年: 2005年

不満をこぼす社員には要注意!?

このMYCOMの記事、当たり前と言えば当たり前です。メモとして。

今回の報告書では、内部関係者によって事件が起こる前に、サイバー攻撃を未然に防ぐことができなかったのかを主眼に調査が実施された様子もうかがわれ、約 4割のケースが、事前に発生を察知できる状況にあったとの分析も出されている。62%の事件は周到な準備の下に起きたとされ、実際の会話やEメールで周囲に不満を漏らしつつ、復讐心からサイバー攻撃に及ぶことを示唆していたケースも少なくなかったようだ。犯行に至った人の57%は、社内で日頃から何かと不平不満ばかりこぼす人と見られていたようで、逮捕暦のあった人も全体の3割を超えていたという。

不満をこぼすと目を付けられるかも!?

アメリカだと会社に対する不満は誰でも普通に言っていると思うのでレッテル貼りは禁物と思います。

逮捕歴があっても犯罪者とは限らないので3割という数字をどう見るか?は詳細な報告書を見ないと分からないですね。

報告書は次のURLからたどれるので後で読むことにします。
http://www.cert.org/insider_threat/insidercross.html

複数のWikiに脆弱性

セキュリティーホールmemoによると複数のWikiに脆弱性がある、記載されていました。以下が対象のWiki

PukiWiki
Wiki もどき
AsWiki
Hiki

私がWikiに使っているPukiwiki 1.4.5_1も含まれていますが、設定の関係上、指摘されている脆弱性の影響は無いと思われます。念のためにPukiwikiサイトのerrataの回避策も実施しました。

http://pukiwiki.org/index.php?%3AErrata#qf91cd08

予防措置: 「第三者によるファイル添付」を禁止する (下記のいずれか、ないし複数を実施する)

* (1) 1.4.5_rc1 以降のみ: pukiwiki.ini.php の先頭にある 定数 PKWK_READONLY の値を 1 にする
o ※この方法には副作用があります: PukiWiki全体がリードオンリーモードになるため、閲覧以外の多くの行為が同時に禁止されます。最も素早く実施/復旧する事が可能ですから、下記にある他の対応を行う前の準備段階に利用する事もできます。この機能の詳細はdev:BugTrack/744にあります
* (2) attachプラグイン(plugin/attach.inc.php)の先頭にある設定を変更し、管理者だけが添付ファイルをアップロードできるようにする
o 1.4.5_alpha以降: 定数 PLUGIN_ATTACH_UPLOAD_ADMIN_ONLY の値を TRUE にする
o それ以前: 定数 ATTACH_UPLOAD_ADMIN_ONLY の値を TRUE にする
* (3) attachディレクトリへの書き込み権限を取り除く (chmod a-w attach)
* (4) attachプラグイン(plugin/attach.inc.php)を削除する

対応後、本当ににアップロードの動作が禁止されているかどうかを確認して下さい。

デフォルト設定でPukiwikiをご利用の方は早急に回避策の実施をお勧めします。

もちろん他のWikiをご利用の方も対策が必要です。脆弱性がないWikiでもデフォルト設定やインストールマニュアル手順通りにインストールしていない場合は影響がある場合も考えられます。自身が無い場合はIPAの情報公開を待ち、安全であるか確認した方が良いと思います。

価格.comの発表…

【速報】価格.comがハッキングで閉鎖、閲覧者にウイルス感染の可能性も
カカクコム、23日めどに再開への続き

日経BPのITProのカカクコムがサイト閉鎖の経緯を説明,「当初は対策ソフトの多くが未対応,ウイルスを確認できず」によるとアンチウイルスソフトが対応していなかった為、ウィルスに関する情報が提供できなかったとしています。11日~14日までの3~4日間もの時間があった割には当初カカクコムのトップページに表示されていた情報はお粗末であったとと言われても仕方ないと思います。

同社では,不正アクセスを許した原因などについては「警察が調査中であり,今後の自社のセキュリティにも影響するので控えたい」(穐田誉輝代表取締役社長兼CEO)として,詳細を明らかにしていない。しかしながら,今回改ざんされたのは,動的にWebページを生成するプログラムだと考えられる。そのようなプログラムが改ざんされたために,閲覧するだけで,ウイルスを勝手にダウンロードさせられるWebページが,同社サイト上に置かれていたと考えられる。

カカクコムのルータはパケットを盗聴可能であった時期があったらしく、その時に盗まれたIDが利用された可能性も考えられます。それにしても、最近このように重大なセキュリティ問題があった会社にしてはセキュリティ対策が不十分すぎるように思えます。

「今後の自社のセキュリティにも影響するので控えたい」としていますが、セキュリティ対策が完了しているのであれば公表しても差し支えないはずです。OSS系のサイトではクラッカーの進入を許してしまった場合、その時の状況や悪用されたセキュリティホールを出来る限り詳しく公表しています。失った信用を回復するには何が問題であったかと隠し、一時しのぎをするのではなく、何が問題であったか全て明らかにする事が重要と思います。カカクコムの利用者はコンピュータに詳しい利用者が多いはずであり、なお更詳しい情報開示が利用者の信用の回復につながる事は明らかです。

ソフトウェアの違法コピー、日本は優秀(?)

違法コピーの割合が最も高かった国はベトナムで、コンピューターにインストールされたソフトのうち92%に達した。中国は90%と3番目に高く、日本は世界で8番目に低い28%、米国は最も低く21%だった。

という事らしい。日本は比較的違法コピーが少ない国になっていますが、1/4以上が違法コピーである、としています。

大学時代にサウジアラビア人の友人から「サウジアラビアにはソフトウェアの著作権という考え方はない、いくらコピーしても法律的にも問題ない」と言っていました。本当かどうかは知りませんが、サウジアラビアの著作権制度は変わって違法コピー(法律がなければ違法とはいえないですが)は少なくなったのかと思い調べて見ました。

このプレスリリースには1999年頃から急激にサウジアラビアの違法コピーが少なくなった、と記載されています。今は著作権関連の法律もできて(?)普通の国なった(?)のでしょうね。

調査方法なども違うと考えられるので単純に比較する事はできませんが、全世界でのソフトウェアの違法コピーによる被害は2001年の117億ドル(約1兆3000億円)から2004年の約327億ドル(約3兆5000億円)に大幅に増えているようです。

中国に進出している企業であれば注意していると思いますが、日本企業はソフトウェアの不正使用で摘発されるケースが多くあるようです。ご注意ください。

# 以前、中国では教育目的のソフトウェアコピーは許可されている、と
# 聞いたことがあります。実際、中国の複数の教育機関のWebサイトか
# らAdobe、Microsoft製品がダウンロードできるようになっていました。
# 昔から違法? それとも今はもう違法?
## WTOに加盟しているので違法ですよね??

ターボリナックスが中古パソコン専用のLinuxを提供開始

この中古パソコン専用!と言う部分ですが、TL10はxfce4をサポートしているのでxfce4がデフォルトのデスクトップ環境になっているディストリビューション、と言うことだと理解しました。間違っています??

手元にあるPCで256MB以下のPCが無いので解りませんが、128MB程度あればそれなりに使える速度で動作すると思います。

Turbolite 10
http://www.turbolinux.co.jp/10d/turbo_lite.html

少なくとも64MBや128MBメモリのPCでWindows XPを動作させてFirefoxを使用するよりかなり快適と思います。

マーケティングには色々な手法がありますが、このマーケティング、一般受けするのかな?

追記:
マーケティングの法則として適切なセグメンテーションは必須です。例えば、いくら良いカツラでも男性用と女性用は別にマーケティングしないとダメ等、があります。ページを見るとターボリナックスとしても中古もしくは古いPCに新たな投資をユーザが行うとは考えていない事は分かります。妥当な予測と思いますが、ビジネスになるか、それともマーケティングには色々な手法と同じくパブリシティの利用のみを考えているのか? 私は後者のような気がします。

私のEメールアドレスを偽称したメールに注意!

送信先のドメインはヨーロッパ系の国に対して送信していること、政治的か社会的な主張を掲載したWebページへ誘導すること、などから考えるとあまり気にする必要も無いとは思いますが念のためにブログにも記載しておきます。

yohgaki@ohgaki.net を送信元とし、大量のSPAMメールがヨーロッパ各国に送られいるようです。ご注意下さい。

# このようなケースは、初めてではないのですが… (苦笑

カカクコム、23日めどに再開へ

価格.comの件は多くのブログで書かれていると思いますが、この件で期待しているのは「何故クラックされたのか」が明らかになる事です。

事件後のコメントに「最高レベルのセキュリティ対策をしていたつもりだった」との発言もあったと聞いています。最高レベルと言うからには、IDSやIPSも当然含まれていたと思います。ウィルスを捲くために特定のサイトへアクセスするようになっていたらしいですが、何故IDSやIPSで防げなかったのか疑問です。IDS/IPSを導入していれば、攻撃元のIPアドレスが複数であったとしても、少なくともある程度は、防御可能であったように思えます。

情報の真偽は判断できませんが「社員がWebページを巡回して改ざんを確認し修正していた」という記事もあったので、本当に最高レベルのセキュリティ対策を行っていたのか、も疑問符が付きます。

東証1部上場企業
として恥ずかしくない情報開示を期待したいです。

追記:
こんな記事もあるんですよね…

どのような攻撃だったのか判りませんが、中国からの攻撃の可能性も高い、と聞いています。中国がボットネット大国であることは有名です。世界中では何十万台のPCがボットネットに組み込まれている、と言われています。「最高レベルのセキュリティー対策」であればこのような現状を認識した上での対策が取られていたはず、と思います…

allow_url_fopenは無効に設定

Webサイト構築で注意しなければならない箇所は決まりきっています。PHPのiniオプションでかなり危険な設定ですがデフォルトで有効かつシステムレベルでのみ設定変更可能なiniディレクティブ、allow_url_fopenがその内の一つです。

このオプションが有効な場合、ほとんど全てのファイル関数でローカルファイル以外にURL(HTTP、FTP)を利用しリモートファイルを読み込みます。インクルード系の関数も同様です。

include('http://code.example.com/script.php');

と記述するとリモートサーバに保存されたスクリプトを読み込んでローカルホストで実行します。先日のphpbbのセキュリティーホールはこのタイプのミスだったようですね。このタイプのセキュリティーホールは【緊急より更に上】レベルの重大な問題です。しかし、何度も同じようなミスは色々なプログラムで発生しています。

私も機会がある度にこのオプションの危険性について紹介していますがどうも不毛な気がしてきました。この際、この機能はデフォルト無効、有効にした場合もallow_url_fopenは利用可能なサーバを列挙可能なように仕様を変更した方が良いですね。

パッチの作成は簡単なのですが…

追記:
allow_url_fopenがINI_SYSTEMである件を「あれ?」と思ってちょっと調べて見るとPHP4.3.4からINI_ALLだったものがINI_SYSTEMになっていますね。この変更、かなりまずい変更だと思います… サーバ管理者がallow_url_fopenの動作を制限できるようにするなら、sefe_mode_url_fopen等のディレクティブを新たに作り管理者が制限できるように実装するべきです。INI_SYSTEMに変えてしまうと共有サーバでは設定変更ができない可能性があります。スクリプト中の特定箇所でのみallow_url_fopenを有効にする、などの現実的な対処も行えなくなります。どうしたものか…

Firefox 1.0.4とMozilla 1.7.8のWindowsバイナリ

致命的なセキュリティホールフィックスを含むFirefox 1.0.4日本語版リリースの影響でMozilla Japanは大量のダウンロードリクエストの影響(?)でアクセス出来ないしづらいようですね。
とりあえず私のサイトにもWindows版バイナリを置いておきます。

Firefox 1.0.4(日本語版)
http://www.ohgaki.net/download/Firefox%20Setup%201.0.4.exe

Mozilla 1.7.8(英語版)
http://www.ohgaki.net/download/mozilla-win32-1.7.8-installer.exe

90cf68afbe5f22ae077a8ba4d6528733 Firefox Setup 1.0.4.exe
00f8a2cdd541944611ff08aa796a5685 mozilla-win32-1.7.8-installer.exe

# どこかに正式なMD5サムが掲載されていればどなたでも安心してダウンロード
# できるんですが…

# そうそう、そう言えばeEyeが未パッチのIEセキュリティホールに関して
# 多少詳しい情報を公開しています。対象となる問題はこれだったと
# 思います。
# http://www.eeye.com/html/research/upcoming/20050505.html
## うろ覚えです。間違っていたらご指摘ください。
## 参考: http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050509/160520/

# しかしこのブログを読まれている方のブラウザの問題に対する
# 対応はすばらしいですね。(統計情報から推測しています)
# 平均的ユーザがこのレベルで対応できれば良いのですけど。

ソフトは買う時代から使用する時代へ

ソフトウェアは買う時代から使用する時代に移行している事は間違いないと思います。ASPサービスなどは典型です。

通常、Windowsのライセンスは購入しますがマクロソフトがAntiVirusアプリに参入するにあたりサブスクリプションを使用する可能性はありますね。これはマイクロソフトだけに限った事ではなく、RedHatやNOVELL(SuSE)等もサブスクリプションプログラムで利益を得る仕組みになっています。

Windowsユーザもアンチウィルスソフトでサブスクリプションとはどのようなサービスか体験しているので、導入も行い易い状況になってきている、と言えると思います。

サブスクリプションでソフトウェアを利用するライセンス体系に移行するとすれば、海賊版Windowsを海賊版と知らずに購入したユーザに対して正規版を無償配布するプログラム(現在、マイクロソフトが行っているはず)の正当性も見えてきます。

経膣分娩時のルーチンの会陰切開術は有益でない

経膣分娩時に、ルーチンに会陰切開を行うことは患者にとって有益ではないことが、これまでの研究を再調査した結果明らかになった。米North Carolina大学のKatherine Hartmann氏が、米国厚生省(HHS)の助成を受けて行った研究で、 Journal of American Medical Association(JAMA)誌2005年5月4日号で発表した。

私と家内は前から疑問に思っていたのですが科学的にも有益で無いことが明らかになったようです。

ちなみについ先日の2005/5/11 06:58に二人目の娘が誕生しました。一人目の娘が生まれた同じ助産院です。当然LDR(同じ部屋で出産のプロセスを全て完了する出産方法。通常の方法は自分の部屋、陣痛室、分娩室の3つの部屋を使用します)で完全な自然分娩でした。切迫早産の危険性がずっとあったため産婦人科にも行っていたのですが予定通りまた助産院で生まれてよかったです。家内も私も助産院での出産に大満足です。

父親にとって助産院が病院より良い点は生まれたての赤ちゃんでも抱き放題という事です。何時でも行って抱っこしたり、お風呂に入れてあげたりできます。今日もお風呂に入れてあげました。

助産院と聞いて暗いイメージをお持ち(?)の方もいらっしゃるかもしれませんが、今の助産院は違いますよ。私たちが利用した助産院は部屋は広く綺麗です。エコーなど設備もあるので自然分娩が安全に可能かも判ります。

全ての産婦人科がお勧めできないことと同じで、お勧めできない助産院もあるとは思いますが、多くの場合、助産院の方が気持ちよく出産できると思います。

一人目の出産で散々な目にあった、という方も多いと思います。私の周りにも散々な目にあった方が沢山います。少子化問題の改善にも出産時の体験を良い体験にすることは非常に重要と思います。

# アメリカでは約3割が会陰切開を行っているそうです。日本の状況は
# 次のURLによると初産の会陰切開割合は9割に達するとしています。
# http://www.web-reborn.com/humanbirthpark/voice/episio.html
# 数値の真偽はともかく、私の知人の出産経験なども考慮すると、
# アメリカに比べてかなり多いのは確かな様です。
#
# 日本の出産で帝王切開の割合は15%くらいのようですね。
# これも多すぎるような気が…
# http://jw.st72.arena.ne.jp/mamechishiki/yuchaku/fujin03.html
#
# 当然ですが会陰切開も帝王切開も全く不必要、という訳ではありま
# せん。必要な場合も多くあります。自然分娩が常に良いとは限りま
# せん。念のため。

住民基本台帳の情報公開

国や地方自治体の情報公開は進まない上、短すぎる保存期間で役に立たなかったり、「うっかり廃棄」で期限前になくなったり、といろいろ問題があるのですが情報公開が進んでいる分野があります。それは住民基本台帳情報の公開です。

閲覧利用の約7割は生徒募集や商品購入を呼びかけるダイレクトメール用だ。市町村や特別区が住民の届け出義務と職権で蓄積した個人情報を、一部の業者が営業に利用することが、消費者の理解を得られるとは思えない。

約7割がダイレクトメール用という事ですが、お子さんをお持ちの家庭はお分かりですよね? 子供の年齢まで知った上でのDMやセールスがやってきます。

この「原則公開」という仕組み、「システムや人から情報が漏れてもシステムやそれに関わる人物が原因である事が判らないようにするため」と思われても仕方ありませんよね… 情報を公開することによりセキュリティ問題を無くす究極のノーガード戦法ですよね…

Intelのハイパースレッディングに深刻な脆弱性

●Intelのハイパースレッディングに深刻な脆弱性
 Intelのプロセッサに実装されているハイパースレッディング技術に深刻な脆弱性が存在すると、セキュリティ研究者が報告した。
 この脆弱性が原因で、権限を持たないユーザーがRSA非公開鍵を盗み出すことができてしまうという。マルチユーザーシステムの管理者は直ちにハイパースレッディングを停止した方がいいとこの研究者は強く勧告。デスクトップPCなどのシングルユーザーシステムは影響を受けないとしている。

外部からRSA非公開鍵が参照できるような問題ではありませんが、複数ユーザがログインするシステムではローカルユーザが情報を盗めてしまう問題があるようです。

http://www.daemonology.net/hyperthreading-considered-harmful/

個人用のPC、複数ユーザで共有していないWebサーバ等ではHTを無効にする必要はありません。