2006年02月07日

今のネット犯罪はお金です

2005年12月の年末年始にあったWMF(Windowsメタファイル画像)ファイルの脆弱性騒ぎを覚えていますでしょうか?
画像ファイルのWMFファイルをIEで見るだけで悪質なプログラムを実行させる事が可能という脆弱性でした。

「見るだけで感染」という悪質な上に、脆弱性の発表と同時にその脆弱性をつく画像が出回っており、それにも関わらずMicrosoftのパッチが通常通りのスケジュールでリリース予定という事で、未公認パッチをセキュリティ会社が推奨するという異常事態になりました。


どういう話だったのかがITmediaで紹介されています。

 WMF脆弱性を狙う攻撃コードは闇取引の「商品」だった――Kaspersky Lab (ITmedia)

簡単に言えば、実は脆弱性が見つかったのは12月1日前後と、セキュリティ会社から発表があった12月26日よりも遙かに前でした。そして、その発表から一週間後には1000を超える悪質な画像が出回っていたそうです。

問題なのは12月1日前後に見つけたのはアングラ(アンダーグラウンド。違法・非合法な世界の事)な人で、ハッカーグループにより4000ドルでそれを販売していたということです。また、ロシアで取引が行われていたため、その取引の検知に気付かなかったようです。

そして、この脆弱性を使ってスパイウェアをインストールさせたり、データを圧縮・暗号化して「データを復号してほしければ送金せよ」と脅して振り込みさせるわけです。スパイウェアもIDやパスワードを盗んだり、DoS攻撃をするための足がかりにしてそれをもって企業を脅してお金をゆするんですね。
人質事件はマイPCでおきるかも!? (05/05/26):暗号化による脅迫


つまり・・・全てお金のためです。
記事を出しそびれましたが、ウイルス出現から20年経ち、「一番変わったのは作者の動機」というのがありました。

昔は趣味や腕自慢や愉快犯でしたが、今はお金のため犯罪集団が多いのです。前もボットを使って6万ドルを稼いでBMWを乗り回していた話がありました。セキュリティ対策をしましょうというのは、お金を揺すろうとする詐欺や恐喝から身を守るため、なんですね!


Microsoftのパッチは一ヶ月以上、ウイルス対策ソフトも3週間以上、この脆弱性に対する対策は出来ていませんでした。ウイルス対策というのは「ウイルスが発生して報告があってから対策定義ファイルが作られる」というのが基本的な動きですので、この状況は当然なんですね。このWMFの脆弱性を防ぐのは難しいですが(IEを使わなければいいという考えは間違いです。Firefoxだって脆弱性は沢山出ていますし、完璧に安全と言える物はありません)、メール添付のウイルス等はユーザが行動しなければ防ぐ事が出来ます。

Windows等のOSのパッチをあてたり、ウイルス対策ソフトやファイアウォールを最新の定義で使い続けるのは当然ですが、最後にものを言うのはユーザの行動ですよ!


IE7 や Windows Vista のβ版などが出ており、インストールしている人も多いですが、今はどちらも開発者向けの状態です。知識とセキュリティ意識が高い人向けです。検索すると・・・やっぱり、メインのPCにインストールしている人って結構多そうなんですよね。見ていて結構怖い〜!って思うんです。Microsoftが公言しているとおり、今は不具合が含まれている状態です。その状態のソフトをメインPCで使うというのは・・・上の犯罪者にとっては格好の餌食なんです。これも自分から脆弱性を増やしている行動と言えます。
開発者とかは、結構サブPCにインストールするなど、メインのPCにはインストールしない事が多いんですよ〜!

ちょっとIE7に対してしつこいようですが・・・それほど私はシステム直結のソフトを安易にβ版にするのは怖いんですよね。
正直・・・ここで頑張って力説しても、あまり変わらないのかな・・・?

2006年02月05日

Firefoxを1.5.0.1にしましょう

Firefox 1.5.0.1 日本語版」で、ニュースの記事を見る限り大した修正はなく、バージョンアップをしましょう!とは書きませんでした。意外に拡張機能はバージョンに左右されるため、不具合改善のバージョンアップ以外では即更新する必要はないと思っているからです。

と・・・思っていたら、1.5 → 1.5.0.1 と小さなマイナーチェンジと思っていましたが、思ったよりも大きな修正でした。詳しくは「セキュリティ問題の修正」に載っていますが、合計8箇所の脆弱性の修正で、その内の一つは脆弱度は最高レベルです。悪用されると、システムを乗っ取られる可能性があります。

と、いうわけで、バージョンアップしましょうね!

セキュリティ問題の修正」にある脆弱性8件中7件は、メールソフトの「Thunderbird」にも影響が出ます。但し、デフォルトで JavaScript が無効になっており、この状態では問題が発生しません。
Thunderbird の JavaScript を有効にしないようにしましょう!


あと、下の【私の記事】にコメントを付けました。
拡張機能の紹介や性能比較などを見て貰うと、Firefoxをとりあえずインストールしてみたくなりません?


【私の記事】

2006年02月02日

Winampに高い脆弱性

スキンなどの高いカスタマイズ性を誇るメディアプレイヤー「Winamp」の5.12に極めて高い脆弱性があり、それを実証するエクスプロイトコード(実証コード)が公開されています。この脆弱性を利用した攻撃を受けると、リモート操作される可能性があります。また、確認されたのは5.12ですが、それ以前のバージョンにも同様の脆弱性が含まれている可能性があります。

対策は、新バージョンの5.13にバージョンアップです。

 メディアプレイヤー「Winamp」、脆弱性を狙ったエクスプロイトコードが出現 (CNET Japan)
 Winampに危険度の高い脆弱性、最新版「5.13」へのバージョンアップを (INTERNET Watch)
 Winamp (窓の杜)


一時期はかなりユーザが多かったですが、iPod + iTunesによりグッとメディアプレイヤー界での順位が大きく変わったので、最近は使っている人が減りましたね。とりあえず、まだ私の周りでも使っている人がいるのでお知らせでした。


ちなみに私のメインは「Windows Media Player」です。
iTunesはポッドキャスティングで使用していますが、いくつかのMP3ファイルで何故かファイルが登録出来ません。気付いているのは4曲ですが、結構好きな曲だけに妙に腹が立つんですよね。。。あと、家ではあまり曲は聴きません。ずっとテレビつけてますから(笑) どうせなら「Yahoo!ミュージックサウンド ステーション」等、PC上でしか聞けない物を流す方がいいですし。。。なので、あまりメディアプレイヤー系にはこだわりないんです。


【私の記事】
パッチはお早めに
Yahoo!ミュージックがIE上のみの無料音楽配信

2006年02月01日

「容疑者の写真」を語るワームメール

もし、「1月25日に大学の敷地内で犯罪が発生した。監視カメラに犯人が映っている。メールに添付された写真を見て,犯人に心当たりがあれば当局まで連絡してほしい」(IT Pro)というメールが届いたら、どうしますか?

これが自分の大学(社会人なら大学ではなく社内など)で差出人が同大学なら・・・大して疑いもなく思わず開けてしまいませんか?

 「犯人の写真を送ります,心当たりは?」,大学生を狙った悪質メールが出回る (IT Pro)

これは米国の大学で流れているメールで、添付ファイル「Suspects Photo.exe」「suspect image.exe」「CCTVstill.exe」等を開かせようとします。これはボットを拡散させようとするメールで、勿論、実行するとワーム型ウイルス「Troj/Stinx-N」に感染して、ウイルス対策ソフトの停止や、他のスパイウェアなどをダウンロードして実行しようとします。

画像や動画の拡張子ではなく、exeファイルなのでだいぶ警戒心が出てくるとは思いますが、「容量圧縮と学内回線緩和のために自動解凍機能付き圧縮しております」なんて書いてあると、ありえそうな話だけに警戒心が薄くなりそうですね。


なかなか上手いメールですよね。私はちょっと自信ないです。
「あなたの口座から不正にお金が・・・・」という文面は使い古されていて怪しいと感じてしまいますが、この「捜査に協力して下さい」はお金を狙われていないという安心感と、自分にも被害が及ぶかも?という危険意識、何よりも捜査に協力して私のおかげで逮捕になったらカッコイイ、自慢できる!って思っちゃいます。誰でも持っているささやかな正義感をくすぐるので、上手いと思います。

ホント、巧妙になってきていますね。
特に添付ファイルには気をつけましょうね〜!


【私の記事】
拡張子に気をつけましょう!

2006年01月30日

GoogleやSun等がBadware対策に協力

米ハーバード大学と英オックスフォード大学が協力してスパイウェアやアドウェアなどの不正プログラムをバッドウェア(Badware)と呼び、Badware撲滅のために「StopBadware.org」を開設して、ユーザに関連情報を行うそうです。そして、このプロジェクトに Google、Sun Microsystems、Lenovo(IBMのPC部門を買い取った中国企業)らが協力するそうです。

不正プログラムを通じて儲けている企業を特定して名前を公表するそうです。また、StopBadware.org を通じて、ダウンロードするプログラムなどにBadwareが含まれているか確認したり、自分が出会ったBadwareを報告して他ユーザに注意を促すことが出来ます。

バッドウェアって、また新しい単語を作ってくれましたね・・・正直、混乱するのでやめて欲しいですよね。定義的に「マルウェア(malware)」と何が違うのかがよくわかりません。malは悪の〜 という意味で、悪いソフトウェアの事です。かなり近いと思うんですよね。

米国成人の約5900万人のPCにBadwareがインストールされていたそうです。これらに付随して、2003〜04年にホームユーザが修理・買換に関係した損害額は約35億ドル(今の日本円相場で約4000億円!)にもなるそうです。


内心、「そうはいっても、米国と英国だし・・・英語だし・・・!」と記事にする気が減っていたんですけど。。。ここで思ったのがGoogleが協力していることです。

ここから下は勝手な想像ですが・・・
ユーザの行動として、検索してサイトにジャンプしていくというのがあります。
ユーザの報告と確認活動後、この時点でバッドウェアが含まれているサイトを検索対象外にしてしまえば?というのがあります。もちろん、フィッシング詐欺のようなタイプは難しいですが、感染する割合が増えるのは確かです。

誰が確認する? 検索対象外に安易にしていい? ブログ等のTBで誘導されるには効かないなど、問題は多いかも知れませんけど、Googleが関与しているならばこそ出来る芸当と言えます。

あくまでも、GoogleやYahoo!は営利企業なので、非常に公共性は高いですが、検索対象から削除する決定権があります。
現地発「Googleサーバの中国移行とその影響」(ITmedia)」 や 「Google、中国で「検閲版検索サービス」提供へ (ITmedia)」 にあるように、Googleは中国当局との関係から、Googleのブログ「Blogger」を提供しない、特定のキーワードは検索対象外にするとしています。

また、インストール率が高いGoogleツールバーに組み込んだりと、よく知らない団体による研究で終わるよりは、ユーザに直接メリットを与えてくれる率は高いと思われます。勿論、これもチェックのためにユーザの情報や閲覧サイトをGoogle等に送信していることになるので、問題がでる可能性も高いです。

また、Googleには翻訳もありますので、検索結果に反映して危険度を日本語で表示する機能等が付く可能性だってあり得ますよね。


私としては、現実的にユーザにメリットを及ぼしてくれる可能性が高い企業が協力したのは、非常に意義があるかも?と思っています。

2006年01月29日

毎月3日に発動するワーム「Nyxem-E」等

毎月3日、この記事の直近では06年2月3日(金)に、Windows系PCで Microsoft Office系のドキュメントやPDFファイル、圧縮ファイルを破壊するウイルスが蔓延しているそうです。削除ではなく破壊です。復旧が基本的に不可能になりますので要注意です。セキュリティ企業のF-Secure の危険度は5段階中、上から2段階目との事です。

このワーム型ウイルスは各社名称が異なり、「Nyxem-E (F-Secure)」「Blackmal (Symantec)」「Grew.A (TrendMicro)」「MyWife.d (McAfee)」「Blackworm」等と呼ばれています。相変わらず判りづらいですね。。。


感染方法は、メールの添付ファイルと共有フォルダに直接ファイルの設置。大半は画像ファイルを偽装した物みたいですが思いこみは禁物ですね。メールの件名や内容は不定ですが、アダルト系が中心で古代サンスクリットの書物「カーマスートラ」に言及している物もあるそうです。

発症タイミングは、毎月3日(PC内の時計?)

症状は、ファイルの破壊、レジストリ改竄によるセキュリティソフトの起動停止、PC内の電子メールアドレス宛に複製したワーム型ウイルスを送信、感染した事を外部に送信。
ファイルのデータを文字列で上書きするため復旧はほぼ不可能です。

対象となるファイルは、拡張子が「doc,xls,mdb,mde,ppt,pps,zip,rar,pdf,psd,dmp」(IT Proより)
Microsoft Officeファイル:doc,xls,mdb,mde,ppt,pps
圧縮ファイル:zip,rar
PDFファイル:pdf
画像ファイル:psd(Photoshop),dmp

対処方法は、最新のウイルス定義で対応済みのため、ウイルス定義の更新とそれによるPC内のチェック。当然ながら、安易にメールの添付は開かない事と、知らないサイトへのURLをクリックしない事、です。


メール添付してあるワーム型ウイルスであり、内容がアダルト系を思わせる内容ですので、スケベ心を出さなければ大丈夫です(笑)

・・・なんていう甘い考えは辞めましょう。
今の時点ではそうかも知れませんが、亜種(新種。改造して新しい物を作る)がそうとは限りません。Microsoft からのセキュリティ情報メールを偽装して来る可能性だってありえると思って下さい。


症状の外部へ感染したことを送信するですが、どこまでの情報が送信されるかはわかりませんでしたが、あるサイトにこのワームに感染したPCの台数を表示するカウンタがあるそうで、数字の真偽は別としてそれによると、1月24日で63万台の感染数となっています。

このワーム型ウイルスが怖いのは、データを全て「DATA Error [47 0F 94 93 F4 K5]」で上書きすることです。特殊なソフトでも正常に復旧することは難しいレベルとなり、一般人には手が出せそうにありません。

もう一つ怖いのが、ウイルス対策ソフトなどを停止する機能です。このウイルス以外にもいつの間にか感染している可能性があります。「ウイルス定義は自動更新しているから大丈夫」というのは、残念ながら今では少々危ない考えです。たまにはウイルス定義をみて、最新になっていそうか確かめるクセを付けましょう!


【私の記事】
毎月3日のNyxem-Eの被害台数は (06/02/08):後日談です

2006年01月15日

2005年のウイルス届出数増加

情報処理推進機構セキュリティセンター(IPA/ISEC)が、1月10日に2005年12月分と通年のウイルス・不正アクセス届出状況を公開しました。

ウイルス届出数は年間で5万4174件となり、前年の5万2151件より2023件増加したことになります。但し、感染率は減少傾向にあり、04年の1.2%から減って、0.4%にとどまったそうです。

不正アクセス数は年間で515件となり、前年の594件より79件(約13%)減少したことになります。但し、被害があった件数は前年より2.4倍に増加したそうです。

 IPA、05年度のウイルスなどの届出件数は過去最多、しかし感染はわずか0.4% (CNET Japan)
 「2005年のウイルス届け出数,過去最多の5万4000件」---IPA (IT Pro)
 05年のウイルス検出は過去最多、被害は減少 不正アクセス被害は増加 - IPA (MYCOM PC WEB)
 2005年、ウイルス届出数は最多に上るも被害率は低下――IPA (ITmedia)


うんうん、ウイルスに関してはセキュリティ意識が増えて嬉しいですね♪


・・・なーーんて言うつもりはサラサラありません

間違ってしまいそうですが、この情報はIPAへの「届出数」であり、実際の全ての検出・感染数などではありません。つまり、こういう時はカウントされていません
・元からウイルス対策ソフトを導入しておらず気付いていない
・ウイルス対策ソフトの期限切れなどで検出出来きていない
・ウイルス対策ソフトが検出を見逃している
・IPAやSymantec等のメーカーへ届け出をしていない


例えば、11月23日の「日本はAntinnyがイッパイ!」で、Microsoftの月例パッチでリリースしている「悪意のあるソフトウェアの削除ツール(MRT)」で、Winny等で感染を広めるAntinnyウイルスが大量削除されたのを覚えていますでしょうか? その時に約11〜20万件のAntinnyが削除されたそうですから、この時点で倍以上は軽く検出されたことになります。

また、実際に導入していない人もまだまだ多いんです。
MYCOM PC WEB の 2005年12月2日の記事で、『パソコンの個人ユーザーの場合、ウイルス対策ソフトを使用していない層は43.3%もあり、使わない理由としては「価格が高い」が42.2%、「感染しないと思う」が36.7%(いずれも総務省調べ)』となっています。使用していないは、おそらくウイルス定義の更新を行っていない人も含めてだと思います。


ウイルス届出トップ3(亜種を含む)
・Netsky: 1万2782件
・Mytob : 5123件
・Mydoom: 4149件

これらの特徴はメールでの感染とのことです。思ったよりもメールでの感染は多いんですね! 何はともあれ、簡単に添付ファイルは開かないようにお願いします。


また、友達へのメールでも「HTMLメールよりもテキストメール」「添付ファイルの有無と内容を明記する」を行うことにより、セキュリティ度合いが増えます。HTMLメールは悪質なファイルを隠しやすく、また返信は同じHTMLメールで送り返す人が多いので自分に降り掛かる可能性があります。添付ファイルの有無などを常に明記していれば、言及していない添付ファイルが来た場合に不信感を持つようになります。

Soberが再度発生、メールに気を付けて」で、メールについて書いていますので参考にして下さいね。


こちらはプロバイダーでのメールの感染チェック状況です。


左から順に。
1.24時間以内で、最も感染数の多いウイルス
2.24時間以内で、感染数トップ5のウイルス
3.24時間以内で、全メールに対するウイルス感染率

この記事の時点でも、ベスト5以内に、Netsky.Q, Netsky.D, Mytob.D と3件も入っていますね。やっぱり多いみたいですね。



不正アクセスについては個人ユーザということで話を進めますが、ファイアウォールの Norton Internet Security や ZoneAlarm 等では侵入時に警告が発生します。
ですが、巧妙に入られると警告が出ない可能性があります。その場合は個人では気付くのは困難だと思います。正直言えば、私も不正アクセスされてもそうそう気付かない気がします。もし、ファイルが消えていても操作ミスとか思っていそうですし・・・オンラインバンク等で実被害が出て、初めて気付く気がします。

今時は個人のパソコンに直接侵入を仕掛けてくる人は少なく、殆どがスパイウェアによる情報収集やリモート操作です。そのため、ファイアウォールだけではなく、スパイウェア対策ソフト(最近のウイルス対策ソフトはスパイウェア対策も含まれている物が多いです)や、Windows等のOS や ブラウザのアップデート等の対策が必要となります。


そういうわけで、楽観視はしないようにお願いしますね〜!!
引き続き、周りの人にもウイルス対策などはするように口酸っぱくお願いします♪


【私の記事】
ウイルスやスパイウェアは多いんです
新しいOSとブラウザにして欲しいかな
フリーのウィルス対策とファイアウォール

2006年01月11日

QuickTimeに危険な脆弱性。7.0.4にUP

QuickTimeで悪質な細工がされた画像やマルチメディアファイルを読み込むと、不正終了や仕込まれたプログラムやウイルス等が実行されます。

対象は、Windows版とMac版

対応策は、QuickTime 7.0.4 にアップグレードすること。
QuickTimeを起動して、ヘルプ→バージョン情報で確認出来ます。バージョンが7.0.4より前の場合は更新しましょう。ヘルプ→既存のソフトウェアを更新で、更新処理が出来ます。

 QuickTimeに危険なセキュリティ・ホール,悪質なプログラムを実行させられる (IT Pro)
 アップル、QuickTime 7.0.4をリリース--「重大」な脆弱性に対処 (CNET Japan)
 Apple、脆弱性修正した「QuickTime 7.0.4」公開 (ITmedia)


修正対象の5件のセキュリティホール(IT Proより)
・QuickTime TIF(QTIF)画像ファイルの処理に関するヒープ・オーバーフローのセキュリティ・ホール(CVE-2005-2340)
・TGA画像ファイルの処理に関するバッファ・オーバーフロー/整数オーバーフロー/整数アンダーフローのセキュリティ・ホール(CVE-2005-3707/CVE-2005-3708/CVE-2005-3709)
・TIFF画像ファイルの処理に関する整数オーバーフローのセキュリティ・ホール(CVE-2005-3710/CVE-2005-3711)
・GIF画像ファイルの処理に関するヒープ・オーバーフローのセキュリティ・ホール(CVE-2005-3713)
・マルチメディア・ファイルの処理に関するヒープ・オーバーフローのセキュリティ・ホール(CVE-2005-4092)


インストールした記憶がない人でも、iTunesと同時にインストールされます。(これがイヤなんです・・・)インストールされている場合はスタートメニューに含まれているはずですので、確認しましょうね!

よく見ると、同時にiTunesも6.0.2にバージョンアップされているみたいです。
こちらですと同時にアップグレードされると思います。(但し、確認だけはしましょうね!)
この記事の時点ではiTunesからのアップグレードは出来ず、公式サイトからのダウンロードとなりました。


ところで、スタートメニューの並び替えって、皆さんはしないものなんでしょうか?
スタートメニューのプログラムで、メニューを適当に右クリック → 名前順で並び替えで出来ます。人のスタートメニューを見ると、結構みんな並び替えとかしていませんけど、使いづらくないのかな・・・なんて。こういう探し物をするときに、人のPCって判りづらくて、いつも思うんですよね。余計なお世話ですので、本人には言いませんけど(笑)


【私の関連記事】
QuickTimeの脆弱性4件
iTunesとQuickTimeにmovファイルの脆弱性

本日1月11日のMicrosoft Update

今回はセキュリティアップデートは2件と、悪意のあるソフトウェアの削除ツールでした。
セキュリティの危険度は、緊急2件(Office 1件含む)でした。

 MS、月例パッチを公開--Windowsおよび電子メール関係ソフトに「緊急」レベルの脆弱性 (CNET Japan)
 WindowsやOfficeに危険なセキュリティ・ホール,Microsoft Updateの実施を (IT Pro)
 マイクロソフトがウイルス削除ツールの新版,ボット「Bofra」などに対応 (IT Pro)
 MS月例アップデート、WindowsとOutlookの脆弱性に対処 (ITmedia)


今回の脆弱性は、「PCもしくはサーバの完全な制御権が攻撃者に奪われるおそれがある」との事で非常に悪質です。速やかに適用したいですね。(現時点では悪用されていないらしいです)


1月6日に「WMF脆弱性に関する Microsoft Update」が行われています。既に被害が出ておりますので、ちゃんと適用されているから、もう一度確認しましょう!


出来れば、手動でアップデートしましょう♪
自動でやるよりも、セキュリティ対策をしているという意識が芽生えますからね。
ちなみに、「Microsoft Update」も「Windows Update」も、基本的に同じ物です。「Microsoft Update」は、「Windows Update」と「Office Update」等が一つになったものです。

絵でみるセキュリティ情報からの情報です。
危険レベルは深刻度の評価システムとは?で判断出来ます。


緊急
(MS06-002) 埋め込み Web フォントの脆弱性により、リモートでコードが実行される (908519)

(MS06-003) Microsoft Outlook および Microsoft Exchange の TNEF デコードの脆弱性により、リモートでコードが実行される (902412)
※Microsoft Outlook 2000, 2002, 2003 と Microsoft Exchange Server 5.0, 5.5, 2000ユーザが対象


MS06-002は、悪質なWebサイトだけではなく、悪質なメールでも被害が発生します。スパムで送られてくる可能性があるため、不審なサイトは見に行かないから関係ないと思わないでくださいね〜。

MS06-003は業務上、すぐに適用できない可能性があります。そのため、回避策として「メールをテキスト形式で表示する(HTML形式で表示させない)」「インターネットおよびイントラネットゾーンで,フォントのダウンロードを『ダイアログを表示する,または無効にする』に設定する」(IT Pro)となっております。


今回の悪意のあるソフトウェアの削除ツールでは、ボットのBofra,Maslan,Partie を削除する機能が追加されました。

MSが新種のWindowsバグの駆逐へ動き始めた?

今回のWMFの脆弱性(WMF脆弱性に関する Microsoft Update)で、Microsoftは「非公認パッチを充てないよう」にという呼びかけを無視されて大量に適用されてプライドを傷つけられた?のか、自社製品のコード(プログラム)を徹底調査して、今後、同じような問題を起きないようにするとのことです。また、今後の開発作業の刷新も行うそうです。

 マイクロソフト、新種のWindowsバグの駆逐へ--WMF脆弱性を受け (CNET Japan)

今までのどの脆弱性とも異なる脆弱性だったらしく、「用意された機能」を予期しない悪用に使われたとのことです。こうした攻撃の可能性を認識して、Microsoftは他の製品もあらゆる脆弱性の有無を確認することを約束するとの事です。


さてさて・・・意外にソフトウェア業界ではあることですが、少々の不具合・・・例えば文字の位置が微妙にずれるとか・・・特にそれが元で致命的な事を起きない時は、直さないという事があったりします。「ちゃんと直してよ!」というのは当然ですけど、場合によってはその修正が新たなバグを生むことがあるからです。今までのWindowsのパッチでもありましたしね。こういう事は、パッケージソフト(MS Officeとか一太郎とかのパッケージ商品)は対応の悪さで客が減るのが困るので修正しますけど、企業のシステムでは有ることなんですね。
今まで動いていたシステムを変更するというのは、小変更でもリスキーな物と考えています。

企業のシステムですと、このパッチを充てたことにより、動作が変わってシステムが動かなくなる可能性があります。そのために、企業のシステム管理者はパッチを吟味して充てたいと思うわけです。それがパッチの用意が出来るたびにリリースされてはシステム管理者の身が持たない・・というわけで、定期的にリリースする「月例Microsoft Update」が生まれたという訳です。

そういう目で見ると、一概に軽微なバグを修正しないのと、すぐにリリースしないのは、悪いと断定出来ない事だったりするんですね。

とはいえ、今回のWMFの脆弱性は被害を受けた人が続出しているわけで、それを企業のシステム管理者のためにリリースを止めるというのは納得いかないってなるんですけどね!!


で・・・これで今までの製品の修正や開発手法の改善をされれば大丈夫かと言いますと、それほど大きくは減らない気がします。
もとより、誰だってバグを出して後ろ指さされたくありませんから(笑)、ちゃんとしているつもりです。100%、絶対に大丈夫なんて言い切るのが難しいのがソフトウェアだったりします。WindowsやIEはダメダメと言われていますが、LinuxやFirefoxだって致命的なバグを出して修正はしています。
今の犯罪者はお金目当てなので、狙うのはシェアが大きい物なんですね。なので、Linuxのようにシェア(カモとなる一般人がいる家庭PCのシェア)が低い物を狙うよりも、Windows を狙って必死にあら探しをするというわけです。同じレベルでLinuxやFirefoxを狙えば、意外に出てくると思います。

結構、皆さんが思っているよりも今のWindowsはしっかりしている物なんですよ。


とはいえ、・・・こんな事も有ったりします。
WMFには他の脆弱性もあり、DoS攻撃が可能となる脆弱性があると言われています。これは先日の「WMF脆弱性に関する Microsoft Update」の(MS06-001)では対応されていません。(DoS攻撃についてはコチラで説明)

 Windows Meta File関連で新たな脆弱性--DoS攻撃を誘発 (CNET Japan)
 WMF形式の画像にDoS攻撃可能な脆弱性、「MS06-001」でも未修正 (INTERNET Watch)
 Windowsの画像処理機能に新たなセキュリティ・ホール,MSは「性能の問題」と評価 (IT Pro)

Microsoftの見解ではパフォーマンスの問題であり、エクスプローラ(explorer.exe)が再起動されるだけで不正なプログラムを実行するような悪用までは至らないとのこと。

うーん・・・エクスプローラが再起動されるだけで、十分に迷惑ですよね。エクスプローラが異常終了すると、タスクトレイにあるIMEのモード確認が消えたりと困ります! このMicrosoftとユーザの温度差が問題じゃないでしょうか・・・

2006年01月06日

1月11日は月例 Windows Update!

1月11日(第2火曜日の翌日)は、月例のWindows Update (Microsoft Update)ですよ〜!

今回のUpdateの内容は2件で、「緊急」レベルにあるようです。
1つは Windows に関するもので、もう1つは「Microsoft Office」と電子メールサーバソフト「Exchange」に関するものらしく、一般のユーザは一つだけと思ってよいと思います。

これは、今問題になっているWMFファイルのことではなく、1月6日にリリースされた「WMF脆弱性に関する Microsoft Update」で修正されます。まだ未適用の方は、Microsoft Update を実行して下さいね〜!

 マイクロソフト、次週の月例パッチもリリースへ--「緊急」レベルの脆弱性にも対処 (CNET Japan)
 1月11日公開予定のセキュリティ情報は「緊急」が2件,マイクロソフトが予告 (IT Pro)
 1月の月例パッチは2件、WMF脆弱性修正パッチとは別に公開 (ITmedia)


「緊急」は、ユーザが特別な操作無しで拡散する悪質なものに関するセキュリティ問題のモノが含まれるそうです。

オススメは手動更新
自分で動かす事で、タイトルを見るだけでもなんとなくセキュリティ意識が増えるのと、詳細情報を見ればさらに詳しくなれるからです。
また、今回は適用時に再起動が行われるそうです。作業中に再起動を促されるのは嬉しくないので、ここはヤッパリ手作業でいかがです??


また、同時に「悪意のあるソフトウェアの削除ツール」のアップデートも行われます。
現在、「1月6日に活動開始するSober.Z」で説明したようにSober系のワーム型ウイルスが大発生中です。上のツールはこのSoberを削除する機能がありますので、少しでも疑わしいと思った人は今からでも実行して下さいね!

基本的に、スパイウェア検出・駆除には、私的には個人使用ではフリーソフトである「Spybot - Search & Destroy」や「Ad-Aware」をオススメします♪
どちらも手動でのスキャンですが、Microsoftでも紹介しているんですよ〜。意外ですよね??


【関連記事】
WMF脆弱性に関する Microsoft Update

WMF脆弱性に関する Microsoft Update

本日、「WindowsにWMFに関する深刻な脆弱性」で説明しました MicrosoftのWMF(Windowsメタファイル画像)ファイルに関する脆弱性を修正するパッチがリリースされました。

Microsoft の情報では1月11日の月例Microsoft Update でリリース予定のパッチでしたが、「WMFファイル脆弱性の未公認パッチ」と「MicrosoftのWMF脆弱性パッチ事前流出」を大量の人が適用するなど、続けざまに Microsoft の対応が鈍くて待ちきれない!というユーザの行動による要望が、リリースの前倒しになったのだと思います。

対象は、WindowsXP、2003、2000

緊急(最大深刻度)
(MS06-001) Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (912919)


 マイクロソフト、WMF脆弱性用パッチをリリース--計画を前倒しに (CNET Japan)
 Microsoft、WMF脆弱性パッチを前倒し公開 (ITmedia)
 マイクロソフト、「WMFの脆弱性」に対する修正パッチを緊急リリース (INTERNET Watch)
 Microsoft、予定を早めて WMF 画像の脆弱性に対応 (Japan.internet.com)
 緊急レベル1個のセキュリティ修正が公開(MS06-001)(@IT)


WMFファイル脆弱性の未公認パッチ」で、未公認パッチを適用していた場合、まず削除してからの Microsoft Update を行いましょう
また、既に純正パッチ適用済みでも、未公認パッチは削除しましょう。これが原因で不具合が発生する可能性もあるため、不要な物は早めに削除する必要があります。


Microsoftの情報で当初はWindows98、98SE、Meが含まれていましたが、調査で対象外になったようです。
ただ、「Windowsの旧バージョンに存在するWMFコードにも問題はあるが、これを悪用するのは難しい」(CNET Japan)と書いており、少々不安は残るところです。Windows98、98SE、Meは、2006年6月イッパイまでがセキュリティに関するパッチ等の対応期限です。それ以降は、セキュリティに問題が発生しても対応しなくなります。使っている方は、そろそろ本格的にXP等を使うように考えましょう!

今年の年末には Windows Vista が出る予定ですが・・・未だに詳しい推奨環境が出ていないのがもどかしいですね。


【関係する私の記事】
新しいOSとブラウザにして欲しいかな

【Microsoftのサポート情報】
プロダクト ライフサイクルWindows (Micorosof)
サポート対象サービス パック (Micorosoft)
プロダクト ライフサイクル (Micorosoft)

2006年01月05日

WMF脆弱性の被害を減らすためのブロック

MicrosoftのWMF脆弱性パッチ事前流出」で、少し抜けていました。

WMFファイルの脆弱性を狙った攻撃により、感染した場合にはトロイの木馬を勝手にインストールされて実行されますが、ウイルス対策企業のF-Secureは、このトロイの木馬のリスクを下げるために、下記のサイトへのブロックを行うようにシステム管理者に呼びかけているそうです。

 WMF問題の非公式パッチサイト、Windowsユーザーが殺到--アクセスが一時不能に (CNET Japan)


【ブロック対象リスト】
・「playtimepiano.home.comcast.net」に対するHTTPアクセス
・「86.135.149.130」に対するTFTP(UDP)アクセス
・「140.198.35.85:8080」に対するIRCアクセス
・「24.116.12.59:8080」に対するIRCアクセス
・「140.198.165.185:8080」に対するIRCアクセス
・「129.93.51.80:8080」に対するIRCアクセス
・「70.136.88.76:8080」に対するIRCアクセス


Sober対策にNISによるサイト遮断」で、Norton Internet Security(NIS)でのサイトアクセスブロックの方法を書きました。同じように設定すればOKです。


プロトコル指定ですが、HTTPアクセスはTCP、TFTPアクセスはUDPとなります。
問題はIRCアクセスですけど。。。これはIRCチャットの事でしょうか?
8080のポート番号はHTTPですし、「IRCはTCPの上に実装されています」となっていますので、TCPでOKだと思います。
指定できるなら、全てTCPとUDPのアクセスを拒否でOKです。

上記のブロックするサイトの数字の意味ですが、「140.198.35.85:8080」ですと「:」の部分で意味が分かれており、IPアドレスが「140.198.35.85」となり、ポート番号が「8080」となります。
大体のファイアウォールはポート番号を指定しない場合は、全てのポート番号拒否になるため、指定無しで問題はないと思います。


※ポート番号って?
IPアドレスはネット上の住所ってよく言いますよね。それに対して、ポート番号はその住人の名前というんでしょうか。
手紙は住所と誰宛(住人)を書いて送るように、ネットもサイト名(IPアドレス)とどのプログラム(ポート番号。通信の受け取り口の番号)を指定する必要があるんですね。
通信を受け取る側はウェブのWWWサーバーならポート番号80、FTPサーバーならポート番号21、メール受信ならポート番号110と標準を決めており、これにより受け取る側はどのプログラムで通信を処理したらいいかを判断するんですね。
通常は、ウェブサイトを見る時はポート番号80で見に行くと決まっているため、ウェブブラウザには書いていませんが、実は内部的にはポート番号を付けて通信しています。


パッチが1月10日まで出ない以上、この拒否設定をしておくと安全性が高まりそうですね。

1月10日以降は、この拒否設定を削除して貰ってOKです。
IPアドレスは、使わなくなったサイトのIPアドレスを回収して違うサイトに使い回しをしています。そのため、長い間この拒否設定をしていると、運悪く本当に見たいサイトのIPアドレスにこの拒否設定のIPアドレスが割り当てられる可能性がありのです。

MicrosoftのWMF脆弱性パッチ事前流出

WindowsにWMFに関する深刻な脆弱性」で、MicrosoftのWMF(Windowsメタファイル画像)ファイルに関する脆弱性があり、「WMFファイル脆弱性の未公認パッチ」で、他社が作った Microsoft未公認のパッチが公開されており、それを適用した方がよさそうという話をしました。

MicrosoftはこのWMFの脆弱性に対して、1月10日(日本では11日の水曜日予定)のパッチで対応するとしていますが、これの開発中の修正パッチが流出し、適用している人がいるそうです。Microsoft は、この流出したパッチは適用しないで下さいとしています。

 WMF脆弱性の修正パッチ、正式公開前にウェブに流出 (CNET Japan)
 Microsoftの修正パッチがリリース前に流出,「無視してほしい」 (IT Pro)


というわけで・・・この流出パッチを適用しましょうではなく、この流出パッチは適用しないで下さい、です。

このパッチは開発中のもので、正式リリースのパッチと異なる物らしく、どんな問題を含んでいるか判りません。
この手のパッチは、結構最後の方までテストしていることがあり、他の脆弱性を持っている可能性があります。このパッチを当てれば、次の正しいパッチは適用されないハズです。そうなると、また、新たなトラブルを産む可能性が出てきます。

恐らくは、この流出パッチを当てている人はセキュリティを気にしている人で、この情報も聞きつけて正式パッチを当てる前に流出パッチを削除してから、正式パッチをあててくれるとは思いますけど。。。


今回のは感染した場合の被害が大きく、ウェブ公開だけではなくメールでの感染拡大、さらにIM(インスタント・メッセージング)経由での感染など増えています。それにも関わらず、1月10日にリリースしますとするのは困りますよね。そのため、前述の他社が作った未公認パッチに殺到してアクセス困難になったり、第2の未公認パッチ(NOD32を作っているESET社作成)が出てくる程です。

 WMF問題の非公式パッチサイト、Windowsユーザーが殺到--アクセスが一時不能に (CNET Japan)
 WMF脆弱性に2つめの非公式パッチ公開、「新たなリスクを生む」との議論も (ITmedia)


既にこれほど被害出ていますし、Microsoft Updateでの適用は1月10日で、手動ダウンロードは開始して欲しい気もするんですけど・・・テストを現在進行形でしているためかも知れませんね。

Sober対策にNISによるサイト遮断

1月6日に活動開始するSober.Z」で、Sober.Y と Sober.Z の特徴は「ランダムで決定するあるサイトから攻撃指示を受け取る」であり、そのランダムの規則が解明済みで、そのサイトをブロックするように呼びかけていることはかきました。

折角ですので、「Norton Internet Security(NIS)」で、どのようにサイトをブロックするかをアップしておきたいと思います。
この設定を行うと、そのサイトは接続不可となり、少なくとも自分が他人に迷惑を掛ける可能性が減ります。感染ルートは別なので、あくまでも攻撃しなくなるだけと思って下さい。

また、下の方に ZoneAlarm の方法も書いていますが、こちらは残念ながら有償版の ZoneAlarm Pro のみが設定可能のようです。無償の ZoneAlarm では、設定できませんでした。


続きを読む

2006年01月04日

1月6日に活動開始するSober.Z

一ヶ月程以上前より、「ナチス創立記念日の1月5日にワーム型ウイルス『Sober.Y』が活動して、ランダムで決定するあるサイトから攻撃指示をダウンロードして攻撃を行う」という話がありました。本当にナチスと関係しているかどうかは、ちょっと判りませんけどね。

今回、新たに Sober.Z が出てきて、同様の活動を1月6日に行うそうです。

また、両者に共通しているのは、14日周期で攻撃指示のダウンロードを行い、攻撃活動することです。感染活動は常に行っていますので、ご注意を!

 ※1月6日の攻撃に関して
 「1月6日に動き出す『Sober.Z』ウイルスに注意」,米Microsoftが警告 (IT Pro)

 ※1月5日の攻撃に関して
 「Sober」ワーム、次の攻撃は2006年1月5日--セキュリティ対策企業が警告 (CNET Japan)
 2006年1月5日の攻撃は防げるか--ウイルス対策企業が「Sober」のアルゴリズムを解析 (CNET Japan)
 背後にネオナチ賛同者?――Soberワームに「1月5日一斉攻撃」指令 (ITmedia)
 F-Secure、Soberワーム「兵器庫」のURLを解析 (ITmedia)
 Soberワームの次の攻撃は2006年1月5日,ナチス党結成87周年に照準か (IT Pro)
 「ウイルス『Sober.Y』は1月5日に動き出す」---F-Secure (IT Pro)


感染方法は、「FBIやCIAを語るSoberウイルスメール」のように、メールによる感染です。
例えば、FBIを語って「アナタの不正行為を確認しました」と脅しを掛けて添付ファイルを見させるという方法です。


対処法は、基本的にはウイルス対策ソフトの最新ウイルス定義で対処可能です。
ウイルスによっては自動アップデートを止めるウイルスも存在しています。本当に自動アップデートされているか、時々、ウイルス定義が近日中に更新されているかを確認しましょうね。

また、Microsoftの「悪意のあるソフトウェアの削除ツール」でも、Sober は削除可能ですので実行しておきましょう。
(あら、説明を見ると Sober.Z はありますけど、Sober.Y は対象外かもです??)

また、この攻撃の特徴は「ランダムで決定するあるサイトから攻撃指示を受け取る」です。このランダムなサイトの決定方法が解明されており、警察などを通じて、そのサイトの封鎖をISP(プロバイダ)に呼びかけています。また、ISP等にも接続不可を呼びかけています。恐らくは、1ヶ月前に解析済みということもあり実質的な活動はないと思います。(CNET Japan に対象URLがあります


とはいえ、どれぐらい感染しているかを見て貰った方がいいですよね?
下はISPに設置されているウイルス対策による調査です。


左から順に説明します。
1.いま、もっとも脅威ウイルス
2.いま、脅威が高いウイルストップ5
3.全メールに対するウイルス感染率

1月5日や6日ぐらいですと「Sober.Y」がトップにあると思います。
グラフなどをクリックすると、詳しい情報を見れますので、この記事の時の状況を画像でアップします。

Soberの拡大

どうでしょう、Sober.Y が、ダントツですよね。
「Top threats in the last 24 hours」は、24時間以内にネット上に流れていたのを捕獲した数です。
「Top virus in the last 24 hours」の Total stopped to date は、現在までに捕獲した数で、1383万件にも及ぶことになります。

これは汚染されたPCが大量の感染メールを送信しており、それをプロバイダのウイルス削除が捕獲した数なので、これが感染数というわけではありません。


Sober.Y と Sober.Z が、この2日間に一斉に活動してインターネットのトラフィックが増え、一時的に重くなる可能性があります。
感染していると、自分のマシンも動作が重くなる可能性があります。


セキュリティの基本は、OSのアップデートはこまめに、ウイルス定義は常に最新、ファイアウォールを導入する、不審なサイトは訪れない、不審なメールは開かないというものです。
ちゃんと行っているか、確認しましょうね〜!


また、次の記事の「Sober対策にNISによるサイト遮断」で、Norton Internet Security による、拒否サイトの登録方法をアップしています。
Norton Internet Security の方は、試しにしてみてはいかがでしょう?

WMFファイル脆弱性の未公認パッチ

12月29日の「WindowsにWMFに関する深刻な脆弱性」で、WMF(Windowsメタ画像)ファイルの脆弱性があり、悪意のあるWMFファイルをWindowsでプレビューするだけで仕込まれた罠が実行される可能性があるがあると言いました。

思っているよりも被害が出ているそうですね。
特に、メールで送られてくるケースが増えているらしく、「map.wmf」や、拡張子を変更して「HappyNewYear.jpg」というファイルを送ってくるそうです。(画像のリンク先はIT Proのサンプル画像です)

 Windowsの脆弱性を突く新しい画像ファイルが出現,メールで送られてくる場合も (IT Pro)
 「狙いを絞った“メール攻撃”を確認,Windowsの脆弱性を突く画像ファイルを添付」---F-Secure (IT Pro)
 Windowsのパッチ未公開セキュリティ・ホールをふさぐ“非公式パッチ”が公開 (IT Pro)
 「仕事始めの前に回避策の実施を」,Windowsの脆弱性を突く画像ファイルに注意 (IT Pro)
 今回の脆弱性のまとめ (SANS Instituteをたろかわ氏が翻訳)


メールソフトや設定によっては自動的に画像を表示してしまうため、「不審なサイトに訪れない」という心がけでは難しく、やはり何かしらの対処が必要のようです。

対処法については、5つ方法があります。

1つ目は、主要なウイルス対策ソフトは対応済みです。
ですが、ウイルス対策ソフトは100%防ぐことが出来るソフトではありません。あくまでも、「既知のウイルスを防ぐ」というのが主な仕組みで、必ず防げるソフトではありません。ですので、これは「当然の対処」として、他の方法と組み合わせることが大事です。

2つ目は、FirefoxやOpera等のブラウザ、Outlook系以外のメールソフトを使うこと。
これも「Windows 画像と FAX ビューア」が勝手に起動して見せる可能性もあるなど、思いがけない動作の可能性があるため、注意が必要です。

3つ目は、IEのセキュリティレベルを「高」に設定する。
これは、実際に普通のサイトを見る時に問題がメッセージの多発などで、恐らくは途中で我慢の限界に達する可能性があります(笑)

4つ目は、実際にこの脆弱性の原因は、Windows\system32フォルダにある、「shimgvw.dll」ファイルで、「Windows 画像と FAX ビューア」の本体になります。このファイルの登録を解除すること。
コマンドプロンプトで「regsvr32 -u %windir%\system32\shimgvw.dll」と入力して、「C:\WINDOWS\system32\shimgvw.dll の DllUnregisterServer は成功しました。」というメッセージが出てくれば成功です。再起動を行うと、WMFファイルをWindows 画像と FAX ビューアで見なくなります。
パッチが出て安全になった場合に、コマンドプロンプトで「regsvr32 %windir%\system32\shimgvw.dll」と入力して、「C:\WINDOWS\system32\shimgvw.dll の DllRegisterServer は成功しました。」というメッセージが出てくれば登録し直すことになり、元に戻ります。

但し、この登録の再設定方法を忘れたりすると、後々悩む原因になります。
また、エクスプローラーの機能のフォルダ内の画像スライドショーや、縮小版や写真表示が使えなくなるなどの影響が出てきます。意外にこれは使い勝手に大きな問題ですね。その分、普段から危険にさらされていると言えます。

5つ目は、Microsoft未公認のパッチを適用すること。(配布場所
未公認パッチは安全性などの問題であまり勧めたくなかったのですが、この脆弱性を警告した企業が推奨しているので、現状の最善策と思われます。この方法ですと、4つ目のような使い勝手の問題は発生しません。

 HotFix配布場所(英文)
 上記のダウンロードページ(英文)

上記のexeファイルをダウンロードして、実行するとインストールされます。インストール後に再起動して完了です。
Microsoftのパッチがリリース後、プログラムの追加と削除で「Windows WMF Metafile Vulnerability HotFix 1.x」を削除してパッチを適用すれば完了です。

※内部的な動作は「wmfhotfix.dllは、user32.dllをロードしているすべてのプロセスに介入する。」(たろかわ氏翻訳)との事ですので、場合によっては動作に支障が出る可能性があります。純正パッチがリリース後、速やかな削除が必要そうですね。


結論としては、1のウイルス定義は常に最新にするように心がけ、5の未公認パッチをあてておいて、純正パッチがリリース後に未公認パッチを削除するのが良さそうですね。

2005年12月29日

WindowsにWMFに関する深刻な脆弱性

Windowsに、WMF(Windowsメタファイル)形式画像に重大な脆弱性が発見されました。
悪意のあるWMFファイルを見る(エクスプローラーの「縮小版」によるプレビュー等でも)だけで、仕込まれた悪質なコードを実行されます。これはIEで見るだけで実行されます。

そして、既にコレを悪用したサイトが稼働しています。

 休暇中のWebアクセスには注意、Windowsに新たな未パッチの脆弱性 (ITmedia)
 XPなど複数のWindows OSに深刻な脆弱性、“0-day exploit”も登場 (INTERNET Watch)
 Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある(912840) (Microsoft)


原因は、画像ファイル処理(Graphics Rendering Engine)で任意のコードを実行出来るため。
詳しくは判りませんが、「SetAbortProc」の脆弱性となっているため、エラーを発生させてエラー処理の場所で任意の実行が可能になる・・・なんでしょうね。

対象は、WindowsXP、2003、98、98SE、Me。(Microsoftより)

回避策は、不審なサイトには行かない事が一番大事ですが、IEのインターネットオプションのセキュリティレベルを「高」に設定することです。また、FirefoxやOperaを使用するのも、サイトに直接表示されたものに関しては効果が高いです。また、ウイルス対策ソフトでは対策がアップされており、最新版にすることで防げると思われます。下記のサイトに、Symantec、TrendMicro、McAfee等の最新版のウイルス定義で対応済みを確認されていました。

 Windows WMF 0-day exploit in the wild (セキュリティホール memo)

WMFファイルはWindowsのベクター画像のため、Firefox等ではいきなり表示されませんが、「Windows 画像と FAX ビューア」で開く事を聞かれますのでこれで見てしまっては一緒なのでご注意を。

2005年11月の月例パッチでも画像ファイル処理(Graphics Rendering Engine)に関する修正(MS05-053)が行われましたが、違う攻撃のために問題が発生します。


また、実際に「間違って実行しちゃった!」という人がおり、どんな処理をされてしまったかをアップしています。

 wmfファイルの未知の脆弱性!? (にわか鯖管の苦悩日記)

どうやら、ファイルをDLしてMSN Messengerに接続して、ファイルを実行されて・・・までは確認したそうです。本人が誤って悪質なサイトと知りつつクリックしたため、すぐにLANケーブルを抜いて被害を食い止めましたがここまで実行されたわけです。


年末年始で、ネットであちこち見る人も多いと思いますが、それを狙っているのも多いです。気をつけて下さいね!


ベクター画像とは、Windowsのペイントのようにドットで色を管理するのではなく、図形を座標と方向(ベクトル=ベクター)で画像を処理する方式です。画像のサイズを拡大縮小しても座標で再計算して表示するため、滑らかな画像に見えます。例えば、JPEG画像を800%に拡大するとドットが強調されて不細工ですが、ベクター画像ですと滑らかに見えるという訳です。そのため、Microsoft Officeのクリップアートなど、Wordに貼り付ける画像などで使われていたりします。
ビットマップやJPEG画像はラスタ画像とか呼ばれます。


【追記】
WMFファイル脆弱性の未公認パッチ
警告した企業より、Microsoft未公認パッチで対処する事を推奨されています。

2005年12月27日

冬期休暇の前にしておきましょう

年末年始、長期に放置する会社や学校のパソコン。
意外に、こういう物が感染していたり、休みで誰も居ないためにネットから侵入されたりして、誰も気付かずにスパムメールを流し続けている可能性があります。「長期休暇前のセキュリティ対策の記事」に、長期休暇前にしておくことを書いてありますので、見て下さいね!

最低限するべき事とはこんな事です。
・Windows Updateを行う
・ウイルスやファイアウォールソフトのアップデートを行う
・使わないPCは全部電源を落とす

これだけでも、全然違うんですよ!


ちなみに、年末年始はウイルスが発生しやすいです。
というのは、年末年始はウイルスの作者も時間を取りやすいですし、セキュリティの甘い家庭PCの稼働率が高いからです。また、Symantec等のセキュリティ会社も休暇のため、ウイルス定義のアップデート率もグンと落ちます。まさに狙い時です! だからこそ、目が届かないPCの電源を落としておきましょうとなるのです。


また、情報処理推進機構より、年末年始における注意喚起が出ています。

 年末年始における注意喚起 (情報処理推進機構)

年末年始は、クリスマスカードや年賀状で挨拶というのがあり、グリーティングカードと見せかけたフィッシング詐欺などが発生するんです。
また、「忘年会の写真です!」と書いてあってリンク先を見に行ったらアダルトサイト・・・さらに調子に乗ってクリックしたらウイルスに感染する人もいたりと、なかなか油断出来ません。

難しいことは書いていませんので、目だけでも通しておいて下さいね!

2005年12月23日

iTunesとQuickTimeにmovファイルの脆弱性

アップル社のiTunesQuickTimeに、悪意のある「.mov」メディアファイルを実行するとクラッシュしたり、悪意のあるコードを実行させられて乗っ取られる等の脆弱性があるという警告が発表されました。セキュリティ企業のSecuniaは「やや深刻」と5段階中3段階目に位置付けていますが、Appleからの回答はまだない模様です。

 iTunesとQuickTimeに脆弱性--悪質な「.mov」ファイルに注意 (CNET Japan)
 iTunesとQuickTimeの最新版にヒープオーバーフローの脆弱性 (INTERNET Watch)
 iTunesとQuickTime最新版に脆弱性 (ITmedia)
 QuickTimeとiTunesにセキュリティ・ホール,信頼できない動画ファイルに注意 (IT Pro)

原因は、movファイル処理中のヒープオーバーフロー。

対象は、WindowsとMac OS Xで動作するiTunesとQuickTimeで、全てのバージョン。

回避策は、最新版も対象ですので不審なmovファイルは開かないこと。基本的にはなんであれ不審なファイルは実行しない事ですね。また、ポッドキャストによる動画配信にも気をつけましょうとの事です。
movファイルって、サイトに埋め込んで自動再生できませんでしたっけ? むやみに不審なサイトには近づかない方が身のためそうです。


オーバーフローの説明を少ししますと・・・
オーバーフローによる攻撃方法の例は、10バイトしか入らないはずのメモリの場所に15バイトのデータが入力されたとします。10バイトまでしか受け付けずに残りの5バイトは削除するという処理が行われれば良いのですが、その対策が無い場合には、15バイトを前から順番にメモリにセットされます。すると、想定外のメモリの場所(前から順番にセットするので、先程の10バイトの直後のメモリ)に余った5バイトが上書きされてしまいます。この状態をオーバーフローと言います。

オーバーフローした分が他のメモリを上書きしてしまうため、そのプログラムが上書きされたメモリを使おうとすると、想定外のデータのためにエラーを起こしてクラッシュしたりします。もし、上書きされたメモリの場所が「そのメモリにある命令を実行する」だった場合、その命令を実行してしまう事になります。これが怖いんですね。

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。