当たり前のことだと思うんですが

それを防ぐ対策よりも、それを防げなかったときの事後対策について考えることの方が重要度は高い

こう書くと「そうだよね」と思ってもらえる風味な当たり前の話なんですが、実際には前者を重視する傾向が顕著だったりする風味です
ただマスコミ的にはこれだとつまんなくって、防ぐとこで大騒ぎ→防ぎきれなかったとこで大騒ぎで二度美味しい風味だったりなかったり
それに乗せられると、まぁ対応誤ったりする風味です

何の話かは書かなくてもお分かりだと思いますんで、どっとはらい風味な

Update地獄

JavaTM SE 6　Update Release Notes [Sun]

JavaのUpdateもあるのか……orz

月刊 Microsoft Update 2009年6月号

月刊Microsoft Update、今月も出てます
ラインナップは、緊急6本、重要3本、警告1本の計10本となっています
きっちりしっかり当てておましょう

Active Directory の脆弱性により、リモートでコードが実行される (971055)(MS09-018) [緊急]
対象は、Windows 2000/XP/2003

Internet Explorer 用の累積的なセキュリティ更新プログラム (969897)(MS09-019) [緊急]
対象は、Windows 2000/XP/2003/Vista/2008上の各IE

インターネット インフォメーション サービス (IIS) の脆弱性により、特権が昇格される (970483)(MS09-020) [重要]
対象は、Windows 2000/XP/2003

Microsoft Office Excel の脆弱性により、リモートでコードが実行される (969462)(MS09-021) [緊急]
対象は、Office 2000/XP/2003/2004/2007/2008、Excel Viewer各種、SharePoint Server 2007 及び Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック

Windows 印刷スプーラーの脆弱性により、リモートでコードが実行される (961501)(MS09-022) [緊急]
対象は、Windows 2000/XP/2003/Vista/2008

Windows サーチの脆弱性により、情報漏えいが起こる (963093)(MS09-023) [警告]
対象は、Windows XP/2003

Microsoft Works コンバーターの脆弱性により、リモートでコードが実行される (957632)(MS09-024) [緊急]
対象は、Office 2000/XP/2003/2007 及び Works 8.5/9

Windows カーネルの脆弱性により、特権が昇格される (968537)(MS09-025) [重要]
対象は、Windows 2000/XP/2003/Vista/2008

RPC の脆弱性により、特権が昇格される (970238)(MS09-026) [重要]
対象は、Windows 2000/XP/2003/Vista/2008

Microsoft Office Word の脆弱性により、リモートでコードが実行される (969514)(MS09-027) [緊急]
対象は、Office 2000/XP/2003/2004/2007/2008、各種Word Viewer、Open XML File Format Converter for Mac 及び Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック

＜付録＞
MicrosoftR WindowsR 悪意のあるソフトウェアの削除ツール (KB890830)
恒例の付録

2009 年 6 月 セキュリティ リリース ISO イメージ
恒例の付録その2

＜季刊Adobe Update 2009年夏号＞
Security Updates available for Adobe Reader and Acrobat [Adobe]
今回から4半期ごとに月刊Microsoft Updateと同日に定期パッチが公開されることになったのでとりあえず貼っとく
Acrobat関連のは季刊で出されてもなぁ……とか思ったりはしますけど（ぉ

＜参考＞
2009年6月のセキュリティ情報 [日本のセキュリティチーム (Japan Security Team)]
2009年6月のワンポイント セキュリティ [日本のセキュリティチーム (Japan Security Team)]

月刊 Microsoft Update 2009年5月号

月刊Microsoft Update、今月も出てます
ラインナップは、緊急1本の計1本となっています
きっちりしっかり当てておましょう

また、IE8が降っこちてくるようになってるっぽいので、IE8を入れたくない方はご注意を

Microsoft Office PowerPoint の脆弱性により、リモートでコードが実行される (967340)(MS09-017) [緊急]
対象は、Office 2000/XP/2003/2007
全部で14件のセキュリティホールにパッチを当てているようですが、そのうちのいくつかはMac版にもかかわっていますね……（遠い目）
Mac版のパッチも近いうちに出るんじゃないかと思われるんで、利用者の方はIT系のニュースを気にしておいた方がいいかも

＜付録＞
MicrosoftR WindowsR 悪意のあるソフトウェアの削除ツール (KB890830)
恒例の付録

＜参考＞
2009年5月のセキュリティ情報 [日本のセキュリティチーム (Japan Security Team)]
2009年5月のワンポイントセキュリティ [日本のセキュリティチーム (Japan Security Team)]

Adblock Plus vs. NoScript

Adblock Plus vs. NoScript [Mozilla Flux]
NoScriptの全面譲歩で決着 [Mozilla Flux]

なんかボクがボケボケーっとしていた間にめがっさいろいろあった模様
広告収入の話とか、まぁいろいろと考えさせられるものがありますが

RequestPolicy 0.5.5 [Firefox Add-ons]

上記話を受けて高木先生がNoScriptの代用として試用しているとのこと

月刊 Microsoft Update 2009年4月号（1日遅れ）

月刊Microsoft Update、今月も出てます
ラインナップは、緊急5本、重要2本、警告1本の計8本となっています
きっちりしっかり当てておましょう

Microsoft Office Excel の脆弱性により、リモートでコードが実行される (968557)(MS09-009) [緊急]
対象は、Excel 2000/2002(XP)/2003/2007/2004(Mac)/2008(Mac)、Excel Viewer 各種

ワードパッドおよび Office テキスト コンバーターの脆弱性により、リモートでコードが実行される (960477)(MS09-010) [緊急]
対象は、Windows 2000/XP/2003、Office 2000/XP、Microsoft Office Converter Pack

Microsoft DirectShow の脆弱性により、リモートでコードが実行される (961373)(MS09-011) [緊急]
対象は、DirectX 8.1/9.0（WinXP以前）

Windows の脆弱性により、特権が昇格される (959454)(MS09-012) [重要]
対象は、Windows 2000/XP/2003/Vista/2008

Windows HTTP サービスの脆弱性により、リモートでコードが実行される (960803)(MS09-013) [緊急]
対象は、Windows 2000/XP/2003/Vista/2008

Internet Explorer 用の累積的なセキュリティ更新プログラム (963027)(MS09-014) [緊急]
対象は、Windows 2000/XP/2003/Vista/2008、ただしInternet Explorer 8は含まず

SearchPath の複合的脅威の脆弱性により、特権が昇格される (959426)(MS09-015) [警告]
対象は、Windows 2000/XP/2003/Vista/2008

Microsoft ISA Server および Forefront Threat Management Gateway (Medium Business Edition) の脆弱性により、サービス拒否が起こる (961759)(MS09-016) [重要]
対象は、Forefront Threat Management Gateway、Internet Security and Acceleration Server 2004/2006

＜付録＞
MicrosoftR WindowsR 悪意のあるソフトウェアの削除ツール (KB890830)
恒例の付録

2009 年 4 月 セキュリティ リリース ISO イメージ
恒例の付録その2

＜参考＞
2009年4月のセキュリティ情報 [日本のセキュリティチーム (Japan Security Team)]
2009年4月のワンポイントセキュリティ [日本のセキュリティチーム (Japan Security Team)]

Panda USB ワクチン無償提供とのこと

Panda USB ワクチン [パンダセキュリティ]
AutoRun機能を殺してくれるパンダ謹製の無償ツール（英語版）が公開されてます
最近はパンダの名前をあまり聞かなくなってましたが、パンダはスペインのセキュリティベンダーで、一時（2000年前後）は欧州地域でぶいぶい言わせてました
当時はパンダ発の情報も結構会ったよなぁ……（めがっさ遠い目）

月刊 Microsoft Update 2009年3月号

月刊Microsoft Update、今月も出てます。
ラインナップは、緊急1本、重要2本の計3本となっています
きっちりしっかり当てておましょう

Windows カーネルの脆弱性により、リモートでコードが実行される (958690)(MS09-006) [緊急]
対象は、Windows 2000/XP/2003/Vista/2008

SChannel の脆弱性により、なりすましが行われる (960225)(MS09-007) [重要]
対象は、Windows 2000/XP/2003/Vista/2008

DNS および WINS サーバーの脆弱性により、なりすましが行われる (962238)(MS09-008) [重要]
対象は、Windows 2000 Server/2003/2008

＜更新＞
GDI+ の脆弱性により、リモートでコードが実行される (954593)(MS08-052) [緊急]
以下の環境で問題のdllが古いものに戻ってしまう場合があるとのことで、更新された模様
・XP SP3 (SP2の時に更新を適用し、その後SP3を適用した場合)
・2003 SP2 (SP1の時に更新を適用し、その後SP2を適用した場合)

＜付録＞
MicrosoftR WindowsR 悪意のあるソフトウェアの削除ツール (KB890830)
恒例の付録

2009 年 3 月 セキュリティ リリース ISO イメージ
恒例の付録その2

＜参考＞
2009年3月のセキュリティ情報 [日本のセキュリティチーム (Japan Security Team)]

Autorunを無効にしてもうまく機能しないことがある件のパッチが、さっき自動更新で落ちてきた

むぅ、Autorunを無効にしてもうまく機能しないことがある件のパッチが出てる風味

……いつの間にっ！
昨今話題のナガスミUSBウィルス対策絡みなので、ちゃんと当てとくのが吉

一応チェキってみたら、セキュリティチームのBlogに出てた

自動再生 (Autorun) & Excel 0-day [日本のセキュリティチーム (Japan Security Team)]

Excel 0-dayの方は、パッチ等はまだ出てませんけどね

月刊Microsoft Update 2009年2月号

月刊Microsoft Update、今月も出てます。
ラインナップは、緊急2本、重要2本の計4本となっています
きっちりしっかり当てておましょう

Internet Explorer 用の累積的なセキュリティ更新プログラム (961260)(MS09-002) [緊急]
対象は、IE7搭載のWindows XP/2003/Vista/2008

Microsoft Exchange の脆弱性により、リモートでコードが実行される (959239)(MS09-003) [緊急]
対象は、Microsoft Exchange 2000/2003/2007

SQL Server の脆弱性により、リモートでコードが実行される (959420)(MS09-004) [重要]
対象は、SQL Server 2000/2005、および2000 Desktop Engine、2005 Express Edition

Microsoft Office Visio の脆弱性により、リモートでコードが実行される (957634)(MS09-005) [重要]
対象は、Visio 2002/2003/2007
Viewrは対象外のようです

＜付録＞
MicrosoftR WindowsR 悪意のあるソフトウェアの削除ツール (KB890830)
恒例の付録

2009 年 2 月 セキュリティ リリース ISO イメージ
恒例の付録その2

＜参考＞
2009年2月のセキュリティ情報 [日本のセキュリティチーム (Japan Security Team)]

月刊 Microsoft Update 2009年1月号

月刊Microsoft Update、今月も出てます。
ラインナップは、緊急1本の計1本となっています
きっちりしっかり当てておましょう

SMB の脆弱性により、リモートでコードが実行される (958687)(MS09-001) [緊急]
対象は、Windows 2000/XP/2003/Vista/2008
※Windows 7βにも一部影響するらしいですが（レベルは警告）、今回パッチは提供されず次のビルドを提供する際に修正されるとのこと

＜付録＞
MicrosoftR WindowsR 悪意のあるソフトウェアの削除ツール (KB890830)
恒例の付録

2009 年 1 月 セキュリティ リリース ISO イメージ
恒例の付録その2

＜参考＞
2009年1月のセキュリティリリース & Conficker削除に対応したMSRT [日本のセキュリティチーム (Japan Security Team)]

月刊 Microsoft Update 2008年12月号 特別増刊号

月刊Microsoft Update、特別増刊号が出てます。
ラインナップはIEに対してのの緊急パッチ1本で、すでに悪用が確認されている脆弱性に対してのパッチとなりますので、早急にきっちりしっかり当てておましょう

Internet Explorer 用のセキュリティ更新プログラム (960714)(MS08-078) [緊急]
対象は、Windows全般

＜参考＞
Internet Explorerのセキュリティ更新プログラム提供開始 [日本のセキュリティチーム (Japan Security Team)]

MSが定例外の緊急パッチ「MS08-078」、IEの脆弱性を修正 [INTERNET Watch]
マイクロソフトの緊急セキュリティ更新「MS08-078」を確認する [INTERNET Watch]
MS、IEの緊急パッチ「MS08-078」を公開 [ITmedia]
マイクロソフト、「Internet Explorer」の脆弱性に緊急対応 [CNET]
マイクロソフトのIEの臨時パッチに対する驚くべき対応 [ZDNet]

朝更新かけに行ったら無茶苦茶アクセス来てるらしく、なかなか繋がらず
6度目のトライにして何とか成功

月刊 Microsoft Update 2008年12月号 年末特大号

月刊Microsoft Update、今月も出てます。
ラインナップは、緊急6本、重要2本の計8本となっています
きっちりしっかり当てておましょう

Visual Basic 6.0 ランタイム拡張ファイル (ActiveX コントロール) の脆弱性により、リモートでコードが実行される (932349)(MS08-070) [緊急]
対象は、VB 6.0 Runtime、VisualStudio.NET 2002/2003、FrontPage 2002、Project 2003/2007他

GDI の脆弱性により、リモートでコードが実行される (956802)(MS08-071) [緊急]
対象は、Windows 2000/XP/2003/Vista/2008

Microsoft Office Word の脆弱性により、リモートでコードが実行される (957173)(MS08-072) [緊急]
対象は、Office 2000/XP/2003/2004/Vista/2007/2008、Works 8、2007ファイル形式用互換機能パック、Open XML File Format Converter、各種Word Viewer含

Internet Explorer 用の累積的なセキュリティ更新プログラム (958215)(MS08-073) [緊急]
対象は、Windows全般（ただしIE 8 Beta版は不明）

Microsoft Office Excel の脆弱性により、リモートでコードが実行される (959070)(MS08-074) [緊急]
対象は、Office 2000/XP/2003/2004/Vista/2007/2008、2007ファイル形式用互換機能パック、Open XML File Format Converter

Windows Search の脆弱性により、リモートでコードが実行される (959349)(MS08-075) [緊急]
対象は、Windows Vista/2008

Windows Media コンポーネントの脆弱性により、リモートでコードが実行される (959807)(MS08-076) [重要]
対象は、Windows 2000/XP/2003/Vista/2008（ServerのIA64版除く）

Microsoft Office SharePoint Server の脆弱性により、特権が昇格される (957175)(MS08-077) [重要]
対象は、SharePoint Server 2007、SearchServer 2008

＜付録＞
MicrosoftR WindowsR 悪意のあるソフトウェアの削除ツール (KB890830)
恒例の付録

2008 年 12 月 セキュリティ リリース ISO イメージ
恒例の付録その2

＜参考＞
2008年最後のセキュリティリリース (2008年12月) [日本のセキュリティチーム (Japan Security Team)]
12月のワンポイント セキュリティ [日本のセキュリティチーム (Japan Security Team)]

マイクロソフトが12月の月例パッチ公開、“緊急”6件を含む計8件 [INTERNET Watch]
マイクロソフト、12月の月例パッチを公開--「緊急」が6件と「重要」が2件 [ZDNet]
12月のMS月例パッチ公開、既に一部が悪用も [ITmedia]

いろんな都合でOffice 2000使ってるボクですが、Office Updateするとなんでか2003用のパッチも引っかかり続けてますよ？

月刊 Microsoft Update 2008年11月号

月刊Microsoft Update、今月も出てます。
ラインナップは、緊急1本、重要1本の計2本となっています
きっちりしっかり当てておましょう

SMB の脆弱性により、リモートでコードが実行される (957097)(MS08-068) [重要]
対象は、Windows 2000/XP/2003/Vista/2008

Microsoft XML コア サービスの脆弱性により、リモートでコードが実行される (955218)(MS08-069) [緊急]
対象は、Windows 2000/XP/2003/Vista/2008、Office 2003/2007（2007ファイル互換パック含む）

＜付録＞
MicrosoftR WindowsR 悪意のあるソフトウェアの削除ツール (KB890830)
恒例の付録

2008 年 11 月 セキュリティ リリース ISO イメージ
恒例の付録その2

＜参考＞
2008年11月のセキュリティリリース & Vista Antivirus 2008 (偽) [日本のセキュリティチーム (Japan Security Team)]
マイクロソフトが11月の月例パッチ公開、“緊急”を含む2件 [INTERNET Watch]
11月のマイクロソフトセキュリティ更新を確認する [INTERNET Watch]
Microsoftの11月定例アップデート，遠隔コード実行対策の「緊急」1件と「重要」1件 [IT Pro]
マイクロソフト、「緊急」レベルを含む11月の月例パッチを公開 [COMPUTERWORLD]

MS08-069を適用するとHttpOnly属性でクロスサイトトレーシング攻撃からCookie奪取を防げるっぽい [うさぎ文学日記]
まだ検証はされてない風味ですが

月刊 Microsoft Update 2008年10月号 特別増刊号

月刊Microsoft Update、緊急増刊号出てます。
ラインナップは、緊急1本となっています
わざわざ緊急増刊で出しているパッチですのでできるだけ早めに当てておましょう
（追記）
すでに悪用が確認されているため危険、至急当てましょう

MS08-067: Server サービスの脆弱性により、リモートでコードが実行される (958644)(MS08-067) [緊急]
対象は、Windows 2000/XP/2003/Vista/2008

＜参考＞
2008年10月24日のセキュリティリリース (定例外) [日本のセキュリティチーム (Japan Security Team)]
MS08-067のまとめ [まっちゃだいふくの日記★とれんどふりーく★]

マイクロソフト、修正パッチ「MS08-067」を緊急リリース [INTERNET Watch]
MSが臨時のセキュリティパッチ公開、Windows狙いのワーム出現の恐れ [ITmedia]

月刊 Microsoft Update 2008年10月号

今月も予定通り月刊Microsoft Update、出てます。
今号のラインナップは、緊急4本、重要6本、警告1本の計11本となっています
きっちりしっかり当てておましょう

Microsoft Office の脆弱性により、情報の漏えいが起こる (957699)(MS08-056) [警告]
対象は、Office XP

Microsoft Excel の脆弱性により、リモートでコードが実行される (956416)(MS08-057) [緊急]
対象は、Office 2000/2002/2003/2004/2007/2008、Excel Viewer 2003、Open XML File Format Converter for Mac 他

Internet Explorer 用の累積的なセキュリティ更新プログラム (956390)(MS08-058) [緊急]
対象は、全Windows製品

Host Integration Server の RPC サービスの脆弱性により、リモートでコードが実行される (956695)(MS08-059) [緊急]
対象は、Host Integration Server 2000/2004/2006

Active Directory の脆弱性により、リモートでコードが実行される (957280)(MS08-060) [緊急]
対象は、Windows 2000 Server

Windows カーネルの脆弱性により、特権が昇格される (954211)(MS08-061) [重要]
対象は、Windows 2000/XP/2003/Vista/2008

Windows インターネット印刷サービスの脆弱性により、リモートでコードが実行される (953155)(MS08-062) [重要]
対象は、Windows 2000/XP/2003/Vista/2008

SMB の脆弱性により、リモートでコードが実行される (957095)(MS08-063) [重要]
対象は、Windows 2000/XP/2003/Vista/2008

仮想アドレス記述子の処理の脆弱性により、特権が昇格される (956841)(MS08-064) [重要]
対象は、Windows XP/2003/Vista/2008

メッセージ キューの脆弱性により、リモートでコードが実行される (951071)(MS08-065) [重要]
対象は、Windows 2000

Microsoft Ancillary Function ドライバーの脆弱性により、特権が昇格される (956803)(MS08-066) [重要]
対象は、Windows XP/2003

＜付録＞
MicrosoftR WindowsR 悪意のあるソフトウェアの削除ツール (KB890830)
恒例の付録

2008 年 10 月 セキュリティ リリース ISO イメージ
恒例の付録その2

ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (956391)

＜参考＞
MSが月例セキュリティ情報を公開、IEやExcelの脆弱性に対処 [ITmedia]
マイクロソフトが10月の月例パッチ公開、“緊急”4件を含む計11件 [INTERNET Watch]
マイクロソフト、10月の月例パッチを公開--「緊急」は4件 [CNET]

MS、脆弱性情報の新指標を公開開始 [ITmedia]

月刊 Microsoft Update 2008年9月号

今月も予定通り月刊Microsoft Update、出てます。
今号のラインナップは、緊急4本のみの計4本となっています
きっちりしっかり当てておましょう

MS08-052: GDI+ の脆弱性により、リモートでコードが実行される (954593) (MS08-052) [緊急]
対象は、Windows XP/2003/Vista/2008、Interrnet Explorer6（Windows 2000）、.Net Flamework（Windows 2000 Server）
2000環境は要注意

Windows Media エンコーダー 9 の脆弱性により、リモートでコードが実行される (954156)(MS08-053) [緊急]
対象は、Windows 2000/XP/2003/Vista/2008
ただしItanium Editionは対象外

Windows Media Player の脆弱性により、リモートでコードが実行される (954154)(MS08-054) [緊急]
対象は、Windows XP/Vista/2008（Itanium Editionは対象外）
前回キャンセルされたもの？

Microsoft Office の脆弱性により、リモートでコードが実行される (955047)(MS08-055) [緊急]
対象は、Office XP/2003/2007、OneNote 2007

＜付録＞
MicrosoftR WindowsR 悪意のあるソフトウェアの削除ツール (KB890830)
恒例の付録

2008 年 9 月 セキュリティ リリース ISO イメージ
恒例の付録　その２

＜参考＞
2008年9月のセキュリティリリース [日本のセキュリティチーム (Japan Security Team)]

マイクロソフトが9月の月例パッチ公開、“緊急”4件 [INTERNET Watch]

「GDI+」の脆弱性、Windows 2000環境がある企業などで要確認 [INTERNET Watch]

はじめてのべんきょうかい（略して「はじるす」）

土曜日にセキュリティ関係の勉強会「まっちゃ445」があったので参加して参りました
勉強会ってどんな感じなのかとか、参加したこと無かったので全く知りませんでしたので

さらに会場のPIOも実は初めてだったので（小規模の同人即売会ではよく使われてる風味なんですが）、JR蒲田駅から京浜蒲田駅方面（ここまでは何度か行ってるので土地勘がある）まで歩いた後は、ちょっと回り道しながらの到着です
PIOの場所を確認後時間があったので、ご飯ついでに途中あった古本屋で、「傷物語」（西尾維新）と「萌えよ！戦車学校」買ったり（ぉ

到着は12：30前（開場は13：00）だったせいか、まだ受付もはじまっておらず関係者とおぼしき方々がいろいろと雑談中
とりあえず席を確保して話を聞いてましたが、あの「また上野宣か」でお馴染みの（ぉ）上野宣氏がいらっしゃるようで……そういえば講師の方でしたね
午前中にやっていたライトニングトークの話題（基本的に休みの日は朝に弱いのでボク的には無理）のようだったのですが……なんか聞いておいたら面白かったんじゃないかって感じの話でした
聞いても多分オフレコっぽいので内容書いたりとかはできませんけど

そんなこんなで開場、最初は自己紹介タイム
マイクなんて持つの久しぶりで、めがっさ上がってしまいました……誰もお前のことなんて気にしてないから……とは思うんですけどね
その最中にもう一人の講師なwakatono氏が到着したり
皆さんの自己紹介聞く限り、やはり開発に携わってる方が多い印象です

そして最初はwakatono氏の発表
VPNについての話なんですが、Virtual Private NetworkのVirtualの部分を「～のような」と訳すと理解しやすいって話がいきなり目から鱗モノだったり
今まで、聞くたんびに？？？が浮かんで？でわっしょい状態だった実装の話が一気に分かりやすくなってしまいました（こんなところで悩んでたボクもボクですが）
資料なんかは公開されるとのことなので興味ある方は是非

ディスカッションタイムの後、おやつタイム（ぉ
田園調布の方のお店のものらしいチーズケーキが……よく冷えてて美味
冷えすぎて一部シャリシャリしてましたが
上野宣氏が写真をブログにupしてたようなので、気になる方は是非

次にまた上野宣か上野宣氏のどちらかというと初心者向きの話題
設計要件時にセキュリティ要件を加えないととか、もし記載があったとしても漫然と「セキュリティについては万全を期すこと」という風味に書いてもあまり意味がないことなど
結構興味深かったり
ただ、セキュリティ投資についてのリターンが見え辛いって話については同意するものの、それに対して保険（個人情報漏洩に対しての保険とかのいわゆるハッカー保険）ってどう算定してるのかな……とか思ったり思わなかったり
まともに算定しているのであれば、その算定基準とか聞いてみるのもいいかもです（教えてくれなそうな気もしないでもないですが）
1件500円の毛髪の不自由な人方式とかでないことを祈るばかりです（ぉ

で、ディスカッションがあって終了
はじめての勉強会と言うこともあって、思いっきり緊張しつつ端っこでオドオドと見てるだけでしたが……結構面白かったのです
第4回に予定されているセキュアコーディングの話はまるっきりついていけない風味なんで参加することはないと思いますが、次回も参加してみようかも……です

【お知らせ】
今日から都合により更新の時間が大幅に変わります
……察してください（ぉ

月刊 Microsoft Update 2008年8月号 夏の特大号

いつものごとく、月刊Microsoft Update、出てます
日本はちょうど夏休みの最中で、0-dayとか来ると笑えない状況もあるかも……と波乱含みの展開ですが
今号のラインナップは、緊急6本、重要5本のい計11本となっています……あれ、緊急1本キャンセルされた？（Media Player絡みのがキャンセルされたとのこと）
今回はちょっちキツめだけど、きっちりしっかり当てておましょう
今日もかなりわやな状況なので、かなりてきとーです

Microsoft Access Snapshot Viewer の ActiveX コントロールの脆弱性により、リモートでコードが実行される (955617)(MS08-041) [緊急]
対象は、Office 2000/XP/2003およびMicrosoft Access Snapshot Viewer

Microsoft Word の脆弱性により、リモートでコードが実行される (955048)(MS08-042) [重要]
対象は、Office XP/2003

Microsoft Excel の脆弱性により、リモートでコードが実行される (954066)(MS08-043) [緊急]
対象は、Office 2000/XP/2003/2007/2004/2008およびExcel Viewerの各バージョン（緊急はOffice 2000のみ）

Microsoft Office フィルターの脆弱性により、リモートでコードが実行される (924090)(MS08-044) [緊急]
対象は、Office 2000/XP/2003およびProject 2002、Works 8、Office Converter Pack（緊急はOffice 2000のみ）

Internet Explorer 用の累積的なセキュリティ更新プログラム (953838)(MS08-045) [緊急]
対象は、Windows 2000/XP/2003/Vista/2008

Microsoft Image Color Management System の脆弱性により、リモートでコードが実行される (952954)(MS08-046) [緊急]
対象は、Windows 2000/XP/2003

IPsec ポリシーの処理の脆弱性により、情報漏えいが起こる (953733)(MS08-047) [重要]
対象は、Windows Vista/2008

Outlook Express および Windows メール用のセキュリティ更新プログラム (951066)(MS08-048) [重要]
対象は、Windows 2000/XP/2003/Vista/2008

イベント システムの脆弱性により、リモートでコードが実行される (950974)(MS08-049) [重要]
対象は、Windows 2000/XP/2003/Vista/2008

Windows Messenger の脆弱性により、情報の漏えいが起こる (955702)(MS08-050) [重要]
対象は、Windows 2000/XP/2003

Microsoft PowerPoint の脆弱性により、リモートでコードが実行される (949785)(MS08-051) [緊急]
対象は、Office 2000/XP/2003/2007/2004およびPowerPoint Viewer 2003

＜付録＞
Microsoft® Windows® 悪意のあるソフトウェアの削除ツール (KB890830)
恒例の付録、其の一

2008 年 8 月 セキュリティ リリース ISO イメージ
恒例の付録、其の二

＜参考＞
2008年8月のセキュリティリリース [日本のセキュリティチーム (Japan Security Team)]
「Media Player のセキュリティ情報」が品質上の問題でキャンセルとのこと

MS月例パッチ11件公開、IEやWordの脆弱性に対処 [ITmedia]
マイクロソフトが8月の月例パッチを公開：IE、Office他が対象 [CNET]
マイクロソフト、8月の月例パッチ11件を公開 [INTERNET Watch]

8月のマイクロソフトセキュリティ更新を確認する [INTERNET Watch]

月刊 Microsoft Update 2008年7月号

いつものごとく、月刊Microsoft Update、出てます
今号のラインナップは、重要4本となっています
今回はちょっち少なめだけど、きっちりしっかり当てておましょう
今日もかなりわやな状況なので、かなりてきとーです

DNS の脆弱性により、なりすましが行われる (953230)(MS08-037) [重要]
対象は、Windows 2000/XP/2003

Windows エクスプローラの脆弱性により、リモートでコードが実行される (950582)(MS08-038) [重要]
対象は、Windows Vista/2008

Exchange Server の Outlook Web Access の脆弱性により、特権の昇格が起こる (953747)(MS08-039) [重要]
対象は、Exchange Server 2003SP2/2007

Microsoft SQL Server の脆弱性により、特権が昇格される (941203)(MS08-040) [重要]
対象は、SQL Server 7.0SP4/2000SP4/2005SP2他

＜付録＞
Microsoft® Windows® 悪意のあるソフトウェアの削除ツール (KB890830)
恒例の付録、其の一

2008 年 6 月 セキュリティ リリース ISO イメージ
恒例の付録、其の二
ただし先月のです（7/3付けリリースの模様）

＜参考＞
ZoneAlarmを入れている端末で、MS08-037（KB951748）を入れるとIEでネットに接続できない不具合 [まっちゃだいふくの日記★とれんどふりーく★]
地雷風味

2008年7月のセキュリティリリース [日本のセキュリティチーム (Japan Security Team)]
7月のマイクロソフトセキュリティ更新を確認する [INTERNET Watch]

7月のワンポイントセキュリティ [日本のセキュリティチーム (Japan Security Team)]

MSかんけーないですけど、JavaのUpdate（6.0 UPD7/5.0 UPD16）とかSpybot S&Dの新バージョン（1.6.0.30）とかも出てますね♪

月刊 Microsoft Update 2008年6月号

いつものごとく、月刊Microsoft Update、出てます
今号のラインナップは、緊急3本・重要3本・警告1本の計7本となっています
今回はちょっち少なめだけど、きっちりしっかり当てておましょう
再起動あります
今日もいつもの如くめがっさわやな状況なので、かなりてきとーです

Bluetooth スタックの脆弱性により、リモートでコードが実行される (951376)(MS08-030) [緊急]
対象は、Windows XP/Vista

Internet Explorer 用の累積的なセキュリティ更新プログラム (950759)(MS08-031) [緊急]
対象は、Windows 2000/XP/2003/Vista/2008

ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (950760)(MS08-032) [警告]
対象は、Windows 2000/XP/2003/Vista/2008

DirectX の脆弱性により、リモートでコードが実行される (951698)(MS08-033) [緊急]
対象は、Windows 2000/XP/2003/Vista/2008

WINS の脆弱性により、特権が昇格される (948745)(MS08-034) [重要]
対象は、Windows 2000SV/2003

Active Directory の脆弱性により、サービス拒否が起こる (953235)(MS08-035) [重要]
対象は、Windows 2000SV/XP Pro/2003/2008

Pragmatic General Multicast (PGM) の脆弱性により、サービス拒否が起こる (950762)(MS08-036) [重要]
対象は、Windows XP/2003/Vista/2008

＜付録＞
Microsoft® Windows® 悪意のあるソフトウェアの削除ツール (KB890830)
恒例の付録、其の一

＜参考＞
2008年6月のセキュリティリリース [日本のセキュリティチーム (Japan Security Team)]

Windows XP SP3再配布はじまった模様

さっき駄目元で試してみたら、いつの間にやらMicrosoft UpdateからDLできるようになってますね

ってことで、現在適用中

でも、今日は適用終わったら寝るんで実際に動かすのは明日以降♪

例の互換性の問題とか修正できたってことなのかな、ことなのかな？（二回言うな）

（追記）
「SP3をインストールしない場合には、他の更新プログラムがコンピュータに適用される場合があります」とか書いてあるのがめがっさ気になるにょろ

（さらなる追記）
Windows XP Service Pack 3 の概要 [Microsoft]

IE7の人はSP3あてるとIE6に戻れないようなので要注意 [まっちゃだいふくの日記★とれんどふりーく★]
あんですとー

月刊 Microsoft Update 2008年4月号

いつものごとく、月刊Microsoft Update、出てます
今号のラインナップは、緊急5本、重要3本の計8本となっています

Microsoft Project の脆弱性により、リモートでコードが実行される (950183)(MS08-018) [緊急]
対象は、Project 2000/2002/2003

Microsoft Visio の脆弱性により、リモートでコードが実行される (949032)(MS08-019) [重要]
対象は、Visio 2002/2003/2007および、それを含むOfficeスイート

DNS クライアントの脆弱性により、なりすましが行われる (945553)(MS08-020) [重要]
対象は、Windows 2000/XP/2003/Vista
ただし、Vista SP1および2008にはこの脆弱性はありません

GDI の脆弱性により、リモートでコードが実行される (948590)(MS08-021) [緊急]
対象は、Windows 2000/XP/2003/Vista/2008

VBScript および JScript スクリプト エンジンの脆弱性により、リモートでコードが実行される (944338)(MS08-022) [緊急]
対象は、Windows 2000/XP/2003

ActiveX Kill Bit 用のセキュリティ更新プログラム (948881)(MS08-023) [緊急]
対象は、Windows 2000/XP/2003/Vista/2008
ｷﾀ！

Internet Explorer 用の累積的なセキュリティ更新プログラム (947864)(MS08-024) [緊急]
対象は、Windows 2000/XP/2003/Vista/2008に搭載されているInternet Explorer 5.01/6/7

Windows カーネルの脆弱性により、特権が昇格される (941693)(MS08-025) [重要]
対象は、Windows 2000/XP/2003/Vista/2008

＜付録＞
Microsoft® Windows® 悪意のあるソフトウェアの削除ツール (KB890830)
恒例の付録、其の一

＜参考＞
2008年4月のセキュリティリリース [日本のセキュリティチーム (Japan Security Team)]
マイクロソフトが4月の月例パッチ8件を公開、IEの累積的修正など [INTERNET Watch]

月刊 Microsoft Update 2008年3月号

いつものごとく、月刊Microsoft Update、出てます
今号のラインナップは、緊急4本の計4本となっています
先月サボったけど、復活
今月号はOffice関連オンリーですが、Viewerなんかも対象となってますのでOffice入れてないから大丈夫って訳でもなかったり
（追記）
MS08-017は鯖関連も

Microsoft Excel の脆弱性により、リモートでコードが実行される (949029)(MS08-014) [緊急]
対象は、Office 2000/XP/2003/2004/2007/2008、Excel Viewer 2003、2007 ファイル形式用 Microsoft Office 互換機能パック

Microsoft Outlook の脆弱性により、リモートでコードが実行される (949031)(MS08-015) [緊急]
対象は、Office 2000/XP/2003/2007

Microsoft Office の脆弱性により、リモートでコードが実行される (949030)(MS08-016) [緊急]
対象は、Office 2000/XP/2003 SP2以前/2004/2007、Excel Viewer 2003

Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される (933103)(MS08-017) [緊急]
対象は、Office 2000/XP、Visual Studio .NET 2002/2003、BizTalk Server 2000/2003他
……2000のパッチはこの記事書いてる時点では準備中っぽいorz
（3/13 9:20 追記）
今確認したところ、パッチ提供されてました

＜参考＞
3月のマイクロソフトセキュリティ更新を確認する [INTERNET Watch]

セキュリティ風味なニュース 2/7

「Adobe Reader」のアップデート公開，修正した脆弱性の詳細は不明 [IT Pro]
アップデート自体は昨日のSoftware Updateでも貼ってますけど、やっぱりセキュリティアップデートでしたか
任意のコマンドが実行可能な脆弱性っぽいので、利用されている方は早めのアップデートを

脆弱性修正のQuickTime 7.4.1公開 [ITmedia]
任意のコマンドが実行可能な脆弱性っぽいので、利用されている方は早めのアップデートを
iTunesなんかにも同梱されてますので、利用者の方は要チェキ

動画利用の脆弱性、Skypeが修正パッチ公開 [ITmedia]

Yahoo! Jukeboxにゼロデイ攻撃発生――ActiveX無効化で対策を [ITmedia]

パリス・ヒルトンのビデオで誘うトロイの木馬スパム出現 [ITmedia]

Live Mailのキャプチャを破るボットが登場、不正アカウントを大量取得 [ITmedia]

またも「Microsoft Update」に偽サイト、トロイの木馬を誘導 [ITmedia]

企業内すべてのパソコンの管理を--マカフィーがネットワーク脅威状況を発表 [CNET]

現行のフィッシング対策はエンジニアの「机上の空論」？ [@IT]
ぶっちゃけて言うと、現状の確認作業は小めんどくさいので一般にはとても無理、もっとシンプルな確認方法が必要って話

ネット不正取引の被害を銀行が補償　全銀協が自主ルール [J-CASTニュース]
ってことで、こういうのはありがたい訳ですが……大丈夫？（ﾏﾃ
クレカ業界は追随してくれないかな？追随してくれないかな？（二回言うな）

駆除失敗！再感染から2度目の復旧作業へ [IT Pro]

フィルタリングソフトなんてろくでもないことは世界的には常識 [崎山伸夫のBlog]
セルフレイティング強制法案が提案されているんだけど [崎山伸夫のBlog]

インターネット協会、「ホットライン運用ガイドライン改訂案」で意見募集 [INTERNET Watch]

Programing 2.0での「コピー・アンド・ペースト」の危険度ｗ [ikepyonのお気楽な日々～技術ネタ風味～]
まっちゃだいふくの日記★とれんどふりーく★経由

現役ペンテスト技術者が選ぶ 使えるセキュリティツール(15)　「tcptraceroute」 [NetSecurity]

フィッシングメール来たｗｗｗ [たぬきん貧乏日記　～No Worry, No Hurry. Eat Curry!～]
イーバンク銀行キシニョフ支店？（キシニョフはモルドバの首都）

クローンの攻撃　その2 [IT Pro]

闇サイトで募集、養子縁組で「振り込め」口座…５人逮捕 [読売新聞]

ポケットに入れていたPSPが突然爆発、12歳の少年がヤケドを負う [GIGAZINE]

2008年02月05日のセキュリティホール情報 [NetSecurity]
2008年02月06日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 2/6

画像アップローダの脆弱性、Facebookなどにも影響波及 [ITmedia]
「Yahoo Music Jukebox」に重大な脆弱性--Secuniaが警告 [CNET]

Java Runtime EnvironmentのXMLパーシングに脆弱性--セキュリティ企業が警告 [CNET]

米マイクロソフトのセキュリティ情報「MS08-001」に対処する難しさ [IT Pro]

本物そっくりのUIやブランド名にも油断禁物、トレンドマイクロが報告 [INTERNET Watch]

「恋愛系ウイルスにご用心」、攻撃者はバレンタインを狙う [IT Pro]
なんか毎年恒例風味な気もしますけど、メモ

迷惑メールの4割は、欧州から送られている [IT Pro]
メモ

原田ウイルスの脅威、感染防止にはこまめな確認 [ITmedia]
まっちゃだいふくの日記★とれんどふりーく★経由
経由元でも言及されてますが、対策は「Winnyを使わない」が正しい

ウイルス罪新設の刑法改正でWinny媒介型暴露ウイルスの被害を激減できる [高木浩光＠自宅の日記]

敵はファイル感染型！トリアージで修復端末の優先度を決めろ [IT Pro]

セキュリティ対策のテスト手法を標準化、業界団体「AMTSO」が設立 [INTERNET Watch]

失敗しないパスワード管理（前編） [IT Pro]

あなたの身近なセキュリティ 第2回：WWW編（1） [INTERNET Watch]

政府機関サイト「go.jp」などに統一へ、なりすまし防止対策で [INTERNET Watch]

「TCP/IPに係る既知の脆弱性検証ツール」を公開 [IPA]
無償貸出中

オンライン詐欺との戦いに活用できる「リファラ」フィールド [IT Pro]

違法の「オンライン薬局」がスウェーデンで御用、数億円を荒稼ぎ [IT Pro]
マトモな薬売ってるとこはまだマシな方で、偽薬とか有害物質を薬って言って売ってるとこもあるんで注意

NTTコミュニケーションズ（OCN）を訴えました [悪徳商法？マニアックス]

2008年02月04日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 2/4

「安心・安全なインターネット環境を実現」--マイクロソフトのセキュリティ対策 [ZDNet]

ネットでダウンロードした映画の２割がウイルスに感染 [News CHINA]
a threadless kite - 糸の切れた凧経由
動画ファイル自体に仕掛けがしてある訳ではなく、同梱のプラグインやエンコーダに仕掛けてあるらしい

「Gooogle」サイト出現、検索結果と一緒にウイルスを送り込む [IT Pro]

「ウイルスメールは毎朝10時に送られる」、ソフォスが調査 [IT Pro]
メールをチェキする時間に合わせてるのかな？と思いましたが
北京、ロンドン、ニューヨークには、多数のウイルス（Storm Worm）感染パソコンが存在し、仕事が始まる午前10時ごろにそれらの電源が入れられるため
発信側ｗの都合の模様（ぉ

企業狙った詐欺メール、米司法省が注意を呼びかけ [ITmedia]

総務省が「ボット駆除活動宣言サイト」を開設、啓発活動を開始 [CNET]

古くて新しい、電子メール暗号化対応とその手法 [@IT]

情通審、ネットワークのIP化に対応した安全基準を答申 [CNET]

サーバー管理の第一歩はユーザー管理，うっかり削除するとトラブルの原因に [IT Pro]

従業員を信用しすぎていませんか？ [ZDNet]
担当者にそれっぽいこと言ったことありますが、非常に嫌そうな顔してました
みんな「いいひと」でいたいらしい

Webからの脅威と戦った24時間---インシデント対応の現場から 第1回 工場封鎖！繁盛期を襲った悲劇 [IT Pro]

ネット上の違法・有害情報の相談窓口、電気通信関連業界4団体設置 [CNET]
違法はともかく（どこの国の法律って問題はあるけど）、有害は単なる価値観なんだよね……（遠い目）

動画投稿サイト「適法化」推進、"違法アップローダー"へのアプローチ必要? [MYCOM]

ダウンロードで死刑判決：アフガニスタンの学生 [WIRED VISION]

なぜセルフレイティングは日本で普及しなかったのか [崎山伸夫のBlog]

2008年02月01日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 2/1

WindowsのTCP/IP脆弱性、実証Flashムービーが公開 [ITmedia]

Microsoft，「Windows Home Server／SBS」にも「緊急」の脆弱性が存在と発表 [IT Pro]
既に貼った気はするけど貼っとく

「裸の銃を持つ女」に注意、写真の誘惑でマルウェアに感染 [ITmedia]

米消費者団体がRealPlayerを「バッドウェア」と認定 [INTERNET Watch]

ソフトウェア パッケージはソフトウェア パッケージが非常に大きな署名付きファイルを含む場合、配布、または Windows Server 2003 でインストールできません [インフラ管理者の独り言（はなずきん＠酒好テム管理者）]

マルウェア作成キットの歴史~過去から現在へ(下) - Pinchが作った量産体制 [MYCOM]

「セキュリティなめんなよ」で啓発活動 [@IT]
昭和の匂いを感じる今日この頃……「平成生まれ」のマリアさん的にはいかがなものなんでしょうか？
（追記）
とりあえず右柱にフラッシュ貼っときますよ

こぶたとセキュリティを学ぼう、マイクロソフトが親子向けサイト [IT Pro]

2月は「ボット駆除活動強化月間」、総務省が啓発サイトでアピール [INTERNET Watch]

Windows Vista上で一部のウェブサイトが表示されない：Trendmicro [インフラ管理者の独り言（はなずきん＠酒好テム管理者）]

ネットでは「友人」から身を隠すのは難しい？ [ITmedia]
……見つかるとこに見つかるようにいるからじゃないかと（ﾏﾃ

MySpaceのページ乗っ取りでFTCが前科者を提訴 [IT Pro]

「スパイ衛星落下」の危険性は:元空軍将校が語る監視状態の実態 [WIRED VISION]

セキュリティの仕事を極めるためのリファレンスガイド　第2回「仕事のルール」 [NetSecurity]

XSSの練習問題作りました♪　"XSS Challenges" by yamagata21 [a threadless kite - 糸の切れた凧]
XSS練習問題("XSS Challenges")のFAQ [a threadless kite - 糸の切れた凧]
FAQも味わい深い（ぉ

空港セキュリティ事情が分かる――米運輸保安局がブログ開始 [ITmedia]

2008年01月31日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 1/31

Firefox脆弱性の危険度引き上げ、セッション情報流出も [ITmedia]

Microsoftの戦略部長によるIEとFirefoxの比較調査書に反論する [IT Pro]

「インターネットにも道路標識が必要」，セキュリティ相談室を開催 [IT Pro]

Yahoo！ JAPANがOpenIDの発行開始、使ってみたが…… [@IT]

Ruby の正規表現の落とし穴 [水無月ばけらのえび日記]
Unicodeエスケープのサロゲート対応版 [水無月ばけらのえび日記]
Unicodeエスケープのサロゲート対応版 (続き) [水無月ばけらのえび日記]

XSS Challenges
にわか鯖管の苦悩日記経由

電源が落ちても大丈夫、メンターのNucleus OSが進化 [@IT]

フィルタリングで使えなくなったモバイルコンテンツの行方は？--総務省研究会から [CNET]
有害フィルタリングがモバゲータウンに与える影響は--DeNA南場社長が分析 [CNET]

フィッシング詐欺師をだますフィッシングツール、盗んだ情報を横取り [IT Pro]
仁義なき闘い

犯罪者帝国を築くロシア最大の犯罪グループ「RBN」 [IT Pro]
中国発のレポートで見えた闇市場 [IT Pro]

2008年01月30日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 1/30

暫く更新してなかったので、古い情報も混じってますけど

Windows XP SP3とWindows Vista SP1がいよいよ仕上げの段階に [IT Pro]
Windows Vista サービスパック1、雑誌添付での配布も [IT Pro]

Mac OS X Leopard新版が近くリリースとのうわさ [COMPUTERWORLD]

ヤマハ製ルータなど2件の脆弱性情報を発表--IPAとJPCERT/CC [CNET]

Windowsファミリーを蝕む脆弱性、今度はSmall Business Serverで発覚 [COMPUTERWORLD]

Wordファイルを「トロイの木馬化」、ニュースに便乗のスパム攻撃 [ITmedia]

今度はスーパーボウル狙ったSEOポイズニング発生 [ITmedia]

内容充実の「スパイウエア対策サイト」、実はウイルス配布サイト [IT Pro]

オープンソース・アンチウイルスソフトClamAVの特許侵害でTrend Microがアプライアンス・ベンダーを提訴 [IT Pro]
な、なんだって～？！
何の特許かとか書いてないので詳細不明ですが、注目

ヤフー、「OpenID」発行サービスを開始 [CNET]

「ウイルス作成罪」はこうしてほしい / 国会提出刑法改正案の趣旨 [高木浩光＠自宅の日記]

私はウイルスを作ったことがある [hoshikuzu | star_dust dairy]

カスペルスキーにやられた… [ぼや♪のひとりごと〜（・３・）〜♪（外伝）]

MSの報告「VistaはXPやMac、Linuxよりセキュリティー問題が少ない」 [WIRED VISION]

「安全にインターネットを使うため」には何を行なえばよいだろうか？ [INTERNET Watch]

セキュリティを考慮しないメールサービスはあり得ない [INTERNET Watch]

携帯フィルタリング、総務省が“過剰規制”に「待った」 [ITmedia]
「オン・オフだけのフィルタリングは無益」施策の再検討を求める声も [INTERNET Watch]
脊髄反射でモノやるとこうなるという話（ﾏﾃ
「大臣要請」って形で進めたの考えると、わざとやったって可能性もありますけど（激ﾏﾃ

紛失しても情報流出を防ぐ無線キー付きハードディスク [IT Pro]
書き込んでる最中にキーを離したらどうなるんだろう（ぉ

シスコの超高速ファイアウォール，国内初登場 [IT Pro]

エンジニアはデンジャラス。危機管理術を装備せよ [@IT]

Tomcatのセキュリティとリスクの基本分かってる？ [@IT]

利用率7割のWEPは「1分」で破られる [IT Pro]
WEPが脆弱だっていうのは、当サイト見てくださってる方的には常識だとは思いますが……
そう言えば、DSで動かせるのもあったよね

IPアドレス＝PII？私はそうは思いません [ZDNet]
テッド スティーブン上院議員と同じ考えのヨーロッパの方々は、次回ワイヤレスアクセスポイントでインターネットに接続する時、CMDモードでIP設定をしてはいかがでしょうか。彼らは「ちょっと！誰が私のIPアドレスを変えたの？」と大騒ぎすることでしょう
192.168.0.1は私のアドレスですを思い出した

カーナビの進化を支える通信機能は諸刃の剣？ [@IT]

ハッカー集団が、新興宗教団体サイエントロジーにDDoS攻撃 [COMPUTERWORLD]

Wikipedia ∩ Winny で何が判るか [高木浩光＠自宅の日記]

原田ウイルス作者等の特定方法 [tokix.net]

Share放流の匿名性強化実験 [tokix.net]

TJXの顧客情報漏えい記念日 [ZDNet]

オンラインゲームポータルに不正アクセス、個人情報14,362件流出 [INTERNET Watch]

2008年01月25日のセキュリティホール情報 [NetSecurity]
2008年01月28日のセキュリティホール情報 [NetSecurity]
2008年01月29日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 1/25

マイクロソフト、新たに「Vista SP1 RC Refresh 2」をリリース [CNET]
昨日、2/15に正式版リリースかも？ってニュースあったけど、もしそうだとすると結構ギリギリなスケジュールっぽい

Firefoxに情報漏洩の脆弱性――MozillaのCSOが認める [COMPUTERWORLD]
ボク的にもオススメなアドオンNoScriptで対応可能っぽい

Skype、脆弱性対応でビデオ共有サイトとのリンクを当面停止に [COMPUTERWORLD]

2007年に出現したウイルスは500万種類以上、2006年の5倍以上に [IT Pro]

怪しいサイト [極楽せきゅあ日記]

スパム・ビジネスの実態に迫る～アルバイト感覚でも一攫千金 [G DATA]
GIGAZINE経由
1ヶ月4億通って、「スパムの女王」キム・ハナの件数（4ヶ月で16億通だとか）に匹敵するんですけど

シマンテック、ルータを悪用する攻撃を警告 [CNET]

ミクシィ、mixi運営事務局を騙るメールや類似サイトに注意喚起 [INTERNET Watch]

Apple iPhone 1.1.2 Remote Denial of Service Exploit [まっちゃだいふくの日記★とれんどふりーく★]

仕事に便利だが本当は恐ろしい電子メール [ITmedia]

ドコモ、有害サイト閲覧制限の一部見直しを検討・保護者が変更可能に [IT Pro]
ぉ

10代のネット利用を追う 第5回 小泉力一教授に聞く、情報教育現場の実態 [INTERNET Watch]
１0代に限んない気も……

トレンドマイクロ、VMware上のLinuxサーバも保護 [@IT]

セキュリティの仕事を極めるためのリファレンスガイド　第1回「セキュリティは人間臭い仕事」 [NetSecurity]

国内初、ウイルス作者逮捕　CLANNAD画像の「著作権侵害」で [ITmedia]
昨日の記事にも追記したけど、著作権違反が親告罪であること考えると……

ウイルスの作者が逮捕された事例 [セキュリティホールmemo]
ちょっと降りたあたりのとこにリンクがたくさん
懐かしのGigabyteﾀﾝもちゃんと押さえてあった（ぉ

英国政府、相次ぐ個人データ漏洩 [CNET]

ネクソンのサーバーに不正アクセス、仮想通貨3,606万円入手した少年逮捕 [INTERNET Watch]

2008年01月24日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 1/24

Vista SP1は2月15日リリース？ [Engadget Japanese]
Microsoft、Vista SP1をまもなくリリースか [COMPUTERWORLD]

Firefoxに情報流出の脆弱性、危険度は低レベル [ITmedia]

ヒース・レジャーさん死去に便乗――SEOポイズニング攻撃発生 [ITmedia]

欧米で出回る携帯向けワーム，マルチメディア・データを装う [IT Pro]
新手の携帯電話ワーム「Beselo」、拡散中 [CNET]

モロッコの詐欺グループがフィッシング・ツール配布サイトを開設，Netcraftが警告 [IT Pro]

正規サイトを使った攻撃、初めて悪用目的のサイトを上回る [ITmedia]

マルウェア作成キットの歴史~過去から現在へ(中) - Agobotが現れた! [MYCOM]

Webの守りも“2.0” [IT Pro]

匿名であるということ [PConline]
「匿名」＝「実名特定までのハードルの多さ」
これ重要

JavaScript のリテラルに任意の文字列を出力してみる [水無月ばけらのえび日記]

Windows Server 2008 のきめ細かなパスワードポリシー [IT Pro]

2011年の情報セキュリティ政策にあなたの意見を [IT Pro]

セキュアデータセンターとはどんなものだろうか [@IT]

ID盗んで仮想通貨を詐取、高校生ハッカー逮捕 [読売新聞]

Winny開発者の金子勇氏「開発続けていれば流出ファイルは止められた」 [INTERNET Watch]

原田ウイルス作成者ら3人逮捕 [毎日新聞]
罪状は著作権法違反ｗ
（1/25：追記）
そう言えば著作権違反って親告罪じゃなかったっけ？
とすると……とか言ってみるテスト

2008年01月23日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 1/23

Flash悪用のルータ攻撃、影響は「極めて甚大」の可能性 [ITmedia]

Symbian携帯に感染する新手のワーム出現 [ITmedia]
対岸の火事（ﾏﾃ
やじうまはしておく

脆弱性情報公表の自由 ～ コントロールを取り戻せ [高木浩光＠自宅の日記]

スパマーは季節や時事問題に敏感 [@IT]
敏感と言うか、職業（？）柄必須なだけだと思われ

Rock Phishに対する心構え [IT Pro]

グーグル、個人情報の扱いを巡り公聴会で欧州議会と対立 [CNET]
「個人情報が欲しいわけではない」――Googleが欧州議会に反論 [ITmedia]

「あまりに急」「検閲では」――携帯フィルタリングに事業者から不満続出 [ITmedia]
未成年者の携帯“フィルタリング原則化”、課題は山積み、効果も疑問 [INTERNET Watch]
子供に尾崎を聴かせると盗んだバイクで走り出してしまうからダメ [Web屋のネタ帳]
お上の力で規制すれば何とかなるっていう信仰心の下、小手先の対応しかしないっての最近多くない？
……大臣要請ですか（妙に納得）

インターネットってオープンだったの？ ～前略プロフィール [INTERNET Watch]

ネプロジャパンが情報漏洩防止機能付きのファイル・サーバー機を出荷 [IT Pro]
紙で印刷とかは別に対応必要ってのは当然あるけど
サーバになにかあったときの復旧方法とかが非常に重要な感じ

守るべし、個人情報 - 「ハンドシュレッダー」を吟味する [MYCOM]
シュレッダーはさみはボク的にも結構よいと思われ
ソーメン状に切るタイプのは、復元しやすいので（力技で復元したっての見たことあるし）横方向にも切っておきましょう

天使の様な悪魔のささやき・・・・ [TOTOROの自堕落日記]

「WinnyとShareは世界中で使われている」、ネットエージェントが調査 [IT Pro]

2008年01月22日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 1/22

Windows XP Service Pack 3 の概要 [Microsoft]
セキュリティホールmemo経由

大規模なサイト・ハッキング被害が明らかに――1万ものサイトが感染 [COMPUTERWORLD]
Linux＋Apacheに大規模な攻撃があったと言う話
ユーザー側ではシステム上のすべてのソフトウェアにパッチを当て、セキュリティ・ソフトウェアのシグネチャを最新に保つことで自衛は可能だ。一方、Webサイト管理者側は、Apacheのモジュール構成で動的ロードを無効にしておかなければならない

Windows版Skypeに危険度の高い脆弱性、原因となった機能は一時的に無効化 [INTERNET Watch]

「Microsoftアップデート」を語るスパムメールでマルウェアに感染 [ITmedia]

UPnPを狙う新たな攻撃、「Webアクセスだけでルーター設定変更の恐れ」 [IT Pro]

怪しいWebサイトから身を守る（前編） [IT Pro]

攻撃の高度化，「Fast-Flux」から「RockPhish」まで――その2 [IT Pro]

脅威情報マーケットが拡大中 [ZDNet]

ウチで配布しているソフト [不便利メモ]
a threadless kite - 糸の切れた凧経由
ｗ
Blue Screen ScreenSaverが引っかかったことあったなぁ

日本のヤフーもOpenID発行サービス開始へ、近日中に正式発表 [IT Pro]

出会い系サイト、届け出制に--警察庁が改正法案提出へ [CNET]
「うちはマジメな出会い系ですよ」ってこと？
結局ツールは使い方次第だからなあ……（遠い目）

米国政府のぜい弱性対策に関する取り組み～CCE～ [IT Pro]

2008年01月21日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 1/21

「Skype」にセキュリティ・ホール，危険な状態でWebページをレンダリング [IT Pro]
Skypeに深刻な脆弱性、動画共有サイト使い悪用の恐れ [ITmedia]

FreeBSD 6.3登場 - 2010年1月セキュリティ対応期限 [MYCOM]

「多国籍スパム」出現、工夫を凝らして送信元を隠す [IT Pro]

Yahoo!の画像認証システムがついに“陥落”？ [COMPUTERWORLD]

IPA、情報セキュリティ対策ベンチマーク活用集を公開 [ZDNet]

Windowsのログオンを自動化する [Allabout]
まっちゃだいふくの日記★とれんどふりーく★経由
やっちゃダメ、絶対

脅威の序列 [ZDNet]

公益インフラにサイバー攻撃、複数都市で停電も [ITmedia]
……なんでインターネットにそう言ったシステムが接続してるんだろとか思ったり思わなかったり
公共料金の支払管理システムあたりに接続して、ごっそり入金履歴を消すと根こそぎ止めれる……とか？（ぉ

セキュリティ風味なニュース 1/19

Windows HotFix Briefings ALERT セキュリティ情報 ― 2008年1月版 [@IT]
恒例の月刊Microsoft Update今月号のまとめ記事

シスコ、CUCMの脆弱性で注意を呼びかけ [CNET]

「脆弱性の数よりも対応の早さが重要」、モジラのセキュリティ責任者 [IT Pro]
正論ではあるけど、あまりに数が多いと対応に跳ね返ってくるよね？とか言ってみるテスト
ボクの愛用ブラウザはFirefoxですとも言っておく（他にも数種使ってますけどね）

Windows関連のぜい弱性情報に賞金2万ドル [IT Pro]

2008年のセキュリティ展望　〜国や民間が個人の限界を補う必要性　インタビュー 株式会社ラック 新井 悠 氏 [NetSecurity]

「修正されたソフトとWebサイトが1000件突破」、脆弱性届け出の成果 [IT Pro]

UTF-7によるXSSからの防御方法 [葉っぱ日記]
about UTF-7 XSS Cheat Sheet [hoshikuzu | star_dust dairy]

Windows Defenderでスパイウェアを阻止する [IT Pro]

いまさら聞けないActiveX＆デジタル証明書入門 [@IT]

迷惑メール：海外発も規制対象に　総務省が改正法案 [毎日新聞]
実効性はあるんですか？
三国合意がなったとしても、スパマーがbotや他国のサーバに移動するだけのような気がするんだけど

経産省が情報セキュリティキャンペーン、「シャーロック・アヤ」を起用 [@IT]

「悪かったのは売り方だけ」——Mac初の「偽ソフト」開発者が弁解 [IT Pro]

マルウェア作成キットの歴史~過去から現在へ(上) - VCLからクルニコワまで [MYCOM]

日立が「廃棄したはず」の個人情報入りHDD、中古店に流出 [ITmedia]
廃棄の前に処理くらいしておこうよ……orz

外国人犯罪とネット犯罪は似ている [本当は痛いテレビ番組　ココログ支店]
ネット犯罪の匿名性が高いか否かとか逃亡しやすいかは微妙な気もしますけど

海賊版販売の連鎖が発覚、「softmacbb」名乗る大阪市の男性も逮捕 [INTERNET Watch]
これ見て、あ～こういう馬鹿はすぐ捕まるよねと思った人の数++

2008年01月16日のセキュリティホール情報 [NetSecurity]
2008年01月17日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 1/16

脆弱性修正のQuickTime新版公開、MacとWindowsに影響 [ITmedia]
「QuickTime 7.4」、4件の脆弱性を修正 [INTERNET Watch]
iTunes入れてたりする方には漏れなく入ってますのでアップデートを
iTunes自体もアップデートしてますので、iTunes利用してる方はそれでOKだけど
……MacExpoに合わせるのはいいんだけど、セキュリティアップデートだけでも先に出すとかって選択肢はないのかなぁ？＞ジョブズ聖下

Oracle、26件のセキュリティパッチ公開 [ITmedia]

iPod touchとiPhone、ソフトウェアアップデートで脆弱性修正 [INTERNET Watch]

SP 1 コンパチビリティ Hotfix Available ;- [barlog]
Vista RC0用のMS08-001登場な話
FijiがあまりにもアレだとVistaも考えないといけないのかもしれませんが……結局BlackcombはCairoと同じ運命？（ﾏﾃ

「Excel」にパッチ未公開の脆弱性、「スピアー攻撃」を確認 [IT Pro]
Excelの脆弱性 [日本のセキュリティチームの Blog]

「ウイルスより愛をこめて」——今度の“えさ”はバレンタインデー [IT Pro]
こんなエサには引っかからないとは思いますけど…………大丈夫だよね？＞兄ちゃん

F-Secure，Mac初の偽セキュリティ・ソフト「MacSweeper」を警告 [IT Pro]

1万ものWebサイトが悪質コードを媒介、感染PCはデータ盗難の餌食に [COMPUTERWORLD]
random js Trojan話

ブックマークレットを外部ファイルに書く方法(IE限定) [葉っぱ日記]

某BOTホイホイについて思うこと [TOTOROの自堕落日記]

"ネットいじめ"の温床「学校裏サイト」の実態とは? - 文部科学省が調査開始 [MYCOM]

グローバルサインがSSLサーバー証明書の購入手続きを簡素化，リクエスト要らずに [IT Pro]
サイト運営者側でCSRなしにSSLサーバ証明書を発行するサービスが登場 [CNET]

日本エフ・セキュアがSaaS型セキュリティソリューションの提供を開始 [MYCOM]

語順はずらさなくてよろしい [a threadless kite - 糸の切れた凧]

2008年01月15日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 1/15

Finjan，正規のWebサイトを悪用する攻撃ツール「random js toolkit」を検出 [IT Pro]
新手のWeb攻撃か、多数のECサイトに不正コード [ITmedia]
2008年も正規サイトに「わな」、ファイル名を変える新手口 [IT Pro]

悪質Flashファイルでネットワーク機器を攻撃？ [ITmedia]

銀行口座の情報を盗むトロイの木馬が出現 [ITmedia]

SNSの友人メールから偽のMS Updateへ誘導、マルウェアに感染 [ITmedia]
偽の「Windows Update」でユーザーをだます――ウイルス作者の新手口 [IT Pro]

今度はポートを隠すrootkit、「ヘンタイ」スパムとも連動 [ITmedia]

Trendmicro のrootkit Busterの偽物が出ているそうです [まっちゃだいふくの日記★とれんどふりーく★]
偽「ルートキットバスター」出現、目的は個人情報の収集 [IT Pro]

しょこたん☆をも嚇かすAVソフトの警告 [高木浩光＠自宅の日記]

Web 2.0での「コピー・アンド・ペースト」の危険度 [IT Pro]

UTF-7 XSS Cheat Sheet を更新 [葉っぱ日記]

ウイルスだけじゃないメールのリスク ～うっかり誤送信で窮地に陥らないために～ [INTERNET Watch]

ジャストシステムの脆弱性告知ページが大幅に改善 [高木浩光＠自宅の日記]

Coverity、脆弱性への対応が迅速な11のOSSプロジェクトを発表 [CNET]

“データ復元ソフト”にすがった [IT Pro]

平成20年度「情報通信の安心安全な利用のための標語」募集 [財団法人マルチメディア振興センター]
インフラ管理者の独り言経由

ネットいじめによる少女の自殺事件--マイスペースに召喚状 [CNET]

マイスペース、米49州と共同でSNSの安全対策計画を発表 [CNET]

注目される暗号の安全性問題(2) [NetSecurity]

産業スパイ防止で新法制定へ、情報不正入手だけで摘発 [読売新聞]
セキュリティホールmemo経由
新法は「情報の窃盗罪」と位置付け
ここめがっさ重要、試験に出ますと言うか概念の転用多分あります（現状、情報窃盗は財物の窃盗（データを記録した「CD-ROM」とか、プリントアウトした「紙」とか）を伴わない限り窃盗にならない）
特許法も改正し、政府が安全保障上、重要な技術と指定した特許は一般が閲覧できないようにする「秘密特許制度」を導入する方針
経由元ではここ重要と指定されてましたが……現行の特許として機能するのかな？
字面見る限りだと、特許取得者が許諾した場合に内容を開示できるのか謎（国も許諾しないと開示できないのかな？って意味で）

新型インフルエンザ：発生に備え対策強化を確認　閣僚懇 [毎日新聞]

2008年01月11日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 1/11

VistaのWindows Updateで誤ったパッチが送信 [COMPUTERWORLD]

QuickTimeにまた危険度の高い脆弱性、実証コードも公開済み [INTERNET Watch]
パッチはまだ出てません

日本国内で初めてiPod nanoが爆発か？アップルに電話して聞いてみた [GIGAZINE]

ウイルスバスター2008、Vista SP1にインストールできない問題などを修正 [INTERNET Watch]

最も安全な組み合わせはLinux＋Opera、フォーティネット推奨 [@IT]
日本語が使えるマイナー環境って意味ではBTRONな超漢字とか最強なのでは？（ﾏﾃ

検索サイトを悪用した「Webからの攻撃」に注意、トレンドマイクロ調査 [INTERNET Watch]

UTF-7でXSSを発生させる10の方法 [葉っぱ日記]

すべての通信を暗号化してはいけない [IT Pro]
管理者権限を共有してはいけない [IT Pro]

思い通りにいかないインストーラ [IT Pro]

国土交通省が船荷追跡のICタグ実証実験を開始、米国土安全保障省と共同で [IT Pro]

中国銀行の偽サイト見つかる　個人情報盗む？ [中国情報局]
インフラ管理者の独り言経由

南米コロンビアの男性，キーロガーを使ったID窃盗の罪を認める [IT Pro]

2008年01月10日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 1/10

Windows Vista SP1 RC 6001.17128.080101-1935 [barlog]

マスターブートレコードに感染するrootkit攻撃が発生 [ITmedia]

Web経由でプリンタを操作する攻撃手法が発見される [COMPUTERWORLD]

脆弱性は気にしない？　PCユーザーの大半がパッチ修正を未適用 [ITmedia]

フィッシング詐欺集団、Storm Wormのボットネットをレンタル [CNET]

McAfee、訴訟リスクの高まりを投資家に警告 [COMPUTERWORLD]

F-Secure、オンラインでPCの安全状態をチェックするサービス [MYCOM]

SANSら、SQLベースの大規模なウェブ攻撃を解読 [CNET]

見落としがちな脆弱性（Webアプリケーション編）　その2 [IT Pro]

オープンソース・ソフトのセキュリティ・バグは1,000行に1件 [COMPUTERWORLD]

米内国歳入庁の情報セキュリティは約30％しか改善されていない [IT Pro]

現役ペンテスト技術者が選ぶ 使えるセキュリティツール(14)　「ophcrack」 [NetSecurity]

Winny/Shareユーザーもお正月休み - ただし、連休明けにはV字回復 [MYCOM]
素人考えだと休みの日に増えそうなもんだけど

韓国の病院内で記者のパソコン爆発 [CBC NEWSi]
爆発したのはLG電子製

2008年01月09日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 1/9

ソフトウェアの更新は、 Windows BitLocker ドライブ暗号化 機能が含まれる Windows Vista のバージョンで使用されます [インフラ管理者の独り言]
Homeな人は関係ありませんが

どうする？2008年のウイルス対策 [IT Pro]

MSのストレージサービスをスパムが悪用 [ITmedia]

ウイルス対策ソフトの実力診断 第3回　パフォーマンステスト：Excelのベンチマークで大きな差 [IT Pro]

「Yahoo! JAPAN IDは、売らない、買わない」IDの不正売買対策を本格化 [INTERNET Watch]

運用管理にtelnetを使ってはいけない [IT Pro]

年末年始のWinny利用は減少、Shareは過去最多～ネットエージェント調査 [INTERNET Watch]

2008年01月08日のセキュリティホール情報 [NetSecurity]

月刊 Microsoft Update 2008年1月号

いつものごとく、月刊Microsoft Update、出てます
今号のラインナップは、緊急1本・重要1本の計2本となっています
今回はちょっち少なめだけど、きっちりしっかり当てておましょう
今日はかなりわやな状況なので、かなりてきとーです

Windows TCP/IP の脆弱性により、リモートでコードが実行される (941644)(MS08-001) [緊急]
対象は、Windows 2000/XP/2003/Vista

LSASS の脆弱性により、ローカルで特権が昇格される (943485)(MS08-002) [重要]
対象は、Windows 2000/XP/2003

＜付録＞
Microsoft® Windows® 悪意のあるソフトウェアの削除ツール (KB890830)
恒例の付録、其の一

2008 年 1 月 セキュリティ リリース ISO イメージ
恒例の付録、其の二

Windows サイドバーの保護を強化する更新プログラム(MS07-064)

＜参考＞
MS、1月の月例セキュリティ情報をリリース--「緊急」は1件 [CNET]
マイクロソフトが1月の月例パッチ2件を公開、TCP/IP関連の脆弱性など [INTERNET Watch]
MSが1月の月例パッチ公開、Windows Vistaの深刻な脆弱性に対処 [ITmedia]
Windowsに「緊急」の脆弱性、マイクロソフトは修正パッチを公開 [IT Pro]
1月のマイクロソフトセキュリティ更新を確認する [INTERNET Watch]

ソフトウェアの更新は、 Windows BitLocker ドライブ暗号化 機能が含まれる Windows Vista のバージョンで使用されます [インフラ管理者の独り言]

セキュリティ風味なニュース 1/8

一太郎などにバッファオーバーフローの脆弱性 [ITmedia]
またもや「一太郎」などに危険な脆弱性、Webアクセスでも被害の恐れ [IT Pro]
多数のジャスト製品に影響を及ぼした脆弱性--FFRがアドバイザリを公開 [ZDNet]
多数のジャストシステム製品に脆弱性、修正モジュール公開 [@IT]
まっちゃだいふくの日記★とれんどふりーく★経由
経由元によると、発見者はUNYUNの人らしい
前回と違ってゼロデイアタックが発見の発端になったって訳じゃないっぽいのは救い

「Firefox 2.0.0.11」の認証ダイアログに脆弱性--中間者攻撃に悪用される恐れ [CNET]

マイクロソフト、「Office 2003」のセキュリティアドバイザリの誤りを認める [CNET]

PostgreSQLに危険なセキュリティ・ホール，管理者はバージョンアップを [IT Pro]
PostgreSQLに脆弱性：バージョン7.3ブランチのサポート打ち切りに [ZDNet]

画像ファイルに偽装し、HDDをフォーマットするトロイの木馬が出回る [INTERNET Watch]

ついに初登場、iPhoneを狙ったトロイの木馬が出現 [ITmedia]

「あなたを好きになった人を見つけます」の正体はアドウェア [ITmedia]

新品のUSB機器にマルウェア、MP3プレーヤーや外付けHDDにも [ITmedia]

「“ベスト10”を合わせても全体の5％未満」、分散化するウイルス攻撃 [IT Pro]

文書ウイルスを防ぐ（前編） [IT Pro]

2008年のセキュリティ脅威を予測 [IT Pro]
脅威が予測を上回る……こともある
大概は予測を下回ることが多かったりするけど（ぉ
そう思ってるときに限って（ry

GMO-HS、脆弱性診断サービス「ホームページセキュリティー診断」を提供開始 [CNET]

職場PCの私的利用、日本人の危機意識は世界平均より高い～BSA調査 [INTERNET Watch]

ディザスタ・リカバリの迷路を解く [COMPUTERWORLD]

2008年01月07日のセキュリティホール情報 (1) [NetSecurity]
2008年01月07日のセキュリティホール情報 (2) [NetSecurity]
2008年01月07日のセキュリティホール情報 (3) [NetSecurity]

IT系っぽかったりセキュリティ風味だったりするニュースのメモ 1/7

マイクロソフト セキュリティ情報の事前通知 - 2008 年 1 月 [Microsoft]
「2008年最初の『緊急』パッチは1月9日」、マイクロソフトが予告 [IT Pro]
マイクロソフトの1月のパッチ予告，Windows XP/Vistaに「深刻度：緊急」が1件 [IT Pro]
マイクロソフト、1月の月例パッチは“緊急”1件、“重要”1件 [INTERNET Watch]
月刊Microsoft Updateの今月号は明後日発行予定（日本時間）
緊急1件を含む計2件とのこと、震えて待てっっっ！！

画像ファイルに偽装した，HDDをフォーマットしようとするトロイの木馬がネットで話題に [IT Pro]
とりあえずIEを利用している方は注意……してどうにかなるモノでも無さげな感じ（ぉ
とりあえず、JavaScriptはOFFの方向で

新年早々「RealPlayer」に危険な脆弱性、「ワナ」サイトが続出 [IT Pro]

IPAへのウイルス届出件数、2007年は34,334件で大幅減 [INTERNET Watch]

『Office 2003 SP3』の「古いフォーマット排除」問題 [WIRED VISION]

Vista登場の翌年に見る次期Windowsの夢 [PC Watch]

「超薄型MacBook」の流出画像？ [Engadget Japanese]

NetscapeブランドのWebブラウザの全サポートが終了へ [IT Pro]
伝説が終わり、そして歴史が始まる

Winnyの新参利用者は急増しているのか？ [高木浩光＠自宅の日記]

Intel，100ドル・ノートPCプロジェクトのOLPCと決別 [IT Pro]
OLPC、離脱表明のインテルに反論：「子供たちを市場としてとらえている」 [CNET]

Apple，ついに独禁法違反で訴えられる [IT Pro]

「適法マーク」認定団体の持ちうる力の大きさ [日本違法サイト協会 ブログ]
適法マークを考えた人って、金儲けのことしか頭に無いか、ホンキで頭がおかしいかのどちらかなんじゃないかと思われ

ソーシャルメディアにおける18禁情報の取り扱い [狐の王国]

三菱UFJ信託、旧UFJ信託4店舗の勘定系システムを旧三菱信託のシステムに切り替え [IT Pro]
三菱UFJ信託のATMで39件のトラブルが発生、システム統合時の不具合が原因 [IT Pro]

関東つくば銀が八十二銀の地銀向け共同システムを利用開始 [IT Pro]
北日本銀行が日立の地銀向け共同システムの利用を開始 [IT Pro]

Warner Bros.がDVDタイトルを「Blu-Ray」に一本化，「HD DVD」対応は5月末まで [IT Pro]
ワーナーブラザーズがHD DVD陣営から離脱、東芝は「それでもHD DVDで戦う」 [CNET]

米国際貿易委員会，特許侵害の疑いで22社に対する調査を開始 [IT Pro]

「水で発電する」400ドルの燃料電池発電機『HydroPak』 [WIRED VISION]

東芝、Cell搭載の次世代テレビやQosmio、次世代レグザリンクをデモ [Engadget Japanese]

Brule、QWERTYキー搭載UMPC「OQO」に64GB SSDモデル ～太陽光下でも見やすい液晶を装備したモデルも [PC Watch]

日本サムスン「SyncMaster 940UX」 ～USBで接続できる19型液晶ディスプレイ [PC Watch]

PS3 Linuxを年末年始にとりあえず動かしてみたい人向けインストールガイド [ZDNet]

PS3とMD5ハッシュ値衝突の脆弱性との"危険な"関係 - SHA-2を代替関数に [MYCOM]

売ります：身長12メートルの火吹きドラゴンロボ [Engadget Japanese]

Wiiのクラック成功、ネイティブアプリが起動可能に [Engadget Japanese]

メガドライブ・ポータブル発売、約4500円 [Engadget Japanese]

激しい競争の中で生き残るRMT業者の実態 ビジネスの中心はパワーレベリングに [Game*Spark]

Xbox LIVE、ゲーム1本分を無料ダウンロード提供 [ITmedia]

候補者達がマジバトル？ Flashゲーム『カンフー選挙』 [Game*Spark]

セキュリティ風味なニュース 12/28

年末年始を控え、休暇中のセキュリティ対策について注意喚起 [INTERNET Watch]

Wordファイルを「.exe」に書き換え　リムーバブルワームの隠し機能 [ITmedia]
Word文書に感染する“巧妙な”ウイルス、「研究者も気付いていない」 [IT Pro]

Microsoft WindowsにおけるWebプロキシ自動発見（WPAD）の脆弱性に関する注意喚起 [日本レジストリサービス]
まっちゃだいふくの日記★とれんどふりーく★経由

2008年は使いきり型ウイルスと身代金要求型ウイルスに注意、G DATAが予測 [INTERNET Watch]

携帯向けフィルタリングの原則義務化には課題、総務省の検討会で指摘 [INTERNET Watch]

ダイジェスト認証について試したメモｗ [a threadless kite - 糸の切れた凧]

クリスマス期間中のWinny利用者動向，ネットエージェントが公表 [IT Pro]
クリスマスのWinnyユーザー数は33万強、「やや減少傾向」 [IT Pro]
Winny稼動ノード数が減少中 [高木浩光＠自宅の日記]

2007年12月21日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 12/26

イブのStorm一斉攻撃、セクシーなサンタで誘惑 [ITmedia]
サンタの次はニューイヤー、Storm Wormの素早い変わり身 [ITmedia]

人気SNSの招待状から始まる被害--子どもの被害も想定されるスパム傾向 [ZDNet]

2007年のクロスサイトスクリプティングを振り返って [葉っぱ日記]

1台のPC上で安全に機密情報の扱い、日立ソフト [@IT]

今、あらためてクライアントセキュリティを考える 第4回：マカフィーに聞く ～Webセキュリティ分野で先鞭をつけた「マカフィー サイトアドバイザ」～ [INTERNET Watch]

「ダウンロード違法化」で漏洩情報のWinny流通を抑止できるか [高木浩光＠自宅の日記]
……cashフォルダに保存される時点で、nyの大部分は現行法でも取り締まれそうな気がしなくもないんですけど
現状でアップロード自体禁止（cashフォルダに他者の著作物を含むキャッシュが保存されている時点で違法アップロードとみなしてもいいのかも）で、「情を知る」云々の但し書きが付かなくとも、現行法を知らないという理由で免責されることはない訳だし

2007年12月21日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 12/25

トレンドマイクロ、セキュリティアプライアンスの緊急パッチを公開 [ZDNet]

RealPlayerの脆弱性悪用するエクスプロイト出現 [ITmedia]

Apple、Safari不具合でセキュリティアップデートを再リリース [ITmedia]

Windows Explorerが使用不能に--カスペルスキー製品が誤作動 [CNET]
ぉ

Stormベースのボットネットが暗躍、悪意あるクリスマス・サイトにユーザーを誘導 [COMPUTERWORLD]

今、あらためてクライアントセキュリティを考える 第3回：トレンドマイクロに聞く ～3段階プロテクションで凶悪化する脅威に対抗する～ [INTERNET Watch]

ウイルススキャンサービスの「暗黒面」 [ITmedia]
面白い

安倍前首相提唱の日本版NSC、白紙に [朝日新聞]

年末年始：知人からでも添付ファイルは疑うべし--管理者は対策内容を再度確認 [CNET]
要注意

クリスマス商戦はスパムに御注意--シマンテック、注意を呼びかけ [CNET]

スパム防止にオプトイン規制検討へ [@IT]

スマートフォンのウイルス対策は過剰気味？ [ITmedia]

ファイル交換ソフト：利用者、3.5％から9.6％に急増--著作権侵害も激増 [CNET]

2割近くが「悪口を書かれた」 - 高校生の「学校裏サイト」利用実態調査 [MYCOM]

第25回「ソフトウェア契約に潜むリスクとその法的対策」平成19年4月経産省発表「情報システム・モデル取引・契約書」（12） [NetSecurity]

はてなブックマークを禁止する技術的方法 [高木浩光＠自宅の日記]

2007年有害サイト動向、暴力描写の過激化や隠語・略語の増加など [INTERNET Watch]

2007年12月21日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 12/21

年末年始における注意喚起 [IPA]
恒例の記事
……もうそんな季節なんですね

「Flash Player」に危険な脆弱性が多数、最新版にバージョンアップを [IT Pro]
Flash Playerに深刻な脆弱性、最新版へアップデートを [INTERNET Watch]

「Google Toolbar 5」にセキュリティ・ホール，不正ボタンを追加する危険性 [IT Pro]

Webブラウザー「Opera」の新版公開、複数の脆弱性を修正 [IT Pro]

Thunderbird 1.5、最後のアップデート公開 [ITmedia]

「40万人が感染」、グーグルのSNS「Orkut」でウイルスが大流行 [IT Pro]

Googleのテキスト広告を乗っ取るトロイの木馬 - BitDefender報告 [MYCOM]

「損害額は算出不能」、猛威を振るった「Pinch」ウイルスの作者逮捕 [IT Pro]

みんなで「情報セキュリティ」強化宣言！情報セキュリティ対策推進コミュニティ

国家施策としてのセキュリティ対策について議論、SecurityDay2007 [INTERNET Watch]

「消えるマルウェア」も登場した2007年 [@IT]
2007年は「Webからの脅威」の年、トレンドが振り返る [@IT]
上の記事はLAC、下の記事はトレンドマイクロのそれぞれ発表だけど、認識はほぼ同じ

警戒したい攻撃ツール「IcePack」，犯罪者には至れり尽くせり [IT Pro]
MPack：有名サイトにも罠 [IT Pro]

Webアプリの落とし穴に改めて注意 [IT Pro]

今、あらためてクライアントセキュリティを考える 第2回：シマンテックに聞く ～新たな脅威である「ボット」に対抗する～ [INTERNET Watch]
新たな脅威ってのには抵抗ありますけど、内容的には理解できるってことで

トレンドマイクロがパターン・ファイルの動作検証センターをフィリピンへ移転 [IT Pro]

「ユーザーの17％は『詐欺サイト』にアクセス」、シマンテックの調査 [IT Pro]
個人情報の入力が増える一方、防御策には「自信なし」～シマンテック調査 [INTERNET Watch]
オンライン詐欺の防御策には「自信なし」が過半数 [@IT]
モノにもよる気がするけど、あまり自信なかったり（ぉ
一目瞭然風味な不正請求とかに引っかかることは無いと思いますけど（IPとか表示したりして必死なのは何件か見ましたがｗ）

オンライン詐欺にあわないための基本対策：セキュアブレインが公開 [ZDNet]

いじめの内容、ネット上での中傷が21.6％～MMD研究所調査 [INTERNET Watch]
……身元特定しやすくするってのも理解に苦しみますが

IEにおいて各種バー群を表示する件 [hoshikuzu | star_dust dairy]

競争力を失わずに、セキュアなオフィスを実現する [@IT]

企業におけるスマートフォンの利用拡大にはセキュリティ向上が不可欠 [IT Pro]

ドコモ、緊急速報サービスを拡充--災害情報や避難情報も配信 [CNET]

日本違法サイト協会 ブログ

イタリア人は家族で写真を撮らない [本当は痛いテレビ番組　ココログ支店]
ボクの写真嫌いを知ってる方は理解しやすいと思われます＞関係者

NYタイムズ紙スクープ：「NSAは9/11以前から令状なし国内盗聴をしていた」 [暗いニュースリンク]
公然の秘密ってやつだと思ってましたが……（ぉ

総務省、NTT東に対し顧客情報流出で行政指導 [INTERNET Watch]

警察庁が懲戒処分の指針を改正、Winny流出させたら免職も [INTERNET Watch]

2007年12月19日のセキュリティホール情報 [NetSecurity]
2007年12月20日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 12/19

マイクロソフト、「Windows XP SP3」ベータ版をリリースへ [CNET]
Microsoftは、XP SP3ベータ版を18日午後、同社のウェブサイトで公開するとしている
……アメリカ時間だとしてもそろそろ
日本語版は同時に提供されないのかな？
（追記）
来ました

ウイルスバスター 2008（ビルド16.0.1645）の緊急公開につきまして [トレンドマイクロ]
まっちゃだいふくの日記★とれんどふりーく★経由

HP、ノートPC100機種の脆弱性に対応するパッチをリリース [CNET]

開発フレームワークGoogle Web Toolkitにクロスサイトスクリプティング脆弱性 [ZDNet]

添付されたPDFファイルには要注意 [IT Pro]

USBウイルス：何でも感染源に [IT Pro]
画像スパム：フィルターが無力 [IT Pro]

「最新の脅威は痕跡を残さない」、ラックが2007年のセキュリティを総括 [IT Pro]

Webサイト「XSOX.name」とプロキシのボット [IT Pro]
興味深い

個人情報保護法ガイドライン改正へ，経産省が業務委託に関する内容を強化する案 [IT Pro]
経済産業省、業務委託先からの個人情報漏洩を防ぐガイドラインで意見募集 [INTERNET Watch]

電子署名法：総務省、法務省、経産省が見直しの検討会を発足 [CNET]

日本的価値観と情報漏洩 [ZDNet Japan Blog]

IPA、企業のセキュリティ対策取組状況診断システムの新版を公開--ISMSに対応 [CNET]

LACに聞く失敗しないセキュリティ商品選び (2)セキュリティポリシーをシステムまで実装できているかどうか [NetSecurity]

日立、東京理科大、NTT-Com、データの選択的開示暗号化/保存技術などを開発 [MYCOM]

また英政府がデータ紛失，今度は運転免許試験局が300万人分の個人情報 [IT Pro]

2007年12月18日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 12/18

Mac OS XとWindows版Safariのセキュリティアップデート公開 [ITmedia]

Windows HotFix Briefings ALERT セキュリティ情報 ― 2007年12月版 [@IT]
月刊Microsoft Update今月号の話題
まとまってます

アップル、Windows用「Safari 3」ベータ版のセキュリティアップデート [INTERNET Watch]

ボットネットなんて関係ねぇ！ というわけには…… [@IT]

ゼロデイ攻撃：出会ったら最後 [IT Pro]
スピアー攻撃：あなたを狙い撃ち [IT Pro]
一太郎のゼロデイは見事に二翻ついてますね（ﾏﾃ

「油断は禁物」、官公庁やオンライン辞書のサイトにも「わな」 [IT Pro]

米国のフィッシング詐欺被害総額、2007年だけで32億ドルに [INTERNET Watch]

眠れない夜 [hoshikuzu | star_dust dairy]

学校のネットワークに侵入できたら、無線ルータをプレゼント [COMPUTERWORLD]
ただし攻撃対象はコンテスト用のハニーポッド

遺失物法が変わりました（平成19年12月10日施行）：警視庁 [インフラ管理者の独り言（はなずきん＠酒好テム管理者）]

未成年者は携帯フィルタリング原則加入？ [CNET]

標的はあなたのケータイ!? 個人情報が狙われている [@IT]
現状狙うとしたら、普通にスる方が早い（ぉ
普通の人はパスとかかけてないと思うし、かかってたら試すか捨てればいいだけだし（ﾏﾃ

2007年12月17日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 12/17

2007年のITセキュリティ10大ニュース [IT Pro]

「一太郎」などの修正パッチが公開、「ゼロデイウイルス」に対応 [IT Pro]
「一太郎」の新たな脆弱性、ジャストシステムの多数製品にも存在 [INTERNET Watch]

一太郎Zero-day攻撃発覚経緯の謎 ―― 非国民は誰？ [高木浩光＠自宅の日記]
やっぱりgo.jpが検体提出元だって思うっぽい

日立の銀行用ソフトウェアキーボードが利用者の危険を増大させている [高木浩光＠自宅の日記]
オレオレ警告を無視せよと指示する金融機関が他にも [高木浩光＠自宅の日記]

2クリック詐欺を養護するISP [TOTOROの自堕落日記]

ボット：40台に1台は感染 [IT Pro]
……思ったより少ないかも

「フィッシング詐欺の過半数は彼らの仕業」、暗躍する「Rock Phish」 [IT Pro]

高齢者のウイルス対策、ソフトの適切利用は6割--具体的な注意喚起が必要 [CNET]

ネット上の誹謗中傷「自分にも起こりうる」が7割 [INTERNET Watch]
馬耳東風が基本（ぉ
実害無きゃいいんじゃないかと思われ

ドメインにログオンができずイベントID5722が記録される [IT Pro]

2007/12/14 リバースエンジニアリングまつりのメモ [すみっこのメモ]
にわか鯖管の苦悩日記経由

アメリカ政府のサイバーセキュリティ対策不足 [ZDNet Japan Blog]

Yahoo! BB顧客情報流出の損害賠償訴訟、1人5,500円の賠償が確定 [INTERNET Watch]

2007年12月14日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 12/14

「QuickTime 7.3.1」リリース、危険度の高い脆弱性を修正 [INTERNET Watch]
利用されてる方はアップデートしておきましょう
iTunesを使ってる方は、個別でアンイストールでもしていない限り一緒に入っていますので注意

一太郎にまたゼロデイ攻撃、集中的な弱点探しの標的に [ITmedia]
狙われる“不運”な一太郎
不運？
一太郎に関しては狙うべき理由はあると思うんだけど……ね

Apacheの画像処理モジュールでXSSの脆弱性 [@IT]

Windows Update 月例パッチ 2007/12 版で IE6 が不安定になる件 [はみ出しRAPTの戯言]
まっちゃだいふくの日記★とれんどふりーく★経由
さっき似たような事例を聞いたばっかりだったり……urlmon.dllが修正されるの待ってもらおう（ぉ

iPhone、2008年にはセキュリティ攻撃で標的へ--セキュリティ企業が指摘 [ZDNet]

メッセージラボ、突然やってくるスパムメールの「スパイク」に警鐘 [@IT]

今日のspam 「やぁ、中田っち、久しぶり。」 [a threadless kite - 糸の切れた凧]
やるな、モーニングブルードラゴンｗ

パスワードの作り方 [PConline]

PMOとセキュリティ [wakatonoの戯れメモ]

MSセキュリティのこの10年：次世代のセキュリティ脅威 [CNET]

“Winny漏洩”の抜本的な対策技術、IPAが12月27日まで公募 [INTERNET Watch]
当然現行の法律に引っかからないのが条件だろうから……結構難問

2007年12月13日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 12/13

HPのノートPCソフトに未パッチの脆弱性 [ITmedia]

掲示板ソフト「Rainboard」にXSSの脆弱性--JVNなどで警告 [ZDNet]

MS Accessのエクスプロイト出現、不審なmdbファイルに注意 [ITmedia]

第六種オレオレ証明書が今後増加するおそれ [高木浩光＠自宅の日記]

「精神論」に頼らないメールセキュリティ対策とは [@IT]
園田氏は「ツールは無償ではあるが、タダではありません」という。ツールとしては無償かもしれないが、これを管理する「人への投資」が必須であるためだ

「全19省庁にメール・サーバーは約1900台，セキュリティ対策が不十分なものも」，NISC調査 [IT Pro]
……そもそも1900台も必要？

「攻撃可能なポイントを最小限に」－－Service Hardening [IT Pro]
Vistaのセキュ話

12月のワンポイントセキュリティ (クリスマスバージョン) [日本のセキュリティチームのBlog]

リバース・エンジニアリングと暗号通信 [極楽せきゅあ日記]

MSセキュリティのこの10年：ハッカーを社内に招待 [CNET]

子どもを犯罪から守れ - 携帯サイトのフィルタリング、子ども向け対策強化 [MYCOM]

内閣官房 パブコメ 「政府機関の情報セキュリティ対策のための統一基準（第３版）」 [まるちゃんの情報セキュリティ気まぐれ日記]

2007年12月12日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 12/12

MicrosoftとAOLのメディア・プレーヤをねらった攻撃コードが登場 [COMPUTERWORLD]

サイボウズ製品に4件の脆弱性、いずれも最新版で修正済み [INTERNET Watch]

ジャストシステム，一太郎のぜい弱性対応期間の延長を検討 [IT Pro]

MSセキュリティのこの10年：手痛い教訓をバネに [CNET]
マイクロソフトのセキュリティ作戦司令室 [CNET]

パッチ情報公開の「不手際」でSkypeが謝罪 [ITmedia]

「メールの72％は『迷惑』、早くも『五輪スパム』出現」シマンテック [IT Pro]

長崎県平戸市のサイトが21回にわたり改竄、ウイルス感染の恐れも [INTERNET Watch]
11/29～12/3にアクセスしたユーザはウィルスに感染している可能性があるとのこと
平戸市では10月18日時点でホームページが改竄され、アクセスしたユーザーがウイルスに感染する危険性を把握していたが、事実を公表したのは12月10日だった
……

増えるネットバンキング詐欺　被害者が補償受けられないケースは？ [J-CAST ニュース]

攻撃の高度化，「Fast-Flux」から「RockPhish」まで――その1 [IT Pro]

2008年は「トロイの木馬2.0」が攻撃開始 [ITmedia]
なんでも2.0言うな（ぉ
ぱっと読んだ感じ、手口自体それほど新しくもない気がするけど

Black Hat Japan 2007 Briefings 潜入レポート「スタティック分析によるセキュアプログラミング」 Jacob West 氏 [NetSecurity]

現役ペンテスト技術者が選ぶ 使えるセキュリティツール（13） 「RainbowCrack」 [NetSecurity]

米研究所へのターゲット攻撃に使われた、ハッキング技術 [ZDNet Japan Blog]

MCF、健全なモバイルサイトの認定組織を発足へ [INTERNET Watch]
「認定シール上げるから認定料よこせ」ってしか見れないボクはきっと汚れ

2007年12月11日のセキュリティホール情報 [NetSecurity]

月刊 Microsoft Update 2007年12月号

いつものごとく、月刊Microsoft Update、出てます
今号のラインナップは、緊急3本・重要4本の計7本となっています
今回はちょっち少なめだけど、きっちりしっかり当てておましょう
※内容については時間があったら追記しますm(__)m
（追記）
そんな時間はなかったorz

SMBv2 の脆弱性により、リモートでコードが実行される (942624)(MS07-063) [重要]
対象は、Windows Vista

DirectShow の脆弱性により、リモートでコードが実行される (941568)(MS07-064) [緊急]
対象は、DirectX 7.0/8.1/9.0c/10.0

メッセージ キューの脆弱性により、リモートでコードが実行される (937894)(MS07-065) [重要]
対象は、Windows 2000/XP

Windows カーネルの脆弱性により、特権が昇格される (943078)(MS07-066) [重要]
対象は、Windows Vista

Macrovision ドライバの脆弱性により、ローカルで特権が昇格される (944653)(MS07-067) [重要]
対象は、Windows XP/2003
この脆弱性は、この時点で悪用が確認されています

Windows Media Format の脆弱性により、リモートでコードが実行される (941569 および 944275)(MS07-068) [緊急]
対象は、Windows 2000/XP/2003/Vistaに含まれるWindows Media Formatランタイム及びWindows Media Servicesランタイム
ただし、Windows Media Player 6.4、Windows Media Services 4.1およびItanium-Based Systems向けの2003は対象ではありません

Internet Explorer 用の累積的なセキュリティ更新プログラム (942615)(MS07-069) [緊急]
対象は、Windows 2000/XP/2003/Vista

＜SP＞
2007 Microsoft Office スイート SP1

Microsoft Office 互換機能パック SP1

＜付録＞
Microsoft® Windows® 悪意のあるソフトウェアの削除ツール (KB890830)
恒例の付録、其の一

December 2007 Security Releases ISO Image
恒例の付録、其の二

＜関連＞
2007年最後(12月)のセキュリティリリース [日本のセキュリティチームの Blog]
12月のMS月例パッチ、IEやWindows Mediaの脆弱性に対処 [ITmedia]
マイクロソフト、12月の月例パッチをリリース--「緊急」は3件 [CNET]
マイクロソフト、12月の月例パッチ7件を公開 [INTERNET Watch]
IEやWindowsに危険な脆弱性、修正パッチの適用を [IT Pro]
2007年最後のMS月例セキュリティパッチ - DirectXの脆弱性など「緊急」3件 [MYCOM]

12月のマイクロソフトセキュリティ更新を確認する [INTERNET Watch]

セキュリティ風味なニュース 12/11

スカイプ、「重大」レベルの脆弱性を修正 [CNET]
Skypeに危険度の高い脆弱性、最新版へのアップデートを [INTERNET Watch]

QuickTimeの脆弱性を悪用する攻撃を確認、トレンドマイクロが注意喚起 [INTERNET Watch]

MS Accessのエクスプロイト出現、不審なmdbファイルに注意 [ITmedia]
mdbファイルをメールで送ってくるような知り合いいないし（ぉ

落穂拾い ―― PKI屋は馬鹿の巣窟か [高木浩光＠自宅の日記]

「1週間で100万円の収入！」、今でも出回る「ねずみ講メール」 [IT Pro]

「アドレス狩り」スパムが大量発生、送信数3500万通に [ITmedia]

インターネット犯罪のブラック・マーケットを理解する [IT Pro]

画像XSSの原理と対策をまとめました [ockeghem(徳丸浩)の日記]

EZwebブラウザの「お気に入り登録」は偽サイトを見分ける手段にならない [高木浩光＠自宅の日記]

総務省、青少年の携帯・PHS利用でフィルタリング機能を原則義務化 [INTERNET Watch]
総務省のせいで「モバイルインターネット」はいったいどうなってしまうの？ [崎山伸夫のBlog]

「ネット怖い」が8割　インターネットコム調べ [J-CAST ニュース]
……ん年前と比べると格段におとなしくなったようにも＞誹謗中傷
ボットとかは進化してるけど……どうなんでしょ？

テラ豚丼、ケンタッキー--CGMで企業に危機？ [CNET]
投票ボタンが設置されてるけど、Badボタンなんでないんでしょうね……（ぉ

SNS少女自殺、「当事者なりすましブログ」を調査中 [CNN]

セキュリティ対策のこちら側／あちら側 [@IT]
セキュリティ対策ソフトウェアやサービスを併用することで安心感は向上するが、「もう安全！」とは誰もいってくれない
……攻撃も防御も進化しつづけてるので

「それは修正済み」、ソフトメーカーが脆弱性情報公開中止を要求 [ITmedia]

「ディスプレイにパスワードを貼っても安心です」――NTTアイティが管理ソフトを販売 [IT Pro]
これだったらUSBキーでいいんじゃとか思ってしまったけど（ぉ

COPYコマンドを使ったデータ隠し [B-) の独り言]

2007年12月07日のセキュリティホール情報 [NetSecurity]
2007年12月10日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 12/7

マイクロソフト、12月の月例パッチを予告--7件のパッチを公開へ [CNET]
12月の月例パッチは7件、IEの深刻な脆弱性に対処 [ITmedia]
2007年12月のセキュリティリリース予定 [日本のセキュリティチームの Blog]
月刊Microsoft Update今月号の話
7件中、緊急が3件の模様
12/12（日本時間）発行を、震えて待てっっっっっ！！

3年前のウイルスが再流行、ソフォスが警鐘 [@IT]

Scan二誌横断特集：アジアのセキュリティ動向　韓国の国際セキュリティカンファレンス POC2007 に参加してみた（1） [NetSecurity]

最新仕様「OpenID 2.0」が公開 [@IT]

カナダのパスポート申請情報、単純なURL書き換えで丸見えに [ITmedia]
イトウ級

セキュリティモデルを構成する3つのコンセプト [@IT]

データ復旧会社が明かす--2007年ハードウェア破損珍事件簿 [CNET]
USBスティックを洗濯物といっしょに洗濯機に入れ、「すべてのデータを洗い流してしまった」と語った
誰が上手いこと言えと
科学者が実験中に外付けハードドライブの上に酸をこぼしてしまい、重要データを溶かしてしまった
プラッタはそれなりに無事だったんだろうな……と思いたい
事務所が火事になり、2、3枚のCDだけが焼けずに残ったが、それらはケースの中で溶けてしまっていた
焼けずに？
科学者が、ハードドライブが立てる読み込み音にいら立ち、ドライブのカバーにドリルで穴を開け、そこに油を流し込んだ。その結果、読み込み音は止まったが、同時にハードドライブ自体も止まってしまった
これはまだサルベージできそうな事例だけど……科学者（遠い目）
Kroll Ontrackによると、破損したハードウェアに保存されていたデータはすべて復旧したという
！！！

増大するサイバー諜報活動の脅威 - McAfee調査 [MYCOM]
……ECHELON

企業の情報漏洩対策、最大の課題は従業員の意識改革 [COMPUTERWORLD]
企業側にしても、ポリシー作って満足しちゃってること多いような……（ぉ

Winny流出の傾向と対策 第1回：かろうじて「イタズラ」で済んだキンタマ系ウイルス [INTERNET Watch]
INTERNET Watchはnyを絶賛応援中ですｗ

2007年12月06日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 12/6

Windows Vista SP1のリリース候補版が公開、来週には一般公開も [INTERNET Watch]
Microsoft，「Vista SP1」「Windows Server 2008」「XP SP3」のRC1をリリース [IT Pro]

OpenOffice.orgに脆弱性、修正パッチが公開 [ITmedia]
昨日貼ったのってセキュリティアップデートだったんだ（ぉ
……で、日本語版はいつ？

通信プロトコル「SIP」での既知の脆弱性まとめた報告書を公開 [CNET]

2007年はウイルス激増、50万件で過去20年分に匹敵 [IT Pro]

オンラインでの政治献金にひそむセキュリティ・リスク [IT Pro]

盗まれたカード情報がネットに大量掲載 [ITmedia]

「1万7000円のはずが27万円!?」、ネットの「ぼったくり商法」に注意 [IT Pro]

ゆうちょ銀行を装った不審な通知にご注意ください：ゆうちょ銀行 [インフラ管理者の独り言（はなずきん＠酒好テム管理者）]

2007年12月05日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 12/5

MS、「Windows XP Service Pack 3」のテストを拡大 [CNET]

Windows Vista SP1 パブリックベータは12月スタート？ [Engadget Japanese]
スピードアップは諦めたので、Aeroからクラシックに変更してとりあえず普通の速度っぽい感じで動くようにしてます（ぉ
なんかオフにしたらしたで、他のとこに影響あるようなこと聞いたことあるけど気にしない方向で（ぉ

QuickTimeの脆弱性を突く攻撃出現、修正版はいまだに公開されず [IT Pro]

Second Lifeでリンデンドルが盗難の恐れ--ハッカーが指摘 [CNET]
拝観料自動徴収システム？（違

ウェブマネーの不正利用は「幻の魚イトウ」級 [ockeghem(徳丸浩)の日記]

ソニー、SonicStage CPの脆弱性を修正 [Engadget Japanese]

「Trojan-Downloader-Zlob」が1位に--ウェブルート・スパイウェアランキング [CNET]

「スピア型攻撃」「ボット」聞いたことない人が6割、IPA調査 [INTERNET Watch]
スピア型攻撃の方は広まらなくてもいいと思われ（ぉ

認知度高まれどもなお被害、ワンクリック詐欺 [@IT]
「絶対に払わないで！」——4％のユーザーが「架空請求」に支払い [IT Pro]
ワンクリック不正請求の金銭被害は3.8％、17.3％がウイルス感染 [ZDNet]

「怪しいサイトにアクセスしなければ大丈夫」はもう甘い [@IT]
もう甘いというか、そもそも何を持って怪しいって言うんでしょうね……

PKIよくある勘違い(10)「正規の証明書でやっているので警告が出たとしてもそれは安全だ」 [高木浩光＠自宅の日記]
オレオレ警告を無視させている大学 [高木浩光＠自宅の日記]

「UPKIイニシアティブ」でサーバ証明書発行プロジェクト [高木浩光＠自宅の日記]

グーグル、ユーザーに悪質なサイトの報告を呼びかけ [ZDNet]
……asahi.comとか？（激ﾏﾃ

Yahoo!メールが「なりすまし」対策強化 - セーフティーアドレス無料開放も [MYCOM]

詐欺的ソフトの日本語版に引き続き要注意、ウェブルート11月度調査 [INTERNET Watch]

XSSはブラウザ上でスクリプトが動き、CSRFはサーバー上でスクリプトが動く [ockeghem(徳丸浩)の日記]
クイズ:XSSとCSRFはどこにありますか? [ockeghem(徳丸浩)の日記]
XSSとCSRFの違い早わかり [たぬきん貧乏日記　～No Worry, No Hurry. Eat Curry!～]
XSSとCSRFの簡単な説明について取りざたされているようです [hoshikuzu | star_dust dairy]
後で読む
（追記）
ＮＨＫのパソコン教室の番組を昨日みましたが、フリーソフトのダウンロードの仕方を間違って説明していました。なんでもかんでもＯＫボタンを押させている。恐るべし（hoshikuzu | star_dust dairy）
……ぇ？

Office向けパッチの適用失敗の原因をログ・ファイルから解明する [@IT]

人気サイトを騙った攻撃に注意 [NetSecurity]

「今年もそんな季節になりました」、偽クリスマスカードが出現 [IT Pro]
主人がオオアリクイに襲われて、もう2年になりました（ﾅﾆ?

「攻撃のターゲットはWeb」 - 2007年のセキュリティトレンド [MYCOM]

学校や行政のWeb乗っ取りを狙うポルノサイト [NetSecurity]

IEとFirefox、どちらが安全？　セキュリティ担当者がブログで火花 [ITmedia]

Google「Android」のセキュリティ [IT Pro]

DNS、管理者として見るか？ 攻撃者として見るか？ [@IT]

目に見えないフィッシングの罠 [IT Pro]

巨大ボットネット構築の容疑者が逮捕--100万台超のPCを不正操作か [CNET]

MI5、中国によるサイバー犯罪に警鐘 [COMPUTERWORLD]

JPEGファイルによる情報漏洩の可能性について [ardarimの日記]

「『Winny』以外のファイル共有ソフトも危険」——IPAが警告 [IT Pro]

英会話学校Gaba、33,445人分の生徒情報含むノートPC紛失 [INTERNET Watch]

2007年12月03日のセキュリティホール情報 [NetSecurity]
2007年12月04日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 11/30

「携帯電話爆発で男性死亡」は濡れ衣、同僚を逮捕 [Engadget Japanese]
昨日貼ったときにタイトル変えといて正解でした（ぉ

Firefoxパッチに早くも不具合発覚、再リリースで修正へ [ITmedia]

@niftyメールの迷惑メール判定機能に不具合、一部メールは消失も [INTERNET Watch]

「Googleポイズニング」攻撃第2波の兆し？ [ITmedia]
“Googleの上”で覇権を握る手段はこれだ——最前線の研究者が議論 [IT Pro]
Googleが検索結果問題に対処、マルウェア・サイトを大量削除か [COMPUTERWORLD]

「セキュリティの王道をきちんとやっていく」--マイクロソフト [ZDNet]

マイクロソフト製品で発見される脆弱性が2006年から「急増」 [CNET]
興味をもって調べる人が増えてきた……ってことなんだろうな
いいにしろ、悪いにしろ

偽サイトを見破る（1）：ブラウザーのアドレスバーや鍵マークを確認 [IT Pro]

現役ペンテスト技術者が選ぶ 使えるセキュリティツール(12)「John the Ripper」 [NetSecurity]

スパイウエア・オークションの物色 [IT Pro]
興味深い

2007年11月29日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 11/29

IBM、Lotus Notesの深刻な脆弱性を修正 [CNET]

せめて、ハードディスクの最期はこの手で…… [@IT]
「また上（ry」でお馴染みの上野氏の記事
ハードディスクを電子レンジに入れるとデータが消えるという都市伝説
都市伝説って訳じゃなくって、基盤上のチップ類をガッツリ殺せます（プラッタ上の磁気情報は？だけど）
マップにCrushBox使ったHDD破壊サービスがあるのは知らなかったので憶えとこ

韓国で携帯電話のバッテリが爆発か？--男性が死亡 [CNET]
今朝のNHKのニュースでもやってましたね

「友達から届いたYouTubeビデオ」に要注意、人気便乗スパム相次ぐ [ITmedia]

Google検索結果からマルウェア・サイトに誘導する手口が発覚 [COMPUTERWORLD]

147銀行の4分の1にフィッシング対策で問題あり、URLを表示せず [IT Pro]
オレオレ証明書推奨銀行まであるしね……（遠い目）

仮想環境のセキュリティを高めるインテルTXT [IT Pro]

PacSec主宰Dragos氏インタビュー～ ファイアウォールの背後にあるアプリケーションが標的に [NetSecurity]
ネクタイがグフの人のインタビュー記事

従来の闇ビジネスより割がいい？　サイバー犯罪の実態 [@IT]

Windows Server 2008が「検疫」のハードル下げる [@IT]

シマンテック、ステルス性の高いボット専用対策ソフト [@IT]
あなたのPCが“重い”のは、オンライン犯罪に協力しているから？――「ノートン・アンチボット」発表会 [ITmedia]
……特化したということは、総合的な動きをするノートン先生のほうでの対応はそれなりにってレベルで落ち着くってことかな？（ぉ
あなたのPCが“重い”のは、オンライン犯罪に協力しているから？
……ノートン先生入れてるからかも（激ﾏﾃ

アマゾン、顧客情報データの連邦捜査当局への提出を拒否 [CNET]

講談社社員が慶應大生を名乗りアンケートを漫画ブログ運営者に送付 [INTERNET Watch]

2007年11月28日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 11/28

Lotus Notesに深刻な脆弱性 [ITmedia]

トロイの木馬「Trojan.Farfli」，狙いはアフィリエイトでの金銭獲得か [IT Pro]

“big business”化するスパム、ボットの役割分担は「アルカーイダ並」 [INTERNET Watch]
もっと大きな問題は、マフィア組織がゾンビを管理しているという事実だ
ここ重要

サイバー犯罪の手口は洗練されてきている [IT Pro]
てっしーの丸出し経由
確かにネクタイがグフ

SANS、2007年セキュリティ危険度ランキングのトップ20を発表 [ZDNet]
セキュリティリスクはOSからアプリ、サーバからクライアントへ - 米SANS報告 [MYCOM]

セキュリティの経験不足を人的ネットワークで補う [IT Pro]

ユーザーアカウント制御で危険な操作を防ぐ [IT Pro]

グローバルサイン、SSLサーバ証明書がNTTドコモの携帯電話に対応 [CNET]

「Macに媚びるやつらが嫌い」、Macファンの人気ブログがハッキング被害に [ITmedia]

都教委「個人情報含むメールも会話も禁止」新基準作成へ [産経新聞]
てっしーの丸出し経由
会話を禁止って……今日ってエイプリルフールだっけ？（ぉ

のぞき見：情報流出の巡査長、停職中に女性の部屋を [毎日新聞]

2007年11月27日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 11/27

QuickTimeのゼロデイ脆弱性は「極めて危険」 [ITmedia]

「Firefox 2.0.0.10」公開、脆弱性3件を修正 [INTERNET Watch]
とのことなので、利用者の方はよろ

オレオレ警告の無視が危険なこれだけの理由 [高木浩光＠自宅の日記]

深刻度を色分け表示--脆弱性対策情報データベース「JVN iPedia」が刷新 [CNET]

「excel」「vpn」などキーワード検索でマルウェアサイトに誘導 [ITmedia]
……まぁ、excelとかだけじゃなくって、＋邪なキーワードが付属する訳ですが（ｗ
nyで静的なヤツばら撒いたら結構感染するんだろうな……とか考えてみれば、極自然なやり方なのかなとも思ったり

気づかないまま1年…こっそり仕掛けられるキーロガーの脅威にご注意 [ZDNet]

感染「後」の集中対処で未知のウイルスに対応したJTB [@IT]
「クリスマスに600台のウイルス退治」、JTB情報システムが事例紹介 [IT Pro]
「従来のウイルス対処法はもはや通用しない」，大規模感染を経験したJTBが現場の苦労を披露 [IT Pro]
後で読む

メールの内容を無条件に信用できなくなった メールによる誘導攻撃には広い視点の対策が必要 [@IT]

“闇サイト”など違法・有害情報の対策強化へ、総務省が検討会を開催 [INTERNET Watch]
海外の鯖に置かれたら意味ないけどね（ぉ

ISPのフィルタリング導入が進まないのは「ユーザーのニーズないから」 [INTERNET Watch]
Googleとか使うときもフィルタリングは基本的に外してるし（ぉ

2008年はWindows Vistaへの攻撃が本格化――McAfeeが予測 [COMPUTERWORLD]

「Microsoft Officeのゼロデイと悪いヤツら」というタイトルでPacSec.JPのひとコマを話す事になりました [日本のセキュリティチームの Blog]

2007年11月26日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 11/26

QuickTimeにまた新たな脆弱性、実証コードも公開 [ITmedia]

ドメイン名の更新を促す「不気味な明朝フォント」の通知に注意 [INTERNET Watch]

iPod touchでオレオレ警告が出たとき「□」ボタンを押してはいけない [高木浩光＠自宅の日記]

DNS Rebinding [徳丸浩の日記]
a threadless kite - 糸の切れた凧経由

CSEに聞く失敗しないセキュリティ商品選び（2）パッケージを組み合わせていると、効率悪化も [NetSecurity]

オンラインのプライバシー管理が甘い若者たち [ITmedia]

「Leopard」対「Vista」--子どものネット利用管理をめぐる戦いの勝者は・・・保護者 [CNET]
フォトレポート：子どものネット利用を管理しやすくなった「Leopard」と「Vista」 [CNET]

子どものネット安全保護団体に対する補助金をめぐって論争--米議会 [CNET]

匿名化ツール『Tor』：重要情報を公開した研究者に、当局の家宅捜査 [WIRED VISION]

総務省 住民情報の持ち出し禁止へ? [まるちゃんの情報セキュリティ気まぐれ日記]

セキュリティ風味なニュース 11/22

今も新規開発され続けるPHP 4アプリケーション [ockeghem(徳丸浩)の日記]

マイクロソフト11月のセキュリティ・アップデート [IT Pro]

圧縮・展開ソフト「Lhaplus」に脆弱性、最新版にアップデートを [INTERNET Watch]

最新スパムをリアルタイム検知、ソフォスが新技術 [@IT]

Torの不正ノードで中間者攻撃 [ITmedia]

CAPTCHA認証破りの手口 [IT Pro]

人気転職サイト、不正コード挿入で一部ダウン [ITmedia]

ゲーム関連サイトに危険な“わな”、パスワードを盗まれる恐れ [IT Pro]

「ネットワークの詳細を教えてください」——怪しいメールにご用心 [IT Pro]

不正アクセスの検知件数など減少傾向、警察庁ネット治安情勢 [INTERNET Watch]

「統合型セキュリティ製品は“幻滅期”にさしかかっている」，ガートナー石橋氏が市場を分析 [IT Pro]

ガートナーが提言「CIO経験者をCEOに」 [@IT]

米McAfee、オランダの暗号化製品企業SafeBootを買収 [INTERNET Watch]
まっちゃだいふくの日記★とれんどふりーく★経由
ぉ

英政府による史上最大の個人情報紛失--被害2500万人で歳入関税庁長官が辞任 [CNET]

CIAの「テロリスト・バスターズ」ロゴ [WIRED VISION]
……（茫然自失）…………嘘だといってよ、バーニー！！！（血涙）
手に持ってるAK47らしき銃、ありえない位置に付いてる銃剣代わりのシミター、しかも何故か笑顔……センスが斜め上方向に爆発してます、必見

2007年11月21日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 11/21

Apple Mailのセキュリティ問題がLeopardで「復活」 [ITmedia]

「お前の電話を盗聴している」、新手の脅迫マルウェアが出現 [ITmedia]
手口的にはそんなに新しくないけど

企業の特定個人を狙った電子メール攻撃--米司法省などを名乗る [CNET]
同じく手口的にはそんなに新しくないけど

正規銀行サイトで入力した個人情報を奪う「Man in the Browser」攻撃 [INTERNET Watch]

タイプミスを狙う「紛らわしいサイト」に注意、「12万件以上を確認」 [IT Pro]
「iPhone」使ったURLは8000件超に--“タイポスクワッティング”にご用心 [CNET]

『BIND』の設定に注意、再帰問い合わせの許可は危険 [japan.internet.com]
まっちゃだいふくの日記★とれんどふりーく★経由

現役ペンテスト技術者が選ぶ 使えるセキュリティツール(11)「PwDumpシリーズ」 [NetSecurity]

IPAが設立3周年のSECの成果発表、今後の課題は成果物の普及 [IT Pro]
「3年でプロジェクト・データ1700件は上々」，IPAソフトウェア・エンジニアリング・センターが3年の成果を総括 [IT Pro]

Vistaが備えるセキュリティの新機能 [IT Pro]
なんでも管理者アカウントから実行しちゃうようになっちゃわないか不安ですけど（ﾏﾃ

「情報入力させるサイトはSSL対応とするべき」が半数に--ベリサイン調べ [CNET]

2008年はVistaやWeb 2.0ユーザーへの攻撃が増加 [COMPUTERWORLD]

OpenIDをとりまくセキュリティ上の脅威とその対策 [@IT]

米標準技術局推奨の決定論的乱数生成子、Dual_EC_DRBG法には米情報機関のバックドア付き？ [Technobahn]
わはー

従来のセキュリティ対策を超えるWebレピュテーション機能とは？ [@IT]

チャイルドシートの新基準と安全な使い方 [MYCOM]

メイドさんを操る“怪人”が大阪を侵略 「イイィ！」 [ITmedia]
たーすーけーてー、のーとんふぁいたーーー（棒読み）
ちなみに赤と青が具体的に何を指しているのかを考えるのはやめておこう。PC環境だけでなくいろいろなことが危うくなってしまう
……ｗ;;;;;;;;;;

英財務省関連組織、国民の個人情報を紛失 [CNN]
件数も豪快

2007年11月20日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 11/20

Windows HotFix Briefings ALERT セキュリティ情報 ― 2007年11月版 [@IT]
月刊Microsoft Update今月号の話題

SafariにHTTPから同じドメインのHTTPSにアクセスできる脆弱性 [ZDNet]
対策として、最新版にアップデートすればよいとのこと

MSN Messengerでトロイの木馬が感染拡大 [ITmedia]

YouTubeかたるマルウェア出回る [ITmedia]

パスワード・ポリシーについて――“長さ”か“複雑さ”か [IT Pro]

EV SSL証明書でユーザーの信頼回復 [@IT]
「『緑色のバー』は効果あり」、ベリサインが「EV SSL」の利点を強調 [IT Pro]

VoIP、仮想化……McAfeeが予想する2008年の脅威トップ10 [ITmedia]
アドウェアの減少って脅威……なの？

最新のマルウェア動向とその対策 [まっちゃだいふくの日記★とれんどふりーく★]
メモ

「あなたは大丈夫？」、社員の5割はメールの誤送信を経験 [IT Pro]

Citrixおよびリモート･デスクトップのセキュリティに対する警告 [IT Pro]

ノート・パソコンからの情報漏えい（前編） [IT Pro]
HDD暗号化してなかったら、ここに書いてある以外にもいろいろできますけどね（遠い目）

漏らしちゃいけないデータの漏らし方 [３流（技術屋 and 本読み）]
ny使って漏らすときには、キャンタマ系のそれっぽいファイル名つければさらにぎゅー（黙れ

アップル、iPhoneのIMEI番号をひそかに収集していたとのうわさ [CNET]

自衛官採用試験の受験者730人の個人情報を誤公開 [INTERNET Watch]

ソフトバンクモバイル、ファイル交換ソフト経由で顧客情報リストが流出 [CNET]

ファイル交換ソフト、利用者の4割は PC に個人情報などの機密事項あり [japan.internet.com]
インフラ管理者の独り言（はなずきん＠酒好テム管理者）経由
侈

個人情報漏洩に脅威を感じつつも自己防衛策に限界、日本ベリサイン調査 [INTERNET Watch]

2007年11月19日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 11/19

Firefox、XSSの脆弱性修正パッチを近く公開へ [ITmedia]

こんな銀行は嫌だ――オレオレ証明書で問題ありませんと言う銀行 [高木浩光＠自宅の日記]
オレオレ証明書の区分 第三版 [高木浩光＠自宅の日記]
預金がどうなっても構わないってことなんじゃないかと
被害が出たら、外注が悪いって言うのも予想できるし

続・ユビキタス社会の歩き方(5) Windows以外の無線LAN機器の場合 [高木浩光＠自宅の日記]
家庭の無線LANでのSSIDの名付け方 [高木浩光＠自宅の日記]

バーチャルマシンのハイジャックの可能性 - Black Hat Japan 2007 [MYCOM]
感染能力を増したハイブリッドWebワーム - Black Hat Japan 2007 [MYCOM]
脆弱性を発見するFuzzingの欠点を補う「Sulley」 - Black Hat Japan 2007 [MYCOM]
Blach Hat Japan 2007特集ｷﾀ！

禁じ手7　迷惑メール対策を怠るべからず：メールのついでにウイルスもフィルタリング [IT Pro]

Trendmicroという会社のポリシーなんでしょうね [まっちゃだいふくの日記★とれんどふりーく★]
興味深い

2006年度の「ネットいじめ」は4,883件、文部科学省調査 [INTERNET Watch]

娘の自殺は「ネット上の架空人物にも原因」　米の両親 [CNN]

モバイルSuicaの不正利用……じゃあEdyは？ [ITmedia]

「携帯からの漏えいも食い止める」、チェック・ポイントCEOに聞く [IT Pro]

50万台のDBサーバがファイアウォールを未搭載――専門家の調査で判明 [COMPUTERWORLD]

IBM、RationalブランドのWebアプリ脆弱性スキャン・ソフトを発表 [COMPUTERWORLD]

ドイツ人男性、第二次世界大戦時の暗号解読機Colossusを下す [CNET]

Flash Playerのバージョンを調べる [@IT]

米下院、政府監視プログラムの不正協力企業の免責を否定する法案を可決 [CNET]

負のイメージ払拭に挑む日本郵政グループで起きた情報紛失 [IT Pro]
……日本史上「改革」とうたわれてるものって、ほとんどアレな結果に終わったりするんで（ぉ
良くしようと思ってやったけど意固地になってアレな結果になったり、そもそもよくしようと思っていないことをやっちゃったりの大体2パターン？

ソフトバンク、ファイル共有ソフトで携帯番号などの顧客情報流出 [INTERNET Watch]

オーバーチュアの顧客情報がWinnyに流出、二次被害防止のため詳細非公表 [INTERNET Watch]

2007年11月16日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 11/16

アップル、Mac OS X 10.5.1公開--Time MachineやFinderを修正 [CNET]
Leopard初のセキュリティアップデート、ファイアウォール問題に対処 [ITmedia]

マイクロソフト、Vista SP1 RC版をテスターに向け配布 [COMPUTERWORLD]
Windows Vista SP1 RC Preview がアンヴェール [barlog]

Windows XP SP3 RC1 も脱ヴェール [barlog]

5割強が他人の無線LANに「ただ乗り」 [ITmedia]
WEPくらいはやってあるとこ多いような気がするけど＞日本

私的録音録画小委員会中間整理に対する意見 [高木浩光＠自宅の日記]

「マルウエアを専用装置で捕獲、挙動を解析」——IIJが新システム [IT Pro]
ISPはマルウェアの実態をつかめていないのか：IIJのマルウェア捕獲計画 [ZDNet]

Vista で証明書をローカルコンピュータに配置する方法 [X-WORKS]

見えないネットいじめ　「パケット定額と時期重なる」 [ITmedia]

英ブラウン首相、テロ対策でネット検閲強化の方針 [Technobahn]

2007年11月15日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 11/15

アップル、「Mac OS X 10.4.11」公開--Safari 3正式版やセキュリティパッチも [IT Pro]

Windows XP標準添付のサードパーティ製ドライバの脆弱性を塞ぐ [INTERNET Watch]

デスクトップが乗っ取られるとき [IT Pro]

発見不能！OSの下で動作するルートキット（前編） [IT Pro]

「日本にハッカーなんていない」(1)マーケット的観点から考える [yahoo/Scan]
a threadless kite - 糸の切れた凧経由
ここで言う「ハッカー」はいわゆる「クラッカー」のことなんだけど……ホントに？とか言ってみたくなりますね

禁じ手6　ワンクリック詐欺をあなどるべからず：無視して満足しているとウイルス感染の危険がある [IT Pro]

エンドポイント・セキュリティ対策の勘所［後編］ [COMPUTERWORLD]

企業間で共有される知的財産、セキュリティ対策は不十分 [COMPUTERWORLD]

「不正アクセス」の定義をご存知ですか？ [IT Pro]

マカフィーによる、機密情報の部分コピーも改ざんも見逃さない情報漏えい対策（2）　McAfee DLPのタネと仕掛け [@IT]

産官学連携で人材育成を目指す--情報セキュリティ教育事業者連絡会が活動発表 [ZDNet]

乱立するセキュリティ資格に共通の土俵を――業界団体が活動開始 [@IT]

VeriSignが一部事業から撤退へ，レジストリ管理と証明書発行に注力 [IT Pro]

「サイバーテロ対策に終始した従来の政策は失敗だった」，山口情報セキュリティ補佐官が明かす [IT Pro]

高リスクの脅威が3つ--どうする日本の電子投票 [IT Pro]

YouTubeが中国で接続不能に--メディアは報じずともブロガーたちが大反応 [CNET]

2007年11月14日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 11/14

今日（日本時間）は、月刊Microsoft Updateの発効日です

iPhoneとiPod Touchのセキュリティアップデート公開 [ITmedia]
ただしiTunes経由でのみ配信……製品の特性上、ダウンロードサイトなんかも利用できてもいいような気がしますけど

Skypeで偽のセキュリティ警告、個人情報や金銭狙う [ITmedia]

「e総務.com」に不正アクセス、十数種類のウイルスに感染の恐れも [INTERNET Watch]

Macに感染するトロイの木馬、配布サイトがまた出現 [ITmedia]

合法サイトに偽セキュリティソフト広告――DoubleClickネットワークで発生 [ITmedia]

ルートキットの分類を再考 [IT Pro]

禁じ手4　Windows Updateで満足すべからず：アプリケーションの穴がウイルスの標的に [IT Pro]
禁じ手5　サイトの見た目で油断すべからず：ネット上には無害を装う危険なサイトがいっぱい [IT Pro]
満足って言うか、それすらやってない人結構いますよ（TT＞禁じて4

出荷状態のままで使用するユーザーもいるんです！ [@IT]
いわゆる情報家電のセキュリティ話
タイトルに関して言うなら、それが多数派なんじゃないかと思ったり（ぉ

CIO任命企業の半数が「役割が不明確」と回答、経産省が情報処理実態調査を公表 [IT Pro]
名誉職兼天下ラー用ポストだったりするんだろうかorz

J:COMがボット対策プロジェクトに参画、感染者にメールで告知 [INTERNET Watch]

中国に拠点を移したロシアのハッカー集団が再び潜伏 [COMPUTERWORLD]
昨日貼ったやつの続報風味

2007年11月13日のセキュリティホール情報 [NetSecurity]

月刊 Microsoft Update 2007年11月号

いつものごとく、月刊Microsoft Update、出てます
今号のラインナップは、緊急1本・重要1本の計2本となっています
今回はちょっち少なめだけど、きっちりしっかり当てておましょう

Windows URI 処理の脆弱性により、リモートでコードが実行される (943460)(MS07-061) [緊急]
対象は、Windows XP/2003
Windowsシェルが悪意のあるURIを十分に確認しない場合、攻撃者によりこの脆弱性が悪用され任意のコードを実行される可能性があるとのこと
MSではIE7上でのみ実行されることを確認しているとのことですが、脆弱性自体はShell32.dllに存在しているらしい

DNS の脆弱性により、なりすましが行われる (941672)(MS07-062) [重要]
対象は、Windows 2000/2003の各Server Edition
悪意のあるDNSリクエストの送信により、攻撃者によってなりすまし攻撃等が可能になるとのこと

＜更新＞
Virtual PC および Virtual Server の脆弱性により、特権の昇格が起こる (937986)(MS07-049) [重要]

＜付録＞
Microsoft® Windows® 悪意のあるソフトウェアの削除ツール (KB890830)
恒例の付録、其の一

2007 年 11 月 セキュリティ リリース ISO イメージ
恒例の付録、其の二

＜関連＞
11月のセキュリティリリース [日本のセキュリティチームの Blog]
MS月例パッチ公開、Windows URI処理の脆弱性に対処 [ITmedia]
Microsoftの11月定例アップデート，「URIハンドラ問題」を修正 [IT Pro]
MS、11月の月例パッチを公開--「緊急」は1件 [CNET]
11月のマイクロソフトセキュリティ更新を確認する [INTERNET Watch]

セキュリティ風味なニュース 11/13

明日（日本時間）は、月刊Microsoft Updateの発行日です

WSUSに障害報告――MS月例パッチ公開直前に [ITmedia]
やってくれるなぁ……（遠い目）

Windows XP Service Pack 3のFAQ [IT Pro]

「Firefox」にクロスサイトスクリプティングの脆弱性 [ZDNet]
Firefoxの脆弱性、GoogleのXSS問題に波及 [ITmedia]
脆弱性については既報のjarを含むURLに細工できるってヤツだけど、NoScriptで対応できるって書いてあるんで貼っとく
（NoScript 1.1.8 "JAR Jammer"に関しては、昨日既にSoftware Updateで既報ですが）

定番圧縮・解凍DLL「UNLHA32.DLL」「UNARJ32.DLL」などに脆弱性、修正版が公開 [窓の杜]

「Sleipnir」に任意のスクリプトが実行される脆弱性 [ZDNet]
利用されてる方は、最新版のSleipnir 2.6・Grani 3.1にそれぞれアップデートすること

「政府のサイトでウイルス感染？」悪質サイトへ誘導する手口が横行 [IT Pro]

「YouTube」の偽サイト出現、ウイルスをFlash Playerに見せかける [IT Pro]

イスラエル人研究者、Windowsの乱数発生機能のメカニズムを解読 [Technobahn]

メモリー上のデータを見えなくする（後編） [IT Pro]

禁じ手2　警告画面を無視すべからず：何でも「OK」ボタンを押すのは命取り [IT Pro]
禁じ手3　安易にダブルクリックすべからず：ファイルは開く前にいったん保存・確認すべし [IT Pro]
基本的な話のような気もしますが
……OKボタン以外のボタン押しても結果は同じっていう悪辣なのもありますけどね（ﾎﾞｿ

エンドポイント・セキュリティ対策の勘所［前編］ [COMPUTERWORLD]

あなたのメールは安全ですか？ [IT Pro]
これも基本的な話のような気がするけどメモ

情報秘匿のための共有鍵暗号 [IT Pro]

米国海軍の侵入検知システムプロジェクトの終焉 [ZDNet]

アメリカ的オタクパワーによるテロリスト捜査 [On Off and Beyond]
GIGAZINE経由

セキュリティ専門家が25万台のボットPCを悪用、最大で禁固60年 [IT Pro]

ロシアのサイバー犯罪者集団「RBN」、サイトが突然の閉鎖 [CNET]

米国全日空商事の通販サイトが改竄、日本顧客113人の情報流出の恐れも [INTERNET Watch]

北海道方面の教育現場が心配です [インフラ管理者の独り言（はなずきん＠酒好テム管理者）]
せんせーも大好き、Winny！orz

2007年11月12日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 11/12

画像投稿プログラム「updir.php」にクロスサイトの脆弱性--JVNなどで警告 [ZDNet]

安定性の向上とセキュリティ修正、PHP 5.2系最新版登場 [MYCOM]

Webサイト4万ページに不正スクリプト　トルコのMSNBCも感染 [ITmedia]

進化を止めないマルウェア - 増殖→変異を繰り返すボットの現状 [MYCOM]
メモリー上のデータを見えなくする（前編） [IT Pro]

禁じ手1　ウイルス対策ソフトを過信すべからず：パターン・ファイルで検出できないウイルスが増加 [IT Pro]

「私は探偵、あなたを盗聴しています」、芝居がかったウイルスメール [IT Pro]
不自然極まりなかったりしますが（ぉ

約1年で1000万円――モバイルSuicaの不正利用はなぜ起きた？ [ITmedia]

「違法性が怖くてイノベーションができるか」？ 著作権法と電波法の場合 [高木浩光＠自宅の日記]
PlaceEngineの落とし所について考えてみる [高木浩光＠自宅の日記]

GPhone対iPhone：セキュアなのはどっち？--さっそく議論が勃発 [ZDNet]

シーゲート社製外付けハードディスク、台湾でウィルスに感染したまま出荷 [Technobahn]

個人情報漏えい事件を斬る(114)「公」の視点から考える迷惑メール対策の費用対効果 [IT Pro]

国際的なID情報の不正オンライン売買で米社と個人を摘発 [IT Pro]

2007年11月09日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 11/9

マイクロソフト セキュリティ情報の事前通知 - 2007年11月 [Microsoft]
11月のMS月例パッチは2件、緊急は1件のみ [ITmedia]
今月の月刊Microsoft Updateの発行日は、11/14（日本時間）となってます
今回はOS周りの2件だけっぽいけど、緊急も1件あるのでちゃんとやっておきましょう

Firefoxに脆弱性、投稿サイト使い悪用の恐れ [ITmedia]
未パッチの脆弱性
とりあえずは、jarを含むURLをファイアウォール等を使って遮断すること等によって対応できるとのこと

モバイルスイカ：偽名繰り返し登録　1枚のカード悪用 [毎日新聞]

個人所有パソコン使った自宅業務が常態化，求められる勤務先のサポート [IT Pro]

2007年11月08日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 11/8

Windows付属ドライバの脆弱性突く攻撃発生、Macrovisionがアップデートで対処 [ITmedia]

「Lotus Domino」にクロスサイトスクリプティングの脆弱性、IPAが警告 [INTERNET Watch]

初音ミクＳＮＳ「はつねぎ」にウィルス混入の件。 [インフラ管理者の独り言（はなずきん＠酒好テム管理者）]

UTF-7とクロスサイトスクリプティング [openmya.hacker.jp]
各所経由
カーソルキーで動作します

グーグルの「Android」はウイルスの標的になるか？ [CNET]
当然なりうるでしょう、魅力的なプラットフォームだし

Black Hat Japan 2007 Briefings 潜入レポート 今そこにある現実的な脅威「DNS RebindingとソケットAPI」 金床氏 [NetSecurity]

北洋銀カード偽造、中国銀・群馬銀事件と同一犯か [朝日新聞]

クレジットカード向け新セキュリティ標準が策定へ [COMPUTERWORLD]

「サイバー聖戦」の攻撃技術、犯罪組織に遠く及ばず [ITmedia]

米大統領選候補者の名をかたるスパムメール [ITmedia]
音声スパムや地球温暖化に絡めたスパムが登場、シマンテック月次レポート [INTERNET Watch]
大統領選も環境保護もスパムに利用――10月の動向報告書 [ITmedia]

脆弱なホストを狙った不正中継を見抜く [@IT]

Aircrack-ngの「wesside-ng」を試してみるテスト [にわか鯖管の苦悩日記]

NTT西日本兵庫支店、顧客情報387件の入ったファイルがWinny流出 [INTERNET Watch]

10月のぜい弱性情報＜追加情報＞ [IT Pro]

2007年11月07日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 11/7

Windows 上の Macrovision SECDRV.SYS ドライバの脆弱性により、特権の昇格が行われる (944653) [Microsoft]
まっちゃだいふくの日記★とれんどふりーく★経由
XP/2003/Vistaに同梱されているらしいですが、Vistaでは影響なしとのこと

Leopardのファイアウォール問題でUS-CERTが注意喚起 [ITmedia]

「YouTube」かたったワンクリックウェア配布を確認 [ZDNet]

Macユーザーを狙うウイルスの亜種が続出 [IT Pro]

ウイルスに留まることのないボットの暗躍 [Trend Micro Security Blog]
各所経由
TROJ_CAPTCHAR.A による攻撃シナリオについては、ちょっと感動した……よく考えつくな～

ウイルス被害の分散化傾向がさらに顕著に、トレンドマイクロ10月度調査 [INTERNET Watch]

ウイルス感染ルートのほとんどがウェブの脆弱性を悪用 [ZDNet]

ソーシャルエンジニアリングとウェブを組み合わせた手法も [ZDNet]

位置特定につながるSSIDの割合は約17% （東海道新幹線沿線2007年8月調べ） [高木浩光＠自宅の日記]

hiddenフィールドの典型的な誤用(2) [ockeghem(徳丸浩)の日記]

間違いメール [TOTOROの自堕落日記]
笑い話というよりも寓話めいてる話……っていうか、笑うに笑えない

仮想マシン環境の意外な欠点 [@IT]

現役ペンテスト技術者が選ぶ 使えるセキュリティツール(10)「LanSpy」 [NetSecurity]

不正を見破り、紙・メール・ファイル状況変化“なし” [@IT]

セキュリティ最前線で戦うには？ [@IT]
ソフトウェアのスキル…………無いなぁ（ﾏﾃ
とりあえず前向きに戦っていく意気込みだけはありますけど（ﾀﾞﾒﾀﾞﾒ

「ネットに匿名性はない」が…… [ITmedia]
完結しているようには見えないけど、一連の記事の完結編な模様

ガイアックス、「学校裏サイト」「ネットいじめ」対策コンサルティング [INTERNET Watch]

下院外交委員会、米ヤフーの中国政府への協力について幹部を厳しく追及 [CNET]

英国警察，暗号鍵の提出要求が可能に [IT Pro]

Salesforce.comの顧客が攻撃対象の危険に，社員のフィッシング被害で顧客リスト流出 [IT Pro]

2007年11月06日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 11/6

複数の脆弱性を修正した「QuickTime 7.3」公開 [ITmedia]
利用者の方は、Apple Updateもしくはインストールよろ（iTunes 7.5にも同梱されてます）
iTunes 7.5より前のバージョンを利用されてる方は、意図的にアンインストールしていない限り旧バージョンが入っていますので同じくよろです

MS、「Windows Vista SP1」テスト版リリースについてまたもや誤った告知 [ZDNet]

「すぐに適用して！」、パッチに見せかけたウイルスが再び出現 [IT Pro]
この話題が出るたびに書いてる気もしますけど
Microsoftは一般ユーザにパッチの適用を促すメールを流すことはありません

「YouTube」経由のワンクリウェアに注意、ウェブルート報告 [INTERNET Watch]

今どきのウイルス検出（前編） [IT Pro]

最近狙われたアプリと今後注意すべき点、トレンドマイクロが指摘 [INTERNET Watch]
無差別にアタックしたい場合（ボットネットの構築、売名行為、悪戯目的 etc.）の際にはシェアの高いもの、特定部分にアタックしたい場合には、そこで多用されているものをアタック対象にする
最近話題になった例だとAdobe Readerの例は前者に、一太郎の例の場合には後者に利用しうる

予想外の出来事 [IT Pro]

ウェブアプリを狙う攻撃が増加、巧妙化--ラックが脅威動向を発表 [ZDNet]

価格詐称できるサイトはなぜ減少し、なぜ絶滅しないか [ockeghem(徳丸浩)の日記]

ユビキタス社会の歩き方(5) [重要] 自宅を特定されないようノートPCの無線LAN設定を変更する [高木浩光＠自宅の日記]
興味深い

犯罪白書：犯罪者の3割が再犯者　過去60年の犯罪分析 [毎日新聞]
この分析よりも、この分析をもってどういう結論を見出すかって方が興味深かったり（ﾏﾃ

「知識に罪はない」　“激裏情報”をめぐって [ITmedia]
このシリーズなんかアレだな～って思ったら、3Kの記事だったんですね（遠い目）

チャイニーズハッカー事情 - 愛国者から職業的犯罪者へと変貌した真相は? [MYCOM]
その昔紅客のサイトとか怖いもの見たさでガッチリ固めて逝ったことがありますが（推奨できません）、バックドアソフト（S&C）が通信用ソフトって感じにおいてあった見て吹いたことあったり

2007年11月05日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 11/5

Mozilla，バグ修正版「Firefox 2.0.0.9」を公開，Windows版のクラッシュ問題に対応 [IT Pro]

アップル、「iMac」と「MacBook Pro」のパッチをリリース [ZDNet]

Stormワームがさらに進化--研究者が警告 [CNET]

夏に猛威を振るったPDFスパムが悪質化して復活 [COMPUTERWORLD]
「PDFウイルス」が急増、ウイルスメールの6割以上に [IT Pro]

「1カ月で369件」——ワンクリック詐欺の相談が過去最多に [IT Pro]
ワンクリック不正請求相談件数が過去最高--不正アクセスは6月以来の高い数値 [ZDNet]
「安易なクリックは危険」IPAが不正請求に注意呼びかけ [INTERNET Watch]

マルウエアを野放しにするロシアのISP [IT Pro]

無線LANのMACアドレス制限の無意味さがあまり理解されていない [高木浩光＠自宅の日記]

最終回： PlaceEngineの次に来るもの そしてRFIDタグの普及する未来 [高木浩光＠自宅の日記]

hiddenのあまりにも馬鹿げた使い方 [ockeghem(徳丸浩)の日記]
hidden書き換えで単価の変更できるサイト [ockeghem(徳丸浩)の日記]

システム全体のセキュリティを考える [IT Pro]

ネットワークアクセス保護（NAP） [IT Pro]

子供のネット利用で日米に差、「日本の親はもっと関与すべき」 [INTERNET Watch]

「お前、裏サイトに載っているよ」 [ITmedia]
闇の共犯者たち [ITmedia]
インターネットだと匿名でなんでもできるって思ってる勘違いさんたちが表に出てきてるだけの気がする（ぉ
構図的には今までとまったく変わらなかったりするし

リテラシーのお値段 [PConline]

「電子ジハード勃発」報道に疑問――セキュリティ専門家らが指摘 [COMPUTERWORLD]
大衆向けメディアが発した警告は、話半分にとらえるべき
ｗ

プライバシーマークの運営要領を改正、「認定の一時停止」を新設 [IT Pro]

「ITリスクの根絶を目指そう」、シマンテック幹部が講演 [IT Pro]

セキュリティのリスクを定量化する取り組み、米IBMが明らかに [IT Pro]

現役ペンテスト技術者が選ぶ 使えるセキュリティツール(9)「xprobe2」 [NetSecurity]

ヤフーが指名手配犯の情報を掲載 [IT Pro]

ドイツ政府、テロ対策で市販ＰＣに監視用プログラムの導入を検討 [Technobahn]

2007年11月01日のセキュリティホール情報 [NetSecurity]
2007年11月02日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 11/1

InstallShieldにバッファオーバーフローの脆弱性、早期のパッチ適用を [ITmedia]

SonicStage CPのプレイリスト処理に重大な脆弱性、任意コードの実行が可能 [Engadget Japanese]

「アダルト動画を無料でどうぞ」、Macユーザーを狙う新ウイルス [IT Pro]
昨日F-Secureのブログに出てたMac用マルウェアってこれのことかな？

ボットネットが10月に送信した「音声スパム」は1,500万通 [COMPUTERWORLD]

面倒でも地道なウイルス対策こそが重要，パッチなしではたった5時間で感染 [IT Pro]
チェック表に「怪しいWebサイトでフリーソフトや画像をダウンロードした」ってチェック項目があるけど、基本的には行っただけでアウトなこともあったり（そもそも怪しいサイトってどんなん？って話もあるし）
メールの添付ファイルを開く云々の設問も、メールを開いた時点でアウトだったりするんで微妙かも
……ちょっと前のチェック表な気がしなくもないかな

「返金するのでATMに行って」NTTの料金返還を手口とした詐欺 [INTERNET Watch]
新しい手口ではないけどメモ

2007年は児童ポルノと闇サイトが深刻、デジタルアーツが動向説明 [INTERNET Watch]

セキュリティをやってるやつらは狂っている？！ [@IT]
セキュアOS話

ジャストシステムはどこへ向かっているのか [高木浩光＠自宅の日記]

社外に証明書を無制限に発行，エントラストが認証局機能付きS/MIMEメール・サーバー機 [IT Pro]

WHOISデータベースでの個人情報公開の是非、ICANNで投票 [MYCOM]

プライバシ保護団体，行動ターゲティング広告に対する「追跡拒否リスト」を提案 [IT Pro]

2007年10月31日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 10/31

一太郎plug-inをIEとFirefoxで無効に ～ ジャストシステムは本当の脅威を教えてくれない [高木浩光＠自宅の日記]
高木センセイご・立・腹
今回の件ではシェアだけじゃなくって評判まで落としたんじゃないかな＞一太郎

ニュース～言いたい放題 一太郎にセキュリティホールとは。意外: [まっちゃだいふくの日記★とれんどふりーく★]
この記事でも書かれてるけど、官公庁で根強く使われてるのって意外と知られてないっぽい
ボクにしても、その昔知人達と「何でテキスト打ってるか」って話題をしてたときに偶然知ったんだけどね（ぉ

ソニー製指紋認証機能つき「ポケットビット」付属ソフトウェアにおける脆弱性 [JVN]

Kodak Image Viewerの脆弱性突くコードが公開 [ITmedia]

言語設定により活動内容を変化させる不正プログラム [Trend micro Security Blog]
まっちゃだいふくの日記★とれんどふりーく★経由

国民生活センター、セキュリティソフト購入時のトラブルに注意喚起 [INTERNET Watch]

狙われる個人資産、ネットが通貨と犯罪の“見えない化”を進める(2)「被害に遭わないためにブラウザ設定でできること」 [NetSecurity]
肝心な所で本誌を読んで&heartsってのは……orz
ブラウザの設定という話であれば、基本は信頼しているサイト以外ではスクリプトoffってのがいいと思われ
（IEだったらインターネットオプションのセキュリティタブ、Firefoxだったらオプション内のコンテンツあたり）
ボク的にはFirefoxを常用してるんだけど、NoScriptってアドオンがかなりオススメ

ボットによる攻撃を実験で再現，ユーザーを襲った七つの災厄 [IT Pro]

Leopardの防備に「抜け穴」あり　ファイアウォールはVistaに軍配？ [ITmedia]

“踊るがい骨”でトリック仕掛けるハロウィーン便乗マルウェア [ITmedia]

Black Hat Japan 2007 Briefings 1日目 [水無月ばけらのえび日記]
Black Hat Japan 2007 Briefings 2日目 [水無月ばけらのえび日記]
Blacｋ Hatのメモ書きとのこと
「101号室からの手紙」はボク的にめがっさ興味あり……MYCOMとかNetSecurityとかで特集記事やってくれないかな……（HJでもいいですけど）

情報セキュリティ標語ポスター [日本のセキュリティチームの Blog]
ボク的セキュリティ標語（諦め編）
人にパッチは当てられない

2007年10月30日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 10/30

一太郎：情報漏えいやウイルス感染の欠陥　対策ソフト公開 [毎日新聞]
今朝NHKのニュースでもやってましたけど、UNYUNの人出てましたね♪

ソニーウォークマン向けソフトに脆弱性 [ITmedia]

Yahoo!アカウントを不正取得する「ストリップゲーム」出現 [IT Pro]

WindowsServer2003SP2において、MS07-006が手動でしか適用できない [まっちゃだいふくの日記★とれんどふりーく★]
MS純正以外のインターネットブラウザ用WMPプラグインがインストールされていると起こるらしい
サーバーOSってこと考えるとレアケースっぽい気も

社内パソコンのボット感染（後編） [IT Pro]

変幻自在で他人のパソコンを勝手に操る，ボットの恐るべき正体とは？ [IT Pro]

総務省、事前承認なしの広告メール送信禁止などに意見募集 [INTERNET Watch]

原理から学ぶネットワーク・セキュリティ　第1回 ４つのセキュリティ・モデル [IT Pro]

インターネット物理モデルでセキュリティを考えた [@IT]

Webサイトのリダイレクトを分析する [IT Pro]

なぜ日本のセキュリティは常に全力投球なんだろう [ブログ: 岡崎 - Okazaki's blog]
mmasudaのはてな日記経由
経由元のFAQ、いろんなとこで聞いた事があるのでAC（ﾏﾃ

企業が恐れるのは『ウイルス』よりも『内部犯罪』 [IT Pro]
ボクもそう思うけど、そう思いたくない人が結構多いのも確か

立場に応じてセキュリティを考えていますか？ [@IT]

TBSラジオ、イベント応募者1,033人の個人情報がサイト上で流出 [INTERNET Watch]

警察官の住所録や110番通報報告書などがWinnyに流出、大阪府警 [INTERNET Watch]

10月のセキュリティ・アップデートをおさらい [IT Pro]

2007年10月29日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 10/29

一太郎の脆弱性、リンクのクリックだけで悪用される可能性も [@IT]
例の3件

またもや「RealPlayer」に脆弱性、ファイルを開くだけで被害の恐れ [IT Pro]

MS OneCareが自動更新設定をこっそり変更？ [ITmedia]

深く静かに広まる「ボットネット」の恐怖 第1回　ひそかに活動，気付かないうちに被害に遭う [IT Pro]

DNSサーバーは絶対に信頼できるのか [IT Pro]

はてなのCAPTCHAは簡単に破れる [凪瀬 Blog]

自分の無線LANがPlaceEngineに登録されていないか確認する方法 [高木浩光＠自宅の日記]
無線LANのステルス機能ではPlaceEngineに登録されるのを阻止できない [高木浩光＠自宅の日記]
他人から貰う無線LAN機器に警戒する [高木浩光＠自宅の日記]
同日の日記なので、一番上クリックすれば全部見れます

「Webからの脅威を防ぐ3つの対策とは」──トレンドマイクロの黒木氏 [IT Pro]

「我々は過去の教訓を生かしきれていない」，米Fortify Softwareセキュリティ担当者 [IT Pro]

「社会状況を意識した技術開発を望む」--Black Hat Japan 基調講演 [ZDNet]

不正変更の監視機能で不具合らしき物が発生したときの対処法 [チラシの裏]
まっちゃだいふくの日記★とれんどふりーく★経由

文字列を作る::JavaScriptでのおはなし [hoshikuzu | star_dust の書斎]

市販GPUを使ってパスワードを高速クラック [Engadget Japanese]

WinAntiVirus Pro 2007は、mediaplex.comに不審なIDを送信する [Semplice]
セキュリティホールmemo経由

リクエストをいじれば脆弱性の仕組みが見えるのだ！ [@IT]

「車両荒らし」で浮き彫りになった、オフサイト・データ暗号化の必要性 [COMPUTERWORLD]

バックアップのあり方を変える新技術 [@IT]

丸善、カード情報を含む顧客情報約65万件を紛失の恐れ [INTERNET Watch]

2007年10月26日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 10/26

Netscape 9.xに複数の脆弱性--Firefoxと同一 [IT Pro]
9.xって表現だと、それをFixした9.0.0.1も含まれちゃうんですけど……
って言うかβ版無視すれば、9ってバージョンは、9.0.0.0しか出てないんだから9.xなんて表現する必要ないんじゃ

「一太郎シリーズ」に3件の脆弱性、更新モジュール配布開始 [INTERNET Watch]
ここには書かれてませんが、悪意のあるサイトを見ただけでアウトというめがっさ危険なヤツらしいので、使用されている方は早急にアップデートを

IEのセキュリティ・ホールを突く新たなPDF攻撃が次々出現 [IT Pro]

セキュリティ専門家が語る「インターネットの統制状況」 [ZDNet]

狙われる個人資産、ネットが通貨と犯罪の“見えない化”を進める(1)「日本円やUSドルを狙う富裕な犯罪者」 [NetSecurity]

経験済みにもかかわらず、大企業のリスクへの備えは不十分 [MYCOM]

究極の防犯対策？ 日立がハンドル一体型の指静脈認証装置をデモ [IT Pro]

2007年10月25日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 10/25

PDFファイルを使った攻撃、パッチ公開から24時間以内に出現 [COMPUTERWORLD]
昨日も貼ってるけど
根っこを塞ぐパッチが待たれます＞MS

「一太郎シリーズ」における3つのバッファオーバーフローの脆弱性 [IPA]
「一太郎」に危険な脆弱性が3件、ファイルを開くだけで被害の恐れ [INTERNET Watch]
アップデートモジュールが出ているので、適用すればオッケー

偽セキュリティ・ソフト「AntiSpyStorm」：偽サイト「Microsoft AntiSpyware Center」が配布 [IT Pro]

偽造カードで１億超す被害　北洋銀、さらに拡大も [中日新聞]
セキュリティホールmemo経由
流出した個人情報を基に、カードが偽造され、テレホンバンキングの機能を使い、生年月日などが暗証番号と確認されたとみられる
ぁぁぁぁぁぁぁぁぁぁ

「ITセキュリティは欠陥品市場」――セキュリティ専門家が警鐘 [COMPUTERWORLD]
脅威を排除する現実的なセキュリティ製品よりも、安全であるという“雰囲気”を売るセキュリティ製品が多く存在すると指摘
そして、そういうものの方が売れたりする
……分かりやすいですからね（ぉ

MS、XSSの脆弱性検出ツールを無償公開 [ITmedia]

アップルMac OS X「Leopard」に施される11種類のセキュリティ機能とは [ZDNet]

迷惑メールの3割は米国発、ウイルス感染PCが送信元 [IT Pro]

次世代の情報セキュリティ政策の在り方を検討する研究会を発足 [NetSecurity]

「情報セキュリティ対策が企業価値を高める」−−経産省の下田裕和課長補佐 [IT Pro]

PS3のセキュリティも調べてみた [IT Pro]

らばQ : 実は危険な無線LAN [にわか鯖管の苦悩日記]
はてブで高木センセイもいろいろコメントしてましたね
上で貼ってるCOMPUTERWORLDの記事のコメと感想的には被るものがあったり

クレジットカードの基礎知識 [Business Media 誠]

2007年10月24日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 10/24

Adobe ReaderとAcrobatの修正パッチ公開、危険な脆弱性を解消 [IT Pro]
とりあえず全言語版のパッチは登場している模様（悪い子の直リン）
インストーラ部分は英語ですけど（^^;

Adobe脆弱性悪用のPDF、パッチ公開翌日に出現 [ITmedia]

MacrovisionのDRMアプリに脆弱性、Windows XPとWindows Server 2003に影響 [ITmedia]

Sun、JREの脆弱性修正パッチを公開 [ITmedia]

IEにおけるEUC-JPの処理方法でShift_JISがからんでくる件 [hoshikuzu | star_dust の書斎]
感想→続: そろそろUTF-7について一言いっとくか [hoshikuzu | star_dust の書斎]

横浜国大のサーバーを利用した偽サイト発見 [J-CASTニュース]

「ゆうちょう」は株式会社ゆうちょ銀行をはじめ、JP日本郵政グループ各社とは一切関係ございません - 日本郵便 [インフラ管理者の独り言（はなずきん＠酒好テム管理者）]

ずきんさんの表と裏 [luminのコードメモ]

犯罪者側からのデータをまとめたID窃盗の実態調査 [MYCOM]
めがっさ興味深い

ウイルス検索エンジン VSAPI 8.550アップデートの日 [まっちゃだいふくの日記★とれんどふりーく★]

NTT Com、IPv6を使った個人向けの緊急地震速報サービス開始 [INTERNET Watch]

2007年10月23日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 10/23

Adobe、Reader／Acrobatの脆弱性修正アップデートを公開 [ITmedia]
今日Software Updateで貼ったヤツの話、あの時点では英語版しかなかったけど……まだダメっぽいですね（TT

リアルネットワークス、Windows版「RealPlayer」のセキュリティパッチをリリース [ZDNet]

社内パソコンのボット感染（前編） [IT Pro]

300日以上脆弱性が修正されないWebアプリが累計50件、IPA [@IT]

ゆうちょ銀行装う「ゆうちょう」名義の詐欺メール、日本郵政が注意喚起 [INTERNET Watch]

ハロウィン便乗スパム、ギフトカードをエサに [ITmedia]

セキュリティ インテリジェンス レポート 第3版を公開 [日本のセキュリティチームの Blog]

また一つWEPが破られていく [IT Pro]
ってことで、WPA2対応のDS出してください＞任天堂
ボクの持ってる無線対応機器で、基本的に対応してないのDSだけなので（TT
外付けの無線ユニットでもいいので是非

コムキャストとBitTorrentとスパム、スパム、またスパム [ZDNet Japan blog]

フィルタリング機能を使わない親の理由、約5割は子供を信用 [INTERNET Watch]
使わない理由としては、「不適切なページにアクセスしないと思っているので必要ない」47.3％が特に多かった
……ふ～ん

「パソコンを安心して使うために。」に関するお詫びと改訂 [日本のセキュリティチームの Blog]

2007年10月22日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 10/22

Apache TomcatのWebdav Servlet実装に脆弱性 [ZDNet]

「RealPlayer」に危険な脆弱性、「ゼロデイ攻撃」が出現 [IT Pro]

アドレスバー百景 その2 「iPod Touch」的UIの活用を考える [高木浩光＠自宅の日記]
iPod touch版Safariにはサーバ証明書の閲覧機能がない？ [高木浩光＠自宅の日記]

ボット駆除ツール「CCCクリーナー」、一部ファイルを誤検出 [INTERNET Watch]

デイリーポータルZ 記者の家を探しに行く [高木浩光＠自宅の日記]

リテラシーvs技術 [PConline]

メールサーバ防御でも忘れてはならない「アリの一穴」 [@IT]

企業のディザスタ・リカバリ対策は不十分 [COMPUTERWORLD]

スマートフォン暗号化ソフトが続々登場 [IT Pro]

中国が米国の検索エンジンを「ジャック」？--ダライ・ラマ褒章への報復か [CNET]

個人情報漏えい事件を斬る(111) カード会社の調査依頼で情報漏えいが発覚した丸紅インフォテック [IT Pro]

第一三共ヘルスケア、業務委託会社から28,364人分の顧客情報がWinny流出 [INTERNET Watch]

2007年10月19日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 10/19

Windowsの未知の脆弱性突くエクスプロイトが出回る [ITmedia]

「Firefox 2.0.0.8」公開、8件の脆弱性を修正 [INTERNET Watch]

IE 7だけでなく、他アプリにも影響が大きい未修正の脆弱性に注意 [INTERNET Watch]

Windows Mobileにパスワードが盗まれる脆弱性 [ITmedia]

「Storm」で作られたボットネットが切り売りされるとの報告 [COMPUTERWORLD]

「MP3スパム」出現、音声ファイルで「風説の流布」 [IT Pro]
フィルターを通過することはできるかもしれないけど、スパムとして目的が達せられるとは思えなかったりする

あなたのセキュリティ対策，間違っていませんか？ [IT Pro]

パターン照合だけではダメ，力を合わせてディフェンスを固める [IT Pro]

現役ペンテスト技術者が選ぶ 使えるセキュリティツール(8)「httprint」 [NetSecurity]

シマンテック、業界初の個人向けボット対策製品のベータ版を公開 [ZDNet]

海外のセキュリティ専門家に聞く先端動向(7) グエン・アン・クイン氏 [NetSecurity]

リチウムイオンバッテリの自主回収を促進する協議会を22社で設立 ～ソニー製バッテリの回収率は半数未満 [PC Watch]

危機管理産業展2007 - レスキューから警備まで、ロボットが展示 [MYCOM]
地震に対する備えは大丈夫? 家庭で利用できる受信端末が展示 [MYCOM]

中3女生徒、ネット口座を不正取得容疑 [朝日新聞]
書いちゃっていいのかな？いいのかな？とか思ったり（二回言うな）
これで解像度荒めのFAXだったらほぼ完璧（ﾏﾃ

「LimeWire」にも情報漏洩の危険 - ネットエージェントが対策サービスを提供 [MYCOM]

2007年10月18日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 10/18

OperaにXSSの脆弱性、アップデートで対処 [ITmedia]
Webブラウザー「Opera」に新版、2件の脆弱性を修正 [IT Pro]
最新版の9.24では対策されてるとのこと
使ってる方はアップデートしておきましょう

「IrfanView」に、システムアクセス許す脆弱性 [ZDNet]
この前のアップデート、セキュリティアップデートでもあったっぽい
使っている方は4.10にアップデートを

「PDFファイルを開くだけでプログラム実行」脆弱性のPoCの実行結果 [にわか鯖管の苦悩日記] (FLASH)
Foxit Reader使ってやってみたけど、PDFが開くだけで再現しなかったり（AdobeReaderだと再現した）
Adobe Reader固有の脆弱性風味
（追記）
検証環境：Win2K+IE6.0.2800.1106

偽のSkypeソフトでパスワード盗難、ユーザーが感染報告 [ITmedia]

ファイル共有ソフト「Krackin」はいかが？——ウイルスの新手口 [IT Pro]

eBay狙った詐欺メールが激減　ユーザー啓発が奏功 [ITmedia]

IEのJavaScriptの笑っちゃう挙動 [hoshikuzu | star_dust の書斎]
「JavaScriptエスケープについて論考」が結論まで上がった模様

海外のセキュリティ専門家に聞く先端動向(6) David LaPorte 氏 [NetSecurity]

「Helix」－－ラック，調査を自動化，緊急対応の手間省く [IT Pro]

「サイバー不法占拠」常習者、FTCと和解 [ITmedia]

LimeWire/Cabos ネットワーク調査サービス [luminのコードメモ]

2007年10月17日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 10/17

「PDFファイルを開くだけでプログラム実行」脆弱性の実証コード出現 [IT Pro]
ヤバ目
純正品以外のヴュアーだとどうなんだろ？

Norton 360によりEFSの暗号化が施されたファイルが破壊される問題 [Narusaseの日記 -ハニポってどうよ？(仮)]
まっちゃだいふくの日記★とれんどふりーく★経由
ああああああ
（追記）
追加情報ありますね

「バイオハザード」警告ワーム、作者は英語が苦手？ [ITmedia]

事前承認なしの広告メール送信禁止など、迷惑メール対策研究会が中間報告 [INTERNET Watch]

セキュリティテストには攻撃者の視点が肝心 [TechTargetジャパン]
まっちゃだいふくの日記★とれんどふりーく★経由
そういう視点しかもってなかったりしますけど＞ボクorz
「優れた想像力」と「包括的なシステム知識」が欲しい……（めがっさ遠い目）

通用しなくなった「80番ポートの安全神話」 [IT Pro]
神話だしね（HAL風味に）

E4X、連想配列とプロパティ、Object.evalメソッド [ockeghem(徳丸浩)の日記]

キャリア型（前編）遠隔からロックや消去を実行 [IT Pro]

千葉県、職員情報が業務委託先の社員のパソコンから流出 [RBB TODAY]
まっちゃだいふくの日記★とれんどふりーく★経由

2007年10月16日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 10/16

Windows HotFix Briefings ALERT [@IT]
月刊Microsoft Update今月号のまとめ、整理されていて見やすいので是非

オラクル、51件のセキュリティパッチをリリースへ [ZDNet]

Windows URI処理の脆弱性問題、セキュリティ研究家が非公式パッチを公開 [COMPUTERWORLD]
当然のごとく適用する場合には自己責任で

Windows Updateで発生している“自動再起動問題” [IT Pro]

Apple iPhoneとiPod touchにシステムアクセス許す深刻な脆弱性 [ZDNet]
例のTIFFなアレ
細工したTIFFを開くことで任意のコードの実行が可能です……ま、そういうことなんで察してください（ぇ
某P○Pと違ってブラウジングがメインになりうるガジェットなんで、対応に困るのがアレですけど

「偽ヤフー」でID不正取得4000件　容疑の元組員逮捕 [朝日新聞]

Xerox，文書から自動抽出した機密情報を部分的に暗号化するセキュリティ技術 [IT Pro]

「偽ソフトの駆除ツール」もまた偽物，ユーザーをだます巧みな手口 [IT Pro]
巧み……ねぇ

5分で絶対に分かる情報セキュリティ監査 [@IT]

ネットで知らない人から接触、子供の32％が経験 [ITmedia]
どういうレベルの話なんだろ

三つの対策で紛失・盗難に備える [IT Pro]

米国政府のぜい弱性対策に関する取り組み～CVE～ [IT Pro]

世界中の通信トラフィックが米国経由：盗聴も自由に(2) [WIRED VISION]

Shareでファイルを発信したユーザーのIPアドレスを特定するツールが発売へ [IT Pro]

Winnyによる情報流出（後編） [IT Pro]
禁止ルールをハッシュで指定するって、この文脈で何の意味があるんだろう
トロイとかワーム作れって暗に示唆してるんでしょうかね？（ｗ

Winnyで漏洩しても、漏洩規模が拡大しなければ消えることがあります [luminのコードメモ]

Shareのノード数が観測以来最大に，Winnyも依然として多数のユーザー [IT Pro]
掲示板やニュース報道がWinnyで漏洩したファイルの流通を広げる [IT Pro]
Winnyの流出ファイルは“消える”場合あり [IT Pro]

2007年10月15日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 10/15

バッファローの無線LANルータにCSRFの脆弱性 [@IT]
バッファローの無線LANルーターに勝手に設定変更される危険性，IPAが警告 [IT Pro]
IPA、バッファロー製ルータに脆弱性通告 - ファームウェア更新を呼びかけ [MYCOM]
該当者の方は、ファームウェアのアップデートを

Solarisにシステムアクセスの脆弱性 [ZDNet]

Windows「自動更新」に複数ユーザーから不具合報告--MS調査中 [CNET]
Windows自動アップデートの設定変更問題，Microsoftは「何も変えていない」とコメント [IT Pro]

かわいい子猫にご用心——“いやし系”サイトにもウイルス [IT Pro]
なんて卑劣な罠っっっ！！

普段アクセスしている“おなじみ”サイトに仕掛けられるワナ [IT Pro]

MSをかたる「スパイウエア対策サイト」、偽ソフトを押し売り [IT Pro]
MSの名をかたる偽スパイウェア対策ソフトに注意 [ITmedia]

個人情報を盗み続けるマルウエア [IT Pro]

教育だけではセキュリティは保てない--セキュリティ専門家が発言 [ZDNet]

“難読化”されたJavaScriptをIE7で解読する [IT Pro]

コカ・コーラのレシピも守る、EMCの文書保護システム [@IT]

中国政府、数万人のサイバー警察官を使ってネット・ユーザーを監視? [COMPUTERWORLD]

Windows XP SP3 日本語版が流出 [珍問屋]
こそっと
なんにしろ出所不明なので、「自己責任」というキーワードの意味が理解できる方向け

2007年10月12日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 10/12

Kasperskyの無償オンラインスキャナに脆弱性、修正版を公開 [INTERNET Watch]

Adobe Pagemakerにシステムアクセスの脆弱性 [ZDNet]

Microsoft騙るサイトで偽セキュリティソフト配布、カード番号を盗み出す [INTERNET Watch]

偽のPCスキャンでだます詐欺ツール [ITmedia]

Wiiインターネットチャンネル・アドレス偽装のセキュリティ修正? [水無月ばけらのえび日記]

現役ペンテスト技術者が選ぶ 使えるセキュリティツール(5)「The GNU Netcat（前編）」 [NetSecurity]
現役ペンテスト技術者が選ぶ 使えるセキュリティツール(6)「The GNU Netcat（中編）」 [NetSecurity]
現役ペンテスト技術者が選ぶ 使えるセキュリティツール(7)「The GNU Netcat（後編）」 [NetSecurity]

新GUI：tracerouteからネットワーク図を自動描画 [IT Pro]

2007年10月11日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 10/11

10月のマイクロソフトセキュリティ更新を確認する [INTERNET Watch]

MS07-057によりPNG画像のXSS問題は回避されたようです [ockeghem(徳丸浩)の日記]

MSパッチ公開翌日に早くも不正Word文書が出現 [ITmedia]

IE 7の脆弱性、Outlook経由でも悪用の恐れ [ITmedia]
IE7とWindows XPの組み合わせに危険な脆弱性、マイクロソフトが公表 [IT Pro]

Windows XPのSP3ベータ版が登録メンバー向けに限定公開 [IT Pro]

Adobe Illustrator CS3にヒープベースのバッファオーバーフロー脆弱性 [ZDNet]

信頼性の悪用：インターネット・セキュリティ脅威レポート（ISTR）Volume XIIより [IT Pro]

知っていますか？脆弱性 [IPA]
動画で見れるので是非

実際にOSを検出してみる [IT Pro]

世代交代が迫る「暗号技術」（後編） [IT Pro]

新たな学習理論を採用したスパム防止製品、テックリンク [@IT]

今日のSPAMさん [辺境ヒゲ戦記～ かえして！ヒゲメガネ ～]
小岩井純水りんご吹いた

どうも。モーニングブルードラゴンです [中小企業で働くWeb制作担当者のメモ帳]
インフラ管理者の独り言（はなずきん＠酒好テム管理者）経由
これもスパムネタ

NTTコムウェア、災害情報を直接手で触って操作できるシステムを開発 [ZDNet]

2007年10月10日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 10/10

今日（日本時間）は、月刊Microsoft Updateの発行日です

Safari 3に脆弱性、セキュリティサイトで公開 [ITmedia]
現時点で、iPhone 1.0.2でも同じ現象が起きることが判明した

Electronic ArtsのActiveXコントロールに脆弱性 [ITmedia]

バッファローの指紋認証USBメモリにウイルス混入 [PC Watch]

ネットワーク監視ツール「Nagios Plugins」にシステムアクセスの脆弱性 [ZDNet]

「PDFスパム」が復活、迷惑メール全体の2％ほどに [IT Pro]
スパム：画像が減少するも、テキストとHTMLが活発化 [CNET]

「おさげの元同級生」かたるマルウェアにご用心 [ITmedia]

ファイル感染型ウイルスが勢力復興か？ [ITmedia]

警察学校が詐欺に加担？　フィッシングサイトをホスティング [ITmedia]

「詳しくは○○と検索」で、商品検索件数が通常CMの平均2.4倍に [INTERNET Watch]
ボク的にこのニュースはITっぽいニュースじゃなくってこっちに分類
あの手のCM流してるとこ、基本的にユーザのことなんか考えてないって思うし

情報セキュリティ対策の国際間連携、政府会議が行動指針 [ZDNet]

総務省・経産省の「ボット対策プロジェクト」に57社のISPが新規参加 [INTERNET Watch]

Web 2.0のセキュリティ・リスクに対する企業の備えは不十分 [COMPUTERWORLD]

親が認識している以上に子どもはインターネットを利用している [ZDNet]

「UTM」はセキュリティ機器の最終進化系か [@IT]

ポート・スキャナ，使いこなせますか [IT Pro]
OS情報検出のひみつ [IT Pro]

マカフィーがセーフブートを買収、情報漏洩対策を強化 [IT Pro]

イスラエルによるシリア空爆：防空システムをハッキングか [WIRED VISION]

災害時の安否確認がより確実に--NTTデータら、家庭向け危機情報伝達システムを開発 [CNET]

明治製菓、キャンペーン応募者情報15,059人分がWinny流出か [INTERNET Watch]

2007年10月09日のセキュリティホール情報 [NetSecurity]

月刊 Microsoft Update 2007年10月号

いつものごとく、月刊Microsoft Update、出てます
今号のラインナップは、緊急4本・重要2本の計6本となっています……なんか1件減ってるような気も
きっちりしっかり当てておましょう
恒例のごとく今月もめがっさアレな状況なのでリンク貼っとくだけですけど（TT

Kodak Image Viewer の脆弱性により、リモートでコードが実行される (923810) (MS07-055) [緊急]
対象はWindows 2000（2000からアップグレードしたものの場合、XP/2003も対象となる）

Outlook Express および Windows メール用の累積的なセキュリティ更新プログラム (941202) (MS07-056) [緊急]
対象はWindows 2000/XP/2003/Vista

Internet Explorer 用の累積的なセキュリティ更新プログラム (939653) (MS07-057) [緊急]
対象はWindows 2000/XP/2003/Vista

RPC の脆弱性により、サービス拒否が起こる (933729) (MS07-058) [重要]
対象はWindows 2000/XP/2003/Vista

Windows SharePoint Services 3.0 および Office SharePoint Server 2007 の脆弱性により、SharePoint サイトで特権の昇格が起こる (942017) (MS07-059) [重要]
対象はWindows 2003および、Office SharePoint Server 2007

Microsoft Word の脆弱性により、リモートでコードが実行される (942695) (MS07-060) [緊急]
対象はOffice 2000/XP/2004

＜付録＞
Microsoft® Windows® 悪意のあるソフトウェアの削除ツール (KB890830)
恒例の付録 その1

October 2007 Security Releases ISO Image
恒例の付録 その2

＜関連＞
10月のセキュリティリリース [日本のセキュリティチームの Blog]
Microsoftの10月定例アップデート，「緊急」4件，「重要」2件 [IT Pro]
MSセキュリティパッチ公開、IEやWordの深刻な脆弱性を修正 [ITmedia]
マイクロソフト、10月の月例セキュリティ情報をリリース--「緊急」パッチは4件 [CNET]
マイクロソフト、IEの累積的修正などを含む10月の月例パッチ6件を公開 [INTERNET Watch]
10月のマイクロソフトセキュリティ更新を確認する [INTERNET Watch]
月刊 M$ Security 2007 年 10 月号 [Windows Security Center]

セキュリティ風味なニュース 10/9

明日10日（日本時間）は、月刊Microsoft Updateの発行日です

Adobe Acrobatの深刻な脆弱性、10月中めどにパッチ公開 [ITmedia]

JAVAに複数の脆弱性、JVNが最新版へのアップデートを推奨 [INTERNET Watch]

脆弱性検証用画像を作成 [Kanasansoft Web Lab.]
セキュリティホールmemo経由

XSS脆弱性修正に失敗してしまった駄目な例（その後） [hoshikuzu | star_dust の書斎]

“ヘンタイゲーム”で誘うスパム、添付ファイルにマルウェア [ITmedia]
当サイトを見る層にはお分かりとは思いますが（激ﾏﾃ
「Hentai Game」ってのは、いわゆる日本の「えろげ」のことです（「Hentai」自体、普通に英語化されているみたいです）
……検索するとふつーにゴロゴロヒットしますね（ｗ;;;;;;

なくならない情報流出・セキュリティー意識の低い社員を啓蒙するには [IT Plus]
RinRin王国経由
過去流出した分が最近明らかになってるってのもあるんですけど（ぉ

膨らんだ電池は危険？安全？ [@IT]

2007年10月05日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 10/5

マイクロソフト セキュリティ情報の事前通知 - 2007 年 10 月 [Microsoft]
10月のMSパッチは「緊急」含む7件、IEの脆弱性など修正 [ITmedia]
月刊Microsoft Update今月号の予告出ました
今月号の発行は10日（日本時間）の発行です
……今日出てたIE7はパッチ済みのヤツなんだろうな、きっと（ぉ

「QuickTime」の修正パッチが公開、「すべてのユーザーが適用を」 [IT Pro]
iTunesインストールしている方には基本的に入ってますんで、利用者の方はアップしておきましょう
最近のApple製品インストールしてると、Apple製品のアップデートがインストールされてると思われるんで、それ実行しておけば多分出てくるんじゃないかと思われ（ぉ

ルートキット実装の2大手口（その2） [IT Pro]

偽のセキュリティソフト広がる--アフィリエイトとトロイの木馬の複合技も [ZDNet]

ユーザー情報不正取得の目的志向が日常化 [ZDNet]

米Xerox、赤外線で文字が浮かび上がる印刷技術 - 偽造防止に [MYCOM]

企業へのセキュリティ侵害、発生件数はダウンでも被害レベルは深刻化 [COMPUTERWORLD]

中国セキュリティ機関のサイト攻撃、Webホスティングサービスを悪用 [ITmedia]

「公開Webサーバのセキュリティは大丈夫ですか？」を斬る [たぬきん貧乏日記　～No Worry, No Hurry. Eat Curry!～]

横浜市病院経営局からのWinny流出、含まれていた個人情報は3,733人分 [INTERNET Watch]

2007年10月04日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 10/4

「Windows Vista SP1」のベータ版入手--特出した機能はなし [ZDNet]

アップル、Windows版「Quicktime」のセキュリティアップデートをリリース [ZDNet]

9月にメール経由のウイルス感染率が上昇 [ZDNet]

「バッドウエア，ハッキングされたサイトから配布される傾向が高まる」，StopBadware.orgが報告 [IT Pro]

SELinux独占崩壊？ [himainuの日記]
セキュリティホールmemo経由
各所で話題になってるっぽいですね……Linusがブチ切れてるって（ぉ

モノカルチャーの脅威――新たな標的はPDF [@IT]

UACによる権限の制限がユーザーを守る [IT Pro]

ボットに組み込まれたルートキットを解析 [IT Pro]
デバイス・ドライバを利用してOSを改変 [IT Pro]
ルートキット実装の2大手口（その1） [IT Pro]

プロフの影にある危険、またはコンテンツ作成者の憂鬱 [PConline]
もう割り切って、痛い目にあって勉強する場と考えてしまうとか（激ﾏﾃ

監視用ウェブカメラ：普及の陰で、「覗き見」やハッキングも [WIRED VISION]

公開Webサーバのセキュリティは大丈夫ですか？ [@IT]

2007年10月03日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 10/3

PowerDVDにデータ操作の脆弱性：PoC公開、ユーザは対策を [ZDNet]

Rubyになりすましの脆弱性：ユーザはアップデートを [ZDNet]

Googleの検索ソリューションにXSS脆弱性 [ZDNet]

力を誇示？　新世代ツール使ったフィッシング攻撃が激増 [ITmedia]

「ボット」の危険性を認識して対策を——IPAが注意喚起 [IT Pro]

フィッシングサイトの悪用例も：IPA、ウイルス・不正アクセス届出状況 [ZDNet]

中国セキュリティ組織のWebサイトにわな、ウイルス感染の恐れ [IT Pro]
中国セキュリティ機関のWebサイトにiframeタグ挿入、トロイをホスティング [ZDNet]

GoogleがGmailの脆弱性に対処、ただし注意も必要 [ITmedia]

消費者の情報セキュリティ対策に問題あり「消費者のセキュリティに対する認識の多くが間違っている」 [COMPUTERWORLD]

クローンの攻撃 [IT Pro]

ドコモの905i、緊急地震速報を無償で受信可能に [IT Pro]

2007年10月02日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 10/2

「アンジェリーナ・ジョリーのヌード写真」でマルウェア増加 [ITmedia]

「ウイルスの王様」が中国で猛威、対策ソフトを無効に [IT Pro]
感染はほとんど中国国内らしいけど

マイクロソフトはもはや“セキュリティ後進企業”ではない！ [COMPUTERWORLD]
先端ではないけど後進でもないって意味では間違ってないと思われ

VMwareはPCよりも安全か - 米IBM Internet Security Systems [MYCOM]

GmailのCSRF脆弱性修正 - デベロッパもユーザもCSRFに対して認識を [MYCOM]

ソフトバンクテレコム、メール対策「スパムフィルタリング」の提供開始 [ZDNet]

2007年10月01日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 10/1

グーグル、「Gmail」の脆弱性を修正 [ZDNet]

携帯電話を狙ったウイルスの脅威はまだ「低」 [JVN]

iPhone 用の Safari において HTTP 通信のページから HTTPS 通信のページにアクセス可能な脆弱性 [CNET]

金銭を狙ったトロイの木馬が蔓延中 - 中国サイバー犯罪事情 [MYCOM]

ルートキットの進化を追う [IT Pro]

緑シグナルが点灯しないのに誰も気にしていない？という不思議 [高木浩光＠自宅の日記]
銀行のフィッシング対策についての話

XSSは知ってても、それだけじゃ困ります？ [@IT]

ソニー生命保険、社員のウイルス感染で「Share」に個人情報流出 [INTERNET Watch]

2007年09月28日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 9/28

ブラウザプラグインの脆弱性が急増、ActiveXはやはり危険か [@IT]
基本的にOFFってますけど幾つか必要なとこに関しては、サイトを信頼した後警告出すようにしてたりしてます

MSの「こっそりアップデート」でXP修復に問題発生 [ITmedia]

「私の個人的なビデオを見て！」、YouTubeをかたる迷惑メール [IT Pro]

携帯メールのフリしたスパム [極楽せきゅあ日記]

オンラインゲーム関連ツールの30％がマルウェアに感染 [ZDNet]

「わが社とパンダウイルスは無関係」——パンダセキュリティ [IT Pro]

NoScriptの使い方 [yohgaki's blog]
セキュリティホールmemo経由
Firefoxユーザの方にはオススメのアドインです＞NoScript

再発に備えろ！ [IT Pro]

重大なバグを修正した「Firebird v.2.0.3」リリース [ZDNet]

情報処理技術者試験の改革に向け、IPAが体制強化 [IT Pro]

MIT，Kerberos認証の推進組織「Kerberos Consortium」を設立，Google，Sun，Appleが支援 [IT Pro]

アングラ経済がサイバー犯罪を加速させる - インターネット脅威レポート [MYCOM]
「裏経済」「闇経済」の方が日本語的には一般じゃない？とか思ってみるテスト
サイバー犯罪は「思った以上の速度で商業化が進んでいる」
逆なんじゃないかと思ってみるテスト
そっち方面の人間がサイバー方面に目を向けて、スカウティングとかしてるんじゃないかと思われ

世界一有名なiPod touchのシリアル番号→ 9C72905MW4N [まっちゃだいふくの日記★とれんどふりーく★]
わはー

2007年09月27日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 9/27

Gmailにゼロデイの脆弱性情報、メール盗み見の恐れ [ITmedia]

Yahoo!Messengerの脆弱性を実証するコードが出現 [ZDNet]

企業の上層部を標的にしたトロイの木馬攻撃、ソーシャルエンジニアリング的手法も [ZDNet]

サン、Javaのセキュリティ・アップデート方針を変更 [COMPUTERWORLD]

eBay、フォーラムでハッキング被害に遭う--クレジットカード番号が流出の恐れ [CNET]

バックドアが添付された、福田康夫首相を装う偽メールに注意を呼びかけ [NetSecurity]
首相を騙った標的型攻撃：ファイルのプロパティに中国名の「作成者」 [ZDNet]

手口を知らなければ止められない [IT Pro]
記事はPDFスパムについての記事
「手口を教えなければ犯罪は起こらない」って方もいらっしゃるみたいだけど、そういう方は考えるということを放棄した人なんだろうなと思う……（遠い目）

サイバー犯罪者が高度なツールを駆使する傾向に [INTERNET Watch]

「パンダウイルス」作者が“人気”、感染した企業まで「雇いたい」 [IT Pro]
？

偽サイトを止めろ！ [IT Pro]

JCOMが来年1月から緊急地震速報サービス開始，専用端末を月額500円から利用可能 [IT Pro]

2007年09月26日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 9/26

OpenOffice.orgのTIFF処理に脆弱性--複数OSで影響の恐れ [ZDNet]

「Yahoo! Messenger」を悪用するコンセプト実証コード出現 [ITmedia]

「福田首相」メール、添付ファイルにマルウェア仕込む [ITmedia]

Downloader-AAPは終焉に向かうのか [IT Pro]

「黒塗り」だけでは不十分、PDF文書を公開する際には要注意 [IT Pro]
懐かしい話題ですね……日付今日の記事ですけど
この手の話題は思い出したように出てくるものなんでしょうか？

主目的は株価操作，スパムの役割は「情報の擦り込み」 [IT Pro]

パスワードに関するセキュリティ・ポリシーを強化するには？ [IT Pro]

国土安全保障省へのハッキングをめぐりユニシスが矢面に [COMPUTERWORLD]

成熟してきたハッカー向けセキュリティ会議 [IT Pro]

NTT東日本がまた情報漏えい，病院患者の会計情報など1万件以上がshareで流出 [IT Pro]
NTT東日本、済生会横浜市東部病院の顧客情報を流出 [CNET]

2007年09月25日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 9/25

マイクロソフト、Vista SP1のベータテストを開始 [CNET]

Cards, Cards, Cards, Baked Beans, Cards, Cards... [F-Secure Antivirus Research Weblog]

「パンダウイルス」の作者に禁固4年の判決 [IT Pro]

対策にならないフィッシング対策がまたもや無批判に宣伝されている [高木浩光＠自宅の日記]

パソコンを安心して使うために [Microsoft]
HiromitsuTakagiのブックマーク経由

MSがセキュリティ啓発の新施策、中小企業向け診断ツールなどを無償提供 [IT Pro]
マイクロソフトのセキュリティ対策、ガイダンスと国内の取り組みを強化 [INTERNET Watch]

仮想化技術はモバイルセキュリティの鍵 [ZDNet]

続・学校裏サイトの問題 [PConline]

偽サイトに誘うメールだ！ [IT Pro]

米国土安全保障省へのサイバー攻撃，セキュリティ契約会社が関与の可能性 [IT Pro]

米下院委員会、米国土安全保障省のサイバーセキュリティに疑問視 [CNET]

NTT東日本、横浜市東部病院の患者情報など1万件超「Share」で流出 [INTERNET Watch]

ノートン・ファイター、秋葉原に現る! [MYCOM]

2007年09月21日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 9/21

Adobe Readerで深刻な脆弱性が発覚 [COMPUTERWORLD]
修正パッチが配布されるまで、実証サンプル・コードは公開しないと明言している
とりあえずの救いではある

「Lhaplusに脆弱性」、IPAがバージョンアップを呼びかけ [IT Pro]
今日公開されたVer.1.55で修正されているので、利用している方はアップデートしておきましょう

VMware製品に深刻な脆弱性――注目を集める仮想環境のセキュリティ [COMPUTERWORLD]

HP-UXにセキュリティバイパスの脆弱性 [ZDNet]

IPAなど、国際量子暗号会議（UQC2007）を開催 [ZDNet]

クレジットカードのセキュリティを考える [IT Pro]

「核ミサイルの発射確認と同じ構造」の認証サービス，ソフトバンクBBが開始 [IT Pro]
……言い回しが大げさすぎ

ハッカーと銀行がモバイルで再会 [IT Pro]

スパマーも「Feeling Lucky」、Googleを使う迷惑メールの新手口 [IT Pro]

情報漏洩対策とJ-SOXの関係は薄い [IT Pro]

「犯罪手口本」が１０万部超…東京で有害指定、大阪は静観 [読売新聞]
セキュリティホールmemo経由
六法全書には火炎瓶の作り方が載ってるけど、有害指定にはなりませんか？（ｗ

アジアの某大国、全国規模の通信監視システム構築へ [WIRED VISION]
某大国（ｗ

NTT東日本が4万件超の個人情報をWinnyで漏洩 [IT Pro]
NTT東の元社員が顧客情報を3万件流出、全社員の自宅PCに対策ツール導入へ [IT Pro]

今度はソフトバンクテレコムでユーザー情報流出、Winny経由で551件 [IT Pro]

2007年09月20日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 9/20

Windows HotFix Briefings 2007年9月 ― 緊急レベル1件を含む4件のセキュリティ修正が公開 [@IT]
恒例の月刊Microsoft Updateのまとめ記事
今月号は一般ユーザにはインパクト低かったような気もするけどね

Windows Media Playerのメタファイルに危険性 [ITmedia]

Yahoo MessengerとAIMにゼロデイ攻撃の脆弱性 [ZDNet]

「Google Docs」のプレゼン機能にメールアドレス流出のバグ [CNET]

Pythonにバッファオーバーフローの脆弱性 [ZDNet]

オープンソースのBTS「Bugzilla」に脆弱性 [ZDNet]

プロキシサーバーを利用している環境＋特定の条件がそろうと楽天のサイトで怪奇現象が発生 [なお記]
まっちゃだいふくの日記★とれんどふりーく★経由
怪奇現象って……（^^;;;;;;

現代のウイルス対策ソフト、過去のウイルスに対処できず [ITmedia]
ちょ
試したの次の10種のドイツ語版とのこと
（削除まで対処できた3つの製品には☆、Vistaのみ不具合があるものに△、検知はできたものに★を付けた）

Avira AntiVir Personal Premium (v7)★
G Data (AVK) Total Care 2008☆
BitDefender Internet Security 2008☆
BullGuard Internet Security 7.0★
Kaspersky Internet Security 7.0☆
McAfee Internet Security 2007★
Symantec Norton 360△
Microsoft OneCare 1.6
Panda Internet Security 2008△
Trend Micro PC-cillin Internet Security 2007★

一部の「2008」が Windows 2000 のサポートをしていない件についてまとめ [セキュリティホールmemo]

VMware Workstationの脆弱性修正、日本語にも対応 [ITmedia]

アフィリエイトレピュテーション攻撃 [まっちゃだいふくの日記★とれんどふりーく★]
面白い

匿名と実名の功罪--「ネットID」を識者が激論（後編） [CNET]

EaaS――「サービスとしてのエクスプロイト」業界が暗躍 [ITmedia]

セキュリティ自由研究：この夏、グミ指を作ってみないか [@IT]
夏……（遠い目）
表層しかスキャンしていないタイプは、グミ指で基本的に突破可能
ただ、モノによっては更にその内側のポイントを10～数十箇所くらいスキャンするタイプの指紋（？）認証もあり、こっちの方はグミ指だと無理なんじゃないかと思われ（指紋は長期的には変わってしまったり磨耗したりするため、こっちの方式の方がいいってその昔説明受けたことあり）

出会い系というシステムのリスク [極楽せきゅあ日記]

抑止力はどこまでアテにできるのか [IT Pro]
罰則を設定しなければ抑止力が発揮されないのは当たり前だと思いますけど
グローバル化とかそういう問題じゃないと思われ

情報セキュリティ大院など--文科省の先導的ITスペシャル育成支援先が決定 [ZDNet]

アロシステム、子会社含め合計3355人分の個人情報流出が判明 [ZDNet]
一昨日貼った記事の続報

2007年09月19日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 9/19

Office 2003 SP3出てます

WindowsのMFCライブラリにゼロデイの脆弱性 [ITmedia]

OpenOffice.orgに脆弱性：バージョン2.3へのアップデートを [ZDNet]

QuickTimeの脆弱性、Firefoxがアップデートで対処 [ITmedia]
今日のアップデートですので、とりあえずアップデートしておきましょう

FirefoxのimgのURIからdocumentオブジェクトに手を出す [hoshikuzu|star_dustの日記について]

Second Lifeバージョン1系列に情報漏洩の脆弱性 [ZDNet]
Second Lifeにパスワード流出の脆弱性　アバター乗っ取りの恐れも [ITmedia]

HTMLメールの危険性 [IT Pro]

子供とインターネット [日本のセキュリティチームの Blog]
メモ
実体験のない知識がどれくらい役に立つのかってのにボク的には否定的な立場だったりするけど、知らないよりはマシってのは事実なので
ここ最近、一気に交際が狭くなってきてるんで、なかなか試せなくなってきてるのがキツイ（ﾅﾆ?

プロ集団が仕掛けるサイバー攻撃、正規サイトの悪用も増加 [ITmedia]

「ダウンローダー型ウィルスが猛威、攻撃は“多段”に」——米シマンテック [@IT]

安全性が最も低いユーザー名は“root”--チェック・ポイントとメリーランド大が調査 [ZDNet]
わはー

ウィルスバスター2008がWindows 2000のサポートをやめちゃった [猫又にゃぉ助の「責任者出てこい！」]
Norton系も切っちゃったらしい

個人情報漏えい事件を斬る(106)「ヒヤリハット」で分析する病院の個人情報紛失事故 [IT Pro]

効率軽視のセキュリティ提案は安易　二兎を追う姿勢こそ腕の見せ所だ [IT Pro]

生カスペルスキー [てっしーの丸出し]

2007年09月18日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 9/18

Windowsアニメカーソル脆弱性狙ったマルウェアが8月でも3位に [ZDNet]

「ゲームを無料でダウンロードできます」——実際はウイルス [IT Pro]

ウィルスソフトでは削除不能、ドイツで新品PCが特殊なウイルスに感染 [Technobahn]

“ウイルス入り電子月餅”に中国当局が警告 [ITmedia]
「電子版の月餅」？……クーポンかなにかなのかな？
月餅と聞くと「カキミーラ」という単語がまっ先に浮かんでくる、ボク、トリコロニアン（命名ボク）

How to Find Phishing Sites [F-Secure Antivirus Research Weblog]

中国、今度はニュージーランドへのサイバー攻撃疑惑 [CNET]

Winny事件は防犯意識のなさが生んだ必然 [@IT]
根本の部分で何か違うという気もしなくはないけど（ぉ

PCショップ運営のアロシステム、顧客情報がファイル共有ソフトに流出 [INTERNET Watch]

2007年09月14日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 9/14

Windows 2000の脆弱性を突く危険な実証コードが登場 [COMPUTERWORLD]

Windows Updateをこっそり更新？　「マルウェア」呼ばわりにMSが釈明 [ITmedia]

テーマソングを聞かせるトロイの木馬が出現 [ITmedia]

ウェブ魚拓のXSS脆弱性について [Web魚拓]

脆弱性対策情報データベース「JVN iPedia」の登録件数が4,000件突破 [INTERNET Watch]

マカフィー、映画やゲームを邪魔しないウイルス対策ソフト [@IT]
使用メモリが大幅に減ったらしい

グーグル、世界的なプライバシー標準の策定を提案 [CNET]

中国政府のインターネット検閲は不完全――実証実験で明らかに [COMPUTERWORLD]

訴えられた私 [しゃべりたがる私のINPUT★OUTPUT]
RinRin王国経由

2007年09月13日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 9/13

9月のマイクロソフトセキュリティ更新を確認する [INTERNET Watch]

FirefoxとQuickTime悪用のエクスプロイトが公開 [ITmedia]

「Googleメッセージ」かたりマルウェアをインストール [ITmedia]

「クローンの攻撃」で金銭詐取の不正アプリ急増、日本語版も登場 [ITmedia]

「子犬あげます」詐欺と「警官になろう」スパム [@IT]
ぬこあげますメールだったら、テラヤバス

ITセキュリティのアライ出し(23) Vistaのカーネルモードドライバへのコード署名要件にかかる問題のまとめ(1) [MYCOM]

匿名化ツール『Tor』の落とし穴――大使館等の通信傍受に成功 [WIRED VISION]

ラック、データベース内の情報保護対策を無償公開 [IT Pro]

今回のTrendmicroさんのイエローアラートの対応について物申す！ [まっちゃだいふくの日記★とれんどふりーく★]

Macはセキュリティがバッチリです [Hagex-day.info]
まっちゃだいふくの日記★とれんどふりーく★経由
的確すぎてﾜﾛﾀ
……とすると、痴漢にも痴女にも逢ったことのあるボクは勝ち組？（ぉ

日立、情報漏洩防止ソリューション「電子割符」にクライアント版を追加 [ZDNet]

欧州委員会、テロ対策技術などの研究に2億1216万ドルを拠出 [CNET]

交通システムのテロ攻撃に対するぜい弱性情報，PtoPネットワークへ流出 [IT Pro]

NTT Com、法人顧客情報48件がWinny上に流出 [INTERNET Watch]

2007年09月12日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 9/12

今日は月刊Microsoft Updateの発行日

Apache HTTP Serverに脆弱性：相次いでアップデート [ZDNet]

Tomcatがセキュリティアップデート：XSSやセッションハイジャックの脆弱性 [ZDNet]

Windows Messengerワーム、日本でも感染報告 [ITmedia]

Skypeを介して感染する強力なワームが登場 [COMPUTERWORLD]
「Skype for Windows」のチャットで拡散する新たなワーム「w32/Ramex.A」 [IT Pro]

ヤフーの「Right Media」、トロイの木馬の仕組まれたバナー広告を掲載 [CNET]

「Storm Worm」ボットネットの計算能力、スーパーコンピュータを凌駕 [ZDNet]
日本語の記事があったので貼っておく

マルウェアツールキットのIcePackにゼロデイ攻撃機能 [ITmedia]

日本人も狙った偽のセキュリティソフト、後を絶たず [ZDNet]

緊急通報の一次応答者を支援する団体「Tiers of Trust」が発足 [IT Pro]

不安と対策 [日本のセキュリティチームの Blog]

危険文字と言わないで [ockeghem(徳丸浩)の日記]

ネットの書き込みにトレーサビリティは必要か--「ネットID」を識者が激論（前編） [CNET]
基本的に不要
国家体制が替わったら必要になったりするかもしれないけどね

Windowsに便利な四つのセキュリティ・ツール [IT Pro]

TorrentSpy訴訟でMPAAに有利な裁定--プライバシー保護団体から不安の声 [CNET]

定番化した「画像スパム」と迷惑メールの最新の手口 [COMPUTERWORLD]

「消費者から苦情」と偽メール [IT Pro]

サーバのバージョン隠しは LifeHack のひとつ [雑文発散]
HiromitsuTakagiのブックマーク経由
ツール動かすだけが能の似非セキュリティ診断業者がご迷惑をおかけしてすみません（ブクマコメントより）
……「スクリプトキディvsスクリプトキディ、難解の大決斗！」ってノリっぽい（ﾏﾃ

Kasperskyの守りは3枚の盾で、ジャストシステム [@IT]

「Webの脅威に対抗」、ウイルスバスター2008発売へ [@IT]
トレンドマイクロがウイルスバスター2008を出荷，3段階の防御で危険性を排除 [IT Pro]

NOD32上位版の「ESET Smart Security」、日本語ベータ版が公開 [INTERNET Watch]

ソニー製品に再び潜むルートキットの影 [IT Pro]

オンラインゲーム特化のセキュリティサービス、アンラボ [@IT]

NEC、和歌山県庁へIP対応「総合防災情報システム」納入 - 受注額約35億円 [MYCOM]

セブン銀行、26,688件の預金者情報を記録したCD紛失 [INTERNET Watch]

ネトゲ公式ＨＰに不正ダウンロードの痕跡 [痛いニュース(ﾉ∀`)]

三重県警巡査の私物PCから個人情報含む捜査資料流出、Winny利用で [INTERNET Watch]

2007年09月10日のセキュリティホール情報 [NetSecurity]
2007年09月11日のセキュリティホール情報 [NetSecurity]

月刊 Microsoft Update 2007年9月号

いつものごとく、月刊Microsoft Update、出てます
今号のラインナップは、緊急1本・重要3本の計4本となっています
きっちりしっかり当てておましょう
恒例のごとく今月もめがっさアレな状況なのでリンク貼っとくだけですけど（TT

Microsoft エージェントの脆弱性により、リモートでコードが実行される (938827) (MS07-051) [緊急]
対象はWindows 2000

Crystal Reports for Visual Studio の脆弱性により、リモートでコードが実行される (941522) (MS07-052) [重要]
対象はVisual Studio .NET 2002/2003/2005

Windows Services for UNIX の脆弱性により、特権の昇格が起こる (939778) (MS07-053) [重要]
対象はWindows 2000/XP/2003/Vista

MSN Messenger および Windows Live Messenger の脆弱性により、リモートでコードが実行される (942099) (MS07-054) [重要]
対象はMSN Messenger 6.2/7.0/7.5およびWindows Live Messenger 8.0
ただし、2000用のMSN Messenger 7.0.0820およびWindows Live Messenger 8.1はこの脆弱性はないとのこと

＜付録＞
Microsoft® Windows® 悪意のあるソフトウェアの削除ツール (KB890830)
恒例の付録 その1

September 2007 Security Releases ISO Image
恒例の付録 その2

＜参考＞
9月のセキュリティリリース [日本のセキュリティチームの Blog]
MS、9月度月例パッチをリリース--「緊急」1件を含む4件を公開 [CNET]
マイクロソフト、9月の月例パッチ4件を公開 [INTERNET Watch]
MS月例パッチ、深刻なMSN Messengerの脆弱性などに対処 [ITmedia]

セキュリティ風味なニュース 9/10

9 月の「セキュリティ情報 5」の公開中止 [日本のセキュリティチームの Blog]
WindowsやSharePoint Serverで特権昇格が可能になるという脆弱性についてのパッチ1件をキャンセルとのこと
今月の月刊Microsoft Updateは9/12（日本時間）発行です

日本人狙う偽セキュリティソフト「MalwareBurn」、ウェブルートが警告 [INTERNET Watch]

Stormワームが繁殖して世界有数のスーパーコンピュータに迫る力を持ってきた [まっちゃだいふくの日記★とれんどふりーく★]

ソニー、rootkit的技術使用のUSBメモリについて修正ソフト提供を発表 [INTERNET Watch]

子供だけではない、フィルタリングソフトの必要性 [INTERNET Watch]
面白い記事

北欧F-Secure、2008年版セキュリティスイートを発表 [MYCOM]
ムーミンセキュリティの新版
……ムーミンインターフェイスがあるかは不明だけど

サーババックアップ戦略を左右する基本要素 [@IT]

不要なActiveXコントロールを削除する [@IT]

今度は「Wordスパム」が出現、広告をDOCファイルにして添付 [IT Pro]

行政機関における個人情報漏洩、2006年度ワーストは社保庁で約半数 [INTERNET Watch]

TBC情報漏えい事件高裁判決（1）プライバシー情報の流出で相対的に高めの賠償認容額に [IT Pro]

2007年09月07日のセキュリティホール情報 [NetSecurity]

セキュリティ風味なニュース 9/7

2007 年 9 月のセキュリティ情報 [Microsoft] （今アクセスしたら無いとかいわれたけどｗ）
9 月のセキュリティリリース [日本のセキュリティチームの Blog]
9月のMS月例パッチ、緊急は1件のみ [ITmedia]
そしてその緊急パッチはWin2K用のパッチらしい
今月の月刊Microsoft Updateは、9/12（日本時間）発行です♥

アップル、「iTunes」のセキュリティアップデート公開 [ZDNet]
新製品対応だけじゃないらしい……orz
ご利用の方はアップデートを

「セキュリティソフトの体験版をどうぞ」、トレンドをかたる偽メール [IT Pro]

偽のTorサイトに注意　Web閲覧匿名化ツール装いマルウェア配信 [ITmedia]
それなりにそっち方面を考えてるユーザをターゲットにしようとしている点が興味深い（ぉ

仮想環境でのセキュリティを考える [COMPUTERWORLD]

ぷららネットワークス、セキュリティ診断サービスを提供 [CNET]

ウィルコム、10月下旬から「有害サイトアクセス制限サービス」を開始 [CNET]

三菱東京UFJ銀行が35万人分の顧客情報を紛失 [J-CASTニュース]

人民解放軍、ドイツ・米国に続いて英外務省にも侵入 [Technobahn]
中国政府、人民解放軍による米国防総省ネットワーク侵入を否定 [COMPUTERWORLD]
……黒とか赤とか？

2007年09月06日のセキュリティホール情報 [NutSecurity]

セキュリティ風味なニュース 9/6

Apache Struts2に深刻