たまご915のIT道中膝栗毛

Macは使ったことがないのですが、Macだからコンピュータウィルスと無縁だとはいえないでしょうし、新たな市場として認知されつつあるのかもしれません。

• ウィルスバスター
  • 1ライセンス3台のWindowsとMacで使える「ウイルスバスター2010」 -INTERNET Watch
  • トレンドマイクロがセキュリティソフトの新版、Mac OS用を同こん：ニュース (日経パソコン)
  • Win&Macで3台まで自由に組み合わせられる「ウイルスバスター2010」が発売 | パソコン | マイコミジャーナル
  • 「Macintoshにも対策が必要」、ウイルスバスター新版 － ＠IT
  • 「ウイルスバスター」初のMac OS対応　Windows版に同梱 - ITmedia News
  • MacとWindowsあわせて3台まで利用できる「ウイルスバスター2010」（1/2）：Security NEXT
  • トレンドマイクロ、ウイルスバスター2010を発売──さらに軽く、安全に : セキュリティ・マネジメント - Computerworld.jp
  • 総合セキュリティソフト「ウイルスバスター2010」--Mac対応版を同梱:ニュース - CNET Japan
  • トレンドマイクロ、Win/Mac両対応のセキュリティソフト「ウイルスバスター2010」 (BCNランキング)
• カスペルスキー
  • ジャストシステムがセキュリティソフトの新版、Mac版も用意：ニュース (日経パソコン)
  • 「みんなの力」で最新マルウェアに対抗、カスペルスキー － ＠IT
  • ジャストシステム，「Kaspersky Internet Security 2010」を10月16日に発売 - ニュース：ITpro
  • 「Kaspersky」にMac版　Windows用新版は10月発売 - ITmedia News
  • KSNの活用で対応速度を向上させた最新版「Kaspersky Internet Security 2010」が登場：Security NEXT
  • 「Kaspersky Internet Security 2010」を発売 Mac版も同時提供　ジャストシステム - ウィルス対策ニュース・ドットネット
  • カスペルスキーにMac版登場:企業のIT・経営・ビジネスをつなぐ情報サイト EnterpriseZine (EZ)
  • 総合セキュリティソフト「Kaspersky」最新版販売--Mac向けウイルス対策ソフトも:ニュース - CNET Japan
  • ジャストシステム、約40秒でウイルスに対応する2010年版のKasperskyなど (BCNランキング)
• Techinsight » G DATA カスペルスキー、トレンドマイクロが揃ってアンチウィルス製品の2010年版をリリース

私の勤め先の商品も入っていますので、一部宣伝ですが、ご容赦を。

Mac OSに関しては、最新の「Mac OS X 10.6 Snow Leopard」にマルウェア対策機能が入っており、やはりセキュリティとは無縁というのは昔の話だといえるのでしょう。今後は他社の参入も考えられ、Macのセキュリティ市場が成立するかどうか、またそのシェアはどうなるか、注目したいところですが、自分は中の人なので、あまり変なことは書けないですね (汗) 。

「ウィルスバスター」のライセンスは独特のもので、OSに関係なく合計3台まで利用できるという形態。同社は両方を使っているユーザーも少なくないとの認識で、この流れが定着すれば、Win/MacやWin/Linuxといったハイブリッド版のソフトウェアのライセンスについて、各社が追随する可能性もありそうです。

うーむ。自分が使っていたフリーソフトも、アンチウィルスに引っかかったので、何かヤバいと思っていたのですが。

• 開発環境「Delphi」がウイルス汚染、作成したソフトをウイルス化 -INTERNET Watch
• Delphiプログラムを狙うマルウェアの感染拡大 - ITmedia エンタープライズ
• 開発ツールDelphiを狙うウイルスが猛威、作成したソフトすべてに感染 - ニュース：ITpro

ドイツでは雑誌付録のCD-ROMに収録したソフトが感染していたり、日本でも「窓の杜」収録のソフトで感染が見つかったりと、かなり大規模に影響が出ているようです。現時点では感染拡大以上の被害はない模様ですが、キーロガーが埋め込まれるような亜種がいつ作成されるかもわかりませんし、安心はできないでしょう。

先月 (2009年7月) 末にはVisual Studioに含まれるライブラリーが脆弱性を持っていることが報道され (アップデート済み) 、今回はDelphiですから、開発環境自体がターゲットにされているようです。その環境で作ったプログラムすべてにウィルスを仕込めれば、拡大も早いということでしょうか。

ちなみに、自分が引っかかったのは、窓の杜に収録されていた「Glary Utilities」。最新版 (2009/8/21公開、2.15.0.738) は大丈夫ということですが、過去の版をお使いの方は念のため感染していないかどうか確認を。

誰もが知っている名前かもしれませんが、念のため書いておくと、エマ・ワトソンは『ハリー・ポッター』シリーズでハーマイオニー (同シリーズのヒロインで、ハリーの親友でもある魔女) を演じる女優です。彼女が自動車事故で死亡、というデマがネット上を駆け巡っていたのですが……。

• 『ハリポタ』美少女エマの死亡事故ニュース！ ウイルスまき散らし事件に発展 – ロケットニュース24（β）

現時点ではロケットニュースしか情報源がありませんが、少なくとも死亡事故がデマであることは間違いないようです。ウィルス云々は、死亡事故のデマを流したサイトにアクセスすると感染する仕掛けが入っていたため、ウィルス配布が目的ではないかとされていると思われます。

ウィルス配布が目的であったかどうかは、まだ何ともいえないところで、これ自体もデマの可能性があります。とはいえ、ウィルスを配布する側は、どうにかして自分の作ったものを広めようとしますから、大事件をでっち上げて自分のサイトへのアクセスを増やす、というのはあるのかもしれません。

怪しげなサイトには行かない、というのは、コンピュータウィルスから身を守るために必要なことではあります。スパムメールの内容を真に受けて、不審なサイトにアクセスする人は少なくなったと思いますが、こういった大きな事件を報じられると、このあたりの危機管理の感覚が鈍くなる、ということはありそうですから、気をつけないといけないですね。

中の人です。弊社のInternetDisk ASPでも同様のコンセプトのサービスを行っていますが、それ以上のものになりますね。

• ジャストシステムが決裁フロー付きファイル送信サービス「親展通信」を開始：ITpro
• ジャストシステム、ビジネス専用の大容量ファイル送信サービス「親展通信」 | パソコン | マイコミジャーナル
• 送信決済機能付きファイル送信サービス、ジャスト － ＠IT
• ジャストシステム、ビジネス向け大容量ファイル送信サービスを開始：ニュース
• ジャストシステムがビジネス向けファイル配信サービス「親展通信」を開始：企業IT部門の変革を支援するエンタープライズ実践情報サイト EnterpriseZine
• ジャストシステム、ファイル送信サービス「親展通信」 -INTERNET Watch
• 誠 Biz.ID：登録なしで受信認証　ジャストシステムのファイル送信サービス「親展通信」

自分も報道された以上のことは書けないのですが、メール送信、ワンタイムパスワード認証、SSLによるファイル転送と、既存の技術の組み合わせではあるのですが、うまく組み合わせることで利便性と安全性を両立させた仕組みになっています。

企業間のやりとりなどでデータを送付する際、メールなどのインターネットでは生のデータ (パケット) が流れることによる不安があり、SSLを利用してもパスワードの管理が面倒など、何かと問題点がありました。数年前までは、手渡しがいちばん確実なのではないかといわれていたくらいですし。

そういった問題を解決するのが、弊社の新サービス「親展通信」です。弊社からも説明を行っていますが、このサービスは実際に使っていただくことで、その便利さを感じていただけるのではないかと思います。そのためにも、自分も仕事でデータをやりとりするときには積極的に使っていきたいですし、できれば仕事以外でも使いたい (使わせてもらえるかどうか不明ですが) と思っています。

採用側に悪意がなかったとは思われますが、余りにも無茶な要求ですよ。当然、全米あるいは全世界で騒ぎになり、要求は撤回されたようですが。

• 市職員希望者に「SNSのIDとパスワード」要求 - 米国田舎町の公告が騒動に | ネット | マイコミジャーナル

ボーズマン市はマイコミでは「田舎町」となっていますが、ウィキペディアによる「ボーズマン (モンタナ州)」の記事によると、モンタナ州ギャラティン郡の郡都であり、同州で6番目の規模を持つ、そこそこ大きな街です。

どうやら、採用側としては、応募してくる人材の人となりを知るために、その人が登録しているSNSでどういったコメントを残しているか、チェックしようとした模様。たしかに求職にあたって採用側がネットの書き込みを調べることはよくあるようですが、そしてIDとパスワードがあれば本人としてログインできるので、その人の書き込みを一覧できるのですが、だからといってパスワードを要求することが認められてよいわけがないですよね。

そのIDとパスワードで成りすましを試みようとしたなど、悪意のある行動ではないと思われます。とはいえ、マイコミの記事に見られるように、「認識不足」という判断もまた難しい。人となりを調査するのにSNSを使うのは、SNSをそれなりに理解していないと考えないだろうし、そうであればSNSでのパスワードがどういう意味を持つかは、当然わかっていたでしょう。

とくにいまは大不況のさなかにあり、職を失った人が多数いる状況。そういった状況下では背に腹は代えられないと、パスワードを提供する求職者が出てもおかしくなかったと思われます。

当然ながらこの条項は撤回されたようですが、SNSのアカウント情報を提出させる (パスワードは提供しない) ことも、認められるべきではないと考えます。仕事とプライベートは分けるべきだし、プライベートの情報を採用の人質にするのは、ある意味で人権侵害だといえるのではないでしょうか。

鳥や馬のインフルエンザは人間に感染しないのですが、豚インフルエンザは人間に感染し、すでに報道されているように世界的大流行の予兆を見せています。でも、スパムまで流行するのは予測になかったでしょうね。

• マルウェアを添付か：日本語の豚インフル便乗スパムが登場 - ITmedia News
• Techinsight » 豚インフルに便乗したウィルスとスパムに注意
• 日本語の豚インフル便乗スパムが登場　政府機関を詐称 - ウィルス対策ニュース・ドットネット
• 「豚インフルに注意！」に注意、国の研究機関をかたるウイルスメール：ニュース (日経PC Online)
• 「豚インフルエンザ」に便乗するウイルスメールに注意 - 国立感染症研究所を詐称：Security NEXT
• 「豚インフルエンザに注意！」のメールに要注意!!：RBB TODAY

国立感染症研究所 (実在の機関) を名乗るなど、手の込んだスパムですが、だまされる人はいるのかなあ。……いるのでしょうね。

ここを読みに来るような人には当然のことかもしれませんが、メールマガジンなどに登録していない限り、公的機関が不特定多数に電子メールを送ることはありえないし、送ったとしても添付ファイルは付けません。

当然ながら、単にスパムを送るだけではなく、添付ファイルでマルウェアを送りつけて実行させ、キーロガーを置いたりバックドアを作ったりするような動きになるようです。セキュリティソフトで検出されるかもしれませんが、そもそも添付ファイルを開かないように気をつける必要がありますね。

ところで……。インフルエンザ関連の話で、コンピュータウィルスを単に「ウィルス」と呼ぶのは、誤解や混乱を招かないでしょうか。「ウィルス」という表現を避けるか、「コンピュータウィルス」「インフルエンザウィルス」と呼び分ける必要があると思うのですが。

「特異性」のほうがよかったか。ともかく、他国とは一線を画す結果が出ているように思います。

• 日本人はネット活動に消極的 - シマンテックがオンライン生活レポート発表 | ネット | マイコミジャーナル
• 日本の親、「子供のネット利用は自己責任で」40％ (INTERNET Watch)
• 子供のネット利用に無関心な日本の親―シマンテックが12カ国で調査：ITpro
• 「ネット利用は子ども自身の責任で」日本の親の4割　海外と意識に差 - ITmedia News
• オンラインにおけるセキュリティリスクは想像以上に高い――シマンテック調べ - japan.internet.com Webマーケティング
• 日本の大人は「セキュリティ対策が他国に比べて遅れている」--シマンテック調査:マーケティング - CNET Japan

シマンテックの分析結果は大きく3つで、取り上げた記事でもそのどれかが見出しになっています。つまり、日本人は「ネット活動に消極的」「子供のネット利用に無関心」「セキュリティ対策が遅れている」。だが、果たしてそうなのでしょうか。

まず1点目。日本人は他国に比べ、ネットで友人を作ることが少ないとのこと (私なんかは超のつく例外なんでしょうね。ヨメと知り合った最初がネットなんだから (爆) ) 。でもこれは、ネット活動に消極的なのではなく、ネットでの人格を実社会のそれと完全に分けているからだという仮説も否定できないでしょう。2ちゃんねるのような、匿名のネット活動が流行しているのは、日本ならではの特徴ですし。

2点目、子供のネット活動については、子供自身の自己責任としていることが多い。言い換えれば、日本以外が親の過保護であって、日本が率先して子供の判断を信頼しているということなのでしょう。当然ながら、子供の判断を信頼しきれない部分はありますが、一個人として人格を認めて年齢関係なしに平等に扱うのだから、個人主義考え方で悪いわけではないと思いますよ。

最後、セキュリティ対策の遅れ。……とはいうものの、ハッキングされた経験は日本が最も少なく、単に遅れているとはいえない部分もあります。個人情報の安全に自信がないとはいうものの、できうる限りの防御はしている上での回答であって、他人を信頼できない状況が出ているように感じられます。もちろん、全く逆の見方もできるのですけどね。ハッキングされているのに気づいていないからだとか、(回答そのままに) 日本の個人情報は安全でないからだとか。

ツッコミどころは多いと思いますが、調査した12か国中、日本は各設問で最上位または最下位に入るものがかなり多かったようです。これは日本の独自性、特異性と考えていいと思いますし、それをどう受け取るかで意見も全く変わってくるのでしょう。日本の場合、報告をそのまま受け入れたり、自国にネガティブな情報を選択的に受け入れたりする傾向がありますが、これも日本の特殊性なのかも知れませんね。

書くべきではないと思うのですが、セキュリティの問題なのかなあ……? インサイダー情報を外部に出すのは、もっと大きなリスクが発生しているはずなのですが、

• 社会人の6割以上、「匿名ならブログに会社の話を書いても良い」:ニュース - CNET Japan
• 【レポート】6割以上が「匿名であればブログに会社の話を書き込み」を許容 - トレンドマイクロが新社会人に意識調査 | パソコン | マイコミジャーナル
• 「匿名ならブログに会社の話を書いてもよい」と社会人の6割強が回答：ITpro
• 社会人の6割が「匿名なら会社の出来事をブログで書いてもいい」 (INTERNET Watch)
• 社会人の6割以上「匿名ならブログに会社の話を書いてもよい」：ITpro
• 新社会人の7割弱が「匿名なら会社の出来事をブログに書いてもいい」 - トレンドマイクロ調査：Security NEXT
• 【コラム】匿名での会社ネタブログはアリか - ウィルス対策ニュース・ドットネット
• トレンドマイクロ、社会人へのセキュリティ意識調査、ブログに関する危機意識が低い結果に (BCNランキング)
• 低いモラル：匿名なら会社ネタのブログはOK――社会人のセキュリティ意識 - ITmedia エンタープライズ

この手の話は、コンピュータウィルスやブログといったものが出る前から、勤め先での出来事をどこまで話してよいか、というテーマで論じられてきた問題でしょう。ラジオやテレビで、視聴者からのはがきとして、会社での失敗談が紹介されることは日常的にあるわけですし、ある程度は容認されていると考えてもいいと思います。

ただ、ブログでやると、どうしても「やりすぎて」しまうでしょうね。面白いことを書こうとして、一線を越えてしまい、結果として勤め先に大きな損害を与えることは、容易に考えられます。情報漏洩のセキュリティだけではなく、勤め先そのものへのイメージダウンも考えられるわけで、リスクがある行為であることを認識しておく必要はあるのでしょう。

このブログも、相当危ない端を渡っているという気持ちでやっています。会社公認のブログではありませんが、自社製品を取り上げるときはとくに、宣伝のサクラだと思われたらという不安があり、細心の注意を払っているつもりです。持ち上げても落としてもイメージダウンにつながる可能性があるので、取り上げ方が難しいですし、こちらの意図しなかった受け取られ方をしたことも、何度もあったと思います。

一度サービスを停止して、適切なガイドライン (人間や民家を写さない、など) を設定した上で再開するのが筋なのかな。アイデア自体は悪くないので、運用をもう少しきちんとやってほしいところです。

• asahi.com（朝日新聞社）：ストリートビュー掲載、自治体に事前説明へ　グーグル - 社会
• グーグル担当者「ストリートビュー」事前通知を検討　都審議会 - MSN産経ニュース
• グーグル「詰め甘かった」…ストリートビュー、事前通知へ : 社会 : YOMIURI ONLINE（読売新聞）
• 時事ドットコム：グーグル社と意見交換＝街並み画像とプライバシー保護で－都審議会
• グーグル：「ストリートビュー」今後は自治体へ事前説明 － 毎日ｊｐ(毎日新聞)
• ストリートビュー事前通知の考え　新地域では都道府県に、グ社 - 47NEWS（よんななニュース）

(2/3 22:50) 一般紙の記事しか見つからない……。なんで?

Googleマップの機能拡張として、実際に道路から撮影した画像をウェブ上に公開する「ストリートビュー」。日本でも半年前に、大きな期待とともに導入されましたが、プライバシー問題がクローズアップされるようになってきました。

東京都の情報公開審議会にグーグルが出席し (呼び出され?) 、プライバシー問題についての見解を説明。今後は事前に自治体に通知することになるようです。

賛否両論のストリートビューですが、自分は「あってもいいかな」という立場です。あってもなくても困るわけではないのですが、プライバシーを理由として新しい技術の利用を禁止する、というやり方は、技術の発展を妨げるようで好きにはなれない。どこかにお互いが納得できる落としどころがあるはずだから、話し合って模索してほしいと思います。

ベンチャー企業の常ですが、リスクを恐れずに突っ走った結果だと思います。といってもリスクがいけないのではなくて、そういう経営方針なのだから問題が起こるのは当然として、きちんと解決していってほしい。ストリートビュー問題に関しては、グーグルが聞く耳を持たなかった部分がなかったとはいえませんから、そこは反省して、今後の運営の糧にしてくれればと思います。現時点では自治体も世論もサービスの有用性を認めているのだけれど、対応次第ではいつ風向きが変わって、サービスそのものが提供できなくなってもおかしくないわけですし。

流出した情報はこの職員に関連するものだけで、IPAが業務上保持していた個人情報はなかった模様。とはいえ、信用を失ったのは間違いないですね。

• IPA職員の私物PCから情報流出　「Share」経由か - ITmedia News
• IPA職員がまさかの情報流出 - 「Share」の可能性も「現在本人に確認中」 | ネット | マイコミジャーナル
• IPA職員が情報流出 ― 私物パソコンでファイル交換ソフトを使用：Enterprise：RBB TODAY
• IPA職員の私物パソコンによる情報流出について (情報処理推進機構)
• 「おそらくShare」　IPA職員が情報流出に使ったファイル交換ソフト:ニュース - CNET Japan
• 情報流出対策職員“赤恥”…自身半裸写真など流出 (ZAKZAK)
• 職員の私用PCからファイル共有ソフト経由で情報が流出 - IPAが陳謝：Security NEXT

IPAはもちろん、日本におけるITセキュリティの元締め的存在で、今回のようなファイル共有ソフトによる情報流出については、中心となって対応を呼びかけていました。それが灯台もと暗しというか、何というか。

しかもこの職員、夕刊フジ (ZAKZAK) の報道によると、単なる事務員というわけではなく、プログラムに関する専門書を執筆するなどの経歴を持つ人物だということです。医者の不養生……といっていいのかどうか、わかりませんが。

業務ではない部分、つまりは完全に個人の部分での話ではありますが、どうしてもIPAの信用問題になってしまうでしょうね。たとえは悪いけれど、警察官が非番のときにスピード違反で反則切符を切られたようなものでしょう。業務時間外だからといって、肩書きが消えるわけではないのだから。

いったい何を考えているのか。百科事典に掲載されているものを児童ポルノとして扱うのは危険だし、これが高じれば、学術的な研究までも排除されてしまう可能性も出てきます。

• 英ISP、Wikipediaへのアクセスを制限--児童ポルノのブラックリスト入りで:ニュース - CNET Japan
• 英国の違法サイト監視団体、Wikipedia をブラックリストから外す - japan.internet.com LinuxToday
• わいせつ画像を理由に Wikipedia をブラックリストに載せた監視団体、ついに“Back Down” - japan.internet.com カレンの実践IT英語
• 英インターネット監視団体、Wikipediaをブラックリストから削除:ニュース - CNET Japan
• 英国でのWikipedia遮断問題、IWFのブラックリストからの削除で落着 - ITmedia News
• 独バンド「スコーピオンズ」、英ウィキペディアで項目アクセス禁止　写真2枚　国際ニュース : AFPBB News
• 30年前の名作ロックアルバムのせいで英国でWikipediaがアクセス遮断 - ITmedia News
• Scorpions : スコーピオンズの『狂熱の蠍団～ヴァージン・キラー』、32年たった今問題に / BARKS ニュース

スコーピオンズというバンドは、自分は「空耳アワー」のあれ (まあ、さすがに詳細は書けない) しか知らないのですが、レコードジャケットなどではかなり挑戦的というか、問題作を連発していたようです。今回問題になったのもジャケットの図柄で、裸の少女が床に座り、その股間をガラスのひびで隠しているものです。発売された1976年当時から児童虐待ではないか、という指摘はあったようですね。

投稿した人がどこの誰で、どういう目的で投稿したのかは知るよしもありませんが、学術研究の対象にもなり得るものです。ウィキペディアは「百科事典」を標榜するサイトですから、学術的な側面を無視できないでしょう。それを排除しようとした今回の決定は、学問の自由に対する重大な挑戦とも受け取られるわけで、批判があって当然です。

こういう事件を見ると、Internet Watch Foundation (IWF、英国の違法サイト監視団体) が守ろうとしているのは児童の生命・生活ではなく、自分たちの精神安定ではないか、と思ってしまいますね。現実問題として児童への性的虐待が世界的な問題になっているのは認識していますが、児童ポルノを意図したものではない、このような音楽作品を取り締まって、いったい何の成果があるというのか。あなたがたはすべての子供の画像をインターネットから排除しようとするつもりなのか。

結局、IWFが折れる形でウィキペディアをブラックリストから取り下げることになり、今回の措置が大きな話題となったことで、児童ポルノの影響を排除することに対して逆効果だったことを認めています。この手の問題は野放しにもできないし、完全なる規制はありえない。どこかでバランスすることになるのですが、片方に振れつつ反対側に揺り戻すということがこれからも繰り返され、利用者の理解が得られるところで折り合っていくのでしょう。

不具合といえば不具合なのですが、この手のアンチウィルスソフトはOSに密接に絡んでいるので、影響が致命的になってしまうんですよね。

• 「AVG」でシステムファイル誤検出、Windows XP起動不能のトラブル (INTERNET Watch)
• 窓の杜 - 【NEWS】「AVG Anti-Virus」を利用しているとWindows XPが起動不能になるおそれ
• Windows XPに障害：AVGがシステムファイルをウイルス扱いするトラブル - ITmedia News

最近のある時期の定義ファイルが、user32.dll (Windowsのシステムファイル) をマルウェアと判断して隔離、そのためにWindowsが起動できなくなるトラブルが発生したということです。日本語版では現象が報告されていないということですが、この表現ですから、日本語版でも問題は発生していて、たまたま顕在化しなかっただけとも読み取れます。なお、最新の定義ファイルでは現象は回避された模様。

起動できなくなったときの対処法はネットで公開されていますが、WIndowsが起動しない → インターネットに接続できない → 対処法が見られない、ということなので、本来はネット以外の公開方法も必要なのでしょう。ただ、無償版もありますから、住所氏名も含めたユーザー登録をしていない場合もあり、確実に情報を届けることが難しいと思われます。新聞などへの広告も考えられますが、気づかない人も多いでしょう。

なぜこのような不具合が発生したのかについては、開発元から情報が提供されていないようです。どんなマルウェアと誤認したのか程度は、情報を出しても不都合はないと思うのですが、情報を出さない何らかの理由があるのでしょう。ましてや、なぜ不具合が作り込まれたのか、開発内部での試験で気づかれなかったのか、といった情報は出てくることはないと思いますが、内部ではしっかりと原因追及を進めてほしいものです。

同じ開発者として、こういった致命的な不具合が気づかれないまま顧客に渡ってしまうことに、強い恐怖を感じます。もし自分がやってしまったら、しばらくは落ち込んで仕事が手につかなくなるか、最悪コードを書くのが怖くなってしまうかもしれません。中の人は大丈夫だったのでしょうか……。

たかがゲームで、と思わざるを得ないのですが、容疑者が43歳だということにさらにびっくり。子供じゃないんだから……。

• 離婚に逆上、「夫」キャラ消去…アクセス禁止法違反で逮捕 : ニュース : ネット＆デジタル : YOMIURI ONLINE
• 「ゲーム内離婚」に立腹！？　不正アクセスで男性のキャラ消す　 - MSN産経ニュース
• ゲーム内「離婚」に腹を立て、相手のキャラクターを消去 - iNSIDE
• 「「ゲーム内離婚」に立腹！？　不正アクセスで男性のキャラ消す　」事件です‐事件ニュース:イザ！

状況がわからないと思うので説明しておくと、MMORPG「メイプルストーリー」には、ゲーム内のプレイヤーキャラクター同士が「結婚」できるシステムが実装されています。これで結婚していたカップルの男性側が、結婚関係を解消。それに怒った女性が、(離婚前に聞いていたと思われる) 男性のIDとパスワードでログイン、男性のプレイヤーキャラクターを抹消した、ということのようです。

このブログのタイトルや、一部メディアでは「殺人事件」と書いていますが、殺されたのはゲーム内のキャラクターですので、罪状は不正アクセス禁止法違反。法律の条文が難解なのですが、その人の許可なく、他人のパスワードを使ってログインしてはいけない (第三条2の一) ということなので、たとえ教えてもらったとしても勝手にログインするのが罪に当たったようです。ちなみに、キャラを消したことについては法律では規制されていない模様。

なお、男性側も同法違反に問われる恐れがあります。というのも第四条には他人にパスワードを教えてはならないと規定されており、記事によればここに抵触する可能性があるようです。というか、「離婚」する際にパスワードを変更するくらいの自己防衛はしておけよ、と思うのですが。

しかし、43歳といったらいい大人 (というか中年の域ですが) なのに、ゲームに没頭するだけでは飽きたらず、ゲームのことで見境がなくなって犯罪行為に走ってしまうのが、その下の世代の人間から見ても、情けないことこの上ない。大人がゲームをすべきでないとは思わないのですが、節度ってのを忘れたのか、と思いますね。いまの子供のほうが、その点はしっかりしているかもしれませんよ。

ニュース記事を転載しただけのブログも目立つのですが、スパムブログとそうでないブログの境界って、どの辺にあるのでしょう。

• ライブドア「スパムちゃんぷるー」、ブログ検索結果をキレイに - VENTURE VIEW
• 「livedoorブログ検索」、アップデートでスパムブログの約9割を排除：ITpro
• 増え続けるスパムブログの現状は　ライブドアが検索に新技術、9割排除 - ITmedia News
• livedoor ブログ検索、スパムブログ対策を強化 (BB Watch)

記事を見る限り、コピペが主のブログはスパムと判定されるようです。ということは、ニュースをネタにしているブログは、かなりの割合で打撃を受けることになりそうですね。まるまるコピーしているだけのブログや、20行引用して1～2行のコメントを気持ち程度に容れているブログが、軒並みスパム扱いでしょうから。さすがに、自分のは大丈夫だと思いますが。

あとはわいせつ動画系と薬売りですから、こうやって考えると、スパムブログはかなりパターン化しており、精度を上げるのはそれほど難しくないように思えます。もともとブログは見に来てもらってナンボの世界で、メールのように送りつけるわけにはいきませんし、トラックバックが無条件で反映されるブログはかなり減っているでしょうから、スパムブログでは利益が出ないんじゃないかなと思うわけです。

ただ、それでもスパムはなくならない。トラックバックを送りつけられたブログ管理者が見るだけでも、アフィリエイトは発生するようで、それで採算が保たれているということでしょうか。となると明らかに、広告主がお金をどぶに捨てているのと同じですから、ブログのアフィリエイトのあり方を見直すべきなのでしょうね。

もう一つ気になるのが、適切なブログをスパムと誤認識する可能性。これをやられてしまうと、グーグル八分的なことが起こってしまうわけで、しかも表示されないわけですから問題に気づかれにくい。更新を継続しているブログが存在しないのと同じことにされる状況は、避けてほしいと思いました。

若い世代のIT業界離れが進んでいるということですが、技術的に極めたい人も数多くいます。こういった人たちに次世代を担ってもらえるように、上の世代、自分たちの世代ががんばらないと。

• ITエリートのアツ～イ夏合宿、今年も開幕「セキュリティ＆プログラミングキャンプ2008」：CodeZine
• 経産省のセキュリティキャンプ，今年はプログラミングキャンプも同時開催：ITpro

※ITProの記事は募集を開始した7月1日のものです。

自分は、プログラムの技術的には「超二流」だろうと思っているし (少なくとも二流よりは上だという矜持はある) 、一流や超一流の人たちには到底かなわない。つまり、自分は既存の技術で製品を作ることはできても、新しい技術を生み出したり、生み出されたばかりの技術を応用して新しいものを作り出したりする力はない。だからこそ、新しいものが作れる人たちには、期待したいのです。

セキュリティキャンプ、今年からは「セキュリティ&プログラミングキャンプ」となるようですが、ここに集まる人は中学生から大学生までの一流を目指す人たち。それが超一流の講師陣の下で、みっちりと研修を受けるのですから、技術的には相当の高みに登ることを期待しないわけにはいかないでしょう。そしてこの中から、5年後、10年後のIT業界を引っ張る人材が出てくるだろうと思います。

あとは、経営や営業の問題なんですよね。ITに限らず、いくら技術がすごくとも、経営や営業がそれを理解しない、ときには反発や否定することもある状態では、技術を生かす以前の問題になります。日本全体が保守的な傾向にあり、新しいものにアレルギー反応を示すのは昨日今日始まった問題ではありませんし、こういった経営側の認識を改める合宿はないのかな、と思いますね。

あるいは、このキャンプに参加するような技術的に優れた人材が、経営も覚えてもらうか。日本の将来としては、ドラスティックな改革があったほうがよさそうですし、技術者の経営が当たり前になるのもいいのかもしれませんね。

最近、毎日のように届いている、CNNを騙るスパムです。明らかに怪しいので迷惑メール直行だったのですが、ここまで危険だったとは。

• 「CNN.com Daily Top 10」のメールの先には「トロイの木馬」が  (やじうまWatch)
• 「ウイルスをFlash Playerに見せかける」、偽のCNNニュースに注意：ITpro
• CNN.comのニュース配信に見せかけたウイルスメールが大量発生：Security NEXT

とはいえ、CNNだと、だまされるひとも多そうですね。自分も最初に届いたときには、本物のメールかどうか訝りましたし。でも、CNNにメールアドレスを登録した覚えはないし、リンク先のURLが全然違うところを指しているので、これはおかしいと気がつきました。でも、そこまで見なかったとすれば、あるいはCNNにユーザー登録していたとすれば、自分もどうなっていたか。

とにかく、たとえ題名がCNNだったとしても、「知らない宛先からのメールは疑う」「疑わしいHTMLメールは開かない」という原則を思い出して、自衛する必要があります。また、Windows Updateは必要ですが、セキュリティソフトはあくまでも補助的なものと考えるべきなのでしょう。

電子メールの終焉 → 新しい情報送信システムの導入 → 市場の開拓 → ソフトウェアの開発と宣伝 → メーカー(゜Д゜)ウマー 、ということになるのでしょうか。

• 電子メールシステムに限界？　シマンテックが企業のスパム現状を調査 － ＠IT
• 「日本企業が受信するメールの32％がスパム」、シマンテックが調査：ITpro
• 受信メールの3割：企業が受け取るスパムは1日当たり約3万7000通 - ITmedia エンタープライズ
• 「メールシステムの限界が近づいている」--シマンテックのスパム調査：ニュース - ZDNet Japan
• シマンテック、企業のスパムメール受信実態を公表：ニュース (PC Online)
• スパム対策は不十分、検索性も含めシステム全体の見直しが必要－シマンテック調査 (Enterprise Watch)
• japan.internet.com Webテクノロジー - IT 管理者のスパム対策不満点 No.1 はメール誤検知
• スパムが日常業務へ及ぼす影響「特にない」が4割～シマンテック調査 (INTERNET Watch)
• スパム対策は63%の企業が実施、もっとも高い成長率 - シマンテック調査 | エンタープライズ | マイコミジャーナル

たしかに、スパムメールの量は尋常ではなく、家にも会社にも1日平均で50～100件は来ているのではないかと思います。セキュリティソフトやメールソフトのほうがスパム検出に敏感になっており、自動的に迷惑メール扱いになってくれるので、ほとんど影響はありませんが。

ちなみに、私が使っているのは、もちろん (中の人ですし) ジャストシステムの「Shuriken 2008」。スパム検出精度の高さには自信を持っており、皆さんにも胸を張っておすすめしたい製品です。

メールシステムが限界に来ている、というのもわかります。過去には、ネットニュース (NNTP) がスパムに埋もれて機能不全に陥ってしまい、ネットニュースでやりとりしていた情報の多くが電子掲示板システムに移行しました。そのようなことが、電子メールにも起ころうとしているのだろうという理解になります。その次に来るものは何か、ということですが、既存の技術であれば、SNSなどのメッセージ機能が上げられるでしょう。送信元アカウントの詐称ができないことを保証したシステムで、メールのやりとりを行うというのはひとつの解決策だろうと思われます。

もっとも、既存のSNSのどこかでやるわけにはいかないでしょうから、どのサービスにログインしていても、異なるサービス間でメッセージの送受信ができるようにするか、世界共通のメッセージ送受信サービスを構築することが求められます。どちらの方法でも、新たなプロトコルが構築され、そのプロトコルに応じたサービスやソフトウェアが開発されることになりますから、ソフトウェアメーカーとしては大きなビジネスチャンスです。

でも果たして、電子メールが終焉を迎えることがいつやってくるのか、そのときに新しい仕組みを利用するための認証はどのようにするのか。電子メールを置き換えた新しいシステムの認証に電子メールアドレスを使うのは、何か間違っているわけですし。

WikiLeaksのようなサービスが存在しうるのが米国らしさだと思っていて、むしろこういうサービスを閉鎖させるのは全く米国らしくないなあ、と思ってしまったわけです。

• WikiLeaks閉鎖命令――逆風のはずが追い風に！？ - builder by ZDNet Japan
• 内部告発サイト『Wikileaks』が強制的に閉鎖――国外サーバーで対抗 | WIRED VISION
• 米国地方裁判所、内部告発奨励サイト「Wikileaks.org」の閉鎖を命令 : コンプライアンス - Computerworld.jp
• ウィキリークスは生き残れるか～国家や企業の秘密を暴くサイト (U.S. FrontLine)
• 内部告発サイト「WikiLeaks」がアクセス不能、米地方裁判所が一時閉鎖命令 - Technobahn
• 米国地方裁判所、内部告発奨励サイト「Wikileaks.org」の閉鎖を命令 : 訴訟 ／ 知財問題 - Computerworld.jp
• livedoor ニュース - 内部告発サイト『Wikileaks』が強制的に閉鎖――国外サーバーで対抗

「Wiki」とついていますが、ウィキの仕組みを使っているだけで、ウィキペディアとは無関係のサービスです (最近、「ウィキペディア」の略として「ウィキ」を使う人が多いので) 。

かなりざっくりと説明してしまうと、WikiLeaksは匿名での内部告発を行うためのサイトですが、告発が真実とは限りませんし (偽の情報で企業にダメージを与える可能性は誰でも考えるでしょう) 、情報漏洩とも紙一重です。真偽不明の情報であふれて、サイトとしての信頼を失う可能性が非常に高いと思われましたが、2006年末のサービス開始以降、1年あまりにわたってそれなりに機能していたようです。

米国的な考え方は自分には理解できない部分がありますが、WikiLeaksのようなサービスが存在する自由があるのが、米国なのではないかと思うわけです。中国はもちろん、日本でもこのサービスは無理でしょう。そういう意味で、この閉鎖命令は意外な感じがしました。

もっとも、インターネット上の情報を完全に遮断するのは不可能なわけで、米国外のサイトにIPアドレスを直接入力してアクセスすれば、これまで通り利用できるということです。これが法律の限界でもあり、インターネットの持つ潜在的な力だということもできるでしょう。「何もわかっていない」的な論調もありますが、提訴した側からすれば法律の限界を理解した上で泣き寝入りしろということなのか、ということにもなるでしょうね。

もっとも、地方裁での決定ですし、なんといっても自由の国、米国の話です。上級裁判所で判決がひっくり返る可能性が高いので、今回の決定についてはあまり気にしないでもいいのかもしれません。ただ、WikiLeaksが本来の目的を果たせるのか、情報の (意図的な) 漏洩や風説の流布のために用いられることはないのか、チェックしていく必要はありそうです。

私の勤め先は大企業ではないので、この調査の対象外。勤め先での規制がどうなっているかは内緒です (笑) 。

• 持ち出しPCでの情報漏えい、企業の9割が懸念--8割が2ちゃんねるのアクセスも禁止 - builder by ZDNet Japan
• 持ち出しPCでの情報漏えい、企業の9割が懸念--8割が2ちゃんねるのアクセスも禁止:ニュース - CNET Japan
• 掲示板やSNS経由の情報漏洩対策に警戒する大企業：Security NEXT
• 大企業の半数が、仕事中のＳＮＳ利用を制限――ネットスター調べ インターネット-最新ニュース:IT-PLUS
• livedoor ニュース - 大企業がアクセスを制限する三大サービス「アダルト系ブログ・2ちゃんねる・mixi」、「しょこたんぶろぐ」も×
• 大企業の約8割、2ちゃんねるにアクセス制限 - ITmedia エンタープライズ
• MarkeZine：◎大企業がアクセスを制限する三大サービス「アダルト系ブログ・2ちゃんねる・mixi」、「しょこたんぶろぐ」も×
• 大企業では掲示板やSNSの利用制限進むが、持ち出しPC対策に課題 (INTERNET Watch)

何を制限するための規制か、という観点で、2つの大きな考え方があると思います。つまり、1つは情報漏洩を防ぐ目的ですが、もう1つは仕事中に遊ばない、ということですね。この記事を読むのにセキュリティのほうを重視しすぎると、後者のほうは忘れられがちになりそうです。情報漏洩という意味では、2ちゃんねるでもmixiでも、受信OK、送信NGということになるでしょうけど、見るのもダメというところも少なくないようですから、社内規律の徹底という観点のほうが、むしろ強いようです。

外部の目が厳しいところ (ここでは対象外ですが、官公庁など) は、仕事中に遊ぶなど言語道断という考え方になるでしょうけど、ある程度の息抜きは必要だと思いますし、生産性に影響のない範囲であれば大目に見てもよいのではないかと思います。もちろん節度はもって、昼間っから2ちゃんねるに入り浸っているのは論外ですが。

という自分も、インフルエンザで会社を休んだ日、家から2ちゃんねるに書き込んでいたのですが、さすがに「朝の10時に書き込んでるなんて、いい会社だなあｗ」と、名無しさんから突っ込まれました。勤め先ののほうに悪い噂が立つとあれですから、休んでいることは説明しましたけどね。

法改正が進められていますが、現在の法律では罰金の上限は100万円なんですよね。2000万円の利益は没収されるのかなあ?

• スパム22億通送信で逮捕　25歳男「捕まると思わなかった」 - ITmedia News
• 迷惑メール22億通送信か、発信元偽る・容疑者逮捕 (NIKKEI NET)
• asahi.com：迷惑メール２２億通を送信　容疑の男を逮捕　警視庁 - 社会
• 時事ドットコム：迷惑メール送信で男逮捕＝２２億件、２０００万利益か－捕まると思わず・警視庁
• １年半で22億通の迷惑メール送り逮捕 - 社会ニュース : nikkansports.com
• 迷惑メール"22億通"送信した男を逮捕 - 手数料2,000万円荒稼ぎ | ネット | マイコミジャーナル
• 警視庁、迷惑メール送信の男性を逮捕 (INTERNET Watch)
• 警視庁が迷惑メール22億通を送信した男を逮捕、利益はなんと2000万円 - GIGAZINE
• 迷惑メール：２２億通送信か　２５歳容疑者逮捕－－警視庁 - 毎日ｊｐ

罪状は「特定電子メールの送信の適正化等に関する法律」違反ですが、この法律の改正が検討されている中での逮捕でした (参照：迷惑メール規制法　海外発のメールも摘発対象に:ニュース - CNET Japan) 。改正案では、罰金の上限を3000万円に引き上げることになっており、こういう事件を見ると速やかな法改正が望まれているのは間違いなさそうです。

22億通にしても2000万円にしても、大きすぎて実感のない数字なのですが、80万件の送信先アドレスの名簿を購入して、1年半の間に送ったメールなので、1日あたりに換算すれば (22億通÷80万件÷540日 =) 約5通。やっと実感のある数字になりました。スパムに反応した客がサイトに登録すると、1件あたり1500～2000円の報酬になったということで、カモの数は (2000万円÷2000円 =) 約1万人。80万人のうちの1万人ですから、一人で何度も登録した人もいるでしょうけど、80人に1人は引っかかる計算ですか。カモ率は案外と高いですね。

法律での取り組みも必要ですが、メールを使う側がもっと賢くなって、スパムの採算がとれないように追い込むことも必要だと思います。積極的に通報していくとか (自分がやっていませんが) 、文面を晒してネタにするとか。とにかくスパム業者が儲かる仕組みを壊していかないと、スパムはなくせないでしょう。

自分に子供がいたらと想像すると、ホワイトリストとブラックリストのどちらがいいのか、結構悩みますね。

• フィルタリング（ふぃるたりんぐ） : モニ太のデジタル辞典 : コラム : ネット＆デジタル : YOMIURI ONLINE
• 「まぢわかんない」「悪い大人を取り締まって」――携帯フィルタリングに未成年者の反応は (1/2) - ITmedia News
• 「携帯フィルタリング対策、あらゆる手段検討」ＤｅＮＡが会見 インターネット-最新ニュース:IT-PLUS
• 携帯フィルタリングに待った！:守部　弘昭【Web Marketing】 - CNET Japan
• 携帯フィルタリング、総務省が“過剰規制”に「待った」 - ITmedia News
• 増えるフィルタリング利用　事件の予防効果には疑問も - MSN産経ニュース
• MCF定例セミナー、フィルタリングや携帯検索の現状と課題など (ケータイ Watch)
• 携帯向け有害情報フィルタリングの基準案が明らかに，削除期限を盛り込む：ITpro
• 「オン・オフだけのフィルタリングは無益」施策の再検討を求める声も (INTERNET Watch)
• フィルタリングで使えなくなったモバイルコンテンツの行方は？--総務省研究会から:モバイルチャンネル - CNET Japan

ざっくりおさらいしておくと、「ホワイトリスト」は特定のサイトだけをアクセス可能にする仕組み、「ブラックリスト」は特定のサイトをアクセス不可にする仕組みということになります。ホワイトリストは完全に安全なサイトのみにアクセス対象を絞ることができますが、リストから漏れたサイトはたとえ安全なものであってもアクセスできなくなるという欠点があります。ブラックリストの利点と欠点はその逆ですね。

簡単に結論が出るわけではないので、だらだらと思うことを書いておきます。まず、子供の判断力は全く信頼できない、と考えておくべきですが、かといって安全なところだけを見せておくようなやり方が適切な教育方法だとも思えません。また、実社会であれば危険な場所というのはある程度イメージを持たせることはできるのですが、携帯電話の中であれば安全なところも危険なところも画面の中でしかないわけで、正しく区別するのは大人でも困難でしょう。ホワイトリストであれブラックリストであれ、制限すること自体が悪だという考え方もありますが、現状の無法地帯を子供にそのまま受け入れさせるのも、また悪影響を及ぼしそうです。

子供の意見が出ているのを、ITmediaがまとめています。「まぢわかんない」は大人だってそうなのですから、判断能力に劣る子供が理解できるとは思いません (わかっているふりをする子供もいますが、実際にはわかっていないでしょう) 。「悪い大人を取り締まって」という発想は、自分の中にはなかったですね。取り締まれないから、水際のフィルタリングでどうにかしようとしているという前提で考えており、元を絶つという考えには至りませんでした。とはいえ残念ながら、実際のところ、悪い大人はいなくなりませんから、取り締まるには限界があるでしょうね。

自分には子供はいませんが、もしいたとして、この問題をどうするかは難しいと思います。フィルターを解除しても大丈夫か、子供と話し合って決めるだろうとは思いますが、ネット上にどういう危険があるのか、理解させるのは一筋縄ではいかないでしょうね。自分がネット上の危険をどれだけ理解しているかもわかりませんし、かといって子供に自ら経験させるのもリスクが高すぎますし……。

国内では初の逮捕者。ただし、コンピュータウィルスの作成は (日本では) 罪にならないので、著作権法違反を適用しています。

• ウイルス犯摘発　作成者を罰する法律が必要だ : 社説・コラム : YOMIURI ONLINE
• 摘発ウイルスは悪質な「連鎖型」　駆除しても感染継続　　中辻容疑者、巧妙さ増した種作成 - MSN産経ニュース
• 中日新聞:ウイルス摘発　取り締まる法が必要だ:社説(CHUNICHI Web)
• 「原田ウイルス」も作成、逮捕の大学院生が供述 : 社会 : YOMIURI ONLINE
• Winnyウイルス作成者を人気アニメ「CLANNAD」著作権侵害で逮捕 - 京都府警 | ネット | マイコミジャーナル
• ＰＣウイルス作成者、日本で初逮捕…著作権法違反容疑で:ニュース - CNET Japan
• asahi.com：蔓延ウイルスも作成　逮捕の院生、個人情報流出の機能 - 社会
• ウイルスに二重機能　逮捕の院生「僕が作った」 (中国新聞)
• 時事ドットコム：勝手に改変、挑発的文言＝アニメファイル装う－ウイルス作成の大学院生・京都府警
• アニメ「CLANNAD」の画像を表示するウイルス、作成者を著作権侵害で逮捕 (INTERNET Watch)
• 国内初、ウイルス作者逮捕　CLANNAD画像の「著作権侵害」で - ITmedia News
• [作成ソフトも公開か　大学院生のウイルス亜種] / 社会 / 西日本新聞
• asahi.com：ウイルス作成自体を取り締まる法律なし　「奇策」で摘発 - 関西
• 一般システムエンジニアの刻苦勉励 > 凶悪なコンピュータウイルスが生まれる5つの要素 : ITmedia オルタナティブ・ブログ

容疑者のほうは、自分が作成していることを知られることはないと高をくくっていたようですが、そこまで日本の警察は甘くない、といったところでしょう。Winnyの47氏のように著作権のあり方をひっくり返そうとしたわけでもなく、愉快犯のように思われます。

報道では、やはり法整備の遅れを指摘する記事が多く、ウィルス作成自体を取り締まる法律が必要という世論になりそうです。私も法整備が急がれていることは感じますが、単純所持は取り締まれません (性質上、利用者の意志によらず勝手に居着くわけですから) が、作成といっても実験や研究の目的での作成というのもあり、どこまでを取り締まりの対象とするのかは慎重な議論が必要かと思います。

たとえば、私の勤め先の製品で脆弱性が指摘されたとして、業務上の調査のために脆弱性を突いて任意のプログラムを実行できるかどうか試すプログラムを作ったとしたら、これは犯罪でしょうか。もしそれがP2Pソフトなどで、意図せず公開されてしまったら……?

私は法律については素人なので、どうすればいいのかという意見はできませんが、単純に「法整備をして取り締まれ」ともいえないのではないでしょうか。そして、そんな状況の中でも逮捕・送検に至った警察の行動には一定の評価をしておきたいと思います。

日本ではなじみの薄いサービスですが、インターネット上にあまたあるサービスのIDを一元管理するものです。日本での普及が待たれますが、個人情報とのかねあいもあるのかな。

• 【速報】日本のヤフーもOpenID発行サービス開始へ、近日中に正式発表：ITpro
• Y!もOpenID対応、ソーシャルグラフの力とは？:CNET Japan オンラインパネルディスカッション - CNET Japan
• 米ヤフー、OpenIDのサポートを発表:ニュース - CNET Japan
• 米ヤフーがOpenID対応へ － ＠IT
• Yahoo!、ID認証フレームワーク「OpenID 2.0」のサポートを表明 : ソフトウェア＆サービス - Computerworld.jp
• Yahoo! OpenIDに対応、ID総数は3億6,800万へ | ネット | マイコミジャーナル
• Open Tech Press | パスワード：一元化へ前進　YahooがOpenIDを採用
• MarkeZine：◎ユーザーを囲い込む時代は終わった？米Yahoo!が「OpenID」サポート
• OpenIDユーザーが4億人近くに：米Yahoo!社の対応で | WIRED VISION
• Yahoo!、OpenID 2.0に対応、PlaxoやJanRainなどのOpenID対応サイトにYahoo! IDでログイン可能に：RBB TODAY
• 米Yahoo!がOpenID採用を発表、OpenIDアカウント数は一気に3倍に (INTERNET Watch)
• Japan.internet.com Webテクノロジー - Yahoo! が『OpenID』対応を表明
• Yahoo!、OpenIDサポートを表明――Yahoo! IDで対応サイトへのログインが可能に - ITmedia News
• Yahoo!、OpenIDサポートを表明――Yahoo! IDで対応サイトへのログインが可能に:ネットのニュース.log - CNET Japan
• OpenID 2.0とYahoo：セキュリティの観点から:スペシャル - ZDNet Japan

日本での普及は、米国より少なくとも2～3年は遅れそうですし、全く普及しない可能性も相当にあります。個人情報漏洩に対する恐怖感や、もはや偏執的な段階にきている匿名性の確保のため、各サービス共通のIDなんてとんでもない、というヒステリックな反応が起こることが想像に難くないからです。

ネット上に現実の自分を存在させてはならない、というのが「常識」になっています。自分の素性がネットで知られるようになると、即座に全世界にその情報が広められ、2ちゃんねるやmixiで叩かれ、ブログは炎上し、ネット上はおろか現実世界でも顔を上げて外を歩けないことになるそうです。……日本って怖い国ですね (笑) 。

まじめな話に戻ると、OpenIDというのが非常に誤解されやすいサービスではないかと思うのです。特に日本のように、個人情報の扱いに慎重すぎるような環境では、OpenIDは各サービスに個人情報を提供する、危険なサービスだという認識がなされる可能性があり、むしろ排除の方向に進むかもしれません。非常に誤解されやすいサービスですので、OpenIDで行っていることとそのメリット・デメリットを、正確に情報提供し続けることが望まれます。これはサービスの運営者側だけではなく、メディアなどの報道側にも要求されるのでしょう。

個人的には、OpenIDが使えるサービスが増えてほしいと思いますが、OpenIDしか使えません、というところはちょっと遠慮したくなるかもしれません。サービス提供側には苦労をかけることになりますが、両方をサポートしてほしいと考えています。

私の勤め先は、ノートPCは原則持ち帰り禁止、SafeBootによる暗号化が義務づけられています。ほかにも対策ありのはずです。

• 職場PCの私的利用、日本人の危機意識は世界平均より高い～BSA調査 (INTERNET Watch)
• Japan.internet.com Webビジネス - 国内の PC 利用危機意識高く、BSA が発表
• BSA、世界20か国の「職場PCの私的利用」について調査――日本は平均以上だが4割が規制なし：RBB TODAY
• 40％以上が職場パソコンの私的利用に関する会社規定なし--BSA調査:リサーチ - ZDNet Japan
• livedoor ニュース - BSA、世界20か国の「職場PCの私的利用」について調査――日本は平均以上だが4割が規制なし

でも、会社からウィキペディアとかスラッシュドットとか見ていても何もおとがめなしですから (仕事の成果を出していればかまわないらしい) 、規制はそれほど厳しくされていないようです。転職サイトは見られませんでしたが (笑) 。これ以上は、という過去の時点でも、社内機密を漏洩させているようでヤバそうなので、自分の経験はこの辺まで。

大きな企業になると、程度の差はあれ、私的利用には何らかの制限がなされているところがほとんどだと思います。自治体などではもっと顕著でしょうし、環境が固定されていて自分で何もインストールできない、というところもあるようにも聞いています。制限がないと答えた4割強は、制限に気づいていない可能性もありそうですね。

おかしなサイトは見ない、得体の知れないものをダウンロードしない、インストールしない、etc。自宅でも当たり前のことなのですが、あまりにも無頓着だとやってしまう人がいるんでしょうね。そしてそういうところでは、当然ながら規制が厳しくなる、と。私の勤め先はIT関連で、何が危険か判断できる人がほとんどですし、自由にやらせることで生産性が高まるという判断もあるのかもしれません。

これは試してみたことがあります。結構おもしろい結果が出てくるものです。

• CNN.co.jp：米国人の４７％、自分の名前を「ググった」経験ありと
• livedoor ニュース - Googleで「うぬぼれ検索」しているのは、あなただけではない
• 米国ネット・ユーザーの47％が自分自身をオンライン検索した経験あり：ITpro
• 「自分をググったことがある」人は47％――米団体調査 - ITmedia News
• Business Media 誠：「自分をググったことがある」人は47％――米団体調査

私の本名でグーグル検索してみました。いま参加しているブログやウィキペディアのアカウントも出てきますし、昔入れ込んでいたネットニュース (fj) のころの情報がまだ多数上位にあります。あと、仕事でネットに名前を出したものもヒットしていますし、同姓同名の別人と思われる記事もあります。

こういう検索は、セキュリティの観点からもやっておくべきらしいです。自分自身の個人情報について、けっこう無頓着なほうなのですが、以前ウィキペディアに自分の本名で記事を作られたときには萎えました (Wikipedia:削除依頼/岸本慎介) 。しかも単なる悪戯ではなく、明確に悪意を持ってやっていたようです。自分がその悪意の存在に気づいておらず、あとで事情を知ったときにはかなりがっくり来ました。

さて、米国での調査では、自分の個人情報を検索したことがある人は47パーセント。個人情報についての考え方が全く違う日本とは比較できませんが、案外低いかな、という気はしました。自分がネット上でどのように評価されているのか、気にならないものでしょうか。

ちなみに、日本で、自分のように本名をネット上に公開しているのはごく少数だろうと思います。日本ではネットは現実とは切り離された社会であり、現実の人格をネット上に持ち込むのは愚かな行為とされている、という傾向があるからでしょう。ネットの炎上行為が非ネットの社会に影響し、当事者の顔写真や自宅まで晒されることも多々ありますからね。自分は、ネット上に現実の人格を持ち込んでいる以上、ネットでの言動にも気を配る必要がありますが、そのほうが当たり前だと思っています。

こんなの、無理だろう……と第一印象で思ったのですが、「あきらめたらそこで試合終了ですよ」 (SLUM DUNKの名台詞) 。

• Winnyなどファイル共有ソフトからの情報漏えい防止技術、IPAが募集 - ITmedia News
• “Winny漏洩”の抜本的な対策技術、IPAが12月27日まで公募 (INTERNET Watch)
• 「Winnyを使うかぎり漏えいはなくならない」、IPAが改めて危険性訴え - ITmedia エンタープライズ
• 止まない情報漏洩事故--IPA、改めてファイル共有ソフトへの注意を呼びかけ:ニュース - CNET Japan
• ファイル交換ソフトによる情報漏洩被害を防ぐ技術を公募 - IPA：Security NEXT

正確には、IPAが公募しているのは、「ファイル共有ソフトを通じた情報漏えいに対する技術的手法の提案」。Winnyによる事故・事件が大半ですが、ここではWinnyに限定せず、すべてのファイル共有ソフトを対象としています。また、運用でカバーするのではなく、あくまでも「技術的手法」であるところにも注意が必要ですね。

ごめんなさい、どう考えても無理です。ファイル共有ソフトはその名称の通り、不特定多数の間でファイルを共有するためのソフトウェア。共有することが目的であり、共有する=他者に情報を公開する=情報が漏洩する、ですから、ファイル共有ソフトがファイル共有ソフトである限り、情報が共有・漏洩するのは自明の理です。これを技術的に防ぐのは、ファイル共有ソフトをファイル共有ソフトでなくすという意味になってしまいます。

あ、でも、WinnyはPC内のすべてのファイルを共有対象としますが、共有するものとしないものを厳密に分けられれば、漏洩は防げるのかも。Winnyの仕様はよくわかりませんが、何らかの方法で共有させないファイルを設定することができれば、ひとつアイデアになりますね。自分が思いつくのはここまでですし、公募に応じる気もないので、この案を適当に踏み台にしてもかまいませんが、これくらい、誰でも考えつきますよね。

ここまで被害が大きくなるまで気づかなかったのか、そして防げないものだったのか。単純にセキュリティの問題ともいえなさそうですが、検討してみます。

• 「モバイルSuica」で不正クレジットカード利用、被害額は990万円 (ケータイ Watch)
• 約1年で1000万円――モバイルSuicaの不正利用はなぜ起きた？ - ITmedia News
• 時事ドットコム：モバイルスイカで不正使用＝他人に成り済まし会員登録－被害１０００万円・ＪＲ東
• 東京新聞:電子マネー『モバイルスイカ』　不正利用１０００万超被害:社会(TOKYO Web)
• BizPlus: 最新：モバイルスイカで不正利用、被害額1000万円
• モバイルSuica不正利用相次ぐ　被害1000万円超 - ITmedia News
• モバイルスイカで不正利用　被害１０００万円超す (中国新聞)
• 「モバイルＳｕｉｃａ」なりすまし買い物多発 : 社会 : YOMIURI ONLINE
• Business Media 誠：約1年で1000万円――モバイルSuicaの不正利用はなぜ起きた？
• 「モバイルＳｕｉｃａ不正利用　被害額１０００万円に」事件です‐事件ニュース:イザ！

盗難やスキミングなどで、不正に入手したクレジットカードの情報をモバイルSuicaに登録することができたようです。また、モバイルSuicaはJRの運賃だけではなく、商業施設やホテルなどでも利用できるため、被害が拡大したという側面もあるようです。被害総額は1000万円ですが、なかにはひとりで300万円の被害があった例もあるとのこと。

クレジットカードは、番号と有効期限だけの登録となっていたわけですが、このパターンで登録しているサービスは比較的多いように思います。暗証番号の入力が必須になってくるかもしれませんし、その他の何か (登録者名? これもあやふやですが) で紐付けする方法も考えるべきなのでしょう。

そして、万が一不正に登録されたときも、被害を軽減させるために、利用額の上限を設定する、怪しい使い方があったときは本人に問い合わせるなど、何らかの対策が必要でしょう。このあたりの対応が抜けていたことが、被害額を大きくする結果につながってしまったと思われます。

利用者が取れる対策は、何かあるでしょうか。もちろん、「使わない」「登録しない」というのが最善の対策ですが、利便性を捨ててしまうわけで、対策としては後ろ向きすぎるかな、とも思います。作る側も使う側も、利便性とセキュリティの間で悩んでいる、というのが実情なのでしょうね。

中の人なので詳しいことは書けませんが、今回は「ゼロデイ」ではなかったことが不幸中の幸いでした。

• 一太郎シリーズに深刻な脆弱性 - ITmedia エンタープライズ
• 「一太郎シリーズ」に3件の脆弱性、更新モジュール配布開始 (INTERNET Watch)
• 「一太郎」に危険な脆弱性が3件、ファイルを開くだけで被害の恐れ：ITpro
• 一太郎に3種類の脆弱性 - ジャストシステムがアップデートを公開：Security NEXT
• 「一太郎」に危険な脆弱性が3件、ファイルを開くだけで被害の恐れ：日経パソコンオンライン
• 「一太郎」シリーズに3つのバッファオーバーフロー脆弱性:セキュリティ - ZDNet Japan

改修モジュールはジャストシステムのサイトで公開中です。

報道で初めて知ったのですが、情報提供者は「フォーティーンフォティ技術研究所」 (以下、「1440」) の鵜飼氏。1440は今年7月の設立ですから、設立してすぐこの脆弱性を発見したことになります。ジャストから1440に脆弱性チェックを依頼したという話は聞かない (さすがにそこまでは知らないので、あるともないともいえませんが) ので、ほぼ最初に一太郎がターゲットにされたのではないかと思います。

最初に一太郎を調べたのは、理屈としてはあっているんでしょうね。(1)日本国外のシェアはほぼゼロのため、日本以外の国が調査することはない。(2)20年以上の歴史を持つ古い製品であり、セキュリティの概念が薄かった頃のコードも残っている可能性が高い。(3)過去にも脆弱性を狙った攻撃が発生している。という特徴を持っており、客観的に見ても狙われやすいソフトではあると思われるからです。

これまでの攻撃は日本国外からのものがほとんどで、シェアがなかったゆえに一太郎が狙われることはなかったのですが、ここ数年で一太郎をはじめ、日本でしか流通していないようなソフトへの脆弱性報告が多数現れるようになってきています。脆弱性の場合、バグとして目に見える形にならないことが多いので、報告がないと見つけにくいのですが、そのあたりをうまくやっていく仕組み (今回のように、攻撃の前に脆弱性の報告と修正が行われる仕組みなど) が整っていってほしいと思いました。

小泉さん、安倍さんと2代続けてメールマガジンを出していたから、福田さんもなのか、とだまされてしまうのでしょうか。

• 福田新首相を偽るウイルスメール出回る : サイバー護身術 : セキュリティー : ネット＆デジタル : YOMIURI ONLINE
• 福田新首相の名を騙るメールに注意、Symantecが警告 (INTERNET Watch)
• 「福田首相」メール、添付ファイルにマルウェア仕込む - ITmedia News
• 福田康夫新首相からの偽装メール発見！～シマンテックなど警告発表：Enterprise：RBB TODAY
• 福田首相を騙る標的型攻撃が発生：メール本文に「アジア外交」:セキュリティ - ZDNet Japan
• 福田首相誕生に便乗したトロイの木馬が見つかる - 同氏のなりすましメールに注意：Security NEXT
• 「福田新首相」からの直メールにご注意！ / BARKS NEWS

仕掛ける側もあの手この手と、いろいろ考えてきます。福田さんよりは麻生さんが首相になったほうが、この手の攻撃の効果は高かったような気がしますが (「麻生ならやりかねない」とだまされる人も出てきそう) 、ともかく手の込んだ仕掛けです。もちろん日本語、本文には事務所の住所と電話番号付きで、アジア外交についての記載もあるとか。

そして添付ファイルが「mofa.zip」。mofaは外務省の英語での略称ですから、本文とあわせて、それっぽい雰囲気を出させています。展開した中に含まれる実行ファイルを起動すると、Word文書が表示されるのですが、同時にバックドアを仕掛けられるということです。

内閣メルマガが続いているので、今回の偽メールが内閣メルマガだと誤認した人もいたかもしれません。ですが、さすがに怪しげな添付ファイルはつけて送らないでしょうし、誰でもどこかでおかしいと気づくだろうとは思いますが、甘いかな?

Nortonを紹介して、自社ブランド製品を紹介しないわけにはいきません (笑) 。

• ジャスト、セキュリティソフト「Kaspersky」最新版発表--ルートキットも検知:ニュース - CNET Japan
• ジャスト、3階層で防御するKaspersky最新版を発表 - ITmedia エンタープライズ
• ジャストシステム、1時間ごとに定義ファイルを更新するセキュリティソフト「Kaspersky Internet Security 7.0」発売：デジタルARENA
• ヒューリスティック検知で未知ウイルスも防御　「Kaspersky」最新版 - ITmedia News
• Kasperskyの守りは3枚の盾で、ジャストシステム － ＠IT
• ジャストシステム、ヒューリスティック技術を搭載した「Kaspersky 7.0」 (INTERNET Watch)
• 3階層の防御「Triple Shield」を実現した「Kaspersky Internet Security 7.0」など (Enterprise Watch)
• ジャストシステム、セキュリティーソフト“Kaspersky”の最新版を発売 (ASCII.jp)

まず気がついたのが、記者発表を大々的に行っていることです。自分もこういう表舞台に、一度くらいは出てみたいものです。もちろん、裏方も悪くはないのですが。

機能的なことは各記事を見ていただくとして、プロモーション的なことを書いておきます。まず、無償ダウンロードできる体験版が公開されています。30日間有効ですので、「3つの盾」がどういったものなのか試してみてもよいかと思います。

また、旧バージョン (Kaspersky 6.0) のユーザーには無償アップデートをダウンロード提供しており、パッケージ発売より一足先に新機能を利用することができます。私もこの特典の恩恵を受けて、早速アップデートしました。

パッケージに顔写真が大きく印刷され話題になった、開発責任者のユージン・カスペルスキー氏ですが、9月15～16日に来日します。前回の来日・講演では立見が出るほどの大盛況でした (ニッポンのソフト屋: ユージン カスペルスキー氏 来日) ので、今回もイベントに多数のお客様が集まっていただけるものと期待しております。

先日紹介したNorton (たまご915のIT道中膝栗毛: 「Norton 2008」発表、1製品で3台まで利用可能) と比較すると、シェアの面では後発のこともあり、まだまだ厳しい部分もあります。ですが、性能では負けていないと思いますので、応援をよろしくお願いします。

そろそろこの時期になりましたね。毎年更新していたのですが、自社ブランド製品に乗り換えましたから……。

• 未知の脅威を検知し、静かに排除する――「ノートン2008」発表会 - ITmedia +D PC USER
• 1ライセンスで3台のPCに利用可能、ノートン 2008は実質値下げ － ＠IT
• シマンテックがセキュリティソフトの新版、1製品で3台まで利用可能に：ITpro
• 新しい脅威に対応した「ノートン・インターネットセキュリティ 2008」など (Enterprise Watch)
• シマンテック、スキャンやUI反応など“軽く”なった最新版「ノートン」 (Internet Watch)
• シマンテック、PC3台までインストール可能な「ノートン・2008」シリーズ | BCNランキング
• セキュリティ≫外敵防止セキュリティ≫NEWS Headline-シマンテック、新機能搭載のセキュリティソリューション「ノートン2008」を発表：ソフトバンク ビジネス+IT
• スキャン速度が4割向上したノートン・アンチウイルス/インターネットセキュリティ2008：Enterprise：RBB TODAY
• Japan.internet.com Webテクノロジー - ノートン・インターネットセキュリティ2008/アンチウイルス2008が発売
• ブラウザがOSくらいに重要に - むささびの視線 [ITmedia オルタナティブ・ブログ]
• シマンテック、「ノートン」 シリーズ新版を発売--パッケージ版は9月21日から:ニュース - CNET Japan
• シマンテック、「ノートン」 シリーズ新版を発売--パッケージ版は9月21日から:セキュリティ - ZDNet Japan

今度の製品は価格は旧バージョンと同じですが、1ライセンスで3台のPCにインストールできるようになったことで、実質的な値下げとしています。実際には家庭に3台もPCがあるところなんてごく少数でしょうから (なぜかうちがその少数に入ってしまうのですが (笑)) 、宣伝文句ほどの効果はなさそうですが。

あとは、速度の向上でしょうか。メモリ使用量と動作速度を改善し、全体的なパフォーマンスの向上につなげたということです。とくにノートンは「重い」という評価がついて回っている部分があった (2バージョン前の2006が酷かったらしい) ので、その部分の改善でしょう。ただ、ブランドイメージという部分もあるので、従来の評価をどこまで覆せるのかは、これからの戦略次第になりそうです。

セキュリティソフトは入れておく必要はあるのですが、それだけで十分だと思っていると、痛い目に遭うことがあります。不必要なこと (怪しげな電子メールを開く、怪しげなサイトにアクセスする、怪しげなソフトをセットアップする、など) はしないのが重要ですが、どこまでやれば十分なのかは人によって見解が分かれます。自分はそれほど気にしていませんが、個人情報漏洩の対策として、ネット上のサービスの会員登録は行わず、必要があっても偽名を使うという徹底ぶりもあります。そこまでやったら逆に問題にならないかなと思いますが……。

個人宛のスパムの被害も出ており、史上最悪の個人情報漏洩事件の一つになりそうです。

• Monster.comの個人情報盗難事件、盗まれたデータは数十万人分に : セキュリティ - Computerworld.jp
• 悪質ソフトで履歴書データベースにアクセス、Monster.comの情報流出事件 - ITmedia News
• 求人サイトで盗んだ個人情報160万件、ユーザー名指しのスパムに利用 - ITmedia News
• 求人サイトにトロイの木馬、個人情報盗む - ITmedia News
• livedoor ニュース - 求人サイトで盗んだ個人情報160万件、ユーザー名指しのスパムに利用

シマンテック社から、Infostealer.Monstresのセキュリティレスポンスが出ています。Infostealer.Monstresというのが、今回の情報漏洩を引き起こした悪質ソフトの名前です。なぜか (Monster.com以外には被害がないから?) 、危険度は最低ランクの1。

Monster.comのデータベースから顧客情報を引き出すためのウィルスで、顧客情報を扱える従業員のPCに感染し、情報を漏洩させたということのようです。当初は4万6000件と報道されていましたが、シマンテックなどの情報によると160万件に上るということです。

さらに、ここで漏洩した情報をもとに詐欺メールが送られており、情報漏洩以外の金銭的な被害に拡大する恐れも高くなっています。普通のスパムなら自分の氏名がメールに書かれることはないのですが (誰彼かまわず送っているのだから当然ですね) 、今回は個人情報を利用して送りつけているので、スパムと気づかず信用してしまう人が出てもおかしくありません。

当面は詐欺の被害が出るのを抑えないといけないし、実行犯を見つけ出す必要もあるのですが、Monster.comの情報管理の体制が適切なものであったかどうかも問われるでしょう。漏洩には細心の注意を払い、個人情報を扱える従業員をごく一部に限っていたとは思うのですが、なぜ悪質ソフトに感染したのか、その点から徹底した調査を行うべきだと思います。

Mozillaが提供した、「JavaScript Fuzzer」で発見されたとのことです。

• Operaブラウザに深刻な脆弱性、Mozillaツールで発見 - ITmedia News

JavScript Fuzzerというツールは、フォーム経由などで送られるフィールドとデータの組み合わせを、あらゆる組み合わせで試すことができるテストツールといえると思います。アプリケーションソフトの試験ではテストケースを作成し、すべてを確認することが必要になりますが、このツールを使えばテストケースの作成や実行の手間を軽減できることが期待されます。

MozillaはこのツールをOperaを含む各社に提供しており、今回の脆弱性はこれによって見つかりました。JavaScriptを処理する際の問題であり、この脆弱性をついたページを閲覧するだけで任意のコードが実行される可能性があるということです。

Operaを利用している皆さんは早めの対応を、ということになるのですが、携帯電話やゲーム機に組み込まれているものについては問題ないのか、問題があるとしてどうするべきなのか、情報は出ていましたっけ?

グリーティングカードのサービスはそれなりに広まっているので、信用して開いてしまうかも……と考えると、怖いですね。

• 「偽のグリーティングカード」が猛威、1カ月で2億5000万通以上：ITpro
• 圧縮ソフトやグリーティングカードを装ったトロイの木馬がまん延 - 亜種多いため定期的なスキャンを：Security NEXT
• Japan.internet.com Webテクノロジー - 動画のコーデックソフトを装ったスパイウェア発見――Webroot
• 7月のスパム動向、PDFスパムと.cnドメインが増加――Symantec - ITmedia News
• 動画のコーデック装うトロイの木馬の新種発見、ウェブルート調査 (INTERNET Watch)

シマンテックによると、グリーティングカードスパムはアクセス先のURLがIPアドレスで記載されているため、ふつうには引っかかることはないとのことです。とはいうものの、これから現れるものがドメイン名でURLを記載しているかもしれないので、今後も要注意ですね。とりあえずは「日本語かどうか」でチェックできると思いますが (スパムは英文なので) 、これも日本語版が出ないとも限りませんし。

怪しげなメールは開かない、怪しげなURLにはアクセスしないという方法では、防ぎにくいような気がしました。グリーティングカードの仕組み上、機械的に配送されたメールと、そこに書かれたURLの組み合わせで、カードが届いていることを通知するわけですから、どうしても「怪しげなメール」「怪しげなURL」になってしまうという傾向があります。本物かどうかを見分ける必要が出てきますし、ある程度のスキルが要求されるかもしれません。

昔のような、宣伝だけのスパムや、拡散することが目的のウィルスと違って、感染するとキーロガーなどが埋め込まれて実害を与える状況になっていますから、対策は必須になっています。セキュリティソフトを導入するのは当然としても、それだけでは十分ではなく、利用者一人一人が気をつける必要が出てきています。世知辛い世の中といえば、それまでかもしれませんが、面倒ですね。

ジャストシステムの従業員なので、思いっきり当事者なわけです。ご迷惑をおかけして申し訳ありません。

• ジャストシステム、一太郎の脆弱性を修正 － ＠IT
• 「一太郎」が新種ゼロデイウイルスへのパッチを公開：ITpro
• 「一太郎」のセキュリティパッチ公開、先週見つかった脆弱性に対応 (INTERNET Watch)
• 一太郎の0-day脆弱性を悪用するマルウェアが再び発生 - 米Symantec | エンタープライズ | マイコミジャーナル
• 一太郎シリーズにゼロデイ攻撃が発生 - アップデートは準備中：Security NEXT
• 「一太郎」を狙うゼロデイウイルスが再び出現：日経パソコンオンライン

日経PCオンラインの記事にもありますが、昨年以来4回目。手口はどれも似たようなもので、攻撃コードを持った一太郎文書を開くと、PC内にウィルスが仕込まれ、無害な一太郎文書が開く形になり、感染したかどうかがわからないように偽装されます。

動作確認などのために遅くなりましたが、本日、修正パッチを公開しました。対象製品をご利用の方は、なるべく早く適用をお願いします。

とりあえずは安心。攻撃者も見つけられていないだけで、ほかにもまだあるのだろうとは思いますが。

• +Lhaca
  • 窓の杜 - 【NEWS】脆弱性に対応した「+Lhaca」v1.23が正式公開
  • +Lhacaの最新バージョン1.23が公開、新たな問題を解消：ITpro
  • ITmedia News：修正したばかりの+Lhacaにまた脆弱性、新たな修正版をリリース
• Firefox
  • ITmedia News：IE関与の脆弱性、Firefox側が対処を表明
  • ITmedia エンタープライズ：Firefox 2.0.0.5のセキュリティアップデート、IE関与の問題も修正
  • 「Firefox 2.0.0.5」公開、IEからの不正な呼び出し問題などを修正 (INTERNET Watch)
  • 重大な脆弱性が修復された「Firefox 2.0.0.5」 | エンタープライズ | マイコミジャーナル

+Lhacaのほうは、最終の修正版 (バージョン1.23) が7月1日に暫定公開されていましたが、正式公開となったことが7月18日付けの「窓の杜」で報道されています。あわせて別バージョン (通常版および機能拡張版) もバージョンアップしていますが、これらには同様の脆弱性は存在しておらず、機能拡張 (不具合改修) に伴うものとしています。

6月26日に脆弱性が発見され (たまご915のIT道中膝栗毛: 日本製圧縮展開ソフト「+Lhaca」にゼロデイ脆弱性) 、翌27日には暫定改修版が出ていましたが、新たな脆弱性と不具合が見つかっており、少々ばたばたした面もありました。個人開発のフリーソフトということでやむを得ない部分もあるとは思いますし、「暫定」としていたのはばたばたする可能性を想定していたのでしょう。

Firefox (バージョン2.0.0.5) は、7月11日に発覚したIEとの組み合わせで発生する脆弱性 (たまご915のIT道中膝栗毛: FirefoxとIEの組み合わせで重大な脆弱性) を含む8件の脆弱性を改修しています。Firefox側の改修なので、IEと別の何かの組み合わせで発生しうる問題については対処していません (というか、Firefoxからは対処不能) 。この点についてはIE側からも何らかの改修が必要ではないかと思われます。8月の定期アップデートで間に合うでしょうか。

それぞれ、速やかに最新版にアップデートすることが求められます。Firefoxは自動アップデートがありますし、手動でも「ヘルプ - ソフトウェアの更新を確認」で最新版にアップデートできます。

法律では迷惑メールはなくせないでしょうが、野放しになっている現状は明らかにまずいわけで。

• 迷惑メールの罰則強化へ　受諾者以外への送信禁止 (U.S.FrontLine)
• 迷惑メールの罰則強化へ  総務省、法改正検討　徳島新聞社
• 迷惑メールの罰則強化へ　受諾者以外への送信禁止｜IT｜経済｜Sankei WEB
• 総務省、法改正視野に迷惑メール対策で研究会 - スパム巧妙化受け：Security NEXT
• 「迷惑メール罰則強化へ　受諾者以外への送信禁止」IT‐インターネットニュース:イザ！
• 総務省、「迷惑メールへの対応の在り方に関する研究会」再び設置 (INTERNET Watch)

法律で縛るということは、「迷惑メール」を法的に定義しなければならないわけで、定義するとその網をくぐる形で広告メールが打たれますから、いたちごっこにならざるを得ない部分もあるわけです。とくにグレーゾーンのものについては、「取り締まるべきだ」「やりすぎだ」という両方の主張が (利用者間でも) 出るでしょうから、司法の判断も重要になってきます。

それから、考慮はされているようですが、外国からの迷惑メールの対策も必要になってきます。日本語で書かれた迷惑メールも、その多くは外国のサーバから発信されているようですので、結局は迷惑メールの対策にならなかった、ということもあるだろうと思われます。

「おとり捜査」とかはできないものなのでしょうか。迷惑メールの発信元は、結局は金銭を振り込ませるなどして利益を得ることが目的のわけですから、取り締まり側がおとりになって金を振り込む口座を調べ、口座を提供したものを特定して取り調べる、といういわば古典的な方法で、成果は上がるものと期待できますが。

ともかく、少なくとも迷惑メールに関しては、行政の対策を待っていても仕方がない部分もあります。自衛策をとって、もちろん「スルー力」も発揮して、迷惑メールに負けないようにしないといけないのでしょう。

MacOSやLinux/Solarisでも発生、ブラウザごとにインストールが必要、ということです。速やかに対応を。

• 「Flash Player」に危険なぜい弱性、最新版へのバージョンアップを：ITpro
• 「Adobe Flash Player 9」に任意のコードを実行される脆弱性 (INTERNET Watch)
• ITmedia エンタープライズ：Flash Playerに任意のRefererヘッダが送信できる脆弱性

公表された脆弱性は3種類で、もっとも大きなものがバージョン9世代にあり、Windows/MacOS/Linux/Solarisで発生するようです。また、Linux版のみで発生するのは、バージョン7とOperaとの併用での問題ですが、詳細は明らかにされていません。

いずれにせよ、最新版 (Linuxは9.0.48.0、その他は9.0.47.0) へのアップデートが必要ですが、ブラウザごとにアップデートを行う必要があります。自分の場合、メインはFirefoxですが、当然IEも使いますし、インストールだけならOperaやMozilla、Netscape、SeaMonkeyと入れているので、……面倒だなあ。

自動アップデートがあればいいのに、と思いますが、この仕組みを悪用したウィルスも出てきそうですし、やはり手作業によらざるを得ないのでしょう。かといって手作業でも、偽サイトに誘導して「アップデート」と偽ってウィルスをインストールさせるようなものもありましたし、難しいところです。

これはどっちの脆弱性? 自分は両方のユーザーなので、気になります。

• IEとFirefoxをインストールしている人は要注意--「非常に重大」なセキュリティリスク : CNETニュース : ネット＆デジタル : YOMIURI ONLINE
• Firefox 2.0のURIハンドラに重大な欠陥，IEとの組み合わせが危険，Secuniaが警告：ITpro
• Firefoxに危険度の高い脆弱性、IEからの呼び出しを悪用 (INTERNET Watch)
• ITmedia News：Firefoxの脆弱性、IE経由で悪用される恐れ
• Firefox“プラス”IEで、PCを乗っ取られる脆弱性が発覚――修正パッチはいまだ配布されず : ITマネジメント実践 - Computerworld.jp
• Japan.internet.com Webテクノロジー - 『Firefox』に『IE』を介した悪用を許す脆弱性
• IEとFirefoxをインストールしている人は要注意--「非常に重大」なセキュリティリスク - ZDNet Japan
• IEとFirefoxをインストールしている人は要注意--「非常に重大」なセキュリティリスク:ニュース - CNET Japan

状況は「mozillaZine 日本語版 » Blog Archive » Internet Explorer を使用して Mozilla Firefox を攻撃するセキュリティの脆弱性」が詳しいでしょうか。

FirefoxにURL情報を渡す「firefoxurl://」というURLハンドラに問題があり、このハンドラをもつページをIEで表示すると、自動的にFirefoxが立ち上がり、FirefoxがURLを処理するのですが、このときに (悪意のあるコードでも) そのまま渡されて利用してしまうことで問題が発生するということです。

どちらの脆弱性か、つまりどちらが改修されるべきなのかですが、意見は分かれているようです。ある人はIEの責任であると主張し、別の人はFirefoxの脆弱性であると指摘しています。結局は「両方の問題」であるというのが正しいのでしょうが、果たしてどちらが改修を行うのでしょうか。

いちばんイヤなパターンは、お互いが相手に責任をなすりつけ、どちらも改修パッチを提供しないまま時間が過ぎることで、こうなると被害が大きくなる上に、問題を知りつつ放置したことで両者が非難を免れることはできなくなるのでしょう。ライバル関係にある両者ですし、メンツもあるでしょうが、ヘンな意地の張り合いはしないでほしいですね。

ちなみに、Yahoo! Lotteryというページはありますが、米国各地で行われる宝くじの結果を掲載するサービスであって、Yahoo!が宝くじを開催しているわけではありません。

• ITmedia News：「当たりました」はウソ――Yahoo!宝くじ詐欺が発生
• 「「当たりました」はウソ！Yahoo!宝くじ詐欺発生」IT‐インターネットニュース:イザ！

世界各地にばらまかれ、日本にも届いているようです。当選金額は45万ドルだったり、952000ユーロだったりとばらばらですが、ともかく1億円前後の高額当選となっています (こんな宝くじを私企業ができるわけがない) 。しかも賞金を受け取るのに税金を負担しないといけないらしく (日本をはじめ、多数の国では当選金は非課税) 、しかも先払いのようです。……どう考えたって怪しいですよね。

自分の手元にもよく似たメールが届いていました (ヤフーを名乗ってはいないようです) が、迷惑メールとして振り分けられていました。75万ユーロだそうですが、明らかに怪しいですし。

当然ながら、応募もしていない懸賞や宝くじに当選することがないのですから、「当選しました!」という通知が来ても無視するのが最善ですね。そういえば、私のところには、「全日本1億2千万人からあなたが選ばれました! すべての女性のプロフ見放題 (以下略)」というメールもよく届くのですが、1億2000万人の半分は女性だぞ? (笑)

久しぶりに宣伝。ネタが尽きたともいいます (爆) 。

• 「セキュリティ製品は性能でこそ選ぶべき」 (INTERNET Watch)

INTERNET Watchの特別企画で、弊社ブランドで提供しているセキュリティソフト「Kaspersky」シリーズを取り上げてくださっています。

ジャストシステムがニュースとなったのは、最近ではxfyがRIAOカンファレンスで最優秀賞を獲得した (6月13日、朝日新聞) や、ATOKの辞書に「はてな」のキーワードが追加された (6月19日、ITPro) などがあり、明るい話題も増えているように思います。

そんな中でKasperskyの話題。すでに発売時にリークしているからここで明かしてもよいと思いますが (2006年10月、マイコミ) 、カスペルスキー氏の写真を大きく印刷したパッケージデザインは、カスペルスキー側が世界統一デザインを推奨していたのに対して、弊社の要望を通したのだということです。インタビューにも出ていた小松からは裏話も聞いており、どこまで書いてよいのかわかりませんが、このデザインはウケがよくて、「要望を通してよかった」ということです。

私もユーザーになりました (ノートンから乗り換え) が、シェアはそこそこを確保しており、ある程度は成功なのだろうと思われます。ノートンやウィルスバスターに「飽きた」人が新しいものを試している部分もあるとは思いますが、こういったユーザーを放さず、さらに新しい顧客層を開拓できれば、飛躍は見込めるでしょう。

あと、インタビュー記事で初めて知ったのですが、「セカンドオピニオンソリューション」は (たぶん、客観的にも) おもしろい考え方だと思います。セキュリティソフトを複数同時に使うことはできないというのが常識だったのですが、あえてそれに挑戦するというのが、新しくていいのではないかと思いました。

DOS時代に、感染を誇示するメッセージが出たあと、画面表示が崩れるコンピュータウィルスがあったと思いますが、それに近いものと思ってしまいました。

• ITmedia News：感染を「声」で告げるトロイの木馬
• Panda Software，しゃべるトロイの木馬「BotVoice.A」を警告：ITpro
• 感染するとパソコンがしゃべり始める「BotVoice.A」 - GIGAZINE
• livedoor ニュース - 感染するとパソコンがしゃべり始める「BotVoice.A」

これは正直、イヤすぎ。感染してシステムを破壊されたあげく、「Sorry. have a nice day and bye-bye!」(おあいにくさま、ごきげんよう、バイバイ!) などといわれたら、キレますね。この場合は自分の不注意で感染されたのだから、逆ギレということになるのかもしれませんが。

ちなみに、音声出力の仕組みは、Windows XP以上に標準搭載されている機能を使っているとのことで、知らない人にとっては突然合成音声が流れることで、二重の恐怖を感じることになるだろうと思います。

近いうちに日本語版の亜種が出そうですね。妄想を進めると、日本語ネイティブでない人が亜種を作り、ヘンな日本語になってしまったことで、一部で馬鹿受けするようなものになるかもしれません (「反省しる」や「All your base are belong to us」などのように) 。感染して喜ぶ人も出るかもしれませんが、被害はそのマシンにだけとどまるというものではないので、早めの対処が望まれると思います。

発見したPanda社からは対策が出ているようですが、大手からの情報はまだです。週明けには各社から対策が出ると思いますので、各ユーザーのPCも早めに対応しておく必要がありますね。

当然、うまい話には裏がある。でもこれ、懸賞サイトでも同様なのでしょうか?

• 「iPhoneあげます！」――登録すると迷惑メールが週500通：ITpro
• ITmedia News：「無料iPhone」で釣るおとり販売サイトに注意
• Japan.internet.com E-コマース - 無料『iPhone』進呈の詐欺広告にご用心
• 「iPhoneあげます！」――登録すると迷惑メールが週500通：日経パソコンオンライン

まあ、そりゃそうだ。6～7万円で売られているとされるiPhoneが、そんな簡単に手に入るわけがないのに、引っかかる人が出るんでしょうね。

私のところは週に2000通の迷惑メールが来ているので、ここに500通増えても誤差にしかならないかもしれません (涙) 。おそらくはメールアドレスが転売されてスパムの送信先に登録されるしくみでしょうから、もともと登録済み (推測) の自分のアドレスなら、500通も増えないかもしれませんし (爆) 。

日本だと懸賞情報サイトが多数あり、Nintendo DSなどの高額人気商品が当たるキャンペーンなども展開されているようです。懸賞サイトがすべてスパムサイトだということはありませんが、懸賞サイトから多数のメールマガジンが送られており、懸賞に応募するとさらに別のところからもメールが届くということで、迷惑メール扱いになることもあると思います。

すくなくとも、懸賞サイトは詐欺ではないし、迷惑メールを送りつけることも詐欺にはならないでしょう (別の法令に違反しているとは思いますが) 。「iPhoneを送る」として送らないのは、詐欺になるのかな? このあたりはよくわかりませんが。

ユーザーが取れる対処は、まず第一には怪しげなサイトには登録しない。それから、もし迷惑メールが届いてしまうようなときには、メールソフトなどの設定 (最近は設定ができるメールソフトが増えています。宣伝になりますが、Shuriken 2007のスパムフィルターはかなりよくできています) で対応し、間違っても「不要」などの返信はしないこと。そして、この場合アップルは被害者なので、お門違いの文句を言わないことでしょうか。

昔はフロッピー経由でしたから、メディアが違うだけで、古い手口ではあります。でも、すでに対策が忘れられていたりして……。

• 6月は約50万個のウイルスを検出、ほとんどがNetsky--IPA調べ : CNETニュース : ネット＆デジタル : YOMIURI ONLINE
• USBメモリを介したウイルス感染に注意、IPAが警告 (INTERNET Watch)
• ITmedia エンタープライズ：「USBメモリを安易につながないで」、IPAが外部メディアによるウイルス感染で注意喚起
• 「USBメモリー経由のウイルス感染に注意」、IPAが警鐘鳴らす：ITpro
• USBメモリウイルスが増加、先祖返りする感染手法 － ＠IT
• USBメモリ経由のウイルス感染に注意呼びかけ - IPA：Security NEXT
• ＩＰＡ、６月と上半期のコンピューターウイルス・不正アクセス届出状況を発表 (日経プレスリリース)
• 「USBメモリー経由のウイルス感染に注意」、IPAが警鐘鳴らす：日経パソコンオンライン
• 6月は約50万個のウイルスを検出、ほとんどがNetsky--IPA調べ - ZDNet Japan

これは聞いた話ですが、昔 (PC通信時代から) のコンピュータウィルスは、オフラインの環境でもフロッピーディスク (FD) を通して感染していきました。つまり、ウィルスのいるPCにFDを接続すると、FD内のファイルにウィルスが感染し、そのFDを他のPCに接続することで、別のPCにも感染が拡大するという仕組みです。PC通信でオンラインソフトが公開され、そこにウィルスが紛れ込んだりすると、被害が拡大しやすくなっていました。

今回のもこれと同じ仕掛けになっているのだろうと推測されます。古典的なウィルスならば、セキュリティソフトのチェックで止まるものもあるでしょうが、新種のウィルスなら簡単に感染してしまいそうです。対策としては、出所のわからないファイルを実行しないのと同様、出所の不明なUSBメモリーを「安易につながない」「安易に内部のファイルを開かない」につきるのでしょう。ただ、出所不明のUSBメモリーって、そう簡単に転がっているものなのでしょうか?

あと、Netskyの流行が止まりません。このウィルスは自身をコピーしたメールを大量に配布するため、被害が広まりやすい形をとっているのでしょうが、それにしても、という感じがします。世界的には、まだまだ対策が遅れているPCが相当数あるのでしょうね。

古いソフトで、技術的には「枯れた」と思っていましたが、問題が残ったままということもあるんですね。

• 「LZHファイルに注意」、シマンテックが警告 － ＠IT
• 圧縮・解凍ソフト「+Lhaca」に脆弱性、バックドアが開かれる恐れ (INTERNET Watch)
• シマンテック、危険性のあるLZHファイルの存在を警告！：Enterprise：RBB TODAY
• Japan.internet.com Webテクノロジー - LZH ファイルに注意！～シマンテックが一部の「Lhaca」における脆弱性を発見
• あの「Lhaca」がアブない、日本標的のゼロデイウイルス発見 - ニュース - nikkei BPnet
• 窓の杜 - 【NEWS】「+Lhaca」に任意のコードが実行されるパッチ未提供の脆弱性、Symantecが公表
• ITmedia News：Lhacaに未パッチの脆弱性、悪用トロイの木馬も出現

strcpy() 関数 (C言語の文字列コピー関数) に渡される値が不正になっており、チェックを適切に行っていないために発生している問題だということです。+Lhacaの中での問題のようですので、LZHファイルの展開ツールがすべて危険だというわけではなく、別のツールを使えば回避できるように書かれています。

展開すると一太郎文書ができるようですが、一太郎の脆弱性が発見されたわけではなく、(一太郎の開発元の人間としては) いい迷惑かも。まあ、過去に一太郎の脆弱性が発見されたときにも、ウィルスファイルが偽装のために別の一太郎文書を開きましたから、同じようなものですね。

+Lhacaの開発体制を知らないのですが、個人でつましくやっているようですし、問題となったバージョン1.20 (デラックス版) の最終更新がVectorでは2004年11月となっているので、開発が止まっている可能性が高いです。最悪、改修不能でツールはすべて使用禁止となるかもしれません。もっとも使われているLZH展開ソフトのひとつであるだけに、影響が心配されます。

(6/28追記) 発覚翌日の6/27には公式サイトにて修正版が公開されています。いいほうに予測が外れました。

よく知られたソフトでも、知らないところからダウンロードすると痛い目に遭うという話。URLなどをよく確認する必要がありますね。

• 「Shockwave Player」偽ページからトロイの木馬に感染、SANSが警告 (INTERNET Watch)
• ITmedia News：プラグインのダウンロードページ？　正体は丸ごとコピーのマルウェアサイト
• ウイルスをInstall Now !　アドビそっくりの偽サイト出現：日経パソコンオンライン

ウィルスやトロイの木馬の作者側も、必死です。単純にばらまくだけでは思ったように広がりませんから、あの手この手で広めようとしているわけです。今回のものもそれほど珍しい手口ではありませんが、正式なサイトと誤認させて、「利用者の同意を得て」インストールさせるということですから、ソーシャルネットワーキングソーシャルエンジニアリング (6/27修正。思いっきり間違えました orz) 一種にもなると思います。

同様のものは結構多いので、ご注意を。銀行やオークションサイトからと称して、そのサイトと同じデザインのHTML形式のメールを送りつけ、そこから偽サイト (やはり正式サイトと同じデザイン) に誘導し、ログインと称してアカウントとパスワードを入手する――という手口も古くから使われています。通常、HTMLでのメールは送られてきませんので、銀行やオークションサイトなどからHTMLメールが来たときには頭から疑ってかかったほうがよいかもしれません。

回避策としては、特定の信頼できるサイト以外からはダウンロードやインストールを行わない、というのがあり、自分はIEの設定をそのように変更しています (ただし、普段使っているのはFirefoxです) 。結局はそのときだけインストールできるように設定を変えたりするので、あまり意味はないのですが、一度警告が出て気づきを与えられるだけでも、ある程度の効果があるものと思っています。

無意味どころか、誤解されかねないランキングですね……。

• 英プライバシ擁護団体，「MSをひいき」とのGoogleの抗議に「調査は公平」を主張：ITpro
• ITmedia News：Googleはプライバシーの敵？　英団体が報告
• 英監督機関、グーグルのプライバシー手法を非難 - CNET Japan
• 英監督機関、グーグルのプライバシー手法を非難 : CNETニュース : ネット＆デジタル : YOMIURI ONLINE
• 「グーグルのプライバシー保護方針は最低」、英国のネット人権保護団体が批判 AFPBB News
• 米グーグル、英プライバシー保護団体から最低評価 | IBTimes : テクノロジー
• プライバシー保護団体とGoogleが中傷合戦へ!? － ＠IT
• Business Media 誠：Googleはプライバシーの敵？　英団体が報告

まあ何というか。プライバシーだけを見ている調査で、しかも何を「プライバシー」とするかはこの団体の一存で決まるわけですし、こんな調査でまともな評価ができるわけがないのですが、こうやって報道されると「やっぱりグーグルはダメだ」という世論を誘導してしまいかねないですね。確かに問題はあると思うし、改善もできると思います。ただ、「プライバシー」というよくわからないものを人質に、自分たちが望む方向に誘導するのは何か違うのではないかと思うわけです。

理想のプライバシーというのは、どういうものでしょうか。自分の身元を全く明かさないで、サービスを享受できることなのでしょうか。だとすると「2ちゃんねる」なんかはプライバシーが高く保たれたサイトだということになってしまいますが、やっぱり違うよなあ……。仮に2ちゃんねるがプライバシーを高く保ったサイトだとしても、2ちゃんねるのサービスが優れているかというと、そうでもないのではないでしょうか。

今回評価された中に、ウィキペディアがあり、6段階中2番目の高い評価 (1番高い評価に上がったサイトがないので) となっています。ウィキペディアの場合、システムの都合上、作成したアカウントは削除できませんが、そのあたりはどのように評価されているのかよくわかりません。また、ウィキペディアの場合、匿名性の高さが故に「荒らす」ことも可能で、たとえば一人が複数のアカウントを使って多数派を装うなどの行動が見受けられます。そういったことも考えると、プライバシーが高ければよいのかという疑問もわきますし、実際のところはサービスの質と比較して、このサービスを享受するのに必要以上のプライバシーを提供させられていないか、という観点からの調査になるべきでしょう。

ウィキペディアに対して、Citizendiumという対抗的なサービスも現れ、このサービスは実名登録を要求されます。ウィキペディアの匿名性が強すぎ、百科事典というサービスを継続するに当たって問題が生じてきたと判断する人が出てきたからで、この一件を見てもプライバシーが絶対の尺度ではないというのが明白になると思われます。

自分自身、同業他社に勤めているわけですから、他山の石として気をつけないといけないですね。

• 米ヤフー、Yahoo Messengerの重要なセキュリティパッチをリリース : CNETニュース : ネット＆デジタル : YOMIURI ONLINE
• ITmedia News：Yahoo! Messengerの脆弱性突く攻撃発生
• 米ヤフー、Yahoo Messengerの重要なセキュリティパッチをリリース - CNET Japan
• ITmedia エンタープライズ：Yahoo! Messengerの脆弱性修正パッチ公開
• Open Tech Press | セキュリティ：「Yahoo Messenger」にぜい弱性
• Japan.internet.com Webテクノロジー - Yahoo! 従業員の口から『Yahoo! Messenger』の脆弱性が明らかに
• 「Yahoo! Messenger」に危険度の高い脆弱性、日本語版にも影響 (INTERNET Watch)
• ITmedia エンタープライズ：Yahoo! Messengerにゼロデイの脆弱性

「従業員の口から」というのはinternet.comのスクープのようです。IT系出版社とのインタビューで、脆弱性の存在と内容を明かしてしまったようですが、具体的にどのような発言だったかは確認できていません。すでにインタビューの内容は消されているでしょうし、確認は難しいでしょう。

現在開発中で、まだ発表されていないサービスや製品であれば、口外してはならないという抑制が強く働くと思うのですが、不具合や脆弱性については、すでに出てしまった製品であるということからか、ガードが緩くなってしまうようです。インタビューで漏らした、ということですから、インタビュアーがうまく発言を引き出した部分もあるのかもしれませんが、軽率だという批判は免れえないと思います。

自分も、こういうブログを持っており、読者の気を引いてアクセスを増やすために、つい指が滑るということはいつでもありえます。とはいうものの、実際には起こしてはならないことですから、とくに勤め先のサービスのことについては慎重になりますし、どこまで慎重でも慎重すぎるということはないでしょう。ITに限らず、何らかの団体に所属している人は、当然考えていると思いますが、本件のようにたまに誰かが気を緩めると大事に至るのだ、ということを肝に銘じておきたいものです。

これ、調査のやり方がヘンだと思うのですが、結果は適切なのでしょうか。

• ITmedia News：プライバシー保護のためなら割高ショッピングもOK――米CMU調べ
• 「消費者はプライバシー保護のための出費を惜しまない」--米調査 - CNET Japan
• 「消費者はプライバシー保護のための出費を惜しまない」--米調査 : CNETニュース : ネット＆デジタル : YOMIURI ONLINE
• Business Media 誠：プライバシー保護のためなら割高ショッピングもOK――米CMU調べ

カーネギーメロン大学の研究チームの発表で、このチームが開発した検索エンジン「PrivacyFInder」を導入してもらって、モニター調査を行っていますが、このあたりですでに状況に手を加えられているわけです。PrivacyFinderでの結果はプライバシーポリシーがどうなっているかを示すので、いままでプライバシーをそれほど気にしていなかった人も気にするようになり、プライバシー重視の結果が出るのはある意味当然でしょう。

利用者の動向を測るなら、ウェブでのアクセス内容か、オンライン店舗での購入内容をログとして記録するようにしておき、それ以外の部分は従来と同じにしておくのが本来でしょう。そして、調査としてはログを回収して、それぞれのモニターが商品を購入した店舗がプライバシーと価格のどちらを重視しているのか、という観点で分析すべきだと考えます。

実際問題としては、プライバシーポリシーがどこにあるかわからない、それどころかプライバシーポリシーの存在が認知されていない、というのが現状だと思います。長々と書かれていても読みづらいので、一定の基準で点数化や指標化を行い、各店舗のトップページにその値を大きく掲載することを義務づけるくらいでないと、プライバシーポリシーの比較は難しいと思います。基準や点数を定めるのが難しいですし、点数を稼ぐためだけの、その場しのぎのプライバシーポリシーができたりしますので、どういう形で運用していくのが望ましいのかは、議論があると思いますが。

怪しげなキーワードで検索すると、怪しげなサイトがヒットします。当然といえば当然ですが。

• Open Tech Press | 5大検索エンジン、検索結果の4％は危険なリンク――検索連動の広告サイトへのリンクはさらに危険度アップ
• livedoor ニュース - [CNET Japan] マカフィー、検索エンジンの安全度調査を発表--「最も危険な結果が多いのは米ヤフー」
• マカフィー、検索エンジンの安全度調査を発表--「最も危険な結果が多いのは米ヤフー」 - CNET Japan
• 検索結果の4％は「危険なサイト」――マカフィーが報告：ITpro
• 検索結果の4％は危険サイト、マカフィーが警告 － ＠IT
• 危険な検索結果が多いサーチエンジンは米Yahoo!～米McAfee調査 (INTERNET Watch)
• ITmedia エンタープライズ：広告リンクの危険な状況は変わらず――McAfeeの検索エンジン安全度調査
• Japan.internet.com Webマーケティング - 改善に向かう検索結果の安全性
• 5大検索エンジン、検索結果の4％は危険なリンク : セキュリティ - Computerworld.jp
• 検索結果の4％は「危険なサイト」――マカフィーが報告：日経パソコンオンライン

「危険なサイト」の定義がはっきりしませんが、マカフィーによるとアドウェア・スパイウェアをインストールしたりスパムを送りつけたりするサイトが該当するということです。といっても、やはり漠然としており、たとえば「Googleツールバー」をインストールできるグーグルのサイトは危険なのか、メールアドレスを登録することで毎日メールを送ってくるCNETなどのニュースサイトは危険なのか、ということが気になりますね。

ともかく、マカフィーの定義と調査によると、主要なキーワードでヒットしたサイトのうちの4パーセントが危険で、スポンサーサイトになるとその率が上がるという結果が出ています。また、検索エンジンごとの比較では、米国ヤフーが危険なサイトの割合が最も多いということでした。

この結果を受けてどうするか、といっても、何もすることはないように思います。怪しげなサイトには近づかないのは、すでに常識となっていますし、検索エンジンでヒットしたものがすべて怪しくない、ということはありえないですから。そのサイトにアクセスした瞬間に何かされるというほど危険なサイトは少ないと思いますし、とりあえずはセキュリティソフトが防いでくれるだろうと思います。それ以上深入りすると、何をされるかわかったものではないですが。

エストニアは1991年にソ連から独立した「バルト三国」のひとつで、西側との結びつきを強める反面、ロシアとの関係はあまりよくないようです。

• Business Media 誠：“サイバー戦争”に耐えたエストニア、国家の関与を否定するロシア
• Business Media 誠：“ハッカー大国”ロシア政府、IT国エストニアにサイバー攻撃か
• ITmedia News：“ハッカー大国”ロシア政府、IT国エストニアにサイバー攻撃か
• 国家戦争にも利用されるDDoS（サイバー戦争） - インフラコンサルティングの最前線

政府機関をはじめ、銀行や新聞社がDDoSに見舞われ、多くのサービスが停止を余儀なくされました。エストニアは世界でも有数の「IT立国」であり、そのためにサイバーテロを受け、そのために生活や経済活動に大きな影響があり、逆にそのために壊滅的な打撃には至らなかったということのようです。

「犯人」は関係が悪化しているロシアとの噂が流れています (ロシア当局は否定していますが) 。攻撃の規模があまりにも大きく、個人はもちろん犯罪組織の手にも余るものなので、国家レベルの関与があったという見方が強まっています。具体的にどのようにして攻撃が行われたのかは、現在も調査・研究中とのことです。

仮に日本がサイバーテロの対象となり、日本国内の通信網が途絶したとしたr。ウェブやメールはもちろん、携帯電話も固定電話も使えなくなるでしょう。銀行もオンラインサービスが破壊されてしまう可能性があります。テレビ放送は大丈夫かもしれませんが、肝心の伝えるべき情報が途絶しているので混乱は避けられず、交通網も公共交通機関は使えず、自動車も交通信号が停止してしまって大混乱に陥ることは考えられると思います。

エストニアでどの程度の混乱があったのかはわかりませんが、日本では確実にパニックに陥るでしょうし、事態が正常化するまでの間に、近隣諸国との関係悪化や政府の責任問題なども出てくるでしょうから、不安が大きいです。国民みんながそのときのための準備をしているのならまだしも、何もせずにただITに依存しているだけですから。

日本でも大規模なスパム投稿者を同定して逮捕できないものでしょうか。詐欺罪なり公然わいせつ罪なり、罪状は何とかなりそうなものですが。

• CNN.co.jp : 「悪名」高きスパム送信者を逮捕と、米連邦捜査当局   - ビジネス
• ITmedia News：スパム対策法で初の逮捕者は「最悪級」――迷惑メールの歯止めとなるか
• トップ・スパマー捕まる～27歳男性、これで迷惑メール減るか (U.S.FronLine)

先ほど、スパムがセクハラにつながる可能性を指摘する記事 (たまご915のIT道中膝栗毛: スパム放置がセクハラになる日) を紹介しましたが、その関連でもあります。

逮捕されたスパマーは27歳。自分よりも若い人がスパマーとなっているんですね。まあ、技術とアイデアは若い人のほうが持っていますし、考えられないわけではないのですが、こういう犯罪に手を染める人のイメージとして、自分よりずっと年上だというものがありましたので、少し意外でした。

罪状は詐欺や個人情報の窃盗、資金洗浄など35の罪。日本とは法体系が違うので同列には扱えませんし、米国で2004年から施行された「CAN-SPAM Act」という、スパムを取り締まる法律でも懲役刑が規定されています。日本でも同様の法律 (改正特定商取引法、および特定電子メール法) がありますが、罰金刑どまりです。

先ほどのブログでは確認が足りなかったのですが、日本の法律に基づき、日本産業協会と日本データ通信協会がスパムメールを受け付けています。こういうところにどんどんメールを出していけば、スパマーが撲滅され、スパムメールがなくなる……という好循環につながればいいのですが、今のところいたちごっこを避けられないのでしょう。罰則を厳しくしなければ、根本的に改善するのは難しいのかもしれません。

この記事を書いたのは女性記者なのですが、女性の視点からこういった性的スパムはどのように感じられるのでしょうか。

• ITmedia News：会社宛ての“エロスパム”、対処しないとセクハラに？
• 会社宛て“エロスパム”対処しないとセクハラ？-ITのニュース:イザ！

自分は男性なので「またか」で終わるのですが、女性の目から見て、こういった性的なスパムは受け取ることさえ許されないようなものなのか、やはり「またか」で終わるのか。人によって違うのは当然としても、どちらの考え方が一般的なのか気になります。それをいったら男性だって性的なものは受け取りたくない人もいるでしょうし、性差を考えるのがすでに性差別なのかもしれませんが……。

で、これ、セクハラだとして賠償を訴えた裁判があったわけでもなく、今のうちに手を打っておくべきではないかという提言の記事です。対策するかしないか、というと対策したほうがいいのは当然ですが、コストもリスク (必要なメールをスパムとして消してしまったなど) もあるし、簡単に踏み切れるかというと難しい面もあると思います。

技術的な可能性は別として、どうしてほしいか。これの答えは明確で、スパムメールはすべて除去し、スパムではないメールはすべて残す。もちろん、他人の目には触れさせない。というところになり、セキュリティ会社もこの目標を達成するように日々努力しているわけですが、まだ100パーセントというところにはいかないですね。そういった現状で訴えがあったとして、どのような判決が出るのでしょうか。あまりにも対策がなされていない企業であればセクハラの認定はされる可能性もありますが、技術的に無理なことを要求しても通らないと思うのですが……。

もっと根本的な対策として、匿名で迷惑メールの情報を報告し、発信元に対して適切な措置を執ってくれる仕組みがあればよいのですが、現状そういったものも知られていません。日本語でのメールもあるものの、日本だけの問題ではないので、国際的な機関が必要だと思いますが、どこか国際機関が動いてくれないものでしょうか。

セキュリティソフトは廉価のものも多数出ており、どれがどこまで信頼できるのか微妙ではあるのですが、ついに「全く信頼できない」ものまで登場。

• 偽セキュリティ対策ソフトもバージョンアップ？　日本語対応の最新版に注意：Security NEXT
• ウェブルート、“詐欺的”セキュリティソフトの日本語版を発見 - CNET Japan
• ウェブルート、“詐欺的”セキュリティソフトの日本語版を発見 - ZDNet Japan
• 偽セキュリティソフトの新版が出現、動作しているふりが巧妙に：ITpro
• ITmedia エンタープライズ：偽対策ソフトもバージョンアップ、日本語の2007年版が登場
• ウェブルート・ソフトウェア、詐欺的ソフト『WinAntiVirusPro 2007』を発見 (ASCII.jp)
• 偽セキュリティソフトの新版が出現、動作しているふりが巧妙に：日経パソコンオンライン

「偽」とか「詐欺」とか、見出しには厳しい評価が並びます (自分も「偽」と書いているわけですが) 。どれだけ良心的に見ても、ウィルスをチェックする機能が適切に働いておらず、製品レベルの品質に達していないものですし、ふつうはソーシャルエンジニアリングの一種だと見なすのが自然なのでしょう。

セキュリティソフトの場合、導入しておけば万全だというわけではなく、ユーザ自身が気をつけ続ける必要があります。インターネットに全く接続しなければインターネット上の危険を回避できますが、全く接続しないわけにも行かないでしょうから、ウィルスに感染するような行動を取らない、クレジットカード情報などをむやみに書き込まない、などのユーザ自身の対策が必要になります。セキュリティソフトの導入は、その対策の一つだというくらいに考えておくべきでしょう。

で、今回の場合、対策が対策になっていないということになります。ただ、こういうものが出てくると、ソフトウェア全体の信頼度にも関わり、利用者ばかりではなく、作り手側も迷惑する状態になってきます。世の中にはセキュリティに全く明るくない人もいるので、セキュリティソフトだと思って買った1つが真っ赤な偽物だったとしても、それを「セキュリティソフトは信用ならない」と業界全体のイメージ悪化につながってしまう可能性もあります。困ったものです。

自分のところもスパムは多いですよ。家と会社をあわせれば、毎日200件は来ているかも。

• ITmedia News：スパムはもう問題じゃない？
• Japan.internet.com Webマーケティング - スパムに対して人々がより寛容に？
• Business Media 誠：スパムはもう問題じゃない？

でも、迷惑メールを自動判定するメールソフト (自社製品のShuriken 2007です。ちょいと宣伝) を使い、文面がおかしなメールはmixiに晒して笑いものにするなど、スパムで遊んでおります。

でも、日本語のスパムはワンパターンですね。私が誰でどこに住んでいるのかも知らずに女性から誘ってきたり (「近くにいますから」と誘いつつ、どこにいるのかは示せない) 、「必ず出会える」ことを売り文句にした出会い系とか、性欲に訴えるものばかりですね。

英語のスパムもワンパターンで、バイアグラなどの薬品販売や、イチモツを大きくする何か、あるいは時計の安売りと、たまにソフトの激安販売くらいですか。こうやってみると英語スパムはものを売るのが多いですね。

中国語は文字化けしないので、漢字だけ追ってある程度の意味はわかるつもりですが、仕事を持ちかけるスパムが多いように感じます。韓国語のスパムも来るのですが、残念ながら文字化けして読めないんですよね。

あまりにワンパターンすぎると飽きてしまうのですが、ある程度は手を変え品を変え (といっても出会い系には変わりないのですが) 、飽きさせない仕組みはあるようです。暇つぶしにはちょうどいいのですが、そうやってスパムで楽しんでいる人も多くなっているのではないでしょうか。

楽しむといっても、すぐにゴミ箱直行ですけどね。スパマーの皆様、ご愁傷様です。

こんなのに引っかかるのがいるのか? と思うのですが、米国だと現実味があるのかなあ。

• ITmedia News：返信しないと殺す――詐欺メールにご用心

「419 death threat」と呼ばれるこのメール、バリエーションはいくつかあるようですが、原文の1つがSANSのサイトにありました。英語ですね。

日本語だと出会い系 (それも女性がお金を払って男性を誘うパターンばかり) 、中国語では仕事を持ちかけるっぽい (中国語は読めませんが、漢字の雰囲気で) スパムが多いのですが、英語圏は物騒です。いずれにしても、この手のメールには相手をしないことが大事ですね。

スパムかどうかの見分けは簡単ですが、まず間違いなく私の名前を本文には入れてきません (知らないでしょうし) 。よくてメールアドレスですね。また、出会い系なら「近くに住んでいる」風を装うのですが、まったく地名が出てこず、このあたりも現実味をそぐ原因になっています。これは日本語の出会い系メールに限らず、今回の殺し屋メールでも同じことがいえそうです。

スパムの中の人も大変だと思いますが、受取人の住所や氏名をさりげなく潜り込ませておくと、引っかかる率も高くなると思いますよ。……と。スパムの肩を持つようなコメントをしてみましたが、そんなに簡単に個人情報は手に入らないだろうし、個人情報が知られているならスパムよりももっと効率的な手段がありますからね。

ついにIPAが警告。ITMediaは大きく出ましたね。

• 「Windows 98/Meを使い続けることは危険」、IPAが注意喚起：ITpro
• ITmedia News：98／Meは使うな、どうしても使うならネットワークにつなぐな
• サポート終了OSは「脆弱性だらけ」 - IPAが注意喚起：Security NEXT

サポートが切れていても、使えるのなら使うということも多いのだと思います。とくに、PCをたまにしか使わない人であれば、買い換えに無駄なお金をかけたくないし、新しい操作を覚えるのが面倒というのもあって、OSの置き換えは進まないだろうと思います。

昨年8月時点のOnestat.comの調査では、WIndows 98のシェアが2.68パーセント、Meが1.09パーセント。今年1月にVistaが発売されて勢力図は変わっていると思いますが、約2～3パーセントのシェアをWIndows 95系の古いOSが持っていると考えられます。今回のIPAの調査では、IPAに相談を寄せたユーザの9.8パーセント、ウィルス届け出者の2.1パーセントがWindows98/Meを使っているということです。

脆弱性対応のコストがかけられないという意味で、WIndows 98/Meのサポートを打ち切ったという理解ですので、ここにコストをかけるようにマイクロソフトに要望しても、その要望が通る可能性は限りなくゼロ。ならばWindows 98/Meを使わせないか、ネットにつながせないような強硬策が必要かもしれません。「使わせない」は無理にしても、ネット接続の場合は自社プロバイダのサーバに接続するので、そこでOS情報を取得して、適切でないものが含まれていたらネット\接続を拒否するとか、アリでしょうか。

「メッセンジャーSNS」とでもいうべきでしょうか。だいぶ流行っているみたいですね。

• ITmedia Biz.ID：Twitterでゴールデンウィークのヒマをつぶす
• 新SNS「Twitter」--初心者のためのスタートガイド - CNET Japan
• いつでも友だちとつながっていたい、だからTwitter（トゥイッター） - L-Cruise - nikkei BPnet
• 音楽サイト BARKS - デジモノ・ダウンロード関連 : “今、何やってるの？”がキーワード！「twitter」に参加してみた
• 【レビュー】Twitterで規則正しい生活をおくってみる (1) 「Twitter」サービス概要 | ネット | マイコミジャーナル
• 人気急上昇の“Twitter”，ミニブログがもたらす個人と企業の新メディア：ITpro
• Twitterをはじめると、mixiの日記を書かなくなることが多い？ (やじうまWatch)

What are you doing? がテーマで、「残業中」「飯食ってます」「まったり」「どこそこで飲んでるから来ない?」などなど、独り言を公開するような感じになります。一度に書き込めるメッセージは140文字までなので、たいしたことは書けませんが、それが逆にお手軽感を出しているようです。

2006年に米国で始まったサービスですが、今月に入ったあたりから、急激にメディアやブログに名前が挙がるようになっています。日本語は入力できるものの、まだメニューなどは英語しかないようですね。これはそのうち、本家が日本語対応するか、有志が日本語対応したツールを開発するものと思います。

自分は、実はまだ参加していなくて、参加するかどうかも決めていない段階。マーケティング用語ですが、新しいサービスを受け入れるのが早い順番に、「イノベーター」「アーリーアダプター」「マジョリティ」「ラガード」といいますが、自分はマジョリティなのだろうと思います。新しいサービスは、広まってから参加することが多いです。そういうわけで、ある程度広まるまで様子を見たいところ。調べた範囲でも、何がおもしろいのかわかりませんし。

日本だと、2ちゃんねる的な雰囲気も出るのでしょうか。ハンドルが出るので完全匿名 (どれとどれが同じ人の発言か、同定できない状態) というわけではないでしょうけど、考えないでコメントできるようには感じます。短いメッセージしか書けないので、議論や他人の批判は起こりにくいでしょうね。

とはいうものの、脆弱性の問題が指摘されており、フィッシングの可能性もあるといわれています。これはネットワークを利用したサービスにはついて回る問題なので、きちんと対応していくしかないとは思いますが、これから利用者が爆発的に増えたときにどうなるか懸念されます。

自分の場合、思うことを長々と書いてしまうか、あるいは逆に全く書き込まないほうなので、こういう軽いサービスは合わないかもしれませんが、SNSのひとつの方向性としては悪くないのではないでしょうか。

そんなエサに俺様は釣られないクマー! ……ってことで「フィッシング」です。

• 偽Yahoo! JAPANを検出、「Yahoo!ツールバー」にフィッシング警告機能 (BroadBand Watch)
• 「Yahoo!ツールバー」にフィッシング対策機能が追加：ITpro
• 偽Yahoo! JAPANを検出、「Yahoo!ツールバー」にフィッシング警告機能 (INTERNET Watch)
• ヤフーへのフィッシングサイト報告は1日50件にも － ＠IT
• ITmedia News：「Yahoo！ツールバー」にフィッシング対策機能、偽ページを判断して警告
• Yahoo!ツールバーに「フィッシング警告機能」：RBB TODAY

今日、バージョンアップした「Yahoo! ツールバー」が発表されています。IE向けだけで、Firefox版は後日になるのでしょうか。

注目機能はフィッシング詐欺対策機能で、Yahoo! Japanとよく似たデザインでユーザーの誤認を誘い、ログインアカウントとパスワードを取得しようとするサイトにアクセスしたときに警告を出すようになっています。実際、この種のフィッシング詐欺は後を絶たず、多いときには1日50件の問い合わせが来ているということです。

後を絶たないということは組織的にやられているか、スパムでよく流される「楽して金儲けができるツール」として売られている可能性がありますね。いずれにしても犯罪行為ですし、楽して金儲けはできないと思うわけです。

また、自衛策としては、「Yahoo! オークション」からのメールなのに違うドメインにアクセスするように求められているとか、HTMLメールでアクセス先が隠されているとかするのは怪しいと疑ってかかるべきです。不幸にもアクセスしてしまった場合は、すぐに閉じることで被害を抑えられると思います。偽のパスワードを入力してみるのもおもしろいかもしれませんが、目的はパスワード入手に限らない (たとえば、キーロガーを入れられたりするかもしれない) ので、やめておいたほうが無難でしょうね。

ジャストシステムのサイトに改修モジュールが公開されていますので、早急にアップデートをお願いします。

• ジャストシステム、「一太郎」の脆弱性修正モジュールを公開 (INTERNET Watch)
• 一太郎を狙うゼロデイウイルスの実体、痕跡を残さずにPCを乗っ取る：ITpro
• 一太郎シリーズの脆弱性を解消するアップデートが公開：Security NEXT
• 一太郎を狙うゼロデイウイルスの実体、痕跡を残さずにPCを乗っ取る：日経パソコンオンライン
• ITmedia News：「日本が狙われた」、一太郎狙うウイルスを受けてジャストシステムがパッチ公開

• ITmedia エンタープライズ：一太郎狙うゼロデイ攻撃が再び発生、パッチは開発中
• 「一太郎」の未知の脆弱性を狙ったウイルス、Symantecが警告 (INTERNET Watch)
• 一太郎に“ゼロデイ”攻撃，パッチ未提供のぜい弱性で任意バイナリが実行可能：ITpro
• 一太郎にゼロデイ攻撃が発生 - アップデートは準備中：Security NEXT

「ゼロデイ」、つまり先に攻撃があって、対応が後手に回る形になってしまいました。

改修に携わったのですが、  セキュリティ会社から提供された不正なファイルを開くと、見た目には普通の文書なのですが、知らない間に実行ファイルが作られており、これがバックドアとなってさらなる脆弱性となります。一太郎文書を開くだけで、知らない実行ファイルを作られることに、恐ろしさを感じました。

でも、昨年から繰り返し狙われているのですが、一太郎もウィルス作者の標的になるんですね。シェアがない (世界的には1パーセントもないでしょう) からといって、安心しているわけにはいかない改めて思いました。

こんな情報まで管理されているのか……。逆に不安になりそうです。

• ITmedia ビジネスモバイル：「太郎くん、○○駅入場」　改札・PASMO端末で親にメール
• FujiSankei Business i.　総合／「太郎くん、○○駅入場」　改札機・パスモ端末で親にメール

昨今、子供に被害が及ぶ事件も増えてきていますし、常に子供の所在を知りたいという要望が強くなっていることへの反映でしょう。子供に携帯電話を持たせ、ナビ機能で子供の位置を逐一把握する、というサービスもありますし、今回小田急などが提案している「子供見守りサービス」もその延長になるかと思います。

大都市に住んでいないと (住んでいても) 、小学生が電車で通学するような状況は考えづらいと思いますが、私立大学の附属小学校や、公立の学校に通っていても学習塾への往復などで、小学生が日常的に電車を使うことはあるようです。とくに私立の小学校の児童の場合、ある程度裕福な家庭であることが多いでしょうから、需要も高いようですね。

ただ、気になるのが、セキュリティの問題。こういう情報が送信できるシステムが整っているということは、いつ誰がどの駅の改札を通ったか、逐一把握できていることになるわけです。こういった情報が個人情報につながるのかは議論があると思いますが、人の行動を監視されているようで、あまり気持ちのよいものではないですね。システム自体に反対ではありませんが、使い方を間違わないでもらいたいと思いました。

こういう啓蒙活動は必要だと思います。知らずにいると痛い目を見そう……。

• JPCERT/CC、セキュリティ豆知識「ひとくちメモ」をウェブで公開 - CNET Japan
• ITmedia エンタープライズ：セキュリティ対策の「豆知識」、JPCERT/CCが公開
• JPCERT/CC、セキュリティに関する豆知識をまとめた「ひとくちメモ」 (INTERNET Watch)

すでにメールマガジンなどで公開されていた情報のようですが、今回「ひとくちメモ」という形でキーワード別と目的別にまとめ直されました。

自分としては常識だったことや、知らなかったこと、知っていたけれど面倒でやっていないことなど、いろいろな情報があります。管理者だけではなく、一般ユーザーを対象としたアドバイスもあるので、一度目を通しておくほうがよいかもしれません。

あまり細かいことを注意されるのも気に触るのですが、無防備すぎるのもどうかと思いますし、どこまで気をつければ大丈夫なのか、アドバイスしてくれるところがあればいいのかな、という気がします。サーバを構築するなら、セキュリティに最大限の注意を払うに越したことはないのですが、一般ユーザーとしては最低限の注意で、あとはシステム側がセキュリティを確保してくれるような形にはならないものでしょうか。

インターネットの普及で生活が便利になってきているので、誰もが安心して使えるような仕組みを構築できればと考えています。

定義すると、その範囲にぎりぎりかからないものができるのではないでしょうか。

• ITmedia News：「迷惑ソフトとは何か」、定義文書の完成版が公開

ASC (Anti-Spyware Coalition) というそのままの名前の組織が、何を迷惑ソフトとするかの定義をまとめたそうです。

さすがに、キーロガーやバックドアのたぐいが迷惑ソフトであるのは間違いないと思いますが、アドウェアなのか単なる情報提供ソフトなのかは、ときに判断に迷う部分が発生すると思います。そういったところを定義しているのだろうと思いますが、まだ日本語のプレスリリースは出ていないようですね。そして英語のものしかないということは、英語圏  (ほとんどは米国) の感覚で迷惑ソフトが定義されるようになってしまったということになるのではないでしょうか。

どのような定義になっているのかはわかりませんが、こういった定義を行う以上、定義に触れない形での迷惑メールが作られる可能性を常に考慮しておかねばなりません。道義的に許されないようなことをしながら、「法を破らなければよい」と開き直る人はどこの国にもいるので、それと同様のことが発生することは間違いないでしょう。それは、定義を行ったことによる副作用だということもできます。

こんな手口で……。小学生にもセキュリティの知識が必要になっていますね。

• 「アバター」ほしさに不正アクセス　高１女子を書類送検　兵庫県警 -ITのニュース:イザ！
• ネットゲームで「盗み」　女子高校生を書類送検 (神戸新聞)

書類送検されたのは愛知県に住む女子高校生。被害を受けたのは小中学生5人で、兵庫県に住む小学生が被害を訴えたことから兵庫県警が捜査していたということです。

小学生もネットゲームに参加するようになっているのですが、セキュリティなどの基本的なことの理解が不十分だということを示す1件だと思います。パスワードが他人に知られる状態になっているのは非常に危険だ、という基本的なことさえ理解していないわけですから。

この事件はソーシャルエンジニアリング (ソーシャルクラッキング) に相当するわけですが、この手の不正をシステム的に防ぐとなると、かなり難しいように思います。利用者がパスワードを変更したとしても、それが不正によるものなのか、利用者の意思なのかは判断のしようがありませんし。やはり、利用者一人一人の意識で防ぐしかないのだろうと思いますが、小学生がそこまで高い意識を持てるようにするにはどうすればよいか、考えないといけないでしょう。

子供はネットに接続するのを禁止する、というのも短絡的で後ろ向きな考え方ですし、何かうまく管理する方法が見つかればいいのですけどね。ともかく、当面は、学校でも家庭でもいいのですが、インターネットを利用するに当たっての教育が必要なのだろうと思います。それは小学生だから必要なのだというわけではなく、成人にも必要なことで、ただ教えるのが早いか遅いかというだけのことだと思いますから。

こんなバグが残ることがあるんですね……。

• ITmedia News：過剰ケア？　Windows Live OneCareが誤ってメールをフォルダごと削除
• 「Windows Live OneCare」にOutlook関連の重大なバグ : トレンド - Computerworld.jp
• マイクロソフトのアンチウイルスソフト、Outlookのメールを間違って全削除 - GIGAZINE
• livedoor ニュース - マイクロソフトのアンチウイルスソフト、Outlookのメールを間違って全削除

仮にも社内のテストを通って世に出てきた製品なのに、必要なデータまで誤って削除してしまうのはどうなのでしょうか。とくに、今回の場合メールが削除される対象で、削除されてしまったら戻すことができないだけに、問題は大きいと思います。

マイクロソフトがアンチウィルス市場に打って出たときには、あらゆるソフトウェアでトップに立たないと気が済まないのだろうと感じました。ところがLive OneCareの評価は非常に低く、さらにこの大バグ。回避策として提示した方法も、回避策になっておらず、泥沼にはまる状態になっています。

次のバージョンを出してくるという発表もありますが、失地回復ができるのでしょうか。逆に、結局失敗に終わり、アンチウィルス市場からは撤退するということになるのではないかと思いました。

こういう用語まで統一されるんですね。でも、日本語に訳すときにまた「ぶれ」が生じるのかも。

• ソフトウェアバグの標準辞書が完成間近--業界内での用語統一に期待 - ZDNet Japan
• ソフトウェアバグの標準辞書が完成間近--業界内での用語統一に期待 - CNET Japan

米国で行われている、Common Weakness Enumeration (CWE) と名付けられた取り組みで、ソフトウェア脆弱性の統一用語集を策定するということのようです。多くのセキュリティ企業が賛意を示しており、用語の統一化に向けて進み出しているようです。

よく似た話では、コンピュータウィルスの名称問題もありますね。大手各社が別々の命名基準を持っており、同じウィルスが違う名前で呼ばれていることもあります。そのウィルスについて調べようと検索エンジンを使っても、ヒットしない情報があるなど、名称が統一されていないことによる弊害もあるので、こちらも統一してほしいと思います。どこか1社の名称に他社が合わせるのも難しいと思うので、国際団体か何かが命名してくれればよいのですが。

CWEについては、自分もソフトウェアの開発に携わっているので、影響がありそうです。でも、不具合の内容をCWEでいわれたとして、すぐにピンと来るのか、「もう少し普通の表現で説明してくれ」と思うのか、どうなるのでしょうか。

• ITmedia News：Vistaのセキュリティ機能は何点？　Symantecが調査報告書
• シマンテック、Vistaの堅牢性を調査した報告書を発表 - CNET Japan
• シマンテック、Vistaの堅牢性を調査した報告書を発表 - ZDNet Japan

シマンテックの報告に寄れば、VistaのセキュリティはマイクロソフトのOSの中では最も高くなっているとのこと。ただし、サイドバーやガジェットなどのサードパーティが関わる部分には、セキュリティの脅威にさらされる危険性があるとのことです。

それほど真新しい内容ではないように感じました。拡張性の高い部分がセキュリティ的に弱いのは想像通りで、両社はある程度トレードオフの関係になると考えるのが自然でしょう。拡張性が高い、つまり「何でもできる」ということは、セキュリティの観点からは問題のある行為 (たとえば、ローカルファイルの閲覧や実行など) もできてしまう、ということになるでしょうし。

ただ、MS側の反論が的を外しているように思いました。Vistaがセキュリティの特効薬として作られているわけではないというのはその通りだと思いますが、「セキュリティとは選択をすることである」は意味不明。原文は、"Security is about making choices" ですが、aboutをうまく訳さないといけないようです。「セキュリティは、選択を行うことにも関わっている」?

いずれにしても、「選択」というのであれば、セキュリティを極限まで追究した設定のVistaを提供すべきだと思うのですが、使い勝手は悪くなりそうです。こういう設定のOSは計画されているのでしょうか。また、需要はどうなのでしょうか。

• 「企業から法的脅威を受けた」--IOActive、Black Hatでの講演を中止に - CNET Japan
• 「企業から法的脅威を受けた」--IOActive、Black Hatでの講演を中止に - ZDNet Japan

アメリカの話ですが、セキュリティ関連の講演である製品の脆弱性を証明しようとした企業の研究者が、その製品の開発元からの圧力により、講演そのものが中止になったということです。

日本だと、何らかの圧力が加わっても、圧力があったこと自体は公開されないことが多いので、お国柄の違いというものを感じます。たいてい、圧力をかけたほうが悪者にされてしまうのですが、講演の内容がよくわからないので、根も葉もないところから悪い噂を立てられたということもあるのかもしれません。

講演予定だった内容が記事に出ていますが、RFID (日本ではSuicaなどのカードに使われ、食料品などの産地表示・管理への応用が期待されています) が容易にコピーできてしまうことをいいたかったようです。「容易に」がどれくらい容易なのかはわかりませんが、電子データになっていれば信頼できると思っていると、足元をすくわれる結果になるのかもしれません。

とはいえ、必要以上におそれることはないかな、という気もします。たとえば、家の鍵は簡単に合い鍵が作れ、合い鍵があれば鍵をかけていても家の中に侵入されてしまいます。セキュリティの観点では、だから家の鍵は脆弱性があり、鍵では家の中のものを守れない、という主張になります。たとえが悪いかもしれませんし、私のセキュリティの考え方が根本的におかしいかもしれませんが、合い鍵を作らせないように鍵の管理をきちんとしておけば、家の中に侵入される可能性を限りなくゼロにすることができるのではないかと思います。

• モジラ、「Firefox」のセキュリティアップデートをリリース - ZDNet Japan
• 「Firefox 2.0.0.2」リリース、7件の脆弱性を修正 (INTERNET Watch)
• モジラ、「Firefox」のセキュリティアップデートをリリース - CNET Japan
• Firefox 1.5・2.0系のセキュリティ修正版リリース (MYCOMジャーナル)
• ITmedia News：Firefoxのアップデート公開、7件の脆弱性に対処
• Open Tech Press | Firefox：ぜい弱性を修正した「2.0.0.2」公開

IEだけではなく、Firefoxにも脆弱性が見つかるわけですが、対処されたものがリリースされました。

「IEとFirefoxはどちらが安全か?」という質問はよく出てきますが、比較することの意味はあまりないと思います。どちらも脆弱性を抱えているわけですし、見つかっていないだけで大きな不具合が潜んでいる可能性もあります。その可能性は、使われていないものほど、高くなっていると考えられますから、一概にIEは脆弱性がいくつも見つかっていて危険だ、とはいいにくい部分もあります。

IEは月1回しか更新しないけれど、Firefoxは発見ごとに対応してくれるという意見もありますが……。Firefoxの前回のアップデートは2か月前ですから、IEのほうが更新のサイクルは早いともいえるわけです。できるならば、Firefoxももっと迅速に対応してほしいとは思いますが、試験の工数などを考えると、これでぎりぎりなのかもしれません。

話は変わって。私はFirefoxユーザです。なのでこのまま開発は継続されてほしいし、できればIEのシェアに食い込んでほしいと思うのですが、普及活動を行ってまで、というのには賛成できません。IEしか知らないユーザに、Firefoxというブラウザもあるんだ、ということを知ってもらうのはよいと思うのですが、どのブラウザを使うかというのは、使う人の判断に任せたいな、と思っています。

• ITmedia News：内部情報流出の8割は過失が原因――InfoWatchの実態調査

こうやって見ると、個人情報の流出は人的ミスによるものであり、人的ミスである以上100パーセント防ぐことはできないのかな、という気がします。メールの設定ミスにより他人のアドレスが見えてしまったものから、個人情報を格納したPCを紛失するものまで、情報流出はいろいろな形態を取りますし。

自分はわりと無頓着というか、巷でいわれているほど個人情報にこだわっていません。実名やメールアドレスくらいは出してもいいと思っていますし。さすがに住所や電話番号、クレジットカードの番号や暗証番号までは公開する気になりませんが。

接続元のIPアドレスも個人情報だという考え方もあります。でも、それは意識しすぎではないかと思いました。たしかに、プロバイダのアクセスログを見れば、誰がいつ接続しているかはわかるわけですが、プロバイダ側がそういった情報を公開すれば法律に抵触しますし、よほどのこと (警察から証拠提出を求められるなど) がなければIPアドレスから個人情報が知られることはないはずです。

勤め先では、ユーザー登録情報などの個人情報は厳重に管理されて、申請書を出さないと取り込めないようになっています。誰でも見られるようなずさんな管理のところもないわけではありませんが、たいていの企業がきちんと管理しているはず。そうそう流出することはないのですが、流出したときは何万人単位のことになってしまい、大きく取り上げられてしまうんですよね。

• ITmedia エンタープライズ：Firefoxに脆弱性、他者サイト改ざんの恐れも
• ITmedia News：Firefoxに脆弱性、他者サイト改ざんの恐れも

「ブラウザ戦争」のもう一方の陣営であるFirefoxですが、脆弱性の報告が続いています。2月8日には、ポップアップ遮断機能やRSSリーダープラグインなどで脆弱性が報告されていますし、今回はブラウザのクロスドメインの問題ということです。

「クロスドメイン」とは、かつてやり玉に挙げられた「クロスサイトスクリプティング」と同様の問題のようです。複数の異なるドメインで同じ情報を共有してしまい、ユーザーからの入力データ (パスワードやクレジットカード番号など) を別のサイトに送ってしまう可能性が発生するようです。

最新バージョンであるFirefox 2.0.0.1だけではなく、Mozillaを含めた最近のすべてのバージョンで現象が確認されているということです。実際の被害は発生していませんが、速やかに新しいバージョンがリリースされることを望みます。

いくつものブラウザを渡り歩きましたが、いまはFirefox使い。開発が止まりさえしなければよいと思っているので、とくに普及活動はしていませんが、普及どころか「布教」活動を行っているユーザーも少なくないと聞きます。日本ではFirefoxのシェアは10パーセント前後なのに対して、ヨーロッパでは20パーセントを超えているということなので、このくらいまではシェアを増やしたい、という考えになるのでしょう。布教はあまりやりすぎると、逆効果なんですけどね……。

• お祈りパンダの作者、ついに逮捕--獄中からウイルス削除プログラムを公開 - CNET Japan
• ITmedia News：作者製「お祈りパンダ駆除ソフト」、中国の警察が無料配布へ

中国本土で猛威をふるい、100万台以上のPCを感染させた「お祈りパンダ」ウィルス (正確にはワーム) の作者が逮捕され、作者の手によって削除プログラムも作成されました。当局によってダウンロード配布される予定だということです。

詳しい情報は得られませんでしたが、このウィルスに感染すると、多くのデスクトップアイコンが線香を持ったパンダの絵柄に変わります (「お祈りパンダ」の名称はここから。中国では「熊猫焼香」だそうです) 。そして、PC内の各種サービスを停止させ、ネットワーク共有などを利用して他のマシンに感染を広げます。ウィルスとしての名称は、「W32/Fujacks」などとなっているようです。

容疑者が逮捕され、駆除用のツールを作らせたようです。でも、これが正しくウィルスを駆除できるものなのかどうか、当局は調べられるのでしょうか。「削除ツール」として当局から配布させることで信頼性をあげ、実はキーロガーか何かを仕込んでいたということがあったりして……。

• ITmedia News：日立、0.05ミリ角のミューチップを開発
• FujiSankei Business i.　総合／粉末状の電子タグ　日立が開発に成功
• 日立、0.05mm角のミューチップを開発し動作を確認：Enterprise：RBB TODAY

フジサンケイビジネスアイが「粉末状」という見出しだったので、どういうものなのかと訝ったのですが、サイズが0.05×0.05×0.005ミリメートル。確かに見た目には「粉末状」です。この中に128ビットの情報を記憶できるのだそうです。

この大きさなら、どこにでも埋め込めそうです。SuicaやEdyなどのICカードは当然ですが、厚さがないので紙幣に埋め込むということも可能になっています。小型化したことで生産性も従来の60倍に増す、というメリットもあるそうです。

気になるのは製造コストと、信頼性と、実用化の時期ですね。生産性は増したものの、技術的には非常に難しいことをやっていそうなので、コストが大きくなりそうです。歩留まりもどの程度になるのかわかりませんし、信頼性もどうなのでしょう。とくに紙幣に埋めるとなると、何十年も使われ続ける可能性があるので、その間正しく動き続けてくれるのでしょうか。

2～3年後の実用化を目指すようです。2010年頃には、あらゆるものにICタグが埋め込まれ、何がどこにあるのかをすべて知ることができるようになるのかもしれません。逆に言うと、何もかもが管理された世界ということにもなり、ちょっと怖い部分もあります。

• マイクロソフトが2月の月例パッチ12件を公開、“緊急”は6件 (BroadBand Watch)
• 「緊急」が6件---マイクロソフトがWindowsやOfficeなどの修正プログラムを公開：ITpro
• MS、2月度月例パッチで脆弱性20件に対処--Vista関連は含まず : CNETニュース : ネット＆デジタル : YOMIURI ONLINE
• マイクロソフト、“緊急”6件を含む12件の修正プログラムを公開 (Enterprise Watch)
• マイクロソフトが2月の月例パッチ12件を公開、“緊急”は6件 (INTERNET Watch)
• MS、2月度月例パッチで脆弱性20件に対処--Vista関連は含まず - ZDNet Japan
• MS、2月度月例パッチで脆弱性20件に対処--Vista関連は含まず - CNET Japan
• ITmedia News：MS月例パッチ公開、WordとOfficeのゼロデイ脆弱性に対処
• 今日は毎月恒例「Windows Update」の日、全部で12件 - GIGAZINE

盛りだくさんです。インプレスが「12件」、CNETが「20件」としていますが、これは単に数え方の違いですね (12件はパッチの個数、20件は修正される脆弱性の個数) 。

数日前に報道された、ゼロデイアタックへの対処もありました。修正パッチにバグがあるとまた問題ですから、試験を行う期間は必要だと思いますが、何日か前倒しで提供してもよかったのではないかと思います。

今回は発売されたばかりのWindows Vistaの修正パッチは含まれていませんが、脆弱性だけではなくプログラムとしてのバグも残っているだろうとは思います。そういったものも追々見つかっていくでしょうし、随時修正が提供されていくのでしょう。Service Pack 1もすでに開発が進められているとのことですから、ある程度修正がまとまった時点でSP1が提供されるのではないでしょうか。

それにしても、脆弱性はなくならないんですね。仕様と考えられていたものが実は脆弱性の原因だった、ということもあるので、やむをえない部分もあるかとは思います。本質的に脆弱性のないプログラムを組むのはおそらく不可能ですから、いたちごっこを続けざるを得ないんですよね……。

• バレンタインスパム増加も…つられるユーザー減少-ITニュース:イザ！
• ITmedia News：バレンタインスパム増加も、つられるユーザーは減少

明日がバレンタインデーですが、それにあわせてプレゼントとなる商品を宣伝するスパムが出回っているようです。といっても英語圏の話。日本ではチョコレートが定番ですから、バレンタインスパムは無力でしょうね。(^^;)

これに釣られて商品を買ってしまう人は、減少したものの5パーセントはいるということです。中にはちゃんとした業者もいるでしょうけど、実態が知れず、何を送ってくるかわからないところからでも買うのですから、そうとう勇気があるように思いますが、どうなんでしょう。どうせ買うのなら、日本だと楽天市場やヤフーショッピングのような大手のネット通販があるので、そこから買えばいいのにと思います。

英語の迷惑メールは読まずに捨てているので、自分のところにも届いているのかもしれません。もちろん、そんなところから買うつもりはないので、目を通す必要もないのですが、どのようなものが売られているのかは気になります。

よく似た(?)ところでは、ブランド腕時計の模造品を売る、というスパムも出回っていますね。新聞に出ていましたが、消費者団体が実際に買ってみたところ、模造品ともいえない粗悪な腕時計が送られてきたらしいです。偽物とわかって買っているわけだから、粗悪なものをつかまされても文句を言えない、という心理をつかんだ結果かと思いますが、悪質ではあります。今回のバレンタインスパムも、同じような結果になるのではと思いますね。

• ITmedia News：Wordのゼロデイ脆弱性でまた新手の攻撃

「ゼロデイ脆弱性」という言葉が出てきています。通常、脆弱性が発表される流れは、「セキュリティ会社が脆弱性を発見する」→「セキュリティ会社が開発元に報告する」→「開発元が脆弱性を修正するパッチを公開する」→「セキュリティ会社からも脆弱性情報を公開する」なのですが、パッチができる前にその脆弱性を悪用したウィルスやトロイの木馬などが作られてしまうのが「ゼロデイ脆弱性」です (そのように理解しています) 。

「脆弱性のないプログラムを作る」のは、「バグのないプログラムを作る」のと同じことで、目標とせねばならないものの相当困難であろうという認識です。コンピュータ (ノイマン型コンピュータ) の仕組み上、プログラム部分とデータ部分が明確に分かれていないため、悪意ある人物がデータ部分にプログラムを書いて実行させることもできるわけですから、本質的な意味ではコンピュータがコンピュータである以上、脆弱性は避けられないということになります。アプリケーションソフトは、データ部分にプログラムが書かれないように、蓋をしていくしかないのが現状です。

プログラムの開発現場では、可変長のデータを扱う際に注意が必要になります。この変数はこれだけの大きさを確保しておけばいいだろう、と常識的な大きさにしていると非常識なデータが来ますし、そのときに確保していた領域からあふれたデータが、本来のデータを壊してしまうことになり、脆弱性となり得ます。ほかにもいろいろあるのですが、あまり専門的なことは書かないほうがいいですよね。

これを他山の石として (もっとも、自分の勤め先の製品でも脆弱性が報告されたことはありますが) 、脆弱性の元となるプログラムを書かないように気をつけないといけませんね。

• ITmedia News：「.com」のつもりが「.cm」、カメルーンのGoogleサイトに要注意

こういう記事が出ていましたが、さすがにこれは違うんじゃないかと。カメルーンが悪いんでしょうか?

たしかに、URLの打ち間違いで予想もしないサイトに飛ばされたり、場合によっては悪意あるソフトを埋め込まれたりして被害を受けることもあります。goo.co.jpとかgoogkleとか、ありましたよね。

googleだけの問題であれば (そういうわけでもないようですが) 、googleがgoogle.cmを買い取ればすむ話ですし、もっと大きな問題でいうと、既存のURLと酷似したURLで、悪意を持ったサービスを行っているところはどんどんつぶしていくべきなのでしょう。

現状、どうしても不安な人は、自分でURLを手打ちしない、知らないURLにはアクセスしない、インターネットに接続しない、などの対策が必要なのかもしれません。……とかいってみるテスト。