Garbage Script on Goo BLOG

某SIerの"元"研究者 兼 情報Security技術者"F.Koryu"の日常の雑記置き場

あー……

2006-04-27 17:21:32 | セキュリティ(エンドユーザ向け)
Winnyに代わり「Share」が情報漏洩で狙われる危険性、トレンドマイクロ警告 - Internet Watch

ポスト「Winny(ウィニー)」と称される「Share(シャレ)」経由で情報漏洩を引き起こすウイルスが出た~……と思った矢先に……

毎日新聞読者約65,690人分の名簿などが「Share」で流出 - Internet Watch

o... rz ダメ過ぎにも程があるし(涙)。

繰り返しになりますが、WinnyをアンインストールしたからOKと思わないで下さい。>情報漏洩対策

まずは修正パッチを全て適用する事(Windows Update/Microsoft Updateの実施)。
次に最新のアンチウイルスソフトを導入し、常駐させる事。当然更新も忘れずに。

そして何より、Winnyに代表される「情報漏洩のきっかけになりやすい、危険性の高いソフト」はインストールしない事。
これはWinnyに限らず、全てのP2Pファイル共有ソフトに言える事です。

更に、漏れては困る情報は、厳重に管理する事。
少なくともWinnyやShareなどの匿名P2Pファイル共有ソフトの入ったパソコン内に置かない事!!

個人的には、何をそこまでして「匿名P2Pファイル共有ソフト」を使いたいのか理解できません。
何より「使う事のリスク」があまりにも大きすぎるし(※)。
---
(※)これはウイルス感染や情報漏洩といった分かりやすいリスクだけでなく、著作権法違反や、不正アクセス幇助など、法的なリスクも含まれます。特に法的リスクに関しては、国内ではたまたまお目こぼしをされている(1件^2取り締まるの気力と時間とお金が無い)だけで、将来的に米国のように不法ダウンロード者に対する一斉訴訟なんてケースも十分考えられますからネ。
---
(2006/4/27 18:10頃追記)
Shareは「シャレ」と読む……共有(share:シェア)と同じスペルなので、間違って読んでいたヨ……orz。

それよりも気になったのは、毎日新聞での事件が各紙でも取り上げられているんですが、その見出しが……ねぇ(笑)。

シャレ→洒落(冗談)と普通の人は脳内変換するだろうなぁ……。
(つまり「『冗談』で顧客情報が漏洩」……意味が分からないゾ(苦笑)。)

うーん、肝心の処が抜けてしまっているような気が……

2006-04-27 15:09:01 | セキュリティ(技術者向け)
情報セキュリティ担当者の10年後は? - @IT
はなずきんさんの処経由。

昨日の「RSA Conference 2006」の基調講演(ティム・メイサー氏)の話ですね~。
リアルで聞いてきましたが、結構面白い話でした。

CISO(Chief Information Seurity Officer:最高情報セキュリティ責任者)の役割についてというお話でしたが……うーん、該当する記事では肝心の要点が不十分のような気がする~。

「CISOの役割とは、ビジネス・セキュリティの両面から、リスクがビジネスに与える影響や、またどのようにリスク対応するのが良いのかを、マネジメント(経営)層に対して、正しく分かりやすく伝える事である。」

……という話だったんだけれどなぁ……。
(その上で、将来的にはCISOの役割はCRO(Chief Risk(management) Officer:最高リスク(マネジメント)責任者)に吸収されるのではないか?、というお話だったんだが……。)
---
また、公演の後半では技術者のキャリアパスに関するお話もされていましたヨ。>ずきんさん

将来的にCISOやCROを目指したいのであれば、やはりビジネス(経営)に関する事は知る必要があるネ(「セキュリティ」はビジネスの目的じゃないヨ)、との事。
但しCROはCIOやCISO経験者の方が多く、それは複雑化するITに関する知識を理解するにはそれなりの苦労が必要だから(大変だから)だろう、とも仰られていました。

流石に10年後にCISOになるのは無理だとしても、目指す事は決して無謀な事じゃないという事で(笑)。

再発行>MS06-015

2006-04-27 12:37:23 | セキュリティ(エンドユーザ向け)
MS06-015 の再リリース - 日本のセキュリティチームの Blog
昨日は外出していたので、リアルタイムで情報を確認する事ができなかったのですが、色々とトラブルが出ていた月間MS 2006/4号の「MS06-015」について、昨日再リリースされました。

Windows Update/Microsoft Updateから適用する事が出来ますし、自動アップデートが有効になっている場合は自動的に適用されます(適用後は再起動が必要なので、ご注意を)。

但し修正された内容が、以前ご紹介した「例外項目をレジストリに手動登録する」というのが、パッチ適用によって自動的にレジストリに登録されるようになっただけ……前回のパッチ適用で特にトラブルが無い方は、適用しなくても問題はないですが、当ててしまった方が良いでしょうね。

J-SOX法対応って……

2006-04-27 12:26:32 | セキュリティ(技術者向け)
昨日参加してきたRSA Conference 2006の所感……最近何かと話題になっている「J-SOX法」の対応について。

展示会でも「J-SOX法対応」を謳っていた製品が数多く展示されていましたが、結局のところITで対応できる部分ってごく僅かですし、「やった方が良い」とされている事の多くが、実は既存のセキュリティ対策からそう大きく外れるものでも無いって感じがしました。

なので大慌てでJ-SOX法対応と称して新しいセキュリティソリューションの導入はあまりオススメできないかなぁ……と思ったり。
寧ろ組織としての体制や、手順・対応(プロセス)部分をシッカリと整備する事(出来ればCOBITに準拠した形で進めるのがベターかなぁ……)。その上で人手ではちょいツライ部分に対してソリューションを補助的に導入するというのが「カシコイ」対応なのかなぁ……と思ってみたり。

CD買いまくり

2006-04-27 12:20:22 | 雑記
久々にCDを沢山買ったような気がする……昨日・一昨日と仕事帰りに秋葉原に立ち寄り、CDを購入。
---
  • 夢想花:Suara
  • ユーフォリア:牧野由依
  • 夏待ち:ROUND TABLE featuring Nino
  • SCREAMING:橋本みゆき
    ---
    ……何か趣味が知れるような買い方だなぁ(藁)(※)。

    全てリッピングし、iPod Nanoに突っ込んで通勤途中に聞いています。
    ---
    (※)全部アニメの主題歌(笑)。「夢想花」は「うたわれるもの」のOP、「ユーフォリア」と「夏待ち」は「ARIA The Natural」のOP・ED、「SCREAMING」は「Soul Link」のOP・ED。

    • 2nd Character作りました>DRUAGA Onlien(ドルアーガ オンライン)

    2006-04-27 00:50:37 | Game
    フィーナ(ワルキューレ)の方もクラスが「SS」まで昇格し、成長も一段落した事もあり、念願の2nd Characterを作って見ました。
    今度は嫁こと「ヤング カイ」で作成。キャラクター名は「レア」……察しの良い方は分かるでしょうが、某アクションRPGの双子のヒロインの片割れです(笑)。
    (そう言えば、1stの方と似た名前を付けている方(同じワル使い……但し、向こうの方はSSSクラスとずっと強いのですが……)とよくマッチングします。上手い方なので、こっちは足を引っ張らないようにプレイするだけで精一杯だったりしますが。)

    2nd(レア)の方はEpic.2-2をクリアした処で中断。当面は「虚ろなる魔塔」でドルアーガの塔を登り切る事に専念するつもりです。

    あ、1st(フィーナ)の方もちょくちょくプレイするので、マッチングした場合はレア共々よろしくお願いいたします。m(_ _)m

    只今RSA Conference 2006 参加中

    2006-04-26 12:34:28 | セキュリティ(技術者向け)
    予告通り、只今RSA Conference 2006に参加中。
    会場となっているホテルのHOT SPOT(1 Day Pass)を利用してネットに接続しています。

    只今お昼休憩中……午前中は基調講演と展示会を行ったりきたりという感じです。

    午後はBS7799立ち上げ時のスタッフの1人である「テッド・ハンフリー」氏によるISO27000シリーズに関するセミナーを聞く予定です。
    (一応これでもISMS審査員補なので、時期ISMS適合評価制度の基準となる同規格は勉強しないといけないのですヨ。)
    ---
    (2006/4/26 14:45頃追記)
    聞いてきました……流石に長丁場だったので、疲れました。
    大きな枠組みとしてのISMSの仕組みには変化は無いのかなぁ……って感じですね。
    後は実際の規格書を見ないと何とも言えないんですが……あー、でも、オリジナル策定メンバの話はやはりタメになる。

    後は少しセミナーを聞いて、夕方には帰る~って感じですね。

    経験値より「赤箱」狙いの日>DRUAGA Onlin(ドルアーガ オンライン)

    2006-04-25 00:10:45 | Game
    今日の日替わりQuestは「零下30度の罠」と「命を賭して」……完全に「零下」側で「赤箱」狙いの日でした(苦笑)。
    (「零下」のワルキューレの「赤箱」は「ヘブリングストライダー(防御:7 B-以上)」……装備品としてもそうですが、合成素材としてもなかなかのアイテム。)

    やっぱり上手くコッチが意図した事がコミュニケートできた時は嬉しいですね。
    (1つはソルの場所を上手く伝えられた時、もう1つは次のマップに進む前に回復できた時。)

    そう言えば、ようやく「命を賭して」の赤箱の条件が確定したっぽい感じ。多分再登場は来週だろうけど、その時はこっちも「赤箱」狙いかなぁ……。

    帰り際、念願の「ソーサーボウ」を作るため、馴染んでいた「宿木の弓」を合成素材に。一時的には少し戦力ダウンするけれど、それ以上に「ソーサーボウ」の能力は魅力的。
    GEMを投入して合成完了まで「6時間」にセット。明日が楽しみです。

    コレにも行きます>セキュリティ系セミナー

    2006-04-24 18:18:33 | セキュリティ(技術者向け)
    カーネギーメロン大学日本校オープンカンファレンス:匿名P2Pネットワークにおける情報漏洩対策を考える - カーネギーメロン大学日本校
    IAjapan 第3回 迷惑メール対策カンファレンス - IAjapan

    この2つにも行きます(上司から「行っても良いよ~」というお許しが出たので)。
    前者(東京会場:5/15)は既に申し込み済み、後者は明日チケットを買いに行きます。

    ウイルス・ワームの登場は時間の問題かなぁ……>Winny(ウィニー)

    2006-04-24 18:13:29 | セキュリティ(エンドユーザ向け)
    「Winnyのセキュリティ・ホールは危険」,発見者が警告 - ITPro

    Winny(ウィニー)のBoF脆弱性の続報。
    発見者であるeEyeのアドバイザリによると、既に任意のコードを走らせられる事を確認済みとの事。

    もうこれでWinnyを動かしているだけで感染するウイルス・ワームの登場は時間の問題かなぁ……。

    あ、ファイアウォール立てているから安心、なんて思わないで下さいね。WinnyによるP2Pネットワークに参加できる時点で、攻撃用パケットがファイアウォールの制限を突破している事を意味しますから。

    一番の安全策は「Winnyは使わない、インストールしない、アンインストールする」ですね。
    ---
    (2006/4/24 18:15頃追記)
    eEyeの製品の国内代理店である住商情報システムさんからアドバイザリの日本語訳版が公開されています。

    既にExploit Code(検証用コードの事:但し実行ファイルのみ)が公開されています。
    (十分に対応できない人が変に興味を持って、迂闊に触れて欲しくないのでソースが何処かは示しません。一応自分は何処かは知っていますし、検証用バイナリはダウンロード済みです。)

    また脆弱性を発見したeEyeの鵜飼先生のBlog(ITPro Watcher)にも技術的な詳細発見~IPAへの報告に至る経緯が公開されています。

    何か未だに2ch辺りでWinnyを使い続けようとするために、勝手パッチを作っている人も見かけますが、そこまでして使い続けるものかい?、と思ってみたり……。
    (そこまでムキにならんでもええやん?、というのが自分の正直な感想だったり……勿論勝手パッチへのソースも、自分は場所は分かっていますがリンクは張りませんし公開もしません。自分で責任が取れる人のみ勝手に探して下さい。)

    何か久々にトンチンカンな記事を読んだ気がする

    2006-04-24 12:47:40 | 写真
    元麻布春男の週刊PCホットライン:マミヤのカメラ事業撤退とムーアの法則の関係 - PC Watch
    何か久々にトンチンカンな記事を読んだ気がする。

    先日中判カメラメーカーの老舗であるマミヤがカメラ事業から撤退する事が発表されたのだが、ソレと半導体で有名な「ムーアの法則」を絡めてみたらしい……のだが、CCDやCMOSのような受光素子はIC・LSI等の一般的な半導体のように単純にダウンサイジングすれば良い訳じゃないってのを分かっていないんだろうなぁ……。

    多分「光の性質」ってのを十分分かっていないから書けるんだと思う。

    受光素子が小さいと、どうしてもノイズ(ランダムノイズ)が発生しやすくなる。これは単純にレンズが良くなれば解決するという訳ではなく、画像処理エンジン側での難しい制御が必要になる。
    ところが優れた画像処理エンジンを作るには、それなりの技術力と資金(あと時間)が必要になる……これがカメラメーカーの腕の見せ所な訳なのだが……一口に言っても、大変な事である。
    (比較的有名なのはCanonの「DIGIC」とかPanasonicの「ビーナスエンジン」とか……。)
    (あと、勿論受光素子側の進歩でもノイズの解決は可能だが……勿論開発にはそれなりの技術力と資金と時間が必要なのは、コレも一緒。)

    他にも色々な理由がある(受光素子の歩留まりが良くなったとか……)が、コンパクトデジカメでもCCDやCMOSの大型化が進んでいるのは、単純にダウンサイジングを進めれば良い事ではない、という事の表れだったりするんだが……。

    週末遊戯録#27

    2006-04-24 09:37:16 | Game
    週末はただ只管にDRUAGA Online(ドルアーガ オンライン)の世界にドップリと浸かる……と言っても、1日で1時間程度しか潜れませんが(資金的・体力的な都合により)。

    土曜は……まぁ、至って普通のシナリオ、プレイで済んだんですが、日曜にリリースされた特別シナリオ「怒れる竜ラパックス」の極悪っぷりには……。

    何せスタート直後から事実上倒すのが不可能なボス(ラパックス)とその子供達(こっちは倒せるけれど、それなりに硬い)、更には触れた瞬間即死確定なウィル・オー・ウィスプ(※1)が数匹(しかも倒せないし)が出迎えてくれましたよ(涙)。

    ……いや、ちゃんと赤箱(※2)は出しましたけれどサ(笑)。

    でも、プレイした誰もが思った事は……

    「おま……竜の卵なんて持っていくな~~。>シエーレ(※3)」

    ……だろうなぁ(藁)。
    ---
    (※1)元祖「ドルアーガの塔」でも触れたら即死・倒せない設定でした。タイムオーバーになるとワラワラ湧いて出てくるんですよね。
    (※2)ある条件を満たすとQuestクリア時に出てくる隠し宝箱。同じ隠し宝箱である青箱より条件が難しく、しかも青箱を1回でも出していないと出てこないです。
    (※3)このシナリオの元となった「眠れる竜ラパックス」で、全ての原因を作った補給・輸送部隊の女性の事。ドジっ娘属性アリ(藁)……と言うか、「ラ・ケウ」でも出てくるイナーナ姫の侍女(シズナ)もそうだが、何故か姫の周りにはドジっ娘属性を持ったキャラばかり出てくる……大丈夫なんかい(藁)。