[重要] Sage++ (Higmmer's Edition) 1.3.10 リリース

■ 自作ソフト Posted by ひぐま (Higmmer) on 2007-01-30 at 17:44:26

◆共有テーマ: Firefox [コンピュータ]

先日来皆様にご心配ご迷惑をおかけしておりましたSage++の脆弱性情報の件ですが、本日、本家Sageプロジェクトより、当該脆弱性が修正されたと思われるバージョン1.3.10がリリースされましたこれを受けて当ひまグで公開していた「Sage++ (Higmmer's Edition)」につきましても、公式版における修正内容を反映したバージョン1.3.10を本日リリースさせて頂きます(*)。Sage及びSage++に未知の脆弱性があるとの情報を受けて公開停止しました。(2/10追記) →2007/7/2より公開再開しています。

(*) Firefox本体の設定でアドオンの自動更新機能を有効にしていたり手動で更新チェックを実行してしまうといったん公式版Sageの方に更新されてしまいます(GUIDが同じため)。その場合はお手数ですが上記ページからファイルをダウンロードして再度インストールし直して下さい。 Version 1.3.10aよりGUIDを変更しましたので、アドオンの更新機能によって公式版Sageが上書きされることはありません。(2/3追記)

インストール作業が終わったら、念のためオプションパネルを開いてHTMLフィルタ方式の設定が以下の画像のようになっていることを確認して下さい。

Sage++ 1.3.10 でのHTMLフィルタ方式の設定

HTMLフィルタ方式の「高速」が無効となり、「詳細」が選択されている

尚、こちらで調査した結果、今回修正された脆弱性はSage++ 1.3.9においてはHTMLフィルタ方式が「高速」の場合にのみ発生し、「詳細」の場合は影響を受けないことを確認しております。

今回のバージョンで更新された内容は以下の通りです。

今回の更新では公式版Sage 1.3.10で行われた脆弱性対策(高速HTMLフィルタの修正)コードを一応マージしてありますが、同時に高速HTMLフィルタモードを使用不能にしたため、実際には意味を持たない修正となっております。従来のSage++で詳細HTMLフィルタモードを使用されていた場合は実動作上の違いはありません。但し、誤って高速HTMLフィルタモードに設定してしまうことを防止するために、Sage++ユーザーの方はできるだけ速やかに1.3.10にバージョンアップされることを推奨します。

この度は、私の軽率な行動によりSage及びSage++ユーザーの皆様、脆弱性の第一発見者及びJPCERT/CCの関係者の方々、並びに多くの皆様にご心配ご迷惑をおかけしてしまいましたことにつきまして、ここに改めてお詫び申し上げます。

>>続きを読む

Sage++に搭載されているHTMLフィルタに関する技術的補足

■ 自作ソフト Posted by ひぐま (Higmmer) on 2007-01-30 at 02:04:41

◆共有テーマ: Firefox [コンピュータ]

本エントリは「Sage++ (Higmmer's Edition)の高速HTMLフィルタの脆弱性対策について」に関する技術的補足です。

拙作の「Sage++ (Higmmer's Edition)1.3.9以前では「高速」「詳細」の2種類のHTMLフィルタを搭載していました(下線部追記)。両者の違いについてこちらのページでは以下のように説明しています。

  • 高速 … 公式版Sage 1.3.7以降で導入されたHTMLフィルタ。内蔵のブラックリストに一致する要素/属性を遮断する(それ以外は許可)。動作は比較的高速。
  • 詳細 … Higmmer's Edition独自方式。許可する要素/属性等を指定するホワイトリスト方式(CSSフィルタはブラックリスト方式)。フィルタの設定はカスタマイズ可能だが動作はやや遅い。

ブラックリスト方式かホワイトリスト方式か、或いはカスタマイズ可能か否か、というのも確かに相違点ではあるのですが、技術的に見た場合に両者が根本的に異なっている要素があります。それは、テキストベースのフィルタか、DOMベースのフィルタかということです。その観点から見た場合、両者の動作は次のように説明できます。

  • 高速 … テキストベースのHTMLフィルタ。正規表現に基づいて構文解析を行い、ブラックリストにマッチした要素/属性を削除する。
  • 詳細 … DOMベースのHTMLフィルタ。入力HTMLをDOMパーサで構文解析してドキュメントツリーを構築、ホワイトリストを参照しながらDOMノードを走査して不要な要素・属性をツリー上から削除する。その後、残ったツリーを(X)HTMLに変換して出力する。

これで詳細HTMLフィルタが遅い理由が分かって頂けたと思います(*)。

(*) ちなみに詳細HTMLフィルタがノードを削除・置換する様子は
about:config で "sage.filter_debug_mode" を true に設定することで観察することができます。

一見するとテキストベースの正規表現に基づく方式の方がシンプルに書けて動作速度上も有利なように思えますが、そこに大きな落とし穴があります。それは「正規表現で書かれた構文解析器と、ブラウザに内蔵されている構文解析器の動作は同じではない」ということです。便宜上、正規表現で書かれた構文解析器を「オレ構文解析器」と呼ぶことにします。

>>続きを読む

[重要] Sage++ (Higmmer's Edition)の高速HTMLフィルタの脆弱性対策について

■ 自作ソフト Posted by ひぐま (Higmmer) on 2007-01-28 at 01:47:41

◆共有テーマ: Firefox [コンピュータ]

※下記脆弱性対策を施したVersion 1.3.10をリリース致しました(1/30追記)。

この度は「Sage++ (Higmmer's Edition)」の脆弱性情報に関してユーザー並びに関係者の皆様にご心配・ご迷惑をおかけして申し訳ありません。

現時点におきまして、Sage++に搭載されている「高速HTMLフィルタ」に脆弱性を含む深刻な欠陥が存在していることが判明しています。

【脆弱性の種類】
  スクリプトインジェクション(注入)

【対象】
  Sage++ (Higmmer's Edition) 1.3.9以下
  公式版Sage 1.3.10以下 及び 1.4

【影響】
  高速HTMLフィルタの処理に一部不備があり、
  任意のスクリプトが出力HTMLに混入する恐れがあります

【対策】
  高速HTMLフィルタを使用しない →Sage++ 1.3.10で無効化済み
  公式版Sageでの対策については後述

つきましては、Sage++の使用を継続される場合は「高速HTMLフィルタ」は絶対に使用しないようにお願い致します(詳しい設定方法はこちらを参照して下さい)。この機能は次回リリース時に削除する予定です。Version 1.3.10において廃止させて頂きました。

この脆弱性は以下のいずれかの対策を行うことで回避できます。

  1. HTMLフィルタ方式を「詳細」に設定する
  2. 「HTMLタグを許可する」をオフにする
  3. 「コンテンツエリアにフィードを読み込む」をオフにする
  4. NoScript拡張を導入する(*)
  5. Firefoxのオプション→コンテンツで「Javascriptを有効にする」のチェックを外す(*)
(*) 但しこの場合、拙作の「Read Manager for Sage++」は動作しなくなります。

この脆弱性は葉っぱ日記さんに教えて頂いたテストによって判明しました(詳しくはこちら)。情報提供に感謝致します。尚、この脆弱性がJPCERT/CCに通報された内容と関連があるかどうかは不明です。一部関連があった模様です。詳しくはこちらのエントリを参照して下さい。

今のところ「詳細HTMLフィルタ」については脆弱性は確認できていませんが、できるだけNoScript拡張と併用するなどの自衛措置を取って下さい。但しそれでもスクリプトインジェクション系以外の脆弱性には対応できませんので、もし少しでも不安がある場合は直ちにSage++の使用を中止して下さい。

>>続きを読む

[重要] Sage++ (Higmmer's Edition)の脆弱性情報に関して、お詫びと釈明

■ 自作ソフト Posted by ひぐま (Higmmer) on 2007-01-25 at 22:28:39

◆共有テーマ: Firefox [コンピュータ]

  1. 今後の対応方針について
  2. 開発者の「個人情報」を守るために脆弱性を放置したことについて
  3. JPCERT/CCの発表以前に脆弱性の存在を公表したことについて
  4. Firefox/Sage及びSage++の危険性について
  5. 最後に

当ひまグで昨年10月5日頃より公開していたFirefoxの拡張機能Sageの私製改造版「Sage++ (Higmmer's Edition)」(現在公開自粛中。以下、Sage++と称す)に関連し、去る2007年1月18日に以下のエントリを公表致しました。

上記エントリについて、様々な方よりご批判、お叱りの声を頂いております。つきましては、ユーザーの方々、第一発見者及びJPCERT/CCの関係者の方々、並びに多くの皆様にご心配ご迷惑をおかけしていることに対して深くお詫び申し上げます。誠に申し訳ありません。

何を申し上げても見苦しい言い訳との謗りは免れないものと存じますが、この際、今後の対応方針及び上記エントリの公表に至った経緯、並びにSage/Sage++の危険性に関して説明させて頂きたく存じます。

1. 今後の対応方針について

今回の問題に関しまして、以下の通り対応させて頂きたく存じます。

  1. 脆弱性が修正されるまでの間、Sage++の公開を自粛致します。
  2. 本家Sageプロジェクトより修正版がリリースされ次第、それを反映したSage++を期間限定で配布致します。
  3. それを持ちまして、Sage++の開発・配布並びにメンテナンス作業を終了させて頂きます(*)。
(*) メンテナンスが終了したソフトウェアを使い続けるかどうかは皆様でご判断願います。

2. 開発者の「個人情報」を守るために脆弱性を放置したことについて

JPCERT/CCの担当者様より「Sage++に脆弱性の報告がある」との第一報を頂いたのが昨年12月14日でした(左のサイドバー内に設置してあるメールフォームよりご連絡頂きました)。その後のやり取りの中で「脆弱性情報の詳細」を受け取るには「製品開発者リスト(開発者ベンダ登録リスト)」(以下リストと称す)への登録が必要なこと、その際このような様式にて開発者の住所・氏名・電話番号等を通知する必要があることを知りました。

また、上記ページによるとその後更に書面にて「JPCERT コーディネーションセンター製品開発者リスト登録規約」に同意して署名・捺印の上返送する必要があることを知りました。その規約の第3条には以下のように定められています。

3. 登録資格

「本リスト」に、名簿登録される者(以下、「本登録者」という。)は、以下の資格を満たす必要がある。

  • 「本取扱基準」における「製品開発者」に該当すること
  • 経済産業省告示第二百三十五号を遵守すること
  • 「本規約」を遵守すること
  • 別途定めるJPCERT/CC脆弱性関連情報取り扱いガイドラインに準拠すること

率直に申し上げて「経済産業省告示云々……」という文言を見ただけで一介の個人ブロガーに過ぎない私としましては腰が引けてしまいました。また、関連する以下の資料にもさっと目を通しましたが、

いずれも私にとって敷居が高いと思える内容であり(JPCERT/CCの活動を批判したいわけではありません)、正直申し上げてあまり関わりたくないと思いました。然るに登録方法のページを見ると(リストへの)登録申請においては「会社の登記簿謄本」が必要と明記してあるように、この枠組みは基本的には開発者が「企業又は団体」である場合を主に想定しているような気がしました(私個人の勝手な解釈です、念のため)。

また、前回のエントリでも述べさせて頂きました通り、リストへの登録に際して個人情報の登録が必要なことも私にとっては大きな障壁となりました。JVN(脆弱性公表サイト)での公表にあたってはベンダ名以外の登録情報が公開されることはないことは理解しておりますが、昨今の情報漏洩事案の多さに鑑み、個人情報を守るには情報をなるべく外に出さないことが第一原則であると考え、今回は登録を辞退させて頂くこととしました。尚、この決断にあたっては結城浩先生のこのご意見も参考にさせて頂きました(*)。この事例もオリジナルのソフトウェアを元にした改造版であり、私の場合と類似していると思います(**)。

(*) お名前を出してすみません>結城先生

(**) 結城先生の場合は「JVNによる公表後、(その概要情報を元に)脆弱性の対策を行った」事例であり、「脆弱性の存在を知りつつ放置」し、且つ「対策前にその存在を公表した」私の場合とは似て非なる状況です。あくまでもこれは脆弱性情報入手のためにJPCERT/CCに開発者登録をするかどうかの判断の事例として紹介したものであることを付言させて頂きます(1/26追記)。

いずれにしましても、私自身が開発者としての責任から逃れたことは事実であり、弁解のしようがないことは重々承知しております。ここに改めてお詫び申し上げます。

3. JPCERT/CCの発表以前に脆弱性の存在を公表したことについて

ご批判を頂いているもうひとつの点として、脆弱性の修復及びJPCERT/CCによる発表以前に当該脆弱性の存在を公表したことの是非を問う声を頂いております。以下この点に関してご説明申し上げます。

公表に踏み切ったきっかけはJPCERT/CCより「フレッシュリーダーにおける RSS フィード クロスサイトスクリプティングの脆弱性」が発表されたことです。RSSリーダーの問題という類似性、及び発表時期から考えて、Sage++への脆弱性報告と同じ又は近い時期に通報された事案である可能性が高いのではないかと感じました。また、私への通報日から考えて、Sage++の脆弱性情報が公開されるのも時間の問題ではないかとも思いました。JPCERT/CCのガイドラインによりますと第4-1項に「一般公表日の決定の際には、JPCERT/CCが脆弱性関連情報の取り扱いを開始した日時から起算して45日後を目安とします」と定められています。私に第一報が届いたのが昨年12月14日でしたから、そこから起算すると一般公表日は1月28日前後になろうかと思います(第一発見者による通報はそれ以前でしょうから、もっと早まる可能性もあります)。

また、私が過去に本家Sageプロジェクトに対してある脆弱性の連絡をした際、修復までに43日を要したことから類推しても、今回の脆弱性情報が公開される日は近いと考えました。

私としましては、過去Sageに存在した幾つかの脆弱性に対して(情報提供者の方のご協力も得て)本家よりも早く対策した(*)という自負もあり、また当該脆弱性情報が公開されてから修復作業に数日を要する可能性もあることから、できれば一般公表の前に脆弱性を修正したいと考えました。JPCERT/CCによる調整を拒んだ以上、第一発見者の方と直接コンタクトを取るしか方法はありません。つまり前回エントリの「~業務連絡~」以降が私の真にお伝えしたい内容だったのです。しかし、それだけでは他の読者の方にとっては意味不明な内容となってしまいますので、簡単な事情を説明する文章を掲載しました。

脆弱性の存在を公表することで悪意ある第三者に情報を与え、一般ユーザーへの攻撃のリスクを増大させるとのご批判は確かにその通りです。しかし、一般にRSS/Atomフィード並びにRSSリーダーに脆弱性が存在し得ることについては広く知られた事実です。しかもSage及びSage++はいわゆる「オープンソース」ソフトであり、多少の知識がある方なら脆弱性を探すことはごく簡単に行えます(現に、私自身が数件の脆弱性を発見、修復しました)。また、Sage++に未知の脆弱性が存在する可能性があることについては当初より配布ページの「使用上のご注意」に明記してあります。

それならば、一刻も早く第一発見者の方とコンタクトを取って詳細情報を入手し、速やかに修正版をリリースしたいと考えました(思い返すに脆弱性情報をIPAを通じて届出るほど慎重な方が、身元不明な個人ブロガーに情報提供して頂けるはずがないと知るべきでした)。その間、一般ユーザーの方々には注意を促せば大丈夫だろうと誤った判断をしてしまいました。過去にも他の方のブログ等でSageの脆弱性が指摘されたことがあり、「脆弱性の存在」を公表するだけならば大きな問題にはならないだろうと甘く考えていたことに対し、深く反省しております。

また、このフライング行為によってJPCERT/CCという組織の活動そのものに悪影響を及ぼしかねない事態を招きましたことに対して、関係者の方々に謝罪致します。

4. Firefox/Sage及びSage++の危険性について

最速インターフェース研究会さんで、このような指摘がありました。

そもそもの問題として「ローカルディスク上のHTMLファイルをブラウザで開くと超危険」です。XMLHttpRequestやIFRAMEでローカルファイルの内容を読み取れるからです。Sageに脆弱性があるということは、あらゆる個人情報の漏洩につながります。

(中略)

Sageは危険です。はっきり危険だと言うべきです。「未修正の脆弱性があるから」というのはもちろんですが、脆弱性があった場合の影響範囲がでかいので危険だと考えるべきです。Sageのユーザーに悪意のあるフィードを購読させる、という手間がかかるので、起こりうる確率としては低いでしょうが、攻撃に成功すれば攻撃者はローカルディスクの全内容を取得できます。

最速インターフェース研究会 :: フィードリーダーの脆弱性まわりのこと

上記のご意見は基本的には正しいです。但し、Sageが危険なのは「ローカルディスク上のHTMLファイルをブラウザで開く」からだけではないと私は考えます。強いていうなら「Firefoxの拡張機能という仕組みそのものが危険(*)」というべきです。

(*) 現在公開されている全ての拡張機能が危険というわけではありません。勿論安全な拡張機能も多く存在します。詳しくはこのエントリのコメント欄を参照して下さい(1/28追記)。

確かに、過去Sage 1.3.xで発覚したスクリプトインジェクション系の脆弱性は「ローカルHTMLファイルに任意のスクリプトが混入する危険性がある」というものでした。しかし、上記ページでも言及されているように、フィードをローカルHTMLファイルに展開しないはずのSage 1.4でも同様の脆弱性があることが私の調査によって判明しています。

周知のようにSage 1.4では拡張機能が使用するchromeスキーム内で動的にページを生成しており、ローカルディスクからHTMLファイルを読み込んでいるわけではありません。しかしchrome自体がいわば特権モードであり、何らかの方法を用いてスクリプトを動作させることできれば、ファイルの読み/書きや外部との通信、DLLの起動などあらゆる攻撃が実現する可能性があります(あくまで可能性の話で実際に可能かどうかは不明です)。また、chromeスキームで動作するが故に、私が試した限りではNoScript拡張でもスクリプトの実行を防ぐことはできませんでした(対処法をご存知の方はご連絡頂けると助かります)。

つまるところ、Firefoxにおいては拡張機能をインストールすること自体が「リスクを伴う」行為であり、ましてや私のようなどこの誰ともつかぬ人間が手を加えたいわゆる「野良拡張」に手を出すことは常に「重大な危険性」と隣り合わせであることを認識する必要があります。開き直りのように聞こえるかも知れませんが、このことは往年のFirefoxユーザーにとっては半ば常識のようなものと考えておりましたので、ご批判は覚悟の上で敢えて表明しておきたいと思います。

尚、Sage 1.4に存在する上記脆弱性は、現時点(1/25)においてSageの開発ページからダウンロードできる"sage_nightly.xpi"においても修復されていないことを確認済みです。というより私の見るところ1.4系列のコードは昨年10月5日頃を最後にメンテナンスが行われていない模様です(*)。その理由は不明ですが、事実上の開発中断状態であると見られます。

(*) SageプロジェクトのCVSディレクトリ(**)にて確認。
(**) CVSディレクトリ内のファイルが一部更新されているのを確認。開発再開か? (2/3追記)

以上のことから、Firefoxの拡張機能「Sage 1.3.x」「Sage 1.4」及び「Sage++ (Higmmer's Edition)」はまさに「非常に危険な」拡張機能のひとつであり、現時点では一般ユーザーが気軽に使用することを推奨できるソフトウェアではないと言わざるを得ません。ご使用にあたってはそのメリット・デメリットをよく考慮の上、各自の「自己責任」(本来この言葉はあまり好きではないのですが)の元において使用を継続するなり、中止するなりのご判断をして頂きたいと思います。

ちなみに「HTMLタグを許可する」又は「フィードをコンテンツエリアに読み込む」をオフにした場合はフィード内のHTMLタグが解釈されることはない(はず)ですので多少のリスク回避にはなりますが、今回指摘を受けた脆弱性の詳細(*)が不明な以上、必ずしも安全であると断言することはできません。

(*) 前回エントリでフレッシュリーダーの脆弱性情報に絡めてエントリを構成したため誤解を招いたかも知れませんが、今回指摘を受けたのがスクリプトインジェクション系の脆弱性であるかどうかは定かではありません。スクリプトインジェクション系でした。詳しくはこちらのエントリを参照して下さい。

尚、参考情報として、当ひまグで公開していた「Sage++ (Higmmer's Edition) 1.3.9」については、以下のサイトで公開されているテストフィードを全てPassすることは確認済みであることを申し添えておきます(HTMLフィルタ方式=高速/詳細の両条件において)。

  • snellspace.comで公開されている以下のフィード
    - http://www.snellspace.com/public/everything.atom (他、全5種類)
  • RSS Reader Security Checkで公開されている以下のフィード
    - http://www.izynews.com/en/safe_rss/check.xml

当然ながら、これらのテスト結果はSage++の安全性について何ら保証するものではありません。もし、これら以外にもテスト用フィードをご存知の方がいらっしゃいましたら教えて頂けると助かります。追ってこちらでテストの上結果を公表したいと思います。


(テスト結果追記)

葉っぱ日記さんに教えて頂いたフィード(OPMLファイル)を使ってテストした結果、早速新たな脆弱性が判明しました(情報提供に感謝します)。

  • - http://security.grazr.com/FeedTestSuite.opml によるテスト結果
    • HTMLフィルタ方式:高速
      Fail: Non-Alpha-Non-Digit, Double_open_angle_brackets, Evade_Regex_Filter2
    • HTMLフィルタ方式:詳細
      → 全てPass
  • [対策] HTMLフィルタ方式を「詳細」で使用するか、「HTMLタグを許可する」又は「フィードをコンテンツエリアに読み込む」をオフにして下さい。
    HTMLフィルタの設定方法については以下のページを参照して下さい。

尚、これらのテスト結果を公表することに関しては異論もあろうかと思いますが、私としては既に公知になっているテストファイルによる検証結果を隠蔽するよりも公表して対策方法を周知徹底することの方がユーザーの方々の利益に適うと考え、ここに公表させて頂いております。(以上、1/26追記)

(1/27追記) 高速フィルタでFailの項に「Non-Alpha-Non-Digit」が抜けていたのを追記しました。

(1/28追記) 現在判明している脆弱性情報をこちらのエントリにまとめました。

(1/30追記) 上記Fail項目の内、「Non-Alpha-Non-Digit」「Evade_Regex_Filter2」については公式版Sage 1.3.10で修正されたことを確認しました。しかし、残る「Double_open_angle_brackets」については未だに修正されていない模様です。詳しくはこちらのエントリを参照して下さい。尚、拙作のSage++ 1.3.10では高速HTMLフィルタが使用不能になっており、上記脆弱性は発生しません。

(2/10追記) JVNより当該脆弱性に関する情報が公開されたのを受けて補足エントリを掲載しました。

5. 最後に

以上、つらつらと言い訳がましく長文を書いてしまいましたが、これが現時点での私自身の嘘偽らざる心境です。最後に、今回ご心配ご迷惑をおかけ致しました全ての皆様に対しまして、ここに改めてお詫びを申し上げたいと存じます。誠に申し訳ありませんでした。

ひぐまのひまグ管理人
ひぐま

世界樹の迷宮(3)

■ ゲーム Posted by ひぐま (Higmmer) on 2007-01-24 at 22:48:51

◆共有テーマ: 世界樹の迷宮 [ゲーム]

現在地下5階を探索中。だいぶパーティのレベルも上がってきて、今のところ地下4階以降では死人は出さずに済んでます(B3Fのアイツには1回やられましたが)。1度に上がるパラメータの数値はごく僅かなんですが、確実に強くなっていることを実感できます。久しくRPGで忘れていた感覚を思い出させてくれた感じです。

今度こそ本当にさようなら、ノートン先生。

■ ネット Posted by ひぐま (Higmmer) on 2007-01-23 at 22:17:59

◆共有テーマ: インターネットセキュリティー [コンピュータ]

値上げされた新製品の購入を半強制的に迫ってくる彼とこれ以上つき合うことはできない。

更新終了となってしまったNorton Internet Security(以下NIS) 2003から2006にアップグレードしたのが去年の2月初め。インストールに際し様々なトラブルに見舞われながらも(*)なんとか安定動作するようになり、それから約1年間に亘ってうちのPCを外敵から守ってくれたノートン先生。でも、今度ばかりは我慢の限界。遂に先生とお別れしなければならない日がやってきてしまったようです。

(*) 参考: さようなら、ノートン先生(1) (ひぐまのひまグ)

何も知らないユーザーを待ち構える強制アップグレードの罠

更新サービスの期限終了まであと10日と迫った今日、当日の予行演習にとサービス延長を申し込むボタンをクリックしてみたところ、ブラウザにシマンテックストアのページが開きました。新製品の紹介と並んで一番下に「現在の製品を継続して利用される方はこちら」とあったのでそこを見てみると…。

Windows XPでご使用中のお客様は「申し込みコード」をご購入いただき更新サービスの期限を 延長することで、2007に搭載されている最新の機能が利用可能になります。詳しくはこちらをご覧ください。
※製品の機能は追加、変更、削除される場合があります。

(赤字は筆者による)

シマンテックストアの更新サービス延長ページより

一瞬この文章を読んだだけでは理解できず危うく購入ページに飛びそうになってしまいましたが、よくよく読むとこの「申し込みコード」なるものをを購入すると自動的にNIS2006から2007へのアップグレードに同意したことにされてしまうようです。つまり「更新サービス期限延長申し込みコード」ではなく実際には「NIS2007へのアップグレード申し込みコード」でありながら、単に「申し込みコード」とだけ表示することでユーザーの錯誤を狙い、知らない内に新製品を買わせようとしているとしか思えません。

仕掛けられた罠はそれだけではありません。「詳しくはこちら」と書かれたリンクをクリックすると、詳しい更新内容の説明ページではなく、なんと「ノートンアップデートセンター」という最新版のインストールページに飛ばされてしまうのです。しかもそのページがセキュリティ対策企業とは思えないほどずさんな作り。ファイルのMIMEタイプ設定が不適切なため、IE6 SP2のオプション設定で「拡張子ではなく、内容によってファイルを開くこと(*)」を無効にしていると次のような警告が出て動作しないのです。

ノートンアップデートセンターのポップアップ(クリックで拡大)

ノートンアップデートセンターから開かれたポップアップ。このファイルの拡張子は msi であるが、Content-Type は text/plain に設定されているため、中身がテキスト形式で表示されてしまっている。

(*) これが有効になっていると画像ファイルなどを装ってスクリプト等を混入させることが可能になるので必ず無効にしておくべき。詳しくはここここを参照。

ここで調査中止したためこの先は確認していませんが、このまま続行すればActiveXコントロールがインストールされてユーザーの環境を調査した後、半強制的に新バージョンを送りつけてくるであろうことは目に見えています。実際にはアップグレードしかできないのに「現在の製品を継続して利用」できるかのように偽り、「アップグレード申し込みコード」を「申し込みコード」と詐称。しかも詳細を確認しようとするユーザーにはダメ押しのActiveXを用いてアップグレードを強要する。まさにマルウェアまがい、いやそれ以上の暴挙と言っても過言ではないと思います。

機能は減ったのに価格は値上げ

それでも今後も定義ファイルの更新サービスを受け続けようと思えばNIS2007にアップグレードするしかありません。しかしなんと、NIS2007では更新価格が値上げされたにも関わらず……。

>>続きを読む

ノートン先生からの脅迫状~アウトブレーク警告発令中!!

■ ネット Posted by ひぐま (Higmmer) on 2007-01-23 at 04:44:45

◆共有テーマ: インターネットセキュリティー [コンピュータ]

アウトブレーク警告が出たからといって直ちに何かに感染する/したというわけではありませんよ。

昨夜遅くNorton Internet Security 200xを使用している環境において「アウトブレーク警告」が発令された模様です。うちの環境(NIS2006)では大丈夫でしたが、一部環境において脅威名「Trojan.Peacomm」が「急速に広がる脅威から保護されません」としてリストアップされるという現象が発生している模様。

で、以前にNIS2006についてこういうエントリを書いた影響で、そこそこの人数の方が解決策を求めて当ひまグを訪れているようです。

えーまずこの「Trojan.Peacomm」というのはトロイの木馬の一種で、現在メールの添付ファイルとして出回っている模様(*)。なので怪しいメールの添付ファイルを実行しなければひとまず大丈夫だと思います。

(*) 詳細はSymantecのページ(英文)を参照のこと(→追記: 日本語訳出ました)。

ノートン先生の脅迫警告があまりに強烈なので驚いている方も多いようですが、アウトブレーク警告が出たからといって直ちに何かに感染する/したというわけではないのでとりあえず落ち着いて下さい。この警告が出た場合本来なら自動的にウィルス定義ファイルが更新されて保護された状態になるべきなのですが、サーバーへのアクセス集中等によりLiveUpdateに失敗した場合に(?)冒頭に述べたような症状が発生するようです。時間が経てば回復すると思うので暫く放置するか回線切って寝ることをオススメします(笑)。どうしてもすぐに直したい場合、以下の場所から更新ファイルをダウンロードして実行することでも解決できるらしいのでお試しあれ(*)。

(*) 詳細は2chのこのスレを参照のこと。

>>続きを読む

W-OAM対応の京ぽん3(?)が遂に登場!! でもなぁ…

■ デジモノ Posted by ひぐま (Higmmer) on 2007-01-22 at 16:04:19

◆共有テーマ: WILLCOM [携帯電話・PHS]

ITmedia +Dによると、本日ウィルコムより「京ぽん」の新端末「WX320K」が発表された模様。

(関連サイト)

未だに初代京ぽんを使い続けている自分としては、ITmediaの第一報を見た時は「遂に京ぽん3キタ━━(゚∀゚)!!」かと思ったのですが、それから製品情報ページに飛んで詳しいスペックを調べてみてガッカリorz。Javaを乗せてくれたのは嬉しいですが代わりにBluetoothを外すってのはどうなのよ。しかもmini/microSDも無し。本体サイズは以前と殆ど変わらないのでコストとの兼ね合いなんでしょうけど、そのまんま京ぽん2(WX310K)にBluetooth追加してくれてたら間違いなく買い決定だったのにorz。

今回の売りはJavaの他にはRSSリーダー搭載とW-OAM対応のようですが、ブラウザがあればRSSリーダーはWebサービスで十分だし、W-OAMは最大204kbpsというところを見ると8PSKまでで、typeGの16/32/64QAMには非対応っぽいしなぁ……。

というわけでまだまだ初代京ぽんを使い倒さねばならないようです。本当はだいぶバッテリーもへたってきたのでいい加減機種変したいんですが。というか無線LANとBluetooth搭載のW-ZERO3後継機は一体いつになったら出るのでしょうか?(笑)

[ネタバレ無し] 世界樹の迷宮(2)

■ ゲーム Posted by ひぐま (Higmmer) on 2007-01-21 at 01:25:53

◆共有テーマ: 世界樹の迷宮 [ゲーム]

ちょっと空いた時間見つけてはチマチマ進めていますが、まだ地下2階をウロウロしています。感じからするとまだマップの半分も埋まっていないのではないかと。床塗り含めて全て手書きしているので手間はかかりますがその分自分で探索してる感はひとしお。でも地下2階なのに敵が強すぎる!!(笑)。まだ全滅こそありませんが各メンバー最低1回は死にました。おかげで治療代・宿代がかさむ→武器防具の強化が遅れる→死ぬのデススパイラル状態(笑)。

ちなみに現在のパーティ構成は以下の通り。

  • レンジャー(♂) Lv9
  • ダークハンター(♀) Lv9
  • ソードマン(♀) Lv9
  • メディック(♂) Lv9
  • アルケミスト(♂) Lv9

2ちゃんねる閉鎖情報に一時騒然!!

■ ネット Posted by ひぐま (Higmmer) on 2007-01-21 at 01:02:11

◆共有テーマ: 2ちゃんねる [コンピュータ]

2ちゃんねる、遂に閉鎖か?!というエントリを書いたら、その時間帯の単位時間アクセス数が普段の10倍になりました(笑)。1時間ほどで復旧したのですぐ沈静化しましたが。2ちゃんねるでググると「差押え」と表示されたり、Wikipediaにも一時「2ch閉鎖」と書かれたりしてたのを真に受けてしまった方もいた模様。つい4日前にひろゆき氏に第三者破産が申し立てられたというニュースが出たばかりなので信じてしまうのも無理ないか。自分も一瞬「まさかっ?!」と思ったし。まぁ裁判所の手続きがそんなに早く進むわけないと思って調べてみたら案の定だったわけですが(笑)。

自分としては2chは情報収集の手段のひとつとしては重宝してたので無くなるのは困るなぁと思いつつ、さすがに最近のひろゆき氏の言動は少々調子に乗りすぎだと思うのでここらで一旦リセットして出直した方がいいような気もしていたり。なんとかならないもんですかねぇホント。

2ちゃんねる、遂に閉鎖か?!

■ ネット Posted by ひぐま (Higmmer) on 2007-01-20 at 18:14:07

◆共有テーマ: 2ちゃんねる [コンピュータ]

先ほどからwww.2ch.netに繋がらない。遂に来るべき時が来たのか?!

……と思ったら緊急メンテナンスらしい。

まぁ、でもそろそろXデーが近づいているような気がする。

>>続きを読む

[ネタバレ無し] 世界樹の迷宮(1)

■ ゲーム Posted by ひぐま (Higmmer) on 2007-01-19 at 23:18:43

◆共有テーマ: 世界樹の迷宮 [ゲーム]

うはっ、気づいたらキャラクタエディットだけで2時間近くやってる(笑)。ギルド名決めるだけで30分かかってしまった。良さげな名前思い付いても大抵文字数制限に引っ掛かるんだもんなぁ。せめて8文字は入れられるようにして欲しかった。それからパーティメンバーを選定するのに1時間。職業が多いのはいいんだけど、なんか男か女か区別付かないようなキャラばっかりな中から選べと言われてもなぁ……。一度ハマってしまえば気にならなくなるんだろうか。更に装備とスキルの割り当てに費やすこと30分。やっと決まったのでこれから迷宮に出発します(笑)。

世界樹の迷宮が届いた

■ ゲーム Posted by ひぐま (Higmmer) on 2007-01-19 at 17:34:10

◆共有テーマ: 世界樹の迷宮 [ゲーム]

Amazonで予約注文していた世界樹の迷宮が1日遅れでやっと届きました。とりあえず記念にパッケージ写真をアップ。

一緒に写っているのは初回特典のアウトテイクが7曲入ったミニサントラCD。残念ながら初回特典版は既にAmazonでは品切れ状態になってしまっています。今このエントリを書きながらこのCDを聴いていて、終わったら早速プレイを開始するつもり。暫く引きこもるかも(笑)。

フレッシュリーダーの脆弱性に関連してSage++のこと

■ 自作ソフト Posted by ひぐま (Higmmer) on 2007-01-18 at 21:41:28

◆共有テーマ: Firefox [コンピュータ]

(1/25追記) 本エントリに関連してお詫びと釈明させて頂きます。

(2/10追記) JVNより当該脆弱性に関する情報が公開されたのを受けて補足エントリを掲載しました。

サーバー型RSSリーダー「フレッシュリーダー」に「任意の JavaScriptが実行される脆弱性」が存在することが発見されたそうです。これに対策したバージョン1.0.07010600が本日付けでリリースされています。

詳しくは以下のリンクを参照。

さて、当ひまグで何故このニュースを取り上げるかというと、実はこちらで公開しているSage++ (Higmmer's Edition)についても脆弱性(*)があると、昨年12月14日にJPCERT/CCより連絡を受けていたからです。

(*) 但し当該脆弱性がフレッシュリーダーに存在したものと同一又は類似、或いは関連性があるかどうか含め、その詳細については一切不明です(1/29追記)。

>>続きを読む

ソニー株が続落~ソースはソニーに反応せず~

■ ゲーム Posted by ひぐま (Higmmer) on 2007-01-17 at 23:43:48

◆共有テーマ: ニュース [ゲーム]

昨日のエントリに関連してニュースをひとつ。

ソニーが続落、PS3が日本国内で100万台出荷達成も反応薄、任天堂は連日の高値

 ソニー <6758> が続落、30円安の5660円で引けた。同社は16日、日本国内でのプレイステーション3(PS3)累計出荷台数が100万台を達成したと発表したが、反応薄だった。任天堂 <7974> 「Wii」は7日時点で累計「販売」台数が100万台に到達しているため、比較対象とされたようだ。市場からも「ソニーはいつも『出荷台数』での発表。Wiiが実売で100万台を達成したのに比べると差をつけられている感は否めない。これから廉価版を出すなど巻き返してくるだろうから、その巻き返し策に注目したい」(準大手証券)との声が聞かれた。

(後略 - 赤字は筆者による)

出典: 株式新聞

ワロタw

この記事も「出荷台数」と「生産出荷台数」の区別がついていない時点で間違っているわけですが、まぁこんな感じでマスコミ各社は騙せても、目の肥えた市場関係者までは騙せなかったようで(笑)。

PS3の国内「出荷」台数100万台突破~但しソースはソニー~

■ ゲーム Posted by ひぐま (Higmmer) on 2007-01-16 at 17:06:45

◆共有テーマ: ■PLAYSTATION®3 [ゲーム]

株式会社ソニー・コンピュータエンタテインメント(SCEI)は1月16日時点でプレイステーション3の日本国内市場向け累計生産出荷台数が100万台に達したと発表した(→ニュースリリース)。

生産出荷台数(プ

いつまでこんな恥ずかしい用語使い続けるんだろうねぇ? 知らない方のために念のために解説すると、生産出荷台数とは生産工場から出荷された台数を表すソニー用語です。実質的には「生産台数」とほぼ同じ意味であると考えて構いません。出荷台数といえば普通はメーカー倉庫から卸売り業者に納品された台数のことをいうわけですが、ソニーの場合は中国のPS3生産工場から出荷して船に載せた時点でカウントされてしまうというわけ。つまり生産出荷台数100万台といっても、恐らく20万台くらいは今頃海の上か、もしくは国内のソニー工場内に在庫(*)として眠っていることでしょう(笑)。

(*) ちなみにPS3国内販売台数は今週時点で約60万台前後だと思われる(メディアクリエイト発表より推計)ので、差し引き20万台くらいが流通・店頭在庫分でしょうか?

こういうことを知ってか知らずか、このことを伝える記事の見出しの中で生産出荷台数ではなく単に出荷台数としか書いてないサイトはSCEIから賄賂でも貰っているんでしょうかねぇ? SCEIのプレスリリースの中でははっきりと「生産出荷」と書かれているのに。

>>続きを読む

[視聴記録] すみれの花咲く頃

■ TV Posted by ひぐま (Higmmer) on 2007-01-15 at 23:55:26

◆共有テーマ: テレビドラマ [テレビ・ラジオ]

個人的に今年1番注目している女優多部未華子さん主演のドラマ「すみれの花咲く頃」を見ましたのでその感想を。と言いたいところなのですが、いざ書こうとするとちょっと感想に困ってしまう……そんなドラマだったと思います。

>>続きを読む

辻褄合わせに奔走する違和感「花より男子2」(2)

■ TV Posted by ひぐま (Higmmer) on 2007-01-12 at 23:56:46

◆共有テーマ: ドラマ感想 [テレビ・ラジオ]

先ほど第2話が終わったところなんですが、う~~~んんん、、、。正直これはどうなんだろうと思う。もちろん井上真央さんの演技は文句無しに良い。加藤夏希さんもウザキャラだけど頑張ってると思う。……でも、、、何かが違う。久々のアホ道明寺もちょっと滑り気味だったし。何より脚本がダメダメ過ぎる。ここへきて前作で原作のストーリーを色々つまみ食いしてしまったことのしわ寄せが脚本に一気に噴き出てしまったような気がする(原作読んでないけど)。

だいたい道明寺がツンモードに逆戻りしてしまったのも、道明寺財閥の経営状態と謎の男(社員or取引先?)の自殺が関係ありそう、などと思わせぶりな描写を入れてはいるけど、ぶっちゃけ道明寺がツンモードになっとかないと原作からネタを拾ってこれなくなるから、という脚本上の都合なんじゃねーのと勘繰りたくなってしまう。牧野つくしと大河原滋が同級生という設定なのも、後々その設定を使うつもりなんだろうけど(いきなり転校してくるとか?)ちょっと無理がありすぎ。つーか夏希はん、ノリええおもろいネーちゃんやし好っきゃけど、どう見ても高3には見えまへんわ~~(笑)。

前作は前作で話としては大きな破綻もなく、せっかく最後もキレイな形で終わっていたんだから、あまり周りの声を気にせず、ここは思いきってオリジナルストーリーを展開させた方が良かったんではないだろうかと思う。というかツンモードの道明寺は単なるDQNキャラにしか見えなくて自分的にはあまり好きではないので、またその段階の話に逆戻りするかと思うとちょっとゲンナリしてきます……。

>>続きを読む

エアコン壊れて

■ 雑記 Posted by ひぐま (Higmmer) on 2007-01-11 at 20:11:06

◆共有テーマ: どうでもいいこと。 [日記]

暖房効かねー!!!
家ん中いるのに雪山にいるような寒さだ!!!
おかげで風邪引いたorz
しょうがないからもう布団かぶって寝る!!!

>>続きを読む

詐欺的ネーミングのSIXAXISがエミー賞受賞は完全な誤報

■ ゲーム Posted by ひぐま (Higmmer) on 2007-01-10 at 18:08:08

◆共有テーマ: ニュース [ゲーム]

Engadget Japaneseが伝えるところによると、SCEAがプレスリリースで発表した「PS3のSIXAXISがエミー賞受賞」というのは真っ赤な嘘だったとのこと。実際は「与えられた賞はゲームコントローラの全体の歴史におけるデュアルショックの貢献に対してのもの」だそうです(任天堂も十字キーの発明で受賞)。

しかし公式のプレスリリースを使って大々的に嘘情報を流すとは、世界のソニーも地に落ちたものですね。そもそもこのコントローラ自体、SIXAXISという名前をつけていながら実際は加速度3軸+回転1軸の「4軸」しかなかったことが既に明らかになってます(下のコメント欄に注目)。詐欺的ネーミングのコントローラーに嘘のエミー賞受賞の発表。恥の上塗りとはまさにこのことですね(笑)。

>>続きを読む

今年注目の女優(2) 井上真央さん

■ TV Posted by ひぐま (Higmmer) on 2007-01-09 at 23:35:39

◆共有テーマ: 女優 [アイドル・芸能]

前回に引き続き紹介するのは井上真央さん。といってももう十分有名ですから敢えて私ごときが紹介するまでもないでしょうけど。

先日放送された花より男子2は初回視聴率が19.4%をマークしたそうで、まずは好スタートを切ったというところでしょうか。井上真央さんといえば何といってもキッズ・ウォーで培われた目力の強さが印象的ですが、それに加えて更に女らしさの点でも磨きがかかり、どんどん魅力的な女優さんになられた気がします。個人的にはこのオープニング映像の最初の寝てる状態から起き上がるところと、最後に並んで挨拶した後の笑顔にやられました(^^; 笑うときにちょっと下唇を噛んで小首をかしげる仕草がもぉたまりません(*^_^*)。

さてそんな井上真央さんも今日で20歳になられたそうで、おめでとうございます。こちらこちらで晴れ着姿の真央さんを見ることができますが、もう最高にかわいいです。そしてなんと今年の3月には約4年半ぶりの写真集「井上真央2007」が発売されるそうです。こちらも今から楽しみです。

>>続きを読む

今年注目の女優シリーズ(1) 多部未華子さん

■ TV Posted by ひぐま (Higmmer) on 2007-01-08 at 21:50:51

◆共有テーマ: 女優 [アイドル・芸能]

今日から数回に分けて今年個人的に注目している女優さん達を紹介してみたいと思います。まず一人目は多部未華子さん。

なんとGoogleで「新鋭女優」で検索するとトップにランクされる(1/8現在)というまさに新鋭女優という名にふさわしい彼女。2005年度には映画「HINOKIO」「青空のゆくえ」でブルーリボン賞新人賞を受賞、その後「ルート225」「夜のピクニック」などの映画に立て続けに主演――ということなんですがすみません、実は彼女の出演映画はまだ1本も見たことなかったりします(^^; じゃあ一体どういう経緯で知ったのか――はこの際省略するとして、一目見た瞬間その圧倒的な目力に瞬殺されましたね。ちょっとキツい感じの目が好きだったりするもんで(本人は目のことを言われるのは嫌だそうですが)。クラスに一人はいる学級委員タイプというか、何となく「がんばっていきまっしょい」の頃の田中麗奈さんにも似た凛としたオーラを感じます。

今年はフジテレビ製作の映画「西遊記」、そして石原都知事入魂の「俺は、君のためにこそ死ににいく」への出演が予定されています。またNHKハイビジョンで本日放送の「すみれの花咲く頃」(地上波でも後日放送予定)では宝塚を目指す高校生役として主演しますよ! 果たしてどんな演技を見せてくれるのか今から楽しみです(^^)。

>>続きを読む

花より男子2

■ TV Posted by ひぐま (Higmmer) on 2007-01-05 at 23:59:59

◆共有テーマ: テレビドラマ [テレビ・ラジオ]

ついさっき花より男子2の第1話放送が終わったわけなんですが…、いやぁなんと言うか色んな意味で凄い初回でした。序盤は前作のストーリーを振り返りつつこの1年の間の出来事を割とスムーズに織り交ぜてた感じでしたが、つくしがニューヨークに行くあたりからgdgd……もとい怒涛のジェットコースター展開でした。あの広いN.Y.でたった2日間で3人もの知人とバッタリ会ってしまうなんてそれこそありえねーっつーの!!(笑) というかそれ以前にN.Y.に行こうかどうか迷っているその日にお父さんがビンゴに当たること自体ありえない(これも楓の陰謀?)。

赤札貼られてからの集団リンチ→順平による監禁→椿が救出するという流れも強引でちょっと無理があったかなぁという感じ(昨今のイジメ事情に配慮して描写を省略した?)。ただその後の泣きながら本心を語るつくしのシーンは凄く良かった。井上真央さんの迫真の演技に思わずもらい泣きしてしまいました(ノД`)

それにしても初回はなんだか牧野つくし七変化という感じで、冬服に夏服、部屋着(デコ出し)、セレブドレスに極めつけは緊縛プ…(ゴホンゴホン)…と色んなバージョンの真央さんが見られただけで十分お腹いっぱいになりました。お風呂バージョンがなかったのはちょっと残念でしたが(^^;

>>続きを読む

ハプニング大賞に井上真央さん

■ TV Posted by ひぐま (Higmmer) on 2007-01-04 at 22:55:45

◆共有テーマ: TV番組 [テレビ・ラジオ]

なんていうか1年ぶりに見ると凄い大人っぽくなったなぁという印象。何気ない仕草の中に妙に色っぽさを感じたし、落ち着いた受け答えからは大人の女性の品格すら漂い始めてる気がする。F4のメンツは「老けた」なんて茶化してたけど(^^; 弟役の子のNGをフォローしてあげるところも彼女の優しさというか性格の良さが出てて好感が持てた。

今期のTBSは華麗なる一族花より男子2を全力押ししてるみたいだけど、最近のTBSは力入れすぎて暴走する傾向にあるから(例:白夜行)ちょっと心配…。でも髪下ろして制服着たら牧野つくし健在!!という感じだったので大丈夫だとは思うけど。明日も朝から花男メンバーがTVジャックするみたいなので要チェックだねこりゃ。

>>続きを読む

1月3日

■ 雑記 Posted by ひぐま (Higmmer) on 2007-01-03 at 23:17:55
きのうとおなじ

1月2日

■ 雑記 Posted by ひぐま (Higmmer) on 2007-01-02 at 22:34:04
あさおきて
ひるねして
よるねた

新年のごあいさつ

■ 雑記 Posted by ひぐま (Higmmer) on 2007-01-01 at 00:00:00

あけましておめでとうございます
取り急ぎ、本年もよろしくということで。