3.3.セキュリティ - 社外持ち出しＰＣの対策

ネットスター調査の「組織でのインターネット管理実態調査」を見て感じたこと。

大企業では掲示板やSNSの利用制限進むが、持ち出しPC対策に課題
http://internet.watch.impress.co.jp/cda/news/2008/02/14/18461.html

ネットスター プレスリリース
http://www.netstar-inc.com/press/press080214.html

結構共感するところ有り。　やっぱり社外持ち出しＰＣの対策は悩ましいところです。

続きを読む "社外持ち出しＰＣの対策"

投稿日 : 2008年2月14日| コメント (0)| トラックバック(0)

3.3.セキュリティ - Googleでウイルスの警告？

テレビでGoogleブック検索を取り上げていた。　前から存在自身は知っていたが、あまり興味が無かったので試してみたことは無かった。

テレビで実際に検索してみるシーンがあったのだが結局検索結果が表示されないで終わった。　でもそんなの見せられてしまえば気になってしまうもので、実際に自分で検索してみることに。

と、ここで思った。　「あ～こういう人間が多かったのか（笑）」

で、ＰＣを上げて実際に検索してみる。　なるほど、これは案外便利かも。

で、２～３回検索していたら次のメッセージが表示された。

続きを読む "Googleでウイルスの警告？"

投稿日 : 2007年7月15日| コメント (0)| トラックバック(0)

3.3.セキュリティ - フィッシングサイトをホストする公的機関のサイト

Symantecの報告でフィッシングサイトをホストしている政府のサイトが多数見つかっているらしい。

政府のサーバで詐欺サイトをホスティング
バックドアなどで不正侵入
http://www.itmedia.co.jp/news/articles/0707/13/news031.html

困ったもんですね。　政府のサーバーともなるとローカルにとどまらずグローバルにも影響しているのではないでしょうか。

これを読んで今年３月頃に中国に渡った時のある問題を思い出したのでちょっと書いてみようかなと。　あくまで私個人が見てきた範疇の話なので、中国の全部が全部そうではない（と信じたい）事が前提なのでご了解下さい。

続きを読む "フィッシングサイトをホストする公的機関のサイト"

投稿日 : 2007年7月14日| コメント (0)| トラックバック(0)

3.3.セキュリティ - 新生銀行トルコ支店？

スパムの検疫をチェックしていたら、某ユーザー宛にShinsei Bank（新生銀行？）から登録情報が不完全だからログインして直せ的なメールが来てた。

続きを読む "新生銀行トルコ支店？"

投稿日 : 2007年7月11日| コメント (0)| トラックバック(2)

3.3.セキュリティ - WSUSでSelfUpdateサービスが実行されない

先日とある海外拠点のサーバーをクリーンインストールすることになった。　理由は原因不明の動作不良。　それだけの為に出張するわけにもいかず、現地の業者に作業を委託、事前打ち合わせを経て作業を行い、業者作業分は無事に完了した。　残りはこちらの作業、WSUSのレプリカ作成などだ。

早速WSUS SP1をターゲットのサーバーに落とし作業開始。　このサーバーは元々FTPサーバーも入っていたようで、既に業者がIISはインストールした模様。　なので、WSUSのインストールをすれば良い状態。

インストールは問題なく完了し同期を開始。　と、数分経過するとウェブ管理コンソールに以下のメッセージが出力された。

サーバーの構成を確認してください。 1つ以上のUpdateServiceコンポーネントに接続できませんでした。サーバの状態を確認し、WindowsServerUpdateServiceが実行されていることを確認してください。実行されていないサービス：SelfUpdate

なんでしょこれは。　今まで何度もWSUSのレプリカサーバー立ててきたけど初めて見た。

しばらく様子を見ていたが、これが影響しているのか、一向に管理される側のクライアントが出てくる気配がない。　普通ならADのGPOを設定してあればインストール後すぐ出てくるはず。

というわけで対応開始。

続きを読む "WSUSでSelfUpdateサービスが実行されない"

投稿日 : 2007年4月24日| コメント (0)| トラックバック(0)

3.3.セキュリティ - WSUS再インストール時のトラブル

とあるWSUSサーバーで各クライアントの更新状況を確認しようとしたところ、MSDEが破損しているらしくエラーとなり閲覧できない状態になっていた。

少しの間修復作業を行ってみたが、一向に回復しそうもないので、諦めて再インストールすることに。　ところがこれが運のつき…

一旦アンインストール後インストールしてみようとしてみたが、途中でエラーが表示されロールバックされてしまう。　というわけで、ここから半日はまりまくったのでした。

続きを読む "WSUS再インストール時のトラブル"

投稿日 : 2007年3月15日| コメント (0)| トラックバック(0)

3.3.セキュリティ - NAVの誤認

今日Symantecからリリースされたナレッジベース。

2007年2月19日付けのウイルス定義で一部の Office ファイルが Bloodhound.Exploit.128 に感染していると検出される
http://service1.symantec.com/support/inter/entsecurityjapanesekb.nsf/jp_docid/20070220163738949?Open&dtype=corp

解決策/詳細
2007年2月19日付け (rev. 20) のウイルス定義ファイルで、いくつかの Office ファイルが Bloodhound.Exploit.128 に感染していると誤検出されることが確認されています。 この問題は、2007年2月19日付け (rev. 53) 以降のウイルス定義ファイルで修正されています。

勘弁して下さいよ…　ウチかなり被害ありましたよ。　数十ユーザー、総ファイル数１００以上検疫行きでした。

SAVCE10からパターンファイルの更新がデイリーベースになった事もあって、結構被害受けた所も多いと思うんですけど、今のところどこにも情報見あたらないんですよね。

ゼロデイ対策をとるべきか、パターンファイル不具合を考慮するべきか考えたら、当然ゼロデイ対策なわけで、どうにもこうにもお任せするしかない訳ですし、無茶苦茶大変な事だとは思いますけど、ほんとお願いします。

そういや管理下のクライアント全てのパターンファイルをロールバックする方法ってどこか情報ありませんかね。　今回の一件の様にウイルスの情報を見る限り誤認っぽいって判断できる場合実行したいんですけど。

投稿日 : 2007年2月20日| コメント (0)| トラックバック(0)

3.3.セキュリティ - AntiVirのワーニング

去年の１２月１３日を境に、AntiVirが下のログを吐くようになった。

Dec 13 01:05:21 public antivir[6183]: /etc/antivir.conf is deprecated. Please use /etc/avguard.conf, /etc/avmailgate.conf, /etc/avwebgate.conf , /etc/avsapvsa.conf, /etc/avsamba.conf instead for the AntiVir software settings.
Dec 13 01:05:21 public antivir[6183]: /etc/antivir.conf is deprecated. Please use /etc/avupdater.conf instead for the AntiVir Updater settings.

前日（１２日）に行われた自動アップデートで、AntiVir自身がアップグレードされ、それに伴い設定ファイルが新しい様式になりますよ的な事らしい。　前のantivir.confでも警告が出るだけでとりあえずは動くっぽいので放っておいたのだが、ログも汚れてきたし、そろそろ作業しようかと乗り出してみる。

続きを読む "AntiVirのワーニング"

投稿日 : 2007年1月 9日| コメント (0)| トラックバック(0)

3.3.セキュリティ - OP25Bについて

いつものように情報収集をしていた中でこんな記事を発見。

OP25B、年内に多くのISPが実施へ、ユーザーは設定変更を
http://journal.mycom.co.jp/articles/2006/05/17/antispam2/

Outbound Port 25 Blocking(OP25B)の流れは確実に各ISPに浸透しているようであり、この記事が書いているようにどんどん進行していくのは間違いなさそうですね。　まったく、一部の人間のためにどんどん自由が奪われていく気がして不愉快きわまりないのですが、一方でまぁこれも時代の流れ、仕方ないのかなぁなんて思ったりしてます。

ちょっと文中で気になった点がいくつかあったのですが、

さて、OP25Bが完全実施されると、そもそも587番ポートとSMTP認証(587+Auth)の設定をしていない一般ユーザーはすべてメールが送信できなくなる。これは大前提で、これについては後述する。

すべて？　OP25Bってそういうものでしたっけ！？　私の今までの認識ではプロバイダのMTAを使っている限りは通常通りメールできるものだと思ってましたが…　もしかしてプロバイダのユーザー用MTAを廃止してMSAに変更する方向なんでしょうか？　え～？　ほんとに？　てかSMTP+Authだけでよくない？

それから、

ところで、OP25Bに関して問題になるのが「動的IPで、ダイナミックDNS(DDNS)を使って運営されている自宅サーバー」である。ブロードバンドの進展で個人でも自宅サーバーを立ち上げる例が増えているが、赤桐氏は自宅サーバーでも「固定IPを使ってください」としている。

でも安い固定IPだとDULに登録されていたりするんだよね。　うちもそうだし。（笑）　DULに登録されていない（されにくい）ISPを調べて契約するなんてちょっと無理っぽいし。　かといって企業向けなんて高額だし。

仮に上に書いたプロバイダMTA(SMTP+Auth)が存続するならば、DDNSな人もMTAにSMTP-Authを実装することで逃げられるんだけどねぇ。

あぁなんにせよ息苦しい世の中よ。

投稿日 : 2006年5月17日| コメント (0)| トラックバック(0)

3.3.セキュリティ - X-Cleaner＠ヤマダ電機

ちょっと意外な所、ヤマダ電機がオンラインによるスパイウェアの駆除サービスを開始したようだ。　場所はヤマダ電機WEB.COM。

ヤマダ電機WEB.COM
http://www.yamada-denkiweb.com/

で実際のスキャンサービスがある場所は以下のページ。　X-Cleanerというサービス。

X-Cleaner
http://www.yamada-denkiweb.com/contents/contents/x-cleaner.html

最近ようやくスパイウェアに対する各社の対応が強化されてきているようだが、一番底辺にいるユーザーの認識率は相変わらずさほど高くない気がする。　又は「聞いたことはあるけど、アンチウイルスソフト入れているから大丈夫でしょ？」程度の認識。　確かに最近のソフトはスパイウェア対策されてきているけれども…

スパイウェアの駆除を行ったことがある人は知っていると思うが、スパイウェアは自分の想像以上にＰＣに入り込んできている物。　「えっ！？こんなに入っちゃってるの？アンチウイルスソフト入ってるのに？」と驚かれた人も多いのではないだろうか。

一歩対策に踏み込めない理由は、

• お金がかかるのは嫌だ
• 対策が面倒なのは嫌だ

というのが大きいのではないだろうか。

今回のX-Cleanerは無料のサービスであり、なおかつオンラインであることから、かなり敷居は低くなっているのではないかと思う。　これを機会に、皆さんも一度スパイウェアに向き合ってみてはいかがだろうか。

投稿日 : 2005年10月17日| コメント (0)| トラックバック(0)

3.3.セキュリティ - 携帯電話の暗証番号解読機

携帯電話の暗証番号解読機が出回っている可能性があるらしい。

ケータイ盗難に注意…暗証番号解読機が出回る?
http://www.rbbtoday.com/news/20050818/24898.html

仕組み自体は単純なもので、0000～9999迄を総当たりでトライするというものらしい。

携帯電話の暗証番号が解読されたからといって別に別段問題はなさそうな気もするのだが、この番号を銀行のキャッシュカードでも使っている人が多いようで、これを使っていた犯人は実際にその番号で現金を引き出したとのこと。　やっぱり暗証番号を使い回している人多いんでしょうね。

そもそも数字４桁のセキュリティなんて現代においては無意味に近くなってきてるような気もします。　たった１００００通りですよ。　総当たりするにしても処理によってはその程度のループなんてコンマ何秒で解読できてしまいます。

ましてや携帯電話をPCにつなぐなんてのは一般的に出回っているソフトでも実現できている事だし、それのAPIだってインターネット上で見つけられそう。　無いにしても自分で解析出来るレベルじゃないかと。（試してないので憶測ですが）　APIさえどうにかなれば、あとはそこそこプログラム組める人であれば誰でも作れちゃうような気もします。

というわけで対策。　やっぱり暗証番号の使い回しはやめましょう。　といったとこでしょうか。　いつも思いますが嫌な時代になったものです。

投稿日 : 2005年8月18日| コメント (2)| トラックバック(0)

3.3.セキュリティ - SELinuxのGUI設定ツール

SELinuxのGUI設定ツール「SELinux Policy Editor」が無償公開されたようだ。

セキュアOS SELinuxの国産GUIツール「SELinux Policy Editor 1.0」正式版が無償公開
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050721/165060/

SELinuxの設定をブラウザにより行えるソフトウェア。　元は日立ソフトウェアエンジニアリングが開発されていたが、2005年5月にコミュニティベースのプロジェクトに移行したとのこと。

まだ使ったことがないので何とも言えないが、これによって少しでも設定が簡単になるならば大変興味深い。　現時点でFedora Core 3と4に対応しているとのこと。

投稿日 : 2005年7月21日| コメント (0)| トラックバック(0)

3.3.セキュリティ - 便利なものには危険が伴う

みずほ、ジャパンネットバンクの利用者が知らないうちにパスワードを盗まれ、勝手に振り込み出金されたという報道が流れた。

みずほ銀行とジャパンネット銀行の顧客口座からも不正出金
http://internet.watch.impress.co.jp/cda/news/2005/07/06/8294.html

この間もイーバンク銀行で同様の事件があったばかり。

どちらも原因はスパイウェアらしいと言うこと。　メール（またはその添付）を開いたことにより感染し、以後のキーボード入力を第三者に漏らす手口らしい。　この方法はキーロガーといわれ、昔からあったものだが、いくら経路上の秘匿性をあげてもユーザー自らがパスワードを漏らすのと同等になるため情報は完全に筒抜けになる。（反対に言えばこの方法の場合、ログインしなければ漏れない）　勿論この危険性はメールだけではなくWEBの閲覧でもありうる事だろう。

スパイウェアの認識は以前より高まってきているとは思うが、対策がきちんととれているユーザーはまだまだごくわずかではないだろうか。　対策している思っていても100%安全である事はありえない。　つまりこの先も同様の被害が出る可能性はあるし、銀行サイドは注意喚起する程度しか策がない。　（IPアドレスによる利用制限などもあるかもしれないが、全ての利用者が追従できるだろうかという疑問が残る。）

保証に関して被害者と相談中ということらしいが、銀行側から考えれば利用者の不注意となるだろう。　多発するようであれば保証も難しくなるのではないだろうか。

最終的に保証されることになっても面倒なごたごたに巻き込まれるのは必至。　やはり利用者は「自分の身は自分で守る」姿勢が必須なのだろうと思う。

あまり必要でない口座はできるだけ開設しない。　使う場合はPCに出来る限りの対策を施す。　他人のPCは信用しない、使うPCは自分のPCに限定する。　被害に遭う可能性がある事を前提に使用する。

利便性に惹かれ安易に飛びつかず、便利なものには危険が伴うという意識を持つ事が大切だろう。

投稿日 : 2005年7月 7日| コメント (0)| トラックバック(0)

3.3.セキュリティ - SAVCE、Spyware対策ソリューション発表

SymantecがSymantec Client Security及びSymantec AntiVirus Corporate Editionの最新版を7月8日にリリースする予定らしい。

シマンテック、企業向けスパイウェア対策ソリューションを発表
http://www.symantec.co.jp/region/jp/news/year05/050531.html

今回のバージョンでは主にスパイウェア対策が強化されているようだ。　個人的にもこのスパイウェアへの対応はどうするべきか頭が痛い問題であったのだが、

Symantec AntiVirus Corporate Edition 10.0 は、世界でもっとも信頼されているエンタープライズ向けウイルス対策ソリューションであり、スパイウェア、ウイルス、ワームに対して自動的に防御し、対応を行ないます。スケーラブルな集中管理および対応能力によって、アップタイムを最大に、コストを最小にするほか、デスクトップやネットワークサーバを最大限に制御し、防御できる製品です。　さらに、ユーザはスパイウェア対策の管理が既存の管理インフラの一部として行なえるため、特に新たなトレーニングも必要なく、これまでの Symantec Client Security や Symantec AntiVirus Corporate Edition への投資を無駄なく活用することができます。

とSAVCEで管理できるようになるのは大変喜ばしい。

詳細は書かれていないので不透明な部分も多いが、個人的にはとても楽しみな製品だ。

投稿日 : 2005年5月31日| コメント (0)| トラックバック(0)

3.3.セキュリティ - IPSecに暗号通信を盗聴される脆弱性

ちょっと気になる記事を見つけたのでメモ。

IPSecに暗号通信を盗聴される脆弱性，安全性保護の設定を有効に
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050510/160586/

現状一部を除いて各ベンダーは影響範囲を調査中のようだが、今後の動きに注意しておかないとまずいかも。

2005-05-12追記
とりあえず各社の対策方法もパラパラと出てきたようだ。　表面的には公開してない所もあるけど、ニュースレターとか来たりしてる。

アライドテレシス / IPsec(ESP)の脆弱性について
http://www.allied-telesis.co.jp/support/list/faq/vuls/20050510.html

富士通 / IPsec通信の設定に存在する脆弱性
http://software.fujitsu.com/jp/security/niscc/niscc.html#004033-ipsec

YAMAHA / RTシリーズのIPsecに関するFAQ
http://www.rtpro.yamaha.co.jp/RT/FAQ/IPsec/NISCC-004033.html

ウチに関係する部分は全て確認してみたが、特に問題はないようなので一安心。

投稿日 : 2005年5月11日| コメント (0)| トラックバック(0)

3.3.セキュリティ - ウイルスバスターによるシステム異常

トレンドマイクロ社のウイルスバスターで、パターンファイルを更新するとCPUの負荷が100%に達してしまう不具合が発生しているらしい。

トレンドマイクロ社サポート情報
コンピュータのCPUが100%になる現象に関して
http://www.trendmicro.co.jp/support/news.asp?id=677

弊社製品において、2005年 4月23日 午前7:33に公開しましたウイルスパターンファイル2.594.00をお使いの製品にアップデートした直後から、コンピュータの動作が著しく遅くなり、コンピュータを使用できない事象が発生する場合があることが判明しました。

トレンドマイクロ社のみに関わらず、アンチウイルス製品全般に言えることだと思うが、この手の不具合は大小あれども結構聞く話。　実際ウチでもアンチウイルスソフトウェアが原因でOSに何らかの問題が出たり、特定のソフトウェアが動作不良を起こしたりすることがあった。

ウチの場合こういう事象は最近あまり聞かなくなったが、過去に頻発したことがあって、何か問題があると「またAVのせいか？」と真っ先に疑ってかかっていた時期もあった。　とりあえず常駐解除すると現象が改善されることが多かったのも事実。

システムを安全に保つことが目的のアンチウイルスソフトウェア。　それ自体がシステムを不安定にさせてしまうのでは本末転倒なわけではあるが、日々変化するウイルスに対応しなければならないという事から考えるとある程度は致し方ないとも言えるのかもしれない。

管理側からすると「勘弁してくれ」的な所ではあるが。(^^;)　ウチはトレンドさん使ってないので関係ないけど。

投稿日 : 2005年4月25日| コメント (0)| トラックバック(0)

3.3.セキュリティ - 日本ジオトラストのSSLサーバ証明書がauの携帯電話に対応

前に書いた記事の続きだが、ジオトラストのSSLサーバー証明書がauの携帯に対応するとのこと。

2005.4.1　日本ジオトラストのSSLサーバ証明書がauの携帯電話に対応
http://www.geotrust.co.jp/ssl_press/1112318646.html

対応プラットフォーム・環境などのページを見ても若干加筆されている。

これであの忌まわしい

このサイトは安全でない可能性があるため接続できません。(発行者エラー)

を見なくて済むようになるのだろうか。
ともあれこれで色々実験が出来るようになるかもしれない。　嬉しい限りだ。

追記
試しにW21Tで接続してみたが、2005/04/07現在の段階では従来通りエラーとなった。
対応機種の記述が見つからないが、W21Tは非対応なのか？

投稿日 : 2005年4月 7日| コメント (0)| トラックバック(0)

3.3.セキュリティ - シマンテック社製品に脆弱性

複数のシマンテック社製品にヒープオーバーフローの脆弱性が発見されたとのこと。

シマンテックの UPX 解析エンジンにヒープ･オーバーフローの脆弱性
http://www.symantec.co.jp/region/jp/avcenter/security/content/2005.02.08.html

ウチは結構Symantec社製のソフト導入しているのでやばいかな？ということで調査。　上の記事を読んでみると

シマンテックは、ISS 社の X-Force から報告されたリモート ･アクセスの脆弱性に対応しました。この脆弱性は、UPX 圧縮ファイルの解析を行うシマンテックのウイルス対策スキャニング ･モジュールの旧バージョンに存在することが特定されました。シマンテックのごく一部のセキュリティ製品で、依然このモジュールが使用されています。

って書いてあるのにその下にある影響を受ける製品を見るとかなりの数があるじゃないですか。　ウチが使っている製品と照らし合わせても決して「ごく一部」じゃないよ。

しかもSWSとかSMSに関しては、ついこの間バージョンアップしたばかりなのに、それですら該当するし。　まぁ仕方ないことなんだけど、よりによってこのクソ忙しいときに出なくても良いじゃん。(+_+)

とはいえ早急に対処しなければなるまい。　え～ん。

投稿日 : 2005年2月10日| コメント (0)| トラックバック(0)

3.3.セキュリティ - WAKWAKがOutbound Port25 Blockingを開始

WAKWAKが迷惑メール対策の一環としてOutbound Port25 Blockingというものを３月から開始するらしい。

セキュリティ対策及び迷惑メール対策の更なる強化について
http://www.ntt-me.co.jp/news/news2005/nws050107.htm

要は一般のユーザー等がインターネット接続に使用するダイナミックなIPから直接メールできないようにし、WAKWAKが用意したSMTPサーバーを経由することを強制するものだ。　尚、企業などで固定IPを取得している場合は影響を受けないとのこと。

WAKWAK曰く

これにより、WAKWAKの動的IPアドレスを利用してインターネットに接続している会員がウイルスに感染した場合、パソコンから直接送信されるメールがブロックされるため、ウイルス感染による機密情報の漏洩や企業における顧客情報の流出、意図せずウイルス発信の加害者になってしまう等の危険性が低くなり、今まで以上に安心してインターネットをご利用いただくことができます。

との事だが、これに伴い外部のメールサービスを使用している人や、ダイナミックDNSを使用してメールサーバーを運用している人に大きな影響が出る。

続きを読む "WAKWAKがOutbound Port25 Blockingを開始"

投稿日 : 2005年1月 8日| コメント (0)| トラックバック(1)

3.3.セキュリティ - sshdが狙われる

２４日警察庁の発表でsshによる不正侵入行為が増加しているとの報告がされたようだ。

SSHを利用した不正侵入行為(PDF) - 警察庁
http://www.cyberpolice.go.jp/detect/pdf/ssh_monitor.pdf

増加の理由はsshに対応した辞書攻撃ツールが公開された事が大きいらしい。　辞書攻撃は原始的ではあるが、脆弱なサーバーでは侵入可能なのかもしれない。

危険を感じた方は暫定的にファイアウオールで完全ブロックするかsshdを停止するなどしたほうがいいだろう。　もしどうしても必要であればrootやadminといった一般的なアカウントでログインできないようにした方が良い。　どの辺のアカウント名が危険なのかは上のpdfでおおよそ分かるので参考にされたい。

推測しにくい名前でのログインのみ受けつけるようにし、その後でsuする方法も有効だろう。　アクセスする拠点が固定IPのみであればそれのみを許可する設定も効果的だと思う。

sshだけに限らないが、再度セキュリティチェックしましょう。

投稿日 : 2004年12月28日| コメント (0)| トラックバック(0)

3.3.セキュリティ - PHPプログラマーに警鐘

この間（２１日あたり）にphpBBを攻撃するワーム「Santy」が騒がれたと思ったら、今度はまた別のワームが問題になりそうな気配。　今度のは特定のプログラムではなくPHPによって特定のコードを書いているプログラム全てが対象となるらしい。

PHPを狙う新たなワームが出現，Webページのプログラム・ミスを突く - ITPro
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20041227/154332/

Santyの事を聞いたときは、「あぁやっぱり目立つソフトは狙われるんだな。　Googleが悪用される事は予想していたけど、こういうのが流行ると他のMTみたいな有名ソフトなんかにも影響有りそうだよな…くわばらくわばら」なんて思っていたが、こうなると有名無名関係なくなってくるわけで。

とはいえ全てのスクリプトが危険というわけではないらしい。　上記ページのリンクにもあるFile Inclusion Flow（リンク先に行くとPHP Security Mistakesというタイトルみたい）を見ると分かるが、今回のワームは

• ユーザーが入力したデータをそのままincludeやrequireで利用しない
• 利用する場合は正規な値かどうか十分評価する

ことで回避できるようだ。　とりあえずワームが拡散することを考えると、少なくとも上記コーディングをされている方は一刻も早く対処した方が良いだろう。

幸い私は動的にインクルードとかするようなプログラムをPHPで書いたことはなかった（と思う）ので良かったが、とりあえず上記File Inclusion Flow(PHP Security Mistakes)の４ページに書かれていることは再度チェックし直そうかと考えている。

投稿日 : 2004年12月27日| コメント (0)| トラックバック(0)

3.3.セキュリティ - なにこれ？ウイルス？

外部MTAが応答しなくなる障害が発生。　netstatしてみると同一IPのestablishedなセッションが腐るほどある。

またウイルスかよ。　ひとまず拒否する設定をして、改めてログを解析してみると…

なにこれ。　セッションを繋いでから何の要求も出してないよ。　繋いでから無言を貫いてる。　ずっとほったらかし。　そんなのが山のように来るから当然MTA側のキャパを超えて受信しづらくなってたみたい。

リモート要求のタイムアウトの設定はしていたけど、長すぎてあまり効果無し。　とりあえず短くしてみて様子見。

新手のウイルスなんだろうか。

投稿日 : 2004年12月21日| コメント (0)| トラックバック(0)

3.3.セキュリティ - SAVSMTPからSMSSMTPにアップグレード

ここで予定していたSymantec AntiVirus for GatewaysからSymantec Mail Security for SMTPへのアップグレードを行ってみました。

インストールマニュアルに

Symantec AntiVirus for SMTP Gateways 3.xからアップグレードするには、既存ソフトウェアの上にSymantec Mail Security for SMTP 4.0をインストールします。　そうすれば以前の設定が維持されます。

と書かれていたのでその通りやってみたのだが、確かに設定は維持されたものの、Live Updateがうまく動かない。　手動でLive Updateしても数秒たつとFailedになってしまう。

ネットワーク周りの設定を見直しても特に問題なさそうだし、SMSSMTPの関係しそうな設定をごちゃごちゃいじっても変化無し。

数時間深みにはまってみて出した結論。
「アップじゃなくて素直に新規インストールしよう」。

正解でした。　インストール後Live Updateは何事も無かったかのように正常終了。　ありがちな話ですね。

管理コンソールは見た目あまり変化無いようですが、spam関係の項目が増えたかな？　これから色々試してみたいと思います。　あとはW32.Erkez.D@mmの問題がクリアになっているか検証しなくては。

しかしどうでも良いけどNAVGW→SAVSMTP→SMSSMTPって何回名前変えたら気が済むの？　フォルダ構成まで変わっちゃうしね。　まぁいいけど。(^^;)

追記

W32.Erkez.D@mm問題は解決したっぽい。　新しくMass-Mailerの対策機能がついてそれが効いたよ。

2004/12/17 16:39:35 Action: Virus Found Client: *.*.*.* From: *@*.com.tw
To: *@*.co.jp Subject: Merry Christmas! Size: 19886
SMTP ID: M2004121716392400145 Info: Message contained a virus Virus Name: W32.Erkez.D@mm
File Name: link.postcard.index.htm1642.zip

2004/12/17 16:39:35 Action: Mass-Mailer Cleanup Client: *.*.*.* From: *@*.com.tw
To: *@*.co.jp Subject: Merry Christmas! Size: 19886
SMTP ID: M2004121716392400145 Info: Message is considered to be a mass-mailer. Virus Name: W32.Erkez.D@mm
File Name: link.postcard.index.htm1642.zip Matching Entry: @m

よかった×２。

投稿日 : 2004年12月17日| コメント (0)| トラックバック(0)

3.3.セキュリティ - Symantec Mail Security for SMTP

昨日の騒ぎに続いてまた今日も同じ障害が発生した。　また同じウイルスのせいなんだけど、こりゃ本気で対応しないとやってられなそう。

というわけでSAVSMTPの次期バージョンである

Symantec Mail Security for SMTP
http://www.symantec.co.jp/region/jp/products/sms_smtp/index.html

に切り換えようと計画中。　といってもSAVSMTPから上書きでインストールすれば設定も引き継がれるということなので事実上単なるアップグレードだな。

気になる変更点は

メール大量送信型ワームによるメールに対する処理機能を強化
マルチスレッド・スキャンなどの手法により効率良く処理を行うため、メールサーバ上で動作させることができ、既存のシステムに容易に導入可能

ってところでしょうか。　とにかく今困ってるのは死んでしまうところなので。

昼間は止まったらやばいので夜にでも作業開始します。

投稿日 : 2004年12月16日| コメント (0)| トラックバック(0)

3.3.セキュリティ - SonicWALL Gateway Anti-Virus

SonicWALLが来年初頭に新しいAnti-Virus Gatewayを投入してくるらしい。　見たところ現行製品のオプション機能っぽい。

SonicWALL Gateway Anti-Virus
http://www.sonicwall.com/japan/corporate_info/press-GAV_IPS.html

アンチウイルスのゲートウェイは必須とも言える仕組みだが、SAVSMTP等の様に一度ファイルとして展開した上でスキャンする方法では問題が出る場合もある。　例えばウイルスによりバースト的にウイルスがばらまかれたとき、DoS状態に陥ってしまう事もあるだろう。（実際にウチでもそれを経験したばかり）

これに対し本製品では

ウィルスおよび悪意のあるコードをパケットベースでスキャンし防止する、インテリジェントなリアルタイム・ゲートウェイ・アンチウィルス

といったパケットベースでのスキャンであればパフォーマンスの著しい低下を防げるという。　まだ一度も試したことが無いためなんとも言えないが、仮にこれが本当であれば今後のゲートウェイ製品はこういう方向に流れていくのかも知れない。

また本製品はSMTPだけではなく様々なプロトコルやIPS、スパイウェア、アドウェアなどにも対応している。　この辺も大変気になるところだ。

でも何でもかんでも１台でやって本当に大丈夫なんだろうか。

投稿日 : 2004年12月16日| コメント (0)| トラックバック(0)

3.3.セキュリティ - W32.Erkez.D@mm

久々の実害ありウイルス。　感染じゃないけど。

W32.Erkez.D@mm
http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-w32.erkez.d@mm.html

中国IPからなんだけど、１台のホストからの攻撃でSAVSMTPが麻痺させられた。
というかSAVSMTPがウイルスチェックできずにタイムアウトするまでだんまり状態になるっぽい。　バグか？

チェック中にもどんどん送られてくるもんだからDoS状態で、コンソールもみれなくなるありさま。
最終的にはサービス止めてキューをまとめて消すしかないっぽい。

Blocking by subject lineでひとまず止めておいて、後で対策を考えましょう。

投稿日 : 2004年12月15日| コメント (0)| トラックバック(0)

3.3.セキュリティ - spam from Spain

最近スペインからのスパムが多い。

面倒なのでさっさと各国IPアクセス拒否リストで止めてしまったのだけど、止めてから数日経過した時点で既に海外spam全体の１１％にのぼってしまった。

ちなみにこの１週間のワースト５は以下の通り。

１位　韓国　　　５１％
２位　中国　　　２５％
３位　スペイン　１１％
４位　香港　　　６％
５位　ブラジル　４％

ブラジルも多くなってきたなぁ・・・
アメリカも多分まだあるんだろうけど、他のRBLで蹴られてるんでしょう。　きっと。

続きを読む "spam from Spain"

投稿日 : 2004年12月 8日| コメント (0)| トラックバック(0)

3.3.セキュリティ - デジタル万引き

昔も今も変わらず万引きという行為はあるようで、テレビでも時折特番で放送する事があったりする。

その万引き行為の背景も、単に「欲しかった」とか「なんとなく」といった短絡的なものあれば、「生活のため、生きていくため」といったなんとも世知辛い動機もあったりと多種多様だ。

しかし最近の万引きの対象は、こういった物理的なものばかりではないのだと言う。　なんとデジタル情報の万引きが横行してるらしい。

例えば書店などで多いのが、雑誌や書籍を携帯電話の内蔵カメラで撮影するという行為。　出版業界では結構問題視されてきているらしい。

確かに最近の携帯電話内蔵カメラの精度は格段に向上してきている。　最近ではメガピクセルクラスのカメラを搭載するものも増えてきているが、これであれば十分実用に耐える程度の画像が撮影できる。

書店で一体何を撮影するのか？　例えば

• 料理本のレシピ
• 好きなアイドル、アーティストのグラビア
• 弾き語りのコードブック

なるほど。　素晴らしい。　おっちゃんには考えもつかなかったな。　目から鱗だ。（いや俺はやらないよ大人だし捕まったら恥ずかしいし彼女に怒られるし）

確かに雑誌のジャンルにもよるが、欲しいのはごく限られたページだったりする事もある。　それがたった１～２ページ程度だったりすると、なんとか記憶できないもんかと目を皿のようにして、またその皿をなめ回すかの如く読んだりすることもある。　セコいぜべいべー。　しかしそれが人情。

現代ではそれをカバーする文明の利器がある。　それらを使って行う万引き行為。　これらを総称して「デジタル万引き」というとのことだ。　これまた素晴らしいネーミングである。

続きを読む "デジタル万引き"

投稿日 : 2004年8月 2日| コメント (0)| トラックバック(0)

3.3.セキュリティ - Symantec Gateway Security 300 Series

Symantecがちょっと変わったセキュリティゲートウェイをSOHO市場に投入してきた。

2004年7月20日 - 小規模企業向け多機能ゲートウェイ製品を発売
http://www.symantec.co.jp/region/jp/news/year04/040720.html

Symantec Gateway Security 300 Series
http://www.symantec.co.jp/region/jp/products/sgs_300/index.html

Symantec Gateway Security（以降SGS）という名前からして、ゲートウェイ製品なわけだから私はてっきりSMTP等の通信を監視といった機能も盛り込まれているのかと思ったのだが、機能説明を読む限りどうやら違うらしい。

続きを読む "Symantec Gateway Security 300 Series"

投稿日 : 2004年7月22日| コメント (0)| トラックバック(0)

3.3.セキュリティ - ２つのセキュリティアップデート方法の相違点

今日Microsoftのセキュリティの更新が数件リリースされた。　早速朝一でMicrosoft Software Update Services（以降SUS）の同期を行い、アップデートが取得されていることを確認した上で、全クライアントに対し更新の許可をした。

これをやっている間、若干の待ち時間ができるのだが、この間いつも同じ事を「ぼけっ」とした顔をして考える。　それは現状のSUSの弱点だ。

続きを読む "２つのセキュリティアップデート方法の相違点"

投稿日 : 2004年7月14日| コメント (0)| トラックバック(0)

3.3.セキュリティ - ブロードバンドルーターのススメ

早速だが、皆さんのご家庭ではインターネット接続環境においてどのようなセキュリティ対策を施しているだろう。

私は一般の方にどう対策したらいいのかと質問された場合、真っ先にお勧めする対策が２つある。　それはアンチウイルスソフトとブロードバンドルーターの導入だ。

極端な話、この記事を書いている時点では、この２つを導入することが、ご家庭において最低限必要で、確実な効果が期待でき、かつ簡単に導入可能な対策方法の一つであると思っている。

この対策は一部には当然の事として知られている事であるし、今更何をと言われてしまうかもしれないが、インターネット人口総数から見た割合としては知っている方の方が未だごく少数なのではないだろうか。　そう思って今回これをテーマに書こうと思った。

もしあなたがインターネット利用に不安を抱えながらも、よく分からないという理由でどちらかしか、又は両方とも導入していない場合は是非この記事をご一読いただきたい。

続きを読む "ブロードバンドルーターのススメ"

投稿日 : 2004年7月12日| コメント (3)| トラックバック(0)