Previous  Index  Next


2009 年 8 月 21 日




anchor

TimeMachineEditor
(Freeware)
OS10.5Leopard対応

Leopardの目玉機能のひとつ「Time Machine」のバックアップ頻度を細かくエディットできるアプリ。

Leopard(OS10.5)のメインのバックアップ機能であるTime Machineはすでに私も多くの恩恵を受けている。

こういう自動バックアップを起動ボリュームの全域で実行するバックアップアプリというのは、別にこのTime Machineが初めてというわけではない筈だが、やはりこのTime Machineのユニークなところは、あたかもタイムマシーンで過去に戻るようにシステムもユーザ領域も過去の好みの時点に戻すことができるという自由度が、これまでの自動バックアップソフトとは全く違う使い勝手だという点だ。

全域戻すこともできるし、ユーザ領域の特定のディレクトリだけ指定して戻すこともできる。
しかも戻す時間も過去数ヶ月にわたっているし、最近1週間なら毎日残されているし、最近一両日なら毎時間残されているので、昨晩の真夜中の時点にシステムもユーザファイルも戻すことができるという驚くべき機能を持っている。

ただある種の人にとってこのTime Machineのバックアップ機能は、過剰なスペックだとも言える。
昨日までのバックアップは一日一回取ってくれれば充分だ、毎時とる必要はない、あるいは最近のバックアップなんて1週間に1回で充分だ、それ以上の細かいバックアップはディスク容量の無駄になるだけで意味がない・・・・という考えの人もいるだろう。

もっと細かいことをいえば写真などの画像処理をする趣味の日曜日は細かいバックアップを取ってくれるとアンドゥの替わりになって助かるが、平日は会社で作ったワードなどのバックアップがあれば充分なので、細かいバックアップはディスク容量の無駄・・・というような事情もあるかもしれない。

そういう個人の細かいニーズに応えるべくバックアップの更新頻度を変更したり、曜日ごと、週ごと、月ごとにバックアップを取る回数、時間を設定できるアプリがこのTimeMachineEditorということになる。

Time Machineの唯一の不満点はこれなので、こういう細かい設定ができるのならもうバックアップはTime Machineにオマカセということにしてもいいと思う。
事実私のところではそうなのだが・・・・


<後日追記>
Time Machineを継続的に使用してみて今ではこういうスケジュールエディタのようなアプリは必要ないのではないかと思っている。

1TBもバックアップディスクがあればTime Machineのデフォルト設定で容量が一杯になることはない。
ここらは多くの人が誤解しているところだが詳細はこちらに書いた。
参照してもらいたい。
WinからMacに乗り換える時の疑問8






TimeMachineEditorを展開するとこんなキレイなディレクトリに入っている
なかなかキレイだと思ったので思わずスクラップした





Time Machineのバックアップは通常1時間に1回だがそんなに頻度が要らない時がある
その場合に向けてバックアップを取るインターバルを調整できる





また曜日ごと、週ごと、月ごとにどれくらいの頻度で、
あるいは何時にバックアップを取るかも細かく設定できる
Macの使用状況に合わせて調整できるのでディスク容量を
無駄にしないで効率よくバックアップが取れそうだ

anchor

パスワードの定期的変更は意味があるか

最近はてなあたりを震源地に「パスワードの定期的変更は意味があるか?」という話題がちょっと盛り上がっていた。

その中で面白いと思ったのはこちら。
パスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記

私の職場でもネットワークに繋がるパソコンは検疫サーバのセキュリティポリシーで30日ごとにパスワードを変更することが義務づけられている。
変更を怠るとログインそのものができなくなって、自分の会社のネットワークから締め出される。

それで結論を先に書くと私もこのパスワードを定期的に変更するという「セキュリティ対策」はほぼ無意味で、「ちゃんと対策やっています」というアピール以外に何の役にも立たないと思っている。

多分こういう対策を支持する人の言い分は大体こういうことに集約されると思う。
「パスワードが漏洩しても定期的に変更していれば新しいパスワードはわからないから安全ではないか」
「辞書攻撃(総当たり攻撃)が完了する前にパスワードが変更される仕様にしておけば、そうした攻撃で破れないではないか」

まず前者の言い分の間違いは、パスワード漏洩による悪用の対策だというのならパスワードの変更サイクルは90日というのは長過ぎる。
私の職場の30日というのも長過ぎる。
なぜならパスワード漏洩情報をつかんでそれを悪用しようという奴らが、90日もかけてゆっくり攻撃してくれるとは到底思えないからだ。

多分そういう情報をつかんでから数十分から数時間のうちにやりたいことをやってさっさと撤収するだろう。
そういうことが起こってから30日後にパスワードを変更したって何の意味もない。

だからそういう目的のために、パスワードを変更するのなら90日とか30日とかのサイクルではなく、数分とかいうサイクルでパスワードを変更しないといけない。


以前スウェーデンのモバイル事情を取材した時に、エリクソンやノキアのケータイ向けにパスワードジェネレータを開発しているRSAセキュリティスウェーデンを取材した。
ここで見せられたデモはRSAのキーホルダのようなデバイスでジェネレートされるパスワードの有効性だった。
ある種の乱数でこのパスワードは毎分変更される。
正確な時計の技術により、本体のパスワード錠と完全に連動してパスワードは変更される。
毎分変更されるので、正当なユーザが正規のパスワードを入力する場合でも1分以内に入力を完了しないとログインに失敗する。

ここまでやればパスワードを盗まれた場合の安全対策にはなるだろう。

ただこの方法はちょっと問題がある。
毎分パスワードが変わるので、使い勝手が悪くどうしても一度ログインしたらデスクトップを離れた時に自動的にログオフするような機能をオフにしたくなる。
実際このデモの時も開発担当者がパスワード入力に失敗して

「ウープス!」

といっていたのが印象的だった。

開発者でも扱いにくいこのパスワードシステムが、一般のシロウトユーザにすんなり受け入れられるとは到底思えない。
結局一回パスワードを入れたら後は極力パスワードを入れなくていいような設定にしたくなるのは当然だろう。

こういうことでセキュリティの精度が下がってしまうというのも問題だ。
しかし何よりもまずい問題がある。
パスワードを開くにはパスワードジェネレータを常に携行しないといけないので、これを紛失したり盗まれたりすると結局同じことだという問題だ。

この対策は機器の使い勝手を悪くするだけで、大して安全には寄与しないということがこれで明白だと思う。


もう一点の言い分だが、
「もし総当たり攻撃に90日以上かかる強度のパスワードならば、90日ごとにパスワードを変更するのは意味があるではないか」
というのは一見もっともらしく響く。
総当たり攻撃に180日かかるパスワードなら、それが完了する以前にパスワードが変更されれば攻撃は元の木阿弥になって又一からやり直さなければいけなくなる・・・あれ?よく見たらこの理屈はなんか変だと思われないだろうか?

総当たり攻撃に180日かかるというのは最大で180日という意味で、必ず180日かかるという意味ではない。
例えば総当たり攻撃で10万個の組み合わせを試すとする。
実際にはそんなに時間がかかる組み合わせはもっと多いのだが、わかりやすくするために割り切れる数字を仮定する。

10万個の組み合わせを最初は
00000
00001
00002

という感じで昇順で試すとしてもしパスワードが
99999
という一番最後の組み合わせだったら10万全て試してみないといけない。
しかしたまたまジェネレートされたパスワードが
00005
というパスワードだったら、一瞬で破られてしまう
そこでそういう昇順の若い組み合わせは使わないというルールを決めてパスワード変更をする。

最初の5%攻撃が終わった時点でパスワードが変更されたら、どういう影響があるか?
理屈では95%はまだ未実行の組み合わせに変更されるのだから確率は変わらない。
むしろ先ほどの昇順ルールがあるからすでにテストした組み合わせに変更される可能性は5%よりも低い。
ここでは攻撃失敗に追い込める確率は見た目以上に低い。

5万総当たりを攻撃を受けた時点で90日目のパスワード変更をするとしたら確率はどうなるか。
見かけの確率は2分の1で攻撃は失敗する。
しかし昇順ルールがあるので実際には攻撃を失敗させる確率は2分の1以下の確率となる。
昇順ルールのおかげでここまでで攻撃が成功しない確率も2分の1以下になるがどうもこの安全策は確率的に相殺されているっぽい。

95%攻撃を終えたところでパスワードが変更されたらこれは有効のように見える。
しかしこの確率論には落とし穴がある。
95%攻撃が終わるまでパスワードが判明しないという確率は見かけ5%しかない。
ここまでいくまでにすでに攻撃が成功している確率が95%近くある。

攻撃に180日かかる組み合わせを90日で変更するのでは、そんなに確率に影響がない。
もっと大きな単位差があれば有効になるだろうか。
180日かかる組み合わせを1時間で変更するとかだと有効になるだろうか?
これも結局確率に大きな差がでないことがわかる。
未実行の組み合わせから、実行済みの組み合わせにパスワードが変更される確率も高まるが、逆に実行済みの組み合わせに待避していたパスワードが再び未実行の組み合わせに戻ってくる確率も同程度にあるからだ。
攻撃側のエラーが出る確率はやや増えるが劇的に増えるわけではない。
総当たり攻撃を何回も繰り返していたらやはり破れる程度の確率だろう。


これをスマートに数式で表現できればいいのだが、要するにパスワードを変更することで総当たり攻撃をかわすことができるかというと、大した確率の差にはならないということを言いたかったのだ。

パスワードを頻繁に変更するのは一見決定的な安全対策のように見えるが、よくよく考えてみるとそんなに安全性が向上しているわけでもない。
確率の端数分ぐらいは安全性が向上するかもしれないが、まさに端数程度で、そのためにRSAの担当者のように世界中のパソコンや機器ユーザが毎日
「ウープス!」
とか言っているデメリットの方がはるかに大きい気がする。

事実私の職場環境の30日パスワードルールも皆今月の1日の日付をパスワードにしたりしている。
ポリシーで日付が禁止されたら、今度は生年月日に毎月1を足していくというようなパスワードを設定している。
これではほぼ意味がない気がする。

定期的なパスワード変更なんてルールはどう運用しても結局有効性に疑問が残る。
最近話題になったWPA-TKIPが数分で破られたなんて話は同根なのか全く別の話なのかよくわからないが、その連想で関連記事を探していて見つけたこんな話題に反応してみた。



2009 年 8 月 22 日




anchor

TabExposé
(Shareware)
OS10.4Tiger対応 OS10.5Leopard対応

SafariのタブをExposéのようにサムネイル状にデスクトップに散らして表示する名前のとおりタブのExposéインプットマネージャ

インストーラの指示に従ってインストール一発で、あとは次回Safariを起動した時から機能が使える。

デフォルトではF7キーを叩けば開いているタブが全て表示される。
このキーは設定で変更できる。
設定はSafariの設定に入ると「TabExposé」という項目が増えている筈だからそこを開く。

Exposéする時のキーも選べるし、Exposéサムネイルの上にタイトルバーのようにつくデコレーションの色も変えられる。

私の場合は常時30個以上のタブを開きっぱなしでSafariを使っているので、あまり実用的とも言えないがタブは4〜5個位しか開かないという人なら、充分実用的に使える。

ツールバーのカスタマイズでツールバーにTabExposéボタンも追加できるので、メニューバーからもツールバーボタンからもホットキーからもコンタクトできるのが便利だ。

ライセンス登録をすると一回のSafariを起動でTabExposéの表示回数の制限が無くなる。






TabExposéをインストール後にSafariを起動すると
「ウインドウ」メニューにTabExposéというメニューコマンドが増えている
またこのホットキーはF7キーだ





このとおり全てのタブがExposéのようにサムネイルとなってデスクトップに並ぶ
私の場合タブの数が多すぎてちょっと使いにくいがマウスオーバーで
ページのタイトルは浮かび出てくるので使えないわけではない





Safariの設定を開くとこのとおりTabExposéという項目が増えている
デフォルトの設定はこんな感じ





私はホットキーをコマンド+Kキーに変えた
fキーはアプリの起動に割り当てているからだ





タブの数を減らせばこのとおり実用的に使える





なおTabExposéはインストーラによって
"/Library/InputManagers/TabExpose"にインストールされる
アンインストールはこのフォルダごと削除すればいい
この場合管理者のパスワードを要求される





「表示」メニューの「ツールバーのカスタマイズ」から
ツールバーにTabExposéボタンを増設できる





このボタンをワンクリックしてもTabExposéを展開することができる





設定でTabExposéのデコレーションの色を変えることもできる
ピンクなんてのもなかなか悪くない


2009 年 8 月 23 日




anchor

SpaceSuit
(Freeware)
OS10.5Leopard対応

Leopardの新機能、Spaceの仮想デスクトップのそれぞれに壁紙を割り当てて切り替えるたびにデスクトップの背景が変わるというアプリ。

使い方は非常にシンプルで、Spacesでデスクトップを切り替えながら壁紙のjpegをドックのSpaceSuitのアイコンにドロップしていけばいい。

それでデスクトップもSpacesといっしょに切り替わるようになる。
この割り当てた壁紙が有効なのはSpaceSuitを起動している間だけで、終了すればシステム環境設定で設定したデスクトップに戻る。

また壁紙のサイズがデスクトップにぴったり合わない場合は、ドックアイコンを右クリックして
「スクリーンにフィットさせる」「フルスクリーン表示する」「左右のサイズを合わせる」「上下のサイズを合わせる」「センターに表示する」
などを選べる。
またここからSpacesを切り替えることもできる。
壁紙を外してシステムの設定に戻すこともできる。
なかなか楽しいアプリだと思う。






SpaceSuitを起動すると簡単な使い方のレクチャーが表示される
次回から表示させない場合はチェックを入れてOK





使い方はシンプルそのもの
壁紙のjpegなどのイメージをSpaceSuitのドックアイコンにドロップしていく
切り替えながらやっていけばSpacesのすべてのページに違う壁紙を割り当てられる





SpaceSuitが起動している間はSpacesを切り替えるたびにGrowlでこういう表示が出る





例えばメインページはこんなデスクトップで・・・





VMWare専用デスクトップはこんな感じで・・・





その他ユーティリティ用デスクトップはこんな壁紙・・・とかすると
今何番にいる確認しなくてもどこにいるかわかるようになる
意外に実用性もあるかも





壁紙の上下や左右が切れるという時にはドックアイコンを右クリックしてここのメニューで調整する
「スクリーンにフィットさせる」「フルスクリーン表示する」「左右のサイズを合わせる」
「上下のサイズを合わせる」「センターに表示する」
が用意されているし
設定した壁紙を外してシステム環境設定に戻すこともできる
ここでもSpacesの切り替えもできる





上の2番のデスクトップピクチャーを若干調整した・・・





上の3番のデスクトップピクチャーを若干調整した・・・少しいい気分だ





ところでJ.S. Machさん絶賛のこのアプリのアイコンもなかなか良いデザインだ
(ちなみに私もデスクトップは横一列の3つのみ)
NASAのスペースヘルメットのバイザーにMacの壁紙が映っているというアイコンで
小さなサイズのまま使うのはもったいないくらい作り込まれている


2009 年 8 月 24 日




anchor

最近ClamAVをTerminalで使うことにハマっている

ここで紹介した方法なのだが、最近これにハマっている。
MacOSXでclamavをコマンドで使う

ClamAVとは言うまでもなくMacで使えるもっとも強力なフリーのアンチウイルスソフトClamXavのエンジン、UNIXのコマンドの部分だ。

出自がUNIXのコマンドなのだからTerminalで使えても別に不思議でも何でもない。
でもなぜかTerminalから起動すると軽快に動くような気がする。 それは気のせいかもしれないけど、結果までエラーなく表示できるのは気のせいではない。

使い方としては一行でclamscanというコマンドと引数とターゲットのパスを打つ手もあるが、ものぐさな私はもっともめんどくさくない方法でやっている。
まずTerminal
cd
と打ってひとつスペースキーを打って、スキャンしたいディレクトリのフォルダアイコンをTerminalのウインドウにドロップする。
例えばライブラリフォルダをスキャンしたい時にはライブラリフォルダをドロップすると
cd /Library
という文字列がもう入力される。あとはEnterキーを叩くだけでそこにカレントディレクトリを移動できる。
Macならではの機能だ。

次にclamscanのコマンドを打つが、これも一度
sudo
と打ってスペースを一度打ってMainMenuなどを使って 不可視フォルダを表示するようにしてFinderからGUIでclamscanのバイナリをドロップすればいい。そうすると
sudo /usr/local/clamXav/bin/clamscan
という文字列が入力されるので、あとはEnterキーを叩けばいい。
下の階層まで全部スキャンしたい時には
sudo /usr/local/clamXav/bin/clamscan -r
でいい。

しかもこのコマンドは入力しないといけないのは最初だけで2回目からはカーソルキーの上矢印を叩いていれば過去の履歴から呼び出せる。
なので次回からはカーソルキーとEnterキーだけで実行できる。
GUIでClamXavを起動してやるよりも楽だ。

何か感染ファイルのアラートが出たらそのあたりだけ、GUIのClamXavでスキャンすれば、隔離などができる。

この方が楽だし動きが確実なので最近これにハマっている。






Terminalのラク〜な使い方
cdと打って一回スペースキーを打ってスキャンしたいフォルダをGUIでドロップする
ライブラリフォルダをドロップすればcd /Libraryと入力されるのでEnterキーでそこに移動
あとは履歴のclamscanコマンドを呼び出してEnterキーを叩くとスキャンが始まる





使っているリソースは同じだからTerminalClamXavの速度も安定性も同じ筈だ
しかし感覚的にはこちらの方がサクサク動いている気がする
今何をスキャンしているかが目に見えるし失敗が無いからかも





clamscanというプロセスが使用するメモリもこんなもの
ClamXav Sentryが1.6GBのメモリを使いまくっているのとくらべたら軽いもんだ





もっともClamXavの名誉のために言えばこちらも軽いプロセスではある


2009 年 8 月 25 日




anchor

ソフトウエアアップデートにRemote Desktop クライアントのセキュリティパッチらしきアップデートがかかっている

ここじゃなかったっけ?
以前にバッファオーバーフローで管理者権限が乗っ取られる可能性があるリモートとして問題になっていたところって。
違ったかな?

その問題なのか関係ない問題なのかわからないが、アップデートがかかっているのでとりあえずかけよう。






Remote Desktop クライアントのアップデートがかかっている
結構センシティブなところだと思うのでアップデートはもれなくかけよう


2009 年 8 月 26 日




anchor

AVG AntiVirus Free
(Freeware)
Windows2000~Vista対応

Windows向けウイルス対策ソフト製品のフリー版。トロイの木馬、スパイウエアにも広く対応する。

ウイルス対策ソフトというのは、そのウイルス検出の方法で大まかに分けて
パターンマッチング(Pattern Matching)
Integrity Check(整合性チェック)
ヒューリスティックスキャン(Heuristics scan)
ビヘイビアブロッキング(Behavior blocking)

の4つに分類できるそうだ。
(参考ページ)ウイルス対策用語集

大抵の製品は組み合わせが多いのだが、実際の製品で当てはめると
Symantec AntiVirus(Mac版)、ClamXav
パターンマッチング(Pattern Matching)

Symantec Antivirus(Windows版)
パターンマッチング(Pattern Matching)とIntegrity Check(整合性チェック)の組み合わせ

AVGMcAfeeVirus Chaser
パターンマッチング(Pattern Matching)とヒューリスティックスキャン(Heuristics scan)の組み合わせ

Kaspersky
パターンマッチング(Pattern Matching)とヒューリスティックスキャン(Heuristics scan)と ビヘイビアブロッキング(Behavior blocking)の組み合わせ

という感じだろうか。

人に奨められてヒューリスティックスキャンの対策ソフトを試してみたいなと思っていた。
以前にも書いたと思うが、パターンマッチングに頼っている対策ソフトだと、新種のウイルスが出てきた時にパターンが間に合っていないうちは全く無防備だということになる。
世界中にシマンテックは普及しているにもかかわらず、ウイルス感染事故が耐えないのは新種の全く未知のウイルスに対する対策は難しいにも関わらず、実際には流行するのは主に新種の未知のウイルスだという現実があるからだ。

それで未知のウイルスでも、その攻撃方法のパターンでウイルスと認識できるヒューリスティックな構造を持つウイルス対策ソフトと組み合わせて使うのがやはり安全ということになる。
ヒューリスティックといってもさらに詳しく言えば
「スタティック」と「ダイナミック」
という種類があるのだそうだ。
スタティックは実行ファイルの機能を比較して、ウイルス特有の動作をするような構造になっているかを比較するのに対して、ダイナミックはメモリに仮想化環境を作ってそこで実際にウイルスを走らせてみて、問題を含んだ行動をするかどうかをチェックする技術だそうだ。

最近至る所で耳にするようになった仮想化技術がこんなところにも出てくる。
使われるのはSandboxというような仮想化環境で、ここでウイルスが活性化しても外のWindows環境などに影響が及ばないように隔離された環境だとのこと。

そういうウイルス対策ソフトを試してみたかったのだがMcAfeeは実効性がよくわからなかった。
今回は薦める人あってAVG AntiVirus Freeを試してみた。






AVG AntiVirus Freeのインストール手順を紹介する
インストーラを展開する





AVG AntiVirus Freeのインストールのタイプを選択
通常はデフォの「標準インストール」でいいと思う





インストール先の「Proglrams and Files」に
ディレクトリを作るかをご丁寧に聞いてくる
勿論「はい」で





ここでコンフリクトに関するアラートが出る
この環境ではSymantec Antivirusを先にインストールしていたが当然ながらこれが競合する
AVG AntiVirusをインストールする前にSymantec Antivirus
アンインストールしないとこれ以上進めない





Symantec Antivirusをアンインストールするが
「アンチウイルスクライアント」をいきなりアンインストールすると・・・





しばらくインストールするようなそぶりを見せるのだが・・・





結局100%の確率で失敗する





アンインストールは「シマンテックシステムセンター」からやらないといけない
クリックするとインストールウイザードが立ち上がる





その中にアンインストールのメニューがある
わかりにくいインターフェイスだ





やっとシマンテックをアンインストールしたところで
AVG AntiVirusのインストールの続きに取りかかる





インストールが完了してAVG AntiVirusを起動すると初回は設定を求められる
スケジュールアップデートとスケジュールスキャンの設定について聞かれるが
これはあとでも変更できるのでとりあえず適当な設定でよい





オプションではあるが発見した危険なサイトを自動的にAVG社に知らせるかの設定が続く
別に問題ないと思うが不安ならチェックを入れなくてもインストールに進める





これはブラウザに表示されるセキュリティツールバー(あとで詳述)の設定
このような製品アプリがフリーウエアで使える秘密はここでどうやらYahooがスポンサーらしい





ウイルス定義ファイルは古いままなので初回のアップデートをするように促される
ネットに繋がっている環境ならばためらわずにアップデートしよう





アップデート進行中のインターフェイス





以上で初回起動の設定は完了するが、設定はいずれも変更できる





私の場合デフォルトブラウザはFirefoxだが
そのアドオンという形で「セキュリティツールバー」がインストールされる





こういう感じで表示される
危険なサイトを感知する保護状況が常に表示される安心設計
ごみ箱アイコンからプルダウンでCookieも削除できる便利なツールバーだ
Yahooの検索が要らない感じだがスポンサー様のおかげでこういう製品ソフトが
フリーウエアで使えるわけだからせいぜいYahooも使ってあげてほしい





AVGのロゴからプルダウンでオプションで設定に入れる
セキュリティツールバーにはテーマも含めていろいろ設定も用意されている





セキュリティツールバーはアドオンなのでここで停止したり削除したりも可能





AVG AntiVirusの本体のインターフェイスはここから呼び出す
AVGのアイコンを右クリックするとUIの起動というメニューがある





これがトップの操作画面でそれぞれのメニューにはアイコンをクリックすることで入れる
シンプルなインターフェイスだが非常に多機能だ





「すぐにアップデート」でウイルス定義ファイルをアップデートし始める





ここでコンピュータ全域をスキャンする





肝心の結果だがテスト前にClamXavシマンテックでクリーンしているのにぞろぞろ出てきた





結局「スパイウエア」1、「警告」9
いずれも隔離された





スパイウエアと判定されたのはcloseapp.exe
判定名はHackToolBVK





VirusTotalで見ると約半数のソフトがこれをウイルスだと判定している
ただメジャーどころが軒並みこれを外しているのがビミョーなのだが





警告が出たのはTrackin cookie.Doubleclickなどどれも
DoubleClick社などがバラまいたweb履歴追跡型のCookie
これがスパイウエアか単なるトラッシュかは人によって意見が分かれるし
足跡を見られるだけだったらスパイウエアとは言えないかもしれない
しかしそういうものを一律に削除するというのがAVG AntiVirusの基本方針らしい
どのみちあっても何も益がないものなので削除されることに異存はない
またこの隔離フォルダはデフォルト設定では30日で自動的にカラになる





webに繋げない端末にこれをインストールして使う場合は
ファイルをダウンロードしてきてマニュアルでアップデートしないといけない
マニュアルアップデートはここから「ディレクトリからのアップデート」を選ぶ





参照ウインドウでアップデートファイルが
入っているフォルダを選択してアップデートを開始する





アップデートが完了するとこういう表示になる





常駐シールドはいわゆるオートプロテクトのようなものか





ヒューリスティックの泣き所は害がないファイルもウイルスとして警告してしまうことがある点
気にしなければいいのだが毎回スキャンの度に問題ないファイルにアラートを出されるのも煩わしい
そこで除外項目の設定が可能になっているが、何でもかんでも
除外していると本当の脅威に気がつかないこともある
ヒューリスティックを使う難しさはそういうところだ


2009 年 8 月 28 日




anchor

MSNのトップページからして・・・

先日導入したAVG AntiVirusのAVG Security Toolbarがいきなり「スパイウエア発見」のアラート。

ブラウザはInternet Explorerで、問題のサイトはMSNのポータルトップページだ。
勿論OSはWindowsXP。
すべてMSだ。
こういうのはどう考えたらいいのだろう。

発見された「スパイウエア」は
Tracking cookie Doubleclick
Tracking cookie 2o

の2つで、先日も少し触れたようにこれらのCookieモンスターは「スパイウエア」といえるかどうかは人によって意見が分かれるところで、確かにweb訪問履歴やIPアドレスを収集するという意味ではスパイウエア的ではあるが、悪質なスパイウエアとも断定しにくい。

しかしこれらのCookieを明確に「マルウエアだ」と言い切る人がいる以上、そういうものは少なくともMSのトップページからは排除するべきなんじゃないだろうか。

レピュテーションリスクというものがある。
そういうものにかつては全く無頓着だったMSも最近は「皆様に愛されるMSを目指したい」みたいな変貌ぶりで、逆にちょっと気持ち悪いというか、昔の悪徳企業だった頃のMSが好きだったのにと思うのだが。
しかし、そういうレピュテーションリスクを気にする企業になったのなら、こういうことには神経質になった方がいいんじゃないかと思った。

ものがどうでもいいCookieだから、がたがた言うほどのことでもないのだが。






WindowsXPでInternet Explorerを起動すると
いきなりAVG Security Toobarが「スパイウエアらしきもの」という警告を発した





問題のサイトはMSNのトップページだ
自民党の広告に問題があったか?・・・





ということではなくMSNのポータルテキストとアドセンス広告が問題あるCookieを含んでいた
「こんなものはスパイウエアとは言わん」という意見の人も多いが
「これは明確にマルウエアだ」という人もいるのだから少なくともポータルサイトの
トップページにいきなりというのは見直した方がいいんじゃないだろうか


2009 年 8 月 30 日




anchor

シマンテックのウイルス情報2題

シマンテックから久しぶりに立て続けにセキュリティレスポンスのプレスリリースが来た。
またシマンテックがやる気を出してくれたのなら嬉しい限りだ。
それはともかく、その内容をできるだけ速くお伝えしたいので、転載になるがあしからず。



無料オンライン映画ブログが、WindowsとMacにトロイの木馬を配布



インターネットに詳しいユーザーは、無料映画をオンライン上で検索して鑑賞していますが、 それらのユーザーは知らない間に悪意のある攻撃者の罠にはまっている可能性があります。
攻撃者は、公開された新作映画を活用して、マルウェアを配布する罠をしかけており、 WindowsとMacの両方のユーザーがこの攻撃を受ける危険性があります。

Symantec Security Responseで発見した内容としては、有名なウェブサイト上にブログを開設し、 ユーザーを騙しているのですが、実際マルウェアをホスティングする悪意のあるウェブサイトに リダイレクトされます。

ユーザーは、2009年4月に公開された映画「Obsessed」をオンライン上で無料で見るために、 「movie」、「free」、「video」、「online」、「watch」などのキーワードと映画名を一緒に検索する と考えます。例えば、“obsessed movie online free full video”という文で検索すると以下のような 検索結果が表示されます。

もし、ユーザーが最初の検索結果の中の一つのリンクをクリックすると、blogspot.com上に 掲載されたブログに誘導されます。

ユーザーが動画再生ウインドウのように見える画像を一度クリックすると、コーデックのダウンロードを 開始しますが、実はこれは偽のコーデックです。更なる調査により、blogspot.comは、複数の攻撃者が 似たようなブログを使って悪用していたことが判明しており、似たようなテンプレートが使われている ことを示唆しています。

例えば、以下の画像は、映画「InkHeart」をポストしたブログです。このブログは、上記のサンプルで 使われたテンプレートに似たものを使っており、マルウェアをホスティングしているウェブサイトにユーザーを リダイレクトします。これらのブログは、通常、様々な誘導先を使ってユーザーを悪質なサイトにリダイレクトし、 サイバー犯罪者が最終的にマルウェアを配布するサイトを継続的に変更することが可能になっています。

興味深いことに、ユーザーがリダイレクトされた悪意のあるサイトは、Windowsのみならず Mac OS向けにもマルウェアを配布しています。Windowsのブラウザエージェントには Windows OS向けのトロイの木馬を、MacのブラウザエージェントにはMac OS向けのトロイの木馬 を配布します。

上記の画像は、同じURLがInternet Explorer 8向けにWin32の実行ファイルを配信し、Mac OSが 使用されている場合にはSafari 4向けの.dmgファイルが配信されていることを示しています。

Symantecのアンチウイルス製品は、この脅威をウィンドウズ向けには「Trojan.Fakeavaler」及び Mac向けには「OSX.RSPlug.A」として検知します。Symantecのお客様は最新のアンチウイルス定義に 更新することで、この攻撃から保護されます。



ということなのでMacだから安心というわけではない。
これは以前ここでも紹介した「Macで利用できるコーデックをダウンロードさせる手口」のバリエーションだと思う。
気をつけていれば、問題ない気もするがこういうシロウト臭い手段にころりとだまされる人もいるから、こういう攻撃が奏功しているということなんだろう。

もうひとつ出ているセキュリティレスポンスのプレスリリースがこちら




Skypeの通話を録音するトロイの木馬

シマンテックの研究員は、SkypeのVoIPユーザーをターゲットとする トロイの木馬のソースコードが公に公開されていることを発見しました。
このトロイの木馬は、Skypeの通話を記録することが可能で、その 通話を記録したMP3ファイルを攻撃者に送信する機能をもっています。
これは、実質盗聴として機能しており、Skype電話の秘匿性を侵害 しています。

シマンテックにより、このトロイの木馬はTrojan.Peskyspyとして検知 されています。Eメール詐欺や他のソーシャルエンジニアリングの 手法などでユーザーを欺き、コンピュータにダウンロードさせます。
コンピュータがひとたび侵害を受けると、この脅威はコンピュータで 音声処理を行ない、通話データをMP3ファイルとして保存する アプリケーションを活用します。MP3ファイルはインターネットを 通じて、あらかじめ定義づけられたサーバに送られ、攻撃者は録音 された会話を聞くことが可能です。MP3ファイルとして通話を録音 することで、音声ファイルの容量を少なく保つことができます。
すなわちネットワーク上に送信されるデータ容量をより少なくする ことで、転送速度を速め、検出を避けることができます。

トロイの木馬は、予定されたアプリケーションの振る舞いを変更する ために使われるWindows APIのフックキングの技術をターゲットに しています。これは、マイクロソフトが音声アプリケーションによって 利用されることを意図したものです。コンピュータがこのトロイの 木馬に感染すると、フッキングの技術を通じて、会話はSkypeや 他の音声アプリケーションに届く前に盗聴されてしまいます。

シマンテックでは現在のところ、この脅威によって引き起こされる 危険性は低いとみています。初期の段階で拡散している証拠は 発見されていません。しかし、ソースコードが公開されているため、 マルウェアの作成者は、このような機能を、自分のカスタマイズした 脅威に組み込むことができます。シマンテックではユーザーに対して、 最新のセキュリティソフトのインストール、またはアップデートを 推奨しています。また、疑わしいEメールのリンクをクリックしない よう呼びかけています。


もともともSkypeは形態は電話に似ているが、通信そのものの秘匿性はメールなみで、これをタップされたからって「プライバシーの侵害だ」とわめくのもおかしな話で、それを録音するトロイの木馬が出ても、そういうリスクも込みで無料で使える電話として利用するべきだと思う。

本当に秘匿するべき通信はSkypeではなく電話でするべきで、洩れたって別にかまわないようなグリーティングのような会話をSkypeでやるべきだと思う。

そういってしまえばこれも大騒ぎするような話でもないとも言えるが、この話の肝はそういう部分ではなくて、こういう音声データの受け渡しのような結構システムの奥深いところのAPIまでタップしてしまうようなトロイの木馬がバラまかれているということだと思う。
Skypeが盗聴できるならもっと違うものを盗聴することだってできるかもしれない。
内蔵マイクや内蔵カメラだってタップできるかもしれない。
さらに言えばタップできるのはAVデータだけではないかもしれない。

キーロガーのようなこともできるかもしれないし、ファイルシステムイベントとかセキュリティログとかそういうところまで盗み見る技術に応用できるかもしれない。

そうだとすると「大して大騒ぎするような話ではない」なんて言ってられないかもしれない。

これ自体がどうこうよりも、今後の経過に要注意な警告だと思う。



2009 年 8 月 31 日




anchor

ハードディスクの空き容量を増やしてSafariFirefox・・・特にSafariを高速化するTips〜只今検証中なので安全性は保証しないよ

表題のとおりだ。

その方法は
~/Library/PubSub
の中身を削除するというもの。

これをすることで、およそ1GBのディスク容量を節約できた。

さらにビミョーではあるがSafariは確かに高速化したようだ。

ならばやってみても損はないようなTipsだがRSSが本当に完全に問題なく動くのかというところを、今検証しているところだ。
正直ちょっと不具合が出ているのだが、これが原因なのかどうかもよくわからないし、リカバーできるのかも含めて今検証していることなので、皆さんにお奨めしていいのかどうかは確信がないが、一定の効果はありそうなのでとりあえずお知らせする。
検証していく中で問題があるようなら、また記事をアップすると思うので「自分も試してみたい」という人は自己責任でお願いする。






ディスクの容量を圧迫する要因でSafariの表示を重くしている要因でもあるPubSub
その大きさは900MB、ファイル数は4万近くある
これの中味を削除するというTipsにトライしてみる





削除する直前には本当にファイル数4万、容量1GBに近づいていた
削除にもそれなりの時間がかかる





その結果ディスクの空き容量はきっかり1GB増えた





PubSubがからんでいるRSSの読み込みの方だが、問題なくできている様子だ





ただこれのせいなのかどうかRSSの全文配信がなぜか見出しのみで配信されてしまった





ただしそう見えるのはSafariだけの問題のようで
Firefoxで同じRSSを見るとちゃんと全文配信されているのがわかる
なぜこういう差が出るのかよくわからないし、この微妙な差のために
PubSubの削除が原因でこうなったのかどうか確信が持てない
いずれにしろ自分でRSSfeedをアップロードしない人には
関係ない話なのでこのTipsはお役に立つかもしれない






Previous  Index  Next



site statistics
あわせて読みたい



青木さやか