OSXのrootパスワードはシステムディスクがなくてもリセットできる〜ていうことはrootパスワードではプライバシーも何も守れない！？

先日こういうサイトを見つけた。
MacOSXのパスワードを忘れたら | 知ってると便利！Web Tips

なんとOSXのrootパスワードはシステムディスクが無くてもリセットできるそうだ。
システムディスクがあればリセットできることは知っていたが、なくてもリセットできるということはもうrootパスワードでは物理的なアタックからは何も守れないということになる。
本当にそんなことが可能だろうか？
リンク先の手順に従って試してみた。

OS10.6（SnowLeopard）の場合は
シングルユーザモードに入って
/sbin/fsck -y
を打ってEnter、これは「ジャーナリングがかかっているためにこのプロセスは実行できなかった」という表示で止まる。
このコマンドを打つ意味はもうひとつよくわからなかった。
次に
/sbin/mount -uw /
と打ってEnter。
これをやっておかないと次のパスワードリセットのコマンドの「ソケットが用意されていない」という表示で止まってしまう。

（もしOS10.4の場合は、ここまでは
sh /etc/rc
だけでいいそうだ。Tigerの環境がないのでこれは検証できなかった）

次に管理者アカウントの名前が必要なので管理者アカウント名を知らない場合は
ls /Users
と打って管理者アカウントを探しておく。
複数アカウントがあってどれが管理者アカウントか分からない場合は全部のアカウントのパスワードをリセットする。

パスワードリセットのコマンドは、
passwd （アカウント名）
例えば管理者アカウントが「muta」の場合は
passwd muta
でEnter。

これで
「New passwordをタイプせよ」
という英文文字列が出るので、新しく設定したいパスワードを入力する。
さらに
「New passwordをリタイプせよ」
と表示されるのでもう一度新しいパスワードを入力する。

プロンプトが表示されたら
reboot
と打ってEnterでSUM（シングルユーザモード）から脱出する。

こうするとリセットしたアカウントにログインする時に以下のようなキーチェーンのアラートが出る。

パスワードリセットをかけるとログイン時にこういうキーチェーンのアラートが出る
旧パスワードを求められるが分からない場合は
「新しいキーチェーンを作成」を選択することになる
でもそれでログインしてユーザの全てのファイルにアクセスできる

このアカウントが管理者アカウント（最初に設定したユーザ）だったら
Terminalのroot権限を要求されるコマンドも新しいパスワードで実行できてしまう
つまり神の権限を手に入れてしまうということだ

キーチェーンは旧パスワードが分からない場合再構成ということになるので
ブラウザで銀行のアカウントページに自動ログインできない程度のセキュリティは利いている

このTipsはOSXのインストールした時に設定したパスワードを忘れてしまっても、新しいパスワードを設定してパスワードを回復できるということだ。
パスワードが分からないとアップデートも、インストーラを使うアプリのインストールもできないし、さらにトラブルを起こした時にユーティリティアプリやコマンドも活用できない。
パスワードがわからないというのは、
「友だちからMacをもらった」
というシチュエーション以外に、
「Macの管理をしているが前の管理者がいなくなってしまい、しかもそいつがいい加減な奴でパスワードがわからなくなってしまった」
というケースも考えられる。
（「そんな奴オランで」と突っ込まれるかもしれないが残念ながらこれは実話である）

そういうケースは便利で心強いのだが、逆にいうとアカウントのパスワードで個人情報や機密情報を守っているというのは気休めに過ぎないということも分かる。

例えば私は起動時に必ずログイン画面を通過して、ログインパスワードを入力しないとユーザ画面に入れないようにしている。
またスクリーンセーバやスリープ状態からの復帰もパスワードを要求するように設定することができる。
こうすることで厳重なパスワードで個人情報は守られるように思うが、これもシステムディスクがあれば破られてしまうという心細さを感じていた。

ところがこのTipsを利用するとシステムディスクが無くても破れることが分かる。
Macのシステムディスクを持っているのは結構少数派だと思うからまだ安心できないこともないが、ディスクなしでも破れるならこれを知っているかいないかだけのことだ。

アカウントのパスワードは個人情報の保護には役に立たないわけで、そういう目的なら別の暗号化が必要なのだが私はFile Vaultはあまり信頼していないので、別の方法が必要になる。

要はMacBookなどのモバイルは盗難や紛失には気をつけろ・・・ということだ。
物理的に盗難にあって相手がこのTipsを知っていたら、どうにも防ぎようがない。

OSXのrootパスワードはシステムディスクがなくてもリセットできる２〜じゃオープンファームウエアパスワードなら安全なのか！？〜セキュリティのシチュエーションを整理してみた

先日、
OSXのrootパスワードはシステムディスクがなくてもリセットできる〜ていうことはrootパスワードではプライバシーも何も守れない！？
という記事を書いたところ、
「ファームウエアにパスワードをかけるFirmware Password Utilityでパスワードをかければ安全では？」
という反応をいくつかいただいた。

これについては若干問題を感じたので続けてみる。

結論からいうとFirmware Password Utilityはセキュリティを高める効果は非常に限定的で、特に窃盗にあった時のMacBookなどの情報を守るという意味ではほぼ「気安め」だと考えている。
その理由は以下の通り。

「わかばマークのMacの備忘録」さんからツイッターにいただいたのはこの情報。
Macのファームウェアパスワードを設定してセキュリティを強化する方法 - Inforati

旧OSのMacにはOpenFirmware Passwordというのがあった。
MacOSを読み込んで起動する前に、まずハードウエアを励起してシステムを読み込む準備をするOpenFirmwareというものが旧OSにあった。
このOpenFirmwareはPowerPCの旧Macのみの仕組みの筈だが、intelに移行したMacにも仮想的にこの仕組みが引き継がれているらしい。
intelになってMacのファームウエア（最初の起動の仕組み）はEFIに変わった。
EFIはintel、HPが提唱する新しいBIOSのようなものだと理解しておいていいと思う。

OpenFirmwareが残っているかのような振る舞いに見えるのは、ここでも取り上げた。
シングルユーザモードに入れない
OpenFirmwareのコマンドモードでシングルユーザモードに入れなくなるとかの振る舞いをする。
これは電源ボタン長押しのNVRAMリセットでクリアできた。

さらに旧OS にあったOpen Firmware Password Protectionもintel／Macでも使える。
これについてはAppleのサポートページでも解説されているが、UNIXのrootパスワードよりも、よりローレベルな（つまりよりハードウエア寄りなパスワードセキュリティ）が可能だと解説されている。
Mac OS X の Firmware Password Protection の設定方法

インストールディスクから起動してユーティリティメニューから
ファームウエアパスワード ユーティリティを起動する

「別ソースからの起動の時にパスワードを要求」にチェックを入れパスワードを入力する

Cキー起動（システムディスクからの起動）、シングルユーザモードは禁止、
optionキー起動（スタートアップマネージャー）ではパスワードを要求するようになる
（借りたキャプチャーで申し訳ない）

intel／Macで都合がいいのは旧OSのMacと違ってOS9を使ってパスワードリセットできなくなったことだ。
PowerPC時代、OS９から起動できた当時はオープンファームウエアパスワードをかけていてもOS9から解除できた。
でもintelになってそれができなくなった。
先日紹介したrootのパスワードをリセットするには再起動してシングルユーザモードに入らないといけないが、ファームウエアパスワード ユーティリティをかけていればシングルユーザモードには入れないので一見安全に見える。

確かに会社などに鎖をつけて固定しているMacに、安全策をかけるならこれもある程度効果はあると思われる。
しかしこのファームウエアパスワード ユーティリティも実は解除するのは簡単なのだ。

Appleのサポートページにも
「コンピュータの内部に物理的にアクセスする」
ことができないなら「安全」と繰り返し強調されている。

しかし、このファームウエアパスワード ユーティリティは
「メモリを入れ替えてPRAMクリア」
という非常に簡単な方法でリセットできる。
参照サイト
MacBookのファームウェア・パスワードを解除する | Weboo! Returns

メモリが２枚入っているなら１枚に減らし、１枚なら２枚目を差してみる、あるいは容量の違うメモリを挿すことで、ファームウエアパスワード ユーティリティは工場出荷状態にリセットされ、パスワードもSUM禁止も無効になってしまう。

上記の通り会社や学校のブースに固定されているMacなら、開けてメモリをいじったりはなかなかできないだろうから安全も確保できるかもしれないが、紛失・窃盗に遭った場合、例えば窃盗犯がrootパスワードのリセット法を知っているような奴なら、このファームウエアパスワード ユーティリティもほぼ気休めに過ぎないと思われる。

ファームウエアパスワード ユーティリティをお勧めしないもうひとつの理由は、これを使うことでシングルユーザモードやディスクターゲットモードなどが使えないことだ。
トラブルが起きた時にこういう手段が残されているのは非常に有効なのだが、わずかばかりの安全性のためにトラシューの有効な手法を失う方が問題が多いと思う。

何年か前に
「MacOSXのrootの権限はハッカーに数分で破られた」
というニュースが流れた。

このニュースは結構衝撃をもって受け止められて
「なんだMacは安全といったってWindowsと変わらんぢゃないか」
という揶揄の対象になった。
しかしこのニュースももう少し詳報が流れてくると、オンラインでクラックされたわけではなく
「懸賞をかけてMacの管理権のないユーザにログオンさせてroot権限を破れるかを競ったところ、あるギークはなんと数分でroot権限を乗っ取ってしまった」
という内容だった。

先日取り上げたrootパスワードリセット法を使えば、確かに数分でroot権限をとることができると思う。
なんせ再起動して２〜３コマンドを打つだけだ。
このギークもきっとこの手法を使ったんじゃないかという気がする。

それではこの手法を使ってネット越しにオンラインでMacをクラックする方法があるかというと、オンラインで何らかのコマンドを実行する場合sshとかtelnetとか実行するには管理権のパスワードは必要になってくる。
そのパスワードをリセットするためにそうした環境を使いたいわけで、これではニワトリとタマゴだから今のところオンラインで破れるという話は聞いたことがない。
rootを乗っ取れるのはあくまで物理的に触れる時だけだ。
（ただしtelnetの安全性には結構問題があるらしいので最近は使われないとのことだけど）

オンラインのセキュリティのためなら、通常のファイアウォールとかNATなどのセキュリティで現状充分だと思われる。

ここで問題なのは職場で、多くの端末を管理している管理者だろう。

教室のようなところならNetBootという手もあるかもしれない。
しかし何かの専用機、動画編集とかデザイン、DTPとかの業務用機だとなかなかNetBootだのの細工は難しいかもしれない。
不特定多数が使用する環境だと、中にはrootパスワードリセットをするような不心得者も出てくるかもしれないので、そういう場合は管理者アカウントを起動しておき、管理権のないアカウントでログオンしておいてユーザにはそちらを使わせるという考え方がいいと思う。
これでも勝手に再起動したりするのを防ぐことができる。
管理者アカウントはただ起動しているだけで、何も常駐させないで軽くすればいい。

個人ユーザがもっとも関心があるのは、自分が使っている個人用のMacのセキュリティだろうと思う。
自宅のiMacやMacProが盗難にあった時のことも心配だろうけど、やはりMacBookなどのモバイルを持ち出して紛失したとき、あるいは盗難に遭った時のセキュリティの問題だと思う。

rootパスワード、あるいはファームウエアパスワード ユーティリティでは残念ながら何も守れないと思う。
こういうセキュリティの弱点をあまり拡散するのは問題はないかという指摘もあったが、やはり拡散するべきだと思う。
WEPを数秒で破れると神戸大学の先生が発表した時に
「そういうことを発表するから悪用する奴がいる」
という反応もあったが、こういう手法が明らかになってしまうと広がるのはあっという間だ。

実際、このWEP破りのソフトを搭載した中国製の
「無線LANタダ乗りモデム」
が普通に秋葉原で売られるようになるまで１年もかからなかった。
今時WEPで無線LANを暗号化しているのは、「タダ乗りOK」を公言しているようなものだ。
ただ乗りされるだけならいいが、踏み台にされてハッカーに悪用されると最初に嫌疑をかけられるのはタダ乗りされた方だ。

これもすぐに周知になるだろうから、こうしたモバイルの個人情報を守るならそういう領域を暗号化するsparsbundleのようなディスクイメージソフトがいい。
私は個人的にExcesを使っている。

何人かFileVaultを薦める人もいた。

FileVaultはMacのシステムの機能でユーザの領域を全域暗号化する
開くにはログインパスワードが必要だがloginとはパスワード管理が違うので
パスワードリセットを実行されてもFileVaultのパスワードは変わらない

最近はFileVaultは安定しているということなので、確かにこれを使うという手はある。
しかしこのFileVaultの気に入らないところは「ユーザ領域を全域暗号化する」というところなのだ。
個人用、趣味用ならそれもいいかもしれないが仕事用となると万に一つもトラブルがあってログインできないというのは大問題だ。
自分のアカウントからロックアウトされる恐ろしさを一度でも体験していると、ユーザ領域全域を暗号化しようなんて思わない。
別の方法で暗号化したバックアップと、特定の領域だけ冗長性を持たせて持ち歩くというのが今の私のスタイルだ。

FileVaultの一番気に入らないのは暗号化する領域を設定できないということだ。

Exces以外にもいくつかディスクイメージ暗号化ソフトはあったと思う。
そういうものを複数使うというのが一番安全なんじゃないだろうか。
そういえば個人メモは私はMacJournalを使って暗号化しているし。

こういうリスク分散をするのが一番良いんじゃないかなぁ。

rootパスワード　投稿者：ともえ 投稿日：2011/01/07(Fri) 00:57 No.4741

ファームウエアにpasswordがかけられたような気がします。
PCのBIOSパスワードのような物です。
File Vaultは以外と安全ですよ。昔とくらべて安定してます。
暗号化しないかぎり、HDを別のマシンにつなげば簡単にアクセスできます。


Re: rootパスワード　muta - 2011/01/07(Fri) 08:07 No.4742

可能です。
そしてファームウエアパスワードも回避は可能ですのでプロの窃盗犯に対しては無力です。
どういう場合にどういう種類のセキュリティが必要かは一応整理しますね。


Re: rootパスワード　CLIOMAXI - 2011/01/08(Sat) 23:32 No.4743

File Vaultに関してだけですが。
以前これが最初に導入された後、直ぐに使ってみました。(G4/Dual1.5GHz OSX10.3)
最初は問題無かったのですが何かの拍子に管理者である私のアカウントには全くログイン出来ない状況になってしまった。
何をどうやっても解決しない。
外付けHDDにフルバックアップを取っていたのでそちらから元に戻しました。
10.4か10.5にアップグレードした後再度挑戦。
果たしてまたもや不具合でログイン出来ない。
この時もフルバックアップから修復。
以来どうにもFile Vaultを信用出来ず触りもしなくなりました。
アクセス権だかファイルそのものだかは解りませんが、少しでも矛盾と言うか不具合があると所有者でパスワードも分っているのにどうにも出来なくなると言うのは或る意味最強のセキュリティかもと思ってしまいます。

Mac買ったらこれだけはやっておけ！〜Macのセキュリティ、アンチウイルス、１１の設定

これもWindowsからMacに乗り換えた時のシリーズかな。

最近やっぱり
「長年Windowsを使ってきましたが、Macのかっこよさが気になり、iPhoneとの相性もいいと聞いていますのでMacを使ってみたいと思っています」
という人が増えている。
そしてそういう人の質問はこう続く。
「アップルストアで聞いたら、Macにはウイルスが全くないのでウイルスソフトは必要ないといわれました。
Windowsを使ってきた感覚だとすごく違和感があるのですが、セキュリティのためにファイアウォールとかウイルス対策ソフトとか必要ないのでしょうか？」

これも過去に何回も書いてきたことなのだが、

「Macにはウイルスが無いからウイルス対策ソフトは必要ない」なんてデタラメを垂れ流すな

確かに現状Macにアクティブに感染するウイルスは見当たらないが、Macだって孤立しているわけではなくWindowsともファイルやメールのやり取りをするわけだし、Windowsのウイルスをノーチェックで渡していると立派な感染の媒介になってしまうのだ。

それにこれまで安全だったから、これからも未来永劫安全だと考えているようじゃ、福島の原発を批判する資格は無い。
Windowsの世界で流行したウイルスの傾向を見て、そこからどうMacを運用すればより安全になるかを学んでこそ、よりセキュアなシステムの運用といえるのだ。

さらにセキュリティリスクはウイルスだけではない。
そういう様々な状況への備えを考えると、残念ながらMacにだって脆弱性の原因になりかねない欠点がないわけではない。

そこでウイルス対策ソフトのことも含めて、Macを購入したら最初にやっておくべきセキュリティ向上の設定ということで、私が必ずやっていることを紹介する。

１）初級編〜自動ログインしないようにする

まずはいじるならここからが基本
システム環境設定はドックからアクセスできる
あるいは本体はアプリケーションフォルダの中のユーティリティフォルダの中にある

まずは「セキュリティ」に入る

これはモバイル必須、デスクトップ機でもやっておくべき設定
自動ログインを禁止することで紛失、盗難に遭った時に個人情報が漏洩することを防げる
実はパスワードはリセットできるというのは先日も取り上げたがそれでもこれは意味がある
世の中の９８％の人はパスワードリセットができるスキルなんか持っていない

２）アカウントログインの設定

先の「セキュリティ」で自動ログインを禁止したのは複数アカウントにも対応するため
ここでは「入力メニューを表示」にもチェックを入れる
ログイン画面で英数文字が入力できなくなった時にこれで救われるケースがある

３）ファイアウォールの設定

市販のソフトをインストールする手もあるがOSXのシステムの
ファイアウォールもそれなりの機能を持っている

全ての接続をブロックすれば安全性は高いがいろいろ
ネットアプリを使いたい人は不便かもしれない
「署名されたソフト受信接続を自動的に許可」にチェックを入れて
その都度許可を出していくのが実用性が高いと思う

４）不要な共有などを閉じる

これも「直ちに危険性がおよぶ」わけではないがファイル共有、プリンタ共有など
必要としないものはできるだけ閉じておいた方がいい
特にリモートなどはパスワードの強度も含めて意識して運用した方がいい

５）Safariの問題ある設定を修正

Safariには７年ほど前に脆弱性が指摘された問題がある
この「安全なファイルを開く」設定のチェックがデフォルトで入っている
これでURIの脆弱性を攻撃するスクリプトを自動ダウンロードさせられるとアウトだ
URI脆弱性は解決したということかもしれないがやはりこの設定は外した方がいい
百害あって一利なし、ダウンロードしたファイルが
自動で開いて便利だと思ったことなんか一度も無いからだ

またフォームにパスワード、アカウント名を自動入力するこの設定は
パスワードを抜かれるスクリプトの餌食になるので外しておいた方がいい
あちこちのアカウントに自動ログインできて便利だがリスクはある

パスワードの自動入力を有効にしておきたいなら「詳細」でそのリストを管理する
銀行などダメージが大きいところは外した方がいい

またクッキーについてはデフォルトでそうなっているが
何でもかんでも吸い込まない設定にするのがいい

６）ウイルス対策ソフトを入れる

ウイルス対策ソフトについては散々これまでも書いてきたが
個人がMacを使うならフリーウエアのClamXavで充分だと思う
付属のClamXav Sentryが指定したディレクトリのウイルスを監視する

指定した領域の全域スキャンもできる
以前会社のネットワークと繋いでいた時にはNorton Anti Virusとふたつ起動していたが
個人使用ならこのClamXavだけで充分だ
「お薦めのウイルス対策ソフトは？」とたまに聞かれるが
アンチウイルスにあまり過大な期待を持たない方がいい
ならば実績もあるフリーウエアで充分だ

７）中・上級編〜ネットワークを監視する

ここからはできればやったらいいというセキュリティ
LittleSnitchをインストールしてネットワークを監視する
ファイアウォールは外から入ってくる接続しか監視できない
これで中から外に接続する不審な通信もあぶり出せる

見かけは取っ付きにくそうだがこのソフトは意外に分かりやすい
新規の接続を見つけると許可していいか聞いてくる
今回のみ許可するか今後ずっと許可するか許可しないかを選んでやる

また今通信を使っているアプリをリスト表示して
どのアプリが通信しているかもリアルタイムに監視できる
こういうものがあればスパイウエアなどを見つけることができる
見たこともないものが接続を求めてきたら疑ってかかればいい

８）Terminalを悪用するコードを実行させない

これは心得がある人にだけお薦めの設定
コマンドをTerminalで自動実行させないための設定法はここに書いた
さきのSafariのダウンロードしたファイルを開く機能と組み合わせて
悪意あるコマンドを実行されるリスクが相変わらずゼロではないと思う
保険のようなものだがやっておけば安心だ

Mac買ったらこれだけはやっておけ！（追記）〜Terminalが勝手に起動しない設定を日本語化した(追記あり）

先日取り上げた、
『Macのセキュリティ、アンチウイルス、８つの設定』
の話題で最後に取り上げたTerminalが勝手に起動されないために起動するか確認をする設定を日本語化した。

これを設定する方法はこちらの記事を参照願いたい。
Terminalを自動起動して悪意あるコードを実行されるリスクを回避するコード
基本的にはbashrcに以下の文字列をコピペするだけだ。

	
		
# keep my playground secure
echo "############################################################";
echo "##                                                        ##";
echo "## ターミナルが起動した理由に心当たりがないのなら以下の   ##";
echo "## 質問に'n'をタイプしてください。'y'をタイプすれば通常   ##";
echo "## 通りターミナルを使えます...　   　                     ##";
echo "##                                                        ##";
echo "############################################################";
echo "ターミナルを起動しますか？ (y/n)";
read -r -t 15 -e OpenTerminal
if [ "$OpenTerminal" == "" ] || [ "$OpenTerminal" == "n" ]; then
  exit 1;
fi;
if [ "$OpenTerminal" != "y" ]; then
  LastCommand="$OpenTerminal";
  echo "Open Terminal.app now (y/n)";
  read -r -t 15 -e OpenTerminal
  if [ "$OpenTerminal" == "y" ];then
    echo "This was the command that started Terminal.app:";
    echo $LastCommand;
    else
    exit 1;
  fi;
fi;
		
	

上のコードをbashrcにコピペしてTerminalを起動すると
このように起動確認の質問が日本語になる
なんとなく回りくどい言い回しがUNIX的ではないですか？

MainMenu等を使って不可視ファイルを表示する
そして"/private/etc/bashrc"にあるbashrcを
テキストエディタで開き上記の文字列をコピペする

＜追記＞
このコードはTerminalでは正常に表示できるが、シングルユーザモードでログインすると、文字化けする。
bashは日本語を表示できるが、シングルユーザモードのシェルは日本語が表示できないからだ。
シングルユーザモードでも表示が止まったところで「y」キーを叩けば正常に使えるが、気持ち悪いと感じられる方はやはり英語で使い続けられることをお勧めする。

月に一度のメンテナンスの時くらいしかSUMは使わないから良いんだという気にしない方のみにお勧めできる設定だ。

９）中級編〜マルウエア対策で拡張子を表示せよ

先日「Mac買ったらこれだけはやっておけ！〜Macのセキュリティ、アンチウイルス、８つの設定」という話題を取り上げたが、一つ忘れていたので追記するので「９つの設定」になる。
今後も何か思い出したら随時増える。
最終的なまとめはTipsのページに置くつもり。

それで拡張子を表示する設定をする方法から解説。

これはシンプルにFinderの「環境設定」から「詳細」に入る。

拡張子を表示する設定はFinderの設定から

「すべてのファイル名拡張子を表示」にチェックを入れる

これでファイル、アプリなどの拡張子が表示される

「拡張子」が何かかわからないという方もいるかもしれない。なぜこの表示がセキュリティ上必要なのかも説明する。

拡張子というのはファイル名の後にドットを介して３文字〜数文字で表示される記号のこのドット以下の部分のことをいう。
例えば、
Macオンラインウエアのテスト記録.txt
というファイル名があると、このファイルは「Macオンラインウエアのテスト記録」というタイトルのテキストファイルであることがわかる。
Macの場合.txtの拡張子ならデフォルトでテキストエディタで開くのではないかということまでわかる。

かつては旧OSの時代、Macは拡張子とは違うデータフォーク（ファイルの本体）とは別の付属品でファイルの種類を認識していた。
しかしUNIXベースのOSXになってからMacでもUNIXの標準に従ってファイルの種別は拡張子を見るということになった。
しばらくはクリエーター識別と拡張子が同居していたが、段々拡張子に絞り込みつつあるようだ。

ところでこの拡張子によるファイル識別はWindowsも同じで、Windowsはクリエーター識別は拡張子しかなかった。
かつては拡張子が剥き出しだったWindowsは、見えない付属品で識別しているスマートっぽく見えるMacと見た目を同じにするために拡張子を隠すのが標準になってしまった。
その結果何が起きたかというと、ファイルの種類を詐称した偽ファイルのウイルス、トロイの木馬が流行する羽目になってしまった。

UNIXベースになったMacでも何をトチ狂ったのか、このWindowsのスタイルに準じてデフォルトで拡張子を隠すようになってしまった。

以下のようなケースがあるのでMacでもWindowsでも拡張子は表示しておくのをスタンダードにしておきたい。

ここにどこかからダウンロードしてきた「01 Highway Star」というmp3とおぼしきファイルがある

ところがこれをクリックすると時計が起動した

からくりはこういうことだ
これは「拡張子を表示する」設定にしてみると
「.app」つまりアプリケーションだということがわかる
ところがそれらしいファイル名にしてmp3のアイコンを貼付けるとmp3に見えてしまう
このようにして偽装して実行ファイルをユーザにクリックさせるということが可能になる
だからクリックする前に常に拡張子を確認する習慣をつけるべきなのだ

これで拡張子の表示と、常にクリックする前に拡張子を確認する習慣が重要だということがおわかりいただけただろうか。

このファイル種別の偽装はWindows世界ではほぼ日常的にウイルスなどのマルウエアで常用されている手口だ。
Macにはウイルスは無いから関係無いなんていっていないで、そういう手口から学んでMacでも是非気をつけてもらいたい。
この設定のことを思い出したので追記しておく。

Mac買ったらこれだけはやっておけ！（追記3）〜個人情報は暗号化して保存せよ

１０）中級編〜個人情報は暗号化して保存せよ

先日「Mac買ったらこれだけはやっておけ！〜Macのセキュリティ、アンチウイルス、８つの設定」という記事を書いたところいろいろ反響をいただいた。
そのなかでログインパスワードを設定して、個人情報を守れという話を書いたところ
「File VaultとOpenFirmware Passwordが必要なのでは？」
というコメントがあった。
実は前にもこういうテーマを取り上げた時に同じ話題になった。

まずOpenFirmware Passwordについてはこちらでも取り上げた。
OSXのrootパスワードはシステムディスクがなくてもリセットできる２〜じゃオープンファームウエアパスワードなら安全なのか！？〜セキュリティのシチュエーションを整理してみた

ログインパスワードは実はリセットできてしまう。
ここにも取り上げた通り、システムインストールディスクが手許になくてもリセットできてしまう。
しかもその手順は再起動して、シングルユーザモードで簡単なコマンドを打ち込むというものでさほど難しくもない。

そういうことができてしまうと、ログインパスワードではやはり個人情報は守れないのではないか、 それならば昔からのMacユーザには知られているオープンファームウエアパスワードが、実は今のMacでもまだ有効なので、こちらの方がいいのではないかという疑念は当然出てくる。

しかしこれはリンク先にも書いたが、結論からいうとオープンファームウエアパスワード（正確には今はFirmware Passwordというらしいが）は、これもログインパスワードとさほど変わらない強度しかない。
そのリセット方法は困難でもない。
テストしたところ、シングルユーザモードもディスクターゲットモードも無効になってしまうので、メリットよりもむしろデメリットの方が大きいと判断した。

ログインパスワードを有効にすることは勿論無意味とは思わないが、ログインパスワードやFirmware Passwordで個人情報を完全に守るということは不可能だと考えた方がいい。

ならば、実際の盗難や紛失といった事故の時にどうやって個人情報を守るか？
ここでFile Vaultということになる。

ところがこの機能は登場当初「Macにログインできなくなってしまった」というトラブルを頻繁に起こしていた。
最近はかなり信頼性が向上してきているのだという。
それでも私個人的な思いでいえば
「ユーザ領域を全域暗号化してしまうのはあまりにも危険」
と感じてしまう。
ここは主観なので、File Vaultが使えると思われる方は使っていけばいい。
私はそういうものにユーザ領域を預けてしまうのは抵抗を感じる。

それで個人的はこういうものを使っている。

各種ユーザID、パスワード、カード番号などの重要情報は
MacJournal
を使って暗号化。

個人ファイル、仕事上の機密事項を含んでいるファイルなどは
Exces
を使って暗号化。

MacJournalはメモノートアプリなのだが強力な暗号化機能がついている
ID、パスワード、カード番号などの重要な個人情報を
テキストファイルにメモって剥き出しで保存するのはいかにも危険だ
こういうメモアプリに記録してグループごと暗号化してしまう
ログインパスワードと違うパスワードを使えば安全性はさらに増す

Excesはフォルダごとディスクイメージ化するアプリ
これも強力な暗号化機能がついているので大量のファイルをフォルダごと開けなくできる
開いてディスクイメージの中を見るにはパスワードが必要だ

このようにして個人のファイルを必要な時だけ開く
システム全域暗号化するよりも安全だしOSバージョンアップして
開かなくなってしまったならTime MachineでOSを戻して
開いてバックアップを取ることも可能なので実はFile Vaultよりも安全性も高い

Mac買ったらこれだけはやっておけ！（追記4）〜ダウンロード先はデスクトップに設定せよ（記事の悪用禁止）

これはBBSに「edm2」さんから指摘をいただいた。
先日このシリーズで、
「拡張子を表示する設定にして、ダウンロードしてきたファイルを開く場合は拡張を確認せよ」
というセキュリティのTipsを書いた。

ところが「edm2」さんの指摘によるとMacでも拡張子の偽装は可能ということだ。
これの対策としてブラウザの設定でダウンロード先は「デスクトップ」に変更することをお勧めする。
どうやらデスクトップの表示では拡張子を偽装できないようだからだ。
以下この設定をするべき理由と検証の様子をキャプチャーで説明。

Safariに限らずFirefoxでもChromeでもデフォルトのダウンロード先設定は
「ダウンロードフォルダ」になっていると思うがこれをデスクトップに変更する
結論からいうとそういうことでその理由は以下の通り

ここにある種の実行ファイルがある
Mac用なので拡張子は例えば「.app」ということになる

AppleScriptエディタを起動してこういうスクリプトを実行する

どのファイルを書き換えるかを聞いてくるので先ほどの実行ファイルを指定する

すると例の実行ファイルはmp3ファイルと紛らわしいファイル名に変わる
しかしこれでは「.app」の拡張子は見える

選択を外してもこのファイルをデスクトップに置いている限り
Macの長いファイル名の表示の原則に従って
ファイル名の先頭と最後の拡張子を表示している

ところがFinderのウインドウで表示をするとこの通り！
本当の拡張子の「.app」が消えてmp3にしか見えないファイル名になっている

リスト表示でもこの通り

カラム表示でも本当の拡張子は見えていない
ただしプレビュー欄に「アプリケーション」と出ておりこの時点で怪しいのがわかる

それでもこれに先日の例のようにmp3アイコンを貼付けてしまうとこの通り
注意深く見ていないとこれが偽装ファイルだということはわからないかもしれない

Quicklookでプレビューしてみると本物のmp3なら
音楽の再生が始まる筈だがこういうアイコン表示のまま何も始まらない
ここまでやれば怪しいファイルだということに気がつくかもしれない

ファイルのダウンロード先をデスクトップに変更せよというのはこういうことだ
上記の通りデスクトップなら本当の拡張子が見えている
これはこういう時計アプリなのでクリックしても和んでしまうだけだが
あなたがクリックするmp3アイコンはマルウエアかもしれない

この現象を追加実験してみたい方は、「edm2」さんから教えていただいた以下のスクリプトを試してみるといい。

tell application "Finder"
set (choose file)'s name to "01 Highway Star.mp3
.app"
end tell

これのミソは「01 Highway Star.mp3」という偽装ファイル名と「.app」という本当の拡張子の間に改行コードを入れることで、通常のFinderの操作やテキストエディタからのコピペでは改行コードの挿入は不可能だが、これで改行できる。

そしてFinderのウインドウ表示では改行コード以下は表示できない。 これは非常に問題ある仕様だと思う。

こういうことができるという情報を公開すべきではないという考え方もあるが、すでにBBSで公開しちゃってるし、こういうことができることをどこかで聞いたような記憶もよみがえってきた。
そうであるなら、こういうリスクがあることをすべてのユーザに知らせる方が得策だと思うので、敢えて追試験のやり方まで解説する。

誤解しないでもらいたいのは、この手法を使えばMacユーザをカモにできるマルウエアがすぐに作れるわけではないということだ。

MacにはURI脆弱性の対策として、ダウンロードしてきたアプリや実行ファイル、バイナリ展開の時に
「◯◯は、アプリケーションで、インターネットからダウンロードされてきました。開いてもよろしいですか？」
という非常に丁寧な確認タグが表示される機能が用意されている。

Macはネットから落としてきたファイルを初めてクリックすると
それがアプリであったりスクリプトなど実行ファイルであったりした場合、
このような確認タグを表示して勝手に実行されない仕組みになっている

これは７年前にMacの管理者権限を実際に乗っ取ってみせたURIの脆弱性を攻撃するコンセプトウイルスに対する防御策の一つとして追加された。

もしこの拡張子偽装を悪用してウイルスを作るなら、この確認タグも回避する方法を確立しないとマルウエアとしては非常に威力が弱いものにしかならない。
ただ７年前のURIの脆弱性も予想外のことだったので、今後そういう安全策を回避できる新たな脆弱性が発見されないとは言い切れない。

だから、これだけに頼るのではなく拡張子を自分で確認して自衛することが重要だと思う。

もっともこうした確認タグが出ても、何が書いてあるか一切読まないで何でもかんでもOKをクリックするユーザが相手ならこの防御策も無意味だが。

そういうユーザが「拡張子を確認しろ」というTipsを読んでそれを実行するかどうかは、はなはだ心許ないが、それを実行することで安全性は格段に高まるのだから、
１）ダウンロード先をデスクトップに変更して
２）とにかくクリックの前に拡張子を見る
３）自分が開こうとしているファイルが何かだけは意識しておく
ということを励行していただければと思う。

＜余談＞

OS9の頃まではブラウザなどのダウンロード先はデフォルトではデスクトップだった。

ところが、デスクトップに置かれると自動的にデスクトップ上の「Macintosh HD」というフォルダを探してそこに自分のコピーを置くという機能を持ったウイルスが登場した。

その後OSXになってからも私の場合割と忠実にそれを守ってきていて、 ダウンロードフォルダも作っていたし起動ボリュームはMacの代が変わるごとに新しい名前にしていた。
ちなみに今の名前は
「SnoLeo500」
だ。（SnowLeopardのHD２代目で500GBなのでこの名前）

OSXはLeopardあたりからかデフォルトでダウンロードフォルダが用意され、最初からここにダウンロードする設定に変わったのは、この古いMacのウイルスに対する備えというよりも、Windowsからスイッチしてきたユーザが、デスクトップにダウンロードファイルが散らかるよりもダウンロードフォルダに格納される方が違和感がないに違いないという配慮のような気がする。

実際デスクトップとボリュームの関係はOS9とOSXではガラリと変わったのでデスクトップに置かれたファイルがフォルダ名で起動ボリュームを探すなんて動作は意味が無くなった。
（OSXではデスクトップ上に見えるボリュームはそこに視覚的に見えているだけでそこにあるわけではない。
UNIX的な表現をするなら、起動ボリュームがすべてのルートでそのパスの書き方は、起動ボリュームの名前に関係なく
「/」
という記号で表記されるし、それ以外のボリュームは 「/Volumes」
というディレクトリの中にある）

今回こういう拡張子を偽装することが可能だという情報をいただき、ダウンロード先はやはりデスクトップに戻すべきだと感じた。
デスクトップ上だけが唯一拡張子の偽装が不可能だからだ。

大量のファイルを一気にダウンロードする習慣があるユーザは、デスクトップが散らかって嫌がるかもしれないが、何の気もなしにダウンロードフォルダの中のファイルをクリックして、ウイルス感染なんてことになるよりも、その方がはるかにマシだと思う。

またこういう話題をすると必ず
「ウイルス対策ソフトを入れていれば大丈夫なんじゃないですか？」
という人もいるが、ウイルス対策ソフトはあくまで補助手段だと考えよう。
パターンファイルが間に合っていない新種のウイルスのゼロデイ攻撃に関しては、ウイルス対策ソフトはほぼ無力なのだ。
これは有料の有名なソフトだろうが同じことだ。
だからこういう自衛策が必要だと考えている。
（「そんなことはない！ヒューリスティックなウイルス対策ソフトなら大丈夫」と言い切る人達には、それじゃなぜその安全なウイルス対策ソフトがAutorunやGumblarの大流行を食い止められなかったのか、その理由を是非聞かせてもらいたいと思う）

Windows無手勝流にチャレンジ〜すべてのセキュリティ設定を外してネットに接続しまくったらどうなるか実験してみた

もう表題の通りだ。
むかし、といってもそう遠くない昔、Windowsのウイルス対策ソフトやセキュリティの設定を全部外してネットサーフィンをやったらどれくらいウイルスを拾うかという実験をやっていた人がいた。

Windowsがまだイケイケの時代だったので、２〜３時間で２０個ほどのウイルスを拾っていたと記憶している。

それを見て以来「いつか自分もやってみたい」と思っていた。

これも仮想化ソフトの恩恵ということで、Windowsの仮想化環境があることだし、システムぶっ壊れても十数分で元に戻せるのでやってみることにした。

手順としてはこういうことをした。

１）ウイルス対策ソフト（AVG）を完全にアンインストール、常駐サービスも残っていないかコンパネのサービスで確認
２）ファイアウォールを完全に止める
３）ルータ（Air Mac BaseStation）を外してDSLのターミナルにMacを直差し、ターミナルの設定をNATに
４）この状態でOutlook Expressを起動して各種フリーメールも含めてメールを吸い込み放題
５）MSNのページ、Google検索、２ちゃんねる等を起点にネットサーフィン、リンク先のページのリンクはすべて踏む
６）ただしOSはWindowsXP SP3のアップデートやパッチは全部当たった最新バージョンで
これを古いバージョンを使うまでやるとちょっと非現実的なので

「現実的」って、そんな使い方している奴オランで・・・とか思っているでしょ？
ところが以前の職場でPCをそういう使い方をしている人物が二人もいた。
そのうちの一人が持ってきたUSBはウイルスをたっぷりと吸い込んでいた。
そのことを指摘すると
「ウイルス対策ソフトは何を買ったらいいですか？購入費用を会社に請求できますか？」
とのたもうた。

WindowsのセキュリティはMacと比べてシビアだと思っているMacユーザもいるかもしれないが、Windowsの世界も実はこんなもんだ。

ならばこういうことをするとどうなるのか、日々実験だ。
まさに徒手空拳、Windows無手勝流・・・真剣白刃取りに挑戦でござる。

まずはウイルス対策ソフトを「コントロールパネル」の
「プログラムの追加と削除」でアンインストールする
私のところではスタンダードなAVGはエージェントが
残ることがあるのでコンパネの「管理ツール」→「サービス」で確認する

ファイアウォールも外す
Windowsを使用する上で最後の砦のファイアウォールを外すったら外す

あまり関係ないけど気分の問題で「自動更新」も外す
ただしOSは現時点では一応大きなセキュリティホールがない筈の
WindowsXP SP3の最新パッチが全部当たったバージョンを使う
わざと穴がある旧バージョンを使うこともないだろうと思ったので

こうしてセキュリティセンターの評価最悪の「危険なWindows」の出来上がり

余談ながらこの状態のWindowsは非常に軽快でパキパキ動く
セキュリティ無関心なWindowsユーザがこういう状態で使いたがるのもよくわかる
実に快適な動作だ

ついでにルータとして使っているAir Mac BaseStationを
外してADSLのターミナルにMacを直つなぎする
http://（IPアドレス）でターミナルに入ってNAT等の設定をやっておく

そしてWindowsを起動してOutlook Expressで
スパムまみれのフリーメールをがんがんダウンロードする
ああっ・・・やってはイケないことをやるのって快感！

ブラウザは勿論、誉れ高きInternet Explorerだ

MSN、Google、2chなどからすべてのリンクをどんどんクリックするというルールで
一時間「ネットサーフィン」ならぬネットボーリング（？）を敢行

するとｷﾀ━(ﾟ∀ﾟ)━!
一時間もしないうちにワンクリ詐欺マルウエアにデスクトップで常駐いただけた

さてこのテストの結果の方だが、あまり思わしくなかった。
２〜３時間で２０個ほどのマルウエアを捕獲したという先例からいうなら、１時間で１０個くらいは捕獲できるかと思ったが、ワンクリ詐欺マルウエアを１個拾っただけだった。
ちょっと期待はずれ。

だからってセキュリティに無関心なWindowsユーザの諸君は
「なんだ！　Windowsも案外安全じゃん、Macみたいにウイルス対策ソフト無しで使ってもいいんじゃね？」
なんて思ってはいけない。

このワンクリ詐欺マルウエアはなかなか手強い奴だったからだ。

一応ルールとしては、２ちゃんねる、MSN等を起点にしてwebサイト３枚までという制約ですべてのリンクを無条件でクリックするということでやってみた。
するとこうしたメジャーどころのサイトからでも、たった数クリックでこうした悪質サイトのワンクリ詐欺に引っかかった。

内容は
「お前は弊サイトが提供するアダルトコンテンツを有料で見る契約を承諾してクリックした
７２時間以内に数万円の入会費を振り込め
さもないと法的処置を講ずることもある」
というような内容のアラートポップアップがデスクトップに数分おきに出てくる。

問い合わせのメールアドレスなんかも書いてあるが、勿論こんなところにメールで
「心当たりが無いから解約してくれ」
なんて送ったりしたら、偽の弁護士事務所から
「依頼人から請求に応じない悪質なユーザに対する法的処置の依頼を受けた弁護士◯◯である
支払いに応じない場合は◯◯地裁に提訴して公表事件とする
会社や学校、家族に知られたくないなら支払いなさい
なおあなたの住所氏名、電話番号などはすべて把握している」
という返信が来るに違いない。

実際にはIPアドレスとメールアドレスぐらいしかわからない筈だが、それで関西在住とか関東在住とかそれくらいは絞れるので、そういうブラフをかけてくるかもしれない。

そしてデスクトップには例のポップアップがいくら再起動しても、すべてのアプリをタスクマネージャーで止めても執拗に出てくる。
きっと初心者だったら神経が参ってしまうだろう。

それでこれを完全に掃除する方法だが、結構苦労した。

まずはこのアダルトアラートを表示しているプロセスを特定することから始めた
すべてのアプリを終了してもまだ出てくるし再起動しても数分おきに出てくる
何かの常駐プロセスにやらせているに違いないと踏んで
タスクマネージャーでいくつかプロセスを止めたところビンゴ
mshta.exeというプロセスがこのポップアップを表示していた

以前テストしたMac向けスケアウエアは偽のブラウザを偽装した偽プロセスが
ポップアップを表示していたが、MacからSpotlight検索した「mshta.exe」の数と場所は
バックアップディスクの中の健常なWindowsと同じだった

それで、こういうhta（自動実行）プロセスを悪用する実例がないかググってみたところ比較的簡単に参考になるサイトが見つかった。
こことか・・・
mshta.exeによるワンクリック不正請求詐欺サイト　月桂樹葉
ここあたり・・・
自動実行する mshta.exe プロセスを削除する方法
が参考になった。

Windows世界では割とありふれた手法らしい。

まずはスタートメニューの「ファイル名を指定して実行」を開いて「msconfig.exe」と入力して検索

mshtaという項目があればチェックを外す
この場合は見当たらなかった

次に同じくスタートメニューの「ファイル名を指定して実行」に「regedit.exe」と入力して検索

Windowsの心臓部であるレジストリエディタを開く
できればこういうものは一生開かずにいたかったが仕事もWindowsの心臓部をいじる仕事に
替わったところだしWindowsのレジストリやライブラリにも慣れていかなくてはいけない

ここでmshta.XXXXXXXXXX.htaという名前のファイルを探す
探すべきディレクトリは下記の通り
.htaの拡張子があるファイルはこれだけだったので
どうやらこれがポップアップを出していた本体らしい

これを削除する方法は「編集」メニューから「削除」
これでポップアップは出なくなった

さらにAVGを再びインストールしてディスク全域をスキャン
別のウイルスファイルを発見した

こちらもhta関連のファイルで
「JS/Generic」なんて立派な名前をいただいたトロイの木馬だった
これの動きはバックヤードで気付かれずに特定サイトに
不正アクセスして自動クリックするということらしい
これでアフィリエイトで一稼ぎできるし例のアダルトサイトにアクセスさせれば
また削除した「ワンクリ詐欺ポップアップ」を復活させることもできるだろう

隔離室から右クリックで特定ディレクトリに復活させることができる
このサンプルはありがたくいただきました

ということで上記リンク先を参考に探してみた結果、私の場合
マイコンピュータ\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
というディレクトリに
mshta"C\Documents and Settings\All Users\Application Data\eromd\××××.hta"
というレジストリを見つけたのでこれを削除した。

ここらあたりも怪しいものがある可能性がある。
マイコンピューター\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
マイコンピューター\HKEY_USER\(各ユーザー)\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
またhtaという拡張子を使っていないかもしれないが、頑張って探してみて欲しい。

またこのポップアップを表示していたファイルとは別のトロイの木馬として検出されたファイルは、感染しても全く気付かれずに完全にバックヤードで、特定のサイトにアクセスしたり自動クリックできるなどの機能を持っていて、もともとはアフィリエイトで不正な利益を上げるためにバラまかれたものだったそうだ。
危険度は低いながらも、これを利用して暫く時間をおいて例のポップアップをまた復活させるなんてことにも利用できそうだし、この組み合わせは結構悪質だと感じた。

いやぁ、Windows世界は楽しいねぇ。
またそのうちもっと長時間、もっとディープなところにもどんどん踏み込んで実験してみよう。

ということで今回は、このBootCampボリュームのWindowsはキレイに削除してWincloneでまっさらに戻しました。
これはやっとかないとコワいからね。
よい子の皆さんはマネしないように。

WindowsのAdminパスワードは簡単にクラックできるぞ！

先日
OSXのrootパスワードはシステムディスクがなくてもリセットできる〜ていうことはrootパスワードではプライバシーも何も守れない！？
という趣旨の記事を書いたところ、
「それ見ろ、やっぱりMacはWindowsよりもセキュリティ脆弱なOS」
というささやきが聞こえた。
わからないようにささやいているつもりでも、ちゃんと見えてるんだからね。

それで、どうしてもそういうことを言いたい人達に面白い情報を教えてあげたくなった。
何が何でも「Windowsと比べて」ということを言いたいのなら、そのWindowsがどれほど堅牢なOSかを紹介したい。

参考にしたのはこちらのサイト。
WindowsXPのパスワードをOphcrackを使って解析する方法 - http--pnpk.net

まずはOphcrackというパスワードクラッキングソフトのLiveCD版をダウンロードしてくる。
ここで手に入る。
ophcrack - Browse Files at SourceForge.net

これをライブCDにするために、isoファイルをCDRなどに書き出す。
いろいろWindowsの場合はお薦めソフトがあるようだが、私はこちらのDeepBurnerを使った。
DeepBurner - Powerful CD and DVD Burning Package

こうしてでき上がったLiveCDをディスクドライブに入れて、後はそこから起動するだけだ。
それで簡単にWindowsのAdministratorパスワードは見えてくる。
別に難しいコマンドを打つ必要もない。
タダ見ているだけで、パスワードは解析できる。

誤解の無いように言えば、このOphcrackは窃盗犯や横領犯向けのアングラソフトではなく、
「管理者が何代も変わってしまったために、会社で使っているPCの管理者パスワードがわからなくなってしまい、セキュリティアップデートもできなくなっている」
「Adobeのアップデートに管理者権限が必要だなんて知らなかった」
なんていうカッタルイ管理者によってセキュリティホール満載になったPCをなんとかするために必要なソフトで、別にハッカー集団専用のソフトというわけではない。
（これらの例はすべて実話なのが悲しい）

さらに誤解の無いように言えば、このツールでクラックできるのは物理的にいじることができるパソコンだけで、これを使ってオンラインでパスワードを破ることができるわけではない。
それは以前に紹介したMac OSXのパスワードリセットも同じ話だ。
だからまず第一義的には、コンピュータを紛失したり盗難に遭わないように気をつけましょうということになる。

このOphcrackはLinuxのポータブルでLiveCDを構成し、その上でパスワード解析ソフトを自動的に走らせる仕組みになっているようだ。

それで、この対処法なのだがWindowsの『レインボーテーブルと呼ばれている予めハッシュ値を計算したテーブル一覧を使ってパスワードを解析』しているので、こういう対処法になるのだとか。
Windows でパスワードの LAN Manager ハッシュが Active Directory とローカル SAM データベースに保存されないようにする方法

レジストリをイジルし正直、誰にでもお勧めできるような方法ではない。
というより大部分のユーザは、この問題を自分で解決することができないだろう。
結局結論は
「盗難・紛失に気をつけろ」
ということしかない。

Ophcrackは上記リンクのここで手に入る
一番上のlivecdというバージョンをダウンロード、ファイルは.isoになる

Ophcrackの使い方はあまりにも簡単なのでLiveCDの作り方から解説してしまう
ダウンロードしてきたDeepBurnerをインストールする
日本語にも対応しているのでインストーラの指示に従って必要な設定で進行
シェアウエアのPro版とフリーウエア版が用意されている
後者でも機能は充分

インストールは順調に進む

デスクトップにできたショートカットをクリックすると
何をするか聞いてくるので「ISOイメージの書き込み」を選択する

まずはISOイメージの指定
パスウインドウの右のボタンでダウンロードしてきたOphcrackのISOイメージを指定する

CD-Rの生ディスクを入れたらあとは「ISO書き込み」で

あとはLiveCDディスクが焼き上がるのを静かに待つ

CDRが焼き上がったら再起動
この場合BootCampのWindowsXPをクラックするので
optionキーを押しながら起動で起動ボリュームにCD-Rを選択する
ネイティブPCの場合は何もしなくてもここから起動するらしいが
開かない場合はF2キーなどでBIOSをいじって起動する

見たところやはりLinuxOSらしい
OSが起動したらクラックソフトのOphcrackも自動的に起動する

この通り３分半でもうAdminパスワードは見えている
ユーザを設定して別パスワードにしたとしても
Adminが出ている時点で全部スルーされてしまう
このようにWindowsの管理パスワードはクラックもリセットも簡単なのだ

なおこのOphcrackのLiveCDはBootCampのWindowsXPのパスワードは簡単にクラックしたが、仮想マシンのWindowsに対しては無効らしい。
「VMWare＋仮想マシンWindowsのオレ大勝利」
等と喜んではいけない。
仮想化ソフトのベースで動いているMacもLinuxもパスワードはリセットできるわけだから、結局管理者パスワードでモバイルPCのプライバシーを保護するという考え方自体が、限界があるということだ。
結局MacもWindowsもどちらが安全かというとどっちもどっちという結論になる。

＜追記＞WindowsのBIOS画面に入る方法〜LiveCDから起動できない場合の対処法

先日、こういう記事を書いた。
WindowsのAdminパスワードは簡単にクラックできるぞ！

この方法はLinuxベースのLiveCDで起動するパスワードクラックソフトを走らせるというもので、非常に簡単な方法でWindowsXPのAdminパスワードを抜くことができるというものだった。
ところが、この時にLiveCDをドライブに入れて再起動すれば必ずそこから起動できるのかという問題をさらっと流してしまった。

しかしこの方法をひょっとしたら仕事で使わないとも限らない立場になってみると、この解説を飛ばしてしまったのはいかにも不親切な気がしてきた。
大抵の場合はLiveCDは挿入して再起動すれば、そこから起動できるように調整されているそうだ。
しかしWindows世界はMacの世界ほど規格化されているわけではない。
ベンダーによって、機種によってやはり起動できないケースは当然あり得る。

LiveCDを挿入しても内蔵ディスクのWindowsから起動してしまう場合は、BIOS画面に入って、そこでBOOTボリュームの選択メニューで起動メディアを選ぶことでLiveCDから起動できる。

LiveCDから起動できない時にはBIOS画面に入ってBootメニューに入る
ここで上下カーソルキーで起動したいメディアを選択する
LiveCDから起動したい時にはCD-ROM Driveを選択してEnter

さて問題はこのBIOS画面に入る方法だ。

これがメーカーによって、機種によっても違うらしいが調べたところ大体こういうことになっているらしい。

勿論これは目安で、大体こういう傾向になっているというだけで、実際は機種によって違うかもしれない。
メーカー品なら付属の取説に書いてある筈だが、設備の保守をする時には取説が手に入らないこともあるのでこういう傾向を知っておくと便利なのではないかと思った。
それでまとめておく。

＜追記の追記＞
蛇足ながらMacの場合光学ドライブに挿入したLiveCDから起動したい場合、BIOSだのどうだのいう必要はない。
Optionキーを押しながら起動すると、起動できるボリュームのリストを表示してくれるので、左右カーソルキーで選択してEnterキーでそこから起動すればいい。
その方法でBootCampのWindowsからもLiveCDのLinuxからも起動できる。

以上余談終わり。

Mac用の偽セキュリティソフトがまた盛り上がっているんだそうだ

この連休中にMac向けの偽セキュリティソフトが、いろいろ出てセキュリテイ各社からアラートが出ている。

今回は完全に話題に乗り遅れたので実物を入手して検証できていないのだが、こちらの記事によると今回は
「MACDefender」
という名前のウイルススキャンソフトを装っているそうだ。
Macユーザーを狙う「偽ソフト」出現、勝手にインストールされる恐れ：ニュース

内容を読むと、以前取り上げた
「MacSweeper」
という偽ウイルス対策ソフトに酷似している。
OSXを狙い撃ちにしている悪質な偽装セキュリティソフト「MacSweeper」に要注意（追記あり）

違う点は、配付しているサイト自体にサイトにアクセスしただけで自動的にダウンロードされるJavaScriptが追加されたという点だろうか。

このサイトにアクセスするだけで、自動的にダウンロードが始まりSafariの
「ダウンロードした"安全な"ファイルを開く」
の設定を外していない場合は、自動的にインストーラが立ち上がるに違いない。
この時にMacのURIの制約で
「インターネットからダウンロードしたファイルだが開いてもいいか？」
というアラートタグが出る筈だが、そういう注意書きを一切読まないで何でもかんでもOKをクリックしてしまうユーザというのも必ず一定の割合で存在する。

すると後はこのマルウエア作者の思うつぼで、自動的に「ウイルススキャンソフト」が立ち上がって、Macをスキャンするようなそぶりをして、
「お前のMacはマルウエアに感染している危険な状態だ、今すぐお金を払ってMACDefenderをレジストしてウイルスを削除せよ」
というアラートを執拗に出し続ける筈だ。
アプリ本体を削除しても、このアラートが出続ける仕組みは上記リンク先の「MacSweeper」で説明している。

今回の各社セキュリティレスポンスで取り上げられている「MACDefender」
もっともらしい面構えをしているがセキュリティに貢献する機能は何もないと思われる
単に金をだまし取る目的だけで作られたソフトと見ていいと思う
（Sophosセキュリティレスポンスページから）

問題は、いくつかの代表的なウイルス対策ソフトが、このマルウエアに対応したと宣言していることだ。
対応することは別に悪いことじゃない。対応すればいいと思う。

しかしそれがまた
「ウイルス対策ソフトをインストールしていれば、偽セキュリティソフトからも守られて安全」
という誤解を再生産しないかが心配だ。

現に、今回も早速「Mac Security」「Mac Protector」などという亜種がどんどん出てきているようで、ウイルス対策ソフトの対応は間に合わないんじゃないかと思う。

この手のソフト自体は、ウイルスと違って何かをクラックするとか、自己増殖するとかの振る舞いをしないから振る舞い検知のウイルススキャンは効果がない。
ファイル名とかファイルサイズとかそういう外見的なシグネチャーでしかスキャンできない筈だから、速い話名前を変えられたらもうスキャンで引っかからない。

この手のものには注意して、何でもかんでもやたらクリックしないということしかないと思う。

アップデートかけてないWindowsPCは相変わらず危険だという話〜AutorunテストUSBメモリ作ってます

昨日WindowsのOSが吹っ飛んでディスクイメージから修復している時に面白いことに気がついた。

思うところあっていきなり最新環境に復元しないで、昨年、つまり２０１０年４月にとったディスクイメージからWindowsXPのシステムを復元した。
WindowsXPのSP3で当時の最新パッチが全部あたっているバージョンだ。

この１年前のWindowsXPに久しぶりに引っ張り出してきたAutorunデモ用に作ったUSBメモリを差してみた。

すると最近機能しなくなっていたこのUSBメモリが見事発動してWindowsのデスクトップがこのキャプチャーのようになった。

USBメモリを挿してマイコンピュータのドライブレターのアイコンをクリックすると
メモリが開くのと同時にデスクトップを覆う「感染しました」の文字
これは本物のウイルスではなくちょっとした悪戯でWindowsの
AUTORUN機能のデモのためにテキストファイルで表示している

この悪戯の仕掛けは簡単でUSBメモリ最初の階層にAUTORUN.INFというファイルを置いておき
そのテキストを開くテキストエディタアプリをいっしょに入れておけばいい
ここではテキストエディタはiText ExpressWindows版でテキストの拡張子は.ITEになる

AUTORUN.INFは一種のINIファイルのような簡単なOSの振る舞い記録シートで
文字列はこんな感じのシンプルな表記で動作する
これは『USBメモリをマウントしたら自動実行で「virus.ITE」というファイルを開け
「virus.ITE」を開くヘルパアプリはiText.exeを使え』という意味

今現在の最新版WindowsはVistaも７もXPもこのAUTORUN機能は
無効にされているためにUSBメモリは普通に開くだけだ

これはちょっとした悪戯なんだけど、無意味な悪戯ではなく２００８年あたりから大流行したAUTORUN系のウイルスのデモのために作ったものだ。

AUNTORUN機能の脅威についてWindowsユーザなら誰でも知っているものと思っていたのだが、実際はかなり大部分の人がAUTORUNウイルスの実体を理解していなくて、ウイルスをまるでリアルなインフルエンザかなにかの様に混同して「見えない脅威」とかいっている人と多く接したので、ウイルスとは何かというデモでこれを作った。
ウイルスは正しい方法で特定すれば必ず見える姿をしている。

AUTORUNはキャプチャーのようにWindowsの正規の振るまい記録ファイルの.INFファイルに簡単な記述をして指定のファイルを指定の方法で開けという記述をしているだけだ。

そこには
１）（USBメモリなどの）ボリュームをマウントしたら
２）指定のファイルを
３）指定のヘルパアプリで開け
という３つの条件が記述されているだけだ。

AUTORUN.INFの記述の仕方については、Windows関連のサイトで解説しているページがそれこそたくさんある。

これはUSBメモリを挿したら自動的にアプリが起動してディスクをスキャンしたりデモを表示したり、CDを挿入すると音楽が再生したり、DVD挿入で自動的にビデオが始まったりというWindowsの『便利な』機能を実現する目的で置かれていた。

そしてこの仕組みをそのまま利用したのがAUTORUN系のウイルスで、USBメモリ（だけではない、実際はCDRやDVD-R、HDD、iPod、カメラなどのあらゆるメディア、デバイスがターゲット）を挿入するだけでウイルスファイルが自動実行されるという仕組みだった。

キャプチャではテキストファイルをテキストアプリで開いているが、まんまウイルスの自動実行ファイルやペイロードを実行環境で開くというコマンドに置き換えればAUTORUNウイルスの出来上がりだ。
特別なスキルが無くても誰でもマネできる。
だから２００８年から２００９年にかけてWindows世界でこのウイルスの亜種が大流行したのだ。

キャプチャの通り最新版のパッチがあたっているXPやVista、７ではこのAUTORUN機能は殺されているので、今はこのAUTORUNウイルスは下火になっている。
下火になっているが絶滅したわけではない。

Microsoftは２００９年の年末にすべてのサポート中のWindowsは順次AUTORUN機能を殺すパッチをWindowsUpdateで配布するとアナウンスした。
しかし実際にはキャプチャーの通り２０１０年の４月の最新版WindowsXPではまだAUTORUNウイルスの餌食になる可能性がある。

MicrosoftはこのAUTORUN機能には相当未練があったようで、段階的に対策を施していたがすべて裏をかかれINFファイルで振るまい指定することを禁止して、結局メディアごとに挿入したら何をするかをユーザに自分で選択させる現在の姿に落ち着いたのは最近のことだった。
いつそうなったか調べてみたが正確なところはわからない。
少なくとも２０１０年の４月以降のことで、多分２０１０年つまり昨年の夏以降に今の形になったと思われる。

ということは２０１０年夏以降アップデートを怠っているWindowsXP〜７はいまだにAUTORUNウイルスの餌食になる可能性が残っていることになる。
またすべてのWindows2000、WindowsMeは当然何ら対策がされていないので、ウイルスダダ漏れである。

問題はこの２０１０年夏以降アップデートがあたっていない筐体（及びWindows２０００などの腐ったミルク・・・名言byマイクロソフト）はまだ多数存在するということだ。
ある種のミドルウエア、勘定系ソフト、自動機用のPC、ビデオ編集、再生アプリ専用PCなどは「アップデートすると動作保証できない」という理由でアップデートがあたっていないケースが非常に多い。

しかも「ネットから隔離しておけば安全だ」とばかりに隔離環境のPCにUSBメモリでファイルを渡したりしている。
これで感染事故を起こさない方が不思議で、今私の関係している仕事先の環境でもウイルス騒ぎが起きている。
最近見たものはAUTORUN機能とネットワーク経由で感染するBlasterのような機能を併せ持つ
Conficker
というタイプだった。

これは今でもWindows世界で猛威を振るっているので、注意してもらいたい・・・と書くのも何だか虚しい気がする。

このAUTORNの廃止のアナウンスについて調べていてこういうやり取りを見つけた。
Windows7ではAutoRun無効に、VistaとXPにも順次適用予定 - スラッシュドット・ジャパン

『拡張子を非表示にするのもやめてくれないかなぁ・・・
.scrをダブルクリックで実行してしまう設定もやめてほしいなぁ・・・
hoge.htmlをコピペしようとすると、hoge_filesってフォルダも一緒にコピーするみたいな余計な処理もやめてほしい。。。』


『その頓珍漢な仕様のせいで初心者が挙動を意識しづらいがために攻撃手段になってしまっているという話ね。
便利になる以上に害悪になっている。
そういった意味でAutoRun同様に問題だと思うということです。』


『うーん、 DVD や CD を突っ込んだらとりあえず再生できる、って利便性を享受してる人たちの方が圧倒的に多いと思うよ？

データを記録したメディアを開くにしても、 Windows ならスタート メニュー or デスクトップから /(マイ )?コンピュータ(ー)?/ を開いて、 CD ドライブを開けば…、と考えるかもだけど、例えば同じことを Mac OS 上で、 Linux (Gnome, KDE, etc.) 上で、あるいは触ったことのない他の UI 上で、何の迷いもなく操作できる？

その学習コストを不要にするための機能を、全面禁止にしろ！ってのは、できる人の傲慢じゃないかなぁ。』


『はい。それは全部知っていて、その状況に実際に直面したこともあります。でも私はそんなに困っておらず、それに掛かる手間も大したことないと考えています。

では逆に、それらの機能を全部取っ払ったら、どうなるでしょうか。

〜中略〜

で、つまるところ私が言いたいのは、いろんな機能もデフォルト値も適当に決まってるわけじゃないのよ、と。 Microsoft 自体もいろんな意見は知ってて、さまざまな要因を（少なくとも外側から見て分かる程度には）議論した上で決定を下してる。その結論の前に、「よく言われてる」とか「迷惑がられてる」とか、いくら感覚で主張しても根拠にはならないんです。議論の内容をカバーできる代替案を示せなければ意味がない。

『余計』とか『頓珍漢』とか、いつも根拠なく一刀両断しちゃってない？
一応教える側の人なんだよね？しっかりしようよ。』

これが平均的なWindowsユーザの意識なのかな。
AUTORUN機能なんて１０年前に脆弱性になりうると警告された機能を２０１０年まで引っ張っちゃってウイルスの大流行を許したのに、
「マイクロソフト様が適切に判断してくださるから、その方が正しいんだ」
なんて思考停止したユーザまでいることに驚きを感じる。

それにMacユーザはCDRやDVDを挿入するたびに「学習コスト」とやらに苦しめられていませんから。

Windows式のAUTORUN処理がすべてに勝る方法だと信じ込んでいる人は、せいぜいウイルスもらって楽しんでください。

ていうかBlasterや二ムダを上回る空前の大流行を経験して延べで世界中のWindows機のおよそ３割は何らかのウイルスに感染したという修羅場をくぐったのに、いまだに「自動機能ラブ」なWindowsユーザが、ネットワークから隔離したパッチのあたってないWindows機を専用機環境で運用しているのだ。
原発で「メルトダウン」事故が起きるぐらい不思議でもなんでもない気がしてきた。

以前ここでイカタコ「ウイルス」について取り上げた。
求む！イカタコクラゲフグ『ウイルス』の情報〜なんかヤバそうなニホヒがするのだがいまだに正体が分からない・・・
この時にこのイカタコ「ウイルス」をカッコ付きのウイルスで本物のウイルスではないと分析した。

自己増殖機能がなく、人間の思い込みでファイルを増やしていくのはウイルスではないと思ったからそう書いたのだが、しかし本物のAutrunだってGunmlarだって結局Windowsユーザの思い込みによって増殖している気がする。
その点ではイカタコ「ウイルス」と同じで、Windowsそのものの脆弱性というよりは、Windowsユーザの脆弱性に付け入られている気がする。

ところで、この３点セットの小さなファイルをUSBメモリの最初の階層に入れるだけで、Windows脆弱性テストキットとして使える。
上のキャプチャのように「感染しました」のテキストが表示される人はアウトということになる。

この脆弱性検出キットを希望の方には差し上げます。
勿論危険なファイルでも何でもなく、Windowsの正規の.INFファイルとWindows用アプリとして配布されているアプリと、タダのテキストファイルの３点セット。

しかし上記の通り悪用すれば改造して、ウイルスのエクスプロイトとしても当然利用できる。
この関係は日曜大工の工具で殺人用の兵器だって作れるのに似ている。
こういう場合も「ウイルス配布罪で逮捕」ということになるんだろうか？

ツイッターの認証盗まれるスパムメールがまた激増してる

こういうケースが増えていないだろうか？

最近フォロワーからとつぜん英文のダイレクトメッセージがくる…相手は知ってる人なので英文の意味は分からないが、リンクを踏んでみる。
すると１〜２日後に今度は別のフォロワーから
「あなたから変な英文ダイレクトメッセージが来てるけど、心あたりある？」
という問い合わせが何件もくる…

これはOAuth認証あたりを盗まれて、スパムDMの踏み台にされているということらしい。
今回ひとつ捕足してツイッターアカウントを設定していないLinuxで開いてみたが、ページを開くには認証を要求されるというタイプだった。
フォーム自動入力を利用していると、そこにもう自分のアカウント名とパスワードが入っているかもしれない。
その状態でOKボタンをクリックするだけでもうめでたく認証盗まれることになる。

そしてそこからなあなたのアカウントを使ってスパムDM飛ばし放題だ。

初期の頃は「素晴らしいロックミュージックの歴史の音源を見つけた！クリックせよ」という文面が多かったが、最近は「私には信じられないがあなたについてこんなひどいこといってる人がいる」という内容でリンク先を見させる内容。

今回はフォームで認証を盗むパターンだったが、キャッシュなどを狙ってリンク先に飛んだだけで認証を盗むタイプもあるそうだから注意が必要。

今のところスパムはほぼ英文なのでそういう内容の心当たりない英文DMに注意するだけでいいと思う。
ただ、今後日本語バージョンも出てくる可能性もないと言えない。
リンク先のサイトはどんどん逃げるので、多分スパム対策ソフトでは対応できないと思われる。

知り合いから突然こういう英文ダイレクトメッセージが来たらまずクリックしないで削除すること
相手に教えてあげればパスワード変更で止まるはずだが放置すると拡散の原因になる

ClamXav Sentryを使いたいならAppStore経由じゃない方がいい！？

先日、AppStore経由で配布されているアプリをAppStore経由に変更するために大量のダブリアプリをダウンロードした。

何故そうしたかというと、ソフトウエアアップデートのように一気にアップデートできて便利だという理由から。

しかしちょっと困ったことが起きた。

私の場合ウイルス監視ソフトとしてClamXavを使っている。
このオープンソフトはフリーウエアではあるが、ウイルス対策ソフトとして実績はある。
UNIX用のスキャンエンジンが本体だが、Linux用、Windows用と移植されている。
Mac用に移植されているのがこのClamXavということになる。

私個人はこのウイルス対策ソフトを信頼している。
というより、ウイルス対策はアンチウイルスソフトをインストールするだけでは不十分だと考えているので、対策ソフトにやたらお金をかけても仕方がない。
ある程度の性能のアプリにシグネチャー監視させて、それ以外の脆弱性に繋がりそうなところをしっかり管理する方に神経を使った方が良い。

詳細はこちらを参照願いたい。
Mac買ったらこれだけはやっておけ！〜Macのセキュリティ、アンチウイルス、１１の設定

その実績あるClamXavをウイルス対策ソフトとして使うには、やはり常駐してファイルを関する機能が欲しい。
Mac版のClamXavにはClamXav Sentryというファイル監視用のメニューエクストラが付属している。
これがあるから、このアプリを使っているような物なのだが、なんとAppStore版にはこれが付属していないみたい。
ひょっとして見落とししているだけかもしれないけど、探しても見つからなかったので。

実はOrderOfLaunchを使っている都合もあり、ClamXavの仕様が変わるのは困るので結局、Webからダウンロードした元のバージョンに戻した。

ウイルス対策ソフトの監視機能を利用するために
ClamXav Sentryというメニューエクストラを常駐させている
マニュアルでClamXavでファイルをいちいち
スキャンしなくても自動で入ってくる物を監視する

このメニューエクストラの本体はClamXavの
バンドルの中にあるのだがAppStore版にはこれが入っていなかった
結局Webからダウンロードした元のバージョンに戻すことにした

ところでなんでまたClamXavを弄り始めたかというと、ちょっと面白いことを思いついたから。
次回に乞うご期待。

世界で６０万台のMacが感染しているというFlashbackって何〜対処法は？

最近数多くのMacが感染し、実際AutoStart（もう十数年前の話だ！）以来のMacのマルウエア流行の兆しを見せているFlashbackについて情報を。

FlashbackについてはF-Secureのブログに良記事があるが、セキュリティの専門知識がない一般読者にはちょっと読みづらい内容なので簡潔にまとめる。
一言でいえばJavaの脆弱性を利用することに特徴がある。
（エフセキュアブログ - 目下のMacマルウェア
エフセキュアブログ - （Mac）Flashbackはあるか？）

Javaはプラットフォームに依存しないコード実行環境を実現する言語なのだが、解決されていないセキュリティ上の脆弱性があるうえに、昨年後半から現在にかけていくつか脆弱性も発見されている。

Macとどう関係あるのかと言うと、SnowLeopard以前のMacにはこれがデフォルトでインストールされていた。

そもそもはMacだのWindowsだの、そうしたOSプラットフォーム環境に関係無しにコード開発して動作するアプリケーションを実現するためのものだが、大部分のライトユーザには必要ないともいえる。
実際Lionにはデフォルトでインストールされていないそうだが、私の場合SnowLeopardからの上書きインストールなので、当然前のJava環境を引き継いでいる。

今回流行の兆しを見せているFlashbackAとFlashbackBその他の亜種は、まさにこのJavaの脆弱性を利用して流行しているところに特徴があり、危険性をはらんでいる。
これまでのMac OS X向けの大部分の「コンセプトウイルス」はユーザが「インストールする」に「OK」し、パスワードを入力しないと有効にならない程度のシロ物だったので大した脅威でもなかったのだが、このタイプはWebサイトを閲覧するだけで感染する可能性がある。
現に世界で６０万台のMacが既にやられているという情報もある。（４月６日のニュース）

このFlashbackはウイルスというよりはトロイの木馬なので影響は深刻でないように聞こえるが、上記F-Secureブログによるとバックドア性の動きをするようなので、これを糸口にいろいろ悪さができてしまいそう。
これ自体エクスプロイト（ウイルス侵入用のコード）の働きもできそうだ。

そういうものをインストールしなければ問題ないわけだからFlashbackの多くの世代が利用している脆弱性を持つJavaそのものを削除してしまえばいい。

アンインストールでもいいしユーティリティフォルダの中のJava環境設定を使ってJavaを無効にしてしまうのが根本的な解決かもしれない。

Javaは要らないということであれば
/Applications/Utilities/Java Preferences.appを起動して設定変更する

全てのバージョンのJavaのチェックを外す
これでJavaはインアクティブになる

厄介なのは動画関係、音響関係ではJRE（Javaランタイム環境）
を利用しているアプリ、製品が結構多いことだ
上記の設定をすると当然これらのアプリが動かなくなってしまう
Javaをアクティブのままにするならこまめにアップデートをしておくこと

上記ブログにもあるが今では大部分のユーザにはブラウザでのWeb閲覧で
Javaが必要になることはほぼないのでブラウザの設定でJavaを無効にできる
Safariの場合は環境設定の「セキュリティ」に入って
そこで「Javaを有効にする」のチェックを外す
「JavaScript」はまた違うものなので置いておいていい

こういうアクティブな情報をポーリングするサイトはJavaScriptを利用するので
Javaプラグインを無効にしてもちゃんと表示される

Firefoxの場合は以前のバージョンは設定に「Javaを有効にする」
という項目があったが最近のバージョンではこれが削除されている
ツールメニューからアドオン管理画面に入る

ここでjavaアプレットプラグインを無効にする
またJava Deployment Toolkitなんかが入っている場合はこれも無効にする

さて、これらの方法でFlashbackに利用されそうな脆弱性を持つJavaの対策はできるし、今のところブラウザで閲覧したサイトから自動感染させられるというのが主な感染経路だからこれで問題ないはずだが、すでに感染しているかもしれないという場合はどうだろうか？

今のところ知られているのはSafariとFirefoxを利用して感染する例だ。

症状として
「前はそんなことがなかったのに、アップデートもしてないのにSafariやFirefoxがすぐに落ちるようになった、あるいはフリーズしたように動きが止まるときがある」
という場合が疑わしい。

そういう場合は診断をしよう。

上記F-Secureのブログによると、FlashbackはSafariやFirefoxのアプリ本体のバンドルの中に環境変数を挿入してくるので以下のコマンドをTerminalで実行する。
コピペしてEnterキーで大丈夫。

defaults read /Applications/%browser%.app/Contents/Info LSEnvironment

意味は
「%browser%.app」のパッケージの中の『Contents』の中のInfo LSEnvironmentの設定を表示せよ」
ということで「%browser%.app」にSafariやFirefoxなどのチェックしたいブラウザの名前を入れる。
以下の要領で。

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

defaults read /Applications/Firefox.app/Contents/Info LSEnvironment

Safariをチェックするコマンドを入れる
問題がない場合は「Info LSEnvironmentは存在しない」
という意味の読み出し失敗のコメントが返ってくる

Firefoxもやって見たがこちらも「存在しない」とのお返事
感染している場合は「"Applications/Safari.app/Contents/
Resources/.BananaSplittervxall.xsl"という環境変数ライブラリが
指定されている」というような表示になるらしい
環境変数のファイルが挿入されているからだがそういう心当たりがあるかどうかが問題だ

この環境変数が指定されているという答えが出てきた場合は、このファイルを探す。
grepコマンドで先ほどの環境変数ファイルのパスを「%path%」のところに置き換える。

grep -a -o ' __ldpath__[ -~]*' %path%

例えば上記の場合は

grep -a -o ' __ldpath__[ -~]*' Applications/Safari.app/Contents/Resources/.BananaSplittervxall.xsl

というコマンドをTerminalに置いてEnterすると場所を示してくれる。

削除は上記挿入されたファイルを削除する（捕獲したファイルはF-Secureなどのセキュリティコミュニティの検体として提供して欲しいそうだ）。
その上で必ず以下の手順でやらないとまずいことになるらしい。
まず問題のブツを削除する。これも出てきたブラウザの名前を%browser%のところに置き換える。

sudo defaults delete /Applications/%browser%.app/Contents/Info LSEnvironment

次に環境変数を書き換える。

sudo chmod 644 /Applications/%browser%.app/Contents/Info.plist

ブラウザだけ狙うタイプではなくもうひとつのユーザ環境変数全体を狙うタイプは、OSにかなり負荷をかけるようなので、すでに不安定になっているかもしれない。
このタイプを探す時のコマンドは

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

これもTerminalにコピペしてEnterキーを叩くだけでいい。

Terminalに上記のコマンドを置いてEnter
コチラも感染がない場合は「存在しません」というコメントを返して読み出しに失敗する

ここでもし
Users/Shared/.某.dylib
などを表示した場合、それに心当たりがなければ感染の可能性がある。
その場合は以下のコマンドを実行

defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

launchctl unsetenv DYLD_INSERT_LIBRARIES

今回はFlashbackがJavaの脆弱性を利用しているというところで、その対策をまとめたがJava自体はかなり前から脆弱性に対応が遅い、しかもリスクが高いなどで評判を落としているという問題がある。

プラットフォームに依存しないコード開発環境というのはMac、Windowsどちらが優れているか論争で少数派のプラットフォームに常に希望を与えてきた。
だが今回の騒動でAppleはもう見切りをつけてしまい、Lionからデフォルトでインストールしていないという事実を初めて知りちょっと衝撃を受けている。

実際もうJavaの時代ではないかもしれないし、ブラウザのJavaを止めたところで困る場面がほぼないことも分かった。
多分オンラインバンクかオンライントレードくらいかもしれないし、そういうAPIに依存しているのはむしろそういう金融とかのテクノロジー的に保守的な世界だけかもしれない。

時代はオンラインのアプリケーションサービスに移行しているのだから確かにJavaはもう役割を終えたのかもしれない。
ただ業務用の放送機器、動画編集ソフト、音響編集ソフト、送出管理ソフトなどにJREを使っているものが非常に多いのも事実だ。
こういうものはますます汎用機のMacやPCと分化していき、隔離されセキュリティのためにハミゴにされて、しかもますますアップデートもかけられないで逆にセキュリティリスクを高くしていくという矛盾が加速するのかもしれない。

まあそれはともかく、一般のライトユーザにはほぼJavaは要らないので、対策はシンプルだと思う。

＜追記＞
この記事書きながら憂鬱に思っていたのは「Windowsは大丈夫だろうか」ということ。
Mac狙ってくるんだから、当然Windows狙いたいっていうJavaクラッカーは居るよね。
Windowsの対策もチェックしなきゃ…ユーウツ

ウイルス監視用のClamXav Sentryがクラッシュするようになった〜ClamXav Helperをまた使い始めることに

私のところではMacのウイルス対策ソフトとして、ClamXavの付属ソフト、ファイルシステムのリアルタイムウイルス監視用アプリClamXav Sentryを使っている。

これはメニューバーに常駐しメモリも食わないスグレモノで、設定で指定したディレクトリを常時監視しそこに新規ファイルを置いたり何か外からファイルをコピーしてきたらその瞬間にスキャンしてパターンがマッチしたら隔離なり警告なりしてくれる。

大変重宝していたのだが、最近のアップデートでこれが知らない間にクラッシュして落ちてしまうという問題が起きていた。

このClamXav Sentryは以前にもこういう問題を起こしていたのだが、クラッシュしてもフリーズしたり何か画面に警告を出すわけでもなく静かに居なくなってしまうので、ウイルスが監視できていないことにユーザが気付かないという厄介な問題を起こしてくれる。

以前はこの問題を解決するために ClamXavSentryKeeperというアプリを常用していたのだが、AppleScriptの構造が変わってしまったので、これがLionで使えなくなっていた。
作者さんにも、おそらく対応アップデートの予定は無いと思う。

そこで同じ作者さんが後継ソフトとして開発、使用を推奨されていたClamXav Helperを使うことにした。
以前に使用していたこともあるので実績は問題ない。
こちらはLionでも問題なく動作した。

こちらはClamXav Sentryが落ちたらすぐに起動するだけでなくスキャンログが大きくなり過ぎないように512KBごとにログを「まわす」機能がついている。
そのためにその度ごとにClamXav Sentryを再起動するので、今まではClamXav Sentryをログイン項目に入れて使っていたが、ログイン項目から外した。

さらにそのためにGrowlが、ClamXav Sentryが再起動するたびに「ウイルス定義はすでに更新済みです」という表示を出し続け、ちょっと目を離すとデスクトップがこのアラートタグで埋め尽くされるという問題が起きたが、これはGrowlの設定を変更することで回避した。
その手順はキャプチャー参照。

以前使っていたシマンテックやNOD32は動作を軽くするためにアンインストールして、ClamXav Sentryに頼っている状態なので、このClamXav Helperでまた落ちなくなったのは心強い。

ClamXav Helperはインストーラでインストールする
その機能についてはここに簡潔にまとめてある

そしてClamXav Sentryが知らない間に落ちているという問題は解決したのだが、
ClamXav Helperは定期的にClamXav Sentryを再起動する働きがあるので
起動ごとにGrowlが「ウイルス定義はすでに最新です」という表示を出す
これがスティッキー設定されているのでちょっと目を離すと
デスクトップがこれで埋め尽くされるという問題が起きた

システム環境設定のGrowlの設定に入ってアプリケーションタブの
リストをクリックするとメッセージ毎に表示を変更できる
ウイルス監視が任務のClamXav Sentryは重要度が高いために全てのメッセージが
勝手に消えないようだがウイルス定義更新完了の定義はやや重要性も低いので
スティッキー設定「なし」に変更する

６０万台のMacが感染したというFlashbackは、２７万台にまで減少しひとまず沈静化の方向らしいが

先日こちらでも紹介したが、Javaの脆弱性を利用してWebサイトを閲覧しただけで感染しバックドアを仕込むFlashbackというトロイの木馬の続報。
Flashbackについてはこちらを参照。
世界で６０万台のMacが感染しているというFlashbackって何〜対処法は？

これについてシマンテックからプレスリリースが来ていて、現状感染数は２７万台で、流行は沈静傾向にあるという。
シマンテックのプレスリリースについては以下を参照。

『2012年4月12日

Mac OSを標的としたOSX.Flashback.Kの推定感染数が27万台に減少


この度、シマンテックでは、Mac OSを標的に、推定で約55万台ものMac
コンピュータに感染したOSX.Flashback.Kに関するブログを公開しました。
OSX.Flashbackは、2011年後半にソーシャルエンジニアリング詐欺として
登場しました。そして、Appleから発行されたと称するデジタル証明書を
利用して、Flash Playerの更新ファイルに偽装する手口により、急激に
被害を広げており、日本でも感染が確認されています。

シマンテックでは、OSX.Flashback.K関連の悪質なコンテンツが現在は
拡散されていないことを確認していますが、攻撃者集団が再度拡散に
利用する場合に備えて、厳重な監視を続けています。』

ただしこの感染台数を割り出したロシアのセキュリティベンダーのDr.WebとAppleはどうも非協力的というか、最初のベンダーの警告をAppleが無視したのみかDr.WebのサーチサーバをAppleが一味呼ばわりして停止を警告したとかの情報も流れてきて、Appleの油断ぶりがちょっと心配だ。

マルウェアを解析した会社の忠告に対する Apple の冷たい仕打ち | スラッシュドット・ジャパン

URIの大規模な脆弱性が見つかった８年前のような後手に回ることが無いかちょっと気になるところだ。

マルチプラットフォームな感染を実現したTrojan.Maljavaが本当の脅威になる日

今Windows、Macなど両方に感染するウイルスの脅威が広まるかもしれない。

詳細はこちら。
昨日シマンテックより以下のようなプレスリリースが届いた

　　　　MacとWindowsを同時に狙うマルウェア

この度、シマンテックでは、MacとWindowsを同時に狙う
Javaアプレットマルウェアに関するブログを公開しました。

最近、Macを狙ったOSX.Flashbackマルウェアに、60万台を
超えるMacコンピュータが感染したことで注目されましたが、
今回初めて、MacとWindowsを同時に狙うマルウェアが確認されました。

攻撃の経路は従来と同じですが、今回はJavaアプレットが実行
環境のOSをチェックし、そのOSに適したマルウェアをダウンロード
するという特徴があります。

この脅威に関する詳細は、次のシマンテックブログをご参照ください：
http://www.symantec.com/connect/blogs/mac-windows

シマンテックでは、セキュリティに関する専門家が待機しております
ので、本件に関するご質問やご不明な点がございましたら、下記
連絡先までご連絡ください。

さらにこのマルウエアについての詳細はリリースにあるリンク先のセキュリティレスポンスを参照。
Mac と Windows を同時に狙うマルウェア | Symantec Connect Community

ほんの２〜３ヶ月前のことだが、あるセキュリティベンダーの大手にインタビューに行った時のこと。

そのセキュリティベンダーはSNSを通じて感染を拡げるマルウエアと、詐欺サイト、スケアウエアが新たな脅威になりつつあるという分析を展開していた。
それはそれで確かに現状を捉えているし、その面で教えられることも多々あったのだけど、もっと一般の人が気がついていない脅威があるんじゃないかなと質問してみた。

例えばMacを足がかりにして、まずセキュリティ意識が低いMacユーザに感染して、そこではサイレントランニングしておいてお友達のWindowsユーザを一網打尽にやってしまうようなそういうマルウエアは考えられないのか？と。

ところがベンダーさんの反応は鈍かったかな。
「可能性は否定できないけども今のところそういう兆候はないし、今のところ脅威なのはやはりSNSと詐欺サイトとスケアウエアだ」
という趣旨だった。
いっしょに取材に行った元ネットワークベンダーのセキュリティ担当だったというライターさんも
「Windowsの実行ファイルは.exeでMacは.appだから両方で動くウイルスはあり得ないですよ」
なんて言っていたけども、「専門家」という人でさえ認識はこんなものなんだなと思った。

これが何が間違っているかというと、Windowsの実行ファイルは.exeだけではないという点だ。

スクリーンセーバの.scrだってexeと同じ実行ファイルで、そこを目くらましされて最近タコウイルスとかでやられたばっかりだったというのはもう忘却の彼方なのかもしれない。
もっといえばWindowsのコマンドプロンプトの.batのバッチファイル、MacのTerminalにドロップして実行できる.commandファイルも実体は、コマンドラインを書いたただのテキストなので、どちらにドロップしても実行する実行ファイルは原理的に可能だ。

もちろん本当にそれをやるには、コメントアウトをどう処理するとか、実行ファイルをドロップするような自動スクリプトをどうやってセキュリティをかいくぐって実行するかというような問題はあるが、逆にいうとそういうところさえクリアすればMacとWindowsを同時に狙えるようなマルウエアは実現可能だと思っている。

それにそういうMacやWindowsのセキュリティの敷居はそんなに高くないと思っている。
例えばMacのTerminalのシェルは一度ルートのパスワードを認証すると、５分間はroot権限が必要なコマンドが、ルートのパスワード認証無しに実行できてしまうという問題がある。
これについてはここでも取り上げた。
未公認だが存在するTerminalの認証の弱点を防ぐ

Terminalでsudoを実行する時、いやTerminalである必要すらないのだが、root権限を要する認証をしてパスワードを入力すると、システムのセキュリティログに読み書きする。

ならばちょっとしたトロイの木馬を仕込んでおいて、常駐プロセスでセキュリティログにコンタクトがあったかどうかだけを監視しておけばいい。
ユーザがパスワード認証をすると、すぐそれを察知して悪意ある実行ファイルをシェルにドロップすればいい。
Terminalを起動しないで実行することも可能だから、ユーザが気がつかないうちにルート権限を乗っ取ることができる。

こういうのを「ピギーバッキング」（「豚の背中に乗って狼が柵の中に入る」こと「タダ乗り」と訳される場合もあるけど）という。
防ぐ方法は上記リンクのように５分間パスワードを要求しない猶予設定を無効にするしかない。

このピギーバッキングができればあとはもう自由自在だ。
バックドアを開いて、カード番号などの個人情報を抜くこともできるし、リモート権限を取ることもできる。
そのMacを足場にしてネットワークに繋がっている全てのMacやPCをスキャンして次の宿主を物色することもできる。

MacのウイルスはWindowsでは動かないなんてたかをくくってはいけない。
つい最近OSX.Flashback、やOSX.SabpabなどでJavaの脆弱性をつけば、Macに感染するトロイの木馬を実現できるという事実を目の当たりにしたところだ。
６０万台のMacがやられたそうだが、そのJavaはMacだけでなくWindowsでも動いている。

さらに最近のWindowsの世界ではDownloaderタイプのトロイの木馬が大流行していて、トロイの木馬が入り込んだら、それがウイルス本体をダウンロードして招き入れるという手法で、好き放題やられている。

MacもJavaなどの脆弱性のおかげで そのお仲間の資格を得ただけでなく、上記のようなシステム的セキュリティの問題も抱えてたりで、しかもWindowsの世界ではDownloaderなどの組み合わせ型の複合的マルウエア、ウイルスのおかげでMacなら安全とか、MacのマルウエアはWindowsで動かないとか、そういうことは言い切れなくなってきていると思う。

シマンテックのセキュリティレスポンスのブログに
掲げられた新しいMac、Windows両用のウイルスの概念図
最初の感染は最近話題になったJavaランタイムで動くトロイの木馬で
MacにもWindowsにも入り込み本体を招き入れる
そしてMac上ではPythonで、Windows上ではC++で動く本体のウイルスが
Downloaderのような仕組みで次のペイロードをダウンロードしてくる
あとはもうなんでも好き放題だ

かつてはマルチプラットフォームというと、MS OfficeのExcelなどを利用して感染したマクロウイルスがMacでもWindowsでも脅威をふるったが、今狙われているPythonやjava、C++なんてそれぞれの環境で自由に実行できるし、Excelを起動していないと動かないなんてこともない。

あと僅かな障壁を乗り越えたらMacも巻き込まれて、大きな流行に繋がるものが出てくる気がする。
こういう予感は当たって欲しくないのだが。

今度はFlashPlayerを狙った標的型攻撃の警告

先日、またシマンテックからプレスリリースが届いた。
昨日は大トラブル中だったので横目で見ていたが、これについて触れることができなかった。
その内容がこれ。

要はまたまたAdobeのFlash関連の重大な脆弱性が発見されて、これの対応するアップデートはもうリリースされているのだが、さっそく対応遅れのユーザを狙う標的型攻撃が確認されているとのこと。

リンク先のブログを見るとペイロードはWindows向けの攻撃のように感じるが、繰り返しここでも触れているがペイロードをMac向けのウイルスに積み替えることは容易だ。
FlashPlayerはMacでも動いているから、セキュリティ意識が低いMacユーザは逆にいいカモだと思われているかもしれない。

こういう情報には注意してFlashPlayerを入れているならすぐにアップデートすること。
以下シマンテックのプレスリリースから引用。

2012年5月7日

Adobe Flash Playerの脆弱性を悪用する標的型攻撃について


シマンテックでは、5月4日にAdobeが公開したFlash Playerの脆弱性
を悪用する標的型攻撃に関するブログを公開しました。

この標的型攻撃は、Adobe Flash Playerのリモートコード実行の脆弱性
（CVE-2012-0779）を悪用するもので、すでに1週間以上も活動が続いて
います。また、感染経路は、他の標的型攻撃と同様に、悪質なファイルを
添付した電子メールが使われています。

これまでのところ、軍需産業に利用される製品のメーカーで複数の標的が
確認されていますが、今後、数日のうちに標的は変わるものと考えられます。

シマンテックではセキュリティ対策を最新の状態に保つとともに、速やかに
Flash Playerを最新版に更新することを推奨しています。

この攻撃に関する詳細は、次のシマンテックブログをご参照ください。
http://www.symantec.com/connect/blogs/adobe-flash-player-cve-2012-0779