Last modified: Thu Mar 31 12:14:55 2011 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 SANS パブコメ Consensus Audit Guidelines (参考になるわ) (まるちゃんの情報セキュリティ気まぐれ日記, 3/2)。 Consensus Audit Guidelines: Twenty Most Important Controls and Metrics for Effective Cyber Defense and Continuous FISMA Compliance (SANS) の件。現在 Draft 1.0。
》 第5回CTF勉強会(CODEGATE参戦)のお知らせ (てっしーの丸出し, 2/25)。3/6 だそうで。
》 OSSEC v2.0 released (ossec.net, 2/27)
》 分割されたWebページを1つにつなげる「AutoPager」拡張 (sourceforge.jp, 2/27)。なんだか危険な香りがするなあ。
》 Linux FoundationのZemlin氏、Microsoft対TomTomの特許訴訟にコメント (sourceforge.jp, 3/2)
》 学費安い大学に? (Okumura's Blog, 2/26)。国公立大と私立大の差って、昔ほどにはないと思うんですけどねえ。奨学金制度もいろいろあるので、そのあたりまで含めて考えてほしいと私立の中の人達は思っているんじゃないかしら。龍大の場合はこんな感じ。
最近はUSB(USBメモリの意)というのが目につく。先日も某所で「ウィルス対策が施されたUSB」または「書き換えを防止するためのスイッチがついているUSB」を使えというお触れ書きを目にした。
英語圏では USB flash drive とか USB stick / USB memory stick と言うようですね。日本ではなぜか「USB メモリー」という言葉が普及してしまいましたが、それに輪をかけて変な言葉づかいがなされつつある模様です。
まぁ、世の中には shell script のことを「シェル」と呼ぶ人もいるしなあ。スキル判定に使えて便利、という見方もあるけれど。
》 【番外編】家庭でのコンテンツ・フィルタリング,ベストな解は? (日経 IT Pro, 3/2)。 インターネット悪質サイトブロックサービス for BBルータ (ネットスター) の件。NEC とコレガでしか使えないのかな。
》 「YouTube」経由でウイルスに感染させる新手口、「吹き出し」を悪用 (日経 IT Pro, 2/27)
》 実は多発しているインターネット・インフラを狙う攻撃 (日経 IT Pro, 3/2)。実は DNS 話だけ。
》 東大病院:PCウイルス感染で診療業務に遅れ (毎日, 2/27)
同病院によると、外来診療開始の午前8時半から、診療室にあるパソコンから検査室に対し、血液やレントゲンなどの発注ができなくなった。(中略) 同病院が調べたところ、病院内の1000台を超えるパソコンと、パソコンをつなぐサーバー4台からコンピューターウイルスが見つかったという。同日午後1時ごろ復旧した。
5 時間で 1000 台復旧ですか。それほど悪性というわけではなかったのかな。 関連: コンピュータウィルスによるシステム障害について (東京大学医学部付属病院, 2/27)
》 JASRACの包括契約は独禁法違反、公正取引委員会が排除措置命令 (Internet Watch, 2/27)。おめでとうございます。 関連:
公正取引委員会に対する審判請求について (JASRAC, 2/27)。争う姿勢を表明。
公取委、JASRACに排除措置命令 放送使用契約問題 (asahi.com, 2/27)
【速報】JASRAC、公取委の排除命令に「承伏できない」〜審判請求へ 「事実認定・法令適用の両面で誤った命令で、とうてい承伏できない」 (Internet Watch, 2/27)
時代が変わったのだ、ということに JASRAC は気づくべき。
》 Flashのセキュリティ設定 - Flash Cookie (yohgaki's blog, 2/8)
》 P2Pトラフィック調査:P2Pファイル共有トラフィックは減少するもBitTorrentトラフィックは依然成長 (P2Pとかその辺のお話, 2/23)
》 Running Windows Malware in Linux (McAfee blog, 2/23)。Ubuntu 8.04 + WINE 1.0 で Windows 用のマルウェアを動かしてみるテスト。ファイル感染型、autorun 型、IRC トロイ、キーロガー、にせアンチウイルス。
》 Error Check System (Facebook) 方面
Don't Seach for "Error Check System" (F-Secure blog, 2/23)
Error Check System, Kenny Glenn, and Parking Tickets (F-Secure blog, 2/24)
Facebook狙った不正アプリが流通 (ITmedia, 2/25)
いろいろ考えるなあ。
》 LPI、「LPICレベル3」にSecurity専門試験を追加 (sourceforge.jp, 2/23)
第5回■注目される文字コードのセキュリティ問題 文字コードに関する注意点(1) (日経 IT Pro, 2/17)
第6回■異なる文字集合への変換がぜい弱性につながる 文字コードに関する注意点(2) (日経 IT Pro, 2/24)
》 Java SE 6 Update Release Notes (Sun)。Java SE 6 Update 12 が登場しています。Java SE 6 Update 11 以降のセキュリティ修正はありません。やまぴ〜さん情報ありがとうございます。
》 U2、リーク対策もむなしく最新アルバムをリークされる (P2Pとかその辺のお話, 2/23)
》 New Tool: VMMap v1.0 | Mark speaking at Microsoft TechEd 2009 (sysinternals, 2/23)
》 読売新聞は越前谷知子記者中川前大臣酒席同伴問題で検証委員会を立ち上げないのか? (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊), 2/24)。中川(前)大臣ヘロヘロ会見方面。
》 着々と導入される「ダウンロード税」、音楽や映画などのコンテンツに一律課税 (gigazine, 2/24)
》 Fast Flux Report: Situation Normal, All Fluxed Up (ESET Threat Blog, 2/19)。Public Comment: Initial Report on Fast Flux Hosting (ICANN, 1/26) の件。SAC 025: SSAC Advisory on Fast Flux Hosting and DNS (ICANN) という文書もあるそうで。
》 NTLDR is missing. は意外にも… (パソコントラブル出張修理・サポート日記, 2/23)。意外にもそのまんまだった、という話。
パスワードをけられたら…ご愁傷様です…。
そういうときは Ophcrack ですかねえ。管理権限のない機械で実行しちゃだめよ。
「戦後最大の不況とヘベレケ大臣」と「かんぽの宿会見資料」 (保坂展人のどこどこ日記, 2/16)
明日、予算委員会で「かんぽの宿」問題の質問へ (保坂展人のどこどこ日記, 2/19)
かんぽの宿疑惑とは何か〔その1〕 (保坂展人のどこどこ日記, 2/20)
かんぽの宿疑惑とは何か〔その2〕 (保坂展人のどこどこ日記, 2/22)
偽装入札と説明回避を問う (2月20日予算委員会仮会議録) (保坂展人のどこどこ日記, 2/24)
○鳩山国務大臣
(中略)
それから、いずれ、来週ぐらいになったら原本をお示しできるかと思いますが、日本郵政とオリックスが契約したものが、これはとんでもない話が書いてあるんですね、契約書。
つまり、私は、だから事業譲渡というものは一体何なのか、いまだによくわからない。説明を聞くと、事業譲渡というのは、入れ札があるようなものじゃなくて、価格を含めていろいろな条件を相談しながら、提案も受けながら、絞り込んでいって、絞り込んだところにだけ細かい情報を与えて、また相談をして、最後に決めた後もまた相談すると。それで、最後に決めた後相談したのは、早い話が、結論から申し上げれば、事業の発展的かつ継続的な運営に資さないとオリックス不動産が判断した場合は、個別資産の譲渡、閉鎖はできると書いてある。今までのものと全然違うでしょう。
それから、SPC、得意ですよね、最近いろいろと出てきますが。SPCに売り払うことは日本郵政の許可なくできると書いてある。今までのものと全然違う。この二つがわかりました。
マンション分譲に乗り出す「JP不動産」の行方 (保坂展人のどこどこ日記, 2/25)
「かんぽの宿や社宅の叩き売り」と「駅前巨大開発事業」の落差 (保坂展人のどこどこ日記, 2/26)
》 「派遣切り」の悪循環を止めよ(『日経ビジネス』政策道場) (保坂展人のどこどこ日記, 2/4)
》 第10回ばりかた勉強会のお知らせ。 2009.03.07、福岡県福岡市、500円。花田さん情報ありがとうございます。
》 UK Justice Minister Jack Straw's Account Used for 419 Scam (trendmicro blog, 2/26)。英国ジャック・ストロー司法相の Hotmail アカウントが crack され、そのアカウントから 419 詐欺メールが送信されたそうで。 関連: 「ナイジェリアで財布なくしたから送金して」、英司法相をかたった振り込め詐欺 (AFPBB, 2/26)
》 ファイル共有ソフト利用の巡査長 減給処分 (産経 MSN, 2/10)。Share。
巡査長は18年3月以降、3回実施された点検に、「使っていません」とうその報告書を提出していた。
》 中国の疑惑の死亡事件、怒れるネットユーザーが自治体サイトをハッキング (ITmedia, 2/26)
》 詐欺サイトの7割強が攻撃されたコンピュータに存在 (ITmedia, 2/27)
》 【国際水素・燃料電池展】 今春から発売される家庭用給湯/発電装置「エネファーム」が勢揃い (家電 Watch, 2/26)
》 個人情報の取り扱いをめぐる法律問題[4]個人情報取扱事業者の損害 (日経 IT Pro, 2/26)
》 悪名高い米軍グァンタナモ基地秘密収容所の真実の姿に迫る写真集 (gigazine, 2/25)
》 インターネット治安情勢 (@police)。2009.01 と 2008 年年報が出ています。
》 SDL Threat Modeling Tool 3.1.4 ships! (Microsoft "The Security Development Lifecycle" blog, 2/24)
》 Vistaでも欲しい,Windows 7相当のUAC設定スライドバー UACの変更内容を検証 (日経 IT Pro, 2/16)
筆者が調べた範囲では「ローカルセキュリティポリシー」で設定を変更しても,Windows 7のデフォルトである,セキュリティが2番目に高い『Notify me only when programs try to make changes to my computer』と全く同じ設定にすることはできませんでした。
(中略)
Windows 7の4段階のレベルを選択できるUACのスライドバーは,機能的には十分とは言い切れないものの,少なくともWindows VistaのUACのネガティブな点を緩和します。本当にWindows Vistaを勧めるのであれば,Windows 7の改良点を先取りできる情報やUACの利用を快適にする設定ツールを公開してほしいと思います。
》 企業の機密狙う標的型攻撃が急増中 (日経 IT Pro, 2/18)
》 米政府主導のセキュリティ監査ガイドライン「CAG」ドラフト版が公開 (日経 IT Pro, 2/24)
》 アドバンスデザイン、ピン打ちこみ式のHDDデータ破壊機を3月発売 (日経 IT Pro, 2/24)
》 全化学物質を監視対象に法改正か ? (slashdot.jp, 2/25)。EU の REACH 規則的なものらしい。
日米REACH法の動向 (J-Net21, 2/27)
化審法を日本版REACH法ということが多いようですが、REACH規則との整合をとりつつもTSCAの仕組みに類似している部分があります。分類と表示の国際標準であるGHSも新CLP規則、化審法、化管法、中国GHS、韓国GHSや台湾GHSなどでコアは同じながら国状で違っています。グローバルな活動をしている企業は、REACH規則、TSCA、化審法などの法規制や各国のGHS制度の共通点と差異を見極め、自社の基準で統合管理システムを作ることが課題となっています。
ここが知りたい REACH 規則 (J-Net21)
REACH(欧州化学品規制)について (経産省)。文中の「本年」は 2008 年のこと。
REACH規則への対応 〜対応は、特定企業だけではなくサプライチェーンでも必要〜 (みずほ情報総研, 2008.08.05)
》 ハッシュアルゴリズムの次世代標準候補の中にセキュリティ関係のコーディングの不備 (日経 IT Pro, 2/25)。Fortify しただけで発見。
》 またも破られたマイクロソフトの画像認証、Live IDを不正取得される ボットを使って認証破りからID取得までを自動化、成功率は20% (日経 IT Pro, 2/17)
》 退職した従業員の59%がデータの不正持ち出しに関与 元の会社のコンピュータにアクセスできた人も24%に上る (ComputerWorld.jp, 2/24)。US の話。
》 FSF、ソフトウェア特許反対プロジェクトに新たな投資 (sourceforge.jp, 2/25)
》 ニュースサイト「eWEEK」に悪質広告、脆弱性を突いてウイルスに感染 (日経 IT Pro, 2/25)
》 IIJがメール・ゲートウエイ・サービスを強化,DKIMの送信に対応 (日経 IT Pro, 2/25)
》 セキュリティ ニュースレター 2月号 (日本のセキュリティチーム, 2/25)
「6月から医薬品がネットで買えなくなる?」 〜ケンコーコム後藤社長に聞く、医薬品ネット販売規制問題(前編) (Internet Watch, 2/25)
「6月から医薬品がネットで買えなくなる?」 〜ケンコーコム後藤社長に聞く、医薬品ネット販売規制問題(後編) (Internet Watch, 2/26)
今回とくに問題とされているのが、国民にとって大切な問題であるにも関わらず、法改正作業の段階ではなく、その後の省令において、禁止事項が盛り込まれたという経緯だ。パブリックコメントも97%が反対であるのに、パブリックコメントを募集した厚生労働省がこれだけ多くの反対意見を押し切って規制強化の省令を出しているというのは理解しにくい。
ネット上での医薬品販売禁止は偏見が原因の1つ? (slashdot.jp, 2/26)
三木谷社長が激怒「なぜ医薬品ネット販売の議論避けるのか」 厚労省検討会 (マイコミジャーナル, 2/25)
「医薬品のネット販売規制、憲法違反の可能性も」業界団体側が説明会 (Internet Watch, 2/24)
IPv6移行と普及促進で具体策を検討、総務省が研究会を設置 (Internet Watch, 2/24)
「企業は今日からIPv6対応を検討すべき」NTT Com副社長が講演 (Internet Watch, 2/26)
》 Xbox Live Losers Resort to Hacking (trendmicro blog, 2/25)。著名ゲーマーに対する DoS 攻撃が行われている模様。
》 Windows 7 security software providers (Microsoft)。現在 4 つの名前 (AVG, Kaspersky, Norton, McAfee) が載ってますが、 Panda も ok だそうです。
》 japlog.jp と livedoor.jp がヤラレた話
Malware and the rising sun website (finjan blog, 2/24)。japlog.jp
Cyber Sino-Japanese War? (finjan blog, 2/26)。livedoor.jp
》 愛知のウズラ農場で鳥インフル、国内初の「H7亜型」 (読売, 2/27)。H7、ついに日本上陸。豊橋ですか。
ウイルスは国内初検出となる「H7亜型」だという。この農場では1羽も死んでおらず、同省は弱毒性の可能性が高いとみている。
(中略)
豊橋養鶉(ようじゅん)農業協同組合のホームページによると、愛知県のウズラ卵の生産は全国シェアの約70%を占める。豊橋市内には19軒の養鶉農家があり、298万羽を飼育している。
愛知のウズラ農家で鳥インフルエンザ 高病原性と確認 (asahi.com, 2/27) には地図が出ているなあ。
農水省などは家畜伝染病予防法の防疫指針に基づき、半径10キロ圏内の養鶏場や養鶉場(ようじゅんじょう)を対象に、鳥や卵、飼料の移動を制限する。10キロ圏内には鶏やウズラの家畜農家が65戸あり、約400万羽を飼っている。卵などが市場に流通する心配はないが、移動制限が長期化すれば、ウズラの卵の供給に影響が出る可能性もある。
風評被害が心配だなあ。「風評被害が心配」 愛知で鳥インフル、業者に不安広がる (中日, 2/27) なんて記事も。
愛知・豊橋で鳥インフルエンザ H7型、中部で初確認 (東京新聞, 2/27)
愛知県は27日、同県豊橋市南大清水町のウズラ飼育場の2羽から高病原性鳥インフルエンザのH7亜型ウイルスが検出されたと発表した。
南大清水町ですか。マスゴミでたいへんだろうなあ。
》 レンタルサーバー「エクスビット」の顧客情報がWinnyで流出 (Internet Watch, 2/25)
》 テレビ番組のネット配信容易に、著作権法改正案を提出へ (Internet Watch, 2/25)
》 情報セキュリティ分野における日・ASEANの連携枠組みの合意について (NISC, 2/25)
》 重要通信の高度化の在り方に関する研究会 (総務省) なんてのがあって、2008 年に報告書が出ていたんですね。 でも、議論中の資料の方がおもしろいなあ。
》 国家レベルで情報インフラの安全性強化目指す団体、産官で発足 (日経 IT Pro, 2/26)。重要インフラ連絡協議会 (CEPTOAR-Council) (仮称) が、「セプターカウンシル」として発足だそうで。まんまじゃん……。
》 ヤフー、デパートや駅の地下街情報を表示する「地下街マップ」 (Internet Watch, 2/26)。関連: 梅田地下オデッセイ (堀晃のSF−HomePage)
Google に同化されれば、「梅田地下オデッセイ」や「太陽風交点」も容易に入手できるようになるのかな。
》 Gmail大規模障害の原因は欧州データセンターのメンテナンス失敗 (Internet Watch, 2/26)。他のデータセンターも連鎖的にダウンですか。
JVN#66905322: Apache Tomcat における情報漏えいの脆弱性 (JVN, 2009.02.26)。Apache Tomcat 4.1.35 以降 / 5.5.21 以降で修正されている。また Tomcat 6.x にはこの欠陥はない。CVE-2008-4308
JVNDB-2009-000013: PEAK XOOPS 製 piCal におけるクロスサイトスクリプティングの脆弱性 (JVN, 2009.02.25)。piCal 0.92 以降で修正されている。
APSB09-02: Updates available for RoboHelp and RoboHelp Server Cross-Site Scripting issues (Adobe, 2009.02.24)。 CVE-2009-0523 CVE-2009-0524。patch が用意されている。
JVNVU#435052: 透過型プロキシサーバが HTTP の Host ヘッダに依存して接続を行う問題 (JVN, 2009.02.24)。 Vulnerability Note VU#435052: Intercepting proxy servers may incorrectly rely on HTTP headers to make connections (US-CERT, 2009.02.23) に対応した文書。 Vuln. になっているのは……あっ、squid が。でもバージョンとかわからないな。
PHP:既知のセキュリティ脆弱性 - Session Adoption (yohgaki's blog, 2009.01.27)、 Session Adoptionが攻撃に有用な実例 (yohgaki's blog, 2009.01.29)、 Strict Sessionパッチ - PHP 5.2.8 (yohgaki's blog, 2009.02.07)
In Session Phishing (yohgaki's blog, 2009.01.28)
RoboHelp 話日本語版: APSB09-02: RoboHelpおよびRoboHelp Serverのクロスサイトスクリプティング問題に対処するためのアップデート公開 (Adobe)
JVNVU#435052: 透過型プロキシサーバが HTTP の Host ヘッダに依存して接続を行う問題 (JVN, 2009.02.24) の件、BlueCoat の Proxy SG も該当。 Advisory が出た: ProxySG in transparent deployments intercepting HTTP/HTTPS traffic (bluecoat, 2009.04.02)
JVNVU#435052: 透過型プロキシサーバが HTTP の Host ヘッダに依存して接続を行う問題 (JVN, 2009.02.24) の件、IIJ の SEIL シリーズも該当。 詳細は、透過型HTTPプロキシサーバにおけるハンドオフ機能の脆弱性 (SEIL.jp, 2009.04.09) を参照。
Winamp 5.541 以前の件 CVE-2009-0263 ですが、Winamp 5.55 で修正された模様です (リリースノート)。フロートさん情報ありがとうございます。
Winamp 5.55
(中略)
* Fixed: [libsndfile] AIFF buffer overflow vulnerabilty (thanks milw0rm/secunia)
》 ようやく他のブラウザに追いついたSafari 4のセキュリティ (日経 IT Pro, 2/26)。「マルウェアブロッカー,フィッシングフィルタ,EV(Extended Validation)証明書のサポート」だそうで。
》 金融危機でセキュリティ予算も削減——真っ先に削られるのは人件費 (ComputerWorld.jp, 2/26)
》 Active DirectoryとLinuxの認証を統合しよう 第3回 SUAのNIS機能による認証統合[2] (技評, 2/23)。信頼の証、もとのぶ先生印。
》 ベリサイン、2年以内に全トップレベル・ドメインでDNSSEC導入へ 「com」や「net」など“巨大ドメイン”のセキュリティ強化を図る (ComputerWorld.jp, 2/25)。来ましたね。
》 グーグル、Gmailの障害について謝罪 (ComputerWorld.jp, 2/25)。関連:
Google Trends Abused to Serve Malware (McAfee blog, 2/25)
日本語版: 「Google Trends」の急上昇ワードをマルウエア配布に悪用 (日経 IT Pro, 3/25)
Gmail Downtime Exposes Ad-Rigged Site (trendmicro blog, 2/25)
Gmail障害に便乗の悪質サイト、「gmail down」で検索するとトップに (日経 IT Pro, 2/26)
敵の動きがものすごく速くなってるなあ。
》 クラスター廃棄、矛を収める (佐藤正久, 2/25)
》 局地的大雨から身を守るために —防災気象情報の活用の手引き— (気象庁, 2/19)
》 ソマリア沖海賊対策、なぜ海自派遣か? (共同記者会見の勧め!) (佐藤正久, 2/26)。佐藤正久ホームページ、RSS 方面が修正されたようでなにより。
先ずは、海賊について説明すべきである。
(中略)
更に、「何故、海上保安庁でなく海上自衛隊なのか?」についてはしっかりと説明すべきである。
反対意見の中には、「海上保安庁を派遣すべきである」、「始めから海自派遣ありきではないのか?」等もあると思われる。
一般に、自国のシーレーン(海上交通路)の安全確保は海軍の任務であり、そのため、各国は海軍をソマリア沖に派遣しているが、日本の場合、何故、海上保安庁ではダメなのか、もっと丁寧に国民に説明しなければいけない。
その為には、官房長官や防衛大臣が単独で記者会見するのではなく、官房長官、国土交通大臣、海上保安庁長官、防衛大臣が共同で会見するのも効果的であろう。
関連:
海賊問題の現状と我が国の取組 (外務省, 2008.12)
我が国は、東南アジアの海賊対策として、アジア海賊対策地域協力協定(ReCAAP)の作成を主導し、積極的に貢献をするとともに、
アフリカ方面での同様の取組もはじまってますね。まだまだこれから先が長そうですが。
国際海事機関(IMO)主催のソマリア周辺海域海賊対策地域会合(ジブチ会合)について(結果) (外務省, 1/30)
「西インド洋及びアデン湾地域における海賊及び武装強盗の抑止に関する行動指針」及び関係決議が採択されました(今次会合においては、参加した周辺諸国の約半数が署名。)。域外国である日本は、米、英等とともにオブザーバーとして出席しました。
行動指針等は、署名国による海賊防止のための協力、海賊情報共有のためのセンター(イエメン、ケニア、タンザニア)及び訓練センター(ジブチ)を設置すること等を規定しております。
『保安官』育成 海保が協力 ソマリア沖海賊対策訓練所 (東京新聞, 2/21)
ソマリア沖海賊対策 周辺国 軍の関与懸念 (東京新聞, 2/21)
地元の警察力の強化も必要でしょうし。関連: 政府、海賊対策で巡視船供与へ イエメンの要請で調整始める
海賊対策新法関連
海賊船体へ射撃容認 ソマリア沖派遣、外国船も保護対象 (中日, 2/20)
海賊新法案 接近船への攻撃容認 与党PT 任務遂行目的を追加 (東京新聞, 2/26)
武器使用の基準拡大 海賊新法案 派遣ありき、監視必要 (東京新聞, 2/26)
いまの身代金相場は…海賊対策ビジネス、英国で大はやり (読売, 2/24)。
国際海事局(IMB)の調べでは、2008年には世界で293件の海賊による襲撃・未遂事件があり、うち92件はソマリア沖アデン湾に集中した。欧米諸国などが護衛のため艦艇などを派遣し、商船が船団を組んで航行するようになってからは、被害は減少傾向にあるものの、航行速度が遅いなどの理由から船団に加われない船もある。
ディクソン氏によれば、「こういった船を同時に3隻、襲撃し、SOSを受けた護衛艦が1隻の救出に向かっている間にほかの船を奪取して逃げるのが、海賊の最新の手口」だ。
飽和攻撃ですな……。
株式会社アイモス。 「日本初の改正SOLAS条約による海上テロ対応 海事保安コンサルタント」だそうです。
ソマリア沖の各国艦艇 HP拝見 海賊制圧場面など PR怠りなく (朝雲ニュース, 2/19)
海賊、遠い世界の話でない… 名港ポートビルで特別展 (中日, 2/14)。3/31 まで。
》 「制御システムベンダーセキュリティ情報共有タスクフォース」発足のお知らせ (JPCERT/CC REPORT, 2/25)
》 自動販売機の設置に係る公募について (警察庁, 2/26)。警察庁一番町庁舎・中野第 1 庁舎に自販機を設置したい人はぜひどうぞ。
》 不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況(平成20年) (警察庁, 2/26)
》 平成20年中のサイバー犯罪の検挙状況等について (警察庁, 2/26)
》 仲野博子議員 (ウィキペディア) の公式サイト http://www.h-nakano.net/ が、ドメイン失効のためアレなことになっている模様。匿名希望さん情報ありがとうございます。
関連: 仲野ひろ子のブログ
JavaScript を無効にしても、完全には防げないようですよ奥さん!
Adobe Acrobat pdf 0-day exploit, No JavaScript needed! (SANS ISC, 2009.02.25)
Adobe Reader/Acrobat 0-day Clarification (secunia blog, 2009.02.24)
Preview/Iphone/Linux pdf issues (SANS ISC, 2009.02.25)。Mac OS X の Preview / Finder や iPhone はどうなっておるのか話。
関連:
More information about the new Excel vulnerability (Microsoft Security Research & Defense, 2009.02.24)
Another Exploit, This Time On MS Excel (trendmicro blog, 2009.02.25)
New Excel Trojan Hits the Net (McAfee blog, 2008.02.24)
EEYEZD-20090224: Excel Invalid Object (eEye, 2009.02.24)
Detection Added For The New 0-day In Excel (Microsoft Malware Protection Center, 2009.02.25)。既知の攻略 Excel ファイルの SHA1 ハッシュあり。
46181cf01e08b1760cecac95bbd486dd3b808988
6605bf6aee31f0cb2370d684aa32e5a588d4aaf4
675b12b1e50c9463576061cf5181a3f58dc30e59
7fe5481b1edc4df99488f5cc0f65f70fa35978d6
968ad6a8259ddf5f9705fef2ba2eaa3b63b1626f
Microsoft Excelの新しい脆弱性(CVE-2009-0238)を悪用する「TROJ_MDROPPER.XR」の脅威 (トレンドマイクロ セキュリティ blog, 2009.02.26)
我々は Google。お前たちを同化する。お前たちの生物的特性と科学技術は我々と同化する。抵抗は無意味だ。 (We are the Google. You will be assimilated. Your biological and technological distinctiveness will be added to our own. Resistance is futile.)
米国の権利者への大きな配慮として、刊行中・市販中の書籍は当然にはこの「表示使用」に含まれず、権利者の通知で追加できるとされている。(中略) 問題はこの「刊行中・市販中」の意味で、米国内で通常の流通経路で販売されているかが基準となり、一次的にはGoogleがそれを判断する。本稿執筆時点では日本の書籍はかなりの有名作品でも「絶版」とみなされているようであり、これらの書籍はデフォルトで「表示使用」に含まれる。
君の教科書も Google 化!
各権利者の和解脱退や和解条件への異議の期限は5月5日「こどもの日」。関係者に残された時間はあと3か月である。
♪タイムリミットは近〜い〜。関連:
破壊せよ、とグーグルは言った (栗原潔のテクノロジー時評Ver2, 2009.02.25)。 既得権益反応あり! 破壊! 破壊!!
Google と全米作家組合・出版社協会との和解が各国著作権者をも巻き込む (slashdot.jp, 2009.02.26)。Google 空間に引きずり込め! 「Google 空間では、Google は 3 倍のパワーを発揮することができるのだ」
Flash Player 10.0.12.36 以前に 5 つの欠陥。
buffer overflow が発生するため、攻略 SWF によって任意のコードを実行できる。CVE-2009-0520、Adobe Flash Player Invalid Object Reference Vulnerability (iDefense)
入力値の検証不全によって DoS 攻撃を受ける。CVE-2009-0519。任意のコードの実行も可能かもしれない。
潜在的な Clickjacking 欠陥の修正のため、 Flash Player Settings Manager が改訂された。CVE-2009-0114。 Flash Player Settings Manager はローカルアプリだが、adobe.com web ページに表示される、特殊なコントロールパネル。
Windows 上でのみ発現する、Clickjacking の一因となるマウスに関する欠陥の修正。 CVE-2009-0522
Linux 上でのみ発現する、権限上昇によって情報漏洩を招く欠陥の修正。 CVE-2009-0521
Flash Player 10.0.22.87 / 9.0.159.0 および AIR 1.5.1 で修正されている。 Flash CS4 Professional については専用の Flash Player が存在するので注意。また Flash CS3 Professional と Flex 3 には Debug 版の Flash Player を適用する。 入手先については Advisory を参照。
なお、Flash Player の古い版がインストールされている状態で最新版をインストールすると、旧版 (10.0.12.36 以前) がそのまま残ってしまうことがある。これを防ぐには、あらかじめアンインストールしておき、その後最新版をインストールする。 アンインストール手順については How to uninstall the Adobe Flash Player plug-in and ActiveX control (Adobe) を参照。Windows な人には Flash Player のアンインストール手順(Windows) の方がいいか。
関連:
Adobe Flash Vulnerability (F-Secure blog, 2009.02.25)。C:\WINDOWS\system32\Macromed\Flash に存在していいのはこの 8 つのファイルだけ、という主張。
Adobe Flash Player の脆弱性に関する注意喚起 (JPCERT/CC, 2009.02.25)
Flash Playerに危険な脆弱性、動画ファイルを開くだけで被害の恐れ (日経 IT Pro, 2009.02.25)
日本語版: APSB09-01: Flash Playerのセキュリティ脆弱性に対処するためのアップデート公開 (Adobe)
》 「電子政府推奨暗号」は2つで十分?,シンポジウムで専門家が討論 (日経 IT Pro, 2/19)。CRYPTREC シンポジウム 2009 話。 わかってくださいよ。
マイクロソフト セキュリティ アドバイザリ (967940) Windows Autorun (自動実行) 用の更新プログラム (Microsoft, 2009.02.25)。 NoDriveTypeAutoRun が効かない不具合の修正プログラムが、ようやく Windows Update から提供されるようになりました。
出ました:
マイクロソフト セキュリティ アドバイザリ (968272) Microsoft Office Excel の脆弱性により、リモートでコードが実行される (Microsoft, 2009.02.25)。高橋さん情報ありがとうございます。
対象: Excel 2000 / 2002 (XP) / 2003 / 2007、Excel Viewer、Excel Viewer 2003、Office 2004 / 2008 for Mac、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック。どちらも正しかったようですね。CVE-2009-0238
自動再生 (Autorun) & Excel 0-day (日本のセキュリティチーム, 2009.02.25)
Excel 2007 で、Excel 2003以前のファイル形式 (*.xls等) を開く際に、この脆弱性が悪用される可能性がありますので、以前から提供している MOICE とファイル ブロッカー等を使用する事で今回の脆弱性が悪用される可能性を回避する事ができます。
逆に言うと、Excel 2007 形式のファイルのみを扱う限りにおいては、この欠陥は影響しないというわけですね。MOICE についてはこのあたりを参照:
「Downadup」ワームのUPnPを使った攻撃 (日経 IT Pro, 2/24)
Confickerワームの改良版が登場——現行の対策が無力化するおそれも (ComputerWorld.jp, 2/23)
Windowsの脆弱性悪用ウイルスに亜種、「自動更新機能」を備える (日経 IT Pro, 2/24)
Downadup - Advanced Crypto Protection (Symantec, 2/23)
》 削除したファイルを強力な各種機能で復元できるフリーソフト「Pandora Recovery」 (gigazine, 2/24)、 Pandora Recovery (窓の杜)
》 個人情報の取り扱いをめぐる法律問題[3]使用者責任と漏洩させた従業員の責任 (日経 IT Pro, 2/18)
》 VirusScan Enterprise 8.7iのインストール中に「エラー 1920 」が表示され、McShieldサービスの開始に失敗する (マカフィー, 2/24)
この問題はプライマリディスクがベーシックディスクではなく、ダイナミックディスクで構成されている場合にインストーラがディスク情報を誤って認識してしまうために発生します。
VSE 8.7i のインストールはいろいろ不具合があるなぁ。patch 1 はまだかのう。
この問題は2009年3〜4月にリリース予定のVirusScan Enterprise 8.7i のPatch 1にて解決する予定です。Patch1が利用可能になった際、この記事を更新する予定です。
》 蒸発した高レベル核廃液の放射能いまだ行方知れず (JANJAN, 2/24)
》 携帯電話等からの緊急通報における位置情報通知システムの運用について (警察庁, 2/19 更新)
》 キルギスタンの米軍基地閉鎖とアフガン支援 (佐藤正久, 2/23)
これら動きを見透かしたように、ロシアがロシア経由の支援を提唱している。ロシア指導部は、「米国のアフガニスタンにおける成果は、ロシアの利益である。それゆえ、アフガニスタンで戦っている部隊への非軍事的な補給は、将来ロシアを通る鉄道で行うことを提案したい。」としている。(まさに、天然ガスのウクライナや欧州向けの供給ストップの事案に見られるように、ガスのパイプラインが鉄道に変わっただけの兵站的戦略であるように見える)
》 派遣補給艦の海賊対策活用に懸念あり (佐藤正久, 2/24)。しごくまっとうな意見。
繰り返すが、海賊対策派遣護衛艦は、ジブチ等の港での補給を基本とすべきであって、海自補給艦からの給油は、緊急時等例外的なものとして対応すべきである。
作戦の原則である「簡明」、「目的」双方の観点からも、さらには隊員の負担、経費面でも補給支援特措法で派遣している補給艦から、海賊対策での派遣護衛艦への給油は懸念が残る。
》 「医薬品新販売制度の円滑施行に関する検討会」第1回会合開催
「伝統薬文化守って」漢方などの全国協 通販規制省令撤回訴える (日経, 2/23)
薬のネット販売めぐり厚労省検討会が初会合 「なんでネットだけいじめるのか」と三木谷社長 (産経 MSN, 2/24)
薬ネット販売は是か非か…検討会で三木谷氏「結論ありきでは」 (読売, 2/24)
》 08年広告費、5年ぶり前年割れ ネット広告は16%増 (ITmedia, 2/23)。元ねた (電通, 2/23)。
中でも新聞は最も減少幅が大きく、同12.5%減だった。地方紙より全国紙・スポーツ紙が低調だった。
》 トレンドマイクロ、情報セキュリティ意識調査結果を発表 新社会人と社会人の情報セキュリティの意識・スキルの違いが明らかに 〜学生から社会人になるタイミングが鍵〜 (トレンドマイクロ, 2/23)。正直に、「学生だめすぎ」と言おうよ。
社会人は「十分な対策をしているが、場合によってはトラブルを引き起こす可能性がある」が最も多く45.4%(新社会人は29.0%)
「トラブルを引き起こす可能性がある」のなら、それは「十分な対策」ではない。
新社会人を文系(165名)と理系(145名)で比較したところ、「セキュリティソフトのパターンファイルを常に最新な状態にする」という項目に対して「非常に気を配っている」と回答した文系の学部/学科を専攻している新社会人は19.4%に対し、理系は38.0%でした。
理系といっても、たとえば情報系と化学系ではスキルの方向が全く異なるのだから、「理系か否か」というレベルで比較してもなぁ……。
》 UU最多の新聞社サイトは「毎日.jp」 5割が「Yahoo!ニュース」経由 (ITmedia, 2/24)。UU = Unique User。QQ の親戚かと思ったが、そうではなかった。
》 家電製品ミニレビュー 岩谷マテリアル「lessev モバイルステーション」 (家電 Watch, 2/23)。これはいいかも。
》 東京ガス、家庭用燃料電池システムの小型化・コストダウン技術を開発 〜製造コスト1/2、容積も2/3に (家電 Watch, 2/23)
》 非公認互換機メーカーに小さな勝利? Mac互換機訴訟 (Enterprise Watch, 2/23)。主張:
Psystar「Apple の EULA による制限は『著作権乱用』にあたる」
HyperMegaNet UG (ドイツ)「Apple の EULA は、欧州の法律では無効である」
》 米Citrixが「XenServer」を無料化、高度管理パッケージ「Essentials」も発表 (Enterprise Watch, 2/24)。3/31 までに開始。
》 違法着うた配信で罰金500万円、「第3世界」運営者に判決 (Internet Watch, 2/23)
》 第2のモバゲーを潰す?——フィルタリング光と闇 (ascii.jp, 2/23)
》 「間違いだらけのケータイ議論」千葉大の藤川准教授が指摘 (Internet Watch, 2/23)。興味深い。
ケータイによる子どもへの問題点を解決するには、事業者による抜本的な青少年対策が欠かせないとする藤川氏は、携帯電話事業者が「フェールセーフ」という発想で事業を進めるべきだと主張。利用者に誤操作があっても安全が確保される仕組みという「フェールセーフ」を実現するには、携帯電話の契約にクレジットカード並みの基準を設けるべきと訴えた。
「他の商品では事故が起こったら、製造・販売業者の責任が厳しく問われるが、ケータイで事件が起こっても、マスメディアは携帯電話会社の責任を議論しない。ケータイは1カ月に数十万円の債務が発生しうるサービスで、そもそも未成年に無条件に利用させるべきものではない。契約は保護者名義で、子どもが使う場合にはクレジットカードの家族会員に準じたかたちで厳しい制限を設けるのは当然。ケータイ事業者は『ビジネスモデルが大変』と言われるかもしれないが、子どもからお金を取る事業にはそれなりのモラルも必要だ。」
また、携帯電話事業者が早急に検討すべきという取り組みとして、利用者の年齢に応じて利用できる機能の範囲が自動的に変わる「標準未成年プラン」を設けることを提案。携帯電話事業者は、保護者から申し出がない限りは、このプランでの契約をさせるべきとした。「現在の料金プランはわかりにくすぎる。時間制限、Webやメールの制限を、年齢に応じてやや厳しめに設定した上で、よく理解している人には緩くすればよい。今はよくわからないという人にも制約がないが、果たしてそれでよいのか」。
》 「mixiって何ですか?」大分県の現役高校生が語るケータイ事情 (Internet Watch, 2/23)。まぁそんなもんだろうなあ。
「Macは安全」はもう通用しない〜ノートンMac版開発責任者が指摘 (Internet Watch, 2/24)
画像で見る「ノートン・インターネットセキュリティ Mac版」 (Internet Watch, 2/24)
Windows 版並みの価格なら納得するんだけど、そうじゃないんだよねぇ……。
IE8 Security Part VIII: SmartScreen Filter Release Candidate Update (IEBlog, 2/9)。Beta 2 からの改善点の解説。
Suggested Sites & Privacy (IEBlog, 2/5)
Birth of a Security Feature: ClickJacking Defense (IEBlog, 2/2)
XSS Filter Improvements in IE8 RC1 の日本語訳 (葉っぱ日記, 2/2)
Progress on Anti-Malware Testing Standards Organization (AMTSO) (Panda Research blog, 2/9)
Onward AMTSO (ESET Threat Blog, 2/6)
》 菜の花畑の笑顔と銃弾 (NHK スペシャル, 2/23 放送)。アフガン方面。見逃した orz。再放送があるからいいけど。
》 「個人情報保護」のため卒業式の写真・ビデオ撮影を禁止? (slashdot.jp, 2/17)。個人情報保護法における「個人情報」とは何か、をいまだに理解していない事例。
》 DAT5529の差分更新障害について (マカフィー, 2/20 更新)。VSE 8.0i は、本来なら既に EOL になっているはずの製品だからなあ。
》 質問:ネットショップのシステムをマーケティング同好会で作ったけど、公開するにあたって注意すべきことは? (wakatonoの戯れメモ, 2/24)。 欠陥が発覚した場合にどう対応するのか (すべきか) の脳内シミュレーションくらいはしておいた方がよいのだろうなあ。 関連: 第4回まっちゃ445「インシデントレスポンスワーク EC-CUBEの事例」 (水無月ばけらのえび日記, 2/2)。
Microsoft Excel に 0-day 欠陥が存在し、既に Mdropper の亜種で悪用されている模様。しかし、Excel のどのバージョンに 0-day 欠陥が存在するのかについては、アンチウイルスベンダーによって見解が分かれている。
Excelに新たなゼロデイ攻撃 (日経 IT Pro, 2009.02.24)。 Symantec は Excel 2007 に 0-day 欠陥があると認識している模様。 Trojan.Mdropper.AC (Symantec) には何も書いてないけど。
TROJ_MDROPPER.XR (Trendmicro)。0-day 欠陥があるのは Office 2000 SP3 / Office 2003 SP[12] / Office XP SP3 だとしている。
どちらも正しい可能性もある。
出ました:
マイクロソフト セキュリティ アドバイザリ (968272) Microsoft Office Excel の脆弱性により、リモートでコードが実行される (Microsoft, 2009.02.25)。高橋さん情報ありがとうございます。
対象: Excel 2000 / 2002 (XP) / 2003 / 2007、Excel Viewer、Excel Viewer 2003、Office 2004 / 2008 for Mac、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック。どちらも正しかったようですね。CVE-2009-0238
自動再生 (Autorun) & Excel 0-day (日本のセキュリティチーム, 2009.02.25)
Excel 2007 で、Excel 2003以前のファイル形式 (*.xls等) を開く際に、この脆弱性が悪用される可能性がありますので、以前から提供している MOICE とファイル ブロッカー等を使用する事で今回の脆弱性が悪用される可能性を回避する事ができます。
逆に言うと、Excel 2007 形式のファイルのみを扱う限りにおいては、この欠陥は影響しないというわけですね。MOICE についてはこのあたりを参照:
関連:
More information about the new Excel vulnerability (Microsoft Security Research & Defense, 2009.02.24)
Another Exploit, This Time On MS Excel (trendmicro blog, 2009.02.25)
New Excel Trojan Hits the Net (McAfee blog, 2008.02.24)
EEYEZD-20090224: Excel Invalid Object (eEye, 2009.02.24)
Detection Added For The New 0-day In Excel (Microsoft Malware Protection Center, 2009.02.25)。既知の攻略 Excel ファイルの SHA1 ハッシュあり。
46181cf01e08b1760cecac95bbd486dd3b808988
6605bf6aee31f0cb2370d684aa32e5a588d4aaf4
675b12b1e50c9463576061cf5181a3f58dc30e59
7fe5481b1edc4df99488f5cc0f65f70fa35978d6
968ad6a8259ddf5f9705fef2ba2eaa3b63b1626f
Microsoft Excelの新しい脆弱性(CVE-2009-0238)を悪用する「TROJ_MDROPPER.XR」の脅威 (トレンドマイクロ セキュリティ blog, 2009.02.26)
MS09-009 - 緊急: Microsoft Office Excel の脆弱性により、リモートでコードが実行される (968557) (Microsoft) で修正されました。
ソニーのネットワークカメラ SNC-RZ25N, SNC-P1, SNC-P5, SNC-CS10, SNC-CS11, SNC-DF40N, SNC-DF70N, SNC-RZ50N, SNC-CS50N, SNC-DF85N, SNC-DF80N, SNC-DF50N, SNC-RX570N, SNC-RX550N, SNC-RX530N に欠陥。ActiveX コントロールに buffer overflow する欠陥があり、攻略 Web ページによって任意のコードを実行できる。 JVN#16767117
修正用ファームウェアが公開されている。
MD5 considered harmful today: Creating a rogue CA certificate
関連:
SSL Blacklist 4.0。Firefox 用の機能拡張。MD5 なモノの他、Debian の OpenSSL 欠陥なものなどを拒否できるようで。
MD5を使用した証明書の偽造報道について (セコムトラストシステムズ, 2009.01.08)
MD5 Collision Vulnerability FAQ (geotrust, 2009.01.05)
研究者がMD5の衝突によりAuthenticodeで署名された実行ファイルを生成 (ZDNet, 2009.01.19)
第4回まっちゃ445 ライトニングトーク (水無月ばけらのえび日記, 2009.02.01)。本件ねたあり。
》 Winny流出で通報 女子高生盗撮容疑で男を逮捕 (asahi.com, 2/23)
》 京大、院生自殺で調査委 両親側「アカハラ原因」と訴え (asahi.com, 2/21)
》 覚せい剤1キロ密輸容疑 東洋大生らを逮捕 (asahi.com, 2/23)
》 初期設定でDEPが有効になっているプロセス(Windows 7 Ultimate) (Eiji James Yoshidaの記録, 2/20)、 Windows XP(SP2) / 2003(SP1) / Vista / 2008 / 7 UltimateでDEPの状態を確認するコマンド (Eiji James Yoshidaの記録, 2/13 改訂)
》 SSDの耐久性とプチフリーズと断片化 (パソコントラブル出張修理・サポート日記, 2/22)
SSDになって発生している「プチフリーズ」という現象は、どうやら
「SSDは断片化の影響を受けにくい」と言われ、また「デフラグをすると寿命が縮むから」ということで、起動ドライブでのログファイル等の激しい断片化を放置した結果、SSD独自の書き込み分散で断片化がさらに加速することで起こるもの
のようです。
》 ひどい断片化にはデフラグを。でもこの断片化は…。 (パソコントラブル出張修理・サポート日記, 2/21)
全体の断片化は17%ですが…断片化のトップは、たった2MBで3929個にまでばらばらになった、NTTセキュリティ対策ツールのログファイルです…。
すごいなぁ…1キロバイト以下でバラバラになってるわけですね…。丸ごと1個のキャベツと千切りキャベツぐらいの差があるわけです…。
NTTセキュリティ対策ツールが起動するのに時間がかかるのは仕方ないと思ってましたが、こりゃちょっとなぁ…。
(中略)
強烈な断片化のほとんどは、いろんなソフトのログファイルとシステム復元用データ。
ログファイルは、頻繁に上書きされるので、断片化しやすいのでしょうね。
[KB958909] Windows Vista にアンチウイルスソフトウェアをインストールすると、ログオンに時間がかかるようになり、Setupapi.app.log ファイルが巨大化する という話も、断片化がからむとすごいことになるのかな。
おまけ
Edb.chk関連の情報を探っていたら、こんな情報が。
ウイルス対策ソフトを停止せずにパフォーマンスを改善する方法 :Windows Server World Online - IDG Japan
へぇ〜。
》 劣化コピーされる「安全なウェブサイトの作り方」 (ockeghem(徳丸浩)の日記, 2/21)
》 QRコードを使ったフィッシングに気をつけろ! (slashdot.jp, 2/21)。この観点では、tinyURL とかも同じですよね。それだけでは正しさを判断できないものには注意しましょうということで。
》 第4回まっちゃ445 ライトニングトーク (水無月ばけらのえび日記, 2/1)
ライトニングトーク6:「モテエンジニアのススメ」(kawaさん@チームチドリ)
(中略)
行動あるのみ : パケットを送らなきゃ始まらない。言い訳はいらない。行動しろ!
渡辺淳一先生のお話とも通じますね。
》 第4回まっちゃ445「インシデントレスポンスワーク EC-CUBEの事例」 (水無月ばけらのえび日記, 2/2)
》 Thumbs.db (Lucablog, 2/22)、 Thumbs.dbから削除済み画像を覗かれるかもしれないビューア (教えて君.net, 2/12)。
OpenSSH 5.2 登場。暗号アルゴリズムとして AES CTR モードおよび改良版 arcfour256 モードが優先されるようになった。 また、CBC モードの暗号アルゴリズムについても、今回の攻撃に対する対抗策が追加された。
Tera Term 4.61 正式版は 2008.12.16 に公開されていますね。
SYM09-002: Symantec NetBackup の Communications Setup に特権昇格の脆弱性 (シマンテック, 2009.02.17)。remote から管理者権限を取得できる。 patch があるので適用すればよい。
BlackHatで発表された攻撃手法(sslstrip)について (yet2come, 2009.02.20)。 プレゼンテーション資料、 プレゼンテーションムービー。
》 中国政府が逆にロシア船を大量拿捕かーー露、中国貨物船銃撃事件の深刻事態 (情報紙「ストレイ・ドッグ」(山岡俊介取材メモ), 2/21)
》 <記事紹介>「慶應義塾が400億円超す運用損」(『FACTA』09年3月号) (情報紙「ストレイ・ドッグ」(山岡俊介取材メモ), 2/21)。 2008年3月期決算では、慶応義塾大学の運用資産の評価損は225億円だったわけですが、もっときているということですか。
》 麻生内閣:支持11%…政権運営さらに窮地 本社世論調査 (毎日, 2/22)、 「首相は早く辞めて」71% 朝日新聞緊急世論調査 (asahi.com, 2/20)、 麻生内閣、支持15%不支持80% 日経世論調査 (日経, 2/22)
》 住基カード、県内一律で無料発行★全国初 (asahi.com, 2/23)。遅すぎる「全国初」だよなあ。
》 『がまんしないで、性的な不快感』の感想 (JANJAN, 2/17)
》 【ガザ発】「国際赤十字も助けてくれなかった」 (JANJAN, 2/20)
》 東京高裁「植草一秀氏名誉回復訴訟」、毎日新聞への請求は逆転敗訴 (JANJAN, 2/20)
》 鳩山総務相にお願い 赤字の「かんぽの宿」は老人福祉施設に転用したら (JANJAN, 2/20)
》 高知白バイ事件 一条の光 検察審査会の議決 (JANJAN, 2/15)
ただ、片岡さんの刑事告発の理由である「証拠隠滅罪」の時効は3年で、来月の3日までです。どうしてもう少し早く議決してくれなかったのか、という不満は残ります。また、検察審査会の制度そのものには何の強制力もないのです。これまで17000件の検察審査会の不起訴不当の議決に対し、その議決が生かされたのは1300件で、1割にも満たないのです。
》 廃業・封鎖された京品ホテルに行って改めて考える「企業は誰のもの?」 (JANJAN, 2/13)
》 「買えよ!俺らの仕事や時間を無駄にする奴は消えてしまえ!!」、マジコンについてコナミが「パワプロクンポケット11」公式サイトのしつもんコ〜ナ〜で大激怒 (gigazine, 2/17)
》 元EMI取締役:違法P2Pファイル共有との戦いは『無益』である (P2Pとかその辺のお話, 2/18)
The Pirate Bay裁判、オンラインにてオーディオ・ストリーミングされることに (P2Pとかその辺のお話, 2/17)
The Pirate Bay、裁判を前に記者会見を行う (P2Pとかその辺のお話, 2/17)
The Pirate Bay裁判、初日 (P2Pとかその辺のお話, 2/18)
The Pirate Bay裁判 2日目:The Pirate Bayに対する訴えの半分が取り下げられる (P2Pとかその辺のお話, 2/22)
The Pirate Bay裁判 3日目:『キングコング』ディフェンス (P2Pとかその辺のお話, 2/22)
The Pirate Bay裁判の外側で:法廷内からのTwitter、海賊旗、フリーキャンディ (P2Pとかその辺のお話, 2/22)。お祭り騒ぎになっている?
》 平成20年中のインターネット上の自殺予告事案対応 〜92人に対し説諭や監護依頼などの自殺防止措置を実施〜 (ポリスチャンネル, 2/18)
》 少年非行等の概要 (平成20年1〜12月) (警察庁, 2/20)
》 滋賀県警が新本部庁舎で業務を開始 (ポリスチャンネル, 2/18)。完成したそうで。
》 リベリアで大量発生した芋虫を特定 (国連情報誌SUNブログ対応版, 2/5)
》 単行本「報道されない警察とマスコミの腐敗 映画『ポチの告白』が暴いたもの」(インシデンツ)発売 (共謀罪反対 THE INCIDENTS, 2/22)
》 マイクロソフトに対する「Vista Capable」訴訟、集団訴訟の継続は認められず ただし、集団ではなく個々人が訴訟を継続することは可能 (ComputerWorld.jp, 2/20)
》 ICANN、新gTLDの取得方法案に対するパブリック・コメントを公表、計画を延期 (ComputerWorld.jp, 2/20)
》 「Google Street View」裁判、米国連邦地裁が原告の訴えを棄却 「不利益を被ったという明確な証拠がない」 (ComputerWorld.jp, 2/19)
》 Exploit Shield 0.60 Beta (F-Secure blog, 2/16).
》 同じVistaなのにつながらない (パソコントラブル出張修理・サポート日記、 2/11)。 「AtermWL11AP」と一部のIntel製無線LANチップ内蔵パソコンとの相性問題について (nifty, 2008.02.15) の件。こんな罠があるなんて。
》 ネットにつながりますが、先に進めません (パソコントラブル出張修理・サポート日記, 2/15)
どうも無線ルーターでは、メーカー問わず、8000円を切るような廉価版の製品だと、ハズレをつかまされる確率が増えているようです。
MS09-002, XML/DOC and initial infection vector (SANS ISC, 2009.02.19)
http://usa.kaspersky.com/support に SQL インジェクション欠陥、ハッカーの攻撃を受ける
BitDefender, F-Secure, Symantec も。
[Hacked]Bitdefender (Portugal) exposes sensitive customer data (hackersblog.org, 2009.02.09)
F-Secure.com - SQL Injection + Cross Site Scripting (hackersblog.org, 2009.02.11)、 SQL Injection (F-Secure blog, 2009.02.12)
[emea].symantec.com vulnerabil la blind sql injection (hackersblog.org, 2009.02.18)、 Symantec response (hackersblog.org, 2009.02.18)、 「シマンテックのWebサイトにバグが存在」とクラッカーが指摘 (ComputerWorld.jp, 2009.02.20)
関連:
When PDFs Attack - Acrobat [Reader] 0-Day On the Loose (shadowserver.org, 2009.02.19)
More on the Adobe Acrobat 0-Day (shadowserver.org, 2009.02.21)
New BackDoor Attacks Using PDF Documents (McAfee blog, 2009.02.19)、 Exploit-PDF.i (McAfee)
Portable Document Format or Portable Malware Format? (trendmicro blog, 2009.02.20)、 TROJ_PIDIEF.IN (trendmicro)
Adobe ReaderとAdobe AcrobatでのJBIG2画像ストリームによるリモートコード実行 (IBM ISS, 2009.02.20)
EEYEZD-20090212 - Adobe PDF Buffer Overflow (eEye, 2009.02.19)
The Perils of PDF (ESET Threat Blog, 2009.02.20)
The Least Agile Acrobat (ESET Threat Blog, 2009.02.20)
More Acrobatics (ESET Threat Blog, 2009.02.21)
インテル TXT を破る方法が Black Hat DC Briefings 2009 で発表されたのだそうです。 (typo fixed: iida さん感謝)
ルトコースカ氏とウォイツク氏によると、TXTの問題は、主にSMM(System Management Mode)メモリという重要なソフトウェア・コンポーネントの実装の不備に起因する。これにより、攻撃者がSMMメモリに任意のシェル・コードを挿入できてしまうという。両氏は、Xenにバックドアを仕掛けるシェル・コードを使用して概念実証コードを作成したとしている。
設計上、TXTはソフトウェアのロード時にSMMメモリを検証しない。そのため、SMMメモリに潜むことにマルウェアが成功すれば、TXTによる信頼可能な起動プロセスで検出されることなく、起動されたソフトウェアに不正にアクセスすることが可能になるという。
(中略)
ルトコースカ氏によると、SMMソフトウェアの脆弱性に対処するべく、Intelは自社BIOSソフトウェアのパッチを作成中だという。しかし、TXT の問題に対処するのはかなり厄介、というのが同氏の見方だ。SMM Transfer Monitorの開発が必要になるからである。これは、BIOSベンダーでもあるIntelだけでなく、OEM/BIOSベンダーも作成しなければならない特殊なハイパーバイザだ、と同氏は説明した。
世の中厳しいですね。
》 Lenovo、Asus、東芝のノートPC顔認証テクノロジー、突破される (slashdot.jp, 2/19)
》 楽天・三木谷社長、「医薬品のネット販売」検討会のリアルタイム公開を要望 (マイコミジャーナル, 2/20)
》 迷惑メール送信業者に行政処分、「オプトイン規制」導入後初 (Internet Watch, 2/18)。クロノスという名前の会社はいくつもあるようだが、今回のは出会い系サイト運営会社のクロノス (横浜市西区)。
》 Facebook、ユーザーの反発受け利用規約を元に戻す (ITmedia, 2/19)。どこでも似たようなことやってるってことですかね。
》 正規の証明書で増殖: 正規アプリになった携帯ウイルス出現 (ITmedia, 2/20)
》 携帯端末のセキュリティに不安増大——McAfee報告書 (ITmedia, 2/19)。ケータイメーカーへのアンケート結果だそうで。 Mobile Security Report 2009 (McAfee)。自社宣伝のためのレポートかしらん。
》 地デジ受信機普及率、5割届かず 総務省調査 (ITmedia, 2/18)。これが現実。
関連: 「血出痔」はなんとかならないのか (花岡 信昭, 2008.07.24)。 コメント欄の方がおもしろい。まぁ、花岡氏だし。
インテル、NVIDIAを提訴--「Nehalem」対応チップセットはライセンス違反と主張 (CNET, 2/19)
Intelがライセンス契約をめぐりNVIDIAを提訴——NVIDIAが反論 (ITmedia, 2/19)
》 セキュリティベンダに聞きました どう対策すべき? “モバイル”のセキュリティ (@IT, 2/18)。あくまでベンダの言いぶんですから。
》 エレベーター事故 責任を否定 (NHK, 2/20)。東京都港区のエレベーター事故の件、民事訴訟裁判がはじまっています。
東京地方裁判所で18日から始まった裁判で、被告のシンドラーエレベータなどは、いずれも責任はないとして争う構えをみせました。被告のうち、エレベーターの管理会社の「エス・イー・シーエレベーター」は「ブレーキの表面が急激にすり減ったことが事故の原因で、定期点検で把握することはできなかった」と反論しました。
》 女性記者殺害 被告全員に無罪 (NHK, 2/20)。アンナ・ポリトコフスカヤ記者殺害事件話。 ロシアですから。
》 即製爆発装置による攻撃で米兵に外傷性脳損傷が多発、少なくとも2万人以上か
対テロ戦米兵:脳損傷2万人以上 攻撃の爆風で−−外傷なし (毎日, 2/17)
対テロ戦米兵:脳損傷 最新装備の盲点 生き延び、繰り返し負傷 (毎日, 2/17)
米国:帰還兵の「見えない傷」 脳と心、むしばむ戦場の爆風 (毎日, 2/19)
テロとの戦いと米国:第1部 見えない傷/1 妻が気づいた奇妙な行動 (毎日, 2/17)
テロとの戦いと米国:第1部 見えない傷/2 帰還した息子、突然死 (毎日, 2/18)
テロとの戦いと米国:第1部 見えない傷/3 脳損傷、転院で逆に悪化 (毎日, 2/19)
テロとの戦いと米国:第1部 見えない傷/4 一斉検査、ようやく軌道に (毎日, 2/20)
米海軍、センサー付ヘルメットを開発へ 外傷性脳損傷のデータ収集などに活用 (AFP, 2008.11.26)
外傷性脳損傷のリハビリテーション (日本リハビリテーション医学会)
即席爆発装置 (ウィキペディア)。 Improvised Explosive Device, IED。
Traumatic brain injury (Wikipedia)。TBI。
》 はしか:予防接種率、6割前後に (毎日, 2/20)
目標(95%)を大幅に下回る結果となった。(中略) 低率にとどまった背景について、厚労省は「接種を受けていない子どもの把握が難しく、周知が不十分なようだ。また、集団接種方式ではないため、クラブ活動などで忙しい児童・生徒が、医療機関へ足を運びにくい状況もある」とみている。
》 アマゾンで好意的・批判的なレビューが消える ? (slashdot.jp, 2/18)、アルファブロガー神話の終焉 (海難記, 2008.11.16)、 「日本語が亡びるとき」なんか読む暇があったら「あたし彼女」でも読んどけ (Thsc, 2008.11.09)、 梅田に天下を取らせた女 (知られざる佳曲, 2008.11.11)。 日本語が滅びる? だからどうした。
》 タイムカード、月給制…振り込め詐欺バイト感覚で (読売, 2/20)。システム化されてます。
》 世界2500言語消滅危機、ユネスコ「日本は8語対象」 (asahi.com, 2/20)。アイヌ語 (極めて深刻)、八重山語、与那国語 (重大な危険)、沖縄語、国頭 (くにがみ) 語、宮古語、奄美語、八丈語 (危険)。
》 「性的行為ばかり考える」を大肯定 75歳渡辺淳一が快気炎 (J-CAST ニュース, 2/20)。今日のとくダネ!。渡辺先生さすがです。
エレベーター:かごが来ず扉開く…男性が転落、死亡 東京 (毎日, 2/17)
エレベーター転落死:扉のロック簡単に解除…1階乗り場 (毎日, 2/19)
エレベーター転落死亡:大阪の製造元など捜索…警視庁 (毎日, 2/20)。エレベーター製造元の「三精輸送機」本社など。
》 出会い系サイトに顧客データ流した男逮捕 架空請求詐欺の被害も (産経 MSN, 2/20)。逮捕容疑は不正アクセス禁止法違反。
》 アダルトサイト架空請求摘発 闇サイト書き込みから逮捕 (産経 MSN, 2/18)。逮捕容疑は詐欺。
》 サイバークリーンセンター が DoS 状態になっているようです。画像。
アクセス集中による接続遅延に対するお詫び
昨晩NHKでボットウイルスに関する特集が放送されました。この関係でご覧になられた多くの方からのアクセスをいただいております。
回線、サーバ共に増強をしておりましたが、昨日に続き本日もアクセスが困難な状況が続いております。
アクセスいただきました皆様には、誠に申し訳ございませんが、数時間おいてアクセスをいただけますようお願い申し上げます。
2月19日(木)放送 あなたのパソコンが乗っ取られる (NHK クローズアップ現代) のことですね。特別な内容は何もなさそうなのですが、さすが NHK というか何というか。 www.ccc.go.jp に traceroute してみると IIJ 方面に流れていくなあ。IIJ の中にあるのかな。IIJ の中の人もたいへんだな。
というか、「ボットウイルス」という言葉、昔から使ってましたっけ? ……ボット駆除活動宣言 (2008.02.01) の時には既に存在する言葉なのだなあ。意識してなかった。
関連:
私見「クローズアップ現代」老夫婦のパソコンからウイルス大量放出 ビジネス化する「ボットネット」 (J-CAST ニュース, 2/20)
ボット退治 (Okumura's Blog, 2/19)
》 大手コンビニ 不当要求の疑い (NHK, 2/20)。コンビニ 不都合な真実 方面。
コンビニエンスストア最大手「セブン‐イレブン・ジャパン」の本部が、加盟店に対して消費期限の迫った弁当などを値引き販売しないよう不当に要求していた疑いがあるとして、公正取引委員会は、独占禁止法違反の疑いで調査を進めています。
「疑い」ねぇ……。
》 「指紋偽造テープ」韓国に斡旋組織か (TBS, 2/19)
テープは1枚68円程度。わずか1日で作ることが出来るといいます。
安っ!
関連: 入国審査すり抜ける「ニセ指紋」、韓国で広く流通か (読売, 2/19)
》 ソマリア沖海賊対策(護送は4日で1回でなく、6日で1回?)/ 成田空港株式会社法の見直し (安全保障や危機管理の懸念払拭されず!!) (佐藤正久, 2/17)。 護衛艦2隻がセットで護送、4日に1度で護送漏れも ソマリア海賊対策 (産経 MSN, 2/16) の件。
しかし、実際は、護衛艦の給水や給油、或いは隊員の休養等の必要性から、港に入る必要がある。(中略) 仮に給油等に2日要するとすると、実際の輸送は、6日に1回の割合になる。
(中略)
佐藤自身も、何故2隻なのか等、納得いく明確な理由の説明を聞いていないし、2隻の運用要領の説明もまだこれからである。船主協会の幹部は、努めて連続した護送を行う観点から、当初は3隻(西航1隻、東航1隻、補給待機1隻?)を要望したとの情報もある。 (中略)
現場の自衛官が誇りをもって活動できるように、また国民の生命財産を守りきったと感ずることができるように、態勢や枠組みを組むのが政治や政府上層部の責任だと思う。
産経記事にはこんな文章:
護衛艦の水上レーダーの監視範囲は十数キロにすぎず、「飛行高度によっては300キロ先まで監視が可能」(海自筋)とされるSH60哨戒ヘリが重要な役割を担うことになる。
哨戒ヘリには、7・62ミリ機関銃を積み込む。海賊船が停船命令などに応じない場合、船団からできるだけ離れた海域で警告射撃などにより接近をくい止める任務も担う予定だ。
やっぱり SH-60K (SH-60J 改) ですかね。
》 海兵隊グアム移転、そして集団的自衛権 / 第6回防衛政策検討小委員会 / 海上警備行動の手当 (佐藤正久, 2/18)。御巣鷹山のときも自衛隊員の手当の低さが話題になりましたが、
他方、海上警備行動は、日本周辺での活動を想定しているため、艦艇の乗組員には、通常の乗組・航海手当の他は、通常はつかない(船舶検査を行う場合のみ)。
仮にP-3Cの哨戒機の場合はどうであろうか? 日本周辺での海上警備行動では、その乗組員や地上勤務員には手当が付かない。
既定値 0 だそうで。マジですか。
但し、今回は、日本周辺ではなく、日本から遠く離れたソマリア沖である。酷暑地であり、テロの脅威もある。今回の派遣の特殊性に鑑み、政府内での調整の上、防衛省の政令を改正し、補給支援特措法に基づいて派遣されている隊員と同様に、何らかの手当が必要と考える。
佐藤も政治の場でも議論し、応援したい。政府内の検討の加速・深化を期待する。
》 防衛政策検討小委員会第7回勉強会 (佐藤正久, 2/19)
》 FreeBSD: NIC Bonding / Link Aggregation / Trunking / Link Failover Tutorial (www.cyberciti.biz, 2/13)
》 ≪注目≫すべてのアーキテクチャでUSB2スタックがデフォルトへ,usbconfig(8)でアクセス制御をする方法 (FreeBSD Daily Topics, 2/19)。usbconfig してみましょう。
》 ≪注意≫FreeBSD 7.1にVMwareでディスクが遅くなる不具合発覚,AsiaBSDCon2009で日本初のBSD検定試験BSDA実施 - 事前登録の検討を,Atom向けgccコンパイルオプション (FreeBSD Daily Topics, 2/18)
Scott Long氏がFreeBSD 7.1においてCAMサブシステムのパフォーマンスリグレッションが存在していることを報告しています。添付されているパッチを適用することで問題を回避することができます。この問題は特に次のような仮想化プラットフォームやハードウェアを使っている場合に顕著な問題として現れます。
* VMWare ESX
* VMWare Fusion(とくにbtまたはlsilogicコントローラオプションを使っている場合)
* HP CISS RAID
* SATAドライバとMPT-SASを組み合わせるケース
》 情報セキュリティレンジャーズ の PV が公開されました (高橋晶子のセキュリティ漂流記, 2/18)。小野寺さんは美女に囲まれて仕事をしているのではないかと思われ。
Adobe Reader/Acrobat 8.x / 9.x に 0-day 欠陥。既に攻略 PDF も出現している模様。patch はまだない。
Trojan.Pidief.E (Symantec)。 日本語版の Trojan.Pidief.E (シマンテック) は翻訳が変なので読まない方がいい。
It then contacts the following remote host in order to steal information from the compromised computer: js001.3322.org
また 3322.org か。
Bloodhound.PDF.6 (Symantec)。この件に関するヒューリスティック検出名。
APSA09-01: Buffer overflow issue in versions 9.0 and earlier of Adobe Reader and Acrobat (adobe, 2009.02.19) によると:
Adobe Reader / Acrobat 9.x の修正プログラムを 2009.03.11 (米国時間だろう) にリリース予定
Adobe Reader / Acrobat 8.x の修正プログラム公開時期は未定、どう考えても上記よりは遅い
Adobe Reader / Acrobat 7.x 修正プログラムがさらにそれに続く、いつになることやら
Adobe Reader/Acrobat で JavaScript を無効にすれば回避できる。
関連:
When PDFs Attack - Acrobat [Reader] 0-Day On the Loose (shadowserver.org, 2009.02.19)
More on the Adobe Acrobat 0-Day (shadowserver.org, 2009.02.21)
New BackDoor Attacks Using PDF Documents (McAfee blog, 2009.02.19)、 Exploit-PDF.i (McAfee)
日本語版: PDF文書を悪用した新たなバックドア攻撃 (日経 IT Pro, 2009.03.24)
Portable Document Format or Portable Malware Format? (trendmicro blog, 2009.02.20)、 TROJ_PIDIEF.IN (trendmicro)
Adobe ReaderとAdobe AcrobatでのJBIG2画像ストリームによるリモートコード実行 (IBM ISS, 2009.02.20)
EEYEZD-20090212 - Adobe PDF Buffer Overflow (eEye, 2009.02.19)
The Perils of PDF (ESET Threat Blog, 2009.02.20)
The Least Agile Acrobat (ESET Threat Blog, 2009.02.20)
More Acrobatics (ESET Threat Blog, 2009.02.21)
JVNTA09-051A: Adobe Reader および Acrobat における脆弱性 (JVN, 2009.02.23)
JavaScript を無効にしても、完全には防げないようですよ奥さん!
Adobe Acrobat pdf 0-day exploit, No JavaScript needed! (SANS ISC, 2009.02.25)
Adobe Reader/Acrobat 0-day Clarification (secunia blog, 2009.02.24)
Preview/Iphone/Linux pdf issues (SANS ISC, 2009.02.25)。Mac OS X の Preview / Finder や iPhone はどうなっておるのか話。
Multiple PDF Readers JBIG2 Local Buffer Overflow PoC (milw0rm)
Adobe Acrobat Reader JBIG2 Local Buffer Overflow PoC #2 0day (milw0rm)
Adobe Reader 9 / Acrobat 9 の fix 出ました: APSB09-03: Security Updates available for Adobe Reader 9 and Acrobat 9。8 以前はまだ。
関連:
Adobeを捨てるときが来たのかも (ITmedia, 2009.03.10)。代替品に穴がないとは限らないですけどね。例: Foxit Reader for Windows Security bulletins (foxitsoftware.com)。
New Attack Vectors for Adobe JBIG2 Vulnerability (US-CERT, 2009.03.10)。攻撃界面事例 2 つ。
Windwos Indexing Service 等を使って PDF ファイルをインデックス化している場合。攻略 PDF をインデックス化しようとしてドカン。 これを回避するには、IFilter として登録されている Adobe Reader / Acrobat のコンポーネントを登録解除する必要あり。
| 使用ソフト | 登録解除コマンド |
|---|---|
| Adobe Reader | Rregsvr32 /u AcroRdIF.dll |
| Acrobat | regsvr32 /u AcroIF.dll |
Explorer において「縮小版」(サムネイル) を表示するよう設定している場合。これを回避するには、regsvr32 /u "%CommonProgramFiles%\Adobe\Acrobat\ActiveX\pdfshell.dll" を実行する。
……青木さんから (情報ありがとうございます)
これなんですが、せっかく登録解除しても Acrobat を起動すると Windows Installer がガラガラ始まってまた元に戻ってしまいます...
手元の Acrobat 8.1.3 で確認しました。Administrator でなくても 制限ユーザーで Acrobat を起動しても元に戻ってしまいました。
関連: 公表から約1ヶ月、PDFウイルス「TROJ_PIDIEF.IN」の脅威レベル変化を追跡 (トレンドマイクロ セキュリティ blog, 2009.03.13)
MS09-002 の「初期化されていないメモリの破損の脆弱性 - CVE-2009-0075」の exploit が出たそうで。taka さん情報ありがとうございます。
Internet Explorer 7の脆弱性(MS09-002)への攻撃を確認(HTML_DLOADER.AS) (トレンドマイクロ セキュリティ blog, 2009.02.18)
Another Exploit Targets IE7 Bug (trendmicro blog, 2009.02.17)
MS Internet Explorer 7 Memory Corruption PoC (MS09-002) (milw0rm)
MS09-002 Exploit in the wild uses MSWord Lure (McAfee blog, 2009.02.17)
MS09-002 exploit in the wild (SANS ISC, 2009.02.17)
》 平成20年中のいわゆる出会い系サイトに関係した事件の検挙状況について (警察庁, 2/19)。これに基づく報道がこちら:
プロフなど一般サイトの児童被害、出会い系上回る (asahi.com, 2/19)
ネット犯罪:児童被害、「非出会い系サイト」も深刻 (毎日, 2/19)
さて、上記警察庁発表における「8 出会い系サイト以外のサイトに関係した事件の検挙状況等」にはこんな注記がある。
被害者が児童であり、次の罪種に該当するものに限る。
出会い系サイトに関係した事件の検挙状況の統計のとり方とは異なる。
なので、安易に比較するのは危険なはずなのだが、マスメディアって、安易に比較しちゃうんですね。
あと、朝日記事にある
一般サイトにからんだ児童の被害をまとめるのは今回が初めて。
のはそのとおりで、2007 年発表の同種資料にはこのようなデータは含まれていない。「では 2007 年にはどうだったのか」がぜひとも知りたいところなのだが、マスメディアって、独自調査はしてくれないのですね。
関連: プロフ被害 (2008.08.18)
》 中川ヘロヘロ…こんなにヤバイ!酒と風邪薬チャンポン (ZAKZAK, 2/17)。注意しませう。
児童ポルノ:8人逮捕 海外のサーバーから配信容疑 (毎日, 2/17)。『アダルト動画配信会社「フィーゼ」(福岡市博多区比恵町)』ですか。関連: 海外サーバーに児童ポルノ、売り上げは2億円 (産経 MSN, 2/17)
児童ポルノ禁止法違反:女児のわいせつDVD販売、容疑で無職男逮捕 /広島 (毎日, 2/17)
児童ポルノ:水着姿少女のDVD製造 芸能プロ社長ら逮捕 (毎日, 2/17)
最後の「水着〜」については、別件逮捕なんじゃないのか……。
》 「新・ソフトウェア開発の神話 - 成功するプロジェクトチームの科学と文化」 (オージス総研 オブジェクトの広場 2008 年 9 月号) という書籍があるのですね。
ジョー・マラスコ氏 「 21 世紀のソフトウェア開発管理」セミナー報告 前編 (オージス総研 オブジェクトの広場 2008 年 11 月号)
ジョー・マラスコ氏 「 21 世紀のソフトウェア開発管理」セミナー報告 中編 (オージス総研 オブジェクトの広場 2009 年 1 月号)
》 ハッブル宇宙望遠鏡修理ミッション、実施困難の見通し (technobahn, 2/19)。例の衛星衝突デブリの影響。
》 鈴木が大麻で逮捕…「はっぴいえんど」出荷停止に (スポニチ, 2/19)。なんてこったい。
特に、この日に同バンドのアルバム「はっぴいえんど」と「風街ろまん」の復刻盤を発売したポニーキャニオンは緊急で対応を協議。急きょCD出荷を停止。この2作は70年代初頭に日本初のインディペンデントレーベル「URC」から発売され、「風街…」は日本語ロックの金字塔といわれる名作。さらに日本クラウンも鈴木容疑者のソロアルバム「バンドワゴン」など全14作の出荷を取りやめた。
あの傑作「風をあつめて」を収録している「風街ろまん」が……。
》 エイズ感染・発症最多 50歳以上1.2倍 (読売, 2/19)。 2009.02.18 の エイズ動向委員会報告 に基づく報道。委員長コメントが概要かしら。
報道発表資料 2009年2月 (厚生労働省) にはないのですね。エイズ予防情報ネットに行かないと気がつかない。
》 原発ごみ処分場の審査、100万年後まで考慮 米規制委 (asahi.com, 2/19)。当然であろ。
djbdns 1.0.5 の dnscache に欠陥。攻撃者が dnscache に対して query および偽の response を送付できる環境にある場合、これまで知られていたよりも高効率 (100 倍以上) で DNS cache 汚染を実行できる。定数 MAXUDP を既定値 (200) よりも増やして運用している場合には、この攻撃に対する危険性がさらに高くなる。 CVE-2008-4392
発見者の Day 氏自身による patch が http://www.your.org/dnscache/ で公開されている。
》 ついに起きてしまった人工衛星衝突 “使えない高度”が現実になる時代に (日経 BP, 2/16)
メディアの注目は「国際宇宙ステーションの安全はどうなるのか」「日本の衛星は安全なのか」というところに集まっている。しかし今回の事故で最も注目すべきは、今回の事故がもっともデブリの密度が高まっていると高度800km付近で起きたということだ。
(中略)
以前から800km付近の高度では、すでに臨界を超えてしまっているのではないかという指摘が存在した。この高度は、地球観測衛星や低高度通信衛星などが使用している。今回の事故は、今まで便利に使用してきた高度800km付近の軌道が、デブリのために使えなくなる可能性が現実味を帯びてきたことを示している。
(中略)
第一報では、「500個ほどの破片が高度500kmから1500kmの間に広がった」と報道されたが、実際に発生したデブリはそれどころではない模様だ。2月13日の時点の米国内の報道では、「テニスボール大のデブリが1万個以上発生したのではないか」という意見も出ている。
》 個人情報をネットに掲載した御堂岡啓昭に全面的に勝訴しましたが、控訴しました (悪徳商法? マニアックス, 2/16)。裁判所の中の人に対する情報教育が必要だよなあ。 関連: 2 ちゃんねるで個人情報をばらまく代償は「12 万円」 (slashdot.jp, 2/17)
》 ついに登場!「USB金庫」 (slashdot.jp, 2/17)。いや、むしろ悪夢という意見もあるようで。
》 第8回神戸情報セキュリティ勉強会「セキュメロ」のご案内 (CMUj)。 2009.03.14、兵庫県神戸市、無料。 3 月も 14 日の土曜日なのね。
今回は、前回に引き続く体験型の勉強会として、世界的に有名な DEFCON のイベント CTF (Capture The Flag) に挑戦されている、CTF 勉強会メンバーによる「初心者でも体験できる CTF 実践勉強会」を開催いたします。CTF はフォレンジックや Web アプリケーションなどの課題を攻略して回答を得るチャレンジになります。その雰囲気、色々なセキュリティ技術等を実感していただけたらと思います。
》 防衛政策検討小委員会第5回勉強会 (佐藤正久, 2/12)
》 【ソマリア海賊】「ジブチ空軍基地使用も可能」 イラク派遣「ヒゲの隊長」に聞く (産経 MSN, 2/12)
‐‐海賊対策だけでは片づけられない部分もある
「本来は自衛隊の海外任務に関する一般法(恒久法)を事前に整備しておいて、その一つに海上交通路(シーレーン)の安全確保任務があっていい。その場合、相手は海賊だけに限らない。各国がソマリア沖に軍艦を派遣している背景には、シーレーン防衛は海軍の任務との判断があるためとも感じた」
》 欧州:録音物の著作権保護期間延長、実現にまた一歩前進 (P2Pとかその辺のお話, 2/16)
》 uTorrent.com、サイトにTorrent検索エンジンを追加 (P2Pとかその辺のお話, 2/15)
》 また買ったいろいろ (極楽せきゅあ日記, 2/16)。エニグマ方面については、まずは、エニグマ・コード—史上最大の暗号戦 をお勧めします。運用をないがしろにすると、いかに優秀な暗号でもこうなってしまうという良い事例です。アラン・チューリングと愉快な仲間たちがチョチョイのチョイで解読したわけでは全くない、こともよくわかります。エニグマは、いくつもの人間的な要素のおかげで破られてしまいます。
》 壊れたHDDのデータを救出 火災、水没の被害も何のその ワイ・イー・データ オントラック事業部 部長 沼田 理氏 (日経 PC Online, 2/16)
例えば、あるメーカーは、ヘッドの微振動による異音が発生しやすい、別のメーカーは軸受け部分が焼き付けを起こしやすい、といったように各社固有のクセが見られます。当社は、世界規模で事業を展開しているので、あらゆるメーカーの特性をワールドワイドで把握し、それをデータベースにまとめています。ユーザーから持ち込まれたHDDを、このデータベースと照合すれば、どんな故障が生じている可能性が高いのか、事前にある程度予想を立てることができるのです。
やっぱりそういうものなのね。
この2つの条件を勘案して料金を決めていますが、大体10万円から30万円の幅に収まることが多いです。平均すると20万円を少し超えるくらいでしょうか。
でもデータの価値はプライスレスだからなあ。
ただ、残念なことに、事前診断の段階で「これはどうしても無理だ」というものも、なかにはあります。HDDだと2割くらい、USBメモリーはもっと多くて半分くらいがそうですね。
USBメモリーは、コントロールチップや、動作をコントロールするファームウエアの種類が、星の数ほどあるのです。そのため、互換性のある部品をすべて揃えることが難しい。それに、メーカーも型番も同じなのに、中を開けてみると、一方の製品は512メガのメモリーチップが1つ、もう一方は256メガが2 つ、といった具合に内部構成が結構いい加減なんです。これも、我々の対応を難しくしています。
》 IP電話対応機器の不具合について (NEC アクセステクニカ, 2/16)。taka さん情報ありがとうございます。
NECならびにNECアクセステクニカが通信/サービス事業者を通じて提供している IP電話対応機器(Atermエーターム)のソフトウェアの一部に不具合があり、電源投入後、約6年9ヶ月(2485日)の間連続して利用すると、電話の発着信ができなくなることが判明しました。
会社とかだと法定点検で定期的に停電したりするので気がつかなさそうだなあ。
Security Update 2009-001 のセキュリティコンテンツについて 。 Mac OS X 10.4.11 / 10.5.6 用 patch。 例によって大量。
Safari 3.2.2 for Windows のセキュリティコンテンツについて。 feed: URL の処理に欠陥があり、攻略 feed: URL によって任意の JavaScript をローカルセキュリティゾーン権限で実行される。 CVE-2009-0137。 Mac OS X 用の Safari にはこの欠陥はない。
Java 方面
Java for Mac OS X 10.5 Update 3 のセキュリティコンテンツについて 。 CVE-2008-2086 CVE-2008-5340 CVE-2008-5342 CVE-2008-5343
Java for Mac OS X 10.4, Release 8 のセキュリティコンテンツについて 。 CVE-2008-2086 CVE-2008-5340 CVE-2008-5342 CVE-2008-5343
Sun で言うところの、 Solution 244988 : Multiple Security Vulnerabilities in Java Web Start and Java Plug-in May Allow Privilege Escalation だそうです。
Advisory 出ました: FreeBSD Security Advisory FreeBSD-SA-09:05.telnetd。patch もあります。
》 国際シンポジウム「グローバル化する厳罰化とポピュリズム」 (龍谷大学 矯正・保護研究センター)。 2009.03.21、京都府京都市、無料。
》 変死体状況:08年県内、2013体で過去最高に 6割が65歳以上高齢者 /青森 (毎日, 1/28)
県警は昨年1年間の変死体取り扱い状況をまとめた。全体では2013体で、前年同期より39体増え、過去最高を記録。約6割が65歳以上の高齢者で、病死した独居世帯の高齢者が変死扱いとなるケースが増えているという。 (中略) 司法解剖は、3日に1回の割合で計98体を弘前大(弘前市)で行った。
うーん、この記事は……。私ならこうするけどなあ。
県警は昨年1年間の変死体取り扱い状況をまとめた。全体では2013体で、前年同期より39体増え、過去最高を記録。約6割が65歳以上の高齢者で、病死した独居世帯の高齢者が変死扱いとなるケースが増えているという。しかし、司法解剖を行ったのは計98体にすぎず、残りの1915体(95%)については検視を行うに止まった。
》 警視庁が携帯端末システムの試験運用を開始 〜地域警察官に携行させ初動捜査の確立を〜 (ポリスチャンネル, 2/16)。今ごろになってようやく、試験運用を開始。
》 事件報道のリソースに「恣意的な映像」を加えていたマスコミ、それを黙認するマスコミ (不可視型探照灯, 2005.11.21)。「宮崎勤事件」のときに、こんなことがあったのですね。マスメディアの人って、「事実を撮りたい」んじゃなくて「自分が撮りたい絵を撮りたい」んだよなあ。
たどりつくまでの連鎖:
日本製18禁ゲームが英国会で追及される? (slashdot.jp, 2/14)
177 (ゲーム) (ウィキペディア)
沙織事件 (ウィキペディア)
》 「poeny」の使用は禁止できるか (高木浩光@自宅の日記, 2/14)
》 ターゲット公共広告「AC4ny」を開始 (高木浩光@自宅の日記, 2/7)。IP アドレスベース。
》 東京都情報公開・個人情報保護審議会を傍聴してきた (高木浩光@自宅の日記, 2/4)。ana log さん情報ありがとうございます。 2/15 付で追記されてます。 正式な議事録はいまだ掲載されてません。開催日と議事録掲載日との間にかなりの時差がある (第 35 回の議事録は 10 か月ほどかかっている!) ことを考えると、正式な議事録がいつ出てくるのかについては予断を許さないなあ。
》 Googleドキュメントの「招待メール」の危険 (高木浩光@自宅の日記, 2/1)
》 旧はてなブックマークで社内情報が漏洩していた可能性 (高木浩光@自宅の日記, 1/31)
》 次の衆院選は逆郵政選挙になるかも (早野透さん) (保坂展人のどこどこ日記, 2/14)
ウイルスの集大成「PE_VIRUX.A」が感染拡大、国内で7900台 (Internet Watch, 2/13)
高度な技術を使ったファイル感染型ウイルス「PE_VIRUX」ファミリ (トレンドマイクロ セキュリティ blog, 2/13)
PE_VIRUX.A (トレンドマイクロ) (つながらない?)
W32.Virut.CF (Symantec)
W32/Virut.n (McAfee)
ファイルの改ざんも行ってくれるようで。厄介じゃのう。
》 C/C++ セキュアコーディング ハーフデイキャンプ のご案内 (JPCERT/CC)。 part 2 の <File I/O part1, part 2, part 3> の受付が開始されている。 久保さん情報ありがとうございます。
》 [AML 24378] Re: 2/15たかじんのそこまで言って委員会「沖縄戦集団自決問題を考えるー歴史教科書でなにを教えるべきか」。 昭和天皇・マッカーサー会見 (岩波現代文庫) ですか。
》 イスラエル製の「うろつく」ミサイルシステム (gigazine, 2/14)。要は UAV です。
》 明治神宮:玉砂利ピンチ 砂防ダムで?採取地枯渇 山梨 (毎日, 2/14)
》 新型インフルエンザ対策セミナー −最前線の研究者が対策を語る− (ヒューマンサイエンス振興財団)。 2009.03.12 大阪府豊中市・2009.03.17 東京都千代田区、無料。taka さん情報ありがとうございます。
FreeBSD 7.x / 8.x の telnetd に欠陥、remote から無認証で root 権限を奪取可能。ただし、攻略には既知パス名上に設置された攻略ファイルが必要。 任意のファイルの設置 (via FTP, NFS, WWW CGI, ....) を許すようなサイトで telnetd を有効にしている場合、とても危険。
[Full-disclosure] FreeBSD zeroday。オリジナル文書。FreeBSD 7.0 で確認。 攻略 PoC ファイルソースあり。
Re: [Full-disclosure] FreeBSD zeroday。 FreeBSD 7.1 上での確認事例。
手元の FreeBSD 7.1 でも欠陥を確認できた。
DragonFly BSD の telnetd にも同様の欠陥があり、この patch で修正されるが、その原因は全く異なるそうで、当該 patch を FreeBSD 7.x / 8.x の telnetd に適用しても欠陥は修正されないそうだ。
FreeBSD 用の patch は現在開発中。
Advisory 出ました: FreeBSD Security Advisory FreeBSD-SA-09:05.telnetd。patch もあります。
》 アセトニトリルが世界的に不足しているのだそうで。 アセトニトリルはアクリロニトリル (ABS 樹脂 = アクリロニトリル・ブタジエン・スチレン共重合体の原料) の副産物として生産されているため、 世界的な不況による ABS 樹脂生産の落ち込みによって不足している模様。
アセトニトリル危機 (気ままに有機化学, 2008.12.19)
トヨタショック(アセトニトリル不足の理由) (新てってのブログ, 2008.12.30)
アセトニトリル・クライシス (有機化学美術館・分館, 1/6)
LC測定時におけるアセトニトリル不足への対応方法のご紹介 (Waco)
》 コンチネンタル航空 3407 便 (運行はコルガン航空、機体はボンバルディア Dash 8 Q400) 墜落事故は着氷が原因の 1 つか?
主翼に多量の氷、事故直前に操縦士が懸念 米旅客機墜落 (asahi.com, 2/14)
事故機はカナダ・ボンバルディア社製のプロペラ機。同委員会によると、操縦士は目的地のバファロー空港に向けて上空3千メートル付近まで降下した際、「フロントガラスと主翼前部にかなりの氷がついている」と発言。主翼の前部先端を空気で膨らませて氷を落とす装置を手動でオンにしていた。実際に氷がどれほど落ちたかは分かっていない。
その時点ではじめて除氷装置のスイッチを入れたということか?
そのまま上空700メートル付近で着陸態勢に入って車輪を出し、主翼フラップを伸ばしたが、突然、機体が前後左右に激しく揺れ始めた。操縦士はすぐに着陸中止の操作をしたが、直後に空港の手前約10キロ地点に墜落した。
事故概要:
Information Regarding Flight 3407 (Continental Airlines)
Continental Airlines Flight 3407 (Wikipedia)
50 Killed as Plane Hits House Near Buffalo (New York Times)。 墜落地点、 飛行経路。
ドーン、家の裏に火柱 住宅地巻き込む 米旅客機墜落 (asahi.com, 2/14)
着氷関連の過去の事故:
アメリカン・イーグル航空 4184 便墜落事故 (1994)
事故詳細 (事故No,19941031a) (外山智士ホームページ)
American Eagle Flight 4184 (Wikipedia)
雨氷 (ウィキペディア)
メーデー!/航空機事故の真実と真相 (ウィキペディア)。第 6 シーズンで取りあげられている。
エア・フロリダ 90 便墜落事故 (1982)
エア・フロリダ90便墜落事故 (ウィキペディア)
着氷関係:
航空体験談 第1回「着氷」 (第一飛行クラブ)。元自衛隊教官、着氷の恐怖を語る。
その他:
米国コルガン航空がボンバルディア製ターボプロップ機拡充のためQ400 NextGenを15機発注 [ボンバルディア] (Gyao / ボンバルディア, 1/22)。コルガン航空は最近もボンバルディア機を発注していたようで。
》 http://www.microsoft.com/conficker が用意されたそうで。Conficker Worm: Protect Windows from Conficker.A and Conficker.B に飛びますね。
conficker 関連:
Microsoft,「Conficker」ワーム作成者摘発に25万ドルの懸賞金 (日経 IT Pro, 2/13)
「Downadup」ワームの巧妙なるネットワーク・スキャン (日経 IT Pro, 2/12)
それよりも重要なのは,Downadupがセキュリティ・ベンダーのIPアドレスで構成された膨大なブラックリストを所有していることだ。(中略) セキュリティ・ベンダーへの感染を試みないようにすることで,Downadupはハニーポット・システムを回避しようとしている。さらに,このブラックリストはコネクトバックを拒否するためにも使い,感染パソコンにアクセスしてペイロード・ファイルを入手するセキュリティ・ベンダーの行動を阻止する。
思い出した言葉: バルタン星人の限りなきチャレンジ魂 (白い悪魔の恐怖)。 バルタン星人の限りなきチャレンジ魂 −虐殺者を撃て− (Oh!石のホームページ) も読ませます。
Third party information on conficker (SANS ISC, 2/13)
》 とんでもない虚偽報道が行われていた——福岡の「教師によるいじめ」事件をでっちあげたメディアの体質 (JANJAN, 2/1)
》 書籍の脆弱性: Ajaxセキュリティ (水無月ばけらのえび日記, 2/6)
》 中国PHSサービス終了へ ユーザー不在の当局決定で広がる波紋 (日経, 2/10)。PHS 市場崩壊。
》 意図的な個人情報流出に罰則を、神奈川県が国に法整備を要請 (Internet Watch, 2/12)。神奈川県立高校生徒情報の件。
》 「ノートン 360 バージョン 3.0」ベータ版を試してみた NIS2009での改善点に加え、独自の新機能も搭載 (Internet Watch, 2/10)
》 川口洋のセキュリティ・プライベート・アイズ(12) 急増したSQLインジェクション、 McColo遮断の影響は (@IT, 2/12)
》 ドイツの児童ポルノ禁止強化の中身が実際のところよく分からないなぁ (崎山伸夫のBlog, 2/12)
》 セキュリティ&プログラミングキャンプ・キャラバン 京都に参加しました (葉っぱ日記, 2/9)
》 HP,RSA,IBMなど,暗号鍵管理仕様「KMIP」を標準化団体OASISに提出 (日経 IT Pro, 2/12)
》 ヤフーをかたる新フィッシング、偽の「重要なお知らせ」であざむく (日経 IT Pro, 2/12)
》 スタート!CSIRT 第7回 サイバー演習で弱点をあぶり出す (日経 IT Pro, 2/9)
鳩山大臣、「オリックス一括譲渡に待った」は正論だ (保坂展人のどこどこ日記, 1/8)
「かんぽの宿」の叩き売りを見逃せない (保坂展人のどこどこ日記, 1/15)
「官から民へ」というスローガンは、一皮めくると「みんなの共有物(公的資産)を私企業にプレゼント」という構図だったのではないか。
「ラフレさいたま」は「かんぽの宿」ではなかった(視察速報) (保坂展人のどこどこ日記, 1/20)。「ラフレさいたま」は平成12年9月オープン。初期費用は土地と建物だけで278億2000万円。
「ここは簡易保険総合健康増進センターとしてつくられましたので、『かんぽの宿』とは違います」と有本館長。手元に配られた封筒を見ると、確かに「ラフレさいたま」の下に「簡易保険総合健康増進センター」と書かれた文字が白テープで消されていた。オリックスへの一括売却リストの中に、「かんぽの宿」ではない「ラフレさいたま」や社宅がなぜ入りこんだのか不透明な印象を受ける。
雇用を守るという条件で、一括譲渡したという説明も怪しくなってきた。ここで働いている職員(正社員)はわずかに5人。ホテル部門はウェルネス総合サービス、スポーツクラブはセントラルスポーツという委託先と契約を結んでいる。また警備や設備保守、清掃などは請負契約だ。つまり、アルバイトやパートでもなく、間接雇用の人たちで、事実上このホテルは運営されている。日本郵政とオリックスとの契約では、正社員は「期間の定めのない雇用とする」という一般的な条項があるだけで、しかもこの条項に該当するのは正社員である5人だけということも判明した。
鳩山総務大臣と握手、今回は一緒にやりましょう (保坂展人のどこどこ日記, 1/22)
「かんぽの宿」売却容認の社説から事実報道に転じた朝日新聞 (保坂展人のどこどこ日記, 1/24)
かんぽの宿の譲渡先選定の経緯について(詳報) (保坂展人のどこどこ日記, 1/26)
かんぽの宿、公平な競争は行われたのか (保坂展人のどこどこ日記, 1/29)
このヒアリングの前、電話で日本郵政の担当者に「入札日はいつだったのか」と問うと、意外な答えが返ってきた。「入札日というのは特にないんです」「えっ、ホント」と思わず聞き返してしまった。入札日がない一般競争入札というのはありえるのだろうか。
「かんぽの宿等譲渡リスト」から外れた世田谷レクセンター (保坂展人のどこどこ日記, 1/30)
2008年4月1日にメリルリンチ日本証券が提示した譲渡対象施設一覧表には、懐かしの「世田谷レクセンター」の名前がある。ところが、12月26日に発表された「かんぽの宿等譲渡対象施設」(日本郵政)からは、「世田谷レクセンター」の名前が消えている。(中略) 第1次入札にあった施設が、第2次入札では忽然と消える。これは、競争入札と言えるんだろうか。
かんぽの宿、叩き売りを見逃した責任は誰にあるのか (保坂展人のどこどこ日記, 2/1)
街頭演説をしていて、「1万円でかんぽの宿を叩き売りをした後で、6000万円で転売。5999万円の儲けは国民共有の財産放棄ではないのか」と話すと立ち止まる人が多い。小泉・竹中構造改革で行われた「国有財産や保険料で取得した国民共有財産」の処分を、収益還元方式と言って土地・建物の実勢価格を無視して赤字の施設なら「評価ゼロ」とか「1000円」とか「1万円」で叩き売ることを正当化してきた。ところが、1万円で売却した物件が、6000万円で転売可能であれば民間企業なら背任罪に相当する。国民に対しての背信行為であり、民間企業としての営業努力を放棄していると言わざるをえない。
ところが、昨日はまた調子外れの社説が目に入ってきた。ここで取り上げるのは二度目だが、朝日新聞の社説である。
かんぽの宿、「競争入札」とは「企画提案コンペ」だった (保坂展人のどこどこ日記, 2/2)
2月2日、午後3時より衆議院の社民党控室で日本郵政の担当者を呼んでヒアリングしたところ、ついに決定的な証言を得た。「この入札は一般競争入札ではないと認識しているが、どんな呼び方をしたらいいのか」という質問に対して、日本郵政の担当責任者は「企画提案コンペでしょうか。コンペというのは日本語で競争入札と言うんで、公募型の企画提案競争入札です」と初めて、今回の入札は一般競争入札とは異なることを認めた。さらに、企画提案の締め切りはあっても、入札日などが決まって「札入れ」が行われるものではないということも確認した。これは、当初から私がにらんでいたように、官庁で「企画随契」と呼ばれるもので公募をともなう企画競争を付したものと整理していい。
さらに、重大な証言を得た。当初、4月に公募された物件の中には「世田谷レクセンター」は入っていたということはすでに伝えた。それではいつ外れたのかと問うと、何と「11月中旬です」という答えが返ってきた。8月15日に7社が企画提案に参加し、10月31日に3社が継続して参加した企画提案の締め切り後、事後交渉で「世田谷レクセンター」は外れたというのである。これでは到底、一般競争入札とは呼べないものだ。
かんぽの宿、「競争入札」とは名ばかりの経緯が判明 (保坂展人のどこどこ日記, 2/3)
「不動産売却ではなく事業譲渡なので、単純な『競争入札』は馴染まないと判断した」と言い切っているところに注目する。「総合的な審査をした上で最終的に最も有利な条件を提示した応募先と契約を締結。手続きの内容として「競争入札」の範疇に入るもの」としている日本郵政だが、官公庁の発注事業であれば「企画随契」ではないのかと昨日は感じた。しかし、今日になって関係書類を専門家に見てもらうと、「いやこれは企画競争型の随意契約と言えるでしょうか」「契約内容が変更された時点で、それから後は単なる密室の商談に変化していませんか」という指摘だ。その重要なポイントが、「世田谷レクセンター」だ。
かんぽの宿一括リストから外れた世田谷レクセンター現地調査 (保坂展人のどこどこ日記, 2/5)
テニスコートがなんと21面という広さ、7500坪という広々とした敷地中央に体育館・プール・トレーニングルーム・エアロスタジオなどがある二階建ての建物がある。
小田急線成城学園前駅と田園都市線二子玉川駅の中間にあって、交通至便とは言えない場所ではあるが、緑深い世田谷区内の7500坪というのは他にない「目玉物件」だったと言える。
日本郵政西川社長、「一般競争入札ではありません」と証言 (保坂展人のどこどこ日記, 2/7)
このブログで書き続けたように、日本郵政は1月28日には「公開競争入札と同類のもの」と文書回答し、また2 月4日には「単純な『競争入札』は馴染まないものと判断し」と同じく文書回答している。「何度もヒアリングで確かめ、文書で回答いただいているが、西川社長、間違いないでしょうね」と念をおした。答弁席に立った西川社長は、「一般競争入札ではありません」と小さな声で証言した。エエッーと議場に静かなどよめきが走り、後方に座る鳩山総務大臣が身体を揺らす。
なぜ「かんぽの宿」売却が随意契約に転じていったのか (保坂展人のどこどこ日記, 2/8)
会計検査院は国の予算執行については、会計法などで適正かどうかを見ていく。会計検査院の検査対象である日本郵政は、同社が総務省に届け出た「規定」にのっとって契約手続きが行われたのかどうかをチェックする。そこで、私は日本郵政から「規定」を提出してもらった。日本郵政が総務相に届け出ている内部規定の「契約」の欄には、「一般競争入札」「指名競争入札」「随意契約」の3種類しかない。この三類型のうち、どれを採用したんだという私の質問に対して、西川社長は「競争入札と企画提案の複合だった」と述べている。断っておくが、「規定」には複合型などは存在しない。事実上の随意契約だったことを認める答弁だった。
あとここ:
日本郵政がメリルリンチに支払ったアドバイザリー料が1億2千万円にのぼったことも、民主党の原口一博議員の追及で明らかになった。1月1000万円で昨年2月から今年の1月まで支払ったのだという。かたや1万円で「かんぽの宿」を売却しておいて、無軌道な契約手続きの水先案内人には1億2千万円。どちらも、国民がコツコツと貯蓄をしたり、簡易保険に加入した集積と郵便局で営々と働いてきた人たちの汗の結晶だ。気前よく、ホイホイと巨額のお金が動いている。しかも、「かんぽの宿一括売却」は、日本郵政が持っている不動産資産から見れば、まだまだ序の口にすぎない。各都道府県の県庁所在地の郵便局本局の庁舎はいずれも一等地にある。不動産・デベロッパー的視点で見れば、「宝の山」なのである。
「世田谷レク」を除外した後、「譲渡額が上昇」という不思議 (保坂展人のどこどこ日記, 2/9)
民主党の川内博史議員の質問で「何だこりゃ」という日本郵政専務の答弁が飛び出した。(中略) 「かんぽの宿+社宅+ラフレさいたま+世田谷レクセンター」が譲渡対象だった10月31日にオリックスが提示した価格が105億2200万円。12月3日に超目玉物件「世田谷レクセンター」を外した譲渡価格が108億8600万円だというのだ。超目玉物件を外して価格が下がったのではなくて、むしろ上昇したという話はいかにも不自然ではないか。ライバル社であるホテル運営会社の提示した価格は、10月31日に 85億円→「世田谷レクセンター」を外した12月3日には61億円に下がっている。
西川社長の虚偽答弁、オリックス1社のみが金額提示[追記あり] (保坂展人のどこどこ日記, 2/10)
つまりは、12月3日にオリックス不動産は109億円を提示したが、残る1社のホテル運営会社(ホテルインターナショナルマネジメント)は、金額を提示しなかった。とすると、日本郵政が「61億円」と言ってきた金額は何なのか。今朝の毎日新聞が、 「入札額は日本郵政の創作」として1面で報じている。(中略) とすると、2月6日の私に対しての西川社長の答弁は、全面的な虚偽答弁だったことになる。
「61億円の架空入札価格」はこうしてつくられた (保坂展人のどこどこ日記, 2/11)
植草一秀氏:
「オリックス‐かんぽの宿」疑惑の徹底検証が不可欠 (植草一秀の『知られざる真実』, 1/10)
「かんぽの宿」疑惑‐竹中平蔵氏の稚拙な反論 (植草一秀の『知られざる真実』, 1/19)
「かんぽの宿疑惑」と「小泉竹中政治研究—その金脈と人脈」 (植草一秀の『知られざる真実』, 1/22)
また、日本郵政はメリルリンチ日本証券とアドバイザリー契約を結び、メリルリンチ日本証券が一括譲渡の方針を示したとされるが、売却対象の施設を詳細に調べると、個別売却で相当の売却価格を見込むことが出来る物件が多数存在する。
「週刊朝日」記事によると、「週刊朝日」からの質問に対するオリックスの文書での回答には、「一括譲渡がFA(フィナンシャルアドバイザー)のメリルリンチからの絶対条件」であったことが記されている。
「かんぽの宿」は歴然たる国民資産である。各地域の振興を考えるなら、それぞれの地域資本が施設を取得して、地域振興および地域の福祉向上に役立てることが望ましい。個別売却か、少なくとも地域を区分しての売却が取られるべき対応であったと考えられる。
オリックスの発行済み株式の57.6%は外国人投資家が保有する。オリックスはれっきとした外国企業である。
入札情報の詳細が日本国民全体に周知徹底されぬなかで、メリルリンチが「一括譲渡」を絶対条件に設定し、外国企業であるオリックスが貴重な国民の優良資産を109億円という破格の安値で取得しようとしているのが、現在の図式ではないか。
「かんぽの宿疑惑」渦(うず)中の日本郵政の実態 (植草一秀の『知られざる真実』, 1/29)
三つの問題を改めて提示しておく。
第一は、ホームページ上の入札公告が、広く国内に入札情報を伝達するのに十分であったのかどうかだ。
第二は、日本郵政がメリルリンチ日本証券とアドバイザリー契約を締結し、メリルリンチ日本証券が「一括譲渡」を「絶対条件」としたというが、この判断が適正であったのかどうかだ。また、メリルリンチとアドバイザリー契約を締結する必要があったのか。
第三は、売却予定の「かんぽの宿」70施設および付帯する9箇所の社宅施設の売却価格として109億円が適正であったのかどうかだ。入札に際して最低落札価格を設定しておく必要があったのではないかという点だ。
「かんぽの宿疑惑」竹中平蔵氏の稚拙な反論 II (植草一秀の『知られざる真実』, 1/29)
「かんぽの宿疑惑」を報道しないワイドショーの偏向 (植草一秀の『知られざる真実』, 1/30)
「かんぽの宿疑惑」に見る「郵政利権化」の深層 (植草一秀の『知られざる真実』, 1/31)
フジ「サキヨミ」—「かんぽの宿」疑惑のコメンテーター (植草一秀の『知られざる真実』, 2/1)
本ブログで何度も記述し、番組の中で鳩山総務相もコメントしていたが、「かんぽの宿」の赤字を放置することが問題なのだ。「かんぽの宿」は利用者の福祉向上を目的に低料金が設定されていた。また、減価償却費が高いことも収支赤字の一因であると考えられる。黒字化する方策はいくらでも存在する。50億の赤字継続を前提にする計算が「トリックの核心」であるのに、それをそのまま援用するのは、日本郵政の弁解を代弁しているに過ぎない。
「かんぽの宿疑惑」報道を封殺する巨大な闇の力 (植草一秀の『知られざる真実』, 2/2)
日本テレビ「NEWS ZERO」の「かんぽの宿」偏向報道 (植草一秀の『知られざる真実』, 2/3)
「かんぽの宿」売却先決定の不透明なカラクリ (植草一秀の『知られざる真実』, 2/4)
「かんぽの宿」疑惑新事実とTBS竹中平蔵氏詭弁演説会 (植草一秀の『知られざる真実』, 2/5)
「かんぽの宿」疑惑拡大と麻生コウモリ首相の迷走 (植草一秀の『知られざる真実』, 2/6)
「かんぽの宿」&「4分社化見直し」封殺を目論むマスゴミ報道規制 (植草一秀の『知られざる真実』, 2/7)
CMSA日本支部を巡る「かんぽの宿疑惑」人脈の蠢き (植草一秀の『知られざる真実』, 2/8)
2月5日のテレビ朝日報道番組「スーパーJチャンネル」が「かんぽの宿疑惑」を取り上げた。VTRで登場したのが早稲田大学大学院ファイナンス研究科の川口有一郎教授だった。(中略)
写真はオリックス不動産投信の第10期(2006年9月1日〜2007年2月28日)の資産運用報告サイトに掲載されている写真である。オリックス・アセット・マネジメント株式会社社長の佐藤光男氏とにこやかに写真に納まっている。
川口氏と佐藤氏の対談が掲載されているが、最初の質問に、 「—お二人は、J−REIT誕生の前からのお知り合いなのだそうですね。」 とあり、川口氏が、 「平成12年4月に行われた「不動産金融工学の世界」というフォーラムで講演した際に、ご一緒させていただいたのが最初のご縁です。」 と答えている。
川口氏とオリックスの関係は決して浅くは無いと見られるのだ。
「かんぽの宿疑惑」を生んだ「郵政米営化」の深層 (植草一秀の『知られざる真実』, 2/9)
「かんぽの宿疑惑」特ダネ報道を封殺する闇の力 (植草一秀の『知られざる真実』, 2/10)
ところが、2月9日の衆議院予算委員会で民主党の川内博史議員が「かんぽの宿疑惑」を追及した結果、驚くべき事実が明るみに出た。
10月末の第二次選考締め切りに応募したのがオリックスとホテル・マネジメント・インターナショナル社(以下HMI社とする)で、入札価格はオリックスが105.22億円、HMI社が105.5億円だった。ただし、オリックスは19.78億円の負債を引き継ぎ、グロスでは125億円を提示したとされるが、ネットの金額では、HMI社がオリックスを僅かに上回っており、高い金額を提示した業者に一括譲渡することになると、HMI社が落札することになる。
日本郵政は10月31日の第2次選考ののち、11月20日に世田谷レクセンターを除外することを2社に通知し、12月3日に最終提示するように連絡したとのことだ。
これに対して、オリックスは108億8600万円(119億4000万円から負債額10.54億円を差し引いた金額)を提示したが、HMI社から金額の提示がなかったとのことだ。
つまり、最終選考に応募したのはオリックス1社だったことが明らかにされた。オリックスが109億円、HMI社が61億円の札を入れて、高い札を入れたオリックスが落札したというのは「作り話」だったことが明らかになったのだ。
実はオリックスは競争入札に負けていた?!
「かんぽの宿」詭弁を弄する竹中氏と「郵政利権化」の策謀 (植草一秀の『知られざる真実』, 2/11)
「かんぽの宿」疑惑解明に慌てふためく小泉元首相 (植草一秀の『知られざる真実』, 2/12)
関連:
再度問う「小泉郵政民営化とは何だったのか!?」—「かんぽの宿」の奥に見えてきたもの (JANJAN, 2/12)
今週の「週刊ポスト」(2月20日号)に驚くべき記事が掲載されている。「郵政『国有地転がし』20兆円ビジネスの”詐術”を暴く」というものだ。
記事は、前島密翁により明治4年以来展開されてきた郵便事業によって取得してきた全国の不動産が、郵政民営化によって、民間企業である日本郵政に移され、開発されようとしている構図が浮き彫りにされている。しかもそこで問題なのは、日本郵政がデベロッパー化していることだ。週刊ポストは、さまざまな学者、不動産アナリストなどの意見を綜合し、かつて郵便局が保有していた土地を錬金術のように「転がす」だけで、20兆円規模の不動産事業が生まれる可能性があると指摘する。
現在、計画が発表されているのは、三つ。第一に東京中央郵便局、第二に旧名古屋中央郵便局、第三に大阪中央郵便局だ。
(中略)
この「週刊ポスト」の記事でさらに注目されるのは、今後再開発が見込まれる全国の主要郵便局の再開発リストだ。北海道の札幌、東北の仙台、東京の新宿、渋谷、赤坂、豊島、神奈川の横浜、広島の中央郵便局、九州の博多、など計9カ所が掲載されている。開発費数百億円で、年間、軒並み10%を遙かに越える高収益が望めるとしている。
(中略)
記事の中で五十嵐敬喜法大教授は、「(郵政が)……不動産ビジネスに血道をあげるのは完全に一線を越えている。郵政三事業は道路公団や旧国鉄のような赤字事業ではないのだから、国有地を無料で渡すのもおかしい。不動産事業で稼ぐのは国民への背信行為であり、”民営化”を隠れ簑にした詐術に等しい」と厳しくコメントしている。
(中略)
結局、小泉純一郎氏が行った「郵政民営化」とは、前島密翁以来130年間の郵便事業で蓄積してきた国民の財産のうち、貯金と簡保を国際金融資本に供し、不動産は民間企業である日本郵政が私物化。これを国民不在のやり方で、収益を貪ろうとするプロジェクトであった、ということではないだろうか。
》 CTFプロジェクト第4回 勉強会(avtokyo.org) (てっしーの丸出し, 2/12)
》 実名の卑怯者、池田信夫が何か言ってるな (悪徳商法?マニアックス ココログ支店, 2/13)
》 VAIOでiTunesのライブラリが消えてしまう (パソコントラブル出張修理・サポート日記, 1/9)
どうやら、「クロスメディアバー」という、PSX以降のプレイステーションシリーズでおなじみの、ゲーム機用十字キーで直感的に操作できるメニューを実現する「VAIO Media plus」というソフトの管理方法とぶつかっているようなのです。
(中略)
要するに、iTunesライブラリのデータファイルのあるフォルダを、「VAIO content Folder Watcher」サービスの管理下から外せばいい、ということ。
》 IE7が起動しない、とてもありがちな理由 (パソコントラブル出張修理・サポート日記, 1/13)
真っ先にやってみるべきことがひとつあります。それは…
-----
Yahoo!ツールバーをアンインストールすること!!
》 今日は「13日の金曜日」。いまだに新作があるんですね。ジェイソンまつりだワッショイワッショイ。 で、明日は「14日の土曜日」。
》 ロシア連邦 : 良心の囚人たちの即時釈放を (アムネスティ・インターナショナル日本, 1/30)
》 住基ネット接続、2市町に強制措置 総務相が方針 (asahi.com, 2/13)
》 漢検理事長との対談広報誌を回収 滋賀銀行 (中日, 2/13)
》 エボラ出血熱:ワクチン開発…マウス実験で確認 東大 (毎日, 2/13)。これはすごい。
》 トレンドマイクロ、教育現場のセキュリティ対策を支援 「Client/Server フィルタリング エデュケーションパック Plus」を発売 〜子供たちを有害情報から守る 教育機関向け特別パッケージ〜 (トレンドマイクロ, 2/12)
対象: 文部科学省認可の幼稚園・小学校・中学校・高等学校・特別支援学校・養護学校・盲学校・聾学校 および 厚生労働省認可の保育園・保育所
(中略)
今回新たに提供開始する「Client/Server フィルタリング エデュケーションパック Plus」は、ウイルス対策と有害サイト閲覧制限をひとつのパッケージで実現します。
》 さようなら「KURO」、またいつか…… (ascii.jp, 2/12)
》 医薬品の通信販売規制、97%が「反対」意見——パブコメ結果 (ITmedia, 2/13)。マツモトキヨシで買うのとケンコーコムで買うのと何が違うというのか。何も違わない。
》 やじうまミニレビュー 東洋アルミ「網戸フィルター」 〜花粉が怖くて窓を開けたくない人に有効 (家電 Watch, 2/9)。ほぉ。
そろそろヤバい感じだったので、昨夜クスリをもらってきた。
首相の郵政見直し発言、小泉氏が酷評「笑っちゃう」 (読売, 2/12)
小泉氏発言、政権運営に“暴風”…「倒閣に発展」の見方も (読売, 2/13)
小泉氏発言:自民に広がる動揺 倒閣運動への波及懸念 (毎日, 2/12)
小泉元首相:発言の要旨 (毎日, 2/12)
》 日本発セキュアOSのTOMOYOがLinuxカーネルに標準採用 (日経 IT Pro, 2/12)。おめでとうございます。
》 最悪の「氷河期」入りか 10年春の新卒採用 (中日, 2/12)。こういうときにこそ、優秀な人材を採っておくべきなんだけどねえ。
》 児童ポルノ提供容疑 ドイツから情報受け逮捕 (asahi.com, 2/13)
県警によると、渡辺容疑者は08年9月24日、自宅でファイル共有ソフト「イーミュール」を使って、外国人とみられる10歳前後の女児のポルノ動画を提供した疑い。1月15日には同様の動画2本を、別のソフト「ウィニップ」の共有フォルダに保存し、利用者に提供できる状態にした疑いがある。
eMule と Winnyp ですか。
》 ネット広告 初めて指針案作成 (NHK, 2/12)。 インターネット広告推進協議会 が「行動ターゲティング広告ガイドライン案」を発表、『会員の皆様からのご意見を募集』開始。一般人の意見はどうでもいい模様。
》 イリジウム衛星とロシアの軍事衛星が衝突、大量のデブリが発生。衛星同士の衝突は史上初。
イリジウム衛星がロシアの通信衛星と衝突,30日以内にスペア衛星を投入 (日経 IT Pro, 2/12)
人工衛星同士の衝突事故発生 (slashdot.jp, 2/12)
[WSJ] 米露の衛星が衝突、宇宙ごみへの懸念高まる (ITmedia, 2/12)
イリジウムサービス (KDDI)
》 朝日新聞社、トムソン・ロイターなど既存メディア連合がアドネットワークを開始 (日経 IT Pro, 2/12)、ロイターや朝日新聞ら、富裕層ターゲットのアドネットワーク開始 (Internet Watch, 2/12)。「ビジネスプレミアムネットワーク(BPN)」だそうです。
》 ブロンド美人ご用心…欧州委「スパイかも」 (読売, 2/12)
関連ですかね: 高まる存在感 不信増幅——第1部〈最大勢力〉 (asahi.com, 2/13)
JVNVU#310355: GE Fanuc Proficy HMI/SCADA iFIX の認証機能における脆弱性 (JVN, 2009.02.13)。patch はまだない。
CVE-2009-0263。Winamp 5.541 (最新) 以前に複数の欠陥があり、攻略 AIFF ファイル / MP3 ファイルを使って任意のコードを実行できる。
[SA33884] Net-snmp TCP Wrapper Information Disclosure Vulnerability (secunia)。 net-snmp 5.0.9 〜 5.4.2 においてクライアント認可に TCP wrappers を使っている場合、netsnmp_udp_fmtaddr 関数は hosts.allow を正しく解釈できないため、攻撃者がアクセス制限を回避できてしまう。 CVE-2008-6123
SVN 版では修正されている。
Debian Bug report logs - #514163 - fail2ban: allows DoS via construction of domain names starting with IP of a victim (debian.org)。fail2ban 0.8.3 (最新) 以前の filter.d/wuftpd.conf の正規表現に欠陥があり、攻略 DNS 逆引きによって DoS 攻撃を実施できる。patch あり。 CVE-2009-0362
Winamp 5.541 以前の件 CVE-2009-0263 ですが、Winamp 5.55 で修正された模様です (リリースノート)。フロートさん情報ありがとうございます。
Winamp 5.55
(中略)
* Fixed: [libsndfile] AIFF buffer overflow vulnerabilty (thanks milw0rm/secunia)
WinAmp <= 5.541 Skin Universal Buffer Overflow Exploit (milw0rm)
》 内閣官房に「権力の暗部」抱える麻生政権—警察庁出身副長官・漆間巌の存在理由 (JANJAN, 2/4)
》 冤罪疑惑の高知白バイ事件(1) 首都圏でテレビ放映 (JANJAN, 2/2)
》 【奪われた竹島】(8)国民を欺き権力者同士で結んだ「密約」の禍根 (JANJAN, 1/26)
》 【奪われた竹島】(最終回)問題棚上げの「日韓友好」あり得ない (JANJAN, 2/1)
》 国連広報センター(UNIC)の不正経理問題 (JANJAN, 1/17)。その後どうなっているんだろ。 外務省が国連から8億円を受取拒否していた理由 (保坂展人のどこどこ日記, 1/20)
》 国語入試問題必勝法 (水無月ばけらのえび日記, 2/9)。おもしろそうだなあ。
そういえば、現実の国語入試問題って、時として、「そもそも地の文が意味不明、日本語的に腐ってる」場合があるんだよなあ。そんな文章を問題に選ぶ人に選ばれるなんて、不幸としか言いようがない。
PS. かんべむさしの「水素製造法」を思い出した。
》 IPAを騙る標的型攻撃の分析 (水無月ばけらのえび日記, 2/10)
》 南極観測基地からの外出が禁止になるほど猛烈・苛烈な天候「Condition1」のムービー (gigazine, 1/16)
》 あの「阪神・淡路大震災」で本当は一体何が起きていたのか、その真実がよくわかるムービー集 (gigazine, 1/17)。Joint Workshop on Security 2008, Tokyo での林春男教授の話によると、地震による被害対応・復旧は 4 つのフェイズに分けられるそうですが、
フェイズ 0: 災害発生から 10 時間
茫然自失の時期。状況を正しく認識できない。
フェイズ 1: 災害発生から 100 時間 (≒ 4 日)
人命救助のための緊急対応の時期。これを過ぎると命を救えない。
フェイズ 2: 災害発生から 1000 時間 (≒ 1.3 か月)
生き残った人のための緊急援助の時期。
フェイズ 3: 災害発生から 1000 時間以降
復興・再構築の時期。
フェイズ 0 〜 フェイズ 1 の映像集なのかな。
最近では、阪神・淡路大震災 秘められた決断 (NHK スペシャル, 1/17 放送) が、「遺体処理」という問題を取りあげてましたね。関連: 7.遺体輸送支援 (自衛隊の災害派遣について知ることのできるページ)
》 「大手サーバー・メーカー初」,日本HPがフリーLinux CentOSの有償サポート (日経 IT Pro, 2/11)。来ましたね。
》 「平成20年中の暴走族の実態と取締り結果」がまとまる (ポリスチャンネル, 2/12)。http://www.npa.go.jp にはまだ載ってない?
》 平成20年中における人身取引事犯について (警察庁, 2/9)
》 Downadup (Conficker) の猛威の裏付け (パソコントラブル出張修理・サポート日記, 1/25)。それ、Windows XP ですよね。
》 Protect Your Network from Conficker (Microsoft, 2/6)
Becky! Internet Mail Ver.2.48.02 以前に欠陥。 開封確認の処理に欠陥があり、攻略電子メールに対して開封確認処理を実行すると任意のコードが実行される。 CVE-2009-0569
Becky! Internet Mail Ver.2 2.48.03 および 2.50.00 正式版で修正されている (2.50.00 RC 版は欠陥を含むので注意)。また、開封確認処理を許可しないことで回避できる。
[FFRUA-20081230] 国産メーラー(B)における脆弱性 (フォティーンフォティ技術研究所, 2008.12.30) のことかなあ。
関連: [becky-ml:25840] Becky! Internet Mail セキュリティ情報。アクセスパスワードについては http://www.rimarts.co.jp/becky-j.htm を参照。
207969 でも更新版ファームウェアへのリンクが掲載されています。
改めて Firmware Recommendations for Barracuda 7200.11, ES.2 SATA, and DiamondMax 22 Drives [207931] (Seagate Knowledge Base) を見てみると、 モデル番号とシリアル番号を調べてから、 モデル番号チェックユーティリティとシリアル番号チェックユーティリティで確認してくれ、となってますね。 シリアルチェックすると、該当する場合には、 ファームウェアダウンロードのページへのリンクが表示されます。
また、各社から案内が出ています。福光さん情報ありがとうございます。
2008年9月以降出荷のVALUESTAR一部機種をお持ちのお客様へ、ハードディスク ファームウェア更新のお願い (NEC, 2009.02.10)
2008年夏/2008年秋冬/2009年春モデルFMV-DESKPOWER/FMV-TEOシリーズのハードディスクに関する重要なお知らせ (富士通, 2009.02.10)
シーゲイト製HDDファームウェア・アップデートのお願い (エプソン, 2009.02.10)
VAIOをご愛用のお客様への重要なお知らせ シーゲイト社製ハードディスクに関する情報と対応についてのお知らせ (ソニー, 2009.02.10)
JVN#80771386: futomi's CGI Cafe 製全文検索CGI における管理者権限奪取の脆弱性 (JVN, 2009.01.23)
Vulnerability exists in BlackBerry Application Web Loader ActiveX control (BlackBerry, 2009.02.10)。 BlackBerry Application Web Loader ActiveX コントロールに buffer overflow する欠陥があり、攻略 Web ページによって任意のコードを実行される。 CVE-2009-0305
BlackBerry Application Web Loader v1.1 で修正されている。
Squid < 3.1 5 HTTP Version Number Parsing Denial of Service Exploit (milw0rm, 2009.02.09)。 CVE-2009-0478 の件だそうで。
ProFTPd with mod_mysql Authentication Bypass Exploit (bugtraq, 2009.02.12)。 CVE-2009-0542
予告どおり 4 つ。
MS09-002 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (961260)
IE 7 のみに 2 つの欠陥。IE 5.01 / 6 にはこの欠陥はない。
初期化されていないメモリの破損の脆弱性 - CVE-2009-0075
IE 7 が削除されたオブジェクトにアクセスしようとするとメモリ破壊が発生。これにより、攻略 web ページに IE 7 でアクセスすると任意のコードを実行される。特に Windows XP / Vista 環境において重大な影響が発生する。 関連: ZDI-09-011: Microsoft Internet Explorer CFunctionPointer Memory Corruption Vulnerability
Exploitability Index: 1 (安定した悪用コードの可能性)
CSS メモリ破損の脆弱性 - CVE-2009-0076
IE 7 における CSS 処理に欠陥があり、特定の CSS スタイルを含む攻略 web ページに IE 7 でアクセスすると任意のコードを実行される。特に Windows XP / Vista 環境において重大な影響が発生する。 関連: ZDI-09-012: Microsoft Internet Explorer Malformed CSS Memory Corruption
Exploitability Index: 1 (安定した悪用コードの可能性)
MS09-003 - 緊急: Microsoft Exchange の脆弱性により、リモートでコードが実行される (959239)
Exchange に 2 件の欠陥。
メモリの破損の脆弱性 - CVE-2009-0098
Exchange 2000 / 2003 / 2007 に欠陥。Transport Neutral Encapsulation Format (TNEF) 形式データの処理に欠陥があり、攻略 TNEF メッセージによって任意のコードを実行できる。プレビュー表示によっても攻略されるので注意。
Exploitability Index: 2 (不安定な悪用コードの可能性)
リテラル処理の脆弱性 - CVE-2009-0099
Exchange 2000 / 2003 に欠陥。 Exchange 2000 / 2003 は EMSMDB32 (Electronic Messaging System Microsoft Data Base、32 bit ビルド) プロバイダーを使用しているが、EMSMDB32 プロバイダーのコマンドの処理に欠陥があり、攻略 MAPI コマンドによって DoS 攻撃を受ける。 (サービスの応答が停止する)
Exploitability Index: 2 (不安定な悪用コードの可能性)
SQL Server 2000、SQL Server 2005 (SP2 以前)、SQL Server 2005 Express Edition (SP2 以前)、 MSDE 2000、WMSDE、Windows Internal Database (WYukon) に欠陥。 Microsoft SQL Server sp_replwritetovarbin limited memory overwrite vulnerability の件。 CVE-2008-5416
SQL Server 7、SQL Server 2005 SP3、SQL Server 2008 にはこの欠陥はない。
Exploitability Index: 1 (安定した悪用コードの可能性)
MS09-005 - 重要: Microsoft Office Visio の脆弱性により、リモートでコードが実行される (957634)
Visio 2002 / 2003 / 2007 に 3 つの欠陥。
メモリの検証の脆弱性 - CVE-2009-0095
Visio オブジェクトデータの検証方法に欠陥があり、攻略ファイルによって任意のコードを実行できる。
Exploitability Index: 2 (不安定な悪用コードの可能性)
メモリの破損の脆弱性 - CVE-2009-0096
ドキュメントの解析においてメモリ破損が発生、攻略ファイルによって任意のコードを実行できる。
Exploitability Index: 2 (不安定な悪用コードの可能性)
メモリの破損の脆弱性 - CVE-2009-0097
ドキュメントの解析においてメモリ破損が発生、攻略ファイルによって任意のコードを実行できる。ただしこの欠陥は、Visio 2007 には影響しない。
Exploitability Index: 2 (不安定な悪用コードの可能性)
関連:
2009年2月のセキュリティ情報 (日本のセキュリティチーム, 2009.02.11)
MSRT February 2009 - Win32/Srizbi (Microsoft Malware Protection Center, 2009.02.10)。 悪意のあるソフトウェアの削除ツールで新たに対応されたもの。
2009年2月のワンポイントセキュリティ (日本のセキュリティチーム, 2009.02.11)
MS09-002 の「初期化されていないメモリの破損の脆弱性 - CVE-2009-0075」の exploit が出たそうで。taka さん情報ありがとうございます。
Internet Explorer 7の脆弱性(MS09-002)への攻撃を確認(HTML_DLOADER.AS) (トレンドマイクロ セキュリティ blog, 2009.02.18)
Another Exploit Targets IE7 Bug (trendmicro blog, 2009.02.17)
MS Internet Explorer 7 Memory Corruption PoC (MS09-002) (milw0rm)
MS09-002 Exploit in the wild uses MSWord Lure (McAfee blog, 2009.02.17)
MS09-002 exploit in the wild (SANS ISC, 2009.02.17)
MS09-002, XML/DOC and initial infection vector (SANS ISC, 2009.02.19)
》 グーグル、ブログ利用のプロモーションについて謝罪 (Internet Watch, 2/10)
グーグルの広報担当者に確認したところ、問題となったプロモーションは、グーグルの「急上昇ワードランキング」のブログパーツについて、サイバーバズを通じてブロガーに感想などの記事の執筆を依頼していたもの。サイバーバズでは、会員ブロガーに対して商品やサービスについての記事執筆を依頼し、記事を書いた会員に謝礼の支払いなどを行うサービスを展開している。
グーグルでは、今回ブログパーツについて実施したプロモーション活動が、グーグルのサーチに関するガイドラインに違反していたと説明。
つまり、ヤラセブログつくってましたってことですね。
関連: グーグル、プロモーションで謝罪--抵触したサーチガイドラインとは (CNET, 2/10)
グーグル日本法人「急上昇ワード」の汚い宣伝手法で自滅 (slashdot.jp, 2/11)
》 Googleによるプライバシー侵害問題の裁判がイタリアで開始 「インターネットの自由に対する攻撃」と同社は反論 (ComputerWorld.jp, 2/4)
》 英国のプライバシー保護団体、「Google Latitude」の危険性を警告 「プライバシーとセキュリティへの配慮が不十分で、悪用されるおそれ」 (ComputerWorld.jp, 2/6)。Privacy International による指摘。
》 補償金問題がいよいよ泥沼化してきたようです (音楽配信メモ, 2/6)。関連: 「ブルーレイ課金は当然、早期実施を」権利者団体が意見表明 (Internet Watch, 2/5)
会見ではこのほかJASRACの菅原氏が、2008年12月に「ニコニコ動画」で実施した「私的録音・録画に関する実態調査」の結果を紹介。「私的録音録画に用いる機器は72.4%がPC」「83.4%がPCに収録された楽曲をさらに(携帯音楽プレーヤーなどに)コピーしている」「30代までのユーザーが所有するPCに保有されている楽曲は239億曲超」といったデータを引き合いに出し、iPodを含む携帯音楽プレーヤーやPCに補償金を課金する必要性を訴えた。
ゼニクレージーですか。
》 楽天・三木谷社長が“お願い”メール、医薬品ネット販売規制で (Internet Watch, 2/10)
》 改正薬事法施行規則は個人輸入を拡大してしまうのではないだろうか (崎山伸夫のBlog, 2/9)
》 MyNewsJapan選定「日本鬼畜訴訟大賞」 (SLAPP WATCH, 1/29)。読売新聞西部本社が堂々の第 1 位。
》 読売vs偽装部数調査報道記者訴訟、1/28傍聴 (SLAPP WATCH, 2/1)
》 日経新聞コラムニスト・田勢康弘氏「発行部数は嘘の塊ですから」と明言 (SLAPP WATCH, 2/4)
》 「Flashblock」でFlashコンテンツをブロックする (sourceforge.jp, 2/6)
》 FSF、IETFによるILS Authorization標準化に反対を呼びかけ (sourceforge.jp, 2/10)
TLS Authorizationは、SSL/TLSでフェデレーション型の認証を可能にする拡張機能。IETFは2006年2月、同技術をIETF標準とすることを検討していたが、話し合いの途中で米RedPhone Securityが同技術の特許を申請していることがわかった。当時、FSFはコミュニティに反対キャンペーンを呼びかけ、結局は標準化承認に至らなかった。
今回、同技術がIETFで「Proposed Standard(標準化提案)」となったことで、再度FSFはコミュニティに反対コメントをIETFに送るよう呼びかけている。RedPhoneは同プロトコルを実装する人にライセンスを供与すると述べているが、FSFによると、特許訴訟の可能性があるという。
》 個人情報の取り扱いをめぐる法律問題 (日経 IT Pro)
[1]個人情報の取り扱いに関する現状の課題と動向 (日経 IT Pro, 1/29)
[2]個人情報取扱事業者の義務違反 (日経 IT Pro, 2/10)
今回はTBC事件(東京地裁平成19年2月8日判決)およびYahooBB事件(大阪地裁平成18年5月19日判決)を参考に,個人情報取扱事業者がどのような態様で,義務に違反してしまうのかという点について検討してみます。
》 メールのセキュリティ,送信ドメイン認証の採用は5%,暗号化はZIP方式が浸透中 (日経 IT Pro, 1/29)。暗号化したつもり。
》 SNS悪用のネット詐欺に注意、アカウントを乗っ取って「お金貸して」 エフセキュアが実例を報告、詐欺師とのやり取りを公開 (日経 IT Pro, 2/11)
》 metasploit が DDoS 攻撃を受けているそうで
Pathetic DDoS vs Security Sites (metasploit, 2/8)
Pathetic DDoS vs Metasploit (round 2) (metasploit, 2/9)
Pathetic DDoS vs Metasploit (round 3) (metasploit, 2/10)
》 PCI DSSに準拠する際の3つのポイント 導入前・導入時に注意すべき点はここだ! (ComputerWorld.jp, 2/4)
》 Active DirectoryとLinuxの認証を統合しよう 第2回 SUAのNIS機能による認証統合 (技評, 2/9)。もとのぶ先生品質なので安心。
》 ISP視点のセキュリティ (日本のセキュリティチーム, 2/10)。 Internet Infrastructure Review (IIJ) vol.002 の件。
》 「首相は立場わきまえて」森元首相、郵政民営化の発言混乱で (読売, 2/11)。もうわけがわかりません。
》 <お知らせ>映画『ポチの告白』絶賛、上映中 (情報紙「ストレイ・ドッグ」(山岡俊介取材メモ), 1/31)
》 赤坂摘発店ホステスが続々再入国ーー杜撰な「生体認証」入国審査 (情報紙「ストレイ・ドッグ」(山岡俊介取材メモ), 2/6)
》 <書籍紹介>『警視庁捜査二課』(萩生田勝。講談社) (情報紙「ストレイ・ドッグ」(山岡俊介取材メモ), 2/10)
》 今年はタミフルが効かない!リレンザ緊急輸入200万人分 (読売, 2/10)。「新型」のときには緊急輸入なんてできないだろうなあ。
》 中国・CCTVビル火災 北京市消防局、CCTV側が無許可でA類の花火を打ち上げたと発表 (FNN, 2/10)。中国国営 TV 新社屋の付属ビルがボーボー。
中国では、花火は火薬の量などによってA〜D類に分けられているが、C類の花火でも、かなりの高さまで勢いよく上がる。
北京市消防局は、中国中央テレビ側が、政府の許可が必要なA類の花火を無許可で打ち上げたと発表した。
A類の花火は、北京オリンピックの開会式にも使われた強力な花火で、消防局は、それがビルの屋上部分に引火し、大火災につながったとコメントしている。
「マンダリン・オリエンタル」ホテルが入る予定だったそうだけど、異常なほど火のまわりが早かったようで。むしろ、今燃えてくれたおかげで未来の顧客への被害を予防できた、くらいに考えた方がいいのかも。
関連:
AP通信動画ニュース「中国国営中央テレビの付属高層ビル炎上」 (読売, 2/10)。まだあまり火を吹いていないころの映像あり。
中国・北京のCCTV新社屋予定地内で大規模な火災 高層ビル1棟が延焼中 (FNN, 2/9)。ボーボー。
当局の制止を無視して花火数百発 中国中央テレビ側が違法認める (産経 MSN, 2/10)。なにしろソースは新華社なので、「当局の制止」なんてものが本当にあったのかどうか。
中国がサイトの報道規制 CCTV付属ビル火災 (産経 MSN, 2/10)
北京市のインターネット管理部門は9日夜、中国の主要ポータルサイトに対し、中国中央テレビ(CCTV)の付属高層ビル火災に関し国営通信、新華社の記事だけを使用し、独自の報道をしないように通知を出した。 (中略) 通知後、ネットユーザーらが撮影し掲載されていた火災の現場写真や画像がサイトから削除されたという。
火災関連
韓国南部で山焼き祭りの最中、強風で炎が燃え広がる 4人死亡、2人不明、62人負傷 (FNN, 2/10)
オーストラリア山火事 死者は170人超え、30万ha以上焼失 (FNN, 2/10)。まだ終ってない。 豪州の山火事 死者230人超 年6万件…半数が放火の疑い (産経, 2/10) だそうで。
》 映画『ルート181』を作ったユダヤ人・パレスチナ人 二人の監督 (JANJAN, 2/5)。なかなか見る機会のない作品のようで、この文章自体、映画を見ないまま書かれている (!!)。日本では DVD も出てないみたい。関連:
ルート181 (つぶやき手帳, 2008.12.07)。打ちのめされた系の感想。
ルート181:パレスチナーイスラエル 旅の断章 (映画の誘惑)。『ショアー』を見ておいた方がよさげなのかな。
》 時事通信のインタビューで民主党長島議員が「大失言」 (JANJAN, 2/6)
》 メディア間でせめぎ合い——朝日襲撃事件手記第2回掲載 (JANJAN, 2/6)。新潮 vs 朝日・文春。
》 134リットルの高レベル核廃液が蒸発?行方不明 再処理工場内で放射能漏れ発生 (JANJAN, 2/8)。六ヶ所ねた。なんですかこれは……。
日本原燃は「高レベル廃液の滴下という看過してはならない事象」が起きたとして、1月30日に原子力安全・保安院に調査報告書を提出し、同日の社長記者会見で発表した。しかし、地元紙の報道では2回目の漏れが2月1日にも起き、前回と同じ箇所から約1ミリリットル漏れたと伝えた。
ゲゲ。
日本原燃は、試験運転の終了を2月から8月にする、16回目(1989年の事業申請から)の延期を社長記者会見で発表した。高レベル廃液漏れが延期の理由なのは明らかだが、「社長会見で漏れた廃液150リットルには一言も触れず、8月に延期すると言うだけの発表は完全に事故隠しです。完工できる技術的根拠もなく、段取りの具体的な裏付けもないのに延期だけを発表するのは、情報隠しのためです」。
》 臭わない工場という新時代・PRTR大賞2008、宇部興産宇部ケミカル工場が受賞 (JANJAN, 2/10)
》 朝日で存在感増すホームレス歌人 (JANJAN, 2/10)
》 常識が変わる うつ病治療最前線(仮) (NHK スペシャル, 2/22 放送予定)
イギリスでは、初期のうつ病であれば抗うつ薬より心理面から症状の改善を試みる精神療法の方が効果の高いことが証明され、心理士を国ぐるみで育成しようというプロジェクトを去年秋からスタートさせた。アメリカでは、従来の抗うつ薬の限界を認め、東洋医学との併用など新しい治療法が模索されている。日本でも、抗うつ剤の種類と量を段階的に減らしていく「減薬療法」や、独自の精神療法など新しい試みが効果を上げ始めているが、医師不足や診療報酬制度などの壁が厚く、なかなか広がらない。
》 Torrentサイト『フランチャイズ』、BREINによって壊滅させられる (P2Pとかその辺のお話, 2/10)
》 TorrentSpy、対MPAA裁判の判決に対し上訴 (P2Pとかその辺のお話, 2/9)
》 ICANN Requests Public Comment on Initial Report on Fast-Flux Hosting (SANS ISC, 1/29)
》 BackTrack 4 のベータ版が出るみたい。
》 Titan Shields up! (SANS ISC, 2/4)。ゲーム World of Warcraft 狙いのマルウェアの話。
》 Mandiant Memoryze review, Hilighter, other Mandiant tools! (SANS ISC, 2/5)。 Memoryze というメモリ分析用のフォレンジックツールがあるそうで。
》 携帯電話位置情報共有ツール Google Latidue
「Google Latitude」公開、携帯電話で友人と位置情報を共有可 (Internet Watch, 2/5)。プライバシーは Google クオリティ。
How Much Latitude? (F-Secure blog, 2/5)
If you want to maintain complete control over your privacy, you probably won't be installing Latitude.
》 共通脆弱性識別子CVE概説 (IPA, 1/26)
》 CRYPTRECシンポジウム2009 (IPA, 2/2)。 2009.02.18、東京都港区、無料。
》 オンラインゲームを楽しむ前にチェックしておきたい 3 つのセキュリティポイント (IPA, 2/2)
》 ソーシャル・エンジニアリングを巧みに利用した攻撃の分析と対策 −脆弱性を狙った脅威の分析と対策について− (IPA, 2/6)
》 重要インフラ情報セキュリティフォーラム2009 (IPA, 2/9)。やっと案内が出た。2009.02.20、東京都中央区、無料。
》 追跡ルポ「北京鳥インフルエンザ死亡事件」 度重なる誤診で、対策発動まで10日余りを空費 (日経 BP, 2/9)
》 [tomoyo-users 543] TOMOYO Linux 1.6.6 をリリースしました (tomoyo-users ML, 2/2)。不具合修正。
》 マカフィー 5301 エンジン登場。現時点では ePO によるアップデートのみ可能か。
Download Incremental Engine Updates (マカフィー)。ePO 用のファイルしかない。
5301エンジンの差分アップデートについてのQ&A集 (マカフィー)
5301はNSISインストーラ、Adobe Flashに対する保護の強化を含めたマイナーアップデートとなります。(中略) 現在多く広まりを見せているNSISインストーラ形式のファイルとAdobe社のFlash形式(Shockwave Flash) の検出機能の拡張が含まれます。
ところで、2/5 に検体を送ったのだが、2/10 になっても対応されてないなあ。
》 激安 USB 地デジチューナー、視聴ソフトのバイナリ書き換えで著作権保護をスルー可能? (slashdot.jp, 2/10)。本体の作りも甘いようで。
Largest Bulletin PHP Board providers compromised (trendmicro blog, 2009.02.09。phpbb.com がヤラレた話関連 (この記事自体はパスワード話につながっている)。ヤラレた件については、 PHPBB 自身の欠陥によるものではなく、PHPList の (その時点では) 0-day 欠陥によるものだそうで。 関連:
Some facts about the PHPList vulnerability and the phpbb.com hack (Suspekt…, 2009.02.06)
On the importance of patching fast (SANS ISC, 2009.02.03)。 とりあえず、当該の「0-day 欠陥」は PHPList security update version 2.10.9 で直っているってことなんですかね。
Do Android Phones Dream of Electric Sheep? (F-Secure blog, 2009.01.28)。 eMobiStudio の MemoryUp の話。
Remotely Exploitable Hole in Bluetooth (F-Secure blog, 2009.01.29)。 Microsoft Windows Mobile OBEX FTP Service Directory Traversal Vulnerability (securityfocus) の件。
Windows Vista にアンチウイルスソフトウェアをインストールすると、ログオンに時間がかかるようになり、%SystemRoot%\Inf\Setupapi.app.log ファイルが巨大化 (5MB 以上) になることがあるそうで。 Windwos Server 2008 も該当みたい。
原因は、Vista における Setupapi.app.log ファイルのロギングポリシー設定が most verbose setting (0x20000FFFF) になっているためだそうで。 この値の意味については Setting SetupAPI Logging Levels (MSDN) を参照。
修正モジュールの紹介の他、レジストリ修正用の msi パッケージ、およびレジストリ修正方法が示されている。
[SA33867] Trend Micro InterScan Web Security Suite Security Bypass (secunia, 2009.02.10)。 InterScan(TM) Web Security Suite 3.1 for Windows Critical Patch - Build 1237 (trendmicro, 2009.02.04) で修正されているそうな。 最新版ダウンロード: InterScan Web Security Suite (トレンドマイクロ) には、IWSS 3.1 for Windows Build 1237 は、まだないようです。
Trend micro - IWSVA/IWSS - Authorization module password leak (bugtraq, 2009.02.09)。IWSVA/IWSS が Proxy-Authorization: ヘッダを削除しない場合がある、という指摘。しかし IWSVA/IWSS のバージョンが不明だなあ。
ツールによる SQL インジェクション欠陥捜査にひっかかり、手動による攻撃を受けたものの、攻撃側の不手際もあり、センシティブ情報の漏洩には至らなかった模様。また改ざんなども行われていない模様。
What really happened to usa.kaspersky.com/support (Analyst's Diary, 2009.02.09)
Kaspersky Lab reports an unsuccessful hacker attack on usa.kaspersky.com (kaspersky.com, 2009.02.09)
Kaspersky database exposed (Security and the Net, 2009.02.08)
KasperskyにSQLインジェクション攻撃仕掛けられる (slashdot.jp, 2009.02.10)。いまどきの web サーバならどこでも日常的に SQL インジェクション攻撃を受けているはずなので、このタイトルは不適切でしょう。
BitDefender, F-Secure, Symantec も。
[Hacked]Bitdefender (Portugal) exposes sensitive customer data (hackersblog.org, 2009.02.09)
F-Secure.com - SQL Injection + Cross Site Scripting (hackersblog.org, 2009.02.11)、 SQL Injection (F-Secure blog, 2009.02.12)
[emea].symantec.com vulnerabil la blind sql injection (hackersblog.org, 2009.02.18)、 Symantec response (hackersblog.org, 2009.02.18)、 「シマンテックのWebサイトにバグが存在」とクラッカーが指摘 (ComputerWorld.jp, 2009.02.20)
sudo 1.9.6 系列に欠陥。sudoers で
bob ALL=(%users) ALL
と書いた場合、bob は「users グループに属するユーザとして」コマンドを実行する権限を取得できる。しかし実際には、任意のユーザとしてコマンドを実行できてしまっていた。CVE-2009-0034
sudo 1.6.9p20 および 1.7.0 で修正されている。
》 漢検協会、ファミリー企業に66億円業務委託 3年間で (asahi.com, 2/9)。ウハウハですか。
》 経済「傷浅い」「大変じゃない」 首相、目立つ楽観論 (asahi.com, 2/9)。間違った経済政策は、間違った状況認識から。
》 Hotmailが事実上容量無制限に、多数の新機能も発表 (Internet Watch, 2/9)
》 JASRACに公取委が排除措置命令へ、放送局との包括契約で (Internet Watch, 2/9)。立ち入り検査後 1 年近くかかるのですね。
》 IPA の「DNSキャッシュポイズニング対策」のページが改訂されています。
2009年2月6日 第2版を掲載。DNS-OARCの使い方とDDoS対策の注意事項を追記。
》 Symantec Brightmail 8300 シリーズ乗換キャンペーン (シマンテック) なんてやってたのね。
》 「USBメモリに警戒高まる」、シマンテックがエンドポイントセキュリティ意識調査 (Enterprise Watch, 2/5)。Symantec Endpoint Protection 11.0 の宣伝。
》 世界不況で知的財産のリスクが増加、マカフィーの調査で明らかに 〜データ盗難やサイバー犯罪による企業の知的財産損害は1兆ドル超〜 (マカフィー, 2/6)
》 警子ちゃんII v121 で拡張された SNMP TRAP受信機能 (isa-j.co.jp, 2/9)。警告灯。
》 Desktopsツールで複数の仮想デスクトップを切り替える (@IT, 2/6)。毎度おなじみ sysinternals の一品。
このほかプレゼンテーションの際に、PowerPointを全画面表示した仮想デスクトップと、デモを起動した仮想デスクトップをそれぞれ用意しておき、ホット・キーで切り替えるといった使い方にも便利だろう。
ほほぅ。
》 緊急消費者被害情報 ネットショップ運営やネット広告で初心者でも簡単に高収入が得られる? ドロップシッピングやアフィリエイトによる儲け話にご注意!! (東京都, 2/5)。そんなうまい話があるわけないのに。
》 MacはWindowsよりも安全だ、でも「Macが安全」というわけじゃない (ITmedia, 2/6)。シマンテックの Mac な人が来日したのだそうで。
(編集部注:マイク氏は先月リリースされた「Norton Internet Security for Mac」のプロモーションのために来日した。宣伝もしなければならない)
ハハハ。こういう文章をさらりと入れてしまうのはすばらしい。
マイク そうだね。前回も話したけど、プラットフォームに依存しないフィッシングのような脅威はMacにとって最も危険だ。また、依然としてソフトウェアのぜい弱性が存在し、定期的にパッチをあてる必要もある。
その意味では、総合セキュリティソフトに Secunia PSI のような機能が付いてくれるとうれしいんだけどなあ。
——Windows版では未知のマルウェア対策にシグニチャだけでなくヒューリスティック検知も用いていますが、Mac版にないのはなぜでしょう?
マイク いい質問だね。現状、Windows向けのマルウェアは非常に多いが、Mac向けのものは少ない、というのがその理由だ。ヒューリスティックにマルウェアを検知する良質なエンジンを作るためには、たくさんのサンプルが必要なんだ。
ふむん。
しかし、ぶっちゃけ高いんだよねえ。
Norton Internet Security 2009 (amazon)。¥5,742。
Norton Internet Security for Mac 4.0 (amazon)。¥11,107。
ユーザからすると、脅威度は低いのに、値段は倍もする。まぁ、脅威度が低いから売れないし開発費はかかるしで倍もするのだろうけど。
》 今年のG DATAはかなり速い! (ascii.jp, 2/6)
変化のないファイルのスキャンをスキップし、2回目以降のスキャンを3倍以上に高速化するフィンガープリンティング、マルチコアCPU環境でのマルチスレッディングに対応し、負荷を軽減して高速スキャンを可能にするパラレルスキャンという2つの新技術により、全体的にスキャン速度が向上しているのである。
(中略)
USBからからブートできる「USB版」が用意され、PC本体に同ソフトをインストールしなくてウィルス検索をすることが可能だ(USBから起動可能なPCのみ)。
この話:
Sacrificing security for usability: UAC security flaw in Windows 7 beta (with proof of concept code) (istartedsomething.com, 2009.01.30)
Update on UAC (Engineering Windows 7, 2009.02.05)
関連: MSがWindows 7 UAC問題に言及、ユーザーの意見をRC版で反映へ (マイコミジャーナル, 2009.02.08)。
だが重要なのは、こうした議論がユーザーとMicrosoftとの間できちんと行われたこと、またユーザーの意見に同社が耳を傾けて製品へと反映したことにある。
製品の挙動が変更されるようなのは評価できるが、一連の流れは「きちんと行われた」結果なのか?
》 みんなで『情報セキュリティ強化』宣言!2009 情報セキュリティ“レンジャーズ”☆デビュー!! (TBS)。「情報セキュリティの歌」も聞けるよ。
》 「電話録音アダプター」で検索するといろいろ出てくるのか。
》 歯みがき・舌みがきでインフルエンザは減らせる (Okumura's Blog, 2/7)
》 平均値とメジアンの違いを文科省もわかっていなかった (Okumura's Blog, 2/5)
ソマリア沖、「公共の秩序の維持」と「シーレーン防衛」 (佐藤正久オフィシャルページ, 2/1)
しかし、現実として、ソマリア沖の海賊対策に、コースト・ガードを派遣している国はない。何故、他国がコースト・ガードではなく、海軍をソマリア沖に派遣しているのであろうか?
それは、第一義的に、派遣目的が、自国のシーレーン防衛だからである。更に、地理的にも、海賊の保有武器の観点からも、各国のコースト・ガードの能力を超えるからである。
(中略)
海賊対策の一般法である「海賊対策法」の必要性を否定するものではないが、ソマリア沖への海自派遣は、目的的にも、実際的にも、自衛隊の海外任務に関する一般法(恒久法)の中で、シーレーン防衛を位置づけ、その法律に基づき派遣するのが、本来であろう。
海賊対策は、統合運用の実をあげる絶好の機会だ (佐藤正久オフィシャルページ, 2/2)
防衛政策検討小委員会第2回勉強会 (佐藤正久オフィシャルページ, 1/28)
防衛政策検討小委員会第3回勉強会 (佐藤正久オフィシャルページ, 1/29)
防衛政策検討小委員会第4回勉強会 (佐藤正久オフィシャルページ, 2/5)
佐藤正久オフィシャルページを見ていたら、こんなエラーが。
Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/higashi/httpd/html/nucleus/plugins/NP_MultiBlogs.php on line 545
mySQL error with query SELECT DISTINCT i.inumber as itemid, i.iblog as blog, i.ibody as body, m.mname as author, m.mrealname as authorname, UNIX_TIMESTAMP(i.itime) as timestamp, i.itime, i.imore as more, m.mnumber as authorid, c.cname as category, i.icat as catid, i.iclosed as closed, m.memail as authormail, m.murl as authorurl, i.ititle as title FROM tegelog_nucleus_item as i, tegelog_nucleus_member as m, tegelog_nucleus_category as c, tegelog_nucleus_blog as b WHERE i.iauthor = m.mnumber and i.icat = c.catid and i.idraft = 0 and i.itime <= "2009-02-08 02:54:18" and b.bnumber = c.cblog and i.iblog = 24?catid ORDER BY i.itime DESC : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '?catid ORDER BY i.itime DESC' at line 1
Warning: mysql_fetch_object(): supplied argument is not a valid MySQL result resource in /home/higashi/httpd/html/nucleus/libs/BLOG.php on line 173
Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/higashi/httpd/html/nucleus/libs/BLOG.php on line 213
Warning: mysql_free_result(): supplied argument is not a valid MySQL result resource in /home/higashi/httpd/html/nucleus/libs/BLOG.php on line 222
》 アメリカ発 世界自動車危機 (NHK スペシャル, 2/2 放送)。USA の住宅バブルの存在は知っていたのだけど、自動車もまたバブルで、おまけに自動車屋が住宅バブルを牽引していたとは。 で、再生にあわせて「脱石油」が進行しているため、産業構造まで変化している、と。
》 職業“詐欺” 〜増殖する若者犯罪グループ〜 (NHK スペシャル, 2/9 放送予定)
》 闘うリハビリII 寄せられた声をたずねて (NHK スペシャル, 2/8 放送予定)。あ、今日じゃん。 長嶋監督は、ついに自らバットを持って指導するまでに回復してますからね: ミスター、バット振った! “長嶋語”も復活 (イザ!, 1/18)
》 「週刊ポスト」(2009年2月13日号)の記事に対する警察庁の対応について (警察庁, 2/3)
》 平成20年中の交通死亡事故の特徴及び道路交通法違反取締状況について (警察庁, 2/4)。減ったとはいえ、5155 人って、旅客機 10 機分くらいですからねえ。
》 沸騰都市 第8回 TOKYOバージョンアップ(仮) (NHK スペシャル, 2/16 放送予定)。Production I.G. がからんでいるのは、この時のためだったのね。
しかし、今の TOKYO はバージョンいくつなんですかね。
》 Mount ReiserFS partitions in FreeBSD (howto) (freebsdnews.net, 1/30)。FreeBSD 6.0 以降で、read only ですが mount できるそうです。
》 医薬品のネット販売規制、厚労省が薬事法施行規則改正の省令公布 (Internet Watch, 2/6)。ついに来てしまいましたね。 関連:
ヤフー・楽天など、医薬品の通信販売継続を求める共同声明 (Internet Watch, 2/6)
大臣等記者会見: 閣議後記者会見概要 (H21.02.03(火)08:50 〜 08:53 ぶら下がり) (厚生労働省, 2/3)
(記者) 医薬品のネット販売についての議論というのはどういうふうな状況になっていますでしょうか。
(大臣) 省令に向けてパブリックコメントを行うとともに、もっと皆で国民的な議論をやろうということで検討会をやりたいという段階です。ですからまだ正式に検討会が動いたというようなことではありません。とにかくもう少し議論を、賛否両論ありますから、よく国民的に議論をしようという段階です。
(記者) 検討会を立ち上げるということで。
(大臣) 立ち上げる方向で人選含めてやっております。
(中略)
(記者) ネット販売の関係で一点確認ですけど、パブリックコメントをとるのは、省令改正の前提という理解でよろしいのでしょうか。
(大臣) 省令はパブリックコメントをやらないとできないわけですからそのルーティーンをやりますということです。
クローズアップ2009:薬のネット販売禁止へ 「どう対応」業者困惑 (毎日, 2/6)
市販薬は危険度の高い順に1〜3類に分類され、今回の規制で製薬会社が顧客の注文を受けて1、2類医薬品を直接郵送することも禁じられる。「伝統薬」「家伝薬」などと呼ばれる漢方薬の製造業者は、古くからこうした販売をしていたが、施行規則改正の議論では蚊帳の外に置かれた。大打撃を受ける業者は「ネット規制のとばっちりを食った」と不満を募らせている。
(中略)
厚労省医薬食品局は「伝統薬への影響を特に検討はしなかった」と認めつつ、今後も最寄りの薬局に商品を届けたり、配置販売(置き薬)業者と契約することで販売継続は可能、との立場を取る。
だが、コストの増大など、販売方法の変更は簡単ではない。170年の歴史を持つ熊本市のメーカー「吉田松花堂」の吉田順碩(じゅんせき)社長は「伝統薬は貴重な文化遺産。こんな形で終わらせたくない」と、業界の代表も加わる今後の検討会の議論に期待する。
》 パイオニア、薄型テレビ撤退 数千人規模の削減も (asahi.com, 2/7)。技術力だけでは生きていけないんだよなあ。
》 ローム、福岡県の子会社清算へ 正社員100人解雇も (asahi.com, 2/7)。ロームですらこの状況ですか……。
》 中3少年、「ハッカー」に逆襲しパスワード盗んだ容疑で書類送検 (slashdot.jp, 2/6)
少年と男性はもともとオンラインゲーム仲間。男性が少年に「キャラクターを強くするプログラムをあげる」と偽って、実際にはキーロガーをネット経由で送りつけた。少年はゲームの動きが悪くなったことからキーロガーに気づき、ソフトを解析。盗まれた履歴の送付先になっていた男性のメールアドレスやID、パスワードを割り出したそうだ。
ここで警察に連絡しておけばよかったのかな。
》 PC版Gears of War、期限付きDRMのため正規購入ユーザすら起動不能に (P2Pとかその辺のお話, 2/5)、 PC版Gears of War、正規版にもかかわらず「期限切れ」でプレイ不可能に (slashdot.jp, 2/5)
》 ext4に対応した Parted Magic 3.5 でパーティションを操作する (sourceforge.jp, 2/5)。1/25 に Parted Magic 3.5 が出たそうで。
》 Windows用定番SSHクライアント「Tera Term」の使い方 (sourceforge.jp, 2/3)。Tera Term 4.61 の解説。 かつて UTF-8 TeraTerm Pro with TTSSH2 と呼ばれていたソフトは、今では単に Tera Term と呼ばれています。
》 デンマーク法廷、国内全ISPに対しThe Pirate Bayへのアクセスブロックにを命令 (P2Pとかその辺のお話, 2/6)
》 フリーソフトウェアから見たACTAへの懸念 (sourceforge.jp, 2/2)。ACTA = Anti-Counterfeiting Trade Agreement (模倣品・海賊版拡散防止条約) だそうです。
そう、ACTAに関して最も問題なのは、そもそも具体的な条文案のようなものが全く表沙汰になっていないということなのだ。表沙汰にならないまま話だけ進んでいる。しかもわざと隠しているふしがある。構想段階といっても、実のところ昨年7月の時点で年末までには交渉を終わらせましょうと言えるくらいにはすでに内容が固まっているはずなのだ。実際にはまだ合意していないようだが、今年3月モロッコで開かれる会合で合意・締結に至るのではないかという観測もある。ようするに、うるさいのに絡まれる前にうやむやのうちに決めてしまおうという思いが見え隠れしているのである。
関連記事: ACTAの中身が気になるが、肝心の条文はいまだ明らかにならず‥‥ (エンドユーザーの見た著作権, 2008.12.30)
》 NTTデータ、OSS統合運用管理ツール「Hinemos」に冗長構成オプションを提供 (sourceforge.jp, 2/2)。アクティブ/スタンバイ構成だそうです。
》 IMAPのメールや添付ファイルをオフラインで利用できるOfflineIMAP (sourceforge.jp, 1/30)。バックアップツールとしても利用できるかな。 もっとも、何のために IMAP にしたんだかよくわからない気もするが。
》 米Microsoft、Webコンテンツセキュリティ技術「Web Sandbox」をオープンソースに (sourceforge.jp, 1/29)
》 Samba Team、クラスタ対応と管理を強化した「Samba 3.3.0」をリリース (sourceforge.jp, 1/28)
最新版では、クラスタへの対応が改善されたほか、Sambaファイルサーバー上でNTFSのACL(アクセス制御リスト)を保存するVFSモジュールとして、vfs_acl_xattrとvfs_acl_tdbの2つが実験的に加わった。
管理ツールでは、netツールでKerberos認証が利用できるようになった。また、wbinfoツールでアイデンティティマップエントリへの追加/修正/削除が可能となったほか、net rpc vampire keytabとnet rpc vampire ldifの2つのコマンドが追加された。
》 FSF、GCCにプラグインアーキテクチャを認めるライセンス除外規定最新版 (sourceforge.jp, 1/28)
PostgreSQL 8.3.6, 8.2.12, 8.1.16, 8.0.20, 7.4.24 登場。セキュリティ修正を含んでいるそうです。が、リリースノートを見ても、どれがセキュリティ関係なのかよくわからない……。
HP LaserJet printers, HP Color LaserJet printers, HP Digital Senders に remote から無認証で攻略される欠陥があり、更新版ファームウェアが提供されています。 CVE-2008-4419
緊急: IE, Exchange。重要: SQL Server, Visio。
※ 2009 年 2 月 11 日は日本では休日ですが、セキュリティ情報は米国カレンダーを基準にしているため、通常通り第 2 火曜日の翌日に公開する予定です。
関連: 2009年2月のセキュリティリリース予定 (日本のセキュリティチーム, 2009.02.06)
SFX-SQLi (Select For XML SQL injection) (kachakil.com, 2009.02.06)。新しい SQL インジェクション手法なのだそうです。
SFX-SQLi (Select For XML SQL injection) is a new SQL injection technique which allows to extract the whole information of a Microsoft SQL Server 2005/2008 database in an extremely fast and efficient way.
This technique is based on the FOR XML clause, which is able to convert the content of a table into a single string, so its contents could be appended to some field injecting a subquery into a vulnerable input of a web application.
[SA33842] ProFTPD Character Encoding SQL Injection Vulnerability (secunia, 2009.02.07)。 ProFTPD 1.3.2 で修正されているそうです。 http://www.proftpd.org/docs/NEWS-1.3.2
HP Network Node Manager 方面
HP Network Node Manager ovlaunch CGI BSS Overflow Vulnerability (iDefense, 2009.02.06)。CVE-2008-4562
HP Network Node Manager Multiple Information Disclosure Vulnerabilities (iDefense, 2009.02.06)。CVE-2008-4560
HP Network Node Manager Multiple Command Injection Vulnerabilities (iDefense, 2009.02.06)。CVE-2008-4559
HP オフシャルはこちら: HPSBMA02406 SSRT080100 rev.1 - HP OpenView Network Node Manager (OV NNM), Remote Execution of Arbitrary Code (HP, 2009.02.04)。 patch があるので適用すればよい。
RealNetworks RealPlayer IVR File Processing Multiple Code Execute Vulnerabilities (Fortinet, 2009.02.06)。 RealPlayer 11 における Internet Video Recording (IVR) の処理に複数の欠陥があり、攻略ファイルによる任意のコードの実行が可能だという指摘。 CVE-2009-0375 CVE-2009-0376
patch はまだない模様。
Cisco 方面
Cisco Security Advisory: Cisco Security Manager Vulnerability (Cisco, 2009.01.21)
Cisco Security Advisory: Multiple Vulnerabilities in Cisco Wireless LAN Controllers (Cisco, 2009.02.04)
ダラダラと、問題部分を抽出して再度説明する (Lucablog, 2009.02.05)
》 電算機使用詐欺:カードポイント詐取で逮捕 大阪府警 (毎日, 2/5)。三井住友カード。
同社によると、田中容疑者は大阪本社セキュリティ管理部に勤務し、会員情報を知りうる立場にあった。
insider の犯行ですか。関連: 元派遣社員による不正行為について (三井住友カード, 2/4)
》 仏で鳥インフル フォアグラなど輸入停止 農水省 (asahi.com, 2/3)
》 東京医大で学位謝礼金 教授へ相場十万円 何十年と慣例 (asahi.com, 2/5)。ゼニクレイジーですか。 東京医科大学のページには何もありませんね。 関連:
主任教授も教え子から現金 催促の電話も 東京医大 (asahi.com, 2/5)
臼井学長も謝礼金受け取る 東京医大・学位謝礼金問題 (asahi.com, 2/5)
》 東京都のCO2削減条例、5年間で6〜8%減義務化 (asahi.com, 2/5)
》 「ホンダ・インサイト」復活! 189万円から (webCG, 2/5)。プリウスキラー (プリウスクローン?)、いよいよ発売。
実際の寸法は、全長×全幅×全高=4390×1695×1425mmで、ホイールベースは2550mm。2シーターの先代モデル(3940×1695×1355mm)より450mmも長いものの、プリウス(4445×1725×1490mm)に比べれば、ひとまわり小さい。
そうなのか……。関連: New INSIGHT (ホンダ)
》 海の向こうの“セキュリティ” 第29回:英国で国民のPCへの令状なし侵入捜査を許可する計画 ほか (Internet Watch, 2/4)
》 ダイキン、エアコンの室外機から発火・発煙の恐れ。約30万台を無償点検へ (家電 Watch, 2/4)
》 「インターネット自由法は不要」——EU幹部が明言 (ITmedia, 2/4)
》 Google が GSV に関して態度を変更か? 2/3 の「東京都の情報公開・個人情報保護審議会」でのお話の模様。
第39回東京都情報公開・個人情報保護審議会の開催について (東京都, 1/27)。「生活文化スポーツ局」なんですね。
情報公開・個人情報保護審議会 (東京都)。議事録はこちらで (第 39 回はまだ公開されてません)。
「どこが窓口か分からなかった」グーグルがストリートビュー問題で弁明 (マイコミジャーナル, 2/4)
ストリートビュー:グーグル、自治体に事前説明へ 担当者「詰め甘く反省」 (毎日, 2/4)
グ社によると、公開の場でストリートビューの説明をしたのは初めて。グ社ポリシーカウンセルの藤田一夫氏らがサービス内容を説明。委員からサービス開始前に被写体とされた当事者に異議を表明する機会を与えなかった理由や、プライバシーに関する検討状況について質問が相次いだ。
藤田氏は「事前に説明しておけばよかった。日本にはプライバシーを専門に扱う機関がないと判断した。詰めが甘かった。これからは積極的に説明したい」と述べた。
ストリートビュー掲載、自治体に事前説明へ グーグル (asahi.com, 2/3)
しかし、自治体側から掲載を反対された場合の対応については、「許諾事業ではない」と明言を避けた。
結局のところ、単なるポーズにすぎない模様。
》 エレベーターや遊園地の事故 国交省に究明委新設 (asahi.com, 2/4)。「昇降機等事故対策委員会」だそうで。 建築行政における昇降機等に係る事故への対応について (国土交通省, 2/4)
》 産総研:子どもの事故データベース化、初の検索ソフト開発 (毎日, 2/3)。 身体地図情報検索システム、 http://www.cipec.jp/ で 2/11 公開予定だそうで。
》 ハドソンに爆破予告メール 桃鉄に改善要求「7000兆円持ってこい」 (産経 MSN, 2/2)。お子様だなあ。これで 29 歳だそうで。
》 ピンポンダッシュ:未明に呼び鈴、少年を書類送検 京都 (毎日, 2/3)。お子様だなあ。
》 山手線などの駅で、WiMAX※1 による高速な モバイルインターネット接続がご利用できるようになります (JR 東日本, 2/3)、 UQ コミュニケーションズ。 東京ローカルだなあ。
》 情報セキュリティガバナンスシンポジウム。 2009.03.06、東京ビッグサイト (東京都江東区)、無料。 関連: 情報セキュリティガバナンスシンポジウムの開催について (経産省, 2/2)。taka さん情報ありがとうございます。
Firefox 3.0.6 登場。6 件のセキュリティ欠陥が修正されている。アイヴァーンさん情報ありがとうございます。
少なくとも UltraVNC 1.0.[25] / TightVnc 1.3.9 に欠陥。 integer overflow する欠陥が複数存在し、攻略 VNC サーバによって VNC クライアントが任意のコードを実行される。CVE-2009-0388。 Advisory には、ソースのどの部分が問題なのかも記載されている。
UltraVNC 1.0.5.4 / TightVNC 1.3.10 で修正されている。
RealVNC 4.0〜4.1.2 の VNC Viewer Vulnerability CVE-2008-4770 (realvnc.com, 2008.11.26) も同様の問題か?
PoC:
3.2, 3.0.6, 2.22.6, and 3.3.1 Security Advisory (Bugzilla.org, 2009.02.02)。Bugzilla に複数の欠陥があり、 Bugzilla 2.22.7, 3.0.7, 3.2.1, 3.3.2 で修正されている。
なお、Bugzilla 3.2.1, 3.0.7, 3.3.2 には critical bug が存在したため Bugzilla 3.2.2, 3.0.8, 3.3.3 がリリースされている。
》 柏崎刈羽原発:7号機の施設使用停止を解除 柏崎市 (毎日, 2/3)
》 愛知大、金融取引含み損120億 名古屋駅南進出見直し (2/2)
》 新型インフルエンザから人々を守る。 グラクソ・スミスクライン、化学及血清療法研究所(化血研)と 国内でワクチン生産のための新しい細胞培養技術開発の方針で合意 (グラクソ・スミスクライン, 2/2)
》 SANNETで接続障害、光ファイバ切断でエリア全域のサービスに影響 (Internet Watch, 2/3)。道路工事にブチ切られたですか。
》 ブルーレイ課金は4月1日から、文化庁が方針示す (Internet Watch, 2/2)
》 シャープ、排除命令に不服で審判請求 DS液晶カルテル認定は「到底承服できない」 (ITmedia, 2/3)
》 ソニー、指静脈認証技術「mofiria」開発 携帯電話にも (ITmedia, 2/3)
》 セキュリティ、そろそろ本音で語らないか(3)CISO考——ところで、CISOって必要ですか? (@IT, 2/2)。三輪節炸裂。
浅間山、警戒は継続 (読売, 2/3)
鹿児島・桜島、噴火警戒レベルを「入山規制」に引き上げ (asahi.com, 2/2)
どちらも「噴火警戒レベル 3 - 入山規制」。関連:
気象統計情報 > 火山 (気象庁)
現在、噴火警報を発表中の火山 (気象庁)。レベル 3 は上記だけじゃないよ。
》 性能は石油系を超えた? ここまで来たバイオプラスチック (日経 BP, 1/29)
近年、携帯電話やノートパソコンなどの小型の電子機器は、デバイスの高性能化が進み、発熱量が増加しているため、筐体にとって放熱性の向上が大きな課題となっている。そのため、石油系プラスチックでは放熱性が十分ではなく、使用が困難になりつつあるという。(中略)
そこでNECは、独自に開発した植物成分系の結合剤によって、炭素繊維をポリ乳酸プラスチック中で網目状に結合させる新技術を用いて、高度な熱伝導性を実現。炭素繊維の10%添加でステンレス程度、約30%添加でステンレスの2倍以上の熱拡散性をもたせた。この技術によって、金属では難しかった平面方向への高い熱伝熱性を実現し、電子機器の筐体に利用するうえで不可欠な強度特性や成形性も実証されている。しかも、炭素繊維を除く成分は、結合剤も含め 90%以上が植物由来であり、優れた環境調和性を実現している。
機能・性能要求から「脱石油」なのですね。
》 2009年のシステムダウンを占う: 9月の5連休に「うっかりミス」が発生 (日経 IT Pro, 2/2)
このように、5月と9月の連休前にはカレンダー情報の再確認が必要だ。
》 オバマ演説の“英語”を検証する (英文対訳付き) 歴史的文脈で見た大統領就任演説 (日経 BP, 1/31)
》 イベント開催スケジュール (IPA)。「重要インフラ情報セキュリティフォーラム2009」の「ホームページ」はまだできていないのですね。
》 IPv6アドレスを引っかけないようにルール1を変更 (S25R雑情報, 2/1)。 S25R 利用者はご注意を。 HIDECK さん情報ありがとうございます。
Re: Re: Google Chrome Browser (ChromeHTML://) remote parameter injection POC (bugtraq, 2009.01.30)
ZDI-09-010: Novell Netware Groupwise GWIA RCPT Command Buffer Overflow Vulnerability (zerodayinitiative.com, 2009.02.03)。patch があるそうです。
Wintercore Research:: Advisory W02-0209: Kaspersky Products klim5.sys local privilege escalation. (wintercore.com, 2009.02.03)。 Kaspersky AV 2008, Kaspersky AV for WorkStations 6.0 に付属する klim5.sys には権限上昇を許す欠陥があり、 local user が local SYSTEM 権限を取得できるという指摘。 他のバージョンについての状況は不明。 CVE-2009-0449
[SA33752] OpenBSD BGP UPDATE Message Denial of Service Vulnerability (secunia, 2009.02.03)。 JVNVU#929656 - BGP 実装において細工された BGP UPDATE メッセージを適切に処理できない脆弱性 や Vulnerability Note VU#929656: Multiple BGP implementations do not properly handle UPDATE messages の話なのかしら?
VMware ESX 2.5 / 3.x / ESXi 3.5 に複数の欠陥。
CVE |
概要 |
対象 |
|---|---|---|
壊れた delta disk によって ESX が crash する。 |
ESX 3.5, ESXi 3.5 |
|
Net-SNMP に DoS 攻撃を受ける欠陥。 |
ESX 3.0.[23] / 3.5, ESXi 3.5 |
|
libxml2 に integer overflow する欠陥と DoS 攻撃を受ける欠陥。 |
ESX 2.5.5 / 3.0.[23] / 3.5, ESXi 3.5 |
ESX 3.x, ESXi 3.5 については patch があるので適用すればよい。 ESX 2.5.5 の patch はまだない。
》 PCB汚染土壌浄化事業の拡大について − 処理能力を従来の6倍以上に増強 − (東芝, 2/2)
》 IE 8の「InPrivate」に思わぬ落とし穴 (ITmedia, 2/2)。自社製品が無効にされたので文句を言ってみるテスト。
「2回感染」警戒を インフルエンザ県内猛威 (日本海新聞, 2/1)。タミフル耐性 H1N1 (Aソ連型)、および H3N2 (A香港型) が流行中。
グラクソ日本法人、インフル薬緊急輸入 「タミフル耐性」流行で (日経, 2/2)。タミフル耐性 H1N1 (Aソ連型) が流行しているので。
》 鳥インフルエンザ死者相次ぐ 警戒強める中国 (asahi.com, 1/31)
》 新型インフル、流行に備え食料確保 農水省が指針策定へ (日経, 2/1)
》 投票箱から偽用紙続々、本物とすり替えか…北九州市議選 (読売, 2/2)
市選管によると、偽用紙は小倉北区選挙区で20枚、戸畑区で12枚、小倉南区で27枚、八幡東区で2枚、八幡西区で2枚見つかった。
小倉北区選挙区では、投票総数が投票者数より35票多いトラブルがあり、戸畑区選挙区でも1票多かった。
市選管によると、偽用紙には、小倉北区で名前らしき文字が書かれたものが1枚あり、他の19枚は白紙だった。他の選挙区では字の有無は未確認。市選管は、偽用紙を投票箱に入れて、代わりに正規の投票用紙を持ち出して、別の区の投票所で使われた可能性が高いとみている。
》 IE8 Security Part VII: ClickJacking Defenses (IEblog, 1/27)
》 教科書では教えてくれないPCI DSS認定取得のコツ 経験者が語るPCI DSSの「認定取得まで」と「それから」 (ComputerWorld.jp, 1/21)
PCI DSS認定を受ける側の企業担当者が認定取得時に最も苦労するのは、おそらく監査人との関係であろう。実際、「PCI DSS認定取得に向けた監査プロセスの中で、最も苦労した点は何か」という問いに対して、多くの担当者がこれを答えにあげている。
(中略)
2008年9月、CSO Magazine米国版がニューヨークで開催した「PCI Compliance」コンファレンスのパネル・ディスカッションの場で、Duran氏は、監査人の誤った意見に惑わされないための防衛手段として、可能なかぎり自力でPCI DSSに関する知識を習得しておくことを提言した。
(中略)
Duran氏の部門には2名(米国から1名、欧州から1名)の監査人が派遣されたが、同じ質問に対する答えが双方で異なることも少なくなかった。さらには、ファイアウォールやVLAN(仮想LAN)の設定に関する技術知識の理解が不十分な監査人もいた、とDuran氏は証言する。
まぁ、そんなもんだろうなあ。
もっとも、CSO Magazine米国版のアンケート調査に参加したセキュリティ担当者の大半は、「最大の問題は会社上層部にある」と回答している。
企業の経営陣は、初めこそPCI DSS準拠作業に協力するが、1回目の監査に通過した時点ですべての作業が完了したと見なすことが多い。そして、その作業が“エンドレス”であることを、現場のセキュリティ担当者から聞かされて初めて知ることになるわけだ。
(中略)
「わたしは2件のPCI DSS準拠プロジェクトにかかわったが、いちばんの問題は『PCI DSS準拠のお墨付きをもらったからもう大丈夫』という経営陣の過信だった。PCI DSS認証がなぜ必要なのかは理解していても、リスク管理そのものを包括的に理解している経営幹部は少ない。そのため、PCI DSS認定取得後も継続的に彼らの注意を引き付けることは非常に難しい」(Blander氏)
まぁ、そんなもんだろうなあ。
》 露サイバー市民軍の攻撃でキルギスのインターネット基盤が麻痺 投資案件を有利に進めるために反対勢力を抑えるねらいか (ComputerWorld.jp, 1/29)
グーグル、無効クリック数の調査結果に反論 Click Forensicsの発表は17%、一方のGoogleは10%未満と主張 (ComputerWorld.jp, 1/30)。商売に直結する数字だからなあ。
グーグル、ネット中立性の監視プロジェクト「M-Lab」を始動 ISPのトラフィック制御を監視。ネット中立性で対立するテレコム業界への圧力? (ComputerWorld.jp, 1/30)
》 米海軍 空母キティホーク退役 (NHK, 2/1)。退役式典の最中に、突然謎の敵の攻撃が! 最新鋭の F/A-18E/F がバタバタ堕とされる中、式典用に持ってきた F-4 が大活躍!! ……ということはなかった模様。 (ネタもと: GALACTICA)
これの件:
Advisory: Google Chrome 1.0.154.43 ClickJacking Vulnerability. (bugtraq, 2009.01.30)
Firefox 3.0.5 にも影響するのだそうで。
》 メールアドレス流出に関するお詫びとご報告 (tora3.net, 2/1)。2ちゃんねるビューア方面、Bcc じゃなくて Cc を使ってしまいました系。K一郎さん情報ありがとうございます。
Google is Broken (F-Secure blog, 1/31)
Google glitch causes confusion (stopbadware.org, 1/31)
"This site may harm your computer" on every search result?!?! (Google blog, 1/31)
Google が全ての検索結果に対して「コンピューターに損害を与える可能性」を表示 (slashdot.jp, 1/31)
もちろん誤警報です。修正済。
![[セキュリティホール memo]](/%7Ekjm/security/memo/sechole-memo.gif){kind=small}
私について
