Last modified: Tue Nov 17 18:47:37 2009 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 FAQ:「Conficker」ワームによる4月1日攻撃の可能性--その実態と対策 (CNET, 3/31)。CNET オリジナルの FAQ みたい。訳の質はいまいち。 関連:
「WORM_DOWNAD」(ダウンアド)ファミリ発症日:2009年4月1日を控えたセキュリティ対策確認 (トレンドマイクロ セキュリティ blog, 3/31)、WORM_DOWNAD.KK URLs (トレンドマイクロ)
Conficker Hype Used by Rogue Gangs (F-Secure blog, 3/30)
When will it start? (F-Secure blog, 3/31)
Containing Conficker (uni-bonn.de)。conficker scanner とかあり。
》 事故米転売「被害者・美少年酒造」が三笠側から裏金30年 (読売, 3/31)。何これ……。
》 不当表示:焼き肉店に排除命令 「但馬牛」実は他の国産牛 (毎日, 3/31)、 フーディーズ株式会社に対する排除命令について (公正取引委員会, 3/31)、 フーディーズ株式会社
》 麻生首相:プロンプター初使用 誤読減らす狙い? (毎日, 3/31)
ブログ自作のテレ朝に厳重注意 総務省、過剰演出と判断 (asahi.com, 3/31)
「ネタ元ブログを自作」のテレ朝に厳重注意 総務省 (産経 MSN, 3/31)
番組問題への対応 (総務省, 3/31)
貴社が平成21年1月10日に放送した「情報整理バラエティ ウソバスター!」中、インターネット上の情報にはウソとホントがあるということを検証する「ネットバスター」のコーナーで放送した六つのネット情報について、次の点で過剰な演出があったと認められる。
1 五つのネット情報については、元のネット情報を参考に番組制作スタッフがイメージ撮影用に新たに作ったネット情報を、元のネット情報であるかのように視聴者に誤認させる方法で放送したこと
2 とりわけ、一つのネット情報については、制作段階で元のネット情報の現存を確認できなかったにもかかわらず、番組制作スタッフが記憶をもとにイメージ撮影用に新たに作ったネット情報を、元のネット情報であるかのように視聴者に誤認させる方法で放送したこと
放送法(昭和25年法律第132号)第3条の3第1項においては、「放送事業者は、放送番組の種別及び放送の対象とする者に応じて放送番組の編集の基準を定め、これに従って放送番組の編集をしなければならない。」とされているところ。
今回の事案は、貴社の番組基準が準用する日本民間放送連盟の放送基準第32条「ニュースは市民の知る権利へ奉仕するものであり、事実に基づいて報道し、公正でなければならない。」との関係において過剰な演出に該当すると判断され、放送法第3条の3第1項に抵触すると認められる。
前ねた。
》 「そっち行ったらファーって感じ」ミサイル発射で政府筋 (asahi.com, 3/31)。 こいつ誰なの?
関連: 鴻池副長官、MD「なかなか難しい」=社民・福島氏が政府筋発言追及 (時事, 3/26)、 「ピストルの弾同士、難しい」 鴻池氏、迎撃困難の認識 (asahi.com, 3/26)。笹部さん情報ありがとうございます。
》 「報道されない警察とマスコミの腐敗」著者に聞く (JANJAN, 3/28)
》 黒藪哲哉氏 VS 読売新聞社「押し紙訴訟」、地裁判決は黒藪哲哉氏の勝利
「押し紙裁判」フリー記者が読売に勝訴 (JANJAN, 3/31)
読売「押し紙」訴訟は黒薮哲哉さんの完全勝訴 (レイバーネット, 3/31)
SLAPP WATCH の http://slapp.jugem.jp/?eid=219 は削除されちゃったみたい。
この事実をマスゴミは一切報道していないみたい。まさにマスゴミ。
》 アイアクトとトライコーダ、Webアプリケーションのセキュリティ要件書を「CC」で公開 (sourceforge.jp, 3/30)。「発注者のためのWebシステム/Webアプリケーション セキュリティ要件書」。
》 とんでもない物を使って自慰行為を行い手術した女性 (gigazine, 3/31)。入れてしまったものが取れなくなった系の話は、これに限らずいろいろあるみたいですね。赤ちゃんが出てくる場所なのですから、けっこうな大きさのものが入ってしまいます。注意しましょう。
》 欧州の20近くの犯罪現場で検出されたDNA、綿棒が「最重要容疑者」 (slashdot.jp, 3/29)。こんなことがあるんだねえ。
》 wikileaks.deのドメイン登録者、独警察の強制捜査受ける (slashdot.jp, 3/30)
》 世界規模のスパイ・ネットワーク「GhostNet」,トロント大学らが報告 (日経 IT Pro, 3/30)。関連:
Ghostnet (F-Secure blog, 3/29)
Chinese Whispers: Targeted Malware and E-Espionage (ESET blog, 3/29)
GhostNet: Who is really behind it? (Sophos Graham Cluley's blog, 3/29)
Behind GhostNet (F-Secure blog, 3/30)
103カ国の国際機関を標的にしたサイバー・スパイ・ネットワーク「GhostNet」 (ComputerWorld.jp, 3/31)
》 普及率は70%以上?韓国の悲惨なマジコン事情が明らかに (gigazine, 3/31)
》 「報道ステーション」の倫理違反、テレ朝が広報番組で説明へ (読売, 3/31)
同社は31日、4月5日の広報番組「はい!テレビ朝日です」(午前4時50分)で認定内容を放送することを明らかにした。
こいつもか。「報道ステーション」枠でやるべきだろう、どう考えても。
》 ストーカー事案及び配偶者からの暴力事案の対応状況について (警察庁, 3/12)
》 出会い系サイトにおける児童でないことの確認の方法の厳格化の施行状況について (警察庁, 3/27)
》 総合セキュリティ対策会議 平成20年度報告書 (警察庁, 3/26)
》 平成20年中の「インターネット・ホットラインセンター」の運用状況について (警察庁, 3/19)
》 欧州における情報セキュリティ関連動向調査報告書 (IPA, 3/30)
》 イスラエルにおける情報セキュリティ関連動向調査報告書 (IPA, 3/30)
》 重要インフラの制御システムセキュリティとITサービス継続に関する調査報告書 (IPA, 3/30)
》 「一方的過ぎ」野党各党NHK批判 小沢氏秘書供述報道 (asahi.com, 3/30)。事実上の国営放送だからね。
》 年金記録:1695万件が未解明 全容解明ほど遠く (毎日, 3/31)
》 大戸川ダム:国交省が凍結 4府県知事反対で事実上中止 (毎日, 3/31)
》 インフルエンザが再び流行 感染研発表、B型増加で (asahi.com, 3/31)。季節性インフルエンザ話。
》 衛星搭載の可能性も、米専門家が北ミサイル先端部を分析 (読売, 3/31)
》 PAC3車両、道間違えて事故った 秋田で立ち往生 (asahi.com, 3/30)、PAC3:3時間20分後に“離脱” 秋田で立ち往生 (毎日, 3/31)。日本は今日も平和です。
関連: 空自幹部、秋田で平謝り…PAC3車両の物損事故で (読売, 4/1)
》 ソマリア沖、船団守る海自護衛艦 (asahi.com, 3/31)。活動開始。画像は防衛省提供。
》 USBメモリ利用時の危険性、認知しているのは約半数〜IPA調査 (Internet Watch, 3/30)。 2008年度第2回 情報セキュリティに関する脅威に対する意識調査の報告書公開 (IPA, 3/30) の件。 「ニンテンドー DS」のおかげで、全国的に WEP を捨てられないのでは。おまけに、DSi においてすら、DS 用ソフトを使うときは WEP なのだそうだ。
社長が訊く「ニンテンドーWi-Fiネットワークアダプタ」 (任天堂)
あと、先日発表されたばかりのニンテンドーDSiを使うときは、 従来のDS用ソフトは、従来のセキュリティレベルですが、 ニンテンドーDSiブラウザーやニンテンドーDSiショップなど DSi専用に作られた新たなソフト群では、 セキュリティレベルの高い方式を使えるようになりました。
ニンテンドーDSi には重大な欠陥アリ? (ひぐまのひまグ, 2008.10.15)
ニンテンドーDSのWEP問題について任天堂に電話で訊いてみた (ひぐまのひまグ, 2008.10.27)
ウンコすぎ。
》 Fix Tool Released for LiveUpdate 8921,246 Error [ Edited ] (Norton.com, 3/30)。proxy サーバの背後にいる Norton 2009 から LiveUpdate でエラーが出るという現象が発生していたそうで。patch が出ています。
The fix tool replaces your existing lue.dll file with lue.dll version 1.1.1.1. It fixes the root cause of the issue which is rejection of HTTP 1.0 responses by LiveUpdate, if used behind a proxy server.
杉本さん情報ありがとうございます。
……この件で発生したのかな: NAV/NIS 2009.5 Patch Update (Norton.com, 3/20)。 経過: Another LiveUpdate Failure - "Unable to locate valid update server - Code 8921, 246" (Norton.com, 3/23)。
》 シマンテック、NIS2009でも「ノートン セーフウェブ」提供開始 (Internet Watch, 3/30)
》 マイクロソフトとTomTom、特許侵害訴訟で和解 (CNET, 3/31)。 マイクロソフト、GPS端末メーカーTomTomを特許侵害で提訴 (CNET, 2/26) の件が和解。
》 漫画「もやしもん」最新話、ネットで無料公開 「減ページで金を払わせるのは忍びない」 (ITmedia, 3/30)。「最終話」と空目してびっくりした。
phpMyAdmin 方面
PMASA-2009-1 : HTTP Response Splitting and file inclusion vulnerability (phpmyadmin.net, 2009.03.24)。 CVE-2009-1148 CVE-2009-1149
PMASA-2009-2 : Cross-site scripting on export page using cookies (phpmyadmin.net, 2009.03.24)。 CVE-2009-1150
PMASA-2009-3 : Insufficient output sanitizing when generating configuration file (phpmyadmin.net, 2009.03.24)。 CVE-2009-1151
phpMyAdmin 2.11.9.5 / 3.1.3.1 で修正されているそうで。
Trend Micro Internet Security Pro 2009 Priviliege Escalation PoC (milw0rm)。0day だそうです。 CVE-2009-0686
Firefox 3.0.x (XML Parser) Memory Corruption / DoS PoC (milw0rm)。0day だそうです。 CVE-2009-1232
Opera 9.64 にも同様の欠陥があるそうです: Opera 9.64 (7400 nested elements) XML Parsing Remote Crash Exploit (milw0rm)、CVE-2009-1234
Safari 3.2.2 も: Safari 3.2.2/4b (nested elements) XML Parsing Remote Crash Exploit (milw0rm)、CVE-2009-1233
Wireshark <= 1.0.6 PN-DCP format string bug POC (milw0rm)。CVE-2009-1210
シスコ、IOSの脆弱性を修正する8件のアップデート情報を公開 (ComputerWorld.jp, 2009.03.26)、 Cisco Releases Multiple Security Advisories for IOS Vulnerabilities (US-CERT, 2009.03.25)。この件:
数式を表示するWebアプリの脆弱性 (Okumura's Blog, 2009.03.31)。 TeX を Web 上で提供する方法に記載されている設定をしましょう。
Vulnerabilities in Windows Services for UNIX and the Subsystem for UNIX-based Applications (SUA) could allow for remote code execution (Microsoft KB953602)。SUA に含まれる gzip の欠陥の件。
はてなのexpressionのXSSが修正された (水無月ばけらのえび日記, 2009.03.30)
JVN#63511247: futomi's CGI Cafe 製高機能アクセス解析CGI Professional 版における管理者権限奪取の脆弱性 (JVN, 2009.03.31)
第1回 [これはひどい]IEの引用符の解釈 (@IT, 2009.02.27)。バッククォート (`) + innerHTML。
単純に引用符が増えただけでは問題はないのですが、ここからがIEの残念なところです。(中略) 具体的には、JavaScriptからバッククオーテーションを含むinnerHTMLを取得したときに、引用符の整合性が崩れてしまうというバグがあるのです。
第2回 [無視できない]IEのContent-Type無視 (@IT, 2009.03.30)。↓こういう話ですね? わかります。
「ロボットじゃありませんよ。ア・ン・ド・ロ・イ・ド」
「うるさい、お前なんかロボットだ」
関連: 少々古いOperaでもinnerHTMLで何かを取得すると危うい (hoshikuzu | star_dust の書斎, 2009.03.30)
関連: Firefox 2.0.0.20 におけるinnerHTMLの不備 (hoshikuzu | star_dust の書斎, 2009.11.17)
※2009/2/27に[これはひどい]IEの引用符の解釈というhasegawayosukeさんによる記事が出ましたが、もう少し早いタイミングであれば、OperaやFirefoxでの類似バグが存在していたこととなります。ちなみに、Operaの方が先に修正されていたのですね。(;-p)
》 中古携帯電話で突然通話できなくなる事態が発生、ソフトバンクモバイルを提訴へ (gigazine, 3/30)
》 東京都港区「シティハイツ竹芝」エレベーター事故関連。 3 年近くが経過して、ようやく「業務上過失致死容疑で書類送検」まで到達。 「シンドラー社員ら6人書類送検 高2死亡、業過致死容疑」 (asahi.com, 3/30) および「シンドラー幹部ら6人送検 エレベーター死亡事故で 」 (産経 MSN, 3/30) によると、 送検されたのは:
| シンドラーエレベータ | 元東京支社保守部長(57)、元同部保守2課長(40) |
| エス・イー・シーエレベーター | 鈴木孝夫社長(65)、西村裕志専務(49)、元メンテナンス部長(62)、保守管理の新橋支社社員(29) |
しかし上記全員が過失を否定しているそうで。先は長い。 シンドラー製品の質そのものを問うところまでは行ってないようだし。 関連:
シンドラー社員ら6人書類送検 高2死亡、業過致死容疑 (asahi.com, 3/30)
エレベーター事故:シンドラー社などの6人を書類送検 (毎日, 3/30)
シンドラー幹部ら6人送検 エレベーター死亡事故で (産経 MSN, 3/30)
ただまぁ、30分という尺のせいなのか、「どうすりゃいいの?」という話が無く終わってしまいましたね。(中略) 怖いよー怖いよーハッカーこんなことまでできちゃうよー怖いよーという印象だけが先行して、何をすればどこまで大丈夫なのか、今本当に気をつけなければならない、人間が対応しなければならない部分はどこなのか、というものが提示できない感じと言いますかね。
》 2月にフィッシング攻撃件数が増加──大型犯罪者集団の攻撃が再活発化 新たな攻撃手法を獲得するためにネットワークを更新した“Rock Phish団” (ComputerWorld.jp, 3/27)
》 マイクロソフト、クラウド相互運用ガイドラインの策定プロセスが不透明と批判 透明性を確保するために「Creative Commonsライセンスに基づくべき」と同社 (ComputerWorld.jp, 3/27)。Microsoft が CC を叫ぶ……。そういう時代なのですね。
》 JSONデータをクロスドメインアタックから守るためにwhile(1)を使うことをやめましょう (hoshikuzu | star_dust の書斎, 3/26)
》 MITが今度は全教員の学術論文をオープンアクセスに (Okumura's Blog, 3/27)
》 国立教育政策研究所の調査結果がおもしろい (Okumura's Blog, 3/26)
》 New Malware Cracks Macs (trendmicro blog, 3/29)
》 New Beta release of Nmap (SANS ISC, 3/28)
》 Bad Symantec Virus Defintions Update (SANS ISC, 3/27)。Symantec 方面で誤検出が発生していたようで。現在は修正されている模様。
》 チェチェンの対テロ作戦終了へ ロシア、経済危機も背景 (asahi.com, 3/29)
》 「10大脅威 攻撃手法の『多様化』が進む」を公開 (IPA, 3/24)
》 情報セキュリティ技術動向調査(2008 年下期) (IPA, 3/23)
Update on Conficker.D (MSRC blog, 3/27)
Information about Worm:Win32/Conficker.D (Microsoft Malware Protection Center, 3/27)
W32/Conficker: Much Ado About Nothing? (McAfee blog, 3/27)
More Comments Regarding Conficker (McAfee blog, 3/27)
Foil Conficker Get Rid of AutoRun (ESET blog, 3/25)
Conficker: Before the Flood (April Showers) (ESET blog, 3/26)
Conficker Removal (ESET blog, 3/28)
Questions and Answers: Conficker and April 1st (F-Secure blog, 3/26)
The Conficker Worm (Symantec)
Conficker's virtual machine detection (Sophos, 3/27)
【CSL】CSL緊急注意喚起レポート 〜新手のSQLインジェクションを行使するボットの確認〜 (LAC, 2008.10.06 改訂) で示されているような IPS / WAF 回避手法が、 ASP.NET においても、特定の条件においては有効になってしまうという指摘。
下記条件の場合、ASP.NETでも類似の回避手法が存在することが分かった。
ASP.NET 1.1を利用している(ASP.NET 2.0以上の場合は問題なし)
HTTPリクエストの文字エンコーディングとしてUTF-8を利用している
この場合に、「不正なUTF-8シーケンス」をASP.NETは除去することが分かった。
ASP.NET 2.0 にはこの欠陥はないそうだ。
こういう欠陥だそうです。
ユーザーが非公開文書に画像をエンベッドすると、その画像ファイルはGoogleのサーバにアップロードされるが、このファイルはユーザーがアクセスを許可していない相手もアクセスしダウンロードが可能になっている。しかもユーザーが問題の文書を削除した後でもこのファイルには依然として誰でもアクセス可能なのだ。
Googleが昨日発表した作図機能を利用して図を作り、それを文書にエンベッドして誰かと共有した場合、その共有相手は、エンベッドされた図のすべてのバージョンを閲覧できる
ユーザーが共有相手から誰かを削除した後でも、オーナーが知らない間に、その相手はある方法でその文書に依然としてアクセス可能な場合がある。
なんだか、 名古屋の病院、誤って患者情報公開 グーグルマップ利用ミス の件ににひどく似ているような。おまけに、Google 様からはこんな回答が得られているそうで。
現在まで入手できた情報に基づく限り、指摘のあった問題はGoogleドキュメントに重大なセキュリティー上の危険をもたらすものではないと考えています。 (小島注: 原文は Based on the information we've received, we do not believe there are significant security issues with Google Docs. )
》 日テレ虚偽報道、ネット依存の情報収集が裏目に (イザ, 3/24)
24日、日テレの社内調査による中間報告書が公表され、
www.ntv.co.jp 上には存在しないみたいですね。誰に「公表」したんだろう。 山口県の裏金報道も裏付け不十分 バンキシャ!検証 (asahi.com, 3/24) によると、
前社長の久保伸太郎相談役らが24日に記者会見を開き、社内検証の途中結果を発表した。
「記者会見」でのみ公表、ですか。視聴者はどうでもいいのですね。 関連:
バンキシャがはまった情報募集サイトの“ワナ” (産経 MSN, 3/28)
日テレは、虚偽証言した蒲(がま)保広容疑者(58)=偽計業務妨害容疑で逮捕=と接触したサイトの名前を明らかにしていない。同局を含め、全在京キー局の利用実績をうたうサイトの運営企業は、産経新聞の取材に「今回の問題が起こり、取材を受けるのは当面、見合わせたい」としている。
マスゴミなんて、しょせんこの程度。
「バンキシャ!」誤報、日テレが放送番組審の議論を放送 (読売, 3/29)
日本テレビは、29日午前5時30分からの番組「あなたと日テレ」の中で、24日に行われた放送番組審議会の議論の様子を放送した。
よみうりテレビでは放送していないようで。 「バンキシャ」は全国放送なのに、検証番組は東京ローカルで済ませますか。 さすがです。 日テレ:検証番組で謝罪 「バンキシャ」虚偽証言問題 (毎日, 3/29) によると、
最後に司会の鷹西美佳アナウンサーが関係者や視聴者に謝罪し「日本テレビは今後全力を挙げて信頼回復に努めてまいります」と語った。
本当にそう思うのなら、中間報告書を一般公開したり、 検証番組を「バンキシャ」内で放送したりストリーミング放送したりすればいいのに。
》 Earth Hour (国連情報誌SUNブログ対応版, 3/28)。 「百万人のキャンドルナイト」みたいなイベントみたい。 実施の様子は、 Earth Hour ホームページや 消灯前・消灯後、アースアワー中の世界のランドマーク (AFPBB, 3/29) で。
》 トヨタがリアウィング違反で予選除外、L.ハミルトンにはペナルティ (Yahoo! スポーツ, 3/28)。F1 オーストラリア GP 方面。なんじゃこりゃーー。せっかくの好調がだいなしではないか。
それにしても、ブラウン GP がフロントロー独占だとは。今季に向けたホンダの開発がドンピシャに決まっていたということですね。それなのに、ホンダの文字のないチームだとは。
》 「ホームレス歌人」公田耕一氏が反貧困フェスタ 2009 特別賞を受賞
「ホームレス歌人」に反貧困フェスタ特別賞 (asahi.com, 3/28)
朝日で存在感増すホームレス歌人 (JANJAN, 2/10)
ホームレス歌人さん返信「連絡とる勇気、ありません」 (asahi.com, 3/9)
Firefox 3.0.8 がリリースされました。高橋さん情報ありがとうございます。 リリースノート。
》 イージス艦、28日出港 北朝鮮ミサイルで迎撃態勢 (中日, 3/27)。BGM: 怪獣大戦争マーチ。
》 自民党厚労族の医薬品ネット販売潰しの本気ぶりについて (崎山伸夫のBlog, 3/24)。やっぱり自民党。
》 ジンバブエのコレラ禍沈静化へ (国連情報誌SUNブログ対応版, 3/24)
》 国際人種差別撤廃デー (国連情報誌SUNブログ対応版, 3/22) だったのね。
》 中央アジアが非核地帯に (国連情報誌SUNブログ対応版, 3/21)。 カザフスタン・キルギス・タジキスタン・トルクメニスタン・ウズベキスタンの5か国だそうで。
》 開発途上国における食料品価格を表示するシステム公開:FAO (国連情報誌SUNブログ対応版, 3/20)
》 資金不足でアフリカ連合による平和維持活動が停滞 (国連情報誌SUNブログ対応版, 3/19)
》 2050年までに世界の人口は90億人に:国連予測 (国連情報誌SUNブログ対応版, 3/12)
》 日本がアフリカでの地雷撤去のために770万ドル拠出 (国連情報誌SUNブログ対応版, 3/11)
ストリートビューの削除責任はGoogleにあり (ITmedia, 3/24)
「Google Street Viewは違法」——英プライバシー保護団体が苦情 (ITmedia, 3/25)
PIはStreet Viewが市民に及ぼす脅威や影響を示すために、市民から寄せられた以下のような苦情を紹介している。
- 15歳の少年がスケートボードを持っている写真がStreet Viewに掲載された。この少年の両親はスケートボードの利用を禁止していたため親子げんかになり、少年は現在友人のところにいる
- 既婚男性が同僚の女性と密着して話している様子をGoogleが撮影。道路工事でうるさかったため密着して話さなければならなかったのだが、浮気しているように見え、夫婦げんかになった
- 暴力的な元夫から逃れるために転居した女性が、Street Viewで自分の居場所がばれるのではないかと不安を訴えている
- 大会社で働く2人の男性が、キスをしているように見える写真がStreet Viewに載った。実際はそうではないが、会社中に写真が出回り、彼ら自身もそのパートナー(女性)も恥ずかしい思いをした
PIは、「顔の特徴や服装などから個人を特定できる場合は英データ保護法が定める個人情報に当たる」とし、Street Viewは同法に違反していると主張。また事前の同意を得ずに撮影している点も違法であると述べている。「このような問題が解決するまでは、Street Viewを違法なものとして扱わなければならないと確信している」
》 侵入傾向分析レポート Vol.12 (LAC)。2008 年の傾向分析。
》 米軍、V-22「オスプレイ」のを運用を全面停止 (technobahn, 3/27)。ティルトローターの機構部分に原因不明のボルトのゆるみ、ですか。
》 プライバシー擁護団体、中国の「YouTubeアクセス遮断」を批判 「中国政府高官は、彼らにしか理解できない不可解な対応をしている」 (ComputerWorld.jp, 3/26)
》 マイクロソフト、Azureの自社運用版は提供しないことを明らかに すべてのAzureサービスはマイクロソフトのデータセンターを介して提供 (ComputerWorld.jp, 3/25)
》 Why Googlers attend the Internet Identity Workshop (Google Online Security Blog, 3/26)
》 IE8 Security Part IX - Anti-Malware protection with IE8's SmartScreen Filter (IEBlog, 3/25)
》 KPMGあずさサステナビリティ株式会社(あずさ監査法人グループ)のCSR報告書に対する独立第三者の審査報告書 (まるちゃんの情報セキュリティ気まぐれ日記, 3/27)
》 Questions and Answers: Conficker and April 1st (F-Secure blog, 3/26)。Conficker + 4/1 ねた。 日本語版がほしいねえ。
》 児童ポルノのアドレスリスト作成・管理団体の設置検討へ 警察庁の有識者会議が提言 (Internet Watch, 3/26)
》 GIFを隠れ蓑に悪性Javaを勝手に実行 2008年のハッキング技術1位「GIFAR」に備えよ (日経 IT Pro, 3/26)。JAR が埋め込まれた GIF / JPEG / Office 文書などに気をつけろ話。
》 TOMOYO Linux 2.2.0 が Linus's git tree にマージされました。 (熊猫さくらのブログ, 3/27)。おめでとうございます。
2.6.30 としてリリースされるのは6月末〜7月上旬になると思います。
》 トラブルなど問題対応に強くなる秘訣は何か? (日経 IT Pro, 3/27)。「『どうすればよいですか?』は質問ではありません」という奴ですね。
》 群馬県の道路橋の7割が「損傷あり」、修繕計画制定前の調査で判明 (日経 KEN-Plats, 3/25)。日本のインフラ整備はとっくにメンテナンスモードに入っているべきなんだよね。
これですかね: Microsoft GdiPlus EMF GpFont.SetData Integer Overflow PoC (milw0rm)。コードの実行には至らないそうで。
これですかね: Mozilla Firefox XSL Parsing Remote Memory Corruption PoC 0day (milw0rm)。Firefox 3.0.8 は来週登場予定だそうで。
Firefox 3.0.8 がリリースされました。高橋さん情報ありがとうございます。 リリースノート。
SeaMonkey 1.1.16 がリリースされました。 MFSA 2009-12: XSL Transformation vulnerability (CVE-2009-1169) が修正されています。
OpenSSL 0.9.8j 以前に 3 つの欠陥。
ASN1_STRING_print_ex() を使って BMPString や UniversalString を印刷する場合に、文字列の encoded length が不正だと、不正なメモリアクセスが発生して crash する。 CVE-2009-0590
OpenSSL の Cryptographic Message Syntax (CMS) 対応コードに欠陥。 CMS_verify() に欠陥があり、エラー状況を正しく処理できない。 CVE-2009-0591
CMS は OpenSSL 0.9.8h 以降でサポートされている。
izeof(long) < sizeof(void *) となるような環境 (例: WIN64) において、細工された ASN1 structure の処理において不正なメモリアクセスが発生して crash する。CVE-2009-0789
OpenSSL 0.9.8k で修正されている。iida さん情報ありがとうございます。
CanSecWest Vancouver 2009 で発表された、 BIOS にバックドアを仕掛けてみました話。Persistent BIOS Infection - Anibal Sacco & Alfredo Ortega, Core 。
BIOS レベルバックドアには、他の全てのソフトウェアに先んじて制御を奪取でき、ステルス性が高く、ほとんど全てのアンチウイルスソフトを回避でき、OS に依存しない、という特徴があるそうで。 実際に、Phoenix-Award BIOS に仕掛け、OpenBSD の shadow ファイルを操作したり Windows にコード挿入したりするデモが公開された模様。 仕掛けツールはたった 100 行の Python スクリプトで実装されているのだそうだ。
なかなか駆除できないマルウエア (日経 IT Pro, 2009.05.12)
》 Stop:0x00000024のブルースクリーン。今度は何だっ?! (パソコントラブル出張修理・サポート日記, 3/20)。 NTFS.sys を読み込まないようにしなければならない理由がよくわからないなあ。
》 内定取り消し1469人 過去最悪、辞退も500人 (中日, 3/26)
》 ハイビジョンでトロイの木馬を配布、Macを狙う悪質サイト (ITmedia, 3/26)。DNS changer ですか。
》 Oh!MyLife閉鎖、市民メディアから撤退へ (JANJAN, 3/26)。オーマイさようなら。
》 2009年を記者クラブ開放の年に (JANJAN, 3/26)
北朝鮮「衛星」:発射台に設置か 先端部に覆い 米報道 (毎日, 3/26)
軍、イージス艦「世宗大王」を東海に派遣へ…北ロケット追跡 (中央日報, 3/26)
北朝鮮:「衛星発射」通告 あす「破壊命令」 政府、国民に説明へ (毎日, 3/26)
イージス艦、佐世保基地に集結 (asahi.com, 3/25)、 米海軍のイージス艦5隻、日本周辺に展開 (読売, 3/26)
》 小沢氏秘書、違法献金認める供述 便宜供与は否定 (asahi.com, 3/26)、虚偽記入3500万円、小沢氏秘書が起訴事実の一部認める (読売, 3/25)。検察リーク情報きてますよ。
》 西松建設が二階氏側に事務所貸与 家賃補てん、規制法違反か (東京新聞, 3/26)、 提供の事務所、西松が購入資金4000万…改装工事も行う (読売, 3/26)
》 平田財務副大臣が株売却 市場の倍近い価格で (asahi.com, 3/26)。売却額 6 億円以上ですか。
……いきなり辞任だそうで。平田財務副大臣が辞任へ 株売却問題で引責 (asahi.com, 3/26)。わけがわかりません。
》 大麻を探していたらとんでもないものを見つけてしまった、どうしよう
日体大陸上部合宿所から偽札みつかる 大麻事件の捜索で (産経 MSN, 3/26)
合宿所から偽札も発見 日体大陸上部員の大麻事件 (asahi.com, 3/26)
》 「Spybot」の使用で、IE8の起動速度が低下する問題 (Internet Watch, 3/26)。Spybot S&D の開発元は IE8 beta / RC でのテストを全くしていなかったんですかね。
》 中国が YouTube を遮断。チベットねた?
中国、Youtubeへのアクセスを全面禁止 (technobahn, 3/25)
中国、YouTubeは遮断しても「インターネットを恐れていない」 (ITmedia, 3/25)
》 「GPLはもう要らない」、OSSの伝道師が異説 (@IT, 3/25)。レイモンド師吠える。
》 Linux トラブルシューティング番外編: SystemTapで真犯人を捕まえろ! (@IT, 3/25)
》 やじうまミニレビュー アイリスオーヤマ「サイバークリーン」 〜汚れやバイ菌をひっぺはがすジェル状クリーナー (家電 Watch, 3/26)。スライムではない。
》 Something's Going Down @Twitter (F-Secure blog, 3/24)。いろいろありますねえ。
》 <コラム>USBワームが作成する「Autorun.inf」の分析とその傾向 (トレンドマイクロ セキュリティ blog, 3/23)
》 フィルタリングソフト「InterSafe」に学校向け無制限ライセンス (Internet Watch, 3/25)。K12 向けライセンス。
》 「マジコン」“在庫一掃セール”過熱 駆け込み需要あおり (ITmedia, 3/24)
》 液晶一体型「VAIO type L」にディスプレイ脱落の恐れ 無償修理へ (ITmedia, 3/25)、 VAIOパーソナルコンピューター type L・LV/LNシリーズ 無償点検・修理のお知らせとお詫び (SONY, 3/24)
》 アフィリエイトは荒稼ぎ: 偽ソフトの稼ぎは1日100万円近くに、配布にSEO技術を駆使 (ITmedia, 3/25)
》 マイクロソフトのWindowsでシステムを制御しているイランの原子力発電所でエラーが発生 (gigazine, 3/25)。SCADA ねた。
》 補償金制度“そもそも論”を議論する「基本問題小委員会」設置 (Internet Watch, 3/25)
》 ブルーレイ課金が延期、メーカー側の反対で (Internet Watch, 3/24)
》 企業の無線LANセキュリティ、「WEP以外による暗号化」は2割だけ (Internet Watch, 3/25)
》 ニコ動ユーザー調査、首相に最もふさわしい議員「麻生太郎」4割 (Internet Watch, 3/25)。歪んでますね。まぁ、どう見てもネタなのだけど。
》 タウンページのトップに載るには? (パソコントラブル出張修理・サポート日記, 3/21)。アーアーアーですか。 私の自宅は eo にしちゃったのでタウンページはもうないけど。
FreeBSD-SA-09:06.ktimer - Local privilege escalation
FreeBSD 7.x に欠陥。kernel における timer 処理に欠陥があり、非特権プロセスが kernel メモリー内の任意の位置を上書きできる。これにより、プロセスのユーザ ID を上書きして jail を脱出する、などが可能となる。CVE-2009-1041
FreeBSD-EN-09:01.kenv - Kernel panic when dumping environment
kernel 環境変数の処理に欠陥があり、非特権プロセスが kernel に大量のメモリを消費させ、kernel panic に追い込むことが可能。
どちらについても、回避方法は存在しない。patch があるので適用し、kernel を再構築してインストール、再起動すればよい。
アラート アドバイザリ:Webコンソールの管理者権限を持たないユーザが管理者権限を必要とする一部の設定を変更できる問題:HTTP通信において、Proxy-Authorizationヘッダが削除されずWebサーバ側に到達してしまうことがある問題 (トレンドマイクロ, 2009.03.18)
InterScan Web Security Suite 2.x / 3.x、InterScan Web Security Appliance 3.x 話。修正モジュールがあるので適用すればよい。
Trend Micro ビジネスセキュリティ 5.0 Patch 2 公開のお知らせ (トレンドマイクロ, 2009.03.18)
過去に公開された critical patch の内容を含んでいます。ビジネスセキュリティ 5.0 patch 1 の日本語版は存在しないのだそうで。
出ました。
Sun Alert 254608 Security Vulnerabilities in the Java Runtime Environment (JRE) With Storing and Processing Font Files May Allow Denial of Service (DOS) (Sun, 2009.03.24)
Sun Alert 254611 Multiple Security Vulnerabilities in Java Plug-in May Allow Privileges to be Escalated (Sun, 2009.03.24)
Sun Alert 254571 Buffer Overflow Vulnerabilities in the Java Runtime Environment (JRE) with Processing Image Files and Fonts may Allow Privileges to be Escalated (Sun, 2009.03.24)
次のバージョンで修正されています。
JDK and JRE 6 Update 13
JDK and JRE 5.0 Update 18
SDK and JRE 1.4.2_20
SDK and JRE 1.3.1_25
》 XSSは本当に危ないか?日本のセキュリティ意識は過剰? (slashdot.jp, 3/25)。このネタのオチにふさわしいのって何だろう。
画面いっぱいに広がる「大成功」の文字列
「どっきりカメラ NTV」と書かれたプラカードを持って現れる野呂圭介
》 【WBC】イチローの攻撃で世界最強サーバーも撃沈?【二連覇】 (big-server.com, 3/24)
》 How to enable McAfee Artemis Technology in VirusScan Enterprise (McAfee KB53732)
IMPORTANT: McAfee Artemis Technology is currently available to McAfee Platinum Support customers only. There are plans to also make this technology available to Gold Support customers in the second half of 2009. This article will be updated as information becomes available.
プラチナサポートのみですか。素敵な技術ですね。
》 「情報システムの信頼性向上に関するガイドライン第2版」公表について (経産省, 3/24)。taka さん情報ありがとうございます。
》 神世界、霊感商法事件で 神奈川県警が再捜索 (産経 MSN, 3/25)
神世界グループへの捜索は平成19年に続き、2回目で、県警は組織の実態解明のため、捜索が不可欠と判断した。
こんな話もあったのね: 北大准教授を諭旨解雇、神世界に自宅提供 (産経 MSN, 2008.12.30)
民主・小沢代表 記者会見の全文 (読売, 3/25)
小沢氏秘書起訴:地検特捜部長「背景公判で明らかに」 (毎日, 3/24)
‐‐一般論ばかりで、なぜ起訴したか分からない。
お話できることは非常に限られている。国民の皆さんを納得させられる説明はこの時点ではできない。
現時点では説明になっていないことを検察自身が認めているという……。
「やや乱暴では」「一罰百戒の意義」…検察OBの評価分かれる (読売, 3/25)
社説:小沢氏秘書起訴 与野党問わず徹底捜査せよ (毎日, 3/25)
社説:小沢氏秘書起訴 代表続投は説得力に欠ける (毎日, 3/25)
クローズアップ2009:小沢代表秘書起訴 「表献金」立件、検察賭け (毎日, 3/25)
小沢代表続投:前原氏「本当に良い決断か」民主内から批判 (毎日, 3/25)
民主・岡田副代表、「週刊朝日」広告に抗議文 (読売, 3/24)
抗議文では「岡田克也と西松建設が怪しい」と記載した朝日新聞24日付朝刊の広告などについて、「記事自体、私と西松建設との関係について記述がない」と指摘。これに対し、週刊朝日の山口一臣編集長は「ご指摘のように、広告の見出しに誤解を与える表現がありました。岡田氏本人と関係者におわびします」と謝罪するコメントを発表した。
小沢代表の秘書逮捕で思い出す 長銀経営陣への「国策捜査」 (日経 BP, 3/23)
さてここで、例によって検察リーク情報がきましたよ。
違法献金:東北の工事で小沢氏側「天の声」 ゼネコン供述 (毎日, 3/25)
特捜部は、西松建設が多額の献金を続けた背景には、東北地方の公共事業に対する小沢氏側の影響力があるとみて捜査。秋田、岩手両県から入札に関する資料を提出させたり、複数の大手ゼネコン関係者から事情聴取したところ、「談合決別」まで、両県では「鹿島」を中心とする談合が行われ、小沢氏側の意向も取り入れられていた疑いが浮上した。
APSB09-04: Security Updates available for Adobe Reader and Acrobat
APSB09-04: Security Updates available for Adobe Reader and Acrobat が 2009.03.24 付で改訂されている。
Unix 版 Adobe Reader 9.1 / 8.1.4 が公開された。
JBIG2 filter については、buffer overflow の件 CVE-2009-0658 の他にも複数の欠陥があった模様。 CVE-2009-0193 CVE-2009-0928 CVE-2009-1061 CVE-2009-1062。関連:
Adobe Reader and Acrobat JBIG2 Encoded Stream Heap Overflow Vulnerability (iDefense, 2009.03.24)。 CVE-2009-0928 の件。
ZDI-09-014: Adobe Acrobat getIcon() Stack Overflow Vulnerability (Zero Day Initiative, 2009.03.24)。JavaScript メソッドにおける入力値検証に欠陥があり、これを利用すると任意のコードを実行できる件。CVE-2009-0927
》 中国、ウイグル地区核実験の深刻被害を隠す (JANJAN, 3/21)。 詳細は「中国の核実験」に書かれている模様。 中国の場合、核に限らず汚染だらけのようですが。関連:
中国核実験46回 ウイグル人医師が惨状訴え (産経 MSN, 8/11)
》 西松建設方面、大久保秘書起訴で幕引きか。 本当に国策捜査だったとしか思えず、しかも質が低い。
大山鳴動してネズミなし、西松建設事件「収束」へ (JANJAN, 3/21)
正直に白状すると、わたしは、検察が立件するからには、「国策捜査」であったとしても、「贈収賄の嫌疑」を抱かせるような材料くらいは準備しているのか、とてっきり思いこんでいました。その場合、小沢さんが、「法廷闘争を長期間闘うために、代表をいったん降りることも選択肢」ではないか、と思っていました。
ところが、「小沢さんの聴取さえ必要でない」という結果に落ち着きそうだと聞いて、「肩透かしを食った気分」です。東京地検を買いかぶりすぎていました。
これでは、単に「小沢さんの去就を巡り、野党支持者同士に亀裂を生じさせ」ることや、「国会での民主党による与党への経済問題での追及を鈍らせる」ことが狙いの「国策捜査」だったのか、と勘繰りたくもなります。
そもそも、政治資金規正法の「政党以外への企業団体献金の禁止」条項は、汚職を防止するため、政党に窓口を絞って透明化し、政治資金の出入りを天下に明らかにするのが趣旨です。具体的に、小沢さんによる便宜供与が立証されていない以上、せいぜい、秘書を、「虚偽記載」などの形式犯で起訴する程度にしかならないでしょう。
そもそもが、「逮捕するほどの話」ではなく、選管なり総務省なりの行政指導で記載を訂正してもらえば済む話です。
小沢代表の秘書を起訴 企業献金を虚偽記載した罪 (asahi.com, 3/24)
準大手ゼネコン「西松建設」から小沢代表の資金管理団体「陸山会」への違法献金事件で、東京地検特捜部は24日、小沢代表の公設第1秘書と会計責任者を兼ねる大久保隆規(たかのり)容疑者(47)を政治資金規正法違反罪(虚偽記載など)で起訴した。大久保秘書は容疑を否認しているという。
》 日本テレビ:「バンキシャ」4年前も出演 蒲容疑者 (毎日, 3/24)、 うそ証言容疑者、4年前にもバンキシャ出演 謝礼受領か (asahi.com, 3/24)
日本テレビの報道番組「真相報道バンキシャ!」の誤報問題で、うその証言をしたとされる男性が4年前にも同番組に出演していたことが関係者の話で分かった。男性には「出演料」の名目で1万円程度の謝礼が支払われたという。
関連: バンキシャ偽証容疑者、テレ朝にも出演 05年に2回 (asahi.com, 3/24)
日本テレビの「真相報道バンキシャ!」でウソの証言をし、偽計業務妨害の疑いで逮捕された蒲(がま)保宏容疑者が、テレビ朝日の報道番組「スーパーモーニング」にも出演していたことが24日分かった。同局は蒲容疑者に謝礼を支払っていた。君和田正夫社長が定例会見で明らかにした。
》 渋川惨事を招いた石原都政の21世紀版姥捨て (JANJAN, 3/24)。「静養ホームたまゆら」関連話。
都庁担当の新聞記者には、ぜひ次回の石原慎太郎会見で、渋川火災で、都民が亡くなったことについての対応を訊いてほしいものだ。(小島注: 東京オリンピック準備) 基金1兆円のほんの一部を使うなら、老人アパートや生活保護アパートを建てさせないという、区市町村の行政を改めさせることが可能だろう。
》 ソフトバンク:携帯契約、就活学生に「営業」 厚労省調査 (毎日, 3/24)。ソフトバンクですから。
これに対し、ソフトバンク広報室は「必要な営業力をアピールしてもらうためのもの。多く契約が取れたからといって、すぐに採用するというものではなく、問題はないと思う」と話している。
つまり、ソフトバンクだけが得をするのですね。なんて厚顔な会社。
》 原子力白書:異例のトラブル遭遇を予測 六ケ所村言及 (毎日, 3/24)
トラブル続きで操業開始が大幅に遅れている日本原燃の使用済み核燃料再処理工場(青森県六ケ所村)について、白書は「今後もさまざまな故障、トラブルに遭遇することが予測される」と言及、トラブル発生を前提としたような表現は異例で、「安全性を軽視している」との批判を呼びそうだ。
原子力白書においてすら認めているのですから、どうしようもなく悲惨な状態、ということですね。関連: 高レベル放射能漏れ 原因も放射能も未だ不明 (JANJAN, 3/24)
》 MDで「当たるわけない」=北ミサイル、迎撃を困難視‐政府筋 (時事 / Yahoo, 3/23)、政府筋「7、8分たったら終わっている」北ミサイル迎撃に懸念 (産経 MSN, 3/24)。ギャハハハハ、政府自ら MD (ミサイル防衛) はウンコだと断言してますぜ。 関連:
防衛相、政府筋発言に反論=MD「難しいのは事実」と中曽根外相 (時事, 3/24)。ププ。
北ミサイル対処、秋田・岩手にPAC3を展開…防衛省方針 (読売, 3/24)
イスラエル、パレスチナの少年を「盾」に利用 (asahi.com, 3/24)
イスラエル兵の背に「妊婦撃てば1発で2人殺害」 (asahi.com, 3/24)
》 [Clamav-announce] announcing ClamAV 0.95 (clamav.net, 3/24)。API を含めてかなり変わっているようです。 UpgradeNotes095 (clamav.net) という文書が公開されています。精読しておく必要があります。 libcramav や clamd, clamav-milter を利用するアプリを併用している場合は特に。
》 ガリレオチャンネル (Web-WAC)。「危機に瀕するネットセキュリティ 〜狙われるID・パスワード〜」という番組があるそうで。本放送は終ってますが、3/29 に再放送だそうです。TOKYO MX。taka さん情報ありがとうございます。 個人的には、次回の「(仮)ロボットスーツ最前線」の方がおもしろそうだけど。
それにしても。電波でタレ流すだけでなく、ネットにも流してほしいよなあ。 先日の 「日本の、これから」におけるテレビ屋のチンカス回答にはほとほと絶望したけど。
2009.03.24 (米国時間だろうから明日か) に登場するようです。
出ました。
Sun Alert 254608 Security Vulnerabilities in the Java Runtime Environment (JRE) With Storing and Processing Font Files May Allow Denial of Service (DOS) (Sun, 2009.03.24)
Sun Alert 254611 Multiple Security Vulnerabilities in Java Plug-in May Allow Privileges to be Escalated (Sun, 2009.03.24)
Sun Alert 254571 Buffer Overflow Vulnerabilities in the Java Runtime Environment (JRE) with Processing Image Files and Fonts may Allow Privileges to be Escalated (Sun, 2009.03.24)
次のバージョンで修正されています。
JDK and JRE 6 Update 13
JDK and JRE 5.0 Update 18
SDK and JRE 1.4.2_20
SDK and JRE 1.3.1_25
》 「正論原理主義」を乗り越えて (佐々木俊尚 ジャーナリストの視点, 3/17)
》 道頓堀川投げ込み事件で一審有罪は、女性検事の証拠隠滅が原因〜創4月号 (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊), 3/13)。 関連: 無実の青年の名誉回復はまだ不十分 警察取材に対しても批判続出 —道頓堀川ホームレス投げ込み事件— (人権と報道関西の会)
》 「沖縄密約情報公開訴訟」記者会見 (JANJAN, 3/18)。関連:
岡田・民主副代表:沖縄返還時密約、政権取れば公開 (毎日, 3/15)
大田昌秀・元沖縄県知事が自ら調べた沖縄戦の証言を聞く (JANJAN, 2/20)。訴訟の件とは別の「密約」の話。
》 テロ組織と治安機関の共通点を暴く映画 (JANJAN, 3/18)。「シークレット・ディフェンス」(cinematopics.com) の件。
》 国際法律家連盟による「テロとの戦い」の検証 (JANJAN, 3/17)。
報告書の精神は、最初に「テロリズムはテロを産み、多くの国はテロリストの罠に落ちた。多くの国は歴史の教訓を無視し第2次大戦以後注意深く発展してきた法の精神と多くの価値を過小評価し、憎悪の回答に駆け込んだ一連の法を導入した。これらの法の結果、拷問や不法拘束など多くの人権侵害が行われ、これらの法の乱用の説明や裁判は殆ど行われなかった」と書かれていることから解る。
》 三つの障害が連続発生、気象データ配信システムのダウンの経緯が判明 (日経 IT Pro, 3/17)。taka さん情報ありがとうございます。
》 成田で FedEx 貨物機 (MD-11) が着陸に失敗して横転、炎上
成田空港で貨物機が着陸失敗・炎上、乗員2人死亡 (読売, 3/23)
成田航空地方気象台は、事故当時、高度約500メートル以下でウインド・シア(気流の乱れ)が発生するとの気象情報を出し、注意を呼びかけていた。事故機の直前に着陸した9機も、高度約600メートル以下でウインド・シアが発生していると管制官に通報。このため管制官は同日午前6時46分過ぎに事故機に着陸許可を出した際、ウインド・シアへの注意喚起とともに、滑走路周辺で北西から風速14・5メートルの風が吹いており、最大風速は18メートルだと伝えていた。
突風で横転か、予測は困難と識者ら…成田・貨物機炎上 (読売, 3/23)
機体逆さま黒焦げに、空港ロビー混乱…成田・貨物機炎上 (読売, 3/23)
貨物機炎上 原因究明へ検証 (NHK, 3/23)。1 回目の着地、バウンドして 2 回目の着地、その後横転する様子のわかる動画あり。
貨物機事故、直前に「ウインドシア」報告 (TBS, 3/23)。2 回目の着地と横転する様子がはっきりわかる動画あり。上記 NHK とは別カメラ。
米貨物機炎上乗員2人死亡「ものすごい衝撃風圧」 (ANN, 3/23)。燃えながら滑走路上を移動する動画あり。
JAL現役機長「強風だが決して特殊な状況と思えず」 (ANN, 3/23)
成田空港で貨物機が着陸に失敗し炎上 乗っていた機長と副操縦士の2人の死亡確認 (FNN, 3/23)
【貨物便炎上】機体は裏返し…「大変な事態」と空港職員も絶句 (産経 MSN, 3/23)
成田空港で FedEx 貨物便が着陸に失敗、炎上 (slashdot.jp, 3/23)。MD-11 は操縦特性があまりよろしくない、という話が紹介されてますね。 JL706便事故調査報告書(MD-11型JA8580) (alpajapan.org) によると、MD-11 で操縦桿を動かすと、実際に舵面が動くまで 0.2 秒も遅れるそうで。関連: PIOとは (日本航空機長組合)。
Time Delayは0.15秒以内であるべきで、0.2秒では潜在的に危険なものと言える。
貨物機炎上:強風で横転、炎上 乗員2人死亡 成田空港 (毎日, 3/23)
》 MacからExt2/Ext3の読み書きが可能なファイルシステムドライバ (Internet Watch, 3/23)
》 4月に新住基カードがスタート (日経 BP, 3/19)。何この記事……。
新住基カードにはICチップが埋め込まれており、ここにいろいろな情報が記録される。
住基カードは従来から IC チップなんですけど……。
新住基カードには写真が印刷されるので、本人確認用のIDとしても利用できる。
住基カードは従来から写真つきのものも存在するんですけど……。それに、新住基カードでも「写真なし」を選択できますけど……。
住民基本台帳カード総合情報サイト (総務省) の 住基カードとはや こんなに便利です、新住基カード、 新しい住基カードの発行、共通ロゴマークの決定 (総務省, 2008.12.15) を見る限りでは、新住基カードの新規点は 2 点。
「共通ロゴマーク」が印刷されるようになった。
住基カードのデザインは地方自治体依存なので、それが住基カードであるか否かを一見して判断することが困難だった。共通ロゴマークによってこれを改善。さらにロゴマークには偽造防止処置も施す。
IC チップ内に「券面事項確認領域」が設けられ、券面事項が記録されるようになった。
| 写真有無 | 券面事項内容 |
|---|---|
| 写真あり | 写真 ・氏名 ・住所 ・生年月日 ・性別 ・交付地市区町村名 ・有効期限 ・その他 (自治体依存) |
| 写真なし | 氏名 ・交付地市区町村名 ・有効期限 ・その他 (自治体依存) |
また、「券面事項をICチップに記録したカードであることが確認できるように」QR コードが記載されるようになった。
で、
※共通ロゴマークとQRコードは平成21年4月下旬以降に発行される住基カードに順次印刷されます。
だそうなので、住基カードがほしい人は 5 月以降に取得した方がよさげか。
》 本当は怖い文字コードの話 第1回 UTF-7によるクロスサイトスクリプティング攻撃[前編] (技評, 3/20)。自動認識の恐怖、あるいは強制空耳アワー。
GS cookie protection - effectiveness and limitations (Microsoft Security Research & Defense, 3/16)
Enhanced GS in Visual Studio 2010 (Microsoft Security Research & Defense, 3/20)
》 ExcelやWordのファイルが開かない。 (パソコントラブル出張修理・サポート日記, 3/19)。 Excel のオプション「他のアプリケーションを無視する」の件。 FAQ みたいです。 関連: エクセルのファイルが開かない (パソコントラブルQ&A)、 Excel 2003、Excel 2002、Excel 2000 でファイルをダブルクリックしても開くことができない場合の対処方法 (Microsoft KB880537)、 Excel 2007 のファイルのアイコンをダブルクリックするとファイルが開かない場合がある (Microsoft KB938381)。 この KB、日本語版だけですか?
》 いや、それはまずいでしょ…。 (パソコントラブル出張修理・サポート日記, 3/18)。ライセンス話など。
ちゃんとした spec の機械で使えば、Vista は素敵だけどなあ。UAC が阿呆すぎることを除いて。警告を出すのはいいけど、結果を学習してくれ。
一太郎 Lite 2 の patch が登場しました。 [JS09001] 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について (ジャストシステム, 2009.03.23 改訂) を参照。
》 青少年ネット規制法が早くも改正されようとしている (崎山伸夫のBlog, 3/20)
》 群馬県渋川市の無届け老人施設「静養ホームたまゆら」火災関連
クローズアップ2009:群馬・老人施設火災 受け皿不足、無届け急増 (毎日, 3/22)
◇サービス抑制、政策の誤り−−服部万里子・立教大教授(高齢者福祉学)
今回のようなことがあれば「無届けはけしからん」「もっと取り締まれ」ということになるだろうが、それでは意味がない。なぜこのような施設が横行するのか考えるべきだ。
(中略)
背景にあるのは政策の誤りだ。介護保険スタートと同時に国による保護(措置)入所をやめ、待機者が増えているのに施設を減らし、サービスを抑制する流れになっている。これでは取り締まりをしても介護者や家族を苦しめるだけだ。
群馬・渋川の老人施設全焼:ずさん施設、被害拡大/生活保護者が犠牲(その1) (毎日, 3/21)
福祉施設の防火体制の規則を巡っては、長崎県大村市での火災を受け、07年6月に消防法施行規則が改正され、スプリンクラーや自動火災報知機設置の対象が広げられた。
(中略)
しかし、「たまゆら」は各棟300平方メートル未満で、「自力避難困難者入所施設」だとしても、4月まではスプリンクラーも自動火災報知機も設置は義務付けられていない。
群馬老人施設火災:生活保護者が入所 大半が東京から (毎日, 3/21)
群馬・渋川の老人施設全焼:東京・墨田区「防火」調べず 訪問は年1回、健康確認だけ (毎日, 3/22)
職員がたばこ買い与える 群馬の10人死亡施設火災 (共同, 3/22)
》 【衝撃事件の核心】人気のレーシック手術…「薄利多売」に走った眼科、ずさんな衛生管理 (産経 MSN, 3/22)
》 日テレ、調査後に検証番組を放送 虚偽証言報道問題で (中日, 3/22)。バンキシャの件。
社内の検証チームが放送までの経緯や問題点を調査し、さらにNHKと民放でつくる放送倫理・番組向上機構(BPO)の調査が終了した後、検証番組を放送するとした。
それっていつ?!
BIND 9.5.1-P2 / 9.4.3-P2 登場。 BIND 9.4.x / 9.5.x で DNSSEC Lookaside Validation (DLV) を利用する場面において、未知の署名アルゴリズムが使用されている場合には「署名されていない」として扱うべきであるにもかかわらず、「署名検証に失敗」としてしまう欠陥があった。これが修正されている。
2009.03.15 に .gov における DLV 運用が開始されたのだそうで。しかし上記の欠陥のため中断しているみたい。で、2009.05.01 に再開されるみたい。
》 Virus Bulletin Anti-Spam Tests (ESET blog, 3/19)
》 XSS ねた方面。川口さんは「フフフ、みんな見事に釣られているぜ、大成功」と思っているに 100 ギルダー。
SQLとXSSは最凶ツートップ? (極楽せきゅあ日記, 3/18)
「成立しない」の意味 (水無月ばけらのえび日記, 3/18)
そろそろXSSの脅威について一言いっとくか (葉っぱ日記, 3/19)
》 北朝鮮「人工衛星」まつり。 「全国瞬時警報システム (J-ALERT)」ですか。
北朝鮮の「衛星」上空通る市町村、「瞬時警報」ほぼ未整備 (日経, 3/20)
「全国瞬時警報システム」導入へ 京丹後市が府内初 (京都新聞, 3/19)
ミサイル破壊命令、月内にも発令へ 防衛相、対北朝鮮 (asahi.com, 3/20)
ただ、発令した場合でも、北朝鮮が国際機関に通報した計画通り、日本の上空を通過する軌道を取れば、迎撃することはできない。打ち上げ失敗などで、日本の領土・領海に落下すると判断した場合にのみ迎撃対象となる。
》 Latest on Conficker (SANS ISC, 3/20)。 SRI International Technical Report - Addendum: Conficker C Analysis (SRI, 3/19) だそうです。
Thunderbird 2.0.0.21 出ました。 Thunderbird 2.0.0.21 での変更点 (mozilla.jp)。上記 Firefox 3.0.7 で修正された 5 件のセキュリティ欠陥のうち 4 件が修正されている。残り 1 件 (MSFA2009-11) は、実は Thunderbird には影響しない (Firefox のみに影響する) 事が明らかになったのだそうだ。
》 A strike for lucky - LuckySploit Toolkit Exposed (finjan blog, 3/18)。 関連: Lucky Strike (wikipedia)
》 STOP:0x00000050頻発、その原因は… (パソコントラブル出張修理・サポート日記, 3/17)。実はウイルス話。
》 NY原油1バレル=51・61ドル、3か月半ぶり高値 (読売, 3/20)。じりじり上がってきてるのかな。 NY原油 (WTI) チャート (フジフューチャーズ)
》 BBC、番組製作のために犯罪者からカード情報を購入 (slashdot.jp, 3/20)。潜入取材の一種だと思いますけどねえ。
》 IT勉強会業界では神? (日本のセキュリティチーム, 3/18)。女王様とお呼び。 (ビシッ)
APSB09-03: Security Updates available for Adobe Reader 9 and Acrobat 9 のつづき。Adobe Reader / Acrobat 7.x / 8.x の最新版、Adobe Reader / Acrobat 7.1.1 / 8.1.4 へのアップデータがリリースされた。 CVE-2009-0658 への対応がされている。 ただし Windows 版 / Mac OS X 版のみ。
Adobe Reader / Acrobat 7.1.1 / 9.1 では、 実は Adobe Reader / Acrobat 8.1.3 で既に修正されていたという CVE-2009-0927 も修正されている。 JavaScript メソッドにおける入力値検証に欠陥があり、これを利用すると任意のコードを実行できる。
Adobe Reader / Acrobat 7.1.1 ではさらに、Adobe Reader / Acrobat 8.1.3 および Adobe Reader / Acrobat 9 で既に修正されていた CVE-2008-4814 CVE-2008-4813 CVE-2008-2549 も修正されている。
APSB09-04: Security Updates available for Adobe Reader and Acrobat が 2009.03.24 付で改訂されている。
Unix 版 Adobe Reader 9.1 / 8.1.4 が公開された。
JBIG2 filter については、buffer overflow の件 CVE-2009-0658 の他にも複数の欠陥があった模様。 CVE-2009-0193 CVE-2009-0928 CVE-2009-1061 CVE-2009-1062。関連:
Adobe Reader and Acrobat JBIG2 Encoded Stream Heap Overflow Vulnerability (iDefense, 2009.03.24)。 CVE-2009-0928 の件。
ZDI-09-014: Adobe Acrobat getIcon() Stack Overflow Vulnerability (Zero Day Initiative, 2009.03.24)。JavaScript メソッドにおける入力値検証に欠陥があり、これを利用すると任意のコードを実行できる件。CVE-2009-0927
CVE-2009-0927 を狙う奴が出てきた模様。
Adobe Acrobat/Reader getIcon() Vuln Exploit in the Wild (trendmicro blog, 2009.04.09)
Hosted javascript leading to .cn PDF malware (SANS ISC, 2009.04.10)
http://www.milw0rm.com/exploits/9579。 CVE-2009-0927 の exploit。
関連: Ichitaro Exploits Progress (trendmicro blog, 2009.03.20)
CVE-2008-4564 関連: Potential Security Issue with Lotus Notes File Viewer for WordPerfect (IBM, 2009.03.17)
》 川口洋のセキュリティ・プライベート・アイズ(13) 世間の認識と脅威レベルのギャップ——XSSは本当に危ないか? (@IT, 3/17)。「本当に危ないか?」と疑問を呈している記事のはずなのだが、
現時点でのXSSのリスクはなんでしょうか。私の考えるリスクは以下のものです。
- 社会的信用のある企業・サービスが被害を受ける
銀行、クレジットカード決済、公共サービスなど社会的に信用が必要なサイトは狙われる可能性も高く、被害が発生した場合の存在も大きくなります。- (後略)
これらをみて、対策が必要だと感じる人が、ビジネスの規模と相談して対策をすればよいと思っています。
どのような被害を受ける可能性があるのか示さないまま「これらをみて」と言われてもなあ。クロスサイトスクリプティング対策の基本(中編) 〜XSS脆弱性により起こる被害とその対策〜 (@IT, 2002.12.05) で国分氏が示しているのは:
cookieの盗難 (任意のスクリプトの実行)
ページの改ざん
「XSS脆弱性は危険,Cookieを盗まれるだけでは済まない」専門家が注意喚起 (日経 IT Pro, 2006.11.13) で紹介されている徳丸氏の言葉は
もちろん,Cookieを盗まれることもリスクの一つである。しかしそれよりも,「XSS脆弱性が存在するサイト上に,偽のログイン画面や個人情報入力画面を作られることのほうが深刻だ」(徳丸氏)。フィッシング詐欺への悪用である。
(中略)
「盗んだCookieをもとに個人情報などを収集することは“手間”がかかり,それほど容易ではないと考えられる。サイトを偽装されると個人情報を直接盗まれる恐れがあるので,こちらのほうがより深刻だ。加えてXSS脆弱性を悪用した偽装では,偽の入力フォームなどは本物のサイトの一部として表示されるので,URLやデジタル証明書(SSL証明書)を確認しても,偽物であることは分からない」(徳丸氏)。
XSS の危険性を理解してもらえなくて office さんがずいぶん悩んでいたのを思い出す今日このごろ。
関連: XSS脆弱性の危険性 (水無月ばけらのえび日記, 2009.03.18)
》 言うはやすく、行うは難し——データセンターの電力効率評価 Green Gridが提唱するPUEの功罪とは (ComputerWorld.jp, 3/18)
》 海上自衛隊:「空母型」ヘリ搭載護衛艦、横須賀配備へ (毎日, 3/18)。DDH-181「ひゅうが」のこと。「空母型」と言っても STOVL 運用能力はありません。
》 橋下知事「国交省は詐欺集団」 内訳なしの負担金に激高 (asahi.com, 3/18)
国交省が香川国道河川事務所の庁舎移転費用4億円を国直轄事業負担金として香川県に請求していた問題を知り、激高したようだ。
関連: 国の庁舎改修で香川県が7億円負担 (産経 MSN, 3/17)
》 Creative Commons、著作権を主張しないことを宣言する「CC0」をリリース (slashdot.jp, 3/17)。いわゆる「パブリックドメイン宣言」に近いものになるみたい。
》 「新常用漢字表(仮称)」パブリックコメント募集中 (slashdot.jp, 3/17)。コメントからリンクされている、新常用漢字表(仮称)試案の意見募集開始 (yasuokaの日記, 3/16) を見た限りでは、なかなかに頭が痛いようで。
》 「中小企業の情報セキュリティ対策ガイドライン」を公開 (IPA, 3/18)
》 「悪意あるサイトの識別情報及び対策情報提供システム(TIPS)」を利用したウェブサイト情報提供サービスを開始 (IPA, 3/18)。解析サービスと理解した方がいいのかな。ヤバい URL 一覧、みたいなものを提供してくれるわけではないみたいですねえ。
》 すべての司法関係者に読んでほしい司法スタンプラリー経験者の投稿〜印刷して張り出してほしい (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊), 3/18)。 弁護士と歩こう!!霞が関司法探検スタンプラリー (第二東京弁護士会) なんてイベントが、不定期に存在するのですね。
》 まもなく。。。 「情報セキュリティプロフェッショナル教科書」発行 (まるちゃんの情報セキュリティ気まぐれ日記, 3/17)。これだけだと、どんな内容なのかさっぱりわかりませんね。 ぐぐってみた限りでは、この本、情報セキュリティプロフェッショナル 総合教科書 (秀和システム) の改訂版のようです。 というわけで、 これ が参考になるかと。
》 2008年上半期 情報漏えいインシデント報告書(速報版 Ver.1.1/2009.2.20改訂) (JNSA, 2/20)
》 NSF2008 のプレゼン資料が公開されていたのですね。
2008年12月17日のプログラム (JNSA)
2008年12月18日のプログラム (JNSA)
OpenSC Security Advisory (opensc-project.org, 2009.02.27)。 OpenSC < 0.11.7 において、プライベートデータに適切なアクセス制限がされていなかった模様。CVE-2009-0368
while the OpenSC PKCS#11 implementation requires PIN verification to access the data, low level APDU commands or debugging tools like opensc-explorer or opensc-tool can access the private data without any authentication. This was fixed in OpenSC 0.11.7.
Security issue in djbdns confirmed (Security and the Net, 2009.03.05)。dbjdns 1.05 以前ねた。 記事に patch が添付されている。CVE-2009-0858
Linux-pam <= 1.0.3 の _pam_StrTok() に欠陥があり、設定ファイルに非 ASCII ユーザ名が含まれている場合に、remote から DoS 攻撃を実施できる。 CVE-2009-0887。 CVS 版では既に修正されている。
SYM09-004: Symantec Products Update Vulnerable Autonomy KeyView Module (Symantec, 2009.03.17)。 Symantec Mail Security for Domino / Microsoft Exchange / SMTP、 Symantec Mail Security Appliance, Symantec BrightMail Appliance, Symantec Data Loss Prevention の特定のバージョンに塔載されている Autonomy KeyView モジュールに buffer overflow する欠陥。 CVE-2008-4564。
更新版が用意されている。関連: Autonomy KeyView Word Perfect File Parsing Buffer Overflow Vulnerability (iDefense, 2009.03.17)
Tor 0.2.0.34 is released (security fixes) (or-announce ML, 2009.02.10)。 複数のセキュリティ修正。 CVE-2009-0939 CVE-2009-0938 CVE-2009-0937 CVE-2009-0936
Nucleus v3.40 released (nucleuscms.org)。 ディレクトリトラバーサル欠陥が修正されているそうで。 CVE-2009-0929
CVE-2008-4564 関連: Potential Security Issue with Lotus Notes File Viewer for WordPerfect (IBM, 2009.03.17)
》 Only part of the network bandwidth is used when you transfer multiple large files at the same time through a high-bandwidth network connection on a Windows Vista-based computer or on a Windows Server 2008-based computer (Microsoft KB967729)。patch があるそうで。
》 Windows Vista and Windows Server 2008 DNS clients do not honor DNS round robin by default (Microsoft KB968920)。そういう仕様。 レジストリ設定で変更できる。
Note: This registry option does not exist on Windows Vista pre-SP1 systems.
For Windows Vista and Windows Server 2008, the default value for this registry key is 1.
For Windows 2008 R2 and Windows 7, the default value for this registry key is 0.
》 Windows Server 2008 のドメイン ネーム システム (DNS) サーバー サービスの DNS サーバー プロパティのフォワーダ設定にある [フォワーダが利用可能な場合にルート ヒントを使用する] チェック ボックスで誤表記がある (Microsoft KB968959)。誤表記?!
補足 : [フォワーダが利用可能な場合にルート ヒントを使用する] チェック ボックスをオン または オフにした場合の実際の動作について説明します。
[フォワーダが利用可能な場合にルート ヒントを使用する] チェック ボックスをオンにする
指定されたフォワーダから応答が得られない場合にルート ヒントを使用しません。[フォワーダが利用可能な場合にルート ヒントを使用する] チェック ボックスをオフにする
指定されたフォワーダから応答が得られない場合にルート ヒントを使用します。
真逆かよ!
》 個人情報の取り扱いをめぐる法律問題[5]個人情報漏洩事故への対応策 (日経 IT Pro, 3/17)
第1回--コミュニティの熱い力 (CNET, 3/16)
第2回--押し寄せる危機の連続 (CNET, 3/17)
俺的関連:
》 絞首刑の執行方法は太政官布告が根拠法令だった (保坂展人のどこどこ日記, 3/12)。 明治六年ですか。
これから、実は、絞首刑という方法が本当に残虐な刑罰に当たらないという最高裁の、昭和二十六年ですか、この判例が本当にこれでいいのかという議論もしていきたいと思いますので、
「完全自殺マニュアル」の推奨自殺方法は首つりですね。
なぜ、日本ではネット献金が出来ないのか(2) (保坂展人のどこどこ日記, 3/11)
北風と太陽、政治資金に市民的意志を反映させるために (保坂展人のどこどこ日記, 3/14)
私の予想する「不愉快な未来」は次のような光景だ。今回の「政治とカネ」をめぐる事件で、政治不信が高まるのは誰もが予想出来ることだ。政治への信頼や共感がなければ「個人献金」は増加しない。従って、「個人献金」は今回のことでますます減少する。背に腹は変えられないと、与野党の多くの政治家個人は「企業・団体献金」への依存度をより強めていく。その結果、政治の場における立法・政策決定課程に有権者の一部でしかない「企業・業界団体」の要望が以前にまして重要視されて、国民の多数の意志とかけ離れたものとなっていく。すると、さらに政治不信が増幅し、個人献金はますます減る。
これを「政治不信と企業・団体献金依存増幅のスパイラル」と呼ぶ。こうした悪循環を絶つには、「個人献金」がもっと簡便に出来るようにしなければならない。そのひとつは、このブログで触れてきた「ネット献金」の促進策だ。カード会社が政治家を加盟店として認証しないという点に障害があるのであれば、「決済機能」について特別な機関をつくるか、あるいは意欲的なカード会社に先陣を切ってもらう必要がある。しかし、「個人献金」の風土が薄い日本では、さらに「政治資金バウチャー制度」を検討してみるのも、ひとつの案ではないか。
竹中平蔵元大臣がけっして触れない「かんぽの宿疑惑」の闇 (保坂展人のどこどこ日記, 3/1)
「東京中郵取り壊しに待った」が生む逆郵政政局 (保坂展人のどこどこ日記, 3/2)
郵政の闇、巨大不動産事業の収益は国民に還元されないのか (保坂展人のどこどこ日記, 3/3)
「かんぽの宿疑惑」から見えてきたもの (保坂展人のどこどこ日記, 3/5)
東京中央郵便局の再開発ビルは総工費1000億円 (保坂展人のどこどこ日記, 3/6)、 3月4日 植草一秀・長谷川憲正・保坂展人トークの画像全編 (保坂展人のどこどこ日記, 3/14)
》 罪深いメディアの「犯人報道」と袴田巌さん成年後見制度適用 (保坂展人のどこどこ日記, 3/8)
The latest version is faster and contains a lot of new features like APR (Arp Poison Routing) which enables sniffing on switched LANs and Man-in-the-Middle attacks.
》 new rogue-DHCP server malware (SANS ISC, 3/16)
》 情報セキュリティ教本 改訂版 -組織の情報セキュリティ対策実践の手引き (IPA, 3/17)
》 古いソフトウェア製品を利用しているウェブサイトへの注意喚起 (IPA, 3/17)
》 スイス、銀行顧客情報守秘義務 300 年の歴史に終止符 (slashdot.jp, 3/17)
》 グーグル、個人のWeb閲覧履歴をAdSense広告の表示基準にする計画を明らかに ユーザーの関心事をより反映したオンライン広告の提供をねらう (ComputerWorld.jp, 3/12)、Google Begins Behavioral Targeting Ad Program (EFF, 3/11)。きましたね。
》 門真市でも「政治資金規正法」悪用し市議逮捕 (JANJAN, 3/16)。門真の名物議員、戸田ひさよし氏の話。
戸田さんは地裁での有罪判決にも関わらず、07年の市議選でもトップ当選するなど、地元に根強い支持があります。
》 高知白バイ事件:片岡さん 民事裁判を起こす (JANJAN, 3/13)
》 WebアプリやWindowsの脆弱性を併用: ウイルス対策ソフトが機能せず、サーバを乗っ取る攻撃発生 (ITmedia, 3/16)
》 社説:日テレ社長辞任 裏付け取材怠った責任は重い (毎日, 3/17)。批判するなとは言わないけれど、毎日は足元も見てね、と、 月刊『創』2009年4月号の p.104 あたりからを読みながら思った (東金女児殺害事件方面)。関連:
特集:「開かれた新聞」委員会 千葉・東金事件、検証続け真実へ (毎日, 3/15)
千葉・東金の5歳園児殺害:不幸な事件で障害者避けないで 自閉症児が俳優と芝居 (毎日, 3/5)
「開かれた新聞」委員会の記事を読む前に、まず『創』2009年4月号の p.104 あたりからを読んでおいた方がいい。正直、「開かれた新聞」委員会の記事だけを読んでも、何がどうなっているのかさっぱりわからない。
》 「ブタの脳」を吸い込んだ労働者たちに謎の神経疾患 (WIRED VISION, 3/17)
》 BBC のボットネット番組、実際にボットネットを買って実演してみせたことで話題に
BBCがスパム送信実験、ボットネットを利用か? (ITmedia, 3/13)
Click's botnet experiment (BBC News Editors blog, 3/13)
Did BBC break the law by using a botnet to send spam? (Graham Cluley's blog, 3/12)
from ESET:
BBC Controversy: Click Fraud? (ESET, 3/12)
More on the BBC's Botnet (ESET, 3/13)
BBC Botnet Revisited (ESET, 3/14)
BBC Botnet: Another View or Two (ESET, 3/16)
BBC、ボットネット利用の違法性指摘に反論 (CNET, 3/17)
今週のひとくちメモ: 英 BBC の情報番組がボットネットを特集 (JPCERT/CC, 3/18)
潜入取材の一種だと思いますけどねえ。
》 第02回わんくま同盟&まっちゃ139合同勉強会の開催について。 2009.04.18、大阪府寝屋川市、1000円。まっちゃさん情報ありがとうございます。
》 第2回北海道情報セキュリティ勉強会。 2009.04.11、北海道札幌市、1000円。まっちゃさん情報ありがとうございます。
》 IT製品の強制情報開示、中国が当面延期へ…日米欧に配慮か (読売, 3/17)
》 知られざる「ウソを言うと刑事罰」の裁判員候補面接とは何か (保坂展人のどこどこ日記, 3/16)
さらに、裁判員候補となった人が受けることになる「裁判員面接」だが、すでに私が指摘してきたように、普通に生活をしている刑事裁判とはあまり縁のない市民はギョとするようなことを聞かれる場合がある。これは、ウソを答えれば「刑事罰」付だというから驚いてしまう。この点については昨年の秋にブログで書いているから再掲載しておこう。
裁判員面接の「思想尋問」と刑事罰について (保坂展人のどこどこ日記, 2008.09.04) を参照。
》 マイクロソフト独自の性能テストでIE8がトップに——FirefoxとChromeを上回る (ComputerWorld.jp, 3/16)
Microsoftのテストに使われたWebブラウザは、今年1月末にリリースされたIE8 RC1版(第1リリース候補版)、Google Chorome 1.0、昨年12月にリリースされたFirefox 3.0.5の3製品。パフォーマンス・テストの方法は、comScoreの人気ランキングで上位に入っている25のWebサイト(google.com、facebook.com、amazon.comなど)を完全に表示するまでの時間を計測するというものだ。
なんじゃそりゃ……。リアル Web サイトがシェア No.1 の Web ブラウザに最適化されているのはあたりまえなのでは。
関連: 公表から約1ヶ月、PDFウイルス「TROJ_PIDIEF.IN」の脅威レベル変化を追跡 (トレンドマイクロ セキュリティ blog, 2009.03.13)
関連: Malware Again Attacks Ichitaro Word Processor (McAfee blog, 2009.03.16)。日本語版もほしいなあ。
MS09-008 関連:
Changes to DNS server behavior after you install the security update for DNS server (Microsoft KB968732)
MS09-008: DNS and WINS Server Security Update in More Detail (Microsoft Security Research & Defense, 2009.03.13)
Changes to WINS server behavior after you install the security update for WINS server (Microsoft KB968731)
VLC 0.9.8a Web UI Remote Stack Overflow (DoS) (milw0rm, 2009.03.16)。VLC 0.9.8a は最新版ですね。 CVE-2009-1045
Google Chrome 1.0.154.48 Single Thread Alert Out of Bound MEM Access (milw0rm, 2009.03.16)
Mozilla Firefox 3.0.7 OnbeforeUnLoad DesignMode Dereference Crash (milw0rm, 2009.03.16)
》 火災:走行中バスから火、乗客ら78人無事 静岡の東名 (毎日, 3/16)、 走行中の高速バスから出火 78人避難 静岡・東名高速 (asahi.com, 3/16)。弱小高速バス会社ではなく、JR バスですよ。
バスは、ドイツのバス車体メーカー「ネオプラン」社製の2階建て「メガライナー」。08年5月には、西日本ジェイアールバスの同一車種が大津市の名神高速道路上り線を走行中、エンジン付近から出火して全焼している。ジェイアールバス関東によると、今年2月の定期点検では異状は見つからなかったという。メガライナーは現在国内に計3台しかないといい、所有する同社と西日本ジェイアールバスは当面運行を中止するとしている。
》 「いびき抑制」根拠なし、ピップフジモトに公取排除命令 (読売, 3/16)、「いびきクリップ」の表示に対する公正取引委員会からの排除命令についてのお知らせ (ピップフジモト, 3/16)
》 バンキシャ虚偽報道で日テレ社長が引責辞任 (ITmedia, 3/16)。なんだ、氏家氏はそのままなのか。
》 身長158センチ・超リアルな日本人女性型ロボット、ファッションショーに出演へ (ITmedia, 3/16)。こ、これは……。これはヤバい、ヤバすぎる。 関連:
産総研、女性型ヒューマノイドロボット「HRP-4C」を発表 〜ファッションショーにも登場予定 (ロボットWatch, 3/16)
身長158cm、体重43kg、日本人女性の平均値を参考にして作ったリアルなロボット「HRP-4C」が実際に動いている様子のムービー (gigazine, 3/16)
ついに腰をくねらせるところまできました。しかしまだまだ人間とは姿勢が違います。問題は背骨だよなぁ……。
》 Nashe Russian youth movement がエストニアへのサイバー攻撃を認める (slashdot.jp, 3/16)、 エストニア:07年のサイバーテロ、露青年組織幹部が関与 ソ連兵像撤去に抗議 (毎日, 3/15)。あれはサイバースクワッティングだ、と主張しているようで。
ロシア方面、NHK スペシャルあるそうで:
揺れる大国 プーチンのロシア 引き裂かれた祖国で 〜グルジア紛争の傷跡〜(仮) (NHK スペシャル, 3/22 放送予定)
揺れる大国 プーチンのロシア 国家よ 軍よ 強くあれ 〜膨張する愛国心〜(仮) (NHK スペシャル, 3/23 放送予定)
》 植物状態からの帰還 〜脳治療最前線・救われる患者たち〜(仮) (NHK スペシャル, 3/28 放送予定)
》 沸騰都市のそれから(仮) (NHK スペシャル, 3/29 放送予定)。 金融危機後の各都市。
》 【ガザ点描】殺人兵器としての携帯電話 (JANJAN, 3/14)。これは 24 ではない。
決してスパイ小説の世界ではない。1996年、イスラエルは「パレスチナの英雄」とまで言われたハマスの技術者、ヤフヤ・ハヤーシュの頭を携帯電話で吹き飛ばし暗殺している。暗殺を直接命じたのは諜報機関の長官だが、それにゴーサインを出したのはイスラエルのシモン・ペレス首相(現大統領)だ。前述の男性は「イスラエルに学んだのさ」と皮肉な笑みを浮かべた。
『殺り方』はこうだ。敵陣営に送り込んだ人間(スパイ)に携帯電話をかける(この時点ではまだ爆発しない)→スパイは電話を取り次ぐ風を装い、暗殺したい相手に携帯電話を渡す→「ハロー」とその人物が電話口に出た瞬間、遠隔操作で爆発させる。
》 V2 DAT専用のダウンロードサイトについて (マカフィー, 3/12)
V2 専用 ダウンロードサイトの利点は何ですか?
V2専用のサイトでは V2 DATで使用するファイルのみダウンロードし、かつ35世代までの差分DATとなるため、ダウンロードに使用する帯域幅が小さくなります。また、差分ファイルの35世代への拡張により、未更新による完全DATのダウンロードを行うまでの期間が長くなります。
差分 DAT は、従来は 15 世代までだそうで。力の1号、技の2号ですか? わかります。
》 VSE 8.0i / 8.5i の手動アンインストール方法 (マカフィー, 3/16)
》 5301エンジンの差分アップデートを手動で適用する方法 (マカフィー, 3/16)。「5301エンジンの自動更新は2009年4月16日を予定しています」だそうです。
》 デジタル・コンテンツ利用促進協議会シンポジウムパネルディスカッション詳細 (音楽配信メモ, 3/12)
》 著作権法改正案、文科省Webサイトで公開中 (slashdot.jp, 3/13)
》 サイバー犯罪のアウトソーシングがトレンドに? (slashdot.jp, 3/14)。とっくにそうなっている、の間違いなのでは。 何をいまさらって感じ。
》 東京都環境局:義務化により,CO2排出量削減を経営の問題に (まるちゃんの情報セキュリティ気まぐれ日記, 3/16)
》 長すぎるFlash Playerの自動更新間隔,“隠し設定”でカスタマイズを デフォルトの30日間ごとの間隔を短くしセキュリティ・リスクを低減 (日経 IT Pro, 3/16)
実は,「Adobe Flash Player」のセキュリティを含む詳細な設定方法は,アドビが公開するTechNoteの『IT管理:Flash Player自動更新の設定』に記載されています。
》 黄金分割は神話だった? (Okumura's Blog, 3/11)
》 医薬品ネット販売規制のさらなる強化に自民党厚労族がアップを始めたようです (崎山伸夫のBlog, 3/11)。薬関連:
薬事法施行規則の改正についての手続き的な疑義 (崎山伸夫のBlog, 3/8)
医薬品流通制限と憲法の問題は厚生労働省も認識しているはず (崎山伸夫のBlog, 3/8)
》 Safe Mode: A Misnomer (McAfee blog, 3/12)。セーフモードでもマルウェアは動くよ話。 関連: Windowsの「セーフモード」が「安全」とは限らない、米マカフィー (日経 IT Pro, 3/16)
》 次世代通信網の「奸計」 プロバイダーが怒号の嵐 (FACTA online, 2/20)。 NGN の IPv6 マルチプレックス問題話。 関連:
代表ISP3社がNTTと接続,NGNのIPv6マルチプレフィックス問題解決策に第4案が浮上 (日経 IT Pro, 2/16)
総務省インターネット政策懇談会第9回 NGN における IPv6 提供方式に関する検討結果 (NTT 東日本 / 総務省, 2/16)。 インターネット政策懇談会の 第9回 配付資料 も参照。
2年後に迫る IP アドレス枯渇[3]マルチプレフィックス問題 (日経コミュニケーション / 日経 IT Pro, 2008.10.15)
IPv6マルチプレフィックス問題,代表ISPが“独占”など大きな誤解だ: NECビッグローブ 代表取締役執行役員社長 飯塚久夫氏 (日経 IT Pro, 2/27)
インターネットに接続できないNGNっていったい… (日経 IT Pro, 3/3)。「案 2 では ISP のコスト負担が大きすぎる」というのが案 4 登場の理由みたい。
》 個人情報流出に関する対応状況お知らせ (IBM, 3/13)。神奈川県立高校生徒情報の件。 Share からはほぼ駆逐、Winny においても完全なダウンロードは困難にするところまで来ているのだそうで。「ここまでできる」というよい見本になっているなあ。
並行して法的対応も行われているそうで:
本件の起因となった弊社業務委託先社員がウィルス感染により流出させた情報を取得して意図的に情報の拡散を図ったと見られる人物に関して、昨年12月より該当のISPに対して、発信者情報の開示請求を要請して参りましたが、プロバイダー責任制限法に規定された発信者保護の観点から、任意の開示にいたりませんでした。このため、弊社は去る2月9日に、東京地方裁判所に当該プロバイダーに対しての「発信者情報の開示」の仮処分の申し立てを行い、2月26日当該仮処分の発令を得るに至りました。
現行のプロバイダー責任制限法のもとで、「発信者情報の開示」が仮処分の段階で認められたことは、今回がおそらく初めてのケースであると思われます。
更に3月5日、弊社は当該人物を相手方として、東京地方裁判所に対して「情報の再発信の禁止」の仮処分の申し立てを行い、翌6日に当該仮処分の発令を得ました。
既に当該人物に対して裁判所から仮処分の通知がなされており、弊社は当該人物の対応を注意深く見極めて参ります。
》 AdSenseアカウントが理由もなく無効になった場合、Googleを訴えれば受け取っていないお金は取り戻せる (gigazine, 3/13)。訴訟を起こせ、ルーク。
》 3月9日の「電文形式データ配信システム」の障害について (財団法人 気象業務支援センター, 3/13)。 データ配信システムのトラブルの件の詳細。
本番系サーバに障害。
待機系サーバに自動切替されるはずが、待機系も動かず。 (原因は現在も不明の模様)
本番系サーバのメインボードを交換して再起動。
しかし、本番系・待機系サーバが共有しているディスク上のファイルが腐っていて稼働できず。
ファイル修復後、稼働状況を確認してようやく復旧。
こんな記述が。
現在、当センターでは、大阪に「バックアップシステム」を構築することで作業を進めていますが、これをより早期に稼働できるよう進めています。同システムは、現在、当センターが気象庁ビルに設置してある配信システム (都内千代田区の気象庁構内) とは別の場所 (大阪) に整備するもので、次のような経路で利用者へ情報が提供されます (「気象庁 → 気象庁回線 → 大阪管区気象台 → 当センターが整備するバックアップシステム → インターネット回線 → 利用者」)。
現時点では、「東京」が落ちると全部駄目なのですね。taka さん情報ありがとうございます。
》 Microsoft社がHyper-V 2.0とRemote Desktop Connection Broker 1.0の両ベータをリリース (ハニーポッターの部屋, 3/13)。2009〜2010 年は、Windows 7 / Server 2008 R2 / Hyper-V 2.0 で割と幸せな年になりそうなのかな。 リーズナブルな価格で Live Migration できるとなれば、Hyper-V の採用がドドッと増えるかな。
》 東京地下鉄でBluetooth探査 (高木浩光@自宅の日記, 3/15)
》 なぜグーグルブックサーチの米国の和解結果が日本の著作権者にも影響を与えるのか (栗原潔のテクノロジー時評Ver2, 3/11)
今回のグーグルブックサーチの訴訟は全著作権者を代表したクラスアクションでした。そして、ベルヌ条約ではベルヌ条約締結国の国民は自国民と同等(以上)の保護をしないといけないという規定がありますので、このクラスアクションは、日本に限らず、全ベルヌ条約締結国の著作権者を代表したものということになり、その結果もこれらの著作権者に及ぶということになります。いわば、日本国内の著作権者はいつの間にかグーグルに対する訴訟の原告になっていたというような状況です(もちろん、事後的にオプトアウトは可能)。
》 警官の「職質動画」YouTubeに投稿で物議 (ITmedia, 3/13)。転び公妨にだけは気をつけようね。
》 子供にはむしろニセ科学を教えるべきではないか? (悪徳商法?マニアックス ココログ支店, 3/15)。わはは。 いや実際、2000 年になっても世界が続いているのでがっかりしたからなあ。 キャトルミューティレーション (ウィキペディア) も本当にがっかり。
》 結論:SSDだからこそデフラグは要ります。でも条件付。 (パソコントラブル出張修理・サポート日記, 3/13)
結論:
SSDだからこそデフラグは必須。
ただし空き領域の断片化解消が重要なので、Windows標準のデフラグでは効果が出にくい。
SSDのデフラグの効果を検証 (博士課程大学院生の現実逃避日記, 2/11) も参照。
一太郎 2008 / 2007 / 2006 / 2005 / 文藝 / 2004 / 13 / Lite 2、一太郎ビューアに欠陥。文書ファイルの「書式情報の処理」に欠陥があり、攻略文書ファイルによって任意のコードを実行できる。 最新の一太郎 2009 にはこの欠陥はない模様。 CVE-2009-1054
ジャストシステムのアドバイザリには「文書ファイル」としか書かれていないため、どのような文書ファイルで欠陥が発現するのかよくわからない。 相次ぐ文書ファイルを狙った攻撃、今後の標的は国産ワープロソフト「一太郎」 (トレンドマイクロ セキュリティ blog, 2009.03.16) には『一太郎「JTD」ファイル』と書かれている。
基本的には patch を適用すればよい。「JUST オンラインアップデート」を使って適用できる。ただし、
一太郎 2008 試用版についてはアンインストールし、一太郎 2009 の試用版をインストールする。
一太郎ビューアについてはアンインストールし、最新の一太郎ビューア (バージョン 19.0.1.0 以降) をインストールする。
一太郎 Lite 2 の patch はまだ開発中。
手元の一太郎 2008 で JUST オンラインアップデートを実行してみたが、patch の説明が「一太郎 2008 で発生している現象を回避します」というのはなぁ。
関連: Malware Again Attacks Ichitaro Word Processor (McAfee blog, 2009.03.16)。日本語版もほしいなあ。
関連: Ichitaro Exploits Progress (trendmicro blog, 2009.03.20)
一太郎 Lite 2 の patch が登場しました。 [JS09001] 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について (ジャストシステム, 2009.03.23 改訂) を参照。
JVN#23558374: futomi's CGI Cafe 製高機能アクセス解析CGI Standard 版 (Ver. 3.x 系) におけるクロスサイトスクリプティングの脆弱性 (JVN, 2009.03.16)
JVN#84899898: futomi's CGI Cafe 製 MP Form Mail CGI における管理者権限奪取の脆弱性 (JVN, 2009.03.10)
IBM Tivoli Storage Manager Express Heap Buffer Overflow Vulnerability (iDefense, 2009.03.10)
》 上野宣の Macbook Air (うさぎ文学日記, 3/10)。「また上野宣か」ねた (自虐風味)。
》 消費者ニーズ抑えるのは…… - 医薬品ネット販売規制で"一致点"求める提案 (マイコミジャーナル, 3/12)。「医薬品新販売制度の円滑施行に関する検討会」第2回会合が開催されたそうで。 とりあえず、建設的な方向には向かっている感じ。
》 ウイルス検知率99%、ドイツのアンチウイルスソフトシェアNo.1企業「GDATA」はクレイジーな会社だった in CeBIT 2009 (gigazine, 3/10)
》 【緊急更新】海賊対策・派遣護衛艦の装備が明らかに (蒼き清浄なる海のために, 3/12)。やれることはやっている模様。
》 NHKクローズアップ現代「“初めての派遣”〜ソマリア海賊対策・浜田大臣に問う〜」 (蒼き清浄なる海のために, 3/11)。見逃した orz
》 日本に向け狂気のプルトニウム(MOX燃料)海上輸送始まる (JANJAN, 3/11)
今回輸送されるMOX燃料は、9基の輸送容器に納められた65体の燃料集合体からなり、含まれるプルトニウムの全量は約1・8トン。(中略) 国際グリーンピースによると、「このプルトニウムで225個の原子爆弾を作ることができる。長崎を破壊した原爆より強力だ」という。
225 個というのはどこから出てくる数字なのだろうと思ってちょっと調べてみた。
ファットマン (ウィキペディア)。 「中心核: 6,2 kg 低密度デルタ相プルトニウム合金 (プルトニウム239とガリウム)」
MOX燃料輸送と核拡散 (軍縮問題資料 1999.05 / 原水爆禁止日本国民会議)。兵器級プルトニウム伝説への反論。
1)原子炉級のプルトニウム(燃焼度3万3000MWd/トン)の裸の球形の臨界量は約13キログラム、兵器級のそれは約10キログラムである(共にアルファ相の金属の場合)。前者で核兵器を作るのには30%ほど余分な量が必要ということである。この差はそれほど大きくない。
1800 / (6.2 * 1.3) = 225。ずいぶん乱暴な気がするが、数字は合う。
まぁ、その部分にこだわってもたいした意味はないのだろうし、JANJAN 記事に文句言ってる人も、だからと言って北朝鮮にさぁどうぞと渡せるようなものじゃないってことには同意するでしょう。ちなみに、史上最大のプルトニウム輸送に抗議のアピール (グリーンピース, 3/6) にリンクされているプレスリリースや抗議文書には、 225 個なんて数字はどこにも出てこないみたい。
それはそれとして。プルトニウムそのものを輸送したときは「巡視船しきしま」が護衛にあたったわけですが、MOX 燃料の場合はしきしまは帯同せず、輸送船だけでやってくるんですね。もちろん武装船ではあるのですが。 Pacific Heron と Pacific Pintail の 2 隻。 Pacific Heron は made in Japan だよ。
MOX燃料輸送における商船の武装 (蒼き清浄なる海のために, 2/19)
PNTL Ships (PNTL)
Pacific Heron - PTNL Nuclear Fuel Transporter (ship-technology.com)
Research Report No. 5 International Panel on Fissile Materials - The Legacy of Reprocessing in the United Kingdom (fissilematerials.org)。 Pacific Pintail の武装の写真あり。カバーつきですが。
MOX FUEL TRANSPORT FROM EUROPE TO JAPAN: INFORMATION FILE [ 2009 EDITION ] (areva-nc.com)
漆間氏「記憶では、言ってない」〈記者会見やりとり〉 (asahi.com, 3/9)。詳報。
不当逮捕の黒幕(?)、漆間巌官房副長官がピンチ (麻生でてこい!!リアリティツアー救援会ブログ, 3/10)
漆間発言で露呈した麻生・河村との「官邸内三角関係」 (JANJAN, 3/11)
》 RegRipper and Volatility Prototype (Push the Red Button, 3/1)
》 【CRYPTO-GRAM日本語版】情報流出の報告義務化法を考える (日経 IT Pro, 3/10)。USA 方面。
》 ボットネット運営者に4年の懲役刑 被告は検索ベンチャー元社員。容疑はハッキング、詐欺、盗聴など (ComputerWorld.jp, 3/9)。Operation Bot Roast II ねた。
》 カリフォルニア州議、政府報告義務を新たに盛り込んだ「データ侵害通知法」修正案を提出 (ComputerWorld.jp, 3/9)
》 Conficker Call-home Protocol v2 (Sophos, 3/11)。より激しくなったのかな。前ねた: ソフォス報告、正規のWebサイトがConfickerワームの影響を受ける恐れあり (Sophos, 3/2)
関連: New DOWNAD Generates More URLs (trendmicro blog, 3/11)
》 Massive ARP spoofing attacks on web sites (SANS ISC, 3/11)
》 Google Docsで非公開の文書が公開されてしまうトラブル発生 (slashdot.jp, 3/9)。Google ですから。抵抗は無意味だ。
》 携帯ゲーム機にて、無線LANのアクセスポイントに「ただ乗り」する子供達 (slashdot.jp, 3/9)
》 3/10のWindows Defender更新でhostsが書き換えられる!? (slashdot.jp, 3/11)。Windows Defender の誤検出・誤削除。今は直っているそうで。moriya さん情報ありがとうございます。
》 Avert Passes Milestone: 20 Million Malware Samples (McAfee blog, 3/10)
》 合法ソーシャル・ネットワーク用ツールバーを偽装し,バックドアを仕掛けるトロイの木馬 (日経 IT Pro, 3/11)。
》 ブラザー、9.7型電子ペーパー搭載のドキュメントビューワ (PC Watch, 3/12)。ファイルは独自形式ですか……。
》 2008年上半期 デスクトップ OS ベンダー レポート 〜脆弱性と DoR 〜 (日本のセキュリティチーム, 3/10)。Windows の場合、脆弱性としてカウントされないものが重大な問題だったりするからなあ。autorun とか。
》 米Symantec、パッチ「PIFTS.exe」の警告問題について釈明 (Internet Watch, 3/11)。Norton 2006 / 2007 用の patch がコード署名されないままリリースされてしまったため、Norton ユーザが混乱した模様。
シマンテックのリリースプロセスには「コード署名の有無の確認」が存在しないのかな。
シマンテックはリリース前の動作テストをしていないのかな。
関連:
米Symantecがデジタル署名を付け忘れたファイルを配布、ユーザに大きな混乱呼ぶ (slashdot.jp, 3/12)
Democrats.org Blog Spam Contributes to Google Search Poisoning (McAfee blog, 3/10)
PSST! It's PFTS! (ESET Threat Blog, 3/10)
Signed Updates and Social Engineering (ESET Threat Blog, 3/11)
conspiracy fodder: pifts.exe (SANS ISC, 3/10)
》 ご迷惑をおかけしております。Windowsが正しく開始できませんでした。今度は…。 (パソコントラブル出張修理・サポート日記, 3/8)。 光学ドライブ話。 HKLM\System\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} がクセ者なのですかね。 関連:
米国議員、新たなサイバー・セキュリティ法の必要性を訴える 「ブッシュ政権が定めた従来の法律は実行力が不十分」と主張 (ComputerWorld.jp, 3/11)。 digital 9/11 ねた。 関連:
米国政府のサイバー・セキュリティ対策責任者が辞職 原因は「政府内の縄張り争い」、国家安全保障局や国土安全保障省を痛烈批判 (ComputerWorld.jp, 3/11)。Rod Beckstrom 氏。
Adobe Reader 9 / Acrobat 9 の fix 出ました: APSB09-03: Security Updates available for Adobe Reader 9 and Acrobat 9。8 以前はまだ。
関連:
Adobeを捨てるときが来たのかも (ITmedia, 2009.03.10)。代替品に穴がないとは限らないですけどね。例: Foxit Reader for Windows Security bulletins (foxitsoftware.com)。
New Attack Vectors for Adobe JBIG2 Vulnerability (US-CERT, 2009.03.10)。攻撃界面事例 2 つ。
Windwos Indexing Service 等を使って PDF ファイルをインデックス化している場合。攻略 PDF をインデックス化しようとしてドカン。 これを回避するには、IFilter として登録されている Adobe Reader / Acrobat のコンポーネントを登録解除する必要あり。
| 使用ソフト | 登録解除コマンド |
|---|---|
| Adobe Reader | Rregsvr32 /u AcroRdIF.dll |
| Acrobat | regsvr32 /u AcroIF.dll |
Explorer において「縮小版」(サムネイル) を表示するよう設定している場合。これを回避するには、regsvr32 /u "%CommonProgramFiles%\Adobe\Acrobat\ActiveX\pdfshell.dll" を実行する。
……青木さんから (情報ありがとうございます)
これなんですが、せっかく登録解除しても Acrobat を起動すると Windows Installer がガラガラ始まってまた元に戻ってしまいます...
手元の Acrobat 8.1.3 で確認しました。Administrator でなくても 制限ユーザーで Acrobat を起動しても元に戻ってしまいました。
iTunes 8.1 登場。2 件の欠陥が修正されている。
iTunes Digital Audio Access Protocol (DAAP) の処理において無限ループが発生する。このため、攻略 DAAP メッセージによる DoS 攻撃が可能。Windows 版 iTunes でのみ発生する。Mac 版にはこの欠陥はない。 CVE-2009-0016
iTunes におけるポッドキャストの扱いに設計上の欠陥があり、 攻略ポッドキャストを講読すると、iTunes のユーザ名とパスワードが開示されてしまう。This update addresses the issue by clarifying the origin of the authentication request in the dialog とあるので、もともとの実装では origin が表示されず、ダイアログの偽装 が可能だった、ということかな。 CVE-2009-0143
Adobe Reader/Acrobatに新たな脆弱性、Adobeがアドバイザリを公開の件、 予定どおり Acrobat 9.1 / Adobe Reader 9.1 出ました。 CVE-2009-0658
今後の予定:
Adobe Reader 7 / 8 および Acrobat 7 / 8 の fix が 2009.03.18 に登場予定。
Adobe Reader 9.1 for Unix は 2009.03.25 に登場予定。
》 核弾頭の製造方法が分からなくなり、米国でトライデントミサイル再整備計画が停滞 (slashdot.jp, 3/11)
・仕様書が無い
・最終版のソースが無い
・当時の担当者は行方不明
って状況に置き換えて読むと判りやすいですか?
》 機動戦士ガンダム:18メートルの“光る”等身大像を製作 生誕30周年記念で (毎日, 3/11)。1/1 スケールだそうです。 となりに 1/1 ブルーティッシュドッグも置いてほしいなあ。
さて、次はイデオンだな (ありえねぇ……)。
「『カーネルの呪い』も解けて、今年は日本一でしょう」 (asahi.com, 3/11)
カーネル人形「下半身」も発見 メガネは見つからず (asahi.com, 3/11)
道頓堀側からカーネル・サンダース人形を24年ぶりに発見 写真一覧 (毎日, 3/11)。写真多数。
予告どおり 3 つ。「最新情報を 5 分で確認」というリンクがついたのですね。そろそろプロのアナウンサーを雇う、という話はないのかしら。でも不況だしなあ。
Windows 2000 / XP / Server 2003 / Vista / Server 2008 に 3 つの欠陥。 Graphics Device Interface (GDI) に 3 つの欠陥があり、攻略 WMF / EMF ファイルによって任意のコードを実行できたり (CVE-2009-0081)、権限上昇が可能となったり (CVE-2009-0082、 CVE-2009-0083) する。しかし Exploitability Index はいずれも 2 あるいは 3。
| CVE | Exploitability Index |
|---|---|
| CVE-2009-0081 | 3 |
| CVE-2009-0082 | 2 |
| CVE-2009-0083 | 3 |
Windows 2000 / XP / Server 2003 / Vista / Server 2008 に欠陥。 Microsoft Windows SChannel 認証コンポーネントに欠陥があり、 証明書を使った認証を行っている場合に、プライベート鍵へのアクセス権を有していないユーザを正当なユーザだと解釈してしまう場合がある。 結果として、攻撃者によるなりすましが可能となる。 CVE-2009-0085。Exploitability Index は 2。
| CVE | Exploitability Index |
|---|---|
| CVE-2009-0085 | 2 |
関連: Assessing the risk of the schannel.dll vulnerability (MS09-007) (Microsoft Security Research & Defense, 2009.03.10)
Windows 2000 Server / Server 2003 / Server 2008 に欠陥。 DNS / WINS 関連で、サーバ側に 4 つの欠陥がある。 クライアント側実装には欠陥はない。
動的更新を使用しており、かつ事前に ISTAP / WPAD を設定していない Windows DNS サービスに欠陥。 特殊な query に対して、cache されている応答が使われない。 これを利用すると、トランザクション ID の推測率を通常よりも高くできる。 CVE-2009-0233
Windows DNS サービスに欠陥。 特殊なレスポンスが cache されないため、 これを利用すると、トランザクション ID の推測率を通常よりも高くできる。 CVE-2009-0234
動的更新を使用しており、かつ事前に ISTAP / WPAD を設定していない Windows DNS サービスに欠陥。誰でも ISTAP / WPAD を登録できてしまう。 CVE-2009-0093
WINS サービスに欠陥。内容は、上記と同様、誰でも ISTAP / WPAD を登録できてしまう話。 CVE-2009-0094
Exploitability Index はいずれも 2。
| CVE | Exploitability Index |
|---|---|
| CVE-2009-0233 | 2 |
| CVE-2009-0234 | 2 |
| CVE-2009-0093 | 2 |
| CVE-2009-0094 | 2 |
MS09-008 関連:
Changes to DNS server behavior after you install the security update for DNS server (Microsoft KB968732)
MS09-008: DNS and WINS Server Security Update in More Detail (Microsoft Security Research & Defense, 2009.03.13)
Changes to WINS server behavior after you install the security update for WINS server (Microsoft KB968731)
MS09-006 patch には副作用があり、HotFix が用意されている模様。
》 ロッキードマーチン、実用軍用モビルスーツを発表 (technobahn, 3/10)。technobahn だから仕方ないのだろうが、 強化外骨格 (エクソスケルトン) って呼ぼうね。
4ポンド(約1.8キロ)型の専用バッテリーを使用することで約1時間の連続使用が可能。この他に、JP8ジェット燃料を使った発電機を搭載した長時間駆動型も用意されており、こちらの場合の連続使用時間は72時間と、3日間に渡って使用することが可能。
JP8 ……。さすが軍用、やることが豪快です。 オフィシャル: Lockheed Martin Unveils Exoskeleton Technology at AUSA Winter Symposium (Lockheed Martin, 2/26)、HULC (Lockheed Martin)。熊みたいなおじさんが出てくるビデオあります。 ロボットスーツ HAL とくらべると、なんか、痛そうな気がするのだが、そうでもないのかなあ。
》 東大病院のウイルス感染はUSBメモリ経由、「MS08-067」未適用 (Internet Watch, 3/9)。ありがち。
》 自動車と情報家電の組込みシステムのセキュリティに関する調査報告書 (IPA, 3/10)
》 ANA、女性パイロットの制服をお披露目 (産経 MSN, 3/10)
これまで、男性用の制服を手直しして着用していたが、女性の体形に合わず機能性に問題があった。
なんと、そんな状況だったとは。
》 あの!? カーネル・サンダース像見つかる 道頓堀川 (asahi.com, 3/10)
》 製品インストール時の「エラー 1920 」に関するQ&A集 (マカフィー)。マジックナンバー 1920。
違法献金:漆間氏「特定政党のこと申し上げた記憶はない」 (毎日, 3/10)
西松建設献金事件:漆間氏発言 首相「誤報」を撤回 厳重注意、更迭の考えなし (毎日, 3/10)
社説:漆間副長官発言 「誤解」で済む話では到底ない (毎日, 3/10)。他社の社説:
社説1 民主党も自民党も政治のリセットを (日経, 3/10)
漆間副長官 適格性に疑問符がつく (中日, 3/10)
【主張】漆間氏発言 「厳正・中立」を疑わせた (産経, 3/10)
漆間副長官 言い逃れはできない (信濃毎日, 3/10)
朝日と読売は、この件について社説では言及していないみたい。 かわりにあるのはこんな社説:
西松違法献金 厳しさ増す小沢氏の責任問題(3月10日付・読売社説) (読売, 3/10)
民主党—この不信にどう答える (asahi.com, 3/10)
ロッキード事件: 流行語 (ウィキペディア)
小沢氏はとりあえず続投だそうで。「起訴」となればまた別の話になるのでしょうけれど。
違法献金:小沢氏、代表続投を表明…民主幹事会 (毎日, 3/10)
検察リーク情報: 小沢代表元秘書の現職議員、参考人聴取へ 西松事件 (asahi.com, 3/10)
対抗: 西岡参院議運委員長「検事総長の証人喚問を考えたい」 (asahi.com, 3/10)
民主・小沢氏の記者会見要旨 (時事, 3/10)
‐報道各社の世論調査結果を受け、進退をどう考えているか。
収賄罪か何かの被疑者のような報道だから、国民が辞めた方がいいと思ってもむべなるかなと思うが、まだ(政治資金)収支報告書の事務処理の問題以外に何も明らかにされていない。その他のことも含めて明らかになれば、その時点で国民の判断を頂ければいい。進退は最終的な結論が出るまでは、現時点で全く考えていない。
(中略)
‐起訴、不起訴が明確になった時点で判断するのか。
起訴になる、ならないということ以上に、中身の問題だと思っている。(現在の容疑は)単に(政治資金)収支報告書の処理の認識の違いだ。わたしが収賄罪みたいな犯罪に手を染めているという事実があれば、どのような扱いを受けても仕方ない。しかし、そんな事実はない。国民が「こういうことか」ということであれば総選挙に影響しないし、「こんなことだったのか」という大きな事柄であれば影響するだろう。
小沢問題の本質 (白川勝彦, 3/10)
あと、ババを引かされた人:
違法献金:二階経産相、違法性と関係者事情聴取を否定 (毎日, 3/9)
違法献金:西松OB2団体のパー券購入、3割強は二階派分 (毎日, 3/10)
》 愛知、ウズラ3例目も高病原性 豊橋の鳥インフル (中日, 3/10)。依然事象継続中。
こんな話も: 鳥インフル:愛知・豊橋のアイガモ農家で低病原性を検出 (毎日, 3/10)。H11N9。
県によると、低病原性は、家畜伝染病予防法に規定される「届出伝染病」で、殺処分や移動制限などの強制措置が義務付けられている「家畜伝染病」の高病原性とは異なる。今回のウイルスは、カモなどの水鳥が多く持っている自然界に普通に存在する種類で、症状が出ないことも多く、大量に死ぬようなことはないという。
今回の農家は食用のアイガモ1000羽を飼育しており、県は自主的な処分を要請するという。
》 BSE:全頭検査、全自治体が来年度も継続 (毎日, 3/10)
》 違法「着うた」入手も規制 著作権法改正を閣議決定 (中日, 3/10)。規制強化あり、緩和あり。 関連: 無断配信コンテンツのダウンロードは違法に - 著作権法改正案を閣議決定 (マイコミジャーナル, 3/10)
》 USBメモリ感染ウイルスチェッカーを作ってみよう! (パソコントラブル出張修理・サポート日記, 3/6)。write-protected な USB メモリを実現するため、ここでは MicroSD + SD アダプタ + USB 接続の SD カードリーダ、を使用している。
》 「ケータイに貼るだけで電波感度アップ」に裏づけなし--公取委が排除命令 (CNET, 3/10)。吉本倶楽部、カクダイ、森友通商、ナスカ。
》 罪深いメディアの「犯人報道」と袴田巌さん成年後見制度適用 (保坂展人のどこどこ日記, 3/8)
》 第一回サイバー大学勉強会@札幌 (極楽せきゅあ日記, 3/9)。 2009.03.28、北海道札幌市、無料?
》 Firewall requirements for coexisting with Teredo (Microsoft KB 968510)
》 FIX: You receive a Stop 0x0000007e error message on a blue screen when the AppPoolCredentials attribute is set to true and you use a domain account as the application pool identity in IIS 7.0 (Microsoft KB 962943)。patch があるそうで。
》 自民党国防部会、「海賊対策新法」で激論! (参加議員から法案「生煮え」発言も!) (佐藤正久, 3/10)。佐藤議員は「平場で2時間もの突っ込んだ議論が出来るのも自民党の良いところだと思う」と書いているが、政治家は結果がすべてなので、
結果、多くの議員がモヤモヤしながらも、国防部会長に一任で「止む無し」といった赴きだった。
押し切られました、ではいかんでしょ……。
》 発表! 海外アウトソーシング都市“危険度”ワースト25 (ComputerWorld.jp, 2/27)。25 と言われると「アタック」という文字列が連想されるなあ。
》 スーダンのバシル大統領に逮捕状:ICC (国連情報誌SUNブログ対応版, 3/5)。ジョージ・ブッシュにも逮捕状を発行すべきだよね。
》 ダルフール地域から支援活動組織が退去 (国連情報誌SUNブログ対応版, 3/7)
》 Panda USB and AutoRun Vaccine (Panda research, 3/5)。ふぅむ。
》 Behind the Estonia Cyber Attacks (SANS ISC, 3/8)
》 「ショートカットウイルス」に注意、東アジアで感染拡大中 マイクロソフトが警告、ダブルクリックすると別のウイルスに感染 (日経 IT Pro, 3/5)
》 Wizard Bible vol.45 (wizardbible.org, 3/5)
》 なぜ、日本ではネット献金が出来ないのか (保坂展人のどこどこ日記, 3/9)
日本でネット献金が拡がらないのは、理由があるようだ。「ネット献金は、クレジット決済が不可欠だが、決済窓口となる大手カード会社の担当者たちは『カード会社が特定の政治家や政党を支援していると受け取られてしまう」「政治家はカード加盟店と見なせるのか。もし落選したら、一市民になるのでは』などと及び腰だ」(朝日新聞08年9月13日)という記事を読むと、ため息が出てくる。いつまでたっても、特定企業・団体が大口献金で政治家を縛り、市民が簡単に政治献金出来る道がふさがれたままだと、明らかに政治の劣化には加速度がかかる。大手ではなくても、どこか決済機能を持つカード会社が名乗りをあげない限り、永遠に日本ではネット献金が出来ない状態が続くのだろうか。
なんじゃそれー。PayPal とか使えないの?
》 大規模障害で1ヶ月も更新停止中のDoblogユーザーがどこに移転したのかがわかる「Doblog難民キャンプ」 (gigazine, 3/9)。総務省には難民高等弁務官はいないの?
》 「偽のレビュー記事で信用させる」、偽ソフト配布の巧妙な手口 検索サイトを悪用して誘導、「antyvirus」で検索すると偽ページへ (日経 IT Pro, 3/9)。にせアンチウイルス話。
》 Windowsの脆弱性悪用ウイルスに新たな亜種、セキュリティ機能を停止 シマンテックが「Downadup.C」を報告、感染ウイルスの“延命”が目的か (日経 IT Pro, 3/9)
》 「体臭消える」エキスに根拠なし DHCなどに排除命令 (asahi.com, 2/3)
調べでは、各社は00年から今年初めにかけて、新聞やインターネットのサイト上で広告を掲示。体臭や口臭の原因は腸内環境にあり、「シャンピニオンエキスが腸内で作用して悪臭の成分を中和する」などと表示していた。
しかし、公取委が専門家などに聴いたところ、口臭は口の中で細菌が、体臭は皮膚の汗腺に付着した細菌の代謝物が腐敗することによって生じることがほとんどで、腸内の環境と口臭・体臭に因果関係はないことが判明。業者に広告表示の根拠となる資料提出を求めたが、各社とも合理的な説明ができなかったという。
》 旧バージョン(VSE8.0i/8.5i) からのアップグレード後、「自動リポジトリリストを編集する」メニューがグレイアウトします (マカフィー, 3/6)。VSE 8.7i 話。けったいな bug じゃのう。
改善策
パッチ2(リリース日未定)で修正予定です。
まだ patch 1 もリリースされていないのに、patch 2 で修正予定とは! マジですか。 VSE 8.5i は patch 8 が出たんですけどねえ。
》 経済産業省 カーボンフットプリント制度の基本ルールが決定 〜CO2排出量の算定・表示方法等のルールの策定〜 (まるちゃんの情報セキュリティ気まぐれ日記, 3/5)
第7回■文字エンコーディングが生み出すぜい弱性を知る 文字コードに関する注意点(3) (日経 IT Pro, 3/3)
第8回■主要言語の文字エンコーディングの対応状況を押さえる 文字コードに関する注意点(4) (日経 IT Pro, 3/9)
》 SQL Injection Attacks and Defense (てっしーの丸出し, 3/5) という本が出るそうで。
》 ソーシャル・ネットワークを悪用したDoS攻撃「SDoS」 (日経 IT Pro, 3/3)
》 「駆除したのに怪しいファイルが……」、USBウイルスが残す傷跡 (日経 IT Pro, 3/6)
セキュリティ対策ソフトの多くはこれらのウイルスに対応済みなので、適切に利用していれば駆除できるという。その場合、USBメモリーなどには、ウイルスが駆除されたメモ帳やマインスイーパーが残されることになる。
残されたファイルがメモ帳などであることが一目で分かれば問題ないが、前述のように、ファイル名と拡張子が変更されている。セキュリティ対策ソフトが「駆除できました」と言っているのに、USBメモリーには「cobpnp.pif」といった怪しいファイルが残ることになる。このため、中には混乱するユーザーがいるだろうとしている。
》 浮上した日本の有人月探査計画(1) 足りない根源的議論、「なぜ月か」を示さず (日経 BP, 3/9)。 低軌道への有人飛行能力もないのに月へ行く? あんたバカ? ……まぁ、「宇宙開発戦略本部(本部長:麻生太郎内閣総理大臣)」ではねえ。
》 CanSecWest Preview & New Blog URL (Microsoft Security Research & Defense, 3/5)
防衛政策検討小委員会第8回勉強会 (佐藤正久, 2/28)
防衛政策検討小委員会第9回勉強会 (佐藤正久, 3/3)
防衛政策検討小委員会第10回勉強会 (佐藤正久, 3/5)
》 農家補償などに3億円 鳥インフルで愛知県が追加予算 (中日, 3/9)
》 【橋下維新】WTC移転白紙? 橋下知事ピンチ (JANJAN, 3/7)
府議会での移転に関する議論の論点は(1)現在、WTCに入居している大阪市関連部局約40億円の移転費用の負担問題(2)WTC移転時の府の災害対策関連問題(周辺地液状化や耐震性能、非常時の職員参集体制など)(3)移転後の現府庁舎跡地の売却問題−などが与野党から質問が出ている。
短期的には (1) が特に問題なのだろうけど、中長期的には (2) だよなあ。
》 世界初、ついに表層メタンハイドレートからガスを解離・回収する実験に成功 (gigazine, 3/6)
》 米軍が「自爆攻撃シミュレーター」を開発 (gigazine, 3/9)
》 「マジコンではありません」、オークションに謎のニンテンドーDS周辺機器「3777788」が大量出品 (gigazine, 3/9)
ちなみに「3777788」を携帯電話の10キーと照らし合わせると、なぜかニンテンドーDS向けのマジコンの名前と同じ「DSTT」というフレーズが浮かんできますが、非常に珍しい偶然もあるものですね。
》 300 Iranian Spies Named (cryptome, 3/6)
》 「相手の顔が見える」ネット攻撃の怖さ (日経 IT Pro, 3/4)。Bluetooth ねた。
》 首都高速都心環状線でBluetooth追跡できるか + 続・山手線 (高木浩光@自宅の日記, 3/7)
》 Windows Mobileの「オーナー情報」設定に注意 (高木浩光@自宅の日記, 3/8)。 Bluetooth + 「また上野宣か」ねた。
》 イギリスの新聞を信頼する人、7%〜「信頼できない」はなんと68% (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊), 3/3)
タミフル以外も備蓄、東京都のみ 厚労省「別の薬必要」 (asahi.com, 3/9)。タミフル耐性の季節性インフルエンザが流行している昨今ですが、現状でリレンザも備蓄しているのは東京だけだそうで。
P'You (株式会社イハラ)。SECURITY SHOW 2009 の ALSOK ブースに置かれていた防護服がこれ。 ふつうの人でも買える程度の値段らしいよ。 いや実際、パンデミック時もゴミ出しとかしなきゃいけないからねえ。 簡易隔離室もあるよ。
》 国策捜査は一定の成功を得たか? 小沢氏への評価は厳しいですな。だからと言って麻生氏が支持されるわけもないようですが。
「小沢代表辞任を」57% 朝日新聞緊急世論調査 (asahi.com, 3/8)
無党派層、民主離れ 朝日新聞緊急世論調査 (asahi.com, 3/8)
緊急世論調査—質問と回答〈3月7、8日実施〉 (asahi.com, 3/8)
小沢代表「辞任を」53%、8割「説明納得できず」読売調査 (読売, 3/8)
民主「敵失」でも内閣支持率低迷…首相の資質に疑問根強く (読売, 3/8)
鳩山幹事長「率直におわび」と軌道修正…小沢氏に強まる逆風 (読売, 3/8)
民主の「小沢離れ」進む、鳩山幹事長も進退問題に言及 (読売, 3/9)
小沢氏の自発的辞任求める声、民主党内に広がる (asahi.com, 3/9)
一方、国策捜査を事実上認めていたのは漆間巌官房副長官 (前警察庁長官) であることが判明。
漆間巌 (ウィキペディア)
漂う暗雲、麻生内閣 「選挙仕様」に限界 (毎日, 2008.11.16)
給付金問題は選挙にらみがうかがえるもう一つの人事も影響した。漆間巌氏の事務官房副長官への起用だ。
警察庁出身は32年ぶり。情報収集・分析力が強く、警備・公安畑が長く、北朝鮮問題も詳しい。政権浮揚のため(1)民主党のスキャンダル探し(2)拉致問題進展‐‐を担うとも指摘される。自民党内では「マルチ業者との癒着が問題になった前田雄吉衆院議員(民主党を離党)の件も漆間さんの仕事では」との見方も飛ぶ。
事務副長官は本来、「省庁の調整役」だが、政策調整経験に乏しく、前記のような役割を担っているためか、給付金問題では動きは見られなかった。危機感を強めた財務省などの幹部は園田博之政調会長代理らが陣取る自民党本部6階に頻繁に通った。首相官邸3階の玄関はひっそり静まり返ったままだった。
民主、漆間氏とみて追及へ 「自民立件ない」発言の高官 (asahi.com, 3/7)
漆間氏の実名公表した官房長官「説明責任果たすべき」 (asahi.com, 3/8)
漆間氏実名公表の官房長官「不適切な発言、厳重に注意」 (asahi.com, 3/8)
“自民に波及せず”発言は漆間氏、官房長官が認める (読売, 3/8)
野党の標的化を回避…漆間副長官オフレコ懇談の氏名公表 (読売, 3/8)
『政府高官』実名公表 幕引きへ異例の対応 (東京新聞, 3/9)
しかし、内容を考えれば、マスゴミ自身が公開すべきだよねえ。 小沢代表問題で「政府高官」明かさない記者クラブメディア (JANJAN, 3/8) がだめなわけで。
参議院予算委員会において漆間氏および麻生氏は、全てのマスゴミが一様に誤解をしたのだという驚くべき見解を表明。
漆間副長官が発言否定 首相は「誤って報道」 西松事件 (asahi.com, 3/9)
漆間副長官、自らの発言否定し陳謝…参院予算委で異例の答弁 (読売, 3/9)
西松違法献金、漆間氏発言に関する参院予算委やりとり (読売, 3/9)
「逃げの発言」民主鳩山氏が批判 漆間氏めぐる首相発言 (asahi.com, 3/9)
あと、もともとの話:
小沢民主党党首秘書逮捕は政治的なものだという批判をなぜメディアはしないのか? (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊), 3/5)
…これって、辻元清美議員の秘書給与疑惑などと同じ構造だ。あのときだって、選挙が近いときに、強制捜査をしかけてきた。しかも、辻元は秘書給与を私腹を肥やすため受け取っていたのではなく、ほかの秘書の給与として使用していたのであり、実質的には、秘書の給与という使い方をしている点で、何ら問題のないケースだった。政策秘書に対して与えられる給与をたとえば、3人の秘書で分け合ったとして、それが何の問題になるのだろうか?その点、辻元事件に先立って、ほかの議員が秘書給与を秘書費用以外に使用していたケースで逮捕された事件とはまったく事情が違っていた。それなのに、形式的な違反をマスメディアは大きく取り上げ、辻元氏の逮捕を正当化した。
現在の「企業献金」のあり方に問題がないというつもりもないし、政治団体への献金が何の問題もないというつもりもない。
しかし、本当に、政党支部に計上すればすんでいたのであれば、単に申告を修正すれば足りるだけのことで、わざわざ逮捕するような話ではない。
読売新聞が、小沢民主党党首周辺への捜査が国策捜査であることを裏付ける記事を掲載〜政党支部であれば合法 (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊), 3/6)
それと、ババを引かされた人。
違法献金:二階氏側聴取へ 政治団体、パー券規制逃れも (毎日, 3/9)
自民党国防部会での海賊対策新法論議 (佐藤正久, 3/6)
今回の法律では、船舶を使った不法行為を縷々定義しているのに対して、本法律の基になる国連海洋法条約での海賊の定義は、船舶又は航空機を使った不法行為としている。
即ち、今回の法律では、航空機を除外している。その理由は、これまでヘリを含む航空機を利用した海賊行為がないからとの政府側の説明であった。
しかし、これはわかりにくい。今回の新法はソマリア沖の海賊対策のための特別措置法ではなく、世界中どこでも適用される一般法であり、成立したら、今後、適用される法律である。これまでではなく、今後という視点で、航空機を排除する理由を明確にしなければならない。
(中略)
正直、隊員を率いてゴラン高原やイラクに派遣され、陸上で活動し、多くのケースを考えながら隊員の安全と任務完遂にあたった経験からすると、具体的な武器使用要領を誰もが見ることが出来る法に記載することには、多くの疑問が残る。それは、手の内を明かすだけでなく、上記理由から隊員の行動を必要以上に縛ることにつながりかねないからである。
ソマリア沖海賊対策で、ジブチに駐在武官を! (防衛省・外務省は垣根を越えて、国益の観点から検討加速すべき) (佐藤正久, 3/9)。エッ! いないの?! ありえねぇ……。
佐藤は、12月末にジブチを訪問後、現場の実情に鑑み、仮にジブチを拠点として海賊対策を行うのであれば、ジブチを兼務で管轄しているエチオピアの駒野大使の下に駐在武官を置く必要性を強く主張してきた。これは、駐エチオピア大使の駒野大使の要望でもある。
しかしながら、政府側(防衛省、外務省)の検討が十分進んでいるようには思えない。先週の防衛省内局担当部署との意見交換でも、5日の自民党国防部会でも、歯切れの良い、あるいは具体的なコメントは、政府がわからまだ聞けていない。
なんじゃこりゃ……。
海賊対策:「軍と連携」求める 船舶向けマニュアル (毎日, 3/9)
国連決議に基づいて関係各国で設置した「コンタクト・グループ」が、タンカーなど商業船舶などに向けた海賊対策マニュアルをまとめた。(中略) 17日にカイロで開かれる会合で正式決定される。
ソマリア沖海賊対策に派遣、海上保安官の任命式 (読売, 3/9)
ソマリア沖海賊行為の成功率急減、各国の警備効果と米高官 (AFP, 3/6)
ソマリア海賊:海自派遣 護衛艦2隻、400人派遣 (毎日, 3/4)
海賊行為、最高刑は死刑…与党PT「対処法案」の骨子了承 (読売, 3/4)
》 気象業務支援センター:データ配信システムにトラブル (毎日, 3/9)、気象庁
現在、機器障害により天気予報、警報・注意報など防災気象情報の一部が更新されておりませんので、ご利用にあたってはご注意願います。復旧作業に努めているところですが、しばらくの間ご迷惑をおかけします。申し訳ございません。
taka さん情報ありがとうございます。
》 浜岡原発3・4号機の耐震性再評価作業 難航 (JANJAN, 3/6)
》 信じ難いほどの内容 信じるに足る「ポチの告白」 (JANJAN, 3/6)
》 「ノートン 360 バージョン 3.0」発売、サイトの安全性も判定 (Internet Watch, 3/6) だそうです。
》 ぜい弱性に揺らぐインターネット (日経 IT Pro)
》 ブラウンが元ホンダF1を100%買収。“ブラウンGP”としてバトンとバリチェロを起用 (Yahoo! スポーツ, 3/6)。ようやく決定。 「ブラウン」と言われると髭剃りメーカーの方を想起してしまうのだが。
》 田原総一朗の政財界「ここだけの話」: 小沢代表の対検察“戦闘宣言”は角栄仕込みか (日経 BP, 3/6)
小沢さんは、記者会見で「献金を受け取ったことは事実だが、それは政治資金規正法に則って、適正に処理し、公開している。何らやましいことはない」と話した。
ところが、その翌日に2つの新聞が、西松建設側と小沢さんの秘書が、どのように、どのくらいの額を、どういう形で小沢氏の「陸山会」に入れるかということを直接交渉しているということを報じた。これは検察側のリークだ。こんな情報は検察からのリークでなければ出てくるはずがない。
これから検察側は毎日のようにこのようなリークをし、「小沢が悪い。なんて小沢は悪いやつだ」という世論作りを懸命にやると思う。
関連:
逮捕秘書の前任者か 巨額献金の枠組み決定 (中日, 3/6)
「社名記載避け」ダミー団体購入 議員のパーティー券で西松側 (中日, 3/6)
特捜部、小沢氏の参考人聴取を検討 検察内には慎重論も (asahi.com, 3/6)
「自民立件ない」政府高官発言に与野党批判 西松事件 (asahi.com, 3/6)
民主、献金事件高官発言に猛反発 参院予算委で追及へ (中日, 3/6)
鳩山氏、西松事件報道はリーク 検察をけん制 (北海道新聞, 3/6)
今回の事件で、自民党は「反転攻勢だ」と喜んでいるが、検察はバランスを取るのでいずれ自民党も返り血を浴びる。
強制捜査のようなことを、自民党の誰かにやるだろう。すでに自民党議員の名前が出始めているが、その検察の対象になるのは、すでに名前が出ている人になるか出ていない人になるかはわからない。出ていない人の方が危ないという情報もある。
検察はバランスを取る意味で自民党にも捜査の手を伸ばすだろう。ただし、どの程度の人をやるかはわからない。
関連:
献金団体所在地、西松本社と誤記 自民政治資金団体報告書 (asahi.com, 3/6)
西松OB政治団体の住所が西松本社と同一 自民が認識か (日経, 3/6)
自民・二階氏側も捜査へ 西松に838万円分のパーティー券 (中日, 3/6)
西松建設献金事件:会計責任者聴取報道、二階氏が否定 (毎日, 3/6)
「西松関係団体と認識せず」、山口・首相補佐官が献金で釈明 (日経, 3/6)
》 特設サイト「荒廃する社会資本」 (日経 KEN-Plats)
》 建設業の内定取り消しが261人に急増、100人以上を対象にした建設会社も (日経 KEN-Plats, 3/4)
もうそんな季節。緊急 x 1、重要 x 2。全て Windows 本体が対象。要再起動。
》 大阪府羽曳野市役所でウイルス感染、約40時間後に7割復旧 (日経 IT Pro, 3/4)。Conficker / Downadup ねた。 福光さん情報ありがとうございます。
》 <主張>民主・小沢代表秘書逮捕ーー検察を私物化した麻生政権の「国策捜査」 (情報紙「ストレイ・ドッグ」(山岡俊介取材メモ), 3/5)。関連:
西松建設事件 政府高官「自民側は立件できない」 (asahi.com, 3/5)。 国策捜査を認めたも同然。
小沢氏側、3団体への献金分散・金額を指示 (読売, 3/5)
献金・団体代表者名取り違え記載、陸山会ずさんな管理 (読売, 3/4)。自民党議員も同様だという話を、今「報道ステーション」でやってますな。
二階派がパーティー券代返還へ、「西松」2団体購入分 (読売, 3/4)
》 10代のネット利用を追う: 小学6年生が「前略プロフィール」の授業、安全な使い方学ぶ 元日本IBM社員の先生と楽天が情報リテラシー教育で協力 (Internet Watch, 3/5)
》 ゼロディ攻撃を編み出す方法 (日経 IT Pro, 3/4)
》 医薬品のネット販売規制「まず安全策として業界ルールの検討を」 事業者らが販売継続を求めるフォーラムを開催 (Internet Watch, 3/4)
》 「日本カード情報セキュリティ協議会」設立準備会が発足 (Internet Watch, 3/5)
偽1万円札:フィリピン両替店に複数 過去にない高精度 (毎日, 3/5)
偽1万円札:精巧さ、専門家に驚き 「進化」に危機感 (毎日, 3/5)
》 米帰還兵:爆風で脳損傷、最高30万人…国防総省推計 (毎日, 3/5)
》 アスキーMW 期待の新雑誌 「MOLIBITO 守人」 (fx-it.com, 3/5)、MOLIBITO (電撃ドットコム)。ミリタリーねた。こんなの出てたのか。本屋に寄ってみるか。
Firefox 3.0.7 登場。5 件のセキュリティ欠陥が修正されている。5 件の欠陥はいずれも SeaMonkey / Thunderbird にも影響しており、 SeaMonkey 1.1.15 / Thunderbird 2.0.0.21 で修正される予定。
iida さん情報ありがとうございます。
Thunderbird 2.0.0.21 出ました。 Thunderbird 2.0.0.21 での変更点 (mozilla.jp)。上記 Firefox 3.0.7 で修正された 5 件のセキュリティ欠陥のうち 4 件が修正されている。残り 1 件 (MSFA2009-11) は、実は Thunderbird には影響しない (Firefox のみに影響する) 事が明らかになったのだそうだ。
[SA34115] MySQL "ExtractValue()" and "UpdateXML()" Scalar XPath Denial of Service。 MySQL 5.1.32 で修正されている。
[SA34091] ZABBIX PHP Frontend Multiple Vulnerabilities。Zabbix 1.6.3 で修正される予定。
cURL - Security Advisory: libcurl Arbitrary File Access (cURL, 2009.03.03)。libcurl 5.11〜7.19.3 のリダイレクト処理に欠陥があり、攻略リンクを使ってリモートからローカルファイルを読める。 CVE-2009-0037
libcurl 7.19.4 で修正されている。また patch も用意されている。
Cisco 方面
Cisco Security Advisory: Cisco 7600 Series Router Session Border Controller Denial of Service Vulnerability (Cisco, 2009.03.04)。 Cisco Session Border Controller (SBC) for the Cisco 7600 の話。 CVE-2009-0619
Cisco Security Advisory: Multiple Vulnerabilities in the Cisco ACE Application Control Engine Module and Cisco ACE 4710 Application Control Engine (Cisco, 2009.02.25)。 CVE-2009-0620 CVE-2009-0621 CVE-2009-0622 CVE-2009-0623 CVE-2009-0624 CVE-2009-0625
Cisco Security Advisory: Cisco Unified MeetingPlace Web Conferencing Authentication Bypass Vulnerability (Cisco, 2009.02.25)。 CVE-2009-0614
Multiple problems in Wireshark versions 0.99.6 to 1.0.5 (wireshark.org, 2009.02.06)。Wireshark 1.0.6 が出ていたのですね。
JVNVU#649212: libpng が適切にエレメントポインタを初期化しない脆弱性 (JVN, 2009.03.04)。libpng 1.0.43 / 1.2.35 で修正されています。
》 Illegal Trading on YouTube (F-Secure blog, 3/4)
》 無料セキュリティソフト「AVG Anti-Virus 8.5」日本語版公開 (Internet Watch, 3/4)
》 インターネット脅威マンスリーレポート - 2009年2月度 (トレンドマイクロ, 3/4)
2月初旬には、近年作成されることの少なかったポリモーフィック型の不正プログラムの流通が確認されました。ファイル感染型不正プログラムである「PE_VIRUX(バイラックス)」は正規ファイル(exeファイルやscrファイル)に感染する際に、自身のコードを追加する場所や暗号化の方式・回数をランダムに変更するため、不正プログラムの駆除が困難となり、場合によっては感染した正規ファイルが破損してしまう可能性があります。日本国内での被害報告数は数件ですが、ウイルストラッキングセンター(※)の2月の集計では、米国で約25万台のコンピュータが感染しており、今後海外で感染が拡大し日本に波及する可能性も考えられるため、注意が必要です。
US では流行ってるんですかね。関連:
ウイルス「W32/Virut」亜種の感染拡大に注意、IPAが呼びかけ (Internet Watch, 3/3)
Crack Sites Distribute VIRUX and FakeAV (trendmicro blog, 3/2)
》 海の向こうの“セキュリティ” 第30回:デンマークのISPに「The Pirate Bay」へのアクセス遮断命令 ほか (Internet Watch, 3/3)
》 ギニアビサウ大統領暗殺 (国連情報誌SUNブログ対応版, 3/3)
》 韓国の「サイバーテロ業者」、摘発される (slashdot.jp, 3/3)。商売、商売。
》 「水商売ウォッチング」裁判の一審判決が出る (slashdot.jp, 3/3)。原告 (マルチ側) の前面敗訴。
》 ウズラから鳥インフルエンザ話つづき。 (前ねた)。まとめ:
H7N6 と判明。
強毒型ではなく弱毒型だった。このため、移動制限区域を半径 10km 以内から半径 5km 以内に縮小した。
最初に発見されたのとは別の農家からも H7 亜型を検出。新たに当該農家からの移動制限 (半径 5km) が指定された。
関連:
愛知県の家きん農場における鳥インフルエンザ(H7N6)について (厚生労働省)
愛知の鳥インフル、弱毒性と確認…移動制限5キロに縮小 (読売, 2/28)
高病原性鳥インフルエンザ(H7亜型)(2例目)の確認について (農林水産省, 3/4)
高病原性鳥インフルエンザの疑いのあるウイルスの分離について (農林水産省, 3/3)
愛知県において分離された高病原性鳥インフルエンザウイルス(弱毒タイプ)について (農林水産省, 3/1)
愛知県において発生した高病原性鳥インフルエンザの病原性の確定について (農林水産省, 2/27)
》 小沢一郎・民主党代表の公設第1秘書・大久保隆規氏が政治資金規正法違反容疑 (虚偽記載) で逮捕された。西松建設ねた。 同時に、西松建設の国沢幹雄・前社長と岡崎彰文・元総務部長が逮捕されている。
小沢代表:秘書を逮捕 西松から違法献金の疑い 東京地検 (毎日, 3/3)
逮捕容疑は、陸山会の会計責任者だった大久保容疑者が03〜06年、西松建設から計2100万円の献金を受け取りながら、政治資金収支報告書には同社OBが設立した二つの政治団体からの献金だったと虚偽の記載をしたとしている。国沢、岡崎両容疑者は西松建設の名前を隠して政治団体名義で陸山会に献金した疑いが持たれている。
争点は「大久保氏は迂回献金だと知っていたのかどうか」。
検察リーク情報きました: 小沢氏側が西松建設に献金請求書…「企業献金」認識か (読売, 3/4)
小沢氏記者会見 (3/4)
小沢代表:記者会見の詳細(1)…冒頭発言 (毎日, 3/4)
小沢代表:記者会見の詳細(2)止…質疑応答 (毎日, 3/4)
「献金すべてオープンに」小沢代表会見一問一答 (asahi.com, 3/4)
西松建設からの献金を受け取っていたのは、もちろん小沢氏だけではないのだが、現時点での展開は「絵に描いたような国策捜査」だなあ。
西松建設は与野党幹部に幅広く献金 (ニッカンスポーツ, 3/3)
西松建設OBが代表をしていた「新政治問題研究会」と「未来産業研究会」は2006年末に解散するまで、小沢一郎民主党代表の資金管理団体「陸山会」だけでなく、森喜朗元首相ら与野党幹部側にも献金やパーティー券の購入などで計約4億8000万円を支出。政党の県連、支部などにも幅広く献金していた。
04〜06年の主な支出先は、小沢代表、森元首相のほか、自民党の尾身幸次元財務相の資金管理団体、二階派の政治団体、山岡賢次・民主党国対委員長の後援会など。民主党岩手県連や自民、民主の地方支部にも支出していた。
支出額は1団体に対し年間100万〜300万円が中心。陸山会への支出が計700万円に及ぶ年もあった。
【長野】知事、潔白証明に苦渋 西松建設裏金事件 (中日, 3/3)
村井仁知事の衆院議員時代の秘書で県参事の右近謙一さん(59)が先月24日に自殺してから、3日で1週間がたった。知事周辺には準大手ゼネコン西松建設の裏金事件との関連疑惑も浮上。
関連:
西松建設事件の急展開、捜査権力が乱気流を作り出す (保坂展人のどこどこ日記, 3/3)
》 東大病院でシステム障害、ワーム「DOWNAD.AD」が1000台以上に感染 (Internet Watch, 3/3)。東大病院の件、Conficker / Downadup ねただったのですね。
Conficker / Downadup 関連:
サウスウエスト航空のサイトに迫るConfickerの脅威——3月13日に集中アクセスの可能性 (ComputerWorld.jp, 3/3)。「脅威」と言われると、ついつい「ジオンの胸囲」というねたを思い出してしまう。 (たとえばこのあたり)
ソフォス報告、正規のWebサイトがConfickerワームの影響を受ける恐れあり 正規Webサイトの中でもサウスウエスト航空のサイトが3月に被害を受ける可能性あり (Sophos, 3/2)
Downadup, Good News / Bad News (F-Secure blog, 2/27)
Conficker.C (Downadup) (日本のセキュリティチーム, 2/27)
Opera 9.64 登場、複数のセキュリティ欠陥が修正されている。
プラグインを使ってクロスドメインスクリプティングを実行できる欠陥。 詳細はまだ公開されていない。
moderately severe な欠陥。詳細はまだ公開されていない。
加えて、DEP や ASLR への対応といった機能追加もされている。
》 重要インフラ情報セキュリティフォーラム2009の講演資料 (JPCERT/CC) が公開されています。
》 SECURITY SHOW 2009、今日からだそうで。セミナープログラムの 次世代広域監視への取り組み が興味深いなあ。君も公安 9 課。
》 2009年02月25日 東京証券取引所ToSTNeT 市場における誤注文について (UBS 証券, 2/25)、3千万円のはずが…UBS証券、「3兆円」の誤発注 (asahi.com, 3/2)。taka さん情報ありがとうございます。豪快ですね。 このおかげで、カプコンの転換社債 (CB) の取引が終日停止したのだそうで。
東証は、みずほ証券がジェイコム株を大量誤発注した事件を機に、成立した取引の取り消しルールを新たに設けており、今回が初適用となった。
関連: 東証 「時間外取引」に課題 (読売, 2/26)
売買取り消し制度は、05年12月に起きたみずほ証券による大量誤発注事件を教訓に設けられ、今回はUBS証券が注文取り消しを申請し、売買を取り消すことができた。
ただ、取引時間中は、売買不可能な異常な株数は取引が成立しないシステムになっていたものの、時間外取引ではチェックがかからなかった。その点では課題を残した。
ClickJacking の概要解説と X-FRAME-OPTIONS の概要および設定方法の解説。X-FRAME-OPTIONS には、IE8 の他、NoScript 1.8.9.9 以降も対応している。
Bluetooth デバイスが discoverable (promiscuous) モードになっているとヤバい話を実地検証。日本の Bluetooth 対応携帯電話ではデフォルトで discoverable になっていることがあるようなので、必要なければ invisible モードに設定した方がいい模様 (通常は必要ない)。ソフトバンク用語では「デバイスの公開」、au 用語では「探索受付」というようだ。
関連:
広がるBluetoothの採用——セキュリティの懸念も (ITmedia, 2004.05.17)。古くから知られていた話の模様。
iPhone 3Gと、増えてきたBluetoothケータイ——Bluetoothはようやく日本で普及するのか (ITmedia, 2008.06.17)。日本でも 2008 年ごろから Bluetooth 対応の対応携帯電話が増えてきたそうで。
2008年発売モデルでは、そもそも採用例が多かったソフトバンクモバイル以外のキャリアの端末にも“Bluetooth対応ケータイ”が増えたためだ。ドコモはパナソニック モバイルコミュニケーションズや海外メーカーのNokia、モトローラ、BlackBerryスマートフォン端末以外にシャープ製の「SH906i」「SH906iTV」や「HT1100」などのWindows Mobile搭載スマートフォンに採用。au端末は従来の東芝製端末に加えて新プラットフォーム“KCP+”採用端末、ウィルコムもWX310K以外に「WILLCOM 03」や「WILLCOM D4」、イー・モバイルは音声サービス対応機種すべて。特にauはテレビCMなどでも盛んにBluetoothによるワイヤレス音楽再生機能をアピールし、ソフトバンクモバイル向けの「iPhone 3G」もBluetoothに対応するなど、普及のトリガーとなるよい材料がそろってきた。
いまどきの新製品だと、みんな対応していたりするんだろうか。……みんなじゃないみたいだけど、けっこうあるね。
ケータイ選びサポート (KDD)。「詳細条件の設定」で Bluetooth を選択できる。
機種ラインナップ (ソフトバンク)。半分くらいは対応しているのかな。
docomo PRIME series SH-03A マニュアル の Bluetooth 関連部分 (「便利な機能」にある) を読んでみた。 多分、「登録待機/接続待機にする」がそれだと思うのだけど、5 分間有効なだけみたい。 ドコモ PRIME series の場合、常時 discoverable という状態にはならないのかな。 Windows Mobile 系や BlackBerry はまた別なのだろうけど。
(携帯) Cyber-shotケータイ W61S bluetooth (うぃむの航海日誌, 2008.05.11)。「探索受付」はデフォルトで ON だそうです。
無駄なBluetooth接続待ちをしてるケータイ (Rainbow Station, 2008.04.18)。不正アクセス禁止法違反じゃないのかな。
Bluetooth デバイスの保護 (bluetooth.com)、 セキュリティに関する Q & A (bluetooth.com)
》 マジコン差し止め訴訟、地裁判決は任天堂勝利。おめでとうございます。
マジコン:海賊版DSソフト用機器、販売禁止——東京地裁判決 (毎日, 2/28)
違法にコピーされたゲームソフトを携帯型ゲーム機「ニンテンドーDS」で使えるようにする機器を巡り、任天堂とゲームメーカー54社が、中国系のソフト販売会社「嘉年華」(東京都文京区)など5社を相手に販売禁止を求めた訴訟で、東京地裁は27日、輸入・販売の差し止めと在庫の廃棄を命じた。市川正巳裁判長は「原告の営業上の利益が侵害されている」と指摘し、輸入・販売禁止の仮執行も認めた。
仮執行きてます。
「マジコン」出品禁止のお知らせ (Yahoo! オークション, 2/27)
「マジコン」販売禁止命じる 東京地裁、任天堂の訴え認める判決 (ITmedia, 2/27)
ニンテンドーDS用機器に対する差止訴訟に関する東京地裁判決について (任天堂, 2/27)
「マジコン」被害3000億円超との試算も 根本的解決策なし (産経 / ITmedia, 2/27)
ニンテンドーDS「プロテクト外し」横行 経産省が法規制検討 (産経 / ITmedia, 2/27)。「経産省が法規制検討」の中身はたったこれだけ:
一方、経産省も現行法では規制が難しい現状を把握しており、「著作権法との兼ね合いもあるが、現行法に刑事罰を加えることが一定の抑止力になることは理解している」との認識を示す。
日本語訳: とりあえず何もしない。
関連:
任天堂オブアメリカ、米通商代表部に著作権侵害対策への協力を要請 (slashdot.jp, 2/28)
また、同社の対海賊行為シニアディレクターのJodi Daugherty氏は、子供が違法行為に関わっている場合、インターネットからダウンロードされた不適切なコンテンツにさらされる恐れもあり、「子供が不正コピーに手を染めている場合、両親が注意することも重要である」との見解を明らかにした。
現実には「両親が率先してマジコン使ってる」のでは。
マジコン禁止の中国の反応 (ascii.jp, 3/1)
PHP 5.2.9 登場。戸井さん情報ありがとうございます。from ChangeLog:
- Fixed security issue in imagerotate(), background colour isn't validated correctly with a non truecolour image. Reported by Hamid Ebadi, APA Laboratory (Fixes CVE-2008-5498). (Scott)
- Fixed a crash on extract in zip when files or directories entry names contain a relative path. (Pierre)
- Fixed explode() behavior with empty string to respect negative limit. (Shire)
- Fixed a segfault when malformed string is passed to json_decode(). (Scott)
- Fixed bug in xml_error_string() which resulted in messages being off by one. (Scott)
PHP 5.2.9 Release Announcement には、なぜか Fixed bug in xml_error_string() ……が欠けている。
![[セキュリティホール memo]](/%7Ekjm/security/memo/sechole-memo.gif){kind=small}
私について