Last modified: Sun Apr 19 02:31:59 2009 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 DbxRescue (Zatta Suketta)。 Outlook Express を使っていて dbx が壊れたと騒ぐ人がいたのでこれを試してみたところ、中身は救出できたっぽい。まぁ、Outlook Express なんか使う方が悪いのだが。
》 「砂川事件」において、駐日米大使ダグラス・マッカーサー 2 世と田中耕太郎・最高裁長官とが密談していたことが発覚
右翼の人たちは、どうしてこういう事件 (あからさまな内政干渉) に対して声を上げないのだろう。
》 ヴァナモン (FFXIユーザサイト) 改竄 (リネージュ資料室)。この手の話も続いているようで。リネージュ資料室さん情報ありがとうございます。
》 Password stealing trojan with dash of FTP and a hint of parasite (McAfee blog, 4/29)。FTP プロトコル利用時のアカウント情報を傍受するトロイ、PWS-FerTP の話。
》 「小泉的なるもの」との政治対決をやがて迎えるという予感 (保坂展人のどこどこ日記, 4/29)
》 想像を超えた"ネットいじめ"の世界に絶句… - 学校裏サイト対策講座が実施 (マイコミジャーナル, 4/30)。利用者と保護者のスキルを高める必要があるようで。
安川氏はこうした事態を避けるため、「携帯電話の機能に『なりすましメールを拒否する』という設定があるので、ぜひこの機能を自分で設定するとともに、この方法を児童や生徒に教えてほしい」と参加者に強く要請した。
これか:
ケータイって機能が低い上に black box すぎるのがそもそもの問題だと思うんだよなあ。
》 (Minor) evolution in Mac DNS changer malware (SANS ISC, 4/30)。あら、shell script なんだ。
》 「日本で確認したフィッシングサイトが過去最多に」——RSAが報告 (日経 IT Pro, 4/30)
》 JPNICも“青少年ネット規制法案”に懸念表明 (Internet Watch, 4/30)
》 『Office』等の脆弱性を突く、国際的なスパイ・メールが活発化 (WIRED VISION, 4/30)。Espionage Trojans: Targeted Attacks Drive the Next Wave of Malware (RSA Conference 2008) の話。
》 読者のお宅の「防犯チェック!」(第18回)研究を重ねて建てた“防犯住宅”は完ぺきか? (日経 BP, 4/16)
》 米の殺人事件、再訴追不可が確定へ ロス事件審理に影響か (asahi.com, 4/30)
まったく、言えばいいだけの奴らは楽なことで。で、増産はいいんだけど、業務用が足りない話はどうなってるの?
》 総理がわびるべきは暫定税率よりほかにある (日経 BP, 4/28)
つまり、この間のドル安で日本政府は保有する米国債に6〜7兆円もの為替差損を生んだことになる。この金額は暫定税率廃止による減収である2兆6000億円の2年分以上にも当たる。なぜ、これだけの巨額損失が知らん顔される一方で、暫定税率がたった1カ月取りはぐれただけでこれ見よがしにおわびをするのか。わたしには、まったく理解できないのだ。
》 後発薬:「手当打ち切り」撤回 都道府県に通知…厚労省 (毎日, 4/30)。そんなにジェネリックジェネリック言うなら、国家公務員こそが率先してジェネリック only 医療に移行すべきだろう。
》 ダビング10の開始が延期になるかも (slashdot.jp, 4/29)。やっぱフリーオ買おう。
》 Windows Service Pack blocker tool (SANS ISC, 4/29)。現在公開されているものは、Windows Server 2003 SP2 / XP SP3 / Vista SP1 に対応している、という話。 日本語版ダウンロード: Windows Service Pack ブロッカー ツール キット (Microsoft)。 (typo fixed: Salvan さん感謝)
》 Race to Zero, what? (McAfee blog, 4/29)。要注目。関連:
》 WSUS 2.0 SP1 のサポート終了まであと 1 年となりました (Japan WSUS Support Team Blog, 4/30)
最新版の WSUS 3.0 SP1 では WSUS 3.0 初期出荷版に含まれたいくつかの不具合が修正されており、 WSUS 2.0 初期出荷版、または WSUS 2.0 SP1 からの直接バージョンアップもサポートされていることから、スムーズに移行いただくことが可能です。
WSUS 3.0 初期出荷版が公開された直後にテスト環境の WSUS 2.0 をアップグレードしてみたら、なんだか挙動がおかしかったので、本番環境の WSUS 2.0 はアップグレードしないまま今日まで来ている。今ならアップグレードしても ok なのかなあ……。
》 硫化水素自殺防げ 薬剤業界、販売自粛検討 (asahi.com, 4/30)
「自主規制」も始まった。ネット通販大手「アマゾンジャパン」のサイトでは今月中旬、洗剤などの販売を休止した。約2万3千店舗がネット上に出店する「楽天市場」でも、洗剤などの取り扱いを中止する店舗が出ている。全国医薬品小売商業組合連合会は、該当する商品の販売自粛を検討している。創業以来約100年、該当商品が主力だった中小メーカーは「このままでは死活問題。自殺方法を書いているネットには怒りを覚える」。
当該製品を本来の目的に利用している人にとっても死活問題だろう。
》 「死刑執行」の前後、テレビ朝日が放送 (asahi.com, 4/29)。今朝の「スーパーモーニング」。音声のみ。文化放送が放送を予定しているのと同じものの模様。
》 イギリス商務局(OGC)の新ロゴが「自分を慰めている」ように見える (gigazine, 4/29)。(^^;;;)。よく思いつくなぁ……。
BitDefender Antivirus 2008, Comodo Firewall Pro, Sophos Antivirus 7.x, Rising Antivirus に欠陥。フックした SSDT 関数の引数の検証が不十分なため、DoS 攻撃や任意のコードの実行が可能となる。
Microsoft が「そろそろ SQL インジェクション攻撃についてひとこと言っとくか」と思ったみたい。 関連:
A Web site with no field content control is pretty easy to fool into sending to the server a simple SQL command. To simplify:
“SELECT * FROM bank_data WHERE Userid=blah or 1=1”
Windows XP SP3 の Windows Update / Download Center での公開が中止されたそうです。
同社のMicrosoft Dynamics Retail Management Systemという製品との間での互換性に問題があると判明したため
自社製品かよ……。
元ねたによると、同様の互換性問題は Windows Vista SP1 にもあるそうで、自動更新での Vista SP1 の提供が中止されたそうです。ただし、Windows Update や Download Center ではひき続き公開されているそうです。
》 ドラッグ・ラグ:国際化待ったなしの生命科学 「英語の標準的な使用」を (JANJAN, 4/29)、【個の医療メールマガジン 第229号 2008/04/02】◆わが国の個の医療の落とし穴◆など (日経 BP, 4/17)
インドに行って肉体感覚として持ったことは、新薬の臨床開発は今やグローバル治験をアウトソースすることが前提となりつつあり、日本の企業が後生大事に抱えていた日本と欧米の一部の臨床開発要員の存在意義が問われるようになったということです。AstraZenecca社やPfizer社は臨床開発の人員そのものをリストラしています。
》 改革インドネシア 世界的コメ不足 政府も調達難に (JANJAN, 4/29)
》 【緊急点検!道路特定財源】(5完)「道路役人」幹部たち華麗なる天下り (JANJAN, 4/29)
》 内閣府 個人情報の保護に関する基本方針の一部変更及び個人情報の保護に関する法律施行令の一部を改正する政令が閣議決定 (まるちゃんの情報セキュリティ気まぐれ日記, 4/26)
》 米大手紙注目のサイバー・スラップ、却下される (SLAPP WATCH, 4/26)
》 情報源を訴える訴訟戦略の底意への洞察を (SLAPP WATCH, 4/26)。圧倒的な資金力を背景に、鎖の最も弱い部分を攻撃するわけですからねぇ……。
》 2008 IRPS前日レポート 〜半導体の微細化とともに信頼性の維持が難しくなる (PC Watch, 4/28)
》
第6回ばりかた勉強会のお知らせ。
2008.04.272008.05.31、福岡県福岡市、1000円。
》 第4回神戸情報セキュリティ勉強会「セキュメロ」のご案内 (CMUJ)。2008.05.24、兵庫県神戸市、無料。
》 脆弱性はPCよりも面倒? 組み込み製品のセキュリティ (ITmedia, 4/28)
》 【Interop Las Vegas】Array Networksが無線LANの新ソリューション,SSL-VPN使い接続制御 (日経 IT Pro, 4/29)
このソリューションのユニークな点は,認証もデータの暗号化もすべてSSL-VPNでまかなってしまうことである。無線LANで一般的な暗号化方式であるWPA(Wi-Fi Protected Access)やWEP(Wired Equivalent Privacy),認証方式のIEEE802.1Xなどは一切使用しない。
》 Implementing UFS journaling on a desktop PC (Manolis Kiagias)。geom_journal のつかいかた。
》 Scripts in ASF files (SANS ISC, 4/29)。ASF ファイルにはスクリプトを記述できるのだそうで。 関連: Windows Media ファイルにスクリプトコマンドを追加する (Microsoft)
》 犯行予告の“常連”「赤井尚人」名乗った都立高職員逮捕 (ITmedia, 4/28)、威力業務妨害:ネットに爆破予告 都立高職員の男逮捕 (毎日, 4/29)
》 新型インフルエンザ対策実施状況・・・社内マニュアルがあるのは4割弱 (まるちゃんの情報セキュリティ気まぐれ日記, 4/29)、 つづき
いつも思うことなんだけど、タミフルなどを「抗インフルエンザ薬」と呼ぶのはよくない (誤解を招きやすい) と思うんだよなあ。「インフルエンザ体内増殖抑制剤」とか呼んだ方がいいと思う。
》 生活保護受給者には安価なジェネリック医薬品を強制せよ by 厚生労働省
厚労省保護課は「生活保護の医療扶助は最低限の医療を受けてもらうのが目的。安全性や効用が同じなので安い後発薬の使用に問題はない。窓口で3割負担する人と比べ、負担のない受給者は(自ら)後発薬を選ぶ動機が働きにくく、制度に強制力を持たせないといけない」と説明している。
指導に従わない生活保護者を割り出すため、薬局に1枚100円の手数料を払ってまで処方せんを入手するとしており、なりふり構わぬ様子がうかがえる。
》 「聖火応援隊」やっぱり動員 中国当局が旅費負担 (asahi.com, 4/29)。彼らが五輪旗を振ってくれていればまだ理解できたのだが、中華人民共和国国旗だったからなぁ……。あれでは、どう見ても「聖火」を応援しているわけじゃないよなあ。
中国のイメージが損なわれないよう配慮していることがうかがえる。
「びっくり!! 君の国の沿道もまっ赤っか!」だけで十分キモかったです。 なぜ気づかない……。 一方で、表面上はチベット解放言いつつ、実は反共なだけの人がけっこういたようで。それはそれでキモすぎ。
関連:
チベット人と、これまで彼らを支援してきた日本のグループは、ほぼ全員が8時15分から善光寺で行われた法要に出席している。(中略) つまり、スタート地点でチベット旗を掲げて騒いでいたのは、チベット人でないどころか、チベット人を支援してきた日本人グループですらない可能性が高いのだ。このニセモノ連中ばかりがマスメディアに報道されてしまっていましたな……。
》 痴漢冤罪を防ぐために「男性専用車両」が導入される予定はあるのかを鉄道会社に聞いてみた【首都圏編】 (gigazine, 4/29)
》 チョコレートと交換でパスワードを教えてくれるのは男性より女性の方が多い (gigazine, 4/29)
こういうことらしい。
で、AMD OverDrive (AMD) を使うと、Vista SP1 においても errata 修正を無効にできる模様。
MS08-020 欠陥の発見者が、MS08-020 : How predictable is the DNS transaction ID? (Security Vulnerability Research & Defense, 2008.04.09) は間違ってるぜと主張している。
Wordpress 2.5 に欠陥。特殊なユーザ名で登録すると、他のアカウントの認証クッキーを生成できてしまう。CVE-2008-1930
Wordpress 2.5.1 で修正されている。リリースノートでは、この他に「Alex Concha から報告のあった XSS 話」も修正したとされている。
》 刑務所での物品販売を独占している法務省職員・OB組織が販売利益を自らの利益のために使用! (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊), 4/27)、 刑事施設における物品販売に関する意見 (日弁連, 2/15)
》 「Firefoxを使い続けるための“お勧め”設定」 , NoScriptを組み込んでいないFirefoxは使用停止に (日経 IT Pro, 4/28)。あくまで「Firefoxを使い続けるための“お勧め”設定」の話であって、「NoScriptを組み込んでいないFirefoxは使用停止に」するための設定が書いてあるわけではない。
》 Questions about Web Server Attacks (MSRC blog, 4/25)。例の大量 SQL インジェクション話。ここみてね↓だそうで。
》 メモリダンプと解析ツール HBGary (B-) の独り言, 4/26)
》 セーフティーネット・クライシス 〜日本の社会保障が危ない〜(仮) (NHK スペシャル, 5/11 放送予定)
》 スルガ銀行がIBMを訴えた内容の一部が判明 (slashdot.jp, 4/28)、スルガ銀と日本IBMの「動かないコンピュータ」裁判の訴状内容が判明、要件定義を3回繰り返す (日経 IT Pro, 4/25)
》 児童ポルノ法やネット規制法の現在の状況 (slashdot.jp, 4/26)。関連:
》 「学生の就職情報2009」の水増し表示疑惑、そのカラクリを検証 (gigazine, 4/28)
》 トルコ当局が国外退去者に国境の川で泳いで渡ることを強制 (国連情報誌SUNブログ対応版, 4/26)
》 バターがない (水無月ばけらのえび日記, 4/27)。品不足 by 農水省です。昨年末あたりから業務用の不足が話題になっていましたが、今年に入って家庭用も不足してきたと。 参照例:
数年前には大余りだったので減らしてみたら、オーストラリア大干ばつ等のあおりを受けて足りなくなったという……。世界を見てなさすぎ & 食料安全保障の概念なさすぎ。
》 韓国軍、F-15Kに射程距離400キロ台のミサイル搭載へ (朝鮮日報, 4/26)。AGM-158 Joint Air to Surface Standoff Missile (JASSM) (fas.org) だそうで。
》 インフルエンザ、アジアで誕生=墓場は南米、世界のウイルス解析−国際共同研究 (時事, 4/17)
》 バリ島で大規模訓練、新型インフルエンザ発生を想定 (読売, 4/25)
》 新型インフルエンザ対策セミナー「企業のパンデミック対策とその課題〜今、備えるべきこと〜」(4/20開催) (危機管理セミナー・イベント案内) というのがあったのね。 BCP 的な話だったみたい。http://influenza.jp/ も主に企業向けな内容だしなあ。
関連:
昨年11月。止瀉薬「正露丸」で知られる大幸薬品は、自社のパンデミック対策マニュアルを作成、公開するとともに、12月から感染症を視野に入れた「衛生対策キット」の販売をはじめた。キットは、ウイルスを不活性化する作用がある二酸化塩素を使った除菌・消臭剤「クレベリン」やマスクなどで構成する。これか……
》 『公安調査庁の深層』 (ESPIO, 4/25)
》 Xbox360を死亡させる耐久実験ディスクが流出中 (gigazine, 4/28)
》 How to troubleshoot performance issues in Windows Vista (Microsoft KB950685)
Step 1: Check the Windows Experience Index
値が低ければ、それは仕様。
》 Windows activation in Windows Server 2008 or in Windows Vista fails when you configure a non-Microsoft firewall to use HTTPS authentication to enable access to the Internet (Microsoft KB951011)。信頼済みサイトゾーンに当該 firewall のドメイン名あるいは IP アドレスを追加すべし。
》 Event ID 8194 is logged in the Application log when you install the 2007 Office system on a Windows Vista-based computer (Microsoft KB951036)。無視して OK。
》 Error message when a computer that is running Windows Vista SP1 resumes from hibernation: "System was shutdown unexpectedly" (Microsoft KB951218)。設定変更で対応できるそうで。
》 You cannot upgrade a Windows-based operating system when you have Windows PowerShell 1.0 installed (Microsoft KB950376)。な、なんだってー。一旦 PowerShell 1.0 をアンインストールするしかないそうです。で、upgrade に再インストール。なんじゃそれー。
》 Stop error message on a Windows Server 2003-based computer that has Citrix Presentation Server 4.5 installed: "0x00000076" or "0x000000CB" (Microsoft KB951033)。Citrix 側の問題だそうで。patch がある模様。
》 User profiles are corrupted after you log off from a remote desktop session to a Windows Server 2003 Terminal Server on which Symantec AntiVirus 10.1 is installed (Microsoft KB951029)。Symantec AntiVirus 10.1 / Symantec Client Security 3.1 の問題であり、Maintenance Patch 1 for Maintenance Release 5 of Symantec AntiVirus 10.1 and Symantec Client Security 3.1 で修正されているそうな。 関連: Roaming profiles persist and are not saved correctly through a Terminal Server session to Windows 2003 when Symantec AntiVirus 10.1 is installed (Symantec)
》 Error message on a Windows Server 2003-based computer that has the McAfee antivirus program installed: "STOP: 0x00000050 PAGE_FAULT_IN_NONPAGED_AREA" (Microsoft KB951030)。古いバージョンの Naiavf5x.sys で発生する模様。 関連かなあ: McaFee File System Filter Driver may cause STOP Error on Windows Server 2003 (msmvps.com, 2/21)。Naiavf5x.sys を一時的に無効にすれば回避できるそうで。
》 Description of the Windows Vista Feature Pack for Wireless (Microsoft KB942567)。Vista SP1 にのみ適用可能だそうで。
》 A handle leak occurs in a Server Message Block (SMB) session between two Windows Vista-based computers or between two Windows Server 2008-based computers (Microsoft KB948572)。patch があるそうです。
》 The Reassembly Failure counter displays a value that is higher than expected when you use the "netstat -s" command in Windows Vista (Microsoft KB949130)。Vista 上で netstat -s を実行した時の Reassembly Failures の内容はウソだそうで。patch があるそうです。
》 When you use an XPS printer to print an XPS document on a Windows Vista-based computer, the XPS document is not correctly printed (Microsoft KB948924)。patch があるそうです。
》 Performance may decrease on a server that is running the 64-bit edition of Windows Server 2003 and that has Symantec Notification Server 6.0 installed (Microsoft KB951031)。 Altiris Client Agent Service (AeXNSAgent) の不具合だそうで。 Rollup 7 (R7) for Notification Server 6.0 SP3 - Altiris Agent (version 6.0.2389) で修正されているそうです。 https://kb.altiris.com で 35454 を検索。
》 You receive an error message when you try to upgrade a x64-based version of Windows XP to Windows Vista (Microsoft KB951019)
You can only upgrade a x86-based version of Windows XP to Windows Vista. Upgrading from a x64-based version of Windows XP to Windows Vista is not supported.
ゲッ、仕様かよ……。
》 Stop error message on a terminal server that is running Windows Server 2003 SP1 or Windows Server 2003 SP2: "Stop 0x000000AB (SESSION_HAS_VALID_POOL_ON_EXIT)" (Microsoft KB951749)。patch があるそうです。
》 A memory leak occurs when the MessageBeep function is called in Windows Vista (Microsoft KB951119)。patch があるそうです。
》 When a Windows Vista-based computer receives a nonmaskable interrupt, the system stops responding, and no dump file is generated (Microsoft KB950904)。patch があるそうです。
》 Error message when you start a multiprocessor portable computer that runs Windows Vista: "STOP: 0x0000007E" (Microsoft KB950570)。Netio.sys の競合状態のためだそうで。patch があるそうです。
》 A list of ODBC system DSNs is truncated when the total number of characters that are used in all the DSN names is more than 7,500 on a Windows XP-based computer (Microsoft KB950982)。patch があるそうです。
》 Error when installing SP2 on Windows Server 2003: "Setup has detected a driver (elxsli2.sys) that is not compatible with Windows Server 2003 Service Pack 2." (Microsoft KB952239)。そのとおりなので、elxsli2.sys を削除してね。
》 PayPalフィッシングにひっかかりそうになった (高木浩光@自宅の日記, 4/26)。PayPal 自身がフィッシングを誘発しやすいサービスを提供している話。
》 衆院山口2区補選:民主・平岡氏が当選 医療制度追い風に (毎日, 4/28)。2 万票差ですか。 関連: 山口2区・平岡秀夫さんの勝利は歴史的金字塔 (保坂展人のどこどこ日記, 4/27)
》 高層ビル「だるま落とし」で解体 鹿島が新工法を実用化 (asahi.com, 4/26)。へぇ。
QuickTime 0day for Vista and XP (gnucitizen, 2008.04.25)。デモムービーあり。
Lhaplus 1.56 以前に欠陥。ZOO ファイルの扱いに欠陥があり、buffer overflow が発生、攻略 ZOO ファイルによって任意のコードを実行できる。 CVE-2008-2021
Lhaplus 1.57 で修正されている。1.50 以降用のアップデータも用意されている。 関連:
》 いわゆる「エルマーク」が、違法配信を識別する手段にはならないと明確化されました (日本違法サイト協会 ブログ, 4/26)
》 マスコミはなぜ「マスゴミ」と呼ばれるのか−権力に縛られたメディアのシステムを俯瞰する〜25日発売 (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊), 4/18)
HP ソフトウェア更新 (HP Software Update) v4.000.009.002 以前に欠陥。 HPeDiag ActiveX コントロールに欠陥があり、攻略 Web ページによって任意のコードを実行できる。 CVE-2008-0712
v4.000.010.008 以降で修正されている。HP ソフトウェア更新自身を使って更新できる。
関連: HP HPeDiag の ActiveX コントロールにおける複数の脆弱性 (vuln.sg, 2008.04.25)
》 「児童ポルノを定義できない法務省」って議員から突っ込むのは法務省に気の毒ですよ。 (奥村徹弁護士の見解, 3/3)。議員立法なんだから議員自身で決めろよ話。
》 Mailbot.f (a.k.a “Kraken”) gets stealthier (McAfee blog, 4/23)。447/tcp ですか。
》 Capture-HPC という client honeypot があるのですか。
》 はてな、モバイル版はてなダイアリーのゲストコメント制限を撤回 (Internet Watch, 4/24)、モバイル版はてなダイアリーのゲストコメントの仕様を元に戻しました (はてなダイアリー日記, 4/23)
》 全国の大学・高専にファイル共有ソフトに関する要請文を発送 (ACCS, 4/24)、わかってますか? Winny の実態
》 IAjapan 第5回 迷惑メール対策カンファレンス。 2008.05.20、東京都港区、2,000円。
》 中国の「愛国行動」をネットから分析する (Internet Watch, 4/25)
》 「こっそり対処」のMSの脆弱性、今になって明るみに (ITmedia, 4/24)、 New Vulnerability Disclosure for an Old Patch (McAfee blog, 4/23)、 CVE-2007-6255
》 高レベル放射性廃棄物、青森を最終処分地にせず 国が確約 (asahi.com, 4/25)
》 オリコン訴訟の判決についてのコメント (サイゾー, 4/22)
》 【RSA Conference】 ブログを読むふりをするウイルスまで——専門家が最新の脅威を解説 (日経 IT Pro, 4/24)
》 【RSA Conference】セキュリティを確保するGoogleのやり方 (日経 IT Pro, 4/24)、 Googleにおけるセキュリティへの取り組みを語る (Internet Watch, 4/24)
》 【RSA Conference】古いセキュリティ意識にとらわれていると,IT利用は後退する (日経 IT Pro, 4/24)。山口先生吠える。
》 人類は7万年前に絶滅寸前、全世界でわずか2000人 (gigazine, 4/25)
》 低迷Xbox360に強力助っ人 (夕刊フジ, 4/24)。あの人は今。
MSのセキュリティレスポンスチームから、まったく畑違いのXboxマーケティング本部へ自ら志願しての異動だ。(中略) 一見、ゲームとは無縁そうに見える奥天氏だが、「実は私、ゲーム大好きなんです」と言う。
ゲームも揃ってきたし、Xbox 360 はおもしろいよ。もうちょっと静かになってくれるともっとうれしいんだけどなあ。
》 第10回情報セキュリティ・シンポジウム 「金融業務と情報セキュリティ技術:この10年の経験と今後の展望」の模様 (日本銀行金融研究所, 4/21)
》 大衆化しているコンピュータ犯罪 (トレンドマイクロ セキュリティ blog, 4/25)。中国のフリーマーケットページで韓国のポータルサイトのアカウントが堂々と売りに出されていた話。
》 Baculaで楽々バックアップ (Open Tech Press, 4/25)。FreeBSD だとこれかな。
》 「本来あるべきフィルタリングへ」総務省の違法・有害情報対策検討会が中間報告 (Internet Watch, 4/25)。関連:
》 情報セキュリティ分析機能強化に係る基礎調査 (IPA, 4/25)。 基礎の充実の上に。お手持ちの烏口。
》 「中小企業の情報セキュリティ対策確認手法に関する実態調査」報告書の公開について (IPA, 4/25)
》 取材はたった1日だった!「植草一秀氏名誉回復訴訟」証人尋問 (JANJAN, 4/25)
》 JR福知山線事故『18歳の生存者』が手記 (JANJAN, 4/24)。関連:
ふと思って調べてみたら、2005年4月25日 福知山線5418M、一両目の「真実」 も書籍化されているそうだ。
妻には、事故直後から、JR側との対応を一手に任せてきた。人数がいるばかりで、全く自主的に考えて動くことができず、ほとんど役に立たないJR職員に向き合って、そしてJR西日本という会社の体制や姿勢を目の当たりにして、彼女はかなりの不満を積もらせていた。しかも、彼女は以前航空会社に勤めていた。同じ、たくさんの乗客の命を預かる交通機関でありながら、あまりもの意識の差、体制の差を目の当たりにして、怒りを通り越して驚きを感じていたようだった。
航空会社の事例を引き合いに出して、航空会社ではこんなことをしているのに、御社はどうなっているのか、などの指摘が進む。特に事故が起きたとき、ダイヤの復旧ばかりを重視しており、負傷者の救護に関するマニュアルがないのではという指摘には、彼は観念したように、そのとおりだと告白した。JR西日本は10年前の信楽高原鐵道事故にも関連しているのに、そのあたりの意識の低さには改めて驚かされる。遅きに失している感もあるが、今からでも航空会社に学ぶべきことはたくさんある。
その後、JR 西日本は少しは学んだんですかねえ。
》 「AVG Anti-Virus Free Edition 8 日本語版」無料配布開始 (マイコミジャーナル, 4/25)
》 「コードギアスR2」放送前にまた流出 予告映像のキャプチャ画像が (ITmedia, 4/25)
》 闇サイトで復讐の女に実刑 福岡地裁、硫酸で大やけど (毎日, 4/25)
容疑者は不正取引を行った当時、入社して間もなかったため、職場内訓練(OJT)の一環として、複数の課から、M&Aの企画・提案に必要な顧客企業との交渉経緯や株価の算定などに関する資料の作成を依頼される立場にあった。
情報が分離されているように見えるけど、実はそうじゃなかった、という事例かなあ。
高知県香南(こうなん)市香我美町の市営住宅(5階建て)で23日夜に起きた硫化水素自殺が原因とみられる異臭騒ぎで、病院で手当てを受けたのは70人と、巻き添えとしては異例の被害者数となった。同市消防本部は「硫化水素ガスは空気よりやや重く、発生した3階から下へ拡散、階上の住民も下に避難したため、被害が拡大したのではないか」とみている。(中略) しかし、同消防本部は、住民らを屋外に避難させた後、速やかににおいのしないところまで離れるよう指示しておらず、山崎良満・同消防本部次長(45)は「避難誘導に課題が残った」と反省。人数については、報道各社で多少の前後があるようだ。サンスポ記事では 72 人になっている。
硫化水素を発生させた後、放置して逃げており、「死ぬのが怖くなった。誰かが巻き込まれても構わないと思った」などと話しているという。
迷惑なのは硫化水素自殺だけじゃないからね。 例: ホームから男性飛び降り 地下鉄御堂筋線7万8千人影響 (asahi.com, 4/25)。電車飛び込み系は肉体がバラバラになるので、掃除も大変なんだよね。
自殺を実行する前に、相談窓口 (自殺予防総合対策センター) にでも連絡してみなよ。
》 ウイルスバスター2008 Microsoft Windows XP Service Pack 3 への対応について (トレンドマイクロ, 4/25)。最新状態に更新してあれば ok ok。
》 JAXAから研究員応募者70人分の個人情報が漏洩 (slashdot.jp, 4/22) の #1334741 を見てびっくりしたのですが、経済産業分野ガイドラインの改訂状況を知らない人って意外に多いんですかね。
平成19年3月30日付改正版でこんな文言が追加されてます。(p.27)
ただし、例えば、以下のように、二次被害の防止の観点から公表の必要性がない場合には、事実関係などの公表を省略しても構わないものと考えられる。(中略)
・高度な暗号化等の秘匿化が施されている場合
「高度な暗号化って何?」については、個人情報保護ガイドライン等に関するQ&A (経産省) の No.77 を参照。例示されている条件:
もっとも、「等」なので、これに限るわけじゃないです。
最新は平成20年2月29日付改正版です。
関連: 情報政策 - 個人情報保護 (経産省)
この欠陥を悪用した標的型攻撃が流行っているそうです。
Adobe Reader / Acrobat 8.x は 8.1.2 にアップデートすればよいのですが、Adobe Reader / Acrobat 7.x 用の patch はいまだに公開されていません。
バージョン7.0.9およびそれ以前のAcrobatおよびAdobe Readerもこの脆弱性の影響を受けます。アドビでは、このセキュリティの問題を解決するためのAdobe ReaderおよびAcrobat 7のアップデートを5月末までにリリースする予定です。
なんとも悠長なことで。
Photoshop Album Starter Edition は、日本では Photoshop Album Mini という名前なのですね。
》 10億円の横領・・・ (まるちゃんの情報セキュリティ気まぐれ日記, 4/24)。この話:
》 ANNOUNCE: Security Implications of Windows Access Tokens Whitepaper
》 未成年者の判断力を補うのは親権者の仕事 (崎山伸夫のBlog, 4/19)
》 Stephen Fry and the Gutenberg Press (Okumura's Blog, 4/21)。BBC の番組だそうです。
》 企業監視サイト備忘録 (SLAPP WATCH, 4/20)
》 内部告発サイト・Wikileaks復活にアンチ・スラップ法が果たした役割(1) (SLAPP WATCH, 4/18)、 (2) (SLAPP WATCH, 4/19)
》 見舞金なのか、保険金なのか (日体大水泳部・宮嶋選手問題) (保坂展人のどこどこ日記, 4/18)
》 「青少年インターネット規制法案」が成立すると、日本のネットは完全に死ぬ (gigazine, 4/23)
》 米大手紙がサイバー・スラップに注目 (SLAPP WATCH, 4/21)
》 「情報セキュリティ対策ベンチマーク バージョン3.1」と「診断の基礎データの統計情報」を公開 (IPA, 4/21)
》 Cryptmountでファイルシステムとスワップ空間を保護する (Open Tech Press, 4/24)。FreeBSD 6 だと geli(8) ですかねえ。使ったことないけど。
》 ネットいじめ対応アドバイザー養成テキスト (Okumura's Blog, 4/24)
》 セカンドオーダ・クロスサイト・スクリプティング (日経 IT Pro, 4/22)。関連: Second-order Code Injection: Advanced Code Injection Techniques and Testing Procedures (technicalinfo.net)
》 生活保護者の通院交通費支給基準を厚労省が改悪 (JANJAN, 4/22)
》 【緊急点検!道路特定財源】(4)公共事業ならすでに「一般財源」化 (JANJAN, 4/22)
》 映画「靖国 YASUKUNI」 弁護士会館で試写会 シンポ 侃々諤々 (JANJAN, 4/24)
関連: 映画「靖国」問題 新潮・アエラ (戦後責任ドットコム, 4/22)
》 「量刑カプセル」閉じこもりの母子殺害裁判報道 (JANJAN, 4/24)
》 取材記者が語った「集団自決」の真実と体験者の深い心の傷跡と (JANJAN, 4/24)
》 六ヶ所再処理工場営業運転の危険(5)深刻な放射能汚染を憂慮する医師たち (JANJAN, 4/24)
》 イラク空輸「戦闘地域の認識なし」と斎藤統幕長 (JANJAN, 4/24)
》 震災や大規模災害にメディアはどう取り組むべきか 新潟で学習会 (JANJAN, 4/24)
》 新攻撃ツール「トルネード」出現、改ざんサイトを経由して攻撃 (日経 IT Pro, 4/24)。英語読みならトーネードだと思います。 関連: 14種類のセキュリティ・ホールを攻撃できる「Tornado」 (日経 IT Pro, 5/21)
》 後期高齢者医療制度・怒りの声ホットラインに続々電話 (保坂展人のどこどこ日記, 4/24)、 やっぱり出た後期高齢者医療制度による犠牲者〜山形市の親子心中事件を読み解く〜 (JANJAN, 4/24)
》 Default key algorithm in Thomson and BT Home Hub routers (gnucitizen, 4/14)。当該機器でのデフォルト WEP / WPA パスワード生成アルゴリズム。
》 Content Injection: Hack the Hacker (gnucitizen, 4/11)。IPS (ModSecurity 2.5) を使ったコンテンツ改ざん (コンテンツ挿入) 方法例。
》 Reverse Shell with Bash (gnucitizen, 4/19)。たったこれだけで ok。
》 2007年下半期のセキュリティ調査,利益目的のマルウエアが増加 (日経 IT Pro, 4/23)。Microsoft による調査。
》 春の微熱と「死刑」をめぐり考えること (保坂展人のどこどこ日記, 4/23)
》 RegRipperがバージョンアップ (B-) の独り言, 4/24)
》 大規模 SQL インジェクション、またもや発生しているようで
<script src=http://www.nihaorr1.com/1.js><script> とかですか……。
》 セキュリティ基準「PCI DSS」第2回 ISMSやプライバシーマークとは全く違う (日経 IT Pro, 4/22)
》 バイオ燃料計画を中止したドイツ (JANJAN, 4/24)
》 世界的な食糧危機は「静かな津波である」と警告:WFP (国連情報誌SUNブログ対応版, 4/23)
》 攻防 プーチン帝国 VS メディア 〜ロシア 大統領交代はどう報道されたか〜(仮) (NHK スペシャル, 5/12 放送予定)
》 杉並「つくる会」教科書採択に関する住民訴訟控訴審第1回口頭弁論で裁判官を忌避 (JANJAN, 4/23)
》 【RSA Conference】暗号技術の世界にも「2010年問題」——専門家が現状を解説 (日経 IT Pro, 4/24)。SHA-1 / RSA1024 リプレース話。
関連: 情報セキュリティ政策会議 第17回会合 (NISC, 4/22)。
詳細スケジュールなどは今年度 (2008 年度) に決めるのね。
情報セキュリティ政策会議 #17、重要インフラ話もあります。
綿引穣裁判長 (中略) 業務請負・人材派遣のクリスタル(現グッドウィル)が対メディアで起こした4つの高額請求名誉毀損訴訟のうち、唯一、メディア敗訴の判決を下した人でした。
》 NHK番組改変、賠償命令判決見直す可能性 最高裁弁論 (asahi.com, 4/24)。なにしろ、現在の最高裁は、小泉内閣人事によってつくられていますからねえ。
文化審議会でこの契約問題が検討されたが、06年1月の報告書では「見直しを求める意見があった」などの表現にとどめ、所管する文化庁自身にも変化を求める動きはなかった。
》 役立つ情報 (NTT 西日本 トータルセキュリティサービス)。明確なゴールが存在しない、サイコロ次第で上司にほめられたりけなされたりするというあたりが妙にリアルなセキュリティ投資すごろくなどがあります。2500 万円もの予算は存在しない職場も多いと思うけど。
》 殺人未遂:バットで殴られ中3重体 無職少年逮捕 千葉 (毎日, 4/23)。プロフですか。関連:
また、2人は事件当日まで面識がなかったが、生徒はプロフに自分の写真を張り付けて本名を公開しており、少年はこれらを手掛かりに連絡先を割り出し、呼び出したとみられる。
》 光化学スモッグ:原因のオゾンの約半分が中国起源…九州 (毎日, 4/23)。汚染大国チャイナ。
》 中国兵器、荷下ろしできす「漂流」 ジンバブエ向け輸出 (asahi.com, 4/23)
Symantec decomposer rar bypass allowed malicious content. (SANS ISC, 2008.04.22)。検出するにもかかわらず、ウイルス入りの .rar ファイルが Symantec の SMTP gateway を通過してしまう模様。
Wintercore Research:: Advisory W01-0408 - RealTek HD Audio Codec Driver Local Privilege Escalation (Wintercore, 2008.04.23)。RealTek HD Audio Codec Driver RTKVHDA.sys / RTKVHDA64.sys 6.0.1.5605 以降で修正されている模様。
Python ねた
ICQ Vulnerability (US-CERT Current Activity, 2008.04.22)。ICQ 6.0.0.6059 へのアップデートが推奨されている。
RSA Authentication Agent ねた
RSA Authentication Agent 5.3.3.378 で修正されているそうだ。
AST-2008-006 - 3-way handshake in IAX2 incomplete。 Asterisk 1.0.x / 1.2.x / 1.4.x などに影響。 Asterisk 1.2.28 / 1.4.20 で修正されている。 CVE-2008-1897
日本語版: APSB08-11 - Flash Playerのセキュリティ脆弱性に対処するためのアップデート公開 (Adobe)
APSB08-12 - Update available for ColdFusion 8 CFC method access level issue (Adobe, 2008.04.08) の日本語版登場: APSB08-12 - ColdFusion 8 CFCメソッドのアクセスレベルに関するアップデート公開 (Adobe)
新型myloのオレオレ証明書を検出しない脆弱性がどれだけ危険か (高木浩光@自宅の日記, 2008.04.23)
この話:
Trend Micro Control Manager 3.5 Patch 4 登場。「Control Managerの脆弱性診断サービスにおいて、任意のコードを実行するリモート攻撃をうける可能性があ」る欠陥が修正されている。
Photoshop Album Starter Edition 3.2 に欠陥。攻略 .BMP ファイルによって任意のコードを実行できる。patch はまだない。 CVE-2008-1765
Photoshop / Photoshop Elements については、昨年 7 月のAPSB07-13 - Photoshop CS2およびCS3のセキュリティ脆弱性に対処するためのアップデート で対応されている。まだ対応していない Photoshop / Photoshop Elements 利用者は今すぐアップデートしませう。
Photoshop Album Starter Edition は、日本では Photoshop Album Mini という名前なのですね。
Adobe Album Starter 3.2 Unchecked Local Buffer Overflow Exploit (milw0rm)
GNUCitizen の中の人が QuickTime for Windows の 0-day な欠陥を発見、実証コード (攻略 .mov ファイル) の作成にも成功した模様。詳細は不明。 CVE-2008-2010
QuickTime 0day for Vista and XP (gnucitizen, 2008.04.25)。デモムービーあり。
》 吉野家向け米国産牛肉に特定危険部位 (asahi.com, 4/23)、米国産牛肉:消費者不安再燃も 吉野家「完全復活」1カ月 (毎日, 4/24)
》 バイオ燃料への転換が農村部の女性に不利益をもたらすと警告:FAO (国連情報誌SUNブログ対応版, 4/22)
》 マイクロソフト、Windows XP SP3を出荷開始 一般向けは4月29日を予定 (computerworld, 4/22)
》 セキュリティ要件検討支援ツール (IPA, 4/22)
》 中国製偽シスコ・ルータが米国の重要インフラに流通している件 (武田圭史, 4/23)。正規ディーラーから購入していればニセ物をつかまされる事はまずないと思うけど、セキュリティ的にはむしろ、「本物なのにバックドア入り」の可能性の方が……。
》 マカフィーが情報漏えい対策統合製品を8月から販売 (日経 IT Pro, 4/22)
》 「青少年インターネット規制法案」にヤフーとマイクロソフトと楽天などが共同で「反対」を表明 (gigazine, 4/23)。関連:
この結果から、保護者が「把握している」と思っているだけで、実際には、子どもの利用実態を把握できていないケースが少なくないと考えられる。
》 ソマリア沖の海賊被害多発、国連安保理で取り締まり強化検討 (読売, 4/23)。無理なんじゃ……
》 JASRAC、公正取引委員会の立入検査を受ける。 以前から指摘されていたネタに対して、ついに公取が動いたという感じなのかなあ。
公取委が問題視したのは,JASRACが放送事業者と結ぶ「包括的利用許諾契約」の内容である。包括的利用許諾契約で放送事業者は,前年度の放送事業収入の1.5%をJASRACに支払うことになっている。このため放送事業者はJASRAC以外の著作権などの管理事業者の管理楽曲を使う場合,JASRACとその管理事業者の両方に楽曲の使用料を支払わなければならない。そのため放送事業者は楽曲の年間使用料を減らすため,JASRAC以外の管理事業者が管理する楽曲の使用を控えかねない。
》 全米大学対抗のサイバーディフェンス競技でベーカー大が優勝 (Open Tech Press, 4/23)
》 【RSA Conference】日本の情報セキュリティは,自らを知ることから始まる (日経 IT Pro, 4/23)
「まずは自分のレベル/能力を正確に把握することが重要であり,己の力が分からない状況で情報だけを収集してもダメだということだ」(小川氏)
それが簡単なら世話ないんだけどねえ。
》 AsiaBSDCon2008フォト公開,CrossOver Games for FreeBSD,適応型アイドリング,GJournal記事,他多数 (FreeBSD Daily Topics, 4/22)
》 サンフランシスコで考えた,聖火リレーとセキュリティ (日経 IT Pro, 4/22)
セキュリティで大切なのは,「諦めること」であり「割り切ることである」−−。
俺的には、「そこまでするなら、いっそ『聖火リレー』そのものをなくせばいいんじゃないの? こんな形式を取ってまで『聖火リレー』を行う意味あるの?」と思ったけどな。『聖火リレー』なんてどうでもいい事じゃん。
》 2008年第1四半期の脆弱性届出情報 (葉っぱ日記, 4/22)
》 Webブラウザにパスワード入力機能,産総研がFirefoxとApacheモジュールを公開 (日経 IT Pro, 4/22)、フィッシング対策のためのHTTP相互認証プロトコル (産総研)。
ブラウザ側での対応を機能拡張として実装することは難しいのだろうか……。
》 ウイルス検索エンジン VSAPI 8.700 公開のお知らせ (トレンドマイクロ, 4/23)
1. 下記ファイルタイプの検索対応
RAR自動実行形式、ZIP自動実行形式、NSIS(Nullsoft Scriptable Install System、Nullsoft社製インストーラ)、chm(コンパイル済みHTMLヘルプファイル)
注意:NSIS 1.xで作成されたファイル形式はサポートしておりません。
以前は対応していなかったということですねえ。
2. 検索処理中の復旧機能の強化
検索処理中の不正ループが発生した際に、処理中断によって回避する機能を強化しました。
3. ウイルスパターンファイル読み込み失敗時の対策強化
メモリ不足等でウイルスパターンファイルが読み込めなかった際の復旧機能を強化しました。
以前は回復・復旧できないことがあったということですねえ。
4. メモリ管理機能の強化
ウイルスパターンファイル更新時のメモリ解放処理を強化し、より効率的なメモリ管理を実現しました。
以前は無駄があったということですねえ。
ソニーと言えば……と思って謝辞を見たら、やっぱり高木さんだった。
新型myloのオレオレ証明書を検出しない脆弱性がどれだけ危険か (高木浩光@自宅の日記, 2008.04.23)
》 「オリコンチャート」記事めぐる訴訟、オリコン勝訴 ジャーナリストに賠償命令 (ITmedia, 4/22)、オリコン訴訟、東京地裁判決、烏賀陽側に100万円の賠償命じる (SLAPP WATCH, 4/22)。地裁名物トンデモ判決がまた一つ。
》 Microsoft,「Windows Vista」発売1年の節目でセキュリティ分析レポートを公開 (日経 IT Pro, 4/18)
》 はてダのゲストコメント制限はiモード公式サイトだから (崎山伸夫のBlog, 4/22)
》 ムスリムによるSLAPPが目立つらしい (SLAPP WATCH, 4/21)
》 Ubuntu Linuxの企業向けサーバ版、満を持して登場 (computerworld, 4/22)。Ubuntu 8.04 LTS Server / Desktop 登場。 関連: Ubuntuだけが頼り? レッドハットとノベルは一般向けLinuxを今後も提供せず (computerworld, 4/21)
》 フィッシングサイトの見分け方 (ゆうちょダイレクト, 4/21)、ゆうちょダイレクトを名乗るフィッシングメール (ともちゃ日記, 4/22)。ともちゃさん情報ありがとうございます。
9号車のグリーン席に乗っていた岡田容疑者は、10号車と連結するデッキ部分に近い自動ドア付近の通路で突然、上下のスーツを脱ぎ始めた。当時、グリーン車内に数人いた乗客は目を白黒させてビックリ。岡田容疑者がそのまま全裸姿で立っていたところ、同車内に回ってきた車内販売の女性が発見し、警戒のため乗車していた鉄道警察隊員が通報。
》 アメリカの若者の多くが答えられなかった地理の問題8つ (gigazine, 4/22)
》 調査捕鯨「減産」は妨害活動のせいなのか? 日新丸船団はミンク551頭だけを捕獲 (JANJAN, 4/22)。阻止してくれて大いに結構説。
筆者は、「だれも邪魔をしないでおいたら、日新丸船団は何頭捕ってくるか」に興味を持っている。捕ってこれもしない・食べてももらえない規模の捕獲計画をブチあげたことを自ら証明してくれるのではないかと。
だが残念ながら、グリーンピースも、シーシェパードも、オーストラリア政府までもが、その機会を潰している。来年も彼らは張り切るだろう。「日本の捕鯨を阻止」するために。そんな彼らを日本は必要としている。持ちつ持たれつのこの状況を、石井敦東北大准教授は「逆予定調和」と呼んでいる。
》 不正データによる終了時のステータスコードで悩む (水無月ばけらのえび日記, 4/14)。本当は 500 なのだけど 500 であることを隠蔽したい、ということなのでしょうから、400 でいいのでは。402 は嘘すぎでしょうし、418 を返したら逆に注目されちゃうような。
読んだとこ: HTTP Status Code (studyinghttp.net)
》 またまたメールで悩む (Okumura's Blog, 4/22)。わはは。
ガソリンや軽油など転売可能な製品と異なり、精製が必要な原油タンカーが襲われるというケースはあまり例がない。それだけに、「今回のケースだけで調達コストにかかわる保険料にすぐ影響する可能性は少ない」と比較的冷静な見方が大勢だ。
》 守屋前防衛次官「日本ミライズに決まってるだろう」 (asahi.com, 4/21)
》 平成19年度自動車アセスメント結果を公表します! (自動車事故対策機構, 4/21)。自動車事故対策機構はびっくりマークが好きだなあ。自動車アセスメントグランプリは「スバル インプレッサ」だそうで。
》 平成19年度チャイルドシートアセスメント結果を公表します! (自動車事故対策機構, 4/17)
》 NY原油終値、初の117ドル台 (読売, 4/22)。天井知らず。「90 ドルの大台」とか言っていた頃がなつかしい。
》 光母子殺害、元少年に死刑判決 広島高裁差し戻し控訴審 (asahi.com, 4/22)。今日一日こればっかか。
》 マンション女性失踪事件の理不尽 (日経 BP, 4/22)
防犯カメラは5台設置(エレベーター含む)され、エレベーターには防犯窓もついている。また、1階の窓には防犯センサーを設置してある。戸数が150戸あることを考慮すると、防犯カメラ5台では少なすぎるのだが、ユーザーの眼には、標準的な防犯仕様だと写るだろう。
江東・女性不明 防犯カメラに死角 外階段使い連れ出す? (東京新聞, 4/21) という話もあるようで。
》 富士通、世界初のAES 256ビット対応の暗号化機能搭載HDDを発表 (日経 IT Pro, 4/22)。ふぅん。
「HDDパスワード」でぐぐると、HDDパスワードをハック (なうなう, 2007.01.17) という記事が top なのですね。
》 製品ナビ ドライブレコーダー、本格普及の予兆 (日経 BP, 4/18)。ホンダでは純正オプションとして導入できるのですか。ドライブレコーダー (ホンダ)
Kaspersky Internet Security 7.0 に 4/18 の更新を適用後、Windows の挙動がおかしくなった話 (フォントが正常に表示されない、など)。オオカワさん情報ありがとうございます。ITmedia 記事の著者は KIS 7 のファイアウォール機能に「慢性的なリークバグが存在すると考えている」そうだ。しかし今回の状況は、単なるメモリリークではなく、メモリ破壊なんじゃないの?
http://www.just-kaspersky.jp/ にオフィシャル情報出ています。
2008.04.22
Kaspersky Internet Security 7.0において、4/17夜間に配信したドライバの更新に不具合があり、一部の環境ではWindowsの表示が不正になったり、動作が遅くなる現象が4/17以降に確認されています。4/21 20:00以降の定義データベースの配信で修正しておりますので、現象が発生しているお客様は、最新の定義データベースの適用をお願いいたします。お客様にはご迷惑をお掛けして申し訳ございません。
現象が解決しない場合は、カスペルスキー専用サポートセンターにお問い合わせください。
KIS 7 利用者は更新しませう。
続報。Ray さん情報ありがとうございます。
LS-HGL については 2008.04.16 公開のファームウェア 1.01 で修正されているそうだ……が、buffalo.jp からは何のアナウンスもない。 参照: LS-HGLシリーズファームウェア Ver.1.01(2) (山下康成の”ハックしよう”, 2008.04.16)
LS-WTGL/R1 シリーズのファームウェアも 2008.04.16 に 1.03 が公開されているが、これで修正されているかどうかは未確認の模様。参照: LS-WTGL/R1シリーズ ファームウェア アップデータ Ver.1.03 (山下康成の”ハックしよう”, 2008.04.19)
》 Linux Security 7.00 (F-Secure Linux blog, 4/21)。ついに出ました。
》 根絶できないミスリーディング・アプリ「XP Antivirus」による被害 (日経 IT Pro, 4/21)。永遠に続くんだろうなぁ……。
》 Wizard Bible vol.40 (wizardbible.org, 4/17)
》 はてなダイアリーの仕様変更で静かな混乱 (slashdot.jp, 4/21)。はてなの仕様変更なのに、「ブログ開設者が携帯ユーザをしめ出した」と誤解される場合があるということか。まぁしかし、そういうのも含めてはてなでしょう。嫌なら辞めればいいだけ。
》 PayPal,フィッシング・フィルタの無いブラウザによるアクセスの遮断を検討中 (日経 IT Pro, 4/21)
どちらにも対応していないものは unsafe browser と看倣したいらしい。IE 6 以前や Safari など。
関連:
》 Crimeware Book Now Available (Symantec blog, 4/18)。 Crimeware: Understanding New Attacks and Defenses (Symantec Press) という本が出たそうです。Safari にもあるよ。
》 パレスチナ:「イスラエルの非人道的な犯罪に注目を」(WAM) (JANJAN, 4/21)
》 ネパール:共産党毛派を中心とした新政権誕生か? (JANJAN, 4/21)
》 イスラエル、最悪の事態を想定し最大規模の国防演習を実施 (JANJAN, 4/20)
》 建築技術者95%が改正建築基準法に反対した理由 (JANJAN, 4/19)
》 報道されないフランスの真実 (1)欧州に幻想抱く日本マスコミ (JANJAN, 4/19)
》 食の世界地図 〜ギョーザ中毒事件から考えたいこと〜 (JANJAN, 4/19)
》 NO 貧困〜名古屋行動集会(9)東京で雨宮処凛さんと考えた運動のこれから (JANJAN, 4/18)
》 「ドクター海洋」海を守る清掃船兼油回収船 (JANJAN, 4/20)
》 海上での見張り 艦艇以外の船舶は?(1)深海調査船「かいれい」 (JANJAN, 4/18)
》 科学者グループ、EUにバイオ燃料見直しを提案 (JANJAN, 4/18)
》 ブックオフ問題にはどう対応すべきなのか? (栗原潔のテクノロジー時評Ver2, 4/18)。中古書籍流通話。
》 「車上ねらい」の多発地点をカーナビやWebで表示、ホンダと14都府県警 (Internet Watch, 4/18)
》 Apple Software Update 更新話。「New Software」と「Updates」というカテゴリができたそうで。
Mozillaのコミュニティ開発担当ディレクターAsa Dotzler氏は米国時間4月17日「ファーストステップとしては良いだろう。次は「New Software」にデフォルトでチェックを入れるのを止めることだ。これが実現すれば、自分のWindwosマシンでApple Software Updateを利用してもよい気がする」と述べた。まだデフォルトでチェック入れてるのか。
》 NTT コミュニケーションズの回線不具合によりセブン銀行 ATM が停止。現在は復旧済。Benjamin さん情報ありがとうございます。
》 視覚障害者のインターネット使用、サイトやベンダーはもっと考慮すべき? (slashdot.jp, 4/19)。 #1333531 が興味深かった。
一方、日本の視覚障害者は、ドコモの「らくらくホン [nttdocomo.co.jp]」をメインブラウザとする人が増えてきているようです。
スクリーンリーダの機能を持っている上、携帯向けコンテンツでは余計な要素が少ないため、PCとは比べものにならないほど快適に閲覧できるためです。
》
ペリカンと激突して機首が大破したF-111攻撃機
(gigazine, 4/21)。レドームの構造がわかって興味深い。RAAF の F-111 ってあと何機残ってるんだろう。……元ねたの F-111 almost downed - by a pelican
(news.com.au) に one of 21 active jets
と書いてあった。
》 政府規制とソフトロー ソフトロー研究叢書第3巻 (有斐閣)
ソフトローとは,法的な強制力がないにもかかわらず,現実の経済社会において国や企業が何らかの拘束感をもって従っている規範を指す。本シリーズは,その実態・構造について研究した東京大学COEプログラムの成果を論文集の形にまとめたものである。
やってみたらできてしまったそうで。
対抗策としては、「patch をより早期に適用」とか「patch を適用しなくても一定限度対応できるようにする」(回避策の実施、セキュア OS 化、……) とかかなあ。
中国からの企業内ネットワーク侵入・機密情報奪取ねた。話題のドメイン 3322.org の話も。関連:
関連:
SQL インジェクションの方法:
関連コメント:
》 アイ・オーのNAS「HDL-160U」で発煙/焼損の事故が発生 (PC Watch, 4/18)
》 2ちゃんねるが韓国国内の4000以上のIPアドレスからDDoS攻撃されていたことが判明 (gigazine, 4/18)
》 イラク空自違憲の判断 政府の理屈の矛盾突く (asahi.com, 4/18)、自衛隊イラク派遣:輸送違憲 政府「活動に影響ない」 「要件満たす」改めて表明 (毎日, 4/18)
関連: 「そんなの関係ねえ」 高裁違憲判断で空幕長 (47news.jp, 4/18)。「我々は命令に従って粛々と活動するだけです」とでも言っておけばいいだけなのに、この勘違いぶりは何……。こんな人が空幕長やってて空自は大丈夫なの?
》 権利者データベースの氏名表記にガイドライン、著作権協議会が発表 (Internet Watch, 4/14)
》 近視眼的な流通促進はダメ、ACCS久保田氏が「ネット法」に異論 (Internet Watch, 4/15)。誰が近視眼的なのかについては議論があるだろう。
》 テレビや新聞では報道されないチベットの写真やムービーいろいろ (gigazine, 4/16)
》 文部科学省が“学校裏サイト”の実態調査、半数に誹謗・中傷表現 (Internet Watch, 4/16)、 学校裏サイト ネットとどう接するか (中日, 4/17)
》 ネット有害情報:業界団体が削除強化方針 中小業者相談も (毎日, 4/16)。テレサ協のサイトには情報はないみたい。
》 児童ポルノ:禁止法改正で一致…単純所持禁止 与党PT (毎日, 4/18)
迷惑メールなどでポルノ画像を一方的に送りつけられるケースがあるため、本人が意図せずにパソコンなどに画像が残る場合は、罰則の適用対象外とすることも確認した。
何も考えていないわけではないようだが、「はじめに単純所持禁止ありき」という点を変えるつもりはないみたい。
》 監査法人トーマツに賠償命令 「粉飾見抜けず損害」認定 (asahi.com, 4/18)
》 黒薮哲哉vs江崎徹志(読売新聞)の著作権裁判、始まる(1) (SLAPP WATCH, 4/15)、 黒薮哲哉vs江崎徹志(読売新聞)の著作権裁判、始まる(2) (SLAPP WATCH, 4/15)
》 公認会計士協会 内部統制報告制度相談・照会窓口の設置 (まるちゃんの情報セキュリティ気まぐれ日記, 4/17)
》 警察天下りの調査報道、『FLASH』4月29日号に (SLAPP WATCH, 4/16)
》 仮想環境におけるウイルス対策の注意点 (ITmedia, 4/10)。夜中の定時スキャンが重ならないように注意しませう話。
》 最近のトロイの木馬攻撃に関する情報と対策 (武田圭史, 4/16)
》 米国政府 セキュリティ評価関係 2007 (まるちゃんの情報セキュリティ気まぐれ日記, 4/15)
》 集中批判を浴びる国立公文書館——議会らのWebデータ・スナップショット作成中止で (computerworld, 4/14)
》 ブラウザ・プラグインの脆弱性、79%は「ActiveX」絡み 脆弱なIE 6に加え、ファジング・ツールの存在も影響 (computerworld, 4/14)。ISTR XIII 話。
》 クルド人居住地域でのコレラ感染予防対策強化 (国連情報誌SUNブログ対応版, 4/15)。 コレラは去年からの話みたい。 Deadly cholera outbreak in Iraq (BBC, 2007.08.30)
》 「急げ温暖化対策」頑迷・孤立の日本経済界に警鐘 (JANJAN, 4/16)
》 「教員免許更新のための講習内容」に異議あり! (JANJAN, 4/16)
》 ヨルダンは米国のテロ容疑者引き渡しの拠点、と人権団体の報告書 (JANJAN, 4/16)
》 ペルー:殺人部隊への判決、フジモリ裁判の行方に大いなる影響 (JANJAN, 4/16)
》 法人向けP2Pネットワーク監視ASP「P2P FINDER」、Limewire/Cabosに対応 (Internet Watch, 4/16)
》 米軍の機密品、ネットで一般販売——『F-14』戦闘機の部品まで (WIRED VISION, 4/16)。イランねた。
》 賛成多数だが…--モバイルフィルタリングに対する業界各社の声 (CNET, 4/16)
》 「実名」と「特定」は別のものだ (CNET, 4/17)。関連:
》 パスワードの強度診断:「弱」から「最強」の4段階で評価 (日経 IT Pro, 4/17)。Microsoft のパスワードチェッカーの紹介など。
》 「2007年 国内における情報セキュリティ事象被害状況調査」報告書の公開について (IPA, 4/17)
》 The 10.000 web sites infection mystery solved (SANS ISC, 4/16)
》 「漫画トレースもお互い様だが……」 竹熊健太郎氏が語る、現場と著作権法のズレ (ITmedia, 4/16)
》 「コピーされ、2次創作されてこそ売れる時代」——伊藤穣一氏に聞く著作権のこれから (ITmedia, 4/15)
2次創作の同人文化は日本がいちばん大きい。日本には比較的、弁護士が少なかったからではないか。何だかんだいって、クリエイターがまだ力を持っているのが日本だろう。
(中略)
米国では、ヒットするとすぐ訴えられる。すると萎縮効果が働き、みんなやらなくなる。クリエイティビティはものすごく圧迫されている。
米国は著作権法が厳格に動いているから、その中で「これはおかしいよね」という話になって、CCのようなものも生まれた。だが日本は法律を無視している部分が結構あり、そういう国には、CCはあまり必要とされない可能性もある。
》 高校生がVista海賊版販売 書類送検 (ITmedia, 4/16)、ファイル共有ソフトで入手した海賊版を販売、札幌市の男子高校生送検 (Internet Watch, 4/16)。WinMX ですか。
》 広田研二vs帝京大学 (SLAPP Watch, 4/17)
》 音楽業界が「iPod税」の導入を要望 (gigazine, 4/17)。全ては金のため。
》 死刑評決・特例化法と重無期刑創設法案の発表へ (保坂展人のどこどこ日記, 4/17)。ポイント:
》 「ユーザーは14万人、サーバーは1万台」米MSが社内システムを初披露 (日経 IT Pro, 4/17)
》 その「標的型攻撃」,「スピア攻撃」と言い切れますか (武田圭史, 4/17)
》 サンダル事故:「軟らかな樹脂」原因 改良要請へ (毎日, 4/18)。クロックスねた。NITE にはまだ情報がないみたい。
》 「家内が象サイズに」!?——今年最高の変換ミスは (ITmedia, 4/17)。馬食い……。怪獣映画だな。個人的にはウニの奴がいちばんウケた。 (脳内的には金麦の中の人が言っているイメージ)
》 「アナログ放送終わります」テレビ画面に常時字幕へ (asahi.com, 4/18)。3 か月前ならともかく、3 年も前から実施するとは! あえてアナログのままの人もいるのに、いやがらせとしか言いようがない。
関連: テレビのアナログ放送停波に向け、常時画面に「アナログ」表示 (slashdot.jp, 4/18)、ヤマト風案 (slashdot.jp, 4/18)
Potential Microsoft Works ActiveX 0-Day Surfaces (McAfee blog, 2008.04.17)。 Microsoft Works 7 WkImgSrv.dll crash POC (milw0rm) の件か。 CVE-2008-1898
CVE-2008-1881。VLC 0.8.6e 話。 CVE-2007-6681 はきちんと直っていない模様。
McAfee Security Bulletin - CMA HTTP Request DoS vulnerability (マカフィー)。Common Management Agent (CMA) 3.6.0.574 (Patch3) 以前に欠陥。CMA 3.6.0 HotFix 10 で修正される。CVE-2008-1855
IBM DB2 話
Microsoft Works 7 WkImgSrv.dll ActiveX Remote BOF Exploit (milw0rm)。
WkImgSrv.dll の件: Why there won't be a security update for WkImgSrv.dll (Security Vulnerability Research & Defense, 2008.06.10)
OpenOffice に複数の欠陥。攻略 OLE / ODF / Quattro Pro / EMF ファイルによって任意のコードを実行できる。
OpenOffice 2.4.0 で修正されている。ダウンロード。
IIS / SQL Server / MSDTC において、認証されたユーザが LocalSystem 権限を奪取できる模様。ただし:
IIS のデフォルトインストール状態では欠陥は発現しない。 ユーザ自身が追加した ISAPI フィルタや ISAPI 機能拡張、ASP.NET コード (信頼レベルが Full の場合) によって欠陥が発現する場合がある。 信頼レベルについては、たとえば:
また、旧来の ASP コードにおいても欠陥は発現しない。
SQL Server については、ユーザがコードのダウンロードおよび実行を行える特権を与えられている場合にのみ欠陥が発現する。
Windows Server 2003 + MSDTC において欠陥が発現する場合がある。 Windows Server 2008 / Vista + MSDTC ではこの問題はない。
なんか、訳ひどくない? > Microsoft。
How is IIS affected?
User-provided code running in IIS, for example ISAPI filters and extensions, and ASP.NET code running in full trust may be affected by this vulnerability. IIS is not affected in the following scenarios:
IIS はどのような影響を受けますか?
ユーザーに提供された IIS で実行しているコード (例: ISAPI フィルタおよび拡張子) および完全な信頼を与えられて実行している ASP.NET コードがこの脆弱性の影響を受ける可能性があります。 IIS は次のシナリオでは影響を受けません。
拡張子って何……
関連:
A Mileage Report from BlueHat (SANS ISC, 2008.05.18)。Microsoft BlueHat Security Briefings: Spring 2008 Sessions (Microsoft) の話。Token Kidnapping (argeniss.com) はこんな話:
This presentation is about a new technique for elevating privileges on Windows, mostly from services. This technique exploits design weaknesses in Microsoft Windows XP, Windows Server 2003, Windows Vista, and even Windows Server 2008.
The presentation will explain how it's possible in Windows XP and Windows Server 2003 to elevate privileges to LOCAL SYSTEM from any process that has impersonation rights, and how it's possible in Windows Vista and Windows Server 2008 to elevate privileges to LOCAL SYSTEM from processes running under NETWORK SERVICE and LOCAL SERVICE accounts, demonstrating that running code under NETWORK SERVICE or LOCAL SERVICE is nonsense since it's always possible to end up running code under LOCAL SYSTEM account. It will also show zero-day code for elevating privileges in SQL Server 2005 and Internet Information Services 6 and 7.
ANNOUNCE: Security Implications of Windows Access Tokens Whitepaper の話ですね。プレゼン資料の最後はこうなってます:
Conclusions
- On Windows XP and Windows 2003
- If a user can impersonate then game is over
- User can execute code as SYSTEM
- On Windows Vista and 2008
- LocalService==SYSTEM
- NetworkService==SYSTEM
- New services protections are almost useless
マイクロソフト セキュリティ アドバイザリ (951306) Windows の脆弱性により、特権の昇格が行われる が改訂されています。
2008/08/28: このアドバイザリを更新し、影響を受けるソフトウェアに Windows XP Professional Service Pack 3 を追加しました。
既に 4 か月経過しましたが、いまだに直っていないわけですね……。
英語版アドバイザリが改訂されています。PoC が公開されたそうです。 日本語版アドバイザリもそのうち改訂されるでしょう。
参照: Token Kidnapping Windows 2003 PoC exploit (No More Root, 2008.10.07)
関連:
Questions about Microsoft Security Advisory 951306 (MSRC blog, 2008.10.13)
Service isolation explanation (Microsoft Security Vulnerability Research & Defense, 2008.10.13)
MS09-012 - 重要: Windows の脆弱性により、特権が昇格される (959454) で遂に修正された。MS09-012: Fixing “Token Kidnapping” (Microsoft Security Research & Defense blog, 2009.04.14) も参照。
In the upcoming release of Windows 7 and Windows Server 2008 R2 systems, a new feature named Managed Service Accounts (http://technet.microsoft.com/en-us/library/dd367859.aspx) has been introduced which creates a more streamlined and flexible solution to the issues surrounding service isolation. It provides for services, which have opted to use the feature, the ability to run as a separate account which remotely authenticates with a managed domain SPN. It also provides seamless and automatic password management, similar to the computer account, which frees up time that administrators would previously have used to update user account passwords for these services. You can read more about creating Managed Service Accounts here http://technet.microsoft.com/en-us/library/dd548356.aspx.
SP1 が出たのに今だに発展途上だとは……。「Windows Vista は Windows Me の再来」説にまた一つ信憑性が加わった。
スティーブ・バルマー(Steve Ballmer)氏は4月17日、シアトルで開催された年次イベント「Microsoft 2008 MVP Summit」でWindows Vistaが発展途上の製品である点を強調した。
MVP Global Summit で、ですか……。
Ballmer氏は、「Microsoftが真剣に仮想化へ取り組む時が来た。仮想化を必ず民主化してみせる」と力説。同氏によれば、全世界のサーバのうち、現在仮想化されているのは5%未満にすぎないという。「あまりにも(仮想化ソフトが)高価で、しかも(仮想化環境の)管理が複雑すぎる。今後はこの2 つをテーマにして大々的に仮想化へ取り組んでいく予定だ」(Ballmer氏)
VMware ESX Server は高すぎるからねえ。
サウンドハウスにおける個人情報流出事件に関する、詳細な報告書。クレジットカード会社の意向に振りまわされる様子が生々しく語られている他、原因等についても詳述されている。匿名希望さん情報ありがとうございます。
それにしても……。クレジットカード各社は、告知文に関するポイント集とかテンプレートとか持っていないのかね。対応があまりに場当たり的すぎないか。まぁ、そういうものを事前に用意していないサウンドハウスが悪い、と言ってしまえばそれまでなのだが、そんなものを用意できるような会社はいくつもあるわけではないだろうし。
あと、
その内、世間ではハッキングの事件が急増し、特に2005年以降は、SQLインジェクションによる被害も多々レポートされているにも関わらず、それらの情報を十分に得て、様々な他社の教訓から学ぶことがないまま、今回の事件に遭遇してしまいました。しかしこれは単に、一企業のみの責任ではなく、クレジットカードの被害状況を日々、把握、データ化しているにも関わらず、アラートを出して具体的な対策を示さないクレジットカード会社や、これらの被害情報をもっとタイムリーに収集して、世間に大々的に告知する為に能動的に動かない行政にも責任があるものと考えます。
サウンドハウスの中の人は IPA も JPCERT/CC も知らないってことですかね。
本来ならば、クレジットカードの取り扱いを開始するにあたって、インターネットセキュリティー構築のガイドラインがあってしかるべきであり、少なくとも最小限のセキュリティレベルが明示されているべきです。ところが、どこまでやれば十分か、という明確な基準が無いため、加盟店は、それぞれが独断で実行している部分があることを否めません。
その「基準」は今や PCI DSS になりつつあるように見えるのだけど、
クレジットカードの再開にあたっては、強力してくださるどころか、驚くほど高額な調査費用のかかるサービスを、再開の条件として提示してきました。(中略) 1 つはサイバートラスト社によるフォレンジック調査であり、(中略) もう一社は、NTT データセキュリティ社であり、PCIDSS と呼ばれるクレジットカード会社 5 社がクレジットカードの情報保護の為に策定した国際基準に準拠するための事前調査を行います。
サウンドハウス程度の規模の会社では承服し難い予算が必要になるということですかね。業者指定無競争のぼったくり価格なのかな。
SQL インジェクションの方法:
関連コメント:
個人情報流出に関する補足のお知らせ (サウンドハウス, 2008.06.04)。クレジットカードはまだ使えませんが、もうすぐ使えるようになるっぽい?
只今クレジットカード会社と最終の調整を致しておりますので、今暫くお待ちくださいますようお願い申しあげます。
あと、「プレスリリースを発表した理由」が興味深いですねえ。
それには大きく2つの理由がありました。まず、被害の詳細をセキュリティ会社と共に調査して行く内に、サウンドハウスが遭遇した問題はほんの氷山の一角にしかすぎず、実際には多くの企業が被害を受けている可能性が高いことを知ったからです。(中略)
もう一つの理由は、クレジットカード会社の対応に苦慮したという点です。
「もう一つの理由」の方が記述量が多いですね……。やっぱりそちらが主なのかな。
弊社にとってもクレジットカードの存在は重要です。しかしその依存度は、まだ売り上げの3割程度であり、業界の最大手という立場から、臆することなく、クレジットカード会社と対等に意見を交わすことができる加盟店の一つであることに違いはなく、自分が語らなければ一体誰が本当のことを語るのであろうかという思いがつのり、プレスリリースに至った次第です。
「売り上げの3割程度」でしかないのに、利用再開のためにかけなければならないコストが大きすぎる、ということなのだろうなあ。
擬似攻撃でもするのかと思ったら、そうではなくて、
そこで、IPAでは、ウェブサーバのアクセスログの中から、ウェブサイトの攻撃によく用いられる文字列を検出し、ウェブサイトが日頃どれだけの攻撃を受けているか、また、ウェブサイトの脆弱性により攻撃が成功した可能性があるかを検出する簡易ツール「iLogScanner」を開発しました。
(中略)
iLogScannerは、ツール利用者がウェブブラウザを利用してIPAのウェブサイト(iLogScanner提供サイト)からダウンロードし、利用者のウェブブラウザ上で実行するJavaアプレット形式のプログラムです(図1)。
ログ解析ツールです。LAC 製。
国際なんたらとかいうのは微妙に共通キーワードっぽい。
うん、国際……。ちょっとぐぐってみた。
国際通信社は「現代画報」や「報道ニッポン」というのもやっている模様。国際企画という会社の「国際グラフ」というのもあるらしい。
Internet Security Threat Report (Symantec)。Volume XIII (2007 年下半期) が出ています。 日本語版 ISTR の Volume XIII はまだ公開されていないようです。 存在はするようなのですが。
ラック、インターネットの脅威動向をまとめた調査レポートを発表 「JSOC侵入傾向分析レポートVol.10」で2007年を総括 (LAC, 4/15)
》 ハードディスク消去ツール「wipe-out」 (いしじま☆だい) というものがあるのですね。PXE boot にも対応しています。
》 シートベルト:後部非着用だと前席の危険50倍に (毎日, 4/17)
同機構の実験は、ワゴン車に人形を乗せ、時速55キロでコンクリート壁に衝突させ、後部座席シートベルト着用、非着用で比較した。
この結果、後部座席シートベルトをしない場合、後部座席の人が運転席や助手席の人にぶつかり、前席の人が頭に重傷を負う確率が30.8%と算出された。着用していれば0.6%にとどまった。一方、後部座席の人が重傷を負う危険性は、非着用の場合95.4%で、着用していた場合は9.6%だった。
関連:
毎日の記事内容は、自動車事故対策機構が 2006.07.25 に発表したもの、そのまんまですね。
後部座席シートベルトを着用しないと、事故で前席の人が巻き込まれて重傷を負う危険が、着用時の50倍以上に上ることが独立行政法人「自動車事故対策機構」の実験で分かった。
最近分かったかのように書くのはやめようよ。
6月1日施行の改正道路交通法では、後部座席シートベルトの着用が義務付けられるが、一般道での着用率は8.8%(昨年10月)にとどまっており、警察庁は改正法施行を前に着用促進を呼びかけている。
6/1 以降は法令でも明確に禁止されるわけですが、前席の人にまで危険が及ぶ可能性がありますので、後席の人もシートベルトをつけましょう。
ひさしぶりに自動車アセスメントのページをみてみたら、今どきは星6つというグレードがあるのですね。
》 「Windows XP SP3」提供開始は4月下旬までに--流出スケジュールから明らかに (CNET, 4/17)。まぁ、XP SP3 RC は 2007.12 に出ているわけですから、そろそろ出ても不思議ではないですね。
》 ロボットスーツ「HAL」量産工場の建設開始 (ITmedia, 4/17)、世界初の人支援ロボットスーツ「HAL」の量産工場 「サイバーダインつくば研究開発センター」を着工します (大和ハウス, 4/15)。おぉ。10 月稼働予定なののだそうだ。また、とにかく触ってみたい人はこちら↓がよさげ。
現在、茨城県つくば市で建設中の(仮称)つくばショッピングセンター(※2)内に、サイバーダイン株式会社の技術と英知を結集した「サイバーダインスタジオ」が2008年秋にオープン予定です。
当該施設では、サイバーダイン社の各種テクノロジーを実際に体験することができ、歴史的技術や未来技術、次世代住環境にも出会うことができます。
関連: つくば SC プロジェクト (大和ハウス)
》 Passer, a passive machine and service sniffer (SANS ISC, 4/16)。Python で書かれた、そういうツールがあるそうです。
》 健康ブームの落とし穴? ビタミン剤で寿命縮む恐れ (中日, 4/17)
》 スーパーアグリ、F1参戦継続がピンチ…売却交渉が決裂 (読売, 4/17)。なんてこったい。この苦境を救ってあげられる心意気のある金持ちは日本にはいないのか。(いたらこんなに苦労しないよな……)
》 IPA を騙った「なりすましメール」にご注意ください (IPA, 4/16)。Adobe Reader の欠陥を突くような PDF ファイルが添付されているそうで。
》 「コードギアス 反逆のルルーシュR2」放送前の第3話がネット上に流出 (gigazine, 4/16)。原因は……
どうやらオウンゴールのようです。 YouTube の「動画 ID ツール」がオウンゴールを招きやすいシステムだった、という言い方もできるかもしれません。
》 昨日開催された新型インフルエンザ専門家会議、なんと 1 年ぶりの開催だったのだそうで。
で、昨日の NHK の報道を見ていると、今回の会議、プレパンデミックワクチンについては全世界的に見ても突出したことをしようとしているものの、他の分野 (ex. 有事の医療体制、医療関係者やベッド数の確保方法、……) についてはむしろロクに進んでいないことが明らかとなった模様。
関連:
日本の新型インフルエンザ対策は検疫による水際阻止を重視し、上陸後も一定地域にウイルスを封じ込めることを考えていた。だが、専門家の検討の結果「遮断は不可能」との見方が強まり、政府が今月まとめた対策は「国内まん延を可能な限り防ぐ」とトーンダウン。感染者発生を前提にした対策が重要だが、医療体制整備や社会活動の制限は難しく、プレパンデミックワクチン接種ならすぐに始められる‐‐。今回の方針には、厚生労働省のそうした思惑も見える。
専門家会議委員の押谷仁・東北大教授は「ワクチン接種に異論はないが、流行期に社会機能をどう維持するかなど、より重要な対策についての基本的戦略がない」と批判する。
韓国: 全域で警報レベル「警戒」に移行
全般
》 フォーリン・アフェアーズ 日本語版なんてものがあったのね。
[SA29809] CUPS PNG Filter Integer Overflow Vulnerability。CUPS 1.3.7 (最新版) の filter/image-png.c に 2 つの integer overflow する欠陥があるそうで。 STR #2790 によると、SVN 上の最新ソースでは既に修正されている。
SYM08-011 - Symantec Altiris Deployment Solution Clear Text Password (Symantec, 2008.04.10)。 Altiris Deployment Solution 6.8.x は、Deployment Solution Agent (AClient) のパスワードをメモリ上に平文で格納しているため、非特権 local user はメモリダンプ等によってこのパスワードを取得できる。 バージョン 6.9.164 で修正されている。
関連: bid 28707: Symantec Altiris Deployment Solution AClient Password Disclosure Vulnerability (securityfocus)
[SA29829] Oracle Products Multiple Vulnerabilities。Oracle の四半期ごとの patch。
[SA29785] VMware ESX Server Multiple Security Updates。patch あり。
ClamAV 0.92.2 ではなく 0.93 が公開されたのですね。 [Clamav-announce] announcing ClamAV 0.93。戸井さん情報ありがとうございます。
関連:
Safari 3.1.1 で修正された。Safari ではなく WebKit の欠陥だった。CVE-2008-1026
Safari 3.1.1 登場。4 つの欠陥が修正されている。内 2 つは Safari ではなく WebKit の欠陥。 MacBook Air が攻略された話の欠陥も修正されたそうだ。
Firefox 2.0.0.14 登場。Critical な欠陥、MFSA 2008-20: Crash in JavaScript garbage collector が修正されている。CVE-2008-1380 この欠陥は Thunderbird 2.0.0.14 / SeaMonkey 1.1.10 においても修正されるが、これらはまだ登場していない。
》 4月11日「日体大宮嶋選手事故死」についての議事録(仮) (保坂展人のどこどこ日記, 4/16)
》 硫化水素自殺の被害を防ぐには? (slashdot.jp, 4/16)。こんなのがあるのね。知らなかった。あなたも私もメディア関係者。
関連:
人間やってりゃいいこともあるぜ。
》 CPUを利用したハッキング手法——イリノイ大学の研究チームが報告 製造段階でのCPUすり替えなど、資金/人材が潤沢な組織でないと実行不可能? (computerworld, 4/16)。攻殻世界の実現に向けてまた一歩前進。
》 東芝ホームランドリー(ドラム式洗濯乾燥機)をご使用のお客様へ お詫びと無料点検・修理のお願い (東芝, 4/16)。「発煙・発火の可能性」があるそうで。
》 患者情報1万7000件を紛失、日医大病院がパソコン盗難届 (読売, 4/16)
》 タイタニック号、使用されていたリベットの数は規定以下だった (technobahn, 4/16)
タイタニック号は氷山と衝突後、わずか2時40分で完全に沈没したが、研究グループでは、もしタイタニック号が規定数のリベット数で、規定の品質のリベットで、熟練工によってリベットが打たれていれば、少なくとも、救助の船が到着するまで沈没することなしに浸水に耐えることができただろうと述べた上で、船会社のホワイト・スター・ライン社が造船会社のハーランド・アンド・ウルフ社に対して、2隻同時建造といった無理な注文を行ったことが、このような悲劇を招く原因となったと論じている。
》 50年前の死刑執行の瞬間をラジオ放送 関東で5月6日 (asahi.com, 4/16)。文化放送の 5/6 報道特別番組「死刑執行(仮題)」だそうです。
死刑執行の瞬間を収めた1955年ごろの録音テープを放送する。(中略) 同局によると、テープは当時の大阪拘置所の所長が刑務官の教育と死刑囚の待遇改善のために内部向けに作製したもの。法務省にも提出されたという。(中略) 録音のすぐ後に新聞で報じられ、90年代にテレビで放送されたこともある記録だという。
ずいぶん古いもののようですが、執行方法は今でも同じなのかなあ。
》 ウイルス作成者の大学院生に懲役2年求刑 (asahi.com, 4/16)。原田ウイルス話。
》 ソフトウエア等の脆弱性関連情報に関する届出状況 [2008年第1四半期(1月〜3月)] (IPA, 4/16)。web サイトねた、突出しています。多くが「取扱い中」ステートだし。
》 Malware Threat Center (SRI)。興味深い。下の方には「Most Effective Antivirus Tools Against New Malware Binaries」なんて項目もあるな。1st は BitDefender、2nd は AVG の Grisoft か……。 日本で BitDefender 売ってるところないかなあ。 ……SoftAgency で売ってるそうです。田中さん情報ありがとうございます。
》 迷惑メールの詳細診断:ヘッダー情報から偽装を見破る (日経 IT Pro, 4/16)。http://www.aguse.jp/ の紹介。メールヘッダの他、web ページについても調査できる。
表示されるものが何を意味しているのか正確に理解できるだけのスキルがあればよいけれど、そうでない場合には誤解を与えてしまうこともあるような気が。たとえば、ブラックリスト情報の表示で、登録されていない場合に「SAFE」と表示するのはいかがなものか。登録されていない = 安全、ではないだろう。先日も、自身がウイルスを発見できないことをして「安全」とほざくアンチウイルスソフト (Norton AntiVirus 2008) がインストールされたマシンから複数のウイルスを発見したところだ。NAV にはもちろん最新のウイルスデータがインストールされていた。
》 第7回新型インフルエンザ専門家会議の開催について (厚生労働省, 4/15)。 開催前日の夜に掲示だそうで。taka さん情報ありがとうございます。
……GO サインが出たそうで。シャンシャン。
閣議後記者会見概要 (厚生労働省, 4/15) ようやく出てました。
新型インフルエンザについてでありますが、明日新型インフルエンザ専門家会議が開催されまして、新型インフルエンザ対策について議論することになっております。その基本的な内容、これは明日またきちんと議論をして、専門家の方に決めていただきたいと思いますけれども、3つの点を議論していただきたいと。そして、それできちんと専門家の方々のご意見が決まりましたら、その方向で政策を実行に移したいと思います。第1は、プレパンデミックワクチンの備蓄の追加ということであります。今ご承知のように、平成18年に約1,000万人分の原液を備蓄しておりまして、これはベトナム株、インドネシア株です。それで19年度末にウイルス変異が起こった場合のことを考えまして、今度は中国株について、1,000万人分の原液、合計2,000万人分の原液を備蓄しているところですけれども、さらにこの追加備蓄をするかどうかということについて、明日検討していただきます。それから2番目がプレパンデミックワクチンを用いた臨床研究の実施ということで、これは製剤化されたワクチンを用いまして、税関、検疫所、入管職員と感染症指定医療機関職員、6,000人を対象に事前接種をして、それに関する有効性、安全性を評価する研究を厚生労働省でやりたいと。そして、有効性、安全性について良好な結果が得られれば、医療従事者等、社会機能維持者、1,000万人への事前接種を検討したい。こうした方針について検討していただく。これは現実に実行に移されれば世界で初めての対応ということになります。それから3番目の大きな柱が、パンデミックワクチンの製造体制の期間短縮であります。今は鶏の卵、鶏卵によるワクチン製造を行っておりますが、これは新型インフルエンザが発生してから国民全員分のワクチンを製造するために、約1年半前後の期間を要します。これを半年程度に短縮するために、細胞培養技術の確立を行いたいと思います。これを検討していただくということですので、明日の10時からこの会議によって結論が得られれば、ただちに実行に移したいと思います。
》 新型インフル 医療従事者に事前接種へ 備蓄ワクチン6000人分 (東京新聞, 4/15)、新型インフルワクチン、医師ら6千人に事前接種へ (asahi.com, 4/15)。プレパンデミックワクチンに関して、舛添厚生労働相がプロアクティブな対応を発表した模様。
閣議後の記者会見で発表したようなのだが、大臣記者会見等 (厚生労働省) にはまだ情報がない。
関連: 妻夫木ど迫力「感染列島」で医師役 (ニッカンスポーツ, 4/15)。さて、どこまでリアルにできるのか。 十分にリアルにつくると、ゾンビ映画と区別がつかないはずなのだが。 (28日後...は発症速度が早すぎて嘘っぽい……。冒頭の猿たちはレベル4施設にいなければおかしいのにそうじゃないし。まぁ、しょせんは低予算のゾンビ映画なので仕方ないのですが、前半の「誰もいなくなったロンドン」の光景はすごくいいです。そこだけは必見。というか、後半は本当にただの低予算ゾンビ映画になってしまうので見なくていいです)
》 総務省 「地方公共団体における内部統制のあり方に関する研究会」における中間報告(論点整理)の公表 (まるちゃんの情報セキュリティ気まぐれ日記, 4/14)
》 HotmailのCAPTCHA認証を6秒で破るボットが登場 (computerworld, 4/14)。性能向上が著しい模様。
》 見落としがちな脆弱性(Webアプリケーション編)〜その3 (日経 IT Pro, 4/14)。ファイル・アップロード機能の話。
》 [速報] 参議院厚生労働委員会、本日「年金倉庫」へ視察へ (保坂展人のどこどこ日記, 4/15)
》 迷惑/詐欺メール検索エンジン TMASE 5.5(ビルド 1026) 公開のお知らせ (トレンドマイクロ, 4/15)
》 トレンドマイクロが情報漏洩対策ソフト、機密情報含むファイルの操作を制御 (日経 IT Pro, 4/14)。Trend Micro LeakProof 3.0。
ただし操作を制御する対象は、フィンガープリントを作成したファイルに限定される。フィンガープリントを作成するためには、いったんファイル・サーバーなどDataDNA サーバがアクセス可能な共有ドライブにファイルを保存しなくてはならない。ユーザーがクライアントPC上で機密ファイルを作成した場合、 LeakProofで管理するには、該当するファイルをファイル・サーバーに保存するというルールを作っておく必要がある。
》 【RSA Conference】ストーム・ワームが生んだボットネットは累計110万台,IronPortの研究者 (日経 IT Pro, 4/14)
》 【RSA Conference】「反米意識」で動くサイバー犯罪組織,Secure Computingの研究者が分析 (日経 IT Pro, 4/14)。そういう組織もあるだろうけど、そうじゃない組織もあるだろう。それだけのことなんじゃないのか。単なるネタの場合もあるだろうし。
》 【RSA Conference】「ウイルス定義ファイル」は標的攻撃に対応できない,F-Secureの研究者が指摘 (日経 IT Pro, 4/14)
》 山岡俊介・財界展望新社vs荒木民夫・パシコン (SLAPP WATCH, 4/13)
》 MS: VistaのUACはユーザをいらいらさせるために作った (slashdot.jp, 4/14)。仕様です。
》 ファイルのウイルス診断:30種類以上の対策ソフトで検査 (日経 IT Pro, 4/15)。VirusTotal と CWSandbox の紹介。
》 Flashアニメでrootkitに感染、チベット騒乱便乗攻撃止まず (ITmedia, 4/15)、Is Malware Writing the Next Olympic Event? (McAfee blog, 4/14)、McAfee McAfee Rootkit Detective 1.1。
》 スピアー攻撃言うなキャンペーン開催中! (武田圭史, 4/15)。龍大理工学部の場合、特定のアドレスにだけ何通も来ているようなのですよね。当該アドレスの中の人も「変だと思っていたので開けませんでした」と言ってました。
》 権利擁護団体が、携帯キャリアによるテキスト・メッセージ遮断を禁止するようFCCに要請 (computerworld, 4/15)
》 CEOを標的にした「スピア・フィッシング」攻撃にご用心 (computerworld, 4/15)
》 「4人に1人はセキュリティ対策ソフトを使っていない」——IPAの調査 (日経 IT Pro, 4/15)、 情報セキュリティに関する脅威に対する意識調査(2007年度第2回) (IPA, 4/15)
》 米軍基地の環境汚染を報告するシンポ開催 (JANJAN, 4/15)
》 元特捜鬼検事「田中森一」氏の取材者へ大阪地検が家宅捜索 (JANJAN, 4/15)
》 バルカン:NATO加盟で今や分裂 (JANJAN, 4/15)
》 穂の国発 農産物はいま(9)麦の価格 (JANJAN, 4/14)
》 「ビラ配布有罪」判決を下した最高裁判事たち (JANJAN, 4/15)
そこまで考えてみると、判決に参加した今井(裁判長)、津野、中川3判事はいずれも小泉内閣のときに最高裁判事に任命されている。小泉内閣は2001年4月から06年9月まで5年半の長期政権だった。現在の最高裁判事15人(長官を含む)中12人までが、小泉内閣の任命なのである。
ついでだから、現在の最高裁判事全員について、任命の年月日と「選出母体」だけの一覧表にしてみよう。【小泉内閣任命】 島田 仁郎 平成14年11月 7日 裁判官 横尾 和子 平成13年12月19日 厚生省(社会保険庁長官) 藤田 宙靖 平成14年 9月30日 東北大教授 甲斐中辰夫 平成14年10月 7日 検察庁(東京高検検事長) 泉 徳治 平成14年11月 6日 裁判官 才口 千晴 平成16年 1月 6日 弁護士 津野 修 平成16年 2月26日 内閣法制局(長官) 今井 功 平成16年12月27日 裁判官 中川 了滋 平成17年 1月19日 弁護士 堀籠 幸男 平成17年 5月17日 裁判官 古田 佑紀 平成17年 8月 2日 検察庁(最高検次長検事) 那須 弘平 平成18年 5月25日 弁護士 【安倍内閣任命】 涌井 紀夫 平成18年10月16日 裁判官 田原 睦夫 平成18年11月 1日 弁護士 近藤 崇晴 平成19年 5月23日 裁判官
要するに現在の最高裁は、小泉内閣人事によってつくられたのである。
関連:
》 Fail-Safe C: 安全なC言語コンパイラ (RCIS)。メモリ関連の操作の安全性が完全に保障された C コンパイラだそうです。 Fail-Safe C: 現状と将来の開発ロードマップ (AIST) より:
実験したいくつかのベンチマークプログラムの項目について、平均的な処理時間は、通常のC言語コンパイラにより処理した安全でないプログラムと比べておよそ3〜5倍程度となっています。(中略) 将来的には、この値を2倍程度まで改善したいと考えており、静的解析やコード最適化などの改善を図っていきたいと考えています。
》 PCIデータセキュリティ基準 完全対策 (日経 BP) という本が発売されたそうで。さかじゅんさん情報ありがとうございます。
ClamAV 0.92.1 以前に欠陥。libclamav/pe.c の cli_scanpe() 関数で buffer overflow が発生するため、攻略 Upack ファイルによって任意のコードを実行できる。 CVE-2008-1100
まもなく公開される予定の ClamAV 0.92.2 で修正される。2008.03.10 以降、PE スキャンモジュールは remote から無効化されている。(ってどうやって? ウイルス定義ファイルで?)
ClamAV 0.92.2 ではなく 0.93 が公開されたのですね。 [Clamav-announce] announcing ClamAV 0.93。戸井さん情報ありがとうございます。
関連:
Google SpreadsheetのXSS脆弱性が明らかに (日経 IT Pro, 2008.04.15)。patch 済。
ANNOUNCE: Apache-SSL security release - apache_1.3.41+ssl_1.59。メモリ内容が漏曳してしまう欠陥があった模様。 おおかわさん情報ありがとうございます。 CVE-2008-0555。
Debian Bug report logs - #469296 - rxvt: [SECURITY] opens terminal on unspecified display (debian)。 rxvt 2.6.4 は DISPLAY 環境変数が存在しない場合に :0 を仮定して動作してしまうので、まずいことになるみたい。patch が示されている。 CVE-2008-1142
[SA29671] GNU M4 Format String Vulnerability and Security Issue。 GNU m4 < 1.4.11 に 2 つの欠陥。
GNU m4 1.4.11 で修正されている。
SA-2008-026 - Drupal core - Access bypass。Drupal 6.2 で修正されている。 CVE-2008-1729
Rsync Security Advisories: Xattr security fix in 3.0.2 (samba.org)。 rsync 2.6.9〜3.0.1 の extended attribute (xattr) 機能に buffer overflow する欠陥があった模様。 rsync 3.0.2 で修正されている他、rsync 3.0.1 用の patch も公開されている。 CVE-2008-1720
phpBB 3.0.1 released (phpbb.com)。2 件のセキュリティ修正 (詳細不明) が含まれているそうで。 CVE-2008-1766
Libpng-1.2.26 security advisory -- April 12, 2008 (libpng.sourceforge.net)。 libpng 1.0.6 〜 1.0.32 / 1.2.0 〜 1.2.26 / 1.4.0beta01 〜 1.4.0beta19 において、PNG_READ_UNKNOWN_CHUNKS_SUPPORTED または PNG_READ_USER_CHUNKS_SUPPORTED が有効であり (通常後者は有効)、かつ
した場合に欠陥が発動する模様。libpng 1.2.27 / 1.0.33 以降で修正されている。CVE-2008-1382
Debian Bug report logs - #469296 - rxvt: [SECURITY] opens terminal on unspecified display (CVE-2008-1142) 関連:
MS08-021 exploit maker。
上記のメールは To: や recipient などをいじっていることを明記。実際には、実在の理工学部教員のアドレスが入っている。
京大に来ていたものも同じところ 84.18.200.200 からだった模様。ただし内容は異なる?!
Symantec blog にも出ている。
さきほどもう一度 VirusTotal してみた結果。
マカフィーは Extra.dat あります。
》 「毒めぐ」イラストレーター、みだらな行為した疑いで逮捕 (読売, 4/14)
石井容疑者は、猟奇的殺人事件を扱った人気ゲーム「ひぐらしのなく頃に」小説版に、「毒めぐ」のペンネームでイラストレーターとして参加。「ゴスロリ」と呼ばれるファッションでも知られ、一部の同人誌やゲームファンの間で絶大な人気があった。
》 全日本ラリー選手権に「痛車」参戦中 (slashdot.jp, 4/12)。部門名の方がよっぽど痛い部門より。
》 イラクにおけるロボットの反乱(?)、鎮圧される (slashdot.jp, 4/12)。 SWORDS (Special Weapons Observation Reconnaissance Detection System) がうまく動かなかったようで。 野戦場は甘くない。 関連: Foster-Miller TALON (Wikipedia)、 米軍の武装ロボットが反逆? 実戦配備11時間でイラクから撤収 (technobahn, 4/13)
To: や recipient などをいじってあるけど、こんな感じ。
Received: from mod.go.jp (unknown [84.18.200.200])
by hiryu.st.ryukoku.ac.jp (Postfix) with ESMTP id B4235DEF24
for <nobody@rins.ryukoku.ac.jp>; Mon, 14 Apr 2008 11:43:04 +0900 (JST)
Received: from 2E275A22C1E14FA[192.168.1.121] by mod.go.jp
with SMTP id 45E4E03A; Mon, 14 Apr 2008 11:42:53 +1000
From: 防衛省 <infomod@mod.go.jp>
Subject: 防衛省所管公益法人一覧
To: "nobody" <nobody@rins.ryukoku.ac.jp>
Date: Mon, 14 Apr 2008 11:43:02 +0900
Content-Type: multipart/mixed;
boundary="=_NextPart_2rfkindysadvnqw3nerasdf";
charset="jis"
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
This is a multi-part message in MIME format
--=_NextPart_2rfkindysadvnqw3nerasdf
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
関係各位
お疲れ様です。
防衛省所管公益法人に異動事項がありましたので、
4月14日付の最新版を添付します
(attached file:0414.zip)
---------------------------
Ministry of Defense
Tel: +81-3-5366-3111
Email: infomod@mod.go.jp
----------------------------
--=_NextPart_2rfkindysadvnqw3nerasdf
Content-Type: application/octet-stream;
name="0414.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="0414.zip"
UEsDBBQAAAAIAKBRjjjTFzu5Ui0AAACyAAAIAAAAMDQxNC54bHPsWwt0VNW53ifJhEl4JYAxpAop
(中略)
AAAgAAAAeC0AADA0MTQuZXhlUEsFBgAAAAACAAIAbAAAAMBsAAAAAA==
--=_NextPart_2rfkindysadvnqw3nerasdf--
0414.zip の中身:
% unzip -l 0414.zip
Archive: 0414.zip
Length Date Time Name
-------- ---- ---- ----
45568 04-14-08 10:13 0414.xls
45056 04-14-08 04:47 0414.exe
-------- -------
90624 2 files
0414.xls と 0414.exe を VirusTotal にかけてみた。
とりあえず JPCERT/CC には報告した。
上記のメールは To: や recipient などをいじっていることを明記。実際には、実在の理工学部教員のアドレスが入っている。
京大に来ていたものも同じところ 84.18.200.200 からだった模様。ただし内容は異なる?!
Symantec blog にも出ている。
さきほどもう一度 VirusTotal してみた結果。
マカフィーは Extra.dat あります。
》 極東のロシア退役原潜解体、10年までに完了 日本支援 (asahi.com, 4/12)
》 Stop error message when you try to update or to install AVstream device drivers on a Windows Vista-based computer: "STOP: 0x00000050" (Microsoft KB950127)
》 The Netset03.exe tool does not work for non-English language versions of Windows Server 2003 (Microsoft KB950037)。 You cannot configure a network adapter that resides on a virtual bus to use a static IP address in an automated deployment of Windows Server 2003 (Microsoft KB920293) で提供している Netset03.exe は非英語環境では使えない話。patch があるそうで。
》 マジックナンバー: 1024。まだこんなネタがあるとは。
》 How to contact a Microsoft Product Activation Center (Microsoft KB950929)。Microsoft Product Activation Center への接続方法まとめ KB。 関連かなあ: A list of Microsoft Knowledge Base articles is available to help you troubleshoot error codes and error messages that you may receive when you try to activate Windows Vista (Microsoft KB951287)
》 When you try to burn 7.8 GB of data or more to a DVD+R DL disc on a Windows Vista-based computer, the operation may fail even though the capacity of the disc has not been reached (Microsoft KB949466)。Vista 上で 7.8GB 以上のデータを DVD+R 2 層に書こうとするとエラーになる模様。
》 A hotfix is available to update the "(GMT +03:00) Baghdad" time zone for 2008 in Windows Server 2008 and in Windows Vista (Microsoft KB950571)。イラクにいるあなたへ。
》 A computer that is running an x86-based version of Windows Server 2008 or an x86-based version of Windows Vista may use fewer processors than expected if the number of cores on a socket is not a power of 2 (Microsoft KB950182)。x86 ベースの Server 2008 / Vista に「2 の階乗」個ではない複数プロセッサ (例: 6 個) を塔載していた場合、全部を使い切れない模様。 patch があるそうです。
》
Fribet - Attacking Your Backend Database from Your Backyard
(McAfee blog, 4/10)。SQL サーバへの攻撃は外部からだけとは限らない。
Fribet という名前は
freetibet.[removed].com port: 8082
から来ているのか。
》 表現を縛るのではなく悪意の行動を縛る方向へ (崎山伸夫のBlog, 4/13)
》 映画『靖国 YASUKUNI』上映中止 李纓監督らの訴え (JANJAN, 4/13)
》 中国北部で続く深刻な干ばつ (JANJAN, 4/13)
》 第 12 回 サイバー犯罪に関する白浜シンポジウム「国民総ネット化時代の情報安全教育」。 2008.06.05〜07、和歌山県白浜町、15,000円 (昼食代・宿泊費別)。
関係者は「誰が何のために」と首をかしげる。「テロ」という発想はない模様。
保管庫に入るには、ドアの鍵と、内部の防犯装置を解除するカードキーが必要だ。この二つの鍵は、社屋の隣の社員寮の玄関付近にある鍵箱に入っていた。2 因子認証かと思っていたら、実はそうじゃないと。
鍵箱を開けるには、3けたの暗証番号が必要だ。(中略) 鍵箱の暗証番号は約20年前から同じで、県警は、元従業員や出入り業者を中心に捜査している。対象者約200人のうち、4分の1程度まで調べが進んでいる。定期的に変更していれば、もっと範囲を狭められたのだが。
2ミリ四方の放射性物質イリジウム192の金属棒本体は 2 ミリ四方ですか。
防犯カメラがとらえた容疑者の姿=千葉県警提供侵入者の顔をきちんと記録できない「防犯カメラ」……。
》 内閣府大臣官房政府広報室における国政モニターのメールアドレスの流出について (内閣府大臣官房政府広報室, 4/11)。いいかげん、BCC という間違えやすい機構の利用をやめなさいってば。
》 Windows Vista SP1のダウンロード問題が解決 (ITmedia, 4/8)。Vista SP1適用で一部サードパーティ・アプリが「不安定」に Vista用更新プログラム「KB937287」は配布中止。Microsoftには苦情殺到 (computerworld, 2/25) の話かな。関連:
》 緊急報告 大返済時代 〜1800自治体アンケートから〜(仮) (NHK スペシャル, 4/21 放送予定)
》 ポルトガル経由グアンタナモ行きCIA輸送機 (JANJAN, 4/12)。拉致国家 USA 関連。
》 建築家らがシンポで改正建築基準法に「NO!」 (JANJAN, 4/9)
》 コソボ元首相の無罪にセルビアが憤慨 (JANJAN, 4/11)
》 『靖国 YASUKUNI』上映中止にジャーナリストや映画人ら抗議会見 (JANJAN, 4/11)
》 中東:燃料不足にあえぐガザの町 (JANJAN, 4/12)
》 【緊急点検!道路特定財源】(2)ムダ遣い・目的外使用が次々に発覚 (JANJAN, 4/12)
》 道路特定財源の一般財源化で首長経験者が議論 (JANJAN, 4/10)
千葉県我孫子市の市長を3期12年務めた福嶋浩彦氏は、地方は自由に使える財源の必要性を強く訴えていくべきだとした上で、「一般財源化すれば地方自治体が自由に使える財源が自動的にくるわけではないが、国が使途を定めて地方に補助金として財源を回すという構造が変わらない限り、どんなに一般財源化されても、市町村にとっては特定財源と同じだ」と地方への税源移譲を含めた改革の必要性を説いた。
》 「立川ビラ配布事件」最高裁で有罪判決確定 (JANJAN, 4/12)
この事件があったあと、サンデープロジェクトの番組スタッフが自衛隊の宿舎に張り付いていたところ、ピザ屋やクリーニング屋や寿司屋が頻繁に出入りしていたそうです。しかし、彼らが逮捕されたという話は聞きません。
最高裁の判決では、判決は表現の自由を問うものではなく、あくまでも、自衛隊の宿舎であるところの「邸宅」に管理主権者の許可を得ないで入ったために、住居侵入の罪で有罪とするとのことですが、それでは、ピザ屋さんなどがパンフを配布するとき、一々許可を得て入っているのでしょうか。もし許可を得ていないとしたら、全員、逮捕し、起訴して有罪判決を下すのでしょうか。また、新聞の勧誘にくる人たちは一々許可を得て「邸宅」に入り、各戸の玄関のチャイムを押すのでしょうか。
素人でもおかしな判決であるとの感想を持つのに、法の番人と言われる最高裁が、傍聴人に充分な説明もできないような判決を下すことに、裁判官としての良心が痛まないのか、大変疑問を感じました。ちなみに、この今井巧裁判長らは横浜事件再審請求棄却、袴田事件再審請求棄却の判決を出した人たちです。
本来5名で出すべき判決をたったの3名で出したことも重大な問題ですが、弁護士さんのお話によると、当初は4名でやるはずだったのが、その中の1名は元検察で、関与があったため、急遽、外されたという説明を聞いて、このような市民生活に重要な影響のある裁判を、きわめて不透明な形で判決を出したことに対し、最高裁に対する不信感がさらに深まったような気がしました。
関連:
立川の反戦ビラ弾圧、板橋区卒業式での日の丸君が代問題チラシ配布での元教員への弾圧、葛飾・亀有ビラまきへの弾圧で、これら全てを起訴した担当検事は同一人物、東京地検検事・崎坂誠司であることが判明しました。
MS07-062 patch を適用すると、Windows Server 2003 ではメモリリークが発生するそうです。On a Windows Server 2003-based computer that has the update from security bulletin MS07-062 installed, you may experience a memory leak in DNS (Microsoft KB946565) 参照。
関連:
Symantec Endpoint Protection 11.0 MR2 を Windows Vista / Server 2008 で利用すると、Stop 0x000000E3 エラーが発生する不具合があるそうです。 Windows 側での NTFS file system exception handling に問題があるそうで、patch はまだありません。
しかし、では MR1 に戻せばいいかというと、それはそれで問題があるかもしれません。
新たな KB が: Error message when Symantec Endpoint Protection MR2 quarantines a file in Windows Vista or in Windows Server 2008: "Stop 0x000000E3" (Microsoft KB951250)。Windows Vista 用の patch があるそうです。KB951580 と同じ問題のような気がするのだけど、なぜ別 KB なのかよくわかりません。
EMC DiskXtender に複数の欠陥。
サポートから patch を入手できる模様。
》 【デジタル社会推進シンポジウム2008】 <国際テロ及び重要インフラ侵入の動向と国際協調>。 2008.06.02、東京都渋谷区、無料。
》 「MP3プレーヤーにもウイルス」——USB機器からの感染に注意 (日経 IT Pro, 4/11)。「例えばトレンドマイクロでは」の部分は、 「USBウイルス」の被害報告が依然多数、トレンドマイクロが警告 (日経 IT Pro, 4/3) ですかね。
》 チベットへの独立調査を要請:人権理独立専門家 (国連情報誌SUNブログ対応版, 4/11)
連日、聖火リレーの模様が伝えられていますが、これほど各国で歓迎されていない例も珍しいのではないでしょうか。中国はオリンピックと政治を結びつけるなと主張しているようですが、これまで中国自身が(特に台湾の扱いをめぐって)何度かオリンピックをボイコットしているので、はぁ? と言いたくなります。
》 「山口二区」決戦と道路特別会計・後期高齢者制度への逆襲 (保坂展人のどこどこ日記, 4/12)
》 日本体育大学・宮嶋武広さんの「事故死」をめぐって (保坂展人のどこどこ日記, 4/11)
》 総務省 パブコメ 次世代の情報セキュリティ政策に関する研究会中間報告書に係る意見募集 (まるちゃんの情報セキュリティ気まぐれ日記, 4/6)
》 ACCSがYouTubeからテレビ番組削除 天台宗僧侶がチベット問題を語ったシーン (itmedia, 4/11)
》 Snort v2.8.1 Available (snort.org, 4/4)
》 10代のネット利用を追う 子どもがネットで受ける被害は甚大 インターネット協会に聞く、子どもの被害事例(1) (Internet Watch, 4/10)、 (2) (Internet Watch, 4/11)
「インターネットは大人の世界です。まだ責任能力や判断能力がないのに、いきなり大人の世界に入るようなものなので、子どもがトラブルに遭うのは当然なのです。もし子どもがトラブルに遭っていたら、いきなり叱るのはやめてください。『いきなりアクセスしてびっくりしたでしょう』などと言って、『間違っても気にしなくていいんだ』と安心させてあげてください。説教するのではなく、ただ話を聞いて共感してあげるだけで、子どもはほっとします。『そういうことはよくあるよ』と励ましてあげるだけで、半分以上は解決したも同じなのです。」
》 【RSA Conference】シマンテック幹部が語る,次世代ITリスクへの解「Security 2.0」 (日経 IT Pro, 4/10)
》 Advanced obfuscated JavaScript analysis (SANS ISC, 4/6)
》 Symantec's Global Internet Security Threat Report (SANS ISC, 4/8)
》 IE Automatic Component Activation Now Available (IEblog, 4/8)
》 IE8 Security Part I: DEP/NX Memory Protection (IEblog, 4/8)、IE 8でセキュリティ機能のデフォルト設定が変更に (ITmedia, 4/11)
》 FireFox formhistory.dat ファイル (B-) の独り言, 4/8)
》 国連:子どもにふさわしくない大人の世界 (JANJAN, 4/6)
》 【緊急点検!道路特定財源】(2)民営化後も不採算高速道建設のカラクリ (JANJAN, 4/6)
》 CeCOS II Tokyo (シーコス II 東京) (APWG)。2008.05.26〜27、東京都千代田区、早期割引 43,300円。
》 続・「パスワードは90日ごとの変更」が義務づけられる!? (日経 IT Pro, 4/10)。 PCI DSS の話のつづき。
これらを満たすために,バックアップ・サーバーやWAFを購入する必要があり,1000万円近いコストがかかったという。ヤマトシステム開発はISMS (情報セキュリティマネジメントシステム)やプライバシーマークの認定を既に取得している。その同社でも,これだけの対応が必要だった。
同社では PCI DSS を満たさないようなスタンダードを策定していた、あるいは、そんなスタンダードであっても ISMS / プライバシーマークは取得できる、というだけの話でしょう。安く済ませようと思えば工夫の余地はあるわけだし。
》 「データセンターの環境対策が急務」——IT幹部らが統一見解 (computerworld, 4/10)
》 スクリプトインジェクション対策の特集 - gihyo.jp (yohgaki's blog, 4/9)
》 Wiresharkでトラブルハック(2)名前のないセキュアシェル (@IT, 4/10)。「実用 SSH 第2版: セキュアシェル徹底活用ガイド」の 10 章「推奨する設定」では、UseDNS は no になってますね。
流行ってるなあ。安価かつ手軽にできるという点が、border にいる人をあちら側に倒してしまうのだろうか……。
》 北京 2008 (国境なき記者団)。T シャツ売ってます。
》 銃砲に係る2つの総点検の結果について (警察庁)
》 Secureity Development Lifecycle (日本のセキュリティチーム, 4/10)。まっとうな日本語による翻訳版を期待しています。
そして、来年5月には裁判員制度が始まる。衆議院選挙名簿からくじで選ばれた裁判員は、「死刑か、無期か」をわずか3日間で判断し、多数決で評決しなければならない。現在の職業裁判官の判決も厳罰化を強め、確定死刑囚は昨年23人と激増している。このまま、裁判員制度の実施前から「大量処刑時代」に入り、死刑執行の屍の山を踏み分けて,「市民の司法参加」が始まるのか、私たちは大変に危惧を覚える。死刑執行を最低限の人数とペースで実施してきた政府・法務省の方針転換と、厳罰化に向う司法の現状を放置しておけば、「死刑への市民参加」で裏打ちされた裁判員制度は、年間20人〜30人の死刑執行が平然と行われる社会を副産物として生み出すことが予想される。
従来と同様に今回の執行についても、本人や家族を含め誰にも事前の予告はなく、突然の執行となりました。今回の執行でも執行後に12月の執行以来3回目となる死刑囚の氏名および罪状が公開されました。しかしそれ以外の情報は一切公開されませんでした。死刑確定のプロセスや、確定後の再審請求、恩赦請求の棄却時期などの死刑囚の基本的人権の尊重において極めて重要な情報が開示されていません。
中元さんは無罪を主張しており、過去に再審請求もしていました。中村さんは精神障害の疑いが指摘されていました。坂本さんは一審判決が無期懲役で二審で逆転死刑判決を受け、上告せずに確定しました。秋永さんは一審判決が無期懲役で二審で逆転死刑判決を受けました。秋永さんの弁護士は恩赦請求の準備中であり、しかも請求直前であったという情報もあります。
》 近代農業の方向性を警告:ユネスコ (国連情報誌SUNブログ対応版, 4/8)
》 エクアドルがコロンビアによる国境付近での除草剤空中散布に関しICJに提訴 (国連情報誌SUNブログ対応版, 4/2)
》 世界自閉症啓発デー (国連情報誌SUNブログ対応版, 4/3)
自閉症は症例が発表された当初は家庭環境や強いストレスなど後天的な要因で罹ると見なされていましたが、現在では(諸説あるものの)先天性の脳機能障害であるとの説が主流です。つまり自閉症の子どもの行動を見て「親のしつけがなってない」などと言うのは認識が間違っているということです。
》 キング牧師暗殺から40年 (国連情報誌SUNブログ対応版, 4/5)
Article #537: Common UNIX Printing System 1.3.7 (CUPS.org, 2008.04.01)。 CUPS 1.3.7 では CVE-2008-0047 (cgiCompileSearch buffer overflow) や CVE-2008-1373 (CUPS GIF image filter overflow) が修正されているそうです。
GoogleのPython採用と脆弱性情報の関係 (yohgaki's blog, 2008.04.11)。 Python 2.5.2 以前に含まれる zlib extension module の欠陥 CVE-2008-1721 の話。
Potential security vulnerabilities in Lotus Notes file viewers for Applix Presents, Folio Flat File, HTML speed reader, KeyView and MIME (IBM, 2008.04.08)。Lotus Notes のファイルビューアに複数の buffer overflow する欠陥があり、任意のコードを実行できるそうで。
APSB08-12 - Update available for ColdFusion 8 CFC method access level issue (Adobe, 2008.04.08)。CVE-2008-1656。 patch あり。
VU#162289 - gcc silently discards some wraparound checks (US-CERT)
An application which performs bounds checks based on an expression such as the one described above may be vulnerable to buffer overflow if compiled with gcc versions 4.2 or later. The nature of the resulting vulnerability would be specific to the application and depends on how the affected code is used.
patch はまだない。GCC 4.2 以降を利用する場合は注意が必要な模様。 CVE-2008-1685
Cisco Security Advisory: Cisco Unified Communications Disaster Recovery Framework Command Execution Vulnerability (Cisco, 2008.04.03)
"簡易な" IPv6対応のせいでセキュリティが劣化している (日経 BP, 2008.04.11)。ブロードバンドルータの「IPv6ブリッジ」機能に注意、という話。デフォルト有効な機器も存在する模様。
APSB08-12 - Update available for ColdFusion 8 CFC method access level issue (Adobe, 2008.04.08) の日本語版登場: APSB08-12 - ColdFusion 8 CFCメソッドのアクセスレベルに関するアップデート公開 (Adobe)
関連: 「Microsoft Jet」のぜい弱性に修正が必要なもう一つの理由 (日経 IT Pro, 2008.04.11)。Another Reason to Patch Microsoft Jet Vulnerabilities (Symantec blog, 2008.03.20) の翻訳記事。
Windows GDIの脆弱性を狙った攻撃が活発化 3年前にも同様の脆弱性が大規模攻撃の対象に (computerworld, 2008.04.11)
》 仮想マシン移行時のセキュリティを考える (日経 IT Pro, 4/8)。VMotion みたいな機能に関するセキュリティの話なので、「仮想マシン移行時の」というタイトルは誤解を招くなあ。
米ヴイエムウェアのセキュリティ実践ガイドには,VMotionの全トラフィックは隔離された専用のネットワークを使用すべきと記載されている。(中略) ベンダーのメッセージは極めて明快だ。「誰かがライブ・マイグレーションのトラフィックにアクセスできる限り,悪用される可能性はある。必要な対策を講じて安全を確保せよ」ということだ。
》 海外製の「eMule」「BitTorrent」などを調査 P2Pダウンロードファイルの67%にウイルス (@IT, 4/10)。これ、元ねたを読んでも詳細がさっぱりわからないんだよなあ。
》 角川の動画共有サイト活用戦略についてインタビュー「全部を認めたわけではなくて、認めるべき部分を認めただけ」 (gigazine, 4/10)
》 業界のビッグネームたちが語る、情報セキュリティ対策の“勘所” (computerworld, 4/10)
Coviello氏 (中略) によると、企業を襲うセキュリティ上の脅威は多様化が進む一方であり、専業ベンダーが提供するセキュリティ製品でも単一ではほとんど役に立たなくなっているという。
確かに……。
また、セキュリティに対する闇雲な投資と、それに伴う管理の複雑化が、かえってビジネス・リスクを高めており、「企業は今こそ、守るべき情報の範囲を定め、ビジネス・リスクの観点から自社のセキュリティを見直す時期にある」と語った。
言うのは簡単ですけどねぇ……。
》 米消費者の7割はボットネットを知らない,個人のセキュリティ不備は国家の安全を脅かす (日経 IT Pro, 4/10)
》 「いつものWebサイトを訪問するだけで感染する可能性が高まる」,米Symantec調査 (日経 IT Pro, 4/10)。確かに……。
》 OpenIDの推進団体が日本でも発足へ (日経 IT Pro, 4/10)。「OpenIDファウンデーション・ジャパン」だそうで。
》 ピュリツァー賞:長井さん銃撃現場撮影の米カメラマンに (毎日, 4/8)
》 突風:風速変化を連続観測 気象研などが初めて成功 (毎日, 4/8)
》 企業向けPC Windows Vista SP1 インストール時の注意事項 (富士通, 3/19)
Norton AntiVirus 2007 がインストールされている製品に Windows Vista SP1 をインストールすると、画面に「更新プログラムを構成しています:ステージ 3 / 3 - 0% 完了」と表示したまま、インストール動作が長時間におよび、その後、エラーメッセージ「Reviewing the SP installation failed」が表示される場合があります。
Norton AntiVirus 2008 なら大丈夫なのだそうです。
》 スマートカード認証システムがフリーソフトウェアの普及にもたらすメリットとデメリット (Open Tech Press, 4/9)。ほんと、対応してないよねえ。
》 米Microsoft、Office 2007などのプロトコル情報14000ページを開示 (Open Tech Press, 4/9)
》 マイクロソフト、Officeの海賊版に警告を送る試験プログラムを開始へ (computerworld, 4/9)
》 日銀人事、福田内閣と財務省「三度目の失敗」 (保坂展人のどこどこ日記, 4/9)。渡辺博史 副総裁候補 (一橋大大学院教授) に関する日本語の資料は、ありません。
渡辺候補は元財務官であり、昨年末にも「危機説を流している人がマーケットにいる」「これ以上ドルが安くなることはない」と発言しています。
》 警察庁 Winny等ファイル共有ソフトを用いた著作権侵害問題とその対応策について(平成19年度総合セキュリティ対策会議 報告書) (まるちゃんの情報セキュリティ気まぐれ日記, 4/9)。 もしかして、「キャッシュファイル」で書類送検の話が先に進んでいないのは、この「報告書」とやらを待っていたから?
協議会ねぇ……。いまさら何か協議しなくちゃいけない事があるのか?
》 カーネギーメロン大学日本校情報セキュリティセミナー「情報セキュリティの経済学 セキュアにするか保険をかけるか?ネットワークセキュリティのゲーム理論分析」。 2008.04.18、兵庫県神戸市、無料。幸田さん情報ありがとうございます。
関連: 「ゲームなんだよ!」といえば、やっぱり河合その子 (ウィキペディア)
》 Microsoft SDL Process - in detail (The Security Development Lifecycle, 4/9)。 Security Development Lifecycle (SDL) Guidance は「Microsoft Security Development Lifecycle, version 3.2」なのだそうです。SDL の本の日本語版って出てないんですよね。 Hunting Security Bugs というのもあるのか……。
》 第41回 コンピュータセキュリティ(CSEC)研究発表会。 2008.05.22〜23、神奈川県横浜市。価格いろいろ。学生なら安いよ。
緊急 x 5、重要 x 3。
MS08-018 - 緊急: Microsoft Project の脆弱性により、リモートでコードが実行される (950183)
対象: Microsoft Project 2000 / 2002 / 2003 (ただし 2003 SP2 は除く)。 「緊急」は Project 2000 のみ。
Project ファイルの処理に欠陥があり、攻略 Project ファイルによって任意のコードを実行できる。CVE-2008-1088
MS08-019 - 重要: Microsoft Visio の脆弱性により、リモートでコードが実行される (949032)
対象: Visio 2002 / 2003 / 2007。この欠陥は Visio Viewer 2002 / 2003 / 2007 には存在しない。
Visio に 2 つの欠陥。
Visio ファイルのオブジェクトヘッダデータの処理に欠陥があり、攻略 Visio ファイルによって任意のコードを実行できる。 CVE-2008-1089
.DXF ファイルの読み込み処理に欠陥があり、攻略 .DXF ファイルによって任意のコードを実行できる。 CVE-2008-1090
MS08-020 - 重要: DNS クライアントの脆弱性により、なりすましが行われる (945553)
対象: Windows 2000 / XP / Server 2003 / Vista gold。この欠陥は Server 2008 / Vista SP1 には存在しない。
翻訳がわけわかんないし……。
この脆弱性により、認証されていない攻撃者が影響を受けるクライアントにより作成された DNS リクエストに悪意のあるレスポンスを送信し、「なりすまし攻撃」または適正な場所からインターネット トラフィックをリダイレクトする可能性があります。
原文はこう。
The vulnerability could allow an unauthenticated attacker to send malicious responses to DNS requests made by vulnerable clients, thereby spoofing or redirecting Internet traffic from legitimate locations.
俺訳。
この脆弱性を利用すると、無認証の攻撃者は、脆弱なクライアントが作成した DNS リクエストに対して悪意のあるレスポンスを送信できるため、本物のサイトになりすましたり、本物のサイトへ向かうべき通信をリダイレクトする可能性がある。
Windows のスタブリゾルバに欠陥があり、 DNS クエリにおけるトランザクション ID および UDP ポート番号のランダム性が足りない模様。 CVE-2008-0087。詳細: Microsoft Windows DNS Stub Resolver Cache Poisoning (MS08-020)
patch を適用すると、トランザクション ID のランダム性が改善される模様。
MS08-021 - 緊急: GDI の脆弱性により、リモートでコードが実行される (948590)
対象: Windows 2000 / XP / Vista / Server 2003 / Server 2008
GDI に 2 つの欠陥。
GDI における WMF / EMF ファイルの処理に欠陥があり heap overflow が発生、攻略 WMF / EMF ファイルによって任意のコードを実行できる。 CVE-2008-1083、ZDI-08-020: Microsoft GDI WMF Parsing Heap Overflow Vulnerability
GDI における EMF ファイル内のファイル名パラメータの処理に欠陥があり、stack overflow が発生、攻略 EMF ファイルによって任意のコードを実行できる。 CVE-2008-1087
MS08-022 - 緊急: VBScript および JScript スクリプト エンジンの脆弱性により、リモートでコードが実行される (944338)
対象: VBScript エンジン 5.1 / 5.6、JScript エンジン 5.1 / 5.6。Windows 2000 / XP / Server 2003 に同梱。
VBScript / JScript エンジンが難読化されたスクリプトコードをデコードする処理に欠陥があり、攻略スクリプトによって任意のコードを実行できる。 CVE-2008-0083
MS08-023 - 緊急: ActiveX Kill Bit 用のセキュリティ更新プログラム (948881)
対象: Windows 2000 / XP / Vista / Server 2003 / Server 2008
ActiveX コントロール hxvz.dll に欠陥があり、攻略 web ページによって任意のコードを実行できる。解決策として、hxvz.dll に kill bit を設定する。CVE-2008-1086、 iDefense Security Advisory 04.08.08: Microsoft HxTocCtrl ActiveX Control Invalid Param Heap Corruption Vulnerability
また、Yahoo! Music Jukebox < 2.2.2.058 に関連する ActiveX コントロールに kill bit を設定する。Yahoo! Music Jukebox Security Update 参照。 画像アップローダの脆弱性、FacebookやYahoo! Jukeboxにも影響波及 の件か?
MS08-024 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (947864)
対象: Internet Explorer 5 / 6 / 7
IE がデータストリームを扱う方法に欠陥があり、攻略データストリームによって任意のコードを実行できる。CVE-2008-1085
MS08-025 - 重要: Windows カーネルの脆弱性により、特権が昇格される (941693)
対象: Windows 2000 / XP / Vista / Server 2003 / Server 2008
Windows カーネルがユーザ空間から送られた入力を正しく検証しないため、local user による権限上昇が可能。 CVE-2008-1084
patch があるので適用すればよい。
Windows GDIの脆弱性を狙った攻撃が活発化 3年前にも同様の脆弱性が大規模攻撃の対象に (computerworld, 2008.04.11)
関連:
MS08-021 exploit maker。
MS08-020 欠陥の発見者が、MS08-020 : How predictable is the DNS transaction ID? (Security Vulnerability Research & Defense, 2008.04.09) は間違ってるぜと主張している。
Flash Player 9.0.115.0 以前 / 8.0.39.0 以前、Flex 3.0 以前、AIR 1.0 以前に複数の欠陥。
入力値の検証に欠陥があり、任意のコードを実行できる。 CVE-2007-0071 CVE-2007-6019
DNS rebinding attack の実行を手助けしてしまいかねない潜在的な欠陥の修正。 CVE-2007-5275 CVE-2008-1655
クロスドメイン ポリシーファイルの処理方法を変更。 CVE-2007-6243
SWF がヘッダを外部の HTTPD サーバに送信する前に、クロスドメイン ポリシーファイルの処理を行うよう変更。CVE-2008-1654
allowScriptAccess のデフォルト値を always から sameDomain に変更。 関連: CVE-2007-6637
Flash Player 9.0.124.0 で修正されている。
日本語版: APSB08-11 - Flash Playerのセキュリティ脆弱性に対処するためのアップデート公開 (Adobe)
Flash Player 9.0.124.0 をインストールした環境では、VeriSign の「セキュアドシール」(Flash 版) を正常に確認できない模様。
Adobe Flash Player バージョン9.0.124.0導入環境において ベリサインセキュアドシール(Flash形式)の検証ページが表示出来ない事象について (VeriSign, 2008.06.25)
VeriSign は、GIF 版は問題ないので GIF 版を使ってくれ、と言っているようです。 Benjamin さん情報ありがとうございます。
ベリサインセキュアドシールの件、対応されたようです: ベリサインセキュアドシール(Flash形式)の検証ページが表示出来ない事象の解消のお知らせ (VeriSign, 2008.07.22)。Benjamin さん情報ありがとうございます。
》 OSレベルの仮想化ソフトウェア「FVM 1.0」が公開 (マイコミジャーナル, 4/9)。一瞬 FMV かと思った。
》 ペルー:暗殺部隊を報奨したフジモリ (JANJAN, 4/7)
》 “迷惑メール事業者”はこの先どこへ行く? 違法人材リソースはどこへ転じていくのか (日経 BP, 4/9)
》 出戸西方断層と六ヶ所村再処理工場 (保坂展人のどこどこ日記, 4/8)
》 「ハートのマークは危険の印」——「Blogger」悪用のウイルスメール (日経 IT Pro, 4/8)。そもそも、いかにもなメールだしねえ。
》 海の向こうの“セキュリティ” 第19回:Vista vs Mac OS X vs Ubuntuクラッキングコンテスト ほか (Internet Watch, 4/9)。個人的には「韓国の報道に見る中国のセキュリティ事情」が興味深い。
》 企業などの不正アクセス対策、2007年度の投資額は平均681万円〜警察庁調査 (Internet Watch, 4/8)。そもそも、何をもって「情報セキュリティ投資」とするのかが全く定義されていないんだよなあ。
》 企業などの不正アクセス対策、2007年度の投資額は平均681万円〜警察庁調査 (Internet Watch, 4/8)
》 HPが全ワークステーション製品で最高の環境評価を獲得 (HP, 4/9)
》 NECネクサがIIS向けのホスト型ファイアウォールに新版,運用管理機能を強化 (日経 IT Pro, 4/8)、SOLVDEFENCE OnSite (nec-nexs.com)
》 松下、富士ゼロックスなど18社が情報セキュリティ格付け専門会社設立 (日経 IT Pro, 4/8)
》 巨大ボットネット「クラーケン」現る。 layer9 さん情報ありがとうございます。
》 JPNIC News & Views vol.536【臨時号】第71回IETF報告 [第4弾] セキュリティ関連WG報告 (JPNIC, 4/9)
Stefan Santesson氏(Microsoft社)が発表を行いました。
Netscapeがきっかけを作ったワイルドカード証明書への対応ですが、IEをはじめとして利用できるプラットホームが増えるとともに、著名なCAサービス(認証局)がワイルドカード証明書を発行するようになっている状況の一方で、ワイルドカード証明書をPKIX標準としては認めていないという現状が報告されました。
このような状況を鑑み、Santesson氏は
i. Informational RFCを発行する
ii. 3280bis(がRFC化された後に修正し)ワイルドカードの存在を認める
のどちらかを行うべきだと提案しました。
》 JPNIC News & Views vol.535【臨時号】第71回IETF報告 [第3弾] IPv6関連WG報告 (JPNIC, 4/8)
「ノード要求仕様の改訂」は、現在、RFC4294として出版されている「IPv6 Node Requirements」文書を改版しようという提案です。
今回の大きなポイントとしては、IPv6では従来、ノードに実装が必須とされていたIPsecを、必須条件から外してはどうかというものでした。これは、センサーなどの非力なノードではIPsecの実装が困難なこと、また、他のセキュリティ機構が存在する場合などには、IPsecが必ずしも必要でない場合があるということが議論の根拠となっています。しかしながら、IPsecを必須条件から外すことは、RFC2460など、既存のIPv6の基本文書に対する影響が大きいことや、IETFの他のエリアへの影響もあることから、まずはセキュリティエリアのディレクタに問い合わせることになりました。ミーティング会場での雰囲気では、数的にはIPsecを必須条件から外すことへの賛同の方が多かったものの、反対もそこそこ多く、合意にはまだ時間を要しそうです。
》 JPNIC News & Views vol.534【臨時号】第71回IETF報告 [第2弾] DNS関連WG報告 (JPNIC, 4/8)
reflectors-are-evilは、不特定多数に解放されているDNSリゾルバが、DoS攻撃のための増幅器として用いられるのを防ぐことを提案しているInternet-Draftです。 (中略) forgery-resilienceは、増えつつあるDNSに対する攻撃を防ぐために、気をつけるべき事項に関して述べられたInternet-Draftです。
関連:
》 【セキュリティ魂】ハッカーショーをテレビ番組が放映「盗難してくれてありがとう」 (livedoor ニュース, 4/7)
4/8 発売のハッカージャパン 2008 年 5 月号 (web ページにはまだ情報がないみたい) に中の人のインタビューが掲載されているそうです。やぴさん情報ありがとうございます。
》 VB100% Award 受賞 (日本のセキュリティチーム, 4/8)。まぁ、VB100% は受賞して当然なのですが。
》 サービスパックの同期について (Japan WSUS Support Team Blog, 4/8)。「結論から先に申し上げますと、これは想定された正しい動作です」だそうです。
》 Panda Antivirus 2008, Panda Antivirus+Firewall 2008 及び Panda Internet Security 2008製品のパターンファイルアップデートに伴う障害について (panda, 4/8)。panda、お前もか。
》 記者の目:イラク戦争=小倉孝保(ニューヨーク支局) (毎日, 4/8)、 記者の目:何のためのイラク戦争だったのか=布施広 (毎日, 4/9)
》 オランダ:極右党首の反イスラム発言、裁判所が容認の判断 (毎日, 4/8)
》 残業代など不払い、「すき家」のゼンショーを刑事告訴 (asahi.com, 4/8)
》 西友平塚店でまたエスカレーター事故、1歳が指切断 (asahi.com, 4/8)。 護板、長さ不足 建築基準法違反 エスカレーター事故 (asahi.com, 2007.10.17) と同じ「西友 平塚店」。
UltraVNC の件。リモート操作フリーソフト「UltraVNC」にセキュリティ・ホール,日本語環境での対応法を紹介 (日経 IT Pro, 2008.04.09) において、上記 vncviewer は日本語キーボードに対応していない件とその対応について、 山下眞一郎が詳細に解説しています。ポイントはこうみたい:
》 パソコン用の外付け地デジチューナーが発表、デスクトップやノートパソコン用など3種類 (gigazine, 4/8)。フリーオキラーになり得るのか? 関連: ピクセラ、地デジだけでなくBS/110°CSデジタル放送にも対応した外付けチューナーを製品化 (gigazine, 4/9)
》 NASAのトップ気象学者が地球の危機を表明 (gigazine, 4/8)。バン・アレン帯が燃える話ではありません。
》 自動車サイト「carview.co.jp」、改竄によりウイルスを仕込まれる (Internet Watch, 4/7)、弊社WEBサイト停止に関するご報告 (カービュー, 4/7)。リネージュ資料室さんによると、最終的にダウンロードされる exe ファイルは
4月7日時点ではシマンテック、トレンドマイクロ、マカフィー、NOD32、avast!、 AVGのいずれでも検出できませんでした。心当たりの方は、カスペルスキーのオンラインスキャンの利用をお勧めします。
だそうです。リネージュ資料室さん情報ありがとうございます。
関連: イリーガル・エイリアン (早川書房)
》 JASRACとニコニコ動画の包括契約キター (ITmedia, 4/1)、 ニコニコ動画にJASRACとの契約の細かい点について聞いてみた (ITmedia, 4/7)
》 ヤフーが買収額の引き上げを再度要求——バルマー氏からの書簡に返答 (computerworld, 4/8)。ゼニクレージー。
》 ほんとはあった稲田議員「靖国」公開前の試写要求 (JANJAN, 4/7)
番組では新聞各社の社説にも注文をつけた。田原は各紙こぞって「公開されるべきだ」としていることを捉え「新聞各社はホールを持っているのだから、そこで上映したらどうか」と提案した。「言論の自由」などと「高説」をたれている大新聞社の論説委員には耳の痛いことだろう。
「ちょっと待って! 今、田原がいいこと言った!!」
関連: 「靖国」上映中止:「圧力」じわじわと 週刊誌報道、議員向け試写きっかけに (毎日, 4/7)
》 植草一秀氏名誉回復裁判「女性セブン」が和解 (JANJAN, 4/7)
電車内で痴漢の被害にあったとされる女子高生は、「犯人は密着していた」と証言しており、もし植草さんが犯人なら植草さんの上着に被害者とされる女性の着衣の繊維が付着しているはずである。犯人を特定する重要な証拠となるはずの鑑定を、弁護団が強く求めたのに、裁判所が却下したのは不可解といわざるを得ない。
被害にあったとされる女子高生は犯人の顔を見ておらず、犯人の手をつかんでもいない。また、犯行を目撃したと証言した男性の証言には、その信憑性に4つの疑問点があることが弁護団によって指摘されている。さらに、取調べ警官の証言は植草さんの証言と食い違っており、メモも調書もとっていないのに、言ったことがすべて証拠として採用されている。
その一方で、植草さんの主張や、犯行があったとされる時間帯に植草さんが何もしていなかったと述べた目撃男性の証言は、「信用性がない」として退けている。
ワイドショー事件簿 痴漢冤罪との戦い (JANJAN, 4/4) と同様の構図なのか?
この段階では被害者も助けようとした50代の男性も犯人の顔を見ていない。そして犯人が行った方に50代の男性が行き、K被告を犯人と思い肩を叩いたという。確かにK被告は白髪で白っぽい上着を着ていた。しかしハ−フコ−トではなくジャンパ−だったし、尻もかくれていなかった。K被告は被害者の女性の傍にはいなかったし、右手指は痛みなどがあり痴漢行為などできない、人違いだと主張したが、強制わいせつ容疑で逮捕された。
物的証拠はなにもなかった。3月18日に逮捕され、起訴が4月4日。K被告はその女性の傍には居なかったと言っているのだから、K被告のジャンパ−に被害者の上着の繊維が付着していれば、2人は密着状態だったことが証明され、有罪の物証にもなる訳で、その為の繊維鑑定は逮捕から1ヶ月以上も経った4月25日に行われた。それも警察官のミスで鑑定ができないという失態を演じてしまった。
》 道路特定財源、「支持」署名した引退市長たちのホンネ (asahi.com, 4/7)
一方で、引退前に署名を求められたらどう対応したかを聞くと17人中12人が「意に反して署名したと思う」。
「地元に迷惑がかかるから」と匿名を条件に取材に応じた西日本の元市長は「中央省庁のやり口ですわ。あんなもんがみんなの本心と思ってもらったら困ります」。同じく匿名の東日本の元市長は「予算を人質に取られている立場で本音は言えない」と語った。かつて道全協の役員を務めたことのある光武顕(みつたけ・あきら)・元長崎県佐世保市長(77)も「首長の立場ではあらがいがたい」と話す。
「ああいうものには目に見えない圧力がある」=亀田良一・元広島県尾道市長(81)=、「不本意ながら足並みをそろえた人が多いと思う」=上原公子・元東京都国立市長(58)。そんな声も相次いだ。
「中央省庁のやり口」を強力にバックアップしているのが公明党というのがなあ。まさに「生活に直結。政治に実現。」なわけなのだが。
》 cwRsync - Rsync for Windows というものがあるのですね。
ミクシィの利用規約改定問題が示すCGM時代の権利処理のあり方 (日経 BP, 2008.04.03)
CA Anti-Virus for the Enterprise (eTrust Antivirus) 7.1 / r8 / r8.1、 BrightStor ARCserve Backup r11 / r11.1 / r11.5、CA Threat Manager for the Enterprise (eTrust Integrated Threat Management) r8 / r8.1 に含まれる Alert Notification Server サービス (Alert.exe 7.1.758.0 / 8.0.450.0 / 8.1.586.0) に複数の欠陥があり、remote から任意のコードを実行できる。CVE-2007-4620
修正プログラムが公開されているので適用すればよい。 Security Notice for Alert Notification Server (CA) を参照。
HP USBフロッピー ドライブ キーの一部 (?) にウイルスが同梱されている模様。
》 Microsoft、Yahoo!に3週間後のデッドラインを通告 (slashdot.jp, 4/6)。買収に応じない場合は proxy fight (委任状争奪合戦) (NHK) を行うそうで。
》 筋力がつき、体重も減少:『Wii Fit』1ヵ月体験レポート (WIRED VISION, 4/4)
なんだかんだ言っても、全体としては、私はWii Fitの効果に満足している。約30分間、お決まりのエクササイズを一通りこなせば、いい汗もかくし、自己記録を更新した達成感だって味わえる。
韓国で H5N1 アウトブレイク
日本に来るのは時間の問題か……。
》 インフルエンザウイルス:詳細な姿、撮影に成功 (毎日, 4/6)。詳細というか、これまでのは全て残骸のピンボケ写真で、今回はじめて真実の姿を撮影できた、ということみたい。
》 「サイボーグ化された蛾」が操作に従って飛ぶ動画 (WIRED VISION, 4/4)
》 12歳の少年、「DEATH NOTE」に名前を書いたことでテロリスト扱いを受けて逮捕 (gigazine, 4/6)。逮捕はやりすぎだろ……。
》 痴漢冤罪を防ぐために「男性専用車両」が導入される予定はあるのかを鉄道会社に聞いてみた (gigazine, 4/6)
》 相次ぐWeb改ざん,いったい何が起こっているのか (日経 IT Pro, 4/7)
》 サウンドハウスの件ですが、 サウンドハウス web ページ TOP に情報が掲載されていますね。taka さん情報ありがとうございます。
ブログ民というサイトにおいて、2008 年 2 月以降に複数回 iframe を挿入される攻撃が行われているにもかかわらず、利用者には一切説明されていない模様。関連:
リネージュ資料室さん情報ありがとうございます。
OpenSSH 5.0/5.0p1 出ています。戸井さん情報ありがとうございます。 次の欠陥が修正されています。
CVE-2008-1483: Avoid possible hijacking of X11-forwarded connections by refusing to listen on a port unless all address families bind successfully.
》 ESAの宇宙輸送船「ジュール・ベルヌ」、国際宇宙ステーションにドッキング (technobahn, 4/4)。おめでとうございます。 Jules Verne ATV (ESA)。X-メンとは多分関係ない。
》 When a SATA hard disk on a Windows Vista-based computer is operating in Parallel Advanced Technology Attachment (PATA) mode, the computer may crash (Microsoft KB950096)。Vista + ディスク全体を暗号化する機能を持つ SATA HDD において、SATA HDD が Parallel ATA モードで動作すると Vista が crash する。 patch がある模様。
》 Microsoft Announces Extended Availability of Windows XP Home for ULCPCs (Microsoft, 4/3)、 マイクロソフト、Windows XPのOEM販売期限を2010年以降まで延長 (computerworld, 4/4)。 延長されるのは XP Home 限定の模様であることに注意。 しかし、この位置につけられるような軽量型 Vista (or Windows 7?) を 2010 年までに用意できるんですかねえ。それとも、あと 2 年もすれば ULCPC でも Vista がスイスイ動くようになる、という読みなのかなあ。
》 山谷剛史のマンスリー・チャイナネット事件簿 (Internet Watch, 4/4)
》 防衛省改革はキャンディーズを見習う (JANJAN, 4/4)。石破サンって……。
》 「情報セキュリティ早期警戒パートナーシップガイドライン」の2008年版を公開 〜ウェブサイト運営者のための脆弱性対応マニュアルをガイドライン化〜 (IPA, 4/4)
》 Yahoo!ショッピング趣味部門ベストストア1位の「T.J GrosNet」が倒産か? (gigazine, 4/4)。GIGAZINE 編集部、突撃取材中の模様。 ……来ました: 音信不通で夜逃げした可能性のある「T.J GrosNet」本社に行ってきました (gigazine, 4/4)
》 杉並区和田中問題、「夜間塾」から今度はPTA解体へ〜藤原和博氏の役割〜 (JANJAN, 4/4)。うわ、こんなに気色悪い話だったのか。
》 ワイドショー事件簿 痴漢冤罪との戦い (JANJAN, 4/4)。めちゃくちゃ。
物的証拠はなにもなかった。3月18日に逮捕され、起訴が4月4日。K被告はその女性の傍には居なかったと言っているのだから、K被告のジャンパ−に被害者の上着の繊維が付着していれば、2人は密着状態だったことが証明され、有罪の物証にもなる訳で、その為の繊維鑑定は逮捕から1ヶ月以上も経った4月25日に行われた。それも警察官のミスで鑑定ができないという失態を演じてしまった。
警察自ら証拠隠滅ですか。
東京地裁での公判は6月から16回も開かれ、事件から2年近く経過した2007年2月の判決は懲役1年10ヶ月の実刑だった。K被告は被害者と逮捕した50代の男性の証言だけによって有罪にされたと振り返った。同時に、この1審のS裁判官は判検交流で、2004年の年明けに東京地方検察庁刑事部の検察官から裁判官になり、判決を下した後の昨年4月には、元の職場である検察庁に戻って検察官をしているという。
なんじゃそりゃ……。
》 止まらないWebページ改ざん,JavaScriptに気をつけろ (日経 IT Pro, 4/4)
》 盗聴さえもできる,これが世界の携帯セキュリティ最前線だ (日経 IT Pro, 4/4)
》 米国Yahoo!サイトのオンライン広告拒否ポリシー運用に「難あり」 特定のキーワードで、ガイドライン違反商品の広告が次々と表示される (computerworld, 4/3)
》 「USBウイルス」の被害報告が依然多数、トレンドマイクロが警告 (日経 IT Pro, 4/3)
》 ついにBS/CS対応モデルの「フリーオ(ブラック)」が本日より発売開始 (gigazine, 4/4)。そのうちレッドやグリーンも出るのだろうか。
》 基本計画検討委員会 第5回会合(平成20年4月4日) (NISC, 4/4)
》 I've Got Your Fingerprints Under My Skin (trendmicro blog, 4/3)。生体認証版 keylogger (biologger) ですか。
》 帰宅難民200万人が3時間大混雑 もし首都直下地震なら (asahi.com, 4/2)
》 道路広報費、年29億円「ムダ」 国交省改革本部 (asahi.com, 4/4)
》 長女硫化水素自殺か、一家5人倒れ1人死亡 大阪・枚方 (asahi.com, 4/4)。またか。
》 「後期高齢者医療制度」という国民皆見放し制度 (保坂展人のどこどこ日記, 4/3)。政府・与党および与党支持者は正直に「病気のジジババはとっとと死ねよ制度」とか言えばいいのに。で、その後に「でもゴージャス道路はバンバンつくるもんね」と続く、と。
現行制度との大きな違いは、家族に扶養されている人を含めすべての後期高齢者が保険料の負担を求められ、大多数が「年金天引き」で保険料を徴収されるようになることです(「天引き」対象は年金が月1万5000円以上)。その肝心の年金が大混乱しているのはみなさんご存知のとおり。
保険料額は、今後、条例で都道府県ごとに決まる予定ですが、全国平均で年7万2000円(月6000円)になると政府は試算しています。介護保険料(全国平均4090円)とあわせると、多くの高齢者が、毎月1万円を「天引き」されるのです。
従来、75歳以上の高齢者は、障害者や被爆者などと同じく、“保険料を滞納しても、保険証を取り上げてはならない”とされてきましたが、今回の制度改悪により、滞納者は保険証を取り上げられ、短期保険証・資格証明書を発行されることになりました。また、保険料は2年ごとに改定されますが、後期高齢者の数が増えるのに応じて、自動的に保険料が引きあがる仕組みもつくられています。
後期高齢者医療制度になっても、医療費の窓口負担は、「原則=1割」「現役並み所得者=3割」で変わりません。ただし、政府は、後期高齢者とそれ以下の世代で、病院・診療所に払われる診療報酬(医療の値段)を別建てにし、格差をつけようとしています。
これが導入されると、後期高齢者に手厚い医療をする病院・診療所ほど経営が悪化するようになり、高齢者は、“粗悪医療”や“病院追い出し”をせまられることになります。
このように、「後期高齢者医療制度」は75歳以上の高齢者を他の医療保険から切り離すことで、「保険料値上げ」か「医療内容の劣悪化」かという、どちらをとっても痛みしかない“選択”を高齢者自身にせまろうというものです。
制度導入時の厚労相だった坂口力衆院議員(公明党)は、「後期高齢者医療制度を維持していける枠組みができたのは評価してもらいたい」と発言。自民党の河野太郎衆院議員も「資産ベースでみれば七十五歳以上が一番大きい。そこに負担してもらうのは間違った制度ではない」と強弁しました。それを言うなら金持ち優遇政策をこそ転換すべきなのに、政府・与党はそこには手をつけないんだよな。
小池氏は、年金しか収入のない高齢者が六割だと反論。政府が二〇二五年までに八兆円の医療費削減をいい、そのうち五兆円を後期高齢者で削ろうとしているとし、「お年寄りを狙い撃ちにするのをやめ、むだを削るべきだ」と道路予算や軍事費の削減を主張しました。道路も軍事も必要なものは必要なのだけど、現状では無駄が多いからねえ。
しかし制度問題以前に、移行手続きが大混乱している模様。 いったいどういう「準備」をしてきたの?
新制度移行後の新たな保険証には、カードタイプと紙タイプの2種類があり、都道府県の広域連合がどちらかを選択。長崎県はカード型を採用したが、長崎市は従来の国民健康保険証が紙タイプだったため、間違いや混乱が起きたとみられる。熊本県でも「カード化されたため、保険証だと認識しなかった人もいたようだ」(後期高齢者医療広域連合事務局)。利用者が保険証だと認識できない保険証であったと。
おまけに、実施当日に突然「名称を変更する」と言い出す輩が現れ、混乱に油を注いでいる模様。
これに対し舛添氏は三日、「名称についていろいろ言う暇があれば、制度の意義をもっと国民に説得すべきだ」と指摘し、じゃあ変えるなよ。しかもこんな時期にわざわざ。
》 高速処理と省電力を共に実現する 新世代ストレージ「SSD」の可能性 (computerworld, 4/4)
Unpatched RealPlayer Vulnerability Being Exploited in the Wild (Symantec blog, 2008.04.03) によると、 この欠陥は RealPlayer 11.0.2 に含まれる rmoc3260.dll (6.0.10 .50) で修正されているそうだ。RealPlayer ダウンロードページから RealPlayer11GOLD_ja.exe をダウンロードしてインストールしてみたところ、RealPlayer 11.0.2 だった。
「情報セキュリティ早期警戒パートナーシップガイドライン」の2008年版を公開 〜ウェブサイト運営者のための脆弱性対応マニュアルをガイドライン化〜 (IPA, 2008.04.04)
2008年3月末までにソフトウェア製品及びウェブサイトの脆弱性に関する届出が2,046件に達し
ソフトウェア等の脆弱性関連情報に関する届出状況 [2007年第4四半期(10月〜12月)] (IPA) によると、2007 年末で 1123 + 626 = 1749 なので、2008Q1 は 2046 - 1749 = 297。 2007年は
| 2007Q1 | 37 + 96 = 133 |
|---|---|
| 2007Q2 | 46 + 95 = 141 |
| 2007Q3 | 49 + 103 = 152 |
| 2007Q4 | 66 + 80 = 146 |
なので、2008Q1 の 297 という数字は「これまでの倍」ですな。人的資源が対応できなくなっているのですかねえ。
Norton 360 version 1.0、Norton AntiVirus / Norton Internet Security / Norton System Works 2006 〜 2008 に含まれる Symantec AutoFix Tool に利用される ActiveX コントロール (SYMADATA.DLL) に 2 種類の欠陥があり、攻略 Web ページによって任意のコードを実行できるなどの状況が発生し得る。
修正版の AutoFix Tool は自動的にインストールされる。また https://www-secure.symantec.com/techsupp/asa/install.jsp からも入手できる。
緊急: 5、重要: 3 と、今月も盛りだくさんです。Windows Vista SP1 / Server 2008 も例外ではないようで。
Opera 9.27 登場。2 件のセキュリティ欠陥が修正されている。
Advisory: Newsfeed prompt can cause Opera to execute arbitrary code
Opera で RSS フィードにアクセスすると、「○○を講読しますか?」というプロンプトが表示される。このときの処理に欠陥がありメモリ破壊が発生、任意のコードを実行できる。
Advisory: Resized canvas patterns can cause Opera to execute arbitrary code
HTML CANVAS エレメントの拡大縮小処理に欠陥がありメモリ破壊が発生、任意のコードを実行できる。
加えて、パスワード入力時のキーボード処理が改善されているそうだ。
》 重要インフラ専門委員会 第16回会合(平成20年4月3日) (NISC, 4/3)
》 マツダ「MPV」に火災の恐れある不具合、5万台リコール (読売, 4/3)
改善の方向性としては、「『画一性・非選択性』から『多様性・選択性』へ」と表現。ホワイトリスト方式、ブラックリスト方式のいずれにおいても、ユーザーが閲覧したいと考えるサイトへのフィルタリングを解除できるシステムの構築や、コンテンツ事業者側がフィルタリングにかけられることなくユーザーからアクセできる仕組みを構築することを挙げている。
具体的には、青少年保護に配慮したサイトであることを公正・中立な立場から客観的に評価する第三者機関を新たに設立。基準を満たすコミュニティサイトなどを認定することで、それらはフィルタリング対象から外す仕組みだ。第三者機関については、1つの組織に限られるものではなく、「むしろ複数の第三者機関が基準を提示することにより、様々な価値観を併存させることで、利用者の選択肢を増やすことにつながることが望ましいのではないか」としている。
産業政策の視点からは,奈良先端科学技術大学院大学の山口英教授が「コスト構造に与える影響を考慮すると,青少年保護だけでなく産業政策の一環としての付言が必要」と指摘。相互に国境を越えるコンテンツ・ビジネスの性格から,中間報告書案の「国際性」についても言及し,「海外から『日本は検閲を始めるのか』という質問を受けた。公権力による検閲ではない点を報告書の冒頭にしっかりと記すべき」と釘を刺した。
》 韓国、犬を正式に「食用家畜」として分類へ (gigazine, 4/3)。文化ですから。
》 ナノテク企業による環境汚染を懸念——環境保護団体が規制強化を要求 「今の環境規制はあまりに古く、ナノテク企業が対象に入っていない」 (computerworld, 4/3)
》 RSA Conference Japan 2008。 2008.04.23〜24、 東京都港区、料金いろいろ。
》 Blackboard特許その後 (Okumura's Blog, 3/29)
》 Black Hat Europe 2008 Media Archives (てっしーの丸出し, 3/30)
》 ぜい弱性を公開するタイミングについて (日経 IT Pro, 3/31)
数年前,筆者は米サンのOS「Solaris」のIPスタック——具体的にはIPデータグラム——の処理で二つのぜい弱性(バグ)を発見した。 (中略) 2年以上前に見つけたこれらの問題を,今になってなぜ明かすのか。実際のところ,我々が最初にこれらの問題をサンに報告したとき,サンは重要度の高い方(バグ2)はパッチを提供して素早く対応した上で,「これら両者は関連する問題であるため,もう一つのバグに対するパッチを公開するまで発表を待ってほしい」と頼んできたのだ。それから2年が経過し,サンはついにバグ1のパッチを公開した。
2 年ですか……。なんだか、ちょー昔と変わらなくなっているような。
》 Guarding the guardians: a story of PGP key ring theft (SANS ISC, 3/27)。自分を守れ。
》 人間はめったにおこらないことの確率を正確に見積もれないらしい。。。 (まるちゃんの情報セキュリティ気まぐれ日記, 3/31)。 関連: 人はなぜ「自分は大丈夫」と思うのか,防災研究家の片田群馬大学教授に聞く(前編) (日経 IT Pro, 2007.04.11)、 (後編) (日経 IT Pro, 2007.04.12)
》 「油断は禁物、文書ファイルにもウイルスは潜む」——IPAが警告 (日経 IT Pro, 4/2)
》 A Windows Server 2003-based DNS server successfully resolves host names the first time, but then name resolution fails in later queries (Microsoft KB945532)。patch あり。
》 You cannot load a .NET Framework 2.0 assembly from Visual Basic for Applications in Word 2003 and earlier versions, or in Excel 2003 and earlier versions (Microsoft KB948461)
》 The Resource Monitor may crash on a Windows Server 2003-based cluster node that has Windows Server 2003 SP2 or hotfix 921181 installed (Microsoft KB948701)。patch あり。
》 Excel or Word cannot print multiple copies of a multipage document after you install the .NET Framework 3.0 on a Windows Server 2003-based or Windows XP-based computer (Microsoft KB948046)。 .NET Framework 3.0 に含まれる Unidrv.dll (6.0.5824.16384) が悪さをする模様。patch あり。
》 「個人情報の保護に関する基本方針」の一部改正(案)に関する意見の募集結果について (まるちゃんの情報セキュリティ気まぐれ日記, 4/1)
》 画像医療システムのセキュリティ (まるちゃんの情報セキュリティ気まぐれ日記, 4/3)
》 JIPDEC 医療機関向けISMSユーザーズガイドを改訂 (まるちゃんの情報セキュリティ気まぐれ日記, 4/3)
》 道路特定財源の一般財源化「福田提案」へ誘導するマスコミ社説に異議あり!! (JANJAN, 4/3)、 暫定税率「もう戻れない」と民主党ガソリン値下げ隊長(下) (JANJAN, 4/2)
—おもしろかったのは、和歌山で道路を整備する会の会長さんと話をしていたら、「こんな立派な道路でなくてもいいんだけどね。バイパスでいいんだけどね」と言った。
(川内氏が)「こんなりっぱな道路を整備したところで、仕事は東京のゼネコンが持っていくし、地元の業者は下請け・孫請けで叩かれるだけ。経済的には何にもならないでしょ」と話したら、意気投合した。
(地方の道路を)整備するなとは言わない。その代わり、橋脚とかトンネルとか金のかかる道路じゃなくて、曲がっててもいいから、キロ当たり20億円(悪名高い佐世保道路はキロ当たり221億円)でいい。キロ当たり20億でも立派な道路ができる。それでやったらどうですか? 欧米の道路建設費が安いのは、地を這っているから。
》 相次ぐWeb改ざん、中国政府や中国ソニーのサイトにも「わな」 (日経 IT Pro, 4/3)
》 「iMacの20インチ型ディスプレイの広告に偽りあり」と集団訴訟 (slashdot.jp, 4/3)
同製品の24インチ型及び以前の20インチ型モデルでは24bppのIPS方式液晶ディスプレイが実装され、16,777,216色表示できるのに対し、新しい20インチ型のiMacでは18bppのTN方式液晶ディスプレイが使われており、262,144色しか表示されないとのこと。 訴訟では、アップルが両サイズのディスプレイで「全ての解像度で何百万の色を」表示できるとしているのを問題にしている。
関連: 「約1670万色」は誤訳 (Okumura's Blog, 4/3)
》 XBoxによる火災事故、被害者側が裁判でビルゲイツ会長本人の証言 (technobahn, 4/2)
》 個人情報の流出について (soundhouse.co.jp, 4/3)。クレジットカード情報を含む個人情報が流出。いつからなのか、件数などについては未公開。根暗井さん情報ありがとうございます。 関連:
》 「Web 2.0」説明できる高校生は6.9%、「YouTube」の認知率には親子格差 全国高等学校PTA連合会がIT意識調査 (Internet Watch, 4/3)。「説明できると思い込んでいる」人が 6.9% いるというだけのことでしかない。
》 第14回まっちゃ139勉強会 。 2008.04.19、京都府京都市、1000円。今回は京女だ。
写真・動画・マンガ・アニメ・コンピューターゲームを問わず、わが国が法的に禁止すべき子どもポルノの「具体的な基準」は、本問題が国際的な問題であり、性目的で子どもを性的に虐待する内容のマンガ・アニメなどを処罰する国が少なくないことから、これらの国の法規制などを参考に、国際社会におけるわが国の責任ある立場(影響力)なども考慮し、わが国の法制度との整合性を図りながら検討されていくべきものと考えております。日本固有の文化については無視ですか、そうですか。
》 欧州評議会とISP、サイバー犯罪捜査で協力へ 警察が捜査データを適切に入手するためのガイドラインの草案が完成 (computerworld, 4/2)
》 「ほとぼりが冷めた?」——「ワンクリック詐欺」の相談が再び急増 (日経 IT Pro, 4/2)
》 他人の通信のヘッダー情報の漏えい事案に関するヤフー株式会社に対する措置 (総務省, 4/2)。 「Yahoo!メール」ヘッダ情報の表示不具合について (Yahoo, 3/18) の件。「発生原因」や「主な再発防止策」が記載されているのですが、
(1) メールサーバーにインストールしたソフトウェアに不具合があったこと。
(2) 当該ソフトウェアをインストールする前、本番環境の試験において本不具合を発見したにもかかわらず、内部の連絡の不手際により不具合のあるソフトウェアをインストールしたこと。
これらの情報、Yahoo!メール新着情報には掲載されていないみたいですね。 監督官庁には説明する必要があるが顧客に説明する必要はない、と。
》 アメダスセンターシステムの障害について (気象庁, 3/31)。benjamin さん情報ありがとうございます。
障害原因は、13時過ぎにアメダスシステムの運用委託先が行った作業の手順に誤りがあったことによるものです。
アメダス:通信障害で900カ所データ収集できず (毎日, 4/1)
データはいずれもNTT回線を使ってセンターに集めており、データ集信装置の設定変更に伴うミスが原因とみられる。
》 お客さまのメールアドレスの誤送信について (北國銀行, 4/2)。benjamin さん情報ありがとうございます。
本来、BCC送信で表示されないはずのお客さまの電子メールアドレスが本文に表示されたことについては、電子メールソフト(セキュリティ管理ソフト:販売元 NECソフト(株))の不具合が原因であることが判明いたしました。
NEC ソフトのセキュリティ管理ソフトって何だろう……。 この中だとすると、 GUARDIANWALL?
》 中国よ、10年後の世界を見定めよ (日経 BP, 4/2)
わたしが繰り返し述べているように、EUは東方拡大を続け、プーチンが二度目の大統領を辞める12年後(2020年)までにはロシアまで加盟しているだろう。EUはこれによりエネルギーを手に入れロシアの軍事力をも併せて、米国の3倍の人口と2倍以上のGDPを持つことになる。世界一の超国家となっているはずだ。2番目が米国、3番目が中国、4番目がインド。日本はうまくいけば第5番目の経済大国として残ることができるが、それさえも定かではない。人口が3億〜15億人の巨大な四つの柱が、どーんとそそり立っている。それが10年後の世界である。
その絵が中国には見えていないのだ。その4本の柱のなかで、中国はどのような位置にあるだろうか。いま急成長を続けている中国といえども、油断は禁物。ロシアとセットになった欧州に比べれば遙かに規模は小さい。だから現在、中国は「いざ、世界制覇せん」という気持ちでいるだろうが、それは“中国 as No.2”ということに酔いしれているにすぎない。それはかつての日本と同じだ。“Japan as No.1”と外国人から褒められて、自分たちのパフォーマンスに酔いしれていた、20年前の日本の姿なのだ。
Smarty 2.6.19未満のregex_replaceは脆弱と言うよりは... (yohgaki's blog, 2008.03.31)
APCにStack Overflow脆弱性 (yohgaki's blog, 2008.03.29)
Squid Proxy Cache Security Update Advisory SQUID-2007:2 - Denial of service in cache updates。 squid 2.6.STABLE18 で修正されている。squid 2.6 系列の最新は squid 2.6.STABLE19 (ダウンロード)。 CVE-2008-1612
CVE-2008-1628。 Linux Audit 1.7 で修正されている件。
InstallShieldの深刻な脆弱性に対処、日本語版も公開 (ITmedia, 2008.04.02)。この件:
[SA29613] phpMyAdmin Username/Password Session File Information Disclosure。 phpMyAdmin 2.11.5.1 で修正されている。 CVE-2008-1567
[SA29602] OpenSSH ForceCommand Bypass Weakness。OpenSSH 4.9 で直った話。 CVE-2008-1657
[SA29605] avast! Home/Professional aavmker4.sys Privilege Escalation。 avast! 4.8.1169 で修正されている。 CVE-2008-1625
[Security-announce] VMSA-2008-0006 Updated libxml2 service console package。VMware ESX 2.5.[45] 話。 CVE-2007-6284
[SA29608] WordPress WP-Download Plugin "dl_id" SQL Injection。 WP-Download 1.2.1 で修正されている。 CVE-2008-1646。 PoC。
[SA29621] Comix Arbitrary Shell Command Execution Vulnerability。comix 3.6.4 話。公式 patch はまだないが、Debian Bug report logs - #462840 が。 CVE-2008-1568
CVE-2008-1633。Mondo Rescue 2.2.5 で直った話。
Use bkpinfo->tmpdir instead of /tmp or MINDI_CACHE when appropriate to fix security issues (Andree Leidenfrost/Bruno Cornec)
CVE-2008-1619。 Xen 5.1 + ia64 で DoS 話。
QuickTime 7.4.5 登場。11 種類の欠陥が修正されている。
QuickTime for Java に権限上昇を許す欠陥がある。 CVE-2008-1013
開くと特定の外部 URL へ自動的にアクセスするような攻略 QuickTime ムービーを作成することができ、 これによって情報漏曳が発生する。 CVE-2008-1014
data reference atom の処理に欠陥があり buffer overflow が発生、攻略 QuickTime ムービーによって任意のコードを実行できる。 CVE-2008-1015
movie media track の処理に欠陥がありメモリ破壊が発生、攻略 QuickTime ムービーによって任意のコードを実行できる。 CVE-2008-1016
'crgn' atom の処理に欠陥があり buffer overflow が発生、攻略 QuickTime ムービーによって任意のコードを実行できる。 CVE-2008-1017
'chan' atom の処理に欠陥があり buffer overflow が発生、攻略 QuickTime ムービーによって任意のコードを実行できる。 CVE-2008-1018
PICT レコードの処理に欠陥があり buffer overflow が発生、攻略 PICT ファイルによって任意のコードを実行できる。 CVE-2008-1019
PICT 画像の処理におけるエラー処理に欠陥があり buffer overflow が発生、攻略 PICT ファイルによって任意のコードを実行できる。Windows 環境でのみ発生。 CVE-2008-1020
アニメーション CODEC の処理に欠陥があり buffer overflow が発生、攻略ムービーファイルによって任意のコードを実行できる。Windows 環境でのみ発生。 CVE-2008-1021
'obji' atom の処理に欠陥があり buffer overflow が発生、攻略 QuickTime VR ムービーによって任意のコードを実行できる。 CVE-2008-1022
Clip opcode の処理に欠陥があり buffer overflow が発生、攻略 PICT ファイルによって任意のコードを実行できる。 CVE-2008-1023
Windows 版の Apple Software Update でも更新できるようです。ただし、iTunes や Safari をインストールしていなくてもそれらの項目が現れるので注意しましょう。 除外設定もできないしなあ。Apple Software Update の [ツール] メニューには [選択された更新を無視] というものがありますが (田仲さん情報ありがとうございます)、これ、Apple Software Update を終了すると効果が消えちゃうみたい。 次回起動時には性懲りもなくまた出てくるんだよね。
》 ソフォス,企業向け統合セキュリティ・ソフトに検疫ネットワーク機能を統合 (日経 IT Pro, 4/1)。Sophos Endpoint Security and Cotrol 8.0 の話。
新機能追加によるライセンス価格の変更はありません。
》 半導体業界が「永久」の停滞期に突入?——ガートナーが分析 市場の成長鈍化と米国経済の低迷で加速する業界再編 (computerworld, 4/1)
》 深刻なインターネット上の「ゴミ問題」——大半はDDoS攻撃パケット 全トラフィックの1〜3%を占有 (computerworld, 4/1)。環境負荷低減のため、ingress / egress フィルタリングを励行しませう。
》 Windows XPのユーザー企業、2007年はVistaに移行せず——「Windows 7待ち」が浮き彫りに IE 6ユーザーもIE 7にはほとんど移行せず (computerworld, 4/1)
》 迷惑な自殺方法: トイレ用酸性洗剤 + 硫黄系入浴剤 → 硫化水素ガス。まぜるな危険。複数の巻き添え被害事例も。
そう簡単に死ぬなよ。人間やってりゃいいこともあるぜ。
》 Dial V for Vish (McAfee blog, 4/1)。ダイヤル V を廻せ!
》 技術メモ: インターネットを介したサービスにおける適切な HTTPS の運用 (JPCERT/CC, 3/31)。うーん……。こういう文書よりは、「犯しやすい誤ちとその対処法」の方が必要なんじゃないのかなあ。
》 「添付ファイルでパスワードを盗む」——フィッシング詐欺の新手口 (日経 IT Pro, 4/1)
》 会員規約に「同意しない」で入会できるクラブニンテンドー (水無月ばけらのえび日記, 4/1)。太っ腹。
》 米VMware、仮想マシン管理ソフトLifecycle Managerの一般提供を開始 (Open Tech Press, 4/1)、 VMware Lifecycle Manager (vmware)
》 TOMOYO Linux 1.6.0 が公開されました (熊猫さくらのブログ, 4/1)
》 JVN iPedia 脆弱性対策情報データベース検索は大文字小文字を区別する (葉っぱ日記, 4/2)。区別するという仕様にもかかわらず、
"firefox" で検索した場合と "Firefox" で検索した場合で検索結果の数が全然違うし
呼称 (記述) が統一されていないというのはどういうことなのか。
今まで不便だという声が出ていないということは、まともにJVN iPediaを使ってる人っていないのかなぁ。
少なくとも私は使ったことがない。
》 なぜ「死刑判決は全員一致と終身刑創設」なのか (保坂展人のどこどこ日記, 3/30)
「死刑」と「無期・懲役」の間に「重無期刑(終身刑)」を設けるのと同時に、「死刑」については全員一致をもって成立することを裁判員法改正案に書き込み、評決のルールとする。 これが現在、私たちが温めている法案の骨格である。ここまで読んでいただけば判るように「死刑廃止」でも、「死刑執行停止(モラトリアム)」でもない。
》 道路特定財源の「歳出」の見直しこそ必要だ (保坂展人のどこどこ日記, 3/31)、 「道路」に迷う福田迷走と『道カフェ』の謎 (保坂展人のどこどこ日記, 3/28)、 【緊急点検!道路特定財源】(1)やっと調査中止した6本の「超巨大橋」計画 (JANJAN, 3/30)
》 Panda ActiveScan 2.0 (Panda Research blog, 3/31)。Panda のオンラインスキャナ新版登場。 なかなか刺激的なことが書かれています。
One of the new and interesting things we're doing with ActiveScan 2.0 is tracking the infection rates of PCs that are infected even though they are using an up-to-date antivirus. And we're also tracking this on a per-vendor basis. Therefore we are able to see the percentage of Symantec users who are infected even though they are up-to-date, McAfee users, Trend users, Panda users, Kaspersky users, etc.
》 Shedding (Black)Light on the Master Boot Record (F-Secure blog, 3/31)。MBR rootkit に F-Secure BlackLight が対応。
》 『旧台帳1365万件』のオンライン再入力を舛添大臣が明言 (保坂展人のどこどこ日記, 4/1)
》 激流中国 北京 怒れるニュータウン 〜湧き上がる住民パワー〜 (NHK スペシャル, 4/6 放送予定)
》 思想家ネグリ氏 来日中止の真相を追う (JANJAN, 4/1)。発端は朝日説。
3月13日(木)の朝、私は朝日新聞の文化面に大きく取り上げられたネグリ氏の写真入りの特集を見て違和感を覚えた。「稀代の思想家か扇動者か アントニオ・ネグリ氏初来日へ」という見出しにである。「扇動者」という言葉の意味がわからなかったからである。 (中略) 3月17日の外務省からの連絡に始まる奇妙な要求の発端は、この記事、さらに言えばこの見出しなのではないかと私は疑っている。ネグリ氏の訪日が中止になった今になってあらためて読むと、この記事は警察の警備担当まわり、テロ対策担当らを刺激するに十分な要素を備えている。
》 The Microsoft IPsec Diagnostic Tool is available for Windows Server 2008, for Windows Vista, for Windows Server 2003, and for Windows XP (Microsoft KB943862)。Microsoft 製 IPsec 診断ツール、公開中。
》 Error message when you run the Icacls.exe utility to set ownership of a file or of a folder on a computer that is running Windows Server 2003 SP2: "Access is denied" (Microsoft KB947870)。patch があるそうです。
》 Changes to the default NTFS Discretionary Access Control List (DACL) settings in Windows Vista (Microsoft KB949608)。XP と Vista とでの DACL 設定値の違い。
》 2007 Microsoft Office スイート Service Pack 1 をインストールするときにエラー メッセージが表示される (Microsoft KB94669)。Office 2007 SP1 のインストールがエラー 1935 またはエラー 78F で失敗する場合、「2007 Office system 用の更新プログラム 946691」を適用すればよいそうです。
》 Windows Update で更新プログラムをインストール中に 0x80242006 エラーが発生する (Microsoft KB948692)。Windows XP 話。この場合、「SoftwareDistribution フォルダを再構築」する必要があるそうで。
》 ZDNetのポインタ解説記事で勘違い (slashdot.jp, 4/1)。勘違いというレベルじゃないし。
》 改革インドネシア アダム機墜落 原因は「自動航法装置の故障」 (JANJAN, 4/1)
欧州連合(EU)が昨年7月、インドネシア航空機の域内乗り入れ禁止措置を発表した。インドネシア政府は各種の外交ルートを通じて撤回を働きかけたが効果はなく、禁止措置は今も継続されている。
》 発券トラブル JR東は94駅260端末で完全ダウン (asahi.com, 4/1)。3/31 の 21 時〜23 時にトラブっていたそうで。
》 ソニーBMGが社内でソフトの違法コピー、ソフト会社のテクニカルサポートへの連絡で発覚 (technobahn, 3/31)。いろいろある会社ですねえ。
》 クリエイティブメディアのサイトが改竄、ウイルス埋め込まれる (Internet Watch, 4/1)。わざわざ公表するサイトはまじめなサイト。 ヤラレた事を一切公表しないサイトの方が多い模様。
》 Configure Snort to log packets to MySQL (techrepublic.com, 3/21)
》 ブックオフ「著作者団体に1億円払います」 (asahi.com, 4/1)、ブックオフが「著作物使用料に類するもの」を支払う意図は? (栗原潔のテクノロジー時評Ver2, 4/1)
》 約束期間が開始 京都議定書 温室ガスを90年比6%削減義務に (北海道新聞, 4/1)、ゴア氏が大キャンペーン 温暖化防止へ300億円 (京都新聞, 4/1)
関連: スペイン、風力発電量が一時 全電力需要の4割超に (technobahn, 3/31)
福田首相:記者会見全文1 「心よりおわび」ガソリン税時間切れに (毎日, 3/31)
暫定税率を廃止して、ガソリン税などを引き下げるという、この民主党の主張については、日本の現状、将来を考えて譲るべきではないと考えました。 (中略) これは世界が地球温暖化問題に立ち向かうため、ガソリン価格の引き上げやCO2(二酸化炭素)を排出するガソリン消費を抑えることに役立つと考えているからであります。 (中略) 少なくとも環境問題を重視すべきこの時期に、ガソリンの税率を引き下げることは適当ではないと考えています。
それを言うのなら「暫定税率廃止・環境税導入」に進むのが筋だろう。 しかしそういう動きは一切ない。「偽善」以外の何者でもないよなあ。
ガソリンや軽油の買いだめに関する防火安全上の注意事項 (総務省消防庁)。ふつうの家庭では「ガソリンの買いだめ」は無理だと認識した方がよさそうです。
ガソリン:値下げ初日「下げられる店」「下げられない店」 (毎日, 4/1)。激戦区では下がっているようです。でもその下げ分はガソリンスタンドの自腹なんだよね。
行列・閑散…ガソリンスタンド泣き笑い (asahi.com, 4/1)
ガソリン運ぶ途中横転、1250リットル流出 (asahi.com, 4/1)。 もったいない。
「政治の混乱」で苦境に…スタンド業界が緊急声明 (読売, 4/1)。でも全石連ホームページには何もない。
暫定税率「もう戻れない」と民主党ガソリン値下げ隊長(上) (JANJAN, 4/1)。川内博史隊長にインタビュー。
要するに、地域の事情とか要望とかにかかわりなく、その地域の人が道路がほしいと言えば、高規格道路がほしいんだろうということで、めちゃめちゃにいい道路をつくっちゃうんですね。そうするとコストが高くなる。その1つの例が佐世保道路ですね。
Q:「ダイヤモンドが埋まってる」と言われるやつですね。
— 1キロメートル当たり221億円ね。総額だと1,838億円。ところが、これは国土交通省のHPですが、時間短縮効果は、この道路が整備されたからと言って、0.9分なんです。54秒の時間短縮効果がありますよ、ということを言っているんです。で、那智勝浦道路は、1キロメートル当たり80億円。時間短縮効果は、0.2分ですと。
12秒ですと。12秒短縮するためにこれだけ1,200億円使う。54秒短縮するために1,800億使うと。これが、税金の使われ方として、果たして適切な使われ方なのか。これは極端な例じゃないんです。国土交通省のHPを見ると、「0コンマ何分」というのは、普通の時間短縮効果ですから。
》 NTTアド 個人ユーザのインターネットセキュリティに関する意識と利用実態調査 (NTT アド, 3/31)
調査は、2008年3月1日〜2日に首都圏在住20代〜40代の男女個人を対象に、
その「20代〜40代の男女」はどのようにして選ばれたのか? 全く記述がないのでは、アンケート全体の質について議論できないよなあ。
国が導入した原料野菜の残留メタミドホスの基準値は、ニラ0.3ppm、キャベツ1.0ppmで、皮は4966〜5万8933倍、具は1366〜6万4300倍に相当する。ギョーザ1個(14グラム)当たり最大で263.62ミリグラムが混入していた計算で、女児は2個、母親は5個食べると致死量に達した可能性があるという。
》 ビクターの業務情報が「Winny」「Share」で流出、複数社員がウイルス感染 (Internet Watch, 3/31)
》 MIAUが「知財推進計画2007」見直しに意見、ユーザー視点の再定義が必要 (Internet Watch, 3/28)
》 「初期版に発生したクラッシュの30%は原因がNVIDIA」--Vista Capable訴訟で明らかに (CNET, 3/31)
》 ネットカフェのイメージ、トップは「難民」〜マイボイスコム調査 (Internet Watch, 3/31)。質問の仕方が悪いんじゃないのか。
WordPress 2.3.3 に任意の JavaScript を挿入される欠陥があり、コメントするには登録が必要となるようなサイトにおいて、広範囲に攻撃されている模様。 patch はまだないという。回避策としては:
As a workaround, users may want to close their registration feature. Also, be wary of third-party plug-ins you install in your blog sites.
出ました: Wireshark 1.0 Released (wireshark.org, 2008.03.31)
http://www.openid.ne.jp/ に欠陥。 アカウント作成画面で、タグつきの値を入力できてしまう模様。事例については http://guest.openid.ne.jp/ を参照。itochan さん情報ありがとうございます。
Flash Player (バージョン不明) に 0-day 欠陥があり、これを通じて Windows Vista が攻略された模様。同コンテストでは既に MacBook Air が攻略されているが、これに続く成果。会場には Linux もあったのだが、あまり相手にされなかった模様。 ハッキング・コンテストでMacとVistaは陥落——Linuxだけが無傷 (computerworld, 2008.03.31) より:
400名に及ぶ参加者のうち何人かは、Linux OSのバグを発見したが、コンテストに勝つために攻撃コードを書くのは、彼らの大半が嫌だと考えたそうだ。
日本誤訳「Linux マンドクセ」
![[セキュリティホール memo]](/%7Ekjm/security/memo/sechole-memo.gif){kind=small}
私について