Hatena::ブログ(Diary)

まっちゃだいふくの日記★とれんどふりーく★ このページをアンテナに追加 RSSフィード Twitter

カレンダー
<< 2008/07 >>
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31

このBlogは個人的に収集しているセキュリティ情報や製品情報について書いています。
また、トレンドマイクロ製品+パターン+ウィルスの情報も提供しています。
Trendmicro Japanがイエローアラート以上を出した場合いろいろな情報を提供するようにしています。
Matcha's Security Blogにてセキュリティ情報(英語)も提供しています
各ウイルスバスターの不具合やBlogでの反応:クラウド(2015)クラウド(2014)クラウド(2013)201220112011続き201020092008
情報なし:20162017
日本の情報セキュリティ勉強会ポータルサイト

2008年07月02日(水曜日) たわしの日

[][]パスワードを盗むトロイの木馬が暗躍、マイクロソフト製ツールを悪用して拡散 : セキュリティ・マネジメント - Computerworld.jp

MicrosoftのPsExecで拡散しようとするそうです。

今回のCorefloodが感染台数を増やしている一因は、MicrosoftのPsExecプログラムにある。これは、ネットワーク内のコンピュータ上で正当なソフトウェアを実行できるようにするプログラムの1つだ。

 攻撃者はまず、何らかの方法を使って、ネットワーク内のコンピュータの1つにCorefloodを送り込む。その後、同コンピュータにシステム管理者がログインすると、CorefloodはPsExecを実行し、ネットワーク上のすべてのシステムにCorefloodをインストールしようと試みる。

no title

screenshot


[][]陸上自衛隊の一等陸尉、日米共同演習データ入りUSBメモリを窃盗 : セキュリティ・マネジメント - Computerworld.jp

陸上自衛隊が日米共同軍事演習のデータを紛失したそうです。陸上自衛隊内で盗難されてゴミ箱に捨てられていたそうです。

防衛省は7月1日、昨年2月に陸上自衛隊が管理する日米共同の軍事演習に関するデータが紛失する事件があったことを明らかにした。

 紛失したのは、日米共同軍事演習のデータが格納されたUSBメモリ。石破茂防衛大臣が会見で語ったところによると、このUSBメモリを盗んだのは陸上自衛隊の一等陸尉で、「盗んで、その後(USBメモリを)ゴミ箱に捨てた」と供述しているという。

 7月1日の毎日新聞によると、このUSBメモリには日米共同の軍事演習における戦車やヘリコプターの部隊配置図などが保存されており、データの扱いは「注意」で、「機密扱い」ではなかったという。

no title

screenshot


[][]NHKニュース しごと館 民間委託で存続へ

わたしのしごと館をます桝添大臣が視察して取り壊しを否定してくれました。

すばらしい施設なのですが、場所が悪いので、どうしようもないですよねぇ・・・

舛添厚生労働大臣が視察したのは、厚生労働省が所管する独立行政法人「雇用・能力開発機構」が運営している、京都府にある職業体験施設「私のしごと館」です。この施設は、中学生や高校生に働くことへの興味を持ってもらおうと設けられましたが、平成15年のオープン以来、赤字が続いており、政府は、廃止するかどうかを検討しています。舛添大臣は、伝統工芸品作りが体験できるコーナーなどを視察したあと地元自治体の代表らと意見交換し「職業教育や訓練は政府がすべきものであり、改善すべきは改善していきたい。580億円かけて作った立派なものを壊してつぶすという選択肢はあり得ない」と述べました。

エラー|NHK NEWS WEB


大きな地図で見る

screenshot


[][]Sony PlayStation site succumbs to SQL attack

SonyのPlaystationサイトSQLインジェクション攻撃を受けて改ざんされていて、偽のアンチウイルスソフトを入れさせるそうです。

Over the last few months we have mentioned the current wave of SQL injection attacks plaguing the web (1, 2, 3 and 4). Yesterday, we spotted that Sony’s USA PlayStation website - a high profile website with a large number of daily visitors (ref: Alexa) - had been the victim of an SQL injection attack.

The purpose of this wave of attacks seems to be to dupe users into installing the same fake anti-virus software we discovered on .MOBI websites earlier this week.

Sony PlayStation site succumbs to SQL attack – Naked Security

Visiting the affected PlayStation site runs a script that pretends to do an online security scan of your computer, and presents a bogus warning message that your PC is infected with a variety of different pieces of malware. Users frightened by the scareware ‘warnings’ might rush to spend money on useless software.

Sony PlayStation site succumbs to SQL attack – Naked Security

関連URL

screenshot


[][]ドリコムブログが一時アクセス不能に、原因はDBの過負荷:ITpro

ドリコムブログアクセス過多でアクセスできない状態になっていたそうです。

ドリコムグループが運営する無料ブログサイトドリコムブログ」がアクセスしづらい状態になっている。2008年7月2日16時現在はアクセス可能だが、14時頃はアクセスできない状態になっていた。

 運営主体のドリコムジェネレーティッドメディアによると、データベースの過負荷が原因だという。きっかけは7月1日に実施したデータベースシステム(PostgreSQL)のメジャーバージョンアップ。システム更新によりデータベースの処理能力が落ち、過負荷に陥った。これによるドリコムブログへのアクセス困難な状況は、現在まで続いているという。

ニュース - ドリコムブログが一時アクセス不能に、原因はDBの過負荷:ITpro

screenshot


[][]スラッシュドット・ジャパン | 上越新幹線、「Hack」が原因で運休に

あの日、あの人は、東京にいたよ!(誰

Happaだったら、間違えなくあいつなのだが・・・

写真入り記事を見れば分かると思いますが、運休の原因は「Hack」と書かれた、車体への落書き。器物損壊の疑いで警察が調査を行っているそうです。

上越新幹線、「Hack」が原因で運休に | スラド

screenshot


[][]マルウェア感染の危険度大:Googleユーザーの半数近くがWebブラウザの脆弱性を放置 - ITmedia エンタープライズ

セキュアでないブラウザというのは、パッチの当っていないブラウザってことか?

研究チームは2007年1月から2008年6月にかけ、世界各国でGoogleのWeb検索とアプリケーションサイトのユーザーが使っているWebブラウザを調べた。

その結果、最もセキュアな最新バージョンのWebブラウザを使っていないユーザーは、全体の45.2%に当たる6億3700万人に上ることが判明した。

Webブラウザ脆弱性を突いてマルウェア感染させる攻撃が増える中、こうしたWebブラウザを使っていると既知の脆弱性を突かれ、Webサイトを閲覧しただけでマルウェア感染してしまう恐れがあると報告書では警鐘を鳴らしている。

Webブラウザ別で見ると、最新バージョンを使っているユーザーの割合はFirefoxが最多で83.3%。以下Safariが65.3%、Operaが56.1%となり、シェア最多のInternet Explorer(IE)は47.6%にとどまった。

マルウェア感染の危険度大:Googleユーザーの半数近くがWebブラウザの脆弱性を放置 - ITmedia エンタープライズ

ブラウザとPluginみたいですねぇ。

Access to Google’s global Web server logs enabled the authors to provide the first in-depth global perspective on the state of insecurity for Web browser technologies. Understanding the nature of the threats against Web browser and their plug-in technologies is important for continued Internet usage. As more users and organizations depend upon these browser technologies to access ever more complex and distributed business applications, any threats to the underlying platform equate to a direct risk to business continuity and integrity.

By measuring the patching processes of Web browser user populations, we have been able to identify the potential global scale of Web-based malicious exploitation of browser technologies and prove how existing mechanisms such as Firefox’s auto-update can outperform more complex and less timely solutions.

Insecurity Iceberg

screenshot


[][]「無線LANのセキュリティ設定の確認を」、IPAが6月の呼びかけ

他人の無線LANを使って脅迫文を投稿した件で、無線LAN適正な設定するように呼びかけているそうです。

情報処理推進機構(IPA)は2日、2008年6月および2008年上半期(1月〜6月)のコンピュータウイルスおよび不正アクセスの届出状況を公表した。

 IPAでは6月の呼びかけとして、IPAに寄せられる相談のうち、一般家庭からの「無線LANが外部から不正アクセスされていないか不安になった」という内容が目立つとして、無線LANセキュリティ設定の確認を求めている。

 IPAでは、国内でも2005年には不正アクセス事件の犯人が他人の無線LANを無断で使用していたという事例や、2008年6月には他人の無線LANを無断で使用してインターネットの掲示板に脅迫文書を書き込んだ高校生が書類送検された事件などが発生していると指摘。ユーザーに対して、無線LANセキュリティ設定を見直し、適切な暗号化方式を選択するよう呼びかけている。

「自宅の無線LANセキュリティ設定の確認を」、IPAが6月の呼びかけ

No!No!WEP!

IPAでは、無線LANの自動設定を行う「WPS」(Wi-Fi Protected Setup)が親機と各機器で対応している場合には、それを利用して自動設定を行うよう推奨。また、手動で設定する場合には、なるべくセキュリティ強度が高い「WPA2-PSK(AES)」を使うことを推奨しており、「WEP」方式については暗号の解読が容易であるため、現状では使用を推奨しないとしている。

「自宅の無線LANセキュリティ設定の確認を」、IPAが6月の呼びかけ

screenshot


[][]F5とNEC、PC検疫ソリューション「InfoCage」とSSL VPN製品「FirePass」の連携で協業:Enterprise:RBB TODAY (ブロードバンド情報サイト) 2008/07/02

FirePassとInfoCageが連携して検疫ができるそうです。

日本電気のInfoCage PC検疫は、セキュリティポリシーを満たさないPCの自動検知や警告指示を行い、社内ネットワークから隔離することで情報漏えい対策を強化するシステム。また、FirePassはF5ネットワークスジャパンのSSL VPNアプライアンス。これらを連携させることにより、FirePassのエンドポイントセキュリティチェックでセキュリティ要件を満たさないクライアントを自動的に識別し、InfoCage検疫ネットワークへ隔離・問題解決を行うまでの一貫したプロセスを提供することでシステム全体のセキュリティレベルを向上させるとしている。

F5とNEC、PC検疫ソリューション「InfoCage」とSSL VPN製品「FirePass」の連携で協業 | RBB TODAY

関連URL

screenshot


[][]第3回 サーバー・ソフトのぜい弱性をなくす:ITpro

徳丸さん第3段。早いなぁ、リリースが。

自分で作ったアプリケーション(カスタムメイド)は自分で検査する必要がある、流通しているソフトウエアApacheとかPHPとか)はいろいろな人が探すってお話です。確かに。

広く流通しているソフトウエアの場合,開発元やセキュリティの研究機関などが,当該ソフトウエアのぜい弱性を調べて公表するケースが多い。マイクロソフトを例にとると,毎月第2火曜日の翌日にぜい弱性情報や対策パッチを公開している。また,情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)が共同で運営しているJVN(Japan Vulnerability Notes)では,日本国内の製品開発者のぜい弱性対応状況を公開している。

このため,流通しているソフトウエアにぜい弱性が見付かった場合は,自社で利用しているシステムにこれら「既知のぜい弱性」が存在するかどうかを探すことが重要な作業になる。これに対してカスタムメイドのアプリケーションの場合には,原則としては自分でぜい弱性を調査しなければならない。このため,ぜい弱性対策の方法は変わってくる。

改ざん攻撃はこう防げ!Webサイトの正しい守り方 - 第3回 サーバー・ソフトのぜい弱性をなくす:ITpro

最新版を使うことで脆弱性の穴がふさがれた状態のものを使うことができると。確かにね。

(1)製品の最新バージョンを利用する

 ぜい弱性はセキュリティ上のバグであるため,対策の基本は,修正版を導入することである。対策版の導入の方法は,ソフトウエアバージョンアップと,セキュリィティ・パッチの導入の大きく2通りがある。まず,バージョンアップについて説明する。

改ざん攻撃はこう防げ!Webサイトの正しい守り方 - 第3回 サーバー・ソフトのぜい弱性をなくす:ITpro

最新バージョンだけでなく、パッチで対策することも可能。あと設定で逃げるってのもありますね(Workaroundとかね)

(2)セキュリティ対策パッチを適用する

 製品の最新版をインストールする作業は現実的には色々な問題を伴うことがある。何も考えないで上書きインストールしてしまうと,それまでの設定が無効になったり,オプションとして導入しているモジュール類を再インストールしなければならなくなったりすることがある。このため,セキュリティ対策パッチが提供されている場合は,それを使う方が簡便な場合が多い。

改ざん攻撃はこう防げ!Webサイトの正しい守り方 - 第3回 サーバー・ソフトのぜい弱性をなくす:ITpro

確かに脆弱性スキャナを定期的にかけるのは良いことですねぇ。なかなか大規模になるとやりたがらないんですがね。

そこで効果的なのが,ぜい弱性スキャナと言われる製品を使う方法である。ぜい弱性スキャナは,ネットワーク経由でサーバーネットワーク機器を検査するツール。既知のぜい弱性の存在をチェックし,ぜい弱性の名称やリスク,対策方法,回避策などをレポートにまとめてくれる。ぜい弱性スキャナにはソフトウエア製品のほか,アプライアンスや,SaaS提供のものなどがあるので,対策する機器の台数が多い場合には導入を検討するとよいだろう。

改ざん攻撃はこう防げ!Webサイトの正しい守り方 - 第3回 サーバー・ソフトのぜい弱性をなくす:ITpro

screenshot


[][]【詳報】ミサイル発射の誤警報、原因は修理時の作業漏れと警報の選択ミス:ITpro

「「ミサイル着弾」、福井・美浜町で誤警報」 News i - TBSの動画ニュースサイト - まっちゃだいふくの日記★とれんどふりーく★の件、警報を削除せずに再起動したら、警報が流れちゃったそうです。

修理の際は、受信装置が正常に動くか確めるために警報データをJ-ALERTから受信装置に送る。この警報データを修理後に消去する手順が漏れた。消防庁とJ-ALERTの開発ベンダーである理経が考えた手順に誤りがあったとみられる。結果的に、受信装置に残った警報が修理後に流れた。

 試験に使う警報データは、受信から一定時間が経過すると自動的に消える仕組みだ。このため、消防庁は消去の手順は不要と判断したようだ。これまでも修理後に警報データは削除していなかったが、同様の問題は起こっていない。

ニュース - 【詳報】ミサイル発射の誤警報、原因は修理時の作業漏れと警報の選択ミス:ITpro

人為ミスも追加であったってことですね。

実は、もう1つミスが重なった。J-ALERTは「訓練です」といったメッセージで始まる訓練報を流せる仕組みになっている。動作確認に訓練報を選んでいれば、誤って警報が流れても、さほど影響はなかったはずだ。ところが今回の作業では、なぜか訓練報でなく本物の警報を使った。

ニュース - 【詳報】ミサイル発射の誤警報、原因は修理時の作業漏れと警報の選択ミス:ITpro

午後4時でよかったですね。

6月30日、午後4時37分に町内の防災行政無線の屋外スピーカーからミサイルの発射情報が誤って放送されました。

 町民の皆様には、大変ご迷惑とご心配をおかけし、深くお詫び申し上げます。

404 Not Found

screenshot


[][]米Microsoft、ボリュームライセンスの新体系「Select Plus」

Microsoftのライセンス体系に追加のものができたそうです。

Selectライセンスを複数拠点や子会社でも使えるようにしたそうです。

Microsoftは7月1日(米国時間)、新しい法人向けボリュームライセンスプログラム「Microsoft Select Plus Volume Licensing」を発表した。複数の事業部や支店を持つ大企業が、柔軟かつシンプルにMicrosoftソフトウェアライセンスを購入できるという。10月から提供する予定。

既存のライセンス体系「Select」を調整したもので、複数の拠点や子会社を持つ企業向けに使いやすくした。「Microsoft Office Professional 2007」などのアプリケーション、「Windows Vista Business」などのシステム、「Windows Server」などサーバーの3カテゴリーで提供する。

各拠点ごとにライセンスを購入できるが、発注は単一の顧客IDで行うため、購入ライセンス数に応じた割引などのメリットを受けられる。またライセンス管理を簡素化して、ライセンス調整の時間とコストを削減できるとしている。

米Microsoft、ボリュームライセンスの新体系「Select Plus」

契約期間がなく、いつでもライセンスを購入可能とのこと。

Select Plusは既存の「Select」プログラムと似ているが、3年契約のSelectとは異なり、契約期間がなく、いつでもライセンスを購入できる。Microsoftは、すべての事業部門で同じ価格体系になる点や、契約更新や再交渉が不要な点、単一の顧客IDで契約や発注プロセスを管理できる点などを利点としてあげている。また、アップグレードやサポート、トレーニングなどを提供するメンテナンスプログラム「Software Assurance」にいつでも加入でき、その特典を36カ月間受けられるという。

MS、契約期間なしのボリュームライセンス「Select Plus」発表 - ITmedia エンタープライズ

screenshot


[][]日本オラクル、BEAシステムズが顧客窓口を一本化 − @IT

BEAシステムズの顧客窓口がOracle一本になったそうです。

これで冷や冷やしていたユーザさんも安心ですね。

日本オラクルは7月1日、米国本社が今年買収した米BEAシステムズの日本法人の顧客窓口をオラクル側に一本化したと正式に発表した。BEAシステムズの製品の販売やサポートの窓口を日本オラクルに移管し、顧客からはオラクルとBEAが「ワン・チーム」に見えるようにするという。

BEA社員がオラクルに出向:日本オラクル、BEAシステムズが顧客窓口を一本化 - ITmedia エンタープライズ

また、BEAシステムズの代表取締役社長だった志賀徹也氏が社長を退任し、7月1日付で新たに日本オラクルの副社長執行役員 システムテクノロジー営業統括本部長に就任する人事も発表された

BEA社員がオラクルに出向:日本オラクル、BEAシステムズが顧客窓口を一本化 - ITmedia エンタープライズ

関連URL

screenshot


[][]日本でも猛威:ゲームを狙うトロイの木馬が勢力拡大――6月のマルウェアランキング - ITmedia エンタープライズ

ゲーム狙いのウイルスが増加中。

セキュリティ企業の米Fortinetは7月1日、2008年6月のマルウェアトップ10を発表した。4月から5月にかけてやや減少傾向を見せていたオンラインゲームを標的とするマルウェアが勢力を盛り返し、ターゲットをアジアから欧州米国にまで拡大しているという。

 このデータは同社のセキュリティシステム「FortiGate」を通じて収集した。オンラインゲームを狙ったマルウェアは、6月に報告されたマルウェア全体の35%を占め、トップ10ランキングでも2位と4位に入った。

 オンラインゲームを狙ったトロイの木馬の標的を国別に見ると、中国(36.5%)を筆頭に台湾(31.1%)、トルコ(15.4%)、米国(7.4%)、日本(4.3%)の順だった。

日本でも猛威:ゲームを狙うトロイの木馬が勢力拡大――6月のマルウェアランキング - ITmedia エンタープライズ

screenshot


[][]米SANSの脆弱性リストに見る脅威の過去と現在

クライアントで狙われる脆弱性としては、ブラウザOffice系、メールソフトメディア再生なんか狙われているみたいですね

もうサーバなんて狙われないのね。。。

2007年11月に発表された「SANS Top-20 2007」によれば、クライアント側の脆弱性として、Webブラウザオフィスソフトメールクライアントメディア再生ソフトピックアップしている。タラーラ氏はこの点について、「いまやOSだけに絞って対策するのでは不十分。アプリケーションが狙われている」と語る。

サーバー側の脆弱性では、WebアプリケーションWindowsサービスUNIX/Mac OSサービス、バックアップソフトアンチウイルスソフト、管理サーバーデータベースソフトを挙げている。「例えばバックアップソフトの大半は、脆弱性が見つかっている。これらをアップデートしなければ、脅威がさらに高まることになる」。

米SANSの脆弱性リストに見る脅威の過去と現在

また、セキュリティポリシーおよびセキュリティ担当者の脆弱性としては、過剰なユーザー権限と不正な装置、フィッシングスピアフィッシング、暗号化されていないラップトップおよびリムーバブルメディアの3項目がランクイン。特にスピアフィッシングについては脅威が高まっているとして、実際に行われた手口を紹介した。

米SANSの脆弱性リストに見る脅威の過去と現在

企業の内部から攻撃ですか?!まぢっすか。社内からの攻撃かぁ・・・結構つらいなぁ。

まだまだ、性善説で動いてるからなぁ…

最近のサイバー攻撃全体の傾向としては、企業や組織の人間が内部から攻撃するケースが多いという。「米国の法務省の統計では、サイバー攻撃で検挙された人の大半は、インサイダーであることがわかった」。また、攻撃者のシステムに対する知識が高まるとともに、攻撃ツールも高度化。その結果、企業が攻撃対策のために与えられる時間は少なくなる一方だと指摘する。

米SANSの脆弱性リストに見る脅威の過去と現在

screenshot


[][]「update.microsoft.com」ウイルス出現、修正パッチにみせかけて感染:ITpro

Microsoftを装って偽の脆弱性パッチを入れさせようとするメールが出回っているそうです。

セキュリティ企業の米ウェブセンスなどは2008年6月30日、米マイクロソフトをかたる悪質メールが多数出回っているとして注意を呼びかけた。攻撃者が用意したWebサイトへ誘導し、ウイルス(悪質なプログラム)を修正パッチセキュリティ更新プログラム)に見せかけてダウンロードおよび実行させようとする。

 今回報告されたメールは英語で記述されている(図1)。件名はさまざま。英ソフォスによれば、「Critical Microsoft Update」「Critical Update Notification」「Important Microsoft Update」「Important Update Notification」「Important Windows Update」などが確認されているという。

ITpro無料会員サービスへのログインが必要です

メールHTMLメールなので、リンク先のURLはメールの本文中には表示されていない。リンク先のURLは「http://shopping.<略>.com/go.nhn?url=http://update.microsoft.com.<略>.net」。あるショッピングサイト(shopping.<略>.com)のリダイレクト機能を使って、http://update.microsoft.com.<略>.netのサイトへ飛ばそうとする。

ITpro無料会員サービスへのログインが必要です

関連URL

screenshot


[][]SANS Internet Storm Center; Cooperative Network Security Community - Internet Security - isc

数種の脆弱性に対応したFirefox2.0.0.15がリリースされたそうです。

For those of you that haven't yet made the move to Firefox 3.0, the Mozilla folks have released Firefox 2.0.0.15 which according to the release notes link (see below) fixes a security vulnerability.

InfoSec Handlers Diary Blog - Firefox 2.0.0.15 is out

Firefox 3.0.1のリリースは07月15日だそうです。

Firefox 2.0.0.16 と Firefox 3.0.1 のリリース予定日は "July 15 (est'd)" だそうです。↓

Mozilla Foundation http://wiki.mozilla.org/Releases/

> Releases

(履歴)

Firefox 3.0.1 は当初 July 22 Release だった模様ですが、結局 Firefox 2.0.0.16 と 同じ日になったみたいです。

Firefox 2.0.0.15 リリース - 取締役 平社員 ブログ (ベータ版)

これは大量の修正だ・・・

Description:

Some vulnerabilities have been reported in Mozilla Firefox, which can be exploited by malicious people to conduct cross-site scripting and spoofing attacks, bypass certain security restrictions, disclose sensitive information, or potentially compromise a user's system.

1) Multiple errors in the layout and JavaScript engines can be exploited to corrupt memory.

2) An error in the handling of unprivileged XUL documents can be exploited to load Chrome scripts from a "fastload" file via "<script>" elements.

3) An error in the "mozIJSSubScriptLoader.LoadScript()" function can be exploited to bypass XPCNativeWrappers and run arbitrary code with Chrome privileges.

Successful exploitation requires that an add-on using the affected function is installed.

4) An error in the block reflow process can be exploited to cause a crash or potentially execute arbitrary code.

5) An error in the processing of file URLs contained within local directory listings can potentially be exploited to execute malicious JavaScript content.

6) Multiple errors in the implementation of the JavaScript same origin policy can be exploited to execute arbitrary script code in the context of a different domain.

7) Multiple errors in the verification of signed JAR files can be exploited to execute arbitrary JavaScript code with the privileges of the JAR's signer.

8) An error in the implementation of file upload forms can be exploited to upload arbitrary local files to a remote webserver via specially crafted "DOM Range" and "originalTarget" elements.

9) An error in the Java LiveConnect implementation on Mac OS X can be exploited to establish arbitrary socket connections.

10) An uninitialized memory access in the processing of improperly encoded ".properties" files can potentially be exploited to disclose sensitive memory via an add-on using the malformed file.

11) An error in the processing of "Alt Names" provided by "peer" trusted certificates can be exploited to conduct spoofing attacks.

12) An error in the processing of Windows URL shortcuts can be exploited to run a remote site as a local file.

Successful exploitation requires that the user is tricked into downloading and then opening a malicious Windows URL shortcut.

The vulnerabilities are reported in versions prior to 2.0.0.15.

Do you have this product installed on your home computer? Scan using the free Personal Software Inspector. Check if a vulnerable version is installed on computers in your corporate network, using the Network Software Inspector.

no title

@ITによると、Firefox3には影響はなさそうとのこと。でもFireFox3にある脆弱性についてはまだ修正されていないとのこと

悪用されるとリモートで任意のコードを実行されたりブラウザクラッシュしたりするなどの影響がある。いずれの脆弱性Firefox 3では影響しないか、もしくは対処済みとなっている。

 なお、Firefox 3のリリース直後にもFirefox 3と2に影響する脆弱性が報告されているが、こちらはまだ修正されていないようである。

Firefox 3には影響なし:Firefox 2のアップデート公開、多数の脆弱性に対処 - ITmedia エンタープライズ

関連URL

screenshot


[][]米Dell、サポートにノートPC盗難対策を追加

米国DELLですがノートパソコンの紛失、盗難対策サービスを開始したそうです。

ノートPCの追跡、データ消去までリモートでできるそうです。

Dellは6月30日(米国時間)、法人向けノートPCの紛失・盗難対策サービスDell ProSupport Mobility Services」を発表した。ノートPCの追跡、遠隔からのデータ消去などを通じて、資産とデータを保護する。まず米国カナダで提供を開始。7月と8月にかけ、アジアなど他地域に拡大する予定。

 今年2月に発表した企業向け有料サポート体系「Dell ProSupport」を拡充するもので、企業は必要なサービスを選んで導入できる。紛失・盗難したノートPCを追跡する「Laptop Tracking and Recovery」、遠隔からデータを消去する「Remote Data Delete」、損傷したHDDからデータを取り出す「Hard Drive Data Recovery」、ノートPCのデータを安全に破壊する「Certified Data Destruction」などが含まれる。

米Dell、サポートにノートPC盗難対策を追加

週で1万2千台!も紛失してるんですか!!!

ノートPCの紛失・盗難が増加しており、同社の調査によると、米国空港では、多いときで週に1万2000台のPCが紛失しているという。

米Dell、サポートにノートPC盗難対策を追加

screenshot


[][]SANS代表が紹介:Webサイトやカスタムアプリの脆弱性を見つけるには - ITmedia エンタープライズ

SANS代表がWebアプリが攻撃を受けないためには、実装段階で脆弱性を排除すべきだと言っています。

「自社で用意したWebサイトアプリケーションが攻撃されないためには、実装段階で脆弱性を排除すべきだろう」――このほど来日した米SANS Instituteのアラン・パーラー代表は、急増する企業のWebサイトや特定アプリケーション脆弱性を狙った攻撃に対処策として、開発初期からセキュリティを強く意識していくことの重要性を呼びかけた。

SANS代表が紹介:Webサイトやカスタムアプリの脆弱性を見つけるには - ITmedia エンタープライズ

任意に抽出したWebサイトのうち86%にクロスサイトスクリプティングが存在したそうです。

どうやって検査したんだろうねぇ・・・任意に抽出=あるプログラムが動作しているだったりしてw

SANSが任意に抽出した約3万サイト脆弱性を調査したところ、約86%のサイトクロスサイトスクリプティング脆弱性が見つかった。「注目すべきことは、(サイト利用者が被害を受ければ)攻撃された企業自身にも責任が及ぶ点だ」とパーラー氏は話した。

SANS代表が紹介:Webサイトやカスタムアプリの脆弱性を見つけるには - ITmedia エンタープライズ

お高いでしょうが、Secure Defaultな企業にお願いしちゃうってのも一つの手か・・・

「例えばインドの開発受託大手のTata Consultancy Serviciesは、コンサルタント自身がSecure Programing Consortiumで安全なプログラミング技術を習得し、認定を受けている。開発品質を顧客に証明するのが狙いだ」(パーラー氏)。ドイツのSiemensもこうした活動へ熱心だという。

SANS代表が紹介:Webサイトやカスタムアプリの脆弱性を見つけるには - ITmedia エンタープライズ

screenshot


[][]パターンアップ-5.379.00

Trendmicroのパターンがアップしました。

パターン番号:5.379.00

イエローアラート:なし
アップデート理由:定期アップデート
新規対応
 特筆なし
亜種対応
 特筆なし

screenshot


[][]asahi.com(朝日新聞社):女子部員十数人に「マッサージ」 顧問教師わいせつ行為 - 社会

マッサージがわいせつになる例。

熊本県教委は1日、熊本市内の中学校の男性教師(35)が、顧問を務める運動部の女子生徒十数人に対し、マッサージと称して胸に触ったり服を脱がせたりするわいせつな行為をしたとして、この教師を懲戒免職処分とした。教諭は当初「部活を強くしたいと思っての指導の一環。度胸をつけさせるため服を脱がせた」と、わいせつ目的を否定したが、その後、「申し訳なかった」と話したという。

朝日新聞デジタル:どんなコンテンツをお探しですか?

screenshot


[][]富士ゼロックス、SMB向けの不正侵入防止サービスを開始 - ITmedia エンタープライズ

富士ゼロックスもIPSのサービスを開始するそうです。

ゼロックスがやると中小企業のプリンタを買う人向けに色々一緒に薦められるなぁ・・・既にあるUTMとあわせてIPSを追加できるというサービスだそうです。

富士ゼロックスは7月1日、中堅・中小企業向けのネットワークセキュリティ対策アウトソーシングサービス「beat」で、IPS(不正侵入防止)サービスの提供を開始した。

 新サービスは、既存のサービスであるファイアウォールやアンチウイルス、アンチスパイウェアなどの機能と併用できる。詳細なパケット解析や振る舞い検知技術を利用し、ファイル共有ソフトメッセンジャーソフトなどを悪用した攻撃や未知のマルウェアなどの侵入を防止する。

富士ゼロックス、SMB向けの不正侵入防止サービスを開始 - ITmedia エンタープライズ

関連URL

screenshot


[][]「本名」 はじめました。(もり ひろゆきの日々是勉強)

僕の場合はあまりにも、ハンドル名の浸透力が大きすぎて、本名が出てこないって問題もw

もう、どっちでもいいや!wみたいな。
昨日も、数人に「ま・・・・・○○さん」とか、「ハンドル名聞いて理解したわw」みたいな。

ひとつめは、あまり本名を伏せて活動する意味が徐々になくなってきた。

ご存じの方はご存じでしょうが、もうあちこちにバンバンと本名が出ておりますので、ここであえて本名を隠す理由もないなぁと以前から感じてはいたんですが、なかなかいい機会がなく、ずるずると来ておりました(^^;

「本名」 はじめました。

screenshot


[][]リモートからのコード実行に対処:AppleがMac OS Xのアップデート公開 - ITmedia エンタープライズ

MacOSXに複数の脆弱性が存在してアップデートが出ています。

Appleは6月30日、「セキュリティアップデート2008-004」とMac OS X 10.5.4を公開し、多数の脆弱性を修正した。Mac OS X 10.4.11と、Mac OS X 10.5〜10.5.3が対象となる。

 Appleのアドバイザリーによると、今回のアップデートでは計13項目、25件のセキュリティ問題に対処した。

 深刻な脆弱性が存在するのはLaunch Services、SMB File Server、System Configuration、VPN、WebKitなど。攻撃者がユーザーに悪質なWebサイトを閲覧させるなどの形でこれらの脆弱性を悪用すると、任意のコードを実行できてしまう恐れがある。

リモートからのコード実行に対処:AppleがMac OS Xのアップデート公開 - ITmedia エンタープライズ

セキュメモに一覧がまとめられていました。結構色々あるもんですねぇ・・・

  • Alias Manager - CVE-2008-2308。alias データ構造中の AFP ボリュームマウント情報の処理においてメモリ破壊する欠陥があり、悪意あるボリュームマウント情報を含む alias を処理すると任意のコードが実行される。Mac OS X 10.5.1 以前にのみ影響。
  • CoreTypes - CVE-2008-2309。潜在的に安全ではないとされるコンテントタイプ .xht および .xhtm がシステムに追加され、処理される前に警告が表示されるようになる。
  • c++filt - CVE-2008-2310。c++filt に format バグがあり、攻略文字列を渡すと任意のコードが実行される。Mac OS X 10.5.x にのみ影響。
  • Dock - CVE-2008-2314。 スリープスクリーンセイバーからの復帰時にパスワード入力が要求されており、かつホットコーナーが Expose に設定されている場合、物理アクセス可能な人物はパスワード入力なしでシステムにアクセスできる。Mac OS X 10.5.x にのみ影響。
  • Launch Services - CVE-2008-2311。シンボリックリンクダウンロード時検証に競合状態が存在、攻略 Web サイトが任意のコードを実行できる。Mac OS X 10.4.x にのみ影響。
  • Net-SNMP - CVE-2008-0960。SNMPv3 を実装した複数製品の認証回避の脆弱性に関する注意喚起の件。
  • Ruby - CVE-2008-2662 CVE-2008-2663 CVE-2008-2664 CVE-2008-2725 CVE-2008-2726。任意のコードが実行される脆弱性について (Ruby) の件。
  • Ruby - CVE-2008-1145。File access vulnerability of WEBrick の件。
  • SMB File Server - CVE-2008-1105。CVE-2008-1105: Boundary failure when parsing SMB responses can result in a buffer overrun の件。
  • System Configuration - CVE-2008-2313
  • Tomcat - CVE-2005-3164 CVE-2007-1355 CVE-2007-2449 CVE-2007-2450 CVE-2007-3382 CVE-2007-3383 CVE-2007-5333 CVE-2007-3385 CVE-2007-5461
  • VPN - CVE-2007-6276。VPN デーモン (vpnd) の accept_connections() に欠陥があり、攻略 UDP パケットにより異常終了。
  • WebKit - CVE-2008-2307。WebKit における JavaScript 配列の処理に欠陥があり、メモリ破壊が発生、攻略 Web サイトが任意のコードを実行できる。
    Mac OS X 10.5.x では Mac OS X v10.5.4 で修正される。 Mac OS X 10.4.x および Windows では Safari v3.1.2 において修正され (てい) る。
セキュリティホール memo - 2008.07

関連URL

screenshot


[][]第2回 いつも基本はパスワード管理:ITpro

徳丸さんの記事第2弾、はやっ!もう第2弾ですか!

今度はパスワード攻撃に関するあれこれのお話。

パスワードを知る手段としては,(1)ネットワーク盗聴,(2)総当たり的な試行,(3)ソーシャル・エンジニアリング的な手法などがあるが,インターネットからの攻撃の多くは(2)の総当たり的な試行によるものと考えられる。ネットワーク盗聴やソーシャル・エンジニアリングは,ある程度ターゲットを絞った攻撃に利用される。

改ざん攻撃はこう防げ!Webサイトの正しい守り方 - 第2回 いつも基本はパスワード管理:ITpro

2日間で26個では効率が良いのではないかなぁ?オフラインならねw

それでは,実際のパスワード攻撃の手口を見ていくことにしよう。「総当たり攻撃」と呼ばれる手法でも,すべての文字の組み合わせを機械的に試す方法では効率が悪い。先に紹介したネット証券の事例でも,手製のプログラムを2日間実行した結果,26人分のパスワードが得られたと報道されている。機械的な試行ではここまでの効率化は難しい。

改ざん攻撃はこう防げ!Webサイトの正しい守り方 - 第2回 いつも基本はパスワード管理:ITpro

パスワード辞書攻撃とかはアカウントロックが有効ですねぇ。

パスワードの総当たり攻撃に対しては,アカウント・ロックという手法が有力な対抗策となる。アカウント・ロックとは,一定回数以上認証に失敗した場合に,そのアカウントを一時的に使用停止する方法を指す。日常生活で言うと,銀行のキャッシュカードで3回以上続けて暗証番号を間違えると一時的にそのカードは使用できなくなる。これもアカウント・ロックの身近な例である。

改ざん攻撃はこう防げ!Webサイトの正しい守り方 - 第2回 いつも基本はパスワード管理:ITpro

Joeアカウントw。ユーザとパスワードが一緒のユーザ

よくないパスワードの代表例としてユーザーIDそのものをパスワードとして使用する場合がある。俗にJoeアカウント(Joe account)と呼ばれる。そんな馬鹿なものを使用するユーザーは稀だろうと思うかもしれないが,わざわざJoeアカウントという名前がついているくらいで,現実にはユーザーIDそのものをパスワードとして利用しているケースは多い。

改ざん攻撃はこう防げ!Webサイトの正しい守り方 - 第2回 いつも基本はパスワード管理:ITpro

この場合,一つのアカウントに対する認証エラーは高々一回のみであるので,単純なアカウント・ロックではこの攻撃に対する防御にはならない。

改ざん攻撃はこう防げ!Webサイトの正しい守り方 - 第2回 いつも基本はパスワード管理:ITpro

これはよく言われている攻撃。パスワード固定でユーザを変える攻撃です。

アカウント・ロックに対する回避策として,逆総当たり攻撃(Reverse Brute Force Attack)という手法がある。一般的な総当たり攻撃は,ユーザーIDを固定した上でパスワードを次々に取り替えるものだが,逆総当たり攻撃は,パスワードの方を固定して,ユーザーIDを順に試すものだ。

改ざん攻撃はこう防げ!Webサイトの正しい守り方 - 第2回 いつも基本はパスワード管理:ITpro

管理でFTPを使うのか不明だが、FTPはThe Internetに公開する必要はないよねぇ

FTPサーバーは一般ユーザーに公開するものではなく,特定の管理者が使用するものである。必ずしもインターネットにFTPを公開する必要はないはずだ。ところが現実には,Webサイトの管理用にFTPサーバーインターネットに公開されている例が多い。これはサイトの管理者やWebページのデザイン会社がWebサーバーとは別の場所にいるため,インターネット越しにFTPサーバーアクセスしているからである。

改ざん攻撃はこう防げ!Webサイトの正しい守り方 - 第2回 いつも基本はパスワード管理:ITpro

The Internetに接続しているサーバなら公開鍵認証とかは必須だと思いますよ。

SCPやSFTPってのがメインだと思ってたw

パスワード以外の認証方式を採用する

 サーバー管理にSSHを利用している場合,パスワード認証ではなく,公開鍵認証を使うようにすると安全性が高まる。SSHは仮想端末としての利用のほかに,ファイル転送の機能(SCP,SFTP)も用意されているので,TelnetやFTPの利用をやめ,SSH系の公開鍵認証に統一するべきだろう。

改ざん攻撃はこう防げ!Webサイトの正しい守り方 - 第2回 いつも基本はパスワード管理:ITpro

パスワードってのが、結局色々残ります、ミドルウエアのパスワードrootパスワードとか。

その場合はパスワードの質を高めるしかないですよね。
Revokeができるなら、あえて、ワンタイムパスワード(使い捨てパスワード)にしてしまうのも手ですね。(ミドルウエアのパスワードとか)

公開鍵認証など安全な認証方式が使用できない場合には,パスワードの質を高める。破られにくいパスワードのガイドラインは色々言われているが,(1)10文字以上程度の長さ,(2)単独の単語を避ける,(3)英字以外に数字や記号を混ぜる,という方法がよいだろう。

改ざん攻撃はこう防げ!Webサイトの正しい守り方 - 第2回 いつも基本はパスワード管理:ITpro

ikepyonさんのコメントとして、覚えられないパスワード対策ですが、確かに覚えられないw

紙に書くときシーザー暗号しちゃえ大作戦ですねw

難しいパスワードとなると脳の記憶容量の問題で覚えられないというのがあると思う。で、簡単なパスワードにしてしまうというのはありがち。

すべてにおいて難しいのが無理!と言うのであれば、リスクとの兼ね合いでリスクが高くないものはあえて特定のパターンのパスワードと言うのもありとは思う(推奨はしないけど)。パスワードが覚えられないと言うのであれば、パスワードをメモしておいて、メモを厳重に管理すると言うのも悪くはない方法(パスワードを付箋紙に書いておいてディスプレイに貼り付けると言うのはダメだよ)だとも思う。パスワードをメモしておく際に、特定のルールで記述すると言うのがよりベター。

あついあついあつい〜 - ikepyonのお気楽な日々〜技術ネタ風味〜

screenshot


[][][]日本のセキュリティチーム (Japan Security Team) : WSUS 3.0による更新の配信がブロックされる

WSUS 3.0でOffice2003 SP1の情報処理中に承認に不整合が出てしまって、更新が配信されないそうです。

Windows Server Update Services (WSUS) 3.0 および 3.0 SP1を使用して更新プログラムを配布している場合に、配信が正常に行われない可能性があることがわかりました。 この更新にはセキュリティ更新プログラムも含まれるため、本日この件に関して、セキュリティ アドバイザリ 954960 発行しました。

http://www.microsoft.com/technet/security/advisory/954960.mspx (英語)

http://www.microsoft.com/japan/technet/security/advisory/954960.mspx (日本語)

先日アドバイザリ 954474でお知らせしたSCCMの件とはまた別の事象となります。

http://blogs.technet.com/jpsecurity/archive/2008/07/01/3081199.aspx

現在調査中で今後アドバイザリ更新して、対応を早急にしていくみたいですね。

原因は、Office 2003 Service Pack 1 (UpdateID:c0a7445f-b989-43fa-ac20-11f8ca65fa8c)に関する情報を更新している過程で、WSUSの承認の状態に不整合が発生し、結果とし処理を停止してしまうことにあるようです。

この問題に合致する場合、セキュリティ情報にある手順を試すことで、この問題を解消できます。

現在引き続き調査を進めている状況ですので進捗に合わせて、アドバイザリを更新していくことになると思います。

http://blogs.technet.com/jpsecurity/archive/2008/07/01/3081199.aspx

関連URL

screenshot


[][]Tech・Ed 2008 Yokohamaの宿予約しました - インフラ管理者の独り言(はなずきん@酒好テム管理者)

いいなぁ、いいなぁ、TechED横浜行きたいなぁ!!!!

5250円で会場にあれより近いのか!!!!いいなぁ。

Tech・Ed 2008 Yokohamaの宿予約しました。 お金が無いので、去年まで一泊6,300円だったけど、今年は一泊5,250円。 でも、場所的には去年のところより会場に近くなった感じ。 これで心置きなく呑め...(以下略

Tech・Ed 2008 Yokohamaの宿予約しました - 家庭内インフラ管理者の独り言(はなずきんの日記っぽいの)

screenshot


[][]SANSとNRIセキュア、セキュア・プログラミング・スキル認定試験を12月より国内で実施 : セキュリティ・マネジメント - Computerworld.jp

あついあついあつい〜 - ikepyonのお気楽な日々〜技術ネタ風味〜経由)

SANSのセキュアプリグラミング試験を2008年12月から開始するそうです。

NRIセキュアテクノジーズがお手伝いして国内展開するそうです。

米国The SANS Instituteと同組織の国内活動拠点を置くNRIセキュアテクノロジーズは7月1日、セキュリティに配慮したプログラミングの知識・スキルを認定する「GIAC Secure Software Programmer試験」(以下、GSSP試験)の実施を今年12月より日本国内で開始すると発表した。両社によると、同試験は、セキュア・プログラミング・スキルに特化した、世界で唯一の認定試験であるという。

no title

57000円!!!まぢっすか!そんなの高くて、恐くて受けられないよ!

GSSP試験は、2007年8月の米国ワシントンD.C.での初実施以降、全米各地、英国ベルギーで実施され、試験問題の精査や翻訳などの作業を経て、日本でも実施されることになった。現在、世界で60以上の企業が同試験を活用し、技術者のスキルアップに取り組んでいるという。両社によると、国内での初回の試験は2008年12月13日を予定しており(受験料は5万7,000円)、年2回の実施を計画している。受験者は、開発言語を選択したうえで試験を受け、合格者にはGIAC認定が授与される。

no title

関連URL

screenshot


[][]OSC 2008 Kansai in Kyoto - naoyaのはてなダイアリー

はてなのこれまでのインフラや開発体制や環境の変化についてお話されるそうです!!!

7/18・19の二日間、京都でオープンソースカンファレンスが開催されます。自分も一枠、スピーチ枠をいただきました。はてな創業当時からこれまでの間、バックエンドシステム、開発体制や開発環境がどのように変遷してきたかを紹介させていただければと思っています。

株式会社はてな ではブログソーシャルブックマークなどをはじめとする ウェブサービスを提供しています。それらサービスの バックエンドシステムの構成、開発手法を、創業当時からの変遷を追いながら紹介していきます

オープンソースカンファレンス2008 Kansai - イベント案内 | 2008-07-19 (土): はてなのバックエンドシステムと開発手法、過去と今

オープンソースカンファレンス2008 Kansai - イベント案内 | 2008-07-19 (土): はてなのバックエンドシステムと開発手法、過去と今
OSC 2008 Kansai in Kyoto - naoyaのはてなダイアリー

screenshot


[][]広島 セキュリティもみじで講演します:2008-07-01 - luminのコードメモ

luminさんがセキュリティもみじで公演されるそうです。

Winny暗号はこうして解読したってのは、楽しそうだなぁ。

■ メイン講師 ■

●講演タイトル

Winnyを代表とするP2Pの傾向と対策

●講演内容

Winnyの暗号はこうして解読した。

Winny/Shareを使ってアップロードの証拠を確保する方法と対策。

WinnyなどのP2Pによる情報漏洩対策の実際と効果。

情報漏洩が発生したとき企業はどう対応しているのか。

2008-07-01 - luminのコードメモ

screenshot


[][]ユメのチカラ: 取締役退任。生涯一プログラマ宣言。

よっしーが、MiracleLinuxの取締役を退任してプログラマに戻ったそうです。

それがよっしー流、コミュニティとしてプログラマとして今後、大活躍されるそうですw

今後は一プログラマとして会社やコミュニティへ貢献していきたい。今年でわたしは50歳になる。いい年したおっさんである。とっとと技術屋なんかは引退してマネージメントの仕事でもしていろよという声も聞く。40代はミラクル・リナックスの取締役としての立場(?)もあったわけだが、それも退任したことだし、50代は、わがままを言って現役のプログラマに戻してもらった。はたしてプログラマとして使いものになるのか、ならないのか、不安がなくもない。この年で新しいことにチャレンジすることの難しさも知らないわけではない。

人生、綺麗事ばかりではない。いいこともあれば悪いこともある。上手くいくこともあれば上手くいかないこともある。成功もあれば失敗もある。家族には苦労をかけて申し分けないと思う。給料も役員報酬がなくなったので減ってしまった。子供の教育費も家のローンもある。

それでもと、思う。人生再チャレンジである。いくつになってもチャレンジである。

潔くない生き方かもしれない。ばたばた足掻いている。この歳でまだプログラマに拘るというのも相当見苦しい。でも、それがわたしなんだよなあと思う。

no title

Linusを呼ぶのは簡単ではないが不可能ではない、こんなよっしーの言葉すばらしいです。

カーネル読書会も続ける。このペースで開催していけば来年には100回になるだろう。第100回はゲストにLinusを呼びたいと思う。こんな事を言うと多くの人は笑う。だけど言葉にして言う。Linusを呼ぶことは簡単ではないけど不可能ではない。

no title

人とは違うがよっしー流。貫くのがよっしーって感じですよね。

よっしーのはてなより。

大学の同期にはわたしのような生き方をしているやつは一人もいない。転職をしたやつだって、そんなに多くはない。

同世代の典型的なライフスタイルとは随分はづれてしまった歩み方をしている。いろいろあったしこれからもいろいろあるだろう。だけど自分で選らんだ道である。少しでも前に進みたいと思う。

2008-07-01 - 未来のいつか/hyoshiokの日記

本当に家族に感謝ですよね、僕も昨日から転職で何も言わず支えてくれている家族に感謝です。

家族には本当に迷惑をかけている。申し分けない気持でいっぱいだが、我儘を聞いてくれて感謝している。

これからもよろしくお願いいたします。

2008-07-01 - 未来のいつか/hyoshiokの日記

screenshot


[][]Mint's log: タイムキーパーから見た良いプレゼン・悪いプレゼン

(はせがわさんのブックマークより)

時間は定期的に確認してゆっくり話したり、早めに飛ばし始めたり結構難しいですがやらないけませんね

そのためにも数回の事前プレゼンは必須ですし、事前プレゼンは観客が居たほうがベターですね。
司会、タイムキーパーに目で合図・・・はがんばって心得ます。。。

プレゼンテーションをうまく見せるコツ・本番編

  • 自分のスピーチ中
    • 常に残り時間を気にする。時計を見るときは視線の動きが不自然にならないようにする。
    • プレゼンの途中で質問に答えるのは疑問点を解消しておくという点でいいことだが、時間をとりすぎてしまうのは困りもの。ややこしい質問・関係ない質問をしてくる相手に対しては「その質問は最後にお答えします」と言って先に進めばよい。
  • 万が一制限時間を超過したら
    • 時間になりましたので」と自分で締める。司会者にカットされるのは見栄えが悪い。
    • 観客が「もっと聞きたい」という雰囲気の場合に限り、空気を読んで少し時間超過するのは構わない。このとき司会・タイムキーパーと必ず目を合わせておくこと。慣れたタイムキーパーはちゃんと心得てくれる。
    • 終わりに「少し時間をオーバーして失礼しました」と詫びるのは良いが、「質問が多かったので」「機械の調子が悪くて」など言い訳をするのは蛇足。理由はどうあれ、時間管理はスピーチをする人の責任です。
Mint’s log: タイムキーパーから見た良いプレゼン・悪いプレゼン

screenshot


[][]講師・実行委員|セキュリティ&プログラミングキャンプ2008

2008-07-01 - 情報てとりす。経由)

今年のセキュリティキャンプ2008の講師陣が出ています。はせがわさん初講師参戦、Blueタソやすたっきーまで。

ぇーーーーっ!!!はせがわさんってネットエージェントだったの!(おどろき(棒読み
すたっきー(以下略w

セキュリティコース  

園田道夫(主査) サイバー大学
伊原秀明Ji2,Inc.日本オフィス
上野 宣 株式会社トライコーダ
岡田良太郎 株式会社テックスタイル
国分 裕 三井物産セキュアディレクション株式会社
塩月誠人合同会社セキュリティ・プロフェッショナルズ・ネットワーク
滝崎芳枝サイバー大学
田口裕也日本オラクル株式会社
竹迫良範サイボウズ・ラボ株式会社
根津研介NTTデータ先端技術株式会社
はせがわようすけ ネットエージェント株式会社
濱本常義株式会社エネルギア・コミュニケーションズ
宮本久仁男 株式会社NTTデータ
村上純一株式会社フォティーンフォティ技術研究所
望月 岳 三井物産セキュアディレクション株式会社
吉田英二合同会社セキュリティ・プロフェッショナルズ・ネットワーク
渡辺勝独立行政法人理化学研究所情報基盤センター
no title

やたさんから、確かに社名が一歩前に!行ってますねw

一人だけ「全部ひらがな」な上に、「社名の所のインデントがずれている」人がいますね。

さすがです。誰もマネできませんw

2008-07-01 - 情報てとりす。

screenshot


[][]サーバメンテナンスのお知らせ(2008年7月11日):サポート情報 : トレンドマイクロ

Trendmicroのサイトが定期メンテナンスだそうです。最新版ダウンロードが厳しいけど、まぁ夜中だしね。大丈夫か

サービス停止時間2008年 7月11日(金) 0:00 〜8:30
停止するサービス
ウイルスバスタークラブサイト
Trend Flex Securityサイト
オンライン登録
メールアドレス登録・変更フォーム
シリアル番号確認フォーム
お客さま番号お問い合わせフォーム
契約窓口変更/サポート窓口変更フォーム
発送物未到着確認フォーム
シリアル番号/アクティベーションコード確認フォーム
最新版ダウンロード
サポートセンター受付フォーム
法人カスタマーサイト
企業向けユーザ登録
メール配信サービスお申し込みフォーム
顧客満足度アンケート
トレンドマイクロモバイルサービス
Press Web
Press 発表会受付フォーム
Partner Web
メール配信サービスお申し込みフォーム
サポートセンター終了確認Web
ウイルス対策情報サービス
オンラインユーザ登録ができなくなる製品
 ウイルスバスター 2008
ウイルスバスター 2007
ウイルスバスター 14
ウイルスバスター 12
ウイルスバスター レンタル版
ウイルスバスター 期間限定版
ウイルスバスター 更新パック
サポート情報 | トレンドマイクロ

screenshot


[][]2009年上半期(1月〜6月)のサポートサービス終了予定製品のお知らせ:サポート情報 : トレンドマイクロ

ウイルスバスタCorp7.0がもうサポート終了か。あとIMSS 5.11 Solarisは影響大きそうですねぇ。

2009年上半期(1月〜6月)にサポートサービス提供期間が終了となる製品についてお知らせいたします。

終了を予定している製品は以下のとおりです。

※前回のニュース(2008年下半期)はこちら

サポート終了月終了日サポート終了予定製品バージョン
2009年3月18日InterScan Messaging Security Suite Solaris5.11
 31日Trend Micro Client/Server Security2.0
4月4日ウイルスバスター コーポレートエディション7.0
6月19日Trend Micro Network VirusWall 25001.5 / 1.8
  Trend Micro Network VirusWall 12001.1/1.2/1.3
サポート情報 | トレンドマイクロ

screenshot


[][][]米国に「TrendLabs USA」を設立 〜フィリピンのTrendLabsと連携し、不測の事態が発生した場合にも安定したサービスを提供〜:ニュースリリース - 2008/7/1 | 会社情報 : トレンドマイクロ

TrendLabsにUSAが出来たそうです。単価が高いのにがんばるなぁ>Trendさん

アジア夜時間もこれで、対応できる上に土地的な問題(地震鳥インフルエンザ)が起こっても、冗長体制で運用できるそうです。

このたび本格稼動する「TrendLabs USA」は、フィリピンの「TrendLabs」と連携し、冗長性の高いサービス提供を実現します。第一段階として本日より、アジアの夜時間において「TrendLabs USA」からウイルス検出・駆除パターンファイルスパイウェア対策パターンファイルの作成と配信を実施します。第二段階として、今後1年以内に「Webからの脅威」に対抗するWebレピュテーション技術を含む、すべてのサービス(※1)を双方の拠点から提供します。なお、サービス提供に関連するデータのすべては双方の拠点で同期されており、「TrendLabs USA」においても「TrendLabs」と同等の品質保証体制を維持します。

プレスリリース | トレンドマイクロ

関連URL

screenshot


当ページでは、掲載内容による不具合、問題に関する責任もちません、内容が正確である保障もできません。m(__)m
各自の自己責任で、情報の確認をお願いします

毎日のトップに掲載されている今日の記念日は、MIEさんのページから頂いております。ありがとうございます。