(cache) セキュリティホール memo

》 PostgreSQL 8.4 Released: Now Easier to Use than Ever (PostgreSQL.org, 7/1)
》核持ち込み黙認、米と密約「文書あった」と元外務次官 (asahi.com, 6/29)。元外務事務次官の村田良平氏の証言。関連:
- 核持ち込み密約：米核持ち込み、密約文書引き継ぐ　村田元次官「外相に説明」 (毎日, 6/29)
- 社説：核持ち込み密約　詭弁はもう通用しない (毎日, 6/30)
- 政府高官「密約はないことになっている」　核持ち込みで (asahi.com, 6/30)
- 核持ち込み密約、元次官から話聞く方針　衆院外務委員長 (asahi.com, 7/1)。外務委員長は河野太郎。
　いいかげん、「非核三原則」の「持ち込ませず」は非現実的な大本営発表だったと認めようよ。
》長年の疑問だった「日本」の読み方が正式に決定される (gigazine, 7/1)。ドッチーモ。
》セブンイレブン問題で朝日が奇妙な報道 (JANJAN, 6/30)
》インド法相、同性愛を違法とする刑法の見直しを示唆 (みやきち日記, 6/30)。現在は違法なのですね。
》 LGBTイベント「ロンドン・プライド」にAセクシュアル団体が初参加 (みやきち日記, 6/30)。「Aセクシュアル」(asexual) という状態があるのですね。ぐぐってみると、 http://www.asexual.jp/ というサイトを発見。ふぅむ……。
》コネティカットの教会、「同性愛の悪魔を祓う」動画をYouTubeにupし批判を浴びる (みやきち日記, 6/29)
》サルコジ大統領、「なんとしても」スリーストライクを実現すると決意を表明 (P2Pとかその辺のお話, 6/24)
》米著作権団体、街中で着メロが流れるのは無断使用だから携帯キャリアは使用料を払えと主張 (P2Pとかその辺のお話, 6/25)
》 LimeWire、イラン政府によるネット検閲の回避を支援 (P2Pとかその辺のお話, 6/30)
》不満噴出の「基本問題小委員会」、著作権見直しの行く末は (Internet Watch, 6/30)、複数委員から議論の迅速化を求める声，著作権法の基本問題小委員会から (日経 IT Pro, 6/30)
》 JPCERT/CC、ソフト設計工程における脆弱性低減対策の技術書を公開 (Internet Watch, 6/30)。ソフトウエア設計工程における脆弱性低減対策「セキュアデザインパターン」 (JPCERT/CC) の件、ようやく日本語版が登場。
》 Firefox 3.5リリース (slashdot.jp, 6/30)、「Firefox 3.5」正式版が公開、高速化と最新標準技術対応 (Internet Watch, 7/1)
》有罪判決受けた「The Pirate Bay」、約7億5000万円で買収される (Internet Watch, 7/1)、The Pirate Bay、ソフトウェア企業に売却され合法化へ？ (P2Pとかその辺のお話, 7/1)。おぉ。

　GGFのHans Pandeya CEOは今回の買収の意義について、「The Pirate BayとPeerialismの買収によって、GGFは国際的デジタルディストリビューション市場における戦略的なポジションに立つことになる。ファイル交換トラフィックは、今日の世界的インターネットトラフィックの半分以上を占めると推定されている。The Pirate Bayはグローバルなブランドであり、毎月2000万ビジターと10億を超えるページビューを記録するなど、重要な位置を占めている」とコメントしている。
　今後の計画については「我々は、コンテンツプロバイダーと著作権所有者が、このサイトからダウンロードされるコンテンツに対して、支払いを受けられるようなビジネスモデルを紹介したいと考えている」と説明している。
》「ウイルスバスター」シリーズ初のMac OS対応製品、今秋発売へ (Internet Watch, 7/1)。日本語版も登場するようで。
》朝日新聞社が「CNET Japan」や「ZDNet Japan」を事業継承 (Internet Watch, 7/1)。へぇ。
》「クジラが魚食べて漁獲減」説を政府が撤回 ―― 国際捕鯨委員会で森下・政府代表代理が「修正」発言 (JANJAN, 6/30)
》児童買春・児童ポルノ禁止法改正案方面
- Great Firewall of Japan が構築される可能性について (崎山伸夫のBlog, 6/26)
- 児童ポルノブロッキングで黄昏ていくであろう通信の秘密 (崎山伸夫のBlog, 6/28)
- あなたにも分かる児童ポルノ単純所持処罰化の未来 (崎山伸夫のBlog, 6/28)
- 児童ポルノ単純所持処罰化とタイムマシン (高木浩光＠自宅の日記, 6/29)
  
  ところで、今、この日記を、Mac OS 上の Safari（またはGoogle Chrome）で読んでいる人は、「ダウンロード」フォルダに、pictures.zip がさきほど入ったはずだ。(中略) そんなわけで、Mac OS 10.5 ユーザは、Time Machine の設定で、「バックアップから除外する項目」に、「ダウンロード」フォルダを含める設定をするのが賢明と思う。
- 罠サイトで「所持」 (水無月ばけらのえび日記, 7/1)
- 児童ポルノ法の制定目的とかけ離れた監視国家への道 (保坂展人のどこどこ日記, 6/29)
  
  　さらに、99年の立法目的から逸脱が著しいのが「マンガ・アニメ・ゲーム」などへの波及だ。与野党の議員の中には「犯罪とすべき」という人も相当いたが、「3年間検討する（法律の条文では「この法律の施行後三年を目途として、この法律の施行状況、児童の権利の擁護に関する国際的動向等を勘案し、検討が加えられ、その結果に基づいて必要な措置が講ぜられるものとする」）」と附則に盛りこまれた。「被害者が存在するか否か」は問題ではなく、マンガ・アニメで描かれて$$k3($,$?$H$(AO:nJ*$G$"$C$F$bHH:a$H$9$k$Y$-$@$H$$$&9M$(J}$@!#$7$+$b!"!V;yF8%]%k%N!W$G$"$k$+$I$&$+$NDj5A$OI}9-$$$N$G!"18歳以下の少年少女が登場するシーンは大幅に規制されることになる。
  
  　これは、戦前の治安維持法が猛威をふるった「心の中に土足で入り込む」状況を再来させる危惧がある。「児童買春・児童ポルノ」という社会的に問題となる実体物をめぐる取締りから、「人の性的傾向」の善し悪しが処罰されるという社会に陥らないために、憲法には「内心の自由」が明記してあるのだ。もし、「性的傾向」が処罰対象となれば、「小説」「歌」「演劇」などすべてが、監視・処罰対象となる。
- ６月２６日　児童ポルノ禁止法　法務委員会でのやりとり　その１ (保坂展人のどこどこ日記, 7/1)
  
  ○保坂委員　(中略) ちょっと法務省にお聞きしたいんですけれども、この児童ポルノの単純所持がないというのが問題だという声がずっと強いんですね。そうすると、単純所持規制が生まれた国で、それ以前の子供対象の性犯罪発生率みたいなものがそこで抑止された、横ばいになったり、あるいは減ったというような例はあるんでしょうか。もし数字が言えたら教えていただきたい。
  
  ○大野政府参考人　諸外国における児童に対する性犯罪の動向に関する統計資料でございますけれども、私ども、手元に有しておりませんので、今の御質問に対してお答えできません。
- 6月26日児童ポルノ禁止法法務委員会でのやりとり 2 (保坂展人のどこどこ日記, 7/1)
- 「Santa Fe」問題 (奥村徹弁護士の見解, 6/29)
  
  ネタとしてはおもしろいですが、児童ポルノで摘発されることはないと思います。単純所持罪を作ったとしても、与党案では３号ポルノ定義は変えないわけですから。
》子供の顔と大人の裸体の合成画像は児童ポルノ ? (slashdot.jp, 6/29)。US での事例。
》ソマリア方面
- ソマリアで新たな戦闘勃発 (国連情報誌ＳＵＮブログ対応版, 6/18)
- 避難民続出のソマリア (国連情報誌ＳＵＮブログ対応版, 7/1)
》 F1で飢餓問題を啓発：WFP (国連情報誌ＳＵＮブログ対応版, 6/19)。パナソニック・トヨタ・レーシングの 2 台で。

F1にかけるお金の一部を直接その支援に回したほうが…という気がしますが。

　それを言っちゃあ、おしめぇよ。
》 KERS (f1.panasonic.com, 6/23)

パナソニック・トヨタ・レーシングも採用する準備はしていたが、どうしてもメリットを見いだせないとして、レースでの採用は見送ってきた。トヨタは市販車でプリウスというハイブリッド車を販売しており、KERSに対しても一日の長があるはずである。しかし、「だからこそ、採用を見送ることができた」と木下美明TMG副社長は語る。

「F1のKERSはとてもプリミティブ（原始的）なんですよ。市販車では、ブレーキング時に電子制御で違和感がないようにブレーキをコントロールしています。しかし、F1はそれが許されていないから、ドライバーがブレーキを踏むと、リアだけエネルギー回収用の制動力が上乗せされる。さらにその回収したエネルギーを使用するときには、ボタンを押さなければならない。こんなシステムなんてあり得ない。(中略) F1のKERSは、基本的なところがまったくわかっていない。これでは市販車の技術にフィードバックなんかされないし、地球環境にも全然やさしくない。そんな技術に何十億円、何百億円という大金を注ぎ込むなんて、われわれには価値が見いだせない。だから、何度もFIAにシステムの変更を提案したんですけどね……」
》あなたのウイルス対策は本当に正しいですか？ Conficker，JSRedir-Rが印象付けた“対応”策の重要性 (日経 IT Pro, 6/30)
》 Windows 7の仮想ハードディスクがスゴイ！─（5）マルチブートなテスト環境を構築する
》 IBM，機密を保ったまま暗号化データを処理する技術を開発 (日経 IT Pro, 6/26)。よくわからん……。orz
》学校職員による、生徒を裸にした所持品検査は憲法違反。米最高裁が判決。 (slashdot.jp, 6/29)

なお、この判決で最高裁は学校職員らの個人的な責任は問えないとも判断したとのことだ。
》 IT事業と知的財産権法
- IT事業と知的財産権法［1］各種知的財産権法とIT事業の関係 (日経 IT Pro, 6/5)
- IT事業と知的財産権法［2］ソフトウェアが特許として認められるための要件 (日経 IT Pro, 6/12)
- IT事業と知的財産権法［3］特許権によるソフトウェア発明等の保護を検討する (日経 IT Pro, 6/19)
- IT事業と知的財産権法［4］ソフトウェアやシステムに関する特許権の間接侵害等を検討する (日経 IT Pro, 6/26)
》 ASTER 全球 3 次元地形データ配布開始 (slashdot.jp, 7/1)
》どうすれば部下全員の管理・指導ができるか？ (日経 IT Pro, 6/26)。馬場式部下指導法。

プロ%8%'%/%H4IM}$J$I$N;E;v;X8~!&%S%8%M%9;X8~$N8+J}$@$1$G$O%@%a$@!#8D?MJL7n4V3hF07W2h$J$I8D?M$N@Z$j8}$G8+$k$3$H$bIT2D7g$G$"$k!#%7%9%F%`3+H/%W%m%8%'%/%H$dHNGd3hF0$J$I;E;v$r4IM}$9$k;EAH$_$r!H=D$N4IM}!I$H$9$k$J$i$P!$$=$l$r9T$J$&8D!9?M$NSEを管理する仕組みは“横の管理”である。この二つの管理をやって初めて，ビジネスもうまくいき部下もやる気も起こし成長もする。
》「ソマリア海賊狩りツアー」という嘘ニュース、あたかも事実のようにネットを伝わる (slashdot.jp, 6/30)

何を信じれば良いのやら部門より。

　何かを信じた時点で負けでしょ。
》グーグルとグラミン財団、“情報へき地”向けの携帯情報サービスを開始 (ComputerWorld.jp, 6/30)
》トラッキングCookieを無効化する「Targeted Advertising Cookie Opt-Out」拡張 (sourceforge.jp, 6/30)
》 FTC settles with scareware scammers on reduced terms (The Register, 6/29)。にせアンチウイルスねた。「儲かりまっか?」「ウハウハですわ」
》第30回 NT-Committee2関東勉強会ご案内。2009.07.04、東京都文京区、1000円。人間系の話がおもしろそうだなあ。
》中央大ブログ、職員が改ざん容疑　「イベント中止」と嘘 (asahi.com, 6/30)。容疑者は否認中なのだが、産経 MSN はおもいっきり決めつけタイトルですな: 「学生惨殺で哀悼…」　ブログ書き換えた中央大職員逮捕 (産経 MSN, 6/30)

　関連: 本学専任職員の逮捕について (中央大学, 6/30)
》セキュリティホール memoの注意書きに、「rrrrr」が！ (ふうてんのまっちゃだいふくの日記, 7/1)。あぁ、それは小人さんですね。ラミパスラミパスルルルルル。

■ 追記

■ いろいろ (2009.07.01)
(various)

■ 2009.06.30

》フィンランドの摩訶不思議な飴（フィンランド出張旅行記その1） (エフセキュアブログ, 6/29)。フィンランドといえばやっぱり、北欧空戦史かなあ。安価だし、文章も読みやすい。やる夫が雪中の奇跡を起こすようですでもいいかも。ふつうに読みたい人は: 雪中の奇跡。ふつうじゃなく読みたい人は: 冬戦争 (アンサイクロペディア)

■ 2009.06.29

》京教大事件ネット中傷学生、反省文後も再び (読売, 6/29)。なんだかなあ。関連:
- またネットで準強姦被害者中傷　訓告処分の京都教育大生 (asahi.com, 6/29)
- 【集団暴行】京都教育大　退学は当面見送り　停学処分に戻し更生へ (産経 MSN, 6/24)
》植草元教授に実刑、不当の声も？ブロガー次々と反論アップ (まぐまぐニュース, 6/29)。最高裁第 3 小法廷が上告棄却、懲役 4 か月の実刑確定。まぁ、最高裁裁判官の第 3 小法廷は全員小泉・安倍時代の人ですね。
》集団強姦の疑い　専門学校生４人を逮捕　群馬県警 (asahi.com, 6/29)
》政府、軍隊の次は航空産業？ (エフセキュアブログ, 6/25)
》マネー資本主義　第４回　天才たちが生み出した“禁断の果実” ～金融工学・夢と暴走の軌跡～（仮） (NHK スペシャル, 7/19 放送予定)

しかしこの緻密な科学のアプローチにも、重大な弱点があった。それは、パニック時に人間がとる行動までは正確に計算できないこと。バブルが加速し、崩壊の兆しを見せる中で、ついにその弱点が露呈していくことになる。
》 FlashGotとSothink: ライセンス違反の一事例 (sourceforge.jp, 6/29)

今回のケースが示唆するのは、まず第一に、目に見えるライセンス違反は実は氷山の一角で、気づかれていないものが多くあるのではないかということだ。(中略)
もう一つは、開発者ないし著作権者は案外無力だということだ。Maone氏は全く無名の開発者というわけでもないが、今回のケースでは、Maone氏が一人で騒いでいてもなかなか問題は解決しなかっただろう。Slashdotのような影響力の強い媒体に取り上げられたがゆえに、話が先に進んだのである。
》マイケル・ジャクソン関連の検索急増　Google Newsが「攻撃」と勘違い (ITmedia, 6/29)。それくらいすごかった、ということだよなあ。

　マイケル・ジャクソン関連:
- マイケル・ジャクソン、BitTorrentサイトをも埋め尽くす (P2Pとかその辺のお話, 6/28)
- マイケル・ジャクソン死去騒動にメッセンジャーボットが便乗 (トレンドマイクロセキュリティ blog, 6/29)
》半額のWindows 7、週末で完売　限定3万本　「予想を超える注文」 (ITmedia, 6/29)。「たった 3 万本」だったために即座に終了した、というだけの話。内容がショボすぎる。
》 IP Address Range Search with libpcap (SANS ISC, 6/28)。192.168.25.6 ～ 192.168.25.35 への TCP SYN の例はこれだそうで。

tcpdump -nr filename '((ip[16:2] = 0xc0a8 and ip[18] = 0x19 and ip[19] > 0x06) and (ip[16:2] = 0xc0a8 and ip[18] = 0x19 and ip[19] < 0x23) and tcp[13] = 0x02)'

■ 2009.06.28

》 C/C++ セキュアコーディングハーフデイキャンプ 2009夏 part1 申し込み受付中 (JPCERT/CC)。開催: 2009.07.16 。
》 How Malware Defends Itself Using TLS Callback Functions (SANS ISC, 6/26)
》 First Independent Test of Panda Internet Security 2010 (Panda Research blog, 6/26)
》 Shellcode Analysis via MSEC Debugger Extensions (Microsoft Security Research and Defense, 6/5)
》 Understanding DEP as a mitigation technology part 1、 part 2 (Microsoft Security Research and Defense, 6/12)

If you look at the sysmain.sdb on Windows XP SP2 or the "DLL Characteristics" header value of iexplore.exe (IE 7) or excel.exe (or any Office application) you can see that these processes do not opt-in to DEP by default. Both IE 7 and Office do not opt-in to DEP for the sake of 3rd party extensions and plug-ins that need to run inside IE and Office applications. IE and the Office applications themselves work fine with DEP enabled so if you don’t need to use older 3rd party extensions, you might be able to get away with opting these processes in to DEP.

　part 2 には Office や IE で DEP を有効にするための Microsoft FixIt もついてます。
》「ウェブ魚拓」が取得した利用者のIPアドレスを開示 (gigazine, 6/28)
》与謝野馨 × 渡辺喜美 × オリエント貿易
- 迂回献金：先物会社が与謝野氏、渡辺喜氏に　ダミー通じ (毎日, 6/24)
- 迂回献金：与謝野氏、社史に祝辞　オリエント貿易が要請 (毎日, 6/24)
- 迂回献金：「違反の認識ない」　与謝野氏、渡辺喜氏が釈明 (毎日, 6/24)
- 迂回献金：オリエント貿易、社員に寄付分補てん (毎日, 6/25)
  
  寄付金は全面的にオ社が支出していたことになる。摘発された西松建設と同様の手口で、政治資金規正法（第三者名義の寄付・企業献金禁止）違反の疑いがさらに強まった。
- 迂回献金：別のダミー団体からも受け取る　与謝野財務相側 (毎日, 6/26)
- 迂回献金：オリエント貿易の２団体、大口は商工族議員　総額３億１０００万円 (毎日, 6/27)
  
  ００～０５年で最も献金が多いのは与謝野馨財務・金融・経済財政担当相で３７７０万円。次いで自民党の▽吉村剛太郎参院議員３２５０万円▽町村信孝前官房長官８３４万円▽中山成彬前国土交通相５８０万円－－など。野党では国民新党の亀井静香代表代行が１３２０万円を受け取っていた。吉村氏は０２～０５年、政経会から献金以外に計１２００万円を借りていた。
》＜記事紹介＞「郵政民営化で割を食った高齢者。分社化は過疎地の生活基盤を直撃」（『ベルダ』09年７月号。本紙・山岡） (情報紙「ストレイ・ドッグ」(山岡俊介取材メモ), 6/27)
》新型インフルエンザ方面
- 新型インフルエンザA（H1N1）の流行状況－更新11 (IDSC, 6/26)
  
  「香港かぜ-その流行の記録-」（日本公衆衛生協会編）の中で、福見らは、1968年の香港かぜと呼ばれたパンデミックの流行について、以下のように記載している（以下、原文のまま）。「流行学的にいうならば、10月以降の香港かぜの流行発生は、言うところの「from within」である。インフルエンザが流行期でないときに外から導入されると大抵の場合、そのまま流行期につながらず一度、播種期に入る。 Seedingの期間である。輸入されたウイルスは人から人へ細々と感染の伝播を続けていく。その感染伝搬の鎖は甚だ細い。人前に顕在しない程度のものである。しかし、そのことによって患者はあちらこちらに発生し、さらに感染を拡大していく。くすぶり流行（Smoldering epidemics）である。そして、それが、やがて時期が来ると、顕性流行に発展していく。8月、9月はこのくすぶり流行の期間で、10月に入って流行はやや顕性化の傾向をとったというのである。」
  
  現在の日本の状況は、この記述に非常によく似ていると考えることが出来る。すなわち、輸入例や、それに端を発した播種の結果の、火種が、あちこちでくすぶっているが、非常に小さな火種は人の目に付かない。時にそれらが流行に適した集団（中高校生など）に入ると、集団発生となる。これがぼやである。ただ、大きな市中の流行（目に見える火事）にはならない。
- 新型インフルの変異発見は解析ミス (読売, 6/25)。新型インフル、人の体内で急速増殖能力…中国女性から採取 (読売, 6/20) の件は、元データに間違いがあって、実際には「変異」はなかった模様。
- 新型インフルの全患者調査、７月中旬に中止…厚労省 (読売, 6/28)
》 Windows(R) 7 発売に向けた販売施策、パッケージ製品構成および参考価格を発表 (Microsoft, 6/26)
》児童ポルノ方面
- 自民「送付された児童ポルノでも１回開いたら有罪。写真など年齢が分からない場合は全て破棄すべき」 (痛いニュース, 6/27)
- クローズアップ２００９：児童ポルノ禁止法、改正案審議入り　「単純所持」で足踏み (毎日, 6/27)
- 「児童ポルノ単純所持」と表現の自由・内心の自由について (保坂展人のどこどこ日記, 6/25)
- 『Santa Fe』を1年間で処分すべしとする与党案に驚く (保坂展人のどこどこ日記, 6/26)
  
  　はたして、宮沢りえさんは、写真集『Santa Fe』の被写体となって、どのような損害・被害を被ったのだろうか。ご本人に聞いてみるしかないが、「被写体となる被害児童の人権救済」という本来の立法目的を超えて、現行法の規定している2条3号のあいまいな定義が一人歩きしていると感じた。「児童ポルノ」はどのように定義されているのか。法律の条文を見てみよう。
  
  児童買春・児童ポルノ禁止法
  
  ３この法律において「児童ポルノ」とは、写真、ビデオテープその他の物であって、次の各号のいずれかに該当するものをいう。
  
  一　児童を相手方とする又は児童による性交又は性交類似行為に係る児童の姿態を視覚により認識することができる方法により描写したもの
  
  二　他人が児童の性器等を触る行為又は児童が他人の性器等を触る行為に係る児童の姿態であって性欲を興奮させ又は刺激するものを視覚により認識することができる方法により描写したもの
  
  三　衣服の全部又は一部を着けない児童の姿態であって性欲を興奮させ又は刺激するものを視覚により認識することができる方法により描写したもの
  
  　特に三が曖昧で幅広いと言われている。この定義で見る限りは『Santa Fe』は、この法律で言う「3号ポルノ」に該当してしまうおそれが強い。従って、宮沢りえさん以外にも少女ヌードなどを撮影してきたカメラマンは、過去の作品の出版物だけではなくて、紙焼きやネガも処分しなければならないということになるのG$O$J$$$+$H$$$&7|G0$r;d$OI=L@$7$?!#
  
  　私たちは今、危ないところにいる。児童ポルノの禁止という誰もがうなづく「当たり前」のことの影に、表現の自由を大幅に脅かす危険が宿っている。それが「単純所持規制」だと、論点が明確になった。
- マンガ太郎の「表現規制」暴走は、なぜ？ (保坂展人のどこどこ日記, 6/27)
  
  　ならば、物言えば唇寒し的な「規制ムード」に押し流されるべきではない。10年前、20年前の写真集や古雑誌などが「禁書指定」されて、『Santa Fe』レベルの写真集ですら、「持っていることは犯罪に問われる」というのは明らかに過剰な規制暴走である。本来なら、新聞・テレビは大きく取り上げ議論する必要がある。『Santa Fe』は、発売当時に新聞に全面広告を打ったことでも話題になった。これが児童ポルノであれば、全面広告を掲載している「新聞の縮刷版」も同様だとして焼却処分しなければならない。そんなバカなとタカをくくっているのがメディアの鈍感さだ。
》個人情報流出事件（2009/06/02～06/25） (so-net セキュリティ通信, 6/26)
》リトアニア大統領、ホモフォビックな法に拒否権を行使 (みやきち日記, 6/27)。しかし議会による再可決の可能性があるそうで。
》大阪府警で「ロックの日」に侵入犯罪撲滅街頭キャンペーン (ポリスチャンネル, 6/26)。ロックンロールとは関係ない。
》特定タブの履歴とクッキーを消去できる「Close'n forget」拡張 (sourceforge.jp, 6/25)。Firefox ねた。
》ブレスレット：ゲルマニウム含まれず　国民生活センター調査、１２品中８品で (毎日, 6/26)、体に良いとうたうゲルマニウム使用のブレスレット (国民生活センター, 6/25)、ゲルマニウム (Okumura's Blog, 6/26)
》核の脅威「敵地で遮断」、韓国が先制攻撃明示 (読売, 6/27)、国防部「北核・ミサイル発射直前に打撃」 (中央日報, 6/27)。威勢がいいのはいいけれど、実際問題、移動式の固体燃料ミサイルへの攻撃は容易ではないわけで。
》パスワードのマスキングは廃止すべき (slashdot.jp, 6/27)。あちらを立てればこちらが立たず。

■ いろいろ (2009.06.28)
(various)

■ 2009.06.27

》 B787構造欠陥問題、問題箇所は三菱重工の製造部品 (technobahn, 6/26)。MHI ……。
》 Kaminsky interview: DNSSEC addresses cross-organizational trust and security (SearchSecurity.com, 6/25)
》 Windows 7の仮想ハードディスクがスゴイ！─（4） USBメモリからのVHDブートは可能か!? (ComputerWorld.jp, 6/26)
》中国の検閲ソフト「Green Dam」狙う攻撃コード--セキュリティ研究家が公開 (ZDNet, 6/26)
》厄介な大規模Webサイト改ざん事件が再発生 (トレンドマイクロセキュリティ blog, 6/26)
》女性巡査、イメトレ射撃訓練で発砲　神奈川、誤射相次ぐ (asahi.com, 6/25)。間抜けだ。しかし、

巡査はイメージトレーニングをしていたという。

　そもそも「イメージトレーニング」などという間抜けなことをせざるを得ないような環境がよくないんじゃないのか。死ぬほど実弾射撃訓練できるような環境を用意すべきであろ。
》 RSA Conference Japan 2009レポート　進化するセキュリティ、そのベクトルはどこに向かうのか (@IT, 6/26)
》緊張高まる中国のネット検閲問題、Googleにアクセス障害も (ITmedia, 6/26)
》東京都が“学校裏サイト”の監視スタート、公立2200校対象 (Internet Watch, 6/26)

監視業務はピットクルー株式会社に委託し、すでに6月18日より実施している。
》西松元社長を一転追起訴　二階氏側は再び不起訴 (asahi.com, 6/26)。国策捜査だもんね。
》世界遺産：独ドレスデンのエルベ渓谷を抹消　ユネスコ (毎日, 6/26)

　抹消理由は、ドレスデン市中心部から約４キロ離れたエルベ渓谷に建設中の橋が、文化的景観を損ねるとされたため。世界遺産委員会は、橋の代わりにトンネルを建設するよう勧めたが、市は費用がかさむことなどを理由に拒否していた。
》サンデー毎日：植草元教授の記事、毎日新聞社の勝訴確定 (毎日, 6/24)

■ 追記

■ 2009.06.26

》コンピューター誤作動、減速できず　湘南モノレール事故 (asahi.com, 6/26)。 2008.02 の事故、 http://jtsb.assistmicro.co.jp/jtsb/railway/report/detail.asp?ID=1744 の件。
》米国軍需メーカーの機密情報、ガーナで販売されていた中古HDDから発見　廃棄PCから取り出された？国防情報局やNASAなどとの契約文書が数万件 (ComputerWorld.jp, 6/25)。流れ流れてガーナまで。
》「キング・オブ・ポップ」　Ｍ・ジャクソンさんが急死 (CNN, 6/26)。50 歳というのは、やっぱり早過ぎるよなあ。死してなおネットワーク障害を発生させてしまうし。

　さっそく spam 等に悪用されてます:
- Michael Jackson's Death Sparks Off Spam (Sophos, 6/26)
- Michael Jackson Spam Distributes Malware (SANS ISC, 6/26)
- MSN Bot Plays on Controversy over Michael Jackson’s Death (trendmicro blog, 6/26)
- Michael Jackson “breaking news video” distributes malware (Sophos, 6/26)
- Michael Jackson News Affects Web Traffic (McAfee blog, 6/26)
》児童ポルノ禁止法改正案審議入り　「単純所持」が焦点 (asahi.com, 6/26)
》 ACアダプタを10分の1に小型化　富士通研、消費電力大幅削減につながる新トランジスタ (ITmedia, 6/25)。電源革命?!

　新トランジスタによる電源装置を国内データセンターの全サーバに適用すれば、発熱低減による空調の省エネ効果も含め、データセンターの消費電力を12％削減でき、年間33万トンの二酸化炭素削減効果が期待できるという。
　新トランジスタは高周波動作が可能なため、従来は困難だったコイルや変圧器の小型化も実現でき、ACアダプタやサーバ電源部の小型化による省スペース化につながるとしている。

■ 追記

■ 2009.06.25

》過剰反応と紙一重？ (極楽せきゅあ日記, 6/25)。元ねたは「ジュンク堂での悲劇」 (パブロフの犬日記, 6/25)。

　これ、ジュンク堂店員は「ジュンク堂標準の取り置き処理プロシージャ」に従っただけなんじゃないの。「トンチンカンなのはこの店員だけだと思いたいです」という反応はズレているように思えるなあ。

「一時的な取り置きに電話番号は必要なの？」と聞いたよね？

　その質問は意味不明。全ての取り置きは一時的であろ。一時的なはずなのに客が来ない場合のために「連絡先電話番号」が必要なのであろ。であるから、店員は「当該他店に伝達するため」に氏名と電話番号を聞いているのであろ。というわけで、すべき質問は「何のために電話番号が必要なの？」だったのでは。まぁ、後出しジャンケンだけどね。

　さて、ジュンク堂さん的には、どういう対応ができるかなあ。「レジ横の内線電話でそんな大声で」というのが逆鱗に触れているようなので、そうでない場所からやればよかったんですかね。でも、ふつうの書店には「レジ横の電話」しか存在しないんじゃないかな。ジュンク堂さんはデカいから別かもしれないけどさ。というわけで、元ねたの人は「無理な要求」をしているような気がするな。まぁ、後出しジャンケンだけどね。

こんなことが続けば、アマゾンでしか本を買えなくなります。

　ジュンク堂もネットやってるんだから、そこで買ってあげなよ。

2009.06.26 追記:

　飯塚さんから。

ジュンク堂店員の行為に対する反応が「過剰反応と紙一重」「ズレている」という論調ですが、それはいかにも”男の感覚”だと思います。

　誤読されてるなあ。「過剰反応と紙一重」と言ったのは私じゃないし、「ズレている」としたのは「トンチンカンなのはこの店員」という見方に対してなのだが。もし本当に「対応」を求めるのなら、それは店員個人ではなく、ジュンク堂の体制そのものにじゃないの? というのが私の意見。で、要求を満足するような「体制」はコスト等から現実的とは思えないので、「無理な要求」をしているような気がする、と書いた。

もしあなたが２０才前後の女性だったらどうでしょうか？しかもストーカー被害の経験者だったら？

私にはこんな経験があります。
小さな書店でのことですが、女子高生らしき女の子が本の予約をしました。そこはカウンターも小さくて、店員（女性）が女子高生から予約本の情報を聞いて用紙に書き込んでました。その方が客に書かせるより親切だと思ったんでしょう。
本の題名だけでなく、彼女の氏名、電話番号、住所まで聞き出していました。彼女の個人情報が、狭い店内の客全員に筒抜けでした。これって、危険すぎませんか？

　元ねたの人も書いているように、この手のリスクを軽減したい人 (それをリスクだと捉える人) は、リアル店舗なんか使わず、ネット使えばいいと思いますよ。いや、冗談でもなんでもなく。店舗側のコストとリスクを考えれば、リアル店舗にそれを求めることが現実的とは、私には思えない。
》虫との共存 (Eiji James Yoshidaの記録, 6/24)。えぇ～、ダンゴムシかわいいのに。デカい親戚もいるけど。デカい親戚の方に団体で来られると、ちょっと怖いかも。

　まぁ、世の中には金魚が駄目な人もいるしなあ。

■ 追記

■ ウイルス検索エンジン VSAPI 8.950 (ビルド1094) Windows NTKD版公開のお知らせ
(トレンドマイクロ, 2009.06.24)

■ 2009.06.24

》韓国、リチウム電池に新規制…「日本製」締め出し狙う？ (読売, 6/22)。yama yama さん情報ありがとうございます。
》組込みシステムのセキュリティへの取組みガイド (IPA, 6/24)
》 2年間付き合っていた彼女が元男性だったことを知って殺害 (gigazine, 6/24)。ロシア方面ですか。ロシア方面というと、最近もこんなことがありましたね。
》 gigazine が「信用金庫」を取材
- 「信用金庫」の中にある巨大金庫の中に入ってみた (gigazine, 6/14)
  
  築47年近くというかなり年季の入った2階建ての物件で、あまりにも古いので建物自体の価格はなんとゼロ。実質、土地代(約6000万円)だけというレベル。2階建てと言っても高さ自体は通常の建物の3階建てに相当し、やたら天井が高いのが特徴。
- 「信用金庫」のATM、その知られざる裏側に回って観察してみた (gigazine, 6/14)
- 「信用金庫」に強盗が入ってきた時に「ぽちっ」と押されるアレは一体何なのか、そして2階には何があるのか？ (gigazine, 6/14)
》 Torrent-jp閉鎖キタ━━━━━━(゜∀゜)━━━━━━!!!! (2ch.net, 6/24)。Torrentで逝こう（白）さん情報ありがとうございます。関連:
- torrent.jpが昨日からずっと落ちてる件 (2ch.net, 4/16～)
- 日本語トラッカー「Torrent-jp」「ヨロバウト」でファイルゲット (教えて君.net)

■ APSB09-08: Security Update available for Shockwave Player
(Adobe, 2009.06.23)

■ 追記

■ Microsoft Security Essentials Beta
(Microsoft, 2009.06.23)

■ 2009.06.23

》 5年以内に「帯域不足」に陥る大西洋横断海底ケーブル　回線供給過剰から一転。回線価格は上昇へ (ComputerWorld.jp, 6/23)
》拡張言語向けライブラリ「Guile」、Schemeに加えJavaScriptに対応 (sourceforge.jp, 6/23)
》実行中のアプリケーションを外から観察するソフトウェア(Windows版) (葉っぱ日記, 6/22)
》 Firefoxでmhtファイルを扱えるようにする「UnMHT」拡張 (sourceforge.jp, 6/22)
》キルギス米軍基地、事実上存続へ　非軍事物資の輸送拠点 (asahi.com, 6/23)
》グーグル社の東京都への回答「元データは保管していない」は虚偽か (高木浩光＠自宅の日記, 6/21)、 Google、ストリートビューの不鮮明化処理前の写真を警察に提供 (slashdot.jp, 6/23)
》ストリートビューの法的問題を整理、総務省の研究会　「違法ではない」が、より一層の対策を求める (Internet Watch, 6/23)
》「自由民主」国防政策特集号増刷に次ぐ増刷！ (佐藤正久, 6/23) だそうです。しかし一方で、自衛隊は無駄が多いしいびつでもある組織だからねえ。
》想定外、突然の幕引き　京教大集団暴行　起訴猶予へ (京都新聞, 6/23)

　関連: 示談成立も中傷後を絶たず…釈放６人と京教大の今後 (ZAKZAK, 6/23)
》空自操縦士の退官急増　３年連続２０人、イラク空輸影響か (中日, 6/23)。ふぅん。
》 [Announce] GnuPG 2.0.12 released (linuxsecurity.com, 6/17)
》ワシントンで列車追突、６人死亡・重軽傷７０人超 (asahi.com, 6/23)
》 [postfix-jp: 3515] Re: RBL 等 DNS 情報を使用して action を指定 (postfix-jp ML, 6/22)。 milter-greylist なら DNSBL と S25R とを組みあわせた運用ができる模様。

■ ESET Smart Security のパーソナルファイアウォール機能バージョン1047(20090525)の通信障害について
(キヤノン IT ソリューションズ, 2009.06.23)

■ 追記

■ Stable, Beta update: Security fix
(Google Chrome Release blog, 2009.06.22)

■ Thunderbird 2.0.0.22 リリースノート
(mozilla.jp, 2009.06.23)

■ [SA35515] LibTIFF "LZWDecodeCompat()" Buffer Underflow Vulnerability
(Secunia, 2009.06.23)

■ [SA35521] SSVNC OpenSSL Multiple Vulnerabilities
(Secunia, 2009.06.23)

■ VU#251793: Foxit Reader contains multiple vulnerabilities in the processing of JPX data
(US-CERT, 2009.06.19)

■ 2009.06.22

》グーグルストリートビュー法規制見送り　総務省が初見解 (asahi.com, 6/22)
》 Event ID: 5004, フィルタドライバに接続できませんでした。エラー=0x2 : 指定されたファイルが見つかりません。(VSE 8.0i / 8.5i) (マカフィー, 6/19)
》 VirusScan Enterprise(VSE) 8.7iの隔離マネージャにバックアップファイルが作成されない場合があります (マカフィー, 6/19)
》 ePolicy Orchestrator(以後ePO) 4.0 レポートで"VSE: バージョン8.xの対応状況"クエリを実行すると、コンピュータが"Non-Compliant"として表示される場合があります。 (マカフィー, 6/19)
》 SSDの速度低下を招く「メモリー断片化問題」を考える第1回　なぜ、使っているうちにパフォーマンスが落ちるのか (ComputerWorld.jp, 6/16)
》飛行機座席からライター６０個以上　航空各社が一斉点検 (asahi.com, 6/18)。とりあえず点検してみた。

　座席のすき間に落ちたライターによるトラブルは、今月６日の関西発台北行きの日航機のほか、４月にも香港発羽田行きの全日空系機で起きている。いずれも簡易ライターだが、回転式のドラムを回して点火するタイプではなく、上部を押して点火する圧電式だった。
　このため、航空関係者は、「シートの背もたれを起こした際などに、金具が当たって点火部を押したのではないか」とみる。
》専門家グループ，GoogleにWebサービスのHTTPS通信デフォルト化を要求 (日経 IT Pro, 6/17)
》 AV Tokyo のCTFプロジェクトに聞く DefCon CTF 2009 予選の傾向 (てっしーの丸出し, 6/18)
》「情報セキュリティ・ハンズオンワークショップ Jul. 2009」の募集を開始しました！ (Eiji James Yoshidaの記録, 6/18)
》 2009年5月12日の立会停止について(最終報告) (東京工業品取引所, 6/17)。「当該ルータに接続された回線において、5月12日午前2時から行われた回線キャリアの回線借用工事で、短時間に同時切断/再接続を繰り返していた」ために膨大な trace log が発生、CPU を圧迫していた、のかな。 taka さん情報ありがとうございます。
》 Air France Flight 447 Spam Arrives with PowerPoint Exploit (trendmicro blog, 6/17)
》 Panda USB Vaccine with NTFS Support (PandaResearch blog, 6/19)
》「デジカメやSDカードも感染する」――「USBウイルス」を徹底解説 (日経 IT Pro, 6/22)。 USB メモリ経由の感染機能を持つマルウエア調査報告書 (JPCERT/CC, 6/19) の件。
》大英図書館、19世紀の新聞200万ページ分をネットで公開 (Internet Watch, 6/19)
》 MIAU、ダウンロード違法化に「強い遺憾の意」 (ITmedia, 6/18)
》 Windows 7の仮想ハードディスクがスゴイ！―(1)、 (2) (ComputerWorld.jp)
》着メロサイトが30万人分以上の会員情報を出会い系サイトに横流し、数百万円で販売か (gigazine, 6/22)
》 Googleストリートビューの写真を元に窃盗犯を逮捕する (gigazine, 6/22)。たまたま。
》ウイルスバスター2010 （仮称）の公開ベータテストを開始～次世代PC向けオペレーティングシステムWindows 7にも対応～ (トレンドマイクロ, 6/22)

「ウイルスバスター2010（仮称）」には、金銭詐取を目的とした悪質なフィッシング詐欺や、新型インフルエンザなどの社会現象に便乗した迷惑メール等、次々と手法を変えて忍び寄る不正プログラムの侵入を事前に防ぐための最新テクノロジーを搭載しています。

　具体的にどういうテクノロジーなのかは一切不明ですね。
》 Microsoftの無料セキュリティサービス、6月23日にβ版リリース (ITmedia, 6/19)。岬ちゃん話。

　セキュリティ業界の動向を追うEnderle Groupのアナリスト、ロブ・エンダール氏は、消費者はそうした多用な機能をすべて必要としているわけではないと指摘する。
　「『十分間に合う』レベルの製品が無料であれば、お金を払う理由を付けられるだろうか？」
》 P2Pで音楽交換のユーザーに192万ドルの損害賠償命令 (ITmedia, 6/22)
》「謎の食中毒」増殖中…短時間で発症・回復、年間１００件超 (読売, 6/22)。ローンブロゾー。

　ローンブロゾー関連: ロンブローゾ――19世紀イタリアの「犯罪人類学」者 (的はずれ人物伝　PART 1)
》京都教育大生の集団準強姦事件、逮捕の６人を処分保留で釈放 (読売, 6/22)

　６人と被害者の女子大生との間に同日、示談が成立し、女子大生が告訴を取り下げたため、地検は起訴する必要がなくなったと判断したという。

　裁判が延々続くよりは、この方がいいのかな。

　関連: mixiが2ちゃんねる化？　「身内しか見ない」と“誤った安心感” (ITmedia, 6/19)
》 24日は、きっと晴れるはず (エフセキュアブログ, 6/22)。天気予報的にはいまいちっぽいですが。
》イラン衝突、少女死亡映像に衝撃　ネットで大反響 (中日, 6/22)

２１日付のイスラエル紙イディオト・アハロノトが動画投稿サイト「ユーチューブ」の映像として掲載した（共同）

　イスラエルのプロパタンダかよ。パレスチナの人達も同様に報道しろよな。
》大宅賞『キャパになれなかったカメラマン』の平敷安常氏に聞く (JANJAN, 6/20)
》驚くべきシマンテック社架空請求の手口――ウイルス対策ソフト、更新されていないのに代金を請求 (JANJAN, 6/22)。例の Norton のアレの話。
》「武器輸出３原則」等の見直し議論の活発化を！ (佐藤正久, 6/22)。「国際共同開発」「国際共同生産」は確かに増えているし、US-2 (US-1A 改) みたいないい機体はきちんと外国にも売りたいよねえ。

■ 2009.06.21

》厄介ものの火山灰シラス、資源化に道　しかも無尽蔵 (asahi.com, 6/19)。「シラスバルーン」の大量生産が可能になるのだそうで。

■ 2009.06.20

》「Ｆ２２、対日輸出検討を」米予算法案に修正条項 (読売 / Yahoo, 6/20)。どうするどうなる F-22。
》「証拠隠滅のおそれ」　京都教育大事件、勾留理由開示 (asahi.com, 6/19)

弁護側は、事件直前に別の女性が被害女性を撮影した写真を示し、「被害者は心神喪失状態ではなかった」などと反論した。容疑者の一人は、「取り調べ中、捜査員に『狂っているんじゃないか』など人格を否定するようなことを言われた」と訴えた。
》リトアニアの議会、学校やメディアが同性愛について述べることを禁ずる法案を可決（追記あり） (みやきち日記, 6/18)
》生物学者「動物の同性愛は『一種の適応』」 (みやきち日記, 6/18)
》「頭金」「契約金」と称する上乗せ代金をソフトバンクショップなどに取られてしまった場合、どうすればいいのか？ (gigazine, 6/20)。さすがはソフトバンク、としか言いようがありませんね。
》 [Full-disclosure] BackTrack 4 Pre Release Available for Download (Full-disclosure ML, 6/20)
》早大生２人新型インフル感染　３００人自宅待機 (asahi.com, 6/20)

　新型インフルエンザ関連:
- 愛知工業大の学生が感染　新型インフルエンザ (asahi.com, 6/20)。こちらは大学として特に何かしているわけではないみたいだなあ。
- 新型インフル、１時間で感染判定　理研が実験成功　 (神戸新聞, 6/20)。まだ実験段階、臨床試験はこれから。
- 新型インフル、人の体内で急速増殖能力…中国女性から採取 (読売, 6/20)。対人カリカリチューン続行中。
- Influenza A(H1N1): View interactive timeline of all cases (WHO)。これはいい……のだが、Japan で光る場所が北海道というのはちょっと……。まぁ、韓国とかと明確に区別したかったとかいう理由なのだろうけど、日本での実際の発生状況はこうですからねえ (NIH, 6/19)。
》エールフランス機、空中分解か　遺体の損傷状態から推測 (CNN, 6/20)

以上の結果から航空専門家は、約３万５０００フィード（約１万６７０メートル）の上空で機体が分解したとの見方を強めている。
》イラン：改革派が大規模抗議デモを中止　混乱は収束に (毎日, 6/20)
》 F1 いよいよ本当に分裂か
- いよいよF1分裂か？　FOTAが新シリーズの立ち上げを表明 (Yahoo スポーツ, 6/19)
- 英断 (f1.panasonic.com, 6/19)。木下美明 TMG 副社長の会見。
  
  「まず、みなさんにわかってほしいのは、われわれFOTAがFIAに対して反対していることは、いわゆるバジェットキャップ（予算制限制）ではありません。われわれFOTAの最大の論点は、いまのF1にガバナンス（統制）がないということです。
  
  具体的にいえば、度重なる迷走状態をなんとかしてほしいのです。またコンコルド協定に関しても収益金の分配についてばかりクローズアップされていますが、われわれが納得していないのは、FIAとFOA、そしてチームの3者間のガバナンスがしっかりとできていないことなんです。それがないので、ある日突然、レギュレーションが変更される。インターナショナルスポーツコードの前文には、『F1に限ってはレギュレーション変更は2年間の猶予をもって施行する』という一文があったのに、それがいつの間にか消えてしまった。それがなくなったものだから、FIAは次から次へとレギュレーションを変更しているんです。
  
  例えば、エンジン。8気筒になったことはまだ許せるとしても、それを3年間フリーズ（開発凍結）する。いや、4気筒ターボにする。やっぱり10年間フリーズする。それから、6気筒ターボにする。最後には10年間フリーズする。1年間に5回も変わった。
  
  KERSにしても、そう。もっとわれわれの主張を聞いて、役に立つシステムをしかるべきタイミングで投入すれば良かったのに、無理矢理導入したもんだから、みんな振り回された。われわれトヨタはそれほどの開発費をかけずに済んだけど、一番お金をかけたチームは70ミリオン（約100億円）もかけて、結局役に立たないシステムに終わってしまった。でも、2006年にコンコルド協定が失効してしまっているために、こうしたFIAの暴走を、チーム側は止めることができない。
  
  だから、われわれがFIAに提案したことは、『FIAとFOA、そしてチーム側がしっかりとコンコルド協定を結び直そう』というものでした。ところが FIAの回答は、勝手に決めた来年のレギュレーションの細部をわずかに修正する程度のもので、本質は変わっていなかった。それではわれわれは一緒にはやっていけません」
  
  F1 は、迷走するべくして迷走している模様。
　そんな中で行われているイギリス GP ですが、予選では中嶋一貴がいい位置につけてます。

■ 追記

■ 2009.06.19

》日本の研究者も頑張っています (エフセキュアブログ, 6/18)
》個人情報流出事件（2009/06/04～06/18） (So-net セキュリティ通信, 6/19)
》京都教育大、不適切な書き込みをした学生4名を処分、他大学も学生に指導 (So-net セキュリティ通信, 6/19)
》 lame delegation 調査再開は、七夕からです (slashdot.jp, 6/19)。あぁそうか、もうすぐ 7 月なんだ。季節感なさすぎ。(梅雨はどこに行ったんだ……)
》 Firefox 3.5 RC2は日本時間の6月20日に一般公開、正式版のリリースは30日 (Mozilla Flux, 6/18)
》 Mac Protection で遊んでみる (エフセキュアブログ, 6/19)。正直ベースなブログだなあ。
》 LPI-Japan、「Linuxサーバー構築標準教科書」を無償公開 (Enterprise Watch, 6/19)
》 MSの無料ウイルス対策ソフト「Microsoft Security Essentials」、まもなくベータ公開 (CNET, 6/19)、マイクロソフト、無料の新型アンチウイルスソフト「Microsoft Security Essentials」のベータ版を公開へ (gigazine, 6/19)。岬ちゃんのデビューは 6/23?

　関連: 無償マルウェア対策ソフト: Microsoft Security Essentialns (Morro) (日本のセキュリティチーム, 6/19)

来週から英語版、簡体中国語版とポルトガル語版で、βテストも開始されます。 (中略) Microsoft Security Essentials は、マルウェア対策のすそ野を広げる事が目的のソフトウェアです

　通常は日本語版が筆頭でテストされるわけですが (例: Windows 7 RC)、そうではなく簡体中国語版というのが、岬ちゃんの位置付けを表しているのでしょう。 (決定 → 岬ちゃんはチャイナ服)

Microsoft Security Essentials は、マルウェア対策のすそ野を広げる事が目的のソフトウェアですので、法人での利用や、既存の信頼のおけるマルウェア対策ソフ%H%&%'%"$+$i$NCV$-49$($K$OIT8~$-$+$b$7$l$^$;$s!#

　微妙な文言だなあ……。
》法人名称変更のお知らせ (JPCERT/CC, 6/19)。有限責任中間法人という概念自体が廃棄されたので、一般社団法人になりました。
》個人の狂気を見い出すフィルタリングシステム (CNET, 6/9)。「日本のWebは残念」方面への反論ですかね。

　もっとぶっちゃけた極論を言えば、こういうことだ――どうせ構造をつくるような雄々しいことはできないんだから、暇つぶしにいろんなことをやってみようよ。
　そうやって日本の世間には権力側には行けないバカと暇人があふれ、枕草子を書いたり源氏物語を書いたり、歌舞伎や浄瑠璃や私小説を生み出してきたのだ。
(中略)
　日本の文化はそうやって続いてきた。だからインターネットの文化もその流れからは背を向けられない。だからその状況を指さして、「みんなでものをつくりあげていない」「集合知を生かしていない」と言われても、せんのない話である。

■ Slowloris HTTP DoS
(ha.ckers.org, 2009.06.17)

■ 標的型メール攻撃の“予防接種”、半数が感染するも学習効果あり
(Internet Watch, 2009.06.19)

■ 追記

■ 2009.06.18

》「ボットネットは複数回売買できるデジタル資産に変化」，Finjanの調査 (日経 IT Pro, 6/18)。転売して儲けてます話。
》トラブルシューティングは誰のため？ (パソコントラブル出張修理・サポート日記, 6/9)。RTFM ねた。

　関連: レンジでパスタ (パソコントラブル出張修理・サポート日記, 6/10)
》ＮＥＤＯ：光触媒でウイルス退治　空港で実証実験 (毎日, 6/18)
》臓器移植法改正：１５歳未満も臓器提供…Ａ案、衆院で可決 (毎日, 6/18)

　０６年３月に提出されたＡ案は、脳死を一般的な人の死と定義し、本人が生前に拒否していなければ、年齢に関係なく家族の同意で臓器摘出が可能。

　デフォルト許可ですか。
》世界初の高感度実時間非冷却テラヘルツカメラの開発に成功 (NEC, 6/18)
》警察庁、ネット上の児童ポルノ対策で重点プログラムを策定 (Internet Watch, 6/18)
》マイクロソフトの「Bing」、公開2週目で検索市場シェア16.7％を獲得 (ComputerWorld.jp, 6/18)。この話:
- Bing Continues to Show Growth in Search Activity, According to comScore (comscore.com, 6/17)。6/8～6/12 では 16.7%。
- comScore Releases May 2009 U.S. Search Engine Rankings (comscore.com, 6/17)。5 月の段階では 8%。
》最近かゆくないですか？　南京虫の被害相談、各地で急増 (asahi.com, 6/18)
》強盗：容疑の近大生２人逮捕　名門のボクシング部員　大阪 (毎日, 6/18)、近畿大：ボクシング部廃部、逮捕の２人無期停学…強盗事件 (毎日, 6/18)
》卒業生の教師に誘われた、複数供述　京教大・集団準強姦 (asahi.com, 6/17)。関連:
- 処分の１人教諭に　京教大集団暴行、被害女性と現場へ (京都新聞, 6/16)
- 【集団暴行事件】体育会離れで指導に甘さ　“京大の教訓”生かされず (産経 MSN, 6/17)
- 【集団暴行事件】ミクシィ書き込みで新たに４学生処分　京都教育大 (産経 MSN, 6/17)
- 「外の学生に言われ入室」容疑者供述…京教大集団準強姦事件 (読売, 6/17)
- 京教大、ネットで被害者中傷の２年女子学生を訓告処分　書き込みの３人には厳重注意 (読売, 6/18)
- 本学学生によるインターネットへの書き込み等について (京都教育大学, 6/12)
- インターネット掲示板などへの書き込み等に関する注意 (京都教育大学, 6/18)
- ＜京都準強姦＞被害者中傷する書き込み　大阪の学生が謝罪 (毎日 / Yahoo, 6/13)
》弊社ソフトウェア偽造品の販売者逮捕について (Microsoft, 6/18)。海賊版話。
》 Wikipediaに犯行予告で初の逮捕　福岡の高校生 (ITmedia, 6/18)。この手のバカも減らないなあ。
》暗号アルゴリズム確認書第一号の発行～「暗号アルゴリズム確認制度」による、暗号機能の信頼性向上を目指して～ (IPA, 6/18)
》脆弱性対策情報データベース「JVN iPedia」を機能強化　利用者からの要望に応え類義語検索機能などを追加 (IPA, 6/18)
》 Mac Protection アップデート (エフセキュアブログ, 6/18)、 Mac Protectionベータ版を試してみた (エフセキュアブログ, 6/18)
》 MSの無料ウイルス対策ソフト「Morro」のスクリーンショットや詳細がリーク (ZDNet, 6/18)。いよいよ岬ちゃんの季節がはじまるよ!

　・MSEはMicrosoftの「Windows Defender」を完全に無効化する。

　あらあら。
》中国が導入義務化の検閲ソフト、BSDライセンス違反の疑い (technobahn, 6/17)。それがチャイナクオリティ。
》 Google Apps Syncの導入にご用心 - MSがOutlookでの不具合と回避策 (マイコミジャーナル, 6/18)。それが Google クオリティ。
》米政府がTwitterにメンテ延期を要請　Twitterは政治的影響を否定 (ITmedia, 6/17)
》日本の政治家もTwitter活用　国会を“生中継” (ITmedia, 6/18)、 Twitterと選挙 (衆議院議員逢坂誠二の徒然日記, 6/17)
》ニコ動、JRC管理楽曲についても演奏動画が投稿可能に (Internet Watch, 6/17)
》 Yahoo 方面のフィッシング
- Yahoo!Japanのフィッシング大量発生～フィッシング対策協議会も注意喚起 (So-net セキュリティ通信, 6/10)。 Yahoo! JAPAN をかたるフィッシング(2009/6/8) (フィッシング対策協議会) の件。
- ヤフーをかたるフィッシングが相次ぐ、ヤフオクユーザーは特に注意を (日経 IT Pro, 6/18)。(B 上記 + Yahoo! JAPAN をかたるフィッシング(2009/6/16) (フィッシング対策協議会) の件。
- フィッシング関連記事 (エフセキュアブログ, 6/17)
》「改正著作権法」成立～来年1月1日から施行、日本レコード協会がコメント (So-net セキュリティ通信, 6/16)
》ファミ通ドットコム、顧客情報7,704件が閲覧可能に～初歩的ミスに注意 (So-net セキュリティ通信, 6/15)
》個人情報流出事件（2009/05/28～06/11） (So-net セキュリティ通信, 6/12)
》 Microsoft & Adobe: Protecting our customers together (Microsoft SDL blog, 6/17)
》 Wireshark 1.2 Released (wireshark.org, 6/15)
》 PC や携帯電話を Web サーバにする「Opera Unite」が登場 (slashdot.jp, 6/17)。壁の内側からでもファイル共有や音楽・映像共有を簡単に実現できてしまう模様。Fridge というのは、Twitter みたいなものかなあ。Opera Unite developer's primer: Opera Unite Proxy より:

However, when the user is using Opera Unite, no configuration is needed, as seen in Figure 2. (中略) The Web server initiates a connection to the proxy, which uses this to pass information back about incoming requests.

　proxy 経由の場合は http://devicename.username.operaunite.com/servicename という URL になるようで。また、共有したいファイルなどを unite.opera.com にアップロードすることもできるようで。

　組込のサービスを使う他に、独自のサービスを追加することもできるようで。 Web サーバだからね。

　関連: オペラのOpera Uniteに対する5つの疑問 (ComputerWorld.jp, 6/17)
》二階氏秘書の告発状、東京地検へ…市民団体メンバーら (読売, 6/18)、二階派政治団体らの不起訴不当　西松建設のパー券購入問題 (中日, 6/17)

■ McAfee Agent(Common Management Agent)で発見されたActiveXの脆弱性について
(マカフィー, 2009.06.18)

■ About the security content of iPhone OS 3.0 Software Update
(Apple, 2009.06.17)

■ 2009.06.17

》 2009年度IPA情報セキュリティセミナー開催について (IPA, 6/17)
》 2009.06.17 Morning (UnderForge of Lack, 6/17)

「客先納品の時、セキュア・コンポネントのひとつとして提案してみる？」
「いいけど、名前の由来とか聞かれたらどうするん？」

　BShi で放送中の番組をまずはご覧あれ、と答えればよろし。そのあとは? なるようになるだばさ。
》 GENOウイルスに続く改ざん攻b!)!!4万サイト以上に不正コード (ITmedia, 6/17)。元ねた: Mass Injection - Nine-Ball Compromises more than 40,000 Legitimate Web sites (Websense, 6/16)。この事例は、最終的には ninetoraq.in というところにたどりつくようで。

　IBM ISS からは、継続している Iframe 挿入によるWebサイト改ざん【Tokyo SOC Report】 (IBM, 6/16) という話が。同様事例かなあ。守屋さん情報ありがとうございます。

　関連じゃない: クレスト CR-C98E2 ナインボールVer. (コトブキヤ)
》国会議員、目前で電話　厚労省元部長に「頼む」…郵便不正 (読売, 6/17)。関連: 郵便不正厚労省局長逮捕　政治圧力の有無は　疑惑の「議員案件」 (赤旗, 6/16)
》全地域で原則「自宅療養」　新型インフルで厚労省方針 (中日, 6/17)
》記者の目：コンビニはエコと利益の同時達成を＝大迫麻記子 (毎日, 6/17)
》空梅雨：ピンチ！　あと１０日で枯渇　福岡・油木ダム (毎日, 6/17)
》 HackerJapan 2009年7月号 (てっしーの丸出し, 6/10)

セキュリティ業界人大図鑑に激しくワラタ
》 SSD革命/SpeedAdvance: システムドライブへの書き込みをメインメモリ上の一時領域に行って、高速化と保護を実現するソフト (ベクター, 6/17) なんてものがあるのですね。ベンダーの解説ページを見た限りでは、対象となるファイルを指定したりはできないみたい。
》みんなで踊って被害防止！　「振り込め詐欺ダメダメ音頭」 (ポリスチャンネル, 6/17)。だめだめ。
》食品安全委：吉川座長が辞意　国会の人事案件不同意で (毎日, 6/16)。BSE ねた。
》イラン政府側「集計、やり直す用意」　再選挙は拒否 (asahi.com, 6/17)
》 Iranian hacktivism (SANS ISC, 6/15)。田代砲みたいなモノですかね。
》 Twitter，なりすまし防止のアカウント認証を今夏から試験提供 (日経 IT Pro, 6/8)
》 Another Google Search Feature Abused (trendmicro blog, 6/15)
》自動更新が始まった“IE 8”はインストールすべきか？　少なくとも“IE 6”は使用停止にし，出来る限り“IE 8”にアップを (日経 IT Pro, 6/15)

■ URL shortening service compromised
(viruslist.com, 2009.06.16)

■ 2009.06.16

》イラン：数十万人がデモ、大統領選抗議…発砲音、１人死亡 (毎日, 6/15)。テヘランは燃えているか。

　関連:
- イラン大統領選：開票所責任者が不正の可能性を示唆 (毎日, 6/15)
  
  　証言によると、投票日（１２日）の昼過ぎには投票用紙がほとんど底をつき、夕方には長い列を作った有権者が投票をあきらめたという。この地域はムサビ氏支持者が圧倒的多数とみられている。
  (中略)
  　告発文は「有権者数をはるかに超える投票用紙が用意された」と指摘するが、改革派弁護士は取材に「ムサビ氏の支持者が多い地域に限り、用紙は不足した」と指摘した。ムサビ氏は少数民族アゼリ人（全人口の２５％）。用紙が不足したのは主に、アゼリ人が多く住むイラン北西部や、改革派を支える富裕層の多いテヘラン北部だったという。
- DDOS Is Not The Most Political Way to Protest (McAfee blog, 6/15)
- Twitterで抗議デモ組織、「学生逮捕」の実況も　イラン (CNN, 6/16)
- Twitter、イラン問題に配慮してメンテナンス時間を変更 (ITmedia, 6/16)。はぁ……。またぞろ US 政府が手を出していたりするのかなあ。昔の話については、たとえば「CIA秘録」を参照。
》デスマーチを回避するのに大事な“3つのこと” (@IT, 6/15)。社会保険庁にも言ってあげてください。(もう遅い)
》海外で勢い増す新型インフルエンザ、米国ニューヨークで重症化例が急増中 (日経 BP, 6/16)。現状の死亡率は 45 / 17855 * 100 = 0.25% なのですが、今後どうなるかということですか。 NY だけだと 13 / 1160 * 100 = 1.12% だなあ。
》 Spammers Ride on H1N1 Global Pandemic (trendmicro blog, 6/16)。まぁ、「例によって」なのですが。
》新型インフルウイルス、実は細長いインゲン形 (asahi.com, 6/15)。あらあら。
》ランサムウェア（身代金要求型不正プログラム）のアプローチ手法 (トレンドマイクロセキュリティ blog, 6/16)
》米国商務省のDNS管理に関する意見募集に対し、JPNICからの意見書を提出 (JPNIC, 6/10)

JPNICは2009年6月8日、「米国政府が最終的に、 DNS*3の技術的調整と管理の最終権限を、現時点における唯一の適切な組織であるICANNに移管することを望む」という内容の意見書を提出しました。
》国内の携帯電話におけるマルウェアの脅威 (エフセキュアブログ, 6/16)
》 Wreck A Movie (エフセキュアブログ, 6/13)
》あのマイケル・ムーア監督が新作を予定、今度は破綻したアメリカ経済がテーマ (gigazine, 6/16)
》思い込みは危険： Macは宣伝されているほどセキュアではない (ITmedia, 6/16)

WindowsよりもMac OS Xの方がセキュリティ問題の件数が少ないのは確かだが、

　そもそもそこが間違っていることに気づけよ。
》 VirusScan Enterpriseでの、Artemisのオンアクセススキャン有効化について (マカフィー, 6/15)

VirusScan Enterprise 8.7i Patch1より、Artemisテクノロジをオンアクセススキャンにも有効化することができるようになりました。本ページでは、VirusScan Enterprise 8.7 Patch1以降での設定について説明します。
》 DIP、メールアーカイブソフト「MailArchiva」OSS版の日本語パッケージ公開 (sourceforge.jp, 6/15)
》ロシア：北カフカス、相次ぐ要人暗殺　治安強化策、成果出ず (毎日, 6/13)。チェチェン方面。
》第13回サイバー犯罪に関する白浜シンポジウム講演資料（マルウェアの脅威と傾向） (@police, 6/15)
》第1回北陸ITPro勉強会 -「開発者のためのセキュリティ勉強会」。 2009.07.11、石川県石川郡、一般1000円。まっちゃさん情報ありがとうございます。
》 Microsoftの「ブラウザなしのWindows」計画に，ECが依然厳しい姿勢 (日経 Tech On, 6/15)。はぁ……。

　関連: Windows支持者、「Opera」ボイコットキャンペーンを開始 (ZDNet, 6/16)。Opera の宣伝にしかならないと思うし。人、それをヤブヘビと呼ぶ。
》 6月の内閣支持率は19%～25% (Okumura's Blog, 6/16)

だきわさんが指摘されているように，朝日・毎日・読売の折れ線グラフの横軸は間隔尺度ではなく順序尺度になっている。

　うげ……。
》鳩山代表：「故人」献金　５人から計１２０万円 (毎日, 6/16)。霊界通信 (違)。

　収支報告書などにh$k$H!"8%6b$7$?$H$5$l$k8N?M$OEl5~ETFb$NN99T2q 　他にも０４年１２月に亡くなった愛知県の建設会社社長から１０万円、０２年１２月に亡くなった都内の元大学教授から計４６万円など、４人の故人からの献金を記載していた。５人はいずれも生前に同会に献金した記録が残っている。
》どんな組織がどんな理由で住民基本台帳を閲覧しているのか気になったので閲覧状況の公表を軽く調べてみた (Eiji James Yoshidaの記録, 6/14)
》中国で義務化の検閲ソフトが中国オタクに擬人化される (slashdot.jp, 6/16)

この絵に対し、同人ゲームの東方 Projectに出てくる河城にとり (Google イメージ検索) に似ているという声が上がっている (働くモノニュースより) 。

　あらあら、元ねたありですか。
》 Bypassing Hardware Based Data Execution Prevention (DEP) on Windows 2003 Service Pack 2 (milw0rm, 6/10)
》 Split and Join: Bypassing Web Application Firewalls with HTTP Parameter Pollution (milw0rm, 6/11)
》児童ポルノをネット投稿容疑、埼玉の保育園経営者逮捕 (asahi.com, 6/15)。うげ……。
》第１５回セキュリティもみじセミナー。2009.06.20、広島県広島市、一般2500円。はまもとさん情報ありがとうございます。

■ 追記

■ 7月は「Twitterバグ月間」、Web 2.0の安全を考えるきっかけに
(ITmedia, 2009.06.16)

■ Exploiting TCP and the Persist Timer Infinitenes
(Phrack.org, 2009.06.11)

■ SHA-1の脆弱性が更に進む
(yebo blog, 2009.06.12)

■ Buggy 'smart meters' open door to power-grid botnet: Grid-burrowing worm only the beginning
(The Register, 2009.06.12)

■ マイクロソフトセキュリティアドバイザリ (971888) DNS デボルブ用の更新プログラム
(Microsoft, 2009.06.10)

■ マイクロソフトセキュリティアドバイザリ (969898) ActiveX の Kill Bit 更新プログラムのロールアップ
(Microsoft, 2009.06.10)

■ 研究者がマイクロソフトの無線キーボードのキーボードスニファーをデモ
(ZDNet, 2009.06.16)

■ 2009.06.15

》「エフセキュア日本法人10周年記念セミナー」が6月24日に開催されます (エフセキュアブログ, 6/15)。ミッコ・ヒッポネン氏も来日されるそうで。
》国内確認、Outlook利用者を狙ったソーシャルエンジニアリング攻撃 (トレンドマイクロセキュリティ blog, 6/15)
》 9.04のAlpha2とGRUB2の採用・Linux Kernel 2.6.30のリリースとTOMOYO Linux（LSM版）のサポート・『うぶんちゅ』Ep2の各国語版・UWN#145 (Ubuntu Weekly Topics, 6/12)。Ubuntu 9.10 は TOMOYO ready になる模様。
》建設業における内部統制のあり方に関する研究会 (国土交通省)
》地域建設業における「災害時事業継続の手引き」 (全国建設業協会)
》中国の検閲ソフトは世界最大のボットネットになりうるか (slashdot.jp, 6/14)。そりゃあまあ、可能性は 0 ではないでしょう。関連:
- Analysis of the Green Dam Censorware System (umich.edu, 6/11)
- 中国政府指定の検閲ソフトにセキュリティ脆弱性--米大学研究チームが警告 (CNET, 6/15)
- 中国がPCメーカーに導入義務づけのフィルタリングソフトに盗用疑惑 (マイコミジャーナル, 6/15)
- フィルタリング・ソフト緑鼓の擬人化である緑鼓娘 (huixingの日記, 6/15)。わはは。赤く塗れ!
- ねとらぼ：「中国始まったな」　中国人がフィルタリングソフトを萌え擬人化 (ITmedia, 6/15)
》裁判員制度、日当ソフト、バス代は計算不能で支払えず (保坂展人のどこどこ日記, 6/11)
》北九州市でまた、生活保護受けられず男性孤独死 (JANJAN, 6/8)
》 Web 2.0時代のセキュリティ――ソーシャル・ウェブで注意すべき4つのポイント (ComputerWorld.jp, 6/8)
》ゆびとま方面
- 「ゆびとま」が一部機能を再開、システムは再構築 (Internet Watch, 6/15)
- とまる「指」がない！　突然停止した「ゆびとま」に何があった？ (産経 / ITmedia, 6/15)
》「性暴力を奨励」か「表現の自由」か　凌辱系ゲーム“外圧”で制作禁止の波紋 (産経 / ITmedia, 6/15)
》 Microsoft、Bingのアダルト動画対策を強化 (ITmedia, 6/15)
》 Webサーバの新ベンチマーク「SPECweb2009」、評価基準に消費電力を追加 (ComputerWorld.jp, 6/15)。時代だなあ。
》国際的なハッカー集団、米国とイタリアで同時逮捕　「背後にはイスラム原理主義グループの存在がある」と捜査担当者 (ComputerWorld.jp, 6/15)
》カスペルスキー、ネットブックに最適化したマルウェア対策ソフトを発表 (ComputerWorld.jp, 6/15)。「Kaspersky Internet Security 2009 Special Edition for Ultra-Portables」。
》クラウド・プロバイダーと契約するときに確認したい“5つのポイント” (ComputerWorld.jp, 6/15)

＃5：サービスを解約した後はどうなる？

　シュワルツ氏は、「契約を解除した場合はどうなるのか？」という質問も大切だと付け加えた。Preferred Hotel Groupの契約書には、期限前にサービスを解約した場合、同社のデータやアプリケーションを他のプロバイダーに移行するための作業をTerremark がサポートすることが明記されている。
》 bind 9.6.1 が出ています。
》ブレードサーバ使っていますか? (slashdot.jp, 6/14)
》情報ネットワーク法学会：「個人情報保護、自己情報コントロール権の現状と課題」はよかった。。。 (まるちゃんの情報セキュリティ気まぐれ日記, 6/14)
》ソフトウェアアップデートでP-07AのJavaScriptが使えなくなった (ockeghem(徳丸浩)の日記, 5/28)。 6/7、6/10 の販売再開後も JavaScript 無効のままだそうで。ドコモからのお知らせにはその後の情報はありませんね。

　ドコモのN-06A/P-07A、ソフト更新未適用でiモード利用不可に (ケータイ Watch, 5/28) にはこんな文章が。

ソフトウェア更新未適用端末がiモードへ接続できないようにした背景として、ドコモでは「たとえばiモード公式の有料サイトへアクセスすると、課金登録をしていなくてもコンテンツを利用できる可能性があった」としている。

　JavaScript を使うとコンテンツ課金システムを回避できてしまうという事実にあわてふためいたドコモがしどろもどろの対応を行った、というのが今回の真実なんじゃないのか。いずれにせよ、ドコモはユーザに対してもっときちんと説明すべきであろうに。

　関連: 『P-07A ソフトウェア更新』のクチコミ掲示板 (価格.com)。ユーザの混乱ぶりの一端が垣間見える。

■ Microsoft 2009 年 6 月のセキュリティ情報
(Microsoft, 2009.06.10)

　今ごろになって書いててアレですが……。

MS09-018 - 緊急: Active Directory の脆弱性により、リモートでコードが実行される (971055)

Active Directory の無効な解放の脆弱性 - CVE-2009-113

Windows 2000 Server 上の Active Directory に欠陥。メモリの解放処理に欠陥があり、攻略 LDAP / LDAPS リクエストによって任意のコードを実行できる。 Exploitability Index: 1。
Active Directory のメモリリークの脆弱性 - CVE-2009-1139

Windows 2000 Server / Server 2003 上の Active Directory、および Windows XP / Server 2003 上の Active Directory Application Mode (ADAM) に欠陥。メモリの管理に欠陥があり、攻略 LDAP / LDAPS リクエストによって DoS 攻撃を実行できる。 Exploitability Index: 3。

MS09-019 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (969897)

競合状態のクロスドメインの情報の漏えいの脆弱性 - CVE-2007-3091

IE 6 / 7 に欠陥。スクリプトを使って、別のドメイン / ゾーンの情報にアクセスできる。2007 年に発見された欠陥。 Exploitability Index: 3
クロスドメインの情報の漏えいの脆弱性 - CVE-2009-1140

IE 5.01 / 6 / 7 に欠陥。キャッシュされたデータの扱いに欠陥があり、 IE 5.01 の場合は、任意のスクリプトが local computer ゾーン権限で実行されてしまうと思われ。IE 6 / 7 の場合でも、local computer 内の情報にアクセスされてしまう模様。 Exploitability Index: 3

関連:
- [Full-disclosure] CORE-2008-0826 - Internet Explorer Security Zone retrictions bypass
- MS09-019 (CVE-2009-1140): Benefits of IE Protected Mode, additional Network Protocol Lockdown workaround (Microsoft Security Research & Defense, 6/9)
DHTML オブジェクトのメモリの破損の脆弱性 - CVE-2009-1141

Windows XP / Server 2003 上の IE 6 に欠陥。DHTML オブジェクトの処理に欠陥があり、メモリ破壊が発生、任意のコードを実行できる。 Windows 2000 上の IE 6 にはこの欠陥はない。 Exploitability Index: 1

関連: [Full-disclosure] FortiGuard Advisory: Microsoft Internet Explorer DHTML Handling Remote Memory Corruption Vulnerability
HTML オブジェクトのメモリの破損の脆弱性 - CVE-2009-1528

Windows XP / Server 2003 上の IE 6、および Windows XP / Server 2003 / Vista / Server 2008 上の IE 7 に欠陥。大量の非同期 XMLHttpRequest を同時に行うとメモリ破壊が発生、任意のコードを実行できる。 Windows 2000 上の IE 6 にはこの欠陥はない。 Exploitability Index: 3

関連: [Full-disclosure] ZDI-09-037: Microsoft Internet Explorer Concurrent Ajax Request Memory Corruption Vulnerability
初期化されていないメモリの破損の脆弱性 - CVE-2009-1529

IE 7 に欠陥。setCapture メソッドの扱いに欠陥があり、メモリ破壊が発生、任意のコードを実行できる。 Exploitability Index: 2

関連: [Full-disclosure] ZDI-09-036: Microsoft Internet Explorer setCapture Memory Corruption Vulnerability
HTML オブジェクトのメモリの破損の脆弱性 - CVE-2009-1530

IE 7 に欠陥。HTML ドキュメントのノードを追加した後にイベントハンドラを繰り返し呼び出すとメモリ破壊が発生、任意のコードを実行できる。 Exploitability Index: 2

関連: [Full-disclosure] ZDI-09-038: Microsoft Internet Explorer Event Handler Memory Corruption Vulnerability
HTML オブジェクトのメモリの破損の脆弱性 - CVE-2009-1531

IE 7 に欠陥。正しく初期化されていない、あるいは削除されたオブジェクトにアクセスする方法に欠陥があり、メモリ破壊が発生、任意のコードを実行できる。 Exploitability Index: 2

関連: [Full-disclosure] ZDI-09-039: Microsoft Internet Explorer onreadystatechange Memory Corruption Vulnerability
HTML オブジェクトのメモリの破損の脆弱性 - CVE-2009-1532

IE 8 に欠陥。正しく初期化されていない、あるいは削除されたオブジェクトにアクセスする方法に欠陥があり、メモリ破壊が発生、任意のコードを実行できる。 Exploitability Index: DEP なしの場合 1、DEP ありの場合 3

関連:
- [Full-disclosure] ZDI-09-041: Microsoft Internet Explorer 8 Rows Property Dangling Pointer Code Execution Vulnerability
- MS09-019 (CVE-2009-1532): The "pwn2own" vulnerability (Microsoft Security Research & Defense, 6/9)

　KB 969897 には非セキュリティな更新についても述べられている。

MS09-020 - 重要: インターネットインフォメーションサービス (IIS) の脆弱性により、特権が昇格される (970483)

　IIS 6.0 + WebDAV: Unicode バグの逆襲の件なのですが、IIS 5.0 と IIS 5.1 / 6.0 とで CVE が別になっているみたい。

IIS 5.0 の WebDAV の認証回避の脆弱性 - CVE-2009-1122

Exploitability Index: 3
IIS 5.1 および 6.0 の WebDAV の認証回避の脆弱性 - CVE-2009-1535

Exploitability Index: 1

MS09-021 - 緊急: Microsoft Office Excel の脆弱性により、リモートでコードが実行される (969462)

　いずれの欠陥も、任意のコードの実行を引き起こす。

レコードポインターの破損の脆弱性 - CVE-2009-0549

Excel 2000 / 2002 / 2003、Office for Mac 2004 / 2008、Office Open XML File Converter for MAC、Excel Viewer 2003 の欠陥。 Exploitability Index: 2
オブジェクトレコードの破損の脆弱性 - CVE-2009-0557

Excel 2000 / 2002 / 2003 / 2007、Office for Mac 2004 / 2008、Office Open XML File Converter for MAC、Excel Viewer 2003 / 2007、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パックの欠陥。 Exploitability Index: 1
配列インデックスのメモリの破損の脆弱性 - CVE-2009-0558

Excel 2000、Office for Mac 2004 / 2008、Office Open XML File Converter for MAC の欠陥。 Exploitability Index: 2
文字列のコピーのスタックベースのオーバーランの脆弱性 - CVE-2009-0559

Excel 2000 / 2002 の欠陥。 Exploitability Index: 1
フィールドサニタイゼーションのメモリの破損の脆弱性 - CVE-2009-0560

Excel 2000 / 2002 / 2003 / 2007、Office for Mac 2004 / 2008、Office Open XML File Converter for MAC、Excel Viewer 2003 / 2007、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パックの欠陥。 Exploitability Index: 3
レコードの整数のオーバーフローの脆弱性 - CVE-2009-0561

Excel 2000 / 2002 / 2003 / 2007、Office for Mac 2004 / 2008、Office Open XML File Converter for MAC、Excel Viewer 2003 / 2007、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック、SharePoint Server 2007 の欠陥。 Exploitability Index: 1
レコードポインターの破損の脆弱性 - CVE-2009-1134

Excel 2007、Excel Viewer 2007、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パックの欠陥。 Exploitability Index: 1

MS09-022 - 緊急: Windows 印刷スプーラーの脆弱性により、リモートでコードが実行される (961501)

　印刷スプーラーに 3 つの欠陥。

印刷スプーラーのバッファーオーバーフローの脆弱性 - CVE-2009-0228

Windows 2000 のみの欠陥。攻略 RPC リクエストにより、remote から$0U$N%3!<%I$r
印刷スプーラーのファイル読み取りの脆弱性 - CVE-2009-0229

Windows 2000 / XP / Server 2003 / Vista / Server 2008 に欠陥。 local user がシステム上の全てのファイルを読み取り・印刷できてしまう。
印刷スプーラーのライブラリ読み込みの脆弱性 - CVE-2009-0230

Windows 2000 / XP / Server 2003 / Vista / Server 2008 に欠陥。攻撃者が「プリンターの管理」の特権を獲得している場合に、任意の DLL がロードされてしまい、権限上昇が可能となる。Windows2000 / XP / Server 2003 は「警告」だが、Vista / Server 2008 では「重要」にランクされている。

MS09-023 - 警告: Windows サーチの脆弱性により、情報漏えいが起こる (963093)

　Windows XP / Server 2003 上の Windows Search 4.0 に欠陥。 CVE-2009-0239

攻略 HTML ファイルを目標システムに仕掛ける。ファイルそのものを設置したり、電子メールとしてメールボックスに含ませたりする。
当該ユーザが検索を実行し、検索の「最初の結果」に攻略 HTML ファイルが返されると、当該ファイルが自動的にプレビューされ、ファイル中のスクリプトが無警告で実行される。そうでない場合でも、選択してプレビューすると、ファイル中のスクリプトが無警告で実行される。

関連: MS09-023: Windows Search and MSHTML Host Apps (Microsoft Security Research & Defense, 2009.06.09)

MS09-024 - 緊急: Microsoft Works コンバーターの脆弱性により、リモートでコードが実行される (957632)

　Word 2000 / 2002 (XP) / 2003 / 2007 SP1、Works 8.5 / 9 に欠陥。 Word に含まれる Works コンバーターに欠陥があり、攻略 Works ファイルによってメモリ破壊が発生、任意のコードが実行される。 Office 2007 SP2 にはこの欠陥はない。 CVE-2009-1533

　関連: MS09-024: Lower risk if you have Microsoft Word installed (Microsoft Security Research & Defense, 2009.06.09)

　(後で追加予定)

■ 2009.06.13

》 Botnet Research on WALEDAC and PUSHDO (trendmicro blog, 6/11)
》ノベル、「Microsoft System Center」向けSUSE Linux管理プラグインを発表 (ComputerWorld.jp, 6/12)。ようやく登場。6/19。
》蓄積データのセキュリティに目を向けよ　ストレージ内のデータをいかに守るか？ (ComputerWorld.jp, 6/12)
》グーグル、新たな概念に基づくデータベース「Fusion Tables」をLabsで公開　アナリストは「革命的なデータ管理アプローチを採用」と高く評価 (ComputerWorld.jp, 6/12)
》 Googleの個人情報管理のあり方を再検証するあなたのプライバシーは適切に保護されているか (ComputerWorld.jp, 6/5)
》［RSA Conference 2009］ネットを危険地帯にしているのは教育者---和歌山大の豊田准教授が指摘 (日経 IT Pro, 6/11)
》「Web改ざんの被害連鎖が発生している」――セキュアブレインが自社サイトの検査を呼びかけ (日経 IT Pro, 6/12)、セキュアブレインが、GENOウイルスに感染したウェブサイトを国内で400件以上確認　「gred(グレッド)セキュリティサービス」の無償トライアル提供と同時に、ウェブサイトの検査を呼びかけ (セキュアブレイン, 6/12)
》ギニアビサウで政治的殺人事件が横行 (国連情報誌ＳＵＮブログ対応版, 6/10)
》北朝鮮への制裁決議採択：安保理 (国連情報誌ＳＵＮブログ対応版, 6/13)
》アフガン治安最悪、次に来るシナリオは… ―― 武装勢力による襲撃１日平均３８４件、昨年同時期比５０％増の無法状態 (JANJAN, 6/13)
》空母機関兵へのインタビュー記事で米海軍が犯人探し！？ ―― 「寛容で、いい国」の軍隊がばらまく不信感 (JANJAN, 6/12)
》 IT管理者による「機密情報のぞき」が急増 (slashdot.jp, 6/13)

「管理上保有しているパスワードを不正に使用し、見るべきではない情報を不正に閲覧したことがあった」と回答したIT管理者は、35%（前年比2%増）いたそうだ。
》どうなっているのか? 年金記録問題 (NHK 追跡! A to Z, 6/13 放送) (link fixed: Benjamin さん感謝)。返送されてきた「ねんきん特別便」の処理、間違いが見つかった年金の「再裁定」の処理がデスマーチ状態になっている話をやってますね。さらに、デスマの影響で、本来業務である保険料徴収に割ける人員が不足しているという。おまけに、組織トップ (坂野泰治・社会保険庁長官) は、インタビューを見る限りでは、現状をきちんと理解できているようには見えない。

　本当にひどい状況。

　見逃した方は、NHK オンデマンドで。

■ 英ISPのVAserv、zero-day攻撃を受ける。脆弱性を突かれたソフトウェアの会社社長は自殺
(slashdot.jp, 2009.06.12)

日付	できごと
2009.05.21	ある人物が Kloxo の脆弱性情報を lxlabs に通知。しかし lxlabs は脆弱性情報を評価したようには見えない模様。
2009.06.04	脆弱性情報が公開された。http://milw0rm.com/exploits/8880
2009.06.05	lxlabs が「複数のセキュリティ欠陥が発見され、最新版で修正されたので更新よろ」とアナウンス。Multiple Security Issues in hyperVM/Kloxo (lxlabs.com, 2009.06.05) message #67179 を見る限りでは、アナウンス時点における「最新版」の HyperVM のバージョンは 2.0.7942 だったようだが、 http://download.lxlabs.com/download/hypervm/production/hypervm/ には 2.0.7942 から 2.0.7992 までのバージョンが存在する。 (日付は 2009.06.06 だなあ)
2009.06.07	VAserv はこのあたりでやられたっぽい。 Security Alert: Shut Down HyperVM & LxAdmin/Kloxo Immediately (wickedfire.com)
2009.06.08	Webhost hack wipes out data for 100,000 sites: Vaserv suspects zero-day virtualization vuln (The Register, 2009.06.08)。 2.0.7992 でも駄目だった模様。 "We were hit by a zero-day exploit" in version 2.0.7992 of the application, he said. "I've heard from other people they've been hit by the same thing."

■ 追記

■ 2009.06.12

》「HijackThis のダウンロード」を悪用した手口 (トレンドマイクロセキュリティ blog, 6/12)
》「1日1350万部がムダに!?」"新聞社最大の闇"である押し紙と販売店の悲鳴 (サイゾー, 6/6)
》アイオワ州で新種の雲、あたかも「世界の終わり」のような状況が出現 (technobahn, 6/12)
》違法「着うた」の入手禁止　改正著作権法が成立 (中日, 6/12)
》 Diskeeper、SSDに最適化されたデフラグツール (PC Watch, 6/12)
》映った人は棒に、プライバシー配慮の動画システム…京都大教授ら開発 (読売, 6/12)。美濃研究室 (京都大学)
》学生の前歯３本折る　龍谷大がトレーナーを免職処分に (産経 MSN, 6/11)、龍谷大学職員による学生への傷害行為についてのお詫び (龍谷大学, 6/12)
》 TorrentTwitterでお気に入りのTorrentをつぶやいてみる？ (P2Pとかその辺のお話, 6/10)
》 Soulseekにリモートから乗っ取り可能な脆弱性 (P2Pとかその辺のお話, 6/6)
》スウェーデンのホスティングプロバイダ、音楽産業からの圧力に抵抗 (P2Pとかその辺のお話, 6/10)
》フランス憲法院、スリーストライクは基本的人権を侵害するので無効と判断 (P2Pとかその辺のお話, 6/11)
》 Cisco予測：P2Pトラフィックの増大は続くも2011年にはオンラインビデオに抜かれる (P2Pとかその辺のお話, 6/12)。Winny 裁判やってる間に、主役は YouTube とかニコニコ動画とかになっちゃったしなあ。昨日、高裁第２回期日 (壇弁護士の事務室, 6/11) の現場にも行ってみたのだけど、いろんな意味で虚しさを感じるばかり。

　Winny 方面関連:
- Winny開発者の控訴審、検察側・弁護側双方が証人尋問 (Internet Watch, 6/12)。おつかれさまです。
- WinnyはCD売上を減らさず～慶應助教授の研究に迫る (ITmedia, 2005.03.29)。弁護側証人・田中辰雄氏方面。
- WinnyはCDの売上を阻害しない!? 経済学部田中助教授インタビュー (慶應ジャーナル, 2005.02.18)
》 Microsoft、欧州版Windows 7は“ブラウザ抜き”に (ITmedia, 6/12)
》 Windows 7プレビュー　第3回　ネットワークとセキュリティ機能　 2．AppLockerとネットワーク機能 (@IT, 6/11)

　Windows 7（およびWindows Server 2008 R2）のAppLockerでは、このようなパス名による禁止のほか、例えばバージョン・プロパティに含まれるベンダ名やバージョン番号に基づいて禁止したり（例：古いバージョンのプログラムの使用を禁止する）、特定のユーザーやグループに対してだけ許可／禁止する、実行を禁止するのではなく監査だけをする（特定のプログラムを使ったかどうかを監査する）、ルールのインポート／エクスポートなどの機能が強化されている。

　へぇ～。
》「IC旅券用プロテクションプロファイル」に関する調査報告書 (IPA, 6/8)

■ いろいろ (2009.06.12)
(various)

■ Firefox 3.0.11 リリースノート
(mozilla.jp, 2009.06.12)

■ 追記

■ 2009.06.11

》新型インフル：警戒度「６」宣言、加盟国に通告…ＷＨＯ (毎日, 6/11)。オーストラリアの状況がダメ押しになった模様。 World now at the start of 2009 influenza pandemic (WHO, 6/11)

　関連: 新型インフル：東京で初の集団感染 (毎日, 6/11)
》はてなの非公開ブックマークがダダ漏れ、しかし誰も驚かず (slashdot.jp, 6/10)。はてな = スルー力養成ギブス。
》 BitTorrent が「著作権侵害にもっとも使われているクライアント」と認定される (slashdot.jp, 6/10)。BayTSP 社 (US) 調べ。

シャア「匿名性がないようだが」
技術者「匿名性なんてただの飾りです、偉い人にはそれがわからんのです」

　関連: 著作権侵害の王様はBitTorrent？ (P2Pとかその辺のお話, 6/10)
》中古携帯、使えなくなるかも　盗難対策、ドコモ強制停止 (asahi.com, 6/11)
》痴漢：被告に逆転無罪…被害者、犯行見ていない　東京高裁 (毎日, 6/11)

　弁護側は、逮捕当時、被告の手の指すべてから採取された資料をＤＮＡ鑑定し、被害者と一致しなかったことを立証した。弁護人の弘中惇一郎弁護士は「客観証拠を重視すべきだ」と訴えた。

　地裁判決は客観証拠をまるまる無視していたのね……。
》シマンテックとマカフィーが自動更新機能を巡る罰金の支払いに同意 (ComputerWorld.jp, 6/11)
》【Gandi調査】来年スタートの「gTLD拡張」、65％の企業がドメイン・スクワッティングを懸念 (ComputerWorld.jp, 6/9)
》西松建設裏金：民主党の危機管理の甘さを指摘　報告書で第三者委員会 (毎日, 6/11)。てっきり公開されているものだと思っていたら、民主党ホームページには何もありませんな。
》拘置中の新聞制限は違法と判断　大阪高裁、賠償請求は棄却 (中日, 6/11)。こんな裁判もあったんだ。
》海賊対策：ソマリア派遣のＰ３Ｃが初の哨戒任務 (毎日, 6/11)
》 MIR-ROR Motile Incident Response - Respond Objectively Remediate (SANS ISC, 6/11)
》京セラコミュニケーションシステムが LASDEC｢ウェブ健康診断｣仕様に準拠し、 Web脆弱性診断サービス｢Web健康診断｣を拡充 (kccs.co.jp, 6/4)。aki さん情報ありがとうございます。
》 [Clamav-announce] announcing ClamAV 0.95.2 (clamav.net, 6/11)
》 TOMOYO Linux 2.2.0 を含んだ Linux カーネル 2.6.30 がリリースされました (熊猫さくらのブログ, 6/10)。おめでとうございます。
》初期設定でDEPが有効になっているプロセス（Windows Vista SP2） (Eiji James Yoshidaの記録, 6/9)
》同性愛嫌悪や同性愛者へのヘイトクライムの実例が否認・反発されてしまうのは、「正常化の偏見」「認知的不協和」のせいなんじゃないだろうか (みやきち日記, 6/11)
》平成２０年における警備業の概況 (警察庁, 6/4)
》 More Mac OS X malware discovered (SophosLabs blog, 6/10)
》怒りに震えた自民党政調全体会議 (佐藤正久, 6/10)
》チャイルドシートの使用状況について (警察庁, 6/10)。なぜ 1 歳未満だけ減るかなあ。この程度は誤差なのか、それとも意味があるの$+!#

　関連: チャイルドシート使用状況 (Okumura's Blog, 6/11)
》「情報システム等の脆弱性情報の取扱いに関する研究会」2008年度報告書 (水無月ばけらのえび日記, 6/8)
》セキュリティ＆プログラミングキャンプ 2009、参加者募集中だそうで。

未来を守るカギを見つけろ。

　ごめん、こいのぼりにしか見えない。

　関連: セキュリティ＆プログラミングキャンプ2009の参加者募集開始 (wakatonoの戯れメモ, 6/10)

■ Microsoft、無料セキュリティサービスを間もなくβ公開
(ITmedia, 2009.06.11)

■ 追記

■ 2009.06.10

》コクヨが「遺言書キット」を発売、漫画などで書き方を分かりやすく解説した「虎の巻」付き (gigazine, 6/10)
》京都教育大学の集団準強姦事件方面。
- 集団暴行の京教大生、停学伏せ学童指導員に…父が面接 (読売, 6/4)
- 一気飲み「ダービーゲーム」女子大生に…京教大集団準強姦 (読売, 6/7)、一気飲みゲーム暴走、被害者深酔い…京教大集団準強姦 (読売, 6/7)。これはつまり……スーパーフリー事件と同様の手口ですか。
- 抗議電話など京教大に３０００件…集団準強姦事件 (読売, 6/10)
　学生によるセカンドレイプが多発している模様。
- 京都教育大集団準強姦「実際は被害者から…」書き込み　競歩の友人選手が犯人を非常識擁護 (ZAKZAK, 6/6)
- 友人続々ミクシィで無責任擁護…京教大レイプの余波「そこに酔いつぶれた女の子がいるから襲う」 (ZAKZAK, 6/9)
  
  　夕刊フジの取材に、京都教育大を除く４大学はいずれも、学生が書き込んだことを認めた。(中略) ところが、当事者でもある京都教育大は「学生への事情聴取はしていない。内容については、個人の判断であるので把握していない」。そのうえで「このような書き込みは誹謗中傷、人権侵害につながるおそれがあるため避けるべきと考えている。全学生に注意を促したが再度教育する」と述べるにとどまった。
  
  電話対応だけでいっぱいいっぱいなのかも。
- 京都教育大暴行事件の被害者女子学生をネットで中傷　立命館大が学生２人に人権指導 (産経 MSN, 6/10)、人権を尊重し情報倫理を遵守した自覚と誇りを持った行動を期待します (立命館大学学生部長, 6/9)。
- 京都教育大レイプ事件のセカンドレイプ問題についての情報集積ブログ
- http://sky.geocities.jp/kyokyo_u_acjp/ は閉鎖された模様。
- 【京教大・集団強姦】立命館の女「女のせいで将来ある6人が…残念」、男「そこに酔い潰れた女がいるから襲う」…ミクシィで擁護続々★10 (2ch.net)
- 京都教育大生の集団準強姦：大学側「公然わいせつ」　識者ら批判「被害者苦しめる」 (毎日, 6/4)
  
  　１日の会見では「公然わいせつ」の理由に質問が相次ぎ紛糾。大学は３日の説明会で処分理由を「公共の場所でわいせつ行為があり、女子学生に重大な被害を与えた」と整理して説明。公然わいせつとしたことは「刑法にのっとって申し上げたのではない」とした。
  　自らの体験に基づく著書「性犯罪被害にあうということ」がある小林美佳さんは「公然わいせつでは、被害者に落ち度があったと言っているようなものだ。被害者は『合意があったのでは』という偏見にさらされることが多い。これでは更に傷つく」と話す。
》 Postfix before-queue Milter support (postfix.org)

Milter error handling

The milter_default_action parameter specifies how Postfix handles Milter application errors. The default action is to respond with a temporary error status, so that the client will try again later. Specify "accept" if you want to receive mail as if the filter does not exist, and "reject" to reject mail with a permanent status. The "quarantine" action is like "accept" but freezes the message in the "hold" queue, and is available with Postfix 2.6 or later.

　Postfix 2.6 以降では「quarantine」という選択ができるそうで。
》レズビアンのミュージシャン、性的指向を理由に絡まれ殴られる - あるいは、「このヘテロ男性！」という発話と「このレズ！」という発話の持つ暴力性の違いについて（2009年6月10日再掲） (みやきち日記, 6/7)
》 Inside Windows 7 User Account Control (Microsoft, 6/10)

■ Java SE 6 Update Release Notes: Changes in 1.6.0_14 (6u14)
(Sun, 2009.05.29)

　Java SE 6u14 出てます。Windows Vista SP2 / Server 2008 SP2 に対応しています。 Bug Fixes の項には、classes_security サブカテゴリなものが 3 つ、security サブカテゴリなものが 2 つありました。(以下引用)

BugId	Category	Subcategory	Description
6643094	java	classes_security	Test on keytool -startdate forgets about December
6787645	java	classes_security	CRL validation code should permit some clock skew when checking validity of CRLs
6819110	java	classes_security	Lazily load Sun digest provider for jar verification
6742114	java_deployment	security	Add black list support to JDK
6809110	java_deployment	security	JRE behavior unexpected when pre-trusting certificates (user or system)

　Blacklist 機能はこういうものだそうです。(以下引用)

Blacklist Jar Feature

Support for blacklisting signed jar files has been added to 6u14. A blacklist is a list of signed jars that contain serious security vulnerabilities that can be exploited by untrusted applets or applications. A system-wide blacklist will be distributed with each JRE release. Java Plugin and Web Start will consult this blacklist and refuse to load any class or resource contained in a jar file that's on the blacklist. By default, blacklist checking is enabled. The deployment.security.blacklist.check deployment configuration property can be used to toggle this behavior.

The blacklist entries are the union of the blacklist files pointed to by the deployment.system.security.blacklist and deployment.user.security.blacklist properties. By default, deployment.system.security.blacklist points to the blacklist file in the jre/lib/security directory, and deployment.user.security.blacklist points to a blacklist file that contains additional entries added by a user.

The blacklist is a text file with the following format:

attribute : value

Each jar file on the blacklist is identified by the x-Digest-Manifest attribute where x is the name of the MessageDigest algorithm, and the value is the base64 encoded hash value of the Manifest. Comments are denoted by lines starting with the # (number) symbol.

Here is an example:

# Buggy Utilities, version 1.0
SHA1-Digest-Manifest : QONXbQg+EtNOguIOAgpUUOadhv8=
# Malware Inc., version 99.99
SHA-256-Digest-Manifest : SewaudBCZ3iXt1KX0BeFHpQiiM1xYLtvLw3Ow2RJfcs=

　cadz さん情報ありがとうございます。

■ Google Chrome Stable update: 2 WebKit security fixes
(Google Chrome Releases, 2009.06.09)

■ APSB09-07: Security Updates available for Adobe Reader and Acrobat
(Adobe, 2009.06.09)

■ 追記

■ 2009.06.09

》アドルフ・ヒトラーを写した貴重な未公開カラー写真の数々 (gigazine, 6/9)
》村上春樹さん：「１Ｑ８４」発売１２日目でミリオンセラー (毎日, 6/9)。すごいね。
》 Host file black lists (SANS ISC, 5/27)
》 EADS、エールフランス機墜落事故に関連して飛行速度表示に関する緊急通達 (technobahn, 6/8)
》「学校裏サイト」監視、民間任せの自治体相次ぐ…教師多忙で (読売, 6/8)。そりゃそうだろ……。
》チェルノブイリ原発：「再臨界で事故拡大」安全担当者証言 (毎日, 6/9)。「チェルノブイリ事故故現場での数日間の個人的な体験」 (京都大学原子力安全研究グループ, 4/13) の件。京都大学原子力安全研究グループのページには、他にも興味深い情報が。
》新型インフルエンザ方面
- 新型インフル感染　福岡の小中生１２人に、３校休校 (読売, 6/8)、福岡の新型インフル感染、２小中学校で計２７人に (読売, 6/9)、新型インフル感染経路特定へ　福岡市、感染研に支援依頼 (読売, 6/9)
- 新型インフル：千葉・船橋の中学生６人、新たに感染 (毎日, 6/9)
- 新型インフル：新薬開発の架空話など…悪質商法横行の兆し (毎日, 6/9)。あれやこれや。
- 新型インフルエンザ：ウイルス株、製薬会社に送付　ワクチン製造へ (毎日, 6/9)
- 新型インフル：ワクチン２５００万人分、年内に確保 (毎日, 6/9)
》地球外知的生命体に遭遇したら、なんと言う ? (slashdot.jp, 6/8)。キリヤマ式、シュールだ。(でもウルトラセブンは実際にこういう世界)
》最悪のプロバイダー、FCCが業務停止命令 (technobahn, 6/5)、 FTC takes down 3FN (SophosLabs blog, 6/9)、 FTC Shuts Down Notorious Rogue Internet Service Provider, 3FN Service Specializes in Hosting Spam-Spewing Botnets, Phishing Web sites, Child Pornography, and Other Illegal, Malicious Web Content (FTC, 6/4)、FTC Sues, Shuts Down N. Calif. Web Hosting Firm (Security Fix, 6/4)。悪のホスティング屋を閉鎖。
》著作権法の改革目指す“海賊党”、欧州議会で議席獲得 (ITmedia, 6/9)
》Ｆ３５戦闘機を日本に推奨　米国防総省報道官が明言 (京都新聞, 6/9)。FX 方面。
》エールフランス機墜落事故、２４遺体を発見…尾翼の残骸も (読売, 6/9)。なんか、原潜で探すとか言ってますけど、この場合に必要なのは、しんかい 6500 みたいな船なんじゃないの? フランスにはノティールという船があるみたいだけど。
》「国営マンガ喫茶」と自民内部からも批判　PTが「不要」宣告 (ITmedia, 6/8)
》秋葉原無差別殺傷事件から１年　献花をあさるマスコミ (アキバ Blog, 6/8)。マスゴミは、映らないところでは何をしてもいいと思ってるに違いない。

　アキバ事件から 1 年経過したわけですが、Sky Line の中二君も今では中三ですかね。関連:
- 2008年6月9日の魚拓
》 5 minute - Sysinternals Customer Survey (Sysinternals, 6/8)
》ゲイの男子大学生は成績優秀、一方バイセクシュアル女子学生は残念な結果に (みやきち日記, 6/9)。興味深いですね。元になったデータは

We discuss several ways that sexual orientation could matter for college outcomes, and we provide the first empirical evidence on this question by using confidential data on over 40,000 students from the 1997, 1999, and 2001 waves of the Harvard College Alcohol Study.

　College Alcohol Study (Harvard.edu) ですか。
》 SQLインジェクション攻撃検知数（2009年5月まで） (LAC, 6/9)。2008.12～2009.01 にかけてとんでもないピークが存在しますね。特に 2008.12 は 2 桁違うからなあ。
》「ウェブサイト構築事業者のための脆弱性対応ガイド」などを公開 (IPA, 6/8)
- 情報システムを安全にお使いいただくために
- ウェブサイト構築事業者のための脆弱性対応ガイド
》日銀松江支店の情報流出：破産の元酒店に解決金、日銀が支払い (毎日, 6/5)。Winny ねた。焼け石に水。

　それにしても、いまだに Winny / Share ねたが続いているようで。どうして専用 PC 用意しないかねえ。
- 個人情報：飯塚のプロパンガス会社、顧客情報７９４８件流出　／福岡 (毎日, 5/26)。プロパンガス会社「九酸ガス住設」。
- 行政：「消防」文書３０００件流出　職員ＰＣウィニー介し　立ち入り検査など (毎日, 5/26)
- 今度はNECネッツエスアイ社員がShareで流出事件 (slashdot.jp, 6/7)。上野さん情報ありがとうございます。

■ About the security content of Safari 4.0
(Apple, 2009.06.09)

■ 追記

■ 2009.06.08

》銃刀法違反容疑でびわ湖放送を捜索、警察の真意は？ ―― タレント番組で猟銃を手にしただけ、しかも４ヶ月後とは・・・ (JANJAN, 6/5)。絵にかいたような「法令尊守コンプライアンス」をケーサツが実施している、ということですかね。
》地域型ドメイン名は廃止してはどうか (高木浩光＠自宅の日記, 6/7)。行政機関が地域型ドメイン名から出ていけばいいだけなのでは。地域型ドメイン名は放置プレイで十分でしょう。
》「楽天個人情報1件10円」の件が大手新聞各社報道という展開に (slashdot.jp, 6/8)
》 TOMOYO Linuxメインライン化記念勉強会（第97回カーネル読書会）と懇親会について。2009.07.03、東京都渋谷区、無料。
```
17:30-18:40 ★★★勉強会協賛各団体から★★★
　　「強敵よ！～SELinuxとの比較～」 by 海外さん@セキュアOSユーザ会
```
　わはは。男臭さ 1000% 増量 (当社比) ?
》 FX BJ}LL
- ボーイング、F-15SEは1機1億ドル・販売パートナーの募集を開始へ (technobahn, 6/6)。お値段が安いことはわかったけど、そもそも飛んでないし、RCS が実際にどのくらいなのか、計ってみないことには評価できないよなぁ……。
- 米上院歳出委、Ｆ22戦闘機の輸出用機種開発の空軍への打診を検討＝関係筋 (ロイター, 6/2)
- 防衛省、次期戦闘機の来年度予算計上見送りへ (読売, 6/7)
》どうしてプリンタが認識しないのか？ (パソコントラブル出張修理・サポート日記, 5/30)。物理レイヤーは重要ですよねえ。
》いまさら？ (パソコントラブル出張修理・サポート日記, 5/31)。いわくつき HDD に遭遇話。

それにしても最近は、新品のIDEハードディスクが本当に少なくなりましたね…。

　パソコン工房とかで、ふつうに売ってますけど……。
》「足利事件」捜査の元県警幹部ブログが炎上　「謝罪しろ」コメント殺到 (ITmedia, 6/5)、私のボランティア - 足利事件の元県警刑事部長森下昭雄のブログ (炎上blog, 6/5)

■ 2009.06.07

》 Winny事件高裁第２回公判期日 (壇弁護士の事務室, 5/13)。2009.06.11。

地裁の傍聴をしていた人達には、違和感を抱く光景が見られるかもしれない。

尋問は検察側、弁護側ではっきり対立するところである。是非、傍聴にくることをオススメする。
》無届けで出会い系サイト運営、「ぽっちゃりパフェ」の運営者を逮捕 (so-net セキュリティ通信, 6/5)
》 EFF、「デジタル時代の」著作権教育プログラムを配付 (P2Pとかその辺のお話, 5/30)
》米国：教育機関に広がりを見せる向著作権プロパガンダ (P2Pとかその辺のお話, 5/30)
》オバマ大統領の5月29日サイバーセキュリティ・スピーチ (エフセキュアブログ, 6/5)

》 Vista 関連の KB 出てきてますね

KB	内容
967999	Stop error message when you start a Windows Server 2008-based computer from an iSCSI boot device that is connected over MPIO paths:"Stop 0x0000007E"
968287	The MPIO failover process does not complete on a Windows Server 2008-based computer that uses Microsoft Device Specific Module for MPIO
968764	Streaming USB 1.1 devices that are connected to an external USB 2.0 hub behave incorrectly on a Windows XP-based, Windows Vista-based, or Windows Server 2008-based computer
969290	A hotfix is available that addresses a Stop error problem in Windows Vista and Windows Server 2008
969744	Underlines are missing when you print a document on a computer that runs Windows Vista, Windows Server 2008, or Windows XP Service Pack 3
970013	The "Active Directory Users and Computers" MMC window crashes when you try to find any object in Windows Server 2008 and Windows Vista systems
970485	Duplicate computer names are generated if you use a Windows Setup program to generate random names for a large number of computers
969241	The output is formatted incorrectly when you use the fax functionality in Excel to print a worksheet on a computer that is running Windows Vista or Windows Server 2008
971271	After you run the Sysprep.exe tool in Windows Vista or in Windows Server 2008, the ACLs for a folder in C:\users\public\documents\data are out of order

　968992, 969885, 970186, 970790, 969122 はまだみたい。

■ 2009.06.05

》北警備艇が５１分間韓国側の海域に侵入 (中央日報, 6/5)。挑発行為ですかねえ。
》世界初の量産型電気自動車「アイミーブ」４５９万９千円 (asahi.com, 6/5)

国の補助金を差し引くと、購入者の実質負担は３２０万９千円。
》文芸家協会、データ「非表示」方針へ転換　グーグル問題 (asahi.com, 6/3)
》ＮＹ原油：７カ月ぶりの高値　６８ドル台後半 (毎日, 6/5)。またじわじわ上がってきてます。
》裁判員選任、性犯罪被害者に名簿を開示　最高裁が通知へ (asahi.com, 6/4)。さすがは最高裁、見事にズレた対応。

　ただ、意見交換会では「裁判員にも知られたくないし、裁判員対象事件から性犯罪をはずしてほしい」という被害者の意見が続いた。参加した福島瑞穂・社民党党首は「性犯罪を入れることが妥当なのか。法改正した方がよいと考える」と発言した。
》足利事件方面
- 足利事件：菅家さん釈放　同時期のＤＮＡ鑑定、最高検が証拠保存指示　再審請求に備え (毎日, 6/5)
  
  　４日、記者会見した最高検の鈴木和宏刑事部長は、保存の対象について「旧型のＤＮＡ鑑定をした事件。今の鑑定のような精度の高いものは除く」と述べ、範囲を限定する考えを明らかにした。
  
  原則全て保存しなさいってば。
  
  　また同日、伊藤鉄男次長検事をトップに最高検検事ら数人で構成する検証チームを設置した。鹿児島県議選を巡る買収事件と富山県の強姦（ごうかん）事件で冤罪（えんざい）が判明した０７年以来の異例の措置で、全証拠・記録を調べ、原因を究明し問題点を明らかにする。菅家さんは任意捜査段階の９１年１２月、自白し、１審第６回公判の９２年１２月、否認に転じるまで自白を維持しており、なぜ認めたかが検証のポイントになる。
  
  暴行を受けたからに決まってんじゃん。
- 足利事件：菅家さん、１７年半ぶり釈放　「刑事、検事許さぬ」　再審開始、無罪へ (毎日, 6/5)
  
  　逮捕直前の様子についても説明し、朝、自宅を訪ねてきた捜査員に「お前が子供を殺したんだな」といきなり問いつめられたと明かした。逮捕後の取り調べでは「刑事に髪を引っ張られたり、け飛ばされたりして『早くしゃべって楽になれ』と厳しく追及された」「夜まで『自分はやっていない』と言ったが、受け付けてもらえず自白してしまった」と話した。１審が始まった当初の心境については「傍聴席に刑事がいるとびくびくしていたため、無罪を主張できなかった」と述べた。
- 【足利事件】「捜査は妥当だった」「思い出したくない」　栃木県警元幹部ら (産経 MSN, 6/4)
- 警察庁が足利事件調査チーム、ＤＮＡ鑑定や自白過程を検証 (読売, 6/5)。こちらは警察庁の検証チーム。
- 取り調べの可視化法案成立を　民主輿石氏、菅家さん釈放で (京都新聞, 6/5)。自民党政権下では絶対無理ですな。関連:
  - 法相「可視化は捜査に支障」足利事件で (京都新聞, 6/5)。暴力捜査・証拠捏造に支障、と言えばいいのに。
  - 【麻生ぶら下がり】足利事件「可視化で冤罪が減るという感じがありません」（４日夜） (産経 MSN, 6/4)
- 【主張】足利事件　再審を通じ捜査の検証を (産経 MSN, 6/5)
  
  　和歌山カレー事件のヒ素の鑑定のように、科学捜査技術の進歩で未解決だった事件が解決に動いた例は少なくない。
  
  この文脈で、えん罪の臭いがプンプンする事例を出すとは。さすがは産経ですね。
》茨城県警巡査長、被害届取り下げ文書をでっち上げた疑い (asahi.com, 6/5)
》住宅街に防犯カメラ、警察が設置へ　全国１５カ所で試行 (asahi.com, 6/5)

　警察庁は、全国１５カ所の小中学校近くの住宅街に、２５台ずつの防犯カメラ計３７５台を設置する。(中略) 警察はこれまで犯罪が多発する繁華街などに防犯カメラを設置してきたが、住宅街に設置するのは初めてという。運営は民間の防犯団体に委託するモデル事業で、録画画像の流出などがないように厳しく管理してもらう方針 (中略) 今回のように１学校区に多数の防犯カメラが集中的に設置されているケースは、これまではほとんどないとみられる。
》ドイツでもペンギンのゲイカップルが育児中 (みやきち日記, 6/5)
》無料＆手続き不要で3400曲以上ある日本ファルコムの全楽曲が利用できる「ファルコム音楽フリー宣言」 (gigazine, 6/5)。「勉強会」方面とかで、音楽つきプレゼン増えますかね。
》 Malware targetting banks ATM's (SANS ISC, 6/4)。ATM そのものを標的にしているようで。
》 Targeted e-mail attacks asking to verify wire transfer details (SANS ISC, 6/4)。ほんとに Targeted なんですかねえ。
》ソフトウエア設計工程における脆弱性低減対策「セキュアデザインパターン」 (JPCERT/CC, 5/19)。日本語版は 6 月登場予定だそうですが、まだのようですね。
》コンピュータウイルス・不正"%/%;%9$NFO=P>u67[5月分]について (IPA, 6/3)
》エールフランス機消息事故を検索すると偽セキュリティソフト配布サイトへ誘導 (トレンドマイクロセキュリティ blog, 6/5)

　当の Air France 機の行方は依然として不明のようで: 回収物は事故機とは無関係、エールフランス墜落事故 (AFPBB, 6/5)
》弊社ネットショッピング会員様メールアドレスの情報管理に関するお詫びとお知らせ (ダイエー, 6/5)。まるみえ系の話の模様。taka さん情報ありがとうございます。
》「“アニメの殿堂”必要」―― 里中満智子さんら、「原画やゲーム基板の保存場所を」と訴え (ITmedia, 6/4)。ハコモノ万歳。
》個人情報流出事件（2009/05/18～06/03） (so-net セキュリティ通信, 6/4)
》天安門事件 20 周年
- 中国、民主運動リーダー入国拒否　天安門事件で手配 (中日, 6/3)、ウアルカイシ氏を強制退去　中国、国際社会の注目懸念 (中日, 6/4)
- 中国の天安門広場に傘を持った謎の男たちが出現、報道陣の取材を一斉に妨害 (gigazine, 6/5)
- 天安門事件から２０年　遺族は外出禁止、追悼抑え込む (asahi.com, 6/5)
- 天安門事件で失脚の趙紫陽元総書記、軟禁中の「発言」が本に (AFPBB, 5/15)。Prisoner of the State: The Secret Journal of Premier Zhao Ziyang の件。

■ いろいろ (2009.06.05)
(various)

■ Adobe Security Bulletin Advance Notification
(Adobe Product Security Incident Response Team (PSIRT), 2009.06.04)

■ W32/Generic.worm.aaの誤認について
(マカフィー, 2009.06.05)

　マカフィー VirusScan Enterprise 8.7 Patch 1 および Total Protection Service 4.7.0.771 において、Windows のシステムファイルを W32/Generic.worm.aa として誤検出する事例が発生している模様。マカフィーはまだ状況を把握できていない模様。

本問題は、一部の端末での報告があり、発生条件は現在分かっていませんが、すべての端末で発生する問題ではありません。また、オンアクセススキャンのサービスを:F5/F0$9$k$H!":F8!CN$7$J$/$J$j$^$9!#
※ VirusScan Enterprise 8.7 Patch 1適用をご検討中のお客様は、本問題に対する詳細情報が弊社より提供されるまで、適用をお控えいただくことをお勧めいたします。

　patch なしでの誤検出発生は確認されていないそうで。というか、patch 1 出てたのか。ただいまダウンロード中。

　関連:

False positive detection for W32/Generic.worm.aa with VirusScan Enterprise 8.7i Patch 1 (McAfee, 2009.06.04)。対象 OS は Windows XP / Vista になってるなあ。

To minimize customer impact, McAfee has removed VirusScan Enterprise 8.7i Patch 1 from the McAfee ServicePortal and other download sites. After the root cause for this issue is discovered and resolved, Patch 1 will be reposted to the ServicePortal and download site.

あらあら。www.mcafee.com/japan から現在進行形でダウンロード中なのだけど。 ……ダウンロード完了。
VSE 8.7i Patch 1 has been pulled (McAfee support folum, 2009.06.02～)。VSE 8.7i patch 1 は、誤検出以前の品質ってことですかねえ。でっかい問題。

2009.06.11 追記:

　False positive detection for W32/Generic.worm.aa with VirusScan Enterprise 8.7i Patch 1 (McAfee, 2009.06.04) が 2009.06.08 に改訂されています。

McAfee has isolated the cause of the issue and has addressed this as part of the incremental 5639 DAT files released on Sunday, 7 June 2009 and later.

　DAT5639 以降に更新した後に patch 1 を適用すればよいようです。

2009.06.12 追記:

　日本語情報も更新されました。

【2009/6/12更新】
定義ファイルに組み込まれている処理の一部と最新のモジュールで使用されているパフォーマンスの最適化機能が競合し、問題が発生することが分かりました。このため5637の定義ファイルより競合する処理の一部を外し、誤認が発生しないよう修正しました。

　False positive detection for W32/Generic.worm.aa with VirusScan Enterprise 8.7i Patch 1 (McAfee, 2009.06.04) もさらに改訂されてました。

Cause
The false detection was caused by an interaction between a single performance optimization function that was introduced with Patch 1 and whitelisting code delivered in the daily DAT files.

Solution
The whitelisting code has been disabled as part of the incremental 5639 DAT files released on Sunday, 7 June 2009.

　DAT 中のホワイトリスト機能と、VSE 8.7i patch 1 のパフォーマンス向上機能とがぶつかっていた、ということですかね。ホワイトリスト機能は無効化されたそうで。

■ マイクロソフトセキュリティ情報の事前通知 - 2009 年 6 月
(Microsoft, 2009.06.05)

■ 2009.06.04

》 Empty PDF delivers nothing but pain (Sophos, 6/3)
》裁判員制度方面
- 裁判員制度を見直す議員連盟、施行についての声明 (保坂展人のどこどこ日記, 5/21)
- 見直せ、裁判員制度。各議員の発言 (保坂展人のどこどこ日記, 5/22)
- 裁判員候補者に守秘義務なしで「性犯罪」被害者の実名が (保坂展人のどこどこ日記, 6/2)
- 裁判員制度の辞退可・辞退不可の線引きとは (保坂展人のどこどこ日記, 6/3)
》 SQLインジェクションを根絶！セキュア開発の極意
- 第10回■保険的対策として欠かせない入力値の検証～入力に関する対策（1） (日経 IT Pro, 5/19)
- 第11回■制御文字や不正な文字エンコーディングによるぜい弱性を知ろう～入力に関する対策（2） (日経 IT Pro, 5/26)
- 第12回■主要言語別：入力値検証の具体例～入力に関する対策（3） (日経 IT Pro, 6/2)
》 When the going gets tough, AMTSO gets going (Panda Research blog, 6/2)
》チャド・スーダン間の国境紛争続く (国連情報誌ＳＵＮブログ対応版, 5/21)
》ここ数年で子どもの死亡率が劇的に低下 (国連情報誌ＳＵＮブログ対応版, 5/22)

1997年に5歳以下で亡くなった子どもは約900万人いましたが、1990年では1250万人であった

　350 万人減 (当社比) ですが、まだまだ。
》コンゴ民主共和国での残虐行為広がる (国連情報誌ＳＵＮブログ対応版, 5/23)、コンゴ民主共和国内で人権保護にあたる人々に危険迫ると警告 (国連情報誌ＳＵＮブログ対応版, 6/4)
》南アジアのサイクロンによる被害への支援開始 (国連情報誌ＳＵＮブログ対応版, 5/28)。サイクロン「アイラ」の件。
》ポーランドが人身売買の仲介地域になりつつあると警告 (国連情報誌ＳＵＮブログ対応版, 5/30)
》 MONUC、フツ族民兵組織掃討支援を発表 (国連情報誌ＳＵＮブログ対応版, 5/31)
》ネパール内戦時の失踪者の捜査を要請 (国連情報誌ＳＵＮブログ対応版, 6/1)
》スリランカの情勢は極めて深刻 (国連情報誌ＳＵＮブログ対応版, 6/2)
》 WFPが世界の飢餓問題に関する特集サイトを開設 (国連情報誌ＳＵＮブログ対応版, 6/3)
》情報セキュリティ白書2009 (水無月ばけらのえび日記, 6/1)
》 PacSec 2009 論文募集 6月14日まで延長 (ITmedia, 6/14)
》迷惑メール：経産省と総務省が相次ぎ業者に行政処分～両者の違いは？ (so-net セキュリティ通信, 6/3)
》 Top 10 Malware Sites (Google, 6/3)
》クラウド・セキュリティの評価ポイントは事後対策にあり---IPAX2009パネルより (日経 IT Pro, 5/26)
》最も危険な検索語は「free music downloads」、結果の2割にウイルス (日経 IT Pro, 5/28)
》 PC上で繰り広げられるHTML添付ファイルによるフィッシング攻撃 (日経 IT Pro, 6/2)
》ルートキット「StealthMBR」の進化 (日経 IT Pro, 6/3)
》クラウド・コンピューティングによる情報セキュリティの変化 (日経 IT Pro, 6/4)
》チェックしておきたいぜい弱性情報＜2009.06.04＞ (日経 IT Pro, 6/4)
》記号だけでJavaScript! (葉っぱ日記, 6/3)。なんですかこれは……。
》 NTT東西がNGNによるIPv6インターネット接続の技術資料を公開 (日経 IT Pro, 6/3)
》 New McAfee Whitepaper on Browser Attacks (McAfee blog, 6/3)。 Safe web browsing--Avert report の件。日本語版もあるよ。
》 Wikipedia、サイエントロジー教会による項目編集を禁ずる (slashdot.jp, 6/3)。ついに強権発動。
》産科医：在院月３１２時間　過労死認定基準超す実態 (毎日, 6/4)
》［続報］JALのシステム障害、原因は新機能追加 (日経 IT Pro, 6/3)
》トヨタ本社の真ん前で、「生きさせろ！」と叫ぶ (JANJAN, 5/27)
》森田健作知事へ、私はこうして剣道二段を取りました (JANJAN, 5/26)
》コンビニ店長が語る食品廃棄の真実 ―― 廃棄商品が増える[$IK\It$,LY$+$k$H$$$&6C$-$N%+%i%/%j (JANJAN, 5/19)
》京品ホテル廃業と解雇の責任を追及し組合まだ闘争中 ―― 雇用問題未解決だと買い手つかず、リーマンも困惑 (JANJAN, 6/4)
》産経「鯨肉生産は牛肉よりエコ」はデマだった ―― 「個人的な試算」水産庁・水研センターが報道を公式否定 (JANJAN, 6/3)

　結局、産経が報道した今回の「調査結果」の数字は、検証をまったく経ていない個人の非公式な試算にすぎなかったことになる。「水産総合研究センターの調査で出た」という産経の報道が、当の水研センター自身によって公式に否定されたからだ。
(中略)
　影響力のきわめて大きいマスコミの報道姿勢が問われる。産経新聞と言えば、日本の調査捕鯨の担い手・財団法人日本鯨類研究所の馬見塚達雄理事は、同社の元論説委員である。

　クジラ関連:
- ＯＤＡで買うクジラ票（上）非捕鯨国をご接待 ―― 日本捕鯨支持で、援助内容が「並」→「上」に昇格 (JANJAN, 5/15)
- ＯＤＡで買うクジラ票（下）疑惑まみれ水産ＯＤＡ ―― 国益見失い友好国失って、業界だけ儲けさす異常行政 (JANJAN, 5/16)
》 Wizard Bible vol.46 (2009,6,3)
》結局「陵辱系ゲームソフトの製造・販売は禁止」に。ただし詳細は別途。
- ソフ倫が凌辱ゲーム規制を決意するまでの経緯 (王様を欲しがったカエル, 6/3)。まずはこれを読むのがよさげか。
  
  ～ソフ倫が凌辱ゲーム規制に至った経緯～
  (中略)
  ３）日本のＴＶで『レイプレイ』関連の報道があった後で、ソフマップ、メッセサンオー、とらのあなetc……が、一斉に『レイプレイ』の取り扱いを中止。
  
  ４）この時点で、ソフ倫としては小売りに対して対応策を発表する必要性に迫られた。
  
  仁注・もう、いい加減に規制反対派はこの問題に気がついて欲しい。私は反対活動をしていた初期から言っているが、問題なのはクリエーターじゃなくて流通と小売りなのだ。この２つが「売らない」と言えば、クリエーターにどんなにやる気があっても事実上の規制が成立する。私はこのことを５年間も言い続けているが、目立った規制反対派で賛同してくれているのは、かつて販売業に従事したことがあるmudanさんだけだ。どうして、メーカーに要望書は送っても、流通や小売りには送らないのか？　そろそろクリエーター幻想から目を覚ましてくれよ！　売ってるのはクリエーターじゃなくて小売りなんだから、小売りが説得できなければ何にも変わらないんだよ！
  
  ５）流通業者も小売りと同様の対応をとることをソフ倫に事実上の通達。
  (中略)
  11）いわゆる凌辱ゲーと呼ばれるジャンルは、ソフ倫が審査するソフトの約６～７％を占める。残りの９４～９３％を守るために、凌辱ゲームの事実上の自主規制を決定。
  
  12）自主規制の発端は、小売りの取引停止であるから、ソフ倫を脱退して他の倫理審査団体に行くことは無意味である。
- 陵辱系ゲームソフト、製造・販売禁止関係(随時更新) (いきあたったらばったり)
- いろいろと大変でした (<MSB>mana staff blog, 6/3)
- タイトル変更のお知らせ (catwalkNERO スタッフ blog, 6/4)
  
  2009年7月24日発売予定のcatwalkNERO新作ですが、諸事情によりタイトルが変更になります。
  新タイトル：「聖徒会長ヒカル　淫魔に占領された学園」
- 陵辱ソフト販売禁止で「かんなぎ」も回収─「ヒロインの“中古”表現よくない」 (ボーガスニュース, 5/29)
》宮城県警石巻署で伝承教養「デカルチャー」制定 (ポリスチャンネル, 6/4)。マクロス用語の「デカルチャー」ではありません。
》エフセキュアから「Windows系３製品価格改定のお知らせ」というメールが来たのはいいのだが、

【　変更価格　】
　7月1日以降、弊社ホームページ上でご確認いただけます。

　なんだよそれ……。
》 Windows Server 2008 R2はWindows 7と同時に10月22日に発売 (Enterprise Watch, 6/3)

今回より32ビット版は提供されず、x64およびItaniumの64 ビット版のみ用意される。
》海の向こうの“セキュリティ”　第33回：FIRSTが異例の一般向け注意喚起、実は……　ほか (Internet Watch, 6/4)。 21st Annual FIRST Conference ねたなど。

　今回の発表は、この年次会合開催の宣伝を兼ねているようですが、それ以上に注目すべき点があります。それは、国際刑事警察機構 (インターポール) が今回の年次会合のスポンサーに名を連ねており、CSIRTと司法機関の間の連携を明確に前面に打ち出している点です。
(中略)
　今回のFIRSTの年次会合では、インターポールの方もスピーチをされるようです。

　銭形のとっつぁんが来るわけではないので注意。実際のインターポールは情報交換組織ですし。

FIRST加盟CSIRT以外の一般の方も年次会合には参加できますので、興味のある方は奮ってご参加ください。

　で、参加費用を見て顎が外れる、と……。
》【詳細一覧】土浦８人殺傷事件　第３回公判　被告人質問 (産経, 6/3)

　弁護人「あなたは一貫して死刑になりたいと話しF$$$^$9$,!";`7:$NL%NO$H$O$J$s$G$9$+!W
　金川被告「魅力と言われても…」
　弁護人「死にたいのか死刑になりたいのかどちらですか」
　金川被告「死にたいが先です。その手段が死刑です」
　弁護人「なぜ自殺は考えないのか？」
　《弁護人は誰しもが思う疑問を口にした》
　金川被告「痛いから。失敗すれば苦しむことになるから」
　弁護人「自殺すると痛い？」
　金川被告「はい」

　こういう倒錯した人のためには、公衆自殺機械が必要なんですかねえ……。まぁ、そんな機械なくても毎月 3000 人自殺しているのですが。
》 Amnesty International Media Awards 2009 (Amnesty)。Wikileaks も受賞してます。 http://wikileaks.org/wiki/WikiLeaks_wins_Amnesty_International_2009_Media_Award に関連情報があるっぽいのですが、wikileaks は 12:00 現在 overloaded だそうで。
》米政府、核関連文書を誤ってネットで公開　米紙報道 (asahi.com, 6/3)。これですか?
- US Declares Nuclear Sites to the IAEA (FAS, 6/1)。PDF。Highly Confidential Safeguards Sensitive と書かれてますね。
- 上記 PDF の mirror (cryptome)
》足利事件・菅家受刑者釈放へ　検察、再鑑定受け入れ方針 (asahi.com, 6/4)。おめでとうございます。
》郵政社長人事…政府内は泥沼化　首相説得指示も難航　譲らぬ総務相 (産経 MSN, 6/3)。俺が正義だジャスピオン。

■ いろいろ (2009.06.04)
(various)

■ 追記

■ 2009.06.03

》 NTTコムのVPN経由でウイルス感染　 200台の監視端末すべてが感染，ユーザー企業にも被害 (日経 IT Pro, 6/1)。「出典：日経コミュニケーション 2009年5月1日号　p.16」
》御堂岡啓昭によるプライバシー侵害事件、ご報告 (悪徳商法？マニアックスココログ支店, 6/3)
》まだ Gumblar
- 「FTPパスワードが盗まれて、Web改ざんされている」――専門家が警告　 “一発”で不正侵入されるケースが増加、サイト管理者は十分注意を (日経 IT Pro, 6/3)。 ISP からはこう見える、という話。
- Gamburl Gone Wild (Microsoft Malware Protection Center, 5/27)
》本格攻撃の前触れか：公共インフラへのハッキング、YouTubeに実況動画が見つかる (ITmedia, 5/26)。実際、どうなんですかねえ。
》テクノロジーの民主化とオープンデータの重要性 (sourceforge.jp, 6/3)
》 1カ月に出現するウイルスは70万種類以上、累計では1600万種類以上に (日経 PC Online, 5/25)。小山さん情報ありがとうございます。昨年の段階で 2 万 / day という数字が Sophos から出ていたわけですし、びっくりする話ではないのですが。
- Hackers attack businesses, blogs and Web 2.0 sites, reveals Sophos Security Threat Report (Sophos, 2008.07.23)
  
  It is estimated that the total number of unique malware samples in existence now exceeds 11 million, with Sophos currently receiving approximately 20,000 new samples of suspicious software every single day - one every four seconds.
- One Million Detections (F-Secure blog, 2008.07.24)
- Growth of malware: Update (sunbeltblog, 5/22)
　しかし、「そもそも何をもってして数を数えるのか」とか「その数字に意味あるの?」いう話はあるわけで。
- and I say we are detecting between 400,000 and 10,000,000 malware! (McAfee blog, 2008.07.19)
- Counting the Bullets on the (Malware) Front (Dancho Danchev's Blog - Mind Streams of Information Security Knowledge, 2008.07.25)
- Meaningless Malware Counting? (IBM ISS, 2008.07.25)
  
  Take for example a commercial Trojan generator toolkit such as the Turkish Turkojan v4 which comes in Bronze, Silver and Gold editions ($99, $179, $249 respectively) and includes a six month money-back replacement warranty if it were to be detected by any anti-virus product (ok, thats for the gold edition, but I'm sure you get what I mean). It's fine at bypassing any signature-based AV product, and apparently does pretty well against behavioral AV engines too.
》著作権侵害事件 (ACCS)。5 月以降、刑事事件続々ですねえ。関連: 著作権法違反相次ぐ：楽曲配信/記事盗用/海賊版DVD販売/TV番組配信 (so-net セキュリティ通信, 6/2)
》【Weekly Threat Info】海外記事をナナメ読み：「TwitterCut」が利用者心理をついてアカウント情報を収集 (トレンドマイクロセキュリティ blog, 6/1)
》 USBメモリ感染のautorun.infウイルスの駆除方法。（mmvo.exe ierdfgh.exe revo.exe sfwypsy.exe ksahqgbi.exe r0so.exe afmain0.dll pytdfse0.dll ） (パソコントラブル出張修理・サポート日記, 5/22)。まぁ、これくらいで削除できるウイルスならまだ楽なんですよね。
》メモリ保護 ( DEP/NX Memory Protection ) 機能の IE7 と IE8 の違い (Windows 開発統括部 Blog, 6/2)
》オバマ大統領のセキュリティ政策、業界からは前向きな評価拡大するサイバー脅威にはホワイトハウス・レベルの対応や調整が必要──専門家 (ComputerWorld.jp, 6/2)
》クラウド・セキュリティのベスト・プラクティス確立に向けて2団体が協力　 Jericho ForumとCSA、実践的な指針とビジョンの提示を目指す (ComputerWorld.jp, 5/29)
》 L0phtcrack is Back! (SANS ISC, 5/31)。L0phtcrack 6 だそうです。
》高２エレベーター死亡：シンドラー社長が事故現場で黙とう (毎日, 6/3)。関連:
- エレベーター事故　後絶たず　独立した調査機関の設置を　遺族らシンポ (この国を考える, 6/1)
- 手動開閉戸を設けたエレベータの施錠装置等の緊急点検 (国土交通省, 5/29)。三精輸送機製。
- （株）新輝リフトが設置したエレベータの緊急点検 (国土交通省, 5/29)
- 東芝エレベータ（株）製間接油圧式エレベータの緊急点検の実施状況について (国土交通省, 5/29)
》若者ハマる脱法ドラッグ、実は麻薬　大量の個人輸入確認 (asahi.com, 6/1)
》＜TrendLabs Report＞「Pushdo」の脅威に関する主要なファクターとその防衛手段 (トレンドマイクロセキュリティ blog, 5/29)
》「児童ポルノ流通防止協議会」発足、ヤフーやグーグル、MSも参加 (Internet Watch, 6/2)、児童ポルノがネットの急成長ビジネスに、業界協同で対策を (Internet Watch, 6/2)
》連れ去られて27年間行方不明になっていた息子の名前をググって発見、感動の再会を果たす (gigazine, 6/1)
》アニメーターのわずかな収入に、愕然とする海外ネットユーザー (ITmedia, 6/2)。しかし政府・与党はハコモノにしか興味がない。
》「この学生はWinnyを使っていません」――「検査証」発9T%=%U%H!"%M%C%H%(!<%8%'%s%H$,H/Gd (ITmedia, 6/2)
》 NPO向けの無償ソフトウェア寄贈プログラムの提供を開始 (Microsoft, 6/3)
》冷蔵庫の不当表示に関する再発防止策およびコンプライアンス強化策について (日立, 6/3)
》学術情報メディアセンターセミナー「デジタルフォレンジック入門」 (京都大学)。2009.06.23、京都府京都市、無料。
》 Wikipediaの石井一議員の記事から、イオンド大学の記述が消えている (悪徳商法？マニアックスココログ支店, 6/2)。ただしソースはウィキペディア、というのもアレなので関連: 「米国大学（院）学位商法」の危険性（５）著名人が続々と登場 (JANJAN, 2005.09.01)

　同校からのダイレクトメールの趣意書（右写真中）には、発起人のような形で著名人が名誉博士として記載されている。
　大塚正富：大塚化学（株）会長
　財前　宏：日本ＫＦＣ（株）前会長
　石井　一：衆議院議員
　アフターブ・セス：駐日インド大使
》羽田でＪＡＬ、一時システムダウン、３１便欠航 (asahi.com, 6/3)。原因不明。taka さん情報ありがとうございます。
》海賊奪った３万ドル見付からず、ソマリア沖の米貨物船乗っ取り (CNN, 6/2)。誰かがネコババした可能性。

海賊が同船から奪った現金約３万米ドル（約２９０万円）の行方が分からず、 (中略) 国防総省は、船長、海軍特殊部隊の隊員、マースク・アラバマの乗組員、小型船舶を追跡していた海軍艦船の乗員らから事情を聴き、３万ドルの行方を追っている。
》公正取引委員会による立ち入り検査について (古河電工, 6/2)
》株式会社旺文社に対する警告について (公正取引委員会, 6/2)

「英検合格者の 80% 以上が使っている旺文社の英検書」(中略) 旺文社は当該表示に係るデータを有しておらず、英検の各級の合格者の 80 パーセント以上が当該商品を使用しているものではないおそれがある

　関連: 英検問題集「合格者の８割使用」根拠なし　旺文社に警告 (asahi.com, 6/2)
》有名焼き肉店がネット炎上　「日テレがやらせ指示」とウソも (ITmedia, 6/2)
》 Windows 7は10月22日発売、Microsoftが明らかに (Internet Watch, 6/3)

■ 2009.06.02

》新たな「Webウイルス」出現、2万件以上の正規サイトに埋め込まれる　「Glumbler」ウイルスとは別物、対策ソフトを使っていても被害の恐れ (日経 IT Pro, 6/1)。「対策ソフト」は対策ではない。
》新型インフルエンザ方面
- 季節性インフルエンザワクチン接種後の新型インフルエンザA（H1N1）ウイルスに対する血清交差抗体の反応 (MMWR / IDSC, 5/22 / 5/29)
- 新型インフルエンザの大阪における臨床像‐改訂版 (IDSC, 5/28)
- 幼稚園から高校生、及び保育園における新型インフルエンザA(H1N1) ウイルス感染に対するCDCの暫定的手引き‐改訂版 (CDC / IDSC, 5/22 / 6/1)
- 新型インフルエンザA （H1N1）症例がごく少数例または全く報告のない地域での、州および地域の衛生部局、病院、及び臨床医による、新型インフルエンザA （H1N1）（ブタインフルエンザ）のスクリーニングに関する暫定的手引き (CDC / IDSC, 5/1 / 6/1)
- 兵庫・大阪で発生した集団感染の患者から分離された新型インフルエンザウイルスの全遺伝子塩基配列を解読 (製品評価技術基盤機構, 5/29)
  
  9株のウイルスの塩基配列は互いによく似ており、約1万3千個の塩基で構成されるウイルスゲノムのうち、塩基の違いが確認されたのは最大で４個所にとどまりました。これは、これまで疫学的な関連が不明であった兵庫県と大阪府の集団感染がほぼ同一のウイルスに由来するものであることを示します。両者が同一の感染者から広がったものか、もしくは、同じ時期に同じ地域から国内に流入したものであると考えられます。
  これらの塩基配列を、これまでに全遺伝子が解析されている38株の新型インフルエンザウイルス（海外株37株および先に解析を行った成田検疫株1株）と比較したところ、成田検疫株とは由来が異なるものであり、新型発生の初期にメキシコや米国南部から感染が広がったと考えられる系統と、4月下旬に米国東部とカナダで集団感染を引き起こした系統との、中間的な系統に属すると推定されました。
  
  関連: 新型インフル感染、神戸と大阪は同じルートか (asahi.com, 5/29)
- 愛知で３人目の感染者　１人目とハワイ同行 (asahi.com, 6/2)
》 Bluetooth探査、定点観測の場合 (高木浩光＠自宅の日記, 5/24)
》このインタビュワーは天才か？ (悪徳商法？マニアックスココログ支店, 6/1)。IT 戦士こと岡田有花記者ですね。
》今話題のエセ障害者団体による郵便詐欺事件で名前の出てくる民主党副代表の石井一議員は、イオンド大学名誉教授らしい (悪徳商法？マニアックスココログ支店, 6/1)。出ましたイオンド大学。

■ QuickTime 7.6.2 & iTunes 8.2
(Apple, 2009.06.02)

CVE	欠陥概要	ヤバいブツ
CVE-2009-0188	Sorenson 3 ビデオファイルの処理においてメモリ破壊が発生	ムービーファイル
CVE-2009-0951	FLC 圧縮ファイルの処理において buffer overflow が発生	FLC 圧縮ファイル
CVE-2009-0952	圧縮 PSD 画像の処理において buffer overflow が発生	PSD 画像ファイル
CVE-2009-0010	PICT 画像の処理において整数 underflow が発生。Windows でのみ発生。	PICT 画像ファイル
CVE-2009-0953	PICT 画像の処理において buffer overflow が発生	PICT 画像ファイル
CVE-2009-0954	Clipping Region (CRGN) アトムの処理において buffer overflow が発生	ムービーファイル
CVE-2009-0185	MS ADPCM オーディオデータの処理において buffer overflow が発生	ムービーファイル
CVE-2009-0955	イメージ記述アトムの処理において、符号拡張の問題が発生	ビデオファイル
CVE-2009-0956	ムービーファイルの処理において、初期化されていないメモリを参照	ムービーファイル
CVE-2009-0957	JP2 画像の処理において buffer overflow が発生	JP2 画像ファイル

■ 2009.06.01

》福岡県警と筑紫野署が携帯向けレンタル掲示板の管理人4人を送致、1人を補導、同時に掲示板運営事業者に警告 (JASRAC, 6/1)。またも「ワンタッチBBS」ねた。集中砲火ですな。
》「NoScript」をやめて「RequestPolicy」にした (高木浩光＠自宅の日記, 5/31)

これは、JavaScriptをブロックするのではなく、ドメインをまたがって参照している（same-originでない）インラインコンテンツ（Webページ中に埋め込まれた画像やフレーム、Flash、JavaScript等）をブロックするものである。1か月近くこれを試用してきて、「これでいいんじゃないか」「NoScriptじゃなくてもいいんじゃないか」と思うようになった。

　関連: スクリプト無効は万人にオススメできるのか (水無月ばけらのえび日記, 5/31)。スクリプト無効を万人に推奨できないのは自明でしょう。
》 Vistaのセキュリティ、言われているほどダメじゃない？ (ITmedia, 6/1)。XP よりは遥かにマシですよ。そんなのあたりまえじゃん。
》 Office Updateサイトが閉鎖される前にやっておくべきこと (@IT, 5/29)。Office 2000 サポート終了 (2009.07.14) と共に Office Update も終了 (2009.08.01) だそうです。まぁ、ふつう Microsoft Update だよねえ。
》ニッケル鉱山で硫酸流出　日本企業も出資の事業 (中日, 6/1)。関連:
- ニューカレドニア・ゴロニッケル開発事業の環境社会影響現地フォトレポート (地球・人間環境フォーラム, 5/25)
- ゴロ・ニッケル開発、環境重視の対応の全容＝ニッケル生産関連廃棄物は海中投棄 (テックスレポート, 2007.07.19)
- ニューカレドニアゴロ･ニッケルプロジェクトへの追加出資について (住友金属鉱山 / 三井物産, 2007.11.16)
- ニューカレドニアニッケルプロジェクトへの参画について (住友金属鉱山 / 三井物産, 2004.10.20)
》京都教育大学方面
- 京教大生が女子学生に集団暴行　府警、容疑で６人逮捕 (京都新聞, 6/1)。実名報道。
- まさか、教師の卵が　京教大集団暴行　学内に動揺広がる (京都新聞, 6/1)
- 学生の不祥事にかかる学長コメント（お詫び） (京都教育大学, 6/1)
》西松献金、自民・二階派政治団体は不起訴…東京地検特捜部 (読売, 6/1)。プ。結局、国策捜査そのものじゃん。
》「答えてねっと」サービス終了のお知らせ (答えてねっと, 5/29)。2009.07.30 で終了。さようなら。
》「SH-01A」「SH-03A」「SH-04A」ソフトウェアアップデート再開のお知らせ (NTT ドコモ, 5/27)。なかださん情報ありがとうございます。
》ゆびとま方面
- ゆびとま：同窓会サイト突然停止　３５０万人が個人情報登録 (毎日, 5/31)
  
  　ところが５月２日から、ホームページに「甚大なトラブルが発生した」と掲示され、すべてのサービスが突然全面停止になった。１カ月近くたっても復旧の時期は明らかにしていない。
  (中略)
  　運営会社「この指とまれ」の登記上の所在地の東京都中央区のビルは空室。管理会社によると既に事務所を引き払ったといい、電話は不通。連絡先のメールアドレスへの毎日新聞の問い合わせにも返答はなかった。
  
  　「甚大なトラブル」って、技術上のそれではなくて、運営資金がアレしたとか、役員が金持って逃げたとか、そういう系の話だったのかしら。
- ゆびとま：「１４日再開予定」と発表 (毎日, 6/1)
- サービス停止に関するご報告について（5月31日） (「ゆびとま再建委員会」事務局, 5/31)
  
  お問い合わせは、support@yte.jpまでお願いします
- 主人が「ゆびとま」で「甚大なトラブル」に遭って3週間が過ぎました (C0FFEE の日記, 5/31)

	「Scan Security Wire」主催の SCAN Security Wire NP Prize 2001 を受賞しました。
	「ネットランナー」のベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。

■ いろいろ (2009.07.01) (various)

■ いろいろ (2009.06.28) (various)

2009.06.26 追記:

■ ウイルス検索エンジン VSAPI 8.950 (ビルド1094) Windows NTKD版公開のお知らせ (トレンドマイクロ, 2009.06.24)

■ APSB09-08: Security Update available for Shockwave Player (Adobe, 2009.06.23)

■ Microsoft Security Essentials Beta (Microsoft, 2009.06.23)

2009.06.25 追記:

2009.06.26 追記:

■ ESET Smart Security のパーソナルファイアウォール機能バージョン1047(20090525)の通信障害について (キヤノン IT ソリューションズ, 2009.06.23)

2009.06.24 追記:

■ Stable, Beta update: Security fix (Google Chrome Release blog, 2009.06.22)

■ Thunderbird 2.0.0.22 リリースノート (mozilla.jp, 2009.06.23)

■ [SA35515] LibTIFF "LZWDecodeCompat()" Buffer Underflow Vulnerability (Secunia, 2009.06.23)

■ [SA35521] SSVNC OpenSSL Multiple Vulnerabilities (Secunia, 2009.06.23)

■ VU#251793: Foxit Reader contains multiple vulnerabilities in the processing of JPX data (US-CERT, 2009.06.19)

■ Slowloris HTTP DoS (ha.ckers.org, 2009.06.17)

2009.06.21 追記:

2009.06.24 追記:

■ 標的型メール攻撃の“予防接種”、半数が感染するも学習効果あり (Internet Watch, 2009.06.19)

■ McAfee Agent(Common Management Agent)で発見されたActiveXの脆弱性について (マカフィー, 2009.06.18)

■ About the security content of iPhone OS 3.0 Software Update (Apple, 2009.06.17)

2009.06.19 追記:

■ URL shortening service compromised (viruslist.com, 2009.06.16)

■ 7月は「Twitterバグ月間」、Web 2.0の安全を考えるきっかけに (ITmedia, 2009.06.16)

■ Exploiting TCP and the Persist Timer Infinitenes (Phrack.org, 2009.06.11)

■ SHA-1の脆弱性が更に進む (yebo blog, 2009.06.12)

■ Buggy 'smart meters' open door to power-grid botnet: Grid-burrowing worm only the beginning (The Register, 2009.06.12)

■ マイクロソフト セキュリティ アドバイザリ (971888) DNS デボルブ用の更新プログラム (Microsoft, 2009.06.10)

■ マイクロソフト セキュリティ アドバイザリ (969898) ActiveX の Kill Bit 更新プログラムのロールアップ (Microsoft, 2009.06.10)

■ 研究者がマイクロソフトの無線キーボードのキーボードスニファーをデモ (ZDNet, 2009.06.16)

■ Microsoft 2009 年 6 月のセキュリティ情報 (Microsoft, 2009.06.10)

■ 英ISPのVAserv、zero-day攻撃を受ける。脆弱性を突かれたソフトウェアの会社社長は自殺 (slashdot.jp, 2009.06.12)

■ いろいろ (2009.06.12) (various)

■ Firefox 3.0.11 リリースノート (mozilla.jp, 2009.06.12)

■ Microsoft、無料セキュリティサービスを間もなくβ公開 (ITmedia, 2009.06.11)

■ Java SE 6 Update Release Notes: Changes in 1.6.0_14 (6u14) (Sun, 2009.05.29)

■ Google Chrome Stable update: 2 WebKit security fixes (Google Chrome Releases, 2009.06.09)

■ APSB09-07: Security Updates available for Adobe Reader and Acrobat (Adobe, 2009.06.09)

2009.06.19 追記:

■ About the security content of Safari 4.0 (Apple, 2009.06.09)

2009.06.10 追記:

■ いろいろ (2009.06.05) (various)

■ Adobe Security Bulletin Advance Notification (Adobe Product Security Incident Response Team (PSIRT), 2009.06.04)

2009.06.10 追記:

■ W32/Generic.worm.aaの誤認について (マカフィー, 2009.06.05)

2009.06.11 追記:

2009.06.12 追記:

■ マイクロソフト セキュリティ情報の事前通知 - 2009 年 6 月 (Microsoft, 2009.06.05)

■ いろいろ (2009.06.04) (various)

2009.07.01 追記:

■ QuickTime 7.6.2 & iTunes 8.2 (Apple, 2009.06.02)

2009.06.04 追記:

■ いろいろ (2009.07.01)
(various)

■ いろいろ (2009.06.28)
(various)

■ ウイルス検索エンジン VSAPI 8.950 (ビルド1094) Windows NTKD版公開のお知らせ
(トレンドマイクロ, 2009.06.24)

■ APSB09-08: Security Update available for Shockwave Player
(Adobe, 2009.06.23)

■ Microsoft Security Essentials Beta
(Microsoft, 2009.06.23)

■ ESET Smart Security のパーソナルファイアウォール機能バージョン1047(20090525)の通信障害について
(キヤノン IT ソリューションズ, 2009.06.23)

■ Stable, Beta update: Security fix
(Google Chrome Release blog, 2009.06.22)

■ Thunderbird 2.0.0.22 リリースノート
(mozilla.jp, 2009.06.23)

■ [SA35515] LibTIFF "LZWDecodeCompat()" Buffer Underflow Vulnerability
(Secunia, 2009.06.23)

■ [SA35521] SSVNC OpenSSL Multiple Vulnerabilities
(Secunia, 2009.06.23)

■ VU#251793: Foxit Reader contains multiple vulnerabilities in the processing of JPX data
(US-CERT, 2009.06.19)

■ Slowloris HTTP DoS
(ha.ckers.org, 2009.06.17)

■ 標的型メール攻撃の“予防接種”、半数が感染するも学習効果あり
(Internet Watch, 2009.06.19)

■ McAfee Agent(Common Management Agent)で発見されたActiveXの脆弱性について
(マカフィー, 2009.06.18)

■ About the security content of iPhone OS 3.0 Software Update
(Apple, 2009.06.17)

■ URL shortening service compromised
(viruslist.com, 2009.06.16)

■ 7月は「Twitterバグ月間」、Web 2.0の安全を考えるきっかけに
(ITmedia, 2009.06.16)

■ Exploiting TCP and the Persist Timer Infinitenes
(Phrack.org, 2009.06.11)

■ SHA-1の脆弱性が更に進む
(yebo blog, 2009.06.12)

■ Buggy 'smart meters' open door to power-grid botnet: Grid-burrowing worm only the beginning
(The Register, 2009.06.12)

■ マイクロソフトセキュリティアドバイザリ (971888) DNS デボルブ用の更新プログラム
(Microsoft, 2009.06.10)

■ マイクロソフトセキュリティアドバイザリ (969898) ActiveX の Kill Bit 更新プログラムのロールアップ
(Microsoft, 2009.06.10)

■ 研究者がマイクロソフトの無線キーボードのキーボードスニファーをデモ
(ZDNet, 2009.06.16)

■ Microsoft 2009 年 6 月のセキュリティ情報
(Microsoft, 2009.06.10)

■ 英ISPのVAserv、zero-day攻撃を受ける。脆弱性を突かれたソフトウェアの会社社長は自殺
(slashdot.jp, 2009.06.12)

■ いろいろ (2009.06.12)
(various)

■ Firefox 3.0.11 リリースノート
(mozilla.jp, 2009.06.12)

■ Microsoft、無料セキュリティサービスを間もなくβ公開
(ITmedia, 2009.06.11)

■ Java SE 6 Update Release Notes: Changes in 1.6.0_14 (6u14)
(Sun, 2009.05.29)

■ Google Chrome Stable update: 2 WebKit security fixes
(Google Chrome Releases, 2009.06.09)

■ APSB09-07: Security Updates available for Adobe Reader and Acrobat
(Adobe, 2009.06.09)

■ About the security content of Safari 4.0
(Apple, 2009.06.09)

■ いろいろ (2009.06.05)
(various)

■ Adobe Security Bulletin Advance Notification
(Adobe Product Security Incident Response Team (PSIRT), 2009.06.04)

■ W32/Generic.worm.aaの誤認について
(マカフィー, 2009.06.05)

■ マイクロソフトセキュリティ情報の事前通知 - 2009 年 6 月
(Microsoft, 2009.06.05)

■ いろいろ (2009.06.04)
(various)

■ QuickTime 7.6.2 & iTunes 8.2
(Apple, 2009.06.02)