スラッシュドット・ジャパン | Safari 3.1.2 for Windows、“Carpet Bomb”に対処

IT セキュリティ

Safari 3.1.2をリリースして、じゅうたん爆弾攻撃に対応したそうです。

ついに登場:Safariのセキュリティ問題、コンセプト実証コードが公開 - ITmedia エンタープライズ - まっちゃだいふくの日記★とれんどふりーく★とかマイクロソフト セキュリティ アドバイザリ (953818): Apple製SafariがWindowsプラットフォーム上で使用された場合の複合的な脅威 - まっちゃだいふくの日記★とれんどふりーく★とか

Appleが19日(米現地時間)、Sarari 3.1.2 for Windowsをリリースした。Windows XP/Vistaに対応。4件の脆弱性が修正されるが、このうちの1件は、“Carpet Bomb”問題(この件に関するMicrosoftのセキュリティアドバイザリ)に対処するものである。なお、3.1.2は現在のところWindows版のみで、Mac版はない。

関連URL

screenshot

サーバ仮想化における大きなジレンマはバックアップにあり − @IT

IT セキュリティ

ほんとにVMwareのバックアップ設計は難しい。

VMware ESXにおける仮想サーバ環境のバックアップ手法には、基本的に各仮想サーバでバックアップ・エージェントを動作させる方法と、VMDKという形式の1 ファイルに見える各仮想サーバを、そのままバックアップする方法の2つがある。前者は差分バックアップができるし、ファイル単位でのリストアも可能だが、各仮想サーバでバックアップ・プロセスが動くため、大きな負荷がかかる。VMDKファイルをバックアップする方法は一見簡単だが、差分バックアップができず、毎回仮想サーバの全データをバックアップすることになってしまう。また、ファイル単位でのリストアもできない。

VMware Consolidated Backupで独自にカタログを作成してファイル単位、サーバ単位両方でリストア可能になるとの事

NetBackupでは、まずVCBに対応することで、仮想サーバに負荷をかけないバックアップを実現している。さらに、ファイル単位のバックアップの仮想サーバ単位のバックアップの場合は、これに含まれるファイルのカタログを取得することにより、仮想サーバ全体、ファイル単位のいずれの方法でもリストアができるという。

screenshot

NTTビズリンク、月額1575円からのオンラインPCバックアップサービス

IT セキュリティ

オンラインでバックアップってのは良さそうですねぇ。

独自暗号は気になるけど、BizLinkな管理者も見れないような暗号化だったら吉。

BizLinkイージーDRサービスは、クライアントPCに保存された重要ファイルをオンラインに保存できるバックアップサービス。主に中堅中小の企業向けに提供する。
シンプルなインターフェイスが特長で、専用ツールをインストールするだけで簡単にサービスが開始できる。バックアップしたいフォルダ・ファイルも容易に選択でき、スケジュール設定も日・週単位など柔軟に設定可能。また、128ビットSSLによる通信経路の暗号化と、バックアップファイルへの独自暗号化により、高いセキュリティを実現しているという。

screenshot

asahi.com(朝日新聞社):アイホンのインターホン発煙 8万5000台リコール - 社会

IT セキュリティ

iPhoneではなく、アイホン

実家で使っていた気がするのでメモ。

 アイホン(本社・名古屋市)製のインターホンから煙が出る事故が2件あり、同社は約8万5千台を対象にリコール(無償点検・部品交換)を始めた。リコールの実施は今月2日にホームページで公表したが、国に届けていなかったため、経済産業省は19日、同社を指導した。
 対象は、92年8月〜99年9月に製造されたテレビドアホン6機種。長年使っているうちに本体の電源回路の部品が劣化し、煙が出る恐れがあるという。同社の問い合わせ先は、フリーダイヤル(0120・234・889)。

screenshot

「情報は1冊のノートにまとめなさい」(Nakamura Blog)

IT SKIL

一元管理することは必要ですよねぇ、うーん、読もうこの本。

情報は1冊のノートにまとめなさい 100円でつくる万能「情報整理ノート」 (Nanaブックス)

情報は1冊のノートにまとめなさい 100円でつくる万能「情報整理ノート」 (Nanaブックス)

  • 作者: 奥野宣之
  • 出版社/メーカー: ナナ・コーポレート・コミュニケーション
  • 発売日: 2008/03/12
  • メディア: 単行本(ソフトカバー)
  • 購入: 28人 クリック: 855回
  • この商品を含むブログ (377件) を見る

「これは!」と思った点は

  • 情報は100円ノートに一元化する
  • なんでも書く
  • 時系列に書く
  • なんでも貼り付ける

ってところです。非常にシンプル。

日記やスケジュールも書くことが勧められていますが、これらはブログや Google カレンダーを使った方が便利かな。スケジュールは印刷して貼り付ければいい。この辺りは自分に合わせてアレンジすればいい。

screenshot

Trend Micro Control Manager 5.0 公開およびサポートサービス開始のお知らせ

IT TREND

仮想化環境に対応した集中管理ソフト 「Trend Micro Control Manager(TM) 5.0 アドバンス」を発表 〜WebSAM、JP1、Systemwalkerとリアルタイムに管理情報を連携〜 - まっちゃだいふくの日記★とれんどふりーく★のリリースがされています。

そういえば、Trend Micro Control Manager4.0はどこに行ったんだろ・・・

■製品名

Trend Micro Control Manager 5.0

サポートサービス開始日:

2008年06月20日

そんなに大規模な改修というわけではないようだが、VMwareに対応は大きいし、x64 Editionに対応もうれしい

主な新機能:

こういう下の製品への影響は、もっとアナウンスすべきだと思うな。

アップデート/配信に関する制限事項

1. ウイルスバスター コーポレートエディション(以下、ウイルスバスター Corp.) 8.0へのスパイウェアパターンファイルの配信ステータスは、ウイルスバスター Corp. 8.0 Patch 2以降が適用されていない場合、Control Managerでは正しく表示されません。

screenshot

 JNSAの2007年度セキュアOS導入に関する課題の試行結果報告書 - yuyatノート

IT セキュリティ

JNSAで実際に導入されているTOMOYOのポリシーも見れるそうです。

やっぱり、セキュアOSの事例ってほぼ内緒にされちゃうんですねぇ・・・

セキュアOSを導入して事例にしたくてもほぼないしょにされてしまうのですがJNSAは違いました!
導入から、Webサーバ用のポリシーの検討、導入後の運用、トラブル対応など導入してみてどうなったのかといういままでにない内容です。
実際に適用されているポリシーも見ることができますのでぜひご確認を。

screenshot

Firefox3でも暗号化サイトアクセス時アドレスバーを黄色くするハック - 適宜覚書はてな異本

IT セキュリティ

FireFox3からHTTPSのURLが黄色くならなくなったんだ!気づかなかった!

Firefox2からFirefox 3になっての知られざる変更点の一つに、Firefox2には暗号化されたサイト、例えばhttps://で始まるサイトを訪れた際アドレスバーの背景を黄色くするという機能があった。開発者が喧々諤々やった結果、Firefox3では視覚的なアラートを止めた。

Stylish Extensionを入れれば、userChrome.cssをいじるだけで、色を変えられるそうです。

Stylish extension拡張をインストール済みなら、以下をスタイルに追加するだけだ。

#urlbar[level] .autocomplete-textbox-container {
   background-color: #FFFFB7 !important;
}

screenshot

「初バグ」の悪用はない――Mozillaが語るFirefox 3のセキュリティ - ITmedia エンタープライズ

IT セキュリティ

FireFox3では、Googleブラックリストを使って、危険なうぇbサイトへのアクセスを制限するらしいです。

Firefoxはバージョン3で、アドオンをチェックして最新版が使われるようにする機能など、多数のセキュリティ関連の新機能を追加した。だが最も大きいのは、Googleと協力してWebサイトのブラックリストを導入したことだ。ユーザーが偶然不正なサイトにアクセスすることがないように、ブラックリストのアプローチを採用したとスナイダー氏は語った。

 「この場合、ホワイトリストは適さない。Webは巨大で、すべてのWebサイトのカタログを維持し、それに含まれないものを遮断しようとするのは、機能的に不可能だ」と同氏は言う。「それにホワイトリストは、マルウェア作者が広告ネットワークに入り込んだり、サイトの脆弱性を悪用したりなどして合法的なWebサイトを標的にする場合には、致命的な欠点がある」

 Firefox 3はGoogleのフィッシング・マルウェアデータベースを利用して、ユーザーがアクセスしようとしているサイトをロード前にチェックするという。ローカルデータベースはおよそ30分おきにアップデートされる。

screenshot

「ソフトウェア・プロダクト・オブ・ザ・イヤー 2008」募集開始

IT セキュリティ

去年は顔チェキの中のソフトが表彰された、IPA主催ソフトウェア・プロダクト・オブ・ザ・イヤー 2008の募集を開始したそうです。

情報処理推進機構IPA)は20日、優れたソフトウェアを表彰する「ソフトウェア・プロダクト・オブ・ザ・イヤー 2008」の募集を開始した。
ソフトウェア・プロダクト・オブ・ザ・イヤーは、ソフトウェア開発者などを称えることで、開発意欲を高め、良質なソフトウェアの供給を促進する目的で1989年に創設され、今年で20周年を迎える賞。2007年には沖電気工業の「組込用顔画像処理ミドルウェア FSE」がグランプリを受賞している。
2008年の募集対象は、2007年から2008年までの過去1年程度の期間内において、国内で広く利用され、流通しているソフトウェア。「産業・企業・行政」「家庭・個人」「安心・安全」「システム・基盤」の4部門があり、パッケージプロダクトだけでなく、組み込み系ソフトウェアやオープンソースソフトウェア、ASPSaaSとして提供されるものも含む。

screenshot

ジャパンネット銀行「振り込め詐欺資金返還ご相談窓口」設置

IT セキュリティ

ジャパンネット銀行振り込め詐欺救済法対策で、窓口を置いたそうです。

振り込んでしまったら、すぐに相談!引き出されてからでは返還額が減額されるそうです!

これは、「犯罪利用預金口座等に係る資金による被害回復分配金の支払等に関する法律(振り込め詐欺救済法)」に基づくもの。振り込め詐欺に遭い、ジャパンネット銀行の口座に資金を振り込んでしまった場合に資金返還の相談を受け付ける。

screenshot

Firefox3で入れた拡張機能(add-ons)のまとめ - うさぎ文学日記

IT SKIL

Copy URL +が良さそうなので、使ってみるテスト。

あと、Firefox3.0 b4 導入録 小ネタ集: 電網探題で検索バーから開くページは新しいタブで開くとか
Firefox3.0 b4 導入録 小ネタ2: 電網探題でmailto:クリックでメーラーを起動しないを設定
http://drupal.0829.info/blog/44で「タイトルと URL をタグを付けてコピー」する機能を設定

Copy URL +

コンテキストメニューに「タイトルとURLをコピー」などを追加。「Firefox で参考サイトの情報をタグ付きでコピーする | Drupal.0829.info」を参考に、タグ付きでコピーできるようにカスタマイズしている。ブログ書く人には便利かな。

このあとmincemaker さん、id:sen-uさん経由で、MakeLinkが良いということで、MakeLinkにした

こりゃーーー便利だ!

Firefox3で入れた拡張機能(add-ons)のまとめ - うさぎ文学日記: - まっちゃだいふくの日記★とれんどふりーく★の件、私もid:sen-uさん、mincemakerさんのお勧めで変えてみました。

http://d.hatena.ne.jp/ripjyr/20080621/1214031811

screenshot

rubyneko - Re: そろそろ吉岡弘隆について一言いっとくか

IT セキュリティ

減らす必要があるのか、不明ですが、個人的には同じジャンルの勉強会が土日に重なることが多いことは悲しいことだと思います。

セキュリティ界隈の勉強会は数が少ないので、どうにかなりますが開発系はかぶる割合が多いんだろうねぇ。

俺はちょっとスタンスが違うのか、彼みたくそういう熱い想いをもって勉強会してるんじゃないなあ。
「これ勉強したい」と思ったときには、既に勉強会の告知をしていて、気がついたら開催している、そんな感じです。
現在は既にいろんなところから「関西は勉強会が多すぎる」といわれていて、勉強会回数を縮小する方向でみんなが動いていってます。個人的には別に多すぎてもなんら問題ないとは思ってます。

screenshot

「管理者パスワードで同僚の情報を盗み見」が3人に1人 - ITmedia News

IT セキュリティ

a threadless kite - 糸の切れた凧(2008-06-20)経由)

管理者が何でも見れるという件ですが、結構悪用されているとの調査結果

IT管理者を保護するためにも、暗号化というのは必要かもしれませんね。

IT専門スタッフの3人に1人は、管理者パスワードを不正に使って同僚の給与明細や個人メール、取締役会の議事録といった見てはならない情報を盗み見しているという調査結果が発表された。
この調査は情報セキュリティ企業の米Cyber-ArkがIT管理者300人を対象に実施。3人に1人が情報をこっそり盗み見していると認め、47%は自分の役職と関係ない情報にアクセスしたことがあると答えた。

screenshot

ドットを使わない (hoshikuzuさん)(a threadless kite - 糸の切れた凧(2008-06-20))

IT セキュリティ

これは、厳しい・・・本気で厳しいかも。

XSS の evasionネタ。 ドットが使えない場合に、代わりに with を使う。たとえば、 javascript:with(String)eval(fromCharCode(0x61,0x6c,0x65,0x72,0x74,0x28,0x64,0x6f,0x63,0x75,0x6d,0x65,0x6e,0x74,0x2e,0x63,0x6f,0x6f,0x6b,0x69,0x65,0x29)) で Cookie がアラート表示される。

screenshot

2004年以降、セキュリティへの関心が高まる − @IT自分戦略研究所

IT SKIL

読者調査なITエンジニアの保有スキル動向や転職意向に関しては定点観測結果だそうです。

今後セキュリティなスキルがほしいとみんな思っているそうです!

まず保有スキルだ(図1)。多少変動はあるが、順位はほぼ安定している。常にトップを維持しているのがWindowsシステム管理で、数値で見ると常に半数弱ある。これは同じOSに関するスキルであるUNIXLinuxの倍近くはある。WindowsUNIXLinuxと比べ敷居が低いというのも理由にあるだろう。

データベースやネットワークがたしなみですかw。それもない(以下略

Windowsシステム管理に続くのはデータベース、ネットワーク、Javaである。それぞれ分野は違うが、これらはITスキルの基本であり、多くのITエンジニアが「たしなみ」として保有しているもののようだ。

セキュリティ++セキュリティ++。普段から情報収集してセキュリティの知見を高めようと努力しているITエンジニアだそうです。

では今後スキルアップしたい分野はどうだろうか(図2)。近年の傾向ではセキュリティがトップに躍り出たと考えていいだろう。ただセキュリティのスキルといっても具体的に何をマスターすればいいか、どこまで防御すれば安全か、その判断基準は難しいところだが、上場企業を中心に内部統制が一般化するなど必要性が高まっているのは確かだ。何が脅威となるか、普段からまめに情報収集してセキュリティの知見を高めようと努力しているITエンジニアの姿が浮かぶ。

screenshot

ガイアックス、手嶋屋と協業して「SNS 監視 for OpenPNE」を開始 - japan.internet.com Webマーケティング

IT セキュリティ

ガイアックスOpenPNEの投稿監視サービスを開始するそうです。

基本的にはOpenPNEに監視ツールを入れて監視するそうです。

株式会社ガイアックスは2008年6月20日、株式会社手嶋屋と協業し、投稿監視サービス「SNS 監視 for OpenPNE」を開始した。
このサービスは、手嶋屋のオープンソース方式 SNS エンジン「OpenPNE」のために、ガイアックスが独自開発した監視専用ツールをカスタマイズしたもの。

screenshot

Panda Security、誰でも簡単にマルウェアが作れるツールの脅威を警告 - japan.internet.com Webテクノロジー

IT セキュリティ

Pandaが簡単ウイルス作成ツールの脅威を警告しています

標的型攻撃もツールで簡単に作れる!ってことですからね。

セキュリティ関連のソフトウェアとコンサルティングを手がける Panda Security が、最新式のワーム作成ツール『Constructor/Wormer』の脅威を監視している。これはマルウェア ネットワークがスクリプト キディー (技術がないのにツールに頼って興味本位の攻撃をする者) を使いやすいツールで釣り、意のままに操ろうとするもので、Panda Security ではこうした手法についても注視している。
このツールの黒幕は、データベースや銀行情報を狙うサイバー犯罪者だ。
簡単にマルウェアを作成できるアプリケーションを公表するという手口は、特に新しいものではない。しかし、Panda Security によると、今回の手法は従来のものとは違うという。同社はソフトウェアのほか、技術セキュリティに関するコンサルティングサービスの提供を業務としている。

screenshot

パターンアップ-5.355.00

TREND パターン

Trendmicroのパターンがアップしました。

パターン番号:5.355.00

イエローアラート:なし
アップデート理由:WORM_SANKEZU.A緊急対応
新規対応
 緊急対応
  WORM_SANKEZU.A
亜種対応
 特筆無し

screenshot

Antivirus & Content Security Software | Securing Your Web World - Trend Micro USA

IT セキュリティ TREND

Trendwatchが見やすくなった。

Web、スパム、ウイルスと分かれています。

英語表記 日本語訳 日本語サイト表記
Normal 標準
Elevated 上昇中
High 高い
Severe 厳しい 最高 (アラート)

screenshot

Copy URL+よりオススメ Make Link - Firefoxアドオン - うさぎ文学日記

IT セキュリティ

Firefox3で入れた拡張機能(add-ons)のまとめ - うさぎ文学日記: - まっちゃだいふくの日記★とれんどふりーく★の件、私もid:sen-uさん、mincemakerさんのお勧めで変えてみました。

id:umqさんオススメで使ってみました。 Copy URL+と同じことができ、設定も設定画面でできて便利です。

http://d.hatena.ne.jp/sen-u/20080621/p3

めっちゃBlog書くのが楽になった!!!!

screenshot

日本のセキュリティチーム (Japan Security Team) : アドバイザリ 953818 更新 - Safariのsecurity update提供開始

IT セキュリティ MS

SafariのアップデートでMicrosoftのセキュリティアラートをやっとクローズできたましたね!!!よかったよかった

すでに、ニュース等で報じられていますが、Safaiのsecurity updateが公開され、アドバイザリで言及していた、
複合的な脅威のSafari側が対処されたことになります。
それに伴い、セキュリティ アドバイザリ 953818 を更新しました。
Safaribのsecurity updateに関する詳細は、About the security content of Safari 3.1.2 for Windows を見てください。
これを書いている時点では、残念ながら日本語情報は見つけることができませんでした。
日本語版アドバイザリを更新するに当たり、日本語環境で更新があるのか一応確認してみましたが、
Apple Software Updateを通じて、日本語環境でもsecurity updateが配布されているようです。
しかしながら、この更新プログラムをそのままインストールすると、Quick Timeなどのいくつかの新しいソフトウェアもインストールされるみたいですね。
特に必要としてい場合は、チェックを外してから 「n項目をインストール」ボタンをクリックすると、使用許諾書が表示され同意すると、
インストールされるようです。

http://blogs.technet.com/jpsecurity/archive/2008/06/21/3075225.aspx

関連URL

screenshot

asahi.com(朝日新聞社):火星に氷「やっぱりあった」 NASAなど、写真分析で - サイエンス

IT 宇宙

やっぱり火星には氷?(固体)が存在して、昇華?蒸発?したため、NASAは水と判断したそうです。

米航空宇宙局(NASA)とアリゾナ大などは20日、火星探査機フェニックスが撮影した写真の分析から、火星極域の地表近くに氷が存在することを確認した、と発表した。今回の発見で、かつて温暖だった火星には地球型生命に不可欠な液体の水が存在し、微生物などが生きられる環境だった可能性が高まった。  確認の決め手は、ロボットアームの先のスコップが火星の土をすくい取った跡の写真。15、16日に撮影された写真では、さいころ大の白っぽく光る塊が写っていたが、19日の写真では消えていた。

http://www.asahi.com/science/update/0621/TKY200806210088.html?ref=rss

screenshot