水無月ばけらのえび日記

NEC.EXE 来たっぽい

なんか Symantec AntiVirus で検出されない奴が来ていますが……どうも「システムフォルダに“NEC.EXE”として感染するウイルス (internet.watch.impress.co.jp)」として紹介されている奴のようです。

LiveUpdate の対応日は 2005年06月01日ですか……。

• 「NEC.EXE 来たっぽい」にコメントを書く

関連する話題: セキュリティ / コンピュータウィルス

ロマサガメモ

ロマサガ (www.amazon.co.jp)、西の洞窟で王冠つきの獣を発見。交渉したら「高い靴」をもらえました。

王冠つきはスカーブ山と南の洞窟前の坂道でも目撃しましたが、そのときは交渉できなかった……。ちなみにいずれも獣でした。出現の法則が分かるとおいしいのですけれども。

以下、小技のメモ。

• 薬局で調合を頼むと手持ちの薬草をすべて使われてしまいますが、武器欄に装備しておいた薬草は使われません。調合前に上薬草を装備しておいて調合後にはずせば、上薬草だけ手元に残す事が可能。
• フィールドアーマーを樹精結晶で補強して術法防御強化を二度行うと、物理28術法54となってヴェルニーアーマーと同じ防御力が得られます。しかも重量26なのでわずかに軽いです。樹精結晶さえ入手できればヴェルニーアーマー意味無し。
• その樹精結晶はゴドンゴで売られていますが、品切れ率が高いです。しかし、すぐ近くにあるパブへ出入りすると品揃えが変わる場合があります (リアル時間で変わる?)。他、発掘でも入手できます。

• 「ロマサガメモ」にコメントを書く

関連する話題: ゲーム / Sa・Ga / ミンストレルソング

クロスカウンター?

「05月26日 大手サイトの「４つのやりません宣言」　サイバーノーガード戦法を超えた必殺のサイバークロスカウンター！ (www.netsecurity.ne.jp)」という記事が。

超えましたか。

• 「クロスカウンター?」にコメントを書く

関連する話題: セキュリティ / 価格.com

ダミーを公開

「ダミーを差し替えるのを忘れた」文化庁、アイコン画像の無断流用認める (internet.watch.impress.co.jp)

「アタリ」で入れていたアイコンがそのまま公開されてしまったというお話でしたか。ありがちと言えばありがちな話ですね。

※アイコンはともかく、アタリのつもりで入れていた文言がそのまま公開されてしまうというのは良くあるような気が。まあ、公開しても問題ないようなものを入れているからこそ気づかれないので問題無いと言えば無いのですが、それがサイトポリシーの文言だったりするとどうなのかと。:-)

• 「ダミーを公開」にコメントを書く

関連する話題: Web

IT Pro がやっちゃった

IT Pro で HTML のクイズが出ていました。

1. はいきなり引っかけ問題です。イメージの中にリンクを「埋め込む」技術は「イメージマップ」と呼ばれますが、多くの場合は map要素および area要素で実装されます。a要素を使用するのは誤り……と思いがちですが、実は HTML4 では a要素でイメージマップを実装する方法が提唱されています。少なくとも仕様上は a要素でイメージマップを実現できる事になっていますので、これは正しいと言えます。

2. は日本語が微妙ですね。基本的には script要素 を使用しますので正しいと言えば正しいようにも思えますが、onclick などを使用すれば script要素が無くてもスクリプトは書けますので、必ずしも script要素を使用する必要はないと言えるでしょう。よって誤り。

3. も微妙ですが、フレームを使用するためには frameset要素だけではなく frame要素も必要ですし、そもそもフレームに対応していないブラウザも存在します (そのために noframes要素が存在します)。そのため、必ずしも「分割できる」とは言えないでしょう。誤り。

4. はもはや解説不要ですね。HTML では html要素の開始タグと終了タグは省略可能ですし、なにより HTML は文書型宣言で始まらなければなりません (コメントや処理命令で始まってもかまいませんが、いずれにしても文書型宣言が必須)。XHTML の場合は開始タグ・終了タグが省略できませんが、やはり文書型宣言が必要です (まあ、無くても Well-formed な XML にはなりますが)。よってこれは明確に誤り。

4 は明確に誤り、他はやや微妙ですが、1 は正しく 2, 3 は誤りと判断しました。というわけで正解は 1。

……と思ったのですが、よく見るとそもそも「間違っているモノを選べ」という問題だったのですね。きわめて明確に誤りと言えるのは 4 ですので、4 でファイナルアンサー。

• 「IT Pro がやっちゃった」へのコメント (4件)

関連する話題: HTML / ITpro

mailto: URL で Bcc: が指定できてしまう問題

更新: 2005年5月27日

JVN で「JVN#FCAD9BD8 メールクライアントソフトにおける mailto URL scheme の不適切な解釈 (jvn.jp)」が公開されました。

Shuriken Pro (www.amazon.co.jp) についてはアップデートモジュールが公開されています……「特殊な mailto: URL を利用する際、お客様が意図しないメールが送信されてしまう現象について (www.justsystem.co.jp)」。Pro でない Shuriken はノーサポートのようですが、それはもうライフサイクルが終わっているということなのでしょうね。

実はこの話、ニフティの FPROG で「mailto: URL で From: を指定する方法ってありますか?」という質問が出たのがきっかけだったりします。脊髄反射で「そんなことできたら脆弱性ですよね」みたいなコメントを書いたのですが、その後実際に鶴亀メールで試してみたらなんと指定できてしまったという。といっても「From: がダブっている」という旨の警告が出て送信はできませんでしたので、鶴亀メールについては問題ないと判断しましたが……他の MUA はどうだろうということでいろいろ検証してみたところ、ほとんどの MUA では From: は指定できないものの、Bcc: が指定できることが分かりました。

多くの MUA では Bcc: が必ず表示されるという実装になっており、RFC2368 には反していますがまあ問題はないかな、と判断したのですが、Shuriken (Pro ではない、古いモノ) では Bcc: が表示されないまま送信されてしまうことが発覚したという次第です。

その後 Shuriken Pro を使用している方にご協力いただいて Pro でも再現することを確認しました。そして Shuriken Pro の脆弱性として届け出たのですが、それがいきなり不受理。IPA の方曰く:

まあそんなものなのかな、と思っていたのですが、何がどうなったものか、一週間ほどして

と、突如方針転換。そうして現在に至った感じです。

※2005-05-27 追記:「RFC2386」は原文ママ。"The mailto URL scheme" の RFC は RFC2368 です。

そんなわけなので、実は当初の届出者の意図とはちょっと違う形で公開されていますが、まあそれはそれで良いかなと思います。

※前にも書きましたが、こういうのは「不受理」にはカウントされないみたいですね。

• 「mailto: URL で Bcc: が指定できてしまう問題」へのコメント (4件)

関連する話題: セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ / ジャストシステム / RFC

価格.comでスクリプトを

ちょっとエアコンの値段の相場が知りたくて、再開した価格.comにアクセスしてみたら

と言われました。「こちら」の内容を見るとこんな指示が。

これは厳密には誤りです。Windows Server 2003 (www.amazon.co.jp) の IE6 ではデフォルトが「高」になっていますから、このように設定するとデフォルトよりもセキュリティレベルが低くなってしまいます。

……とりあえず「セキュリティ」タブを開くところまでは指示に従って、その後「制限付きサイトゾーン」を開いて kakaku.com を追加しておきました。

• 「価格.comでスクリプトを」にコメントを書く

関連する話題: セキュリティ

価格.com再開

• 「過失はない」としながらも不正アクセスの詳細の言及は避ける～カカクコム (internet.watch.impress.co.jp)
• 「過失はない」「地震のようなもの」――カカクコム、侵入手口明らかにせず (www.itmedia.co.jp)
• 価格.com閉鎖の原因と対策は非公開--メールアドレス詐取の補償なし (japan.cnet.com)

ノーコメント。いや、なんかもう記事からも不快感がにじみ出ている感じがしますが……。

誤解なのか意図的に言っているのか分かりませんが、IPA が不正アクセスや脆弱性の個別事例について詳細情報を公開することは無いはずです。せいぜい、統計情報が公開される際に「SQLインジェクションでウィルスを埋め込まれるという被害が発生する事例もあった」などと語られるくらいでしょう。ぶっちゃけ、お蔵入りということですね。

• 「価格.com再開」へのコメント (6件)

関連する話題: セキュリティ / IPA

Wiki添付ファイル話が更新

「JVN#465742E4 Wiki クローンにおけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」が更新されて、AsWiki と hiki は「該当製品あり」に変更されました。また、「FreeStyleWiki (fswiki.poi.jp)」が「該当製品あり」として新たに追記されました。

……ということを、セキュリティホールmemo経由 (www.st.ryukoku.ac.jp)で知りました。しょぼーん。

• 「Wiki添付ファイル話が更新」にコメントを書く

関連する話題: セキュリティ / IPA / JVN / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ

添付ファイルを開いてしまうブラウザの調査

「Wiki のファイル添付の脆弱性」の話で、対応策として「Content-Disposition フィールドなどをつけて、添付ファイルが強制的にダウンロードされるようにする」というものを挙げましたが、中には Content-Disposition を無視するブラウザがあるそうです。

というわけで、Hiki の開発者であるかずひこさんが「ファイル添付の脆弱性に関するブラウザの調査 (kazuhiko.tdiary.net)」をされているようです。レアなブラウザを使われている方は是非。

※この調査が行われているという情報はむらまささん (www.fprog.org)に教えていただきました。ありがとうございます。

• 「添付ファイルを開いてしまうブラウザの調査」にコメントを書く

関連する話題: セキュリティ

原因は SQLインジェクション?

「データベースを攻撃、外部から支配　カカクコムＨＰ事件 (www.asahi.com)」という記事が出ています。

「利用者のふりをして」云々はちょっと語弊があるような気がしますが、ともあれ価格.com がやられた原因は SQLインジェクションだったというお話ですね。OS (Windows Server 2003) の不具合ではなかったようでほっと一安心ではあります。

これが事実であれば、ウェブアプリケーションの脆弱性を突かれた事例としては過去最大級ということになるのではないかと思います。また、ある意味私の敗北でもありますね。3月の時点で価格.com を利用していたのに、脆弱性を発見できなかったわけですから。

※そして別の意味では、不正アクセス禁止法の敗北でもあると思います。"IF" の話をしても仕方が無いことは分かっていますが、「もし」office さんが逮捕されていなかったら、私はおそらく SQL インジェクションができないかどうかチェックしていたでしょうから。今回のアクセスは海外からのものだという噂がありますが、それが事実ならば「不正アクセス禁止法は海外からの不正アクセスに対して抑止効果が全く無い」という、以前から指摘されてきたことが証明された形にもなりますね。

SQL インジェクションができてしまったのであれば、ウェブアプリケーション側のサニタイズに不備があったということですから、それは立派な「プログラムのミス」であり「プログラムに欠陥」だと思いますが。「コンピューターが正規の命令か悪意のある命令かは判断できない」って……そりゃそうですが、本来であればそもそも SQL サーバに対して悪意ある SQL 文が渡らないようにする必要があったのに、それを怠っていたからこそ発生したのでしょう。

※昔の HTML 解説の件と言い、朝日新聞はもうちょっと IT 系をがんばってほしい感じです。

• 「原因は SQLインジェクション?」へのコメント (2件)

関連する話題: セキュリティ / 価格.com / SQLインジェクション

やられたのは静的ファイルだけ?

「当社運営サイトへの不正アクセスにおける追加調査結果のご報告 (www.kakaku.com)」というものが出ています。改竄された URL の一覧が出ているのですが……どうも静的ファイルばかりのように見えます。

「プログラム改ざん」と言われていたので動的な部分が改竄を受けていたのかと思っていましたが、これを見た限りでは、静的な Web ページが改竄されただけのようですね。改竄内容も iframe要素を加えるだけというシンプルなものですし、どのあたりで「レベルが高いアタックだったとの感触」が得られたのかがよく分からない感じですが。

※厳密には拡張子が .html だからといって静的とは限らないのですが、価格.com は Windows で運用されており、動的コンテンツは拡張子 .asp になっていましたから、.htm や .html は静的と考えてしまって良いでしょう。

……と思ったら、メール配信システムは改竄を受けていたという話が出ていますね……「価格.comの最安値通知メールにもウイルス拡散を試みる不正タグが混入 (internet.watch.impress.co.jp)」。あるいはプログラムではなく、HTML メールのテンプレートが書き換えられたのかもしれませんが。

• 「やられたのは静的ファイルだけ?」にコメントを書く

関連する話題: セキュリティ / 価格.com

1周目クリア

ロマサガ (www.amazon.co.jp)、デスもジュエルビーストも倒し、残るはサルーインのみ。

……あっさり撃破!

いや、デスもジュエルビーストも苦戦したのですが、サルーインは楽勝でした。誰も一度も倒れずに倒せてしまいましたし、BP をためて待っていたオーヴァドライブ要員も活躍の機会がありませんでした。

2周目以降はいろいろ追加要素があるらしいので、早速バーバラで2周目開始。

いちおう一周したので感想を述べておきますが、なかなか良い出来だと思います。追加されたシステムも追加されたお話も非常に良くできている印象です。また、過去の反省がかなり生かされているようで、戦闘時のナレーションや「ギユウ軍」によるチュートリアルなど、プレイヤーを置き去りにしないための細かい気配りが感じられます。

少し難を言うと、マップアビリティの付けはずしとカメラワークに理不尽さを感じました。

マップアビリティは同時に 5つまでしかつけられず、付け替えるには町などの安全な場所まで戻る必要があります。ダンジョンで「ジャンプが無いと進めません」と言われたら、ジャンプを装備するためだけに町まで戻ったりする必要があるわけです。しかもどのダンジョンで何が必要なのかはほぼノーヒント (ただしスカーブ山でクライミングが必要なのはヒントあり。いや、ヒント無くても山だという時点で想像つきますけど)。

一番ひどかったのはウェストエンド壊滅後にジュエルビーストの洞窟に潜ったときで、「ジャンプが必要」と言われて引き返したらヤシ村もサオキ村もウェストエンドも崩壊していたためアビリティの付け替えができず、結局ニューロードを通ってタルミッタまで戻らされました。そしてジャンプをつけてきたら、今度は「クライミングが必要」と言われまして……このときは正直、萎えました。

あとはカメラワーク。このゲームでは敵を避ける必要があるのですが、狭い洞窟の曲がり角などでは、プレイヤーの見えないところで敵に当たってしまう事があります。こっちはせっかく忍び足・ステルスを使っているのに、そういう事故が起きるとかなり残念な思いをします。洞窟の外でも、画面手前に向かって進んでいると進行方向が見えない事があったりします。敵を避ける必要があるのですから、もう少しキャラクターの進行方向がちゃんと見えるような配慮がほしかったところです。

とはいえ、全体の出来はかなり良かったと思います。「アンリミテッド:サガ (www.amazon.co.jp)」の汚名を晴らすには十分なのではないでしょうか?

※思いっきり余談ですが、アンリミテッド:サガと並び称される「ガンダム一年戦争 (www.amazon.co.jp)」では、制作側が「一年戦争はすみませんでした」と謝ったそうですね……「ああ、無情。ゲーム系:バンダイの気持ち (blog.livedoor.jp)」。

• 「1周目クリア」にコメントを書く

関連する話題: ゲーム / Sa・Ga / ミンストレルソング

Wiki のファイル添付の脆弱性

「とある Wiki に XSS 脆弱性?」のお話、JVN で公開されました。

• JVN#465742E4 Wiki クローンにおけるクロスサイトスクリプティングの脆弱性 (jvn.jp)
• JVN#465742E4：Wiki クローンにおけるクロスサイト・スクリプティングの脆弱性 (www.ipa.go.jp)

※JVN 側と IPA 側で表記が違う (IPA 側では「クロスサイト・スクリプティング」とナカグロが入っている) のが微妙に気になりますが。

話は単純で、「任意の HTML ファイルが添付できる」というだけです。HTML を用意し、添付します。添付されたファイルにアクセスすると、普通に HTML が表示されます。ただそれだけのことで、特別な細工は何も必要ありません。

スクリプトを含む HTML も添付できますので、悪意あるスクリプトを含む HTML を添付すれば攻撃が成立します。HTML が添付できることにはみんな気づいていたと思うのですが、それが悪用できるということに気づいていなかった……という感じでしょうか。

対応としては、

• 添付を無効にする
• Content-Disposition フィールドなどをつけて、添付ファイルがその場で開かれない (強制的にダウンロードされる) ようにする

といったものがあります。Hiki は後者の対応になっています。

後者に関しては、ダウンロード後にローカルで開けばローカルでスクリプトが実行されることになるわけですが、それはたとえばウィルス付きの exe ファイルを添付するとどうなるかという話と同じレベルのものであって、XSS ではありません。そもそも任意のファイルを添付できるということ自体が危険ですので、それをふまえて運用してくださいということで。

※なお、Hiki に関しましては ZnZさん (znz.s1.xrea.com)が開発者の方との連絡、対応方法の検討などをしてくださいました。ありがとうございました。この場を借りてお礼申し上げます。

• 「Wiki のファイル添付の脆弱性」へのコメント (1件)

関連する話題: セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ / クロスサイトスクリプティング脆弱性

製品開発者が脆弱性ではないと主張した場合

totoroさんのところに、「昨年にIPAに対して報告していた、脆弱性について、今し方回答が来た (d.hatena.ne.jp)」というお話が出ています。まあ良くある話ですが……。

ただ、「IPAも脆弱性じゃ無く、仕様と認められてる」というのはちょっと微妙な感じがします。IPA が脆弱性ではないと判断した場合、製品開発者に連絡が行く前の時点で「届出情報不受理」になるはずです。中には「脆弱性の定義には当てはまらないが、セキュリティ上好ましくない動作であると判断したので一応通知する」というような微妙な判断がなされるケースもありますが、その場合はそういう連絡が来るはずです。それがないのであれば、IPA は脆弱性だと判断して通知したのでしょう。

IPA と JPCERT/CC は脆弱性関連情報の検証や伝達を行ってくれますが、製品開発者に対して「修正しろ」と命令したり指導したりすることはできませんので、製品開発者があくまで脆弱性でないと言い張った場合にはどうにもならないのですね。

※「JVN#9ADCBB12 携帯電話端末における特定 QR コードを使用したサイト接続時の問題 (jvn.jp)」も、IPA は脆弱性だと判断したが製品開発者が脆弱性ではないと主張したケースなのでしょう。

• 「製品開発者が脆弱性ではないと主張した場合」にコメントを書く

関連する話題: セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ / 携帯電話

価格.com 不正アクセス(続き)

興味深い話が続々。

• 「最高レベルのセキュリティが破られた」――カカクコム、不正アクセス事件を説明 (www.itmedia.co.jp)
• 「ソフト、ハード、運用の全てを刷新」価格.com、23日をめどに復旧 (internet.watch.impress.co.jp)
• 価格.com経由で拡散したウイルス、Windowsの既知の脆弱性を悪用 (www.itmedia.co.jp)

これは感心しました。こういう言い方ができるのですね。

もちろん逆の言い方も可能です。「すぐにサーバを停止しないと、侵入者に証拠隠滅 (ログを消したり) の時間を与えてしまい、不正侵入の経路や手法が特定できず、再開後もまた同じ攻撃を受ける危険性が高まります」。侵入が分かったら、何はともあれ凍結してその時点のデータを保全すべし、というのがコンピュータフォレンジックの基本だと思いますし、少なくとも、実際に運用中のサーバをハニーポット (侵入者の行動を見るためのおとり) として使うという選択は考えられないと思います。そんなことをすれば、サーバから外に攻撃されて他人に迷惑をかけることがあり得ます……というか、今回のケースはウィルスをばらまいた訳で、まさにそれが起きてしまったのですよね。

侵入経路である穴をふさがないと駄目だという事は、素人でもすぐに分かると思うのですが……。さらに言えば、仮に穴をふさいだとしても、ひそかにバックドアが作られている (しかもそれはそう簡単には発見・停止できないようにしてある) 可能性が高いので、一時的に止めて軽くパッチを当ててそのまま運用、というのもありえないでしょう。

たとえば、それなりにちゃんとしたデータセンターにサーバを置くと、かなり強力なセキュリティで保護されます。サーバルームは監視カメラで 24時間監視されていて、入室には写真入りの身分証明書が必要 (運転免許証もパスポートももっていない私などは入れてもらえなかったりする) になっている場合があります。このような体制を「最高のセキュリティ対策」と称しているのであれば、それはある意味正しいのでしょう。

そして、このような「最高のセキュリティ対策」のデータセンターにパッチ未適用のマシンが置かれていることはしばしばあります。:-)

ちなみに外部からの攻撃が今まで防げていたという話、素人が見ると「ちゃんとセキュリティ対策をしていた」という印象を受けそうですね。外部からの攻撃というのは日常的に起きていて、たとえばこのサーバ bakera.jp も毎日攻撃を受けています。バッファオーバーフローを試みるもの、メールの第三者中継を試みるものなどいろいろですが、今のところ実害はありません。bakera.jp はただ普通にパッチを当てているだけで、特別なセキュリティ対策はしていないのですが。

※FTP や POP3 やリモートデスクトップのポートを開放していると、辞書攻撃でパスワードを解こうとする試みも見られます。これまた普通に日常的に起きています。

今までのシステムが既に「最高レベルのセキュリティだった」と言っていませんでしたっけ。言っていることが違いますが……。

それ以前に、一週間でプログラミングも一新して復旧するというのは無茶なのでは。システムを新しくしたのであれば、テスト期間だけでできれば一ヶ月、急いでいても最低一週間は確保するのが普通ではないでしょうか。テスト期間が削られると、それだけ脆弱性が発見されにくくなるわけですが、そのあたりが少々心配です。

• 「価格.com 不正アクセス(続き)」にコメントを書く

関連する話題: セキュリティ / 価格.com

価格.com 不正アクセス?

価格.com がやられたようで、各所にニュースが出ています。

• 価格.comが一時閉鎖、不正アクセスでトロイの木馬を仕込まれる (internet.watch.impress.co.jp)
• 価格.comが不正アクセスで閉鎖　ユーザーにウイルス感染のおそれも (www.itmedia.co.jp)
• 「価格.com」に不正アクセス、サイトを閉鎖 - ウイルス配布も? (pcweb.mycom.co.jp)
• カカクコム、不正アクセスで閉鎖に　復旧まで１週間？ (www.asahi.com)
• 価格.comサイトが不正アクセス被害で閉鎖中 (slashdot.jp)

株式会社カカクコムからのリリースも出ています。

• 【重要なお知らせ】当社運営サイトに対する不正アクセスとサイト一時閉鎖に関してのご報告 (www.kakaku.com)
• 【重要なお知らせ2】当社運営サイトを閲覧されたユーザーの方々へのセキュリティ対策のご報告 (www.kakaku.com)

不正アクセスはともかく、「一種のサイバーテロ的な行為」というのが何とも言い難い味わいです。具体的に何が起きたのか全く分からないのですが、「[connect24h:9094] Re: kakaku.comクラックされたらしぃ (www.st.ryukoku.ac.jp)」によれば、サーバは Windows Server 2003 だったらしいので、他人事ではないかもしれません。

※よく考えると、私の Windows Server 2003 (www.amazon.co.jp) は、価格.com で値段を比較して買ったものだったりします。:-)

※未確認情報ですが、中国方面からのクラックではないかという噂もあるようです ([connect24h:9103] Re: kakaku.comクラックされたらしぃ (www.st.ryukoku.ac.jp))。

5月11日に把握したのに 5月14日まで止めず、その間にウィルスをばら巻かれてしまったというのが厳しいですね。EC サイトの場合、サイトを停止すると損害額が一日いくらという数字ではっきり出てしまいますから、止めるという決断にはかなりの勇気が必要です。その決断の遅れが、結果的に損害を増やしてしまうこともあると……。

• 「価格.com 不正アクセス?」にコメントを書く

関連する話題: セキュリティ / 価格.com

邪のオブシダンソード

ロマサガ (www.amazon.co.jp)、凍った城で「邪」のディステニィストーン、オブシダンソードを入手。

※ミンストレルソングでは何故か「デステニィストーン」ではなく「ディステニィストーン」という表記になりました。"destiny" だとすると昔の方が近いと思うのですが、destiny ではないのかも。

今回のオブシダンソードは、なんと変形します。戦闘中に△(三角)ボタンでモードを変更すると、

• アタックモード …… 両手大剣。巻き打ち、および両手大剣のアタックモードの技が使用可
• トリックモード …… 長剣。断ち切り、および長剣のトリックモードの技が使用可
• ディフェンスモード …… 細剣。高速突き、および細剣のディフェンスモードの技が使用可

となり、グラフィックも変化します。毎ターン変形させることも可能。なかなかかっこいいです。「死の剣」のような無茶なペナルティもありませんし (それどころか全能力アップ)、結構使えるのではないかと思います。

※ただ、モードによって使える技が限られているのはちょっとマイナスかも。両手大剣の形態ではアタックモードの技しか使えず、ディフェンスモード時は細剣になってしまうので、両手大剣のディフェンスモードの技 (「骨砕き」とか) は使用することができないようです。ちなみに他の形態の技も閃くことができるようで、細剣の形態で使っているのに両手大剣のアタックモードの技を閃いたりすることがあります。

以前のロマサガでは、他のディステニィストーンは指輪だったり腕輪だったりするのにオブシダンだけは剣、それも両手持ちの大剣というのがちょっと不自然でしたが、オブシダンは魔力で自由に変形するのだとするとしっくり来ます。なかなかうまい設定だと思います。

• 「邪のオブシダンソード」にコメントを書く

関連する話題: ゲーム / Sa・Ga / ミンストレルソング

第三者中継の試みに対するウィルス警告spam

ウィルス警告spam が来ているわけですが、ひょっとすると某社のメールサーバは

• 第三者中継は拒否
• 受け入れたメールをチェック、ウィルスだった場合 From: にウィルス警告 spam を送信

という処理ではなくて、まずウィルスチェックをして、第三者中継の試みであろうが関係なしにウィルス警告 spam を送信しているのかもしれないですね。

まあそれ以前に、そもそも From: に対して警告を送るのをやめてほしいですけれど。

• 「第三者中継の試みに対するウィルス警告spam」にコメントを書く

関連する話題: セキュリティ

Xbox360 のデザイン

「日本市場をターゲットに見据えたタイトルでトップを取る――ピーター・ムーア (1/2) (www.itmedia.co.jp)」

個人的にはそのデザイン、OptiPlex GX280 スモールデスクトップ (www1.jp.dell.com)の色違いに見えて仕方ないのですが。

• 「Xbox360 のデザイン」にコメントを書く

関連する話題: 思ったこと

また組織変更?

「日本テレコム、日本テレコムIDCを7月に吸収合併 (internet.watch.impress.co.jp)」って、また組織変更ですか。

ついこの間買収されて、ドメインが変わったら嫌だなと思っていたら案の定 cwidc.net が idc.jp になって、設定を変更したばかりなのですけれど。また DNS サーバの名前や IP アドレスが変わる、というのはちょっと勘弁してほしいです。

• 「また組織変更?」へのコメント (2件)

関連する話題: DNS

MT に脆弱性

• JVN#74012178 Movable Type におけるセッション管理の脆弱性 (jvn.jp)
• JVN#74012178：Movable Type におけるセッション管理の脆弱性 (www.ipa.go.jp)
• 【重要】 第三者による不正アクセスを許す危険性の対策について (www.movabletype.jp)

ということで脆弱性だそうですが、

って、これが起きたらその時点でセッションハイジャックできますね。おそらく重要なのは

というあたりで、「セッション管理で使われるCookieの値」が一時的なセッション ID ではない、という話なのでしょう。

通常のセッションハイジャックの場合、ターゲットがログアウトしてしまえばサーバ側で Cookie が無効になります。すると攻撃者に盗まれた Cookie も無効になり、それは二度と有効になりませんので、攻撃者が再度ログインしたい場合は盗聴なり攻撃なりをもう一度成功させなければなりません。が、Cookie が恒久的に使えれば攻撃者もその Cookie を恒久的に使えるわけでして、一度でも盗聴されたらそれでアウトになってしまうという事ですね。

パケット盗聴等で Cookie を盗まれなければ問題ないはずですが、たとえて言うならページアクセスのたびに「SSL 保護無しでパスワードを送る」という行為をしているのと同じような感じでしょうか。非 SSL で Basic 認証を使っていれば普通に起きていることなので、大して危険ではないような気もするのですが、危険性の評価は利用状況によるでしょう。MT を利用してるのは個人サイトだけではありませんし。

「リスクを軽減する対策」と称するものがいくつか挙げられていますが、これは本当に「軽減」にしかならないですね。

パケット盗聴で Cookie: フィールドが読まれていると想定するなら、そのとき一緒に Request-Line も読まれている可能性が高いはずです。それによってパスは読まれてしまいますから、表から隠してもほとんど意味がないのではないかと思います。管理画面へのアクセスではないリクエストだけが盗聴されたのであれば意味がありますが……。

※Request-Line というのはリクエストの最初の「GET /foo HTTP/1.1」のような行のこと。管理画面アクセス時は、/foo の部分に管理画面 CGI のパスが入ります。

これも、もちろん何もしないよりはましだと思いますが、ぶっちゃけた話、「こまめにパソコンの電源を切るとウィルスに感染しにくい」というのと同じ程度の話でしかないわけで、根本的な対策にはならないですね。

やはりパッチ待ちということで。

• 「MT に脆弱性」にコメントを書く

関連する話題: セキュリティ / IPA / JPCERT/CC / JVN / SSL/TLS / Movable Type

陣が出ない理由

ミンストレルソング (www.amazon.co.jp)には「陣」というものがあって、連携時に特定の条件を満たすと発動するらしい……ということは知っていたのですが、実際に出たことは一度もありませんでした。

その状態のまま、とあるイベント戦闘で「勝利条件 : 『龍陣』を完成させろ」などと言われて途方に暮れたわけですが、メッセージに従って前列・中列・後列で三連携を出したところ勝利。と言っても陣形が発動したような形跡はなく、エフェクトも全くもって普通の連携だったのですが、「龍陣を手に入れた」のメッセージが。なんだかよく分からない感じです。

その後も陣形は特に発動しなかったのですが、しばらく後に草原の植物以外のモンスターを狩っていたところ、戦闘中に「奥義【無足・加撃】」が発動しました。で、その直後に「三柱陣」発動。おおっ、これが陣かと思いつつ戦闘を続けていたら……三柱陣、龍陣、聖獣陣と続けざまに出るわ出るわ。今までと同じように普通に連携しているだけなのに……。

このことから、「陣」が発動するためには「奥義【無足・加撃】」を見ているという条件が必要なのではないかと考えられます。思い起こせば、序盤に二段突きやかすみ二段を使っていても全く加撃が出なかったのに、今はぽこぽこ出ている……というような経験もあります。おそらくですが、戦闘中に説明が出る技関係の現象は発生する順番が決まっていて、

• 「閃き」を経験していないと「連携」は出ない
• 「連携」を経験していないと「無足」は出ない
• 「無足」を経験していないと「支援」は出ない
• 「支援」を経験していないと「加撃」は出ない
• 「加撃」を経験していないと「奥義」は出ない
• 「奥義」を経験していないと「陣」は出ない

というような感じになっているのではないでしょうか。「無足」も「加撃」も知らないのに「奥義」を説明されても困るので、前の説明を見ていないと新しい現象は起きないようにしてあるのでしょう。たぶん。

※「神の恩寵」も説明が出ますが、これは閃きや連携に関係ありませんし、発動自体がレアなので、無関係に出るのではないかと思います。ちなみに私の場合は加撃と奥義の間に経験しています。

また「勝利条件 : 『龍陣』を完成」については、「奥義」を見ていないために実際に陣形を発動させることができない場合であっても、それ以外の条件を満たす事ができれば勝利できるわけですね。

• 「陣が出ない理由」にコメントを書く

関連する話題: ゲーム / Sa・Ga / ミンストレルソング

抵抗するガラハド

ロマサガといえばガラハドです。アイスソードという貴重な武器をもってこいと言われて、買おうとしたら売り切れ。買ったのはガラハドという人物で、話しかけると「いくら積まれても譲れない」との返事。そこでプレイヤーには「殺してでもうばいとる」という選択肢が提示されます。選択すると「な なにをする きさまらー」の台詞とともにガラハド消滅、アイスソード入手となります。

※ちなみに殺さないという選択もできます。

このあまりにも有名なエピソードですが、これがミンストレルソング (www.amazon.co.jp)では微妙に変更されています。

• 「殺してでもうばいとる」という選択肢が「力尽くで奪う」に変更
• ガラハドと戦闘になる (開幕の吹雪が結構強いが、それに耐えれば楽勝。トパーズがあれば吹雪無効)

SFC 版のガラハドは無抵抗で殺されていて、それが良い意味で悪い後味を残していたのですが、今回はしっかり抵抗します。そのため、なんだか倒して勝ち取っている感じになっているですよね。

• 「抵抗するガラハド」へのコメント (7件)

関連する話題: ゲーム / Sa・Ga / ミンストレルソング

完膚無きまでに叩かれるスイッチングハブ

FTTH を入れたのですが、ひかり電話用のルータに口が 4つついていたため、以前使っていたスイッチングハブが余りました。

せっかくなので、スイッチングハブを持っていない (リピータハブを使っている) というりゅうさん (rryu.sakura.ne.jp)に売りつけ……もとい、譲ろうかなと思ったりして見せてみたら、これがまあ。

• デザインがありえない
• Mac に繋ぐなんて考えられない
• ガス警報器みたい

ちなみにモノはBUFFALO の LSW-TX-5NP (buffalo.melcoinc.co.jp) です。たしかにデザインはかっこよくないですが、見えるところに置かなければ……と言っても、「見えないところに置いてもぞっとする」とか言われるし。言い過ぎですから。

……と思ったら、ありみかさとみさん (www.remus.dti.ne.jp)にもあっさり同意されてしまったという。

• これを Mac に繋ぐのはありえない
• Windows なら許容できる

Mac ユーザの美学なのでしょうか。

• 「完膚無きまでに叩かれるスイッチングハブ」へのコメント (3件)

関連する話題: 出来事 / ひかり電話

悲しい閃き

ロマサガ (www.amazon.co.jp)、テオドール乱心。ボスのイフリートは燃えている (常にセルフバーニング状態になっている) ので、直接打撃するとこっちがダメージを受けます。なので、トマホークやジャベリンのような技でちくちくと削ります。

すると、ジャベリンを放とうとしたゲラ=ハが「活殺獣神衝」を閃き……セルフバーニングのカウンターであっさり倒れました。しくしく。

• 「悲しい閃き」へのコメント (2件)

関連する話題: ゲーム / Sa・Ga / ミンストレルソング

タイニィフェザー大丈夫か?

ロマサガ (www.amazon.co.jp)、俗に言う四天王おつかいイベント。いちおうご挨拶として戦ってみると……おお、この音楽は! やっぱりロマサガはこれですね。

水竜と戦ってみてあっさり全滅。アディリスと戦ってあっさり全滅。タイニィフェザーと戦ってあっさ……って、あれ? なんだか普通に戦えてますけど。単体攻撃で、しかもダメージが 200 行かないので前衛は耐えちゃってますね。石化しても浄化の水ですぐ直るし。

このままだと倒してしまいそうだったのでリセット。その後フレイムタイラントと戦いましたが、あっさり全滅。なんかタイニィフェザー一人だけ妙に弱くないですか?

• 「タイニィフェザー大丈夫か?」にコメントを書く

関連する話題: ゲーム / Sa・Ga / ミンストレルソング

MacFace for Windows

MacFace for Windows (www.fprog.org) ……は、いちおう公開ということになるのでしょうか。いや、mixi のコミュニティではもっと前から公開されていたようですが。

※"Mac" Face なのに for Windows というのは既にツッコミ済みなので問題ありません。:-)

• 「MacFace for Windows」へのコメント (1件)

関連する話題: メモ / MacFace

対策するかも

最近、変な掲示板spamが立て続けに着弾します。本文が文字化けしているっぽいのですが、意図的にそうしているのかどうかよく分からず。アクセスログを見ると、その IP アドレスからは POST しかしていないので、

• POST には踏み台を使用している
• ロボットを使って POST だけしている

のどちらかですね。ログを見ても直前に該当する GET アクセスがなかったりするので、後者のような気がします。

というわけで、投稿時のフォームに BBS ログファイルのメッセージダイジェスト値でも入れておこうかなと画策中です。他の人と投稿がかぶると投稿できませんが、その場合はエラーになったところで再 POST すれば OK という感じで。この場合、人間の手による spam 投稿は防げませんが、機械の投稿は防げるでしょう。

• 「対策するかも」にコメントを書く

関連する話題: セキュリティ / bakera.jp / hatomaru.dll / 掲示板spam

実はあるニフティのパスワードリマインダ

「@nifty:@nifty ID登録:パスワードの再発行 (www.nifty.com)」を見ると、そこにはこう書かれています。

一度パスワードを忘れてしまったらオフラインで再発行してもらうしかないように読めますが、実は Web 経由でパスワードを照会する事ができるということを教えていただきました ([No.2892] Re: 「ニフティのパスワードは読み出し可能」。ありがとうございます)。

「@nifty:会員サポート:会員情報の確認・変更:パスワードを忘れた場合 (www.nifty.com)」にアクセスすると「パスワード照会」という項目があります。アクセスすると以下の情報の入力を求められます。

• 名前
• ID
• 電話番号
• カード番号下4桁
• カード有効期限

ここでもう嫌な予感がしますが、その点は一応大丈夫です。たった 3回で

となります。なお、これは同一 IP アドレスからのアクセスではなく、同一 ID に対するアクセス回数を見ているようです。ID を変化させていけば通るので、自分の ID だけ忘れたときにはこの画面だけでリマインドできます。:-)

その後 4桁の数字を入力させられます。すると、登録メールアドレスに対して「パスワード照会に関してのご案内」というメールが送られてきます……が、旧ニフティサーブ会員でインターネットからのメールを拒否する設定にしているとメールが受け取れないという罠があるようです。

その後、メールに書かれている URL にアクセスすると先ほどの 4桁数字の入力が求められます。そこで数字を入力すると、新しいパスワードを入力させられる……わけではなくて、現在のパスワードがそのまま画面上に出力されます (例外がありますが、基本的には画面に表示されるはずです)。

……これ以上はコメントしませんが、まあ最低限、こういうシステムがあるということは知っておいた方が良いだろうということでメモしておきます。

私もこのシステムを全然知らなかったのですが、最近できたのでしょうか?

• 「実はあるニフティのパスワードリマインダ」へのコメント (3件)

関連する話題: セキュリティ / ニフティ

ウェイ=クビンの話が長い

ロマサガ (www.amazon.co.jp)、魔の島のウェイ=クビンに大苦戦。ホークの HP が 200 ちょい、一番多いのはゲラ=ハで 240弱、少ないのはアイシャで 135 という感じです。ウェイ=クビンのショックウェイブが 150くらい? アイシャにはアメジストをつけていますので無効化しますが、クローディアは死亡。また前衛の肉のモーロックスラストが 1発当たると 180 とか持って行かれますので、アイシャ、クローディアはそれだけで死亡。他のメンバーもショックウェイブやクラックと同時に浴びると死亡。

全滅 & リトライを何度か繰り返したのですが、リトライするたびにウェイ=クビンの話を聞かなければならないのが厳しいです。話長すぎなのですが……。

結局、まだ勝てないと判断して後回しにすることに。

• 「ウェイ=クビンの話が長い」へのコメント (2件)

関連する話題: ゲーム / Sa・Ga / ミンストレルソング

Googlebot も入会しているアダルトサイト

Googlebot の IP アドレスを調べていたら、「ご登録ありがとうございました (66.102.7.104)」というページを発見。

Googlebot さんの入会手続きが完了したという通知なのですが、面白いですね。

※面白がっていないで通報したりした方が良かったりするのかしら?

• 「Googlebot も入会しているアダルトサイト」へのコメント (3件)

関連する話題: セキュリティ

Apple のサイトは

なんとなく Mac OS X (www.apple.com) のページを見に行ったら、こんなん出ました。

いきなり here症候群でげんなりしますが、たどってみると "Safari 1.2 Help Webpages aren't working" という英語のページだったりして。何かを間違えているような気がしないでもないですが。

Apple のサイトって昔からこんなのでしたっけ?

• 「Apple のサイトは」にコメントを書く

関連する話題: アクセシビリティ / Apple

退会完了

Web フォーラムにログインしようとしてみると、

という、まるで料金未納で止められたかのようなメッセージが出てログインできませんでした。

でたらめなパスワードを入れても同じメッセージになるので、パスワードは破棄されているのだろうと思います。たぶん。

• 「退会完了」にコメントを書く

関連する話題: ニフティ