コンピュータ・ネットワークのセキュリティに関する覚え書

最初に言い訳しておくと， 私はセキュリティの専門家ではないですし， その手のウォッチャーでもありません。 このページでは趣味や仕事で使うコンピュータやネットワークのセキュリティについて最低限必要と思われる情報を 「覚え書」 の形で残しておく意図で作成しています。 従って内容に関しては全く保証できませんし， 最新情報を常に追っているわけでもない (つまり網羅的でない) ことをご了解ください。

情報源としては Spiegel's Antenna や Bloglines でリストアップされるサイトを主に利用しています。

ターゲットプラットフォームは当面 Microsoft 製品に限定します。 またアプリケーションは Web ブラウザと電子メールソフトを中心に考えています。 (利用頻度が高く，インシデント発生時のインパクトが大きいため) まぁネットワーク管理関連のドキュメントも集めていたりしますが。

Microsoft TechNet Security より | ウイルス対策 | セキュリティ関連記事 | セキュリティ関連ツール

Microsoft TechNet Security より

パッチ情報については 「MS Windows NT 4.0 / 2000 / XP セキュリティ対応状況」， 「MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況」 がお薦めです。 (英語ですが 「Unpatched IE security holes」 もお薦め)

リリース情報

MS Office のアップデートは「Microsoft Office ダウンロード」から可能。

• Windows XP Service Pack 2 セキュリティ強化機能搭載
  • IT プロフェッショナルおよび開発者用 Windows XP Service Pack 2 ネットワーク インストール パッケージ
  • 835935 - Windows XP Service Pack 2 リリース ノート
  • 互換性情報
• Windows 2000 Service Pack 4 日本語版
• Software Update Services Service Pack 1
• SQL Server 2000 Service Pack 3 日本語版
• Microsoft Data Access Components (MDAC) 2.71 Service Pack 1： インストール時の問題 (IIS との相性等) は依然として残るそうなので適用には注意が必要。
• Microsoft Baseline Security Analyzer V1.2 （日本語版はβ提供）
• Microsoft Office XP Service Pack 3
  • 833845 - Office XP Service Pack 3 (SP3) で修正される SharePoint Team Services の概要

セキュリティ情報

• Internet Explorer 用の累積的なセキュリティ更新プログラム (834707) (MS04-038)
• Windows シェルの脆弱性により、リモートでコードが実行される (841356) (MS04-037)
• NNTP の脆弱性により、コードが実行される (883935) (MS04-036)
• SMTP の脆弱性により、リモートでコードが実行される (885881) (MS04-035)
• 圧縮 (zip 形式) フォルダの脆弱性により、コードが実行される (873376) (MS04-034)
• Microsoft Excel の脆弱性により、コードが実行される (886836) (MS04-033)
• Microsoft Windows のセキュリティ更新プログラム (840987) (MS04-032)
• NetDDE の脆弱性により、コードが実行される (841533) (MS04-031)
• WebDAV XML Message ハンドラの脆弱性によりサービス拒否が起こる (824151) (MS04-030)
• RPC ランタイム ライブラリの脆弱性により、情報漏えいおよびサービス拒否が起こる (873350) (MS04-029)
• JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987) (MS04-028)
• WordPerfect コンバータの脆弱性により、コードが実行される (884933) (MS04-027)
• Exchange Server 5.5 Outlook Web Access の脆弱性により、クロスサイト スクリプティングと詐称による攻撃が実行される (842436) (MS04-026)
• Internet Explorer 用の累積的なセキュリティ更新プログラム (867801) (MS04-025)
• Windows シェルの脆弱性により、リモートでコードが実行される (839645) (MS04-024)
• HTML ヘルプの脆弱性により、コードが実行される (840315) (MS04-023)
• タスク スケジューラの脆弱性により、コードが実行される (841873) (MS04-022)
• Internet Information Server 4.0 のセキュリティ更新プログラム(841373) (MS04-021)
• POSIX の脆弱性により、コードが実行される (841872) (MS04-020)
• ユーティリティ マネージャの脆弱性により、コードが実行される (842526) (MS04-019)
• Outlook Express 用の累積的なセキュリティ更新プログラム (823353) (MS04-018)
• Crystal Reports Web Viewer の脆弱性により、情報の漏えいおよびサービス拒否が起こる (842689) (MS04-017)
• DirectPlay の脆弱性により、サービス拒否が起こる (839643) (MS04-016)
• 「ヘルプとサポート センター」の脆弱性により、リモートでコードが実行される (840374) (MS04-015)
• Microsoft Jet データベース エンジンの脆弱性によりコードが実行される (837001) (MS04-014)
• Outlook Express 用の累積的な修正プログラム (837009) (MS04-013)
• Microsoft RPC/DCOM 用の累積的な修正プログラム (828741) (MS04-012)
• Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
• MSN Messenger の脆弱性により、情報が漏えいする (838512) (MS04-010)
• Outlook の脆弱性により、コードが実行される (828040) (MS04-009)
• Windows Media サービスの脆弱性により、サービス拒否が起こる (832359) (MS04-008)
• ASN .1 の脆弱性により、コードが実行される (828028) (MS04-007)
• Windows インターネット ネーム サービス (WINS) の脆弱性により、コードが実行される (830352) (MS04-006)
• Virtual PC for Mac の脆弱性により、権限が昇格する (835150) (MS04-005)
• Internet Explorer 用の累積的なセキュリティ修正プログラム (832894) (MS04-004)
• MDAC 機能のバッファ オーバーランにより、コードが実行される (832483) (MS04-003)
• Exchange Server 2003 の脆弱性により、権限が昇格する (832759) (MS04-002)
• Microsoft Internet Security and Acceleration Server 2000 H.323 フィルタの脆弱性により、リモートでコードが実行される (816458) (MS04-001)

更新された過去の情報です。

• Microsoft FrontPage Server Extensions のバッファ オーバーランにより、コードが実行される (813360) (MS03-051)
• Microsoft Word および Microsoft Excel の脆弱性により、任意のコードが実行される (831527) (MS03-050)
• Workstation サービスのバッファ オーバーランにより、コードが実行される (828749) (MS03-049)
• リストボックスおよびコンボボックスのコントロールのバッファオーバーランにより、コードが実行される (824141) (MS03-045)
• メッセンジャ サービスのバッファ オーバーランにより、コードが実行される (828035) (MS03-043)
• Windows Media サービスの ISAPI エクステンションの問題により、コードが実行される (822343) (MS03-022)
• FrontPage Server Extension のサブコンポーネントが未チェックのバッファを含む (MS01-035)

Microsoft 製品の技術情報 (上記以外)

• パスフレーズ vs. パスワード Part 1
• 887459 - ASP.NET の正規化の問題をプログラムによって確認する方法
• 835322 - グローバルに提供される side-by-side アセンブリを適用しないアプリケーションは、マイクロソフトのソフトウェア更新プログラムで修正される問題に対して脆弱になる可能性がある
• 834374 - Windows Update でエラーが発生した場合のエラー番号について
• 834367 - ハイパー スレッディング対応マシンにて修正プログラムをアンインストールすると発生する問題
• 832017 - Microsoft Windows サーバー システムのポート要件
• 831167 - Wininet により空白のヘッダーのみの POST 要求が再送される
• 829786 - Windows Update Web サイトから Windows XP の更新をインストールすると、エラーメッセージが表示される
• 813926 - Windows XP SP1 と Windows XP SP1a の相違点
• 296861 - 複数の Windows Update または修正プログラムを同時にインストールし、再起動を 1 回で済ませる方法

← 2003年

ウイルス対策

• 新種ワーム「W32/Sasser」に関する情報 （IPA/ISEC）
• 「W32/Netsky」ウイルスの亜種 （Netsky.Q） に関する情報 （IPA/ISEC）
• ソースコード探しに火をつけた、NetSkyの新亜種登場
• 「W32/Netsky」ウイルスの亜種に関する情報 (IPA/ISEC)
• 「W32/Bagle」ウイルスの亜種に関する情報 (IPA/ISEC)
• 警察庁、TCP445番ポートへのトラフィック増加で注意呼びかけ
• 日本のWebサーバーをハッキングするウイルス「Welchia.B」が登場 ～12日には、国内の大手ECサイトが感染
• 「W32/Mydoom」（別名：Novarg）ウイルスに関する情報 (IPA/ISEC)
• 「W32/Bagle」ウイルスに関する情報 (IPA/ISEC)

コンピュータウイルス・不正アクセスの届出状況 (IPA/ISEC)

• ソフトウエア等の脆弱性関連情報に関する届出状況[2004年第3四半期（7月～9月）]
  • IPAの脆弱性届出制度、Webサイト運営者への認知拡大が課題
• ウイルス・不正アクセス届出状況(10月分)
• ウイルス・不正アクセス届出状況(9月分および第3四半期)
• ウイルス・不正アクセス届出状況(8月分)
• ウイルス・不正アクセス届出状況(7月分)
• ウイルス・不正アクセス届出状況(6月分及び2004年上半期分)
• ウイルス・不正アクセス届出状況(5月分)
• ウイルス・不正アクセス届出状況(4月分)
• ウイルス・不正アクセス届出状況(3月分及び2004年第1四半期分)
• ウイルス・不正アクセス届出状況(2月分)
• ウイルス・不正アクセス届出状況(1月分)
• ウイルス・不正アクセス届出状況(12月分)

← 2003年

セキュリティ関連記事

PKI 入門

Net Security による特集記事。

• PKI入門（１）　PKI概要　暗号、証明書
• PKI入門（２）　認証 - ユーザ認証　普及の本質（銀行のキャッシュカードなみ普及のためには）
• PKI入門（３）　普段つかっているPKIアプリケーションは、SSL
• PKI入門（４）何故、PKIなのか。ID、パスワードのいらない認証として
• PKI入門（６）　PKIの証明書の格納場所はどこか？
• PKI入門（７）　組織へのPKIの導入のメリットは、どこにあるのか？

「Crypto-Gram日本語訳」バックナンバー

一部の記事が日本語化されています。 お薦め。

その他の記事

• MS、月例アップデートの概要を事前公開へ
• 米大統領選：電子投票機のトラブル報告、相次ぐ
• まだあった、電子投票のダメなところ
• マイクロソフト、偽称テクニックを脆弱性とするセキュリティ専門家に反論
• 第2四半期、最も多かったハッカー攻撃はIEの脆弱性を利用したもの--英調査
• IE 6に新たなバッファオーバーフロー、パッチは未公開、実証コードは公に
• インターネットに災禍をもたらすスパイウェア
• セキュリティ欠陥の代価はベンダーに払わせろ
• 警察庁伊貝氏「警察にも情報セキュリティに強い連中がいる」
• Windosw vs Linux：セキュリティに関する真実
• ソフトバンクBBと日本テレコムに個人情報の取り扱いについて行政指導
• 米大統領戦で問われる電子投票マシンの実力
• IEのステータス・バーを偽装する手法が複数公開される
• ATMやPOSでもウイルス被害増加〜トレンドマイクロ、対策機器発表
• @nifty、「常時安全 セキュリティ24」を11月1日より提供
• 中央共同募金会を騙って新潟中越地震の義援金を呼びかけるメールに注意
• Google、Gmailアカウント乗っ取りの脆弱性を修復
• よくできた詐欺メール
• 現実の犯罪行為に結び付いた不正アクセスが増加――シュナイアー氏が指摘
• 社会的責任として情報セキュリティ対策を
• 技術屋の論争術は法廷で通用するか？
• 「そんなものを着るより裸のほうがまし」
• 偽のデータを表示してセキュリティを高めるサーバー・ソフトを販売へ
• GPS搭載ランドセルが登場
• セキュリティ対策はIT部門から経営者層の課題へ
• New URL spoofing bug in Microsoft Internet Explorer
• 米MSがSender IDの新版をIETFへ提出，「下位互換性を明確にした」
• Windows版QuickTimeとRealPlayerに深刻な脆弱性
• 米連邦地裁、フロリダ州電子投票に印刷記録の義務なしと判断
• PuTTY SSH2_MSG_DEBUG Buffer Overflow Vulnerability
• 米RealNetworks、コード実行の脆弱性を修正する「RealPlayer」の最新版を公開
• ジャパンネット銀行を騙ってパスワードや暗証番号を聞きだす電話が発生
• ニセ Red Hat セキュリティ情報
• ノキア、RFIDチップ搭載の携帯電話機を開発中
• 「プロバイダ責任制限法　名誉毀損・プライバシー関係ガイドライン」の一部改訂 -法務省人権擁護機関からの情報削除依頼対応プロセスの明確化-
• J2MEに脆弱性。携帯電話のJavaアプリに影響
• BIND query大量送信によるTCP SYN_SENT状態遷移時の サーバリソース消費に関する問題の分析結果 (PDF)
• 米政府、無線IDタグつきのパスポート発行を計画
• 各種メッセンジャーと互換性のあるメッセンジャー「Gaim」が脆弱性を修正
• IP電話にも通話を暗号化する機能を標準装備～ナカヨ通信機
• 個人情報保護がバックアップ監査を強制する
• 急増する“ゾンビ”でフィッシングが加速する懸念～シマンテックが報告
• ACCS裁判を追う - 元研究員「HTMLソースの改変は通常の閲覧の範囲」
• パッチをフル適用したIE 6.0で任意のスクリプトを実行される脆弱性
• Mozilla、Operaなど多くのブラウザにダイアログボックス偽装の脆弱性
• 日米間でICタグ情報ネット流通実験
• グーグルのデスクトップ検索に個人情報流出の懸念
• Google、最初の指摘から2年後にクロスサイトスクリプティング脆弱性を修復
• クレジットカード不正使用防止となるか--イーセキュリティの新ソリューション
• 携帯電話で「顔」認証、2004年中に実用化へ
• ネット・ビジネスの新たな脅威「クリック詐欺」
• ドコモの携帯電話で誤接続の可能性
• GMailがDomainKeysによる電子署名を開始
• 松下、非接触IC搭載のSDメモリーカード「smartSD」開発
• 「欧州で流行する“サイバー恐喝”，国内でもDoS対策は不可欠」――米Top LayerのCEO
• 公衆無線LANサービスをビジネスで安全に使うには
• 日経コンピュータは天然なのか病気なのか
• 職場でIM利用は約半数、セキュリティと生産性に不安
• 対テロ戦争で勝利の鍵を握るのは数学者？
• パソコンに保存した大切なデータの漏洩防止に役立つソフト「FileCapsule」
• 偽造者を追跡 プリンタの印刷物解析技術がセキュリティを高める
• Adobe Acrobat／Readerに脆弱性
• 米で人体へのRFIDチップ埋め込みが承認に
• アクセシビリティとセキュリティのリーダーを大学から - 広島大とMSが協業
• 「チャットルームの監視システム」研究を推進する米政府
• 素人がやってはいけないセキュリティの「大発明」
• フィッシングではない新手法の詐欺サイトが増加中
• MSN Messengerにログイン障害--ウイルスの仕業か
• MS Wordに危険なセキュリティ・ホール，信頼できないファイルは開かない
• 電子コード・RFIDが郵便サービスと融合～デビッドポストカードとは
• テロ対策用巨大データベース網、米国で構築か
• バージニア州、運転免許証への無線タグ組み込みを検討
• OfficeやWordにバッファオーバーフローの高危険度な脆弱性
• SSLを監視する技術をインテリジェント ウェイブと共同開発（イーディーコントライブ）
• 米下院、スパイウェア対策法案を可決
• 物理乱数生成USBモジュールが登場
• 報告された Microsoft ASP.NET の脆弱性に関する情報
  • 887459 - ASP.NET の正規化の問題をプログラムによって確認する方法
• The Rose Fragmentation Attack / New Dawn Fragmentation Attack
  • from セキュリティホール memo
• Firefox の重要なセキュリティアップデートを公開
• 自動車の制限速度無視を監視するロボットシステム
• 米政府、運転免許証のセキュリティ対策に助成金
• 「ウォー・ドライビング」にCan-Spam法に基づく初の有罪判決
• 米標準技術局、携帯端末を使った犯罪用の対策レポート発表
• 米RealNetworks、RealPlayerで最新版以外に任意のコードが実行される脆弱性
• 脆弱性がある“GDI+”コンポーネントを検索して最新版に置換「UpdateGDI+」
• 暗号化標準「DES」の引退
• スパムやエラーメールがこの夏10倍に、業界全体での取り組みが急務～IIJ
• 「プライバシー晒しまくり」のトロイの木馬が残した教訓
• メールやP2Pソフトを通じて感染するウイルス「Beagle.AR」が流行の兆し
• Windows XPに「勝手にパスワード情報を送信する危険性」が見つかる
• 市民の監視が拡大？ 国内の地理情報収集を強化する米政府
• 住基カード偽造を初摘発
• フロントライン、バックアップ・暗号化ソフト2製品を発売
• スクリプトが実行される「Google ツールバー」の脆弱性はv2.0.114.5で修正済み
• 東京三菱銀行、手のひら静脈認証に対応したキャッシュカード
• アイルランド、モデムハイジャック防止で13地域との通話をブロック
• マイクロソフト：「安全なIEは、XPへの有料アップグレードで」
• 誰も止めようとしない 家畜用ICタグの小学生への適用
• 「Apache」v2.0.51にWebページのアクセス制限を回避される脆弱性が発見
• 「Google Toolbar」に任意のスクリプトが実行可能な脆弱性
• IEやMozillaなどに悪意あるCookieでセッションIDが乗っ取られる脆弱性
• MSの事前通知プログラムはセキュリティ問題を起こす？
• 総務省が“タイムビジネス”で指針案，文書の存在時間などを証明
• 総務省、時刻配信・認証ビジネスに関する指針案のパブリックコメントを募集
• 不当請求に小額訴訟や支払督促などの新たな手口～裁判所を騙るケースも
• ハードディスクレコーダーからのコメントスパム攻撃 (from セキュリティホール memo)
• 日立、ミューチップを利用したRFIDタグを開発
• ようこそRFIDランドへ--テーマパークでも採用広がる
• スパイウェアやアドウェアを検知・駆除できるソフト「Ad-Aware SE」が公開
• コクヨ、データを暗号化しパスワードを設定できるCD-Rを発売
• ポルノサイト遮断義務付けの州法に違憲判決
• おサイフケータイのシリアル番号？
• RFIDでプライバシーの心配は無用？
• 電子メールIDを使って偽装するスパマー--米調査で明らかに
• [SA12435] LHA Multiple Vulnerabilities（参考： セキュリティホール memo）
• USBキーによる暗号化ネットワークドライブ「MyDearDrive Pro」
• Microsoft Internet Explorer Drag and Drop Vulnerability（参考： セキュリティホール memo）
• WinZipに複数の脆弱性、SR-1へのアップグレードを (WinZip 9.0 Service Release 1 (SR-1))
• NIST Brief Comments on Recent Cryptanalytic Attacks on Secure Hashing Functions and the Continued Security Provided by SHA-1 (PDF)
• 全方位的ウイルス対策のすすめ
• 「電子タグに関するプライバシー保護ガイドライン（案）」に対する意見 (SecurIT)
• Kerberosに重大な欠陥--ネットワーク認証に影響も （「セキュリティホールmemo」の記事も参考になる）
• 管理者には朗報？　SoftEther監視・遮断ソフトを無償配布
• 「Winamp」のスキンファイルに任意のコードが実行される脆弱性
• Outlook Expressに「BCC」のアドレスを表示してしまう不具合
• アテネの裏で行われた暗号解読をめぐる死闘――「SuperCon2004」開催
• 情報漏えいに備えるセキュリティ投資の目安
• 日立、楕円曲線暗号向けの高速／省メモリな計算手法を開発
• IEにまたもやURLを偽装できる脆弱性が発見される
• NTT-AT、高速PLCの漏洩電界を数百分の一まで低減する実証実験
• IEに外部からローカルシステムへアクセスされてしまう危険な脆弱性
• オラクルも月例パッチ制導入を表明
• 「Opera」にファイルの存在を確認される脆弱性～最新版7.54で修正済み
• Adobe Readerに任意のコードを実行可能な脆弱性が発見される
• ブルートゥースの脆弱性、携帯電話に予想以上のリスク
• オープンループ、MIKEY実装暗号エンジンを開発・販売
• 携帯電話を狙うトロイの木馬--ゲームに潜んで有料ダイヤルへメッセージ送信
• 電力重要インフラ防護演習に関する調査 （IPA/ISEC）
  • IPA、電力インフラに対するサイバー攻撃に関する調査報告書を公開
• セキュリティ・ホールを修正した「Opera」の最新版がリリース （Opera 7.54）
• [Full-Disclosure] 2004-08-03 SECURITY HOLE, fixed in PuTTY 0.55
• DNSのハッキング手法が発表に――セキュリティ専門家が警告
• libpng に複数の脆弱性
• 多くの解凍ソフトに指定外の場所へファイルが解凍されてしまう脆弱性が存在
• 米NIST，暗号アルゴリズム「DES」を米政府標準暗号から取り下げることを提案
• 「RFIDタグはハッカーの格好のターゲットになる」--独のセキュリティ専門家が指摘
• メール暗号化製品Voltage SecureMail日本語版を発売（三井物産）
• 過去の小さな汚点さえ消えない個人情報データベースの普及で就職難に
• RFIDでコンテナ認識率99.9％以上を達成～NTTコムウェアらの実証実験
• FTC報告「スパム拒否リストは効果なし」
• 「技術はグローバルに、適用はローカルに」--東大 坂村教授、RFIDについて語る
• 携帯電話でのSSL暗号通信の実現法と注意点は？
• 総務省と経産省、共同でRFIDのプライバシー保護ガイドラインを公表
• ファイルを暗号化し、自動消滅させる「Essential Security Suite」
• IE6に任意のコードが実行可能な脆弱性、すでに悪用法が公開されている
• DDoS攻撃や未知のウイルスに備えるセキュリティ技術
• Operaにアドレスバーを偽装できる脆弱性、最新版の7.51で修正済み
• 日本テレコム、PKI認証サービス「PKIプラットフォーム」開始
• NTT Comの大規模通信障害が11時間ぶりに完全復旧 ～原因は変圧分電盤の故障か
• 意外と大変？ インターネット電話の盗聴対策 暗号化に伴う遅延をどう解決するか
• イラク刑務所虐待事件――米軍、兵士のデジタルカメラなどの使用を制限へ
• 海賊行為防止法、米上院で来週可決か--審議の早さに不安の声も
• RSA、Windowsログイン時向けのワンタイムパスワードサービス
• CVSとSubversionに重大な脆弱性
• EU、量子暗号の通信システムで米のEchelonに対抗へ
• HijackThis、Spybot、CWShredderなどがダウンロードできない、動かない (アダルトサイト被害対策の部屋)
• Operaブラウザにアドレス・バーを偽装できるセキュリティ・ホール
• Outlook ExpressやEudoraなどにステータス・バーを偽装できるセキュリティ・ホール
• 暗号通信傍受を禁止する改正電波法が成立
• GMO、データの暗号化で情報漏洩を防ぐホスティングサービス
• 急増する「フィッシング」メール詐欺、被害額は12億ドル
• ブラウザーを乗っ取ってポルノをばらまく悪質なスパイウェア
• スパイウェアの被害、急速に拡大
• 社会への浸透進む「個人情報データベース」
• 産総研、世界最速の光ファイバー量子暗号通信に成功
• IEEE 802.11 DSSS 無線機器における DoS の脆弱性 (JPCERT/CC)
  • JPCERT/CC、無線LAN機器で妨害電波の影響を受ける脆弱性を公表
• ZoneAlerm日本語版を、今の時期に無償配布するビジネスモデルとは？
• 暗唱番号やパスワードは不要：電話上の声紋で本人確認
• 「CRYPTREC Report 2003 暗号技術監視委員会報告書」の公開
• 【注意喚起】Microsoft SSL ライブラリの脆弱性について (IPA/ISEC)
• Gmailへの反発やまず--カリフォルニア州では規制法案提出
• RSA-576素因数分解コンテストで数学者のグループが解答を出す
• グーグルのフィルタリング技術に「勇み足」の苦情
• ネットの「救世主」、真相を語る--TCP脆弱性の発見者が講演
• JPCERT/CC Alert 2004-04-21(1): TCP プロトコルに潜在する信頼性の問題 （JCERT/CC）
  • JVNTA04-111A: TCP にサービス運用妨害を伴う脆弱性 （JVN）
• 「携帯電話Java環境におけるセキュリティ技術に関する調査」報告書の公開
• 「定量的セキュリティ測定手法および支援ツールの開発」報告書およびツールの公開
• ネットエージェント，メール・サーバー間の通信を暗号化するソフトを発表
• マイクロソフト、WindowsやIEの脆弱性を狙う手口が公開されていると警告
• 「WindowsのSSLサーバーが狙われる、管理者はすぐに対策を」、英Netcraft
• シスコ、認証プロトコルLEAPの脆弱性を認める--EAP-FASTへの移行を推奨
• Microsoft JVMのサポート、2007年末まで延長
• 緊急に行われるべきアクセス権限の見直し
• オープンソースのセキュアOS「SELinux」とは
• SSL-VPNサービスの提供に乗り出す通信キャリア （個人的には SSL は VPN に向いてないと思う）
• Webサービスのセキュリティ標準が確定--WS-Security発表
• CRLとTAOが統合して「独立行政法人情報通信研究機構」が発足
• 脆弱性発見から対処法公開までのルールを明確化?IPA、研究会報告で提言
• オープンソースの脆弱性データベース「OSVDB」公開
• そのサイトは本物? 偽アドレスバーを使った新手のPhishing詐欺
• およそ8割のユーザーがセキュリティに不安?情報通信総合研究所
• 「セキュアプロトコルに対する攻撃法に関する技術調査」報告書の公開
• 「アクセス制御機構を有するセキュアWebDAVの開発」報告書の公開
• 「セキュリティAPIに関する技術調査」サンプルコード公開
• 暗号技術関連の調査報告 (CRYPTREC)： TAO にも同様の報告書が公開されています。
• ドイツ研究機関と情報処理推進機構（IPA）がセキュリティに関する協力関係を締結
• 旧ソ連のパイプライン事故、原因はCIAのハッキングか
• マイクロソフト、Windows XP SP2 RC1をリリース
• 端末を持ち歩くことの危険を意識せよ！
• 身のまわりのものすべてにRFID：高齢者の行動を終日監視
• 岡村弁護士、「情報漏洩すれば、個人情報保護法とプライバシー権で処罰」
• HotmailとYahoo! Mailにクロスサイトスクリプティングの脆弱性
• 防犯カメラ　都内700台
• ウイルス対策企業、ソフトの性能より売上を優先？
• 電子投票トラブル、集計漏れ6000票余に
• NEC、姿勢／照明の変動に強い顔照合アルゴリズムを開発
• 幼稚なセキュリティ研究者こそがネット社会で最も迷惑な存在
• JPCERT/CC、インシデント情報交換システムの稼動を開始
• SELinuxセキュリティ支援プログラムの開発
• ISPによるセキュリティ対策強化で、顧客にしわ寄せ--責任の所在をめぐる議論も
• 個人情報を盗まれた人たちの不安を被告はわかっていない
• 米内務省サイト、セキュリティー不備で3度目の閉鎖命令を受ける
• 経済産業省、RFIDのプライバシー保護ガイドラインを公表
• Multiple Browser Cookie Path Directory Traversal Vulnerability
• FBI、ネット経由の通信傍受実現を狙う--FCCに提案書を提出
• Passportがあやしい?--MSN MessengerとHotmailに不具合
• 総務省、放送・電気通信業界に対し個人情報保護の徹底を要請
• DCOMやSMBだけじゃなかった Windowsの危険な“仕様”が明らかに （閲覧には会員登録が必要）
• 「個人の身辺調査を手軽に実行」ソフトに、プライバシー侵害の懸念
• ACCSの個人情報への不正アクセスで新たに2人が書類送検
• ジャパネットたかた、顧客情報漏洩?流出ルート、件数は確定せず
• Windows XP SP2に「アプリケーションに障害を起こす恐れ」
• 【速報】2038年問題のチェック漏れで、KDDIが誤請求
• Adobe Acrobat Reader 5.1にセキュリティ・ホール，任意のプログラムを実行させられる （Adobe Reader 6.0 では問題ない）
• IPA、2月度のウイルス・不正アクセス届出数を発表～Mydoomが約3分の1
• Liti、洋服に合ったアクセサリーを表示するRFID対応の試着室をデモ
• 凸版印刷、RFIDが読み込めるPHS端末「UC-Phone」を展示
• 中央省庁システムに「重大な危険」９カ所　弱点は１５３
• 個人情報の漏えい防止へ、経産省が体制を整備 対処方針のガイドラインも
• 電子投票システム、大統領予備選挙でも多数のトラブル発生
• スーパー・チューズデーを無難に乗り切った電子投票システム
• 迷惑メールの3割が、「乗っ取られたマシン」から送信
• 抗議運動を受けて、ドイツの大手小売業者が『RFID』利用を一部中止
• 量子鍵暗号技術を活用した世界初のVPN用装置、日商エレが国内販売
• 「導入費用が5分の1に」--三菱電機、情報漏えい防止ソリューションを発売
• 日立、指をかざすだけの開放型指静脈パターン認証技術を開発
• RFID普及への課題はプライバシー保護とメリットの提示～情報通信総研
• 長野県、住基ネット脆弱性調査の最終結果を公開
• IE 6 SP1に突然シャットダウンするなど複数の不具合
• 「Winnyが解読できるのは分かっていた」　～ネットエージェント社長
• 「市販品より高精度」を謳う、オープンソースのスパムフィルター登場
• Windows XPにファイル閲覧やDoSを引き起こせるパッチ未提供の脆弱性
• ユーザーを悩ますID認識情報盗難の心配：RSA調査
• セキュリティ対策は多少容易になったか？--RSAカンファレンスのパネルディスカッション
• カリフォルニア州でRFIDめぐるプライバシー保護法案
• マイクロソフト、日本語で受け付ける「脆弱性報告窓口」開設
• NEC、放置自転車対策にRFIDを利用した駐輪場管理システム
• IEに任意のコードを実行可能なパッチ未公開の脆弱性 ～exploitコードもネット上で公開済み
• 証拠隠滅--P2Pでの匿名性を保ち続けられるか?
• RSA、RFID情報の遮断技術を発表
• Yahoo! JAPAN、迷惑メールへの対処法を紹介するサイトを開設
• 義理人情が開けるセキュリティ・ホール
• アクセス制限付きOffice文書閲覧用のIEアドオン
• ＩＣタグ利用指針、総務省が発表　暗号技術開発に本腰
• Yahoo! BBの顧客情報流出事件、容疑者は販売代理店の経営者ら
• 消費者金融大手の三洋信販、顧客情報32万人分流出の疑い
• 小学生や園児にまで住所や電話番号を送信させる日本の教育政策
• Microsoftの販促企画に成り下がった「公的個人認証サービス」
• Bluetoothハッキングツール、急速に広まる
• 欧州でパスポートに指紋認証 - ビザ取得で渡航者からも指紋採取へ
• RFID導入で見過ごされるインフラ問題
• 相次ぐ脆弱性で問われる「Linuxは安全」論
• 経産省と総務省がRFIDのプライバシー対策指針を策定
• マイクロソフト、セキュリティアップデートCDを無料で配布
• 国が“善玉ハッカー”指針、京大研究員逮捕で禁止法のグレー浮き彫りに
• 米企業356社の9割がスパムをセキュリティの脅威と認識～米NAI調査
• ユーザー1人に複数の担当者を割り当てられる法人向けメール監査サービス
• 漏えいしたWindowsのソースコードから早くもIE 5の脆弱性が発見される～リモートから任意のコードを実行可能。IE 6は影響なし
• AIMユーザーをスパマーに変えるスパイウェア
• Opera 7シリーズにファイル名を偽装できる脆弱性
• 欠陥修正に200日もかかるか--マイクロソフトの対応をめぐって賛否両論
• 非難を浴びるスパイウェア対策ソフトメーカー--強引なやり口が問題に
• 京セラのau携帯電話機A5502Kに不具合、ソフト更新が必要
• Windows NT 4.0/2000のソースコードの一部がインターネット上に流出
• SourceForge.jp、Webサーバーをクラックされたことを公表
• 読売テレビ、イベント当選者のアドレスをメールのCCに入力して流出
• 独フランクフルト空港にアイリス認証システムを納入 （沖電気）
• 大日本印刷、ICタグ利用の物品管理システム構築キットを発売
• 米国防総省、国外在住者向け電子投票システムの導入を断念
• 「なりすまし」が高度化--ポップアップを利用した新手の詐欺に注意
• 中国政府、RFIDの標準化作業部会を設立
• IPアドレス照合によるセッションハイジャック防止とプライバシー
• IPA、1月度のウイルス・不正アクセス届出数を発表～Mydoomが1位
• NAC、1月度のウイルス届出状況を発表～Mydoomは5日間で456社に感染
• RealPlayerに欠陥--PCがハイジャックされるおそれあり
• 「観ているつもりが見られてた」--TiVoユーザーに拡がるプライバシーの不安
• スパイウェア対策ソフトが引き起こす迷惑ソフト問題
• 実は二重スパイだった--「スパイウェア対策ソフト」を装う悪質なプログラム
• 「このままでは日本のインターネットは崩壊する」，IIJの鈴木社長が総務省研究会で警鐘
• IE 6の最新パッチにトラブル，記憶させたパスワードが表示されなくな
• 混同して語られ続ける、プライバシー問題の6種類の原因要素 （この日の記事は全て参考になりますが，特にお薦め）
• SCOサイト、MyDoom感染PCの一斉攻撃でダウン
• 人の感情や能力を常時監視するシステム
• 公的個人認証申し込み体験レポート～足立区の場合
• RFIDによるレジ一括精算、実用化のネックはポテトチップス
• b.root-servers.net の IP アドレス変更について
• ビックカメラ、公的個人認証サービスの体験コーナーを開設
• 迷惑メールの送信元ISPを調査・公表するプロジェクト「SPAM WATCH」
• 報道発表 通信総合研究所情報セキュリティセンターの設置について
• 日立、ドイツの研究機関とPKI認証技術を共同研究
• セキュリティ専門家が電子投票システムに「ダメ出し」
• 食品物流RFIDタグ実証実験は順調　NTTデータらが結果を公表
• マルエツでのRFID実験、タグの一括読み取りなどに課題
• 「企業秘密」めぐるDeCSS訴訟、ハリウッド側が取り下げ
• 経済産業省、RFIDのプライバシー保護ガイドライン案を公表
• いまの無線LANアクセス・ポイントがダメな理由
• 巧妙化するオンライン詐欺--トロイの木馬・ウイルス・フィッシングの「合わせ技」で
• 総務省、迷惑メールの自衛を呼びかけ
• 2004年展望――昨年のセキュリティ問題が拡大する
• 債権回収会社を詐称している等との情報の提供があった業者名の例　一覧
• 米VeriSign、EPCglobalが推進するRFIDの“ルートサーバー”を運用
• ニフティ、ベイズ理論を応用した迷惑メール対策フィルターを提供開始
• 米マイクロソフト、小売業界向けのRFIDプロジェクトを立ち上げ
• 京急ストアなどでICタグの実証実験～野菜の生産履歴などを確認
• SoftEtherのコンポーネント「仮想 HUB」に深刻な不具合～最新版で修正

← 2003年 （ニュース）

← 2003年 （技術ドキュメント）

セキュリティ関連ツール

• Microsoft PortReporter TCP/UDPポートの利用履歴作成ツール
• Osirisk: ファイルシステム整合性チェックツール。「整合性チェックツール Osiris を使う」が参考になる。
• Project RainbowCrack: Windows 用パスワードクラッカ
• Spybot - Search & Destroy
• Sygate Personal Firewall
• fsum - File Integrity Checker: MD2, MD5, SHA-1, SHA-2 (256, 384, 512), RIPEMD-160, PANAMA, TIGER, ADLER32, CRC32 をサポート。
• WinSCP
• SMAC (SpoofMAC)： MAC アドレス変更ツール
• Ad-aware： ZDNet の記事
• 日本 Snort ユーザ会設立のお知らせ

← 2003年