気になった記事(20091104)

しばらく手が着かなかった気になった記事です。また、大変な量の記事があって選択するのが辛かった…。

Security関連

• 5分で学べる--IPA、中小企業向けにセキュリティ対策の学習ツール公開
• IPA、「5分でできる！情報セキュリティポイント学習」ツールを公開
  • 見てみましょう。まぁ、5分という辺り、あまり深くないんだろうけど。
• mixiアプリ「サンシャイン牧場」ユーザーの個人情報4200件が閲覧できる状態に
• お客さま情報の流出に関するお詫びとお知らせ
• アリコジャパン、新たな不正使用が判明～カード情報流出拡大か
• 不正アクセス：ユニサプライズ、通販サイトからクレジットカード情報流出
• 大阪ガス、Shareのウイルス感染で個人情報を含む業務情報流出
• NTTコミュニケーションズ、Winnyのウイルス感染で顧客情報流出
  • まぁ、そろそろ本格的に飽きてきました。いつになっても無くなりませんね。
• ロック解除のiPhoneを人質に、「身代金」の要求騒ぎ
  • あらら。こんなに簡単に身元が割れるようなことをするとは。どうしたものやら。
• MS、セキュリティ報告書で日本のベストプラクティスなどを紹介
  • ふうん、日本はそんなに感染率が低いんだ。ただ、効果はあると思うけど、それが本当の原因だとは思えないんだよね。
  • 危険なことをそもそもやらない。ネットは怖いところだと思っている。ネットでのクレジットカード決済は怖いと思っている人も多い。
    • これは、もうすでに状況が変わってきていると思う。実際、カード決済やオンラインバンクの利用者はうなぎのぼりという話だし。
  • 危険が少ない。
    • まぁ、「日本語」という壁のおかげで確かに危険は多少は少なくなるよね。英語苦手な人も多いし。
    • でも、結局攻撃を位、サイト改ざんされているという状況を見ても、要するにメール関連以外は同等じゃない？
  • 海賊版が少ない。
    • OS位はそうかもしれないけど、どうこう言ってもアプリケーションは海賊版も多いと思うなぁ。
• 偽ソフトの感染が顕著に、国内でも拡大に懸念
  • 今までの流れを見ていれば当然ですね。気をつけましょう。
• サーバ仮想化でセキュリティ・ポリシーが破綻する――ソリトンが警鐘
  • システムを仮想化するだけで破綻するようなSecurity Policyを策定しないようにしましょう。
• http://japan.internet.com/webtech/20091029/3.htmlJPCERT/CC、脆弱性対応意思決定支援システムの有効性検証報告書（日本語版）
  • こういうシステムは使い方が簡単であれば是非導入したいものですねぇ。
• 感染報告が相次ぐ「BREDOLAB」はどんな不正プログラム？
  • 最近流行っているプログラムですね。
• 「中小企業における情報セキュリティ対策の実施状況等調査」報告書を公開
  • 読みましょう。
• JNV方面
  • Linux kernel の get_random_int 関数における防御メカニズムが破られる脆弱性
  • Adobe Acrobat Reader プラグインにおけるクロスサイトスクリプティングの脆弱性
  • Cisco IOS の ACL 機能におけるアクセス制限を回避される脆弱性
  • Cisco IOS の Firewall 認証プロキシ機能における認証を回避される脆弱性
  • Cisco IOS における NTPv4 パケットの処理に関するサービス運用妨害 (DoS) の脆弱性
  • Apache HTTP Server の mod_digest モジュールにおける不完全な認証の脆弱性
  • Apple iTunes におけるバッファオーバーフローの脆弱性
  • Linux kernel の z90crypt ドライバにおける権限昇格の脆弱性
  • 他多数。早めに対処しましょう。
• Web サイト経由でのマルウエア感染拡大に関する注意喚起
  • Gambler関連ですね。
• New version of NIST 800-41, Firewalls and Firewall Policy Guidelines
  • ポリシーのガイドラインです。是非読んでみてください。
• 連載関連。どうやら終わったようですね。じっくり全部見てみましょう。
  • Cyber Security Awareness Month - Day 27 - Active Directory Ports
  • Cyber Security Awareness Month - Day 28 - ntp (123/udp)
  • Cyber Security Awareness Month - Day 29 - dns port 53
  • Cyber Security Awareness Month - Day 30 - The "Common" IPSEC VPN Protocols - IKE / ISAKMP (500/udp), ESP (IP Protocol 50), NAT-T-IKE (500/udp, 4500/udp), PPTP (tcp/1723), GRE (IP Protocol 47)
  • Cyber Security Awareness Month - Day 31 - ident
  • Cyber Security Awareness Month 2009 - Summary and Links
• Gumblarに異変(1)「攻撃コード」が一斉に書き換えられ無害化、その意味は？
• Gumblarに異変(2) Adobe Reader攻撃も減少～なお残る多数の改ざんサイト
  • よく整理されています。
• NVD方面
  • CVE-2009-3641 snort 2.8.5.1以前で-vオプションを付けて起動するとDoSを受ける脆弱性
  • Perl 5.10.1はUTF-8の正規表現の取り扱いに関して問題があり、DoSにつながるコンテンツ依存の攻撃を受け付けてしまう脆弱性が存在する * Linux Kernel特にx86系において複数の脆弱性が公表された。特にCVE-2009-3623はNFSに関するものであるため、x86に限らず影響が出ると思われる。 * その他、多数の脆弱性情報が公開されている。 **// Computer関連 //** * [[http://japan.cnet.com/marketing/story/0,3800080523,20402772,00.htm|世界の4分の1のスパムメールは米国とブラジルから配信--ソフォス調べ
  • へぇぇ。米国は意外でもないけど、ブラジルなんだ。
• ICANN、アルファベット以外のドメイン名の導入を承認
• ICANN，国際化国別トップレベル・ドメイン名の導入を承認
• ICANN、「.日本」などアルファベット以外のトップドメイン導入を承認
• ICANN、国別ドメインに英語以外の文字使用を承認
  • うぇ、IDN-TLD承認されたんだ。あちこちで混乱が起きそうな…。そんなことで本当にいいの？
• アクセス解析の標準化へ、ガイドラインが公表
  • アクセス解析の集計と用語定義ガイドライン発表
  • ふぅむ、アクセス解析のガイドラインですか。じっくり読んでみたいものですね。
• VMware、仮想化ソフトの最新版「VMware Fusion 3」をリリース
  • さて、購入するかどうかが悩みの種だなぁ。5390円という辺り、安いのは確かなんだけどね。
• 「XenServerでもESXでも使えるのがXenDesktopの強み」米CitrixディングラGVP
  • まぁ、色々使えた方がうれしいけどね。
• 仮想化の普及進む、クラウドは15％、サイバーテロ対策に遅れ－データセンター動向調査
  • 仮想化技術はどんどん普及していますねぇ。今こそ適用範囲とかを充分に精査する必要がありそうです。
• Facebook悪用の“スパム王”に7億1100万ドルの賠償命令
  • はぁ、すごい金額だ。個人で払えるものではないなぁ。
• 「日本企業には“CIO”が少ない」、日本IBMが世界2500人のCIOの調査結果を発表
  • 肩書きで仕事が出来るものでもあるまいし。別に少なくてもいいんじゃない？そんな仕組みにうつつを抜かさず実務をしっかり行うことが先でしょ。
• わかりますか？ この言葉～「プラグインの更新なんて無理！」という方に
  • すてきなコラムです。反省しなければならん…。

その他

• 「大戦略」がブラウザゲームに　ハンゲームで
  • 懐かしいです。いや、マジで。
• 天気予報は誰のもの？　気象庁VS.ウェザーニューズ　バトルの行く末
  • こんなところにまで規制があるんですねぇ。しらなかった。
• Wikipediaはネットの肥溜 - 西和彦
  • すごい、こんな戦いをしているのか。でもこの人くらい有名で行動力のある人じゃないとできないよなぁ。