ブログ - セキュリティカテゴリのエントリ
時刻合わせ用プロトコルNTPの実装であるNTPDにバッファオーバーフローの脆弱性が発見された様です.
時計同期の「ntpd」にバッファオーバーフローの脆弱性
認証型でNTPを使っている時に問題があるような感じでなのでレアケース?かもしれませんが,ソースコードからntpd関連パッケージをインストールする方法をまとめてみました.
RedHatのNTPDをソースコードからアップデートして脆弱性に対応する
時計同期の「ntpd」にバッファオーバーフローの脆弱性
認証型でNTPを使っている時に問題があるような感じでなのでレアケース?かもしれませんが,ソースコードからntpd関連パッケージをインストールする方法をまとめてみました.
RedHatのNTPDをソースコードからアップデートして脆弱性に対応する
今月のセキュリティ情報がでています.
2009 年 5 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms09-may.mspx
出ているのはPowerPointの脆弱性だけで,OSに関するものがありません. こういう月が過去にあったかな?というくらい珍しい気がします.
2009 年 5 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms09-may.mspx
出ているのはPowerPointの脆弱性だけで,OSに関するものがありません. こういう月が過去にあったかな?というくらい珍しい気がします.
AdobeのAcrobat Reader等の脆弱性を狙った攻撃が増えている様なのですが,Adobe Flashについては以下の日本語サイトにアクセスするだけで,バージョンを調べる事ができます.
Adobe Flash Playerのバージョンテスト
確認して,古かったら新しいものにアップデートの検討が必要です.
最近は,社内用のビジネスアプリケーションでもFlashベースで作られているものをみるので,そういう会社の社内システム部門は大変ですね.
Adobe Flash Playerのバージョンテスト
確認して,古かったら新しいものにアップデートの検討が必要です.
最近は,社内用のビジネスアプリケーションでもFlashベースで作られているものをみるので,そういう会社の社内システム部門は大変ですね.
以前のエントリーでJavaのバージョンアップが必要か確認するという記事も紹介しましたが,JavaVMのバージョンを調べるページがあります.
How do I test whether Java is working on my computer?
http://java.com/en/download/help/testvm.xml
私の使っている環境では,1.5.0_16とでました.
そういえば,4〜5年程前は,JavaのVMといえば,以下の様な物がありました.
・Sun Java Runtime Engine
・BEA WebLogic JRockit
・Oracle JVM
・IBM JVM
大きなトレードショー等では,SunのJVMとの互換性や高速性をアピールしていて,色々な所でベンチマークされていたような憶えが有ります.
・少しプログラムの修正が必要だが,BEAのJRockitが速い
・IBM JVMは互換性が高くてGCが賢い
という評判を聞いた事があって,既存システムをIBM VMに入れ替えたりしていました. 私の居た業界ではBEAは認知度が低かったので誰も試しませんでしたね...
その後,BEAはOracleに買収され,Oracle JRockitとして残っているので,製品性能としてかブランドとしてはBEAの方が上だったのでしょう.
そして今回OracleがSunを買収した訳ですが,そうするとリファレンスとして存在しているSun JVMとOracle JRockitが統合されるのだろうと考えられますが,どちらが採用されるのか興味が有りますね.
How do I test whether Java is working on my computer?
http://java.com/en/download/help/testvm.xml
私の使っている環境では,1.5.0_16とでました.
そういえば,4〜5年程前は,JavaのVMといえば,以下の様な物がありました.
・Sun Java Runtime Engine
・BEA WebLogic JRockit
・Oracle JVM
・IBM JVM
大きなトレードショー等では,SunのJVMとの互換性や高速性をアピールしていて,色々な所でベンチマークされていたような憶えが有ります.
・少しプログラムの修正が必要だが,BEAのJRockitが速い
・IBM JVMは互換性が高くてGCが賢い
という評判を聞いた事があって,既存システムをIBM VMに入れ替えたりしていました. 私の居た業界ではBEAは認知度が低かったので誰も試しませんでしたね...
その後,BEAはOracleに買収され,Oracle JRockitとして残っているので,製品性能としてかブランドとしてはBEAの方が上だったのでしょう.
そして今回OracleがSunを買収した訳ですが,そうするとリファレンスとして存在しているSun JVMとOracle JRockitが統合されるのだろうと考えられますが,どちらが採用されるのか興味が有りますね.
以前紹介した4月1日に活動を開始すると言われていたConfickerワームですが,大規模な活動は発生しなかった様です.
ただし,潜伏している事も多い様なのですが,ドメイン名にcertという文字が入っているとそこにアクセスできない様に設定されているらしく,逆にその特徴を利用した検証サイトがあります.
Conficker Eye Chart
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
このサイトにアクセスして,画像が6つ出ていればOKです.
一部でも画像が表示されなければ,Confickerワームに感染している可能性があります.
ただし,潜伏している事も多い様なのですが,ドメイン名にcertという文字が入っているとそこにアクセスできない様に設定されているらしく,逆にその特徴を利用した検証サイトがあります.
Conficker Eye Chart
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
このサイトにアクセスして,画像が6つ出ていればOKです.
一部でも画像が表示されなければ,Confickerワームに感染している可能性があります.
次の様なソフトウェアで構成されている.
1.暗号化ソフト
2.監視・制御ソフト
3.Webフィルタリング
4.電子メールフィルタリング
5.電子メールアーカイブ
6.電子メール暗号化
7.電子メール誤送信防止
8.統合ログ管理ソフト
9.サーバアクセスログ監査
10.データベースアクセス監査
11.データベース暗号化
12.プロキシ
これらが全て導入されていれば,それなりに安心なのだろうけども,いったい幾らお金がかかるのでしょうかね.
1.暗号化ソフト
2.監視・制御ソフト
3.Webフィルタリング
4.電子メールフィルタリング
5.電子メールアーカイブ
6.電子メール暗号化
7.電子メール誤送信防止
8.統合ログ管理ソフト
9.サーバアクセスログ監査
10.データベースアクセス監査
11.データベース暗号化
12.プロキシ
これらが全て導入されていれば,それなりに安心なのだろうけども,いったい幾らお金がかかるのでしょうかね.
MS08-067で修正されているRPCリクエストの脆弱性を突くワームのConfickerの活動が増えているのだそうです.
予防と復旧については,以下のURLに情報がまとめられています.(かなり手順が多い・・・)
Conficker コンピューター ワームから身を守る
http://www.microsoft.com/japan/protect/computer/viruses/worms/conficker.mspx
この文書の冒頭からの引用ですが,面倒な状態のものの様です.
使用しているコンピューターがこのワームに感染した場合、何も発生しないか、以下のいずれかの現象が発生します。
・アカウント ロックアウト ポリシーに障害が生じる。
・自動更新、バックグラウンド インテリジェント転送サービス (BITS)、Windows Defender、およびエラー報告サービスが無効になる。
・クライアントの要求に対するドメイン コントローラの応答が遅くなる。
・ネットワークが輻輳する。
・さまざまなセキュリティ関連の Web サイトにアクセスできなくなる。
ややこしやーですが,まず番号がMS08なので昨年でたパッチで,更に各ウイルス対策ソフトでも対応済なので,パッチを当てずにウイルス対策もしてない場合に影響しそうです. という事で,個人がターゲットになる事が多いですかね.
マイクロソフト セキュリティ情報 MS08-067 - 緊急
Server サービスの脆弱性により、リモートでコードが実行される (958644)
http://www.microsoft.com/japan/technet/security/Bulletin/MS08-067.mspx
予防と復旧については,以下のURLに情報がまとめられています.(かなり手順が多い・・・)
Conficker コンピューター ワームから身を守る
http://www.microsoft.com/japan/protect/computer/viruses/worms/conficker.mspx
この文書の冒頭からの引用ですが,面倒な状態のものの様です.
使用しているコンピューターがこのワームに感染した場合、何も発生しないか、以下のいずれかの現象が発生します。
・アカウント ロックアウト ポリシーに障害が生じる。
・自動更新、バックグラウンド インテリジェント転送サービス (BITS)、Windows Defender、およびエラー報告サービスが無効になる。
・クライアントの要求に対するドメイン コントローラの応答が遅くなる。
・ネットワークが輻輳する。
・さまざまなセキュリティ関連の Web サイトにアクセスできなくなる。
ややこしやーですが,まず番号がMS08なので昨年でたパッチで,更に各ウイルス対策ソフトでも対応済なので,パッチを当てずにウイルス対策もしてない場合に影響しそうです. という事で,個人がターゲットになる事が多いですかね.
マイクロソフト セキュリティ情報 MS08-067 - 緊急
Server サービスの脆弱性により、リモートでコードが実行される (958644)
http://www.microsoft.com/japan/technet/security/Bulletin/MS08-067.mspx
DNSキャッシュポイズニングの脆弱性について検査するツールとして,以前は自分が使っているDNSを検査するツールのDNS-OARCを紹介しましたが,今回は任意のドメインを検査するツールの紹介です.
Cross-Pollination Check
http://recursive.iana.org/
このサイトでは,検査したいドメインを入力するだけで,検査結果がでてきます.
検査結果は,次の3つ.
1.Highly Vulnerable
2.Vulnerable
3.Safe
Vulnerableというのは「傷つきやすい」という意味だそうです.
テストの内容は,以下の2点です.
1.再起問い合わせの可否
2.送信元ポート番号のランダム性の有無
結果がSafe以外の場合は再起問い合わせに返答したという事になります.
再起問い合わせとは,DNSが持っている機能で,有効にしている場合,DNSサーバーは他のドメインから受け取ったDNSの応答内容をキャッシュとして内部に保存して外部DNSへの検索を軽減させる効果があるのですが,不正な応答を送り込まれた場合にキャッシュアウトされるまでその情報が残ってしまうので,好ましくないという問題があります.
よって,再起問い合わせが有効であればValnerable(傷つきやすい状態)といえ,さらにDNS応答のポート番号がランダム化されてない場合は,Highly Vulnerableとなります.
Cross-Pollination Check
http://recursive.iana.org/
このサイトでは,検査したいドメインを入力するだけで,検査結果がでてきます.
検査結果は,次の3つ.
1.Highly Vulnerable
2.Vulnerable
3.Safe
Vulnerableというのは「傷つきやすい」という意味だそうです.
テストの内容は,以下の2点です.
1.再起問い合わせの可否
2.送信元ポート番号のランダム性の有無
結果がSafe以外の場合は再起問い合わせに返答したという事になります.
再起問い合わせとは,DNSが持っている機能で,有効にしている場合,DNSサーバーは他のドメインから受け取ったDNSの応答内容をキャッシュとして内部に保存して外部DNSへの検索を軽減させる効果があるのですが,不正な応答を送り込まれた場合にキャッシュアウトされるまでその情報が残ってしまうので,好ましくないという問題があります.
よって,再起問い合わせが有効であればValnerable(傷つきやすい状態)といえ,さらにDNS応答のポート番号がランダム化されてない場合は,Highly Vulnerableとなります.
なんだか年度末に向けて?色々でてきてますね.IPA.
「10大脅威 攻撃手法の『多様化』が進む」を公開
http://www.ipa.go.jp/security/vuln/10threats2009.html
目次を取り出してみました.
組織への脅威
【1 位】 DNS キャッシュポイズニングの脅威 [総合:1 位]
【2 位】 巧妙化する標的型攻撃 [総合:3 位]
【3 位】 恒常化する情報漏えい [総合:5 位]
利用者への脅威
【1 位】 多様化するウイルスやボットの感染経路 [総合:4 位]
【2 位】 脆弱な無線LAN 暗号方式における脅威 [総合:6 位]
【3 位】 減らないスパムメール [総合:8 位]
【4 位】 ユーザ ID とパスワードの使いまわしによる危険性 [総合:10 位]
システム管理者・開発者への脅威
【1 位】 正規のウェブサイトを経由した攻撃の猛威 [総合:2 位]
【2 位】 誘導型攻撃の顕在化 [総合:7 位]
【3 位】 組込み製品に潜む脆弱性 [総合:9 位]
この情報セキュリティ白書2009 第鵺部とされるドキュメントで取り上げられている脅威は,個人単位でも気をつけるべき脅威に付いて記されています. ただし,一般の個人が読み解くのは難しいですね.
統合セキュリティ対策ソフトで,これらを網羅しているものはあるのでしょうか?
「10大脅威 攻撃手法の『多様化』が進む」を公開
http://www.ipa.go.jp/security/vuln/10threats2009.html
目次を取り出してみました.
組織への脅威
【1 位】 DNS キャッシュポイズニングの脅威 [総合:1 位]
【2 位】 巧妙化する標的型攻撃 [総合:3 位]
【3 位】 恒常化する情報漏えい [総合:5 位]
利用者への脅威
【1 位】 多様化するウイルスやボットの感染経路 [総合:4 位]
【2 位】 脆弱な無線LAN 暗号方式における脅威 [総合:6 位]
【3 位】 減らないスパムメール [総合:8 位]
【4 位】 ユーザ ID とパスワードの使いまわしによる危険性 [総合:10 位]
システム管理者・開発者への脅威
【1 位】 正規のウェブサイトを経由した攻撃の猛威 [総合:2 位]
【2 位】 誘導型攻撃の顕在化 [総合:7 位]
【3 位】 組込み製品に潜む脆弱性 [総合:9 位]
この情報セキュリティ白書2009 第鵺部とされるドキュメントで取り上げられている脅威は,個人単位でも気をつけるべき脅威に付いて記されています. ただし,一般の個人が読み解くのは難しいですね.
統合セキュリティ対策ソフトで,これらを網羅しているものはあるのでしょうか?
IPAが中小企業向けのセキュリティガイドラインをまとめています.
中小企業の情報セキュリティ対策ガイドライン
中小企業が抱える情報セキュリティの問題点としては,次の通りとされています.
1.リソース(人・物・金)に制約がある.
2.情報化が進んでいない.
3.動機が無い
大企業を取引先とする場合,Pマーク,ISMS等を取得しているか,あるいは十分な対策を行っている事を伝えられる根拠を揃えておく事が求められる事もおおいです.
このガイドには5分でできるセルフチェックシートもあるので,まずは一般的な測量によって十分か否かをチェックし,自社でできていない所,重要な所をしぼって対策をすれば良いと思います.
中小企業の情報セキュリティ対策ガイドライン
中小企業が抱える情報セキュリティの問題点としては,次の通りとされています.
1.リソース(人・物・金)に制約がある.
2.情報化が進んでいない.
3.動機が無い
大企業を取引先とする場合,Pマーク,ISMS等を取得しているか,あるいは十分な対策を行っている事を伝えられる根拠を揃えておく事が求められる事もおおいです.
このガイドには5分でできるセルフチェックシートもあるので,まずは一般的な測量によって十分か否かをチェックし,自社でできていない所,重要な所をしぼって対策をすれば良いと思います.
フジテレビのサイトで,ゼッケン番号か,ゴールした時間を入力すると,ゴールシーンの映像を観ることができます.
あなたのゴールシーンを無料配信!!
http://wwwz.fujitv.co.jp/sports/marathon/tm2009/goal.html
これはちょっと実質映像がアレなので,良くわかりませんが...個人情報がこんなにでちゃって良いのだろうか? 同意の上なのかな.
先日参加者したレインボーウオークでは,取材等の写真や映像にでる部分の所有権・著作権的なものは大会主催者に帰属するというような事がかかれてましたが,今回の場合はフルネームが検索できますからねぇ...
映像に映ったゼッケン番号や,ブログにゼッケン番号を書いている人もいるし. 危険だ.
あなたのゴールシーンを無料配信!!
http://wwwz.fujitv.co.jp/sports/marathon/tm2009/goal.html
これはちょっと実質映像がアレなので,良くわかりませんが...個人情報がこんなにでちゃって良いのだろうか? 同意の上なのかな.
先日参加者したレインボーウオークでは,取材等の写真や映像にでる部分の所有権・著作権的なものは大会主催者に帰属するというような事がかかれてましたが,今回の場合はフルネームが検索できますからねぇ...
映像に映ったゼッケン番号や,ブログにゼッケン番号を書いている人もいるし. 危険だ.
歴史のあるウイルススキャナとして有名なノートン先生. Norton Internet SecurityとNorton Antivirus 2006,Norton Antivirus 2007で,自動更新で配布したプログラムに署名が入っていない事で,不正なプログラムと判断されたようで,警告がでるそうです.
「ノートン先生」が大ミス、自動更新で署名のないファイルを配布
http://www.technobahn.com/cgi-bin/news/read2?f=200903112226
トレンドマイクロ問題の時の様な実害は出て無い様ですが,ウイルスとしての情報が無いので話題になった模様です.
もみ消し騒動もあったようですが,コーポレートサイトをみると,何もでていませんね.
シマンテック
http://www.symantec.com/ja/jp/
シマンテックはインターシティ(アメリカ大使館の隣の高層ビル)にあるのですが,たまに1Fのコーヒーショップに行ってました.なつかしい.
「ノートン先生」が大ミス、自動更新で署名のないファイルを配布
http://www.technobahn.com/cgi-bin/news/read2?f=200903112226
トレンドマイクロ問題の時の様な実害は出て無い様ですが,ウイルスとしての情報が無いので話題になった模様です.
もみ消し騒動もあったようですが,コーポレートサイトをみると,何もでていませんね.
シマンテック
http://www.symantec.com/ja/jp/
シマンテックはインターシティ(アメリカ大使館の隣の高層ビル)にあるのですが,たまに1Fのコーヒーショップに行ってました.なつかしい.
先日ウィニーの本を読んだとブログに書いてたら,IBMでの事例について教えてもらいました.
事の発端は,以下のサイトにまとめられています.
IBM 個人情報流出に関するお詫び
要約すると,IBMがらみで神奈川県教育委員会で持っているデータが漏洩し,ShareやWinnyによって拡散しているというものです.
興味深いのは,現在の最新のこの記事.
IBM 個人情報流出に関する対応状況お知らせ
ここでは,流出データを共有しているユーザをプロバイダ協力のもとに割り出し,削除を依頼して拡散防止対応をしているという所です.
事の発端は,以下のサイトにまとめられています.
IBM 個人情報流出に関するお詫び
要約すると,IBMがらみで神奈川県教育委員会で持っているデータが漏洩し,ShareやWinnyによって拡散しているというものです.
興味深いのは,現在の最新のこの記事.
IBM 個人情報流出に関する対応状況お知らせ
ここでは,流出データを共有しているユーザをプロバイダ協力のもとに割り出し,削除を依頼して拡散防止対応をしているという所です.
データベースセキュリティコンソーシアム(DBSC)という団体が提供しているセルフチェックサービスがあります.
データベースセキュリティ安全度セルフチェック
http://www.db-security.org/selfck/
上場を控えた某社のシステムをターゲットとして診断してみましたが,なかなか厳しい結果になっていました.

ただし,これは結局日本語の解釈というか,「〜を実施しているか」という問いに対して「はい」「いいえ」だけじゃなくて,「その必要がない」という基準もありますよね. そういう視点を入れて実施すれば,結構良い点になったりします.
システム監査的にはそれでOKなんですが,先端エンジニア的に言うと「穴だらけだし」みたいな判断になりますね.
ただ,セキュリティ対策は貯蓄と同じで,どこまでやっても満足できないので,ある指標を元に対策を行ったという事で,決着をつけるのが落としどころになるですよね.
データベースセキュリティ安全度セルフチェック
http://www.db-security.org/selfck/
上場を控えた某社のシステムをターゲットとして診断してみましたが,なかなか厳しい結果になっていました.

ただし,これは結局日本語の解釈というか,「〜を実施しているか」という問いに対して「はい」「いいえ」だけじゃなくて,「その必要がない」という基準もありますよね. そういう視点を入れて実施すれば,結構良い点になったりします.
システム監査的にはそれでOKなんですが,先端エンジニア的に言うと「穴だらけだし」みたいな判断になりますね.
ただ,セキュリティ対策は貯蓄と同じで,どこまでやっても満足できないので,ある指標を元に対策を行ったという事で,決着をつけるのが落としどころになるですよね.
某所で,Virutというウイルスに感染しているのを発見しました.
Windowsマシンで,ファイアウォールソフトが外部へ接続しようとする不明なアプリケーションとして発見され,ウイルススキャンをするとVirutというものでした.
IPAやトレンドマイクロによると,最近流行っている様です.
ウイルス「W32/Virut」亜種の感染拡大に注意、IPAが呼びかけ
http://internet.watch.impress.co.jp/cda/news/2009/03/03/22650.html
ウイルスの集大成「PE_VIRUX.A」が感染拡大、国内で7900台(トレンドマイクロ)
http://internet.watch.impress.co.jp/cda/news/2009/02/13/22437.html
ちょっと怖いのは,次の様なアンケートです.
W32.Virut スパイウェアについて
http://www.shareedge.com/spywareguide/product_show.php?id=3515
「不明-知らない間に」感染したのが100%です. いつの間にか常駐しているかもしれません.
Windowsマシンで,ファイアウォールソフトが外部へ接続しようとする不明なアプリケーションとして発見され,ウイルススキャンをするとVirutというものでした.
IPAやトレンドマイクロによると,最近流行っている様です.
ウイルス「W32/Virut」亜種の感染拡大に注意、IPAが呼びかけ
http://internet.watch.impress.co.jp/cda/news/2009/03/03/22650.html
ウイルスの集大成「PE_VIRUX.A」が感染拡大、国内で7900台(トレンドマイクロ)
http://internet.watch.impress.co.jp/cda/news/2009/02/13/22437.html
ちょっと怖いのは,次の様なアンケートです.
W32.Virut スパイウェアについて
http://www.shareedge.com/spywareguide/product_show.php?id=3515
「不明-知らない間に」感染したのが100%です. いつの間にか常駐しているかもしれません.
たくさんある,マイクロソフト製品のセキュリティ更新が必要なプログラムの情報を検出したり適用したりするソフトウェアや仕組みについての説明です.
Microsoft セキュリティ更新プログラムの検出と展開の手引き
http://support.microsoft.com/kb/961747/ja
簡単に説明すると,ソフトウェアのアップデートは以下の方法で行われます.
Windows Update
Microsoft Update
Office Update
Microsoft Baseline Security Analyzer (MBSA)
Windows Server Update Services (WSUS)
Microsoft System Center Configuration Manager (SCCM)
Microsoft Systems Management Server (SMS)
Extended Security Update Inventory Tool
検知方法と配布方法の種類によって8種類あるのですが,こっちではできなくてあっちでできてみたいな機能制限があって,結局の所全てに置いてこれ1つでOKというものが無いようで複雑性を増しているようです.
検知方法は1つで,適用方法は個人用,企業用の2つで十分だと思うのですが.
Microsoft セキュリティ更新プログラムの検出と展開の手引き
http://support.microsoft.com/kb/961747/ja
簡単に説明すると,ソフトウェアのアップデートは以下の方法で行われます.
Windows Update
Microsoft Update
Office Update
Microsoft Baseline Security Analyzer (MBSA)
Windows Server Update Services (WSUS)
Microsoft System Center Configuration Manager (SCCM)
Microsoft Systems Management Server (SMS)
Extended Security Update Inventory Tool
検知方法と配布方法の種類によって8種類あるのですが,こっちではできなくてあっちでできてみたいな機能制限があって,結局の所全てに置いてこれ1つでOKというものが無いようで複雑性を増しているようです.
検知方法は1つで,適用方法は個人用,企業用の2つで十分だと思うのですが.
PHPの新しいバージョンが出た様です.
PHP:セキュリティホールを修正した新バージョンが公開
http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20389087,00.htm?tag=zdnw
もう5.2.9か...このバージョンアップする都度,対応して行くのは疲れますね. なんせ,リリースノート(Change log)に書かれていない変更が,たまーに潜んでいるので. APIが全く無くなったなんて事もあります.
よって,ステージング環境は大切ですよ.
PHP:セキュリティホールを修正した新バージョンが公開
http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20389087,00.htm?tag=zdnw
もう5.2.9か...このバージョンアップする都度,対応して行くのは疲れますね. なんせ,リリースノート(Change log)に書かれていない変更が,たまーに潜んでいるので. APIが全く無くなったなんて事もあります.
よって,ステージング環境は大切ですよ.
以下のサイトにアクセスすると,利用しているJavaの環境でバージョンアップが必要か否かが分かる様です.
Verify Java Version
http://java.com/en/download/installed.jsp
Macでアクセスすると,次の様に表示されます..
Mac Users: Use the Software Update feature (available on the Apple menu) to check that you have the most up-to-date version of Java for your Mac.
Macの場合はOSのアップデート機能に内包されているのでSoftware Updateしていれば問題ないですね.
一昨年だったか,仕事でWindows Vistaが動作しているThinkPadを用意したのですが,毎月1回起動させてアップデートを実行させていました.
Windows UpdateとJava UpdateとThinkpadのソフトのアップデートの3つが必要で,Core2duo 2GHzマシンでしたが,メモリ1GBマシンだったので,ただそれだけをしているだけで1日かかりました.
まぁ,UAC(User Account Control:ユーザーアカウント制御)でインストール毎にパスワードを入力しなければならず,そのダイアログで入力待ち時間というのも含まれていますけど.
Verify Java Version
http://java.com/en/download/installed.jsp
Macでアクセスすると,次の様に表示されます..
Mac Users: Use the Software Update feature (available on the Apple menu) to check that you have the most up-to-date version of Java for your Mac.
Macの場合はOSのアップデート機能に内包されているのでSoftware Updateしていれば問題ないですね.
一昨年だったか,仕事でWindows Vistaが動作しているThinkPadを用意したのですが,毎月1回起動させてアップデートを実行させていました.
Windows UpdateとJava UpdateとThinkpadのソフトのアップデートの3つが必要で,Core2duo 2GHzマシンでしたが,メモリ1GBマシンだったので,ただそれだけをしているだけで1日かかりました.
まぁ,UAC(User Account Control:ユーザーアカウント制御)でインストール毎にパスワードを入力しなければならず,そのダイアログで入力待ち時間というのも含まれていますけど.
ペネトレーションテストの計画を立てているのですが,その一環でクロスサイトリクエストフォージェリ(フォージュリと記載の場合あり)について調べてました.
Wikipediaに仕組みが詳細に書かれているのですが,その中でこの脆弱性が応用された例としてmixiで発生した「ぼくはまちちゃん」騒動というのがあります.
http://ja.wikipedia.org/wiki/クロスサイトリクエストフォージェリ
ぼくはまちちゃんは,
・ぼく,はまちちゃん
・ぼくは,まちちゃん
のどちらが正しいのかというと,「ぼく,はまちちゃん」だそうです.
それにしてもどうやってペネトレーションテストしよう,思案中...(いまいち理解できてない・・・)
Wikipediaに仕組みが詳細に書かれているのですが,その中でこの脆弱性が応用された例としてmixiで発生した「ぼくはまちちゃん」騒動というのがあります.
http://ja.wikipedia.org/wiki/クロスサイトリクエストフォージェリ
ぼくはまちちゃんは,
・ぼく,はまちちゃん
・ぼくは,まちちゃん
のどちらが正しいのかというと,「ぼく,はまちちゃん」だそうです.
それにしてもどうやってペネトレーションテストしよう,思案中...(いまいち理解できてない・・・)
Redhat 5.2で動作しているSSHDのログに,以下のようなものが記載されていました.
reverse mapping checking getaddrinfo for XXXXXX failed - POSSIBLE BREAK-IN ATTEMPT! : 3 time(s)
これはIPアドレスとFQDNが一致してない場合に出るものとの事.
1.IPアドレスを逆引きしてもホスト名が割り当てられていなかった場合
2.逆引きしたホスト名を再度正引きしたら接続してきたIPアドレスと異なる場合
この1番は,良くありがちな気がしますが,2番の動きは危険な香りがしますね.
BREAK-INとは,直訳すると侵入するという意味だそうです.
reverse mapping checking getaddrinfo for XXXXXX failed - POSSIBLE BREAK-IN ATTEMPT! : 3 time(s)
これはIPアドレスとFQDNが一致してない場合に出るものとの事.
1.IPアドレスを逆引きしてもホスト名が割り当てられていなかった場合
2.逆引きしたホスト名を再度正引きしたら接続してきたIPアドレスと異なる場合
この1番は,良くありがちな気がしますが,2番の動きは危険な香りがしますね.
BREAK-INとは,直訳すると侵入するという意味だそうです.
2009年1月14日(水)以降にウイルスバスター2009にアップグレードを行った環境において再起動を促すメッセージが繰り返し表示される現象がでているようです.
アップデートが繰り返し実行される
ウイルスバスター2009を再インストール等で修復される様ですが,ウイルスバスター2008からウイルスバスター2009へのアップグレードはお待ちくださいとの事です.
アップデートが繰り返し実行される
ウイルスバスター2009を再インストール等で修復される様ですが,ウイルスバスター2008からウイルスバスター2009へのアップグレードはお待ちくださいとの事です.
続いてフィッシング詐欺対策等について調べているのですが,このような団体があったのですね.
フィッシング対策協議会
http://www.antiphishing.jp/
今年の9月10日に,サービス事業者と消費者への対策ガイドラインが発表されていますので,是非参考に.
フィッシング対策ガイドライン(PDF:1,454KB)
http://www.antiphishing.jp/information/information258.html
フィッシング自体に関しては,セキュリティ対策の中ではじみ〜な感じがありませんか? クロスサイトスクリプティング等と違って瑕疵部分が少ないからでしょうか.
それでも,ちゃんと警視庁にも窓口は用意されています.
フィッシング110番
http://www.npa.go.jp/cyber/policy/phishing/phishing110.htm
フィッシング対策協議会
http://www.antiphishing.jp/
今年の9月10日に,サービス事業者と消費者への対策ガイドラインが発表されていますので,是非参考に.
フィッシング対策ガイドライン(PDF:1,454KB)
http://www.antiphishing.jp/information/information258.html
フィッシング自体に関しては,セキュリティ対策の中ではじみ〜な感じがありませんか? クロスサイトスクリプティング等と違って瑕疵部分が少ないからでしょうか.
それでも,ちゃんと警視庁にも窓口は用意されています.
フィッシング110番
http://www.npa.go.jp/cyber/policy/phishing/phishing110.htm
最近も大きく?騒がれていますが,フィッシング詐欺も後を絶たない様です.
「パスワードの期限が切れました」――ニフティをかたるフィッシング2008年10月に引き続き注意喚起、不審なメールにはご用心
http://itpro.nikkeibp.co.jp/article/NEWS/20081201/320425/
フィッシング詐欺情報について調べていたら,次のような情報提供サイトがありました.
フィッシング詐欺サイト情報
http://www.rbl.jp/phishing/
見つかった詐欺サイトがどんどん掲載されているサイトですが,ほぼ毎日情報が追加されています.
ウィキペディアフィッシング (詐欺)によると,特定の団体や個人を特定したものをスピア型(spear)と呼ぶ様です. spearとはヤリの事で,phishingとはfishingを語源としていますから,そのイメージから名付けられたのでしょう.
振り込め詐欺と同じで,フィッシング詐欺も巧妙に作っていると思いますから,その見分け方・対策についてどのようにすれば良いか,補助的な内容としていますが参考になるので紹介します.
フィッシング詐欺サイト情報|防御方法
http://www.rbl.jp/phishing/index.php?mode=page&aim=CBC9B8E6CAFDCBA1
このページでは,ユーザとしての注意点の他にサイト運営側としての考慮点についても考えてあるので,参考になりそうです.
「パスワードの期限が切れました」――ニフティをかたるフィッシング2008年10月に引き続き注意喚起、不審なメールにはご用心
http://itpro.nikkeibp.co.jp/article/NEWS/20081201/320425/
フィッシング詐欺情報について調べていたら,次のような情報提供サイトがありました.
フィッシング詐欺サイト情報
http://www.rbl.jp/phishing/
見つかった詐欺サイトがどんどん掲載されているサイトですが,ほぼ毎日情報が追加されています.
ウィキペディアフィッシング (詐欺)によると,特定の団体や個人を特定したものをスピア型(spear)と呼ぶ様です. spearとはヤリの事で,phishingとはfishingを語源としていますから,そのイメージから名付けられたのでしょう.
振り込め詐欺と同じで,フィッシング詐欺も巧妙に作っていると思いますから,その見分け方・対策についてどのようにすれば良いか,補助的な内容としていますが参考になるので紹介します.
フィッシング詐欺サイト情報|防御方法
http://www.rbl.jp/phishing/index.php?mode=page&aim=CBC9B8E6CAFDCBA1
このページでは,ユーザとしての注意点の他にサイト運営側としての考慮点についても考えてあるので,参考になりそうです.
色々なプロバイダにてDNSキャッシュ・ポイズニングに対応が行われていますが,自分が利用しているDNSサーバが,その脆弱性に対応しているかを検証するサイトがありました.
DNS-OARC
https://www.dns-oarc.net/oarc/services/dnsentropy
このサイトにアクセスして,画面にある"Test My DNS"をクリックするだけです.
しばらくすると,次のような画面が表示されます.

UJPで利用しているDNSは,問題ないものになりました.
DNSキャッシュ・ポイズニングとは,ドメイン情報を不正に書き換えてしまう攻撃方法で,この脆弱性を使うと特定のドメインを無効にしたり,別のIPアドレスに紐付けたりする事ができる様になります.
関係ないドメインの情報を送ってくるDNSサーバがいても受け取ってしまうという性善説で昔のDNSの仕様が作られていましたが,これを悪用する攻撃です.
古いDNSの仕様で動いている場合は,この仕様が残っているので注意が必要となります.
この脆弱性に対応しているプロダクトやベンダの対応状況は,以下のURLにあるデータで参照可能となります.
複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について
http://jprs.jp/tech/security/multiple-dns-vuln-cache-poisoning.html
JVNVU#800113 複数の DNS 実装にキャッシュポイズニングの脆弱性(緊急)
http://jvn.jp/cert/JVNVU800113/
DNS-OARC
https://www.dns-oarc.net/oarc/services/dnsentropy
このサイトにアクセスして,画面にある"Test My DNS"をクリックするだけです.
しばらくすると,次のような画面が表示されます.

UJPで利用しているDNSは,問題ないものになりました.
DNSキャッシュ・ポイズニングとは,ドメイン情報を不正に書き換えてしまう攻撃方法で,この脆弱性を使うと特定のドメインを無効にしたり,別のIPアドレスに紐付けたりする事ができる様になります.
関係ないドメインの情報を送ってくるDNSサーバがいても受け取ってしまうという性善説で昔のDNSの仕様が作られていましたが,これを悪用する攻撃です.
古いDNSの仕様で動いている場合は,この仕様が残っているので注意が必要となります.
この脆弱性に対応しているプロダクトやベンダの対応状況は,以下のURLにあるデータで参照可能となります.
複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について
http://jprs.jp/tech/security/multiple-dns-vuln-cache-poisoning.html
JVNVU#800113 複数の DNS 実装にキャッシュポイズニングの脆弱性(緊急)
http://jvn.jp/cert/JVNVU800113/
ISO 9126というのを聞いたので,忘れる為にここにメモ.
機能性 functionality
信頼性 reliability
使用性 usability
効率性 efficiency
保守性 maintainability
移植性 portability
ソフトウェア品質に関する国際規格. 品質モデルを定義する際のフレームワークとして定義されているのですが,さらにそれぞれが下位の特性,副特性が含まれています.
開発系の仕事から離れて久しいのですが,最近はテスト専門のエンジニアの地位も確立されているんですね.
昔はテストは計画する人はSEで,実施する人はテスターという位置づけで,技能量はテスターは新人等がアサインされる等比較的低いポジションだった覚えがあります.最近はブラックボックステスト的なものを出すだけでなく,開発はしないけど仕様書,ER図の読み取りから行う様な人が居るのだそうです. 第三者チェックとして求められている技術要素も高いので,昔とは立ち位置が違うんですねー.
まぁ,ネットワークはネットワークエンジニアが分離独立している事を考えると,各工程は守備範囲毎にスペシャリストがいても不思議じゃないですな.
ただし,エンジニアとして何を自分の強みとして生きて行くかの選択も難しくなりそうですね.むかしは範囲が広かったので,色々とやってみて自分に合っている道を選ぶ事もできたかもしれませんが.
最近思うのは「いきなりネットワークエンジニア」は成り立つのか?という事です. 卒業して直ぐネットワークエンジニアみたいな経歴の人. 若い子で,プログラム作成を知らないままのネットワークエンジニアというのをたまに見かけるのですが,ちょとと違和感があります.
機能性 functionality
信頼性 reliability
使用性 usability
効率性 efficiency
保守性 maintainability
移植性 portability
ソフトウェア品質に関する国際規格. 品質モデルを定義する際のフレームワークとして定義されているのですが,さらにそれぞれが下位の特性,副特性が含まれています.
開発系の仕事から離れて久しいのですが,最近はテスト専門のエンジニアの地位も確立されているんですね.
昔はテストは計画する人はSEで,実施する人はテスターという位置づけで,技能量はテスターは新人等がアサインされる等比較的低いポジションだった覚えがあります.最近はブラックボックステスト的なものを出すだけでなく,開発はしないけど仕様書,ER図の読み取りから行う様な人が居るのだそうです. 第三者チェックとして求められている技術要素も高いので,昔とは立ち位置が違うんですねー.
まぁ,ネットワークはネットワークエンジニアが分離独立している事を考えると,各工程は守備範囲毎にスペシャリストがいても不思議じゃないですな.
ただし,エンジニアとして何を自分の強みとして生きて行くかの選択も難しくなりそうですね.むかしは範囲が広かったので,色々とやってみて自分に合っている道を選ぶ事もできたかもしれませんが.
最近思うのは「いきなりネットワークエンジニア」は成り立つのか?という事です. 卒業して直ぐネットワークエンジニアみたいな経歴の人. 若い子で,プログラム作成を知らないままのネットワークエンジニアというのをたまに見かけるのですが,ちょとと違和感があります.
先日OpenOffice3.0の正式リリースも行われ,プロレタリアの見方として色々な定番ソフトウェアが無料で手に入る世の中になっていますが,アンチウイルスの世界も同じ様です.
日本では,早くからこの業界に着目していたという事で,シマンテックとトレンドマイクロが企業向けユースでは定番のようになっているのですが,無料とされているソフトウェアも幾つかあるので,調べてみました.
・Avast! 4 home edition
・AVG Anti-Virus Free Edition
・AVIRA AntiVir Personal Edition
・BitDefender
・KINGSOFT Internet Security U
・Comodo AntiVirus
・Moon Secure AV
これらのソフトウェアは「無料」とされているのですが,よくよく利用条件を確認するとほとんどの場合は個人利用以外での使用は不可となっています. 色々な表現があるのですが,面白い表現だったのは次の通り.
日本では,早くからこの業界に着目していたという事で,シマンテックとトレンドマイクロが企業向けユースでは定番のようになっているのですが,無料とされているソフトウェアも幾つかあるので,調べてみました.
・Avast! 4 home edition
・AVG Anti-Virus Free Edition
・AVIRA AntiVir Personal Edition
・BitDefender
・KINGSOFT Internet Security U
・Comodo AntiVirus
・Moon Secure AV
これらのソフトウェアは「無料」とされているのですが,よくよく利用条件を確認するとほとんどの場合は個人利用以外での使用は不可となっています. 色々な表現があるのですが,面白い表現だったのは次の通り.
ちょっと調べものをしていて,Anti VirusソフトウェアのComparatives(比較)サイトがある事が解りました.
Virus Bulletin
http://www.virusbtn.com
今回は解りやすく評価結果がランキングされているAV-Comparativesをみてみます.
AV-Comparatives
http://av-comparatives.org/
ここに今年の9月19日付けの評価レポートがPDFで公開されていました.
Anti-Virus Comparatiive No.19
http://av-comparatives.org/seiten/ergebnisse/report19.pdf
ウイルスの発見,誤検知,オンデマンドのスピードに関してテストしていて,その方法は次のドキュメントにあります.
Testing Methodologies & Frequently Asked Questions
http://www.av-comparatives.org/seiten/ergebnisse/methodology.pdf
このサマリーから取り出すと,ランキングは次の通り.
1.AVARA 99.2%
2.GDATA 99.1%
3.Symantec 97.9%
4.McAfree+artemis(Enterprise) 97.8%
5.Avast 97.3%
Virus Bulletin
http://www.virusbtn.com
今回は解りやすく評価結果がランキングされているAV-Comparativesをみてみます.
AV-Comparatives
http://av-comparatives.org/
ここに今年の9月19日付けの評価レポートがPDFで公開されていました.
Anti-Virus Comparatiive No.19
http://av-comparatives.org/seiten/ergebnisse/report19.pdf
ウイルスの発見,誤検知,オンデマンドのスピードに関してテストしていて,その方法は次のドキュメントにあります.
Testing Methodologies & Frequently Asked Questions
http://www.av-comparatives.org/seiten/ergebnisse/methodology.pdf
このサマリーから取り出すと,ランキングは次の通り.
1.AVARA 99.2%
2.GDATA 99.1%
3.Symantec 97.9%
4.McAfree+artemis(Enterprise) 97.8%
5.Avast 97.3%
グローバルIPアドレスを持ったSSH可能なマシンを設置して,何分で不正侵入の試み(ここではアタックと表現)を受けるか,試してみました.
ログイン失敗が記録されるbtmpファイルから,lastbコマンドで取り出した物で確認してみます.
設置完了して9時53分にメモの為にaaaでログインを試して最初のログを記録して,最初のアタックが11時ジャストなので約70分という事になります.
ちなみに,ここではマスクしてAtackとしていますが,この攻撃者は最初の接続から15分間のうちに345回のアタックを行ってきました.
そしてUJP IDSを導入する迄の5日間のうちに38127のアタックが行われ,平均すると,約11秒に1回のアタックを受けていることになります.
ログイン失敗が記録されるbtmpファイルから,lastbコマンドで取り出した物で確認してみます.
root ssh:notty Atack Sun Sep 21 11:00 - 11:00 (00:00)
root ssh:notty Atack Sun Sep 21 11:00 - 11:00 (00:00) ←これ
aaa ssh:notty 192.168.0.140 Sun Sep 21 09:53 - 09:53 (00:00)
aaa ssh:notty 192.168.0.140 Sun Sep 21 09:53 - 09:53 (00:00)
設置完了して9時53分にメモの為にaaaでログインを試して最初のログを記録して,最初のアタックが11時ジャストなので約70分という事になります.
ちなみに,ここではマスクしてAtackとしていますが,この攻撃者は最初の接続から15分間のうちに345回のアタックを行ってきました.
そしてUJP IDSを導入する迄の5日間のうちに38127のアタックが行われ,平均すると,約11秒に1回のアタックを受けていることになります.
無料のアンチウイルスソフトが公開されました.
iAntiVirus
http://www.iantivirus.com/

早速使ってみたのですが,同じフリーのClamAVよりも快適にスキャンしてくれるようです.
しかし,Macの中に置いてある,ウイルス感染ファイルを検知した所でエラーがでて止まってしまって,そのまま起動しなくなってしまいました...
iAntiVirus
http://www.iantivirus.com/

早速使ってみたのですが,同じフリーのClamAVよりも快適にスキャンしてくれるようです.
しかし,Macの中に置いてある,ウイルス感染ファイルを検知した所でエラーがでて止まってしまって,そのまま起動しなくなってしまいました...
クロスサイトトレーシングという攻撃方法があり,その対策としてApacheでは1.3.34以降と2.0.55で,TRACEメソッドをオフにする設定が追加されていました.
具体的には,httpd.confに以下の記述をして,Apacheを再起動するだけです.
TraceEnable Off
これはスクリプトやFlash等からTraceメソッドを発行する事で,基本認証のパスワードを盗み出すことができるというもののようで,WhiteHat Securityという機関が2003年1月に発表した攻撃手法なのだそうです.
CROSS-SITE TRACING(XST)
※PDFがダウンロードされます
TRACEメソッドはHTTP/1.1で導入されており,クライアントが自分が送信したリクエストメッセージがそのまま返ってくるというもの. 名前の通りでバッグ様ですな.
ということで,これをOffにしておくことで挙動に問題がでる可能性は低いと考えられます. よって,初期設定で最初から入れておくべきなのでしょう.
古いApacheをお使っている場合は,mod_rewriteでレスポンスを返さない様に設定できるようです.
具体的には,httpd.confに以下の記述をして,Apacheを再起動するだけです.
TraceEnable Off
これはスクリプトやFlash等からTraceメソッドを発行する事で,基本認証のパスワードを盗み出すことができるというもののようで,WhiteHat Securityという機関が2003年1月に発表した攻撃手法なのだそうです.
CROSS-SITE TRACING(XST)
※PDFがダウンロードされます
TRACEメソッドはHTTP/1.1で導入されており,クライアントが自分が送信したリクエストメッセージがそのまま返ってくるというもの. 名前の通りでバッグ様ですな.
ということで,これをOffにしておくことで挙動に問題がでる可能性は低いと考えられます. よって,初期設定で最初から入れておくべきなのでしょう.
古いApacheをお使っている場合は,mod_rewriteでレスポンスを返さない様に設定できるようです.
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]