2005年11月18日

IEとOperaでステータスバーを偽装

IEやOperaで、ステータスバーに表示される画像のリンク先アドレスが偽装されるという脆弱性が発見されました。ポイントは、Script(プログラム)等による偽装ではないため、JavaScriptをオフにしてるから偽装に対して安全と思うと失敗する点です。

 IEやOperaにステータス・バーを偽装できる問題 (IT Pro)

ネットでリンクが書いてある場合、安全そうかどうか、リンクにカーソルをあわせてステータスバーに出てくるリンク先アドレスを確認します。大体の人は何気なくされていると思います。勿論、ゼロやオーのように微妙に違う等があるので判断しづらく、一つの判断基準でしかありませんけど。

JavaScriptによりステータスバーにメッセージを表示するというのはメジャーな表示技法です。これは普通に使われる事で、これ自体は問題はありません。ただ、メッセージを表示するという事は、URLを表示出来るという事で、リンク先のアドレスをこのJavaScriptによるメッセージ表示で偽装出来るという問題がありました。これは結構メジャーな詐欺の手口なので、JavaScriptをオフにして確認するという人も多いんじゃないでしょうか?

私もそのようにすれば大丈夫と思ったのですが、今回のは問題はFormタグと画像を使う事により、JavaScript等がオフでもリンク先アドレスを偽装出来るという事です。最近はスタイルよくするために、ボタンなどは画像が多いですよね。JavaScriptは消しても画像が消しづらいという背景があります。そのため、今回はスッカリ騙される可能性があります。

ちなみに、Formタグとは入力フォームを指定する記号です。このForm開始タグとForm終了タグの間にあるテキスト欄等にある入力した内容をサーバに送信します。


対処方法は、現在の所は無いようです。直接の被害はないため対応は鈍いかも知れません。ただ、詐欺のサイトに飛ばされる可能性はありますし、飛んだ先にウイルスが仕込まれている可能性だってありますので注意は必要ですよね。自衛策として、ショッピングサイトや銀行サイトなどには直接お気に入りなどから移動する、リンク先の右クリックからショートカットのコピーなどで、URLをコピーしてアドレスバーに貼り付けて、内容を確認してから移動するなどです。


ちなみに、私は普段はSleipnirで見ており、ちょっと怪しげなリンクはリンクをコピーしてOperaで確認しています。Operaは危険サイトチェックブラウザになっています(*ノノ)
いえ、Operaがスゴイからそう使っているんですよ! 起動が早い、メモリ少ない、ActiveXに対応してないのでスパイウェアなどにも強い、セキュリティも比較的いいと、言う事無しです。それで、画像、JavaScript、Flash、Cokie、リファラー(リンク元を通知)等、全てをオフにして使っています。そこまですると、悪質なサイトに対してもだいぶ強いので、これで確認するんですね。安全そうならSleipnirで見に行く、と(笑)

それにしても、こういう注意をちょこちょこと書いていますが、新しい手口をみる度に、ある意味、感心させられます。

2005年11月17日

Soberが再度発生、メールに気を付けて

2003年に発生したワーム型ウイルスSober(ソバー)の亜種がドイツを中心に流行っているそうです。PC内にあるメールアドレスを抽出して、ウイルス自信を添付ファイルにして、ウイルス自身が持つメール送信機能(SMTPエンジン)で送信するそうです。このウイルスは件名をランダムで作成し、件名無しもあるそうです。送信相手のアドレスがドイツの場合はドイツ語、それ以外は英語で送信するそうです。被害としては大量メールによるネットワークの低下で、Windows再起動の度に実行されるそうです。感染方法はこのファイルを開いたりクリックする事。怪しいファイルをクリックしなければOKってことですね。

亜種とは元のプログラムを改造して作られた新しい種類の事です。ウイルスはこうやってドンドンと種類を増やす事が多いです。


実際のところ、このウイルスの亜種による再燃自体は、それほど怖くはないかな?なんて思ってたりします。むやみやたらに添付ファイルを開かなければいいんですから。

思うんですけど、電子メールのタイトルとかって、結構適当な内容が多いですよね。
「おはようございます」「こんにちわ」「ひまー?」「業務連絡」「(件名無し)」・・・結構こういう件名のメールって多かったりします。どうでもいいんですけど、「業務連絡」の件名だけってどういうつもり?って当時思いました(*ノノ)

こういうウイルスに感染する原因の一つに、普段から適当な件名が多いっていう背景があると思うんです。普段からそういう簡単なタイトルが多いので、麻痺してる気がするんですよね。友達相手に・・・っていう気持ちはよくわかるんですけど、スパムメールとかも多いので、「タイトルは短いほどクールでスマート」というイメージで送らない方がいいと私は思います。

そして、添付ファイル。たまにあるのが、添付ファイルについてちゃんと書いていない事なんですね。時には添付ファイルオンリーの人も。ちゃんと添付ファイルについて言及しておかないと、内容が判らないのでとりあえず開けて中を見るという感覚が身に付いてしまうんですよね。これもウイルスに感染しやすくなる土壌になっている気がします。友達相手でも、ちゃんと電子メールの添付ファイルの中身を書きましょう!さらにファイル名まで書いておくと、一緒にウイルスファイルが付いていたとしてもあれ?と気付いてくれます。

私が嫌いなのが、HTMLメールです。
色々出来て嬉しいのはたしかなんですけど。。。特に待ち合わせの時間とかを太字で強調とかしてくれると楽なんですよね。ですが、HMTLメールにすると裏でどんな事をしていても気付かれないという可能性があります。これが非常に怖いんです。
例えば一番関係しそうなスパムメール。HTMLメールって多くありません? 開くと画像がいっぱいあったり。その画像ファイルは添付しているものもあれば、スパム会社のサーバにあったりします。メールを開くと画像を見るためにスパム会社のサーバと通信しますよね。と、言う事はその送ったスパムメールは「生きているメールアドレス」と判断されます。こうやってメールアドレスを集めたりします。 こうやって悪用するのもHTMLファイルだったりします。

これは出来ればですが、添付ファイルはlzhやZipファイルに圧縮すること。
通信負荷の低減やメールサーバの容量対策もありますが、場合によってはExeファイルやScript等のウイルス感染の原因になるファイルは削除するところもあります。某IT総合メーカーの会社では圧縮ファイル以外は全てメールサーバが拒否するそうです。少なくとも簡単に実行しなくなります。そこまで徹底しなくても・・という気もしましたが、徹底するとそうなるんですね。友達が客から苦情が来て困るとも言ってましたけどね(笑)

あと、OutlookやOutlookExpress等は設定に要注意です。
プレビュー画面使っている人、多くありません? わざわざファイルを開くのが面倒なので結構使っている人が多いですよね。この機能、プレビューするためにファイルの中身を見てしまうのでいきなり感染の可能性があったりします。ウイルスと思って削除するために選択したらプレビューが動いてウイルス感染したというハプニングだってあります。今はそういう感染例(ウイルス自体)が減っていますので警戒が薄くなってきていますが、基本は大事ですよ!

OutlookExpressの表示 → レイアウト → プレビューウィンドウに「プレビューウインドウを表示する」がありますので、切る事をオススメします。(見る時が面倒なんですけどね。。。)


見ていると、一度は聞いた事がある内容が多いと思います。でも、守られているかどうかは別だったりします。

今はOutlookExpressでも危険なファイルは開かないとか、メール受信拒否するとか、ウイルス対策ソフトの強化で感染率はだいぶ減ってるとは思います。ですが、基本的には「ウイルスが発生して、それを対策ソフトが研究して対処する」イタチごっこです。すり抜けて感染しましたは十分にあり得ます。基本はウイルスに触れない事なので、こういう徹底をしてみてはいかがでしょう?

2005年11月16日

ニフティのサービスミスでウイルス感染ですが

最近はインターネットプロバイダがウイルス対策など有償サービスでユーザに提供しているのがメジャーになっています。今回、ニフティのセキュリティ対策サービス「常時安全セキュリティ24」がサービスの設定ミスで、ワーム型のウイルス「Sasser(サッサー)」の感染を会員1518名に許してしまうという事故を起こしました。

 不正アクセスを防ぐはずが……@nifty、サービスの設定ミスで会員1518名がSasser感染 (ITmedia)
 ニフティ、セキュリティ対策サービスの設定ミスで1518名がウイルスに感染 (CNET Japan)
 ニフティの設定ミスでユーザー1518人がワームに感染 (IT Pro)
 「常時安全セキュリティ24」一部機能の不具合によるサービス利用者間のパソコンでのウイルス感染と今後の対応について (ニフティ)

原因は、ネットワークが遅くなったので調査したところ同サービスの不正侵入防止機能がネックになっていたのを発見。メンテナンスをするために設定を切り替えてメンテナンスを行い、終了後に社内チェックをしたところ不正侵入防止機能の設定ミスが発覚したそうです。そして社内の端末がSasserを検知して感染事実が発覚したという事です。但し、全ての不正侵入防止機能がミスしていたわけではなく、「インターネットから利用者」「利用者からインターネット」は問題が無く、「利用者と利用者」との間で問題が発生したそうです。つまり感染元は同じ会員からなんですね。感染数は1518名、感染はしなかったものの感染活動を行われたのは2717名になるそうです。

ニフティはこの件に関して、感染が発覚したユーザにはメールで通知して封書でも連絡を送るそうです。また、専用電話窓口(9:00〜21:00)を既に開設しており、無償出張サポートも行うそうです。

今回の件は、確かにニフティのミスです。ですが、自社チェックにより発覚、素早い対応窓口の設立、無償出張サポートなどは当たり前ですが、事故後の対応としては十分にいいと思います。もちろん、感染したユーザは腹立たしいでしょうけど。。。


ただ、私が本当に言いたいのはもっと他にあるんです。
このSasser、活動が始まったのは2004年5月です。つまり、1年以上前のウイルスです。これはWindowsのUpdateをちゃんと行っていれば感染しないウイルスなんですね。2004年7月以降にUpdateしていないと感染するとなっています。こうなると、本当の問題点はドコにあるのかが怪しくなってきます。ウイルス対策ソフトなどはあくまでも、OS(Windows)の上で動いているものです。そのOS自体に問題がある場合は、対処しきれない事もあります。

 “接続しているだけで感染する”Blasterタイプのウイルス「Sasser」発生 (INTERNET Watch)

言ってみれば、砂浜の上に建っているお城の中で大波を見て大丈夫と笑っているような感じです。いつ大波が直撃して土台の砂浜を崩して城が崩壊するか判らないという状態なんですね。

言ってはなんですが、これはユーザのミスというのも多分にあると思います。Sasserに関してはセキュリティ会社を始め、Microsoftも十分に注意を勧告しています。私は、インターネットは道と例えるのは上手いと思っています。その一つに、一度、道(インターネット)に出てしまうと、初心者だからといって優しくしてくれるとは限らないのです。むしろ、初心者だからこそ悪質な人に目を付けられて狙われるのです。その点では初心者マークなんて通用しないインターネットの方がたちが悪いです。よく新しいパッチは危険だから様子を見るというのがあります。ただ、それはセキュリティについて十分な知識がある人です。一週間後には未Updateを狙ったウイルスが発生しているのが現状です。十分な知識と対処方法を持っていないのであれば、素直にWindows Update等を行い、セキュリティ向上に努めましょう。ココでさらに、手動でUpdateをして貰うとセキュリティに関してちょっと慎重になれますよ〜!

偉そうに・・・って思われるかも知れませんが、私だって自信がないので全てのUpdateを行っています。生半可な知識ではセキュリティを語るには危ないんですね。

と、言うわけで、私はニフティに関係しないから全然関係ないなんて思わないでくださいね〜!


【私の記事】
ウイルスやスパイウェアは多いんです
新しいOSとブラウザにして欲しいかな

2005年11月12日

ヤフオク「評価通知」でフィッシング

Yahoo!オークションで、オークション相手の評価通知メールを装い、IDとパスワードを盗もうとするフィッシングメールが発生しました。既に詐欺を行っているサイトは閉鎖されています。

 Yahoo!オークションをかたる日本語フィッシングが出現 (IT Pro)
 Yahoo!オークションの評価メール装う日本語のフィッシングメール (ITmedia)
 ヤフオクの「評価通知」を装った日本語フィッシングメールに注意 (INTERNET Watch)
 Yahoo!オークションのフィッシングメールとフィッシングサイトが出現 (セキュアブレイン)

Yahoo!オークションって使った事あります?
最近私は、クルマの修理のためにオークションの使用を復活させました。相手は基本的に一般人ですので、信用しづらいのがあるんですよね。そのために相手を信用する度合いとして、相手の評価を見ます。取引件数やその時の相手の評価が非常に良い・良いの数、そのコメントを見て、相手が信用出来そうか確認するんですね。もっとも、あくまでも目安です。最後の荒稼ぎのために、暫くはマジメに取引して信頼を気付くなどは常套手段ですので。。。

実際の商品取引(お金を含めて)終了後、取引終了をオークションに通知します。その時に相手の評価をします。この評価が相手にメールで届き、その評価の返信として相手の評価も書き込めるのですが、その時のメールがフィッシングメールだったわけです。フィッシングメール内のURLをクリックしてサイトに行き、「コメントを書くためにはログインして下さい」で盗むという寸法です。この時のURLは米国企業のURL(yahoo.co.jpではない)らしく、偽装もないそうなので、よく知っている人だと騙されなかったと思います。

恐らくは、取引回数が少ない人、さらに言えば今回が初めての人を狙ったんじゃないでしょうか? 私も評価のメールが来るなんて忘れてましたし。。。今回、2回取引したのですが、最初の1回目はついついURLをクリックしてしまいました。評価のページがよくわからず、とりあえず場所確認してから改めてトップページからログインしましたが、もし、これがスパイウェアを仕掛けているサイトなら、危なかったわけです。後で迂闊と思いましたが、時、既に遅しですね(もちろん、その時は問題なかったですよ)。


ところで、オークションのIDとか盗む理由って知ってます?
別にメールとか盗んでどうこうというわけではありません。勿論、それはそれでお金になるのですが、実際はもっと悪質です。

オークションで使うIDですので、これを使って短期間のオークションで一気に落札や出品するんですね。そして落札した商品なら配送して貰って商品をネコババ(この場合、後で入金ですので可能性は少なそう)、出品の場合は銀行振込後に発送でそのままお金を持ち逃げです。そして、怒った相手はID元のアナタに詰め寄るわけです。物やお金は消えているので、この場合、アナタに責任が掛かるかも!? 特に、業者の参加も多いので「店舗閉鎖のためにプラズマテレビを放流!10台限定!!」等があっても、さほどおかしくないんですね。1台30万でも合計300万ですから・・・!

ここらへんも、オークション回数が多い人は出品・落札リストなどを確認しかねないので、取引回数が少ない人を狙う事が多いと思う理由です。


と、このように、思った以上に危険なオークションに関する詐欺。
今回のは確かに閉鎖されましたが、手口は知っておく必要があります。こんな話を聞いたら、迂闊にオークションのURLをクリックするのは辞めておこうって思いません? お金に関わる内容のメール等相手に、簡単にURLをクリックしないようにお願いしますね!


ところで、今回はセキュリティ会社のセキュアブレイン社が警告を発しました。
セキュアブレインといえば、フィッシング詐欺から守る「PhishWall」というツールが有名です。これも先日の「フィッシング詐欺防止システムDocWall」と同様に、簡単にフィッシング詐欺やファーミング詐欺のチェックを行うというツールです。(特徴がありますので製品情報は要チェック!)セキュアブレインって、元Symantec社長が作ったんですね。道理で有名なはずです(笑)

このPhishWallは、アクセスした銀行サイトなどが本物のサイトかチェックするソフトです。アクセス先の国旗やURLを表示したり、信号で安全なら青信号、フィッシングサイトなら赤信号と判りやすいのが特徴です。信号はPhishWallの契約をしているサイトのみが対象で、それ以外は反応しません。アクセス先のURLの意味は、アドレスバーを画像などで偽装するという詐欺があったので同じアドレスかチェックをする事も大事です(現在はこの偽装は出来ないようになっています)。但し、国や実際のURLは判るので十分に役立ちます。

それはいいのですが・・・東京三菱、三井住友、UFJ、VISA、楽天、野村證券、その他の銀行等のログイン画面までアクセスしたのですが、一度も安全なサイトの信号にならず、未対応となりました。ネットで検証した人がいるか探したのですが試した人が全然いませんでした。情報もっているかた、教えて下さい〜!


【参考記事】
フィッシングの手口と対策(前編) (日経BP)
フィッシングの手口と対策(中編) (日経BP)
フィッシングの手口と対策(後編) (日経BP)
フィッシング詐欺とは (セキュアブレイン)

【私の記事】
新しいキーロガーによる被害
ウイルスやスパイウェアは多いんです
フィッシング対策協議会が公式サイト開設
フィッシング詐欺防止システムDocWall


【追記】
PhishWallについて聞いてみました
フィッシング対策ツールバー「PhishWall」の初適用

2005年11月11日

洋楽ファンのみなさん、SONYのコピー制限悪用が活動してます

SONYのコピー制限はウイルスと変わらない?」「SONYのコピー制限の追記」で説明しましたが、米国ソニー BMG社がコピー制限機能として使っているのは、悪質なウイルスと変わらない動きをする上にウイルスを一緒に隠す機能まで含まれているんです。なんて困ったCD・・・と思っていましたが、既に悪用したウイルス(本当はトロイの木馬です)が、活動を開始しています!!

 SONY BMG「rootkit的」DRM悪用のトロイの木馬が出現 (ITmedia)
 SONY BMGの「rootkit」手法悪用のトロイの木馬に「修正版」登場 (ITmedia)
 Symantec、SONY BMGのDRM技術を悪用したウイルス「Ryknos」を警告 (INTERNET Watch)
 ソニーBMGの音楽CD問題で、悪用するトロイの木馬が登場 (PC Web)
 はやくもトロイの木馬出現--ソニーBMG製CDのコピー防止ツールを悪用 (CNET Japan)
 これは氷山の一角か--EFF、ソニーのrootkit組み込みCD19枚を発表 (CNET Japan)

問題は、何も対策しないとウイルス対策ソフトでは存在を検知されない事。
これは非常に怖いですね。ネットのニュースをほとんどチェックしてない人には、ずっと感染に気付かない可能性があります。

前述の記事でソニーは悪用される可能性はないとして存在を見えるようにする修正プログラムを出しましたが、削除は出来ません。そうです、ウイルス対策ソフトで見つけれるようになっても、ただ、悪用して侵入してきたウイルスを見ているしかない状態なんです! これにはSONY BMGに対する批判がふくれているそうです。恐らくコレは深刻な問題に発展するため、数日中には削除出来るようになると思います。


ただし、削除出来る方法も提供されています。
SONY BMGのWebフォームからアーティスト名やタイトル名、購入した店舗名、メールアドレスを入力すると、削除方法を指示されるそうです。私は全然持っていないので試せませんが、お手軽に削除する方法ではない気がします。また、手動削除に失敗するとCD-ROMが見えなくなるという怖い制御のため、英語の指示にて行われると思われるこの方法は、非常に怖いものを感じます。


セキュリティ会社のSonphos(ソフォス)が、WindowsマシンにSONY BMGのDRM技術(デジタル著作権管理。今回の隠して見えなくする技術はこれの一部として組み込まれています)が導入されているかどうかを判断するツールを配布開始しました。

 ソニーのデジタル著作権管理(DRM)に含まれる脆弱性を悪用するトロイの木馬出現 (ソフォス)

中にある「詳細情報およびツールのダウンロード」をクリックすると、英語サイトにジャンプします。「Windows disinfector」と書いてある所の「open RKPRFGUI」のリンクをクリックしてファイルをダウンロードし、実行して下さい。プログラムは英語ですが「Start Scan」を押して数分(私で4分ぐらい)で結果が出ます。Files found等で結果が出てくるので、簡単に判りそうですね。説明を見る限り、削除まで出来そうです。

ソフォスのSONY DRMチェック

それでも、ソフォスのツールで全てを削除出来るかどうかは不安です。というのは、指定したウイルス(トロイの木馬)のみを検知して、他のウイルスなどは検知していない可能性があるからです。隠す機能は無効化出来るため、その後に、最新のウイルス定義を使ってウイルススキャンをしてみる事をオススメします〜。


【追記】
私的には関係ないと思っていてもツールによる確認はした方がいいかも、です。
というのは、ある団体が19タイトルに含まれているとは言っていますが、ソニーはまだどの音楽CDに含めたとは公言していません。また、他のメーカーが採用(ライセンス提供)している可能性がゼロとも言い切れません。関係ない、そう思っている人こそが一番攻撃しやすいと思いますので。。。


【私の記事】
SONY BMG社のコピー防止ソフト付CDの回収と攻撃
SONY BMG社のコピー防止ソフト付CD日本国内で回収

RealPlayerシリーズに脆弱性

この数日、FlashQuickTimeとマルチメディア系ソフトに脆弱性が見つかっていますが、RealPlayerも脆弱性が見つかりました。メディアファイルやスキンファイルに悪質な細工をすると仕込まれたウイルス等が実行されたり、外部から侵入されてしまう可能性があります。Webページに仕込むだけで作動するため、危険度が高いです。これもまた危険度は「最大」です。すぐにUpdateチェック!

 RealPlayerに3種類の脆弱性 (ITmedia)
 RealPlayerやRealOne Playerにセキュリティ・ホール,Webアクセスで被害に遭う (IT Pro)

対象となるバージョン
Windows版
RealPlayer 10.5(バージョン番号 6.0.12.1040-1235)
RealPlayer 10
RealPlayer 8
RealPlayer Enterprise
RealOne Player v1/v2

Mac版
Mac用RealPlayer 10 (10.0.0.305-331)

Linux版
Linux用RealPlayer 10(10.0.0-5)
Helix Player(10.0.0-5)

とは言いつつ、それ以上に過去のバージョンだったりすると他の不具合があるかもしれません。出来る限り最新にバージョンアップしたほうがいいですよ!


私にはRealPlayer 10.5(6.0.12.1040-1235)がインストールされていたため、そちらで確認しました。「RealPlayer→ヘルプ→RealPlayerのバージョン情報」で、バージョンが確認出来ます。同時に、「アップデートをチェック」ボタンがありますので、そちらを押すとアップデート情報が表示されます。セキュリティなどに関する物は全て行いましょう!

このバージョンアップはインストールファイルで行うため、Flashの時と違って失敗したらエラーがでると思います(笑)


この数日で、ホントにマルチメディア系の脆弱性が出てきてますよね。いずれかで脆弱性の話がでて業界内で届いた噂を元に自社も同様のチェックしたら出てきた・・・とかいうパターン?等と思ってみたりです。

私は安全な大手のサイトしかいかないし・・・なーんて思っていたら感染しますよ〜?
私がハッキング出来るなら、大手のサイトでブラウザ上で見えない場所にRealPlayer系のメディアファイルを仕込んで気付かれないように実行させます。ハッキングにより大手のサイトにウイルスが仕込まれる等が何度も起きているのを忘れたらいけませんよ!


何はともあれ、インターネットに関連性が高いソフトやファイルを使うソフトは出来る限り最新版を使いましょう!!

2005年11月09日

本日のMicrosoft Update

今回はセキュリティアップデートは1カ所と、悪意のあるソフトウェアの削除ツールでした。
セキュリティの危険度は、緊急1件でした。

 Windowsに危険なセキュリティ・ホール,細工が施された画像を開くだけで被害に (IT Pro)

他には、Officeが2件ありましたがセキュリティではありません。そのうち1件は.NET Framework 2.0に関してでしたので出てこない可能性が高いです。


出来れば、手動でアップデートしましょう♪
自動でやるよりも、セキュリティ対策をしているという意識が芽生えますからね。
ちなみに、「Microsoft Update」も「Windows Update」も、基本的に同じ物です。「Microsoft Update」は、「Windows Update」と「Office Update」等が一つになったものです。

絵でみるセキュリティ情報からの情報です。
危険レベルは深刻度の評価システムとは?で判断出来ます。


緊急
(MS05-053) Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (KB896424)


今回はPCの再起動があるそうです。
作業の前にUpdateしておいたほうが良さそうですね!

2005年11月07日

QuickTimeの脆弱性4件

AppleのQuickTimeに脆弱性が4件有り、これらを利用してリモートから操られたり、DoS攻撃をする・される可能性があるそうです。危険度は「きわめて深刻」との事です。

 アップル、QuickTimeの脆弱性4件を修正--Mac版とWindows版に影響 (CNET Japan)

対象はMacOS XのQuickTime 「6.5.2」「7.0.1」、Windowsの一部のバージョンです。なんだか、Windowsの扱いが適当な気がします(笑)

対処方法は、10月12日にリリースした「7.0.3」にアップデートする事です。既にリリース済みのため、入っている人も多いかも知れないですね。

更新方法は、QuickTimeを立ち上げて、ヘルプ→バージョン情報で確認出来ます。バージョンが7.0.3より前の場合は更新しましょう。
ヘルプ→既存のソフトウェアを更新で、更新処理が出来ます(既に7.0.3のため確認出来ません・・・)。こちらはチェックと更新処理まで出来ますので最初からこっちでいいかも(笑)。また、この画面で「自動的に更新を確認」の設定が出来ますので、同時にしておくと今後も安全度が高いと思われます。


DoS攻撃は「Firefoxに重大なセキュリティ・ホール」にて説明しています。

Flashの脆弱性と注意点

Flash Playerに重大なセキュリティホールが見つかったそうです。これを悪用されるとセキュリティがしっかりしていないマシンは乗っ取られる可能性があります。対応方法はバージョンアップです。

 Flash Playerに深刻な脆弱性、外部から任意のコードが実行される恐れ (INTERNET Watch)
 Flash Playerに重大な脆弱性 (ITmedia)


まずは、こちらの「Macromedia Flash Player のバージョンテスト」で、Flash Playerのバージョンを確認して下さい。(Winでのみ動作確認。Macとかはどうでしょ?)

Flashバージョン確認画面
上記のような画面が出てこない場合は、FlashPlayerが未インストールです。(本当はMacromedia Flash Players 4,0,12,0 より前だと見れないのですが、今時それはないですよね?)

このバージョンがWinとMac OS Xの場合は「8.0.22.0」「7.0.60.0」「7.0.61.0」の場合は大丈夫です。このバージョン以下の場合はバージョンアップ対象となります。

これがLinuxやMac OS Xより前などはリリースバージョンが古いため、先程のテスト画面に書いてあるバージョンを確認して下さい。・・・Linuxは「7,0,25,0」がリリースバージョンらしいんですよね。これって、対応策無しって事でしょうか? とりあえず、最新版にしておいた方がよさそうですね。


バージョンアップ方法は、コチラの「Macromedia Flash Player ダウンロードセンター」にアクセスします。IEとFirefox等では、インストールが別の扱いとなります。

【IEの場合】
Macromedia Flash Player ダウンロードセンター」にアクセスして、「今すぐインストール」ボタンを押すだけです。Yahoo!ツールバーの同時インストールにチェックが入っていますので、不要でしたら外しておいて下さい。インストール完了後、画面内に「インストールの確認」のリンクがあり、先程の「Macromedia Flash Player のバージョンテスト」に移動します。ここで、最新バージョン8.0.22.0になっているか確認して下さい。

注意!!
私はバージョンアップが出来ず悩みましたが、実はFlashが起動中の場合バージョンアップされません。例えば私のブログにはFlashを使ったBlogPetがいるので、「インストール完了しました」というメッセージが出ておきながらバージョンアップされないという状態になっていました。それも、IEやSleipnirを終了してもメモリに残っているためかバージョンアップ出来ません。一度、ログオフや再起動する必要があるようです。そして私のブログを見てクリックしたら意味無いやん!(笑)ですから、 http://www.macromedia.com/go/getflashplayer8 を、テキストなどに保存しておいて、再起動後に一番最初にアクセスしてバージョンアップして下さい。


【FirefoxやOperaの場合】
Macromedia Flash Player ダウンロードセンター」にアクセスして、「今すぐインストール」ボタンを押すと、約1MBのインストールファイルのDLが始まります。Firefox等が起動中はインストールが上手くできませんでしたので、ブラウザを終了後、インストールファイルを実行するとインストールされます。「Macromedia Flash Player のバージョンテスト」で、最新のバージョンになっているか確認して下さい。

もし、上手くいっていない場合は、前バージョンを消してからすると上手くいくと思います。「その他の Web Player」で、WinとMacはアンインストールファイルが用意されています。FirefoxはMozilla系ですので、そちらのアンインストールファイルをダウンロードして実行して下さい。・・・と、いいつつ、実行すると、FirefoxだけじゃなくてIEのFlashまで消えていました(笑)

注意!!
Firefoxでバージョンアップ後、Flashが見えなくなる状態になってしまいました。
原因は、バナーなどを削除する拡張機能「Adblock」です。
これはFlashに「Adblockタブをつける」機能があり、Flashを削除しやすいようになっています。この機能でFlashが見えなくなるという事が起きていました。
対処方法は、「Firefoxのツール→拡張機能→Adblock」でAdblockの設定を開き、「Adblockの設定→オブジェクト(Flashなど)にタブをつける」のチェックを外します。これで見えるようになりましたが、今度はFlashを消す時はめんどくさくなりました。。。うーん・・・
詳細は「もじら組Wiki FLASH が動かない」で確認しました。

Adblockは「Firefox 1.0.7日本語版」で、簡単に紹介しています。


簡単なようで、IEとFirefoxが共に躓き、時間がかかりました。
特にIEは、「インストール完了」と表示されるので油断していました。あぶないですね〜!

2005年11月06日

11月09日は月例 Windows Update!

11月09日(第2火曜日の翌日)は、月例のWindows Update (Microsoft Update)ですよ〜!

今回のUpdateの内容は1件で、これは「緊急」レベルにあるようです。
また、セキュリティには直接関係しないUpdateが2件以上公開されるそうです。

 MS、11月の月例パッチを予告--「緊急」レベルのWindows脆弱性を修正へ (CNET Japan)
 「11月はWindowsに関する修正パッチが1件,最大深刻度は『緊急』」---マイクロソフト (IT Pro)

「緊急」は、ユーザが特別な操作無しで拡散する悪質なものに関するセキュリティ問題のモノが含まれるそうです。

オススメは手動更新
自分で動かす事で、タイトルを見るだけでもなんとなくセキュリティ意識が増えるのと、詳細情報を見ればさらに詳しくなれるからです。
また、今回は適用時に再起動が行われるそうです。作業中に再起動を促されるのは嬉しくないので、ここはヤッパリ手作業でいかがです??


また、同時に「悪意のあるソフトウェアの削除ツール」のアップデートも行われます。対応しているスパイウェアの種類が非常に乏しいので、私的には個人使用ではフリーソフトである「Spybot - Search & Destroy」や「Ad-Aware」をオススメします♪

2005年10月31日

DocWallについての追記

フィッシング詐欺防止システムDocWall」で、DocWallをリリースされている株式会社クローバー・ネットワーク・コム様より、コメントを頂きました。

その中で、このような件がありました。
今回リリースしたバージョンは、
弊社ホームページで表記されている通り
ファーミング詐欺対策を施した物では
ございません。


全く知らないソフトでVer.0.41という事もあり、ファーミングチェック機能があるんだと内容を全部見たつもりだったので、これはマズったかな?と思い謝罪のコメントでも書こうとしました。その時の公式サイトの機能に関する部分の05年10月31日22:40分時点でのスクリーンショット。
DocWall現在


ですが。。。確かに見た気がします。気になったのでGoogleでDocWallを検索してキャッシュを確認しました。キャッシュは更新されるので、キャッシュのURLと一部の切り取り画像をアップ。

http://google.co.jp/search?q=cache:Z0qhvubITYkJ:www.clovernetwork.co.jp/information_wall.html+DocWall&hl=ja&lr=lang_ja
DocWallキャッシュGoogle

これ、書き変わっていますよね?

過去「1. ブラウザでのフィッシング、ファーミングのチェック」
現在「1. ブラウザでのフィッシングのチェック」

過去「3. リスト登録企業についてはブラウザでのファーミングチェック」
現在「(現在無し)」


こちらのYahoo!のキャッシュでも同様です。
http://cache.yahoofs.jp/search/cache?p=DocWall&src=top&ei=UTF-8&u=www.clovernetwork.co.jp/information_wall.html&w=docwall&d=CjeLLWFULszK&icp=1&.intl=jp
DocWallキャッシュYahoo


Ver.0.41なのでベータバージョンと見るのが妥当と思います。(星澤裕二様にもまだ0.41なので今後を期待しましょうと言われました)そのため、機能の見直しや、HP上に誤った情報が乗ってしまったとしても目くじら立てる気はありません。ですが、ベータ版とハッキリと記述はしていません。一般の人向けの商品ですのでベータ版であると記述して知らせるのは当然という気もします。問題は、それについてHP内では説明が一切ない事。説明を見てダウンロードした人は誤解したまま使い続ける事になります。無償とはいえ、この行動は企業としていかがでしょう?

「今回リリースしたバージョンは、弊社ホームページで表記されている通りファーミング詐欺対策を施した物ではございません。」と、アナタが間違っていますと言われると、さすがに腹が立ちます。せめて、DocWallの説明で一言書くべきではないでしょうか?


また、一部で問題になっているオレオレ保証クローバー・ネットワーク・コムのサイト内の「お問い合わせ」をクリックすると、SSLというセキュリティが掛かっている(ブラウザの下の方に鍵マーク)となっています。その証明書の中身をみると発行対象も発行元も自社になっています。つまり「私が私を信頼出来ると証明します」という状態です。おかしい話だとなりますよね。さらに言えば、それも既に有効期間切れ失効となっていますけど。。。
DocWall証明書


前回の私の体験記では「私はこのツールの有効性に不安を感じました。」というセキュリティには素人に近い私が辛口のコメントをさせて頂きましたが、今回の対応はさらに不安を感じました。

2005年10月30日

多数のウイルス対策ソフトのスキャン不具合

ウイルスバスター 2005を含めた多数のウイルス対策ソフトで、加工を施されたファイルがチェックされないと言う不具合があるそうです。知らないメールの添付ファイルや、信用出来ないファイルのDLには気を付けましょう!

 多数のウイルス対策ソフトにファイルの中身をチェックしない脆弱性 (IT Pro)

対象となるウイルス対策ソフト (IT Pro)
・ArcaVir 2005
・AVG 7
・eTrust CA
・Dr.Web
・F-Prot
・Ikarus
・Kaspersky
・McAfee Internet Security Suite 7.1.5
・McAfee Corporate
・Norman
・TrendMicro PC-Cillin 2005(ウイルスバスター 2005)
・TrendMicro OfficeScan
・Panda Titanium 2005
・UNA(Ukrainian National Antivirus)
・Sophos 3.91
・CAT-QuickHeal
・Fortinet
・TheHacker

これらのウイルス対策ソフトの半分ぐらいしか知りません(*ノノ)
記事にもありますが、今回の脆弱性の有無にかかわらず、常に新種が出続けるウイルス等は対策ソフトが最新状態でも、ウイルスに感染していないとは言い切れません。知らないファイルは開けない・実行しないが基本ですよ!

IT Proの今回の指摘はいい事書いてるね〜って思いました。こういう不具合がでると、他のソフトに乗り換えたら大丈夫と思う人が多いので。。。こういうソフトの評価って難しいですよね。


どうしてこういう事が起きてるかですが、ファイルのウイルススキャンというのは、拡張子だけを見てチェックしているわけではありません。JPEGファイル等の先頭には、JPEGファイルですというキーワードが含まれています。

例えば、JPEGファイルなどをメモ帳で開くと(絶対上書き保存したらダメ!)、最初の方にこんな文字があったりします。見て判りやすい文字列のみを書いているので、この文字列を書き換えればいいという事ではありません。
・JPEG : JFIF。JPEG自体は色々と種類があるので一般的なものです。
・GIF : GIF
・PDF : PDF-1.5、PDF-1.4等
・LZH : lh0、lh5、lh6等。圧縮方式で変わります。
・RAR : Rar!

基本的にこれらはバイナリ形式といわれるものなので、中身を見ると無茶苦茶な文字列が見えると思います。メモ帳で開く程度なら問題ありませんが、上書き保存すると誤った文字に変換されて二度と見れなくなる可能性があります。

これらの拡張子や特定するためのキーワードを持って、スキャンするためのウイルス定義を絞り込んでチェックを行っています。JPEGファイル相手に、Wordのみに感染するウイルスの感染チェックをしても無駄だからです。

今回はそれをついて、例えば、ウイルス実行ファイルなのに、先頭にこれはPDFファイルですというキーワードを埋め込めばPDFのチェックのみをしてウイルス実行ファイルのチェックから逃れる事が出来たそうです。こういう偽装方法は昔からあるので、恐らくは特殊なキーワードや改造を施した場合に限ると思います。

2005年10月20日

asahi.comの広告サイトでハッキングとウイルス感染

asahi.comの広告サイト「キャンパス・アサヒコム」でハッキングがありました。10月17日〜10月18日17:30頃までにこのサイトを訪れた場合、中国サイトに接続されてウイルスに感染する可能性があったそうです。

また、同時に同サイトに資料請求した160の個人情報、同じくasahi.comの広告サイト「資格・講座ガイド」と「マンションナビ」に資料請求したユーザーの個人情報、合計462名分が流出した模様です。

 「アサヒ・コム」の広告サイトに不正アクセス,ウイルス感染させるコードが仕込まれる (IT Pro)
 asahi.comの広告サイトが不正アクセスで閉鎖〜閲覧者はウイルス感染も (INTERNET Watch)


ウイルスの種類は3つ。
CHM_DROPPER.CP
TROJ_DROPPER.PC
BKDR_PCCLIENT.BV

3つのウイルスの症状
・ファイルのダウンロード
・実行中のプロセスを強制終了、表示
・起動時に実行されるサービス、プログラムの表示
・システム情報の収集およびHTTP POSTを使用した情報の送信
・Windows 2003は、ブルースクリーン・クラッシュの可能性

「システム情報の収集およびHTTP POSTを使用した情報の送信」により、メールアドレス等の流出があった模様です。

簡単に説明すると、BKDR_PCCLIENT.BVが悪さをするウイルスで、あと2つはこのウイルスをダウンロード・インストールするようです。
BKDR_PCCLIENT.BVは、ウイルス感染した際のチェックに使うエクスプローラー、タスクマネージャー、レジストリエディタ等から見えないように操作するファイルを作成します。つまり、目視でチェックしようとすると気付かない可能性があります。その上で、メールアドレスなどを蒐集して外部に流出させるようです。手が込んでますね・・・


感染した可能性があると思った方へ。
現在、トレンドマイクロ社が対策ツールを提供しております。

 ウイルスに関する情報と駆除の方法について (キャンパス・アサヒコム)
 専用駆除ツールダウンロードページ (トレンドマイクロ社)

TREND MICRO社からファイルをダウンロードして、実行するだけでOKです。
実行すると一瞬、黒い画面が表示されて終了です。デスクトップに「auto_tsc」が出来、中にあるreportフォルダ内にある「(日付).log」のファイルを開くと、感染していたか等がわかります。

下記私の実行例です。
「Virus found count」がゼロなら感染無しです。感染していた場合、駆除出来たら「Clean failed count」の数字が増えると思います。

===== 実行例 開始 ==========
Damage Cleanup Engine (DCE) 3.9(Build 1020)
Windows XP(Build xxxx: Service Pack 2)

Start time : 木 10 20 2005 21:13:44

Load Damage Cleanup Template (DCT) "C:\Documents and Settings\(ユーザ名)\デスクトップ\auto_tsc\tsc.ptn" (version 669) [success]

Complete time : 木 10 20 2005 21:13:44
Execute pattern count(1), Virus found count(0), Virus clean count(0), Clean failed count(0)
===== 実行例 終了 ==========

2005年10月16日

OSのインストールの危険度

PCを数年使えば、殆どの人が直面するOSの再インストールを体験しますよね。
私はソフトを試しているうちに1年ぐらいで不安定になって、ブルーになります。大半の方が、メーカー製PCの場合はリカバリーCDを使ったり、WindowsのインストールCDでOSをインストールして、さらにそこから、パッチをあてて延々と・・・遅そうだからランチでも行ってきましょうか、なんてよくある話ですよね。

持ってるWindows XPのCDはサービスパック無しだから、1時間以上ダウンロードに掛かりそう。。。なんて事もあるんじゃないでしょうか? パッチが当たるまでって・・・古い状態のままですよね? つまり、その間はかなり打たれ弱いPCなんです。

 「OSのインストール時と起動時のセキュリティに注意」---マイクロソフトの小野寺氏 (IT Pro)

Microsoftも、はっきりと注意が必要と言っています。
インストール直後は当たり前ながら、ウイルス対策ソフトもファイアウォールも入っていません。ですが、使いやすいように色々な機能(サービス)が起動しています。その色々な機能が、脆弱性のある状態で起動しているため危険なのです。

サービスとは、目に見えない場所で動いているプログラムです。
マイコンピュータの右クリック→管理でコンピュータの管理を開き、サービスとアプリケーション→サービスを見ると、大量のサービスが表示されると思います。ここで状態が「開始」の物が、起動中のサービスです。大量にありますよね? こういうのを狙われたりするのです。サービスはシステムに重要な物が多いので、適当に状態を変更するとまともに起動しなくなるものまであります。説明を見ただけでは勘違いするので触るのであれば、よくしたら調べして下さいね(例えば、Messangerは、MSN Messangerとは違います等)。


そして、どれぐらい弱いかというと過去記事からですが、「新種ウィルスが大幅増加」で、「未パッチで何の防御もしていないWindowsはネットワークに接続して12分でワームに感染する確立は50%」といのを書きました。たったの12分で、再インストール時の設定は終わりません。


そこでお勧めなのが、「nLite」というインストールCD作成ソフト。
サイトは英語ですが、ソフトは日本語で表示されます。

これは、Windows XPや2000のインストールCD等から、SP2やそれ以降に出たパッチを当てた状態で、CD-RやDVD-RでインストールCDを作るソフトです。これがあると、かなりパッチが当たった状態で再インストールが出来るため、だいぶ安全な状態から始める事が出来ます。他にも豊富な設定機能や、ドライバの組み込み、他のソフトなどのファイルも同時にCDに組み込めるため、DVD-Rで作れば、1枚のDVD-Rで殆どのソフトまでインストールが出来ます。

nLiteに関しては、「nLite(インストールCD作成)感想」で、私の感想や簡単な説明をしています。

また、THE MAD RADEON BLOGGERSさんのnLiteの日本語版ガイドは必見です!


作るのは結構時間が掛かります。カスタマイズ項目が豊富なため、凝れば凝るほど時間がかかります。ですが、その分だけ後の作業が楽ですので、一度試しておくと、重宝するのは確実ですよ。

2005年10月14日

パッチはお早めに

日本時間10月12日の月例WindowsUpdate、もうお済みでしょうか?

米国時間ですが、11日にリリースした月例パッチで修正した脆弱性をつくエクスプロイトコードが、13日には4種類も存在したそうです。エクスプロイトコードとは「こうすれば相手の脆弱性をつける」というサンプルです。サンプルがある以上、それを使って攻撃する人ももうすぐ(既にかも?)出てくるという事です。

 「ワーム攻撃の前兆」--Windowsのエクスプロイトコードに専門家が警鐘 (CNET Japan)
 10月に公開されたWindowsのセキュリティ・ホールを突くプログラムが出現 (IT Pro)

これはその脆弱性に関する情報をMicrosoftが公開してから24時間以内に作られたとのこと。
「過去2年間の、脆弱性の公表からエクスプロイトコード登場までの平均時間は4〜5.8日だった」(Symantec Security ResponseのシニアディレクターAlfred Huger)と述べているので、いかに早いかが伺えますね。

特に「(MS05-51) MSDTC および COM+ の脆弱性により、リモートでコードが実行される (KB902400)」はWindows2000やSP2を適用していないXPは優先に・・・と書いています。ですがあくまで「優先」であって、他が大丈夫という意味ではないのであしからずっ!


今はお金のため(不正オンラインバンキング等のためにID等を盗む)に、犯人は素早い対応をしています。出来る限り、早い対応をしましょうね。


【エクスプロイト】
OSやアプリケーションのセキュリティホールを使って不正な処理を行うこと。または、そのプログラム。エクスプロイト・コードは、セキュリティホールの実証や検証を行うためのプログラム命令の例をを指します。
開発者や企業の対策の為に公開したりしますが、逆に、これを参考に不正攻撃のプログラムを作られたりします。安易に公開すると、対策以前に悪用されるため、公開は慎重にしないといけません。


【私の記事】
本日のMicrosoft Update(05/10/12)
パッチはリスクもあります
ウイルスやスパイウェアは多いんです
新しいOSとブラウザにして欲しいかな

パッチはリスクもあります

私は「Windows等のOSのパッチをあてて、ウイルス対策ソフト等の定義は最新に」というのが基本だと思っています。(ウイルスやスパイウェアは多いんです

ですが、パッチを当てるというのは、リスクもあるのは確かなんですね。
新しいOSとブラウザにして欲しいかな」でもありましたが、パッチをあてる事により動かなくなる可能性があるため、企業のシステムなどではパッチがリリースされたからといって、いきなり適用しません。今は大きな企業ほど、お金や物の流れをコンピュータで制御しているため、「パッチを当てて動かなくなりました。ウフ♪」では済まないからです。

と、同時に、不正な動作やセキュリティ・ホールを置きっぱなしにして、「外部から侵入されて個人情報盗まれちゃいました。テヘ♪」 なんて言った日には、その企業に明日はないんですよね。


下のIT Proの記事は、こういう判断はシステム管理者の責任ではなく、経営者が責任を持って行うべきだと言われています。

 「パッチ適用のリスクは経営者が負うべき」---ラックの三輪氏 (IT Pro)


私も、パッチを適用された事によりトラブルが発生した事がありました。
幸い、本番ではなくテストリリース中のシステムでしたが、一部のお客に影響が出ました。何が起きたかというと、私は一部のシステムを担当していたのですが、全体を管理している会社がデータベースのパッチを当てたんですね。他のシステムで動作しないプログラムがあったためにパッチ(実際はサービスパック)を当てたそうですが、私はパッチの適用を全然知りませんでした。そして、次の日出社したら「データが来てない!プログラムが止まってる!」と苛立っていました。

今まで動いていたプログラムが突然に動かなく・・・悩んでエラーのログを見ていると、データベースに関するエラーが! とりあえず、まずはエラーの発生源を報告したら「昨日、パッチ当てたんですよ」。ぇ〜?聞いてないですよ??と、心の中で叫ぶ小心者な私(ノ_・。) そのエラーはデータベースからデータを取得するSQL(データ取得の共通言語)で、よく使われる一般的な命令(UNION命令)でした。それだけに、まさか!?な部分でした。でも、起きちゃうんです。

パッチを当てる事により、新しい不正動作が起きてしまったのです。 こうなると、昔の状態に戻すか、新しいパッチを適用するかのどちらかになります。幸い、まだ最新のパッチ状態ではなかったので最新パッチを当てる事で解消されました。これが非常に怖いんですね。さらに悪化する可能性があるわけですから。だから、企業はすぐには当てたがりません。


それでも、私は個人に関してはパッチを当てるべきだと思っています。
企業はファイアウォール等で厳密にブロックしてる事が多いので、比較的余裕があるということです。確かに、トラブルを産む可能性があるのですが、それ以上に、セキュリティ・ホールなどを放置する方が怖いんですね。セキュリティ・パッチをリリースすると、Microsoft等は細かい情報を提供します。どうしてかというと、セキュリティ会社や企業がそのパッチを当てるべきかどうかを判断するためです。逆に言えば、クラッカーのような悪者だって見て研究するわけです。そして、パッチを当てていない人をターゲットにするのです。私は未だに「SP2って当てた方がいいの?」って聞かれるぐらいですから・・・


特に最新の状態で使い続けたいのは、Windows等のOSと、ネットワークを使用するものです。例えば、MSNメッセンジャーのようなインスタントメッセンジャーですね。WordやExcelも大事ですが、ファイルを開かなかったら問題が起きる可能性が少ないのですが、ネットワークを使う場合は、外部との直接接触が多いために危険度が高いです。サポートが終了したソフトは注意が必要です。


最近のソフトは、自動アップデートやアップデートのお知らせ機能付が多いですが、そうでない場合も、RSS配信、メルマガ配信でお知らせしてくれるのが多いです。それもない場合は、WWWCというWEB更新確認ツールを使うとイイと思います。

2005年10月13日

ウイルスやスパイウェアは多いんです

IT関連のニュースを見ていると、枚挙にいとまがないほどウイルスなどの情報が入ってきます。段々と慣れてきて書くのが面倒くさいぐらい・・・対処出来るのは書きますけど、対処不能なウイルスや脆弱性は最初から記事にしてないんです。それも、せいぜいパッチを当てましょう、ウイルス定義をアップデートしましょうぐらいなんですけどね。


スパイウェアって、こういう情報を集めていたりします。

 巧妙化するスパイウェア--専門家がユーザーの対策不足を指摘 (CNET Japan)

「最も基本的な動きをするスパイウェアでさえ、ユーザーの氏名や性別、年齢、オンラインで費やす時間、検索の内容、購入商品、訪問先ウェブサイトなどの情報を収集できる」(SymantecのシニアリサーチャーEric Chien)

氏名・性別・年齢って、どうやって調べるんでしょ? オンラインショッピングの情報でしょうか? 購入商品の項目がありますし、商品送付などがあって嘘は書きづらいですしね。 これは「基本的」なので、それ以外にも色々調べます。メールアドレスなども盗っておくとスパムメール先としてお金になりますし。特に、性別・年齢も一緒であれば、アダルトサイトも狙いやすいと思います。

また、必要な情報だけをあつめるために、あるサイト(銀行やショッピング)や、「確認」という文字列があるサイトの時だけ、スクリーンショットを撮って犯人に送信するなど、普段はその動きを押さえてバレにくいように潜んでいたりします。


ウイルス感染なんてそうそう無いし、関係ないと思っている方、この人数をみるともしかしてって思いません?

 ハックしたPCは10万台以上--「ボット使い」がオランダで逮捕 (CNET Japan)

オランダ警察が全世界に10万台以上のPCに侵入して、それを踏み台にオンライン犯罪をしていた3人組(増える可能性あり)が捕まりました。
これは相手にトロイの木馬をしかけて、こんな事をしました。

・犯人がリモートでPCをコントロールする。
・キーロガーで、相手のPCのカード番号やパスワードなどを盗む。
・上記よりネットの支払いや、オークションアカウントを使って商品を買う。
・サービス拒否攻撃(DoS攻撃)で、企業のHPを止めると脅す。


特に、オンラインバンキング用のアカウント等は自分で使わずに他人に売る事で、足が付きづらくして報酬を得るなどが多いのが特徴です。

DoS攻撃は「Firefoxに重大なセキュリティ・ホール」で少し詳しく書きましたが、複数のPCから一斉に連続でウェブを見る命令を相手のサーバに送る事により、サーバの受付能力を溢れさせて停止に追い込んだりします。


基本的な対処方法はとても簡単です。
簡単に出来るのは、最新のWindows等のOSのパッチを当てて、ウイルス対策ソフトやファイアウォールソフトを入れて、定義は最新にしておきましょう、です。
そして、むやみやたらに知らないリンクやメールを見たり、いきなり出てきたウィンドウでOKを押さない、怪しげなソフトはインストールしない。特に、Webを見ていて「ActiveXをインストールしますか?」などで簡単にインストールはしないようにしましょう。


これだけでも、かなりのウイルスは防げます。
パッチやアンチウイルスソフトの定義は、今は殆どが自動でアップデートしてくれます。アンチウイルスソフトなどの使用期限だけ気を付けていれば、かなり安全度が高いはずです。

価格.comでも有名になりましたが、ウイルス対策ソフトは100%ではありません。このときに有名になったNOD32も、やはり絶対ではないのです。残念ながら、値段に相応して安いソフトほど検出性能が弱い傾向にあるようです。(あくまでも傾向、ですよ!)


また、まだNorton Internet Securityやウイルスバスターのスパイウェア検出機能は弱いようです。さらに言えば、Norton Internet Securityはもうすぐ発売される2006から初めてリアルタイム検索されるなど、まだ全体的にスパイウェア対策機能が弱いのが否めません。


【フリーのウイルス対策ソフトなら】
・avast! 4 Home Edition
・AVG Free Edition
・AVG Free Edition
・AVG Personal E-Mail Scanner (AVGのメールチェック用)


両方とも英語サイトなので、「窓の杜」の紹介記事のavast! 4 Home Editionと、AVG Free Editionを見て下さい。
→AVGに日本語サイトが作られました。こちらの日本語サイトをどうぞ。但し、ソフト自体は英語です。

私的には、avast!がお勧めです。
理由は、インストールした後のソフトが日本語表示です。但し、両方とも自動で定義のアップデートをしてくれますのでご安心を♪

但し! フリーとはいえ、同時に2つ以上のウイルス対策ソフトは入れたらダメです!
アンチウイルスソフトは、OSの中核部分(カーネル)まで関係するソフトです。そのため、同時に2つのソフトが入っていると、最悪、起動さえも出来なくなります。


【フリーのファイアウォールなら】
・ZoneAlarm

サイトもソフトも日本語に完全対応しています。ZoneAlarm Pro等がありますが、ただのZoneAlarmがフリーです。難しいファイアウォールの設定も、ソフトが通信を行うたびに設定画面が表示されて通信許可・拒否を選択するだけで出来るため、お手軽です。


【フリーのスパイウェア対策(検出・削除)ソフトなら】
・Spybot - Search & Destroy
・Ad-Aware SE Personal

お勧めは、両方ともインストール。
スパイウェアは必ずしも悪ではないです。場合によっては正当な理由で正常にインストールされている事もあります。また、削除する事によりソフトが動かなくなる可能性があります。その判断基準の曖昧さのため必ずしも全てが検出されるとは限りません。このソフトは検出・削除ソフトなので、同時にインストールしても問題はありません。同時実行はよくないかも知れませんけど。そのため、両方ともインストールして、交互にチェックするのが望ましいです。Spybotは標準で日本語になりますが、Ad-Awareは英語のままです。日本語版が販売されているため、今は日本語パッチは出ていません。設定次第で、Spybotは起動時に定義のバージョンアップが行われますが、Ad-Awareは手動で更新となります。

※フリー版はあくまでも検出・削除ですので、侵入された時点では判りません。侵入検知機能を利用したい場合は有償版のSpybot等を利用して下さい。
有償版Spybot1.4発売」「有償版Spybot1.4の対応ブラウザ


【オンラインでチェックするには(基本的に検索のみ)】
・シマンテック・セキュリティチェック
・ウイルスバスターオンラインスキャン
・eTrust オンライン ウイルススキャン
・ウイルスチェイサー for WEB
・デジトラ・ライブコール
・X-Cleaner Micro Edition
・Zone Labs 無料スパイウェア スキャナ

・シマンテック・セキュリティチェックは、ウイルスチェックとセキュリティスキャンがあります。セキュリティスキャンは外部からWindowsの状態がみれるか?等の確認出来るので、一度やってみて!
・デジトラ・ライブコールはウイルスの削除まで行えます。
・X-Cleaner Micro Editionは、スパイウェアの検出・削除まで行えます。


フリーでも、十分に対策は可能です。
また、普段はNorton Intener Securityを使っている人は、時々トレンドマイクロのオンラインスキャンを使うなど、他のオンラインスキャンを行うと、よりセキュリティ度合いが高まります。

2005年10月12日

本日のMicrosoft Update

10月12日(第2火曜日の翌日)に、Microsoft Update (Windows Update)で、10月の月例パッチが出てますよ〜。

私のアップデートは10カ所(セキュリティ9と、悪意のあるソフトウェアの削除ツール)でした。
セキュリティの危険度は、緊急3件、重要4件、警告2件でした。
前回の告知では、Exchange用のUpdateとあったので一般ユーザには関係ないと思って省いていましたが、関係あったようです。ゴメンナサイ!


出来れば、手動でアップデートしましょう♪
自動でやるよりも、セキュリティ対策をしているという意識が芽生えますからね。
ちなみに、「Microsoft Update」も「Windows Update」も、基本的に同じ物です。「Microsoft Update」は、「Windows Update」と「Office Update」等が一つになったものです。


絵でみるセキュリティ情報からの情報です。
危険レベルは深刻度の評価システムとは?で判断出来ます。


緊急
(MS05-050) DirectShow の脆弱性により、リモートでコードが実行される (KB904706)
(MS05-051) MSDTC および COM+ の脆弱性により、リモートでコードが実行される (KB902400)
(MS05-052) Internet Explorer 用の累積的なセキュリティ更新プログラム (KB896688)

重要
(MS05-046) Netware 用クライアント サービスの脆弱性により、リモートでコードが実行される (KB899589)
(MS05-047) プラグ アンド プレイの脆弱性により、リモートでコードが実行され、ローカルで特権の昇格が行なわれる (KB905749)
(MS05-048) Microsoft Collaboration Data Objects の脆弱性により、リモートでコードが実行される (KB907245)
(MS05-049) Windows シェルの脆弱性により、リモートでコードが実行される (KB900725)

警告
(MS05-044) Windows FTP クライアントの脆弱性により、ファイルの転送場所が改ざんされる (KB905495)
(MS05-045) ネットワーク接続マネージャの脆弱性により、サービス拒否が起こる (KB905414)


文書番号が、絵でみるセキュリティ情報ではKB907245でしたが、私の環境ではKB901017となっていました。あれれ??


場合によってはPCの再起動の可能性があるそうです。
作業の前にUpdateしておいたほうが良さそうですね!

2005年10月09日

新しいOSとブラウザにして欲しいかな

このブログでセキュリティがなんちゃら〜、パッチをなんちゃら〜って、結構やってますけど、皆さん、いかがでしょうか??

さて、今回は、私のブログを見て頂いた人のOSやブラウザを見てみました。


Seesaaブログには標準でアクセス解析という、何時にどれぐらい、どの記事にどれぐらいアクセスがあったか、尋ねてきた人のOSやブラウザのバージョンの統計、検索してきた検索エンジンやその単語の統計を取る機能があります。ただし、相手のIP等詳しい事までは判りません。また、BlogPetも同じような機能があります。こちらは、相手のプロバイダまでは確認出来ます。

何のためかというと、どんな記事が好評だったかを調べたり、ブラウザでFirefoxの占める割合が大きければFirefoxでの見え方のチェックをしようなどが、基本的な使い方です。


そして、チェックしてみたが下の画像です。
OS分布05年09月OSの割合

ブラウザ分布05年09月
ブラウザの割合(66位まで)

不明とあるのはファイアウォールなどで、自分のOSやブラウザやリファラ(リンク元)を隠している場合です。もちろん、自衛のためです。


OSの割合を見ていて「うーん・・・」と思うのは、Win98やWin95って、結構多いんですよね。
Windows98やWindowsMEはセキュリティパッチがリリースされるのは「2006/06/30」までありますのでまだいいのですが、Windows95は「2001/12/31」以降、セキュリティパッチが出ていません。つまり、かなり無防備なままなんですよね。

ブラウザの割合を見ていると、IE6が圧倒的に多いです。また、次がFirefoxというのもブラウザのシェアを如実に表していますね。Operaが多いのは、何度かOperaを紹介しているのと、私自身、Operaで見る事もあるためだと思います。Safariブラウザ(Macのブラウザ)のシェアが低いのは、単純にMacユーザ向けの記事が少ないからだと思います。

ずらずら〜っと見ていて・・・5位のIE5.5や、6位のIE5ですが、実はとっくにサポートが切れています。それどころか、IE6もSPなしはサポートが終わっています。22位のIE4、54位のIE3等は正直驚きました。IE3に至っては、96年リリースなのでかなり古いですね。


こうなってくると、ウイルス対策ソフトやファイアウォールがあっても、かなり危険な状態です。例えば、IE3は、ActiveX(ミニプログラム)をサポートしていますが、ActiveXのスパイウェア等も何の警告もなく実行するなどで危険なサポート方法になっているのです。

実際、PCのスペック上からバージョンアップは出来ないというのがあると思いますが、さすがにコレでは危険なんですよね。楽々とPCを乗っ取られたりします。アンチウイルスソフトもファイアウォールも、基本はOSやブラウザがちゃんとパッチを当たっている事が前提なのです。


対応策は、Windows95は、正直言って買い換えて下さいという事しか言えません。今のWin95はアンインストールして、Linuxマシンとして使うのであれば、まだ現役として使えます。Webやメール、重いでしょうが OpenOffice.org で、Office文書を扱う事も可能です。

ブラウザもIE3をお使いの方は、Win95でしょうから、最新のブラウザで対応出来るのは、「Opera8」のみとなります。IE6、Firefox共に、Windows98以上のサポートですので、Win98以降の人は、IE6かFirefox、Opera8の最新をインストールしましょう。Sleipnir等もIEの部品を使って動いていますので、IEは確実に!


また、安定しているのを使い続けるのはいいというのがありますが、その考えは間違っています。いえ、あっているのですが、それはインターネットなど外部に接続しない企業のマシン等に当てはまる話であって、Webを見たりするマシンの場合は当てはまりません。もちろん、パッチを当てる事により、動かなくなる可能性はゼロではありません。ですが、それ以上に危険に溢れているのがインターネットと言うのがあります。


【Microsoftのサポート情報】
プロダクト ライフサイクルWindows (Micorosof)
サポート対象サービス パック (Micorosoft)
プロダクト ライフサイクル (Micorosoft)


【ブラウザの対象OS等】
Internet Explorer ダウンロード (Micorosoft)
Firefox
Opera for Windows


【関係する私の記事】
Firefox について
Operaの導入とブラウザ能力の比較
フリーのウィルス対策とファイアウォール
新種ウィルスが大幅増加


【ついでにBlogPetの解析】
OS分布05年09月BP版
ブラウザ分布05年09月BP版
携帯で見て頂いた方もおられるんですね・・・!
ちなみに、Seesaaブログはケータイでもブログが読めます。アドレスはそのままでOKです!

2005年10月07日

10月12日は月例 Windows Update!

10月12日(第2火曜日の翌日)は、月例のWindows Update (Microsoft Update)ですよ〜!

今回のUpdateの内容は8件で、「緊急」レベルは少なくとも1件あるようです。

 MS、10月の月例パッチを予告--緊急レベル1件を含むWindows脆弱性を修正 (CNET Japan)


「緊急」は、ユーザが特別な操作無しで拡散する悪質なものに関するセキュリティ問題のモノが含まれるそうです。


オススメは手動更新
自分で動かす事で、タイトルを見るだけでもなんとなくセキュリティ意識が増えるのと、詳細情報を見ればさらに詳しくなれるからです。


また、同時に「悪意のあるソフトウェアの削除ツール」のアップデートも行われます。
今回より、日本独自のウイルスのWinny経由の「Antinny」も含まれる事になりましたが、ハッキリ言って信用しないほうがいいでしょう。まだ、亜種(改造バージョン)に全て対応するかなどがハッキリしない、チェック時に「Antinnyが動作中」じゃないと検知・削除しないからです。また、ウイルスは爆発的に増えており(半年間で8000種類)、亜種はドンドン作られます。基本的にはMicrosoft製品に直接害をなすモノの削除を目的としたツールとの事なので、どこまで本気で取り組み、亜種に対応続けるかが不確かなのです。

 マイクロソフト,ウイルス削除ツールの新版で「Antinny」に対応 (IT Pro)
 マイクロソフト、ウイルス駆除ツール最新版で「Antinny」に対応 (INTERNET Watch)
 新種ウィルスが大幅増加 (私の記事05/07/04)
 フリーのウィルス対策とファイアウォール (私の記事05/08/04)

対応しているスパイウェアの種類が非常に乏しいので、私的には個人使用ではフリーソフトである「Spybot - Search & Destroy」や「Ad-Aware」をオススメします♪

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。