カテゴリー
Security

個人情報ガイドライン見直し

 経済産業省は、同省が管轄する経済産業分野の個人情報ガイドラインについて見直しを実施し、現在パブリックコメントを実施中だ。

 SecurityNEXTでも報じているが、注目される点としては、事故発生時の事業者対応について負担軽減を盛り込まれたことが挙げられる。

 たとえば、高度な暗号化などが行われている場合や、速やかに紛失した個人情報が回収された場合など、二次被害など本人に被害が及ぶ可能性が小さければ、本人への通知や公表などを省略可能としている。

最低ラインとして公表は必須でしょう…. 高度な暗号化とは? コピーされた後速やかに回収されたら?本人に被害が及ぶ可能性は誰が判断する? まだ読んでいませんがとにかく問題がある原案のようです。時間がある方は是非コメントを。

パブリックコメント:2007年1月31日締切
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595106051&OBJCD=&GROUP

個人情報保護関連
http://www5.cao.go.jp/seikatsu/kojin/index.html
http://www5.cao.go.jp/seikatsu/kojin/gaidorainkentou.html

参考
高度IT人材育成のための施策のあり方についての意見募集の結果について
http://search.e-gov.go.jp/servlet/Public?ANKEN_TYPE=3&CLASSNAME=Pcm1090&KID=595206030&OBJCD=100595&GROUP=

これを見ると

2.御意見の提出件数
34件
3.御意見の内訳
・ 個人 23件
・ 企業 8件
・ 団体 3件

なようです。個人情報保護のガイドラインも多かれ少なかれ似たような結果になると思います。(つまり、影響力はある程度期待できるかも!?)

カテゴリー
Computer

ミイラ取りがミイラに – Zone-H Defaced

Zone-Hのページが改ざんされたそうです。詳しくはこのエントリタイトルのリンク先を見て頂くとして

In a short recap, our faults were:

1) Having a staff member who was not wise enough to recognize a Hotmail XSS attack.

2) Not finding the uploaded, but useless at that time, php shell. Zone-H contains 80 gigs of files, but this no excuse.

3) Not acknowledging in time the JCE component advisory (and we all make our living by reading tons of advisories every day…)

だそうです。

攻撃には

HotmailのXSS
http://lists.grok.org.uk/pipermail/full-disclosure/2006-August/048645.html

Joomlaのローカルファイルインクルードバグ
http://secunia.com/advisories/23160/
(XSSとされていますがローカルファイルインクルードが可能なようです)

が利用されたようです。実際に攻撃を受ける場合の例として参考になると思います。

HotmailのXSSは

Hotmail/MSN Cross Site Scripting Vulnerability

Author: Simo64
Contact: simo64_at_morx_dot_org
Discovered: 07/25/2006
Published: 08/10/2006
Vendor: MSN.com
Service: Hotmail.com Webmail Service
Vulnerability: Cross Site Scripting (Cookie-Theft)
Severity: Medium/High
Tested on: IE 6.0, firefox 1.5 and Opera (should work on all
browsers)

と2006/7/25に発見され8/10には公開されていますが12月になっても修正されていなかったのですね… XSSはWebアプリにとって致命的な問題です。これほど長く放置されるのは問題ですね。

# 私はWebメールを信用していないので、メジャーなサービスの
# アカウントは持ってはいますが使っていません。
# Gmailも今年だけでも何回かXSS脆弱性が見つかっています。
# Webメールは便利ですがリスクも高い事を知るには良い事例
# です。
#
# 追記: http://www.itmedia.co.jp/enterprise/articles/0612/25/news019.html
# こんな意見もあるようです。さすがにこの手のフィッシングに騙されるとは
# 思いませんが、騙されないと思っている人の方が騙されやすい傾向にあるの
# で注意が必要?!

カテゴリー
Windows

権限昇格の問題

権限昇格が可能な脆弱性がWindows Vistaにもある、と言う話。

The PoC reportedly allows for local elevation of privilege on Windows 2000 SP4, Windows Server 2003 SP1, Windows XP SP1, Windows XP SP2 and Windows Vista operating systems.

セキュリティメモの方が早かったですね。
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2006/12.html#20061225_CSRSS

関連
「Vistaの攻撃コード、5万ドル」——明かされる闇市場の相場
http://www.itmedia.co.jp/news/articles/0612/19/news006.html

Vistaのマルウェア感染はメーラーの実装による――Microsoftが検証結果公表
http://www.itmedia.co.jp/enterprise/articles/0612/25/news021.html

カテゴリー
Computer Security

SkypeにWorm

SkypeにWormが発生しているらしい。ただし、脆弱性を利用した攻撃ではなく、大規模な感染も発生していないようです。チャットで問題のある「バイナリ(sp.exe等)をダウンロードして」とメッセージが送られ、ダウンロード&実行すると感染するそうです。(亜種あり)

Skypeに脆弱性か!と思いましたが脆弱性を使った攻撃ではないようです。チャットメッセージからダウンロードしたファイルから感染するのであれば日本では問題にならないでしょう。

以下、F-Secureのブログから

* There is something spreading on Skype, but only in limited numbers
* It is not exploiting a vulnerability in Skype but simply sending chat messages asking you to download and run the infected executable

しかし、Bot作りも大変ですね。この手のWormでそれほど多くのBotが作れるとは思えないのですが… Botではなく別の目的かな?

# ところで、これワームと言うよりトロイの木馬ですよね。

カテゴリー
Other

PuTTY for Zero3

Zero3用のPuTTYをインストールしてみました。動作はしますが直ぐに固まるようです。

カテゴリー
Computer Linux

Full 64bit PPC Linux

テスト版ISOイメージはPS3へは普通(?)にインストールできていたようですが、私のPower Mac G5 Dualにはインストールができませんでした。最新版はインストールに成功(テキストモードですが)し、nvドライバを使ってXも使えるようになりました。取り合えず、ビルドだけは参加できる環境が整いました。
# パッケージの調整などは時間的に無理…

http://dist.momonga-linux.org/pub/momonga/test/PS3/

YDLは昔からフル64bitのPPC Linuxを有償で提供していたと思いますが、FC6などPPC64をサポートしているディストリビューションでもカーネルだけ64bitでアプリケーションは32bitパッケージになっていました。コミュニティで開発されているRPM系LinuxディストリビューションでフルPPC64はMomonga Linuxくらいだと思います。

以下はビルドしたパッケージのリスト。ppc.rpmでなくppc64.rpmとしてビルドされている。

-rw-r–r– 1 yohgaki yohgaki 682690 May 31 2006 rpm-4.4.2-5m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 788533 May 31 2006 rpm-build-4.4.2-5m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 1431640 May 31 2006 rpm-devel-4.4.2-5m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 1127865 May 31 2006 rpm-libs-4.4.2-5m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 70281 May 31 2006 rpm-python-4.4.2-5m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 2631610 May 31 2006 ruby-1.8.4-7m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 550121 May 31 2006 ruby-devel-1.8.4-7m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 640791 May 31 2006 ruby-doc-1.8.4-7m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 118636 Jun 1 2006 ruby-rpm-1.2.0-19m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 348576 May 31 2006 ruby-tcltk-1.8.4-7m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 197165 May 31 2006 sharutils-4.6.2-1m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 370292 Jun 2 2006 sqlite-2.8.17-1m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 230806 Jun 2 2006 sqlite-devel-2.8.17-1m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 471272 Jun 2 2006 sqlite3-3.3.5-1m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 461554 Jun 2 2006 sqlite3-devel-3.3.5-1m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 602679 Jun 1 2006 tar-1.15.1-2m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 999627 Jun 1 2006 tcl-8.4.12-1m.ppc64.rpm

カテゴリー
Computer Misc

ブラウザのシェア

このブログの場合はおよそ3割がFirefoxでIEのシェアは6割ほどです。もちろんほとんどが日本国内からのアクセスです。普段Firefoxを使っていますが自分のアクセスは計算されないようになっています。(実はアクセスが増えてきてIE比率が上昇していたります)

ブラウザのシェア(blog.ohgaki.netへのアクセス)

Hatenaなので一般的ユーザとは言えないかもしれませんが、今はFirefoxは2割超、IEは5割強。2005年12月でもFirefoxが1割以上ですね。
http://counter.hatena.ne.jp/sample/report?cid=11&date=2006-12-01&mode=summary&target=browser&type=monthly&view=

現時点ではIEのシェアはおよそ75%。
http://www.w3counter.com/globalstats/

セキュリティ系のサイトの場合、IEのシェアは半分以下の場合も多いと思います。
http://security-protocols.com/2006/12/10/my-firefox-vs-internet-explorer-statistics/

その他、検索して見つけたブラウザシェア情報を書いたページ
http://www.kkoba.com/blog/archives/2005/10/20059.shtml
http://www.spreadfirefox.com/node/23850
http://www.seo-equation.com/www/cat25/browser_market_share
http://lovesolid.com/nuc/item/243
http://salo919.lar.jp/modules/wordpress/index.php?p=48
http://taisyo.seesaa.net/article/28702371.html

2005年には依然日本ではIEが9割以上のシェアを持っているというレポートもあります。
http://www.websidestory.com/products/web-analytics/datainsights/spotlight/05-10-2005.html

こちらは2005年12月でおよそ10%のシェアとしています。
http://japan.internet.com/webtech/20060110/12.html

2006年1月の時点で12%のシェアがFirefoxとするレポートもあります。
http://internet.watch.impress.co.jp/cda/news/2006/01/23/10575.html

日本に限ればFirefoxなどのシェアはまだ低く、確かに日本では欧米に比べてFirefoxのシェアの伸びは遅れています。2006年になってから一般への普及も広がってきているように思います。

データが少ないので想像に近い値ですが、現在の日本のユーザのブラウザシェアは7割強がIE、2割がFirefox、1割弱がその他といったところが現実に近いシェアではないでしょうか?

ちょっとWebのことを知っている方(Web開発をメインでやっていないIT系の方など)は未だに「IEのシェアは国内では90%+で圧倒的、Firefoxは数%」と思っている方も多いようです。2005年にはメディアで「日本は欧米に比べFirefoxのシェアは低い」という情報が多かったことも原因と思われます。

どうもブラウザのシェアがどうなっているか、認識にずれが生じてきていると思います。