ERPソフトのCompiereに脆弱性、パッチ公開 / 2010年04月02日(金)
 アルマスが開発・提供するERP/CRMソフト「Compiere」に2件のクロスサイトスクリプティングの脆弱性が見つかった。情報処理推進機構とJPCERTコーディネーションセンターが4月1日付で情報を公開した。

 2件の脆弱性は内容が異なるもので、Compiere J300_A02以前に存在する。脆弱性が悪用された場合、ユーザーのWebブラウザ上で任意のスクリプトが実行(1件はログインしている状態で実行)される可能性がある。

 アルマスは脆弱性を修正するためのパッチを公開し、ユーザーに適用を呼び掛けている。 4月1日21時8分配信 ITmedia エンタープライズ
http://headlines.yahoo.co.jp/hl?a=20100401-00000081-zdn_ep-sci
 
   
Posted at 10:30/ この記事のURL
警察庁が「強い決意」表明 2ちゃんねる摘発できるのか / 2010年04月02日(金)
 2ちゃんねるの管理者が警察に摘発される可能性が出てきた。違法情報の削除に応じないケースの6割を2ちゃんが占めており、警察庁がほう助罪の適用に強い意欲を示したからだ。現在はシンガポールの企業が管理者とされているが、警察はどんな筋書きを描いているのか。

■違法情報の削除に応じないケースの6割も

 警察庁が3月18日に発表した09年の統計によると、わいせつ画像などの違法情報があるのにも関わらず、サイトが削除要請に応じなかったケースが、要請の約1割、2000件近くもあった。そして、そのうちの6割が、2ちゃんねるだったというのだ。

 報道によると、警察庁長官がこの日、違法情報が前年より2倍の3万件近くと過去最高に達したことなどから、削除に応じないサイト管理者への取り締まりを強化すると強い決意を示した。とすると、占める割合の大きい2ちゃんは、取り締まりの焦点になっても不思議ではない。

 ネット上の書き込みを巡っては、司法の見方が厳しくなっている。3月15日には、ラーメンチェーン店運営会社に対する書き込みを、最高裁が名誉毀損と認定した。ネットだからといって、信頼性が低いと受け取られるとは限らず、反論で名誉を回復できる保証もない、と断じたのだ。警察庁長官の「強い決意」は、こうした情勢を反映したものかもしれない。

■海外の管理者にも、国内法適用?

 とはいえ、サイト管理者の摘発については、ほう助罪の適用が容易ではないとも報じられている。これ以外には摘発の根拠になる法令が乏しく、違法性を認識していたかなどを立証するのが難しいというからだ。

 さらに、統計によると、サーバーなどが海外に設置されているケースが3割近くあり、それをどうクリアするのかも課題だ。

 2ちゃんねるの場合も、開設者のひろゆきこと西村博之氏が09年1月2日、自らのブログで、海外に譲渡したと明かした。2ちゃんのサイトには、パケットモンスター社が管理・運営していると英文で書かれている。別のドメイン管理情報サイトで調べると、同社の本拠地はシンガポールだ。譲渡の理由については、民事訴訟が煩わしくなったからとも言われているが、不明な部分が多い。

 日大の板倉宏名誉教授(刑法)は、海外での摘発は困難が多いとしながらも、国内犯として立件できる可能性を指摘する。

  「日本の中であったことですから、日本の刑法の適用が考えられます。シンガポールとの犯罪者引き渡し条約はありませんが、引き渡しを求めることができないわけではありません」

シンガポールの会社にもし実態がないとしても、関係者が国内で立件される可能性はありそうだ。


■3月27日10時12分配信 J-CASTニュース
http://headlines.yahoo.co.jp/hl?a=20100327-00000000-jct-sci
 
   
Posted at 09:54/ この記事のURL
宿泊施設でカーシェア、マツダレンタカーが県内初導入/神奈川 / 2010年04月02日(金)
 マツダレンタカーは1日、新横浜プリンスホテル(横浜市港北区)内にレンタカー店舗とカーシェアリングの拠点をオープンした。マツダレンタカーによると、県内の宿泊施設へのカーシェア導入は初という。

 ホテル駐車場に、カーシェア用として小型車「デミオ」2台を設置。カウンターはホテル1階に設け、社名入りの看板を出さないなどホテル内装との統一感にも配慮した。

 モデル店舗と位置付け、全国のホテルや商業施設への展開も検討するという。

【4月2日1時15分配信 カナロコ
http://headlines.yahoo.co.jp/hl?a=20100402-00000011-kana-l14
 
   
Posted at 09:21/ この記事のURL
「企業統治で大きな問題」 かんぽ宿 郵政検証委が中間報告 / 2010年04月02日(金)
 総務省は31日、日本郵政グループのガバナンス(企業統治)を議論する検証委員会を開き、中間報告をまとめた。不透明な経営判断があったとされた宿泊保養施設「かんぽの宿」売却問題について、「経営による事務方への監視・監督に問題があったと認められる」とした上で、「ガバナンス上の大きな問題がある」とした。西川善文前社長時代の法令順守や意思決定プロセスに厳しい審判をつきつけた格好だ。

 報告では、統合断念に追い込まれた郵便事業会社と日本通運との宅配便事業についても、「経営判断としての合理性を大きく逸脱し、その結果も重い」と問題視。かつての目玉事業にも厳格な判断を下した。

【関連:郵政改革】
預入限度額2000万円で決着、郵政改革 肥大化で地域金融機関に打撃
郵政決着 民業圧迫、改革に逆行 「万策尽きた」肩落とす信金関係者
菅氏「聞いてない」亀井氏「耳が悪いんだよ」 郵政改革法案、閣内の混迷深刻
「暴走する亀井というのは違う」原口総務相が擁護
郵政改革、与党議員は支持 異論閣僚への批判も 4月1日8時17分配信 フジサンケイ ビジネスアイ
http://headlines.yahoo.co.jp/hl?a=20100331-00000037-fsi-bus_all
 
   
Posted at 08:14/ この記事のURL
リー・ビンビンと「猟奇的」チョン・ジヒョン、学生ジャージで誰も気づかず―上海市 / 2010年04月02日(金)
2010年3月31日、映画「雪花与秘扇」のロケ現場でこのほど、人気女優のリー・ビンビン(李冰冰)とチョン・ジヒョンが学生姿を披露した。紅網が伝えた。

チャン・ツィイーの突然降板でも話題になった映画「雪花与秘扇」だが、ヒロイン代役にリー・ビンビンを迎え、上海や浙江省で快調に撮影中。このほど上海市内の繁華街で行われたロケでは、ビンビンと映画「猟奇的な彼女」で知られるチョン・ジヒョンが、ジャージ姿の学生に変身。ポップコーンを食べながら、街を闊歩する姿を見せた。

【その他の写真】

製作スタッフによると、同シーンには街の自然な雑踏が必要なため、カメラ機材をワンボックスカーに隠し、通行人に何も告げず撮影を行ったとのこと。2人の美人女優に気づく人は誰もおらず、ただジャージがひと時代前の学生姿だったため、思わず振り返る人がいたという。(翻訳・編集/Mathilda)

【4月2日0時5分配信 Record China
http://headlines.yahoo.co.jp/hl?a=20100402-00000000-rcdc-ent
 
   
Posted at 06:35/ この記事のURL
<自転車>シドニー五輪代表の阿部良之がマトリックス移籍 / 2010年04月02日(金)
 国内最高峰のジャパンカップの唯一日本人優勝者、シドニー五輪代表の阿部良之(40)が、4月1日付けでシマノレーシングからマトリックスパワータグコラテックに移籍した。阿部の加入により、マトリックスはこれまでの7人と合わせて8人体制(テスト生2人を除く)で2010シーズンを戦っていく。

阿部良之
1969年8月15日生まれ 40歳
2010年4月1日よりチーム加入。
2000年のシドニーオリンピック出場を筆頭に、1995年のアジア選手権優勝、1997年のジャパンカップ優勝、全日本選手権優勝など数多くのリザルトを持つロード界の重鎮。また1997年には当時世界最強といわれたマペイGPチームに移籍、本場ヨーロッパでも輝かしい成績を残す。

★主な戦歴★
1997 ジャパンカップ優勝、全日本選手権ロード優勝
2000 全日本選手権ロード優勝、シドニーオリンピックロード出場
2006 アジア大会チームタイムトライアル3位 4月1日11時58分配信 サイクルスタイル・ドットネット
http://headlines.yahoo.co.jp/hl?a=20100401-00000000-cyc-spo
 
   
Posted at 06:04/ この記事のURL
ハミルトン「新マネージャー決定は急いでいない」。ウィットマーシュ「外部のマネージャーを雇うべき」 / 2010年04月02日(金)
 今年、父アンソニーのマネージメントから外れたマクラーレンのルイス・ハミルトンは、新しいマネージャーを探すのを急いではいないと述べている。しかしチームプリンシパルのマーティン・ウィットマーシュは、F1を理解しているマネージャーがいた方がいいという考えでいる。

 デイビッド・クルサードは、自分の仕事に集中できるようにできるだけ早くマネージャーを雇えとアドバイスしているが、ハミルトンは現状に満足しており、急いで父親の後任を探すつもりはないと語っている。
「しばらくはこのままでいくよ。困ってないからね。大きな問題だし、今は周囲に大勢優秀な人たちがいてくれるから、急ぐ必要はない」とハミルトンはデイリー・メール紙にコメントしている。

 しかし、マクラーレンのボスであるウィットマーシュは、ハミルトンはF1のことをよく知っている外部の人物をマネージャーとして雇った方がいいと考えている。
「ロン(・デニス)はまた違う考え方をしているけれど、私はマクラーレンがルイスのマネージメントを行うべきではないと思う」とウィットマーシュは、デイリー・テレグラフのインタビューで語った。
「彼は、公正な判断ができる、外部の人間をマネージャーとして雇うべきだ。彼は(マクラーレンと)長期契約を結んでいるので、それほど急ぐべきことではないけれど、心を開いてつきあえる、賢い相談相手がいるのはいいことだ」
「私個人の意見では、国際的な大企業と契約して担当マネージャーを派遣してもらうより、F1をよく知っている人物と契約する方がいいと思う。でももちろんこれはルイスが自分で決めることだ」

 これまで、ハミルトンのマネージャー候補には、ミカ・ハッキネンとディディエ・コットン、BBC F1コメンテーターのマーティン・ブランドルの名前が挙がっている。

[オートスポーツweb 2010年4月1日] 4月1日16時59分配信 オートスポーツweb
http://headlines.yahoo.co.jp/hl?a=20100401-00000004-rcg-moto
 
   
Posted at 05:32/ この記事のURL
SCAN DISPATCH :「脆弱性は開発者の責任」-SANS Instituteらが調達基準案を発表 / 2010年04月02日(金)
SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

 2010版の「CWE/SANS最も危険な25のプログラミング・エラー」リストが発表された。このリストは去年初めて発表されたもので、今年はNSAの指導下、米国国土安全保障省の国立サイバー・セキュリティ局(NCSD:National Cyber Security Division)が資金提供、Red Hat、Symantec、McFee、Microsoft、Sun、OWASP、Oracleなど30以上の団体の協力を得て、SANS InstituteとMitre Corpがまとめている。
 日本の情報処理推進機(IPA)からも、セキュリティセンター、情報セキュリティ技術ラボラトリー研究員の寺田真敏氏が貢献している。

 このリストは、「最も危険度が高く、頻繁に目にするプログラミングのエラー」で、「攻撃者がソフトウェアを乗っ取ったり、データの盗難やソフトウェアの(非権限の)作動を阻止を招くような」「重要なソフトウェアの脆弱性につながるもの」をリストしている。Web Application Security Consortiumの創設者であるRobert Auger氏によれば、「このリストは、ソフトウェア製品からセキュリティの欠陥を除去するのに便利なガイドラインになる」もので、リストの趣旨にも「このリストはソフトウェアを出荷する前に、最もありがちなミステイクを認識してこれを未然に防ぐことができるよう、プログラマーの教育に使用できるツールとなる」とある。

 リストの構造は、トップ25のバグを除去、あるいはその危険度を軽減するための「ミティゲーション」と、「一般的なセキュア・プログラミング基準」とを別の章にわけていることが去年よりも使い勝手をあげている。。ミティゲーションの章では、「モンスター・ミティゲーション」という、トップ25のバグを完全に除去する際に手助けとなる方法がひとまとめになっており、デベロッパーにとってはありがたいだろう。
 また、セキュリティー初心者プログラマー、セキュリティ・プロのプログラマー、ソフトウェア・プロジェクト・マネージャー、ソフトウェア・テスター、ソフトウェアの顧客などユーザ別に、このリストをどのように使えばいいかも記されている。

 トップ25のバグは以下。

RankScoreIDName
[1]346CWE-79 Failure to Preserve Web Page Structure ('Cross-site Scripting')

[2]330CWE-89 Improper Sanitization of Special Elements used in an SQL Command ('SQL Injection')

[3]273CWE-120 Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')

[4]261CWE-352 Cross-Site Request Forgery (CSRF)

[5]219CWE-285 Improper Access Control (Authorization)

[6]202CWE-807 Reliance on Untrusted Inputs in a Security Decision

[7]197CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

[8]194CWE-434 Unrestricted Upload of File with Dangerous Type

[9]188CWE-78 Improper Sanitization of Special Elements used in an OS Command ('OS Command Injection')

[10]188CWE-311 Missing Encryption of Sensitive Data

[11]176CWE-798 Use of Hard-coded Credentials

[12]158CWE-805 Buffer Access with Incorrect Length Value

[13]157CWE-98 Improper Control of Filename for Include/Require Statement in PHP Program ('PHP File Inclusion')

[14]156CWE-129 Improper Validation of Array Index

[15]155CWE-754 Improper Check for Unusual or Exceptional Conditions

[16]154CWE-209 Information Exposure Through an Error Message

[17]154CWE-190 Integer Overflow or Wraparound

[18]153CWE-131 Incorrect Calculation of Buffer Size

[19]147CWE-306 Missing Authentication for Critical Function

[20]146CWE-494 Download of Code Without Integrity Check

[21]145CWE-732 Incorrect Permission Assignment for Critical Resource

[22]145CWE-770 Allocation of Resources Without Limits or Throttling

[23]142CWE-601 URL Redirection to Untrusted Site ('Open Redirect')

[24]141CWE-327 Use of a Broken or Risky Cryptographic Algorithm

[25]138CWE-362 Race Condition

 さて、このトップ25のリストと同時に発表されたのが、「アプリケーションセキュリティ調達基準」案。この案と上記トップ25のバグリスト、そして、日本でも2008年から開始されているGSSP(GIAC Secure Sofware Programmer)試験が、ソフトウェアのセキュリティを確保するイニシアチブの三本の柱となっているそうだ。


【執筆:米国 笠原利香】 4月1日12時56分配信 Scan
http://headlines.yahoo.co.jp/hl?a=20100401-00000006-vgb-secu
 
   
Posted at 05:01/ この記事のURL
玄人志向、簡易3Dグラス付属キャンペーンを開始 / 2010年04月02日(金)
 玄人志向は4月1日、同社製GeForcce製品計4モデルに、簡易3Dグラスを付属する「玄人志向3Dサングラスキャンペーン」を発表した。

 対象製品には、アナグリフ(青赤フィルム式)の簡易グラスをバンドルして出荷。バンドル製品には外箱に専用シールが貼付される。

 キャンペーン対象となる製品は「GF-GT240-E512HD/D5」「GF-GT240-LE1GHD/D3」「GF9800GT-E1GHD/GE」「GF9800GT-E512HD/GE」の計4製品で、いずれも数量限定での提供となる。

【4月1日21時10分配信 +D PC USER
http://headlines.yahoo.co.jp/hl?a=20100401-00000082-zdn_pc-sci
 
   
Posted at 04:30/ この記事のURL
マカフィー、1月に発表したGoogleへの攻撃に関するレポートの内容を訂正 / 2010年04月02日(金)
 米国McAfeeが、2009年末に発生した米国Googleなどの企業に対するサイバー攻撃に関する誤った情報を提供したことで、セキュリティ研究者のコミュニティが一時混乱する事態となった。

【関連画像を含む詳細記事】

 McAfeeは3月30日、同社が「Operation Aurora」と名付けたこの攻撃に関する最初の調査レポートに誤りがあり、Auroraと無関係のファイルをこの攻撃と結びつけてしまったことを明らかにした。

 Auroraは、高度な手法を利用したスパイ行為で、大手企業から知的財産を盗み出すことが目的と見られており、Googleや米国Intel、米国Symantec、米国Adobe Systemsなどに対する攻撃との関係性も指摘されている。Googleもこの事態を深刻に受け止めており、中国の検索サービス事業から撤退することを決めた際には判断材料の1つとなった。

 McAfeeの最初のレポートでAuroraと結びつけられたファイルは、実際には現在も機能しているボットネット・ネットワークに関係している。このボットネットは、ベトナムの環境保護活動家を攻撃するために構築されたという。

 McAfeeの脅威調査担当バイスプレジデント、ディミトリー・アルペロビッチ(Dmitri Alperovitch)氏によると、同社はAuroraによる攻撃を受けた10数社の企業を調査し、4社のネットワークでベトナムのボットネットに関係するファイルを発見したという。このため同社は、このボットネットがAurora攻撃の一翼を担っていると考えたが、ほどなく無関係であることが判明したという。

 McAfeeが最初の報告書でAuroraとの関係を指摘した4つのファイル(jucheck.exe、zf32.dll、AdobeUpdateManager.exe、msconfig32.sys)は、実際にはベトナムのボットネットに関係するものだという。

 同社の最高技術責任者ジョージ・カーツ(George Kurtz)氏は3月30日のブログ・エントリで、「このマルウェアは、Auroraと無関係であり、使用されている制御命令サーバも異なるものであると思われる」と述べた。

 アルペロビッチ氏は、McAfeeが誤った内容の調査レポートを発表したことで、ほかのセキュリティ企業の間に混乱が生じたことを認めている。「Auroraについての分析を発表した企業のなかには、攻撃の実態を把握できなかったところもある」と同氏。

 そうした企業の1つが米国のDamballaだ。同社は今月初め、Aurora攻撃はアマチュアに近いボットネット開発者によるものであるとの見解を示しめしている。

 しかし、McAfeeやAurora攻撃について調査していた研究者は、この見解に対してすぐに異を唱えた。Aurora攻撃の実行者は、慎重な調査を行ったのち、高度な手法を用いて攻撃対象のネットワークに入り込み、察知されることなく企業の知的財産をほかの国に移動させていたからだ。

 コンピュータ犯罪の調査などを行っている米国のMandiantは、このタイプの攻撃を“先進的かつ永続的な脅威”と位置づけており、調査レポートでも「犯罪行為に手を染めているアマチュアのボットネット・チーム」によるものではないと指摘している。

 Mandiantのディレクター、ロブ・リー(Rob Lee)氏は、「ボットネットは、先進的かつ永続的な脅威ではない」としたうえで、Damballaが誤った結論を導き出したのは基になった情報が正しくなかったためとの見方を示した。

(Robert McMillan/IDG News Serviceサンフランシスコ支局)

【4月1日16時13分配信 COMPUTERWORLD.jp
http://headlines.yahoo.co.jp/hl?a=20100401-00000004-cwj-secu
 
   
Posted at 03:59/ この記事のURL
P R
カテゴリアーカイブ
  | 前へ  
 
Powered by yaplog!