VirusZoo aims for safe infections

Securityfocus、2009年12月11日の記事です。

実際にコンピュータウイルスの感染被害に遭ったらどうなるか
試すことはなかなか難しいことが多いと思います。

YouTubeでもウイルスに感染した状態やワクチンの検出テスト
などの動画を見ることができますが、ここで紹介されているVi
rusZooでは、自分が使うPCに被害をおよぼすことなく、安全
に感染状態を見ることができます。





■関連リンク
VirusZoo

In the wild
wyvern notes
2008-12-13

Cheat Sheet: Analyzing Malicious Documents

Handler's diary、2009年12月7日の記事です。

記事のタイトル通り、主要なトピックは悪意のあるドキュメントへの
対策手法に関するCheat Sheetを紹介しているのですが、リンクさ
れているシリーズを見てみると、 DDoS攻撃への備えや人的なコミ
ュニケーションのトラブルシュートなど具体的で興味深いものがいく
つも公開されています。


■関連リンク
Information Technology and Security Cheat Sheet References
by Lenny Zeltser

技術メモ一覧
JPCERT/CC
最終更新: 2009-11-02

Incident Response Methodologies Worm Infection Cheat Sheet
Handler's diary
Published: 2011-04-29,
Last Updated: 2011-04-29 21:24:11 UTC
by Guy Bruneau (Version: 1)

New Incident Response Methodology Cheat Sheet
Handler's diary
Published: 2011-05-05,
Last Updated: 2011-05-05 13:01:56 UTC
by Chris Carboni (Version: 1)

A Cloudy Weekend

Handler's diary、2009年11月29日の記事です。

クラウドコンピューティングについては時折他サイトでも記事に
なっているのを目にしていますが、ここで紹介されているリンク
先のPDFファイルの中にあった"Cloud Taxonomy"などをはじ
めとした図式などをざっと眺めていました。

先日紹介したNISTのガイドラインと併せて細かな所までじっ
くりと目を通す時間を何とか持ちたいところです。


■関連リンク
OpenCrowd

Cloud Security Alliance

A NIST Notional Definition of Cloud Computing（DOCファイル）

Cloud Computing, Benefits, risks and recommendations
for information security（PDFファイル）
ENISA（European Network and Information Security Agency）

Cloud Computing: Business Benefits With Security,
Governance and Assurance Perspectives（PDFファイル）
ISACA（Information Systems Audit and Control Association）

業界団体がクラウド・セキュリティ・ガイドラインの第2版を発表
Computerworld.jp
2009年12月18日

アップル、喫煙者のMacを修理拒否

Computerworld.jp、本日の記事です。

随分前に、とあるメーカー製のラップトップを電機屋さんへ修理
に持ち込んだ時、構造が他社製品と違って複雑だからと嫌がら
れたことがあったのを思い出しましたが、こんな理由で修理を断
られるとは、かなり驚きました。


■関連リンク
Apple 'won't repair machines belonging to smokers'
Nicotine residue harms repair staff
Computerworld
By Carrie-Ann Skinner London | 水曜日, 25 11月, 2009

Government Approaches to Cybersecurity - What are your tips?

Handler's diary、2009年11月23日の記事です。

冒頭で、米国標準技術局(NIST)がアメリカ政府機関のネッ
トワークをどのように保護するかを論じた新しいガイドライン
を出したという話題から、組織内のシステムを適切に保護
するための対策を売り込むにはどうすればいいか？といっ
た内容に展開しています。

NISTのガイドライン自体は88ページにも及ぶ内容で、ざっく
りと目を通してみた程度ですが、RISK MANAGEMENT FRA
MEWORK(RMF)なるものは興味深いです。

他にも、記事の中にある他リンクから辿ることができるSAN
Sによる管理職へセキュリティ対策を売り込むためのTipsも
面白く、だいたいこんな構成になっています。

・コミュニケーション理論
・対象となる役職者の責任や潜在的影響力の簡単な説明
・ドラフト作成時の注意事項
・発表時間を考慮した編集
・内容の見直し
・練習
・技術的プレゼンの落とし穴

ドラフト作成時の注意事項では、組織内のテンプレートが
あるならば是非それを使うこと、もしそういったものがない
場合に備えたフォントなどの指定まで至れり尽くせりです。

中でも、Lenny Laskowski が考えたという、"AUDIENCE" と
いう頭字語を使ったプレゼン対象者の分析手法はユニーク
です。


Analysis
Who are they? How many will there be?
（分析：彼らはどのような人たちで、何人くらいか？）

Understanding
What is their knowledge of the subject?
（理解：彼らは、この件に関して知識を持っているか？）

Demographics
What is their age, sex, educational background?
（対象となる層：彼らの年齢、性別、学歴は？）

Interest
Why are they there? Who asked them to be there?
（関心：彼らはなぜそこにいるのか？誰がそうするように頼んだか？）

Environment
Where will I stand? Can they all see and hear me?
（環境：私はどこに立つのか？彼らは私を見たり声を聞く事ができるか？）

Needs
What are their needs? What are your needs as the speaker?
（必要性：彼らはどの程度ニーズがあるか？講演者としての私はどの程度
　ニーズがあるのか？）

Customized
What specific needs do you need to address?
（特別事項：何か特定のニーズを記述する必要があるか？）

Expectations
What do they expect to learn or hear from you?
（期待：彼らは、私から何を学ぶか、または聞くことを期待しているか？）


続きの記事で、政府機関にセキュリティを売り込むTipsに
対する読者の答えからベストなものを載せるそうなので、
楽しみにしています。


■関連リンク
The Intelligence Cycle for a Vulnerability Intelligence program on-the-cheap
Handler's Diary
Published: 2006-05-29,
Last Updated: 2006-05-30 14:36:48 UTC
by Kevin Liston (Version: 1)

Tip of the Day: Standards
Handler's Diary
Published: 2006-08-27,
Last Updated: 2006-08-28 16:48:35 UTC
by Swa Frantzen (Version: 3)

SWOT matrix for describing security posture
Handler's Diary
Published: 2008-08-29,
Last Updated: 2008-08-29 16:49:00 UTC
by Lenny Zeltser (Version: 1)

Day 28 - Avoiding Finger Pointing and the Blame Game
Handler's Diary
Published: 2008-10-28,
Last Updated: 2008-10-31 02:06:20 UTC
by Jason Lam (Version: 1)

Proving Security ROI in Tough Economic Times
Handler's Diary
Published: 2008-12-21,
Last Updated: 2008-12-22 16:13:48 UTC
by Mari Nichols (Version: 2)

Top 10 Mistakes When Crafting a Security RFP
Handler's Diary
Published: 2009-01-09,
Last Updated: 2009-01-24 02:22:15 UTC
by Lenny Zeltser (Version: 1)

How to Suck at Information Security
Handler's Diary
Published: 2009-01-09,
Last Updated: 2009-01-19 14:49:25 UTC
by Lenny Zeltser (Version: 3)

Cyber Security Act of 2009
Handler's Diary
Published: 2009-04-03,
Last Updated: 2009-04-06 18:33:01 UTC
by Johannes Ullrich (Version: 1)

How to be Heard? 10 Tips.
Handler's Diary
Published: 2009-04-06,
Last Updated: 2009-04-06 03:49:19 UTC
by Lenny Zeltser (Version: 1)

Northrop, colleges form cybersecurity group
SecurityFocus
Published: 2009-12-02

2020年までに脳波によるコンピュータ操作が可能に――インテル研究者

Computerworld.jp、2009年11月20日の記事です。

今年の夏ごろ、人体に対するハッキングが将来発生する
可能性をトピックにした記事が出ていましたが、歴史を振
り返った後にこうした内容を考えると、あながち胡散臭い
とも言い切れないあたりに何ともいえない感じを覚えます。

以前、酒席をご一緒した方のお話で、攻殻機動隊の中で
登場人物同士が過去の膨大なデータや詩の一節などを
会話の中で引用する場面について、「ああいうのは、今で
言うGoogleを使った検索みたいなのをやりながら話してる
に絶対違いないし、そうでなければあんな正確な引用は
不可能だ」と評していたことがあります。

今でもチャットやSkype等を使いながらサーチ結果を出し
合うようなことは普通に行われていますし、こうした事が
どこにあっても自らの脳内に埋め込んだ電極なりを使っ
た通信へ発展したり、そうした環境が何らかの悪意や偶
発的な事故につながっていく可能性が現実になるのは、
そう遠い未来のことではないのかもしれません。

■関連リンク
人体へのハッキング攻撃：発達する「神経工学」とその危険性
WIRED VISION
2009年8月3日

Medical Device Security Center

UW’s Tadayoshi Kohno on Computer Security and
How to Think Like the Bad Guy
Rachel Tompa Xconomy
9/11/09

Overcoming Security and Privacy Risks in the home
Tadayoshi Kohno (University of Washington)
（PDFファイル）

Tadayoshi Kohno (aka Yoshi Kohno)

The Next Hacking Frontier: Your Brain?
Wired.com

鳩の脳にインプラント、飛行を制御
WIRED VISION
2007年6月1日

脳をバックアップしてくれるツール『EverNote』
WIRED VISION
2008年3月18日

脳から『Twitter』に直接送信(動画)
WIRED VISION
2009年4月21日

「脳への電磁的攻撃」：禁止判決と対策サービスも
WIRED VISION
2009年7月6日

「脳のしわ」は外からの衝撃を吸収する
WIRED VISION
2009年8月19日

Computer circuit built from brain cells
New Scientist
4:05 23 October 2008 by Colin Barras

Intel: Chips in brains will control computers by 2020
COMPUTERWORLD By Sharon Gaudin
November 19, 2009 02:40 PM ET

攻殻機動隊 - Wikipedia

Invasion of the Body Hackers? Wireless Medical Devices Susceptible to Attacks
TechNewsWorld By Richard Adhikari
08/05/11 11:40 AM PT

LES CHEVALIERS DU CIEL

普段はあまりテレビを観ないのですが、夜にチャンネルを回し
た時に放送していたフランス映画のタイトルです（邦題はナイ
ト・オブ・ザ・スカイといいます）。

ル・マン24時間を題材にしたミシェル・ヴァイヨンもそうですが
（どちらも元はコミックというのも面白いです）、題材が空戦や
モータースポーツと同じであっても、ハリウッド映画に比べて
ヨーロッパの方が映像がずっと美しい感じですね。





■関連リンク
ナイト・オブ・ザ・スカイ
CHINEMA TIPICS ONLINE

Michel Vaillant - Le Site Officiel

戦争請負会社

民間業者が戦闘行為を請け負う話は以前から聞いたことがあ
りましたが、軍や危険地帯に活動展開している人道的義務を
持つ団体のみならず、テキーラのメーカーやテロ集団までもが
顧客になっているケースは非常に驚きました。

個人的には、コンピュータセキュリティに関わる部分を特に興
味深く読んでいましたが、"netspionage" なる単語は書籍が
出版された2004年より随分前から出回っていたようです。

------------------------------------------------------------
情報戦は民間企業にとっては、もう一つの肥沃な土地
である。政府は政治的な動機による情報戦攻撃をます
ます利用しつつあり、またそれによる危険の中にもいる
のだが、それに加えて民間企業もまた規制のないサイ
バースペース（電子空間）で行動している。ここでの掛
け金は非常に高く、しかもわれわれは企業間紛争と思
われる最初の段階を目撃しつつあるのだ。

一九九九年だけで、『フォーチュン』のリストに載った会
社三千が専有情報を盗まれ、四百五十億ドルを超える
損害を被った。

これは、企業が糸を引いたハッカー行為と推測されてい
るが、むしろネッツピオナージ（インターネットとエスピオ
ナージ＝スパイ活動の合成語）の名でよく知られている。
その結果は、戦場の通信手段の整備と防護を行う支援
部門企業の誕生であった。

サイバースペースの問題解決は、基本的には技術的な
ものだが、軍事専門機能や方法にも関係があり、この分
野のトップ企業は明らかに軍事関係の背景と精神構造
を有している。

一例としてI・ディフェンス社は、米国と英国の国防総省、
国家安全保障局、CIAなどと仕事をしてきた。

第6章　民営軍事請負企業の分類（P.202）より
------------------------------------------------------------

そのほか、PMFが現地の文民と軍人の関係を安定（または不
安定化）させる諸条件などは一般的なビジネスの世界に読み
替えてみても面白いかもしれません。

日頃意識しておらずとも、複雑極まりないパワーバランスや軍
事的技能が世界的に循環している中で生活していることを示
す内容でもあり、訳者のあとがきはこのことを象徴的に表して
いるように思います。

"われわれ平均的日本人は、世界を知らない。現代史を知らな
い。われわれはどこかでイラクに何の敵意も持っていないのだ
から、殺されることはないと思い込んでいはしないか。

地球上の世界が今どんなふうになっているかということに、平
均的日本人はほとんど関心がない。しかし、そうした態度は、
他国の人々の目には、しばしば驕りと映る。そのことをわれわ
れは知らない。"


■関連リンク
P.W. Singer

Speakers P.W. Singer: Military analyst

PrivateMilitary.org

IDefence

Armorgroup

Intelligence Online

民間軍事会社 - Wikipedia

戦争ゼミ : Ｐ．Ｗ．シンガー　『戦争請負会社』

サイバー戦争による軍事特需
年金者の戯言帖
2009年9月22日 (火)

Contractors Vie for Plum Work, Hacking for U.S.
NYTimes.com
By CHRISTOPHER DREW and JOHN MARKOFF
Published: May 30, 2009

U.S. Steps Up Effort on Digital Defenses
NYTimes.com
By DAVID E. SANGER, JOHN MARKOFF and THOM SHANKER
Published: April 27, 2009

サイバー演習と偽トラック
wyvern notes
2008-02-09

米国土安全保障省、2度目のサイバー予防訓練を実施
wyvern notes
2008-03-25

Gaza<->Israel Defacements/Hacks
wyvern notes
2009-01-04

「サイバー・セキュリティは優先事項」――オバマ政権が明言
wyvern notes
2009-01-28

露サイバー市民軍の攻撃でキルギスのインターネット基盤が麻痺
wyvern notes
2009-01-31

Electric Grid in US Penetrated by Spies
wyvern notes
2009-04-10

ブラジルの大停電、原因はサイバー攻撃 米CBS
AFPBB News
2009年11月07日 23:04　発信地:ワシントンD.C./米国

Netspionage: The Global Threat to Information
The Virtual Bookcase

Advisor: U.S. needs policy to defend cyberspace
Robert Lemos, SecurityFocus 2009-02-19

Cyber conflict still in infancy, states analysis
SecurityFocus
Published: 2009-10-27

Cyberwarfare Policy
Schneier on Security
December 1, 2009

Northrop, colleges form cybersecurity group
SecurityFocus
Published: 2009-12-02

Cyber Security Awareness Month 2009 - Summary and Links

Handler's Diary、2009年11月1日の記事です。

今年は、様々なポートやサービス、プロトコル、アプリケーシ
ョン、主要なセキュリティ問題について議論をしていたものが
アーカイブになっています。

こういった概括的な内容が定期的に出ているのを見ると、以
前に聞いていたものを思い出せたり、触れる機会のなかった
箇所を学ぶことができるなど、とても興味深いものです。

Webメールアカウントのパスワード変更を

すでに対応済みという方もいらっしゃるかと思いますが、先日
hotmailのアドレスやパスワードなどの情報が外部サイトに掲
載されていた問題で、yahooメールやGmailでも同様の状況に
なっているそうです。

このニュースを見て、先日1日にたまたまログインしていてこん
なポップアップが出て驚いたのを思い出しました（報道との関
連があるかどうかは分かりませんが）。

「このアカウントからログアウトしています。同じブラウザから別
のユーザーがログインしたため、自動的にログアウトした可能
性があります。このアカウントを引き続き使用するには、ログイ
ンし直す必要があります。これは、アカウントと個人情報を保護
するためのものですのでご了承ください。」

当時はタブブラウジングで何か問題があったのかと思いつつ、
メッセージの内容が内容なので即座にパスワードを変更した
のですが非常に気持ち悪かったですね。

報道の詳細は関連リンクに譲りますが、関連メールを使って
いる方は速やかにパスワードを変更する方が良いでしょう。


■関連リンク
Time to change your hotmail/gmail/yahoo password
Handler's Diary
Published: 2009-10-05,
Last Updated: 2009-10-07 15:32:07 UTC
by Adrien de Beaupre (Version: 1)

Windows Live Hotmail User Information Leaked
TrendLabs MALWARE BLOG
Oct 6 3:38 am (UTC-7)

Windows Live Hotmailのアカウント情報が流出--フィッシング詐欺が原因か
文：Don Reisinger（Special to CNET News）
翻訳校正：湯木進悟
CNET Japan
2009/10/06 06:44

Hotmailに加えてGmailやYahoo!も、アカウント流出被害が拡大
2009/10/7 15:19
INTERNET Watch

「Hotmailだけではなかった」――GmailやYahoo!メールのパスワードも流出
IT pro
2009/10/08

pastebin - collaborative debugging too

ソースコードを共有する新ジャンル、Pastebinって何?
マイコミジャーナル
2009/02/09

ペーストビン(pastebin)について
Life, don’t talk to me about life.
2008-09-08 16:59

フィッシング (詐欺) - Wikipedia

フィッシング詐欺のデータ流出：脆弱なパスワードが多いことが明らかに
ITpro
2009/10/07

Webメール，盗み見されていませんか
ITpro
2007/12/10

Gmailのアカウント消失に備える
更新：2008/2/6

メールアドレスに他人がアクセスしてることがありますか？
Gmailヘルプ

プライバシーとセキュリティ
Gmail ヘルプ

前回のアカウント アクティビティ
Gmail ヘルプ

ログインに問題が生じる場合はどうすればよいですか。
Blogger ヘルプ

空を職場にした人達

先日、社会人から職業パイロットへの転職を成し得て
いよいよ副操縦士として勤務が始まる人達の記事を
目にしました。

昨年、アメリカで飛行訓練を受けていたときに一緒だ
った訓練生の中にも、いわゆる団塊の世代にあたる
ベテラン達が定年退職するのに合わせた募集にパス
する為トレーニングに励んでいた人達を思い出します。

彼らのほとんどは、実際に仕事ができるか未確定な状
況を承知でかなりの借金を背負い、語学の壁とも戦い
ながら飛行経験を積んでいました。

僕自身はプロを目指すのではなく、安全管理の考え方
が自分の仕事に役立つ面も多々あるだろうと考えてト
レーニングを積んでいましたが、トラブルなどで訓練用
の機体が思う様に確保できなかったり、体調や天候、
果ては山火事に悩まされてどうにもならずジリジリした
こともありました。

そんな経験からも、記事に載っていた人たちがプロと
して操縦桿を握る夢を叶えた姿は心から祝福したい
ですね。

フライト前にいつも掛けてもらった言葉を、彼らにも贈
りたいと思います。

Have a safe flight!


■関連リンク
転職先は「大空」　社会人パイロット、間もなくデビュー
asahi.com
2009年9月27日

セキュリティ記事作成のお手伝いをしました

先日、お子さんを持つご家庭がインターネット利用で
気をつける点などをまとめた記事作成のお手伝いを
させて頂きました。

詳しくは、関連リンクをご参照ください。


■関連リンク
子供向けインターネットセキュリティ - パソコンを安全に使うには
コンピュータ周辺機器の比較

リーダーズ・ダイジェスト破産法申請

アメリカの出版大手、リーダーズ･ダイジェストが連邦破
産法11条の適用申請をしたとのニュースを知りました。

社名にもなっている"リーダーズ･ダイジェスト"の実物を
読んだことはないのですが、文章の要約をするトレーニ
ングなどに活用していた人の話などを聞いたことがあっ
たので以前から興味を持っていた雑誌です。

景気悪化や販売部数の減少などで、資金繰りが悪化し
た等が破産の要因とみられるそうですが、再建手続き
中も通常業務は継続するとのこと。

本家のサイトなどを見てみると、バラエティに富んでいて
飽きないですし、紙媒体の方でも頑張って欲しいなあと
思います。


■関連リンク
リーダーズ・ダイジェスト - Wikipedia

Reader's Digest - Wikipedia, the free encyclopedia

Reader's Digest

米リーダーズ・ダイジェスト、事前調整型で破産法適用申請へ
Reuters
2009年 08月 18日 11:43 JST

米リーダーズ・ダイジェスト、16億ドルで投資会社連合への身売りに同意
Reuters
2006年 11月 17日 07:46 JST

リーダーズ・ダイジェスト破産法申請も　債務圧縮で合意
U.S. FrontLine
更新2009年08月17日 16:01米国東部時間

『リーダーズダイジェスト』日本語版復刊をめざす

HCL: Reader's Digest bankruptcy won't affect contract
John Ribeiro
18.08.2009 kl 08:26 | IDG News Service

BCP？Disaster Recovery？

先日11日、駿河湾を震源とする地震で東名高速の一部
が崩落した影響が今も残っていますが、先日BCP（Busi
ness Continuity Planning）を導入している企業の割合に
ついて触れたニュース番組を観たのをきっかけに、軽く
BCPについてまとめてみようと思い立ちました。

日本政策投資銀行が今年8月4日に発表している"2009
年6月 企業行動に関する意識調査結果"では、大企業（
資本10億円以上）が対象となっていますが、BCPを策定
している企業は回答した企業（全体の約45%）の中で13
%となっており、大規模災害に備えた財務手当てにしても、
操業や復旧資金まで供えている企業は製造業で7%、非
製造業で5%と非常にわずかな割合となっているようです。

昨年に同銀行が発表している内容からみると、若干の伸
びが示されており、今年1月27日にに富士経済が発表し
ているプレスリリースでもBCPを初めとする危機管理関連
ビジネス市場の拡大傾向を示す内容が出されています。

類似した内容を意味する用語で、Disaster Recoveryと呼
ばれる言葉もあり、こちらについて今年7月にシマンテック
が発表している調査結果でも経営層の関心が高まってい
る様子が伺えますね。

中小企業などは、こうした対策が必要な場面でリカバーが
効かないと即致命傷となる場合もありながら実際にはどこ
から手をつけて良いか途方に暮れてしまうこともあるかと思
いますが、中小企業省が入門診断などの便利なツール類
を公表しています。

リンク先の書籍は、以前参考にしていたものです。





■関連リンク
[導入動向]
2009年6月 企業行動に関する意識調査結果（PDF）
日本政策投資銀行調査

企業の防災への取組みに関する特別調査を実施
2008年08月19日
日本政策投資銀行調査

PRESS RELEASE（PDF）第09008号
株式会社 富士経済

[対策関連]
欧州企業に学ぶディザスタ・リカバリ対策の奥義
CIO Online
CIO Magazine 2002年10月号に掲載

“事業継続”を 経営戦略に組み込む | BCP／ディザスタ・リカバリ計画を策定するうえでのポイントと注意点を整理する
CIO Online
CIO Magazine 2007年11月号に掲載

事業継続計画（BCP/BCM）
木暮　仁

貴社のディザスタ・リカバリ戦略は万全か?!
CIO Online
CIO Magazine 2009年1月号に掲載

海外情報セキュリティ関連文書の翻訳・調査研究（NIST文書など）
独立行政法人 情報処理推進機構
最終更新日：2011年03月31日
掲載日：2005年08月29日

ITセキュリティの視点から見た BCP/BCM　JIPDEC、高取氏インタビュー(1)
Scan NetSecurity
2008年04月22日

[復旧事例]
成功例は3割：仮想化はディザスタリカバリの特効薬にはならず――米調査
ITmedia エンタープライズ
009年06月29日 12時05分 更新

ディザスタリカバリの復旧作業は4回に1回は失敗
＠IT
2009/07/02

【事例：東京証券取引所】テロ予告で業務継続計画の不備が発覚，現場主導＋訓練で実効性を向上
ITpro

[中小企業向け情報]
中小企業BCP策定運用指針
中小企業庁

内閣府、企業のBCP策定支援を強化
Net21[中小企業ビジネス支援サイト]

中小企業への段階的BCP導入方策の研究
丸谷 浩明

Layer 2 Security - L2TPv3 for Disaster Recovery Sites
Handler's Diary
Published: 2010-04-27,
Last Updated: 2010-04-28 11:38:58 UTC
by Rob VandenBrink (Version: 1)

ファイアウォール管理者をカリカリさせる“10の状況”

Computerworld.jp、2009年7月3日の記事です。

いずれも身につまされる方が多そうな内容ながら、
特に以下の3つは気になりました。
（⇒から先は、状況を読んで想像した部分）

------------------------------------------------------------
第8位
⇒
誰が、何を、なぜ行ったか追跡できない。
問題発生時を考えたら最悪の状況。

第7位
⇒
機器のコントロール手法が標準化されていない。
悪い意味での属人化が染み付いていて、セキュリティ
対策はおろか、通常運用にすら問題を抱えていそうな
組織が想像できます。

第3位
⇒
管理対象の構成がわからない。
何を管理するか把握しきれていなければ、他のラン
キングにある状況が発生するのも必然。
------------------------------------------------------------

最後に挙げた構成管理についてはシステムを管理する
なら真っ先にキチンとしておく内容だと思いますし、ここ
が不十分なら管理漏れが起きるのは当然です。

"もしも彼らが、今年の夏は「Black Hat」や「DefCon」に
出席したいと言ってきたら、すげなく却下する前に前述
のリストを読み直して、彼らがいかに組織に貢献してい
るのかを思いだそう"という結びは思わず苦笑でした。

こういう状況が重なっていくと、システムを廃棄した後
でも関連リンクに示した別記事に書いてある様な問題
が亡霊のようについてまわる・・・というのはあまり想像
したくありませんが、使わなくなったシステムから情報
のチェーンを確実に断ち切っておくのも大事な仕事です。


■関連リンク
米国軍需メーカーの機密情報、ガーナで販売されていた中古HDDから発見
Computerworld.jp
2009年06月25日

ファイアウォールの父が語るセキュリティ管理のいま
Computerworld.jp
2008年12月05日

FRONTLINE/World Ghana: Digital Dumping Ground
PBS
Jun.23.2009

ファイアウォールのルール管理におけるベストプラクティス
TechTargetジャパン
2009年09月01日 07時30分 UPDATE

Emerging Threats

天才シェフ危機一髪

一流どころのシェフ達が、下積み時代や仕事の最中に
経験した様々な体験を40のストーリーに散りばめた本
です。

信じられないような窮地へ陥った時にどうやって切り抜
けたかという話はもちろん、レストランの舞台裏で繰り
広げられたイタズラの話も存分に楽しめます。

アンソニー・ボーディンやジェイミー・オリヴァーの名前は
テレビで見たことがあったので、彼らの映像を思い出す
時も。

読み終えてから、"Don't Try This at Home"という原題
を改めて見た時は思わずニヤリとしてしまいました。





■関連リンク
アンソニー世界を喰らう - Wikipedia

Anthony Bourdain - Wikipedia, the free encyclopedia

ジェイミー・オリヴァー - Wikipedia

Jamie Oliver - Wikipedia, the free encyclopedia

3つの坂

今日、仕事の関係でお会いした方からとても含蓄の
あるお話をいただきました。

商売には、"3つの坂"があるというのです。

ひとつは、"上り坂"、次に、"下り坂"、そして最後に
"まさか"なのだそうです。

この3つの坂を経験して強くなっていくんだよという
印象深い言葉でした。

インフルエンザと口コミの関係

新型インフルエンザに関する報道が相変わらず続いて
いますが、数週間前にCNET Japanで非常に面白い記
事を読んでいました。

記事の中で紹介されている"生物テロに向けたシミュレ
ーションの構築と介入効果の検討に関する研究"の公
表資料も一通り読んでみた中で、特に面白かったのが
社会シミュレーションモデルを手軽に構築できるSOAR
Sという言語。

他にも、保健所を対象とした天然痘とSARSへの対策実
施状況の調査を行った"保健所におけるバイオテロリズ
ム及び一類感染症対策の現状と課題"、医療従事者を
対象とした生物テロ対策に対する信頼感を示した"生物
テロ（天然痘）対策に対する医療従事者の信頼度に関
する基礎的調査研究"も非常に興味深いものです。

ワクチンについても色々と知る事ができましたが、製造
速度を確保するために、鶏卵の代わりに昆虫の細胞や
ベロ細胞と呼ばれる細胞株を使ったり、効力を高める為
にウイルス様粒子（VLP）を使う方法もあるようです。

国立感染研究所のサイトからは、新型インフルエンザの
国内外の発生状況・疫学関連情報を閲覧できます。


■関連リンク
[記事関連]
インフルエンザと口コミの関係:コラム
CNET Japan
2009年5月11日

東京大学大学院情報学環 七丈 直弘 研究室

厚生労働科学研究成果データベース

SOARS

天然痘対応指針（第5版）
厚生労働省健康局結核感染症課
平成16年5月14日

NBCテロ対処
現地関係機関連携モデル(PDF)
NBCテロ対策会議幹事会
平成13 年11 月22 日

生物化学テロへの対処について
内閣官房
平成13年12月19日

阿南 英明, 村田 厚夫, 赤坂 理, 野崎 万希子, 奥田 由紀, 八鍬 秀之,
佐藤 厚夫:
集団化学災害として対応した消火剤散布事例 ―とくに「NBCテロ対処現地
関係機関連携モデル」に照らし合わせた検証― .
日本救急医学会雑誌
2007; 18: 10-16

授業レポート　架空の町の防災対策2：実施計画 （NBC災害（危険物）等
災害対策）、感想
兵庫県立舞子高等学校

Influenza A(H1N1) (Swine Flu): A Global Outbreak in Japanese
Uploading date: May 22, 2008
Last update: May 28, 2009

インフルエンザ・パンデミックに関するQ＆A
国立感染症研究所

CDC - Influenza (Flu) | FluAid Home

地域のパンデミックプランニング　2004年　第2号
来るべきパンデミックの被害予測
－CDCの被害予測ツールFluAidとFluSurgeの紹介　特徴と限界－
仙台医療センター　ウイルスセンター

横浜次世代プロジェクト: FLU aid 2.0 （大久保知直）
山崎誠政策研究所

厚生労働省：健康：新型インフルエンザ対策関連情報

広域災害救急医療情報システム

H5N1型という“敵”に日本が採るべき策
SAFETY JAPAN
2008年5月16日

[Google Flu Trends]
検索傾向でインフルエンザ流行を予測する「Google Flu Trends」
2008年11月12日

プライバシ団体が「Google Flu Trends」に懸念，Googleにアルゴリズム
公開を要請
ITpro
2008/11/17

2009 H1N1 Flu Outbreak Map - Google マップ

[ワクチン]
昆虫の細胞ラインから作ったインフルエンザワクチン・FluBlOkの
臨床試験が始まる
BioToday
2004-10-29

インフルエンザ・ワクチン製造時間の短縮化
人間科学総合基礎研究所
2005年12月14日

「DNAワクチン」はインフルエンザ予防を変えるか
WIRED VISION
2005年11月07日

H5N1型パンデミックインフルエンザワクチンの第I / II相試験の最終結果
および第III相臨床試験の開始を発表
Baxter Japan
2007年4月5日

ベロ細胞 - Wikipedia

ワクチン開発 「カギは蛾の細胞」
YOMIURI ONLINE（読売新聞）
読売ウイークリー2008年6月1日号

ワクチン製造を短縮　鳥インフルで国内ベンチャー　大流行に即応アピール
中日新聞(CHUNICHI Web)
2009年5月26日

研究は活発だが恩恵享受には時間が必要
－新型インフルエンザ治療薬など
ジェトロ
2009年05月26日

[塩基配列]
塩基配列 - Wikipedia

バイオインフォマティクス - Wikipedia

日本バイオインフォマティクス学会

バイオ研究MegaLink
研究留学ネット

インフルエンザワクチンの製造期間を短縮する新しい方法
健康美容EXPO
2009年5月25日

新型インフルエンザウイルス国内分離株の全遺伝子塩基配列を解読
長期的な監視への足がかりに
独立行政法人製品評価技術基盤機構
平成21年5月20日

[その他]
ダイキン、空気清浄機の「ストリーマ放電」が鳥インフルエンザに有効と発表
家電Watch
2009年5月26日 14:35

新型インフルエンザ：ベトナム国立衛生疫学研究所、レ・ティ・クイン・マイ博士に聞く
毎日jp(毎日新聞)
2009年7月14日

世界初100％分解・除去
ストリーマ放電技術による「新型インフルエンザウイルス」 への効果実証
ベトナム国立衛生疫学研究所と共同実証
ダイキン工業株式会社
2009年9月15日

Banks' H1N1 Flu Vaccines Stir Outrage
BusinessWeek
November 5, 2009, 8:25PM EST
By Esme' E. Deprez

高周波装置で迷惑行為防止

足立区で、今月21日から公園施設を保護するために高
周波装置を使って深夜に迷惑行為へおよぶ若者を撃退
しようとする試みをスタートさせるニュースがありました。

昨年、たまたま同様の装置に関する記事を書いていた事
もあって目に留まったものです。

装置を販売している会社のサイトにアクセスしてみると、
色々な興味深い内容をチェックできます。


■関連リンク
株式会社メルク

月刊「安全と管理」

英国政府、超音波コドモ撃退装置の販売禁止の方針
wyvern notes
2008-02-28

黒くぬれ!

ロバート・ハリスさんのエッセイです。

出版は2001年ごろと随分前ですが、手に取り直して
みるとむしろ今のような時代の方がフィットするんじゃ
ないかと思うような内容です。

前回の記事に書いた与謝野晶子もそうですが、文学
者とか芸術家のような人達の逸話には激しいものが
多いですね。

人を揺さぶるものを作り出すエネルギーとか、その一
端へ触れることで誰しも自分を取り戻す瞬間があるん
だろうなと思います。

考えすぎてしまうようなときにイイ本です。





■関連リンク
ロバート・ハリス (1948年生) - Wikipedia

EXILES ロバートハリスブログ

EXILIM Avenue - Faces - ロバート・ハリス

与謝野晶子の歌

昔の歌についてあれこれサーチして遊んでいたら、
活字三昧というブログで与謝野晶子の歌に関する
記事を見つけました。

こういう話、いいなあと思います。


■関連リンク
雑記／私の詩歌ノート、晶子の歌の思い出、私が本や詩歌を紹介する訳
活字三昧
2007年06月17日

与謝野晶子 - Wikipedia

7twenty7

最近、調べ物などしていてずっとイヤホンから流し
ているのがタイトルの曲。

Roxette というロックバンドの結構古い作品ですが
キレのいいギターサウンドは今聴いてもクセになる
音ですね。





Audiosurf という、パズルレーシングゲームに曲を
シンクロさせていたものが YouTube にアップされ
ていて、これも見てみるとなかなか楽しいです。





■関連リンク
ロクセット - Wikipedia

/::/ Roxette /::/

ROXETTE - 7TWENTY7 LYRICS

Audiosurf Wiki*

Audiosurf: Ride Your Music

Computer Spies Breach Fighter-Jet Project

Wall Street Journal、2009年4月21日の記事です。

先日は電送網のシステムが侵害された報道もあり
ましたが、今回は盗まれたデータが暗号化されてし
まって被害範囲が特定できていないという話もある
様で、このあたりはいわゆるランサムウェアに通じ
る部分を感じます。

飛行中のパイロットが自身の扱う機体のレーダー
を信頼できないとなれば、文字通り命取りになる
話ですし、管制システムまで侵害されていたとな
ればむしろ「なぜそこまで被害が？」と首を捻りた
くもなりますね。


■関連リンク
F-35 (戦闘機) - Wikipedia

そうなのかな: F35　設計情報流出
F35　設計情報流出
2009年4月23日

“脅迫ウイルス”が増加中，PCのファイルを人質にして金銭を要求
ITpro
2006/08/22

コンピュータが人質に：ユーザーを締め出す新手の脅迫プログラムが出現
ITmedia エンタープライズ
2009年04月17日 08時30分 更新

Pentagon: Beijing boosts cyberwarfare
Washington Times
Thursday, March 26, 2009

Pentagon: Beijing boosts cyberwarfare
Lux Libertas
March 26, 2009

China boosts military, cyberwarfare capabilities
By arturoafc54
March 26, 2009 at 8:36 am

China Military Power Report.indd(PDF)

Military Power of the People's Republic of China 2009
Asiaing.com
Sunday, 29 March 2009

Electric Grid in US Penetrated by Spies
wyvern notes
2009-04-10

Air traffic systems vulnerable, IG states
SecurityFocus
2009-05-08

Cyber attack could bring U.S. military response
SecurityFocus
2009-05-11

Something for the holiday? Nessus 4 is out

Handler's Diary、2009年4月10日の記事です。

Nessusの新バージョンが出たという話題で、PCI DSSを
カバーしている点は非常に興味深いです。

ちょっと前には、OSSTMM 3 のサンプルも公表されてい
ました。

13日に報道された国交省のサイト改ざんの話題を見ると
「百年兵を養うは・・・」の発想がセキュリティを攻守いずれ
に回って考えるにしても共通の課題と改めて思いますが、
まずは順調に調査分析が進んで復旧すると良いですね。


■関連リンク
PCI DSS - PCI Security Standards Council

PCI SSC PO Japan 連絡会

OSSTMM - Open Source Security Testing Methodology Manual

Tenable Network Security: PCI-DSS Plugins For Nessus

Nessus Version 4 Released
Governmentsecurity.org

OpenVAS

PCI-DSS Auditing Linux, Apache, PHP, & MySQL With Nessus 4
Governmentsecurity.org

PCI SSC、PCI DSSの改訂サイクルを「3年ごと」へと延長
Computerworld.jp
2010年06月23日

【解説】PCI DSSの効能を理解する
Computerworld.jp
2010年08月12日

「PCI DSS バージョン2.0 翻訳版」が公開
Computerworld.jp
2010年10月29日

Electric Grid in US Penetrated by Spies

Handler's Diary、2009年4月8日の記事です。

この中で紹介されていた、Wall Street Journal の
報道も読んでみたところ、インフラ施設のマッピング
を図っていたようです。

侵入を発見したのはインフラ企業の担当者ではなく
諜報機関の職員だったとのことですが、オバマ大統
領がサイバーセキュリティの強化を政策に打ち出し
てから、先月ゴタゴタがあったりしたので何かそうい
う絡みもあって今回の報道に至ったのかな？と思う
面もあります。

とはいえ、侵入を調査している当局の職員によると
残されていたプログラムはその気になればいつでも
攻撃側から稼働させてインフラコンポーネントを破壊
できただろうとの事で恐ろしい話です。


■関連リンク
Electricity Grid in U.S. Penetrated By Spies
WSJ.com
APRIL 8, 2009
By SIOBHAN GORMAN

NERC - North American Electric Reliability Corporation

Wall Street Journal: Cyberspies Infiltrated US Electrical Grid
By VOA News
08 April 2009

Cybersecurity chief resigns, dings NSA
SecurityFocus
Published: 2009-03-07

米国政府のサイバー・セキュリティ対策責任者が辞職
Computerworld.jp
2009年03月11日

ワシントンD.CのITセキュリティ責任者、収賄容疑で逮捕
Computerworld.jp
2009年03月13日

オバマ政権のCIOに立ちはだかる“お役所文化”の壁
Computerworld.jp
2009年03月16日

「サイバー・セキュリティは優先事項」――オバマ政権が明言
wyvern notes
2009-01-28

制御システムセキュリティ
JPCERT コーディネーションセンター
最終更新: 2009-01-15

重要インフラの制御システムセキュリティとITサービス継続に関する
調査報告書
独立行政法人 情報処理推進機構 セキュリティセンター
最終更新日 2009年3月30日

基幹産業ソフトウェアの脆弱性
wyvern notes
2008-05-07

U.S. Power Grid Hacked, Everyone Panic!
April 9, 2009
Schneier on Security

U.S. Power Grid Hacked, Everyone Panic!
Schneier on Security
April 9, 2009

Power grid's vulnerability no surprise
SecurityFocus
Published: 2009-04-11

Chief: NSA has no wish to control cybersecurity
SecurityFocus
Published: 2009-04-22


Electricity Industry to Scan Grid for Spies
WSJ.com
JUNE 18, 2009
By SIOBHAN GORMAN

サイバー戦争の舞台はインフラ網へ - 米国でスパイ対策に向けた取り組み
マイコミジャーナル
2009/06/19

SCADA - Wikipedia

SCADAシステムとセキュリティ白書（PDFファイル）
Abhishek Bhattacharjee, (previously Senior Technical Architect, Citect)
Stephen Flannigan and Jens Nasholm, both Product Marketing Managers, Citect.

水道・ガス・電力等の重要インフラ制御システムのセキュリティ向上に
関する報告書を翻訳・公開・重要インフラ制御システムにおけるウイルス
や不正アクセス等への39の対策項目を紹介
独立行政法人 情報処理推進機構 セキュリティセンター
掲載日　2009年11月25日

制御システムセキュリティガイドライン(全般)
JPCERT コーディネーションセンター
最終更新: 2010-07-06

ついに標的に狙われたSCADAシステム
エフセキュアブログ
gohsuke_takama
2010年07月19日23:32

シーメンス、ワームの除去が工場操業に影響する可能性を指摘
Computerworld.jp
2010年07月23日

Stuxnet によって初めて実装された、SCADA デバイスが標的のルートキット
Symantec Connect
August 7th, 2010

「SCADA」最新記事一覧 - ITmedia Keywords

Potter’s cafe HARRY

タイトルは、岡崎にある喫茶店の
名前です。

数年前にひょんなことから知った
のですが、チーズケーキがあまり
に美味しかったので、立ち寄った
時はお土産にも買って帰るように
なりました（笑）

お店には、地元名産の八丁味噌
を使ったドリア風焼きカレーという
のもあります。

ネットで取り寄せできるので、美味
しいチーズケーキが食べたい！と
いう時は是非お勧めしたい所です。


■関連リンク
Potter’s cafe HARRY

夜桜

仕事の後に、出先で夜桜を見る
機会がありました。

今年は寒さで開花が遅れた事も
あってか、もうしばらく楽しめそう
ですね。

Ghostnet

Ghostnet に関する報告書を読んでみたところ、特に
攻撃手法やその影響が目に留まったので、ざっくり
メモしておきたいと思います。

------------------------------------------------------------
【感染手法】
電子メールを使い、被害者が添付ファイルやWeb
リンクをクリックすることによってOSの深層部（ここ
は特に興味深い所です）にマルウェアをインストー
ルされる。

【攻撃の隠蔽化】
マルウェアが含まれるファイルを Virustotal でスキ
ャンすると、34あるスキャンエンジンの中で脅威を
検出できたのは11に過ぎない。

【感染後の被害状況】
感染ホストは、gh0st RAT と呼ばれるツールを使っ
て攻撃者から無制限と言ってよい程のコマンド群を
リアルタイムに実行できてしまう（コマンドインタフェ
ースの画面は報告書で見ることが出来ます）。

・ファイルマネージャ
・スクリーンキャプチャ
・キーロガー
・リモートシェル
・システム
（原文も"system"とあり、システムコマンド発行を意味？）
・Webカメラの操作
・内蔵マイクによる外部音声取得
・gh0st RAT のアップデートのような、マルウェアの
 ダウンロードおよび実行

その上、Server List interface から、以下のような
情報も取得できる。

・コンピュータ(所有者/オペレータ)に与えられた名前
・IPアドレス
・最初に、いつ感染したか
・最後に、いつ制御サーバを呼んだか
・制御サーバを何回呼んだか

更に、感染ホストへユニークな識別番号を割り振
ることで追跡も可能で、攻撃側から見ればまさに
至れり尽くせり。いったん感染させてしまえばコマ
ンドラインに習熟していなくても容易に操作できそ
うです。

Webカメラや内蔵マイクの操作などは、映画「攻
殻機動隊STAND ALONE COMPLEX Solid State
Society」に出てくる介護ネットを髣髴とさせます。

また、報告書内ではコマンドをJpegなどのイメージ
ファイルに埋め込んでいる手口も紹介しており、そ
うした状況を見るとWebコンテンツの完全性を定期
的にチェックするツールの重要性がより大きくなっ
ている様に思います。

【感染期間】
調査時に判明した感染期間は最短1日から、最長
660日間に及ぶ（平均は145日）。

【感染範囲】
報告書内では Net Trade in Taiwan、the New York
Office of Deloitte & Touche、PetroVietnam、国有の
ガス・石油会社の感染被害を挙げている。
------------------------------------------------------------

インフラや会計監査に関わる組織が侵害を受けている
点は、政府機関と同様に極めて重く見るべき事態でし
ょう（感染ホストの地理的な位置には、民間企業では
ないようですが日本も含まれています）。

そして、ソーシャルエンジニアリングと呼ばれる攻撃手
法が大きな位置を占めているという点は、昨今悪質化
の著しさが良く報道されるマルウェア動向と共通するも
のがあります。

数年前からサイバー犯罪がすでに産業化の傾向を強
めていることは良く見聞きし、詳しい出所は失念してし
まいましたが「正規の職業との違いは税金を払ってい
るかどうかだけ」という言葉まで聞いた経験も考えると、
報告書の内容は諜報目的であっても、実際にはボット
ネットと同じようなものに感じますし、gh0st RAT につ
いても似た様な攻撃ツールはいろいろ出回っている事
も含め、大きな傾向として脅威の内容自体はあまり変
化していないようにも感じます。

とはいえ、報告書に記載されている追跡過程などは
非常に臨場感があって、読むだけでも学ぶ点が多々
あります。

数年前に良く報道されていたものを見かけなくなっ
たからといって、その攻撃が無くなったのではなく
むしろ密かに進行していることを思わせる内容でし
た。


■関連リンク
GhostNet
Handler's Diary
Published: 2009-03-29,
Last Updated: 2009-03-30 18:21:20 UTC
by Chris Carboni (Version: 1)

Tracking GhostNet: Investigating a Cyber Espionage Network

InfoWar Monitor :: Tracking Cyberpower

SecDev Group

The Citizen Lab

Palantir

Virustotal

GhostNet - Wikipedia, the free encyclopedia

Vast Spy System Loots Computers in 103 Countries
NYTimes.com
By JOHN MARKOFF
Published: March 28, 2009

GhostNet Highlights Evolving Threat Environment
Business Center - PC World
Monday, March 30, 2009 2:10 AM PDT

GhostNet highlights evolving threat environment - espionage, ghostnet
Computerworld
Sumner Lemon (IDG News Service) 30/03/2009 18:56:00

GhostNet is watching
Computerworld Blogs

103カ国の国際機関を標的にしたサイバー・スパイ・ネットワーク「GhostNet」
Computerworld.jp
2009年03月31日

中国政府、サイバー・スパイ・ネットワーク「GhostNet」への関与を否定
2009年04月01日
Computerworld.jp

“2億8,500万件”の漏洩データが物語るセキュリティ侵害の現在
2009年07月25日
Computerworld.jp

世界規模のスパイ・ネットワーク「GhostNet」，トロント大学らが報告
ITpro
2009/03/30

China Denies Any Role in 'GhostNet' Computer Hacking
VOA News
By Alison Klayman
Beijing
31 March 2009

Project GhostNet:
Canada (and Google) Save the World from Cyber-Spying - Again!
CircleID
By Jon Arnold
Mar 30, 2009 3:13 PM PDT

中国、盗み放題？　ダライ・ラマらに大規模ハッキング
MSN産経ニュース
2010.4.7 08:58

中国：大規模ハッキング　ダライ・ラマらの情報盗難
毎日jp
2010年4月7日　11時17分（最終更新　4月7日　11時29分）

Shadowserver botnet rules
Handler's Diary
Published: 2010-04-23,
Last Updated: 2010-04-23 19:26:22 UTC
by Adrien de Beaupre (Version: 1)

Shadowserver

中国に“サイバー人民解放軍”、米国防総省が報告 (1/2)
ITmedia News
2007年06月07日 12時00分 更新

Espionage Report: Merkel's China Visit Marred by Hacking Allegations
SPIEGEL ONLINE
08/27/2007

「ハッカー集団Titan Rainの背後に中国政府の影」
-- セキュリティ専門家が指摘
CNET Japan
Tom Espiner（Special to CNET News.com）
2005/11/25 18:40

調査報告：「スパムの3分の1はRATに汚染されたPCが原因」
CNET Japan
2003/12/04 11:11

「RAT」とは

攻殻機動隊 STAND ALONE COMPLEX Solid State Society - Wikipedia

桜色の空

先日まだ三分咲きくらいの桜を
楽しんだ後で帰路に同乗したク
ルマから空を見上げると、心な
しかほんのりと桜色に染まって
見えました。

柔らかい色合いがいかにも春ら
しい感じで、こういう空も良いで
すね。

3DベースのCAPTCHAが登場--ソーシャルウェブサイトのYUNiTi.comが作成

CNET Japan、3月26日の記事です。

まだ記事で紹介されていった内容は試せていない
のですが、非常に興味深いものがあります。


■関連リンク
CAPTCHAは愚策
wyvern notes
2008-03-01

米研究者、画像方式による次世代CAPTCHAを発表
wyvern notes
2008-04-26

Gmail、視覚障害者向けの音声版CAPTCHAも突破されていた
wyvern notes
2008-05-07

音声入力

数日前から、ずっと気になっていた音声入力にトライ
していました。

やはりキーボードを使い続けていると腕や指を傷めて
しまうこともあったので、そういったことを防ぐためにも
試すことにして最初は商用のソフトを買おうかと考えて
いましたが、幸か不幸か当日に近場でソフトを買うこと
が出来ませんでした。

そこでIMEパッドの音声入力機能を使う事にして、事
前に30分ほど音声認識のトレーニングを行った後に
いつも使うテキストエディタで入力をしてみました。

多少の誤認識はありますが、全て直に手で入力する
よりもずっと負担が少ない上、意外に認識率が良く快
適なことに驚いています（この記事も殆ど音声入力で
書きました）。

今のところはこれで十分ですが、商用製品ではICレコ
ーダーに自分の声でとったメモを文字化できる機能が
備わっているものもあるそうなので、もし使い慣れて来
ればきっと手放せないものになるでしょうね。


■関連リンク
[HOW TO] Windows XP で音声認識を使用する方法
Microsoft サポートオンライン
最終更新日: 2002年4月8日 - リビジョン: 1.0

ユーロマフィア

先日、SecurityFocusのサイトに載っていた記事でボット
ネットを操って不正な利益を得ていた元コンピュータセキ
ュリティコンサルタント John Schiefer へ4年の実刑判決
と2500ドルの罰金に加え、約20000ドルの賠償命令が下
ったことを知りました。

以前から、サイバー犯罪が今や一大産業となっている話
は耳にしますが、こうした話を見聞きしていると、この本の
中にある一節を思い出します。

------------------------------------------------------------
もっとも、コンピュータへの侵入はいつでも直接カネを
盗もうという意図と結びついているわけではない。金
銭とおなじくらい －ある場合にはそれよりもはるかに
－ 貴重なのは秘密もしくは最高機密の情報である。

それは企業の競争相手に高く転売したり、別のデータ
バンクをつくったりするために、あるいは個人的に利用
したり、所有できないはずのものを所有することに純粋
な喜びを見出したりするためにアクセスされ、読まれ、
コピーされる。

（中略）

パリに本拠をおく「経済協力開発機構」（OECD）は、コン
ピュータが生み出す恩恵ばかりでなく危険性も認めた最
初の機関の一つである。指針となる文書の中で、OECD
はこう警告している。

「ビジネスや公益事業、個人を含めて社会は、いまだ充
分に信頼できていない科学技術におびただしく依存する
ようになっている。情報システムのあらゆる利用は･････
･･情報システムに対する攻撃やその故障にもろい。情報
システムへの不法侵入や不法使用、盗用、変造、破壊か
ら非常な損害をこうむる危険性があり、それは偶発的な、
もしくは意図的な行動の結果に由来するかもしれない。
行使を問わず特定の情報システム、すなわち軍事ないし
防衛施設、原子力発電所、病院、輸送システム、証券取
引所などは反社会的な行動もしくはテロリズムに対し豊
かな温床を提供するものである」

ユーロマフィア
著：ブライアン・フリーマントル
訳：新庄哲夫
第十章　大気も何かキナくさい（P.161-162）より
------------------------------------------------------------

出版は随分前ですが、今にも通じるものが大いにあると
思う内容です。





■関連リンク
ボットネット - Wikipedia

巨大ボットネット構築の容疑者が逮捕--100万台超のPCを不正操作か
CNET Japan
2007/12/03 20:41

【連載】サイバー・セキュリティ［罪と罰］
第4回：ボット犯罪者たちの「罪と罰」
Computerworld.jp
2008年06月03日

ボットネット運営者に4年の懲役刑
Computerworld.jp
2009年03月09日

OPERATION: BOT ROAST 'Bot-herders' Charged as Part of Initiative
Federal Bureau of Investigation - Press Room - Headline Archives
06/13//07

'BOT ROAST II'
Cracking Down on Cyber Crime
11/29/07

増殖するボットネットを撲滅するための組織的な取り組み
チェック･ポイント・ソフトウェア・テクノロジーズ

ボットハーダーの逮捕：
米国におけるボットネット関連犯罪で初めて罪を認める
チェック･ポイント・ソフトウェア・テクノロジーズ

サイバー犯罪者は世界で1万人以上、カスペルスキー氏が語るセキュリティの今
ITpro
2008/10/17

サイバー犯罪者との軍拡競争には屈しない、Kaspersky氏が講演
INTERNET Watch
2008/12/05 11:42

What a Botnet Looks Like
May 06, 2008

ボットネット対策 - TECH WORLD

botnetと絨毯爆撃
wyvern notes
2008-05-20

風の男

昨日から、NHKで白州次郎のドラマがはじまりました。

内容自体はとても面白かったのですが、原案に入って
いないのを不思議に思ったのが「風の男 白洲次郎」。

今読んでみても、彼をテーマにした本の中ではこれが
一番ベーシックなものだと思います。

ドラマ自体は最終回が今年8月放送予定と随分間が
空いてますが楽しみですね。





■関連リンク
白洲次郎 | NHKドラマスペシャル

白洲次郎 - Wikipedia

旧白洲邸　武相荘 Buaiso

青柳恵介先生 インタビュー - 大学 公開講座・検索サイト

ジープウェイ・レター
My Debian Page
2006.5.4

Top Ten Web Hacking Techniques of 2008

先程とある方のお話で知ったもので、攻撃手法の目新
しさやインパクト、普及度をベースに分析や格付けが行
われているそうです。

以前に脆弱性やプログラミングミスのリストなども記事
にしていますが、こうしたものは眺めていても面白いで
すね。


■関連リンク
Top Ten Web Hacking Techniques of 2008 (Official)
Jeremiah Grossman
Monday, February 23, 2009

Top Cyber-Threats for 2009
NetworkWorld.com Podcasts

The Top Ten Cybersecurity Threats for 2009 - Draft for Comments
Cyberstrategics Complex Event Processing Blog
Posted on January 5th, 2009 by Tim Bass

セキュリティ専門家が「最も恐ろしいプログラミング・エラー・トップ25」を発表
wyvern notes
2009-01-15

Top 10 cyber threats for 2008 - from SANS Institute
2008-02-01

Georgia Tech Releases Report on Emerging Cyber Threats for 2009
Homeland Security Digital Library Weblog
Submitted by demoorer on Fri, 10/17/2008 - 11:21

New OWASP Top 10 - Final Release
Handler's Diary
Published: 2010-04-21,
Last Updated: 2010-04-21 15:52:42 UTC
by Johannes Ullrich (Version: 1)

指紋偽造テープの話

先ほど、今年初めに出ていた事件の延長線上にある
話題となるニュースを目にしていました。

2002年ごろに、横浜国大の先生がゼラチンの偽指で
認証システムを破ったことが話題になっていたのを久
々に思い出しましたが、今回の報道では偽造テープ
よりも、入国審査に用いている機器が持つ機能の方
が気になるところです。


■関連リンク
「指紋偽造テープ」韓国に斡旋組織か
News i - TBSの動画ニュースサイト
最終更新：2009年2月19日(木) 20時7分

生体認証破り――国の安全に「穴」が開いた
SAFETY JAPAN [松村 喜秀氏]
2009年2月13日

偽指紋で密入国の女、韓国で逮捕…米政府が捜査情報要請　[犯罪]
新立教大学院・２１世紀：危機管理研究会のブログ
2009-01-22 11:13

「生体認証」破り入国、韓国人女がテープで指紋変造
2009年01月01日
news archives

「偽指紋」韓国で発覚　国内銀行の「指認証ATM」大丈夫か
J-CASTニュース
2009/2/19

韓国、米国、日本で発覚　「指紋切除」どんな手術か
J-CASTニュース
2008/5/1

海の向こうの“セキュリティ”
第10回：韓国の自動証明書販売機、紙の偽造指紋でも認証　ほか
2007/07/11

濡れた指，乾燥した指--指紋認証の実際（前編）
ITpro
2007/03/29

濡れた指，乾燥した指--指紋認証の実際（後編）
ITpro
2007/03/30

静脈認証も安心できない? 大根で作った偽造指で認証に成功
ITPro
2005/07/01

タグもインクも不要、紙の「指紋」で書類の偽造防止
WIRED VISION
2005年8月5日

「粘土」でも指紋認証はだませる――米研究者が警告
ITmediaニュース
2005/12/14 20:43 更新

How to fake fingerprints?
October 26, 2004 (starbug)

国際セキュリティー専門家会議で注目を集めた横国大教授の「グミの指」
WIRED VISION
2002年9月24日

指紋画像からの人工指作製
Mapping a Fingerprint Image to an Artificial Finger

週刊バイオ 横浜国立大学大学院

指紋活用の現実と将来
齋藤鑑識証明研究所

MS09-002 exploit in the wild

Handler's Diary、2009年2月17日の記事です。

先週公表されていた、IE7に関わる脆弱性を突く攻撃
が確認されたことを伝える中で、パッチをリバースエ
ンジニアリングして攻撃コードを創ったのが明確だと
指摘しています。

先日、Confickerワームの作者に賞金がかけられた話
も耳にしていましたが、脆弱性が悪用される範囲の拡
がりや、その持続性がまざまざと伝わる話題です。


■関連リンク
MS09-002 : Internet Explorer の重要な更新
公開日: 2009年2月11日
最終更新日: 2009年2月11日

繰り返される脆弱性の悪用、またもIE7が攻撃の的に
Computerworld.jp
2009年02月18日

Windows Update では SSL (443) ポートを使用する
文書番号: 822712
最終更新日: 2007年12月5日 - リビジョン: 1.11

Targeted malware attacks exploiting IE7 flaw detected
ZDNet.com
February 17th, 2009
Posted by Dancho Danchev @ 4:57 pm

Another Exploit Targets IE7 Bug
Trend Labs Malware Blog
by Jake Soriano (Technical Communications)

Internet Explorer 7の脆弱性（MS09-002）への
攻撃を確認（HTML_DLOADER.AS）
トレンドマイクロ セキュリティブログ

MS09-002 Exploit in the wild uses MSWord Lure
McAfee Avert Labs Blog
Tuesday February 17, 2009 at 3:22 pm CST
Posted by Rahul Mohandas

Exploitation of MS09-002
Worms And Exploits
Tuesday, February 17, 2009

OpenDNS，「Conficker」ワーム対策でKasperskyと提携
IT Pro
2009/02/10

MS、「Conficker」ワーム作成者の検挙につながる情報に25万ドルの懸賞金
CNET Japan
文：Elinor Mills（CNET News.com）
翻訳校正：中村智恵子、福岡洋一
2009/02/13 11:30

In the wild
wyvern notes
2008-12-13

Browser Security Handbook
wyvern notes
2008-12-14

MS09-002, XML/DOC and initial infection vector
Published: 2009-02-19,
Last Updated: 2009-02-19 21:02:13 UTC
by Bojan Zdrnja (Version: 1)

菊と刀

言わずと知れた、ルース・ベネディクトによる著作です。

以前購入してから訳文の硬さに辟易としながらも読み進
めていましたが、その後非常に興味深い展開を体験して
いました。

森貞彦さんという方の、菊と刀を題材にした著作に出会
ったことがそれです。

現在読んだのは "「菊と刀」再発見" と、"みなしご「菊
と刀」の嘆き" の2冊ですが、前者は森さんご自身のサ
イトでPDFによる全文公開をされていたので非常に驚き
ました。

菊と刀に興味を持たれている方には、是非森さんの著
作とサイトに触れることをお薦めします。









■関連リンク
ルース・ベネディクト - Wikipedia

『菊と刀』を読みましたか？

Googleが止まった !？

すでにニュースにもなっているのでご存知の方も沢山
いらっしゃると思いますが、当日まさにGoogleで調べ
ものをしていてこの状況に遭遇していました。

警告に出てくる StopBadware.org にもアクセスできず
状況が不透明でしばらく困っていましたね。

当日は自身のPCがおかしくないか、ワクチンでスキャ
ンするなどしていましたが、早期に原因が判明して良
かったとも思います。

それにしても、ヒューマンエラーでここまでの大騒ぎ
になるとは、検索エンジンがもはやインフラの一部
であることを改めて実感した出来事でした。


■関連リンク
Googleが止まった40分間―原因は人為ミス
@IT
2009/02/02

Googleの全検索結果に「このサイトはコンピュータに損害を与える可能性」，
人為的ミスで
IT Pro
2009/02/01

Google Search Engine's Malware Detection Broken
Published: 2009-01-31,
Last Updated: 2009-01-31 18:17:26 UTC
by John Bambenek (Version: 1)

Google mistakenly calls entire Net malicious
Securityfocus
Published: 2009-02-01

Gmail Access Issues Early This AM
Published: 2009-02-24,
Last Updated: 2009-02-24 14:14:26 UTC
by G. N. White (Version: 1)

グーグル、Gmailの障害について謝罪
Computerworld.jp
2009年02月25日

露サイバー市民軍の攻撃でキルギスのインターネット基盤が麻痺

Computerworld.jp、2009年1月29日の記事です。

関連記事などを読むと、いわゆる"代理戦争のサイ
バーワールド版"といったイメージですね。

前回の記事と深いつながりのあるトピックでもあり、
インフラへの攻撃による国際問題のニュースも今後
増えていくのではないでしょうか。

国家的にはもちろんのこと、対岸の火事のように見
ているかもしれない民間企業なども、攻撃の踏み台
にされた時のことを考えると、他人事とは思えない
話です。


■関連リンク
代理戦争 - Wikipedia

Russian 'cybermilitia' knocks Kyrgyzstan offline
January 28, 2009
Computerworld

Russian 'Cyber Militia' Takes Kyrgyzstan Offline?
Danger Room from Wired.com
By Nathan Hodge EmailJanuary 28, 2009
10:48:56 AM

Cyber Assault Cripples Web in Kyrgyzstan
Gyre.org
January 29, 2009

China's Cyber-Warfare Militia
Friday January 30, 2009
By Shane Harris

Israel's Looking for a Few Good Cybermen
In Through The Out Door
January 19th, 2009

グルジア・ロシア・サイバー戦争
海洋戦略研究
2008/10/25(土) 午後 3:29

China’s cyber-militia behind U.S. blackouts?
Posted by Larry Dignan
May 30th, 2008
ZDNet.com

China’s Cyber-Militia
National Journal Magazine
by Shane Harris
Sat. May 31, 2008

The Cyber Militia Defends America
STRATAGY PAGE
June 8, 2008

Up next: Cellular botnets, cybermilitias
By Jaikumar Vijayan
Computerworld
October 17, 2008

The Russian Cyber Militia
STRATAGY PAGE
October 20, 2008

The Russian Cyber War Army Attacks
STRATAGY PAGE
November 22, 2006

GEORGIA HACKING STIRS FEARS OF CYBER MILITIAS
Sadikhov IT Certification forums
By Andrew Gray
Sep 2 2008, 05:19 AM

A Few Cyber Warfare Resources [Archive] - Small Wars Council

サイバー演習と偽トラック
2008-02-09
wyvern notes

基幹産業ソフトウェアの脆弱性
2008-05-07
wyvern notes

botnetと絨毯爆撃
2008-05-20
wyvern notes

Gaza<->Israel Defacements/Hacks
2009-01-04
wyvern notes

「サイバー・セキュリティは優先事項」――オバマ政権が明言

Computerworld.jp、2009年1月26日の記事です。

コンピュータセキュリティを国家資産として捉えた点も
含め、どのような施策が実現するか興味深い所です。


■関連リンク
米国防諮問機関、オバマ氏にサイバーセキュリティ対策要請
ITmedia エンタープライズ
2008年11月07日 13時28分 更新

オバマ次期政権の課題が浮き彫りに――MeriTalkのサイバーセキュリティ調査で
ITmedia エンタープライズ
2009年01月13日 16時26分 更新

米オバマ政権、サイバー担当顧問の職を新設へ
CNET Japan
文：Elinor Mills（CNET News.com）
翻訳校正：緒方亮、福岡洋一
2009/01/23 12:57

Information Security Forum

Cyber Security Guru Outlines Very Real Threat at ExecutiveBiz Breakfast
ExecutiveBiz Blog
January 15th, 2009 by Brian Lustig

オバマ大統領のサイバー・セキュリティ政策とCIOの使命を問う
text by Kim S. Nash
CIO Online
CIO Magazine 2009年9月号に掲載

セキュリティ専門家が「最も恐ろしいプログラミング・エラー・トップ25」を発表

Computerworld.jp、2009年1月13日の記事です。

以下3つのカテゴリーにまとめた25個のエラーの詳しい
内容や対策などをCWEのサイトで見ることができます。

Insecure Interaction Between Components
（コンポーネント間の危険な通信）

Risky Resource Management
（リスクの高いリソース管理）

Porous Defenses
（穴だらけの防御）


■関連リンク
CWE/SANS TOP 25 Most Dangerous Programming Errors
SANS Institute

2009 CWE/SANS Top 25 Most Dangerous Programming Errors
Common Weakness Enumeration

IPA ISEC　セキュア・プログラミング講座

ゾンビPCとは 【zombie PC】
IT用語辞典

Top 11 Reasons Why Top 10 (or Top 25) Lists Don’t Work
InformIT
By Gary McGraw
Jan 13, 2009

P2Pファイル共有ソフト対策

前回の記事にからめて、P2Pファイル共有ソフト対策の
知識を軽くチェックしたものです。

まとめられた方々には、頭が下がります。


■関連リンク
Peer to Peer - Wikipedia

P2Pセキュリティ対策完全ガイド
ITpro

Winny・P2Pソフト対策一覧
Security NEXT

技術メモ
P2P ファイル共有ソフトウェアによる情報漏えい等の脅威について
JPCERT/CC
初版: 2006-03-16 (Ver.01)
発行日: 2006-03-16 (Ver.01.1)

「Winny」「Share」の情報漏えい対策は　ネットエージェントがガイド公開
009年01月07日 07時00分 更新

情報漏えい対応ガイド【Winny・share編】
NetAgent Co., Ltd.

2008年のウイルス・不正アクセスの届出状況発表

独立行政法人 情報処理推進機構が、1月7日に2008年
12月および2008年年間のコンピュータウイルス・不正ア
クセスの届出状況を公表しています。

同団体職員が私物PCでファイル共有ソフトを使っていた
ことから情報流出につながった事件も話題となっていま
すが、こちらの内容も含め教訓としたいところです。


■関連リンク
コンピュータウイルス・不正アクセスの届出状況[12月分および
2008年年間]について
2009年1月7日
独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

IPA職員の私物パソコンによる情報流出について
独立行政法人情報処理推進機構
2009年1月5日更新
2009年1月4日掲載

年末年始のWinnyノード数は2割減、Shareは1割増　ネットエージェント調査
ITmedia News
2009年01月07日 12時57分 更新

TA-Mapper

先日見かけていた、セキュリティのブラックボックス
評価に必要な工数を見積もるツールです。

システムの脆弱性を突くためのツールは沢山ありま
すが、こうした取り組みはユニークですね。


■関連リンク
TA-Mapper
C&S Resources
Date of release: 01/01/2009

archive.netbsd.se
[Tool Release] TA-Mapper BETA: Application Pen-Testing Effort Estimator
2009-01-01 18:36:28

Gaza<->Israel Defacements/Hacks

Handler's Diary、2009年1月3日の記事です。

昨年12月27日に始まっているガザ地区での武力衝突
に伴って進展しているサイバー戦争について書かれて
います。

攻撃対象が一次目標であるイスラエルのサーバから
イランや西欧諸国のWebサイトやサーバに拡大して
いることから、読者が当該地域で注目を集めるWeb
サイトの管理者である場合、Webサーバやファイアウ
ォールのログに攻撃の兆候が出ていないか注意深
く監視することを勧めています。

こうしたサイバー戦争を対岸の火事として見るのでは
なく、システムの強化や監視方法を見直す機会にす
るというのも良いのではないでしょうか。


■関連リンク
ガザ - Wikipedia

ハマース - Wikipedia

イスラエル - Wikipedia

サイバー戦争 - Wikipedia

The Palestinian-Israel: cyberwar
March-April, 2003
by Patrick D. Allen, Chris C. Demchak

Gaza Conflict's Shadow 'Cyberwar'
ABC News
By KI MAE HEUSSNER
Jan. 2, 2008

Cyber War As The Ultimate Weapon
Information Warfare
January 5, 2008

Marching off to cyberwar
The Economist
Dec 4th 2008

Cyber War Israel and Hamas
Toolbox for IT Security Community
Dan Morrill (Program Director CityU of Seattle) posted 1/2/2009

An Israeli patriot program or a trojan
Handler's Diary
Published: 2009-01-07,
Last Updated: 2009-01-07 18:40:22 UTC
by Bojan Zdrnja (Version: 1)

米国土安全保障省、2度目のサイバー予防訓練を実施
wyvern notes
2008-03-25

Webサーバへの攻撃を見抜く
@IT
2007/7/13

情報処理推進機構：情報セキュリティ：脆弱性対策：
SQLインジェクション検出ツール
2008年11月11日 iLogScanner V2.0を公開

あけましておめでとうございます

このブログを見てくださる方々にとって、実り多い一年
となりますように！

本年もよろしくお願いします。