rootログインを不可にする〜それとOSXのrootの安全性について

OSXはUNIXをベースにしたOSだということはどういうことなのか、何度か書いた。
その中のひとつで「UNIXコマンド入門」のページでrootの権限の意味と能力についてsudo：ルート権限で実行するという記事で詳述した。

その上でsu：ルートになるという記事でTerminal上でもGUIでもrootになる方法を書いた。
その意味はそちらの記事を読んでもらいたいのだが、私の場合システム管理上やはりいろいろ便利だということもあってrootは有効にしている。

個人持ちの一人で使っているiBookは別にそれで良いのだが、自宅のネットに常時接続しているMac miniは家族それぞれにアカウントを発行しているし、さらに会社でFinalCutProやProToolsなどを動かしている業務機などの管理もやっている。
こうした業務機は当然不特定多数のユーザが操作することになる。
(当然管理者ユーザと一般ユーザにアカウントは分けているが）

その場合rootを有効にしているのはセキュリティ上どうなのか、問題を感じたのでとりあえずrootを無効にする方法を調べた。
実は有効にする時のようにコマンド一発で変更できるスマートな方法を知らない。
今まで必要も感じなかったので調べていなかったのだが、少なくとも複数が使う機械は閉じることにした。

それで調べてみたところ「rootの無効化」はNetInfo Managerというユーティリティフォルダにバンドルされているアプリを使うことが分かった。 方法は以下の通りキャプチャーで説明する。

「rootの無効化」はシステムにバンドルされているNetInfo Managerを使う
"/Applications/Utilities/"にあるこのアプリを起動する

NetInfo Managerを起動するとまず左下の鍵アイコンをクリックして解除
rootのパスワードを要求される

認証を解除したらメニューバーの「セキュリティ」から「ルートユーザを無効」をクリックする
表示が「ルートユーザを有効」に変わったらもう一度鍵アイコンをクリックして南京錠を閉じる
これでrootは無効になるし再び有効にするにはもう一度この手順で「有効」にすればいい

結局コマンドでrootを無効化する方法は分からなかったのだがNetInfo Managerで非常に簡単に無効化できることが分かったのでこれで対応することにした。

またこの方法で無効化すると今度は
sudo passwd root
のようなコマンドをもう一度打ってもrootは有効にならないので安全性は若干高まるかもしれないというおまけもついた。もう一度rootを有効にするにはこの手順を繰り返してNetInfo Managerで有効化するしかないようだ。

これで確かにrootは無効になるがこんな問題点を感じてしまった。

Terminalでsuというrootになるコマンドが有効か試してみた
一番上の最初のsuはNetInfo Managerを操作する前なのでrootにログインできている
二つ目のsuはNetInfo Managerでrootが無効になったためにログインできなかった
ただsudo suというコマンドを打ってみたらなんとこの状態でもrootにログインできた
ここで大いに疑問を感じた

MacOSXで「rootを無効にするTips」という記事ならここでOKで、この記事完了である。
確かに無効になっている。
しかしキャプチャーのように
sudo su
というコマンドを打ったら無効化した状態でもrootになれてしまうことが分かった。

そうするとよく教科書的にあちこちで解説されている、
「rootを有効にするとリスクがあるので、セキュリティの確保のためにrootは有効にしない方が良い」
というセオリーは単なる迷信だということにならないだろうか。
（リンク先の別項で私自身もそういう解説を書いてしまったが）

rootを有効にしなくたって
sudo su
のような非常に簡単なコマンドでルートになれてしまうわけだから、あたかも「無効にしておけば安全」と思わせるようなこんな解説は誤解の元だと思う。

正直ウチのユーザでTerminalを開けて何かをしようというレベルの人は会社でも家族でも皆無なので、キーボードに触れるユーザがTerminalで何か悪さをするとは考えにくいのだが、だからそんなに神経質になる必要はないのかもしれないが、こういう仕様の場合どういうリスクがあるかは考えておいた方が良いと感じた。

それでやはり心配なのはある種のroot権限を乗っ取って特定の動作を勝手に実行してリモートを取られてしまうようなスクリプトを実行されるというリスクが、一番心配だと思う。
こういう
sudo su
で簡単にルートになれてしまうといってもやはりそれはrootのパスワードを抜かれない限りは大丈夫だ。
だからリアルなユーザの不正使用に対してはrootのパスワードを教えるか否かで対処できる。
特に不特定多数が使う可能性がある会社機の場合は管理者ユーザと一般ユーザにアカウントを分けて、普段の作業は一般ユーザにやってもらうことにしている。

それで一般ユーザと管理者ユーザのログインパスワードも違うものを使っている。
こうすると一般ユーザは自分の意志でアプリなどをインストールできないという不便さはあるが、そういう端末に好き勝手にリッピングソフトだの訳の分からないものをインストールされるリスクも防げるので、こうしている。
おそらくそういうフィジカルなリスクはこの方法で回避できる。

上記のそういうユーザがわけの分からないリスキーなファイルをインターネットからダウンロードしてきて、それで勝手にある種のスクリプトをTerminalで実行されてしまうというリスクも、この方法である程度回避できる。
一般ユーザでTerminalにsuのコマンドを打っても
「あなたは管理者ユーザではない。この操作は管理者に報告される」
というアラートが出るだけでログインできない。

しかし管理者ユーザだってそういう罠にはまらないとも限らないので、もう一段踏み込んだ対策が必要だと感じた。

それがTipsのページに採録したTerminalを自動起動して悪意あるコードを実行されるリスクを回避するコードという記事と 未公認だが存在するTerminalの認証の弱点を防ぐという記事に書いた、
「root認証を５分間猶予するというシステムの仕様を無効化する方法」
というTerminalでクリティカルなスクリプトを実行されないという二つの方法だ。
これを二つとも実行するのが望ましいと思う。

そう思う根拠は上記のように
sudo su
というコマンドがrootを有効にしていなくても実行できてしまうということだ。
思うにOSXのsudoは多くの権限を持たされ過ぎている。
大抵のUNIXの場合は管理者ユーザ以外は勿論suのようなコマンドもsudoも許されていないが、OSXではインストール後デフォルトでログインできるアカウントがいきなり管理者ユーザだ。
普通の人はこの状態で使っているに違いない。

例えば自動的にTerminalを起動して
sudo su
のようなコマンドを実行するスクリプトを悪意あるサイトから自動ダウンロードされるような、そんなサイトに行ってしまったとする。
Safariの
「安全なファイルをダウンロード後自動的に開く」
という素っ頓狂な設定を外していなかったとして、自動的に解凍されたスクリプトが何かの弾みで実行されるような仕組みを持っていたとする。
そしてTerminalを起動して
sudo su
のようなコマンドを勝手に実行するとする。

OSXの場合は一度認証をすると５分間は次に認証を必要とするような操作をしてもパスワードを要求されないという、これまた素っ頓狂な設定になっている。
たまたまこの５分以内に何かの認証でパスワードを入力していたら、このスクリプトの
sudo su
はなんら問題なく実行されてしまう。
そうなると後はクラッカーの思い通りだ。

rm -rf /
というようなコマンドを実行されて、一瞬にしてハードディスクの中身はすべて失われるといういたずらもできる。
またパスワードを抜くキーロガーを仕込んだり、sshなどのアクセスを許可して外部から自由に乗っ取れるという可能性すらある。

これを防ぐもっとも有効な方法はやはり上記の
「Terminalを勝手に起動実行させない」
という方法と
「どんな場合でもroot権限を要する操作にはパスワードの入力を省略しない」
という二つのセキュリティをかけるのが一番確実な方法だと思う。
会社機の場合はゲートウエイの下にあるマシンなので、そんなに簡単に外部から乗っ取れるとも思えないのだが、悪意あるコードを実行される可能性はゼロにしたいなら考慮した方がいいと考えて、先日会社機並びに自宅のMacはすべてそのようにした。

もう一度強調しておくが
rootを有効にしているか無効にしているかはMacOSXの場合セキュリティの安全度には無関係だと思われる。
無効にしていてもどうも危険度は変わらないようだ。
このことは意外に知られていない気がするが、そう感じた。
リンク先にその手順と理由は詳述しているが、ここでもう一度手順だけ再度引き写しておく。

１）Terminalを自動起動して悪意あるコードを実行されるリスクを回避するコード

Coelaなどの不可視ファイルも操作できるファイルブラウザを使って
"/private/etc/bashrc"
または
"~/.bash_profile"
を表示、これをSmultronなどのシステムファイルもエディットできるテキストエディタにドロップして編集できる状態にする。

その文末に以下の文字列をコピぺするだけで良い。
上書き保存にはルート権限を要求されるが、これはパスワード認証できる。

# keep my playground secure
echo "############################################################";
echo "##                                                        ##";
echo "## If you do not know why Terminal has launched, answer   ##";
echo "## 'n' to the following question. Otherwise, hit 'y' to   ##";
echo "## open Terminal as usual...                              ##";
echo "##                                                        ##";
echo "############################################################";
echo "Open Terminal.app now (y/n)";
read -r -t 15 -e OpenTerminal
if [ "$OpenTerminal" == "" ] || [ "$OpenTerminal" == "n" ]; then
  exit 1;
fi;
if [ "$OpenTerminal" != "y" ]; then
  LastCommand="$OpenTerminal";
  echo "Open Terminal.app now (y/n)";
  read -r -t 15 -e OpenTerminal
  if [ "$OpenTerminal" == "y" ];then
    echo "This was the command that started Terminal.app:";
    echo $LastCommand;
    else
    exit 1;
  fi;
fi;

そうすることでTerminalが起動する時にキャプチャーのようにアラートを表示するようになる。

Coelaを使って"/private/etc/bashrc"をSmultronにドロップ
そしてこういう文字列を追記する
上書き保存にはrootの認証を要求される

そうするとTerminalを起動するたびにこういうアラートを表示するようになる
これで悪意あるコードを勝手に実行されるということは防げる

２）５分間のsudoの認証猶予を無効にする

/etc/sudoersを開いて"Defaults"スペシフィケーションに

Defaults:ALL timestamp_timeout=0

と追記する。
追記する方法はTerminalを起動して
suまたはsudo su
コマンドでまずrootでログインしておく。

次に
visudo
とコマンドを打つ
すると
/etc/sudoersがTerminalのデフォルトのテキストエディタのviで開かれ待機画面になる。

iキーを叩くとインサート編集モードに入る

この状態で
#Defaults specification
と書かれたセクションに
Defaults:ALL timestamp_timeout=0
という文字列をコピーペーストする。

以上が完了したらescキーを叩いて編集モードから出る。
この状態で保存する場合は
:wq
とキーを叩き一番下のプロンプトにその通りに表示されたのを確認したらenterキーでvisudoを終了する。
変更を保存しないで元のままで終了したい場合は
:q
とだけキーを打ってenterキーで実行すれば、変更は保存されないでvisudoを終了することができる。

sudoersの編集はTerminalを起動してvisudoコマンドで実行する
visudoはルートでログインしないと使えないが
そのコマンドはUNIXのスタンダードなエディタのviと同じだ
iで編集モードに入ってラインを書き込み:wqで保存して終了だ
これを実行するとsudoコマンドを入力するたびにいちいちパスワードを
要求されるようになってしまうが上記の未知のスクリプトの脅威は減少する
それにポカミスでsudoでやってはいけないコマンドを実行してしまうのを
未然に防ぐというフールプルーフにもなるかもしれない

AirMacでDoS攻撃を受ける可能性を減らす設定

AirMacをブロードバンドルータとして使っている場合のDoS攻撃を受けるリスクを減らす設定法。 これは出所がどこだったか覚えていない。
なにかこれ関係のことについてリサーチしていた時にたまたま記事に出会って、そのURLを思い出せないため二度と出会えない。
（先日来のSafariの不具合のために履歴もクリアしてしまい履歴からもたどれない）

これはAirMacのSNMPの設定がデフォルトでオンになっているために外部からのDoS攻撃、バッファオーバーフローによるリモートを取られてしまうなど２次攻撃を許してしまう可能性を無くすというものだ。

その方法は以下の通り。
まず
"/Applications/Utilities/"
のAirPort Admin Utilityを起動する。
このユーティリティの日本語名は忘れた．．．ｦｲ(=_=;)
多分AirPort管理ユーティリティだったような気がする。

これを起動して必ずWAN側につながっているベースステーションを選択してその設定を読み込む。
ツールバーの「設定」でよい。

そこからベースステーションオプションを開くとキャプチャーのような設定画面に入る。この「WAN Ethernetポート」に入って
「SNMPアクセスを有効にする」
「リモート設定を有効にする」
などがデフォルトでチェックが入っている可能性があるがこのチェックを外す。

SNMPというのはネットワーク管理者などがオンラインで多くのデバイスの管理するためのプロトコルで、具体的にはUDP層でその通信は行われる。
これが問題だと思ったのは今から５年くらい前にこれが結構話題になっていたからだ。
このSNMPに大量のセキュリティ上の脆弱性が発見され、しかもこのSNMPというのが多くのルータ、端末に実装されていたために国際的な企業群の多くがハッカーの攻撃のリスクにさらされるということでセンセーションを巻き起こしていた。

SNMPv1のセキュリティホールの２００２年のリリースを見つけたのでリンクを張っておく。

参考資料シマンテックセキュリティレスポンス
2002年2月13日
多数製品のSNMP実装に大量のセキュリティホール

ただしこれは５年前の話だ。
だからこの５年でこのSNMPの脅威はもう解消されたのだと思っていた。
ところが今回この設定変更の記事を取り上げる気になった。
この根拠はこちらの記事。
SIDfm - Net-SNMP の GETBULK リクエスト処理に DoS 攻撃を受ける問題
これはつい２〜３日前の記事だが、今でもSNMP関係のこういうアラート記事が出ているということに驚かされたからだ。

なんだか５年前の亡者の幽霊に出会ったような気分だ。
この設定はインターネットを通じて、例えば自宅のMacを外部からコントロールしたいというような使い方を考えていない人には全く不要な設定なので切ることを薦める。
もしVPNで接続してsshなどのコントロールを考えているのなら、いろいろ厄介かもしれないがそうでない人には必要の無い機能だ。
必要でない機能は基本的に切っておくというのもセキュリティの基本だと感じて、今回はあえて取り上げる。

AirPort Admin UtilityでWANにつながってルータとして使っているAirMacの設定に入って
このWAN EtnernetポートのSNMPやリモートなどの設定のチェックを外しておく
具体的な脅威があるとも思えないが必要がない機能は殺しておくに越したことがない

厚生省の偽装サイトが堂々とGoogleの検索トップに居座っている（追記あり）

今日の朝からニュースでも流れている話だが、海外にホストを置く厚生労働省のサイトそっくりの偽装サイトがどういうからくりでかGoogleの検索順位トップに居座っている。

このサイトを見る場合はよく注意してほしいのだが、Googleの検索で「厚生省」と入れて検索をかけるとそのトップに出てくる「厚生省」というサイトは、見た目は本物の厚生労働省のサイトそっくりだが偽装サイトなので要注意だ。
どうしてこういうことができてしまうのか分からないが、サイトの中身は厚生労働省の公式サイトのソースをそのママそっくりコピーしたような内容になっている。
ただこれは、フィッシング目的でアップされたサイトではないという保証はどこにもないので、様々な登録フォームなどのページに個人情報は絶対に入力しないでほしい。
クッキーなども拒絶したいところだ。

このサイトに関して何か実害があったという情報はまだ聞かないが、こういうことができてしまうこと自体セキュリティに対する重大な脅威だと思う。

とりあえず超有名どころの企業名などをググって、その一番上に出てきたサイトを「本家サイト」だと無条件に信じて個人情報を騙しとられるというような可能性が出てきているわけだから、これからは検索も注意して使った方がよいという教訓は得られる。

朝から騒ぎになっているのでさすがにこの時間帯になると「このサイトのURLは違う」という
コーションが表示されるようになっているが相変わらずGoogle検索のトップにこのページはある
精緻に構築されたシステムには必ずどこかに脆弱性があるということか

＜追記＞
本日夕刻、このサイトはGoogleの検索のランクから削除されたようだ。
ただしこのサイト自体は今でもきっちり残っている。
さらにこのホストのトップページは「Yahoo!Japan」のトップページそっくりになっている。
どういう意図でこういうことをやっているのかよくわからないが、よからぬ意図である可能性は非常に高いと思う。
今後はこういう超有名サイトでもいちいちURLウインドウを確認して「偽装サイト」でないかを見る習慣が必要だと思う。

＜さらに追記＞
この怪現象は台湾の翻訳サイトの翻訳対象にしている参照元の取り込みソース（？）がたまたま何かの事情でGoogleの検索トップに上がってしまったという偶発的な事故だったというのが真相だったようだ。

Googleの“怪現象”—「厚生労働省」で検索すると別サイトがトップに〜日経パソコンオンライン

情報をいただいた「テル」様ありがとうございます。

ということなのだが今回は問題をいくつか残したのではないだろうか。
「Googleの検索トップに厚生省そっくりサイトが上がっている」というのは26日の朝からニュースにもなっているのに結局２６日の深夜になるまで何の対策もされなかったということだ。
厚生労働省では自サイトがキャッシュされているようだということに夕方気がついたようで
「厚生労働省ホームページの正規のアドレスは、http://www.mhlw.go.jp/ です」
というような注釈をトップページに表示するようにしたが、それまでの半日間は、事情を知らない人はこのサイトを厚生省のサイトと信じてしまうような状態のまま放置されていた。

これがどういう事情で起きたにせよ、こういうことができるということは結局悪意のある者たちに大きなヒントを与えたことになると思う。
URLウインドウに注意するというのはネットを利用するものの重要な必須能力になると思う。

OSXを狙い撃ちにしている悪質な偽装セキュリティソフト「MacSweeper」に要注意（追記あり）

先日来ITmediaなどのIT系のニュースで
「MacOSXを狙った初の偽装セキュリティソフトが報告されている」
という話題があちこちで取り上げられている。
ただこの手の日本語のセキュリティのニュースはみんなソースのF-Secureの発表の一部をコピペしているだけで
「Macユーザの注意を呼び掛けている」
と書いているが具体的に何にどう注意したら良いのか肝心な情報が何も書いていない。
皆コピペしているだけで誰も自分で取材していないからだ。

しかもこの「MacSweeper」なる偽ソフトは以前ここでも紹介したことが有るUNIXメンテナンスコマンドをGUI化したMac Sweeperというメンテナンスソフトと同姓同名という紛らわしさなので、こういう中途半端な情報は余計ユーザを混乱させるだけだと思われる。
（Mac SweeperはちゃんとしたUNIXコマンドをベースにしたメンテナンスソフトだったが、開発は中止され今ではバイナリが置かれていたサイトも閉鎖されている。だからもう存在しないのだが、これは「確かそういうソフトがあった」というOSXユーザの曖昧な記憶に付け入るという悪質なネーミングだと思う）

日本のいい加減なITジャーナリズムはそろそろ改めるべきものがあるように思う。

情報ソースはこちらの f-secure.com/のラボの記事でこのソフトはMacOSXのメンテナンスソフト、セキュリティソフトを装っているが実際には何も効果はなく、
「キャッシュ、クッキーを削除してディスクスペースを節約するメンテナンスソフト」
と自称し、OSXらしい派手なスキンのソフトをダウンロードさせて、それを走らせると
「あなたのMacは重大なセキュリティリスクにさらされている。この脅威を削除するか？」
というアラートを表示する。
「yes」と答えても「no」と答えても結局問題のサイトにアクセスさせてソフトをダウンロードさせるという動作を繰り返す。
これを止めるのは「３９USドル」のシェアウエア料金を支払う以外にないという仕組みになっている。

中途半端なセキュリティニュースはこのサイトの正体を明かしていないのが、かえってユーザを不安に陥れてこの悪質業者の思うつぼのような気がする。
問題のサイトはあえてリンクしないが
macsweeper.com
というサイトである。
このサイトはこれだけ騒ぎになっているから近日中に閉鎖されるかもしれないが、今は堂々と開いている。

ただしこのサイトを覗いてみることはお勧めしない。
詳細は以下のキャプチャーを見てほしいのだが、結構手強いと思われるからだ。
ましてや
「ポップアップウインドウが出たらすぐにそのサイトを閉じればいい」
なんていってるようではかなりの確率でやられると思う。

このサイトにアクセスせずに安全にこのマルウエアの仕組みを知りたい人はこちらの
osx.iusethis.com/app/macsweeper
というサイトでそのパーツの一部をダウンロードできるので、これをダンロードしてネットとの接続を切ってスタンドアローンの状態で試してみてほしい。
そうすればこのマルウエアの問題の一部は知ることができる。

これを作ったヤツはOSXをかなり研究していて、OSXユーザがどういうところがチェックが甘いかというのもちゃんと見透かしているように感じた。
正体を知ればそんなにクリティカルなものとも思えないが、こういうソフトとスパイウエアなどを組み合わせたりされると相当厄介なものになりそうだという問題は感じた。
これからはソフトの紹介、レビューも慎重にやっていかないと我々がこういうものの片棒を担ぐリスクも負わされているということも感じた。
私としてはそちらの方が気が重い問題だ。

問題の「macsweeper」のサイトにアクセスすると最初にこんな表示になっている
「窮屈なファイルスペースから解放されるソフト」をダウンロードするか
オンラインスキャンサービスを利用するかと聞いてくるがどちらをクリックしても
結局問題のマルウエアをいきなりダウンロードし始める作りになっている

このようにどこをクリックしても問題の偽装ソフトのダウンロードはすぐに開始される
Safariのデフォルト設定のまま「安全なファイルをダウンロード後に開く」設定の
チェックを外していない人はワンクリックで泥沼確定だ
「ポップアップウインドウが出たらすぐ閉じよう」なんて言っているとやられますぜ

このブラックゴミ箱アイコンにピンと来たら１１０番
ダウンロードしたファイルはこの通り普通のアプリのスタイルになっている
ただしこれから日本語版もおそらく出てくるだろうしそうなるとアイコンもアプリ名も
変わるだろうからこのアプリのスキンや仕組みを知っておくことはやはり有効と思われる
なお私はセキュリティソフトのClamXavを走らせているが まだこのMacSweeperは
マルウエアとして認定がされていないらしくスキャンをすり抜け排除されなかった

最初に起動すると
「最新アップデートをチェックするか？」
「インストールを完了するためにFinderを再起動するか？」
などともっともらしく聞いてくるがこれもダミーだ
「チェックしない」「再起動しない」をクリックしても以下の事態は自動的に進行する

MacSweeperは要するに「キャッシュやクッキーなどのシステムのゴミを掃除して
ディスクの空きスペースを確保するユーテリティソフト」というふれこみらしい

一応ディスクスキャンしているっぽい動作はするがディスクアクセスを見ていると
この機能もダミーのような気がする

動作を中断する時には「管理者のパスワード」を要求する
こんなところでパスワードを要求するのは変だがそういうことは初心者には分かるだろうか？
（本来は最初に聞いてこないと変）
これでrootを乗っ取るとかの動作も可能になるかもしれない

環境設定パネルももっともらしく作られている
しかし「ログイン時に起動する」チェックを外しても下記の問題が起きるのでこれもダミー

スキャンを完了しても中断しても強制終了しても結局デフォルトブラウザを開いてこういう表示を出す
「あなたのMacには重大なセキュリティリスクをもたらす32のファイルが発見された」とのこと
「無料のセキュリティソフトをダウンロードするか」訊いてきている

ウインドウを閉じようとしても「以下の危険なファイルを削除するか？」と訊いてくる

「お断りする」方をクリックしてもどこをクリックしても
結局「MacSweeperは問題を解決できる」というような表示が強制的に出る

そして「OK」もクリックしていないのに勝手にMacSweeperをダウンロードし始めてまた１番に戻る
この繰り返しを永遠に続けるわけだ
これを止めるには39USドルのシェアウエア料金を支払ってレジストするしかない

結局MacSweeperを強制終了してAppCleanerを使って関連ファイルとともに削除する
ただしこのキャッシュフォルダは空っぽでダミー
ここにも巧妙な罠があった

削除のしばらく後いきなり「個人情報の重大な危機が発見された」というアラートが・・・
この時は一瞬ブラウザかなにかのプラグインに侵入されたかとちょっと冷や汗が出た・・・
アラートはスキャンを実行しなくても出る仕組みになっている・・・なるほど手強い・・・
コマンド＋tabでアクティブなアプリを見てもこれを表示しているアプリが見当たらない

ここでメニューエクストラに「MacSweeper」が常駐していることに気がついた
例のアラートを表示している正体はこれだが「Exit」をクリックしてもこれを終了できない
App Stopのテーブル表示で２００近い全てのプロセスを表示してしらみつぶしに調べてみるが
ここでも「MacSweeper」という名称のプロセスは発見できないので強制終了ができない
これは巧妙だ・・・アプリ本体を削除してもメニューエクストラは起動したまま残るし
その名称を詐称すればプロセス発見が困難になるというOSXのGUIの盲点を突いている
結局「firefox-bin」という怪しいプロセスを発見、これを強制終了するとビンゴだった
Firefoxを使っている人はおそらく発見が遅れるだろう名称を詐称している
このようにプロセス名称は詐称できるというのは今回初めて知った

例のアラートを出すとメニューエクストラは勝手にデフォルトブラウザを起動して
MacSweeperサイトに飛んで勝手にアプリのダウンロードを始める
初心者だったらここでパニクって思わずレジストしてしまうかもしれない

パニクって再起動したとしても同じことの繰り返しだ
例の環境設定パネルで「ログイン時に起動」チェックを外していたのに
実際には勝手にdaemonがログイン時に起動する設定に変更されている
今回のdaemonはアプリ本体バンドルの中にあるというユルい作りになっているが
もし任意のディレクトリに勝手にコピーを作ってそこから起動する作りに変更されたら、
そして起動の度に本体複製を作るスクリプトが組み込まれたら排除は相当困難になると思われる

例えばコンテクストメニューにもダミーファイルが挿入されている
これは右クリックをしても何も表示に変化が出ないので気がつくのが遅れるだろう
こういうものをディスクのあちこちにばら撒いていろいろ悪さをする仕組みになっている
しかもパスワードが要求されないところばかり狙ってくるので気がつくのが遅れるだろう
いろいろ改造されたらかなりな脅威になる可能性がある

＜後日追記＞

このF-secureのアラートに対してなんとMacSweeperの開発元が
「MacSweeperはウイルスやスパイウエアといった悪質なソフトでは一切無く、開発者たちは良い製品になるように努力しているとしている。

　問題は、「押し売り」を強制した販売パートナーを使ったことであり、開発者としてはMacSweeperの良い評判を台無しにしたくない」
と反論しているそうだ。

こちらに元記事。
「悪かったのは売り方だけ」——Mac初の「偽ソフト」開発者が弁解

F-secureはこのコメントを受けて、それでも
「MacSweeperはWindows上で動作する偽ソフト『Cleanator』などとよく似ていて、それらをMac OS用に移植したものだろうと推測。Webサイトの表現も、既存の偽ソフトのサイトと酷似していることなどを指摘し、MacSweeperはやはり偽ソフトだろう」
と断定しているそうだ。

このアプリを実際に動かしてみて、問題点を感じたのは上記の記事の通りだ。
この開発元がまだこれからも「このアプリは有用だ」と主張し続けるのか、面白いことになってきた。

WEPはもはや128bitでもお守りほどの意味しかないようだ〜それは困ったDS、Wiiはどうする？

この記事によると
「　2007年に入ると，ドイツの大学Technical University DarmstadtのErik Tews氏，Ralf-Philipp Weinmann氏，Andrei Pyshkin氏らによって「Breaking 104 bit WEP in less than 60 seconds」というインパクトのあるタイトルの論文が発表された（PTW攻撃）。これはAndreas Klein氏が先に発表したRC4への攻撃をWEPに特化させたもので，WEPキーを1分以内に解析可能とするものである。」

なのだそうだ。

実際に128bitのWEPが破られているログのスクリーンキャプチャーが掲載されている。
AirMacExtremeは発売当時には確か、
「WEP128bitを採用したから安全性が飛躍的に向上した」
というようなセールスコピーで広告も打っていた記憶がある。
本当に128bitになればWEPも多少は安全性が高まるのかと、若干疑いながらもAppleが堂々とそういうのだからそうかもしれないと思ってそれ以上検証していなかった。
しかしこうまで明確な証拠を突きつけられると、もうそんなこと言ってられないと思う。
128bitだろうが、何だろうがWEPの脆弱性は全く変わらないということだ。
無線LANのセキュリティはWPAか可能ならWPA2が最低限必要ということになる。

我が家の環境ではWPA2も可能なのだが、問題はWPAでもWPA2でもNintendoDSとWiiが斬り捨てになってしまうことだ。
ここのところ方法がないか、リサーチ中だが今のところいい方法がない。
DSとWiiを斬り捨ててしまえば簡単だし問題はないのだが、せっかく子供たちにもWi-Fiのメリットが理解できる環境になってきたのにそれを斬り捨てるのはしのびない。
ただもう一台AirMacExpressを買ってきて別系統の無線ネットワークを上げるとゲートウエイも必要になってきそうだ。
あまり家庭向けと言えないような大掛かりなことになってしまいそうだ。

WEPはもはやダメダメと書いたところWPAと混在させるWEP TSNという方法を教えてもらった・・・が

前回の記事で「WEPはもはや成田山のお札ほどの効力しかない」と書いたところ、BBSで「Multy」さんから
「これは私もDSをAirMacベースステーションを使ってWEPで接続してるので気になっていました。そこでネットを徘徊し、”安全にニンテンドーDSを接続したい！ニンテンドーDSで学ぶ無線LANのセキュリティ(http://www.atmarkit.co.jp/fnetwork/rensai/5minwlansec/05.html)"という記事を見つけました。」
という情報をいただいた。
「Multy」さん、ありがとうございます。

それで早速該当記事を見たところ、いくつか感じたことを。
該当記事はここ、
連載：5分でネットがわかるシリーズ（12）
安全にニンテンドーDSを接続したい！
ニンテンドーDSで学ぶ無線LANのセキュリティ

ここに書いている対策は２つ
「　1つ目は、無線LANアクセスポイントを2台購入して1つはWEPにしてニンテンドーDS用、もう1つをWPAで設定してノートパソコンなどに対応させるのです。」
これは私も考えていた方法。

もうひとつは
「2つ目の対策は、WEP TSN（Transitional Security Network）を利用する方法です。この方法は、WPAが利用できるクライアントはWPAで接続し、WEPしか使えないクライアントはWEPで接続することができ、WPAとWEPを同時に利用できるのです。」

おお、これは良さげ・・・と思ったら、よく読むと

「　Transitional Security Network対応の製品としては、アップルの「AirMac Extreme」があります。この場合はWEPとWPAのパスワードが同じものになるため、安全のために定期的にパスワードを変更することをお忘れなく。」

という記述があるではないか。
そのパスワードを秘匿したいためにWPAに移行したいと思っているのに、WEPと共通のパスワードしか設定できないんだったらWEPが破られた瞬間にWPAも芋づる式に破られてしまうんじゃないだろうか？ これでは意味がないような気が・・・
Appleさん、せっかく筋がいい機能を実装しているのに肝心のところで詰めが甘いんじゃないだろうか。

ここいら本当にそうなのか近日中に実際に検証してみようと思っているけど、この記述で一気にテンションが下がってしまった。
この安全性を高めるために、SSIDの秘匿やMACアドレス制限も同時に実施して、パスワードも頻繁に変更すれば良いのだという記述を関連記事のどこかで読んだ気がするが、残念ながらそれはあまり意味がない。
SSIDやMACアドレス制限は確かに「ちょっと覗いてやれ」みたいないたずら程度のクラッカーには多少「面倒だな」と思わせる効果はあるかもしれないが、WEPを解析して破ってくるようなヤツにはチョロいセキュリティだと思われる。

パスワードの変更といったって、実際にWEPは１分で破れるという実証がされている以上、毎分パスワードが変更されるワンタイムパスワードのようなセキュリティでもない限り意味がない。
残念ながらこれらの対策は成田山のお札を２枚、３枚貼ればより安全と言っているようなものだ。
（こういうSecurIDのようなワンタイムパスワードは結構高価なソリューションで、事業者向けだと思う。勿論安全のためなら費用は惜しまないという人には良い解決法だとは思うが）

結論からいえばWEPとWPAで同じパスワードを使っている限り、すべてWEP接続しているのとあまり状況は変わらないということだ。

ぼやいてばかりいても仕方がないので、実際に検証に入る前に今考えられる問題点をきちんと考えておく。
こういう脆弱性がある場合問題なのは、
１）外からネットワークに入ってきて個人情報を盗み出したりされる可能性がないか
２）ネットワークからWebに不正に接続されないか
という２点だと思う。

実のところ１）の懸念は現状でもあまり大したことがないと思う。
ネットワークに入ってきたクラッカーは個別のMacに入ることはできない。ウチの場合全てのMacはFirewallを立てているので、無線LANに侵入できてもホストは見えてもその中に入ることはできない。
見えるのは唯一ファイル共有を開いているiBookのドロップボックスの中身だけだろう。
ここには盗まれても困るようなものは入っていないので別にかまわない。
ゲーム機もMacも侵入は不可能だと思われる。

結局この場合の考えられる被害は、無線LANに侵入されて共有フォルダにウイルスファイルや得体の知れないファイルを置かれて不快な思いをする・・・というくらいが最大の被害だと思う。

２）の方はちょっと厄介だ。
今ネットの匿名性が問題になっていて、ネットの掲示板などに脅迫などの犯罪的書き込みがされた場合は司直は管理者に接続ログを提出させることができる。
だから匿名の筈の２ちゃんねるに書き込みをしたヤツが逮捕されているわけだが、無線LANの不正アクセスでなりすましされるとあらぬ嫌疑がかかってくる可能性がある。

こういう犯罪的書き込みをするような連中が考えることはこうだ。
自宅の回線から書き込みをするとプロバイダなどの記録からすぐに個人が特定されてしまう。
ネットカフェがそういう場合の抜け道だったのだが、最近はネットカフェも免許証の提示を求められるなど身元が割れる可能性が強くなってきている。

そこで次に考えるのは、外を流して侵入できる無線LANからそこのユーザになりすましてWANに接続する
「ウォードライビング」
というクラッキング手法だ。（参照AP Grapher）
今でもWEPも何もセキュリティをかけていないユーザが一割はいるわけだし、WEPだって破るのはこんなに手早いなら、ここに入って成りすましで接続すればいい。

それを防ぐには、やはりネットワークに入らせないということしかない。
入れたら成りすましでWAN接続できる可能性がある。
それはWPAでもWEPでも同じことだ。

それで我が家のネットワークに戻って問題点を考えるなら、現状侵入されて何かを盗まれるという問題はやはり考えにくい。
ただWANに不正接続されてなりすまされる、無線LANの設定を乗っ取られるなどのリスクは否定できない。
例のWEP TSNでDSとMacのネットを切り離せたら・・・
WPAとWEPのネットワークをゲートウエイのように切り離すことができるのどうかは、近日中に検証するけど、できればMacがつながっているWPAのネットワークに侵入されることはないが、できるとしても不正アクセスの問題は解決しない。

BBSに
「WiiはWPAで接続できるのでは？」
と「やまだ」さんから情報をいただいた。
これは検証していなかったので、できるというのを知らなかった。
もしできるならWiiだけを使っている人は今すぐWPAに移行するべきだと思う。
ただDSとWiiは同じノードにないと接続できない仕様ならDSと共用の場合WiiはやはりWEPに置かないといけない。
結局DSがある限りWEPは残り、WEPがある限りリスクはあるということだ。
根本的解決はNintendoDSがWPAに対応してくれることだ。
それかDSの無線使用を止めるか。
それ以外にすっきりした解決法はない。

ことがセンシティブな話なので、センセーショナルな書き方をしてしまったのをちょっと反省しているが、実際問題WEPを一分で破れるようなクラッカーがそんなに高い頻度でどこにでもいるわけではないと思う。
だからそんなに神経質にならなくてもいいといえばいいのかもしれない。
でもリスクはあるということは明確になってしまったと思う。
Nintendoさんの速やかな対応をお願いしたい。

ClamXavは深い階層までSentryで監視できるようになった・・・ちょっと古い話題だけれど

ウイルス監視ソフトのClamXavがバージョンアップしたことは前にもちょっとここでも触れたが、それに伴って動作がやたら重くなっていたことに気がついた。
その原因が分からなかったのだが、どうやらこれらしい。
キャプチャーの「Spotlightのサポートを停止」のチェックを外してて、今まで通り多くのディレクトリを指定していると、同じ新規ファイルを複数の指定したプロセスが一気にスキャンするらしく、それでスゴく動作が重くなっていた。

それで監視する領域は「ユーザフォルダ以下の全域」という一つだけにして、それ以下の階層を全て監視させることにした。
このとき「Spotlightのサポートを停止」のチェックををはずすと深い階層までユーザフォルダ全域を監視する。
これで突然動作が重くなることもないし、ちゃんと深い階層まで変更が加えられたファイルを全てスキャンしているようだ。

これでこのSentryも市販のセキュリティソフト並みに強力なツールになったのじゃないだろうか。

ClamXavの設定画面
Sentryの監視領域は今まで指定した階層だけでサブディレクトリの監視まではできなかった
だからあちこち監視領域を指定していたが、今回のバージョンアップでこれが原因になって
重複スキャンになりシステムがフルアップしていた
実際には基本的にはユーザ領域全域の指定だけで充分で
「Spotlghtサポートを停止」のチェックを外すと
それ以下のディレクトリも全てSentryが監視してくれる

ログを見るとこの通り深い領域のファイルも変更が加えられるたびにちゃんとスキャンしている

ウイルス騒ぎって子供の頃の颱風みたいにちょっとワクワク・・・（不謹慎）〜autorun.infまたはW32.Gammima.AGM/対策

今会社でチョットした流行ものがはやっている。
autorun.inf
というウイルスだ。
社内で１０数台程度、感染が確認されウチの職場でも２人のパソコンからこの種のウイルスが発見された。
そんな大企業でもないうちの会社からしたら大流行と言っていい。

さらに昨晩、私の席の両隣の人のパソコンも感染が確認された。

このウイルス詳細はこちらで確認願いたい。
できない、困って→問題解決 USBメモリに「q83iwmgf.bat」「autorun.inf」が一瞬現れて消えるウィルスに注意（追加：8e9gmih.bat、o0s.cmd）／kavo・mmvoの駆除・予防・復旧

危険度は１でそれほどの脅威でもないし、悪さといったらオンラインゲームをするヤツならパスワードやIDを抜かれるかもしれないというくらいのものらしい。
しかもWindowsにしか感染しない。

Macから見たらただの無意味なファイルにしか見えないが、問題はUSBメモリや外付けハードディスクを媒介に繁殖し、Macでもごっそり項目をコピーしてメモリでお渡しなんてしていると、媒介にはなる可能性はある。
ちなみに感染したUSBメモリ等はMacでマウントしてみると第１階層に
autorun.inf
というファイルが見えるのだそうだ。
だからMacを使って検疫ができる。

シマンテックの定義は
W32.Gammima.AGM/

危険度は低いが、一度感染してしまうとこれの削除はかなり面倒なことになるらしい。
感染すると
C:＼ system32
以下のエリアに大量に自分の複製をばら撒くだけでなく、WndowsMeやWindowsXPのシステム修復機能のバックアップエリアの中にも自分のバックアップを潜ませるらしい。
だから本体を削除しても、再起動するとまたきっちり復活しているのだそうだ。
さらにシマンテックやマカフィー等のウイルス対策ソフトでは除去できない。
今のところこのばら撒かれたファイルを削除するソフトがなく、手作業で何十個ものファイルを削除するしかなく、下手するとOSを新規インストールする方がマシかもしれないという面倒なものらしい。

事実夕べはシステム管理者さんが青い顔して私の隣席のパソコンのウイルスを深夜まで削除していた。

繰り返すが残念ながらMacには関係がないらしい。

ただしBootCampにインストールしたWindowsXPは勿論ネイティブに感染することができる。
そこで昨晩、私のところではWindowsには感染予防の処置をした。

ウイルスがばら撒くのと同じ名前の空フォルダをばら撒く予定の場所にあらかじめ入れておくと、それを上書きして感染するまではできないということだ。

こういうウイルス対策なんてできるのもさすがにWindowsだ。
Macでは味わえないワクワクだ。

感染していないか識別するには「フォルダのメニューから＞ツール＞
フォルダオプション＞表示＞ファイルとフォルダの表示」と進んで
「全てのファイルとフォルダを表示」にチェックを入れて適用クリック
一度ウインドウを閉じてもう一度この設定を開くと勝手に
「隠しファイルと隠しフォルダを表示しない」に変更されていたら
「おめでとうございます」ということだ

kavo.exe-protection-080220.exeという予防キットが手に入る
これを解凍してC、Dドライブ第一階層とC:＼ system32という階層に
指定の空フォルダを入れるというキットだ

使い方は簡単でそれぞれのフォルダの『中身を直接』指定のディレクトリにぶちまければ良い
一応効果は高いらしいからWindowsXPやMeを使っている人にはお薦めだ
それとMe、XPのシステムリストア機能はカットしておくことを強く推奨したい
この機能は百害あって一利なしだ

あのMac初の偽セキュリティソフトMacSweeperが名前を変えて戻ってきていた

Mac向け偽セキュリティソフトが改名？　「iMunizator」が出現 - ITmedia エンタープライズ

ちょっとここのところのバタバタで見落としていたのだが、３月にこういうニュースが流れていたそうだ。

このリンク先のニュースによるとこれは１月にここでも取り上げたMacSweeperの名称を変更しただけのものだそうだ。

詳細はこちらの
OSXを狙い撃ちにしている悪質な偽装セキュリティソフト「MacSweeper」に要注意（追記あり）
という記事で取り上げたので、参照願いたい。

このiMunizatorのサイトもあえてリンクしないが
imunizator.com
というようなドメインなのでこういうところに誘導された方は気をつけるように。
こういう偽セキュリティソフトというかスケアウエアはWindows版はいくつか有名なのがあるが、Mac版は初めてということで話題になった。
前回実際にインストールしてみて、これの駆除はかなり厄介だと感じたので初心者は近づかないことだ。
上級者でもちょっと裏をかかれる可能性はある。
今回は自分でインストールしてみて検証していないので、全く同じものなのか何か「進歩」している点があるのかまで詳細に見ていないが、こういうものがあるということを知っておくことが最大の対策だと思う。
勿論、シマンテック等のインターネットセキュリティは役に立たない。

この配付元はF-Secureに前回告発されて、
「販売パートナーが強引だっただけで、このソフトはユーザに定評があるきちんとしたソフトだ」
と反論していたそうだが、その割には悪評に配慮してか名前を変えただけの（サイトデザインもほぼ同じ）ソフトを出してみたり、なかなか猛々しいことだと思う。

iMunizatorのサイトデザインはMacSweeperの名前を変えただけでほぼ同じ
どこをクリックしても結局勝手にダウンロードが始まって、
うっかりソフトを起動したりしたら泥沼確定なのも同じだ

Macのリモートを狙うトロイの木馬に注意

Intego セキュリティ・メモというセキュリティレスポンスが先週出ていた。
リンクは消失する可能性があるので、主要部分を引き写しておく。

INTEGOセキュリティ・メモ - 2008年6月20日

Macを乗っ取ろうとする OSX.Trojan.PokerStealer Trojan Horse（トロイの木馬）

「Mac OS X用の“PokerGame”という名前のプログラムに潜む「野に放たれた」トロイの木馬が見つかりました。このトロイの木馬は、アプリケーションに隠されたシェルスクリプトで、65KBのZipファイルとして配布されており、Zipを解凍すると180KBのファイルとなります。」

「このトロイの木馬が実行されると、実行されたMac上でsshを有効にし、そのMacのIPアドレスと共にユーザ名とパスワード文字列を、サーバに送ります。同時に“A corrupt preference file has been detected and must be repaired.”（環境設定ファイルが壊れているので、修復が必要です。）と書かれたダイアログを表示して管理者パスワードを要求します。管理者パスワードを入力すると、プログラムの処理が完了します。悪意のあるユーザがこうしてMacに対するsshアクセスを獲得すれば、Macを乗っ取ったり、ファイルを削除したり、オペレーティングシステムを破壊したり、それ以上の行為が可能となります。」

キャプチャー画面はアプリの「情報」タグ
アプリ名は「PokerGame.app」でアプリ本体のアイコンには
「Ace in the Hole」というロゴが見える
アイコンもアプリ名も変更される可能性があるのであまり当てにならないが
こういうアイコンのポーカーゲームを見かけたらとりあえず要注意だ

例によってSunbeltあたりから
「さして重大でもないリスクを、さも重大危機のように大げさに言い過ぎ」
と指摘されているintegoの情報だ。
大した問題ではないと片付けることもできる。

ましてやその対策は「intego X4、X5をインストールしましょう」しか書いていないような情報はどうでもいいともいえる。

webで探してみたがこれに該当するバイナリは発見することができなかった。
どこにあるのか分からないので手に入れて実証することはできなかった。
だから、伝聞情報の感想しか書けないのだがまずダウンロードして自分で開いて実行するというプロセスを経ないとこのトロイの木馬は機能しない。
ここに最初の関門がある。
だから「ポーカーゲーム」というオンラインウエアのような体裁をとっているのかもしれない。

二つ目の関門は
「“A corrupt preference file has been detected and must be repaired.”（環境設定ファイルが壊れているので、修復が必要です。）と書かれたダイアログを表示して管理者パスワードを要求します」
という部分。
通常、システムが「環境設定が壊れているので修復が必要」なんてアラートを出してパスワードを要求することはあり得ない。
そういうことを知っているユーザならここで引っかかったりしない。

しかしここのプロセスを自動化されるとちょっとイヤな感じだ。
以前にもここに書いた
/var/log/system.log
ヘの書き込みを監視するようなコードをこのマルウエアと組みあわせたりされると、それ以前に
「このトロイの木馬が実行されると、実行されたMac上でsshを有効にし、そのMacのIPアドレスと共にユーザ名とパスワード文字列を、サーバに送ります」
というプロセスが完了しているわけだから、外部からのMac乗っ取りに成功するような気がする。 きちんと検証はしていないが、リスクはあると思う。

注意するべき点は
１）怪しいサイトから怪しいソフトを落としてこないこと
２）パスワードを要求されたらその要求しているプロセスが何かをチェックする
見たこともないプロセスがパスワードを要求している場合それは問題ないのか調べる慎重さも必要
３）Leopard以降の場合新規に外部へのポートを開く場合その確認タグを表示する筈だが、何でもかんでもアラートを読みもしないでOKをクリックしない
といったところあたりか。
でも初心者は引っかかってしまうかもしれない。

これまでのところこのトロイの木馬はintegoが騒ぐほど、「パスワードを要求する」なんて間抜けなプロセスがある分だけ重大な脅威ではないと思う。
が、何ともイヤな感じなのはこれがオンラインウエアという形式で配布されていることだ。

私ところのようなオンラインウエアのレビューサイトはどこもリスクを負うことになる。
自分が感染するリスクもあるし、こういうマルウエアを紹介してしまうリスクもある。
気をつけているが、オンラインウエア配布サイトの全てのリンク上のバイナリをチェックしているわけではないので、ひとつだけまともなバイナリを置いて、それ以外は全部トロイの木馬なんていう二重に罠を張られた場合には私も引っかかってしまうかもしれない。

何とも憂鬱な話だ。

OSXを狙うトロイの木馬が段々花盛りになってきて、「Macは安全というのはAppleのウソ」と豪語するクラッカー集団まで現れて・・・

Mac OS Xを狙うトロイの木馬出現という記事が出て、しばらく静かだったMac周りのセキュリティ界隈の話題がにぎやかになってきた。

この記事は時間が経ったら消えてしまうだろうから全文引用しておく。

Mac OS Xを狙うトロイの木馬出現
トロイの木馬「AppleScript.THT」はMac OS X 10.4および10.5に影響し、危険度は「Critical（緊急）」とされている。
2008年06月24日 07時35分 更新

　米MacセキュリティベンダーSecureMacは6月19日、Mac OS Xを標的にしたトロイの木馬が配布されているとして警告を発した。危険度は「Critical（緊急）」としている。

　このトロイの木馬「AppleScript.THT」はMac OS X 10.4および10.5に影響し、最近発見されたApple Remote Desktop Agentの脆弱性を悪用する。このプログラムは感染したシステム上で隠れて動作し、攻撃者がシステムにリモートアクセスできるようにしたり、パスワードを送信したり、ファイアウォールによる検知を避けたり、ログ採取をオフにすることができる。さらにキー入力の内容を記録し、iSightカメラで写真を撮り、スクリーンショットを取り、ファイル共有をオンにすることも可能。

　AppleScript.THTはASthtv05というコンパイル済みAppleScriptか、AStht_v06というアプリケーションバンドルとしてハッカーサイトで配布されているという。ユーザーがこれらのファイルをダウンロードして開くと感染する。感染すると、AppleScript.THTは/Library/Caches/フォルダに移動し、自身をSystem Login Itemsに加える。

　SecureMacは、信頼できるサイトだけからファイルをダウンロードするようアドバイスしている。また同社の「MacScan 2.5.2」は最新の定義ファイルでAppleScript.THTに対応しているという。 　

久しぶりに重要度「クリティカル」のトロイの木馬が現れた。
また、Macはセキュリティ上安全というのはAppleが植え付けた「神話」で実際にはいくらでもクラックする方法はあると豪語するクラッカー集団も現れて、実際彼らが作ったとされるARDagentを乗っ取るトロイの木馬のテンプレートが確認されたそうだ。

Mac OS Xの遠隔管理コンポーネントに脆弱性--トロイの木馬亜種を複数確認

これも引用しておく。

米国時間6月19日に報告されたトロイの木馬をベースに、ハッカー集団が亜種を開発して、「Mac OS X」プラットフォームを標的にしているようだ。

　Mac向けセキュリティソフトウェアベンダーであるIntegoとSecureMacは、「Apple Remote Desktop Agent」（ARDAgent）に含まれる危険度の高い脆弱性を報告した。ARDAgentは、Mac OS X 10.4および10.5の遠隔管理用コンポーネントの一部で、ルート権限を持つ。したがって、パスワードを要求せずにルートとしてこの悪意あるコードを実行できる。

　Washington Post紙のBrian Krebs氏は23日、この脆弱性を利用したトロイの木馬の開発を目指すハッカー向けフォーラムが存在すると報じた。その後、この記事で言及されたMacShadows.comのユーザーフォーラムは削除された。だがKrebs氏は、フォーラムが削除される前に、投稿のスクリーンショットとMac版トロイの木馬のテンプレートのコピーを入手していた。

　このテンプレートには、トロイの木馬を作成した1人、「Andrew」の電子メールアドレスが埋め込まれていたので、同紙はAndrewと連絡を取った。

　AndrewはWashington Post紙へのメールでこう書いた。「Appleは、OS Xは安全だと説明しているが、安全であることを自社で実際に確認したわけではない。われわれは、自分自身のセキュリティを実験し、検証しなければならない状態に置かれている。そして、非常に多くの場合、実はAppleに思い込まされていたほど安全ではないことを発見している」

　これらのトロイの木馬は、セキュリティベンダーによって複数の亜種が確認されているものの、インターネット上で広範囲に出回っている証拠はない。

　Appleは、セキュリティ上の脆弱性については言及しないという方針を維持しているので、ARDAgent問題についてもコメントしていない。

　

いずれのトロイの木馬も流行は確認されていないということなので、神経質になることはないがこういうリスクがあるということは知っておいた方がいい。
こういう記事が出る度に
「シマンテックを入れたら安全でしょうか？」
「integoを入れたら安全でしょうか？」
と聞く人がいるが、そういうものを入れるのは勿論対策のひとつなのだが、それさえすれば安全だというものではない。

いくつか私が考える方法は
１）やはりアンダーグラウンドなサイトからやたらとダウンロードをしないこと、これが常に最善の対策だと思う
２）ダウンロードフォルダを活用する：ブラウザ、システムデフォルトのダウンロード先を指定しておきここは常にカラにしておく習慣を付けること。これで変なものを強制ダウンロードされたとしてもすぐに確認できる
３）ブラウザの「安全なファイルを開く」設定をオフ：これはもう言語道断な設定なので必ずチェックを外すこと。これを入れたままで感染に文句をいっても自業自得としか言いようがない
４）LittleSnitchなどを入れて外向きの通信も監視すること：Firewallで外からクラックされることへの防御だけでなく内側から外向きの不正送信も防ぐ。いちいち「アプリケーション◯◯はポート◯番を開こうとしているが許可するか？」とアラートが出て煩わしいが、こういうことに注意していると意図しない変な送信が行われていることに気がつきやすいと思う。
セキュアなシステムというのは必ず煩わしい面があるが、その程度でこの屈辱的なトロイの木馬を封印できるならそれも致し方ない。
５）不要な共有、公開オプションはオフにする：システム環境設定の「共有」に入って使用していない共有のチェックを全て外す、「セキュリティ」に入って「特定のサービス、アプリケーションにアクセスを設定」にチェックを入れて、意図しないアプリケーションにポートを利用させない。
６）ARDAgentを封印：Appleは公式に認めていないそうだがARDAgentには脆弱性があるということなのでこれを封印する。必要ない人は削除してしまうのもいいがzipアーカイブにしてしまうのもいいかもしれない。
場所はここ

"/System/Library/CoreServices/RemoteManagement/ARDAgent.app"

７）シェルを使って不正な操作をするスクリプトを防ぐ：こちらのTerminalを自動起動して悪意あるコードを実行されるリスクを回避するコードを試してみたを参照いただいて安全策をほどこす。
シェルを使ってsshを乗っ取るというのはクラッカーの王道なので、こういう単純な対策は案外効果があると思う

他にも何かいい知恵をお持ちの方は情報を寄せていただくとありがたい。

anchor

ソフトウエアアップデートにRemote Desktop　クライアントのセキュリティパッチらしきアップデートがかかっている

ここじゃなかったっけ？
以前にバッファオーバーフローで管理者権限が乗っ取られる可能性があるリモートとして問題になっていたところって。
違ったかな？

その問題なのか関係ない問題なのかわからないが、アップデートがかかっているのでとりあえずかけよう。

Remote Desktop　クライアントのアップデートがかかっている
結構センシティブなところだと思うのでアップデートはもれなくかけよう



2009年8月25日

PDFは本当にセキュアなフォーマットか検証する〜っていうか「PDFのロックを外すことができる」って本当なの？

PDFというフォーマットは、今セキュリティの面で耳目を集めているフォーマットだ。
そのメリットはプラットフォームに関係なくレイアウトが崩れないとか、再生側のプラットフォームにインストールされていないフォントでもエンベッドすれば表示できるとか、いろいろある。
しかし、日本版SOX法やその他の社会環境の変化で注目を集めているのはそのセキュリティ機能の方だ。

PDFというのはパスワードをかけて暗号化することができる。
そのレベルは
１）閲覧ほか全ての操作にパスワードが必要
２）閲覧は可能だが、コピーペースト、複製、ファイル名変更、プロパティ加筆などの変更にはパスワードが必要
３）閲覧、加筆は可能だが印刷にはパスワードが必要
などいくつかの段階を設定することが可能で、例えば会社での共有文書にセキュリティの段階を付けて、極秘文書から全員で書き込みをして更新するが部外秘という文書から、法的な証拠能力を期待したい文書までいろいろな利用が考えられる。

ところが最近いくつか気になる記事を見かけて、このPDFのセキュアロックを外すことができるんだという。
PDF UnlockerでプロテクトされたPDFファイルからパスワードなしでコピペ（無料） - ライフハッカー［日本版］, 仕事も生活も上手くこなすライフハック情報満載のブログ・メディア
という記事で知ったこちらのアプリケーション。
Freeware Files.com - Download
（元記事よりもこの紹介記事の方が文章は魅力的だ。
「今すぐクライアントに送らなきゃいけない重要書類.pdfに発見あるある誤字脱字！　これ忘れないで送っておいてねってさんざん念を押した後、上司はすでに退社済み。プロテクトかかってるからコピペできねーし。仕方ないから上司の携帯鳴らしたら机の上で鳴ってるよ。でも、このまま送るのもかっこ悪い。かといって最初から入力とかまじありえねー。」
あるある、そういうことってあるよねー。そういう苦労を部下がしているんだってことに大抵そういう上司は気がついていなかったりするのだが。
この紹介記事は傑作選に入れてあげたいのだが、問題はこのWindowsオンリーのアプリが実際に使えるかどうかだ）

MacやWindowsの話 Leopardのプレビューは高機能すぎ！？
こちらはオンラインウエア共闘サイトのお仲間の「MacやWindowsの話」さんの記事。
「パスワードによって暗号化されたPDFファイルを編集できてしまうのです。
名付けて、『パスワード無視機能』

これは偶然なのかもしれませんが、Tigerでは、パスワードでロックされていたPDFファイルは編集できませんでしたが、Leopardのプレビューで編集できてしまうのです。」
ということですが、他でできないことがMacでできるというのは単純に優越感が感じられて気分はいいのだが、それではPDFのセキュリティが維持できないという問題も感じるのでこの話事実なら痛し痒しなのだよなぁ）

当然このロックが外せてしまうと「法的な証拠能力」なんてのは期待できない。
「部外秘」なんてのもただのかけ声になってしまう。
本当なんだろうか？

結論からいえば私の環境では、PDFの暗号化を外すというのは確認できなかった。
確認できなかったが、私の環境が全てではない。
もしバージョンアップ前のLeopardや条件が違うWindowsXPでできるんだったら、やはりPDFの信頼性は後退するのかもしれない。
皆さんにも検証していただいて実際、できるのかできないのか、できるとしたらどういう条件か検証していただくと嬉しい。

とりあえず、PDFの暗号化の方法を書いておく。
webで見つけたWindowsのアプリで「PDFのロックを外す」というものを試してみた。
それとLeopardのプレビューでロックが外せるというのも検証してみた。
最近Windowsづいているというか、やたらWindowsネタばかりで申し訳ないのだが、このアプリがWindows版オンリーなので、またまたWindows環境で検証している。
すみません、当サイトのタイトルを「Windowsの新着アプリテスト記録とトラブルシューティング」と変更することも検討します。

PDFを書き出す手順で暗号化したPDFも作成可能
手順はプリントダイアログに入って「PDF」ボタンから「PDFとして保存」を選択する

保存先を設定するダイアログに「セキュリティオプション」
というボタンがあるのでここをクリック

すると「PDFセキュリティオプション」というダイアログが
出てくるのでここで設定したい暗号化のレベルを選ぶ
閲覧できるか、テキストイメージをコピーできるか、
印刷できるかという３つのレベルの設定が可能
それぞれにパスワードでアクセスレベルを使い分ける高度なセキュリティが可能

Adobeリーダーをインストールしていないので私の場合は
プレビューアイコンになってしまうが普通にPDFファイルとして保存される

プレビューで開くとこのように閲覧禁止のパスワードがかかったファイルは閲覧できない

WindowsXPのAdobe Readerで開こうとするとやはりパスワードを要求されて開かない

Freeware Files.com - Downloadで紹介されているFreeware PDF Unlockerを
XPにインストールしてこのショートカットにロックがかかったPDFをドロップする
するとこのようなDOSっぽい画面が出て「時間がかかるぞ」
というアラートが出るが実際には数秒でプロセスは終了する

デスクトップにはドロップしたPDFと同じファイル名で
「noPW（パスワード）」というファイル名が生成されている

それでこれが開いたらメデタシメデタシでPDFハック完了しました・・・
ということなのだろうけど実際にはまっ白な画面だけでファイルの閲覧には失敗した
これはMacで作ったPDFだからパスワード破りに失敗したのでのかもしれないし
Windpowsで生成したPDFなら成功するのかもしれない
Macユーザの上司を持った皆さんにはこういう不幸が待ち受けているかもしれない
が実際どうなのだろう、WindowsのPDF生成アプリを持っていないので検証できないのが残念だ

ついでにMacやWindowsの話さんに出ていた
「Leopard版のプレビューならこのロックを破ることができる」
というのは本当なのか検証してみた
開こうとするとこのように「パスワードは無効」という表示が出る

コピーペーストもこういうアラートが出てブロックされる

ファイルのプロパティを見ると「鍵アイコン」のタブで暗号化のレベルが見ることができる
やはり閲覧禁止やコピー禁止を破ることはできない
これはLeopardの古いバージョンならできたということなのかもしれない
そうだとすると未対応な古いバージョンがPDFのセキュリティを脅かしているということだ
今のバージョンは対応しても過去にそういうバージョンが存在したというだけで
これはPDFのセキュリティには脅威になる
これは皆さんに検証していただいて実際のところを知りたいと思っている

ところで余談だがFreeware PDF Unlockerをインストールすると
同梱でインストールされるDrop EPS here PNG outがなかなか便利だ
これを入れるとイラストレータやPhotoshopを入れてなくても
EPSファイルをWindowsで見ることができるファイルに変更できる
Windowsのこういう方面を補強するか迷っていたので
今回の実験でこれを得たことが実際には一番嬉しかったりする

＜結論＞

セキュアーかどうかはよくわからなかったが、PDFの暗号化の効果は充分確認できた。
MacでパスワードをかけたファイルはWindowsに渡してもちゃんとAdobe Readerで開くことができた。パスワードさえあれば正常に機能する。
ただ「パスワードがなくても破れる」という機能は上手く動かなかった。

PDFがちゃんと問題なくセキュアーに使えるという結論の方が嬉しい気がするが、以上の検証ではそれを断定することはできない。
本当のところどうなんだろう。
事情をご存知の方は情報をお寄せいただくと嬉しい。