不正アクセスとはどのような行為なのか

[ITmediaニュース] ACCS不正アクセス事件、元研究員に懲役8月求刑
CGIの引数をちょちょっといじってやったらあら名簿ファイルが流れてきちゃった、これを不正アクセスと見なすのかどうかが1つの焦点となっています。管理者はWebサーバに対し、ユーザとパスワードによる認証のあるFTPで通信することを想定し、CGIで名簿ファイルが流れてしまうようなことは想定していなかった、だからこれは不正アクセスである、という論法です。

突き詰めれば、Webから見える領域にファイルがおかれていても「Webから見ることは想定していない」とか(リンク張られておらずファイル名はユーザが類推しURLを作ると仮定)、そういうことにもなりかねないため焦点になってますね。弁護側も「HTTP/FTPなどプロトコルで分けて考え、HTTPはファイルを取るためにプロトコル = HTTPのアクセスは不正アクセスでない」というような主張に持っていきたいのでしょうか、これもはやり無理がある主張のような気が。

clock.nc.fukuoka-u.ac.jpの利用を控えるよう異例の呼びかけ

[ITmediaニュース] 福岡大のNTPサーバがアクセス集中で悲鳴
NTPサーバを提供している福岡大学の教員が、NTPサーバの利用を控える異例の呼びかけを行っています。早期からサービス提供しているPublic Stratum 1のNTPサーバということで、ネット上の設定マニュアルや組み込みルータなどに使われてしまっている例が多いそうな。

NTPは正確な時刻を自力で刻める最上位のStratum 1、Stratum 1のサーバと同期する下位サーバ・・・という具合に階層構造を取るのが理想とされています。つまり、一般ユーザはStratum 1にはつながず、身近にあるStratum 3などのサーバにつなぐのがマナーっつーことです。で、ISPなどが会員向けにStratum 1と同期したStratum 2を立てたり・・・という具合です。

今回の問題を機に、ISPごとのNTPサーバリストを整えようとかいう動きもあるので、自宅でコッソリNTP同期取ったりしている人はこのへんとか見て一度確認してみましょう。ちなみに、WindowsXPではデフォルトでtime.windows.comというホストに接続して同期取るという設定になっています。

DDoS攻撃回避のためにACCSがWebサイト移転

[ITmediaニュース] ACCSのWebサイト、DDoS攻撃対策でURL変更
AntinnyウィルスのDoS攻撃に悩まされるACCSの話は以前取り上げましたが、この対策のためにACCSはついにURL変更することにしたそうです。www.accsjp.or.jp→www2.accsjp.or.jp ...ってほとんど変わってないやん。まぁホスト名的には別物なのでこれでいいんでしょうけど。

正直、今回の話は非常に脅威に感じます。どっかのよくわからんやつの攻撃対象とされてしまったら、最悪こういうように移転せざるを得ない事態にまでなってしまうというわけです。ウィルスによりゾンビ化したホストがインターネット上に氾濫している状況を根本から変えていく道のりは果てしなく、その過程では、インターネットでサービスするサーバを用意している限り今回のように不運なことになってしまうやもしれないわけで。

PSPの夢が詰まったダミーアップデートファイル

[PCウォッチ] SCEIが警告「PSPのアップデートファイルは適用しないで」
PSPがアップデートファイルを探しに行く先となっているSONYのサイトを解析して調べ上げ、そこから不正に入手されたファイルが出回っていますが、SCEIがそれをPSPに適用しないでと異例の発表をしています。

話の詳細はこちらへ。 どうも、アップデートファイルの開発部隊の人が作ったテスト用のデータが不正に使われてしまったという話のようです。そのファイルのリリースノートには、開発者のPSPに対する夢がたくさん書かれているそうな。

インターネットの終わりが来る日なんてあるんだろうか

[ITmediaニュース] 10年以内に「壊滅的なネット攻撃」専門家が予想
その気になればインターネット上の通信を妨害するのは簡単であるのに、なんで今まで壊滅的な被害がなかったのだろうとかいう個人的感想もあるんですが、今現在考えられる効率的かつ壊滅的攻撃はDNSのルートサーバ攻撃orスパムメール地獄といったところでしょうか。DNSは、ルートサーバ攻撃もさることながらAkamaiを落とせばめちゃ影響がでかいとかそんな考えもありますね。まぁそんなことはあまりあってほしくないんですが・・・

WAKWAKのスパム対策

[SlashdotJ] WAKWAK、迷惑メール対策で外部SMTPサーバへの接続を制限
OutgoingのTCP:25をブロックし外部へメールを送るときにはWAKWAKのMTA(メールサーバ)を利用しれ、という決定らしいです。スパム/ウィルスメール対策の決定打がない今のインターネット社会、今回のような決定を下すISPが今後増えてくるでしょうね。外部へ流れるメールはすべて自前のMTAを通すことで、送信数やウィルスチェックなどを一括して行えるというわけです。考えられる影響は2つ。

1つ目は、外部のメールサーバを利用している場合。会社のメールサーバから送信してるような場合に制限を受けます。まぁFromを会社のメールアドレスとしてWAKWAKのMTAから送るという方法もありますが、Sender IDに引っかかる可能性がありますね。

2つ目は、WAKWAK管理下のIPアドレスでメールサーバを立ててる場合。自宅サーバなどがあげられます。WAKWAKのMTAにrelayさせればいいんですが、Fromチェックで「hoge@wakwak.co.jp」でないとエラー扱いされてしまう可能性があります。今回はWAKWAK側はそこまでのチェックはしていないようですが、将来はそういう流れになる可能性もあるかも。

ちなみに、固定IPアドレス契約すれば制限を受けないそうです。万が一固定IPアドレスの人からスパムが送られたとしても、そのIPアドレスだけ規制すればいいわけで、WAKWAKの他のユーザに影響は与えないわけですね。自宅サーバ立ててるやつは固定IPアドレス契約しろとか、早く固定IPアドレスサービスを一般的に広めろとか、まぁ語ることは他にもありそうな話題で。

ネットワーク管理者として考えるべきウィルス対策

[ITmedia エンタープライズ] 実録？　セキュリティ管理者の嘆き
企業でLANを組んでいるような環境でどのようにウィルスが広まっていくかを具体的な例で説明してる記事です。ネットワーク管理者としてどのような点に注意すべきなのかというあたりの整理にはもってこいかと思います。現在の主流な感染ルートは2つ。

1つ目がウィルス添付型メール、特にHTMLの脆弱性をついて自動感染するタイプが多いです、Windowsを使っている限りはHTMLメール = IEの脆弱性があるということなので、基本的にはHTMLメールは無効にしておくのが無難でしょう。アンチウィルスソフトでは、POP/SMTPで送受信されるメールを感染チェックする機能も増えてます。

2つ目がランダムアクセス型。脆弱性のあるサーバを立ててるIPアドレスを片っ端から探していって感染を試みるというパターンです。サーバといっても要するに接続待ち受けをしているポートすべてという意味なので、もしWindows上でNetBIOS over TCP/IPの脆弱性が見つかればWindowsマシンすべてアウトということにもなりかねません。Remote Procedure Call(RPC)の脆弱性をつくMSBlasterのようなやつが有名。インターネットに直接つながってる状態にはせず、どんなマシンでも最低でもルータ(=ファイアウォール)越しにつながってるようにするのがまず第一でしょう。

やはり問題になってくるのがノートパソコンかなぁと思います。無線LANはネットワークを分けて、利用できるポート自体も規制すべきなんでしょうかねぇ。うちは・・・そうなってなけど。

スパムメールへの対向法整備準備中

[MYCOM PC WEB] 迷惑メール対策「法適用を拡大、取り締まりを強化へ」 - 総務省が中間報告
いわゆる「未承諾広告※」法律が実効性を伴っていないことが叫ばれて久しいですが、総務省がそんな現状のための法整備の議論を行っていて、それの中間報告がなされてます。とりあえずどんな行為をすれば迷惑メールを超えて違法メールとなるのかという部分の議論のようで。定義はさておき、実効性のある法律制定を望みますです。

Winny妨害サービス登場

[ITmediaニュース] 「Winnyを撃破」――ダミーファイル大量放流で著作権を守るサービス
拡散を防止したいWinny上のコンテンツがある場合に金出せば妨害してくれるというある意味すごいサービスです。おそらくファイルサイズとハッシュ値を一致させたダミーファイルを広めるんだろうと思います。けど、トリップ機能も備えるWinnyにどこまで対抗できるのかが疑問。本物ファイルを持つ人がトリップ付きで配布した場合はどうなるんでしょうか。それ以前にこういう妨害サービスって法律的には大丈夫なんだろうか。とかとか、なかなか興味深いサービスです。

PHPとphpBBの脆弱性をつくSantyワーム登場

[ITmedia エンタープライズ] Google検索を悪用するSantyワーム、オンライン掲示板に感染
phpBBはBF1942コミュニティサイトでは比較的広く利用されているCMSですが、わずか数日前に報告された脆弱性を持つサイトをGoogle使って探し出し感染活動をするというSantyワームが登場しているようです。ざっと見たところちゃんとバージョンアップしてるところがほとんどないというように見受けられます。早いとこ関係者は手を打っておいた方がいいと思います。

DDoS攻撃対策の裏側 -ACCS編-

[Internetウォッチ] ACCSのWebを停止に追い込んだ700Mbpsを超えるDDoS攻撃の実態
AntinnyによるDDoS攻撃に悩ませる業界各社の対応ぶりがレポートされてます。攻撃対象となってしまっているサイト自体は当然のこととして、DNSサーバを運営するISP各社も被害を受けているという実情が報告されてます。プログラム制御によるDDoS攻撃はネットワーク的対策では事実上防御不可能というのが実情のようです。結局、Antinnyに感染していると思われるユーザに個別に対応していくしかないようです。いわゆるプロバイダ責任法に、問題時は個別ユーザの接続を拒否できる権利も盛り込まざるを得ないんでしょうか。拒否を自動でできるような技術的課題もあるようで。

個人情報って何？

[Internetウォッチ] 企業の情報セキュリティは複数の方法を使い分けるべき～山口英氏講演
特に最後の章である「煽るだけのメディアにも問題がある」についてです。

「住所、氏名、電話番号」と「カード番号や決済履歴」を比較しています。一口に個人情報といっても前者と後者じゃ大違いですよね。この辺は実際に裏で商売してる名簿業者の方が詳しいでしょう。ただ単に住所・氏名・電話番号のみが載った名簿なんて利用価値がないに等しく、たとえば「年収1000万以上」「＊＊大学に子供を持つ親」「消費者金融に20万以上の借金あり」といったように、条件が絞られた名簿でないと意味がないわけです。

この辺は個人情報を集める企業側にもいえて、営業上必要な個人情報はどこまででどこからは必要ない情報なのか、そんな判断をして、漏れると危険な情報をできるだけ持たないようにする努力をする必要があるでしょう。「ユーザ登録」と称して何でもかんでも入力させるような企業に対していってるんですがね。

指紋認証時代はまだか？

[PCウォッチ] マイクロソフト、USB接続の指紋リーダ
もうね、ユーザIDとパスワードを覚えるのは飽きた。その解決法の1つが指紋認証だと考えてます。指紋をベースにした暗号化技術によりユーザの認証が可能となるようなプロトコルをSSLあたりの拡張としてぜひ盛り込んで欲しいね。MD5あたりと組み合わせればうまく動くと思うんだけどなぁ。地味にマイクロソフトはハードウェアインターフェース機器でいい仕事してますな。あ、Windowsに統合はしないでね。

Google Desktop Searchにセキュリティリスク？

[ITmediaニュース] デスクトップ検索ツールがもたらすセキュリティリスク
まとめるなら「Google Desktop Searchを導入するのはセキュリティリスクがある」となる記事ですが、ちょっとそのまとめ方は乱暴じゃないかなぁっと。

そもそもの問題の一つ目は、Google Desktop SearchなどのツールがHDD内部のすべてのファイルをインデックスしかつ一度インデックス化されたらたとえオリジナルが消えてもそれを検出してないような点が上げられます。ユーザが通常データフォルダとして使う箇所以外はインデックス化してもあまり意味がない気がします。

二つ目に、(SSL通信内容のような)勝手に見られちゃ困るようなデータをたとえ一時ファイルとしてでも生成しない方がいいんじゃないかという点です。たとえば一時ファイルを書き出すフォルダを共有設定してれば、多かれ少なかれ似たようなセキュリティリスクが発生します。この辺は、そういうツールを作ってる会社側の問題だと思います。

三つ目に、最後で指摘されてるような昼と夜で使う人が違うようなパソコンの例では、そもそもパソコンを取り間違ってるのが原因と思います。パソコンっつーのはパーソナルなコンピュータであり一人が使うことを想定してのがほとんどです。WindowsNTではユーザ管理ができるようになりましたが、実際はAdministrator権限がないと何もできないに等しいという現状なんで、やっぱWindows使ってる限りはあくまで一人が使うという前提で考えざるを得ないでしょう。

っという感じで、結構論点が変わっちゃってる気がする記事です。

パッチだらけのソフトウェアに誰がした？

[ITmedia エンタープライズ] ユーザーはインターネットセキュリティに混乱している
まとめるなら、WindowsUpdateに代表されるようなパッチを適用する必要性を理解してない人が一定割合はいるというアメリカの調査結果です。日本でも同程度の割合でそういう人はいるでしょう。パッチを当てなきゃいけないなんて理不尽でめんどくさいことをなぜしなければいけないのかという主張はもっともなことです。でも現状じゃこうするしかないんですよね、理想論を言っても仕方ないので、現状では説得してパッチを当ててもらうほかないわけです。

先の理想がかなわない限り、コンピュータの安全を義務づける法律の制定という方向は許容せざるを得ないです。だけど同時に、最悪の場合にはコンピュータの利用(ネットワークの参加)を強制的に制限できる権利も欲しいところです。インターネット上のいわゆるゾンビホストがいかに多いことか、これらを排除するために管理責任と同時に管理権利が必要というわけです。