cles::blog

非常時に何が大変かというと、真っ先に思い浮かぶのが火をおこすことでしょうか。例えば電気やライターがなくても火をおこす方法としては、アウトドア用にファイヤースターターというマグネシウムを使った火打ち石を使う方法もありますが、これを常備しておくというのも大変ですし、使い方にもクセがあます。

以下のニュースで紹介されている方法は、なんとガムの包み紙（銀紙）と電池で誰でも簡単に火をおこすことができます。これは覚えておくと良いかもしれませんね。銀紙が濡れていても火がつくと最強なのですが、そのあたりは要検証でしょうか。

非常時に覚えておきたい　ガムの包み紙と乾電池で驚くほど簡単に火がつけられる - ねとらぼ

使用するのは乾電池とガムの包み紙などに使われている銀紙。銀紙の中心はハサミで切ったり手でちぎったりして2ミリほどの細さにしておきます。それから銀紙の両端を乾電池の両端に触れさせると……なんと一瞬にしてボワッと火がついてしまいました。

最近、あちこちの家の庭にプラスチックでできた網のようなものが下げてあって何なのかなとちょっと気になっていたのですが、これは空間虫除けだったんですね。実家の縁側にも吊してあったのでそれなりに普及はしているようですが、条件によってはあまり効果がないということで消費者庁が措置命令を出すことを検討しているようです。

これはプラズマクラスター^*1の件とか、二酸化塩素を利用した空間除菌剤^*2の件とかと全く同じ展開ですね。メーカーも効果を煽らずにもうちょっと真っ当なものを作って欲しいものです。

空間用虫よけ剤４社に措置命令検討　消費者庁：朝日新聞デジタル

玄関やベランダで使う空間用虫よけ剤を販売する大手４社に、消費者庁が景品表示法違反（優良誤認）で措置命令を出す検討をしていることが１７日分かった。風通しのよい場所では効果が不十分だったという。命令の内容次第で、４社は表示を変えたり再発防止策を講じたりしなければならない可能性がある。

• ^*1: シャープ株式会社に対する景品表示法に基づく措置命令について
• ^*2: 二酸化塩素を利用した空間除菌を標ぼうするグッズ販売業者17社に対する景品表示法に基づく措置命令について

昨年の5月に楽天が「楽天 BOX」という駅の専用ロッカーで商品を受け取れるサービスを開始していましたが、このサービスが今春から都内の30箇所でも行われることになったようです^*1。

Amazon の家庭用宅配ボックスよりは筋はいいかもしれませんが、ちょっとどうなんでしょうかね。集配局の近くに住んでいれば話は別ですが、現行でもヤマトはコンビニ受け取りできるので、そっちの方が利便性という意味では１枚も２枚も上手かなと思います。

楽天市場、都内郵便局での商品受取サービスを今春開始--「楽天BOX」は全国展開へ - CNET Japan

楽天は1月15日、日本郵便と連携した「楽天市場」の商品受取サービスを4月以降に開始すると発表した。ユーザーは楽天市場で注文した商品を、ゆうパック（普通扱い）による配送に限り、日本郵便が都内の郵便局など約30カ所に設置する予定の“ゆうパック受取用ロッカー”で好きな時間に受け取れるようになる。

• ^*1: 受取ロッカーサービスの実施 - 日本郵便

SQLインジェクション攻撃の被害について、ソフトウェアのメーカの責任を裁判所が認めた事例が話題になっていたのでメモ。
判例には会社名等が伏せられていますが、クレジットカードの流出件数が7316件なので、おそらくこの事例だと思われます。

• インテリア販売サイトから最大1万6798件の個人情報流出の可能性 - ITmedia ニュース
• 【セキュリティ ニュース】インテリアショップサイトで顧客情報約1万6000件が流出の可能性 - カード情報7000件含まれる：Security NEXT
• インテリアショップサイトに不正アクセス、カード情報含む個人情報が漏えい（ミサワ） | ScanNetSecurity (事件、インシデント・情報漏えいのニュース)

判決の全文についてはSOFTIC 判例ゼミ 2014 第5回11月13日（木）に掲載されている PDF を使えばオンラインで読むことができます。こういう裁判に関する文章を普段あまり読む機会がないのでとても興味深いのですが、ソフトウェアを作る側として気になったのは以下の部分。

個人情報漏洩で脆弱なシステムの責任をソフトメーカーに問う事例 - セキュリティホール memo

〈１〉電子商取引システムの設計・構築に当たってＳＱＬインジェクション攻撃への対策を講じることは専門業者として当然であったこと (中略) について検討するに、 (中略) ＳＱＬインジェクション対策がされていなければ、第三者がＳＱＬインジェクション攻撃を行うことで本件データベースから個人情報が流出する事態が生じ得ることは被告において予見が可能であり、かつ、経済産業省及びＩＰＡが、ウェブアプリケーションに対する代表的な攻撃手法としてＳＱＬインジェクション攻撃を挙げ、バインド機構の使用又はＳＱＬ文を構成する全ての変数に対するエスケープ処理を行うこと等のＳＱＬインジェクション対策をするように注意喚起していたことからすれば、その事態が生じ得ることを予見することは容易であったといえる。また、バインド機構の使用又はエスケープ処理を行うことで、本件流出という結果が回避できたところ、本件ウェブアプリケーションの全体にバインド機構の使用又はエスケープ処理を行うことに多大な労力や費用がかかることをうかがわせる証拠はなく、本件流出という結果を回避することは容易であったといえる。
　そうすると、被告には重過失が認められるというべきである。

セキュリティホールメモでも指摘されていますが、SQLインジェクション攻撃に対する対策を講じることは専門業者として当然であり、回避策に多大な労力や費用がかからないので、重過失として認定されていることでしょうか。実際問題として契約書には「賠償責任は負わない」もしくは、「損害賠償は個別契約の金額まで」という損害賠償の免責や責任制限が定められていることが多いのですが、これまたよくあることに「故意または重過失がある場合を除き」という免責や責任制限が適用外となるオプションがついていたりするんですよね。今回はそこを突かれてしまったということになるのでしょうか。思っていたよりこのオプションは開発者側にシビアなオプションと言えそうです。

このあたりについては例えば経産省の「情報システムの信頼性向上のための取引慣行・契約に関する研究会」～情報システム・モデル取引・契約書～の損害賠償の条項は下記のようになっています。

モデル取引・契約書＜第一版＞（PDF形式：4,350KB）

（損害賠償）
第53条　甲及び乙は、本契約及び個別契約の履行に関し、相手方の責めに帰すべき事由により損害を被った場合、相手方に対して、（○○○の損害に限り）損害賠償を請求することができる。但し、この請求は、当該損害賠償の請求原因となる当該個別契約に定める納品物の検収完了日又は業務の終了確認日から○ヶ月間が経過した後は行うことができない。
2. 前項の損害賠償の累計総額は、債務不履行、法律上の瑕疵担保責任、不当利得、不法行為その他請求原因の如何にかかわらず、帰責事由の原因となった個別契約に定める○○○の金額を限度とする。
3. 前項は、損害賠償義務者の故意又は重大な過失に基づく場合には適用しないものとする。

ちなみに今回の事件を見通したかのように、JEITA ソフトウェア開発モデル契約では、故意や重過失は裁判所の判断が必要ということで、この部分が削られていて開発者側に有利な契約となっています。契約書を作るときは、開発者側でも発注者側でも、このあたりをきちんと盛り込んでおくことが必要となりそうです。とにかく IPA が出しているドキュメントくらいのレベルの対策ができてないと重過失認定されてますよというところは勉強になりました。

† 参考

• 個人情報漏洩で脆弱なシステムの責任をソフトメーカーに問う事例

Google Remote Desktop の iOS バージョンが登場していたのでインストールしてみました。昨年中にという話でしたが、リリースがちょっと遅れましたね。すんなりと接続できる完成度はさすがです。

画面のスクロールやクリック、ドラッグ、キーボード入力などの操作にひと癖あるので実用的に使いこなすには多少慣れが必要そうです。

iTunes の App Store で配信中の iPhone、iPod touch、iPad 用 Chrome Remote Desktop

Securely access your computers from your iOS device.

• On each of your computers, set up remote access using the Chrome Remote Desktop app from Chrome Web Store.
• On your iOS device, open the app and tap on any of your online computers to connect.

シリーズ最新作『ファイアーエムブレムif』今年夏発売予定。前作と同じチームが開発を担当し、コザキユースケ氏が引き続きキャラクターデザインを担当。漫画原作者の樹林伸氏も参加し独特の世界観を生み出す。#NintendoDirectJP pic.twitter.com/3dU13g7gqP

— 任天堂株式会社 (@Nintendo) January 14, 2015

ちょっと目を離している隙に FE の新作情報が発表されていました。「ファイアーエムブレム 覚醒」の次の FE は「ファイアーエムブレム if」になるようです。

発売を楽しみに待ちたいと思いますが、過去作との絡みはもう勘弁してほしいところ。開発はいつも通り IS、キャラデザは覚醒に引き続きコザキユースケさんが担当するようです。

今日は恒例の Windows Update の日。
新年１発目の更新の内容は緊急が 1 件（MS15-002）、重要が 7 件の計 8 件です。

緊急となっている MS15-002 は Telnet に関するもののようですが、現在の Windows 7 や Windows 8 で Telnet はクライアント/サーバ共にデフォルトではインストールされません。どうしても使いたい場合のために昔「Windows7で telnet コマンドを使うには」というエントリで有効にする方法を書きました。

マイクロソフト セキュリティ情報 MS15-002 - 緊急

既定では、Telnet は影響を受けるオペレーティング システムのリリースにインストールされません。手動でこのサービスをインストールしているユーザーのみが、この脆弱性の影響を受ける場合があります。

適用を忘れていてうっかりサーバを有効にしていると攻略されてしまうので、今は Telnet 使ってないからいいやと言わずに忘れずに更新しておきましょう。

† 参考

• 2015 年 1 月のマイクロソフト セキュリティ情報の概要
• 2015 年 1 月のセキュリティ情報 (月例) - MS15-001 ～ MS15-008 - 日本のセキュリティチーム - Site Home - TechNet Blogs
• 2015 年 1 月のマイクロソフト ワンポイント セキュリティ ～ビデオで簡単に解説 ～ - 日本のセキュリティチーム - Site Home - TechNet Blogs
• 2015年1月 Microsoft セキュリティ情報 (緊急 1件含) に関する注意喚起

企業等でプロキシサーバがネットワークに存在する場合、プロキシサーバを通常は自分で設定する必要があります。ノート PC 等を LAN に繋ぐたびに Proxy の設定をするのが面倒になってきたので、DHCP サーバの設定を変更して WPAD（Web Proxy Auto-Discovery Protocol） に対応させてやることにしました。これを使うと PC がプロキシの設定を自動的に拾いにいってくれるようになるので、面倒な設定をしないで済むようになります。設定ファイルのフォーマットは、以前プロキシの自動切り替えのときに使ったファイルと同じものです。

DHCP サーバの設定変更方法については Yamaha のルータを DHCP サーバにしている場合には下記に解説があります。

FAQ for YAMAHA RT Series / TCP/IP

他、dhcp scope optionコマンドで設定した任意のオプション情報をクライアントに通知する方法があります。
dhcp scope option スコープ番号 オプション番号=情報をASCIIコードに変換したものの羅列
　　　ASCIIコードにはLenフィールドは含める必要はありません。
　　　255のend optionや0のpad optionも指定の必要はありません。
例：WPAD（Web Proxy Auto-Discovery Protocol）で必要なPACファイルの場所"http://192.168.0.1/proxy.pac"をオプション番号252番で通知する場合
　　dhcp scope option 1 252=68,74,74,70,3a,2f,2f,31,39,32,2e,31,36,38,2e,30,2e,31,2f,70,72,6f,78,79,2e,70,61,63

この ASCII コードの羅列を手動で生成するのが非常に面倒なので、これを行うためのワンライナーを書いてみました。

シャープが一世を風靡したパソコン X68000 のサービスマニュアルを公開していたのでメモ。サービスマン向けということになっていますが、中身を見るとほぼ仕様書みたいなものですね。現在の PC は高機能化と複雑化が進んでこんな感じのサービスマニュアルは用意できないのではないかと思います。

• サービスマニュアル X68000 CZ-634C/CZ-644C - シャープ株式会社 - 書籍 - 電子書籍のGALAPAGOS STORE

シャープ「X68000」の回路図など記載の“裏マニュアル”電子化、「GALAPAGOS STORE」で無料配信 -INTERNET Watch

シャープ株式会社は、電子書籍ストア「GALAPAGOS STORE」において、同社製パーソナルコンピューター「X68000」（CZ-634C/CZ-644C）の「サービスマニュアル」の無料配信を開始した。

普段のテレカンには Skype をつかっているのですが、ミーティングスペースにそのためだけの PC を置くのももったいないし、ノートパソコンでやろうとするとカメラの設定がイマイチ・・・というこで、ミーティングスペース用に Logicool の TV Cam HD^*1 を入れてみました。

HDMI 対応で単体で Skype ができるという機器です。価格は１万円くらい。通常は TV につなぐことを想定した機械ですが、テレビはないので余っていた HDMI 対応のモニターを使うことにします。ネットワークの設定を済ませて、ログインするとすぐに使えるのはいいですね。僕はあまり気になりませんでしたが、デフォルトの言語設定が英語なので、英語の画面は絶対見たくないという人にはお勧めできません。

操作はリモコンオンリーなので、プアマンズポリコムといったところでしょうか。

• ^*1: TVカム HD - Logicool