Hatena::Groupbook

すまいりブックレビュー

「Smily Books Blog」(2014年からはこちら)

2003-07-01

[][]体系的に学び直すネットワーク・セキュリティ 神崎洋治(日経BPソフトプレス) 22:54

1.クラッキング

(1)セキュリティホールの検査ツール

①MicrosoftBaselineSecurityAnalyzer(MBSA)(フリーウェア)により、

http://download.microsoft.com/download/e/5/7/e57f498f-2468-4905-aa5f-369252f8b15c/mbsasetup.msi

WindowsNT4.0/2000/XPのセキュリティ脆弱性をチャック可能。

(Win環境の全17項目チェック可能)

②CyberCop Asap(ネットワークアソシエイツ)

http://www.nai.com/japan/

オンラインせセキュリティ状態チェック。有料。

③Internet Scanner(インターネットセキュリティシステムズ)

http://www.isskk.co.jp/

ネットワーク上の脆弱性検出し、対処方法をアドバイスする。法人向け。

④Symantec NetRecon(シマンテック)

http://www.symantec.co.jp/

ネットワークを検査・評価し、脆弱性診断するソフトウェア。

⑤パーソナルセキュリティ診断(パーソナルセキュリティ研究所)

http://210.143.99.143/~p-sec/

ユーザ側からインターネット側への漏洩情報をチェック可能。

⑥PCの漏れ情報総合チェック(Big-Z Project)

http://www.big-z.net/

インターネット側からJavaやActiveXツールを使って使用中のパソコンから

情報を盗み出すデモ有り。

(2)サービスとポート番号の管理

http://www.iana.org/

IPアドレスや名前、番号などを管理し、標準化している組織。

(3)スパムメールをブロックする方法

ORBS(Open Relay Behaviour-modification System)

MAPSRSS(Mail Abuse Prevention System Relay Spam Stopper)

などで、メール中継に利用されているサーバのドメイン情報を公開している。

なお、ORBS(http://www.ordb.org/)は閉鎖された。

長崎ネットワークサービス(http://www.nanet.co.jp/)で無料診断サービス有り。

(4)パスワード推測ツール

John the Ripper、UnSecure(オンラインパスワードクラッカー)、

Brutus(http://www.hoobie.net/brutus/)など有り。

(5)危険なポート番号

137:NetBIOS名前解決サービス

138:NetBIOSデータグラム・サービスUDP

139:NetBIOSセッション・サービスTCP

445:ダイレクト・ホスティングSMBサービス

NetBIOSはNBT(NetBIOS over TCP/IP)が可能

SMB(Server Message Block)はアプリケーション層のサービス

2.コンピュータウィルス

(1)W32/Badtrans.B-mm

Badtransの亜種。OutlookやOutlookExpressは内容を見ただけで感染。

レジストリ書込みにより、Windows再起動時にウィルスメール送信。

宛先はMAPI(Messageing API)により取得。マシン自体の破壊活動はなし。

(2)W32/CodeRed

IISのリモートバッファオーバフローの脆弱性を利用して侵入し、メモリのみで活動。

Windows再起動(メモリクリア)で消滅。特定のIPアドレスへDOS攻撃。

マシン自体への破壊活動としては、Webページアクセス時に特定の文字列が表示されてしまう程度。

(3)W32/Klez

ウィルスメール送信及び共有フォルダへのウィルスコピーで繁殖。

マシン自体への破壊活動としては、奇数月の6日にファイル書換えや破壊。

亜種ではアンチウィルスソフト停止を行うものも有り。

(4)VBS/LoveLetter

VBSの添付メールで繁殖。

レジストリ書込みにより、Windows再起動時にウィルスメール送信。

マシン自体への破壊活動としては、Webページアクセス時に初期表示ホームページを書き換えて、ハッキングツールをダウンロードする。

犯人はフィリピン人だが、国の法規制未整備のため釈放。

(5)W97M/Melissa-mm

Wordの標準テンプレート「NORMAL.DOT」で感染。

Wordを実行(新規文書、既存文書作成)するたびにウィルスが実行される。

既存文書も開いた時点で感染。ウィルスはOutlookを利用して送信される。

マシン自体への破壊活動としては、Wordのマクロ機能無効化のみ。

犯人はアメリカ人で逮捕済み。

(6)W32/Nimda-mm

IISのリモートバッファオーバフローの脆弱性を利用して侵入し、メモリのみで活動。

宛先はMAPI(Messageing API)によりWWWブラウザ履歴などから取得。

多くのファイルやレジストリが破壊、上書きされるため、マシン動作不安定となる。

(7)W32/Sircam

My Documentsフォルダから任意に選んだファイルを添付し、ファイル名も添付ファイル名としてウィルスメール送信。添付ファイルをダブルクリックすると感染。

Windows起動時に実行される。

多くのファイルやレジストリが破壊、上書きされるため、マシン動作不安定となる。

毎年10月16日にWindows上の全てのファイル消去。(ただし、日本表記は2016年のみ。)

3.ホームページ参照のみで感染するウィルスの仕組み

(1)HTML形式のメールを受信する

(2)自動的にInternet Explorerの機能により、電子メールを表示する

(3)テキストの自動表示だけでなく、メールのMIMEヘッダに書かれた情報が全て自動実行される

(4)MIMEに従い、バイナリ形式の添付ファイルも自動的に開かれる

(添付ファイルが音声ファイルだと結果的に自動的に音声が流れる事になる)

(5)バイナリ形式の添付ファイルがウィルス実行ファイルだとウィルスが実行されることになる

4.ウィルス感染後の処置

(1)ウィルスのコードを取り除く(修復もしくは駆除)

(2)ウィルスが感染したファイル自体を削除する(削除)

(3)特殊なフォルダに移動する(検疫もしくは隔離)

(4)何もしない(アクセス拒否)

5.プロバイダ責任法

2002年5月施行。

ユーザが該当する情報(例えば、掲示板にアップされた個人情報)の削除などの措置を求めた場合、プロバイダは情報発信者に照会・確認する責任がある(放置はできない)。

また、正当な利用がある場合のみ、被害者は情報を発信した人の個人情報をプロバイダに開示請求可能。

6.ホームページにアクセスして漏れる情報

http://www.ugtop.com/

「確認くん(UGTOP)」にアクセスし、自分のwwwブラウザが出している情報を確認可能。

7.プライバシ情報の漏洩

(1)スパイウェア

ReGet、FlashGetなどに同梱されたスパイウェアにより、個人情報やアクセス履歴などを

別サーバへ転送可能。スパイウェアは感染や破壊は行わないため、ウィルスとは区別される。

(2)スパイウェア検知ソフト

http://www.lavasoft.nu/index.html

Ad-Aware(Lavasoft社のフリーウェア)を利用する。

(3)スパイウェア同梱ソフト一覧(TomCat PC Systems)

http://www.tom-cat.com/spybase/spylist.html

8.メールの暗号化

(1)POPのユーザ認証暗号化:APOP(Authenticated Post Office Protocol)

(2)SMTPのユーザ認証暗号化:SMTPAUTH

(3)メール本文暗号化:SSL