Garbage Script on Goo BLOG

某SIerの"元"研究者 兼 情報Security技術者"F.Koryu"の日常の雑記置き場

IPA謹製 脆弱性が見つかった時の情報公開マニュアル

2007-05-31 11:36:47 | セキュリティ(技術者向け)
「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」などを公開 - IPA
マニュアルはPDF形式、全12Pです。

一通り目を通してみました……良い例、悪い例が併記されていて比較的分かりやすいですね。
分量も12P(実際には表紙、奥付等も含むので、内容自体はもう少し少ないです)と気軽に読める分量なので、ソフトを開発・公開している人は是非目を通しておく事をオススメいたします。

今薦めるとしたら……>はじめてのプログラミング言語

2007-05-30 15:51:13 | 雑記
最初に覚えるプログラム言語 - ikepyonのお気楽な日々~技術ネタ風味~

ちなみに私が最初に覚えたのはBASIC……しかもN88 BASIC(PC-8801やPC-98x1用のBASIC)じゃなくて、SHARP X1用のBASICという、非常にマイナーな環境だったり(汗)。
(自分で実機を持っていた訳じゃなく、K県Y市にある某博物館で触る事ができたパソコンを触って……です。)

本格的に勉強したのは、大学に入ってからで、C(言語)でした。
確かにポインタを理解するのは難しいけれど……一旦メモリ空間がイメージできるようになると楽ですね。
セキュアプログラミングの観点からも、一旦BoFを体験するだけでも「何故その脆弱性は危険なのか」という事を理解しやすくなりますし、一度は通過しても良い道ではないかなぁ……と。
(確かにPC系ではC++以降の言語(JavaやC#など)に移行しているケースが殆どですが、組み込み系の現場ではまだまだ現役ですしね。)

じゃあ、今「はじめてのプログラミング言語」としてオススメするなら……個人的にはこの3つのどれかかなぁ……と。
  • VBScript(WSH、ASP)
  • JavaScript
  • C#(or Java)

    VBScriptは……
  • Windows系PCであれば、特別な処理系ソフト(コンパイラ、インタプリタなど)を別途インストールしなくても実行できる事(最低限必要なのはメモ帖(notepad.exe)のみ)
  • 構造化制御は当然として、関数(Function)や簡易的なクラス(※1)の概念を持ち、プログラムの基礎のキを覚えるには十分な要素を含んでいる事
  • インタプリタ系なので、書いて即実行可能、結果書いて動かす楽しみが得られやすい事
  • 更にはVBAやASP(Active Server Pages)、VBへと応用が効き世界を広げられやすい事
    ……の4点から押したいなぁ……と。

    JavaScriptは……
  • ブラウザ(IEやFirefox)がインストールされていれば、即開発可能な環境が整う事(※2)
  • 構造化制御、関数、クラスの概念を持っている事
  • インタプリタ系で書いて即実行可能、結果書いて動かす楽しみが得られやすい事
  • 今注目のAjax(Asynchronous JavaScript+XML)の中核を成す要素の1つで、今ホットな領域である事
    ……の4点ですね。

    最後に……C#かJavaか迷ったんですが……Windows系環境限定でOKならC#、UNIX/Linuxなど他OS環境もサポートしたいならJavaという感じですかね。
    いずれも……
  • 資料が十分用意されていて勉強が比較的し易い事
  • ローカルアプリだけでなくWebアプリ開発にも使える(Javaは言うまでもなく、C#はASP.NETとして)事
  • ガベージコレクションなど標準のメモリ管理がシッカリしており、書く側が意識せずに安全なプログラムを構築しやすい環境にある事(※3)
    ……の3点から押したいなぁ……と。

    とは言え、いずれにせよ重要なのは「表面的な事だけ覚えて満足するのではなく、しっかりと書けるレベルまで持っていく事」です。
    1つ軸となるモノ(私の場合はCが正しくソレです)が出来ると、他の言語に触れなければならない時でも、リファレンス等の多少の資料を読むだけで、すぐに書けるようになりますので。
    ---
    (※1)元ネタの方には「無印BASICおよびVBには関数の概念が無いのでお勧めできない」とありますが、今のVB(VBA、VBS)には関数用のステートメント(Function)が用意されています。ちなみにサブルーチン用のステートメント(Sub)とは違う点に注意。またVBSでのクラスはあくまで簡易的なモノで、継承はサポートしていません。
    (※2)今のOSにWebブラウザが無いというのはあまり考えられないので、実質OSがインストールされている環境であれば、最低限の開発環境が整うと考えても良いでしょう。
    (※3)CやC++に比べれば、全然良い環境です(苦笑)。
    ---
    (2007/5/30 17:45頃追記)
    元ネタのコメントにツッコミが入ったので、ココでレス。

    それを言うなら、多分クラスの概念を持つ(つーかOOPにある程度でも対応している)他の言語でも同じだと思いますよ……多分。
    例えばC#ではmain関数もクラスのメンバ関数という扱いになっていますが、何故こうなったのか(こうした方が良いのか)は、ある程度お勉強が進んでいかないと理解できない人が多いのではないかと……。
    (そこまでの段階に至っていない場合「単なるお作法」として「ふーん、そうなんだ」で流してしまうのではないかと……(汗)。)

    今回私が考えたのは「プログラムなんて全くした事が無いし、どんなものなのか分からない人が一念発起しお勉強をしようと思った時、さて沢山あるプログラム言語の中からどれを選んでお勉強を始めようか?」という問いに対して……
  • お勉強を始めるまでの敷居が低く、取っ掛かりやすい
  • ネットにしろ紙の資料にしろ、お勉強するための情報が豊富で、困った時も対処しやすい
  • お仕事でも使えるケースが多い(※4)
  • 何より書いていて楽しい(笑:でも重要)
    ……という観点から「自分ならこれかなぁ……」というモノを挙げているという感じですね。
    ---
    (※4)VBSはWSHとしてならシステムの運用管理の時に結構有用ですし、他の言語については言うまでもなく……ですね。

    • セキュリティキャンプ申し込み開始

    2007-05-30 09:34:10 | セキュリティ(技術者向け)
    セキュリティキャンプ2007 - JIPDEC
    気がついたら参加者募集が開始されていましたよ。
    ---
    (開催日時)
    2007/8/13(月)~8/17(金) 4泊5日

    (会場)
    (財)海外職業訓練協会(OVTA)(千葉市美浜区ひび野1-1)

    (参加資格)
    日本国内に居住する、平成20年3月31日時点において22歳以下の学生・生徒(職業を持っている人は除く)

    詳細は公式サイトにてご確認下さい。

    (募集人数)
    30名(応募者多数の場合は、若干の増員の可能性アリ)

    (応募方法)
    メール or 郵送 or FAX

    詳細は公式サイトにてご確認下さい。

    (応募締め切り)
    2007/7/2(月) 必着

    今年は例年より少し早めに締め切られるのでご注意を!!
    ---
    アチコチの勉強会でキャンプ出身者と話す機会があるんですが、皆さん「良い経験だった」と言っています。

    我こそはと思うU-22組は、是非応募してみましょう!!

    ヤッチマッタヨ…… orz

    2007-05-30 09:10:49 | セキュリティ(技術者向け)
    今朝……つーか、つい先ほどの事。

    上司が「最悪だ……」と言葉を発したので、何かと思いPCの画面を見たところ……

    某所からの某案内メールのあて先(TO)の欄に……

    大量のメールアドレスが…… orz

    これって民間企業なら「個人情報漏洩事件」扱いですよねぇ…… o... rz

    しかもそのメールが送られてきた30分後にお詫びメールが……いやぁ、一度漏れた情報は取り消す事は出来ないんですよ~。
    (一瞬この事をマスコミ辺りにリークしたら、さぞや凄い事になるのかも……と■い考えが浮かびましたとも……いや、やらないけどさ。)

    ま、ニュースサイト辺りで取り上げられない事を祈りますわ。>某所

    個人情報保護を逆手に取った架空請求詐欺にご注意を……

    2007-05-29 16:18:58 | セキュリティ(エンドユーザ向け)
    「あなたの個人情報が漏れている。削除料を支払え」架空請求の新手口 - INTERNET Watch
    国民生活センターによるアナウンスはコチラ

    「個人情報が漏れ、対策が必要なので費用を払え」という架空請求詐欺が最近増えているそうです。

    確かに個人情報保護法には第三十条に開示などの手続きに際して、請求元に対して手数料を求めても良い旨が定められていますが……。
    (無論その額は「実費を勘案して合理的であると認められる範囲内」と第二項で釘を刺しています。)

    ……勿論対策に関しては事業者側がやるべき事であって、被害者側が費用を負担する理由も必要も無い(これは第二十条で「事業者側がやれ」と定められています)ので、当然そんな請求に応じる必要も無いです。

    基本は「無視」、不安に感じたら一人で対処せず、必ず国民生活センターや各地の消費生活センター、または警察に相談しましょう。

    不安に感じている時ほど、冷静に対応できずミスしやすくなりますので、絶対に一人で抱え込まずに相談して下さい!!

    扁桃腺辛ひ……

    2007-05-29 15:00:51 | 雑記
    実はここ1ヶ月弱、扁桃腺の炎症による発熱で苦しんでおります(涙)。
    しかも微妙な熱の出具合(大体37度前後)という感じで下手に動けるもんだから……

    働く・遊ぶ
    →体力を消耗する
    →しかもあまり眠れない
    →余計に体力を消耗する
    →益々体調を崩す

    ……という悪循環に。

    抗生剤も解熱鎮痛剤も効きやしない(身体がもう慣れてしまっている(※1))からなぁ……。
    本当なら1週間位ぶっ通しで寝たいくらいなんですが……。
    ---
    (※1)特に解熱鎮痛剤は、腰痛(ヘルニア)のため日常的にかなり強めの薬を飲み続けているため、身体が慣れてしまっているのです。あまり飲み続けると胃に穴が開く(胃潰瘍になる)ので、今は1日1回(昔は1日3回)しか飲んでいませんが……。

    世の中狭いw

    2007-05-28 12:10:07 | 雑記
    某社の営業さんから話を伺う機会があり……お見送りしている時の事。
    --- 以下 会話概要(イメージ) ---

    私「実は『中の人』に知人がおりまして……」

    営業さん「それって……Iさんですか?」

    私「ええ、当たりです(苦笑)」

    営業さん「(苦笑)」

    --- 会話概要(イメージ) ここまで ---

    ……世の中狭いですねw
    そして今頃はIさんの耳に自分が某製品について問い合わせした事が届いている事でしょう(笑)。

    クリックする人はクリックする orz

    2007-05-21 17:25:28 | セキュリティ(技術者向け)
    「ウイルスに感染しませんか」広告に多数のクリック - ITMedia
    この研究を行ったDidier Stevens氏のブログ上の報告レポートはココ

    ……まぁ、読めば分かりますが、アヤシイWeb広告だろうが何だろうが、クリックする人はクリックする……と。orz

    とは言え、思ったよりもクリックしていないなぁ(クリックした率は0.16%)というのが正直な感想。
    色々理由は考えられるんでしょうが……
  • 広告は良く読むとあからさまに不審なモノである
  • 特定のキーワードを入力した場合のみ表示される
  • Web上の広告を積極的にクリックする人は、実は少ない?
    ……などの理由が考えられますが……ハテサテ。

    • 「仕事」の意味にもよりけりですが……

    2007-05-21 15:46:31 | セキュリティ(技術者向け)
    ISMSで考える運用管理のヒント: 第1回 ISMSで仕事をラクにしよう! - @IT
    まっちゃさんの処経由
    付属書Aなんて、入れた人しか理解できないし、ISMS入れても仕事は楽にならないですよね。
    「仕事」の持つ意味(つーかイメージ)にもよりけりのような気がしますが、事、シス管の「日常的な作業」という意味であれば、楽にはならないかなぁ……(寧ろポリシーによって自由度が締め付けられる場合があるので、辛いと思われてしまうケースもあるかと……)。

    まぁ、付属書Aが汎用的過ぎて分かりにくいってのもある(そもそも似たような項目があり(※1)「これは何を指してるの?」というケース)のは否定しませんけれど。
    (実際、審査員補になるための研修を受けて初めて分かった部分も多かったので。)

    個人的には、上の人への説明用のツールとして「この部分が該当して、この対策はココにかかる。で、一通り対策しているからOK」というような感じで使うのがベターではないかと……。>付属書Aの使い方の1つ
    (尤も……その前にISO27001/2に関する専門教育を1回はシッカリと受けておく必要があるという問題点は残る訳ですが。orz)
    一度ISMSについて、勉強会でやるかなぁ・・・
    やるなら、(一応)審査員補なんでちょっとした事程度なら話せますが……入用ですか?
    ---
    (※1)実は保護対象となる領域が全然違うので、似たような文章だけれど項目を分けているという項目がそれなりにあります。多分我流でISMSを勉強した人はそこで躓くかも……。

    地獄絵図を見たw>絆

    2007-05-21 00:44:03 | Game
    日曜見た出来事。

    某連邦側大将と、某ジオン側中将(連邦は大佐)が、それぞれ連邦側でサブカードを作成……当然等兵クラス(特に名は秘すww)。

    2人がマッチングして、4vs4(但し両軍共2機はバンナム)戦開始。

    1戦目……相手はAllバンナム戦だと思ったのか、拠点落とし編成に。
    中将の方が格闘機でタンクをQDCハメ殺しを4回程(ヲ、大将の方は別の中身入りを何度も落とし、GMで900点Over(マテ)。
    (通常は良くて2・300点……相当調子良くても600点程度……1戦で900点って初めて見ましたよ。)
    結果……圧勝直前で時間切れ……あ、悪魔だ、悪魔が2人いる(苦笑)。

    2戦目……流石に圧勝とまではいかないものの、中身入りだけを落としまくる2人……当然勝利……あまりの殺戮ゲームに、思わず相手に対して合掌(ヲ。

    ……だから階級は当てにならないんですよ、今の絆は(苦笑)。

    申し込み完了っ>まっちゃ139勉強会#11

    2007-05-17 11:57:08 | セキュリティ(技術者向け)
    第11回まっちゃ139勉強会(管理者系) - まっちゃだいふくの日記★とれんどふりーく★
    本当はHiki側の方を持ってくるべきなんでしょうが、申し込み方法が載っていないので、まっちゃさんの処の方の案内をば……。

    という事で、早速申し込み→受理されたようです。
    (お忙しい中有難うございます。m(_ _)m >まっちゃさん)

    今回は……所用があるので懇親会は1次会までです……その日の夜行バスで東京まで戻らないといけないので。
    (そして東京に帰って早々、予定がある……と。orz)

    とは言え流石に弾丸ツアーw は辛いので、前日(6/22(木))にお休みを頂いて、前々日の夜行バスで京都入り→適当に遊んでから宿泊→目覚まし勉強会から参加……という形になると思います。


    ……安い宿って無いですかね?、例えばカプセルホテルとか……。
    (前回参加時にネットで調べたんですが、東京と違ってあまりカプセルホテルって無いんですね。>京都)

    怖っ!!

    2007-05-16 13:41:33 | セキュリティ(技術者向け)
    Webアプリ脆弱性調査ツールの検証を行うため、現在検証環境を構築中。
    やられWebアプリとして、某Iさんw の言葉を思い出し、市販されているLAPP(※1)に関する参考書のサンプルアプリを使ってみる事に。

    紆余曲折ありつつも、ボチボチソースを修正しつつ、何とか動かす事に成功。

    物は試しと、手でXSS、ディレクトリトラバーサルに関する検証を試してみた。


    ……結果、見事成功。orz
    私のつたない検証でも、容易に成功してしまいましたヨ。o... rz

    確かにPHPは結構カンタンに色々できるけど、それが怖いよなぁ……と今更ながら実感(※2)。
    ---
    (※1)Linux + Apache + PostgreSQL + PHPの事。PostgreSQLの代わりにMySQLを使うとLAMPになります。
    (※2)実はPHPはつい最近まで触った事が無かったり(汗)。とある事情により、急遽VBScriptで書かれたWebアプリをLinux環境下に移植するため、PHPに手を染めたというのが本当のところ。

    読んでふと思った事

    2007-05-16 13:22:30 | 雑記
    ウェブアプリケーションセキュリティとバッドノウハウ、そしてグッドラッパーの関係 - JUMPERZ.NET
    金床さんの最新作……なかなか面白いです。

    ……読んでみてふと考えてみた……「ウェブアプリケーション開発者」「グッドラッパー提供者」「セキュリティ研究者」三者の関係って……実はエンドユーザ向けセキュリティ教育の現場でも応用が効くのではないか(笑)?

  • ウェブアプリケーション開発者 → エンドユーザ
  • セキュリティ研究者 → (そのまま)
    (ついでに「ウェブアプリケーション開発者」と「セキュリティ研究者」との間に交流が少ないという部分も、そのまま当てはまるようなw)

    で、エンドユーザ教育の現場において「グッドラッパー提供者」に相当する役割を持つ人が圧倒的に不足している……よなぁ……と。
    (つか、どんな人が該当するのかなぁ……という処で思案中だったり(苦笑)。)

    • Microsoft Update/Windows Updateがやけに遅すぎるというアナタへ

    2007-05-15 09:22:42 | セキュリティ(エンドユーザ向け)
    Microsoft Updateが終了しない問題、PCが応答しなくなる場合も - ITPro
    ようやくITProにも出てくる話題になったので、ココでも書いておきます。
    ---
    (現象)
    MS-Office2003がインストールされている環境で、Microsoft Update/Windows Updateを手動 or 自動実行しようとすると、次のような症状に見舞われる場合があります。
  • エラー コード 0x8DDD0009 が表示され、Microsoft Update/Windows Updateが失敗する
  • パソコンのCPU負荷が高くなり(CPU使用率が100%に達する)、長時間 Microsoft Update/Windows Updateが終わらない

    (対処方法)
    次のパッチをMSのWebサイトからそれぞれダウンロードし、実行します(再起動が発生するので、必ず開いていたファイル等は保存して閉じておく事!!)。
  • Windows Update Agent 3.0(KB937383)
  • 修正プログラム 927891(KB927891)

    (補足)
    Windows 2000は後者(KB927891)はサポートライフサイクルの関係で提供されていません。前者(WUA3.0)だけインストールします。

    --- (以下 技術者などシステムに詳しい人限定) ---
    スレッド: WSUS配下でCPU使用率100% - eXperts Connection
    上記のリンク先に、対Windows 2000向けの対策が載っています……が、システムに関係するファイルをいじる(レジストリとか)事になるので、あくまで自己責任でお願いいたします(一応MSKK サポートからの回答らしいですが……)。

    • お疲れ様でした>Admintech.JP #3

    2007-05-14 10:48:22 | 雑記
    と言う事で、土曜日に行ってきましたですよ。>Admintech.JP #3

    今回は■いひとたちw は少なく(※1)、知らない顔の人達が多かったですね。

    個人的にはOpsMgr2007がプライベートで欲しいような(マテ)。
    (あくまで検証用としてですよ~。何より某H社のJなんたらw(※2)に比べたら格段に安いですし。)

    懇親会は1次会でリタイア(翌日は神田祭を撮影しにいく事もあって、少しでも体調を整えておきたかったので)。
    気がつくと何気に■いひとたちw の集団と、そうでない集団に分かれていたり(笑)。
    (ええ、自分は当然■いひとたちw の集団に混じっていましたですヨ(ヲ)
    ---
    (※1)丁度同じ日に「ばりかた勉強会」が開催されていた事もあり、そちらに流れていたのでは? 更に某hさんによると「温泉 拉致w」というキーワードも聞いていますし。
    (※2)仕事ではVer.5とVer.6の頃に触っていた(つーか設定して使っていた)経験アリ。