Last update 2000/10/03
ここには過去の「MS Watch」が集めてあります。
これより古い分については、こちらへ。
これより新しい分については、こちらへ。
MSNは密かにユーザを追跡(その2)
ASAHIネットのjouwa/salonから。
標題: MSNは密かにユーザを追跡(その2) --- 染葉さんから。 --- ここから --- ホットコーナー 2000/09/17号のMS Watchに、「標題: MSNは密かにユーザ を追跡」の中で書かれていた (中略) ...の件ですが、これについては以前にも手紙を差し上げたことがあります よ_ね。 この問題は、MSに協力する(協賛すると言うべきか?)企業には、ユーザが当 該企業のホームページにアクセスすると、繋がった途端にユーザのパソコンか ら、記録してある個人情報やログ・ヒストリを盗み出せるように仕組んである 問題の再燃なんです。前回の手紙でも申し上げた記憶がありますが、この問題 を外部から指摘されたとき、MSは「この機能は決して無くさない」と公言して いましたから、これからもこの問題は続くでしょう。 先日もアトランタの知人の子息から、「今までIE5でMSnにアクセスしていた けど、問題なので、Netscapeに変更したら、途端にアクセス拒否されました」 というメッセージを貰いました。どうも、それまで使っていた「IE5に、こっ そり書込んであったIDが存在しなくなったので、拒絶された」...というこ とのようです。彼は、止む無く有料の長距離通話で連絡し、ようやくMSnのキ ャンセルが出来た_そうです。 この問題は、MSnに限らず、今やMSの傘下に入ったHotMailでも同じことが起 っており、メンバーはかなり動揺を来たしているようです。只、こちらの方は、 「無料だから、止むを得ない」と諦めている人も居るようですが_。 まあ、安全のためには、IE(及びOutlook)を使わず、WSH (Windows Scripting Host)をOFFにして、他のメーラーにする方が賢明ですね。 --- ここまで --- ぼく、IEとOutlook関連、セキュリティホールが多すぎて憶えてないんです。 自分が使わないこともあって、どうでもいいしってのもあって。 でも、いまだにぼくのウェブページをみて、初めてIEとOutlookがこんなに 危険なものでそれが野放しにされているなんてびっくりしましたなんて言われ ると、載せるのは意味がまだまだあるなあと思ってやっています。 ということで、過去のと重複するのがあるかもしれませんが、それはそれで またそのときご指摘ください。 で、企業はユーザの購買行動、個人情報がほしいんですよね。サイト側とし てはそれが金になる情報なんで、MSはその情報を収集する仕組みは、IEから絶 対に削除しないと公言したんでしょうね。 ところで、ぼくのウェブを見に来る人で、クッキーをだまって受け入れる設 定にしている人は、どれくらいいるんでしょう。普通、プライバシーを気にす る人は、クッキーは全部拒否ですから、ほとんどいないのか、それとも意外に いるのか。
MSNは密かにユーザを追跡
ASAHIネットのjouwa/salonから。
標題: MSNは密かにユーザを追跡 --- MSが運営するMSNでは、密かにユーザを追跡していたことが判明しました。 2000/09/08に書いたWord/Excelなどのウェブバグのことかと思ったら、また 別ですね。 MSはMSIDという独自のIDを割り振って、MSが関連する数10のサイト(MSNも その1つ)で、ユーザの挙動を監視しているとのこと。 IEはクッキー関連のバグのためプライバシーが筒抜けになるという指摘を受 けて、MSは修正パッチを出しましたが、その修正を施してもなお、このMSがや っている複数のサイトにわたって行動を監視・追跡する方法には、無効である ことがバレちゃってますね。そのため、非常に巧妙で、悪質とプライバシー保 護団体は判断しているようです。 詳しくは、 http://japan.cnet.com/News/2000/Item/000914-5.html MSNサイトで密かにウェブユーザーを追跡するマイクロソフト をどうぞ。 新宿の地下街には、MSNのポスター一色になったところがあるし、テレビC Mも流しているけど、引っかかって入ったら、プライバシーバレまくりなんで しょうね。 テレビCMなんて、子育てに悩む主婦がMSNで同じ悩みの人たちを見つけて 助かる設定だけど、MSNの人間が、盗んだ秘密をネタに主婦強請まくりだった りして。 そうか、おれ、MSNに就職しようかな。\(^o^)/
IEのセキュリティホール
ASAHIネットのjouwa/salonから。
標題: IEのセキュリティホール --- 書いたばっかりなのに、また違うセキュリティホールのようです。 JavaScriptを使って自由にカモのパソコンからファイルを読み出せる ようですね。詳しくは、 http://japan.cnet.com/News/2000/Item/000907-2.html IEのセキュリティーホールがファイルを無防備に をどうぞ。 原因はここでもやはりActiveXです。
Win2000のストリームウイルス
ASAHIネットのjouwa/salonから。
標題: Win2000のストリームウイルス --- なんかよーわーらんけど、Win2000を標的にするストリームウイルスと いうのがあるそうな。 これの危険性については意見が分かれているそうです。詳しくは、 http://www.zdnet.co.jp/news/0009/06/b_0905_10.html Windows 2000搭載機に感染する「ストリームウイルス」 をどうぞ。
Donald Duckワーム
ASAHIネットのjouwa/salonから。
標題: Donald Duckワーム --- Donald Duckのメールワームが出回っているようです。詳しくは、 http://www.zdnet.co.jp/news/0009/05/b_0904_04.html 新たなI Love You類似ウイルス,リスクは「低」 http://japan.cnet.com/News/2000/Item/000906-5.html 『Donald Duck』ウイルスが流行中 をどうぞ。 I Love Youと同じとしたら、例によって、Outlook系が被害に遭うん でしょうね。 それにしても、フィリピンってワームやウイルスの名産地になりつつ ありますね。\(^o^)/
Word/Excelなどのウェブバグ
ASAHIネットのjouwa/salonから。
標題: Word/Excelなどのウェブバグ --- Word/Excel/PowerPointのファイルにちょっとした細工をしておくと、それ がどこで読まれているか、インターネットを通じて追跡できるそうです。しか も相手に気づかれずに。詳しくは、 http://www.hotwired.co.jp/news/news/20000901302.html 『マイクロソフト・ワード』などに文書追跡可能なバグ http://www.zdnet.co.jp/news/0008/31/office.html Office文書に“Webバグ” でも、これ、わざと入れてる気もしますね。 産業スパイが盗んだ文書がどこにあるかわかるわけでしょ。ライバルがスパ イをした証拠になりそうだし。 そういう利点?はあっても、プライバシー保護団体は、このバグに警告を発 しています。当然でしょうね。 MSの対応は鈍いとのこと。いつものことですが。
Bristol, MSに勝訴
ASAHIネットのjouwa/salonから。
標題: Bristol, MSに勝訴 --- BristolがMSに対して起こしていた訴訟で、100万ドルの損害賠償を勝ち 取りました。詳しくは、 http://www.zdnet.co.jp/news/0009/02/b_0901_05.html Bristolsの訴訟でMicrosoftに厳しい裁定 をどうぞ。 Bristolは、UNIX上でWindowsのソフトを動かすWind/Uというソフトを開発し ていました。そのために、NTのソースコードをライセンスしていました。とこ ろが、MSはライセンス料を引き上げることで、Wind/Uの開発をできないように しました。競争を不正に妨害したということで訴訟になったのです。 http://www.zdnet.co.jp/news/9907/19/bistol.html Bristolとの訴訟でMS側が勝利。だが他の訴訟への効果はなし にあるように、昨年の段階では、MSが勝っていたんですが、今回、それが覆さ れ、さらに独禁法違反についても言及されたようです。 参考 http://www.bristol.com/windu/index.html BristolのWind/U。
IEのセキュリティホール
ASAHIネットのjouwa/salonから。
標題: IEのセキュリティホール --- 修正されたはずのIEのセキュリティホールを使って、Hotmailのアカウント が盗めるそうです。詳しくは、 http://www.zdnet.co.jp/news/0009/02/b_0901_04.html IEの旧バージョンとHotmailの組み合わせに問題 http://www.zdnet.co.jp/news/0009/04/ie.html IEの旧バージョンとHotmailの組み合わせにセキュリティホール をどうぞ。 原理的には、NetscapeでもHotmailのアカウントが盗めるようです。最新版 にバージョンアップしたほうがいいでしょう。 それより簡単なのは、これまでもしばしばセキュリティがらみのトラブルを 起こしているHotmailを使わないことでしょうね。
Win2000にセキュリティホール
ASAHIネットのjouwa/salonから。
標題: Win2000にセキュリティホール --- やっぱ、止まるところを知らず。Win2000にセキュリティホールです。 悪用されるとマシンのネットワーク接続に支障をきたし、攻撃対象がドメイ ンコントローラだったら、ネットワークが死んじゃうそうです。SP1を当てる と大丈夫だそうです。詳しくは、 http://www.zdnet.co.jp/news/0008/30/w2k.html P1なしのWindows 2000にセキュリティ上の問題――ネットワーク接続遮断の恐 れも をどうぞ。
相も変わらず、サービスパック地獄かな?
MS、FrontPage用ソフトのセキュリティーホール修正
ASAHIネットのjouwa/salonから。
標題: MS、FrontPage用ソフトのセキュリティーホール修正 --- MSのFrontPage用ソフト、FrontPage Server Extensionsにセキュリティーホ ールがあって、これをMSが修正したのですが、重大なセキュリティホールなの に、密かに修正したので、セキュリティホールを隠す体質になっていると非難 されています。 詳しくは、 http://www.hotwired.co.jp/news/news/20000825303.html MS、『フロントページ』のセキュリティーホールを密かに修正 をどうぞ。 三菱自動車と同様ですね。でも、通産がMSに調査に入ることは考えられない しね。日本はアメリカの属国だからね。 それにしても、こんな危険なものなのに、記事によれば、いまもこれを使っ ている企業や組織は相当に多いようですね。ま、自業自得ですから。
IIS攻撃ツール
ASAHIネットのjouwa/salonから。
標題: IIS攻撃ツール --- ウェブベースで使いやすいIIS攻撃ツールが一般公開されました。 IISはMSのウェブサーバソフトです。以前からセキュリティホールがたびた び指摘されてきました。 チェコのIT分野の主要日刊紙で公開されたこのツールを使うと、IISの弱点 がすぐわかり、電子メールアドレスからユーザー名、パスワードにいたる個人 情報まで盗むことが可能と報じられたようです。 詳しくは、 http://www.hotwired.co.jp/news/news/20000821302.html MSサーバーの攻撃用ツールが一般公開 をどうぞ。 これを使うと、いろんなサイトを調べてIISのどのセキュリティホールがま だ開いたままかどうか調べられるようですね。こまめにパッチを当てていると ころも、一度、このツールで自分のところのIISを調べたほうがいいかも。 数日前の話だから、もう、とっくに攻撃を受けてたりしてね(苦笑)。
Windows版のApacheが伸びているから、セキュリティホールの多いIISを使っているところは減っているだろうけど、それでもまだ使っているところは、案外、パッチ当ててないんだよね。そういうことに無関心だからIISを平気で使い続けているともいえるんじゃないか。
成毛、数億円の脱税
ASAHIネットのjouwa/salonから。
標題: 成毛、数億円の脱税 --- MSKK(マイクロソフト日本法人)の前社長である成毛をはじめ、MSKKの人間 150人が70億円におよぶ脱税をし、30億円の追徴課税をされていることがわか りました。 中でも、成毛の脱税額は数億円に上るそうです。日経のサイトの記事で、成 毛が社長を辞めたとき、自ら辞任したということに疑念を呈する記事があって、 そこでは、納税額からの推測では、成毛の昨年の年収は10億円ほどあるとされ ていました。 やっぱり記録しておくといいですね。当該記事は、 http://bizns.nikkeibp.co.jp/cgi-bin/search/frame-biz.cgi?ID=97256 &FORM=biztechnews でした。 その記事にもあるように、成毛が社長を辞めたことについては、MS本社の了 解を得ず、独断で会社の金を使ってベンチャーやら派手に投資して、私腹を肥 やしていたのがビル・ゲイツにばれてゲイツが激怒して成毛がクビになったと いう説も信憑性を持って語られていただけに、その傍証になる脱税事件になり ましたね。 詳しくは、 http://www.nikkei.co.jp/news/main/20000822CCCI103222.html マイクロソフト日本法人、元社長ら70億円申告漏れ http://www.asahi.com/0822/news/business22020.html ストックオプションで申告漏れ150人 マイクロソフト http://www.mainichi.co.jp/digital/netfile/archive/200008/22-1.html ストックオプション70億円申告漏れ マイクロソフトの150人 をどうぞ。
WindowsとOfficeのサポート有料化へ
ASAHIネットのjouwa/salonから。
標題: WindowsとOfficeのサポート有料化へ --- MSがWindowsとOfficeに対して提供してきた無料電話サポートを止めて有料 化するようです。詳しくは、 http://japan.cnet.com/News/2000/Item/000812-3.html マイクロソフトがWindowsとOfficeのサポート方針を変更 をどうぞ。 ユーザサポートなんていう金がかかって儲けが減ることはしたくないという 意思表明ですし、ライバルを潰して制圧したら税金を徴収するのは独裁者の常 ですね。 1件あたり35ドルを徴収するようですから、日本でやると4000円取る のかな。これじゃ、相談に金を払う習慣が根付いていない日本の一般大衆は、 のけぞるだろうね。まあ、パソコンメーカーのサポート電話ならタダだからそ っちにかけるんだろうけれど。 4000円というと高いと思うけど、以前は、あるいはいまも、ロクな回答 ができない癖に質問1件あたり2万円も取るボッタクリ商売やってたのがMSKK (Microsoft日本法人)なんだから、これでも5分の1に大幅ディスカウントな んだね(爆笑)。
パスワードを盗むLoveウイルスの変種
ASAHIネットのjouwa/salonから。
標題: パスワードを盗むLoveウイルスの変種 --- 時間がないので、記事の紹介だけ。 パスワードを盗むLoveウイルスの変種が発見され、被害が出始めているそう です。詳しくは、 http://japan.cnet.com/News/2000/Item/000818-1.html パスワードを盗む新しい『Love』ウイルス http://www.zdnet.co.jp/news/0008/17/b_0816_52.html パスワードを盗むI Love Youウイルスの変種 をどうぞ。 でも、スイスの銀行が配ったソフトがインストールされていないと動かない という情報もあって、それがほんとなら、あんまり被害は出ないのかも。詳し くは、 http://www.zdnet.co.jp/news/0008/18/lovebug.html スイスの銀行顧客を狙ったLoveLetter型ウイルス をどうぞ。
WindowsとIEのセキュリティーホール
ASAHIネットのjouwa/salonから。
標題: WindowsとIEのセキュリティーホール --- きりがないWindowsとIEのセキュリティホールです。 悪意のあるプログラマーがローカルおよび遠隔のフォルダーを通じてコンピ ューターを乗っ取ることができるそうです。 詳しくは、 http://japan.cnet.com/News/2000/Item/000817-6.html 専門家がWindowsおよびIEのセキュリティーバグを確認 をどうぞ。
HotmailのサーバをFreeBSDからをWin2000に
ASAHIネットのjouwa/salonから。
標題: HotmailのサーバをFreeBSDからをWin2000に --- MSがHotmailのサーバをFreeBSDからWin2000に置き換えるそうです。ようや く、Win2000でも使えるメドが立ったんでしょうか(笑)。詳しくは、 http://www.zdnet.co.jp/news/0008/03/hotmail.html Microsoft,長年の課題解決に着手――HotmailサーバをFreeBSDからWin2000に をどうぞ。 これは、MSとしては大勝負でしょうね。 無料かつソース公開改造自由で高性能なFreeBSDを、高くてまだ実績もない Win2000で置き換えるわけですから。NT時代は怖くて移行できなかったんだも んね。 そんなNTでも、MSは、スケーラブル、強固だ、UNIXやメインフレームを抜い たなどと嘘八百を並べて売り込んだから、そんな毛針に引っかかるアホな企業 は、特にMSブランドを珍重する馬鹿企業が多い日本では、宣伝文句と最初の安 さに釣られてたくさんNT Serverを導入して、毎日、システムが落っこちるん でいまだに泣いてるもんね。 幸いというべきか、金がなかった企業は、FreeBSDやLinuxを入れて喜んでい るところ多いもんね。FreeBSDもLinuxも、ちょっとモノの常識を知ってる企業 はNTの代わりに社内サーバやインターネットサーバのOSとして使ってるもんね。 日本ではインターネットサーバとしてはLinuxよりFreeBSDのほうが人気が高い と思うし、ぼくが知っているところのヘビーな使われ方をするインターネット サーバはFreeBSDが多いですね。 そのFreeBSDをWin2000で置き換えるというんだから、MSのメンツを賭けたリ プレースですね。ちゃんと動いているんだったら、リプレースの必要もないと 思うけど、メンツが許さんのでしょうね。そういうメンツで企業が動くように なるとおしまいなんですけどね。メンツで動いていいのは、ヤクザと政治家。
MS、欧州で独禁法違反
ASAHIネットのjouwa/salonから。
標題: MS、欧州で独禁法違反 --- 朝日のような一般の新聞でも報道されていましたが、欧州委員会は、 MSを独禁法違反疑いで調査し、警告を出しました。詳しくは、 http://www.zdnet.co.jp/news/0002/10/eu.html Windows 2000,EU独禁法違反の可能性――欧州委が調査を開始 http://www.zdnet.co.jp/news/0008/04/ms_m.html Microsoft,Windows 2000めぐる欧州委員会の警告に反論 http://www.zdnet.co.jp/news/0008/05/b_0804_03.html Linux陣営,欧州委員会の対MS警告を評価 http://www.zdnet.co.jp/news/0008/05/b_0804_04.html 「MS調査は欧州委員会の職務」とSun http://www.zdnet.co.jp/news/0008/07/ec.html サーバOS各社の知る権利,どこまで?――欧州委員会による対MS調査の 争点をどうぞ。 MSがクライアントの独占的支配を盾に、サーバも支配しようと目論み、その ためにプロトコルやAPIを非公開にして、囲い込もうとしているのは周知の事 実です。 これだけ広がったプラットフォームであれば、一私企業の思惑やら気まぐれ で秘密裡にあれこれやられちゃ、みんなが迷惑するんだよね。社会的リスクは 非常に高まるわけ。 だから、OSのようなプラットフォームの部分は、徹底した情報開示がないと まずいし、その究極の姿であるオープンソースがいいという認識がもはや常識 化しつつあるんですよね。 欧州委員会の調査や警告も、この流れの中にあるものです。 特にMSのWindowsは、NSAがやってる世界的盗聴システム「エシュロン」のた めの裏口があるといわれて、EUはピリピリしているからね。
MSのセキュリティホールに学ぶ教訓
ASAHIネットのjouwa/salonから。
標題: MSのセキュリティホールに学ぶ教訓 --- Access, Outlook, IEなど各種MS製品のセキュリティホールが引き起こした 問題、そしてそれらの情報の扱い方について、Bruce Schneierが教訓とすべき ことをまとめています。詳しくは、 http://www.zdnet.co.jp/news/0008/04/schneier.html ウイルスでウイルスを制する方法の欺瞞 をどうぞ。
2重払いを強いるMSの契約
ASAHIネットのjouwa/salonから。
標題: 2重払いを強いるMSの契約 --- MSのライセンス契約は、顧客にソフトの使用料を2重払いを強いる理不尽な ものだと批判が出ています。詳しくは、 http://japan.cnet.com/News/2000/Item/000804-3.html 顧客を混乱させるマイクロソフトのライセンス契約 をどうぞ。 「Windows 95、98、NT、2000を購入する企業は、購入契約書によく目を通し た方がいい。必要以上にソフトウェアを購入させられる場合があるからだ」そ うです。 この件については、日本語訳がまだない時点で、村松がメールで知らせてく れていました。慶応の集中授業があったりして先週何にもできなかったので、 紹介が遅くなってすみません。 --- ここから --- CnetNewsで[Microsoft licensing deals confuse customers, study says] という記事を見つけました。8月4日現在まだ翻訳されていません。 ----- <http://news.cnet.com/news/0-1003-202-2427307.html> ----- 本文中に顧客の発言が引用されています。 >> Microsoft is insisting we buy upgrades for Windows versions we >> already got with the machines. どういうことでしょうか。 MS社は500台以上のマシンを持っている企業向けに、1枚のCD-ROMで複数イン ストールできるという「セレクトライセンス」という契約形態を提供していま す。また、企業向けのマシンはOSやアプリがあらかじめバンドルされているも のが大半です。 ある企業が、Windows2000をプレインストールしたマシンを新規購入したと します。この企業はセレクト契約によって常に最新のOSとアプリケーションを 購入し、Norton Ghostを使って全マシンに同じ環境を導入しています。今回新 規に購入したマシンには既に最新のOSが載っているので、OSをアップデートす る必要はありません。しかし、全社的に同じ環境を維持するために上書きしま した。 # Norton Ghostとは、PCのハードディスクイメージを作製してそれをネット上 で複数クライアントに配信するツールです。企業向ソフトですが、何を仕込ま れるか分からない学生実習用のマシン群の維持・管理のために導入している大 学もあります。 この場合、プレインストールされていたOSと上書きしたOSはまったく同一の ものです。すると、その企業はOSをアップデートした台数分の料金を払えば良 いように思えます。ところがMS社の主張では全台数分の料金を払う必要がある というのです。 理屈はこうです。バンドルされているOSはメーカを通じて購入したもので、 セレクトによって導入したOSはたとえそれが同一の物であっても契約上は別物 である。従って、その分も払わねばならない。(加えて、バンドル版について はメーカが責任を負うが、MS社からの物を上書きした場合メーカによるサポー トの義務は消失し、MS社に直接サポート...これは悪名高き、有料かつ無能 なサポート...を求めることになる。) これはOSに限りません。Officeスーツをセレクト契約により常に最新版にし ていいたとすると、Officeスーツプレインストールの最新マシンに同じことを すれば、これまた二重払いをすることになります。 記事によりますと、以前MS社はセレクトCDを自社の環境に合わせて手直しす ることを認めるような発言をしていましたが、現在は否定しています。つまり、 顧客は嫌でもWindows2000にWindows2000を上書きせざるを得ないということで す。また、10000ライセンスを越える上客についてはこの二重払いを求めてい ないという話もあります。 厳密に言えば、同一のソフトウエアであっても別途購入したものには金を払 うべきでしょう。しかし、マシンを買う時点でほぼ選択の余地なく買わされて しまったOSやソフトウエアに、これまた選択の余地なく上書きされてしまう同 一のOSやソフトウエアの代金を二重請求するというのは、倫理上問題がある気 がします。例外を設けているところなんか「汚いやり口」って感じがします。 なお、記事の結びとして、この問題に落ち込まない方策2種、 ・何もバンドルされていないマシンを買いセレクト契約のソフトを入れる ・メーカに希望の環境を仕込むように働きかける を示しています。要するに、メーカ経由とMS直販と二重に同一ソフトウエアを 購入しないようにはからうということです。でも、それについてはまた余分な コストがかかるという指摘もあります。困ったものですね。 --- ここまで ---
MS製品のセキュリティホール(その2)
ASAHIネットのjouwa/salonから。
標題: MS製品のセキュリティホール(その2) --- 小島さんからのメール。ありがとうございました。 --- ここから --- MS Watch 2000/07/26「MS製品のセキュリティホール」ですが、SANS のは <http://www.sans.org/newlook/resources/win_flaw.htm> です。MS 日本語 Security Bulletin はこちら: <http://www.microsoft.com/japan/security/prekb.asp?sec_cd=MS00-049> 日本語対応 patch はまだ出ていません。 Office 関連ではこの他に Microsoft Excel 97 / 2000 Register.ID Vulnerability というものも明らかになっており、 <http://www.securityfocus.com/bid/1451> <http://www.securityfocus.com/templates/archive.pike?list=1&msg= 396B3F8F.9244D290@nat.bg> MS Security Bulletin はまだ出ていないものの、すでに英語版 fix が出て いたりします。 <http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23246> <http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23247> --- ここまで --- ぼく個人は、Word/ExcelやらMS Officeを使うことは、ほぼゼロですけど、 企業や大学などで、大量導入しているところは、毎度毎度パッチの連続で大変 ですね。 あ、慶応の授業が来週。Word/Excelを使わないといけない(苦笑)。 以前も紹介しましたが、ぼくは、見るだけなら、Word/Excelをはじめいろん なファイルを表示できるアンテナハウスの自在眼を使っています。 http://www.antenna.co.jp/ アンテナハウス
ASAHIネットのjouwa/salonから。
標題: MS製品のセキュリティホール --- Windows 95/98/NT/2000のセキュリティホールのようです。以前紹介したの と似ていて同じような気もするけど、調べる時間もないし、いろんなMS製品に 影響するようなので、各自、記事を読んでください。詳しくは、 http://www.techweb.com/wire/story/TWB20000718S0004 Dangerous New Microsoft Vulnerability Revealed をどうぞ。 MSはパッチができるまで、詳細は公表しないように要請していたそうで、詳 細が公表されたということは、セキュリティホールの該当者はパッチを当てな いとやれるということですので、早急にパッチをあてるべきでしょう。 一応、このSANSという会社のサイトを調べたら、 http://www.sans.org/newlook/home.htm みたいだったので、行ってみましたが、どれが該当するのか、探せませんでし た。
Outlookのセキュリティホール
ASAHIネットのjouwa/salonから。
標題: Outlookのセキュリティホール --- MSのメールソフトOutlook(ここではOutlook系の総称として使います)にまた セキュリティホールが見つかりました。報告通りだとすると、相当に深刻です。 いままでは、「メールのプレビューをしない」「添付ファイルを開かない」 といったことに気を付けていれば、なんとかなりましたが、今度は、メールを 開いたり、あるいは受信したメールのフォルダを見るだけで、そのパソコンが 乗っ取られるようです。 まあ、Outlookを知らずに使っているユーザはやはり被害に遭うんでしょう ね。 この件について、染葉さんとofficeさんからメールを頂戴しています。 染葉さんから。 --- ここから --- Outlook及びOutlook Expressに、又もや(大きな)セキュリティホールが見つ かったようです。 今日、Vintage Solutionの松浦さんという方から、次のよ うな情報を頂きました。 ------------ 対象になるのは、表記の全製品ですが、この障害では“corporate and workgroup mode” では問題なく、“Internet-only mode” として動作してい るOutLookが対象となります。また、Outlook Expressの場合には、メールを開 かない限り、システムへの影響はないようです。 障害内容: GMT時間フィールドに長い文字列を埋め込んだメールを送信することにより、 INETCOMM.DLLを飽和させ、ユーザーの意志とは関係なく添付ファイルに埋め込 んだ実行プログラムを起動できる。これにより、システム上のファイル操作や 削除、トロージャンホースを利用した情報の盗み出しが可能となる。 原文情報: 詳しい情報が必要な方は、下記の2つのURLを参照下さい。 http://www.securityfocus.com/vdb/?id=1481 http://www.msnbc.com/news/432208.asp 対策: 本件に関するパッチはまだ提供されていないようですが、下記のページで状況 の確認が可能です。 http://www.microsoft.com/technet/security/default.asp ------------ 尚、Outlookに関連するセキュリティ設定は、下記のページでもまとめてある そうです。 http://www.vintage-solutions.com/Japanese/Antidote/Support/Topic/ protectmail.html --- ここまで --- officeさんから。 --- ここから --- ZDNNで「Outlookに新たなセキュリティホール――メッセージを送るだけでPC 乗っ取り」 http://www.zdnet.co.jp/news/0007/19/b_0718_09.html として流れたニュースについて。 Outlook及びOutlook Expressユーザはメールを見るだけでどんな被害にあうか わからない大きな危険性にさらされているということです。 ところで、このニュースではMSからのパッチが出るまでは詳細を公開しないと いうことでした。ところが発見者として報道されたUSSRとは別人のAaron Drew 氏がその内容をBugtraqで明らかにしてしまいました。 http://www.office.ac/tearoom/noframe.cgi で訳(?)を掲載しています。 Drew氏の言うにはUSSR Labs氏とAaron Drew氏は同じバグを同日にMSに報告し たらしいのですが、Drew氏は誤送信によって内容を公開してしまったとのこと です。USSR側はもちろん怒ってます。 DANNで報道されたようにMSがちゃんと5営業日以内にFixすればこんな諍いは起 こらなかったはずなのに。 http://www.zdnet.co.jp/news/0007/05/koch.html ということで全部MSが悪い。:P --- ここまで --- 受動的攻撃については、はまもとさんから、メールが来ています。 --- ここから --- IEのセキュリティホールの話題が7/19にでましたが、完訳に近いものが公開 されています。 ●受動的攻撃について http://www.geocities.co.jp/SiliconValley/1667/index2.html 書かれたのはセキュリティ監査で有名なINSI社の吉田さんです。 PDFファイルになっていますし、デモプログラムのアーカイブファイルもあり ます。 --- ここまで --- このPDFにある説明は、非常にわかりやすいです。 みなさん、ありがとうございました。今後ともよろしく。 とはいえ、セキュリティ・ウォッチはやる気はありません。やると、心身ぼ ろぼろになるもんね。OutlookやIEを使わないぼくには得られるものがないも んね。 今朝も、けっこうでかいセキュリティホールだと思って、こうやって書いて るけど、ガキは夏休みになったので、「父ちゃん、遊ぼう」といってきます。 それを、「あと、30分待って」といって待たせてるもんな。 そんなこんなで、被害を受けたユーザに対して、パソコン雑誌もマスコミも MSやMS製品が悪いと報じないし、そんな中で無知な状態に放置されていること など、昔は少しはかわいそうに思うことがありましたが、最近は、「自業自得 だよ、馬鹿。自分が痛い目に遭わないと気づかないもんね」と思う気持ちのほ うが強くなってます。今朝は特にそう(苦笑)。
IEにセキュリティホール
ASAHIネットのjouwa/salonから。
標題: IEにセキュリティホール --- #6305から、IEとOutlookのセキュリティホールの話が続きましたが(BBSの人 は、sh 6305で#6305をみて、sh followすると続きが全部読めます)、またセキ ュリティホールです。以前のと同じかと思ったら、違うみたい。これも、 ActiveXがらみ。ほんと、ActiveXは、怖いね。 officeさんから。 --- ここから --- BugtraqにGeorgi Guninskiより IE 5.5 and 5.01 vulnerability - reading at least local and from any host text and parsed html files (訳?:IE 5.5 及び 5.01 の脆弱性 - ローカルあるいはいかなるホストから もテキストファイルや単一のhtmlファイルが読まれること)というメールが流 れました。毎度毎度のことで嫌になりますね。 オリジナル文章は http://www.securityfocus.com/templates/archive.pike?list=1&date=2000- 07-08&msg=396EF9D5.62EEC625@nat.bg デモは http://www.nat.bg/~joro/dh2.html で見れます。 訳を私の掲示板 http://www.office.ac/tearoom/noframe.cgi の記事No.59に出しました。 --- ここまで --- ファイアウォールの向こうからも情報を盗めるみたいで、便利ですね(笑)。 さすが、マイクロソフト。これで、MSNやmicrosoft.comに来た連中のディスク の中身、吸い上げてたりして。^^; officeさん、parsed html filesをどう訳すか悩んでらっしゃるようですが、 SGML/XMLの世界だと、parsed entityは解析対象実体なので、解析対象HTMLフ ァイルになるんでしょうかね
W2Kの怪しいスケーラビリティ
ASAHIネットのjouwa/salonから。
標題: W2Kの怪しいスケーラビリティ --- これもずいぶん前のネタなんですけど、忘れていたので。 Windows 2000のData Center Serverは、MSがいうより出来が悪くて、スケー ラビリティがないようです。詳しくは、 http://www.techweb.com/wire/story/TWB20000524S0004 Microsoft OS Beta Isn't Scaling As Billed をどうぞ。 MSの場合、こういう嘘は毎度のことですね。 幹部は、NTを発表したとき3年でメインフレームを抜くなどと大言壮語して いまだに果たせず、ゲイツも来日したとき、NTはメインフレームを超えたなど 大嘘こきまくりでした。 でも、これに騙される馬鹿が多かったことが、日本でのNT異常人気の理由の 1つですね。警鐘を鳴らすメディアがないのも、騙される馬鹿が多い大きな原 因です。 ちょっと視点は変わりますが、MSに騙されずに、NTを使わずにFreeBSDや Linuxでインターネットサーバを組んだところは、いま幸せですね。ハードの 不良以外ではまず落ちないし、料金的にはタダ同然だから、自分で面倒も見ら れるなら、NTよりコストパフォーマンスは桁違いにいいもんね。コスト競争に さらされている企業ほど、利いてきますね。 スケーラビリティでは、NT系列の場合、メインフレームを抜くどころか、メ インフレームにはますます差をつけられているし、AS/400にも圧倒的な差をつ けられています。 当面のターゲットだったUNIXにも追いつけない。ミッドレンジのUNIXに追い つけないし、ハイエンドは逆に差をつけられる有様。 ローエンドは、LinuxやFreeBSDにやられているわけで、サーバ市場での先行 きは暗いよね。スケーラビリティ、クラスタリングでいえば、逆にLinuxに抜 かれつつあるといっていいんじゃないかな。 勝ってるのは、OS/2 Warp Serverに対してだけ? でも、Warp Serverにだ って、IBMの総合力を考えると、勝ってるとは言い難いかも。 スケーラビリティのなさは、NTの初期からずっと指摘されてきたことで、MS はその非難をかわすために、ゲイツを筆頭に全社で嘘をつきつづけて、詐欺的 行為を繰り返してきました。 その様子は、ぼくのウェブページの http://www.asahi-net.or.jp/~ki4s-nkmr/ms-cs1.html#case-study- scalability Scalability Dayの嘘(1997/11/17記録) http://www.asahi-net.or.jp/~ki4s-nkmr/ms-cs.html#case-study- TerraServer MS TerraServerの嘘(1998/07/20記録) http://www.asahi-net.or.jp/~ki4s-nkmr/ms-cs.html#case-study-NT- vs-Linux 「NTはLinuxより2.5倍速い」はMSお得意の謀略情報説(1999/05/08記録) などを読んでいただければと思います。
MS、TPCトップは幻(その3)
ASAHIネットのjouwa/salonから。
標題: MS、TPCトップは幻(その3) --- やはり、ZDNet Japanの著者間違いでした。 メールで連絡したわけではなかったのに、わざわざZDNet Newsの鈴木さんか らメールが来ました。ありがとうございます。 --- ここから --- ZDNet Newsの鈴木と申します。 2000/07/10 MS、TPCトップは幻(その2) でご指摘いただいた 「業界で高まるOracle批判――Ellison氏は第2のGates氏か?」 http://www.zdnet.co.jp/news/0007/06/oracle1.html この記事ですが,筆者は確かにMary Jo Foleyで,John Spooner & Matthew Rothenbergというのは誤りでした。 ご指摘を受けて,訂正しました。読者の方を混乱させてしまって申し訳ありま せんでした。 --- ここまで ---
Excel 2000にセキュリティーホール
ASAHIネットのjouwa/salonから。
標題: Excel 2000にセキュリティーホール --- MS製品の欠陥の多さ、特にセキュリティホールの多さは毎度のことですが、 今度は、Excel 2000にセキュリティホールです。 http://japan.cnet.com/News/2000/Item/000713-2.html 『Excel 2000』にセキュリティーホール をどうぞ。 MSがセキュリティを強化したはずの警告システムを回避して、任意のDLLを 実行できるので、あらゆる攻撃が可能なようです。したがって、個人情報を盗 むことも、企業の情報システムの破壊も可能です。 これも例によって同じことの繰り返しですが、MS製品を使わないのが安全で す。
Hotmailでメールアドレス流出
ASAHIネットのjouwa/salonから。
標題: Hotmailでメールアドレス流出 --- MSが買収して以来、トラブルが目立つHotmailですが、また、問題を起こし ました。 会員のメールアドレスが外部に漏れていたことが判明。ざっと100万人はメ ールアドレスが外部に流れたんではないかと。 「問題の原因は、ホットメールではウェブアドレスに個人の電子メールアド レスが含まれていることであり、バナー広告が入った電子メールを読むと、 そのウェブアドレスが、バナー広告を出している外部の企業に送られてしまう こと」だそうです。 つまり、会員のメールアドレスが、広告業者に半自動的に横流しされる、広 告業者にとってはベリーナイスな(苦笑)仕掛けになっているようです(爆笑)。 笑いごっちゃ、ないばい。 詳しくは、 http://japan.cnet.com/News/2000/Item/000713-6.html 『ホットメール』バグで電子メールアドレスが流出 をどうぞ。
Re: MSがISP事業から撤退
ASAHIネットのjouwa/salonから。Silver_PONさんの書き込みへのコメント。
標題: Re: MSがISP事業から撤退 --- >☆敗退! それとも転進?! マイクロソフトがインターネット接続事業に見切り >http://www25.nikkeibp.co.jp/wcs/leaf?CID=onair/nc/news00/106841 > >よっぽどもうからなかったのでしょう。 いままでも、メールが送れなかったり、退会できなかったり、あれこれトラ ブル続きで、雑誌の「Yahoo! Japan」の顧客満足度調査でも、AOLと並んでダ ントツの最下位争い(20位以下)でしたからね。 ぷららと業務提携して、ぷららにISP事業は売り払って、ポータル事業に専 念するようです。詳しくは、 http://www.zdnet.co.jp/news/0007/06/msn_plala.html ●ぷららとマイクロソフトが業務提携。MSNはポータル事業に専念へ をどうぞ。 でも、ポータルに特化しても、トラブル続きで顧客満足度も低い体質を改善 できないと、先はないでしょう。 MSって、オンライン雑誌や不動産情報、自動車情報など、インターネットが らみのサービス事業は何年もやってるけど、全部、ぱっとしないんだよね。 今後は、オフィスソフトも売るんじゃなくて、ネット経由で使用料を徴収す る方向でサービスを展開するといってるけど、いまのような体質じゃ、無理だ と思う。 MSの成功要因の大きなものは、OSやオフィスソフトを、一般大衆からすれば 圧倒的少数のメーカの担当者をアメとムチでコントロールして、ソフトをハー ドに強引に抱き合わせ販売させてきたことです。大衆相手では、これは通用し ませんからね。 サービス業の体質じゃないんだよね。MSがそごうを買えばいいのにね(笑)。 少しは体質がサービス業向けになるんじゃない。何より、おれらの税金を投入 しなくていいから、ゲイツは日本国民の恩人として大感謝されるでしょう。 \(^o^)/
MS、TPCトップは幻(その2)
ASAHIネットのjouwa/salonから。
標題: MS、TPCトップは幻(その2) --- 染葉さんから --- ここから --- 7月9日号ホットコーナーの「MS、TPCトップは幻」の中で、僕がお伝え した記事は Mary Jo Folleyが書かれたものです が、引用されたURLにある記事「業界で高まるOracle批判――Ellison氏は 第2のGates氏か?」は、[John Spooner & Matthew Rothenberg, ZDNet/USAが 書いたものですので、内容・視点が違っているものです。(多分、混同された のでしょう。) 尤も、どちらもオラクルに暗雲が漂い始めた_という見方に は共通点はありますが_ね。 --- ここまで --- というメールが来ましたが、読めばわかるように、中身は一緒です。内容・視 点の違いはありません。 本家ZDNetを検索などして探してみましたが、John SpoonerとMatthew Rothenbergが書いた今回のOracleの記事は見つかりませんでした。 ということで、ぼくは、ZDNet Japanが著者を間違えていると判断していま す。本当は、Mary Jo Folleyのはずが、間違ったクレジットをつけていると思 います。間違いですか? > ZDNet Japan なお、ZDNet Japanの原文としては、Sm@rtPartner版ではなくて、ZDNet News版の http://www.zdnet.com/zdnn/stories/news/0,4586,2597643,00.html のほうがページ構成も同じでより適切でした。これも著者は、Mary Jo Folley です。
MS、TPCトップは幻
ASAHIネットのjouwa/salonから。
標題: MS、TPCトップは幻 --- ゲイツおよびMSは、同社のWindows 2000とSQL Server7.0が、データベース のベンチマークの標準TPCで圧倒的なトップになったことを自慢していました が、ベンチマークの条件を満たしていないことが判明。正式な記録としては認 められず、結果として嘘つきになってしまいました。 反MS陣営から簡単にいえば、MSが例のごとく、インチキをしてでっち上げた ことがバレたから、記録が無効になったということです。 MS陣営からすれば、MSにトップを取られたくないSunとOracleが結託して、 ベンチマークの条件をMSに不利なように変えて、MSの記録が無効になるように 仕掛けたということです。 この記録が出たのは、今年はじめで、このシステムが実際に利用可能になる のは、8月以降になっていたから、この業界、半年あれば、別のところが抜き 返すだろうくらいに思っていたんですが、MS側に立った言い方をすれば、抜き 返そうにないので、OracleとSunが仕掛けたんでしょうかね(笑)。 詳しくは、 http://www.zdnet.co.jp/news/0007/06/oracle1.html 業界で高まるOracle批判――Ellison氏は第2のGates氏か? をどうぞ。 この記事自体は、OracleとEllison批判ですが、その冒頭に、MSのTPCの記録 が認められなかった話が出てきます。 こういうベンチマークは、どれほど厳密にやっても所詮自分のところの実環 境じゃないので、あくまで参考ですよね。ベンチマークをやるなら、自分の実 環境でやって比べないとほとんど意味はないです。雑誌にどう書いてあろうと も、自分の実環境で一番速いものが速いものです。 でも、最近はシステムが複雑ででかいから、比較対象のソフトやハードを揃 えて、自社の実環境でベンチマークするなんてのが、非常に大変ですからね。 そういう性能評価屋の商売ってないんでしょうか。 なお、この件、染葉さんからも原文のほうを数日前に教わってました。 --- ここから --- 下記URLに、Mary Jo Foleyが書いたコラムがあり、先般ビル・ゲーツが 「Compacサーバを使ってテストした結果、Windows 2000がデータトランザクシ ョンで世界新記録を樹立した」と報告した内容は、信憑性に欠け、信頼が置け ない_と、民間の機関が報じたことを書いています。 [ ZDnet Sm@rtPartner ] http://www.zdnet.com/sp/stories/news/0,4538,2597643,00.html 英文ですが、記事の中で、MS/Compac連合の信憑性にも触れています。 興味 があれば、一度覗いて見ては如何。 --- ここまで --- これ、Sm@rtResellerかと思ったら、Sm@rtPartnerという雑誌なんですね。 PC WeekもeWeekになったし、最近、ZDの雑誌、何がどうなってるのか、よーわ ーらんです。おれの頭が悪いだけなんだけど。
IEとOutlookのセキュリティホール(その4)
ASAHIネットのjouwa/salonから。
標題: IEとOutlookのセキュリティホール(その4) --- (その4)じゃなくて、新しいタイトルをつけたほうがいいのかもしれません が、IEとOutlookにまたまたまたまたまたまたまたまたセキュリティホールで す。 詳しくは、 http://japan.cnet.com/News/2000/Item/000630-7.html MSの『IE』や『Outlook』などにまたセキュリティーホール をどうぞ。 いずれも、ユーザのマシンを乗っ取れる強烈なセキュリティーホールですが、 3番目の奴が、この前から話題にしているセキュリティホールです。 1番目と2番目も強烈です。 どれも、ユーザのマシンに死体放題です。あ、いい、誤変換。
IEとOutlookのセキュリティホール(その3)
ASAHIネットのjouwa/salonから。
標題: IEとOutlookのセキュリティホール(その3) --- > あれって、「ユーザーの個人情報を特定のサイトに素早く >送ってしまう」話だったのかあ。 > ぼくのかすれた記憶では、 >(1) ひょっとして、IEのお気に入りの情報をMSがユーザに気づかれない >ように勝手に収集しているなんて話だった? >(2) あれ、そうじゃなくて、お気に入りのメニューのアイコンを送りつける >機能があって、それでどうのこうのだった? >(3) あれ、そうじゃなくて、お気に入りのメニューで選ぶと、ユーザが何を >選んだか、こっそりMSには通知されているってな話だった? などと書いたら、jiroさんから、1999年3月中旬のMS Watchにその話が出てい ると教わりました。自分のウェブページで、しかも自分のローカルマシンだと 検索するのは簡単なのに、読者から教わるとはいい度胸しているよね、おれ。 ASAHIネットのウェブページに、Namazuのような全文検索のCGIって用意されて いないんでしったけ。 ともかく、jiroさん、ありがとうございます。 --- ここから --- MS Watchの去年の3月18日頃です http://www.asahi-net.or.jp/~ki4s-nkmr/mswatch18.html --- ここまで --- 1999/03/09に、「Win98はプライバシー筒抜け」と題して、「Win98は、オン ライン登録でユーザの個人情報をこっそりMicrosoftに集めるようになってい たことを、Microsoftが認めました」と書いてありました。ちゃんと、染葉さ んからもこの件でメールもらってるのね。 以後、「Win98はプライバシー筒抜け(その6)」まで書いているから、相当、 盛り上がった話題だったのに、メールをもらったことはおろか、こういう話題 書いたことさえ、おぼろげですからね(笑)。まあ、記録が残っていたよかった なあと(苦笑)。 いま読んでみると面白いですね。 「Win98はプライバシー筒抜け(その5」)は、Wordで文書を作ると個人情報 がぎっしり詰まっているから、うかつに告発文書など書こうものなら、すぐば れちゃうという、すごい話です。ああ、あった、あった。 それから、1999/03/29にメリッサが登場しています。ああ、このときの反省 が全然ないから、「I Love You」ワームにやられちゃったんだよね。人類は1 年間馬鹿のままだったわけですね。まあ、人類は100万年くらい馬鹿のままだ から、こんなの、そんなもんかだよね。\(^o^)/ さて、プライバシー問題に関して、iMacさんが当時の記事を調べてください ました。ありがとうございます。 メールから一部抜粋。 --- ここから --- http://homepage2.nifty.com/winfaq/news.html#news2 ■ Windows98 にプライバシー侵害問題 > Windows98 をオンライン登録すると、オプションの有無にかかわらず、 > PCの個人情報がマイクロソフトに送信される問題が N.Y.TIMES の記事で > 明らかに。 http://sites.netscape.net/someha/ie5matters1 > 理由の1:IE5はユーザーの個人情報を赤の他人に呉れてやる機能を持って > いる4月16日付のWirerd News Reportは、米マイクロソフト社のウェブ > ブラウザーのInternet Explorer (インターネット・エクスプローラ 5.0 > (以下IE5))には、ユーザーには全く知 らせないにも拘わらず、 > ユーザーが或ウェブ ページを「お気に入り (Bookmark)」に登録すると、 > そのことをそのサイトに知らせるようになっている機能のあることを > 暴露してい る。 --- ここまで --- 2番目の記事は、染葉さんのサイトですね。これが、 >(1) ひょっとして、IEのお気に入りの情報をMSがユーザに気づかれない >ように勝手に収集しているなんて話だった? >(3) あれ、そうじゃなくて、お気に入りのメニューで選ぶと、ユーザが何を >選んだか、こっそりMSには通知されているってな話だった? と書いた話につながるわけですね。 まだ、少しは、脳ミソ、残ってるじゃん、おれ。よかったあ。