Previous Topへ Next

OSXのtips3-10

今まで運用記録に書いてきたシステム運用のtipsを一カ所にまとめることにした。 要するに記事の量が当初の想定よりも多くなってしまい 私自身探すのが大変になってきたからだ。 ちょっとしたメモとしてのtipsも結構重要な情報になったりするので ここで項目を集めることにした。
セキュリティに関するtips

anchor

本文無しのPDFだけのメールには注意〜ていうかプレインテキスト以外のメールはそろそろ禁止という方向にならないのかなぁ…

毎日大量のスパムメールが届くので最近あまり気にもしていなかったのだが、ちょっとこんなのがあったので。

シマンテックだったと思うが、そのリリースによるとここ数年スパムのトラフィックは減っているのだそうだ。
かつてはインターネット全体の負荷の6割とか7割とかの膨大な量がスパムだったが、もう手口が知れ渡りすぎてスパムメールなんて一般の人は開くこともない。
それに最近はツイッターやFacebook経由のスパムに移行しつつあるということなので、メールのスパムは沈静化しつつあるのかと思っていた。

ところが先日届いたメールは、本文無しでPDFをzip圧縮したと思われる添付だけのメール。

htmlなどでデコったメールは偽装に悪用される可能性があるので、ブロックする仕様が普及しつつあるが、本当はメールの設定でhtmlが添付されているメールは全部スパムで弾くようにしたい。
しかしMSのOutlookなんかがデフォルトでhtml添付の設定にしているから、それをすると肝心な要件のメールも弾かれてしまう可能性がある。

なんでそんな仕様が残っているかというと
「お客さんに目立つようにhtmlを活用してビジュアルなメールを配信したらいい!」
なんて営業当たりの要望がいまだに根強くあるかららしい。
これ数年前に実際にあった話。

「客によってはhtml自動的に弾くところもあるよ」
と言っても聞かないんだな…そういう人たち。
さすがにそういう情弱は今では少数派になりつつあるのかもしれないけど、代わりに
「htmlが弾かれるならpdfで送ればいい」
という新たな情弱が…

このメールはそういう人をカモルベく工夫された新手のスパムメールなんだろうなとすぐピンと来たので、最近はいちいちスパムメールなんか相手にしないんだけど久しぶりにスキャンしてみる気になった。





先日届いたスパムメールは本文無しで.pdf.zipの添付ファイルのみ
いかにもデコったメールのように見せているが…




zipを解凍すると拡張子は.pdfではなく.exe
ZIPはこういう拡張子の偽装ができちゃうんだな…というか
2番目以降の拡張子は単なる名前だから騙されてはいけない
PDFを見せたいだけならzipで圧縮している時点で怪しいと考えるべき
それで早速このexeの正体を探るとWIN.Spy.Fraitというスパイウエアらしい名前
ただこのマルウエアについての情報はほとんど得られなかった




そこでこのマルウエアをWindowsに渡してAVGでスキャン
こちらでの名前はTrojan Crypt.BAQXということになるらしい




調べてみるとこれの情報も少ないのだが「Downloader」という名称を
付けているセキュリティベンダーもあるのでDownloaderの一種らしい
ところでSymantecやSophos、McAfeeといった大手がこれに対応していないことに注目



ということで正体はトロイの木馬、しかも最近大流行中のダウンローダーの一種らしい。
ダウンローダーはそれ自体は、潜伏して静かに常駐するだけで悪さをしない。
タイミングを見計らってネットから予め設定された悪意あるウイルスなどのファイルをダウンロードしてくる。
そしてダウンロードされたウイルスが話題の遠隔操作ウイルスだったりすれば、あとは最近のニュースで騒がれてる通りのことだって起こりうる。

今回のファイルはexeファイルなのでMacには影響はないが、Macをターゲットにしたダウンローダーだって作れないとは断言できないので、Macユーザーだって注意した方がいいのは同じことだ。

古典的な手口だけど、引っかかっている人も結構多いと思うので、あらためて注意を喚起したい。




2012年10月28日








セキュリティに関するtips

anchor

セキュリティ対策はたった五箇条で十分か?〜やっぱり必要だと思うことだけ押さえとくね23箇条になっちゃったけど

ネットで巡回していたらこういう記事を見つけた。

ウイルス感染から身を守るための「セキュリティ対策五箇条」を公開(マカフィー) | ScanNetSecurity (脅威、脅威動向のニュース)

その五箇条の内容は
一、OSやソフトウェアは常に最新パッチを適用すべし!
一、ウイルス対策ソフトを導入しただけで安心するべからず!
一、身に覚えのないメールは開くべからず!
一、怪しいWEBサイトは閲覧するべからず!
一、拾い食いはするべからず!

ということなんだそうだ。

この内容には異議がない。
異議はないのだが、これだけで十分か?というとどうなんだろう。
こういう記事にいちゃもんつけしたってしょうがないし、いちゃもんつけようと思ったらいくらでもネタはあるのだが、そうじゃなくって一般的なユーザが普通にパソコンやMacを使うにあって気をつけなきゃいけない、少なくともこれだけはやっておけというのは何があるだろうか、洗い出してみた。

まず、何をやらなきゃいけないかということを考えるために、どういうリスクがあるかを考えてみる。


MacやPCを使う場合の脅威の種類を大別すると
1)ウイルスの脅威
2)クラッキングの脅威
3)ワンクリック詐欺、ランサムウエア、ハニートラップなどネット詐欺の脅威

あるいはこれの組み合わせになる。
先日話題になった遠隔操作ウイルスはこの1)と2)の組み合わせになる。

それらが起こるステージは
一般的なインターネット(WAN)
構内LAN
個人使用の無線LAN
Hot Spot

となる。

まずウイルスの潜入経路はかつては起動ソフトが入ったテープから始まりメールや、USBなどのリムーバブルメディア、ネットワーク経由、インターネットから直接とだんだん高度化、悪質化していたが、最近またメールなどに先祖返りしているようだ。
その代わり無料ソフトや有名ソフトの偽アップデート、FacebookなどのSNSでリンク誘導と組み合わせたりと、だんだん手口が巧妙化している。
Winnyなどのファイル共有ソフトもウイルスの温床になっていることにもう少し注意を払うべきだろう。

クラッキングの侵入経路もかつてはウイルスと組み合わせてバックドアを仕込むという手口が主流だったが、最近は堂々と玄関から押し入るような持続的標的型攻撃も増えてきた。
まだ個人が標的になるケースは少ないようだが、応用はできるのでいずれ遅かれ早かれ個人もターゲットになるだろう。

ツイッターやFacebookでよく見かけるアカウントを乗っ取られて、スパムメッセージをフォロワーに飛ばしているアカウントがある。
これの手口は「あなたの悪口を言っているサイトを見つけた」とか「週に200ドル稼げる秘密のバイトがある」、「アメリカの有名女優の秘密の写真を入手した」というようなメッセージがある日飛んできて、何気なくリンクを踏むと「ここにその写真が(メッセージが、金儲けの秘密が)ある」というリンクを通過する時にOAuth認証とか抜かれて、気がつかないうちにアカウントを乗っ取られて、数日経ってから上記のスパムメッセージを自分のアカウントが連投し始めているという流れになる。

相変わらず古典的な手口としてはmp3ファイルやムービーファイルを偽装して実行ファイルをクリックさせて、知らない間にトロイの木馬・ダウンローダーなどをインストールされて、知らないうちにバックドアやキーロガーを仕込まれていたというものがある。
古典的ではあるが、イカタコウイルスの実例が示すようにいまだにこの手口は有効であることが分かる。
また最近はスマホ、タブロイドの普及とともに自宅での無線LANなどのネットワーク導入率も飛躍的に増えており、これらのネットワークのセキュリティ管理についても知識が足りないために、自宅のネットワークを踏み台にされて、2chに脅迫的コメントを書き込まれて、身代わりに逮捕されるなんてケースも考えられる。
この場合きっちり冤罪事件として訴追されてしまうことは、最近の遠隔操作ウイルス事件で目の当たりにしたので、踏み台被害にも注意が必要だ。


解説ばかりしていても仕方が無いのでまとめるが、以上を考慮に入れると以下のような注意事項になる
1)OS、ソフトウエアは常に最新パッチを当てるべし

2)ただしメールのお知らせリンク先のパッチは絶対に当てるな

3)ポップアップのアップデートも一度閉じて、ベンダーの本家サイトに自分のブックマークで行って、そこでアップデートを取ってくること
(AdobeなどのフラッシュやReaderなどのアップデートは非常に危険、そのうちきっと偽アップデートが現れて問題になると思う)

4)ウイルス対策ソフトは信じるな(必要だが必要最低限の安全しか確保してくれない。ましてや詐欺サイトフィルター機能はおまけ機能程度に理解しておくこと)

5)ウイルス対策ソフトを入れてもウイルスパターンソフトが最新でない場合は何の役にも立たない(ライセンス切れのウイルス対策ソフトはむしろ害悪でしかない)

6)身に覚えのないメールを開かないのはもちろんだが、身に覚えがあるメールもヘッダを確認して差出人のドメインくらいは確認すること

7)メーラはhtmlなどシンプルテキスト以外はフィルターする設定でプレビュー、それ以外の形式では開かない
(メール添付のPDFを偽装して実行ファイルを送ってくる手口も確認しているので、テキストで送れないものはメール以外の手段で送れと友達、取引先にも徹底するべき)

8)怪しくないWebサイトも最近では乗っ取り、ウイルス注入の踏み台にされているので AdobeのFlash、Reader、OracleのJavaなどは常に最新バージョンになっているか注意すること

9)同じ理由でFirefox、GoogleChromeなどの「サードパーティブラウザ」を使っている場合は常に最新バージョンになっていることを確認すること

10)Windowsではフォルダオプションで「登録されている拡張子は表示しない」のチェックを外す。
MacではFinderの環境設定で「全てのファイル名拡張子を表示」のチェックを入れる
クリックする前に拡張子を確認する習慣を身につけること、実行ファイルをクリックする場合はその出元を思い出せるものだけにすること

11)Macの場合はSafariの「ダウンロード後、"安全な"ファイルを開く」のチェックを外す

12)MacもWindowsも何か警告、アラートのポップアップが出たら「OK」ボタンをクリックする前に必ずその内容を読むこと
(たとえ英文であろうが、急いでいようが読んでからOKする。ウイルスやクラッカーなどにやられる時は必ずこういう予兆があるはずなのだが多くの場合「なんでもかんでもOK」というクリックハッピーなユーザのためにフールプルーフは何の役にも立っていない場合が多い)

13)Winnyはインストールするな

14)無線LANのセキュリティはWPA2でAES以上の暗号化を必ずかけること
(WPA-TKIPも脆弱性が指摘されている。ましてやWEPだけのセキュリティは丸裸同然で数秒で破られてしまう。破られた無線LANをつかってネットに殺害予告などを書き込まれたらどうなるかは先日の遠隔操作ウイルス事件で明白になったはず。
余談ながら無線LANでMACアドレスフィルタリング、SSIDフィルタリングは単独では全く無意味なのでかならずWPA2の暗号化を!)

15)WPA2の暗号化をかけていてもAirMacなどのゲストネットワークを開いていると、セキュリティホールを公開しているのと同じ。ゲストネットワークは絶対に使うな

16)自宅のネット接続には必ずルータ(無線LANルータでも可)をかましてNAT経由で接続、PCやMacなどを直接ターミナルにつながない

17)ルータにもある程度ファイアウォール機能はあるが、全ての端末に個別でファイアウォールを立てること、不要なポートはすべて塞ぐことを励行すること

18)パスワードに名前、住所、電話番号、誕生日は絶対に使わない
それを逆順にしたり組み合わせても安全性はほとんど向上しない

19)ネットでついうっかりワンクリック詐欺サイトを踏んで「すぐに金払わないと弁護士事務所より法的処置をとる」という脅しポップアップが出るようになっても絶対に相手に連絡を取ってはいけない
(連絡を取らせるためにマルウエアを使ってポップアップを出しているので、「身に覚えが無い」「やめてほしい」とか抗議の電話、メールをするのは連中の思うつぼ。ポップアップを出しているライブラリを駆除するか、いきなり警察に相談するのが可)

20)ネット喫茶などのPCはキーロガーが仕込まれている場合があるので、そういう場所でパスワード、カード暗証などを絶対に入力しない

21)OpenFirmWareパスワード、ログインパスワードは過信するな
(個人情報は専用ソフトを使って暗号化することを励行する。OS備え付けのFileVaultやログインのブロックは使って悪いことは無いが過信しないことだ)

22)システム、デフォルトブラウザのダウンロード先はデスクトップなど気がつきやすい場所に (Windowsではデフォルトはマイドキュメントのダウンロード、Macではユーザフォルダのダウンロードフォルダがダウンロード先になっているが、ここを常に監視する習慣にしているなら良いが、たいていの人はそうではない。バックグラウンドでファイルをダウンロードされている時に気がつかないことも考えられるので、いっそデフォルトのダウンロード先をデスクトップに変更する。意図しないおかしなファイルをダウンロードされたら気がついきやすいようにするため。以前にも書いたがMacでも拡張子を偽装することは可能なので、やはり変なもの食らった時にすぐ気がつくというのが大事だと思う)

23)USBメモリなどのメディアオートラン機能は原則殺す
(これは主にWindowsの問題だがAutorun機能でかなりの端末がやられた。今はAutorunファイルではなくメディアごとに振る舞いを決定する仕様に変更されているが、これも全てのメディアで「エクスプローラーでフォルダとして開く」を選択しておくこと。ここで自動で再生とかやっていると結局今度はその設定を狙われることになると思う)

ということで、23箇条のセキュリティ対策になってしまった。
本当はまだコマンドラインの自動ログインを防ぐ方法とかいろいろやっておきたい対策はあるのだが、あくまで細かいことは抜きで一般的ユーザが、普通にできる対策のみということで絞り込んだ。
やはりこれくらいしないと安全とは言えない気がする。

ましては「シマンテックインストールしてるから安全だよ」なんていまだに言う人がいるけど、ナンセンスの極みだと思う。
セキュリティ対策をするためにパソコンを買ったわけではないだろうけど、やはり最低これくらいは必要だと思うので…




2012年11月27日








セキュリティに関するtips

anchor

Macユーザを狙い撃ちにする偽アプリインストーラ発見される〜配付元捕捉したが既に閉鎖された後だった…

ロシアのセキュリティベンダーのDr.Webからこういう警告がMacユーザに発せられた。

『ユーザーをだましてトロイの木馬をインストールさせようとするマルウェアに、Macを狙った亜種が見つかった』とのこと
Macユーザーをだますマルウェアが新たに出現、正規アプリのインストーラを偽装 - ITmedia ニュース

このマルウエアSMSSend.3666は、ロシアで人気の音楽SNSクライアントアプリ「VKMusic 4 for Mac OS X」というアプリを偽装して、インストーラをダウンロードさせ電話番号などの個人情報を入力させるという。

このアプリの配付元を特定したので、早速バイナリをゲットするため凸したがすでに閉鎖されていた。
しかしTorrentなどで、相当数出回っていると思われるので要注意だ。

そしてこれは日本のユーザにとって「ロシアのSNSなんかカンケーないよ」という話ではない。
前々からこの問題には懸念を感じていたのだが、既に実在する有用なアプリのインストーラに成り済まして、個人情報を抜き取ったりバックドアを仕込んだりということが可能ではないかと思っていた。

このSMSSendはそういう脅威が現実に存在するということを示唆していると思う。

具体的には狙われる可能性があるのはAdobeReader、AdobeFlash、Javaアップデートなど、不意にップアップが出てくる種類のアップデート。
以下のような仕組みでマルウエアを仕込まれることが考えられる。

Web閲覧中にバックグラウンドでバイナリをダウンロードさせる。
何らかの方法でこれの自動起動をユーザに許可させる(多分プロセスの名称を偽装して)
起動したら本物そっくりのAdobeReaderやJavaのアップデートポップアップが出てくる。
OKを押してインストールを許可、rootのパスワードも入れてしまえばMacからどういう情報だって抜き出せるし、ユーザが気がつかないうちにリモート操作も可能になるバックドアも仕込める。
最近話題になった遠隔操作ウイルスのように、掲示板に殺人予告を書き込んでユーザを冤罪事件に巻き込むなんてことも可能だ。

これの実現の可能性は高いと言える。
「自動起動を許可させる」というネックさえクリアすれば、後は現状どれも可能だからだ。
ブラウザのポップアップでアップデータを偽装することも可能かもしれない。

こういうことに巻き込まれないために以下のキャプチャーのような注意をしてほしい。
基本はAdobe、Oracleのようなポップアップのアップデートは無視して必ずアップデートはアプリからかけるか配付元のサイトからダウンロードしてくること。
身元の怪しいインストールはいっさい許可しないこと。

これが唯一今のところユーザを守る方法だと思う。





Dr.WebサイトよりSMSSendのインストーラのキャプチャー
音楽共有SNSのクライアントアプリ、VKMusic 4 for Mac OS Xのインストーラを
偽装しているが「アクセスに電話番号が必要です」として電話番号を入力させる
この手法でカード番号やAppleIDのパスワードなどを入力させる手口も予想される
もちろん本物のVKMusicクライアントはインストール段階で電話番号など要求したりしない




問題の偽装ソフトを配付しているサイトを特定したが
既にWebレピュテーションに捕捉されこのように警告でガードされている
押し通っても元のサイトはもう閉鎖されていた
しかしURLを変えてまた配布を始めることなんか連中にとっては何でもないのは言うまでもない




このマルウエアを見てすぐに連想したのが
偽AdobeReaderアップデートが出てくるんじゃないかという懸念
そういうものを防ぐために「AdobeReaderのアップデートがあります」
というポップアップが出てもすぐにOKしないでいったん閉じて
AdobeReaderを起動してヘルプメニューからアップデートを確認すること




ここでこういう表示が出たらさっきのポップアップは偽物だということになる
すぐに犯人探しをするべき




Flashの場合はSafariのヘルプメニューにある「インストール済みのプラグイン」をチェックして
これが配付元サイトの最新版のバージョンと違っているかを確認する
何れにしてもポップアップしてくるアップデータはいっさい信用するべきではない
配付元のベンダーのサイトはブックマークしておこう



2012年12月15日








セキュリティに関するtips

anchor

ClamXav HelperがMountain Lionでインストールできない〜手動でクリアすればMountain LionでもClamXav Helperは使える

Macでウイルスシグネチャー検出ソフトとして、ずっとClamXavを使っている。

このClamXavはオープンソースのフリーソフトではあるが、ベースになっているclamavはUNIX世界では広く使われているウイルス対策ソフト。 Windows用にも移植されているし、同じUNIXベースのMacでGUIフロントエンドを装着して使いやすくしたものがClamXavということになる。

その信頼性の高さはかつてAutorun騒ぎの時に実感したので、私は専らMacに関してはこのソフトをメインに使っているが、このClamXavも多少問題がないわけではない。

一つはシマンテックやマカフィーのような一般的な商業ソフトと違い、インストールしただけではウイルスを検出しない。
手動でスキャンをかけないといけない。
またウイルスを検出するだけで、汚染ファイルを隔離することは設定で可能だが自動的に検疫したりはできないので、ウイルスの駆除自体はユーザが自分で手動でやらないといけない。
検出するのはウイルス中心で、スパイウェアなどの検出は限定的だという点。

最初の問題は、ClamXav Sentryという常駐メニューバーアプリを同梱することでクリアしている。

ClamXav Sentryはメニューバーに常駐しFinderなどでオペレートしたファイルを自動的にチェックして、ウイルスに該当する場合は反応する。
これを常用することでフリーソフトながら、ClamXavは商業ソフトにも劣らないくらいの機能を実現できたと思っている。

ただこのClamXav Sentryも欠点があって、気がついたら知らない間に落ちていたりする。
最近のバージョンは結構安定していて滅多に落ちなくなっているが、それでもたまに落ちていることがある。
ウイルス対策という用途を考えると「概ね安全」というのはあり得ないことで「確実に安全」でないものは安全ではない。

そこでこのClamXav Sentryが落ちたらすぐにまた起動をかけてくれるClamXav Helperを愛用していた。
これが昨年のMountain Lion導入からインストールできなくなっていた。
このClamXav Helperがディスクを換装してOSを新規インストールしたMacBook Proでインストールに失敗し使えなくなっていた。

ところが先日ふと同じMountain Lionで駆動しているMac mini/Intelで、このClamXav Helperがちゃんと動いていることに気がついた。

このMac miniとMacBook Proの違いはアップデートの上書きインストールか新規インストールかの違いだけで、バージョンなど他の条件は全く同じだ。
つまりインストールさえクリアすれば、Mountain LionでもClamXav Helperは使えるはずだということだ。

そこでrootでインストーラを起動したり32bitを試したりいろいろ試行錯誤したが、結局以下のキャプチャの方法で可能になった。
おそらくアクセス権の問題だと思う。
これでMountain LionにもClamXav Helperは新規インストールできる。
ClamXav Sentryもまた落ちたら次の瞬間にはすぐに起動するようになった。





ClamXav Sentryが落ちてもすぐに起動してくれるClamXav Helper
Mountain Lionから(いやおそらくLionあたりから)インストールに失敗するようになっていた
なのでもう使えないのかと思っていた




それでClamXav Helperはもう使えないのかと思ていたのだが
先日Mac miniを見ていたらClamXav Helperが機能していることに気がついた
バージョンも全く同じなのにこっちで動くのはMac miniのOSが上書きインストールだったからだ
つまりインストールさえクリアすればMountain LionでもClamXav Helperは動くということだ




Suspicious Packageで覗いてみると ClamXav Helperのインストーラは
UNIX領域のclamxavのバイナリフォルダにSentryKeeperというバイナリと
いくつかのLaunchAgentを挿入する仕組みと分かった
そのあと二つほどスクリプトも実行しているらしい
このフォルダにファイルを挿入するというプロセスでどうも失敗しているようなので
ここを手動でやってスクリプトはインストーラに実行させればうまくいくのではないかと考えた




そこでunpkgClamXav Helperのインストーラをドロップしてまず中身を取り出す




そして先ほどのSuspicious Packageで見た場所に該当するファイルをドロップする
ここで認証を求められるのでパスワードを入力
おそらくここの認証がACL管理になったために
ClamXav Helperのインストールに失敗するようになったのだろうと思う
ACLについてはこちらを参照




/usr/local/clamXav/のbinとshareに必要なファイルとフォルダを入れたら
ClamXav Helperのインストーラを実行
今度は問題無く完了して再起動を求められた




再起動後ClamXav Sentryはわざと終了しても数秒後にはまた自動で起動してくるようになった
めでたしめでたし…ここまでの道のりは実は長かったのだが…



2013年2月3日








セキュリティに関するtips

anchor

Macを選択的に狙って攻撃する「標的型攻撃」〜対策はやはりOSとJavaのバージョンアップ

昨年辺りからホットワードとしてよく見かけるようになった「標的型攻撃」がMacのユーザーには気にかけるべき問題となってきている。

「標的型攻撃」とは、どこに飛んで行くか分からない、従って攻撃対象は不特定多数になる一般的なウイルスと違って明確なターゲットを持った攻撃という意味だ。
ということはその動機も単なる愉快犯というより、明確に悪意、あるいはその攻撃によって不正な利益を得ようとするものが多くより悪質になってくる。

今回はこの「標的型攻撃」が明確にMacをターゲットにしているという記事が注目を集めている。

横行する標的型攻撃、狙いはMac利用の開発者か - ITmedia エンタープライズ

Apple 社員の Mac が Java マルウェアに攻撃される - 2月 - 2013 - Sophos Press Releases, Security News and Press Covera…

かつてはウイルス談義になると必ず出てくる「馬鹿パターン」として
「Macはシェアが少ないからMac向けのウイルスを作る奇特な奴も少ない。だからMacはウイルスがないので結果的に安全に見えているだけ」
というのがあった。
個人的な感想をいうと、これを言う奴は間違いなくセキュリティについて重要なことを勘違いしている奴ばかりだと思っているが、iPhoneのヒット以来iOSの開発者が世界的に激増して、こういう馬鹿パターンを唱える連中も納得するようなMacが攻撃されやすい情勢が形成されているのも事実だ。

上記記事によるとApple本社の開発者のMac数台が標的型攻撃のマルウエアに感染したとのことで、その手口はMacユーザの開発者が頻繁に接続するサイトのインジェクション、乗っ取りでWeb経由でマルウエアを仕込むというもの。

その過程で脆弱性を突かれているのがJava、JREということになる。

勿論対策はJavaのバージョンを常に最新にしておくことなのだが、開発者のように業務で使っている人は仕事上の都合でその環境が最新バージョンでない場合が非常に多い。
というより現実には開発現場で常に最新バージョンにリアルタイムでアップデートしている人なんて皆無だと思う。

どうせ企業内の職場は、L3スイッチやファイアウォールで守られているから問題無いというのが一般的な思い込みだが、そういう脆弱性を持ったMacで、しかも
「MacだからWindowsと違って滅多なことでやられることはない」
という思い込みで自侭にWebにつなぐという状況をまさに狙われた。

このJavaの自己診断と安全策の方法はキャプチャーで書いたが、他にもツイッターやFacebookなどのソーシャルネットワークの認証の脆弱性を攻撃されるなどの数年前には想定もしていなかったリスクが今は増えてきていると思う。
このリスクはWindowsだから危険とか、Macだから安全とかそういうこととは全く関係ない。

結論から言うと、各人自助努力すべしとしかいえないのだが。





オラクルのJavaバージョン確認のページに行ってJavaのバージョンが最新になっているか確認する
Safariの場合設定の「セキュリティ」タブに入って「Javaを有効にする」
チェックが入っていないと「プラグインが見つかりません」と出て診断できない




Javaが最新バージョンでない場合このような表示になる
最近のOSXの機能として最新バージョンでないJavaの場合OS側で無効にするらしい
しかしOSXのバージョンアップを怠っていたらその機能も効かないので
結局「こまめにOSとJavaのアップデートをしましょう」ということになる




開発現場ではなかなかOSもJavaも常に最新バージョンに維持するのが困難な場合が多い
その場合最低限でもブラウザのJavaプラグインを無効にしておくことをお勧めする
Safariの場合、設定の「セキュリティ」タブの「Javaを有効にする」のチェックを外す
どのみちWebではほとんど必要ない機能だしほぼ支障はない
一般ユーザはJavaランタイムで動くアプリを使用したいという特殊な事情がある人以外は
Javaのインストールそのものを止めておけばいい



2013年2月25日








セキュリティに関するtips

anchor

Sandboxとな?何だそりゃ?という人のために〜その技術から見えるMacの未来の姿は良い方向なのだろうか?

MicrosoftがWindowsにデフォルトの無料ウイルス対策ソフトを配布し始めた時に、
「Windowsは信頼性が向上した。かたやMacはどうだ?」
という雰囲気があった。
勿論Appleも足踏みしていたわけではない。

LionからMacはSandboxという技術を取り入れた。
これはなかなか平たい解説がないので、どういうものか分からない人が多いと思う。
Sandboxが何者かはすごく大まかにいえば「アクセス権を細かく設定して怪しいふるまいをするマルウエアを防ぐ」ということになる。

アクセス権ということならお馴染みじゃないか
システムのみのアクセス権の領域はユーザは触ることができないし、他のユーザが読み書き禁止を設定したファイルは開くことができない。
で、時々アクセス権がおかしくなるとシステムが調子悪くなるから、Macの定期メンテナンスでアクセス権修復というのがある…というのもお馴染み

まさにそういうもので、Sandboxはそれをもっとプロセスごとに細かく設定している。
その仕組みはアプリそのもの中に「権限付与リスト」というものを内蔵する。
この「権限付与リスト」はアプリを起動する時に、特定のセキュリティポリシーを書いたファイルを読み込むというルールが書いてある。
そのセキュリティポリシーは
/System/Library/Sandbox/Profiles
の中に格納されている。

そしてそれぞれのポリシーにはファイルにアクセスできる…あるいはネットワークにアクセスできる…あるいは内蔵カメラにアクセスできる…など何ができるかが書いてある。
そしてそこに書いてあること以外はすべて禁じられている…というルールにしておく。

アプリはそれを内蔵しているから、認められた動き以外はできないのでマルウエアは悪さができないということになる…
ちょっと待て?それおかしいぞと思ったらあなたはセキュリティにちょっと詳しい人かも知れない。


マルウエアの作者が「権限付与リスト」を内蔵するなんてそんなことに協力するだろうか?
そんなもの入れないで配布するんじゃないか…または入れておくけど、こっそりカメラにもネットにもアクセスできるリストにしておいてプライバシー侵害を狙うとか…そういうことはあり得ないのか?

このSandbox化はもともとセキュリティソフトでマルウエア検出用の振るまい検知のために、囲われた環境の中で実際に実行ファイルを起動してみる技術として利用されていた。
そういう限られた用途ならガチガチにすべて禁止された権限で、何をしようとするか観察だけしていればよかった。

ところが実際の使用環境では、「すべて禁止」では使い物にならない。
そこで目的に合わせて許可する項目を設定していかないといけない。
でもそれをユーザに任せるとどうなるか?
Linuxの画期的Sandbox化技術の粋のSELinuxなんか、ユーザが「鬱陶しい」という理由でオフにしちゃったりしてる。
マルウエア作者もSandboxをくぐり抜けるために、偽権限付与リストを入れたり入れてないのに入れているかのような偽造認証をしたりするかもしれない。
だったら役に立たないじゃないの…という疑問を感じたかもしれない。

Macのアプリも同じことで、この権限付与リストを内蔵していないアプリ…つまりSandbox化されていないアプリは結局こういう仕組みに関係なく自由に悪さができる。
今まではマルウエアはレピュテーションベースのブラックリストで作成されたウイルス対策ソフトで検出されていたから防げていた。
キーロガーで個人情報を抜くアプリとか、セキュリティソフトを装ってroot権限を盗むとかそういうアプリはあったが、そういうものはすぐに噂が立ってウイルス定義にリストアップされて、入った時点で検出されてきた。

しかし、これからはアプリの開発の敷居が低くなってどんどん新しいアプリが出てくるのでこの噂が立つ前に大量の被害者が出て二次感染まで起こるとかあり得るかもしれない。

そこでApp Storeでは、今年(2013年3月)からSandbox化して、コードのサイン認証を取ったアプリ以外は、シェアウエア/フリーウエア関係なく配布できなくなった。
アップデートの時も毎回審査が入るから、それ以前に開発されたアプリも順次このルールが適用されるということになる。

またMacではこのSandboxの振るまい制限を外すということができないから、AppleがこのApp Storeの審査をしくじらない限りこの経路からのアプリは安全ということになる。


でも、App Storeを経由しないアプリは当然この限りではない。
そこでMacもいずれiPhoneやiPadと同じようにApp Store以外からアプリをダウンロードすることができないiOSスタイルになってしまうのではないかという推測が流れているのだ。

このSandbox方式のセキュリティは完璧を期すなら、iPhoneのようにApp Storeを経由しないサードパーティのアプリは禁止するという方法にしないといけない。
しかし昔からのパソコンいじりが趣味の人は、当然
「パソコンは自由であることを旨とする」
という思いが有る。
しかし自由の代償として複雑なセキュリティのテクニックを身につけ、煩雑な使用法を覚えなければいけない。
自由を失ったiPhoneやiPadは小学生や幼稚園児でも使えているではないか…家電のように取説も攻略本も読まないで使いこなせる機械を目指すならどうあるべきか…
やはりSandbox化されないアプリ禁止のiOSスタイルしかあり得ない…

この問題は単なるセキュリティの技術論だけでなく、コンピュータはどうなっていくべきかという深い話を内含している。
私個人はMacがキーボードがくっついたiPadになってしまうんだったら、そんなもん要らん…という感想を持っているが…

参考資料としてこういうものを挙げておく。
ヒッピームーブメントとApple
あの60年末から70年代の嵐は何だったのかという総括がそろそろ出てくる時代





Sandbox化されたプロセスかどうかはSandboxInfoのような
専用アプリを使わなくても実はシステム標準のアクティビティモニタでも確認できる
メニューの「表示」から「表示項目」でサンドボックスをチェック




するとプロセスの表示項目に「サンドボックス」というカラムができる
Sandboxに対応しているプロセスは「はい」と表示される




このSandboxのセキュリティポリシーを書いたファイルは
/System/Library/Sandbox/Profilesの中に保存されている
これからデバイスやファイルの種類などルールがさらに
細分化していくならこのファイルもどんどん数が増えていくはずだ




App Sandbox Design GuideよりSandbox技術の概念図
従来型の場合アプリはシステムリソースやすべてのユーザデータに自由にアクセスできていた
Sandbox化はこのシステムリソースとユーザデータを許可されるもの・許可されないものに分類し
許可されないものをSandboxの外に、されるものを中に置くという概念
この外と内という敷居を作るためにすべてのプロセスにアクセス権を設定するが
それをユーザ任せ、開発者任せにしないというのがこの技術の肝でもっといえば
技術としては新しくないのだが「統制する」という運用法に新しいものがある
そして「統制」という考え方が「自由を重んじるユーザ」の思想と
どうマッチするかがこの技術の最大の問題だと思う



2013年5月20日








セキュリティに関するtips

anchor

iPhoneのパスコードを忘れてしまった時のリセット法〜バックアップは絶対とるべし、できればローカルに…

本日私のところでこの事案が発生したので、この報告をば。

iPhoneの画面をロックするパスコードロックをかけているユーザが多いと思う。
このパスコードを頻繁に変更している人がいるらしい。
「いるらしい」と書いたが、実は私の家族にもいた。

そしてパスコードを忘れてしまった場合、間違ったパスコードを10回入力すると60分間ロック解除ができなくなる。
さらに11回間違うともう永久にロック解除ができなくなるらしい。

パスコードの定期変更は無意味だから絶対にやめてほしいと思うのだが、パスコード定期変更信者というのは根強くいるものらしい。
参考資料
パスワードの定期変更は有効という幻想はなぜ繰り返しわき起こってくるのだろう?


それはともかく、このパスコードを忘れてしまった、または11回以上不正なコードを入力したiPhoneのスクリーンロックはもう単体では解除できない。
この解除方法については、いろいろな情報が流れているが結構間違ったものが多いので実際にやってみて成功した手順を書き留めておく。
(以下iOS6.1.3/iPhone5、Mac OS10.8.4/Mac mini/Intelで検証)

1)iPhoneをUSBケーブルでMacに接続する
(先に復元モードでiOSを再起動しておくDFUモードに関しては未検証。その方が早かったかもしれないが結局いったん出荷状態にしないとダメなのは同じなので、そのままつないだ)

2)iTunesを起動

3)iPhoneを認識したら同期画面に入る

4)「iPhoneを復元ボタン」でiPhoneを一度工場出荷状態にリセットする

5)バックアップからiPhoneを復元する

6)復元が完了したらiPhoneを再起動した後、ロックを解除しようとすると「パスコードがありません」の警告が出る

7)パスコードを設定を選択すれば新しいパスコードを設定できる


<ウソ情報に気をつけろ>
1)「バックアップから復元するとパスコードもそのまま復元されるので無意味」

これは完全なウソ。
逆にリセット状態で復元するしかパスコードの設定タグを呼び出す方法はない

2)「バックアップをとっていなくてもパスコードロックがかかったiPhoneのバックアップをiTunesでとってからリセットできる」
これはiOS5まではできたのかなぁ。
パスコードロックがかかった状態でバックアップをとることは現在のiOS6.1以降では不可能。
だからバックアップは普段からとっておくべきだし、iTunesの同期とバックアップをこまめにやっておいた方がいい。
以前、内蔵ディスクのスペース確保のために内蔵ディスクでバックアップをとらないというTipsを紹介したが、安全を考えるなら内蔵ディスクにとった方がいいかもしれない。
勿論回線が安定しているなら、iCloudからも復元は可能だと思う。

3)「iExplorerのようなアプリを使ってパスコードロックのテキストを取り出す」
この方法もiOS6では使えない。





iPhoneのパスコードリセットはUSBでMacまたはPCに接続してiTunesを起動
iPhoneを認識したらこの同期画面に入って「iPhoneを復元」でいったん工場出荷状態にリセットする
リセットが完了すると「バックアップから復元するか?」と聞いてくるのでOKで復元する
復元が完了したらiPhoneの再起動がかかるので起動後スクリーンロック解除すると
「パスコードがありません」という警告タグが出てくる
パスコード設定画面に進んでもいいし「あとで」でパスコードを設定しないという手もある
この方法は一回もバックアップをとってないと通用しないのでまだの人は今すぐバックアップ実施する
バックアップ先はiCloudでも問題無いと思うがディスクに余裕があるなら「このコンピュータ」にとるべし



2013年7月29日








セキュリティに関するtips

anchor

iOSのパスコードロックを回避する方法を試してみた〜抜かれるのは写真だけではないぞ!アップデートを急げ!

各所で話題になっていることだが、iOS7にはパスコードロックをかけてもカンタンに回避できてしまうバグというか脆弱性がある。

これを修正するアップデートiOS7.0.2が早速出ている。

パスコードロックを頼みにしている人は、四の五の言わずにすぐにアップデートするべきだ。
ロック画面からカンタンな手順でカメラにアクセスすると過去の写真を全部見られてしまう。
写真見られるくらいどうってことない…とか思わないことだ。

写真アプリにアクセスできるということは、過去の写真を全部メールで送ったりツイッターで公開したりできるということだ。
さらにこのメール連携からアドレス帳にもアクセスできる。
Facebookのフレンドやメッセージのやり取りしている相手の情報も見えてしまう。

要するに個人情報の結構な部分がアクセス可能だということだ。

このパスコードロックのバグは結構バージョンごとにデグレなのか執拗に復活してくる。
iOSの根本的な弱点なのかもしれない。
というかパスコードロックをあまり当てにするなということか。

どうしても「それは困る」という人は設定に入って「コントロールセンターを切る」設定にしてしまう手はある。
せっかくの便利な機能であるのだが…





iOS7のパスコードロック破りの手順は以下の通り
まずログイン画面の右下を上スワイプでカメラモードに入る




カメラに入ったら次にカメラを閉じないで
画面下から上スワイプでコントロールセンターを呼び出す




コントロールセンターで時計か電卓のどちらかを開く




電卓に入ったらまず電源ボタン長押しで「スライドで電源オフ」を表示する
そのままホームボタンを二度押しして指を離さないで推し続ける
推したまま「スライドで電源オフ」のキャンセルをタップする
消えたらひと呼吸置いてホームボタンの指を離す




するとこの通り、ログインしていないのにマルチタスクの選択画面に入れてしまう




一応アクセスできるアプリはカメラと時計、
コントロールセンターだけだから安全に見える




ところがカメラに入ってカメラロールを覗くとログインしないと
見えない筈の過去の写真が全部見えてしまう




これらの写真は当然削除したりツイッターでネットに
晒したりできるだけでなくメールで送ることもできる




見られて困るような写真なんかないし別に問題無い…なんてたかをくくってはいけない
メールにアクセスできてしまうことが問題なのだ




カメラロールから写真を添付してメールに送る
メールの送り先で+ボタンをタップすると…




あなたのアドレス帳に入っているすべての登録名が見えてしまう
名前だけじゃなくて当然メールアドレスも宛先に貼付ければ見えるので
パスコードロックがあなたのプライバシーを守るという幻想はここで崩れるだろう
同じくFacebookのフレンドやメッセンジャーの相手も見えてしまう




ちなみに紛失モードでも試してみたがさすがにこちらは大丈夫だったようだ




またiOS7.0.2にアップデート後は電源オフをキャンセルして
ホームボタンから指を離してもマルチタスク画面に入らなくなった
ただまたいつデグレが起こるかもしれないから問題再発を完全に防ぐには
ログイン画面のコントロールセンターを無効にするしかない
その設定は「設定」の「コントロールセンター」で可能



2013年9月29日








セキュリティに関するtips

anchor

アップルIDから身に覚えのないパスワードリセットメール〜うちにも来たかフィッシングメール!…と思いきや本物だったみたい〜本物と偽物の見分け方

最近ツイッター界隈でも、他でも割と良く聞く話題がAppleから本物そっくりの
「AppleIDのパスワードリセットの方法」
というフィッシングメールが来るというもの。

このメールが来たらリンクを踏んではいけない、メールは無視して削除せよとかあちこちに書いてある。

詳細はこういうブログが沢山上がっているので参考までに。
【ガチ注意】Appleを装ったフィッシングメールが大流行中です iPhone Mania

ふ〜ん、そういうものかと思っていたらなんとうちにも来ましたよ、こんなメールが。





appleid@id.apple.comという本物っぽい差出人からこういう文面のメールが来た
今回は宛先が「利用者の皆様」ではなく私の登録名だったので
少なくとも差出人は私のAppleIDと名前を把握していることになる
私は通常htmlメールは見ないで削除するのだがあまりに本物っぽかったので思わずブラウザでも表示
あれ?本物?でもパスワードリセットした覚えがないのに誰かが勝手にアクセスしてる?




そこで徹底的に調べてみた
まずメールのヘッダをフル表示してReceived fromを確認
ここがフリーメールのドメインとかになっていたらニセモノ確定なのだが
一応apple.comの本物っぽいドメインから来ている




さらにパスワードリセットできるというリンク先を踏んでverisignの認証情報を確認すると…
なんと間違いなくこのサイトはクパチーノにあるApple.incという会社の所有サイトだとのこと
つまりこれは本物だった




さてこちらがニセモノのフィッシングメールなのだが
上の本物メールと見比べてみてどうだろうか
見た目がほとんど当てにならないことがよくわかる
やはりヘッダのレシピアント情報、リンク先のドメインの確認などが重要で
MacとかPCなら誘導リンクにマウスオーバーしただけでリンク先のURLを
確認できるからクリックする前にドメイン名をよく見る習慣を付けるべきだ
スマホにはそういう機能がないのでスマホではやたらリンクを踏まないという注意が必要だ
(出典iPhone Maniaさん)



AppleIDをリセットした覚えがないのにAppleからIDリセットのご案内が来た理由を調べていたら、どうやらパスワードの変更を長期間やっていないユーザにランダムにパスワード変更の案内メールを実際にAppleも出しているとのこと。

こういうのはメールでやるのは感心しないが、特にメールにパスワード変更フォームがあるページのリンクを置くというやり方をもしAppleもやっているのだとしたら、そちらにも問題があるような気がする。


今回の私のところに来たメールはどうもこれではなく、実際に誰かが私のメールアドレスをAppleIDのリセットフォームに書き込んでリセットボタンを押したのかもしれない。
私は安全を確認したので、リンク先にいってリセットのキャンセルボタンをクリックしたため変更はされていない。
誰が何のためにこういうことをするのかよくわからない。
これをやってもパスワードを抜けるわけでもないので単なるいたずらかもしれないが、ちょっと思ったのはこういうピンポンダッシュ式のいたずらリセットを数回やっておいて、最後に本物のフィッシングメールをこのメールアドレスに送りつけたら
「ちっ、またかよ」
なんていって安直にメールのリンクを踏んで実際に自分のパスワードを入力してしまうかもしれない。

もしそれを狙っているんだとしたらかなり巧妙だ。





これは「Apple ID」を狙うフィッシングサイト増加を確認 個人情報収集が目的か
トレンドマイクロ セキュリティ ブログ
より
昨年アメリカでの統計だがAppleIDを狙うフィッシング詐欺は着実に増加している
そして英語だけでなく日本語のメールも飛んでいるのは上記の通りで
もし私の想像通り数回リセットピンポンダッシュをやって最後にフィッシングメールを
投げるなんてことをやっているんだとしたら手口も巧妙化しているのかもしれない



2014年2月22日








セキュリティに関するtips

anchor

重大な脆弱性が発見されていたInternet Explorer6〜11のセキュリティアップデートが配布されているので7、8ユーザだけでなくXPユーザも忘れずアップデートかけておくように

4月26日にInternet Explorerの6から11、つまり現在一般的に使用されているWindows環境で使用可能なほぼ全てのInternet Explorerで深刻なセキュリティホールがあることが発表された。
Web閲覧を経由して悪意あるコードを実行されてユーザ権限を取られてしまう可能性があるというもの。

これに対応した緊急セキュリティアップデートがマイクロソフトより5月2日から配布開始されている。
詳細はこちら。

マイクロソフトの公式リリースページ
Internet Explorer 用セキュリティ更新プログラムの提供について

このページでも解説されているように、今回はすでにサポートが終了しているWindowsXPに関しても例外的にアップデートの対象にしている。
つまりそれほど、このセキュリティホールは深刻だということだ。

今回の騒ぎで割と鮮明になったのは、マイクロソフトはセキュリティホールの情報を発表してすぐに手動で安全性を確保する設定法を発表したがこの方法はほとんどのWindowsユーザには浸透しなかったこと、というよりも一般的なユーザには理解されなかったこと。
さらに言えば
Internet Explorerなんか使っていませんよ、いつもインターネットボタンでインターネットを開いていますから…」
というようなユーザが大量にいるということをあぶり出していたように思う。

米国の公的機関の米国土安全保障省も
Internet Explorerを使わないように、代替ソフトを使用を呼びかけ」たということだが、インターネットはWebブラウザというアプリで閲覧しており、インターネットボタンで起動するインターネットもInternet Explorerというアプリに過ぎないということを知らないユーザが非常に多く居ることが鮮明になった。
要するにInternet Explorerの重大なセキュリティホールの情報と自分が関係あることを理解できないユーザが、今はネットに大量に流れ込んできているということだ。

とにかくWindowsを使っているユーザは「もうサポート切れだからやっても無駄」とか思わないでWindowsUpdateをかけることが先決だと思う。





WindowsXPで一ヶ月ぶりにWindowsUpdateをかける
Internet Explorerの更新プログラムがかかってくるので
XPユーザも「やっても無駄」とか思わないで速やかにアップデートをかけること




今回の重大な脆弱性はInternet Explorer6~11が対象なので
XP、Vista、7、8のほとんど全てのWindowsユーザが対象になるはずだ
米国政府が警告を出すほど非常に深刻なセキュリティホールなのですぐにアップデートを



2014年5月3日








セキュリティに関するtips

anchor

Macに久々の大型セキュリティホール!〜ShellShockの脅威について自分なりのまとめと対策〜MavericksだけでなくPowerPCでTiger旧マシンも対策を急げ!【追記あり】

この数日いろいろ忙しかったので更新が止まっていたが、忙しかった理由のひとつがこれだった。

Macにも久しぶりの大型セキュリティホールが発見されたことがニュースになっていたのだが、一般的なMacユーザはどれほど認識しているのだろうか。

UNIXで広く使われているbashのシェルに管理者、アクティブユーザの意図しない任意のコマンドを実行されてしまう脆弱性が発見された。
詳細はこちら。
Shellshock- Bash Bug 脆弱性について知っておくべきこと | Symantec Connect

この脆弱性はbashを使う全てのOSに影響がある。以下のLinuxはパッチを配付している。
Debian
Ubuntu
Red Hat
CentOS
Novell/SUSE

BSDを筆頭にUNIXもbashを使用している。
そしてMac OS Xもその流れなので当然bashを使用している。
故にMacでも危険な脆弱性であるという点では全く同じなのだが、Appleは早々と
「ユーザーが高度なUNIXサービスを設定していない限り、ほとんどのユーザーは安全」
という発表をして逆にミスリードするというチョンボを繰り返している。

bashの脆弱性はシェルの問題なのでShellShockと呼ばれているが、さっそくこれを利用したbotネットが出現している(といううわさ)が登場している。
bashのShellshock脆弱性を利用するボットネットが出現 | スラッシュドット・ジャパン Linux

またこのシェルのセキュリティホールを攻撃するマルウエアも登場している。
【セキュリティ ニュース】「ShellShock」で侵入するマルウェア - DDoS攻撃機能を搭載:Security NEXT

これらの被害の詳細は続報を待たないといけないが、この数日このShellShockの影響やリスクについていろいろ調べていて、決してAppleが言うような「一部の特殊なマニアックなユーザのみの脅威」なんかではなく、全てのMacユーザが脅威にさらされているという確信を持っている。

ファイアウォールで守られたサーバも、ある条件が揃えば任意のコマンドを実行されてしまうOSコマンドインジェクションが可能だということだ。
ファイアウォール内のサーバに対するShellshockを利用した攻撃 - 葉っぱ日記

またどこで読んだのかリンクを探しているのだが、クッキーなどを使用してインジェクションも可能だという記事も見かけた。
だから「高度なUNIXサービスを設定していない」個人ユーザも安全といえないように思う。

このShellShockとはどういうバグなのかの詳細はこちらに詳しい解説がある。
bash の脆弱性 "Shell Shock" のめっちゃ細かい話(CVE-2014-6721)- もろず blog

bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた - piyolog

これに対してAppleもbashのパッチをMacのインストーラで簡単に当てられるパッチアップデートを発表したが、一般的なソフトウエアアップデートではなく自分でインストーラをダウンロードしてきて当てないといけない形式の配布にしたところが、いかにも危機感がない。
Apple、Bashの脆弱性を修正する「OS X bash Update」公開 ;マイナビニュース

そのMacのパッチはこちらで入手できる。
OS X bash Update 1.0 - OS X Mavericks

Mavericks以外のバージョンのパッチはこちらから入手できる。
Lion以降がサポートされている。
アップル - サポート - ダウンロード


Appleはおおらかに構えているようだが、いろいろ調べてみてこれは多分Mac OS Xの脆弱性としては2004年のURI脆弱性に匹敵する脅威で、「一般的なユーザにはほとんど関係がない」などと言ってしまっていいものとは私には判断できない。

対策ができる人は速やかに対策をするべきだと思う。





今回の脆弱性はいくつかまとめて見つかっているがその代表のCVE-2014-6271の例
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"という環境変数の文字列を読み込ませる
その変数の入るべきところに「vulnerableと書き出せ」というコマンドを
忍び込ませておくとシェルに「vulnerable」と表示される
これ自体は他愛もないコマンドだが、替わりにもっと悪意のあるコマンドを忍ばせることができる
また環境変数なのでコマンドを打たなくても任意のファイルからbashを呼び出してこれを実行させることができる




上記のAppleのサポートページからパッチをダウンロードしてきてさっそくインストールする




インストール後に同じ文字列をTerminalに置いてみたが
「vulnerableと書き出せ」というコマンドは無効になっているのが分かる




他にもCVE-2014-7169、CVE-2014-7186、CVE-2014-7187などの
ShellShockが発見されているがそれぞれの検証用コードを走らせてみる
「vulnerable」と表示されたらまだ脆弱性が残っているとのこと



この脆弱性の影響を受けるbashのバージョンは上記のリンクまとめサイトに詳細が書かれているが、以下のバージョン。

Bash 4.3 Patch 25 およびそれ以前
Bash 4.2 Patch 48 およびそれ以前
Bash 4.1 Patch 11 およびそれ以前
Bash 4.0 Patch 39 およびそれ以前
Bash 3.2 Patch 52 およびそれ以前
Bash 3.1 Patch 18 およびそれ以前
Bash 3.0 Patch 16 およびそれ以前
Bash 2.0.5b Patch 8 およびそれ以前

Terminalを開いて
bash --version
と打てば現在の自分の使用しているOSに使用されているbashのバージョンを調べることができる。

調べてみると明らかになると思うが現在のMacの全てのバージョンが、この脆弱性の影響を受けるバージョンであることが分かる。
また脆弱性の検証コードは以下の通り(これもbashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた - piyologさんより)

CVE-2014-6271の検証コード
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

CVE-2014-7169の検証コード

env x='() { (a)=>\' bash -c "echo echo vulnerable"; cat echo

CVE-2014-7186の検証コード
bash -c 'true <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF' || echo "vulnerable"

CVE-2014-7187の検証コード
(for x in {1..200} ; do echo "for x$x in ; do :"; done; for x in {1..200} ; do echo done ; done) | bash || echo "vulnerable"

以上のAppleからのパッチインストーラでMavericksからLionまでのOS Xは 少なくともこれらの公表されている脅威からは解放される。
MacBook ProとVPNサーバにしているintel/Mac miniはさっそくパッチを当てた。


問題は自宅サーバのiBook G4だ。
Webサーバとして使用しているこのPowerPCのMacはOSはTigerでこれ以上にアップすることはできないことは過去に何度か検証している。

上記パッチはLion(OS10.7)以上しかサポートしていないためTiger(OS10.4)にはパッチが適用されない。

上記の影響を受けるバージョンに該当するか調べると、勿論該当していた。

このiBookはもうサーバのみの使用で、これでWebブラウジングとかをしたりもしない。
CGIを動かしてるわけでもないので切迫もしていないと思うが、ネットワークにつなぐMacは全て対象と考えてiBook G4のbashをパッチ込みでコンパイルし直すという方法を選んだ。

必要なのはbashのソースコード。
GNU Project Archives

これを最新版にアップデートするためのMacPorts
The MacPorts Project -- Download & Installation

またコンパイルに必要なXcode
Xcode 2.4.1 Downloads

そして現在ShellShockに対応したパッチを以下からダウンロードした。
GNU Project Archives

インストールの手順は以下を参考にした。
osx - How do I recompile Bash to avoid Shellshock (the remote exploit CVE-2014-6271 and CVE-2014-716…





Webサーバとして上げているiBook G4のTerminalを起動して
例の脆弱性検証コードを走らせるときっちり脆弱性を表示した




そこでbashを無効化して再コンパイルするためにbashのソースコード、
MacPorts、Xcode、bashパッチをダウンロードする
パッチは上記のプロジェクトリンク先から3.2.49〜3.2.54をダウンロードしてくる
パッチはテキストなので右クリックでダウンロード先に保存する




これらのパッチは上記の通りテキストなので拡張子を.txtから.patchに変更する
コンパイルの都合でファイル名も「bash3.2.49.patch」
というように元ファイル名を確認しながら書き換える




さて脆弱性が該当するG4のbashバージョンを確認した
コマンドbash --versionと打つ
バージョンは2.05b.0でかなり古い




PowerPC向けのXcode、v2.4.1をダウンロードしてきてインストール




Xcodeをインストール成功したらライセンスオプションでビルドすると
書いてあるが「不明なオプション」と表示されて失敗した
さらにMacPortsをアップデートするコマンドは「コマンドが見つからない」…
そう先にMacPortsをインストールしないとこうなります…




MacPortsはプロジェクトページからTiger向けのバージョン2.3.1-10.4-Tiger
のディスクイメージをダウンロード
pkgを起動してインストールした




インストールが完了したらTerminalsudo port selfupdate
と打ってPortsを最新版にアップデートしておく
といってもさすがにPowerPC版にアップデートはないようだが…




sudo port upgrade outdatedでアップグレードも探るが何も無し
一応の手続きなので…




bashのソースコードを解凍する
入手したのはbash-3.2.48.tar.gzなのでデスクトップに置いた場合は
まずcd ~/Desktopとしてカレントディレクトリを移動しておいて
tar xzvf bash-3.2.48.tar.gzと打って解凍する
少し待たされる




解凍が完了したらcd bash-3.2.48と打って
解凍したbashソースコードフォルダの中にカレントディレクトリを移動しておく




次に先にダウンロードして.patchの拡張子にリネームしていたパッチファイルを
コマンドはcp ../*.patch .と打ってこのbashソースのフォルダの中にコピーする
次に既存のbashコマンドバイナリをアーカイブ化しておく
すべて_oldとファイル名のあとについたファイル名に変更して無効化しておく
削除しないでアーカイブ化しておくのは失敗した時にもとに戻せるように…
コマンドはsudo cp /bin/bash /bin/bash_old
sudo cp /bin/sh /bin/sh_old
sudo chmod -x /bin/bash_old
sudo chmod -x /bin/sh_old

そしてmake、installして失敗した…ひとつ手順を抜かしていた




makeする前に先のパッチのコピーが成功しているかどうかも確認しておこう
成功していたらこのようにbash3.2.49.patch〜bash3.2.54.patchのパッチが並んでいる筈だ




ここでfor file in *.patch ; do
patch -p0 < $file
done

とコマンドを打っておく
途中y/nをいくつか聞いてくるがnで進んでリジュームをyで抜けるとうまくいった




先ほど失敗したmake, installのコマンドを実行する
コマンドは./configure --prefix=/ ; make ; sudo make install
結構待たされるが完了したらbash --versionと打ってbashのバージョンを確認する
パッチの適応に失敗したらversion 3.2.48と出るが成功したらversion 3.2.54と出る筈だ




上記の脆弱性検証コードを実行してみる
全滅だったのがひとつをのぞいて全て無効化に成功した
CVE-2014-7187に関しては後日対処する
少し面倒だがPowerPCのMacを引き続きサーバとして使用したいなら必要な手続きだと思う



【追記】Leopard〜SnowLeopardにもパッチを適用する

BBSに「安野遠」さんより指摘いただいた。
『『上記パッチはLion(OS10.5)以上しかサポートしていないためTiger(OS10.4)にはパッチが適用されない』
と書いてあるのですが、
Lionは(OS10.7)ではないかと。』


おっしゃる通りです。
またもやうっかりミスです。
Apple配布のパッチは、OS10.7〜10.9を対象にしていました。

ということは10.5〜10.6のインストール法にも触れないといけない…といっても原則は同じなので10.4でやったのと同じ方法が適用できる。
またBBSに「森本敦」さんからいただいた情報によるとPacifistからインストールファイルを摘出してインストールすれば、10.5、10.6でもインストールできるとのこと。
私のところには検証できる環境がないので、確認できないが「森本敦」さんはSnowLeopard環境でうまくいったとのことだ。





bashアップデートをダウンロードしてきたら、Pacifistで中をのぞくと
インストールすべきディレクトリに必要なファイルが入っているのが分かる
これをそこにインストールする手順は1)bashのインストール先の
ファイルをリネームなどでアーカイブ化してバックアップを取る
2)Pacifistでインストーラを開いて中のサブパッケージの中の
最初の階層のフォルダを全て選択して左上のInstallボタンでインストール
これでサポート外のSnowLeopardでも動いたそうだ



2014年10月1日








セキュリティに関するtips

anchor

ジェイルブレイクしていなくても危険!〜MacとiPhoneなどiOSデバイスをターゲットにした新種のマルウエア「WireLurker」発見〜その検出法

Mac OS XやiPhone・iPadなどのiOSをターゲットにした全く新しい概念のマルウエア「WireLurker」が発見されたとPalo Alto Networksが報じている。

このマルウエアはOS X向けのオンラインウエアとして配布され、USBなどを介してiOSにも感染する。
特にこれまで安全と思われてきた脱獄していないiPhoneなども感染のターゲットになっている点が注目を集めている。

PALO ALTO NETWORKS REVEALS DISCOVERY OF UNPRECEDENTED IOS AND OS X MALWARE

これまでのところでは中国で感染が広まっていることが確認されている。
以下のソースによると
『中国のサードパーティアプリストア「Maiyadi App Store」では、467種類のアプリがWireLurkerに感染しており、過去6カ月間に計35万6104回ダウンロードされた』
ということらしい。
実は最近結構見かける中華製のアプリは要注意ということだ。
Mac経由でiOS端末を攻撃する「WireLurker」、中国で広まる -INTERNET Watch

その機能はトロイの木馬とおもわれ外部サーバとの不正な通信を行う、悪意あるアプリを勝手にiOSデバイスにインストールするなどで、最新のバージョンではこれまで安全と思われていたジェイルブレークしていないiPhoneなどにも、マルウエアを仕込めることが判明している。


その対処法だがPaloAltoNetworksはGitHubでこのマルウエアを検知するPythonコードをフリーで公開している。
PaloAltoNetworks-BD-WireLurkerDetector・GitHub

これを利用する手順は以下の通り。
1)ターミナルを起動して以下のコマンドをコピペしてEnter
curl -O https://raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py

2)次にプロンプトが表示されたら以下のコマンドをコピペしてEnter
python WireLurkerDetectorOSX.py

malicious files、suspicious file、infected applicationsともにNothing is foundが出れば問題無し。
何かを表示していたら該当するマルウエアをもらってしまっている可能性がある。





最初のコマンドでPythonコードのインストールが成功したらこのような表示になる
その上で二つ目のコマンドを実行すると少し待たされるが
悪意あるファイル・アプリをスキャンした結果が下半分
Nothing is foundが3つ出れば問題ないが何か表示している場合は要注意



2014年11月8日








セキュリティに関するtips

anchor

OS Xのターミナルシェルのbashの深刻な脆弱性〜コマンドインジェクションの話はまだくすぶっていたらしい〜応急処置も考えたがとりあえず様子見とします

10月に取り上げたOS Xでも使用されているターミナルシェルのbashに深刻な脆弱性があるという話題が、あのとき一旦解決したような雰囲気になっていたがまだくすぶっているらしい。
前回の記事はこちら。
Macに久々の大型セキュリティホール!〜ShellShockの脅威について自分なりのまとめと対策〜MavericksだけでなくPowerPCでTiger旧マシンも対策を急げ!【追記あり】

今回一部のセキュリティ機関からこのコマンドインジェクションの問題はまだ解決していないどころか、これを悪用したエクスプロイトを特定したという発表がされている。
GNU Bash における OS コマンドインジェクションの脆弱性(Shellshock)(Scan Tech Report) | ScanNetSecurity (脅威、エクスプロイトのニュース)

この概要によると
『最終的に、関連するCVEは6つに渡り(CVE-2014-6271,CVE-2014-7169,CVE-2014-7186,CVE-2014-7187,CVE-2014-6277,CVE-2014-6278)、根本的な脆弱性の解消のためには全ての問題点が修正済みのパッチバージョンを適用する必要があります。修正済みバージョンについては下記対策を確認してください。』
とのこと。

また
『公開されているExploitでは、任意のコード実行が可能な脆弱性としてCVE-2014-6271とCVE-2014-6278、2つの脆弱性が利用されています。』
とのこと。

このCVE-2014-6271とCVE-2014-6278の二つについては前回紹介した記事ですでに対応済みだったはずだが、既存のパッチではまだこれを破る手段が残っていたらしい。

対応済みバージョンとは具体的には以下のバージョンで、これに該当する場合にはまだ脆弱性が残っているとのことだ。
- Bash 4.3 Patch 28 およびそれ以前
- Bash 4.2 Patch 51 およびそれ以前
- Bash 4.1 Patch 15 およびそれ以前
- Bash 4.0 Patch 42 およびそれ以前
- Bash 3.2 Patch 55 およびそれ以前
- Bash 3.1 Patch 21 およびそれ以前
- Bash 3.0 Patch 20 およびそれ以前


そして前回バージョンアップで私のYosemiteおよびMavericksのバージョンはBash 3.2 Patch 53、 TigerのバージョンはBash 3.2 Patch 54になっているがいずれも該当してしまう。

この件に対応するAppleのアップデートはまだ出ておらず、相変わらずこの問題に関してのんびりしている。

またQNAPに関する脆弱性も言われているようなので、ポート8080を利用しているWebサーバーを運用している場合は注意が必要らしい。
https--www.jpcert.or.jp-at-2014-at140055.txt

それからあと最近の話題はNTPサーバーの脆弱性も指摘されている。
OS X NTP Security Update-OS X Yosemite

対応策として現在- Bash 3.2 Patch 57までのパッチが配布されているから、これをダウンロードしてbashを再コンパイルするのが早道なのだが、現在このftpサイトは混雑しているためかずっとアクセスできない状態が続いている。
GNU Bash Patch

深刻なのはサーバーを運用しているケースとWeb経由でリモートとったりファイル共有しているようなケースで、全部私の場合は該当するのだが今のところパッチも手に入らないし様子見するしかない。
念のためにルートマッピングと各Macのファイアウォールは再チェックして余計なポートが開いていないか確認した。





Terminalbash --versionと打ってバージョンを確認する
Yosemiteのbashのバージョンは3.2.53と出て今回も「当たり」ということらしい
アップデートをかけたVPNサーバのMavericksも同じバージョン




ということでbashのソースコードのftpサイトでパッチの
バージョンを調べたところ3.2.57までパッチが出ている




Appleの対応は相変わらず遅いのでこれらのパッチをダウンロードしてbashをmakeすることにした
手順は前回紹介したとおりでパッチをローカルに「名前を付けて保存」
拡張子は最終的に.patchに書き換えるがとりあえず.txtのままで落としておく
つぎはbash3.2のソースコードだがここでftpサイトが反応しなくなってしまった
世界中からダウンロードリクエストが殺到しているんだろうなぁ




とりあえずAppleのサイトからNTPの脆弱性のアップデートだけダウンロードしてインストールする
NTPサーバを立てている場合以外はほぼ無関係と思われるのでこちらは緊急性が低い




特に今回はCVE-2014-6271とCVE-2014-6278が問題になっているようなので
これらのテストコードをもう一度試してみたがちゃんと対応しているような表示
こちらのサイトではこれらの修正を破るのに成功したようなことが書かれている
悪用されたエクスプロイトに関しては具体的なソースコードが非公開になっているので
要するに内容もわからないし対応策もない深刻な脆弱性が残っているということだ



2014年12月24日



anchor

OS Xのターミナルシェルのbashの深刻な脆弱性2〜まだくすぶっていたコマンドインジェクションにやっぱり対応しました〜パッチ済みソースコードが配布されている

OS Xも含むUNIXやLinuxが使用するbashのターミナルシェルにかなり深刻な脆弱性があるという話を先ほどアップした。
これの影響だが、Appleは当初、
「高度なUNIXのサービスを使用している上級ユーザ以外は影響がない」
という立場を取っていたが、どうもいろいろ見ているとそうでもないらしい。
Linuxなどは素早く対応しているが、Appleのサイトを隅から隅まで見てもこれに対応したアップデートはまだでていない。

そこで前回Tigerで実行した、bashをソースコードからmakeし直すという手順を実行しようと思ったが、ソースコードのftpサイトが混雑しているせいかずっと繋がらなかった。
それが先ほどやっと繋がったので、早速ダウンロードしてインストールすることにした。
ソースのサイトはこちら。
GNU Project Archives

前回は途中ではまりやすい失敗例も書いて手順が混乱しているように見えたかもしれないので、今回は成功した手順を簡潔に整理してメモしておく。

上記ftpサイトを見ているとbash3.2のソースコードにbash3.2.57というのがもうアップされていた。
これはパッチ込みのソースということではなく、ここまでの修正がすでにかかったソースコードとして配布されている。

なので今回はパッチを一緒にmakeする手順は省いて、bashのソースコードのmakeだけの手順になる。





混雑してるだろうから仕方がないがしばらく
繋がらなかったbashのソースコードのページにやっと繋がった
よく見ると3.2のソースとは別に3.2.57というソースコードもアップされている
せっかくならこの最新修正バージョンを今回使うことにした
なおbashのメジャーバージョンは3の上に4も5もあるのだが
そこらうっかり当てて何か動かなくなるのは怖いので3.2.57に決定した




未インストールの場合はAppleのサイトからXcodeをダウンロードしてきてインストールしておく
ライセンスビルドのコマンドを走らせておく
コマンドはsudo xcodebuild -licenseとなる




ライセンスの記述がすごい量出てくるが同意しないと使えないのでagreeと打ってEnterする




次にMacPorts ProjectページからMacPortsをダウンロードしてインストールする
Yosemite、Mavericks、それ以前バージョンに全てバイナリが分かれているので要注意




一応手続きなのでMacPortsのアップデートのコマンドsudo port selfupdateと打っておく
バージョンが表示されたらインストール成功、上下のバージョンナンバーが合っていれば最新版になっている




先にダウンロードしておいたbashのソースコードをデスクトップに
置いているならカレントディレクトリをデスクトップにしておく
コマンドはcd ~/Desktop
次にダウンロードしたソースコードを解凍するコマンドを打っておく
今回のファイル名は「bash-3.2.57.tar.gz」なのでコマンドはtar xzvf bash-3.2.57.tar.gz




ちょっと待たされて解凍が完了したらデスクトップにできたbash-3.2.57というフォルダの中を一応確認
bashのパッチがむき出しで入っている場合はこのパッチを有効化しないといけない
その手順は前回解説したが今回のソースコードはすでにパッチ分の
修正がかかったソースだったのでそういうものが入っていない
なのでこの手順は今回は飛ばす




デスクトップにできたbash-3.2.57の中にカレントディレクトリを変更しておく
コマンドはcd ~/Desktop/bash-3.2.57
次にmake、installのコマンドを打つ
コマンドは./configure --prefix=/ ; make ; sudo make install




かなり待たされてmake、installが完了するとこういう表示になる
ここでバージョンを確認するコマンドbash --versionを打ってみる
3.2.57と表示されたらインストール成功




なお今回はbashrcは上書きされなかったようなので
Terminalを自動起動して悪意あるコードを実行されるリスクを回避するコードは有効のままだった
これからこの手順をVPNサーバ、webサーバなどに当てていかないといけない
面倒だ



<追記>

上記の手順で自宅のWebサーバーとVPNサーバーのMavericks/Mac miniとTiger/iBookG4のbashを3.2.57にアップデートした。
時間はかかったが、この手順でそんなに手間もかからず作業は完了した。
これで一応サーバーの不安はなくなったんだと思う。





今回は前回make/installを実施したTiger/iBookG4だけでなく
MavericksのMac miniもターミナルでアップデートに成功した
時間はかかったがこれが一番手間が少ない方法だと思う



2014年12月24日








セキュリティに関するtips

anchor

久しぶりのウイルス騒ぎ〜昔の名前が出てきましたConficker〜ネットから切り離されたPCの駆除の切り札Microsoft Safety ScannerClamWin Portableの使い方

お仕事先のサーバーから久しぶりにウイルス騒ぎが出て、遠隔で接続している端末の健康チェックをしなくてはいけなくなった。

遠隔端末ではMicrosoft Security Essentialsを使っているのでこれを観察したところ履歴にバッチリ検疫の履歴が残っていた。

見つかったのはMS名はConficker.B、ClamのフォーラムではWorm.Kidoという名前を与えられていた、自律的に自分のコピーをネットワーク内の全端末にばらまくタイプのスパイウエアエクスプロイトだった。
これ自体は感染力が脅威だという以外に特に重大なリスクがあるわけでもないが、今時こういうものが流行るんだから何か危険なペイロードを持っているかもしれない。
それこそ年金機構がやられたようなIDパスワードを抜いてアップするようなトロイと組み合わせて使われる可能性はある。





遠隔端末に仕込んでおいたMicrosoft Security Essentials
このウイルスの攻撃をちゃんと検知して検疫していた
それでウイルスの種類がCofickerだと判明した
2年ぐらい前に流行したネットワークに入り込まれると端末が全滅する感染力最強な悪質な奴だが
Windows7以降には感染しない(実際テストしたらそうだった)し、
すっかり下火になったウイルスのはずだった
しかも今回発覚したのはインターネットにも事務系LANにもつながっていない閉鎖ネットワークの専用機だ
誰かがノートパソコンか何かにこれを飼っていてUSBメモリとかで注入している…としか思えない




このウイルスは実は目視でもチェックできる
コンパネフォルダーオプションを開いて表示タブで一番下の
「保護されたオペレーティングシステムを表示しない(推奨)」という推奨されない設定のチェックを外す




するとC:¥Windows¥System32の直下にykhxtd.ypという不可視ファイルが見える
これがいたらウイルスをもらっている
7以降はこれの削除だけで問題ないがXP以下はタスクスケジューラーなど
あちこちに入り込まれているので全域のウイルススキャンが必要になる



さてMicrosoftから腐ったミルク呼ばわりされているWindowsXPがこれの宿主になるわけだが、このOSを普通にオンラインの事務用端末で使用している勇気ある会社や役所が世の中にはたくさんあるそうだ。
が、今回はインターネットや事務系のLANからも切り離された閉鎖ネットワークの専用機・サーバーからこのウイルスが見つかっている。
インターネットから切り離されているところに勝手に入ってくるわけはないので、誰かがせっせと運んでいるとしか思えないのだが、そういう閉鎖ネットワークで使っている専用機だから「ウイルス対策ソフトインストール禁止」という仕様の機器ばかりだった。

「ウイルス対策ソフトインストール禁止」だから閉鎖ネットワークの中に閉じ込めてあるのだとも言えるが、そういうところでウイルス対策ソフトをインストールしないでウイルス駆除をするソフトがいくつかある。
今回仕様したのは以下の二つ。


anchor

Microsoft Safety Scanner
(Freeware)
Windows7~8.1対応

Microsoftが提供するウイルス対策ソフトのMicrosoft Security Essentialsの使い捨て版というかポータブルで仕込んですぐに捨てられるようにパッケージ化されたウイルス対策ソフト。

使い方は簡単でこれをメディアか何かで内部ディスクのデスクトップかどこか適当なところに置いて、スキャンをかけるだけ。
スキャンの種類はクイック、フル、カスタムが選択できるのはMicrosoft Security Essentialsと同じで、仕様しているスキャンエンジンもウイルス定義ファイルも同じ。
だからMicrosoft Security Essentialsがインストールされている端末でこれを実行するのはあまり意味がない。

これを使うのはウイルス対策ソフトのインストールが禁止されているような専用機・サーバーの駆除の場合だと思う。
スキャンが完了して「望ましくないソフトウエア」が発見されたら自動的に削除してくれる。
あまり望ましくない場合は削除するかどうか聞いてくる。

駆除が完了したらアプリ本体を削除すればアンインストールは完了だ。
使用法はとても簡単だが、駆除したウイルスの種類もちゃんと表示してくれる。





Microsoft Safety Scannerを起動すると許諾契約書の同意するか聞かれる
使用する場合はチェックを入れて次へ




ウイルススキャンのグレードがクイック、フル、カスタムが
選択できるのはMicrosoft Security Essentialsと同じ
内容も同じで初回のスキャンはフルを選択すればいい
外付けボリュームなども気になる場合はそのディレクトリをカスタムで追加する




スキャン進行中の画面




ウイルスなどが特に見つからなかった場合はこんな表示になる




なおこのアプリは10日間の使い捨てアプリなのでダウンロード後10日経つと起動できなくなる
オンラインで定義ファイルをアップデートできないので
これが表示されたら新しいのをMSのサイトからダウンロードしろということ
無料なんだから遠慮しないで毎回ダウンロードしよう
その方がゼロデイ攻撃に遭う確率を下げられる




さて今回も手持ちのウイルスのサンプルをWindowsに置いてスキャンテストしてみた
よい子の皆さんはマネしないでね!




こうして悪質度の高いウイルスは問答無用でいきなり削除してしまう
その場合の表示がこれ




詳細のところをクリックすると削除したウイルスの種類を教えてくれる
数年前に猛威を振るったAutorun系の本体を検知




もう一発今回捕獲したワームの拡張子を書き換えて無効化しWindowsに置いてみた
くれぐれもよい子の皆さんはマネしないでね!




ということでConficker.Bを特定した
このウイルスは表向きWindows7に移行したところでは脅威度はゼロの筈なのだが
未だに実効力を持っているということだ

anchor

ClamWin Portable
(Freeware)
WindowsXP~8対応

UNIXやMacでおなじみのclamウイルス対策ソフトをWindows向けに移植し、USBメモリに入れたままでウイルススキャンができるインストールレスのウイルス対策ソフト。

clamはUNIXやLinuxのリポジトリにもあるし、Mac OS X向けにはClamXavとして使用している人も多いおなじみのアプリ。
clam自体は振る舞い検知はしないでパターンファイルだけでウイルスを特定する簡易なエンジンだが、その裏打ちになる定義ファイルの更新フォーラムはおそらくウイルスSIGの中では一番活発なフォーラムだと思う。

ウイルス定義ファイルはほぼ毎日更新されているし、日に数回更新されることもある。

この定義ファイルが強力なフリーのウイルス対策ソフトがWindowsにも移植されている。
このClamWin PortableはさらにそのClam Windowsをポータブルアプリにしたもので、USBを挿すだけでこれもインストールレスで使える。

ウイルス対策ソフトをインストールできない専用機の環境では有用なアプリだ。





ClamWin PortableはUSBメモリの中に適当なフォルダを作りそこにインストールするだけでいい
ウイルス定義ファイルはインターネットからダウンロードして更新するので
インターネットから隔離されている端末をスキャンする場合はあらかじめ
ネット接続ができる端末で定義ファイルの更新が必要




あとはスキャンしたいドライブ、あるいはディレクトリを指定してスキャンボタンを押すだけ
今回の検体をWorm.Kido-52という名前で検知した
このアプリはデフォルトではウイルスを発見したらその場所とウイルスの種類を表示するだけだが
設定でファイルの隔離、削除も可能になる



2015年6月14日








セキュリティに関するtips

anchor

「不正アクセスを防ぐため…」といって逆にパスワードを抜き取るパスワード再発行詐欺の手口がかなり巧妙なので日本語版攻撃には要注意だ

先日シマンテックのリリースできたSMSの認証コード抜き取り詐欺の手口が巧妙なので、これをよく知って警戒しといたほうがいい。


このパスワード抜き取り詐欺、アカウント乗っ取りの手口の解説ブログはこちら。
ユーザーを欺いてメールアカウントにアクセスする、パスワード再発行詐欺 | Symantec Connect Community

Gmailに携帯番号を登録しているユーザは、パスワードを忘れても「パスワードを忘れた」リンクから再発行パスワードをSMS(携帯ショートメッセージサービス)に送ってもらえる認証確認サービスがある。
この詐欺の手口はこれを悪用している。
これはやられるかもしれないので、この手口パスワード再発行詐欺に注意。
以下にその手口を簡単にまとめる。

1)正規ユーザのパスワードを知らない悪意の第三者がGmailのメールアドレスと携帯番号の流出リストを入手した。
ユーザ情報の流出としては、パスワードは含まない携帯番号とメールアドレスだけのリスト流出は比較的深刻度が低いと考えられているので、流出した業者もユーザも警戒度は低いかもしれない。

2)しかしこの悪意の第三者は、そのメールアドレスでGmailログインページにアクセスする。

3)パスワードを知らないのでもちろんログインはできないが、ログイン画面の「お困りの場合」リンクから再発行パスワードを送るよう依頼する。
この時に携帯番号で登録しているユーザはSMS向け6桁認証コードも選べるのでこれを選択する
ただし認証コードはもちろん本当のユーザのSMSにしか送られないので、それは第三者には見えない





悪意ある第三者はパスワードを知らない場合ログインはできないが
その下の「Need Help?」のリンクに入ることはできる




そして6桁認証コードをコードをSMSに送らせることはできる


4)この悪意ある第三者はこの本当のユーザの携帯番号を知っているので、この後すぐタイミングを合わせて、このユーザのSMSに偽のGoogleサポートメッセージを送る。

そのサポートメッセージの内容は
「Googleはあなたのアカウントで不正なアクセスを検知した。不正アクセスを防ぐために送信された認証コードを返信してください」
というような内容。

5)これを正規ユーザはGoogleのサポートからのメッセージと勘違いして6桁認証コードを送り返してしまう。

6)認証コードを受け取った第三者はすかさずアカウントのログインページにアクセスして、6桁の認証コードを使って仮パスワードを作成し、Gmailアカウントを乗っ取ってしまう。


あとはスパムメールも送り放題だし、Gmailアカウントを認証に使うGoogleのサービスは全部アクセスできるのでアドセンスの振り込み先を捨て口座にこっそり変更したり、なんでもありだ。

この手口の悪質なところは、アドレスを確認しやすいメールではなくアドレスの確認がしにくいSMSを使用すること。
SMSに返信しないで放置しておくと
「このままではアカウントの安全が維持できないので認証コードを至急返信せよ」
と繰り返しメッセージを送ってくること。
認証コードを送り返すと、この偽サポートからちゃんと有効な仮パスワードを送り返してくるので、それでログインできることを確認してしまうと騙されていることに気づかないで安心してしまうかもしれない。

これでアカウントを乗っ取られたことに気がつくのに時間がかかってしまい、その間に好き放題やられてしまうかもしれない。





日本語ユーザの場合もこの下の「お困りの場合」から全く同じ操作ができる




Googleの場合携帯ユーザのためにSMSへの認証確認メールサービスを
用意しているがこの親切心が裏目に出ているようだ
この設定をしている人は直ちに無効化したほうが安全かもしれない


この認証詐欺は英語での攻撃が確認されているが、同じ仕組みを持っている日本語版でもすぐに同じ攻撃が可能だ。
Googleのサポートらしいちゃんとした日本語を使える第三者が携帯番号、Gmailアドレスのリストをどこかから取得すればすぐに同じことができる。

またSMSを使用しないでメールアドレスに偽サポートメールを送るという手口なら、発覚する可能性は高いがGoogle以外のあらゆるサービスでも応用で同じ詐欺の手口は可能だ。

これを防ぐ方法として有効なのは…
1)SMSでの認証は設定しないこと
2)メール・SMSなどで「パスワードの確認をせよ」というサポートメールは信用するな
またメールなどに記載されているサポートサイトへのリンクはクリックするな
3)ブラウザのブックマークから直接自分のページにログオンして直ちにパスワードを変更すること
4)パスワードが勝手に変更されていたらアカウントを乗っ取られているので直ちに正規サイトからサポートにコンタクトしてアカウントを無効化・パスワード再発行してもらう




2015年6月24日













Previous Topへ Next





site statistics
青木さやか