勉強会の時間調整に使っていただければと思って作っていますが、結構使われていないｗｗｗｗ

肝は、タイムキーパ係にきっちりタイムキープしてもらえるようにしました。
（結構現場で司会とか発表とかやっていると、自分で時間が分からなくなるものなので）
これで、タイムキーパが全体を通した時間の中で、発表者の時間を延ばしたり、休憩を短くしたりと出来ます
是非使ってもらえればと思います。

電子タバコだからって、運転中にすうのだけは辞めてほしいものだ。

京都市のタクシー会社「青葉交通」が、愛煙家の乗客向けに、ニコチン液と電池を内蔵した「電子たばこ」＝を全車両に１本ずつ装備した。業界団体によると全国的にも珍しい試み。

　米国製で、吸うと先端の赤色ダイオードが発光。水蒸気の煙も出て本物気分が味わえ、においや副流煙の心配はないという。乗客や運転手の受動喫煙を防ぐ目的だ。

http://www.asahi.com/national/update/0322/OSK200903220046.html?ref=rss

ちょっ！！！！URL書かない！！！＞画像！！！

→ 絶対開かないように！

• ttp://code.google.com/p/valarm/source/browse#svn/trunk

セキュリティニュースレターいつも読んでます！！！

今月のセキュリティ ニュースレターを配信しましたのでお知らせします。

セキュリティ ニュースレターは毎月第4水曜日に配信している無料のニュースレターで、実践に役立つセキュリティのヒントや、最新のセキュリティ ガイダンス、実用的なリソースの情報をお届けしています。

ニュースレターの購読は、購読申し込みサイト からどうぞ！

http://blogs.technet.com/jpsecurity/archive/2009/03/26/3218289.aspx

シェアの関係で、狙われるかどうか微妙なところ・・・

狙われ始める古いOS

Windows NT Server は既に更新プログラム提供終了しておりますが、来年 2010 年には Windows 2000 Server への更新プログラムが提供終了となります。Windows NT Server に比べてはるかに多くの Windows 2000 Server が現存しており、そのほとんどが何らかの形でネットワークに接続され、また USB ポートを備えているため、潜在的に極めて大きなセキュリティ リスクとなりつつあります。Windows 2000 Server の延長サポートがは 2010 年 7 月 13 日をもって終了することにより、新たな脆弱性への対策が事実上不可能になります。

ぉーーーー！TOMOYO Linux 2.2.0がLinuxのGITにマージされたとの事！！！おめでとうございます！！！

TOMOYO Linux 2.2.0 が Linus's git tree にマージされました。

TOMOYO Linux 2.2.0 が Linus's git tree にマージされました。: 熊猫さくらのブログ

楽しみー！！

2.6.30 としてリリースされるのは６月末〜７月上旬になると思います。

TOMOYO Linux 2.2.0 が Linus's git tree にマージされました。: 熊猫さくらのブログ

以前ドイツ＋イギリスに出張したときに、一緒にいた会社で

NC工作機は一家一台が当たり前？

http://www.nikkeibp.co.jp/article/news/20090326/141631/

id:hasegawayosukeが自宅にほしいに一票ｗ

以下は開発秘話

• 超精密加工・小型フライス盤・旋盤の株式会社ナノ｜開発までの道のり

超小型精密CNS旋盤　NANOWAVE MTS3/MTS4

http://www.nanowave.co.jp/product/mts3-4.html

おもろいｗｗｗｗ

• きんととの官公庁ビックリバイト体験4コママンガ『すべては県民のために。これが県庁公務員』

日本のブログ活性化を目的に一般のブロガーを表彰するイベント「Japan Blog Award 2009」の授賞式が25日、東京都内で開催された。総エントリー数2886人の中から、ニックネーム「きんとと」さんのブログ「きんととの官公庁ビックリバイト体験4コママンガ『すべては県民のために。これが県庁公務員』」が総合グランプリに選ばれた。

Japan Blog Award 2009、官公庁のバイト体験ブログがグランプリ

トレンドマイクロが企業のネットワークの安全性評価するサービスを開始したとの事。

トレンドマイクロ株式会社は3月23日、企業ネットワーク安全性評価サービス「Trend Micro Internal Threat Assessment（以下、TMITA）」を発表した。4月1日より提供開始し、今後1年間で50社への販売を目指す。

　TMITAは、企業ネットワークを24時間監視・分析し、内在する脅威を明らかにした上で、トレンドマイクロの技術スタッフが個々の環境に応じたセキュリティ対策を提案するもの。脅威を分析して報告する「アセスメントサービス」と、対応策を提案する「コンサルティングサービス」から構成される。

　まず、コンサルタントがユーザー企業のネットワーク環境をヒアリングした上で、トラフィックを常時監視するセンサー装置「Trend Micro Threat Discovery Appliance（以下、TDA）」を設置する。TDAでは、ネットワークの疑わしい挙動を常時監視・分析することが可能で、パターンファイルを使った従来の方法では検知できない未知の脅威やゼロデイ攻撃の兆候も発見できるという。

トレンドマイクロ、企業ネットワークの安全性評価サービス

週次ミーティングとか含んで300万弱か・・・高いと見るか安いと見るか。

Advanceのサービス実施期間が8週間。TDAの設置・回収・チューニング、各種レポートの提供、事前オリエンテーション、週次コンサルティングミーティング、最終報告会などを含んで、価格が266万7000円（税別）。

トレンドマイクロ、企業ネットワークの安全性評価サービス

関連URL

• 対策アドバイスを提供：トレンドマイクロ、企業ネットのセキュリティ評価サービス開始 - ITmedia エンタープライズ

Autorun.infの分析とその傾向らしい、後で読むかも（長すぎる・・・

トレンドマイクロでは過去数度に渡りUSBワームの脅威と現状について言及してきましたが、現時点でもUSBワームの感染報告は留まることなく、一定の推移で継続し続けています。

　2007年の感染報告以降、急激にその種類が増加している事を考えると、USB機器経由での感染経路に一定の効果があることが、ウイルス作者にも広く急速に浸透した事がうかがい知れます。

＜コラム＞USBワームが作成する「Autorun.inf」の分析とその傾向 | トレンドマイクロ セキュリティブログ

ISSでの環境対応は、未来の環境技術で活用できたりすると言うお話。

例えば船内では、地上と同じ気圧を保ち、酸素や窒素を適度に供給しなければなりません。また、排出された炭酸ガスを吸着して廃棄したり、あるいはそれを再生して酸素に戻すといった技術も必要です。食料の運搬も重要ですし、一方で排せつ物の処理技術も要求されます。さらに、このような宇宙ステーション開発においては、人工衛星の開発に比べても数段高い安全性や信頼性が求められますので、日本ではまだ経験が少ないこともあって大変苦労しました。

日経BP ESG経営フォーラム

キロ単価が、半端じゃないほど高いですからね、省エネ、活用、リサイクルってのは必須なんですね。

利用できるエネルギーがごく限られた過酷な環境にある宇宙空間に滞在し、生活するためには、省電力・省エネをはじめ、エコロジーが大前提となります。宇宙へ上げる1kgあたりのコストが高いので、機器やシステムの重量と容量を小さくすることも求められます。また、宇宙での故障の修理は、大変な手間とコストがかかりますから、できるだけメンテナンスが要らず、長寿命であることも重要です。操作も含めて余計な仕様を徹底的に排除し、ハードウエアもソフトウエアも、すべて最小限にとどめるよう設計する必要があります。つまり軽薄短小で、なおかつ安全を確保するための信頼性を、地上より数段高めなければならないのです。

日経BP ESG経営フォーラム

尿再生は、この前若田さんが設置したんだっけな。空調装置の水再生もか、、、実験装置の水なんかも再生されるんだろうな。

水再生に関しては現在、米国やロシアが着手し始めたところです。空気中に蒸発した汗などが空調装置の中で自然に凝縮水となりますが、これをイオン化したり、活性炭で浄化したり、ミネラルを加えるなどして再生し、飲料水として使用できるように研究開発しています。米国では、尿を処理して飲料水とする検討も開始しましたが、これは非常に高度な技術です。まだ色々とトラブルもあったりするようですが、何とか実現に至っているようです。このような尿処理装置の開発は、国際宇宙ステーション（ISS）に滞在できる人員を現状の3人体制から6人体制へと移行するための取り組みの一環として進めています。

日経BP ESG経営フォーラム

PHP-5.3.0RC1が出たとの事。

The PHP development teamは24日(米国時間)、PHP 5.3.0 RC1を公開した。5.3系はPHP 5系の最終ブランチになる見通し。バグ修正やセキュリティ対策以外にもいくつもの新機能が取り込まれるブランチになる。代表的な機能は次のとおり。

• 名前空間
• 遅延スタティックバインディング機能
• ラムダ関数
• クロージャ
• GOTO構文
• 新しいエクステンションのバンドル (ext/phar、ext/intl、ext/fileinfo、ext/sqlite3、ext/enchant)
• パフォーマンスの改善

http://journal.mycom.co.jp/news/2009/03/26/029/index.html

このあたり、要チェックですね。

5.2系やそれ以前のバージョンを使っている場合には5.3系へのアップグレードに備えておきたい。いくつかのエクステンションや内部APIは廃止されるなど一部の後方互換性も破棄される。アップグレードに関するドキュメントはphp-src/UPGRADINGにまとまっている。

http://journal.mycom.co.jp/news/2009/03/26/029/index.html

島根OSS、鳥取MSか（違

マイクロソフト株式会社と鳥取県は3月26日、「ICTを活用した地域活性化」に関して提携すると発表した。
この日、午後1時15分から鳥取県知事公邸で行われた調印式では、マイクロソフトの樋口泰行社長、鳥取県の平井伸治知事、鳥取県教育委員会の中永廣樹教育長が出席。樋口社長は、「地域のもつ可能性を最大限に引き出し、鳥取県の課題解決および豊かな生活ができる地域社会の実現を加速させる」と

マイクロソフト、鳥取県との提携で地域活性化

企業のバックサポートで底辺アップか、OSSでとんがった部分を研ぎ澄ますか、地域の特性だと思いますが、IT関係にチカラを入れる地域が増えていることはすばらしいことだ。

鳥取県の平井伸治知事は、「産業振興、教育、高齢者に対する福祉、地域福祉といった観点からも、地域の進化にITは不可欠となっている。鳥取県は、県を南北に走る国道9号に沿って高速・大容量の情報ハイウェイを構築し、全市町村を結んでいる。また、教育現場へのPCの整備でもほかの県に比べて進んでいる。さらに、eラーニングの仕組みも早期に導入している。だが、インフラはできたが、利用という観点から中身の促進を図る必要がある。教育分野においても、運用できる人材の養成が必要である。鳥取県では、ケーブルテレビで9割以上の普及率があり、このインフラを利用して、高齢者やNPOの活性化、人材の育成を行うことも可能。さらに、ソフトビジネスの中心は首都圏に集中しているが、鳥取県でも成長の余地があるはず。ソフト産業の育成にもつなげたい」などと語った。
また、鳥取県教育委員会・中永廣樹教育長は、「鳥取県は、情報教育に力を入れており、小中高校でのPC整備や、教師へのPC整備率では全国トップにある。マイクロソフトとの提携によって、教員のICTスキルを高めて、有効に活用していきたい」などとした。
マイクロソフトの樋口社長は、「鳥取県は、情報ハイウェイによるインフラ整備が完了しているが、それを十分に利活用できていないことに課題を感じる。利活用ノウハウを蓄積し、これを推進する人材の育成が必要になる。提携が終了する1年後に、利活用をドライブできる、核となる人材を育成できるかが鍵となる。それに対して、マイクロソフトは、育成プログラムの提供や、マーケティングの観点からも支援する」とした。

マイクロソフト、鳥取県との提携で地域活性化

OpenSSLにセキュリティアドバイザリが出ているとの事。OpenSSL 0.9.8kで修正されているとの事。

ASN1 printing crash
===================

The function ASN1_STRING_print_ex() when used to print a BMPString or
UniversalString will crash with an invalid memory access if the encoded length
of the string is illegal. (CVE-2009-0590)

Any OpenSSL application which prints out the contents of a certificate could
be affected by this bug, including SSL servers, clients and S/MIME software.

Users of OpenSSL 0.9.8j or earlier should update to 0.9.8k which contains a
patch to correct this issue.

Incorrect Error Checking During CMS verification.
=================================================

The function CMS_verify() does not correctly handle an error condition
involving malformed signed attributes. This will cause an invalid set
of signed attributes to appear valid and content digests will not be
checked. (CVE-2009-0591)

These malformed attributes cannot be generated without access to he signer's
private key so an attacker cannot forge signatures. A valid signer could
however generate an invalid signature which appears valid and later repudiate
the signature.

The older PKCS#7 code is not affected.

This issue only affects CMS users: CMS is only present in OpenSSL 0.9.8h and
later where it is disabled by default and 0.9.9-dev.

Users of OpenSSL CMS code should update to 0.9.8k which contains a patch
to correct this issue.

Thanks to Ivan Nestlerode of IBM for reporting this issue.

Invalid ASN1 clearing check
===========================

When a malformed ASN1 structure is received it's contents are freed up and
zeroed and an error condition returned. On a small number of platforms where
sizeof(long) < sizeof(void *) (for example WIN64) this can cause an invalid
memory access later resulting in a crash when some invalid structures are
read, for example RSA public keys (CVE-2009-0789).

Any OpenSSL application which uses the public key of an untrusted certificate
could be crashed by a malformed structure. Including SSL servers, clients,
CA and S/MIME software.

Users of OpenSSL 0.9.8j or earlier on affected platforms should update to
0.9.8k which contains a patch to correct this issue.

Thanks to Paolo Ganci for reporting this issue.

http://www.openssl.org/news/secadv_20090325.txt

記事出ていますねー>ITMedia

オープンソースのSSL／TLS実装ツールキット「OpenSSL」に脆弱性が見つかり、修正パッチが公開された。

　OpenSSLプロジェクトやセキュリティ企業のSecuniaが3月25日付で公開したアドバイザリーによると、脆弱性は3件あり、悪用された場合、セキュリティ制限をかわされたり、サービス妨害（DoS）状態を誘発される恐れがあるという。

OpenSSLに脆弱性、アップデートで対処 - ITmedia エンタープライズ

関連URL

• US-CERT Current Activity

EMFファイルのGdiplus.dllのExploitに関する詳細がMSから出ています。

Yesterday we noticed a blog post and securityfocus article about a potential new vulnerability in Microsoft GDI+ when parsing a specially-crafted EMF file. You might have heard about it referred to as ‘GpFont.SetData()’. We wanted to address some speculation about this EMF parsing bug.
First, our initial investigation shows that it is not exploitable for code execution. We are still investigating all the potential ways to hit this code but in all the common cases so far, our /GS mitigation is an effective defense-in-depth measure. The EMF parsing bug ends up writing 0x0000, a single Unicode 0 character, over the lower two bytes of the /GS security cookie. Only those two bytes are overwritten and the application is terminated due to the /GS failure.

New EMF gdiplus.dll crash not exploitable for code execution – Security Research & Defense

Mozilla Firefox XSL Parsing Remote Memory Corruption PoC 0day（情報元のブックマーク数） - まっちゃだいふくの日記★とれんどふりーく★のやつですね。

MozillaのオープンソースブラウザFirefoxに深刻な脆弱性が報告された。コンセプト実証（PoC）コードも公開されており、Mozillaは修正パッチの開発を急いでいる。

　セキュリティ企業の仏VUPENが3月26日に公開したアドバイザリーによると、影響を受けるのはFirefox 3.0.7までのバージョンと、Seamonkey 1.1.15までのバージョン。

　脆弱性はXSLT Transformを処理する際のメモリ破損エラーに起因する。この問題を悪用すると、攻撃者が細工を施したWebページにユーザーをおびき寄せ、ブラウザをクラッシュさせたり任意のコードを実行できてしまう可能性がある。

Firefoxに深刻な脆弱性、修正パッチ公開へ - ITmedia エンタープライズ

単純にSecuniaで出したアドバイザリの数で比較するのもあれだが、ソース非公開の場合は、ブラックボックステストになるから見つかりにくいでしょうね。

今回はWebサーバ製品として代表的な、Microsoft Windows ServerのInternet Infotmation Service（IIS）とオープンソースのApache、Apache Tomcat、またApacheの技術を活用しているOrcle Application Server、IBM Websphere Application Serverにおける脆弱性の発生状況と対応から、各Webサーバ製品における堅牢性をみていこう。

　表は、デンマークのセキュリティ企業のSecuniaが2002年以降に公開している各製品での脆弱性に対するアドバイザリー件数と修正パッチが提供されていない（未パッチ）の件数を示した。カッコ内の数字は、同社が解析した5段階の脆弱性深刻度のうち、深刻度の高いレベル4以上のアドバイザリー件数である。

Webサーバの堅牢性を改めて考える - ITmedia エンタープライズ

IIS5とIIS6の大きな違い、IIS5系列はSDLで再構築されてないってことか。そうか。

このため、IISは脆弱度の高いWebサーバプラットフォームという見方が市場に広まることになったが、Microsoftは次のIIS 6.0以降でセキュリティ強化を最大目標に掲げて、ソースコード自体の見直しを含めたプラットフォーム全体の改善を図った。この結果、IIS 6.0に対するアドバイザリー件数はIIS 5.xの3分の1になり、昨年公開したWindows Server 2008に搭載している最新版のIIS 7.0では現時点で1件のみにとどまっている。

Webサーバの堅牢性を改めて考える - ITmedia エンタープライズ

一方Apacheはパッチは基本提供されているという状況らしい、、、、、でもTomcatはねぇ・・・僕的には避けたい。（設定が面倒だし、Apacheみたいに体系化、細かい設定ができないため）

Apache 1.3.x〜2.2.xにはいくつかの未パッチの脆弱性が残されているものの、Apache Tomcatの各バージョンでは公開されているものに対しては、すべてパッチが提供されている状況だ。Apacheはオープンソースソフトウェアという性質から、脆弱性への迅速な対応という点ではベンダー製品に比べて弱い部分もある。しかし、Apache Software財団を中心とするコミュニティーの活発な活動や、長年使い続けているユーザーが蓄積した多数のセキュリティ対策のノウハウを考慮すれば、ベンダー製品に決して引けを取らないのは言うまでもない。

Webサーバの堅牢性を改めて考える - ITmedia エンタープライズ

OracleとIBM Websphareはパッチが定期パッチになるため、危険な状態が続く可能性が高いとのこと。

企業用途が主体のOrcle Application ServerやIBM Websphere Application Serverでは、特にOrcle Application ServerやIBM Websphere Application Server 5.x〜6.1.xで20件以上のアドバイザリーが提供されている。
両製品はApacheの技術を利用する製品として知られているが、やはりベンダー製品として修正パッチが迅速に提供されるメリットがあり、特にIBM Websphere Application Serverでは未パッチの脆弱性がわずかに残るだけである。Oracleは2004年以降、修正パッチの提供を四半期ごとに定期スケジュール化しているため、未パッチの脆弱性がいくつか残されている。これは度重なる修正パッチの適用がユーザーにとって大きな負担となることへの配慮であり、一般公開用としてのHTTP Serverの利用が少ないことを考えれば、大きなマイナス要因にはならないだろう。

Webサーバの堅牢性を改めて考える - ITmedia エンタープライズ

ってことで、IISは危険は過去のもの。そういう考え方している人は再度勉強しなおしってことですな。

脆弱性対策の面でも、IIS 6.0以降では脆弱性の公開件数が大幅に減少しており、月例のMicrosoft Updateが提供されているのはおなじみである。以前のワーム被害によって張られた「IISは危険」というレッテルはすでに過去のものであり、IIS 7.0はWebサーバプラットフォームをとしての堅牢性を十分に実現していると言えるだろう。
業務アプリケーション提供の用途が主体のOrcle Application ServerやIBM Websphere Application Serverは、ApacheやIISのようにWebサイトの公開用途が主体の製品とは求められる堅牢性の性質が異なるものの、Oracleの定例パッチ提供やIBMの迅速なパッチ提供体制がすでに確立されており、サポート体制を含めて十分に信頼される製品となっている。

Webサーバの堅牢性を改めて考える - ITmedia エンタープライズ

Melissaウイルスの10周年記念らしい、一世を風靡したマスメール10周年ですか。

Thursday (26 March) marks the 10th anniversary of the notorious Melissa virus, the first successful email-aware virus.
Supermodel of computer virus world turns 10, still spreading

www.calendarofupdates.com

販売管理システムを.NET Framework上で再構築とのこと。

株式会社三菱電機ビジネスシステムは3月27日、販売管理システム「販売指南」を.NET Framework上で再構築すると発表した。新版は、3月30日より提供を開始する。
　販売指南は、卸売業を中心に、製造、小売り、サービス、建設など、幅広い業務に対応できる販売管理システム。外部連携機能により、Web受発注、輸出入管理、データ分析といった外部システムと組みあわせ、販売部門向け統合ソリューションとして利用できるという。
　今回の新版では、新たに.NET Frameworkをアプリケーションプラットフォームとして採用するとともに、実績のある構成パーツを採用し、高いカスタマイズ性と信頼性を実現。また、各種けた数を大幅に拡張しており、例えば、商品管理の細分化に対応するため、明細予備項目を60けたに拡張している。

.NET Frameworkを採用した販売管理システム「販売指南」新版

Visual Basic2005ですか。。。

指南シリースはアプリケーションプラットフォームを「.NET Framework」に。プログラミング言語は.NET対応の「Visual Basic 2005」に。稼働し続けるシステムとして安心と信頼をご提供いたします。

http://www.melb.co.jp/p_contents/products/prod00040/prod00040.html

まずは、BCPレベル、でも無料相談窓口らしいです。

ファルコンストア・ジャパンは3月27日、リスクマネジメントサービスのニュートン・コンサルティングを共同で、「事業継続性計画（BCP）」導入を支援するサービスを4月1日から始めると発表した。
新たに始めるのは、無料相談窓口「BCPホットライン」と教育の2種類のサービス。BCPホットラインはBCPを作成する企業を対象に、相談内容をWebサイトで受け付け、システムの具体的な用件から経営層へ提案するための資料情報などの質問に答える。具体的なプランの導入提案も行う。
教育サービスでは、一般への認知拡大を目的に教育カリキュラムの作成やセミナー開催などを行う。当初はファルコンストアの製品ユーザーや販売代理店を対象にBCPの理解度を高める内容で実施するという。

ファルコンストア、BCPの無料相談窓口を開設 - ITmedia エンタープライズ

IT業界３Kって印象はあるってことか・・・（技術的には身につくってことらしいが）

「技術やスキルが身につく」と「夢がある」では、「IT・情報サービス・ソフトウェア」がトップ。特に「夢がある」については、「当てはまるものはない」が24.2％と高かったが、21.5％が「IT・情報サービス・ソフトウェア」を挙げ、2位の「広告・放送・出版」（16.5％）を引き離した。そのほか「IT・情報サービス・ソフトウェア」は、「かっこいい」で2位（24.5％）、「仕事にやりがいがある」で3位（14.5％）にランクインした。
その一方、「IT・情報サービス・ソフトウェア」の評価が比較的低かった項目としては、「働いている人たちが自分の仕事に誇りを持っている」が12位（7.2％）、「仕事の内容がわかりやすい」が20位（3.2％）だった。また、「仕事がきつい」でも、トップの「医療・福祉」（35.7％）に次いで2位（30.0％）に挙げられた。

大学生のIT業界イメージ「夢はあるが仕事がきつい」、IPA調査

給料は・・・・・・・・・・全体の下から2番目・・・・長時間労働の割に実入りが少ないってことか。

「他業種と比べて給与が高いと思うか」という項目では、「よく当てはまる」および「どちらかと言えばよく当てはまる」の合計が最も多かった業界は「銀行・証券・保険・その他金融」で58.3％。「IT（ソフトウェア）関連」は42.0％で、全6業界中で下から2番目だった。

大学生のIT業界イメージ「夢はあるが仕事がきつい」、IPA調査