セキュリティホール memo - いくつかの注意書き

Last modified: Mon Jun 20 16:44:04 2011 +0900 (JST)


このページの目的

 このページでは、日本人のサイト管理者のために、インターネットを中心とする各種公開メディアに報じられたセキュリティ情報を、原文へのリンクとともにまとめて提供しています。 日本人向けですから日本語でしか書いてません。 私自身が英語が不得意ですし、そもそもインターネット上の多くの一次情報は英語で発信されてますから、英語を十分読み書きできる人にとってはこのページは何の役にも立ちません。

 このページでは、具体的な攻撃手法や攻撃コード、攻略ファイルやマルウェア本体ファイルについて、紹介したり、設置場所へのリンクを張ったりする場合があります。 これは「これを使ってどんどん攻撃してください」と言っているわけではもちろんなく、現実にそのような脅威が存在し対応が必要であることを示すために記述しています。

 このページで示す攻撃手法や攻撃コード等は、どこかで既に公開されているものに限ります。既に公開されているものですから、ここで紹介しなかったとしても、オリジナル情報を入手した攻撃者による脅威がなくなるわけではありません。それよりは、このページで日本語による情報を提供することにより、ベンダーや管理者の対応を促したほうがより安全であると考えて、紹介やリンクをしています。

 インターネットに国境はありません。攻撃は世界中から行われます。 言語バリアーと日本語 patch の発行遅れによって、日本のサイトは英語圏のサイトよりもより強い脅威にさらされていると言えます。 この状況を少しでも改善することが、このページの目的です。

無保証

 誤った内容を記述しないよう努力はしていますが、このページの内容は無保証です。 全ての情報について、各自の責任において利用してください。 また、可能な限り一次情報へのリンクを設定していますから、一次情報も参照するようにしてください。

 間違いを発見された場合は、ぜひご連絡ください。可能な範囲で修正させていただきます。

リンクのしかた

 どのようにリンクして頂いても構いません。私に確認をとる必要もありません。 そもそもページ全体がリンクの固まりですから、リンクに関して文句を言える筋合ではありません。 ただし、記事毎のリンクを検討されている方は、次のようにリンクされることをおすすめします。

2002 年 2 月以降の記事のリンク方法

 日付、および記事タイトルの先頭にボックスマーク があります。 これをクリックする (リンクをたどる) とリンクすべき URL に移動できます。

 2002 年 1 月以前についても順次この形に修正していきたいと考えています (が暇がない……)。

2002 年 1 月以前の記事のリンク方法

 2002 年 1 月以前の各記事は次のように記述されています。

<H3>
<A name="nameattr">題名</A>
<BR>
(from 情報源、情報源での記述年月日)
</H3>
<DIV class="BODY">
<P>
 本文……
</P>
</DIV> <!-- class="BODY" -->

 nameattr は「年月日_name」という形式になってます。 nameattr を指定することにより、次の形式で記事を特定したリンクを行えます。

http://www.st.ryukoku.ac.jp/~kjm/security/memo/年/月.html#nameattr

 たとえば http://www.st.ryukoku.ac.jp/~kjm/security/memo/1999/08.html#19990831_hotmail のような感じです。なんだか冗長な URL ですが、とりあえず現状ではこうなってます。 top page (http://www.st.ryukoku.ac.jp/~kjm/security/memo/) についても、http://www.st.ryukoku.ac.jp/~kjm/security/memo/年/index.html には示していませんが http://www.st.ryukoku.ac.jp/~kjm/security/memo/年/月.html に同一内容を用意してあります。 top page は月毎に入れかえてしまいますから、恒久的なリンクのためには http://www.st.ryukoku.ac.jp/~kjm/security/memo/年/月.html へリンクしてください。

1999.10.20 追記:

 日付 (1999.10.20 とか) の部分にも name 属性を name="19991020" のような形でつけるようにしました。記事毎の name 属性を調べるのってやっぱめんどくさいですから、手軽にすませたい場合は日付に リンクしてやってください。 http://www.st.ryukoku.ac.jp/~kjm/security/memo/1999/10.html#19991020 のような感じです。

書籍・雑誌など offline media での紹介について

 無警告で紹介していただいてかまいません。 ただし、悪意ある紹介はご遠慮ください。 建設的批判は歓迎します。

歴史

 昔、Security Watch (http://www.ky.xaxon.ne.jp/~deerpark/security/NewsWatch.html) というサイトがあり、セキュリティ情報のまとめを掲載されていました。たいへん役に立つサイトだったのですが、残念ながらある日店じまいされてしまいました。

 そういうものの必要性は以前から感じていました。また、Security Watch では CERT, CIAC などの official release がメインで、BUGTRAQ や NTBUGTRAQ などの生情報をほとんど扱っていなかったことに不満を感じてもいました。というわけで、「ほんじゃちょっくらテストしてみっか」とはじめたのが 1998 年 10 月 28 日のことです。

 どこまでやれるか自分でもよくわからなかったし、こういうものは継続することこそが重要なので、とりあえず 1 か月くらい書いてみてから FWD fw-wizard ML にアナウンスしました。

 以来いままでなんとかやってますが、いつでも辞められるように (^^;)、このページは永遠にテストという位置付けです。

謝辞

 多数の方からのご協力、ご教示、情報提供に感謝します。


私について