最近、アクセスログを見ていると、ブログのWordPressやデータベース管理ソフトphpMyAdminにアクセスしようとしている不正アクセスの痕跡が沢山見つかる。
Google、IE6のサポート終了へ
CNETが”グーグル、「IE 6」のサポートを終了へ“と報じている。
事の発端はマイクロソフトのブラウザ、インターネットエクスプローラのバージョン6(略称IE6)にあった脆弱性をつかれ、グーグルがサイバー攻撃を受けたことにあるようだ。サーポート終了と言っても、検索ができなくなるわけではなく、文書を共有できるGoogle Docsやサイトを作れるGoogle Sitesなどのグーグルが提供するサービスの動作保証をしないというものだ。
IE6など古いブラウザはホームページ制作にとっては、頭痛の種だ。特にIEは、世界標準に準拠しない表示方法を採っていたり、Javascript(表示用プログラム)が違うなど、あまり、凝ったサイトを作成すると、個別に対応・動作試験・表示テストが必要になる。しかも、違うバージョンの同じブラウザを1つのOS上にインストールできないので、最悪、別のPCが必要になる。
この発表で、サイトの保有者にIE6のサポートを保証しない旨を伝えやすくはなったが、景気の悪さもあり、PCの買換が進まない現状では、IE6はしばらく生き延びるであろう。しかし、セキュリティ面では最新を使わないのは危険である。使い勝手が違うという理由やアンチウィルスソフトがあるから大丈夫などと考えてはいけない。ホームページ制作などで表示テストが必要などの特殊な事情がない限り、新しいソフトにバージョンアップして欲しい。これは、自分を守るだけでなく、ネットでつながっているみんなを守ることにもなる。
ウェブサイトを改ざんするマルウェア続報
ウェブサイトを改ざんするマルウェア広がるで紹介したウィルスが依然猛威をふるっている。(CNET記事:Gumblarウイルスが再び猛威、被害の53%は企業サイト–セキュアブレイン調べ)
対策には注意が必要である。手順を間違えると、駆除できなかったりする。自社がウェブ制作会社の場合は、特に注意が必要である。駆除するつもりが、他のサイトへ感染を広げてしまう可能性もあるからである。
対策を採る前に、IPAのサイトなどで、手順をよく調べ、チェックシートなどで慎重に対処して欲しい。
IPAの役割-その後-
先日、独立行政法人情報処理推進機構(IPA)が存在意義をアピールする記者会見を久しぶりに開いたことを取り上げたが、矢継ぎ早に発表をおこなっている。
- 中小企業のセキュリティ対策–底上げが必要、組織としての対策遅れる:IPA調べ
- IPA、中小企業の情報セキュリティ対策実態調査、「約65%は70点未満」
- 5分で学べる–IPA、中小企業向けにセキュリティ対策の学習ツール公開
- IPA、優れたソフトウェアと未踏スーパークリエータを発表
最初の3つは、同じ会見の別の記事だが、セキュリティに関する話題である。大手企業では、チームを置いたり、それなりの人材、資金をつぎ込んでセキュリティ対策をおこなえるが、中小企業ではそうはいかない。しかし、ネットワークでつながれている、現在のシステムでは、弱いところがあれば、そこからどんどん攻め込まれ、全体の安全も脅かされてしまう。中小企業は企業数からみれば、全体の9割以上、80万社以上ある。家で使われている、セキュリティ対策のあまいパソコンも考えると、そこら中抜け穴だらけ、対策がないも同然である。自社の営業活動をまもるためにも、社会全体に悪影響を与えないためにも、セキュリティには配慮が必要である。専門家の置けない企業は、IPAのホームページで、是非、知識を取得して欲しい。
一方、IPAには、セキュリティだけでない面もある。そのニュースがスーパークリエイターの発表である。クリエイターといっても、芸術家を想像しがちであるが、かれらは高度な技術者である。
機構自体の存続、公的機関であるべきかの判断は、弊社のあずかり知らぬところでおこなわれるだろう。このブログが少しでも応援となれば、幸いである。
phpMyAdminにセキュリティホール
phpMyAdminはオープンソースのデータベースシステムMySQLの管理用プログラムです。これ自体もオープンソースです。データテーブルの管理やデータベースの作成が知識のある人には容易にできるソフトウェアで、広く使われています。データベース付のホスティングサービスや、レンタルサーバーなどにもよく採用されています。
そのphpMyAdminに脆弱性がみつかり、開発元はアップグレードすることを呼びかけています。(ZDNet記事:phpMyAdminにパッチ:SQLインジェクション、XSSの問題を修正)
さて、アップグレードは重要ですが、その前にしておくべき対策もあります。phpMyAdminにアクセスさせないことです。いくつか、対応策をあげておきますので、アップグレードと一緒に検討してみてください。
- 面倒だからと、ID/パスワードを設定ファイルに組み込まない。(完全にインターネットから切り離された、テストや仮設定以外は、ID/PASSを毎回打ち込むようにする。パスワード保存のオプションが有っても使用しない。)
- 通信はSSLを通して行う。サーバー証明が無くても、通常のサーバーならSSL通信は可能です。ブラウザに警告文は表示されますが、例外として許可すれば可能です。
- phpMyAdmin自体をアクセス制限域におく(当然、ホームページからのリンクなどを付けてはいけません。)
- 使用しなくなったら、削除してしまう。
無料のウィルス対策ソフト
マイクロソフトが、以前から話題になっていた無料のウィルス対策ソフトを公開することになった。(ZDNet記事:無料ウイルス対策ソフト「Microsoft Security Essential」、米国時間9月29日に公開へ)
いままでも無料のウィルス対策ソフトはあったが、信頼性や性能で評価があがらず、あまり普及していない。今回は、本家本元マイクロソフトがだすもので、ブランドイメージは非常に高い。しかし、そもそも、ウィルスの多くは、市場で最も普及しているマイクロソフト製品のセキュリティ対策の漏れ、脆弱性をついているものであることを考えると、複雑である。
普及するか? - 初心者やライトユーザーには歓迎されるのだろう。既存メーカーは対抗策を出してくるだろう。しかし、ブランド対決ではかなり厳しい。いままでの既存顧客をはなさない戦略を展開してくるだろう。いずれにしてもユーザーにとってはうれしい。
リスクは? - ウィルスを防ぎきれないリスクは他のメーカーと同じである。OSのように脆弱性がないのか?これも、他のメーカーと同じだろう。
影響は? - Linuxなどもウィルス対策を行っているが、もっと強化されるだろう。しかし、リナックスの弱みは内容が公開されていることである。公開されていては、ウィルス作成側が対抗処置を考えついてしまうからである。
今後は、ウィルス的な挙動をするソフトを封じるという対策へ進んでいくだろう。
ウェブサイト攻撃が急増
独立行政法人情報処理推進機構が、ホームページへの不正侵入が増えていることを警告している。(ZDNET記事;SQLインジェクションによるウェブサイト攻撃が急増、IPAが対策を呼びかけ)
SQLインジェクションなど聞いたこともなく、うちのサイトは関係ないなどと思っても、下記が当てはまれば、多少とも関係している可能性があるので、簡易検査を行って欲しい。
- ブログ、CMSなどを使用している
- ECシステムを利用している
- 自前の製品検索を付けている
- 問い合わせなどにデータベースを利用している
- 最後が”.php”のページがある(動的なページがある)
システムについて、知識が無ければ、以下の事を行って欲しい。
- オープンシステムを使用している場合は、開発元のサイトを調べ、最新バージョンに更新を行う。
- 自社用に開発したのであれば、制作部門、制作会社に確認して、対策をとる。もし、対応が取れないようなら、プログラムの使用は控え、別の会社に対応を依頼するのが望ましい。
SQLインジェクションでは、顧客データの漏洩や、サーバーの機能が奪取されかねない。放置すれば、自社サイトだけでなく、サーバー管理会社やインターネット社会全体にも被害が広がる。対岸の火事と思わず、確認をしてほしい。
SQLインジェクションは非常に簡単に分かることがありますが、その方法は、ホームページで紹介されていません。悪用される恐れがあるからです。IPAの簡易検査が難しい場合は、ノーブに御連絡ください。簡単なテストであれば、無償で確認いたします。(問題がある場合は、はっきり分かりますが、簡単なテストが通っても、安全とは言い切れませんのでご了承ください。)
休暇の前の安全チェック
情報処理推進機構セキュリティセンター、IPAが夏期休暇の前のセキュリティ確認を呼びかけている。(ZDNet記事:夏休み前にセキュリティチェックを、IPAが対策リストを公開)
お盆休みの悪夢といえば、2001年のCode Red IIが思い出される。その年の7月に蔓延したCode Redの亜種で、Code Redが欧米の対岸の火事と見ていた、日本でも、被害がでて、一般のニュースでも報道される騒ぎとなった。
弊社の顧客でも、夏休み明けに、会社に戻ったらいつまでたってもパソコンが立ち上がらないなど、数社で被害を受けた。
その当時とくらべ、PC利用者の意識も高まり、ウィルス対策ソフトの導入や更新、スキャンの必要性への認知も進んでいるが、相手の手口も巧妙になってきている。
仕事で利用するPCはできるだけ、アプリケーションの導入やプラグインの導入は避け、最低限の機能で動作させることが、障害の確率を下げる。本来、新しいアプリケーションを導入して、新技術にふれることがパソコンを利用する醍醐味であるが、ウィルスやマルウェアと呼ばれる悪意をもったプログラムがはびこる現状では、個人のパソコンで自宅で楽しむのがルールである。また、自宅から会社へファイルなどを持ち込まないことも大切である。
「休みには、仕事を忘れ、楽しめ」という啓示と思い、仕事は家に持ち帰らないのが、会社や自分のシステムを守る一番の近道である。
ソフトウェアの安全性
CNETに”「IE」に対する最新攻撃の原因、たった1つのタイプミス”という記事が掲載されていた。記事の内容は専門的であるが、要点は
なぜ、マイクロソフトのような大企業がミスを見逃したか?
と言うことにつきると思う。ソフトウェアの開発者でなくても、タイプミスは良く経験する事である。プログラム開発では、明かなタイプミスは、プログラムの検査プログラムが、指摘してくれる。問題は、「A」をキーボードのとなりの「S」と打ち間違えるようなミスではなく、意味がおかしくなるタイプミスである。プログラム開発以外では、読者の方も漢字変換でよく経験する事と思う。面白い例は漢検の変漢ミスコンテストにいろいろ掲載されている。コンピュータが判断できない良い例である。意味がおかしくても、日本語としては間違いが無く、いまのところコンピュータには判断できない。
したがって、間違い探しは、人海戦術となる。今回も、たまたま、研究者がみつけている。また、記事の中に書かれているように、今回のような間違いは開発体制が大規模でも発見できない。大規模なプログラムになれば、なるほど、複雑になるほど間違いの残る確率は多くなる。特にオープンソフトウェアや開発ツール、フレームワークなどでは、他者が開発したものを使用するが、まったくリスクが無い訳ではない。「小企業だから危険である」と「大企業は安全」はあまり意味がない。
結局、常にセキュリティ情報に目を通していることも大切だが、シンプルな処理を心がけることも大切である。その為には、要求を良く理解して、もっとも、簡素な処理を提案できることが必要である。
貴社の開発パートナーはいかがですか?あるいは、貴社の要求は微細すぎませんか?
クリックジャック対策とその後
先日、取り上げたクリックジャック、回避策が難しいために、実際の手法などが公表されていなかったが、もっとも影響をうけるフラッシュの対策をAdobeが発表した。新版は10月中にリリースされる。
クリックジャックの詳細も解説されているが、簡単に言えば、見ているページに透明な悪意のあるサイトが組み込まれ、本当のボタンやリンクをクリックすると、その下にある偽サイトのボタンもクリックすることになると言うものである。本人の知らないうちに、設定を変えたり、操作を行ってしまう。
前回あげた、対策の他、Adobeではフラッシュの「グローバルプライバシー設定」を「常に拒否」に設定することを推奨している。また、US-CERTで安全なブラウザの設定について詳細に説明してある。(英語だが、画面コピーが付いているので、参考になる。)
ホームページ制作でも、影響は大きい。フラッシュは動画としての利用のみ、iframeは利用しないなど制約がふえる。AJAXの普及でJavascriptの利用もふえているが、設定をOFFにするユーザーも多くなることを、考慮すべきである。
更新-Adobeがクリック対策を施したFlash Player 10を正式発表 “クリックジャック対策とその後” の続きを読む