休暇の前の安全チェック

情報処理推進機構セキュリティセンター、IPAが夏期休暇の前のセキュリティ確認を呼びかけている。(ZDNet記事:夏休み前にセキュリティチェックを、IPAが対策リストを公開

お盆休みの悪夢といえば、2001年のCode Red IIが思い出される。その年の7月に蔓延したCode Redの亜種で、Code Redが欧米の対岸の火事と見ていた、日本でも、被害がでて、一般のニュースでも報道される騒ぎとなった。

弊社の顧客でも、夏休み明けに、会社に戻ったらいつまでたってもパソコンが立ち上がらないなど、数社で被害を受けた。

その当時とくらべ、PC利用者の意識も高まり、ウィルス対策ソフトの導入や更新、スキャンの必要性への認知も進んでいるが、相手の手口も巧妙になってきている。

仕事で利用するPCはできるだけ、アプリケーションの導入やプラグインの導入は避け、最低限の機能で動作させることが、障害の確率を下げる。本来、新しいアプリケーションを導入して、新技術にふれることがパソコンを利用する醍醐味であるが、ウィルスやマルウェアと呼ばれる悪意をもったプログラムがはびこる現状では、個人のパソコンで自宅で楽しむのがルールである。また、自宅から会社へファイルなどを持ち込まないことも大切である。

「休みには、仕事を忘れ、楽しめ」という啓示と思い、仕事は家に持ち帰らないのが、会社や自分のシステムを守る一番の近道である。

ソフトウェアの安全性

CNETに”「IE」に対する最新攻撃の原因、たった1つのタイプミス”という記事が掲載されていた。記事の内容は専門的であるが、要点は

なぜ、マイクロソフトのような大企業がミスを見逃したか?

と言うことにつきると思う。ソフトウェアの開発者でなくても、タイプミスは良く経験する事である。プログラム開発では、明かなタイプミスは、プログラムの検査プログラムが、指摘してくれる。問題は、「A」をキーボードのとなりの「S」と打ち間違えるようなミスではなく、意味がおかしくなるタイプミスである。プログラム開発以外では、読者の方も漢字変換でよく経験する事と思う。面白い例は漢検の変漢ミスコンテストにいろいろ掲載されている。コンピュータが判断できない良い例である。意味がおかしくても、日本語としては間違いが無く、いまのところコンピュータには判断できない。

したがって、間違い探しは、人海戦術となる。今回も、たまたま、研究者がみつけている。また、記事の中に書かれているように、今回のような間違いは開発体制が大規模でも発見できない。大規模なプログラムになれば、なるほど、複雑になるほど間違いの残る確率は多くなる。特にオープンソフトウェアや開発ツール、フレームワークなどでは、他者が開発したものを使用するが、まったくリスクが無い訳ではない。「小企業だから危険である」と「大企業は安全」はあまり意味がない。

結局、常にセキュリティ情報に目を通していることも大切だが、シンプルな処理を心がけることも大切である。その為には、要求を良く理解して、もっとも、簡素な処理を提案できることが必要である。

貴社の開発パートナーはいかがですか?あるいは、貴社の要求は微細すぎませんか?

2009年7月のDOS攻撃

6月26日に弊社と提携している複数のサーバー管理会社でそれぞれのセンターがDOS攻撃を被った。当日、画像データベースの最大手、ゲッティイメージでもメールサーバーも攻撃を受けた旨、通知を受け取った。
その後、情報処理推進機構の情報で6月にDOS攻撃が増えていた事がわかったが、それだけでは終わっていなかった。どうやら、次の攻撃の足がかりであったようだ。

翌週の7月4日には、米国と韓国で大規模なDOS攻撃が起こった。

貴社のサイトのサーバーは、問題ありませんでしたか?

ホームページの表示はどうにもなりませんが、メールだけでも通じるように、弊社では、Gmailをバックアップに使用しています。もちろん、自社ドメインでのメールのやりとりは攻撃中は行えませんが、攻撃前に送られたメールの閲覧やGmailでのアカウントで連絡をとることができます。また、自社のサーバー容量では実現できない、古いメールの長期保存も可能です。

内容が読まれると怖がる方も多いのですが、現在の通常のメールシステム自体、配信中は無防備です。また、読まれると言っても、コンピュータが解析しているだけで、現在は、キーワードを拾っているに過ぎません。ぜひ、検討してみてください。

クリックジャックまとめ

何度かこのブログでも取り上げた新しいインターネットの脅威、クリックジャック。キーマンズネットで図解入りでまとめられていたので、リンクを貼っておきます。

「クリックジャッキング」ってなんだ?!/キーマンズネット

特に図解で、フレームが重ねられ、不本意にボタンやリンクをクリックさせられてしまうのがよくわかります。また、今である対策についても、サーバー、サイト作成、ブラウザの観点からまとめられており、参考になると思います。

今後は、サーバーによる設定とブラウザの対応が進むであろうが、古いサーバーや更新されないブラウザは誇張でなく星の数ほど存在する。また、新しい攻撃手法も次々に開発される。ウェブ制作者としては、少なくとも、新しい手法の情報を常に入手し、できる限りの対応を取る必要があるだろう。

ホームページの掲示板

ホームページに掲示板を付けることは、初期のサイトにはよく見られた。これは、

サイトを作成→コメントをもとめる

と言う自然な流れであった。ある意味、Web2.0の大元である。しかし、現在、日本では掲示板と言えば、スパムによる書込、出会い系、学校裏サイトなど犯罪や暗い面がクローズアップされている。弊社では企業などのホームページに掲示板を設置することは勧めていない。どうしてもという場合はブログシステムの採用を勧めている。

それでも、まだ多くの掲示板が、個人サイトには設置されていたり、放置されている。その掲示板に脆弱性が見つかった。(CNET記事:CGI RESCUE製の電子掲示板にクロスサイトスクリプティングの脆弱性

CGI RESCUEのサイトには多くのフリーのプログラムが公開されていて、利用しているサイトも多く、影響は大きい。残念ながら、掲載されているプログラムは最新の脅威に対応できていなかった。しかし、これら、フリーソフトの作成者を一方的に責めることはできない。ソフトの採用を決定する責任はあくまで、サイト主催側にある。どういう目的のサイトかよく考え、闇雲に無料だからとフリーのプログラムの採用をするのは、危険である。企業サイトでは、フリーソフトの採用はあり得ないが、オープンソフトの採用でも、その制作者やプログラム自体を良く吟味する必要がある。

クリックジャック攻撃続報

CNETにこのブログでも良く取り上げている「クリックジャッキング」についての記事が掲載されていた。(CNET記事:不正操作を促す話題の攻撃手法「クリックジャッキング」、JPCERT/CCが対策法を公開

いままで、有効な対策法がない為、攻撃手法については詳しく述べられていなかった。記事から攻撃手法が広まっては本末転倒になってしまう。上記では、技術メモをPDF公開しているので、興味のある方はダウンロードして欲しい。(MacのPreviewではエラーとなるのでAcrobatReaderで試してください。)

要約すると

“クリックジャック攻撃続報” の続きを読む

無線LAN脆弱性

総務省が「一瞬で無線LANのWEPを解読する方法」が発見されたと言う報道を受け注意を呼びかけている。

もともと、脆弱性が指摘されていた無線LANは、最近、セキュリティの強化によって、安心感が高まり、広まっている。ゲームやPCを持ち運ぶ際にはやはり便利である。しかし、物理的に閉じていないネットワークは、外部から接続されてしまう。ネットワークのLANポートを公共の場所に作っておくようなものだ。そこに、ハッカーが接続したらと考えると、いくら暗号化でアクセスを防いでも、潜在的な危険は排除できない。

今回は、やはり、落とし穴があったかという感じがする。また、いくら、よりセキュリティの高い設定にせよと喚起されても、それに対応していない古い機器を使用している場合も多い。企業内では極力、無線LANの利用を避けるか、電波の漏洩に気をつけるのが得策である。家庭では、使用しないときは、ルーターの電源をきっておくしか、今のところ、有効な手段はないだろう。

クリックジャック対策とその後

先日、取り上げたクリックジャック、回避策が難しいために、実際の手法などが公表されていなかったが、もっとも影響をうけるフラッシュの対策をAdobeが発表した。新版は10月中にリリースされる。

クリックジャックの詳細も解説されているが、簡単に言えば、見ているページに透明な悪意のあるサイトが組み込まれ、本当のボタンやリンクをクリックすると、その下にある偽サイトのボタンもクリックすることになると言うものである。本人の知らないうちに、設定を変えたり、操作を行ってしまう。

前回あげた、対策の他、Adobeではフラッシュの「グローバルプライバシー設定」を「常に拒否」に設定することを推奨している。また、US-CERTで安全なブラウザの設定について詳細に説明してある。(英語だが、画面コピーが付いているので、参考になる。)

ホームページ制作でも、影響は大きい。フラッシュは動画としての利用のみ、iframeは利用しないなど制約がふえる。AJAXの普及でJavascriptの利用もふえているが、設定をOFFにするユーザーも多くなることを、考慮すべきである。

更新-Adobeがクリック対策を施したFlash Player 10を正式発表 “クリックジャック対策とその後” の続きを読む

パソコンリモート操作サービス

株式会社ドゥーイングがドロップシッピングサービスを展開する株式会社もしものユーザー支援として、『もしも電話相談室~パソコンリモート操作窓口~』をはじめた。

プレスリリースによると、”Web上でアイコンをワンクリックするだけ”でリモート操作許可できるというのである。何も知らないユーザーにはとても助かるサービスである一方、ウィルスなどに搭載さらたら大変である。

グーグルにはオーシャンブリッジ社のISLlightが広告を出している。どうやらVPN(仮想プライベートネットワーク)に似たものを構築するようである。セキュリティ面でも万全のようだ。これを使えば、かなり容易に、遠隔でサポートが可能である。

Web改ざん急増

このブログでも、何回かとりあげたが、いろいろな方面で、SQLインジェクションという方法によるWeb改ざんが急増していることが報告されている。今度は、セキュリティソリューションサービスの株式会社ラックがそのレポート、CSL(コンピュータセキュリティ研究所)レポート「ビジネス化がさらに加速するサイバー攻撃」のなかで、これらの脅威について発表している。

要約すると以下のようになる

  • グーグルの検索機能を使い脆弱性の有るサイトを見つけている
  • 一連の作業はプログラムで完全に自動化されている
  • SQLインジェクションを糸口に改ざんされる(データベースから公開されていないデータを取得する)
  • 改ざんされるとJavaScriptプログラムが埋め込まれ、重要情報などを盗まれる

最近弊社がチェックしたサイトも、データベースを操作される可能性を残していた。別のサイトではログインの部分ですらSQLインジェクションが可能であった。

攻撃は自動化されているので、自社のサイトは有名でないから大丈夫などと考えず、チェックを行って欲しい。チェックポイントとしては

  • データベースを使っていないか?
    ブログや問い合わせで使用していることがある。
  • 開発を依頼した検索、登録などのフォームにSQLインジェクションの脆弱性がないか
    IPAのホームページにツールがある。あるいは、開発を依頼した先とは別の所にチェックを依頼する。
  • アクセスログに異常なアクセスがないか?
    データ転送量が急に増えたり、作成していないページにアクセスがないか?

アクセスログはホームページの改善にも役立つので、ぜひ、チェックして欲しい。