価格.comはユーザを取り戻しつつある

[ITmediaニュース] 「価格.com」再開後のPVは回復の兆し
改ざんを受けて10日間のサービス中止に追い込まれた価格.comですが、PVレベルでは改ざんを受ける以前のレベルにまで戻ってきたようです。

事件後の対応のまずさを指摘されたりということもありましたが、一般ユーザや価格.comに登録している店舗側としては10日で復活してくれたことの方が喜ばれているということなんでしょうかね。結局SQLインジェクション出会ったのかどうかさえうやむやにされてしまいました。

もはや違法コピーよりも情報流出が懸念されるWinny

[ITmediaニュース] 「仁義なきキンタマ」が原発情報流出
またWinnyで情報流出か、とか毎度ながら思ってたんですが、もはやそんなのんきなことをいってられないほど社会問題になりつつあります。ひょっとすると、違法コピー問題よりも、この情報流出問題の方が、今後もっと大きな問題となってくるかもしれません。なんせ、一度流出してしまうと、拡散を防止する方法(削除する方法)が実質ないに等しいですし。

にしても、今回非常に気になったのがこれ。

感染には気付いていなかった。ウイルス対策ソフトも導入済みで、Winny経由でファイルが流出する可能性があるとは認識していなかったという。

世間での認識って、そんなレベルなんでしょうか。そんなレベルでしかないから、この程度のものが「脆弱性」といわれニュースになるんでしょうなぁ・・・

情報を保存したのが悪かった

[ITmedia エンタープライズ] カード情報大量流出、決済処理会社の記録保存に問題
本来なら保存してはいけないはずのデータを保存してしまっていた、てのが、今回のクレジットカード情報流出の一つの要因として取り上げられています。過去にも取り上げたように、情報流出を起こさないための方法として大事なのは、不必要に情報を持たないことですね。むしろ、個人的に気になるのは、これをやっちゃったCardSystems社はどれくらいの補償を求められるんでしょうかね。

クレジットカード情報流出の影響

[SlashdotJ] MasterCardなどのカード情報4000万枚分が大量流出
クレジットカード情報というかなりクリティカルなものの問題で、かつ超大量の桁違いの数ってことで、どう影響が出てくるのかすらよくわからないニュースが、最近の紙面を騒がせてますが。

たとえばAmazonの場合、たとえ日本国内で購入だったとしても、決済はアメリカで行われているそうです。そんな具合で、「アメリカ？関係ないね」と思ってても実は関係してくるかもしれないという話です。そいやオレ、最近アマゾンで買い物しまくってたような・・・

学校での情報管理の現状？

[SlashdotJ] 中学生に指摘される校内ネットのセキュリティ
とある中学で、パスワードが校長の名前だった、生徒がそれを利用して秘密データを盗み印刷して教頭の前に提示したという話で。論点は二つです。

一つ目は、セキュリティ意識ですね。物理的・論理的にネットワークを分けるなんて望みもできず、パスワード管理も雑、秘密データを守ろうとする意識もない、現状はそんなとこでしょう。私なんか、たかだか数個の文字列からなるパスワードが唯一の認証方式であることに不安を覚えるもんですが、そのパスワードですらろくに管理されていないのが現実だと思い知らされるわけです。

二つ目、今回の告発方法について議論があります。法的に考えりゃ不正アクセスですね、しかし発見者が部内者でもある中学生。どのような方法で指摘すれば法的にも倫理的にも問題なく、また現実的だったんでしょうか。中学生だけに先生がまともに取り合ってくれない可能性もスラド議論中で指摘されてます。

Windowsのバグ付き特典がプレゼントされていた

[Internetウォッチ] Windows XPのLZHフォルダ機能で展開すると空の状態になる不具合
Windows XPの正規ユーザにだけ特典としてプレゼントされていたLZHフォルダ機能にバグがあったそうです。特典のハズがバグ付きソフトをもらってたんじゃ話にならんわな。いらん機能つけてるくらいならOSの値段下げろといいたいんすが。

IT管理者を解雇するプロセス

[ITmedia エンタープライズ] IT部員を安全に解雇する方法
なんか、IT管理者がさも特別な従業員であるかのように書かれてます。が、実際のとこは、会社の機密情報を知っている重役クラスの社員を解雇する場合と一緒なんじゃないでしょうか。他の会社にばらされちゃ困るような情報を握っている人を解雇すると、同程度のリスクを負う可能性もあり得ます。結局、機密保持契約のようなものにあらかじめ同意させておき、万が一損害が出た場合に責任を負わせるという、よくあるプロセスでの対応がふつうなんじゃないでしょうか。

kakaku.comの不正アクセス発覚後の対応

[ITmediaニュース] 「過失はない」「地震のようなもの」――カカクコム、侵入手口明らかにせず
あーん、そんなイメージを悪くしちゃうような対応をわざわざ取らなくてもねぇ・・・「不正アクセス経路を明かすとそれを使った行為を助長する」に関してはよく議論も起こりうるところですが、対策を取ることが可能な不正アクセス方法ならば積極的に公開すべきかと私は思います。(詳細を明らかにしないのはパッチ未公開時のみということ)　あと、やたらと「自分は悪くない」的な発言がおおいのはねぇ。。

「地震にあったようなもの」と今回表現しているので、ターゲットにされたと言うよりはたまたまターゲットとなってしまったというようなニュアンスを表現したいのでしょうか。ちょうどSanty, MSBlaster, CodeRedのようにランダムに不正アクセス先を探すようなタイプのにやられたんじゃないでしょうか。まぁ推測にすぎませんけど。

asahi.comの記事では今回の件はSQLインジェクションが原因だと報じられてましたが、kakaku.com側はノーコメントだそうで。さすがにSQLインジェクションだとは思いたくもないけど。

セキュリティ問題は一生解決しない

[ITmedia エンタープライズ] セキュリティホールは永遠に不滅
コラム文章になってる記事ですが、タイトルの通りのことが書かれてます。要するに、脆弱性やフィッシングなどの悩ましい問題は解決することがないでしょうね。これらは結局、記事中にも書かれているとおり、クレジットカードを店員に渡しているスキにデータをコピーされたとか、ATMでお金をおろしたとたんに後ろからおそわれ盗まれたとか、こういうたぐいの行為が電子的に行われているにすぎないからです。電子的に行われているが故に、被害を受けたことや被害状況がわかりにくかったりするのが強いていえばの特色となるでしょう。まぁ、文句たれても、もはや電子化された社会を元に戻すことは不可能なわけで。

ホットスポットが利用される脅威

[ITmedia エンタープライズ] ［WSJ］ 新たな脅威、「悪魔の双子」と「ファーミング」
「悪魔の双子」「ファーミング」など名前がいまいちですが、要するに正規のホットスポットを装った無線アクセスポイントを用意し、それを利用するユーザの情報を盗んでしまえという手法だそうです。

これ、結構現実的にあり得そうですよねぇ。少し前ならむしろ、自分のWi-Fiを他人に勝手に使われてしまうなんてケースの方があったわけですが、今度は逆にそんなWi-Fiを装いワナにかけるわけですね。この記事は海外からの配信だそうで、日本でもそのうちこういうワナがみられるようになるかもしれません。

kakaku.comはphpBBの脆弱性を利用された？

[Internetウォッチ] “価格.comウイルス”を仕込まれたサイトが複数、パッチ適用の確認を
簡単に掲示板風フォーラムを作れるCMSの一種として広く使われているphpBBですが、これに脆弱性があると指摘されたのは記憶に新しいところです。今回のkakaku.com攻撃騒動は、このphpBBの脆弱性をつつかれたんじゃないかという指摘がなされてます。

phpBB脆弱性を放置してると、phpBBを含むWebサーバ動作権限下のファイルを書き換えちゃえます。(Windowsだと全ファイル書き換え可か？) すると、今回のようにiframeのようなものをHTMLファイルに仕組むことができます。phpBB脆弱性を持ったサイト側の被害はここまで。

んで、そんな被害を受けたサイトへユーザが訪問します。ユーザはiframeタグに従いインラインで別のページなどを開きますが、このときクライアント側でMS04-013の脆弱性を放置してるとiframe内のページにあるプログラムを実行しちゃうということが起き、ここでウィルス感染します。

今回は、こんな風に多段で動作するわけですが、phpBB脆弱性を放置するのもMS04-013を放置するのもどっちもどっちですね。ちなみに、phpBBの脆弱性は、そもそもPHP側にあった穴を利用できちゃうという脆弱性で、PHPもバージョンアップしていなかったということになりそうです。「レベルの高い攻撃だった」ねぇ、ふーん。


とか思いながら調べてましたが、Santyの時はphpBB2.0.10以前がダメだったんですが、今回のは2.0.11でもクラックされたとかいう情報があります。前回とはまた違う脆弱性なんだろうか。

ワイヤレス装置型自動ロックシステム

[BroadBandウォッチ] パソコンに近づくだけでロック解除！ 操作不要のPCロックシステム(気になる! itemズ)
ログインした状態で退席しっぱなしになってるPCをよく見かけますが、あれ怖いっすよ。*分間操作がなかったら自動でロック状態にするように設定しておいた方がいいかと思います。

っというようなロック機能を使った場合に気になるのが、ロック解除に毎回パスワードを入力しなきゃいけなくなるという点です。簡単に解除できるものとしては、MicrosoftのUSB接続型指紋リーダが有名ですが、コレは指紋認証とは別の簡単ロック解除ツールだそうです。

ワイヤレスにより自動ロック・自動解除をするようなので、てきとーにポケットかどっかにしくんどくだけで勝手にロック・勝手に解除してくれるっていうシロモノだそうです。無線の到達距離や紛失時に困るわけで、そんな場合の対処なども記事中に書かれてます。確かに結構気になるItemです。

HyperThreading脆弱性はどれだけ危険？

[MYCOM PC WEB] 【レポート】Hyper-Threadingの脆弱性 - そのメカニズムとは? (1) リソースをスレッド/プロセスで共有するHyper-Threading
「ハイパースレッディングに深刻な脆弱性」などインパクトあるタイトルで数日前に報じられたニュースですが、その詳しい動作の仕組みがまとめられた記事です。簡単に言うなら、「足し算しようとしたら動作が遅かった、だからもう一つのプロセスが足し算を実行しているはず」というような仮定に基づくもののようで。SSLなどの暗号計算をしている最中に、どの演算をこなしているのかを上の仮定に基づき解析すれば、だいたいの暗号の内容がわかってしまう、てなもんらしいです。

結局、
・SSLのような計算パターンがよく知られているプロセスが対象
・そんなプロセスが現在動いている最中
・そのプロセスとハッキング用プロセスが同じコアのHTで実行される
くらいの条件が備わらないと脆弱性として利用されることがないです。まぁ、よっぽどがんばってハッキングしようとでもしない限り難しいでしょうね。ただ、記事中でも指摘されているとおり、これを回避するための修正はOSのタスクスケジュールレベルでのものとなるため、そう簡単に対処することもできないのも事実でしょう。

まぁ話をまとめると、素人にはほとんど関係ないってことで良さそうで。

kakaku.com問題は何が問題なのか

[ITmedia エンタープライズ] 価格.com経由で拡散したウイルス、Windowsの既知の脆弱性を悪用
まぁ東証一部上場ということもあり、一般紙面やテレビでも報じられているようで。収益がゼロとかそんな経済チックな話は他に任せるとして、技術者的な視点で二点をあげておきます。

少なくとも11日に改ざんを発見していたようで、どんな経路で改ざんされたのかなどを確認するために万全の体制で監視をしていたそうです。うーん、この対応はどうなんでしょうねぇ。というか、万全の体制で監視しておきながら改ざん手法がわからんかったんかいな。改ざんが続いていたのなら、「アタックが急増」する前に手を打つべきだったのでは。

どんな不正アクセス(クラッキング)を受けていたのかが明らかになってほしいところです。「アタックが急増」するくらいだから、バックドアを仕組まれていたのかなぁというような想像が出てくるわけですが。でもバックドアとなると、相当前に脆弱箇所から仕組まれていたか、内部情報を漏らした人がいるかくらいしか考えられないんですけどねぇ。後は、phpBB問題のようなたぐいのものですかねぇ。まぁCodeRedとかだと笑いますが。

メーリングリスト過去ログは個人情報を含む？

[SlashdotJ] 個人情報保護を理由としたMLの過去ログ公開停止
メーリングリスト(ML)の過去ログとして公開されている内容に個人情報が含まれるから公開停止を要求され、それを受けて過去ログ公開を停止したという事例が取り上げられてます。ML過去ログ公開が個人情報保護法案で規制される対象なのかが1つの焦点です。

・ML過去ログ公開が「事業」にあたるか -- 営利に限定されないので事業ともとれる
・メールアドレスが「個人情報」にあたるか -- 特定個人にメール送れちゃうんで個人情報だろうな
・5000人以上の「個人情報」を保有するか -- 超えない例が多い、場合によっちゃ超えるかも？
・「利用目的」であるML過去ログ公開のためにメールアドレスが必要か -- びみょー

ML参加時に「過去ログとしてメールアドレスが公開されるけどいい？」との規約を作り同意させる必要がありそうです。

で、すでに公開されているやつでは、From:のメールアドレスや署名を削除した上で公開しなきゃいけなくなる可能性もあります。場合によっちゃメール本文中にそういうのを含むかもしれないため、スクリプト使った自動削除だけじゃ対処しきれないかも。こんな事例のために、貴重なML過去ログが軒並み公開停止されちゃうなんて事態になるとかなわんのですが。