ブロードバンドルータに対する新種ファーミング攻撃、Symantecが警告

米Symantecのカナダ支社は15日、米Indiana University School of Informaticsとの共同研究の結果を受け、家庭のブロードバンドルータに対する新種の攻撃に注意するようインターネット利用者に注意を呼び掛けた。同大学独自の調査によると、家庭のブロードバンドユーザーの約50％が攻撃対象となる可能性があると推測している。

これまでにもコンピュータのホストファイルを書き換えたり、DNSを操作することによってユーザーの意図に反して偽のWebサイトに誘導するという、いわゆる“ファーミング攻撃”は知られていた。今回発見された新種の攻撃は、これをユーザーのPCにではなく、ブロードバンドルータや無線LANアクセスポイントに対して仕掛けるというものだ。

この攻撃はブロードバンドルータの設定を変更するJavaScriptコードを読み込ませることによって行なわれる。一度ユーザーがそのようなリンクをクリックすると、ユーザーのルータのDNS設定が変更される。その後はユーザーがWebサイトにアクセスするたびに攻撃者がDNSを自在に操作することになる。

この結果、例えばユーザーは銀行のサイトにアクセスしているつもりでいるのに、実際は全くそっくりの形をした偽のサイトにアクセスしていて、重要な情報を入力してしまうといった事態が考えられる。

このような攻撃が可能になるのは、多くのブロードバンドルータがパスワードによって保護されていないか、あるいは簡単なパスワードが使用されていることによるという。実際、ほとんどのルータはよく知られたデフォルトパスワードのまま設定されており、変更されていないことが多いとしている。

そのためSymantecではこうした攻撃への対策として、ルータのパスワードをわかりにくいものに変更すること、総合的なセキュリティソリューション（例えばウイルス対策、ファイアウォール、侵入探知、脆弱性保護など）を備えたものを装備すること、自分が知らない人物からのメールに含まれているような怪しげなリンクを決してクリックしないこと──の3点を挙げている。

MS、「Sender ID」のライセンスをオープンソース向けに修正

Microsoftはスパム対策技術「Sender ID」のライセンスを変更したことで、「オープンソースユーザーによる採用を妨げる要素は何もないはずだ」と主張しているが……

米Microsoftはスパム対策技術「Sender ID」の新しいライセンス契約について、わずかながらも情報を提供し始めている。Sender IDは同社が今年2月に提案したスパム対策技術「Caller ID for E-Mail」のアップデート版だ。

新しいライセンス条件がオープンソースコミュニティーにも受け入れられるほど十分にオープンなものかどうかは、まだ不明だ。

このライセンスは、現在多くのスパム業者が利用しているメールのスプーフィング（偽装）を減らすために開発されたメール認証規格に関するもの。

現在、Sender IDはInternet Engineering Task Force（IETF）のMTA Authorization Records in DNS（MARID）作業部会において、インターネット標準候補として検討されている（8月5日の記事参照）。同作業部会の決まりによれば、同規格は今月末までに標準案として提出される見通しだ。

Sender IDは今年6月、Caller ID for E-Mailとメン・ウェン・ウォン氏が開発した「Sender Policy Framework（SPF）」技術が統合され誕生した新規格だ（5月26日の記事参照）。

だが、この組み合わせは幾つかの新しい問題を生んだ。SPFはSendmailやPostfix、Qmail、EximといったオープンソースMTA（メッセージ転送エージェント）で人気の規格で、これらは各種のオープンソースライセンスのもとで同ソフトをライセンスしている。だが、もう一方のCaller ID for E-Mailは特許使用料は無料だが、ライセンスに幾つかの条件が含まれるため、この2つの技術が統合されて以来、その点が問題となっている。

Microsoft Exchange担当のプログラムマネジャー、ハリー・カッツ氏は最近、MARIDのietf-mxcompディスカッションリストに新しいライセンス契約に関する情報を投稿した。そのコメントには、「われわれはこの数週間、当社のロイヤリティフリーのCaller IDの特許ライセンスについて多くの人たちと意見を交わしてきた。そうした話合いの結果、またSPFとCaller IDの要素を統合してSender IDを作った経緯から、当社はこの特許ライセンスに多くのアップデートを施した」と記されている。

さらにこのコメントには、新しいライセンス契約の条項に関するFAQシートも含まれていた。新条項には、オープンソースコミュニティーに譲歩するための、小さいが重要な改訂が幾つか含まれている。

例えば、Caller ID for E-Mailの当初のライセンス契約の第2.5項では、ソフト開発者がこのライセンスをダウンロードして署名し、この技術を使ってアプリケーションを開発して、それをほかのベンダーのアプリケーションとバンドルしたり、配布したりする場合、そのベンダーはまずライセンス元の許可を得て、さらにはCaller ID for E-Mailのライセンス契約に署名しなければならないことになっている。

オープンソースグループはこうした条項に難色を示していた。彼らにとって、オープンソースコードとは自由に交換、修正できるものだからだ。Sender IDのライセンス契約では、この条項が排除されているほか、エンドユーザーに関する別の条項にも次のように改訂が加えられている。

「ここで明言しておくが、本契約はライセンシーによるライセンス実装のソースコード実装を受け取る者が本契約または当社のそのほかのライセンス契約を受け入れることを義務付けるものではない。ライセンシーのエンドユーザーは、本契約の第2.2項（ソースコードの配布）または第2.1項（特許ライセンス）でライセンスされた実装を、本契約に署名せずに、ライセンシーから直接または間接に受け取り、使用できる。本契約はすべての関係者に平等に提供される」

だが、依然として問題は残っている。1つは、新しいライセンスにも、ソースコードの配布に関して「譲渡できない」場合や「2次ライセンスを認めない」場合などの条項が残っている点だ。もう1つは、Microsoftがこのライセンスを郵便かFAXで送信するよう求めている点だ。

そのため、最も一般的なオープンソースライセンスであるGeneral Public License（GPL）の下では、Sender IDの利用が妨げられる可能性がある。新しいライセンス契約に関するFAQシートにおいて、Microsoft幹部が「オープンソースユーザーによるSender IDの採用を妨げる要素は何もないはずだ」と述べており、オープンソースに関する懸念はこのFAQシートにより一部は解消されている。このFAQによれば、SendmailやPostfix、QMailなどで使われているライセンスと（Sender IDと）の間に「具体的な相反点」は何もないという。ただしこの中では、GPLライセンスを採用しているEximについては言及されていない。

MARIDにとっては、Sender ID標準案を広く普及させることが重要となる。同技術の成功は、どれだけ多くのメールサーバに採用されるかにかかっているからだ。ディスカッションリストで活発に発言しているメンバーらによれば、現状のライセンス条件のままでは、同技術の採用は妨げられ、オープンソースコミュニティーは別の認証規格を採用せざるを得なくなりそうだ。

この新しいライセンス条件に関するMicrosoft幹部のコメントは、本稿の掲載に間に合わなかった。同社は9月半ば以降にこの新しい契約を自社のWebサイトに正式に掲載する予定という。

さらにMicrosoftは、Sender ID技術の特許権を請求しているとされている。IETFによれば、同社は米特許商標局（USPTO）に特許を出願中という。今月のIETF MARIDの会合で、同グループはMicrosoftが出願中の特許について説明する期限を8月23日に定めている。

カッツ氏はディスカッションリストに、知的財産権（IPR）情報の最新版をポストし、この説明を提出したと説明している。Microsoftによれば、E-Mail Messages規格で併用するSender IDとPurported Responsible Address（PRA）が特許出願中という。

多くのオープンソース支持者は、自社が出願中の特許についてMicrosoftがなぜこれほど話したがらないのか、そしてなぜIETF RFCに選ばれる可能性のある技術に特許が必要なのかという点を訝っている。

今のところ、MicrosoftはFAQシートで次のように説明している。

「小規模企業であれ大企業であれ、研究開発に相当の資金を投じている大半の企業と同様、Microsoftも日常的に研究開発の成果を特許申請している。オリジナルのCaller ID for E-Mail技術の特許申請は、Caller ID仕様をIETFに提出しようと決めるはるか以前に提出したものだ。特許申請は非常に長い時間がかかる手続きで、どの申請が認められるか、あるいはそうした特許の適用範囲がはっきりするまでには、まだ何年も時間がかかるだろう」

カッツ氏はディスカッションリストに投稿したコメントで、問い合わせはすべて同社の法務部門に送るよう要請している。

SETI Instituteの上級UNIXシステム管理者マーク・ラングストン氏は、ietf-mxcompディスカッションリストに投稿し、根本的な問題は採用だと指摘している。

「この実装の採用、不採用を迷っている人たちは、特許請求の問題やライセンス条件の問題を理由に採用を避けようとしている」と同氏。

「私もソフトを書いている。ライセンス条件やMicrosoftの特許請求の影響についてはとても懸念しているし、混乱もしており、とてもSender IDを安心して実装できる状態ではない。Sender IDを採用した場合の自らの責任義務について理解するためだけに、弁護士を雇うわけにもいかない」とさらに同氏は続けている。

ApacheなどのオープンソースグループがSender IDに懸念を表明

The Apache Foundationが、Microsoftの示すライセンス要件が厳しすぎるとして、スパムメール対策仕様標準「Sender ID」への支持を撤回した。

オープンソースのソフトウェア開発グループ、The Apache Foundationは米国時間2日、スパム対策標準として提案されている「Sender ID」に関して、Microsoftのライセンス要件が厳しすぎることを理由に、この支持を撤回した。

このスパム対抗技術への自社の貢献部分に厳しいライセンス要件の適用を求めるMicrosoftに対しては、人気の高いApacheウェブサーバを管理する同グループのほかにも複数のオープンソース開発者が懸念を表明している。

同グループは2日、同技術について話し合う技術委員会に宛てた書簡のなかで、「現状のライセンスは、オープンなインターネット標準の手法に反しており、Apache License 2.0をはじめ、概してオープンソースとは矛盾すると思われる」と述べている。

Sender ID標準のライセンス要件に対する批判は、この標準候補に対する意見請求への回答の形で公開された。この請求は、Internet Engineering Task Force（IETF）でSender IDを担当する作業グループの議長から出されていた。Sender IDは、メールの発信者を確認してスパムをブロックするためのもの。ほかにも多くの意見が寄せられているが、その圧倒的多数は、新標準と、この仕様にライセンス要件を課そうとするMicrosoftに対して批判的なものとなっている。

同作業グループのあるメンバーは、「Sender IDの放棄に関する動議」というタイトルの書き込みに「MicrosoftがSender IDに対して特許請求を行えば、（同仕様は）オープンソースコミュニティの標準にはなれない」と書いている。

この問題に関してMicrosoftの関係者からコメントを得ることはできなかった。

オープンソースの開発者らは、このライセンス条項の多くに対して不安を抱いている。Open Source Initiativeの法律顧問、Larry Rosenが行った分析によれば、Microsoftのライセンスでは、Sender IDを自社製品に組み込むメールサービスプロバイダーは、利用している顧客の情報をMicrosoftに提供しなくてはならない。この分析によると、同社はこの技術に関して申請中の特許がほかにあることをIETFに伝えていない上、このライセンスはオープンソースの開発グループと相容れず、ユーザーに米国輸出規制法の規制に従うよう求めているという。

Sender IDはすでに提案されている2つの標準を組み合わせたもので、メールメッセージの発信元アドレスがそのメッセージの本当の発信元であるかどうかを明確に特定するシステムが構築できるようになる。仕様の1つであるCaller IDはMicrosoftが提案し、もう１つのSender Policy Framework （SPF）は、電子メール サービスプロバイダーのPobox.comを設立したMeng Wongが提案した。この標準でMicrosoftの技術を利用することは、潜在ユーザーがコードを利用する前に同意を求められるライセンスを同社が指定できることを意味する。

8月30日には、オープンソースのメールサーバ「Sendmail」を開発する同名のグループが、どのバージョンのSendmailにもSender IDの機能を付加できるようなモジュールをリリースしている。「milter」と呼ばれるこのモジュールはオープンソースだが、ユーザはやはりMicrosoftがライセンス契約で課す制限に同意しなくてはならない。

▼ 「Googleニュース」が日本でもスタート～ニュースソースは600サイト以上

グーグルは1日、ニュース情報リスティングサービス「Googleニュース日本語版」をスタートした。600以上の日本語ニュースサイトを対象としており、分単位でニュース見出しを表示するという。

Googleニュースは、米Googleが2001年12月に開始した「Google News」の日本語版。「トップ記事」「社会」「世界」「経済」「政治」「文化／芸能」「スポーツ」「科学／ニュース」といったカテゴリ別にニュース見出しを表示する。各見出しは、マスコミ各社のサイトに対して、Googleの検索機能と同様にクローリングして分単位で収集。その後、ページランクなど同社の技術を元にグループ化して表示するようになっている。

なお、Googleニュースに掲載された記事見出しは通常の検索時にも反映され、ニュースに関連したキーワードの検索結果では最上部に表示される。収集された記事見出しは30日前後保存されるが、同じテーマの記事が多数存在する場合は、30日が経過する前に削除されることもあるとしている。

ニュース見出しの著作権については、「公開されている見出しについて収集しており、問題はない」（グーグル インターナショナルビジネスプロダクトマネージャーのリチャード・チェン氏）との認識を示した。とはいえ、「インターネット上のニュースにも編集などの人的作業が加えられており、そうした労力は尊重したい。マスコミ各社の要望には可能な限り配慮する」とコメント。Googleニュースへの掲載を望まない報道機関は事前に申し出ることで、掲載を差し控えるとしている。

日本語化が遅れたことに関しては、「英語と異なり日本語は2バイトで表示するため、移植作業が困難だった。また、日本語の形態素解析も難しかった」と説明した。当面はRSS配信などは行わない予定だが、「Googleニュースの更新情報をリアルタイムで配信するメールサービスや、各種ブログとの連携は考えていきたい」としている。

マイクロソフト，日本語版Windows XP SP2を9月2日からオンライン提供開始

マイクロソフトは9月1日，日本語版の「Windows XP Service Pack 2セキュリティ強化機能搭載」を9月2日未明からダウンロード・センター（Windows Updateサイト）で提供開始することを発表した。オンラインのうち［自動更新］機能を使った提供は，9月29日より開始する。

また，通信速度が低いユーザー向けとして，XP SP2を収録したCD-ROMに小冊子を付けて，9月17日より全国のPCショップで配布するとともに，10月1日より全国の約2万5000の郵便局でも配布するという。

Windows XP SP2のCD-ROMについては，各種コンピュータ雑誌にも添付される予定。2002年秋以来，Windowsのシステムに関連するソフトウエアの雑誌添付は行われていなかったが，Windows XP SP2で方針が転換された。またマイクロソフトに対して直接Windows XP SP2のCD-ROMを注文することも可能になる（注文サイト）。この場合，送料（これまでのケースでは1050円）はユーザー負担となる。

企業ユーザーの中には，システム管理者がWindows XP SP2を検証し終わるまでエンドユーザーにWindows XP SP2をインストールさせたくないと考えているケースも多いだろう。そのような企業ユーザーに向けて，マイクロソフトはWindows XP SP2を自動更新機能によってインストールさせないようにするツールを9月2日から提供する予定だ（ツールを提供するWebサイトは9月2日に公開予定）。9月29日から自動更新機能でWindows XP SP2がダウンロードされ始めるが，同ツールを実行してあるマシンではWindows XP SP2はダウンロードされなくなる。

▼ 携帯が残すHTTPヘッダー(ブラウザ)

●HTTPヘッダー

DoCoMo/1.0/N503i/c10

DoCoMo/2.0 N2102V(c100;TB)

J-PHONE/5.0/V801SH/SN350228000212566 SH/0005aa Profile/MIDP-1.0 Configuration/CLDC-1.0 Ext-Profile/JSCL-1.1.0

KDDI-HI23 UP.Browser/6.0.8.1 (GUI) MMP/1.1

▼ DAEMON Tools v3.47 にバージョンアップ

1.本ソフト導入済みの環境にWindows XP SP2をインストールできない不具合を修正
2.バックアップソフト“Alcohol”のイメージを読み込むと発生する不具合を修正

http://clonedvd.jp/

▼ ビデオカード・拡張カードのニューカマーを一挙に紹介

先週末から今週にかけて、グラフィックスカードの新製品が豊富に出回っている。ATIからは、ハイエンドグラフィックスエンジン「RADEON X800Pro」を採用した純正カードが発売になった。DDR3メモリを256MB搭載したAGPカードで、価格はご紹介いただいたUSER'S SIDEでは55,440円。そのほか新登場のRADEONカードとして、9800PE搭載のPowerColor「R98PE-CDT-A128D」が19,580円(TWOTOP)、PCI ExpressインタフェースのASUS「AX300SE/TD(RADEON X300 128MB コア325MHzメモリ400MHz)」が10,800円(パソコン工房)など。

NVIDIA製のグラフィックスチップを使用した製品にも、新しく登場したものがいくつかあった。TWOTOPでは、GeForce6800をGT相当にクロックアップしているというASUS「V9999GE」を55,780円で販売。この製品にはwebカメラが付属しているという特徴もある。価格が6800GT搭載カードよりやや安めの設定なことが魅力。ほかには、ハイエンド製品のGeForce FX6800GTを搭載したELSA「GD940-256ARGA」はUSER'S SIDEで59,640円など。

サウンドカードの老舗、Creativeからは「Sound Blaster Live! 24-bit」が発売された。このカードはS/N比が100dBと高く、ハイエンド並みの24bit/96kHz、7.1ch再生に対応しながら3,880円(BLESS)と安価なことがポイント。ワンランク上のサウンドを求めるなら導入してみる価値があるだろう。

RAIDカードでは、RAID 0/1/10/5に対応し、ドライブを4基接続できるPromiseのFastTrakシリーズがリニューアル。新たにメモリスロットを搭載し、あらかじめ64MBのキャッシュメモリが装着されている。PCI(33MHz)に対応する「FastTrak SX4030」が19,740円、PCI(66MHz)対応の「FastTrak SX4060」が27,090円、SATAドライブ用の「S150 SX4-M」が30,240円(いずれもUSER'S SIDE)。

▼ 「PSXの世界初90ナノメートル技術は偽り」加社調査

ICの設計や特許に関する調査・分析を手がけるカナダのセミコンダクター・インサイツ(SI)社は29日(現地時間)、ソニーが「世界で初めて90ナノメートルのDRAM混載システムオンチップを搭載した」と宣伝しているハードディスク搭載DVDレコーダー『PSX』の出荷品に、実際には130ナノメートル技術が使われていることがわかったと発表した。

ソニーはPSXに搭載した「90nm EE+GS」(90ナノメートル・エモーションエンジン＋グラフィックス・シンセサイザー)を、「世界初の90nmDRAM混載SOC」と公式に発表している。SI社は、出荷されたPSX(型番DESR-5000)から90nm EE+GSを取り出して調べ、90平方ミリのダイサイズ(チップ面積)に130ナノメートル技術が使われていることを確認したという。ダイサイズも、ソニー発表の86平方ミリより大きかった。

SI社は「ソニーを含むメーカー各社は、(より集積度の高い)90ナノメートル技術の出荷を求める強い市場圧力を受けているが、現実には、多くはまだ準備が整っていない」と指摘している。

▼ ネットアーク、九州大学でWinnyなどP2Pファイル交換ソフトの監視を開始

ネットアークは2日、同社が提供するP2Pファイル交換ソフトの利用状況を監視するサービス「P2P Finder」を、九州大学情報基盤センターにて提供開始したと発表した。