PRiMENON:Weblog: Security アーカイブ

ブチ切れそうな Kuro です(#'-')、今日は情報公開しちゃいまーす(何)。
Myuruca さんの日記で Open Proxy についてあったので私も。
Weblog を運営し始めると逃げられないし防ぎきれなくなってくるのがスパムです。
MT-Blacklist にはいくら .htaccess でブロックしていても色々な IP アドレスから送ってきやがります。
その多くは open proxy と呼ばれる IP アドレスを別の端末のものにして偽装しています。
open proxy は「自分は open proxy サーバを運営している」ことを前提にして運営しているはずですが、中には不正に侵入されて無断で open proxy サーバとして使われている、いわゆるゾンビ PC になっている場合があります。
私は MT-Blacklist のブロックログにある IP アドレスを host に変換して、一体どこからスパムをしてくるのか調べてみました。

すると、日本からスパムをしていることが分かりました。
これは、host の最後に jp が付いているのでわかります。
ここでは実際の host を出させていただく(といっても既に IP ブロックしているので当の本人は見れないが)。

以下にリストアップしたのは、PRiMENON:Weblog にスパムを行った JP ドメインにおける IP アドレスとホストである。
一応、IPアドレスとホストは伏せ字を使っておいた。open proxy になんでこんなことしなきゃならないのか憤りを感じるが。

61.120.95.xxx xxx.kyukof.ed.jp
210.248.183.xxx xxx.hokuriku-it.nict.go.jp
202.215.139.xxx xxx.vectant.ne.jp
210.129.184.xxx xxx.dpr.co.jp
218.47.43.xxx xxx.plala.or.jp
61.7.96.xxx xxx.town.yobuko.saga.jp
61.192.160.xxx xxx.alpha-net.ne.jp
61.23.124.xxx xxx.home.ne.jp
160.252.73.xxx xxx.shinshu-u.ac.jp
211.124.193.xxx xxx.zaq.ne.jp
221.186.122.xxx xxx.anabuki-housing.co.jp
160.252.73.xxx xxx.shinshu-u.ac.jp
61.197.165.xxx xxx.san-works.co.jp
61.7.96.xxx xxx.town.yobuko.saga.jp
219.106.249.xxx xxx.csj.co.jp
220.110.24.xxx xxx.wako.ac.jp
61.11.149.xxx xxx.cna.ne.jp
203.180.100.xxx xxx.iij4u.or.jp
219.163.56.xxx xxx.nishikawaunyukogyo.co.jp
133.146.32.xxx xxx.nissan.co.jp
203.180.100.xxx xxx.iij4u.or.jp
203.165.251.xxx xxx.home.ne.jp
221.114.35.xxx xxx.usen.ad.jp
133.146.32.xxx xxx.nissan.co.jp
202.234.131.xxx xxx.fusione.co.jp
211.126.196.xxx xxx.jyuken.or.jp
61.123.140.xxx xxx.okayamafuso.co.jp
210.172.101.xxx xxx.acrlinx.co.jp
202.248.22.xxx xxx.gsh.co.jp
133.41.129.xxx xxx.hiroshima-u.ac.jp
133.3.135.xxx xxx.kyoto-u.ac.jp
133.41.129.xxx xxx.hiroshima-u.ac.jp
133.3.135.xxx xxx.kyoto-u.ac.jp
133.3.135.xxx xxx.kyoto-u.ac.jp
61.45.42.xxx xxx.wakwak.ne.jp
133.72.85.xxx xxx.kanagawa-u.ac.jp
202.157.56.xxx xxx.kcn-tv.ne.jp
210.175.251.xxx xxx.toneup.co.jp
150.7.208.xxx xxx.u-tokai.ac.jp
219.96.205.xxx xxx.disec.co.jp
210.194.18.xxx xxx.home.ne.jp
220.108.83.xxx xxx.plala.or.jp
222.144.234.xxx xxx.ocn.ne.jp
220.214.83.xxx xxx.dion.ne.jp
210.20.2.xxx xxx.home.ne.jp
210.172.124.xxx xxx.rios.jp

私を含む Weblog ユーザーは本当にうんざりしている!
open proxy を運営しているのであれば迷惑している人がいるということを理解してくれ!
(上記にあげるリストは既に対策を行っているものも含まれる)。

open proxy は port 80 以外のポートを使う場合が多いみたいです。
よく使われる port をアドレスの最後に :8000 といった具合につけて何か反応があるか調べるとわかります。
が、それはかなり面倒なのでかわはらたろうさんが公開されているOPEN-PROXY検査で調べてみましょう。
注意していただきたいのは、この検査はあくまで open proxy を調査するためのものであり、悪用しないように。
といっても特定の port しか調査できませんけど。

上記のリストから例として 210.248.183.xxx(xxx.hokuriku-it.nict.go.jp)でやってみます(←go.jpドメインかよ)。
フォームに IP アドレスを入力して、送信をクリックします。
ここで、port が開いているかどうか調査が開始されます。port が閉じている場合は時間がかかりますが、open proxy の場合はすぐ表示されます。

scanning 210.248.183.xxx:8080
scanning 210.248.183.xxx:3128
scanning 210.248.183.xxx:6588
scanning 210.248.183.xxx:80
CONNECTED
SEND
CLEAR 501
scanning 210.248.183.xxx:81
scanning 210.248.183.xxx:1080
scanning 210.248.183.xxx:8000
scanning 210.248.183.xxx:1959

上記の表示は open proxy として良く使われる port がすべて開いていることを示します。
port 80 は web サーバ用のため、CONNECT できましたが CLEAR されています。
他の port は接続ができたことを示します。

もしも port が閉じている場合は以下のようになります(私の自宅サーバの場合)。

scanning 219.111.7.xxx:8080
TIMEOUT
scanning 219.111.7.xxx:3128
TIMEOUT
scanning 219.111.7.xxx:6588
TIMEOUT
scanning 219.111.7.xxx:80
CONNECTED
SEND
CLEAR 405
scanning 219.111.7.xxx:81
TIMEOUT
scanning 219.111.7.xxx:1080
TIMEOUT
scanning 219.111.7.xxx:8000
TIMEOUT
scanning 219.111.7.xxx:1959
TIMEOUT

TIMEOUT となる場合は接続に失敗したという意味です。open proxy を運営していない場合は普通こうなるはずです。
大学や大手企業からきているので、通報したほうがいいかもしれません。
当方で検討したうえで、対処を決めます。

投稿者 Kuro : 12:24 AM | コメント (2) | トラックバック

April 30, 2005

福岡県筑前町Webサイトが改竄される

zone-h the internet thermometer 曰く、4月29日(米国時間)ごろ、福岡県筑前町の Web サイトが、AodTurus と名乗るグループにより改竄されました。

zone-h.org による改竄された際に保存されたページ(2005年4月27日ごろ保存されたもの)を見ることができます。
同 zone-h.org によれば、OS は Windows 2000 で、 Web Server は Microsoft-IIS/5.0 だったようです。
現在 Web サイトは改竄されたページが削除されており、復旧している模様です。

投稿者 Kuro : 12:19 PM | コメント (0) | トラックバック

April 25, 2005

日野市Webサイトが改竄される

4月22日ごろ、東京都日野市の Web サイトが iskorpitx と名乗るグループにより改竄されたようです。

zone-h.org によるミラーページ(米国時間の2005年4月21日ごろ保存されたもの)から改竄された時のサイトをみることができる。
NETCRAFT でサーバステータスを調べると、OS は Windows 2000 で Web Server は Microsoft-IIS/5.0。
Windows でも Linux でも UNIX でもそうですが、地方自治体のサーバメンテナンスは十二分にしてほしいものです。
なにせ、住民基本台帳ネットワークとやらが動いている自治体もあるわけで。

私のサーバにも、Windows を標的にしたアタックが何度もきています。中国からのゾンビPCからなのか中国からのアタックが多いです。
そろそろ中国の IP アドレスを広域ブロックでもしようかと思い始めてます。

投稿者 Kuro : 10:31 PM | コメント (0) | トラックバック

April 16, 2005

2005年4月のWindowsUpdate

HOTFIX Report BBS を参考に今回の更新の内容をチェック。
HOTFIX Report BBS に関連リンクがあるので是非使わせていただきましょう。

■Windows シェルの脆弱性により、リモートでコードが実行される (893086) (MS05-016)
[HOTFIX report]MS05-016［重要］：Windows シェルの脆弱性により、リモートでコードが実行される
この脆弱性を攻撃する実証コードが公開されているので、早急にアップデートしてください。

■メッセージキューの脆弱性により、コードが実行される (892944) (MS05-017)

■Windows Kernel の脆弱性により、特権の昇格およびサービス拒否がおこる (890859) (MS05-018)
富士通の PREMERGY に適用するとアプリケーションがクラッシュする障害が発生するそうで([富士通]PRIMERGY FT モデル: Windows Updateに関する留意事項)。

■TCP/IP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる (893066) (MS05-019)
この脆弱性は Windows での実装だけでなく、TCP/IP 全般の問題らしい。Windows 以外の Cisco 製品などの TCP/IP 製品に影響があるそうです。
Windows 2000 に適用すると、ネットワークのパフォーマンスが低下するようです。

■Internet Explorer 用の累積的なセキュリティ更新プログラム (890923) (MS05-020)

■Exchange Server の脆弱性により、リモートでコードが実行される (894549) (MS05-021)

■MSN Messenger の脆弱性により、リモートでコードが実行される (896597) (MS05-022)

■Microsoft Security Bulletin MS05-023: Microsoft Word の脆弱性により、リモートでコードが実行される (890169)

今回の更新で、WindowsUpdate での Windows XP SP2 の自動アップデートが行われるようになります。
どうしても SP2 の適用を行いたくない場合の手順が HOTFIX report BBS にあります。

[Microsoft]今後のセキュリティ情報リリーススケジュール
次回は米国日付5月10日(日本日付5月11日)です。

投稿者 Kuro : 10:22 AM | コメント (0) | トラックバック

April 14, 2005

リファラスパム含むスパムの件

plasticdreams で .htaccess が公開されているのを発見。
私が使っている .htaccess よりも無駄がない記述に参考にさせていただきますorz

私が使っている .htaccess はこんななんですが。
一部自分用エラー画面設定は消してありますが、ほとんど同じです。

ところで、.htaccess で指定して deny されるはずのリファラスパムがなぜかまだリファラに記録されるのはなぜなんでしょうか。
.htaccess で指定してある www.fire-fire-fire.com はまだリファラに残っているようで、全く持って腹立たしい。
webalizer に膨大な量のリファラスパムが残って腹立たしいです。

これだけは言える。

スパムは絶対に許さん。

投稿者 Kuro : 11:20 PM | コメント (0) | トラックバック

March 14, 2005

スパムメールをOCN のabuseに通報、返信がきた

Becky!2のメールスパム対策・対処用プラグインBkASPil for Becky!2を使ってます。

このプラグインには「処置依頼支援機能」という機能があります。
ユーザー登録したユーザーのみが使えるもので、スパムメールを大元の管理者へ通報するための機能です。
今年は何か始めてみよう！計画の一環として、1月はじめにユーザー登録してみました。

で、去年の暮れあたりから来るスパムを abuse へ「初」通報してみました。

今回の餌食になったのは、アドレスが delivery@hosyou-b.mine.nu / delivery@hosyou-r01.mine.nu / delivery@hosyou-r02.mine.nu で送ってくるスパム(送り主は違えど内容は同じ)。
天気予報が下のほうについていますが、その日が終わってから天気予報されても無意味なんですが。
通報したスパムメール(ヘッダ付)。
mine.nu ドメインは、DynamicDNS を利用した動的 IP アドレスを利用し Postfix で送信したようです。

ヘッダにある Reveived を見ると、1つ目は OCN 東京丸の内データセンターを経由。
2つ目はプライベート IP アドレスなので無視。
てことで、OCN の abuse@ocn.ad.jp へ通報しました。

12日(土)に出して、14日(月)今日返信が来てました。
内容によれば、どうやら犯人は迷惑メールを複数名義、複数住所の契約で送信しているそうで。
利用停止措置を実施したそうなので、これからスパムは来ることはないでしょう。

今後におきましても、当該の迷惑メール送信者のような悪質なユーザに対しては、
即時に厳しく対処していきたいと思っておりますので、誠にお手数ではございま
すが、受信されましたら弊社までご連絡いただければ幸いでございます。

スパムに対して措置をちゃんとしてもらえるなら、私はスパム行為のない世の中を目指して監視・通報を行う覚悟でございます。
そんな、ホワイトデー。

投稿者 Kuro : 10:27 PM | コメント (0) | トラックバック

March 12, 2005

リファラスパムを正規表現で指定する

前のエントリーでは、以下のような指定をしてリファラスパムを拒否しようとしていました。

SetEnvIf Referer "spamurl¥.com" deny_referer_spam

この指定でも十分対応可能です。
が、アクセス解析で調べてみるとドメイン名が2文字の場合がありました。
リファラスパムの1つで、se.com は上記の指定を使うと非スパムからのアクセス www.websense.com のようなリファラも拒否してしまいます。

これはまずいので、正規表現を調べて編み出した指定法。

SetEnvIf Referer "(¥.|/)se¥.com" deny_referer_spam

上記の正規表現が意味するのは、「se の文字列の前にドット(.)もしくはスラッシュがあり、.com と続く」リファラを拒否します。
サブドメインを無限にとるリファラスパムは、ドメインの後ろに必ずドット(.)があるので拒否。
また、http://se.com の場合もありますが se の後ろにスラッシュがあるのでこれも拒否。
もちろん、http://www.se.com も se の前にドット(.)があるので拒否できます。

拒否できるのは以下のような例です。
http://se.com
http://abcdefghijk.se.com
http://124349241913981.se.com
http://sex-poker-game-credit.se.com

以下のアドレスはスパムを行わない正常なリファラなのでページを表示できます。
http://www.websense.coom
http://websense.com

これで、リファラスパムもざまーみろです(笑)。

以下は、今回追加した拒否ドメインです。

SetEnvIf Referer "(¥.|/)nutzu¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)crescentarian¥.net" deny_referer_spam
SetEnvIf Referer "(¥.|/)highprofitclub¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)doobu¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)rohkalby¥.net" deny_referer_spam
SetEnvIf Referer "(¥.|/)rohkalby¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)sky-dream¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)low-low-rates¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)zalaszentgrot¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)xrl¥.us" deny_referer_spam
SetEnvIf Referer "(¥.|/)gb¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)rulo¥.biz" deny_referer_spam
SetEnvIf Referer "(¥.|/)best-buy-site-4u¥.info" deny_referer_spam
SetEnvIf Referer "(¥.|/)fidelityfunding¥.net" deny_referer_spam
SetEnvIf Referer "(¥.|/)ps2cool¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)tecrep-inc¥.net" deny_referer_spam
SetEnvIf Referer "(¥.|/)cheat-elite¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)houseofsevengables¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)debt-help-bill-consolidation-elimination¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)online-deals-4u¥.info" deny_referer_spam
SetEnvIf Referer "(¥.|/)reachcasino¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)learnhowtoplay¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)911easymoney¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)1a1merchantaccounts¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)se¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)atlanta2000¥.org" deny_referer_spam
SetEnvIf Referer "(¥.|/)devilofnights¥.net" deny_referer_spam
SetEnvIf Referer "(¥.|/)flafeber¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)mortgagequestaz¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)neweighweb¥.net" deny_referer_spam
SetEnvIf Referer "(¥.|/)sportingcolors¥.org" deny_referer_spam
SetEnvIf Referer "(¥.|/)uk¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)musicbox1¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)tclighting¥.org" deny_referer_spam
SetEnvIf Referer "(¥.|/)uk¥.net" deny_referer_spam
SetEnvIf Referer "(¥.|/)hermosa¥.us" deny_referer_spam
SetEnvIf Referer "(¥.|/)mediavisor¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)sedonaretreat¥.org" deny_referer_spam
SetEnvIf Referer "(¥.|/)tv-taro¥.com" deny_referer_spam

投稿者 Kuro : 11:18 PM | コメント (0) | トラックバック

リファラスパムをWebサーバで拒否する

リファラスパム(referer spam)を説明する前に、リファラとはなにかを説明しておかないと気がすまないです(何)。

A という Web サイトを今みていて、その Web サイトにリンクが張られている B という Web サイトがあるとします。
Web ブラウザは B という Web サイトに移動する際に、A という Web サイトのアドレスを記憶して、B という Web サイトの Web サーバ(Apache など)に送ります。これをリファラと呼びます。
B という Web サイトを管理している Web サーバには「A という Web サイトから来たんだなコンチクショ！」というのが分かります。

このリファラは Web ブラウザに標準で装備されているのですが、お店で販売されているいわゆるファイヤーウォールソフト(Norton Internet Security)ではこのリファラを隠蔽するような設定になっています。
そのため、「リファラ情報を出さないとページをみせないぞ！」というルールで Web サイトを運営している場合、ページが表示できなくなるということが発生しました。
※信頼ある Web サイトのみリファラ情報を送る設定にすれば問題なく閲覧できます

それで有名になったサイトといえば、ITmedia の画像が表示されない件ではないでしょうか。
リファラを隠蔽していると、画像が表示されないと思います。

リファラはアクセス解析にも残りますし、一部の日記スクリプト(tDiary？)はリファラ情報を表示している場合があります。
どのサイトから来たかわかるので、面白いです。

リファラのことはこの辺で終わり(なにー)。

問題は、このリファラを悪用してアダルトサイトやポーカーサイトのアドレスに改悪し、リンクをクリックさせて検索エンジンで上位表示させるサイトが今現在急増しています。

PRiMENON:Weblog は、これを重大な問題と受け止め、早速対策に取り組もうと思います。
対策として考えられるのは、日記スクリプトや Weblog ツールはプラグインという方法がありますが、それでは根本的な対策になりません。
つまり、その日記スクリプトで生成されていない普通の HTML で作成している Web ページには何の効果も得られません。

ここは、「リファラが150% アダルトサイトやポーカー以下略の場合は Web サーバにアクセスできないようにする」で対処しようと思います。
Web サーバに root 権限を持っている場合は、httpd.conf を編集できますが、それは少々面倒なので .htaccess で拒否しようと思います。
レンタルサーバで、.htaccess が許可されていないとだめですので、確認してくださいね。

■参考にさせていただいた Web サイト
.htaccessで参照元（Referer）によるアクセス制限する方法

私はすでに、.htaccess ファイルがあるのでそれを編集します。
初めて作成される方へ、Windows の場合はドットから始まるファイルは作成できないのでご安心を。
Web サーバにアップロードした後に、名前をドットから始まるファイル名にしてくださいな。

書き方はこんなかんじ。

order allow,deny
allow from all
deny from env=deny_referer_spam
SetEnvIf Referer "http://www¥.spamurl¥.com/" deny_referer_spam

deny_referer_spam は、SetEnvIf の最後に書いてある記述と同じにしましょう。
つまり、

deny from env=spam_is_taco
SetEnvIf Referer "http://www¥.spamurl¥.com/" spam_is_taco

でもいいです。分かりやすいユニークな名前を付けてください。

また、上記の例では URL がそのままかいてありますが、正規表現で書かなくてはなりません。
ドット(.)の前に円マーク(¥←バックスラッシュに見えるかも)があるのは、「文字列としてのドットだよー」を宣言するためです。
正規表現でのドット(.)は、「なんでもいいけど何か文字1文字分(改行は除く)」を意味します。
"www.spamurl.com" だと、「www と続いて何か1文字があって spamurl と続いて何か1文字があって com」となってしまいますのでご注意を。
私もあまり正規表現は詳しくないので、Web サイトから拝借して使わせていただいてまス。

HSTBT Hiki に参考になる正規表現が書いてあるので使わせていただこうと思います。

SetEnvIf Referer "(¥.com|¥.net|¥.org|¥.biz|¥.info|¥.name|¥.us|¥.ws)$" anti_refspam

上記の私の例では、deny_referer_spam にしているので、anti_refspam を deny_referer_spam にしましょう。
もちろん、自分でユニークな名前をつけたらそれに。

ちなみに、order allow,deny と allw from all は1度かいてあれば記述しなくてよいです。
IP アドレスでブロックする方法を使っている場合は、既に記述してあるはずなので(私の場合はとくに)。

自分で拒否したい URL を指定して、SetEnvIf 行をどんどん増やしていきましょう。

もうひとつ方法(未確認なので有識者さん意見希望)。
こんなリファラ情報を残すスパムが現れた場合はどうしましょう(いや、既にもうキテマス)。

http://aaaaaaaaaa.spamurl.com/
http://bbbbbbbbbb.spamurl.com/
http://aaaaaaaaaa.spamurl.com
http://bbbbbbbbbb.spamurl.com
http://asdfjklewlalklewjraoijlkgkjsaflksjlalkjn.spamurl.com/
http://143242879857917ajfjkajjwerjajfjaower.spamurl.com/poker-game-daily.html
http://lkfajflajlejrlkw2jlr2354532421nbvzietw.spamurl.com/eroero-image-download-url.shtml

サブドメインを無限に設定している例です。
注目すべきなのは、spamurl.com は常に同じであること。
こんなときは、SetEnvIf に以下を指定するといいのではないでしょうか。

SetEnvIf Referer "spamurl¥.com" deny_referer_spam

たぶんこれで可能なはず。
http://www. なリファは少数派になりつつあるので、ドメインで一括指定一括拒否です。
もちろん、上記の指定だと悪意のないユーザーも拒否してしまう可能性があるので注意が必要です。

記述がすべて終わったら、Web サーバへアスキーモードでアップロードしましょう。
アップロードする場所は、一番上位のディレクトリでいいでしょう(/home/ユーザー名/public_html/ あたりに)。

投稿者 Kuro : 01:01 PM | コメント (0) | トラックバック

スパムを行うホストIPアドレス情報探し

コメントスパムやトラックバックスパムを行うホスト IP アドレスを公開されている方がいらっしゃるようなので、じゃんじゃん登録しちゃってます。
もちろん、悪意を持った人もいる可能性があるのでそれは人間が判断しなくてはなりませんが。

以下は、今回リストに追加させていただいた Web サイトです。
Cubic::cubic +(2004年11月第1週分)
Cubic::cubic +(2004年11月第2週分)
れっつ日記(2005/01/12更新)の IP アドレスのみ
れっつ日記さんは、ドメイン名も書かれているようですがそれだとあんまり意味ないかなと思ったので追加してません。

.htaccess にどんな風に書いているか、またはリストが欲しい方は自宅サーバのほうにテキストデータをおいておきますのでどうぞ。

もしもスパムを行うホスト IP アドレスをご存知でしたら、教えてくださいね。

投稿者 Kuro : 11:28 AM | コメント (0) | トラックバック

March 03, 2005

今頃WindowsUpdateにKB887742とKB886677が表示される

今日、WindowsUpdate をしてみると以下の patch が表示されていました。
これらは、以前の定例 WindowsUpdate 時には表示されていませんでした。
なぜ表示されたのかは謎です。

■Windows XP Service Pack 2 または Windows Server 2003 で Stop エラー "Stop 0x05 (INVALID_PROCESS_ATTACH_ATTEMPT)" が表示される(KB887742)
Windows XP SP2 で、ウイルス対策ソフトやファイヤーウォールソフトをインストールすると、ブルースクリーンになる不具合を修正します。

■Windows XP 上の Internet Explorer で Shift-JIS 文字エンコードを使用する Web サイトを参照すると、2 バイト文字セット (DBCS) 文字が正しく表示されない場合がある(KB886677)
Windows XP SP2 で、SHIFT_JIS エンコードで表示する Web サイトを Internet Explorer で表示したとき、文字化けが起こる不具合を修正します。

検索してみると、2004年11月22日に公開された窓の杜の記事を発見。
BroadBand Watchによれば、このパッチは脆弱性として位置づけていないので、深刻度も未設定。

一応、サブマシンにインストールして検証予定。

投稿者 Kuro : 10:41 PM | コメント (0) | トラックバック

February 28, 2005

フィッシング詐欺サイトのスクリーンショットを掲載・通報するサイト「フィッシング詐欺サイト情報」

日本独自のブラックリストデータベースシステムを立ち上げるプロジェクト Realtime Blackhole List Japan が運営しているフィッシング詐欺サイト情報は、実際に犯罪に使われようとしているフィッシング詐欺 Web サイトのスクリーンショットを見ることができます。

他にも、サーバの OS に何を使っているかなど、細かな経過が見れて犯罪の裏を知ることができます。

私の元にはまだフィッシング詐欺のメールは着ていないので、見たことがないです。
このサイトにあるスクリーンショットを見ると、ホンモノのサイトと全く同じですねー。
でも URL を見てみると、IP アドレスだったりまったく違うサイトだったり。
スクリーンショットには、URL が写るようになっているので、偽サイトということが分かりますね。

ちなみに、記事にある URL をブラウザで表示すると、偽サイトがまだ見れる場合があります。
ボタンやリンクは、ホンモノサイトを表示するようにしていてかなり巧妙です。
でも時々、ボタンを押すと Apache の forbidden が表示されて、手抜き感もあります。

メールスパムは時々着弾しています。Becky のスパム対策プラグインBkASPilを入れているので、スパムはスパ無用別フォルダに入るようにしています。

メールで着信したアドレスには十分にご注意ください。

投稿者 Kuro : 10:02 PM | コメント (0) | トラックバック

February 09, 2005

2005年2月のWindowsUpdate

セキュリティーホール memo やスラッシュドットジャパンの記事によると、毎月恒例の WindowsUpdate の日がやってまいりました。

■ASP.NET パス検証の脆弱性 (887219) (MS05-004)
・Microsoft .NET Framework 1.0
・Microsoft .NET Framework 1.1

■Microsoft Office XP の脆弱性により、リモートでコードが実行される (873352) (MS05-005)
・Microsoft Office XP(Microsoft Office 2000 及び 2003 は影響を受けない)
・Microsoft Project 2002
・Microsoft Visio 2002
・Microsoft Works Suite

■Windows SharePoint Services および SharePoint Team Services の脆弱性により、クロスサイトスクリプティングおよびなりすましの攻撃が行われる (887981) (MS05-006)
・Microsoft Windows SharePoint Services
・SharePoint Team Services from Microsoft

■Windows の脆弱性により、情報漏えいが起こる (888302) (MS05-007)
以下のソフトウェア以外のユーザー(以下のソフトウェアに影響はなし)
・Microsoft Windows 2000 Service Pack 3 および Microsoft Windows 2000 Service Pack 4
・Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
・Microsoft Windows Server 2003
・Microsoft Windows Server 2003 for Itanium-based Systems
・Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE)
・Microsoft Windows Millennium Edition (Me)

■Windows シェルの脆弱性により、リモートでコードが実行される (890047) (MS05-008)
・Microsoft Windows 2000 Service Pack 3
・Microsoft Windows 2000 Service Pack 4
・Microsoft Windows XP Service Pack 1
・Microsoft Windows XP Service Pack 2
・Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
・Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
・Microsoft Windows Server 2003
・Microsoft Windows Server 2003 64-Bit Edition for Itanium-based Systems
・Microsoft Windows 98
・Microsoft Windows 98 Second Edition (SE)
・Microsoft Windows Millennium Edition (ME)

■PNG 処理の脆弱性により、バッファオーバーランが起こる (890261) (MS05-009)
・Microsoft Windows Media Player 9
・Microsoft Windows Messenger バージョン 5.0
・Microsoft MSN Messenger 6.1/6.2
・Microsoft Windows Messenger バージョン 4.7.2009(Windows XP Service Pack 1 上で実行されている場合)
・Microsoft Windows Messenger バージョン 4.7.3000(Windows XP Service Pack 2 上で実行されている場合)

■ライセンスログサービスの脆弱性により、コードが実行される (885834) (MS05-010)
・Microsoft Windows NT Server 4.0 Service Pack 6a
・Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
・Microsoft Windows 2000 Server Service Pack 3
・Microsoft Windows 2000 Server Service Pack 4
・Microsoft Windows Server 2003
・Microsoft Windows Server 2003 64-Bit Edition for Itanium-based Systems

■サーバーメッセージブロックの脆弱性により、リモートでコードが実行される (885250) (MS05-011)
・Microsoft Windows 2000 Service Pack 3、Microsoft Windows 2000 Service Pack 4
・Microsoft Windows XP Service Pack 1 および Microsoft Windows XP Service Pack 2
・Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
・Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
・Microsoft Windows Server 2003
・Microsoft Windows Server 2003 for Itanium-based Systems

■OLE および COM の脆弱性により、リモートでコードが実行される (873333) (MS05-012)
・Microsoft Windows 2000 Service Pack 3 および Microsoft Windows 2000 Service Pack 4
・Microsoft Windows XP Service Pack 1 および Microsoft Windows XP Service Pack 2
・Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
・Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
・Microsoft Windows Server 2003
・Microsoft Windows Server 2003 for Itanium-based Systems

■DHTML 編集コンポーネントの Active X コントロールの脆弱性により、リモートでコードが実行される (891781) (MS05-013)
・Microsoft Windows 2000 Service Pack 3 および Microsoft Windows 2000 Service Pack 4
・Microsoft Windows XP Service Pack 1 および Microsoft Windows XP Service Pack 2
・Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
・Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
・Microsoft Windows Server 2003
・Microsoft Windows Server 2003 for Itanium-based Systems

■Internet Explorer 用の累積的なセキュリティ更新プログラム (867282) (MS05-014)
・Microsoft Windows 2000 Service Pack 3 および Service Pack 4
・Microsoft Windows XP Service Pack 1 および Microsoft Windows XP Service Pack 2
・Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
・Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
・Microsoft Windows Server 2003
・Microsoft Windows Server 2003 for Itanium-based Systems

■ハイパーリンクオブジェクトライブラリの脆弱性により、リモートでコードが実行される (888113) (MS05-015)
・Microsoft Windows 2000 Service Pack 3 および Microsoft Windows 2000 Service Pack 4
・Microsoft Windows XP Service Pack 1 および Microsoft Windows XP Service Pack 2
・Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
・Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
・Microsoft Windows Server 2003
・Microsoft Windows Server 2003 for Itanium-based Systems

■SMTP の脆弱性により、リモートでコードが実行される (885881) (MS04-035)
・Microsoft Windows XP 64-Bit Edition Version 2003 (KB885881)
・Microsoft Windows Server 2003 (KB885881)
・Microsoft Windows Server 2003 64-Bit Edition (KB885881)
・Microsoft Exchange Server 2003 および Microsoft Exchange Server 2003 Service Pack 1
・Microsoft Exchange Server 2003
・Microsoft Exchange 2000 Server Service Pack 3 (KB890066)

投稿者 Kuro : 10:34 PM | コメント (0) | トラックバック

February 06, 2005

PRiMENONがブロックしているIPアドレスを公開します

現在 PRiMENON では、コメントスパム・トラックバックスパム行為を含む不正なアクセスからのサーバの保護を強化しています。
MT-Blacklist のブロック IP アドレスを利用して、.htaccess による拒否機能を併用しています。

現在 PRiMENON でアクセスブロック中の IP アドレスについて、Web ページを作成し公開します。

PRiMENON:アクセスブロック中の IP アドレス

Wikipedia の投稿ブロック中のユーザーやIPアドレスを参考に、リスト化していますが、管理上下に行くほど新しくブロックした IP アドレスになっています。

もしも、スパムを行ってくる IP アドレスがあるのであれば、.htaccess による拒否機能も併用することをお勧めします。
やり方については、.htaccess に関するドキュメントを参照するか、私の PukiWikiにも書いてありますのでご利用ください。

投稿者 Kuro : 12:12 PM | コメント (0) | トラックバック

January 26, 2005

MovableType全バージョンにスパムメールを幇助する脆弱性

MovableType 日本語版サイト曰く、MovableType の脆弱性によってスパムメールを幇助する現象が確認されたそうです。

該当するバージョンは、出荷済みのすべてのバージョンとなっていて、回避するにはプラグインをインストールするとのこと。また、同 Web サイトからダウンロードできる MovableType はすでに対策済み。

ご利用中の方は、ただちに対策を行いましょう。

ちなみに、今回のプラグイン形式のパッチは、MT-Blacklist のようにプラットフォーム画面には表示されません。2.6x への対応のためとの説明がされています。

投稿者 Kuro : 10:19 PM | コメント (0) | トラックバック

December 15, 2004

2004年12月のWindowsUpdate

スラッシュドットジャパンの記事によると、月刊 WindowsUpdate12月号に＋α付きで発表されました。
いずれも深刻度は2番目に高い「重要」レベルです。

今回の修正は以下の通り。セキュリティーホール memoさんより抜粋です。

■[Microsoft]WordPad の脆弱性により、コードが実行される (885836) (MS04-041)
・Windows 2000 SP3/4
・Windows XP SP1/1a/2
・Windows Server 2003 SP0
・Windows NT Server 4.0 SP6a
・Windows NT Server 4.0, Terminal Server Edition SP6
・Windows XP 64-Bit Edition SP1
・Windows XP 64-Bit Edition Version 2003
・Windows Server 2003 64-Bit Edition SP0
[HOTFIX report]MS04-041［重要］：WordPad の脆弱性により、コードが実行される

■[Microsoft]DHCP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる (885249) (MS04-042)
・Windows NT Server 4.0 SP6a
・Windows NT Server 4.0, Terminal Server Edition SP6
[HOTFIX report]MS04-042［重要］：DHCP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる

■ハイパーターミナルの脆弱性により、コードが実行される (873339) (MS04-043)
・Windows 2000 SP3/4
・Windows XP SP1/1a/2
・Windows Server 2003 SP0
・Windows NT Server 4.0 SP6a
・Windows NT Server 4.0, Terminal Server Edition SP6
・Windows XP 64-Bit Edition SP1
・Windows XP 64-Bit Edition Version 2003
・Windows Server 2003 64-Bit Edition SP0
[HOTFIX report]MS04-043［重要］：ハイパーターミナルの脆弱性により、コードが実行される

■Windows カーネルおよび LSASS の脆弱性により、特権の昇格が起こる (885835) (MS04-044)
・Windows 2000 SP3/4
・Windows XP SP1/1a/2
・Windows Server 2003 SP0
・Windows NT Server 4.0 SP6a
・Windows NT Server 4.0, Terminal Server Edition SP6
・Windows XP 64-Bit Edition SP1
・Windows XP 64-Bit Edition Version 2003
・Windows Server 2003 64-Bit Edition SP0
[HOTFIX report]MS04-044［重要］：Windows カーネルおよび LSASS の脆弱性により、特権の昇格が起こる

■WINS の脆弱性により、リモートでコードが実行される (870763) (MS04-045)
・Windows 2000 Server SP3/4
・Windows Server 2003 SP0
・Windows NT Server 4.0 SP6a
・Windows NT Server 4.0, Terminal Server Edition SP6
・Windows Server 2003 64-Bit Edition SP0
[HOTFIX report]MS04-045［重要］：WINS の脆弱性により、リモートでコードが実行される

該当 OS を管理しているユーザーもしくはネットワーク管理者はアップデートを行いましょう。

投稿者 Kuro : 10:56 PM | コメント (0) | トラックバック

November 25, 2004

PukiWiki 1.4.x にXSS脆弱性

Pukiwiki Errata 発表によると、PukiWiki 1.4.x に含まれている color プラグイン (r1.5-1.9まで) に XSS脆弱性が含まれているそうです。

解決するには、pukiwiki がインストールされたディレクトリ/plugin/color.inc.php を検証済みのリビジョン 1.13 に置き換えることがアナウンスされています。
私にもちょっと分かりづらいバージョンアップ方法だったので、メモ。

PukiWiki CVS(Current Versions System) にある、Revision 1.17 の右にある (Download) からダウンロードします。
ダウンロードしたら、自分の利用している PukiWiki のインストールされたディレクトリにある、plugin/color.inc.php に上書き保存しましょう。

私の使っている KuroWiki もバージョンアップしておきました。

投稿者 Kuro : 10:16 PM | コメント (0) | トラックバック

November 04, 2004

PukiWikiを利用したサイトが改竄される

NetSecurityの記事によると、11月2日と3日に個人サイトを含む8件のWebサイト改竄が行われたと確認されたようです。

改竄された Web はいずれも私も利用している、Web上から直接サイトを編集することができる PukiWiki.org のようです。

zone-h.orgで確認してみると半田企画有限会社のみ改竄の様子を確認できました。
というより、元サイトのバックアップで確認できました。

見る限り、サーバシステムへ侵入しての改竄ではなくただ PukiWiki の編集機能を利用して書き込んだようです。
また、北陸先端科学技術大学院大学のお知らせをみても分かるとおり、システムレベルでの不正侵入は確認できなかったそうです。

PukiWiki のメリットが逆にこういう風に利用されてしまうととても残念であり、不安が募るばかりですね。
私も気を付けないとならないな。

投稿者 Kuro : 10:15 PM | コメント (0) | トラックバック

September 27, 2004

スクリーンショットを画像掲示板にアップするトロイの木馬

またセキュリティーホール memoからの転載。

ITmediaの記事によると、24日ごろから掲示板やP2Pネットワークを介して広まるトロイの木馬「Trojan.Upchan」(別名:苺キンタマ)に対して、シマンテックは警告を発したようです。
このトロイの木馬に感染した実行ファイルを実行すると、PCに本体が自動的にコピーされ、デスクトップのスクリーンショットを8分おきに撮影し、2chのとある画像掲示板に公開されてしまうとのこと。
シマンテックの security responseにはその画像掲示板のURLが記載されていて、この画像掲示板で閲覧できてしまうようです。スクリーンショットが撮影されるときに、重要なファイルや、デスクトップ上にある個人情報などがそのまま撮影されて、不特定多数に閲覧されてしまうというダメージがとても大きいでしょうね。

駆除する方法は、同シマンテックを参照していただきたい。
もちろん、ネットワークケーブルははずした上で行ってください。
感染したアナタはアナタの物なのでどうでもよいが、他人にばら撒かれることが一番迷惑なのです。

投稿者 Kuro : 10:28 PM | コメント (0) | トラックバック

September 23, 2004

Apache HTTP Server 2.0.51 release

セキュリティーホール memoによると、Apache HTTP Server 2.0.51 がリリースされました。

今回のバージョンアップは主にバグ修正となっているようで、特に5つの注意点が修正されます。サーバ管理者は、バージョンアップをして対応を行いましょう。

Apache HTTP Server 2.0.51ダウンロードサイトからどうぞ。
Apache HTTP サーババージョン 1.3 と 2.0 の主な変更点はこちらに書かれています。

投稿者 Kuro : 09:20 PM | コメント (0) | トラックバック

September 16, 2004

2004年9月のWindowsUpdate

セキュリティーホール memoやINTERNET Watchなどの情報サイトによると、マイクロソフトは15日付けでJPEG処理(GDI+)のバッファオーバーランにより任意のコードが外部から実行されてしまう脆弱性のセキュリティ修正プログラム「MS04-028」を発表しました。
深刻度は"緊急"になっているので、早急にWindowsUpdateを行いましょう。

今回の脆弱性に該当するのは、OSの種類のほかOffice・プログラム開発・コンポーネント・マイクロソフトから発売された画像編集ソフトなどのソフトウェア関連など多岐にわたります。該当するソフトウェアについては、[Microsoft]JPEG 処理 (GDI+) のバッファオーバーランにより、コードが実行される (833987) (MS04-028)やセキュリティーホール memo を確認しましょう。

[@police]JPEG 処理 (GDI+) のバッファオーバーランにより、コードが実行される(MS04-028)(9/15)
脆弱性発見者による解説

投稿者 Kuro : 10:00 PM | コメント (0) | トラックバック

September 07, 2004

XP SP2で回避できないIEの脆弱性

セキュリティーホール memo曰く、ITmediaの記事によるとIEのドラッグ＆ドロップ処理に深刻な脆弱性があるとSecuniaがアドバイザリーを出しました。

原因はIEでインターネットゾーンのファイルをローカルリソースにドラック＆ドロップする際に、ファイルに対する十分な認証が行われていないこと。この脆弱性を悪用するWebサイトからファイルをドラッグ＆ドロップすると、ユーザーのスタートアップフォルダに任意の実行ファイルが作成されてしまい、次回Windowsを起動した際に自動的に実行されてしまう。

この脆弱性を回避するには、アクティブスクリプトを無効にするかIE以外の Web ブラウザを使えばOK。

この脆弱性を利用するトロイが発見されていますのでご注意ください。
[symantec]Backdoor.Akak

投稿者 Kuro : 09:12 PM | コメント (0) | トラックバック

August 16, 2004

架空請求を特集する番組「報道特捜プロジェクト」

となりのBARでも書かれているのですが、情報特捜プロジェクトという番組が楽しいです。

14日に放送されていたのですが、視聴者から届いた架空請求の電話番号にかけまくるという特集がありました。
私たち被害者の代表としてイマイさんがかけまくってました(日本テレビのディレクター)。
やっぱり、逆にこういった犯人に電話するというのは面白いですね。

といっても、皆さんは電話はかけてはなりませんよ。無視・放置が一番です。

一番笑えたのは、いつまでも払わないイマイさんに苛立ち口走ったこの言葉

もともとね　胃に病気があったんですよ
十二指腸潰エンという

十二指腸潰エン？
十二指腸潰瘍なら聞いたことがありますが、潰エンは聞いたことがありません。
頭悪いのがバレバレですね。こんな低脳な馬鹿どもに、私たちが汗水たらして稼いだ金をこんなことに払ってはいけません。

もしあなたの元に、おかしな葉書が届いてもすぐに電話をしたりお金を払ったりしてはいけません。
子供であっても親に聞いてみたり(たとえアダルトだとしても)、近くの消費生活センターへ相談したりしましょう。

投稿者 Kuro : 09:47 PM | コメント (0) | トラックバック

August 02, 2004

2004年7月のWindowsUpdate(号外)

セキュリティホール memo・IPA緊急対策情報・Enterprise Watch・窓の杜・INTERNET Watchの記事によると、マイクロソフトは31日(土)に Internet Explorer の脆弱性「MS04-025」を発表しました。同時に、累積的セキュリティ修正プログラムを公開しました。
修正対象となる脆弱性は3つとなっており、すべて悪意ある攻撃者からリモートでコードを実行される可能性があり、深刻度は”緊急”となっている。

セキュリティホール memo 2004.07.31や更紗姫のイチゴ畑日記に詳しい情報が掲載されていますので、確認するとよいでしょう。私が同じのをコピペするより、専門家の日記を見た方が早いとおもふ。

WindowsUpdate が最近多いようですね。Microsoft もセキュリティに関しては気になりだしたのかな。まあそれは良いことであるわけで、ユーザーはそれに応えなければならないです。

[Microsoft]Internet Explorer 用の累積的なセキュリティ更新プログラム (867801) (MS04-025)
[Microsoft]絵でみるセキュリティ情報 MS04-025
[asahi.com]マイクロソフト、修正ソフト提供閲覧ソフト欠陥で
 [UpdateTechnologyCorporation]MS04-025 (KB867801) の修正プログラムを適用する際の注意
 [コンピュータセキュリティ研究所]SNS Spiffy Reviews No.14 Appendix to MS04-025 "Navigation Method Cross-Domain Vulnerability"
[@police]マイクロソフト社Internet Explorer 用の累積的なセキュリティ更新プログラムについて(MS04-025)

[US-CERT]Technical Cyber Security Alert TA04-212A -- Critical Vulnerabilities in Microsoft Windows
[US-CERT]Technical Cyber Security Alert TA04-212A -- Critical Vulnerabilities in Microsoft Windows
[US-CERT]Vulnerability Note VU#713878 Microsoft Internet Explorer does not properly validate source of redirected frame
[US-CERT]Vulnerability Note VU#266926 Microsoft Internet Explorer contains an integer overflow in the processing of bitmap files
[US-CERT]Vulnerability Note VU#685364 Microsoft Internet Explorer contains a double-free vulnerability in the processing of GIF files
[CIAC]O-191: Microsoft Cumulative Security Update for Internet Explorer (867801)

[CVE]CAN-2003-1048 (under review)
[CVE]CAN-2004-0549 (under review)
[CVE]CAN-2004-0566 (under review)

投稿者 Kuro : 06:53 PM | コメント (0) | トラックバック

July 24, 2004

Becky用スパム対策プラグイン「BkASPil for Becky!2」

ゆみさんのコメントを見て、早速とりあえずな日記を見てみる。

マシン(Veltiena5)構成表発見。
CPU:Athlonですかー。Athlonは未知の領域～なので私は黙ってIntelかな。
M/B:MSIは良いって聞きますけど、やはり個人の好みみたいです。GIGABYTE今のメイン機なのですがまぁ普通かな。
GPU:これはチップしか見てないっス。Matrox はどうなんでしょうか…。
RAM:JEDIC準拠って書いてあるのを今使ってまッス。
HDD:IBMは微妙に音煩いっス。Seagate派になりそうで。
光ドライブ:読めりゃいい。
FDD:FA404Mの黒いのつかってますよー。初期不良で交換しました。
CASE:OWL-103-SLT(BK)使ってます。

と、見てたらSPAMメールの記事発見。メールサーバを最近立てたばかりの管理人Kuroなので、リンク先とか開いてみたり。
迷惑メール(spam)対策用メールヘッダ解析hdparにBecky!InternetMail用スパム対策プラグインBkASPil for Becky!2というものを発見。

Beckyユーザーな私なので、早速インストール直後に発生する不具合対策＆ダウンロード＆インストール＆フィルタリング機能の基本設定。
終わったら早速スパムメールの振り分け実行。
3通ほどあったので振り分けられた模様。その他スパムメールが登録されているか確認などいじってみた。かなり便利!!

なんかいいねぇ、悪人退治みたいで。Beckyユーザーの方でスパムにお困りの方は是非このプラグインをインストールすることをオススメ!!

投稿者 Kuro : 12:12 AM | コメント (5) | トラックバック

July 15, 2004

2004年7月のWindowsUpdate

1日遅れましたが昨日 WindowsUpdate がきたようですね。
とりあえず Windows ユーザーは有無を言わさず fix しましょう。

■[Microsoft]Outlook Express 用の累積的なセキュリティ更新プログラム (823353) (MS04-018)
[Microsoft]絵でみるセキュリティ情報 MS04-018
[CVE]CAN-2004-0215 (under review)

■[Microsoft]ユーティリティマネージャの脆弱性により、コードが実行される (842526) (MS04-019)
[Microsoft]絵でみるセキュリティ情報 MS04-019
[CVE]CAN-2004-0213 (under review)

■[Microsoft]POSIX の脆弱性により、コードが実行される (841872) (MS04-020)
[Microsoft]絵でみるセキュリティ情報 MS04-020
[CVE]CAN-2004-0210 (under review)

■[Microsoft]Internet Information Server 4.0 のセキュリティ更新プログラム(841373) (MS04-021)
[Microsoft]絵でみるセキュリティ情報 MS04-021
[CVE]CAN-2004-0205 (under review)

■[Microsoft]タスクスケジューラの脆弱性により、コードが実行される (841873) (MS04-022)
[Microsoft]絵でみるセキュリティ情報 MS04-022
[CVE]CAN-2004-0212 (under review)

■[Microsoft]HTML ヘルプの脆弱性により、コードが実行される (840315) (MS04-023)
[Microsoft]絵で見るセキュリティ情報 MS04-023
[CVE]CAN-2003-1041 (under review)
[CVE]CAN-2004-0201 (under review)

■[Microsoft]Windows シェルの脆弱性により、リモートでコードが実行される (839645) (MS04-024)
[Microsoft]絵でみるセキュリティ情報 MS04-024
[CVE]CAN-2004-0420 (under review)
このパッチを fix すると Windows NT のデスクトップにおいてショートカットの取り扱いに問題が発生するようです。
[Winfaq.jp]WinNTのデスクトップについて(Windows2000/XP.FAQ 掲示板)

投稿者 Kuro : 09:17 PM | コメント (0) | トラックバック

July 03, 2004

ADODB.Stream ActiveXの脆弱性を回避するパッチ配布

昨日の夜に release されたせいか、メディアには発表記事がみつからないのだが、WindowsUpdateにインターネットエクスプローラからADODB.Streamオブジェクトを不能にするパッチが release されました。このパッチをインストールすると、ADODB.Stream Active X コントロールを無効にする。

Active X の機能である ADODB.Streamはメモリの中でのファイルを表している。Streamオブジェクトはバイナリファイルとテキストファイルを読み書きするいくつかの機能を持っているが、Microsoft Internet Explorer を利用して悪意のあるHTMLドキュメントを閲覧すると、その機能を利用してリモートのマシンからスクリプトが実行できてしまうらしい。リリースされているのは、Windows XP / 2000 / NT / Server 2003 / 9x / ME / XP Version 2003 / 64 bit Edition / Windows Server 2003 and 64bit Edition。ご利用の方はすぐに WindowsUpdate を行うようにしてください。

[Microsoft]Critical Update for Microsoft Data Access Components - Disable ADODB.Stream object from Internet Explorer (KB870669)
[DownloadCenter]Windows XP, Windows 2000, Windows NT, Windows Server 2003用
 [DownloadCenter]Windows 9x, Windows ME用
 [DownloadCenter]Windows XP Version 2003, 64 Bit Edition , Windows Server 2003, 64 Bit Edition
[US-CERT]TA04-184A:Internet Explorer Update to Disable ADODB.Stream ActiveX Control

投稿者 Kuro : 11:18 PM | コメント (0) | トラックバック

June 30, 2004

TBSラジオの番組で個人情報流出

セキュリティホール memo曰く、毎日新聞・Net Securityなどの記事によると、TBSラジオは6月27日放送13時～17時放送「伊集院光日曜日の秘密基地」において実施された「聴取者参加クイズ企画」において、携帯電話でクイズに参加した聴取者の個人情報の一部が流出したことが29日に判明したそうだ。

実施されたクイズ企画において、最大63名の個人情報が流出した可能性があるらしい。TBSラジオ&コミュニケーションズの発表によると、番組開始直後の13時から13時20分の間にクイズへ応募し、聴取者の個人情報を一時保存されたNTTドコモ・iモードユーザー63名の情報の一部が、同社モバイルシステムプログラムの不具合で、別のユーザーの携帯電話に表示されたとのこと。

原因は、EZweb用のセキュリティ保護を誤って、iモード用のシステムに設定したため、ユーザーIDの混同が発生。これにより、聴取者の入力した個人情報が上書きされる形となり、次に回答しようとした聴取者の画面に、前の聴取者の名前、電話番号、メールアドレス、性別、年齢、都道府県の内容が表示された。

伊集院光のラジオは、UPS時代から聞き続けてる私なのですが、お昼の秘密基地は聞いていませんでした。私は専ら深夜の馬鹿力です。来週の馬鹿力はどんな内容になっているか、気になっています。

投稿者 Kuro : 09:17 PM | コメント (0) | トラックバック

June 27, 2004

Web閲覧で感染するウィルス「スコッブ」

スラッシュドットジャパン・INTERNET Watch・BroadBand Watch・ITmediaなど多くの記事によると、IEで閲覧するだけで感染するウィルスが発見されたそうです。

このウィルスは MS04-011 を適用していない Windows 2000 で動作するIISサーバに感染し、悪意のある JavaScript コードをWebページのフッターに記述されます。
それから MS04-013 を適応していない Internet Explorer で閲覧すると、JavaScript が実行されバックドア(例:Padodor.W)を仕込むらしい。このウィルスには、感染したパソコン内の重要な情報を外部に流すプログラムが組み込まれているとされる。

この悪意のあるコードとバックドアは現在調査が続いており、最終的にどういった影響を与えるのかが判明しておらず、調査が終わるまでは一先ずInternet Explorer は利用を控えたほうがいいかもしれない。
もちろん、Internet Expolorer を利用しているタブブラウザ系列も注意が必要なのは言うまでもない。

投稿者 Kuro : 02:37 PM | コメント (0) | トラックバック

June 14, 2004

Real Player系にバッファオーバーフローの脆弱性

IPAの記事曰く、real カスタマーサポートによると RealOne Player および RealPlayer にバッファオーバーフローの脆弱性が発見されました。この脆弱性によりユーザーのマシン上で攻撃者が任意のコードを実行される恐れがある。影響があるのは、Windows 上で動作する以下の Version。

RealOnePlayer (英語版)
RealOnePlayer v2 (すべての言語版)
RealPlayer 10 (英語、ドイツ、日本語版)
RealPlayer 8 (すべての言語版)
RealPlayer Enterprise (すべての言語版、スタンドアロン型、および RealPlayer Enterprise Manager により設定されたもの)

この脆弱性を回避するには、各 RealPlayer のアップデートのチェックを確認するようにとされている。

RealOne Player になってから、広告が煩くなってしかも使いづらくなったのでインストールしていません。
インストールしている方は、アップデートをすることをオススメします。

[eEye]RealPlayer embd3260.dll Error Response Heap Overflow
[iDEFENSE]Real Networks RealPlayer URL Parsing Buffer Overflow Vulnerability

投稿者 Kuro : 09:20 PM | コメント (0) | トラックバック

June 09, 2004

2004年6月のWindowsUpdate

IPA・BroadBand Watch・INTERNET Watch・Enterprise Watch の記事によると、マイクロソフトは「DirectPlay」に含まれる脆弱性により、サービス拒否が起こる問題に対応する修正プログラム MS04-016 (絵で見る MS04-016 )を公開しました。

MS04-016は、特定の DirectPlay を利用しているネットゲームなどが以上終了する可能性があるらしい。DirectPlay とは、Direct X に同梱されているネットワークプロトコルで、これによりマルチプレイヤー型のネットワークゲームを可能にしているそうだ。今回発見された脆弱性では、Direct X 9.x / 8.x に同梱されている「 DirectPlay version 4 」が影響を受け、「 DirectPlay version 8 」は影響を受けないとしている。
影響を受けるOSは、Windows XP / 2000 / Me / 98 / Server 2003 。すでにサポートのメインストリームフェーズが終わっているWindows Me / 98 に関しては、修正プログラムは提供されないようだ。

[CVE]CAN-2004-0202 ( under review )

また、セキュリティーホール memoさんやEnterprise Watch の記事によると、Crystal Reports Web Viewer の脆弱性により、情報漏えいおよびサービス拒否が起こる修正プログラム MS04-017 (絵で見る MS04-017 )を公開しました。

影響のあるソフトウェアは、Microsoft Visual Studio .NET 2003 / Outlook 2003 with Business Contact Manger / Microsoft Business Solutions Customer Relationship Management 1.2 を使っている人のみ。

とりあえず、Windows Upadate しておきましょう。

投稿者 Kuro : 09:25 PM | コメント (0) | トラックバック

June 08, 2004

Apple の Mac OS X に複数の脆弱性

IPA (独立行政法人情報処理推進機構)の記事によると、Apple の Mac OS X 10.2.8 "Jaguar " 及び 10.3.4 "Panther" の複数の脆弱性に対応した Security Update 2004-06-07 を release したそうです。

Security Update 2004-06-07(10.2.8)及びSecurity Update 2004-06-07(10.3.4) によると、DiskImages / LaunchServices / ターミナルのアップデートがされるようです。
利用している方はすぐにアップデートを行いましょう。

[CVE]CAN-2004-0485 (under review)
[CVE]CAN-2004-0486(under review)

投稿者 Kuro : 09:33 PM | コメント (0) | トラックバック

May 27, 2004

セキュリティ情報に耳を傾けろ

セキュリティ関連の情報を掲載している更紗ルームセキュリティーニュースさんが移転されました。
ブックマーク変更しておかなきゃ。

セキュリティ関連の情報を掲載しているWebサイト（私が巡回している）は以下の通り。
セキュリティーホール memoさん
エンド・ユーザ向けネットワーク・セキュリティ・ニュースさん
更紗ルームセキュリティーニュースさん

その他のサイト知っていらっしゃる方おられましたら、是非是非 comment お願いします(_ _

投稿者 Kuro : 09:14 PM | コメント (0) | トラックバック

May 26, 2004

もじら組のWebサイト、改竄される

Net Securityの記事によると、24日18時46分ごろ日本モジラユーザーグループWebサイト(もじら組)が改竄されたようだ。現在は既に復旧されている。

改竄を行ったのは、p0rkと名乗るグループでサーバのOSはLinux、WebサーバはApacheを使用(zone-h.org による詳細情報)。
zone-h.org ではWeb改竄が行われた際のWebサイトのミラーを見ることができる。

有能なエンジニアによって開発が進んでいる Mozilla だが、Webサーバが改竄されることがあるなんてちょっと信じられません・・・。

もじら組のフォーラムにも改竄に関してのスレッドが確認できた。

投稿者 Kuro : 10:20 PM | コメント (0) | トラックバック

May 20, 2004

CVS サーバにリモートから攻略可能な脆弱性

情報処理推進機構( IPA )の脆弱性関連情報によると、オープンソースコードの公開・共有手段としてよく利用されている CVS( Concurrent Versions System )に脆弱性が発見された。

内容としては、エントリライン処理コードが適切なチェックを行っていないことが原因。この脆弱性により、リモートからの攻撃者に任意のコードを実行される可能性がある。影響を受けるバージョンは 0.22.2 以前、影響を受ける環境はUNIX / Sun Solaris / BSD / Linux となっている。

ご利用の方は早急にアップデートを行うことをオススメします。

[CVS]2004-05-19: CVS Feature Version 1.12.8 Released! (security update)
[CVS]2004-05-19: Stable CVS Version 1.11.16 Released! (security update)
[US-CERT]CVS contains a heap overflow in the handling of flag insertion
[e-matters]A vulnerability within CVS allows remote compromise of CVS servers.
[CVE]CAN-2004-0396 (under review)

投稿者 Kuro : 09:24 PM | コメント (0) | トラックバック

May 06, 2004

Sasser 検知・駆除ツール

巷ではBlaster級のワームウイルス Sasser が流行っていますが、皆さんは大丈夫ですか？
BroadBand Watchの記事によると、マイクロソフトが IE 上で「Sasser」を検知・駆除できるツールを発表したようです。

だが、この検知・駆除できるWebは英語ページしか公開されておらず、英語の授業を6年間学習していながら英語に精神的・身体的・感覚的に拒否反応を起こす日本人には利用されにくい気がします。

日本語での解説ページは作成されたようなので、わからない人はこちらで確認しながらどうぞ。

Kuroが実際に検知・駆除ツールページにて確認したところ、もちろんワームは確認されませんでした（Sleipnir v1.41）。

社会人の方でまだ会社に行っていない人も多くいるようですので、来週から出勤の方（特にシステム管理者さん）は、社内のWindowsマシンにはご注意ください。
セキュリティーホール memo によると、イギリスで沿岸警備隊のコンピュータがワームに感染した模様です。
また、シドニーでワームにより信号制御していたコンピュータが故障、30万人の旅行者に影響がでたようです。

投稿者 Kuro : 09:11 PM | コメント (0) | トラックバック

May 02, 2004

早速GWワーム登場

セキュリティーホール memoによると、MS04-011(英語) の LSASS(Local Security Authority Subsystem Service) の脆弱性を利用したワームが発見されたようです。
自分のマシンをワームから守るため、指示に従って対策を行うことをオススメします。また、既に亜種も報告されているようです。

・[Microsoft]ホームユーザー向け - Sasser ウイルスに関する情報 Windows XP 編
・[Microsoft]ホームユーザー向け - Sasser ウイルスに関する情報 Windows 2000 編

・[McAfee]W32/Sasser.worm
・[symantec]W32.Sasser.Worm
・[TRENDMICRO]WORM_SASSER.A
・[SOPHOS]W32/Sasser.worm
・[F-Secure]Sasser

・[SANS ISC]Handler's Diary April 30th 2004
・[eEye]Sasser Worm Technical Analysis
・[Secunia]Sasser

・[McAfee]W32/Sasser.worm.b
・[symantec]W32.Sasser.B.Worm
・[TRENDMICRO]WORM_SASSER.B
・[F-Secure]Sasser.B

投稿者 Kuro : 11:58 PM | コメント (0) | トラックバック

April 27, 2004

ナイキWebがハッキングされる

Net Securityの記事によると、スポーツブランドでおなじみの株式会社ナイキジャパンのWebサイトがPerfect.Brと名乗るグループに改竄されたようだ。

情報提供元のzone-hのAtacks archiveを確認してみると、改竄されたWebのミラーを見ることができた（改竄の詳細）。

サーバはWindows 2000のIIS/5.0で運用されていたようです。私的にWindowsサーバは社内ネットワークなどのインターネットに直接接続していない小規模ネットワークで運営するのが一般的だと思っていたのですが、インターネット上にWindowsで公開するのはかなり漢だな、と思いました。

世界のWebサーバソフトウェアの利用状況の調査結果を集計しているnetcraftで検索してみると、懲りずにまだIISで運営しているようだ。

投稿者 Kuro : 09:22 PM | コメント (0) | トラックバック

April 26, 2004

WindowsにSSLの脆弱性

IPA・INTERNET Watch・ITmedia・MYCOM PCWEBの記事によると、マイクロソフトが4月14日のセキュリティ情報「MS04-011」のPCT(Private Communications Transport）を悪用しWindowsのSYSTEM権限が奪取される脆弱性が発見されたようだ。

IIS(Internet Infomation Server)がインストールされ SSL が有効に設定されている場合、攻撃対象とされる可能性がある。
早急に IIS がインストールされているか、Vendor のサイトで確認してほしい。

[Microsoft]PCTPCT/SSL の問題の影響を受けるか確認する方法
 [Microsoft]IIS を削除する方法について

投稿者 Kuro : 09:06 PM | コメント (0) | トラックバック

April 21, 2004

LinuxKernelにroot権限奪取可能な脆弱性

2.4.22-2.4.25/2.6.1-2.6.3にroot権限奪取可能な脆弱性 - スラシュドットジャパン
この脆弱性の対象となるバージョンは2.4系が2.4.22-2.4.25、2.6系が2.6.1-2.6.3。最新版は影響を受けない。

うちのサーバも新しいKernelいれようかなぁ、とおもってまた1年放置する予感が。

投稿者 Kuro : 09:03 PM | コメント (0) | トラックバック

March 20, 2004

支払勧奨通知書（催促状）

木曜帰宅してみると家にネタがありましたので記事にします。

拡大画像は、笑えたので最高サイズで高解像度にしてあります。

ハガキは、往復はがきの中身がみれないように貼り付けてあるタイプです。
中身はプライバシー保護のために見えなくなっている。

支払勧奨通知書（催促状）
担当弁護士：村上浩一郎
管理番号：0153-651367
発行年月日：平成16年3月15日

当職は、この度貴方のご利用になられたプロバイダー及び電話回線から接続された有料サイト運営業者の依頼により、同社の貴方に対する利用料金支払遅延につきまして受任する事になりましたので通知致します。
貴方の現在の未納期間、金額は右記記載の通りです。
尚、貴方の同社に対する大会手続きが受理されておりません。
その為、利用日から今日に至るまで遅延利息が加算され続けておりますので、至急当職事務所、担当弁護士までご一報下さい。
三日以内にご連絡を頂けない場合、本件は不良債権という形で扱わせて頂く事となり、同社の意志に基づき「利用料金支払請求」の訴え、告訴手続きを行わせていただきます。
従って本状を最終通知と致しまして、追って裁判所から通知が行われる運びとなりますので、その旨ご承知下さい。

徳川法律事務所
（差出人）
住所：〒105-0001　東京都港区虎ノ門1-24-18　秀栄ビル２階
電話：0120-780-313
【受付時間：9：00～20:00】

■貴方の遅延状況
平成14年
利用月数：3ヶ月
遅延利息：19,560円
各月のご利用状況：4月、5月、6月、7月、8月、9月、10月、11月、12月、1月（※）、2月（※）、3月（※）

平成15年
利用月数：1ヶ月
遅延利息：71,720円
各月のご利用状況：4月（※）、5月（※）、6月（※）、7月（※）、8月（※）、9月（※）、10月（※）、11月（※）、12月（※）、1月（※）、2月（※）、3月

■請求内訳
依頼会社：アダルト通信ネットワーク　有限会社エンジョイガール
管理番号：0153-651367（　　　　　　　　　　　　　様の連帯保証人）
未払内容：通信サービス料金未納　　0658-0254
15490400-98650
利用月数：14ヶ月（平成16年3月現在）
利用料金：¥16,720
会員登録費用：¥12,800
管理費用：¥65,000
事務手数料：¥46,000
遅延利息：¥91,280（月額6,520円の１４ヶ月計算）
請求金額：¥231,800　※

■モチロン、「架空請求」ですよ
振込先が書かれていないので、電話で教えられるようですね。
架空講座なのでそうもカンタンに書面にはかけないのでしょう。
債権回収詐欺（架空請求）に注意！！にも報告・登録されている
 江戸川区消費者センターによると、この徳川法律事務所の弁護士　村上浩一郎という人物は存在しないらしい。
日本弁護士連合会の弁護士情報検索で入力しても何もでてこない。

まぁとりあえずネタになったのでヨシとしよう。Blogユーザーに送ってくるとは運がわるいとおもってさっさとつかまって下さい。
HAHAHAHA！

■全く同じのが来てる方
海と空と、、様
 海外鉄道旅行愛好者様
※お二人ともcocologのため、同時にtrackback(ping)したところ、

One or more errors occurred when sending update or TrackBack pings. エラーのときはログをチェックしてください

というのがでてしまいました。

以下はログの記述。

Ping 'http://app.cocolog-nifty.com/t/trackback/305281' failed: You are posting Trackbacks too quickly. Please try again in a couple of minutes.

同時に２つにpingするとエラーしてしまい、「もう少し時間を空けてから送信してください」と出ます。
cocologユーザーにtrackbackする場合、１個ずつpingを投げないとだめっぽいです。
１個目をpingしたら、１個目は消して２個目をpingです。

投稿者 Kuro : 09:52 AM | コメント (1) | トラックバック

December 04, 2003

ついにきた、債権回収詐欺メール

ついにきました。債権回収詐欺メール。
ネタに困ってたのでラッキー（ぉ

日時：2003/12/04 14:46
件名：強制執行開始/最終通告
From：star-peach.1124@ezweb.ne.jp
◎前略、最終期日平成15年12月8日15時迄に
サイト利用料
¥28,000
遅延損害金
¥3,150
情報開示調査費用 ¥8,400
回収委託費用
¥12,600
合計金額¥52,150を下記口座へお振込下さい。
<振込先>
三井住友銀行
トツカ支店
(普通)7003001
イシカワ　タイジ
※弊社は、サイト事業社(C)Star-peachより貴殿のサイト利用料未払金徴収を委託されご通知致します。
尚、期日迄に入金確認が取れなき場合、身辺調査による自宅、勤務先、親族等へ強制回収します。
同時に、強制執行費用等[¥270,000]別途徴収致しますのでご了承下さい。

以前、日本テレビで債権回収業者に電話をして、本音を吐かせた番組やってましたよ。
自宅なんていったらこっちが捕まるって吐いてましたよ。
てか、来たらそいつの最後ダナ。家にきたらすでに回りは機捜車両（警察車両）の覆面がいる罠。
債権回収詐欺メール（はがき）にご注意を。

債権回収詐欺サイトに登録されていました。

あなたはちゃんと日本の法律で保護されているのでたとえ家にきても相手が損するだけです（笑）。

■債権回収会社（法律上は債権管理回収業と呼ぶ）とは
債権管理回収業に関する特別措置法（平成十年十月十六日法律第百二十六号）第二条第一項第二十二号
による債権回収会社とは、

法律において「債権管理回収業」とは、弁護士又は弁護士法人以外の者が委託を受けて法律事件に関する法律事務である特定金銭債権の管理及び回収を行う営業又は他人から譲り受けて訴訟、調停、和解その他の手段によって特定金銭債権の管理及び回収を行う営業をいう。

■債権管理回収業になるためには
「債権管理回収業に関する特別措置法（平成十年十月十六日法律第百二十六号）」
によると、
【第三条】

第三条　債権管理回収業は、法務大臣の許可を受けた株式会社でなければ、営むことができない。（許可の申請）

【第四条】
で、四条にはその許可に必要な事項。

第四条　前条の許可を受けようとする者は、次に掲げる事項を記載した許可申請書を法務大臣に提出しなければならない。
一　商号
二　本店その他の営業所の名称および所在地
三　取締役及び監査役（株式会社の監査等に関する商法の特例に関する法律（昭和四十九年法律第二十二号）第一条の二第三項に規定する委員会等設置会社にあっては、取締役及び執行役。以下「役員」という。）の氏名及び住所
四　役員のうち弁護士であるものについては、その旨及び所属弁護士会の名称
五　資本の額

【第五条】
申請する準備ができたよー。そしたら、法務大臣が次に挙げることにあてはまらなければ「許可します」と判子おされるってこと（判子かしらんけど）。

第五条　法務大臣は、前条の規定による許可の申請があったときは、許可申請者が次の各号のいずれかに該当する場合を除き、第三条の許可をしなければならない。
一　資本の額が五億円以上の株式会社でない者
二　第二十四条第一項の規定により第三条の許可を取り消され、その取消しの日から五年を経過しない株式会社
三　この法律若しくは弁護士法又はこれらに相当する外国の法令の規定により罰金の刑（これに相当する外国の法令による刑を含む。）に処せられ、その刑の執行を終わり、又はその刑の執行を受けることがなくなった日から五年を経過しない株式会社
四　常務に従事する取締役のうちにその職務を公正かつ的確に遂行することができる知識及び経験を有する弁護士のない株式会社
五　暴力団員による不当な行為の防止等に関する法律（平成三年法律第七十七号）第二条第六号に規定する暴力団員（以下この号において「暴力団員」という。）又は暴力団員でなくなった日から五年を経過しない者（以下「暴力団員等」という。）がその事業活動を支配する株式会社
六　暴力団員等をその業務に従事させ、又はその業務の補助者として使用するおそれのある株式会社
七　取締役若しくは執行役（相談役、顧問その他いかなる名称を有する者であるかを問わず、会社に対し取締役又は執行役と同等以上の支配力を有するものと認められる者を含む。）又は監査役（以下この号において「役員等」という。）のうちに次のいずれかに該当する者のある株式会社

七番目はもっと枝わかれして
「イロハニホヘトチ」があります。

イ　成年被後見人若しくは被保佐人又は外国の法令上これらと同様に取り扱われている者
ロ　破産者で復権を得ないもの又は外国の法令上これと同様に取り扱われている者
ハ　禁錮以上の刑（これに相当する外国の法令による刑を含む。）に処せられ、その刑の執行を終わり、又はその刑の執行を受けることがなくなった日から五年を経過しない者
ニ　この法律若しくは弁護士法又はこれらに相当する外国の法令の規定により罰金の刑（これに相当する外国の法令による刑を含む。）に処せられ、その刑の執行を終わり、又はその刑の執行を受けることがなくなった日から五年を経過しない者
ホ　債権の管理又は回収に関し、刑法（明治四十年法律第四十五号）、暴力行為等処罰に関する法律（大正十五年法律第六十号）、貸金業の規制等に関する法律若しくは暴力団員による不当な行為の防止等に関する法律又はこれらに相当する外国の法令により罰金の刑（これに相当する外国の法令による刑を含む。）に処せられ、その刑の執行を終わり、又はその刑の執行を受けることがなくなった日から五年を経過しない者
ヘ　暴力団員等
ト　債権回収会社が第二十四条第一項の規定により第三条の許可を取り消された場合において、その取消しの日前六月以内に当該債権回収会社の役員等であった者で当該取消しの日から五年を経過しないもの
チ　債権管理回収業に関し不正又は不誠実な行為をするおそれがあると認めるに足りる相当の理由がある者

で、最後の八です。

八　債権管理回収業を適正に遂行するに足りる人的構成を有しない株式会社

【第六条】
ここまできてもまだ債権回収はできません。
許可しようとすることについて、警察庁長官の意見を聞きます（まだかよ！）。

第六条　法務大臣は、第三条の許可をしようとするときは、前条第五号、第六号及び第七号ヘに該当する事由の有無について、警察庁長官の意見を聴くものとする。

そんでもって、その弁護士である取締役の人はちゃんとしっかり会社をやっていけるかどうか、経験をもっているか日本弁護士連合会の意見を聞きます。

２　法務大臣は、第三条の許可をしようとするときは、弁護士である取締役について、当該取締役がその職務を公正かつ的確に遂行することができる知識及び経験を有するものであるか否かに関し、日本弁護士連合会の意見を聴くものとする。ただし、当該取締役がその所属する弁護士会の推薦を受けた者であるときは、この限りでない。
　（変更の届出）

【第七条】
７条は、簡単にいえば上記申請でだしたけど、ちょっと内容に間違いがあった場合に２週間以内に法務大臣に報告しなさい、ってことです。

あー、なげー。てかこんなことまでして許可できる会社がメールで警告なんてださねーよ（笑）。
まぁどっかの馬鹿がWindowsかなんかでプログラムはしらせて、エンターキーをポンとたたくだけでメール送信してるんだろうけど。

投稿者 Kuro : 09:04 PM | コメント (0) | トラックバック

October 14, 2003

違法なP2Pからネットワークを守る

いまだにまだ多くの違法なデータのやりとりによって、一般ユーザーへの回線負荷が急務になっている今日この頃。
P2Pから守る方法を検索しようと、Googleでp2pを検索してみると、なにやらどうみても合法ではないようなWebばかりヒットします。
これをみているあなたの家のネットワークもなぜか重い！と思う方はいるのではないでしょうか。
一般的に「回線が重い！」と感じたときに講じる対策と言えば、
・NIC（ネットワークインターフェースカード）をIntel製などの有名メーカーのチップをつかっているNICに変更
・ルータを高スループットのルータに変更する
・驚速などの高速化ソフトウェアの導入（←実際早くなってもその分殺す機能もあり？）
・MTU（Maximum Transmissin Unit）やRWIN（TCP Receive Window）変更する
などがあるでしょう。

多くの企業や大学の大規模ネットワークでは、ネットワーク管理者がネットワークに制限をかけていたりしますが
自宅のネットワークにおいては、そうはいきません。自宅にネットワーク管理者がいるわけでもありませんし。

さてさて、P2Pソフトウェアからネットワークを守るにはどうしたらよいでしょうか。
これからはTCP/IPという知識が必要なので、インターネットをするのであればTCP/IPぐらいは理解しておきましょう。
ClockRoomにwinmxについての調査結果があったので参考にしてみます。
このソフトは標準では、
TCP:6699
UDP:6257
を利用しているようです。
ルータの設定画面で、ポート制限の指定・またはLinuxのiptablesで上記のポートを閉じてしまえば楽勝じゃん！
とおもったのですがこのポートはユーザー自身で変更できるらしいのです。
これは困ります。使用するポートが固定されているのであれば、そのポートのみ閉じてしまえばいいのです。
でも変更できるとなれば、すべてのポートを規制しなければなりませんが、すべてのポート（80以外）を閉じてしまえば
MSNメッセンジャーやIRCなどのチャット関連も使用できなくなってしまいます。
ポートには「well-knownポート（よく知られているポート」というものがあり、IANAが標準化しています。
well-knownポートの例としては
20番：FTPのデータ転送
21番：FTPの制御
23番：遠隔操作できるtelnet
80番：Webサイト閲覧
25番：メールのSMTPとの通信
110番：メールのpop3との通信
123番：ネットワーク時間を合わせる
などがあります。
ポートは0番から65535番が存在します。
IANAが決めているルールは以下のとおり。
well-known ports（現在においてよく使用されるポート）＝0番から1023番
registered ports（将来のプロトコルのため予約されたポート）＝1024番から49151番
dynamic and/or private ports（勝手に利用できる自由なポート）＝49152番から65535番

registered portsも、勝手にしようしてもいいようです。
ROのGPSソフトも5963番を使用しているので。

これじゃー、どうやってP2Pからネットワークを守れるんだ～！とお思いの方もいらっしゃるでしょう・・・
ルータの設定でポート番号を範囲指定して、たとえば1024-65535とすればある程度守れるとおもいます。
うーん、このような詳細なポート設定となるとやはりLinuxやUNIXのiptablesを使ったほうがいいんでしょうか。

まだまだタコなLinuxユーザーなのでそこまでは講義できないのです・・・・；；
でも違法なP2Pなんかにネットワークを占有されるのは断固反対です。

※Googleで探してもP2Pからネットワークを守るドキュメントがみつからなかったのでかいてみました。

投稿者 Kuro : 10:08 PM | コメント (0) | トラックバック

世界は黒に始まり、黒に終わる。

June 17, 2005

May 13, 2005

May 01, 2005