from a role in the Authorization Manager in an Active Directory domain environment, the user can still unexpectedly access that role from a Windows Vista-based or Windows Server 2008-based client computer (Microsoft KB954902)
》 Good reading and a malware challenge (SANS ISC, 10/7)
- As the Net Churns: Fast-Flux Botnet Observations (honeyblog.org, 9/5)
- Reverse-Engineering Cheat Sheet (zeltser.com)
- Malware Challenge。訓練場。
》 IT業務処理統制は誰が識別すべきか。。。 (まるちゃんの情報セキュリティ気まぐれ日記, 10/10)
》 Day 9 - Identification: Log and Audit Analysis (SANS ISC, 10/9)。 Detecting Attacks on Web Applications from Log Files (SANS ISC, 1/26) が紹介されている。OWASP Top Ten 2007 を検出する例が掲載されている。
》「通常使うプリンタ」が…え？ (パソコントラブル出張修理・サポート日記, 10/9)。一瞬にして Change ですか。Microsoft はオバマ候補を支持しているのかな。
》今まさに瓦解する市場原理主義 (日経 BP, 10/6)
》 IPアドレス管理業務に必要な電子証明書発行開始のお知らせ (JPNIC, 9/29)

■ いろいろ (2008.10.10)
(various)

Cisco Security Advisory: Authentication Bypass in Cisco Unity (Cisco, 2008.10.08)。CVE-2008-3814
JVN#30732239: Apache Tomcat において権限のないクライアントからのリクエストが実行されてしまう脆弱性 (JVN, 2008.10.10)。 CVE-2008-3271。 Tomcat 4.1.32 (2006.07.04) / 5.5.1 (2004.09.07) で修正されている。なんだかずいぶん古い話みたいですけど、なぜ今頃……。

■ Watch that .htaccess file on your web site
(SANS ISC, 2008.10.09)

　にせアンチウイルス売場への誘導所にありがちな内容の例。.htaccess に気をつけませう。

■ 追記

マイクロソフトセキュリティアドバイザリ (951306) Windows の脆弱性により、特権の昇格が行われる: 　英語版アドバイザリが改訂されています。PoC が公開されたそうです。日本語版アドバイザリもそのうち改訂されるでしょう。

　参照: Token Kidnapping Windows 2003 PoC exploit (No More Root, 2008.10.07)

■ マイクロソフトセキュリティ情報の事前通知 - 2008 年 10 月
(Microsoft, 2008.10.10)

　今月は盛りだくさん。緊急 x 4、重要 x 6、警告 x 1。 IE や Excel の修正 (どちらも緊急) も含まれています。

　こんなページがあったのか:

Software Update Services および Windows Server Update Services におけるコンテンツの変更について (2008 年) (Microsoft KB894199)
New, Revised, and Rereleased Updates for Microsoft Products Other Than Microsoft Windows (Microsoft)、 Updates from Past Months for Windows Server Update Services (Microsoft)

■ 2008.10.09

》ガラス固化体試験再開へ (asahi.com, 10/9)。 3 か月中断していた、六ケ所再処理工場のガラス固化体製造試験が再開される模様。
》番組問い合わせに「自民党のＰＲです」、ＮＨＫが処分 (読売, 10/9)。単なる正直な発言なんじゃないの?
》芦森工業：消防用ホース検定時、サンプルをすり替え (毎日, 10/9)、芦森工業が謝罪会見　消防ホース検定不正 (asahi.com, 10/9)。最大手メーカー「芦森工業」が 20 年も前から検定において不正を実行。
》振り込め詐欺詐欺方面
- 振り込め詐欺：「キング」グループ配下の実行役逮捕 (毎日, 10/9)
- 振り込め詐欺：通話履歴保管「延長を」　警察庁が要請 (毎日, 10/7)。6 か月保存してよと言っている模様。法執行機関は出させて使うだけなので長けりゃ長いほどいいのでしょうが、
  
  「電気通信事業者協会」(中略) の説明によると、通話履歴は憲法で保障された「通信の秘密」の例外として、料金請求の問い合わせなどに応じるため、最低限必要な３カ月間保存しているという。ＴＣＡ業務部は「法制度上の問題もあるうえ、システム開発には数十億円の投資が必要とも言われている。現状では延長に応じられない」と話しており、保管期限延長の見通しは立っていない。
- 振り込め詐欺：押収された携帯電話の１８％が架空契約 (毎日, 10/3)。なぁんだ、5 台のうち 4 台は架空じゃない契約なんだ。
》ドメイン名システムの闇社会 (日経 IT Pro, 10/9)
》「MSが偽ソフトを推奨？」――セキュリティセンターをかたる新手口 (日経 IT Pro, 10/9)。にせセキュリティセンター登場。次から次へと、懲りないなぁ。
》年金記録旧台帳の「310万」大量廃棄、舛添大臣謝罪せず (保坂展人のどこどこ日記, 10/7)
》保護者の選択を「抜け道」と呼ぶ人たち (崎山伸夫のBlog, 10/8)
》「フィルタリング」にできること、知っておくべきこと　第3回：子供に「フィルタリング」を利用させるのに必要なこと (Internet Watch, 10/8)
》パチンコ必勝法詐欺被害～広告掲載雑誌の責任を問う (情報流通促進計画 by ヤメ記者弁護士（ヤメ蚊）, 10/9)
》メラミン混入ミルクで入院の子ども、１万人突破　中国 (CNN, 10/9)
》海の向こうの“セキュリティ” 第25回：米ペイリン副大統領候補のメールアカウントが盗まれる　ほか (Internet Watch, 10/8)。関連: ペイリン副大統領候補のメールをハッキングした犯人を起訴 (ロイター / ITmedia, 10/9)
》米Symantec、英セキュリティ企業「MessageLabs」を買収 (Internet Watch, 10/9)。あらら。
》 VRT Rules Support for Snort v2.6 End of Life Announcement (snort.org, 10/8)
》経済産業省パブコメ「情報システムの信頼性向上に関するガイドライン第２版（案）」 (まるちゃんの情報セキュリティ気まぐれ日記, 10/7)
》麻生総理は「事前検閲」に違和感なし (保坂展人のどこどこ日記, 10/6)、自民党による検閲を今後も続けると麻生首相が明言～辞めろ、辞めろ！ (情報流通促進計画 by ヤメ記者弁護士（ヤメ蚊）, 10/7)

　たのしい国会関連:
- 「補正」「給油」で麻生内閣に「塩」を送る必要はない (保坂展人のどこどこ日記, 10/9)
- 議場閣僚席でワンセグ、中川氏と与謝野氏が議長に陳謝 (読売, 10/8)。デキの悪い学生じゃあるまいし……。
》 Android、Apple、そして電話における自由（phreedom） (sourceforge.jp, 10/7)。♪予期せぬ愛に～
》新種ウイルスの過半数が「USBウイルス」、報告件数も過去最多に　トレンドマイクロが2008年9月の報告状況を公表、USBを使うのが「定番化」 (日経 IT Pro, 10/7)
》 JavaScriptインジェクション攻撃 (日経 IT Pro, 10/8)
》 NSA、EAL5レベルのセキュリティソフトウェア「Tokeneer」をオープンソースに (sourceforge.jp, 10/7)
》 OOXMLのISO標準化をめぐり、ノルウェーの標準化団体13人が抗議辞任 (sourceforge.jp, 10/7)
》トレンドマイクロが「ウイルスハンター座談会」、最新動向を意見交換　ウイルスは“洗練”の一途、不特定多数を狙うものが再び増加 (日経 IT Pro, 10/7)
》お気に入りの話題はどれ? Black Hat Japanブリーフィングをプレビュー (日経 IT Pro, 10/8)
》ＮＨＫが万単位で法的手続きを敢行～まずは、与党の圧力を跳ね返せ！ (情報流通促進計画 by ヤメ記者弁護士（ヤメ蚊）, 10/8)
》平成19年度サイバークリーンセンター活動報告 (サイバークリーンセンター, 10/7)
》 W-SIM搭載で「どこでもWi-Fi」　小型モバイルAPをウィルコム、バッファロー、三洋が開発 (ITmedia, 10/9)
》中国製粒あんからトルエンや酢酸エチル　名古屋で販売 (asahi.com, 10/7) の件の関連情報。
- つぶあんからのトルエン、酢酸エチルの検出について (厚生労働省, 10/7)
- 《当社輸入の中国製「餡（あん）」の回収について》 (マルワ食品, 10/7)
》中山前大臣「東国原出馬は私のシナリオ」 (ニッカンスポーツ, 10/9)。中山成彬・前国土交通相の辞書には「逆効果」という言葉はないのだろうか。
》銃器犯罪で初の通信傍受　山梨県警が今年実施 (中日, 10/9)
》本物そっくり偽標識　警官気づかず５人に「違反」切符 (asahi.com, 10/9)
》ノーベル化学賞の下村脩氏：100万匹のクラゲ捕獲、息子は有名ハッカー (WIRED VISION, 10/9)。下村脩氏といっしょにクラゲを獲ったという息子は、あの下村努氏。

　関連:
- 名大株、急上昇　著書に問い合わせ続々 (中日, 10/9)。名古屋大学の方のメーダイ。
- 【ノーベル化学賞】「オワンクラゲ」脚光、山形の水族館「展示はうちだけ？」 (産経 MSN, 10/9)。鶴岡市立加茂水族館。クラゲメニューもいろいろあります。
》米裁判所、「RealDVD」の販売差止命令を延長 (CNET, 10/8)
》 Windows XPのダウングレード権延長は“都市伝説” (ITmedia, 10/8)

　Windows Vistaで異なるのは――この点では批判派は的を射ているが――ダウングレード権がコンシューマーにも拡大され、長期間提供されることだ。DellなどのOEMがXPを提供するのは、顧客がそれを求めているからだ。さらにすごいのは、1月31日以後に起きることだ。新しいバージョンのWindowsが登場してから2年以上たっても、OEMがコンシューマーに積極的にダウングレード権を提供するというのは前例がない。
》マイクロソフト、パートナーカンファレンスを開催－522社1000人に対し事業方針を説明 (Enterprise Watch, 10/9)

ライセンスが複雑であるという点では、できるだけ簡単にする努力をしているものの、限界がある。コールセンターの人員を1.5倍に増やして、説明資料をそろえ、コミュニケーションを密にすることに取り組んでいる

　つまり、ライセンス体系・ライセンス内容を変える気はないってことですな。
》子育て主婦がPC講師として、シニアを指導～マイクロソフトの社会貢献活動の成果を大分県に見る (PC Watch, 10/7)
》アシスト、指紋認証式タイムレコーダー「TimeStation」 (Enterprise Watch, 10/8)
》サイバートラスト製のSSL証明書をバンドルした「Turbolinux 11 Server」 (Enterprise Watch, 10/8)。「Turbolinux 11 Server with Cybertrust SSL」

価格は、6万3000円。通常4万9350円するTurbolinux 11 Serverと、7万8750円するSureServer for SSLを合わせてこの価格なため、初期導入コストを抑えることが可能。

　で、2 年目にびっくりする、のかな……。
》民間主導で「安心ネットづくり」、携帯3社はじめ産学で協議会 (Internet Watch, 10/8)。「『安心ネットづくり』促進協議会」。まだ設立すらされていない (2009.01 予定)。今のところは海のものとも山のものともつかない状況か。

　関連:
- 安心ネットづくり促進協議会 (コデラノブログ3, 10/8)
  
  今回の協議会の面々を見て思うことがある。たぶん今後、リテラシー教育を突き詰めていくと、ある業者にとっては不利益になる方向というのが出てくるはずである。我々のプロジェクトでも様々な試考を行なっているが、多くのサービスが今のままの業態では居られなくなるだろう。
  そのときに彼らは、自社の利益と青少年育成とどちらを取るのだろうか。自社の利益を優先するのであれば、それが内部で抵抗勢力になって骨抜きになる。結局「やりました」というポーズで役所と政治家を黙らせ、何も変わらず問題が水面下に潜るだけ、ということにならないだろうか。もしくはあまりにも窮屈で、未知の可能性がほとんどないネットが出来上がるか。
  これは相当に舵取りが難しい話で、今の段階でものすごく単純なゴールが描けていないと、迷走するだろうという気がする。
- 「安心ネットづくり」促進協議会発起人総会の記者会見 From @tsuda (雑記帳@tumblr., 10/8)。記者会見の模様。
  
  tsuda: 具体的なことはほとんど何も決まってないという感じの記者会見だったな。 [http://twitter.com/tsuda/statuses/950963683]
  tsuda: しかし、ケータイの販売台数落ち込んでることどう思う？ってこの記者会見で質問できる日経の神経は凄いと思った。 [http://twitter.com/tsuda/statuses/950964337]
》 Google、オンラインゲーム向けの動画広告配信プログラムを発表 (Internet Watch, 10/8)。来ましたね。
》「メール送信後に後悔」を未然に防止、Gmailが実験機能 (Internet Watch, 10/8)。はぁ……。
》「ウイルス付き迷惑メール」が急増、3カ月で10倍以上に　シマンテックが2008年9月の迷惑メール動向、「ゾンビ」の数も急増 (日経 IT Pro, 10/8)。理工学部での「マルウェアが添付されているメール」の検出数はこんな感じ。「マルウェアサイトへのリンクのついたメール」は除いてある。
》東京ゲームショウ2008開幕、全記事一覧まとめ (gigazine, 10/9)。巨大ノートンファイター……。ゲームとの親和性の高さを売り込もうということか。
》 Information about Network Monitor 3.2 in Windows Vista (Microsoft KB955998)。 Microsoft Network Monitor 3.2。 Windows XP 以降。
》 You cannot start a computer from a USB flash drive that is formatted to use the FAT32 file system (Microsoft KB954457)。MBR が必要。

》 Windows Update するとエラーが出るシリーズ

エラー	KB
0x80070422	Error message when you try to install updates by using the Windows Update Web site or the Microsoft Update Web site: "0x80070422" (Microsoft KB958043)
0x8007F0DA	You receive error code 0x8007F0DA when use the Windows Update Web site or the Microsoft Update Web site to install updates: (Microsoft KB958050)
0x8007F0F4	You may receive a "0x8007F0F4" error code when you try to install updates from the Windows Update Web site or from the Microsoft Update Web site (Microsoft KB958051)
0x8024000B	Error message when you try to install updates from the Windows Update or Microsoft Update Web site: "0x8024000B" (Microsoft KB958040)
0x8024002D	Error message when you try to install updates from the Windows Update or Microsoft Update Web site: "0x8024002D" (Microsoft KB958041)
0x80246007	When you try to install updates from the Windows Update Web site or from the Microsoft Update Web site, you may receive a "0x80246007" error code (Microsoft KB958042)

》第７回　東南アジアにおける児童の商業的･性的搾取対策に関するセミナー傍聴者の募集 (警察庁, 10/7)
》火災による鋼製梁の膨張が原因、9.11テロで崩れたWTC7ビル (日経 KEN-Plats, 10/8)。陰謀論系の人は、これを読んでも納得しないんだろうなぁ。
》ロシア軍の撤退完了　グルジア内の「緩衝地帯」から (北海道新聞, 10/8)

　関連: グルジア：露軍侵攻２カ月　略奪の跡生々しく…緩衝地帯 (毎日, 10/8)
》 [AML 21546] 情けないおっさんヒトラー。映画「わが教え子、ヒトラー」の話。1944.12.25 というと、ラインの守り作戦の真最中ですな。

　おっさんヒトラーと言われると、なにわの総統一代記を連想してしまう (これは傑作です)。まぁ、「スターリングラード運命の攻囲戦 1942-1943」を読んでいても「本当に駄目だなこのおっさんは」と思うわけですが。現場に任せるべきことは現場に任せなさい (権限もつけて)。

■ いろいろ (2008.10.09)
(various)

Libpng 1.2.32 - September 18, 2008 (libpng.org)。libpng 1.2.30 / 1.2.31 の pngpread.c の png_push_read_zTXt() に off-by-one エラーがあり、複数の zTXt チャンクのある画像によって crash したり任意のコードを実行したりする。 libpng 1.2.32 で修正されている。 CVE-2008-3964。
JVNVU#472363: IPv6 実装における Forward Information Base のアップデートに関する問題 (JVN, 2008.10.03)。 FreeBSD-SA-08:10.nd6 - IPv6 Neighbor Discovery Protocol routing vulnerability と同じ件。今のところ、古河電気工業、日立、IIJ が「該当製品あり」。
JVN#92651529: Nucleus EUC-JP 日本語版におけるクロスサイトスクリプティングの脆弱性 (JVN, 2008.10.06)。with IE6 話。Nucleus v3.31 SP2 EUC-JP日本語版で修正されている。

■ Microsoft PicturePusher ActiveX (PipPPush.DLL 7.00.0709) remote Cross Site File Upload attack POC (IE6)
(milw0rm, 2008.10.08)

　Microsoft Digital Image 2006 に付属する ActiveX コントロールに欠陥があるようで。Digital Image 2006 は販売打ち切り品だからなあ……。サポートってどうなってるんだろう。

■ 2008.10.08

■ 追記

クリックジャッキング：研究者が複数のブラウザに対する新たな脅威について警告

　2 題。Flash と NoScript について。

Adobe から workaround 出ました: Flash Player workaround available for "Clickjacking" issue (Adobe, 2008.10.07)。Flash における、外部からのカメラ・マイクの操作を禁止する話 (デフォルトは許可なの?)。関連: アドビ、Flash Playerの「クリック乗っ取り」対策を公表 (日経 IT Pro, 2008.10.08)
- 一般ユーザ: まずは、 [グローバルプライバシー設定] パネル (macromedia.com) で [常に拒否...] (英語版: [Always deny...]) をクリック。その上で、特定のサイトにはカメラ・マイクへのアクセスを許可したい場合には、[Web サイトのプライバシー設定] パネル (macromedia.com) から設定する。
- IT 管理者: mms.cfg で AVHardwareDisable = 1 を設定。上記のユーザ設定よりも mms.cfg による設定の方が優先される。 mms.cfg は以下の場所に設置するのだそうだ:
  - Windows: %WINDIR%\system32\Macromed\Flash
  - Mac OS X: /Library/Application Support/Macromedia
  - Linux Flash 9: /etc/adobe/
  mms.cfg は Flash Player 8 以降でサポートされている。mms.cfg の文字コードは、OS のデフォルトコードページ、あるいは BOM つきの UTF-8 / UTF-16。
根本的な対応については、10 月末までに登場する予定の Flash Player の新版で行われるのだそうだ。
NoScript ですが、1.8.2.1 以降にアップデートした方がいいみたい: Hello ClearClick, Goodbye Clickjacking! (ackademix.net, 2008.10.08)

■ Opera 9.6 for Windows Changelog
(Opera.com, 2008.10.08)

　Opera 9.60 登場。2 件のセキュリティ欠陥が修正されている。

Advisory: Specially crafted addresses can execute arbitrary code (Opera.com)。攻略 URL によって crash したり任意のコードを実行したりする。 CVE-2008-4694

これですかね: Testing SPACE separators (lookout.net)
Advisory: Java applets can be used to read sensitive information (Opera.com)。 Java アプレットが cache されたとする。web ページがアプレットの cache のパス名を予測できる場合、アプレットを cache から読み出すことで、アプレットは local machine コンテキストを獲得できるため、センシティブ情報にアクセスできる。 CVE-2008-4695

■ 2008.10.07

》中国製粒あんからトルエンや酢酸エチル　名古屋で販売 (asahi.com, 10/7)。長野の異臭あんこは結局原因がよくわからなかったようだけど、今回は「トルエン」「酢酸エチル」を検出。しかし、なぜこんなものが入っているのか……。長野の件では「石油のようなにおいがした」ということなので、実は似たような話なのか。

　ここか?: マルワ食品。今回の件の情報は何もないな……。

　つづきはこちら。
》 SEA & FSIJ 合同フォーラム～フリーソフトウエアと脆弱性情報流通～。2008.10.22、東京都千代田区、無料。iida さん情報ありがとうございます。 (日付が間違っていたので修正)
》ソフトウエアエンジニアの為のセキュリティ技術セミナー開催（無料）：[FFR]株式会社フォティーンフォティ技術研究所 (まっちゃだいふくの日記, 10/7)。「ソフトウエアエンジニアの偽のセキュリティ技術セミナー開催」と空目した…… orz

　元ねた: ソフトウエアエンジニアのためのセキュリティ技術セミナー開催 (フォティーンフォティ技術研究所)。2008.10.15, 2008.10.18 (計 3 回)、東京都新宿区、無料。
》株価は下がるよどこまでも
- ＮＹダウ、１万ドルの大台割れ　４年ぶり (asahi.com, 10/7)
- 日経平均、一時１万円の大台割れ　４年１０カ月ぶり (asahi.com, 10/7)。早くもこうなってしまいましたか。
- 東京外為：円急伸１０１円台 (毎日, 10/7)、【米金融危機】東京円、１０１円半ば　対ユーロも続伸 (産経 MSN, 10/7)。これはひどい。
- 【米金融危機】ＮＹ原油８７ドル台　経済懸念で８カ月ぶり安値 (産経 MSN, 10/7)。これだけならうれしいニュースなのだが。
　先日、金融安定化法が成立したばかりなのに……と思ったが、
- クローズアップ２００８：米金融安定化法成立　実効性に懸念　市場は指標重視 (毎日, 10/5)
  
  新法による不良資産買い取りは、価格の決定方法などのルールづくりがこれから。
  
  すぐさま実行できるわけではないと。
- 金融対策成立　米は実効性ある運用を (北海道新聞, 10/5)。機動的・効果的な運用ができるのかどうか懸念されている模様。
  
  　政府の当初案に比べ、当面活用できる公的資金枠は半分に減らされている。残りは議会の承認が必要だ。金融機関にとっても、政府による株式取得や経営者の報酬制限など、利用条件が厳しくなっている。
  　せっかくの仕組みも金融機関が二の足を踏むようでは、効果は上がらない。米政府と金融業界には目先の利害にとらわれることなく、国際的な金融危機の回避を第一に考え、迅速で柔軟な対応が必要だ。
  
  あと、そもそもこれだけでは済まんでしょ話。
  
  　不良資産の買い取りだけで、抜本的な解決につながるかも疑問だ。
  　米国の金融機関は巨額の損失を抱え資本不足に陥っているところもある。サブプライム問題の根本原因である住宅価格の下落はいまも続き、損失はさらに膨らむ可能性が高い。
  　バブル崩壊後の日本の経験からいっても、金融機関の体力を回復させるには公的資金による資本注入は不可欠だ。
  
  「公的資金による資本注入必要論」は多く聞かれるようですね。
- 金融安定化法のトンデモ内容とは (J-CAST ニュース, 10/7)。「とくダネ!」笠井アナが解説した「修正部分」の内容にびっくり。USA には本当にステーツマンがいないんだね。
》 iTunes 8.0.1 (思いつき日記～雑記帖～, 10/8)。 iTunes 8とウイルスセキュリティZEROのコンフリクト問題 (iPhone.Walker, 9/18) ですが、iTunes 8.0.1 で対応されているようだという報告。
》世界金融危機　～投資銀行・暴走の軌跡～ (NHK スペシャル, 10/11 放送予定)
》システム開発をめぐる法律問題［9］ベンダーの追加報酬請求権が認められる条件 (日経 IT Pro, 9/19)
》 Internet Infrastructure Review (IIJ)

「Internet Infrastructure Review」は、インターネットの基盤技術に関する最新の技術動向や、セキュリティ情報を積極的に発信する季刊の技術レポートです。

　vol.001 が出ています。「vol.001」ということなので、あと 99 回は出すという決意の模様。
》「もやい」ピンチ　後援社破産、ホームレス支援困難 (中日, 10/5)

ホームレスやネットカフェ難民などの生活困窮者を支援する特定非営利活動法人（ＮＰＯ法人）「自立生活サポートセンター・もやい」（東京都新宿区）の活動が、主力だった後援企業の破産で窮地に立たされている。活動の危機を乗り切るため、もやいはカンパなどを募っている。
》 Snort 2.8.3.1 Now Available (snort.org, 10/6)
》厳選素材の「美少年」限定酒、事故米とばっちりで大不振 (asahi.com, 10/6) の件について、Jubilee さんから (ありがとうございます)

「パッケージで切りぬける」というのは官には想像すら不可能な対策ですし、すばらしいアイディアに思えます。それをコミュニケーションのきっかけとすることができるなら。ただし、地元を相手にするなら、一般的な美少年のイメージとはやや違ったものにならざるを得ないかも知れません。
「馬手に血刀弓手に手綱、馬上豊かな美少年」というのは民謡「田原坂」の一節です。公式には美少年酒造の名の由来は飲中八仙の崔宗之だそうですが、熊本市民ならまず間違いなく田原坂をイメージするでしょう。田原坂古戦場には美少年の銅像も建っています。
もちろんパッケージイラストに向くのは崔宗之ですが、熊本では「誰これ？」ですし、全国区でも腐女子受けするかどうかはよく分かりません。

　間違えた人の例: 永遠の酒・・・ (永遠の美少年的生き方, 2006.11.09)。必要なら「田原坂バージョン」「崔宗之バージョン」両方ともつくればいいような……。

　個人的には、彩雲国物語に出てくるような美少年が杯を持っているようなパッケージを想像していたのですが、腐女子の人的にはどうなんだろう……。そもそもの問題として、「腐女子の人は日本酒を飲んでくれるのか?」というものもあるのだが……

もう少し上の世代だと「がきデカ」によく「清酒美少年」が登場していたのをおぼえているかも知れません。

　宇宙戦艦ヤマトの佐渡酒造先生も「美少年」を飲んでましたね。

■ 追記

Jack C. Louis and Robert E. Lee to talk about New DoS Attack Vectors

　関連:

TCPにウェブサイトを危険にさらす脆弱性--スウェーデンの研究者が発見 (日経 IT Pro, 2008.10.06)

「UnicornScan」という名前のポートスキャナを使ったテストで，脆弱性が発見された。

UnicornScan ですか。
TCP/IPに深刻な脆弱性――DoS攻撃の格好の標的に　「脆弱性は少なくとも5つ」とセキュリティ専門家。対応急ぐベンダー各社 (ComputerWorld.jp, 2008.10.06)

　一方、米国Microsoftは声明を発表し、「当社でも独自に調査したが、脆弱性を利用した攻撃や、顧客への影響は確認できなかった」と述べた。
　しかし、米国SecTheoryのCEO、ロバート・ハンセン（Robert Hansen）氏によると、実際にDoS攻撃が行われれば、非常に厄介な事態に陥るという。その理由として同氏は、DoS攻撃を仕掛けるのにわずかな帯域幅しか必要ないことと、標的となったマシンの多くは攻撃が終わった後も使用できない状態になることの2点を挙げている。
　ハンセン氏は、ブログに次のように記している。「バグは1つではなく、少なくとも5つはあり、そして30もの潜在的な問題があるようだ。これがどの程度深刻な被害をもたらすかは、まだ十分に調査できていない。想定される被害は、システムの完全なシャットダウンから合法的なトラフィックの遮断まで、実にさまざまである」
　リー氏とルイス氏は、ヘルシンキで開催されるセキュリティ関連コンファレンス「T2」（10月16日～17日）でもこの脆弱性を取り上げる予定だが、修正パッチが提供されないかぎり、脆弱性の詳細をこれ以上明らかにするつもりはないと述べている。

ふぅむ……。
CERT-FI Statement on the Outpost24 TCP Issues (CERT-FI, 2008.10.02)
Robert E. Lee。発見者のブログ。

　いずれにせよ、patch 待ちなのは変わらない。

■ 2008.10.06

》 JP DNSサーバの構成について - 2008年10月版 - (JPRS, 10/6)

JP DNSでもIPv4とIPv6デュアルスタックのサーバが増えつつあり、2008年9月末時点でIPv4だけのサーバはb.dns.jpだけとなっています。このb.dns.jpも、2008年中にIPv6対応となりデュアルスタックでの運用を予定しています。

JP DNSなどの権威サーバですべてのDNSサーバがIPv4/IPv6のデュアルスタックになると、キャッシュサーバの実装とそのネットワーク環境によっては不具合がおきることがあるという報告があります。これについての詳細は未確認ですが、JP DNSでは、運用面の安全性を考慮し当面の間IPv4だけのサーバを維持する方針で運用するため、新たにg.dns.jpをIPv4のみのサーバとして追加します。
》神戸の洋菓子店が「ピンクリボンケーキ」　検診呼びかけ (asahi.com, 10/6)
- ボックサン
- レーブドゥシェフ
　ピンクリボン・フェスティバル 2008 やってます。
》厳選素材の「美少年」限定酒、事故米とばっちりで大不振 (asahi.com, 10/6)。せっかく「美少年」なのですから、「あきたこまち」に倣って、パッケージで切りぬけることを提案します。
》橋下知事敗訴　弁護士失格のＴＶ発言 (中日, 10/6)、橋下知事：「光母子弁護団懲戒」ＴＶ発言で賠償命令　 (毎日, 10/2)。橋下氏の行動を見てヨブ・トリューニヒトを思い出した人もいるようで。
》 [AML 21512] マスメディアの良心について――「小泉さんと我が恥辱」（毎日新聞『発信箱』）。そして、辺見庸『いまここに在ることの恥』 (AML, 10/6)
》中国人とインターネットの関係＜前編＞中国における“インターネット世論”の正体 Internet Watch, 10/3)
》「S・ジョブズ氏が心臓発作」の誤報でアップル株価が急落 (CNET, 10/6)、「スティーブ・ジョブズが心臓マヒ」との誤報、SECが調査に乗り出す (slashdot.jp, 10/6)
》グーグルだって客商売である (栗原潔のテクノロジー時評Ver2, 9/30)、グーグルだって客商売である（続き） (栗原潔のテクノロジー時評Ver2, 10/2)。ストリートビュー方面。

　関連: Googleが叩かれる根本的な原因 (悪徳商法？マニアックスココログ支店, 10/6)
》マイクロソフト、XPへのダウングレード・ディスクの提供期限を6カ月延長　 2009年7月31日までOEMに提供 (ComputerWorld.jp, 10/6)。市場の要請。
》「用事」モデルの事例としてのグーグルChrome (栗原潔のテクノロジー時評Ver2, 10/3)。シークレット・モード話。
》米国では1年ちょっとでDRMフリー音楽配信が当たり前になってしまった件について (栗原潔のテクノロジー時評Ver2, 10/6)

昨年の2月にスティーブジョブズが「DRM不要論」を提唱した時は、「そんなことをしたら違法コピーが蔓延して音楽産業は壊滅する」とか「DRMを廃止できないのとわかっていてのジョブズの詭弁である」というような意見がありました（私も後者の立場でブログ・エントリーを書いたりしました）。
それから１年ちょっとですがDRMフリーの配信が当たり前になってしまったのには感慨深いものがあります。それでも米国の音楽産業が壊滅したという話は聞きません（「ＣＤ販売産業」は衰退していますが）。

　日本では、いまだに DRM DRM と呪文を唱えている人達がいて閉口します。
》出力をホワイトリストで処理することを真剣に考えてみる (水無月ばけらのえび日記, 10/5)。多分関連: ホワイトリストとブラックリスト - Firewallの場合 (yohgaki's blog, 10/3)
》内部告発の警官異動訴訟、愛媛県警が上告断念へ (読売, 10/6)。仙波敏郎氏の勝利確定へ。
》大阪個室ビデオ店放火殺人事件、被害拡大の要因。もちろん放火した輩がいちばん悪いのだが。
- 大量の個室、狭い通路、出入口までの距離が遠い「うなぎの寝床」状態。
  - 個室ビデオ店火災：狭い部屋、廊下…客から危険性指摘の声 (毎日, 10/1)
  - ビデオ店放火／防火責任の検証進めたい　 (河北新報, 10/2)
- 窓を塞ぎ、排煙能力を無力化するような改造 (建築基準法違反か)。追加の排煙施設なし。
  - 窓ふさがれ排煙できず　ビデオ店、違法建築の疑い (asahi.com, 10/3)。ビデオ店の平面図あり。
  - 放火のビデオ店　窓２カ所の内側に石膏ボード、密閉状態 (asahi.com, 10/3)
  - 放火されたビルは「むちゃくちゃな改装」 (ニッカンスポーツ, 10/3)。「現場となったビルを３５年前に設計した大阪府の男性建築士（７３）」の証言。
  - 個室ビデオ店放火：「無窓階」規制検討　大阪市 (毎日, 10/3)。
    
    特に同店は、個室が並ぶエリアへの出入り口が一つしかなく、延べ４０メートルにも及ぶ廊下が巡らされている極端な「うなぎの寝床」状態だった。自動火災報知機の設置など消防法の要件は満たしていたが、大阪市は建物が同法の死角を突く危険な構造だったとみて、無窓階での集客施設に制限をかけるなど、独自規制の検討を始めた。
    
    排煙能力は「建築基準法」、消火能力は「消防法」ということか。
- 防火管理者が火災報知器の誤作動だと判断して非常ベルを手動停止 (業務上過失致死傷に該当か)
  - 管理人「非常ベル止めた」　誤作動と判断　ビデオ店放火 (asahi.com, 10/6)。「府警への取材でわかった」と明記されている。「男性はこのビルの元所有者で、今は管理人として６階に住んでいる」。
  - “誤作動と思い非常ベル切る” (NHK, 10/6)。「ビルの６階に住む７７歳のビルの防火管理者」。

■ いろいろ (2008.10.06)
(various)

FreeBSD-SA-08:10.nd6 - IPv6 Neighbor Discovery Protocol routing vulnerability
VMSA-2008-0016 - VMware Hosted products, VirtualCenter Update 3 and patches for ESX and ESXi resolve multiple security issues (VMware, 2008.10.03)。 VMSA-2008-0014 とは違う欠陥みたい。でも直っている版は同じだったり。

■ 追記

VMSA-2008-0014: Workstation, VMware Player, VMware ACE, VMware Server, VMware ESX address information disclosure, privilege escalation and other security issues.

　更新版アドバイザリ VMSA-2008-0014.2 が出ている。

　ESX 3.5 / ESXi 3.5 の patch が 2008.09.18 付で出ている。

VMware ESX / ESXi バージョン	patch
ESXi 3.5	ESXe350-200808501-I-SG
ESX 3.5	ESX350-200808401-BG, ESX350-200808409-SG

　また VMware Consolidated Backup (VCB) 1.1 の更新版、VCB 1.1 Update 1 build 118380 が 2008.10.03 付で出ている。

■ 2008.10.04

》北京の大気汚染再び、きれいな空は真夏の夢？ (中央日報, 10/4)
》空自１佐情報漏えい問題：防衛省、１佐「漏えい」で懲戒免　読売記者に中国軍情報 (毎日, 10/2)。関連:
- 社説：１佐懲戒免職　なぜ「秘密」なのかわからない (毎日, 10/4)
  
  　ところが、増田好平防衛事務次官は記者会見で、記事に防衛秘密が含まれているとしつつ、どこが秘密に当たるのか明言を避けた。最高裁は７７年、国家公務員法の「秘密」とは「実質的に秘密として保護するに値すると認められるもので、国家機関が形式的に指定しただけでは足りない」と判示している。とにかく防衛秘密に指定したのだから漏らせば処分だ、というのでは説得力を欠く。そして何より、読売記事を読む限り、防衛秘密が含まれていたとは到底思えないのである。
  　防衛秘密の基準が明確でないまま拡大すれば、安全保障への国民の信頼は細るばかりだ。むしろ今回の場合、潜水艦の事故は周辺海域を航行する船舶の安全が脅かされるのだから、防衛省自身が積極的に公表すべきだったのではないか。
  　一方で、一連の捜査と処分は、軍事情報の漏えいに神経質になっている米国の姿勢を反映したものであるとの指摘がある。特に、潜水艦の艦番号に触れた記事の記述は、米軍情報が元になっているとの判断から、米側が強く漏えいへの対応を迫ったというのである。
  　しかし、艦番号の情報自体は安全保障上の重要情報ではあるまい。米軍情報であることだけが処分理由だとすれば、「見せしめ免職」と言わざるを得ない。
  
  自衛隊って、昔からオレオレ秘密が多いからなぁ。そのへんの雑誌に書いてあっても秘密。
- 空自１佐情報漏えい問題：懲戒免職、新聞労連が抗議声明 (毎日, 10/4)
- 中国潜水艦事故報道、空自１佐を懲戒免職…秘密漏えいの疑い (読売, 10/2)
- １等空佐免職　知る権利に応える報道の使命（10月3日付・読売社説） (読売, 10/3)
》女優自殺、ショック冷めぬ韓国　ネット規制論も浮上 (asahi.com, 10/4)。崔真実（チェ・ジンシル）さんがネットのデマに苦しんで? 自殺した件。
- ‘チェ・ジンシル法’の新設を推進 (中央日報, 10/4)
- 【社説】サイバー暴力を防ぐ‘チェ・ジンシル法’の整備を (中央日報, 10/4)
- 「悪口を言い合うのならアナログ時代に戻りたい」 (中央日報, 10/4)
- チェ・ジンシルさんの死まで嘲笑…いったい誰が (中央日報, 10/3)
- 「悪質な書き込み」が「真実」を殺した (東亜日報, 10/3)
- 崔さん「高利貸は私と関係ない…死にたい」苦しみを訴える (東亜日報, 10/3)
- 自殺前日、「デマ流布女性」との電話で激怒 (東亜日報, 10/3)
》 3.5 インチフロッピーの件ですが、 HP USBフロッピードライブキー (HP) というものがあるそうです (ホワイトペーパー)。 FD としても使える USB メモリのようで。西畑さん情報ありがとうございます。

　こういう製品は他にもあるようで: 記憶領域の一部をUSB-FDDとして認識・ブート可能なUSBメモリ (フロッピーレスPC友の会)
》本日、沖縄返還時の密約文書公開に対する回答届く～夕方会見予定 (情報流通促進計画 by ヤメ記者弁護士（ヤメ蚊）, 10/3)、「沖縄密約文書はない」～嘘を重ねる自民党・公明党政権 (情報流通促進計画 by ヤメ記者弁護士（ヤメ蚊）, 10/4)。いいかげん開示しなさいよ。
》データ侵害の手口は業種によってかなり異なる (日経 IT Pro, 10/3)。 2008 DATA BREACH INVESTIGATIONS REPORT (Verizon Business, 10/2)。なかなか興味深いですね。 Partner からのデータ侵害はここでも増えているんだなあ。 Internal からのデータ侵害は、件数では少ないが発生した場合の規模が大きく、その 50% は管理者が原因。データ侵害の発見は、その 70% が第三者からの通報による。
》 ASUSミニパソコン新製品「Eee Box」でのウイルス混入に関するお詫び (ASUS, 10/3)
》楽天メールマガジン情報漏洩の話・楽天の見解 (水無月ばけらのえび日記, 10/4)
》グーグル社曰く「撮影作業員は公道私道を区別するデータを持たずに走行している」 (高木浩光＠自宅の日記, 10/4)。いやはや、この対応はすごい。辻野晃一郎製品企画本部長の発言は本当なのか、グーグル株式会社に電話で確認した (高木浩光＠自宅の日記, 9/30) の件もそうなのだが、Google という会社は平気で嘘をつくのだね。

■ 2008.10.03

》なぜ、自民党による事前検閲が悪いのか (保坂展人のどこどこ日記, 10/3)。「問題の文書」の何が問題なのかを保坂議員が詳細に解説している。必読。

【手順４】
　相談の上、提出を認められた資料を依頼元へ提出する。提出が認められなかったものについては、担当課が提出可能なものに修正する等の対応を行う。

★保坂展人コメント4→ここの表記は、「相談」なるものが単に分量のアドバイスだけではなかったということがハッキリする。自民党国会対策委員会は、農水省が野党議員の要求を受けて作成した資料の「提出を認める」「認めない」の権限を有していることが明らかで、これが「事前許可」「事前検閲」であることは間違いない。さらに、資料作成後に自民党に見せてから「おい、こりゃダメだ。こんなもの渡したらエライことになるぞ」とダメだしされたら、担当課は「修正可能なものに修正する等の対応を行う」のだから、「膨大な資料作成後にさらに自民党の許可水準に修正する仕事をさらに行う」ということになる。役所のオーバーワークに気を使ってというなら、こんな事前検閲はやめた方がいい。

　こんな個所も。

３　議員レクへ用いる資料
　レクに用いる資料については、公表資料等提出して差し支えない資料の決裁は不要であるが、それ以外の資料は２と同様に大臣官房の決裁を受けること。

★保坂展人コメント7→国会議員会館に役所から説明に来てもらう時に、その資料ちょうだいよと手を伸ばすと「これはダメなんです」と頑なに拒否する理由が判った。別段どうってことない資料でも「決裁」がないものはダメという仕切りになっているのだ。

　関連: 「野党の資料要求、事前提示を」　自民が全省庁に要請 (asahi.com, 10/2)

　野党の資料要求についての自民党国対との協議は、以前から一般的に行われていたとみられ、杉本次官は２日の会見で「従来から必要に応じて与党の国対と相談している。相当昔からやっている話で、改めて今回（要請が）あったと理解している」と語った。

　あまりに昔からやっていたので、それが不適切だということを全く認識できない模様。習慣というのは恐しいものです。
》滋賀県が県営ダム凍結へ嘉田知事の選挙公約 (47news.jp, 10/3)。一旦凍結を撤回したのだが、予算不足のために再度凍結へ。
》金融庁、上告断念へ　大和都市管財訴訟 (中日, 10/3)。「大和都市管財」詐欺、二審も国に賠償命令　救済拡大 (asahi.com, 9/26) の件。
》損賠訴訟：立花隆氏らに賠償命令　堀江元ＬＤ社長勝訴 (毎日, 10/3)
》「貧困の拡大は非正規労働者の増加が原因」…日弁連が決議 (読売, 10/3)
》東証：続落　２日連続で年初来安値を更新 (毎日, 10/3)。ついに終値でも 1万1000円割れ。
》ＪＲ宝塚線事故の負傷者が自殺　事故後、精神的不調訴え (asahi.com, 10/3)。まだまだ終ってない。
》ＨＤ故障とバックアップ機能欠陥に原因　新幹線不通 (asahi.com, 10/3)、東北新幹線　上野駅～大宮駅間信号システム障害の原因について (JR 東日本, 10/3)
》 Linux トラブルシューティング番外編: 第1回　減り続けるメモリ残量！果たしてその原因は!? (@IT, 10/1)。Linux のメモリ利用状況の追い方。
》海賊版DSソフトのダウンロード違法化求める声も～著作権分科会 (Internet Watch, 10/1)。不安を煽っている人が約一名。
》フェアユース議論、権利者の意見も反映を～JASRACら要望書 (Internet Watch, 10/1)
》変わるインターネットのトラフィック構成　 “帯域食い”はP2Pから動画サービスに？ (@IT, 9/22)。いよいよ P2P しか解がない?!
》白バイ事件　最高裁にNOを！国民の反乱（上） (JANJAN, 9/28)、白バイ事件　最高裁にNOを！国民の反乱（中） (JANJAN, 9/30)
》「事故は予測困難」ベトナム・カントー橋崩壊事故から１年 (JANJAN, 9/27)
》軍事的観点から見た領海侵犯事件 (JANJAN, 9/27)
》新「内部監査の専門職的実施の国際基準」　仮訳も公表 (まるちゃんの情報セキュリティ気まぐれ日記, 10/3)
》「Black Hatをイベントからコミュニティに発展させたい」--創始者のジェフ・モス氏 (日経 IT Pro, 10/2)。Black Hat Japan 方面。
》 EFF、「定額制P2P」を提案 (ITmedia, 10/3)
》子どもたちのインターネット利用について考える研究会
- 子どものサイト利用のリスクを評価するモデル、研究会が発表 (日経 IT Pro, 9/30)
- 10代のネット利用を追う「子どもたちのインターネット利用について考えるシンポジウム」開催＜前編＞ (Internet Watch, 10/2)
- 10代のネット利用を追う「子どもたちのインターネット利用について考えるシンポジウム」開催＜後編＞ (Internet Watch, 10/3)
》楽天メールマガジン情報漏洩の話・さらに続き (水無月ばけらのえび日記, 10/1)
》 AVTokyo 2008 続報 (てっしーの丸出し, 10/1)
》 Low, slow, distributed SSH username brute forcing (SANS ISC, 10/2)。ゆっくりめ、かつ分散化された攻撃が流行っているらしい。
》パスワード保護（暗号化）されたZIPファイル経由で拡散するTROJ_PAKESファミリ (トレンドマイクロセキュリティ blog, 10/3)
》「みどりといのちの公共事業」への転換を (保坂展人のどこどこ日記, 9/30)
》すばらしい隣人を失いたくないあなたへ～韓国の新聞テレビ兼営に反対しよう！その２ (情報流通促進計画 by ヤメ記者弁護士（ヤメ蚊）, 9/30)
》 gnoMintを使って独自の認証機関を設定する (sourceforge.jp, 10/3)。private CA 作成ツール。
》そこが知りたい Windows Server Update Services（第10回） (@IT)
- Q1: Windows Server 2008の「サーバーマネージャ」にWSUSの役割が表示されない (@IT, 10/1)。Windows Server 2008 に patch をあてること。
- Q2: Windows Vista Service Pack 1が配布できない (@IT, 10/1)。Windows Server 2003 に patch をあてること。
》エイズウィルスの発生起源は1908年前後、米研究者が研究発表 (technobahn, 10/3)
》三菱化学、3.5インチフロッピーの販売を終了 (PC Watch, 10/3)。来年 3 月末で終了。 Windows XP の ASR バックアップが 3.5 インチ FD を要求するんだよなぁ……。スゲー迷惑。

　……Virtual Floppy Drive 2.1 (仮想な背中) を使えばいいのか。
》感染注意! 記者にも防護服着用命令が - 妻夫木聡&檀れい共演『感染列島』 (マイコミジャーナル, 10/3)。パンデミック映画「感染列島」、来年 1/17 公開。
》 VirusScan Enterprise 8.5i にPatch6(または6.1)適用後、McShield.exeのCPU利用率が高くなる (マカフィー, 10/3)。VSE 8.5i patch 6/6.1 用の HotFix が公開されています。インストール後に再起動を必要とする (場合がある?) ようです。

　この HotFix、ライセンス版製品ダウンロードのページにはありませんね。
》カリフォルニア州、RFIDの無断スキミングを違法化――新法案を可決へ (ComputerWorld.jp, 10/3)
》「Eee BoxのDドライブにウイルスが感染したまま出荷されている」らしいので、実際に買ってきて検証してみた (gigazine, 10/3)。Win32/FlyStudio.NBH は NOD32定義ファイル: 3457 (20080919) で登場していますね。当該ファイルを VirusTotal.com に投げてみればもっとはっきりするのに。

　PC Watch でも Norton 2009 で確認されている: ASUSTeK製ネットトップ「Eee Box」にウイルス混入 (PC Watch, 10/3)。 W32.SillyFDC ですか。だから VirusTotal.com に投げてみなさいってば。
》暗号化ハードディスクのあるべき姿とは (@IT, 10/2)。 HDD自身で丸ごと暗号化!?――シーゲイト、HDDのセキュリティー技術“DriveTrustテクノロジー”について説明 (ascii24, 2006.11.20) によると、シーゲートの DriveTrust の場合、こうなる。

DriveTrustテクノロジーで暗号化されたHDDには、OSやデータなどが収録される一般的なボリュームとは別に、DriveTrust用のアプリケーション(認証用プログラムやプレブートローダー)を格納した“Hidden partition”(隠されたパーティション)が用意される。コンピューターが起動する際、まずHidden partitionにアクセスし、そこにある認証用プログラムを起動。用意された認証プロセスを通過すれば、OSボリュームにあるブートローダーに処理を渡して、そこからは通常のOS起動プロセスに移行する。基本的には、一度起動してしまえばユーザーどころかOS自体も暗号化を意識する必要はない。暗号化/復号化にともなう鍵のやり取りは、すべてHDD上で行なわれる。暗号鍵の強度はAES 128bit。

DriveTrustテクノロジーの認証デモを実演したシステムでは、BIOSパスワード入力のように、起動前に画面上に表示されるダイアログにIDとパスワードを入力する方法であった。デモではパスワード入力という一般的な方法であったが、どのような認証プロセスを使用するかは、Hidden partitionに置く認証プログラム次第。例えば指紋認証やICカードによる認証などに置き換えることも可能である。
》中国では Skype はもちろん検閲されています。
- Skype、中国でのチャット内容の監視を認める (ITmedia, 10/3)
- スカイプ、中国でメッセージの検閲実施か--トロント大学が指摘 (CNET, 10/3)
- Skype中国版における検閲の実態と脆弱性が明らかに (Internet Watch, 10/3)
- Chinese Skype Client Hands Confidential Communications to Eavesdroppers (EFF, 10/2)
》携帯性のアドバンテージを性能に還元した最強モバイル-パナソニック「Let'snote LIGHT F8」 (マイコミジャーナル, 10/3)。そうか、「ライト TOUGHBOOK」だと思えばいいんだ。ハンドルよりもショルダーストラップがほしい気もするが。
》 2001年のインターネットにタイムスリップ　Google検索でGo！ (ITmedia, 10/2)。

2001年のWebの世界にタイムスリップ――米Googleが、2001年当時の検索ページと、検索結果のキャッシュを公開している。

　つまり、7 年前のデータを捨ててないってことだよね。そのこと自体が脅威となる場合もあるだろう。
》やじうまミニレビュー　イエロー「タタメット」～グッドデザインな折りたたみ式防災ヘルメット (家電 Watch, 10/3)。

ヘルメット形態で印象的なのは、形状そのもの。真横から見ると三角形なのでヘルメット＝半円球というイメージから違和感を感じてしまう。しかし、よく見ていくと、頭頂部にはバンパーがあり、帽体は全体的に丸みを帯びているので、強度も申し分ない。タタメットは厚生労働省の保護帽規格「飛来・落下物用」の型式検定に合格、つまり工事現場などで見かけるヘルメットと同じスペックを持っているのだ。

　タタメットのページに、試作品の山の写真があります。標準仕様品は 5250 円だけど、マーキングのないもの (タタメットプレーン) は 4515 円。タタメットダイレクトで買えます。
》新しいSMTPのRFC (Okumura's Blog, 10/3)。RFC2821/2822 は Obsoletes に。
- RFC5321: Simple Mail Transfer Protocol (IETF)
- RFC5322: Internet Message Format (IETF)
　ちゃんと読んでおいてね > NTT ドコモ。

■ Yahoo! JAPAN、一部利用者にパスワード変更求める措置
(Internet Watch, 2008.10.03)

　10/1 から無警告でいきなり始めている模様。それほど緊急事態なのだろうけど、そのわりにはヤフオクの top ページにも何もないしなぁ……。

■ iPhone用メール・アプリにフィッシング/スパム被害につながるセキュリティ・ホール
(日経 IT Pro, 2008.10.03)

　2008.07.23 に発見して Apple に通報したけどぜんぜん修正されないので詳細を公開だそうです。

■ Trend Microの企業向けセキュリティ製品に脆弱性、修正パッチ公開
(ITmedia, 2008.10.03)

　この件:

[SA31343] Trend Micro OfficeScan Directory Traversal Vulnerability。OfficeScan 7.x, Worry-Free Business Security 5.x, Client Server Messaging Security for SMB 3.x 方面。次のバージョンで修正されているそうな。
- OfficeScan 7.3 Critical Patch - Build 1372 Client Module
- Worry-Free Business Security 5.0 - Client/Server Security Agent Critical Patch - Server Build 1414 and Client Build 1220
また、OfficeScan Corporate Edition 7.3 Patch 5 - build 1368 にはこの欠陥はないそうです。
[SA32097] Trend Micro OfficeScan Multiple Vulnerabilities。OfficeScan 8.0 方面。次のバージョンで修正されているそうな。
- OfficeScan 8.0 Service Pack 1 Critical Patch - Server Build 2439 and Client Build 1222
- OfficeScan 8.0 Service Pack 1 Patch 1 Critical Patch - Server Build 3087 and Client Build 1040

2008.10.23 追記:

　2008.10.22 付で日本語版出てます。

　patch 本体はウイルスバスターコーポレートエディション、ウイルスバスタービジネスセキュリティからどうぞ。

■ 追記

[SA31342] Trend Micro OfficeScan Server "cgiRecvFile.exe" Buffer Overflow

　2008.10.01 付で、ウイルスバスターコーポレートエディションで以下が公開されています。

ウイルスバスターコーポレートエディション 8.0 用 Critical Patch(Build_1361)
ウイルスバスターコーポレートエディション 8.0 Service Pack 1 用 Critical Patch(Build_2424)
ウイルスバスターコーポレートエディション 7.3 用 Critical Patch(Build_1367)
ウイルスバスターコーポレートエディション 7.0 用 Critical Patch(Build_1400)

　2008.10.01 付で、ウイルスバスタービジネスセキュリティで以下が公開されています。

Trend Micro ウイルスバスタービジネスセキュリティ 3.6 用Critical Patch (Build_1195)
Trend Micro ウイルスバスタービジネスセキュリティ 3.5 用Critical Patch (Build_1169)

Vulnerability Note VU#800113 - Multiple DNS implementations vulnerable to cache poisoning

　関連:

DNS キャッシュポイズニングの脆弱性について (JPCERT/CC, 2008.10.03)。江田さん情報ありがとうございます。
DNSキャッシュポイズニングの影響と対策前編: カミンスキー氏が発表したDNSアタック手法と対策例 (@IT, 2008.09.18)
DNSキャッシュポイズニングの影響と対策後編: DNSキャッシュポイズニングの原因・対策・その理由 (@IT, 2008.09.24)

ゴルフダイジェスト・オンラインで不正アクセス被害発生

　2008.10.02 19:30 時点で、再び全面停止になっている。

　GDO 自身による経緯説明は以下のとおり。

9月30日：午前11時頃　サーバーの一部に不正改ざんを発見
9月30日：午後2時半　サービスを一時的に閉鎖
10月1日：午前9時　復旧
10月1日：サービス復旧後、アクセス集中により、サイトが不安定な状況が継続
10月1日：午後6時　再度サービス停止
10月2日：午前1時すぎ　全面復旧に向けたテスト運用のため断続的にサイトを再開
10月2日：テスト運用を継続、全面復旧にむけ鋭意調査、確認
10月2日：午後6時　テスト運用の結果、再度修正のためサービス全面停止

　なお、個人情報については「本事象において細部にわたり調査検証した結果、GDOからの個人情報漏洩の事実は確認されていません」と説明されている。

■ 2008.10.02

》三浦元社長：殺人共謀容疑の逮捕状は有効…ロス郡地裁決定 (毎日, 9/27)、三浦元社長：ロス移送へ　弁護側が保護請求取り下げ (毎日, 9/29)。なんと。
》エレベーター事故：「一日を大切に…」　直前の野球日誌 (毎日, 9/30)、いっちゃんの赤とんぼ

　市川さんは０６年６月３日、マンションのエレベーターから自転車ごと降りようとした際、急に上昇したエレベーターと扉の間に挟まれて死亡した。事故後、警視庁がメーカーのシンドラー社や保守点検業者などを業務上過失致死容疑で捜索したが、これまで立件されていない。

　なんと、そんな状態だったとは。

　市川さんの両親も「いまだに事故の原因究明がなされていない。謝罪を一度も受けていない。原因究明や対策を行い、製品管理を徹底する姿勢こそが同じような事故を起こさないことにつながる」との手記を寄せ、国やメーカーの対応を批判している。
》大麻所持：容疑で法政大生５人逮捕　キャンパス内で吸引 (毎日, 10/2)
》振り込め詐欺の「出し子」はこの男たち　警視庁 (asahi.com, 10/1)
》痴漢：「警察署協議会委員」伏せて発表　神奈川県警 (毎日, 9/30)
》橋下知事：「光母子弁護団懲戒」ＴＶ発言で賠償命令　 (毎日, 10/2)、橋下知事：「くそ教委」放言続々　謝罪傍ら控訴の意向 (毎日, 10/2)
》自民の資料要求検閲問題　民主が徹底追及へ (産経 MSN, 10/1)

　自民党が農林水産省に対し野党からの資料提供があった場合には事前に相談するよう指示していた問題で、厚生労働省と財務省ででも同様の指示があったことが１日分かった。民主党が同日開いた厚労部門会議で、厚労省側が認めた。また直嶋正行政調会長は記者会見で「財務省などいくつかの省庁から似たような話を聞いている」と指摘した。そのうえで直嶋氏は「自民党に指示する権限はない。政府の私物化であり、言論封殺だ」と述べ、予算委員会などで厳しく追及していく考えを示した。

　外務省も: 民主要求資料の事前報告　自民国対、外務省にも指示 (asahi.com, 10/2)

外務省の担当者が、民主党からの資料要求を自民党国会対策委員会に報告するよう内閣総務官室経由で指示を受けていたことを明らかにした。「自民党国対から『民主党からの資料要求の現状を報告するように』との指示を受け、メールなどで省内に周知した。内閣からの指示なので対応した」と説明したという。

　それだけでは納まらない: 厚労など６省に飛び火自民の「資料要求制限」 (47news.jp, 10/2)

厚労省は２日、民主党の会合で、後期高齢者医療制度に関する資料要求で事前に自民党国会対策委員会に報告したケースが２件あったことを認めた。さらに内閣官房と防衛、外務、総務、経済産業の各省も同様の指示を受けたことが判明した。

　関連: 野党への資料提供を自民党が検閲した重大事件～はっきり言って連日一面でしょう (情報流通促進計画 by ヤメ記者弁護士（ヤメ蚊）, 10/2)

　この問題は、中山国交相の３大話どころの問題ではない。内閣全体がふっとんでもおかしくない問題だ。直ちに麻生が腹を切るべきような重大な問題だ。
　各メディアが問題の重要性を踏まえた記事を書くことを切に願う！
》オンラインカジノで大規模な不正発覚 (slashdot.jp, 10/1)。インサイダーが関与、セキュリティホールを利用、ですか。
》 MI6の機密入りデジカメ、eBayで販売される (slashdot.jp, 10/2)、中古で購入したVPNサーバー、設定が破棄されておらず英地方議会のネットワークに接続できちゃった (slashdot.jp, 10/1)。これだから中古はやめられない。
》任天堂、ニンテンドーDSの新型「ニンテンドーDSi」を発表 (slashdot.jp, 10/2)。WPA2 もサポートしているそうです。
》「世の中に存在するプログラムの65％はウイルス」、シマンテック　「ブラックリスト方式」はもはや限界、新方式への移行が急務 (日経 IT Pro, 10/2)。Norton 2009 では「Norton インサイト」という whitelist 技術を利用しているようですが、元記事である Losing Touch with Fingerprinting (Symantec blog, 10/1) を見ると、

Stay tuned this week for more information on Symantec’s pioneering efforts in this space.

ということで、続報が予定されている模様。

　Norton 2006 ～ 2008 の有効なライセンスを所有している場合は、Norton 2009 に無償でアップデートできるみたい。
》 Ajaxセキュリティ (水無月ばけらのえび日記, 10/2)
》「オークションのID乗っ取りが続出、パスワードの点検を」IPAが警告 (日経 IT Pro, 10/2)
》アップル、iPhoneのNDAから“箝口令”を撤回――開発者からの猛烈な非難に降参 (ComputerWorld.jp, 10/2)
》あきれた「総選挙先送り論」に見る究極のエゴイズム (保坂展人のどこどこ日記, 10/2)

ここで解散・総選挙をしないのなら、「12日間の総裁選劇場」は何だったのか。
》サーバ仮想化の“不都合な真実”　システム統合のカギとなるテクノロジーだが、“落とし穴”に注意 (ComputerWorld.jp, 10/2)
》「犯人見つけたぞ！」ログと防犯カメラの画像を一元管理できるツールが登場 (日経 IT Pro, 10/2)。「LogAuditor Enterprise 物理セキュリティー統合サーバスイート」
》米ロス郊外の列車衝突事故、原因は運転士の「ながらメール」？ (ITmedia, 10/2)
》北極海でメタンガスの放出現象が確認、地球温暖化の新たな進行原因となる可能性 (technobahn, 10/1)
》サイドチャネル攻撃 (hoshikuzu | star_dust の書斎, 10/2)。

岩波書店から出ている月刊誌「科学」10月号に、サイドチャネル攻撃についての説明が載っていました。すごくわかりやすかったです。

　月刊誌「科学」2008年10月号ですか。
》 John Doe is a Criminal Mastermind (F-Secure blog, 10/1)。にせアンチウイルス話つづき。
》 Advisory: Overview of the update of Sophos Anti-Virus for Windows 2000+ to version 7.6 (Sophos, 10/1)。Sophos Anti-Rootkit が統合され、Sophos web-content scanning も追加されたそうです。

Please note, due to the added functionality, the update to the Endpoints will be larger than normal, possibly up to 30 Mb.
》パブリックコメント「第4回　情報セキュリティ標語ポスター」の入選候補作品決定とご意見募集 (IPA, 10/1)
》第1回北海道情報セキュリティ勉強会。 2008.11.01、北海道札幌市、1000円。
》セキュアOS塾 - 01 (日本セキュアOSユーザ会)。2008.10.29、東京都港区、200円。
》新型インフルエンザワクチン接種の進め方について（第１次案） (e-Gov, 9/29)。パブコメ募集中。高宮さん情報ありがとうございます。

■ 【CSL】CSL緊急注意喚起レポート～新手のSQLインジェクションを行使するボットの確認～
(LAC, 2008.10.02)

　ASPROX mutant (SANS ISC, 2008.09.29) と同様の件なのだそうです。

この攻撃は、マイクロソフト社製のWebサーバIIS/ASP/ASP.NET上で開発されたWebサイトを狙ってデータベースの改ざんを行います。

　そういえば、ゴルフダイジェスト・オンラインも IIS + ASP ですね。

今回のSQLインジェクション攻撃には、2つの特徴があります。

Cookieを使用してSQLインジェクションを行う。
インジェクションされる攻撃コード（SQL文）が、IDS/IPS/WAFなどの防御システムによって検知されないようにされている。

　【CSL】CSL緊急注意喚起レポート～新手のSQLインジェクションを行使するボットの確認～では、アクセスログの例も交えて上記が詳解されています。 1. を検知する snort シグネチャも掲載されています。

また、今回のSQLインジェクション攻撃に特化した対策としては、下記をあげます。ご参考になれば幸いです。

GETおよびPOSTでの変数取得処理の実装について（W）
(中略)
アクセスログへのCookie情報の記録（L）
(中略)
攻撃元IPの制限（F）
暫定的な対策となりますが、今回の攻撃元IPは現在の観測では以下の２つのIPアドレスです。ファイアウォールなどで制御してください。
61.152.246.157（中国）
211.144.133.161（中国）
211.154.163.43（中国）
（※上記IPアドレスには、決してアクセスしないでください）
データベーストリガを活用した改ざんコマンドのロールバック（B）
(中略)

WAFの導入（F）
(中略)

セキュアなWebアプリケーション（W）
(中略)

　上記についても、【CSL】CSL緊急注意喚起レポート～新手のSQLインジェクションを行使するボットの確認～で詳解されています。特に、Cookie については IIS のデフォルト状態ではログを取らないそうで、カスタマイズしていない場合には設定の変更が必要だそうです。今すぐ読んでおきませう。

　上記の IP アドレスで Web 検索すると、いろいろ出てきますね……。

2008.10.30 追記:

　【CSL】CSL緊急注意喚起レポート～新手のSQLインジェクションを行使するボットの確認～ (LAC) は 2008.10.06 付で修正されていました。

10月2日に公開した本レポート中において、脆弱性が再現できる環境に誤った記述がありましたので訂正をいたします。
具体的には、特徴2の記載内容において、ASP.Netでは%に続く文字が16進数表記できない文字列が続いた場合、%を除去せずにそのままWebアプリケーションに引き渡します。つまり、ASP.Netでは特徴2には該当しません。

　ASP.NET はさすがにマトモだった模様。

■ ゴルフダイジェスト・オンラインで不正アクセス被害発生
(various)

　ゴルフダイジェスト・オンライン (GDO) で不正アクセス被害が発生。被害規模・被害範囲はまだ不明。福本さん情報ありがとうございます。

　GDO がどんなサイトかというと、月間PV1億2000万のゴルフ総合ポータルが成長するために必要だったものとは――GDO・木村暁氏 (bizmakoto.jp, 2007.07.09) によると

　そういった総合的な展開をしているサイトの1つが、ゴルフダイジェスト・オンライン（GDO）だ。Eコマース（物販）だけでなく、Eブッキング（ゴルフ場などのネット予約）、メディア（ゴルフレッスンや国内外のトーナメント情報）の3つの事業を柱にしており、ゴルフに関する情報・商品・サービスを広く扱う総合ポータルサイトとなっている。
　ゴルフに関する総合ポータルという性質上、GDOへのアクセスは、ゴルフのオンシーズンになると増えてくる。2006年のオンシーズンには、ページビューは月間約1億2000万、ユニークユーザー数は約280万を記録した。
　また会員制の「GDOクラブ」を運営しており、2007年1月で会員は100万人を突破した。男女比は87：13と男性が多いが、最近の傾向として、女性会員が占める率が増えてきているという（2002年の女性会員の割合は7.8％）。また会員の中心が30代以上、高所得者が多いというのも“ゴルフポータル”らしい特徴だといえる。

　会員情報が洩れたとなると、100 万人規模の被害が発生する可能性がある。

　以下の情報をまとめると、

GDOでSQLインジェクション被害が出た模様 (自動車オプションパーツ取付会社で働く取締役の日記, 2008.10.01)
GDOサイト復旧そしてまたクローズ (自動車オプションパーツ取付会社で働く取締役の日記, 2008.10.01)
GDOに不正アクセス。サイト改ざんされた模様。 (Web屋のネタ帳, 2008.10.01)
システム障害に関するお知らせ (GDO, 2008.09.30)。対象は GDOSHOP.com。
テスト運用のお知らせ (GDO, 2008.10.02)

　こういう状況みたい。

2008年9月30日	11時頃	サーバーの一部に不正改ざんを発見 (GDOSHOP.com か?)
	14時30分	ウェブサイトを一時的に閉鎖
	10時～21時	顧客にウイルスを含む Web ページの URL をメール配信
2008年10月1日	午前9時	サービス復旧
2008年10月1日	18時	サイトが不安定なため、再度全面停止
2008年10月2日	午前1時	テスト運用として、断続的にサイトを再開

　SQL インジェクションによるものなのかどうかはまだ不明。顧客にウイルス URL メールを配信していたというのは、これまで聞いたことがない状況だなあ。

　現在、GDO全サービスにおける緊急システムメンテナンスを実施中の模様 (GDO、Last Modified: Wed, 01 Oct 2008 17:31:56 GMT) なので、「断続的にサイトを再開」といっても、サービスは限られていると思われ。

【メンテナンス対象】
・GDO全サービス（モバイルサイト含む）

* GDOSHOP.com
* ゴルフ場予約
* ゴルフマガジン＆ゴルフスタイル
* ゴルファーズブログ、スコア管理、GDOサークル
* MY GDO（ゴルフ場予約内容変更＆キャンセル、個人情報変更、ポイント履歴閲覧他）
* その他サービス全て

　stay tuned.

2008.10.03 追記:

　2008.10.02 19:30 時点で、再び全面停止になっている。

　GDO 自身による経緯説明は以下のとおり。

9月30日：午前11時頃　サーバーの一部に不正改ざんを発見
9月30日：午後2時半　サービスを一時的に閉鎖
10月1日：午前9時　復旧
10月1日：サービス復旧後、アクセス集中により、サイトが不安定な状況が継続
10月1日：午後6時　再度サービス停止
10月2日：午前1時すぎ　全面復旧に向けたテスト運用のため断続的にサイトを再開
10月2日：テスト運用を継続、全面復旧にむけ鋭意調査、確認
10月2日：午後6時　テスト運用の結果、再度修正のためサービス全面停止

2008.10.20 追記:

　2008.10.10 時点で全面再開していたそうで。

弊社WEBサイト停止に関するご報告 (golfdigest.co.jp, 2008.10.17)

2009.06.13 追記:

■ ITセキュリティ予防接種実施協力企業の募集
(JPCERT/CC, 2008.10.02)

　例の「予防接種」ですが、次回へ向けて JPCERT/CC が実施協力企業を募集しています。締切 2008.10.31。江田さん、小宮山さん情報ありがとうございます。

■ 2008.10.01

》今年の冬の季節性インフルエンザは Brisbane H3N2 が流行する?! cadz さん情報ありがとうございます。
- Deadly Australian flu 'may strike this winter' (telegraph.co.uk, 9/29)
- Sanofi Pasteur Shipping First Doses of Influenza Vaccine for the 2008-2009 Season (Sanofi Pasteur, 8/1)
- 2008／09インフルエンザシーズンに推奨されるワクチン株‐WHO (Vol. 29 p. 107-107: 2008年4月号) (国立感染症研究所感染症研究センター)。 WHO は A/Brisbane/10/2007(H3N2) への対応を推奨しています。
  
  2008／09インフルエンザシーズンに推奨されるワクチン株
  　A/Brisbane/59/2007(H1N1)類似株
  　A/Brisbane/10/2007(H3N2)類似株
  　B/Florida/4/2006類似株
- インフルエンザワクチン株 (国立感染症研究所感染症研究センター)。今年の冬用に日本で用意さているインフルエンザワクチンは:
  
  ○2008/2009冬シーズン
  　　Ａ／Brisbane（ブリスベン）／59／2007（H1N1）
  　　Ａ／Uruguay（ウルグアイ）／716／2007（H3N2）
  　　Ｂ／Florida（フロリダ）／4／2006　　
  
  A/Uruguay/716/2007 は「A/Brisbane/10/2007(H3N2)類似株」なのだそうです。 A/Brisbane/10/2007 と A/Uruguay/716/2007 はどう違うんだろう。関連:
  - ＜速報＞平成20年度インフルエンザHAワクチン製造株の決定について（通知） (厚生労働省医薬食品局長, 6/17)
  - EU recommendations for the seasonal influenza vaccine composition for the season 2008/2009 (EU, 3/19)
    
    a) Reassortant virus IVR-148, which is derived from A/Brisbane/59/2007, as an A/Brisbane/59/2007 (H1N1)-like strain.
    b) Reassortant virus NYMC X-175C, which is derived from A/Uruguay/716/2007, as an A/Brisbane/10/2007 (H3N2)-like strain
    c) B/Florida/4/2006 and B/Brisbane/3/2007 as B/Florida/4/2006-like strains
- 速報記事 (ウイルス・リケッチア) (国立感染症研究所感染症研究センター) の最近の記事でも H3N2 という文字列が複数見られるのですが、それら事例で使われている「国立感染症研究所より配付された2007／08シーズン用同定キット」には
  - A/Hiroshima（広島）/52/2005（H3N2）
  - A/Solomon Islands/3/2006（H1N1）
  - B/Shanghai（上海）/361/2002
  - B/Malaysia/2506/2004
  しか含まれていないようで。よくわからんなあ。
- 東京都において2007-08年シーズン検出されたインフルエンザウイルスのHA遺伝子系統樹 (東京都感染症情報センター)。興味深い。
》企業機密を家族に漏らす社員，ブラジルが39％，日米は16％ (日経 IT Pro, 10/1)。調査方法とか、さっぱりわからないなあ。
》米国映画協会とリアルネットワークス、DVD複製ソフト「RealDVD」を巡り互いを提訴　映画協会はリアル製ソフトを“StealDVD”と非難。一方リアルはライセンスに完全順守を主張 (ComputerWorld.jp, 10/1)
》役所の「資料提出」に自民党の事前許可制が (保坂展人のどこどこ日記, 10/1)。自民党の劣化がひどすぎる。
》白浜シンポ経済産業大臣表彰「情報セキュリティ促進部門」 (まるちゃんの情報セキュリティ気まぐれ日記, 10/1)。関係者のみなさん、おめでとうございます。
》ディアイティが「Winnyトラブル相談室」、対応方法を無料アドバイス (日経 IT Pro, 10/1)
》変死体を病死ですませる警察を放置しておいて精密司法だなんてちゃんちゃらおかしい (情報流通促進計画 by ヤメ記者弁護士（ヤメ蚊）, 9/24)

　医療事故情報センターの総会記念シンポジウムでの岩瀬博太郎・千葉大大学院医学研究院法医学教授の話は衝撃的だ。

　同教授によると、年間１５万人が変死しているが、監察医制度のない地域（東京２３区、大阪市、神戸市、横浜市を除く地域）では、変死を解剖する割合は、わずか４％だというのだ。いいですか、４％ですよ。残り９６％は、解剖すらされないで病死で始末されているわけだ。また、監察医制度のあるところですら、２０％に過ぎない。イギリスで６０％、アメリカで５０％が解剖されていることと比較すると、いかに、日本で事実解明をする姿勢がないかが分かると思う。

　かくして「事実に基づかない捜査」が行われ、犯罪見逃しや冤罪につながる、と。

　また、岩瀬医師は、パロマ事件を例に挙げる。２人の男女がパロマガス器具で一酸化炭素中毒死する５ヶ月前に同じ部屋で２９歳の男性が死んだケースがあった。この２９歳の男性のいぞくは、一酸化炭素中毒を疑い、司法解剖をしてくれと頼んだが、風呂場で死んだ死体は犯罪とは関係がないから司法解剖はいらないということで、そのままにした。その結果、５ヶ月後に２人が死ぬはめに陥ったというのだ。

　岩瀬医師は、パロマで何十人かが死んだことについて、警察のせいでもあるとはっきり指摘している。警察がしっかり動いていれば、パロマの問題が発覚していてはずだというのだ。
》 7割が「うっかり」に直面 (日経 IT Pro, 10/1)。この件について関心がある人がアンケートに答えているのだろうから、「7割」という数字には意味がないだろう。
》 2008年の「Black Hat」カンファレンスを振り返って (日経 IT Pro, 10/1)
》 Spam Using e-Mail Delivery Notifications To Verify Valid Addresses (trendmicro blog, 9/30)
》マイクロソフト、海賊版Windowsの危険性を指摘する調査リポートを公表　あらためて海賊行為撲滅を訴え (ComputerWorld.jp, 10/1)
》 Internet Week 2008 。 IW2008 での memo BoF はありません。
》 NSA Level3 AS Peers (cryptome, 9/30)。ふぅん。 Thwarting NSA Traffic Analysis (cryptome, 9/29)。ふぅん。
》 The Shadow Factory: The Ultra-Secret NSA from 9/11 to the Eavesdropping on America (Hardcover) (amazon)。すべては傍受されているの著者 James Bamford の新作。10/14 発売予定。
》 2008年国際航空宇宙展やってますね。10/3 まで。ラプ太郎こと心神の実大 RCS 試験模型も特別展示されている模様。ACE COMBAT 6 も試遊展示されているそうです。11/6 には低価格化もされるそうで。

ブルーインパルス記念飛行は天候不良のため中止となりました。

　あらら、残念。
》日本のストリートビューへの疑問にグーグル法務担当副社長らが回答 (slashdot.jp, 10/1)。いや、冗談抜きで、ちり紙交換車ライクな実装にすればいいのにと思うんだけどね。
》楽天メールマガジン情報漏洩続き (水無月ばけらのえび日記, 9/30)、個人情報を含む楽天メルマガの設定変更画面、Google経由で第三者にさらされる (slashdot.jp, 10/1)
》このっ、バカ共が！ (松浦晋也のL/D, 9/29)。神舟7号ねた。
》 Updates: Process Monitor v2.0, ZoomIt v2.11, Sigcheck v1.54, Contig v1.55 | A new Mark's Blog post: The Case of the Sloooow System | New Vista Springboard webcast (Sysinternals Site Discussion, 9/30)。Process Monitor がメジャーアップデートされてます。
》自宅の無線LAN、「セキュリティ対策実施していない」が4割以上 (slashdot.jp, 9/30)。いまどきは「ふつ～AOSS」のようですから、本来は、そういうことを意識しなくてもちゃんとセキュアになっていることが期待されるのですけど、世の中そんなに甘くないようで。

　元ねたの 2008年度第1回情報セキュリティに関する脅威に対する意識調査の報告書公開～　未だに認識されない無線LANの危険性　～ (IPA, 9/29) ですが、
- 調査は野村総研が実施
- 野村総研なので、TrueNavi を利用 (モニターの属性)。各性別・年齢別のサンプル割付は「インターネット白書 2007」の性別・年代別データを元に実施。
ということで、母集団的には割とまともかなあ。しかし……
- 「スパイウェア」という微妙な用語の意味を問うたりしているのは正直どうなのか。自己増殖機能があればスパイウェアとは呼ばないの?
- 「フィッシング詐欺」の項、「詳しい内容を知っている」という人への
  
  ブラウザの SSL の鍵マーク (サイトの証明書) を確認することは、偽サイトかどうかを見破るのに有効です
  
  という設問の正答が「○」、正答率が 35.5% となっているのだが、「×」だと思った人はどのように考えて「×」だと判断したのだろう。 ○×式の場合、設問の意味がわからなければ正答率は 50% に近づいていくと思うのだが、正答率 35.5% なので、多くの人が積極的に「×」を選択したことになる。
  
  もしかしたら、かなりの人は、こういう設問↓だと勘違いしたのではないのか。
  
  ブラウザで SSL の鍵マーク (サイトの証明書) が表示されていれば、偽サイトではありません。
  
  この設問は「ひっかけ問題」になってしまっているのではないのか。
- 「標的型攻撃」の項、「詳しい内容を知っている」という人への
  
  セキュリティ対策ソフトで検知されないことが多いです
  
  の正答率 27.7% はなかなかショッキングですねえ。セキュリティ対策ソフトって「詳しい内容を知っている」人にすら過信されているんですね。
》「こんにゃく入りゼリー」よりものどに詰まって死亡した件数が多い危険な食べ物ベスト10 (gigazine, 10/1)。もとはと言えば、人体の構造上の欠陥 (食道と気道とが分離されていない) なんだよね。「人間を設計・製造したのは神様」説に基づくと、神様が超マヌケなために生じた欠陥ということになる。自分に似せてつくってもいいけど、致命的な欠陥くらい修正しなさいよ。関連: イリーガル・エイリアン
》 Porn for Free: Puper Promises Hot Videos on YouTube (McAfee blog, 9/30)。あの手この手でくるなぁ。
》 dnscap - DNS traffic capture utility (dns-oarc.net) というツールがあるそうで。

This utility is similar to tcpdump(1), but has finer grained packet recognition tailored to DNS transactions and protocol options.
》 Really Legal Stuff (F-Secure blog, 9/30)。WinDefender 2008 登場。例によってニセソフト。

■ DELL Dimension 2400c / 4600c (計 14万7000台) の電源ユニットに発煙を伴う不具合の可能性
(DELL, 2008.09.30)

　DELL Dimension 2400c 6万台と、Dimension 4600c 8万7千台の合計 14万7千台において電源ユニット (PSU) に不具合があり、システムが停止して起動しなくなったり、発煙したりする場合がある模様。発煙事象は既に 13 件確認されている模様。

　こういう話の場合、ふつうは「無償交換を開始しているので……」と続くのだが、そんな動きは一切ない。デル、一部のデスクトップPC不具合についてサポート情報を掲示 (DELL, 2008.09.30) にあるのはこんな文句。

デルはこの問題を調査の結果、PSU不具合はいずれも金属ケース内部のプリント基板上で発生後、短時間で終結しているため、製品の安全性に影響がないことを確認しております。

当該製品PSUに不具合が起きた場合には、故障した部品を無償で交換させていただきます。サポート情報の詳細については、デル・テクニカルサポート（ウエブサイトhttp://Support.jp.dell.comまたはフリーダイヤル 0120-198-499 受付時間: 平日9:00～17:00 ）にご連絡いただきますようお願い申し上げます。

　http://supportapp.jp.dell.com/jp/jp/psu/confirm.asp において、不具合のある電源を塔載しているか否かを確認できる。Dimension 2400c / 4600c 利用者は確認しておこう。

　関連: Dimension 2400c/4600cをご愛用のお客様へご案内 (DELL, 2008.09.30)

■ いろいろ (2008.10.01)
(various)

CVE-2008-4323。 XP SP3 の Explorer に欠陥があり、攻略 zip ファイルによって crash する。 PoC (milw0rm)。
CVE-2008-4327。 GDIPLUS.DLL に欠陥があり、攻略 .ico ファイルによってアプリケーションが crash する。 MS Windows GDI+ .ico Remote Division By Zero (milw0rm)
JVNVU#343971: ABB PCU400 にバッファオーバーフローの脆弱性 (JVN, 2008.09.29)
WinZip 11.2 SR-1 (Build 8261) (winzip.com, 2008.09.25)。MS08-052 - 緊急: GDI+ の脆弱性により、リモートでコードが実行される (954593) の話らしい。

Distribution files for WinZip versions 11.1 and 11.2 included an earlier gdiplus.dll which was placed in the WinZip program folder for Windows 2000 systems only. Other operating systems are not affected by these installations. Upgrading to WinZip 11.2 SR-1 or WinZip 12.0 on Windows 2000 systems will replace the earlier gdiplus.dll with a newer version that is not subject to the security vulnerability.
#2008-013 MPlayer Real demuxer heap overflow (oCERT, 2008.09.30)。patch あり。CVE-2008-3827

■ EC-CUBE に複数の欠陥
(JVN, 2008.10.01)

　日本発のオープンソース「EC-CUBE」に複数の欠陥。

JVNDB-2008-000065: EC-CUBE における SQL インジェクションの脆弱性 (JVN)。EC-CUBE 2.0.0-beta 以降の Ver2 に SQL インジェクション欠陥が存在。 EC-CUBE Ver2 2.3.0 で修正されている。また、修正ファイルや修正個所が明示されている: SQLインジェクション脆弱性について(2008年09月29日) (ec-cube.net) を参照。

関連: 「EC-CUBE」におけるセキュリティ上の弱点（脆弱性）の注意喚起 (IPA, 2008.10.01)
JVNDB-2008-000062: EC-CUBE におけるクロスサイトスクリプティングの脆弱性 (JVN)。EC-CUBE Ver1 / Ver2, EC-CUBE コミュニティに XSS 欠陥が存在。 EC-CUBE Ver1 1.4.7 / 1.5.0-beta2, Ver2 2.3.0, EC-CUBE コミュニティ 1.3.5 / r17623 で修正されている。
JVNDB-2008-000063: EC-CUBE におけるクロスサイトスクリプティングの脆弱性 (JVN)。 EC-CUBE Ver1 / Ver2, EC-CUBE コミュニティに、上記とは別の XSS 欠陥が存在。 EC-CUBE Ver1 1.4.7 / 1.5.0-beta2, Ver2 2.3.0, EC-CUBE コミュニティ 1.3.5 / r17623 で修正されている。
JVNDB-2008-000064: EC-CUBE におけるクロスサイトスクリプティングの脆弱性 (JVN)。 EC-CUBE Ver2, EC-CUBE コミュニティナイトリービルド版に欠陥。上記とは別の XSS 欠陥が存在。 EC-CUBE Ver2 2.3.0 で修正されている。 EC-CUBE コミュニティナイトリービルド版はまだ直ってないみたい。

■ 追記

いろいろ (2008.09.24): 　phpMyAdmin の件: JVN#54824688: phpMyAdmin におけるクロスサイトスクリプティングの脆弱性 (JVN, 2008.09.26)
一太郎の脆弱性を悪用した不正なプログラムの実行危険性について: 　三四郎 2008 にも欠陥を含むモジュールの存在が明らかとなり、アップデートモジュールが公開されている。しかし、「三四郎2008で発生している現象を回避します」という説明はなんとかならないのか。セキュリティ更新が含まれているのに。

■ Jack C. Louis and Robert E. Lee to talk about New DoS Attack Vectors (Sockstress)
(t2.fi, 2008.08.27)

　Sockstress と言うのだそうです。

Jack C. Louis and Robert E. Lee from Outpost24 will divulge new technical details about TCP state table manipulation vulnerabilities that affect availability.

Specifically this talk will showcase new attacks that will render a remote system unavailable using a very low bandwidth attack stream. Attacks against Windows, BSD, Linux, and embedded systems TCP/IP stack implementations will be discussed and demonstrated.

　既知の対 TCP 攻撃とは異なる、ということなのかなぁ……。2008.10.17 公開予定。

2008.10.07 追記:

　関連:

TCPにウェブサイトを危険にさらす脆弱性--スウェーデンの研究者が発見 (日経 IT Pro, 2008.10.06)

「UnicornScan」という名前のポートスキャナを使ったテストで，脆弱性が発見された。

UnicornScan ですか。
TCP/IPに深刻な脆弱性――DoS攻撃の格好の標的に　「脆弱性は少なくとも5つ」とセキュリティ専門家。対応急ぐベンダー各社 (ComputerWorld.jp, 2008.10.06)

　一方、米国Microsoftは声明を発表し、「当社でも独自に調査したが、脆弱性を利用した攻撃や、顧客への影響は確認できなかった」と述べた。
　しかし、米国SecTheoryのCEO、ロバート・ハンセン（Robert Hansen）氏によると、実際にDoS攻撃が行われれば、非常に厄介な事態に陥るという。その理由として同氏は、DoS攻撃を仕掛けるのにわずかな帯域幅しか必要ないことと、標的となったマシンの多くは攻撃が終わった後も使用できない状態になることの2点を挙げている。
　ハンセン氏は、ブログに次のように記している。「バグは1つではなく、少なくとも5つはあり、そして30もの潜在的な問題があるようだ。これがどの程度深刻な被害をもたらすかは、まだ十分に調査できていない。想定される被害は、システムの完全なシャットダウンから合法的なトラフィックの遮断まで、実にさまざまである」
　リー氏とルイス氏は、ヘルシンキで開催されるセキュリティ関連コンファレンス「T2」（10月16日～17日）でもこの脆弱性を取り上げる予定だが、修正パッチが提供されないかぎり、脆弱性の詳細をこれ以上明らかにするつもりはないと述べている。

ふぅむ……。
CERT-FI Statement on the Outpost24 TCP Issues (CERT-FI, 2008.10.02)
Robert E. Lee。発見者のブログ。

　いずれにせよ、patch 待ちなのは変わらない。

2008.10.21 追記:

　関連:

CVE-2008-4609
CERT-FI Statement on the Outpost24 TCP Issues (CERT-FI)。2008.10.17 付で改訂されている。

Oct 17. The TCP issue reported by Outpost24 is being coordinated by CERT-FI. We are in a process of determining the impact of the techniques and principles described by the reporters of the issue. We are researching and handling the issue with several vendors from all potentially affected branches of network equipment and software. Once we are fully aware of what types of network equipments and services are most possibly affected, we will make more vendor contacts. Based on previous experience from similar coordination projects, we estimate that the full publication of the details of the issue may take until next year. CERT-FI will publish more information on the developments of the issue coordination as the coordination progresses.
Cisco Security Response: Cisco Response to Outpost24 TCP State Table Manipulation Denial of Service Vulnerabilities (Cisco, 2008.10.17)

Cisco PSIRT research indicates an attacker must complete a TCP three-way handshake to a device to successfully exploit the DoS vulnerabilities. This requirement makes spoofing the source of an attack more challenging. The TCP vulnerabilities that Outpost24 announced are an extension of well-known weaknesses in the TCP protocol.

It is possible to mitigate the risk of these vulnerabilities by allowing only trusted sources to access TCP-based services. This mitigation is particularly important for critical infrastructure devices. PSIRT recommends the implementation of infrastructure access control lists (IACLs) and control plane policing (CoPP) to protect core network functionality.
TCP Resource Exhaustion and Botched Disclosure (insecure.org)。nmap な人による解説。

2009.09.09 追記:

　Sockstress の件、ようやく各社から patch が出てきた模様。

MS09-048 - 緊急: Windows TCP/IP の脆弱性により、リモートでコードが実行される (967723) (Microsoft, 2009.09.09)

patch があるのは Windows Server 2003 / Vista / Server 2008 だけ。 Windows 7 は対応済。
Cisco Security Advisory: TCP State Manipulation Denial of Service Vulnerabilities in Multiple Cisco Products (Cisco, 2009.09.09)
Check Point response to Sockstress TCP DoS attacks (CVE-2008-4609) (Check Point, 2009.09.08)
Does CVE-2008-4609 affect Red Hat Enterprise Linux? (Red Hat, 2009.09.08)。iptables を使った軽減策が紹介されている。また、RHEL 5 + RHSA-2009:1243-2 では connlimit に対応しているのだが、実際にはバグっていてうまく使えない模様。

2009.09.10 追記:

　続報。

Solution 267088 : Multiple Security Vulnerabilities in Solaris TCP (see tcp(7P)) Implementation May Lead to a Denial of Service (DoS) Condition (Sun, 2009.09.09)。patch はまだない。

2009.09.28 追記:

　関連:

CVE-2008-4609にて報告されたTCPプロトコルの脆弱性について (マカフィー, 2009.09.28)。 Email and Web Security Appliance v5.x の件。v5.1 Patch 4 で修正されているそうで。

製品名	バージョン
ウイルスバスターコーポレートエディション	8.0
Trend Micro ビジネスセキュリティ	5.0
Trend Micro ウイルスバスタービジネスセキュリティ	3.6 / 3.5
ウイルスバスター 2009	17.x
ウイルスバスター 2008	16.x
ウイルスバスター2007 トレンドフレックスセキュリティ	15.x

セキュリティホール memo - 2008.10

■ 「OpenOffice.org 2.4.2」公開、2件の脆弱性を修正 (Internet Watch, 2008.10.30)

■ 「Google Chrome」最新版公開、脆弱性やプラグイン問題など修正 (Internet Watch, 2008.10.31)

■ 「一部PCメーカーによるノートブック型コンピューター用電池パック自主回収」への協力について (SONY, 2008.10.31)

■ Opera 9.62 for Windows Changelog (Opera, 2008.10.30)

■ Microsoft社製 セキュリティ更新プログラム(MS08-064)の適用後に OSの再起動をせずに使用し続けるとブルースクリーンが発生する可能性についてのご報告 (トレンドマイクロ, 2008.10.31)

■ 書籍「はじめてのPHPプログラミング基本編5.3対応」にSQLインジェクション脆弱性 (徳丸浩の日記, 2008.10.29)

■ いろいろ (2008.10.28) (various)

■ いろいろ (2008.10.25) (various)

2008.10.27 追記:

■ Multiple problems in Wireshark versions 0.10.3 to 1.0.3 (Wireshark.org, 2008.10.20)

■ Secunia Research: Trend Micro OfficeScan CGI Parsing Buffer Overflows (secunia, 2008.10.23)

2008.11.19 追記:

■ F-Secureセキュリティ勧告 FSC-2008-3 RPM解析における脆弱性 (F-Secure, 2008.10.22)

■ VideoLAN Security Advisory 0809: Buffer overflow in VLC TiVo demuxer (videolan.org, 2008.10.21)

2008.11.02 追記:

■ マイクロソフト セキュリティ情報の事前通知 - 2008 年 10 月 (定例外) (Microsoft, 2008.10.23)

2008.10.24 追記:

■ No School Like The Old School (doxpara.com, 2008.10.21)

2008.11.05 追記:

■ Opera 9.61 for Windows Changelog (Opera, 2008.10.21)

■ キーボード打鍵時の電磁波で情報漏えい、スイスの研究者が実証 (Internet Watch, 2008.10.21)

■ Winny作者・金子氏の控訴審、2009年1月19日から大阪高裁で (Internet Watch, 2008.10.21)

■ いろいろ (2008.10.21) (various)

■ Google Webmaster Tools warning about hackable sites (SANS ISC, 2008.10.20)

2008.10.26 追記:

■ Changes with Apache 2.2.10 (Apache.org, 2008.10.14)

■ 行動ターゲティング広告はどこまで許されるのか (日経, 2008.10.16)

2008.10.27 追記:

■ Microsoft 2008 年 10 月のセキュリティ情報 (Microsoft, 2008.10.15)

2008.10.26 追記:

2008.10.28 追記:

2008.10.31 追記:

2008.11.04 追記:

2008.11.05 追記:

2008.11.07 追記:

2008.11.12 追記:

2008.11.17 追記:

2008.11.26 追記:

2008.11.28 追記:

2008.12.05 追記:

2008.12.08 追記:

2008.12.18 追記:

2009.04.18 追記:

2009.11.07 追記:

■ いろいろ (2008.10.17) (various)

2008.10.27 追記:

2008.12.04 追記:

■ ノートン・オンゴーイングプロテクションに注意 (amazon.co.jp, 2008.09.19)

■ Oracle Critical Patch Update Advisory - October 2008 (Oracle, 2008.10.14)

■ CORE-2008-1010: VLC media player XSPF Memory Corruption (CORE Security Technologies, 2008.10.15)

■ アドビ システムズ、 Adobe Flash Player 10の提供を開始 (Adobe, 2008.10.15)

2008.10.16 追記:

2008.10.19 追記:

2008.11.07 追記:

2008.11.18 追記:

■ SYM08-017: シマンテックのデバイスドライバ にローカルでの特権昇格の脆弱性 (シマンテック, 2008.10.07)

■ マイクロソフト セキュリティ アドバイザリ (956391) ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (Microsoft, 2008.10.15)

■ Microsoft Exploitability Index (悪用可能性指標) (Microsoft, 2008.10.14)

■ [SA32226] CUPS Multiple Vulnerabilities (secunia, 2008.10.11)

■ Security Notice for CA ARCserve Backup (CA, 2008.10.09)

■ About Security Update 2008-007 (Apple, 2008.10.10)

■ いろいろ (2008.10.10) (various)

■ Watch that .htaccess file on your web site (SANS ISC, 2008.10.09)

■ マイクロソフト セキュリティ情報の事前通知 - 2008 年 10 月 (Microsoft, 2008.10.10)

■ いろいろ (2008.10.09) (various)

■ Microsoft PicturePusher ActiveX (PipPPush.DLL 7.00.0709) remote Cross Site File Upload attack POC (IE6) (milw0rm, 2008.10.08)

■ Opera 9.6 for Windows Changelog (Opera.com, 2008.10.08)

■ いろいろ (2008.10.06) (various)

■ Yahoo! JAPAN、一部利用者にパスワード変更求める措置 (Internet Watch, 2008.10.03)

■ iPhone用メール・アプリにフィッシング/スパム被害につながるセキュリティ・ホール (日経 IT Pro, 2008.10.03)

■ Trend Microの企業向けセキュリティ製品に脆弱性、修正パッチ公開 (ITmedia, 2008.10.03)

2008.10.23 追記:

■ 【CSL】CSL緊急注意喚起レポート～新手のSQLインジェクションを行使するボットの確認～ (LAC, 2008.10.02)

2008.10.30 追記:

■ ゴルフダイジェスト・オンラインで不正アクセス被害発生 (various)

2008.10.03 追記:

2008.10.20 追記:

2009.06.13 追記:

■ ITセキュリティ予防接種 実施協力企業の募集 (JPCERT/CC, 2008.10.02)

■ 「OpenOffice.org 2.4.2」公開、2件の脆弱性を修正
(Internet Watch, 2008.10.30)

■ 「Google Chrome」最新版公開、脆弱性やプラグイン問題など修正
(Internet Watch, 2008.10.31)

■ 「一部PCメーカーによるノートブック型コンピューター用電池パック自主回収」への協力について
(SONY, 2008.10.31)

■ Opera 9.62 for Windows Changelog
(Opera, 2008.10.30)

■ Microsoft社製セキュリティ更新プログラム(MS08-064)の適用後に OSの再起動をせずに使用し続けるとブルースクリーンが発生する可能性についてのご報告
(トレンドマイクロ, 2008.10.31)

■ 書籍「はじめてのPHPプログラミング基本編5.3対応」にSQLインジェクション脆弱性
(徳丸浩の日記, 2008.10.29)

■ いろいろ (2008.10.28)
(various)

■ いろいろ (2008.10.25)
(various)

■ Multiple problems in Wireshark versions 0.10.3 to 1.0.3
(Wireshark.org, 2008.10.20)

■ Secunia Research: Trend Micro OfficeScan CGI Parsing Buffer Overflows
(secunia, 2008.10.23)

■ F-Secureセキュリティ勧告 FSC-2008-3 RPM解析における脆弱性
(F-Secure, 2008.10.22)

■ VideoLAN Security Advisory 0809: Buffer overflow in VLC TiVo demuxer
(videolan.org, 2008.10.21)

■ マイクロソフトセキュリティ情報の事前通知 - 2008 年 10 月 (定例外)
(Microsoft, 2008.10.23)

■ No School Like The Old School
(doxpara.com, 2008.10.21)

■ Opera 9.61 for Windows Changelog
(Opera, 2008.10.21)

■ キーボード打鍵時の電磁波で情報漏えい、スイスの研究者が実証
(Internet Watch, 2008.10.21)

■ Winny作者・金子氏の控訴審、2009年1月19日から大阪高裁で
(Internet Watch, 2008.10.21)

■ いろいろ (2008.10.21)
(various)

■ Google Webmaster Tools warning about hackable sites
(SANS ISC, 2008.10.20)

■ Changes with Apache 2.2.10
(Apache.org, 2008.10.14)

■ 行動ターゲティング広告はどこまで許されるのか
(日経, 2008.10.16)

■ Microsoft 2008 年 10 月のセキュリティ情報
(Microsoft, 2008.10.15)

■ いろいろ (2008.10.17)
(various)

■ ノートン・オンゴーイングプロテクションに注意
(amazon.co.jp, 2008.09.19)

■ Oracle Critical Patch Update Advisory - October 2008
(Oracle, 2008.10.14)

■ CORE-2008-1010: VLC media player XSPF Memory Corruption
(CORE Security Technologies, 2008.10.15)

■ アドビシステムズ、 Adobe Flash Player 10の提供を開始
(Adobe, 2008.10.15)

■ SYM08-017: シマンテックのデバイスドライバにローカルでの特権昇格の脆弱性
(シマンテック, 2008.10.07)

■ マイクロソフトセキュリティアドバイザリ (956391) ActiveX の Kill Bit の累積的なセキュリティ更新プログラム
(Microsoft, 2008.10.15)

■ Microsoft Exploitability Index (悪用可能性指標)
(Microsoft, 2008.10.14)

■ [SA32226] CUPS Multiple Vulnerabilities
(secunia, 2008.10.11)

■ Security Notice for CA ARCserve Backup
(CA, 2008.10.09)

■ About Security Update 2008-007
(Apple, 2008.10.10)

■ いろいろ (2008.10.10)
(various)

■ Watch that .htaccess file on your web site
(SANS ISC, 2008.10.09)

■ マイクロソフトセキュリティ情報の事前通知 - 2008 年 10 月
(Microsoft, 2008.10.10)

■ いろいろ (2008.10.09)
(various)

■ Microsoft PicturePusher ActiveX (PipPPush.DLL 7.00.0709) remote Cross Site File Upload attack POC (IE6)
(milw0rm, 2008.10.08)

■ Opera 9.6 for Windows Changelog
(Opera.com, 2008.10.08)

■ いろいろ (2008.10.06)
(various)

■ Yahoo! JAPAN、一部利用者にパスワード変更求める措置
(Internet Watch, 2008.10.03)

■ iPhone用メール・アプリにフィッシング/スパム被害につながるセキュリティ・ホール
(日経 IT Pro, 2008.10.03)

■ Trend Microの企業向けセキュリティ製品に脆弱性、修正パッチ公開
(ITmedia, 2008.10.03)

■ 【CSL】CSL緊急注意喚起レポート～新手のSQLインジェクションを行使するボットの確認～
(LAC, 2008.10.02)

■ ゴルフダイジェスト・オンラインで不正アクセス被害発生
(various)

■ ITセキュリティ予防接種実施協力企業の募集
(JPCERT/CC, 2008.10.02)

■ DELL Dimension 2400c / 4600c (計 14万7000台) の電源ユニットに発煙を伴う不具合の可能性
(DELL, 2008.09.30)

■ いろいろ (2008.10.01)
(various)

■ EC-CUBE に複数の欠陥
(JVN, 2008.10.01)

■ Jack C. Louis and Robert E. Lee to talk about New DoS Attack Vectors (Sockstress)
(t2.fi, 2008.08.27)

■ lighttpd に複数の欠陥
(lighttpd.net, 2008.09.30)