セキュリティホール memo - 2006.11

　このページの情報を利用される前に、注意書きをお読みください。

• 》 「悪質プログラムは仮想マシンを回避する」，商用ツールを利用するケースも (日経 IT Pro, 11/20)。 これを逆手に取ると、「仮想マシン上で生活すれば、ある種の malware を回避できる」ことになる。

  　Themida ですか。

• 》 「セキュアシステム設計技術者の育成」プログラム　2007年度　募集要項 (工学院大学)。試験あり。受講者は一部実習費を除いて無料。 ana-log さん情報ありがとうございます。

• 》 ウイルスバスター2007 - 15.x: Windows Vistaへの対応について (トレンドマイクロ)。現在はまだ対応していないことの婉曲な表現。

• 》 セキュメモDown (まっちゃだいふくの日記, 11/30)。ごめん。

• 》 Window Snyder氏が語る「Mozillaのセキュリティ」 (日経 IT Pro, 11/29)

• 》 シンポジウム「日米オンライン詐欺の現状と対策」- 米国スパイウェア対策と警察庁の取組み- 話:

  • 日米オンライン詐欺対策の現状は？ 米スパイウェア法の立役者らが議論 (Internet Watch, 11/30)

• 》 JASRAC シンポジウム 2006 話:

  • 「著作権法改正案で何が変わる？」文化庁吉田氏が著作権の課題を語る (Internet Watch, 11/29)
  • 著作権保護期間の延長について賛成派と反対派が議論、JASRACシンポジウム (Internet Watch, 11/29)

• 》 東京国際セキュリティ・カンファレンス 2006 話:

  • 非公式パッチの作者が語る「WMF脆弱性」の脅威 (Internet Watch, 11/29)

• 》 SQLインジェクションの復旧コスト、1億円超える事例も〜IPAが報告書　Winny漏洩の対応コストは1社あたり100万円から2,800万円 (Internet Watch, 11/29)。 「企業における情報セキュリティ事象被害額調査」及び 「国内におけるコンピュータウイルス被害状況調査」[2005年] (IPA, 11/29)。powered by 三菱総研ですね。

• 》 自転車の歩道通行解禁へ　子供運転や危険車道に限定 (産経, 11/30)

• 》 「カーネルバグ月間」のハッカーが語る、「脆弱性開示の倫理」 (ITmedia, 11/29)

• 》 The Week of Oracle Database Bugs (argeniss)。延期だそうです。

• 》 今度はガイダル元第１副首相

  • 露元副首相：訪問先で原因不明の吐き気と発熱、入院 (毎日, 11/29)
  • 露元副首相入院：長女「服毒の可能性」と語る (毎日, 11/29)

• 》 リトビネンコ氏話

  • アンナを殺したのはプーチンだ！ (バイナフ自由通信, 11/23)。リトビネンコ氏会見 (10/19) の邦訳。
  • チェチェンニュース Vol.06 No.26 2006.11.26。

    邦訳版はまだ出版されていないのですが、リトビネンコ氏の共著書、"Blowing Up Russia: Terror From Within"は、チェチェン戦争が実はFSB戦争であるという暴露本になっています。元KGBスパイのプーチン大統領にとっては、彼の存在はあらゆる意味で不愉快極まりなかったことでしょう。"Terror From Within"（内からのテロ）というタイトルに示されている通り、チェチェン戦争がプーチン政権の主張するような「対テロ戦争」などではなく、FSBによる「テロ戦争」であることを、元FSB将校自らが告発しているのですから。

  • 露元中佐の不審死に関係？英航空機内から放射性物質 (読売, 11/30)
  • 露元中佐変死：英国航空の欧州便２機から微量の放射線反応 (毎日, 11/30)

• 》 【Symposium/ITxpo】「CIOは有事の時こそ重要」、元みずほ銀行常務の郵政公社理事 (日経 IT Pro, 11/29)

  CIOがITベンダーに期待することとしては、「自社製品にこだわらず高品質なシステムを構築してもらいたい。目先の利益を優先するのでなく、長期的な信頼関係を前提にリスクを互いに共有する姿勢を見せてほしい」などと話した。

  　それが実現されないからこそ、わざわざ「期待する」と言わなければならないのだろうなあ。

• 》 「P2Pの光と影を追う」−−総務省で作業部会がスタート (日経 IT Pro, 11/29)。「光と影を追う」ですか。ほんとは影を追及したいのだけど、それだけ言うと反発があるときに使う言葉だよね。

• 》 自衛隊文書、ネット流出　防衛庁確認したが公表せず (asahi.com, 11/30)。

  民主党は省昇格関連法案に賛成する条件の一つとして「機密情報の流出防止など自衛隊員の規律保持」を掲げている。同法案は３０日の衆院安全保障委員会で採決される見通し。同庁内では「法案が成立するか微妙な時期で、新たな不祥事や職員の無断渡航問題の処分をどうするかなど、庁のイメージを悪くする話に箝口（かんこう）令がしかれている」と指摘する職員もいる。

  　防衛庁ホームページにはもちろん、何もありません。実に見事なチンカスぶり。関連:

  • 「音楽聴こうとして流出」　久間防衛長官 (asahi.com, 11/30)
  • 自衛隊内部情報また流出　「ウィニー」を通じて (産経, 11/30)
  • 自衛隊内部情報、新たに流出　「省」昇格控え隠蔽か (産経, 11/30)
  • 通達後も私物パソコンに文書　流出の空自２尉、大量に (asahi.com, 11/30)
  • 米軍資料流出：次官通達後も私有パソコン持ち込む (毎日, 11/30)
  • 航空自衛隊隊員のPCからファイル交換ソフト経由で多数の情報流出 (slashdot.jp, 11/30)。一方陸上自衛隊では……

  　関連: 防衛省法案：衆院安保委で可決、本会議で緊急上程へ (毎日, 11/30)。チンカスな現状で賛成ですか > 民主党。

• 》 「ひよ子」立体商標認めず 　類似菓子メーカー勝訴 (東京新聞, 11/29)。うーむ。しかし、ひよこと言うよりは、 竹本泉のマンガに出てくるやつに見えるのだが。

• 》 IE7にオンライン・ストレージやWebメールで日本語ファイル名が化ける不具合 (日経 IT Pro, 11/29)

  文字化けするルールは，文字コードが「XX5C」「XX7C」のように「5C」「7C」を含む2バイト文字があると，「XX5F」に変換されるというもの。予算の「予」の文字コードはシフトJISで「975C」だが，「975F」に変換され「誉」になる。「慾」の文字コードは「977C」だが，やはり「975F」に変換され「誉」になる。「XX5C」の文字例としては「噂浬欺圭構蚕十申曾箪貼能表暴予禄」がある。「XX7C」の文字例としては「榎掛弓芸鋼旨楯酢掃竹倒培怖翻慾」がある。

  　つまり、\ と | を _ に変換するルールが SJIS の 2 バイト目にも適用されてしまっている、ということか。

• 》 Mark Shuttleworth氏がopenSUSE開発者に離反を勧告 (Open Tech Press, 11/29)。Mark Shuttleworth さんって、爆弾を投げ込むのが本質的に好きな方なのかしら。

• 》 ウイルス対策ソフト乗り換え案内 (日経 BP)。↓の話の記事全文。 何のためにバックナンバー買ったんだか…… orz

• 》 ご意見をいただいたので、続・ウイルス企画です (藤田憲治「雑誌づくりの舞台裏」, 11/28)

  「検出率100％」という値は、限られた範囲の中で実施したテストだからこそ。

  　手元に「日経パソコン 2006.11.13」が届いたので当該記事を読んでみたのだが、大手 3 社は wildlist ItW 719 種は 100% なものの、JCSR 独自サンプル 220 種 (2005.01 〜 2006.08 に IPA に届出があったもの + 「最近流行したトロイの木馬」) では、トレンドマイクロとマカフィーは 100% ではないですね。

  　あと、これですが、

  「(2)未知のウイルスに対する防御策」に対しては、そもそも効果的なテスト方法を導き出すことができませんでした。壁として立ちはだかったのは、未知のウイルスをどうやって入手するのか、という点です。

  こんな方法はどうでしょう。

  1. パターンファイルを最新にし、電源 OFF。ネットワークをひっこぬく。
  2. 半年後、その時点の wildlist ItW と独自サンプルで、パターンファイルを更新しないまま試す。

  　時間がネックですけど。

• 》 [AML 10762] 06/12/1 同志社大学 シンポジウム「警察裏金事件とメディア」。2006.12.01、京都府京都市、無料?

• 》 [Full-disclosure] New Windows tool - PWDumpX v1.0 (link fixed: 三月さん感謝)

• 》 気にしていますか？　オープンソースのソースコード混入 (日経 IT Pro, 11/29)。GPL 汚染話。GPL はヤバい、は常識なわけですが、

  例えば，あるSIベンダーA社のプロジェクト・マネージャは，「BSD」と呼ぶライセンス形態で配布されているオープンソース・ソフトを開発プロジェクトで採用するかどうかを検討する段階で，ソースコードを細かくチェックした。すると，BSDライセンスのはずなのに，「GPL（GNU General Public License）」と呼ぶライセンス形態のソースコードが混入しているのに気づいた。(中略) A社のプロジェクト・マネージャは，GPL違反を犯しているBSDライセンスのオープンソース・ソフトの採用を見送った。

  　BSD ライセンスだと思って安心していると後から刺されかねないこともある模様。

• 》 米デジタル著作権法に例外規定--研究目的のコピー防止対策回避は一部容認へ (CNET, 11/29)

  　米国においては現地時間11月27日より、携帯電話の事業者を変更した後も同じ端末を使い続けたい場合は、端末のファームウェアを「アンロック」することが合法となる。また、セキュリティ研究者が、音楽ディスクのコピー防止機能を迂回して、不具合または脆弱性をテストすることも合法となる。これにより 2005年11月にSonyのrootkit問題を発見した研究者も保護されることになる。

• 》 共謀罪方面パート 2

  • 共謀罪、審議入りをめぐり対立続く(追記あり) (保坂展人のどこどこ日記, 11/29)
  • 共謀罪、外務省見解へ専門家の緊急コメント (保坂展人のどこどこ日記, 11/29)

    アメリカ政府が「留保」した論理を忠実になぞれば、日本の刑法原則を尊重しつつ、「国と国をまたぐ犯罪＝越境制」を必要とすると条件を付して、日本もまた「留保」すればよいということになる。何でもアメリカになびいてきた日本だが、共謀罪だけは別なのか?

• 》 共謀罪方面

  • 共謀罪、委員会休憩のまま午後の理事会へ (保坂展人のどこどこ日記, 11/28)
  • 共謀罪、「審議入り」をめぐり平行線 (保坂展人のどこどこ日記, 11/28)
  • [資料]外務省「米国留保」についての見解 11月27日 (保坂展人のどこどこ日記, 11/28)
  • 共謀罪：審議入りめぐり与野党対立深まる (毎日, 11/28)
  • 【共謀罪の法案】を阻止するため富山県と四国のひとは行動を！ (関組長の東京・永田町ロビー活動日記ｂｌｏｇ版, 11/28)

• 》 平沼赳夫一人を男にした郵政造反議員の復党問題 (立花隆の「メディアソシオ-ポリティクス」, 11/28)。安倍首相に健康問題?!

• 》 カーネギーメロン大学日本校・情報セキュリティセミナー「プライバシーの経済学」。 2006.12.04、兵庫県神戸市、無料。

• 》 ワーキングプア II 〜努力が報われる社会ですか〜（仮） (NHK スペシャル)

• 》 ウイルスバスター コーポレートエディション 7.3 Patch 1 公開のお知らせ (トレンドマイクロ)。12/6 に公開予定。

• 》 ウイルスバスター ビジネスセキュリティ 3.0 用IA64/x64 Security Patch(Build_1180)の概要および適用方法 (トレンドマイクロ)

• 》 New and Improved Honeynet Tools availability (SANS ISC, 11/28)。It's time to update your Honeynet technologies toolbelt! だそうです。

• 》 カルビーの災害対策サイトを沖縄に構築 (hp, 11/29)。ディザスタ・リカバリ話。

• 》 セキュリティへの懸念が電子商取引に影響、20億ドルの損失 (ITmedia, 11/28)

• 》 家電ミニレビュー ナショナル「電池がどれでもライト BF-104F」 (家電 Watch, 11/29)。便利なんだか不便なんだかよくわからん製品だな……。 多砲塔戦車みたいなものか。 長時間、という意味では LED ライトの方がいいしなあ。

• 》 アイ・オー、1m防水/122cm耐落下衝撃性能の外付け1インチHDD (PC Watch, 11/28)。12月中旬〜下旬発売だそうで。 8GB = 定価¥15,700 だそうで。 ちなみに、同じく IO DATA の 8GB USB メモリ ToteBag TB-BH8G/B は 実売 3 万円くらいのようだ……が、部材調達の遅延により2007年1月中旬へと出荷開始が遅れる見込みとなり、一時受注を停止させていただいておりますだそうだ。

• 》 知財戦略本部のコンテンツ調査会、著作権法や放送法の整備などを検討 (Internet Watch, 11/28)

• 》 Winny上の著作権侵害ファイル、被害額は100億円相当〜ACCSとJASRACが試算 (Internet Watch, 11/28)

• 》 レコ協やJASRACら7団体、不正アップロード防止キャンペーン「音楽違反」 (Internet Watch, 11/28)

• 》 MacのCMを見て思う (日経 IT Pro, 11/29)

• 》 MicrosoftのOfficeが韓国で販売停止の危機──特許訴訟敗訴で (Open Tech Press, 11/28)。仕方ないので売りません、で、いいんじゃないの?

• 》 「ぼくとHして」はNG -- ネット掲示板の削除ガイドライン策定 (ITmedia, 11/27)、 『インターネット上の違法な情報への対応に関するガイドライン』等の公表について (テレサ協, 11/27)

• 》 さらに深まるコミュニティの疑念、Novellがオープンソースを崩壊させる？ (Enterprise Watch, 11/27)

• 》 内部統制実施基準公開草案、ついに公表される (トーマツ, 11/22)

• 》 「いじめをなくそう」スローガン禁止(太田総理)について (保坂展人のどこどこ日記, 11/23)

• 》 コロンビア:正義宮殿（最高裁）占拠事件の真相 (JANJAN, 11/25)

• 》 経路爆発が起こるとなぜ困るのか? (日経 IT Pro, 11/27)

• 》 シマンテック製品の脆弱性を狙う大規模攻撃，ボットネットによる攻撃か？ (日経 IT Pro, 11/28)

• 》 Cain & Abel v4.1 released (tessyの日記, 11/27)。さっそく手元の p0f を更新。

• 》 DDoS攻撃を売り込むスパム，「2サイト分の料金で3サイトを攻撃します」 (日経 IT Pro, 11/27)。価格破壊進行中。 IM で宣伝してるのか……。

• 》 韓国、ボーイング社の空中警戒管制機導入を正式決定・総額1900億円の大型発注 (technobahn, 11/25)。ふぅん。 737 AEW&C Wedgetail Airborne Early Warning and Control Aircraft, USA (airforce-technology.com)

• 》 「攻撃者の“足跡”を探せ」---Windowsレジストリの解析方法 (日経 IT Pro, 11/27)

• 》 [資料]教育改革TM、驚きの「やらせ興業」大量動員と経費 (保坂展人のどこどこ日記, 11/27)

• 》 共謀罪、「明日審議入り強行」の動き (保坂展人のどこどこ日記, 11/27)。この「明日」って今日じゃん!

  自民党理事は、民主党理事に対して、「共謀罪」最新修正案を示して協議を呼びかけている。(中略) 法務委員会理事会が「共謀罪審議入り」という大テーマについて紛糾しているのに事前に報道されず、明日いきなりの「審議入り強行」が行われた場合に国民は不意打ちをくらうことになる。

  　関連: 共謀罪、平岡秀夫議員の質問主意書に注目せよ (保坂展人のどこどこ日記, 11/26)

• 》 こんなにある！英語圏では通じない“和製英語” (日経 IT Pro, 11/27)。認証ねたあり。 authentication は、authorization との区別がつかない例もあるよなあ。 SSH 本でのその手の間違いはつぶしたはずだけど、残ってたらすまぬ。

• 》 セキュアLinux実践セミナー　＝セルフハンズオントレーニング付き＝。 2006.12.05、東京都品川区、無料。面さん情報ありがとうございます。

• 》 現代思想　２００６年１２月号: 自立を強いられる社会 (青土社)

• 》 堤未果氏、「報道が教えてくれないアメリカ」を語る (JANJAN, 11/25)

• 》 韓国で鳥インフルエンザ発生か (JANJAN, 11/24)、 韓国からの家きん肉等の輸入一時停止措置について (農林水産省, 11/24)、 韓国の鶏大量死、強毒性の鳥インフルエンザと判明 (asahi.com, 11/25)

• 》 弦巻ナレッジネットワーク 「どこの国を見回しても成功例の見当たらない「内部統制監査制度」を制度化しようという話です。」 (まるちゃんの情報セキュリティ気まぐれ日記, 11/24)

  　「どこの国を見回しても成功例の見当たらない」ですか……。

• 》 共謀罪、与党理事ら「審議入り」を提案(追記あり) (保坂展人のどこどこ日記, 11/24)。ほぅら来ましたよ奥さん!

  　とりあえず読みましょう: 日弁連が取り組む重要課題: 日弁連は共謀罪に反対します (日弁連)

• 》 タウンミーティング 全国で明らかになる官製やらせ体質 (保坂展人のどこどこ日記, 11/23)

• 》 女性記者射殺事件、チェチェン首相に疑いの目 (asahi.com, 11/25)

• 》 リトビネンコ氏暗殺疑惑

  • 不審死の露元スパイ、体内などから放射性物質 (読売, 11/25)
  • 「素人の仕業ではない」と英専門家　元スパイ毒殺 (asahi.com, 11/25)
  • いつ、どこで体内に 　放射性物質に深まる謎 (東京新聞, 11/25)
  • 露元中佐変死：ユコス元幹部が英警察に情報提供へ (毎日, 11/25)
  • 露元中佐変死：深まる謎　英メディアもさまざまな憶測 (毎日, 11/25)

    今回の事件で検出されたほどの大量のポロニウム２１０を人工的に作るには、原子力施設など大がかりな設備が必要とされ、国家機関以外の犯行説は説得力に乏しい。

  • 露元中佐変死：英の情報提供要請にプーチン大統領の対応は (毎日, 11/25)
  • Radiation tests after spy death (BBC, 11/25)。timeline 載ってます。 Radiation found after spy's death に地図あります。

  　関連:

  • Polonium (Wikipedia)。 日本語版のポロニウム (ウィキペディア) よりも、英語版の方が全体として信用できるようです。 松崎さん、岡村さん情報ありがとうございます。

    the amount of material required to produce a lethal dose of 10 Sieverts would be only 0.12 micrograms

  • 講義資料（2001年度）: 園田 (京都大学 放射線遺伝学教室)
  • グレイ(Gy)とシーベルト(Sv)はどう違うのでしょうか？ (放射線被曝者医療国際協力推進協議会)

• 》 DSP版Vistaアップグレード申し込みサイトで障害 〜マイクロソフトは対応準備中 (PC Watch, 11/24)

  11月24日現在、Windows Vistaへの優待アップグレード権が付属したWindows XP DSP(OEM)版のアップグレード申し込みサイトに障害が発生している。 (中略) 技術的なエラーが発生しており、現在対策中で、12月4日以降に申し込みが出来るよう対応中だという。

  　まるまる 2 週間かかるの!? 答えてねっとじゃあるまいし……。

  　その答えてねっとですが、

  11 月 25 日より、休日もご利用いただけるようサービス利用日を拡大いたします。毎日 9 時〜深夜 24 時までとなります。

  だそうです。今だに 24 時間営業にはなっていないんですね。 今朝も障害が発生していたようですが、だいじょうぶでしょうか。

• 》 2008年は、地震と台風と津波が一気に襲って来そうだ。 (The Casuarina Tree, 11/24)

• 》 英国の著作隣接権延長反対署名に協力しよう (The Casuarina Tree)。どこもかしこも著作xx権延長話ですか。金の力は偉大ですなあ。

• 》 日本のこれから: ネット社会 (NHK)

• 》 もう医者にかかれない　 〜ゆきづまる国民健康保険〜(仮) (NHK スペシャル)。小泉改革ですから。

• 》 イラク：希望を失わせるベクテル社の撤退 (JANJAN, 11/24)

• 》 オーマイニュース話

  • 平野日出木さん、本当にそれでいいんですか？(上) (CNET, 11/23)
  • 平野日出木さん、本当にそれでいいんですか？(下) (CNET, 11/24)

  　FWD の最後のころを思い出した。

• 》 「クローン携帯を確認」は誤報 -- ドコモがコメント (ITmedia, 11/24)。ドコモが何と言おうが、ユーザから見たら「クローン携帯」だったわけで。

• 》 削除したファイルをlsofで復元する (Open Tech Press, 11/23)

• 》 pacsec.jp、いよいよ来週です (行けません orz)。layer9 さん情報ありがとうございます。

• 》 100ドルノートPC　最初の1000台を製造完了、来夏に量産へ (毎日, 11/22)

• 》 MBSA 2.0.1 リリース (Microsoft)。そういえば、ここに書いてませんでしたね。SUZUKI さん情報ありがとうございます。

  MBSA 2.0.1 をダウンロードしない場合はどうなりますか?
  
  MBSA 2.0 をオンライン モードのみで実行する場合は、MBSA 2.0.1 に更新する必要はありません。
  オフライン モードで MBSA 2.0 を使用している場合、MBSA 2.0 は 2007 年 3 月まで機能します。しかし、Windows Update のオフライン スキャン ファイル (wsusscan.cab) は、新しい更新プログラム用のスペースのため、古い更新プログラムが徐々に削除される予定です。

  　忘れないうちに更新しておきましょう。

• 》 Poderosa 4.1.0 が出ています。

• 》 [connect24h:11228] FYI? 自宅のBBルータでsnmpが外部に公開されていた。 人生いろいろ、BB ルータもいろいろ。

• 》 【速報】日本版SOX法「実施基準案」がついに正式公表、意見募集後の1月中旬に確定の見込み (日経 IT Pro, 11/21)

• 》 【IT Service Forum速報】「監査のための内部統制ではない」、日本大学商学部の堀江正之教授 (日経 IT Pro, 11/21)

  堀江教授は、二つの法律が定める内部統制の違いを、「金融商品取引法が開示規制、会社法が企業統治とリスク管理」と位置付ける。こうした法律が求めることを理解した上で、冒頭で挙げた「業務の適正化と効率化」の具体策を考えていく必要がある。

• 》 【IT Service Forum速報】「システムの信頼性向上には可視化が重要」，経産省が新ガイドラインを解説 (日経 IT Pro, 11/21)

• 》 【インターナショナルGPLv3カンファレンス】「我々はオープンソースとは違う」，FSF創設者のRichard M. Stallman氏 (日経 IT Pro, 11/22)

  なお，Linuxの生みの親であるLinus Torvalds氏はGPLv3に対して批判的であることで知られている（参考リンク1，参考リンク2，参考リンク3）。そこで「彼はGPLv3を誤解しているのか」と質問してみた。これに対しStallman氏は「いや誤解していない。ゴールが違うだけだ。彼はDRM（デジタル著作権管理）もOK，TivoizationもOKという立場だ。我々は違う」と語った。

• 》 ウイルス対策ソフトウエアの性能比較記事にもの申す！（前編） (蔵出しセキュリティ, 11/22)。未知ウイルスへの耐性を検証する続編をやってほしい、と日経パソコンにリクエストしませう。 あと、2006年11月13日号特集2「ウイルス対策ソフト乗り換え案内」の訂正（11月21日） (日経 BP) が出てました。

• 》 [AML 10672] 自衛隊輸送機をめぐる問題。 空自のイラク宅急便の話など。 「空自ＣＸ----Ｃ-130をしのぐＣ−１輸送・後継機」なんて書いてるけど、 そもそも C-1 が中途半端なだけなのでねえ。

• 》 書き換え可能なハードウェアによる高速ウイルスチェックシステムの開発 (産総研, 11/22)。このあたりが新しいのかなあ。

  ウイルスの情報を集めたデータベースを監視して、新種のウイルス情報が登録されたら、それを元にFPGA用のデジタル回路を生成して、ウイルスチェックを行っているFPGAチップの機能を変更するまでを自動で行います。(中略) この実証システムを用いて、疑似ウイルスを含むデータのみを除去することと、ウイルス情報のデータベースの更新に合わせてFPGAの更新までが自動で行われることを確認しました。
  　本システムでは市販の高速なFPGAを使用しており、その上で機能するウイルスチェック回路は10Gbps以上の処理性能を持っていることを確認しています。

  　「シグネチャそのものを自動でハードに組み込む」イメージ?

• 》 SOC情報分析四半期レポート (ISSKK)。「2006年第3四半期」が新たに公開されています。守屋さん情報ありがとうございます。

• 》 Software Design 2006年12月号で知ったのですが、GigaPcap というものがあるのですね。 160万円(税別) ですか……。

• 》 RFC4716: The Secure Shell (SSH) Public Key File Format (IETF) (info from 葉っぱ日記)。 「SECSH 公開鍵ファイル形式」が RFC になったようです。 OpenSSH も対応してくれないかなあ。

• 》 snort 2.6.1.1 が出たそうです。

• 》 Wikipedia は広告の為の場所ではありません (slashdot.jp, 11/23)

• 》 識別番号同じ「クローン携帯」不正使用をドコモ初確認 (読売, 11/23)。 「クローン携帯」初確認。FOMAカードの再利用に穴 (slashdot.jp, 11/23) の 1063319 で紹介されている、 クローン携帯は都市伝説で終わった問題なのか？ (jip.or.jp) がそのものズバリなようですね。

  　読売記事より:

  　ドコモは今年２月、数億円をかけて国内システムを改修したとしている。また解約されたＩＣカードの識別番号は再利用せず「使い捨て」にする方針。

  　この書き方だと、今はまだ使いまわしている感じだなあ。

• 》 Windowsにおけるバッファオーバーフロー(3) (ITセキュリティのアライ出し, 11/22)

• 》 iAdware (F-Secure blog, 11/23)。 Alert on MOKB-20-11-2006: Being exploited in the wild? (Kernel Fun, 11/22) と同じ話?

• 》 Warezov List (F-Secure blog, 11/22)。Warezov ウイルスのダウンロードに使われているドメインのリスト。

• 》 If IE Suddenly Says "Se Habla Espanol" ... (SANS ISC, 11/23)。 WSUS から IE7 英語版をインストールしたら、なぜかスペイン語版がインストールされた、という話があったようで。

• 》 Common Management AgentとInternet Explorer7.0におけるPSAPI.DLLのエラー (マカフィー)。CMA 3.6.0 で修正予定だそうです。

• 》 特番: Vistaの新文字セットが引き起こすトラブル (日経 IT Pro)

• 》 野党タウンミーティング調査チーム発足へ (保坂展人のどこどこ日記, 11/22)

  　タウンミーティング、注目の論点は何か (保坂展人のどこどこ日記, 11/22)

• 》 [connect24h:11232] 第８回セキュリティもみじセミナー「保全と調査約款／ライトニングトーク　五連発」。 2006.12.09、広島県広島市、一般 2500 円。たのしそうだなあ。

• 》 「ノートン・インターネットセキュリティ 2006」と「ノートン・アンチウイルス 2006」ユーザー向け 2007 版最新機能のアップグレードについて (シマンテック, 11/22)。2006 → 2007 へ無料アップグレードできるそうで。

• 》 「12月第1週にOracle製品のセキュリティ・ホールを毎日公表する」，研究者が宣言 (日経 IT Pro, 11/22)。「12月第1週」には 12/1 と 12/2 しかないように見えるのですが、それでいいのでしょうか。 The Week of Oracle Database Bugs (argeniss.com) によると

  What is the WoODB about?
  An Oracle Database 0day will be released every day for a week on December.

  なので、「12月第1週」ではなくて「12 月のとある週」なのかなあ。それとも、12/1 から 7 日間とかかなあ。まあ、なんにせよそういうことをやるのでしょうが。

• 》 「送信ドメイン認証『DKIM』の標準化は順調，来年半ばにはRFCに」---Eric Allman氏 (日経 IT Pro, 11/22)

• 》 Captcha っぽい画像つきの画像 spam が来たよ……。こんなの。OCR を使った spam フィルタを見事に通り抜けてるし。うーむ。

  　やっぱ、金の力はすごいなあ。関連:

  • 脅迫状のような画像スパム出現，文字を“切り貼り”してフィルタを回避 (日経 IT Pro, 11/21)。
  • 新手の画像スパムが急増 (slashdot.jp, 11/22)。 geoGreeting! なんてサイトがあるんですね。(^^)

• 》 アメリカで有名ブロガーが収監の見通し、記事の中立性を貫くために裁判で証言拒否 (technobahn, 11/21)

• 》 「何もしない」というセキュリティ対策 (日経 IT Pro, 11/22)

  だったら高度な対策を講じなければ脅威の進化も止まるのではないか，という考えです。

  　もはや止まらないでしょう。だって、金になるもん。

• 》 mixiのコミュへの掲載内容を許諾なしで書籍化する計画で大揉め (slashdot.jp, 11/22)。お金がからむとねぇ……。 あと、ホテル・ジャンキーズ事件については高裁判決もリンクした方がいいんじゃないですかねえ。

  • ホテル・ジャンキーズ事件判決 (東京地裁 / law.co.jp, 2002.04.15)
  • ホテル・ジャンキーズ事件控訴審判決 (東京地裁 / law.co.jp, 2002.10.29)

  　 ホテル・ジャンキーズ事件の解説:

  • 講演「ホテルジャンキーズ事件」　（2003年　著作権法学会判例研究会） (井奈波朋子 / インフォテック法律事務所)
  • サイバー法判例解説 (商事法務)

• 》 ご好評につき事前登録延長！ 11月30日(木) 18:00 迄 (Internet Watch)。集客が悪いので延長してみるテスト、かしら。 C2 : DNS DAY 〜DNSにおけるセキュリティ再考〜 のこのあたりとか興味深げです。

  [後半] DNSにおけるセキュリティ再考
  (中略)
  　2. DNSプロトコルの落とし穴
  　　 o DNS reflector attack
  　　　　　　　　　　　　松崎 吉伸 [株式会社インターネットイニシアティブ]
  　　　　　　　　　　　　17:00 - 17:20
  　　 o cache poisoning
  　　　　　　　　　　　　民田 雅人 [株式会社日本レジストリサービス]
  　　　　　　　　　　　　17:20 - 17:40

  　セキュリティホール memo BoF (ページようやくつくった orz) の発表者は、あと 1 名ほど募集中。 _o_

  　ところで、Internet Week の受付 web ページのアンケート、「日経Windowsプロ」とか「UNIX USER」といった、もはや存在しない雑誌がリストされているのが気になるなあ……。［Webサイト］にはもっと候補を増やすべきだとも思うし。

• 》 「スピア型攻撃」は日本独自の表現？ (武田圭史, 7/19)

  「スピア・フィッシング」や「スピア・フィッシング・アタック」という用語は海外で広く用いらているが、「スピア型攻撃(Spear Attack?)」という表現はあまり目にすることがないように思う。

  　先日某所でこの話が出ていたのですが、一般表現としては「Targeted Attack」と「Spear Phishing」しか存在しないようで。Targeted Attack の phishing 方面特殊表現が Spear Phishing だと理解すればいいのかな。

• 》 【IT Service Forum速報】「万一に備えて，企業にもセキュリティ対応チームを」---JPCERT/CCが提言 (日経 IT Pro, 11/21)

• 》 暗号モジュール試験及び認証制度(JCMVP) (IPA ISEC) というものがあるのですね。 CMVP: Cryptographic Module Validation Program (NIST) の日本版だそうです。 暗号モジュール評価の基礎知識 (@IT) という記事があったのね。何年も前に。orz

  　Windows Rights Management Services に関してよく寄せられる質問 (Microsoft) に「FIPS との互換性について教えてください。 具体的には何が認定され、どのレベルの FIPS 認定までが認定されるのですか?」という Q. があります。

• 》 Internet Explorer 7.0へのMcAfee製品の対応 (マカフィー, 11/20)。管理 UI 系がことごとくだめなのかな。

• 》 共謀罪、「米国留保」に外務省は立往生(議事録付き) (保坂展人のどこどこ日記, 11/21)

• 》 横浜の男性が狂犬病発症　「比で犬にかまれた」 (asahi.com, 11/22)。 先日の「京都市の男性」の話は、 フィリピンからの帰国後に狂犬病を発症した患者（輸入感染例）について (厚生労働省, 11/16)、 フィリピンからの帰国後に狂犬病を発症した患者（輸入感染症例）について （続報） (厚生労働省, 11/17)。 狂犬病 (海外渡航者のための感染症予防) は発症前に治療しないと確実に死に至るようなので注意しませう。

  日本人はイヌやネコをみると無防備にふれようとしがちですが、野犬や野生動物にはむやみに手を出さないようにしましょう。また、犬の前で急に逃げると追いかけられてかみつかれることがありますので、急な動きをしないようにしましょう。
  万一狂犬病が否定できない犬などに咬まれた時には、傷口の洗浄消毒後、医療機関で狂犬病ワクチンを接種してください。(中略) いったん発病したら治療法はなく、１００％死亡します。

• 》 【復旧のお知らせ】ＥＺ　ＷＩＮコースのＥメール送受信しづらい状況について (KDDI, 11/21)。11/19 につづいて、11/20 にもトラブっていたんですね。 こちらは「影響者数：ＥＺ　ＷＩＮコース47Xから48Xサーバ収容の一部のお客様　約135万人」だそうで。

  　あと、11/19 の話である 【復旧のお知らせ】ＥＺ　ＷＩＮコースのＥＺｗｅｂ接続およびＥメール送受信しづらい状況について (KDDI, 11/20) も、「影響者数：ＥＺ　ＷＩＮコースの一部のお客様　約280万人」と明記されましたね。

  　それにしても、各アナウンス web ページの <title> が 「KDDI au: auからのお知らせ一覧」なのはなあ。この手の話が google とかにひっかからないようにするためなのかなあ。

  　さらに、11/19 のトラブル時に表示されたエラーコードが「110」だったために、110 番 (= 警察) に大量の問いあわせがかかってしまったらしい。

  • ａｕ：通信障害で１１０番に誤報殺到　エラーコード勘違い (毎日, 11/22)

    警察庁によると、この通信障害が原因とみられる１１０番の誤報は１９日夜に全国で約５７００件あった。

    5,700 / 2,800,000 = 0.2% ですか。まあ、そんなもんかも。
  • auのトラブルで、「110番」に電話が殺到！？ (slashdot.jp, 11/22)

• 》 Web 2.0 for Enterprise: ついに "マッシュアップ・ウイルス”が登場 (日経 IT Pro, 11/21)

• 》 集団感染：米クルーズ客船で６７０人以上　ノロウイルスか (毎日, 11/20)。うわー、恐いなあ。 この船かな:

  • カーニバルリバティを発見 (carnival-japan.com)
  • Carnival Liberty (carnival.com)

  　定員 2974 + 乗員 1150 = 4124 なので、「５３０人以上の乗客と約１４０人の乗員が症状を訴えた」は全体の 16% ですね。 Virus sickens nearly 700 aboard cruise ship (AP / CNN, 11/19) という記事も出ているなあ。

• 》 お詫び (KDDI, 11/19)

  １１月１９日（日）１９時５５分〜２３時４３分までの間、ＥＺ　ＷＩＮコースの一部のお客様にて、ＥＺｗｅｂの接続およびＥメールの送受信がしづらい状況になっておりましたが、現在は復旧しております。

  　なんだか素気ないですが、ａｕ「ＥＺｗｅｂ」に障害　２８０万回線に影響 (asahi.com, 11/20) と言われるとすごい影響のように聞こえます。 「ＥＺ　ＷＩＮコースの一部のお客様」が 280 万回線なの?

• 》 タウンミーティング・サポーターの話

  • タウンミーテイング 謎のサポーターはどこにいる? (訂正あり) (保坂展人のどこどこ日記, 11/18)
  • タウンミーティング調査 5つの視点 (保坂展人のどこどこ日記, 11/20)
  • タウンミーティングサポーターからのメッセージ (内閣府)

• 》 暗黙的に形成する事実標準の話と回避策の話を混同してはいけない (高木浩光＠自宅の日記, 11/15)

• 》 はてブを使うことにした (高木浩光＠自宅の日記, 11/18)

• 》 数百人が「人間の盾」　イスラエル軍、ガザ空爆中止 (asahi.com, 11/20)

• 》 H18年度ウェブアプリケーション開発者向けセキュリティ実装講座の開催について (IPA ISEC)。2006.12.13、東京都文京区、無料。

• 》 11/22　P2Pネットネットワークの追跡と証拠確保 (B-) の独り言, 11/20)。 2006.11.22 東京都新宿区、2006.12.08 大阪府大阪市、無料。

  WINNY ネットワーク系の追跡関係と、EnCase&KingDEMI の詰め合わせセットに関するお話になります。っていうか、自分の失敗事例のご紹介がメインだったりして（笑）

  　ノウハウいっぱい詰っていそうだなあ……。

• 》 Taking a Look at the FreeVideo Player Trojan (SANS ISC, 11/20)。今度は Video Player ですか。いろいろ考えますね。

  The main purpose of the FreeVideo Player, in its current state, seems to be redirection of web search results and DNS queries for non-existent domains to ad-hosting websites.

  　関連: 無償のプレーヤ・ソフトに見せかけた「トロイの木馬」に注意 (日経 IT Pro, 11/20)

• 》 IceSword 1.20 English Version (tessyの日記, 11/19)

  　DEFCON 14 Media Archive、PDF を見ようとするとことごとく 404 食らうのはなぜだろう……。

• 》 トレンドマイクロ、検疫ネットワークを手軽に構築できるアプライアンス (Enterprise Watch, 11/20)

• 》 秋葉原にも防犯カメラ設置へ (slashdot.jp, 11/19)。 #1061052 で、銃砲刀剣類所持等取締法の問題点 を指摘している人がいますね。ぐぐってみると、たとえばこんなのが hit しました:

  • 秋葉原で警察に捕まりました (真概夢戯言, 2005.12.01)、勝訴！！……ではない（軽犯罪法違反結末） (真概夢戯言, 2/8)
  • 「メイド狩り」なんて見出しつけたTBSは本物の馬鹿 (神聖マルチ王国, 10/23)。コメント覧に悪質職質例複数あり。

• 》 F-117A「ナイトホーク」戦闘機が現役引退、1982年から約25年間に渡って活躍 (technobahn, 11/20)。 F-117 は「ステルス戦闘機」と呼ばれているのだけど、空戦能力は皆無なんだよね。 ぐぐってみると、 US Plans to Retire B-52s, C-21s, F-117 & U-2 for more F-22s (Defense Industry Daily, 01/12) が hit。F-22 で代替されるみたい。

  　関連: F-117被撃墜のその後… (masdf.com)

• 》 プーチン政権批判の亡命ロシア人毒殺未遂、英国で捜査 (読売, 11/19)、 Russian ex-spy 'poisoned' in London (CNN / AP, 11/19)。ポリトコフスカヤ女史がらみ?

• 》 首長への賠償請求権、議会が放棄　住民訴訟を骨抜きに (asahi.com, 11/20)。いやはや。

• 》 株の誤発注 取り消しルール導入 (JCAST, 11/20)

• 》 韓国が米国主導のＰＳＩへの不参加表明、首脳会談で (CNN, 11/18)。 拡散に対する安全保障構想（PSI） (外務省)

• 》 高校生死亡のシ社エレベーター、別メーカー製に替わる (読売, 11/20)。ようやく 1 基。 関連:

  • 専門家が原因究明、死亡事故の隣接機…シ社エレベーター (読売, 11/18)

    国土交通省は１７日、事故後もトラブルが多発している隣接機を保存するよう製造元の「シンドラーエレベータ」社に指示、専門家ら第三者が加わり、原因を究明する方針を明らかにした。 (中略) 同機も今月２０日以降、交換・撤去されるが、国交省は「再発防止には原因究明が不可欠」として、撤去後、同機を別の場所で保存するよう同社社長に要請した。同区や業界団体の協力を得ながら、調査を進める。

  • シンドラーエレベータ、緊急点検で１０２基に不具合 (asahi.com, 11/17)

• 》 F-Secure Mobile Security (F-Secure)。スマートフォン (Symbian OS) 用のパーソナルファイアウォール / アンチウイルスだそうで。

• 》 脆弱性の分類と脆弱性の原因 (水無月ばけらのえび日記, 11/18)。ACCS 事件の場合、「サイトの脆弱性」というレベルでは「CGI 開発元が脆弱性の存在を把握していたにもかかわらず顧客に告知していなかった」のが真の原因でしょうし……。

• 》 イスラエル：超精密「ハチ兵器」開発中　武装勢力対策に (毎日, 11/18)。まじですか。

• 》 「80番ポートを使うIRCボットが増加中」，セキュリティ組織が注意喚起 (日経 IT Pro, 11/17)

• 》 マイクロソフト、家庭向けWebフィルタリングソフトを公開 (日経 IT Pro, 11/17)

• 》 タウンミーティング 平成13年度の随意契約とは(追記あり) (保坂展人のどこどこ日記, 11/17)。安倍政権、事実隠しに走りますか……。

• 》 ウイルスバスター コーポレートエディション 7.0 Patch 5(Build_1294)の概要および適用方法 (トレンドマイクロ)

• 》 サイバーエージェント社の提供するページがURLフィルタによってブロックされる (トレンドマイクロ)。これも現象継続中なんですかね。

• 》 ウイルスバスター2006 インターネット セキュリティ URLチェックサーバ不調について (トレンドマイクロ)。11/1 以降、「一部の環境において」現在でも発生中だそうです。

• 》 BASE 1.2.7 Released (snort.org)。 世の中には BASE+ というものもあるそうです。

• 》 livedoor Blogで禁止ワードを設定し、簡単に多くのコメントスパムを排除する方法 (Semplice, 11/17)

• 》 中国が再びWikipediaへのアクセスを遮断 (slashdot.jp, 11/18)

• 》 「学校のWebカメラを乗っ取り，同級生を恐喝」---スペインで17歳の男が逮捕 (日経 IT Pro, 11/18)

• 》 米空軍が「ジェットモグラ」型兵器を開発、敵の地下秘密基地まで潜って攻撃 (technobahn, 11/17)。まじですか。あと、

  画像上は1950年代に米空軍が開発を行っていた大型の原子力トンネル掘削装置。

  なので注意 (誤解させるような図をつけるなよなぁ……)。 ネタもと:

  • WORM (gd-ais.com)
  • WORM (gd-ais.com)

• 》 佐呂間の竜巻、原因は直径３０キロの巨大積乱雲 (読売, 11/17)

• 》 盗難防止装置つき車の盗難、不払い損保の敗訴相次ぐ (読売, 11/17)。イモビライザーの回避方法って well known だと思うのだけど、損保っていまだに支払拒否してるのか。

• 》 ウイルスバスター コーポレートエディション 7.0 版 Security Patch(Build_1309)の概要および適用方法 (トレンドマイクロ)

• 》 JUST Kaspersky ポータル (ジャストシステム)。 30 日試用版をダウンロードできます。

• 》 Implementing and Detecting a PCI Rootkit (ngssoftware)

• 》 タミフル服用で注意喚起へ　 米食品医薬品局 (日経 Medical Online, 11/14)、 米当局、タミフルの注意書き改訂　異常行動への監視強化 (asahi.com, 11/17)

• 》 個人情報　流出事例の5割は政府機関　米調査 (毎日, 11/16)

• 》 トラック運ちゃん残酷物語：飲酒や覚せい剤の問題 (JANJAN, 11/15)

• 》 Symantecの詐欺対策コミュニティ、個人からも詐欺サイト情報を募集 (Internet Watch, 11/16)

• 》 エネルギー問題

  • 外資系企業、ボリビア大統領の条件に従い、天然ガス・石油国有化受け入れへ (JANJAN, 11/10)
  • 天然ガス価格の大幅値上げでグルジア脅すロシア (JANJAN, 11/10)
  • 米国：生物燃料の成長性を過大評価か (JANJAN, 11/17)

• 》 インド：パテント裁判、世界的問題に (JANJAN, 11/12)。クスリ方面。

• 》 VIVA! USA

  • おもい問いをつきつける映画「グアンタナモ、僕達が見た真実」 (JANJAN, 11/12)
  • 安保理：イスラエル非難決議に米が拒否権行使 (毎日, 11/13)

• 》 最悪な事件の報道に最高の賞 (JANJAN, 11/13)

• 》 グローバリズムの脅威訴え〜映画「ダーウィンの悪夢」 (JANJAN, 11/16)

• 》 イーホームズの逆襲

  • イーホームズ藤田氏　強度偽装、国の責任追及を (JANJAN, 11/10)
  • 作られた耐震偽装（１）公平な法適用を〜藤田東吾氏語る (JANJAN, 11/15)
  • 作られた耐震偽装（２）身内をかばう国交省〜藤田東吾氏語る (JANJAN, 11/16)

• 》 snort 2.6.1 が出たそうです。

• 》 需要無視の“内情”を露呈した「YouTube 対 テレビ局」 (CNET, 11/17)

• 》 マイクロソフト、Vistaのライセンス/アクティベーションについて解説 (PC Watch, 11/16)

  　まず、ライセンスだが、これは現在米国のサイトで公開されているものが、そのまま国内でも適用されることとなった。 (中略) なお、日本語のライセンスについては、1月30日の発売日以前に、Webで公開する予定はないという。

  　その「日本語」の翻訳の質がいつも問題になってるんだけどねえ。 いっそ、日本語になんかしないでほしいのだが。

  　関連:

  • マイクロソフトがVistaのライセンス条件を開示 (ITmedia, 11/17)
  • Windows Vista Just Gold and Already Cracked (gameshout.com)。いたちごっこは続く。

• 》 初期設定でDEPが有効になっているプロセス (Eiji James Yoshidaの記録, 11/16)。 当然有効にすべき対象が無効になっているわけで、これはつまり…… DEP を有効にすると IE は落ちまくる、という証明なんじゃないかしら。

• 》 Error message when when you try to clear or to back up the Security log on a Windows XP-based computer: "Stop 0xC0000244 (STATUS_AUDIT_FAILED)" (Microsoft)。patch があるそうです。

• 》 「ボットネットは“目立たない”ように工夫を凝らす」---IIJの齋藤氏 (日経 IT Pro, 11/16)。「目立つな」は戦場の基本。

• 》 インターネットは平和になったか？ (日経 IT Pro, 11/14)。平和になったのなら、Windows Vista で「セキュリティを強化」したりしない。

• 》 教育改革ＴＭ@大分では、107人が有給スタッフ (保坂展人のどこどこ日記, 11/16)。いやはや。

• 》 久間防衛庁長官：核搭載米艦船の領海通過認める？発言 (毎日, 11/17)。非核 3 原則ヲ骨ヌキニセヨ、というところでしょうか。まあ、「持ち込ませず」は他の 2 つとは異質ではあるんですけどね……。

• 》 注意報解除後に津波「情報の出し方検討」…気象庁長官 (読売, 11/16)。難しいなあ。

• 》 まだ怖いシンドラー、高校生死亡住宅で「安全守る会」 (読売, 11/16)。まだまだ終りません。

• 》 ウイルス作者の新手口，Googleマップで感染マシンの場所を突き止める (日経 IT Pro, 11/16)。いろいろ考えるなあ。

• 》 『Binary Hacks』増刷御礼 (オライリー, 11/14)。既に 3 刷に入ったという話が……。

• 》 「Vector」のウイルス感染事故で再発防止策が完了、社内処分も実施 (Internet Watch, 11/16)

• 》 Symantec delivers Mac OS X security report (securityfocus, 11/14)。7 月に出た文書の改訂版。itochan さん情報ありがとうございます。

• 》 ITセキュリティのアライ出し 第16回　 Windowsにおけるバッファオーバーフロー(2) (MYCOM ジャーナル, 11/16)

• 》 「情報後進国に転落しかねない」、高校の未履修問題に情報処理学会が苦言 (日経 IT Pro, 11/15)

• 》 また Google八分か? の件ですが、今ぐぐってみると、ちゃんと出てきますね。 あと、 日本のGoogleにも、検索結果にフィルターがかかっている の話なのでは、と Lain さんに言われて気がついたのですが、 9/27 にフィルタしないように設定したはずなのに、さっき見たらまた Use moderate filtering (Filter explicit images only - default behavior) に戻っていた。うーみゅ。

• 》 Windows Vista−−「注意せよ，前方に悪路あり」 (日経 IT Pro, 11/15)

  さて，Windows Vistaにアップグレードする理由は何だろうか。(中略) 筆者は，Windows Vistaにアップグレードすべき理由とは，「セキュリティを第一に考え，その次に互換性を考慮した」Windows Vistaの設計によって，パッチの適用回数が減り，ユーザーのシステムからスパイウエアを除去するために費やされる時間が減り，少なくともパッチ・ガード機能が搭載されている64ビットのWindows Vistaならルートキットに関する心配が減ることであると考えている

  　そうなるといいですね。

• 》 [connect24h:11211] オフィスソリューションフェア2006 で講演。2006.11.17、広島県広島市、無料。 【申込締切日11月10日】と書かれていますが、今から mail しても ok だそうです [connect24h:11216]。

• 》 アドビ、異なる形式のファイルをまとめてPDF化できる「Acrobat 8」発売 (Internet Watch, 11/16)。

  隠したい部分の情報のみを黒塗りして削除できる「墨消し機能」などを追加(Professionalのみ)した。

• 》 「脆弱性を解説するウェブコンテンツ制作および部品素材制作」に係る公募について (IPA ISEC, 11/8)。11/24 締切だそうで。

• 》 ADMX Migrator (ウィンドウズ開発統括部, 11/15) (まっちゃさんち経由)

  カスタム adm ファイルを駆使してグループポリシーを管理している管理者の方はきっとこのツールを気に入ってもらえると思い紹介させて頂きました。大変シンプルで使いやすいツールですので、ぜひ一度お試しください。

• 》 Detection and deployment guidance for the November 2006 security release (Microsoft)。こういうのは、日本語版がほしいなあ。

• 》 Some security policies are displayed as "Not Defined" in the RSoP snap-in on a Windows Server 2003-based domain controller (Microsoft)

• 》 The heavy use of Winsock programs may exhaust the system's non-paged pool memory in Windows Server 2003 (Microsoft)。patch があるそうです。

  　non-paged pool つながり: Event ID 2021 is logged even though lots of non-paged pool memory is available in Windows Server 2003 (Microsoft)

• 》 続・呼び名で分かる：意味が違う！編　いきなり・しんけん・えらい…“とても”豊富 (毎日, 11/15)。いろいろややこしいです。

• 》 いつの時代も、真実はひとつだけ (藤田憲治「雑誌づくりの舞台裏」, 11/14)。日経パソコン 2006年11月13日号の「特集2: 主要製品の実力を診断　ウイルス対策ソフト乗り換え案内」の話。

  今から約5年前の2001年末、同様の企画を考え、記事を執筆したことがあったのです。

  　今は亡き「日経ネットワークセキュリティ」ですね……。

  　思い出した言葉: 「Not even justice, I want to get truth. 真実は見えるか」(C) サンライズ

• 》 実施基準(2006.11.06部会資料) に対する様々な反応 (まるちゃんの情報セキュリティ気まぐれ日記, 11/15)

• 》 八王子テレメディア、CATVネットの加入者情報18,639件がShare流出 (Internet Watch, 11/15)

• 》 電気ストーブ６機種、リモコンなどで誤作動・火災も (読売, 11/15)

• 》 特定電子メール等による電子メールの送受信上の支障の防止に資する技術の研究開発及び電子メールに係る役務を提供する電気通信事業者によるその導入の状況 (総務省, 11/14) 総務省さんかい? 長い、長いよ!

  　なお、今年のトピック（詳細は別紙(PDF)参照）としては次のようなものが挙げられます。
  1) 　電気通信事業者による迷惑メール対策技術の導入について、その合法性が整理されました。
  2) 　これを受け、国内の携帯電話系及び固定系のいずれの電気通信事業者も、迷惑メールの受信防止に関する技術を強化し、迷惑メール対策に積極的に取り組んでいます。
  3) 　近年国境を越える迷惑メールが世界的に問題となっていることを受け、総務省では国際協調を積極的に推進しています。

• 》 Windows PowerShell 1.0 localized installation package for Windows Server 2003 with Service Pack 1 and for Windows XP with Service Pack 2 (Microsoft)。日本語版ももちろんあります。 Windows PowerShell 1.0 Multilingual User Interface (MUI) Language Pack for Windows Server 2003 with Service Pack 1 and for Windows XP with Service Pack 2 (Microsoft) というのも出てます。

• 》 教育基本法と「世論偽装のタウンミーティング」(訂正あり) (保坂展人のどこどこ日記, 11/14)。5,000 円もらってタウンミーティングに行こう。いやー、めちゃ楽なバイトですな。

  　関連: サクラ発言謝礼、２５回で６５人に　政府「問題ない」 (asahi.com, 11/15)

  塩崎官房長官は１５日午前の記者会見で、０２〜０４年度の３年間で計６５人の「冒頭発言者」に謝礼金を支払っていたことを認めた。０１年度は「資料が残っていない」という。ただ、塩崎長官は「全く問題視していない。講演（依頼）したときの講師謝礼と同じだ」と説明している。

  　思い出した言葉: 「アジの開きなおり」(C) 鴨川つばめ

  　……やってしまったようですね: 教育基本法：改正案を衆院特別委が可決　与党単独で (毎日, 11/15)。開きなおるわけだ。

• 》 November 2006 Monthly Security Bulletin Release (MSRC blog, 11/14) によると、

  On final bit of SUS information: we had announced that SUS 1.0 would be retired on December 6, 2006. In response to customer feedback, and to provide customers with additional time to migrate off Software Update Services (SUS) 1.0, we've gone ahead and announced an extension to the end of support date to Tuesday, July 10, 2007. So we want to encourage anyone still running SUS 1.0 to migrated to Windows Server Update Services, (WSUS) before July 2007.

  というわけで、SUS 1.0 は 2007.07.10 まで維持されるそうです。 手元的には WSUS 移行用の機材を先日発注したところなので、余裕ができるのはうれしい限りではあります。

  　あと、11 月のセキュリティ リリース (日本のセキュリティチームの Blog, 11/15) にもあるように、

  MS06-071 (XML) については、SUS での配信が現時点では行えません。本来は、対応する全ての配信システムで更新プログラムを同時に提供するのですが、今回のみ遅れての提供となってしまいました。提供され次第お知らせする予定です。

  なので注意しませう。

  　ちなみに、時代は既に WSUS 3.0 Beta 2 のようです……。

• 》 日本版SOX法の「実施基準案」、こりゃITサービス会社は大変だぞ！ (日経 IT Pro, 11/14)

  さて、この実施基準案の正式バージョンは11月20日に公開されて、パブリックコメントに付される予定だ。既に、様々な産業のSOX法対策担当者や公認会計士などがコメントを入れようと手ぐすねを引いている。ITサービス会社も自らのSOX法対策を“楽”にするために、コメントで問題点を指摘してはどうか。それがSOX法対策の重要な一歩である。

• 》 Binary Hacks が手元に届いたのでぱらぱら見ていたのですが、これはいいですねえ。

• 》 mixi ご利用上の注意事項 (mixi) に、 「mixi で脆弱性と思われる不具合、mixi やウェブブラウザなどの脆弱性を悪用した日記や書き込みを発見した」 なんて項目ができたんですね。

• 》 セキュリティキャンプ・キャラバン　開催のお知らせ（予告） (セキュリティキャンプ 2006)。

  ◎開催日時、開催場所（予定を含む）
  ・ 2006年12月6日（水）13:00〜14:30　 岩手県立大学
  ・ 2006年12月10日（日）13:00〜16:30　富山県総合情報センター
  ・ 2006年12月15日（金）10:00〜15:00　県立熊本工業高等学校
  ・ 2006年12月17日（日）13:00〜17:30　公立はこだて未来大学
  ・ 2007年1月　　会津大学(予定)
  ・ 2007年1月　　島根大学（予定）
  ・ 2007年2月　　広島工業大学（予定）

• 》 mixiで氏名・性別の公開範囲を限定可能に (ITmedia, 11/13)

• 》 投稿の詳細: httpOnlyをFirefoxで (yohgaki's blog, 11/9)。Firefox 2.0 が必要なようです。

• 》 IE7 Worldwide Distribution by Automatic Updates (IEblog, 11/13)。いつになるのかよくわからないというのも、それはそれで懸念材料なんだけどなあ。

• 》 埼玉中３自殺：直前にも金銭要求　学校側は生徒指導せず (毎日, 11/13)。相談しても助けてくれるわけでなし。 そういう意味では、トップダウンで話を進める方が効果はあるのかもね。

  　自分で生き残ろう。学校なんか休めばいいんだよ。 学校側が、適切な教育環境を整えた後で、また行けばいい。

• 》 匿名エスクローに対応した「楽天オークション」、iモード版も提供 (Internet Watch, 11/13)

• 》 スパマーの逆襲 -- 進化するアンチ・アンチスパム (ITmedia, 11/14)

  皆もう目にしたことだろう。この数カ月、スパムはギャングと戦う警官のように活発になっている。

  　え? スパムが警官のように?! と思って原文を見てみると、

  Everybody's seen it by now. Spam is up like gangbusters in the last few months.

  　「この数か月、Spam が gangbusters (= アンチスパム) を上回っている」だろう。 like は無理に訳す必要はないと思う。

  　……MIZUNO さんから (ありがとうございます)

  英辞郎で調べただけですが、"come on like gangbusters"と いう成語が掲載されていました。
  up like gangbusters は、この流れで "非常にやる気満々で活動的になっている" といった感じなのかと思いました。

  　あうぅ。辞書を引きなおすと、gangbuster に「like gangbusters = very successfully」って書いてあるし。切腹。orz

• 》 レンジ式湯たんぽ、やけどの恐れで経産省が回収を呼びかけ 〜タカラトミーの「レンジでチン ハローキティホット2フレンド」など6製品 (家電 Watch, 11/14)

• 》 [Announce] GnuPG 2.0 released。iida さん情報ありがとうございます。GnuPG 1 系列も継続してサポートされるそうです。

  What's New in GnuPG-2
  =====================
  
   * The *gpg-agent* is the central place to maintain private keys and
     to cache passphrases.  It is implemented as a daemon to be started
     with a user session.
  
   * *gpgsm* is an implementation of the X.509 and CMS standards and
     provides the cryptographic core to implement the S/MIME protocol.
     The command line interface is very similar to the one of gpg.  This
     helps adding S/MIME to application currently providing OpenPGP
     support.
  
   * *scdaemon* is a daemon run by gpg-agent to access different types
     of smart cards using a unified interface.
  
   * *gpg-connect-agent* is a tool to help scripts directly accessing
     services of gpg-agent and scdaemon.
  
   * *gpgconf* is a tool to maintain the configuration files of all
     modules using a well defined API.
  
   * Support for Dirmngr, a separate package to maintain certificate
     revocation lists, do OCSP requests and to run LDAP queries.
  
   * Support for the Secure Shell Agent protocol.  In fact, gpg-agent
     may be used as full replacement of the commonly used ssh-agent
     daemon.
  
   * Smart card support for the Secure Shell.
  
   * Documentation is now done in Texinfo. Thus besides Info, HTML and
     PDF versions may easily be generated.
  
   * Man pages for all tools.

  　gpg-agent を使えば、GnuPG 鍵を SSH ユーザ鍵としても簡単に利用できるのかなあ。…… そういうものではなく、単に SSH agent として使える、というだけみたい。

• 》 「SOX法404条は悪夢だ！」──前FRB議長のグリーンスパン氏が指摘 (Open Tech Press, 11/13)。404 not found にしたい、と。

  　関連: 前FRB議長グリーンスパン氏 「SOX法404条は悪夢だ！」 (まるちゃんの情報セキュリティ気まぐれ日記, 11/14)。関連情報へのリンクが豊富にあります。

• 》 【CRYPTO-GRAM日本語版】投票ソフトウエアと秘密主義 (日経 IT Pro, 11/14)

• 》 変異、断片化、隠蔽がハッカーの新手口 (Open Tech Press, 11/13)。 「11月6〜8日に米フロリダ州オーランドで開催されたCSI（コンピュータ・セキュリティ・インスティチュート）のコンファレンス」 は CSI 33rd Annual Computer Security Conference & Exhibision のことみたい。 「マシュー・ウィリアムソン氏は述べた」とあるので、 Dynamic Malware and Rootkit Removal かな。 他にもいろんなねたがあったみたいですが。

• 》 教育基本法、大分地方公聴会で (保坂展人のどこどこ日記, 11/13)、 お知らせ「緊急アピールと記者会見」 (保坂展人のどこどこ日記, 11/13)。今日の 13 時から。

  　関連: やらせ質問、文科省調査公表は先送り (asahi.com, 11/14)

• 》 正式版をW2Kにインスコする方法 (2ch.net)。 Orca データベース エディタを使用して Windows インストーラ ファイルを編集する方法 (Microsoft)。 そうまでして入れるべきなのか、という気はするが。

• 》 著作権の保護期間にはなぜ制限があるのか (日経 IT Pro, 11/14)

  　関連: 「著作権保護期間の延長を求める共同声明」の詳細が公開される (slashdot.jp, 11/12)

• 》 ウイルスとスパムの“密接な関係”がドメイン名で明らかに (日経 IT Pro, 11/13)。 元ねたの Connecting the Warezov domain dots (F-Secure blog, 11/11) を見た方がわかりやすいかもしれません。

• 》 「XSS脆弱性は危険，Cookieを盗まれるだけでは済まない」専門家が注意喚起 (日経 IT Pro, 11/13)。office さんは何年も前に指摘していたよなあ。

• 》 また Google八分か? (水無月ばけらのえび日記, 11/13)。みたいですね。 Yahoo! でぐぐるとちゃんと出てきますし。

• 》 近未来通信　総務省が報告命令　IP電話事業「不透明」 (毎日, 11/13)。やっぱりですか。

• 》 米国防総省、2008年予算で通常弾頭型ICBMの開発予算申請・地球のどこでも1時間以内に攻撃可能 (technobahn, 11/12)

• 》 米軍が数100万ドルを投じて開発した電子翻訳機、イラク駐留兵士の評価は「100％使い物にならない」 (technobahn, 11/10)。世の中厳しい。

  フレーズレーターの開発にあたってはアラビア語に対してイラクで使われている方言のイントネーションを付けるなどの工夫が取り入れられたが、同じアラビア語であってもイラクのファルージャとバクダットとのイントネーションには違いがあり、その後の調査によりイラク全土で利用可能なアラビア語の共通イラク方言といったものは存在しないことが判明。
  そのため、一見、正しいアラビア語が発音されたように思えてもイラクの現地人にはまったく理解できない音声となっていたという。図らずも米国にはアラビアの言語に精通した研究者や技術者はほとんどいないということが明るみになった格好だ。

  　「タモリのメチャクチャ中国語」を喋る中国語翻訳機、みたいなものか……?

• 》 米空軍の天文観測所？対衛星レーザービーム兵器「スターファイヤー」 (technobahn, 9/7)

• 》 園田道夫「蔵出しセキュリティ」: ネット詐欺の脅しなんて実は全然こわくない！ (日経 BP, 11/8)

• 》 E6 on WindowsXPsp2 スクリプトでポップアップされたアドレスバーのないwindowのタイトルバーのURL表示を信用してはいけない (hoshikuzu | star_dust の書斎, 11/10)、 昨日書いたIE6のタイトルバーうんぬん (hoshikuzu | star_dust の書斎, 11/12)。仕様だそうです。

• 》 ついに公開された「実施基準案」の中身とは（前編） (日経 IT Pro, 11/13)

• 》 『中国が世界をメチャクチャにする』の著者が読者の質問に答える（前編） (日経 BP, 11/13)

• 》 PGP、共有ファイルの暗号化製品など企業向け製品の日本語版を発表 (Internet Watch, 11/13)

• 》 マイクロソフト、スパイウエア対策ソフトを正式公開 (日経 BP, 11/10)

  なお、11月10日の午後4時時点でインストーラ「windowsdefender.msi」の発行元が「不明な発行元」となっている。この点については、「11月10日中には発行元を修正したものをアップロードする」（マイクロソフト）。ほぼ問題はなかろうが、発行元がマイクロソフトであることを確認できるようになってからインストールした方が無難だろう。

  　あちゃー。Benjamin さん情報ありがとうございます。さきほどダウンロードしてみたら、2006/11/10 13:30:32 に署名されてました。

• 》 Windows Vistaのセキュリティガイド公開 (ITmedia, 11/11)

• 》 mixi、利用の注意を更新。「mixiを安全に使うために」の項を新設 (Internet Watch, 11/10)。へぇ。

• 》 セキュリティ障害情報を自治体間で共有する「自治体ISAC」実証実験 (Internet Watch, 11/13)。へぇ。

• 》 eEye資料ダウンロード (住商情報システム) から、eEye Security Forum の資料をダウンロードできるようになっています。

• 》 Spam Killer におけるスコアレベル（低/中/高）の分類およびテストスパムメールについて (マカフィー)。 GTUBE (Generic Test for Unsolicited Bulk Email) という、eicar.com みたいなものがあるのだそうで。

  　関連: スパムメール及びフィッシングメールのテストストリング (マカフィー)。GTphish というものもあるのだそうで。

• 》 メーカー製パソコンで表示される広告は、悪質なアドウェアと大差ない迷惑行為 (Semplice, 11/13)。うーむ……。

• 》 電子投票 参院選の導入見送り (まるちゃんの情報セキュリティ気まぐれ日記, 11/12)。賢明な判断だと思います。

• 》 ウイルスの悩みを解消 (apple)。現実問題として、Mac OS X にすれば、「ウイルスの悩み」の多くは解消されると思います。しかし、だからと言って侵入されたり攻略されたりしないわけではありません。

  • Digital Attacks Archive (zone-h.org)

  　Apple には、こういうことを言う前に、自社製品にウイルスを混入して出荷したりしないようにしてほしいと思います。 Mac OS X 用のウイルスが少ないのは、単に Mac がマイナーなだけだと思いますし。

• 》 第 1 回 Admintech.jp コミュニティ設立記念勉強会 (admintech.jp)。 2006.12.02、東京都渋谷区、無料。

• 》 本当に怖い「パスワード破り」 〜ハニーポットによる調査結果から〜 (日経 IT Pro, 11/13)

• 》 ユーチューブでＦＢＩ動く　警察官が容疑者殴打する映像 (産経, 11/11)

• 》 クローズアップ２００６：新型インフルエンザ　大流行へ対策急務 (毎日, 11/11)

• 》 いじめ、教委には「金銭トラブル」と報告　北九州市立小 (asahi.com, 11/11)、 いじめ：文科省統計で二重基準　都道府県ごとの集計にも差 (毎日, 11/11)

• 》 聴衆の半数は関係者　県職員が質問　教育ミーティング (asahi.com, 11/10)、 「民」を偽装した教育関係者の大量動員が判明した (保坂展人のどこどこ日記, 11/10)。 日本政府はめちゃくちゃですな。

  　関連:

  • 「再チャレンジ」でも質問依頼、内閣府が北海道庁通じ (読売, 11/10)。どこでもやってるのか。
  • やらせ×やらせ＝教育基本法改正賛成の声の幻 (保坂展人のどこどこ日記, 11/11)
  • やらせ質問　教育行政への信頼は地に落ちた (愛媛新聞, 11/10)
  • 文科省　“やらせ”関与認める (日テレ NEWS24, 11/11)
  • 履修漏れ、やらせ質問……　文科省、責任逃れに躍起 (asahi.com, 11/11)
  • やらせ質問 文科省室長が承認 局長が認める　大臣と事前打ち合わせ (しんぶん赤旗, 11/11)

• 》 FreeBSD Security Event Auditing (securityfocus.com)。 FreeBSD 6.2 で使える Security Event Auditing の話。

• 》 米中間選挙　両陣営が迷惑メール合戦　セキュリティー会社が批判 (毎日, 11/10)。うわ、USA では spam 選挙運動は合法なのか。 Politicans add to the spam problem in run-up to US elections (Sophos, 11/9)

• 》 Windows Defender 日本語版 (Microsoft)、正式版が出たそうです。 「ダウンロード版の Windows Defender に関しての問い合わせができる、無料のサポート インシデント 2 回分が付いてい」るそうです。

• 》 無償のスパイウェア対策だけで本当に安心なのか (ZDNet, 11/9)。「有償のスパイウェア対策だけで本当に安心なのか」 とか、「有償と無償のスパイウェア対策ソフトをインストールしたが、これで本当に安心なのか」とかいう記事も書かれるべきだよね。

• 》 JNSAセキュリティ製品バイヤーズガイド というサイトができたそうです。

• 》 Firefox 1.5のサポートは4月24日まで (ITmedia, 11/10)

• 》 米軍機に放射性物質／劣化ウランなど多数 (沖縄タイムス, 11/8)。バランスウエイトの話。 民間航空機ではタングステンへの交換が進んでいるようですが、軍用機ではまだまだなんですかね。まぁ、砲弾にまで使う国だから、バランスウエイトぐらいはぜんぜん無問題なんだろうなあ。 coyote さん情報ありがとうございます。 関連:

  • 使用の許可を要する数量の核燃料物質の保有について (文科省, 4/25)
  • 日本航空インターナショナル　貨物機の劣化ウラン製部品交換漏れ (EIC, 6/15)
  • JACIS 提供危険物情報コーナー (航空危険物安全輸送協会)。 「NO.2000-4：大韓航空　B-747　Freighter搭載の劣化ウランについて」 (2000.01.15) のところ。
  • 航空機の劣化（減損）ウラン (チラシの裏の幻視録, 4/26)
  • 放射性物質及び放射線の関係する事故・トラブルについて (原子力安全委員会 / 原子力公開資料センター, 2002.04)。

    昭和60年8月12日の日航機墜落に際しては92個の輸送物として、トリチウム、炭素一14、リンー32、ガリウムー67、モリブデンー99、ヨウ素一131などの放射性同位元素製品と放射性医薬品が積載されていたが、合計6GBqの大半(全体として64.8%)が回収された。また同機のバランスウエイトに使われていた約248kgの劣化ウランのうち約80kgが回収された。未回収の放射性物質による放射線の環境への影響はないことが確認されている。そのほかの核燃料物質の紛失・盗難の例はない。

• 》 オーストラリアの干ばつ、過去1000年で最悪になる可能性＝政府当局者 (ロイター) (infoseek, 11/7)。coyote さん情報ありがとうございます。

  干ばつは既に５年以上続いており、オーストラリアの農地の半分以上に被害が出ている。

• 》 文科相に自殺予告「高校二年の女です」 (ニッカンスポーツ, 11/10)

  しかし、２通目の手紙が届いても「該当なし」ばかりの１通目の調査と同じ対応を繰り返すだけで、突っ込んだ調査は行われていないのが現状だ。

• 》 やらせ質問：政府の説明は前提が崩れた　伊吹文科相 (毎日, 11/10)

• 》 DirectX 関連の修正プログラムを適用するためのガイド (updatecorp.co.jp, 11/10)

• 》 SSH本を持ってセキュメモBoFに行くと… (オライリー, 11/10)。サンプルページも公開されています。 付録 G は JPCERT/CC の小宮山さんによる寄稿です。

• 》 Mac OS Xをセキュアにする「SEDarwin」のソースコードが公開 (MYCOM ジャーナル, 11/10)

• 》 DNSサーバへの攻撃を退けるPHREL (Open Tech Press, 11/10)。レートだけを見ているようなので注意。

• 》 高橋哲哉氏意見陳述(教基特名古屋地方公聴会) (保坂展人のどこどこ日記, 11/9)

  安倍首相は、「戦後体制（レジーム）からの脱却」という政権課題の柱の一つとして教育基本法改正を掲げ、「占領時代の残滓を払拭することが必要です。占領時代につくられた教育基本法、憲法をつくりかえていくこと、それは精神的にも占領を終わらせることになる」（『自由新報』０５年１月４・１１日号）などと主張しています。しかし、教育基本法があたかも占領軍の押し付けによって生まれたかのようなこの議論は、根拠のない偏見にすぎません。
  (中略)
  南原繁は、東京帝国大学の最後の総長、新制東京大学の初代の総長であり、当時貴族院議員を兼務し、「教育刷新委員会」委員長として教育基本法案作定の中心人物でありました。南原はこの文章で、教育基本法が「アメリカの強要によってつくられたものであるという臆説」が流布されており、「一部の人たちの間には、日本が独立した今日、われわれの手によって自主的に再改革をなすべきであるという意見となって現われている」が、これは「著しく真実を誤ったか、あるいは強いて偽った論議といわなければならない」と断じています。南原によれば、教育刷新委員会の六年間、「一回も総司令部から指令や強制を受けたことはなかった」のであり、教育基本法もこの委員会で当時の日本の指導的知識人たちが徹底した議論を行なってつくりあげられたものなのです。

• 》 カーネル研究者謹製のマルウェア監視ユーティリティ、MSがリリース (ITmedia, 11/9)。 Process Monitor (Microsoft) の話なのだけど、紹介の仕方が偏ってる。対象がマルウェアである必要は全くないし。

• 》 blog と CM

  • ウォルマートのFlog(やらせブログ)問題 (slashdot.jp, 11/9)
  • NHKに取り上げられた 女子大生のブログ炎上 (JCAST, 11/7)
  • 「口コミマーケティング」でぐぐる、 「クチコミマーケティング」でぐぐる。
  • それっぽいところの例
    • アメーバメディア クチコミ・ブログ広告掲載について (ameblo.jp)
    • ブログ広告ならBloMotion！！SEO対策にも - BloMotionの特徴 (blomotion.jp)
    • クチコミマーケティング (CyberBred)
  • 口コミマーケティング関連の本を2冊 (小林Scrap Book Heartlogic, 2005.01.16)。本来は、ここにあるような「地道にファンをつくる」のがクチコミマーケティングの基本だと思うのですが、世の中的には「てっとり早くヤラセまがいでファンをでっちあげる」方向に進んでいるんですかね。
  • アメリカの口コミマーケティングは恐ろしすぎるｗｗｗ (貧乏だけど心は萌え, 2005.12.24)

• 》 時代はバイナリ？低レイヤー・プログラミングの楽しさ (日経 IT Pro, 11/10)

• 》 マイクロソフトがVista/Office 2007の完成を焦った理由 (日経 IT Pro, 11/10)。SA! SA!

• 》 「著作権保護期間の延長、議論を尽くせ」 -- クリエイターや弁護士が団体発足 (ITmedia, 11/8)

• 》 中国政府、「インターネットの敵」認定に反論 (ITmedia, 11/9)。 国境なき記者団、“インターネットの敵”を発表 (ITmedia, 11/8) への反応らしい。ま、中国だし。

• 》 国産唯一の次世代国際標準暗号「Camellia」を オープンソースコミュニティOpenSSL Projectが採用 (NTT, 11/8)。OpenSSL 0.9.8c 以降に Camellia が含まれているそうで。 ただし、デフォルトではコンパイルされない。openssl-0.9.8c の Configure を見てみると、

  my %disabled = ( # "what"         => "comment"
                   "camellia"       => "default",
                   "gmp"            => "default",
                   "mdc2"           => "default",
                   "rc5"            => "default",
                   "shared"         => "default",
                   "zlib"           => "default",
                   "zlib-dynamic"   => "default"
                 );
  

  　./Configure enable-camellia とかする必要があるのかな。

• 》 PacSec.JP (日本のセキュリティチームの Blog, 11/9)。 http://pacsec.jp/ をみると、こんなのが:

  プレゼンテーションリスト
  (中略)
  MSKKのセキュリティ基本 - TBA, Microsoft

• 》 データベース・セキュリティで業界団体がガイドライン公開 (日経 IT Pro, 11/8)

• 》 ソフトバンク孫社長、「分割払い完済端末のSIMロック解除を検討する」 (日経 IT Pro, 11/8)。 「SIM Lockを解除した携帯電話が出回ったりしたら、オレオレ詐欺が増えるじゃないか」 と言われたりしないことを祈ります。

  SIMロックが解除されると、こうしたインセンティブを前提にした事業モデルが根本から覆る可能性がある。特にNTTドコモは、最大手で携帯電話の販売台数が多いことに加え、ソフトバンクモバイルと同じW-CDMA方式を採用しているため、仮にソフトバンクモバイルがSIMロック解除に踏み切れば、その影響を最も強く受ける可能性が高い。

  　業界がもうちょっとおもしろくなる?

• 》 DNSRBL 話

  • spamhaus.orgをはじめとするIPアドレスベースのブラックリスト(RBL)を使ってはいけない (Web屋のネタ帳, 11/6)
  • いい加減なDNSBL (I, newbie, 9/14)

    しょせんDNSBLとなんとかは使いよう、なわけなんですが、なんで/24でlistしたりするのかを書いてみようと思う。

  • すべてのメッセージは受け取るべき論 (I, newbie, 11/6)
  • 出したメールが相手に届かない!? メールの不達問題とスパム対策の関係 (Internet Watch, 11/9)

• 》 いじめ：生徒の被害画像がネットに　札幌の高校に抗議殺到 (毎日, 11/9)

• 》 米国防長官を更迭　大統領は敗北宣言　米中間選挙 (asahi.com, 11/9)。ラムズフェルドさんさようなら。 米国防長官更迭：新任のゲーツ氏はこんな人 (毎日, 11/9)

  　関連: 米下院議長：ペロシ女史はブッシュ大統領の「天敵」 (毎日, 11/9)

  ぺロシ氏は選挙戦で民主党が多数派になった場合、０７年１月の連邦議会開会後「１００時間」で最低賃金の値上げや米同時多発テロ報告書の完全実施、大手石油業界への税制優遇措置の撤回などに関する法案を通過させると公約。

• 》 NHK放送命令　電監審が「適当」と答申 (毎日, 11/8)。NHK も、テキトーにやっとけばー?

• 》 アドウェア大手の Zango、FTC との和解に応じる (internet.com, 11/6)。coyote さん情報ありがとうございます。

• 》 最適化ウイルスパターンファイルリリースのお知らせ (トレンドマイクロ)

  ■リリース開始予定日時
  2006/11/15　13:00頃
  (中略)
  *2 VSAPI 7.51以前の検索エンジンでは、最適化ウイルスパターンファイルを認識できず、ウイルス検索が不可能になります。(小島注: VSAPI 8.000以上への) 早急なアップデートをお願いいたします。

• 》 IIS/6.0の"DisableServerHeader"は期待通りに動かない (Eiji James Yoshidaの記録, 11/8)。 IIS 6 のサーバー バナーの削除 (Microsoft) を見ると DisableServerHeader が掲載されていますが、 オリジナル英語版である Removing the Server Banner in IIS 6 (Microsoft) を見ると、DisableServerHeader は掲載されていません。

  Having said that, you can use URLScan to remove the banner with the RemoveServerHeader setting in the URLScan.ini file (for both IIS 5 and IIS 6).

  　というわけで、DisableServerHeader が効かないのは仕様なんじゃないかしら。 関連:

  • IISのレスポンスヘッダ情報の一部を編集 (コンピュータ系blog, 6/6)
  • microsoft.public.dotnet.framework.aspnet - IIS caching output of pages (pcreview.co.uk, 2004.11.03)。DisableServerHeader = 1 だと UriEnableCache = 0 に設定しても効かない、という話。 2004.11.03 の話なので、 Windows Server 2003 SP1 でもこうなるのかは不明。

• 》 Liイオン2次電池を使うUPS，180分以上のバックアップ時間も可能に (日経 Tech On, 11/7)。利点を引用:

  • 鉛蓄電池を利用する既存のUPSに比べて，体積は約66%に，質量は約60%〜75%に
  • 鉛蓄電池を使わないため，電池セルを含めたUPS製品全体を欧州の有害物質規制「RoHS指令」に対応できた
  • 鉛蓄電池では5年に1回のメンテナンスが必要だったが，8年に1回で済む

  　一方で、リチウムイオン電池はそもそも燃えるものなわけですが (♪も、え、あ、が、れ〜)、「とにかく安全対策に時間をかけた」のだそうです。 また、

  価格は，DL9126-1200JWが35万円，DL9127-1500JWが45万円である。

  と、かなりお高い製品なので、「どうしても」という場合でないと導入しにくそう。

  　関連: 業界初、リチウムイオン電池搭載小型UPS『DL9126-1200JW、DL9126-1500JW』を出荷開始 (デンセイ・ラムダ, 11/7)

• 》 ウイルスバスター2007 - 15.x: Windowsのログオフに長い時間がかかる (トレンドマイクロ, 11/8)。Windows のせいだそうです。

• 》 Windowsにおけるバッファオーバーフロー(1) (ITセキュリティのアライ出し, 11/8)。 このところ web アプリの欠陥報告が爆発的に増えてますから、他のものは相対的には減ってますよね。 いまどき「web アプリで buffer overflow」はあり得ませんから……。

• 》 経済産業省 パブコメ 情報セキュリティ政策に係る基本的・優先的な課題等 (まるちゃんの情報セキュリティ気まぐれ日記, 11/9)。 課題を示せばいいのかな。

• 》 AMERICA VOTE 2006 (CNN)。予想されていたとは言うものの、豪快な結果ですね。

• 》 竜巻犠牲者、６０ｍ飛ばされる　国内最強クラスの風速 (asahi.com, 11/7)。記録的な規模だったようです。

  • 北海道佐呂間町における竜巻による被害状況等について（第2報) (平成18年11月8日13時30分現在) (内閣府防災担当 災害緊急情報)
  • 竜巻 (ウィキペディア)。藤田スケールの解説とかあります。

• 》 「核保有」議論すらダメは行き過ぎ…首相、党首討論で (読売, 11/8)

• 》 迷惑メール送信犯は“億”の利益を得ていた (日経 BP, 11/6)

• 》 Wizard Bible vol.29 (2006,11,7) (wizardbible.org)。興味深い内容がたくさん。

  　英訳は何人かの女性が交代で行っている。イヤホンなので翻訳者の女性がマイクに向かって話す声が耳元で聞こえる。luminさんが「キンタマウイルスが…」と言ったところで筆者は「キンタマはどう訳すのだろう？」とドキドキワクワクしていたのだが、あっけなく「Antinny」と訳しており、心の中で「そう来たか」と激しくツッコミを入れてしまった。事前打ち合わせ恐るべし。

  　興味深いってそこかよ! > 俺

• 》 東証、売買システムの注文処理能力を1日当たり1400万件に増強 (日経 IT Pro, 11/6)

• 》 日本版SOX法「実施基準案」がついに登場、IT統制に関して例示 (日経 IT Pro, 11/6)

• 》 山谷剛史のマンスリー・チャイナネット事件簿 2006年10月 (Internet Watch, 11/8)

• 》 「サブマリン」内閣が浮上したとき日本に何が起きる (日経 BP, 11/6)

• 》 Power Mac G5 の電源ユニットの問題に関するリペアエクステンションプログラム (Apple)

• 》 Trend Micro Control Manager - 3.x: 問題発生時の調査に必要な情報一覧 (トレンドマイクロ)

• 》 思い込みで評価していませんか？ (日経 IT Pro, 11/7)

  　ただし，同じ月刊アスキーの別の記事で，携帯電話のSIMカードロックを解除して販売していた業者が不起訴になったことを報道したのは評価できる。大手マスコミは「SIMロック解除は違法行為である」と思い込んで報道したので，「不起訴」の記事は書きにくかったのだろうか。それとも他に理由があったのだろうか（参照：「JASJAR黒色革命録」）。

  　おー、そうだったんだ。さっそく「詳細報告」(JASJAR黒色革命録, 9/14) を読んでみると、

  陸さんを取り調べた担当刑事は、陸さんにこう語ったそうです。

  「おまえは自分がなぜ捕まったか分かっているか？ SIM Lockを解除した携帯電話が出回ったりしたら、オレオレ詐欺が増えるじゃないか」

  えー…笑わないでください。これ、大まじめに言ったそうです。

  私は警視庁組織犯罪対策一課の知識水準の低さに、笑いを通り越して、寒気がしました。SIM Lockを解除した電話は所有者が分からなくなって犯罪に利用される、といいたいらしいです。つまり、SIMとはなんだか、全く分かっていないのです。SIM Freeだろうが、SIM Lockedだろうが、携帯端末そのものに名前でも書いていなければ、所有者を特定する決め手にはなりません。しかし、電話番号はSIMカードに登録されており、これは身分を明らかにした上での契約を伴います。端末と回線はもともと独立しているのです。ですから、SIM Lockを解除するかどうかと、所有者を偽装した携帯電話を使った犯罪には、なんの関係もありません。

• 》 DNS ソフトウェアアップデート情報 (JPRS, 11/7)。BIND 9.2.6-P2 / 9.3.2-P2 が出ています。

• 》 Improving SSL: Extended Validation (EV) SSL Certificates Coming in January (IEBlog, 11/7)。Extended Validation (EV) SSL Certificates とは何なのか、がさっぱりわからない文章ですが、Comodo EV SSL Certificates (enterprisessl.com) によると、

  Q: Terms like "High Assurance", "Extended Validation", "Domain only", "Low Assurance" and "Enhanced Validation" are all being used in describing different types of SSL certificates. What's the difference between these SSL certificates?

  A: The main difference between all these certificates is the level of identity verification as follows:

  • "Domain only" certificates, also known as "low assurance" certificates, only verify domain ownership. These are certificates most often sold by GeoTrust and GoDaddy. Unfortunately, these certificates provide virtually no identity assurance whatsoever since domain purchasing requires no identity verification.
  • "High Assurance" certificates refer to certificates that include identity validation from a Certification Authority using currently established and accepted vetting processes. These SSL certificates are seen as significantly superior to domain only SSL certificates because users can trust that an objective third party - a certification authority, has verified the identity of the website.
  • "Extended Validation" (EV) SSL certificates are the newest option for eMerchants as these SSL certificates require the most stringent verification processes as outlined in the guidelines developed by CA/B Forum. The advantage of these the next generation high assurance SSL certificates is that these certificates work with the new security browsers to include a new visual indicator that confirm the site's identity.

  　これらが区別されて扱われるようになるということかしら?

• 》 ソフォス、最新の「スパム送信国ワースト12」を発表 (Sophos, 11/6)。金メダルおめでとう! > USA

  その他の大きな動きとしては、中国からの送信比率の大幅減少があげられます。中国は第２四半期にはスパム全体の20.0％と４分の１に迫る勢いでしたが、第３四半期には13.4%と、７%近く比率を下げました。

  　へぇ〜。

  　関連: Stats > October 2006 (phishtank.com)。こちらは phishing サイトに限った統計。韓国が 14% ですか……。

• 》 New! Sysinternals TechCenter (Sysinternals Site Discussion, 11/6)。いろいろ更新されてます。

• 》 「mixiの裏技」でパニック　バグ悪用でデマ出回る (ITmedia, 11/6)。へぇ〜。

• 》 北海道で竜巻、９人死亡　１人心肺停止 (中国新聞, 11/7)、 竜巻：北海道佐呂間町で発生　死者９人負傷者多数 (毎日, 11/7)。今後は、こういう強力な竜巻がもっと増えるのでしょうね。 ……と、昨晩再放送していた「気候大異変 第１回　異常気象　地球シミュレータの警告」(NHK スペシャル) を思い出しながら思ったり。

  　今晩は、「第２回　環境の崩壊が止まらない」の再放送があります。

• 》 治安は回復？悪化？　犯罪白書と学者が論争 (asahi.com, 11/7)

• 》 「やらせ」タウンミーティング、内閣府が依頼認め陳謝 (読売, 11/7)、 内閣府「やらせ質問経過メモ」(資料) (保坂展人のどこどこ日記, 11/7)

• 》 核論議飛び火に自民執行部ぴりぴり　公明は不快感あらわ (asahi.com, 11/7)。 自民党、暴走中。

• 》 受験科目 (高卒認定(新大検)受験情報センター)。国語、地理歴史、公民、数学、理科、外国語……。あれぇ? 「情報」がありませんよ?! 大検にすれば、「情報」はいらないんだ! グレイト!!

• 》 航空チケットサイトにセキュリティーホールを見つけた人物がFBIから強制捜査 (slashdot.jp, 11/6)

• 》 新手の催眠商法「磁気」入り、実は炭入りだった (JANJAN, 11/7)

• 》 「人は見た目が９割」というウソ (JANJAN, 11/7)

• 》 イラク：治安を悪化させる『死の部隊 - death squads』 (JANJAN, 11/6)

• 》 実用SSH 第2版 — セキュアシェル徹底活用ガイド ですが、オライリーから買う場合は

  • 2 冊以上だと送料無料
  • 自己申請でオライリー特製コーヒーマグカップ プレゼント

  だそうです。あと、InternetWeek 2006 のオライリー販売ブースで買った方がおトク感は高いかもだそうです。

• 》 開発者のための正しいCSRF対策 (jumperz.net) が version 2.2 になっています。 Forging HTTP request headers with Flash や Rapid7 Advisory R7-0026: HTTP Header Injection Vulnerabilities in the Flash Player Plugin にあわせて、「リファラーはCSRF対策では使用するべきでない」とされています。

• 》 「ファイル感染型ウイルスが“復活”」---Symantecのディレクタ (日経 IT Pro, 11/6)

  ウイルスのサイズが小さいことも発覚しにくい理由の一つとして挙げる。感染しても，元のファイルのサイズは大きくは変化しない。というのも，最近のファイル感染型の多くは「別のマルウエアをダウンロードして実行するだけの『ダウンローダ』」（Hogan氏）であるためだ。「以前のウイルスとは異なり，ウイルス自体は直接悪さをしない」（同氏）。実際の攻撃は，ダウンロードされる別のマルウエアが“担当”する。それらはインターネット上のサイトに置かれ，頻繁に“バージョンアップ”されているという。

  　やっぱり file integrity checker は重要、ということで。

• 》 網びっしりクラゲの“壁”　大襲来に苦悩の漁師 (報道ステーション, 10/31)。北朝鮮よりエチゼンクラゲの方がよっぽど脅威なんだよな……。このままだと日本の沿岸漁業は壊滅するよ。

  　そういえば、機密文書が明かす真実“日本核武装”極秘研究 (報道ステーション, 10/20) というのもありましたね。

• 》 質問誘導を許してならぬ／タウンミーティング (東奥日報, 11/5)

  　ところが、PTA会長は急用などでタウンミーティングに参加しなかった。想定質問、質問誘導は結局、幻に終わった。

  　実は他の PTA がやらせ質問を実施していた、と、昨日の報道ステーションがスクープしてましたね。

• 》 原材料に卵表示せず　山崎製パン、３万８千パック回収 (asahi.com, 11/7)、 お詫びと回収のお知らせ (山崎製パン, 11/7)。「ランチパックフロマージュクリーム（カルシウム入り）」だそうです。新製品なのか、 ランチパック のページには載ってないなあ。 イトーヨーカ堂 直江津店とエルマール専門店: 2006.11 の 11/4 のトコに写真があります。

• 》 ServerProtect for Linux 2.5: MIRACLE LINUX V4.0(Asianux 2.0) 対応のお知らせ (トレンドマイクロ)

• 》 いじめ自殺：文科相あてに予告手紙届く　小中学生の男子か (毎日, 11/7)。この手紙自体の信憑性を疑問視する向きもあるようだが、俺的にはリアルなものに見える (信憑性が低いので無視できるもの、には見えない)。今後、模倣者が何人も出そうな気はするが。

  　いじめ調査：やる方が「悪い」は半数以下　希薄な罪の意識 (毎日, 11/7)。要は、人間なんてバカばっかってことだ。 でも、そんなバカ共のために死ぬのはもったいないよ。

• 》 「セルシオ」ドア事故１８件、補助装置作動で指骨折も (読売, 11/7)。「イージークローザー」という装置は各社で採用されているようですが、トヨタのセルシオ (レクサス LS460) でだけ事故が多発している? それとも、他社は状況を把握できていないだけ?

  イージークローザーは車体とドアの間がわずか数ミリの所で作動するものだけに、指が挟まれるような事故はもともと想定されておらず、安全装置が付いていない。

  　それって、シュレッダー事故と同根なんじゃないの? 子供を全く想定できていないという……

• 》 シ社エレベーターのトラブル続く…死亡事故の港区住宅 (読売, 11/7)。Benjamin さん情報ありがとうございます。

  事故機の隣のエレベーターが今月２〜５日の４日間に、段差のある状態のまま扉が開くなど１１件のトラブルを起こしていたことがわかった。 (中略) 同社はトラブルの都度、点検をしたが、原因が突き止められず、「運行に支障はない」と稼働を再開している。

  　「原因が突き止められず」って、それはいちばんマズいんじゃないのか……。

• 》 ClamAV 0.88.6 が出たそうです。

• 》 処分のメモ (極楽せきゅあ日記, 11/5)

• 》 XSSの実例 (webappsec.jp)。いろいろあるんですね。

• 》 sinFP-2.04 release (SANS ISC, 11/6)。OS fingerprinting tool だそうです。

• 》 実用SSH 第2版 — セキュアシェル徹底活用ガイド が 2006年11月22日に発売されるらしいのでバナーを貼ってみるテスト。

• 》 秘文シリーズ: マカフィー・ウイルススキャン プラス 2007をはじめとするマカフィー株式会社 セキュリティ製品をインストールすると，暗号ファイルが扱えなくなる (日立, 11/6)。マカフィーの 2007 シリーズでだめになる模様。

• 》 Poderosa 4.10 Beta1 が出ています。OpenSSH の Agent Forwarding に対応したそうです。

• 》 ＯＰ２５Ｂへの対応について... (almail.com, info from 葉っぱ日記)。SMTP 認証で、CLAM-MD5 の他に PLAIN と LOGIN に対応している、AL-Mail32 Version 1.13b というバージョンがある模様。 ただし AlMail は SSL には対応していないはずなので、PLAIN とか LOGIN を使う場合は wstone などを併用しましょう。

• 》 製品全面回収、企業に関門 (日経 BP, 11/6)

  　こんなケースもある。ジェットバスの部品を交換するノーリツ。8月に同社製ジェットバスの吸い込み口に子供の髪の毛が絡まる事故が起きた。
  　2000年に同様の事故が起き、子会社が交換を進めた際、実は今回事故に遭った家庭に担当者が訪れていたという。だが、「現場までは赴いたが、家の中には入れてもらえず、担当者の目で製品を確認できなかった」というのがノーリツ側の説明。「お客様に断られたら、無理に入るわけにはいかない」。ノーリツが販売した5万8785台のうち、交換終了か廃棄されたのは、5万2055台。だが「100％交換は現実的に無理」と担当者はため息をつく。

  　うぅむ……厳しい……

• 》 Trendmicroさんが前向きに対応 (まっちゃだいふくの日記, 11/6)。ほぉほぉ (声: クレヨンしんちゃん)。

• 》 イラク：石油利権をめぐる問題が表面化 (JANJAN, 11/5)

• 》 アジアのごみ問題を考える会議開催 (JANJAN, 11/5)

• 》 FBIの捜査でフィッシング容疑者逮捕 (ITmedia, 11/4)

• 》 アプリケーションコントロール機能 (Sophos)。Sophos AntiVirus 6 にはそういう機能があるそうで。

• 》 海賊版撲滅に本気か？中国政府、海賊版コンテンツなどにメス (CNET, 11/2)

• 》 院内感染対策キーボード、英国の病院で採用 (ITmedia, 11/4)

• 》 Microsoft、Vistaリテール版のライセンスを改訂 〜再インストールの制限を緩和 (PC Watch, 11/4)

• 》 MicrosoftとNovellが提携、LinuxとWindowsの相互運用性を実現へ (Enterprise Watch, 11/6)。Microsoft は SUSE Linux を OEM して XENIX 2007 として販売します……という話ではない模様。これも「敵にできないのなら味方にしてしまえ」という奴なのか、SCO の次は Novell ということなのか。 関連: What Microsoft + Novell Means Going Forward (betanews.com)。

• 》 OpenSSH LDAP Public key patch (opendarwin.org) というものがあるのですね。 ports/security/openssh-portable/Makefile によると、 High Performance Enabled SSH/SCP (psc.edu) の patch とはまぜられないそうです。

• 》 米イージス艦：横須賀基地２隻、「ミサイル防衛が任務」　軍の文書に記載　／神奈川 (毎日 / yahoo, 11/3)

  米海軍が横須賀基地に所属するイージス艦２隻の任務を「北朝鮮の弾道ミサイル攻撃を想定した米本土の限定防衛」と内部文書に記していることが、非営利組織（ＮＰＯ）「ピースデポ」（横浜市港北区）の調査で分かった。(中略) この２隻は「カーティス・ウィルバー」と「フィッツジェラルド」。 (中略) 梅林代表は横須賀基地所属の２艦の任務について「日本や極東地域の平和と安全のために基地使用を認めた日米安保条約の趣旨と異なる」と指摘した。

• 》 教育基本法改正　エリート校あえて反対: 評価で締め付け　委縮する教員 (東京新聞, 11/3)

• 》 依然として増殖するボットが引き起こす“インターネット犯罪”の驚くべき実態 (日経 BP, 11/2)。coyote さん情報ありがとうございます。

• 》 TidBITS#853/30-Oct-06 (tidbits.com)。 「Mac OS X のログインパスワードを理解する」という記事が出てます。

• 》 米国防総省　無人車ラリー、舞台は砂漠から都市へ (毎日, 11/2)。あのー、DARPA Urban Challenge の Final Event は、今年じゃなくて来年の 11/3 みたいなんですけど……。 Program Announcement & Application Process FAQ (October 2, 2006) (DARPA)

• 》 [AML 10227] ウラン原料の新爆弾、レバノン空爆でイスラエル使用か。

  同委員会関係者の初期報告は、劣化ウランの代わりに濃縮ウランを使った地中貫通型爆弾などの可能性を指摘している。

  　DU 方面では、[AML 10335] BBCニュース（11月1日）”無視された”劣化ウランのリスクという記事も。

• 》 4つめのヒレを持つイルカが発見される (slashdot.jp, 11/4)。セキュリティねたのようなので (^^) (見れない場合は#1052025 を参照)

• 》 欠陥バッテリーに要注意--欧米で相次ぐ携帯電話の事故 (CNET, 10/26)、リチウムイオン電池の基礎 (株式会社ベイサン)。coyote さん情報ありがとうございます。

• 》 日本の無買デー 2006/11/25 (土)。今年も Buy Nothing Day が近づいてまいりました。

• 》 いじめ自殺：１６件あった　文科省「ゼロ」発表の７年間に (毎日, 11/4)

• 》 クラスター爆弾：不発弾事故の死傷者、９８％が民間人 (毎日, 11/4)

• 》 ブッシュ米大統領：金総書記より危険、平和の脅威　英調査 (毎日, 11/4)

• 》 ソフトバンクの新¥0 TV CM、ようやく読める大きさになりましたね。表示時間内に読めるかどうかはともかく。

• 》 米空軍、ネットで戦う「サイバースペース司令部」設置へ (CNN, 11/4)

• 》 原環機構の高レベル放射性廃棄物処分地公募に関わって名前が上がった地域 (市民ネット・岐阜)。滋賀県余呉町だって?!

  • チラシ
  • 呼びかけ
  • 署名用紙
  • 余呉の明日を考える会

• 》 FIX: Error message when you configure Internet Explorer to use a .pac file and you try to access a Web site that requires Kerberos authentication: "HTTP Error 401" (Microsoft)。サポートから patch を入手できるそうです。

• 》 Support WebCast: IEEE 802.11 Wireless LAN Security with Microsoft Windows (Microsoft)

• 》 Error message when you view Web pages in Internet Explorer 7 that were created by using the Visio 2003 Save As Web feature: "Internet Explorer cannot open the Internet site" (Microsoft)。回避策あり。

• 》 Detailed information for developers who use the Windows Update offline scan file (Microsoft)

• 》 Windows 9x 系 OS に SDAT または XDAT を適用しようとすると「エラー: 正規の McAfee 製品が見つかりません」とメッセージが表示され、DAT, Engine が適用されません (マカフィー, 11/2)。5100 エンジンは対応してませんから。

• 》 百科事典「Wikipedia」を悪用，偽情報でウイルスをインストールさせる (日経 IT Pro, 11/4)

• 》 狙われる「10月公開のセキュリティ・ホール」，攻撃ツールの対象に (日経 IT Pro, 11/4)。 Webattacker というツールに MS06-057 攻略機能が追加されたらしいそうで。

  　関連: Bleeding: sigs/WEB/WEB_Webattacker_Kit (Bleeding Snort)

• 》 総務省の安全・信頼性作業班，ケイ・オプティコムやJ:COMなどが現状説明 (日経 IT Pro, 11/1)

• 》 IPA、運用職種を見直した「ITスキル標準」の改訂版を発表 (日経 IT Pro, 11/1)

• 》 「2次3次請けの管理までは難しい」---Winny/Share流出4回の中部電力 (日経 IT Pro, 11/1)

• 》 FIX: Internet Explorer 6 may unexpectedly close when you try to use digest proxy authentication to connect to secure (HTTPS) Web sites (Microsoft)。IE 7 では直っているそうです。サポートから patch を入手できます。

• 》 【防衛庁を省に】昇格させる防衛庁設置法の一部を改正する法案 (関組長の東京・永田町ロビー活動日記ｂｌｏｇ版, 11/2)

• 》 Mac OS Xに感染する新たなウイルス，Macユーザーもセキュリティ対策を (日経 IT Pro, 11/3)

• 》 海産物、４０年後になくなる？　国際研究チームが警鐘 (asahi.com, 11/3)

• 》 自民・中川政調会長、「核保有議論」発言を事実上修正 (asahi.com, 11/3)

  自民党の中川昭一政調会長は３日、佐賀市内で講演し、「私は核保有の議論をしろと言っているのではない」と述べた。そのうえで、北朝鮮が日本の原子力発電所を核ミサイルで攻撃する場合などを例示して「撃たれないようにするにはどうしたらいいのかという議論をなぜしないのか」と語り、核攻撃に対する防衛論の必要性を強調した。

  　そんな議論は MD 導入の前に済ませておくのが筋ってことになぜ気づかないのだろう。原発を攻撃するのに核弾頭である必要なんて全然ないし。時差ありすぎ。

• 》 内閣府主催、やらせミーティング。 やらせの内容がまた、今話題の教育基本法「改革」関連というすばらしさ。

  • 教育基本法見直し発言誘導 政府が「やらせ」 タウンミーティング青森県に依頼文書 内閣府認める 石井議員が追及 (しんぶん赤旗, 11/2)。当該 FAX 画像 (の一部) あり。
  • タウンミーティング 政府「やらせ」 野党、一致して追及 (しんぶん赤旗, 11/3)
  • やらせの「教育基本法改正賛成」の声を捏造した内閣府 (保坂展人のどこどこ日記, 11/2)

    私たちが留守をする合間をぬって、文部科学委員会で「いじめ」「未履修」集中質疑が8日に決まった。
    8日(火)は、未確定だが午前中の短い時間で教育基本法特別委員会が「いじめ」問題を中心に開催される見通し。今日の昼、野党4党で対策会議を行い「公聴会」は「もう一日日程を入れる」ことを確認した。従って、いよいよ危ないのは14日(火)ということになる。今朝のNHKニュースでも「教育基本法改正案は、遅くとも14日までの通過を目指している」と放送された。まさに、土俵際の闘いとなってきた。

  • 内閣府「やらせＦＡＸ」の全文を読む (保坂展人のどこどこ日記, 11/3)。全文あり。いやはや、実にチンカスな FAX ですな。

    官僚が作文を書いて、学校長がPTAの役員に依頼して、内閣府から発言内容と態度について指導がある。これって、全体主義国家とどう違うのか。

• 》 東大生にも蔓延！履修漏れ問題「ゆとり教育」が国を滅ぼす (立花隆の「メディア ソシオ-ポリティクス」, 11/1) (info from Okumura's Blog)

  　だが、この事件が明らかにしたことは、世界史を必修にしても、多くの高校生が、世界史の基礎知識を欠如させたまま、大学生になり、そのまま大学を卒業して社会に出てきてしまうという事実なのだ。
  　日本の平均的大学卒業生は、今後とも、グローバル・スタンダードからいって、世界の歴史を何も知らないレベルの非常識人だということなのだ。
  　問題は、それが世界史の領域だけで起きているのではないということである。

  　関連: 必修科目削減論にならなければいいが (Okumura's Blog, 11/2)

• 》 zen.spamhaus.org。 sbl-xbl.spamhaus.org にかわって zen.spamhaus.org がお役目を果たすそうです。 sbl-xbl.spamhaus.org を見ている場合は変更しませう。 たまちゃんさん情報ありがとうございます。

• 》 第１6回【情報セキュリティセミナー】 〜個人情報保護法対策、JIS改正プライバシーマークの推進〜 (INSI)。 プライバシーマーク話。 2006.11.21、東京都千代田区、無料。

• 》 PDF出力時の暗号化に対応した「OpenOffice.org」v2.0.4 日本語版が公開 (窓の杜, 11/2)

• 》 今夜分かるSQLインジェクション対策 (@IT, 11/2)

• 》 首相のバイオ燃料増産構想、経産相が「あれは過大」 (読売, 11/2)

• 》 スパイウェア検索パターンファイル 0.421.00 における誤警告情報 (トレンドマイクロ, 11/2)

• 》 内閣府主催、やらせミーティング

  • 内閣府が“やらせ質問”画策　タウンミーティングで依頼 (中日, 11/2)
  • タウンミーティング“やらせ”　野党が政府追及へ (読売, 11/2)

• 》 拉致問題の「命令放送」、通信・放送小委が事実上了承 (読売, 11/2)。みなさまの国営放送、NHK。

• 》 漢検2級の解答が試験日前日に「2ちゃんねる」へ流出 (Internet Watch, 11/2)

• 》 中国電力、データ改ざんで対応マニュアル　違法性認識か (asahi.com, 11/2)

• 》 ひかり電話のルーター１２万台に不具合　ＮＴＴ東西 (asahi.com, 11/2)、 ひかり電話対応ルータ「ＲＴ−２００ＫＩ」の不具合及び 今後の対応について (NTT 東日本, 11/2)。続きますね……。

• 》 延期されていたハッサン・バイエフ医師の訪日がついに実現するそうです (拍手)。 ハッサン・バイエフを呼ぶ会を参照。

  　ロシアで国際NGOの80％が活動停止に！ (バイナフ自由通信, 10/23)、 ヨーロッパ : ロシア連邦：新NGO法によりロシア・チェチェン友好協会に閉鎖命令 (アムネスティ, 10/25)。ロシアはほんとうにめちゃくちゃみたい。 明日の日本、という気もしますが。

• 》 WindowsでLinuxパーティションを読み書きするには（Ext2Fsd編） (@IT, 11/2)

• 》 シマンテック、金融機関向けのセキュリティ・サービスを発表 (日経 IT Pro, 11/1)。ファイナンスでキュアキュア。

• 》 中国のネット検閲問題と、ある日本企業の関係 (崎山伸夫のBlog, 11/2)

• 》 ソニー、終わらない電池回収 (日経 BP, 11/1)

  電池の素材を供給しているあるメーカーの技術者は「なぜ電池の内部で熱暴走が止まらなかったのか」と首をひねる。「内部の温度が180度を超えると危険度が高まるために、電池には120〜140度で温度の上昇を止めるための安全弁やセパレーターなど4重、5重の安全装置が組み込まれている。そのすべてが機能しない事態など通常ではあり得ない」という。

  　マーフィーの法則を知らないのか……。

  　関連: 「ブラックボックス」に閉じ込めるな (日経 Tech On, 11/1)

• 》 ソフトバンクは“モンゴル帝国軍”だ (日経 BP, 11/1)

• 》 [Clamav-announce] announcing ClamAV 0.90rc2。 0.90 ではいろいろと変化があるようで。

• 》 CORE FORCE R0.95 released! (Core Security Technologies, 10/18) だそうです。

• 》 ウイルス以外のなにか (Snow Flake, 11/1)。中川翔子以外の何かwithウイルス (Snow Flake, 10/15) のつづき。サムライワークスから「誤検知である」との正式回答があったそうです。いたちさん情報ありがとうございます。

• 》 都へのリベンジマッチ〜上野千鶴子氏、国分寺で講演 (JANJAN, 10/31)

• 》 住基ネット差し止め訴訟、苦しい横浜判決 (JANJAN, 11/1)

• 》 教育基本法は「家庭教育」も対象、隣組復活への道が仕込まれている (保坂展人のどこどこ日記, 10/31)。美しいウヨの国の実現を目指している人が首相なのですから、当然ですね……。

• 》 民主党／国会対策委員長　高木義明さんに渡したペーパー (関組長の東京・永田町ロビー活動日記ｂｌｏｇ版, 10/31)

• 》 損保「第三分野」不払い　６社で４３６５件１２億円 (フジサンケイ ビジネスi, 11/1)

• 》 「安全なウェブサイトの作り方　改訂第2版」の発行について (IPA ISEC, 11/1)。

• 》 公取、「0円」についてソフトバンクに説明求める (Internet Watch, 10/31)。紙媒体は小さい字を手元でゆっくり確認できるからまだしも、 TV CM だと「解像度が足りなくて読めない」「すぐ消えてしまうので読めない」という問題があるなあ。あれ、どのくらいの解像度 + 大きさがあれば読めるんだろう。 43 インチのプラズマ TV を買ったら「サムライ 7」のエンドロールがきっちり読めるようになってうれしがっていたのだが、¥0 CM には全く無力だったし。 あと、「21:00〜24:59」バージョンや「他社への通話」バージョンもつくってください > ソフトバンク。

  　関連:

  • 「０円」広告見直しへ　ソフトバンク、週内にも (秋田魁新報, 11/1)
  • ソフトバンク「０円」広告差し替え…公取指導 (zakzak, 11/1)
  • 日本民間放送連盟 放送基準 (北陸放送)。manapi さん情報ありがとうございます。 15 章から引用:

    (122) 視聴者に錯誤を起こさせるような表現をしてはならない。
    錯誤を起こさせるのは、意識的に錯誤を起こさせようとするものと、無意識のものの二つの場合がある。表現方法としては、直接的なものと暗示的なものがある。いずれの場合でも、視聴者の不利益になるおそれがある。特に注意しなければならないのは、視聴者の知識や経験の欠如を利用して錯覚を与えようとするものである。

    読めないほど小さな注意書きが書かれている ¥0 TV CM は、これに該当するんじゃないのかなあ。誰もなんとも思わなかったのだろうか。
  • 景品表示法 (公正取引委員会)

• 》 「番号持ち運び制度」スタートから１週間、本当にお得で便利なのは？ (読売, 11/1)

  ソフトバンクのゴールドプランに加入するには、 (中略) 「パケットし放題」（１０２９〜４４１０円）など３種類の有料契約も同時に加入しなければならず、最初の２〜４か月は無料だが、それを過ぎれば自動的に更新されて料金が発生する。無料期間でも解約することができるので、不利と判断すれば解約を忘れないようにすることだ。

  　あれ? それって最初から off にできるという話だったのでは? と思って、ソフトバンクの新料金プランは、“予想外”に複雑 (ITmedia, 10/27) を見直すと、

  ※編集部注……10月26日、ソフトバンクモバイル広報部は「パケットし放題／スーパー安心パック／スーパー便利パック契約は必ずしも必須というわけではない、契約時にオプションを付けないことも可能」とコメントしていましたが、翌27日に「ゴールドプラン契約時に、オプション契約も自動的にオンになる」とコメントを訂正しました。それを受けて、本記事も記事内容を加筆訂正しています。記事初出時と大きく内容が変わってしまったことをお詫びします。

  　うわ……。広報すら内容を正確に理解できていなかったとは……。 ひどいな。

• 》 食器洗い乾燥機で発火４件 　松下電器、台所類焼も (東京新聞, 10/31)。 ナショナル卓上型食器洗い乾燥機をご愛用の皆様へお詫びとお願い (松下電器産業, 10/31) の件。東京ガス、大阪ガスにも OEM していたようで:

  • 松下電器産業（株）製『卓上タイプ食器洗い乾燥機 MA-D543A』の 自主的な点検・部品交換作業の実施について (東京ガス, 10/31)
  • 「卓上型食器洗い乾燥機」の自主的な点検・部品交換作業の実施について （お詫びとお願い） (大阪ガス, 10/31)

• 》 ハーマンプロ社製の浴室暖房乾燥機、改修済みでも火災 (読売, 10/30)。 急告: ハーマンプロ製『浴室暖房乾燥機』をご使用のお客さまへお詫びとお願い (ハーマン, 10/30) の件。この機械、いろいろと問題があるようで、

  • 中継線の交換
  • １００Ｖ配線の保護作業
  • 電装基板の交換

  をやっていたのだけど、「電装基板の交換」が済んでいない機械から発火したそうです。これも OEM 多数のようで:

  • （株）ハーマンプロ製「浴室暖房乾燥機」のご使用に関するお願い ならびに点検・部品交換作業について (東京ガス, 10/30)
  • 「浴室暖房乾燥機」の自主的な点検・部品交換作業について （再度のお詫びとお願い） (大阪ガス, 10/30)
  • 再度のお詫びとお願い　天井カセット形浴室暖房乾燥機をご使用のお客様へ (ノーリツ, 10/30)

• 》 China: We don't censor the Internet. Really (news.com, 10/31)。ギャグ?

• 》 Hacker hits Pennsylvania water system (UPI, 10/31)。ペンシルベニア州ハリスバーグの浄水場が攻撃された模様。 くのいちさん情報ありがとうございます。

  FBI Special Agent Jerri Williams told ABC News the apparent motive in the Columbus Day attack wasn't to disrupt the plant's operation, but rather to use its computer to covertly distribute mass e-mails or pirated software.

  　現象的には spam 発射台等としてフツーに悪用されただけのようです。

  The hacker originally gained access by tapping into an employee's laptop, officials said. Since the intrusion, the plant has changed all passwords to the system and eliminated home access to the system, ABC said.

  　モバイル PC 経由で侵入、ですか……。

• 》 シマンテック、日本の ISP 向けに脅威やスパムに対抗するメールセキュリティソリューションを発表 (シマンテック, 10/31)

  Symantec Mail Security 8100 Series および Symantec Brightmail AntiSpam を組み合わせた ISP 向けのソリューションを発表しました。

  　8100 + 8200 ではなく 8100 + Brightmail なのはなぜなのか、を明確にしてほしいなあ。 そもそも、シマンテックには Brightmail の日本語ページがないみたいだし……。 なお、日本での Brightmail の利用実績としては、たとえば ニフティ や NTTPC (WebARENA Suite2) があるようです。

• 》 米ハイテク企業を揺るがすストックオプション不正問題 (Enterprise Watch, 10/30)

• 》 「Windows Liveは、ソフトウェア＋サービスこそが本質」マイクロソフト浅川氏 (Enterprise Watch, 11/1)

  実際にはOS上、あるいはOfficeなどのアプリ上での作業と、Webブラウザ上の作業は別のレイヤーで、まだまだシームレスではないわけです。つまり、OSとWebブラウザ、そしてその上のWebの世界を区切りのないものに変えることができるのはわれわれだけのように思います。

  　区切りがあった方がいいと思うんだけどなぁ……。

• 》 総務省、「ネットワークの中立性に関する懇談会」を開催 (Internet Watch, 10/31)

• 》 OpenBSD 4.0 が出たそうです。

• 》 アクセス保護の「ファイル、共有、フォルダの保護」の「ブロックするファイルとフォルダ」ブロック対象に指定できる文字、ワイルドカード、環境変数について (マカフィー)。VSE8 話。

• 》 ウイルスバスター2006 + IE 7 ねた

  • ウイルスバスター2006 - 14.x: IE 7: URLフィルタ機能では日本語ドメインをサポートしていません (トレンドマイクロ, 10/31)。VB2007 なら ok なんだろうか。
  • ウイルスバスター2006 - 14.x: IE 7: タブの操作とInternet Explorer7が終了してしまう現象について (トレンドマイクロ, 10/31)。IE 7 に対応してないみたい。

• 》 東京国際セキュリティ・カンファレンス 2006 。2006.11.29〜30、東京都千代田区、無料。 席は 300 しかないようだ。 「RFIDタグもウイルスに感染する可能性あり」，オランダの研究者が警告の中の人も来るみたい。

• 》 ソフトバンク、“パンク”の深層 (日経 BP, 10/31)

  筆者自身はまったく別のことを心配した。ソフトバンクモバイルの情報システム担当者の疲労である。彼ら彼女らは今、障害対策に追われ、新サービスに関わるシステム修整に追われている。しかも孫社長はまだまだ新サービスを出そうとするから、またまたシステム担当者に負荷がかかる。今のところは、番号ポータビリティーをそつなくこなしているNTTドコモやKDDIの担当者も大変だったはずだ。今後、携帯電話の競争がさらに激化すると、ドコモやKDDIのシステム担当者にも、新たなシステム修整の仕事が振ってくる。