Security関連

• 911アメリカ同時多発テロ事件の「真相」が不正プログラムに誘導
  • ふぅむ。好奇心の隙を突いたやり方ですね。Massを相手にするには上手い攻撃方法と言えそうです。
• Gumblar Trojan drive-by exploits spike following Adobe update
  • 攻撃手法が激化していますなぁ。Gumblarの攻撃対象として、UpdateされていないAdobe製品が利用されているという報告です。
• Cyber Security Awareness Month - Day 20 - Ports 5060 & 5061 - SIP (VoIP)
  • 連載物。
• Oracle Critical Patch Update (CPU) - October 2009
  • Oracleものです。この種のDBを使っているサイトは、DBがCritical Applicationになっている場合が多いので、対応も難しいですよね。
  • なかなか止めるわけにも行かないだろうし。
• WASC 2008 Statistics
  • Web Application Security Statistics
  • Web Application Security Consortiumの報告。Security関係者やS/I関係者は目を通しておくべきでしょう。
• CVE-2009-2909
• CVE-2009-2910
  • Linux kernelに関する脆弱性情報。
• CVE-2009-3615
  • Adiumですね。便利に使っている人は多いと思う。
• ネット上の発言監視：諜報機関や企業向けのシステム
  • これはある意味でかなり恐ろしいシステムですね。このデータを保持した上で、長期的に記録されたら、何に使われるか判らない…。
• CAPTCHAで惑わしマルウェアに感染、SNSの偽サイトで
  • 賢い。ここまでするか〜
• iPhone
  • Apple iPhone OS の WebKit コンポーネントにおける情報漏えいの脆弱性
  • Apple iPhone OS の UIKit コンポーネントにおける情報漏えいの脆弱性
  • Apple iPhone OS の Telephony コンポーネントにおけるサービス運用妨害 (DoS) の脆弱性
  • Apple iPhone OS のリカバリモードコンポーネントにおけるバッファオーバーフローの脆弱性
  • Apple iPhone OS の MobileMail コンポーネントにおける重要な情報を取得される脆弱性
  • Apple iPhone OS の Exchange サポートコンポーネントにおける Microsoft Exchange 制限を回避可能な脆弱性
  • Apple iPhone OS の CoreAudio コンポーネントにおけるバッファオーバーフローの脆弱性
  • はい、一杯出ました。はやくPatch当てましょう。

Computer関連

• 消費者庁と総務省、迷惑メール送信で2社に改善措置命令
• 出会い系業者2社に「特定電子メール法」違反で措置命令（総務省と消費者庁）
  • 実際、迷惑メールは本当に迷惑ですね。最近ではいろいろなツールではじいていますが、1日に1000通を超えると泣きそうなので。
• カスペルスキー氏曰く、「インターネットの匿名性を廃止したい」
  • 言っていることは理解できる。でもね、Anonymousyを無くしてしまうのは反対。一般サービスでも、多くは匿名での利用が可能なのだから。
  • ただ、匿名性を排除しないと防げないということも事実。
  • 要するに、仮想世界と現実世界があるとして、仮想世界は「仮想」であるが故に「現実」に比べて制約条件が緩い（少ない）ことが本質なんだと思う。
• ［今後の展望］通信競争政策の行方を占う三つの視点
  • 解説記事としては、参考になります。
• ハウジングに要するコストはいくらか
  • これ、今更聞けないと言うほど一般化している物？この業界にそれなりに長い私ですら全て明確にすることは難しいのに。
• 「このメッセージは自動的に消滅する」――使い捨て伝言板「CQC」
  • うーむ、120万か。アイデア商品ではあるなぁ。でも高くない？
• グーグルやアマゾンなどがネット中立性ルールの制定をFCCに要請
  • ネット中立性って何？
• 米サン・マイクロ、３千人削減　身売り遅れ、収益悪化
  • 当局の判断で会社をつぶしていい物か知らん？

その他

• JEITA、デジタル放送専用録画機への録画補償金適用に撤回要請
  • JEITA頑張れ。
• 解決されていないSF映画の疑問：スター・ウォーズ編
  • なんか、凄く人気があったんだろうなぁ。今日もやっている。
• 回転ドラム式の電気自動車コンセプト『eRinGo』
  • ううむ、こんな車が町中にあったらおもしろいかも。
• 劣化した電力網をITで革新
  • どうして劣化した電力網をITで何とかできるのかちっとも判らない。
• オリオン座流星群ピーク　１時間に５０個の流れ星も
  • 東京でみるのは難しいよなぁ。

Security関連

• zlkon、gumblar、martuz 再臨
  • 来た。そろそろ本格的に亜種が出回るんじゃないかと思ってたら、やっぱり来ましたねぇ。この攻撃は未だに対策できないんだから。
• Conficker.Bの蔓延をネタに偽アンチウィルスソフトをインストールさせようとするスパム
  • これ、手元にもものすごい数が届いています。今のところここ１週間で100くらいかな。まぁ、引っかかりませんでしたけどね。
• 不正改ざんは多数の個人ブログが標的に、セキュアブレイン調査
  • うーん、個人のページがやられるとかなり面倒なんだよね。
• Open source Web server scanner Nikto 2.1.0 released
  • でました。
• Web Protection Library – CTP Release Coming Soon
  • ほぉ、どんな物なんだろう？興味あるなぁ。
• Microsoft Anti-XSS Library v3.1 Released
  • MSもか。最近のWebの惨状に手をこまねいているわけにはいかなくなったというところかな。
• MSの無償ウイルス対策ソフトは既存のウイルス対策ソフトと同時に使えるか
  • まぁ、同系統のシステムを同時に使うとややこしいことが起こるのは当然でしょうね。
• マイクロソフトの無料対策ソフト、公開から1週間で150万ダウンロード
  • そうか。ただだもんな。
• DDoS攻撃への対応：パート1
  • まぁ、この程度でしょうね。これが簡単に防げるなら、そりゃビジネスにできるよ。
• VMWare updates ESX
  • VMwareです。早めにUpdateし…たいところですが、Guestの停止もあると苦しいよね。
• Cyber Security Awareness Month - Day 16 - Port 1521 - Oracle TNS Listener
• Cyber Security Awareness Month - Day 17 - Port 22/SSH
• Computer Security Awareness Month - Day 18 - Telnet an oldie but a goodie
• Cyber Security Awareness Month - Day 19 - ICMP
  • 連載物
• Cyrus IMAPd にバッファオーバーフローの脆弱性
• Dovecot の Sieve プラグインにおけるバッファオーバーフローの脆弱性
  • SieveとのInteractionの問題ですね。
• Mozilla Firefox の JavaScript エンジンにおける任意のコードを実行される脆弱性
  • JavaScript関連。そろそろJavaScriptも捨てないとだめなのかなぁ？
• 文科省サイト「ライフサイエンスの広場」、サーバーがウイルス感染
  • 文科省もか。
• CVE-2009-3696 (phpmyadmin)
• CVE-2009-3697 (phpmyadmin)
  • PHPmyadminを一般公開するような事は普通しないでしょうけど、結構深刻な問題です。
• CVE-2005-4881}} * [[http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3612|CVE-2009-3612}} * Linux netlinkに関する脆弱性である可能性の高いものです。 * [[http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3228|CVE-2009-3228
  • 同じLinuxでも、こっちはスケジューラーですね。
• CVE-2009-3546
  • PHPとGDの組み合わせは非常によく見かけるので、早く直してほしいものです。
• Webサイトの脆弱性対応、15％に再修正の指摘
  • ははぁ。今のS/Iベンダーは技術力が落ちているので、こういう状況はむしろ「たった15％か」という感想になってしまう。

Computer関連

• Webアプリケーションにおけるセッション管理についての私なりのまとめ
  • Web Applicationを書くならこのくらいは知っているべきでしょう
• 誤報是正「無罪判決でWinny利用者増加」は誤り
  • さすが高木先生。少なくとも「他人の書いた物はそのまま信じてはいけない」ということです。まぁ、その段で言えば、自分で検証していないので、高木先生の発表が正しいかどうかは判断できないんですけどね。
• ［総論］ほころび見え始めた通信政策の“2006年体制”
  • そうですか。
• スウェーデンの国別ドメイン「.se」が DNS 誤設定でダウン
  • 基幹システムはケアレスミス程度のミスで巨大な影響を及ぼしてしまうと言うよい例です。
• ハードウェアサポートを拡張したOpenBSD 4.6がリリース
  • まだXenには対応されていないんだろうか？対応してほしいなぁ。
• Git+SSH+マルチユーザ
  • gitってどうなんだろう？
• ISP各社とCATV事業者などがIPv6対応状況を報告
  • v6サービス提供が2012年内って、どれだけ先の話だ？
• 消費者の理解を得にくい，ネット家電のIPv6問題
  • 大変によく理解できます。Networkだけなら簡単でもApplicationまで行くとかなり面倒なんだよね。

その他

• ネットカフェ：匿名可の店、犯罪２倍　本人確認４割どまり－－都内・警視庁調べ
  • 何でもかんでも管理すればいいとは思わないけど、犯罪が2倍は怖いですね。まぁ、ネットカフェに行かないから関係はあまりないんだけどね。
• 学力テスト，40%抽出しないと正確でない？
  • 統計の勉強していれば、どのくらいの数を抽出しなければならないか位は判るはずなんだけどなぁ。
• 解決されていない「SF映画の疑問」6選
  • 正面切って疑問と言いにくかったことを切り込んでます
• スマートグリッドの正体
  • スマートって全然スマートじゃないじゃん。ファットと言えば？

Security関連

• JIPDEC クレジット加盟店向け“情報セキュリティのためのガイド”（PCI DSS／ISMS準拠のためのガイド）を公開
  • クレジット加盟店向け"情報セキュリティのためのガイド"(PCI DSS/ISMS準拠のためのガイド)
  • ISMS認証取得に関する文書
  • まぁ、こういう啓蒙資料が流れることはきっとよいことなんでしょう。しかし、PCI/DSSとISMSといっしょくたに考えるってどうよ？＞JIPDEC
• 平成２０年度「個人情報の適正な保護に関する取組実践事例調査」報告書
  • ううむ、章ごとにばらばらのPDFはやめてほしい。報告書自体は良さそうです。
• エフセキュア2009年度第3四半期セキュリティ統括を発表
  • 少しは安全性に興味を持つ人が増えたと言うことか。しかし、攻撃手法は激化する一方で、アプリケーションはどんどん脆弱性を突かれているわけね。
• 任意のイーサネット・フレーム（Ethernet II）を送信できるツール"EthSend"をPTRSで公開
  • お、ぐっとくるツールだねぇ。
• スパムで利用されるTargetted URLの応用
  • ううむ、巧妙だ。すごいなぁ。
• 複数のサイボウズ製品におけるクロスサイトスクリプティングの脆弱性
• 複数のサイボウズ製品におけるクロスサイトスクリプティングの脆弱性
• 複数のサイボウズ製品におけるクロスサイトスクリプティングの脆弱性
  • あうあう。これ、大丈夫なのかしら？
• Linux kernel の RTL8169 NIC ドライバにおけるバッファオーバーフローの脆弱性
• Linux kernel の CIFS サブシステムにおける Unicode 文字列の処理に関するバッファオーバーフローの脆弱性
• Linux kernel の CIFS における長大な nativeFileSystem フィールドの処理に関するバッファオーバーフローの脆弱性
  • NICに、CIFSかぁ。早めに更新した方がいいね。
• libtiff の LZWDecodeCompat 関数におけるバッファアンダーフローの脆弱性
  • こういう、いろいろな物が参照しているLibの脆弱性が見つかると大変なんだよね。
• Cyber Security Awareness Month - Day 14 - port 514 - syslog
• Cyber Security Awareness Month - Day 15 - Ports 995, 465, and 993 - Secure Email
  • シリーズです。
• PCIDSSで迎えた最初の期限「データ廃棄」、その対応状況は？
  • ううむ、これは大変だ。これから日本でもこういう事が起こるんだろうねぇ。

Computer関連

• 9月版　帰ってきたCon Kolivas、大論争を呼ぶの巻
  • ううむ、すばらしい解析とHackだ。凄いなぁ。
• ネット犯罪：ログの９０日間保存を　プロバイダーに要請へ
  • ああ、これでlog保存期間の最低限は決まったな。
• 米Microsoft、Sidekickの「ほとんどのデータは復旧可能」と発表
  • ああ、やっぱり復旧できるのか。そうだよね。バックアップを取ってて復旧できないなんて考えられないもんね。でも、どの程度のデータがなくなったんだろう？
• 「電子メール時代の終焉」は来るか：「メールを使わない人」が増加
• それでもメールは生き残る
  • どうなんだろうなぁ。まぁ、重要度が落ちてしまうことは考えられるけど終焉というとちょっとなぁ。極端すぎないか？
• 「http://」の「//」は要らなかった、とWWWの父
  • ああ、そうか。//は確かに無くてもいいかもしれない。

その他

• メタマテリアルを使った「卓上ブラックホール」
  • これいいなぁ。色々用途がありそう。
• 総務省、電気通信事業分野における債権保全措置に関するガイドラインを改正
  • ううむ、これも倒産対策か。
• 「着メロは演奏、著作権を侵害」の主張、裁判所が棄却
  • いわゆる権利団体ってどれだけ強欲なんだよ！
• 宇宙を知るイベント「宙博」　12月に開催
  • うちの子が3歳過ぎたら連れて行きたいな。今東京都心で満天の星空を見ることは叶わないけど、どこかに連れて行くのもいいなぁ。
• 世界初「漫画の新聞」　最新ニュースを漫画で解説
  • みてみました。今までのを一通り。まぁ、こういう物かという感じですね。漫画書くのは大変だけど、大丈夫なのかな？

午前中、少し時間に余裕があったので、入力してなかった名刺情報をアドレスブックに登録してみた。

毎回思うんだけど、この名刺情報の入力ってなんでこんなに面倒なんだろう？OCRで読み取ってvCardにしてくれれば楽なのに…

しかし、ISMSだのPmarkだので名刺情報が重要情報になっている（まぁ、整理された個人情報だからねぇ）ので、こっちに入力してオリジナルを処理しておかないと管理面倒だもんなぁ。

ああ、悩ましい

最近、気になった記事を書くためにニュースを読んでいるような気がしてきまた。こう言うのを木乃伊取りが木乃伊になるというのだろうか？

Security関連

• Cross-Domain Security
  • MSからの情報です。しかし、可能性とはいえ結構いやな攻撃ですねぇ。
• URLを巡るだましの手口
  • ははぁ、そろそろ一般化してきたのか。以前からIDNがらみではこういうことが起こるだろうなと思っていましたが。
  • 例えば、日本語と中国語でもほとんど同じ字形の文字があって、これを利用するとURLは異なるのに見た目は同じになるわけです。フィッシングにはすごく便利。
  • だからIDNなんてやめるべきだとまでは言わないけど、ユーザーが判断する方法がない手法は使わない方がいいと思うなぁ。
• 「SSL証明書を更新してください」、新たなウイルスメール出現
  • おお、これはいい方法だ。だまされやすいだろうなぁ。
• Cyber Security Awareness Month - Day 13 Proxies (TCP 3128, 8080 & ......)
  • 連載もの。
• Microsoft October 2009 Black Tuesday Overview
• Adobe Reader and Acrobat - Black Tuesday continues
  • Criticalばっかりじゃないか。早くPatchをあてないとやられるよ。でもいくら言ってもやらないんだよねぇ。
• Latest PDF Zero Day Leads to Exploit Egg Hunt
  • なるほど。こういうPDFコードなのね。要するにActionScriptを使ってshell codeを実行させるのか。すでに検出は困難だなぁ。
• [Winny]流出：かんぽ生命保険から顧客情報/コープぎふから人事情報
  • しかし、なんで今更nyを使うかねぇ。shareでいいじゃん。ってお勧めはしませんがね。
• 海賊版販売で逮捕相次ぐ～代ゼミ講義映像、コアリズムDVD、音楽DVDなど4件
  • どんどん逮捕しちゃって下さい。だいたい、手法が幼稚なんだよ。
• CVE-2009-2908
  • Linux Kernelの脆弱性情報。一応patchは出ている模様。
• マルウェアを含んだスパムが増加、Symantecの報告書
  • 実際、実感として増えてます。

Computer関連

• htmlspecialchars/htmlentitiesはBMP外の文字を正しく扱えない
  • I18NやUnicode問題は根が深いですね。わりあい昔から色々言われていました。去年のBlackHat Japanでもやはり文字コード問題が元となる脆弱性の話をしてました。
  • やっぱり「普段使わない」人たちは問題の根本を理解するのが難しく、普段使わないから面倒で修正しないという事なんでしょうねぇ。
• ファイル共有利用が激減：YouTubeなどの台頭で
  • ふーん、確かにずいぶん減っているなぁ。
• 社内外の仮想化環境を丸ごと運用代行、アイネットが月額30万円で提供開始
  • こう言うのをサービスと言うんだろうな。
• Microsoft、Dangerでのユーザーデータ消失について声明
• T-Mobileの「Sidekick」ユーザー、マイクロソフトのサーバ障害に激怒
  • まぁ、これはいろいろな意味でどうしようもない話ですね。信用は失墜しましたな。

その他

• 原子操作の20年：画像ギャラリー
  • 科学技術の進歩は凄いですねぇ。想像の向こう側にある位の話ですね。
• 古書店事故、棚の固定不十分か　ビスで上下二段重ね
  • 本ってものすごく重たいんですよ。古本屋だったらそんなことは判っていると思う。ちゃんとした本棚を使わないと危険だってことです。
  • 被害にあった子、無事に戻ってこれることを祈ります。
• 子育て応援手当：政府、支給停止の方針
  • 「予算見直しが不十分」という理由はいかがなものか。そんなことを言うくらいなら「無意味だから止めるくらい」言えばいいのに。