ilyaのノート

いつかどこかでだれかのために。

【ウィルス情報】Windows「GENOウイルス」

整理

▽「JSRedir-R」「gumblar」「Zlkon」、通称「GENOウィルス(ジェノ ウィルス)」。Windowsを汚染するコンピュータウィルス。すでに多数の一般企業サイト、通販サイト、同人サイト等が汚染されており、感染爆発の危険あり。Adobe ReaderAdobe Flash Playerの脆弱性を利用。2009年4月初頭に出現。多数の亜種が生成されている。IR氏より電話で情報を頂く。
▽webサイトを閲覧するだけで感染する(Javaスクリプト)。感染した場合、PCのインターネットアクセスを監視、FTPのID/パスワードを盗みだす。それを使用してスクリプトウィルスをwebサイトに埋め込み、感染が拡大。また症状として、最悪の場合、Windowsが起動しなくなる。
GENOウィルスに感染したWindows PCでは、〔1〕C:\WINDOWS\system32\sqlsodbc.chm が書き換えられているほか、〔2〕初期型ウィルスは regedit.exe(レジストリエディタ)、cmd.exe(コマンドプロンプト)が起動しない症状があった模様(現在は感染しても起動するらしい)。

▽対策としては; 〔1〕Adobe Flash Player の最新版(ver.10.0.22.87/9.0.159.0以降)への更新。〔2〕Adobe Reader の最新版(ver.9.1.1/8.1.5/7.1.2以降)への更新および環境設定の変更(Acrobat JavaScriptの停止)。〔3〕Windows Update/Microsoft Update を最新の状態に。〔4〕ブラウザの JavaScriptの無効化(可能ならIE以外への乗り換え)。
▼セキュリティ通信|セキュリティ関連ニュース|正規サイト改ざん(3) ウイルスに感染しないための対策
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1867
「攻撃サイトでは、閲覧者のパソコン上で悪質なプログラムが自動的に実行されるように、「Adbe Reader」や「Flash Player」の既知の脆弱性を悪用している。言い換えれば、脆弱性が修正された最新版を使用していれば、自動実行を回避してウイルス感染を防げるのだ。」
GENOウイルスチェッカー Ver.1.1
http://geno.2ch.tc/
「・特に2ちゃんねるで様々な情報が錯綜していますが、異常に警戒する必要はありません。今回の件に関してはこのサイトに従って対策を施せば、大事に至ることはまずないでしょう。wiki2ちゃんねるの情報は、誰でも書き込みできてしまうので、信憑性に欠き、初心者の方は惑わされやすいです。/ ・そこで、情報の取捨選択に困ってる人のために当サイトを見るだけで十分なようにこのサイトは作られました。」

▼【GENOウイルスまとめ】
http://www29.atwiki.jp/geno/
GENOウイルスって何なの?/ Adobe ReaderAdobe Flash Playerの脆弱性を突いた新種のコンピュータウイルスです。/最初の感染が通販サイトのGENOで、なおかつ対応が悪かったのでそう呼ばれています。/何が怖いって、普通にホームページを見ただけで感染するから大騒ぎしています。」「これに感染すると /・動作が超重くなる/・パソコンが起動しなくなる/・個人情報がもれる/ なんて事が起きます。/ なんか怖いんだけどどうすればいいの?/とりあえずAdobe ReaderAdobe Flash Playerを最新版に更新しておけば一安心。/ついでにAdobe ReaderJavaScriptを切っておけばもっと安心です。」
GENO感染時の症状/ ・sqlsodbc.chmを改変/・cmd.exe、regedit.exeが起動不能/・一部のアンチウイルスソフトが更新不能/・特定サイトにアクセス不能(Windows Updateアンチウイルスソフト関連サイト) /・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集/・Googleの検索結果を改竄(リンクを弄る) /・explorer.exeや一部のブラウザが異常終了/・Acrobatが勝手に起動/・PDFファイルやシステムファイルが増殖/・CPU、メモリ使用率がUP/・再起動時にBSOD〔Blue Screen of Death, ブルースクリーン〕」
▼【同人サイト向け・通称「GENOウイルス」対策まとめ】
http://www31.atwiki.jp/doujin_vinfo/
「現在、新種のコンピュータウイルス「JSRedir-R」(通称GENOウイルス)が急速に拡大中です。※ソフトによって検出名称は変わります/ 大手サイトだけでなく同人サイトにも広まっています。/このウイルスは個人情報を抜かれる可能性があります。/また、サイト管理人は、別途自サイトの用の対策が必要です。/以下の内容から確認してください。」
「★〔2009年〕5/17 0時時点ではセキュリティソフトでの完全な保護は確立されておりません。/ 感染した場合は【感染してしまった時の対処方法】へ」
GENOウィルス・何をすれば良いか分からない人のまとめ - トップページ
http://www40.atwiki.jp/gegegeno/
ftpって何?javaスクリプト?通称「GENOウイルス」・同人サイト向け対策まとめ・GENOウィルスまとめを読んでも分からない方のためのwikiです。/ こちらは基礎基本しか載っていないので、詳しい状況を知りたい方はそちらを参考にしてください。」

▽対策(防衛策):
▼セキュリティ通信|セキュリティ関連ニュース|正規サイト改ざん(3) ウイルスに感染しないための対策
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1867
▼感染前の対策|通称「GENOウイルス」・同人サイト向け対策まとめ
http://www31.atwiki.jp/doujin_vinfo/pages/19.html
「WindowsUpdateを最新にする」「ファイアウォールを有効にし、以下のIPを遮断する」「adobe製品(AcrobatReader,FlashPlayer等)を最新のバージョンに更新する/(※1 〔Adobe Readerは〕最新バージョンにしてもできるだけ使用しない、やむを得ず使用する場合は/「編集」→「環境設定」でAcrobatJavaScriptを無効にする/ ※2 FlashPlayerは各ブラウザごとにアップデートが必要なので注意)」「ブラウザのjavascriptを無効にする」「それ以外にも」
GENOウイルスチェッカー Ver.1.1
http://geno.2ch.tc/
Firefoxにて〔アドオンの〕Noscriptを利用(Operaflashオフ、pdfをOperaでダウンロードするように設定でもおk)/ (sleipnirIEでも上手に設定するとなんとかなりますが、難しいです。)/ swfのロード、pdfの関連づけ、activeXの無効化がきちんと出来れば問題ないが、IEコンポでは難しい/ そのアタリが比較的楽に設定できるOperaはお勧め」
GENOウイルスまとめ - よくある質問
http://www29.atwiki.jp/geno/pages/22.html
○○ってソフトを使えば安全なの?/ 今の段階では「これを使えば大丈夫」というものは存在しません。/でも対策さえやっておけば深く心配しなくとも大丈夫なので、そこだけはやっておきましょう。」
初期のGENOウイルスは感染するとこのcmdとregeditが使えなくなることがありましたが最近のものは起動できると確認されています。/なお、情報が錯綜していて「cmdを起動すると危ない」という記載が見られます。これは他のウイルスの挙動ですので関係ありません。」

▽チェック方法:
▼UnderForge of Lack|Gumblar ?とおもったら
http://www3.atword.jp/gnome/2000/01/14/gumblar-?とおもったら/
「ここを見ていらっしゃる方の中で、恐怖感に駆られていらっしゃる方。/まずは落ち着いてください。/感染しているかどうかのチェックをしてみましょう。」「※ 2009.05.16に採集された検体を使った結果です。/現在のところ、ほぼこのような動作をしています。/将来変更される可能性もあります。」
「〔自分/自社のwebサイトが感染した場合、〕重要なことは、感染から回復し、もし見ず知らずの他の方に感染を蔓延させているかもしれない状況を止めることです。/ 何度も言いますが、セキュリティ会社に相談して、自分の行動を決めてください。/私は、残念なことに、セキュリティ会社の社員ではありません。」
GENOウイルスまとめ - 対策と駆除方法
http://www29.atwiki.jp/geno/pages/14.html
感染しているか確認/ どうやら感染すると C:\WINDOWS\system32\sqlsodbc.chm が上書きされる様子/ これのハッシュ値を確認してみるといいかも/ ファイルサイズが大きく違うので〔ハッシュ値が〕よくわかんなかったらそっちでどうぞ/ 作成日時や更新日時は環境によってバラバラなのでとりあえず無視してもOK」
正常なsqlsodbc.chm / ファイルサイズ:50,727バイト / CRC32:B61C7A80 / MD5:F639AFDE02547603A3D3930EE4BF8C12 / SHA-1:FBDD32ED13D27E4102621E1067FDF3634F33B2C3 / 〔感染して〕上書きされたsqlsodbc.chmの例(あくまで例でありこの限りではない)/ ファイルサイズ:1,323 バイト / CRC32:7585CBB6 / MD5:BF7209B9589AD09A25740F6D47D0ADEA / SHA-1:D695F957AA9DEB0E4D92F4546DB3A883B1909008」

▼サイト管理人向け|通称「GENOウイルス」・同人サイト向け対策まとめ
http://www31.atwiki.jp/doujin_vinfo/pages/16.html
2. ウェブにアップした自サイトのソースにおかしな記述がないか確認する/ ★全てのページをチェックする必要があります/ index以外全て改ざんされていた、全体の約7〜8%くらいしかされていなかったなど、人によって状況は違うので全てチェックしてください」「※感染している場合の症状/ ・.htmlファイルのbodyタグ直前、.phpファイルの先頭、.jsファイルの末尾に覚えのない難読化されたjavascript(unescape、eval、replaceが入っていたら黒)が埋め込まれる/・「images」ディレクトリ内に「images.php」というファイルが生成される/ 感染サイトのソースコード例(画像)」
▼まずは確認|GENOウィルス・何をすれば良いか分からない人のまとめ
http://www40.atwiki.jp/gegegeno/pages/12.html

▽ウィルス感染時の対処法:
▼感染してしまった時の対処方法|通称「GENOウイルス」・同人サイト向け対策まとめ
http://www31.atwiki.jp/doujin_vinfo/pages/20.html
▼感染してた!|GENOウィルス・何をすれば良いか分からない人のまとめ
http://www40.atwiki.jp/gegegeno/pages/15.html
「まず 「サイトが感染している」と確認した時点で、とにかく1度ファイルを全部削除することが大事です。」

▽関連情報:
GENOウイルス(JSRedir-R) - 関心空間
http://www.kanshin.com/keyword/1819354
▼新たな「Webウイルス」が猛威、感染被害が急増:ITpro
http://itpro.nikkeibp.co.jp/article/NEWS/20090515/330053/
「セキュリティ企業の英ソフォスは2009年5月13日および同月14日、新たに出現したコンピューターウイルス(悪質なプログラム)の感染数が急増しているとして注意を呼びかけた。〔中略〕今回報告されたウイルスは、同社が「JSRedir-R」と命名したもの実体はJavaScriptで書かれたプログラム(図1)。多くの場合、攻撃者は何らかの方法で正規サイトに不正アクセスし、このウイルスをWebページに埋め込む。そのページにユーザーがアクセスすると、埋め込まれたウイルスが動き出し、別のウイルスを勝手にインストールされる恐れなどがある。」「同社がこのウイルスを確認したのは2009年4月30日。その後、感染報告数が急増。」
▼正規サイトに感染広がる:新手のWebベースマルウェアが急拡大 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/0905/15/news032.html
「セキュリティ企業の英Sophosは、正規のWebサイトに感染する新手のマルウェアが出現し、猛威を振るっていると伝えた。/ このマルウェア「JSRedir-R」はSophosが〔2009年〕5月初旬に発見し、その後勢力を急拡大。5月6日から13日の1週間の統計では、Webサイトに感染している全マルウェアの42%を占める規模になり、これまで広く出回っていた2位の「Iframe-F」(7%)を大きく引き離した。/ JSRedir-Rは難読化されたJavaScriptに隠す形で正規サイトに仕掛けられ、ユーザーが知らないうちに別のサイトから悪質なコンテンツをロードする。相当量のトラフィックがある大手アダルトサイトなど、多数のWebサイトで見つかっているという。/ 最近のマルウェアはWebを通じて感染するものが主流になり、Sophosの最新報告書によればマルウェア感染ページは4.5秒に1件のペースで増加。2007年に比べて3倍のペースで増え続けている。」
▼セキュリティ通信|セキュリティ関連ニュース|多数サイトが改ざん(1) PC通販「GENO」など閲覧者にウイルス感染のおそれ
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1857
「■サイト改ざん後の対応〜ずさんさ目立つアクセス制限と告知/ サイトが改ざんされた後にサイト運営各社がとった対応は、事態についてまったく告知しない、障害が発生したことのみ告知する、ウイルス感染のおそれがあることを知らせてウイルスチェックを呼びかけるなどさまざまだった。残念ながら、ずんさな対応が目立ったと言わざるを得ない。」
▼セキュリティ通信|セキュリティ関連ニュース 国内の正規サイト改ざん:攻撃サイトを変え再襲来
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1890
「国内のWebサイトが次々に改ざんされ、閲覧者にウイルスを感染させようとする悪質なJavaScriptが埋め込まれる問題が続いている。/ ラトビアに設置された攻撃サイトが〔2009年〕4月末に閉鎖され、ひと安心と思ったのも束の間、今度は「gumblar.cn」というドメインにサイトを移して、攻撃を再開したようだ。中国のドメイン名だが、サイトはロシアでホストされている。」
▼セキュリティ通信|セキュリティ関連ニュース|サイト改ざん:汚染・再汚染サイトが相次ぎ発覚、攻撃サイトは再び移動
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884
「ウイルス感染によりFTP用のIDとパスワードが盗まれる可能性が非常に高いことから、それ以外の情報も盗まれるのではないのかと不安に思う人が多いと思われるが、この点についてはどのセキュリティベンダーからも報告がないため、現状では何とも言えない。また、感染して攻撃サイトに飛ばされた時点で、攻撃サイトがどんなファイルを用意していたかによっても被害の状況は異なってくる。/ なお米ScanSafeは、「gumblar.cn」がばらまいた悪質なファイルは、ボットネット〔botnet〕からの命令を待つためのバックドアをインストールするようだとしている。/〔中略〕また、可能ならファイアウォールルーターで〔感染サイト閲覧時に誘導される〕攻撃サイトのIPアドレスを遮断しよう。攻撃サイトは、前回お伝えした時点では「gumblar.cn」というドメインに置かれていたが、現在はイギリスでホストされている「martuz.cn」に移動している。現時点で使用されているIPアドレスは「95.129.145.58」だが、ドメインの割り当てすべてを遮断したい場合は「95.129.144.0」から「95.129.145.255」、CIDR表記だと「95.129.144.0/23」となる。/ 「gumblar.cn」が閉鎖したのは〔2009年5月〕15日とみられる。また、「martuz.cn」の埋め込みについて編集部が確認できたうち、最も日付の若いタイムスタンプは「2009/05/15 22:18:23」だった。」
▼セキュリティ通信|セキュリティ関連ニュース|PDF閲覧ソフトAdobe Readerの修正版公開、深刻な脆弱性2件を修正
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1886
アドビシステムズは米国時間〔2009年5月〕12日、PDF閲覧ソフトAdobe ReaderおよびAcrobatの修正版を公開した。これにより、4月末に報告されていた深刻な脆弱性2件が修正された。/ 問題となっていたのは、Adobe ReaderがサポートするJavaScriptの処理でメモリ破壊が起きる脆弱性2件で、修正版が公開されるまでは当面の対策として、Adobe ReaderJavaScriptを無効にする回避策が提示されていた。/ 影響を受けるのは、Adobe Reader/Acrobat9.1、およびそれ以前の全バージョン。同社は今回、最新版のAdobe ReaderAcrobat 9.1.1を公開し、すべてのユーザーに更新するよう推奨している。9.1.1に更新できないバージョン8と7のユーザーには、「8.1.5」と「7.1.2」への更新を推奨している。」

▽詳細:
▼gumblarが話題になり始めたのはいいのだけど……: べつになんでもないこと
http://puppet.asablo.jp/blog/2009/05/15/4306976
予防対策/ 1.Adobe Flash Player の最新版にアップデート/2.Adobe Acrobat Reader の最新版にアップデート/3.NoScriptの導入(Firefoxの導入)/4.Adobe Acrobat Readerの JavaScript 機能OFF/5.危険IPのブロック」
「追記: 必須対策は1.と2.です。3.以降は強化対策になります。/3.の〔Firefoxアドオンの〕NoScriptですが、gumblarタイプには気休め程度にしかなりません。/ただし、現在IEだけを狙い撃ちにしてるので、IE以外のブラウザ(FirefoxSafariOpera)を使うのは有効な対策です。」「Foxit Readerだから関係ネーとか言ってると足元をすくわれます。最新版にアップデートしてJavaScriptは必要ない限りOffにしましょう。」
▼gumblar改めJSRedir-Rと呼んだ方がいいの?: べつになんでもないこと
http://puppet.asablo.jp/blog/2009/05/18/4310523
「大体、ウイルス情報を集めるのに、ブラウザのJavaScriptを切ってないってのは迂闊すぎます。/こんなとき、JavaScriptを切って見れないサイトの情報なんて集める必要はないのです。」
▼UnderForge of Lack|Zlkon, Gumblar 問題に関して
http://www3.atword.jp/gnome/zlkon-gumblar-問題に関して/
「概要/ このウィルスは以下のような性質をもっています/ ホームページに不正に埋め込まれたJavaScriptやIFRAMEが不正に SWFやPDFを開かせます。/ アップデートを行っていないユーザの脆弱性で、Flash Player や Adobe Acrobat Readerがクラッシュしてしまいます。/ クラッシュ時の脆弱性を悪用し、マルウェア(PE型:xxxxx.exe)をそのブラウザのユーザ権限で実行させられます。/ 実行されたマルウェアは、内部にトロイを埋め込みます。/ 埋め込まれたトロイプログラムは、感染したPCのインターネットアクセスを監視、特に FTPアクセスを監視して ID/Passwordを盗んでいる可能性があります。/ 不正に入手したID/Passを使って、ホストへ(おそらく自動巡回で)不正侵入、改ざんコードを埋め込まれます」
▼UnderForge of Lack|Gumblar ?とおもったら
http://www3.atword.jp/gnome/2000/01/14/gumblar-?とおもったら/
FFXI(仮)|gumblar.cn
http://ilion.blog.shinobi.jp/Entry/85/
「gumblar.cn/ 先月〔2009年4月〕、以下のようなスクリプトがいくつかのサイトに注入されていました/(実際は難読化された長いスクリプトでした)。/ ht tp://94.2 47.2.195/jquery .js / zlkon.lv(ラトビアISP?)配下のIPアドレスであることから zlkonウイルスなどと呼ばれていました。/ 今はいくつかのサイトに以下のようなスクリプトが注入されています。」
▼見知らぬ Javascript に注意。(was gumblar.cn) - blog::BLOCKBLOG
http://ueshimafamily.ddo.jp/blog/2009/05/-javascript-was-gumblercn.html
「手元で管理しているプロキシサーバ(bluecoat SG/AV)から、とあるURLに対してのアクセスをブロックした旨のアラートがきた。調べて見ると洋書(フランス語)の販売サイトのようだ。試しに No script な Firefox でアクセスしてみると確かにプロキシサーバがブロックしている。/ 所内にこのサイトのお得意様がいるのか、結構な頻度でアラートが来るので今朝にその販売サイトに書かれている連絡先に電話した。出た方いわく、ホームページとかはメンテナンス会社の方にお願いしているのでそちらから電話してもらいます、とのこと。しばらく後に、そのメンテナンス会社の方から電話があったもののまったくもって危機感がない・・。/ その販売サイトのほとんどのページに js が埋め込まれているというのに・・・。/ 同様のパターンが報告されていた」
「eval してある所は alert に変えてあります。で、この js 〔JavaScriptファイル〕から呼ばれたファイルが突くのは adobe 関連のソフトの脆弱性。これについては、以前にあった、jquery.js と同じパターン。後ろにつく、id= の部分によって突く対象が変わるようになっている。wget で単純にアクセスしても何もも起こらない。本体を解析されるのを防いでいる?」
▼zlkon.lv から gumblar.cn へ - cNotes: Current Status Notes
http://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=zlkon%2Elv+%A4%AB%A4%E9+gumblar%2Ecn+%A4%D8
「〔2009/05/07現在〕アンチウィルスの反応は非常に悪いです。downloadされるファイルがころころ変わるのかもしれません。/ また何かしらのアクセス制限をされていて、一定期間?同一IPからのファイルのダウンロードはできなくなります。/ 多くのURLフィルタでこのドメインはブロックされるようになってますので、とりあえず気づくことはできるようになっているかもしれませんが、ドメインをgumblar.cnから変更されれば終わりです。また、インジェクションされているサイトの検出はほぼスルーです。一部のリンクチェッカーは反応してくれるようでgoogleの検索結果にインジェクションされたサイトが含まれていても反応してくれますが、完全ではありません。/ インジェクションされているスクリプトも下記のようにバリエーションがあり、あきらかにランダムにオートジェネレートされているっぽいのでパターンマッチの自動化も難しいですね。」
「たぶんMalicious PDF Server injectionとも関連してるかな?となると関連するのがもう一ついますので、後ほど書きます。「iframe src系」「script src系」から次の手法に変化したってことですかね。/ とりあえずブラウザのjavascript機能はデフォルトOFFにすることが基本ですかね。iframeも禁止にすることでより強固になりますが、今の世の中、両方をOFFにするとまともにページが表示できなくなりますので、少なくともjavascriptはOFFで。」
▼セキュリティ通信|セキュリティ関連ニュース|多数サイトが改ざん(2) 狙われた「Adobe Reader」と「Adobe Flash Player」
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1856
「今回の改ざんでは、猛威をふるった「SQLインジェクションスクリプトタグをレコードに埋め込む」手口とは異なる、新しい手口が使われている。スクリプトタグが、ページのヘッダとボディの間に埋め込まれていたり、ロードするJavaScriptファイルに埋め込まれるなどしているのだ。SQLインジェクションによる改ざんでしばしば見られた、埋め込みの失敗(文字列がテキスト状態となってJavaScriptとして無効となる)も発生していない。また、難読化と不安定化が図られており、ストレートにスクリプトタグが埋め込まれていたSQLインジェクションによる改ざんに比べ、改ざんを見つけにくくなっている。」

▼セキュリティ通信|セキュリティ関連ニュース バックナンバー|正規サイト改ざん(2) 薬事日報社が調査結果公表〜改ざんの手口が明らかに
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1868
「〔2009年4月〕17日に改ざん被害を受けた薬事日報社(本社:東京都千代田区)は22日、不正アクセスの調査結果を公表。翌23日には、同サイトにアクセスしてウイルスに感染した場合の症状などについての詳細を発表した。/ 内外のブログや掲示板などで、これまでに断片的に報告されていたものを総括する内容で、国内大手の被害サイト自らが、まとまった形で状況を説明するのはこれが初めて。」
▽汚染された企業webサイトの対応と明確な報告。

▽リンクノート:
▼セキュリティ通信|So-net
http://www.so-net.ne.jp/security/index.html
▼オンラインウイルススキャン
http://securityzone.zapto.org/virusscan.htm
▼cNotes - cNotes: Current Status Notes
http://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=cNotes
▼「スクリプト・ウイルス」とは:ITpro
http://itpro.nikkeibp.co.jp/word/page/10005912/
スクリプト言語で記述されたウイルス。スクリプト言語とは,一般的にテキスト形式で記述され,インタープリタなどで逐次的に処理される言語のこと。通常のプログラム言語と異なり,コンパイルなどをする必要がないので定型処理を容易に自動化できる。」「スクリプト・ウイルスはテキストで記述されているので,入手さえすれば容易に改変できる。このため,流行したスクリプト・ウイルスには多くの亜種が存在する。」
▼@IT:いまさらというなかれ! 管理者のためのウイルス対策の基礎(1)
http://www.atmarkit.co.jp/fsecurity/rensai/anti_virus01/anti_virus01.html
▼「Firefoxを使い続けるための“お勧め”設定」,NoScriptを組み込んでいないFirefoxは使用停止に:ITpro
http://itpro.nikkeibp.co.jp/article/COLUMN/20080421/299675/