2006年06月06日

政府が一斉メール送信/政府のサイト

*最大2千万人に一斉メール 総務省がネット安全対策で(Yahoo)
http://headlines.yahoo.co.jp/hl?a=20060602-00000259-kyodo-soci

-----(ここから引用)-----
総務省は2日、インターネットの情報セキュリティー対策の重要性を訴える電子メールを、主要なネット接続サービスの利用者最大2000万人に対して、9日に一斉送信すると発表した。
政府が広報活動で、これだけ多数の人に電子メールを一斉送信するのは初めて。ネットの安全対策は、ネットで知らせるのが最も効果的と判断した。
メールを受信した利用者は、記載されているホームページアドレスに接続すると、竹中平蔵総務相が「ソフトウエアの更新」「ウイルス対策ソフトウエアの導入」などの基本原則を守るよう訴える映像が配信される。竹中氏の映像は「政府インターネットテレビ」でも視聴できる。
-----(ここまで引用)-----

「情報セキュリティ対策の集中啓発」の実施概要の公表(総務省)
http://www.soumu.go.jp/s-news/2006/060602_2.html

どのような内容かは読んでみないとわかりませんが、2千万人にメールとは思い切ったことしますね。
私はこういうのはもっと行ったほうが良いと思うのですが、国がスパムするな、と思う人も多いでしょうw
何はともあれ、内容が楽しみです。



*総務省のセキュリティサイト

国民のための情報セキュリティサイト(総務省)
http://www.soumu.go.jp/joho_tsusin/security/index.htm

こんなサイトあったんですね。
あまり期待していなかったんですが、見てちょっと感心しました。
さすがに初歩的なことばかりで、ウイルスに対して「対策ソフトを購入しインストールしましょう」というやや投げっぱなしな対策はどうかと思いますが、かなり広い範囲に渡ってわかりやすく解説されています。
政府も結構がんばってるんですねぇw


外務省の海外情報のページや、「政府インターネットテレビ」とかも結構面白いです。最近まで知りませんでした。

外務省:各国・地域情勢
http://www.mofa.go.jp/mofaj/area/index.html

政府インターネットテレビ
http://nettv.gov-online.go.jp/

  

Posted by at 00:29Comments(0)TrackBack(0)

2006年05月26日

ゲームラボ6月号の記事、他

三才ブックス(http://www.sansaibooks.co.jp/)の「ゲームラボ6月号」に、Winnyの脆弱性について詳しい記事がある、ということなので買ってみました。
8ページの特集が組まれており、今まで読んだどの考察よりも踏み込んだ内容で、非常に参考になりました。
最初の2ページはゲームラボのホームページで見ることができます。

http://www.sansaibooks.co.jp/glabo/program/file/winny/01-03.jpg
http://www.sansaibooks.co.jp/glabo/program/file/winny/02-03.jpg


概要、対処方法、今までの経緯、危険度、検証結果、攻撃方法などが詳しく書かれています。これを読むと、現在のユーザーの認識はかなり甘いと言わざるを得ないでしょう。

あまりに深く考えるならば、ゲームラボの記事の信用性や、セキュリティを専門にしているeEyeの発表の信用性まで考察しなければならなくなりますが、その可能性はここでは除外します。
ゲームラボの記事でも、専門家であるeEyeが「任意のコードを実行できる脆弱性が存在する」と言っているのだから、それは間違い無いと見ていいだろう、と書かれています。
ここまでは恐らく、「現役Winnyユーザー」も認識しているのではないでしょうか。もしくは、そうでない人なら何も解らないけど使っている、ということだと思われます。

重要なのは、その脆弱性が「攻撃に使えるか?そうでないか?使えるのならそれは簡単か?難しいか?」ということです。

-----(ここから引用)-----
実際のところ、本当に「Winny」は危険なほどに脆弱なのか?発見者による詳細な解説や実証コードは公開されておらず、詳しいところはわからない。となれば、どうするか。わからないものは、調べてみよう。
-----(ここまで引用)-----

ゲームラボはヒープとスタックのバッファオーバーフロー(オーバーラン)の脆弱性に対して、実際に攻撃ツールを試作し、そしてそれが可能であるということを示しました。
誌面では攻撃ツールの画面写真が掲載されていて、LAN上での実験で、リモートで電卓の起動やファイルの削除が行えるということを証明しています。
「cmd /c rmdir /s /q c:WINDOWS」というコマンドを実行し、「WINDOWSフォルダを削除(開かれているファイル以外)」するという動作も確認されました。
これはつまりほとんどすべてのことがリモートで行えるということです。ゲームラボの記者は「これほど危険だとは思っていなかった」と本音を漏らしています。しかもそれが、比較的簡単に行えるということを強調しています。

次に、現時点で存在している「野良パッチ」が、この脆弱性に効果があるかどうか、というのが気になるところですが、これに関しては「お茶を濁しているのではないか?」という印象を受けました。

-----(ここから引用)-----
ここで挙げた3つのコマンド処理に係る脆弱性はパッチ等で対処できていると思われる。そのほか、脆弱となる可能性のある実装上の問題が数箇所あるようだ。異常動作を発生させる程度のことはできても致命的な攻撃の手段とするのは困難と思われるが、可能ではないとは言い切れない。詳細な検定を行っていないため、どの程度の影響があるかは不明である。
-----(ここまで引用)-----

この「攻撃ツール」が使った方法は不明ですが、ここに矛盾が感じられます。
この引用部分では、「野良パッチでこの脆弱性を突いた攻撃は防げるが、それ以外に問題点がある。その詳細は不明だが攻撃ができる可能性はある。検定は行っていない」と言っています。
しかし、実際にサンプルの攻撃ツールが作られているので、これはつまり「このツールで行われる種の攻撃は野良パッチで防げる」、ということを表しているのでは?





ゲームラボの記事はITproと同じように、「もうこれは時間の問題だ」と書いています。
比較的近い将来、「超暴露」「超Winter的ファイル削除」が行われ、「超大規模のボットネット」が現れるだろう、としています。




これはITproやIPA、eEyeにも言いたいことですが、ここまで危機的な記事を書いているのなら、あえて「利用されるかも」という危険を冒してでも、例えば「リモートで電卓を起動する」というものだけでも公開するべきだ、と思うのですが・・・
いくら危機を煽ってもWinnyユーザーが減る気配すらないのが現実です。むしろ増えている有様です。これはつまり大半のユーザーは、「もう完全に舐めきっている」ということでしょう。




参考リンク

http://itpro.nikkeibp.co.jp/article/NEWS/20060519/238502/
 「Winnyの脆弱性問題は“特殊”,対策が困難」---発見者がコメント(ITpro)

http://internet.watch.impress.co.jp/cda/special/2006/05/25/12079.html
「ウイルスの登場は時間の問題、Winnyの使用は今すぐ中止してほしい」(Watch)

http://itpro.nikkeibp.co.jp/article/COLUMN/20060522/238633/?ST=security
 それでもWinny(ウィニー)を使い続けますか?(ITpro)



  
Posted by at 00:30Comments(0)TrackBack(0)

2006年05月18日

相変わらずネタ不足です。

・相変わらずネタ不足です。
過去に書いた事の繰り返しになってしまったり、書いてもものすごく短いエントリになってしまうようなニュースばかりで、相変わらずネタ不足です。


Winny通信遮断は違法(NHK)
http://www3.nhk.or.jp/news/2006/05/18/d20060518000007.html
ウィニー利用者の通信遮断、通信の秘密侵害と総務省(Yomiuri Online)
http://www.yomiuri.co.jp/national/news/20060518i206.htm

-----(ここから引用)-----
ファイル交換ソフトWinnyについて新しい措置を予定していたのは、NTT系の大手インターネットプロバイダー「ぷららネットワークス」です。この会社は、相次ぐ情報流出の被害を防止するためとして、今月から加入者が発信している情報を調べWinnyの信号を見つけた場合、強制的に通信を遮断することにしていました。ところが、これについて総務省は、「Winnyによる信号かどうか調べる際にプロバイダーは通信の中身を一部解読することになり、『秘密の保護』を定めた電気通信事業法に違反する」と判断しました。これを受けて「ぷららネットワークス」側は通信を遮断する措置を中止することになりました。総務省では、「Winnyの対策は重要だが、今回の措置は法律に触れる行き過ぎた行為で認めるわけにはいかない」と話しています。
-----(ここまで引用)-----

これはつまり帯域制限は合法だけど、パケットの完全破棄は違法だということでしょうか。
どの道、ユーザーから見れば事実上使えないのは同じなわけで、状況に変化はないでしょう。

参考リンク
米グーグルが初の意見書 総務省の通信政策に(Yahoo)
http://headlines.yahoo.co.jp/hl?a=20060515-00000222-kyodo-bus_all

-----(ここから引用)-----
米インターネット検索大手グーグルが総務省に対し、通信業界の競争政策に関する意見書を初めて提出したことが、同省が15日公表した意見募集の結果で分かった。
意見書は、インターネット上の特定の大容量のコンテンツ(情報の内容)について、通信事業者が通信速度を制限するなどして配信事業者や利用者を差別することがないよう求める内容。グーグルは米政府にも同様の要請をしている。
日本でもインターネットを通じた映像配信の普及に伴い、ネット上を流れる情報量が急増。通信事業者やネット接続業者は、一部の映像配信事業者がネットワークの品質に影響を与え、大多数の利用者の利便性を低下させている、と批判を強めている。
-----(ここまで引用)-----


・漠然と

いつのまにか「Winnyの脆弱性」の話は「無かったこと」になってますね。
P2Pウイルス騒ぎ>脆弱性発覚と来ましたが、ユーザーは減るどころかむしろ増えているというのもw

「Winnyユーザーは減っていない」,ネットエージェントが調査(ITpro)
http://itpro.nikkeibp.co.jp/article/NEWS/20060425/236182/


それにしても、BitTorrent、Winny、Shareを使い、ファイルの放流も行っているヘビーユーザーの「生の声」をぜひ聞いてみたいです。
つまりインタビューみたいなものをやれたら面白いかなと。テレビで何回か見たことはありますが(顔にモザイクがかかっていた)、インタビュアーはPCやP2Pの知識が充分とは言えず、突っ込んだ質問ではありませんでした。
以前にもちょっと書きましたが、そういうユーザーはまず出張ってこないので、接触する方法は無いんですけどね。
著作権物の放流は違法だし、このブログが当局の「釣り」でない保証もありませんからw
釣りでは無いんですが、それを信じてもらう方法がありませんw
  
Posted by at 17:30Comments(0)TrackBack(0)

2006年04月26日

続報その2:Winnyの脆弱性

Winnyから目が離せません。

デー:[Winny] Winnyを支える人々
http://d.hatena.ne.jp/ultraist/20060423
デー:[Winny] Winny開発、Winny使用 なにが間違いか
http://d.hatena.ne.jp/ultraist/20060424

21日に脆弱性が発表されたと思いきや、わずか1日で実証コードが作られ、さらに1日で対応パッチや、「バージョンアップされた改造版」が公開されています。驚きの連続です。開発者不在で、ソースも存在しないのに、です。ビル・ゲイツは彼らの爪の垢を煎じて飲むべきですw
これだけ高い技術を持つユーザーに支持されているということは、これはもう開発者が不在であっても、Winnyネットワークは非常に強固なものになっていると言えるのではないでしょうか。

各ISPがWinnyパケットの遮断(いわゆるWinny規制)を大々的に行わない限り、それ以外の方法ではWinnyネットワークは「アンタッチャブル」な領域に到達しています。
そして仮にそうなったとしても、高い技術を持つユーザーによって、すぐに別のP2Pソフトが作られるのは明らかです。

P2Pウイルス(暴露ウイルス)による被害がどんどん深刻になっていて、これはひょっとしたら京都府警が金子氏に出した「開発禁止令」を一部撤回し、ウイルスに対するパッチの作成、公開を許可するのではないか?と思っていたんですが・・・
全く予測がつきません。「Winnyは危ない」という認識が一般的になったほうが都合が良い、と思っているでしょうが、今回の脆弱性により、今までの情報流出とは比較にならないぐらい深刻な「暴露ウイルス」が登場する可能性があります。


・逮捕されないWinnyユーザー
警察としては逮捕したいけど、有罪にできそうにないからやれない、ということだと思います。
03年11月にWinnyユーザー2名が著作権法違反容疑で逮捕されて以来、まったく逮捕されていませんね。完全に放置状態です。
逮捕当時はIPを特定した方法が公開されておらず、またその著作物を送信状態にしていることを知っていたか(意識していたか)をどう判断したのか(無意識にキャッシュされていただけかもしれない)が話題になり、論議を呼びました。
「京都府警はもうキャッシュしただけで誰でも逮捕できる段階まで行っている」とか、いろいろな憶測を呼びました。
しかし、蓋を開けてみれば「スレッドを立てた人のIPだけは隠蔽できない」というWinnyBBSで、「○○(著作物)を流します」というスレッドを立てたからだ、ということでした。
私はあまりのしょうもなさに脱力した覚えがあります。

それ以降WinnyBBSはほとんど使われていないようで、そのためかまた別の理由からか、Winnyユーザーはひとりも逮捕されていません。
つまり、WinnyBBSでスレッドを立てて、かつ「著作物を放流します」と宣言しない限り、有罪までもっていける可能性は無い、ということなんでしょう。

金子氏を有罪にするのもかなり難しいと思いますが。

京都府警のWinny突破の手法が、ついに明らかに(asahi.com 2004/09/15)
http://www.asahi.com/tech/apc/040915.html



・その他続報のリンク
発見者が語る「Winnyのセキュリティ・ホール」(ITpro)
http://itpro.nikkeibp.co.jp/article/Watcher/20060424/236080/
「Winnyの脆弱性は悪用が容易な危険なもの」脆弱性を発見した米eEyeが警告(Watch)
http://internet.watch.impress.co.jp/cda/news/2006/04/24/11761.html
Winny2 リモートバッファオーバーフロー脆弱性(eEye)の和訳
http://www.scs.co.jp/eeye/advisories/AD20060421.html




・BitTorrentのトラフィックが凄いらしい

インターネット全転送量の3分の1はBitTorrent(GIGAZINE)
http://gigazine.net/index.php?/news/comments/20060418_31bittorrent/

P2Pによる帯域占有ですが、やはり世界的に深刻な問題になってきているようですね。

  
Posted by at 19:58Comments(0)TrackBack(0)

2006年04月23日

続報:Winnyの脆弱性

デー:Winnyの脆弱性は本当かも
http://d.hatena.ne.jp/ultraist/20060422/p2

「Winnyのセキュリティ・ホールは危険」,発見者が警告(ITmedia)
http://itpro.nikkeibp.co.jp/article/NEWS/20060422/235987/

Winny Remote Buffer Overflow Vulnerability(eEye)
http://www.eeye.com/html/research/advisories/AD20060421.html

-----ここから引用-----
# 公開すんなということで内容は消しました。
# ただ、政府の情報操作説は誤りで
# Winnyは本当に危険かもしれないということははっきりさせておきたい
とりあえず、Denial of ServiceでリモートからWinnyを停止させることは間違いなく可能なので実証実行ファイル。
-----(略)-----
影響を考慮して他のマシンに繋がらないように、プログラム内で自ホストのIPアドレスを取得しています。(localhost:127.0.0.1だとWinnyに弾かれるのでわざわざ取得します)
影響を考慮してポート番号はプログラム引数で指定。
   1. Winnyを起動(Winny2.0b7.1で試した)
   2. winnydos.batをエディタで開いて4000という数値を起動しているWinnyポートに変更
   3. winnydos.batを実行
実行すると、Winnyのノード情報のところに"Attacker"というクラスタのノードが2秒間ほど表示された後にWinnyが終了します。
影響を考慮して、実証実行コードは安全を心がけています。
-----(略)-----
Winnyはパッカーかましているから、そもそもデータ領域にコードがあるので、DEPが働かない可能性があると、Winnyの実装のお粗末さを語るスレの人がゆってた。
-----ここまで引用-----


実証コード出ました。
Winnyを落とすのは可能かもしれないなあ、とは思っていましたがもう作られるとは・・・ちょっと驚きです。
これを利用した「Winny荒らし」が出ると、Winnyネットワークはかなり打撃を受けるということになります。

Winnyは、パケットの解析を行わないと「隣のノード」のIPしか解らないはずなんですが、例えば「隣のノードを手当たり次第に落とす自動攻撃ツール」とかが作られてしまった場合、どの程度の被害になるのか想像がつきません。
もちろんそんなツールが作られ、公開されてしまえば、Winnyはまともに機能しなくなるでしょう。


特定のパケットを送っただけで落ちる、というのは本体パッチ以外では対応は難しいですね。


京都府警や著作権団体が「荒らしツール」の開発に成功したら、間違いなく匿名で公開するだろなーw


最後の部分ですが、パッカーを入れる(メモリに展開して実行するってことかな?)とDEPが働かない可能性がある、っていうのはちょっとどういう理屈か解りません。
解りやすい解説が読みたいです。
  
Posted by at 10:04Comments(0)TrackBack(0)

2006年04月22日

Winnyにバッファオーバーフローの脆弱性?

「Winny」におけるバッファオーバーフローの脆弱性(IPA)
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_74294680_winny.html
「Winny(ウィニー)」にセキュリティ・ホールが見つかる(ITpro)
http://itpro.nikkeibp.co.jp/article/NEWS/20060421/235941/
Winnyにバッファオーバーフローの脆弱性、回避策は「Winny利用の中止」(Watch)
http://internet.watch.impress.co.jp/cda/news/2006/04/21/11752.html
Winnyにバッファオーバーフローの脆弱性、回避策は「利用の中止」のみ(ITmedia)
http://www.itmedia.co.jp/enterprise/articles/0604/21/news073.html

金子 勇の JVN#74294680 への対応(JVN)
http://jvn.jp/jp/JVN%2374294680/182914/index.html

とりあえず、特殊なパケットを送ることにより、Winnyが異常終了する「可能性がある」ようです。
任意のコードを実行される「可能性もある」と書いてあるところもありますが・・・
金子氏のコメントにもある通り、その可能性はないと思われます。
あのIPAが、「一般的には任意の命令を実行される可能性があります」とか妙な表現を使っています。

確かにバッファオーバーフロー(バッファオーバーラン)が起こるということは、何が起こってもおかしくはないんですが、IEのバッファオーバーフローとかと比べて危険度はかなり下がります。
Winnyはもともと本体以外のものを実行するという動作をまったくしないからです(それが今までWinnyに脆弱性が存在しない、と言われていた要因の一つでもあります)。

コードを実行せるわけではなく、本体を誤動作させるとなると、ダウンロードリストに何かを登録されたり、特定のフォルダをアップロードフォルダにする、またはWinnyのリンクを切断する、などが考えられますが、それはさらに難しいでしょう。ファイルやキャッシュの消去は、Winnyがその機能を持っていないために、誤動作の範囲なら物理的に起こりません。
よって単に「Winnyが異常終了する脆弱性」であると思われます。


「IEの脆弱性情報」とかと違って、はなからフィルター付きで見ているような書き方をしていますが、そう思うのは私だけじゃあないと思います。
それだけWinnyは特殊だということです。

脆弱性の詳細を発表したり、実証コードのサンプルを公開したりしたら、たちまちユーザーによって、回避パッチが作られたり回避方法を公開されてしまいます。
また詳細を発表したら、それはその脆弱性を突いたウイルスを作られるということに直結します。
その脆弱性がどの程度危険なのか?現時点でどの程度検証されているのか?回避方法はあるのか?とか、
そういうのにかかわらず、詳細を伏せたまま「Winnyは危ない」というふうに思わせておいたほうが都合がいいわけです。
要するに「煽り」であり、「情報操作」である可能性が高いと思うのです。



危険でも何でもなく、「Winnyが異常終了する可能性がある」程度のもので、さらにまだ何も解析できていない、というふうに予想しています。


ただ、可能性は非常に低いと見ていますが、万が一、「何かのコードをロードされ、実行される脆弱性」が存在した場合、このエントリの内容なんぞは全く無意味になりますが。


サイバーナリッジ:P2Pウイルス
http://blog.livedoor.jp/s_hitomi1/archives/50071968.html

-----ここから引用-----
アングラやP2Pをやるな、と言うのは簡単なんですが、ある程度やっている人はすでに味をしめていることが多く、あまり効果がありません。
よって以前から言っているように、「アングラやP2Pをやるのならば、そのPCには絶対に個人情報を入れないこと」
最低限これだけは守りましょう。
-----ここまで引用-----

ある程度知識があり、対策を行っているWinnyユーザーに対しては、「何かのコードを実行されてしまう」といった「最悪のケース」だった場合でも、被害は限定されたものになると思われます。そうでない「一般ユーザー」だと、まさに最悪となりますが・・・

Winnyネットワークが一時的に機能しなくなったり、あるいは巨大なボットネットと化してしまう、という可能性もありますね。



あまり関係ありませんが、ダウンロードリストに特定の文字列を登録すると、Winnyが異常終了するバグは以前から確認されています。

  
Posted by at 00:53Comments(0)TrackBack(0)

2006年04月19日

高木氏とessa氏のやりとりが面白い

非常に興味深いやりとりがなされています。これは必見。

高木浩光@自宅の日記:Winnyネットワーク崩壊への最終シナリオ
http://takagi-hiromitsu.jp/diary/20060416.html

アンカテ:バグ有りWinnyとバグ無しWinnyはやはり区別すべきだと思う
http://d.hatena.ne.jp/essa/20060418


このエントリは双方とも、大部分が納得させられます。
相反している部分では、私はどちらかと言うとessa氏寄りですね。

いくつか気がついたことを。

-----ここから引用-----
一方、Winnyネットワークからダウンロードだけするプログラムが作られて無償配布されると、流出ファイルのお宝探しをしていた報道関係者たちが、Winnyを使うのではなく、ダウンロード専用プログラムを使うようになる。
これによって、ようやくマスメディアが、中継するだけでも違法性がある可能性について語り始める。それまではそれを語ることができなかった。なぜなら、 Winnyの実態を報道するためにはWinnyを使わざるを得ず、Winnyの中継を違法ということにしてしまうと、自分の首を絞めることになるからだ。実態が報道されないのはより悪いことだ誰もが思うため、それまでは誰も(表では)そのことに触れないできた。
その状況を踏まえて、ネットランナー等がDOM(ダウンロードするだけの行為)を推奨する。DOMが増大し、DOMだけとなり、Winnyネットワークは消滅する。*3
-----ここまで引用-----

今まで存在した全ての「ファイル交換ソフト」で、その比率は違えどDOMはずっと存在したし、現在も存在しています。
もちろんWinnyユーザーにもDOMはいます。
WinMXのような、「自分のほしいファイルを送信してくれる人にしかこちらも送信しない」というのが主流のシステムでさえ、DOMは大量に存在していたし、DOMでもファイルのダウンロードはできていました。

Winny上でDOMはそれほど難しくなく、かなり簡単に行えるそうです。もちろんアップロードだけでなく、中継もしないということです。
そういう状態でキャッシュファイルを残さないようにすれば「完全DOM」となります。

「フリーソフトウェア」は、ダウンロードして使う人全員が「完全DOM」のようなものです。つまり「DOMが増大し、DOMだけとなり」という状態です。
しかしフリーソフトウェアを公開する人はまったく減少する気配はありません。

「フリーソフトウェア」は、ユーザーからの意見や感想で、自分の作ったソフトウェアが有益に働いている、という実感を得られれば、それは新たなファイルを公開する意欲につながるでしょう。こう見れば「DOM」ではありません。
「Winnyにファイルを流す人(一次放流を行う人)」は、そのような見返りが全く存在せず、そこにあるのはリスクだけです。それなのに、今でもWinnyにファイルを流す人は大量にいます。これはどういうことなのでしょうか?
フリーソフトウェアを公開しても反応がなく、作者が新たなソフトウェアを開発する意欲を失ってしまう、というのは普通に考えられるパターンでしょう。
しかし「Winnyにファイルを流す人」には最初からそういう要素がありません。それなのにファイルを流しているわけです。

これはつまりDOMが増えようが増えまいが、Winnyにファイルを流す人は決してなくならないということです。常に新しいファイルが流れ続けるということす。DOMの割合が増え、ファイルのダウンロードが遅くなることはあるでしょう。しかしWinnyネットワークの縮小や消滅とは、「DOMの数」はあまり関係がないということになります。


「Winnyにファイルを流す人」は、それが著作権物であってリスクがあろうが、他人の個人情報であろうが、DOMだらけになろうが、ファイルを流すでしょう。
なぜでしょうか?
こればかりは「Winnyにファイルを流す人」に聞いてみないとわかりませんね。彼らはなぜそうするのでしょうか。

どのような方法で接触すればいいのか不明ですが。



私としては「Winnyのが悪かそうでないか」というのよりも、「京都府警が悪」というふうに思えてなりませんw

今、最も効果があるのは何か、それの最大の障害は何か、と考えると、それは「金子氏にウイルス対策アップデートを行ってもらう」であり、「京都府警が出した開発停止命令」でしょう。
金子氏は「禁止されているのでできないが、5分もあれば簡単な対策なら行える」と言っています。

著作権問題の訴訟を放棄しろ、と言っているわけではありません。いや、それはむしろ徹底的に細かい所まで争ってもらいたいです。
簡単に解決できるのなら、「情報流出の対策」だけでも即座に行うべきだ、と言っているわけです。

将来を見越した法整備や、対策方法、対策ソフトなども確かに重要でしょう。
しかし、今現実の脅威になっているものの優先順位は最上位のはずです。

警察や自衛隊から機密情報が流出しているのに、ますます状況は悪化しているのに、国民の税金を40億円も使われたのに、まだ放置しているのは京都府警です。

諸悪の根源は京都府警です。
  
Posted by at 01:38Comments(4)TrackBack(0)

2006年04月14日

ついに在日米軍の機密も流出


まず、昨日のエントリの続きです。

デル、防衛庁の情報流出再発防止でPC5万6000台受注(ITmedia)
http://www.itmedia.co.jp/enterprise/articles/0604/13/news037.html

-----ここから引用-----
官給品PCの緊急調達を決定した。その仕様として、Winnyなどのファイル共有ソフトの起動禁止設定や、ウイルス対策ソフトによる検知削除機能などを備えることなどを要求していた。
デルでは、あらかじめ防衛庁の仕様に適合するオフィスソフトウェアやウイルス対策ソフトなどカスタマイズされたイメージを、全PCにプリロードした状態で納入する。
-----ここまで引用-----

はははははは・・・
昨日書いた通りでしたね・・・
その程度のことで5万6000台のPCを制御できると思ってるんでしょうか?

予言します。
「この5万6000台のPCから、必ず何らかのデータが流出します」w



三沢基地のデータ流出、安全管理脅かす恐れも(毎日新聞)
http://www.mainichi-msn.co.jp/shakai/wadai/news/20060413k0000m040154000c.html

-----ここから引用-----
在日米軍三沢基地(青森県三沢市)内に入るために必要な通行許可データや、登録された車のナンバーなどとみられるリストが、ファイル交換ソフト「Winny(ウィニー)」を介してネット上に流出していることが12日、分かった。これらのデータは、表記によると現在も有効期限を過ぎておらず、専門家は基地の安全管理を脅かす恐れもあると警告している。
毎日新聞が入手した資料によると、リストは英文で作られており、ファイル作成者欄には日本人名があった。流出したのは3月下旬とみられる。
出入りの工事業者109人分の通行許可証のナンバーと、車の入構証77台分が含まれていた。このほか、氏名や性別、生年月日、会社名、作業内容などが記されていた。
今年3月に同基地内で建物の修繕改築工事を行った際の出入り業者のリストらしい。リストに載っていた青森県内の土木会社は「3月ごろ、三沢基地内で作業を行っていた。リストに載っている人物はいる」など、実際に工事が行われ、社員が実在していることを認めている。
このリスト以外にも英文の工事報告書が複数含まれ、契約者欄には三井造船の名が記載されていた。同社広報室は「担当者がつかまらないので分からない。事実関係を調べて対応したい」としている。
在日米軍司令部広報部(東京都)、在日米軍三沢基地報道部はともに「担当者がいないのでコメントできない」としている。一方、外務省や防衛施設庁は「コメントする立場にはない」と話している。
三沢基地は、1942年に三沢海軍航空隊の飛行場として開設された。戦後は米軍に接収され、F16戦闘機の実戦部隊である米空軍第35戦闘航空団などを配備。航空自衛隊と共同使用している。
軍事アナリストの小川和久さんの話 三沢基地には、通信傍受施設「ゾウの檻(おり)」があり、米軍にとっては極めて重要な基地。流出した資料で基地の通行許可証を偽造し、出入り業者になりすまして基地内に侵入される事態も予想され、万が一、テロ集団による破壊活動に使われれば、米軍の世界戦略にも大きなダメージを及ぼす。同時多発テロ以降、テロ対策に神経をとがらす米軍にとっては、衝撃的な事態だろう。【サイバーテロ取材班】
-----ここまで引用-----

消防署、警察、自衛隊ときて在日米軍も敗れました。
仁義なきブログによるとファイル名は日本人のもので、自衛隊と違い軍事機密は入っていなかったみたいです。ただ通行許可データとかは怖いですね。

  
Posted by at 01:36Comments(1)TrackBack(0)

2006年04月13日

4月の月例パッチ、防衛庁の漏洩対策

MS、IEの「緊急」の脆弱性などを修正 - ActiveX仕様変更で適用には注意(PCWeb)
http://pcweb.mycom.co.jp/news/2006/04/12/014.html

月例パッチ来ました。
ざっと見た感じでは、特に重大なものは無いようですが、忘れずに当てておきましょう。
私はIEやエクスプローラを使っていないので、今回のパッチはあまり関係がありません。

まあIEに関しては、Geckoでうまく表示できないページがあったりするので、全く使わない訳にはいきませんが。

ちょっと話が反れますが、一応念を押しておきます。
メジャーなものほど、「悪意があるコード」の標的にされます。IEやエクスプローラはまさにそれに該当し、さらにあらゆる面の性能でフリーソフトにすら劣っており、しかも笑えるような脆弱性が次々に発見されています。

それを理解したうえで使っているのならいいんですが、デフォルト設定のままで、何も意識せずに、何もセキュリティリスク対策をせずに使っているようでは話になりません。もうそんな時代ではないんです。



防衛庁が情報漏洩防止策、「Winnyが動作しない」PCを56,000台支給(watch)
http://internet.watch.impress.co.jp/cda/news/2006/04/12/11606.html
パソコン購入や検査強化 防衛庁「ウィニー」防止策(yahoo)
http://headlines.yahoo.co.jp/hl?a=20060412-00000061-kyodo-soci


太っ腹ですね。
ユニアデックス、デルはWinny騒ぎに乗じて、「濡れ手に粟で40億円」の大儲けになりましたw
他のIT関連企業も、今は大きなビジネスチャンスだと言えるでしょう。

「Winnyが動作しないことを保証」って、カーネルの解析、書き換えとか相当高レベルのことをやらないと、「保証」なんてできないと思われますが、本当にできるのならば、他にも大量発注が来るかもしれませんね。
デルの普通のPCに、レジストリ登録とWinnyの起動を禁止するプロセスを常駐させるだけとか、実際は「笑えるマシン」な可能性もありますが。


このマシンを使って、「Shareで軍事機密情報流出」なんてことにならないようにお願いします。その40億、元は税金ですからね・・・
  
Posted by at 01:33Comments(0)TrackBack(0)

2006年04月05日

愛媛県警の不正が「流出」、Winnyの今後は?

*スラッシュドット・ジャパンほか:Winnyによって愛媛県警の不正が「流出」

http://slashdot.jp/articles/06/04/04/1224223.shtml
http://www.asahi.com/national/update/0404/OSK200604030107.html

これは面白い。
P2Pウイルスも捨てたもんじゃないですね。
京都府警だったらもっと面白かったんですが。


*Winnyの今後は?

ぷららに続き、@niftyもWinnyの規制を行うと発表しました。
ここのところの連日の騒ぎで、「Winnyは悪で、規制もやむを得ない」という空気になってきてますね・・・

まあ、ISPからすれば、ユーザーがウイルスでHDDを破壊されようが、プライバシーを完全公開されて人生終わろうが、機密を流出させてクビになろうが知ったこっちゃないでしょうが・・・
ISP側から見た場合の問題は「帯域占有」なわけで、ウイルスやら流出やらは全く関係ないんですが、このタイミングはうまいですね。

今後は、他の大手ISPがこの流れに追従するかどうかがひとつのポイントになります。いくつか、想定されるパターンを考えてみましょう。

ぷらら、@niftyの会員数減少が深刻だった場合は、「追従しない」というパターンが考えられます。しかし別の意味で、P2PユーザーはISPから見ると、利益率が悪く寧ろ追い出したい「悪い客」と見ることもできます。
つまりP2Pの規制によってユーザーが減少しても、利益(率)が上がっているのなら、それはプラスの効果だということです。

また別に、帯域占有を行うユーザーは必ず一定の割合で存在するので、それを踏まえた上で運営したほうが良い、という見方もあります。
「何らかの規制を行っている」という情報は、新規ユーザーに良い影響はありません。「ストリーム動画がカクカクだったり、ダウンロードが重かったりするんじゃないか?」と思ってしまうのは普通の心理でしょう。それによってそのISPを選択肢から外すのも普通の心理でしょう。

ぷららや@nifty以外の大手ISPでは、大規模な規制を行っていないところもあり、そういうISPも普通に運営できているようです。よって、最も可能性が高いのは、「追従するISPもあるだろうが、そこまで規制一色にはならない」という流れだと思われます。

逆のパターンとしては、ぷららや@niftyの会員数がそこまで減らず、さらに帯域占有を行うユーザーがいなくなることによりトラフィックが軽減されて、逆に新規ユーザーが増える、という「ISP側から見た好循環」になる場合が考えられます。

この場合は、大手ISPも規制を行う流れになる可能性があります。しかし、遅れてしまうとインパクトは薄いです。実はぷららも@niftyも、発表以前からある程度の規制は行っていたので、一般ユーザーに対するアピールであるという一面もあるでしょう。

例えば、日本の全ISPの半分が規制を行ったとします。となると、そのISPを使っていたWinnyユーザーは、規制が少ないISPに乗り換えるでしょう。すると、今度はその「規制が少ないISP」が帯域占有に悩まされることとなり、規制がきつくなる、という「ユーザー側から見た悪循環」に陥る可能性があります。

その悪循環に陥ってしまう可能性があるということは、Winnyが事実上壊滅する可能性があるということです。



現在のWinnyネットワークのノード数は不明ですが、50万〜100万の範囲であると思われます。これだけの規模になってしまうと、半分どころか、90%が規制されてもあまり影響はなく、普通に使えるでしょう。99%が規制され、5000ノードになってしまってもある程度は機能すると思われます。

さらに、Winnyが99.9%規制されて事実上使えなくなってしまったり、あるいはそういう流れになってしまった場合、Winnyに代わる「別のピュアP2Pソフト」が登場するのはおそらく間違いないと思われます。現在、日本でそういった新しいP2Pで有力なものが出てこないのは、Winny、BitTorrent、Shareが充分「実用的」だからというだけです。Shareの開発者は逮捕されていないし、海外鯖、串、ネットカフェやネットが使えるサービス、グレ電とプリペイドプロバイダ、現存するP2Pソフトを組み合わせて使えば、完全に匿名で、「開発者の追跡が不能な状態」でソフトを公開するのはそれほど難しいことではありません。

ISPとしては、「規制>新P2Pソフト>規制」という「イタチごっこ」は予見しているでしょう。

以上のことから、Winnyネットワークが壊滅する可能性は確かにありますが、それはかなり低いと思われます。



あと他には、仮にP2P規制法のような法律が可決された場合にどうなるかですが、これはまた別の機会に。

  
Posted by at 00:26Comments(0)TrackBack(0)

2006年03月30日

Winnyは安全?

Winnyによる一連の情報流出事件に関して、総括的ないい記事がありました。長くなるので引用はしませんが、参考にしてみてください。

Winny流出には「P2Pネットワークポイゾニング」が有効
http://internet.watch.impress.co.jp/cda/event/2006/03/27/11378.html


今までこのブログで「Winny」という名前をあまり出さず、主に「P2Pソフト」と書いていたのには、理由があります。
WinnyはピュアP2Pソフトなので、「ピュアP2Pソフトが抱える潜在的な危険性」からは逃れられません。
しかしWinnyには、いくつか小さなバグはありますが、未だにセキュリティホールが発見されておらず、視点を変えれば「Winnyは安全であり、IEやWindowsのほうがはるかに危険」であるとも言えるのです。
Winnyで猛威を振るっているP2Pウイルスは、ユーザーの誤操作で「誤って実行してしまった」場合がほとんどで、IEなどのように「ちゃんと操作してもコードが実行されてしまう」といったものではありません。

Winnyという、ここまで広く使われることになった「大規模なファイル拡散が可能なピュアP2Pソフト」に、もしIEのようなセキュリティホールがあった場合、どのようなことになるか、考えただけでも恐ろしくなります。

ここのところのマスコミ・ネットでのニュースで、「Winnyが悪い」というようなイメージを持った人が多いと思われますが、それは間違いです。
しかし、P2PやP2Pウイルスの危険性を広くアピールできたという点では成果はあったと思います。


参考リンク
「Winnyは悪くない、悪いのはウイルスであり、感染する人だ」--開発者の金子氏
http://japan.cnet.com/news/sec/story/0,2000050480,20098331,00.htm

-----ここから引用-----
弁護側は「Winnyは優れたソフトウェア。最近、Winnyそのものがウイルスであるかのように報じられているが、Winnyの機能を理解した上で報道してほしい」と語った。
金子氏も「ウイルスによる情報漏えいは残念で、私にとって予想外の事件だ。問題なのはWinnyではなく、ウイルスを作った人、ネットワーク上に流す人、そして感染する人」と話す。情報を漏えいさせないためには、「PCを共有しないこと、(データを)家に持って帰らないこと、悪質なプログラムを実行しないこと、そしてWinnyを理解できない人は使わないこと」が有効と述べた。
-----ここまで引用-----


私の言葉で言うと、「Winnyは安全だけど、ピュアP2Pソフトである以上、潜在的な危険が存在します。使うのなら決して油断してはいけません」といったところでしょうか。
P2Pウイルスの危険性は言うまでもなく極大で、それに感染してしまう人が悪いのです。何の対策もせず、何も意識せずに使うのならば、そのうちにあなたのプライバシーがネットに垂れ流されるようになるでしょう。

  
Posted by at 23:00Comments(0)TrackBack(2)

2006年03月20日

山田オルタナティブ


某新聞で1面トップで報道され、広く知れわたるところとなった「山田オルタナティブ」について詳しく調べてみました。
状況にもよりますが、山田オルタナティブは今まで紹介してきた「P2P寄生型ウイルス」と比べるとたいしたことはありません。

「山田オルタ」は、それ自体がピュアP2Pとして動作するウイルスです。よってかなりの技術がある人が作ったと思われます。
現在の感染源はP2Pで共有されたファイルのようですが、これは要するに感染源以外はP2Pソフトとは何の関係も無く、通常のDLやファイルアップローダー、UGサイト、リムーバブルメディアからの感染も考えられます。
初期接続ノードは、起動された時に特定の掲示板にIPを暗号化した文字列を自動的に投稿し、それを読み取ることにより取得します。
「山田オルタ」が今までのP2P寄生型と比べてそれほど脅威ではないのは、いくつかの要因によります。

・「山田オルタ」によるP2Pネットワークがそれほど大規模にならない
山田オルタはそれ自体がピュアP2Pとして動作するウイルスですが、そのネットワークは山田オルタ感染者のみで構成されます。つまりある程度まで拡大すれば、それ以上の拡大はまず起こらないと考えられるからです。
セキュリティに注意を払っている人はまず感染しないし、ウイルス対策ソフトもすでに対応しているのが多いです。P2Pソフトをインストールする人は非常に多いですが、山田オルタに感染する人はごく少数だからです。さらにP2Pウイルスと違いPFWで対応可能なので、そこでブロックされる可能性もあります。
・山田オルタによるP2Pネットワークは比較的短い期間で停止する
すでにほとんどのウイルス対策ツールで対応され、どんどん駆除されていきます。さらに初期接続ノードを取得する掲示板が削除されれば、それ以上の拡大は物理的に起こりません(感染してもIPを告知する方法がないので情報流出の経路が構築されず、流出が起こらないため)。
これは時間と共に拡大するP2Pネットワークと違い、比較的すぐに寿命が来るということです。私は1ヶ月ももたないと思っています。

それ自体が独自に動作をする、ということは「P2P寄生型」と違い、P2Pソフトが実行されていなくてもデータの流出が起こる、という点では危険です。
また「山田オルタ」に感染していると、外部からPCを自由に覗けてしまう、という点でも危険だといえます。

しかし従来のP2P寄生型のウイルスは、データ流出の規模が山田オルタと比べて比較にならないぐらい深刻な上に、ネットワークの停止が不可能で、何年間も「ダウンロードが可能」な状態になってしまいます。


「たいしたことはない」と書きましたが、あくまで従来のP2Pウイルスと比べて、という点は理解してください。
個人情報の漏洩があるということは、基本的に相当危険だということです。

外部から自由に情報を取り出せてしまうということは、「山田オルタ」で重要な機密情報を盗まれれば、それを何者かにP2Pで公開されてしまう可能性もあるでしょう。

「山田オルタ」は大々的に報道されましたが、ここのところのデータ流出ニュースはほぼ全てが従来のP2Pウイルスによるものです。

「山田オルタ」は確かに危険ですが、P2Pウイルスのほうが比較にならないぐらい危険です。


参考リンク
http://www.geocities.jp/dkstr_hamar/alter/alter.html
http://www.geocities.jp/dkstr_hamar/
http://blog.livedoor.jp/hpg/archives/50071167.html


  
Posted by at 23:50Comments(0)TrackBack(0)

2006年03月17日

ウィニー問題で首相

ウィニー問題で首相
http://www.yomiuri.co.jp/politics/news/20060315ia22.htm

他社ISPのWinnyとの通信も遮断、ぷららがWinnyの完全規制を決定
http://internet.watch.impress.co.jp/cda/news/2006/03/16/11279.html
「P2Pファイル共有ソフトの使用は脅威を認識してから」JPCERT/CCが警告
http://internet.watch.impress.co.jp/cda/news/2006/03/16/11278.html
アップデートテクノロジー、家庭でも利用可能な法人向けWinny阻止ツール
http://internet.watch.impress.co.jp/cda/news/2006/03/16/11281.html

ここのところネタが多くて尽きませんね・・・
ってまあ、ネタが多すぎて、もはや一般企業からのデータ流出とかはネタと思わなくなってきているだけかもしれませんが・・・
安倍長官に続き小泉総理も発表(PC詳しくないみたいですねw)、ぷららが完全ブロック宣言、そして便乗商品までw

どこもかしこも、何か間違ってるような気がしないでもないですが・・・

まあ、これら一連の事件で、セキュリティに関する関心が高まってくれることを祈ります。それが最も重要ですから。
ウイルス対策ソフトの会社は売り上げを伸ばすチャンスだ、とばかりにPRに力を入れてくるでしょうが、あまり乗せられないようにしましょうw
そういうのを買うよりも、セキュリティに関心を持ち、検索し、勉強し、できる限りの対策・予防をする。解らない用語が出てくればまた検索する。
こっちのほうが100倍は効果的で、しかもお金はかかりません。

旧HPでウイルス対策ソフトを軽く斬っているので参考にしてみてください。   
Posted by at 00:50Comments(1)TrackBack(0)

2006年03月16日

安倍官房長官の呼びかけ、制御不能なピュアP2P

内閣官房情報セキュリティセンター:
Winnyを介して感染するコンピュータウイルスによる情報流出対策について
http://www.bits.go.jp/press/inf_msrk.html

「Winnyを使わないで」安倍官房長官が国民に呼びかけ
http://internet.watch.impress.co.jp/cda/news/2006/03/15/11252.html

さすがに機密漏洩が警察・自衛隊と来て焦ったのか、安倍長官が発表を行うという異常状態になりました。
しかしこれはP2Pを知らない人が見ると、興味をそそられてさらにユーザーが増える、といった結果になる可能性もありますね。

私は、こういう発表はあまり効果がなく、今年に入ってからのこの異常事態は年単位で続くと予想していますw

参考リンク
http://www.microsoft.com/japan/athome/security/online/p2pdisclose.mspx
http://www.trendmicro.com/jp/security/report/news/archive/2006/vnews060302.htm
http://www.mcafee.com/japan/about/prelease/pr_06a.asp?pr=06/03/09-1
http://www.ipa.go.jp/security/topics/20060310_winny.html
http://www.ipa.go.jp/security/topics/20050623_exchange.html
http://www.atmarkit.co.jp/news/200603/15/winny.html
http://www.atmarkit.co.jp/news/200603/16/winny.html

http://internet.watch.impress.co.jp/static/index/2006/03/10/


Winny開発者が講演「ウイルスの対処は可能だが現状では身動きが取れない」
http://internet.watch.impress.co.jp/cda/event/2006/03/13/11214.html

Winnyのウイルスがこれほどまでに問題になってしまったのは、前回書いたように、バージョンアップができない状態という一つの要因があります。
開発者の金子氏を逮捕し、バージョンアップをさせないように誓約書を書かせた警察ですが、その警察がウイルスに感染して機密データを流出させてしまうとは、笑うに笑えない状況ですね・・・

警察は開発の再開を許可するべきです。職員にP2P禁止令を出すのも効果はあるでしょうが、次バージョンを作ってもらうのも効果があります。警察や自衛隊から機密データが流出し、そしてそれは今後も起きる可能性があります。国民の安全を守るのが公安の仕事のはず。メンツに拘っている場合ではないです。

仮にP2Pネットワーク上からファイルを削除できる機能が追加されれば、それはウイルス対策と同時に、著作権問題の解決にもつながります。


とここまで書きましたが・・・実際にここまで大規模になってしまったピュアP2Pネットワークはもはや制御不能であり、管理しようと思っても相当な困難が予想されます。
何らかの形で、ファイルの削除機能や、転送を抑制する機能を追加したバージョンを公開しても、今のユーザーがそれを使うとは思えないからです。
よって一部のノードが削除機能を持っていても意味がなく、一部のノードが削除指示を出すような仕組みも無意味となります。

今後生まれてくる新しいピュアP2Pに関しては、あらかじめ削除機能を搭載したものも出てくる可能性がありますが、それはBitTorrent、Winnyのような規模まで広まることはありません。
削除指示を出す特別なクライアントが、外部に漏れた瞬間にそのP2Pネットワークは壊滅するからです。あるいは削除指示の暗号化が破られた時も同じで、これは時間の問題です。
全てが同一のクライアントで、かつ極めて強固に暗号化された削除指示ルーチンが可能だとしても、削除すべきファイルとそうでないファイルをどう区別するのかが非常に難しい問題になります。
これはファイルの削除に限らず、特定のファイルの転送のブロックや、特定のノードをネットワークから締め出す機能などの場合でも大差はありません。
何かいい方法はないかと考えてみても、なかなか思いつきません。金子氏は「可能になるはず」と言っていますが、一体どういう方法を考えているのか、非常に興味があります。

Winnyはヘボい!? 金子勇氏「次世代P2Pソフトは管理も可能になるはず」
http://internet.watch.impress.co.jp/cda/event/2006/02/20/10940.html


用語解説:ピュアP2P
中央サーバーを持たない、基本的に全て同一のクライアントによるファイル共有ソフトのこと。
ネットワーク上は全てのノード(PC)が「ユーザー」で、対等な存在であるためにIDでの管理やファイルの流通の管理が不可能とされています(転送効率のための「階層化」は別)。
初期状態ではクライアントはどこに接続すべきかの情報がないので、それを解決する方法が必要になります(初期接続ノード)。
障害に強く、ネットワークの一部が寸断されても別の経路から通信が行えますが、管理が不可能ということは、一旦動き出してしまうとそれを止めるのも難しいということです。
主要ISPや中継ポイントでパケットのブロックをすれば停止することはできますが、それは一部で行っても意味がないので、大手ISP全て、つまり日本全国に何万台あるか解らないサーバー全てに行う必要があります。

これに対してハイブリッドP2Pは中央サーバーを持ち、その中央サーバーがネットワーク全体を管理します。単にファイル共有ソフトだけでなく、いろいろな種類のソフトがあり、商用のものもあります。
メッセンジャー、ICQ等のコミュニケーションソフト、各種グループウェア、さらにワールドサーバーを持たず、ロビーサーバーから他PCに接続するネットゲームもハイブリッドP2Pであると言えます(IRCは全て中央サーバーを介するために含まれない)。
ピュアP2Pと比べての欠点は、中央サーバーが必要なので誰かがそのコストを負担しなければならないということと、中央サーバーがダウンするとネットワーク全体が停止してしまうことです。




P2Pの技術で、Skype、FolderShareのような先進的なソフトも登場していますが、「P2Pウイルス祭り」がまだ続くのなら、そのうち「P2P規制法」みたいなのが国会で可決されるかもしれませんね。   
Posted by at 00:56Comments(0)TrackBack(0)

2006年03月13日

愛媛県警、全職員に誓約書

「ウィニー使いません」 愛媛県警、全職員に誓約書
http://headlines.yahoo.co.jp/hl?a=20060310-00000297-kyodo-soci

-----ここから引用-----
 愛媛県警警部(42)のパソコンから捜査資料がインターネットに流出した問題で、県警は10日、全職員約2700人にウィニーなどのファイル交換ソフトを使わないなどとする誓約書を書かせると発表した。
 誓約書は(1)公務に使うパソコンやフロッピーディスクなどを許可なく外部に持ち出さない(2)私物パソコンであってもファイル交換ソフトを入れない−の2項目。
 県警は、警部のパソコンが感染したのが、情報を外部に流出させる恐れのある「アンティニー」と呼ばれるコンピューターウイルスだったことも明らかにした。
-----ここまで引用-----

愛媛県警、今後の予防策として手を打ちましたね。とは言ってもすでに1回流出はしてますがw
自衛隊もなんらかの方法を考えたほうが良いでしょう。前回書いたとおり、P2Pウイルスによる情報漏洩は、重大な危機である上に、これまでの方法では回避できないと思われます。

ところで、なぜ日本だけこのような状態になったのでしょう。
アメリカ発のニュースをいろいろ検索してみましたが、確かにP2Pによる情報漏洩は起こっているようですが、その数は日本よりはるかに少なく、また日本のように「公安機関からの流出」などは見つけられませんでした。しかし逆に、従来のようなサーバーへのアタックにより機密情報が盗まれたり、破壊されたりする事件は日本より多いようでした。

いろいろな理由が考えられますが、Winny、Shareはアメリカで主流のBitTorrentと違い1次配布者の特定が難しく、またバージョンアップ(ウイルス対策の追加、強化等)が全くされていない(今後も期待できない)からだと思われます。

BitTorrentは大きいファイルの配布に効果的に使われており、非常に高速で、サーバーの回線が貧弱でも、簡単にファイルを公開できます。すでに大手サーバーでも利用されています。しかし一方で、違法ファイルの流通はやはり大問題になっています。

FTTH、いやCATVやDSL回線ですら、その能力を使い切るのはP2P以外には無い、と断言する人もいます。つまりP2Pを使っていない普通の人は、その能力のほとんどを無駄にしているわけです(だからISPが運営できるんだ、という見方もありますがw)。

将来、すべてのPCがP2Pで接続され、今で言うところのプロバイダ、サーバーがなくなる日が来るかもしれません。

著作権問題、セキュリティ問題・・・しかしP2Pは、闇に葬るにはもったいない技術です。
  
Posted by at 00:07Comments(0)TrackBack(0)

2006年03月08日

事実上回避不能?

参考リンク:仁義なきブログ
http://ameblo.jp/jingi-naki/

陸自サバイバルレシピ流出「昆虫の食べ方」
http://www.zakzak.co.jp/top/2006_03/t2006030201.html

先の流出騒ぎに続き、陸自や別の海自輸送艦のデータが流出しました。
どうやら、去年までにも自衛隊の機密データが流出したことがあったようです。

URLを失念してしまい申し訳ないんですが、自衛隊幹部の発言で、「セキュリティ対策も、セキュリティ教育も慎重に、完全を目指してやっている。流出させてしまった人物への処罰も厳重に行っている」というのがありました。
以前の記事で「セキュリティ教育が甘いのではないか」と書きましたが、私の認識不足でした。さすが自衛隊、ちゃんとやっているようですね。
まあ、「この発言を信用すれば」という条件があるんですがw

しかしこれは、「ある程度の規模の組織になると、P2Pウイルスによる情報漏洩が事実上回避不能である」ということを意味します。

P2Pウイルスが怖いのは、全て流出させた人個人の責任になってしまうからです。
組織内の人の個人情報が流出されれば、その人に何らかの被害が及ぶかもしれない。
顧客情報が流出されれば、信用問題になる。上場企業なら株価にも影響があるかもしれない。それも全て、流出させてしまった人の責任になります。

以前から言っているように、HDDの内容を全部削除するウイルスなどは、ちゃんとバックアップをしておけば、被害は無いのと同じです。再構築すれば終了です。
フィッシィングとかになると、金銭的被害が出ます。単なる代引きの買い物とかだと、そんなに多額の買い物をするとは思えないので、仮に油断して釣られてしまったとしても、そこまで深刻になることはあまりありません。しかし銀行のネットバンキング等の金融機関サイトや、クレジットカードの番号を使う場合などではそうもいきません。
自宅PCから自分の個人情報が流出してしまったとなると、かなり痛いです。例の政治家とか、理研事件(後述)のレベルになるとダメージは大きいです。
会社等の組織から社員の個人情報や機密ファイル、顧客情報などを流出させてしまった。または自宅PCから同様のデータを流出させてしまった。こうなると最悪です。

Winny禁止も止められず、岡山県警倉敷署の巡査長が捜査資料を流出
http://internet.watch.impress.co.jp/cda/news/2006/03/06/11128.html
操作情報流出:「最重要」流出に衝撃 愛媛県警
http://www.mainichi-msn.co.jp/shakai/jiken/news/20060307k0000e040079000c.html
http://www.mainichi-msn.co.jp/shakai/jiken/news/20060307k0000e040074000c.html
その他参考リンク
http://www.ipa.go.jp/security/txt/2006/03outline.html
http://internet.watch.impress.co.jp/cda/news/2006/03/03/11102.html
http://internet.watch.impress.co.jp/cda/news/2006/03/03/11101.html
http://internet.watch.impress.co.jp/cda/news/2005/06/23/8131.html

サイバーナリッジ:P2Pウイルス
http://blog.livedoor.jp/s_hitomi1/archives/50071968.html
サイバーナリッジ:P2Pウイルスとは?
http://blog.livedoor.jp/s_hitomi1/archives/50149571.html

跡地(旧HP)より少しログ引用しておきます。
-----ここから引用-----
一番最悪なのが、全く警戒せず何の対策もせずに、社内LANや営業用ノートPCで
UGやP2Pなどをやる事。
その次が、ノートンやバスター等を入れて、安心しきってUGやP2Pをやる事。
ノートンやバスターを入れていても、それで安心しきって何の警戒もしていないと、
危険なことに変わりはない。
アンチウイルスを入れようが入れまいが、そこまで変わらない。重要なのは警戒する
ポイントを押さえることと、怪しいモノは「とりあえず疑ってみる」ということ。
できる限りの予防処置をやっておくということ。
P2PやUGなどをするマシンには、個人情報や企業の顧客情報などを入れないこと。
「回線速いから会社からP2P」とかもはや論外。
簡単に使えるファイルアップローダーも、基本的にULされたファイルは信用できたものではなく、
出所は不明に近く、カテゴリはUGになると思われるので、DLする時は「まず身構える」 のを忘れずに。
繰り返しますが「まず身構える」これを忘れないように。
「うっかりダブルクリックであぼーん」という被害報告は非常に多いですよ。
-----ここまで引用-----

*理研事件とは
理化学研究所(http://www.riken.jp/)に勤務する女性が個人情報その他を流出させた事件。実名、住所、および引越しや転職の経歴、買い物の履歴、友人や職員を含めた写真多数が完全公開され、掲示板に飛び火。妻子ある男性と付き合っていたようで、その男性の写真と実名、やりとりしたメールも全て流出した。
本人が掲示板に、実名や住所を含んだ内容の投稿の削除を要請したために大騒ぎになり、P2Pネットワーク上で、流出データの拡散が加速するという悲惨な結果になった。5000~10000ノードにダウンロードされた。
流出発覚以降、理研ホームページでは職員(研究者)の紹介ページが削除されたもよう。現時点でもこの人が勤務しているかどうかは不明。
もちろん、この流出した個人情報や写真は現在でもダウンロードが可能で、削除は不可能です。
掲示板のやりとりとかは読んでて涙を誘います。さすがにURLを貼るのはやめておきますw
この人に限って言えば、自業自得と言えばそれまでなんですが、写真や個人情報を公開されてしまった友人、同僚には同情します。
  
Posted by at 01:37Comments(0)TrackBack(0)

2006年02月28日

海上自衛隊の機密が流出

ここのところ、毎日のようにデータ流出ニュースで、もう慣れてさほど驚きを感じなくなっていたんですが・・・とうとう軍事機密情報が流出しました。
いくらなんでも、国防関係者がこの有様ではお話になりません。中国とか北朝鮮とか怖すぎですw

海自機密データ流出
http://www.mainichi-msn.co.jp/today/news/20060223k0000m040148000c.html
長くなるので引用はしません。リンク先を参照してください。

「直ちに対応しなければならない」いえ、もう手遅れです。軍用の高性能ソフトウェア、機密データが世界中の誰でも、いつでもダウンロードできます。削除は不可能です。

防衛庁、海自のWinnyによる情報漏洩を受けて対策を公表
http://internet.watch.impress.co.jp/cda/news/2006/02/27/11036.html

P2Pに対するセキュリティ対策は、フィルタや起動制限も有効ですが、それ以上に「セキュリティ教育」や「マニュアル作り」のほうが効果が高く、重要だと思われます。
OnePointWall等を導入するのもひとつ選択肢ですが、今回のケースのように、私用PCに入っていたデータが流出する可能性もあります。
PCを使う人が、危険性を充分理解できていれば、私用PCを使う時にも注意を払うようになるでしょう。

こんな事件が起きてしまったので、自衛隊はもう大丈夫だと思いますが・・・


2chより。

-----ここから引用-----
811 名前:番組の途中ですが名無しです [sage] 投稿日:2006/02/23(木) 04:38:28.48 ID:XvcbD2IE0
>>802
今見てみたら、日本近海の海底地形図とかの航海情報を表示させるソフトみたい。
連絡先が防衛大になってるからもちろん非売品ね。
これって潜水艦の航行とかに必須だからシナあたりが喉から手が出るほど欲しがってる情報だよ…
はっきり言ってヤバス

659 名前:名無しさん@6周年 [sage] 投稿日:2006/02/23(木) 04:59:35 ID:VP5iSU910
>>637
実行できた。そして深度やら沈船情報やらがグラフィカルに表示できた。
マジでこれはオワタのレベルだと思う

24 名前:前スレ850[sage] 投稿日:2006/02/23(木) 05:16:26 ID:???
あああ。
確かに、cabを解凍したらあったよ。
怖いから、インスコはしてないが
マニュアルを読んだ限りでは
軍事用高機能地図ビューワって感じかな。
で、何よりもまずいのが
70個以上もある、Ocn_**.depとか言うファイル。
どう考えても、海洋水深データです。あわわ。
-----ここまで引用-----

はははははは・・・・
もう笑うしかないですね・・・

自分のミスでないのに個人情報を公開されてしまった人には誠に気の毒ですが、これに関してはどうしようもないですね。

関連リンク

ZAKZAK:海自極秘暗号が流出、ネットで「完全オープン」
http://www.zakzak.co.jp/top/2006_02/t2006022303.html
  
Posted by at 00:46Comments(0)TrackBack(0)

2006年02月24日

特定のアプリケーションの実行を禁止する

前回の話を読んでからここを読んだほうが解りやすいかと思います。
前回、「プロセス終了が不能なウイルス」の話をしました。
そこで、「こうなると再起動せずに停止することはほぼ不可能となります」と書きましたが、「ほぼ」と書いたのは、実は停止できる可能性があるからです。

特定のアプリケーションの実行を禁止する
http://arena.nikkeibp.co.jp/tec/winxp/20041119/110124/

-----ここから引用-----
特定のアプリケーションの実行を禁止する「共用パソコンなのにゲームばかりやっている人がいる」と困っている場合は、「実行を禁止するアプリケーションのリスト」を作って登録しよう。
例えば、ゲームだけリストに登録して、実行を禁止にするという使い方ができる。設定するには、管理者権限のあるユーザーでログオンし、スタートメニューから「ファイル名を指定して実行」を選び、「regedit」と入力して「OK」ボタンをクリックする。レジストリエディタが起動したら、以下のキーをたどる。
HKEY_CURRENT_USER→Software→Microsoft→Windows→CurrentVersion→Policies→Explorer「Explorer」を右クリックして「新規」−「DWORD値」を選び、「DisallowRun」というDWORD値を作成する。
「DisallowRun」をダブルクリックして、「値のデータ」に半角数字の「1」を入力し[OK]ボタンをクリックする。
再度「Explorer」を右クリックして、「新規」−「キー」を選択し、「DisallowRun」というキーを作成する。
このDisallowRun」を右クリックして、「新規」−「文字列」を選択し、半角の「1」という名前の文字列を作成する。
これをダブルクリックして、「値のデータ」に「実行を禁止するアプリケーション」の実行ファイル名(例えば、「ソリティア」の場合は「sol.exe」)を入力する。
同様な操作で、「DisallowRun」キーの中に半角の「2」という文字列を作成し、実行を禁止する別のアプリケーションのファイル名を入力すれば、「実行できないアプリケーションのリスト」に追加できる。
この操作を繰り返せば、実行を禁止するアプリケーションをいくつでも追加できる。
元に戻すには、レジストリエディタを起動して、作成した「DisallowRun」という名のDWORD値とキーをそれぞれ削除をすればよい。

※レジストリの変更によりPCの起動などに支障をきたす場合があります。レジストリの変更の前には、バックアップを必ず行い、自己責任のもとに行ってください。
-----ここまで引用-----

このように、レジストリを変更して新たなプロセスの起動を禁止すれば、プロセスを停止できる可能性があります。
なぜ「可能性がある」と書くかというと、いろいろ条件があるからです。

・ウイルス本体が、レジストリのこの部分を監視して、変更されれば元に戻す機能があるかもしれない。
・すでに起動してあるものの起動を禁止した場合に、効果があるかどうかが不明。レジストリが変更されても、それだけになる可能性がある。
・ユーザーの操作では起動できなくても、アプリケーションからなら、何らかの方法で起動できてしまう可能性がある。
・管理者権限からの作業なので、XP HEの場合セーフモードとなり、結局再起動が必要になる。

実験すればいいんですがやっていませんw
これはちょっとした知識みたいなもので、侵入されてからの対策よりも、侵入されないようにセキュリティを高めたり、脆弱性の情報を収集するほうがはるかに重要で、効果的です。


今、ふと思ったんですが、これを使って、社内のPCや営業用ノートPC全部に対して、現存するP2Pソフト全種類の起動を禁止すれば、かなり安全性が高まりますね。
フィルタリングもやったほうがよりセキュアなんですが、P2Pは種類が多く、全てをフィルタしようとするとサーバーの負荷が大きくなり、またパケットの解析にも時間がかかります。
この方法だと、持って帰れるノートPCにも設定できて、簡単にできて、サーバーの負荷も増えません。時間的、金銭的コストもほとんど無いでしょう。しかし効果は高く、結構いい方法じゃないでしょうか。

フィルタと違い、知識がある人には簡単に解除されてしまいますが(単にリネームでもOKだし)、そういう人はP2Pの恐ろしさを充分認識している・・・と、いいんですがw   
Posted by at 00:42Comments(2)TrackBack(0)

2006年02月22日

プロセス終了が不能なウイルス

ウイルスとは「悪意があるコード」の総称で、トロイ、ワーム、マクロタイプなど全てを含みます。
ウイルスを作る人ってのは愉快犯がほとんどでしょうが、その着眼点や、発想や、技術は、いつも素直に「すごいな」と思います。
ハッカーや、クラッカーもそうです。
やっていることは犯罪ですがw

さて、プロセス終了が不能なウイルスとはどのようなものでしょうか。
これはその方法を見た時にちょっと感心し、またこの方法は、ほかの何かに利用できるんじゃないか?と思いました。
カギは多重起動です。

a.exeがウイルス本体だとします。a.exeは、外部のどこかに個人情報を送るほかに、以下のように動作します。
何らかの方法でa.exeが起動されると、a.exeはa.exeを起動します。
後から起動されたa.exeは、a.exeを起動します。
起動されたa.exeの数が一定数になると(3個とか4個とか)そこで止まります。
a.exeは、それぞれを互いに監視しており、ユーザーの操作や、ウイルス対策ソフトからa.exeのどれかが停止されると、a.exeをひとつ起動します。

こうなると、再起動せずにa.exeを停止することはほぼ不可能となります。完全同時に停止はできないので、ひとつを停止した直後にひとつ起動され、a.exeの常駐個数はもと通りとなります。
当然、起動中なためにa.exeの削除はできません。

起動する個数を制限しなければ、無限にa.exeが起動されてやがてPCがダウンするため、ただのDoSアタックのようなものなのですが、個数を制限し、相互監視することで削除・停止ができないようにした、ということです。

スタートアップやサービスに登録し、a.exeを自動起動する部分も監視されれば、通常の方法では再起動も無意味となります。
ログオフ>再ログインは、サービスに登録されればログオフでも終了しないし、そうでなくても、ログオフで終了しないようにできます。

駆除方法はセーフモードでPCを再起動し、自動起動のトリガーと本体(増殖していればそれも)を削除です。知ってれば簡単なんですが。

技術的にどうなのかわかりませんが、ウイルスが起動された状態でPCの再起動が必要ということは、再起動のときにWindowsのカーネルに変更を加え、さらに泥沼状態に陥らせる、といったことも可能かもしれません。
そうなればフォーマット>クリーンインストールしか方法はありません。


おそらくこれからも、今では想像もつかないようなタイプのウイルスが次々に登場するでしょう。非常に楽しみですw

  
Posted by at 00:24Comments(0)TrackBack(0)

2006年02月20日

P2Pウイルスとは?

「P2Pウイルスの被害は恐ろしい」というのは解ったけど、そもそもどういうものなの?という話です。
現在確認されているP2Pウイルスはいくつかありますが、今までのウイルス、トロイとはかなり違います。
基本的には単体での動作はしません。スクリーンショットを特定のアドレスに送る、というものもありますが、これはそれほど重大な被害にはなることは少ないです(恥ずかしいですがw)。
個人情報等、PC内のデータをP2Pネットワークに流出させるものは、基本的にP2Pソフトウェアに寄生する形になります。
これは非常にうまいというか、理にかなった方法ですね。
ファイルのアップロード(流出)はP2Pソフトウェアのファイル共有の能力に寄生するので、ウイルス本体は小さくできる。
P2Pソフトを使っているのなら、P2Pの通信は許可していると思われるので、PFWは反応しません。
自己増殖機能は持っていませんが、P2Pネットワークで広がるために増殖します。
なおかつ、対策ソフトによってウイルス本体や起動スイッチが削除されても、アップロード設定はそのまま残ります。
まあ、一旦流れ出してしまえば、何をしてももはや手遅れなんですが・・・

仮にP2P寄生のウイルスに感染していても、P2Pソフトを起動していなければ無害となります。
また、ウイルスによってはP2Pソフトの再起動後やPCの再起動後でないと流出が始まらないものもあるようです。
念を押しますが、「感染した時にP2Pソフトを起動していなければ、その時点ではセーフ」なだけです。
起動中に感染したり、PCを再起動したりして、流出が開始されてしまえば、「THE END」です。
さらに念を押しますが、一旦流出してしまえば、ウイルス本体を削除したり、HDDをフォーマットしても「手遅れ」です。
そのデータは、インターネットが存在する限り、P2Pネットワーク上に存在し、ダウンロードが可能です。
厳密には「誰か1人でもそのファイルや、キャッシュを保持している限り」なんですが、まあそんなに変わらないでしょうw

流出するファイルは、ウイルス本体が起動された後にすぐに作られるようです。
いろいろなものが考えられますが、現時点で流出した報告があるものは、
・デスクトップにあるファイル
・デスクトップのスクリーンショット
・マイドキュメントの中にある全てのファイル
・送受信したメールの内容(OutlookやOutlookExpress等)
・P2Pソフトの検索ワードの履歴
・P2Pソフトのダウンロード履歴
・P2Pソフトのダウンロードフォルダの中のファイル
などがあるようです。
また、マイドキュメントの中でなくても、画像ファイルや.csv、.eml、.xml、.docなどの個人情報の可能性が高い拡張子のファイルを検索する機能を持つものもあります。
これらのファイルをウイルス本体が圧縮し、コンピュータ名と日付などからファイル名を決めて、P2Pソフトのアップロードフォルダに入れるわけです。
P2Pの性質上、誰か1人でもダウンロードしなければ流出は開始されません。
しかし、そういうファイルを目的にP2Pをやっている人もいるようで、流れ出して、その中に少しでも面白そうな情報があれば、すぐに晒されて、あっという間に拡散すると思って間違いないでしょう。

流れ出してしまった場合は・・・
対策は「ありません」。
基本的に指をくわえて見ていることしかできないんですが・・・
せいぜい、掲示板の管理者にメールを送って投稿を削除してもらう、ぐらいでしょう。焼け石に水ですが。
しかし、2chのような削除依頼スレッドに投稿しないと削除してもらえないような掲示板だと、下手に反応するとさらに騒ぎが広がる可能性もあります。

例の政治家の無修正写真とか、原発の内部データとか、不倫関係の人のメールのやりとりとか個人情報とかw、そのような大物の流出データを探し出し、絨毯爆撃を行い大騒ぎを起こし、話題を逸らす・・・とかなら多少は現実的な対策ですがw

あるいは、全面核戦争を起こして世界中のPCを同時に破壊しましょう。これで安全ですw
  
Posted by at 00:03Comments(1)TrackBack(0)

2006年02月16日

セキュリティゲートウェイ向けの新OS

フォーティネット、セキュリティゲートウェイ向けの新OS−Winny対策やSSL-VPNの機能を追加
http://enterprise.watch.impress.co.jp/cda/security/2006/02/07/7171.html

-----ここから引用-----
フォーティネットジャパン株式会社(以下、フォーティネット)は2月7日、同社のセキュリティゲートウェイ向け新OS「FortiOS 3.0」と新管理ツール「FortiManager 3.0」を発表した。提供開始は3月を予定している。
FortiOS 3.0は、統合セキュリティアプライアンス「FortiGateシリーズ」など、フォーティネット製品で利用するOSの新版。同シリーズでは従来から、ファイアウォールやウイルス対策、IPsec VPNといった機能を利用できるが、今回の新OSでは、リモートアクセスに適した「SSL-VPN機能」をサポートした。これによって、クライアントソフトをインストールせずにセキュアなリモートアクセスを行えるようになるという。
また、セキュリティリスクとして関心が高まっているP2Pソフトに対して、アプリケーションごとにブロック、許可、転送レート制限などを設定できるようにした。P2Pソフトは、BitTorrent、eDonky、Gnutella、KaZaaのほか、日本製のWinnyにも対応する。
このほかFortiOS 3.0では、IMに対するセキュリティ機能の強化や、分析ツール「FortiAnalyzer」との連携強化、Active Directoryとの統合強化などが行われている。
-----ここまで引用-----

IPsecなどを使ったVPNやリモートアクセスはセキュリティが高いと言われていますが、セキュリティホールが発見されたり、新しいプロトコルやさらに高度な防御とかのニュースはよく見ました。
ところが、VPNの盗聴対策や、高度なフィルタリングとかよりも、はるかに現実的で深刻なP2P対策に関しては全然見ないなぁ・・・といつも思っていましたw
散々脅しているので、ここを読んでいる人はもう充分解っていると思いますが、「セキュリティリスクとして関心が高まっているP2Pソフト」という言い方はちょっと弱いんじゃないでしょうか。
セキュリティ製品開発の現場がどのようなものかは知らないので、どのようなニーズがあり、どの技術が最も注目されているか、私などには想像もつかないんですが・・・
「P2P対策は必須で、最優先項目のひとつ」これは間違ってないはずなんですが、どうなんでしょうねw

  
Posted by at 00:58TrackBack(0)

2006年02月15日

受刑者らの個人情報がネット上に流出

受刑者らの個人情報がネット上に流出(ニュース動画あり)
http://news.tbs.co.jp/newseye/tbs_newseye3225325.html

-----ここから引用-----
受刑者らの個人情報がネット上に流出

鹿児島刑務所や福岡拘置所などの受刑者らの個人情報がインターネットを通じて流出していたことがわかりました。流出件数は1万件を超える可能性もあり、法務省が調査に乗り出しています。
インターネット上に流出していたのは鹿児島刑務所や滋賀刑務所、それに福岡拘置所などの受刑者や未決こう留者に関する個人情報です。
関係者の話によりますと、去年12月、鹿児島刑務所の職員が個人情報のファイルを記録したCD−ROMを京都刑務所の職員に渡しましたが、受け取った職員の個人のパソコンを通じてウイルスに感染し、今月に入ってインターネット上に流出していたことが確認されました。
流出した個人情報は実名に加え、本籍や事件の概要、受刑者の処遇記録などが含まれています。
関係者によりますと、流出件数は1万件を超える可能性もあります。現在、流出経路などについて詳しく内部調査が行われていますが、法務省関連の情報流出としては過去最大の恐れもあります。
JNNの取材に対して、法務省は「ウイルス感染によって個人情報の一部が流出したとみられるが、流出件数や内容については現在、調査を進めている」と話しています。(13日16:57)
-----ここまで引用-----

この「異常事態」が今後ずっと続きそうな気配すらありますね・・・
これが普通になってしまうのかなぁ。

これは感染した(していた)PCに個人情報を入れたために流出したということですが、そういう情報を入れるのなら、入れる前に何かに感染していないかスキャンしましょう。
というか、以前から言っているように、P2PをやっているPCに入れる時点で論外なんですが・・・

  
Posted by at 00:54TrackBack(0)

2006年02月14日

Winnyで情報流出の消防署員が停職処分、上司も減給

Winnyで情報流出の消防署員が停職処分、上司も減給

ウォッチの記事です。
http://internet.watch.impress.co.jp/cda/news/2006/02/10/10843.html

-----ここから引用-----
 各務原市消防署(岐阜県)の業務情報がWinnyネットワークに流出していることがわかった。9日、各務原市が発表した。

 発表によると、6日夕方に総務省から岐阜県を通じて、各務原市消防署の業務資料などがWinnyネットワーク上に流出しているとの指摘があっ た。調査の結果、各務原市消防署本部の東消防署署員が、2004年度の市職員や市議、消防団員名簿など1,300人分の内部資料と、出火場所の住所や所有 者名、発見者の住所、氏名などの火災原因調査関係の書類など2,309人分の外部資料を自宅に持ち出していたことがわかった。この署員の自宅PCがウイル スに感染し、Winnyネットワークに情報が流出したという。

 事態を重く見た各務原市では、この署員に対して「業務資料の持ち出し禁止規則を逸脱する行為で、市民に著しく不安を与えた」として1カ月の停職処分を下した。また、消防長ら監督責任者4人には3カ月の減給処分(10分の1相当額)にした。

 各務原市では、全職員に個人情報の持ち出しを厳格に禁止する旨を再度通告。情報セキュリティ管理者に対しては、1)庁舎外への情報持ち出しの確 認、2)無許可ソフトウェアの導入の確認、3)機器装置の無断変更の総点検――を命じた。このほか、今回の事件を受けて問い合わせ窓口を設置している。
-----ここまで引用-----

うーん・・・さすがに公共施設、特に消防署とかは、ちゃんとマニュアル作って対策して教育して・・・って思ってたんだけど、どうもそうじゃないみたいですねw
ここで以前書いた記事のサンプルのような事件ですね・・・
この記事を読んだだけでやってませんが、流出した情報のダウンロードや個人の特定も簡単だと思われます。
  
Posted by at 01:25TrackBack(0)

2006年01月28日

破棄したPCから個人情報が

ウォッチの過去ログを見ているとこんなのがありました。

廃棄パソコンへの知識不足が招いた事件を追う
http://internet.watch.impress.co.jp/static/column/jiken/2003/11/25/

捨てたノートPCから機密情報が流出してしまった、という事件です。
ある程度PCに触れていれば、削除したファイルの復元ができることは知っていると思いますが、私の周囲の人に聞いてみたところ、大多数の人が「ごみ箱から削除したら終わりですよね?」
というふうに思っているようでした。

簡単に説明すると、カセットテープに録音した音声を消去しようと思えば、その録音された部分を全て別の音声で上書き録音する、というふうになります。
(磁石を近づけて壊す、とかはこの際ナシでw)
ところがHDDの場合、ファイルをごみ箱から消しても、実際HDDのディスクの上ではデータは完全に削除されているわけではなく、「見えなくなっているだけ」という感じです。
削除されたファイルが置かれていた領域は空き領域となるので、そのドライブに何か別のファイルを保存すれば、ファイルが書かれた位置によっては消されたファイルの復元は不能になります。ただこれは制御できないので、
「1週間前に大事なファイルを誤ってごみ箱から消してしまった。復元できませんか」とか、そういうふうに聞かれると「復元できる可能性はあります」としか答えられません。

「ごみ箱からファイルを消す」はダメでも「フォーマット」なら消えるのでは?
と思ってもウォッチの記事にもあるように、「通常のフォーマット」や「クイックフォーマット」では、データの復元が可能です。

いらなくなったHDDやパソコンを捨てる時は時間がかかりますが、必ず「物理フォーマット」するようにしましょう。また、全ての個人情報等を削除した上で、復元が不能になるツールを使うのもいいです。

復元
誤ってごみ箱から削除したファイルの復元とその反対に機密文書等を完全削除
http://www.vector.co.jp/soft/win95/util/se192983.html

DataRecovery
ゴミ箱からも削除してしまったファイルを復元する
http://www.vector.co.jp/soft/win95/util/se382922.html

ファイル復活阻止ツール ExClear
いったん削除したファイルを回復されないようにします
http://www.vector.co.jp/soft/win95/util/se229546.html

まあ、物理フォーマットが確実で簡単ですね。
パソコンを売る時は、物理フォーマット後にリカバリーCD等からOSを再インストールしましょう。


さて、HDDは良いとして、CD(DVD)R(W)、FDD、ZIP、MO、テープストリーマ等。
これらを廃棄する時にはどうするのが良いんでしょう。

RWやZIP、MOなどはライティングソフトやOSで物理フォーマットして再利用できるので、システム交換でメディアが不要になった場合のことを考えてみます。

まず、R(W)メディア。傷には強く、カッターで切れ込みを入れたぐらいでは普通に読めます。
円周方向(横方向)に傷を入れるとかなりの確率で破壊されますが、それも確実では無いです。
紙ヤスリでデータ面を真っ白に削った後に、ハサミで5−6個ぐらいに切断しましょう。これで安全です。
ケーキを切るように直径方向に切るのではなく、平行に切りましょう。

FDDはもはやほとんど使われていないと思いますが・・・
データ容量が小さく枚数が多くなりがちで、物理フォーマットに時間がかかるので破壊しましょう。
中のディスクを取り出し、磁石を数回擦り付けた後にハサミで平行に細かく切断すればいいでしょう。
シュレッダーに通すのもいいですね。ZIPも同じです。

MOは中のディスクを取り出し、R(W)と同じような手順で破棄しましょう。

テープストリーマはよほどのことがない限り、破棄の必要が出てくることはないと思われますが、それでも破棄する場合は細かくぶつ切りにするか、可能ならば焼却しましょうw

  
Posted by at 00:17TrackBack(0)

2006年01月13日

P2Pウイルス

今年に入ってから、Winny、Shareのウイルスが信じられない勢いで広がってますね。
送受信したメールの内容や、デジカメから取り込んだ画像を全世界に公開する方々。
少し知ってれば、簡単にダウンロードすることができます。
参考までに、そのうち1人の流出騒ぎの記事を。
http://www.zakzak.co.jp/top/2006_01/t2006010623.html
ちょっと古いですが、これも有名な話。人生終わった人その2。
http://internet.watch.impress.co.jp/static/column/jiken/2004/05/27/

個人情報が暴露された人や、送受信していたメールが流れ出してしまった人、
取り込んだ無修正写真を全世界に公開してしまった人、
また勤務する会社の顧客情報をバラまいてしまった社員など・・・
挙げていけばキリがありません。

以前にも書きましたが、HDDを全部消されるウイルスなんてたいしたことないです。
この人は、もう政治家生命は終わりでしょう。
また、データ流出で会社の信用問題にまで発展してしまったりすれば、人生終わりでしょう。
前に原発のデータが流出したこととかありましたよねw


アングラやP2Pをやるな、と言うのは簡単なんですが、ある程度やっている人はすでに味をしめていることが多く、あまり効果がありません。

よって以前から言っているように、
「アングラやP2Pをやるのならば、そのPCには絶対に個人情報を入れないこと」
最低限これだけは守りましょう。もちろん、顧客情報や写真データなどもです。
何かが起こり、何かの情報が流出したり、システムが破壊されても、被害はそれまでとなります。

回線速いから会社からP2Pとか、仕事で使うノートPCでアングラ、とかはそれ以前の問題です。もはや論外です。
セキュリティに細心の注意を払い、アップデートは確実に行い、対策ソフトをインストールし、それでもそのPCでアングラやP2Pをやっている限り、何かが起こる可能性は存在します。

また、著作権法に違反することをしていれば、当然逮捕される可能性があります。
知識があれば可能性を下げることはできるようですが、ゼロにはなりません。

  
Posted by at 20:39TrackBack(0)

2006年01月06日

パッチ来ましたね

10日になると言っていた公式パッチ来ました。さすがに慌てたのかな。
いつもなら数日、様子見をするんですが、今回のはもう入れました。
すでに外国では、100万台単位のPCが何らかの被害を受けているそうです。
また、5日には公式パッチがマイクロソフトから流出する騒ぎがあったようです。

パッチを当てた後で、gdi32.dllを検索してみると、パッチ前のものも別フォルダに残っていました。念のため削除しておいたほうがいいでしょう。

SANSのFAQ訳にも書いてありましたが、これほど危ない脆弱性が発覚してしまうと、次から次へと新種・亜種が作られている状態になるので、特にサーバーでは防御が非常に困難となります。

しかし、マイクロソフト含め、危機感がなさすぎじゃないでしょうか。
もちろん、Windows本体や、他メーカーのアプリケーション、さらにウイルス対策ソフトまで、無数の脆弱性があります。
私も、それら全てに対応しているわけではないです。むしろ大部分を無視してると言っていいと思います。

今回の脆弱性は、例えば「ユーザーがブラウザでホームページに含まれた画像を見る」でアウトとなり、危険度が「その他大多数の脆弱性」とは比較になりません。
SUNS社のFAQにも書いてありますが、これは事実上、防御不能を意味します。
ブラウザを使わないとか、テキストファイルのみで構成されたページしか見ないとか、サーバーで画像ファイルを全てブロックする、なら防げますがw

要は、「危険度を理解するべき」だ、ということです。
あなたは「見えない落とし穴」がたくさんある道を歩いています。
直径10センチ、深さ1センチの穴が100個あります。
直径5メートル、深さ100メートルの穴が1個あります。
どれを塞ぐべきか?となれば、これはもう考慮の余地は無いでしょう。

ちなみに情報を公開するP2Pウイルスは
「直径1メートル、深さ1000メートルだけど、体重90kg以上の人でないと落ちない」ってな感じかなw

もう一度SUNS社のFAQを貼っておきます。
http://www.tarokawa.net/tmp/wmf-faq.html   
Posted by at 23:13TrackBack(0)

2006年01月03日

遅すぎ・・・

マイクロソフトから発表がありました。
パッチはできたけど、ローカライズ作業とテストしてるから公開は1/10になるよー
とこのとです。おいおい遅すぎ。

  
Posted by at 22:18TrackBack(0)

2006年01月02日

とんでもない大穴


今回のセキュリティホールはとんでもない大穴で、早急にパッチを公開しないと歴史的大被害になる可能性があるんですが、マイクロソフトは「脆弱性があるのを確認」と発表しただけでパッチを公開する気配すらありません。
正月休みでのんびりしてる場合じゃないんだけどなあ・・・

SANS Institute社から「非公式パッチ」なるものをDLできるようになりました。
こんなの初めてじゃないかなぁ。異例中の異例でしょう。
マイクロソフトが仕事しないからですw

SANSの「WMF FAQ」の日本語訳がここで読めます。
http://www.tarokawa.net/tmp/wmf-faq.html

shimgvw.dllの登録を削除することで、効果は限定的だけど防御になる。んですが、実際に脆弱性があるのはgdi32.dllみたいですね。
これは多くのアプリケーションで使われているために、登録を削除するのは難しいようで。

2chで見つけた情報を。

-----<<ここから引用>>-----
 112 名前:番組の途中ですが名無しです 本日のレス 投稿日:2005/12/31(土) 08:55:04 N7HavPhn0
デバッガで追っかけてたら不正コード呼び出しの位置を見つけたので
インチキだけどそこを飛ばして勝手に回避patch作ってみた。
ttp://up.viploader.net/mini/src/viploader2144.zip.html
セーフモードで起動して
%systemroot%system32gdi32.dll
をバックアップして上のzipの中身と入れ替え。
とりあえず手元のxpsp1では電卓やらメモ帳は起動しなくなって
普通の画像は見られてるけど、あくまで自己責任でどうぞ。
早く正式パッチ出るといいけど…

116 名前:番組の途中ですが名無しです 本日のレス 投稿日:2005/12/31(土) 09:04:54 o/avV9D/0
>>112
念のため手持ちのgdi.dllとバイナリ比較

c:>fc /b gdi32.dll GDI32_patch.dll
ファイル gdi32.dll と GDI32_PATCH.DLL を比較しています
00024739: FF 90
0002473A: D0 90

2バイトnopにしてあるだけだから大丈夫そう。疑ってスマソ。
-----<<ここまで引用>>-----

私のPCのgdi32.dllを見てみましたが、これとはサイズが少々違ってました。
112の人はsp1と言ってますが私はsp2なので、この方法は使えない可能性が高いですね。

C:WINDOWS/system32/gdi32.dll   280,064
C:WINDOWS/ServicePackFiles/i386/gdi32.dll   278,016

この投稿のURLのgdi32.dll 260,608

さすがに掲示板投稿ということもあり信頼性には疑問符がつきますが、
環境依存はあるだろうけど、わずか2バイトの修正で完全回避できるとの情報アリ、ってことでw

  
Posted by at 22:07TrackBack(0)

2005年12月30日

凄い騒ぎですね。


凄い騒ぎですね。
私も検証ファイルを踏んでみましたが、今回の脆弱性は凄いです。

この脆弱性を利用した「悪意のあるコード」つまりウイルスやトロイはまだ大きく出回っていないようですが、何も対策していないPCでそういうモノをダウンロードしてしまうともうかなりの人がアウトでしょう。

脆弱性を利用した画像ファイルにマウスカーソルを当てるだけでアウト

縮小表示などの場合は、そのファイルがあるフォルダを開けただけでアウト

縮小表示でなくても、右クリックでアウトとなるので、デスクトップにDLしてたりする
と割とお手上げ(親フォルダごと削除が不能なため)

さらにWindowsはヘッダを見るために、拡張子偽装が可能(恐ろしや・・・)

画像ファイルを含んだHPを、IEなどのブラウザで見るだけでアウト

Virustotal等のオンラインスキャンにそのファイルを送ろうとしたら、そのファイルを選んだ瞬間にアウトw


その脆弱性があるのはshimgvw.dllで、Windowsのデフォルト設定で画像表示に使われている「画像とFAXビューワ」です。
regsvr32を使いshimgvw.dllの登録を抹消すると、とりあえず安全に見える。
けどそれはエクスプローラ等のファイラーや、IE上のことだけなので、
shimgvw.dllを使っているアプリケーションからだと無防備となります。
登録抹消で安全だ、と思っていて、別の画像ビューワから画像を見ていれば、
画像を見た時にアウト、となる可能性があります。


12/30現在、2ch試験的にULされたruncalc.wmfとwmf_exp.html(脆弱性検証のために作成されたもの)にノートンなどのアンチウイルスソフトが徐々に対応しはじめた。
だけどこれはまさに焼け石に水で、結局脆弱性は解消されていないため、
次々に新種や亜種が作られている現状では意味がありません。


shimgvw.dllの登録を削除>system32フォルダのshimgvw.dllを削除(リネーム)
>dllcacheのshimgvw.dllを削除(リネーム)>PCを再起動

これで安全・・・と思ってたら、shimgvw.dllはIrfanViewなどの画像ビューワを実行すると、windowsのシステムファイル保護機能が働き復活する。
再起動でも復活する可能性がある。

マイクロソフトが早急に対応しないと、今回のは歴史的な大被害になる可能性がありますね・・・

出所不明なファイルのDL(UG、P2P、ファイルアップローダー)
掲示板等に貼られたURLをクリック(たとえそれが.JPGなどの画像ファイルであっても)
UG等、信用性が低いサイトでのURLをクリック
メールに添付されたファイルを開ける

は、絶対にやってはいけません。マイクロソフトが脆弱性に対応するその日まで・・・

参考
http://amatanoyo.blog16.fc2.com/blog-entry-132.html
http://d.hatena.ne.jp/palm84/20051228
http://internet.watch.impress.co.jp/cda/news/2005/12/28/10385.html

  
Posted by at 21:06TrackBack(0)