今年1年お世話になりました

今年も残すところあと数時間となりましたが、振り返ると色々な事があったような気がします。

一番大きいのは、生まれて初めての入院(10月末頃)。でも、コレのお陰でダイエットを始めて、入院前より10kg以上も減量出来た事は怪我の功名とでも言うんでしょうね。
ダイエットの方も順調……何とか96kg代まで、12月に入ってから2kgは落ちています(脂肪だけなら4kg弱は落ちています)。

OpenmyaMLに参加して、世界の幅も広がった感じがします。
セキュリティと言えばISMS審査員補を取得した事も大きいです。年明け直後からセキュリティ監査系のお仕事も入っています。

あと……ある事が起きてちょうど1年……こちらはご想像にお任せします(笑)。
こっちは……決して順調じゃないけれど……でも何とか上手くやっています。

来年は、今年よりももっと良い年にしたい、なりたい、そう思います。

さて、今年の更新は今回で終了です。年明け後は1月の朝頃(少しネットが落ち着いた頃を見計らって)になります。
では、皆様、良いお年を!!

私信：流石に行かないかぁ＞冬祭り(笑)

毎回夏・冬祭り(笑)に行っていた友人に「今日行く？」とメール。
（自分は今日は行かないが、仕事が早く終わるので、早めに会場を出てくればお茶できるけど？、という内容で送った。）

大分時間が過ぎて(10時頃)レスが返る、「今起きた～」と(笑)。無論行かないとの事。
そりゃそうだよなぁ……、友人の自宅から会場までは結構遠いし(11時頃に出られたとしても、着くのは恐らくお昼過ぎ)。

まぁ、今日はゆっくり暖かい部屋で休んで下さいまし。＞for 友人

……いずれにせよ、明日には会えるんだし(笑)。

毎年の事と言えばそうなんですが……

休暇中のWebアクセスには注意、Windowsに新たな未パッチの脆弱性 - ITMedia
という事で世間では正月休みというモノに入っているそうですが、ウチはマダです(まだ引っ張るか、このネタで(笑))。

毎年そうなんですが、この正月(新年)の休みを狙って新たなウイルス等をばら撒くヤツもおられるので、とりあえず、次の点に注意して下さい。

1. 最新のパッチ(Hotfix)は全て適用し、アンチウイルスソフトも最新の状態にしておく事(基本中の基本ですね)。
   
2. アヤシイメールは開かない事。添付ファイルは当然ですが、メールをプレビューしただけで感染するタイプもありますので、身に覚えのないメールはサクっと削除してしまいましょう。
   
3. またアヤシイWebサイト(ハイパーリンク)もクリックしない事。特に2chなどの掲示板に示されている不審なリンクは(安全に確認できるだけの実力と自信が無ければ)絶対にクリックしない事。
   
4. 特にこの時期グリーティングカードメール(年賀メール)を装うウイルスが多く登場するので、知らない人からのメールの取扱いには十分注意しましょう。
   

……とこんなモノかな？

(参考)年末年始における注意喚起 - IPA
---
(2005/12/29 11:05頃追記)
上の記事の元ネタはココ(SANS ISCより)。
この脆弱性に関しては、まだMicrosoftからHotFixが出ていないので、特に注意が必要です。
とりあえず各種アンチウイルスソフト側では、ワームorトロイの木馬として検知するように対策が取られているようなので、最新のアンチウイルスを入れて、常駐監視を常に有効にして下さい。
アンチウイルス各社の対応状況はセキュmemoのこの記事辺りが参考になるかと思います。後は各自お使いのアンチウイルスの公式Web Siteでご確認を……。

うわーやっちまったー……って感じ？

コイデカメラ、メール誤送信で顧客1万6280名のアドレスを流出 - IT保険ドットコム
コイデカメラからお詫び文はココ。

久々にどデカイ件数だよなぁ……。
記事とお詫び文を読む限り、顧客のメルアドをBcc:にまとめて入力し1回の送信で済まそうというOPになっているように見受けられますが、この方法だとOPミスすれば(To:やCc:にメルアドを入力してしまう)一発でアウトですね。
1メルアドにつき1通ずつ送信するのであればTo:に指定しても顧客のメルアドは漏洩しない訳ですから、この方法で送るシステムの導入を検討した方が良いでしょうなぁ。
(別にココだけの問題じゃないです……同じようなOPでメールを送っている処は、二の舞を踏む前に検討した方が良いでしょう。)

仕事上必要があって、そういう事が出来るプログラム(スクリプト)をWindows系OS上で組んだ事がありますが、その時は……

• Windows Script Host(WSH)5.6(VBScript)
• BASP21.DLLフリー版
• Microsoft Excel 2000(送信者リストの読み込みで使用)

……というチープな環境で組んでいました。送信者リストをCSVなどのPlain-Text系のフォーマットにしてしまうならExcelも不要ですから、事実上OSさえ用意できれば安価に導入できる事も付記しておきますね。
(UNIX/Linuxでもシェルスクリプトだけで実現できる筈(標準でmailコマンドがあるお陰ですね)なので、決して高いシステムを買わなくても、ほんの少しの工夫で実現できる筈ですよん。)

コレだけだと50点かなぁ……＞サニタイズ

サーバの複雑さが変えたセキュリティ「サニタイズ」とは - ITMedia
XSSを防ぐなら、HTML及び各種スクリプト(JavaScript(JScript)やVBScript(IEのみ))でOKなんですが、インジェクション系の攻撃には他にも「SQLインジェクション(某有名Siteのセキュリティ事件で話題になりましたね)」や「コマンドインジェクション」と呼ばれる攻撃もあったり……。
SQLインジェクションの場合はSQL文、コマンドインジェクションの場合はQSの主要なコマンドがWebフォームから入力されても、直接各コマンドを叩く為の文字列に使わない事で防ぐ事ができますが(まぁ、そんなプログラムを書かない、使わないのが一番ですけれど)、どうしても必要があってというなら、これらに対してもサニタイズ処理を施さないと中途半端になってしまいますよ～。

参考：セキュア・プログラミング講座 - IPA
とりあえず、プログラムを書かれる方は、まずはココを一読しませう。

世間では今日は仕事納めの日らしいですが……

自分の所属している会社は明日までです(その代わり仕事始めの日も1日遅いのですが)。
そして何より辛いのは、会社のある場所が冬祭り(笑)の会場に行く為の経路の途中にある事です(大笑)。

明日は出勤経路を変えてみようかなぁ……。

藁^3

今思い返すと、あれはつまり詐欺師か何かだったのだろうか - 不夜城
はなずきんさん経由、ikepyonさんの処から。

アハハハハ、pingでWeb Siteの脆弱性が見つけられるなら誰でもセキュリティ技術者（脆弱性監査系技術者）になれますわな（藁）。
(確かに脆弱性監査の準備段階の1つに「ping sweep」でホストの有無を調べる行為はあるんですが、あくまで「ホストの生死」の判断材料の1つが分かるだけです。サーバによってはpingの応答を殺して(無応答にして)しまう設定がされている場合もあります。それに、何よりWeb Siteの生死はWebブラウザがあれば分かりますし(苦笑)。）

まぁ、どう考えても「セキュリティの事に疎い人に対して、いかにもって言葉の洪水で思考を停止させてしまう」という詐欺の典型的な手段ですよ。
（思考が停止すると、普段なら「どう考えても引っかからないよ～(藁)」という事ですら簡単に引っかかりますからなぁ……。）

それにしても「セキュリティ・コンダクター」って何？、聞いた事もありませんヨ(藁^2)。
「ITアーキテクト(セキュリティ)」ならまだ分かりますが(実際に某仕事で、コレの真似事をした事があります……あの時は本当に疲れた……)、コンダクター(指揮者)って(藁^3)。
多分CIO(Chief Information Officer：最高情報責任者)やCSO(Chief Security Officer：最高セキュリティ責任者）という言葉から、単純に「最高責任者……うーん、よし、指揮者、コンダクターにしようっ!!」という浅はかな考えで名乗ったんだろうなぁ(爆)。

一応……セキュリティ技術者が、いきなり押し掛けで営業するって事はまずありません。基本的には顧客側の要望に応じるってケースが殆どです。
（特に「脆弱性がありました」と言ってくる相手には要注意……こういう輩には「どうやってそんな事を調べたんですか？、調べ方によっては『不正アクセス禁止法』で訴えますよ。」と言い返せば、ブルって逃げ出す筈です。）

皆様も、こういう典型的な詐欺にはご注意を……。

最近は……

時間が無いので、なかなかゲームする事が出来ていません(涙)。
それでも自宅では「連ザ」をチマチマとプレイしていますが……積みゲーが溜まる一方のような(マテ)。

今月半ばから正式稼動して「Quiz Magic Academy3」は最近になってからプレイし始めました。2キャラ分作っている(1からずーっと使っているルキア(キャラ名も同じ)と、今月頭に急遽2で作った(※)シャロン(キャラ名は「フィーナ」)）んですが、両方共引継ぎをして、交互に遊んでいるって感じです。どちらも只今「初級魔術師」……もう少し頑張らないとなぁ。

(※)ルキアの方が何とか賢者まで辿り付いた事と、3のリリースが近いって事が分かっていたので、心機一転新しいキャラを作って遊んでみようという事で作ったのが彼女です。
---
とりあえず雑感ですが、流れのテンポが速くなったような感じがします。ログオン後のデモが短くなった事もそうなんですが、通信系の(プロトコル)制御に改善を加えたのかなぁ……処理にもたつくという事も今のところ見かけた事が無いですし。
(先日(22日)サーバトラブルがあったようですが、この時はまだプレイしていなかったので分かりませんでした。)

毎度の事ながら、新学期開始早々は(引継ぎキャラの階級もリセットされる事から)低いクラス(フェアリー級やホビット級クラスの低クラスでも)混戦模様って感じがします。あと1月位はこんな感じなんだろうなぁ……。正直、2位、3位ってのは多いんですが、なかなか1位が取れないのはちょっと辛いかも……。

当たり前って言えば当たり前なんですが……

「ボットに感染するのはWindowsだけではない，Linuxも標的に」---米SANS - 日経ITPro
まぁ、Windows系OSだろうが、Linuxだろうが、ソレに感染するBot(ボット：ウイルスの一種)が存在すれば感染する可能性は必ずある訳なんですが……未だに「Windowsは危険、Linuxは安全」という「間違った認識」を持っている人がいるからなぁ……。

別にOSの種類で安全・危険が決まる訳じゃなく(サポート切れになり、パッチが出ないモノは除きますヨ、当然ですが)、管理者がキチンと管理しているか否かで、安全・危険が決まるんですけれどねぇ……。
管理者がキチンと管理していれば、Windows系OSであってもセキュリティインシデント(事件・事故・障害)発生のリスクは低くなりますし、UNIX/Linuxでもキチンと管理していなければ穴だらけですから、インシデント発生のリスクは高くなる……と。

……当たり前と言えば当たり前の事なんですけれどね。

LensBabies 2.0を購入してみた

土曜、ボーナスの残りを利用して「LensBabies 2.0」を購入した（マクロキットは未購入……後日買います）。
とりあえず軽く試し撮りしてみたのだが、実に面白い。最近の「レンズの優等生化（写りがシャープで、周辺減光が少なく……って感じ）」に逆行するような「超クセ玉」。
F2.0だと被写体深度も浅く、且つフワッとした描画に。F2.8～F4.0位なら比較的扱いやすいかな？　逆にF5.6やF8.0だとカッチリし過ぎてこのレンズの面白みが半減するかも……。

難点は電気接点が無いため、Canon(EFマウント)の場合、外付けフラッシュが使えない（クリップオンタイプの場合……シンクロ接点利用は未確認）のが少し痛いかも（内蔵フラッシュは使える事は確認しています）。

確かに初心者には入りづらいよなぁ……＞秋葉原の自作PC系パーツショップ

PCパーツショップが考える秋葉原ブーム：第1回 「アキバらしさ」とは何か (3/3) - ITMedia
「PCパーツショップが撤退・縮小傾向？」とあり、この記事の著者がどう書くかは次回のお楽しみなのですが、自分なりに自作PC系ショップが撤退・縮小傾向にあるのは、こんな理由だからだと思います。
-----
１．「秋葉原でなければ買えない」モノが少なくなっているため
昔は自作PCのパーツの殆どが、秋葉原でなければ買えない（もしくは買い辛い）ものでしたが、「１．自作PC系ショップの全国展開化（ドスパラとか）」「２．大手家電店・量販店でも自作PC系パーツを取り扱うようになってきた」「３．ネットショッピングの充実」という要因から、別に秋葉原へえっちらおっちら出向かなくても、一通りのパーツは手に入るし、何より出かけるための交通費や時間の事を考えると、出かけるまでもないというケースが増えているためだと思います。
特に要因２．の量販店……最近は安売り系の量販店（例えばヤマダ電機やケーズデンキなど）でもごく当たり前にマザーボードが売られていたりしますからね。
（確かに品揃えという点では秋葉原の方が上かもしれませんが、タダでさえマニアックな世界なのに、マニアックなパーツとなると「ニッチな世界」ですから、欲しい人は限られてくる筈……そうなると、今度は要因３．でカバー出来る範囲ですしね。）
-----
２．「初心者に優しくない」パーツショップ（の店員）
先に書いた通り、自作PCってのはある意味マニアックな世界です。その世界に住人（≒市場規模）を拡大させるには、普通の人をマニアック化させて取り込む事が重要になります（ごく自然に増える訳じゃない点が、普通の市場と異なる点と違うところです）。
「タコは育てよ」じゃないですが、昔はある程度叩かれながらも、それでも食いついてきて成長した人がこの世界の住人になる事が許された訳で、またそれがある程度暗黙知として認識されていた世界だったんですが、今やそういう時代じゃないように思われます。
特に「初心者への手厚いサポート」ってのが市場開拓（顧客の掘り起こし）に繋がる最も重要な要因の１つなんですが、秋葉原の自作PC系パーツショップを回れば分かるでしょうが、ハッキリ言って初心者に優しくない売り方をしています。
（特にCPU・メモリ・HDDに至っては現物を見てではなく、レジに掲示された価格ボードを見て注文するというスタイル……初心者はまずどうやって選んで買えば良いのかすら分からない筈ですヨ。）
特に初心者が多く来店するであろう週末は得てして忙しく、店員側も十分な対応が出来ない（出来ても初心者に優しくない対応だったり……）ケースも多く、益々初心者の取り込みが出来ない事が考えられます。
-----
まあ、他にも理由は色々考えられるでしょうけれど、一旦ココで切ります。

うーん……

金銭詐取狙い悪質化　今年のウイルス被害 (共同通信) - goo ニュース
ウイルス被害は金銭を狙ったピンポイント攻撃にシフト－トレンドマイクロが総括 - Enterprise Watch
トレンドマイクロさんのプレスリリースはココ。

一昔前と異なり、ウイルスに限らずセキュリティインシデントの多くが「技術力顕示」から「金儲け」に変わりつつあるというのは、この業界の通説だったのですが、キチンとしたレポートになったのは国内ではコレが最初かな？

何故「セキュリティ対策（HotFixの定期的な適用やアンチウイルスソフトの導入・更新など）は何故しなければならないのか？」と言われたら、こう答えても良いかもしんないですね。
「あなたが知らない間に犯罪者の片棒を担いでいる事になるのを防ぐためです」と。
確かに知らない間に犯罪者の手助けをしていると分かったら（真っ当な精神の人なら）ゾッとしますしね(笑)。

只今休日出勤中 orz

えーと、上司が27日から休みを取りやがるるとの事から、それに合わせて仕上げなくちゃいけないモノが出てきたため、只今休日出勤中です。

うーん、滅茶苦茶静か……、自分のいるフロアは休日出勤するような人は殆どいない事から、多分帰るまでずーっとこんな状態なんだろうなぁ……。

カジュアルハッキング対策ならアリなのでは？

プリンストン、施錠して着脱を防止できるLANケーブル - BroadBand Watch
メーカーの製品情報はココ。

./Jでもトピックに挙がっているが、中のコメントの一部を見て(良い意味でも悪い意味でも)笑う。
この手の製品で本格的なハッキング対策にしようなんて考える人は（ちゃんとISMSの事を理解している人ならば)いないですヨ。
この手の製品は「気軽に試してみよう」というカジュアルハッキングに対する「抑止効果」を狙っている訳で、強い「予防効果」まではメーカー側も想定していない筈ですよ。

本格的に何か悪さしてやろうという人への対策をするならば、この製品では役に合わないでしょうし、それ相応の費用が必要になる筈。

悪いですが、こういう「技術マンセー」な人、技術で何でも対応してしまおうと考える人はセキュアド向きじゃないです。
（じゃあ「テクニカルエンジニア（情報セキュリティ）」向けか？、と言われると。それも「？」なんですが。）

ちなみに、良い意味で笑ったのは「掃除のおばちゃん」ネタ(笑)。ホントにあるから笑うに笑えないネタなんですけれどね。＞重要なコンセント引っこ抜きやUPSにつなげてしまうケース

コメントspamを削除いたしました

今朝確認をしたら、古い記事に2件コメントspamが付いていたので削除しました。
どうやら被アクセス数を増やす目的で付けられたらしく、URLを付加しようと色々とオイタをしていたようですが、殆どが不発だったようで(藁)。

一応URL先を(view-source:を利用して)確認しましたが、フィッシング系でもないようなので、とりあえず踏んでしまった方も直近は大きな問題は無いとは思います。
……が、不安な方はウイルススキャン＆スパイウェアスキャンを実施して頂ければ幸いです。