UnderForge of Lack

灌仏会(花祭り，仏生会，浴仏会)
忠犬ハチ公の日
ヴィーナスの日
参考書の日
タイヤの日

----------
/Launch #
昨日の、Adobe Readerの「信頼性管理マネージャ」ですが、Adobeも公式にOFFにすることを薦めています。
PDF "/Launch" Social Engineering Attack
As we investigate this, users can use the following method to further mitigate against this risk.
こんな辺鄙なblogでではなくて、公式に書くかデフォルトでOFFにして欲しいものですが・・・

we are therefore always listening to and evaluating ways to allow end-users and administrators to better manage and configure features like this one to mitigate potential associated risks.
ふ～ん（AA略）

ちなみに、レジストリによる設定も可能のようですので、システムポリシーやGPOに精通している方は、一括変更が可能・・かもしれません
3．システム・ポリシー（2）
※ポリシーエディットは苦手・・・
この設定なら、グレイアウトになっていいかも

Adobe Releases Guidance for Launch Functionality Mitigation in Acrobat and Reader
Adobe suggests workaround for PDF embedded executable hack
Adobe issues official workaround for PDF vulnerability
Adobe mulls changes to close hole in PDF apps
But it won't close the hole completely, he said. A separate PDF specification that allows applications to keep track of revisions could still be used to inject harmful code into PDFs using other types of programs.
完璧なんか無いです！

PDF の設計を利用し、任意のコードを実行する方法公表される
Re:この機能の有用性はどこにあるの？
「実的な意味で有用な使い方」と仰いますが、例えばExcelにVBAマクロは不要ですか？
まぁ、要らない人は要らないんでしょうけど、恐らく世間一般においては、
Excelの需要はマクロの需要とニアリーイコールです。
Excelを開いてマクロが実行できることは、ある程度の認識があると思います。しかし、PDFにペイロードをエンベッドできたり、勝手にJavaScriptを実行してリモートに通信したり、シェルコードを実行できたりすることを認識しているひとが居るでしょうか？
ましてや、それが Web Browserと連動して勝手に動作したら・・・
Excel Macro と同列に比肩する性質のものではないと考えます。

----------
miXSS XSSの新ベクトル？ #
Researcher Details New Class Of Cross-Site Scripting Attack
A new type of cross-site scripting (XSS) attack that exploits commonly used network administration tools could be putting users' data at risk, a researcher says.
Tyler Reguly, lead security research engineer at nCircle, today published a white paper outlining a new category of attack called "meta-information XSS" (miXSS), which works differently than other forms of the popular attack method -- and could be difficult to detect.
また新用語がががっ

ネットを監視するツール群が蒐集する、whois, nslookup, DNS query, http request などの情報がストアされているレコードなどが盗み見られたり、JavaScriptのようなスクリプトが含まれる場合、その実行によってXSSが発生してしまう危険性・・という認識でいいのかな？

"The user provides the domain name pointing to the TXT record, while the service resolves the TXT data and displays the data to the user," the paper says. "Since the data contains JavaScript, the returned data is processed, and successful cross-site scripting has occurred."

づつうの種はなかなか消えません。
（このXSSとは関係ありませんが、phpmyadmin のような、既に攻撃に晒されている管理ツールは特に危険です）

----------
KDDI #
「auお客さまサポート」WEB画面における他のお客さま情報の照会について
発生条件としては、お客さまが「auお客さまサポート」にご登録しているau携帯電話回線の契約を、他のお客さまに譲渡した場合であって、譲り受けたお客さまが、4桁からなるau暗証番号を、譲り受ける前に指定されていたau暗証番号と同一番号に指定し、かつ、当該au携帯電話回線の契約を「auお客さまサポート」にご登録していない場合に、本不具合が発生していました。
こんな特殊な条件でも
対象数　2,837件
もあるんですね・・
au暗証番号ってデフォルト 1111 とかなのかな？（笑）

KDDIの「auお客さまサポート」で個人情報が照会できる不具合

----------
逮捕!逮捕!x70 #
Romanian police arrest 70 phishers and fraudsters
Police in Romania have announced that they have arrested 70 people, breaking up three separate gangs involved in organised cybercrime in the process.
すごいな～ルーマニア警察！
RAIDの様子を YouTube で公開（笑）

Police arrest 70 in Romania for Internet fraud
70 Romanian Phishers & Fraudsters Arrested -- garwarner
Police cuff 70 eBay fraud suspects
Scams caused €800,000 losses
額もすごいな～

----------
本、Buzz、また本 #
First Books, then Buzz, then Books again: Google gets sued
Google ってほんとに訴訟されるのが好き（なわけはないか・・）

Photographers to Sue Google Over Book Scanning
"Google has been involved in a massive campaign of unauthorized scanning and public display and distribution of works. A lot of those works are photographs and illustrations and they're doing it without authorization of the copyright owners," said Victor S. Perlman, the ASMP's general counsel and managing director. "I call that infringement."

----------
時間切れ
----------
Other #

Things You Need to Remember About DOWNAD/Conficker
一度拡散してしまった Worm は本当にシツコイ・・

Malware Spoof an Adobe Update and VPSKeys
VPSの鍵！？とか思ったら違った・・ VPSKeys ヴェトナム語のIME・・かな？
関連：「言論封じ込めのマルウェア」は事実無根――ベトナム政府が反論
デジカメのメモリカードで解雇された研究者 (1/2)
via データは消えない――メモリカードやUSBメモリに潜む落とし穴 (1/2)

Antivirus2010 – Multiple “Avatars” in a Single .exe
Avatar's かぁ・・どっちかっていうと SKIN って印象ですが ＞ 多種多様なFakeAV's

The Many Paths to Security Awareness
Security awareness: many levels, many things

Shadows in the Cloud
情報を盗む「サイバースパイ網」、中国に存在か

Internet Café, DirectX, and Online Games
Enjoy playing. Level up!
（苦笑）

クラウド時代のアカウント窃盗
Dreamhost account hacked
読み物として・・
（「クラウド」と強い相関関係があるかは？ですが、だからこそ「cloudy」なのかも・・）

IntelliCom NetBiter デバイスにおけるデフォルトパスワードの問題
IntelliCom が提供する NetBiter デバイスに出荷時に設定されているパスワードは、遠隔の第三者に利用される可能性があります。
また、HICP は、パスワードを平文で通信するため、通信を傍受している第三者によって、パスワードを盗聴される可能性があります。

■03/28(日)～04/03(土) のセキュリティ関連情報

【今週のひとくちメモ】DNS-CERT の設立提案

Security through virtualisation
発想：なんでもかんでも仮想化してやるっ

Microsoft's web privacy push: 'we're the anti-Google'
Responsible by name, unprofitable by nature

MP3ファイルには個人情報の電子透かしあり, クラウドに対するDRMに利用されそう

「radiko」ストリーミングのセキュリティを強化--エリア外聴取を取り締まり
さようなら大阪・・・ちょっと残念（笑）

Spammy Links From Remote Servers

a-squared Free 4.5.0.27 がシステムファイル services.exe をウィルス判定！？
誤検出の可能性大

動画：iPad でスーパーマリオカートをプレイ
エミュ～

iTunes、不正請求問題で消費者庁に再回答
また面白いことに、今回の回答はなぜか英文併記となっています。日本語に不自由な国民のために英文も用意してくれたと考えるか、まずどこかで作られた英文があって日本語に訳しただけと考えるかの判断はお任せします。
そりゃ AJ に回答権は無いから、AJの人が英訳して、それを送って向こうの法務担当が回答したのでは？

----------
ううっ・・昨日 8080 系の ドメインを大量に追加したら 恐ろしいことに・・

----------
8080 #

	count	ASN	登録	更新
94.23.12.62	65010	AS16276	03/20 06:40:26	04/08 09:02:04
91.121.137.124	55316	AS16276	03/17 23:50:25	04/08 09:02:04
94.75.229.72	48819	AS16265	03/18 01:10:26	04/08 09:02:04
94.23.246.172	47481	AS16276	03/22 13:10:32	04/08 09:02:04
94.23.235.93	44760	AS16276	03/20 10:10:32	04/08 09:02:04
195.160.200.36	41323	AS44949	04/04 05:30:58	04/08 09:02:04
91.121.121.227	38548	AS16276	03/17 20:10:21	04/08 09:02:04
91.121.117.37	38475	AS16276	04/04 04:20:35	04/08 09:02:04
91.121.134.58	28892	AS16276	03/16 10:40:28	04/08 09:02:04
91.121.169.6	26680	AS16276	04/04 04:20:35	04/08 09:02:04
94.23.159.128	26496	AS16276	04/04 05:00:49	04/08 09:02:04
77.241.93.114	24768	AS34762	04/04 13:20:44	04/08 09:02:04
94.23.231.140	19802	AS16276	03/16 20:40:34	04/08 09:02:04
94.23.225.152	99	AS16276	04/07 16:41:08	04/08 09:02:04
91.121.21.162	99	AS16276	04/07 16:41:08	04/08 09:02:04
193.138.204.81	5	AS35470	04/07 17:21:07	04/08 09:02:04
146.110.10.75	5	AS25171	04/07 17:21:07	04/08 09:02:04
87.98.137.197	5	AS16276	04/07 17:21:07	04/08 09:02:04
91.121.160.217	72638	AS16276	03/12 19:40:15	04/08 08:51:23
91.121.163.215	42256	AS16276	03/12 18:10:17	04/08 08:51:23
91.121.180.55	29017	AS16276	03/13 01:10:16	04/08 08:51:23
91.121.8.73	6690	AS16276	03/22 06:10:23	04/08 08:51:23
85.90.233.166	89	AS15830	04/07 16:41:08	04/08 08:51:23
188.165.52.217	89	AS16276	04/07 16:41:08	04/08 08:51:23
88.80.221.129	89	AS39023	04/07 16:41:08	04/08 08:51:23
217.23.7.112	5	AS49981	04/07 16:50:51	04/07 22:10:54
91.196.127.23	5	AS8262	04/07 16:50:51	04/07 22:10:54
81.89.102.178	5	AS35366	04/07 16:50:51	04/07 22:10:54
195.160.200.37	17955	AS44949	04/04 05:30:58	04/06 18:54:05
91.121.204.145	4189	AS16276	04/04 08:50:44	04/06 18:54:05
62.75.186.233	1056	AS8972	04/06 17:50:52	04/06 18:54:05
91.121.95.160	5207	AS16276	04/04 05:30:58	04/06 17:55:06
94.23.26.27	2612	AS16276	04/04 10:50:47	04/06 17:55:06
188.165.196.182	4642	AS16276	04/04 05:00:49	04/06 17:10:39
91.121.158.13	2462	AS16276	04/04 08:20:50	04/06 17:10:39
91.121.220.112	6357	AS16276	04/04 05:00:49	04/06 16:10:38
91.121.122.81	3727	AS16276	04/04 04:20:35	04/06 16:10:38
94.23.233.34	5149	AS16276	04/04 07:00:48	04/06 11:51:00
91.121.56.65	764	AS16276	04/04 04:20:35	04/06 10:50:54
94.23.29.106	1109	AS16276	04/04 04:20:35	04/06 07:40:42
91.121.113.84	1163	AS16276	04/04 08:50:44	04/06 03:50:55
78.47.110.236	133	AS24940	04/06 01:51:00	04/06 02:10:46
94.23.208.74	1261	AS16276	04/05 02:50:42	04/06 01:51:00
91.121.66.11	1680	AS16276	04/04 10:50:47	04/05 12:10:34

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　3日経過:[95]IPs

多すぎ！

ちなみに、怪しげなラウンドロビンで巡回しているドメインがあるのですが、
HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
X-Powered-By: Servlet 2.4; JBoss-4.0.4.GA (build: CVSTag=JBoss_4_0_4_GA date=200605151000)/Tomcat-5.5
Set-Cookie: JSESSIONID=9B38106CA2E506E327437EB8B00769B1; Path=/
Content-Type: text/html;charset=ISO-8859-1
Content-Length: 67
Date: Thu, 08 Apr 2010 00:18:48 GMT
nginxじゃない！？

----------
Google Safe Browsing #
| 1270684824 | B | [goog-black-hash 1.54793 update]
| 1270684802 | M | [goog-malware-hash 1.20614 update]
| 331972 | +3518(328454) ３３万突破
| 1615406
EoF

世界保健デー(World Health Day)
世界禁煙デー
1 2 3
1994年のルワンダにおけるジェノサイドを考える国際デー(International Day of Reflection on the Genocide in Rwanda)
生神女福音祭（東方正教会）

----------
[WARNING] #

Fighting Malware(MalwareURL)に、なんかいろいろ捕捉されてますね。

検出名 Trojan-Downloader.JS.Pegel.u

8080のKaspersky検出名なのですが、別の攻撃パターンのような感じを受けます。

あと、差し込まれる場所が特殊ですね。

Analysis report for hXXp://pqshow.org/in.cgi?2

時間なかったのであまり見ていませんが、新しいパターンの可能性があります。
MalCodeは いつもの PDF が挙がっていますが、コードを流し読みした感じでは、もっといろいろやってそうな気配ですね。

注意しましょう。

----------
Escape from PPDF #
Update: Escape From PDF
Adobe Reader has a Trust Manager setting to disable opening non-PDF attachments with external applications.
This setting also disables the /Launch action:
な～んだ！あるじゃん！！



というわけで、Adobe Readerの推奨（というか必須）設定がまた増えました。
Foxitに関しては
The interesting thing about this fix is that it breaks my Foxit PoC, but that the Adobe PoC works for Foxit now!
という(笑っちいけないけど・・LOL)状況ですので、現時点では回避不能です。

Adobe suggests workaround for PDF embedded executable hack

ただ、この Worm的動作に関しては別のリサーチャのPoCですので、どうやって防げるかはまだ不明です。
PDF security hole opens can of worms

----------
Java（どっち？） #
Oracle Sun Java が Java アプレットの署名を正しく検証しない脆弱性
OracleなんだかSunなんだか・・・

Java SE6 update18 は（500個バグがあったとはいえ）一応、セキュリティパッチではなかったため、企業内で導入を見送ったところもあるかもしれません。しかし、今回はセキュリティ修正を含んでいますので注意してください。
署名された Java アプレットを実行することで、遠隔の第三者によって、任意のコードを実行される可能性があります。

電子入札システム推奨クライアント環境について（2010/01/16更新）
2010/01/16 （Java実行環境について）JRE6.0 Update 17での正常動作を確認しました。
農水省は、テストがんばってます

電子入札システムへのログインについて
本システムでは標準としてjre1.5.0_06を推奨しています。これより新しいバージョン（jre1.6.0_16　平成21年10月現在）でも動作を確認しておりますが、以後のバージョンについて動作の保証ができませんので、コントロールパネル→Ｊａｖａ→アップデートの「アップデートを自動的にチェック」を必ずＯＦＦ（チェックを外す）で使用してください。なお、Ｊａｖａのバージョンを変更された場合はjava.policyをお使いのバージョンの指定されたフォルダへ移動（コピー）しなければなりません。
探し回ること、30分、ようやくみつけた・・
J2SE 5.0 Update 6 がリリースされました。-- 2005 年 11 月 30 日
化石になってそうなJavaですね・・・

----------
不正規な証明書 #
Removing the RSA Security 1024 V3 Root
The short story is this: we’re removing the “RSA Security 1024 V3″ root from our list of trusted CAs. Its owners have confirmed that it is not in use, and not covered by current audits.
へ？
どこからそんな証明書が紛れ込んだのでしょう？

時間かかったけど、RSAは最終的に、「不要な証明書」だと確認しましたので、削除する方針っと
RSA has since confirmed that this root is no longer needed and can be removed from the product. That clarity, while late, is welcome and confirms our original decision.

We’ve had questions come in about Apple’s inclusion of this root in their keychain system, and their plans for removal, but those are best directed to Apple.
（笑）

Mozilla warns of unknown root certificate authority in Firefox
Mozilla now says that an official at RSA has confirmed that the root CA authority does belong to RSA. Miscommunication drama.
RSA says it fathered orphan credential in Firefox, Mac OS

とり急ぎでもありませんが、恐らく近日中にパッチで削除されるのではないでしょうか？
※証明書そのものが悪用された形跡は今のところありません。

----------
またこの話が再燃 #
GhostNet 2.0 espionage network uses cloud services
ソース：（ScribdのPDF?リーダを動作させないといけないので注意）
SHADOWS IN THE CLOUD: Investigating Cyber Espionage 2.0
This report details a cyber espionage network that targeted compromises against systems belonging to the Indian Government, Tibetan interests to include those in the Dalai Lama's office, and others.
またそっちの話になってるな～

Researchers Trace Data Theft to Intruders in China
Son of GhostNet: China-based hacking targets India government
China denies connection to high-level hacking

----------
がんぶら～ #
飽きた！という方も多いでしょうね、コレ・・
マカフィー、3 月のサイバー脅威の状況を発表
Gumblar（ガンブラー）をはじめとしたDrive by Download 攻撃は3 月に入ってから下火になり、関連する検知名はランク圏外に順位を落としています。しかし、様々なDrive by Download 攻撃は依然存在しており、今後も大規模な攻撃が発生する可能性もあるため、引き続き警戒が必要です。

全然そんな感じしないんですけど、McAfee的な統計はCVE-2010-0806の方が深刻だったのかな？

まだ続くガンブラー改ざん被害、Webサイト管理の再確認を～IPAが呼びかけ
コンピュータウイルス・不正アクセスの届出状況【2010年3月分および第1四半期】
「ガンブラー」の手口によるウェブサイトの改ざんは依然として続いており、いまだに「某ウェブサイトを閲覧したらウイルス検知の警告が表示された」、「顧客からの通報で自社ウェブサイトの改ざんが発覚した」などの相談や届出がIPAへ寄せられています。
なんか、ノリが、「WebPageを見たら1ヶ月で5kg痩せました」って感じにみえるのは疲れてるから・・かな

【インフラストラクチャセキュリティ】Gumblarの再流行（Vol.1）

セキュ会社がいくら必死に対応しても、相手はこんなサービス(15￠)で、掻い潜るだけです。
いたちごっこを止め、根本的な穴を塞ぐことを重点におきましょう。

いつもの6か条に、今日の1個が加わりそうですね。

----------
炉 #
April 5 update – 300 new domains
82movie.com has been delisted; 300 new domains have been added.
Sources: support.clean-mx.de, www.freepcsecurity.co.uk, www.malwareurl.com, and others:
ero-para .jp ・・・なんだこりゃ・・
いつもありがとうございます。

----------
Other #

Application Logs
個々のアプリログまでは見ないかもですね・・
※そもそも Windowsのシステムログって役に立ったためしｇ（squelcher cut)

「闇サイト」、利用者装い摘発へ　警視庁が専従捜査班
潰すなら徹底的に

Kasperskyのサイトが
http://www.viruslist.com/en/weblog から
http://www.securelist.com/en/weblog へドメイン変更
は、いいんですが、アイコンが黒の抜きなので、そのままだと何がなんだか（笑）

Child abuse frame-up backfires on stalker
ストーカー、女性宅に忍び込み児童ポルノをダウンロードする
この男性は同僚の女性にいたくご執心だった模様。この同僚女性の夫がいなくなれば自分にもチャンスがあると思ったのか、女性宅に忍び込みコンピュータに児童ポルノをダウンロード。ハードディスクを取り外し、女性の夫の所有物として警察に匿名で送り付けたという。
恐ろしい（笑）

メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI
Perlだけに珪化してますね（おもしろくない）

Account notification email warning? Don't follow the instructions
XXXXX account notification
「下手な鉄砲も数撃ちゃ当たる」とでも、思ってるのか、異常な数が着弾しています。
hxxp://malware.comain.tld/malware/malware.exe
こんなURLを踏む人ってどんな人なんだろう？とは思いますが・・・

Computer Crooks Steal $100,000 from Ill. Town

e-Banking Guidance for Banks & Businesses

補足的な質問に対する音楽情報サイト運営事業者からの回答について
消費者庁 vs Apple 第４ラウンド

ウイルスバスターのWEB広告のちょっとうさんくさいおっさんは何者ですか？
ウイルスバスターのWEB広告のちょっとうさんくさいおっさんは何者ですか？
一見すると生臭坊主で、パソコンなんてつかってなさそうなおっさん
うははは　私も知りたい！

----------
8080 #

	count	ASN	登録	更新
94.23.12.62	63840	AS16276	03/20 06:40:26	04/07 09:10:41
94.23.246.172	46234	AS16276	03/22 13:10:32	04/07 09:10:41
94.23.235.93	44097	AS16276	03/20 10:10:32	04/07 09:10:41
91.121.121.227	37885	AS16276	03/17 20:10:21	04/07 09:10:41
195.160.200.36	29637	AS44949	04/04 05:30:58	04/07 09:10:41
91.121.117.37	26789	AS16276	04/04 04:20:35	04/07 09:10:41
94.23.231.140	19139	AS16276	03/16 20:40:34	04/07 09:10:41
91.121.169.6	14994	AS16276	04/04 04:20:35	04/07 09:10:41
94.23.159.128	14810	AS16276	04/04 05:00:49	04/07 09:10:41
77.241.93.114	13082	AS34762	04/04 13:20:44	04/07 09:10:41
91.121.160.217	72561	AS16276	03/12 19:40:15	04/07 09:00:55
91.121.137.124	54809	AS16276	03/17 23:50:25	04/07 09:00:55
94.75.229.72	48312	AS16265	03/18 01:10:26	04/07 09:00:55
91.121.163.215	42179	AS16276	03/12 18:10:17	04/07 09:00:55
91.121.180.55	28940	AS16276	03/13 01:10:16	04/07 09:00:55
91.121.134.58	28385	AS16276	03/16 10:40:28	04/07 09:00:55
91.121.8.73	6613	AS16276	03/22 06:10:23	04/07 09:00:55
195.160.200.37	17955	AS44949	04/04 05:30:58	04/06 18:54:05
91.121.204.145	4189	AS16276	04/04 08:50:44	04/06 18:54:05
62.75.186.233	1056	AS8972	04/06 17:50:52	04/06 18:54:05
91.121.95.160	5207	AS16276	04/04 05:30:58	04/06 17:55:06
94.23.26.27	2612	AS16276	04/04 10:50:47	04/06 17:55:06
188.165.196.182	4642	AS16276	04/04 05:00:49	04/06 17:10:39
91.121.158.13	2462	AS16276	04/04 08:20:50	04/06 17:10:39
91.121.220.112	6357	AS16276	04/04 05:00:49	04/06 16:10:38
91.121.122.81	3727	AS16276	04/04 04:20:35	04/06 16:10:38
94.23.233.34	5149	AS16276	04/04 07:00:48	04/06 11:51:00
91.121.56.65	764	AS16276	04/04 04:20:35	04/06 10:50:54
94.23.29.106	1109	AS16276	04/04 04:20:35	04/06 07:40:42
91.121.113.84	1163	AS16276	04/04 08:50:44	04/06 03:50:55
78.47.110.236	133	AS24940	04/06 01:51:00	04/06 02:10:46
94.23.208.74	1261	AS16276	04/05 02:50:42	04/06 01:51:00
91.121.66.11	1680	AS16276	04/04 10:50:47	04/05 12:10:34
91.121.79.7	282	AS16276	04/04 09:50:46	04/05 04:20:51

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　3日経過:[94]IPs

とある方にも、ウザイ8080/google レポートを送りました。
きっといまごろウンザリしているはず（笑）

----------
Google Safe Browsing #
| 1270598407 | B | [goog-black-hash 1.54721 update]
| 1270598402 | M | [goog-malware-hash 1.20590 update]
| 328454 | +533(327921) 一向に減らないですね
EoF

北極の日
コンビーフの日
公立学校始業式 さぁ新学期～
寒の戻りの特異日 ほんとに寒い
城の日 as 「し(4)ろ(6)」
白の日 as 「し(4)ろ(6)」
スタンリー・キューブリック監督の映画『2001年宇宙の旅』がアメリカで公開。(1968年)
「ディスカバリー」が軌道に、打ち上げ成功
まだまだ遠いケド、おめでとうございます。

新聞をヨム日 as 「よ(4)む(6)」
続く
----------
読まなくなった日 #
日経新聞電子版始動、しかし個別記事へのリンクを禁止、違反者に損害賠償請求も示唆
リンクの仕方やページの内容によっては、お断りする場合があります。リンクをお断りするのは次の場合です。
　個別記事へのリンク
以上の項目に違反した場合は、損害賠償を請求することがあります。

なんというか、これが本音なのか、それとも舌禍（フッタ禍）なのか知りませんが、日経系のソースの取り扱いは WSJ並に気をつけないと怖いですね。
ITProソースに関しても、今後は引いておくことにします。
HIRTさんの、週間脆弱性は有用な情報ソースだっただけに残念です。

あれこれ
というか、ドブリンク（DeepLink)がイヤなら、mod_rewriteで強制的にTOPへ飛ばせばいいのに
mod_deny_deeplink.c
MAC(Message Authentication Code) and HMAC

Bye!

セキュリティに復帰：
----------
IPA再警告 #
コンピュータウイルス・不正アクセスの届出状況[3月分および第1四半期]について
「 ウェブサイトの管理方法を再確認しましょう！ 」
～　"ガンブラー"による被害はいまだに続いています　～
なんか、ほんとに Gumblar/8080系の話ばっかり（というか、どうみても8080ですが・・）

WEP にはいくつかの欠点が見つかっているため、現状では使用することを推奨しません。
任天堂に言ってください（苦笑）
WEPは一瞬で解読――ニンテンドーDSはどうなる

続く
----------
神戸 #
ホームページのウイルス感染について -- 神戸市
神戸市がサイト運営を委託していた「こうべ環境未来館」のページの一部において、不正なプログラムである「Gumblar（ガンブラー）」による改ざんが確認されました。

ガンブラー：神戸市のサイト、ウイルスに感染　被害拡大疑いも　／兵庫 -- 2010年3月14日
via 止まらぬサイト改ざん：訪問の心あたりはありませんか～新規告知サイト22件
なんとなく、同じ委託先なのかなっと・・
最近、個々の陥落先ページを見ることは少なくなったのですが、全Flashのサイトの陥落はヤメてほしいな（苦笑）

あれこれ（再掲）
の陥落のケースなんかも、かなり悲惨（社会的信頼とか）ですね

----------
PDF-worm #
え・・？って感じの映像ですが・・
Are PDF’s Worm-able? -- sudosecure.net
PDF Worm Demo - No JavaScript Required
Using the Launch feature built into the PDF specification we can easily launch an attack from one PDF onto other PDFs. This is a simple POC but could be expanded upon to infect all PDF files on a user's computer.
えーっと・・・JavaScriptがOFFになっているにも拘わらず、最初何も起きなかった PDF を開いた後、Mal-Craftedされた PDFを開き、もう一度何も起きなかった PDF を開くと・・・
いったいぜんたい何がどうなればこんな WORM的動作がおきるのか・・・
Before you ask, no I will not be disclosing the internal code that makes this possible nor will I be sharing out the PDFs within the proof of concept to the general public.
そのほうがいいと思います。

Thanks!

PDF関連：解析のススメ
Matt's Primer for PDF Analysis -- VRT
As part of this effort, we've had to do a very deep dive on the PDF format. I thought it might be useful to share some of what we're seeing come in our data feeds, and what you should look for when reviewing PDF files.

----------
Defence #
Antivirus: Are you covered?
FortiOSのAD的な記事ではありますが、幌馬車の絵が面白かったので（ちょっと長文）
複雑化される暗号化、難読化、通常使われないアーカイバ、一般的でない圧縮技術などを「駆使」して、検出を逃れようとするマルウェアと、その対応のため、シグネチャベースの検出技術は肥大化し、システムに大きな負担を強いています。にもかかわらず、ウィルス・マルウェアの寿命は短命化し、結果的に検出漏れが増大しています。
これは間違いない話ですね～かといってヒューリスティックを強めにすると、誤検知が増えると・・・

FortinetのようなiDCに投入されることの多い IDS/IPS製品は、スピード重視なのか、危険回避重視なのか？といった顧客ニーズに併せた、より細分化されたプロダクツを実装していくことになるのでしょう。

関連？
AV Scans Slowing Down Your Machine? Think Again
使ってるAVScannerもわからないのに（どうみてもKasperskyですがね！）、SSDを褒めればいいのか、なんだかよくわからないな（苦笑）
いや、CrystalDiskMark が、何も説明も無く使われていることを誇るべきなのでしょう！

----------
これは危ないかも #
Spotting the scams
twitpicに貼られたフィッシング誘導の詐欺ですが、かなりやり口が巧妙です。
多言語に対応されたら更に犠牲者が増えそうな予感・・・

----------
PITs #

Zip Unzip Archive Processing Buffer Overflow Vulnerability 3
UNPATCHed - Do not open untrusted archives.
これ関連かどうか、不明ですが、昨日からやたらと Zipアーカイバ系のものが沢山・・
TugZip 3.5
Zip Unzip v6 (.zip) 0day stack buffer overflow PoC exploit
ZipScan 2.2c SEH
ZipCentral (.zip) 0day SEH Exploit
eZip Wizard 3.0 (.zip) SEH

PHP 6.0 Dev str_transliterate() 0Day Buffer Overflow Exploit
PHP 6.0 Dev str_transliterate() 0Day Buffer Overflow Exploit
verified: YES
SpotLight入ってます

Foxit Reader 3.2.1.0401 Released
Foxit Reader Embedded Program Execution Vulnerability 4
Update to version 3.2.1.0401.
UScertのレポートに出るようになれば立派なソフトウェアですね（褒めてるのかどうかは？）

Advenced Management For Services Sites Security Bypass 4
UNPATCHed Edit the source code

MassMirror Uploader "MM_ROOT_DIRECTORY" File Inclusion Vulnerabilities 4
UNPATCHed Edit the source code

Uiga Proxy "content" File Inclusion Vulnerability 4
UNPATCHed Edit the source code

Nodesforum Multiple File Inclusion Vulnerabilities 4
UNPATCHed Edit the source code

Unpatched4連弾、いずれもサニタイズミスとかそういうヤツですね

私としてはここに、もう1個加えたいけど・・（例のアレ）

----------
Malware作者用VT #
Virus Scanners for Virus Authors, Part II
Virus Scanners for Virus Authorsの続き
For 15 cents, you can scan your file to see if any potential victim’s anti-virus program will detect it. Or maybe you’re more interested in seeing how well your drive-by download site is flagged by anti-virus products as malicious? Perhaps you want to see whether your site is listed on any of the major spam and anti-malware blacklists? All these checks can be had for $0.15 each.
そりゃ、VTの検出率が（一時的に）悪くなるわけですね・・
そして、マルウェアのライフサイクルが短くなればなるほど儲かる（15￠）

----------
Whool Foods #
ホールフーズ・マーケット：アメリカでは有名なスーパーマーケットですが
Facebook users warned of Whole Foods gift card scam
Whole Foods working to curb Facebook-based scam
ギフトカードあげるから、Facebookのアカウントよこせ！ということですね（苦笑）

日本でも楽天とかでやられるとかなりヤバめなことになりそうです。
自分が意図しない、予期しない、不審な「ログイン画面」が開いたり、ログインを求められたりしたら、まず最初に疑ってかかってください。

----------
Other #

Apple、今週木曜に iPhone OS 4のプレビューイベント開催
さてはて

もはや「ネットは便所の落書き」ではない
ネットの「名誉棄損」有罪確定：最高裁が個人の書き込みに初判断示す
判例化してしまうことへの恐怖感・・かな？ so-netさんの記事をみるかぎり、ちょっと特殊なケースな気もしますが、どうなんでしょう？

XXXXX account notification
この手のspamも減りませんね
減らないということは、踏んでる人がいるということなのか？
※PCToolsの検出名： HeurEngine.ZeroDayThreat がちょっとキニなりました・・

UK firms face info security D-Day
英国での「データ保護法（Data Protection Act (DPA）」の違反金額が 50万ポンドに増額

簡単で完璧な阻止率100%のスパム対策の実装について
や～め～て～
朝から笑いすぎました

----------
8080 #

	count	ASN	登録	更新
94.23.12.62	62032	AS16276	03/20 06:40:26	04/06 08:30:45
91.121.137.124	54004	AS16276	03/17 23:50:25	04/06 08:30:45
94.75.229.72	47507	AS16265	03/18 01:10:26	04/06 08:30:45
94.23.246.172	44279	AS16276	03/22 13:10:32	04/06 08:30:45
94.23.235.93	43094	AS16276	03/20 10:10:32	04/06 08:30:45
91.121.121.227	36882	AS16276	03/17 20:10:21	04/06 08:30:45
91.121.134.58	27580	AS16276	03/16 10:40:28	04/06 08:30:45
94.23.231.140	18136	AS16276	03/16 20:40:34	04/06 08:30:45
195.160.200.36	15170	AS44949	04/04 05:30:58	04/06 08:30:45
195.160.200.37	14458	AS44949	04/04 05:30:58	04/06 08:30:45
91.121.117.37	13529	AS16276	04/04 04:20:35	04/06 08:30:45
94.23.233.34	4690	AS16276	04/04 07:00:48	04/06 08:30:45
91.121.169.6	3986	AS16276	04/04 04:20:35	04/06 08:30:45
188.165.196.182	4298	AS16276	04/04 05:00:49	04/06 08:11:00
94.23.159.128	3585	AS16276	04/04 05:00:49	04/06 08:11:00
91.121.160.217	72414	AS16276	03/12 19:40:15	04/06 08:00:49
91.121.163.215	42032	AS16276	03/12 18:10:17	04/06 08:00:49
91.121.180.55	28793	AS16276	03/13 01:10:16	04/06 08:00:49
91.121.8.73	6466	AS16276	03/22 06:10:23	04/06 08:00:49
94.23.29.106	1109	AS16276	04/04 04:20:35	04/06 07:40:42
77.241.93.114	2649	AS34762	04/04 13:20:44	04/06 07:10:44
91.121.220.112	5287	AS16276	04/04 05:00:49	04/06 06:51:09
91.121.95.160	3915	AS16276	04/04 05:30:58	04/06 05:41:11
91.121.204.145	2389	AS16276	04/04 08:50:44	04/06 04:51:15
91.121.113.84	1163	AS16276	04/04 08:50:44	04/06 03:50:55
91.121.158.13	1940	AS16276	04/04 08:20:50	04/06 02:10:46
94.23.26.27	1761	AS16276	04/04 10:50:47	04/06 02:10:46
78.47.110.236	133	AS24940	04/06 01:51:00	04/06 02:10:46
94.23.208.74	1261	AS16276	04/05 02:50:42	04/06 01:51:00
91.121.122.81	2734	AS16276	04/04 04:20:35	04/05 22:50:35
91.121.56.65	706	AS16276	04/04 04:20:35	04/05 16:50:42
91.121.66.11	1680	AS16276	04/04 10:50:47	04/05 12:10:34
91.121.79.7	282	AS16276	04/04 09:50:46	04/05 04:20:51
93.89.80.117	51602	AS39326	03/15 13:10:31	04/04 04:20:35
91.121.155.20	42533	AS16276	03/17 21:10:22	04/04 04:20:35
85.131.217.251	25986	AS34309	03/26 01:50:40	04/04 04:20:35
92.52.88.240	21385	AS15395	03/30 04:50:43	04/04 04:20:35
88.191.70.85	9149	AS12322	03/31 11:50:53	04/04 04:20:35
78.41.156.236	18312	AS6908	02/18 20:00:43	04/04 03:40:54
80.248.221.98	3237	AS35830	03/31 20:50:56	04/04 03:10:59
62.193.208.175	4662	AS28677	03/31 19:51:02	04/04 02:40:47
91.204.116.114	6968	AS44976	02/24 23:30:07	04/04 02:10:34
85.197.78.2	13649	AS25220	03/17 06:10:33	04/03 19:40:53

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　3日経過:[84]IPs

まだ追加するのか！？

----------
Google Safe Browsing #
| 1270508424 | B | [goog-black-hash 1.54646 update]
| 1270508402 | M | [goog-malware-hash 1.20565 update]
| 327921 | +2964(324957) ふえるわかめ
| 1601445 |

新学期は今日だった orz..
しかも、昨日「火曜日」とか書いてるし・・・
Herr Katze様、謝謝

疲れが溜まってるのカナ～（とか逃げてみる）

あと、8080系のラウンドロビンが実際にどんな感じになってるのか知りたいとかノタマワル奇特な人が居たので、メールレポートを送りつけてやったら、結構喜んでる（ほんとに危篤なやつ・・）様子でした。
他にも欲しい方がいらっしゃいましたら viruswarntoyou ＠ gmail.com までご連絡を

1日でイヤになるとおもいますけどね！

EoF

デビューの日
小笠原返還記念日 (1968年 小笠原復帰協定締結)
ヘアカットの日
イースター島発見。

----------
月曜だし、まだ何もない・・はずっ

----------
金融のサイバー犯罪リスク #
ここ数年のサイバー犯罪は、マルウェアやウィルスが金銭にストレートにリンクしているケースが多く、そういう意味では金融関係のお仕事の方々は気をつける必要があります。
Financial Management of Cyber Risk

The Financial Impact of Cyber Risk
ANSI(American National Standards Institute)ですね。
(ソースを見ると hidden input で何だか怪しげなBase64文字列があるんですが・・・気にしちゃだめ？)
Downloadも登録制だし、必要な人だけにしたほうがよさそうです。

アメリカやヨーロッパの金融系のセキュリティ関連の話は、Brian Krebs氏のBlogを見ておくことをお奨めします。

----------
Erase, WHAT? #
「管理プログラムがGoogleにインデックスされないようにする」
個人的に、今期(2Q)のMVW(ord) 決定の名言（苦笑）ですが、その開発（発明？）会社は、「このシステムを採用しているサイト」として高らかに公開していたリンク集を全て抹消。

メッセサンオーのスクリプトを開発した会社が「採用サイト」を隠し始める！
これって、脆弱性がありますよ？って認めているのと同じことだと思うのですが、導入しているところに適切な警報を出しているのでしょうか？

現時点で GETクエリーを使用しているものを、セッション等に早急に変更できない以上、このシステムを継続使用すべきではありません(frameなら安全とか何の冗談なのか・・)。
特に、現時点でストアされている csv は、ドキュメントルートから辿れる場所から 即刻、いますぐ、光の速度で、退避・削除すべきです。

安物買いの銭失いといいますが、一旦失った信用を快復するのは至難の業です。
お早めに適切な対処をしたほうがいいですよ～
メッセサンオーの個人情報流出とWEBインベンダーのカートの脆弱性 -- 黒翼猫のコンピュータ日記 4/2

----------
POC for Foxit, but Reader? #
Foxit上で、全く無警告でshellが動作してしまう問題が、修正されました。

が、

DidierStevens
LOL^2 Foxit is fully in line with Adobe now. Warning displayed, my PoC for Foxit fails. But now my PoC for Adobe works on Foxit. :-)
Addition: only for the .EXE launch. No control over warning dialog though.

苦笑
引き続き、この問題は続行しそうです。

----------
チェックシート #
色々なチェックシート -- Luffyのメモ
Lenny Zeltser社(かのSavvis社のセキュリティ顧問）のインシデントチェックシートの話が出てたので、翻訳されたかな～とか思ったけど、違ってました。残念。
でも、有効なチェックシート群ですので、参考にしてみてください。

Information Security Cheat Sheets and Checklists

Cheat Sheet: Analyzing Malicious Documents -- 2009-12-07
2009.12.08 火曜日

----------
CVE-2010-0806 #
MS10-018の適用は済まされたでしょうか？
Internet Explorerのセキュリティ更新プログラムを提供開始 (MS10-018)

中国国内での CVE-2010-0806 攻撃が激化しており、一部東南アジア諸国にも飛び火しています。

IDSに引っかかったペイロードには、妙なAutoDeskファイル(FLIC)がembbedされていましたが、これは何なんだ？という感じですね（苦笑
ただ、見知らぬ攻撃ベクトルがある可能性もありますので、一応注意しておきましょう。

----------
PrisonBreak!! Season.. #
動画：アップル iPad、早くも Jailbreak 成功
も・・もうですか・・
ヨイコの皆さんは真似しちゃだめですよ～（笑）

iPad jailbroken in a single day

----------
Other #

あなたのサイトがGoogleセンセに真っ赤に塗られてしまった際の対処法：STEP by STEP
URL removal explained, Part I: URLs & directories

Penetration Testing: Learn Assembly?
HD.Moore氏による、アセンブリ講座

----------
8080 #

	count	ASN	登録	更新
94.23.12.62	61053	AS16276	03/20 06:40:26	04/05 08:10:51
91.121.137.124	53582	AS16276	03/17 23:50:25	04/05 08:10:51
94.75.229.72	47085	AS16265	03/18 01:10:26	04/05 08:10:51
94.23.246.172	43241	AS16276	03/22 13:10:32	04/05 08:10:51
94.23.235.93	42537	AS16276	03/20 10:10:32	04/05 08:10:51
91.121.121.227	36325	AS16276	03/17 20:10:21	04/05 08:10:51
91.121.134.58	27158	AS16276	03/16 10:40:28	04/05 08:10:51
94.23.231.140	17579	AS16276	03/16 20:40:34	04/05 08:10:51
195.160.200.37	7570	AS44949	04/04 05:30:58	04/05 08:10:51
195.160.200.36	7526	AS44949	04/04 05:30:58	04/05 08:10:51
91.121.95.160	2697	AS16276	04/04 05:30:58	04/05 08:10:51
94.23.159.128	1282	AS16276	04/04 05:00:49	04/05 08:10:51
94.23.26.27	808	AS16276	04/04 10:50:47	04/05 08:10:51
91.121.160.217	72355	AS16276	03/12 19:40:15	04/05 08:00:47
91.121.163.215	41973	AS16276	03/12 18:10:17	04/05 08:00:47
91.121.180.55	28734	AS16276	03/13 01:10:16	04/05 08:00:47
91.121.8.73	6407	AS16276	03/22 06:10:23	04/05 08:00:47
91.121.117.37	6813	AS16276	04/04 04:20:35	04/05 07:40:53
94.23.233.34	2600	AS16276	04/04 07:00:48	04/05 07:40:53
91.121.56.65	528	AS16276	04/04 04:20:35	04/05 07:40:53
188.165.196.182	2903	AS16276	04/04 05:00:49	04/05 07:10:45
91.121.220.112	2358	AS16276	04/04 05:00:49	04/05 07:10:45
91.121.122.81	1885	AS16276	04/04 04:20:35	04/05 06:40:47
91.121.66.11	1514	AS16276	04/04 10:50:47	04/05 06:40:47
91.121.169.6	2426	AS16276	04/04 04:20:35	04/05 06:10:51
91.121.204.145	1467	AS16276	04/04 08:50:44	04/05 06:10:51
94.23.208.74	527	AS16276	04/05 02:50:42	04/05 04:50:39
91.121.113.84	465	AS16276	04/04 08:50:44	04/05 04:50:39
91.121.79.7	282	AS16276	04/04 09:50:46	04/05 04:20:51
77.241.93.114	1271	AS34762	04/04 13:20:44	04/05 03:10:49
94.23.29.106	399	AS16276	04/04 04:20:35	04/05 01:50:50
91.121.158.13	814	AS16276	04/04 08:20:50	04/04 20:50:35
93.89.80.117	51602	AS39326	03/15 13:10:31	04/04 04:20:35
91.121.155.20	42533	AS16276	03/17 21:10:22	04/04 04:20:35
85.131.217.251	25986	AS34309	03/26 01:50:40	04/04 04:20:35
92.52.88.240	21385	AS15395	03/30 04:50:43	04/04 04:20:35
88.191.70.85	9149	AS12322	03/31 11:50:53	04/04 04:20:35
78.41.156.236	18312	AS6908	02/18 20:00:43	04/04 03:40:54
80.248.221.98	3237	AS35830	03/31 20:50:56	04/04 03:10:59
62.193.208.175	4662	AS28677	03/31 19:51:02	04/04 02:40:47
91.204.116.114	6968	AS44976	02/24 23:30:07	04/04 02:10:34
85.197.78.2	13649	AS25220	03/17 06:10:33	04/03 19:40:53
80.190.241.118	561	AS24900	04/02 06:50:56	04/03 07:10:38
88.198.55.175	833	AS24940	03/24 05:50:25	04/02 09:10:48

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　3日経過:[82]IPs

昨日、今日で合計 20 IPが追加、そのうち、17個が OVH です。
陥落サーバの入れ替えを図っている気配がありますね。

----------
Google Safe Browsing #
| 1270422016 | B | [goog-black-hash 1.54579 update]
| 1270422002 | M | [goog-malware-hash 1.20542 update]
| 324957 | +4052(320905) また増加
| 1595404 |

新学期、新年度、がんばっていきましょう～

EoF

地雷に関する啓発および地雷除去支援のための国際デー(International Day for Mine Awareness and Assistance in Mine Action)
沖縄県誕生の日
あんパンの日
トランスジェンダーの日
どらやきの日
おかまの日
ピアノ調律の日
交通反戦(交通戦争)デー as 「死(4)死(4)を返上」
ヨーヨーの日 as 「ヨー(4)ヨー(4)」

----------
今日は日曜だし平和です
（昨日の花見の余波で、二日酔いです）

----------
Twitter Account #
Nicole Richie exposed as Twitter hacker
人物相関関係がよくわからないや（笑）
ニコール・リッチー
キム・カーダシアン
Joel Madden
ドリー・パートン
ポーラ・アブドゥル
リッキー・マーティン

要するに、ニコール・リッチーがApril Fool Joke で キム・カーダシアンのTwitterアカウントにログインして、「アカウントハッキング」を演じたということかな？
このへんのセレビな人々は Joke で済みますが、同時にSNSのパスワードを共有するのはヨクナイことです。そういう意味では若い層に多大な影響力をもつ人たちが率先してやっては困るかな？

特に、Twitterのアカウントは、id がバレているので、必ずパスワードは厳重に管理しなければなりません。そういう意味でもっとも BFA に弱いと言えるかもしれませんね。

----------
ZeuS spread fast-flux #
ZeuS: Cybercriminals moving over to FastFlux Hosting
Good News:
Today, a month after the Troyak shutdown, the number of active C&C servers is still on a very low level. We are now at a point where ZeuS C&C servers get offline just a few minutes after they appears on the ZeuS Tracker.

Unfortunately...
During the last few days I just noticed that more and more ZeuS C&C servers popping up which are hosted on a FastFlux botnet. To be precise: It’s not new that cybercriminals are hosting the infections binaries (used to infect their vicitims) on FastFlux botnets.

Troyakのshutdownとupstream peerの切断により、防弾ホストがそのデメリットを認識し、（表面上）心を入れ替えたように見えますが、Botnet Masterは暫定的に C&Cを Fast-Flux ネットワークにリプレスしている模様。
Fast-fluxベースは追いにくいのが難点ですね。
Fast-fluxの運用に必須なTTLの短いDNSサービスを潰していけば良いのでしょうが、現実的には難しいのでしょうね。

また、今日の ZeuS Trackerに、日本のISPと思われるものが捕捉されていますね。
xxx.82.30.246
SUSPENDED
This account is suspended by server admin
素早い対応に感謝いたします。

参考：
攻撃の高度化，「Fast-Flux」から「RockPhish」まで――その1
攻撃の高度化，「Fast-Flux」から「RockPhish」まで――その2
via McAfee

----------
15ヶ国 #
イェール大学、Gmailへの移行を見合わせ
イェール大学では電子メールをGmailに移行する計画が進められていたが、検証の結果当面見合わせることが決まったそうだ
メールサーバを自前で運用するデメリットの方が最近大きい気もしますが、どうなんでしょうね

Gmailのあらゆるデータは世界中にあるデータセンタのうち 3箇所に保存されるそうだが、これはデータがデータセンタ所在国の法律の適用対象になることを意味している。大学側はこれを懸念事項としており、 Googleに「データが送信され得る国のリスト」を求めたそうだが、Googleからは「データが送信されない15カ国」のリストしか回答として得られなかったそうだ。
メールってそういうものでは？（笑）

Google stores every piece of data in three centers randomly chosen from the many it operates worldwide in order to guard the company’s ability to recover lost information — but that also makes the data subject to the vagaries of foreign laws and governments, Fischer said. He added that Google was not willing to provide ITS with a list of countries to which the University’s data could be sent, but only a list of about 15 countries to which the data would not be sent.
なんか質問と答えがかみ合ってない気がするのは私だけでしょうか？

----------
FakeRean #
最近、spamやらSEO毒やらで暴れ放題のFakeAVですが、愛すべきわが友人の一人が、思いっきり踏みつけて下さいましたので記念書き込み（笑）
食らったのはコレ
card.exe
2010.04.04 00:05:37 (UTC) 16/42 (38.10%)
Win32/FakeRean
なんかもう典型的な「偽セキュ」なワケですが、踏んだ人曰く「日本語のスパムメールにクッツイテいた！」とのこと。

皆様、きをつけましょうね。

----------
8080 #

	count	ASN	登録	更新
94.23.12.62	60018	AS16276	03/20 06:40:26	04/04 08:10:37
91.121.137.124	53109	AS16276	03/17 23:50:25	04/04 08:10:37
94.75.229.72	46612	AS16265	03/18 01:10:26	04/04 08:10:37
94.23.246.172	42134	AS16276	03/22 13:10:32	04/04 08:10:37
94.23.235.93	41975	AS16276	03/20 10:10:32	04/04 08:10:37
91.121.121.227	35763	AS16276	03/17 20:10:21	04/04 08:10:37
91.121.134.58	26685	AS16276	03/16 10:40:28	04/04 08:10:37
94.23.231.140	17017	AS16276	03/16 20:40:34	04/04 08:10:37
91.121.117.37	1289	AS16276	04/04 04:20:35	04/04 08:10:37
195.160.200.36	915	AS44949	04/04 05:30:58	04/04 08:10:37
188.165.196.182	815	AS16276	04/04 05:00:49	04/04 08:10:37
91.121.122.81	510	AS16276	04/04 04:20:35	04/04 08:10:37
94.23.159.128	314	AS16276	04/04 05:00:49	04/04 08:10:37
91.121.160.217	72283	AS16276	03/12 19:40:15	04/04 08:00:46
91.121.163.215	41901	AS16276	03/12 18:10:17	04/04 08:00:46
91.121.180.55	28662	AS16276	03/13 01:10:16	04/04 08:00:46
91.121.8.73	6335	AS16276	03/22 06:10:23	04/04 08:00:46
195.160.200.37	779	AS44949	04/04 05:30:58	04/04 07:50:41
91.121.169.6	474	AS16276	04/04 04:20:35	04/04 07:50:41
94.23.233.34	278	AS16276	04/04 07:00:48	04/04 07:50:41
91.121.95.160	501	AS16276	04/04 05:30:58	04/04 07:00:48
91.121.220.112	178	AS16276	04/04 05:00:49	04/04 05:30:58
91.121.56.65	196	AS16276	04/04 04:20:35	04/04 04:50:33
94.23.29.106	196	AS16276	04/04 04:20:35	04/04 04:50:33
93.89.80.117	51602	AS39326	03/15 13:10:31	04/04 04:20:35
91.121.155.20	42533	AS16276	03/17 21:10:22	04/04 04:20:35
85.131.217.251	25986	AS34309	03/26 01:50:40	04/04 04:20:35
92.52.88.240	21385	AS15395	03/30 04:50:43	04/04 04:20:35
88.191.70.85	9149	AS12322	03/31 11:50:53	04/04 04:20:35
78.41.156.236	18312	AS6908	02/18 20:00:43	04/04 03:40:54
80.248.221.98	3237	AS35830	03/31 20:50:56	04/04 03:10:59
62.193.208.175	4662	AS28677	03/31 19:51:02	04/04 02:40:47
91.204.116.114	6968	AS44976	02/24 23:30:07	04/04 02:10:34
85.197.78.2	13649	AS25220	03/17 06:10:33	04/03 19:40:53
80.190.241.118	561	AS24900	04/02 06:50:56	04/03 07:10:38
88.198.55.175	833	AS24940	03/24 05:50:25	04/02 09:10:48
213.246.39.135	333	AS21409	03/02 01:30:13	04/02 07:40:41

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　3日経過:[81]IPs

今日だけで 12 IPが追加、10個が OVH ってのがいかにもアレですが・・・

----------
Google Safe Browsing #
| 1270335613 | B | [goog-black-hash 1.54507 update]
| 1270335602 | M | [goog-malware-hash 1.20518 update]
| 320905 | +4287(316618) 増加傾向になってますね
| 1588623 |

EoF

日本橋開通記念日
ペルー日本友好の日
愛林日
神武天皇祭
いんげん豆の日
清水寺・みずの日 as 「し(4)み(3)ず」
シーサーの日 as 「シー(4)サー(3)」
葉酸の日 as 「よう(4)さん(3)」

----------
Firefox 3.6.3 #
Pwn2Own で指摘された問題を最初にfixしてきたのはやはり Mozillaでした。
Mozilla Releases Firefox V3.6.3
Mozilla Firefox first to patch Pwn2Own vulnerability
Mozilla Foundation セキュリティアドバイザリ 2010-25
スコープの混同による解放済みオブジェクトの再使用
同コンテストで入賞した実証コードは Firefox 3.6 のみに影響し、旧バージョンには影響しません。ただし念のため、このバグを引き起こす別の方法が見つかった場合に備えて、今後のリリースで Firefox 3.5 にも修正を行う予定です。
CVE-2010-1121
Unspecified vulnerability in Mozilla Firefox 3 on Windows 7 allows remote attackers to execute arbitrary code via unknown vectors that trigger memory corruption, as demonstrated by Nils during a Pwn2Own competition at CanSecWest 2010.
というわけで、Firefox3.6系の方は、至急パッチをあててください。

Firefox 3.6.3 closes a critical hole
Mozilla Firefox DOM Node Moving Use-After-Free Vulnerability 4

----------
Foxit plugged off hole? #
いろいろ問題になってる「PDF仕様問題」で、72時間待った Foxit readerが・・
Foxit Reader 3.2.1リリース
私はコマンド実行の許可を問うだけでなく、JavaScriptのようにオプションで常にコマンド実行不可に設定できて欲しかったのですが……乗換先はどのソフトにしよっかな。
ああっ・・ ユーザ(-1) （苦笑）

専門家が指摘、PDFを開くと任意のコードが実行されるおそれ
「Foxitに報告したところ、今週中に修正プログラムを公開するとのことだった。どのような修正が行われるかはわからないが、ほかのPDFリーダーのように、警告メッセージを表示するようになるのではないか」と、スティーブンス氏は電子メールで述べた。
正解！
Foxit Reader Security Update

少なくとも問題になっている仕様の
この辺は、デフォルトOFFで、出来れば永久に斬って欲しかったですね

↓開くとき注意：高頻度で固まります。 756 PDF
Document management — Portable document format — Part 1: PDF 1.7
417p以降をちょっと読んでづつう（変換不能）に襲われました。
12.6.4.8 Sound Actions(425p) とか、目から何かが落ちました（PDFって一体全体何？って）

精読したmikko_hypponen氏に乾杯～

仕様と脆弱性の間で
また、JavaのSWTではIEコンポーネントを使って開発することができますが、このときのセキュリティ設定もIEのものが使われるのではなく、非常に緩い設定で動作しますので、やはりCMD.EXEを実行することが可能です。
これ・・もっと顕著なのが、Eclipseですね。今はどうかわかりませんが、SWTローディングで固まってしまい、最悪無限BSoDループになってしまう悪夢を記憶している人もいるのでは・・（笑）
この惨劇のおかげで、未だにUACを斬ってる開発者もいるという話・・

続く
----------
JIT Spray? #
まだまだ続くPDFへの風当たり
The Upcoming Black Hat Europe 2010 presentation
In the middle of April in Barcelona, my co-worker Guillaume Lovet and I will give a presentation at Black Hat Europe 2010, which is named “Adobe Reader’s Custom Memory Management: A Heap of Trouble“. This talk focuses on the custom heap management, which is being used on Adobe Reader.
うあ～
ついに GIT SPRAYが公開されるのか～

なんか「もうやめて、PDFのライフはマイナスよ」ってメッセージが聞こえてきそうな・・・

----------
VMware #
VMware Releases Security Advisory for ESX Service Console Updates[Security-announce] VMSA-2010-0006 ESX Service Console updates for samba and acpid
ESX 4.0 ESX ESX400-201003405-SG

VMwareもまだPacth Pendingが４つあるので・・・・

Security Advisory for ESX Service Console

----------
Java #
Oracle Java SE and Java for Business Critical Patch Update Advisory
Due to the threat posed by a successful attack, Oracle strongly recommends that customers apply CPU fixes as soon as possible.
む？
Critical Patch Update = CPU （なんという紛らわしい略称）

Red Hat release OpenJDK 1.6.0 security update
Java SE から派生したOpenJDKにも飛び火していますので、適正パッチを充ててください。

----------
あどみん権限 #
Eliminate two thirds of comp security risk!
まぁよくいわれる話なんですが、実際の企業でこのへんの管理はどうなってるんでしょうね？

1. 一般従業員は管理者権限の必要な動作は一切認められていない
2. 一般従業員にも Adminstrator Passwordを教え、適切な場合には管理者パスワードを打ち込んでもらう
3. なんかへんなダイアログが出たら管理者を呼び出す

きっと3なんでしょうけど・・・

----------
Zabbix #
Zabbix PHP Frontend "user" SQL Injection Vulnerability 3
Input passed via the "user" JSON parameter to api_jsonrpc.php is not properly sanitised before being used in a SQL query in include/db.inc.php script. This can be exploited to manipulate SQL queries by injecting arbitrary SQL code.
まぁ・・万人に Zabbix コンソールを開放してるようなトコは無いと思いますが・・
Advisery: Zabbix <= 1.8.1 SQL Injection
Update to version 1.8.2 or later.

----------
Nokia.de #
Nokia.de(faced)
Spammer （笑）

従業員の仕業の可能性を疑われていますが・・・

----------
root I 続報？ #
中国DNSルートサーバ停止事件でNetNodが調査経過公表
これを読んだ感想ですが、思ったよりもややこしい話になるかも知れませんね。場合によっては、中国からi.root-servers.netが撤退せざるを得ない状況が生まれてしまうのかも知れません。

元の記事
最初にニュースを見た時には、結構衝撃を受けたのですが、今回の事件に関して色々調べてみた結果、実はかなりショボイ事件なのではないかと思い始めました。今回の事件は、何か新しいものというわけではなく、単なるオペミスで数年前から存在している体制が漏れただけっぽい気がします。

中国とインターネットが絡んだだけで、話がヤケに拡大してしまうのは確かで、正直あまり好きではないのですが、今回の問題はインターネットの根幹を揺るがしかねない問題でもあります。
中国が１個のLANになっちゃうのなら別にかまわないのですけどネ。

上記tracerouteの最後の一ホップであるi.root-servers.netの手前が日本のdix-ieになっています。これは恐らく、IP anycast用として利用されている192.36.148.17というIPv4アドレスの所在地が「スウェーデン」となっているだけであり、パケットがスウェーデンのストックホルムに飛んでいるわけではないですね。 IP anycastとGEO Locationの相性は最悪ですね（笑）。
だって、うちのradikoは大阪なんですもん（苦笑）

ともあれ、
Root Server Technical Operations Assn
に、
I: Tokyo, JP / Beijing, CN
と書かれていますので、北京 (上海) 東京が経路的に確保されているのは間違いありません。
別紙: Trans Pacific Express ケーブルルート概要図
via 日中米間を結ぶ光海底ケーブル「Trans-Pacific Express」における 日本発中国向けルートの運用開始について

さらに、この件が未解決なままダラダラと進んでしまうと、FとJに関しても議論が飛び火し得るのではないかと妄想しました。たとえば、「FとJに対して、中国国内でTwitter.comを問い合わせると、どうなるの？」という話は確実に登場しそうです。要は、今まで眠ってた物を掘り起こしてしまった形と言えそうです。
ほんと、どうなるんでしょうね？
今後、こうした「独自ルートサーバ」が台頭してくると、Bogon問題あたりと衝突してさらにカオスになってしまう恐れがあります。
DNSSECに影響が及びませんように（祈）

だから、みんな DNSクエリを 8.8.8.8 に送ろう（違）

----------
Easter #
Want to Make Easter Even More Magical? Click me!
イースターおめでとう・・・（BugsBunny)
2009年の頃には絵はなかったけど、最近は絵がついているらしい・・
Easter E-Card Virus
ロシアにも
It’s an Easter Spam Eggs-traviganza!

----------
ECATEL #

AS29073 Ecatel: Need more proof of their being crimeware friendly?
ECATEL.NET donated a Dedicated server!
マテコラ・・
29073 and AS29073
どうみても真っ黒です。本当に

----------
Other #

Happy “Birthday” to Me
私は、登録するときの誕生日は 2/29にしてるな～（笑）
※基本的にSNSなどの公開プロフィールには何も書かないこと！

3月の国内フィッシング事情：セゾンカード/Yahoo!/Facebook/ボットネット

苦情急増の「情報商材」に注意～クロネコやmixiかたり誘導するスパム出回る

Google Chrome 4.1 OOB Array Indexing Bug
Verified: no

Electronic Bodyguards bureau sets up shop in Switzerland
Houppermans said: "Why buy a consultant at £1,500/day if you can get the best in their field at £1,000?"
さぁ・・

Beware fake eBay security alert
The email message with the subject line "eBay Procedural Warning - Security Alert," is addressed to "Dear eBay Member," and warns recipients that the sender has "detected security issues on behalf of your account."
来てた、来てた（笑）

情報処理学会が日本将棋連盟に挑戦状、今秋から決戦へ
こういうノリ、大好きですよ！

DTI、月額490円から利用可能な仮想専用サーバを前倒しで提供開始
移転しようかな～

ソフトバンク松本副社長、「SIMロック解除義務化は不利益過大」
ふむふむ・・
KDDIが語る「SIMロック解除」のメリットとデメリット
ちょっと勉強不足でした・・・Docomoな見解も聞いてみたいな～

Worst April Fools' Joke ...EVER.
I'm sure it was hilarious to the prankster (read: hacker) when on April 1st all the users of the system magically had $31,337.00 in their accounts [as the balance] - but the company didn't think so. What's worse... the code had been so carefully modified that it took months to figure out and un-do the issues created.

Challenging conventional wisdom on AV signatures (Part 1 of 2)
そして while(TRUE)

----------
iP@d #
The arrival of the iPad: What to expect
アップル、「iPad」に最適化されたサイトの一覧を公開
KORGがiPad版 ELECTRIBE を発売、期間限定1200円
ううっ・（号泣）

天から降ってこないかな（壊れるって！）

----------
最悪の・・ #
アキバのゲームショップ『メッセサンオー』が購入者の個人情報だだ漏れの大惨事！
あえてコメントは控えよう・・
しかしこれ、どう和解するのか・・・しないのか・・・

ちなみにそのCMSの仕様が凄まじいものです
メッセサンオーの流出理由など

* URLにパスワードなどが含まれる仕様
* パーミッションが不適切で、顧客データを含んだcsvファイルが誰でもアクセス可能であった

で、対策内容にも絶句。

すでに最新のプログラムでは、検索エンジンにインデックされないように対策を施してあります。
管理プログラムに下記の対策がなされています。
１．metaタグの挿入（noindex,nofollow,noarchive）
２．USER_AGENTよるSpiderの排除

・・・・・・
もはやなにもいうまい
そんなもんで来なくなるんなら、だれもBaiduをIPレンジで弾いたりシナイヨ！

Secuniaに報告しても呆れて不採用になりそうだな～

こういう個人情報を預かるシステムは、もうちょっと金掛けたちゃんとしたものを使ってほしいですね。
まったくです。

----------
8080 #

	count	ASN	登録	更新
91.121.160.217	72208	AS16276	03/12 19:40:15	04/03 08:50:47
94.23.12.62	59039	AS16276	03/20 06:40:26	04/03 08:50:47
91.121.137.124	52679	AS16276	03/17 23:50:25	04/03 08:50:47
94.75.229.72	46182	AS16265	03/18 01:10:26	04/03 08:50:47
93.89.80.117	45499	AS39326	03/15 13:10:31	04/03 08:50:47
91.121.163.215	41826	AS16276	03/12 18:10:17	04/03 08:50:47
94.23.235.93	41426	AS16276	03/20 10:10:32	04/03 08:50:47
94.23.246.172	41080	AS16276	03/22 13:10:32	04/03 08:50:47
91.121.155.20	36941	AS16276	03/17 21:10:22	04/03 08:50:47
91.121.121.227	35214	AS16276	03/17 20:10:21	04/03 08:50:47
91.121.180.55	28587	AS16276	03/13 01:10:16	04/03 08:50:47
91.121.134.58	26255	AS16276	03/16 10:40:28	04/03 08:50:47
85.131.217.251	19956	AS34309	03/26 01:50:40	04/03 08:50:47
94.23.231.140	16468	AS16276	03/16 20:40:34	04/03 08:50:47
92.52.88.240	16005	AS15395	03/30 04:50:43	04/03 08:50:47
85.197.78.2	10974	AS25220	03/17 06:10:33	04/03 08:50:47
91.121.8.73	6260	AS16276	03/22 06:10:23	04/03 08:50:47
88.191.70.85	7063	AS12322	03/31 11:50:53	04/03 08:40:39
80.190.241.118	561	AS24900	04/02 06:50:56	04/03 07:10:38
78.41.156.236	17152	AS6908	02/18 20:00:43	04/03 06:40:41
62.193.208.175	3579	AS28677	03/31 19:51:02	04/03 03:40:46
80.248.221.98	2574	AS35830	03/31 20:50:56	04/03 00:40:45
88.198.55.175	833	AS24940	03/24 05:50:25	04/02 09:10:48
213.246.39.135	333	AS21409	03/02 01:30:13	04/02 07:40:41
91.204.116.114	6635	AS44976	02/24 23:30:07	04/02 03:40:33
91.121.24.139	116419	AS16276	02/17 10:35:20	03/31 18:41:00

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　3日経過:[80]IPs

----------
Google Safe Browsing #
| 1270252820 | B | [goog-black-hash 1.54438 update]
| 1270252801 | M | [goog-malware-hash 1.20496 update]
| 316618 | +1830(314788)
| 1581528 |

どなたかは存じ上げませんが、激しいラブコール (F5 DOS) を送ってくださっているWin7 / Opera/9.80な方がいらっしゃるようです。
あんまり F5 を頂きますと、追い出されちゃうのでご遠慮願えませんか？（笑）

EoF

国際こどもの本の日(International Children's Book Day)
図書記念日（図書館開設記念日）
五百円札発行記念日 (1951年)
歯列矯正の日 as 「し(4)れ(0)つ(2)」
CO2削減の日 as 「シー(4)オー(0)ツー(2)」
蓮翹忌（光太郎忌）
ヨハネ・パウロ２世 (2005年 満84歳没)

----------
アップデートおさらい #
ここ数日、アップデートが激しくてわからない！という意見をもらいましたので、再度まとめておきます。

Windows: 自動アップデート
IE6: 6.0.2900.5512 (2008年頃から変わらず）
IE8: 8.0.7600.16385 (変わったのをみたことがない)

MacOS X 10.5 以降 : 自動アップデート 最新:10.6.3
QuickTime 7.6.6
iTunes 9.1
Safari 4.0.5 (2010.03.11)

Oracle(Sun) Java SE
JRE/JDK Java 6 update 19

Mozilla
Firefox 3.6.2
　not recommanded : 3.5.9 / 3.0.19(dead-end)
Thunderbird 3.0.4

Chrome : 自動 : 4.1.249.1045

Opera : Opera 10.51

最新版を保ちましょう～

----------
PDF #
PWNED Data Format
Didier Stevens氏の投げかけた問題の波紋が拡大中
Adobe, FoxIt investigating PDF executable hack
Here’s the official response from Adobe:
えーっと、「仕様なんだからしようがないだろ！信頼できないPDFをひらくんじゃない（超意訳）」ってことでいいですか？

Foxit側：
72時間以内になんとかするからちょっとまってね（はぁと）

あまりにも違う両者の対応に愕然としないようにしましょう

「ファイルを開くだけでプログラム実行の恐れ」、PDFの危険な仕様
PDFの機能を利用してコードが実行可能に　研究者が公表
Booby-trapping PDF files: A new how-to
PDFからのプログラム実行をとりあえず防いでみる
これらに関係しているのは、 AcroRd32.dll ですので、さっそく手を加え、 /Launch を呼び出せない AcroRd32.dll を試作して（遊んで）みました。
遊んで≒リバースエンジニアって via ...
リンク貼ろうとおもったけど、LifeFileStoreだったのでや～めた。

----------
AviraとAvastの喧嘩 #
Avira pulls off the dirtiest trick on Avast!
http://www.avast.euが
http://www.avira.com/en/pages/index.phpにリダイレクトされているというもの
なんかこーいうことは、やっちゃいけないことですよね
ただ、Whoisが完全にクローズなので、本当に Avira GmbH がやってるのかどうかは不明です。

サイバースクワッティング
Misdirection on the Internet
まぁ、お互い（個人）無料でがんばってる会社ですし、当事者間で解決してほしいですね。（信者間戦争はあまり好ましくないデス）

http://www.antivir.cz org: ALWIL Software
こういうことをはじめると際限が無い・・

----------
PITs #
PrettyFormMail におけるクロスサイトスクリプティングの脆弱性
PrettyFormMail を使用しない
パッチ提供の予定が無いため、PrettyFormMail の使用を停止し、同等の機能が実装された他製品に切り替えることをお勧めします。
メール送信ソフトのPrettyFormMailに脆弱性

Compiere におけるクロスサイトスクリプティングの脆弱性
update: Compiere_J300_A02バージョンのセキュリティ脆弱性対応パッチ
ERPソフトのCompiereに脆弱性、パッチ公開

OSSEC v2.4 released

Wireshark 1.2.7
doesn't look like any security issues

About the security content of AirPort Base Station Update 2010-001
Apple AirPort Base Station Network Access Restriction Bypass 2
well, sure : Apple patching FRENZY :)

-- CMSs --
DynPG CMS "DefineRootToTool" File Inclusion Vulnerability 4
Unpatched Edit the source code

Drupal Taxonomy Filter Module Multiple Script Insertion Vulnerabilities 2
Update to version 6.x-1.1 or later.

Irmin CMS "_Root_Path" File Inclusion Vulnerability 4
(a.k.a Pepsi CMS)
Unpatched Edit the source code

KimsQ Multiple Remote File Inclusion Vulnerabilities 4
Unpatched Edit the source code (requires that "register_globals" is enabled.)

-- Other --
Open DC Hub "myinfo()" Buffer Overflow Vulnerability 4
Unpatched Restrict network access to trusted users only.

Novell ZENworks Configuration Management Two Vulnerabilities 3
Update to version 10.3.

----------
Time Over

----------
Aurora #
ベトナムのBotnetの話がAurora攻撃とダブってるというか、同じものというお話
マカフィー、1月に発表したGoogleへの攻撃に関するレポートの内容を訂正

Operation Aurora Resized

Botnet attacks blogs by Vietnamese dissidents

Google、ベトナム人ユーザー狙うサイバー攻撃を警告、既に数万台が感染
via The chilling effects of malware

やっぱり政治が絡んだMalware話はわけわかりませんね・

Journalists covering China say Yahoo e-mail accounts hacked

----------
4/1 #
Internal April Fools joke...
April Fools Blackhat SEO Campaign

セキュ会社にエイプリルフールはご法度でも、犯罪者はそんなことはお構いなし

Product Announcement from the Lab
Labからの製品発表
これは・・まじめなツールなんですよね？・・たぶん

----------
Conficker #
Conficker Botnet 'Dead In the Water,' Researcher Says
水面下へ・・

Conficker zombies celebrate 'activation' anniversary
Thursday marks the first anniversary of the much hyped Conficker trigger date.
去年散々おどかされた記憶が薄れつつ・・

別種のWormもあるようですので、気をつけましょう（USB/リムバブルのAUtoRunは塞いでますよね？）
リムーバブルメディア経由で感染するウイルスの活動検知状況

----------
ZeuS vs.. #
SpyEye vs. ZeuS Rivalry
パイの奪い合い

日本での感染数は少ないようですけど、今後はわかりません。

----------
Other #

Tools: CMS Explorer Tool Released
"CMS Explorer is designed to reveal the the specific modules, plugins, components and themes that various CMS driven web sites are running. It can also search OSVDB.org for vulnerabilities in found components, as well as "bootstrap" a security proxy by downloading potential file names from the component's code repository and then requesting them directly from the target.
CMS explorer currently works with Wordpress, Drupal, Joomla! and Mambo."
CMS Explorer (or: what's that CMS running?)
CMSの脆弱性検査と、そのサイトのCMSをチェックするツール・・かな？

Dead Zango installers haunt Download.com
しぶとい・・

Sexy romances distract hackers from data theft, Sophos research proves
romance＠sophos.com なんだこのメアドは！？（笑）

Chrome share gain outpaces browser rivals
着実にFirefoxとChromeが伸びてますね・・・私は Operaに浮気中～！
What's Google planning for Chrome 5?

Spammers Capitalize on Easter Happy EasterHappy Easter Duck

PWN2OWN & Fuzzing -- GarWarner
ブラウザのハッキングコンテストで露呈した最新セキュリティ技術の限界

Ukrainian cybercrime-friendly ISP hit by fire after clean-up

ALERT: Please treat all content from plexusmedia-adv.com and plexusmedia.net with extreme caution
Sources report that suspicious content using the domain plexusmedia-adv.com has been discovered.
A new version of Sality at large
Last Friday, Kaspersky Lab’s experts detected a new variant of Sality.aa, which is at present the most popular polymorphic virus.
これも古くから居ますね

Google researchers out kernel bugs in Windows, Linux and VMware

あちこちにiPadの最初のリビューがぞろぞろと出て参りました
さあ、読め読め。そんな忍耐力はないって？　いいから読めよ、読むべき理由を書くと長くなるから、書かないけど。
え～　時間無い

ようこそ。しっくす・アパートの部屋においでました！
こんな不意打ちはやめて～～
だめ・・お腹よじれそう（笑）

----------
8080 #

	count	ASN	登録	更新
91.121.160.217	72118	AS16276	03/12 19:40:15	04/02 08:50:59
94.23.12.62	58045	AS16276	03/20 06:40:26	04/02 08:50:59
91.121.137.124	52196	AS16276	03/17 23:50:25	04/02 08:50:59
94.75.229.72	45699	AS16265	03/18 01:10:26	04/02 08:50:59
91.121.163.215	41736	AS16276	03/12 18:10:17	04/02 08:50:59
94.23.235.93	40915	AS16276	03/20 10:10:32	04/02 08:50:59
94.23.246.172	39996	AS16276	03/22 13:10:32	04/02 08:50:59
91.121.121.227	34703	AS16276	03/17 20:10:21	04/02 08:50:59
91.121.155.20	29624	AS16276	03/17 21:10:22	04/02 08:50:59
91.121.180.55	28497	AS16276	03/13 01:10:16	04/02 08:50:59
91.121.134.58	25772	AS16276	03/16 10:40:28	04/02 08:50:59
94.23.231.140	15957	AS16276	03/16 20:40:34	04/02 08:50:59
92.52.88.240	9974	AS15395	03/30 04:50:43	04/02 08:50:59
91.121.8.73	6170	AS16276	03/22 06:10:23	04/02 08:50:59
62.193.208.175	2450	AS28677	03/31 19:51:02	04/02 08:50:59
80.248.221.98	1864	AS35830	03/31 20:50:56	04/02 08:50:59
88.198.55.175	759	AS24940	03/24 05:50:25	04/02 08:50:59
93.89.80.117	38444	AS39326	03/15 13:10:31	04/02 08:40:41
88.191.70.85	4277	AS12322	03/31 11:50:53	04/02 08:40:41
80.190.241.118	452	AS24900	04/02 06:50:56	04/02 08:40:41
213.246.39.135	333	AS21409	03/02 01:30:13	04/02 07:40:41
85.131.217.251	13240	AS34309	03/26 01:50:40	04/02 06:50:56
85.197.78.2	6394	AS25220	03/17 06:10:33	04/02 06:11:00
78.41.156.236	15879	AS6908	02/18 20:00:43	04/02 04:10:44
91.204.116.114	6635	AS44976	02/24 23:30:07	04/02 03:40:33
91.121.24.139	116419	AS16276	02/17 10:35:20	03/31 18:41:00

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　3日経過:[80]IPs

----------
Google Safe Browsing #
| 1270162804 | B | [goog-black-hash 1.54363 update]
| 1270162801 | M | [goog-malware-hash 1.20471 update]
| 314788 | +1669(313119)
| 1575778 |
EoF

エイプリルフール （四月馬鹿・万愚節）
2010年のエイプリルフールに起こった出来事の一覧
新学年
綿抜（わたぬき）、更衣（衣替え）
トレーニングの日 三日坊主にならないように・・
ストラップの日
不動産表示登記の日 (1960 年)
児童福祉法記念日 （1948 年）
売春防止法施行記念日 （1958 年）
オンライントレードの日
アップルコンピュータ社がスティーブ・ジョブズとスティーブ・ウォズニアックにより設立される。(1976年)
日本電信電話公社が民営化、NTT（日本電信電話）発足。（1985年）

----------
ネタを仕込むヒマも無く・・・
HURRY!

----------
QuickTime 7.6.6 #
QuickTime系の単独パッチが公開されました。
About the security content of QuickTime 7.6.6
多い・・・
尚、先日の MacOS X 10.6.2 で既に修正されていますので、パッチ済みの人は（たぶん）適応済みです。
QuickTime update patches 16 vulnerabilities
All users are advised to update as soon as possible. QuickTime 7.6.6 is available to download for Windows XP SP2, Vista, Windows 7 and Mac OS X 10.5.8.

iPodユーザの方は、iTunes 9.1と共にアップデートされているかもしれません。

----------
Java 6 update 19 #
Oracle Releases Critical Patch Update for Java SE and Java for Business
Javaのダウンロードもいろいろあって混乱しているかもしれません。

あなたと JAVA -- www.java.com
と
Java SE ダウンロード -- java.sun.com
とありますが、（たぶん）どちらも同じはずです。

現時点で私の環境の「自動アップデータ」が update19を認識ませんが、同様の状況に陥っている方が周囲にも居ますので、自分だけではなさそうです。
インストールの確認
こっちでは「古い」と怒られるのですが・・

また、古いJavaに関する FAQ が追加されており、アンインストールの方法として Microsoft Installer CleanUp ユーティリティ を推奨しているようです。
JRE の複数のバージョンをコンピュータにインストールしておく必要はありますか。また、旧バージョンを削除してもかまいませんか。
旧バージョンの Java を削除してもかまいません。
最新バージョンの Java には、旧バージョンのアップデート版と修正版が含まれているので、必ず最新バージョンを使用してください。最新のバージョンは常に旧バージョンと互換性があります。
旧バージョンに依存するアプレットまたはアプリケーションがある場合は、旧バージョンの Java をインストールしたままにしてもかまいません。
ちょっと歯切れが悪い・・・
プロバイダや開発者は、すべての Java バージョンとの互換性を保証するために、コードを改正する必要があります。

Java 6 Update 19 closes 26 security holes

ブラウザ -- FFXI(仮)
「Oracleに変わりました」と書こうと思ったらSunのままなのでこの辺にぶら下げておきます。
（笑）
Java のページのヘッダが真っ赤に染まっていたのをみて、なにやら感慨深いものがあったのですけどね～

----------
Chrome #
Stable Update: Disable Translate
Google Chrome 4.1.249.1045 has been released to the Stable channel on Windows.

----------
IPA #
「2010年版 10大脅威 あぶり出される組織の弱点！」を公開
2010年版 10大脅威 あぶり出される組織の弱点！(全40ページ、1.73MB）
中身精読する時間がないので・・ナナメ読みです

7.深刻なDDoS攻撃
この辺は実際に起きてしまうと対処不能かもしれませんが・・・

企業や組織が直面する10大脅威、IPAが発表
あまり目新しい話は無いような・・・・

----------
Critical Miss #
痛恨の個人情報流出～先輩たちの「痛恨ミス」に学ぶ事故防止策
新年度を迎え、新たにWebの更新やメールマガジンなどの送信に携わることになった方も少なくないだろう。諸先輩がやってしまった痛恨のミスを振り返りつつ、その防止策を学ぼう。
他山の石とする！

so-netさんの記事と IPAさんのレポートと比較しちゃいけないんでしょうが・・・（もごもご・・）

----------
Firefox 3.0 #
Firefox 3 サポート終了のお知らせ
Firefox 3 は、本日リリースされた 3.0.19 が最後のバージョンとなり、サポートを終了させていただきました。今後セキュリティに関する問題が報告されても修正版は提供されません。まだ Firefox 3 をお使いの方は早急に Firefox 3.6 の最新版へアップグレードしてください。アップグレードはもちろん無料です。また、保存されているブックマークや個人設定は自動的に引き継がれます。
特に、CentOSなど、安定リポジトリしか供給しないビルドをご使用中の方は、rootログインすると突然一気にバージョンアップしてしまうことがありますのでご注意を。

Firefox 3.0.19
Firefox 3.0 セキュリティアドバイザリ

Firefox 3.5.9
Firefox 3.5 セキュリティアドバイザリ
Firefox 3.5 向けのセキュリティ更新は 2010 年 8 月まで提供される予定です。

Last version of Firefox 3.0 released

続く
----------
Firefox CSS #
Plugging the CSS History Leak
ちょっと長いですが、"a:visited" のCSS要素が漏洩することにより、「訪問したWebサイトの履歴」が第三者に漏洩してしまう危険性の話。
この辺になると、利便性vs安全性の完全な排他関係に当たります。

Firefox developers block old CSS leak
5.11.2 The link pseudo-classes: :link and :visited
Note. It is possible for style sheet authors to abuse the :link and :visited pseudo-classes to determine which sites a user has visited without the user's consent.

Privacy isn’t always easy.
Originally specified as a useful feature for the Web, visited link styling has been part of the web for… well, forever. So this is a pretty old problem, and resurfaces every once in a while to generate more paranoid netizens.
(苦笑)

訪問履歴が漏れることを恐れる方は、毎回履歴を消しているでしょうが・・・

Mozilla to Fix CSS History Leak Soon

----------
週間脆弱性 2010.03.30 #
チェックしておきたいぜい弱性情報＜2010.03.30＞ BGM
Thunderbird 2.0.0.24リリース（2010/03/17）
マイクロソフト Virtual PCのセキュリティ問題（2010/03/16）
Sambaにディレクトリ・トラバーサルのぜい弱性（2010/03/08）

いつもありがとうございます。

Sambaの問題は仕様という説もありますが・・

03/21(日)～03/27(土) のセキュリティ関連情報

----------
PDFは仕様です #
最近連日このネタが飛び交っていますが、そもそも PDF の仕様に問題があるという話ですね。

PDF Arbitrary Code Execution - vulnerable by design.
Evidently, PDFs have the ability to execute code by design.
PDF exploit requires no specific security hole to function
Bad news: PDF security specialist Didier Stevens has developed a PDF document which is capable of infecting a PC – without exploiting a specific vulnerability.
やっぱり、インパクトあるんでしょうね

Does PDF stand for Problematic Document Format?
PDFとはプロブレマティック・ドキュメント・フォーマットの略なのか？
※管理人註　：　プロブレマティック（Problematic）＝問題のある、問題の多い
そんな判りにくい単語よりも、もっと判りやすいのがあったような（苦笑）

ムービーや歌を埋め込むことができる。PDFファイルに。ええっ？
PDFファイルは3Dオブジェクトを含むことができ、Embedded JavaScriptを完備？　こんなことを誰が思いつくだろう？
PDFはフォームを持つことができる。それは良い。しかし、このようなフォームが我々の入力したデータを、ネット上のどこかにあるサーバへ直接サブミットできる機能が、どうして必要なのだろうか？
PDFスペック内には、実行ファイルをローンチする機能がある。あるいはJavaScriptを動作させる機能が。これらの機能は必要だろうか？
セキュリティホールの展示会のような話・・・

Otherwise, our guidance would be to use a PDF reader that's as unpopular as possible. The less users a product has, the less attacks it will attract.
何を使えばいいんでしょうね？（苦笑）

とりあえず、Foxit ユーザは、全く無警告でshellcodeが動作してしまう点に注意しなければなりません。
“Escape From Foxit Reader”
UAC無い環境だと、相当恐ろしいです。

----------
BlackHat SEO #
これも、連日のように出るSEO毒のお話
Automated SEO poisoning attacks explained
PoizonedSERPは、自動化された攻撃手法によって生成されているっと
Poisoned search results: How hackers have automated search engine poisoning attacks to distribute malware.
まぁ、あの時事ネタへの対応スピードは異常ですからね・・
今はまだ、日本のキーワードが狙われているケースが少ないですが、今後多言語対応してくるのは避けられないでしょう。

Technical paper: SEO poisoning attacks
Security researchers scrutinise search engine poisonings

----------
Vietnum #
最近、ベトナムの話がちらほらと・・・
The chilling effects of malware
昨日Linkだけ貼っていたマルウェアの話：
Google: beware spyware from Vietnam
Spyware/DDoS malware combo
ベトナムはかなりのIT先駆国なのらしいのですが、詳しくはありません（ごめんなさい）
The malcode that Google just found infects Vietnamese language keyboard software that has been downloaded worldwide. Mehta says the spyware also is capable of participating in distributed denial of service attacks against bloggers opposed to the mining.
ベトナム語のキーボードソフトに入っていたもののようで、ベトナム発というわけではないようです。

ベトナムのリサーチャのblog:
bkis
Additional information about file replacing virus
Scansafeへの返答とか・・・
マルウェア的に散布されているのは 各種ソフトウェアのアップデータを装ったものです。

Vietnamese the Latest Target in a Politically Motivated Attack
Symantec 解析
Google frets over Vietnam hacktivist botnet
Not Aurora, still a pain

----------
時間切れ：：：お出かけせねばっ

----------
Other #

Blackhole DNS Update – 196 new domains
Sources include securehomenetwork.blogspot.com, zeustracker.abuse.ch, ddanchev.blogspot.com:
いつもありがとうございます。
ZeusTrackerは、ちょろちょろ使い捨てにされますので、封鎖は自己責任で・・

Web Browsers Get “Owned” in “2010 Pwn2Own”
Pwn2Own 2010: Lessons Learned
次は、セキュソフトを「破る」コンテストなんかも開催されそうだ（笑）

Social engineering, PDFs and banking Trojans
4.4 percent in China have no AV – that might not be too bad
Millions in China have no antivirus software, survey shows
4.4％ = 1700万台というあたりが恐ろしい

g src="http://www3.atword.jp/gnome/files/2010/02/ic_computerworld_yellow.gif" class="cIcon" alt="" />Millions in China
Microsoft runs fuzzing botnet, finds 1,800 Office bugs
Finds, fixes huge number of Office 2010 bugs by tapping idle company PCs
いくらなんでも大過ぎでは・・

Microsoft teams with Google in name of privacy
呉越同舟

そう、Chrome OSはあのFlashも統合する
敵の敵は味方なのはいつものこと・・・

アップデート：中国のファイアーウォールがGoogleをRadio Free Asiaと勘違い（してないかも）
この理論が正しければ、「rfa」という文字列を含むURLはみんなブロックされることになる。
（苦笑）

リムーバブルメディア経由で感染するウイルスの活動検知状況
.rar 拡張子にご用心
「.rar」は本来圧縮形式のファイルであることを示す拡張子ですが、実際にダウンロードされる内容は暗号化された文字列やWindows の実行形式のファイルです。

IE における解放済みメモリを使用する脆弱性（CVE-2010-0806）に関する検証レポート(2010.03.31追記)

日本オンラインゲーム協会、ワンタイムパスワード利用の共通認証基盤を導入
いいけど、また利権の巣窟にならないようにお願いします。

ボットネット「Wiseguys」、人気スポーツ／音楽イベントのチケット争奪戦で圧勝
via
Solaris 10 no longer free as in beer, now a 90-day trial
ええっ！？

SIMロック解除、「基本的に意味がない」--KDDIが主張
キャリア囲い込み作戦側からすればそうかもね～


'Fog of War' Led To Operation Aurora Malware Mistake
オーロラ作戦の顛末は本当によくわかりませぬ。

Spam Site Registrations Flee China for Russia
There is a decent chance that the spammers will move to another country-code registrar soon. Beginning April 1, Russia’s Coordination Center for domain registration will require individuals and businesses applying for a .ru address to provide a copy of a passport or legal registration papers.
いよいよ今日から .ru ドメインの取得が難しくなります。

Windows XPのデータ実行防止
Windows "XP" での DEP のおさらい

ヒヤリハット、といっても別のこと
膀胱が張り裂けそうでもスクリーンロックすること！
（苦笑）

----------
8080 #

	count	ASN	登録	更新
94.23.12.62	57084	AS16276	03/20 06:40:26	04/01 09:10:50
91.121.137.124	51748	AS16276	03/17 23:50:25	04/01 09:10:50
94.75.229.72	45251	AS16265	03/18 01:10:26	04/01 09:10:50
94.23.235.93	40402	AS16276	03/20 10:10:32	04/01 09:10:50
94.23.246.172	38960	AS16276	03/22 13:10:32	04/01 09:10:50
91.121.121.227	34190	AS16276	03/17 20:10:21	04/01 09:10:50
93.89.80.117	31749	AS39326	03/15 13:10:31	04/01 09:10:50
91.121.134.58	25324	AS16276	03/16 10:40:28	04/01 09:10:50
91.121.155.20	23057	AS16276	03/17 21:10:22	04/01 09:10:50
94.23.231.140	15444	AS16276	03/16 20:40:34	04/01 09:10:50
85.131.217.251	7433	AS34309	03/26 01:50:40	04/01 09:10:50
92.52.88.240	4514	AS15395	03/30 04:50:43	04/01 09:10:50
85.197.78.2	2677	AS25220	03/17 06:10:33	04/01 09:10:50
88.191.70.85	1488	AS12322	03/31 11:50:53	04/01 09:10:50
91.121.160.217	72043	AS16276	03/12 19:40:15	04/01 09:00:47
91.121.163.215	41661	AS16276	03/12 18:10:17	04/01 09:00:47
91.121.180.55	28422	AS16276	03/13 01:10:16	04/01 09:00:47
91.121.8.73	6095	AS16276	03/22 06:10:23	04/01 09:00:47
78.41.156.236	14502	AS6908	02/18 20:00:43	04/01 08:11:10
91.204.116.114	6327	AS44976	02/24 23:30:07	04/01 06:11:05
62.193.208.175	672	AS28677	03/31 19:51:02	04/01 04:40:49
80.248.221.98	710	AS35830	03/31 20:50:56	04/01 04:11:00
91.121.24.139	116419	AS16276	02/17 10:35:20	03/31 18:41:00
91.191.167.14	1113	AS28753	03/26 02:10:36	03/30 07:10:41
95.168.183.126	9792	AS28753	03/26 01:10:35	03/29 23:30:44
85.25.137.71	528	AS8972	03/26 03:10:48	03/29 23:30:44

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　3日経過:[79]IPs

----------
Google Safe Browsing #
| 1270080002 | B | [goog-black-hash 1.54294 update]
| 1270076401 | M | [goog-malware-hash 1.20447 update]
| 313119 | +1288(311831)
| 1569944 |

今日は数多すぎでしたね・・・

あと、タグに意味が無いという意見がありましたので、タグは廃止しようかと・・

でわ、みなさん、よいエイプリルフールを！

EoF

オーケストラの日 as 「み(3)み(3)に一番」or「み(3)み(3)にいい(1)ひ」
エッフェル塔落成記念日 (1889年)
マルタの解放の日 (Freedom Day 1979)
日本国有鉄道最後の日
ポケベル最後の日

----------
今日あたりから忙しくなりそうなので、Other扱いが増えそうです
HURRY!

----------
Out-of-Band #
Internet Explorerのセキュリティ更新の事前告知 (定例外)
小野寺さんから、「エイプリルフールではありません」と釘を刺された、MS10-018 ですが、皆様適用は済ませましたか？

Microsoft Releases Out-of-Band Security Bulletin Update


IE6/7だけではなく、IE8にも影響がありますのでご注意を。

Security Bulletin MS10-018 Released
OOB Update for Internet Explorer MS10-018
あれ？ CVE-2010-0483が入ってないようなきもする・・
IEのVBScriptとHelpファイルの「F1攻撃」脆弱性の検証レポート

あと“pwn2own”の脆弱性は間に合わず（タイミング的に無理でしょう）
Since we announced yesterday that we would be releasing this bulletin out-of-band, we have been asked if it addresses the vulnerability that was used in the “pwn2own” contest at the CanSecWest security conference last week. We are still investigating that issue at this time so we do not have an update available.

Active Exploitation of CVE-2010-0806
Targets have spanned over 50 countries, but the most frequently targeted computers have been in China and Korea, with the US trailing a distant third place:
圧倒的ではありませんか？　

Microsoft Releases Out of Cycle Bulletin MS10-018
Reported exploit detections from McAfee home users are significant, though well below the top 20 detections at the the time of this blog post. None the less, vulnerable users should patch soon.
McAfeeの所為でウィルス拡散が広まったと苦言を呈されていますので、ちょっとテンション低いですね
When too much is not enough too much. -- Mar11

Microsoft Releases "Out of Band" IE Update
Yeah, I think we ought to install that patch!

マイクロソフト、IEのゼロデイ・バグに対応する緊急アップデートをリリース

----------
Java JRE #
Java SE 6 Update Release Notes
1.6.0_19 (6u19)
というわけで、 Oracle Java SE 6 update 19 がリリースされました。

----------
MacOS X #
Critical Mac OS X update patches security holes
Just look at last week's Pwn2Own competition at the CanSecWest security show, where Charlie Miller won $10,000 by hacking Safari running on Mac OS X. Miller was able to exploit Apple's default browser and compromise the Apple Mac after visiting a website hosting malicious code. (The vulnerabilities exploited by Miller are not mentioned in Apple's security advisory, so we have to assume that they are not patched with this update).
こっちも（当然）間に合わず。via @0xcharlie

----------
php session #
PHP blunders with random numbers
ちょっと長いですが、PHPのセッションIDを生成するためのRNG(random number generator)に脆弱性があり、推測可能なランダム文字列になってしまうというお話。
線形合同法（Linear congruential generators,LCGs）
Advisory: Weak RNG in PHP session ID generation leads to session hijacking
A modern GPU can handle about 2^30 MD5 ops per second, so we're looking into 2^21 GPU seconds. This is within the reach of big organizations.
ま・・理論的にはそうですけど、そこまで BFA を掛けられたら、普通気が付きませんかネ？

----------
exploited PDF #
昨日、ちょっとだけ紹介した
Escape From PDF -- Didier Stevens
ですが、ZDnetでも Ryan Naraine氏に取り上げられていました。
Hacker finds a way to exploit PDF files, without a vulnerability
Stevens said Adobe’s PDF Reader will block the file from automatically opening but he warned that an attacker could use social engineering tricks to get users to allow the file to be opened.
With Foxit Reader, there is no warning whatsoever:
というわけで、Foxit ユーザの方は、怪しげなPDFに注意しましょう。

With Adobe Reader, the only thing preventing execution is a warning. Disabling JavaScript will not prevent this (I don’t use JavaScript in my PoC PDF), and patching Adobe Reader isn’t possible (I’m not exploiting a vulnerability, just being creative with the PDF language specs).
Stevens tested his research on Adobe Reader 9.3.1 (Windows XP SP3 and Windows 7).
「Readerの唯一の対処は、怪しげな警告ウィンドウが開いたときに実行しない（ウィンドウをPDF内に貼り付けたソーシャル・エンジニアリング的な手口の可能性に注意するように」っと。
JavaScriptもExploitsも関係無いということで・・・

※というか PDFから別アプリがラウンチ可能、ペイロード投下可能という仕様に問題があるような気が・・・

----------
Word爆弾 #
EXEs in word docs
.DOC爆弾の新しいタイプです。
you see a “PDF”, but it’s actually not. It’s a JPG, which links to an executable.
neuksw3.exe
2010.03.30 12:09:47 (UTC) 19/42 (45.24%)

----------
I root server 汚染話 #
中国国内ルートDNS停止事件 雑感
こういう視点も必要ですね。

DNSキャッシュポイゾニングがあれだけ問題視されるのは何故なんでしょう？

----------
iTunes #
iTunes 9.1 がリリースされました。
セキュリティ関連：
About the security content of iTunes 9.1
CVE-2009-2285
Tiff解凍爆弾の修正を含んでいます。

尚、企業としてセキュリティポリシー的にQuickTimeが受け入れられない方は、不用意にインストールしないようにしてください。

----------
PS3 no longer with Linux #
PlayStation®3をご利用のお客様へ
2010年4月1日（木）に提供が予定されているPlayStation®3 (PS3®)システムソフトウェア バージョン3.21にて、新型PS3®（CECH-2000シリーズ）を除く従来モデルのPS3®に搭載されていた「他のシステムのインストール」に関する機能を削除いたしますので、お知らせ申し上げます。従来は本機能を用いて「他のシステム」をPS3®にインストール・起動することができましたが、セキュリティの脆弱性に起因する問題に対応するため、本アップデートを実施するに至りました。
え～ VPS用の端末に使おうと思ってたのに！（マテ）

「PS3でLinux」が不可能に　4月1日のアップデートで
米空軍や陸軍はアップデートしちゃダメですね（笑）

----------
VMware #
VMWare Security Advisories Out
まただ～
[Security-announce] VMSA-2010-0005 VMware products address vulnerabilities in WebAccess
Virtual Center 2.5 with WebAccess
Virtual Center 2.0.2 with WebAccess
VMware Server 2.0.2 with WebAccess
VMware Server 1.0.10
ESX 3.5 with WebAccess
ESX 3.0.3 with WebAccess

[Security-announce] UPDATED VMSA-2009-0016.5 VMware vCenter and ESX update release and vMA patch release address multiple security issues in third party components.
vCenter Server 4.0 before Update 1
Virtual Center 2.5 before Update 6
ESXi 4.0/3.5 のいくつか（パッチ適用により除外）
ESX 4.0/3.5/3.03 のいくつか（パッチ適用により除外）
vMA 4.0 before patch 02

UPDATED VMSA-2010-0002.1 VMware vCenter update release addresses multiple security issues in Java JRE
Virtual Center 2.5 before Update 6
ESX 3.5 without patch ESX350-201003403-SG

----------
時間切れ～

----------
Other #

宅急便・クロネコ等を騙る迷惑メールについて
最近、宅急便、クロネコ等を騙る迷惑メールが多発しております。
タイトルは「宅急便お届けのお知らせ」となっておりますが、本文にはヤマト運輸とは一切関係ない内容が記載されております。
ヤマト運輸から発信されるメールのアドレスは「●●●@kuronekoyamato.co.jp」となっており、内容は原則としてお荷物のお届けに関するお知らせ及び新商品・新サービスのご案内になります。

The chilling effects of malware
Tue
This particular malware broadly targeted Vietnamese computer users around the world.
Aurora関連？

Phishing phree
釣り

Australian Internet censorship row warms up

東京都、ネット通販の不当表示で2業者に改善指示～健康食品やストールなど
アクリル≠カシミア

Google to build Flash into Chrome browser
And note also that Adobe is adopting next-generation Web standards, too.
HTML5とFlashで陣営が割れそうな予感

Back to Basics with Fake AV
なんか、かえって新鮮ですね

Why Some Webmail Services May Be Favored in Targeted Attacks
Overall these are the free-to-use web mail services that are frequently used by hackers and cyber criminals. They are smart people and write very sophisticated malware and are almost certainly aware that there are a number of free-to-use web mail services available that will not reveal their true location to the recipient of the mail. This offers a reasonable explanation as to why they favor them now and why they will continue to use them in the future.
地域情報の隠蔽が主目的？

「Windows 7」の脆弱性対策、管理者権限の制限が効果的
それができれば苦労はないですよね～～
※何かアプリをインストールする度に呼び出されることに

Kids’ Choice Awards Used for FAKEAV
なんかもう何でもありですね・・

Persistent Domain-Renewal Scam Alive and Kicking
返金されますよ～（苦笑）

一般医薬品のネット販売規制は違法と言えず--東京地裁がケンコーコムらの行政訴訟に判決
棄却！？
#otcEC

帯域外のアップデート：Internet Explorer
いや確かに、out-of-band = 帯域外ですけど・・（苦笑）

iPhone新モデルは「iPhone HD」・6月22日発表？
さらにたびたびのスクープで著名なJohn Gruberは、WSJの「スクープ」が実質的には新 iPhone 夏登場しか伝えていないと揶揄しつつ、新iPhoneが（iPad同様の）アップルA4ファミリ SoCチップ、960 x 640解像度ディスプレイ、前面カメラを採用、おまけにサードパーティによるマルチタスクが可能なiPhone OS 4搭載といった情報は掴んではいないようだ、と新仕様をほのめかしています。960x640が「HD」かはさておき、ピクセル数では現行iPhoneの4 倍にあたり、Nexus OneやDroidを一気に飛び越える解像度。いずれにせよスマートフォン戦争がますます面白くなりそうなのは確かです。

ほしいな（ぼそっ）


----------
8080 #

	count	ASN	登録	更新
94.23.12.62	53470	AS16276	03/20 06:40:26	03/31 09:00:42
91.121.137.124	51308	AS16276	03/17 23:50:25	03/31 09:00:42
94.75.229.72	44811	AS16265	03/18 01:10:26	03/31 09:00:42
94.23.235.93	37477	AS16276	03/20 10:10:32	03/31 09:00:42
94.23.246.172	35649	AS16276	03/22 13:10:32	03/31 09:00:42
91.121.121.227	31886	AS16276	03/17 20:10:21	03/31 09:00:42
93.89.80.117	25599	AS39326	03/15 13:10:31	03/31 09:00:42
91.121.134.58	24884	AS16276	03/16 10:40:28	03/31 09:00:42
94.23.231.140	13481	AS16276	03/16 20:40:34	03/31 09:00:42
91.121.160.217	71963	AS16276	03/12 19:40:15	03/31 08:50:55
91.121.163.215	41581	AS16276	03/12 18:10:17	03/31 08:50:55
91.121.180.55	28342	AS16276	03/13 01:10:16	03/31 08:50:55
91.121.8.73	6015	AS16276	03/22 06:10:23	03/31 08:50:55
91.121.24.139	115250	AS16276	02/17 10:35:20	03/31 08:11:10
85.131.217.251	4018	AS34309	03/26 01:50:40	03/31 05:40:59
91.121.155.20	17394	AS16276	03/17 21:10:22	03/31 03:11:00
91.191.167.14	1113	AS28753	03/26 02:10:36	03/30 07:10:41
92.52.88.240	131	AS15395	03/30 04:50:43	03/30 05:10:36
95.168.183.126	9792	AS28753	03/26 01:10:35	03/29 23:30:44
85.25.137.71	528	AS8972	03/26 03:10:48	03/29 23:30:44
85.197.78.2	483	AS25220	03/17 06:10:33	03/29 19:00:42
78.46.116.136	144	AS24940	03/28 21:50:35	03/28 22:10:36
188.40.82.70	438	AS24940	03/26 14:10:46	03/28 19:40:41
62.75.218.192	50897	AS8972	02/17 12:30:27	03/28 19:00:31

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　3日経過:[78]IPs

----------
Google Safe Browsing #
| 1269993611 | B | [goog-black-hash 1.54222 update]
| 1269993602 | M | [goog-malware-hash 1.20424 update]
| 311831 | +1621(310210)
| 1563737 |
EoF

[Announce]

発見からずっと攻撃中だった IE ZERO DAY(KB981374 as CVE-2010-0806)ですが、なかなか緊急パッチがこないので、IE6埋葬キャンペーンかと思っていましたよ！

Internet Explorer Cumulative Update Releasing Out-of-Band
Today we issued our Advanced Notification Service (ANS) to advise customers that we will be releasing security update MS10-018 tomorrow, March 30, 2010, at approximately10:00 a.m. PDT (UTC-8).
（日本時間 3/31 AM2:00頃）

[MS10-18]
Microsoft Security Bulletin Advance Notification for March 2010
おろ？何故 IE8/Win7が入ってるの？　しかも Critical・・・

UPDATE:
We have received several questions about this bulletin today. Basically, if Internet Explorer 6 and 7 are the only versions affected by the active attacks, why does the Advance Notification page state that Internet Explorer 8 and Windows 7 are affected? To clarify, the Security Advisory was released due to one vulnerability that is under active attack. That vulnerability only affects Internet Explorer 6 and 7. However, the bulletin, MS10-018, that we will release tomorrow, addresses 9 additional vulnerabilities. Some of those also affect Internet Explorer 8. All of the 9 additional vulnerabilities were responsibly disclosed and we are not aware of any active attacks against them.
なるほど、この際、他の脆弱性も塞いでしまったのですね。

というわけで、シス管諸氏は、定例外パッチに備えましょう

Microsoft: Emergency IE patch coming tomorrow
Microsoft Readies Emergency IE Patch to Thwart Attacks
The out-of-band update comes exactly 21 days after Microsoft said it was aware of targeted attacks against Windows users running its flagship browser.
IE6/7が「Flagship」ブラウザかどうかは意見が分かれるところでしょう。
MS to release emergency IE fix on Tuesday
Microsoft out-of-band patch tomorrow
Microsoft to release emergency Internet Explorer patch on Tuesday
But, in all honesty, what are you doing running such old versions of IE anyway? Shouldn't you have upgraded to Internet Explorer 8 by now?
Microsoft to Issue Emergency IE Fix

追記：
Internet Explorerのセキュリティ更新の事前告知 (定例外)
なお、4/1 (エイプリルフール)が近いですが、このブログやセキュリティ関連のサイト・サービスでは、ネタを仕込むことはしません。仮に、4/1に情報が公開・更新した場合でも情報は本物ですのでご注意を。
（苦笑）

Keep Secure!

EoF