Adminでログインしないよう呼びかけるMS

[ITmedia エンタープライズ] No More「Adminでログイン」を呼びかけるMicrosoft
Win9x時代はパーソナルなコンピュータであったため、権限なんてものがそもそも存在しませんでした。そのころからの互換性を大事にしているからこそ、今のWinXPでもこの権限問題がうまく解決していないのでしょう。結果、ソフトをトラブルなく動かすためにAdministrator権限のアカウントでログインせざるを得ないというのが現状です。

理想は、必要なときにのみexeファイル右クリックの「別のユーザとして実行」で実行するということですが、まぁ世の中そうやってAdminで実行しなければいけないソフトがどれだけ多いことか・・・Vistaではこれの解決のための仕組みを用意する予定だそうですが、この記事に書かれているだけのことを読む限りは、あんまり期待できる機能でもなさそうだなぁっと思います。

パソコンは、ネットワークにつながるようになったことで、パーソナルなコンピュータではなくなってしまったってことなんでしょうか。

SSL証明書付きフィッシングサイト

[SlashdotJ] 「本物の」サーバ証明書を持つフィッシングサイト
どんなフィッシングサイトがあったのかを正確に理解しておく必要があるニュースといえるでしょう。

このフィッシングサイトはルート証明書よりたどれるSSLサーバ証明書を持っていました。つまり、rarul.comというサーバが証明書を持っていてそれが正当(=ルートからたどれる)なものであった場合です。このときユーザは、SSL通信を使ってrarul.comと安全に通信できます。途中で改ざんされたり、通信先が本当はrarul.comじゃなかったり、といったことがないということです。

しかしこの方式では、rarul.comの存在性とその本人性は保証できるものの、rarul.comがそもそも信用できるのかどうかはわかりません。rarul.comがワルだった場合、送られたデータが悪用されることが十分あり得るということです。データを送る先が本当に２ちゃんねるであるかどうかを保証してくれるだけで、２ちゃんにデータを書いても安心だというわけではないのと同じです。そんなフィッシングサイトがあったというのがこのニュースの意味となります。

結局、rarul.comというドメイン(とそれを所有する組織)の社会的信頼性は、各自で判断せざるを得ないということです。つまりrarul.comというドメインは信用に足るかどうかをユーザが判断しないといけないということです。

ちなみに、今回のはいわゆるオレオレ証明書とは違います。オレオレ証明書の場合、ウソつき者(かどうかもわからないやつ)の言うことを信じるのかどうか、という話になります。ウソつき者の言った言葉を耳に入れるまでの途中で改ざんがなされている可能性もあるし・・・と。

WMF形式処理におけるShimgvw.dllのバグのパッチは1月10日

[Internetウォッチ] Windowsの深刻な脆弱性、1月の月例セキュリティパッチで対応
例のめちゃやっかいなバグですが、MSは1月の月例パッチとしてこのバグに対応すると発表しています。月例パッチは毎月第2火曜日なので、現地時間で1月10日、日本時間で11日の夕方ってとこですね。

これに関しては月例を待たずしてもっと早くパッチを出した方がいいようにも思えるんですが、MSはパッチに問題がないかどうかのチェックに時間をかけたいということなのでしょう。非公式パッチが大々的に流れてきたりと、もうイヤンな感じです。

「ウィルスとは」の定義・解釈・分類

「malwareとその分類」(槻ノ木隆の「BBっとWORDS」)
「マルウェアとは」の解説記事なんですが、他の類似した概念のウイルス・ワーム・トロイなどについての解説も軽くなされてます。同様の用語解説としては、たとえばこんな記事もあったりするんですが、結局のところ現在の広義のコンピュータウィルスっていろんな活動しまくりなので、正確な定義・分類はできないという解釈で良さそうですね。

OS起動前にウィルス定義パターン更新するPC

[Internetウォッチ] OS起動前にウイルスバスターの定義ファイルを更新、NECのノートPCで搭載
PCのOSが起動する前にウイルスバスターのウィルス定義ファイルを更新する機能を搭載したビジネス向けPC、ってことで国内初らしいです。

1スピンドルノートPCだと結構悩ましい問題なんですよね、定義ファイル更新するためにネットにつなごうとするとそのときにやられるとか、ウィルス感染したマシンに駆除ソフトを入れるためイントラネットにつなぐとその間にウィルスがばんばん悪さするとか。

だからといってアンチウィルスソフトをBIOS上で動かすなんていうのも大げさすぎる気がしないでもない。ウィルス定義ファイル更新(+WindowsUpdate)のため専用のネットワークセグメントを用意するなんて方法も考えられるけどこれも大げさやし。USBメモリからブートしてアンチウィルスソフトエージェント内蔵Linuxを動かすとか。うーん、いずれにしてもめんどそう。

ウィルス感染しWinny経由で個人情報流出させたら責任を問われる？

[SlashdotJ] Winnyによる道警の捜査情報流出、損害賠償訴訟で原告敗訴
この個人情報流出事件で、個人情報を漏らされた側が賠償を求めて裁判を起こし、その控訴審で逆転敗訴となったようで。

なんかいろいろと考えなきゃいけない問題ですが、とりあえず現状ではサイバーノーガード戦法やってる方が楽に見えます・・・

危機管理の事後対応の重要性

[ITmediaモバイル] Scope「情報漏えい疑惑」より、もっと重要なこと
iアプリ向けのフルブラウザとして知られているScopeで、メールアカウント情報がHTTPのreferrerとして漏れてしまっていたという疑惑があがってます。
これですね。バージョンアップして現在は大丈夫ということらしいですが、これのプログラマーズファクトリ(Scope提供側)の対応が疑問視されています。

まず、この漏洩の事実があったかどうかに対して黙秘していて、かつ正式な発表がいっさいないということのようです。漏れた情報がメールのアカウントとパスワードなだけに、もし事実ならユーザにアカウント・パスワードの変更を促すアナウンスがほしいところですが。あと、これだけ騒がれてんのになんにも発表しないってのも変な話で。

情報漏洩を伝えるニュースのない日がないといえるほど、毎日のように個人情報がとか脆弱性がとか伝えられています。もちろん事前対策が大事なのはいうまでもないですが、事後の対策を誠実にしないと「そういう会社」と見られかねないといえるでしょう。

Win2kUR1が修正され再リリースされることに

[ITmedia エンタープライズ] Windows 2000 SP4のアップデートに不具合、近く修正リリース
Windows 2000 Service Pack 5の代わりにリリースされたWindows 2000 Update Rollup 1に不具合があり、それを受けて修正されたものが再リリースされることになったそうな。

Service Packと同等のものという認識でUP1を見ていたのに、不具合出ました修正バージョン出します、とかいわれたんじゃ、ちょっとたまったもんじゃないんですが・・・そりゃMSとしてはとっととWinXP/Win2003に移ってほしいってことなので手抜きのUP1となったんでしょうけど、Windows2000をまだ現役で使ってる人たちのことももっと考えてよ・・・

ちなみに、どんな不具合が報告されているかについてはこのへんをどうぞ。

DNSが乗っ取られフィッシングに利用された

[ITmedia エンタープライズ] 三重県のサーバが不正アクセス被害、フィッシング詐欺への悪用が目的
記事を読む限りではなんだか何があったのかを把握しづらいです。三重県側のページをみてみることにしましょう。

推測する限り、二段階の攻撃を受けたといえるでしょう。一段目が、公開サーバそのものを乗っ取られかけてフィッシングに利用されそうになっていた。それを受けて代替サーバに切り替えた。二段目が、実はネームサーバ情報を勝手に書き換えられていた。これを利用して別のフィッシングに利用されていた。っていうところでしょうか。

二段目の方ですが、「ｅ－デモのネームサーバ情報」が改ざんされていたと書かれているので、DNSのレコードが書き換えられて、ユーザは海外の敵のサーバにアクセスしちゃうようになっていたということでしょう。

DNS書き換えというのは結構盲点なんじゃないでしょうか。たとえば、私のwww.rarul.comのネーム情報はIDとパスワードだけで書き換えできます。もしここがバレると、ユーザは「www.rarul.com」でアクセスしているのに、実は私が用意したサーバにアクセスしていなくて海外のよくわからんサーバにアクセスしていることになっちゃうこともあるわけです。

有名なサイトのドメインの有効期間切れにかこつけドメインを先に買い上げてしまうなんて話もよくあります。物理的なサーバ管理だけではなく、DNSのようなドメイン情報なども守っていく必要があるといえるでしょう。

外部への迷惑行為に対するISPの対応

[Internetウォッチ] OCNユーザーが２ちゃんねるに一時アクセスできない事態に
OCNのバカな人がDoS攻撃(DoS攻撃かどうかはわからんけどそんな感じの攻撃と思われる)をして、それを２ちゃんねる運営側がOCNに連絡して対応を要請したけど断られた、なのでサーバ側でOCN前期生をすることにした、てなことがあったそうです。

２ちゃんねるかどうかはこの際どうでもいいんですが、こういうたぐいのトラブルって今後増えてくると思うんですよねぇ。今はむしろ、ウィルスメールを定期的に送りつけてくるやつがいた場合に、ログつきIPアドレスつきでISPに連絡して対処してもらう、なんてのが良くある話です。ウィルスだけじゃなくて最近はスパムも多いですな。結果、ISP側もシステム的な対応を迫られ、例えばBIGLOBEの場合の記事があったりします。これが、今後はメールだけにとどまらず他の様々なサービス(ポート/プロトコル？)に広がっていくことでしょう。

で、日本人の悪いところなのか、例えば定期手にウィルスメールを送りつけられてしまっててもその送信元に文句をなかなか言わない、なんてのがあるんでしょうか。中途半端に苦情を言うと「Fromを偽装するタイプのウィルスがあり私は関係ない」と中途半端に理解されてしまうことも。メールのReceivedヘッダを見ればたとえFrom偽装メールであっても送信元がわかるのですが、そこを理解せず「Fromの偽装」だけを一つ覚えに繰り返す人も世の中にはいるそうな。そんな風な場合に逆に誤解され話がこじれてしまうなんてことも考えられます。そんなややこしいことに巻き込まれるくらいなら、じっとウィルス/スパムに我慢して・・・という心理なんでしょうかね。

前置きが長くなりましたが、通報してISPから警告してもらったはずなのに未だにウィルスメールを送ってくるんですが、なんとかならんのでしょうかね。ISPから警告をもらいつつ3ヶ月もウィルスを飼うなんてもうアフ(ry

BIGLOBEの新スパム対策法

[ITmedia エンタープライズ] スパム送信を牛歩化させてスパマーの意欲をそぐ、BIGLOBEの新スパム対策
ISP各社がスパム対策に本格的になってきた今日この頃です。プロトコル的に偽造メール等を防ぐためにDomainKeysやSender IDが提案されてきました。また「Outbound Port25 Blocking」と呼ばれる、TCP:25(STMP)から送られるパケットをシャットダウンすることで勝手にメールサーバを立てられなくしてしまう手法なんかも、日本のISPでは何社か採用してきました。

そんな中BIGLOBEが取った新スパム対策法が紹介されています。まぁ簡単に言えば、短時間に大量のセッションを張るホストを帯域制限してしまうというもののようです。スパム対策ということで紹介されていますが、技術的にはスパムなどのメールだけではなく、他のたとえばDoS攻撃元とさせないなどの目的にも使えるでしょう。

ただ、Winnyに代表されるようなP2Pの帯域制限には使えないでしょうね。Winnyの場合、大量のセッションを張るのではなく、1セッションで大量のパケットをやりとりしちゃう方式なので。

結局「不正アクセス」とはどんな行為を指すのだろう

[ITmediaニュース] ACCS不正アクセス事件の有罪確定　元研究員が控訴取り下げ
この事件そのものに対する詳細は、こっちやこっちへどうぞ。

裁判の論点の一つに「どんな行為をしたら不正アクセスと見なされてしまうか」があります。端的に言えば、CGIの引数をちょちょっといじったらアレなファイルが流れちゃった、これは不正アクセスだということらしいです。一審なんで正確かどうかといわれると微妙でしょうが、これでイヤな「不正アクセスの定義」の前例ができちゃったわけで。

Vectorでトロイ込みのシェアウェアソフトが配布されてた

[ITmediaニュース] Vector配布ソフトがトロイの木馬と判明　公開停止に
「Vocal Cancel」というシェアウェアがトロイ的活動をすることについてです。挙動が怪しいという話は少し前からあったようで、ここ1週間ほどで一般に認知されたということらしいです。

シェアウェアのシリアルとして不正に広まっているものを入力するとトロイ的活動を行い、個人情報を収集した上で作者側に送信するという挙動らしいです。シェアウェア・不正シリアルなどといえばWinGroove問題が記憶に新しいところでしょう。

SoftEtherは外部プログラマとしてこの「Vocal Cancel」の作者を使っていたようで、この事件を受けて「社外開発の信頼できないプログラムコードの除去」を行ったバージョンを公開しています。うーん、露骨な書き方。

私も一応ソフトを公開していることになっているんですが、曲がりなりにもReadme.txtに「ソフトの使用による損失に責任を持たない」とか書いたりしてます。また、不正利用者がいた場合にどうやって懲らしめてやろうかとか、不正利用ができないようにする仕組みについて考えたりとかすることもあります。が、実際にソフトに仕組むとなるとねぇ、さすがにそれは考えられないっす。

詳細はまとめサイトへどうぞ。

匿名性排除？実名利用を促す？

[ITmediaニュース] 「ネットに匿名性は不可欠」――総務省
総務省の6月28日発表のものが一部報道により「総務省がネットから匿名性を排除させようとしている」てな感じに報道されたことに対する補足となってます。[Internetウォッチ] 「ブログやSNSを利用した実名コミュニケーション教育を提言～総務省研究会」などですね。

私はこの話を朝日新聞(新聞媒体で)で見ました。まぁ新聞を読む限り、実名でインターネットを利用しなければならない、てな発表をしたかのように受けました。

が、今回のこのITmediaの話によると、それは誤解で、また似たような誤解をしている人も多く、結局総務省発表の資料に目を通さずに報道の記事のみを真に受けた人が多かった、ちゃんと一時情報源には目を通そう、てな結論付けとなってます。

まぁ私からいわせてもらえば、そういうように誤解しやすいように報道している新聞社もどうかなぁというところですが。

Win2kUR1アップデート

[ITmediaニュース] Windows 2000 SP4のアップデートリリース
Windows2000はSP4までリリースされてますが、SP5は出ないことがすでにアナウンス済みとなってます。その代わりに出たのが今回の「Update Rollup 1」(UR1と勝手に略していいのかな？)です。Service Packではないという位置づけではありますが、セキュリティパッチ類を丸ごと全部固めたものということなので、事実上のSP5と見ていいでしょう。

でも、事前のアナウンスなどがほとんどなしに出てきたUR1だけに、適用するとどうなるのかといった情報があんまり集まっていません。なので、勝手に適用していいものなのかどうかがいまいちよくわからず。うーむ。