「gredでチェック」を、私はしばしば利用して重宝しています。「企業のウェブサイト改ざんが続いている」ということですから、個人のサイトも危ないところは相当数あると予想されます。WordPress のフォーラムを覗いていても、それらしき疑いのあるサイトが散見されているように、私は感じています。

ウェブ改ざんの手口に変化、対策の“逆”を突くスクリプト埋め込みも -INTERNET Watch

 株式会社セキュアブレインは30日、無料のウェブセキュリティサービス「gred(グレッド)でチェック」が6月に収集したデータをとりまとめた。ウェブサイトを改ざんして悪意のあるスクリプトを埋め込み、サイト閲覧者に不正プログラムを感染させる「ドライブバイダウンロード型」の攻撃に変化が見られたと報告している。

 従来のウェブサイト改ざんの手口は、悪意のあるスクリプトを「難読化」することで、セキュリティ対策システムからの検知や、管理者による発見を逃れる傾向があった。しかし6月には、あえて難読化されていないスクリプトが埋め込まれており、ソースコードを確認すれば容易にその内容が理解できる事例が確認されたという。

 セキュアブレインによれば、この新たな攻撃手口のスクリプトの一部には、通常の文面または、コンピューターのOSや機種の名称など、よく知られている固有名詞が使われており、これによりセキュリティ対策システムが「悪質ではない」と判断したり、難読化されていないため、逆に管理者が気付かない可能性があるとして、注意を喚起している。

Read the rest of this entry »

 WordPress 3.0.1 日本語版がリリースされました。こちら からダウンロードできます。

 3.0 と 3.0.1 を DF で比較してみましたが、ざっと見たところ5割のファイルが更新されています。従って、FTP クライアントでアップデートするか、「自動更新」できるサーバーでは「自動更新」でするか。私は、初めて「自動更新」しました。今回のバージョンは、バクの修正が主なものでしょう。ちょっと気になったことは、プラグインをアップデートしたにもかかわらず「利用可能なアップグレード」に残ってしまうことです。

 アメリカが仕掛ける戦争が、いつも!「正義の闘い」ではないので、当然このような事態が起こってくるのでしょう。アフガンでは、テロリストでもない一般市民が大量に虐殺されています。「米軍ヘリがイラクで非武装の民間人を攻撃しているビデオ映像」も公開され、厭戦気分が蔓延するのも無理もありません。もう、ベトナム戦争を上回る期間戦争をしているのも異常と言えるでしょう。911で頭に血が上り、アフガニスタンに戦争を仕掛けたこと自体が間違っていました。大量破壊兵器がなかったイラクに戦争を仕掛けたことが間違っていたように。

アフガン機密文書、だれが流した…戦争が嫌で?(読売新聞) – Yahoo!ニュース

 【ワシントン=黒瀬悦成】アフガニスタン戦争に関する米軍や米政府機関などの機密文書約9万2000点が民間サイト「ウィキリークス」に流出した問題は、アフガン戦争が長期化する中、米国内に広がり始めた厭戦気分が関係者の「内部告発」を助長した可能性が大きい。

 米同時テロへの報復として開始された「正義の戦争」が泥沼化しつつあることへの嫌気を象徴的に示す事件と言える。

 今回流出した文書は、2004年1月~09年12月に米軍などが収集した作戦情報が大半。パキスタン軍統合情報部(ISI)と旧支配勢力タリバンが裏で結託していることや、アフガン政府高官の汚職体質、米軍の攻撃の巻き添えによる民間人死者の拡大の実態などが記述されている。

Read the rest of this entry »

 「広告配信システムが外部からの攻撃を受け、不正なコードを埋め込まれたバナー広告がサイト上に表示されていた」ということで、普段、インプレスのサイトを頻繁に閲覧しているわたしとしては驚いています。今回も、Internet Explorer を使っていてはダメということを再確認させられました。

インプレスビジネスメディア、バナー広告改ざんでウイルス感染の恐れ -INTERNET Watch

 株式会社インプレスビジネスメディアは21日、同社の広告配信システムが外部からの攻撃を受け、不正なコードを埋め込まれたバナー広告がサイト上に表示されていたことを明らかにした。このバナー広告を閲覧した一部のユーザーは、トロイの木馬型ウイルスに感染した可能性があるとしている。

 改ざんされた広告が表示されていたのは19日23時22分から翌20日0時25分まで。この間、同社が運営する「Think IT」「Web担当者Forum」「IT Leaders」「データセンター完全ガイド」「レンタルサーバー完全ガイド」のいずれかに Internet Explorer でアクセスし、かつウイルス対策ソフトをインストールしていないユーザーは、ウイルスに感染した恐れがあるという。

 ウイルス感染の恐れがあるユーザーに対しては、ウイルス対策ソフトを最新の状態にして、ウイルススキャンを実施するように呼びかけている。また、ウイルス対策ソフトをインストールしていないユーザーに対しては、シマンテックやトレンドマイクロ、マカフィーが提供する無料ウイルス駆除ツールを紹介している。

 なお、今回の障害は、社内でのシステムチェックにより発見され、約1時間後に広告表示の停止による緊急対応を行い、すでにサービスは復旧済み。なお、攻撃を受けた広告配信システムには個人情報は含まれておらず、情報漏えいの可能性はないとしている。

 屋根に上げていた FM アンテナが壊れました。トンボの羽のような形をした(確かパイオニア製)FM 専用のアンテナでしたが、約25年の風雪に耐えていましたが、とうとう止めていたネジが腐食して切れてしまった。ぶらぶらしてうるさいので仕方なく同軸ケーブルを切って取り払ってしまいました。毎年、NHK-FM のバイロイト音楽祭の録音放送を録音していました。高音質で。それが、これからは高音質で録音できないと思うと、心にぽっかりと穴が開いたようで喪失感を感じます。

 テレビの VHF アンテナも屋根に上げているので、それで代用しようかとも思っていました。FM チューナーにつなげていた同軸ケーブルはそのままにしています。ふとステレオ・システムの電源を入れて FM 放送を聴いてみました。いつものように高音質で聞こえてくるじゃありませんか。狐につままれた感じで放送を聴いていたのですが、同軸ケーブルをつなげていて屋根の上までとどいているので、ちょうどロッドアンテナのような役目をしていてケインが相当あるようで納得した次第です。高音質なので、また、MD に録音できるのを嬉しく思っています。
Read the rest of this entry »

 WordPress のテーマ Twenty Ten 1.0 がどのようなものなのか、リポートしているサイトがあります。詳しくリポートされているので参考になります。WordPress3.0の新デフォルトテーマ「Twenty Ten」

 この脆弱性攻撃が広がったら、影響ははかりしれませんね。「ショートカットファイルのアイコンが表示された際に、悪意のあるコードが実行される」というのだから、攻撃が広がらないように祈るのみです。早急にこれに対処したパッチが求められます。

Windowsに新たな脆弱性、ショートカットアイコン表示でコード実行の危険性 -INTERNET Watch

 マイクロソフトは17日、Windowsのショートカットファイル(.lnkファイル)の処理に関する新たな脆弱性が発見されたとして、セキュリティアドバイザリ(2286198)を公開した。脆弱性は、現在マイクロソフトがサポートしているすべてのOS(Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003)に影響があり、既にこの脆弱性を悪用する攻撃も確認されている。

 発見された脆弱性は、特別な細工がされたショートカットファイルのアイコンが表示された際に、悪意のあるコードが実行される可能性があるもの。USBメモリーなどのリムーバブルドライブを経由する攻撃が考えられ、自動実行(Autorun)を防止する対策を施していても、ユーザーが手動でドライブをダブルクリックした場合、ドライブ内のアイコンを表示しただけでウイルスなどを実行させられる危険がある。

 F-Secureによれば、現時点でこの脆弱性を悪用する攻撃は、インフラなど産業装置の監視システムに用いられているSCADAシステムを狙ったものが確認されており、期限切れのデジタル署名も利用しているという。

 マイクロソフトではこの攻撃の回避策として、ショートカット用アイコンの表示を無効にすることと、WebClientサービス(WebDAV)を無効にする方法を挙げている。また、この脆弱性を修正するためのセキュリティ更新プログラムの開発を進めているという。

 今回の版は「合計14件のセキュリティ上の問題を修正した」とあるように、大幅に修正した版のようです。すぐ、デスクトップ PC もノートパソコンもアップデートしました。

「Firefox 3.6.7/3.5.11」リリース、危険度の高い脆弱性を修正 -INTERNET Watch

 Mozillaは21日、ウェブブラウザーの最新版となる「Firefox 3.6.7」を公開した。Windows/Mac/Linuxがあり、日本語版も用意されている。

 3.6.7では、不正なPNG画像によってリモートコードが実行されるなど、危険度が4段階で最も高い“最高”の脆弱性8件を含む、合計14件のセキュリティ上の問題を修正した。3.5.11でも、3.6.7と同様の脆弱性など10件のセキュリティ上の問題を修正した。

 なお、MozillaはFirefox 3.0.xのサポートを3月で終了しているほか、Firefox 3.5.xのサポートも8月で終了する。このため、これらのバージョンのユーザーに対して、Firefox 3.6.7にアップグレードすることを勧めている。

 アップデートしておきました。とりあえず「プロパティ」⇒「情報」⇒「ジャンル」でジャンルを選択できなかったのが直っています!

「iTunes 9.2.1」公開、セキュリティ上の問題を修正 -INTERNET Watch

 Appleは19日、コンテンツ管理ソフトの最新版「iTunes 9.2.1」を公開した。対応OSはWindows 7/Vista/XPおよびMac OS X 10.4.11以降。

 iTunes 9.2.1では、項目のドラッグ&ドロップ時に起こる不具合を修正したほか、iTune 9.2で一部のデバイスと初めて同期する際に生じるパフォーマンスに関する問題、暗号化されたバックアップがあるiPhoneまたはiPod touchをiOS 4にアップグレードする際に起きる問題を修正した。

 また、Appleのセキュリティ情報によれば、細工を施されたウェブサイトを訪問すると、予期せずにアプリケーションが終了したり、任意のコードが実行されるセキュリティ上の問題点を修正した。具体的には、「itpc:」で始まるURLを取り扱う際にバッファオーバーフローが悪用される恐れがあるという。

 正式版が出たらインストールしても良いな、と思っています。「32ビット版と64ビット版がダウンロード可能」なんだし、無料だし、性能も各種のテストでそこそこ良いし、なによりも Windows のメーカー製だし、という理由からです。

Microsoft、「Security Essentials」次期ベータ版を公開 -INTERNET Watch

 米Microsoftは20日、セキュリティ対策ソフト「Security Essentials」の次期バージョンのベータ版を公開した。対応OSはWindows 7/Vista/XPで、32ビット版と64ビット版がダウンロード可能。ダウンロードにはWindows Live IDが必要となる。現時点では米国、イスラエル、ブラジルのユーザーが対象で、中国語版も年内に公開予定としている。

 Security Essentialsは、Microsoftが無料で提供しているセキュリティ対策ソフト。新バージョンでは、新しい保護エンジンによりマルウェアの検知や駆除のパフォーマンスを向上するとともに、ウェブベースの脅威からの保護機能を強化。インストール時に、Windowsファイアウォールを有効にできる機能も追加した。

 また、ネットワーク監視エンジンを新たに搭載し、ネットワークベースの攻撃からの保護機能を備えた。ただし、この機能はWindows 7/Vistaのみが対象となっており、Windows XPでは利用できない。

blank