日本人の特性なのかも＞なぜ日本のセキュリティは常に全力投球なんだろう

なぜ日本のセキュリティは常に全力投球なんだろう - ブログ: 岡崎 - Okazaki's blog
まっちゃさんの処経由。

んー、個人的な考えですが、日本人ってのはどうもセキュリティ(つーかリスクマネジメント)の暗黙的了解である……

0(だめだめ)と1(完璧)以外にも、その間の状態が存在している

いくら対策しても1になる事はなく、また限りなく1に近づけようとすると、えらい負担(お金・時間・人・モノ...etc...)が発生する

なのである程度のところで妥協する必要があり、妥協できるラインは自らが決める
……という事を理解し辛い民族であり、そういう文化にあるのではないのかなぁ……と。

そういう文化ってのは「限りなく1に近づける事を美徳とする」という事……変な処で妙に凝ると言うか……。
(ある意味「オタク」的な素養を持つと言うか……決して悪い事だけじゃなく、例えば「Maid in JapanMade in Japan」が高品質なモノというイメージを獲得できたのも、コレに由来するのかもしれませんが……。)

結局そういった事が「どこまでセキュリティ対策したら良いか分からない」という声や、極端な話「いくら対策してもダメなケースがあるなら、何もしない方がマシ（ノーガード戦法）」に繋がっているのではないのかなぁ……というのが自分の考え。

……勿論、そんな状態じゃマズいんでしょうが……。
---
(2007/10/31 修正)
ゴメン、素で間違えた。orz ＞ikepyonさん
Maid → Madeって事で。

きょうのだめだめ o... rz

折角申し込んでいたIPAフォーラム2007の開催日(今日10/30)を明後日(11/1)と勘違いしていた事。o... rz

いーもんいーもん、色々やらなくちゃいけない事あったし。
……
……
……
＆＜しくしくわーん

一度時間を作って見に行かねば＞インターネット物理モデル

Security&Trustウォッチ（49）セキュリティ社会科見学：インターネット物理モデルでセキュリティを考えた - @IT

上野先生の@IT連載記事の最新版、東京・お台場にある日本科学未来館(Miraikan)に設置されているインターネット物理モデルの取材記事です。

「甘味」で締めている点が上野先生らしい(※1)というのはさておき、確かにこうやって「見える化」すると、色々な人とも話題にしやすく議論もしやすいでしょうね。

一度時間を作って見に行かねば。＞インターネット物理モデル
---
(※1)Blogの記事も甘味ネタが多い……つーか見ているだけでお腹が空くのは何とも(笑)。

Adobe ReaderはVer.8.1.1に上げましょう

(1)「PDFファイルを開くだけでプログラム実行」脆弱性の実証コード出現 - ITPro
(2)Adobe ReaderとAcrobatの修正パッチ公開、危険な脆弱性を解消 - ITPro
(3)PDFを開くだけでマルウエアに感染，セキュリティ機関が警告 - ITPro
(4)やはり出てきた、例のアドビの脆弱性を突く「PDFウイルス」 - ITPro

書くのを忘れてしまいましたが、実は一昨日(10/23)にAdobe Readerの最新版「Ver 8.1.1」がリリースされました(2)。
今回のバージョンアップは、主にセキュリティホールの修正という事で、PDFファイルを開くと任意のプログラムを実行できてしまうセキュリティホール(1)に対応したものとなります。

で、リリース翌日にはこのセキュリティホールを悪用した「PDFウイルス」が登場した……と(3・4)。

Adobe Reader 8をインストール済みの方でしたら「Adobe Updater」で簡単にアップデートできてしまいますので、サクっと実行してしまいましょう。

Adobe Updaterの起動方法は……

1. Adobe Readerを起動する
   
2. メニューバーより「ヘルプ(H)」→「アップデートの有無をチェック(U)...」をクリック
   
3. 後は画面の指示に従って操作する

……です。
---
(2007/10/29 15:15頃 追記)
「Adobe Reader 8.1」などの脆弱性を突くトロイの木馬が日本上陸 - Internet Watch

既にこのセキュリティホールを突くPDFファイル(トロイの木馬)が添付された不審なメールが既に日本に上陸し、感染報告も出ているとの事。

まだアップデートしていない方は、早急にアップデートしましょう!!

一太郎のセキュリティ更新モジュールがリリース

「一太郎シリーズ」に3件の脆弱性、更新モジュール配布開始 - Internet Watch

Justsystemsからの案内と更新モジュールのダウンロードはココからどうぞ。

昨日10/25、一太郎に3件のセキュリティホールが見つかり、更新モジュールがリリースされました(※1)(※2)。
(3件のセキュリティホールはコレとコレとコレの事、全てJVNへ飛びます。)

一太郎をお使いの方は、サックリ適用してしまいましょう。
---
(※1)ただしサポートが終了(EoS:End Of Support)した「一太郎11～13」と「一太郎2004」は更新モジュールは適用されていません。この場合は最新バージョンに有償更新する必要があります。
(※2)また「一太郎ビューア」もセキュリティホールの対象となっていますが、こちらは最新の一太郎ビューアをインストールする形になります。

オトメディウスをプレイしてみた

野暮用で秋葉原に行き、その際HEY(Hirose Entertainment Yard)にてオトメディウスをプレイ(地元のゲーセンに入るのは、もう少し先だったりします)。

キャラクターデザインは「ケロロ軍曹」でお馴染みの「吉崎 観音」氏という事で、結構……いや、かなり可愛らしいキャラクター達なんですが、ゲーム性は紛れもなく「グラディウス」シリーズの直系である事を痛感。

グラディウスシリーズ(沙羅曼蛇含む)や、パロディ作品である「パロディウス」シリーズ、更にはXEXEX(ゼクセクス)まで元ネタにしており、これらをプレイした人なら思わずニヤリとしてしまうはず。

地元に入荷したら、暫くは腰を据えてジックリと楽しんでみたいかも。

ゆうちょ銀行を装う詐欺メールが流れているとの事

ゆうちょ銀行装う「ゆうちょう」名義の詐欺メール、日本郵政が注意喚起 - Internet Watch

JP日本郵政グループからのプレスリリース(PDF)はココ。

先日完全民営化したばかりのゆうちょ銀行を装った「ゆうちょう」名義の詐欺メールが出回っているとの事。
上記記事に掲載されている詐欺サイトの画面を見る限りでは、どうやらケータイメールを狙った犯行と思われます。

もちろんこのようなメールをゆうちょ銀行側が送る訳はありませんので、即ゴミ箱へポイっと、そしてゴミ箱を空にしてしまうのが安全かつ確実ですね。

相変わらず体調悪い……

どうにも疲れが抜けないっつーか、微熱が続くっつーか……。

まぁアレルギーも絡んでいる(※1)ので、一概に風邪だとは言い切れないのが辛い。

アチコチを見ていると、どうも最近「風邪引いた」という人が多いような……やっぱり「季節の変わり目」だからですかね？

何はともあれお大事に～。＞風邪引き組の皆様
---
(※1)ハウスダストは年がら年中なので除外して、この時期だとヨモギの花粉とか……。

Firefox 2.0.0.8 出ました

Firefox 2.0.0.8 リリースノート - Mozilla Japan

セキュリティ修正に関する情報はまだ和訳されていないようですが、計8件のセキュリティホール修正が行われています。

またMacOS X版は10/26に発売予定のLeopard(10.5)に対応したとの事です(※1)。
---
(※1)一部メディアプラグインが正常に動作しない事が確認されています(既知の問題に掲載済み)。

お疲れモード

とりあえず生きてます(マテ)。

本業の方で、色々と考えたりしているせいか、結構お疲れモードに入っています。

……さっさと寝ます、ハイ。

まぁ週末(土曜)のAdmintech.jpまでにはお疲れモードから脱出したいですね。

月刊MS 2007/10号

2007 年 10 月のセキュリティ情報 - Microsoft

予告通り今日10/10は月刊MSの日です。
予告では7本リリースとありましたが、1本(OSに関するモノ)は「品質の問題」という事でキャンセル、計6本＋悪意あるソフトウェアの削除ツールとなっています。

IEの累積修正プログラムや、OE(Windowsメール)の修正プログラムなど、普段よく使うソフトの修正プログラムがリリースされていますので、忘れずにMicrosoft Update/Windows Updateしてしまいましょう。

月刊MS 2007/10号の予告

マイクロソフト セキュリティ情報の事前通知 - 2007 年 10 月 - Microsoft
今月は今週水曜10/11が月刊MSの日になります。

今月は緊急4本、重要3本とやや多め。内訳はOSが3本、OE(VistaではWindowsメール)が1本、IEが1本、Office(Word)が1本、サーバ製品(SharePoint Service)が1本……最後の1本はサーバ製品なので皆様にはあまり関係無いでしょうが、それでも6本が対象になります、やはり多いですね。

10/11は忘れずにMicrosoft Update/Windows Updateをしましょう!!

確かそんなメッセージが出たなぁ＞IE7誤配信

IE7日本語版を自動更新で誤配布、マイクロソフトが操作ミスで - Internet Watch
自動更新機能によるIE7誤配信、マイクロソフトがユーザーにお詫び - Internet Watch

MSのお詫び文はココ。

確かにその日(10/5 2:00頃)にいきなり自動更新の準備が整ったというメッセージが出たので、確認してみたらIE7が……というのに遭いました。
尤もIE7は未だインストールする必要が無い(自動配信が予定されている2008年以降に切り替える予定)との判断から、キャンセルしてしまいましたが。

原因は「なんらかの操作ミス」……いわゆる「ヒヤリハット」がヒヤリハットを超えてインシデントになってしまったという事なんですかね？

o... rz

目指せ！ ネット時代の幸せな管理者（3） 公開Webサーバのセキュリティは大丈夫ですか？ - @IT
たりき先生の処経由。

えー、基本的セキュリティが「Webサーバのバナー隠し」なんですか……。orz
何か優先順位が逆のような……。o... rz

そりゃバージョン隠しすれば脆弱性調査ツールの報告件数は減るわなぁ(苦笑)。
でも所詮「見せかけ」で、根本がだめだめならそんなサーバは遅かれ早かれ攻略されてしまうのがオチなのでは？

まずは「修正プログラムの適用(初期・運用共に)」と「アクセス制御(FW・OS・Webサービス)」、次の周辺の対策(IDSとかWAFとか暗号とか)、最後にお呪いとして細々とした対策(バナー隠しもその1つ)なのでは？

久々に見るだめだめな記事ですよ。o...... rz

やはり体感する事に勝るモノはない＞IE画像処理の脆弱性

脆弱性検証用画像を作成 - Kanasansoft Web Lab.
セキュmemo経由。

イメージファイトの話と関連しますが、IEの画像処理に対する脆弱性の検証用画像ができたとの事。早速ローカル環境で挙動を試す。

Firefox 2.0.0.7 ... 警告メッセージが記された画像(BMP)が表示されるだけ
IE6 ... 壊れた画像(バイナリ)が表示された後、「Phishing」の文字が画面に表示される(ポップアップ等はセキュリティ設定によって警告が表示され、実際には表示されない)

うん、確かに想定された挙動通りの動きを見せる。

やはりこうやって体感する事で、その怖さというモノを「理解」できるのだなぁ……と痛感。
画像を自由に投稿できるWebアプリの管理者や開発者は、是非1度、検証用環境にて体験して欲しいです。