yohgaki's blog

http://blog.ohgaki.net/2008-1

でご紹介したオープンソースとインターネットをテーマにした無料セミナーの件です。いよいよ明日（6/28）になりました。好評の為座席が足りない事が確実となりました。会場となる会議室を大きな会議室に変更しました。

旧：66会議室（30名）
新：61会議室（144名）

ご興味をお持ちの方はサンポート高松ホール棟6階の61会議室にお越しください。12:30頃から開場致します。

懇親会も飛び入り参加可能です。是非、ご参加ください。

Flash Playerのバージョンアップがなかなか進まないようです。

先月末にあったSymantec社の0Day攻撃の誤報のおかげでかなりバージョンアップが進んだのですが、残念ながらまだまだのようです。例えば、先週1週間のこのブログへのアクセス集計では既知の脆弱性が無い9.0.124を利用していたのはたったの40%です。

バージョンアップが進まない原因にはAdobeのサポート方針にも大きな原因があると言えます。

Read more »

比較的最近無線LANのアクセスポイントをNEC製からBaffalo製のWiFi Gamers (WCA-G) に交換しました。

ゲームの為にこのアクセスポイントにしたのではなく、ルータ機能は不必要であること、PCが無くても最低限の状態がわかるように液晶ディスプレイが付いていることが気に入ったので購入しました。このアクセスポイントには安全にアクセスポイントに接続する為のWPS (WiFi Protected Setup) 、WPSに良く似たBaffalo独自のAOSSをサポートしています。付属のCDにはBaffalo製品以外のネットワークカードでもWPSまたはAOSSを利用して簡単かつ安全に無線LANをセットアップする「クライアントマネージャV」（Windows Vista用）と「クライアントマネージャ3」（XP用）が付属しています。

Read more »

中国でのソフト開発が進められています。例えば、

「NEC、中国のソフト開発体制を強化−5000人にトレーニング開始」
http://enterprise.watch.impress.co.jp/cda/topic/2008/06/11/13158.html

人件費が圧倒的に安い中国ですがセキュリティの問題も考えなければなりません。中国政府の機関が直接関与していると考えられるセキュリティ上の問題は海外メディアやブログではかなり頻繁に報道されています。

A New Cold War?
http://www.spinhunters.org/blog/a-new-cold-war/

にはアメリカの通商代表が中国訪問中にコンピュータから情報を盗まれた可能性があり、捜査中だとしています。

随分前になりますが国防相のメールが中国のサイバー攻撃により読み取られた、とする報道も記憶に新しいです。アメリカ軍が利用しているルータや兵器部品でさえ中国製の偽物が多数発見されるような状態です。まさに「何でもあり」の無法状態です。

セキュリティは意識しなくてもよいシステム開発案件なら良いですが、中国での開発はさらにリスクが高いと考えるべきでしょう。システム開発にもチャイナリスクを十分に考慮しなければならない時代がやってきたようです。

追記：この件、どうも0dayでなく既知の脆弱性の問題だったということで決着しているようです。情報ありがとうございます。ただ、このブログにアクセスしている方でもgoogle analyticsによると脆弱性の無いバージョンだと分かるFlashを利用している方がたったの16.6%です。前のバージョン(9.0.115)の利用者は31.78%です。残りのユーザもほとんどが危険なFlash Playerを利用していると思われます。かなり有効な攻撃であることには変わりないようです。Flash Playerは時々アップデートがある、と教えてくれますがあまり役立たないので自分で脆弱性情報を収集してバージョンチェックする方が良いです。

とりあえず9.0.124.0であれば大丈夫なようです。
http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm

いろいろ困る事もあるのですがFirefox+NoScriptを利用するとこの種の攻撃のリスクを大幅に低下させられます。

追記2:
Flash attack may as well have been zero-day
http://blogs.zdnet.com/security/?p=1236

結果的には0dayでなかったが同じくらい効果的に攻撃されているではないか、という意見です。私も同じ意見です。このブログでも時々Flashの自動更新は役立たずであり、その結果危険なFlashを使い続けているユーザが多い事を書いています。

Flashのバージョンチェックや設定チェックはお世辞にも分かり易いとは言えないのでWikiにリンク集も作っています。
http://wiki.ohgaki.net/index.php?Flash%E3%83%90%E3%83%BC%E3%82%B8%E3%83%A7%E3%83%B3%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF

FlashやQuickTime等のプラグインはエンドユーザにとっては最大の脅威といっても良いくらいですが、あまりその事実は理解されていないと思います。このブログをご覧の方で最新版のFlash Playerに更新されている方はバージョンアップが進み、最新版を利用されている方の割合が17%から30%に向上しています。しかし、向上したと言ってもたったの3割で残りのほとんどは危険なFlash Playerを使い続けています。

---

Read more »

YouTubeに投稿されていたセキュリティ関係の番組です。

全て英語で字幕などはありません。日本でも同じような番組があるのかも知れませんが、テレビはニュースくらいしか見ないので放送されているのかどうか分かりません。

英国BBCのニュース番組のようのです。

Orthus（コンピュータセキュリティの会社）の方のコメントは全くの正論です。多くの会社はセキュリティ製品を購入することで安全性が確保できると考えて、もっとも基本的な対策であるソフトウェアのアップデートを行っていないケースは少なくありません。コンピュータシステムへの攻撃も進化しているので防御策のアップデートも書かせません。

比較的、最近アメリカで作成されたと思われる番組です。

番組中で「セキュリティ上の問題はネットワークではなくアプリケーションにある」と指摘しています。セキュリティに詳しい方には、ネットワークセキュリティの問題よりアプリケーションの問題の方が大きな問題になっている事は常識です。多くのエンドユーザが同じ認識であるか、は疑問です。

eEyeによるMS Office文書の脆弱性を利用した攻撃の実演です。

頻繁に行われているタイプの攻撃です。知らない方が見るとあまりに簡単に攻撃でき、キーロガーがインストールされる様子は衝撃かも知れません。Vistaでも利用できる攻撃はいくらでもある、と出演している方が紹介しています。出演している方の意図は「Vistaを使っているから、と安心できない」と言いたいと思いますが、この番組を見た方が「Vistaでも危ないならXPのままでも良いか」「VistaとXPのセキュリティレベル同じくらいなのか」と思っていしまわないか心配です。

The Pirate Bay Breaks 10 Million Users

10 million simultaneous users represents a number never duplicated by any file-sharing entity. The largest P2P networks, such as FastTrack and eDonkey2000, both topped out with approximately 5 million users.

1000万「同時」ユーザだそうです。これはすごい数です。基本的にはキャッシュを効かせてリバースプロキシの効果を最大限に利用して... といった感じなのだとは思います。しかし、検索機能もあり試しに検索しても遅くないです。

もう少し覗いてい見ると日本のコンテンツはあまりないようですが、海外のコンテンツは豊富なようです。また、アダルトコンテンツが公開のページには無いようでそれが人気の理由なのかな、と思います。

確か一度閉鎖されたことがあるサイトだったと思うので調べるとありました。
http://ccr2.blog9.fc2.com/blog-entry-1761.html
今はどんな状態で運用しているのでしょうね?

コンテンツの著作権をもつ方々はこのような状態にどのように対処するか思案が必要でしょう。基本的にはDRM無しで広告収入で儲ける合法的な手法を提供するのが良いと思います。無料コンテンツはビットレートが低い物、ビットレートが高い物は有償で、といった感じが良いのではないかと思います。しかし、ビットレートが高い物を有償化しても、ビットレートの高いデータその物がまた違法に公開されるので意味が無い、となってしまうかも知れません。どう折り合いをつけるか難しいですね。

一般的なユーザはインターネットを利用する場合のリスクを十分理解していない場合が多いと思います。コンピュータに詳しくない方が、より安全に利用する為のTipsを考えてみました。

• 常に最新バージョンのブラウザを利用する
• 常に最新バージョンのブラグインを利用する
• JavaScript/プラグインを無効にする
• ブラウザにインストールする拡張機能（プラグイン）は最小限にする
• 仮想環境でブラウザを利用する
• ログアウトする
• ブラウザを終了させる
• 管理者権限を持たないユーザでログインする
• ブラウザとプラグイン以外のアプリケーションも最新版を利用する
• 信用できそうなサイトもできるだけ信用しない
• インターネットからダウンロードしたアプリ、プラグイン、コーデック、ドライバ等をインストールしない
• サイト毎に別のパスワードを設定する
• 文字エンコーディングの自動認識を無効化する
• インターネットからダウンロードした出所が不明なドキュメントは開かない

ここに書いている対策は実際に自分も行っている対策なので、コンピュータに詳しくない方が全て実行するのは難しいとは思います。できる部分だけでも実行すると良いでしょう。

他にもコレ、といった対策／注意点があったら教えてください。

Read more »

Pages: 1 · 2 · 3 · 4 · 5

eMediaWireに掲載されていたレポートによると「Internetに接続されているPCの3台に1台はLimeWireをインストールしている」としています。

File-sharing application LimeWire is now found on more than one-third of all PCs worldwide, according to research jointly published by Digital Music News and BigChampagne. The companies surveyed more than 1.5 million systems for this report.

http://www.emediawire.com/releases/2007/12/emw576418.htm

米国だけの話かと思ったのですが

one-third of all PCs worldwide

LimeWire was found on 36.4% of all PCs, a figure gleaned from a global canvass of roughly 1.66 million desktops.

と世界中の166万台のPCが対象だそうです。少なくとも日本国内のPCでLimeWireがインストールされているPCは非常に少ないと思います。

米国で1/3ならまだしも、世界中で1/3のPCにLimeWireがインストールされている、とするのは少々大げさな気がします。母集団にかなりの偏りがあるのではないかと思います。母集団の偏りは別にしても166万台のうちの60万台ほどのPCにLimeWireがインストールされていたのが事実だとすると驚きです。

米国ではP2P問題は基本的に著作権問題としてして取り扱われ、音楽ファイル等を公開していた個人に対して数千万円の損害賠償請求を認める判決もでています。アメリカの議会ではP2Pネットワークによるファイル共有が国防上の問題として取り上げられていたりします。

一方日本では暴露ウィルスによるファイル流出だけが大きな問題とされ、本質的な問題の議論や理解が進んでいないように感じます。

プログラムのセキュリティ対策と同じで情報を発信する側と受け取る側、両方に効果的な対策が必要だと思います。現在受け取る側の規制としてファイルをダウンロード行為自体を違法とするか議論がされていますが、それよりもまず違法なコンテンツを発信する側に高額な損害賠償金を請求可能にするなどの措置が先に行われるべきだと思います。

参考：
http://arstechnica.com/news.ars/post/20071227-one-third-of-pcs-prefer-limewire.html
http://ja.wikipedia.org/wiki/LimeWire

さすがに1/3と言うのは大げさ過ぎると思い昨年末に書いたこのエントリはお蔵入していました。別の統計を見つけたので公開しました。

http://internet.watch.impress.co.jp/cda/news/2008/01/23/18207.html
これによると

これに対してGnutella互換サーバントは世界的に多く分布しており、中でも米国が約175万ノードで49％を占める。ヨーロッパ各国も約23％と多かった。日本でも約10万9,000ノードあった。

となっています。米国でもたった175万ノードなら「1/3のPCにLimeWireがインストールされている」のは大げさな数値になります。母集団に問題、例えば大学生のPCだけ調べた等、であれば納得できるかも知れない数値ではありますが...

追記

最大のP2PネットワークはThePrivateBayだそうです。

少し前のエントリ、宛先を個人のメールアドレスに設定しているメルマガは迷惑メールに！の続きです。DM業者はどのようにメールを送信すべきか考えました。

これから書く考えはDM送信側ではなく、DM受信側の視点から考えています。

メールの種類

まず簡単にメールを分類します。受信者から見ると

• 自分のアクションが必要な個人宛メール - 問い合わせ、確認等。
• 経緯などを知らせるだけアクションが不必要なメール - 通知、記録等。
• 情報系のメール - メルマガ、ニュース等。
• スパムメール - 勝手に送ってる迷惑メール。

に分類できると思います。

受信する側から見るとそれぞれ適切であると思われる送付先アドレス設定は次の通りでしょう。

• 自分のアクションが必要な個人宛メール - To: 個人メールアドレス
• 経緯などを知らせるだけでアクションが不必要なメール - CC: 個人メールアドレス または BCC: 個人メールアドレス
• 情報系のメール - To: MLまたは発行者のアドレス
• スパムメール - 迷惑メールなので To: 個人メールアドレス でしょう

自分のアクションが必要な個人宛メール

基本的にプライベートなメール、自分のアクションが必要なメール、必ず目を通しておきたいメールです。ショッピングサイトからのメールでも「受注確認」は確認してもし自分からの注文で無い場合は「キャンセル」というアクションが必要です。この様な場合はToに個人アドレスを設定するのは当然だと思います。

アクションの必要なメールがCC、Bcc、送信元のアドレス宛で送信されてきたら困ります。

経緯などを知らせるだけでアクションが不必要なメール

基本的にプライベートなメールです。自分に経緯を連絡するCCに個人アドレスが載っているのは当然でしょう。特にアクションは必要ないが目を通すだけは通しておいて、といった場合に使う為に用意されています。

皆さんご存知とは思いますがCCとはカーボンコピーの略です。申込書等で1枚目を書くと2枚目、3枚目に写せる紙がありますが写したコピーが「カーボンコピー」です。CCとは写しを意味します。BCCとはブラインドカーボンコピーの略です。ブラインド、つまり見えないカーボンコピーの事です。メールを送信先(To)やカーボンコピー(CC)で送信したユーザに見えない様に送信するメールアドレスを設定します。

情報系のメール

非プライベートなメールです。MLやネットショップのメルマガ、ニュースサイトのメールなどがこの分類のメールになります。これらのメールは個人宛でなく、メルマガや発行者のメールアドレス宛になっている方が受信側にとって便利です。

ネットショップやニュースサイトのメールは「送信者」からするとアクション（広告クリック、商品購入)を取ってほしいメールですが、受信者からみると単なる情報メールです。個人宛に送られてきても何か必ずアクションを取る必要があるメールではありません。

スパムメール

元々スパムなので勝手に何でもするのがスパムメールです。最も効果が高いと期待できる個人宛にメールを送信するのは当然でしょう。まっとうな事業者はスパムメールの真似をする必要はありません。

どう送信すると受信側が便利か?

To, Ccに自分のメールアドレスが設定されているメール全てが個人用のプライベートなメールだと受信者は管理が容易になります。

DMを送信する場合、受信側の立場になってアクションが必要なメールかどうか判断して、個人宛とそれ以外に区別するのが理想的だと思います。しかし、個人的な好みの問題もあるので送信先アドレスを

• 発行者のアドレス
• 受信者のアドレス

のどちらかから選べるようにすれば良いと思います。

ネットショップなどの場合でも、受注確認などのメールは個人宛、利用して頂いたお客様に対して広告メールを送信する場合は非個人宛をデフォルトとして送信すると受信者側は非常に便利です。

もし全ての事業者が上記の方法でメールを送信するような状況なれば、個人宛(To, CC)に送信されるメールは必要なメールとスパムメールだけになります。

DM送信先を非個人宛にするメリット

一昔前はメールの振り分けがよく行われてきましたが、現在では減少傾向にあるのではないかと思っています。GMailの場合、メールは振り分けでなくフィルタで検索するようになっています。フィルタは振り分けと同じような動作をします。しかし、振り分けとフィルタでは大きな違いがあります。フィルタの場合は常に受信したメール全体が検索対象になります。

GMailの様なシステムでは to: yohgaki@ohgaki.net でフィルタを作成すると個人宛のメールが全部表示されます。

個人宛のメールがバルクメール（不特定多数向けに送信されたメール）であふれると不必要なメールに「迷惑メールを報告」ボタンを押して消してしまうユーザが多数いても不思議ではありません。

DM送信先を個人宛にしなければ迷惑メールとして処理されてしまう可能性を少なくできます。

メルマガを発行者アドレス宛に送信するのは発行者に不利益があるか?

メール利用者には幾つかの段階があると思います。

1. メールを始めたばかりで振り分けなし
2. 自分宛のメールとそれ以外に振り分ける
3. 宛先、送信者、などから更に細かく振り分ける
4. 振り分け自体が面倒になり振り分けなくなる
5. メールを読むのが面倒になり以前ほど使わなくなる
6. 迷惑メール(DM含む)が多くなり別のメールアドレスに変える

これ以外に、「捨てアド」を使う、「目的別アドレス」を使う、などの道もあります。

メルマガなどのバルクメールを送信する方にとって、1の段階のユーザにはどのような送信先であっても不利益を得る事はないはずです。2と3の段階のユーザであれば個人宛にメールを送信しないことにより不利益を得る可能性があります。私は現在4の段階ですが、この状態になると個人宛のメルマガ系のメールが非常に鬱陶しいです。実際、一部のメルマガ系のメールは迷惑メールとして処理しています。

不利益となるどうかは各段階のユーザ比率とユーザのサービス利用率で決まると思われます。正直な予想を書くと、送信先を個人宛から発行者アドレス等に変更するとDM送信者がメールから得られる利益は減少すると思います。

責任ある企業としてのメール送信の仕方

普通の企業はスパマーではありません。企業の姿勢としてメール受信者（お客様）の立場に立ってメールを送信するようにしてほしいです。たとえ広告収入が主体のメールであっても、広告をクリックしてくれるユーザを単なるメール受信者として扱うのではなく、お客様として扱ってほしいです。

普通の企業が受信者の立場でメールを送っていたなら「捨てアド」などが一般化する事もなかったかも知れません。しかし、現状は残念ながら大手であっても限りなくスパムメールに近い方法、と言われても仕方ない方法でメールを送信しているケースは少なくありません。

特に大手企業には「儲かりさえすれば良い」等と考えず、お客様の利便性(と安全性)を第一に考えたWebサイトやメールの使い方をして見本を示してほしいです。

短期的に多少の不利益があっても、誰もが認めるお客様本意のサービスを行う事は長期的に企業の利益となるのではないでしょうか。

DMにぜひ付けてほしい機能

• ワンクリック購読解除リンク
• ワンクリック送信先変更リンク

システム構成にもよりますが、どちらの機能もそれほど正しく実装すれば大掛かりな仕組みは必要ありません。リクエストが本人からかハッシュでシグニチャを確認すれば良いだけです。データベースを利用する方法やクッキーを利用する方法も考えられます。もし実装したい方でどういうことか分からない場合はコメントください。