V.S.A. III

• マルウェア作者もウイルスに感染――McAfee報告 (2007/02/27 ITmedia エンタープライズ)
• Malware writer got infected! (2007/02/26 McAfee Avert Labs Blog)

これは結構笑えます．McAfee も "This time I would like to recommend that they use anti-virus as well, otherwise they can also be infected !" というのがなかなか面白い．

人の振り見てわが振り直せ，といいますから，マルウェア作者じゃなくてもウィルス対策ソフトウェアは必須ですね．


# タイトルの「ウィルスに感染したウィルス」は実は正しくなくて，
# 「ウィルスに感染したマルウェア」というのが正しいようです．

• Mozilla Firefox 2.0.0.2と1.5.0.10がリリースされた (2007/02/25 MozillaZine 日本語版)

• Fixed in Firefox 2.0.0.2
• Fixed in Firefox 1.5.0.10

Firefox 1.5 シリーズの 1.5.0.10 も同時にリリースされていますが，1.5 シリーズは 2007 年 4 月 24 日でアップデートサポートが終了するので，1.5.x をお使いの方は，この機会に 2.0 にアップグレードされてはいかがでしょうか．

• 不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況 (2007/02/22 総務省(報道資料))
• 不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況について (2007/02/22 経済産業省 報道発表)

検挙件数も平成17年度の 277 件から 703 件と大幅に増えています．検挙件数ですので，有罪となった件数ではありませんが，有罪になったケースもほぼ同様の推移を見せていると考えてよいでしょう．

また，セキュリティホールをついたような不正アクセスよりもフィッシングなどによって ID などを盗むケースが圧倒的に多いこともわかります．この報告書を見ると 「8 割が内部犯行」 という都市伝説は，日本国内ではあまり真実を突いていないようです．

今後はボットやスパイウェアなどの原因が増えてくるのでしょうね．

• オンラインショップの信頼性、「確認手段が分からない」が過半数 (2007/02/22 ITmedia エンタープライズ)

オンラインショッピングに対して過半数のユーザーが不安を感じており、その不安を解消する手段が具体的に分からない――。Eストアーが行った調査からは、このようなインターネット利用者の姿が浮かび上がった。

私が思っていたよりもオンラインショッピングに不安を感じている人が多いです．不安を感じずにオンラインショッピングをしている人が多いのではないかと思っていたのですが．

一方，信頼性の確認手段として

なお、トラブルに遭わないために行っている、あるいは今後取り入れたい確認方法を尋ねたところ、男性で最も多かったのは、「SSLなどサイトの安全性表記を確認する」で53.1％。女性も同様の回答が52.2％に上ったが、それ以上に「購入者の口コミや評価を確認する」が54.1％と、わずかながら上回った。

という記述があるのですが，「SSL」で確認できるのは通信の暗号化の確認だけであって，そのサイトの信頼性を確認できるわけではないのですよね．私の場合はやっぱり「購入者の口コミや評価を確認する」でしょうか．そうすると，最初の一人にはなりたくないので，誰かが人身御供になってくれるのを待つということです．もっと簡単に信頼性を確認できる方法があるといいですね．

こんにちは，五十嵐です．2005年末から Google アラートを使用しています．使い始めた頃は「情報セキュリティ」という言葉で通知されるのは，週に数件でした．しかし，今では，一日に何件ものホームページやブログが検索にかかって通知されてきます．

「情報セキュリティ」という言葉は，もともと一般の「セキュリティ」と区別して，「情報」に特化したセキュリティということで使われ始めたものですが，この言葉が定着化したということなのでしょう．

一方で，情報セキュリティを考える場合に，物理セキュリティなどを抜きには語れなくなってきています．情報セキュリティの専門家には，より広い知識が必要になってきていると言ってもいいでしょう．日々の勉強が欠かせません．

これから益々「情報セキュリティ」の示す範囲は広がり，言葉も様々な意味に使われていくことになると思います．

こんにちは，五十嵐です．2006/05/20 に制定された日本工業規格 JIS Q27002 「情報技術―セキュリティ技術―情報セキュリティマネジメントの実践のための規範」を眺めています．各管理策をサマライズした表は JIS Q27001 「情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－要求事項」の附属書 A にあります．

みんなが 「27001 の 133 の管理策」と呼んでいるものは，実はこの「附属書 A」の表のことで，この実体は JIS Q 27002 に存在します．JIS Q 27002:2006 の制定に伴い，JIS X5080:2002「情報技術－情報セキュリティマネジメントの実践のための規範」は廃止されました．

JIS X5080:2002 はもともと国際規格 ISO/IEC 17799:2000 を翻訳したものです．ISO/IEC 17799 は 2005 年に改定され ISO/IEC 17799:2005 となりました．情報セキュリティマネジメントのシリーズとして番号を体系的につけるために，ISO/IEC 27001:2005 と変更になり，これを受けて，JIS でも JIS Q27001:2006 を制定したものです．セキュリティ技術の管理策を制定したものが JIS Q27002:2006 となっています．

JIS Q27001:2006 の付属書 A の詳細が JIS Q27002:2006 に書かれていることが意外と知られていないようですので，簡単に紹介してみました．

• インテル社が80コア・プロセッサ開発、その性能の一部を明らかに (2007/02/13 eeTimes Japan)

「スタートレック」 の生みの親であるGene Roddenberry氏などの作家がSF物語の世界でしか描けなかった未来のシナリオも、プロセッサ・チップの性能向上によって実現可能になる」と同社は主張する。

これですよこれ．

NASA の多くの人たちも 「スタートレック」 で宇宙を夢見て「未来」を現実に引き寄せ，インテル社の人たちも 「スタートレック」 の世界を目指して未来のシナリオを実現可能にしようとしている．

スタートレック の世界のガジェットを，情報セキュリティの分野で，私も何かひとつでも実現できたらなぁ，と思わないでもないのですが．．．
現実は厳しい．．．

"TGIF" とは，"Thank God, It's Friday!" の略．「花の金曜日」略して「花金」(笑) 毎週金曜恒例のお遊び/オタクモードです．

• 「CCCクリーナー」の脆弱性に関する注意喚起 (2007/02/10 JPCERT/CC)
• JVN#77366274 CCCクリーナーにおけるバッファオーバーフローの脆弱性 (2007/02/13 JVN)

• JVNVU#276432 Trend Micro AntiVirus が細工された UPX 圧縮実行ファイルを適切に処理できない脆弱性 (2007/02/10 JVN)

これと関係する話だろうと思っていたので．
正直に言うと，一般消費者にはまだ CCC は浸透していないと思います．私の妻など「CCC？ サイバークリーンセンター？ 何それ」という状態ですから．まだ情報セキュリティ分野の人たちが注目しているだけなので，それほどの大騒ぎにはならないと思います．

今後，CCC の名前が一般消費者 PC ユーザに浸透して有名になってくると，そうはいかなくなるでしょうけれどね．

• 規格等の日本語訳(参考資料等) (2007/01/31 IPA)

Couldn't render template "file error - template-index.tt: not found"

ということでエラーになってしまいました．

"http://localhost/"

では動くのを確認したのですが，

"http://localhost/catalysttest/testbookmark/"

ではテンプレートが無いというエラー．．．

いろいろとインターネットを検索してみましたが，解決策は見つかりませんでした．これはちょっと手強いかも．どなたか，これを解決したという方はいらっしゃいませんか？

• コンピュータウイルス・不正アクセスの届出状況[1月分]について (2007/02/02 IPA)

W32/Fujacks というウィルスの亜種にはアイコンを「線香を持ったパンダの絵」に変えてしまうものも出ているそうですので，かわいい，とか言わずに，ご注意ください．だいぶ前から騒がれているので，ご存知の方も多いとは思いますが．
Windows Update を行うことで防げるものばかりです．今月の IPA からの呼びかけは

「 アップデートは忘れずに！！」
― Windows やウイルス対策ソフト等のアップデートは最新か確認しよう ―

とのことです．

• "秋葉原を先端技術の実証フィールドに"　推進協議会発足へ記者会見（産学連携推進機構）
• 地震！電子ペーパーに逃げ道を表示＝秋葉原先端技術実証フィールドで

こんにちは，五十嵐です．先日は「情報の共有」という視点で分類を考えてみたのですが，(個人ではなく)組織で情報が活用されるまでの段階を考えてみました．

情報を自ら作り出すか，あるいは既にある情報を発見するかというところに差異はないと考えて，これを「情報の創造・発見の段階」と呼ぶことにしましょう．

組織ですから，情報が作られたり発見されたりした後には，それを共有する段階が来ます．これを「情報の共有の段階」と呼ぶことにしました．先日書いたとおり，情報の共有には「情報の存在の共有」「情報の内容の共有」「情報の解釈の共有」の段階が含まれます．

そして「情報の活用の段階」に至ると考えました．

このように整理することで，それぞれの段階で必要となる IT ツールが見えてくるのではないでしょうか．

さらに一歩進めて，情報のライフサイクルというものを考えたとき，「情報の消去(削除)」という段階がありえるのかという疑問に当たりました．つまり，共有の段階を経てしまうと，情報はそこからさらに拡散し，完全に消去するということが事実上不可能になるのではないかと思ったのです．

一度共有された情報は半永久的に削除されないと考えると，それぞれの段階で情報セキュリティとしてガードした方がよいということになります．

ファイル共有やブログ，ソーシャルブックマーク，SNS といったツールでは，アクセス制御を十分に考慮しなければいけないということです．