shoda T.的うぇぶログ

立場上、あまり公にこんなことは書きたくないのだか、どうにも釈然としないもやもやっとした気持ちがあるので敢えて・・・オフレコみたいなもんかな（笑

他でもないが、情報処理推進機構・セキュリティセンターが公表した　Lhaplus の脆弱性についての報告だ。

「Lhaplus」におけるセキュリティ上の弱点（脆弱性）の注意喚起

疑問のひとつは、なぜ Lhaplus だけが？と言うこと。そしてもうひとつは・・・
実は Lhaplus の脆弱性の問題は今回が初めてではない。上記の報告にも言及されているが、過去にも二回同様の報告があり（2007/9/21と2007/11/22）、そのつど修正されている（この種の報告はベンダーが修正してから公表されることが多い。11/22のものは実際には10/13に報告があったものだし、今回のものは2/13の報告の分の、修正を待っての公開だ。9/21については情報がないのでわからない）。

今回の報告については、元々の脆弱性の報告が「(株)フォティーンフォティ技術研究所　鵜飼 裕司氏｣によってなされたものであることが明記されている。
また、日経パソコン（オンライン）の記事によれば2007年9月の報告も鵜飼氏によるものだという。
さらにセキュリティセンターの報告を注意深く読めばわかるが、いずれも

Lhaplusは、電子ファイルのデータサイズを小さくすることなどを目的に、データを圧縮して保存したり、またその圧縮したデータを元のデータに戻したりする機能を持つソフトウェアの一つです。Lhaplusが対応する圧縮形式には、lzh形式やzip形式などがあります。

　Lhaplusには、ファイルの展開処理に問題があり、バッファオーバーフローというセキュリティ上の弱点(脆弱性)が存在します。

となっていて・・・つまりは三件とも鵜飼氏によるリサーチ＆報告であることが類推される（あくまで類推の域を出ないけれど）。

何が釈然としないかと言うと、

１．そもそもなぜ Lhaplus なのか。というか、Lhaplus だけなのか？

２．三回それぞれ別の脆弱性だとワザワザ明記されているが、いずれもバッファオーバーフローと言う「古典的」な凡ミス（と言うか・・・これは後記）なのに、なぜ最初の報告の時に他もわからなかったのか？

３．経歴を見ると、鵜飼氏や彼の属する(株)フォティーンフォティ技術研究所は怪しげな会社ではなさそうなのだが、なぜにこれほどまでに Lhaplus に執着しているのか？

まず１．についてが最も謎だ。
そもそも、展開（解凍）処理の主要なコード部分と言うのは、Lhaplus 作者が独自に開発したものではなくて、LHA.EXE （またはその派生物）からの流用だ。この点に関しては、本家LHA.EXEはもちろん、ｌｚｈ展開をするソフトのほとんどすべて（一部のzipや他の形式の展開も含む）と言っていいくらい、この流用コード物なので・・・
もちろん独自に脆弱性を修正したソフトもあるはずだから、すべてがすべてこの脆弱性を持っているとは言わない（われらの UNLHA32.DLL もＭｉｃｃｏさんが精力的に修正しているので、もう残っていないはず）。
Lhaplus は日経パソコンの勝村氏によれば「国内で広く使われている」とのことだが、それほど突出しているわけでもない。まぁ、多くのユーザがいるのは事実だろうが・・・他にも同様の脆弱性を抱えたままで広く使われているソフトも何種類かあるはず（めんどうなので調査なんかしないが：ｗ）。

２．も、専門家が徹底調査したうえ、開発者が見直したのなら三回に分けて出て来ないと思うのだ。実際、同じ鵜飼氏による調査と見られる、ジャストシステム「一太郎ファミリー」における脆弱性と言う報告が1月7日に出ているが、こちらは一太郎、花子などを一括しての報告だ（鵜飼氏の指摘は一種だけだったのかも）。

逆に言うと、情報処理推進機構が公開している脆弱情報の中で、鵜飼氏の関与していると見られるのは Lhaplus とジャストの一件だけだ。だから、Lhaplusごとき（敢えてこう言い切るが：ｗ）に、三回も執着している点が解せないのだ。
たまたまなのか？
鵜飼氏が Lhaplus ファン（想像にすぎませぬ）だから？
それとも？？？
なお、Lhaplus の最初の報告の後、フォティーンフォティ技術研究所は、情報処理推進機構が公募した何件かの調査研究案件に選ばれている・・・

注記：「バッファオーバーフロー」について。
要するにソフト内部に確保したバッファー領域のサイズを超えるようなデータが来た場合に、予想しないような部分が上書きされてしまうというバグの一種。これを防ぐには、その都度データのサイズがバッファーに収まるかどうか、サイズチェックすれば良いだけのこと。
上記では「凡ミス」と書いたし、2008年時点での常識から言えばバグであり、ソフト開発者の凡ミスと言い切ってもいいと思う。
ただ、歴史的なことを言えば、昔はメモリーも高価でプログラムサイズは１バイトでも減らしたい、と言う状況でもあった。そんな状況下で、いつ起こるかわからない（まず起こりえない）予想外の大きなデータのためにサイズチェックするコードと言うのは余計な物でもあった。だから、プログラムサイズを詰めるために、敢えて無視した（つまりチェックしないと言う）設計をするのは常でもあった。その時代には、敢えて抜いたのであれば、それは「凡ミス」でも「バグ」でもなく、むしろ・・・まぁ、それで褒められるってことはなかっただろうが、十分に理屈にあった設計ではあったわけだ。
元々のLHA.EXEも、そんな時代に生まれ育ったソフトだ。チェックコードが入っていなかったからと言って、設計者を責めるわけにはいかない。

Webページを生成するWebアプリの一部であるSQLサーバの脆弱性を、SQLインジェクションと言う手法で攻撃してWebページを改ざんし、アクセスしたPCへウィルスをダウンロードさせる「仕組み」を組み込んでしまう大々的な攻撃は昨年あたりから増加を見せているが、3月には日本をターゲットにした攻撃も確認された。その後も同様の攻撃は、世界中で止まることなく続いているようだ。
エフ・セキュアが Google 検索などを使ってリサーチした結果では、今もなお50万ページ以上の改ざんの跡が残っていると言う。

こう言った改ざんを行うツールとして、MPackやIcePackなどが知られているが、新たにTornadoと呼ばれるツールの存在が確認されたと言う。これまでのツールと異なり、単独のソフトとして配布（販売）されているのではなく、Webアプリのようなサービスの形態でのみ販売されているため、なかなかセキュリティ企業の「調査・研究の網」にも引っかからなかった。

一方、昨年あたりから出回り始めたAdobe Readerの脆弱性を付くPDFファイルに仕込んだウィルスによる攻撃も増加しているようだ。
このタイプの攻撃では、特定の企業や組織だけを狙って専用のPDFを作成したものも多く、セキュリティ企業もなかなか把握しきれないようだ。

現在は今年2月に公表された脆弱性を突くものが主のようだが、Adobe Reader の最新版(ver 8.1.2以後)では対策済みなものの、まだまだアップデートされていないPCも多数存在するため、被害も増加している模様。
感染した場合も、表面的にはほとんど目立たないため気づかないことが多いと言う。
常に最新版にアップデートの鉄則は、Windows や関連のＭＳ製品だけでなく、ブラウザやブラウザのプラグインなど、ますます広範囲に及ぶものとなって来た。

米US-CERT が23日発表したところによれば、新たにQuickTimeに脆弱性が見つかったと言う。細工をほどこした QuickTime のムービーファイルを読み込むだけで仕込まれた悪質なプログラムが実行される危険性があるという。
現在のところ、まだAppleからは修正版やパッチは公開されていない模様。

これ以外にも、チベット解放運動に取り組んでいる活動団体幹部を狙って関係者を偽装して履歴書に見せかけたウィルス（？）を送りつけて来たと言う事件が報じられたり、ウィルスそのものも、何段階かに分けて（必要なモジュールをダウンロードするなりして）自身を「バージョンアップ」するタイプなど、動作や機能をわかりにくくしたものなどの存在が確認されたりしている。

ウィルスをはじめとする悪意なソフト／攻撃は、単なる技術的な興味や悪戯の時代から、商売道具（広告や脅迫など）としての使用、さらにテロ紛いの道具としての使用などへシフトして来ているだけでなく、不特定多数への無差別攻撃から、特定の相手を狙ったピンポイント攻撃へ（それだけ特定出来にくくなっている）、益々悪質で巧妙なものへと変質して来ているようだ。

ファーストサーバから臨時（と思われる）のニュースメールが来た。
「ファーストサーバご利用中のお客様へ」となっていて、代表取締役社長から取締役を辞任する旨の申し入れがあって臨時取締役会を開き、新しい代表取締役社長を選定したという。

なんだこりゃ？と、普段なら取締役の交代など聞き流すのだけど、そもそもなんで一般ユーザにまで？？と気になって検索してみた。
う?む、である。そんなことがあったのか。それにしても・・・系列下とは言え、３５歳で社長を任され、現在４２歳。その間に会社は系列替えを経験しているが、社長としては続投。かなりのプレッシャーがあったことは事実だろう。・・・が・・・

１９日と言えば土曜日。東京出張からの帰り、酒は飲んでいないと言うが・・・気が緩んだのだろうか。それとも神経をすり減らしていたのか。
いずれにしても名古屋行きのこだまに乗っているのも謎だが、調べに対してあいまいな返答を繰り返したり、以前にもやっていたと言う謎の答えなど、やはりどこか箍が外れてしまっているようだ。
う?む、である。
この業界・・・とたぶんマスコミは一口で言い含めてしまうだろが、この会社、普通のＩＴ系企業とはかなり肌触りの違う会社のはずだ。

元々、ファーストサーバはクボタのシステム部門が独立したクボタシステム開発（株）と言う会社で始めたレンタルサーバ事業が独立して成立した会社だ。当時はうちの会社とは、淀川を隔てた対岸くらいのところに会社があった。だから、と言うわけでもないけれど、設立間もない頃にレンタル契約をして、今日まで来てる。madobe.net の方だけど。
その後、本社は今の住所（中央区安土町・・・平ったく言えば本町から北浜へ続く大阪の商業の中心地だ）に引っ越しているが、生粋の大阪企業だ。
ところが本体のクボタの事業見直しのあおりを受けて、2004年秋には全株式がヤフーに売却され、ヤフーの子会社になるのだ。ただ、その後も本社は大阪にあり、社長も社員もそのままだから、おそらく社風としてはヤフーとは相容れないクボタ流を保っていると思われる。
まぁ、クボタといえば一般には農機具のメーカと思われがちだが、元はと言えば久保田鉄工と言う、れっきとした鉄工メーカであり、現在も主力は鉄鋼（元々が鋳物メーカ）や鋼管とその関連商品（建機や農機）で占めているはずだ。そんなクボタの中で、コンピュータ関連やネット関連は傍系のどうでも良い事業であったわけだ、結局は。

ま、そんな位置づけのファーストサーバの社長としての日々・・・どんなものだったのか。さらに全く社風の違うヤフーグループになって、社員は大阪を中心としてヤフー本体との接触はあまりなくて自由にやっていたかもしれないが・・・社長は毎度の東京（ヤフー本社）詣でに・・・やはり、あれこれあったのだろうな、と言う気はする。一方で、歳から言っても新人類世代だし、ブログの内容を垣間見ても、クボタはもちろん、ヤフーの社風にも馴染むとは思えない部分もありそうだ。
いったい何が起こったのか、それは本人だけが、いや本人さえも知らないのかもしれない。魔がさす、とはまさにこういうことなのか。

＃自分にトラバってみるテスト :-)

じゃなくて・・・せんとくん
以前にキモイだけじゃなくて、問題大有りじゃないかと書いた平城遷都1300年祭のマスコットキャラクターだけど、愛称だけ公募すると言うわけのわからん愚挙に出たわけだが（だったらキャラ自体も公募しろよ）、キモイ悪評のおかげか、たくさん応募があった結果「せんとくん」と言う、まぁ、なんのひねりもないミスマッチっぽい愛称に決まったわけだ。
ところが案の定、そんなありきたりな愛称はとっくに存在してたわけだけどね（笑
それも遠い海の向こうの話じゃなくて、同じ「遷都」にちなむ、それほど遠くもない神戸でのだなんて・・・ちゃんと調査しなかったんかい。

平城遷都１３００年記念事業協会は「福原のキャラクターも、 把握していたが、１回限りの催しと認識していた。

一回限りかどうかなんて関係なし、そんなことは調べればすぐわかること。
いや、カタカナとひらがなの違いはあっても同じ名前なら、決める前に調べが付いてるなら仁義を通すのが日本人でしょ？（笑
いや、日本人じゃなくてもそんなこと・・・公にやってる事業なら、当然のことやろ。

しっかし

実行委事務局長の玉川侑香さん（６０）は「奈良の名前を知ってびっくりした。商標登録が必要だった。もう少し可愛ければ、仲良くしやすいのだけど……」と困惑気味。

「もう少し可愛ければ、仲良く」・・・不覚にも笑った（ぉ

ヘビロテ中
しかし改めて two you だろうか、two unit だろうか、とか色々・・・まぁ、いろいろ多重人格なんだろうが（謎
激しく始まって、静かに終わる。この順はなんの順？
オリオンで始まってオリオンで終わる。これまた何の順？

いずれにしても、曲数も曲順もずいぶんと良く練ったみたいだ(^^ゞ
少し（曲数が）物足りなかった陽炎ライブ盤に、さんざん愚痴った成果だろうか（笑
しかしいじわる猫がなあ。やっぱりちとミスマッチ。

それにしても歌詞が言葉がクリアだ。ダイレクトに伝わってくる。
改めてPANTAの詩の深さに感動し、今まで気づかなかった、ほんのわずかであっても聴き漏らしてた意味に愕然とする唄たち。
音を減算し、研ぎ澄ました響ならではなのか。しっかりと歌詞カードを睨みながら歌えたからこその成果なのだろうか（笑

選曲と曲順、そして深層の令状たち・・・これはPANTA版の「幽閉者」なのか？

某（笑）ホームページのタイトルだけど、まぁイチオウは「統合アーカイバ・プロジェクト」となっているわけだが、なぜか「総合」と間違える人が多い。
それを知ってか知らずか、Google で「総合アーカイバ」で検索すると、親切にも

>>もしかして: 統合アーカイバ

と誘導してくれる（笑
検索件数は「約 34,200」件（絶句
「統合」だと、なんと「約 15,500」件。つまり「総合」の方が圧倒的に多いのだ（涙）。
それにも関わらず「統合アーカイバ」を正当と認めている Google は偉い！

でもまぁ、「統合」と「総合」・・・字も似てるし、意味も被さる部分があるので間違えても仕方ないか、ということはある。
実際、意味の使い分けなんてしてない人も多いしねぇ。
だから私としては全然気にしてないのだけれど・・・と言うか、そもそもなんで「統合アーカイバ」なの？と言う部分で説明不能なこともあるし（笑
＃ま、その話はまた別の機会に。

ただそれはやっぱり違うんじゃないの？と思うことは何度もある。
たとえばこれだ。

日経PCオンライン： 便利なユーティリティソフト（第10回）丸投げすれば目的達成の簡単圧縮・解凍ツール

個人のブログやホームページの誤記なら、やれやれこの人も間違ってるよ、くらいにしか思わないが、雑誌やこの種の大手マスコミが表立ってやってる記事にある間違いと云うのは気分の悪いものだ。
特にこの記事の場合

>>次に、「総合アーカイバDLL自動インストーラ」で、ここも「開始」をクリック

と書かれた直後に、そのダイアログ写真が掲載されていて、そこにはハッキリと「統合アーカイバ」と書かれているわけだ（笑
ま、でも著者も人の子、誰も人の子・・・間違い勘違いは誰でもするものだから、それを責めるつもりはない。

でもこれって日経パソコン本誌には掲載されたわけではないようだが、編集者の校正を経て、日経パソコンのオンラインコラムとして掲載されているものなのだ。最終的な責任は日経ＢＰ社が負っているのではないのか？
編集のプロがこんな単純な誤記さえ見逃すとは・・・

いや、実は誤記そのものをとやかく言っているのではない。
ここからが本論になるのだけれど（笑）、実はこの記事を見て、さっそく訂正を入れた。
残念ながらこの記事にはコメント欄がないので、読者用の質問フォームからメールしたのだが、未だに返事もなければ訂正される気配もない。
仕方ないので著者のブログでちょっと愚痴ってみた（笑
こちらはすぐに反応があって、質問フォームはちゃんと機能していて編集が読んでいるはずだという。訂正されないのは、たぶん著者の表現を大切にすると編集側が判断したのではないか？との事。

しかし、である。
著者を責めても仕方ないので、こちらで書いてるわけだが・・・たしかに「総合」と「統合」なんて紛らわしくて間違えやすいかもしれないし、違えたところでたいした違いもない・・・だから、問題はそんなところにあるのではない。
敢えて言うけれど、イチオウ「統合アーカイバ」と言うのは一般名詞として使ってるわけではなくて、固有名詞なのだ。
仮にもわが国を代表する大マスコミが、固有名詞を間違えた記事をそのまま掲載すること自体も問題だが、それをわざわざ指摘してあげているのに、まったく無視したまま、と言うのはどういうことだろう？
記事の訂正は「著者の表現を大切に」したいのでやらないと言う方針であれば、それを注釈として記載すべきではないのか？
さらに言えば、仮にもどこの馬の骨かわからないかも知れないが、間違いを指摘してあげているのだから、一言説明くらいあってしかるべきだろう。こっちはちゃんとメールアドレスも書いているのだから。

たかがチッポケな「統合アーカイバ」などどうでもいいのかも知れないが、一事が万事とも言う。
しょせん日経なんてその程度のものなのか、と思わざるを得ない。

8日、デジタル放送推進協会（Dpa：放送業界と家電メーカーで組織）は、PCで地上デジタル放送を視聴・録画するためのチューナ（フルセグ仕様で内蔵またはUSB等で接続）の開発を容認する方針を決定した。
⇒ http://www.dpa.or.jp/news/news080408.html

これにより、地デジに未対応の市販PCや自作PCでも地デジが視聴・録画できるようになる。ただし録画された番組を外部の記憶装置に持ち出せない機能の搭載などを条件とする。
実際には関係各社ではすでに開発を終わっており、早いところでは今月中から出荷を始める見通し。

これまで、外部チューナ(ワンセグは除く)は番組の不正コピーの温床となる懸念が指摘されて市販が認められていなかった。また海賊版のような形ですら販売されていなかったのは、受信にはチューナだけでなく、暗号化された放送データを解読するための「B-CAS」カード（ICカード）が必要だが、関係業界・企業が集まって設立した(株)B-CAS社（http://www.b-cas.co.jp/）が審査基準をパスした機器に対してのみ発行する仕組みになっているからだ。

突破口を開いたのは、昨年末ごろから出回っている「フリーオ(Friio)」と言う海外製のPC向け地デジチューナだ。一部では違法チューナと言う報道もあるが、このチューナの販売自体は違法ではない（録画データを暗号化してないなど、技術的には違法と言うか、業界規定を遵守してないが・・・）。
FriioはB-CASカードの交付を受けておらず、B-CASなしで出荷されている。
あくまでもユーザが手持ちのB-CASカードを使用することを前提としているわけだ。しかし対処方法（再発行を受ける等）を提示しているなど、合法とは云え限りなくグレーであるのも確か。

加えて、正規にB-CASカードの交付を受けているメーカが、本体に作りつけあるいは出荷時から内蔵した状態での販売は可能だった事も大きいと思われる。後付け（単体販売）だけ禁止する正当な理由がないし、地デジPCの販売が思ったよりふるってないのも遠因にあるようだ。
後付けチューナだけを禁止する法的根拠もない上、Friioの販売を禁止する事も出来ないため、最初からB-CASを添付した後付けチューナの販売を容認することで、Friio（とそれに続くであろう「海賊版」）の存在を葬り去ってしまおうと言う事だろう。

いずれにしても、B-CASと言う日本独自の特異な対処法を取っている事や、録画回数だけでなく、再生機器にまで制限を加えた今回の対応では、第二、第三の Friio を抑制することは出来ないと思われるのだが・・・

びっくりしたぁぁ

やっぱり日本限定かなぁ、これ・・・

与野党のかけひきの果てに、31日で租税特別措置法は失効した。
租税特別措置法は昭和21年に制定された後、昭和32年に全面改訂が行われた。この法律の目的は既存の所得税、法人税、相続税、贈与税、地価税、登録免許税、消費税、酒税、たばこ税、揮発油税、地方道路税、石油石炭税、航空機燃料税、自動車重量税、印紙税その他の内国税の規定に対して暫定的な特例を定めることにあり、対象税も広範囲に及ぶ。
全文⇒ http://law.e-gov.go.jp/htmldata/S32/S32HO026.html

したがって今回の期限切れで、ガソリン税以外にも多くの税について税額や提出期限等が本来のものに戻ることになる。
今回の争点となっているのは道路特定財源であり、それ以外の税に関しては争点となっていない。特にオフショア市場の預金利子非課税措置等、国内外への影響も大きいため、与野党の合意により、ガソリン税（揮発油税など）以外については継続して暫定措置を継続することを定めた「つなぎ法案」が31日に参議院本会議で可決・成立した。衆議院については、すでに本法が可決しているので、とりあえずガソリン税以外は現状を維持することとなったわけだが・・・

租税特別措置法については、引き続き早急な可決を目指して与野党の攻防が続いている。

1日、期限切れでガソリン税は本来の税率に戻ったわけだが、実際に適用されるのは１日以降にもと売りから出荷される分についてである。
ただ、価格引下げを絶好の商機と見た多数のガソリンスタンドでは、出荷分を待たずに1日から先取り値下げを行っており、混乱を生んでいる。

そもそも、租税特別措置法は暫定措置を定めた法律であり、時限法となっているのは、短期間の措置を前提にしてのはずだが、ガソリン税を始めとして長期間暫定措置を続けている税も多い。
ひとつの暫定法の規定で多数の税をひっくるめられ、審議等が簡単に済むメリットもあるのだろうが・・・本来は税率の変更が長期に及ぶ場合は本則の改定を行うのが筋だろうし、諸外国ではほとんどそのようにしているという。
それが日本だけ暫定法での「上書き」だけで済ませているのは何故か？
一説には、政治家の政治資金確保のために本則の改定に乗り気ではないためと云われている。
つまり・・・毎回暫定で更新して行けば、そのたびに関係団体からの陳情（とそれに伴う・・・）が・・・本則を改定してしまえば一回こっきり。
うぅむ(-_-;)