2009年2月アーカイブ

今更ですがCAB暗号について

| 今更ですがCAB暗号について

話題がなくなったので,皆様に忘れ去られている感があるCAB暗号ですが,実は表面化していないだけで,今時分は活発に議論されていることが,4403の独自調査によって分かりました.

解説はこのあたりがわかりやすいかと思います.CAB暗号を解説した書籍はamazonからお買い求め下さい

Autorunを無効にするには「NoDriveTypeAutoRun」のレジストリキーを設定する必要があるが、レジストリキーが想定通りに機能しな いという問題が指摘されていた。これを修正するため、同様の更新プログラム(サポート技術情報953252)をすでに提供していたが、手動でインストール する必要があったという。今回、自動更新で配信するための更新プログラムを改めて公開した。

MS、Autorunを正しく無効化するための更新プログラムを公開

本日の話題に関連して,ホットな公開でGJ.USBメモリ以外でも,デジカメでも感染しますからねっ!

2月26日に虎ノ門パストラルホテルで開催されたNICT情報通信セキュリティシンポジウム2009に参加してきた.昨年に引き続き,2年連続皆勤賞です.今年は参加申込の受付番号も気合いが入っていました.2番だし(あ,特定される><).

後日発表資料は公開されるということなので,レポートは資料公開後に,どの辺がオフレコなのかを確認した上で書きます.

終了後は主催のNICTの方4人と呑みに行きました.楽しい話をありがとうございますm(__)m.

関連:
CCCに繋がらない - 4403 is written
NICT情報セキュリティシンポジウム参加報告 - 4403 is written
NICT情報セキュリティシンポジウム~まとめ - 4403 is written

200903022318追記:
資料が公開されていました.後日,このエントリは書き直されます.

200903292105追記:
書こうと思ったら,Webサイトが終了していた.なので,書かないというアプローチで.

先日,IPSJのオンライン化について触れた際に,論文誌の新しいスタイルファイルはA4横で見やすいと述べたわけだ.再掲しますが,このような感じです.

090128_ipsj02.png

見やすいですよねぇ.しかしながら,実際に執筆する側になってみると,途端に問題と出くわした.こんにちは,こんにちは.IPSJからフォーマットをダウンロードして,解凍して,ソースを弄ることなく,叩いたコマンドは以下の通り.

>platex sample.tex
>platex sample.tex
>dvipdfmx sample.dvi
>pdfopen --file sample.pdf

でてきた結果はこんな感じ.この様だよ.

090224_ipsj01.png

なんてこったい.紙がlandscapeしてない・・・.くやしい.みんなAcrobatを使うんですね.金持ちですね.dvipdfmxなんてダメですか?ダメじゃないですよね?というわけで,調べてみた.

090224_dvipdfmx01.png

-lオプションですね.わかります.っておい!いちいちコマンド叩けってか!M's TeX Helperでボタンポチポチなのに・・・.というわけで,プリアンブルでどうにかならんかと調べてみた.

tex ソースのプリアンブルで次の1行を書けば、dvipdfmx に -l オプションを指定せずとも用紙を landscape にすることができます。

\AtBeginDvi{\special{landscape}}

dvipdfmx で landscape - ドレッシングのような

あなたが神か!というわけで,LaTeXによる論文作成のガイド(第7版)にはこう書かれているので,是非最初から書いておいて欲しいと切に願うわけです.

このガイドのようにA4 横長のオンライン出版用の製版を行なうオプションは、現在は陽に指定しなければならないが、次回のリリースからはデフォルトとなる予定である。

LaTeXによる論文作成のガイド(第7版) p.1236 脚注2

こうして,世界は平和になったのです.

関連:
security on earth: landscapeなPDFの作成

平成21年度春期情報処理技術者試験の応募者総数は29万2842人。前年同期比12.1%増、3万1670人増と、7年ぶりに増加した。今期開始の新試 験、「ITパスポート試験」(旧制度のシステムアドミニストレータ試験に対応)の応募者数は4万6802人で、システムアドミニストレータ試験では過去最 高の応募者数を記録した1994年秋期(4万316人)を超えた。

ITパスポート試験の応募者数、シスアド過去最高数を抜いた - @IT

ITパスポート(IP)の受験者は旧初シス(AD)を受けるレベルの人+αという感じみたい.ADは移行期間で21年度春期で最後.ADとIPを足すと74666人で,AD前年同期比で約150%である.大人気だ.複数科目同時受験が可能であれば,IP試験は受けてみたかった.ネタとして.ITのパスポートすら持っていないIT系企業人や専門家や教育者や研究者って・・・,ねぇ.

それはそうと,高度試験の情報セキュリティスペシャリスト(SC)は前年同期比で111.5%だそうだ.比較対象はSVのようだ.SCはSV+SUのはずだから,とんとんぐらいではないのだろうか.SUは秋期だから,同期比にできないけど・・・.

さて,多くの試験は各時間区分で満点の60%以上を取れば合格になるので,受験生の皆さまにおかれましては合格率100%を目指しましょう!って宣言して,足を引っ張りそうなオレガイル.

関連:
「平成21年度春期情報処理技術者試験」の応募者数について - 情報処理推進機構:情報処理技術者試験:新着:記事

今現在,WBSでやっているわけだ.個人的に概ねウェルカムなんだけど,情報はプッシュではなく,プルであって欲しい.プライバシダダ漏れ的な意味で.

それにしても,ARさまさまの時代になってしまったなぁ・・・.ARじゃ情報は整理できないんだよなぁ・・・.まずは情報大洪水のネットを整理することを先にやりたいよね.うん.

2009年2月23日に,NIIの一橋記念講堂で開催されたUPKIシンポジウム2009に参加してきた.シンポジウムは10:40からやっていたのだが,午前中は学校に行く用事があったので,午後の第2部から出席しました.配布された講演資料集がちゃんとした簡易製本になっていて,しかも印刷がテカテカインクで,テラカッコヨス.参加費無料とか,太っ腹すぎます!お土産のUPKIポストイットも活用させていただきます!

さて,参加したからには参加報告をするわけですが,話の内容的にオフレコっぽいのがあったわけですが・・・.資料が公開されるかどうかもよくわからないので,資料を引用しない形で,雑感を述べていきます.資料が公開されたら,詳細なレポートを追記します.たぶん.

特別講演:「インターネット事業を取り巻く環境と展望」
当然ながら,ビッグローブの宣伝からスタート.「残念ながら」苦労をされているようです.話の内容はUPKIではなく,ISPからみたインターネットとその先いろいろという感じ.y or nの広告について述べていて,「ちょwそのnは違うn」って突っ込みたかった.いや,わかってたけど.

飯塚社長のご講演を聴講するのは,これで2回目(初めては去年のNICTシンポ)なわけだが,特段真新しい話はないのに,とても面白い.ISPならではの視点に基づく発言がワクワクする.過激すぎて,書くとまずそうな気がするので,資料が公開されたら・・・.個人的には同意します.

認証を用いた情報セキュリティ対策
情報セキュリティポリシを策定する際のサンプル規定集について.プロジェクトはこれでいいのかな?

電子証明書の意義とサーバ証明書新プロジェクトの計画
ざっくばらんに誤解を恐れずに言えば,オレオレ証明書はダメだっていう話.概要を直感で伝えるとすれば,概ね間違っていないと思う.オレオレ証明書はダメだから,オープンドメイン認証局から発行された,要はUPKIの証明書を使っていこうという内容.それから,今後の展望も.UPKIの証明書を使ったとしても,運用次第では第五種や第六種のオレオレ証明書になり得る.その際たる例が携帯電話で,古い携帯の対応に問題があることは,WASFでも語られていた

Shibbolethを用いたフェデレーション構築計画
Shibboleth(シボレスって読むらしいよ!)のフェデレーションとUPKI-Fedについて.外国人の方で通訳付きでしたが,非常に聞き取りやすい英語で日本人に優しい!Libertyの資料はよく見かけるけど,Shibbolethの資料は見たことがないなぁ・・・.集めてみようかなっと.プロジェクトはこちら

認証基盤を活用したコンテンツサービスの展開
SSOってこんなにすごいんだ!ってのを,UPKI方面ではない人向け(むしろSSOを知らない人向け?)に実演を交えて啓蒙.インパクトがあって面白かった.個人的には,実演を見る限り,あのSSOは使いにくいと思った.機会があれば,書きます.

パネルディスカッション
資料が出ないと書き辛いので,今は書きません.

まとめ:
事前の予想を上回る面白さでした.特段に真新しい情報はなかったけど,情報を整理できたから収穫はあったかと.UPKI使いたいなぁ・・・とSINET外から言ってみるテスト.

200902240104追記:
昼飯に食べた小学館地下にある七條のミックスフライ,1300円です.

CA391616.JPG

開店直後の11:30ちょい過ぎに行ったのに,ほぼ満席で,店から出たら大行列でした.凄い店だ.

200903022314追記:
資料が公開されていました.資料を確認した後,追記します.

「金融ビジネス」編集部は、私立大(含む短期大学)を経営する学校法人約600法人の2008年3月期決算データを入手し、有価証券の運用規模や運用利回りなど、資産運用の実態に迫った。

私立大学600校 財務ランキング――資産規模、収益性など財務状態を徹底分析(1) | 産業・業界 | 投資・経済・ビジネスの東洋経済オンライン

客観的な資料なので,特にコメントすることはないです.ヘッジファンドが人気か.大丈夫なんだろうか.

関連:
私大が連鎖破綻する時代が来るか - 4403 is written
私大の資産運用は大変 - 4403 is written

このたびは、UQ WiMAXモニターに、ご応募いただきありがとうございました。
応募者多数のため、今回は残念ながら○○××様のご希望におこたえできない
結果となりました。お忙しい中、ご応募いただきましたにもかかわらず、
ご要望に沿えず誠に申し訳ございません。

おちたーorz.

ホッテントリメーカで77usersです.ちょっとメールのセキュリティについて,軽く説明してみようかと思います.ちなみに,spamメールについては一切触れる予定はありませんので,あしからず.

パスワードを守るAPOP
メールを受信するためのプロトコルとして,POP3があります.POP3とはPost Office Protocol version 3の略でして,メールサーバからメールを取り出すためのプロトコルです.メールを取り出すプロトコルですので,誰でも彼でも使えてしまっては,自分宛のメールを他人に読まれてしまいます.そのため,メールを取り出す際の認証が必要になる.しかしながら,POP3は認証時のパスワード暗号化を提供しません.これはつまり,パスワードが平文で流れることを意味します.HTTPでいうところの,Basic認証に相当します.そのため,通信路上で盗聴が行われるとパスワードはばれてしまいます.これは結構イヤな感じです.イヤな感じですが,HTTPではBasic認証が未だに用いられていることを考えれば,大した差はないといえば無いような気がしますが・・・.

さて,そんなパスワードが平文で流れてしますPOP3の認証を安全にするプロトコルがAPOPです.APOPについては杜撰な研究者さんが書かれているので,まま引用.

APOP とはAuthenticated POP のことで、POP のようにパスワードを生でやりとりするのではなく、APOPサーバから送られたチャレンジ(乱数)に対し、ユーザはチャレンジとパスワードの連接のハッ シュ値をサーバに送り返すことで、安全なパスワード認証を実現しています(ただしメイル本文は平文のままです)。

杜撰な研究者の日記: APOP

ここで説明されているとおりです.つまり,HTTPでいうところのDigest認証に相当します. APOPによって,パスワードが平文で流れることがなくなることはお分かり頂けると思います.これで安心!ではないんです.昔はこれで安全だったんですが,APOPに用いられているハッシュ関数であるMD5の危殆化によってパスワードが復元されるという攻撃を受けてしまいます.このAPOP上におけるMD5コリジョン攻撃はLeurentやSasakiらによって,ほぼ同時期に行われているという話も,杜撰な研究者さんが詳しくされているので,繰り返しません.この問題に対して,2007年の話になりますが,IPAは以下のような注意喚起を行っています.

独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原武平太)は、メールの受信に利用される認証方式の一つであるAPOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)に関する注意喚起を2007年4月19日に公表しました。

(中略)

プロトコル(通信手順)上の問題であり、現時点で根本的な対策方法はありません。

回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。回避方法が取れない場合「メールのパスワードを他のシステムのパスワードと同一にしない」ことで悪用された際の被害を軽減できます。

情報処理推進機構:情報セキュリティ:脆弱性関連情報取扱い:APOP方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について

ということで,APOPはパスワードを通信路上に平文で流すことなく認証が可能なプロトコルですが,ハッシュ関数の危殆化によって,その安全性に問題が発生したのでした.

通信路ごと暗号化してしまえPOP over SSL
そこで,次の話です.IPAでも回避方法としてあげている,over SSLです.これは簡単で,POPをSSL化してしまえ,えいや!というものです.これをPOP over SSLといいます.POPSと呼ばれることもありますが,一般的かどうか・・・.これはHTTPでいうところのHTTPSに相当します.これは最早,SSLで通信路が暗号化されますので,パスワードが平文で流れる云々もなにも,メール本文すらも暗号化されて通信路を流れます.当然,SSLの安全性に依存します.POP3やAPOPに比べて,POP over SSLが如何に安全になるかは,@ITの表がわかりやすいと思います.これで,通信路上での盗聴の問題は解決しました.

とは問屋が卸さない.やはり同様にして,MD5コリジョン攻撃の問題がやってきました.先日書いた,MD5なSSL証明書の問題です.SSL証明書の問題は残りますが,これは別に,POP over SSLに特化した話ではなく,SSL全般の話なので,詳しくは触れません.そういうことがあるという話だけ.

ちなみに,IPAの回避方法でも述べられていますが,案外Webメールは安全です.通信路がSSLで暗号化されている的な意味で.GmailならHTTPSで接続されると思います.注意しないとHTTPで通信してたりするけど.素のPOP3やAPOPを使うくらいなら,HTTPSなWebメールの方がいいかもしれません.HotmailとYahooメールはSSLにならないなぁ・・・.優しくないなぁ・・・.

こうしてメールのセキュリティは確保されました?
これで,クライアント-サーバ間の通信路の安全性は守れられました.パスワードも安全そうです.良かった良かった.で終わらないから,このエントリを書いているんです.では,どこがダメなのでしょうか?クライアント-サーバ間が安全になったにも関わらず・・・.

そうです.サーバ-サーバ間の通信が安全ではありません.もっと言えば,サーバが安全ではないかもしれません.そうです.APOPでパスワードの安全性は確保されますが,メール本文の暗号化はされません.POP over SSLは通信路上において,メール本文も暗号化されていますが,メールサーバ上では暗号化されていません.これは何を意味するかと言えば,サーバ-サーバ間の通信においては,メール本文が平文で流れていること,そして中継に利用されたメールサーバはメール本文を平文で見ているという点です.厳密には,普通のテキストが流れているわけではなく,BASE64などのエンコードがかかった状態で流れていますが,符号化は暗号化ではないので,平文と考えて問題がありません.

つまり,メール本文は暗号化しない限り,平文で流れます.メール本文は暗号化しない限り,平文で流れます.重要なことなので,2回書きました.

メールを暗号化するPGPとS/MIME
メール本文を暗号化しない限り,安全にならないのであれば,暗号化すれば良いんだ.簡単なことです.そのソリューションを提供するのが,PGPS/MIMEです.PGPはPretty Good Privacyの略で,公開鍵暗号方式を用いていますが,Web of Trustと呼ばれる仕組みによって,信頼を得る方式になっています.対して,S/MIMEはSecure/MIMEの略で,公開鍵基盤(PKI)アプリケーションです.この2つの方式の大きな差は,公開鍵の信頼性をどのように保証(確認)するかという違いです.この2方式の差も,今回書きたいこととは直接関係がないので,詳解は避けます.

結論だけ言いますと,PGPやS/MIMEを利用することで,メールを暗号化することができます.それだけではなく,ディジタル署名を付けることもできます.これによって,盗聴の脅威を防ぐだけではなく,メール本文の改ざんを防ぐこともできますし,送信者の否認を防止することができます.こうして,メールは安全になりました.

はて?あなたは今までに1度でも,PGPやS/MIMEによって暗号化されたメールを受け取ったことがありますか?無いのではないでしょうか.ボクは学生時代に「試して見たがり衝動」で,PGP暗号化/署名を試しています.S/MIMEも第四種オレオレで良ければ,院生時代に試しています.でも,それだけです.「試してみた」レベルです.何故,このようなセキュリティソリューションが利用されないのでしょうか?300字以内で答えなさい(配点:70).

ちなみに,電子メールに署名を付ける人は少なからずいます.これはメール送信者のセキュリティ意識の高さを示していると言えるでしょう.しかしながら,何故かそのような人においても,暗号化されたメールは送ってきません.何故なのでしょうか?200字以内で答えなさい(配点:30).

ちなみに,MUFGのメールにはS/MIMEの署名がついていますGmail S/MIMEというFx用のアドオンを導入すると,簡易的ながらGmail上で署名を検証できます.

090222_smime01.png

まとめ:
POP3ではパスワードが平文で流れます.APOPはそれを防ぎますが,安全ではなくなりました.POP over SSLはクライアント-サーバ間の通信をSSLによって暗号化するので,安全です.しかしながら,クライアント-サーバ間以外の通信に保証がないので,暗号化されていないメールは中継中に盗聴可能です.そのため,PGPやS/MIMEでメールを暗号化すると良いです.

何が書きたかったかっていうと,2点です.内部ではPOP3でメールが運用されています.外部からはVPN接続しないとダメなので,このネットワーク構成は安全です.っていうのは,安全ではありません.敵は外からのみ来るのではなく,内部にも存在し得ます.逆内弁慶はセキュリティ上,安全ではありません.

もう1点はGmailを否応なしに毛嫌いする人です.Googleは個人情報を集めまくっている.きっとメールも覗かれているに違いない.その証拠にメールの内容に合った広告が出るじゃないか!という主張.これ自体はその通りでしょうが,だったら平文でメールを流さないで下さいといいたい.Gmailを使わないとしても,中継サーバがメールの中身を見ていないとは限らない.Gmailだからというのはリスクの差を生みません.

P1010546.JPG

SCIS2009のナイトセッションでいただいた鮒寿司を研究室呑み会に投入させていただきました.鮒寿司自体はとても美味しかったです.一部の学生には不評でしたが.おこちゃまにはこの良さがわからんのですたい.ちなみに,米に挟まれて締められているわけですが,この米は食べれたもんじゃないです.食べれるかなぁと思って挑戦したら,生臭くって・・・.ともかく,鮒寿司は美味しかったです!ありがとうございます!

そして,当然ながら,鮒寿司に合わせるなら,日本酒ですよね?

P1010549.JPG

美味しい呑み会でした!あざーす!

P1010533.JPG

2008年7月1日発行らしいので,もう使えないと思いますが・・・.実物を初めて見たぜ.

いわゆる環1をジョギングしていたところ,桜が素敵だったので,カメラを持って行ってきた.撮影場所は竹橋の内堀沿いのところと,一ツ橋の丸紅ビル前です.

桜咲く@竹橋~一ツ橋

竹橋では寒緋桜を撮りました.まだつぼみで,これからに期待できます.一ツ橋では河津桜を撮りました.こっちは満開で,葉桜になっていました.個人的には,満開で葉桜になりかけの時期が,1番美しいと思うのですよ.うん.

今年の目標2がなんとかなりそうとか,やっぱりダメそうとか,色々と迷走していましたが,全ての必要書類を揃えることに成功しました.当初の予定からはだいぶ変更になりましたが,今年の目標2を達成するべく,始動します.想定通りなら,年内に目標を達成できるはずです.途中でヘタレたら,来年に・・・.

CCCのマルウェア対策システムに繋がらない.今日は無理か.でも,MD5なサーバ証明書の有効期限が2010年の1月20日まで有効なことまでは確認した.

200902192213追記:
繋がったには繋がったが,11.5MBを1.2KB/sでダウンロード中.今日中に落ちるのだろうか・・・.

090219_ccc.png

200902201110追記:
今気がついたけど,CCCのドメインはccc.go.jpのようだが,ダウンロードされるファイルはccc.comだった.それだけ.どうでもいい話ですね.

それから,福寿草が全く見当たらない辺りも独特です.きっと今頃,自宅では満開かと.

皇居東御苑~梅林坂 - 4403 is written

予想通り満開だったので,写真を撮ってみた.

P1010538.JPG P1010541.JPG

今更の感じがあるけど,2010年入学やらなんやらかんやら,まだあるでしょう.10ヶ月後に書こうとしても忘れる可能性があるので,今のうちに書いておく.受験生が受験に挑む際に知っておくと,きっと役に立つであろう4つの心得.

素朴な服装で
無地とか,チェック柄とか,オススメです.何故かというと,答案を作成する助けとなるような印字のある服の着用は認められません.シャツに謎の英語が書いてあったりしますよね?ああいうのは無用の疑いを避けるために,見えないように処理します.例えば,上着を着せるとか,脱がせるとか,裏返して着せるとか.対応するのも大変ですが,対応を迫られる方も大変だと思うので,お互いの利益のために,是非.

重ね着で
試験室の温度管理は難しいです.空調は万能ではありません.特に集中管理タイプのエアコンはダメダメです.かといって,窓やドアを開けることはできません.静穏な試験環境を提供する的な意味で.なので,室温にあわせて,自分の服装を選択できるのがいいと思います.脱ぎ着しやすい前開きがいいんじゃないでしょうか.

エンピツを持ってこよう
エンピツはオススメです.シャープペンシルのようなメカ的な筆記用具は,トラブった場合の対応が大変です.是非アナログ的なエンピツを活用して下さい.マークシートの場合,HBまたはBのエンピツと指定されていることが多いと思います.なお,エンピツは六角がオススメです.丸軸だとコロコロとどっかに行ってしまいます.

ペン回しはやめて
予備校生とか浪人生とかに多いんでしょうか.オレ自身はできないので,何ともかんともですが,試験中のペン回しはやめてください.自分は集中力を高めているつもりかもしれませんが,周りの人にとっては目障りかもしれません.エンピツはまだしも,シャープペンシルの場合,カチャカチャと耳障りかもしれません.無用のトラブルを避けるためにも,やめましょう.それから,失敗してペンを床に落とすと,それを拾いに行くのは監督者の役目なので,しょっちゅう失敗するくらいなら,最初から試みないで下さい><.

河村官房長官は16日午前の記者会見で、財務相から同日朝、「風邪薬を多めに飲んだのが原因。酒が原因ではない」という説明を電話で受けたことを明らかにした。

中川財務相「風邪薬飲みすぎ、酒は口に含んだ程度」 : 政治 : YOMIURI ONLINE(読売新聞)

風邪薬は医薬品(または医薬部外品)なので,用法・用量を守って服用して下さい.薬はたくさん飲むといっぱい効くなんて,どこで習ったの?死んじゃうぜ?

この程度の常識を知らない大臣なんて,日本の教育とリテラシーを疑われるので,責任を取って,即刻辞めると共に,厚生労働省はキレた方がいい.マジで.犯罪自慢と何も変わらないだろ,これ.これが麻生政権の底力ですね,わかります.

200902172318追記:

18時すぎに総理に辞表を提出し、受理された。

asahi.com(朝日新聞社):「状況肌で感じた 酒飲む気になれない」中川氏辞任会見 - 政治

辞めたらしい.いい判断だ.

甘利明行政改革担当相は「風邪薬を服用するときはアルコールに気をつけてほしい。飲んだら飲むなということだ」と中川氏に注文をつけた。

「飲んだら飲むな」 中川氏に閣僚から注意促す発言相次ぐ - MSN産経ニュース

いいこというなぁ.その通りですよ.アルコールを飲むと,薬の作用が変化するらしい.強く出るか,弱く出るからしい.どっちにしても,薬の効果を適切に受けられなくなるので,避けるべきであることは有名.「オレは偉いんだ」理論で,医者や薬剤師の注意事項なんて,聞かないんだろうなぁ・・・.

exploitさんがフォークリフトについて言及して以降,ブログ更新がパタリと止まったので,フォークリフト(1トン未満)に轢かれたのか,ブログに飽きてしまったのか,闇の力に襲われたのか,と思考を巡らしていたのだが,なんのことはなく,ただ単にDoblogが丸ごと落っこちているだけのようだ.しかも,1週間以上も平然と.ココログ事件なんて比じゃねーぞ!

NTTデータにとって「ブログ」なんて、お正月の凧揚げみたいな余興なのだろうが、livedoorは、ブログで「食う」という覚悟を決めた会社である。Doblogユーザーの方、これを機に、livedoorBlogに移りませんか?

TABLOG:NTTデータDoblogの障害を見て~やはり辞めてよかったと思う元社員 - livedoor Blog(ブログ)

ということなので,exploitさまにおかれましては,livedoor blogへの移行(というか新規開設?)を検討されては,如何でしょうか.

それにしても,トラブルの告知ページがヒドイです.どうヒドイって,トップページが丸ごと障害告知になっています.なので,つまり,URLが割り当てられていないので,この情報を指し示す手段がないのです.しかも,編集部から告知は出すけど,利用者からの問い合わせには応じないぞと言わんばかりに,問い合わせ先はありません.メールアドレスも電話番号も住所も・・・.

まとめ:
ブログすらまともに動かせない(管理できない)企業に,年金は難しすぎたということを露呈した感じなのだろうか.それにしても,今日の今さっきまで,トラブルが発生していることすら知らなかった・・・.どっかで取り上げられていた?

200902171325追記:
問い合わせ先がないということを書いたら,NTTデータ本体のお知らせに問い合わせ先が書かれた.しかしながら,依然として,Doblogのトップページには問い合わせ先がない.Doblogに問い合わせる場合は,Doblogではなく,NTTデータを見なくてはいけないのか.

200902212309追記:
exploitさん復帰記念!わっしょーい!

200902242218追記:

Doblogは現在2008年8月4日未明の時点のデータで運用中です。
そのため大変申し訳ございませんが、2008年8月4日未明以降に設定を変更し公開から非公開とされた記事、2008年8月4日未明以降に退会処理をされた方の記事につきましても公開されております。これらの記事に関しましては編集部にて非公開とさせていただきますので、お心当たりのユーザの方は、お手数ではございますが、info@doblog.comまでご連絡下さい。

Doblog

これは大変にヒドイ.退会した人のブログを退会者の意志に関係なく,とりあえず公開しているというスタンス.そして,問い合わせ先がやっとDoblogに出てきたと思ったら,現利用者のためではなく,元利用者のために.退会者の一体どれだけの人がこれを見ているのだろうか・・・.ということはつまり,8月4日未明以降に削除された公序良俗に反するブログや犯罪に関わるブログや,とにかく何らかの問題があるが故に削除されたブログを平然と復活させたということなのだろうか.しかも,利用者はログインできないらしいので,一方的に晒され放題状態になっている.コメントとトラックバックはできないから問題がないかと言えばそうでもなく,はてブ炎上される可能性もある.制御不能状態とは正にこのような状態.何故に開けてしまったのだろうか.

計算機暗号屋さんが梅を見に行っていらしたので,便乗してみた.

皇居東御苑~梅林坂

皇居東御苑は手入れが行き届いているので,安心の綺麗さです.ふきのとうがあっちこっちにニョキニョキしてて,持って帰りたくなります.無理ですけど.それから,福寿草が全く見当たらない辺りも独特です.きっと今頃,自宅では満開かと.次は桜の時季に参りたい.4月4日の仕事前に行けばいいかな?

らぁーぶっれたーふろーーーむ.かっなーだーーー!

CA391600.jpg

なんか届きました.左上に貼られたシールで見えなくなってますが,"Announcing the Nomination"と書かれています.エーゴ苦手だから,意味分からない.中身はこんなもの.

CA391602.jpg

んー.無い脳味噌を絞って読んでみると,何やら,Who's Who in the Worldの2010年版に掲載してあげてもいいんだからねっ!ってところだろうか.で?それなに?というわけで,世界中のみんなが愛用しているみんなの百科辞典,Wikipediaさまに尋ねてみる.

特に、Who's Who in the World® はシリーズの中で最も選択基準が高く、国家元首および親族、政府首脳、政界実力者、財界実力者、大企業の経営者、ノーベル賞受賞者などの著名な学識経験者、世界的に活躍する芸術家や芸能人、オリンピックや世界大会のメダリストおよび世界記録保持者、世界的ベストセラー作家のように、国際的に著名である人物は、とりわけ重点的に選出される。

これに加えて、無名であっても極めて独創性が高い芸術的・学術的創作活動、顕著な社会的活動を行った人物、とりわけ理工系の科学者も重視する傾向にある。

(中略)

世界で最も権威ある紳士録とされ、215カ国の約6万人の人物情報が収録されている。

Marquis Who's Who - Wikipedia

だそうだ.オレ,どれにも該当しないんだが・・・.「顕著な社会的活動」だろうか?闇の力事件の功績か?違うよなぁ・・・.なんで選ばれたのかは,同封されているFAQに書かれている.

CA391601.JPG

まぁ,選定理由がFAQになっている時点で・・・.ねぇ・・・.なお,掲載にあたっては詳細な個人情報を送る必要があって,かつ電話インタビューがあるらしい.というわけで,個人情報を晒すことに些かの躊躇もございませんが,英語による電話インタビューに応対する自信がないので,この手紙は届かなかったことにして,黙殺しようかと思います.なお,このWho's Who in the Worldはamazon.co.jpで購入できます.6万円ちょっとと,円高ドル安の時代にチャンスでございます.

今年の目標2がなんとかなりそうとか宣いましたが,やっぱりダメかもしれません.資料を取り寄せたところ,今年中の達成は不可能な絶望感が・・・.入試対応が終わったから,ガンガン問い合わせるぞ,ゴルァ!

200902122248追記:
そうか.保険を置いておいたんだった.確認してみねば.めんどくせーなー.

皆さんご存じだとは思いますが,2月は情報セキュリティ月間です.本学でも,13~16日にかけて,セキュリティについての発表が目白押しでございます.いや,卒研発表会なだけですが・・・.

さて,そんな2月のイベント参加予告です.会場で挙動不審なボクを見つけて,写メを撮っちゃおう!

出張申請ださなきゃ><.

200902111956追記:
18日(水)のCRYPTRECシンポジウム2009は修論発表会のため参加できません.むふー.そもそも参加申込は終わってるしね.

1年後の成果報告を期待したい.

秋田の博士教員採用決定 - 4403 is written

まだ1年は経っていないが,成果報告のような結果が見えてきているようだ.情報は発声練習さんから.

採用された6人(うち1人は非常勤講師)の1人、瀬々将吏・秋田県立横手清陵学院高等学校教諭が、NPO法人サイエンス・コミュニケーションのメールマガジン「SciCom News」26日付の巻頭言で、近況を報告している。

2009年1月26日「秋田県のポスドク先生は今」 サイエンスポータルレビュー 科学技術 全て伝えます SciencePortal

秋田の博士教員6人の1人である瀬々博士が近況報告を行っているらしい.これは必見だ.

大学で多くの時間を過ごしてきた私にとって高校での生活はとても新鮮でした。一つの職員室に80名もの大所帯で、国語や社会、音楽など、異分野の先生方とも距離が近くいろんな話ができます。(中略)専門分野だけではなく、いろいろなことに興味のある方ならきっと楽しめる環境だと思います。

[SciCom News] No.278 2009年1月26日号 Vol.1 [まぐまぐ!]

小中学校で理科補助教員をやっていた経験からいえば,この意見はよく分かる.大学だと研究室というユニット単位での活動になって,横の研究室または他の学科との繋がりというのはそれ程に強くはない.そこにきて,小中学校は学年毎の固まりはあるものの,全体としてみれば横の繋がりも縦の繋がりも色々あって,人脈が縦横無尽の状態といえる.そういう環境の中で,それぞれがそれぞれの役割でみんなと助け合っているというのが,いわゆる職員室だろうか.研究者の世界こそ,こうであるべきではないのだろうか.色んな分野の人とガチャガチャやって,それぞれの強みでコラボレーションするなんて,素敵すぎるじゃないか.工学のオレに数学科の力を分けてくれ!人文社会学的なアプローチ法を教えてくれ!そんな感じ.職員室は楽しい.これ,間違いない.

いまの中等教育の課題は、生徒の「学びへのモチベーション」をいかに喚起するか、ということに尽きると思っています。高校にアカデミックな態度と雰囲気を持ち込んで生徒をその気にさせる存在として、ポスドク出身の方々がこれからもおおいに活躍できることを期待しています。

[SciCom News] No.278 2009年1月26日号 Vol.1 [まぐまぐ!]

これもまた真実で,中等教育に限った話ではないと思う.理系離れが叫ばれる昨今においては,確かに中等教育で理科離れを食い止め,理科好きを育成することに重要な意味があるだろう.しかしながら,それを真に行うべきは,高等教育だろう.高等教育は「学びへのモチベーション」に寄与できているだろうか.難しい数式を計算できることも,広く深い知識を獲得することも,高等教育の目的ではあるが,「勉強おもしれぇ!」という意識を芽生えさせ,正に生涯学習を推し進める力を授けることが高等教育の役割ではないのだろうか.というか,オレはそうだと思っている.「勉強つまんね.単位取れればいいや.卒業できればいいや.学歴と建前と猫かぶりでいいとこ就職するぜオラー.」っていう学生を育てるのが大学の仕事ですか?違いますよね?大学における教育ってなんですか?何を求めているんですか?

Q4:教育なめられすぎだと思う

(中略)

教育業というのは中途半端な能力の持ち主にぴったりの職種なんですね。

能力を持っている者がそれを使わないのは罪だとなぜ思えないのですか? @heis.blog101.fc2.com

話はこの辺りに帰着するわけだが,「博士=研究者」はエリートだと思うんだ.博士だからって,「研究者」として大成しないことだってあるだろう.「研究者」としては不十分でも,その博士としての卓越した知識などは,十分に役に立つはずである.誰のために役立つか?次世代のために役立てるべきだ.自分が「研究者」としてダメだとしても,「次世代の研究者」になるかもしれない若者に何かしらの刺激を与えることができるかもしれない.それは可能性の問題であって,博士は研究をするだろうし,教育もして然りだと思う.それが博士という存在の役割だと思う.

どのように教えれば良いかということ自体も研究のテーマと成りえる。(同じく、「研究をやる時間がなくなったときに先生を続けるモチベーションはなくならないか?」という質問に対しての答え)

参加記(2):プレゼンテーションの感想 - 発声練習

思うには「研究をやる時間がなくなったときに先生を続けるモチベーションはなくならないか?」という感覚なら,教員になんてならない方がいいと思う.教員になったら研究をやる時間が無くなるくらいに教育に没頭しなくてはならない.そのぐらいの勢いが欲しい.そういう情熱が教育現場に浸透すれば,学生の勉強に対する意識も変わると思うのだが・・・.「教育自体が研究テーマ」 というのも,その通り.ただ,「これだ!」という画一的な教育法は恐らく見つからない.この前の班はこの方法で上手くいったのに,今回の班は上手くいかない.去年と同じ方法で授業を進めているのに,今年は成績が振るわない.そんなことはザラです.常々考えて,どうしたら上手くいくかを試行する.こういうことって,博士は得意としそうなことです.

また、博士号取得者は都道府県教委が認めた場合、教員免許を与えることができる「特別免許状」という制度がありますので、全国に広まると大変いいのではないかと思います。

「博士ネットワーク・ミーティング@つくば」博士先生登壇 - 橋本昌隆 株式会社フューチャーラボラトリ - Yahoo!ブログ

この話は詳しく書こうと思えば,詳しく書けまくるのだが,眠いので控えたい.機会があれば「特別免許状」という制度と現状の運用について述べたい.述べたいが書いたところで読者はいるのだろうか・・・.一応,情報のありかだけ箇条書き.

まとめ:
博士と教育.面白くなってきました.もっと注目されて,取り上げられまくればいいのに!ポスドク問題のようなネガティブキャンペーンはもういいから,博士に関するポジティブアピールをお願いします. 

関連:
「博士教員」理科好きを育成 : ニュース : 教育 : YOMIURI ONLINE(読売新聞)
教員免許のない社会人の採用は広がるか?【Benesse(ベネッセ)教育情報サイト】
秋田が博士を教員として採用の動き - 4403 is written
秋田の「博士」教諭募集に全国から57人 - 4403 is written
秋田の博士教員採用決定 - 4403 is written
最近のドクター関連まとめ - 4403 is written

先月25日の日記で書いた「行動ニーゲティング広告」のひとつとして、Winny利用者に向けたメッセージを表示する公共広告「AC4ny」を実験的に設置してみた。Winnyを使用中のIPアドレスからこの日記にアクセスした際に、図1のメッセージを表示する。

高木浩光@自宅の日記 - ターゲット公共広告「AC4ny」を開始

ふむ.

090208_ac4ny01.png

学内からのWinny利用者はいないようだ.一安心だ.

世界各国のジャーナル編集者や査読者たちは、日本人著者はある種の予測可能な「間違い」を犯しがちで、投稿前にこれらの間違いを取り除くことができれば、 査読者に与える印象は大いに改善されるだろうと再三にわたり指摘しています。日本人著者が論文の質を上げるために利用できる12の簡単な極意をご紹介します。

株式会社フォルテ : 査読者に好感をもたれる英語論文執筆の極意

フォルテね.DMが送られてきた記憶がある.「試してみようか」という話は出ているけど,未だに試していない.いつもお急ぎのことが多いのですよ.というわけで,そんなフォルテが英語論文の書き方を指南してくれるらしい.トピックは以下の通り.

  1. 日本語フォントや記号の使用を避けること
  2. 丸、三角、チェックマークを使用することを避けること
  3. 会社やメーカー名を大文字で表記しないこと
  4. 頭字語や略称を使い過ぎないこと
  5. スペルチェッカーには限界があると理解すること
  6. 単語「type」、「method」、「technique」の使用を回避すること
  7. カタカナ英語を直接英語に翻訳しないこと
  8. 使われ過ぎる表現や冗長な言い回しを避けること
  9. 冗長な表現やくどい表現を避けること
  10. 長すぎる文章を避けること
  11. 日本語の文章構造を避けること
  12. 機械翻訳に頼らないこと

株式会社フォルテ : 査読者に好感をもたれる英語論文執筆の極意

まず1だが,当然のことである.当然のことであるが,どうもMS-Wordというツールを使うと,上手くいかないようだ.具体的には,「``''」が「“”」になるらしい.特殊文字として「σ」を入れ込んでも,何故か日本語フォントになったりするらしい.てか,論文はPDFに変換して出すわけだが,Acrobatで確認すると,どこかにしら日本語フォントが潜んでいるらしい.どこだかしらんけど.LaTeXならそんなことないのに!やっぱり,MS-Wordというツールは論文を書くツールではないと思うのだ.MS-Wordで論文を書いている人は,LaTeXを知ればいいのに!

4はだいぶ前に理解した.頭字語を多用すると,論文が非常に読みづらくなる.特に,一般的ではない頭字語を定義して使う場合,度々「これはなんだっけ?」状態に陥る.そんな状態になるくらいなら,平に書いた方がいい.文字数も稼げるし(ry.

5もクールに理解したい.スペルチェックはスペルが正しいかどうかをチェックするだけで,文法が正しいかどうかは見てくれない.hushとhashなんて,永遠の問題だ.この間違いを見つけた時は,「してやったり」という気分になる.要するには,書き上げたら,ちゃんと読み返しましょうということですね.

10は加減が難しい.オレはそもそも英語が苦手なので,関係代名詞やら関係副詞やらなんとか文とかで繋いで繋いでという文を作るのは苦手なので,whichやthatは1回までという単調な英文を書き上げるわけですが・・・.査読コメントで「幼稚だ」風なコメントを貰ったこともあるよなぁ・・・.日本人に難しい文法で書けなんて言わないで!伝わることを最優先にさせて!

などなど.初めて英論文を書く人は見ておいた方がいいと思いますが,2回目となれば,直感的に理解できる内容だと思います.ということは,それだけ基礎的なことだってことですね.

今年の目標2が暗礁に乗り上げた件については,既にご存じのことと思うが,その後,四方八方に手を尽くしたところ,何とかなりそうな件についてご報告申し上げたい.いや,まだ正式にどうにかなりそうなわけではないが,どうにかなれそうな情報を3つほどゲットした.

まぁ,壮大なネタですが.

マルチ受信機能は、Gmailの実験的な機能を提供する「Labs」として公開。指定したラベルや検索結果を一画面に複数表示できる。

Google、Gmailで複数の受信トレイを同時に表示できるラボ機能

オレのFxたんがすごいことになってきた・・・.こういうのをフル装備というのだろうか.

090206_gmail01.png

ちなみに,よく使いそうな検索キーワードはここが参考になりまくります.

いや,カレンダーの記事を先に書いてしまったが,本当はGmailのギアスを発動させたついでに,カレンダーをやっただけなんだ.どうでもいいよね.ってわけで,Gmailにギアスを発動させます.

090206_gears01.png

テラ同期中.というか,ATOK2009になって,漢字変換がバカになっているんだが・・・.学習がリセットされたか?

090206_gears04.png

同期完了!6ヶ月分が同期されました.使い方によっては2年分も同期されるらしい.つまり,あれですね.ボクのグーグルに対する貢献というか献身というか,足りないわけですね.もっとメールを送受信しまくれと.んー.難しい・・・.ちなみに,ローカルで消費されたのは,300MB弱です.それ程でもない.

090206_gears05.png

まとめ:
ノートPCに入れるとオススメ.オフライン環境でもメールが読めます,書けます.ただ,添付ファイルとかがローカルに普通に保存されているので,情報保護の観点からは何かしらの工夫を取り入れた方がいいと思います.やっぱり,ドライブかパーティションを丸ごと暗号化するのがいいよなぁ・・・.BitLockerか・・・.TrueCryptでもできるけどね.

米Googleは米国時間2009年2月5日,オンライン・スケジュール管理サービス「Google Calendar」の英語版をオフライン対応にしたと発表した。同社のオンライン・アプリケーション・サービス「Google Apps」のユーザーを対象にベータ提供する。

Google,「Gmail」に続いて「Google Calendar」もオフライン対応に:ITpro

キタコレ!待望の,待望のカレンダーがオフライン化!早く普通のカレンダーも・・・.

というわけで,研究室のGoogle Appsを利用して,試してみた.

090206_gears02.png

ギアス発動!4403が命じる!オフラインにな~れ!(キャラちがっ

090206_gears03.png

テラ便利です☆

関連:
速報!Googleカレンダーがオフラインアクセス可能に! | Google Mania - グーグルの便利な使い方

CA391584.JPG

明日発売のATOK2009をフラゲした.そんだけ.忙しくて入れる時間はないorz.

200902051844追記:
むしゃくしゃしてインストールした.日本語英語変換とカタカナ語英語変換が強力に快適すぎ.これでLaTeX環境でもスペルミスを激減させられるか!?

そして,発売前だから,ATOKダイレクトのATOK2009用が落とせない・・・.むぎゃー!

Office連携ツールが強力で,マウスオーバーで英単語を辞書引きできる!IE限定っぽいけどorz.

某所で運用しているサーバの話なんですが、割と"SSH Brute Force Attack"がヒドく、対策を行わないといけないんですが、せっかくなので、攻撃者がどんなユーザ名でログインを試みているかの統計を取ってみました。

SSH総当り攻撃(Brute Force Attack)の傾向から利用を避けたいユーザ名 - RX-7乗りの適当な日々

おもしろそうなので,便乗してみる.某所のサーバからです.

# cat /var/log/secure* | grep 'Invalid' | awk '{print $8}' |
sort | uniq -c | sort -nr | head -n 100
1306 test
723 admin
666 a
376 guest
363 user
332 oracle
255 tester
207 postgres
171 testing
169 webmaster
163 testuser
157 123456
155 ftpuser
151 student
138 info
132 test1
129 temp
126 alex
117 123
115 12345
108 web
106 administrator
104 qwerty
98 test2
98 test123
97 sales
97 john
95 tomcat
94 dan
94 1234
93 testftp
90 adam
89 paul
88 zxcvb
88 sarah
86 richard
85 tests
85 nagios
84 robert
83 webadmin
82 matt
80 master
80 fax
80 demo
78 user1
78 patrick
78 frank
78 eric
76 toor
76 david
76 backup
75 abc
71 www
71 support
71 kevin
70 amanda
69 mike
68 michael
67 adrian
66 stephen
65 office
64 steven
63 james
62 wwwrun
61 irc
61 andy
61 abcde
61 abcd
60 victor
60 jack
59 lisa
59 larry
58 public
58 max
57 service
57 martin
56 peter
56 dave
55 jacob
55 carol
54 test3
54 scott
54 sandy
53 upload
53 tony
53 louise
53 linda
52 shell
52 maria
52 library
52 jessica
51 ben
50 brian
49 students
49 linux
49 client
49 bill
48 victoria
48 mailtest
48 cyrus

なるほどなるほど.こういうユーザ名をログイン可能にしておいてはいけないんですね.わかりました.ちなみに,現所属サーバだとsshに制限をかけているので,情報が少ない・・・.

# cat auth* |grep 'Invalid' |awk '{print $8}' |sort |uniq -c |sort -nr
1 toor
1 test
1 staff
1 spd
1 oracle1
1 master
1 admin

効果はあるようだ.

まとめ:
sshは公開鍵認証で.

プロフィール

e-m@il @ddress