SCAN DISPATCH :「脆弱性は開発者の責任」-SANS Instituteらが調達基準案を発表 / 2010年04月02日(金)
SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

 2010版の「CWE/SANS最も危険な25のプログラミング・エラー」リストが発表された。このリストは去年初めて発表されたもので、今年はNSAの指導下、米国国土安全保障省の国立サイバー・セキュリティ局(NCSD:National Cyber Security Division)が資金提供、Red Hat、Symantec、McFee、Microsoft、Sun、OWASP、Oracleなど30以上の団体の協力を得て、SANS InstituteとMitre Corpがまとめている。
 日本の情報処理推進機(IPA)からも、セキュリティセンター、情報セキュリティ技術ラボラトリー研究員の寺田真敏氏が貢献している。

 このリストは、「最も危険度が高く、頻繁に目にするプログラミングのエラー」で、「攻撃者がソフトウェアを乗っ取ったり、データの盗難やソフトウェアの(非権限の)作動を阻止を招くような」「重要なソフトウェアの脆弱性につながるもの」をリストしている。Web Application Security Consortiumの創設者であるRobert Auger氏によれば、「このリストは、ソフトウェア製品からセキュリティの欠陥を除去するのに便利なガイドラインになる」もので、リストの趣旨にも「このリストはソフトウェアを出荷する前に、最もありがちなミステイクを認識してこれを未然に防ぐことができるよう、プログラマーの教育に使用できるツールとなる」とある。

 リストの構造は、トップ25のバグを除去、あるいはその危険度を軽減するための「ミティゲーション」と、「一般的なセキュア・プログラミング基準」とを別の章にわけていることが去年よりも使い勝手をあげている。。ミティゲーションの章では、「モンスター・ミティゲーション」という、トップ25のバグを完全に除去する際に手助けとなる方法がひとまとめになっており、デベロッパーにとってはありがたいだろう。
 また、セキュリティー初心者プログラマー、セキュリティ・プロのプログラマー、ソフトウェア・プロジェクト・マネージャー、ソフトウェア・テスター、ソフトウェアの顧客などユーザ別に、このリストをどのように使えばいいかも記されている。

 トップ25のバグは以下。

RankScoreIDName
[1]346CWE-79 Failure to Preserve Web Page Structure ('Cross-site Scripting')

[2]330CWE-89 Improper Sanitization of Special Elements used in an SQL Command ('SQL Injection')

[3]273CWE-120 Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')

[4]261CWE-352 Cross-Site Request Forgery (CSRF)

[5]219CWE-285 Improper Access Control (Authorization)

[6]202CWE-807 Reliance on Untrusted Inputs in a Security Decision

[7]197CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

[8]194CWE-434 Unrestricted Upload of File with Dangerous Type

[9]188CWE-78 Improper Sanitization of Special Elements used in an OS Command ('OS Command Injection')

[10]188CWE-311 Missing Encryption of Sensitive Data

[11]176CWE-798 Use of Hard-coded Credentials

[12]158CWE-805 Buffer Access with Incorrect Length Value

[13]157CWE-98 Improper Control of Filename for Include/Require Statement in PHP Program ('PHP File Inclusion')

[14]156CWE-129 Improper Validation of Array Index

[15]155CWE-754 Improper Check for Unusual or Exceptional Conditions

[16]154CWE-209 Information Exposure Through an Error Message

[17]154CWE-190 Integer Overflow or Wraparound

[18]153CWE-131 Incorrect Calculation of Buffer Size

[19]147CWE-306 Missing Authentication for Critical Function

[20]146CWE-494 Download of Code Without Integrity Check

[21]145CWE-732 Incorrect Permission Assignment for Critical Resource

[22]145CWE-770 Allocation of Resources Without Limits or Throttling

[23]142CWE-601 URL Redirection to Untrusted Site ('Open Redirect')

[24]141CWE-327 Use of a Broken or Risky Cryptographic Algorithm

[25]138CWE-362 Race Condition

 さて、このトップ25のリストと同時に発表されたのが、「アプリケーションセキュリティ調達基準」案。この案と上記トップ25のバグリスト、そして、日本でも2008年から開始されているGSSP(GIAC Secure Sofware Programmer)試験が、ソフトウェアのセキュリティを確保するイニシアチブの三本の柱となっているそうだ。


【執筆:米国 笠原利香】 4月1日12時56分配信 Scan
http://headlines.yahoo.co.jp/hl?a=20100401-00000006-vgb-secu
 
   
Posted at 10:29/ この記事のURL
玄人志向、簡易3Dグラス付属キャンペーンを開始 / 2010年04月02日(金)
 玄人志向は4月1日、同社製GeForcce製品計4モデルに、簡易3Dグラスを付属する「玄人志向3Dサングラスキャンペーン」を発表した。

 対象製品には、アナグリフ(青赤フィルム式)の簡易グラスをバンドルして出荷。バンドル製品には外箱に専用シールが貼付される。

 キャンペーン対象となる製品は「GF-GT240-E512HD/D5」「GF-GT240-LE1GHD/D3」「GF9800GT-E1GHD/GE」「GF9800GT-E512HD/GE」の計4製品で、いずれも数量限定での提供となる。

【4月1日21時10分配信 +D PC USER
http://headlines.yahoo.co.jp/hl?a=20100401-00000082-zdn_pc-sci
 
   
Posted at 09:54/ この記事のURL
マカフィー、1月に発表したGoogleへの攻撃に関するレポートの内容を訂正 / 2010年04月02日(金)
 米国McAfeeが、2009年末に発生した米国Googleなどの企業に対するサイバー攻撃に関する誤った情報を提供したことで、セキュリティ研究者のコミュニティが一時混乱する事態となった。

【関連画像を含む詳細記事】

 McAfeeは3月30日、同社が「Operation Aurora」と名付けたこの攻撃に関する最初の調査レポートに誤りがあり、Auroraと無関係のファイルをこの攻撃と結びつけてしまったことを明らかにした。

 Auroraは、高度な手法を利用したスパイ行為で、大手企業から知的財産を盗み出すことが目的と見られており、Googleや米国Intel、米国Symantec、米国Adobe Systemsなどに対する攻撃との関係性も指摘されている。Googleもこの事態を深刻に受け止めており、中国の検索サービス事業から撤退することを決めた際には判断材料の1つとなった。

 McAfeeの最初のレポートでAuroraと結びつけられたファイルは、実際には現在も機能しているボットネット・ネットワークに関係している。このボットネットは、ベトナムの環境保護活動家を攻撃するために構築されたという。

 McAfeeの脅威調査担当バイスプレジデント、ディミトリー・アルペロビッチ(Dmitri Alperovitch)氏によると、同社はAuroraによる攻撃を受けた10数社の企業を調査し、4社のネットワークでベトナムのボットネットに関係するファイルを発見したという。このため同社は、このボットネットがAurora攻撃の一翼を担っていると考えたが、ほどなく無関係であることが判明したという。

 McAfeeが最初の報告書でAuroraとの関係を指摘した4つのファイル(jucheck.exe、zf32.dll、AdobeUpdateManager.exe、msconfig32.sys)は、実際にはベトナムのボットネットに関係するものだという。

 同社の最高技術責任者ジョージ・カーツ(George Kurtz)氏は3月30日のブログ・エントリで、「このマルウェアは、Auroraと無関係であり、使用されている制御命令サーバも異なるものであると思われる」と述べた。

 アルペロビッチ氏は、McAfeeが誤った内容の調査レポートを発表したことで、ほかのセキュリティ企業の間に混乱が生じたことを認めている。「Auroraについての分析を発表した企業のなかには、攻撃の実態を把握できなかったところもある」と同氏。

 そうした企業の1つが米国のDamballaだ。同社は今月初め、Aurora攻撃はアマチュアに近いボットネット開発者によるものであるとの見解を示しめしている。

 しかし、McAfeeやAurora攻撃について調査していた研究者は、この見解に対してすぐに異を唱えた。Aurora攻撃の実行者は、慎重な調査を行ったのち、高度な手法を用いて攻撃対象のネットワークに入り込み、察知されることなく企業の知的財産をほかの国に移動させていたからだ。

 コンピュータ犯罪の調査などを行っている米国のMandiantは、このタイプの攻撃を“先進的かつ永続的な脅威”と位置づけており、調査レポートでも「犯罪行為に手を染めているアマチュアのボットネット・チーム」によるものではないと指摘している。

 Mandiantのディレクター、ロブ・リー(Rob Lee)氏は、「ボットネットは、先進的かつ永続的な脅威ではない」としたうえで、Damballaが誤った結論を導き出したのは基になった情報が正しくなかったためとの見方を示した。

(Robert McMillan/IDG News Serviceサンフランシスコ支局)

【4月1日16時13分配信 COMPUTERWORLD.jp
http://headlines.yahoo.co.jp/hl?a=20100401-00000004-cwj-secu
 
   
Posted at 09:20/ この記事のURL
アウディジャパン販売、代表取締役社長にマツダ出身の大西氏 / 2010年04月02日(金)
アウディジャパンは1日、販売子会社のアウディジャパン販売の代表取締役社長に大西英之副社長が同日付で就任したと発表した。三嶌博社長は、名誉会長に就任した。

大西氏は1982年に東洋工業(現マツダ)に入社し、国内営業本部で営業スタッフの能力開発に携わったほか、ディーラー代表を歴任、直近はマツダの国内営業本部の部長として、担当エリアの統括責任者を務めていた。1月1日付でアウディジャパン販売に入社、取締役副社長に就任し、今回社長に就任した。


《レスポンス 編集部》

【4月1日18時50分配信 レスポンス
http://headlines.yahoo.co.jp/hl?a=20100401-00000036-rps-peo
 
   
Posted at 08:46/ この記事のURL
ダゲスタン共和国で車が爆発、3人死傷 爆発物自作の可能性も / 2010年04月02日(金)
モスクワ(CNN) ロシアの国営タス通信は4月1日、同国南部のダゲスタン共和国で3月31日午後、車が爆発し、男性2人が死亡、1人が負傷したと報じた。同共和国の内務省当局者は、この車が自作の爆発物を運んでいた可能性があると述べた。

爆発現場は、同共和国の首都マハチカラから約75キロ離れたハサビュルト地方。

同共和国のキズリャル町では3月31日朝、2件の爆弾テロがあり、12人が死亡、23人が負傷している。死傷者の多くは警官で、治安当局を狙ったテロとも受け止められている。

ロシアのプーチン首相は、キズリャル町で起こったテロ事件について、首都モスクワ中心部の地下鉄駅2カ所で先月29日に起きた連続自爆テロの実行組織と同一犯の可能性があると述べている。モスクワで発生したテロは女性の自爆犯2人による犯行で、乗客ら少なくとも39人が死亡した。

ダゲスタン共和国に隣接するチェチェン共和国の武装勢力の軍事部門の指導者が、ウェブサイト上でこのテロへの関与を認める発言をしている。

【4月1日21時36分配信 CNN.co.jp
http://headlines.yahoo.co.jp/hl?a=20100401-00000015-cnn-int
 
   
Posted at 08:13/ この記事のURL
「一切ない」から「ご賢察ください」まで、プレスリリースの名・迷コメント / 2010年04月02日(金)
 本稿読者の大半が日々の新聞やニュースサイトなどを通じて個別企業に関するニュースに接しているはず。企業に対するネガティブな記事、あるいは合併・買収(M&A)などの重大情報が流れた際、当事者となった企業自身がプレスリリースを発表するケースが多々ある。

 ただ、企業が発するコメントには、一般読者、あるいはネット取引を利用する一般投資家には分かりにくいものが多いのが実状だ。今回の時事日想は、プレスリリースにみるコメントのあれこれに触れてみたい。

●否定の最上級

 新聞や通信社、テレビによる独自ネタが掲載された際、東証やジャスダックなどに上場している日本企業の多くはコメントを発表する。第三者割当増資や他社との合併・統合など、報道された内容が当該企業の資本構成の大幅な変更に関わる問題だった場合、企業の広報担当者はこれに素早く反応し、コメントを記者クラブや自社のWebサイトを通じて発表する、という段取りだ。

 また、報道自体が企業の存続の可否に関わり、株価に重大な影響が生じる可能性があるような場合は、取引所側から企業に対してコメントを発表するよう促す。この間、当該企業の株式は売買停止措置を受け、企業側のコメント発表までは取引が再開されない仕組みとなっている。

 筆者が最近チェックしている限り、このようなケースで多いコメントが『現時点で決まっていることはない』というもの。

 「なんだ、記事はウソで、本当に決まったことはない」と素直に受け止める読者もいるはず。だが、「現時点で」という文言があることに注目してほしい。この定型コメントの背後には、「臨時取締役会」など、会社の機関決定が済んでいないという意味合いがある。また、特定のマスコミ(例えば経済情報に長けた新聞社など)に対し、あらかじめ記事の内容を伝えるリークをしておいて、便宜上リリースを出すケースも多い。

 また『憶測にはコメントできない』との文言も最近のトレンドだ。このようなコメントが出てくるのは、企業が他社との間で提携を検討したり、新商品の投入が間近に迫ったタイミングで記者にネタを抜かれたような場合だ。提携交渉がまだ完全に煮詰まっていなかったり、契約まであと1〜2日というような場合に多用される。記者も必死で取材しているケースが多く、大半は記事のトーンに沿った形で企業の側から正式に発表があるとみて良い。

 一方、筆者が現役記者時代に仰天した強烈なコメントが、『そのような事実は一切ない』という極めて強い文言だった。これは某大手銀行が大手新聞の報道に際して発表したもので、当時「否定コメントの最上級」(関係筋)とされた。このコメントを使い始めた大手銀行は“豪腕バンカー”がトップを務めていたため、「新聞報道に激怒し、二度とうかつな記事を書かせぬようにとの狙いがあった」(別の銀行関係者)という。以降、「一切ない」というフレーズが使われる際は、「誤報」的な扱いがメディア関係者内で常識となった。同時に、企業側がこの文言を用いる際は、メディア側に対して法的措置も辞さない覚悟を持っているときに使われるケースが増加したのだ。

●プロもあきれた迷コメント

 「長年記者をやってきたが、あのコメントを読んだ瞬間は開いた口が塞がらなかった」(大手紙記者)――。

 つい最近、記者や広報担当者を唖然とさせた1枚のリリースがあった。前社長と現経営陣の対立が問題となっている富士通が3月6日に発表したリリースがそれだ。

 「人事が深い」と長年言われ続けてきた同社の内情の詳細は他稿に譲るとして、ベテラン記者を仰天させたコメントとは、『発表時点では全ての事情についてお伝えしなかった事については、事情ご賢察の上ご理解いただきたく存じます。』という部分。要約すると、「前回の人事発表はいろいろと社内の事情があり、関係各位をミスリードすることになってしまいました。その辺をお察しください」となる。

 富士通はれっきとした東証1部上場企業であり、個人投資家はもとより内外の機関投資家の注目度も高い銘柄であることは言うまでもない。大企業が発したお家騒動に関するコメントが「お察しください」だったので、担当記者だけでなく、「元々株主を軽視する企業だったが、今回のリリースは論外」(外資系運用会社)と大口の投資家からも猛烈な批判を食らったわけだ。

 ちなみに、広報・IRの助言を専門に扱っているコンサルタントからは「評価する以前のコメント」との言葉が漏れてきた。先に本稿で『トヨタの“ブレーキ問題”がここまで拡大したワケ』と題するコラムを配信した。その中で、広報のプロ達が用いる「悪い実例リスト」の存在を指摘したが、この富士通の迷コメントも当然このリストに加えられたのは言うまでもない。

 Web上のニュースサイトには、従来の新聞よりも早く企業が発するコメントがアップされる。企業がどんな意図でコメントを発表しているのか、いろいろとその裏側を探りながら読み進めるのも一興かもしれない。【相場英雄】

【4月1日18時24分配信 Business Media 誠
http://headlines.yahoo.co.jp/hl?a=20100401-00000067-zdn_mkt-bus_all
 
   
Posted at 07:39/ この記事のURL
豆苗が王蟲の触手みたいに揺れながら伸びていく動画 / 2010年04月02日(金)
豆苗の前に普通のデジカメを置いて、30分おきに自動撮影。

この恐ろしく地味な作業を2週間ずっと続けると、NHK教育テレビやディスカバリーチャンネルに出てきそうな「植物がニョキニョキ伸びてくる動画」を、素人が簡単に作ることができるそうです。

うわ植物って生き物なんだなあ...と改めて感心することしきり。
彼らにとっては、動くことはすなわち成長することなんですね。

育ちきった豆苗がどう調理されたかは、ネタ元サイトをご覧ください。


参照サイト: http://uramayu.typepad.jp/blog/2010/03/tomyo.html [URAMAYU -裏まゆ-]

(いちる)

【4月1日12時47分配信 ギズモード・ジャパン
http://headlines.yahoo.co.jp/hl?a=20100401-00000309-giz-ent
 
   
Posted at 07:07/ この記事のURL
“カトちゃんケンちゃん”風「陰陽師」!?奇才・柴田剛のぶっ飛び最新作 / 2010年04月02日(金)
15か国以上の映画祭に出品された『おそいひと』(04)で注目を集めた柴田剛監督。障害者が殺人を犯すというショッキングな内容で、拍手とブーイングを同時に浴び、賛否両論を巻き起こした異才監督だ。そんな彼の最新作『堀川中立売』(今春公開予定)は、予測不能で突飛なストーリーはもちろん、これまで以上にぶっ飛んだ作品になっているのだとか!

【写真】小学校の校庭で五芒星を描く少女。意味するものとは?

本作は、平安時代の陰陽師・安部清明をモチーフにした柴田監督のオリジナル作品。現代の京都に実在する交差点「堀川中立売」を舞台に、社会になじめない青年たちが、謎の男・安部さんに式神として操られ、妖怪とバトルを繰り広げていく。

劇中では、清明が式神を住まわせた言われている“もどり橋”と平行に位置した“堀川中立売”の橋を中心にパラレルワールドが展開する。また、京都中の妖怪をまとめあげ、街を支配しようとする妖怪“加藤 the catwalk ドーマンセーマン”や、妖怪の頭髪を夜な夜な抜く式神、さらには消費者金融会社の関係者を皆殺しにした過去を持つ凶悪犯など、とんでもないキャラクターが続々と登場! 冒頭から、現代なのかパラレルワールドなのか分からなくなるほど、異常なテンションの高さで物語が進んでいく。

これだけハチャメチャだと、ついていけないかも…と思った人もいるだろうが、大丈夫! 監督いわく「『カトちゃんケンちゃんごきげんテレビ』みたいなコメディーをやりたかった」と話しているだけあって、コメディー要素も満載。他の誰にも真似できない笑いどころ満載の奇妙な世界を堪能できるはずだ。4月2日(金)には『おそいひと』のDVDが発売され、特典映像として『堀川中立売』の予告編も収録される模様。予習も兼ねて、こちらをチェックしてみてはいかがだろう。【トライワークス】

【4月1日18時38分配信 Movie Walker
http://headlines.yahoo.co.jp/hl?a=20100401-00000021-mvwalk-movi
 
   
Posted at 06:03/ この記事のURL
竹村真琴、思い出の地で心機一転!「ルーキーらしく思い切り」 / 2010年04月02日(金)
<ヤマハレディースオープン葛城 事前情報>◇1日◇葛城ゴルフ倶楽部(6,547ヤード・パー72)

 国内女子ツアー第4戦「ヤマハレディースオープン葛城」が静岡県にある葛城ゴルフ倶楽部を舞台に2日(金)から3日間の日程で開催される。米女子メジャー初戦「クラフトナビスコ選手権」に出場する、横峯さくら、諸見里しのぶ、有村智恵ら昨年の賞金ランキング上位陣が不在となる今大会。古閑美保、佐伯三貴ら実力者に加え、森田理香子、竹村真琴ら若手選手の活躍に期待がかかる。

【写真特集】 女子プロ写真館に最新フォトを大量アップ!

 開幕戦から3戦連続予選落ちとプロ転向後苦戦の続く竹村は、雨の中にも関わらず精力的に練習ラウンド。開催コースの葛城ゴルフ倶楽部は昨年のQTで8位に入った相性の良いコースだが、「距離が伸びて、グリーンがQTの時より硬くなっていた」と難コースに警戒を強めた。

 竹村は予選落ちの続いた開幕からの3戦を振り返り「力が入りすぎていた。所属契約も決まって、早く恩返しがしたいと自分にプレッシャーをかけてしまっていましたね」とコメント。19歳の肩にのしかかるアマチュア時代とは違う目に見えない重圧が、プレーにも影響してしまったようだ。「もともとプレッシャーかけないほうなのに、結果を求めすぎて力が入っていました。これからはルーキーらしく思い切りやりたいですね」早くから注目を集めているがまだプロ1年生。昨年のQTで今季の出場権を手にした思い出の地・葛城で、巻き返しに向け新たなスタートを切る。

 竹村は前田久仁子らと同組で8時ちょうどに1番スタート、古閑は森田理香子、ディフェンディングチャンピオンの黄アルム(韓国)と同組で9時57分に1番スタートとなっている。

(撮影:米川昌俊)<ゴルフ情報ALBA.Net>

【関連ニュース】
スパルタ?コーチ有村がジュニアイベントで熱血レッスン
上原彩子がFMラジオのDJに初挑戦!
現在の国内女子賞金ランキングをチェック!
藍は世界ランキング3位をキープ、桃子は26位に後退
最新女子賞金ランキング、宮里藍が首位、桃子は13位 4月1日17時2分配信 ゴルフ情報ALBA.Net
http://headlines.yahoo.co.jp/hl?a=20100401-00000001-alba-golf
 
   
Posted at 05:31/ この記事のURL
[新製品]ロジテック、長時間駆動のBluetoothヘッドセットにシガーチャージャー付属 / 2010年04月02日(金)
 ロジテックは、4月1日、Bluetooth対応の小型ヘッドセット「LBT-HS120C2」にシガーチャージャーを付属する「LBT-HS120C2CBK」を発売した。同社直販サイトでの価格は3980円。

【写真入りの記事】

 ヘッドセット側の操作で携帯電話の着信応答・通話ができるハンズフリーヘッドセット。チウムポリマー充電池を採用し、1回の充電で連続通話なら約10時間、連続待受なら約200時間駆動する。

 USB充電ケーブルのほか、24V対応のUSBシガーチャージャーを付属し、ドライブ中などにクルマのシガーソケットから充電できる。

 取り外し可能なイヤーフックは柔らかく、長時間使用しても耳に負担をかけない。イヤーフックの向きを変えることで、左右どちらの耳にも装着できる。

 プロファイルはHSPとHFPに対応。イヤーパッドはS、M、Lの3サイズを付属する。本体サイズは幅27×高さ52×奥行き32mm、重さ11.6g。カラーはブラック。


【4月1日19時22分配信 BCN
http://headlines.yahoo.co.jp/hl?a=20100401-00000018-bcn-sci
 
   
Posted at 05:00/ この記事のURL
P R
カテゴリアーカイブ
  | 前へ  
 
Powered by yaplog!