半年に1度、上の人達へ説明しにいくというタスクが発生するので、それをしてきたと。
基本的には進め方の部分で要見直しという事で……いずれにせよ、明日から考えるという事で(苦笑)。
(今日はもう考えたくないわ……全精力コレに突っ込んで、半分抜け殻状態なのでw)
基本的には進め方の部分で要見直しという事で……いずれにせよ、明日から考えるという事で(苦笑)。
(今日はもう考えたくないわ……全精力コレに突っ込んで、半分抜け殻状態なのでw)
土曜(9/8)に「Admintech.jp」と「こみゅぷらす」との共同開催による「Tech Ed 参加報告会」が開催されたので行ってきました。
個人的には「かなり慌しく詰め込み過ぎの感じ」というのが率直な感想。あと参加者がTech Edに参加している人が多かった事もあるのだが、参加していない人を置いてけぼりにするような話の進め方に少し気になったような……。
(ちなみに私はTech Edには行ってませんし行けません……参加費が個人で行くには高すぎるし、職場で行くにしても費用捻出のため上を説得するのが難しいので(正直Blackhat Japanの方がまだ説得しやすい)。)
まぁ、色々書きたい事はあるのだが、キリが無いのでこの辺でBleak。
---
懇親会はいつもの場所……今回は貸切じゃなかったです(参加者が少なかったため)。
何故か話は「ネコ」の話になり、「職場に1匹、いや2匹は欲しい」という、なかなかアレな話に。
あと「KBの機械翻訳は『ルー語』ww」という話題になったり(ヲ
(いや、納得しちゃう自分も自分ですが。orz)
個人的には「かなり慌しく詰め込み過ぎの感じ」というのが率直な感想。あと参加者がTech Edに参加している人が多かった事もあるのだが、参加していない人を置いてけぼりにするような話の進め方に少し気になったような……。
(ちなみに私はTech Edには行ってませんし行けません……参加費が個人で行くには高すぎるし、職場で行くにしても費用捻出のため上を説得するのが難しいので(正直Blackhat Japanの方がまだ説得しやすい)。)
まぁ、色々書きたい事はあるのだが、キリが無いのでこの辺でBleak。
---
懇親会はいつもの場所……今回は貸切じゃなかったです(参加者が少なかったため)。
何故か話は「ネコ」の話になり、「職場に1匹、いや2匹は欲しい」という、なかなかアレな話に。
あと「KBの機械翻訳は『ルー語』ww」という話題になったり(ヲ
(いや、納得しちゃう自分も自分ですが。orz)
権利者団体が標的? トレンドマイクロが新種ウイルスを注意喚起
- Internet Watch
ターゲット(標的)形の不正攻撃(Targeted Attack)を目的とした、ウイルスドロッパー(※1)が出回っているとの事。
このようなモノは開かずに削除してしまうのが一番大事な事……というのは耳タコですか?
(参考)
コンピュータウイルス・不正アクセスの届出状況[8月分]について - IPA
この月の標語は「何かなぁ? 開いた時には、もう遅い」。
---
不正流通ゲームから感染する「谷口ウイルス」、トレンドマイクロが警告 - Internet Watch
いわゆる割図物(Warez)(※2)にウイルスなどを仕込むのは昔からある手口(※3)ですが……未だに引っかかる人がいるってのは何とも(苦笑)。
ゲームに限らず、出所がアヤシイモノは開いてはいけないのは基本中の基本です。
---
一太郎、Lhaz、ラグナロクなど8月は標的型攻撃が頻発~トレンドマイクロ - Internet Watch
先月はLhazのセキュリティホールや、一太郎のセキュリティホールなど、アプリケーションのセキュリティホールを突く攻撃が多かった……しかも対策(修正プログラムのリリースなど)が出る前に攻撃が行われる「ゼロデイ攻撃(Zero-Day Attack)」が多かったとの事。
つい忘れがち、後回しにしがちですが、インストールしているアプリケーションについても、定期的に公式サイトを確認するなど、対策を忘れずに行う事が重要って事で。
---
不正コード仕掛けたサイトへの誘導スパムがさらに増加、マカフィー調査 - Internet Watch
最近はウイルスなどの不審なプログラムを直接メールに添付するのではなく、メール本文中のハイパーリンク先に仕込み、クリックすると感染させる手口が増えているとの事。
添付ファイルだけでなく、メール本文中のリンクも基本的にはクリックしないようにしましょう。
---
「セキュリティソフトの体験版をどうぞ」、トレンドをかたる偽メール - ITPro
最後に、アンチウイルスベンダ(今回はトレンドマイクロ社)を騙るメールが流れているとの事。「スパイウェア対策ソフトの無料体験版があるのでダウンロードして下さい」との内容で、リンクをクリックするとウイルスに感染するとの事。
最近は有名なWebサイトに似せた「偽のページ」を用意して引っ掛ける手口が流行っています。一番確実なのは、既にあるブックマークからアクセスする事。やはりメール本文中のリンクをクリックするのは危険という事で。
(参考)
「偽Googleサイトにご用心」――トレンドマイクロが警告 - ITPro
これは「Google」を騙ったケース。
「VVindows Update」サイト出現、攻撃者が準備? - ITPro
今度は「vvindovvs.com」--「vv」を使ったドメイン名が相次ぐ - ITPro
「VVestern Union」?「vv」を「w」に見せかけるフィッシング出現 - ITPro
「v」の字を2つ並べて「W」に見せかけるという手口。さながら「イ為(偽)」とか「火暴(爆)」とかの英語版というべきか。
---
(※1)実行されると別の種類のウイルスをダウンロードして感染させようとする機能の事、またはそのような機能を持つウイルスなどの不正なプログラムの通称。
(※2)大学時代、この手口で広まってしまったウイルス(Yankee Doodle)に感染させられてしまった事が、この世界に入り込んだ原因の1つだったり(苦笑)……あ、自分は完全に被害者の方です。
- Internet Watch
ターゲット(標的)形の不正攻撃(Targeted Attack)を目的とした、ウイルスドロッパー(※1)が出回っているとの事。
このようなモノは開かずに削除してしまうのが一番大事な事……というのは耳タコですか?
(参考)
コンピュータウイルス・不正アクセスの届出状況[8月分]について - IPA
この月の標語は「何かなぁ? 開いた時には、もう遅い」。
---
不正流通ゲームから感染する「谷口ウイルス」、トレンドマイクロが警告 - Internet Watch
いわゆる割図物(Warez)(※2)にウイルスなどを仕込むのは昔からある手口(※3)ですが……未だに引っかかる人がいるってのは何とも(苦笑)。
ゲームに限らず、出所がアヤシイモノは開いてはいけないのは基本中の基本です。
---
一太郎、Lhaz、ラグナロクなど8月は標的型攻撃が頻発~トレンドマイクロ - Internet Watch
先月はLhazのセキュリティホールや、一太郎のセキュリティホールなど、アプリケーションのセキュリティホールを突く攻撃が多かった……しかも対策(修正プログラムのリリースなど)が出る前に攻撃が行われる「ゼロデイ攻撃(Zero-Day Attack)」が多かったとの事。
つい忘れがち、後回しにしがちですが、インストールしているアプリケーションについても、定期的に公式サイトを確認するなど、対策を忘れずに行う事が重要って事で。
---
不正コード仕掛けたサイトへの誘導スパムがさらに増加、マカフィー調査 - Internet Watch
最近はウイルスなどの不審なプログラムを直接メールに添付するのではなく、メール本文中のハイパーリンク先に仕込み、クリックすると感染させる手口が増えているとの事。
添付ファイルだけでなく、メール本文中のリンクも基本的にはクリックしないようにしましょう。
---
「セキュリティソフトの体験版をどうぞ」、トレンドをかたる偽メール - ITPro
最後に、アンチウイルスベンダ(今回はトレンドマイクロ社)を騙るメールが流れているとの事。「スパイウェア対策ソフトの無料体験版があるのでダウンロードして下さい」との内容で、リンクをクリックするとウイルスに感染するとの事。
最近は有名なWebサイトに似せた「偽のページ」を用意して引っ掛ける手口が流行っています。一番確実なのは、既にあるブックマークからアクセスする事。やはりメール本文中のリンクをクリックするのは危険という事で。
(参考)
「偽Googleサイトにご用心」――トレンドマイクロが警告 - ITPro
これは「Google」を騙ったケース。
「VVindows Update」サイト出現、攻撃者が準備? - ITPro
今度は「vvindovvs.com」--「vv」を使ったドメイン名が相次ぐ - ITPro
「VVestern Union」?「vv」を「w」に見せかけるフィッシング出現 - ITPro
「v」の字を2つ並べて「W」に見せかけるという手口。さながら「イ為(偽)」とか「火暴(爆)」とかの英語版というべきか。
---
(※1)実行されると別の種類のウイルスをダウンロードして感染させようとする機能の事、またはそのような機能を持つウイルスなどの不正なプログラムの通称。
(※2)大学時代、この手口で広まってしまったウイルス(Yankee Doodle)に感染させられてしまった事が、この世界に入り込んだ原因の1つだったり(苦笑)……あ、自分は完全に被害者の方です。
マイクロソフト セキュリティ情報の事前通知 - 2007 年 9 月 - Microsoft
……何故かニュースレターが届いていないんですが……自分が使っているメールサーバ側の問題かなぁ……。
あ、今月は来週9/12(水)が「月刊MSの日」になります。
今月は計5本(緊急1本、重要4本)ですが、「影響を受けるソフトウェア」をよーく見ると、直接関係するのは内1本(セキュリティ情報 4)だけっぽいですね。
(後の4本は、Windows 2000限定、サーバOS、開発ツール(Visual Studio)にPOSIX関係(Service for UNIX)と……どれもエンドユーザにはあまり関係が無さそうなモノばかりです。)
---
(2007/9/10 9:05頃追記)
サーバ向けのセキュリティ修正プログラム(セキュリティ情報 5と書かれていたモノ)について、品質上の問題が発見されたとの事で、今回の月刊MSの日のリリースを見送るとの事です。
尤もサーバ向けなので、エンドユーザにはあまり影響は無いのでしょうが……。
……何故かニュースレターが届いていないんですが……自分が使っているメールサーバ側の問題かなぁ……。
あ、今月は来週9/12(水)が「月刊MSの日」になります。
今月は計5本(緊急1本、重要4本)ですが、「影響を受けるソフトウェア」をよーく見ると、直接関係するのは内1本(セキュリティ情報 4)だけっぽいですね。
(後の4本は、Windows 2000限定、サーバOS、開発ツール(Visual Studio)にPOSIX関係(Service for UNIX)と……どれもエンドユーザにはあまり関係が無さそうなモノばかりです。)
---
(2007/9/10 9:05頃追記)
サーバ向けのセキュリティ修正プログラム(セキュリティ情報 5と書かれていたモノ)について、品質上の問題が発見されたとの事で、今回の月刊MSの日のリリースを見送るとの事です。
尤もサーバ向けなので、エンドユーザにはあまり影響は無いのでしょうが……。
言語の入門書とセキュリティ - ikepyonのお気楽な日々~技術ネタ風味~
うーん、自分は入門書と言うより「中級者向け」の本や資料が乏しい事に原因があるのではないかと思っています。
あ、ここで言う中級者とは……
言語の仕様や文法を一通り学習し終えた段階で、これから本格的にソフトウェア開発を行い始める(もしくは始めたばかり)段階にある技術者
……と定義しておきます。
だらだら書くのも疲れるので、考えを列挙してみると……
言語の学習の流れは(個々人によって進捗の差はあっても)言語仕様・構文の学習から始まり、習熟が進むにつれてアルゴリズムやテクニックなど、より実践的な内容にシフトしていく
セキュリティホールの多くは、アルゴリズムやテクニックの「詰めの甘さ」に原因があり、結果「セキュリティ的に影響度が高い」バグとして具現化するケースが多いのでは?
更にセキュリティホールが発生してしまう原因を突き詰めて考えると、「コピペ問題」に代表されるようにアルゴリズムやテクニックを理解するための下地となる「知識」を十分理解せぬまま、世に出回っているアルゴリズムやテクニックを使ってしまっている(コーディングしてしまっている)事に原因があるのではないか?
この状態を解決するためには、アルゴリズムやテクニックの「真意」や「効果や弊害」を理解するための「知識」と「思考方法」~中級者が上級者へステップアップするために必要な「エッセンス」的なモノ~を習得する必要があるのではないか?
書店で並べられている書籍の多くは「入門書」か「上級者向けのより実践的な内容の書籍」で、中級者にとって必要な「知識」と「思考方法」を取り扱った書籍は少ない
故に、入門書の中でセキュリティに関する内容を取り扱うより、中級者向け書籍として「セキュリティホール」に立ち向かうための概論書(出来れば言語に依存しない、依存する割合が低い方がベター)の中で取り扱った方が良いのでは?
……うーん、正直まとまってないなぁ(苦笑)。
散々考えてこの程度しか書けない自分に絶望してしまいますヨ。orz
もちろん初級者の段階で叩き込むのが理想なんですが、「書き方のいろは」も十分学べていない段階で教えても、十分理解できない可能性の方が高いよなぁ……。
---
(2007/9/7 17:40頃追記)
ikepyonさんからコメントを貰ったので、再度思考……アルゴリズムの方を先に理解させたいという事……だと、コレにセキュリティというテーマを組み込んで教える……というイメージなのかなぁ……。
個人的に「アンプラグドコンピュータサイエンス」は非常に興味をそそられる話なので、是非読みたいのだが……如何せん軍資金が(ヲ
うーん、自分は入門書と言うより「中級者向け」の本や資料が乏しい事に原因があるのではないかと思っています。
あ、ここで言う中級者とは……
言語の仕様や文法を一通り学習し終えた段階で、これから本格的にソフトウェア開発を行い始める(もしくは始めたばかり)段階にある技術者
……と定義しておきます。
だらだら書くのも疲れるので、考えを列挙してみると……
……うーん、正直まとまってないなぁ(苦笑)。
散々考えてこの程度しか書けない自分に絶望してしまいますヨ。orz
もちろん初級者の段階で叩き込むのが理想なんですが、「書き方のいろは」も十分学べていない段階で教えても、十分理解できない可能性の方が高いよなぁ……。
---
(2007/9/7 17:40頃追記)
ikepyonさんからコメントを貰ったので、再度思考……アルゴリズムの方を先に理解させたいという事……だと、コレにセキュリティというテーマを組み込んで教える……というイメージなのかなぁ……。
個人的に「アンプラグドコンピュータサイエンス」は非常に興味をそそられる話なので、是非読みたいのだが……如何せん軍資金が(ヲ
SKUF Meeting 開催案内:第5回SKUF Meeting - SKUF
中の人w経由。
前回開催(2006/11/3)から大分過ぎてしまいましたが、ようやくSKUF Meeting#05が開催されるとの事。
---
(開催日時)
2007/9/29(土) 13:30~16:45(受付:13:00~)
(会場)
新橋区民会館
[注意!!]
紛らわしいですが、最寄り駅は「恵比寿駅」です!!
(参加費)
2,000円(20歳以下、学生は無料)
(テーマ)
Webアプリケーションセキュリティ
講師(※1)は「徳丸 浩」先生と「佐名木 智貴」先生の2名。
後の詳細や参加方法などについては、公式ページをご覧下さい。
---
何はともあれお疲れ様です。>中の人の皆様
何と言うか……講師が豪華すぎる(笑)。勿論自分は早速参加申し込みしてしまいましたヨ。
---
(※1)便宜上そう呼んでいますが、実際には参加者の皆様全員が講師ですね。何より聞いているだけじゃ勿体無い(笑)。
中の人w経由。
前回開催(2006/11/3)から大分過ぎてしまいましたが、ようやくSKUF Meeting#05が開催されるとの事。
---
(開催日時)
2007/9/29(土) 13:30~16:45(受付:13:00~)
(会場)
新橋区民会館
[注意!!]
紛らわしいですが、最寄り駅は「恵比寿駅」です!!
(参加費)
2,000円(20歳以下、学生は無料)
(テーマ)
Webアプリケーションセキュリティ
講師(※1)は「徳丸 浩」先生と「佐名木 智貴」先生の2名。
後の詳細や参加方法などについては、公式ページをご覧下さい。
---
何はともあれお疲れ様です。>中の人の皆様
何と言うか……講師が豪華すぎる(笑)。勿論自分は早速参加申し込みしてしまいましたヨ。
---
(※1)便宜上そう呼んでいますが、実際には参加者の皆様全員が講師ですね。何より聞いているだけじゃ勿体無い(笑)。