<<< JPCERT/CC WEEKLY REPORT 2007-11-21 >>> ■11/11(日)〜11/17(土) のセキュリティ関連情報 目　次 【1】2007年11月 Microsoft セキュリティ情報 (緊急 1件含) について 【2】Apple 製品に複数の脆弱性 【3】Samba に複数の脆弱性 【4】HP-UX の JRE および JDK に複数の脆弱性 【5】HP OpenView Operations (OVO) に複数の脆弱性 【6】libFLAC に複数の脆弱性 【7】Sleipnir および Grani のお気に入り検索機能に脆弱性 【8】SecurityDay2007 のお知らせ (2007年12月18日開催) 【今週のひとくちメモ】Windows SteadyState ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https:

公正取引委員会は11月16日、NTTドコモおよびKDDIに対して、顧客が条件を誤認する恐れがある広告表示があったと、厳重警告処分にした。また、総務省も適正な情報提供を求めるように要請をした。同委員会では2006年12月、携帯電話事業者が行う広告表示について、利用者が誤認する恐れがある広告表示を指導していた。 対象になったのは、NTTドコモの「ファミ割MAX50」および「ひとりでも割50」、KDDIの「誰でも割」という料金割引サービス。告知チラシにおいて、訴求するサービス内容に比べて契約期間、解約金などの制約条件の文字が小さいことを指摘した。契約が自動更新になるという条件が裏面に記載され、一般消費者に誤認される可能性があるという。 今回の処分について、NTTドコモは「今回の警告を厳粛に受け止め、社内の広告、販促ツールの表示に関するルールを見直し、対応の徹底をはかる」と発表。KDDIは「今回の

クロスサイト・リクエスト・フォージェリ（forgery＝偽造）は，踏み台サーバーを閲覧したユーザーから攻撃対象となっているWebサーバーに対し，閲覧者が意図していないHTTPリクエストを送らせる攻撃手法です。CSRF（またはXSRF）と呼ぶこともあります。 CSRFは，掲示板への書き込みを実行するURLをクリックさせるなどの攻撃手法として，比較的古くから知られています。2005年ころに，ログインが必要なWebサイトを攻撃対象としたCSRFが登場し始めたことから，大きな被害につながる恐れのある攻撃手法として認識されるようになりました。 攻撃者は踏み台サーバーに，攻撃対象サーバーへのリクエストを発行するリンクやスクリプトを挿入しておきます。このリンクやスクリプトは，踏み台サーバーを閲覧したユーザーのブラウザに送り込まれます。閲覧者が誤ってこのリンクをクリックするなどの操作をすると，攻撃対象サー

第7回 ノート・パソコンからの情報漏えい（前編） 短いパスワードは無いも同然，「鍵」は別の場所に分けて置く セキュリティ相談室は都心にある。室長の四谷博士は歩いて通っている。一方，市谷相談員は毎朝電車で通勤している。今日は，ぎりぎりの時間に息を切らせながら駆け込んできた。 市谷：（はあはあ）おはようございます。 室長：どうしたんじゃ？ 市谷君：電車で忘れ物を拾ったんですよ。持ち主らしき人を追いかけて…。 室長：それで，追い付いたんじゃろうな？ 市谷：いや，見失ったんですよ。このノート・パソコンなんですがね。これから警察に届けてきます。 室長：ちょっと待て。何か書いてあるようじゃぞ…。「このパソコンを拾得された方は，下記までご連絡ください。薄謝進呈いたします。ふわふわ商事システム部」。電話番号も書いてあるぞ。 市谷：良かった…。 室長：そうじゃ，薄謝の代わりに相談に来てもらうのはどうじゃな？

圧倒的な人気を誇る米Apple製「iPod」の後塵を拝すことにうんざりしている米Microsoftだが，11月第4週は大喜びできるだろう。記憶容量80Gバイトのハードディスク装置（HDD）を内蔵する携帯用メディア・プレーヤ「Zune」の新モデルが，全米のオンライン販売サイトと小売店で売り切れになっているのだから。明らかにZuneの成功を示すニュースだが，ある一つの事実で帳消しになる。80Gバイト版Zuneの製造台数が少ないうえ，そもそも1台も入荷しなかった販売店が多いのだ。 Microsoftは「80Gバイト版Zuneに関するレビュー記事が好意的であったことに感激した」としているが，記事を書いた人たちがその時点で所有者の大半を占めていた疑いもある。製造が遅れているとうわさされているが，真実はもっと現実的な判断が理由だ。Microsoftはメディア・プレーヤ市場の状況をみて，フラッシュ・メモ

任天堂のファミコン向けゲームソフトを、NTTドコモの「iアプリ」に変換してくれるサービス「NES2FOMA」です。 このサービスを使うと、昔自分が好きだったファミコンソフトなどをNTTドコモのFOMA端末で遊べるようになるというスグレモノ。実際に動作しているムービーもあります。 詳細は以下の通り。 NES2FOMA | ROMファイルをiアプリに変換 |株式会社　クレイジーワークス このページによると、手持ちのファミコンソフトのROMファイルをアップロードすることで、NTTドコモのFOMA向けiアプリに変換してくれるそうです。なお、変換後は指定されたURLまたはQRコードを使ってダウンロードできるとのこと。 また、推奨機種は902iまたは702iシリーズ以降とのことで、P901iやN901iの場合、以下のムービーのような速度で動作するとしています。残念ながら音は出ない模様。 YouTube

マイクロソフトはこのほど，同社が2008年第2四半期にリリースする予定の「Windows XP Service Pack 3（SP3）」に，Internet Explorer（IE） 7とWindows Media Player（WMP） 11が含まれないことを明らかにした。 Internet Explorer 7は，Windows Vistaの標準ブラウザであり，Windows XPとWindows Server 2003向けにも2006年11月に公開された。既に英語圏では，2006年11月からOSの自動更新機能による配布なども始まっているが，日本語圏や韓国語圏，中国語圏，ヘブライ語圏では「自動配布の予定は2008年以降であり，詳細な予定日は後日公開する」とだけ述べられており，マイクロソフト自身，IE 7への強制移行には及び腰である。 IE 6とIE 7に関しては，Active Xコント

米Guard ID Systemsは米国時間11月20日，米国のオンライン・ショッパーを対象に調査した結果を発表した。それによると，回答者の91％はパスワードをパソコン上に保存したり，同じユーザー名やパスワードを複数のショップのアカウントで使うなど，アカウント情報を安全に扱っていないことが分かった。 ホリデー・シーズンを間近に控え，オンライン・ショップの利用者が急増すると予想される。そのため，攻撃者にとってはマルウエア，偽のWebサイト，フィッシング攻撃などを通じて無防備な消費者から個人情報を盗み出す絶好のチャンスになると警告している。 調査によれば，回答者の74％はフィッシング攻撃を仕掛ける電子メールを受け取った経験があると答えており，50％はこれらの電子メールに「騙された」または「騙されそうになった」としている。しかし，回答者の3分の1は，知らないサイトでも価格が安ければ商品を購入する

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます マカフィーは11月20日、「タイポスクワッティング」と呼ばれる危険なサイバー行為に焦点を当てた研究報告書「2007年タイポスクワッティングの現状」を発表した。タイポスクワッティングとは、「つづり間違いのドメイン名の不正占有」の意味で、入力ミスしやすいURLアドレスにユーザーをだますサイトを設置する行為。 マカフィーでは、研究範囲を数値化するため最も一般的なドメイン名の2771件を変形した190万の名前を調査。その結果、最も害がないものでも、ネット利用者を予期しないサイトに誘導したり、正規サイトの運営者から利用者を取り戻すための支払いを要求したりして、一般企業に不利益をもたらすものであった。最悪の場合は、オンライン詐欺や「一攫千金」の儲け

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 日本ベリサインは11月20日、「インターネットユーザのインターネットセキュリティに関する意識調査」の結果を発表した。この調査は、個人インターネットユーザー800人を対象に、11月2日から4日にかけて実施したもの。 調査結果によると、ネットサービスを利用する際に個人情報の漏洩について不安に感じるときは、「銀行口座の出入金（78.4％）」、「オンライン決済を含むオンラインショッピング（80.3％）」といった、お金のやり取りが発生する利用において高い割合で不安を感じる人が多い中、「ウェブサイトからの会員登録（66.8％）」や「ウェブサイトからの資料請求（61.5％）」といった機会にも不安を感じる人が多く存在した。 ネットサービスを利用する際に

南の島を買い取ってゆっくり暮らす…などというのはお金持ちの夢なのかもしれませんが、自分で島を作ってしまおうと考える人はあまりいないのではないでしょうか。環境保護主義者でアーティスト・ミュージシャンのRichie Sowaはその少数派だったらしく、ペットボトルを大量に使用して浮かぶ島を自分で制作してしまいました。 詳細は以下の通り。 Man (Re)Builds Mexican Island Paradise on 250,000 Recycled Floating Bottles >> ecoble Richie Sowaが島を作ったのは最近のことではなく、1998年のこと。25万本のペットボトルを使って浮島を作り、そこに二階建ての家や太陽光オーブン、コンポスト・トイレ(水を使わずに排泄物を微生物の働きで分解するトイレ)などを設置したそうです。 見張り台のような二階建て建築。 ボトルを持っ

図　GDX Japanの提供する「GDX トラステッドプラットフォーム」の仕組み　専用アプライアンス「GDX Edge」を社内に導入するか，または同アプライアンスを使ったホスティング・サービスに加入した企業ユーザー同士で，メールの配送状況の確認や，到達保証が可能になる。SMTPをアプライアンスでHTTPSベースのプロトコルに変換し，GDXが管理する「ノード」という中継サーバーを経由してメールをやりとりする。 到達保証メール・サービスとは，企業間でのメールの送受信を保証するサービスである。ネットワークの各所で迷惑メール対策が進んでいる現在，自分の出したメールが誤ってしゃ断されてしまう可能性も否定できない。そうした不安を解消するため，GDX Japanでは「GDX トラステッドプラットフォーム」を2007年11月から開始した。 このサービスは，専用アプライアンス「GDX Edge」と，メールを

Windows Vistaというと，どうしてもWindows Aeroやフリップ3Dといった華麗なグラフィック機能に関心が向きがちですが，Windows Vistaの最大の強化点は，Windows XPから大幅に向上したセキュリティ機能です。Windows Vistaでは数えられないほどの新機能によって（ユーザーアカウント制御と Windows Defenderなど目で見ることのできる新機能もありますが、目で確認できない内部においても多くの点が改善されています）、コンピュータを攻撃しようとする悪意ある人物に対するセキュリティレベルが大きく向上されています。 この連載では、危害を加えようとする人物からコンピュータを確実に守るために、ファイアウォールの利用、更新プログラムの適用、ウイルスのブロック、スパイウェアのブロックによる 4つの重要なセキュリティ対策を 1つずつ詳しく説明します。 増大す

1. はじめに 最近、業務でマルウェアを解析する機会が増えてきたのですが、最近のマルウェアはどれも様々な解析対策が施されており、数年前と比べて解析がやや面倒になっています。攻撃者はマルウェアの発見を困難にさせたり、セキュリティベンダーらによる解析を遅らせたりするため、エンコーディングやゴミコード挿入などによる難読化、コンポーネントや実態の多段化、デバッガ検出など、様々な解析対策を実装しています。 今回は、このデバッガ検出を無効にする方法を紹介します。 2. マルウェア解析とAnti-Debugging マルウェアを解析する際は、デバッガを使って地道にアセンブリコードを追っていく事になります。デバッガでブレークやステップを繰り返し、フロー、API呼び出し、引数、データの流れなどを確認して行くのですが、その際、何度か先頭から再実行しなければならないという状況に遭遇します。たとえば、「この条件分

近年，Ajaxの台頭をきっかけに，JavaScriptを使ったブラウザのリッチ・クライアント化が進んできました。現在では，ページの表示を変化させるだけであれば，ほとんどのことはJavaScriptのみで対処することが可能です。それを実現するのがDOMなのです。 第1回　DOMから始めるモダン・スクリプティングの世界へようこそ 第2回　ブラウザからHTMLはどう見えているかを理解しよう ～ドキュメントツリー～ 第3回　DOMスクリプティングのことはじめ(1) ～要素（タグ）を狙い撃ち～ 第4回　DOMスクリプティングのことはじめ(2) ～これはどんな要素？～ 第5回　DOMを使ってHTMLを自由自在に書き換える 第6回　イベントハンドラから脱却しよう 第7回　スクリプトを完全に分離しよう ～コンテンツ，プレゼンテーション，ビヘイビア～ 第8回　スクリプトのパッケージ化 ～使い回しできるスクリ

ついに本連載の最後となりました。今回のテーマはJavaScriptの設計スタイルです。 JavaScriptで様々なアクションを実現しようとすると，ブラウザによって挙動が異なったり，場合によっては動かない場合があります。例えば，標準化されているW3C DOMといえども，ブラウザの種類やバージョンによってその実装の度合が異なるからです。 今日，様々なブラウザがあふれており，またそれらのバージョンも多岐にわたります。すべてのブラウザ，そしてすべてのバージョンで全く同じように動くようにするというのは，もはや現実的ではありません。 そこで，近年，Unobtrusive Scriptingと呼ばれるスクリプティングの考え方が注目されるようになりました。"Unobtrusive"は，"でじゃばらない"，"控え目な"，"つつましい"といった意味を持っています。 Unobtrusive Scripting

ワシントンDCで毎季開催される全米のエコノミスト会合に参加して帰国する際、ダレス空港の売店で奇妙な雑誌の表紙が私の目に飛び込んできた。“Manga Conquers America－Now Japanese comics are reshaping pop culture.”と題した雑誌WIREDの特集記事である。 記事は日本の漫画・アニメが米国、欧州に広範に普及し、世界のポップカルチャーに新しい変化をもたらす源泉になっていると語っている。NBonlineでも遠藤誉さんの「中国“動漫”新人類」は、日本の漫画・アニメが中国に浸透し、文化的なフュージョン（融合）を生み出している状況を描いており、面白い。米国でもジャパン・アニメフェスティバルは各地で毎年開催され、漫画キャラクターに扮した米国の若者たちで賑わう。 なぜ日本の漫画、アニメ、ゲームソフトが海外でも人気なのか？ こうした「ジャパン・イン

Content-Type: text/html; charset=UTF-8; charset=Shift_JISという変な応答を返したときに、IEはUTF-8、FirefoxはShift_JISと認識する。実際にそういう変な応答を返すWebアプリを発見した。