文科省のWebサイトが改ざん 中国ドメインのサイトにリンク

ウェブの改竄。国交省の件と似ているみたい。SQLインジェクションかな。
文科省のWebサイトが改ざん 中国ドメインのサイトにリンク – ITmedia News

文科省の「再生医療の実現化プロジェクト」Webサイトが一部改ざんされ、中国ドメインのサイトにリンクしていたことが分かり、同省はサイトを閉鎖した。
2009年07月27日 17時29分 更新
 再生医療を研究する文部科学省の「再生医療の実現化プロジェクト」を紹介するWebサイトが一部改ざんされていたことが分かり、文科省は7月27日、同サイトのサーバを停止した。詳細は調査中。
 サイトの各ページからトップページに戻るための「ホーム」のリンク先が、中国ドメイン「.cn」のWebサイトのアドレスに書き換えられていたという。調査したところ、25日の午後3時39分ごろに書き換えを行ったとみられるアクセス履歴があったという。
 26日に、内閣官房情報セキュリティセンターから改ざんの指摘を受け、サイトを運営する先端医療振興財団にサーバの停止を指示した。現在、再発防止と再開に向けた作業を行っている。

こっちのニュース
文科省「再生医療の実現化プロジェクト」のサイトが改ざん:Security NEXT
によると、Googleでプロジェクト名を検索すると、「このサイトはコンピュータに損害を与える」表示が出てしまっているというので、やってみたら、ほんとだ。これは、まずいでしょう。
ところで文部科学省って、英語で言うと
Ministry of Education, Culture, Sports, Science and Technology
なんだ。 教育・文化・スポーツ、科学と技術省ってところか。 知らなかった。それでなんでMEXTなんだろう。 っていうか、そもそもなんなんだろう。

アリコジャパン:カード不正使用の被害拡大 - 毎日jp(毎日新聞)

顧客情報漏洩、カード不正利用
アリコ客情報流出 最大11万件、カード不正請求で発覚 – けにあmemo
の続報。
アリコジャパン:カード不正使用の被害拡大 - 毎日jp(毎日新聞)

カードの不正使用の件数が25日時点で約2200件に上り、問題を公表した23日時点で発表した1000件超の約2倍に拡大したことを明らかにした。情報流出の件数も約13万件と、23日発表した最大11万件から増加し、被害が広がっている。
 クレジットカードの不正使用では、05年に米カード情報処理会社からビザ、マスターなどの顧客情報が流出し日本で745件(総額1億1100万円)の被害が確認されたが、件数はこれを大きく上回り、国内最大規模となる。

新記録になってしまったか。

流出したのは契約者のカードの名義や番号、有効期限など。アリコによると、これらの情報は社内の閉じたネットワーク上で管理しており、外部回線と直接つながっていないため、外からのアクセスは難しい。社内で情報を引き出して加工できるのは従業員約40人に限られ、聞き取り調査などを進めているという。

おっとまた内部漏洩だったらしい。 なんでこう相次いで似たような事件がおきるんだろう。
不景気に伴って、不満を持つ従業員による不正行為が増えるだろう、という予言が実現しつつあるのか。(不況、解雇、情報盗難、漏洩コスト – けにあmemo)

ホスティングサイトから情報漏洩、50万件以上のクレジットカード取引情報

Network Solutions社のEcommerce Hosting というサービスの顧客である小売業者たちに送られたレターより。カード取引を扱うサーバーに不正なソフトウェアがインストールされ、そこでは今年の3月12日から6月8日の間に573,928件が処理されていた。
1万件以上の販売ウェブサイトがホスティングされているうち、4,343サイトに関わる通信が転送された可能性がある。
説明サイト。http://www.careandprotect.com/
Network Solutions warns merchants after hack – Network World
不正プログラムにより情報を転送する、というやり方は、今年1月のHeartlandの事件に似ているのか。
最大のカード情報漏えい? Heartland事件 – けにあmemo

アリコ客情報流出 最大11万件、カード不正請求で発覚

カード情報の漏洩。
asahi.com(朝日新聞社):アリコ客情報流出 最大11万件、カード不正請求で発覚 – ネット・ウイルス – デジタル

カード会社から身に覚えのない請求をされたとの照会が、23日までに千件を超えた。
7月14日に提携カード会社から、アリコの保険契約者のカード情報が不正利用されており、アリコから情報が漏れているのではないかとの照会があった。その後、他の複数の提携会社から同様の問い合わせが相次いだ。インターネット通販でカードで家電製品を買ったとして、数万円を請求されるといった被害が出ているという。
 流出情報には氏名、カード番号、カードの有効期限が含まれる可能性が高い。アリコは不正利用は7月初旬から始まったと見ているが、流出経路は現在調査中といい、被害総額も明らかにしていない。
 アリコによると、被害の照会があった契約者には(1)02年7月~08年5月にアリコジャパンに直接、保険契約を申し込んだ(2)クレジットカードで保険料を払っている(3)保険証券番号の下1けたが2か3の契約――の共通点がある。これらの3条件を満たす契約は11万件ある。アリコの契約者で保険料の支払いにクレジットカードを利用している約74万人いるという。

湯桶読み

平文、が気になって、重箱読みの逆はなんていうんだっけな、と調べたら、湯桶読み、だった。
湯桶読み – Wikipedia

湯桶読み(ゆとうよみ)は、「湯桶」(ゆトウ)のように、ある語の前半を訓読みで、後半を音読みでする読み方のこと。原則として誤りとされるが、慣用になっているものも少なくない。

こんなの引合いに出しても、ゆとう、なんて使わないからかえって判りにくいなあ。

復号化、でなく復号

復号化、でなく復号であることの説明。
日本人なら知っておくべき復号化のこと – 4403 is written

「暗号化」と呼ばれる行為は,「平文」を「暗号文」にすることを指す.言い換えれば,「平文」を「暗号文」にする行為を「暗号化」と呼ぶ.ならば,その逆作業はどうなるか.「暗号文」を「平文」にする行為なのだから,「平化」ではないのか.常識的に考えて.仮に,この行為が「復号化」だとするならば,「暗号文」は「復号文」になって然るべきではないのか.ほら!論理的に考えて,おかしいだろ.そうなんだ.だから,「復号化」ではなく「復号」なのだ.「復号」と呼ばれる行為は,「暗号文」を「平文」にすることを指しているのだ.だから,「暗号化」に対する言葉は「復号」であって,「復号化」では有り得ない.

まだちょっと判りにくいけど、このテーマに関してはものすごく整理して書かれている説明だと思う。
もう一つ付け加えるなら、復号する、と動詞として使えるけど暗号する、とは言わず暗号化するになる、という逆の視点からの説明がありうるか。
エントリーのタイトルは、
日本人なら知っておくべき復号のこと
の方がよかった気がするんだけど…

240色、5万円の色鉛筆

三菱鉛筆から6月に発売された、240色の色鉛筆。
ユニ色鉛筆が、発売後50周年を記念して発売。 240種類の鉛筆が、専用の箱に入っている。
ユニカラー240 リミテッドエディション
50周年ということは、思ったより古くないんだ。 僕とあまり変わらない…
いいなあ。
子供にあげたいけど、5万円じゃ、なあ。
leaflet_image_RGB.jpg
昔使ったのがあったはず、と思ってみてみたら、クーピーペンシルと、三菱鉛筆のPOLYCOLORという12色セットが出てきた。 ユニカラーってもってなかったかなあ。
Uni GOLDという鉛筆は、出てきた。
三菱鉛筆POLYCOLOR、名札には、三の四、と書いてあるから、9歳ごろのだな。
200907101540000b.jpg 200907101541000b.jpg 200907101541001b.jpg

ネットワーク管理者によるもっとも間抜けな(セキュリティの)失敗10種

90件の2008年情報漏洩事件を調査したVerison BusinessのVPとNetwork Worldが作成した、ネットワーク管理者によるもっとも間抜けな失敗10種。
The 10 dumbest mistakes network managers make – Network World

「このリストの示唆に従わないのは、ただ単純に、あほだ。」

まあ、そこまでいわんでも…

  1. 全ネットワーク機器のディフォルトのパスワードを変更しないこと。
  2. 複数の機器で同じパスワードを使うこと。
  3. SQL関連のコーディング・ミスを見逃すこと
    情報漏洩件数ベースで79%はSQLデータベースがWebサーバー経由で攻撃されている。最も簡単な対処法は、アプリケーション・ファイアウォールに学習モードでユーザーのデータ入力挙動を観察させ、保護モードでSQLコマンドの注入を防がせる。
  4. ACLの設定ミス
    通信元によるアクセス制御を細かく行う。
  5. リモートアクセスや管理ソフトウェアによるアクセスの許可
    ハッカーが侵入によく使うのがPCAnyware, VNC, SSHで情報漏えいレコード数ベースで27%。これらのサービスをスキャンするか、外向きトラフィックのNetflowを分析してつきとめ、ふさぐ。
  6. 重要でないアプリケーションの、基本的脆弱性検査を怠ること
    Webアプリケーション以外も、全プログラムの検査が必要。
  7. サーバーに対するマルウェア対策忘れ
  8. ルーターにおける、外向き通信の制御ミス
    4番は内向きの話、だが外向きも重要と言うこと。
  9. カード情報や個人情報がどこに保存してあるかを把握していない
    本番サーバーは押さえていてもバックアップデータや開発機が抜けているなど。そういえば、DNPの事件も開発環境だった。
  10. 10.PCI DSSに従っていない
    カード情報について準拠していても、他の重要データについては同様の対策をしていない場合が多いが、適用する価値がある。 調査結果ではレコード数で98%がカード情報がらみだったにもかかわらず、準拠していたのは19%だけだった。 「明確だ。PCIの規則を採用すべきだ。基本的にそれでうまくいく。」

Verison Businessによる調査レポートは、ここ。
Data Breach Investigations Report

裸で機内安全設備説明

Air New Zealandのnothing to hideというキャンペーン。
安全説明ビデオで、スタッフが素肌にボディペイントで安全設備の説明をしている。
面白いこと考えたね。

アナウンスは英語だけど、油断して聞くとなに言ってんだかわかんないな。
同じ格好で機内サービスをしているのは、コマーシャルらしい。

ここに説明があった。
Nothing To Hide – Air New Zealand
格安エアラインでは、意外な料金を取られてしまうことがあるけど、ニュージーランド航空は明朗料金、何にも隠してませんよ、と言う意図らしい。
出演しているのは従業員らしい。

ニュージーランド 真夏の聖夜の旅
黛 まどか (著), 若林 直樹 写真 (イラスト)
内容(「BOOK」データベースより)
俳人・黛まどか神の芸術の国を旅し、感じ、そして詠む。人はなぜこの国に魅せられていくのかこの世のものとは思えない自然の色彩。