水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2005年のえび日記 > 2005年5月

2005年5月

2005年5月30日(月曜日)

NEC.EXE 来たっぽい

なんか Symantec AntiVirus で検出されない奴が来ていますが……どうも「システムフォルダに“NEC.EXE”として感染するウイルス (internet.watch.impress.co.jp)」として紹介されている奴のようです。

LiveUpdate の対応日は 2005年06月01日ですか……。

関連する話題: セキュリティ / コンピュータウィルス

2005年5月29日(日曜日)

ロマサガメモ

ロマサガ (www.amazon.co.jp)、西の洞窟で王冠つきの獣を発見。交渉したら「高い靴」をもらえました。

王冠つきはスカーブ山と南の洞窟前の坂道でも目撃しましたが、そのときは交渉できなかった……。ちなみにいずれも獣でした。出現の法則が分かるとおいしいのですけれども。

以下、小技のメモ。

関連する話題: ゲーム / Sa・Ga / ミンストレルソング

2005年5月27日(金曜日)

クロスカウンター?

05月26日 大手サイトの「4つのやりません宣言」 サイバーノーガード戦法を超えた必殺のサイバークロスカウンター! (www.netsecurity.ne.jp)」という記事が。

超えましたか。

関連する話題: セキュリティ / 価格.com

ダミーを公開

「ダミーを差し替えるのを忘れた」文化庁、アイコン画像の無断流用認める (internet.watch.impress.co.jp)

文化庁著作権課によると、システムの調査・開発を委託した社団法人著作権情報センターが事実関係を確認したところ、実際にサイトを製作した業者よりアイコン画像を流用したものであるとの報告を受けたという。この画像は試作段階でダミーとして使用していたもので、システム完成後に正式な画像に差し替える予定だったが、その作業を忘れて公開してしまったと説明している。

「アタリ」で入れていたアイコンがそのまま公開されてしまったというお話でしたか。ありがちと言えばありがちな話ですね。

※アイコンはともかく、アタリのつもりで入れていた文言がそのまま公開されてしまうというのは良くあるような気が。まあ、公開しても問題ないようなものを入れているからこそ気づかれないので問題無いと言えば無いのですが、それがサイトポリシーの文言だったりするとどうなのかと。:-)

関連する話題: Web

2005年5月26日(木曜日)

IT Pro がやっちゃった

IT Pro で HTML のクイズが出ていました。

HTMLの説明として間違っているのはどれでしょうか。

1. <a>タグを使えば,イメージにもリンクを埋め込める

2. HTMLファイル内にスクリプトを書き込むときは,<script>タグを使う必要がある

3. <frameset>タグを使えば,Webブラウザのウインドウを複数に分割できる

4. HTMLは必ず<html>タグで始まり,</html>タグで終わる

以上、HTMLの説明として間違っているのはどれでしょうか。 : IT Pro 今日の腕試し! より

1. はいきなり引っかけ問題です。イメージの中にリンクを「埋め込む」技術は「イメージマップ」と呼ばれますが、多くの場合は map要素および area要素で実装されます。a要素を使用するのは誤り……と思いがちですが、実は HTML4 では a要素でイメージマップを実装する方法が提唱されています。少なくとも仕様上は a要素でイメージマップを実現できる事になっていますので、これは正しいと言えます。

2. は日本語が微妙ですね。基本的には script要素 を使用しますので正しいと言えば正しいようにも思えますが、onclick などを使用すれば script要素が無くてもスクリプトは書けますので、必ずしも script要素を使用する必要はないと言えるでしょう。よって誤り。

3. も微妙ですが、フレームを使用するためには frameset要素だけではなく frame要素も必要ですし、そもそもフレームに対応していないブラウザも存在します (そのために noframes要素が存在します)。そのため、必ずしも「分割できる」とは言えないでしょう。誤り。

4. はもはや解説不要ですね。HTML では html要素の開始タグと終了タグは省略可能ですし、なにより HTML は文書型宣言で始まらなければなりません (コメントや処理命令で始まってもかまいませんが、いずれにしても文書型宣言が必須)。XHTML の場合は開始タグ・終了タグが省略できませんが、やはり文書型宣言が必要です (まあ、無くても Well-formed な XML にはなりますが)。よってこれは明確に誤り。

4 は明確に誤り、他はやや微妙ですが、1 は正しく 2, 3 は誤りと判断しました。というわけで正解は 1。

……と思ったのですが、よく見るとそもそも「間違っているモノを選べ」という問題だったのですね。きわめて明確に誤りと言えるのは 4 ですので、4 でファイナルアンサー。

関連する話題: HTML / ITpro

mailto: URL で Bcc: が指定できてしまう問題

更新: 2005年5月27日

JVN で「JVN#FCAD9BD8 メールクライアントソフトにおける mailto URL scheme の不適切な解釈 (jvn.jp)」が公開されました。

Shuriken Pro (www.amazon.co.jp) についてはアップデートモジュールが公開されています……「特殊な mailto: URL を利用する際、お客様が意図しないメールが送信されてしまう現象について (www.justsystem.co.jp)」。Pro でない Shuriken はノーサポートのようですが、それはもうライフサイクルが終わっているということなのでしょうね。

実はこの話、ニフティの FPROG で「mailto: URL で From: を指定する方法ってありますか?」という質問が出たのがきっかけだったりします。脊髄反射で「そんなことできたら脆弱性ですよね」みたいなコメントを書いたのですが、その後実際に鶴亀メールで試してみたらなんと指定できてしまったという。といっても「From: がダブっている」という旨の警告が出て送信はできませんでしたので、鶴亀メールについては問題ないと判断しましたが……他の MUA はどうだろうということでいろいろ検証してみたところ、ほとんどの MUA では From: は指定できないものの、Bcc: が指定できることが分かりました。

多くの MUA では Bcc: が必ず表示されるという実装になっており、RFC2368 には反していますがまあ問題はないかな、と判断したのですが、Shuriken (Pro ではない、古いモノ) では Bcc: が表示されないまま送信されてしまうことが発覚したという次第です。

その後 Shuriken Pro を使用している方にご協力いただいて Pro でも再現することを確認しました。そして Shuriken Pro の脆弱性として届け出たのですが、それがいきなり不受理。IPA の方曰く:

届出にありました「Bcc: の内容が表示されないこと」により第三者による悪用が可能になるということは認識しております。

ただし、以下の告示、ガイドラインの定義と照らし合わせた際に、今回の届出内容はソフトウェアにおける正規の挙動の一部であるため、ソフトウェアの機能や性能を損なうわけではなく、脆弱性ではないと判断しました。

まあそんなものなのかな、と思っていたのですが、何がどうなったものか、一週間ほどして

しかし、私どもで再度検討しましたところ、mailto スキームにおいて Bcc: を指定できてしまうこと自体は RFC 2386 に準拠しておらず、セキュリティ上好ましくない実装であり、この点において脆弱性であると判断し、取扱うことにいたしました。

と、突如方針転換。そうして現在に至った感じです。

※2005-05-27 追記:「RFC2386」は原文ママ。"The mailto URL scheme" の RFC は RFC2368 です。

そんなわけなので、実は当初の届出者の意図とはちょっと違う形で公開されていますが、まあそれはそれで良いかなと思います。

前にも書きましたが、こういうのは「不受理」にはカウントされないみたいですね。

関連する話題: セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ / ジャストシステム / RFC

価格.comでスクリプトを

ちょっとエアコンの値段の相場が知りたくて、再開した価格.comにアクセスしてみたら

ご利用の環境ではJava Scriptが動作していないため、一部の機能がご利用いただけません。

詳しくはこちら

と言われました。「こちら」の内容を見るとこんな指示が。

Internet Explorer 4.0以上の場合

Internet Explorerのアイコンを右クリックしてプロパティを開き,「セキュリティ」タブを選択します。次に、「レベルのカスタマイズ」ボタンを押し、「中」を選択してから「リセット」ボタンを押すとデフォルトの状態(ON)に戻ります。

以上、価格.com - Java Scriptの使用について より

これは厳密には誤りです。Windows Server 2003 (www.amazon.co.jp) の IE6 ではデフォルトが「高」になっていますから、このように設定するとデフォルトよりもセキュリティレベルが低くなってしまいます。

……とりあえず「セキュリティ」タブを開くところまでは指示に従って、その後「制限付きサイトゾーン」を開いて kakaku.com を追加しておきました。

関連する話題: セキュリティ

2005年5月25日(水曜日)

価格.com再開

ノーコメント。いや、なんかもう記事からも不快感がにじみ出ている感じがしますが……。

また、「今後同様な事件が起きた場合に、事件の詳細については公表できないが自社には過失はないと考えている、といった対応で済ませようとする悪しき前例になってしまうのではないか」という質問に対しては、「今回の不正アクセスについては情報処理推進機構(IPA)に事態の報告を行なっており、IPAの側で今後の類似犯罪の防止につながると判断したものについては積極的に内容を公開していくと伺っている。直接的ではないにしても、こうした形で尽力していきたい」とした。

以上、「過失はない」としながらも不正アクセスの詳細の言及は避ける~カカクコム より

不正アクセス対策を知りたい企業は、同社に直接問い合わせれば、秘密保持契約を結んだ上で詳細を話すという。また、同社から報告を受けた情報処理推進機構(IPA)からも情報開示が行われるとした。

以上、「過失はない」「地震のようなもの」――カカクコム、侵入手口明らかにせず より

誤解なのか意図的に言っているのか分かりませんが、IPA が不正アクセスや脆弱性の個別事例について詳細情報を公開することは無いはずです。せいぜい、統計情報が公開される際に「SQLインジェクションでウィルスを埋め込まれるという被害が発生する事例もあった」などと語られるくらいでしょう。ぶっちゃけ、お蔵入りということですね。

関連する話題: セキュリティ / IPA

2005年5月24日(火曜日)

Wiki添付ファイル話が更新

JVN#465742E4 Wiki クローンにおけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」が更新されて、AsWiki と hiki は「該当製品あり」に変更されました。また、「FreeStyleWiki (fswiki.poi.jp)」が「該当製品あり」として新たに追記されました。

……ということを、セキュリティホールmemo経由 (www.st.ryukoku.ac.jp)で知りました。しょぼーん。

関連する話題: セキュリティ / IPA / JVN / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ

添付ファイルを開いてしまうブラウザの調査

Wiki のファイル添付の脆弱性」の話で、対応策として「Content-Disposition フィールドなどをつけて、添付ファイルが強制的にダウンロードされるようにする」というものを挙げましたが、中には Content-Disposition を無視するブラウザがあるそうです。

というわけで、Hiki の開発者であるかずひこさんが「ファイル添付の脆弱性に関するブラウザの調査 (kazuhiko.tdiary.net)」をされているようです。レアなブラウザを使われている方は是非。

※この調査が行われているという情報はむらまささん (www.fprog.org)に教えていただきました。ありがとうございます。

関連する話題: セキュリティ

原因は SQLインジェクション?

データベースを攻撃、外部から支配 カカクコムHP事件 (www.asahi.com)」という記事が出ています。

関係者によると、データベースは「ある範囲の情報を探す」「条件に合ったデータを取り出す」といったコンピューター言語「SQL」で操作する。今回の攻撃は「SQLインジェクション」と呼ばれる手法を応用。攻撃者が利用者のふりをしてデータを入力し、戻ってきたエラーメッセージなどを解析しながらシステムを把握して、データベースを支配下に置いていったとみられる。

「利用者のふりをして」云々はちょっと語弊があるような気がしますが、ともあれ価格.com がやられた原因は SQLインジェクションだったというお話ですね。OS (Windows Server 2003) の不具合ではなかったようでほっと一安心ではあります。

これが事実であれば、ウェブアプリケーションの脆弱性を突かれた事例としては過去最大級ということになるのではないかと思います。また、ある意味私の敗北でもありますね。3月の時点で価格.com を利用していたのに、脆弱性を発見できなかったわけですから。

※そして別の意味では、不正アクセス禁止法の敗北でもあると思います。"IF" の話をしても仕方が無いことは分かっていますが、「もし」office さんが逮捕されていなかったら、私はおそらく SQL インジェクションができないかどうかチェックしていたでしょうから。今回のアクセスは海外からのものだという噂がありますが、それが事実ならば「不正アクセス禁止法は海外からの不正アクセスに対して抑止効果が全く無い」という、以前から指摘されてきたことが証明された形にもなりますね。

これまでのサイト攻撃は、OSの不備やホームページをネットに提供するプログラムのミスなどを突くケースが多かった。今回は、プログラムに欠陥がなくても、コンピューターが正規の命令か悪意のある命令かは判断できない点を突き、命令をそのまま実行させて支配下に置いていた。

SQL インジェクションができてしまったのであれば、ウェブアプリケーション側のサニタイズに不備があったということですから、それは立派な「プログラムのミス」であり「プログラムに欠陥」だと思いますが。「コンピューターが正規の命令か悪意のある命令かは判断できない」って……そりゃそうですが、本来であればそもそも SQL サーバに対して悪意ある SQL 文が渡らないようにする必要があったのに、それを怠っていたからこそ発生したのでしょう。

昔の HTML 解説の件と言い、朝日新聞はもうちょっと IT 系をがんばってほしい感じです。

関連する話題: セキュリティ / 価格.com / SQLインジェクション

2005年5月19日(木曜日)

やられたのは静的ファイルだけ?

当社運営サイトへの不正アクセスにおける追加調査結果のご報告 (www.kakaku.com)」というものが出ています。改竄された URL の一覧が出ているのですが……どうも静的ファイルばかりのように見えます。

「プログラム改ざん」と言われていたので動的な部分が改竄を受けていたのかと思っていましたが、これを見た限りでは、静的な Web ページが改竄されただけのようですね。改竄内容も iframe要素を加えるだけというシンプルなものですし、どのあたりで「レベルが高いアタックだったとの感触」が得られたのかがよく分からない感じですが。

※厳密には拡張子が .html だからといって静的とは限らないのですが、価格.com は Windows で運用されており、動的コンテンツは拡張子 .asp になっていましたから、.htm や .html は静的と考えてしまって良いでしょう。

……と思ったら、メール配信システムは改竄を受けていたという話が出ていますね……「価格.comの最安値通知メールにもウイルス拡散を試みる不正タグが混入 (internet.watch.impress.co.jp)」。あるいはプログラムではなく、HTML メールのテンプレートが書き換えられたのかもしれませんが。

関連する話題: セキュリティ / 価格.com

1周目クリア

ロマサガ (www.amazon.co.jp)、デスもジュエルビーストも倒し、残るはサルーインのみ。

……あっさり撃破!

いや、デスもジュエルビーストも苦戦したのですが、サルーインは楽勝でした。誰も一度も倒れずに倒せてしまいましたし、BP をためて待っていたオーヴァドライブ要員も活躍の機会がありませんでした。

2周目以降はいろいろ追加要素があるらしいので、早速バーバラで2周目開始。

いちおう一周したので感想を述べておきますが、なかなか良い出来だと思います。追加されたシステムも追加されたお話も非常に良くできている印象です。また、過去の反省がかなり生かされているようで、戦闘時のナレーションや「ギユウ軍」によるチュートリアルなど、プレイヤーを置き去りにしないための細かい気配りが感じられます。

少し難を言うと、マップアビリティの付けはずしとカメラワークに理不尽さを感じました。

マップアビリティは同時に 5つまでしかつけられず、付け替えるには町などの安全な場所まで戻る必要があります。ダンジョンで「ジャンプが無いと進めません」と言われたら、ジャンプを装備するためだけに町まで戻ったりする必要があるわけです。しかもどのダンジョンで何が必要なのかはほぼノーヒント (ただしスカーブ山でクライミングが必要なのはヒントあり。いや、ヒント無くても山だという時点で想像つきますけど)。

一番ひどかったのはウェストエンド壊滅後にジュエルビーストの洞窟に潜ったときで、「ジャンプが必要」と言われて引き返したらヤシ村もサオキ村もウェストエンドも崩壊していたためアビリティの付け替えができず、結局ニューロードを通ってタルミッタまで戻らされました。そしてジャンプをつけてきたら、今度は「クライミングが必要」と言われまして……このときは正直、萎えました。

あとはカメラワーク。このゲームでは敵を避ける必要があるのですが、狭い洞窟の曲がり角などでは、プレイヤーの見えないところで敵に当たってしまう事があります。こっちはせっかく忍び足・ステルスを使っているのに、そういう事故が起きるとかなり残念な思いをします。洞窟の外でも、画面手前に向かって進んでいると進行方向が見えない事があったりします。敵を避ける必要があるのですから、もう少しキャラクターの進行方向がちゃんと見えるような配慮がほしかったところです。

とはいえ、全体の出来はかなり良かったと思います。「アンリミテッド:サガ (www.amazon.co.jp)」の汚名を晴らすには十分なのではないでしょうか?

※思いっきり余談ですが、アンリミテッド:サガと並び称される「ガンダム一年戦争 (www.amazon.co.jp)」では、制作側が「一年戦争はすみませんでした」と謝ったそうですね……「ああ、無情。ゲーム系:バンダイの気持ち (blog.livedoor.jp)」。

関連する話題: ゲーム / Sa・Ga / ミンストレルソング

Wiki のファイル添付の脆弱性

とある Wiki に XSS 脆弱性?」のお話、JVN で公開されました。

※JVN 側と IPA 側で表記が違う (IPA 側では「クロスサイト・スクリプティング」とナカグロが入っている) のが微妙に気になりますが。

話は単純で、「任意の HTML ファイルが添付できる」というだけです。HTML を用意し、添付します。添付されたファイルにアクセスすると、普通に HTML が表示されます。ただそれだけのことで、特別な細工は何も必要ありません。

スクリプトを含む HTML も添付できますので、悪意あるスクリプトを含む HTML を添付すれば攻撃が成立します。HTML が添付できることにはみんな気づいていたと思うのですが、それが悪用できるということに気づいていなかった……という感じでしょうか。

対応としては、

といったものがあります。Hiki は後者の対応になっています。

後者に関しては、ダウンロード後にローカルで開けばローカルでスクリプトが実行されることになるわけですが、それはたとえばウィルス付きの exe ファイルを添付するとどうなるかという話と同じレベルのものであって、XSS ではありません。そもそも任意のファイルを添付できるということ自体が危険ですので、それをふまえて運用してくださいということで。

※なお、Hiki に関しましては ZnZさん (znz.s1.xrea.com)が開発者の方との連絡、対応方法の検討などをしてくださいました。ありがとうございました。この場を借りてお礼申し上げます。

関連する話題: セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ / クロスサイトスクリプティング脆弱性

2005年5月18日(水曜日)

製品開発者が脆弱性ではないと主張した場合

totoroさんのところに、「昨年にIPAに対して報告していた、脆弱性について、今し方回答が来た (d.hatena.ne.jp)」というお話が出ています。まあ良くある話ですが……。

ただ、「IPAも脆弱性じゃ無く、仕様と認められてる」というのはちょっと微妙な感じがします。IPA が脆弱性ではないと判断した場合、製品開発者に連絡が行く前の時点で「届出情報不受理」になるはずです。中には「脆弱性の定義には当てはまらないが、セキュリティ上好ましくない動作であると判断したので一応通知する」というような微妙な判断がなされるケースもありますが、その場合はそういう連絡が来るはずです。それがないのであれば、IPA は脆弱性だと判断して通知したのでしょう。

IPA と JPCERT/CC は脆弱性関連情報の検証や伝達を行ってくれますが、製品開発者に対して「修正しろ」と命令したり指導したりすることはできませんので、製品開発者があくまで脆弱性でないと言い張った場合にはどうにもならないのですね。

※「JVN#9ADCBB12 携帯電話端末における特定 QR コードを使用したサイト接続時の問題 (jvn.jp)」も、IPA は脆弱性だと判断したが製品開発者が脆弱性ではないと主張したケースなのでしょう。

関連する話題: セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ / 携帯電話

2005年5月16日(月曜日)

価格.com 不正アクセス(続き)

興味深い話が続々。

11日の時点でサイトを閉鎖しようという意見もあったが、「閉鎖してしまうと不正侵入の経路や手法が特定できず、再開後もまた同じ攻撃を受ける危険性があったため」(穐田社長)、警察などと相談した上で手作業で改ざんを修正し、この時点での閉鎖は見送った。

以上、IT Mediaの「最高レベルのセキュリティが破られた」――カカクコム、不正アクセス事件を説明 より

これは感心しました。こういう言い方ができるのですね。

もちろん逆の言い方も可能です。「すぐにサーバを停止しないと、侵入者に証拠隠滅 (ログを消したり) の時間を与えてしまい、不正侵入の経路や手法が特定できず、再開後もまた同じ攻撃を受ける危険性が高まります」。侵入が分かったら、何はともあれ凍結してその時点のデータを保全すべし、というのがコンピュータフォレンジックの基本だと思いますし、少なくとも、実際に運用中のサーバをハニーポット (侵入者の行動を見るためのおとり) として使うという選択は考えられないと思います。そんなことをすれば、サーバから外に攻撃されて他人に迷惑をかけることがあり得ます……というか、今回のケースはウィルスをばらまいた訳で、まさにそれが起きてしまったのですよね。

その後は情報処理推進機構(IPA)や警察、セキュリティ企業などの協力を受けて24時間体制でサイトを監視し、改ざんを見つけ次第手作業で修正していた。だが14日になってアタックが急増し、修正しきれなくなったため一時閉鎖を決定。午後2時ごろにいったん閉鎖し、午後10時ごろ再開したが、すぐに集中攻撃を受けたため再度閉鎖した。

以上、IT Mediaの「最高レベルのセキュリティが破られた」――カカクコム、不正アクセス事件を説明 より

侵入経路である穴をふさがないと駄目だという事は、素人でもすぐに分かると思うのですが……。さらに言えば、仮に穴をふさいだとしても、ひそかにバックドアが作られている (しかもそれはそう簡単には発見・停止できないようにしてある) 可能性が高いので、一時的に止めて軽くパッチを当ててそのまま運用、というのもありえないでしょう。

不正アクセスの被害に遭った価格.comのサーバーは自社で運営していたもので、「インターネット関連企業として“最高のセキュリティ対策”を施していた」。カカクコムでは以前から外部の攻撃を受けた経験があったが実被害を被ったことはなかった。それが、今回の不正アクセスで「破られてはならないセキュリティ対策が破られてしまった」とショックを隠せない様子。なお、カカクコムでは自社のセキュリティ対策にはトレンドマイクロの製品を導入していたという。

以上、Internet Watchの「ソフト、ハード、運用の全てを刷新」価格.com、23日をめどに復旧 より

たとえば、それなりにちゃんとしたデータセンターにサーバを置くと、かなり強力なセキュリティで保護されます。サーバルームは監視カメラで 24時間監視されていて、入室には写真入りの身分証明書が必要 (運転免許証もパスポートももっていない私などは入れてもらえなかったりする) になっている場合があります。このような体制を「最高のセキュリティ対策」と称しているのであれば、それはある意味正しいのでしょう。

そして、このような「最高のセキュリティ対策」のデータセンターにパッチ未適用のマシンが置かれていることはしばしばあります。:-)

ちなみに外部からの攻撃が今まで防げていたという話、素人が見ると「ちゃんとセキュリティ対策をしていた」という印象を受けそうですね。外部からの攻撃というのは日常的に起きていて、たとえばこのサーバ bakera.jp も毎日攻撃を受けています。バッファオーバーフローを試みるもの、メールの第三者中継を試みるものなどいろいろですが、今のところ実害はありません。bakera.jp はただ普通にパッチを当てているだけで、特別なセキュリティ対策はしていないのですが。

※FTP や POP3 やリモートデスクトップのポートを開放していると、辞書攻撃でパスワードを解こうとする試みも見られます。これまた普通に日常的に起きています。

カカクコムでは今回の事件を踏まえ、約60台のサーバ群からなるシステムを一から作り直し、「二度とこうしたことが起こらないよう最高レベルのセキュリティを構築していきたい」(穐田氏)という。警察による捜査の進展とも関係するが、1週間程度をかけてハードウェアやソフトウェア、プログラミングやユーザー権限など、あらゆる要素を一新する計画で、最終的な原因や詳細については、復旧作業が完了した時点で改めて明らかにしていく方針だ。

以上、IT Mediaの価格.com経由で拡散したウイルス、Windowsの既知の脆弱性を悪用 より

今までのシステムが既に「最高レベルのセキュリティだった」と言っていませんでしたっけ。言っていることが違いますが……。

それ以前に、一週間でプログラミングも一新して復旧するというのは無茶なのでは。システムを新しくしたのであれば、テスト期間だけでできれば一ヶ月、急いでいても最低一週間は確保するのが普通ではないでしょうか。テスト期間が削られると、それだけ脆弱性が発見されにくくなるわけですが、そのあたりが少々心配です。

関連する話題: セキュリティ / 価格.com

価格.com 不正アクセス?

価格.com がやられたようで、各所にニュースが出ています。

株式会社カカクコムからのリリースも出ています。

5月11日にプログラムの異常が発覚。調査したところ不正アクセスが原因であり、一種のサイバーテロ的な行為であると認識しました。

以上、【重要なお知らせ】当社運営サイトに対する不正アクセスとサイト一時閉鎖に関してのご報告 より

不正アクセスはともかく、「一種のサイバーテロ的な行為」というのが何とも言い難い味わいです。具体的に何が起きたのか全く分からないのですが、「[connect24h:9094] Re: kakaku.comクラックされたらしぃ (www.st.ryukoku.ac.jp)」によれば、サーバは Windows Server 2003 だったらしいので、他人事ではないかもしれません。

※よく考えると、私の Windows Server 2003 (www.amazon.co.jp) は、価格.com で値段を比較して買ったものだったりします。:-)

※未確認情報ですが、中国方面からのクラックではないかという噂もあるようです ([connect24h:9103] Re: kakaku.comクラックされたらしぃ (www.st.ryukoku.ac.jp))。

5月11日に把握したのに 5月14日まで止めず、その間にウィルスをばら巻かれてしまったというのが厳しいですね。EC サイトの場合、サイトを停止すると損害額が一日いくらという数字ではっきり出てしまいますから、止めるという決断にはかなりの勇気が必要です。その決断の遅れが、結果的に損害を増やしてしまうこともあると……。

関連する話題: セキュリティ / 価格.com

2005年5月15日(日曜日)

邪のオブシダンソード

ロマサガ (www.amazon.co.jp)、凍った城で「邪」のディステニィストーン、オブシダンソードを入手。

※ミンストレルソングでは何故か「デステニィストーン」ではなく「ディステニィストーン」という表記になりました。"destiny" だとすると昔の方が近いと思うのですが、destiny ではないのかも。

今回のオブシダンソードは、なんと変形します。戦闘中に(三角)ボタンでモードを変更すると、

となり、グラフィックも変化します。毎ターン変形させることも可能。なかなかかっこいいです。「死の剣」のような無茶なペナルティもありませんし (それどころか全能力アップ)、結構使えるのではないかと思います。

※ただ、モードによって使える技が限られているのはちょっとマイナスかも。両手大剣の形態ではアタックモードの技しか使えず、ディフェンスモード時は細剣になってしまうので、両手大剣のディフェンスモードの技 (「骨砕き」とか) は使用することができないようです。ちなみに他の形態の技も閃くことができるようで、細剣の形態で使っているのに両手大剣のアタックモードの技を閃いたりすることがあります。

以前のロマサガでは、他のディステニィストーンは指輪だったり腕輪だったりするのにオブシダンだけは剣、それも両手持ちの大剣というのがちょっと不自然でしたが、オブシダンは魔力で自由に変形するのだとするとしっくり来ます。なかなかうまい設定だと思います。

関連する話題: ゲーム / Sa・Ga / ミンストレルソング

2005年5月13日(金曜日)

第三者中継の試みに対するウィルス警告spam

ウィルス警告spam が来ているわけですが、ひょっとすると某社のメールサーバは

という処理ではなくて、まずウィルスチェックをして、第三者中継の試みであろうが関係なしにウィルス警告 spam を送信しているのかもしれないですね。

まあそれ以前に、そもそも From: に対して警告を送るのをやめてほしいですけれど。

関連する話題: セキュリティ

Xbox360 のデザイン

日本市場をターゲットに見据えたタイトルでトップを取る――ピーター・ムーア (1/2) (www.itmedia.co.jp)

テスターに「この製品はどの会社のものだと思うか?」と聞いたところ、ソニーやアップルコンピュータだという答えが返ってきた。マイクロソフトの製品では、このようなデザインはあり得ないと考えられている、ということだ(笑)。このため、デザインに関する問題は解決していると考えている。

個人的にはそのデザイン、OptiPlex GX280 スモールデスクトップ (www1.jp.dell.com)の色違いに見えて仕方ないのですが。

関連する話題: 思ったこと

2005年5月12日(木曜日)

また組織変更?

日本テレコム、日本テレコムIDCを7月に吸収合併 (internet.watch.impress.co.jp)」って、また組織変更ですか。

ついこの間買収されて、ドメインが変わったら嫌だなと思っていたら案の定 cwidc.net が idc.jp になって、設定を変更したばかりなのですけれど。また DNS サーバの名前や IP アドレスが変わる、というのはちょっと勘弁してほしいです。

関連する話題: DNS

MT に脆弱性

ということで脆弱性だそうですが、

第三者が、Cookieの値を取得する。

以上、【重要】 第三者による不正アクセスを許す危険性の対策について より

って、これが起きたらその時点でセッションハイジャックできますね。おそらく重要なのは

Movable Typeのセッション管理で使われるCookieの値に、ハッシュ化されたユーザーアカウント情報が含まれており

また、このCookieの値が、Atom APIによるログイン時のパスワードとしても利用されているため、

というあたりで、「セッション管理で使われるCookieの値」が一時的なセッション ID ではない、という話なのでしょう。

通常のセッションハイジャックの場合、ターゲットがログアウトしてしまえばサーバ側で Cookie が無効になります。すると攻撃者に盗まれた Cookie も無効になり、それは二度と有効になりませんので、攻撃者が再度ログインしたい場合は盗聴なり攻撃なりをもう一度成功させなければなりません。が、Cookie が恒久的に使えれば攻撃者もその Cookie を恒久的に使えるわけでして、一度でも盗聴されたらそれでアウトになってしまうという事ですね。

パケット盗聴等で Cookie を盗まれなければ問題ないはずですが、たとえて言うならページアクセスのたびに「SSL 保護無しでパスワードを送る」という行為をしているのと同じような感じでしょうか。非 SSL で Basic 認証を使っていれば普通に起きていることなので、大して危険ではないような気もするのですが、危険性の評価は利用状況によるでしょう。MT を利用してるのは個人サイトだけではありませんし。

「リスクを軽減する対策」と称するものがいくつか挙げられていますが、これは本当に「軽減」にしかならないですね。

通常、Movable TypeのCGIスクリプトへのリンクは、"CGIPath"として"mt.cfg"ファイルに設定します。コメントやトラックバックのパスから、"CGIPath"の値を確認できるため、盗聴によるパスワードやCookieの漏洩から、管理画面のCGIスクリプトmt.cgiへの不正アクセスが行われる可能性があります。

以上、盗聴によるパスワードやCookieの漏洩からの不正アクセスを防止する(1) より

パケット盗聴で Cookie: フィールドが読まれていると想定するなら、そのとき一緒に Request-Line も読まれている可能性が高いはずです。それによってパスは読まれてしまいますから、表から隠してもほとんど意味がないのではないかと思います。管理画面へのアクセスではないリクエストだけが盗聴されたのであれば意味がありますが……。

※Request-Line というのはリクエストの最初の「GET /foo HTTP/1.1」のような行のこと。管理画面アクセス時は、/foo の部分に管理画面 CGI のパスが入ります。

Cookieの漏洩を防止する方法として、"AdminCGIPath"で管理画面のCGIスクリプトmt.cgiへのリンクを設定する以外に、「ブラウザにCookieを保持する期間を限定すること」で、第三者による不正アクセスを防止することができます。

以上、盗聴によるパスワードやCookieの漏洩からの不正アクセスを防止する(2) より

これも、もちろん何もしないよりはましだと思いますが、ぶっちゃけた話、「こまめにパソコンの電源を切るとウィルスに感染しにくい」というのと同じ程度の話でしかないわけで、根本的な対策にはならないですね。

やはりパッチ待ちということで。

関連する話題: セキュリティ / IPA / JPCERT/CC / JVN / SSL/TLS / Movable Type

2005年5月11日(水曜日)

陣が出ない理由

ミンストレルソング (www.amazon.co.jp)には「陣」というものがあって、連携時に特定の条件を満たすと発動するらしい……ということは知っていたのですが、実際に出たことは一度もありませんでした。

その状態のまま、とあるイベント戦闘で「勝利条件 : 『龍陣』を完成させろ」などと言われて途方に暮れたわけですが、メッセージに従って前列・中列・後列で三連携を出したところ勝利。と言っても陣形が発動したような形跡はなく、エフェクトも全くもって普通の連携だったのですが、「龍陣を手に入れた」のメッセージが。なんだかよく分からない感じです。

その後も陣形は特に発動しなかったのですが、しばらく後に草原の植物以外のモンスターを狩っていたところ、戦闘中に「奥義【無足・加撃】」が発動しました。で、その直後に「三柱陣」発動。おおっ、これが陣かと思いつつ戦闘を続けていたら……三柱陣、龍陣、聖獣陣と続けざまに出るわ出るわ。今までと同じように普通に連携しているだけなのに……。

このことから、「陣」が発動するためには「奥義【無足・加撃】」を見ているという条件が必要なのではないかと考えられます。思い起こせば、序盤に二段突きやかすみ二段を使っていても全く加撃が出なかったのに、今はぽこぽこ出ている……というような経験もあります。おそらくですが、戦闘中に説明が出る技関係の現象は発生する順番が決まっていて、

というような感じになっているのではないでしょうか。「無足」も「加撃」も知らないのに「奥義」を説明されても困るので、前の説明を見ていないと新しい現象は起きないようにしてあるのでしょう。たぶん。

※「神の恩寵」も説明が出ますが、これは閃きや連携に関係ありませんし、発動自体がレアなので、無関係に出るのではないかと思います。ちなみに私の場合は加撃と奥義の間に経験しています。

また「勝利条件 : 『龍陣』を完成」については、「奥義」を見ていないために実際に陣形を発動させることができない場合であっても、それ以外の条件を満たす事ができれば勝利できるわけですね。

関連する話題: ゲーム / Sa・Ga / ミンストレルソング

抵抗するガラハド

ロマサガといえばガラハドです。アイスソードという貴重な武器をもってこいと言われて、買おうとしたら売り切れ。買ったのはガラハドという人物で、話しかけると「いくら積まれても譲れない」との返事。そこでプレイヤーには「殺してでもうばいとる」という選択肢が提示されます。選択すると「な なにをする きさまらー」の台詞とともにガラハド消滅、アイスソード入手となります。

※ちなみに殺さないという選択もできます。

このあまりにも有名なエピソードですが、これがミンストレルソング (www.amazon.co.jp)では微妙に変更されています。

SFC 版のガラハドは無抵抗で殺されていて、それが良い意味で悪い後味を残していたのですが、今回はしっかり抵抗します。そのため、なんだか倒して勝ち取っている感じになっているですよね。

関連する話題: ゲーム / Sa・Ga / ミンストレルソング

2005年5月10日(火曜日)

完膚無きまでに叩かれるスイッチングハブ

FTTH を入れたのですが、ひかり電話用のルータに口が 4つついていたため、以前使っていたスイッチングハブが余りました。

せっかくなので、スイッチングハブを持っていない (リピータハブを使っている) というりゅうさん (rryu.sakura.ne.jp)に売りつけ……もとい、譲ろうかなと思ったりして見せてみたら、これがまあ。

ちなみにモノはBUFFALO の LSW-TX-5NP (buffalo.melcoinc.co.jp) です。たしかにデザインはかっこよくないですが、見えるところに置かなければ……と言っても、「見えないところに置いてもぞっとする」とか言われるし。言い過ぎですから。

……と思ったら、ありみかさとみさん (www.remus.dti.ne.jp)にもあっさり同意されてしまったという。

Mac ユーザの美学なのでしょうか。

関連する話題: 出来事 / ひかり電話

2005年5月9日(月曜日)

悲しい閃き

ロマサガ (www.amazon.co.jp)、テオドール乱心。ボスのイフリートは燃えている (常にセルフバーニング状態になっている) ので、直接打撃するとこっちがダメージを受けます。なので、トマホークやジャベリンのような技でちくちくと削ります。

すると、ジャベリンを放とうとしたゲラ=ハが「活殺獣神衝」を閃き……セルフバーニングのカウンターであっさり倒れました。しくしく。

関連する話題: ゲーム / Sa・Ga / ミンストレルソング

2005年5月7日(土曜日)

タイニィフェザー大丈夫か?

ロマサガ (www.amazon.co.jp)、俗に言う四天王おつかいイベント。いちおうご挨拶として戦ってみると……おお、この音楽は! やっぱりロマサガはこれですね。

水竜と戦ってみてあっさり全滅。アディリスと戦ってあっさり全滅。タイニィフェザーと戦ってあっさ……って、あれ? なんだか普通に戦えてますけど。単体攻撃で、しかもダメージが 200 行かないので前衛は耐えちゃってますね。石化しても浄化の水ですぐ直るし。

このままだと倒してしまいそうだったのでリセット。その後フレイムタイラントと戦いましたが、あっさり全滅。なんかタイニィフェザー一人だけ妙に弱くないですか?

関連する話題: ゲーム / Sa・Ga / ミンストレルソング

2005年5月6日(金曜日)

MacFace for Windows

MacFace for Windows (www.fprog.org) ……は、いちおう公開ということになるのでしょうか。いや、mixi のコミュニティではもっと前から公開されていたようですが。

※"Mac" Face なのに for Windows というのは既にツッコミ済みなので問題ありません。:-)

関連する話題: メモ / MacFace

対策するかも

最近、変な掲示板spamが立て続けに着弾します。本文が文字化けしているっぽいのですが、意図的にそうしているのかどうかよく分からず。アクセスログを見ると、その IP アドレスからは POST しかしていないので、

のどちらかですね。ログを見ても直前に該当する GET アクセスがなかったりするので、後者のような気がします。

というわけで、投稿時のフォームに BBS ログファイルのメッセージダイジェスト値でも入れておこうかなと画策中です。他の人と投稿がかぶると投稿できませんが、その場合はエラーになったところで再 POST すれば OK という感じで。この場合、人間の手による spam 投稿は防げませんが、機械の投稿は防げるでしょう。

関連する話題: セキュリティ / bakera.jp / hatomaru.dll / 掲示板spam

実はあるニフティのパスワードリマインダ

@nifty:@nifty ID登録:パスワードの再発行 (www.nifty.com)」を見ると、そこにはこう書かれています。

また、パスワードは保守管理上、郵送以外(メールやFAX等)にてお知らせすることはできかねますので、ご了承ください。

一度パスワードを忘れてしまったらオフラインで再発行してもらうしかないように読めますが、実は Web 経由でパスワードを照会する事ができるということを教えていただきました ([No.2892] Re: 「ニフティのパスワードは読み出し可能」。ありがとうございます)。

@nifty:会員サポート:会員情報の確認・変更:パスワードを忘れた場合 (www.nifty.com)」にアクセスすると「パスワード照会」という項目があります。アクセスすると以下の情報の入力を求められます。

ここでもう嫌な予感がしますが、その点は一応大丈夫です。たった 3回で

ご本人確認情報の不一致が規定回数に達したため、

申請を制限させていただきました。

再度申請される場合は24時間後にお試しください。

となります。なお、これは同一 IP アドレスからのアクセスではなく、同一 ID に対するアクセス回数を見ているようです。ID を変化させていけば通るので、自分の ID だけ忘れたときにはこの画面だけでリマインドできます。:-)

その後 4桁の数字を入力させられます。すると、登録メールアドレスに対して「パスワード照会に関してのご案内」というメールが送られてきます……が、旧ニフティサーブ会員でインターネットからのメールを拒否する設定にしているとメールが受け取れないという罠があるようです。

その後、メールに書かれている URL にアクセスすると先ほどの 4桁数字の入力が求められます。そこで数字を入力すると、新しいパスワードを入力させられる……わけではなくて、現在のパスワードがそのまま画面上に出力されます (例外がありますが、基本的には画面に表示されるはずです)。

……これ以上はコメントしませんが、まあ最低限、こういうシステムがあるということは知っておいた方が良いだろうということでメモしておきます。

私もこのシステムを全然知らなかったのですが、最近できたのでしょうか?

関連する話題: セキュリティ / ニフティ

2005年5月5日(木曜日)

ウェイ=クビンの話が長い

ロマサガ (www.amazon.co.jp)、魔の島のウェイ=クビンに大苦戦。ホークの HP が 200 ちょい、一番多いのはゲラ=ハで 240弱、少ないのはアイシャで 135 という感じです。ウェイ=クビンのショックウェイブが 150くらい? アイシャにはアメジストをつけていますので無効化しますが、クローディアは死亡。また前衛の肉のモーロックスラストが 1発当たると 180 とか持って行かれますので、アイシャ、クローディアはそれだけで死亡。他のメンバーもショックウェイブやクラックと同時に浴びると死亡。

全滅 & リトライを何度か繰り返したのですが、リトライするたびにウェイ=クビンの話を聞かなければならないのが厳しいです。話長すぎなのですが……。

結局、まだ勝てないと判断して後回しにすることに。

関連する話題: ゲーム / Sa・Ga / ミンストレルソング

2005年5月2日(月曜日)

Googlebot も入会しているアダルトサイト

Googlebot の IP アドレスを調べていたら、「ご登録ありがとうございました (66.102.7.104)」というページを発見。

Googlebot さんの入会手続きが完了したという通知なのですが、面白いですね。

※面白がっていないで通報したりした方が良かったりするのかしら?

関連する話題: セキュリティ

Apple のサイトは

なんとなく Mac OS X (www.apple.com) のページを見に行ったら、こんなん出ました。

Apple.comのページを正しく表示するにはJavaScriptが必要です。設定をオンにしてからページをロードし直してください。詳細についてはここ をクリックしてください。

いきなり here症候群でげんなりしますが、たどってみると "Safari 1.2 Help Webpages aren't working" という英語のページだったりして。何かを間違えているような気がしないでもないですが。

Apple のサイトって昔からこんなのでしたっけ?

関連する話題: アクセシビリティ / Apple

退会完了

Web フォーラムにログインしようとしてみると、

お使いのIDは、都合によりご利用いただけません。

という、まるで料金未納で止められたかのようなメッセージが出てログインできませんでした。

でたらめなパスワードを入れても同じメッセージになるので、パスワードは破棄されているのだろうと思います。たぶん。

関連する話題: ニフティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーションウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト