カテゴリー: コンピュータもろもろ

mixi でまたチェーン日記騒動だそうです。そもそもコンピュータ上の創作活動を行う上で「コピー＆ペースト」を用いるというのは一番安易な方法です。参照という形にしておかないと、後から内容の更新があった場合コピーの内容を更新するのにコストがかかって仕方ありません。きちんとしたプログラミングを書いたことがある人にとっては常識なのですが。

こうした記事を見ると mixi ユーザーにはネットリテラシーが身についていないように見えます。ネット詐欺師に目をつけられても仕方ないですね。閉じた空間でコミュニケーションしていることが少なからず影響しているのでしょう。と考えるとしばらくはいろいろな事があるような気がしてしまいます。

使っていた ATX 電源 SkyHawk GM-370PC がお亡くなりになってしまいました。PC が壊れると言ったらほとんどはハードディスクか電源ですね。今度は Delta 社 製のものにしました。

と交換してから調べてみると GM-370PC は５年間保証との情報が… これに気づいたのは、１年保証だと思い故障した物を捨ててしまった後でした。保証書はどこかに行ってしまっていて、きちんと探さなかったんですよね。

どのみち修理する間が困るので新しい電源を購入することにはなったと思うのですが、ちょっと損した気分です。

レイアウトチェンジの甲斐あってか以前に比べこの blog の多くのページが Google にインデックス化されるようになりました

で、一つ発見しました。

“site:blogs.yahoo.co.jp/blogger323” で引くとどのページもタイトルと内容の抜粋 (snippet) が全く同一になってしまっています。抜粋として表示されるのは「ブログ紹介文」に設定した文章ですが、Yahoo ブログではこれを META タグの DESCRIPTION として HTML が生成され、それを Google が拾っているのです。

「皆同じだと、ダメだよなあ」と思いつつ、キーワードを使って検索してみると、抜粋にはきちんとブログエントリのキーワードの周辺が引用されます。複数のキーワードで「ブログ紹介文」とブログのエントリにそれぞれ含まれる語を指定すると、「ブログ紹介文」とエントリの両方が抜粋に含まれるようになります。

確かに冷静に思い返すと抜粋が検索の仕方によって変わるのは当たり前なのですが、同一の文章を抜粋として複数のページが検索される様を目の当たりにして、一瞬焦ってしまいました。

“site:” を使って検索するのは自分ぐらいでしょうから、全然問題ないですね。

Sony CSL (Computer Science Laboratories) のサイトで利用することが可能だった 「Hyper RFC」がいつの間にか使えなくなっていました。余計なサービスということで見直しが入ったのでしょう。個々の RFC を登録していたブックマークが結構あったので、使えなくなって残念。

どこがメジャーなのか知らないのですが、とりあえずこれからは JP NIC のサイトで RFC を参照しようと思います。

ちょっと前に Unix Magazine が季刊化したと思ったら、こんどはインターネットマガジンが休刊してしまいました。どちらも役割を果たしたとのことですが、続けてこのようなことが起こるのは一つの時代の区切りということなのでしょうか。

Unix Magazine は後で役に立つ記事が多いので買い続けてしまったのですが、ここ何年かはほとんど買っておくだけになりつつありました。いろいろな連載がありましたが、どれか一つというと「ワークステーションのおと」が一番好きでした。

インターネットマガジンは発売開始当初は結構買っていたのですが、それも最初の２年ぐらいでした。それでもたまにプロバイダーマップを見ては時代の流れを感じていたものでした。

それが雑誌の休刊で時代の流れを感じることになってしまうとは。

qmail がちょっと前に関わりのある某所に導入されたのですが、印象は今ひとつ。最新版の 1.03 って 1998年リリースなのだそうですね。で、実際に使うためにはパッチをいくつか当てなければならない。どのパッチを導入すればよいかのノウハウがない業者が構築するとロクなことがないです。

ちなみにその某所で DMZ 上のリレーサーバとして導入した時にに起こったことは、

メールのソースルート表記が許可されたまま。そんなものを制限する機能は qmail 標準ディストリビューションには無い。スパムリレーの自動テストメールを内部に中継してしまい、既存内部メールサーバがソースルート表記を処理してしまうので、スパムリレー許可サーバの公開リストに載ってしまいました。取引先がそのリストを用いていたため、定期業務メールが不通に。

という悲惨なめに遭いました。

ああいった公開リストはほぼ全自動でメンテナンスされ、何の例外処理も受け付けてもらえないので、パッチ適用後 Web 上で再テストを申請し、再テストが失敗しないよう１日ぐらい待つ、という心臓に悪い時間を過ごしました。

ちなみに導入理由はその業者が Unix 系メールサーバを提供する際の標準 MTA が qmail だったからです。うーむ。

参考までに、ソースルート指定のアドレスは以下のようなものがあるようです。これって、全てのメールサーバが IP リーチャブルというわけではなかった時代の名残ですよね。

@relay:user@host
user%host@relay
user@host@relay
relay!host!user

「qmail は良い」という話は良く聞いたのですが、身近ではまった事例があり、その事例で引っかかった以外にもいろいろパッチが出ているので、敷居が高いなあ、と感じてしまいました。

思い立って ThinkPad R40e に Solaris 10 をインストールしました。Fedora Core 3 を消して Solaris 10 に入れ替えです。「Fedora Core 4 にアップデートするより Solaris を使ってみるか～」という気分でいれてしまいました。

Solaris 10 のインストールメディアは今年の４月にダウンロードしたファイルを焼いた CD-R です。

パーティションについては、あらかじめ Linux の領域（基本パーティション）を消しておかないと、インストーラを用いて消すことはできませんでした。

最初、一度目のリブート後の「Do you need to override the system’s default NFS version 4 doain name (yes/no) ?」の質問のところでキーが効きませんでした。ところが Device Configuration Assistant (DCA) でキーボードを “US-English” (何も設定しないとこれになる) から “Japanese (106)” の Windows キー無しにしたところ、入力できるようになりました。この設定はキー配列だけの問題だと思っていたのですが、そうじゃないのかなあ？ ひょっとすると CDA のメニューを表示することに意味があったのかも知れません。

ネットワークインターフェイス用ドライバは http://www.broadcom.com/ よりダウンロードしました。R40e には Broadcom BCM5901 というチップが使われているようですが、以下のものをダウンロードし、readme.txt に従って pkgadd することで問題なく使えています。

BCM57xx Drivers
Solaris (x86/x86-64/EM64T) 8.2.10 08/23/05 998KB

サウンドのドライバは OSS のものが使えそうですが、試していません。

学生の頃は Sun のワークステーションが研究室に鎮座していて操作するのにも姿勢を正さなければならないような雰囲気がありましたが、同じ系譜の OS が ライセンスフリーで10万円程度のノートパソコンで動くようになったのは感慨深いものがあります。

カカクコムの件ですが、asahi.com の記事 (記事１、記事２) によると、

・今回逮捕された留学生と一時閉鎖の攻撃の直接の関連は薄いと見られる
・留学生の攻撃を受けた時点では「アクセス制御機能」が不十分で不正アクセス禁止法の
　要件を満たさない可能性が高い

のだそうです。そう言われてみると、

・金儲け目的ならばわざわざページ改竄などせず、黙ってデータ落としていればよい
・ツールを使った SQL インジェクションとページ改竄は微妙に異なる攻撃の気がする

ですね。ちょっと洞察が足りなかったです。ただ、そうだとすると今度はどうやって留学生を捕まえることができたのかに興味が湧きます。またアクセス制御機能が不十分とのことですが、法律の定義だとわかりませんが普通の IT 用語で考えるとアクセス制御機能と SQL インジェクション対策は別物のような気がします。実際どうなのでしょう？ もうちょっと具体的に書いて欲しい。

いずれにせよ、

・不正アクセス禁止法の対象にならない程アクセス制御が不十分で、
・あちこちから攻撃を受けていたのに、
・「最高のセキュリティ」と言ってしまった。

ということですよね。

つい続けてしまいましたが、カカクコムの話はこれで終わりにします。

エディで携帯電話を使って利用者同士で電子マネーを転送できるサービスが始まるそうです。世間を騒がす IT 詐欺用のネタが一つ増えたような気がするのは私だけでしょうか？

日経新聞 7/6 夕刊によると「携帯電話へのエディの蓄積は五万円が上限。現金への転換は現在、認められていないため、大量の不正送金など犯罪に使われる可能性は低いとみられる」そうですが、その程度で抑止効果ってあるのでしょうか？ 深く知らずに書いちゃいますが、例えばアシがつかない使い捨て携帯電話の市場がそれなりの規模であるのならば、そこにエディの金額を乗せて量をさばいて儲けることもできるような気がします。携帯電話自体の価格も今は高いのかも知れませんが、下がっていくだろうし。

「ガイアの夜明け」でカカクコムの事件が取り上げられましたが、その翌日タイミング良く、不正アクセスの容疑で中国人留学生が逮捕されたニュースが入ってきました。

リンク先の記事では「留学生は「価格.com」や人材派遣のアデコ、静岡新聞社系の就職支援サイトなどにも侵入した疑いがあり」となっていますが、日経新聞の 7/6 夕刊には、押収したパソコンを解析した結果、「同容疑者が『カカクコム』から約九万件、『アデコ』から約八万件、静岡新聞の就職支援サイトから約四万件の個人情報を盗み出したことを確認した。」とあります。また、「不正アクセス用のプログラムをインターネット上のサイトから入手」して用いたと供述しているそうで、「セキュリティーの専門家によるとこうした手口は『SQL インジェクション』と呼ばれ」るとなっています。

SQL インジェクションの手法が用いられたのは非公式に漏れ伝わった通りですが、改めてカカクコム社長が「最高のセキュリティ」と安易に言ってしまった件と、不正アクセスの手口を明かさなかった件（２つは密接に関係あるように思えます）の対応はどうだったんだかなあと思えてしまいます。やはりどこかの番組で攻撃検知からサイト閉鎖までのドキュメンタリーをやって欲しいです。

個人的には、スクリプトキディの類でもこれだけ世間を騒がせることができるということを改めて実感できました。世間一般も実感してくれるとよいのですが…