いま，振り回されてますよ．GUR6.EXEとかGUR3.EXEとか．これ，どうなん．

　例外的に３月３１日にWindows Updateが提供されていますね．

MS10-018 : Internet Explorer の重要な更新
http://www.microsoft.com/japan/security/bulletins/MS10-018e.mspx

　スケジュールに反して緊急リリースという所で，実被害が出ているという事ですが，どのような実攻撃でどう被害が出ているのか詳細が不明です．．．

　スペインのセキュリティ会社のパンダセキュリティから，スパム発信国ランキングが発表されました．

1月－2月のスパム分析: ブラジル、インド、ベトナムがスパム発信国ランキング2010年初のトップ
http://www.ps-japan.co.jp/pressrelease/n89.html

　昨年１０月にまとめた統計「私家版　迷惑メールを出す国ランキング」で現れている国と同等ですね．　このラインキングに日本が居ない事は，誇らしい事だと思います．

　先日Windows UpdateするとWindowsが起動しなくなる現象で予想されていた通りマルウェアが原因だったんですね．

「MS10-015」ブルースクリーン問題、原因はマルウェア--MS、駆除ツールを提供へ - ZDNet

　このマルウェア，Alureonというらしいのですが，調べると次の様な動作をするものです．

Backdoor.Tidserv - Symantec
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-091809-0911-99

　これをみると全米で拡大しているようですが，発見されたのが2008年9月18日ですから，ウイルス対策ソフトを入れていれば防げたレベルです．

　オリンピックを楽しんでいる間に，世間はMS10-015を適用すると起動時にブルースクリーンになる問題が世間をにぎわしている様です．　マイクロソフトは解決策が出るまでMS10-015に対応するパッチは配信停止にしたそうです．

　シマンテックの情報によるとBackdoor.Tidservというトロイの木馬に感染している場合に，それが発生するのだそうです．

　これが本当だとするとBackdoor.Tidservが寄生しているPCが大量にあるという事ですかね．この問題を回避する為には，やはりUpdaterがリリースされてからしばらくは様子を見て適用するという運用になるのでしょうか．

　でもその「しばらく」の設定が難しいですね．　次のアップデートがリリースされる１ヶ月後が最遅ですが，マイクロソフトの場合，過去の不具合事例からみると問題ないと判断できるのは１週間という所でしょうか．

　先日の飲み会で世の中の日本人の何人かは「ガンブラー」を「ガンプラ」と勘違いしてるんじゃないかと言う笑い話がありましたが，その原因の１つとなっているように，最近はAdobe系のソフトウェアにも深刻なバグが多く存在します．

　以下のニュースだと，１６日にアップデートが出る様です．

「Adobe Reader」と「Flash Player」に深刻な脆弱性--アドビが警告

　Appleが怒るのもむりないかな．

米アップルとアドビ、フラッシュの対応をめぐり対決に拍車
http://jp.wsj.com/IT/node_32013

　ついでに再録．

Adobe FlashとShockwaveとAcrobat Readerのバージョンを調べる

　昨日，秋葉原通り魔事件の公判が放送されてましたが，時を同じくして秋葉原に町内会が監視カメラを１６台設置したという報道もありました．
　秋葉原の事件では犯行時間２分半で７人死亡10人負傷な短時間で実行された事件なので，カメラで異常検知や通報しても間に合いませんし，ましてや犯罪抑制にならないと思いますが，後で犯人がどのような行動をしたかを振り返る事は出来るのでしょう．

　同じ様な事で昨年末にJR埼京線で痴漢防止策として防犯カメラ設置という話があって，報道当初，監視カメラを設置している事を案内したりプライバシーに配慮して運用する等と言われていましたが，そもそも駅の中，改札，通路にはこれまで何の断りも無く監視カメラだらけでいまさらお断りしても・・・という感じはあります．　電車内だけにプライバシーがあるわけじゃないので．

　ビデオプレイヤとして有名なRealPlayerのアップデートがリリースされてました．

RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース
http://service.real.com/realplayer/security/01192010_player/ja/

　RealPlayerは，プレイヤとしてよりも，YoutubeをはじめとするFLV(フラッシュビデオ)のダウンロードで使える神ソフトになってますね．

　Adobe製品も新型インフルエンザ並みに？猛威をふるってるGumblarウイルスの感染の一因となっているので気を抜けないですね．

　Adobe Shockwave Playerにも深刻度の高い脆弱性が発見されている様です．
　Webブラウザのプラグインとなっているので，インストールされているか否か判らない場合は，以下のサイトにアクセスすれば良いです．

Adobe Shockwabe Player
http://www.adobe.com/jp/shockwave/welcome/

　私の場合，インストールされていませんでした．ついでにFlash Playerも同じくサイトにアクセスすればバージョンが判ります．

Adobe Flash Player
http://www.adobe.com/jp/software/flash/about/

　もう一つ，いつの間にか？AcrobatからAdobe Readerと名前を変えていたPDFビューアですが，これは従来通りのアプリケーションの操作でバージョンを確認する手順が出ています．

Adobe Reader のバージョンを確認する方法
http://kb2.adobe.com/jp/cps/831/8310.html

　JPCERT/CCから注意喚起の更新版が出ています．

Zero-day Vulnerability in Microsoft Internet Explorer
https://www.jpcert.or.jp/at/2010/at100004.txt

　これは中国からグーグルへ攻撃に使われているとされている脆弱性を埋めるものです．


　緊急度が高い為，定期アップデートとは別にこの脆弱性に対するアップデータがマイクロソフトから本日リリースされたようなので，手動でWindows Updateを実行している人は注意が必要です．

マイクロソフト セキュリティ情報 MS10-002 - 緊急
http://www.microsoft.com/japan/technet/security/bulletin/ms10-002.mspx

　対象となるOSは，Windows 2000〜Windows 7にまたがります．

・Microsoft Windows 2000 SP4 上の Internet Explorer 6 SP1
・Windows XP SP2/SP3 上の Internet Explorer 6,7,8
・Windows Server 2003 SP2 上の Internet Explorer 6,7,8
・Windows Vista、Windows Vista SP1,SP2 上の Internet Explorer 7,8
・Windows Server 2008、Windows Server 2008 SP2 上の Internet Explorer 7,8
・ Windows 7 上の Internet Explorer 8

　昨年末に，JVNから新バージョンがリリースされているセキュリティ対策ソフトウェアです．　先週，不具合修正のアップデートが行われました．
脆弱性情報共有フレームワーク - MyJVN
http://jvndb.jvn.jp/apis/myjvn/

　この無料のソフトウェアを利用すると，PC上にインストールされたソフトウェアのバージョンをチェックできます．　網羅的にバージョンをチェックする事で脆弱性を含んだソフトウェアが無いか確認できるという事になります．

　対応環境はWindows XPとVistaで，7に対応しているとは書いていません．また，JREが必要になります．　ちょっと試そうかと思ったのですが，うちではJREが入ってないし入れるつもりも無いので，今回は断念．

　それにしても，今朝のNHKニュースでもガンブラーをやってました．亜種もありセキュリティ対策ソフトでも発見できない相当深刻ですね．
　感染の下地ができている環境と，挙動についてはWikiを参照の事．

Gumblar
http://ja.wikipedia.org/wiki/Gumblar

　独自調査によってうちはブラジルからの迷惑メールが大半だったのでブラジルからのアクセスをdropするようにしたら圧倒的な効果がありました．

　そこで，JPCERT/CCでもブラジルからの迷惑メールの増加に対応して発信者情報の交換をブラジルのCERTと行う様になった様です．

ブラジルとの迷惑メールに関する情報交換の開始について
http://www.jpcert.or.jp/press/2010/PR20100108_brz.pdf

　この資料によるとブラジルからの迷惑メールはここ2009年にその前年より倍増している感じですね．
　同資料では日本からの情報提供は既に１月１３日に行われている様なので，ブラジルからの提供された情報がどのように後悔されるのか気になります．　IPアドレスが後悔されたら，それをFirewallに設定してdropすればよいのかな．

　Adobe Acrobat等の脆弱性を利用してWebサイト改ざんし更に悪意のあるプログラムを拡散するウイルスガンブラーの猛威が止まりません．
　テレビニュースでもJR東日本，ローソン，ホンダ，一番新しいニュースではハウス食品の新卒採用情報ページで感染が確認されたそうです．

　昨日のJPCERT/CCからの注意喚起がこれです．

Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100001.txt

　被害の拡大が判りやすくグラフが出てました．


グラフ: JPCERT/CC への Web サイト改ざんの届出件数の推移

　JPCERT/CCが確認している対象となるソフトウェアは，Adobe Flash Player, Adobe Acrobat, Adobe Reader, Java(JRE), Microsoft製品を応用してという，おおよそのビジネスユーザのパソコンに入ってそうなものなので，感染するのが特別じゃない事が良くわかりますね．
　ただ，基本的にアップデートが行われていれば問題ないものですので，大企業での情報セキュリティ対策の現状が見えてくる感じがあります．

　フィッシング対策協議会から注意喚起です．

【注意喚起】 携帯サイトを装ったフィッシングサイトにご注意下さい
http://www.antiphishing.jp/alert/alert1032.html

　モバゲー，ミクシィ，グリー，イクセンを語っているとの事．　モバイルサイトでのフィッシングは珍しいのですが，今回見つかったサイトではメールアドレス等の個人情報等を収集している様です．

　イクセン(ixen)というのは知らなかったんだけど，シーエーモバイルが運営しているんですね．アメブロのサイバーエージェントの子会社です．

　キャリアの対策のおかげで総当たりでの迷惑メール配信が出来なくなっているので，少々短いメアドでも大丈夫なのですが，色々なサイトで遊んでいるケータイサイトのユーザは，どこから情報が漏れるようで迷惑メールが到着している様ですね．

　スパムメール対策としてブラジルからの通信を遮断したのが11月7日なので，２ヶ月経過しました．この間に到着した迷惑メールは219通．２日で1800通届いていた初期の頃に比べて大幅に削減できました．
　そこでグラフで実績を振り返ってみます．


　グラフをみて一目瞭然なのは，スパムメールの到着数が圧倒的に減ったという事が判ります．　このグラフでは平均化されているので最大20通となっていますが，この頃１日あたり400通程度の迷惑メールが届いていました．　週刊グラフでみると次の通り．


　届かない日もあるようです．
　これで裏付けられるのは，うちの場合はブラジルからのSPAMメールが多かったという事です．

　今回の迷惑メールの特徴は，次の２つです．

１．サーバに存在した事の無いアカウントへのメール
２．当ドメインを偽装して送信したメールのエラーメールが戻ってくる

　この１の場合，受取人が居ないのでエラーメールを相手に返しますが，偽装されているので相手が存在しないので返却できません．いわゆるバウンスメールですが規定の回数のリトライ後，削除する様にしています．　面倒なのはメールサーバにウイルススキャナを入れているので，メールが到着する都度スキャンされるのでサーバのCPU負荷が上がります．　

　メール配送プロトコルのSMTPは性善説で作られているので送信者アドレスの偽装が出来てしまうのですが，２の場合それを利用して当サイトのメールアドレスを偽り，未承認広告メールを大量に出している様です．そして送信先のアドレスが無いと当サイトへエラーメールが返送されてきますが，そのアドレスも無いので後は１と同じ現象になります

　これの種類の場合は対策は比較的容易で，メールヘッダにMail DaemonからのDelivery Errorが記録されているので，フィルタリングし削除可能です．

　今回の対策としては当初エラーメールをフィルタリングで定期削除と，バウンスメール化しないようにメールの宛先として使われる存在しない約20アカウントをダミーで全て受け取って作成し，集約して削除を行っていましたが，受け取る時のウイルススキャンの負荷の低減が難しかったので，発信先のIPアドレスを検出し，その傾向からブラジルのIPアドレスをメールサーバ側でリジェクトとしました．

　Gumblar攻撃が猛威を振るっているそうです．

　先週は，JR東日本のサイト改ざんがテレビニュースでも報道されていました．

　これは，改ざんされたWebサイトには悪意あるJavScriptが埋め込まれてあり，訪問したユーザがウイルス感染するというものです．

　IPA(独立法人　情報処理推進機構)の注意喚起．

ウェブサイト管理者へ：ウェブサイト改ざんに関する注意喚起
一般利用者へ：改ざんされたウェブサイトからのウイルス感染に関する注意喚起
http://www.ipa.go.jp/security/topics/20091224.html

　LAC社の報告では，感染した際にアクセスする通信先のIPアドレスが報告されています．この情報を元にファイアウォールのログ監視で社内のPCが感染しているかどうか判断できますね．

【注意喚起】Gumblarウイルスの組織内感染拡大とホームページ改ざん被害増加に伴う対策の確認
http://www.lac.co.jp/info/alert/alert20091225.html

　訪問先のサイトが安全か否かは，次のサービスで検証できます．

無料のWeb安全チェックサービスといえばグレッド！
http://www.gred.jp/

　JPCERT/CCから注意喚起がでてました．　昨今のWebサイトの改ざん問題のAcrobatの脆弱性を用いたものが確認されたのだそうです．

　今回の修正対象は，次の通り．

- Adobe Reader / Acrobat のバージョン 9.2 およびそれ以前
- Adobe Reader / Acrobat のバージョン 8.1.7 およびそれ以前

　 Adobe 社は 2010年1月13日(日本時間)に修正プログラムを出す予定ということで，まだ２週間以上あります．　修正プログラムがでてないのに注意喚起されるという事の重要性を考える必要がありますね．
　アップデータでるまでは，以下の手順で対処できる様です．

●暫定対応

・Javascript を無効にする
1. Acrobat / Adobe Reader を起動する
2. メニューバーから "編集" -> "環境設定" を選択する
3. 分類の中から "JavaScript" を選択する
4. "Acrobat JavaScriptを使用" のチェックを解除する
5. "OK"を押して、設定を反映する

※Adobe Acrobat と Adobe Reader の両方でこの設定を変更する必要がある．

●参考情報

Adobe Reader および Acrobat における解放済みメモリを使用する脆弱性
http://jvn.jp/cert/JVNVU508357/index.html

　JPCERT/CCからセキュリティ情報が発信されました．

Adobe Flash Player の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2009/at090026.txt

　Flash Playerは，それを使っていると意識せずに使っている事が多い空気の様なもの？だとおもいますが，以下の公式サイトでバージョンをチェックできます．

Adobe Flash Player のバージョンテスト

　私は，チェックしたら残念ながら古いバージョンで10.0.32.18でした． Appleからはアップデータは今現時点ではリリースされてない様です．

　SPAM対策の一閑として，うちのサイトではブラジルからの迷惑メールが多い事が判ったのですが，FirewallでさっくりとブラジルあたりのIPアドレスをブロックしました．

　このグラフを見ると，朝９時過ぎに設定して，それ以降のグラフの動きで効果がわかりますね．
　でもまぁ，ブラジルだけじゃないのので他の国からのメールがガツンときたりしますが，それでも結構効果がありました．しかし，Firewall機能川の負荷が高くなります．

　迷惑メールが送信される国を調べてみました．
　検査対象は我がサイトへ10月27日〜29日に届いた1769通です．Receivedヘッダを抽出し，以下のPerlスクリプトを使用しました．

アクセス元がどこの国か調べるスクリプト

　昔，調べた時には中国・韓国・アメリカくらいの順番でしたが，今回はこんな感じです．

１．ブラジル(248)
２．アメリカ(128)
３．韓国(125)
４．ベトナム(120)
５．インド(98)
６．ポーランド(66)
７．ルーマニア(56)
７．コロンビア(56)
９．ロシア(53)
10．エジプト(43)
11．アルゼンチン(41)
12．中国(40)
13．ウクライナ(35)
13．イギリス(35)
15．チェコ(32)

※国名の後の括弧内の数値は，メール数．

　国別で集約すると97カ国あったのですが，上位５カ国で40%になりました．国内からのメールは15通で同着の25位でブルガリア，モロッコ，トルコと同じでした．国毎に割り当てられているIPアドレスを簡単にFirewallでDrop出来る様になれば拒否率が高くなります．．．

　ということで，MRTGでグラフ化したスパムメールのグラフです．

　このグラフは５分おきのスパムメール到着数を表したものですが，拒否する事によっての効果を調べてみます．本日現在は，少し少なくなっている後日，経過報告する予定です．

　こんなアナウンスがされています．

IPv6 を実装した複数の製品にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN75368899/index.html

　Neighbor Discovery Protocol (RFC 4861) に関連したパケットの処理に脆弱性ということです．
　IPv6では，ステートレス・アドレス自動設定 (RFC 4862)という機能で，DHCPサーバ無しで自分でIPアドレスを設定する機能があるのですが，その前提としてNeighbor(近隣) Discovery(探査)プロトコルがあるようで，ルータ探査，アドレス設定，アドレス解決な，重複アドレス検出等を行うようです．

　ヤマハのルータでこの脆弱性に対応しているファームウェアの一覧が掲載されています．

IPv6プロトコルにおけるサービス運用妨害(DoS)の脆弱性について
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/75368899.html

　RTX1500, RTX1100,RT107eのRev.8.03.80は昨年の10月にリリースされており，またRTX1200では発売当初から対応済という事で，ここ１年くらいの間にファームアップをしていれば問題ないようですが，ご確認ください．

　スパムメール対策として，受信後の処理の最適化を行ってサーバ負荷が下がり一定の効果があったのですが，送られてくるメール数が半端じゃぁありません．

　５分間毎のスパムメール到着数をグラフ化している結果ですが，５分間に288件も到着したりしています．　こうなるとスパム＆ウィルス判定エンジンが大量に稼働してサーバがメモリ不足気味でとても遅い．．．

　という事で現在別の対策を投入して効果を計っている所ですが，まずまずの効果がありそうです．
　ひかしそれは根本的な対処ではないので，もっとインターネット側で排除できる様な仕組みを考える必要があるかと考えています．

　マルウェア（不正ソフト）の検知に関するレポートが，非営利研究機関のSRIから発表されています．

Most Effective Antivirus Tools Against New Malware Binaries
http://mtc.sri.com/live_data/av_rankings/

　無料のマイクロソフトが３位の成績で，これは国内ではシマンテックやトレンドマイクロは脅威になるのではないでしょうか．
　逆にビックリしたのは30位のNODD32(ESET)です．これも安価な企業向けセキュリティ対策ソフトですが，7%しか防御できなかったというのは，全く価値がないと同等です．

　まぁ，レポートにも有る通り一番優秀なものでも89%の検出率で，133個は見つけられなかったのですから，何を使っていても安心できないという事には変わりないようです．

　スパム対策をしました．

　最近は，塩分控えめのライトを買ってます・・・ではなくて，SPAMメールが沢山くるのでサーバの負荷が高くなる現象があったのですが，その対策を行いました．

　これはメールサーバの負荷ですが，SPAMメールが増える事でCPU負荷が高くなっている事が判ります．
　メール到着毎にサーバ上でスパム判定とウイルス検査を実施しているのですが，受信数が多くなるのに比例してCPU負荷が高くなります．

　うちのばあい，ほとんどのSPAMメールは，ドメインを騙って送られたメールのエラーメールで，存在しないアカウントを使われて送信されているので，受信してもエラーを返すんだけど相手も戻してくるので１通のメールが何往復もするという事で負荷が高くなっています．

　ということで，対策を行い，負荷の削減ができました．　ただし，到着するエラーメール数は制限できないので，以前よりは負荷が高い状態になっています．
　まぁ，このメールサーバ，2005年に導入したものなので，そろそろ新しいサーバ機に入れ替えようかと思案中です．

　β版がリリースされてから３ヶ月程立ちましたが，正式版がリリースされたので早速インストールしてみました．

ウイルススパイウェアマルウェア対策| Microsoft Security Essentials
http://www.microsoft.com/security_essentials/default.aspx?mkt=ja-jp

　システム要件は次の通り．

Windows XP (Service Pack 2, Service Pack 3)
Windows Vista (Gold, Service Pack 1, Service Pack 2)
Windows 7

　VistaのGoldってなんだ？　それはおいといて，無料とはいえその性能が気になる所ですが，前評判は高いものでした．　実際の評価はこれからとなるとおもいますが，OSベンダが無料で提供した事によって，セキュリティソフトメーカはそれ以上の処理能力向上を強いられることになりますね．

　春頃だったかOracle Open Worldのセミナーに登録したのですが，行かなかったんですよね．　行かなかったかどうかは別で，それからというもの，登録した事の無い情報システム系企業からメールがくるのです．

・住商情報システム株式会社
・TIS株式会社
・ネットアップ株式会社
・東洋ビジネスエンジニアリング株式会社

　住商情報はメールの巻頭に「このご案内は、先般、住商情報システムがゴールドスポンサーとして協賛いたしましたOracle OpenWorld Tokyo 2009のイベントにご参加・ご登録頂き、スポンサーよりお知らせをお送りすることにご了承頂いている方にお送りしております。」と案内が添えてありました．　入手経路が判る様に説明があり好感度が高いです．　たぶん申し込んだ時に，特に何も思わずチェックして許可したんだろうなぁとわかるし．

　その逆はTISでメールの巻末にある解約についての案内に，だと「本メールは、過去に当社主催のセミナーにご出席いただいたお客様、もしくは過去に当社営業担当が名刺をいただいたお客様宛てに配信しております。」と書いてあるのですがTISの営業とコンタクトとった事無いし主催のセミナーに行った事無いんですけど？　入手先を正確に言えないのであれば「未承認広告」をタイトルに入れないといけないのでは？（笑）

　今回はOracleへ専用のアドレスで登録していたのでアドレスの入手先が判ったのですが，同じ悪気の無いメールでもこのように比べると対応力の差がわかるんだなぁと改めて感心しました．

　リモートデスクトップの脆弱性が発表されていますが，Remote Desktop Connection Client for Mac 2.0にも関係していますね．

マイクロソフト セキュリティ情報 MS09-044 - 緊急
http://www.microsoft.com/japan/technet/security/bulletin/ms09-044.mspx

　でもまぁ，家や会社でRDPをファイアウォール外へ許可している人は少ないと考えたのですが，データ通信カードで接続している時，OSが直接外部へ接続しているので，意外とそこをすり抜けてくるかもしれません．

　以前所属していた会社では，危機管理委員会というのがあって，まぁ会社にとって何かまずい事があったときの窓口な訳ですが，その人たちが最初にした眼に見える実績は，非常食の配布でした．
　長崎のお土産でかう細長いカステラ２本くらいの箱に，賞味期限が５年くらいの食料がつめられたものです．　大災害があったら，それもって逃げろと．
　結局開封する事はありませんでしたが，パッケージが英語の説明だったのと，正社員以外には配布されてなかったので，そこが生死の分かれ道・・・なんて考えたりしました．

　先日訪問した会社では，椅子の背もたれに何か付けてあったのですが，よく調べると防災頭巾でした．
　でも，興味を持って調べないと判らない状態ですね．　たぶん配布したときは全社的に使用方法等の案内が出ていたのだと思いますがね．

　ひさびさにpostmasterにトロイ入りのメールがきました．
別に流行っている訳じゃないようだけど，たくさん来ました．

You have (7) message from TheBat.
Please re-configure your Microsoft Outlook again.
Download attached setup file and install.

という様な事が書かれていて，ZIPの添付ファイル付きです．

そもそもSPAMフィルタにて迷惑メールフォルダに振り分けられ、ウイルスチェックで弾かれるくらいなので、たいしたことはないですね．．．残念賞．

　時刻合わせ用プロトコルNTPの実装であるNTPDにバッファオーバーフローの脆弱性が発見された様です．

時計同期の「ntpd」にバッファオーバーフローの脆弱性

　認証型でNTPを使っている時に問題があるような感じでなのでレアケース？かもしれませんが，ソースコードからntpd関連パッケージをインストールする方法をまとめてみました．

RedHatのNTPDをソースコードからアップデートして脆弱性に対応する

　今月のセキュリティ情報がでています．

2009 年 5 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms09-may.mspx

　出ているのはPowerPointの脆弱性だけで，OSに関するものがありません．　こういう月が過去にあったかな？というくらい珍しい気がします．

　AdobeのAcrobat Reader等の脆弱性を狙った攻撃が増えている様なのですが，Adobe Flashについては以下の日本語サイトにアクセスするだけで，バージョンを調べる事ができます．

Adobe Flash Playerのバージョンテスト

　確認して，古かったら新しいものにアップデートの検討が必要です．
　最近は，社内用のビジネスアプリケーションでもFlashベースで作られているものをみるので，そういう会社の社内システム部門は大変ですね．

　以前のエントリーでJavaのバージョンアップが必要か確認するという記事も紹介しましたが，JavaVMのバージョンを調べるページがあります．


How do I test whether Java is working on my computer?
http://java.com/en/download/help/testvm.xml

　私の使っている環境では，1.5.0_16とでました．

　そういえば，４〜５年程前は，JavaのVMといえば，以下の様な物がありました．

・Sun Java Runtime Engine
・BEA WebLogic JRockit
・Oracle JVM
・IBM JVM

　大きなトレードショー等では，SunのJVMとの互換性や高速性をアピールしていて，色々な所でベンチマークされていたような憶えが有ります．

・少しプログラムの修正が必要だが，BEAのJRockitが速い
・IBM JVMは互換性が高くてGCが賢い

という評判を聞いた事があって，既存システムをIBM VMに入れ替えたりしていました．　私の居た業界ではBEAは認知度が低かったので誰も試しませんでしたね．．．

　その後，BEAはOracleに買収され，Oracle JRockitとして残っているので，製品性能としてかブランドとしてはBEAの方が上だったのでしょう．
　そして今回OracleがSunを買収した訳ですが，そうするとリファレンスとして存在しているSun JVMとOracle JRockitが統合されるのだろうと考えられますが，どちらが採用されるのか興味が有りますね．

　以前紹介した4月1日に活動を開始すると言われていたConfickerワームですが，大規模な活動は発生しなかった様です．

　ただし，潜伏している事も多い様なのですが，ドメイン名にcertという文字が入っているとそこにアクセスできない様に設定されているらしく，逆にその特徴を利用した検証サイトがあります．

Conficker Eye Chart
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

　このサイトにアクセスして，画像が６つ出ていればOKです．

　一部でも画像が表示されなければ，Confickerワームに感染している可能性があります．

　次の様なソフトウェアで構成されている．

１．暗号化ソフト
２．監視・制御ソフト
３．Webフィルタリング
４．電子メールフィルタリング
５．電子メールアーカイブ
６．電子メール暗号化
７．電子メール誤送信防止
８．統合ログ管理ソフト
９．サーバアクセスログ監査
10．データベースアクセス監査
11．データベース暗号化
12．プロキシ

　これらが全て導入されていれば，それなりに安心なのだろうけども，いったい幾らお金がかかるのでしょうかね．

　MS08-067で修正されているRPCリクエストの脆弱性を突くワームのConfickerの活動が増えているのだそうです．
　予防と復旧については，以下のURLに情報がまとめられています．（かなり手順が多い・・・）

Conficker コンピューター ワームから身を守る
http://www.microsoft.com/japan/protect/computer/viruses/worms/conficker.mspx

　この文書の冒頭からの引用ですが，面倒な状態のものの様です．

---

使用しているコンピューターがこのワームに感染した場合、何も発生しないか、以下のいずれかの現象が発生します。

・アカウント ロックアウト ポリシーに障害が生じる。
・自動更新、バックグラウンド インテリジェント転送サービス (BITS)、Windows Defender、およびエラー報告サービスが無効になる。
・クライアントの要求に対するドメイン コントローラの応答が遅くなる。
・ネットワークが輻輳する。
・さまざまなセキュリティ関連の Web サイトにアクセスできなくなる。

---

　ややこしやーですが，まず番号がMS08なので昨年でたパッチで，更に各ウイルス対策ソフトでも対応済なので，パッチを当てずにウイルス対策もしてない場合に影響しそうです．　という事で，個人がターゲットになる事が多いですかね．


マイクロソフト セキュリティ情報 MS08-067 - 緊急
Server サービスの脆弱性により、リモートでコードが実行される (958644)
http://www.microsoft.com/japan/technet/security/Bulletin/MS08-067.mspx

　DNSキャッシュポイズニングの脆弱性について検査するツールとして，以前は自分が使っているDNSを検査するツールのDNS-OARCを紹介しましたが，今回は任意のドメインを検査するツールの紹介です．

Cross-Pollination Check
http://recursive.iana.org/

　このサイトでは，検査したいドメインを入力するだけで，検査結果がでてきます．
　検査結果は，次の３つ．

１．Highly Vulnerable
２．Vulnerable
３．Safe

　Vulnerableというのは「傷つきやすい」という意味だそうです．
　テストの内容は，以下の２点です．

１．再起問い合わせの可否
２．送信元ポート番号のランダム性の有無

　結果がSafe以外の場合は再起問い合わせに返答したという事になります．

　再起問い合わせとは，DNSが持っている機能で，有効にしている場合，DNSサーバーは他のドメインから受け取ったDNSの応答内容をキャッシュとして内部に保存して外部DNSへの検索を軽減させる効果があるのですが，不正な応答を送り込まれた場合にキャッシュアウトされるまでその情報が残ってしまうので，好ましくないという問題があります．

　よって，再起問い合わせが有効であればValnerable（傷つきやすい状態）といえ，さらにDNS応答のポート番号がランダム化されてない場合は，Highly Vulnerableとなります．

　なんだか年度末に向けて？色々でてきてますね．IPA．


「10大脅威 攻撃手法の『多様化』が進む」を公開
http://www.ipa.go.jp/security/vuln/10threats2009.html

　目次を取り出してみました．

􀂄 組織への脅威
【1 位】 DNS キャッシュポイズニングの脅威 [総合：1 位]
【2 位】 巧妙化する標的型攻撃 [総合:3 位]
【3 位】 恒常化する情報漏えい [総合：5 位]
􀂄 利用者への脅威
【1 位】 多様化するウイルスやボットの感染経路 [総合：4 位]
【2 位】 脆弱な無線LAN 暗号方式における脅威 [総合：6 位]
【3 位】 減らないスパムメール [総合：8 位]
【4 位】 ユーザ ID とパスワードの使いまわしによる危険性 [総合：10 位]
􀂄 システム管理者・開発者への脅威
【1 位】 正規のウェブサイトを経由した攻撃の猛威 [総合：2 位]
【2 位】 誘導型攻撃の顕在化 [総合：7 位]
【3 位】 組込み製品に潜む脆弱性 [総合：9 位]

　この情報セキュリティ白書2009 第鵺部とされるドキュメントで取り上げられている脅威は，個人単位でも気をつけるべき脅威に付いて記されています．　ただし，一般の個人が読み解くのは難しいですね．
　統合セキュリティ対策ソフトで，これらを網羅しているものはあるのでしょうか？

　IPAが中小企業向けのセキュリティガイドラインをまとめています．

中小企業の情報セキュリティ対策ガイドライン

　中小企業が抱える情報セキュリティの問題点としては，次の通りとされています．

１．リソース（人・物・金）に制約がある．
２．情報化が進んでいない．
３．動機が無い

　大企業を取引先とする場合，Pマーク，ISMS等を取得しているか，あるいは十分な対策を行っている事を伝えられる根拠を揃えておく事が求められる事もおおいです．

　このガイドには５分でできるセルフチェックシートもあるので，まずは一般的な測量によって十分か否かをチェックし，自社でできていない所，重要な所をしぼって対策をすれば良いと思います．

　フジテレビのサイトで，ゼッケン番号か，ゴールした時間を入力すると，ゴールシーンの映像を観ることができます．

あなたのゴールシーンを無料配信！！
http://wwwz.fujitv.co.jp/sports/marathon/tm2009/goal.html

　これはちょっと実質映像がアレなので，良くわかりませんが．．．個人情報がこんなにでちゃって良いのだろうか？　同意の上なのかな．

　先日参加者したレインボーウオークでは，取材等の写真や映像にでる部分の所有権・著作権的なものは大会主催者に帰属するというような事がかかれてましたが，今回の場合はフルネームが検索できますからねぇ．．．

　映像に映ったゼッケン番号や，ブログにゼッケン番号を書いている人もいるし．　危険だ．

　歴史のあるウイルススキャナとして有名なノートン先生．　Norton Internet SecurityとNorton Antivirus 2006,Norton Antivirus 2007で，自動更新で配布したプログラムに署名が入っていない事で，不正なプログラムと判断されたようで，警告がでるそうです．

「ノートン先生」が大ミス、自動更新で署名のないファイルを配布
http://www.technobahn.com/cgi-bin/news/read2?f=200903112226

　トレンドマイクロ問題の時の様な実害は出て無い様ですが，ウイルスとしての情報が無いので話題になった模様です．
　もみ消し騒動もあったようですが，コーポレートサイトをみると，何もでていませんね．

シマンテック
http://www.symantec.com/ja/jp/

　シマンテックはインターシティ（アメリカ大使館の隣の高層ビル）にあるのですが，たまに1Fのコーヒーショップに行ってました．なつかしい．

　先日ウィニーの本を読んだとブログに書いてたら，IBMでの事例について教えてもらいました．

　事の発端は，以下のサイトにまとめられています．

IBM 個人情報流出に関するお詫び

　要約すると，IBMがらみで神奈川県教育委員会で持っているデータが漏洩し，ShareやWinnyによって拡散しているというものです．

　興味深いのは，現在の最新のこの記事．

IBM 個人情報流出に関する対応状況お知らせ

　ここでは，流出データを共有しているユーザをプロバイダ協力のもとに割り出し，削除を依頼して拡散防止対応をしているという所です．

...続きを読む

　データベースセキュリティコンソーシアム(DBSC)という団体が提供しているセルフチェックサービスがあります．


データベースセキュリティ安全度セルフチェック
http://www.db-security.org/selfck/

　上場を控えた某社のシステムをターゲットとして診断してみましたが，なかなか厳しい結果になっていました．

　ただし，これは結局日本語の解釈というか，「〜を実施しているか」という問いに対して「はい」「いいえ」だけじゃなくて，「その必要がない」という基準もありますよね．　そういう視点を入れて実施すれば，結構良い点になったりします．
　システム監査的にはそれでOKなんですが，先端エンジニア的に言うと「穴だらけだし」みたいな判断になりますね．

　ただ，セキュリティ対策は貯蓄と同じで，どこまでやっても満足できないので，ある指標を元に対策を行ったという事で，決着をつけるのが落としどころになるですよね．

　某所で，Virutというウイルスに感染しているのを発見しました．

　Windowsマシンで，ファイアウォールソフトが外部へ接続しようとする不明なアプリケーションとして発見され，ウイルススキャンをするとVirutというものでした．

　IPAやトレンドマイクロによると，最近流行っている様です．


ウイルス「W32/Virut」亜種の感染拡大に注意、IPAが呼びかけ
http://internet.watch.impress.co.jp/cda/news/2009/03/03/22650.html

ウイルスの集大成「PE_VIRUX.A」が感染拡大、国内で7900台（トレンドマイクロ）
http://internet.watch.impress.co.jp/cda/news/2009/02/13/22437.html

　ちょっと怖いのは，次の様なアンケートです．


W32.Virut スパイウェアについて
http://www.shareedge.com/spywareguide/product_show.php?id=3515


　「不明-知らない間に」感染したのが100%です．　いつの間にか常駐しているかもしれません．

　たくさんある，マイクロソフト製品のセキュリティ更新が必要なプログラムの情報を検出したり適用したりするソフトウェアや仕組みについての説明です．

Microsoft セキュリティ更新プログラムの検出と展開の手引き
http://support.microsoft.com/kb/961747/ja

　簡単に説明すると，ソフトウェアのアップデートは以下の方法で行われます．

Windows Update
Microsoft Update
Office Update
Microsoft Baseline Security Analyzer (MBSA)
Windows Server Update Services (WSUS)
Microsoft System Center Configuration Manager (SCCM)
Microsoft Systems Management Server (SMS)
Extended Security Update Inventory Tool

　検知方法と配布方法の種類によって８種類あるのですが，こっちではできなくてあっちでできてみたいな機能制限があって，結局の所全てに置いてこれ１つでOKというものが無いようで複雑性を増しているようです．

　検知方法は１つで，適用方法は個人用，企業用の２つで十分だと思うのですが．

　PHPの新しいバージョンが出た様です．

PHP：セキュリティホールを修正した新バージョンが公開
http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20389087,00.htm?tag=zdnw

　もう5.2.9か．．．このバージョンアップする都度，対応して行くのは疲れますね．　なんせ，リリースノート(Change log)に書かれていない変更が，たまーに潜んでいるので．　APIが全く無くなったなんて事もあります．
　よって，ステージング環境は大切ですよ．

　以下のサイトにアクセスすると，利用しているJavaの環境でバージョンアップが必要か否かが分かる様です．

Verify Java Version
http://java.com/en/download/installed.jsp

　Macでアクセスすると，次の様に表示されます．．

Mac Users: Use the Software Update feature (available on the Apple menu) to check that you have the most up-to-date version of Java for your Mac.

　Macの場合はOSのアップデート機能に内包されているのでSoftware Updateしていれば問題ないですね．

　一昨年だったか，仕事でWindows Vistaが動作しているThinkPadを用意したのですが，毎月１回起動させてアップデートを実行させていました．
　Windows UpdateとJava UpdateとThinkpadのソフトのアップデートの３つが必要で，Core2duo 2GHzマシンでしたが，メモリ1GBマシンだったので，ただそれだけをしているだけで１日かかりました．
　まぁ，UAC（User Account Control:ユーザーアカウント制御）でインストール毎にパスワードを入力しなければならず，そのダイアログで入力待ち時間というのも含まれていますけど．

　ペネトレーションテストの計画を立てているのですが，その一環でクロスサイトリクエストフォージェリ（フォージュリと記載の場合あり）について調べてました．

　Wikipediaに仕組みが詳細に書かれているのですが，その中でこの脆弱性が応用された例としてmixiで発生した「ぼくはまちちゃん」騒動というのがあります．

http://ja.wikipedia.org/wiki/クロスサイトリクエストフォージェリ

ぼくはまちちゃんは，

・ぼく，はまちちゃん
・ぼくは，まちちゃん

のどちらが正しいのかというと，「ぼく，はまちちゃん」だそうです．

それにしてもどうやってペネトレーションテストしよう，思案中．．．（いまいち理解できてない・・・）

　Redhat 5.2で動作しているSSHDのログに，以下のようなものが記載されていました．

reverse mapping checking getaddrinfo for XXXXXX failed - POSSIBLE BREAK-IN ATTEMPT! : 3 time(s)

　これはIPアドレスとFQDNが一致してない場合に出るものとの事．

１．IPアドレスを逆引きしてもホスト名が割り当てられていなかった場合
２．逆引きしたホスト名を再度正引きしたら接続してきたIPアドレスと異なる場合

　この１番は，良くありがちな気がしますが，２番の動きは危険な香りがしますね．

　BREAK-INとは，直訳すると侵入するという意味だそうです．

　2009年1月14日（水）以降にウイルスバスター2009にアップグレードを行った環境において再起動を促すメッセージが繰り返し表示される現象がでているようです．

アップデートが繰り返し実行される

　ウイルスバスター2009を再インストール等で修復される様ですが，ウイルスバスター2008からウイルスバスター2009へのアップグレードはお待ちくださいとの事です．