昨日はクリスマスイブ、今日がクリスマスです。

Security関連

• IPA、Windowsのセキュリティ設定項目を確認できるツールを公開
  • 便利そうですね。IPAもそれなりに色々公開してくれていますね。
• IPA、セキュリティ評価・認証基準「CC/CEM」の新規格を公開
• IPA、ITセキュリティ評価基準の新規格を運用へ
  • CC/CEM バージョン3.1 リリース3 の公開及び運用について
  • しっかり読んでおく必要がありそうです。
• AmazonやSalesforceに一時障害、DNSプロバイダーにDDoS攻撃
• 今度はAmazonのDNSがやられる–顧客道連れで早めのクリスマス休暇(DoS攻撃によるダウン)となる
• Xmas商戦シーズンはDDoSで稼ごう #2
  • DDoS攻撃ですか。帯域系のDDoSは防ぎようが無いもんなぁ。Connection攻撃でもそうだし。
  • この時期に攻撃するところがなかなか。営業妨害だからねぇ。
• データセンターまで借りて利用するサイバー犯罪者たち
  • あのぅ、これってある意味当然のことじゃないか？驚くほどのことか？というか、ここが一番拠点にしやすいと思う。
• 経済産業省、年末年始に向けてセキュリティ管理の注意喚起
  • 年末年始は定常の状態ではないので、十分な注意が必要です。
• JNV/NVD方面
  • JVNでSun JAVA SE系、Apache系、MySQL系が発表されています。NVDではLinux kernelやphpGroupWareやZend、その他多数が公開されています。
• JR東日本も改ざん～「アニたまどっとコム」に続き新手の正規サイト改ざん
  • Gumblar/GENOの亜流と噂されるGNU GPL/Code 1系の話です。
• 某所
  • Joomla!とかFreeBSDとかに関するPoCが続々公開されていますね。また、Malwareに感染したもしくはMalwareを配布しているサイトのリストも巨大になる一方です。
• GnuPG 2.0.14 released
  • そろそろGPGも2系にしたいんだけどなぁ。なかなか上手くいかないんだよなぁ。
• 国内SNSの偽サイトが相次ぎ出現、携帯ユーザー狙いか
  • ああ、ついに来ましたか。携帯ユーザーだけと言うわけではないでしょうけどね。

Computer関連

• 「幸せなソフトウェア開発」時代の終焉
  • 別にSoftware EngineerやCoderに限らず、Network関係、Computer関係者は幸せな時代が終わったことを認識すべきでしょう。
  • 今まで趣味的にできたことができなくなる時代であるのは確かです。まぁ、「なぜそれをするのか」を問いかけなければならないのはいつの時代もそうだと思うけどね。
• IDN ccTLD「.日本」等の導入に関するアンケートへの回答
  • ccTLDのIDN問題ですが、個人的には「要らないんじゃないのか？」と言う思いが抜けません。これ以上いろいろ複雑にする意味が分かりません。
• USEN、ISP事業を19億6800万円でSo-netに譲渡
• USENのISP事業、So-netに2月1日譲渡
• USENのISP事業譲渡、来年2月に決定
  • ああ、ついに。限界だったんでしょうね。
  • これでso-netの規模はどれだけ拡大するんだろう？
• アフィリエイトへの不満、最も多いのは「収入が思うように伸びない」
  • アフィリエイトというけど、要するに口コミ広告モデルなんだから、自分の影響力を認識するべきではないでしょうか？
  • といいつつ、Amazonのアフィリエイトくらいはやってみようかと色気を出したりする。
• NTT、IPネットワーク状況を可視化する解析システム「IM-VIS」を開発
• NTT、IPネットワークの状態を視覚化する解析システム「IM-VIS」を開発
  • おお、美しい。やるなぁ。
• Opera、“7倍早い”「Opera 10.5」のプレα版リリース
  • へぇ、高速化に命をかけたのか。すごいなぁ。

その他

• 勘違いで「赤切符」、２年で２５１人に　山梨県警
  • これはひどくない？赤は一発免停だから業務に人は苦しいよね。ただ、スピード違反の結果だからある意味自業自得だけど。
  • ついでに言えば、警察は制限速度から見てかなりの余裕をもって捕まえているので、実際には40Km/h異常の速度超過であった可能性が高いと思うけどね。
• 府職員の不祥事、民間並み厳罰化へ…橋下知事指示
  • ようするに今までは民間並みでは無かった言うことでしょ？

気になった記事です。

Security関連

• Twitter創業者の新事業「Square」の衝撃
  • Securityを考えるとかなり危険な気もするけど、今のカード業界を考えればありかもしれない。どうせ漏れるなら簡単な方が良いと言う考えも成立するしね。
• JR東のサイト内検索窓に改ざん　運用停止
• JR東のサイトが改ざん　ユーザーにGENOウイルス感染の恐れ
• JR東日本のサイト、不正アクセスにより改ざん被害
• JR東日本公式サイトが不正アクセスにより改ざんされて一時停止中
• JR東日本サイトが改ざんされた模様
  • GENO(Gumblar)もしくはその亜種といわれています。もしそれが正しいなら、サイト管理者の認証管理が問われます。もちろん二次災害の責任も問われます。
  • 感染経路を追いかけるのは本当に難しいでしょうねぇ。どこで漏れたかを追跡することはおそらくできないでしょうから。
• Serious web vuln found in 8 million Flash files
  • すごい数ですね。Adobe Flashの命はこれで絶たれてしまうんでしょうか？
• OWASP Challenges World Governments to Improve Application Security
  • こういう活動はどんどん行うべきでしょう。
• Should The Whole Web Site Be SSL?
  • 個人的には、PKIの証明書が安価に簡単に入手出来る限りにおいては、SSL化するべきだと思う。ただ、SSL化すれば良いと言うものではないので、そのあたりが微妙。
  • そういえば、そろそろこのサイトも「オレオレ」証明書でSSL化しようかな？
• JNV/NVD方面
  • Sun JAVA/Open SDK/JDK、Sambaあたりの脆弱性が公開されています。NVDだとTYPO3が幾つも出てますね。
• 動画ファイルを偽った「タコイカウイルス」に注意。年末年始のセキュリティ対策再確認を
  • しつこく注意喚起です。
• Yahoo ID Helperを使ったBotのアカウント収集活動
  • う、これは嫌かも。
  • というわけで、Password関連
  • 「最もよく使われるパスワード」が判明：流出情報分析で
  • 安全なパスワードの作り方
    • 真面目な話、パスワードはすべての基本です。英数字記号文字を含めた八文字以上のパスワードを作って、長くても三ヶ月単位で交換するべきです。
    • ちなみに、管理しなければならないパスワードが多い私の場合、
      1. sshが使えるならそれを使う
      2. パスワードの系統を作成する
      3. 系統にそったパスワードを作成する
    • と言う方法である程度対処してます。でもそろそろ、自分の管理マシンに関してはPAMなりLDAPなりを考えようかな？
• PCをサンドボックス化、再起動ですべてを“なかったこと”にできる「Returnil」
  • これ、Honey Potに最適では？
• mwcollectd released
  • といってたらHoney Potソフトが更新されてました。
• フィッシング詐欺サイト情報
  • 相変わらず多いですねぇ。
• 『/*GNU GPL*/』『/*CODE1*/』のウェブ改ざん
  • ううむ、タコイカ、GPL/CODE 1、Gumblar系と一気にいろいろ来てますね。まぁ、年末だしなぁ。
• Web-Based Worms: How XSS Is Paving the Way for Future Malware
  • Web Based Wormなんて恐ろしいことを。でも技術的には出来そうだなぁ。かなり怖い。

Computer関連

• ｉＰｈｏｎｅでカラオケ２万曲　エクシングが新サービス
  • iPhone関係のサービスが増加する一途です。
• ウィニー「利用控える」４割　著作権法改正の効果出た？
• 2009年のファイル共有ソフトの「現在利用者」は9.1％，著作権関連3団体が発表
• ファイル共有ソフト利用者、2009年はわずかに減少――ACCS ら3社が報告
  • 普通、こういう質問されたら「控える」と言うよねぇ。まぁ、それでも意味はあると思うけど。
  • しかし、案外利用者って少ないんだな、一割切っているのか、
• 最近のWinnyノード数の推移
  • というわけで、ノード数の推移です。
• ［フレッツVPN］NGNは2メニューに整理，旧網からの移行促す
  • とりあえずVPNからか。まぁ、数が少ないからやりやすいんだろうな。
• 2010年中にICT関連規制を集中見直し，総務相が「原口ビジョン」発表
  • 関連規制ねぇ。まずは通信の秘密関係から見直してもらいたいものだが。
• 第79回 2010年に注目すべき戦略的テクノロジー・トップ10
  • 注目すべきテクノロジーですか。既に注目されているテクノロジーの間違いじゃないか？いずれにしても、注目すべきであることは確かだけど。
• 「クラウド」という技術はない
  • クラウドという言葉はバズワードであって、それ自体には意味はありません。そんなことは自明なんだけど。
  • クラウドを考える意味で言うなら、グリッドに代表される疎結合分散マルチプロセッシング系の技術か、仮想システム系の技術を基盤とした二系統があるというだけでしょう。
  • 機器単体のレベルでの仮想システムと広域分散した疎結合の連動計算システムの組み合わせがクラウドのイメージに近いんだろうけど。
• iSpy、子どものゲームを再現するiPhoneアプリ
  • これ、面白そうだなぁ。

その他

• 文科省が「宇宙ワンダー」　ゲームで宇宙を学習
  • へぇ、試してみようかな。

追加

Security関連

• WordPress Woopra Analytics Plugin Arbitrary File Creation Vulnerability
  • WordPress 穴ぼこありすぎ
• 情報家電のセキュリティリスクと対策：家電もマルウェアに感染する時代――脅威の今を探る
  • いや、家電が危ないのはもう五年以上前からでしょう。古くはHDD-DVD Recorderからなんだから。
• 第2回 ID管理技術をつなぐ女神、コンコーディア
  • 統合ID管理に関する技術プラットフォーム関連。まぁ、OpenIDでもなんでも良いので、使えるものが欲しいです。
• ＪＲ東日本のサイト改ざん。『/*GNU GPL*/』の不正なJavaScriptコード
  • ああ、Gumblarじゃないんた。GNU GPLなのね。
• そごう・西武「閉店も辞さず」　セブン＆アイ鈴木会長
  • こんなこと言っている暇があったら、7&Yのネットショップ対応したら？
• 10 秒でできる! 情報漏えい リスク シミュレーション
  • どうこう言ったって、MSはすごいよねぇ。
• Web サイト経由でのマルウエア感染拡大に関する注意喚起
• （お詫び）ホームページの再開について
• 「GNU GPL」で管理者をだます新手のマルウェア出現
  • どうやらあちこちで騒がれだしましたね。しかし、GNU GPLでダマされるか？
• NVD方面
  • PyForum他多数の脆弱性が公開されています。
• 鉄道監視システムをまひさせた新型ウイルスの脅威（前編）
• 鉄道監視システムをまひさせた新型ウイルスの脅威（後編）
  • たかだかVirusとは言っていられません。
• ロシアの犯罪組織、シティバンクのハッキングに関与か？――FBIが捜査へ
  • ほほう、Citiですか。でかいなぁ。

Computer関連

• マイクロソフト、「Word」特許侵害の控訴審で敗訴--問題技術を削除へ
• 米Microsoft、「Word」を巡る特許侵害訴訟でカナダi4iに敗訴
• 控訴審でも「Word」販売差し止め判決、Microsoftは該当機能の削除で対応
  • あらら、全面敗訴ですか。それは大変。
• AndroidがiPhoneから関心を奪いつつある？
• iPhone、2009年の米携帯シェアでトップに――Nielsen調査
  • 利用者は移り気なものです。

気になった記事です。

今日は本格的に何も無いですねぇ。

Security関連

• NULLED EXPLOIT PACK
  • このへん、Businessになる限り永遠に出続けるんでしょうね。まぁ、Toolになる分だけ確実な方法なんでしょうけど。
  • 問題は、今更すべてのインフラを交換して安全にすることは無理ということですね。
• マルウェア解析の現場から-02
  • この種の分析は報われない作業が大半なんですが、その地道な積み重ねがすべての根っこになってくるんですよね。
• ほぼリンク切れのないサロン情報リスト【ウィルス感染サイト報告】
  • さらされていますねぇ。ここでさらされないように気をつけよう。
• ［セキュリティ］Webへの“過信”を狙う攻撃が多発、2010年はクラウドが舞台に？
  • 要するに弱くて効率のよいシステムが狙われると言うことです。
• 安全なパスワードの作り方
  • 何度も取り上げてますが、パスワードは重要です。

Computer関連

• IIJ鈴木社長らが「JPRSユーザー会」設立、「.日本」の政策に異議
  • 言いたいことを言うのは重要です。サイレントマジョリティでは何も反映されないし。
• 東急ハンズがiPhoneと実店舗連動のクリスマス限定アプリ、Google App Engineを採用
  • iPhoneが相当数浸透していると言う事実があるんでしょうね。この種のサービスが成立しているところが凄い。

Security関連

• 年末年始におけるセキュリティ対策の再確認
  • 一通りまとまっています。読んでおきましょう。
• ファイルを「魚介類の画像」で上書き、「タコイカウイルス」に注意
  • いや、見た目はカワイイと思う、思うけどね。
• Twitter.comのドメインハイジャック
• DNS attack hijacks Twitter
• イランによる(?)Twitter攻撃の手口はこうだった
  • こんなに簡単にDomainがハイジャックされるとなると、根本的なところから見直さないとだめなのかなぁ？
  • イランかどうかはともかく、DDNSだったとは。そりゃ、ハイジャックはハイジャックだけど…。
• 人海戦術とツールが連携「CAPTCHA解読サービス」に警告
  • あらら、CAPTCHA解析プロジェクトも始動したかぁ。まいったなぁ。
• 7&Yネットショッピングのソースコード、ディレクトリトラバーサルで流出?
• セブンネットショッピング、「デモ用ソースコード」が流出、XSS脆弱性も　「個人情報流出はない」
  • 7&Y方面。しかし、7&Yもいつまで事実を隠して大本営発表するつもりなんだろう？
• List of Gumblar Zombie URLs
  • Gumblarは拡大の一途でございます。
• CNNIC changes have effect on spam tactics
  • .cnにおけるドメイン登録ポリシーの変更は、どうやら一定の効果はあったようですね。結局FreeMailに移っただけとも言えるけど。
• CVE-2009-3459, CVE-2009-4324, and one PDF trick
  • ええ、これ簡単すぎないか？マジで？
• WordPress 2.9
  • 更新が早すぎだと思うんだけど。まぁ、いいや。とにかくupdateしよう。
• +グーグルのDoodle検索、結果の約半数が詐欺サイトへのリンクに
  • うーん、どうなの？それ。SEO Poisoningはかなり有効ですなぁ。
• CSRF対策は基本?
  • うーん、CSRFの検出と対策が難しいのはわかる。それはそのとおりなんだけど、今時、Security対策を十分に行わないと酷いことになるわけで。
  • 難しいとかどうとか言わずに、ちゃんと対策されるべきだと思うんだよね。それでもしばらくすればまた新しい攻撃手法が開発されるんだし。
• PHP 5.2.12 Release Announcement
  • Security Fixが数件あります。
• JNV/NVD方面
  • Apple MacOS関係が多数出ました。また、Cisco関係とかいろいろ出てますね。
• 攻撃トラフィックの可視化――Security Day 2009
  • 可視化することは認識を明確にする意味があり、説得力も増すものです。でも難しいんだよね、これ。

Computer関連

• これは「エンジニアの反乱」ではないか？
  • こういう意見、きっと経営層には届かないだろうね。彼らには都合が悪いからね。ちなみに僕も基本的には同意です。
• 国の電子申請、システムの２割廃止へ　１４億円を削減
  • もう少し使いやすく、しかも統一されたシステムが欲しいです。今のままではあまりに不便です。ちっとは考えてもの作れよ。
• iPhoneアプリにアプリ内課金を導入してガッチリもうけるのだ
  • 儲かるのはAppleばかりなり。
• 2010年に公開されるメジャーアップデート版「Xen 4.0」
  • 「リリースされるかも」という以外に意味のない記事だなぁ。Xen4.0とそのDom0のLinuxのTuningには本質的な関係は無いだろうに。
• iPhoneのユーザー成長率、300％超で日本がトップ――AdMob調査
  • すごい成長。儲かりますなぁ。今街中歩くと、みんなiPhone持っているしなぁ。
• 使えるのはどっち？　ATOK vs. Google日本語入力
  • まぁ、いろいろ意見はあるでしょうけど。でもGoogle日本語入力の本質はIMEではないと思う。
• 業界団体がクラウド・セキュリティ・ガイドラインの第2版を発表
  • 日本語版はないのか？という冗談はおいておいても、内容は重要です。

その他

• いろいろな星の大きさを比較してこの地球がどの程度のものなのかがよくわかるムービー「Star Size Comparison HD」] * イメージ湧きます？ものすごいサイズだということくらいしか判らなかった。 * [[http://wiredvision.jp/news/200912/2009122123.html|光が反射する『タイタン』の湖：土星の衛星(画像)
  • 綺麗。

追加分

Security関連

• 共通IDを利用できる認証基盤の連携を、国内で実証実験
  • 認証はセキュリティの基本です。この種の動きは重要です。はい。
• 企業や家庭で実施すべき年末年始のセキュリティ対策――IPA
  • IPAも出しましたね。じっくり読んでください。
• ルートゾーンへのDNSSECの導入と展開
  • ああ、RootでDNSSECか。そろそろ本格的に考えないといけないなぁ。

Computer関連

• 休眠ＩＰアドレス探せ…国内売買解禁へ
  • あーあ、ついに売買か。経路情報が爆発するなぁ。
• 沖縄クロス・ヘッドと日本HP、沖縄でのデータセンター事業で協業
  • おお、すごいなぁ。沖縄も今ではお隣だし、東京と特に違いはないもんなぁ。
• 小さなiPhoneアプリメーカーの大きな成功　月間売り上げ100万ドルに
  • こんな会社は少ないんだろうね。
• クラウド市場、2015年には現在の5倍以上の7,438億円に――矢野研調査
  • へぇ。しかし、これも集中と淘汰が待っている。まぁ、当然だけどね。

気になった記事です。

Security関連

• クラウドのセキュリティ確保を目指すCSA，ガイダンス第2版を公開
  • ああ、日本でもこういうの必要になるんじゃないかなぁ。
• JNVDB方面
  • PostgreSQLの脆弱性が公開されています。
• NVD方面
  • Firefox/SeaMonkey/Thunderbird関係、Typo3関係、その他が公開されています。
• PHP 5.2.12 has been released
  • PHP 5.2.12です。
• Twitter outage via DNS hijacking
  • ははぁ、DNSハイジャックか。ってもしかしてcacheでもやられたのか？
• 2009年11月のワンポイントセキュリティ
  • かわいい。でもつついてみたらSilverLightだった。うーん、MSも本気だ。
• 【コラム】架空制空メール会社晒し上げの実況
  • 晒しますか。なかなかやるなぁ。でも、これ個人じゃないとできないなぁ。
• 検索サイトのキャッシュにもマルウェアの危険
  • ああ、あるある。こればっかりは気をつけても…。

Computer関連

• DNS data corruption occurs when the DNS records are transferred from a BIND DNS server to a Windows Server 2003 SP2-based DNS server
  • うーん、BINDとWindows 2003サーバーのDNSの間のゾーン転送に関するトラブルか。よく今まで発覚しなかったものだなぁ。
• アップル、ユーザーの視点で変化する3D表示の特許を申請--米報道
  • 技術として成立しているものだとするなら、すごいですねぇ。理論なのか実装もあるのか興味アリ。
• 「iPhone」、米スマートフォンOS市場シェアで「Windows Mobile」を上回る--comScore
  • ああ、やっぱりiPhoneが強いのね。
• iPhoneアプリ成功の法則とは？
  • 何でも成功するには利用者に支持されること、というわかりやすい話だとは思う。でも、それができないんだよね。
• ［米国］ グーグル、Android各バージョンのシェアをダッシュボードで公開
  • こういう情報がどんどん公開されるところがGoogleの本当にすごいところであり、恐ろしいところとも言える。

その他

• 「暗黒物質」らしき粒子、観測　米の研究チーム発表
  • 地道な観測ですね。でも本当に発見だったらすごいことですね。
• チェルノブイリ周辺の核汚染、予想より減少進まず
  • ああ、もう20年以上経つんだなぁ。
• 6割が10分以内にメール返信、4割の家庭がルールなし――小学生の携帯利用
  • すごいなぁ。なんでそんな短時間にメールが返信できるんだろう？