Previous Topへ Next

OSXのtips3-1

今まで運用記録に書いてきたシステム運用のtipsを一カ所にまとめることにした。 要するに記事の量が当初の想定よりも多くなってしまい 私自身探すのが大変になってきたからだ。 ちょっとしたメモとしてのtipsも結構重要な情報になったりするので ここで項目を集めることにした。
セキュリティに関するtips


anchor

ClamXavが調子が悪いことに気がついた。

いつからだろう?
先日のセキュリティアップデートからだろうか?
そういえばOS10.4.8アップデートをかけてからかも。ログを見ると前回定義ファイルの更新に成功しているのは9/17。
9/23にセキュリティアップデートがかかっている。
その間インストールしたアプリで、システムのステータスを変更しそうな怪しそうなものはない。

どう調子が悪いかというと
「ウイルス定義ファイルの更新」
を実行しても
「ログファイルのアクセス権の問題があるために定義ファイルの更新ができない」
という表示が出る。

このアクセス権をいじってみたが、変化がないのでClamXavのサイトからClamavEngineRemoverをダウンロードして実行、clamavエンジンをまずアンインストールした。






ClamXavのウイルス定義ファイルを更新しようとすると
「ログファイルのアクセス権に問題があるために更新できない」という表示





このログファイルの実体は"/usr/local/clamXav/share/clamav/"にあるfreshclam.logというファイル
このアクセス権、所有権を色々いじってみたがいっこうに改善しないので
ファイルが壊れていると判断して再インストールすることにした





その方法はまずClamXavのサイトからClamavEngineRemoverをダウンロードしてくる





それをTerminalにドロップして実行する
REMOVER has now finishedの表示が出ればアンインストール成功



この状態で再度ClamXavを起動してclamavエンジンを再インストールした。

そして定義ファイルの更新をしたところ、今度は動作はしているみたいだが、なぜかCPUの負荷がほとんどかかっていない。
ログファイルのアクセスには成功したが定義ファイルの通信には失敗している。
念のためにコンソールを起動してログを見ると
「5秒したら再度トライする」という表示が3回
「データベースのアップデートをギブアップした」
という表示。
つまりウイルス定義ファイルの取得に失敗している。






再インストールしたエンジンでウイルス定義ファイルを取得しようとしたが「失敗した」という表示



ところが先ほど自宅に帰って再度トライしてみたらなんと更新に一発で成功。
会社環境のファイアウォールと相性が悪かったのか、clamavのデータベースサーバがたまたまメンテ中だったのか落ちていただけなのか?
原因はわからないが、今度はちゃんとファイルも更新してスキャンにも成功した様子。

なんだか最後の方はちょっとヨレヨレだが、一応成功したので結果よければ全てよしというコンピュータを扱う原則に従いトラブルシューティング成功ということにした。






自宅でネットに接続すると定義ファイルの更新に成功、スキャンにも成功した
前回の定義ファイル更新では69624個のウイルスが確認されていたが
今回の更新で71101個に増えている






セキュリティに関するtips


anchor

Terminalを自動起動して悪意あるコードを実行されるリスクを回避するコードを試してみた。

出典はこちらだ。

この面白い情報はBBSで「Rauf」さんからいただいた。
先日来問題になっているiChatSafariを発端にするURI周りの「深刻な」脆弱性については、先日セキュリティアップデートが出たことは書いた。
しかし急ごしらえのパッチなために、何となくバグがあるんじゃないかと感じてしまったということも書いた。
Appleさんの技術力を信じないわけではないのだが、それでもそういう見落としがあるということはまだ穴が残っている可能性も否定できない。
(それを「信じていない」と言うんぢゃないのか?という突っ込みは置いておくとして)

パッチは主に想定外のURIがTerminalなどのスクリプトの実行環境を勝手に起動しない、ディスクイメージを勝手にマウントしないなどの内容になっているように思われる。

それでも漏れがあった場合は、どうなるか?
また危険な添付ファイルを全く無自覚にクリックしまくる初心者ユーザも使うようなマルチアカウントな環境の管理者にはどういう対策がとりうるかというと、これも先日紹介した Paranoid Androidのようなアプリケーションエンハンサーを有効にしておいて自動起動をことごとくアラートで止めるという対策こそが最も確実ということになる。
(しかしこれでもアラートを一切読まずにOKボタンをクリックしまくる無自覚ユーザには意味がないのだが。結局セキュリティに関しては◯◯につける薬はないということになる)

しかしこの方法では全ての自動機能がブロックされてしまうので、例えばアプリを使ってiTunesを自動起動して目覚ましに使うというような、パソコンだから許される便利な機能が全て死んでしまうことになる。

そこまでの厳密な安全性を担保しなくても良いという一般の標準的なユーザは、もうちょっとこのセキュリティの制限を狭めた方が不便が無くなる。

そこで教えていただいたこの方法はTerminalが起動する時に
「本当にあなたの意思で起動したのか? そうでないならnキーを、普通にTerminalを使いたいのならyキーを叩け」
というアラートが出るようにするというものだ。

これならTerminal以外の自動機能を殺さずに済むのでやや不便が少なくなる。その方法は以下の通りだ。

"/private/etc/bashrc"
または
"~/.bash_profile"
に以下の文字列を追記する。
こういう時のUNIXの作法は
echo export
というコマンドを使うということになるが、GUIでSmultronを使って安直にやる方法をアドバイスいただいた。
そうだ、その方が簡単だよね。

方法は Coelaなどの不可視ファイルも操作できるファイルブラウザを使って上記bashrcをSmultronにドロップするだけだ。
(なんとMac的な!)

そうするとテキストとして開くのでその文末に以下の文字列をコピぺするだけで良い。
上書き保存にはルート権限を要求されるが、これはパスワード認証できる。



# keep my playground secure
echo "############################################################";
echo "##                                                        ##";
echo "## If you do not know why Terminal has launched, answer   ##";
echo "## 'n' to the following question. Otherwise, hit 'y' to   ##";
echo "## open Terminal as usual...                              ##";
echo "##                                                        ##";
echo "############################################################";
echo "Open Terminal.app now (y/n)";
read -r -t 15 -e OpenTerminal
if [ "$OpenTerminal" == "" ] || [ "$OpenTerminal" == "n" ]; then
  exit 1;
fi;
if [ "$OpenTerminal" != "y" ]; then
  LastCommand="$OpenTerminal";
  echo "Open Terminal.app now (y/n)";
  read -r -t 15 -e OpenTerminal
  if [ "$OpenTerminal" == "y" ];then
    echo "This was the command that started Terminal.app:";
    echo $LastCommand;
    else
    exit 1;
  fi;
fi;



そうすることでTerminalが起動する時にキャプチャーのようにアラートを表示するようになった。
これでもある程度の安全性は確保できるはずだ。
問題点はOnMyCommandCMのようなコンテクストメニューを使ってTerminalでmanを自動表示できなくなったということか。
やはり「安全」には何か不便がつきまとうものだ。
滅多に使う機能ではないので別に良いのだが。






Coelaを使って"/private/etc/bashrc"をSmultronにドロップ
そしてこういう文字列を追記する
上書き保存にはrootの認証を要求される





そうするとTerminalを起動するたびにこういうアラートを表示するようになる
これで悪意あるコードを勝手に実行されるということは防げる
Terminalに連携する自動機能は使えなくなるという不便はあるが・・・






セキュリティに関するtips


anchor

セキュリティ向上のための簡単なまとめ

セキュリティを向上させるために何をやっているかということをいつかまとめようと思っていた。
世の中にはシマンテックをインストールして後は全てデフォルトのままという状況も多いようだし、専門雑誌でも
「あなたのパソコンは狙われている!そこでシマンテックさえ入れていればもう安心」
なんていうような低レベルな記事があまりにも多過ぎる。

シマンテックの製品の性能の問題のことを言っているのではない。しかしシマンテックだけ入れて後はデフォルトのままというのであれば、それは裸でいるのとあまり変わらないと思うのだ。
ここで簡単に私が何をやっているかをまとめるのは少しは意味があるのかも知れない。

1)起動ボリュームの名称を変更する
2)ファイヤーウォールを起動する
3)Safariの「ダウンロードした安全なファイルを開く」チェックを外す
4)URI自動呼び出し実行機能をブロックするユーティリティを使う
5)ウイルスチェッカーを使う
6)htmlを自動プレビューするようなタイプのメーラを使わない
7)ポート監視ユーティリティを使う
8)パスワードについて
9)個人ファイルを暗号化する
10)紛失時の変更IPを自動通知する機能を導入する
11)WAN接続はルータを噛ます


1)起動ボリュームの名称を変更する
まずインストールの段階から言えば、起動ボリュームの名称を変更しておくことだ。
これはOS8時代にftpファイルを偽装してデスクトップにダウンロードされたとたんに、マウントされている「MacintoshHD」という名称のボリュームを探しその中に自分自信を自動コピーして繁殖するというウイルスが流行したからだ。

このウイルスの対策はファイル名で定義するワクチンソフトを実行することと、起動ボリュームの名称を変更しておくことだった。とにかく「MacintoshHD」という名称を使わなければ良い。
OSXではこういうタイプのワームは発見されていない。
だから現状この設定は無意味ではあるのだが、過去にそういう対策をしていたからもうこれはMacを扱う上では習慣のようになっている。
一応「OSXでもそういうタイプのワームが出て来ないとも限らない」という対策だ。

問題はOSXのボリューム名称の変更はOS9以前と違ってシステムインストールの事後に変更することをお勧めしないということだ。
OS9では気楽に起動ボリュームの名称変更をしていたが、OSXではパスを通すタイプのシステム動作が多い。
UNIX的には起動ボリュームは「/」だからその名称をいじっても影響はないとも言える。しかし実際にはどんな影響があるかわからないので試してみる勇気がなかなかない。
結局起動ボリュームの名称変更はシステムインストール前のパーティション設定の時にやるのが一番安全ということになる。

余談だが、私はデータファイルを入れておくボリュームと起動ボリュームということでディスクをふたつに分ける形でパーティションを切っている。
その方がシステムが飛んだ時に全部入れ直しにならないから助かるためだ。
ただし、OS9とOSXはもうパーティションを分けていない。
OS9で起動できなくなった時点でその二つを分けることに意味を感じなくなったからだ。
以上余談。

(さらに余談追記
私の場合、2013年3月段階でもうデータ領域もパーティションを切らなくなっている。
理由はディスクの大容量化に伴い、ディスク全域をTime Machineでバックアップすることにしているので、パーティションマップが壊れた時は、あっさり初期化、全域の復元という方法をとることにしているため。
またディスクの精度もこの10年で飛躍的に向上して、昔よりも歩留まりも向上している。
さらに空き容量をSwapと共用して無駄が無いようにし、十分空き容量を取ることで断片化も防げる。
以上の理由で、いまMacBook ProのパーティションはrEFItで切ったLinux用の領域だけとなった。
LinuxもVMWare Fusionだけで使うならこれも必要も無いことになる。
このようにハードの進歩やOSの仕様の変化で一部の安全策は変化して必要なくなる。
MacBook Pro mid2009モデル、Mountain Lion、内蔵ディスク1TBでの最適解だと考えている)






システムをインストールする前にデスクユーテリティ
パーティション設定で起動ボリュームの名称を変更しておく
名称は何でも良い、とにかくデフォルトの「MacintoshHD」を使わなければ良い





それでデスクトップにマウントされる起動ボリュームの名称を変更できる
また複数台のMacでネットワーク上に共有を開くときにも
混乱を防ぐために名称は一台ずつ違う方が良い



2)ファイヤーウォールを起動する
これはここの「UNIXのルートを有効するに先立って実行しておくべきセキュリティ」という項目でも書いたが、OSXにデフォルトでインストールされているファイアーウォールを起動しておくことだ。

3年前に世界中で猛威を振るったWindows向けのウイルス「Blaster」とその亜種のウイルスは従来の大多数のウイルスとは際立った特徴があって、それまでの流行種はほとんどメールなどに添付されるとか偽装ファイルとしてwebからダウンロードさせたりというものが大部分だった。
だからメールボックスさえちゃんとスキャンしてくれればそういうものは防げるので、シマンテックのようなウイルス対策ソフトである程度効果も上がっていた。
しかしこの「Blaster」というタイプはメールに全く依存しない。
webブラウザの欠陥を利用しているわけでもない。
まさにネットワークに繋っているだけで、pingの通っているところにはどんどん自分のコピーを自動生成してそこでまた新たに次の繁殖先を探すために異常にpingを大量に打ち始めるというタイプのウイルスだった。

このウイルスのためにネットワークには非常に大きな負荷がかかってサーバが落ちたところもある。 しかしこのウイルスは従来のものとは振る舞いが全く違ったのでセキュリティの意識が低いユーザにはなかなか対策が浸透しなかった。相変わらずシマンテックさえインストールしていれば安全だと信じ込んでいるユーザが過半数だった。
Windowsのファイアーウォールがお世辞にも使いやすいインターフェイスではないという問題もあった。
そのためにこのウイルスは相当長期間に渡って猛威を振るっていた。
(しかもインターフェイスのデザインの問題だけでなく、Windowsはファイアーウォールを立てるとLAN内のサーバに認証できなくなるとかの問題も起こしていた。これもWindowsローカルルールの変な通信規格、認証規格のおかげだ。だから私の職場でも社内の全機のファイアーウォールを起動することができたのはWindowsXP SP2以降の話だ。「Blaster」の被害の拡大はユーザの意識の低さだけの問題で片付けるべきではない)


このウイルスもOSXに対しては全く無効だったが、OSXもシェアが伸びていることだし今度はOSXをターゲットにしたこういうタイプのウイルスが出て来ないとも限らない。
その一番有効な対策はファイアーウォールを起動することだ。
それもネットワーク全体を包囲するファイアーウォールだけでなく、個々のマシン一台一台のすべてがファイアーウォールを立てるべきなのだ。

このウイルスはネットワークを通じて増殖できなければ、威力は大幅減少するのでこの対策だけでもかなり有効なはずだ。というよりも「Blaster」以前にはWindowsの世界ではそういう対策も困難だったというところにおおいにプロダクトとしての問題点を感じるのだが。

MacOSXもインストールしたなりのデフォルトではファイアーウォールが起動されていない。
それはユーザの専管事項だという考え方もできるが、MacというGUIの性格を考えると相当な初心者も使うことが考えられるので、「Blaster」のような騒ぎを他山の石とするためにもこれはやはりデフォルトでファイアーウォールを起動してあるという状態にして欲しいものだ。
ただ現状でもそうなっていないので、OSXユーザにはこの対策はぜひとも実行することをお勧めする。

やり方は非常に簡単だ。
下記の通りシステム環境設定ペインの共有でファイアーウォールを起動するだけだ。

少なくともこれだけで「Blaster」のようなタイプに出会い頭でやられるリスクは大いに減少するはずだから、ぜひとも実行してもらいたい。






システム環境設定ペインで「共有」を開きファイアーウォールを「開始」するボタンをクリックする
たったこれだけのことでネットワーク上のリスクは大幅に減少する


3)Safariの「ダウンロードした安全なファイルを開く」チェックを外す
これも放置しておくのは非常に危険だと私は考えている。
今年はじめのOSXのURI周辺で大量に見つかった「深刻な」脆弱性の話も、最初の発火点はSafariのこのデフォルトの設定だった。

何が問題なのかというと以下のようなプロセスが成立してしまうからだ。
Safariがダウンロードしたファイルはデフォルトではデスクトップに置かれるようになってる。
デスクトップでSafariは勝手にこのファイルを解凍展開してしまう設定になっている。
一昨年のURI脆弱性騒ぎの時には、この時に勝手にTerminalHelpiCalなどのスクリプト実行環境を起動してしまい、そこにある種のコマンドを渡してしまって、ユーザの意思とは関係なく外部からコマンドを実行できてしまうということが問題になった。
これを利用すれば、ディスク上の好きなファイルをコピーして送信したり、削除したり場合によってたrootになってリモートを実行してしまうとか、要するに完全に乗っ取られてしまう可能性が出てくる。
またその可能性を証明した実証コードも公開された。

この時の対策ではある種のファイルが未登録の初めてのURIを開く時には「本当に開いても良いのか?」とユーザに注意を喚起する改良が行われた
そういう対策が講じられてもユーザがアラートも読まずに何でもかんでも機械的にOKボタンをクリックするようなセキュリティ白痴だったらそれも意味が無いのだが、一応この時にはこの問題は解決したかに見えた。

しかし今年はじめからずっと続いているURIの脆弱性の問題は、この時の問題がまた再燃していることがことの本質だ。
要するにメタデータがURI呼び出しをブロックする対策の抜け穴になっているということが最大の問題らしい。
タイガー(OS10.4)から採用されたSpotlightは全てのファイルにメタデータを忍ばせることで高速のファイル検索、ファイル操作を可能にしているが、このメタデータというのは検索データだけでなくある種のスクリプトを忍ばせてここで実行させてしまうことが可能だということが判ってきた。
これも実際に実証コードを見たが、確かにこれだと解決したかに見えた例のURI脆弱性を再び突くことが可能なことがわかった。

だから今年に起こった脆弱性の問題はタイガー固有の問題で、メタデータを採用していないOS10.3以前のバージョンではこの問題は起きない。

この対策はいくつかあるが、まずAppleのセキュリティアップデートは常に最新の状態にしておくことと、このSafariの自動展開の機能を切っておくことというのがSafariユーザには有効だ。

Safariでwebサイトを表示しただけで勝手にある種のファイルをダウンロードさせることはできる。
そしてダウンロードしたファイルをSafariが勝手に展開して、それをメタデータ実行環境を通じて実行されてしまうと、ユーザはこれを止めるすべが無くなってしまう。
このプロセスをどこかで一度止めてユーザに
「このファイルは開いても安全だろうか?」
と考えさせるステップが無いといけない。
それがこの設定のチェックを外すということだ。

このチェックを外しておけば勝手にSafariがダウンロードし始めたファイルもとりあえず実行されずにデスクトップにとどまる。
そのファイルネーム、出所を確かめてこれは開いても良いファイルかどうかを考えれば良い。
そして怪しいファイルは基本的には開かないことだ。

そのためにはダウンロード先もデスクトップではなく専用のダウンロードフォルダを作っておき、後述のウイルススキャンアプリに監視させるということが望ましい。
その方が問題を切り分けやすいからだ。

これもぜひ実行をお奨めしたい対策だ。






Safariの環境設定に入って「ダウンロード後"安全"なファイルを開く」チェックを外す
なぜなら「"安全"なファイル」を見分けるすべが無いからだ
またダウンロード先はデフォルトでデスクトップになっているがこれも変更するべき
これもOSXユーザは必ずやっておくべき対策だ



4)URI自動呼び出し実行機能をブロックするユーティリティを使う
これも上記のURIの脆弱性に対する対策ということだ。
これはシステムにもある程度そういう機能が何回かのセキュリティアップデートで実装されているが、Paranoid Androidでは全ての実行環境を未登録のファイルが起動しようという時に確認のタグでブロックしてしまおうというものだ。
ユーザが許可したもの以外は、自動的に呼び出された機能はそこで止まってしまい前に進めない。
なのでこのアプリを使うとiTafのようなiTunesを時間になると起動して演奏を開始してくれる目覚ましアプリなど、便利な自動機能がほぼ全滅的に死んでしまう。

しかし初心者も含めた不特定多数のアカウントを管理しなくてはいけないような管理者には、この対策は勧めておきたい。
セキュリティの問題は常に便利をとるか安全をとるかという天秤にかけることが必要になってくるが、そういう条件のシステム管理者はやはり安全を優先した方が良いからだ。

ただこれも頻繁に書いているが、アラートを一切読まないで機械的にOKボタンをクリックするセキュリティ白痴には無意味な対策であることには変わりはないのだが。

もう少し便利をとりたいというシステム管理者、あるいは上級ユーザはSafairyを実行することをお勧めする。
これは要するにSafariが何かをダウンロードしようとしている時に「それは実行ファイルですよ。本当にダウンロードしても良いんですか?」というアラートで一度止めるというもの。

自動機能はやはり便利に使いたいが、ブラウザに勝手なことされては困るという人はこれを実行しても良いと思う。これは実行してしまうと解除の方法が無いのだが、私は別にそれでも良いと思う。
自動的にダウンロードファイルを開く設定など便利だと思ったことが無いし、ケアレスミスを防ぐためにもそういうことでブロックできるなら良い。

もうひとつのURIブロックの対策はここの記事でも紹介したTerminal自身に自動起動ブロックのタグを表示させる方法だ。

これも自動機能を全般的に殺したくない時には有効だと思われる。
なぜならこういう脆弱性を狙ってくるクラッカーは最初に狙いをつけるのはTerminalだと思われるからだ。ここにはrootを有効にするコマンドやsudoコマンドで相当なことができる環境が完備されている。
何かの弾みでパスワードもクラックすることができたら本当に好き放題のことができるからだ。

その方法はリンク先に詳述しているが再度転載する。

##############################

"/private/etc/bashrc"
または
"~/.bash_profile"
に以下の文字列を追記する。
こういう時のUNIXの作法は
echo export
というコマンドを使うということになるが、GUIでSmultronを使って安直にやる方法をアドバイスいただいた。

方法は Coelaなどの不可視ファイルも操作できるファイルブラウザを使って上記bashrcをSmultronにドロップするだけだ。
(なんとMac的な!)

そうするとテキストとして開くのでその文末に以下の文字列をコピぺするだけで良い。
上書き保存にはルート権限を要求されるが、これはパスワード認証できる。



# keep my playground secure
echo "############################################################";
echo "##                                                        ##";
echo "## If you do not know why Terminal has launched, answer   ##";
echo "## 'n' to the following question. Otherwise, hit 'y' to   ##";
echo "## open Terminal as usual...                              ##";
echo "##                                                        ##";
echo "############################################################";
echo "Open Terminal.app now (y/n)";
read -r -t 15 -e OpenTerminal
if [ "$OpenTerminal" == "" ] || [ "$OpenTerminal" == "n" ]; then
  exit 1;
fi;
if [ "$OpenTerminal" != "y" ]; then
  LastCommand="$OpenTerminal";
  echo "Open Terminal.app now (y/n)";
  read -r -t 15 -e OpenTerminal
  if [ "$OpenTerminal" == "y" ];then
    echo "This was the command that started Terminal.app:";
    echo $LastCommand;
    else
    exit 1;
  fi;
fi;



そうすることでTerminalが起動する時にキャプチャーのようにアラートを表示するようになった。
これでもある程度の安全性は確保できるはずだ。
問題点はOnMyCommandCMのようなコンテクストメニューを使ってTerminalでmanを自動表示できなくなったということか。






Coelaを使って"/private/etc/bashrc"をSmultronにドロップ
そしてこういう文字列を追記する
上書き保存にはrootの認証を要求される





そうするとTerminalを起動するたびにこういうアラートを表示するようになる
これで悪意あるコードを勝手に実行されるということは防げる
Terminalに連携する自動機能は使えなくなるという不便はあるが・・・



5)ウイルスチェッカーを使う
セキュリティ対策というとまず第一番目にこれが思い浮かぶ人がかなり多いんじゃないだろうか。
実際私の周辺でも
「シマンテックのアンチウイルスをインストールしているから大丈夫でしょ」
という人がかなり多い。
しかし私の個人的な感想を言わせてもらえば、そういう人こそセキュリティ白痴というのだと思っている。

見ての通り私のところではこれは5番目の項目だ。
その理由はここまで読み進んで来られたあなたなら理解していただけると思う。
もちろんそういうウイルス対策にワクチンソフトを使うことが「全く無意味」だとは言わない。多少は効果はある。
しかしウイルス定義ファイルを元にしたワクチンソフトというのはあくまで対症療法なので、これ単独では万全という状況からはほど遠いと考えている。
それはClamXavのようなフリーウエアを使おうが、シマンテックやマカフィーを使おうが全く同じことだと思っている。これらは他の対策と組み合わせて使わないとあまり意味が無いのだ。

それでこのウイルスチェッカーのようなソフトに関しては何を使っても良いと思うし、お金をかければより安全だということは全くない。
それどころかある種の製品版対策ソフトは、システムに重大な負担をかけるので使うべきではないと私は考えている。
ウイルス対策ソフトに関しては私はClamXavのようなフリーウエアで十分だと思っている。完全かどうかはわからないがこれまで運用してみたところ、確かに効果はありそうだと思える経験をしているので私はウイルス対策はこれ一本でいっている。

というかWindowsの場合はそんなこと言ってられないだろうけど、Macの場合はこれで十分だ。お金をかけるのならもっと他の部分でかけるべきだと思う。




6)htmlを自動プレビューするようなタイプのメーラを使わない
これも再三にわたって書いていることだが、html自動プレビューというのは悪意あるコードの実行環境として利用される可能性が無いとは言えないので、メーラでそういうものを標準にしているようなものは基本的に使わないことだ。

具体的にはOutlook ExpressOutlookEntourageなどのMS製品がその筆頭になるわけだが、私はApple純正のMailもあまり信用していないので使っていない。
最近は改良されたのかも知れないが、わざわざそんな出自が怪しいメーラを使うよりも最初からセキュリティ重視で開発されているGyazmailThunderbirdを使うのが正解だと思っている。




7)ポート監視ユーティリティを使う
これについては有償無償、製品版アプリまでいくつかのものがあるが、私が一番使いやすいと思ったのがLittleSnitchということになる。

ポートを監視する意味は外からのクラッキングに関してはファイアーウォールが有効な防御になるが、内部からの攻撃に関しては逆にファイアーウォールだけでは不足があるからだ。
具体的にはこれはトロイの木馬のようなスパイウエアを想定している。

このアプリは何かのアプリが新たにポートを開こうとするとそのことを警告して、それを許可しても良いのか訊いてくるという機能だ。
システムが正常に動いている時にはどんなポートを開いているかというのは自ずと決まっているのだ。
だから変なアプリが変なポートを開こうとしている場合は、こういう監視アプリのアラートがスパイウエアの存在を知らせてくれる。

これの良いところはTCPだけでなくUDPも監視してくれることだ。システムのステータス通信を偽装してスパイ活動をしようというトロイの木馬もちゃんとこれなら引っかかる。
ただこういうものの性格として、誰にでもお勧めするというわけにはいかなくてこれはある程度の 通信に関する基礎知識が必要になる。
しかしこういうものを使えば安全度は高まることは間違いない。




8)パスワードについて
これは初歩的な心得のようなものだが、パスワードの扱いにはある程度の要領がある。

これはクレジットカードのパスワードと同じことだが、要するに名前と生年月日を組み合わせたようなパスワードを使うなということだ。
パスワードクラッカーは最初に名前や会社名、組織名の並べ替えをテストする。
次にトライするのはあなたの名前と生年月日の組み合わせなのだ。

あるいはOSXの場合はメインユーザとrootのパスワードを変えるというのも手だ。
そうして隔壁ごとに違うパスワードが設定されていると、それだけでもクラッカーの意欲を殺ぐことができる。

とにかく一番いけないのは名前そのままのすぐ想像できるパスワードで、ログインからrootから全てを統一して、しかもそういうパスワードをディスプレイにメモ書きして貼ってあるなんていうのが一番最悪のセキュリティ状況だと言える。




9)個人ファイルを暗号化する
これは私の場合特にiBookというモバイルを使っているので、もし本体を紛失した場合、盗難にあった場合などのケースも想定しておかないといけない。
そこでまず仕事上で使うメモなど守秘義務がかかってきそうな話は全てMacJournalに書き込むようにしている。
このメモ帳ソフトはメモのエントリーを暗号化することができるからだ。

それを開く時にはパスワードを要求される。
保存先のファイルはテキストとして保存されるが、それを開いて解読するすべは無い。

またメモ以外のファイルは全てExcesで生成した暗号化したボリュームに保存しているようにしている。
これもボリュームをマウントする時にパスワードを要求される。
その暗号精度も非常に高いものだ。


最近では例のWinny騒ぎで、情報の保有の厳格さが問題になっている。
すごく短絡的な批判として
「会社や官庁の重要情報を個人のパソコンに入れて、それをWinnyで垂れ流しているセキュリティ意識に低さが問題だ」
という言い方が随分マスコミでもネットでも見受けられた。
しかしこの批判は正論ではあるがそれを言っても何もならないと思うのだ。

これは結局個人の資質だけが問題だという矮小なところに議論を持っていこうとしているが、会社のデータを個人のモバイルでもシームレスに利用できてこそネットワークのメリットを享受できるというもので
「それを禁止すれば問題は解決されるのだ」
なんていう安直な批判は時代に逆行しているだけだ。

実際今回は情報漏洩はWinnyという違法性の感じられるソフトで起こったが、Winnyのような落とし穴はもっと他でも起こるかも知れない。
「Winnyをインストールしたパソコンにそういう情報を入れていたのが悪いのだ」
なんていう批判は正論ではあるが何の解決にもならない。
それよりもこういう暗号化ソフトで自分の守るべき情報は自助努力で防衛することだ。

これもやれば万全ということではないが、こういうことをマメに実行することでリスクは少しでも減らすことができると思っている。




10)紛失時の変更IPを自動通知する機能を導入する
これも物理的な紛失に備えてということだ
私はWimpを使っている。

これはモバイルが盗難にあった時に、その窃盗犯がwebに繋ぐと新しいIPアドレスを送信してくるというアプリだ。
完全にバックグラウンドで常駐しているので、デスクトップ上では何も変化は起こらない。しかし実際には接続しているネットで与えられるIPアドレスが変化するたびにそのIPアドレスを指定のメールアドレスに送ってくるので、警察がプロバイダの通信記録とつきあわせれば結構な確率で窃盗犯を追跡することができるだろう。

セキュリティといえば、ウイルス対策ばかりが思い浮かぶがこういう物理的な対策も必要なのだ。



<注>
現在このWimpは作者サイトのサーバの問題でサービスが停止している。作者さんはサービスを継続する意思はあるようなので、接続を切って数週間待ってほしいとのことだ。接続の切り方はリンク先で解説している。




11)WAN接続はルータを噛ます
もうひとつ忘れていたので追記。
自宅で特にADSLなどの常時接続環境でWANに繋いでいる時には直接続はさけるということだ。

ADSLモデムからパソコン本体までをLANケーブル一本で繋いでいる状況というのはやはり危険な状態だ。
以前あるBBSで
「プロバイダから支給されるADSLモデムには何らかのセキュリティが施されているか?」
という初心者の質問があった。
「◯◯プロバイダーの接続はセキュリティも安心」
なんてカタログに書いてあるからそういう誤解をしたんだと思うが、結論からいうならADSLモデムにはセキュリティ機能など全く無い。
また接続するだけで安心なプロバイダなどこの世には存在しない。
どういう形態で接続しようが、結局それはWANに直接つながってしまうわけだから「安全なプロバイダ」や「安全なモデム」なぞこの世には存在しないと思っておけば良い。

またプロバイダーによってはADSLの家を数件まとめてひとつのノードにして、そのノード間はLANのような接続スタイルにしているところもある。
一時期よく言われたことだが
「隣の家のパソコンがネットワーク上に見えるだけでなくその共有フォルダの中身まで見えてしまう」
ということが起きるわけだ。

だからもし本気でそういう環境をクラックしようと思えば、そういうパソコンはクラックできてしまうケースが結構多いんじゃないかと思う。
今のところあまり個人が狙われないのは、相変わらずハッカーという連中は愉快犯が多いからで
「どうせ狙うなら大きい目標を」
とかいって政府系や企業サイトをクラックしているわけだが、こういう連中がいつ愉快犯からクレジットカード番号を抜いたりする経済犯に変わらないとも限らない。

個人といえども防御はしているべきだ。
となるとやはりADSLモデム(光モデム)とパソコン本体の間にはルータを一発置くべきだ。
このルータのIPマスカレードで少なくともネットワークの外からはルータしか見えなくなる。
パソコンはその陰に隠れて見えなくなるので、一段安全性が向上するはずだ。
これも実行を推奨する方法だ。




以上セキュリティに関する雑感を織り交ぜながら、今私がセキュリティに関して何をやっているかをまとめてみた。
前々からいつかは書かなくてはと思っていたことなので、やっと果たしたという感じだ。

本当はもっと有効な対策があるかも知れないし私も見落としていることがあるかも知れない。
それにやっていることは大体書いたように思うが私自身も忘れている項目もあるかも知れない。
思い出したらまた何か追記するかも知れない。
また
「もっとこんな方法があるよ」
というご意見やアドバイスは歓迎だ。












Previous Topへ Next





site statistics