セキュリティホール memo

》「ストリートビュー」はどこが問題か、MIAUシンポジウムで議論 (Internet Watch, 8/28)

　関連: Googleストリートビューの応用例 (悪徳商法？マニアックスココログ支店, 8/29)

要は、Googleはあらゆる広告の効率を高めたい、すなわち「リアルの広告スペース」もAdwords/Adsenseで管理したいと思っているのだろうから、ストリートビューは単なる副産物だろう。副産物であっても公開しておけば、「自動販売機の設置スペースを自動で探せます」とか良く分からない応用例を実現する人も出てくるのが期待できる。「ストリートビューで、何をやりたいのか分からない」と言う人が多いみたいだけど、もしも「副産物」なのだとしたら分かるはずもない。
まあ、仮想ネットショップを実現しようとしている可能性もある（実際の店の画像をクリックすると、店のウェブサイトに飛ぶ）けど、そんな「いつか来た道」をGoogleパワーで実現するのかな？

　Google は「電脳コイル」をやりたいんじゃないのかなあという気が。でも電脳メガネならぬ Google メガネをかけると、そこらじゅう広告だらけになりそうで嫌だなあ。
》あの「死海文書」がNASAの技術で解読され、オンラインで公開へ (gigazine, 8/28)
》地球温暖化によって広がる可能性のある5つの病気 (gigazine, 8/29)
》まっちゃ４４５関連記事をどうやって集めているか (まっちゃだいふくの日記, 8/28)
》米国下院委員会、政府のテロ対策情報システムの問題点を指摘　基本的なブール検索さえ処理できない (computerworld.jp, 8/28)。Railhead ですか。bonehead に改名すべきなのでは。
》岡崎市１４万世帯すべてに避難勧告　集中豪雨、女性１人死亡 (中日, 8/29 09:50 AM)

　活発な前線と低気圧の影響で、愛知県岡崎市は２９日午前２時までの１時間に１４６ミリの猛烈な雨を観測。岡崎市は同日未明、市内の約１４万世帯すべてに避難勧告を出し、県を通じて自衛隊に災害派遣を要請した。浸水した住宅で女性の遺体が見つかった。

　80mm/h 以上を「猛烈な雨」と言うそうだが、146mm/h なんて数字は想定外なのではないのか。全市に避難勧告というのも想像を絶するものがあるが、映像を見ると、道路自体がかなりの流れがある河になってしまっており、あれでは避難しようにもできないぞ。

　関連:
- 豪雨、東日本で１００ミリ超　３０日も大雨続く恐れ (中日, 8/29 10:18 AM)
- 東海、５０万世帯に避難勧告　岡崎で時間雨量１５２ミリ (中日, 8/29 12:11)
- 大雨と雷及び突風に関する全般気象情報　第３号 (気象庁, 8/29 10:40 AM)
》名古屋市南東部に避難勧告　記録的豪雨で床上浸水続出 (中日, 8/29 01:42 AM)

　愛知県で２８日午後から続いた豪雨の影響で、県内各地で床上浸水や道路の冠水が相次ぎ、名古屋市は２９日未明、市内の河川がはんらんする恐れがあるとして、同市瑞穂区、天白区など南東部の各世帯に避難勧告を出した。

　ゲッ……大丈夫なのか?!。しかし名古屋市ホームページでは「ただいま名古屋市内に災害緊急情報はありません」になってるぞ……。 (8/29 02:24 AM)

　関連: 愛知で時間雨量１２０ミリ　北・東日本、２９日も注意 (中日, 8/29 01:33 AM)

　……今 (8/29 11:55 AM) になって災害緊急情報 (名古屋市) を見ると、天白川流域 (南区、瑞穂区、緑区、天白区) は 00:45 AM 付で避難勧告が出てたことになってるじゃん……。で、11:50 AM 付で解除されている。

■ 2008.08.28

》関東・東海で記録的大雨　浸水・土砂崩れ相次ぐ (asahi.com, 8/28)。ノンキに道路つくってる場合じゃない、ということがまだわかりませんかねえ、政治屋のみなさんには。
》 5300エンジンへのアップグレード後、定義ファイル（DAT）が更新されません (マカフィー)。VirusScan for Mac 8.6.1 話。HotFix あり。
》 ×××.DATのコピー中にエラーが発生しました。ファイルがロックされているか、パッケージの中にありません (マカフィー)。SuperDAT を /F オプションつきで実行。
》ついにネットオークションで「マジコン」の出品禁止、海賊版対策にゲーム業界が本腰 (gigazine, 8/28)
》消防庁：救急相談で新ダイヤル導入へ (毎日, 8/28)

　総務省消防庁は０９年度から「１１９番」に代わる救急相談用の新電話番号を全国３カ所で導入する。緊急性のない傷病で救急車を呼ぶケースが増え、救急搬送に支障が生じている事態を重視し、別ダイヤルを設けることで搬送者を事前に選別する。０９年度予算の概算要求に整備費３億８０００万円を計上した。

ペシャワール会、中村代表残し日本人職員８人が帰国へ (読売, 8/28)
支援団体の撤退・事業計画中止相次ぐ　伊藤さん拉致 (asahi.com, 8/28)
アフガン拉致殺害：伊藤さんに活動継続誓う　静岡のＮＧＯ (毎日, 8/28)。カレーズの会の話。
アフガニスタンにおけるNGO職員の拉致事件について　心よりお悔やみ申し上げます (難民を助ける会, 8/28)

　まとめ。

団体名称	対応
ペシャワール会	中村代表を残して帰国
BHN テレコム支援協議会	派遣見送り
難民を助ける会	インド、パキスタンへ一時退避
国際協力機構 (JICA)	外出禁止
シャンティ国際ボランティア会	変更なし
カレーズの会	活動継続

　関連：

アフガン拉致殺害：天皇、皇后両陛下が両親らに弔意 (毎日, 8/28)、天皇、皇后両陛下：コンサート鑑賞取りやめ (毎日, 8/28)
「伊藤さんの死、無駄にしない」沈痛のペシャワール会事務局長 (読売, 8/28)
人質確保狙い伊藤さん拉致か　タリバーン系組織 (asahi.com, 8/28)
「イトウ」と呼ばれ地元にとけこむ　亡くなった伊藤さん (asahi.com, 8/28)

2008.09.01 追記:

【ＮＧＯが問う】伊藤さんの死を無にすまい（１）「カレーズの会」のレシャードさん (JANJAN, 9/1)

》情報サービス産業が新型インフル対策に提言、医療やインフラと同等に“格上げ”を (日経 IT Pro, 8/26)。taka さん情報ありがとうございます。しかし、「情報サービス産業」と言ってもいろいろあるからなぁ。
》グルジア方面
- メドベージェフ大統領、グルジア等の南オセチア自治州、アブハジア自治共和国の独立を認める大統領令に署名 (aviationnews.jp, 8/26)
- 冷戦再発を恐れず。メドベージェフ大統領、対欧米、強硬姿勢をエスカレート (aviationnews.jp, 8/27)
- 対グルジア、人道支援物資空輸が順調に進行 (aviationnews.jp, 8/28)
》 PCの性能を落とさないセキュリティソフトは？ (ITmedia, 8/28)。エンジンと DAT のバージョン、各アンチウイルスソフトの設定内容くらいは書いてくれないと……。
》 iPhone 3Gの電波受信感度、アンテナが原因ではないと判明--調査報告 (CNET, 8/28)
》新品のiPhoneの中から中国娘の写真、娘の正体を巡ってイギリスで大論争 (technobahn, 8/28)
》 AndromedaAV (シマンテック)。またしてもにせアンチウイルス。Andromeda AntiVirus
》 GoogleはなぜAdwordsのマルウェア広告を止められないのか (ITmedia, 8/28)
》「見せしめとして狙い撃ちされた」　JASRACに提訴されたTVブレイクが見解 (ITmedia, 8/28)。狙いうちですか。
》シャープ、「除菌イオン」が鳥インフルエンザに有効と発表〜ウイルス学の権威がバックアップ (家電 Watch, 8/27)、“プラズマクラスターイオン” 技術発表会レポート (シャープ)。以前から各社似たような研究をやっていますが……。

》配達記録郵便が廃止に (slashdot.jp, 8/27)。赤字が年間 300 億円もあるので、配達記録郵便 (210 円追加) が廃止されるのだそうです。

名称	引受記録	配達記録	損害賠償	追加費用
配達記録郵便 (廃止)	○	○	×	210 円
簡易書留 (既設)	○	○	○	300 円 (現行 350 円)
特定記録郵便 (新設)	○	×	×	160 円

　配達記録郵便を使っている人にとっては配達記録こそが重要でしょうから、簡易書留へ移行せざるを得ないようです (実質 90 円の値上げ)。というか、簡易書留 300 円で赤字なしで運用できるのかな。 ……赤字の配達記録郵便、廃止申請　カード配達など年３億通 (asahi.com, 8/25)

０６年度は前年度比１７％増の３億１４万通を届けた。(中略) 書留や速達、配達記録の事業は赤字が年間約３００億円に達し、大半を配達記録が占める。

　3 億通 * 90 円 = 270 億円の収入増なので ok ok ということか。

》 Rescue CD 3.00 FAQ (F-Secure Linux blog, 8/27)
》コンピュータウイルス、宇宙へ。本橋さん情報ありがとうございます。
- NASA Discovers Computer Virus Aboard the International Space Station (spaceref.com, 8/25)
- Computer viruses make it to orbit (BBC, 8/27)
- Space Based Malware (F-Secure blog, 8/27)
　USB ウイルスには気をつけませう。autorun は無効に設定しませう。
》第13回 Admintech.jp 勉強会でしゃべります (葉っぱ日記, 8/27)。2008.09.27、大阪府大阪市、1000円 (予定)。

　その日は、第02回まっちゃ４４５勉強会も開催されるのですね。
》 Security Solutions 2008 (高橋晶子のセキュリティ漂流記, 8/27)
》 iPhoneのパスコード・ロック機能にまたもやバグ——最新ソフトウェア・アップデートで発見 (computerworld.jp, 8/28)。パスワード・ロックを回避できる話は iPhone 1.1.3 で修正されたのだが、iPhone 2.0 / 2.0.2 で再発した、という話。
》 IIJがスパム対策のドメイン認証技術をオープン・ソースとして公開 (日経 IT Pro, 8/28)。ENMA - A sender authentication milter supporting SPF and Sender ID。
》 Internet Explorer 8 Beta 2 Now Available (IEblog, 8/27)。日本語版もあるよ。~~でも XP 64bit 版用はないのね~~ XP 64bit 版用は Windows Server 2003 SP2 64-bit Edition 用と共用だそうで。なぜハローキティ……。

　IE8 関連:
- Upgrading to Internet Explorer 8 Beta 2 (IEblog, 8/27)。マルチコアな XP SP2 x86 の場合は、IE8 beta 2 をインストールする前に、 932823 とまたは 946501 をインストールする必要があるそうだ。また Vista / Server 2008 の場合は、 937287 943302 957055 が必要だそうだ。ただし 957055 は RealPlayer 11 ねたなので、RealPlayer 11 を使わない人には関係がない。 (というか、なぜこれだけ修正プログラムを公開していないの? こういうことやってると、また独禁法でモメるよ)
  
  実質的な日本語版: IE 8β2インストール時の注意点 (ITmedia, 8/28)
- Introducing Compatibility View (IEblog, 8/27)
- Internet Explorer 8 Beta 2 日本語版公開！ (ウィンドウズ開発統括部, 8/28)。 Windows 開発統括部 Blog 移転予定地。
- IE 8 XSS Filter Architecture / Implementation (Microsoft Security Vulnerability Research & Defense, 8/19)
- SDL and the XSS Filter (The Security Development Lifecycle, 8/27)
- IE 8のβ2はまだまだ荒削り (ITmedia, 8/28)。まぁ、まだまだβで、RC ではないですからねえ。
》女スパイ：脱北者装い活動　愛人の韓国大尉とともに起訴 (毎日, 8/28)。韓国の話。
》死因究明「異状死の解剖率を２倍に」、衆院委が法相に提言書 (読売, 8/28)

　提言書は、死因不明の全死者に対し、解剖や薬毒物検査などが適正に行われる体系的な新制度の創設が必要だとし、当面の目標として、異状死の解剖率を５年後に現在の２倍の２０％（年間３万件）とすることを掲げ、審議会の設置などを求めている。

　2 倍でも 20% にしかならないというのが……。こういう現状も、冤罪の温床になっているんじゃないのか。
》杉村太蔵衆院議員の秘書が自殺図る…意識不明 (読売, 8/28)
》帝王切開死の医師無罪判決、検察側が控訴断念へ (読売, 8/28)

　今月２０日の判決は、「子宮摘出手術に移るべきだった」とする検察側の主張について、「根拠付ける臨床例を何ら示していない」と、医師法違反も含めて無罪とした。
　福島地検が上級庁と協議しているが、「標準的な医療措置」と認定した判決を覆すような臨床例を示すのは困難と判断しているとみられる。

セキュリティホール memo - 2008.08

■ 大阪ガスサービスショップを家の中に入れてはいけない (gigazine, 2008.08.27)

2008.09.01 追記:

■ Active attacks using stolen SSH keys (SANS ISC, 2008.08.26)

■ 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について (ジャストシステム, 2008.08.26)

2008.08.27 追記:

2008.09.11 追記:

2008.09.12 追記:

2008.09.17 追記:

2008.09.19 追記:

2008.10.01 追記:

■ Red Hat が侵入され、新 openssh パッケージが緊急リリース (RedHat, 2008.08.22)

2008.08.25 追記:

■ Opera 9.52 for Windows Changelog (Opera.com, 2008.08.20)

■ 正規サイトに不正Flash広告掲載か： URLをコピペしたら悪質サイトに——乗っ取り被害が続出 (ITmedia, 2008.08.20)

2008.08.20 追記:

2008.08.22 追記:

2008.09.29 追記:

■ いろいろ (2008.08.19) (various)

■ Postfix local privilege escalation via hardlinked symlinks (Wietse Venema, 2008.08.14)

2008.09.25 追記:

■ いろいろ (2008.08.18) (various)

2008.12.10 追記:

■ SYM08-015 - Veritas Storage Foundation for Windows Volume Manager の Scheduler Service for Windows で、セキュリティ アップデートが回避される脆弱性 (シマンテック, 2008.08.14)

■ Microsoft 2008 年 8 月のセキュリティ情報 (Microsoft, 2008.08.13)

2008.08.25 追記:

2008.10.20 追記:

■ いろいろ (2008.08.13) (various)

2008.08.22 追記:

2008.08.25 追記:

2008.08.26 追記:

■ マサチューセッツ連邦地裁、地下鉄のセキュリティ脆弱性に関するプレゼンに仮差し止め命令 EFFは「言論の自由を奪う決定だ」と反発 (computerworld, 2008.08.12)

2008.08.16 追記:

2008.08.25 追記:

2008.08.26 追記:

■ ソースネクストのウイルス対策ソフトにぜい弱性，細工されたファイルのスキャンで検出機能が停止 (日経 IT Pro, 2008.08.12)

■ アップル、「iPhone」に備えた“隠し機能”の存在を認める 悪意あるアプリケーションを遠隔操作で無効に。「願わくは使いたくない機能だ」とジョブズ氏 (computerworld, 2008.08.12)

■ マイクロソフト セキュリティ情報の事前通知 - 2008 年 8 月 (Microsoft, 2008.08.08)

■ Apache Tomcat Directory Traversal Vulnerability (milw0rm, 2008.08.11)

2008.08.27 追記:

■ [重要] Movable Type 4.2 RC5 とセキュリティアップデートの提供を開始 (sixapart.jp, 2008.08.07)

2008.09.16 追記:

■ いろいろ (2008.08.10) (various)

■ いろいろ (2008.08.08) (various)

■ 標的型攻撃対策手法に関する調査報告書 (JPCERT/CC, 2008.08.07)

2008.08.08 追記:

■ いろいろ (2008.08.06) (various)

■ Verifying Installers (Adobe Product Security Incident Response Team (PSIRT), 2008.08.04)

2008.08.07 追記:

■ いろいろ (2008.08.05) (various)

■ 予告.inが不正コード被害、閲覧で２ちゃんねるに犯行予告投稿 (Internet Watch, 2008.08.04)

■ Mac OS X - About Security Update 2008-005 (apple, 2008.08.01)

2008.08.05 追記:

2008.08.06 追記:

■ Program update AVG 8.0.156 (AVG)

2008.08.04 追記:

■ いろいろ (2008.08.01) (various)

■ JVN#33706820 - 複数のパナソニック コミュニケーションズ株式会社製ネットワークカメラにおけるクロスサイトスクリプティングの脆弱性 (JVN, 2008.08.01)

■ 大阪ガスサービスショップを家の中に入れてはいけない
(gigazine, 2008.08.27)

■ Active attacks using stolen SSH keys
(SANS ISC, 2008.08.26)

■ 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
(ジャストシステム, 2008.08.26)

■ Red Hat が侵入され、新 openssh パッケージが緊急リリース
(RedHat, 2008.08.22)

■ Opera 9.52 for Windows Changelog
(Opera.com, 2008.08.20)

■ 正規サイトに不正Flash広告掲載か： URLをコピペしたら悪質サイトに——乗っ取り被害が続出
(ITmedia, 2008.08.20)

■ いろいろ (2008.08.19)
(various)

■ Postfix local privilege escalation via hardlinked symlinks
(Wietse Venema, 2008.08.14)

■ いろいろ (2008.08.18)
(various)

■ SYM08-015 - Veritas Storage Foundation for Windows Volume Manager の Scheduler Service for Windows で、セキュリティアップデートが回避される脆弱性
(シマンテック, 2008.08.14)

■ Microsoft 2008 年 8 月のセキュリティ情報
(Microsoft, 2008.08.13)

■ いろいろ (2008.08.13)
(various)

■ マサチューセッツ連邦地裁、地下鉄のセキュリティ脆弱性に関するプレゼンに仮差し止め命令　 EFFは「言論の自由を奪う決定だ」と反発
(computerworld, 2008.08.12)

■ ソースネクストのウイルス対策ソフトにぜい弱性，細工されたファイルのスキャンで検出機能が停止
(日経 IT Pro, 2008.08.12)

■ アップル、「iPhone」に備えた“隠し機能”の存在を認める　悪意あるアプリケーションを遠隔操作で無効に。「願わくは使いたくない機能だ」とジョブズ氏
(computerworld, 2008.08.12)

■ マイクロソフトセキュリティ情報の事前通知 - 2008 年 8 月
(Microsoft, 2008.08.08)

■ Apache Tomcat Directory Traversal Vulnerability
(milw0rm, 2008.08.11)

■ [重要] Movable Type 4.2 RC5 とセキュリティアップデートの提供を開始
(sixapart.jp, 2008.08.07)

■ いろいろ (2008.08.10)
(various)

■ いろいろ (2008.08.08)
(various)

■ 標的型攻撃対策手法に関する調査報告書
(JPCERT/CC, 2008.08.07)

■ いろいろ (2008.08.06)
(various)

■ Verifying Installers
(Adobe Product Security Incident Response Team (PSIRT), 2008.08.04)

■ いろいろ (2008.08.05)
(various)

■ 予告.inが不正コード被害、閲覧で２ちゃんねるに犯行予告投稿
(Internet Watch, 2008.08.04)

■ Mac OS X - About Security Update 2008-005
(apple, 2008.08.01)

■ Program update AVG 8.0.156
(AVG)

■ いろいろ (2008.08.01)
(various)

■ JVN#33706820 - 複数のパナソニックコミュニケーションズ株式会社製ネットワークカメラにおけるクロスサイトスクリプティングの脆弱性
(JVN, 2008.08.01)