トップ «前の日記(2004/12/05(Sun)) 最新 次の日記(2004/12/07(Tue))» 編集

糸の切れた(たこ) ( a threadless kite )

ここは、管理人yamagataが方針未定のまま、何となーく思いついたことを思いついたままにだらだらと書き付ける日記帳です。ふんわりほんわかな感じでお願いします。



2004/12/06(Mon) 月曜日ー。(今週も頑張りませう。)

[セキュリティ] ヤフーからの通知を装った日本語フィッシングで何が起きていたか (高木先生の日記)

11月15日あたりに起きた「Yahoo! を偽装するフィッシングメール」の話が分かりやすくまとめられていました。Yahoo! に存在したクロスサイトスクリプティング問題を悪用して“偽フレーム”を表示させることで、URL からフィッシングだと判断されにくくする工夫が行われていたようです。また、入力されたパスワードを本番サイトに中継して真偽を判定する念の入れようだったみたいですね。ここまでされると、ある程度詳しい人でも十分罠にかかってしまうでしょうねー。怖い、怖い。
また、下記の点も興味深いですね:

XSS脆弱性のもうひとつの脅威が実証されてしまった
cookieを使っていないサイトでは、「たいした問題ではない」とされることが多かった。そうしたとき、「偽の情報を本物ドメインの画面に表示させられる」という危険性があると訴えられていたが、「そんな罠をしかける人、本当にいるの?」とか、「そんな罠に騙される人いるの?」という反応が少なくなかった。
しかし、図らずも、「フィッシング詐欺」という名前まで付く攻撃手法が蔓延してしまい、そのときの危惧が現実のものとなってしまった。

クロスサイトスクリプティングの脅威・影響と言うと、どうしても、『あなたのサイトの利用者のブラウザ上で、スクリプトがあなたのサイトの権限で実行されてしまうんですよー。これを攻撃者に悪用されると、Cookieを盗用されたり、データの送信先を勝手に変更されてしまったりしまって、サイトの利用者が被害を被るかも知れませんよ。あと、風評被害も怖いですよー。』てきな説明になりがちでしたが、これからは、『最近はやりのフィッシングに利用されてしまうかも知れませんよ。実際にこういう実例がありました・・・』てきな話もできますね。
サイト運営者側も、クロスサイトスクリプティング、と聞くと、「あぁ、なんだ。うちのサイトは・・・」てきな反応をしがちなのを改めて頂きたいところですね。(もっとこのような事例が、広く技術者に紹介されたりするようだと良いのですけどねー。)

[IT] 海賊版を検知する「見えないテクノロジー」 (ITmedia)

街頭で売られ、インターネット上にアップロードされている海賊版「ミスターインクレディブル」など、ビデオカメラを使った海賊行為が、間もなく“目に見えない”テクノロジーによって検知されるようになるだろう。…映画鑑賞者に見えないだけでなく、粗雑な複製により画質が低下しても残る透かしを考案した。…この透かしは5秒間かけて段階的に現れる。変化のスピードが遅い画像を補正・無視しようとする人間の視覚を利用していると同氏は説明した。

新しい電子透かしの技術で、画質が低下しても大元が追跡できるようです。

[雑談] 電柱から電気“拝借”料金滞納送電止められ… (ZAKZAK)

不法に電気を使用したとして、茨城県警つくば中央署は6日までに、つくば市上岩崎の無職の男(55)を窃盗容疑で逮捕した。…男は、電気メーターを通さず市販のビニール製コードで電柱と配電盤を接続。11月29日午後6時20分ごろから同日午後10時半ごろまで断続的に室内の電灯を点灯させ、不法に電気(料金14円相当)を使用した疑い。パトロール中の同署員が電柱からコードが延びているのを発見。送電が停止されているのに電気がついていることを確認し、逮捕した。

電柱からコード引き込むなんて大胆な盗電ですね。(^-^; 盗電は、被害額が少なくても立件されがちな気がするので、ほんの出来心とかで使わないように要注意ですね。駅のコンセントも使っちゃダメ!と。

[セキュリティ] 仕返しが仕返しを呼ぶ Lycos Europe のスパム対抗ツール

セキュリティ会社の F-Secure は、同キャンペーンサイトが度々アクセス不能になったことについて、Lycos 自身が行なった DDoS 攻撃のトラフィックが跳ね返ってきたことにも、一部原因があるかもしれないと分析する。F-Secure によると、Lycos が攻撃対象としたサイトのうち、少なくとも1つは、そのトラフィックをすべて同キャンペーンサイトにリダイレクトしていたという。

へー、そんなことになってたのですか。どーゆーレベルでのリダイレクトなんだろう?

Lycos および同社のサイト管理会社は、サイト改竄を否定した。これに対して F-Secure の調査チームは、ユーザーから上がったサイト改竄報告は、いくつかの ISP が同サイトへのアクセスをブロックした結果か、もしくは「DNS ポイズニング」というクラック手法が原因となった可能性があると述べた。DNS ポイズニングとは、悪意ある攻撃者が DNS サーバにリクエストを大量に送りつけ、偽の応答を返すようにするもので、攻撃対象の DNS サーバの応答に依存するリクエストを発したユーザーを、偽のサイトに誘導できる手法だ。

DNSポイズニングと、DNSspoofが交じったような説明だな、これ。(^-^;
キャッシュ書き換えなんて今どきのDNSで有効なんでしょうか? DNSspoofだと、今度は影響範囲が限られてくるしなぁ。前の“スクリーンショットの捏造”の方が説得力あるかも?

[セキュリティ] IE6.0 SP1でJavaScript使用ページにアクセスするとフリーズする可能性

今回の現象は、JavaScriptによるイベント登録を行なうページにおいて、IEで「ページの更新」を繰り返し行なうことによってメモリの使用量が増え続け、メモリリークが発生する場合があるというもの。例えば、「onmousedown」などのイベントを使用することでこの現象が発生する可能性があるとしている。…マイクロソフトでは、同現象を再現するサンプルコードも公開。「現在、再現性を含めて詳細を確認中だ」としている。

そう言えば、前の“Infinite Array Sort Denial Of Service Vulnerability”の件は、その後?
関連: [IE] Javascript で動的にイベントを登録するとメモリリークが発生 (Microsoft)

[雑談] 機内に爆発物、誤って“素通り”…仏空港で訓練中 (ZAKZAK)

パリ郊外のシャルル・ドゴール空港で3日に行われた警察犬の訓練中、故意に手提げ袋に入れられた小型の爆発物が誤ってそのまま機内に積み込まれ、5日になっても行方不明になっていることが分かった。警察当局によれば、今回の訓練は、警察犬2頭に対して麻薬などの危険物探知能力を試す目的で実施。チェックインカウンターで預けられた荷物から無作為に選び、機内積み込み場所までの間に爆発物を紛れ込ませ、犬が無事に発見できるかテストしていた。

まー、イヌ相手の訓練なので、本物の爆発物でやらなきゃいけなかった事情は分かるんですが、そのまま積み込まれて行方不明って。(汗
その見逃した方の爆発物探知犬は、今までも見逃してた可能性もあるってことかな?(^-^;

[雑談] a'NTTコム、幸運を呼ぶ香りを発生させる「香り通信」

|http://japan.cnet.com/news/media/story/0,2000047715,20078663,00.htm'%>
「香り通信」は、ミラプロが開発した、PCにUSB接続された32種類の液体香料を調合・発散する装置「香り発生装置」を用いて実現される。今回開催されるイベントは、誕生日を入力すると、占星術研究家 岡本翔子氏による占星術に基づいた運勢とともに2005年に幸運を引き寄せる香りのレシピが表示されるというもの。ユーザーは表示されたレシピをクリックすることにより、PCに接続されている香り発生装置から送り出される芳香を楽しめるという仕組みだ。

そのうち、開けたら物凄く嫌な匂いのする不幸のメールとか出てくるんでしょうか?(^-^;
何となく、「クリス・クロス」(著.高畑京一郎)を思い出しました。懐かしい。将来、香りまで自由に合成できるようになってしまったら、もうバーチャルリアリティか現実かの区別ができる手段が無くなっちゃいますね。(笑)

[雑談] 「地震除け」不動明王に問い合わせ相次ぐ 山形

新潟や北海道で地震が続く中、「地震災難除(よ)け」を掲げる山形県上山市の久昌寺に問い合わせが相次ぐ。不動明王がナマズを押さえつける本尊とお札に関するものだ。…設計・建設会社の経営者の顔も持つ住職は、耐震構造の重要さが認知されていないことを嘆く。「防災に一番大事なのは、神仏頼みではなく普段の心構えです

確かにそうなんでしょうけど、住職、せっかく「地震災難除け」思いついたのにそんなこと言っちゃってて良いんでしょうかね?!(^-^;

[雑談] アーティストはファイル交換を気にしていない? (ITmedia)

ユーザーが楽曲などのコンテンツをタダでコピーできるオンラインファイル交換サービスが存在しているにもかかわらず、ほとんどのミュージシャンとアーティストは、インターネットは自分の作品からより多くの利益を生み出すのに役立ったと述べている。
  • 47%は自分の作品のロイヤリティを稼ぐ邪魔になると回答
  • 43%は作品のプロモーション・流通に役立ったと回答
  • アーティストの3分の2はファイル交換はほとんど脅威にならないと回答
  • 3分の1弱がファイル交換がクリエイティブ業界にとって大きな脅威になると回答
  • インターネットが創造的な作品を守る力を削いだと回答したのはわずか3%

インターネット全般(ファイル交換を含む)に対するアーティストの印象は、意外にも好印象みたいです!? ファイル交換を気にしてるのは、アーティストではなく、実は発売元の会社とか業界団体とかがメインなのでしょうかねー?(^-^;
ところで、

同団体の報告書は、2003年12月に自分をアーティストと見なしている809人を対象に行った調査に基づくもの。

アンケート対象は、・・・自称アーティストさん?(笑)
関連: Pew Internet and American Life Projectの調査報告書 [PDF]

[雑談] 北海道で地震ですか

釧路で震度5強だそうですね。津波注意報も出ているようです。

[TV][あいのり] #248 もう一度笑顔を・・・

  • エチオピア縦断中。

  • 「史上初の8人の旅」と今田耕司さんが言ってましたが、パオロの時(は例外か?)と、ミッシェルの時があったので、3回目かも? それにしても、同じ8人でも、男4人+女4人なら良いのに、男5人+女3人だと、若干見ていてもツライものがありますね。(^-^;

  • 「歯医者なのに話が噛み合わない」と言われてた歯医者→瀬里葉の専門用語オンパレードな話を聞いてると、タケを思い出すなぁ。なるほど。気をつけるようにします。

  • 無事にお姉さんが見つかって良かったですね! 瀬里葉に似てたかは微妙ですけど。(笑)

  • 何だかアフリカの旅って話が重くなりがちですよね。(汗

  • 確かに最近の瀬里葉は、自分をしっかり持ってるし、頼りになる一面もあるし、強くなったなぁって思えますね。

  • 今週のあいのりあいのりウラ話