セキュリティ翻訳(番外編)

Tales from the Crypt
http://www.symantec.com/connect/blogs/tales-crypt

セキュリティ翻訳(番外編)

Gumblar Reloaded
http://blogs.iss.net/archive/GumblarReloaded.html

セキュリティ翻訳(番外編)

Mozilla Plugin Check Now
http://blog.mozilla.com/security/2009/10/13/mozilla-plugin-check-now-live/

Security decision methods poll Results
http://securityblog.verizonbusiness.com/2009/10/12/decision-methods-poll-results/

セキュリティ翻訳(番外編)

Inside Trojan.Clampi: Network Communication
http://www.symantec.com/connect/blogs/inside-trojanclampi-network-communication

Inside Trojan.Clampi: The Logger Module
http://www.symantec.com/connect/blogs/inside-trojanclampi-logger-module

セキュリティ翻訳(番外編)

Rebranded Rogue Anti-Virus Strikes Again
http://www.avertlabs.com/research/blog/index.php/2009/09/30/rebranded-rogue-anti-virus-strikes-again/

Malware and standards - is it possible?
http://www.avertlabs.com/research/blog/index.php/2009/10/01/malware-and-standards-is-it-possible/

セキュリティ翻訳(番外編)

Inside the Password-Stealing Business
http://www.avertlabs.com/research/blog/index.php/2009/09/24/inside-the-password-stealing-business/

W32/Xpaj: Know Your Polymorphic Enemy
http://www.avertlabs.com/research/blog/index.php/2009/09/21/w32xpaj-know-your-polymorphic-enemy/

セキュリティ翻訳(番外編)

DDoS Response: Part 1
http://www.avertlabs.com/research/blog/index.php/2009/09/08/ddos-response-part-1/

DDoS Response: Part 2
http://www.avertlabs.com/research/blog/index.php/2009/09/08/ddos-response-part-2/

セキュリティ翻訳(番外編)

Task Manager Still Working? Can You Change Your Windows Password?
http://www.avertlabs.com/research/blog/index.php/2009/09/01/task-manager-still-working-can-you-change-your-windows-password/

Spoofing Around the URLs
http://www.symantec.com/connect/blogs/spoofing-around-urls

セキュリティ翻訳(番外編)

Zeus, King of the Underground Crimeware Toolkits
http://www.symantec.com/connect/blogs/zeus-king-underground-crimeware-toolkits

Waledac, Part 3: A Spammer, Downloader, and Infostealer―Among Other Things
http://www.symantec.com/connect/blogs/waledac-part-3-spammer-downloader-and-infostealer-among-other-things

セキュリティ翻訳(番外編)

Email Client Fraud
http://www.symantec.com/connect/blogs/email-client-fraud

Introducing the IEEE Industry Connections Security Group
http://www.avertlabs.com/research/blog/index.php/2009/08/17/introducing-the-ieee-industry-connections-security-group/

セキュリティ翻訳(番外編)

Collateral Damage
http://www.avertlabs.com/research/blog/index.php/2009/08/07/collateral-damage/

Spammers Exploring New File Formats
http://www.symantec.com/connect/blogs/spammers-exploring-new-file-formats

Waledac, Part 2: Its Bootstraps and Armor
http://www.symantec.com/connect/blogs/waledac-part-2-its-bootstraps-and-armor

セキュリティ翻訳(番外編)：いろいろ

Put Your Passwords on a Post-it
http://www.f-secure.com/weblog/archives/00001691.html

Who digs the elephant trap?
http://www.avertlabs.com/research/blog/index.php/2009/05/28/who-digs-the-elephant-trap/

Web 2.0 and Cyberterrorism
http://securitylabs.websense.com/content/Blogs/3404.aspx

Complex obfuscated PDF exploit
http://securitylabs.websense.com/content/Blogs/3411.aspx

Gumblar - An Update
http://securitylabs.websense.com/content/Blogs/3414.aspx

Avoid Housecalls From Rogue ‘Malware Doctor’
http://www.avertlabs.com/research/blog/index.php/2009/06/05/yet-another-rogue-security-program/

ATM Malware Makes Withdrawals in Russia
http://www.avertlabs.com/research/blog/index.php/2009/06/10/atm-malware-makes-withdrawals-in-russia/

Symantec Not Capable of Detecting "Conflicker"?
https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/276

“Google Sponsored Links” Sponsor Misleading Websites Blacklisted By Google
https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/security_risks/article-id/60

Shutting Down XSS with Content Security Policy
http://blog.mozilla.com/security/2009/06/19/shutting-down-xss-with-content-security-policy/

DirectShow Exploit In the Wild
https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/vulnerabilities_exploits/article-id/198

DirectShow Exploit In the Wild, Part II
https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/vulnerabilities_exploits/article-id/199

Nonstop Web Site Re-Infections
http://securitylabs.websense.com/content/Blogs/3425.aspx

Image Spam DejaVu
http://www.symantec.com/connect/blogs/image-spam-deja-vu

@BlogAudience: MoTB Follows Limited Disclosure Approach to Twitter Vulnerabilities
http://www.symantec.com/connect/blogs/blogaudience-motb-follows-limited-disclosure-approach-twitter-vulnerabilities

FakeAlerts Uncovered
http://www.avertlabs.com/research/blog/index.php/2009/07/02/fakealerts-uncovered/

Generic Rootkit.d Strikes Again in New Variant
http://www.avertlabs.com/research/blog/index.php/2009/06/29/a-new-variant-of-generic-rootkitd/

New Attacks Against Internet Explorer
http://www.avertlabs.com/research/blog/index.php/2009/07/06/new-attacks-against-internet-explorer/

SWF Flash Exploits: Old Wine in a New Bottle
http://www.avertlabs.com/research/blog/index.php/2009/07/07/swf-flash-exploits-old-wine-in-a-new-bottle/

"Text with Tables" Technique for Evading Spam Filters
http://www.symantec.com/connect/blogs/text-tables-technique-evading-spam-filters

ISO/IEC 27005:2008 ? A New Standard for Security Risk Management
http://www.symantec.com/connect/blogs/isoiec-270052008-new-standard-security-risk-management

Koobface Worm Turns Toward Twitter
http://www.avertlabs.com/research/blog/index.php/2009/07/13/koobface-worm-turns-toward-twitter/

Life's Not Easy When You're A Web Browser
http://www.symantec.com/connect/blogs/life-s-not-easy-when-you-re-web-browser

ISO/IEC 27005:2008 - A New Standard for Security Risk Management
http://www.symantec.com/connect/blogs/isoiec-270052008-new-standard-security-risk-management

Koobface Worm Turns Toward Twitter
http://www.avertlabs.com/research/blog/index.php/2009/07/13/koobface-worm-turns-toward-twitter/

Life's Not Easy When You're A Web Browser
http://www.symantec.com/connect/blogs/life-s-not-easy-when-you-re-web-browser

Next-Generation Flash Vulnerability
http://www.symantec.com/connect/blogs/next-generation-flash-vulnerability

Anatomy of a SMSishing Attack
http://www.symantec.com/connect/blogs/anatomy-smsishing-attack

Malware Is Their Business…and Business Is Good!
http://www.avertlabs.com/research/blog/index.php/2009/07/22/malware-is-their-businessand-business-is-good/

Locking up the valuables: Opt-in security with ForceTLS
http://blog.mozilla.com/security/2009/07/27/locking-up-the-valuables-opt-in-security-with-forcetls/

Q2 Threats Report Released-It's All About Botnets and Spam
http://www.avertlabs.com/research/blog/index.php/2009/07/28/q2-threat-report-released-and-its-all-about-botnets-and-spam/

.NET Malware - Looking Forward to Windows 7?
http://www.symantec.com/connect/blogs/net-malware-looking-forward-windows-7

セキュリティ翻訳(番外編)

The Sincerest Form of Flattery
http://securitylabs.websense.com/content/Blogs/3397.aspx

The Trick Behind the Scenes
https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/271

FakeAlert Trojan Holds Systems For Ransom
http://www.avertlabs.com/research/blog/index.php/2009/05/12/fakealert-trojan-holds-systems-for-ransom/

Gumblar - An Analysis and History
http://securitylabs.websense.com/content/Blogs/3401.aspx

Malicious IFrame on Gadgetadvisor.com
http://www.f-secure.com/weblog/archives/00001687.html

The Rise of Low-Tech Attacks
https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/online_fraud/article-id/110

セキュリティ翻訳(番外編)

SQL Injection Lessons from X-Force Emergency Response Service Investigations
http://blogs.iss.net/archive/sql-injection-ers.html

On Clouds and The Evolving Role of the CISO
http://securityblog.verizonbusiness.com/2009/05/06/on-clouds-and-the-evolving-role-of-the-ciso/

セキュリティ翻訳(番外編)：連休前に棚卸し

Google Trends Abused to Serve Malware
http://www.avertlabs.com/research/blog/index.php/2009/02/25/google-trends-abused-to-serve-malware/

For Love or Money―Social Engineering by W32.Ackantta.B@mm
https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/247

Tiny Media
http://securityblog.verizonbusiness.com/2009/03/02/tiny-media/

Renamed Notepad.exe Plagues Removable Drives
http://www.avertlabs.com/research/blog/index.php/2009/03/04/renamed-notepadexe-plagues-removable-drives/

RSA 2009 - Security Ergonomics & back-office anti-fraud protection techniques
http://blogs.iss.net/archive/RSA2009SecurityErgon.html

SQL Servers Still a Good Target, Says Spybot
https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/250

Who redirected us to the shellcode?
http://securitylabs.websense.com/content/Blogs/3317.aspx

Malcrafted SWF Threat in the Wild
http://securitylabs.websense.com/content/Blogs/3318.aspx

W32.Downadup.C Bolsters P2P
https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/253

How hard is it to come up with a good password?
http://securityblog.verizonbusiness.com/2009/03/19/how-hard-is-it-to-come-up-with-a-good-password/

What you see is NOT what you get
http://www.avertlabs.com/research/blog/index.php/2009/03/28/what-you-see-is-what-you-may-not-get/

Linux.Psybot―Is Your Router Secure?
https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/257

W32.Downadup.C Pseudo-Random Domain Name Generation
https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/258

Google Searching for Madoff’s Yacht Leads to Fake Anti-Virus and Malware
http://www.avertlabs.com/research/blog/index.php/2009/04/03/google-searching-for-madoffs-yacht-leads-to-fake-anti-virus-and-malware/

Ghostnet Toolset―Back Door at the Click of a Button
https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/259

Persistent Infection
https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/grab_bag/article-id/111

Targeted Attacks Use “Recession Relief” Theme
http://securitylabs.websense.com/content/Blogs/3340.aspx

W32/Winemmem - Know Your Enemy
http://www.avertlabs.com/research/blog/index.php/2009/04/09/w32winemmem-know-your-enemy/

The Price of Fame
https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/grab_bag/article-id/112

Outsourcing Security Monitoring
https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/it_risk_management/article-id/29

Ongoing problems at Twitter
http://www.f-secure.com/weblog/archives/00001654.html

When you’re pwned, you’re pwned. Any questions?
http://securityblog.verizonbusiness.com/2009/04/17/when-youre-pwned-youre-pwned-any-questions/

Local Phishing Using HTML Attachments
https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/online_fraud/article-id/108

StealthMBR gets a makeover
http://www.avertlabs.com/research/blog/index.php/2009/04/19/stealthmbr-gets-a-makeover/

セキュリティ翻訳(番外編)：Downadupの副作用と怪しいPDF文書

今回は、その1が「Downadup: Locking Itself Out」、その2が「New BackDoor Attacks Using PDF Documents」。

1つ目は、「DownadupがほかのWindowsパソコンなどへ感染しようとパスワード試行を繰り返すため、組織内でWindowsアカウント無効化という副作用が発生している」という話。

2つ目は、怪しいPDF文書の話で、相変わらずの内容です。

Downadup: Locking Itself Out
https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/243

New BackDoor Attacks Using PDF Documents
http://www.avertlabs.com/research/blog/index.php/2009/02/19/new-backdoor-attacks-using-pdf-documents/

Bruce SchneierのCrypto-Gram：データ流出の報告義務付け法

アメリカのいくつかの州では、顧客情報を流出させた企業などに関係者へ報告するよう義務付けています。今回の「Breach Notification Laws」は、この法律の効果がテーマ。

結論は、多少の効果はあるけれど、根本的に対策するには流出したデータを安易に使えなくしなければならない、というもの。つまり、簡単な認証データがばれただけで悪用されるクレジット・カードや銀行口座をなんとかしなさい、というわけです。難しいなぁ。

Breach Notification Laws
http://www.schneier.com/crypto-gram-0902.html#7

セキュリティ翻訳(番外編)：相変わらずDownadupワームが話題

Cybercrime, Online Threats, and the Recession
http://www.avertlabs.com/research/blog/index.php/2009/02/06/cybercrime-online-threats-and-the-recession/

The way to a zero-day
http://securitylabs.websense.com/content/Blogs/3294.aspx

Web 2.0 Phishing leading to Multi-vector Attacks - Part 1
http://securitylabs.websense.com/content/Blogs/3295.aspx

Web 2.0 Phishing Leading to Multi-vector Attacks - Part 2
http://securitylabs.websense.com/content/Blogs/3296.aspx

Anti-virus Vendors Succumbing to SQL Injection
http://blogs.iss.net/archive/HackersblogSQLInject.html

Trojan Bundles Legit Social-Network Toolbar with Backdoor
http://www.avertlabs.com/research/blog/index.php/2009/02/10/trojan-bundles-legit-social-network-toolbar-with-backdoor/

Coalition Formed in Response to W32.Downadup
https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/241

セキュリティ翻訳(番外編)：Downadupワームが蔓延?

今回は、その1が「Pay to install free software」、その2が「Downadup: Attempts at Smart Network Scanning」、その3が「Downadup: Small Improvements Yield Big Returns」。

1つ目は、「無料ソフトなのになぜか有料でダウンロード提供する怪しいサイトがある」という話。マルウエェアの拡散を狙っているわけでなく、小金を稼ごうというセコイ悪党らしい。もっとも、怪しいところから入手するソフトは危険なので、近いうちに金銭云々どころの被害では済まなくなる事態が発生するだろうな。

2つ目と3つ目は、いずれも猛威をふるっているらしいワームDownadupの話。注意しましょう。

Pay to install free software
http://www.avertlabs.com/research/blog/index.php/2009/01/23/pay-to-install-free-software/

Downadup: Attempts at Smart Network Scanning
https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/233

Downadup: Small Improvements Yield Big Returns
https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/230

セキュリティ翻訳(番外編)：いろいろ

今回は、その1が「Calculating the Size of the Downadup Outbreak」、その2が「Conficker Worm using Metasploit payload to spread」、その3が「How Phishes Reach the Basket」。

1つ目は、「『Downadup』というマルウェア(ワーム?)に感染しているPCの台数をどうやって割り出したか」という話。まぁ、細かいことはいろいろあるものの、広まりまくっているようです。

2つ目は、「ワーム『Conficker』がセキュリティ検査ツール『Metasploit』のコードを拡散手段として流用している」という話。痛し痒し。

3つ目は、「フィッシング犯が盗んだデータをどうやって送信するか」という話。小ネタとしてどうぞ。

Calculating the Size of the Downadup Outbreak
http://www.f-secure.com/weblog/archives/00001584.html

Conficker Worm using Metasploit payload to spread
http://www.avertlabs.com/research/blog/index.php/2009/01/15/conficker-worm-using-metasploit-payload-to-spread/

How Phishes Reach the Basket
https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/online_fraud/article-id/102

Bruce SchneierのCrypto-Gram：SSL証明書が偽造されたって気にすることないぜ

久々の今回は「Forging SSL Certificates」。巷で話題のSSL証明書の偽造ですが、Schneierらしく「そんなことは気にしなくてよい」とばっさり。

確かに彼の指摘通り、SSL証明書がめちゃくちゃなサイトは溢れているから、今さらどうということもないですね。

Forging SSL Certificates
http://www.schneier.com/crypto-gram-0901.html#3

セキュリティ翻訳(番外編)：いろいろ

今回は、その1が「Initial assessment of rogue certificate authority risk」、その2が「Curse of Silence, a Symbian S60 SMS Exploit」、その3が「Google Code Project Abused by Spammers」、その4が「Inside The Malicious Traffic Business」。

1つ目は、一部で話題になっている「SSL証明書偽造」の話。差し迫った危機があるわけじゃないけれど、ハッシュ関数が破られているのは事実だから、徐々に問題になるかな。

2つ目は、「Symbian S60」に存在するセキュリティ・ホールの話。これまた大問題ではないものの、困ったことではある。

3つ目は、「Google Codeがマルウェア配布に悪用される例が急増した」という話。悪人どもにも流行があるようです。

4つ目は、「偽ビデオ・コーデックを配布する裏の仕組み」について。悪人どももいろいろと工夫をしています。

Initial assessment of rogue certificate authority risk
http://securityblog.verizonbusiness.com/2008/12/31/rogue-ca-initial-assessment/

Curse of Silence, a Symbian S60 SMS Exploit
http://www.f-secure.com/weblog/archives/00001569.html

Google Code Project Abused by Spammers
http://www.avertlabs.com/research/blog/index.php/2009/01/07/google-code-project-abused-by-spammers/

Inside The Malicious Traffic Business
http://www.avertlabs.com/research/blog/index.php/2009/01/05/inside-the-malicious-traffic-business/

セキュリティ翻訳(番外編)：2008年の未掲載分を棚卸し

Web Attacks Using Microsoft Help and Support Center Viewer
https://forums.symantec.com/syment/blog/article?blog.id=vulnerabilities_exploits&message.id=172#M172

First Glimpse into MS08-067 Exploits In The Wild
http://www.avertlabs.com/research/blog/index.php/2008/10/24/first-glimpse-into-ms08-067-exploits-in-the-wild/

Spammers Abusing Microsoft
http://securitylabs.websense.com/content/Blogs/3219.aspx

Beating the Man-in-the-browser with a ZTIC
http://blogs.iss.net/archive/ZTIC.html

Stopping PDF Malware At The Network
http://blogs.iss.net/archive/MaliciousPDF.html

Microsofts 5th Security Intelligence Report
http://securityblog.verizonbusiness.com/2008/11/05/microsofts-5th-security-intelligence-report/

CSI 2008 - Web Security, Cloud Computing and the Man-in-the-browser
http://blogs.iss.net/archive/CSI2008.html

Intrepid iPhone developers bypass security for functionality
http://www.avertlabs.com/research/blog/index.php/2008/11/15/intrepid-iphone-developers-bypass-security-for-functionality/

Top To Bottom Breakdown: From Injected Code to Malcode Analysis
http://securitylabs.websense.com/content/Blogs/3239.aspx

The Rise in Autorun-Based Malware
http://www.avertlabs.com/research/blog/index.php/2008/11/20/the-rise-in-autorun-based-malware/

Increase in Exploit Attempts Against MS08-067
https://forums.symantec.com/syment/blog/article?blog.id=vulnerabilities_exploits&thread.id=178

From Virus to Parasite ? The Parasitic Era of Malware
http://blogs.iss.net/archive/ParasiticEra.html

McColo Takedown: Changes in International Spam Distribution and Asprox Botnet Activity
http://blogs.iss.net/archive/mccolo.html

Symantec Report on the Underground Economy ? Malicious Tools
https://forums.symantec.com/syment/blog/article?blog.id=istr&message.id=12#M12

Fake-Alert Tour Driven by Malware Team
http://www.avertlabs.com/research/blog/index.php/2008/12/04/beware-of-fake-alert-tour-driven-by-malware-team/

AutoPlay Worms
https://forums.symantec.com/syment/blog/article?blog.id=malicious_code&thread.id=222

Economic crisis could dramatically improve security in 2009
http://securityblog.verizonbusiness.com/2008/12/03/crisis-could-improve-security-in-2009/

Apparently Hackers Have Been Helping to Destroy the Amazon Rainforest
http://blogs.iss.net/archive/RainforestHackers.html

Click The Link Below: The Bad Habits That Create New Victims Of Online Fraud
http://www.avertlabs.com/research/blog/index.php/2008/12/11/click-the-link-below-the-bad-habits-that-create-new-victims-of-online-fraud/

セキュリティ翻訳(番外編)：クリックジャッキングに注意しろって言われてもねぇ

今回は、その1が「Surge in Facebook Malware」、その2が「Clickjacking」、その3が「A non sequitur that should not Endure」。

1つ目は、「Facebookを使って拡散しようとするマルウェアが増加」という話。結局のところ、よく分からないリンクをむやみにクリックするな、というだけだなぁ。

2つ目は、「ユーザーがクリックしようとしたものと別のものをクリックさせるクリックジャッキング」の話。なかなかこの攻撃を防ぐのは難しい。

3つ目は、つまらなかった。要は「自分たちの報告書が紹介されたけど、趣旨が取り違えられた」という愚痴。

Surge in Facebook Malware
http://www.f-secure.com/weblog/archives/00001517.html

Clickjacking
http://www.avertlabs.com/research/blog/index.php/2008/10/15/clickjacking/

A non sequitur that should not Endure
http://securityblog.verizonbusiness.com/2008/10/16/a-non-sequitur-that-should-not-endure/

セキュリティ翻訳(番外編)：漢字CAPTCHAって駄目かなぁ

今回は「Cracking CAPTCHA: Another Russian Business」だけ。CAPTCHA破りの手口や背後にいる組織に関する話題で、結構楽しめた。

ところで、発展途上国の人による人海戦術でCAPTCHAを破るって企みは、漢字や日本固有のカタカナを組み合わせたCAPTCHAでそこそこ防げないかなぁ。もちろん100%対抗できるわけなどないけれど、ちょっとした手間でかなり効果を高められそうな気がする。

Cracking CAPTCHA: Another Russian Business
http://www.avertlabs.com/research/blog/index.php/2008/10/10/cracking-captcha-as-a-business/

セキュリティ翻訳(番外編)：いろいろ

JavaScript Injection Attack
http://www.f-secure.com/weblog/archives/00001502.html

Wget Denied
http://securitylabs.websense.com/content/Blogs/3183.aspx

The Perils Of Leaving Wi-Fi Networks Unsecured
http://www.avertlabs.com/research/blog/index.php/2008/09/15/the-perils-of-leaving-wi-fi-networks-unsecured/

How Malware Expands A Phishing Network
http://securitylabs.websense.com/content/Blogs/3194.aspx

Security ROI - Time to think Differently
http://securityblog.verizonbusiness.com/2008/09/26/security-roi-time-to-think-differently/#more-143

Threats that come along with SNS websites
http://www.avertlabs.com/research/blog/index.php/2008/09/29/threats-that-come-along-with-sns-websites/

The (File)Name Game!
https://forums.symantec.com/syment/blog/article?blog.id=security_risks&message.id=51

Spammers Abusing Google's Web 2.0 services
http://securitylabs.websense.com/content/Blogs/3200.aspx

セキュリティ翻訳(番外編)：「Google Chrome」を使うのは待った方がよいよ

今回は、その1が「Google Chrome and the 404」、その2が「The darksides domains」、その3が「Misleading Application Targets Free Online Services」、その4が「Robot Dog: Recovery Software Penetrating Virus」、その5が「If RBN is dead, their customers are still alive」、その6が「Recovering (someone else's) Email Password」。

1つ目は、話題のGoogle製Webブラウザにちょっと嫌らしいセキュリティ侵害機能があるという話。新しいものに飛びつくのは危ないし、そもそもGoogleって企業には警戒しておいた方がよいと思う。

2つ目は、フィッシング・サイトなどを運営する悪人に加担するISPなどの話。これっぽっちも罪悪感など感じていない連中だから、どうしようもないな。

3つ目は、無料のオンライン・サービスにはさまざまな罠が仕掛けられているから、注意しようね、という話。

4つ目は、中国のインターネット・カフェで「Robot Dog」というウィルス(厳密な意味でのウィルスらしい)が広まりつつあるらしい。

5つ目は、2つ目の話題から派生して、悪人はいなくならない、という話。

6つ目は、他人のメール・アカウントにアクセスするパスワードを調べる怪しいサービスの話。

Google Chrome and the 404
http://www.avertlabs.com/research/blog/index.php/2008/09/04/google-chrome-and-the-404/

The darksides domains
http://www.avertlabs.com/research/blog/index.php/2008/09/04/the-darksides-domains/

Misleading Application Targets Free Online Services
https://forums.symantec.com/syment/blog/article?blog.id=security_risks&message.id=49#M49

Robot Dog: Recovery Software Penetrating Virus
http://securitylabs.websense.com/content/Blogs/3182.aspx

If RBN is dead, their customers are still alive
http://www.avertlabs.com/research/blog/index.php/2008/09/12/if-the-rbn-is-died-its-customers-are-still-alive/

Recovering (someone else's) Email Password
http://blogs.iss.net/archive/PasswordRecovery.html

セキュリティ翻訳(番外編)：いろいろ

今回は、その1が「Virtual worlds, real attacks」、その2が「PCI-DSS Version 1.2 - Changes Forthcoming」、その3が「Security Bugs Vs. Regular Bugs」。

Virtual worlds, real attacks
http://www.avertlabs.com/research/blog/index.php/2008/08/28/virtual-worlds-real-attacks/

PCI-DSS Version 1.2 - Changes Forthcoming
https://forums.symantec.com/syment/blog/article?blog.id=evolution_of_security&message.id=24#M24

Security Bugs Vs. Regular Bugs
https://forums.symantec.com/syment/blog/article?blog.id=evolution_of_security&message.id=25#M25

セキュリティ翻訳(番外編)：性悪Flashリダイレクタが増えているらしい

今回は、その1が「Malicious Flash redirectors」、その2が「Tall Latte, Hold the Malware」、その3が「More Than a Toolbar」。

1つ目は、「Flashアプリケーションを使って攻撃用Webサイトへアクセスを転送するリダイレクタ」の話。Flashリダイレクタってものが増えているそうだけど、要は怪しいコンテンツに気安くアクセスするな、ってことだよね。

2つ目は、「カフェにはITガジェットを狙った罠がたくさんある」という話。偽Wi-Fiアクセス・ポイント、無線通信の盗聴、Bluetoothの不正接続などなど。

3つ目は、「eBayツールバーを装ったマルウエア」の話。何かをダウンロードしてくるときは、信頼できるサイトを使うのはもちろん、普段アクセスしているサイトでも、本物のサイトかどうか毎回確認しよう。

Malicious Flash redirectors
http://securitylabs.websense.com/content/Blogs/3165.aspx

Tall Latte, Hold the Malware
https://forums.symantec.com/syment/blog/article?blog.id=mobile_wireless&message.id=51#M51

More Than a Toolbar
http://www.avertlabs.com/research/blog/index.php/2008/08/19/more-than-a-toolbar/

セキュリティ翻訳(番外編)：またもや棚卸し

Mid-Year Threat Report
http://blogs.iss.net/archive/2008midyXFTrendRepor.html

Safe Summer Travels on the Information Superhighway
https://forums.symantec.com/syment/blog/article?message.uid=340464

SQL Injection Attacks Targeting Chinese-oriented Sites
http://www.f-secure.com/weblog/archives/00001482.html

J2ME Security Vulnerabilities Discovered
http://feeds.feedburner.com/~r/McafeeAvertLabsBlog/~3/362064140/

Black Hat USA 2008 Wrap Up
http://securitylabs.websense.com/content/Blogs/3155.aspx

セキュリティ翻訳(番外編)：DNSサーバのセキュリティ・ホールが大問題らしい

サボっていたら溜まってしまったので、とりあえずリスト化。

Bye Bye Bandwidth?
https://forums.symantec.com/syment/blog/article?blog.id=spam&thread.id=109

Trojans on the up
http://blogs.iss.net/archive/PandaLabsQ2Report.html

(UPDATED) DNS Cache Poisoning and Network Address Translation
http://blogs.iss.net/archive/dnsnat.html

Strategic Security -- Cloud-based MSS
http://blogs.iss.net/archive/InTheCloudMSS.html

Do you know cloaking?
http://www.avertlabs.com/research/blog/index.php/2008/07/18/do-you-know-cloaking/

Rg00dP@55Wrd53z?
https://forums.symantec.com/syment/blog/article?blog.id=grab_bag&thread.id=103

“The-Cat-is-Out-of-The-Bag” DNS Bug
http://www.avertlabs.com/research/blog/index.php/2008/07/23/the-cat-is-out-of-the-bag-dns-bug/

Meaningless Malware Counting?
http://blogs.iss.net/archive/TooManyToCount.html

セキュリティ翻訳(番外編)：ネットワーク・プロセッサ狙いのマルウェアは怖いかも

今回は、その1が「Network Processing Units - The Next Big Botnet Housing Boom?」、その2が「Mozilla Security Metrics Project」、その3が「The End of Exponential Malware Growth?」。

1つ目は、「ネットワーク・プロセッサ(NPU)が普及して普通のPCでも使われるようになると、NPU上で動くマルウェアが登場する」という話。PC本体のCPUとは別の環境で動くうえ、ネットワーク・トラフィックが筒抜けになるから、結構面倒な事態になるかも。

2つ目は、「Mozillaがソフトウエアのセキュリティを相対評価できる新たな基準の策定を開始」という話。バグの数で比べるだけだと安全だか危険だか分かりにくいから、この際、前より「安全になった」「危険になった」ということだけを判定できるようにしたいらしい。MicrosoftがIE 7を相当よいWebブラウザに仕上げたようなので、いろいろと思惑もあるのでしょう。

3つ目は、「新たなマルウエアの登場数の増え具合が、これまで指数関数的だったのに、直線的に変わった」という話。記事では「将来の対抗策が計画しやすくなるから、ありがたい」としているけれど、状況がそんなに好転するとは思えないなぁ。

Network Processing Units - The Next Big Botnet Housing Boom?
https://forums.symantec.com/syment/blog/article?blog.id=grab_bag&thread.id=101

Mozilla Security Metrics Project
http://blog.mozilla.com/security/2008/07/02/mozilla-security-metrics-project/

The End of Exponential Malware Growth?
http://www.avertlabs.com/research/blog/index.php/2008/07/01/the-end-of-exponential-malware-growth/

セキュリティ翻訳(番外編)：NDRスパムが流行しつつあるのか?

今回は、その1が「Where do Bounce Messages come From?」、その2が「Reverse Engineering the Embedded OpenType Decompression」。

1つ目は、「NDRスパム」と呼ばれるバウンス・メールを悪用したスパムの話。少し前も別のブログに取り上げられてました。最近増えているらしい。

2つ目は、「Embedded OpenType」というフォント・ファイルからリバース・エンジニアリングでフォント・データを取り出すという話。取り出す手法については、フーンという程度の内容だったけど、セキュリティ・ベンダーの苦労が少しだけ伝わってきた。

Where do Bounce Messages come From?
https://forums.symantec.com/syment/blog/article?blog.id=spam&thread.id=107

Reverse Engineering the Embedded OpenType Decompression
http://securitylabs.websense.com/content/Blogs/3114.aspx

セキュリティ翻訳(番外編)：だからどうした、という記事ばかり

今回は、その1が「Patch Management/Speed is of the Essence」、その2が「and I say we are detecting between 400,000 and 10,000,000 malware!」、その3が「Firefox 3 Security Features」。

1つ目は、「セキュリティ修正パッチの適用を先送りする理由はいろいろあるけれど、リリース後すぐに適用できる体制を整えよ」という話。そりゃ正論ですが、個人ユーザーがその通りの対応をするのは無理でしょう。

2つ目は、「マルウェアの数の集計方法っていろいろあるよね」というだけの話。

3つ目は、「Firefox 3で導入された特徴的なセキュリティ対策」という話。これもフーンというだけ。

Patch Management ・Speed is of the Essence
https://forums.symantec.com/syment/blog/article?blog.id=vulnerabilities_exploits&thread.id=161

and I say we are detecting between 400,000 and 10,000,000 malware!
http://www.avertlabs.com/research/blog/index.php/2008/06/19/i-say-we-are-detecting-between-400-000-and-10-000-000-malware/

Firefox 3 Security Features
http://securitylabs.websense.com/content/Blogs/3108.aspx

セキュリティ翻訳(番外編)：インターネットにつなげばマルウェアに狙われる

今回は、その1が「Strategic Security -- Embedding it」、その2が「Trojan.Gpcoder Revisited」、その3が「Google Docs is being used to host spam」。

1つ目は、将来のソフトウェア向けセキュリティがどうなっていくかというおおざっぱな展望。自動車とソフトウェアで導入されているセキュリティ技術の対比がなかなか面白かった。

2つ目は、ファイルを勝手に暗号化して恐喝するマルウェアの話。仕事用のファイルが読めなくなると非常にまずいから、日頃のシステム・メンテとバックアップが重要ですね。

3つ目は、「Google Doc」がスパムに悪用されているという話。犬も歩けば棒に当たる。インターネットにつなげばマルウェアに狙われる。

Strategic Security -- Embedding it
http://blogs.iss.net/archive/EmbeddingSecurity.html

Trojan.Gpcoder Revisited
https://forums.symantec.com/syment/blog/article?message.uid=329402

Google Docs is being used to host spam
http://securitylabs.websense.com/content/Blogs/3101.aspx

セキュリティ翻訳(番外編)：マルウェアはMySQLまで使うんだ

今回は、その1が「Detecting Malware With Vulnerability Scanners」、その2が「Malware & MySQL - Believe it!」。

1つ目は、PC上のセキュリティ・ソフトだと検出しにくいマルウェアでも、外部から通信状況を見張るセキュリティ・ツールだと見つけられたりするよ、という話。

2つ目は、外部のMySQLデータベースを使って攻撃のしっぽを捕らえられにくくするマルウェアの話。悪人もいろいろな手口を考えてますね。

Detecting Malware With Vulnerability Scanners
http://www.avertlabs.com/research/blog/index.php/2008/06/03/detecting-malware-with-vulnerability-scanners/

Malware & MySQL - Believe it!
http://securitylabs.websense.com/content/Blogs/3099.aspx

セキュリティ翻訳(番外編)：IBMの有意義そうな公開討論会

今回は、その1が「Global Innovation Outlook - Security and Society」、その2が「XP Antivirus: Rogue AV with a custom packer」。

1つ目は、IBMが全世界で有識者たちの出席する公開討論会みたいなものを開催しているという話。毎年レポートを発行しているそうなので、将来の展望を把握するのによいようです。

2つ目は、偽セキュリティ・ソフトウェアが採用している隠蔽手段の説明。悪人どもはいろいろな工夫をするんだなぁ。

Global Innovation Outlook - Security and Society
http://blogs.iss.net/archive/GIO.html

XP Antivirus: Rogue AV with a custom packer
http://securitylabs.websense.com/content/Blogs/3097.aspx

セキュリティ翻訳(番外編)：ロシア女性に猿の写真を

今回は、その1が「Phishing Piers on Legitimate Sites」、その2が「The Strange Case of ‘Mr. Spilberg’」、その3が「From Russia with Love」。

1つ目は、真っ当なWebサイトが改善されてフィッシングの足がかり「Phishing Pier」に利用されているという話。この言葉は広く使われるようになるかなぁ。

2つ目は、とあるマルウェアが動作する際にSpilberg監督の名前入りファイルを使っていたという話。イマイチぱっとしませんでした。

3つ目は、ロシア女性を騙るオンライン詐欺の話。仕事ではあまり触れることのないエッセイ風の語り口で、久しぶりに翻訳を楽しんだ気がする。「猿の写真を送った」という下りが面白かった。

Phishing Piers on Legitimate Sites
http://www.f-secure.com/weblog/archives/00001440.html

The Strange Case of ‘Mr. Spilberg’
http://www.avertlabs.com/research/blog/index.php/2008/05/23/the-strange-case-of-mr-spilberg/

From Russia with Love
https://forums.symantec.com/syment/blog/article?blog.id=online_fraud&thread.id=92

セキュリティ翻訳(番外編)：棚卸し

Packer Detection and Generic Unpacking Techniques
http://www.websense.com/securitylabs/blog/blog.php?BlogID=176

Who do you trust with your web traffic?
http://www.websense.com/securitylabs/blog/blog.php?BlogID=175

Chip and PIN Tampering
http://blogs.iss.net/archive/ChipAndPIN.html

Internet Explorer 8 - Security Features and Concerns
http://www.websense.com/securitylabs/blog/blog.php?BlogID=177

Timely Disclosure?
http://blogs.iss.net/archive/sun2yrdisclosure.html

Do as I Say, Not as I Do
http://www.symantec.com/enterprise/security_response/weblog/2008/03/do_as_i_say_not_as_i_do_1.html

Xensploit: A recipe for attention
http://blogs.iss.net/archive/XenSploit.html

Your Friendly Password Archiver
http://www.symantec.com/enterprise/security_response/weblog/2008/03/your_friendly_password_archive.html

Another Reason to Patch Microsoft Jet Vulnerabilities
http://www.symantec.com/enterprise/security_response/weblog/2008/03/another_reason_why_microsoft_s.html

Exploring StealthMBR Defenses
http://www.avertlabs.com/research/blog/index.php/2008/03/23/exploring-stealthmbr-defenses/

Yet another Site Falls Prey to XP Antivirus
http://www.symantec.com/enterprise/security_response/weblog/2008/03/yet_another_site_falls_prey_to.html

'Targeted Attack' Mania
http://www.avertlabs.com/research/blog/index.php/2008/03/27/targeted-attack-mania/

The Hunt for File Format Vulnerabilities
http://www.symantec.com/enterprise/security_response/weblog/2008/04/the_hunt_for_file_format_vulne.html

A Second-order of XSS
http://blogs.iss.net/archive/SecondOrderXSS.html

Analysis of a Win32.Delf Variant
http://securitylabs.websense.com/content/Blogs/3060.aspx

Fribet - Attacking Your Backend Database from Your Backyard
http://www.avertlabs.com/research/blog/index.php/2008/04/10/friebet-attacking-your-backend-database-from-your-backyard/

Good Offense Not the Best Anti-Virus Defense
http://www.avertlabs.com/research/blog/index.php/2008/04/16/good-offense-not-the-best-anti-virus-defense/

Counting the bots
http://www.avertlabs.com/research/blog/index.php/2008/04/16/counting-the-bots/

Image Search Referrer-Based Malicious Websites
http://securitylabs.websense.com/content/Blogs/3068.aspx

Tornado on the Loose
http://www.symantec.com/enterprise/security_response/weblog/2008/04/tornado_on_the_loose.html

Mass SQL injection
http://www.f-secure.com/weblog/archives/00001427.html

“You won’t know who to trust”
http://www.avertlabs.com/research/blog/index.php/2008/04/24/you-wont-know-who-to-trust/

Analysis of Recent Storm Worm Packer
http://securitylabs.websense.com/content/Blogs/3083.aspx

Storm Worm - Still Evolving
https://forums.symantec.com/syment/blog/article?blog.id=malicious_code&thread.id=205

Are You Relaying NDR Spam?
http://www.avertlabs.com/research/blog/index.php/2008/05/16/are-you-relaying-ndr-spam/

The commercial HTML packer dilemma
http://www.avertlabs.com/research/blog/index.php/2008/05/14/the-commercial-html-packer-dilemma/

Spammer Anti-CAPTCHA operations and Mass-Mailing Strategy
http://securitylabs.websense.com/content/Blogs/3092.aspx

セキュリティ翻訳(番外編)：無線LANのセキュリティを考えておかないと

今回は、その1が「iPhone DoS vulnerability」、その2が「Can I own your wireless network?」。

1つ目は、「iPhoneのWebブラウザSafariにセキュリティ・ホールがあった」という話。まぁ、驚くような内容ではありません。

2つ目は、「堅牢な設定をした無線LAN環境であっても、甘い設定のクライアントは偽アクセス・ポイントに騙されるよ」という話。先日宿泊したホテルは無線LANサービスを用意してくれていて非常に助かったのだけど、セキュリティが信じられないほど甘くて驚いた。暗号化すらしていないんだよ。使おうかどうしようか迷ったけど、背に腹は替えられず。無線LAN環境が酷くても、自分のPCでセキュリティを確保できる仕組みを考えておかないとね。

iPhone DoS vulnerability
http://www.avertlabs.com/research/blog/index.php/2008/02/20/iphone-dos-vulnerability/

Can I own your wireless network?
http://www.avertlabs.com/research/blog/index.php/2008/02/21/can-i-own-your-wireless-network/

Bruce SchneierのCrypto-Gram：インターネットからの攻撃で都市レベルの停電が起きた?

今回は「Hacking Power Network」。CIAが「インターネットからのサイバー攻撃で大規模な停電が発生した」と発表したらしい。本当かいな。アメリカの電力会社って、電力網の管理ネットワークをインターネットに接続しているのか? ちょっと信じられないなぁ。

Hacking Power Network
http://www.schneier.com/crypto-gram-0802.html#6

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

セキュリティ翻訳(番外編)：マルウェア開発って普通のソフト開発と変わらない

今回は、その1が「The Flow of MBR Rootkit Trojan Resumes」、その2が「Streamlined anti-CAPTCHA operations by spammers on Microsoft Windows Live Mail」、その3が「2007 X-Force Report Preview - Vulnerability Trends」「2007 X-Force Report Preview - Malcode Trends」、その4が「Analyzing the Linux Kernel vmsplice Exploit」、その5が「Google IE toolbar 404 “hijacking”」。

1つ目は、「悪人どもがMBR感染機能を持つルートキットのテストをしているらしい」という話。連中のやっていることをみると、ウンザリするような普通のQAプロセスと変わらないのだけど、危ない橋を渡ってこれだけの苦労を厭わないんだから、よほど金になるんでしょうね。

2つ目は、「CAPTCHA解読機能を利用してWindows Live Mailのアカウントを不正取得」という話。確率が低いにしてもCAPTCHを自動的にくぐり抜けられるのなら、いいように悪用されちゃうよなぁ。

3つ目は、2007年のセキュリティ・ホールやマルウェアの簡単な状況レポート。

4つ目は、Linuxのシステム・コールに存在したセキュリティ・ホールを突く攻撃コードの詳細な分析。久しぶりにプログラムを細かく読む羽目になりました(^^;)

5つ目は、「GoogleのIEツールバーが備える404エラー・ページ乗っ取り機能は是か非か」という話。乗っ取るというアイデアは悪くないものの、Googleにしてはツメが甘すぎるんじゃないかな。

The Flow of MBR Rootkit Trojan Resumes
http://www.symantec.com/enterprise/security_response/weblog/2008/02/the_flow_of_mbr_rootkit_trojan.html

Streamlined anti-CAPTCHA operations by spammers on Microsoft Windows Live Mail
http://www.websense.com/securitylabs/blog/blog.php?BlogID=171

2007 X-Force Report Preview - Malcode Trends
http://blogs.iss.net/archive/2007XFReport-Day5.html

2007 X-Force Report Preview - Vulnerability Trends
http://blogs.iss.net/archive/2007XFReport-Day1.html

Analyzing the Linux Kernel vmsplice Exploit
http://www.avertlabs.com/research/blog/index.php/2008/02/13/analyzing-the-linux-kernel-vmsplice-exploit/

Google IE toolbar 404 “hijacking”
http://www.websense.com/securitylabs/blog/blog.php?BlogID=172

セキュリティ翻訳(番外編)：やっぱり最新パッチ適用とセキュリティ・ソフト導入

今回は、その1が「Malware and Manufacturing」、その2が「To Open or Not to Open」。

1つ目は、「一般に販売されているHDDやUSBメモリー、CD、メモリ・カードなどにマルウェアが入っていることもあるので、注意しようね」という話。どの程度役に立つかどうかはこの際置いておいて、とりあえずはセキュリティ・ソフトをきちんと入れておこうね。もちろんOSにも最新パッチを適用しよう。

2つ目は、「心当たりのないメールの添付ファイルは開くな、というけれど、開かなきゃ行けない状況もあるじゃん」という話。いろいろな対策は考えられるけど、まずはOSへの最新パッチ適用と、セキュリティ・ソフト導入だよね。

Malware and Manufacturing
http://www.avertlabs.com/research/blog/index.php/2008/01/29/malware-and-manufacturing/

To Open or Not to Open
http://www.symantec.com/enterprise/security_response/weblog/2008/01/to_open_or_not_to_open.html

セキュリティ翻訳(番外編)：セキュリティ・ソフトの標準テスト方法が決まるかも

今回は、その1が「Anti-Virus Testing 2.0」、その2が「New Wine in a Old Bottle - StealthMBR Rootkit」。

1つ目は、「セキュリティ・ソフトの評価標準に関する業界団体を作るよ」という話。どんなものが出てくるかはふたを開けてみないと分からないけど、悪いことではないでしょう。それはともかく「～2.0」ってタイトルは陳腐で見飽きました。

2つ目は、「MBR感染機能を備えたルートキットが出回っている」という話。

Anti-Virus Testing 2.0
http://www.avertlabs.com/research/blog/index.php/2008/01/23/anti-virus-testing-20/

New Wine in a Old Bottle - StealthMBR Rootkit
http://www.avertlabs.com/research/blog/index.php/2008/01/24/new-wine-in-a-old-bottle-stealthmbr-rootkit/

セキュリティ翻訳(番外編)：もう溢れました

ブログに投稿するのをサボっていたら、溜まりまくって処理できない状況になってしまいました。きちんと整理するのは諦めて、とりあえず自分の覚え書き用にまとめておきます。

XSOX.NAME and Proxy Bots
http://blogs.iss.net/archive/XSOXProxy.html

Run Installer, Run!
http://www.symantec.com/enterprise/security_response/weblog/2007/12/run_installer_run.html

2008 Security Predictions
http://www.websense.com/securitylabs/blog/blog.php?BlogID=163

Web 2.0 - Copy and Paste
http://www.symantec.com/enterprise/security_response/weblog/2007/12/web20_copy_and_paste.html

From Fast-Flux to RockPhish - Part 1
http://www.avertlabs.com/research/blog/index.php/2007/11/30/from-fast-flux-to-rockphish-part-1/

from fast-flux to rockphish - part 2
http://www.avertlabs.com/research/blog/index.php/2007/12/03/from-fast-flux-to-rockphish-part-2/

getting acquainted with rock phishing
http://www.symantec.com/enterprise/security_response/weblog/2007/12/getting_acquainted_with_rock_p.html

web protection 2.0
http://www.symantec.com/enterprise/security_response/weblog/2007/12/web_protection_20.html

the russian business network is on tenterhooks
http://www.avertlabs.com/research/blog/index.php/2008/01/09/the-russian-business-network-is-on-tenterhooks/

arp spoofing http infection malware
http://www.websense.com/securitylabs/blog/blog.php?blogid=166

"referer" field used in the battle against online fraud
http://www.symantec.com/enterprise/security_response/weblog/2008/01/referer_field_used_in_the_batt.html

attack of the clones ii
http://www.symantec.com/enterprise/security_response/weblog/2008/01/attack_of_the_clones_ii.html

protection problems with ms08-001
http://blogs.iss.net/archive/howtoprotectMS08-001.html

セキュリティ翻訳(番外編)：2007年ITセキュリティ10大ニュース

今回は、その1が「A Look Back at the Security Trends of 2007」、その2が「Converting an iPhone into Full-Featured Spy Tool」。

1つ目は、2007年のITセキュリティ10大ニュース。リストを見ていると暗くなるけれど、基本的な対策をとり、用心すれば防げるものも多いよな。

2つ目は、「細工したWebサイトをアクセスさせるだけでiPhoneを簡単にハッキングできるようにした」という話。機器が高性能化すれば便利になる一方、穴も増えちゃいます。

A Look Back at the Security Trends of 2007
http://www.symantec.com/enterprise/security_response/weblog/2007/11/a_lookback_at_the_security_tre.html

Converting an iPhone into Full-Featured Spy Tool
http://www.f-secure.com/weblog/archives/00001322.html

Bruce SchneierのCrypto-Gram：「オンライン政治献金詐欺」と「インターネット犯罪市場」

今回は「Security Risks of Online Political Contributing」と「Understanding the Black Market in Internet Crime」。

1つ目は「政治献金サイトは詐欺に悪用されやすいという指摘はその通りだが、以前から献金や寄付はそういった行為に使われてきた。街頭募金だって信用できないでしょ」というもの。

2つ目は「カーネギーメロン大学の研究者が、インターネット犯罪者の集まるオンライン・ブラック・マーケットを調査した」という話。犯罪者の心理や動機を対策に役立てようということだそうです。

Security Risks of Online Political Contributing
http://www.schneier.com/crypto-gram-0711.html#2

Understanding the Black Market in Internet Crime
http://www.schneier.com/crypto-gram-0711.html#9

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

セキュリティ翻訳(番外編)：GoogleのAndroidは攻撃に弱いかも

今回は、その1が「Trojan Writer Lusts for Money from Affiliate」、その2が「Shopping for spyware」、その3が「Phishing without Phishing」、その4が「Google's Android Phone」。

1つ目は、「トロイの木馬を使ってアフィリエイト経由で儲ける」という話。確かにうまくやれば相当な不労収入が得られるのだろうけど、犯罪だよなぁ。

2つ目は、「eBayに携帯電話向けのさまざまなスパイウエアが出品されている」という話。こんなものに手を出さない方がよいでしょう。

3つ目は、「DNSサーバーの脆弱性を突いて細工し、フィッシング・サイトに誘導する」という話。前にも書いたけど、こんな手段で偽サイトに誘導されると、なかなか気が付かないから怖い。

4つ目は、「Googleの携帯電話プラットフォームAndroidは攻撃に弱いかも」という話。機能が上がれば上がるほど、脆弱性も増えます。そのうちに携帯電話用のセキュリティ・ソフトってのが当たり前になるのだろうな。

Trojan Writer Lusts for Money from Affiliate
http://www.symantec.com/enterprise/security_response/weblog/2007/11/trojan_writer_lusts_for_money.html

Shopping for spyware
http://www.avertlabs.com/research/blog/index.php/2007/11/07/shopping-for-spyware/

Phishing without Phishing
http://www.symantec.com/enterprise/security_response/weblog/2007/11/phishing_without_phishing.html

Google's Android Phone
http://www.symantec.com/enterprise/security_response/weblog/2007/11/googles_android_phone.html

セキュリティ翻訳(番外編)：ミスリーディング・アプリケーションにご注意

今回は、その1が「We pwn your Desktop!」、その2が「How Secure is your Email?」、その3が「Password policy -- Length vs. Complexity」、その4が「The Captcha Challenge」。

1つ目は、便利なソフトであると偽ってPCにインストールさせ、さまざまな悪事をはたらく「ミスリーディング・アプリケーション」の話。信用できないサイトから無暗にアプリをダウンロードするようなことは避けましょう。

2つ目は、「メールなんて簡単に盗み見されるのだから、秘密を守りたいなら暗号化しよう」という話。

3つ目は、「パスワードを作る際、長いパスワードと複雑なパスワードはどっちが安全」という話。単純な総当たり(ブルート・フォース)攻撃に対しては、(いろいろ細かい前提はあるにしても)複雑なものより長いものの方が解読されにくい。もっとも、辞書に載っているような単語や、自分の名前をもじったようなパスワードは問題外です。

4つ目は、「悪人がWebサイトで(直接的には)無害なサービスを提供し、利用者にCAPTCHA認証を解かせ、その結果を悪用してほかのサイトのCAPTCHAを破る」という話。いろいろなことを考える人がいるものですね。

We pwn your Desktop!
http://www.symantec.com/enterprise/security_response/weblog/2007/10/we_pwn_your_desktop.html

How Secure is your Email?
http://www.symantec.com/enterprise/security_response/weblog/2007/10/how_secure_is_your_email.html

Password policy -- Length vs. Complexity
http://www.avertlabs.com/research/blog/index.php/2007/11/02/password-policy-length-vs-complexity/

The Captcha Challenge
http://www.avertlabs.com/research/blog/index.php/2007/11/01/the-captcha-challenge/

Bruce SchneierのCrypto-Gram：英国では暗号鍵の提出拒否が犯罪に

今回は「UK Police Can Now Demand Encryption Keys」。イギリスで、警察から受けた暗号鍵の提出要求を拒否しちゃ駄目、という法律が施行されたらしい。

そうした法律の存在そのものが不愉快だけど、さすがSchneierは面白い指摘をします。「鍵を渡して大きな犯罪で有罪になるより、鍵提出を拒否して禁固5年の刑を食らった方がマシ」ということです。これって「酒酔い運転で人身事故を起こして捕まるより、ひき逃げして酔いが覚めてから自首した方がマシ」と一緒だぁ。まぁ、法律ってものは複雑になればなるほど、抜け穴が出来てしまうものです。

UK Police Can Now Demand Encryption Keys
http://www.schneier.com/crypto-gram-0710.html#3

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

セキュリティ翻訳(番外編)：いろいろ

今回は、その1が「AntiSpyStorm: Fake Microsoft AntiSpyware Center pushing Adware !」、その2が「Implicit Trust in DNS Servers」、その3が「More than I bargained for」、その4が「Malware Service Providers」。

1つ目は、「Microsoftを騙る偽Webサイトが偽セキュリティ・ソフトを配っている」という話。単に配るだけでなく、偽サイトが嘘のマルウェア検査をし、そのうえで攻撃用ソフトをダウンロードさせるなど、非常に凝った手口です。よくここまで考えるなぁ。

2つ目は、「DNSサーバって信頼して大丈夫なの」という話。確かにDNSサーバが細工されたら、変なサイトに誘導されちゃうよな。これは怖いぞ。

3つ目は、「無名MP3プレーヤを買ったら、マルウェアが入っていた」という話。セキュリティ・ソフトをきちんと導入していれば被害は受けにくいけれど、気持ち悪いよね。もっとも、有名メーカーの製品だって信用しちゃ駄目。「ウィルス入りiPod」なんて事件があったよね。

4つ目は、「どうもロシアのISPが各種犯罪サイトの根っこらしい」という話。あと「銀行やISPが負担しているセキュリティ対策コストを、どうユーザーに分担させるか」という話も。

AntiSpyStorm: Fake Microsoft AntiSpyware Center pushing Adware !
http://www.avertlabs.com/research/blog/index.php/2007/10/11/antispystorm-fake-microsoft-antispyware-center-pushing-adware/

Implicit Trust in DNS Servers
http://www.symantec.com/enterprise/security_response/weblog/2007/10/implicit_trust_in_dns_servers.html

More than I bargained for
http://www.symantec.com/enterprise/security_response/weblog/2007/10/more_than_i_bargained_for.html

Malware Service Providers
http://www.avertlabs.com/research/blog/index.php/2007/10/18/malware-service-providers/

セキュリティ翻訳(番外編)：信用できるWebサイトからも牙を向けられる

今回は、その1が「Website Redirection Analysis」、その2が「ARP Spoofing: Is Your Web Hosting Service Protected ?」。

1つ目は、Webサイトのリダイレクションを悪用したフィッシングについて。普段Webアクセスで注意していても、信用できるはずのWebサイトが改竄されるなどしてリダイレクトされると、あっさり騙されるかもしれない。困ったものです。

2つ目は、Webホスティング・サービス自体が悪用されたという話。こうなると、どんなに信用できるサイトでも攻撃手段になってしまうから、気が抜けないなぁ。結局は、セキュリティ・アップデートをマメに適用し、駄目元でセキュリティ・ソフトを導入しておく、というしかないのか。

Website Redirection Analysis
http://www.websense.com/securitylabs/blog/blog.php?BlogID=149

ARP Spoofing: Is Your Web Hosting Service Protected ?
http://www.avertlabs.com/research/blog/index.php/2007/10/04/arp-spoofing-is-your-web-hosting-service-protected/

セキュリティ翻訳(番外編)：盛りだくさん

今回は溜め込んじゃって、その1が「Exploiting trust: ISTR XII」、その2が「The Malware That Keeps On Giving」、その3が「Click-fraud, captchas & session-fixation puzzles」、その4が「Another WEP bytes the dust」。簡単にいきましょう。

1つ目は、特定Webサイトが独自開発したようなWebアプリケーションに存在する脆弱性の危険を指摘しています。汎用アプリじゃないから発見自体が難しく、発見して善意で報告すると悪者扱いされるなど、いろいろ問題があります。

2つ目は、ある個人情報を盗むマルウェアについて、詳細な情報を各国の警察に提供します、という話。

3つ目は、クリック詐欺やreCAPTCHA、セッションIDに関する雑多な話。

4つ目は、WEPの危険性を改めて指摘した話。

Exploiting trust: ISTR XII
http://www.symantec.com/enterprise/security_response/weblog/2007/09/exploiting_trust_istr_xii_vuln.html

The Malware That Keeps On Giving
http://www.websense.com/securitylabs/blog/blog.php?BlogID=144

Click-fraud, captchas & session-fixation puzzles
http://www.avertlabs.com/research/blog/index.php/2007/09/24/click-fraud-captchas-session-fixation-puzzles/

Another WEP bytes the dust
http://www.symantec.com/enterprise/security_response/weblog/2007/09/another_wep_bytes_the_dust.html

セキュリティ翻訳(番外編)：フィッシングで儲かるのかねぇ

今回は、その1が「Attack of the clones?」、その2が「The end of Downloader-AAP?」。

1つ目は、非常に凝った作りの偽アンチ・スパイウェアの話。11言語もローカライズしてあったり、PCへの感染時にかなり面倒な手口を使うなど、こんなもの作るのだったら真っ当に働いた方が良いんじゃないの、と思いたくなるようなマルウェアでした。詐欺って一発当たると儲かるのかなぁ。

2つ目は、ドイツ警察が国際フィッシング犯罪組織を摘発したという話。この組織は膨大な数のフィンシング・メールを世界に向けて発信していたので、しばらくは迷惑メールの数が減るかもしれません。

Attack of the clones?
http://www.symantec.com/enterprise/security_response/weblog/2007/09/attack_of_the_clones.html

The end of Downloader-AAP?
http://www.avertlabs.com/research/blog/index.php/2007/09/13/the-end-of-downloader-aap/

セキュリティ翻訳(番外編)：モバイル・バンキングも攻撃対象に

今回は、その1が「Mobile reunion: Hackers and Banks」、その2が「Tapping into the IE 7 JavaScript Interpreter」。

1つ目は、モバイル・バンキングの利用が増えたことにより、こうした取引も悪人どもの攻撃対象になり始めている、という話。特に、携帯電話機が高機能化するとOSやミドルウェアといったプラットフォームの業界標準化が進み、少ない手間でより多くの携帯電話機を攻撃できるようになってきた、というのも大きな要因なのでしょう。携帯電話機のセキュリティもパソコン並みにするには、さらに高度なプラットフォームが必要になるなど、何が便利で何が不便なのか分からなくなる。

2つ目は、悪質なJavaScriptを見破るためにJavaScriptインタプリタを活用しよう、という話。インタプリタ内の関数にフックをかけたり逆アセンブルしたりするから素人がどうのこうのいう話題ではないけれど、専門家はこういうことをしているのね、と勉強になった。

Mobile reunion: Hackers and Banks
http://www.avertlabs.com/research/blog/index.php/2007/09/04/mobile-reunion-hackers-and-banks/

Tapping into the IE 7 JavaScript Interpreter
http://www.websense.com/securitylabs/blog/blog.php?BlogID=142

セキュリティ翻訳(番外編)：懲りないソニー／HTMLメールはやっぱり嫌い

今回は、その1が「Hide me Sony one more time!」、その2が「The Risks of HTML-Formatted E-mails」。

1つ目は、ソニーがまたもやルートキット問題をやらかしたという話。ソニーという会社は企業イメージで成り立っている面があったから、イメージ・ダウンは痛いよね。

2つ目は、HTMLメールの危険性を改めて紹介する話。やっぱり僕はHTMLメールなど好きになれない。

Hide me Sony one more time!
http://www.avertlabs.com/research/blog/index.php/2007/08/28/hide-me-sony-one-more-time/

The Risks of HTML-Formatted E-mails
http://www.avertlabs.com/research/blog/index.php/2007/08/20/the-risks-of-html-formatted-e-mails/

セキュリティ翻訳(番外編)：お手軽マルウェア作成ツール

今回は、その1が「SharK2: Trojan Creation Made Easy!」、その2が「The new Peacomm infection techniques」。

1つ目は、「使いやすいトロイの木馬作成ツールが出回っている」という話。こういうものが存在するせいで、本来ならマルウェアを開発できない低レベルな連中まで参入してくるんだよね。もっとも、この種のツール自体がマルウェアであることも多いらしく、ざまー見ろです。

2つ目は、「Peacommというトロイの木馬が、ウィルスやルートキット的な手法でますます狡猾になった」という話。悪人もいろいろな手口を考えるものです。こうした高度な技術が、1つ目の作成ツールにも反映されるでしょう。

SharK2: Trojan Creation Made Easy!
http://www.avertlabs.com/research/blog/index.php/2007/08/21/shark2-trojan-creation-made-easy/

The new Peacomm infection techniques
http://www.symantec.com/enterprise/security_response/weblog/2007/08/the_new_peacomm_infection_tech.html

セキュリティ翻訳(番外編)：MPackと汎用ドライバの危険性

今回は、その1が「MPack: Getting More Dangerous」、その2が「Is That a Hole in Your Kernel or Are You Just Pleased to See Me?」。

1つ目は、攻撃ツールMPackの新バージョンが出回り、危険性が増したという話。正直なところ、原文が説明不足だからか、具体的に何が危険なのかよく分かりませんでした。文章の書き方が怪しかったり、手抜きも多かったりと、執筆者は英語非ネイティブかもしれません。

2つ目は、特定のハードウェア専用でない、サードパーティ製汎用デバイス・ドライバの危険性を指摘しています。こうしたドライバにも脆弱性が存在しており、攻撃に利用されることがあるらしい。責任の所在が曖昧になりやすいから、修正されずに放置されることもあるのかな。

MPack: Getting More Dangerous
http://www.symantec.com/enterprise/security_response/weblog/2007/08/mpack_getting_more_dangerous.html

Is That a Hole in Your Kernel or Are You Just Pleased to See Me?
http://www.symantec.com/enterprise/security_response/weblog/2007/08/is_that_a_hole_in_your_kernel.html

セキュリティ翻訳(番外編)：マルウェア作者のプロ化

今回は、その1が「Management Information Systems: Tools for the Malware Trade」、その2が「Brazilian MSN Worm Looks Familiar」。

1つ目は、マルウェア作者がプロ化しており、高度な攻撃支援ツールなるものが増えているという話。この種のツールは以前から存在していたけど、最近は特に使いやすくなったようですね。MPackなんかが有名です。

2つ目は、ブラジル発ワームの話。最近あまり耳にしなくなったものの、BRICsで注目されたようにブラジルは経済発展がめざましいので、この種の犯罪も増えているのでしょう。

Management Information Systems: Tools for the Malware Trade
http://www.symantec.com/enterprise/security_response/weblog/2007/07/mis_tools_for_the_malware_trad.html

Brazilian MSN Worm Looks Familiar
http://www.symantec.com/enterprise/security_response/weblog/2007/08/brazilian_msn_worm_looks_famil.html

セキュリティ翻訳(番外編)：便利なものが悪人のせいで台無しに

今回は、その1が「New Trend in Attacking the Java Runtime Environment?」、その2が「Security Cost of Social Computing」。

1つ目は、Java Runtime Environment(JRE)の脆弱性を狙った攻撃が、実際のネットワーク環境で増えているという話。システムが高機能化すると便利になるのだけど、つけ込まれる隙も増えるというわけで、困ったものです。

2つ目は、SNSなどとセキュリティの関係についての話。マスコミなどでは「“ハッカー”がパソコンから個人情報を盗んだ」とか「××のシステムが攻撃されて、個人情報が奪われた」、「Winnyのウィルスで個人情報が流出した」なんてよく報道するけれど、本当に危ないのは、ユーザー自身が自分でばらまいている個人情報だよね。SNSなどは相手の“人となり”をある程度つかめるから便利には違いない。でも、そうした断片情報が集められると思うと怖い。便利なはずのSNSも使いにくくなった。

New Trend in Attacking the Java Runtime Environment?
http://www.symantec.com/enterprise/security_response/weblog/2007/07/new_trend_in_attacking_the_jav.html

Security Cost of Social Computing
http://www.avertlabs.com/research/blog/index.php/2007/07/20/security-cost-of-social-computing/

セキュリティ翻訳(番外編)：さまざまなPoC

今回は「A PoC Epoch」。目新しいコンセプト実証（PoC：Proof of Concept）をいろいろ紹介しています。

ここのところ、マルウェア絡みの話題はワームやトロイの木馬が多くて、今回のようなウィルスは久しぶりです。それにしても、悪人はいろいろな手口を考えるものですね。これだけのことができる頭を持っているのなら、まじめに働けばよいのに。

A PoC Epoch
http://www.symantec.com/enterprise/security_response/weblog/2007/07/post_1.html

Bruce SchneierのCrypto-Gram：意味のないクレジットカードの上限額

今回は「Credit Card Gas Limits」。一見セキュリティ確保の目的で設けられているガソリン給油時のレジット決済限度額が、実は何も意味がないという話。

日常で何気なく受け入れてる「セキュリティ対策」の本質を突き、効果のないことを具体的に示すという、久しぶりにCrypto-Gramらしさ一杯の良い記事でした。

Credit Card Gas Limits
http://www.schneier.com/crypto-gram-0707.html#6

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

セキュリティ翻訳(番外編)：iPhoneに対する攻撃とWFPのセキュリティ・ホール

今回はその1が「iPhone Redux」、その2が「WFP hack redefined!!!」。

1つ目は、iPhoneに対する攻撃の可能性について、セキュリティ研究者が第一印象をまとめた記事。とりあえず今すぐ危ないことはないけどね、という感じかな。iPhoneへの直接的な攻撃を気にするよりも、iPhoneを餌にしたスパムやフィッシングに注意しよう、というものです。もっとも、「iPhone搭載Webブラウザ「Safari」の電話発信機能にぜい弱性，SPI Dynamicsが警告」なんて話もあるから、これからいろいろ出てくるでしょう。

2つ目は、Windowsのファイル改変保護機能「WFP」に存在するセキュリティ・ホールについて。これって結構やばいんじゃないかな。

iPhone Redux
http://www.symantec.com/enterprise/security_response/weblog/2007/07/iphone_redux.html

WFP hack redefined!!!
http://www.avertlabs.com/research/blog/index.php/2007/07/05/wfp-hack-redefined/

セキュリティ翻訳(番外編)：DNSに関する怖い話

今回はその1が「DNS Botnet Phun」、その2が「Zero Day Threats: Part 4 - What’s New and Where Are They Headed?」。

1つ目は結構怖い話。DNSプロトコルを乗っ取る攻撃が起きるかもということ。インターネットを利用するのにDNSは不可欠だし、DNSの通信を遮断するわけにいかないし……

2つ目は「ゼロディ脅威」シリーズの最終回。最近の出来事と、今後の展望を簡単にまとめています。目新しい話はないかな。

DNS Botnet Phun
http://www.symantec.com/enterprise/security_response/weblog/2007/06/dns_botnet_phun.html

Zero Day Threats: Part 4 - What’s New and Where Are They Headed?
http://www.avertlabs.com/research/blog/index.php/2007/07/02/zero-day-threats-part-4-whats-new-and-where-are-they-headed/

セキュリティ翻訳(番外編)：マルウェアは毎月第2火曜日前後が多い?

今回はその1が「Zero Day Threats: Part 3 - When & How Are They Released?」、その2が「PDF Spam Outbreak」。

1つ目は、「マルウェアなどの攻撃とMicrosoftのPatch Tuesdayが同期しているかも」という噂を検証しています。結論は「意図的に同期させている悪人もいるだろうが、気にしてもしょうがない」。当たり前って言っちゃえばそれまでだけど、その通りだよな。過剰反応したって意味ないんだよね。

2つ目は、「PDF内に画像を仕込んだスパムが増えている」という話。悪人もマメだ。こんなにいろいろな手を考えるなら、真面目に働けばいいのに。スパムってそんなに儲かるのかなぁ。

Zero Day Threats: Part 3 - When & How Are They Released?
http://www.avertlabs.com/research/blog/index.php/2007/06/26/zero-day-threats-part-3-when-how-are-they-released/

PDF Spam Outbreak
http://www.avertlabs.com/research/blog/index.php/2007/06/26/pdf-spam-outbreak/

セキュリティ翻訳(番外編)：ITセキュリティのブラック・マーケット

今回はその1が「Zero-Day Threats, Part 2: Who's Behind Them and Why?」、その2が「MPack: the Strange Case of the Mass-Hacking Tool」。

1つ目は、セキュリティ・ホール情報が売買されるブラック・マーケットや、報奨金を出すベンダーの存在、高い金を出して情報を買い取る人物の背景などが簡単にまとめられています。読み物としては「フーン」くらいで、目新しい話はありません。

2つ目は、「MPack」というハッキング・ツールの話題。この種のツールも商品としてブラック・マーケットで売り物になるのですね。囮ツールを市場に流したら、悪人予備軍が面白いように捕まるかも。

Zero-Day Threats, Part 2: Who’s Behind Them and Why?
http://www.avertlabs.com/research/blog/index.php/2007/06/14/zero-day-threats-part-2-whos-behind-them-and-why/

MPack: the Strange Case of the Mass-Hacking Tool
http://www.symantec.com/enterprise/security_response/weblog/2007/06/mpack_the_strange_case_of_the.html

セキュリティ翻訳(番外編)：「ゼロデイ脅威」とは

今回は「Zero Day Threats, Part 1: What They Are, and What They’re Not」。ゼロデイ攻撃という表現に対し、「ゼロデイ脅威」という用語を提唱しています。翻訳や執筆をする人間としては、しかるべき人たちがこのように明確な定義をしてくれるとありがたい。うまく定着するかな。

Zero Day Threats, Part 1: What They Are, and What They’re Not
http://www.avertlabs.com/research/blog/index.php/2007/06/11/zero-day-threats-part-1-what-they-are-and-what-theyre-not/

Bruce SchneierのCrypto-Gram：ウイルスの仕組みを勉強しよう

今回は「Teaching Viruses」。大学で「マルウエア講座」を設けることの是非に関する簡単な記事です。こうした講座を止めたところでウイルスなどを作る連中は消えないし、対策知識を身につけた技術者の増加という効果が期待できるわけだから、僕は賛成。

Teaching Viruses
http://www.schneier.com/crypto-gram-0706.html#5

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

セキュリティ翻訳(番外編)：知らないリンクをむやみに信じるな

今回は「Social Bookmarking and Malicious Websites」。ソーシャル・ブックマーク・サイトで、人気ランキング・トップのリンク先にマルウエア・ダウンロード・サイトがあったという話。怖いよね。

ソーシャル・ブックマークとは、Webブラウザのブックマーク機能をオンライン・サービス化した上で、ブックマーク公開機能や、ブックマーク統計機能などを付加したようなもの。僕が利用している「はてなブックマーク」もその一種です。僕は面倒だから覚え書き用としてしか使っていないけれど、ユーザー数の多いWebページを探すなどすれば様々な活用が可能でしょう。

こうしたサービスで、多くのユーザーがブックマークしてるWebページが表示されていたら、深く考えずにクリックしちゃうかもしれない。でも、その先がたちの悪いWebページってことがあるよなぁ。そもそも、「ブックマークしているユーザーが多い」など、リンク先を信頼する根拠にはならない。姑息なSEOと同様、悪人たちがいろいろな手口で操作しているかもしれないから。

Social Bookmarking and Malicious Websites
http://www.symantec.com/enterprise/security_response/weblog/2007/05/social_bookmarking_and_malicio.html

セキュリティ翻訳(番外編)：リッチ・テキストに注意

今回は「Rich Text Malware」。なんと、リッチ手・テキスト・ファイル内のマルウエアは、多くのアンチ・ウィルス・ソフトが見逃してしまうとのことです。驚くような話ですが、本当でしょうか。専門家が書いているのだから、間違いではないのだろうな。

Rich Text Malware
http://www.avertlabs.com/research/blog/index.php/2007/05/25/rich-text-malware/

Bruce SchneierのCrypto-Gram：デポジット制ドアベルとスパム・メール対策

今回は「1933 Anti-Spam Doorbell」。相変わらずタイトルだけじゃ何だか分かりません。「ドアベルにコイン投入口を設け、なにがしかのお金を保証金として入れないとベルを鳴らせないようにすることで、セールスを予防する」というアイデアが失敗した例と比較し、スパム・メール対策の問題点を指摘しています。なかなか面白い内容でした。

この記事で紹介されていたデポジット制ドアベルだけど、僕は欲しいなぁ。電子マネーの普及している地域なら、今なら意外と実用的かも。

1933 Anti-Spam Doorbell
http://www.schneier.com/crypto-gram-0705.html#10

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

セキュリティ翻訳(番外編)：検索エンジンでパスワードが見つかる時代に

今回は「Found Your Password on a Search Engine」。キーロガーは盗んだ個人情報とパスワードをWebサイトに送信して保管するが、このWebサイトのアクセス制御はいい加減なため、検索エンジンのクロール対象になっている、という話。

時々は、自分の氏名を検索してみるとよいかも。

Found Your Password on a Search Engine
http://www.symantec.com/enterprise/security_response/weblog/2007/05/found_your_password_on_a_searc.html

Bruce SchneierのCrypto-Gram：やっぱりソーシャル・エンジニアリング

今回は「Social Engineering Notes」。ソーシャル・エンジニアリングの例をいくつか取り上げています。どんなに技術的に強化されたセキュリティでも、上手いこと人をだますと易々と通過できちゃうなぁ。

本当に安全を確保したい対象物なら、面倒だったり不便だったりしても、杓子定規に規則を守らないとならない。僕が子供を迎えに行く保育園の電子錠付きドアなども、現在のような運用じゃセキュリティ機能はゼロだよなぁ。

Social Engineering Notes
http://www.schneier.com/crypto-gram-0705.html#8

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

セキュリティ翻訳(番外編)：技術系翻訳で助かった:-)

今回は「A new root'Kid' on the block」。話の内容は割と単純で、「ワームだけどルートキットの隠蔽手法を採用した」ところがミソ。

一番悩んだのは、原文のタイトルでした。「a new kid on the block」という表現と「rootkit」を引っかけているのですが、このニュアンスをどうにも日本語に移せません。ニュース・サイト向けの技術的な記事だから諦めちゃったけれど、文学系の翻訳だと困るだろうな。

A new root'Kid' on the block
http://www.avertlabs.com/research/blog/?p=269

Bruce SchneierのCrypto-Gram：JavaScriptの盗聴

今回は「JavaScript Hijacking」。Webブラウザ/サーバはJavaScriptに対するセキュリティが弱く、機密データを盗聴される恐れがある、という話。

JavaScriptはほかにもいろいろな問題が指摘されているから、使わないことが理想なのでしょうが、なかなかねぇ。ということで、何か起きたときに対策をいろいろと考えておきましょう。とりあえずは、銀行口座やクレジットカードの取引履歴をマメに確認する、といったところかな。

JavaScript Hijacking
http://www.schneier.com/crypto-gram-0704.html#4

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

セキュリティ翻訳(番外編)：Googleの検索広告にも罠が

今回は「Malware Authors Pay to Steal Your Bank Passwords」。「Google AdWords広告が細工され、悪質なWebサイトに誘導される」という話。少し前に話題になりました。参考に「悪質なWebサイトに誘導するGoogle AdWords広告を発見，Exploit Prevention Labsが警告」「グーグルの広告を悪用した新たな攻撃、ウイルスサイトに誘導」をどうぞ。

安心してリンクをクリックするなどでない世の中なのだから、OSの修正パッチをきちんと適用し、駄目モトでセキュリティ・ソフトをインストールしておきましょう。

Malware Authors Pay to Steal Your Bank Passwords
http://www.avertlabs.com/research/blog/?p=264

Bruce SchneierのCrypto-Gram：悪質なコードで潜水艦が機能停止?

今回は「U.S. Government Contractor Injects Malicious Software into Critical Military Computers」。米軍のシステム開発にかかわっていたプログラマが故意に変なコードを仕込んだせいで、システムがダウンしてしまったという話。どこかのニュースでも、同じ話題を見かけました。確か、潜水艦のシステムが動かなくなってしまい、結構やばかったじゃないのかな。

変なコードを入れられないように防ぐ方法は思いつくけれど、100%の安全確保は難しいでしょう。内部関係者による故意の犯罪まで事前に対策しようとすると、とんでもないコストがかかるはずです。それよりも、何か起こったときの安全対策や回避手段を用意しておく方が、はるかに効果的じゃないかな。

U.S. Government Contractor Injects Malicious Software into Critical Military Computers
http://www.schneier.com/crypto-gram-0704.html#7

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

セキュリティ翻訳(番外編)：ボットネット研究カンファレンス

今回は「Hello from HotBots‘07」。ボットネット研究者による意見交換カンファレンス「HotBots」が開催されたそうです。いろいろな障害にもめげず、こうした活動をしてくれる人たちに感謝。

Bruce SchneierのCrypto-Gram：「Security Theater」の好例と「Movie-Plot Threat」

今回は「Announcing: Second Annual Movie-Plot Threat Contest」。Schneierが好んで使う「Movie-Plot Threat」の“新作”を募るコンテストです。Movie-Plot Threat(映画のストーリーにあるような脅威)は、「テロなどの派手な攻撃でセキュリティに対する不安を煽るが、実は現実味のない攻撃シナリオ」といったもの。

もちろん、Schneierは「Movie-Plot Threatが実際に起きる確率はゼロ」と主張しているのでなく、「そのような脅威に対する無意味な対策を講じる前に、やるべきことが沢山あるぞ」と考えているのです。「確かに9.11テロみたいに派手な事件は皆無でないが、その確率は極めて小さいし、飛行機への液体持ち込みを禁止したところでテロリストはほかの攻撃方法を編み出すに決まっている。もっと地味でも効果的なところに力を注ごう」というわけですね。

Schneierは、「Security Theater」という表現もよく使います。「実際のセキュリティ向上にはつながらないけど、見た目の安心感を得られる装置やルール」といったところです。非常に訳しにくく、僕は「セキュリティ・シアター」で誤魔化しています。「セキュリティはなぜやぶられたのか」では「セキュリティ芝居」としていますね。なお、「Movie-Plot Threat」という言葉は「Beyond Fear」に出てこないから、執筆後に思いついたのかな。

このSecurity Theaterにピッタリな例を最近見つけました。「日産自動車、歩行者の交通事故低減を目指した携帯電話協調ITSシステムの開発及び検証実験を開始」ってやつです。CNET Japanの記事「日産、携帯電話とITSを使って歩行者と車両の交通事故を低減する技術」も参考にどうぞ。スラッシュドットの「日産とドコモが携帯GPSを用いた交通事故低減技術を開発」もなかなか面白い。

まさか日産とNTTドコモは、本気で事故低減につながると思っているんじゃないだろうな。ちょっと考えただけでも、検知漏れや誤検知につながるパターンがいくつも見つかる。結局「100%の検知など不可能だから役に立たない」「誤検知が多過ぎて役に立たない」の両方で、事故は減らないでしょう。それどころか「過信してかえって事故を起こす」なんて悪影響の方が心配。

自動車メーカーなどが「ちゃんと事故対策に取り組んでいます」と宣伝するアドバルーンの意味しかないでしょう。経営者とマーケティング屋はともかく、関係している技術者は、これがSecurity Theaterだと理解しているよね。

理解できない技術者や、この例を見て持ち上げた連中は、「セキュリティはなぜやぶられたのか」や「ライト、ついてますか―問題発見の人間学」を読んで勉強しなきゃだめ。

Announcing: Second Annual Movie-Plot Threat Contest
http://www.schneier.com/crypto-gram-0704.html#1

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

セキュリティ翻訳(番外編)：マルウエア販売サイト

今回は「Advertising malware…」。たちの悪い連中がスパイウェアやらトロイの木馬といったマルウェアをオンライン販売している、なんて聞いたことはあったけれど、ここまで堂々とやっているんだぁ。

一カ所で長いこと売っていたら捕まりやすいだろうし、ちょこちょこ場所を変えたら客が付かないだろうし…… 商売として成り立つのだろうか。きっと、Webサイトとは別に、悪人どものコミュニティが存在していて、Webサイトはあくまでもカタログなんだろうな。

Advertising malware…
http://www.avertlabs.com/research/blog/?p=231

セキュリティ翻訳(番外編)：TJXのやらかした個人情報流出

今回は「Thoughts on the TJX Data Theft」。TJXというアメリカの大手小売業者が、4560万件という大規模な個人情報流出を起こしてしまいました。流出したデータの件数もさることながら、クレジットカードとデビットカードの番号まで盗まれたのが痛い。

後始末が大変だから、きちんと事前対策をとっておこね、という話でした。

Thoughts on the TJX Data Theft
http://www.avertlabs.com/research/blog/?p=235

Bruce SchneierのCrypto-Gram：ブロードバンド・ルータの設定は大丈夫?

今回は「Drive-By Pharming」。家庭用のブロードバンド・ルータに不正アクセスし、DNSサーバ設定を変更してフィッシング・サイトに誘導する攻撃の話。考えてみれば、随分昔から「デフォルト・パスワードを変更していないと、簡単に攻撃されてしまう」という話は知れ渡っているから、今更ではあります。

でも、一般の人が相手となると話は別。メーカーもメーカーだよなぁ。リモート管理機能なんぞ、デフォルトでオフにしておけば済むのにね。

Drive-By Pharming
http://www.schneier.com/crypto-gram-0703.html#10

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

セキュリティ翻訳(番外編)：ネットは危険が一杯

今回は「MySpace Woes: Trojan Targets French Rock Band Fans」。QuickTimeの緩い仕様をついて感染を広げるトロイの木馬だそうです。

こんなことは書きたくないのだけど、こういう事例を示されると「ネットは危険が一杯」というしかないなぁ。セキュリティ・パッチの適用に遅れが生ずることもあるし、そもそもゼロディ攻撃なんてモノもあるわけだから、各種セキュリティ・ソフトを使わないとインターネット・アクセスは無理だなぁ。

MySpace Woes: Trojan Targets French Rock Band Fans
http://www.avertlabs.com/research/blog/?p=222

Bruce SchneierのCrypto-Gram：相変わらずマスコミは煽るばかり

今回は「Movie Plot Threat in Vancouver」。マスコミが、バンクーバーで敷設が予定されている無線LANを「テロに利用される」と槍玉にあげています。

本当にマスコミって連中は、知識もないのに書き立てるんだから…… 『セキュリティはなぜやぶられたのか』を読んで勉強して欲しい。

Movie Plot Threat in Vancouver
http://www.schneier.com/crypto-gram-0703.html#4

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

セキュリティ翻訳(番外編)：スパムで株価操作を狙う連中

今回は「Operation Spamalot: The End of Stock Spam?」。スパムで何らかの情報を流して株価を操作し、荒稼ぎをする行為の話。

まぁ、昔から怪情報や偽情報、機密情報を使って儲けようとする連中はいましたが、最近はそうしたスパムも増えているそうです。この種のスパムは株価を操れる情報を伝えるだけで、フィッシングや商品販売と違って特定のWebサイトに誘導する必要がないため、スパム・フィルタに引っかかりにくい、というのは面白い豆知識:-)

Operation Spamalot: The End of Stock Spam?
http://www.avertlabs.com/research/blog/?p=217

セキュリティ翻訳(番外編)：大成功を収めているトロイの木馬

セキュリティ翻訳(番外編)：大成功を収めているトロイの木馬

今回は「On the trail of Downloader-AAP」。あるトロイの木馬を取り上げ、どれほど成功しているかを具体的に示しました。トロイの木馬がデータを送信したサーバには、盗んだパスワードがごっそり。これは怖いぞ。

On the trail of Downloader-AAP
http://www.avertlabs.com/research/blog/?p=209

セキュリティ翻訳(番外編)：最近のマルウェアは無口が流行り

先月のCRYPTO-GRAMが手抜きだったため、しばらくは別のところから入手したセキュリティ関連記事の紹介をすることになりそう。

まずは「The evolution of social engineering」。「昔のマルウェアは、インストール時にユーザーを安心させる偽のメッセージを出したものだけど、最近そのやり方は流行らない」という話。確かに、何かを実行しても反応がないと不安になるな。まぁ、メッセージが表示されたから安全、ということはないけどね。

ところで、Bruce Schneierはバカンス中でなく、本を書いているらしい、との噂を聞きました。だとしたら、当分CRYPTO-GRAMの内容はしょぼいままかなぁ。

The evolution of social engineering
http://www.avertlabs.com/research/blog/?p=212

Bruce SchneierのCrypto-Gram：コンパクトながらなかなか面白い話題が多い

1件目は「Wal-Mart Stays Open During Bomb Scare」。「爆弾を仕掛けたとの脅迫電話があったのに、Wal-Martは店の営業を続けた」という話。脅迫に過剰反応する必要はないけれど、それなりの安全対策を採らなきゃ駄目だよね。

2件目は「Microsoft Anti-Phishing and Small Business」。ブラック/ホワイト・リスト方式のフィッシング対策って、そもそもあまり役に立たないのに、Microsoftのようなcorporation専用なんてしちゃうと、ますます意味がなくなるぞ。

3件目は「Radio Transmitters in Canadian Coins」。コインに無線発信器が仕込まれていたなんて、スパイ映画としてはワクワクできる。でもね、実際には考えにくい手法だ。

ところで、2月15日付けのCrypto-Gramは別メディアに掲載された記事がほとんど。Schneierの奴、遅いバカンスにでも出かけたのかな。

Wal-Mart Stays Open During Bomb Scare
http://www.schneier.com/crypto-gram-0701.html#7

Microsoft Anti-Phishing and Small Business
http://www.schneier.com/crypto-gram-0701.html#10

Radio Transmitters in Canadian Coins
http://www.schneier.com/crypto-gram-0701.html#14

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

『Beyond Fear』の日本語版『セキュリティはなぜやぶられたのか』が出た

Bruce Schneierの『Beyond Fear』の日本語版『セキュリティはなぜやぶられたのか』(訳:井口耕二)が出ました。「セキュリティ」とは言いつつも、CRYPTO-GRAMと同じく日常生活に潜む危険性を明快な視点からあぶり出してくれる良書ですので、セキュリティ専門家やITプロフェッショナルだけでなく、普通の人に読んでもらいたい。

実は、この本を訳せるポジションにいたのだけど、惜しいことにタイミングの問題で逃がしてしまった。それはよいとして、つくづく感じたのは「Schneierって水くさい奴だなぁ」ということ:-) だって、CRYPTO-GRAMの日本語版を掲載している日経BPから出るんだよ(^^;)

まぁ、いろいろな意味を込め、この記事は当分ブログのトップに掲載しておこう。

2/21/2007に追記

この記事を参照する人が多いので、参考のためCRYPTO-GRAMの一部を紹介し続けている当ブログの「セキュリティ」カテゴリへのリンクを付けておきます。

当ブログの「セキュリティ」カテゴリ
http://life-with-guitar.cocolog-nifty.com/nobusato/cat3423629/

この本に対する充実した書評を見つけたので、紹介すると同時に該当ブログ記事へトラックバック。

404 Blog Not Found「書評 - セキュリティはなぜやぶられたのか」
http://blog.livedoor.jp/dankogai/archives/50765857.html

3/9/2007に追記

この本に関するコメント交換が活発なブログ記事へトラックバック。

池田信夫 blog『セキュリティはなぜやぶられたのか』
http://blog.goo.ne.jp/ikedanobuo/e/d96ca65645828c43fb3892ada7a410a8

4/24/2008に追記

訳者である井口耕二さん自身のブロク記事へトラックバック

Buckeye the Translator「『セキュリティはなぜやぶられたのか』」
http://buckeye.way-nifty.com/translator/2008/04/post_cc5a.html

Bruce SchneierのCrypto-Gram：携帯電話で盗聴?

今回は「Auditory Eavesdropping」。携帯電話機で視聴率/聴取率の調査を行う技術が、盗聴に使われかねないぞ、という話。ここにその仕組みを書くのはちょっと面倒だから、原文か日本語訳を読んでください。

音声のマッチングにデジタル署名(元データのハッシュ値なのかな)を利用するということなので、今すぐ危険、というものじゃないけど…… ビッグ・ブラザー的な匂いがして、少し怖い技術です。

Auditory Eavesdropping
http://www.schneier.com/crypto-gram-0701.html#4

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：公証人制度の悪用

今回は「Notary Fraud」。公証人制度を悪用し、「本人の許可なく(偽造するなり騙すなりして)書かせた署名を、公的に認めさせてしまう」というアイデアの話。どんなに高度な技術を導入してセキュリティ・システムを作っても、ソーシャル・エンジニアリングには打ち勝てませんね。

Notary Fraud
http://www.schneier.com/crypto-gram-0612.html#5

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：またもや盛りだくさん

1件目は「The Need for Professional Election Officials」。アメリカでは公的な選挙管理委員ってのが存在しないんですね。ちょっと驚き。

2件目は「Total Information Awareness Is Back」。悪名高きデータベース「Total Information Awareness/Terrorist Information Awareness(TIA)」が、「Tangram」に名前を変えて復活したそうです。

3件目は「Heathrow Tests Biometric ID」。ヒースロー空港で試験中の虹彩ベースのバイオメトリクス(生体認証)を褒めています。生体認証って「セキュリティを強化する手段」って誤解する人が多いけど、実際は単なる利便性を向上する手段に過ぎず、状況によっては使いにくいものですよね。

4件目は「Please Stop My Car」。「夜中に使わない車を申請しておける」という面白い制度の紹介。いろいろと問題や抜け穴はありそうだけど、日本でも導入を検討してみるとよいかも。

5件目は「Tracking People by their Sneakers」。一時話題になった、Nike製スニーカーとiPodによる追跡システムの話。これそのものは杞憂と思うけど、注意していないとね。

The Need for Professional Election Officials
http://www.schneier.com/crypto-gram-0611.html#4

Total Information Awareness Is Back
http://www.schneier.com/crypto-gram-0611.html#7

Heathrow Tests Biometric ID
http://www.schneier.com/crypto-gram-0611.html#15

Please Stop My Car
http://www.schneier.com/crypto-gram-0611.html#16

Tracking People by their Sneakers
http://www.schneier.com/crypto-gram-0612.html#4

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：「シャイアン・マウンテン」の後継司令部

今回は「Cheyenne Mountain Retired」。Cheyenne Mountain(シャイアン・マウンテン)とはアメリカ軍の司令部で、核攻撃にも耐えるよう地下深くに設けられているらしい。冷戦終結で廃止が決まり、新たな司令部が設けられるとのこと。

ところが今度の司令部は、9/11テロのときのように、ジャンボ・ジェットで突っ込まれる程度の攻撃でも破壊される施設だそうです。セキュリティの強度はコストとの兼ね合いだけど、国防の中枢という最高レベルのセキュリティを必要とする施設の強度としてはどうなんでしょう。十分なのでしょうか。それとも不足なのでしょうか。

日本の施設など、もっと低レベルなんだろうなぁ。

Cheyenne Mountain Retired
http://www.schneier.com/crypto-gram-0611.html#18

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：今回も盛りだくさん

1つ目は「Did Hezbollah Crack Israeli Secure Radio?」。内容は珍しくタイトルそのもの「ヒズボラはイスラエルの暗号無線を解読したのか?」です。「ヒズボラがイスラエルの暗号を解読したという情報が流れているけど、そんなの怪しい。解読できたらマスコミになんぞ情報を流さないだろう。逆に、解読できなければ混乱させるために流す」ということです。

これと同様の話が、「Breaking Iranian Codes」にあります。こっちの方が内容が充実していて面白いかも。

2つ目は「Pupillometer」。とある企業が瞳孔計を「薬物やアルコールの影響下にある人物の検出に使える」として売り込んでいることに対し、「インチキ薬の宣伝みたいだ」と批判しています。正直なところ、非常に短い記事で詳細がかかれていないので、Schneierがなぜここまで批判するのか分かりません。

3つ目は「On-Card Displays」。ICカードに組み込めるほど薄い表示装置の話。これはセキュリティ向上だけじゃなくて、いろいろな点で便利そうだな。

4つ目は「Screaming Cell Phones」。遠隔操作でとんでもない大きな音を出せる携帯電話の話。盗難防止目的らしいけれど、泥棒は困って捨てるだけだろうから、盗まれること事態を防ぐ効果は小さいでしょうね。それよりも、「落とされてしまいました。持ち主に戻してもらえないでしょうか」と穏やかに話す電話、というアイデアが面白かった

5つ目は「Voting Software and Secrecy」。電子投票用のソフトは、やっぱりオープンソースじゃないとね。

6つ目は「Bureau of Industry and Security Hacked」。「アメリカで輸出規制を担当するBISという部門のサーバが攻撃された。どうも中国かららしい」という話。アメリカは、中国に対する輸出規制の強化を打ち出しているから、中国からの攻撃ってのもありえない話ではないな。

Did Hezbollah Crack Israeli Secure Radio?
http://www.schneier.com/crypto-gram-0610.html#2

Pupillometer
http://www.schneier.com/crypto-gram-0610.html#10

On-Card Displays
http://www.schneier.com/crypto-gram-0610.html#11

Screaming Cell Phones
http://www.schneier.com/crypto-gram-0610.html#12

Voting Software and Secrecy
http://www.schneier.com/crypto-gram-0610.html#15

Bureau of Industry and Security Hacked
http://www.schneier.com/crypto-gram-0610.html#18

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：4本まとめて紹介

今回もまとめて簡単に紹介します。

1つ目は「Educating Users」。「確かにユーザ教育ってのは難しいし成果も上げにくいけど、システムが失敗するのはシステム自体の設計が悪い」という話。フェイル・セーフと同じ考え方ですね。というものの、実現は困難でしょう。

2つ目は「Human/Bear Security Trade-Off」。「クマにとって開けにくいゴミ箱は人間にとっても開けにくい。クマに開けにくく人間に開けやすいごみ箱を作るの難しい」という話。「最も賢いクマと最も愚かな観光客の知能レベルには、相当な重なりがある」という発言には笑った。

3つ目は「Land Title Fraud」。「簡単に対策できる詐欺なのに、銀行は損害が小さいからまじめに取り合わない」という話。結局はコストの問題に行き着きますね。

4つ目は「Media Sanitization and Encryption」。暗号化とサニタイズ(記録メディア内の情報を読めないように完全に消去すること)の話。「暗号化して鍵を捨てちゃえば、事実上サニタイズできるのにNISTは勘違いしている」とのことです。この記事の影響かどうか分からないけれど、NISTは言及された文書からSchneierの指摘部分を削除しました。

Educating Users
http://www.schneier.com/crypto-gram-0609.html#6

Human/Bear Security Trade-Off
http://www.schneier.com/crypto-gram-0609.html#7

Land Title Fraud
http://www.schneier.com/crypto-gram-0609.html#8

Media Sanitization and Encryption
http://www.schneier.com/crypto-gram-0609.html#11

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：「見当違いのマスコミ」と「怪しいPC」

今回も簡単にいきましょう。

1つ目は「HSBC Insecurity Hype」。「マスコミはHSBCのセキュリティがなっていない、というけれど、キーロガーを使われたんじゃHSBCはどうしようもないよね」という話。

2つ目は「USBDumper」。「誰が管理しているのか分からないPCにUSBメモリを挿すと、情報が盗まれたりするよ」という話。

HSBC Insecurity Hype
http://www.schneier.com/crypto-gram-0608.html#10

USBDumper
http://www.schneier.com/crypto-gram-0609.html#15

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：「飛行機の遠隔操縦」と「iPod泥棒」

仕事がタイトでなかなか記事を書けなかったため、先々週と先週の分をまとめて、しかも簡単に紹介します。

1つ目は「Remote-Control Airplane Software」。「飛行機がハイジャックされたら、制御権をパイロットから奪い、遠隔操縦で近くの空港に着陸させてしまおう」という研究プロジェクトの話。

実現すれば、ハイジャック犯が飛行機でどこかに突っ込む、というテロ攻撃は不可能になるけど、ハイジャックはなくならないでしょうね。だって、テロの目的は特定の目標を攻撃することでなく、人々に恐怖心を植え付けることだから。犯人は、乗客を乗せたまま爆破するなりしてしまえば、目的を達成できます。

それどころか、Schneierも指摘しているように、遠隔操縦用の仕組みを飛行機に設けることで、逆にテロ・グループが勝手に飛行機を外部から操縦できるようになるかもしれない。そうなると、事態はかえって悪化します。

この方法の善し悪しは別にして、飛行機を遠隔操縦するということは技術的に可能なんですね。外部から操縦しても、着陸時の失敗確率は上がらないのだろうか。

2つ目は「iPod Thefts」。「iPodひったくりが増えているらしい」という話。以前ニューヨークかどこかでも、「白いイヤホンをしていると、iPodを持っていると思われるから(強盗に狙われて)危ないよ」というニュースが流れました。過去記事「Bruce SchneierのCrypto-Gram：新型ドアロックと『iJacking』」のノートPCひったくりと同様、根本的な解決の難しい問題です。

Remote-Control Airplane Software
http://www.schneier.com/crypto-gram-0608.html#2

iPod Thefts
http://www.schneier.com/crypto-gram-0608.html#5

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：「Googleのクリック詐欺対策」と「携帯電話機のセキュリティ」

先週から今週にかけて妙に仕事と個人的な用事が詰まっていて、全然記事を書く余裕がありませんでした。ということで、2つまとめて投稿。しかも、ごく簡単に。

1つ目は「Google and Click Fraud」。広告リンクを姑息な手段でクリックして無駄な広告料を発生させるクリック詐欺の話。なかなか根本的に解決することは難しいけれど、Googleはがんばっている、といった論調でした。

2つ目は「Getting a Personal Unlock Code for Your O2 Cell Phone」。携帯電話機をロックする暗証番号を遠隔リセットできる機能があるのに、そのリセットに至るユーザ認証が甘いんじゃない、という話。ところが面白いことに、O2の説明には説得力があります。セキュリティって、不当な行為を防ぐだけじゃないんだな、と改めて気付きました。

Google and Click Fraud
http://www.schneier.com/crypto-gram-0607.html#3

Getting a Personal Unlock Code for Your O2 Cell Phone
http://www.schneier.com/crypto-gram-0607.html#6

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：PCにUSB機器を繋ぐときはご用心

今回は「Hacking Computers Over USB」。PCに出所が怪しいUSB機器を接続すると、個人情報が盗まれたり、マルウェアに入り込まれたりするよ、ということです。ほとんど他社の記事を引用するという恐ろしく手抜き記事だったのだけど、個々の手口がなかなか面白く参考になりました。

まぁ、結論はいつも通り「怪しいものを迂闊に使うな」ということですね。

Hacking Computers Over USB
http://www.schneier.com/crypto-gram-0606.html#6

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：性善説に頼れるのならどんなに楽なことか

今回は「Diebold Doesn't Understand the Security Threat」。とある選挙投票システムのメーカーが、ソフトウェア的な穴の存在を認めつつ、「その穴を使って不正をはたらく悪い選挙管理委員などいるはずがない」と発言したとの話。

この会社が状況を理解しているのにこのようなコメントを出したのだとしたら、たちが悪い。そうではなく、選挙管理委員に悪者がいないと信じているのなら、おめでたい連中としか言いようがない。

Diebold Doesn't Understand the Security Threat
http://www.schneier.com/crypto-gram-0606.html#4

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：セキュリティの例外はできるだけなくそう

今回は「The Security Risk of Special Cases」。「セキュリティ・システムに例外を設けると、そこが穴になって、悪者につけ込まれるぞ」という話。

ある空港では、警官は検査を受けずに検問所を通過できる、というルールが公式にあるとのことです。それって本当に必要なルールなのかな。非常に危ないと思うのだけど。

基本的には、杓子定規と批判されようとも、セキュリティ・システムに例外なんぞ設けない方がよいはず。例えば、オートロック方式のエントランスを採用しているマンションなんて、後ろに人がいたら阻止してドアを閉めるべき。その方がみんなの利益になるのに、「不親切だ」「意地悪だ」などの批判が出てきます。困ったものです。

The Security Risk of Special Cases
http://www.schneier.com/crypto-gram-0605.html#11

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：よくできたセキュリティ・システムだったけど、惜しい!

今回は「Software Failure Causes Airport Evacuation」。「空港のX線検査装置がちょっとしたバグを出し、これが雪崩のように拡大してしまい、空港を閉鎖する羽目になった」という話。

空港閉鎖の発端は、X線検査装置が監視用の画面に挿入した偽物の怪しい画像。延々と流れているバッグの映像を流しているだけだと警備員の集中力が途切れるため、この検査装置はわざと怪しい画像をときおり挟むようになっていたそうです。なかなか優れたアイデアですね。いろいろなことに応用できそう。

ところが、本来なら表示されるはずの「これはテスト画像」というメッセージが出なかったせいで、警備員は実在するはずもないバッグを探す羽目に。当然見つかるわけもなく、徹底的な捜索をするために空港閉鎖となりました。

問題拡大の要因やそれを防ぐための対策も、なかなか興味深い。詳しくは原文をどうぞ。

Software Failure Causes Airport Evacuation
http://www.schneier.com/crypto-gram-0605.html#8

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：Nintendo Wiiは電源が切れない?

今回は「When "Off" Doesn't Mean Off」。「2006年第3四半期に発売される予定の次世代ゲーム機Nintendo Wiiは、電源が切れないかも」という話。

どうも任天堂が「オフ」と表現しているモードだと、内部的には電源が切れず、インターネット接続も確立したままで、随時ダウンロードなどの処理を行うらしい。Schneierは、ここにセキュリティ上の問題があるとみています。

電源ケーブルを抜いても、バックアップ用バッテリがあると電源は切れません。インターネット接続は無線経由らしいので、そもそもケーブルを抜くということ自体が不可能。なかなか興味深いですね。

When "Off" Doesn't Mean Off
http://www.schneier.com/crypto-gram-0605.html#5

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：新型ドアロックと「iJacking」

本当なら先週末に書いておくべき記事だったのだけど、すっかり忘れていました。今回は「New Kind of Door Lock」と「iJacking」。

前者は、鍵穴がなくて、「ノック音」を出す携帯用装置で解錠が行える新型ドア鍵の話。僕は非常によい仕組みだと思うのだけど、Schneierは今一歩といったところのようです。ただ、この手の電力を必要とするシステムは、地震などで発生する大規模停電時にどのように対処するかが気になりますね。

後者は、アメリカでノートPCを狙ったひったくり「iJacking」が増えているという話題。盗みやすい、換金しやすい、高価と3拍子揃っているため、この種の行為が多いとの簡単な分析です。なかなか解決の難しい問題ですね。

New Kind of Door Lock
http://www.schneier.com/crypto-gram-0604.html#11

iJacking
http://www.schneier.com/crypto-gram-0604.html#14

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：テロに対する妄想 -その2-

今回は「Terrorism Risks of Google Earth」。前回に引き続き妄想の話です。

「Google Earthでテロのリスクが高まる」という見解を出した「セキュリティ専門家」がいたそうですが、素人だってちょっと考えれば馬鹿馬鹿しいことに気付くはず。いったい何なんでしょう。

Bruce SchneierのCrypto-Gram：監視カメラを設置した妄想気味の理由
http://life-with-guitar.cocolog-nifty.com/nobusato/2006/04/bruce_schneierc_97c8.html

Terrorism Risks of Google Earth
http://www.schneier.com/crypto-gram-0604.html#10

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：監視カメラを設置した妄想気味の理由

今回は「80 Cameras for 2,400 People」。人口2400人というアラスカの田舎町に80台も監視カメラがあり、その設置理由がこじつけ、という話。

まさに、Schneierお得意のmovie-plot threat(映画のストーリーにあるような脅威)でした。日本でも監視カメラが流行しているけど、監視カメラって小さな犯罪抑止力があるだけ、ってことを常に頭に置いておかないとまずいよね。やっぱりセキュリティは教育と訓練に金をかけなきゃ。

80 Cameras for 2,400 People
http://www.schneier.com/crypto-gram-0604.html#3

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：不正クレジットカードがなくならない理由

今回は「Credit Card Companies and Agenda」は、破ったクレジットカードの申込書をテープで貼ってもとに戻し、赤の他人の住所やいい加減な電話番号を書いて投函したところ、クレジットカードが発行されてしまった、という話。

一見、こうしたカードの存在はクレジットカード会社の損害に直結しそうですが、クレジットカード会社は加盟店や消費者にその損害を(こっそりと)負担させる仕組みを作っています。だから、クレジットカード会社は不正発行を防ぐ対策なんてとろうとしません。当たり前と言えば、当たり前です。

こうした状態のことを、経済の世界ではexternality(外部性)と表現するのですね。勉強になります。

Credit Card Companies and Agenda
http://www.schneier.com/crypto-gram-0603.html#10

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：セキュリティの鍵は人間

今回は「Database Error Causes Unbalanced Budget」。本来ならアクセス権がないはずのユーザに許可を与えてしまい、データベース内のデータを間違って書き換えられたせいで大迷惑、という話。

セキュリティというものは、何だかんだ最終的には人間が鍵になりますね。良いにつけ、悪きにつけ。だからこそ、ややこしいセキュリティ・システムを導入するよりも、教育をきちんとした方が良いわけです。

Database Error Causes Unbalanced Budget
http://www.schneier.com/crypto-gram-0603.html#9

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：バーの顔認識システムに対する不安

今回は「Face Recognition Comes to Bars」。バーに顔認識技術を使った来店者チェック・システムが導入されつつあるようです。

酒癖の悪い連中が店に入れないのは勝手だけど、本来の目的と違うことに使われると気持ち悪いよね。

Face Recognition Comes to Bars
http://www.schneier.com/crypto-gram-0603.html#2

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：セキュリティ・システムは上手に失敗しないとね

今回は「Airport Security Failure」で、「セキュリティというものは、問題が発生した場合でも上手に失敗する必要がある」という話。まったくもって、その通りです。

ところでこのSchneierの記事からリンクされていたNewsday.comの記事には、「His shoes fit the profile...」という下りがあります。これを読んだ僕は、『1984年』のなかにあった「子供が、見たことのない変わった靴を履いている人物をスパイとして当局に通報した」シーンを思い出しました。

Airport Security Failure
http://www.schneier.com/crypto-gram-0603.html#6

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：イギリスで税金還付詐欺が大量発生

今回は「Identity Theft in the UK」。イギリスで税金還付に絡み、大量の詐欺が行われたそうです。申請者本人以外の口座に還付金を振り込めるなんて、ちょっと甘すぎるぞ→英内国歳入庁。

それにしても、アメリカやイギリスは本人確認をする際に、母親の旧姓という妙なものを使うことがよくあるようですね。セキュリティの観点からはまったく意味がない行為のように思いますが、何か歴史的な事情があるのでしょうか。

Identity Theft in the UK
http://www.schneier.com/crypto-gram-0602.html#8

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：避雷針のもたらす安心感

今回は「Ben Franklin on the Feeling of Security」。Benjamin Franklinって雷が鳴っているときに凧を揚げるというむちゃくちゃ危ない実験をやった人、っていう知識しかなかったのだけど、避雷針の発明にも深くかかわっていたのですね。しかも生誕300年だったとは。勉強になりました。

面白いのは、Franklinが雷による被害発生確率の低さを知っていたこと。「避雷針を設置するコストのほとんどが無駄になると指摘しつつ、安心感をもたらす効果が大きい」とするあたり、よく分かっていらっしゃる。300年前でも、頭のよい人は本質を理解できていたのですね。

Ben Franklin on the Feeling of Security
http://www.schneier.com/crypto-gram-0602.html#3

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：セキュリティ・システムのコスト効率

今回は「The Failure of US-VISIT」。アメリカでは入国者の指紋を採取するなどして犯罪者などの入国を防ぐ制度「US-VISIT」が運営されています。ところが、コスト効率が悪く「悪人1人を拘束するのに1500万ドルもかかる」と批判しています。

日本でもセキュリティが大流行で、監視カメラや自動監視システムなどが話題になりますが、コスト効率を考えないとね。どうせ100%の安全が得られる訳じゃないのだから。

The Failure of US-VISIT
http://www.schneier.com/crypto-gram-0602.html#7

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：パスワードは紙に書いて記録しよう、その2

今回は「Passlogix Misquotes Me in Their PR Material」。正直なところ、読むほどの内容ではありません。「Passlogixという会社が俺の発言を誤解して宣伝で使いやがった」という愚痴。

ただし、元の発言とされる記事「Write Down Your Password」は面白かった。以前「Bruce SchneierのCrypto-Gram：パスワードは紙に書いて記録しよう」で取り上げたので、そちらをご覧下さい。

Passlogix Misquotes Me in Their PR Material
http://www.schneier.com/crypto-gram-0602.html#10

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：「L0phtCrack」を販売できない理由

今回は「Are Computer-Security Export Controls Back?」。Symantecがパスワード解読／監査ツール「LC5」（「L0phtCrack」）をアメリカとカナダ以外のユーザーに販売できない理由としてアメリカ政府の輸出規制を挙げているけど、そんなの言い訳じゃないの?という話。

以前、暗号化システムのPGPもアメリカ国外に持ち出せず、紙に印刷されたソースコードを介すことで世界に広まった、なんてことがありましたっけ。こうした規制は撤廃されたはずなのですが、どういうことなのでしょうね。Symantecとしては、LC5を外に出されたくないわけが何かあるのでしょうか。イマイチ背景が分かりません。

Are Computer-Security Export Controls Back?
http://www.schneier.com/crypto-gram-0601.html#9

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：職場のPCの私的利用による脅威

今回は「Insider Threat Statistics」。企業では、職場のPCの私的利用がセキュリティ問題を引き起こす、といった内容です。そういえば、僕も勤め人時代、会社のPCにPDAを繋いだり、個人的なデータを保存したりしていたなぁ。

でもね、ちょっと今回Schneierは手を抜きすぎ。忙しいのかな。

Insider Threat Statistics
http://www.schneier.com/crypto-gram-0601.html#8

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：データからも低品質が証明されたIE

今回は「Internet Explorer Sucks」。安全性が低いと常々言われているInternet Explorerは、データを調べたらやっぱり品質が群を抜いて低かったという話です。それでもSchneierは、この調査方法がまだまだ甘いとしています。

だからといって、安易にFirefoxやOperaを推奨しちゃいかんと思います(Schneierもそれは行っていません)。ましてや「Windowsは危ないからLinuxマシンやMacを使え」なんて、セキュリティを理解できていない人の言うことです。IEだろうとほかのWebブラウザだろうと、WindowsだろうとLinuxだろうと、本質的にはどれも危険です。

Internet Explorer Sucks
http://www.schneier.com/crypto-gram-0601.html#5

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：ボットネットは動き続ける

今回は「Dutch Botnet」。オランダ警察が、ボットネットを作って恐喝に使おうとした連中を逮捕したとのこと。いくら犯人が捕まり、ボットネットを制御するノードがなくなっても、ボットは動き続けるから困ったものだという話です。

Dutchを間違えてドイツとしていました。恥ずかしい……

Dutch Botnet
http://www.schneier.com/crypto-gram-0601.html#4

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：守りに必死なMicrosoft

今回は「OpenDocument Format and the State of Massachusetts」。Microsoftがオープンな文書形式OpenDocument Format for Office Applications（ODF）のセキュリティ問題を指摘しているが、同じ穴の狢だろうという内容。

Googleの台頭で時代がOSからネットワークに移行しつつあるうえ、Officeというドル箱を奪われるとMicrosoftには未来がなくなります。既得権を守るのに必死なわけです。Microsoftが守る側になりそうなあたりに、IT業界が大きな変化を迎えようとしていることを感じます。将来振り返ってみたら、2005年、2006年は大転換の時期なのかもしれません。

OpenDocument Format and the State of Massachusetts
http://www.schneier.com/crypto-gram-0512.html#8

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：詰めが甘くないかCME

今回は「CME in Practice」。セキュリティ・ベンダ非依存の統一名称をマルウェアに割り当てるCommon Malware Enumeration(CME)という活動についてです。

活動内容自体は良いことなのに、詰めの甘さで役立たずになる恐れがあるそうです。素人考えでもすぐ気がつく問題なのに、CMEは何をやっているのだろう。セキュリティ・ベンダとの政治的な理由があるのかな。

CME in Practice
http://www.schneier.com/crypto-gram-0512.html#7

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：TSAの機内持ち込み荷物規則の変更

今回は「New Airplane Security Regulations」です。旅客機に持ち込める荷物に対する規則をTSA(米運輸保安局)が変更することを前振りとして、最終的にはSchneierが提唱している「優先課題の概念（notion of agenda）」を具体的に説明しています。

言いたいことは分かるのだけど、説明不足なのかイマイチすっきりしない記事でした。TSAが行き当たりばったりに規則を変えることをそれなりに評価しているようですが、その理由が理解できない。

Beyond Fearをきちんと読めばどこかにヒントがあるのかな。11月から読み始めて、今やっと半分弱です。でも期待通りの内容でして、セキュリティに関心があるのなら目を通しておくことをお薦めします。

New Airplane Security Regulations
http://www.schneier.com/crypto-gram-0512.html#4

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：「Taser」ってなーんだ

今回は「Taser Cam」。内容云々よりも、Taserがなんなのか把握できるまで苦労した。分かってしまえばWebで信頼性の高い細かな情報を手に入れられたのだから楽だったし、今思えば「Taser International」って会社名からすぐに解決していたはずなのに。

ちなみにTaserの正体を最初に見つけたのは、思いもよらぬ辞書「英和商品名辞典」でした。この本が仕事に役立ったのはこれが初めてです。やっぱり本というものは、ピンと来たら買っておくものですね。

Taser Cam
http://www.schneier.com/crypto-gram-0511.html#10

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

Bruce SchneierのCrypto-Gram：二因子認証などに頼りすぎないこと

今回は「Banks and Two-Factor Authentication」。Schneier曰わく「二因子認証を導入したって、フィッシングは防げない」ということです。確かに、二因子認証は認証のセキュリティを高めるだけで、偽サイトにアクセスしちゃった時点で意味がなくなるからなぁ。

ちなみにこの記事のなかで紹介されていたフィッシングの手口は、なかなかうまいものですね。偽物のサイトを信じた時点でエライことになってしまう。つくづくセキュリティにはユーザー教育が重要だと思います。

Banks and Two-Factor Authentication
http://www.schneier.com/crypto-gram-0511.html#5

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

PCは調子良いけど、僕はもう騙されない

先週の金曜日に危うく仕事に使えなくなるところだったPC。何とか復旧させたのに、Just Right!が動かなくなったところまで書きましたっけ。

金曜日の仕事終了後、早速バックアップをとろうとドックに接続したままバックアップ・ソフトを起動したらブルー・スクリーンにもならず突然電源断。焦りました。しかたなく居間に移動して立ち上げると何事なかったように正常動作。とりあえずバックアップを取っておきましょう。

Just Right!は駄目もとで再インストールを行うつもりでした。でも、念のため動かしてみたら今度はきちんと動く。うーん、まぁいいっか。

で、昨日の月曜日はいたって順調に動いてくれました。何もトラブルは起こらず、Just Right!も使える。少し安心しかけたけど、僕はもう騙されないぞ(^^;) そうしたら案の定、今日の仕事中にブルー・スクリーンで再起動、起動中に停止、となりました。やっぱりね:-p とっとと新しいPCに移行しよう。

金曜日に注文したPCとメモリは今日届いたので、いよいよセットアップだ。そんなわけで、当面ここは、ギター練習ブログではなくPC設定日記になっちゃいます。

Bruce SchneierのCrypto-Gram：ECサイトに詐欺防止対策を導入させるには法整備が必要

今回は「Preventing Identity Theft: The Living and the Dead」。ECサイト向けの身元確認サービスを題材にとりあげ、企業がセキュリティ対策の導入を決める際の基準を解説してます。

セキュリティ対策を導入すれば詐欺による損害を未然に防げるわけですが、導入にはコストがかかります。そのコストが損害を上回るのであれば、対策など導入しても意味がないわけです。

面白いのは、損害がECサイトとそのサイトのユーザーの両方で発生する場合。対策導入コストが損害の総額より安くても、ECサイト側に生ずる損害が小さいのなら、ECサイトは対策など導入しません。(よほど良心的なECサイトでなく、ごく普通の)ECサイトは、顧客の損害など知ったことないですから。

だからSchneierは、「法律を整備して損害がECサイトに発生するようにすべき」と主張しています。

Preventing Identity Theft: The Living and the Dead
http://www.schneier.com/crypto-gram-0511.html#4

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

やっぱりお釈迦になりかけているPC

いくらか問題はあるもののまともに動いていたPC。でもやっぱり少しずつファイルが壊れていくようで、突然おかしなことが起きるようになってきた。

一昨日の夕方、仕事を終え一旦PCをシャットダウン。仕事部屋から居間に移って再起動をしたらchkdskが走るじゃないですか。どこかのファイルが壊れたのだろうけど、調べるのも面倒だし、きちんと起動してまともに動いたから放置しました。

で、次の朝仕事部屋に行き、ドックに接続して起動したら、PCIビデオボードを認識しない。本来なら1920×1200でCRTに表示されるのに、800×400の16色表示。いぁー心臓が縮みました。おそらく前日の時点でビデオボード関係のドライバが壊れたのでしょうね。

ドライバの再インストールを試みるも、途中で処理が止まる。仕方がないのでドックからビデオボードを抜き、ThinkPad内蔵のチップでCRTに表示させることでなんとかその日の仕事はクリアできました。でも、1600×1200と画面が狭いうえ、リフレッシュレートが60Hzと低くてちらつくから疲れまくり。

仕事を済まし、外付けHDDからシステムを復旧させて何とか元の状態に戻せたけど、これはいつ壊れてもおかしくないぞ。今回はこの程度のトラブルで済んだけど、Windowsの重要なファイルが壊れていたら立ち上がりさえしなかったかも。ほかにも怪しい動きもあるしなぁ。どうもPCのシャットダウンでトラブルが起きている気がするから、その前に必ずバックアップすることにしよう。

と、思っていたら、今朝は仕事で使っているJust Right!がナンの前触れもなく起動しなくなりました。メモリを不正アクセスするそうです、ってどうすりゃいいんだ。今晩とりあえず再インストールだな。

年貢の納め時ですね。早速新しいPCを注文しました。飽きもせずThinkPadで今度はX32です。メモリも増設して15万円強。痛い……。ソフト代も必要だし。それに今のPCがいつ動かなくなるかわからないから、届いたらすぐに夜なべして設定をしないと。忘年会シーズンだというのに辛い…… 何だかんだ新しいPCが使えるようになるのは年明けになりそうだから、それまで今のPCに頑張ってもらわないと。

僕は反省しました。もう仕事用のPCは遊びに使いません。そう言う視点でPCを選ぶと、ハードディスクの容量は40GBで十分なことに気付いた(^^;)

Bruce SchneierのCrypto-Gram：見た目で分かるテロリスト:-p

今回は「A "Typical" Terrorist」。とある新聞に「テロリストの可能性が高い人物の外見」を紹介した記事が掲載されたそうで、Schneierはあまりにもひどいと嘆いています。こうした偏見とか前提って的確な判断をできなくするから、セキュリティにとっては邪魔以外の何者でもないです。

以前紹介した以下のプレスリリースでも「IMワームに中東のハッカーグループが関与」なんてありますが、本当かどうか怪しい。ただの偏見ならまだしも「現在の中東政策をなんとか維持したい米政府が裏で動いているかも」なんてのは考え過ぎかな。

FaceTime Communications
Instant Messenger RootKit Worm Tied to Worldwide Bot Network Controlled by Group in Middle East

あと過去記事でちらっと書いた「ニューヨークの地下鉄が狙われていると盛んに発言する市当局」についても、その後「そんな疑いは根拠がない」と否定する情報が流れてました。どうも恐怖を利用する連中が多いようなので注意しましょう。

A "Typical" Terrorist
http://www.schneier.com/crypto-gram-0511.html#11

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/

あやうくお釈迦になるところだったPCのその後

お釈迦になりかけたPCは、その後トレンドマイクロのウイルスバスター2006を入れて概ね快調に動いています。

セキュリティ・ソフトを入れることで動作が遅くなるのではないかと心配していたのだけど、今回は全然気にならない。全体的な処理が軽いし、メールの送受信も速くて負担にならない。Webアクセスも速い。あと嬉しかったのが、TRADOSジャパンから来た宣伝メールを迷惑メールとして分類してくれたこと:-p

シマンテックのノートン・インターネット・セキュリティを使っているときは、何をするのも重くて嫌だった。しかも操作体系やヘルプもウイルスバスターの方がずっと分かりやすい。こんなことなら、もっと早くに移行していればよかった。

ただ「概ね」と書いたように、ノートンのccapp.exeが悪さをした影響か、そのせいでハード・ディスクの中身を少し前の状態に戻して整合性が崩れたせいか、あちこちでおかしな動きに出会います。

まずはiTunesが立ち上がらなくなりました。これはiTunesの再インストールで解決したからもう忘れましょう。

次にWindows Media Playerの動画再生が、PC起動後1回しかできなくなった。「ファイルを再生するデコーダがない」といった内容のエラーが出てしまう。Windows Media Playerの再インストールや、デコーダの再インストールでも駄目。何が原因なのかさっぱり分からない。

動画の問題を調べる過程でデバイスマネージャを起動したら、エラーで立ち上がらない。レジストリが壊れているそうです(^^;) そう言えば、レジストリの修復メッセージも2回ほど出た。

あと念のためウイルスバスターで検査をしたら、途中でOSごと死んだ。その後、自動で動いた検査は無事に終了したけど、怖いから自動検査はオフにしました。その絡みなのか、フォルダやファイルが2回ほど壊れ、chkdskとバックアップの世話になった。

仕事で無事に使えているからよいのだけど、この先何が起こるのか不安だなぁ。年末で決算したら、来年早々新しいPCを買おう。うーん、ソフトも揃えなきゃなんないから痛い出費だ。

Bruce SchneierのCrypto-Gram：セキュリティ担当者の首と責任

今回は「Hurricane Security and Airline Security Collide」。ハリケーンのリタが来る少し前、ヒューストンではセキュリティ検査担当者まで避難したせいで搭乗手続きが混乱したという話。

逃げた担当者の気持ちは分かるけど、公共インフラを支えている人たちなのだから逃げちゃまずいでしょう。もっとも、空港なり自治体などがバックアップして、職務を遂行できる環境を整えるのが本来の対策なのかな。

ちなみにTSAは、こうした非常時には、ある程度セキュリティ検査を端折ることが許されているようです。それをしなかった理由をSchneierは「決定権を持っていた担当者が、端折った結果として何か起きたときに首になるのを恐れたから」とみています。セキュリティを検討するにあたって、重要なポイントですね。

ところで、今更ながら「Beyond Fear: Thinking Sensibly About Security in an Uncertain World」を読み始めました。Crypto-Gramと同じようなことを扱っているから目新しくはないけど、面白いことは間違いない。お薦めです。

Hurricane Security and Airline Security Collide
http://www.schneier.com/crypto-gram-0510.html#13

Crypto-Gram
http://www.schneier.com/crypto-gram.html

Crypto-Gram日本語訳バックナンバー
http://itpro.nikkeibp.co.jp/free/ITPro/Security/CRYPTO-GRAM/