今日の気になった記事 (@10:30)

• IT系でも活用しなければ損。論文を読んで広がる知見
  • おお、これは便利だ。前から論文検索サイト探してたんだけど、あんまり良いのがなかったんだよね。
• 情報漏えい対策で重要なことは？
  • セキュリティにおいて一般に対する啓蒙活動は常に継続されなければならないので、やっぱりこういう記事があると便利だよね。
• IPv6マルチプレフィックス問題とは
  • なんか、やっぱり根本的に間違っている気がする。
  • Multi-Prefix問題の根本にあるのは「Source Address Selection」と「Routing」が本質的に統合されていないこと。
  • これはIPv6の設計において結構大きな「未定義」問題ではあるけど、だからってMulti-Prefixを使わなければ解決とは言わないと思う。
  • 一つの解決策は、「アドレス割り当ての際に、Prefixだけでなく到達できるネットワークを渡す」ということ。
  • これを拡大解釈するとFull-RouteをTerminalに渡すことになって大変なことになるが、制限をある程度付ければ十分に可能だと思う。
• 短縮URLを使ったスパムメールが急増--MessageLabsが警告
  • ううむ、やっぱりこの種の手抜き（のための）システムはやられてしまうんだなぁ。便利＝利用者が増える＝攻撃対象になる＝解析されるということか。
• VMware，Oracleに買収されたVirtual Iron向けの乗り換え優待キャンペーン
  • 仮想化の世界でもシェアの奪い合いが激化してきたなぁ。生き馬の目を抜く世界だし、まぁ仕方がないけどね。
• Web攻撃の急増で深刻な脅威に、Fortinetの報告書
  • 今やインターネットは無法地帯と化しているなぁ。いや、無政府状態なのか。
  • 自由に伴う責任を教えないまま、有効な罰則もない、制限もないインフラを広げてしまったのは恐らく罪なんだろうなぁ。
• Norton 2010がβ公開　新防御システム「Quorum」を搭載
  • 導入するソフトウェアのレピュテーションを元にマルウェアを判断するのか。これは凄いなぁ。
  • 試みとしては非常に面白いので、是非うまく行って欲しいものです。利用者は、多少の齟齬は大目に見ないといけないと思う。
• Mozilla Labs、開発者向けツール検索サービスを立ち上げ
  • Open Web Tool Directory
  • ちょっとだけ見てみたが、私は古い人間なので、ちょっと直感的に理解できなかった。もうすこし触ってみないと…
• カメラ内蔵『iPod』で小型デジカメ市場は終焉？
  • ううむ、本当に小型デジカメは要らなくなりそうな気配だなぁ。なんかかなり説得力あるぞ(笑)
• クチコミに関するマーケティング協議会、7月29日に発足へ
  • こんな協議会が出来るなんて。

午後の追加(18:00)

• 韓国主要サイトに同時大規模攻撃　サイバーテロか
• 韓国：サイバー攻撃、４時間接続不能　政府、メディアなど被害
• 国内外主要サイト同時多発「サイバーテロ」は初めて
  • すごいなぁ。主要サイト全部にDoS/DDoSかぁ。
• IPAとJPCERT/CC、脆弱性対応のガイドラインを改訂へ
  • 「情報セキュリティ早期警戒パートナーシップガイドライン」の改訂。

今日はDNS Dynamic Updateと格闘。ようやっと勝った。

要するにallow updateに記述するアドレスをIPv4「だけ」にしてたのが敗因。

詳しいことは、今度Wikiの方に。

今は1:12だが、こんな夜中に気になった記事が出てきたので、書いておくことに。

• 「Content Security Policy」でクロスサイト・スクリプティング攻撃を阻止
  • ついに、XSS(Cross Site Scripting)対策の技術が出てきた。これは良い流れだと思われる。じっくり読んでみよう。
• 「Day of The Switchover DTV」報告
  • 米国版地デジ対応の報告らしい。あまり混乱は無かったとのことだが…

昼間の追加(10:30)

• 計算で他人のカード番号割り出す「クレジットマスター」初摘発へ
• カード番号の規則性悪用「クレジットマスター」　流出防止は困難
  • クレカの番号割り出しは計算式を知っていれば割合簡単にできるんだけど、やっと捕まったか。
  • カード決済の方式にも色々あるけど、計算で一位に決められる数値を元に認証するようじゃぁどうにもならないよなぁ。
  • PCI-DSSとか色々やってても、こういう基本的な部分に穴があるんじゃぁどうしようもない。そもそも決済代行会社や小売店からすれば、人ごとだし。
• iPhone 3GSのロックを解除するソフトが公開
  • iPhone 3GsもついにJail Breakされたか。まぁ、時間の問題だったんだけどね。

夕方の追加(18:50)

• 静岡空港サイトに虚偽情報～リンク切れに困ったユーザーの書き込みで発覚
  • 気の毒というか、情けないというかは別として、やっぱり今時のシステムは難しいんだと言うことを実感。
• マルウェア駆除も含むセキュリティ監視サービス、アンラボが中小企業向けに
  • やっぱりアンラボは人海戦術が好きなのか？でも、セキュリティ企業でここまでやるのは大したものだと思う。

例によって、気になった記事です。

• アップルの出願特許3件が公開--触覚技術、指紋認識、RFID
• 触覚フィードバック機能付きタッチスクリーン，Appleが特許申請
  • ううむ、こんなところで特許を取るんだ、という感じ。
• バカ売れ「500色の色えんぴつ」
  • こういうの良いよねぇ。ちょっと欲しいなぁ。うちの子が喜ぶかな？
• ColdFusionの脆弱性を突いたサイトハッキングが多発
  • あらら。まだColdFusionって使われていたのか。全然知らなかった。

ううむ、多くの人が使っているアプリケーションで脆弱性が出ると。怖いなぁ。まぁ、脆弱性はどうしてもあるものだと思うけど。

• SquirrelMail におけるセッション固定の脆弱性
• SquirrelMail における任意のコマンドを実行される脆弱性
• SquirrelMail におけるクロスサイトスクリプティングの脆弱性
  • リスメールはWeb Mailとしては結構便利なので、使っている人多いんだろうなぁ。周りにも数人いるし。
• スパムの83.2％がボットネットから--シマンテック調査
  • 感覚としては認識していたけど、やっぱりなぁ。送信者を特定されたくないもんなぁ。
• B-CAS見直し、新方式は年内策定へ、「ライセンス管理は既存団体で」との意見も
  • 「放送事業者の放送事業者による放送事業者のための規格」が壊れるのは良いことだと思う。でも結局利権団体が増えるだけになりそうだし、規格がまた増えるという悪影響もあるだろうし。でも今時、見たい番組がないことを考えると、どうでもいいような気もするし…
• Panda Securityが暗号解読コンテストを開催
  • 今時、暗号解読はものすごく大変なので、素人では手が出ないと思うけど。
• 脆弱性解決の自動更新機能はもう限界？
  • ううむ、おまけに釣られてマシンを買う人、まだいるんだ！と言う気分。と思ってちょっと考えたら、逆だ。ソフト屋さんがソフトを売るためにプレインストールでお試し版を配るんだよな。それが工場出荷時点のPCに入っていると言うことか。
  • 確かに、一般ユーザーはわざわざプレインストールアプリケーションを削除したりしないだろうなぁ。おまけソフトに自動更新も無いだろうし。
• 新種マルウェアが減少も、年間最多ペースは変わらず――G DATA調べ
  • いや、減少したと言ったって8万種も新しいのが観測されたんでしょ？と言う話。どう考えたって今の仕組みではsaturateするでしょう。
  • Virus Checkerだけでなく、自分で自分の身を護らないといけない時代なんだけど、恐らくそれが出来る人は一握り。人を育てるにも時間がかかるし。