無料のウィルス対策ソフト

マイクロソフトが、以前から話題になっていた無料のウィルス対策ソフトを公開することになった。(ZDNet記事:無料ウイルス対策ソフト「Microsoft Security Essential」、米国時間9月29日に公開へ

いままでも無料のウィルス対策ソフトはあったが、信頼性や性能で評価があがらず、あまり普及していない。今回は、本家本元マイクロソフトがだすもので、ブランドイメージは非常に高い。しかし、そもそも、ウィルスの多くは、市場で最も普及しているマイクロソフト製品のセキュリティ対策の漏れ、脆弱性をついているものであることを考えると、複雑である。

普及するか? - 初心者やライトユーザーには歓迎されるのだろう。既存メーカーは対抗策を出してくるだろう。しかし、ブランド対決ではかなり厳しい。いままでの既存顧客をはなさない戦略を展開してくるだろう。いずれにしてもユーザーにとってはうれしい。

リスクは? - ウィルスを防ぎきれないリスクは他のメーカーと同じである。OSのように脆弱性がないのか?これも、他のメーカーと同じだろう。

影響は? - Linuxなどもウィルス対策を行っているが、もっと強化されるだろう。しかし、リナックスの弱みは内容が公開されていることである。公開されていては、ウィルス作成側が対抗処置を考えついてしまうからである。

今後は、ウィルス的な挙動をするソフトを封じるという対策へ進んでいくだろう。

スケアウェア

最近、隆盛のネット広告にもマルウェアとよばれる悪意のあるソフトウェアが埋め込まれてそしまった。CNETの記事によるとあの有名新聞社、The New York Times のウェブサイトで起きたというのである。(CNET記事:ウェブ広告を利用したマルウェア感染の新手口–The New York Timesも被害に)

同社のサイトにアクセスすると、スケアウェアとよばれるソフトウェアによって、偽セキュリティ警告が表示され、不要な料金を詐取しようとしたのである。「スケア」とは驚かせるという意味の英語である。

このソフトは、なんと同社の広告配信システムを使って、サイトに埋め込まれてしまった。ウェブ広告は、広告主の作成した広告文や画像をホームページに表示させるものだが、最近では、動画など複雑なプログラムを組み込める可能性のあるものも増えてきている。文字広告なら使用されるのが文字に限定されるので、かなり厳しチェックが行えるが、画像や動画の中にプログラムを組み込まれると広告配信側もチェックが難しくなる。

とはいえ、ユーザーが安心してクリックしたり、広告をみられなくなれば、せっかく広まったウェブ広告も下火になってしまう。

いま、求められるのは次のような対応だ。

  • 広告配信会社は広告のセキュリティチェックを強化する
  • ウェブサイト主催者は信頼のおける広告配信会社だけを使用する
  • セキュリティソフト会社は危険なウェブ広告の検出ができるようにする
  • ユーザーは十分な対策がとられるまではスケアウェアなどに十分注意する

もし、貴社サイトがマルウェアの片棒を担げば、サイトや会社の信用はがた落ちである。ウェブ広告の利用には十分注意を払いたい。

ノートンの速度改善

セキュリティソフトで有名なSymantec社の「Norton」が速くなったと報じられている。(ZDNET記事:セキュリティソフトの「落とし穴」とパフォーマンスに対する悪評を払しょく

筆者とノートンの出会いは10年以上前になる。当時はMac用のパフォーマンス改善ソフトが主でウィルス対策もその一部と言った印象を受けた。ウィルス自体も多くなく、プログラム自体も小さかったのであろう。的確に不具合を修正し、快適な使用感を覚え、Windows版が発売されてからは、他のウィルス対策ソフトより、Nortonをお客様にも勧めていた。

しかし、数年前から、Windows系OSで、次の事が目立った。

  1. 導入する際に、非常に時間がかかる。特にネット接続が遅いと顕著。
  2. PC全体のパフォーマンスが落ちる

最新機種に導入する際はそれほどでもないが、数年程度古い機種では、非常に時間がかかる。4,5台の導入に1日かかってしまうこともあった。新しいバージョンでは、テレビでみた記者会見によると、性能の高くないネット端末と呼ばれる軽量パソコン、モバイル端末にも対応したと伝えていた。また、記事によると、1も2も改善したと言うが、「1はソフト本来の性能ではない。2は別のソフトが影響していた。」というSymantec社の主張には驚いた。

確実にウィルスに対抗してくれているという信頼感は薄れていないが、PCに対する脅威はメールからホームページなど経路が増加している。未知の脅威にも対抗できる技術を搭載したということなので、今後を見守りたい。

ウェブサイト攻撃が急増

独立行政法人情報処理推進機構が、ホームページへの不正侵入が増えていることを警告している。(ZDNET記事;SQLインジェクションによるウェブサイト攻撃が急増、IPAが対策を呼びかけ

SQLインジェクションなど聞いたこともなく、うちのサイトは関係ないなどと思っても、下記が当てはまれば、多少とも関係している可能性があるので、簡易検査を行って欲しい。

  • ブログ、CMSなどを使用している
  • ECシステムを利用している
  • 自前の製品検索を付けている
  • 問い合わせなどにデータベースを利用している
  • 最後が”.php”のページがある(動的なページがある)

システムについて、知識が無ければ、以下の事を行って欲しい。

  1. オープンシステムを使用している場合は、開発元のサイトを調べ、最新バージョンに更新を行う。
  2. 自社用に開発したのであれば、制作部門、制作会社に確認して、対策をとる。もし、対応が取れないようなら、プログラムの使用は控え、別の会社に対応を依頼するのが望ましい。

SQLインジェクションでは、顧客データの漏洩や、サーバーの機能が奪取されかねない。放置すれば、自社サイトだけでなく、サーバー管理会社やインターネット社会全体にも被害が広がる。対岸の火事と思わず、確認をしてほしい。

SQLインジェクションは非常に簡単に分かることがありますが、その方法は、ホームページで紹介されていません。悪用される恐れがあるからです。IPAの簡易検査が難しい場合は、ノーブに御連絡ください。簡単なテストであれば、無償で確認いたします。(問題がある場合は、はっきり分かりますが、簡単なテストが通っても、安全とは言い切れませんのでご了承ください。)

休暇の前の安全チェック

情報処理推進機構セキュリティセンター、IPAが夏期休暇の前のセキュリティ確認を呼びかけている。(ZDNet記事:夏休み前にセキュリティチェックを、IPAが対策リストを公開

お盆休みの悪夢といえば、2001年のCode Red IIが思い出される。その年の7月に蔓延したCode Redの亜種で、Code Redが欧米の対岸の火事と見ていた、日本でも、被害がでて、一般のニュースでも報道される騒ぎとなった。

弊社の顧客でも、夏休み明けに、会社に戻ったらいつまでたってもパソコンが立ち上がらないなど、数社で被害を受けた。

その当時とくらべ、PC利用者の意識も高まり、ウィルス対策ソフトの導入や更新、スキャンの必要性への認知も進んでいるが、相手の手口も巧妙になってきている。

仕事で利用するPCはできるだけ、アプリケーションの導入やプラグインの導入は避け、最低限の機能で動作させることが、障害の確率を下げる。本来、新しいアプリケーションを導入して、新技術にふれることがパソコンを利用する醍醐味であるが、ウィルスやマルウェアと呼ばれる悪意をもったプログラムがはびこる現状では、個人のパソコンで自宅で楽しむのがルールである。また、自宅から会社へファイルなどを持ち込まないことも大切である。

「休みには、仕事を忘れ、楽しめ」という啓示と思い、仕事は家に持ち帰らないのが、会社や自分のシステムを守る一番の近道である。

EC-CUBEは更新を!

いろいろなサイトで、EC-CUBEのバージョンアップを呼びかけている。(CNET記事:「EC-CUBE」の利用サイトは迅速なバージョンアップを

ECサイトが構築できるオープンソースのEC-CUBEは日本独特のニーズに対応していることが受けて、利用者も多い。そのEC-CUBEで入力欄に、特殊な文字を組み込むことで、最悪顧客データをとられてしまうなど、クロスサイトスクリプティングの脆弱性が昨年発覚している。開発元ではすでに、対策済みのバージョンを公開しているが、利用者サイドでプログラムの入替が進んでいない。

オープンソースのソフトウェアは、ライセンス料が不要で、自分の要求に変更も可能という利点も多い。しかし、市販ソフトウェアでも同様で、脆弱性などの危険性は完全に排除できない。一般的には、ソフトウェア開発会社が、ユーザーに注意を促すが、オープンソースを利用している場合、個人やデザイン専門会社などのために、プログラムのバージョンアップの対応がおろそかになりがちである。

オープンソースのプログラムも、ウィンドウズなどとまったく同じである。定期的にバージョンバップがなされ、発見された危険性を修正している。自社で、利用している場合は、こまめに、情報を入手して、適切な対応をして欲しい。脆弱性を悪用されれば、自社の信用を落とすばかりでなく、オープンソースソフトの開発元やネット自体に深刻な打撃を与えるかもしれない。自社で対応できない場合は、使用をやめるか、弊社のようなソフトウェアをあつかえる企業に相談して欲しい。

2009年7月のDOS攻撃

6月26日に弊社と提携している複数のサーバー管理会社でそれぞれのセンターがDOS攻撃を被った。当日、画像データベースの最大手、ゲッティイメージでもメールサーバーも攻撃を受けた旨、通知を受け取った。
その後、情報処理推進機構の情報で6月にDOS攻撃が増えていた事がわかったが、それだけでは終わっていなかった。どうやら、次の攻撃の足がかりであったようだ。

翌週の7月4日には、米国と韓国で大規模なDOS攻撃が起こった。

貴社のサイトのサーバーは、問題ありませんでしたか?

ホームページの表示はどうにもなりませんが、メールだけでも通じるように、弊社では、Gmailをバックアップに使用しています。もちろん、自社ドメインでのメールのやりとりは攻撃中は行えませんが、攻撃前に送られたメールの閲覧やGmailでのアカウントで連絡をとることができます。また、自社のサーバー容量では実現できない、古いメールの長期保存も可能です。

内容が読まれると怖がる方も多いのですが、現在の通常のメールシステム自体、配信中は無防備です。また、読まれると言っても、コンピュータが解析しているだけで、現在は、キーワードを拾っているに過ぎません。ぜひ、検討してみてください。

クリックジャックまとめ

何度かこのブログでも取り上げた新しいインターネットの脅威、クリックジャック。キーマンズネットで図解入りでまとめられていたので、リンクを貼っておきます。

「クリックジャッキング」ってなんだ?!/キーマンズネット

特に図解で、フレームが重ねられ、不本意にボタンやリンクをクリックさせられてしまうのがよくわかります。また、今である対策についても、サーバー、サイト作成、ブラウザの観点からまとめられており、参考になると思います。

今後は、サーバーによる設定とブラウザの対応が進むであろうが、古いサーバーや更新されないブラウザは誇張でなく星の数ほど存在する。また、新しい攻撃手法も次々に開発される。ウェブ制作者としては、少なくとも、新しい手法の情報を常に入手し、できる限りの対応を取る必要があるだろう。

ホームページの掲示板

ホームページに掲示板を付けることは、初期のサイトにはよく見られた。これは、

サイトを作成→コメントをもとめる

と言う自然な流れであった。ある意味、Web2.0の大元である。しかし、現在、日本では掲示板と言えば、スパムによる書込、出会い系、学校裏サイトなど犯罪や暗い面がクローズアップされている。弊社では企業などのホームページに掲示板を設置することは勧めていない。どうしてもという場合はブログシステムの採用を勧めている。

それでも、まだ多くの掲示板が、個人サイトには設置されていたり、放置されている。その掲示板に脆弱性が見つかった。(CNET記事:CGI RESCUE製の電子掲示板にクロスサイトスクリプティングの脆弱性

CGI RESCUEのサイトには多くのフリーのプログラムが公開されていて、利用しているサイトも多く、影響は大きい。残念ながら、掲載されているプログラムは最新の脅威に対応できていなかった。しかし、これら、フリーソフトの作成者を一方的に責めることはできない。ソフトの採用を決定する責任はあくまで、サイト主催側にある。どういう目的のサイトかよく考え、闇雲に無料だからとフリーのプログラムの採用をするのは、危険である。企業サイトでは、フリーソフトの採用はあり得ないが、オープンソフトの採用でも、その制作者やプログラム自体を良く吟味する必要がある。

CAPTCHA続報

スパムを防止するCAPTCHAが新しい技術開発を進めるかも知れないなどと考えていたが、もっと泥臭い話であった。(ZDnet記事:GoogleのCAPTCHA実験が的外れな理由

CAPTCHAは人間にしか解読できないような画像をみせて、その答えを入力させ、機械による自動登録を防止するシステムであるが、なんと、この記事によれば、画像の解読には、開発途上国のオペレータが人海戦術で解読を行っているというのである。人間が判断できる仕掛けは、解読されてしまうと言うのである。逆に、人間に、より易しくなれば、人海戦術はもっと効果を上げてしまう。

この記事では、人海戦術を仲介するシステムに大量の解読依頼をおくり、料金体系を壊してしまう対策が考えられるとしていたが、人間が行っているとなれば、対策は考えられる。 “CAPTCHA続報” の続きを読む