Security の覚え書き

ついに国を挙げて取り組まざるを得なくなってしまったウィルス問題ですけど、特定のアプリケーションを名指しで「使わない方が良い」なんて言っちゃっていいんですかね。そもそも、このアプリケーション自体がウィルスなのではなく、また感染する訳でもないんですけどね。もちろん感染するのは「Windows OS」であって、その流通経路は「インターネット」な訳で。でもって感染する為には利用者がウィルスファイルを「ダブルクリック（設定によってはシングルクリック）」する必要があるのに、それについては何も無しですか。そもそも、ウィルスなんざ件の固有ネットワークよりも従来から使われている「メール」「Web」といった経路での感染の方が遙かに多いんですが。件のソフトを名指しするより「Outlook Express」や「Internet Explorer」の使用を止める様に言った方が効果ありそうですよ。もうちょっと踏み込めば「Window」を使用するな！とか、「Internet」を使うな！ということだと思うんだけどね。

あららら。笑ってる場合じゃないですね。「alectrope」さん経由の「Ophcrack 2.1 - LiveCD (Linux)」とな。ものの数秒で…だそうです。ということは数分「も」あれば何でもありですね。気になる方は対策も書いてありますのでどうぞ。ただしat your own riskということで。

Tech-Security » Ophcrack 2.1 - LiveCD (Linux) & 2.1 Install (Win)

Live CD: This is a great option, it’s a linux bootable cd on Ubuntu distro. All you have to do is burn this ISO image to a CD reboot your computer, go into BIOS and make sure you have your computer to check for CDROM before HD. Now, it will load the distro and if a SAM file is found start cracking right away. When I tested this way it took less than 5 minutes to crack my brothers administrator password.

なので5分もあれば…orz。あ、自分のところだとほとんど関係ないのか。窓使いな方はお気をつけくださいまし。

ついに…というか、DTIも「Outbound Port25 Blocking」を導入ですか。それも携帯メール向けってのがモロですな。自宅に置いてる某MLが思いっきり影響を受けそうな予感。さて、どうしましょうか。悩みますなぁ…。

「ITmediaニュース：Google Desktop 3にプライバシー問題の指摘」というニュース。

ITmediaニュース：Google Desktop 3にプライバシー問題の指摘

これまでのバージョンのデスクトップ検索ツールは、個人のコンピュータ上に格納されたファイルをインデックス化していたが、Desktop 3のβ版はGoogleのコンピュータにファイルをコピーする。これにより、あるコンピュータ上でインデックス化されたデータをほかのシステムで検索できる。 (snip) Googleは、同ツールは30日間しかこれらのファイルを保存せず、これらが使われなかった場合は削除すると主張しているが、プライバシー専門家は悪用される可能性があると憤慨している。

ついに来ましたか、この時が。ついにGoogleもP2Pな世界に手を出すことになりそうですね。あとはユーザコントロールさえ実装してしまえば直ぐにでも回せそうだ。

いいニュースかな。でもちょっと効果薄いかなぁ…。

asahi.com： ワンクリック詐欺、サイト運営者に賠償金の支払命令 - 社会

インターネットの写真をクリックするだけで料金請求される「ワンクリック詐欺」を仕掛けられた弁護士が、「威圧的な請求で精神的な苦痛を受けた」としてサイト運営者に４００万円の損害賠償を求めた訴訟で、東京地裁は３０日、サイト側に３０万円の支払いを命じる判決を言い渡した。 (snip) 判決によると、昨年８月、桜井弁護士のもとに「田舎から夢見て上京したトマト娘たち」とのメールが届いた。メールを開き、記載されたアドレスをクリックすると、わいせつ画像のサイトに。その写真をクリックすると、「個人情報取得完了」「入会登録が完了したので３日以内に３９０００円支払え」とのメッセージが現れた。

見せしめ懲らしめ晒し上げにはちょっと賠償金が少なすぎますね。もっと、そう、ゼロをあと2つくらい付けた額を払わせても良かったんじゃないかと。とてもとても不経済であることを社会に認知させる必要がありますね。この手の輩は増えることはあっても、減る気配を見せないのが不思議。どうせなら徹底的に掃除して欲しいもんです。

タイトルが「Your account is fraudulent and will be suspended」で差出人が「Amazon Security Department <service@amazon.com>」なんだけど、ヘッダを見るとReturn-Pathが「<nobody@host37.ipowerweb.com>」だったりするので何だかなぁ…だったりする。正しいホンモノのAmazonからのメールは「sea3.amazon.com」を通ってくるので見分けるのは簡単そうだ。更にはリンク先の表記こそ画像の様にそれらしく書かれてはいるが、実際のリンク先は「http://rs161.securehostserver.com/~oakridge/_vti_pvt_/amazon/amazon/」というところ（今現在はもう存在していないページ）らしい。ふーん、IISだったのね。クラックされてへんてこりんなページ勝手に開かれて…というお決まりのパターンか。ちなみに上の画像はWebメールの画面をキャプチャしたもの。HTMLメールを勝手にレンダリングされてしまうのでこのような詐欺内容がでてしまうが、普段はメーラーでHTMLを展開しないように設定しているので直ぐに分かってしまう。出来ればWebメールもテキストのみにして、HTMLはユーザがその度に選択する方式にして欲しいと思うのでありました。その点はYahoo! Mailは良く出来てるかもしれない。そろそろいい加減にHTMLメールは撲滅して欲しいものだ。

インターネットを使用する上で、誰もが知っているべきであり、またそのように教育されるべきであろうコンテンツ（簡単!やさしいセキュリティ教室）を、高木氏が紹介してくださっている…というか、ベタ誉め。突っ込みどころが無いあたり、完璧なのだろう。是非とも学校教育の場にこのようなコンテンツが提供されることを望む。というか、自称中級、上級ユーザこそ、まずは読んで理解して欲しいと思うんだよなぁ。こういったガイドライン的な要素から逸脱するシステムを設計、構築する会社、SEは「目糞鼻糞」という常識が成立することを望むとしようか。

何やら落ち着くのかと思いきや、さらに事態は悪化の一途を辿るばかり…。もう消費者は泣きを見るのか、はたまた見捨てるのかどちらしか残されていないのではないかと思ってしまいます。

ITmediaニュース：「穴」を広げるSONY BMGのXCPアンインストーラ

SONY BMGが一部のCDに密かに組み込んだコピー防止プログラムの「副作用」は悪化するばかりだ。 (snip) さらにXCPは、不正ソフトを簡単に隠せる道具をウイルス作者に与えることになった。先週、このクローキング機能を悪用して検出を免れるトロイの木馬が登場したとウイルス対策企業が報告した（11月11日の記事参照）。トロイの木馬は通常、個人情報を盗んだり、ほかのコンピュータに攻撃を仕掛けたり、スパムを送ったりするのに使われる。 (snip) 反発を受けたSONY BMGとXCPの開発元First 4 Internetは、XCPをアンインストールするプログラムをリリースした。 (snip) しかし、このアンインストーラが新たな問題を生み出した。 (snip) 「この欠陥が引き起こす結果は重大だ」とフェルトン氏とホルダーマン氏は11月15日のブログの中で述べている。「この問題により、ユーザーがアクセスしたすべてのWebページが、ユーザーのコンピュータに何でも好きなコードをダウンロードしてインストールし、実行できるようになってしまう。あらゆるWebページがユーザーのコンピュータを乗っ取り、好きなようにすることができる。これはセキュリティホールがもたらす危険と同じくらい深刻だ」

もうダメぽ。でもってぢつは日本が一番やばそうな状況らしい。

ITmediaニュース：XCP「rootkit」組み込みマシン、日本は最多の21万台？――専門家が指摘

SONY BMGがCDのコピー防止目的で仕込んだXCP技術について、インターネットの専門家から、新たな統計が明らかになった。少なくとも世界中で56万台以上のWindowsマシンにXCP「rootkit」が組み込まれ、そのうち日本のマシンは21万台を超えるという。

まぁ、これは或意味日本がコピー天国だったというオチに繋がりそうなデータではあるが、それにしても強烈な数字であることに変わりはない。また別の言い方をすれば、bot予備軍がこれだけ無防備でネットに繋がってるとも言えなくもないような気がする。何せ、botネットワークを作ろうとしている輩からすると、日本の中が一番安全に活動出来そうな感じがしなくもないですし。コンシューマーはそういったセキュリティに関する教育も受けていなければそのような風潮も見られないですし。そろそろ全国紙の一面あたりで大々的に叩く必要もあるんじゃないでしょうかね。

昨日、また新たな疑惑が。

Macintosh トラブルニュース (Macintosh News)

ソニーBMG・ミュージックエンタテインメント社の一部コピーコントロール音楽 CD が，スパイウェアである rootkit の手法を用いたプログラムを Windows のシステムに組み込んでいたことが判明したが， Macintosh についても，Sunncomm 社製の Macintosh 対応プログラムが組み込まれていることが分かった．

もうこの会社、何でもありみたいですね。消費者の立場からすると、この糞レーベルは不買運動の対象になりそうな悪寒。こんなところに在籍しているミュージシャンはさっさと移籍した方が吉…かもしれない。

これは氷山の一角か--EFF、ソニーのrootkit組み込みCD19枚を発表 - CNET Japan

ソニーがCDにrootkitを組み込んだことが明らかになって以来、この問題がセキュリティベンダーやユーザーの間で物議をかもしている。しかし、ソニーは同ソフトウェアが組み込まれたCDを明らかにしていない。EFFでは、以下のCDにrootkitが含まれていることを突き止めたという。

• Trey Anastasio, Shine (Columbia)
  
• Celine Dion, On ne Change Pas (Epic)
  
• Neil Diamond, 12 Songs (Columbia)
  
• Our Lady Peace, Healthy in Paranoid Times (Columbia)
  
• Chris Botti, To Love Again (Columbia)
  
• Van Zant, Get Right with the Man (Columbia)
  
• Switchfoot, Nothing is Sound (Columbia)
  
• The Coral, The Invisible Invasion (Columbia)
  
• Acceptance, Phantoms (Columbia)
  
• Susie Suh, Susie Suh (Epic)
  
• Amerie, Touch (Columbia)
  
• Life of Agony, Broken Valley (Epic)
  
• Horace Silver Quintet, Silver's Blue (Epic Legacy)
  
• Gerry Mulligan, Jeru (Columbia Legacy)
  
• Dexter Gordon, Manhattan Symphonie (Columbia Legacy)
  
• The Bad Plus, Suspicious Activity (Columbia)
  
• The Dead 60s, The Dead 60s (Epic)
  
• Dion, The Essential Dion (Columbia Legacy)
  
• Natasha Bedingfield, Unwritten (Epic)

SONY BMGは2005年3月からこのコピー防止技術を採用しており、米国で販売されているオーディオCDの一部に採用されている。 (snip) このCDをWindowsマシンに挿入すると、ライセンス同意書が表示され、音楽プレーヤーがインストールされると書かれているが、実はrootkitがインストールされることになる、とF-Secureは指摘。直接このrootkitをアンインストールする方法はないとしている。このシステムの実装では、ウイルスなどの悪質なソフトウェアがこのrootkitを悪用して隠れることが可能だとF-Secureは述べている。このため、最新のウイルス対抗ソフトを使っても探知できない可能性があるという。

ITmediaニュース：SONY BMGのコピー防止CDがrootkitを組み込む

SONY BMGのコピーコントロールCDに、マルウェアのrootkitに類したソフトが含まれていると指摘されていた問題で、ソニーBMGは11月2日、問題のコンポーネントを削除するサービスパックを公開した。

ITmediaニュース：SONY BMG、コピー防止CDのrootkit問題に対処

先日の噂通り、数万件という数字はやっぱりなのでした。あわててサービスを切り替えてバタバタしていますけど、漏れちゃった事実は変わらない…と。

ITmediaニュース：個人情報3万6239件、カード番号1万件──「楽天市場」店舗問題、大規模漏えいに

「楽天市場」店舗からの個人情報流出問題で、楽天は8月6日、累計3万6239件の流出を確認したと発表した。1万26件でクレジットカード番号が含まれるという。

これだってマスコミから照会があったデータまででしょ？マスコミが入手してないものまで含めれば相当数になりそうね。これは価格コム以上の大規模漏洩としてマスコミは騒いだ方がいいよ。いつの間にか無かったことに…な対応が予想されそうだからね。戒め戒め、と。必要なところに金を掛けず、ネットなら簡単に商売が…なんて甘ちゃんの経営者にトドメを刺しまくるのが良いかと。あ、楽天の経営者ではなく、世間一般の、ね。

「楽天市場店舗からカード番号含む個人情報123件が流出」なんて衝撃的なニュースが駆けめぐって数日、ついには「「楽天市場」個人情報流出が拡大」なんて話が出たかと思ったら「最大10万件の報道で確認」なんて数字まで出てきちゃう始末。どうやら此の辺りのニュースなんかが根っこだったりしそうなんだけど、さらにはこぉ〜んな情報まで含まれてましたよぉってなお話らしい。どの辺の報道までが事実を語っているのかは不明ですけど、可能性を示唆しているあたりはそれっぽく聞こえるのが嫌らしいというか。どちらにしても、楽天でカード使った覚えのあるシトは、しばらくは戦々恐々でございますな。マメにカードの使用状況をチェックせざるを得ない状況かと。

asahi.com： 不幸のメール、連鎖断て　データ通信協が転送先アドレス - 社会
「止めると不幸になる」などとして他人に転送を促して連鎖させるチェーンメールの横行を防ごうと、日本データ通信協会（東京都豊島区）の「迷惑メール相談センター」が今月、対応の１０種類の専用アドレスを設置した。チェーンメールの処理は、受け取っても相手にしないでだれにも回さないのが基本だが、不安な人は、この専用アドレスに転送すれば、同センターが責任を持って消去するという。
 

• dake001@docomo.ne.jp
• dake002@docomo.ne.jp
• dake003@docomo.ne.jp
• dake004@docomo.ne.jp
• dake005@docomo.ne.jp
• kuri001@t.vodafone.ne.jp
• kuri002@t.vodafone.ne.jp
• kuri003@t.vodafone.ne.jp
• shika001@ezweb.ne.jp
• shika002@ezweb.ne.jp