書棚を掃除していて、「新教養としてのパソコン入門
コンピュータのきもち」という本を久しぶりに手に取り
ました。
著者の山形浩生さんのサイトで文章を読むこともで
きます。
改めて読んでみると、初心者向け云々というよりも
コンピュータが好きで好きでたまらない人がその思
いを綴った本。という感じですね。
この中にある第1回の内容を読んで思い出したのが、
元F1世界チャンピオン、ニキ・ラウダのインタビュー
記事。
その中で、彼は速く走るために必要なものとして3つ
の要素を挙げています。
1. 才能
2. クルマを理解する力
3. クルマを速く走らせるために何をすればいいかと
いう経験から得ることのできる知識
そして、2つ目の要素についてこんな解説も。
------------------------------------------------------------
いいヤツっているだろう、他人の気持ちを思いやる
ことのできるヤツが。ある種の人間は他人の気持
ちを感じとることが出来るんだ。女性のこと、幼い
子供のこと、お婆さんのことでも思いやることがで
きる。とても暖かな感情だよね。それと同じように、
クルマのことを感じとるってことなんだ。素晴らしい
ドライバーは、オイルがエンジンの中を流れる感覚
を、つまりエンジンを目一杯使うために十分な温度
が得られていることを、クルマを思いやるように感
じ取ることができる。
F1倶楽部 1993 vol4
編集長インタビュー
ニキ・ラウダ F1を速く走らせる条件(P.8)より
------------------------------------------------------------
コンピュータが大好きでたまらないという人であれ
ば、まさに "コンピュータがいっしょうけんめい計算
をしているとき、我が身のことのように感じていっし
ょにのたうちまわる" であるとか、人によって様々な
感じ方があると思いますし、どんな道具を使う場合
にも関係するであろう、身体感覚の拡がりというの
はつくづく面白いなあと思いますね。
2008-12-30
身体感覚
2008-12-27
正しい(笑)飛行機の誘導法
先日、飛行好きの友人から面白い動画を紹介してもら
いました。
マーシャラーが飛行機を誘導している内容ですが、ア
メリカ、スペイン、ドイツ、イタリア、オランダ、そしてイ
ギリス・・・となった途端に大笑い。
こういう遊び心、いいですね(笑)
ニコニコ動画では、"イギリス軍人に学ぶ、正しい飛行
機の誘導の仕方" というタイトルが絶妙です。
■関連リンク
マーシャラー - Wikipedia
イギリス軍人に学ぶ、正しい飛行機の誘導の仕方
2008年10月22日
宵の風
2008-12-26
仕事納めの前に・・・
今日で年末の仕事納めという企業も多いかと思います
が、長期休暇の前にこれだけはやっておきましょう!と
いう対策を示してくれている団体の情報はぜひチェック
しておきたいものです。
詳しい情報は、関連リンクをご覧ください。
■関連リンク
冬期の長期休暇を控えて
JPCERT/CC
2008-12-22
年末年始における注意喚起
独立行政法人 情報処理推進機構セキュリティセンター
掲載日 2008年12月22日
総務省 国民のための情報セキュリティサイト
総務省・経済産業省連携 ボット対策プロジェクト Cyber Clean Center
2008-12-24
4月に発覚の「SQL Server」脆弱性、マイクロソフトはいまだパッチをリリースせず
Computerworld.jp、2008年12月24日の記事です。
いやはや強烈ですね・・・.
■関連リンク
SQLインジェクション - Wikipedia
[ThinkIT] 第5回:インジェクション攻撃 (1/4)
2005/5/25
Top 15 free SQL Injection Scanners
Friday, 18 May 2007 - 15:05 EST
SQLインジェクション攻撃に関する注意喚起
情報処理推進機構
最終更新日 2008年5月15日
掲載日 2008年5月15日
SQL インジェクション攻撃とその対策
公開日: 2008年4月30日 | 最終更新日: 2008年6月25日
「Microsoft SQL Server」の脆弱性修正パッチ、公開は間もなくか
Computerworld.jp
2008年12月25日
JVNVU#696644
Microsoft SQL Server の sp_replwritetovarbin 拡張ストアド プロシージャの処理における脆弱性
公開日:2008/12/25 最終更新日:2008/12/25
2008-12-18
NATO幹部が世界情勢の安定化に向けたIT活用状況を披露
Computerworld.jp、2008年12月15日の記事です。
記事の内容で特に印象深いのは、"NNECが重視してい
るのは、何よりもまず人である。ユーザーを啓発し、特に
機密情報の共有に積極的になってもらいたいと考えてい
る" という、ウルリッチ・H・M・ウルフ中将の言葉です。
NNEC(NATO Network Enabled Capability)に興味が出
てサーチしてみたところ、見つけることができたPPTファイ
ルではこのあたりを意識していると思われる連続的なフ
レームワークを見ることが出来ました。
この中では、以下3つのブロックが4段階の成熟度に分類
して記述されています。
★Maturity Level
(成熟度レベル)
★Process Maturity Level Names
(プロセス成熟度のレベル名)
★Process Maturity Level Partial Description
(プロセス成熟度の部分的記述)
実際の表は "Transformational Maturity" というタイトル
のスライドにあるのでご興味のある方は見ていただきた
いと思いますが、ざっくり訳すとこんな感じです。
------------------------------------------------------------
レベル :1
レベル名:Deconflict
(相互干渉の排除)
部分記述:Basic interoperability processes
(基本的な相互運用プロセス)
Share basic planning info to separate forces in
time and space
(基本的な情報計画を共有し、時間および空間内
に能力を分離)
レベル :2
レベル名:Coordinate(連係)
部分記述:Additional interoperability processes
to coordinate planning and execution
(計画および実行の連係における、付加的な相互
運用プロセス)
レベル :3
レベル名:Collaborate(協働)
部分記述:Additional interoperability processes
to support collaborative working arrangements
between NATO organizations during all operational
phases
(オペレーション中の全段階において、NATO組織間
が協働的に機能するためのアレンジメントをサポー
トする、付加的な相互運用プロセス)
レベル :4
レベル名:Coherent(一貫性)
部分記述:Advanced interoperability processes
allowing all stakeholders to work together in
seamless manner
(すべての利害関係者がシームレスな方法で
一致協力できる高度な相互運用プロセス)
------------------------------------------------------------
いかにガチガチに固めるか、というより組織をいかに高い
レベルで機能させるかに重点を置いている点で、地に足
が着いた印象があります。
■関連リンク
北大西洋条約機構 - Wikipedia
The 2008 Defence Leaders Forum
NCSA - NATO Communication and Information Systems Services Agency
NNEC Portal: NATO Network Enabled Capability (NNEC)
(PPTファイル)
C4Iシステム - Wikipedia
マイクロソフト、防衛ITシンポジウム 2005を開催――防衛分野がIT技術によって迎える変革についての講演を披露
ascii24.com
2005年2月17日
例えば「指揮官とIT」という視点
@IT
2005/2/18
2008-12-14
Browser Security Handbook
Handler's Diary、2008年12月12日の記事です。
Google から公開されているもので、IE、Firefox、
Safari、Opera、Google Chrome 等幅広い範囲
を網羅しています。
まだほんの少し見ただけですが、素晴らしい!の
一言です。
■関連リンク
Googleブラウザセキュリティ文書公開 - すべてのWebアプリ開発者へ
マイコミジャーナル
2008/12/12
Google、MS、Mozilla の3社がブラウザのセキュリティ問題を議論
japan.internet.com
2008年12月15日 09:00
揺らぐ技術の積み重ね:ブラウザのセキュリティを再考する (1/2)
ITmedia エンタープライズ
2008年08月04日 06時00分 更新
「安全なWebブラウザ」を選定するための手引き
Computerworld.jp
2009年05月01日
Studying HTTP
2008-12-13
In the wild
昨日記事にしたトピックにも出てくる言葉で情報セキ
ュリティの世界で時折耳にする言葉に "In the wild"
というのがあります。
簡単に言えば「実害が生じている」ウイルスを指すの
ですが、以前この言葉の由来をある方に教えていた
だいたことを思い出しました。
もともとは「The WildList Organization International」
の組織名から一般に定着したのだろうということや、こ
れに対してウイルスばかりを収集したサイトを「zoo」と
呼んでいたことから "In the wild" になったのではない
かとのお話でした。
つまり、「動物園の中に居る」状態(ウイルス研究機関
内にだけあるものは "zooウイルス" と呼びますね)に対
して「野生環境に生きている」(実運用されるパソコンや
サーバー上で活動して実害を引き起こしている)という
ことなのだそうです。
後世に出てくるような、ウイルスライターが趣味で書い
て実環境に放たずアンチウイルスベンダへ送ってくる
ようなケースは "In the wild" にあたらないといった補
足もいただきました。
■関連リンク
「In the Wild」とは
ITpro
The WildList Organization International
「The WildList Organization International」とは
ITpro
「WildList」とは
ITpro
やさしいセキュリティ講座(9) Anti-Virusの性能評価
Bagle、Mytob検出テストについて
2008-12-12
0-day exploit for Internet Explorer in the wild
Handler's Diary、2008年12月10日の記事です。
Diary からリンクされている感染サイト一覧を見ると
ことごとく中国ドメインですね。
すでにマイクロソフトからセキュリティアドバイザリが
出ていますが、当面は代替ブラウザの使用が推奨
されているのも、時間的なコストの観点から納得な
所があります。
追記:
Handler's Diaryの新しい記事で、IE6と8(ベータ版)
も含まれる話題が出ていましたが、まだこれらのバ
ージョンへの攻撃報告は受けておらずパニックに陥
ることはないと締めくくっています。
■関連リンク
中国のサイトで感染の疑い:IE 7にゼロデイの脆弱性、月例パッチでは未解決
ITmedia エンタープライズ
2008年12月11日 08時03分 更新
「Internet Explorer」にパッチ未対応の脆弱性
セキュリティ - ZDNet Japan
2008年12月11日 12時47分
IE7にパッチ未提供の脆弱性、MSがセキュリティアドバイザリを公開
INTERNET Watch
2008/12/11 19:20
「IE」のぜい弱性を突く新たなゼロディ攻撃が出現,SANSが警告
ITpro
2008/12/11
JVNVU#493881
Microsoft Internet Explorer 7 の XML 解析処理における脆弱性
公開日:2008/12/11
最終更新日:2008/12/11
MS Internet Explorer XML Parsing Remote Buffer Overflow Exploit 0day
milw0rm.com
2008-12-10
Microsoft Internet Explorer XML Buffer Overflow (Exploit)
SecuriTeam
28 Dec. 2008
The continuing IE saga - workarounds
Handler's Diary
Published: 2008-12-13,
Last Updated: 2008-12-13 20:36:06 UTC
by Jim Clausing (Version: 1)
マイクロソフト、「全バージョンのIEに脆弱性」と警告
Computerworld.jp
(2008年12月15日)
Microsoft announces an out of band patch for IE zero day
Published: 2008-12-16,
Last Updated: 2008-12-16 20:23:07 UTC
by donald smith (Version: 1)
IEに対する攻撃が激増
――マイクロソフトが脆弱性の存在を明らかにした翌日から
Computerworld.jp
(2008年12月16日)
Internet Explorer 960714 is released
Published: 2008-12-17,
Last Updated: 2008-12-17 22:56:36 UTC
by donald smith (Version: 1)
マイクロソフト、IEの脆弱性修正パッチを緊急リリースへ
Computerworld.jp
2008年12月17日
絵でみるセキュリティ情報
MS08-078 : Internet Explorer の重要な更新
Internet Explorer 用のセキュリティ更新プログラム (960714)
公開日: 2008年12月18日 | 最終更新日: 2008年12月18日
JVNTA08-352A
Microsoft Internet Explorer のデータバインディング処理における脆弱性
公開日:2008/12/18 最終更新日:2008/12/18
ヒープ・オーバーフローとは
インテル用語集
CIOは今、“ゼロデイ・アタック”の脅威にどう立ち向かうべきか
CIO Online
CIO Online 特別寄稿 Apr. 2005
「ゼロデイ攻撃」が当たり前の時代に
ITPro
2006/10/11
「ゼロデイ」とは戦うべきか,付き合うべきか
ITPro
2007/06/04
2008-12-07
Fine Business, Fine Life.
帰国前にハワイ島を歩いていた時、とあるお店が閉
店のお知らせを出していたのを見つけました。
サンクスギビングデーゆえ、そもそもお休みしている
所もあれば早めに営業時間を繰り上げる店もあって
張り紙をしている所は良く見ていたのですが、どんな
ことが書いてあるんだろうとお知らせを読んでみて、
その内容に感銘を覚えました。
かなり意訳となりますが、内容の一部をご紹介したい
と思います。
------------------------------------------------------------
Over the past 31 years we have had people from
just about every country in the world patronize
our store and have enjoyed talking with them and
finding out where they are from and what they do.
過去31年間、私どもは世界各国ほとんどの方々に当
店をご支援いただき、皆様がどちらから来られどのよ
うなことをされているかといったお話を通じた発見を楽
しませていただきました。
One thing that we learned is that no matter where
they came from to visit us, no matter what race,
color or religion they were, we all have the same
desire and that is "Peace on Earth" and United we
Stand".
そして私どもと当店を尋ねてくださった皆様が、おい
でになられた場所や人種、肌の色、または宗教を問
わず、"地球の平和"への願いで結ばれている事を学
びました。
Again we would like to thank each and every one
of you for your business and friendship.
繰り返し、皆様各位のビジネスと友情に感謝申し上
げます。
------------------------------------------------------------
これを読んで、お店の方々が素晴らしいご商売を通
じてとても豊かな時間を過ごしていたことが伝わって
くるようでしたね。
折りしもインドのムンバイで起きたテロ報道に触れた
後だけに、こうした言葉に光明を見るような思いでした。
2008-11-25
パンチボウルセメトリー
昨日から、日本へ帰国する途中でなぜかというと、どうしてもやって
おきたい事として "パンチボウル
セメトリー"と呼ばれる軍人墓地に
お参りしたかったからです。
そもそものきっかけは、渡米準備を
重ねている最中に日系アメリカ人の
志願兵で構成された部隊の話を知
って、その凄まじさにショックを受け
たことにあります。
以来、アメリカの地を踏むことが出来るのはこうした
先達の犠牲があってこそではないかと思うようにな
り、彼らの眠る場所には是非足を運ぼうと考えてい
たのでした。
ガイドさんいわく「昔みたいに中へ入れてくれないか
もしれないよ」とか「変わってるわねえ」いった話もあ
りましたが(苦笑)、まずは行ってみようと市営バス
に乗り込み出発。
途中で乗り継ぎに手間取りましたが、到着してから
坂道を登っていくと墓地というよりも公園のようでな
んと風光明媚な場所なのかと驚きました。
事務所で日系アメリカ人部隊の墓地はどこですか?
と尋ねると「ニセイ(二世)?」と返答され予測もしな
かった言葉に少し驚き。
更にどこから来たのかと聞かれて日本だと答えた所、
そうじゃなく日本のどこかとの質問に居住地を伝えた
ら「そこは行ったことがあるから少し知ってるよ。他に
○○とかも知ってるね」と言われ更にびっくり。
示されたブロックまで歩き、しばし黙祷を捧げてから
奥にある場所まで足を伸ばすと、中には小さな礼拝
堂がありました。
時折他の観光客と軽く挨拶を交わす時に見る笑顔や
敷地内にはためく星条旗も、ここでは心なしか何とも
言えない重さが加わるように感じます。
ほぼ一日がかりでのアクティビティでしたが、その甲
斐は十分すぎるほどにあったと感じる一日でした。
この地で眠りにつかれている方々が、安寧の中にあ
ることを祈りたいものです。
■関連リンク
第442連隊戦闘団 - Wikipedia
National Memorial Cemetery of the Pacific - Wikipedia, the free encyclopedia
国立太平洋記念墓地「パンチボウル」
2008-11-20
ESLサイト2選プラスα
今日はアダルトスクールで "Computer Labs" という名
称でパソコンの使い方を題材にしていました。
ノートPCを1人1台ずつ配って、各部の名称やブラウザの
使い方などを簡単に教えた後に英語学習用のサイトに
接続してリスニングと簡単なクイズをこなしました。
現地で生活するために必要な言葉がシチュエーション毎
に学べるもので、いずれも便利そうです。
esl-lab.com
elcivics.com
他にも実際にアクセスしていませんが、参考に。
languagegude.org
elcivics.com
2008-11-17
Santa Ana Wind
滞在先のカリフォルニアでは、時折サンタアナウインド
と呼ばれる風が吹きます。
そんな時にASOSと呼ばれる気象情報を聞くと突風が
50ノット(約92.6 km)にも及んで、誰も座っていない
金属製の椅子が勝手に動くほどの日もありました。
当然そのような日はフライトできないので、グランドと
呼ばれる座学に時間を費やすことになります。
ここ数日起きている大規模な山火事の様子は昨日訓
練空港から様子がはっきりわかるほどで、当日到着し
た人の話ではフリーウェイがカーナビの画面表示の様
に赤く見えたとか。
末筆ながら被害に遭った方々へお見舞い申し上げます。
■関連リンク
米カリフォルニア州南部の山火事相次ぐ 非常事態宣言
レスキューナウ 大規模災害速報
2008/11/17 07:00
カリフォルニア州の山火事 (Jp) - アメリカ旅行に対する注意喚起
Nov 14 2007, 11:45 AM
山火事
住・食・遊・学 in L.A.
2007年10月22日
航空無線のページです。 Tower ATIS Clearanceも
2008-11-13
$100 burger
どこかの空港へフライトした先で食べるハンバーガ
ーのことを指すそうで、、航空関係のスラングなの
だそうです。
実際にガイドブックまで出ていて、「ここの店が旨
いらしい!行ってみよう!」と飛んでいく話もある
とかで面白い言葉です。
■関連リンク
$100 Hamburger - Wikipedia
2008-11-09
WPA Cracked - additional details
Handler's Diary、2008年11月8日の記事です。
"Practical attacks against WEP and WPA" というタ
イトルのホワイトペーパーについて言及し、シンプル
な対応策としてWEPからWPA2への移行を推奨して
います。
官庁やベンダーなどでは以前から無線LANセキュリ
ティに関するガイドラインを出していますが、先月9日
には神戸大学の森井教授がご自身のブログでWEP
を瞬時に解読するアルゴリズムの提案とその実証結
果を発表されているなど、防御手法更新の必要性が
さらに加速していることが伺えます。
■関連リンク
無線LAN - Wikipedia
無線LANの規格とセキュリティ
@IT
2006/02/03
無線LANのWEP暗号、60秒でクラッキング
ITmedia エンタープライズ
2007年04月05日 12時45分 更新
WEP解読
Plots’ Zone
2007-05-09
「情報の世界」ブログ
神戸大学大学院 森井昌克教授
CSS2008で「WEP(無線LAN暗号方式)を一瞬にして解く方法」を発表
2008年10月11日
無線LANのセキュリティ規格「WPA」の暗号鍵が部分的に破られる
Computerworld.jp
2008年11月07日
WPA Cracked
Schneier on Security
November 10, 2008
ADSLルータ、ケーブルモデム、ホームワイヤレスアクセスポイントを強化する
5つのステップ
wyvern notes
2008-04-15
企業無線LANセキュリティの注意
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
2003年 7月29日
無線LANのセキュリティに関するガイドライン(改訂版)
社団法人 電子情報技術産業協会(JEITA)
2004年4月
見えないからこそ注意を払うべき 「無線LAN」のセキュリティ
SAFETY JAPAN
2007年9月12日
「安心して無線LANを利用するために」の改訂版について
総務省
平成19年12月14日
情報セキュリティ:ウイルス・不正アクセス届出状況について
(2008年6月分および上半期)
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
2008年7月2日
ロシアのセキュリティ企業、Wi-Fi暗号を破るツールを発売
Computerworld.jp
2009年01月19日
2008-11-06
Sunset View
先日サマータイムが終わって夕暮空港へ戻るころに段々と暗くなっ
ていました。
真っ青な空もいいものですが、こ
うした景色も素晴らしいです。
飛ぶことに段々と慣れてきて力が
抜けるほどに上達を感じられる様
になってきます。
2008-11-04
アダルトスクール初日
先週入校手続きをしたアダルトスクールがいよいよ始
まりました。
あらかじめ指定された教室に到着してから先生と軽く
挨拶を交わし、しばらくしておもむろに授業開始。
最初に自分も含めた新入生が自己紹介をした後、生
徒代表からいくつかアナウンスがありました。
今月感謝祭があってホームレスの人達に食事を配給
したいので有志の人達から缶詰等を寄付して欲しいと
の話がひとつ。
他にもいくつかありましたが、「校内に彼や彼女がいる
場合は教室の外で仲良くしてください」というのは面白
かったですね(笑)
その後簡単なエクササイズと、明日実施される大統領
選のニュース映像を観つつ、どんなことを言っているか
できるだけまとめてみるといったウォームアップの後で
30分ほど休憩時間に外へ出ると、軽食や飲み物を載
せて校内の駐車場へ売りに来ている車が一台。なんと
なく高校時代の購買部を思い出してしまいました。
本題は、ウォームアップ中に観た大統領選のニュース
を基に1/2から1ページ位のショートエッセイを書いて提
出。添削した後翌日に渡してくれるそうです。
生徒の出身もメキシコ、スペイン、ペルー、ルーマニア、
エチオピアなど様々でした。
授業を終えた後、軽く他の生徒と雑談していたらスペイ
ン語を話す人が多いそうで、「じゃあ僕はスペイン語も勉
強しなきゃね」と冗談を言ったりしてましたが日本人は珍
しいらしく、たいそう楽しそうに話してくれました。
仕事の都合などで時間をやりくりして来る人が多いせい
か、遅刻や早退といった所で目くじらを立てるような場面
も無く終始和やかな雰囲気だったのも印象的でした。
参加期間は限られますが、良い時間が過ごせそうです。
■関連リンク
アメリカの感謝祭 アメリカ生活ドットネット
2008年アメリカ合衆国大統領選挙 - Wikipedia
Presidential Election 2008 Official Web Site
US election results map
BBC NEWS
2008-10-30
一人で空に上がった日
今日は恐らく生涯記憶に残る、ファーストソロという
イベントを体験する事ができました。
フライトを始める前に「もうソロ出ても大丈夫?」と教
官に聞かれ、"いつ頃の話になるのかな"と思いつつ
「気持ちの準備は出来ています」と伝えてから数回
離着陸の訓練を繰り返した後、切り上げるのが妙に
早いと思った直後に「じゃあ、ソロ出れるよね」。
一人でコクピットに乗り込んでシートベルトやハーネ
スを締め、チェックリストを読み上げエンジンをスター
トし、滑走路近くまで機体を進めて更にチェックリスト
で必要事項を確認して離陸。
上空で空港の滑走路を左手に見る"ダウンウインド"
と呼ばれるコースを通っているときに右側の座席を
見ると普段隣にいる教官は当然おらず、本当に自分
だけで空に上がっていることを実感していました。
途中難しい判断を迫られるような状況もありましたが
無事に要件通り3回の離着陸を済ませて駐機場へ。
ファーストソロを終えたパイロットが水を浴びるのは
この世界の慣わしでということで、戻ってくるとタン
ク一杯の水を頭から延々とかぶっている間がとても
長く感じられましたね。
全てを終えてみて、喜びと同時に普段何十回と繰り
返してきた手順の大切さを非常に強く思った日でも
ありました。
2008-10-29
Shirt Ninja
ハロウィンもだいぶ近づいて、近所のアパートメント
でもカボチャをくりぬいてジャック・オ・ランタンを飾っ
てあったりしますが、仮装パーティもあちこちで開催
するようです。
そんな中、「こんな仮装どう?」と見せてくれたのが
"Shirt Ninja" なるもの。
写真つきで懇切丁寧な(笑)解説があるので、誰で
も簡単に遊べそうですね。
さらに忍者がらみで「これ面白いんだ!」との紹介
で "Ask A Ninja" というビデオブログを観て大笑い
していました。
他にも「こんなイベントどう?」とハロウィンに直結し
たフェスティバルを教えてくれるなどで、サイトを見
て本格的なのに驚いたりしています。
■関連リンク
Shirt Ninja
entertheninja.com
Ask A Ninja
人気ビデオブログ「Ask a Ninja:忍者に聞け」を使った広告キャンペーンの成功
2007/07/20
Knott's Scary Farm - 36th Annual Halloween Haunt
2008-10-28
急遽舞い込んだ話
夕方になって、「近くのアダルトスクールを見に行く
けど、どう?」とのお話を頂いてご一緒させてもらい
ました。
アダルトスクールといえば、移民が多いアメリカで
は英語の基礎教育を行う場になっているらしい・・・
という話を小耳に挟んだ程度で予備知識は皆無に
等しい状態。
会場は近所の高校の中で、最初にプロフィールや
簡単な自己紹介で空欄を埋める登録フォームへ記
入した後にインタビューです。
これによって受講クラスのレベル分けをされるらし
く、「あなたは○○の教室へ行って」と指示をされた
所に行くとマークシート式の試験問題と回答用紙
を渡されていきなりテスト開始。
この内容が文字通り生活に密着したもので結構
面白くて、例としてこんなものがありました。
------------------------------------------------------------
最近高校の駐車場で夜間に車を盗まれたり職員
が強盗に遭うなど物騒になったので、ガードマンを
巡回させるとか照明設備をつけましょうといった提
案が書いてあるメールの本文から「どんなことが書
いてありますか?」と趣旨を問うもの
病院の科目が書いてある看板を模したイラストを
見てから、問題文に書いてある人物がどの科目
にかかるべきかを答えるもの
日射病(sunstroke )と熱中症(heat attack もしく
は heatstroke)の症状と対応策が表形式で書い
てあり、同一の症状を指す単語はどれか?どのよ
うな手当てが有効か?といった内容を答えるもの
------------------------------------------------------------
テストが終わった時点で今日は終了ですと言われて
帰宅。
思わぬところから舞い込んだチャンス、お誘い頂いた
方に感謝です。
■関連リンク
アダルトスクールと語学学校の違い
アメリカで英語の先生
2006年 12月 03日
無料の語学学校!?アダルトスクール
2008-10-26
2008-10-24
Windows Server サービスの脆弱性に緊急パッチ
マイクロソフトから、第三者がリモートからシステム
権限による任意コマンドが実行できる脆弱性に対
するパッチがリリースされていますね。
すでにこの脆弱性を利用した攻撃も行われている
模様で、関連ウイルスや攻撃コードの情報も比較
的容易に入手できますし、Internet Storm Center
が出している Internet Threat Level は Yellow 、
フランスの FrSIRT で公開しているアドバイザリー
では最も高いCritical に位置づけられています。
■関連リンク
Microsoft out-of-band patch - Severity Critical
Handler's Diary
Published: 2008-10-23,
Last Updated: 2008-10-23 20:58:46 UTC
by Mark Hofman (Version: 3)
Microsoft Windows Server Service Vulnerability (MS08-067)
FrSIRT/ADV-2008-2902
2008-10-23
JVNTA08-297A
Microsoft Windows Server サービスにバッファオーバーフローの脆弱性
公開日:2008/10/24
最終更新日:2008/10/24
絵でみるセキュリティ情報
MS08-067 : Windows の重要な更新
Server サービスの脆弱性により、リモートでコードが実行される (958644)
公開日: 2008年10月24日 | 最終更新日: 2008年10月24日
Yellow to Green : MS08-067
Handler's Diary
Published: 2008-10-24,
Last Updated: 2008-10-24 16:28:04 UTC
by Stephen Hall (Version: 1)
Microsoft Windows RPC Vulnerability MS08-067 (CVE-2008-4250) FAQ
SecuriTeam Blogs
October 25th, 2008
by Juha-Matti
Windowsに緊急の脆弱性、パッチ提供後2時間で実証コードが登場
「悪用されやすい脆弱性」とセキュリティ専門家が警鐘
Computerworld.jp
2008年10月24日
Vulnerability in Server Service Allows Code Execution (MS08-067, PoC)
SecuriTeam
24 Oct. 2008
Re: MS08-067 - Where can I find an exploit for this?
SecurityFocus
Oct 24 2008 04:50PM
TRTA08-297A
Microsoft Windows Server サービスにバッファオーバーフローの脆弱性
公開日:2008/11/24 2:13
最終更新日:2008/12/08 0:08
セキュリティ情報「MS08-067」に関する遠隔コード実行攻撃が急増
ITPro
2008/12/09
ファズ・テスト
他人が攻撃する前に自分でプログラムを攻撃する
日本IBM
2006年 9月 26日
1分ショートレビュー
ファズテスト――シンプルだが強力なコードテスト手法
ITmedia エンタープライズ
2006年12月12日 07時00分 更新
zzufを使ったファズテスト
SourceForge.JP Magazine
2007年07月30日 10:24AM
脆弱性を発見するFuzzingの欠点を補う「Sulley」
Black Hat Japan 2007
マイコミジャーナル
2007/11/17
2008-10-21
Microsoft Exploitability Index
先日10月14日に、マイクロソフトが悪用可能性指標と
いうものを出していたのを見ていました。
セキュリティ更新プログラムの公開後に悪用コードが
公開された場合の機能性に関する詳細を3段階評価
で提供するそうです。
■関連リンク
Microsoft TechNet セキュリティ センター
市販のセキュリティ・ソフト、大半が脆弱性を悪用するコードを検知できず
wyvern notes
2008-10-15
2008-10-19
Heartland
以前から結構好きで見ているドラマのひとつに、NCIS
(ネイビー犯罪捜査班)があります。
今日のタイトルは、そのNCIS のサイトから観たエピソ
ードの名前。チームのボスであるギブスのルーツに触
れる内容になっています。
ギブスが長らく戻ることのなかった故郷で父親に再会
してから二人の間にあった溝がだんだんと埋まってい
き、最後に故郷を離れる時のシーンは感動的です。
部下たちが普段と違うギブスを見て大騒ぎするシーン
もすごく楽しめます。
今まで観た中で、一番いいなあと思うエピソードでした。
■関連リンク
NCIS ~ネイビー犯罪捜査班 - Wikipedia
NCIS Heartland Episode 4 Full Episode
CBS.com
YouTube - NCIS - Gibbs' Father
Team-NCIS.com : Tout sur NCIS
2008-10-16
Flight Control
航空関係の本や話で操縦士と副操縦士がコントロール
権を移譲する際に
"I have control"
と片方がコールした場合、もう片方は
"You have control"
とコールして操縦桿を譲るシーンに触れることがあります
が、今日は"Three-way call"と呼ばれる方法を知りました。
片方から聞いたことに対してもう一度確認を取って、確実
にコントロール権を移行する方法なのだそうです。
------------------------------------------------------------
★Ex:1
Pilot A: I have flight control.
Pilot B: You have flight control.
Pilot A: I have flight control.
⇒
この後、Pilot A が完全に機体のコントロール権を持つ
★Ex:2
Pilot A: You have flight control.
Pilot B: I have flight control.
Pilot A: You have flight control.
⇒
この後、Pilot B が完全に機体のコントロール権を持つ
------------------------------------------------------------
なんだか、TCP/IPでいうところの"3-way handshake"を
連想する話ですね。
■関連リンク
[Studying HTTP] TCP/IP
Roads to Node
3Minutes NetWorking
第39回 レイヤ4 TCP コネクション
2008-10-15
市販のセキュリティ・ソフト、大半が脆弱性を悪用するコードを検知できず
Computerworld.jp、2008年10月14日の記事です。
■関連リンク
エクスプロイト・コードとは - インテル用語集
[HotFix Report] セキュリティ用語-PoC(proof of concept)
2008-10-14
Clever Counterterrorism Tactic
先日も取り上げたBruce Schneier のブログに
とてもユニークなカウンターテロの手法が紹介
されていました。
その内容とは...
------------------------------------------------------------
ランドリーを開店して地区毎に「コード化
された色」で分けた割引券を配布する
集まった洗濯物はクリーニングの過程で
通常の設備に偽装して地下へ配置した
機器で分析にかけ、爆弾を製造した際に
付着する残渣の有無を確認
一連の作業によって不審な地域を絞り込
み、更に当該地域の各家に連番を振った
クーポンを送る
アドレスを確認した後に特殊部隊を急襲
させてテロ組織のメンバーを一気に逮捕
し、同時に武器や爆弾の類も押収する
------------------------------------------------------------
この間、一人の怪我人や犠牲者も出さなかった
点も特筆されるべきでしょう。
戦術のユニークさや北アイルランド紛争がらみ
の話になることから、浦沢直樹さん原作のマス
ターキートンを思い出す話でもありました。
■関連リンク
北アイルランド概要
北アイルランドの紛争の歴史
Operations security - Wikipedia, the free encyclopedia
MASTERキートン全話紹介~マスターキートンファンサイト
2008-10-12
World Bank Cyber Intrusions
Handler's Diary の記事で、世界銀行のシステムがサ
イバー攻撃にさらされた事を知りました。
FOXによる報道では、どの程度の情報が盗まれている
かは不明なものの、6月から7月のほぼ1ヶ月間、侵入
者はシステムへフルアクセスできていたとのことです。
さらに上記報道で公開されているメモによると最小8台
のサーバが損傷しており、そのうち3台はドメインコント
ローラおよびSecureIDの妥当性検査を行うRSAサーバ、
ならびに従業員の書類をスキャンしたイメージを含むHR
サーバということで被害の深刻さが伺えます。
また、Lotus Notesによる警報が発見の端緒となってお
り、更なる調査の結果、警報が出た際に在席していな
かった上級システム管理者のアカウントが悪用されて
いたことも判明しているようです。
銀行側のスポークスマンは、FOXによる報道は出所不
明の情報を基にしており、事件の文脈を無視したもの
であると声明を出しているようですが、確かにメモのヘ
ッダーはロータスノーツで使うメールで設定できるもの
に見受けられますが、あくまで電子情報なので文書の
信憑性に一定の疑問符を持って然るべきとも思います。
いつだったか、事件に関する写真情報で最も信頼でき
るのはインスタントカメラのように非可逆性の高いアナ
ログ機材によるものだと聞いたことがあるのを思い出し
ましたね。
いずれにせよ、今後の展開がどうなるか気にかかるとこ
ろです。
■関連リンク
世界銀行 - [政治・経済用語集]All About
世界銀行東京事務所
世界銀行訪問記 | トヨタFS証券
Cybersecurity - FOXNews.com
Homeland Security National Terror Alert
Homeland Security News
World Bank Under Cyber Siege in Unprecedented Attack
11 October 2008
2008-10-11
Data Mining for Terrorists Doesn't Work
Bruce Schneier のブログで、米国学術研究
会議から「テロリスト対策としてのデータマイ
ニングは機能していない」とのレポートが出た
事に触れていました。
カウンターテロリズムとデータマイニングの話
題は再三出ていますが、特にこうした世界で
はコンピュータと人間の主従関係を再認識す
る重要性が非常に強く浮き彫りになっている
感じがします。
■関連リンク
米国上院が可決した「テロ監視プログラム延長」の顛末
wyvern notes
2008-7-12
テロとデータマイニング
wyvern notes
2008-3-13
諜報活動 - Wikipedia
CIA Invests in Social-Network Datamining
Schneier on Security
October 26, 2009
2008-10-08
2008-09-29
Easy Come, Easy Go!
今日はだいぶ乗り慣れたバスで買い物へ。
何気なくカバンの中にあるiPodを出して何
を聴こうか・・・と思って急に頭の中に浮か
んだのが B'zの Easy Come, Easy Go!
相変わらず刺すような日差しに照らされた
風景を窓越しに眺めつつ、しばし懐かしい
メロディに浸りました。
2008-09-27
village blacksmith
昨日、「夕方から5ドルで入場できるき、ショーが終わると抽選で3人にプ
レゼントするというもので、当日の実
演は unicorn shoe。
トラックを改造した移動式の舞台も
自作だそうで、そうした行動力はす
ごいの一言です。
■関連リンク
2008 L.A. County Fair
Home Page Village Blacksmith
2008-09-23
2008-09-21
アメリカと日本の時差比較テーブル
アメリカ滞在を始めてから友人や家族との
やりとりで時差を考慮するような時に見て
いるサイトです。
メールを送る時はあまり時間を気にする必
要がない場合もありますが、Skype を使う
時にとても便利で助かっています。
Skype を初めて使った時は音声の品質に
驚きましたが、海外から日本に向けて使っ
たのは今回が初めて。やはり通話時のタイ
ムラグ等の問題は一切なく快適です。
■関連リンク
アメリカと日本の時差比較テーブル
2008-09-15
バス初挑戦!
今日は地元の Barnes & Noble へしかし、いざ乗り込んだ後に降車の
周りを見渡すと、近くにある黄色い
テープを押す仕組みなのがわかっ
て安心。なぜテープなんでしょう?
日中は日差しが強烈でサングラス
が文字通り生活上必須のツールで
あることを実感しています。
戻ってきてから情報を探していて、
こちらのブログも参考にさせて頂き
ました。
O.C. Kitchen
アメリカのバスに挑戦☆OCTA乗り方講座
2008-09-13
空に願いを
アメリカを初めて訪れてから、飛行こういうのを見ると、テロによって
を改めて印象づけられます。
二度とあのような悲しい出来事が
起きず、空を愛する人達や、日頃
飛行機に乗る人たちが安心できる
世界になることを切に願います。
2008-09-04
2008-09-01
戦闘機屋人生
以前からずっと気になっていて、ようやくページ
をめくることができた本です。
戦前から戦中、戦後に至るまでずっと戦闘機
や練習機の設計に携わってきた高山捷一さん
という技術者の人生やその周辺に起きていった
出来事をつづっています。
特に強い印象が残ったのは第九章「FSXの敗
北とその検証」の中に書かれていた、F2支援
戦闘機を開発する際、アメリカのF16を改造し
ていく中で飛行制御用ソフトのソースコードを
ブラックボックスとされてしまったために、急遽日
本側で開発せねばならなくなったという話です。
日本は世界有数の防衛力を持っていると言
われますが、そうした見かけの裏では基盤にな
る産業が骨抜きになっているという話も出てい
て、ある意味非常に怖いことだと思います。
以下に示す高山さんの言葉は、この問題が
持つ深刻さをとても分かりやすく表しているよ
うに見えてなりません。
------------------------------------------------------------
「日本に、国防とか軍事力の整備といったこと
について確固たるコンセンサスがないことが第一
に挙げられますし、仮に公式的にあると思われ
る方針についても、多くの識者の間に、それで
いいのかという大きな疑問があります。
防衛力の基盤として航空工業力、研究・開
発能力まででよいとするのか、あるいは、輸入
機により、当座のコスト効果のみで決められた
外見的な防衛力で満足するのかといった、基
本的観念が確定していないことが大きな問題
です。
後者の傾向がこれ以上に続いて、輸入したほ
うが簡単で安いという目先の利益だけにとらわ
れた功利主義を選択し続けていくと、防衛産
業から技術者がどんどん離れていって取り返し
のつかないことになってしまう」
第一章 九十歳の現役 - 防衛庁技術系
官士の精神的支柱(P.37)より
------------------------------------------------------------
技術の蓄積や知恵の伝承が、何気なく送って
いる日々の生活の基盤としていかに大きな意
味を持つか強く示唆する内容に感じました。
2008-08-28
ウェーバーの法則とラチェット効果
社会学などをかじると、マックス・ウェーバーという、
いかめしい顔をしたオジサンの写真を見ることが
必ず一度はあると思います。
僕自身、教科書などを読んでいてウェーバーの写真
を見て「なんでこんなコワイ顔してるんだろう?」と思
った事が何度もあります(笑)
彼の名をとった「ウェーバーの法則」は、人間が元々
受けていた刺激が大きいほど、その変化量を認識
するための量も大きくなることを示しています。
これを知ったときに思い出したのが、数年前にもて
はやされた成果主義に対する、ラチェット効果を引
き合いに出した反論。
今年すごい成果を挙げたとしても、来年はそれ以上
の結果を出さなければ、ノルマ未達成で瞬時にエリ
ートが落ちこぼれになる・・・というリスクへの自
衛策として「そこそこ」に仕事をこなすという話です。
「ウェーバーの法則」は、すでに得た刺激からより
強い刺激への欲求を裏付けるような内容で、もっ
ともっとを求めつづけることによって事故を引き起
こす危険性を増やしていく温床を生み出す心理を
ピタリと説明した法則のように見えますし、翻っ
「てラチェット効果」は、何らかの評価を受ける
側が生んだ知恵といったところですね。
こうした両者によるせめぎ合いの上に、安全管理
という世界が成立していると捉えるのは、穿ち過ぎ
というものでしょうか。
■関連リンク
ウェーバーの法則
亀戸図書委員会
2003.03.03
ウェーバーの法則
脳機能の解明に挑むイメージング技術
ウェーバー・フェヒナーの法則
武田邦彦 (中部大学): 大切なこと (4)
成果主義とラチェット効果
関口ゼミのページへようこそ!
2005-03-23
2008-08-23
敵こそ、我が友
元ナチス親衛隊であるクラウス・バルビーの
生涯を軸にして第二次大戦以後の裏面
史を描いた作品です。
観客層に、おそらく戦中に子供時代を過
ごしたであろうと思われる年代の方々が多
かったのは意外な印象でしたね。
バルビー自身の持つ能力や経験が、大国
の思惑というある種の「波」と合致したことで
戦争犯罪の追及を逃れて暗躍できた様に
も見えるのですが、その犠牲者となって生き
残った人々が語る内容の生々しさと悲痛さ
には胸が痛みます。
上映後、館内に張り出してあるコラムなど
を見てみると「欺瞞」、「愕然」といった言
葉が散りばめられた記事がいくつもあって、
歴史の重さと複雑さが現代にも引き継が
れ脈打っていることをつくづくと感じたひと時
でした。
■関連リンク
敵こそ、我が友
~戦犯クラウス・バルビーの3つの人生~
公式サイト
Mon Meilleur Ennemi : un film de Kevin MacDonald
クラウス・バルビー - Wikipedia
2008-08-22
2008-08-19
学びのチャンスを得るために
夕食を外で済ませた帰り道の車中で、J-WAVE
の番組"JAM THE WORLD" を聞いていて「もしも、
あなたが奨学金を知らなかったら…」というトピッ
クを耳にしました。
たしかに国内で「奨学金」と言えば対象者が借
金をする形式が真っ先に浮かんで来るのではな
いでしょうか。
もちろん、ネット上で調べれば、いわゆる「給付」
といった形で奨学金を受けることのできるケースも
あるので一概には言えないのですが。
能力がありながら金銭上の理由でステップアップ
が困難な人材に対する支援という観点から見る
と貸与では意味が無いとは言いませんが、以前
から違和感を感じる制度だっただけに、番組中
でも全く同様のコメントが出ていたことは非常に
強い印象を持ちました。
■関連リンク
JAM The World
奨学金 - Wikipedia
マクロミル 公開調査データ一覧
自分にあった進学費用バックアップ制度
リクルート進学ネット
2008-08-15
インテル、同社製CPUで発覚した2件の重大な脆弱性を修正
Computerworld.jp、2008年8月11日の記事です。
この記事を見かけてからずっと気になっていたことも
あって掲載しましたが、何年か前に受講したトレー
ニングで講師を務めていた方が元メインフレームの
技術者で、「今の石(CPUのこと)は造りがチャチだ
よなァ」と話していたことを改めて思い出しました。
コンピュータに触るのにとてつもない費用がかかった
頃の方々から見ると、現在語られているハードウェ
アの脆弱性がどんな感じに映るのか、じっくりお話
を聞いてみたいと思ったりもします。
■関連リンク
Remote Code Execution Through Intel CPU Vulnerability
Will Be Presented In Hack In The Box Security Conference
CyberInsecure.com
July 15th, 2008
Remote code execution through Intel CPU bugs | Zero Day
ZDNet.com
July 14th, 2008
CPU Bugs, Patches and Vulnerability
eweek.com
2007-06-29
【IDF Spring 2004】Intelがバッファ・オーバーフロー防止技術をCPUに搭載
ITPro
2004/02/20
奮闘記:その44
メモリ違反で起こるバッファオーバーフローによるroot権限奪取の手口
ちょっとしたメモリ違反の恐ろしさ
Pentium 4のハイパースレッディングに抜け道--パスワード盗難のおそれ
CNET Japan
2005/05/17 09:40
DEP:Data Execute Prevention
KNOnline.NET Suika WebDiary
2006年02月09日(Thursday)
DEP:Data Execute Prevention
KNOnline.NET Suika WebDiary
2006年02月09日(Thursday)
Intel社製CPU関連情報
インテルミュージアム
Intel ocessor Spec Finder
CPU Design HOW-TO
瀬戸口 崇 と JF Project
翻訳日:2001年 5月 31日
もう迷わない! CPU型番早わかり Intelデスク編
ASCII.jp
2008年08月02日 16時00分更新
2008-08-10
観て来ました
先日記事に書いた「スカイ・クロラ」を昨日観て
来ました。
始まった途端から一気に引き込まれ、空中戦
のリアリティと血生臭さをこれほど感じた映画は
初めてでした。
だからこそ、"キルドレ"と呼ばれる戦闘機乗りを
務める子供達の心情がよりはっきりと浮かび上
がるようでしたね。
サッカー中継のごとくダイナーのテレビに映し出
される戦いの様子、戦局を知らせるニュースや
新聞といったメディア、その受け手となる人々の
動きも丹念に描かれていました。
押井監督の作品は重たさの残るものがほとん
どのような印象がありますが、今回は「人狼」
に次ぐ重さを感じました。
重たいけれど、また映画館へ足を運びたくなる。
素晴らしい作品を味わえた僥倖に感謝です。
2008-08-08
米国炭疽菌事件の捜査終結
以前に「バイオテロへの警告」という番組を見ていた
こともあって目に留まっていたニュースです。
番組の中では、2001年当時に使われた炭疽菌の
精度が軍用レベルのものだったことから内部犯行だ
った可能性もあるという話が出ていたと記憶してい
ますが、実際にその通りだったのでしょうか・・・。
■関連リンク
ナショナル ジオグラフィックチャンネル
バイオテロへの警告
2001年の米炭疽菌事件の容疑者が自殺、
米陸軍感染症医学研究所の研究者
Technobahn
2008/8/2 22:35
FBI closes chapter on worst bioterrorism case in U.S. history
The Tech Herald
Aug 6 2008, 23:41
炭疽菌 - Wikipedia
「米国の同時多発テロ」における炭疽菌等の汚染のおそれのある
封筒等の取扱い方法について
厚生労働省
在NY総領事館・炭素菌への対処
在New York日本国総領事館
バイオテロ関連リンク集
USAMRIID Blue Book 第5版
レジデント初期研修用資料
2004年12月3日
2008-08-05
断片
先月に、Computerworld.jp で紛失や盗難にあ
ったノートPCの行方を追跡するオープンソースソ
フトの記事を読んでいました。
一部の機種では本体に埋め込まれているカメラ
を使って意図しない使用者の写真を撮ることも可
能といった機能もさることながら、オフィシャルサイト
のFAQではプライバシー保護に関するユニークな
質問と回答を見ることができます。
この記事を読んでから、クーリーという社会学者が
提唱した「鏡に映った自我(looking-glass self)」と
いう概念が思い浮かびました。
要するに、「他人という鏡を通して、自分がどんな
者かを知ることができる」というものです。
現在普及しているような大容量の記録媒体には、
他者と行ったコミュニケーションによって「自分は○
○だ」というアイデンティティの認識や感情を持つ機
会の断片が様々な形で蓄積されているといった解
釈もできると思います。
その意味では、特に個人的用途に使っているPC
に限って言うなら記事のタイトルにある"取り戻す"
のは「人生」というよりも、「自我を保持する根拠
の断片」かもしれません。
■関連リンク
【解説】「なくした“人生の一部”を取り戻せ」
オープンソースのノートPC追跡ソフト「Adeona」が完成
Computerworld.jp
2008年07月15日
Adeona
IBM、人生のさまざまな局面を記憶しておくための新ツールを開発中
Computerworld.jp
2008年08月01日
“グーグル革命”の衝撃 あなたの人生を“検索”が変える
NHKスペシャル
2008-07-27
パスポート
以前から持っていた、機械読み取り式のパスポート
をICチップを内蔵したものに切り替えて来ました。
受け取ってみると、以前より分厚い感じで手荷物に
入れたときにチップを壊さないよう、取り扱いに気を
使いそうです。
旅券の切り替え費用も結構な値段ですが、印紙を
買うために旅券事務所近くの売店の品揃えを見て
いると、スキミングと呼ばれる犯罪へ対抗する為のパ
スポートカバーなども売っていました。
Web上でサーチしても、様々な製品がありますが、
買う人が明確な判断基準を持つのが困難な商品
でしょうし、価格の高さで『安心感を買う』ような面
も多々ありそうです。
■関連リンク
Passport A to Z
外務省
IC旅券FAQ(よくある質問)
外務省
パスポートのミニ知識
大阪府
NXP、次世代パスポートにICチップを提供
ITmedia エンタープライズ
2007年11月05日 21時49分 更新
スキミング - Wikipedia
スキミングについて
スキミング犯罪 - Yahoo!カテゴリ
個人情報漏洩が懸念される『RFID』タグ内蔵パスポート
WIRED VISION
2005年02月25日
米国司法省、過去最大規模のカードデータ窃盗グループを起訴
容疑者11名の国籍は米国、エストニア、ウクライナ、中国……
Computerworld.jp
2008年08月07日
2008-07-16
DNSの脆弱性
最近、DNSの脆弱性に関する新たな話題が出て
いますが、ネットワーク上の通信相手を決定する
重要な部分だけに、管理者としては早々に対応
したいところです。
■関連リンク
DNSサーバ - Wikipedia
Roads to Node
DNS・Windowsネットワーク
複数の DNS 実装にキャッシュポイズニングの脆弱性
Japan Vulnerability Notes
公開日:2008/07/09 最終更新日:2008/07/10
DNS関連技術情報
最終更新:2008年07月09日
DNSに深刻な脆弱性――急がれる抜本的対策
Computerworld.jp
2008年07月18日
DNS脆弱性の詳細情報が“公開”された直後に、新攻撃コードが出現
Computerworld.jp
2008年07月25日
75%のDNSサーバーにキャッシュ汚染の危険性~米調査
INTERNET Watch
2005/10/26 14:25
大規模な「DNSキャッシュ汚染」攻撃の可能性--専門家が警鐘
CNET Japan
2005/08/05 13:45
DNSサーバ攻撃、汚染可能性の探査
2005年7月13日記
DNS amp(ディーエヌエス アンプ)
ITpro
2006/08/25
DNS、管理者として見るか? 攻撃者として見るか?
@IT
2007/11/30
Dnsreply3
DNS の脆弱性、解決策は「DNSSEC の実装」
japan.internet.com
2008年7月14日 09:00
第5章 DNSSECとDHCP
神戸大学
Watching those DNS logs
Handler's Diary
Published: 2008-08-05,
Last Updated: 2008-08-05 22:43:06 UTC
by Daniel Wesemann (Version: 3)
【Black Hat】DNS脆弱性問題、発見者が欠陥の詳細をついに公表
攻撃法も多数紹介
Computerworld.jp
2008年08月07
DNSSEC for DShield.org
Published: 2008-08-14,
Last Updated: 2008-08-14 02:40:33 UTC
by Johannes Ullrich (Version: 1)
DNSの“生みの親”、セキュリティ対応の遅さを一喝
Computerworld.jp
2008年11月12日
DNSサーバの25%は「キャッシュ・ポイズニング攻撃」にいまだ未対応
Computerworld.jp
2008年11月12日
DNSSECは解決策になりえるか? DNSの脆弱性の発見者に聞く
INTERNET Watch
2008/10/07 17:07
DNSSEC要不要に関する議論
WIDE Project
01/28/2005
予算カットでもDNS脆弱性問題は早急に対処すべき――専門家が警告
Computerworld.jp
2009年01月05日
「DNSキャッシュポイズニング対策」の資料を公開
情報処理推進機構
最終更新日 2009年2月6日
インターネットセキュリティの歴史 第28回「DNS アンプによる DDoS 攻撃」
JPCERT/CC: 情報提供サービス - JPCERT/CC レポート
2009-04-01
DNSキャッシュポイズニングの影響と対策
@IT
Web-based DNS Randomness Test
DNS-OARC
DNS Providers Under Attack
Handler's Diary
Published: 2009-04-03,
Last Updated: 2009-04-04 02:53:13 UTC
by Lenny Zeltser (Version: 2)
DNSセキュリティ拡張の実装を促進するオープンソースプロジェクトOpenDNSSEC
SourceForge.JP
2009年07月31日 12:09PM
BIND Security Advisory (DNSSEC only)
Handler's Diary
Published: 2009-11-24,
Last Updated: 2009-11-24 17:19:44 UTC
by John Bambenek (Version: 1)
Updates to my GREM Gold scripts and a new script
Handler's Diary
Published: 2009-11-25,
Last Updated: 2009-11-25 23:27:17 UTC
by Jim Clausing (Version: 1)
グーグル、独自のDNSサービス「Google Public DNS」を発表
ねらいはWeb閲覧の高速化とセキュリティ強化
Computerworld.jp
2009年12月04日
Google pushes security with Public DNS
SecurityFocus
Published: 2009-12-04
Important BIND name server updates - DNSSEC
Handler's Diary
Published: 2009-12-15,
Last Updated: 2009-12-15 13:47:50 UTC
by Johannes Ullrich (Version: 1)
2008-07-12
米国上院が可決した「テロ監視プログラム延長」の顛末
Computerworld.jp、7月10日の記事です。
この手の話題にからんだ記事は以前も書いて
いましたが、今後の展開が気になりますね。
■関連リンク
NSA electronic surveillance program - Wikipedia
NSA's Domestic Spying
Schneier on Security
March 26, 2008
テロとデータマイニング
wyburn notes
2008-3-13
「自由の真の代償」と「自由の真価」 ?
サイバースペース独立宣言を越えて
WIRED VISION
2008年4月16日
米国政府の“盗聴”を裁判所が承認──テロリスト監視プログラムで
Computerworld.jp
2007年01月18日
NSA監視プログラムは米国憲法に違反--連邦地裁判決
CNET Japan
2006/08/18 12:55
ドイツ政府、テロ対策で市販PCに監視用プログラムの導入を検討
Technobahn
2007/11/2 15:57
「国民をテロから守る」米政府の監視プログラム、
答えの出ないプライバシー問題
WIRED VISION
2003年10月27日
サイバー攻撃対策の強化が情報の制限につながる
WIRED VISION
2002年7月29日
ゲリラ戦
東京大学教養学部立花ゼミ
最終更新日99/06/13
公共圏 - Wikipedia
2008-07-10
The Sky Crawlers
来月に押井守監督の映画、「スカイ・クロラ」が
公開されますね。
原作は少し読んだだけで、今日初めてオフィシャル
サイトを見たのですが、公開が楽しみです。
ちなみに最近、"Programmed Inquiry, Learning
Or Teaching" というプログラミング言語の存在を
知りました。
略称が "PILOT" というのは面白いです。
■関連リンク
スカイ・クロラ The Sky Crawlers 公式サイト
スカイ・クロラ - Wikipedia
2008-06-29
資質のパラドックス
先日観ていた、医療事故をいかに減らすかという
テーマを扱った番組の中でとても興味深い指摘が
ありました。
それは、医療従事者の持つ真面目さが同種の
事故を繰り返す温床になっているというものです。
具体的には、真面目さ故に持つ自分への厳しさ
が逆に他人への厳しさにもつながってしまい、結果
として事故が起きたときに個人の問題から一歩も
出ずに問題を繰り返すという話。
こうした傾向は医療に限らず、一般にプロフェッシ
ョンを要求されるような専門性の高い仕事では
同様の脆さが見られやすいのではと思います。
■関連リンク
ETV特集
「医療事故 どう減らすのか~新しい“安全システム”への模索~」
MRIC: 臨時 vol 60
小松秀樹氏 「司法と医療 言語論理体系の齟齬」
2007年12月07日
厚生労働科学研究成果データベース
リスクマネージメントマニュアル作成指針
厚生労働省
厚生労働省情報 - 医療関連情報
リスクマネージメントマニュアル作成指針について(報告)
独立行政法人福祉医療機構
作成日 2000年8月24日
医療事故防止のためのマニュアル
医療法人 松翠会 森園病院
事故防止マニュアルではミスは減らせない
2008-06-03
国内初のバイオテロ想定訓練
今日のニュースに、政府が国民保護法に基づいて
行う今年度の訓練で、バイオテロや放射性物質に
よるテロを想定した訓練を初めて行うという話があり
ました。
実際に動いて得るものもたくさんあると思いますし、
ぜひ有用なノウハウを蓄積していって欲しいですね。
■関連リンク
NHKニュース 政府 初のバイオテロ想定訓練
内閣官房 国民保護ポータルサイト
新型インフルエンザ対策強化-改正感染症法が成立
薬事日報
2008年04月25日
rescuenow.net:道端からの提案
2002.1.24 Vol.25-1
安全安心サイエンス感染症バイオテロ勉強会 - PukiWiki
「吐く息」がバイオテロによる感染者を特定する鍵に
WIRED VISION
2005年4月 4日
バイオテロへの備えは万全? ペンサイズの血液浄化器
WIRED VISION
2006年3月31日
2008-05-27
Ciscoルータにもルートキット
Ciscoルータを狙ったルートキットの話題に触れて
攻撃者があらゆる機器を侵害し得る可能性や
日々の地道な情報収集の重要性について改
めて思いを至らせていました。
IOSと呼ばれる、ルータ向けOSをアップデートする
時に行うハッシュ値による真正性チェックも細か
なことですが、安全や品質を確保する為の作業
は元来地味なものと思います。
宮大工の小川三夫さんという方は、「法隆寺の
五重塔は、見えないところまできちっとしているか
ら長持ちする」とお話したことがあるそうです。
■関連リンク
シスコのルータがマルウェアの標的に
セキュリティ専門家がルートキットを開発
2008年05月15日
Cisco IOS Rootkit thoughts
Published: 2008-05-23,
Last Updated: 2008-05-23 21:54:36 UTC
Cisco's Response to Rootkit presentation
Published: 2008-05-25,
Last Updated: 2008-05-25 18:44:37 UTC
EUSecWest 2008
Cisco IOS Rootkits - Sebastian Muniz, Core
Cisco Security Response: Rootkits on Cisco IOS Devices
Revision 2.0
Last Updated 2008 May 22 1600 UTC (GMT)
For Public Release 2008 May 16 0400 UTC (GMT)
Router Hacking Challenge
wyvern notes
2008-03-04
2008-05-25
牧野千穂さんの絵
先日、よく買い物に行くショッピングモール内のアート
ショップで不思議な雰囲気の絵に出会いました。
こんな絵が自宅にあると、ほっとできそうですね。
■関連リンク
牧野千穂イラストレーションワークス
イラストレーターズ通信
PICK UP
ハードウェアの信頼性
前回の記事で書いたSANSによる公表結果に加え、
アメリカの研究者がルートキットと呼ばれるプログラム
の新種を開発したというニュースを目にしていました。
アプリケーション、OS、ハードウェアとあらゆる部分で
攻撃と守備双方のせめぎ合いが演じられている様
を改めて感じますね。
■関連リンク
ルートキット - Wikipedia
PCハードウェアに「rootkit」の脅威--セキュリティ研究者が警告
CNET Japan
2007/03/01 20:24
ルートキットの正体を暴く(前編):ITpro
2006/01/18
第1回 ルートキットの進化を追う:ITpro
2007/10/01
姿を隠して悪事を働く「ルートキット」にどう対処する?
ZDNet Japan
2007/01/26 08:00
システム管理モードとは - インテル用語集
リバースエンジニアリング - Wikipedia
セキュアチップTPMを利用し安全にOSをダウンロードし起動する
「Trusted Trusted HTTP-FUSE KNOPPIX501」,産総研が公開:ITpro
2006/11/06
産総研,Trusted Bootが可能なVMKNOPPIX公開:ITpro
2007/04/04
アプリケーションに見るトラステッド・コンピューティング
WindowsのTPM対応がセキュリティを変えていく
ITmedia エンタープライズ
2008年02月05日 00時00分 更新
Enterprise Security: Putting the TPM to Work(PDFファイル)
Best Practices for Trusted Platform Module Management
Updated: May 15, 2006
Symantec, Intel work on security on microchips
Wed Aug 15, 2007 7:19am IST
インテルTXTが実現する真のセキュアなプラットフォーム
2008年01月29日 07時00分 更新
トラステッド・エグゼキューション・テクノロジー
トラステッド・コンピューティング
2008-05-20
botnetと絨毯爆撃
先日、Gyre.org で米空軍が自前のボットネットを
持つべきといった議論を載せていました。
リンク先になっている ARMED FORCES JOURNAL の
記事を読んでみた所、『アメリカは敵側のコンピュー
タに大規模なトラフィックを流し込んで「金属とプラ
スティックの塊以上に役立たせないようにする」ボッ
トネットを造り上げ、サイバースペース上で絨毯爆
撃を行う能力を持つことによって自らに欠けている
抑止力を持つべきである』と冒頭から生々しい書
き出しで始まっています。
記事の中では、SANSが公表している Top Ten Cy
ber Security Menaces for 2008 にも触れていて、
『洗練さと有効性が強化されたボットネットによる
脅威』が第2位、『十分な設備や資金を持った組
織によるサイバースペース上でのスパイ活動』が第
3位にランキングされていることからも、Web上の脅
威へ打って出る力を持とうとする強い考えの背景
を伺うことができますね。
不正使用や同士討ちを回避するために、.mil や
.govといったドメインや登録アドレスへの攻撃を回
避するフィルタを使うといった話も興味深いものが
あります。
■関連リンク
米国防総省がネットワークを再編成
WIRED VISION
1999年6月24日
ボットネット - Wikipedia
Reversing an Electronik Tribulation Army PHP IRC Bot
McGrew Security Blog
JUN 05 2010
2008-05-14
War of the worlds?
Handler's Diary、本日の記事です。
Computerworld.jp でも、今月13日にWebサイトへの
攻撃について記事を出していますね。
■関連リンク
SQLインジェクション - Wikipedia
警察庁
SQL Injection攻撃の脅威と対策について(PDFファイル)
平成18年3月30日
マイクロソフト
SQL インジェクション攻撃とその対策
最終更新日: 2008年5月13日
【解説】SQLインジェクション攻撃の“第3の波”
大規模サイト・ハッキングは今後も続く
Computerworld.jp
2008年05月16日
情報処理推進機構:セキュリティセンター
知っていますか?脆弱性 (ぜいじゃくせい)
1. SQLインジェクション
2007年7月12日 掲載
JPCERT/CC Alert 2008-03-14
SQLインジェクションによる Web サイト改ざんに関する注意喚起
2008-04-08(更新)
情報処理推進機構:情報セキュリティ
ウェブサイトの脆弱性の検出ツール
最終更新日 2008年4月23日
Top 15 free SQL Injection Scanners
Security-Hacks.com
Friday, 18 May 2007 - 15:05 EST
マルウェア - Wikipedia
「マルウエア」総まとめ~その特徴と分類方法~:ITpro
2006/04/24
Web改ざんで挿入される「悪質サイトのドメイン名」リストが公開:ITpro
2008/05/21
2008-05-11
技術者の帽子・経営者の帽子
ジャンボジェット機長の坂井優基さんが書かれている
ブログで、船場吉兆で行われていた料理の使いまわ
しをはじめとした話題に触れて「もっとはいつか破綻し
ます。」と記事を締めくくられていました。
これを読んで思い出したのが、チャレンジャー号爆発
事故の話です。
技術者側は、打ち上げを実施すれば不具合が起
こる可能性に気づいて発射停止を勧告し続けまし
たが、経営陣からこんな言葉をかけられます。
「技術者の帽子を脱いで、経営者の帽子をかぶりたまえ」
"Take off your engineerng hat and put on your management hat."
その後の結果は周知の通りです。
何のために「もっと」を続けるのか、時にはトップ自ら
冷静に振り返る余裕が必要だと思いますね。
2008-05-07
基幹産業ソフトウェアの脆弱性
Handler's Diary、2008年5月6日の記事です。
話題となったWonderware社の製品は、世界中の1/3にも
及ぶプラントで使われているとか。
アメリカ国土安全保障省では、「情報への不正アクセス、
機密性や完全性および有効性に対する部分的な侵害、不
正開示、サービスの混乱を招く」としてWeb上にアラートを
あげています。
■関連リンク
JVNVU#596268: Wonderware SuiteLink における
NULL ポインタ参照の脆弱性
最終更新日:2008/05/07
基幹インフラの管理ソフトに脆弱性
ITmedia エンタープライズ
2008年05月07日 08時27分 更新
アメリカ国土安全保障省 - Wikipedia
DoS攻撃 - Wikipedia
ヌルポインタとは 【null pointer】 IT用語辞典
セキュリティの深刻な脆弱性につながるダングリングポインタ
TechTargetジャパン
2007年11月01日 04時45分 UPDATE
SCADA: A big challenge for information security professionals
Handler's diary
Published: 2010-08-22,
Last Updated: 2010-08-23 05:58:02 UTC
by Manuel Humberto Santander Pelaez (Version: 1)
New SCADA Vulnerabilities in OPC Servers
Handler's diary
Published: 2007-03-23,
Last Updated: 2007-03-23 19:12:34 UTC
by John Bambenek (Version: 1)
SCADA System’s Hard-Coded Password Circulated Online for Years
Wired.com
July 19, 2010 | 5:29 pm
ついに標的に狙われたSCADAシステム
エフセキュアブログ
2010年07月19日23:32
LNK脆弱性を悪用したStuxnetワームはイラン核施設を狙ったマルウェア
兵器か?
エフセキュアブログ
2010年09月26日23:59
ワーム「Stuxnet」の攻撃意図が明らかに
ITpro
2010/11/24
Stuxnet攻撃がエネルギー業界にもたらした意味
ITmedia エンタープライズ
2010年07月30日 12時35分 更新
米国土安全保障省長官、Stuxnetの教訓を語る
Searchina
2011/04/27(水) 22:17
水道・ガス・電力等の重要インフラ制御システムのセキュリティ向上に
関する報告書を翻訳・公開・重要インフラ制御システムにおけるウイル
スや不正アクセス等への39の対策項目を紹介
独立行政法人 情報処理推進機構
掲載日 2009年11月25日
日本版SSAT(Scada Self Assessment Tool)
JPCERT/CC
最終更新: 2011-02-28
Gmail、視覚障害者向けの音声版CAPTCHAも突破されていた
Technobahn、2008/5/3 11:11の記事です。
画像CAPTCHAの認識率20%に対し、音声では
90%と非常に高い数字が示されている点は興味
深いものがあります。
■関連リンク
第1章 フーリエ変換?
高速フーリエ変換 - Wikipedia
PHPでオーディオ読み上げCAPTCHAを実現する方法
phpspot開発日誌
2006年12月01日
音声認識 - Wikipedia
CAPTHAは愚策
wyvern notes
2008-3-1
米研究者、画像方式による次世代CAPTCHAを発表
wyvern notes
2008-4-26
Gmail経由のスパムが急増――CAPTCHA認証はもはや意味なし?
Computerworld.jp
2008年03月11日
HotmailのCAPTCHA認証を6秒で破るボットが登場
Computerworld.jp
2008年04月14日
CAPTCHA認証は“終わった”技術なのか――有効性を疑問視する専門家たち
Computerworld.jp
2008年08月11日
2008-05-01
Silent Tsunami
ここ最近、英語に親しむ目的もあってBloombergの
音声を聞き流したり、ニュース映像を観たりしていた
のですが、何日か前に世界的な食糧危機を扱った
話題がありました。
そして今日仕事先で乗り込んだエレベーターの中で
見た液晶画面には、心の病で1ヶ月以上の休職を
する職員がいる企業が60%、大企業では93%にも
のぼるというヘッドラインニュースが。
食料危機、心理的問題いずれにしても、ジワジワ
と忍び寄りかつ弱者とされる側が真っ先に倒れてい
く状態は、タイトルの言葉が当てはまってしまう様で
何とも言えない違和感を感じます。
■関連リンク
Food Crisis Risks Creating `Silent Tsunami' of Hunger, WFP Says
Last Updated: April 22, 2008 05:49 EDT
国連情報誌SUNブログ対応版
世界的な食糧危機は「静かな津波である」と警告:WFP
2008/04/23 11:30
財団法人 労務行政研究所
「企業におけるメンタルヘルスの実態と対策」
2008年4月25日(PDFファイル)
楽らく日記 : 心の病の休職者・企業の60%
2008年 04月 30日
2008-04-26
2008-04-25
東海大学 ル・マン プロジェクト
6月に開催されるル・マン24時間レースに、東海大の
学生達で設計と組立てを行ったマシンが参戦するそう
です。
参戦クラスは、LMP1。
聞いただけでも楽しい話題です。
■関連サイト
Site officiel des 24 Heures du Mans 2008
et des 24 Heures Moto 2008 - ACO
ル・マン24時間レース - Wikipedia
08年のルマン24時間のクラス分け
Yahoo!知恵袋
東海大学 ル・マン プロジェクト
【Driving Future】学研の自動車専門サイト
東海大学が「第76回ル・マン24時間レース」エントリー申請
2007/12/06
ル・マン24時間耐久レース - サルト・サーキット - Google Earthの旅
モータースポーツの聖地を宇宙から訪れよう!
東海大学の林教授がACO「スピリット オブ ルマン」賞を受賞
2011年6月1日
神奈川新聞社
