MS Watch

Last update 2003/04/17

 ここには過去の「MS Watch」が集めてあります。

 これより古い分については、こちらへ

 これより新しい分については、こちらへ


2003/03/28

XP/2000/NTにDoS攻撃のセキュリティホール

 ASAHIネットのjouwa/salonから。

標題: XP/2000/NTにDoS攻撃のセキュリティホール
---
 最近また連日のようにMS製品のセキュリティホール、それも深刻なものが出
ていますね。今回は、Windowsの根幹であるRPCに関するものです。これを悪用
されるとDoS(サービス妨害攻撃)を受けるそうです。詳しくは、
http://bb.watch.impress.co.jp/cda/news/1060.html
Windows XP/2000/NTにDoS攻撃を受ける可能性がある脆弱性
をどうぞ。
 すごいのは、「Windows NT 4.0/NT 4.0 Terminal Server Editionにおいて
は、修正パッチを提供することができない」という点。NTはどうしようもない
から、ユーザが自分でなんとかしてくれってことです。
 さすが、マイクロソフトの「信頼できるコンピューティング」ですね。

 以前書いたと思いますが、このRPCの135番は、ふさいでいないと、IEなんか
を遠隔コントロールされることもあったと思います。そのデモンストレーショ
ンツールも紹介したと思います。名前とか忘れちゃいましたが。
 ぼくはそのとき、Norton Internet Securityの設定で、このポートをふさぎ
ました。
2003/03/27

Windows 2000は至急パッチを

 ASAHIネットのjouwa/salonから。

標題: Windows 2000は至急パッチを
---
 #9888「国防総省もやられた? IISにセキュリティホール」、#9894「IISパ
ッチがバグってた」で紹介したWindows 2000とIISのセキュリティホール、な
んと、IIS関係なくもっとひどいセキュリティホールだったそうで、IIS使って
なくても至急パッチを当てるべきだそうです。iMacさん、いつもありがとうご
ざいます。
 詳しくは、
http://www.lac.co.jp/security/intelligence/SNSSpiffy/5.html
をどうぞ。ここからリンクがある
http://www.lac.co.jp/security/intelligence/SNSSpiffy/
New_Attack_Vectors_and_a_Vulnerability_Dissection_of_MS03-007.html
をみると、ファイルシステムを触るAPIはほぼ全滅ですね。当然のように多く
のDLLも危険な状態ですね。
 IISを使ってないからいいやと高をくくっていたぼくも、さすがにすぐパッ
チを当てました。みなさんもすぐ当てましょう。

関連:この前までの話です
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030318/1/
Windows 2000に「緊急」のセキュリティ・ホール,IISサーバーが乗っ取られ
る
2003/03/25

HTMLメールの無効化の続きの続き

 ASAHIネットのjouwa/salonから。

標題: HTMLメールの無効化の続きの続き
---
 永嶋さんから。
--- ここから ---
Show's Hot Cornerはいつも楽しみに拝見しております。

「HTMLメールの無効化」に関しまして「メールをローカルに取り込む前にサー
バ上で削除する」機能のあるメイルソフトについてとりあげられてますが、メ
イル削除の専用ソフトが複数存在するようですのでお知らせいたします。

>  ■メールボックスの中味を一覧表示し、その中から不必要なメールだけ
を削除できるソフト
> (どうしても何通目かのメールが詰まって受信できない場合に便利です)
>    nPOP(Windows95/98/Me/2000/NT)
>     http://www.forest.impress.co.jp/library/npop.html
>    Winポチ(Windows95/98)
>     http://www.vector.co.jp/soft/win95/net/se090622.html
>    DeleMail(Windows95/98)
>     http://www.vector.co.jp/soft/win95/net/se091598.html
>    MaestroMailChecker(Win95/98/NT4/Win2000)
>     http://www3.freeweb.ne.jp/computer/maestro/soft/
>    Mail-Delete(Macintosh)
>     http://www.asahi-net.or.jp/~gj3t-tki/REALbasicAPL/Mail-
Delete.html
>    メールフィルタ(Macintosh)
>     http://webclub.kcom.ne.jp/mc/hi6/Mac/mailfilter.html
 
情報源は、Angel.netの
「電子メール・ニュースの設定方法」
 http://www.angel.ne.jp/mailsettei.html
です。
 実は、中村さまのサイトでMac版ソフトが取り上げられてないのを残念に思
い(おそらくMacユーザも多く貴サイトを訪れていると思いますので)、上記
リストにもありますMail-Deleteをお知らせしようと思いましたら、Mail-
Deleteのサイトから上記の情報にリンクが張ってあったというわけでございま
す。
 なお、Mail-Deleteはver.1.40からwindows版も存在するようでございます。
--- ここまで ---

 ありがとうございます。Mac版のソフトを採り上げてないのは、自分が使っ
てないからです。
 社内抗争ばっかりやって、MacintoshのOSの腐り具合を放置したAppleに愛想
が尽きて、ずっと見捨てたままだったんです。最後に買ったのは、Performa 
520で、OSはたしかMacOS 7だったもんね。PowerPCのMacintoshですらない。^^;
 最近、やっとMacOS Xでまともになってきたから、ちょっと気になってきて
います。そうそう、Macintoshにハードコア層が目を向けているという記事が
以前あったので、紹介しますね。

 Macintoshがハードコア層に人気が出ているという話は、今日の「乳の詫び状」をみてください。

2003/03/23

IISパッチがバグってた

 ASAHIネットのjouwa/salonから。

標題: IISパッチがバグってた
---
 米国防総省が被害に遭ったというWindows2000とIISのセキュリティホール、
MSが出したパッチがバグっていて、システムが動かなくなるそうです。中沢さ
んありがとうございました。詳しくは、
http://www.zdnet.co.jp/news/0303/21/nebt_16.html
MSのパッチでシステムがフリーズ
をどうぞ。
 MSのパッチは、これがあるから、怖くて当てられないというシステム管理者
が多いんですよね。Windows Updateも怖いしなあ。
 この前の全Windowsに影響する深刻度緊急のセキュリティホールだって、全
ユーザはWindows Updateをなんていわれても、困るよな。

Sambaにセキュリティホール

 ASAHIネットのunix/generalから。

標題: Sambaにセキュリティホール
---
 ちょっと前の話ですが、Sambaにセキュリティホールが出ています。詳しく
は、
http://www.zdnet.co.jp/news/0303/19/nebt_13.html
実例報告で前倒しされたSamba脆弱性公表
http://us1.samba.org/samba/whatsnew/samba-2.2.8.html
Samba.org
http://www.samba.gr.jp/news-release/2003/20030317-1.html
日本Sambaユーザ会
をどうぞ。

qpopperにセキュリティホール

 ASAHIネットのunix/generalから。

標題: qpopperにセキュリティホール
---
 これもちょっと前の話ですが、qpopperにセキュリティホールが出ています。
詳しくは、
http://www.eudora.com/qpopper_general/
をどうぞ。
 詳しい解説は、
http://techstyle.jp/
TechStyle
のニュースレターを申し込んでください。

カーネルにセキュリティホール

 ASAHIネットのunix/linuxから。

標題: カーネルにセキュリティホール
---
 Linuxカーネルにセキュリティホールが出ています。詳しくは、
http://www.zdnet.co.jp/news/0303/20/nebt_17.html
Linuxカーネルにセキュリティホール
をどうぞ。
2003/03/21

XDRにセキュリティホール

 ASAHIネットのunix/generalから。

標題: XDRにセキュリティホール
---
 XDRにセキュリティホールが出て、ほぼすべてのUnixとXDRのライブラリを使
ったアプリに影響するとのこと。詳しくは、
http://www.zdnet.co.jp/enterprise/0303/20/epn07.html
再びXDRライブラリに脆弱性、広範なUNIXシステムに影響
をどうぞ。

全Windowsにセキュリティホール

 ASAHIネットのjouwa/salonから。

標題: 全Windowsにセキュリティホール
---
 全Windowsにセキュリティホールが出ました。しかも深刻度は緊急。詳しく
は、
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030320/1/
Windowsにまたもや「緊急」のホール,すべてのユーザーはWindows Updateの
実施を
http://www.zdnet.co.jp/news/0303/20/nebt_18.html
Windows全バージョンに「緊急」の脆弱性
http://www.zdnet.co.jp/news/0303/20/njbt_04.html
Windows「緊急」の脆弱性、日本語情報が公開
をどうぞ。
 Windows Updateやれっていうけど、かえっておかしくなりそうだから、いや
なのよねえ。ブロードバンドじゃないし。^^;

国防総省もやられた? IISにセキュリティホール

 ASAHIネットのjouwa/salonから。

標題: 国防総省もやられた? IISにセキュリティホール
---
 Windows 2000のIISに任意コードを実行できるセキュリティホールが出てい
ます。詳しくは、
http://internet.watch.impress.co.jp/www/article/2003/0318/iis.htm
Microsoft、Windows 2000の「IIS 5.0」に任意のコードを実行できる脆弱性
http://www.zdnet.co.jp/news/0303/18/ne00_win2000.html
Windows 2000に「被害報告あり」のセキュリティホール
をどうぞ。
 このセキュリティホールで、米軍がやられたという話が出ていましたが、米
軍というより国防総省のようですね。まあ、似たようなもんですが。^^;
 詳しくは、
http://www.zdnet.co.jp/news/0303/20/ne00_hack.html
Win2000/IISの脆弱性、「被害報告」の主は米軍か
http://www.zdnet.co.jp/news/0303/20/nebt_14.html
米軍、攻撃受けたサーバ「陸軍ではない」
をどうぞ。

 あと、unix/generalに書きましたが、UnixのXDRライブラリにセキュリティ
ホールが見つかってますね。イラクが戦争状態になって、アメリカや日本にも
サイバー攻撃があるでしょうから、気をつけないとね。

HTMLメールの無効化の続き

 ASAHIネットのjouwa/salonから。

標題: HTMLメールの無効化の続き
---
 みなさんから、いろいろメールもらってます。みなさん、ありがとうござい
ます。長くなりますが一気に。
 中村さんから。
--- ここから ---
 さて、「2003/03/18 HTMLメールの無効化 」にて、ウィルス対策として
・メールをローカルに取り込む前にサーバ上で削除等を実施する。
という手段を挙げられておりますが、同様の機能はBecky!2(B2)でも可能です
のでお知らせいたします。
 キモは「リモートメールボックス」と「受信サイズ制限」です。
 先ず、各メールアカウント用の「メールボックスの設定」で「受信」の設定
として「受信サイズ制限」をかけます。
 コレは、指定された容量以上のメールはダウンロードすることなく、受信箱
にはsubjectやfromなどの情報に「容量を超えています」という本文を添えた
形で通知メールが入るものです。
 よほど頻繁に添付ファイル付きのメールをやりとりしているのでもない限り、
100KB程度を制限値としておけば、たいていの汚染されたメールは引っかける
ことが可能となります。(私の環境では50KBで制限をかけております)
 ついで、「リモートメールボックス」機能でもって、ローカル取り込むこと
なく、サーバ上のメールをそのまま確認します。ココで、各ヘッダ情報などか
ら怪しいモノを削除してやれば、ローカルに取り込む前にはじくことが出来ま
す。
 ひょっとしたらEdMaxの機能も同様なものかもしれませんが、この機能を使
用すると、サーバ上のメールの一覧と、各々のヘッダ情報のみを取り込み・表
示してくれます。
 で、必要なメールのみを指定して取り込み指示をかけることも、逆に、不要
なメールのみの削除を指示することも可能なのです。
 この二つの機能とHTMLのテキスト化を合わせて利用することで、メール経由
での感染はかなりの確率で回避できると思います。

古くからのBecky!ユーザ(&ファン)として、ご一報まで。
--- ここまで ---

 「EdMaxの機能も同様なものかもしれませんが」の機能は、同様です。
 染葉さんから。
--- ここから ---
「標題: Re: HTMLメールの無効化」の件で....
 Netscape 6或いは7シリーズは、そこかしこに未完成な部分があって、小生
はいまだに4.77(英語版)を使っていますが、もし発信者のアドレスが特定出
来るようなら、Edit(日本語版なら編集)からMessage Filters(多分、メッ
セージ・フィルター)を選んでフィルターの設定をすると良いと思います。
 フィルターは1グループで五つまでしか設定できませんが、幾グループでも
作れますので、必要に応じて沢山作ります。
 また、フィルターに引っ掛かったメールの送り先には、単純にTrash(削除)
にせず、適当な名称をつけた別フォルダーにしておくと、一括削除するのに便
利です。
 その他、小生はTrashの下に「怪しいメール」フォルダーを作って、なんと
なく怪しいメールやウイルスメール(標題欄を見るだけで判る)は全部放り込
み、そのフォルダーだけのウイルスチェックをして、安全が確かめられたメー
ルだけを開きます。(勿論、ウイルスメールは削除)
 着信メール欄にあるというだけでは安全なので、キーボードのCtrlを押しな
がら問題のメール行を全部クリック(Ctrlを押しながらクリックするとメール
は表示されません)してから、一括して所定のフォルダーに放り込み、あとで
フォルダーの中味を丸ごと削除(メモ帳で開いてから、全てを選択して、
Deleteキーを押し、それを上書き保存することで可能)します。
--- ここまで ---

 「着信メール欄にあるというだけでは安全なので」は、「着信メール欄にあ
るというだけでは安全ではないので」の間違いでしょうか?
 Shibasakaさんから。
--- ここから ---
 標記の件について,HTMLメールの無効化ではありませんが,それとほぼ同様
の効果を持つソフトにジャストシステムのShurikenシリーズがあります。
http://www.justsystem.co.jp/shuriken/

 ShurikenではHTMLの表示エンジンにIEのそれを使いませんので,IEのセキュ
リティホールを突いてくるようなタイプのウイルスには効果があります。
--- ここまで ---

 こどまりさんから。
--- ここから ---
 ざべ以来のファンで、いつも楽しく読ませていただいております。
 他にもたくさんメールが来ていることとは思いますが、一応一つの情報とし
て。
 html系を排除するメーラとしては、秀丸を作った秀まるおさんの鶴亀メール
というのがあります。
 このメーラだと、html部分(タグやスクリプト)だけを完全削除したり、削
除したものをテキストとして表示しておいて、htmlは別途、他のブラウザなど
で見るようにしたり、また、スクリプトやプログラムを含むhtmlファイルは自
動的に
削除するようにする機能も持っています。
 タイトルリストの状態でhtmlファイルかどうかわかるようにもなっています。
 私は秀丸一辺倒なので、秀丸でメール本文などをエディットできることに惹
かれて乗り換えたのですが、この辺の機能も確かに便利ですね。

 仕事がWEB関連なのでIE&OEも一応使わざるを得ない(チェックのために)
のですが、普段はこの鶴亀メール&wazillaかphoenixでインターネットを楽し
む&で仕事してます。最近のgecko系もずいぶんよくなって、この環境でもほ
とんど困らなくなったのはいいんですが、知り合いの初心者からOEなんかの質
問をされても答えられないのが困りものです(笑)

お体に気をつけて、今後も頑張ってください。

こどまり

p.s.それから、乳の詫び状の3/14の日付、3/12のままです。
14日に見て気付いたのですが、そのうち直るかな、と見てたら
なかなか直らないので一応。
--- ここまで ---

 日付の件、直しました。ありがとうございました。
2003/03/18

HTMLメールの無効化

 ASAHIネットのjouwa/salonから。ぼくの書き込みとぼくの勘違いをフォローしてくれたcocoさんの書き込みです。

標題: HTMLメールの無効化
---
 堀さんから。
--- ここから ---
前略

はじめまして。「ウイルスうつるんです。」を読ませていただいた、マレーシ
ア在住の一読者です。
MSの胡散臭さはあちこちで見聞きしておりましたが、日常仕事やプライベー
トで使っているインターネットの裏側(特に何も知らずにMS製品を使用して
いる普通のユーザーの)の怖さを知り、慄然としております。

読者からの質問にいちいち対応していられないとは思うのですが、「著書の内
容については未サポートです。個人の責任でお試し下さい。」とか、「ご質問
については、MS並みのサポート料を申し受けます。」とかでなければ、何卒
ご教示くださるようお願いします。

質問内容:
ネットスケープ7.01を使っていますが、このバージョンでは「表示ー添付
をインラインで表示」をオフにして、MIMEメールを添付ファイルとして別
個に表示するように設定できません。このバージョンのネットスケープで、M
IMEメールを添付ファイルとして表示させる方法はありませんでしょうか。

世間には必要ないのにMIMEでメールを送る人が多い(ほとんど)ですね。
ウインドウズの設定を何も変えずにそのまま使えば当然ですかね。
今後も「カモネギ」状態の一般ユーザーに、最低限身を守るための警鐘を打ち
鳴らし続けてください。よろしくお願いします。
--- ここまで ---

 文中のMIMEメールというのは、HTMLメールのことだと思ってお答えします。
 Netscapeは、おっしゃるようにHTMLメールの無効化(HTMLとして解釈するこ
とを禁止)するような設定はないと思います。
 したがって、
(1) HTMLメールを無効化できるメールソフトを探すか
(2) HTMLメールの多くはスパムなので、タイトルだけ一覧して読みたくないメ
ールを捨てることができるメールソフトを探すか
になると思います。
 (1)は、Becky!がそういう設定ができたと思います。ほかのメールソフトを
ご存知の方がいれば、教えてください。
 (2)について、ぼくは、ASAHIネットにtelnetで入って、メールのタイトル一
覧を出してスパムやウイルスっぽいものは削除して、読みたいメールだけ、
Netscapeのメールで読んでいます。他のメールソフトに乗り換えたいのですが、
どれも一長一短で乗り換える手間を考えるとそのままになってます。自分で作
るのが一番いいんでしょうけれど、なかなかそこまで踏み切れないし。
 EdMaxは、メールのタイトルだけ出して捨てることができますね。ほかのメ
ールソフトをご存知の方がいれば、教えてください。

http://www.rimarts.co.jp/index-j.html
Becky!などのRIMARTS
http://www.edcom.jp/
EdMaxなどのEdcom

===
標題: Re: HTMLメールの無効化
---
>  文中のMIMEメールというのは、HTMLメールのことだと思ってお答えします。

添付ファイルとおっしゃっているので、MIMEのmultipart/mixedのことかもし
れません。いま使っているMozilla 1.3には、ViewメニューにDisplay
Attachments Inlineというコマンドがあるんですが、Netscape 7.0.1にはない
とおっしゃっていますね。

>  Netscapeは、おっしゃるようにHTMLメールの無効化(HTMLとして解釈するこ
> とを禁止)するような設定はないと思います。
>  したがって、
> (1) HTMLメールを無効化できるメールソフトを探すか

Mozilla 1.3では、ViewメニューのMessage Body Asから、Original HTML,
Simple HTML, Plain Textのどれかを選ぶことができます。これは、以前から
あったと思うんですが、あまり使わない機能なので、いつからあったかは覚え
ていません。

ただ、Mozillaには、メールでサーバ上の画像の表示を制限する機能や、メー
ルでのCookieやJavaScriptやプラグインをオフにする機能もあるんですが、1
か所に集まってないので(それぞれImageやCookieやScriptのところにありま
す)、メール機能だけを使いたい人にはわかりにくいかもしれません。メール
もブラウザも使う人には、このほうが便利でしょうね。
2003/03/17

EUのMS是正案

 ASAHIネットのjouwa/salonから。

標題: EUのMS是正案
---
 EUがMSの独禁法違反是正案を検討しているそうです。詳しくは、
http://www.zdnet.co.jp/news/0303/12/xert_eu.html
欧州委員会のMS是正案が浮上
をどうぞ。
 ポイントは、「競合他社に提供する独自技術情報の拡大」と「WindowsMedia
 PlayerのOSからの分離」だそうです。
 WMP(Windows Media Player)の分離が要求されるとMSは打撃だから、あれこ
れ抵抗するでしょうね。
 武装解除をしないMSをなぜ、ブッシュは空爆しないんでしょうかね。:-)

MSのコンテンツ削除要求に行き過ぎ?

 ASAHIネットのjouwa/salonから。

標題: MSのコンテンツ削除要求に行き過ぎ?
---
 MSが不正コピーが行なわれていると通告したら、対応に行き過ぎがあったと
いうお話。詳しくは、
http://www.zdnet.co.jp/news/0303/12/ne00_neowin.html
MSのコンテンツ削除要求に行き過ぎ?
をどうぞ。
 MSが悪いわけじゃなくて、ISPがいきなり接続をシャットダウンしたという
対応が問題なんですが、こういう形で記事になるということは、それだけMSに
ニュースバリューがあるってことですね。
2003/03/14

無線LANで知らずに裏口が

 ASAHIネットのjouwa/salonから。

標題: 無線LANで知らずに裏口が
---
 無線LANで、Yaoo! BBの無線LAN付きルータのほうが電波が強くて、知らずに
裏口ができちゃってて、セキュリティだいなしというお話。
 miwaさんから。ありがとうございます。
--- ここから ---
ホットコーナーを楽しみにしているひとりです。

MS Watch の3月4日「無線LANは筒抜け」にある

> Yahoo! BBをはじめ、ADSL業者が無線LAN付きのルータをタダ配りしてますが、
>ああいうの、盗聴し放題だよね。配るほうも配るほうだけど、使うほうも使う
>ほうだと思うよ。無知は罪、無知は付け込まれるだけです。

ですが、困った話があります。
 私は自宅で無線LANを使っています。
 田舎の家でして、東隣は茶畑、西隣は母屋、北隣は農機具小屋です。
 で、南に隣家があります。

 まあ、電波を盗聴されることはないだろうと思ってはいるものの、推測され
にくいESSID,104bitWEP暗号にはしていました。

 しかしながら先週トラブルに見まわれました。
 自宅のネットワークアドレスは、良くある192.168.0.0/24にしていなかった
のですが、無線LAN経由のDHCPで取得したアドレスは192.168.0.xxでした。

 あれっと思って、ESSIDをみると「YBBUser」なのです。

 なんと自宅の無線ハブよりも隣家のYahooBB無線LAN付きルータの電波の方が
強かったのです。
 当然、デフォルト設定のままで利用されていましたのでWEP暗号はなしです。
 おかげで、無線LANを使うと隣家からインターネットアクセスしてしまうの
です。
 というわけで、隣家に事情を話にいきました。
 隣家ではまだ無線LANを利用していないということで、とりあえず隣家のル
ータの設定を変更してきました(ESSID,WEP使用)。チャネルは私の方を変更
しました。

 田舎の家でもこうなのですから、アパートやマンションだったらどうなの
かなぁと思ったしだいです。
--- ここまで ---

 この前、がんばれ!ゲイツ君に載ってたYahoo! BBのあまりに強引豪快な営
業の話を紹介しましたが、これもまた豪快な盲点ですね。^^;
 VoIP機器があれば隣家のYahoo! BBにただ乗りしてIP電話かけ放題なのかな。
 だったら、いいか(爆笑)
2003/03/10

Windows UpdateでMS製ソフト以外の情報も収集その2

 ASAHIネットのjowua/salonから。

標題: Windows UpdateでMS製ソフト以外の情報も収集その2
---
 この前、紹介したWindows Updateがいろいろ情報収集しているという記事な
んか、ナンセンスというお話。hikoさんから。

--- ここから ---
中村さん、今晩は

日経のサイトで、面白い記事がありましたので。

http://itpro.nikkeibp.co.jp/free/NT/NEWS/20030304/1/

「Windows Updateはスパイウエアか?」です。

「ドイツのあるサイトに今週掲載された恐ろしく陳腐なレポートによれば,」
ではじまる記事は、

「だが真剣な話,以前にも記事に書いたことがあるが,もう一度書こう。
Microsoftは過去に悪いことを十分にしてきたので,われわれは因縁をでっち
上げる必要などないのである。」

と結ばれています。
日経にしては、はっきりものを言うなあ、と感心してたんですが、これは翻訳
記事のようですね。
--- ここまで ---

スパイウェア

 ASAHIネットのjowua/salonから。

標題: スパイウェア
---
 スパイウェアに関する記事です。詳しくは、
http://www.zdnet.co.jp/news/0302/25/ne00_spyware.html
マシンに潜む“害虫”ソフト、急繁殖
http://www.zdnet.co.jp/news/0302/25/cead_vamosi.html
スパイウェアから身を守る方法
をどうぞ。
2003/03/07

MSN、競合ISPからのメールを遮断

 ASAHIネットのjowua/salonから。

標題: MSN、競合ISPからのメールを遮断
---
 MSNがAOLなど競合ISPからのメールを遮断していたそうです。詳しくは、
http://www.zdnet.co.jp/news/0303/04/nebt_08.html
MSN、競合ISPからのメールを誤って遮断
をどうぞ。
 人為的ミスで誤って遮断していたという説明で、専門家もたぶんそうだろう
ということですが、MSだけに、確信犯的にわざと遮断していたんだろうという
疑いが真っ先に浮かびますね。^^;

Macromedia Flash Playerにセキュリティホール

 ASAHIネットのjowua/salonから。

標題: Macromedia Flash Playerにセキュリティホール
---
 Macromedia Flash Playerにセキュリティホールが見つかってます。詳しく
は、
http://www.zdnet.co.jp/enterprise/0303/06/epn15.html
Macromedia Flash Playerに脆弱性、米マクロメディアが修正パッチを公開 
をどうぞ。
2003/03/05

Ad-awareでした

 ASAHIネットのjowua/salonから。

標題: Ad-awareでした
---
 adwareって、書いてましたが、間違ってました。中山さんから。ありがとう
ございます。
--- ここから ---
こんにちは
jouwa/salon #9864 の「Windows UpdateでMS製ソフト以外の情報も収集」の中
に書かれている、adwareはAd-awareのことですね。
AdwareはDivX PROなんかにバンドルされてるスパイウェアの名前です。
--- ここまで ---

 スパイとそれを取り締まる警察を間違えたようなもんで、お恥ずかしい。
 ウェブのほうも直します。
 でも警察じゃ取り締まれなくて諜報機関じゃないとダメだとすると、どっち
もスパイだもんな。何を書いてるんだか。

 ソフトの出来としては、spybotのほうがかっちょいいというか、Norton的と
いうか、よさげですね。

Windows UpdateでMS製ソフト以外の情報も収集

 ASAHIネットのjowua/salonから。

標題: Windows UpdateでMS製ソフト以外の情報も収集
---
 やはりというべきか。MSはWindows UpdateでMS以外のソフトの情報も収集し
ていることが明らかになったそうです。iMacさんいつもありがとう。詳しくは、
http://headlines.yahoo.co.jp/hl?a=20030227-00000013-vgb-sci
Windows UpdateでMS製ソフト以外の情報も収集
をどうぞ。
 元記事は、全文を読むのは有料の記事ですから全部は読んでませんが、無料
で読める範囲の記事でも、Windows Updateって、SOAPでやってるWebサービス
で、UndocumentedなAPIを使ってるのがわかりますね。
 こうなると、Windows Updateは、スパイウェアですね。^^;
 でも、Ad-awareでもspybotでも、Windows Updateはスパイウェアとして認識し
てないみたいですね(笑)。
 この前、Ad-awareとspybotをやったら、3つか4つ発見されました。IEがらみ
だったような。
2003/03/04

無線LANは筒抜け

 ASAHIネットのjouwa/salonから。

標題: 無線LANは筒抜け
---
 無線LANは盗聴し放題で情報が筒抜けだというのは、専門家の間では常識に
なっていますが、いまだに無線LANを何も知らずに入れている人が多いのには、
驚きます。
 セキュリティ機能がついているじゃないかというかもしれませんが、
(1) 大半のユーザがセキュリティ機能を使っていない。
(2) 現状のセキュリティ機能は、原理的に弱い。
(3) ESSIDやパスワードなど簡単に推測できるものを使っているので、簡単に
破られる。
というのが実状です。
 (1)は、ユーザがセキュリティに無知なことと、工場出荷状態がセキュリテ
ィオフだから。これはセキュリティをオンにして出荷すると、すぐにはつなが
らず、メーカーや量販店のサポートがパンクしそうなのでイヤがっている。
 (2)は、WEPの40bit(64bit)の暗号はすぐ解ける。104bit(128bit)もかなり簡
単に解ける。出来が悪いから、そういうものだとしか言いようがない。詳しい
ことは、後述の日経ネットワークセキュリティを読んでください。
 (3)は、運用が悪いということ。推測されやすいものは、どんなにセキュリ
ティが原理的にしっかりしても、それを一挙に崩壊させる鍵です。

 日経ネットワークセキュリティという日経BPのムックがあって、いま出てい
る号は、無線LANパニックという特集号です。
 なぜ、無線LANのセキュリティ機能が役に立たないか、詳しく書いてありま
す。対策も書いてはありますが、それはいずれも限界があるという前提での対
策です。究極の対策は、無線LANを使わないです。これはこれまでもセキュリ
ティ専門家が繰り返しいってきたことです。
 どうしても社内や家庭内で無線LANを使いたいなら、電磁遮蔽するしかあり
ません。^^; 実際、セキュリティに金をかけている企業は、ビルの窓ガラスに
は電磁遮蔽フィルムを貼ったりしています。

 セキュリティ会社のラックが昨年発表して話題になった、デパートでの無線
LANが筒抜けで、クレジットカード番号などが暗号化されていない平文で流れ
ていて、簡単にクレジットカード番号などが盗める話題。
 日経ネットワークセキュリティの冒頭に、西武百貨店でクレジットカード情
報が平文で流れていて、それを知らせたあとの対応などが載っています。西武
百貨店は実名が出るのをすごく恐れて取材拒否などやってますが、西武百貨店
よ、心配する必要はない。ほかの百貨店もスーパーも小売店も、それどころか
他業種のいろんな会社でも、似たり寄ったりだとおれは思うよ。
 実際に被害の報告がないから顧客に知らせないというのは、店の立場からす
れば、イメージダウンにつながり、客に無用の不安を与えないために当然だと
思うかもしれないが、無線LANの危険性を放置している他社にさきがけ、徹底
的な監査を行なって、欠陥が発見されたので修復しました。ご安心下さいとい
うメッセージは、かえって他社に対する優位になると思うよ。要は、顧客の安
全に対する姿勢とその告知の仕方だと思うんだよね。
 技術的な話はある程度知ってましたが、この日経ネットワークセキュリティ
で、おれが一番役に立ったというか、知ったのは、善意の第三者がセキュリテ
ィの欠陥を報告すると、現在は電波法違反なのね。
 おれも中学のときにアマチュア無線の免許をとったので、電波法の傍受によ
って知ったことをほかに漏らしてはいけないということは知ってましたが、無
線LANのセキュリティ欠陥にまで適用されるとは思わなかった。たしかに無線
だし、クレジットカード番号が平文で流れていて、その危険を設置者に通報す
れば、漏洩したことになるんだろうけど、なんか釈然としないよね。
 日経ネットワークセキュリティの冒頭では、西武百貨店の話のあと、弁護士、
総務省、警察庁、経済産業省に話を聞いています。
 弁護士の話は、無線LANを使うリスクは負わないとだめと。企業で無線LANを
設置してそこから個人情報などが漏れたらその企業は使用者責任などを負うこ
とになって損害賠償などは請求されるわけです。
 警察庁は、セキュリティ対策をしていないアクセスポイントは法律では守れ
ない。つまり、自業自得だということです。当たり前ですが。
 総務省は、セキュリティ対策の強化は産業界が望まないだろうといって、腰
が引けてるね。経済産業省は、善意の第三者が脆弱性を通報する窓口を作った
り、通報を受けてもセキュリティ対策を放置している企業名を公表するといっ
た制度を作りたいと述べてますね。
 総務省は経済産業省に比べ、腰が引けてるね。
 まあ、郵政省(総務省)と通産省(経済産業省)は縄張り争いが昔からすごいん
だけど、おれは、昔から、郵政省は通産省に比べ、ほんとには産業界と消費者
の動向の刷り合わせをやろうとしてこなかったし、いまもやってないと思って
るから、この結果も意外ではない。個人的には、また通産省(経済産業省)が先
手を取ったなと思うのみ。
 それから、ウォードライビングしての結果もすごい。霞ヶ関、大手町、浅草
を調べてますが、盗聴天国!
 これ以前もやっていたんですが、大してセキュリティ上がってないのが驚き。
朝日新聞が昨年12月に省庁が盗聴し放題だったことを報道しても、この有様を
著者のラック社の酒井氏は嘆いてますね。
 ともかく、無線LANがいかに危険か、それと法律の話など、詳しくは、日経
ネットワークセキュリティを読んでください。

 個人的には、昔から無線LAN入れようと思っていたけど、セキュリティがあ
まり脆弱なので、ずっと躊躇してます。
 Yahoo! BBをはじめ、ADSL業者が無線LAN付きのルータをタダ配りしてますが、
ああいうの、盗聴し放題だよね。配るほうも配るほうだけど、使うほうも使う
ほうだと思うよ。無知は罪、無知は付け込まれるだけです。
 それに802.11bの次世代が、a になるか g になるかもまだ不透明。Appleが
力を入れていることもあって、g のほうがだいぶ有利になったかとは思います
が、それを見極めたいと思ってます。
2003/03/01

MSのオープンソースめぐる姿勢に相次ぎ批判その2

 ASAHIネットのjouwa/salonから。

標題: MSのオープンソースめぐる姿勢に相次ぎ批判その2
---
 この前、紹介した記事の続報です。詳しくは、
http://www.zdnet.co.jp/enterprise/0302/22/epn02.html
「このままではMSの将来は暗い」、元幹部とアナリストがMSのオープンソース
対
応を非難
をどうぞ。

 昨日、日本オラクルのUnbreakable Summitをちょっと覗いてきたんですけど、
基調講演の冒頭で、新宅社長が、松井がホームラン打ってよかったねという話
のあと、ゲイツが来日して、政府にWindowsの売り込みに行ったことの話をし
ていました。
 e-Japan構想の中心がLinuxになってきたのが、心配でたまらないんでしょう
ね。でも、もう流れは変わらないですね。歴史的な時代の流れですから。

Windows MessengerからVo-IPがなくなる

 ASAHIネットのjouwa/salonから。

標題: Windows MessengerからVo-IPがなくなる
---
 MSは、Windows Messengerで、今後、サードパーティのVoIP電話サービスを
サポートしなくなるそうです。詳しくは、
http://japan.internet.com/busnews/20030224/12.html
『Windows Messenger』の Vo-IP 機能がなくなる
をどうぞ。
 餌を撒いて業者が群がっておいしくなってきたら、締め出して自分だけのも
のにする。いつもの手口ですね。
 記事にあるように、これにひっかかった業者、いまあわててますね。
 MSと組んだり、MS製品を使って何かやるときは、いつも、このリスクを考え
ておかないといけません。

もう1つのプロジェクトX

 ASAHIネットのjouwa/salonから。

標題: もう1つのプロジェクトX
---
 XboxでLinuxを動かそうとしているプロジェクトが、合法的に動かせるよう
にMSに認可を申請しました。詳しくは、
http://www.zdnet.co.jp/news/0302/20/nebt_06.html
Xbox Linux ProjectがMSに“認可”申請
をどうぞ。
 非合法に動かすMODチップのサイトは閉鎖が続いています。詳しくは、
http://www.zdnet.co.jp/news/0302/27/xert_bootleg.html
Xbox用MODチップ販売サイト、不完全ながら閉鎖
をどうぞ。
 これに関して、もう1つのプロジェクトXとして、bundenさんから、2003/01
/13にメールをもらっていました。あまりに遅いですが、すみません。
--- ここから ---
http://slashdot.jp/
http://www.zdnet.co.jp/news/0301/11/nebt_01.html

Xboxの2048ビットの暗号コードを解読しようというプロジェクトを立ち上げ、
いったんは「法的な理由」からプロジェクトを中止した
Neo Projectが再開準備を進めているが、
Neo Project創設者のMike Curry氏によると、
「Xbox Challence」と呼ばれていたこのプロジェクトは、
「Project X」という新名称で間もなく再開される見通し。

「男たちは、再び立ち上がった。」:-)"

//私は、
//紅白歌合戦の中島みゆきを見て涙したおじさんなんですが、、、
//これを見て、思わず笑ってしまった。

//もうひとつのProject X!
//とりあえず、がんばれ!
--- ここまで ---

 この前、Ringのミーティングのあとの飲み会で、中島みゆきのオールナイト
ニッポンの話が出て、おれは、オールナイトニッポンは、泉谷しげるのオール
ナイトニッポンで終わってるといったら、みんな、時代が違うと驚いてました。
 中学のときかな。当時はフォーク全盛で、吉田拓郎、井上陽水とかね。おれ
は、泉谷しげるの「黒いカバン」とか「季節のない町に生まれ」(曲名は違う
と思う)が好きでした。泉谷のオールナイトニッポンは、5秒以上何もしゃべ
らないと放送事故だと思われるからやっちゃダメという規則があると知ると、
面白いからやってみようとかいって、5秒以上しゃべらなかったり、すごかっ
たです。ウンコ行って来るとかいって、曲かけて曲が終わっても戻ってこなか
ったり。^^;
 Xbox、さっぱり売れなくて、不良在庫の処分と生産調整状態でしょ。
 チップを供給したNVIDIAとももめてやっと和解したばかりだし。詳しくは、
http://www.zdnet.co.jp/news/0302/07/xert_nvidia.html
「Xboxチップ紛争」を終え、手を取り合うNVIDIAとMS
をどうぞ。販売不振の責任を他社に押し付けようとしたわけですよね。
 いいときはMSが自分だけ獲って、都合が悪いと責任取らされて、MSと商売す
るのは大変ですよね。

ホットコーナーのトップページへ