« 2004年2月 | トップページ | 2004年4月 »

2004.03.30

iframeによる盗用の件の話

「幼稚な業者こそがネット社会で最も迷惑な存在」の一例(修正版) のフォローだったりします。

で、一応「サイト盗用問題」については原因ははっきりした模様です。(ただ消すのもあれなので、修正して残してあります。その方が第三者が確認できるでしょうし)

うーん、商用利用を考えられていない時代(?)に作られたWWWの仕組み(機能優先で拡張されつづけてきた)が 今も悪い方に引きずられているだけではないかと思うんですが。情報の使われ方で問題が起こるとは昔は夢にも思わなかったでしょうし。それが今回の件とか、最近のGoogle八分とか、読売新聞の見出し訴訟とかに現れているのではないかと。(…Google八分はちょっと違うかもしれない)

根本的な解決策はというと…ないかも。(悲観的)

ちなみに、この件で「"AUPフリー"」という単語が頭の中に浮かんできたのですが、Googleで 検索すると、 72件しか出てこなかったりします。すでに死語に近くなってるんでしょうかねえ。

| | コメント (0)

2004.03.24

「幼稚な業者こそがネット社会で最も迷惑な存在」の一例(修正版)

2004.3.29追記:一ユーザーの暴走だったようです。参照→ VEGA CLUBの汚名をそそぐ

そのサイト:レンタルサーバー VEGA CLUB - ウェブログページですが、その中身の一部:

<iframe frameborder=0 src="http://(コピー先サイトのURLが続く)

うわあ、これはひどい。他ページも色々なサイトをiframeタグを使ってそのまま表示させているみたいです。 利益を上げるのは結構ですが、何か忘れてませんかねえ…。

| | コメント (0)

2004.03.22

ACCSとレンタルサーバ業者

またACCSの話ですが、ちょっと違った方向に…。

レンタルサーバの管理面について言及されていますが、

ところが、レンタルサーバー会社からは、未だ報告書をもらっていない。 こちらから弁護士を通じて内容証明を送り、3月に入って両社の代理人による 話し合いがスタートしたばかりだ。

…ひょっとして、はずれのレンタルサーバー会社をつかまされたんでしょうか?それならログの件も 納得がいきます。(ログから他者の攻撃跡を見つけられなかった点)…単にレンタルサーバー会社にスキルがなかっただけかもしれない、って本当にそうだったらそんな業者はだめでしょう。

そういう意味では、どのようにしてレンタルサーバー会社を見つけ出したか、というところに興味が湧いてきます。 単に安いから、という理由で契約したのではないと思いますが。もしそうだったら、…それでは甘い、といわざるを得ないと思います。というわけで、

仮にレンタルサーバー会社に管理責任があるとすれば、 逆に我々はレンタルサーバー会社を選ぶ際にセキュリティ面を詳細にチェックする必要が生まれる。

…というのはこれからは(今までもそうですが)当然ではないかと。 そもそも幼稚なセキュリティ研究者以前に、「幼稚な業者こそがネット社会で最も迷惑な存在」なのではないのかなあ、と。

そのセキュリティ業者はこちらなのですが、検索していたら こちら(13Hzで稼働中!)のページを見つけまして、 そこからあるページを読むと…唖然。冗談(かもしれない)とはいえ、こんな文章を見えるところに 置いておいてはいかんでしょう…。本当にACCSって真面目に考えて契約したんでしょうか。

| | コメント (0)

2004.03.21

ACCSの以下略

…まだ続くみたいです。

Slashdot Japanでも色々と議論されているようです。元となる記事は 個人情報を盗まれた人たちの不安を被告はわかっていない ACCSの久保田専務理事が語る個人情報流出訴訟の背景(前編)(Internet Watch)ですが、 やはり結構突っ込みがあるようです。後編の記事に期待。

それにしても、最近の対応だと、ジャパネットたかた(149件、CMなど自粛)、Yahoo!BB(一人500円(件数多数)、CM続行)、ACCS(件数4?、何もしていない?)の三者三様。ジャパネットたかたはまともな対応をしているように見受けられますが、他は…ねえ。

| | コメント (0)

2004.03.19

ココログプラスのアクセス解析の注意点

ココログのプランを変更して、アクセス解析できるようにしていたのですが、こんなお知らせに気づかなかったとは。

プラス/プロでアクセス解析機能をご利用になるには、全てのページを再構築する必要があります。

ということなので、上記リンクからの手順を参考に、全ページを再構築する必要があります。再構築すると、 生成されたhtmlファイルの中にJavascript(imgタグ)がついてくるので、多分これで解析しているんでしょう。

| | コメント (0)

2004.03.18

ACCS - 結局ログ調査は…

最終報告なんでしょうかね。

なお、現在ACCSでは、上記「標準CGI」の欠陥について、レンタルサーバ会社が負うべき 責任問題について、話し合いを継続しています。

うやむやにせずに、ちゃんと結果をだして欲しいものです。で、以前書いたログの話ですが…

その後警察が捜査を行い、3月11日、「A.D.2003」でのプレゼンテーションで 公開されたものと同様の手口でCGIに不正アクセスした3名の内、 2名が書類送検されました。なお、この2名については個人情報は 保有していないことが確認されています。

結局、ログの再確認はやってないんでしょうか。なんだかなあ。

| | コメント (0)

謎話 その56 待ち時間

久屋大通りの地下街に餃子店ができたということなので、行ってみた。

…何か場違いな雰囲気。メニューを見ると、紅茶にラーメン・餃子(中華料理系)、カクテル。 うーむ。食事が目的なので、ワンタンメンと餃子を注文。

5~10分ほど待つ。ワンタンメンがくる。
5、6分でワンタンメンを食べ終わる。
待つ。
待つ。
…。
ワンタンメンを食べ終わって10分以上たってから、餃子がやってくる。えーと…

味は普通。多分2度目はないでしょう。

| | コメント (0)

2004.03.17

F1:週刊エフ vol.2

『Weekly GRAND PRIX SPEED-F』[週刊エフ] vol.2が web上で発行されてます。毎週火曜日でしたか。 しかし…

  • 印刷するにはいいプリンタが手元にない。
  • 画面に表示して読むには読みづらい。
    (縦長の3段組をどうやって読む?)

昔のGPXのメール配信はかなりアレだったのですが(HTMLメールだった)、今回は 何とかならないものですかねえ。せめて文章だけでも読みやすく整形してくれないものでしょうか。 …この調子では、ぐらんぷりバかボンドしか見なくなってしまいそーな気もしたりしなかったり…

いや、一番の問題は「週刊エフ」で検索してもF1のページが出てこないことかもしれない ^_^;

| | コメント (0)

2004.03.15

Download ASCIIの終了

Download ASCII、4月末日で公開終了

…えーと。
このサイト、全然知らなかったんですが ^_^;

| | コメント (0)

DOS/V Magazine 4/1号の巻末広告のページ

8ページ。
…薄くなる一方の今日この頃、この先大丈夫なんだろうか。

(普通は20ページ程度あるはずですが)

| | コメント (0)

2004.03.14

F1 - Grand Prix Speed Fはいずこに…

売られているはずなのに、どこの本屋に行っても見つからない。うーーん。

Grand Prix Speed Fのサイトをみると、確かに あるはずなんだが…え?

週刊(週刊エフ、次回3/16)?ネット配信のみ(PDF形式)?聞いてないーー。 PC等を持っていない人のために、コンビニのカラーコピー機と連携した出力サービスでも やってくれればいいのに。(50円×12枚とかになると高くつきそうだけど)

しかし、http://www.sankaido.jp/は「ただいまコンテンツ準備中です」となっている。 …分からん。

(そういえば、アズエフ(月刊誌)は既に休刊していたんですね…)

| | コメント (0)

2004.03.12

ACCS-ログ調査を考えてみる

ASKACCS報告書関連の話は、Internet Watchにも記事になってました。やはり報告書の正式な修正or訂正は まだ出ていない模様です。(3/12時点)

アクセスを試みたのは3人だった模様です。

記事中:

ACCSでは「(報告書の調査結果を)修正しなければならない。当時は事件直後であり、 相手のアクセス手法も確定できていないまま、我々が自主的にチェックを開始しなければならなかった。 そのために形跡を発見できなかったのではないか」としている。

うーん。逮捕前のOffice氏の行動からすると、脆弱性報告と攻撃可能なパターンを 一緒に送付していたような節が見られるので、調べてみました。

  • 10/6 この日よりログが残っている
  • 11/8 イベントでASKACCS脆弱性の発表
  • 11/9 早朝から昼 3人が脆弱性攻撃(調査報告書では、この攻撃はログから見つかっていない)
  • (上記Internet Watchの記事を参考)
  • 11/9 12:00頃 ACCSへの脆弱性報告を確認
  • (この時点で攻撃パターンが判明していたと考えられる↓)
ASKACCSのホームページ上のCGIから個人情報を入手する手法を記したメールが 送られているのを確認

(from:ACCS運営ホームページのセキュリティ問題について(2003.12.26))

  • (★)
  • (この間、ログ調査・個人情報拡散調査あり。外部から個人情報へのアクセスを4回確認)
  • 12/3 事故調査委員会設置(ACCS)
  • 1/22 ASKACCS調査報告(調査報告書)

(参考:ACCS運営ホームページのセキュリティ問題について(2003.12.26))

11/9~1/22の期間が長いかどうかは気にかかるところですが、 やはり「個人情報を入手する手法を記したメール」を送っているようです。 そうすると、時系列でみる限り、(★)のところで3人の脆弱性攻撃がログから 発見されていてもおかしくないのですが。 11/9の時点でOffice氏の攻撃がログから判明しているわけですから、 11/9~1/22(2ヶ月半)に行われていた(はず)のログ調査の実施にも関わらず、

当時は事件直後であり、相手のアクセス手法も確定できていないまま

なんてことがありえるのでしょうか。

以前ログを調査したところは、ASKACCSサイトを運営していたレンタルサーバ会社 なのでしょうか? どちらにせよ、もう一度ログから攻撃の可否をチェックすべきだし、 なぜチェック漏れがあったのか考察する必要があるのでは。…と書いたところで、

イベント後の翌9日の早朝から同日昼にかけて同様の手法で アクセスを試みていたことがわかっており

実はすでにログから攻撃があったことをつかんでいたということですか?とすると、上の話の流れから ログから見つけたのは1/23以降になるわけですが、結果報告書を書いてから再調査したとか? 何か調査と結果と事実と行動が噛みあっていないような。…謎は深まるばかりです。

参考:ASKACCS 関連

| | コメント (0)

2004.03.11

ACCS報告書の真実性、とは

  • 京大研究員の手口模倣 不正アクセス容疑で2人書類送検
  • んー…。結局ASKACCSの調査報告書にある、

    ASKACCSのサーバーに記録が残っていた平成15年10月6日以降のアクセスログを 解析した結果、合計4回、外部から相談者の個人情報にアクセスされた形跡が認められた。 情報提供者に確認したところ、これら4回のアクセスは、いずれも情報提供者自身による ものとの回答がなされた。

    上記4回以外に、外部から個人情報を取得されたことを示すアクセスログは認められなかった。

    他人のアクセスはなかったという報告は覆ったことになるわけで…どこにも 追加報告(例:実はログに2名分あったという修正)は見つからないのですが。

    ASKACCSのトップページ(3/11) には平気でこんなことが書かれています:

    イベント終了後の9日(日)(注:昨年11/9)早朝5時以降から、 ASKACCSのすべてのCGIプログラムを閉鎖した同日昼までの間に、 同様の手法でのアクセスを試みていました。

    にもかかわらず、10/6以降のログにはそのようなアクセスはなかったんですよね? (報告書はそう読めるし、修正もされていない) そういう意味では、報告書のログチェック結果って何だったんだろう。

    報告書って、一体何を報告するものなんだろう。

    p.s. 3/11の投稿時点でどこかに訂正ページがあったら撤回しますが…見つからないなあ。

    | | コメント (0)

    廃線跡の旅

    --- The Ruins of Rail --- 廃線跡を旅する
    というページがあったので紹介。 ちゃんと歩いて、写真まであるのが驚異的です。…本も出ているようですね。

    このページのなかで、実際に歩いたことがあるのは 加越能鉄道加越線だけですか。とはいえ、今は サイクリングロードとして整備されているので、比較的楽に歩くor自転車で…ということができるわけですが。

    とりあえず、どのような道かというと、こんな感じ(mapion)です。地図の 「自転車専用道路」とあるところが旧線路だったところです。

    ちなみに、この近くに親の実家があったりしますが、それはまた別の話。(って、いつの間にやらバイパスとかファミリーマートとかできてるし…)

    | | コメント (0)

    2004.03.10

    GetHTMLWにみる、ネットワークソフトの使い方とは(のメモ)

    Walrus,Visit. 2004年3月から見つけた 話題なのですが、GetHTMLWの話。

    「GetHTMLWへの要望です」から始まる話。 メモ程度ですが、まともな文章になるかは…多分なりません。

    ちなみに、この話は別にGetHTMLWに限った話ではなくて、色々なソフトウェア名に変えても同じようなことが言えます。Goobleのrobotとか、ブラウザの最新更新履歴検索とか(WWWCも)、1サーバで多重ダウンロードが許可できるダウンロードソフト (どんなものがあるのか不明)とか。

    • サーバーの設定・運用方法の問題ではなくGetHTMLWの問題だと思う
      • 現状に合わせたパラメータの制限は必要だろう
      • 悪用されないために、ソフトウェア側で安全側に倒すべき(危険な値を設定できないようにする)
      • 今は安全側に倒れるような方向に進んでいるので安心できそう
      • (試用しないと…)
    • 昔の話。
      • 昔は64kBのメールを送れない設定を行っているところもあった(バックボーンが貧弱だったこともある)
      • 今では帯域がGbになっている&HDDも潤沢なのであまり考えなくなっている(がそれでもねえ…)
      • 昔のHTML自動取得ソフトの設定は?(未調査です。多分その辺は考えられていると思うのだが)
    • 将来。
      • サーバーのスピードアップ・ネットワークの改善もあるだろう
      • そのときにまたパラメータ制限を考えればよいこと
    • レンタルサーバー側からの設定でどれだけやれるか
      • CGIの設定の問題?…とは思えない
      • 一人当たり100CGI/1分アクセスに耐えられるサーバーとは?
        • 結局、いくら払っても耐えられないだろう
      • GetHTMLWのアクセスでサーバーダウンしたとき、誰が保証するのか
        • ISPによっては、サーバー設置者に損害賠償を請求される場合があるかもしれない
        • それに近い例:http://www.chat-jp.com/ (これはこれで正しい判断だと思われる)
      • で、GetHTMLWの利用者をブロックするのが一番手っ取り早い、となる(現状)
    • …というか、敬意を払わないようなくれくれ君の処遇はどうしましょ↓
    >もちろん WebServer 側もいろいろな事情があり、一方的に対処をすべきだとは
    >言えそうにありませんし、なにしろ取得したいコンテンツを提供していただいている
    >点に敬意を払わなくてはいけません。

    無意味にアクセスを制限する点を踏まえれば敬意を払う必要は無いと考えます。

    | | コメント (0)

    2004.03.08

    SoftEtherとネットワーク

    ふと思ったんですが、SoftEtherの仮想HUBがもしぼこぼことできたとして、 ネットワークからの影響を考えると…

    • Aが仮想HUBを作成する。
    • Bが仮想LANカードから仮想HUBに接続する。
    • C,D,E…が同様に仮想HUBに接続する。

    として、全員が異なるISPから接続している場合、BからCの通信は(B→A→C)と なるわけですが、ネットワークが木構造となっていて、B,Cが木の末端に位置している としたら(というかそうなっているはずですが)、 正確には(B→バックボーン→A→バックボーン→C)となることになります。 つまり、一回の通信でパケットは2回バックボーン(多分…大手町?)を通過するわけで。

    さて、沢山の人が仮想HUBにぶら下がり、高帯域のパケットを流しつづけるとすると、 P2P以上のパケットが流れることになりそう。 例えば、A~Zが全員FTTHの環境で(おいおい)、SoftEtherの仮想LANを構築していて、 各々がNetmeetingを起動して映像付きのチャットを行うとどうなるか…。

    まあ、これは仮想HUBがあちこちに沢山できた場合、という条件がありますが、 遅かれ早かれこんな状況になってくるとは思うんですけどねえ。 …で、やっぱりインターネットは網構造にしないといけないんだろうなあ、という結論になるんでしょうか。

    と、ここまで書いてみて、やっぱりファイル共有(or交換)ソフトのトラフィックに比べれば、あんまり 関係ない量なのかなあ、とも思ってみたり。

    | | コメント (0)

    2004.03.05

    8盤レコード専用ポータブルプレイヤー

    8盤レコード。最初何だこれは?と思っていたのですが、プレイヤーもちゃんと出ているようで。 一発ネタで終わってしまうのか、それとも…。

    | | コメント (0)

    2004.03.04

    金山のGroove!もいつの間にやら休業

    気が付いたら、Groove!(愛知県・金山)が1月末から休業していました。 場所はこちら(mapion.co.jp)

    Googleで検索すると、 Groove!金山本店の画像 (ぱやぱや.) が見つかりましたのでリンクを張っておきますが、今はビル全体が真っ暗になっています。(地下の居酒屋は営業しています)

    CCCDのせい(で売れなくなった)…じゃないですよね? ^^;

    | | コメント (0)

    2004.03.03

    金の勧誘電話

    まあ、よくある勧誘電話なんですが。

    わし:「もしもし」
    むこう:「以前電話した○○ですが、今日は金が値上がりして」
    (ぷちっ)

    …という電話を勤務中にかけてくる会社というのもどーかと思うのですが。

    | | コメント (0)

    « 2004年2月 | トップページ | 2004年4月 »