アップロード容量制限に納得がいかんので、ブログを引っ越します。

もともとの私のWebサーバにMovableTypeを立ち上げました。とりあえず、ここはおいといて、新しい書き込みは、以下の URL側に書くことにします。

http://www.kazamidori.jp/kazamidori-blog/

ここの過去ログは、近いうちに古いものから固めてアーカイブして削除。追加料金を払わなくていいレベルまで容量を落として、まずはこのまえやったアップグレードをキャンセルしようと思っています。その後は、ぼちぼち、内容の移し方を考えましょう。

ちゅうことで

引っ越します

なんか、このまえから画像アップが全部エラーになると思ったら、１ファイルあたり１MBなんちゅうセコい制限が勝手にかかったらしい。そもそもデジカメの解像度が上がって１ファイルが大きくなってるのに、１MBなんていうレガシーな容量制限されたら、ほとんどのユーザは困るんじゃないか。（自分で一回全部リサイズしなきゃいけない）

手前勝手な理屈でユーザ無視の対応をとるNIFTYの体質は、パソ通時代からなにもかわってないと見える。

せっかく契約を「プロ」に上げて容量を増やしたところなのに、意味ねぇじゃんか！！！

そろそろNIFTY、解約してほかのプロバイダに引っ越すかな。[E:pout]

-------------------------------

とちょっと激怒しているのだが、さておいて少し今回の措置を分析してみた。そもそも発端はココログの「大容量化」に伴って「ファイル置き場」となるのを防止するのだとか。しかし、たとえばこれまで１画像あたり２～３MB程度（現在のデジカメの高画質モードでの平均的な画像サイズ）だったものを１MBにするということは、大部分の一般ユーザ（スパマーはおいといて）のHDD使用量の伸びは半分以下に減少する。どうせ最初からユーザ数×最大容量のディスクを確保するはずはないから、伸びが抑えられるということは、もしかしたら「追加投資」なし（またはわずかの投資）で、「大幅容量増」というサービス向上をアピールできてしまうことになる。だとしたら、これは詭弁以外のなにものでもない。そもそも私にしても「プロ」を契約して容量の上限を上げた理由は、「現在の伸び率」を前提にしてのことだ。容量制限されてしまえば前提は大きく崩れてしまう。アップしたあとでリサイズをかけてしまうMixiのようなやり方も、高画質の画像を見てもらいたい私にとっては癪の種なのだが、それでも Mixi は実サイズで５MBまではアップできる。アップした後リサイズされるのだが、自分でリサイズしなくていいぶんまだ妥協できる。しかし、１MBという制限をアップロード時にかけられてしまえば、もはや自分で画質を落としてあげるしかない。そんな面倒なことはできんぞ、というのが素直なところだ。

正直言って、過去ログを全部ダウンロードして、自分のサーバに引っ越してしまおうかと考え始めている。昔からそうだが、彼らのやることはすべて「自分の都合」だ。８０年代の NIFTY Serveのころから何もかわっていない、ということなのだろう。

もう、マスコミやらそこいらのブログやらでさんざん書かれてるので、いまさら・・・なのだが、しかし辞職とはねぇ。坊ちゃん首相じゃ、昨今の日本政界はよほど荷が重いと見える。しかし、後がいないよなぁ。麻●は品格も含めて怪しすぎるしどうせどこかでボロがでるにちがいない、○池さんじゃ、とりあえず「選挙で負けてもOK（本命温存）、勝てれば儲け」体制まるみえ、政権交代でも小▲さんも、なんとなくダークなイメージだし・・・。石■都知事にでも国政復帰をお願いしようか・・・でも、あの大先生は、居心地のいい「東京共和国大統領」のぬるま湯からは簡単には動かないだろうしねぇ。（都知事の権限って、ちょっとした国の大統領なみなんだそうだが）

さぁて、我々は政治不信起因の大恐慌に備えなきゃいけないかな。（なんてことを書いた３文スポーツ紙を電車のなかでどこかのオヤジが読んでたが、あながち可能性ゼロではないかもね。）　このぶんじゃ、日本の国際的な地盤沈下はまだまだ続きそうだなぁ・・・。

ほんとは今日の散歩の様子を書きたかったのに、ココログがトラブって画像アップロードがことごとくエラーになってしまうので、しかたなくネタを変更・・・

先週末は毎年恒例の花火見物。秋田県は大仙市の大曲で毎年開催される花火競技大会。NHKのBSでも放送されるので知っている人は多いとおもうのだけど、全国の花火師たちが、10号2発と創造花火で競う花火競技大会の中でも最大のもの。中でも協議の合間に行われる大会提供花火は、これでもかこれでもかの圧巻で、これを目当てに数十万人が押しかける。

今年は、桟敷の最前列という絶好の場所を取れたにもかかわらず雨にたたられて、なかなかハードな鑑賞となった。もう15年以上通っている花火なので、みんな準備ばんたん、完全武装なのはいいのだが、やはり雨に打たれて数時間いるのは体力的にも辛い。風邪をひかなかったのは幸い。でも、大会提供花火はやはり圧巻。来てよかったという感じ。

さて、一夜明けて昨日は田沢湖畔のいつもの宿でまったりモード。朝から乳頭温泉郷の鶴の湯でひとっ風呂浴びて、それからいったん宿に戻って近くのビアレストランへ歩いていき、地ビールとうまい料理三昧・・・。すっかり酔っ払ってみる田沢湖は雨にかすんでいる。

夜は宿でサザンのさよならコンサート中継を最後まで見て、それからオリンピックの閉会式・・・でも、間延びする閉会式に眠くなり、そのままダウン。

今日は仕事を休んでいるのだけど、これといってすることもないし、天気もいまいちなので、ちょっと盛岡によってから帰路につく予定。

ちなみに、大曲の大会提供花火はビデオにとったので、帰ってから編集してアップの予定。

（NIFTYの容量制限のため、動画をアップできなくなってしまったので、こっちに置きました。96.6MB MPEG4です）

恒例の若者育成キャンプが今日開幕。昨年までのセキュリティキャンプに、今年はプログラミングコースを加え、全国から二百数十名の応募のうち四十数名が選抜され参加している。年齢層も１４歳の中学生から２２歳の大学生まで様々。今日は開講式のあと、オリエンテーション、それから基礎講義。

セキュリティコースでは、情報セキュリティの基礎の講義に、グループディスカッションをまじえて進行。セキュリティの基礎、とはいえ、基本的にはレベルの高い参加者が多く、自分たちが指導するという視点から、その方法などをグループでディスカッション。初日から活発な討議となった。講師の質問に対して、出てくる答えもなかなかのもので、これから数日のキャンプでの成長が楽しみ。こういう若者たちが、どんどん育ってくれると、おじさんたちはうれしい限りだ。[E:happy01]

一方でちょっと気になることも。ディスカッションのテーマで、「ウイルス対策ソフトを使わない（というよりはウイルス対策ソフトがあてにできない場合の）ウイルスへの対策を考えろ」というのがあって、ある意味で、教科書通りの答えが出てきたものの、最近注目されている、いわゆる「標的型攻撃」やサイト改ざんとスクリプト埋め込みによる攻撃などについての話が生徒たちから出てこなかったこと。我々専門家の間では大きな課題になりつつある話だが、こうしたレベルの高い生徒たちでも、まだまだ知らないという事実は、啓発していく我々の側の課題なのだろう。

ともあれ、今週いっぱいの彼らの健闘を祈ろう。

今回の出張も今日１日で終わり。明日には帰国の途に着かねばならない。今日は、午前中、報告のまとめとかをホテルでこなし（出張・・ってのはあれこれ面倒な話で・・）午後からDEFCON会場へ。とりあえず、あまり聞きたそうなプレゼンもなかったので、会場内をちょっと散策。CTFは昨日とかなり順位が入れ替わってる感じ。Wall of Sheep はいつもどおり。結構、POPとかIMAPで晒されちゃってる羊さんも多い雰囲気。BHの時に聞いた話では、モバイルデバイスからのアクセスがかなり多いとか。PCの場合と違ってお手軽なだけに、結構気を抜いてしまう可能性もあるかなと。携帯パケット網の感覚で、無線LANも使ってしまうと、ちょっと辛い結果になりそう。ジャンク屋さん、Tシャツ屋さんも盛況。

午後に、セッションの予定を変更して緊急プレスカンファレンスが開かれた。なんでも、プレゼン予定のスピーカーが裁判所の仮処分で話ができなくなってしまったらしい。最近、話題にも上ったボストン地下鉄のセキュリティシステムのカードのセキュリティ問題を話す予定だったMITの研究者が、金曜に突然提訴され、仮処分が出たとのこと。根拠は、米国のコンピュータ不正アクセスに関する法律とのことだが、厳密に言って磁気カードに関する話が、コンピュータの不正アクセスにあたるのかという点や、さらにコンピュータ自身に対して攻撃したわけではなく、情報を人に話すことがこの法律で縛れるものなのか、という点で、これは拡大解釈ではないかとの指摘もあった。いわゆるディスクロージャールールの議論でもあるものの、それ以前にこうした形で、いわば時間稼ぎとも言える提訴が行われたことそのものが問題かもしれない。プレゼン内容はすでにDEFCONのCDの中に収められているが、具体的な攻撃方法に関する内容はないとのこと。参加者の質問では、たとえばこの資料を基にブログなどで情報を公開したら訴えられる可能性はあるのか・・・といった質問も出ていた。これは対岸の火事ではなく、日本でもおきうる話だ。

（帰りの機内で、プレゼンを読んでみた。カードの問題だけでなく、あらゆる面でかなり杜撰なボストン地下鉄のセキュリティ、まぁ、こりゃ差し止め訴訟でも起こしたくなるな・・・と妙に納得。カードに関する記述はちょっと微妙かな・・）

DEFCONは明日まで続くが、私は今日まで。明日の朝にはラスベガスを後にしなければならない。さて、今夜はもうすこし、ラスベガスの雰囲気を楽しんでこよう。

今日からDEFCON16開幕。宿から会場までは歩いて２０分強くらいなのだが、ここ２日ほどのラスベガスはめちゃくちゃ暑い。で、今日はバスで行くことに。ところが、道路工事中でStripはかなりの渋滞。結果的に歩いたのとあまりかわらない時間がかかった。

DEFCONは、今年もStripの北側にあるRivieraホテルで開催。しかし、また人が増えた感じで、お祭りっぽいのはいいのだけど、会場内の移動に時間がかかり、ちょっと辟易。プレゼン会場もかなり混雑していて、床組続出。避難路をふさぐことになるので、なるべく席に座るようにというアナウンスも・・・。

CTFは今年も熱気を帯びている。今年は韓国からの参加が多く、予選を勝ち残ったチームが健闘中。

昼前には、品切れしていたバッジが届き、引き換えの長蛇の列が会場外の廊下まで伸びてさらに会場まで折り返しという騒ぎに・・。今年のバッジもなかなかクール。赤外線ファイル転送機能とか、テレビのリモコン（でも、改造なしだと周囲のテレビを消すという迷惑機能（笑）のみ）になる。（部屋のテレビも消えました[E:coldsweats01]）昨夜、ソース（Cで書かれている）を読んでいたのだけど、LEDの点滅パターンや、リモコンの機能は、あれこれ変更ができそうな感じ。リモコンのコードは各社用のものは、組み込まれているので、その気になればかなり遊べそうな感じ。残念なのは、改造してもそれを導入する環境が手元にないことなのだが・・。セキュリティホールも探してみたけど、さすがに一見して見つかるようなものは少なくともなさそうだ。

依然として時差ぼけ状態が改善していないこともあり、ちょっと人疲れもしたので、早めに宿に戻った。バス停がやたら混雑していたので、炎天下を水を片手に歩いて帰ったのだけど、結構辛かった。

あまりに暑いので、途中途中でホテルやモールの中を通って涼みながら帰ったのだけど、途中、こんなものに遭遇。あれこれ妄想してしまうのは職業病にちがいないのだが・・・。

さて、今回の日程も余すところあと１日。明日は、DEFCONを半日くらいにして、ホテルで出張のまとめでもしようかと思っている。テレビでは北京五輪の開会式が佳境に・・。せめてこの期間ぐらいは世界が平和であってほしいものだと。

さて、BH USの二日目。あいかわらず時差ぼけは改善しない。寝てはいるものの、どうも起き抜けがすっきりしない。お昼近くになると、だんだん集中力がなくなってくるのは困りもの。ただでさえ早口の英語はちょっと気を抜くと右から左に流れてしまうので・・。

今日のキーノートは NCSC (National Cyber Security Center）のディレクター Rod Beckstrom氏。歴史上の人物や出来事（独立戦争、南北戦争などとそれに関連した人物たち）などを、現代のITやサイバースペースとの対比で評したイントロから、ネットワークやセキュリティの経済学の話へ。C=S+L　（Cはトータルコスト、Sはセキュリティにかけるコスト、Lはセキュリティ問題で発生する損失）を最小化するのだ、という説明はわかりやすい。最初のいくつかの基本的な対策は被害（の可能性）を大きく減少させるが、次第に効果は相対的に小さくなってくる。ある程度以上は投資しても、それに見合う効果は得られないので、逆にトータルコストは上昇に転じる。イメージとしては理解しやすいのだが、実際にこれをあてはめるとなるとなかなか難しいのだが・・。ネットワークプロトコルでは、最も被害が大きいと思われるのが、グローバルなルーティングを左右するBGP、次にDNS、次はIP上に実装されたSMSだという。SMSは災害時などに威力を発揮する。データ量を抑えて多くの人たちが通信を行うには最適な方法だとのこと。（実際に９１１の時は電話が輻輳して使えなくなったものの、SMSは生きていた）　最後に、サイバースペースと現実社会の対比で、憲法や民主主義、ガバナンス、隔離機構、正義（の確立）、ネット外交などが、今後必要になるのだろうと締めくくった。さて、そうなるにはまだまだかかりそうだが・・・・。

今日は、仮想化関連のセッション、MS関連のセッションを聞いた。仮想化では、今回はXenが槍玉に挙げられている。オープンソースであるだけに（現在はCitrixの商用版も存在するが）これからもあれこれ出てきそうな感じ。ハイパーバイザ（もしくは Dom0）に感染するようなマルウエアと、いわばVM rootkitのようなものもいずれ出てきそうな感じがする。この領域では、まだまだいろいろありそうだ。（逆に言えば、守る側としていろんなものが必要になりそうだ）

MS関連では、MSVR(MicroSoft Vulnerability Research）のメンバーのセッションが、（参加者の反応や意地悪な質問なども含め）面白かった。個人的には、MSはそのコードのサイズに比べれば、非常によくやってるとは思うのだけどね。面白かったのは、Xp時代に、ブラウザへの攻撃は８０％がIEに対するものだったが、VISTAになってから、90%以上がIE以外のブラウザに対してのものになったという話。今後どうなっていくかはさておき、興味深い数字ではある。それから、脆弱性や攻撃への対応において、サードパーティーを含めたグローバルな協力体制を作るために、MAPP (Microsoft Active Protection Program）を立ち上げるという話。NDAのもとで、未パッチの脆弱性に関する詳細情報をサードパーティのセキュリティベンダなどに提供して対策を早期にリリースしようという試みとのこと。攻撃側の情報流通に対し、防御側もそれ以上に情報共有を進めよう・・・というコンセプトだ。それから、この１０月以降、脆弱性のアナウンスにおいて、現在の Critical, Important, Moderate, Lowに加え、 Exploitability Index という指標を加えるとのこと。これは、実際に攻撃コードが存在しているかどうか、それがどのくらい実用的なものであるか、といった状況を明らかにすることで、ユーザにパッチあての緊急度を判断してもらおうという試みだ。ちなみに、MSの脆弱性に対する攻撃コードの存在率は２００６年は２９％、２００７年は２１％だったとのこと。

もうひとつのMSのセッションは、標的型攻撃に使われるOffice文書のExploitの解説。Officeに存在する（した）脆弱性を攻撃するように加工された文書ファイルの構造やその確認方法、対策などについてのプレゼンテーション。これもなかなか興味深い内容。改ざんされた文書の検出など、いろいろと応用がききそうだ。

さて、とりあえずBlackHatも終わり。明日からDEFCON。夕方に Riviera まで３０分ほどかけて歩いて、レジストレーションに行ってきた。バッジをもらって、今夜はハック・・・と思っていたのだけど、バッジは品切れになってしまったよう。紙のバッジを渡され、明日の午後に交換するから、と言われてちょっとがっかり。ちなみに、今年のDEFCONバッジは、SDカードに入れたデータファイルを赤外線で送受信する機能付き。CDにソースコードが入っているので、あれこれハックできそうな感じだが、もし、バッファオーバフローなんかが仕込まれていたら・・・・こりゃ戦争が始まるかも・・・とちょっと戦々恐々。あとで寝る前にちょっとソースを見てみようかと。

さて、とりあえず今日はここまで・・・。

今日からブラックハット。朝から会場の廊下は押すな押すな盛況。年々参加者が増えている気がするのだが、一方で混雑もひどくなっている。特にセッションの間の部屋間に移動で大渋滞が発生。ただでさえ狭い通路にベンダブースを並べるのはそろそろ考え物かと。

さて、「コンピュータ技術は新たな官僚（お役所）主義を生み出す」なんていう皮肉っぽいキーノートから始まった一日目。例のDNSキャッシュポイズニングの話に注目が集まり、会場はあふれんばかりの盛況。時差ぼけがきつくて辛かったので、もしかしたら大事な部分を聞き落としたかもしれないのだけど、攻撃方法についてはあまり具体的な話はなく、結局のところ、これまで知られた攻撃方法の組み合わせで、かなり効率よくできるよ、ということらしい。主要なポイントは、クエリID（トランザクションID)の推測性（Birthday Attack）、発信元ポート番号の固定化もしくは推測性、外部からの問い合わせによる誘導といったあたり。今回のパッチは、このコンビネーションで使われるポート番号の推測性を大幅に下げることで、全体としての成功率を低く抑えようというもののようだ。（US-CERTの解説参照）実際、プレゼンの後半は、いかに多くのネットワーク、セキュリティの機能がDNSに依存していて、これが信用できなくなることで、いかに安全が損なわれるか、ということの説明に割かれていた。なるほど、と思ったのが、たとえ内部DNSであっても、外からクエリを間接的に誘発することは可能だということ。細かいことは書かないが多くのソフトウエア、機器がDNSに依存していることが理由だ。とりわけ外部からの通信を受ける機器のDNS参照先についてはちょっと注意が必要かもしれないなと思った。オープンクエリはもってのほかだが、そうでなくても技はある・・・ということか。

ちなみに、今回のDNSパッチの適用率はFortune 500企業で約７5%だそうだ。また約15%が適用したものの、NATのために効果が低下した状態にあり、約15%はまったく適用していないらしい。（計算が合わないのだが・・・メモが間違ってたかな・・）さて、日本の企業はいかに・・・。

そのほかには、フィッシングねたやボット系のねたをいくつか聞いた。ブラックハットのスピーカーは多くがかなり早口。毎年聞くのには苦労するのだけど、時差ぼけがきついと余計に辛い。午後は何度かスイッチが切れた。（苦笑）今日の昼間はやたら暑く、そのぶん中の冷房はやたら強いというきわめて体に悪い状態。一応、見越して長袖を着ていったのが正解。

夕方はレセプション。軽く飲み食いして、ちょっと疲れたので宿に帰った。でも、そのまま寝てしまいそうだったので、無理やり散歩。夕暮れの（といってももう８時）街を少し歩いてきた。

さて、そろそろ１２時になるので寝るとしよう・・・。明日は２日目。そろそろ時差ぼけも改善してほしいところだけど・・・。では、おやすみなさい。

ほぼ定刻にラスベガス着。今日は珍しく荷物もさっさと出てきて、７時過ぎにはホテルにチェックイン。まずは部屋に入ってネットを確保。あれ、アドレスがとれない・・・。しかしあわてず、テレビ台の後ろにあるVDSL箱の電源を抜いてリセット。ここのホテルではよくあるトラブルなので、対処法はもうわかっている。（笑）で、無事ネット復活。それから向かいのシーザースパレスに行って、BlackHatのレジストレーションをしてきた。

とりあえず、今日の予定は終了。４月のInterop/CSI-SX以来のラスベガス。（てか、来すぎ？）　NYは観光地の一方でビジネス街、いわば東京みたいなもんなので、人もなんとなくせかせかしてるし、あわただしくて、あんまり長居するところではない感じ。だけど、ここは根っからの観光地なので、なんとなく落ち着く。（笑）

さて、明日から BlackHat 。　たのしみだ。