技術者向けネタ まとめて

“big business”化するスパム、ボットの役割分担は「アルカーイダ並」 - Internet Watch
ボットはWeb経由で感染する傾向に、Telecom-ISAC JAPAN有村氏 - Internet Watch
一昨日・昨日と開催された「Email Security Conference 2007」の講演。今やspamメール関連は「金になる」ビジネスですからねぇ……そりゃなかなか無くならないわ。

特に「ソーシャルクラック手法」のウイルスメールは怖いですよ。こんなのが届いたら絶対に開かないで済む自信無いですもん。もうね、テキスト形式のメールのURLっぽい部分が自動的にリンク化する機能(※1)は標準で無効化する位でないと……。

---
ダウンロード違法化などに7,500件の意見集まる、私的録音録画小委員会 - Internet Watch
「ダウンロード違法化」に反対意見集まるが……　埋まらぬ「権利者」vs.「ユーザー」の溝 - ITMedia
議論かみ合わぬまま、期限切れ迫る私的録音録画小委員会 - ITPro

どうやらMIAUなどによるパブリックコメント(特に反対派)が効果を表したもよう。やはり「声を挙げる」事が重要という事で。

---
147銀行の4分の1にフィッシング対策で問題あり、URLを表示せず - ITPro

つーかねぇ……

調査は8月20～31日に実施。「クロスサイト・スクリプティングのぜい弱性を持つとみられる銀行が2～3行、パスワード入力フィールドで文字が伏字にならない銀行も1行見つかった」（山本シニアマネジャー）というように、セキュリティ対策を一から見直すべきサイトも散見されたという。
(「147銀行の4分の1にフィッシング対策で問題あり、URLを表示せず(ITPro)」より引用)

……何処だよ、そんなダメ過ぎな銀行は……。orz

Firefox 2.0.0.10 出ました

「Firefox 2.0.0.10」公開、脆弱性3件を修正 - Internet Watch

一昨日(11/27)にリリース、危険な(Highレベルな)セキュリティホール3件が修正されています。

Firefox使いな方はアップデートしましょう。

心は既に京都・大阪へ～

既に……

仕 事 が 手 に 付 か な い

……ですが、何か(マテ)。
(まぁ忙しくない(つーか後々で忙しくならないように今先手を打っている状態)ので、何とかなっていますが。)

と言う訳で、今日の夜から京都・大阪に行きます(勿論「まっちゃ139勉強会」に行くため)。

多種多様なウイルスが一時に感染しアウトブレークした場合の事例紹介

「従来のウイルス対処法はもはや通用しない」，大規模感染を経験したJTBが現場の苦労を披露 - ITPro
多種多様なウイルスが一時に感染しアウトブレークした場合の事例紹介。

やはり感染源は中国のWebサイトですか……最近確かに多い(※1)ですしね。

一昔と違い、最近は短時間で大量の亜種が登場するので、感染してしまったとしてもアンチウイルスソフト側が検知しない(できない)(※2)ケースもあるという事を前提にした上で、対策を立てていく必要があるという事。

今回紹介されたJTB(対応はJSS)での事例は、まとめるとこんな感じ。

まずは現状確認(この事例ではPC版トリアージ(※3)を実施、感染しているPCと状況を全て把握)

被害拡大(特に"外"(※4)への被害)を防ぐため、ネットワークの全切断を実施(これで被害は現状以上には広まらなくなる)

業務停止による影響を最小限に抑えるため、週末をフルに使い集中的に復旧作業を実施(どうしても時間内で復旧できないPC(今回は約200台)は隔離(※5)、週明け後に対応とした)

週明け後への全ユーザへの連絡には「書面による通達」を実施、最終確認作業(スタンドアロンでの起動、検査ツール起動・確認)でウイルス感染が無い事を確認

アンチウイルスベンダ(この事例ではトレンドマイクロ)との連携で、時間内に復旧できなかったPCの復旧を実施(一部はリプレースという形で対応)

今回の事例での教訓はこんな感じ。

事前対策だけではもはや限界(常に未知のウイルスが感染する事を前提に準備を進める必要がある)

アンチウイルスベンダとの連携は必須

実際の対応には、情シスの迅速な対応が不可欠(その為に必要な権限の付与やワークフローの準備は予めやっておく必要がある)

時には業務を止めて集中的な対応をした方が損失が少なくなるというケースもある事から、特に最後の教訓は重要ではないかと思われます。

……まぁ実際にはなかなか難しいのですが。
---
(※1)過去には千葉大学病院でのアウトブレークも中国のWebサイト閲覧でウイルスに感染したというケースがある。
(※2)基本的に「定義ファイル」にそのウイルスの情報が無ければ検出はできない(これは現在のアンチウイルスソフトの仕組み上の限界でもある)。またビヘイビア法などの定義ファイルに依存しない検出方法もまだ発展途上の段階にある事から、検出できない場合もある事を念頭に置く必要がある。
(※3)災害などで大量の傷病者が発生した場合、手持ちのリソースで可能な限り多くの人を救う事を目的に、救命の優先順位を付ける事。今回のPC版トリアージの場合は、恐らくはトレンドマイクロ社提供の検査ツールを用い、「感染なし、容易に対応可能、対応困難」のレベル付けをしたものと思われる。
(※4)ここで言う"外"とは、Internetに接続している他のユーザの事。
(※5)「集中治療室」という表現で、物理的・ネットワーク的に完全に隔離した状態で対応している。

癒されたいなぁ……＞猫

ネコに囲まれながらコーヒーはいかが？ 癒しスポット「ネコカフェ」が急増中 - 日経トレンディネット
猫カフェに一緒に行ってくれる異性を募集中なヤマガタさんに捧ぐw

写真見てるだけでも癒されますなぁ……でも、行きたい^2と思いつつ、なかなか時間が作れないのが現状。＞猫カフェ

地元には無いのかなぁ……少し探してみますか。

Lhaplus1.55以前にセキュリティホール

圧縮・展開ソフト「Lhaplus」に脆弱性、最新版にアップデートを - Internet Watch
作者サイトの公式告知はココ、IPAからのアナウンスはココ、JVNの情報はココ。

9月に発見・報告されたセキュリティホールとは全然別物ですので、ご注意を。

対策は最新版(1.56)をインストールする事です。

最近はファイル圧縮・解凍ソフト（アーカイバ）のセキュリティホールを突く攻撃がぼちぼち流行っているとの事……忘れずにバージョンアップしましょう。

確かに面倒＞現行のパソコンリサイクル制度

利用率わずか17％，パソコンリサイクルは使用者視点の制度改革を - ITPro
ITProの「記者のつぶやき」シリーズは玉石混合な記事が多いのであまり積極的には見ないのですが、今回ばかりはかなり同意。

実際自宅には壊れかかった17inchのCRTディスプレイが転がっているんですが、リサイクル制度以前のモノなので、当然リサイクルマークは付いておらず、自費負担となります。

まぁ、自費負担は仕方ないとしましょう。ですが……

メーカーによって対応がバラバラで良く分からない

土日の回収は非対応な処もある(社会人にはそーとー辛いです、まさかこのため「だけ」にお休みを取る訳にもいかないし)
……もうこの時点で「かったるい、めんどくせー」となり、未だに自室の片隅に転がっております。

やはり「回収窓口の一本化」と「土日の回収対応」くらいはして欲しいかも。

こんな理解で合ってますかね？＞Man in the Browser攻撃

正規銀行サイトで入力した個人情報を奪う「Man in the Browser」攻撃 - Internet Watch
日本F-Secureのニュースリリースはココ。

読んだ瞬間は「あれ、Man int the Middle(中間者攻撃)の間違いじゃ？」と思ったんですが、どうやらそうではない模様。

こんな感じで正しいんですかね？＞エ□い人

1. トロイの木馬など、マリシャスコードの中の一機能である
   
2. ターゲットのPCに感染後は潜伏(特に何もしない)
   
3. 一旦特定のオンラインバンキングのログイン画面にアクセスしたのを検知すると、ID・パスワードを盗み読みする
   
4. 盗み読みしたID・パスワードはハーダー側のFTPサーバにアップロード
   
5. Web画面上は正規のオンラインバンキングの画面なので、特に不正なサイトにアクセスしたなどの警告で気づく恐れは極めて少ない
   
6. キーロガーと違って常に入力を盗み読みダダ漏れにしている訳じゃないので、ビヘイビア法による監視ツールでも引っかかりにくい
   
7. ターゲット攻撃と組み合わせると、ばら撒かれる数が少ないので、検体としてセキュリティベンダに投げられ解析されてしまう可能性も低くする事ができる

解析されにくいパスワードとは？

パスワード・ポリシーについて――“長さ”か“複雑さ”か - ITPro
オリジナルの記事(英文)はココ。

パスワードを何にするのかは、コンピュータに接する者でしたら頭の痛い(でも重要な)問題だったりします。

パスワード破りの方法として、機械的に一通りのパスワードを試していく総当り攻撃(ブルートフォース攻撃)というのがありまして、最近のPCの性能向上などから、かなり現実的な脅威だったりします。
(性能が上がるという事は、計算が早く終わるという事ですから……特にこのようなある意味単純作業では効果テキメンと言うか……。)

で、パスワード破りされにくいパスワードはどんなルール(ポリシー)に基づいたものの方が効果的か？、という話になる訳ですが、それを専用のツールを使って試してみましたというのが上記の記事。

結論は「長い(15文字以上)のアルファベット(小文字のみ)だけのパスワードの方が、少し短い(7～8文字程度)けど数字・記号も混ぜた複雑なパスワードより破られにくい」という事。

とは言え、まっちゃさんの処でも言及されていますが、人間の(短期的)記憶力ってのは「7±2桁(5～9桁)」と言われ(※1)、あまり意味の無い長い文字列を覚えるのは結構難しかったりします。

じゃあ……という事で、例えばこんな方法はどうでしょう？

覚えられる範囲(桁数)のフレーズを数種類用意しておく

予め用意したフレーズを数個組み合わせて、長い桁数の文字列にしてしまう
---
例えば貴方が7桁までは覚えられるという事で、7桁の文字列を数パターン用意しておきます……今回は4パターンとしておきましょうか。

(1)dwcdedc
(2)swocbce
(3)epncreo
(4)frepbfr
(注意!!:ここで挙げたのはテキトーに打った文字列ですが、そのまま実際のパスワードとして使わないように!!)

で、パスワードを設定する際に、どれとどれの組み合わせにするかを考えて、実際に組み合わせると。例えば今回は(1)と(3)にしようと決めたとすると

dwcdedcepncreo

という比較的長めのパスワード(今回は7+7で14文字)が出来上がります。
で同じパターンを続けない(例えば(1)と(1)という組み合わせはNG)というルールにすると、12通り(※2)のパスワードが出来上がるので、定期的に変更するというルールを組み合わせれば、総当り攻撃にもそれなりに強くなるパスワードになるのではないかと。
---
まぁ、こんな方法もあるよね、という参考情報という事で。
---
(※1)俗に言う「マジカルナンバー」というヤツで、米国の心理学者「ジョージ・Ａ・ミラー」が発見。
(※2)重複を許さない順列(₄P₂)の値。Excelの計算式に直すと「=PERMUT(4,2)」で求められます。

だめだめな脳内変換 orz

たかはしもとのぶの「はじめてのオープンソース」 第５回：オープンソースコミュニティは何をするところ？ - ThinkIT

monyo先生の連載記事の新作なんですが……

もとのぶ先生 コミュニティに参加している人の大半は普通の「いっぱんじん」だから大丈夫だよ。それに仕事じゃないから、活動はできる人ができる時にすればいいものだし。
(「たかはしもとのぶの『はじめてのオープンソース』 第５回：オープンソースコミュニティは何をするところ？(ThinkIT)」より引用

……先生!!
「いっぱんじん」を「逸般人」と自動的に脳内変換してしまう自分はだめだめでしょうか？

多分だめだめなんだろうなぁ。orz

実はコンパクトデジカメが欲しくなったり

本格的に撮る用じゃなくて、本当にメモ用なので安くても型落ちしてても全然OKなんですが……。

実は今までメモ用に使っていたコンパクトデジカメが見事に壊れました。(T_T)
どうやらCCD周りの配線がやられたのか、マトモに写らないという有様。

しかも中古で保証なんてとーっくの昔に切れているので、修理に出す気にもならないし。


ちょっと調べてみると、2万以下でもそれなりのモノが買えたりするのね。
例えばコレとか、某店で先行発売するコレとか……個人的には後者の方が好みかも。
(市販の単三電池が使えるので、普段はeneloopを使い、緊急時にはアルカリ電池を買ってくるという事もできるし。)


とは言え、軍資金が入らない事にはどうにもならないという現実があったりしますが。orz

つーかーれーるー

……いや、最近は色々と頭をこれでもかと捻った上に知恵を出さなきゃあかん、という事が多くて。＞お仕事

モノを売るって、分かってはいるけれど大変だよなぁ……と他人事のように呟いてみる(マテ)。
(いや、他人事じゃないんだけれどさ。)

あ、そうそう、多分明日例の件で質問メールを投げるかもしれませんので。＞誰と無く
(職場内で必要になりそうなケースが出てきて、エラい人から「確認しとけ」と言われたので。)
---
(2007/11/21 17:15頃追記)
無事返信メール届きました。m(_ _)m ＞ 誰と無く

月刊MS 2007/11号

2007 年 11 月のセキュリティ情報 - Microsoft

今月は2本+悪意あるソフトウェアの削除ツール……ですが、内1本はサーバに関するモノなので、実質1本+悪意あるソフトウェアの削除ツールという事で。

とは言え、その1本は「緊急(Critical)」なモノなので、ASAP(※1)でMicrosoft Update/Windows Update実施を推奨という事で。
---
(※1)"As soon as possible"の略、「可及的速やかに」「至急」とかいう意味。

京都の宿が……無い(冷汗)＞まっちゃ139勉強会

さーてまっちゃ139勉強会の前日(11/30)に京都入りして観光するとして……宿、やどっと……

『満室です』
『検索結果は0件です』

……な、無い……何ですとー(冷汗)。

見事に11/30は京都市内に空き部屋がある宿が無い……12/1に何かあるんですか？＞京都方面な人

仕方が無いので、隣の大阪まで検索範囲を広げてみると……無事ありました(安堵)。
1時間程度で会場(龍谷大 深草校舎)まで行けそうなので、大阪市内の宿を予約しました。

つーか焦りますよ、別に観光シーズンって訳でもないのに空き室が無いってのは。
---
(2007/11/14 00:10頃 追記)
夜行バス(京都行き往復)も無事予約完了……つーかコッチの方も残り座席が「5席」とか言う状況だったり(苦笑)。

モーターショウの写真

予告とおりに画像を公開。


三菱ふそうのコンセプトモデル(4tダンプトラック)、ハイブリットカーで荷台の上げ下げもバッテリー駆動でOK。実際デモでバッテリーによる荷台の上げ下げをしていましたが、かなり静か。つーかこれだけ見ると、とてもトラックには見えない外観(笑)。


ホンダの新型バイク。一見するとツアラータイプに見えるが、実際には大型スクーターのように背筋をピンと伸ばして運転できるので、長距離ツーリングも楽そうな感じ。


これはオーディオゾーンで見たモノ。車内の制御系等の配線をIEEE1394(FireWire)に置き換えてしまおうというモノ。


日産新型GT-Rの前の込み具合の様子w


で、これが後姿。4つ丸のテールランプが見事復活。


コッチは前。


トヨタのコンセプトモデル。例の立って運転するアレ。


人が乗るとこんな感じ。


マツダのRENESIS(レネシス:新型のロータリーエンジン)の断面図。


マツダのコンセプトモデル「大気(たいき)」。


会場の様子の一コマという事で、フェラーリブース周辺を上から撮ってみた。