2009年1月 Archives

Heartland Payment Systems社の大規模情報漏えい事件（最大のカード情報漏えい？ Heartland事件 - けにあmemo）続報。
早くもHeartlandに対して集団訴訟が起こされた。漏洩の事実を公表した後、被害者の口座監視などの手を打っていない、情報公開が充分でない、といった内容。

First lawsuit filed in Heartland data security breach

代表者となっているのはAlicia Cooperさん。Alice Cooperじゃないんだ。
この記事では、Heartlandがカード会社と専用線で通信していたことを問題にしている。PCI DSSでは認められているが、別の決済業者の話として、このやり方は脆弱なのでVPNに変えるべきだといっている。
訴状の中では、HeartlandがPCI DSSで定められているセキュリティ対策を実装していなかったか、あるいは実装しても使っていなかったのではないか、と指摘している。

別の記事では、CEOのインサイダー取引の疑いを示唆している。 Heartland Payment Systems社のCEOが内部情報を元に自社株を売却したのではないかという疑惑。

Did Heartland Payment Systems' CEO Make Insider Trades? -- Seeking Alpha

CEOはこの3ヶ月で大量に株を売却している。
9月下旬の世界的な株価下落後だけで7回もまとまった数の売却をしており不審。
不正アクセス、情報漏洩の事実をいつ知ったか厳しく調べられている。

漏洩の手口についても最新の情報を紹介。 情報の送信先は国外だと思われ、東欧が有力。
StorefrontBacktalk誌Evan Schumanの情報を引用している。

情報取得のマルウェアは...サーバーのディスクの未割り当て領域に隠されていた。このマルウェアは最終的に一時ファイルの追跡で発見されたが、巧妙に隠されていたので、ビザやマスターカードからの警告のあと導入された二組の捜査チームから逃げおおせていた。（ハートランドのCFOロバート･ボールドウィンの話） 「今回の攻撃で高度な技術が使われていたのはほとんどが隠し方の部分だった。」（ボールドウィン氏）

あるコンサルタント（匿名）によると、特定のディスクセクターに直接書き込む技術が恐ろしいくらいだという。「何らかの方法で、こいつらはマシンの最下層のディスク上でファイルテーブルがないところにまで直接いっている。どうにかしてOSを迂回したんだ。」

なんとまあ。本気だろうか。
そして、なぜ九州なんだろう。 日本企業も協力してるのか？

中国、次世代DVD規格「レッドレイ」を発売－ブルーレイに対抗 | エキサイトニュース

　中国武漢市でこのほど、中国独自の次世代DVD規格「紅光（レッドレイ）」プレーヤーとディスクが発売された。中国はこのレッドレイディスクで、全世界に普及している「ブルーレイディスク」に攻勢をかけていくという。

　中国では現在、世界のDVDプレーヤーの約80％が生産されているが、そのコア技術や特許はすべて外国企業が保有している。中国はDVDプレーヤーを輸出する際に、1台あたり18ドルの特許使用料を支払う必要があり、収益性の低さに問題を抱えている。この問題を解決するため、2004年末から武漢高科集団などの研究機関が中国独自のディスク開発に取り組んできた。
　
　今回発売されたレッドレイ対応のDVDプレーヤー「九州ハイビジョン」は、記憶容量が12ギガバイト以上のレッドレイディスクが再生できるほか、従来のDVDも再生することができる。同製品は既存のDVD生産ラインで生産できることから、今後世界市場に向けて積極的に売り込んでいく計画という。

マイクロソフトが携帯電話をPCに変身させる特許を出願。
» Microsoft patents interface to transform phone into PC | The Toybox | ZDNet.com

The solution comes in a form of a docking cradle for a mobile phone that connects to LAN, external HDD, keyboard, mouse, display and any other peripheral you like, and comes in the form of a patent application entitled "Smart interface system for mobile communication devices" and dated January 22, 2009.

この製品は携帯電話のドックの形で提供され、LAN、外付けHDD、キーボード、マウス、ディスプレイ、その他あらゆる周辺機器を接続できる。特許出願のタイトルは、「モバイル通信機器用のスマートインターフェースシステム」で、2009年1月22日付。

いいなあ、これ。
US特許局の文書
United States Patent Application: 0090023475
をみると、Filed: December 7, 2007となっているのは、何なんだろう。これがシュツガンビ？
そして発明者は、4名のうちの3名が、北京の人。
Chang; Eric; (Beijing, CN) ; Dehghan; David; (Sammamish, WA) ; Sun; Stanley; (Beijing, CN) ; Liu; Bin; (Beijing, CN)
どういうことだろう。単純にMSに雇われているだけ？それとも買い上げたのかな。
ムツカシイ世界だなあ。

Gmailがオフライン対応したというニュース。
Gmailのオフライン対応テスト、米英で開始 - ITmedia News

米Googleは1月27日、Gmailのオフライン機能を米国と英国のGmail Labsで試験的に公開した。

　この機能をオンにすると、GmailはGoogle Gearsを利用してメールデータのローカルキャッシュをダウンロードする。ネットワークに接続している限りこのキャッシュはGmailサーバとシンクロし、接続が切断されると自動的にオフラインモードになる。ユーザーはオンラインの時と同様にメールを読んだりラベルをつけたりでき、オフラインで作成したメールは次にオンラインになった時に送信される。

but if you're worried about having everything available in Offline mode it might be a good time to do some e-mail housecleaning.
もしオフラインモードに全部きちゃうのを心配するなら、メールを掃除するいい機会かも。

AppleのGarageBandにギター練習の機能が付いてすごいという記事。

GarageBand Lesson Store：Appleが音楽界に再度革命を引き起こす

音にあわせて画面にタブ譜と指板上にポジションが出ると。しかもアーティストが引いているビデオまで写ると。もちろんスピードを変えたりできると。
これはすごいなー。今の人はいいなー。
でも、訳もわからずいろんなことやってみるほうが楽しいし成長しそう、なんて思うのはひがみ根性か。

翻訳はチョット不審。たとえば、

GarageBandも話題になるに違いないとみている。GarageBandはアーティストから直接にピアノとギターのレッスンを受けることができるというもの。Lesson Storeと呼ばれるAppleのオンライン音楽レッスンストアは...

there's a feature tucked into GarageBand that might be making headlines very soon: premium lessons for piano and guitar, presented by the artists themselves. Dubbed 'Lesson Store', Apple's online marketplace for music lessons has...

GarageBandに追加された新機能は話題になるだろう。アーティストから直接にピアノとギターのレッスンを受けることができるというものだ。このLesson StoreというAppleのオンライン音楽レッスンストアは...

インターフェースについては、原文は後から訂正されてた。
これに勝るものなど想像することすらできない、と書いてあるところを消して、

Tabs in GarageBand don't have any indicators for bends or hammer-ons, which really should be shown.

最後の文章はわからなかった。

Rockしたい人はぜひともLesson Storeの世界へ！（訳注：AC/DCの「For Those About to Rock (We Salute You)」より）。

For those about to rock, I salute you.

チャイコフスキーの「1812 序曲」以来の音楽と火砲の素晴らしい結合、大砲が打たれtるタイトル曲

楳図かずお嬉しそう。
どこかにぐわしマークはつかないんだっけな。

赤白ストライプ邸、調和乱すとまでは...楳図かずおさん勝訴 : 社会 : YOMIURI ONLINE（読売新聞）

畠山稔裁判長は「周囲の目を引くものではあるが、景観の調和を乱すとまでは認めがたい」と述べ、原告らの請求を棄却した。

IPAとJPCERTから脆弱性届出情報の報告。
SQLインジェクションは被害のニュースが多かったのが影響しているだろうけど、DNSもだいぶ注意をひいているんだなあ。

DNSキャッシュポイズニング、SQLインジェクション攻撃が増加中 - セキュリティ - ZDNet Japan

独立行政法人情報処理推進機構（IPA）および有限責任中間法人JPCERTコーディネーションセンター（JPCERT/CC）は1月26日、2008年第4四半期（10月～12月）におけるソフトウェアなどの脆弱性関連情報の届出状況を明らかにした。
　2008年第4四半期の特徴は大きく2つ。

1つ目は、DNSキャッシュポイズニングの脆弱性の届出が激増した

　2つ目はSQLインジェクションの脆弱性の届出が増加した

　第4四半期の届出状況については、ソフトウェア製品に関するものが60件、ウェブアプリケーション（ウェブサイト）に関するものが1430件の合計1490件であった。2004年7月に届出受付を開始してからの累計は、ソフトウェア製品に関するものが861件、ウェブサイトに関するものが3514件の合計4375件となっている。

ウェブ関連がさらに増えている。
関連ニュースでは対応状況にも言及。
半数が開発時にセキュリティを意識しているっていうのは、むしろ多い気がした。ほんとかなあと。

深刻な脆弱性含むサイトの半数が開発時にセキュリティを無視：Security NEXT

ウェブにおいて脆弱性対策が90日以上経過しても完了しないケースは前四半期は179件から258件へと大幅増。経過日数が90日から199日が117件、200日から299日のものは60件。1年以上解決していないものも約60件にのぼり、SQLインジェクションなど深刻度が高いものも含まれている。
SQLインジェクションやクロスサイトスクリプティング対策を完了したウェブサイトに同機構がセキュリティ意識についてアンケートを実施したところ、開発時にセキュリティを意識していたとの回答は50％にとどまった。
また開発時に脆弱性対策を行っていなかった組織としては、非上場会社や協会や社団法人といった団体など、中小規模のウェブサイトに目立ったという。

認証系の製品がSAML対応したというニュース2種。
セシオスは、SSO製品にSAMLとOpenIDを追加。
AXIOLEは、LDAPサーバーで、パートナーのサイオスが「Google Appsの認証にAXIOLEを使用するSAML認証システムを有しており、システム管理者は、AXIOLEでのアカウント管理を行うだけで、Google Appsをユーザーに容易に提供」。
いろんなものが出てきたなあ。

セシオスのシングルサインオン・ソリューションSecioss Access Manager EnterpriseがSAML、O - ZDNet Japan

株式会社セシオス（本社：東京都文京区、代表取締役：関口　薫）は本日、オープンソースベースのシングルサインオン・ソリューション「Secioss Access Manager Enterprise」がSAML、OpenIDに対応

今回、オープンソース・ソフトウェアの「simpleSAMLphp」を利用して、SAML、OpenIDに対応いたしました。SAML、OpenIDに対応したことで、SaaSサービスと企業内の認証システムを連携したシングルサインオンなど、サイト間でのシングルサインオンが可能となりました。

Secioss Access Manager Enterprise/Secioss Identity Manager Enterpriseのセット価格は300ユーザ57万6千円から

ネットスプリングの認証サーバアプライアンス「AXIOLE」、Google Appsと連携可能に：Enterprise：RBB TODAY (ブロードバンド情報サイト) 2009/01/27

ネットスプリングは27日、サイオステクノロジーと提携し、ネットワーク認証サーバアプライアンス「AXIOLE」（アクシオレ）をGoogle Appsと連携可能にしたことを発表した。
　サイオスが提供するGoogle Apps連携システム構築サービス「SIOS Integration for Google Apps」を用いて、LDAP系アプライアンス型の認証サーバAXIOLEをGoogle Appsと容易に連携可能とした。サイオスは、AXIOLEに登録されているユーザをGoogle Appsに自動登録するシステムや、Google Appsの認証にAXIOLEを使用するSAML認証システムを有しており、システム管理者は、AXIOLEでのアカウント管理を行うだけで、Google Appsをユーザーに容易に提供することが可能となる。この連携システムにより、運用管理者は、ローカルシステムのみならずクラウドコンピューティングシステムを含めたアカウント管理を一元化することが可能となる。
　AXIOLEは日本語Web画面から簡単に設定・管理を行うことができるLDAP認証サーバ。LDAPサーバ構築に必要なディレクトリやスキーマの設計といった煩雑な作業はあらかじめAXIOLEで用意してあり、LDIF、CSV、UNIX Password形式でのユーザーデータのインポートも可能。標準販売価格は税別990,000円より（AXIOLE 1000ユーザー版）。
(冨岡晶@RBB 2009年1月27日 11:34)

Heartland Paymant Systemsのカード情報漏えい事件情報をまとめておく。

概要：
Heartland Paymant Systemsのカード決済システムに不正プログラムが発見された。
カード会員データが流出したと思われる。
もともとビザとマスターからの不正利用情報を基にした調査で発覚。
不正プログラムは最低a few weeks存在した。
流出件数は未公表、月間平均処理数が1億件とされることから、数千万件から1億件以上ではないかといわれ、TJX（4千万件以上）を上回る最大規模のカード情報漏洩ではないかということになった。
1/20に公表され、大統領就任式の陰に隠れようとしたのではないかと揶揄された。

米カード決済会社が不正侵入の被害に，過去最大規模のカード情報が流出か：ITpro

US credit card payment house breached by sniffing malware . The Register

12月にはオンライン決済業者CheckFreeがドメイン名の制御を失い、東欧の犯罪組織によるものといわれている。500万人に不正の可能性を通知した。

Heartlandは全米で第6位の決済業者。

Heartland breach raises questions about PCI standard's effectiveness - Network World

By Ellen Messmer , Network World , 01/22/2009
Heartland事件とPCI DSS
Heartlandは4月にTrustwave社からPCI準拠の認定を受けていた。
PCIは週次のファイル完全性チェックを義務付けていて、この点で何か問題があったのではないか。
別の決済業者RBS WorldPayも12月に不正侵入、150万件のカード会員情報と、110万件のSSNが流出。11月10日に不正に気づいたが、影響を解明するのに1ヶ月以上かかった。

Heartland data breach sparks security concerns in payment industry
January 22, 2009 (Computerworld)
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=knowledge_center&articleId=9126608&taxonomyId=1&intsrc=kc_top
同業他社はこの事件の詳細についての情報を切望している。

Henry Helgeson, president and co-CEO of Merchant Warehouse Inc., a Boston-based provider of payment card processing services and software. "Everybody who processes card information is dying to know how exactly this happened."
今公表されているのは、ハッカーがカード情報を社内ネットワークで通信されている中から抜き出す機能を持った何らかのマルウェアを設置し、暗号化された通信経由でHeartland社外に持ち出していた、ということだ。
外部からの指摘まで不正に気づかなかったということは、PCIで規定されているセキュリティ管理策の一部が実装されていなかった、あるいは利用されていなかったのではないかという指摘がある。
Gartner Inc. analyst Avivah Litan の指摘：マルウェアに気づかなかったということは、定期的なファイル完全性監視を行っていなかったのではないか。
（11.5 ファイル整合性監視ソフトウェアを導入して...）
Mike Rothman, vice president of strategy at eIQnetworks Incの指摘：外部への通信の監視あるいはフィルタリングがなされていなかったのではないか、
（1.2.1 着信および発信トラフィックを、カード会員データ環境に必要なトラフィックに制限する。）
またファイアウォールやIPSのログ分析も怪しい
（10.6 少なくとも日に一度、すべてのシステムコンポーネントのログを確認する。）

流出したと思われるデータは、磁気ストライプ情報のいわゆるトラック1およびトラック2と呼ばれるデータ。未暗号化PIN,カード検証番号、SSN、ZIP、住所などは流出していない。

もし、被害規模が想像されているようなものだとしたら、カード会社などが全数を再発行することはないだろう。そのためのコストは6億ドルから10億ドルにも上るからだ。（Helgeson)

Heartland tries to rally industry in wake of data breach - Network World

By Ellen Messmer , Network World , 01/23/2009
http://www.networkworld.com/news/2009/012309-heartland.html
HeartlandのCEOがカード処理業界の中で情報共有の仕組みを提唱。
エンド間暗号化の重要性も指摘、ただし現状ではソリューションが存在しない。

Heartland Bank, BofA reissue cards after breach - St. Louis Business Journal:
Friday, January 23, 2009, 6:12pm CST
バンカメとハートランド銀行（Heartland Payment Systemsとは無関係）が、ビザ、マスターから不正利用の連絡があったカードについて再発行を開始。
発行数は未公表。

昼食が新幹線になってしまった。
車内で売りに来たお弁当。
大漁御膳、1100円。
結構おいしかった。

子供の幼稚園でコンサートをやるというので子供を連れて行った。
木琴鉄琴の女性3人組が中心の演奏会だったけど。
ゲストでテルミン奏者がきていて、大掛かりなテルミンを演奏していた。ちゃんとメロディ弾くものなのね、テルミン奏者ともなると。

へえ、Moogはこんな大層なテルミンも出してるんだ、と感心。 右手で音程を制御するほか、左手を上下すると音量が変わる。
これだな。
Etherwave® Theremins Etherwave® Pro
どうやらもう、生産中止らしい。
日本だと、ここで売ってたらしいが。
http://web2.moridaira.com/Moog/theremin.htm
ここも生産/販売終了と書いてある。
海外で$1,579のものが24万円か。そんな値付けなんだろうな、数が出ないもんだと。

奏者は、この人だった。
テルミン奏者Rom Chiaki ((((( Romland ))))))

なんだか、結構お値打ちなものを見てきたのかもしれない。

ちなみに、マリンバも巨大なものが置いてあった。

5オクターブ半くらい。日本で数台しかないといっていた。

まだステルスモードのベンチャー企業のニュース。
Start-up in stealth mode virtualizes memory, shares across servers - Network World

メモリを仮想化してサーバー間で共有する、と書いてあって、えーと仮想メモリのことじゃなくて...と少し考えてしまった。
(そういえば昔はVirtual MemoryのことをVMって言ってたなあ）

RNA Networks, founded in 2006 in Portland, Ore
CEOはVeriLANという会社で無線LAN関連、FounderのJason Grossという人はSilverStorm Technologiesという会社でInfiniBandをやっていた由。
Collaborative Cacheという技術が基盤で、ネットワーク上サーバーのメモリを統合する働きをする。
その上で動く製品として、
・RNAcache - I/Oキャッシュをネットワーク越しに持つ
・RNAmessenger - メッセージ交換基盤でCollaborative Cacheでデータを扱う
ということなので、MPIみたいなネットワーク並列処理用のツールということか。
投資銀行2社が使っているということなので、デリバティブシミュレーションあたりでしょう。
製品はアプライアンスとサーバーにインストールするドライバーとして提供される。

ネットワーク並列はずいぶん前からあまり変わってないみたいだけど、言い方を変えるだけでマーケティング的には効果あるんだろうなあ。

テキサスの会社が、1990年代に承認された特許を根拠に訴訟を起こした。プログラムのAuthorizationだから認証/認可か、と、ハッシュを使ってアプリケーションの非改竄を証明する技術、の2種類。
Apparatusってのは、装置か。

訴えたのは、Information Protection and Authentication of Texas (IPAT) という会社。

対象にされているのはMicrosoft, Symantec and CAのほか、 AVG, Check Point Software, Comodo, ESET, F-Secure, Iolo technologies, Kaspersky Lab, McAfee, MicroWorld Technologies, NetVeda, Norman Data Defense Systems, Novell, PC Tools, PWI, Sophos, Sunbelt Software, Trend Micro, Velocity Micro and Webroot Software.

これはそのまま通っちゃったら、影響大きいだろうなあ。

Major software companies sued for patent infringement - Network World

Patent 5,311,591 is called "Computer System Security Method and Apparatus for Creating and Using Program Authorization Information Data Structures" and was granted in May 1994. The inventor is credited as Addison M. Fischer of Naples, Fla. The innovation is intended to allow a computer user to control how an application behaves in order to thwart other malicious software.

The second one, No. 5,412,717, is also credited to Fischer and was granted in May 1995. The invention deals with using hashes -- unique numerical identifiers -- to ensure an application has not been tampered with.

ポジショニング戦略－世界中で３０年間読み継がれる、マーケターのバイブル アル・ライズ 海と月社 2008.04
Positioning: The Battle for Your Mind by Al Ries (著), Jack Trout (著)

# 単行本（ソフトカバー）: 272ページ
# 出版社: 海と月社; 新版版 (2008/4/14)
# 言語 日本語
# ISBN-10: 4903212076
# ISBN-13: 978-4903212074
# 発売日： 2008/4/14

30年間読み継がれる、と書いてあるけどいつ書かれた本なんだろう。本書中には見当たらない。
原書のクレジットを見ると、March, 1982
Positioning: The Battle for Your Mind
30年はたってない。こんな怪しいコピーつける必要があるのか？。

基本的なテーマは、新製品の発売に際して、ライン拡大(extension)は失敗するので、今まで存在しない位置づけ(ポジショニング)を見つけ出して、新ブランド、そのための宣伝を行いなさい、ということ。
だいぶ前に読んだ同じ著者の本、The Fall of Advertising and the Rise of PR / Al Ries - けにあMemo
でも、盛んにline extensionはだめ、と言っていた。伝家の宝刀なんだろう。

製品展開の安易さや、本質を見誤ったような宣伝キャンペーンなどに惑わされず、買い手の「頭の中に」ポジションを築くことが大事、という教えと、それを実証・反証する事例をが多数紹介されているところがいい。途中で名前付けや国の売り込み、教会やキャリアアップにも応用できる、と道草を食うところは蛇足。飛ばして読んでも良かった。

情報社会で成功するには、消費者の頭の中に確固たるポジションを築かねばならない。自社ブランドの長所や短所だけでなく、競合ブランドの調書や短所も計算に入れて。...コンピュータを最初に発明したのはIBMではなくスペリーランドだ。だがIBMは、消費者の頭の中にコンピュータという商品のポジションを最初に獲得した。だから大成功した。

また DNS に脆弱性？ - japan.internet.com Webテクノロジー

DNS サーバー『BIND』の開発を率いる Internet Systems Consortium (ISC) は7日、特にこれといった発表もなく、BIND の複数バージョンに対するパッチをリリースした。

今回のパッチで対応した脆弱性は、DNS にセキュリティ層を追加するための機能拡張『DNSSEC』(DNS Security Extensions) のエレメントに影響するものだ。

DNSSEC の考え方は、デジタル署名のあるドメイン情報をグローバル DNS システムに付加するというものだ。DNSSEC で肝心な点は、署名付きドメイン情報の暗号化にある。BIND の場合、暗号化には『OpenSSL』ライブラリの一部を用いている。OpenSSL は、暗号化技術『SSL』のオープンソース実装版で、BIND に影響を及ぼすおそれがある署名検証の欠陥が、この部分に見つかった。

IDアクセス管理って言うのか。 報道発表原文だと、Identity Access Managementと書いてある。IdentityとAccessの管理って言うことかな。
会社はAtlantaにあり、4月予定のGAまでにPHPクライアントを含めた機能拡張を行っていく。
http://www.accesstream.com/

オープンソースのIDアクセス管理「AccesStream」が登場 - SourceForge.JP Magazine
オープンソースのIDアクセス管理「AccesStream」が登場
2009年01月05日 11:53AM

　米AccesStreamは1月2日（米国時間）、ID・アクセス管理ソリューション「AccesStream」のベータ版をオープンソースとして公開した。同社Webサイトよりダウンロードが可能。エンタープライズ級のIDアクセス管理技術を目指す。

　AccesStreamは、Javaベースのエンタープライズ向けIDアクセス管理技術プロジェクト。認証、監査、レポーティング、ユーザープロファイル管理、セキュリティポリシー、シングルサインオン、ディレクトリのサポートなどの機能開発を目指す。

　今回のリリースはベータ1となり、SAML HTTP POSTバインディングを利用したシングルサインオン、JAAS（Java Authentication and Authorization Service）サポートなどを特徴とする。ライセンスはLGPL（GNU Library or Lesser General Public License）。今後、エンタープライズ向けに機能を拡充し、4月に正式バージョンをリリースする予定だ。

　同社によると、現在エンタープライズ向けのID管理技術はプロプライエタリベンダーが独占している状態で、AccesStreamによりコスト効果の高い代替ソリューションの提供を目指す、としている。

米AcessStream
http://www.accesstream.com
末岡洋子

* 認証
* 末岡洋子
* エンタープライズ
* オープンソース
* セキュリティ
* ニュース

2009年01月05日 12:00PM 更新

On botnets, encryption and mega-worms: Security predictions for 2009 - Network World

Network Computingによる2009年セキュリティ予測。
こういうところに書かれない事が勃発するんだろうなあ。

1. ホストベースのセキュリティが重要に - Windows 7のリリース、Mac OSやLinuxのデスクトップへの普及で


2. モバイル･セキュリティへの不安と製品が拡大


3. 暗号化の拡大 - HDD暗号化は普通になってモバイル機器の暗号化に移行、っていうけど、そうかなあ


4. 悪いニュースはない - 大規模なワームがなくなってニュースにならなくなる、ただしステルスなワームが浸透


5. 新しいボットネット、どんどん大規模に


6. 期性コンプライアンスの復讐 - 不祥事の続発で新しい規制の波、「SOXは大変だったって？まだまだ」


7. セキュリティ対策の予算どりが難しくなる