もう出たのかよっ!!＞Windows Vista用Hotfix

Windows Vistaのセキュリティパッチがリリース - ITmedia
もう出たのかよっ!!……と言いたくなりましたが、よくよく考えたらまだCTP(Community Technology Preview)の段階なんですよね。なら次のバージョンではこの修正は当然含まれている筈ですヨ。

今日から受付開始＞情報処理技術者試験

IPA、情報処理技術者試験に情報セキュリティエンジニア向け試験を追加 - Enterprise Watch
と言う事で「情報処理技術者試験」の願書受付は今日から開始です。

自分は仕事が終わった後、自宅に戻ってから申し込みます。＞テクニカルエンジニア（情報セキュリティ）
-----
(2006/1/17 9:20頃追記)
先程「コンビニ決済」で申し込みしました。＞テクニカルエンジニア（情報セキュリティ）
さてと、どこかのタイミングで時間を作って模擬試験風に過去問(※)こなさないとなぁ……。

※「テクニカルエンジニア（情報セキュリティ）」は今年新設されたばかりなので、他試験で出たセキュリティ絡みの問題になります。主に「セキュアド」や「テクニカルエンジニア（ネットワーク）」とか……。

RSA SecureIDを採用するようですね＞三井住友銀行

「使い捨てパスワード」ネットバンキングで新サービス (読売新聞) - goo ニュース
写真を見ましたが、「RSA SecurID 700」を採用しているようですね。
このタイプではありませんが、実際にSecureIDトークンを利用した事があるんですが、こんな感じになります。

• トークンの液晶画面に1分(60秒)毎にランダムの数字が表示されます。このランダムな数字が「パスワード」になります。
• 認証（ログオン）画面で、IDと、この表示されたパスワード（場合によっては予め登録しておいたパスワードに、この表示されたパスワードを前後に追加して）を入植します。
• 60秒毎にパスワードが変わるので、万が一背後から覗かれても（ショルダーハッキングされても）パスワードが変わっているのでログオンできないという仕組みです。（最長）60秒以内なら……ですが、現実的にはまぁ無理でしょうという事でセキュリティが担保されているという仕組みです。
• また万が一このトークンを落としてしまった場合でもID（と予め登録しておいたパスワード）が分からなければ大丈夫って感じです。

……なので……

• 当然ですが、このトークン上にID（と予め登録しておいたパスワード）を書いたメモは貼り付けてはいけません。折角コレにした意味が無くなりますから(笑)。
• パスワードを入力している最中にトークンのパスワードが変わってしまった場合は、改めて入力し直さないとダメです。なので、慣れないうちはトークン上のパスワードが更新されたのを確認してから落ち着いて入力するようにすると良いでしょう。

……とこんな感じかな？

自分が普段利用している地銀がATMの利用料を引き上げるとか抜かしやがるので、そろそろ銀行の切り替えも検討しようかなぁ……。

最近は使っている人も多いのでは？＞ITune & QuickTime

iTunesとQuickTimeの最新版が公開、QuickTimeはセキュリティ修正も含む
- Internet Watch
iTunesの最新版はココから、QuickTimeの最新版はココから。
最近はiPodシリーズの絡みで入れている人も多いのではないでしょうか？、とりあえずサクっとアップデートですね。

Apple社は……別に嫌いじゃないんですが(Macは買った事は無いですが、結構接する機会は多いですし、何よりMacの前身であるApple][から触っていましたので)、事脆弱性に関する情報のリリースの仕方やOS(MacOS X)のパッチのリリース体制(サポート体制)はMSよりも弱い面があるかなぁ……と思っています。
(昔はMSも決して褒められた状況じゃなかったんですが、ここ数年は頑張っているなぁ……とは思っています。勿論完璧じゃなくまだまだ甘い部分もあるので、中の人達へは頑張れ～と思っています。）

特にここ数日で今まで噂になっていたIntelチップ版Macが正式にアナウンスされ、ハード的にはWindows/Linux系環境とは変わらない状況(※)になろうとしていますので、もう少しAppleには頑張って欲しいなぁ……と思います。
---
(※)今までのMacはCPUには86000系(モトローラ系)やPowerPC系(IBM系)のCPUが使われていたんですが、これは所謂Intel系CPU(正確にはx86系CPU(互換含む))とは、データの管理方法が違っていたため、特にハード周りに関する処理を移植しようとした場合にネックになっていました(「リトルエンディアン」と「ビックエンディアン」の違い……詳しくは各自で調べて下さい)。

月間MS 2006/1号

2006 年 1 月のセキュリティ情報 - Microsoft

先日増刊号が発行されましたが、今日は毎月恒例の方です。
今回はMS-Office(Outlook)に関するアップデートも含まれているため、少し注意が必要です。

• Microsoft Updateを利用されている方は、そのまま実施でOKです。OSのHotFixとOffice(Outllok)のアップデートも一緒に適用されます。
• Windows Updateを利用されている方は、Windows Update実施後、Office Updateを実施する必要があります。またMSの情報ではOffice 2000もMicrosoft Updateの対象範囲に含まれていますが、自分の環境ではどうも上手く動かなかった事から、念のため、Office 2000を利用されている方はMicrosoft Updateを実施した場合でもOffice Updateを実施してみて下さい。

まだWindows Updateを利用されている方は、これを機会にMicrosoft Updateの利用に切り替えてみると良いでしょう。
Microsoft Updateですが、Windows Updateのトップ画面右に、確か「Microsoft Updateをご利用下さい」とかいうメッセージが出ている筈ですので、その部分をクリックして下さい。Windows 2000以上なら新しいウィンドウが開き、セキュリティ証明書のインストール後、Microsoft Updateの画面が開くのと同時に、スタートメニューにも「Microsoft Update」が追加されている筈です。
使い方はWindows Updateと殆ど同じですので、今までWindows Updateを利用されていた方なら迷う事は無いと思います。

これからセキュリティ監査作業……→終わった～

某所のセキュリティ監査のため、これから外出します。1日がかりの作業です。
でも、作業が終わったら直帰できる訳じゃなく、会社に戻ってからもタンマリと作業が……(涙)。
---
(2005/1/10 18:30頃追記)
思ったより早く終わり、15:30頃には戻ってこられました。また、予定していた急ぎの作業もスケジュールがズレた事で（今は）急がなくても良くなりました（でも別の問題も出たけどネ）。
でも、書記担当の方は電車遅延で遅刻したため、自分が書記・議事録を書くハメに(涙)。只今議事録作成中です。

月間MS お正月増刊号(苦笑) + 2006/1号の予告

Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (912919) (MS06-001) - Microsoft
本日(1/6)、月間MSお正月増刊号と言うか、正月休み中に出たWindows系OSの脆弱性に対するHotFixが緊急リリースされました。

既にこの脆弱性を突くウイルスが出回っているとの事から、早急にMicrosoft Update/Windows Updateを実施してしまいましょう。

実はこのHotFixリリース前に、非公式のパッチやMSからのアドバイザリーが提供されていた(コマンドラインからあるコマンドを入力して、今回の脆弱性に関わるファイル(DLL)の関連付けを一旦切る)んですが、この方法はエンドユーザさんには危険性の高い方法だったので、あえて書きませんでした。
(非公式パッチは言うまでもありませんが(もしかしたら偽装したウイルスかもしれないし……)、コマンドラインによる操作は、HotFixが提供された時に元に戻す操作を忘れてしまう可能性が高いので。)
もし非公式パッチを適用している方は、非公式パッチをアンインストール後、MSから提供された公式HotFixを適用して下さい。
またコマンドラインで操作した場合、アドバイザリーに従って元に戻す操作をしてからHotFixを適用して下さい。

また、1/11に予定されている2006/1号の予告もアナウンスされました。1/11は少し忙しくなりそうですね。

毎年の事と言えばそうなんですが……

休暇中のWebアクセスには注意、Windowsに新たな未パッチの脆弱性 - ITMedia
という事で世間では正月休みというモノに入っているそうですが、ウチはマダです(まだ引っ張るか、このネタで(笑))。

毎年そうなんですが、この正月(新年)の休みを狙って新たなウイルス等をばら撒くヤツもおられるので、とりあえず、次の点に注意して下さい。

1. 最新のパッチ(Hotfix)は全て適用し、アンチウイルスソフトも最新の状態にしておく事(基本中の基本ですね)。
   
2. アヤシイメールは開かない事。添付ファイルは当然ですが、メールをプレビューしただけで感染するタイプもありますので、身に覚えのないメールはサクっと削除してしまいましょう。
   
3. またアヤシイWebサイト(ハイパーリンク)もクリックしない事。特に2chなどの掲示板に示されている不審なリンクは(安全に確認できるだけの実力と自信が無ければ)絶対にクリックしない事。
   
4. 特にこの時期グリーティングカードメール(年賀メール)を装うウイルスが多く登場するので、知らない人からのメールの取扱いには十分注意しましょう。
   

……とこんなモノかな？

(参考)年末年始における注意喚起 - IPA
---
(2005/12/29 11:05頃追記)
上の記事の元ネタはココ(SANS ISCより)。
この脆弱性に関しては、まだMicrosoftからHotFixが出ていないので、特に注意が必要です。
とりあえず各種アンチウイルスソフト側では、ワームorトロイの木馬として検知するように対策が取られているようなので、最新のアンチウイルスを入れて、常駐監視を常に有効にして下さい。
アンチウイルス各社の対応状況はセキュmemoのこの記事辺りが参考になるかと思います。後は各自お使いのアンチウイルスの公式Web Siteでご確認を……。

うわーやっちまったー……って感じ？

コイデカメラ、メール誤送信で顧客1万6280名のアドレスを流出 - IT保険ドットコム
コイデカメラからお詫び文はココ。

久々にどデカイ件数だよなぁ……。
記事とお詫び文を読む限り、顧客のメルアドをBcc:にまとめて入力し1回の送信で済まそうというOPになっているように見受けられますが、この方法だとOPミスすれば(To:やCc:にメルアドを入力してしまう)一発でアウトですね。
1メルアドにつき1通ずつ送信するのであればTo:に指定しても顧客のメルアドは漏洩しない訳ですから、この方法で送るシステムの導入を検討した方が良いでしょうなぁ。
(別にココだけの問題じゃないです……同じようなOPでメールを送っている処は、二の舞を踏む前に検討した方が良いでしょう。)

仕事上必要があって、そういう事が出来るプログラム(スクリプト)をWindows系OS上で組んだ事がありますが、その時は……

• Windows Script Host(WSH)5.6(VBScript)
• BASP21.DLLフリー版
• Microsoft Excel 2000(送信者リストの読み込みで使用)

……というチープな環境で組んでいました。送信者リストをCSVなどのPlain-Text系のフォーマットにしてしまうならExcelも不要ですから、事実上OSさえ用意できれば安価に導入できる事も付記しておきますね。
(UNIX/Linuxでもシェルスクリプトだけで実現できる筈(標準でmailコマンドがあるお陰ですね)なので、決して高いシステムを買わなくても、ほんの少しの工夫で実現できる筈ですよん。)

コレだけだと50点かなぁ……＞サニタイズ

サーバの複雑さが変えたセキュリティ「サニタイズ」とは - ITMedia
XSSを防ぐなら、HTML及び各種スクリプト(JavaScript(JScript)やVBScript(IEのみ))でOKなんですが、インジェクション系の攻撃には他にも「SQLインジェクション(某有名Siteのセキュリティ事件で話題になりましたね)」や「コマンドインジェクション」と呼ばれる攻撃もあったり……。
SQLインジェクションの場合はSQL文、コマンドインジェクションの場合はQSの主要なコマンドがWebフォームから入力されても、直接各コマンドを叩く為の文字列に使わない事で防ぐ事ができますが(まぁ、そんなプログラムを書かない、使わないのが一番ですけれど)、どうしても必要があってというなら、これらに対してもサニタイズ処理を施さないと中途半端になってしまいますよ～。

参考：セキュア・プログラミング講座 - IPA
とりあえず、プログラムを書かれる方は、まずはココを一読しませう。

藁^3

今思い返すと、あれはつまり詐欺師か何かだったのだろうか - 不夜城
はなずきんさん経由、ikepyonさんの処から。

アハハハハ、pingでWeb Siteの脆弱性が見つけられるなら誰でもセキュリティ技術者（脆弱性監査系技術者）になれますわな（藁）。
(確かに脆弱性監査の準備段階の1つに「ping sweep」でホストの有無を調べる行為はあるんですが、あくまで「ホストの生死」の判断材料の1つが分かるだけです。サーバによってはpingの応答を殺して(無応答にして)しまう設定がされている場合もあります。それに、何よりWeb Siteの生死はWebブラウザがあれば分かりますし(苦笑)。）

まぁ、どう考えても「セキュリティの事に疎い人に対して、いかにもって言葉の洪水で思考を停止させてしまう」という詐欺の典型的な手段ですよ。
（思考が停止すると、普段なら「どう考えても引っかからないよ～(藁)」という事ですら簡単に引っかかりますからなぁ……。）

それにしても「セキュリティ・コンダクター」って何？、聞いた事もありませんヨ(藁^2)。
「ITアーキテクト(セキュリティ)」ならまだ分かりますが(実際に某仕事で、コレの真似事をした事があります……あの時は本当に疲れた……)、コンダクター(指揮者)って(藁^3)。
多分CIO(Chief Information Officer：最高情報責任者)やCSO(Chief Security Officer：最高セキュリティ責任者）という言葉から、単純に「最高責任者……うーん、よし、指揮者、コンダクターにしようっ!!」という浅はかな考えで名乗ったんだろうなぁ(爆)。

一応……セキュリティ技術者が、いきなり押し掛けで営業するって事はまずありません。基本的には顧客側の要望に応じるってケースが殆どです。
（特に「脆弱性がありました」と言ってくる相手には要注意……こういう輩には「どうやってそんな事を調べたんですか？、調べ方によっては『不正アクセス禁止法』で訴えますよ。」と言い返せば、ブルって逃げ出す筈です。）

皆様も、こういう典型的な詐欺にはご注意を……。

当たり前って言えば当たり前なんですが……

「ボットに感染するのはWindowsだけではない，Linuxも標的に」---米SANS - 日経ITPro
まぁ、Windows系OSだろうが、Linuxだろうが、ソレに感染するBot(ボット：ウイルスの一種)が存在すれば感染する可能性は必ずある訳なんですが……未だに「Windowsは危険、Linuxは安全」という「間違った認識」を持っている人がいるからなぁ……。

別にOSの種類で安全・危険が決まる訳じゃなく(サポート切れになり、パッチが出ないモノは除きますヨ、当然ですが)、管理者がキチンと管理しているか否かで、安全・危険が決まるんですけれどねぇ……。
管理者がキチンと管理していれば、Windows系OSであってもセキュリティインシデント(事件・事故・障害)発生のリスクは低くなりますし、UNIX/Linuxでもキチンと管理していなければ穴だらけですから、インシデント発生のリスクは高くなる……と。

……当たり前と言えば当たり前の事なんですけれどね。

うーん……

金銭詐取狙い悪質化　今年のウイルス被害 (共同通信) - goo ニュース
ウイルス被害は金銭を狙ったピンポイント攻撃にシフト－トレンドマイクロが総括 - Enterprise Watch
トレンドマイクロさんのプレスリリースはココ。

一昔前と異なり、ウイルスに限らずセキュリティインシデントの多くが「技術力顕示」から「金儲け」に変わりつつあるというのは、この業界の通説だったのですが、キチンとしたレポートになったのは国内ではコレが最初かな？

何故「セキュリティ対策（HotFixの定期的な適用やアンチウイルスソフトの導入・更新など）は何故しなければならないのか？」と言われたら、こう答えても良いかもしんないですね。
「あなたが知らない間に犯罪者の片棒を担いでいる事になるのを防ぐためです」と。
確かに知らない間に犯罪者の手助けをしていると分かったら（真っ当な精神の人なら）ゾッとしますしね(笑)。

カジュアルハッキング対策ならアリなのでは？

プリンストン、施錠して着脱を防止できるLANケーブル - BroadBand Watch
メーカーの製品情報はココ。

./Jでもトピックに挙がっているが、中のコメントの一部を見て(良い意味でも悪い意味でも)笑う。
この手の製品で本格的なハッキング対策にしようなんて考える人は（ちゃんとISMSの事を理解している人ならば)いないですヨ。
この手の製品は「気軽に試してみよう」というカジュアルハッキングに対する「抑止効果」を狙っている訳で、強い「予防効果」まではメーカー側も想定していない筈ですよ。

本格的に何か悪さしてやろうという人への対策をするならば、この製品では役に合わないでしょうし、それ相応の費用が必要になる筈。

悪いですが、こういう「技術マンセー」な人、技術で何でも対応してしまおうと考える人はセキュアド向きじゃないです。
（じゃあ「テクニカルエンジニア（情報セキュリティ）」向けか？、と言われると。それも「？」なんですが。）

ちなみに、良い意味で笑ったのは「掃除のおばちゃん」ネタ(笑)。ホントにあるから笑うに笑えないネタなんですけれどね。＞重要なコンセント引っこ抜きやUPSにつなげてしまうケース

「テクニカルエンジニア（情報セキュリティ）」の勉強を始めました

毎年春（4月）と秋（10月）に開催される「情報処理技術者試験」で、次回2006年春から「テクニカルエンジニア（情報セキュリティ）（SV）」が新設される訳ですが、いよいよその勉強を始めました。
以前受験し合格した「情報セキュリティアドミニストレータ（SU）」と被る部分も多いのですが、コチラの方が技術寄りですね。恐らく、多くのセキュリティ技術者と呼ばれる方はコチラの方が向いていると思われます。

セキュアドの場合「情報化と経営」「監査」という（恐らく普段のタスクではあまり意識する事の無い）範囲が、しかも高いレベルで要求されるものですから……。
（しかも午後I・IIで要求される範囲なので、午前は通っても午後で……という方は、まずこの分野をしっかりとお勉強する事をオススメします。）

受験申し込みは年明け後から……忘れないウチに済まさないと。