マイクロソフトが提案する Caller ID for E-Mail

Microsoft Is Committed to Help End the Spam Epidemic
(Epidemic = 流行)

2004/2/24 にビルゲイツさんが、スパム対策のための仕組みとして Caller ID for E-Mail を発表し、意見を求めました。
これは、メールの受信者がメール送信元が正しいメールサーバから送信されているかを確認する手段を提供するものです。
比較として、電話であれば、発信者番号を偽装することは難しいのですが、メールでは、メール送信元は簡単に偽装できます。
この送信元の偽装がスパム流行を冗長するひとつと分析し、この仕組みを提案しています。
この提案では、だれもが実装しやすいこと、既存のインターネット環境を適切に利用できること、大規模なメール環境から、個人のメールまで適用できることなどが配慮されています。
詳しくは、ドキュメントを見ていただくとして、この仕様にそった DNS レコードをいくつか確認することができます。
nslookup -querytype=TXT _ep.microsoft.com
これを実行すると下記の情報が得られます。
_ep.microsoft.com text =
 <ep xmlns='http://ms.net/1' testing='true'>
  <out>
   <m>
    <mx/>
    <a>213.199.128.160</a>
    <a>213.199.128.145</a>
    <a>207.46.71.29</a>
    <a>194.121.59.20</a>
    <a>157.60.216.10</a>
    <a>131.107.3.116</a>
    <a>131.107.3.117</a>
    <a>131.107.3.100</a>
   </m>
  </out>
 </ep>
つまり、microsoft.com ドメインに対して、TXTレコード _ep は、メール送信元の IP アドレスを公開している形になります。
メール受信者は、受信したメールと、このIPを照合することにより正しいメールサーバから送信されたかどうかを確認することができます。

_ep レコードのバリエーションは、次のドメインでも確認することができます。
nslookup -querytype=TXT _ep.hotmail.com
nslookup -querytype=TXT _ep.amazon.com

| Comments[1] | #Security

03/25/2004 3:28 PM

うーむ英語苦手で書けないや。
どのサーバーから来たといっても、使われるサーバーなんて決定されるもんじゃないから難しいんじゃないかな。
それに、そのレコード長そうだし。

私の提案する方法は、PGPのFingerPrintをDNSのTXT形式で公開する方法です。例えば、type=txt で mori.user.domain.net とやると、PGPのFinger Print を返す。これでFingerPrintと合致していなければそのメールは受け付けない。また、DNSから返答がない場合はメールは受け付ける。
ま、そんな感じのアイデアです。どうでしょうか。
http://d.hatena.ne.jp/hmori/20040324#1080105144

森 秀樹

マイクロソフトの不正対策サイト

Microsoft Enforcement

Enforcement は法律の施行、執行という意味です。
マイクロソフトが、インターネットでの不正に対して情報をまとめています。
現在、あげられているポイントは、次のようになります。
インターネットが実社会と密接に結びついていることを示す事件は後を絶ちませんが、不正を犯すほうも日々巧妙になっています。以外なことで犯罪に巻き込まれたり、不正をしている可能性がありますので、注意したいと思います。

| Add Comment | #Life #Security

NEC の検疫システムソリューション

検疫システムソリューション

適切なパッチの適用されていないコンピュータや、感染したコンピュータを自動的に通常のVLANから、専用のVLANへ移動させるソリョーションを提供するとのことです。
このとき、強制移動させられてしまったコンピュータの画面には、アイコンが表示されて、パッチの適用などの操作が簡単にできるようになっているとのこと。

セキュリティ修正プログラム適用、感染したPCの早期対策には、よさそう。

| Add Comment | #Security

緊急用ブートCD 「Bart's PE Builder」

Bootable CD/DVD版Windows作成ツール(KazumaO)
かずまおさんのブログで紹介されていました。
深夜にメッセンジャしていて、あがったテーマです。
なんと、日本語もつくれるらしい。

自分好みの緊急用ブートCDをつくろう! ~Bart's PE Builder~(MYCOM PCWEB)
詳しい解説があるので、これは作らない手はありません。
さて、いつつくりましょうか ?
うまくできたら、勉強会ひらきますか ?

| Comments[7] | #ToDo #Security

01/27/2004 7:59 AM

緊急ブート用CDすか (^^;

Windows Server 2003 のリモートインストールサービスが便利なもんで、CDドライブすら積んでないPCがほとんどなんですが。。。

そんな私はどうしたらよいでしょう? (^^;;;

もう一歩進めれば、ネットワークブートも夢ではない予感。

01/27/2004 12:59 PM

つい先日、緊急用のブートCDを作りました。日本語化してネットワークとかも使えるタイプのやつです。これ、VirtualPCでも使えるんですよね。CDで起動してHDDをデフラグできたりもします。ロックされているファイルがないから綺麗にデフラグ。。。

ただ、買ったばかりのキューブ型のPCはGigabitのEther積んでるんですが認識しませんでした。Vaio U3Pのは認識しましたからドライバーさえ用意できれば使えるかなぁと。多分、Pluginにinfとか用意すれば。。。

うに。

01/27/2004 3:41 PM

ふむふむ。以下の方、講師候補ですね。メモメモ
渋木さん:Windows Server 2003 リモートインストールサービス
うにさん:緊急ブートCD

河端善博

01/27/2004 3:51 PM

PXEで起動してOSを入れた後にグループポリシーで
起動と同時に勝手にOfficeなんかを入れると気持ちいいですね~(笑)

難点はサーバのHDDを相当消費することかな...

01/27/2004 4:5 PM

ちなみに、PXE で起動した状態では、元の HDD には、なにも書き込みに行かないんでしょうか ? それとも、書き込む ?
不正アクセス調査と、証拠保全の観点から。

河端善博

ニフティが迷惑メール対策サービスを開始

ニフティ迷惑メール対策サービス

ニフティのサーバー上で、PopFile と同様のベイズ理論による学習タイプの
SPAM 対策機能を提供するようです。
ベイズ理論、これから面白くなりそうですね。
PopFile は引き続き、うまく動いているようです。
Outlook 2003 もまあまあ、うまく動いているよう。

ベイズ理論を簡単にシステムから利用できるモジュールがほしいですね。
さまざまな調査に利用できそうです。
たとえば、たくさんの文書や Webページをベイズ理論を利用して、いくつかの
パターンに分類すると面白そう。
たとえば、たくさんのブログ記事をRSSで取得して、これを自動的に
分類させて、いくこともできますね。
あるいは、ブログのサーバーのほうで、定期的に関心のあるRSSを収集させておいて、
自分のブログ記事に関連のある記事を自動的にトラックバックやコメントとあわせて
表示させてもいいかも。

| Comments[3] | #Security #BlogX

01/18/2004 12:9 AM

昨日は、お世話になりました。
非常に濃い時間を過ごさせていただきまして、どうもありがとうございます。snortユーザ会のほうにも、川端さんのコラボレートの話をふっておきましたので、ぜひともご参加ください。よろしくお願いします。
http://www.snort.gr.jp/

はまもと

01/19/2004 10:47 AM

snort.gr.jp とは、ぜひ連携させていただければと思います。
ちなみに、川端ではなく、河端。なんてね。

河端善博

01/19/2004 3:40 PM

snort-users ML で「どーでも良い」みたいに書いちゃいましたが, 良く読むとめっちゃ失礼ですよね. すみませんでした...

Outlook 2003 - 迷惑メールフィルタ(高) 漏れ..

Outlook 2003 の 迷惑メールフィルタ(高)に設定して、スパム対策の様子を見ています。
で、一週間目の感想としては、「がんばってはいるが、かなり漏れる」です。
Popfile のように教育できればいいのですが、Outlook 2003 にあるのは、送信者単位に迷惑メールとしていできるだけ。
この方法では、めんどうなばかりで、効果がないことははっきりしていますし。
もう少し、様子をみてみます。

| Comments[1] | #Security

01/13/2004 6:32 PM

>この方法では、めんどうなばかりで、効果がないことははっきりしていますし。

オンラインアップデートで組み込みルールが強化されるといいんですけどねぇ。。。

Outlook 2003 より前がダメダメだったので、それに比べれば。。。という話もありますが (^^;

ワン切り着信拒否: DoCoMo の迷惑電話(ワン切り) 対策機能

ワン切り着信拒否

着信拒否したい電話番号を手軽に登録できる機能です。
まず、0*009999 に電話します。
すると、機能が有効になります。
※1.この機能をオフにするには、0*00につづけて実在する電話番号を登録します。
※2.短縮ダイヤル機能との併用はできません。
次に、0* の跡に、二桁の数字、さらに、拒否したい電話番号をしていします。
例: 0*01030000000
これで、二桁の数字は、01 から 19 が使えます。
※01 - 19 のどれに、どの番号を登録したのかは、自分でメモしておいてください。
※090など携帯電話番号の拒否はできません
手軽に登録するサービスを提供しているサイトがありました。
ワン切り電番速報
※このサイトをどういう方が運営されているのか、わからないので、
自己責任でお願いします。

| Add Comment | #Life #Security

OE-PopFile, Outlook-迷惑メールフィルタの組みあわせで、運用中

あれこれ、ありましたが、結局のところ次の構成で運用中

場所メールソフトフィルタ
自宅Outlook ExpressPopFile
会社Outlook 2003迷惑メールフィルタ(高)

ときどきSPAM漏れがありますが、順調に動いているようです。
迷惑メールフィルタは、(高) でないと、漏れが多くて使えないですね。
PopFile は、まだときどきエラーになることが。

| Comments[2] | #Security

01/10/2004 6:13 PM

「Outlook 2003 - 迷惑メールフィルタ(高)」で運用しています。

今まで客観的に評価してなかった (^^; ので、どれくらい効果があるか分かっていなかったのですが、今日たまたま効果を確認する羽目になりました。

986件(全部 SPAM)中、69 件が漏れて受信しました。

単語登録と「受信拒否アドレス」ではじかれたものも何件かあるはずですが、SPAM の9割以上が除外されたので、まずまずというところでしょうか?

01/13/2004 3:2 PM

三連休をあけて、みてみると、かなり漏れている。
Popfile のほうなら、教育する意味もあるのですが、どうしたものか。

河端善博

ACCS サイトでのセキュリティ問題について

ACCS運営ホームページのセキュリティ問題について(2003/11/11)

社団法人コンピュータソフトウェア著作権協会 ACCS の運営するサイト http://www.askaccs.ne.jp/で利用している CGI に脆弱性があり、個人情報が漏洩する問題がありました。
関連する記事は次のところにあります。

とりいそぎ、今回の一連のサイトをみての考えをまとめておきたいと思います。
緊急時の体制
あらためて、緊急時の体制の確立/保守/更新の必要性を感じます。
ACCSやファーストサーバは、セキュリティ対策/訴訟/法律に強い組織であり、また、Office氏は、セキュリティ啓蒙を真摯におこなってこられた方であると思います。
初期対応、経過対応、法律面、顧客サポート面などの点で参考にする必要があります。
被害を最小限に
今回、それぞれの組織では被害を最小限にすべく行動していると思われます。
ACCS は直ちにサイトを停止しました。
ファーストサーバは、問題の考えられる CGI をすべて強制的に置き換えたようです。
Office 氏は、関連データの削除を含めた対応をとられたようです。
また、それぞれ関係者に即座に通知をおこなったようです。
法律面
個人情報保護/不正アクセス禁止の両方の面で、今後の経緯に注目したいと思います。
現在 Office 氏が問題の中心になっておりますが、ACCSとファーストサーバも問題にされる可能性があります。
それぞれ多数の顧客や関係先をもっていると考えられます。
関係先への案内方法と対策
この回のような問題発覚時、関係先にあわせて、どのような通知を出すのかは、
常に業界動向をふくめて検討しておく必要があると思われます。
昨年のBlasterのときにも問題となりましたが、多くの方々は、インターネットセキュリティ/コンピュータセキュリティについて正しい知識も理解も関心もありません。
また、問題を逆手にとってクレームしたり、組織の信用をおとしめようと考えている方々もいます。
この中で、関係先への謝罪と事情説明、早急な対策を周知徹底できる必要があります。
今回、ACCS は直ちにサイトを停止し、関係者に告知しました。ファーストサーバは、早期に問題のある CGIをすべて置き換えました。このような対応がすぐにおこなえるかどうかは、個人情報や企業情報などの漏洩被害の最小化に必要なことではないかと考えられます。
インターネットセキュリティ/コンピュータセキュリティという歴史が浅く、日々変化し、法整備も、一般の認知もあまり進んでいない問題では、常に細心の注意で対応する必要があると、あらためて思います

| Comments[1] | #Security

01/07/2004 11:12 AM

goorooです。コメントありがとうございました。<a href="http://gooroo.tea-nifty.com/blog/2004/01/accs.html#comments">返事</a>をしたのでご覧いただければと存知ます。

|mlg51467AT NOSPAMnifty dot com

PopFile 正月はあきらめよう

PopFileの利用を一時中断することにします。
理由は、取り込み中にエラーがでること。
数百通の取り込み中に、エラーがでると、また問題のメールをサーバー上で
削除してから、はじめからやり直し。
どうも、日本語パッチをあててから、おかしいような気がしますが、不明

サイトをみていると、いくつか重要な修正もあがっているが、まだリリース版に
とりこめていないという状況のようですから、時間のあるときに、
ソースから作り直して試したほうがよさそうですね。

ただでさえOutlook 2003の遅い POP3 に加えて、帰省中は、アナログモデム
とても、PopFile のデバックをやっている余裕はありません。

この件で、昨日の朝 3:00am - 7:00am まで延々と悩まされていました。
今朝も悩まされていたのですが、あっさりあきらめることにしました。
SPAM 対策ソフトの問題でメールが取り込めないのであれば、本末転倒
ウィルス対策ソフトもいろいろ問題あるし。

| Comments[2] | #Life #Security

12/30/2003 4:32 AM

PopFile の .NET 化って、話はないのかなぁ。

河端善博

01/04/2004 6:8 AM

Outlook Express では、POP3 取り込みができているようです。
ただ、ときどき途中でエラーになることもあるよう。
Outlook 2003 だと、かなりのメールで引っかかるので、なにか
違いがあるのかも。
POP3 サーバーソフトの問題の可能性も高い。

河端善博

PopFile によるスパム対策をはじめました

POPFile (SourceForge)

ようやく、POPFile を使い始めました。
少し前に、McAfee SpamKiller を使い始めたのですが、わたしの利用には適さないようです。
以下に SpamKiller の問題点と、POPFile の評価できる点をまとめます。

■SpamKiller の問題点

  • PC 単位に設定が必要
    事務所と自宅の二台のPC でメールを処理している私には、二度手間となる。
  • Outlook 2003 に未対応
    Outlook Express では、ツールバーに専用ボタンも追加され、スムーズに動きますが、Outlook 2003 では、ボタンが使いされないどころか、いくつかトラブルが発生
  • ツールバーからの 1つのメールをスパムと登録するのに、数秒かかる
    私の場合、一日に数百通のSPAMが届きます。SpamKiller の判断から漏れたSPAMをツールバーの「ブロック」ボタンから登録していくのですが、これが一回 数秒. 100通だと、寝てしまいます。
  • ブロック指定が、単純すぎ
    ブロック指定すると、単純に件名と送信者のパターンをつくってブロックしているようです。
    これでは、どんどん送信者アドレスを偽装するSPAMには対応できません
  • MSKSrvr.exe が CPU 100% になる
    SpamKiller は、MSKSrvr.exe が一定時間ごとに POP3 サーバにアクセスして、事前にメールを取り込んでいるようです。
    このとき、CPU が 100% になって、一分程度、PCが操作できなくなります。
とにかく、SpamKiller では、わたしのメールボックスは、相変わらず毎日一時間程度
ごみ掃除する必要がありますので、いったんやめます。

■POPFile の評価できる点

  • 日本語対応が進んでいる
    現在のバージョンで、充分に日本語対応できているようです。
  • 認識率が高い
    いったん spam や personal と、「バケツ」に振り分けるように指定すると、なかなか賢く振り分けてくれます。
    振り分けがうまくいかない場合、再度、教育すると、ちゃんと賢くなります。
  • POPFile を共有できる
    ひとつのPC上で、POPFile を起動しておき、事務所と自宅のPCから、そのPOPFileを利用するように指定できます。これで、教育結果を共有することができます。
  • WWWインターフェースもよくできている
    IE から設定や教育をおこないますが、このデザインもそこそこよくできていて、簡単に動作します。
  • wwwmailの代わりになるかも
    POPFile の wwwインターフェースで、取り込んだメールを見ることができますから、wwwmail としても使えないことはありません
とりあえず、もうすこし安定してきたら、ルールのバックアップ/リストアも含めて考えていこうと思います。

| Comments[5] | #Security

12/25/2003 5:41 PM

POPFile0.20.0, 0.20.1にパッチが出ています。

[お知らせ]
http://sourceforge.jp/forum/forum.php?thread_id=3720&forum_id=3073

[リリースノート]
http://sourceforge.jp/projects/popfile/document/POPFile_Japanese_Support_for_Windows_0.20.1.1_-_Notes/

いしどう

12/26/2003 11:49 PM

はじめまして。いつも興味深く読ませて頂いております。
私もスパム対策ソフトを色々試してみましたが,POPFileがなかなか賢い(賢くなる?)ことに驚きました。POPFile,Mozilla 1.5,Eudoraは,ほぼ互角という印象を持っています。
ところで,Outlook 2003をお使いなら,Outlook 2003が標準で備える迷惑メール遮断機能はどうでしょうか?
私の環境(1週間でスパムと正常メールが半々500通対500通ぐらい)では,POP FileとOutlook 2003はほぼ互角でしたが,河端さんの環境では,いかがですか?

|komatsunaAT NOSPAMad dot main dot jp

12/29/2003 2:51 AM

小松菜かじるさん、こんにちは。
Outlook 2003 の迷惑メール遮断機能は、もうすこし積極的な機能がほしいと思います。つまり、POPFileの「このようなメールは、SPAMだよ」と指示する機能です。
差出人や受信者による振り分けでは、いま届くSPAMには到底対処できません。
Outlook2003に積極的なSPAM教育機能が他にあるのか、ヘルプを確認してみたのですが、よくわかりませんでした。

河端善博

12/29/2003 10:24 PM

どうも河端さんの所のSPAMメールはかなり凄いようですね。
Outlook2003には河端さんの仰るような積極的なSPAM学習機能は無いようです。

最も私も自分で使う限りでは殆ど問題なくうまく振り分けされていますし、差出人をきちんと登録したら滅多に誤った振り分けはしなくなりました。河端さんが受け取られるSPAMの数によっては、ある意味「想定された状態を超えている」のかもしれません。

難しいですねぇ・・・

KazumaO

01/06/2004 10:33 PM

こんにちは。今年も宜しくお願いします。
で、釈迦に説法かもしれませんが、こちらはいかがでしょう。
Outlook 2003 迷惑メール フィルタ アップデート: KB832333
ファイル名 : office2003-kb832333-client-jpn.exe
ダウンロード サイズ : 1023 KB
公開された日付 : 2003/12/15
バージョン : 1

すでにお試し済みならお許しを。

沼口繁

粛々とブロックメッセージ by SpamKiller

Outlook Express に取り込まれてしまった、スパムを「ブロックメッセージ」
McAfee SpamKiller を使い始めて数日、ひたすら、この作業を繰り返しています。

SpamKiller は、自分自身でスパムのデータベースを自動的に更新しています。
ただ、それでも、許可してしまうスパムメールはたくさんあります。
私の場合、当初 300通/日のペースですり抜けています。
そこで、Outlook Express 上で、メールの内容を確認しながら、スパムメールを「ブロックメッセージ」していくことになります。

まあ、一度登録されると、それなりにスパムをブロックしてくれるようですが、少し問題も。
1.複数のスパムを一度にブロックメッセージできない
2.ブロックメッセージの処理は、一回 3秒程度

明らかにスパムと思われるメッセージが 100通あっても、ひとつづつボタンをクリックしていく必要があります。で、そのボタンの処理が一回 3秒。100通あれば、300秒。深夜にやっていると気を失ってしまう
いま、どんどんスパムデータベースが更新されているようなので、今後に期待しましょう

| Comments[2] | #Life #Security

12/22/2003 9:43 AM

PopFile を使い始めました。感覚的には、95% 以上
はじいてくれます。ご認識もほとんどなし。

かなりいい感じです。情報はこの辺から。

http://popfile.sourceforge.net/manual/jp/manual.html

12/22/2003 10:8 PM

PopFile の解説も増えてきましたね。
もうすこし、SpamKiller をみて、PopFile もあわせてみていこうと思います。
どうも、SpamKiller がメールを取り込んで判断するのに、かなりCPUを食います。これが、悩みになってきた。

河端善博

SpamKiller は、賢いもぐらたたき ?

McAfee SpamKiller (スパム キラー)

待望のスパム削除ソフトを購入しました。
あっという間にスパムに埋め尽くされていく受信トレイから、これで開放されるのでしょうか。
Outlook Express でつかう分には、なんとなく調子がいいようです。
多少もれたスパムも、簡単に撲滅していけます。

もちろん、まちがってスパムになってしまったメールもシンプルなインターフェースから復活させることができます。値段が年間 3,900円は、微妙な値段ですが、毎日のスパム削除作業を考えれば妥当な値段です。
McAfee にしては、設定項目が多いので、これから少しずつ調整していくことになりそう

ただし、Outlook 2003 対応とは、書いていません。Outlook 2003 では、どうにも動作が変です。
もう、そろそろ忍耐の限界ですし、Outlook 2003 とはおさらばしようかと考え中。

| Comments[1] | #Security

12/17/2003 11:41 AM

SpamKillerさん、なかなか面白いしくみで動いているようです。
かなり注意して、すこしづつテストしていこうと思います。
今朝見たら、やっぱりたくさんのスパム。
また、スパムに判定されてしまったメールもたくさん。

河端善博

2004/1/16 PASSJセキュリティセミナー 大阪

PASSJ PASSJ セキュリティセミナー OSAKA

日時: 2004/1/16(金)
会場: 大阪ビジネスセンター
定員: 80名
会費: 無料

セッション:
1.「管理コストを削減するセキュリティ対策入門」(福原 聡さん)
2.「トラブルに負けない社内LAN」(濱本 常義さん)
3.「事例から学ぶ SQL Server セキュリティ」(河端 善博)

ひさしぶりの大阪でのセミナーです。よろしければ、ご参加いただければと思います。

| Add Comment | #SQL Server #Event #Security

PASSJ セキュリティセミナー大阪 2004/1/16 (金) 受付開始 

PASSJ PASSJ セキュリティセミナーOSAKA 2004/1/16(金)

ようやく SQL Server セキュリティセミナーを大阪で開催します。
講師は、「システム管理ってそういうことだったのか」「セキュリティ管理ってそういうことだったのか」の著者の福原聡さん、セキュリティ分野で活躍されている濱本常義さんと、私です。
現場でのセキュリティ運用、さまざまな組織でのセキュリティ対策の状況やツール、そして、SQL Server でのセキュリティの失敗と、対策などを紹介させていただく予定です。

| Add Comment | #SQL Server #Security

ウィルス対策ソフトと .NETプログラムへの影響を調べたいな

ウィルス対策ソフトは、非常にたくさんありますが、プログラム開発者から見て、
これらのソフトがどのようなときに、何をしてくれるのかをまとめられないでしょうか ?

具体的には、次のようなポイントになります。
  1. ファイル書き込み/読み込み処理への影響
  2. ファイル書き込み時にウィルス感染と検出された場合
  3. ファイル読み込み時にウィルス感染と検出された場合
  4. メール送信処理への影響
  5. メール受信処理への影響
  6. メール送信時にウィルス感染と検出された場合
  7. メール受信時にウィルス感染と検出された場合
  8. 外部プログラム/スクリプト起動時に、ウィルス感染が検出された場合
  9. 外部プログラム/スクリプト起動時に、実行許可をユーザーに求める場合
具体的な問題例をあげます
あるウィルス対策ソフトはメール中のウィルス対策として、25/tcp を監視します
このために、このソフトは、プログラムが25/tcpへ送信した内容を一度取り込んで、
検査してから、相手のサーバーに送信します。
このため、各プログラムは送信を終了したつもりでも、実際にはウイルス対策ソフトがその後
延々と相手先コンピュータにメールを送信していることになります。
そのため、ダイアルアップなど接続を厳密に管理する場合には、プログラム開発者が
注意する必要があります。

項目をあげて、主要なウィルス対策ソフトの動作を検証してみませんか ?

| Add Comment | #.NET #Security

マイクロソフトの月次セキュリティ修正プログラムの日

今日は、月次セキュリティ修正プログラムの日でしたね。
いくつかの修正プログラムがでて、朝からダウンロードしていた人も多いようです

月次になったことで、いくつか意見もでているようですね。
アメリカの祝日に修正プログラムが提供されたから、休めないと ?
もしかして、世界中のどこかの国が祝祭日だったら、パッチは前後にずらしたほうがいいのでしょうか ?
記事のための記事のようですね。
月次になったことで、修正プログラム提供日から一週間ぐらいが狙い目 ? だそうです。とういことは、毎月第二週の水曜日から、第三週の水曜日ぐらいがやばいと。
この予測を立てた人は、これから一年ぐらいで実証していくのでしょうね。
もちろん、この人たちの記事は、マイクロソフトがさまざまなセキュリティ会社と連携し、
アンダーグランドの情報を収集して、危険度が高いと判断した脆弱性については、タイムリーに修正プログラムを提供するという方針は、存在しないことになっているようです

なお、CNET Japan は、RDF/RSS を提供しています。CNET Japan RSS News Feed

| Comments[3] | #Security

11/12/2003 2:53 PM

まぁ 疑問を持つなとは言わないが
駄目だ 駄目だと言って 何が変わるんだろう
あと、提供日から一週間後が狙い目? 不思議なこといいますね。
もし マイクロソフトがパッチを持っていて、それらしいアタックがあれば
パッチの公開をすると思うのですが・・・。

何考えているんだろうなぁ、意味不明。

アイライト

11/12/2003 3:0 PM

あっ、アタックがあったら 遅いのか。 こりゃ失礼。

アイライト

11/13/2003 2:53 AM

単純に、パッチのバイナリから修正点を調べてアタックプログラムを作る時間的な目処が1週間という意味ではありますよね。他にもルートはあるけど。で、これが妥当かといえば妥当ではないでしょう。何となくの感覚的なものであるのは確実です。

うに。

TcpConMon 特定の TCPポートへの接続/切断監視

TcpConMon.zip

TCP ポートを監視し、特定のポートへの接続/切断を出力するプログラムです。
.NET Framework 1.1 が必要です
設定は、TcpConMonConfig.xml を直接編集する必要があります
設定方法は、また次回..
イベントを SQL Server へ出力することもできます。

IPHelper API のラッパーは、Axel Charpentier さんのGetting active TCP/UDP connections on a boxからお借りしました

添付: TcpConMon.jpg | | Add Comment | #SQL Server #Security

Opinion:MS批判のCCIA報告書に物申す を読んで...

Opinion:MS批判のCCIA報告書に物申す
ZDNET 2003/10/08 - 2003/10/17

この記事に対して、unimaru さんも、意見をあげています。
参照: unimaru さんの記事

ひととおり、ちゃんとした意見を書いていただいていると思います。
CCIAの方を直接お会いしたり、見たことがあるわけではないし、彼らの日常の活動も
参加企業がCCIAにどの程度期待しているのかもわからないので、
問題の報告書について、意見をいうことはありません。
ただ、こういった報告書に対して、冷静に意見を述べている記事を ZDNET が
企画し、取り上げていることは、うれしいと思います。

| Add Comment | #Security

Windows マシンの情報をかき集める MPS_REPORTS

Microsoft Configuration Capture ユーティリティ (MPS_REPORTS) の概要

MPS_REPORTS シリーズは、Windows の各種情報をうまくあつめるツールです。
マイクロソフトのサポートチームが、顧客のサポートをするために作成したツールで、
ファイル情報、レジストリ、イベントログほか、目的にあわせて各種情報をがっさりと集めます。
目的にあわせて、次のものがあります。
  • MPSPRT_Alliance : 全般的に情報収集
  • MPSPRT_CLUSTER : クラスタ環境用
  • MPSPRT_DirSvc : Active Directory サーバー用
  • MPSPRT_MDAC : MDAC 関連情報
  • MPSPRT_NETWORK : ネットワーク関連情報
  • MPSPRT_SETUPPERF : セットアップ関係情報
  • MPSPRT_SQL : SQL Server 用
  • MPSPRT_SUS : SUS サーバ用
各種コマンドラインツールをうまくつかって、テキスト形式のファイルに情報を集めます。
コマンドの内容を分析して、コンピュータに合わせたものを作成するといいですね。
中で利用されているツールの使い方をみるのも、勉強になります。

| Comments[1] | #SQL Server #MSMVP #Security

10/12/2003 6:1 AM

 米田です。

 私は MPSPRT_MDAC を試したんですが、非常に
面白い TOOL ですよね。最初は Administrator 権限
のないユーザーで実行して部分的にしか取れなかっ
たりしました(笑)

米田

2433/tcp をつかう「サーバーの非表示」

「サーバーネットワークユーティリティ」の「サーバーを非表示」に
ついて簡単にまとめてみました。

■概要
 TCP/IP の「サーバーを非表示」に設定すると、2433/tcp が利用される

■内容
 サーバーネットワークユーティリティを起動して、
 「TCP/IP」プロトコルの「プロパティ」を選択すると、
 「ネットワークプロトコル既定値の設定」で、
 チェックボックス「サーバーを非表示」があります。

 この設定は、次のレジストリに相当します

 HKEY_LOCAL_MACHINE\SOFTWARE
  \Microsoft
   \MSSQLServer
    \MSSQLServer
     \SuperSocketNetLib
      \Tcp
       TcpHideFlag (REG_DWORD)

 このチェックボックスをオンにするか、レジストリの値を 1 にして、
 SQL Server をリスタートすると、
 SQL Server のポートは、通常の 1433/tcp ではなく2433/tcp になります。

 ポートが変更されたことは、次のコマンドを
 コマンドプロンプトから実行すると確認できます。
 isql -S localhost,2433 -E -Q "PRINT 'OK'"
 ここで、注意する点があります。
 「サーバーを非表示が有効の場合、
 SQL Server 起動時にポートが 2433/tcp に設定しなおされる」
 「既定のプロパティ」または、レジストリ TcpPort にて、
 ポート番号を 1433 または、任意の設定していた場合でも、
 非表示が有効になっていると、
 SQL Server の起動時に 2433 に変更になります。

 サーバーを非表示をいったん有効にして、SQL Server を起動しなおしたあと、
 再度、サーバーネットワークユーティリティにて、「既定のポート」をみると、
 2433 に変更になっていることがわかります。
 レジストリ TcpPort でも確認できます。

 たとえば、9999 に設定していても、2433 になります。

 なお、サーバーの非表示を有効から無効にしても、
 ポート番号は、2433 のままになりますので、これも注意が必要です。
 1433 に明示的に修正してください。

■スキャンする場合には、2433/tcp も。
 手軽なセキュリティ対策として、「サーバーの非表示」を
 設定している場合が考えられます。

 そこで、SQL Server のうごいているコンピュータを検索する場合は、
 1433/tcp だけでなく、2433/tcp もスキャンすることをお勧めします。

■1434/udp は LISTEN のまま
 「サーバーの非表示」を有効にしても、1434/udp は、LISTEN になっています。
 1434/udp を LISTEN したくない場合は、TCP/IP プロトコルを含むプロトコルすべてを
 無効にするか、IPSec やファイアウォールで防御する必要があります。

ふと、「サーバーの非表示」って何だろうと、思いついて、調べなおしてみました。

| Add Comment | #SQL Server #Security

一時ストアドプロシージャでの所有権の継承

一時ストアドプロシージャでの所有権の継承について、
Books Online に明確な表記がないようでしたので、
簡単にテストしてみました。
この件は、PASSJ セキュリティ分科会のML にもだしました

■概要
 ## で始まる一時ストアドプロシージャでは、
 所有権の継承は行われない

■テスト
 SQL Server 2000 SP3a
Windows 2000 Server

■内容
 ストアドプロシージャは、通常、所有権の継承が行われます。
 しかし、##test のように ## で、始まる名前をもつ
 一時ストアドプロシージャは、継承されていませんでした。

 例:
 ログイン sa で接続して、
create procedure ##t
as
select top 1 * from pubs.dbo.titles
go
とします。
 次にログイン userA を作成したあと、
 pubs にユーザー userA を追加し、
 titles テーブルへのアクセスを拒否します。
exec sp_addlogin 'UserA', 'password', 'pubs'
use pubs
exec sp_grantdbaccess 'UserA'
deny select on titles to [UserA]
次に、UserA でデータベースに接続し、##t を実行します。
exec ##t
 すると、次のエラーになります。
 「SELECT 権限は、オブジェクト 'titles'、
  データベース 'pubs'、所有者 'dbo' にありません。」
 テスト終了後、ログイン,ユーザーを削除します
exec sp_revokedbaccess 'UserA'
exec sp_droplogin 'UserA'
■背景
 ## で始まる一時ストアドプロシージャは、
 どのログインからでも呼び出すことができます。
 さらに、特定のログインやユーザーにのみ、実行を
 許可したり、拒否する機能がありません。
 したがって、このようなストアドプロシージャの実装時には、
 各自が適切なユーザーからのみ呼び出せるようにする
 必要があるのではないかと考えました

 たとえば、SYSTEM_USER を評価して、適切なログインのみ
 実行を許可するという方法です。

 例:
 
create procedure ##t2
as
SELECT SYSTEM_USER
IF SYSTEM_USER <> 'DOMAIN\UserP'
  RETURN


SELECT 'OK'


go




exec ##t2



 今回、所有権の継承が行われていないことが

 確認できましたので、特にこのような実装は必要ないかと

 思います。



※もしかしたら、継承させる方法があるのかもしれませんが。

※継承できないのは、それはそれで、使いにくい場合もあるかも。


 | Add Comment |  #SQL Server #Security
VIGIL MS03-032 対応
VIIGIL セキュリティ情報




ネットワークパケット解析ツールの VIGIL にMS03-032 の問題がありました。

キャプチャした部分を HTML 表示する部分です。

このとき、キャプチャ内容をローカルHTMLとしてしまっていたため、マイコンピュータゾーンで

ページが表示されました。

そのため、MS03-032 のコードを含むパケットをキャプチャした場合、とても危険な状態になります。



開発元の札幌ソフト開発工事用 SAPPOROWORKS の方に連絡し、対策版を開発していただきました



同様に、Internet Explorer の WebBrowser コントロールを利用しているアプリケーションでは

実装に注意する必要があります。
 | Add Comment |  #MSMVP #Security
うにさんの「時代はどこに流れるか」
時代はどこに流れるか(うにょうにょ別館)



コメントをまとめてみようと思います



まず、多様性を実際に確保するのは、大変な現実がある点



インターネットとして最近狙われているのは、ルーター、ファイアウォールがあります。

では、アタック対策としてWindows以外のOSを考えている人は、これも考えてね


    

  • OS はもちろんとして
    • 

  • ルーター
    • 

  • ファイアウォール
    • 

  • ウィルス対策ソフト
    • 

  • メールサーバーソフト
    • 

  • WWWサーバーソフト
    • 

  • ASP.NET, JSP などのアプリケーションサーバ
    • 


たとえば、CISCOのIOSに脆弱性がみつかったら、他のメーカーのルータにするとか。

JSP に脆弱性がみつかったら、ASP.NET をつかうとか。



次にデスクトップOS をいろいろ入れると、業務ソフトの開発は、マルチプラットフォーム
対応な Java などで作る必要がありますね。

※すべてJavaになって、すべてのコンピュータにJavaランタイムが乗ると、
Javaなウィルスやワームがでたらどうしよう。



GNU Project は、えらいことやってくれましたよね。



攻撃者が意図的にうごいていれば、かなりのソースにバックドアがしこめたでしょう。

その場合、すべてのダウンロードした方に、やばいという通知がいくのでしょうか ?

そもそも、GNU Project は、脆弱性が発見された場合に、どのように周知徹底するの ?

その方法は、十分に効果的なんでしょうか ?



Windows vs. Linux は、メディア受けしやすいですが、実際のところは、

マイクロソフトの取り組み vs. Linux/Java 陣営各社の取り組みではないのかと思います

 | Comments[6] |  #Security
09/26/2003 7:41 PM
実際のところ、Microsoft以外はセキュリティ関連の通知はなきに等しいと思っています。Microsoftなら、Windows UpdateをチェックするかgotoRssでチェックすればいいと分かります。では、Linuxは?Oracleは?となると悲観的になります。Red Hatにしても日本サイトは情報なんて皆無に近いと思います。

OSベンダはすべからくRSSで情報発信を!(w
うに。
09/27/2003 12:16 AM
商用Unixや、Oracleの場合は年間保守契約をつけていないと、情報や、パッチの入手は難しいと思います。これだけをとってみても、実はWindowsやMS SQL Serverを使うメリットがあると思っています。
Linuxを含むオープンソースは各プロジェクトのMLやWEBを丹念にみてパッチがでていたら確実にソースに当てて、その都度ビルドしていくしか、方法がないと思います。それができないのであれば、ディストリビュータがパッチ用のRPMを出してくれるという善意を信じていくしかないと思いますね。
 |t_ishisakaAT NOSPAMnifty dot com
09/27/2003 2:40 AM
オープンソース系のパッチはトロイとかを注意しないといけないので信用できるところを確保しなければいけないですよね。趣味だったらコンタクト取ったりとかして活動するだろうけど、仕事だとしないよね。

つまり、仕事だったらきちんと信用できるディストリビュータに付くしかないと。
うに。
09/27/2003 2:43 AM
失礼、上のコメントは否定的な意味ではありません。「付くのは当然」と考えていますのでそういう意味です。仕事で使うならきちんとしたとこから買って使うのが当然ですよね。もちろん、ヲタ系の管理者がいたとしてもです。
うに。
09/27/2003 7:6 PM
オープンソースのソフトウェアを使用する場合には、基本的に自己責任が原則ですよね。特に業務で使用する場合には、(縦しんば製品として売る場合には)最終責任は自分(自社)で負うつもりが無いと難しいというか、そう言う文化の上にオープンソースが成り立っているということは意識してほしいなぁと思います。他者に払うコストが安くなるというのは、自分が背負うコストが高くなるということを認識してほしいですね。
ishisaka
WebBrowserコントロールで、セキュリティゾーンを制御する
WebBrowserコントロールのセキュリティ設定



WebBrowser コントロールでセキュリティゾーンを制御する方法を GotDotNet Japanで

質問していたところ、MSMVP の青柳さんが、サンプルを開発してくれました。

参照: GotDotNet 「WebBrowser コンポーネントでのゾーン指定方法」


C# による実装となっています。

これと、「オリジナルプロトコルを定義する」を組み合わせる

ことにより、ダイナミックコンテンツを任意のセキュリティゾーンで実行させることが

できそうです。

みなさまのご協力に感謝します
 | Comments[6] |  #MSMVP #.NET #Security
09/17/2003 4:49 PM
青柳さんのソースをすこし修正して、オリジナルプロトコルを定義して、
うまく連携させることができました。
※作業中、青柳さんにメッセンジャーでヘルプしていただいて...
セキュリティのほうは、GetSecurityId で値を設定しないと、MapUrlToZone が呼ばれない場合があることを確認しています。
河端善博
09/18/2003 6:21 AM
microsoft.public.dotnet.framework.windowsforms.controls
で質問をあげておいたところ、
Ying-Shen Yu[MSFT]さんと、Herfried K.Wagner[MVP]さんが
乗ってきてくれました。
セキュリティゾーンに関するレジストリをいじったあと、InternetSetOption API にINTERNET_OPTION_SETTINGS_CHANGEDオプションを指定して、呼び出したらどうだって。
こちらのほうが、進んでいるようですので、フィードバックしよう
河端善博
09/18/2003 9:50 AM
あ、楽しそうな事してる(^^;

 WebBrowserコントロールをホストするコントロールを作り、そのウインドウでCOMのIFを実装することでForm側の記述量を減らせませんかね?
 ドラッグ&ドロップでFormに置いて、プロパティで ZoneをInternetにするとかできると幸せ(^^;
#もちろんお手伝いいたします
菊池 和彦
09/19/2003 1:4 PM
菊池さんありがとうございます。
しばらく手をつけられそうにないので、どなたか、まとめていただけると幸いです
GotDotNet Samples にも公開したいと。
河端善博
09/22/2003 4:6 PM
 えと、とりあえず、青柳さんのコードをベースとして、UserControl内にWebBrowserをホストすることで、ISecurityManagerにたどり着くまでの手順はユーザコントロールを配置するだけで完了できるようにしてみました。
 ISecurityManagerの実装は当然として別に必要なのですが、delegateによってさらに外部に委譲する、delegateが設定されていなければ 何もせずにINET_E_DEFAULT_ACTIONを返すって所まではできそうです。
 ここまで行けば、MapUrlToZoneを置き換えたい場合の手順はコントロールを置き、コンポーネントを置き、MapUrlToZoneにdelegateをつなぐだけでできそうな気がします。
 ただし、SecurityManagerの置き換えは強力すぎる気が…
 InternetゾーンのURLを平気でMy Computerゾーンで表示できてしまったので諸刃の剣な気がします。
 コードアクセスセキュリティ等の仕掛けレベルでの安全性確保や、制限を強くする方向にしか適用できないようにする等の実行時セキュリティも検討必要ですね。
菊池
オリジナルプロトコルを定義する
HTML view with program generated pages

(GotDotNet UsersSample 2002/8/25 for Windows Forms)



このサンプルは、Windows Forms 上に貼り付けた Webページで専用プロトコルを利用できるようにしています。



例: cmd://hello


IGenericProtocolDataProvider を定義して、Form で継承します。

プロトコルの定義は、C# からできるようになっています。



このプロトコルを任意のセキュリティゾーンに指定できれば、オリジナルコンテンツのゾーン指定も
簡単にできそう。
 | Add Comment |  #.NET #Security
save from url コメントでローカル html ファイルのセキュリティゾーンを変更
html ファイルのセキュリティゾーンのお話です。

自分のハードディスク上にある html ファイルを IE で表示すると、「マイコンピュータ」ゾーンになります。

まず、試してみてくださいね。



次に、その html ファイルの最初に、次の文字をいれてみます。



<!-- saved from url=(0022)http://internet.e-mail -->


ファイルを保存して、もう一度、IE で開いてみてください。

「インターネット」ゾーンと表示されていると思います

※ブラウザでリロードするだけでは、変化しないかもしれません



この saved from url は、たとえば Outlook Express でメールに添付された html ファイルを

ハードディスクに保存すると、自動的に追加されます。

書式は、次のようになっています。



<!-- saved from url=(URL文字数)URL -->


URL に「信頼済み」ゾーンや「制限付き」ゾーンを指定すると、それも有効です。

おそらく、WWW ファイルをローカルに保存したときに、ダウンロードもとの URL を

この形式のコメントとして追加しておくと、ハードディスク上から保存したファイルを開いた場合も、

正しいセキュリティゾーンになるようにしているのではないかと思います。



ただ、この仕様、どこに明記されているのでしょうかね.
 | Add Comment |  #Security
Windows Server 2003 のスタックベースバッファオーバーフロー予防構造を突破する
Defeating the Stack Based Buffer Overflow Prevention mecanism of Microsoft Windows 2003 Server.

PDF 形式, 2003/9/8, by David Litchfield



NGSsoftware.com から面白いレポートがでています。

16ページにわたって、どのようにして BOF 予防構造を突破するか書いたあと、

サンプルプログラムも提供されています



まだ、読んでいないのですが。
 | Add Comment |  #ToDo #Security