セキュリティ雑感

まだ下書きです。というか知り合いにレクチャーを頼まれたので、その原稿。

インターネット接続のリスク

過去のウイルスの時代から、感染は被害者となるだけではなく、それによって加害者になるということ。これは、感染PCからメールなどによりウイルスをまき散らすから、ということもあるがそれだけでは無い。

感染による最終的なリスク

メールウイルスの時代の前半は、犯人は「愉快犯」（アマチュア）だった。だから感染するとすぐに解る。また大量にウイルスメールをばらまく。
しかしそれは数年前より状況が大きく変化しており、犯人は「ビジネス」として真剣に取り組むようになっている。アマチュアからプロに変化した。
「ビジネス」として取り組んでいる以上、感染が知られてはそのPCは利用出来なくなる。従って感染してもそうとは気づかれないようにする。
そうして深く侵攻し、そのPCは犯人の「ビジネス」の手足として利用され続ける。

犯人の「ビジネス」は、もしもそこに金目のものがあれば、それを盗むこと。その中心は「情報」であり、盗まれる方からすれば重大な「情報漏洩」となり、場合によっては盗まれる方の「ビジネス」、場合によっては企業としての存続すら脅かされかねない事態となる。

インターネット接続による感染のリスク

ウイルスの犯人が「愉快犯」からプロの「ビジネス」となった段階では感染PCを作り出す手段は、メールだったが、そのメールによるウイルス拡散、感染PCの拡大は１～２年前よりあまり有効な手段とはならなくなってきた。
これはメールによる自動感染（開いただけで感染するとか）というセキュリティホールが無くなった　Windows やOutLook の浸透が大きい。ウイルス対策ソフトとの競争も犯人にとっては熾烈となり、PCからPCへとのんびり感染を広げるなどという牧歌的な感染手法は犯人のビジネスにとってはコストパフォーマンスが悪くなる。
そこで新種のウイルスを既に感染させて、乗っ取ってあるPC群（ボットネットと言う）から一気にウイルスメールをばらまくことにより、アンチウイルスなどかそれを検知してウイルス検出パターンを各PCに届ける前に仕事を済ませてしまおうというもの。

しかしそれも添付ファイルを開いて貰えなければ、感染にはつながらない。

犯人もプロである以上、より効率のよい方法へシフトして、コストパフォーマンスを上げようとする。
そして現在取られている方法が、ネット上のサイトに侵入してそこにウイルスを仕掛ける方法である。そしてその対象は昔のように怪しげなサイトではなく、極普通の、なるべく人の集まるサイトを狙う。
（今年発見された犯人側のツールには侵入可能なサイトをGoogle Page Rankでチェックし、一定のレベル以上のものを抽出する機能が付いていた）

従って、きちんとした法人のサイトだからといって安全とは言えなくなっている。海外の例では銀行や、マイクロソフト系ニュースサイト、政府関連サイトにまでしかけられている。

そうしたリスクが常に付きまとうため、とくに情報が漏洩しては大変なことになる企業などでは、なるべくリスクに接する機会を少なくする必要がある。

感染したときの被害

1台が陥落すると、そのLAN全体が危機に陥る。

最近準大手のサーバレンタル会社で１台のサーバが感染した。その結果、そのサーバレンタル会社にサイトを置いていたかなりのサイトが、外からアクセスすると表示されたページの中にウイルスが仕込まれていた。しかし、そのサイトのオーナーが自分が借りたサーバをチェックしてもウイルスは出てこない。実は侵入された１台のサーバが、そのLANのインターネットへの出口のルータ（？）のIPアドレスかMACアドレスかを名乗り、LAN上のスイッチに頻繁にそれを通知していた。その結果、WEBサーバが返すパケットは全てそこに送られ、その手先となった１台のサーバは他のサーバが出すパケットを盗聴して、そこでウイルスを付け加えるという加工をしていたらしい。

防衛手段

ウイルス対策ソフト

ウイルス対策ソフトはただの常識であり、入っていなければ話しにならない。
が、入っていればそれだけで安全かというとそうではない。
相手はプロなので武器（ウイルス）の作成を手作りでおこなったりはしない。数年前に比べればものすごい数の新種ウイルスがパラメタの変更だけでどんどん作られてくるし、難読化と言って暗号化に近い手法で、ウイルス対策ソフトの目を欺くことが行われる。

セキュリティホールを塞ぐ

MS製品ならWindows Update の自動化で済みとなるが、その他にもAdobe 関係などMS製品ではないためWindows Update だけでは済まないものもある。

最新バージョンのソフトを使う

Windows Update をやっていても、極希に犯人側が先にセキュリティホールを見つけることがある。これを使われたらWindows Update をやっていてもやられるが、そうしたセキュリティホールは新しい製品、バージョンほど少ない。例えばWindows2000 Office2000 などにはいまだにセキュリティホールが多い。また、同じセキュリティホールでも、Office2000 では「緊急」レベル、しかしOfficeXP や　2003 では「重要」レベルに下がる。この差は危険性では１０倍以上に相当する。
IE6 SP2 よりもIE7 の方が数倍安全である。

人間が危険性を自覚している

知らない相手からのメールの添付ファイルは開かない、なども常識のひとつだが、ブラックビジネスとの攻防戦は既に見たとおり、メールではない。
どこかのサイトを見ているとき「ダウンロードしますか？」「実行しますか？」「ここをクリックして実行してください」と突然出たら絶対に拒否することが現在は中心となる。
前述のOfficeで、XP以降ならそうした確認が出るが、2000 では特別にパッチを当てない限り、確認無しにダウンロード・実行されてしまうというのがもっとも解りやすい古いバージョンの問題点である。
しかし、せっかくバージョンが新しく、ちゃんと確認という形で警告が出ているにも関わらず、人間に注意力が欠落していて「はい」とやってしまえばせっかくの安全弁も元の黙阿弥である。

今回のWindows Updateには既にセロデイアタックに使用されたセキュリティホール（セキュリティ アドバイザリ：950627)対応が含まれています。この件です。『「Wordファイルを開くと被害の恐れ」――MS製品に新たな脆弱性』ITPro 2008/03/24

MS08-028  緊急　「Microsoft Jet Database Engine の脆弱性により、リモートでコードが実行される (950749)」です。現在知られている悪用は、Wordファイルに仕込んだもののようですので、それ自体はOfficeXP～Office2007までの人には「重要」れべるです。つまり勝手に開かれ、実行されるということはない。「開きますか？」と聞かれて、何の警戒心もなく開いてしまう、ということが無い限り大丈夫です。

とはいえ、それは現在発見されている攻撃手法についてであり、Jetなるものは別にWord用、Officeの一部、ということではないので、Ｏｆｆｉｃｅを持っていない人でも検出されるでしょうし、また塞いでおくべきものです。まあ、ともかく自動更新で全部当てていれば四の五のいうことはないのですが。ＭＳの日本のセキュリティチームBLOGにもMS08-028 のことが出ています。

おっ、ドリッパさんからコメントが、何々？　あっ、忘れてた。

すべてのサポートされているエディションの Windows XP Service Pack 3、Windows Server 2003 Service Pack 2、Windows Vista および Windows Server 2008 を実行しているコンピュータはこの脆弱性の影響を受けません。

Vistaはもちろん、ついこないだ出たXPのSP3に上げた人にはこのセキュリティホールはありません。

他の3件ですか？　内2件は「緊急」ですが、そうは言ってもWord 2000 で緊急なので、例によってそんなもん何の対策もなしに使っている方が悪い！　というのが2件。

あれ？　MS08-026「Microsoft Word の脆弱性により、リモートでコードが実行される (951207)」に異変が！　OfficeXP のOutlook は関係ないのに（または「重要」レベルなのに）安全性は高いはずのOfficw2007の OutLook が「緊急」レベルだって。なんじゃそりゃ！

対象とする2つのセキュリティホールの内、「オブジェクトの解析の脆弱性 - CVE-2008-1091」という方だけですが、なんか裏切られてようで、内心「金返せ！」と思いつつ詳細に見ていくと・・・。まあセオリー通りに「電子メールを経路とする攻撃からコンピュータを保護するために、電子メール メッセージをテキスト形式で読みとる」にしていれば関係ないようです。もちろんそうしています。ホッ。

お勧めのセキュリティ対策中級編を改訂しました。

縮めただけですけど。
まえからなんか長ったらしいと気になっていたので。

「ウイルス対策ソフトは何がいい？」をまた改訂しました。

いや、現時点で冗長となったところを尚しただけですが。

• いきさつ 
• その1　とりあえず１台インストール 
• その2　非力PC編 
• その3　動かしてみると 
• その4　非力ＰＣでも十分？ 
• その5　検出のログ 
• 総合的な防衛策の中では　 （ウイルス対策ソフトは何がいい？  ）

 

いきさつ

2006/08/21 にウイルス対策掲示板に123さんがこの記事を紹介してくれました。

『Windows Live OneCare』、提供開始後1か月で大躍進

Microsoft は現在、ベータテストに参加していた人々に対する優遇キャンペーンとして、初年度契約料19.95ドルでダウンロード提供中だ。OneCare は低価格に加え、最大3台までのパソコンで同サービスを利用できるライセンスが付くため、その割安感が牽引材料となったようだ。

定価でも年額49.95ドルで3台、ベータテストに参加すれば2千円台で3台まで使える？　参加しようかしらん♪

 MSの「Windows Live OneCare」、出だし好調--小売市場シェア15.4％獲得　2006/08/14

OneCareの平均実売価格は、Microsoftが提示した参考価格である49.95ドルを大幅に下回る29.67ドルだった。一方、Amazon.comでのオンライン販売価格はわずか19.99ドルとなっている。

日本ではどうなるんでしょうか？

そして10月17日　
セキュリティサービス「Windows Live OneCare」ベータ版が公開　

脳脂肪さんがいの一番でインストールし、

ファイル共有などは同じサブネット全てで有効になってしまうようです。
プログラム制御は「プログラムがファイアウォールによってブロックまたは許可された場合は通知する」にチェックしてありますが、ポップアップ表示してくれません。（汗
IE や Outlookは自動で接続できましたが、Firefoxは接続できないので手動で追加しました。・・・・デフォルト設定のまま使う方にはいいのかも（ヨイショ
フルスキャンに要した時間は1時間45分でした。
このPCをウイルスバスター2007でスキャンする時間とほぼ同じでした。

「重さはどうなんですかね」って私の質問に

「ムーミン」入れても重いとは思わなかったりしますのであてになりませんが
Firefoxを使いながらフルスキャンさせていてコミットチャージが360MB程度でした。
512MBのメモリ搭載機でしたら、それなりに動くのではないかと。
動作環境ですが、もともとWindows Defender でのスパイウェア監視、
IE7でのフィッシング対策を当てにしているようです。
Windows Live OneCare はそれらを統括するセキュリティセンターとして位置づけられているようです。　
　　
ファイアウォールのポップアップは添付画像に信頼するアプリケーションリストにないものは、左側の大きなポップアップで許可/ブロックの選択が必要です。
リストにあるものは右側の吹き出しで自動許可した旨知らせるのみです。
手持ちのアプリケーションで自動許可したものは、MSのアプリ以外では Ad-Aware SE / Spybot-S&D / SpywareBlaster　/　Autoruns / Adobe Acrobat / QuickTime Player / Real Player などでした。

とのこと、それを聞いて、と言うか、脳脂肪さんに唆されて、騙されて、とうとうWindows Live OneCare（v1.5）ベータ版 を真っさらXP-SP2にインストールしてしまいました。いや、いていざとなったら脳脂肪さんに聞けばいいやと安心して始めたのですが、脳脂肪さんはたった1日でアンインストールしてしまったのです。なんてこった！

で、プロユーザ向けレポートは他の方にお任せするとして私はじいちゃんばあちゃん娘ッ子に使わせる観点から

その1　とりあえず１台インストール

XP-SP2にインストールしたらIE7も入れろと怒られました。
しょうがないから入れました。
Windows Updateが済んでないぞとまた怒られました。
そんな訳無いんだけどなぁ、と思いつつ良く見たら、NETフレームワークとか言うのが。
これってIE7.0を入れたからでしょうか？　本家の（つまり常用の）XP-SP2ではこんなの出てきません。インストールが済んでからチューンアップ＋フルスキャンをやって、
再起動したら、右下のマークは緑のはずか黄色。
一瞬Live OneCareが停止しているのかと慌てて見たら・・・・
バックアップが済んでいないよと。
で、やってみました。そうしたら対象ファイルを洗い出しだって。初めは全部じゃないの？　なんか１０個ぐらいのファイルが洗い出されて総容量も小さく、何でそれらが選ばれたのか不明。まあともかくバックアップをしたらすぐに終わってマークは緑に。

そういえばこのＰＣ、Windows Defender Beta2 はインストールしていたはずなんだけど、消えてしまいました。インストールしていたはずと言うのが勘違い？　それとも吸収されてしまった？　どうやら吸収されてしまったようです。逆に言うとWindows Defender の機能も包含していて、むしろWindows Defender の方がLive OneCareの機能の一部を切り出しで無償提供したものと言うことになるのでしょうか。

しかしこれ「バックアップせんかい！」とか「Windows Updateが残ってるぞ！」とか、「チューニングもしましょうね♪」とかパパ・ママに怒られながら守られているみたいで、子供用には良いかも。と言うことは一般市民向けにも良いかもしれない。
まあ、あくまで防衛策の連携って観点からで、ウイルス対策ソフトとしての能力は知りませんが。

No2351で脳脂肪さんが

 今朝メールチェックしようとPCを起動したらチューンアップが自動で始まっちゃいました。
 電源を落とすわけにもいかずにそのままスキャンさせて家を出てきました。

とおっしゃっていた件ですが、私はもっと賢いつもりでスキャンはインストール直後に済ませておいたのです。ところが！　今朝になったらやっぱり動き初めて・・・・
毎日こんなの流されてはたまらんなぁ。やりすぎじゃないの？
しばらくして気がついたのはチューンアップの設定が「4週間間隔、木曜、1時」になっていたんですね。
この木曜というのはもしかしてインストールした翌日の曜日がセットされるんかしら？

と言うような感じで大体の流れは判ったので、もう一度別の非力PCに記録を取りながらインストールしてみることにしました。

続きはその2　非力PC編 へ

その2　非力PC編

今度は非力な６年半前のノートＰＣです。エプソンダイレクトのNT-1000
CPUはセレロン500MHZ メモリーは320MB ディスクは8.4GB
それをNTFSフォーマットしてそれにWindowsXP SP2 フルパッチのインストールしたてです。実は娘専用機を作っていたのですが、そこにWindows Live OneCare（v1.5）ベータ版 をインストールしてみました。

19:27

インストールが終わり起動、「状態：注意」で「IE7.0を入れろ」と言われます。
入れてみましょう。
インストール中のFP使用量　270MB

19:50

完了で再起動。「IEの個人情報を設定」なんて出ました。他にも・・
「Live OneCareの実行が必要な作業」なんて右下に出ました。
何かと思ったら「全てのユーザにフィッシング詐欺検出機能を有効にしてください」 と。この時点のFP使用量　182MB。

IE7.0は調べていなかったのでフィッシング詐欺検出機能てのが何なのかまだ知らないのですが、ともかく有効にしたら「Live OneCareの状態は良好」 になりました。
Live OneCareの画面には「プロテクトプラス」「パフォーマンスプラス」「バックアップと復元」があって「プロテクトプラス」 がウイルスとスパイウエアのスキャンです。
でもWindowsからインストール直後なのでこれは無視。
パフォーマンスプラスの「チューンナップ開始」をやってみます。この中に「不要ファイル削除」「ハードディスクの最適化」 ・・・・、あっ、ここにも「ウイルスや不要なソフトのスキャン」 があります。

実際にはこの後ほっぽっといて寝てしまっても良いのですが、このレポートのために観察してみます。

20:13

「ハードディスクの最適化」はＣドライブ8.6GBだけなのにまだ20%です。
この時点ののFP使用量　202MB、CPUはほとんど使っていません。
ディスクがちっちゃい、と言うのは物理的にちっちゃいんじゃなくて、トラック１回転当たりの容量が小さいってことで、全体を舐める時間は同じですからねぇ。
おっ、CPUが上がってきました。
と思ったら「ハードディスクの最適化」は終わって「ウイルスや不要なソフトのスキャン」 が開始していました。

20:23

スキャンの進捗は8%ぐらいです。この時点ののFP使用量　195-200MB。

20:27

進捗は14%ぐらい。
Live OneCareのタスクらしいMsMpEng.exe （FP`使用量33MB） はCPUの40-60%、ぐらいです。と思ったら15-30%ぐらいに下がってwinss.exeと言うのが10%前後使っています。
えっ、winss.exe？　同じ名前のexeをあるBOTも使うんですが「Windows OneCare Live」をインストールすると入る らしいです。
なんじゃかんじゃでCPUはトータル50-60%。

20:43

進捗は54% CPUは急に100%に張り付きました。
C\WINDOWS\Driver Cache\i386あたりをやっています。
あと20分ぐらいですかね。

21:08

と言う20分を過ぎたのにまだ83％でした。この時点のFP使用量　204MB

21:17

余所見をしていたらスキャンが終わっていました。
気が付いたら「バックアップが必要なファイルの確認」 を通り過ぎて、セキュリティ更新プログラムの確認です。

21:19

全て完了。

その3　動かしてみると

さて「レポートの表示」は？
うっ「不要なファイルの削除」は設定されていませんと。なんだよ、早く言ってよ、と「チューンナップ設定の変更」 を。
チューンアップの1項目「不要ファイルの削除」 はデフォルトではオフになっていますが、多分勝手に消す訳にはいかないと遠慮しているのでしょう。本人が承知しているのならこれはオンにしておいた方がよいと思います。

チューンアップの設定が「4週間間隔、金曜、1時」になっています。前回の別ＰＣでは木曜日でしたからやはりインストールした次の日深夜を起点としているようです。
「金曜、深夜1時」なら良いでしょう。いや人によります。
4週間間隔は1週間の設定に変更しました。理由は「お掃除好き」・・・・
だからではなくて、4週間に1回なんて忘れてしまって、ある日突然、それも毎月びっくりすることになりそうだからです。大体第一何曜日とかならまだしも４週間間隔では毎月少しずつずれていきます。毎週金曜日の夜とかなら「定例」として覚えていられますが。

とか思ったんだけど、フルスキャンってそんなに必要ですかねぇ。まあディスク上に実データの少ない初心者ユーザにはその方が安心ではあるんですけど、ヘビーユーザにはちょっとたまらない。4週間間隔って毎月少しづつずれて行くんですよねぇ。毎月第一金曜日とか、Windows Update の有った週とかにしてくれたら良いのにと思いますが。

しかしまだ「実行が必要な作業」があります。

その１，Windows Update 。
「さっきあんたやってたじゃない！」 と思わずブーたれたくなりますが、あれは有るかどうかを確認しただけで更新は自分でWindowsUpdateでやりなさいと言うことのようです。
それにしてもこれは「チューンアップの設定」 をやってからチューンアップの実行した方が良かったですね。

バックアップ対象ファイル

で、 「バックアップが必要なファイルの確認」でディスクをサーチして見つけてくれたファイルはなぁに？　と覗き込んでみたら・・・・
これは面白い。
「財務ファイル」 なんてこのＰＣにいつの間に入ったんだ？
要するにWindows以外のユーザファイルとおぼしきものをタイプ分けしてどれをバックアップするかを指定するようです。
例えば「OutlookとOutlookExpressファイル」「デスクトップとマイドキュメントファイル」「IEのお気に入り」 。これは良いですね。この３つ（４つ？）が救えればまあ普通の人は御の字でしょう。リカバリ基本編の範囲ですが。

その他「ドキュメントファイル」「音楽ファイル」「画像ファイル」「ビデオファイル」 、面白いのが「録画したテレビ番組」 、それに「財務ファイル」。これらはファイル種別で識別しているようです。
私は最初の３つ「OutlookとOutlookExpressファイル」「デスクトップとマイドキュメントファイル」「IEのお気に入り」 だけチェックを入れました。バックアップ先は外付けハードディスクです。

「リカバリ応用編」ベースの運用では複数のドライブを持って通常のユーザデータはＣドライブ以外に置きますが、そうは言っても「OutlookとOutlookExpressファイル」「IEのお気に入り」は通常Ｃドライブです。
それ以外のWindowsシステム関連なら月に1回、定例WindowsUpdateの後にでもバックアップがあれば十分です。外付けハードディスクを置いてバックアップするにしてもＣドライブ全体はそれなりに時間もかかるので毎日なんかやる気はしません。
「OutlookとOutlookExpressファイル」「IEのお気に入り」 だけなら容量も小さく、日次で別ドライブにバックアップすることもほんの一瞬です。それさえきめ細かくバックアップしてあればＣドライブの復元は何の躊躇もなくやることが出来ます。
しかし、このバックアップはＣドライブ全体なんて機能は無さそうなので別途用意することになりそうですが、そもそも応用編はそれが前提ですので。
その用意は別途済んだ上でこのLive OneCareのバックアップ機能をポイントを絞って重ねると簡単で効果的かと思います。

「リカバリ応用編」ベースではない普通の人が通常データを置くのは「デスクトップとマイドキュメントファイル」でしょう。ＰＣの使用頻度にもよりますが、一般のホームユースなら週に1回CDなどに書き出しておけば相当に気が楽になると思います。
でも外付けUSBディスクを買った方が思いっきり楽なんですがね。

チューンアップ（全体はえらい時間がかかる）とバックアップは別に指定できます。
要するにチューンアップは毎週１回でも、バックアップは毎日とか指定出来るのですが、その指定画面で「開始時刻(T):」 が多分日本語化で巾が変わった為でしょうか、時刻設定の「時」の部分を上書きしてしまって何時か見えません。
まあ、日本語版はまだベータ版ですから。

実際に使ってみました

と言ってもお遊びサイトを表示しただけですが。
デッカイ画像がべたべたと１０枚ぐらい有るページでも私の本家PC（５万円のDELL、セレロン2.4MHz）と使用感はそれほど変わりません。
WordやExcelを使うと遅いでしょうがそれはCPUが500HMzですからね。

ファイアウォールはXP SP2標準のものより強化されていて、内部から外に出て行こうとするものを監視しています。と言うことはプログラム毎にこれは良い、これはダメ（ってことは変なものに入りこまれたと言うことですが）と認定してやる必要はあります。説明のためにログを出しますが、判断を聞いてくる画面はこんなに細かい情報は出しません。（脳脂肪さんが出してくれた画像サンプルはこちら）

以下の要求がブロックされました。
	完全なアプリケーション パス:	C:\Program Files\FFFTP\FFFTP.exe
	バージョン:	Unknown
	ローカル コンピュータ:	192.168.0.5:1131
		64.99.99.99:21
	プロトコル名:	TCP
	プロトコル番号:	6
	トラフィックの方向:	送信

これはHPを更新するために私が起動したFTPソフトですが、そんなことはファイアウォールは知らないのでブロックして「これどうする？」と聞いてきます。
「そりゃ、俺が動かしたんだよ」と許可すると「ポリシーで "更新済み"」となって次回からは何も言われません。まあそれだけです。

アプリケーション:
	完全なパス:	C:\Program Files\FFFTP\FFFTP.exe
	アプリケーション名:	FFFTP.exe
	製品名:	FFFTP
	製品の説明:	FFFTP
	バージョン:	1.92.1.0
	会社:
	発行元:
	署名済み:	False
	種類:	Catalog
	一覧:	Internet
	元の場所:	Prompt
	ハッシュ:	C872E029C20FC7729921326F1956316339782E91
	ポリシーで "更新済み":

ただしやみ雲に「許可」しては何にもなりませんからちゃんと確認する必要はあります。

乱暴なことをやってみました

Live OneCareが定例のチューンナップ直前にAcronis TrueImageでバックアップを走らせたんです。数分後にLive OneCareが定例のチューンナップ開始です。
一瞬MsMpEng.exe は30%ぐらいCPUを使いましたがすぐに0%に。TrueImageは30%から80%使っています。100%にならないのは他のプロセスではなくて遅いディスクのI/O待ちでしょう。FP使用量は最初270MBぐらいでしたが後半は230%です。
TrueImageのバックアップは予想時間を５割程度オーバーしましたがその程度。
バックアップ終了後にMsMpEng.exe は30-60%ぐらいCPUを使い初めました。
確かにチューンナップはバックグラウンドで動いているようです。
しばらくするとMsMpEng.exe が100%に、その最中に画像一杯ページを開いてみました。普通に開きます。非力ＰＣでもインターネット参照だけなら「重たい」感は無いですね。

チューンナップはいつ終わるか解らないのでそのままほっといて寝ました。

その4　非力ＰＣでも十分？

翌朝、チューンナップは正常に完了したと。
でも右下のLive OneCareのマークが黄色になっているので、クリックしたらWindows Update をやれと言われました。言われるままにWindows Update をクリック。
しかし、起動直後はえらい重いですね。Live OneCareを入れなくともそうですが。
FP使用量が　320を越えていたような。CPUは100%近くに張り付き。

ところでWindows Update ですが、GDI+検出ツールとOfficeXP SP3でした。
GDI+検出ツールなんてありましたねぇ、結構大騒動になったやつです。懐かしいなぁ。
で、更新しようとしたら「失敗」。ゲゲー！　の大事件発生です。まさかそんなと狼狽しまくって良く見たら・・・・
「問題：自動更新により更新プログラムを現在インストール中です」
だって。何それ！　と思っているうちにWindows Update の例の黄色い盾マークが出てきました。それをクリックしたら「インストールの準備が出来ました」と。「更新」をクリックしたらあっさり終わりました。
何これ！　同じWindows Updateなのに自動更新と手動更新が競合するなんて！
散々時間を使わせて「失敗！」なんて出すんじゃなくて「自動更新やってる最中だから手動更新はやらないで良いよ」と言ってくれるとか「手動更新やってる最中だから自動更新は止めよう」 と自分で判断するとかすりゃぁいいじゃねえか。
「手動更新」と言ったって私が自分で決意したんじゃなくてLive OneCareに「やれ！」 と言われたから言われた通りに素直にやっただけだぜ。
Windows UpdateとLive OneCareでよ～く話し合うように。そんな身内の内輪もめをエンドユーザのところにまで持って来るんじゃありません！（怒）
て思いません？

Office2000インストール後　XPにアップグレード、そしてSP3 その後のOffice関係のパッチを全て当て終わった段階で、実ディスクでは8.41GBの内空き3.13GB、使用5.28GB、FP使用量は177MBです。
Live OneCareのタスクらしいMsMpEng.exe はメモリ使用量25MBぐらいです。MsMpEng.exeはWindowsDefenderをインストールすると現れるプロセスだそうですがWindowsDefenderはLive OneCareのサブセットと言うことなんでしょう。

もう１台の真っさらXP機（DELL GX260 Pentium4 2.40GHz 512MB）にLive OneCareうをインストールしたものも見てみましょう。他にはなにも動いていません。
FP使用量は202MB、MsMpEng.exe はメモリ使用量31MBでちょっと違いますね。

本家ＰＣ（DELL D2400 Celeron 2.40GHz 512MB ）では？
現在McAfeeのファイアウォール無し2006年版ですが、プロセスはMcShield.exeと言うのがそうでしょうか？　シーンとしている状態でFP使用量は250MB、McShield.exeはFP使用量26MBです。（McAfeeは2007ではFP使用量が100MBを越えるようですが）
しかしＰＣ起動直後からタスクマネージャを開いて見ていたら、McAfee起動直後は200MB以下、その後ノートンSystemWorks関係（アンチウイルス含まず）Officeタスクバー（ジャストシステムの）などが立ち上がった結果が250MBでした。
それにしても、昔から軽いと言われるMcAfeeのそれもファイアウォール無しと比べて使用感は有意差無しに見えます。McAfeeが今でも軽い部類に入るならＭＳのこれも軽いのかも。別なマシンなので「かも？」ぐらいですが、実際に「非力ＰＣ」でもインターネットを見ている分にはストレスは全く無いです。

その5　検出のログ

ところが・・・・・
こちらは非力機でななくてPen4 2.4GHz機の方ですが、定例チューンナップでウイルスのサーチをやって変な物を見つけて「常に無視」なんて処理をしてくれたのは良いけど。　「どこで」ってのが何処にも表示されない。
もうひとつ大変なことを見つけました。その後何回かチューンナップをかけた後、問題が発見された「前々回スキャンレポート」「前回スキャンレポートの表示」は有るのですが、その前が見られません。
つまりもう１回スキャンをしたらその前に何を見つけたのかすら解らなくなってしまいました。　なんなんですかこれは。私はものすごい見落としをやっているんでしょうか？　おや？　

既知のウイルスに感染しているファイルが見つかった場合，該当ファイルは隔離される。隔離ファイルを確認する場合は・・・・

う～ん、ものすごい見落としをやっていたようです。ちなみに記事は日本語版が出る前の英語版によっているので「・・・」以下は現在こうなっています。

1. [よく使う機能] の下の [OneCare 設定の変更] をクリック
2.[ウイルスとスパイウェア] タブで、[詳細設定] の [検疫ファイル] をクリック

更にログの方は別件のついでに問い合わせてみると・・・・

「過去の検出記録を確認したい」というご質問について、ご説明いたします。OneCare ベータには、サポート ログを作成する機能がございます。このサポートログにて、OneCare で行った動作について情報を確認することができます。
以下に、サポート ログを作成する方法をご案内いたします。お手数ではございますが、お試しくださいますようお願い申し上げます。
　
サポート ログを作成する
~~~~~~~~~~~~~~~~~~~~
1. タスクバーの右側の通知領域に表示されている OneCare のアイコンをダブル クリックします。
2. OneCare ベータのメイン画面が表示されましたら、[よく使う機能] の下の [OneCare 設定の変更] をクリックします。
3. [ログ] タブをクリックし、[サポート ログの作成] をクリックします。
4. Internet Explorer が自動的に起動し、サポート ログが表示されます。

マイクロソフトさん、ごめんなさい。m(_ _)m

問題を起こす可能性のあるソフトウェアや不要な可能性のあるソフトウェアが検出されました
脅威名:	EICAR_Test_File
検出日時:	2006/11/27 21:00
ファイル名:	C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\TFCH39FK\eicar[1].com
脅威の重大度:	重大
脅威のカテゴリ:	ウイルス
ウイルスとスパイウェアの監視によって検出された、不要な可能性のあるソフトウェア:	(ANTIVIRUS_ONACCESS_INFECTED)
脅威の状態:	検出済み

ところで、冒頭の「常に無視」ですが、下記の「そのファイルはブロックされ」なのでしょうか。

感染ファイルを検出して管理する
 ウイルスに感染している可能性があるファイルが Windows Live OneCare Beta で検出されると、そのファイルはブロックされ、ウイルスの除去を試みるかどうかを確認するダイアログ ボックスが表示されます。感染ファイルからウイルスを除去できない場合、そのファイルはブロックされたままになります。感染ファイルは検疫 (感染した可能性のあるファイルのプロパティを変更する方法。コンピュータに問題を起こす可能性のある処理が実行されるのを防ぎます。) されることもあります。

しかしこの「そのファイルはブロックされ」は「検疫」とは違うようで、どういう状態なのか私には良く解りません。他のウイルス対策ソフトでは聞きませんねぇ。まあこれはヤクザなつぶやきなんで、ともかく善良な市民を守れれば良いのですが。

続きはこちら　総合的な防衛策の中では　 （ウイルス対策ソフトは何がいい？  ）

2007.9.18 改訂

イントロと目次

初級編を合格された皆さん、おめでとう御座います。いよいよ中級編・アドバンスコースの始まりです。ここではパソコン技術なんかほっといて「心の病」「心の健康」がテーマです。だから誰でも合格できます。頑張ってください。

1. 中級編の目的は 
2. 悪人どもの正体は？ 
3. Web ベースの攻撃 
4. インターネットの詐欺師は何処に 
5. 詐欺師の手口「フィッシング詐欺」 
6. インターネットの泥棒・スパイウエア

1.中級編の目的は

初級編合格までは

なんかウイルスとかあるらしいしぃ～、GANちゃんが「そんなこともやっとらんのか！」　なんて怒るしぃ～。しょうがないからセキュリティセンターってのがみんな青になるようにしとこっと。

でも良いです。でも中級編まできたらそれではダメです。
「どういう危険があるから何に気を付ける」と言うことを頭の片隅においておくことが中級編の目的なのです。

ウイルスメールで言えばPCのセキュリティホールなんかあてにしていません。そんなものあてにしなくとも口先だけで引っかかるやつは沢山居ることを悪人達は知っていると言う訳です。
あの手この手で罠を仕掛けて、餌を置き、そこに獲物を誘い込もうとします。ウイルスメールは添付ファイルさえクリックしなければ感染なんかしません。なのに感染者は沢山います。少なくとも悪人どもがペイする程度には。

この場合ウイルスの引き金を引いているのは感染者本人。セキュリティホールは人間の心の中と言うことになります。このセキュリティホールだけはいくらWindows Updateを「自動更新」にしても塞げません。

中級編のポイントはこの人間のセキュリティホールを塞ぐことです。

その為にはインターネットにどういう危険があるのかを意識することです。難しいことではありません。

2．悪人どもの正体は？

昔は愉快犯でした。セキュリティホールを突いてみせるとか、爆発的に感染を広げる手法で「どんなもんだい」って訳です。相手は愉快でもこちらはえらい迷惑な話ですが。捕まった犯人には結構高校生が多かったですね。

そこに本職の極道参入。悪ガキどもが遊んで居たところへ本職の極道やマフィアがやってきて、遊んでいるだけの悪ガキは隅っこに追いやられてしまったと言う訳です。

敵の手法が「騙し」　（かっこ良く言うとソーシャルハッキング）に変わったのはWindowsXPの浸透で簡単に突けるセキュリティホールが少なくなったと言うこともありますが、詐欺師、泥棒がこの世界に参入してきたことが一番大きな原因でしょう。彼らはその道（詐欺、泥棒）のプロです。

それと同時に感染症状も変わりました。感染者にギャッ！と言わせたり、PCを使えなくさせてオロオロさせて喜ぶのは愉快犯です。

詐欺師や泥棒はそんなことして気づかれたら元も子もありません。はっきり言えばそんなことしたって「金にならない」のです。目的はあくまで金。だからそのPCから金になるものを盗むか、または金稼ぎにそのPCを使えるように乗っ取るかです。後者を操作出来るロボットをもじってボットネットと呼びます。

3．Web ベースの攻撃

ウイルスメールもあるにはありますが少なくなりました。それよりWEB系の攻撃ですね。
とはいえ今時ウイルス対策ソフトがあれば防げるもの、Windows Update さえやっていれば防げるものが大半です。

しかしまだまだWindows Updateで塞げていないセキュリティホールを突かれると言うものもあります。それを突いた攻撃をゼロディアタックと言いますが、今年の4月以降でマイクロソフトのアドバイザリに見えるゼロディアタックは10件、及びその可能性の高かったものは2件ありました。

遭遇する可能性は確かに低いので初級編ではこの問題は無視しましたが、ここは中級編・アドバンスコースです。ちょっとマイクロソフト セキュリティ アドバイザリ (927892) を覗いてみましょう。あっ、今ではMS06-071で更新されましたが。「問題を緩和する要素」の冒頭にはこうあります。

Web ベースの攻撃のシナリオで、この脆弱性が悪用されるには、その悪用を意図した Web ページを含む Web サイトをホストすることが攻撃者にとっての必要条件となります。
攻撃者は、悪意のある Web サイトにユーザーを強制的に訪問させることはできません。 その代わり、通常、ユーザーに攻撃者の Web サイトへのリンクをクリックさせ、その Web サイトにユーザーを誘導することが攻撃者にとっての必要条件となります。

「攻撃者は、悪意のある Web サイトにユーザーを強制的に訪問させることはできません。」ってのは確かにそうです。メールを使うのはそこへの誘導が中心になりました。

4．インターネットの詐欺師は何処に

ここで相手はどういう人間なのか考えてみましょう。そう詐欺師と泥棒です。メインは詐欺師ですね。

詐欺師が狙うのは「欲にかられた人間」で、その欲は「色と金」が代表選手です。
昔多かったのは海外のHサイト。美容関係的な医療関係サイトや、歌手やスターのファンサイトを装ったものも多いようです。　「詐欺師が狙うのは欲と弱み」ですね。いつの世もこれは変わりません。

もっとも最近はそれだけでは無くなってきましたが、そうは言っても、傾向としてそういう先には危険が一杯と知っておくのは無駄なことではありません。

5．詐欺師の手口「フィッシング詐欺」

インターネット界の詐欺師の手口のひとつを「フィッシング詐欺」と言います。例えばこんなかたちで。

銀行から金曜日にこんなメールが来ました。

金融庁のお達しにより架空口座の調査をしています。
このメールを受け取ったのがご本人様であればすぐに「ここ」をクリックして、ほんもの銀行の確認ページでIDとパスワードを入力して本人確認を行ってください。金曜日までに本人確認の出来なかった口座は犯罪組織のマネーロンダリングに使用されている疑いがあるため、口座残高は金融庁に接収されますのでご注意ください。

さあ、貴方ならどうします？　金曜日って今日ですよ。慌てて入力したらこうなります。三井住友銀行の簡単!やさしいセキュリティ教室　は解りやすくすとても勉強になりますね。

でも100％記憶してどんなときでも間違えないと言えるのはなかなか難しいです。それに三井住友銀行以外もちゃんとこうなのか私には良く解りません。そこでもうちょっとポイントを絞って、これを読んでください。

　「フィッシング詐欺サイトを見分けるポイント」　これはトレンド の「セキュリティ教室」のひとつです。ちゃんと読んでから貴方の「だまされレベル」をチェックしてみましょう　。怪しいものを本当かどうか確認する方法は、知っていて損することはありません。
もしもどこかのインターネットバンキングをお使いならば、そこのログイン画面で上記のサイトに書かれているチェックをやってみましょう。
実は私は使っていないのでGoogleで検索して　みずほダイレクトのページを見つけました。実際にやってみる意味は使うブラウザによって見方がちょっと違うのです。だから自分が良く使うブラウザでどこを見ればよいかを予め知っておく必要があります。複数のブラウザをお持ちなら見比べてみると面白いですよ。

• あれ？　Sleipner1.66だと鍵マークが見つかりません、何処にあるのでしょう。
• Opera はアドレスバーの隣（中の右）が黄色くなって鍵マークとMizho Bank.Ltd(JP)って出てますね。これは安心。
• FireFox はアドレスバー全体が黄色くなって右側に鍵マークがついてます。
• IE7.0 だとアドレスバーの右側に鍵マークについてます。

2006.11.11現在では「簡単!やさしいセキュリティ教室」　も　「フィッシング詐欺サイトを見分けるポイント」もIE6.0 で例を作っていますのでこれからは変わりますね。予め知っていれは慌てることがなくなります。

が、もっと簡単な方法があります。

と言うか確認方法も大事ですがもっと大事なのはこちらだと思います。これだけ知っていればなんとか、ですよね。これはUFJカードのサイトに書いてあったのですが。

弊社および、国際ブランド（ＶＩＳＡ、ＭａｓｔｅｒＣａｒｄ、ＪＣＢ等）が、
お客様のカード番号、有効期限、暗証番号などお客様の重要なカード情報をＥメールでお伺いすることは一切ございません。
万一、このような電子メールを受信されましても、メールに記載されたアドレスにアクセスしたり、アクセス先のホームページにカード番号・有効期限・暗証番号などを入力なさらないようご注意ください。

銀行やカード会社じゃなくてもそうです。ついでに

マイクロソフトやメールサーバがセキュリティパッチをメールで送るなんてことは絶対にありません。

そりゃウイルスです。

こういうことをいくつか知っていて自分にブレーキが掛けられれば十分中級です。怪しくないかい？　と思うことが大切です。

更に普遍的なのは

欲に目をくらませて、冷静な判断力を失わせる。
慌てさせて冷静に考える暇を与えない。

これは詐欺師の常套手段、定石です。インターネットだけではなく何でもそうです。
そういう台詞、文言が出てきたらまず「怪しいかも」と思いましょう。それから慎重に本当かどうかを考えれば良いのです。
不思議なのは実社会、つまり街角のキャッチセールスなんかには引っかからない人でもインターネット上だと簡単に引っかかるんですよねぇ。何でですかね？

6．インターネットの泥棒・スパイウエア

さて、詐欺師の次は泥棒です。インターネットの世界では「泥棒」のことを格好良く「スパイウエア」と呼びます。でも要するに泥棒です。
家に入り込む人間の泥棒は留守の間に忍び込んで盗るものを盗ったらおさらばしますが、厄介なことにインターネットの泥棒は天井裏か床下にいつまでも居座って、貴方がお金や貯金通帳を何処にしまうかジィ～ッと盗み見ています。貴方がもしも若い女性なら、お風呂場だって覗き見られているかもしれません。うらやましい、じゃなかった、気持ち悪いですねぇ。不気味ですねぇ。

しかしこいつ、既に侵入したやつを退治するのはなかなか難しい。申し訳ないのですが私の手には負えません。でも入れてやらなきゃいいんです。こちらの方がずっと簡単！

トレンドマイクロのサイトに「セキュリティ教室：スパイウエア講座」ってのがありました。
これは勉強になります。ちょっと覗いてみましょう。「case1：メールを通して侵入する手口」にはこうあります。

メールを、すべて信じない。添付ファイルをむやみに開かない。常に最新のセキュリティ対策ソフトを活用する。

そう言えば最近Officeのゼロディアタック、つまりパッチの出ていないセキュリティホールを狙った攻撃が有名になりました。そのセキュリティホールMS06-048は2006.08.09に Windows Update で解消されましたが、「問題を緩和する要素」にはこうありました。

Outlook 2002 および Outlook 2003 で、この脆弱性が電子メールを介し自動的に悪用されることはないと思われます。この脆弱性が悪用されるには、ユーザーが添付ファイルをクリックし、次に警告を確認し、[開く] を受け入れることが攻撃者にとっての必要条件となります。
注: Office 2000 製品は、ドキュメントを開く際に、[開く]、[保存] または [キャンセル] の確認を行いません。

このセキュリティホールの危険性はOffice 2000 では最大級の「緊急」ですが、OfficeXP とかOffice 2003 では「重要」に格下げされていました。
その理由は上にあるとおり「OfficeXP以上は警告が出るから気が付くでしょ！」と言うものです。
ここでひとつだけ技術的なお話。
出来るだけ最新のバージョンを使うことも重要な防衛策です。
とは言えOfficeは高い。もしもOffice 2000を使い続けている場合、「Office ファイルを開くときに確認するツールをインストールしておけば、Office 2000 製品でも上記の[開く]、[保存] または [キャンセル] の確認を行うように、つまり安全になります。

でもそれって人間が注意を払うための一呼吸があるよと言うことで、何も考えずに「開く」をクリックしたら、折角安全性が高いはずの最新Office2007を使っていたって猫に小判、豚に真珠、GANに大吟醸みたいなもんですね。

トレンドマイクロの「セキュリティ教室：スパイウエア講座」も最後をこう結んでいます。

スパイウエアから身を守るには、ユーザ自身の心がけが欠かせない
ユーザ自身がスパイウェアやセキュリティに対する意識を持つことが、一番の対応策です。インターネットライフを快適に楽しむためにも、スパイウェアの脅威を認識して、日頃から気をつけましょう。

冒頭に述べた「人間のセキュリティホールを塞ぐこと」と同じですね。スパイウエアだけでなく、全てのインターネット上の危険全てに言えることです。

• はじめに
• アドバイザリ12件のサマリ
• 問題を緩和する要素・回避策を類型化すると
• 問題を緩和する要素・回避策の記述詳細

2006年4月以降11/07現在でWindows UpdateにはMS06-013からMS06-065まで53件のセキュリティ更新プログラムがあります。

同じ期間でセキュリティ更新プログラムリリースまでに悪用が開始された所謂ゼロディアタック、またはその可能性が極めて高いためにマイクロソフトが回避策などを公表したアドバイザリは12件あり、この内10件がゼロディアタック、残り2件は検証用コードが一般に公開されるなど、その脆弱性を悪用た攻撃の可能性が高かったものです。

単純計算では約8割はWindows Update さえちゃんとやっていれば危険に曝されることは無いと言うことになりますが、ここでは残り2割の「マイクロソフト セキュリティ アドバイザリ」を見ていくことにします。と言ってもセキュリティホールの技術的内容を読んでも私には何のことだか解りませんのでどういう状態であったら「問題が緩和」あるいは「回避」出来たのかに絞ります。

そうすると「問題を緩和する要素」「回避策」に書かれていることはほんの数パターンの繰り返しであることに気がつきます。

以下にその12件のサマリとリンクを出しておきます。尚、「マイクロソフト セキュリティ アドバイザリ」はその件に関するパッチがリリースされた時点でそのパッチ詳細情報へのリンクに変わります。まだパッチが出ていないのは直近２件だけです。

「問題を緩和する要素:Ｗｅｂ　問題を緩和する要素: 制限付きサイトゾーン　　回避策：Ｗｅｂ」の様に書いた部分が先の「ほんの数パターン」と言う部分です。それについては最後にまとめて個々にはリンクを貼っておきますが、実際に「マイクロソフト セキュリティ アドバイザリ」のリンク先で実物を見比べて頂くとより理解できると思います。

　

アドバイザリ12件のサマリ

マイクロソフト セキュリティ アドバイザリ (927892)

XML コアサービスの脆弱性により、リモートでコードが実行される 2006/11/04　

ゼロディアタック

対象はMicrosoft XML Core Services 4.0をインストールしている人だけのようです。

問題を緩和する要素:Ｗｅｂ　問題を緩和する要素: 制限付きサイトゾーン　　
回避策：Ｗｅｂ　

マイクロソフト セキュリティ アドバイザリ (927709)

Visual Studio 2005 の脆弱性により、リモートでコードが実行される
公開日: 2006年11月1日

検証用コード
検証用コードが一般に公開されていることを認識しており、この報告された脆弱性を悪用しようとする限定的な攻撃の可能性を認識

問題を緩和する要素:Ｗｅｂ　問題を緩和する要素: 制限付きサイトゾーン　　
回避策：Ｗｅｂ　

もうひとつの問題を緩和する要素は余計なことをしていなければ大丈夫と言うことでしょうか？

既定で、この ActiveX コントロールは Internet Explorer 7 の ActiveX に対する既定の許可リストに含まれていません。ActiveX のオプトイン機能を使用して、このコントロールを実行することを明示的に許可したお客様のみが、脆弱性の悪用の影響を受ける可能性があります。

Visual Studio 2005をお持ちの方は確認された方が良いかと。

マイクロソフト セキュリティ アドバイザリ (926043)

Windows シェルの脆弱性により、リモートでコードが実行される
公開日: 2006年9月29日

ゼロディアタック
2006/10/03: アドバイザリを更新し、限定的な攻撃を行うために、この脆弱性の悪用が試行された Web サイトを確認

雑感：「WebViewFolderIcon ActiveXの脆弱性」 の件

Windows Explorer の脆弱性により、リモートでコードが実行される (923191)(MS06-057) 公開日: 2006年10月11日

問題を緩和する要素:Ｗｅｂ　回避策：Ｗｅｂ　

マイクロソフト セキュリティ アドバイザリ (925984)

Microsoft PowerPoint の脆弱性により、リモートでコードが実行される
公開日: 2006年9月28日

ゼロディアタック
PowerPointを狙ったゼロデイ攻撃は「スピア攻撃」の可能性大  2006.09.28

Microsoft PowerPoint の脆弱性により、リモートでコードが実行される (924163) (MS06-058)
公開日: 2006年10月11日

問題を緩和する要素：Ｏｆｆｉｃｅ系　回避策 - Ｏｆｆｉｃｅ系
「緊急」であるのはOffice2000の場合だけです。

マイクロソフト セキュリティ アドバイザリ (925568)

Vector Markup Language の脆弱性により、リモートでコードが実行される
公開日: 2006年9月20日 悪用

ゼロディアタック
5867: ゼロデイ：Microsoft Internet ExplorerにおけるVMLコード実行の脆弱性を悪用したウイルス 投稿: 2006 9/20 (水) 00:01
スパイウェア、ボット、ルートキット……各種マルウェアの蔓延を許したIEのセキュリティホール 2006.09.20

Vector Markup Language の脆弱性により、リモートでコードが実行される (925486) (MS06-055)
公開日: 2006年9月27日

問題を緩和する要素:Ｗｅｂ　問題を緩和する要素: 制限付きサイトゾーン　
問題を緩和する要素：テキスト表示　　
回避策：Ｗｅｂ　　回避策 - テキスト表示

マイクロソフト セキュリティ アドバイザリ (925444)

Microsoft DirectAnimation パスの ActiveX コントロールの脆弱性により、リモートでコードが実行される　公開日: 2006年9月15日 攻撃も認識

ゼロディアタック
IEにパッチ未公開のセキュリティ・ホール，検証コードも公表　2006/09/14
2006/09/28: このアドバイザリを更新し、この脆弱性を悪用しようとする限定的な攻撃についてお知らせしました。

問題を緩和する要素:Ｗｅｂ　問題を緩和する要素: 制限付きサイトゾーン　
回避策：Ｗｅｂ　

マイクロソフト セキュリティ アドバイザリ (925059)

Microsoft Word の脆弱性により、リモートでコードが実行される　公開日: 2006年9月7日

Microsoft Word の脆弱性により、リモートでコードが実行される (924554) (MS06-060)　公開日: 2006年10月11日

ゼロディアタック
CVE-2006-4534は脆弱性悪用
この脆弱性は一般に知られていました。この脆弱性が悪用されたという報告を受けていました。

問題を緩和する要素：Ｏｆｆｉｃｅ系　回避策 - Ｏｆｆｉｃｅ系
「緊急」であるのはOffice2000の場合だけです。

マイクロソフト セキュリティ アドバイザリ (923762)

HTTP1.1 プロトコルと圧縮を使用する長い URL のサイトにより、Internet Explorer 6 Service Pack 1 が予期せず終了する
公開日: 2006年8月23日 | 最終更新日: 2006年8月25日

これは出したパッチに不具合とセキュリティホールがあって、修正したから当てなおしてくれと言う他とはちょっと違ったアドバイザリです。

マイクロソフトは 8 月 23 日 （水） にマイクロソフト セキュリティ情報 MS06-042を再リリースすることをお知らせしました。しかし、最終テストで発見された問題のため、マイクロソフトは 2006 年 8 月 23 日には MS06-042 を再リリースすることができませんでした。2006 年 8 月 25 日、マイクロソフトは Internet Explorer 6 Service Pack 1 用の改訂版の更新プログラムが、広範囲に配布されるにあたり、適切なレベルを満たすことを確認するためのテストを完了しました。
2006 年 8 月 23 日、また、マイクロソフトはこの脆弱性が悪用される可能性があるという内容の公開された通知を認識しました。マイクロソフトはこの脆弱性の調査を完了し、この脆弱性に関する情報を追加し、さらに Internet Explorer Service Pack 1 用の改訂版の更新プログラムが利用可能となったことをお知らせするためにマイクロソフト セキュリティ情報 MS06-042 を更新しました。

このときの不具合は、このパッチを適用したWindows 2000 SP4あるいはWindows XP SP1上のIEで，HTTP 1.1プロトコルと圧縮を使っているWebサイトにアクセスすると，IEが不正終了してしまうと言うものですが、Windows 2000 SP4／XP SP1以外つまりWindowsXP SP2になっているはずの「V2初級編合格者」は影響を受けません。
その時点で私は「関係無いね」と追跡を止めたのですが、その後「脆弱性が悪用される可能性があるという内容の公開された通知を認識」と言う事態に。

ただしこれはHOTFIX島田さん　によると

• これはバッファ・オーバーランの脆弱性
• MS06-042の古い修正プログラムを適用したIE6 SP1が影響を受ける
• 攻撃者は、リモートで任意のコードを実行できる
• 攻撃が成功するには、ユーザーがローカルにログオンしている必要がある
• 攻撃に成功した場合、攻撃者はローカルにログオンしているユーザーと同じ権限を得る
• 実証コードや攻撃例はまだ確認されていない

とのことですのでやはりWindowsXP SP2には関係ありませんし「ローカルにログオンしている必要がある」と言う時点で外部からの攻撃には使えません。パッチがセキュリティホールを生んでしまったと言うとんでもない話しに仰天はしましたが、結果は事実上の危険性はありませんでした。

ただし、問題のパッチは非常にやっかいなセキュリティホールを含んでいるのでこれも今回の対象にします。

(918899) (MS06-042)　公開日: 2006年8月9日 | 最終更新日: 2006年9月13日

---

Internet Explorer 用の累積的なセキュリティ更新プログラム

Internet Explorer が特定のレイアウトの配置をされた HTML を解釈する方法にリモートでコードが実行される脆弱性が存在します。攻撃者は、ユーザーが Web サイトを表示した場合にリモートでコードが実行される可能性のある特別な細工がされた Web ページを作成することにより、この脆弱性を悪用する可能性があります。攻撃者によりこの脆弱性が悪用された場合、影響を受けるコンピュータが完全に制御される可能性があります。

雑感：MS06-042 IEの累積パッチ

「HTML のレイアウトおよび配置のメモリ破損の脆弱性」の問題を緩和する要素 - CVE-2006-3450:　XP-SP2でも緊急　他はXP-SP1以前のみ緊急

問題を緩和する要素:Ｗｅｂ　問題を緩和する要素: 制限付きサイトゾーン　
問題を緩和する要素：テキスト表示　　
回避策：Ｗｅｂ　　回避策 - テキスト表示

注: この脆弱性がアクティブ スクリプトのない場合に悪用される可能性は否定できず、また、アクティブ スクリプトを使用することで、悪用される可能性が非常に高くなります。そのため、Windows Server 2003 上でも、この脆弱性の深刻度が「緊急」と評価されました。

IE「高」でも出し抜かれるかもしれないと言う非常にまれな例です。

マイクロソフト セキュリティ アドバイザリ (922437)

Server サービスに影響を及ぼす公開された悪用コード　公開日: 2006年8月12日 |

Server サービスの脆弱性により、リモートでコードが実行される (921883) (MS06-040)　公開日: 2006年8月9日 | 最終更新日: 2006年9月13日

ゼロディアタック
セキュリティ情報のリリース時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていました。

問題を緩和する要素 はファイアウォールです。どのプラットフォームでも「緊急」ですが、しかし「初級編」合格の人ならこれでやられることはありません。

ファイアウォールによる最善策および標準のファイアウォールの既定の構成により、ネットワーク境界の外部から行われる攻撃を防ぎ、ネットワークを保護することができます。

マイクロソフト セキュリティ アドバイザリ (922970)

Microsoft PowerPoint の脆弱性により、リモートでコードが実行される　公開日: 2006年7月18日

ゼロディアタック
今度はPowerPointにパッチ未公開のセキュリティ・ホール，攻撃ファイルを確認　2006/07/14

Microsoft Office の脆弱性により、リモートでコードが実行される (922968) (MS06-048)　公開日: 2006年8月9日 | 最終更新日: 2006年10月26日

問題を緩和する要素：Ｏｆｆｉｃｅ系　回避策 - Ｏｆｆｉｃｅ系
「緊急」であるのはOffice2000の場合だけです。

マイクロソフト セキュリティ アドバイザリ (921365)

Excel の脆弱性により、リモートでコードが実行される　公開日: 2006年6月20日 | 最終更新日: 2006年7月12日

Microsoft Excel の脆弱性により、リモートでコードが実行される (917285) (MS06-037)　公開日: 2006年7月12日 | 最終更新日: 2006年7月13日

ゼロディアタック
このセキュリティ情報の公開時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていました。

問題を緩和する要素：Ｏｆｆｉｃｅ系　回避策 - Ｏｆｆｉｃｅ系
「緊急」であるのはOffice2000の場合だけです。

マイクロソフト セキュリティ アドバイザリ (919637)

Microsoft Word の脆弱性により、リモートでコードが実行される　公開日: 2006年5月23日 | 最終更新日: 2006年6月14日

ゼロディアタック　
Wordの脆弱性突いた新たなゼロデイ攻撃　2006年05月20日
「Word」にゼロデイ脆弱性--すでに日本政府機関が被害に  2006.5.22

Microsoft Word の脆弱性により、リモートでコードが実行される (917336) (MS06-027)　公開日: 2006年6月14日 | 最終更新日: 2006年7月13日

問題を緩和する要素：Ｏｆｆｉｃｅ系　回避策 - Ｏｆｆｉｃｅ系
「緊急」であるのはOffice2000の場合だけです。

問題を緩和する要素・回避策を類型化すると

結局のところ「問題を緩和する要素」も「回避策」もたったこれだけです。（カッコ内は出現数）

• 問題を緩和する要素:Ｗｅｂ（6）　　回避策：Ｗｅｂ（6）　　
• 問題を緩和する要素: 制限付きサイトゾーン（5）　　
• 問題を緩和する要素：Office系（4）　　　回避策 - Office系（4）　
• 問題を緩和する要素：テキスト表示（3）　　　回避策 - テキスト表示（2）　
• 問題を緩和する要素：ファイアウォール（1）

このうち、「問題を緩和する要素: 制限付きサイトゾーン」はHTMLメールを用いた攻撃の場合ですが「初級編合格」なら問題はありません。Windows Update さえきちんとやっていれば、たとえWindows98であってもOutlook Expressは6.0SP1になっています。Office2000を使っていたってOffice 2000 SP3アップデート はとっくに済んでいるはずです。つまり昔の「Outlook2000 SR-1 アップデート: 電子メール セキュリティ 」のセキュリティ強化は済んでいて、HTMLメールは「制限付きサイトゾーン」で開かれます。

「ファイアウォール」も「V2初級編」の話ですね。ここに来る前に済みです。

「問題を緩和する要素：Office系」「回避策 - Office系」も・・・・、おっと、Office2000の場合はOfficeUpdateをやってるだけではダメですね。Office2000の場合だけ「最大深刻度 : 緊急」と言うゼロディアタックが10件の内5件、半分を占めました。2006年度に限定して言えば、ここが最大の弱点です。がOfficeXP以降の人にはあまり関係はありません。
Office 2000 の人は 「Office ファイルを開くときに確認するツール」をインストールすることによってOffice文書を開く前に、[開く]、[保存] または [キャンセル] の確認が行われるようする必要があります。

「問題を緩和する要素：テキスト表示」「回避策 - テキスト表示」、これはメールでの攻撃の場合だけですが攻撃の回避に役立ちます。「V2初級偏」には含めませんでしたが「V2中級編」ではぜひお勧めします。問題はセキュリティホールだけではありませんので。

最後に残るのは「問題を緩和する要素:Ｗｅｂ（6）」「回避策：Ｗｅｂ（6）」です。

これが悩ましいところですね。悩ましいと言うのは出来ないと言うことではなく「V2中級編」の範囲に含むのはつらいと言うものです。これはやはり「上級編」の課題としましょう。

すると、セキュリティホール対応の面から見た「V2中級編」の追加項目は、　

Office 2000 の人は 「Office ファイルを開くときに確認するツール」をインストールすることによってOffice文書を開く前に、[開く]、[保存] または [キャンセル] の確認が行われるようする。

メールを受信するときにはHTMLメールも「テキスト表示」にする。
それがOutLookで出来る人はOffice2003以降。それ以外の人はOutlook Expressは6.0SP2でと言うことになります。それ以外のメーラーですか？　そういうのを探しまわって設定をするような人は「中級」かなぁ？　スキルとしてはもっと上じゃないですか？
まあOutlook Express6.0SP1やOutlook2002以降と同等の「添付ファイル制限」があるなら良いです。どれがそうなのか私は調べていませんが。

　

問題を緩和する要素・回避策の記述詳細

問題を緩和する要素:Ｗｅｂ

• Web ベースの攻撃のシナリオで、この脆弱性が悪用されるには、その悪用を意図した Web ページを含む Web サイトをホストすることが攻撃者にとっての必要条件となります。 攻撃者は、悪意のある Web サイトにユーザーを強制的に訪問させることはできません。 その代わり、通常、ユーザーに攻撃者の Web サイトへのリンクをクリックさせ、その Web サイトにユーザーを誘導することが攻撃者にとっての必要条件となります。
• 攻撃者がこの脆弱性の悪用に成功した場合は、ログオンしているユーザーと同じ権限が攻撃者に取得される可能性があります。 コンピュータでユーザー権限が低い設定のアカウントを持つユーザーは、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
• 既定で、Windows Server 2003 上の Internet Explorer は、「セキュリティ強化の構成」 (英語情報)と呼ばれる制限されたモードで実行されます。このモードでは、ActiveX および アクティブ スクリプトが既定で無効にされるために、この脆弱性が緩和されます。

問題を緩和する要素: 制限付きサイト ゾーン　

• 制限付きサイト ゾーンは、HTML 形式の電子メール メッセージの読み取りが行なわれる場合、アクティブ スクリプトが使用されないようにすることにより、この脆弱性を悪用しようとする攻撃を削減する手助けとなります。 しかし、ユーザーが電子メール メッセージ内のリンクをクリックする場合、Web ベースの攻撃のシナリオによるこの問題の影響を依然として受ける可能性があります。
• 既定で、Microsoft Outlook Express 6、Outlook 2002 および Outlook 2003 は、HTML 形式の電子メール メッセージを制限付きサイト ゾーンで開きます。 また、Outlook 98 および Outlook 2000 は、Outlook 電子メール セキュリティ更新プログラム がインストールされている場合、HTML 形式の電子メール メッセージを制限付きサイト ゾーンで開きます。Outlook Express 5.5 Service Pack 2 は、MS04-018 がインストールされている場合、HTML 形式の電子メール メッセージを制限付きサイト ゾーンで開きます。

回避策：Ｗｅｂ

• （問題の有った特定の） ActiveX コントロール が Internet Explorer で実行されないようにする。主にKill Bit をレジストリのコントロールに設定
• インターネットおよびローカル イントラネット ゾーンの設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよびアクティブ スクリプトを実行する前にダイアログを表示する
• Internet Explorer をインターネットおよびイントラネットゾーンで ActiveX コントロールが実行される前にダイアログを表示するように構成する、またはActiveX コントロールを無効にするよう構成する
• Web サイトを信頼される Web サイトのみに制限する

別パターン：以下のような別パターンもありますが、内容的に同じなので同一とみなします。

• （問題の有った特定の） ActiveX コントロール が Internet Explorer で実行されないようにする。主にKill Bit をレジストリのコントロールに設定
• Internet Explorer をインターネットおよびイントラネット ゾーンで アクティブ スクリプトが実行される前にダイアログを表示するように構成する、または アクティブ スクリプトを無効にするよう構成する
• Internet Explorer をインターネットおよびローカル イントラネット ゾーンで ActiveX コントロールが実行される前にダイアログを表示するように構成する、または ActiveX コントロールを無効にするよう構成する
• インターネットおよびローカル イントラネット ゾーンの設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよびアクティブ スクリプトを実行する前にダイアログを表示する

　問題を緩和する要素：Ｏｆｆｉｃｅ系

• Web ベースの攻撃のシナリオでは、この脆弱性の悪用を意図した** （Officeファイル）が含まれる Web サイトをホストしていることが攻撃者にとっての必要条件となります。さらに、侵害された Web サイトおよびユーザーに提供されたコンテンツを受け入れる、またはホストする Web サイトはこの脆弱性を悪用する可能性のある特別な細工のされたコンテンツを含む可能性があります。攻撃者は、悪意のある Web サイトにユーザーを強制的に訪問させることはできません。その代わり、通常、ユーザーに自分のサイトに接続するリンクをクリックさせ、その Web サイトにユーザーを誘導することが攻撃者にとっての必要条件となります。
• この脆弱性は、電子メールを介して、自動的に悪用されることはありません。ユーザーが電子メール メッセージで送信された添付ファイルを開かない限り、攻撃は行われません。
• Office 2000 用の Office ファイルを開くときに確認するツールをインストールおよび使用しているお客様には、文書を開く前に、[開く]、[保存] または [キャンセル] の確認が行われます。 Office ファイルを開くときに確認するツールの機能は Office XP および Office 2003 に組み込まれています。

回避策 - Ｏｆｆｉｃｅ系

• 信頼できない、または信頼できるソースから予期せず受け取った ** （Officeファイル）を開いたり、保存したりしない

問題を緩和する要素：テキスト表示

• この脆弱性が悪用される電子メール ベースの攻撃で、電子メールをテキスト形式で読み取っているお客様については、この脆弱性による危険は低いです。その代わり、この脆弱性が悪用されるには、ユーザーにリンクをクリックさせ悪意のある Web サイトに誘導するか、または脆弱性が悪用される可能性のある添付ファイルを表示させることが攻撃者にとっての必要条件となります。
• 既定で、Windows Server 2003 上の Internet Explorer は、「セキュリティ強化の構成」 と呼ばれる制限されたモードで実行されます。このモードは Outlook Express について電子メールによるこの脆弱性の悪用を緩和します。この理由は電子メール メッセージをテキスト形式で読み取ることは Outlook Express の既定の構成であるためです。

回避策 - テキスト表示

• HTML 形式の電子メールを経路とする攻撃からコンピュータを保護するために、Outlook 2002 またはそれ以降のバージョン、および Outlook Express 6 Service Pack 1 またはそれ以降のバージョンを使用している場合、電子メール メッセージをテキスト形式で表示するよう設定する。

「お勧めのセキュリティ対策 V2 中級編」と言うより、上級者へ向けた中級編の根拠の説明、またはテーマの模索、自分の頭の整理の為に書いています。「初級」合格者に見せられるレベルではありません。
「お勧めのセキュリティ対策 V2 中級編」は後から結論だけをまとめようと思います。尚、本人は下書きのつもりですので当面はしょっちゅう書き換えるかもしれません。

1. ウイルス対策前史
2. 猛威を振るったダイレクトアクション
3. 実は出そろっていた防衛策 
4. HTMLメールのテキスト表示 
5. WEBサイトからもOfficeファイルで攻撃が？
6. 制限付きサイト 
7. 制限される添付ファイル 
8. 「緊急」もOfficeXP、2003では格下げに
9. 中級編のテーマは？

前提

まずOutlook ExpressとOutlookを区別して考えましょう。Outlook ExpressはInternet Explorer(IE)とワンセットの標準装備品です。だから誰でも持っています。

Outlook はWord やExcel と同じ様にOfficeの一部で有料の商品です。

1. ウイルス対策前史・NIMDA

ウイルスメールNIMDAの発見日は 2001/09/18　です。もう５年も前になったんですね。会社関係がウイルスで大騒ぎになったのはこのNIMDAが最初で大手企業もこれにやられて、あるいはその対策の為にオフィスからインターネットを切断して駆除ツールをインストールしてまわっていたようです。

メールのプレビューは危険と言われだしたのもこれから。
当時はウイルスなんかに関心を持っていた人間なんてほとんど居ませんでしたから、メールを見ただけで感染する、そればかりかメールなんか受け取らないWEBサーバまで何故か感染するなんて、それはもう悪魔の仕業みたいに思えたのでしょう。その呪縛は今も続いています。いや、敵の攻撃の中にではなく防衛側の心理に。

しかし当時でも冷静に調査すれば単に防衛体制が全くのダメダメだったと言うだけのことでした。

まず、私の勤務先でNIMDAの第一報が入ったときにはノートンは対応済みでしたから当時はコンピュータメーカーを含む大手企業までがウイルス対策ソフトを入れていなかったってことですね。NIMDAのおかげで大企業のIT部門はウイルス対策ソフトの予算を認めてもらえるようになりました。そんな時代です。

次にメールのプレビューは危険と言われだしたその原因は、NIMDAが Internet Explorer の既知の脆弱性 「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)」を突いて、HTMLメールを開いたときに添付ファイルを実行、つまりそのPCで感染活動を実行したことによるものです。（ダイレクトアクションと言います）

2. 猛威を振るったダイレクトアクション

何が原因だったのかと言うとIEの脆弱性です。IEとOEはワンセット、Outlook ExpressがHTMLメールを開くときに使っている部品はIEです。そのIEの脆弱性は既知の脆弱性でした。その穴を塞ぐパッチが公開されたのは2001/3/30です。
あれ？って思いません？　もういちどNIMDAの発見日を見てください 2001/09/18 です。つまり、半年も前に出ていたパッチを当てていなかっただけです。決して黒魔術でもゼロディ攻撃だった訳でもありません。

NIMDAはWEBサーバも攻撃しましたがそれは IIS の脆弱性 「Web サーバー フォルダへの侵入」 (MS00-078)　を突いたものでした。その脆弱性を修正するパッチMS00-078が出たのなんて2000/10/20。つまりほとんど１年前です。１年前や半年前のセキュリティパッチをほっぽっていたら悪人が先に使ってしまったと言うだけのことです。

NIMDAの被害は社会問題と言えるほど広がったのでマイクロソフトをヒステリックに非難・罵倒する人が沢山出てきましたがそれを見ていて私は少しマイクロソフトに同情しましたね。Outlook、実はOutlook Expressがボロクソに言われだしたのもそれ以降です。
もっともその頃はWindows Updateなんか無くて、セキュリティパッチなんて何処にあるのか解らない。マイクロソフトは見せたく無いんじゃないの？なんて思うほど。なんとか見つけて更新する私の方も実はそんなことやったことがなくてヒヤヒヤもの。社員全員にやらせたのはパッチMS01-020の適用ではなくて、IEを5.5SP2に上げさせることでした。その直後にIE6.0がリリースされたように記憶します。これはIE6.0にしなさいとは言わずにWindowsXPにしなさいと言いました。

トレンドマイクロのPE_NIMDA.Aにもこうありますね。

このウイルスのダイレクトアクション活動を防ぐため、IE5.xxSP2以上のバージョンへのアップデートをお勧めします。またIE6では「最小構成」のインストールではこのセキュリティホールを回避できません。

穴を塞ぐことこそ根本的な対策です。次にひとつひとつの穴を継ぎ接ぎするよりも、新しいものへバージョンアップしてしまうことが一番の近道です。初級編でWindows Updateの自動更新と、そして何よりもSP2へのアップデート（あれはほとんどバージョンアップ）を強く薦めるのはこうした理由によるものです。

もうすこし経ったらWindows Updateに出てくる前に「IE7.0にしちゃいましょうキャンペーン」をはります。（笑）　でもIE7.0って、ちょうどあの頃のIE6.0の様に良く落ちるんだよなぁ。Vistaと同時にIE7.0SP1を出して欲しいですね。

3. 実は出そろっていた防衛策

そうそう、忘れるところでした。Outlook ExpressではなくOutlookにはNIMDA発生の１年以上前から防衛手段があったのです。企業ではOfficeは必須ですから実はOutlookが問題なのであってOutlook Expressなんてどうでも良い。
2000/06/15 にリリースされた「Outlook電子メール セキュリティ アップデート」です。

• 外部のソフトがOutlookのアドレス帳にアクセスしたり、Outlookの機能を利用してメールを送信しようとするとダイアログボックスを表示して、ユーザーに許可を求めるようになる。
• また、添付ファイルの扱いに関しても厳しく制限される。EXEファイルやBATファイル、VBSファイルなど即座に実行可能なファイルが添付されたメールを受信しても、実行ばかりでなくローカルディスクへの保存もできなくなる。
• HTMLメールなどを表示する際のセキュリティレベルの既定値が、これまでの“インターネットゾーン”から“制限付きサイト”に変更される。これにより、HTML内に含まれるほとんどの自動実行スクリプトが無効となり、スクリプトを実行することで感染するウィルスから保護できるようになる

OfficeXPに含まれるOutlook2002は、OutLook2000に比べて大幅に安全性は高まりましたが、その中核はこの3点の防衛機能です。この2番目は強力です（がそれはまた後で）。しかしこれは今からもう6年半前にオプションとして既にリリースされていたのです。私がこれを見つけたのはNIMDAの直後、2001年の10月ぐらいでしたが。

つまり、NIMDAに襲われた企業は3つもある防御策のどれひとつとして採用してはいなかったと言うことになります。もっともそれは当時の企業のIT部門の失態とは言えません。まだそういう時代だったのです。セキュリティ対策前夜ですね。

実は「Outlook2000 SR-1 アップデート: 電子メール セキュリティ 」のセキュリティ強化機能はOffice 2000 SP3アップデート に組み込まれて単独のツールとしては無くなり、またIE6.0の段階でOutlook Expressにも取り込まれました。Outlook Express 6 のウイルス防止機能を使用する方法　の中にあるこの3つです。先の「Outlook電子メール セキュリティ アップデート」の記事と順番は違いますが。

• Internet Explorer のセキュリティ ゾーンを使用して HTML形式の電子メールのアクティブ コンテンツを無効にする
• ユーザーの承認なしにアプリケーションから電子メールが送信されないようにする
• 安全でないファイルの一覧を使用して電子メールの添付ファイ�