今回残念ながら参加できなかったのですが、目覚ましがすごすぎ。参加したかったーーーー！

感想は書けないので（参加してないし）皆さんのBlogを見て指をくわえておきます・・・

yaizawaさんが、早くもMacOS XをULCPCで動かすLTを公開してくれています。

• ULPCはDarwin の夢を見るか?ってか全然セキュリティの話じゃないですね(PDF)

最近流行のULCPC でMac OS X を動かすのが流
行っているようなのでやってみました
" ちなみにまっちゃだいふくさんからのリクエストです:-)

---

なに、この他人任せｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

モテエンジニアにままーりままーり進んでください。ままーりは、止まるのでなく自分のペースで進み続けるですので、よろしくｗ

ただいまー。 楽しかった★　モテエンジニアへの道は遠いですけど、頑張ります！（ぇｗ
勉強会の内容については、きっと、ばけらさんのとこに詳細が出るはずなのでそれ待ちでｗ

a threadless kite - 糸の切れた凧(2009-01-31)

---

ikeさんの秀逸まとめ。

UNICODEは文字集合。
UNICODEとCP932などでは 多対1 の変換になってしまう。

「A」と「R」をSQLServerにInsertしてみる。
「nchar」と「nvarchar」のフィールドにはそのままInsertできるが、「char」と「varchar」のフィールドには「A」と「R」に変換されてInsertされる。

http://kinshachi.ddo.jp/blog/comp/archives/000831.html

kawaさんのおもしろそうだったなぁ。

小さなつぼは、うまくいうなぁ。

とっても参考になったのは、男女の幸せの壷の大きさの話。

• 男は大きな壷
  • なかなか幸せを感じないが、なかなかなくならない。
  • 例：大きなプロジェクトをやり遂げたら、脳が麻痺して暫くは達成感が続く。
• 女は小さな壷
  • すぐに一杯になるがなくなるのも速い。
  • 小さい事で幸せを感じれるが、毎日幸せを入れる必要がある。

http://kinshachi.ddo.jp/blog/comp/archives/000831.html

本編に入って、川口さんのやつ。

へぇーーー！そんなことまでしてるんだ！

感染済みのPCにはそれ以上感染を行わない。
例えば、AntivirXP08の場合、感染するとUserAgentが「AntivirXP08」に書き換えられる。UserAgentが「AntivirXP08」だった場合、IFRAMEタグを埋め込まない

http://kinshachi.ddo.jp/blog/comp/archives/000831.html

あれ、川口さん参加してなかったよねぇ・・・

第17回まっちゃ１３９勉強会で発表されたMSの小野寺匠さんの「2008年セキュリティインシデント総まとめ（仮題）(PDF)」が紹介された。全てをまとめ切らなかったので「(仮題)」が取れなかったのだとか。

http://kinshachi.ddo.jp/blog/comp/archives/000831.html

これも聞きたかった一つ。実際のインシデントレスポンス事例。

公開してからダウンロードが増えたってのは、確かにね。。でも中の人は色々考えて苦労してるんですよねぇ

1ヶ月強の間に何をしたか。どのように対応したか？

既存利用者と新規利用者保護のバランスが問題になった。

・とった対応

Step1. 把握している利用者に個別メール (口外しないように)
Step2. 管理者画面の「お知らせページ」に表示 (口外しないように)
Step3. 一般公開

修正パッチはメールで送らないように。丸秘サイト＋認証ページなどで配布を行った。
利用してるユーザを把握しておく事は大切かも。

・広く公開する必要があるか？
→ 内容が致命的であった
→ 把握できていない利用者もいた
→ 公開した結果、信頼威勢の低下(ダウンロード数の減少)はなかった。むしろ上がった。

http://kinshachi.ddo.jp/blog/comp/archives/000831.html

今回はおいしい！と大きな声は聞こえてきていない。ｗｗｗｗ、既に飽きられてる？！＞甘いもの

雪苺娘。有楽町の店舗で買えるとの事。
プレイン、プリン、モモ、抹茶がありました。

http://kinshachi.ddo.jp/blog/comp/archives/000831.html

---

ほぉほぉ、さすが川口さんそういう風に説明したか！！！

英語情報が翻訳されなくて、3週間遅れか・・・・確かになぁ・・てか、その前に英語（ｒｙ

危険度別に色分けされた世界地図を示して日本はまだ比較的安全と言う一方、英語の一次情報がいつまでたっても翻訳されない日本のセキュリティは3週間遅れと言ってみたり。ここに書いていいのか判断に困る夢のある話がぽんぽん出てくるあたりセキュリティってやっぱり面白い(?)と再認識。達成感は大事ですね。

第4回まっちゃ445勉強会行ってきました - 嘘すると三代祈る

今回も楽しかったみたいですね!!!!!!!!!!!!いいなぁいいなぁ・・・

それにしてもこの界隈の人たちってどうしていちいち言い回しが秀逸なんでしょうか。「この人ら定期的に笑いを取らないと死ぬんか?!」と勘ぐりたくなります。面白そうだったので懇親会までついていくことにしました。

第4回まっちゃ445勉強会行ってきました - 嘘すると三代祈る

Thanx今、夜中なのですが、ロンドンですｗ

到着して早々「まっちゃさんは国外逃亡」と、わけのわからない話を聞かされる。何が起こったのかと。帰宅してからTwitterを覗きにいくと、えーと……よくわかりませんが Have a nice travel.

第4回まっちゃ445勉強会行ってきました - 嘘すると三代祈る

---

これは、モテエンジニアとしてのしゃべる力か、スタッフとしてのしゃべる力か・・・どっちだろｗ

やっぱ喋る力は必要だなぁ。

雑記帳(2009-01-31)

---

やっぱり、おいしい勉強会ｗｗｗｗｗｗｗｗｗｗ

ちょっと時間が無いので、
『雪苺娘美味しかったです』
だけ。

第4回まっちゃ445勉強会に行ってきました - sakukaの日記

---

ばけらさん、いつも素晴らしいレポートありがとうございます！！！

第4回まっちゃ445に参加してみたので、まずはライトニングトークをざっとメモ。

第4回まっちゃ445 ライトニングトーク | 水無月ばけらのえび日記

ｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ（大爆笑ｗ

今日は漢字の人。ひらがなは攻撃者モード?

第4回まっちゃ445 ライトニングトーク | 水無月ばけらのえび日記

色々実装でかわるもんなんですねぇ。

0x5cと0xa5の多対一の変換。多対一変換が起きるかどうかは実装依存。

• ASPなど : U+00A5→?
• PHP : U+00A5→全角
• Java: U+00A5→0x5c

第4回まっちゃ445 ライトニングトーク | 水無月ばけらのえび日記

これ、午後にもやってもらえたみたいで感謝感謝＞ゆまのさん

ライトニングトーク3：「Sparkingしよう」（ゆまのさん）
MS DreamSparkの話。

第4回まっちゃ445 ライトニングトーク | 水無月ばけらのえび日記

ぁーAIDOさんの聞きたかった・・・・

ライトニングトーク4：「振り込め詐欺が無くならない」（aidoさん）

何故流行る? : 簡単なお仕事、初期投資が少ない、低リスクで億単位。創意工夫で頑張っただけ儲かる、やりがいのあるお仕事

第4回まっちゃ445 ライトニングトーク | 水無月ばけらのえび日記

だれでも簡単に振り込め詐欺を実装できてしまうので、はやっちゃうんでしょうね。

• 振り込まれても、銀行は損しない。ジャミング→1台300万円、携帯使えないデメリットもある。どちらかというと、目新しい対策をしているというPRのため。
• 日本でフィッシング詐欺が流行らない理由 : 振り込め詐欺でどーんと儲かるから。フィッシングは頑張っても900万くらいが限界だが、振り込め詐欺は頑張れば億に届く。

第4回まっちゃ445 ライトニングトーク | 水無月ばけらのえび日記

きゃーーー！聞きたかったのに！！

ライトニングトーク5：「ULCPCはDarwinの夢を見るか?」（yaizawaさん）

第4回まっちゃ445 ライトニングトーク | 水無月ばけらのえび日記

色々問題はあるけど、やっぱり楽しいよねｗ

• アップデートはいろいろ難しいらしい。10.5.5へのアップデートはカーネルパニックが起きるので一工夫必要
• 使い勝手 : Safari は問題ない。Mac としては画面小さい。QuickTimeに負荷をかけるとカーネルパニック
• ベンチマーク : 初代 Mac Mini に全てにおいて負けている

第4回まっちゃ445 ライトニングトーク | 水無月ばけらのえび日記

伝説のkawakawaさんのプレゼン！！！これ、ほぼ満席だったらしいですよ。すげぇ。

経験がうまく表現されている感じが、すごい。北海道で聞きます！ｗ

ライトニングトーク6：「モテエンジニアのススメ」（kawaさん＠チームチドリ）

• モテ力 = 魅力 * 出会い数 * 行動力。イチローでも3割
• 男と女は違う : TCP と UDP くらい違う。ポート 80 に HELO しても駄目

第4回まっちゃ445 ライトニングトーク | 水無月ばけらのえび日記

---

悪のアジト

• SQLインジェクションで埋め込まれるURLの統計
• 次々に移転し続ける、一週間もしたら使い捨て→フィルタリングが追いつかない

第4回まっちゃ445「インシデントレスポンスの現場から ～事件は会議室で起きているんじゃない。現場で起きているんだ。～」 | 水無月ばけらのえび日記

中国製攻撃ツール

• 暗黒工作組
• サポートあり、アップデートも頻繁。6000円/月くらい。

第4回まっちゃ445「インシデントレスポンスの現場から ～事件は会議室で起きているんじゃない。現場で起きているんだ。～」 | 水無月ばけらのえび日記

攻撃側は常に変化をしている、守る側は3年同じで大丈夫か？CookieへのインジェクションWAF貫通は厳しいですねぇ

攻撃リクエストの変遷

• 2007年 …… ntext のみにスクリプトを埋め込む
• 2008年 …… varchar, sysname, text, ntextが対象
• 最近の攻撃
  • "></title> が頭につくようになって効率UP! 属性値やtitle要素内にインジェクションされても動作する
  • 既にやられているかどうかチェックする (しないと、増殖して行く)
  • マルチバイト文字を含むリクエスト
  • Cookieへのインジェクション → WAF貫通力大。インテリジェンスでない機器では検出された。:-)
  • 冗長な % を含むインジェクション → ほとんどの機器を貫通。

第4回まっちゃ445「インシデントレスポンスの現場から ～事件は会議室で起きているんじゃない。現場で起きているんだ。～」 | 水無月ばけらのえび日記

これは、辞めてほしいｗｗｗｗｗｗ攻撃ですｗ

認知されていない検査によるインシデント事例

• 脆弱性のニュースを見て、過去に開発したシステムに脆弱性がないか心配→開発会社が無断で検査を実施→検知
• 「同業者が対策しているか知りたかった」という理由で検査

第4回まっちゃ445「インシデントレスポンスの現場から ～事件は会議室で起きているんじゃない。現場で起きているんだ。～」 | 水無月ばけらのえび日記

開発側の厳しい状況・・・・バージョン管理も大変なんですねぇ。1日200件とは・・・

問題への対応

• 慌てて公開すると、既存利用者の対応が間に合わない
• 対応を遅らせると、毎日200件程のペースでダウンロードされて脆弱なサイトが増えて行く

→JPCERT/CCに相談

第4回まっちゃ445「インシデントレスポンスワーク EC-CUBEの事例」 | 水無月ばけらのえび日記

構築期間という罠があるのか！！！！！テンプレートを企業で作られたら、変更は本当に大変だ・・・

EC-CUBEはダウンロードされてから利用開始まで約3ヶ月かかるので、今ファイルを差し替えてもすぐには影響が出ない。既存利用者の保護を優先するべきと判断した。

三段階に分けての告知を計画。

• 第1段階: ロックオンが把握する利用者に個別にメール
• 第2段階: 管理画面「お知らせページ」に警告を表示 (MT管理画面のように、お知らせを表示する機能がある)
• 第3段階: 一般公開

第4回まっちゃ445「インシデントレスポンスワーク EC-CUBEの事例」 | 水無月ばけらのえび日記

これで、出すと怖いという悪い循環してほしくない。すばらしいソフトを脆弱性のリスクでリリースを辞めるなんて悲しいことを言われないように、しないといけませんね。

EC-CUBE、JPCERT/CCのみなさま本当にありがとうございました。＞もちろん秀逸レポートを作ってくれた”ばけら”さんに感謝！

最初は軽い気持ちで作ったが、世に出すのは怖い。ちゃんと相談して進めるとうまく行く。自分たちで勝手に判断して行動しなくて良かったと感じている。

第4回まっちゃ445「インシデントレスポンスワーク EC-CUBEの事例」 | 水無月ばけらのえび日記

---