毎日新聞によると、総務省が住基ネット侵入実験　「安全性問題なし」とのことですが、相変わらず「安全です」と連呼しているばかりのようで、何がどう安全なのかさっぱりわからない大本営発表ばかりのようです。また、総務省の大臣はこんなことを言ってるようですが、そんなことでいいんでしょうか(笑)

また、長野県の実験のケースでは、「住基ネット、長野の侵入実験結果公表に苦慮　田中知事」(毎日新聞の記事)となっており、実際に脆弱性が見つかってしまい、対策を実施するまでは結果を公表出来ないという立場なので、これはこれで立場的には仕方が無いと理解出来ます。対策が完了した暁には、ぜひ実験内容と結果の公表、対策の内容を公開して戴きたいですね。

実際のところこの手の立場の組織が、この手のテストを行った場合、どのような形で結果を公表したらいいのかは「前例」が無いので難しいところもあるのでしょうが、可能な範囲で公表して頂かないと、テスト自体が有効なのか誰も評価出来んところがいかんともし難いところであります。

ところで、今回のテストを実施した会社って、「米国の会計・コンサルティング大手のクロウ社」とのことですが、会計・コンサルタント会社にちゃんとしたペネトレーションテストって出来るもんなんでしょうか? ^^;

筆者が最初に見つけたのはhttp://docs.freebsd.org/cgi/getmsg.cgi?fetch=394609+0+current/freebsd-security">こちらなのだが、元ネタはこちらからのforwardということらしい。 IRCでの会話によると、8/31夕方の時点までは正常なMD5の値のtar ballが置かれていたらしいが、8/1のあるタイミングからトロイの木馬入りのものと置き換わってしまったらしい。 OpenSSLのセキュリティホール絡みで、OpenSSHもついでに再コンパイルしよう、なんて思った人は、トロイの木馬入りのソースコードを掴まないように、MD5の値等をしっかりチェックしましょう。 ここのところセキュリティ関連の大物ソフトウェアに脆弱性が立て続けに見つかっていて、システム管理者は寝る暇も無く悲鳴の毎日ですが、がんばりましょう＾＾；

アサヒコムに 自治体ＩＰアドレスなど配布　一部市町村が総務省に抗議 という記事が出ています。
住民基本台帳システムはWindows！？ の問題以前に、システム運用を担う一部の自治体がこういう考え方・態度なのは、非常に心もとないですね。

このままの状態で、住民基本台帳システムのような重要なデータを扱うシステムを強行に予定通りに稼動させてもいいものでしょうか？

ZDnetにApacheサーバを襲う新型ワームという記事が出ています。遂に出るものが出たという感じですが、猛威を振るう Code Red Worm、あなたのマシンも要チェック のようにApache Wormも猛威を振るうようになるのでしょうか?

今回のWormはFreeBSDがターゲットのようですが、次はやはりLinuxを狙う亜種が出そうな感じです。

他にも、FreeBSD security ML, BUGTRAQ ML, セキュリティホールMEMO ML等にも情報が流れているようなので、更なる情報が必要な方はチェックされたほうがいいかも知れません。

また、Apacheを利用されていて、まだセキュリティパッチの適用または修正版に入れ替えていない対象プラットフォームのマシンの管理者は、待った無しで対策をする必要がありそうです。

Apache の脆弱性やApache 1.3.26 & 2.0.39 リリースでも報じられているApacheのセキュリティホールを攻撃するコードが出回り始めたようです。Apache の脆弱性を攻撃するツールが登場
コード自体はPacket Storm辺りを探せば見つかるようです。 今回は、Apache,mod_ssl,Apache-SSL(未確認)も既に修正版が出回っているので、万一まだ入れ替えていないところは早急に入れ替える必要があるでしょう。

盗聴だけでなく、ウィルスもバラまくFBIで取り上げられているFBI謹製のウィルスですが、アンチウィルスベンダーの対応に関する記事が出ていました。
AV vendors split over FBI Trojan snoops
AV Vendors Split Over FBI Trojan
によるとSymantecは、そのようなウィルスが発見されても対応するアンチウィルス用のパターンの更新はしない、と言ってますねえ。対するSophosはウィスルには違いないので対応する、と言ってます。まあ、米国内だけの話なのか、あるいは世界中が対象なのかはっきりはしませんが。 テロ以降、なんかきな臭い動きが多くてイヤですねえ。