• Security関係
  • SSLトラフィックを傍受する“ヌルターミネーション攻撃”――専門家が報告
    • BlackHat USAでの発表が元になっている。MD2の脆弱性問題とPKIの問題その根にあるX.509問題というところが悩ましい。
    • 日本でもこの種の証明書は使われているはずで、MD2かどうかは判らないけど公的個人認証に使われているPKI/CAは大丈夫なのかいな？
    • 住基カードと証明書を持っている人は、是非調べてみて欲しい。残念ながら僕は持っていないけど。
  • 無線LANのWPAをわずか数秒から数十秒で突破する新しい攻撃方法が登場、早期にWPA2に移行する必要あり
    • （シナリオ１）WEPが駄目→WPAに移行→WPAも駄目→WPA2に移行ってお金無いよ。移行できないよ→取りあえず忘れる
    • （シナリオ２）WEPが駄目→WPAに移行→WPAも駄目→WPA2に移行→WPA2も駄目になる→…。イタチごっこ
    • 無線は物理的なケーブルと違って多重化できないし、混信するし、（通常は）指向性を持たせることは面倒だし。要するに只のHUBであってSwitchではないことをもう一回考えましょう。
  • HPのセキュリティ・ラボ、ブラウザベースのダークネット「Veiled」を披露
    • いまやコンピューター系の力のあるところはこぞってセキュリティを研究しているんだなぁ。p2pのあとのBrowser Based Darknetか。p2pよりも取り締まりが難しそうだ。
  • SQLインジェクション攻撃検知数（2009年7月まで）
    • そうか、SQL Injectionは減りつつあるのか。まぁ、そうだろうなぁ。効果が小さくなってきているからなぁ。ただ、それでもこれだけの攻撃数があるというのは凄いね。
  • 7月は「ゼロデイ攻撃」が続出、ソフトの使用中止や回避策で防御を
  • コンピュータウイルス・不正アクセスの届出状況[7月分]について
    • IPAの発表は情報ソースが偏っているという難点はあるものの、やはり情報量が多いのでそれなりに役に立つわけで。
    • ただねぇ、ゼロデイ攻撃を受けないための注意点に、ベンダーからの情報に注意しろってのがあるけど、それ、どうなのよ？メルマガとかを見ろと言われたって困るよねぇ。
    • ゼロデイは一般には情報がない（専門家は持っている可能性があるけど）段階での攻撃なんだから、ユーザー側で防げると思うのは幻想。
  • チェックしておきたいぜい弱性情報＜2009.08.06＞
    • CSIRTでもこういうのやってますねぇ。基本的には、各システムを出来るだけ最新状態に保てと言うことですね。
  • 今年も危険な“夏季休暇”，休む前にパッチ適用を徹底しよう
    • こちらも似たような話。ともあれ、ちゃんと対策はしておきましょう。
  • Security Update 2009-003 / Mac OS X v10.5.8
  • Mac OS Xの更新版が公開　18項目の脆弱性を解決
    • 大量にFixがあるなぁ。どうしたものやら。まぁ、アップデートするしかないんだけどね。
  • [http://www.itmedia.co.jp/news/articles/0908/06/news021.html|Mozilla Storeが一時閉鎖　ユーザー情報流出か]]
  • Mozilla Storeが一時閉鎖　ユーザー情報流出か
    • 実に対応・反応が早い。こうあるべきですね。
  • SSH 通信において一部データが漏えいする可能性
    • sshまでも危険なのか。まぁ、全てのプログラムは何らかの、問題を抱えているものだから、仕方がないのかな。
    • ま、幸いなことに、全て今は最新だから、この問題にやられることは無さそうだ。
  • APOP におけるパスワード漏えいの脆弱性
    • APOPも終わってしまった。仕方がない。SSLでIMAPでがんばるか。
• Computer関係
  • ウイルス対策ソフトの評価は「検出率」だけで十分か？
    • 流石のメンツですね。内容もすばらしい。
  • ブラウザシェア統計に起きた変動--「Safari」のシェア急落
    • 統計に嘘をつかれないように、騙されないようにするというのは本当に難しいことですね。
  • 「IE6はもういらない」――Web企業が撲滅キャンペーン
    • 気持ちはよく判る。判るけど、これもある意味わがままな話であって、IE5だか6の頃、それ以前のブラウザを排除した事の繰り返しじゃないか。
    • あのころから、「**でないと正しく表示されないことがあります」とかいう話が普通になってしまったわけで。それもどうなの？
  • Apple、爆発した iPod Touch の返金の代償として口止めを要求
    • あらら。まぁ、Appleと言う会社はこういう会社だけどね。しかし酷い話だな。
  • 総務省が2009年5月のインターネット・トラフィック総量の推計値を発表，初めて1テラを超える
    • そうか、もうとっくに1T超えていると思ってたけど、そうでもなかったんだ。やっぱり統計情報は必要だな。
  • NGNのIPv6接続方式が決定，トンネルとネイティブの2案を正式に答申
    • 結局決まったのね。まぁ、NTTの話だからな。
  • SSDだけで100TBの容量を実現するストレージが発売
    • 単純に、欲しい。速そう。凄いなぁ。こういうのを見るといわゆる暴力的な力で実装できるというのは凄いと思う。
• その他
  • 広島原爆の日：６日午前８時から平和記念式典
    • 今日は原爆の日なんだよね。子供のためにも、「戦争を起こさない」、「戦争に巻き込まれない」、「戦争に荷担しない」という意志が重要でしょう。
  • http://itpro.nikkeibp.co.jp/article/OPINION/20090805/335153/「イノベーション（笑）」と呼ばれる情報通信業界
    • 別に情報通信業界に限った話では無いよね。気をつけないといけないよなぁ。
  • 日本海軍　400時間の証言
    • さすがNHKですな。どこまでバイアスがかかっているかは判らないけど、是非見なくちゃ。あ、録画しておけば良いんだな。あとで設定しよう。
  • 4つの銀河が衝突する「ステファンの五つ子」(画像)
    • 美しい。ちなみに、銀河が衝突しても、恒星はほとんど衝突しません。ちょっと考えれば判るけど、衝突するほどの密度はないんですな。
  • ラーメン屋の新店情報サイト「ラーメンニュース」
    • おお、誰かがやるだろうと思ってたら、ついにやりましたなぁ。これ、ラーメン屋じゃないと恐らく成立しないんだよね。
  • 「らくらく助成金診断」無料キャンペーン開始
    • こういうのは利用しないとね。
  • 「番組規制の恐れ」　民放各社が情報通信法案に猛反発
    • そもそも、放送業界の都合を優先しすぎだと思う。ここに挙げられている懸念は確かにその通りだけど、それでも厚顔無恥だとおもうなぁ。

今日は何でこんなに「気になった」記事が多いんだろう？？

毎日こんな事になってしまったら大変なんだけど。

• Security関係
  • 「Twitter」を狙うようになった「Koobface」ワーム
  • Twitterを使った攻撃などに注意--トレンドマイクロの7月レポート
    • 当然のことながらTwitterも狙われるようになりましたね。次は何が狙われるんだろう？
    • みんなが使っていてそれなりに弱いものじゃないといけないから、これは難しい問題ではありますな。
  • Java Security Update
  • Javaの更新版リリース、多数の脆弱性とバグを解決
    • SUNがJavaを更新しました。しかし、MacOS-Xはなかなか最新版にならないんですよね。これは狙われると言うことだよね。
  • モジラ、深刻な脆弱性を修正した「Firefox 3.5.2/3.0.13」公開
    • So-netの記事は、公開されるのは少し遅いんだけど、常に内容が吟味されていて、非常に情報源としての価値が高い。
  • 【2】ISC BIND 9 に脆弱性
    • Weekly Reportにも記載されました。この対処は簡単なんだけど、確認がちょいと面倒でしたね。たまたま攻撃scriptがあったから確認できたけど。
    • ただ、攻撃scriptを公開することは、悪戯も含めた攻撃の可能性が高まることなので、痛し痒しですね。こういうのこそOutSourceすればいいのに。
  • ラック、情報漏えいリスク評価サービスを開始--通信パケットを分析
    • これ、技術的にはそれ程難しくないけど、商売にするのはそれなりに面倒なんだよね。流石LACだなぁ。うちでも出来るかなぁ？
  • KCCS、米nCircleの脆弱性スキャンサービスを販売－PCI DSS準拠企業を支援
    • 京セラか。nCircleを使うのね。Online-Game等では結構使われているシステムではある。
    • しかし、PCI/DSSに準拠しているかどうかの試験に使うツールとしての評価はどうなんだろう？Hacker-Safeよりはいいのかな？
    • なんか、Press-Releaseは出ているのにWebのサービスラインナップには出てないのね。いくらでどこまでやってくれるんだろう？
  • ［セキュリティ編］ウイルス・チェックは過剰でも過少でもいけない
    • 記事内容を批判するのはあんまり好きじゃないんだけど、この記事、何を言いたいのか全然判りません。何が「過剰」で何が「過小」なのかちっとも判らない。
  • Javaソースコード内のぜい弱性を自動検出するソフトをテクマトリックスが発売
    • 昨日も取り上げた気がするけど、jTestのSecurity対策版が販売された。世の中に、Source Codeからの検査が必要であるという事実は広がってきているらしい。
  • Windowsのブルースクリーンに見せかけた画面でだますマルウェアが
    • ビジュアルは重要ですね
  • Xen の hypervisor_callback 関数におけるサービス運用妨害 (DoS) の脆弱性
    • あちゃー。きちまったか。どう対策しようかなぁ。ってLinuxか。ああ、よかった。
  • 海の向こうの“セキュリティ”
    • 整理されましたね。しかし、結局目的は不明のままでした。まぁ、当然と言えば当然で、犯人（と呼べる人たち）が捕まらないとどうしようもないよね。
    • しかし、やっぱり現在のSecurity対策に関しては、後追いでしか無く、根本治療は不可能という結論にならざるを得ないところが残念。
  • サードパーティ製アプリが狙われる傾向に　攻撃を受けやすいのはQuickTimeなど
    • まぁ！今時、OSを直接攻撃するのは面倒で、ついでに言えばシステム組み込みソフトウェアも比較的さっさと更新されるからと言うことなんだろうけど。
    • でもね、QuickTimeはMacOS-Xに標準で組み込まれているApple社製のソフトウェアの筈なんだけど、なぜサードパーティー製？って、もしかしてWindows用QTのことか？
  • カスペルスキー、世界中のソフトウェア情報のホワイトリスト作成に着手
    • カスペルスキー、頑張りますね。
• Computer関係
  • 危機感抱え、スキルアップに余念がないエンジニア
    • まだまだ日本の技術者も捨てたものではないなぁと思う。コスト削減は重要なんだけど、スキルアップによって実はコストが下がることはあんまり認識してもらえないんだよね。
  • Twitter、マルウェアへのリンクをフィルターで防止--「不完全」との指摘も
    • コンピュータリテラシー以前に工学とか技術に関する基本的な知識がない人が多すぎる。「完全」は実装不可能なのに。
  • 「WindowsとOfficeへの圧力が強まっている」：MS、財務報告書で指摘
    • 単に、やっと寡占状態から競争状態に移行しようとしていると言うことでしかないのではないだろうか？
    • この程度でMSの優位が損なわれることはないだろうし、どうこう言ってもWindowsやOfficeはユーザーの環境基盤になっているのだから、当然、そのパイを食べたい人は多いよね。
  • IANAが新たにIPv4アドレス2ブロックをAPNICに割り振り，残りは28ブロックに
    • これが予想に対してどの位前後しているかが判らないと記事の意味がないと思うのは僕だけ？
    • というわけで、ちょっと見てみたら、大体予想の通りなのね。補正が入って居るであろう事は間違いないと思うけど、結構精度の良い予想なんだなぁ。
    • このまま進むと2011年に枯渇するという予測は正しそうであると言えますね。
    • ついでにIPv4枯渇時計をSidebarに入れてみた。まぁ、うざくなったら消します。
  • 米国防総省，10月までにSNSなどの利用ポリシーを策定
    • よっぽど被害にあって苦しいんだろうというのが透けて見えてきますね。
    • 暴論だけど、Web 2.0って「その辺にあるツールを適当に組み合わせて、アイデアを実装する」だけなので、安定性や安全性などはほとんど考慮されていないと思うのね。
    • というか、インターネットインフラって基盤技術としては未成熟で、あまりにもインフラが剥き出しすぎる気がしてます。ここを何とかしないといけないというのが今じゃないかな？
  • AIGエジソン生命がiPhoneを100台導入、営業社員の支援用途に試験利用
    • PDA兼電話としてのiPhoneの優秀さを伺わせるような話ですね。実際には、iPhoneは画面サイズが変化しないので、Applicationを開発しやすいだけという事かもしれないけど。
• その他
  • CMPテクノロジー、「Interop Tokyo」などイベント事業を譲渡
    • ああ、やっぱり藤原さんだ。昨日も書いたけど、藤原さんの考えからすればこうなるよね。
  • 自転車やジョギング等のデータを自動分析できるiPhoneアプリ
    • 格好いいなぁ。iPhoneってこういうユーザーが多いのか。そう言えば昔はPalmでもこういうのあったなぁ。
  • オイシックス農家からの納品物流を集約
    • うん、こういうの良いよね。こういう使い方をされると、システムの作りがいもあるんだろうなぁ。何より、最初に一気に全ての結果をほしがらないところがいいね。
  • ある経営者の回想（前編）--経営に必要なのは何よりもバランス
  • ある経営者の回想（後編）--事業の主役はP/LとC/F、B/Sはあくまで裏方
    • こういう考え方が出来るようになるまであとどの位修行しなきゃならないんだろう？
  • ＳＢＩが３億円所得隠し、不透明な業務委託料
    • あららら。
  • EA第1四半期、2億3400万ドルの純損失--「The Sims 3」は好調な滑り出し
    • これだけ開発にお金が使えるのは凄いことですね。やっぱり世界企業は違う
  • 携帯で性的な写真送る「セクスティング」、子供の間で増加
    • 一体どうなっているんだろう？子供の教育、大人のモラル、どう見ても社会が、そして人間が劣化している気がする。
  • 「著作権は5年で十分」--欧州議会で議席獲得した海賊党、主張の根拠を語る（前編）
    • ビジネス上は少し悩ましいとも言えるけど、個人的には大賛成。
    • 技術や創作物は公開・流通して始めて意味があるものであって、抱え込む事による弊害は「暗号アルゴリズム」を始めいくつもある。
    • 少なくともDisneyの都合による著作権保護期間の延長等という戯けた事態があることがおかしいと思う。

というわけで、暫くサボってましたが、今日は書けそうです。

• Security関連
  • やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合
    • 本当はここまで常に追いかけられればいいんだけど、そこまでは出来ないなぁ。
    • しかし、開発者がこのレベルだとすると、結構怖いですな。下手すると携帯電話が発祥のサービスはインターネットで使えなくなるかも。
  • 日本でボットネット急増を招いた「クライムウェアキット」の存在
    • おお、Bot生成ツールが記事になっている。時代が変わった…。
  • 個人情報を盗む「ニセのATM(現金自動預払機)」
    • げっ。DefConでもこういう事が起こるのね。もしかして、日本でも当たり前のように行われているのだろうか？？
  • テクマトリックス、ソースコードに潜む脆弱性を検出する「Jtest Security」
  • テクマトリックス，Javaコードの脆弱性検査ツールを販売
    • あらら、商売敵が来たよ、きたよ、来ちまっただよ。内容を確認しないといかんよね。
  • Macのキーボードファームウェアにrootkitを潜ませる攻撃方法が明らかに
    • この種の攻撃方法はもうセキュリティを考えると必ず出てきていた話題ではあるけど、実際にやれると言うところが本当に怖い。油断してはいけないのです。
• Computer関連
  • イベント・ログを自動アーカイブで長期間保存する
    • ほほう、Windowsも着々と進歩していますなぁ。
  • 人体へのハッキング攻撃：発達する「神経工学」とその危険性
    • ギブスンのニューロマンサーに代表されるサイバーパンクの世界はもう目の前だ。
  • |IDFusion、Mac向けの「App Store」をリリース
    • このモデル、今後広がりそうだな。充分にWatchしておかないとね。
• その他
  • CERN、大型ハドロン衝突型加速器実験再開をまたも延期
    • トップクオーク発見への道は遠い。
  • NOVA破たんの影響で語学ビジネス市場の縮小続く
    • たった一社の破綻でものすごい影響があったのね。凄いことですな。
  • Interop Tokyo、藤原洋氏の企業が買収--「本来あるべき姿を取り戻す」
    • 話は前から知ってたけど、こんな規模でPressに流れるとは。凄いなぁ。

出張で玉原高原に来てます。

というわけで、いつもの「気になった記事」は取りあえずお休み。

今回の出張は、研究合宿ですが、数学とインターネットを中心に据えて色々な人が色々な人がしゃべっています。

この種のプライベート合宿だと、本当に色々な視点や研究・調査の話があって楽しいですね。

明日終わりだけど、ちょっと残念。でも早く家に帰って家族の顔を見たいとも思うしなぁ。

ああ、時間がない。今はここまで。

• Security関係
  • BlackHat USA+2009
    • マテリアルが公開されている。あとでじっくり見なければ
  • 検出率99.9％の法人向けウイルス対策製品「G Data」が日本進出
    • 検出率99.9%とやらは、恐らく既知の攻撃に関してでしょうね。いずれにしても、Virus Scanの市場は戦いが激化してますな。
  • Cisco IOS Border Gateway Protocol 4-Byte Autonomous System Number Vulnerabilities
    • BGPで4-Bytes ASNを取り扱う際に脆弱性ですか。しばらくはこの種の4-Byte ASでの脆弱性が見つかるんだろうな。
  • アドビ、「Flash Player」の深刻な脆弱性を修復するパッチをリリース
    • おお、早く当てねば。

• Computer関係
  • Alan Cox、Linusからの厳しい指摘に「もうたくさんだ」と言い残してTTYのメンテから降りる
    • あーあ、これでLinuxのtty関連は暫く駄目駄目になるな。人を追い詰めちゃいかんのだよ。
  • 「iPhoneの“脱獄”は多くのトラブルにつながる」，Appleが警告
    • 企業の側で利用者に制限を課すのもどうかとは思う。
    • Jail Breakをすること自体はユーザーの勝手。Jail Breakしたらサービスを使えなくするのはAppleの自由。それでいいんじゃない？

• その他
  • 「違法ダウンロードは社会正義に反さないが、権利者に悪影響」--文化庁
    • え？社会正義には反さないんだ。だったら、違法ダウンロードを取り締まる根拠がないじゃないか。
    • 文化庁というなら、著作権を保護するという立場からも社会正義に反すると言うべきじゃないのか？