一人で空に上がった日

今日は恐らく生涯記憶に残る、ファーストソロという
イベントを体験する事ができました。

フライトを始める前に「もうソロ出ても大丈夫？」と教
官に聞かれ、"いつ頃の話になるのかな"と思いつつ
「気持ちの準備は出来ています」と伝えてから数回
離着陸の訓練を繰り返した後、切り上げるのが妙に
早いと思った直後に「じゃあ、ソロ出れるよね」。

一人でコクピットに乗り込んでシートベルトやハーネ
スを締め、チェックリストを読み上げエンジンをスター
トし、滑走路近くまで機体を進めて更にチェックリスト
で必要事項を確認して離陸。

上空で空港の滑走路を左手に見る"ダウンウインド"
と呼ばれるコースを通っているときに右側の座席を
見ると普段隣にいる教官は当然おらず、本当に自分
だけで空に上がっていることを実感していました。

途中難しい判断を迫られるような状況もありましたが
無事に要件通り3回の離着陸を済ませて駐機場へ。

ファーストソロを終えたパイロットが水を浴びるのは
この世界の慣わしでということで、戻ってくるとタン
ク一杯の水を頭から延々とかぶっている間がとても
長く感じられましたね。

全てを終えてみて、喜びと同時に普段何十回と繰り
返してきた手順の大切さを非常に強く思った日でも
ありました。

Shirt Ninja

ハロウィンもだいぶ近づいて、近所のアパートメント
でもカボチャをくりぬいてジャック・オ・ランタンを飾っ
てあったりしますが、仮装パーティもあちこちで開催
するようです。

そんな中、「こんな仮装どう？」と見せてくれたのが
"Shirt Ninja" なるもの。

写真つきで懇切丁寧な（笑）解説があるので、誰で
も簡単に遊べそうですね。

さらに忍者がらみで「これ面白いんだ！」との紹介
で "Ask A Ninja" というビデオブログを観て大笑い
していました。

他にも「こんなイベントどう？」とハロウィンに直結し
たフェスティバルを教えてくれるなどで、サイトを見
て本格的なのに驚いたりしています。


■関連リンク
Shirt Ninja
entertheninja.com

Ask A Ninja

人気ビデオブログ「Ask a Ninja:忍者に聞け」を使った広告キャンペーンの成功
2007/07/20

Knott's Scary Farm - 36th Annual Halloween Haunt

急遽舞い込んだ話

夕方になって、「近くのアダルトスクールを見に行く
けど、どう？」とのお話を頂いてご一緒させてもらい
ました。

アダルトスクールといえば、移民が多いアメリカで
は英語の基礎教育を行う場になっているらしい・・・
という話を小耳に挟んだ程度で予備知識は皆無に
等しい状態。

会場は近所の高校の中で、最初にプロフィールや
簡単な自己紹介で空欄を埋める登録フォームへ記
入した後にインタビューです。

これによって受講クラスのレベル分けをされるらし
く、「あなたは○○の教室へ行って」と指示をされた
所に行くとマークシート式の試験問題と回答用紙
を渡されていきなりテスト開始。

この内容が文字通り生活に密着したもので結構
面白くて、例としてこんなものがありました。

------------------------------------------------------------
最近高校の駐車場で夜間に車を盗まれたり職員
が強盗に遭うなど物騒になったので、ガードマンを
巡回させるとか照明設備をつけましょうといった提
案が書いてあるメールの本文から「どんなことが書
いてありますか？」と趣旨を問うもの

病院の科目が書いてある看板を模したイラストを
見てから、問題文に書いてある人物がどの科目
にかかるべきかを答えるもの

日射病（sunstroke ）と熱中症（heat attack もしく
は heatstroke）の症状と対応策が表形式で書い
てあり、同一の症状を指す単語はどれか？どのよ
うな手当てが有効か？といった内容を答えるもの
------------------------------------------------------------

テストが終わった時点で今日は終了ですと言われて
帰宅。

思わぬところから舞い込んだチャンス、お誘い頂いた
方に感謝です。


■関連リンク
アダルトスクールと語学学校の違い
アメリカで英語の先生
2006年 12月 03日

無料の語学学校！？アダルトスクール

夕焼けと航空灯火

近場の市営空港を自転車で通りか
かったとき、夕焼けと航空灯火のコ
ントラストが醸し出す美しさにしばし
見入っていたときがありました。

思うところがあって自身で軽飛行機
の操縦を習い始めてから煮詰まった
り達成感を味わったりと様々な時間
を過ごしていますが、改めて写真を
見ると広い空だなあと思いますね。

Windows Server サービスの脆弱性に緊急パッチ

マイクロソフトから、第三者がリモートからシステム
権限による任意コマンドが実行できる脆弱性に対
するパッチがリリースされていますね。

すでにこの脆弱性を利用した攻撃も行われている
模様で、関連ウイルスや攻撃コードの情報も比較
的容易に入手できますし、Internet Storm Center
が出している Internet Threat Level は Yellow 、
フランスの FrSIRT で公開しているアドバイザリー
では最も高いCritical に位置づけられています。


■関連リンク
Microsoft out-of-band patch - Severity Critical
Handler's Diary
Published: 2008-10-23,
Last Updated: 2008-10-23 20:58:46 UTC
by Mark Hofman (Version: 3)

Microsoft Windows Server Service Vulnerability (MS08-067)
FrSIRT/ADV-2008-2902
2008-10-23

JVNTA08-297A
Microsoft Windows Server サービスにバッファオーバーフローの脆弱性
公開日：2008/10/24
最終更新日：2008/10/24

絵でみるセキュリティ情報
MS08-067 : Windows の重要な更新
Server サービスの脆弱性により、リモートでコードが実行される (958644)
公開日: 2008年10月24日 | 最終更新日: 2008年10月24日

Yellow to Green : MS08-067
Handler's Diary
Published: 2008-10-24,
Last Updated: 2008-10-24 16:28:04 UTC
by Stephen Hall (Version: 1)

Microsoft Windows RPC Vulnerability MS08-067 (CVE-2008-4250) FAQ
SecuriTeam Blogs
October 25th, 2008
by Juha-Matti

Windowsに緊急の脆弱性、パッチ提供後2時間で実証コードが登場
「悪用されやすい脆弱性」とセキュリティ専門家が警鐘
Computerworld.jp
2008年10月24日

Vulnerability in Server Service Allows Code Execution (MS08-067, PoC)
SecuriTeam
24 Oct. 2008

Re: MS08-067 - Where can I find an exploit for this?
SecurityFocus
Oct 24 2008 04:50PM

TRTA08-297A
Microsoft Windows Server サービスにバッファオーバーフローの脆弱性
公開日：2008/11/24 2:13
最終更新日：2008/12/08 0:08

セキュリティ情報「MS08-067」に関する遠隔コード実行攻撃が急増
ITPro
2008/12/09

ファズ・テスト
他人が攻撃する前に自分でプログラムを攻撃する
日本IBM
2006年 9月 26日

1分ショートレビュー
ファズテスト――シンプルだが強力なコードテスト手法
ITmedia エンタープライズ
2006年12月12日 07時00分 更新

zzufを使ったファズテスト
SourceForge.JP Magazine
2007年07月30日 10:24AM

脆弱性を発見するFuzzingの欠点を補う「Sulley」
Black Hat Japan 2007
マイコミジャーナル
2007/11/17

Microsoft Exploitability Index

先日10月14日に、マイクロソフトが悪用可能性指標と
いうものを出していたのを見ていました。

セキュリティ更新プログラムの公開後に悪用コードが
公開された場合の機能性に関する詳細を3段階評価
で提供するそうです。

■関連リンク
Microsoft TechNet セキュリティ センター

市販のセキュリティ・ソフト、大半が脆弱性を悪用するコードを検知できず
wyvern notes
2008-10-15

Heartland

以前から結構好きで見ているドラマのひとつに、NCIS
（ネイビー犯罪捜査班）があります。

今日のタイトルは、そのNCIS のサイトから観たエピソ
ードの名前。チームのボスであるギブスのルーツに触
れる内容になっています。

ギブスが長らく戻ることのなかった故郷で父親に再会
してから二人の間にあった溝がだんだんと埋まってい
き、最後に故郷を離れる時のシーンは感動的です。

部下たちが普段と違うギブスを見て大騒ぎするシーン
もすごく楽しめます。

今まで観た中で、一番いいなあと思うエピソードでした。


■関連リンク
NCIS ～ネイビー犯罪捜査班 - Wikipedia

NCIS Heartland Episode 4 Full Episode
CBS.com

YouTube - NCIS - Gibbs' Father

Team-NCIS.com : Tout sur NCIS

Flight Control

航空関係の本や話で操縦士と副操縦士がコントロール
権を移譲する際に

"I have control"

と片方がコールした場合、もう片方は

"You have control"

とコールして操縦桿を譲るシーンに触れることがあります
が、今日は"Three-way call"と呼ばれる方法を知りました。

片方から聞いたことに対してもう一度確認を取って、確実
にコントロール権を移行する方法なのだそうです。

------------------------------------------------------------
★Ex：1
Pilot A： I have flight control.
Pilot B： You have flight control.
Pilot A： I have flight control.
⇒
この後、Pilot A が完全に機体のコントロール権を持つ

★Ex：2
Pilot A： You have flight control.
Pilot B： I have flight control.
Pilot A： You have flight control.
⇒
この後、Pilot B が完全に機体のコントロール権を持つ
------------------------------------------------------------

なんだか、TCP/IPでいうところの"3-way handshake"を
連想する話ですね。


■関連リンク
[Studying HTTP] TCP/IP

Roads to Node
3Minutes NetWorking
第39回　レイヤ４ TCP コネクション

市販のセキュリティ・ソフト、大半が脆弱性を悪用するコードを検知できず

Computerworld.jp、2008年10月14日の記事です。


■関連リンク
エクスプロイト・コードとは - インテル用語集

[HotFix Report] セキュリティ用語－PoC（proof of concept）

Clever Counterterrorism Tactic

先日も取り上げたBruce Schneier のブログに
とてもユニークなカウンターテロの手法が紹介
されていました。

その内容とは...

------------------------------------------------------------
ランドリーを開店して地区毎に「コード化
された色」で分けた割引券を配布する

集まった洗濯物はクリーニングの過程で
通常の設備に偽装して地下へ配置した
機器で分析にかけ、爆弾を製造した際に
付着する残渣の有無を確認

一連の作業によって不審な地域を絞り込
み、更に当該地域の各家に連番を振った
クーポンを送る

アドレスを確認した後に特殊部隊を急襲
させてテロ組織のメンバーを一気に逮捕
し、同時に武器や爆弾の類も押収する
------------------------------------------------------------

この間、一人の怪我人や犠牲者も出さなかった
点も特筆されるべきでしょう。

戦術のユニークさや北アイルランド紛争がらみ
の話になることから、浦沢直樹さん原作のマス
ターキートンを思い出す話でもありました。


■関連リンク
北アイルランド概要

北アイルランドの紛争の歴史

Operations security - Wikipedia, the free encyclopedia

MASTERキートン全話紹介~マスターキートンファンサイト

World Bank Cyber Intrusions

Handler's Diary の記事で、世界銀行のシステムがサ
イバー攻撃にさらされた事を知りました。

FOXによる報道では、どの程度の情報が盗まれている
かは不明なものの、6月から7月のほぼ1ヶ月間、侵入
者はシステムへフルアクセスできていたとのことです。

さらに上記報道で公開されているメモによると最小8台
のサーバが損傷しており、そのうち3台はドメインコント
ローラおよびSecureIDの妥当性検査を行うRSAサーバ、
ならびに従業員の書類をスキャンしたイメージを含むHR
サーバということで被害の深刻さが伺えます。

また、Lotus Notesによる警報が発見の端緒となってお
り、更なる調査の結果、警報が出た際に在席していな
かった上級システム管理者のアカウントが悪用されて
いたことも判明しているようです。

銀行側のスポークスマンは、FOXによる報道は出所不
明の情報を基にしており、事件の文脈を無視したもの
であると声明を出しているようですが、確かにメモのヘ
ッダーはロータスノーツで使うメールで設定できるもの
に見受けられますが、あくまで電子情報なので文書の
信憑性に一定の疑問符を持って然るべきとも思います。

いつだったか、事件に関する写真情報で最も信頼でき
るのはインスタントカメラのように非可逆性の高いアナ
ログ機材によるものだと聞いたことがあるのを思い出し
ましたね。

いずれにせよ、今後の展開がどうなるか気にかかるとこ
ろです。


■関連リンク
世界銀行 - ［政治・経済用語集］All About

世界銀行東京事務所

世界銀行訪問記 ｜ トヨタFS証券

Cybersecurity - FOXNews.com

Homeland Security National Terror Alert
Homeland Security News
World Bank Under Cyber Siege in Unprecedented Attack
11 October 2008

Data Mining for Terrorists Doesn't Work

Bruce Schneier のブログで、米国学術研究
会議から「テロリスト対策としてのデータマイ
ニングは機能していない」とのレポートが出た
事に触れていました。

カウンターテロリズムとデータマイニングの話
題は再三出ていますが、特にこうした世界で
はコンピュータと人間の主従関係を再認識す
る重要性が非常に強く浮き彫りになっている
感じがします。


■関連リンク
米国上院が可決した「テロ監視プログラム延長」の顛末
wyvern notes
2008-7-12

テロとデータマイニング
wyvern notes
2008-3-13

諜報活動 - Wikipedia

CIA Invests in Social-Network Datamining
Schneier on Security
October 26, 2009

夜の図書館

滞在先では、動き回るのに文字通り

クルマが必須となっていますが、レン
タカーを借りるような状況でもなく、か
といってバスを使うだけではどうにも
身動きが取りづらいので困っていた
ところ、友人が「僕の古い自転車使

うかい？」と持って来てくれました。

早速、以前見つけた近所（と言って
も徒歩で4～50分位）の図書館へ。

こちらの図書館は夜21時くらいまで
開いていますが、日曜日は休みな
のがちょっと残念。

友人の厚意に感謝しつつ、爽快な風
を楽しみました。