セキュリティの最近のブログ記事

■「攻撃者の“足跡”を探せ」---Windowsレジストリの解析方法：ITpro

■バイオメトリクスのセキュリティを考えるうえでのポイント：ITpro

■「もっと環境対策を意識して，情報通信技術（ICT）を活用しよう」──総務省がガイドブックを作成：ITpro

• http://www.soumu.go.jp/s-news/2007/pdf/070406_1_1.pdf

総務省は，情報通信技術（ICT）活用による環境負荷削減を推進するため，企業向けのガイドブック「ICTを環境にやさしく活用するために」を4月6日に公表した。ICTの仕組みや技術，製品を導入する際に，どのような点に配慮すればいいかを「環境チェックリスト」として一覧表にまとめるなど，実用的な内容だ。

■経産省、モデル契約書の正式版を公開：ITpro

経済産業省は4月13日、ユーザー企業がシステム開発をITベンダーに委託する際に用いる契約書のひな型（モデル契約書）の正式版を公開した。同省のWebサイトにアクセスし、『情報システム信頼性向上のための取引慣行・契約に関する研究会」最終報告書』をダウンロードして入手できる。

モデル契約書のポイントは、ユーザーやベンダーの役割・責任分担を明確に示したこと。例えば、要件定義や外部設計までの上流工程、納品後の運用テストは、委託先が仕事の完成義務を負う「請負」型ではなく、発注者であるユーザー企業が主体となる「準委任」型とする。最近のシステムは要件が固まりにくく、ユーザーがベンダーに“丸投げ”するようでは、プロジェクトが円滑に進まないとの判断からだ。

■マイクロソフト サーバー製品のログ監査ガイド

• ファイルサーバー上のファイル操作における監査 (PDF 形式, 2.1MB)
  • 対象製品： Windows 2000 Server /Windows Server 2003
  • プログラムファイル、設定ファイル等のローカル ファイル、及びファイルサーバー上のドキュメント等のネットワーク共有されたファイルについて、誰がどのファイルに対してどのような操作を行ったのか監査する手順を示します。
• 印刷ジョブについての監査 (PDF 形式, 0.7MB)
  • 対象製品： Windows 2000 Server /Windows Server 2003
  • プリントサーバーが管理するプリンタにて、誰がどのようなファイルを印刷したのか監査する手順を示します。
• タスクについての監査 (PDF 形式, 0.6MB)
  • 対象製品： Windows 2000 Server /Windows Server 2003
  • このドキュメントです。タスク スケジューラー、AT コマンドにより、誰がどのようなタスクを登録、または実行したのか監査する手順を示します。
• データベースサーバーにおける監査 (PDF 形式, 0.9MB)
  • 対象製品： SQL Server 2005
  • SQL Server 2005 の標準のプロファイラおよび C2 監査の設定の手順を示します。
• Active Directory上の各種操作における監査 (今後公開予定)
  • 対象製品： Windows Server 2003
  • Active Directory 上でどのようなユーザー、グループが作成または削除されたのか、Domain Admins 等の強力な権限を持つセキュリティ グループに対し、どのようなユーザーが追加されたのか、またグループ ポリシーに対してどのような変更が行われたのか監査する手順を示します。
• データベースにおける監査のガイド (今後公開予定)
  • 対象製品： SQL Server 2005
  • データベースを監査するにあたり、監査レベルの基準、何を監視するか、どのようにトレースするのかなどを示します。

■ITmedia エンタープライズ：「迷惑ソフトとは何か」、定義文書の完成版が公開

• Anti-Spyware Coalition Finalizes Two Major Documents

スパイウェア対策組織のAnti-Spyware Coalition（ASC）は3月15日、どんなソフトを「迷惑ソフト」とみなすかを具体的に定義した文書の完成版を公開した

■最優秀アンチウイルス・ソフトは「AntiVirusKit」，最下位は「Microsoft OneCare」：ITpro(2007/03/05)

【ADVANCED＋（最優秀）】

• G DATA Security「AntiVirusKit（AVK）」：99.45％
• AEC「TrustPort AV WS」：99.36％
• AVIRA「Antivir PE Premium」：98.85％
• F-Secure「F-Secure Anti-Virus」：97.91％
• Kaspersky Labs「Kaspersky AV」／MicroWorld「eScan Anti-Virus」：97.89％

【ADVANCED（優秀）】

• Symantec「Norton Anti-Virus」：96.83％
• ESET「NOD32 Anti-Virus」：96.71％
• GriSoft「AVG Anti-Malware」：96.37％
• Softwin「BitDefender Prof.＋」：96.11％
• Fortinet「FortiClient」：93.99％
• Alwil Software「Avast! Professional」：93.86％
• Norman ASA「NormanVirusControl」：93.63％
• Frisk Software「F-Prot Anti-Virus」：93.27％

【STANDARD（標準）】

• McAfee「McAfee VirusScan」：91.63％
• Doctor Web「Dr.Web」：89.27％

【No certification（推奨せず）】

• Microsft「Microsoft OneCare」：82.40％

■ITmedia エンタープライズ：ポリシーを記すだけでは効果なし――マイクロソフト高橋氏(2007/03/14)

「『セキュリティマネジメント』というと、まずポリシーという話が出てくる。しかしそのポリシーの中にPDCAのサイクルが組み込まれていない」と指摘。つい先日発生した情報流出事件を引き合いに出しながら、実際にチェックし、運用していくことが重要だと説いた。

　「『守れないときにどうするか』『守られているかどうかをどのようにチェックするか』がポリシーの中に記されていない」

■「SQLインジェクションが急増、2005年の7倍に」――ラックが2006年の攻撃レポート：ITpro(2007/03/19)

• 侵入傾向分析レポート Vol.8

■個人情報を売買する地下経済の存在が攻撃者の利益に、Symantec報告(2007/03/20)

■セキュリティ関係者はIEを使わない、SANS調査から － ＠IT(2007/03/20)

セキュリティ関係者が中心にアクセスしているISCと、一般ユーザーが中心の旅行サイトとで、ビジターが使っているWebブラウザを比較した。その結果、旅行サイトでは75％以上がIEを使っていたのに対し、SANSビジターのIE利用率は50％に満たず、FirefoxがIEとほぼ肩を並べた。

■エグゼクティブの最大関心事はネットワークセキュリティ - CNET Japan(2007/03/27)

調査結果によると、企業のエグゼクティブの52％が自社ネットワークにおける最重要項目として「ネットワークセキュリティ」を挙げており、統合ネットワークによってITセキュリティの脅威に対し防御力を向上できると考えていることが判明した。

　また、ネットワーク上に機密性の高い顧客データを保持することは、セキュリティ上「非常に脆弱である」と全体の45％が回答しており、41％が詳細な顧客データを分析、実行する過程で「自社の脆弱性が著しく増大する」と答えており、自社で保持および処理する顧客データの増大に対して強い懸念があることが明らかになっている。

■マルウェアで4割が事業中断、企業被害が深刻に－米Webroot調査(2007/03/30)

「Webroot State of Internet Security」という報告書で、43％の企業が「マルウェアにより事業中断を経験した」と回答。39％がトロイの木馬による攻撃を受けた経験があり、24％がシステムモニタの攻撃を受けたと回答した。キーロギング／ファーミング（偽Webサイトにリンクをはって誘導する攻撃手法）による攻撃は20％だった

■ファイル感染型ウイルスが再び流行の兆し、マカフィー調査(2007/04/05)

■ITmedia エンタープライズ：知識ゼロでも数分で脆弱性悪用コード作成が可能に、中国のWebサイトでツール提供(2007/04/05)

■ITmedia エンタープライズ：企業のSkype利用で情報流出の危険も(2007/04/05)

　Skype導入企業に及ぼすリスクとしては、情報への不正アクセス（37.2％）、データ流出（33.2％）、ワークステーションの悪質プログラム感染（31.7％）が挙げられ、特にリスクはないと答えたのは5.3％のみだった。

　ただ、Skypeにまつわるセキュリティ問題で、最大の脅威になり得るのは人的要素だと44.6％が回答。これに対し、Skypeの脆弱性などソフトウェア環境の問題を挙げた回答者は26.7％にとどまり、こうした問題の責任がSkype開発者にあると答えたのは23.4％だった。

■【レビュー】JavaScript ASPでセキュア通信を - パスワード盗聴対策に"aSSL"はいかが? (1) JavaScriptで開発されたセキュア通信用Ajaxライブラリ (MYCOMジャーナル)

aSSLはJavaScriptで開発されたセキュア通信のためのAjaxライブラリ

■暗号化仮想ドライブで手軽にファイルを暗号化 － ＠IT

TrueCryptのインストールと日本語化

■＠IT Special：IPN-W100APが実現する手軽でセキュアな無線LAN

価格は微妙だがRADIUSの要らずのセキュア無線LAN

■窓の杜 - 【NEWS】MS、Windows XP付属「バックアップ」のイメージをVistaで復元するソフトを公開

• Download details: Windows NT Backup - Restore Utility

■Windows Vista セキュリティ ガイドの概要

■本当に改善されたSQL Serverのセキュリティ：ITpro

2006年の場合，SQL Serverは2個のCVE，MySQLは59個のCVE，Oracleは70個のCVEを，それぞれ抱えている（ESGの報告書はSQL ServerとOracle，MySQLを中心に取り扱っているが，Sybaseは2006年の場合7個のCVEを抱え，IBM DB2は4個のCVEを抱えていることに注意が必要だ）。

■【RSA Conference 2007】Kaspersky氏が語る「クライムウエア」の現状：ITpro

■ITmedia News：内部情報流出の8割は過失が原因――InfoWatchの実態調査

InfoWatchでは2006年に世界各国で起きた情報流出事件のうち、従業員の故意や過失が原因で発生し、1回でもメディアで取り上げられたケース145件について調べた。

内部からの情報流出の66％は民間企業で発生し、原因は過失によるものが77％と圧倒的に多かった。業種や地域による偏りは見られず、大企業や中小企業、政府機関や軍などでも流出が起きていた。

流出した情報は個人情報が81％と圧倒的に多く、それ以外の情報は19％。個人情報流出1件あたりの平均被害者数は78万5000人となっている。

全体で見ると、1件当たりの被害者数は5000人以下のケースが全体の33％を占めているが、米退役軍人省などの大規模流出が原因となり、平均被害者数が膨らんだ格好だ。

流出の経路はモバイル機器が50％ともっとも多く、インターネットは12％、ストレージメディアは5％、電子メール／FAXは3％、郵便3％だった。

■ITmedia エンタープライズ：画像スパムが1年で急増、スパム全体の65％までに

2006年の初めには、スパム全体のうち画像スパムが占める比率は30％だったというが、その数は増加し続け、10月には40％に、2006年末には実に65％が画像スパムに占められるまでに至ったという。

■SQLインジェクションの復旧コスト、1億円超える事例も～IPAが報告書

各種データ、何かの資料に

ウイルス被害については、5,500社に対してアンケートを送付し、1,206社から有効回答を得た結果をもとに、推計モデルに基づいて被害額を算出している。従業員が300人未満の中小企業で、1社あたり約430万円、300人以上の大手・中堅企業で約1億3,000万円と推計している。

• 「2005年 企業における情報セキュリティ事象被害額調査」報告書（PDF）

■インテルの「vPro」は企業のクライアント管理に革新をもたらすか？ － ＠IT

■【Black Hat Japan 2006】JavaScriptでイントラネット内の機器をハッキングするデモを紹介：ITpro

技術的に非常に面白くもあり怖くもある

■企業内PCのオンラインセキュリティ診断、マイクロソフトが無償提供

診断サービスでは、社員がWeb画面で「セキュリティに対する意識調査」アンケートに回答している間に、

自動的に「PCの環境調査」が行なわれる。特別なソフトウェアは不要だ（Active Xの実行を許可する必要がある）。

　診断項目は、

1）IDやパスワード、アクセス権限などの設定状況を調査する「アカウント管理」、

2）セキュリティ対策に関する設定状況を調査する「クライアント設定」、

3）未適用のセキュリティ更新プログラムを診断する「セキュリティ更新プログラム」、

4）ウイルス対策ソフトの設定状況を調査する「マルウェア対策」、

5）不必要なソフトのインストール状況などを調査する「データ保護」

の5項目。意識調査とPCの環境調査を組み合わせて診断される。

■ITmedia エンタープライズ：パスワードをメモる社員は3分の1――米調査報告書

■UAC Escalation Notification(川西 裕幸のブログ)

Windows Vista でユーザー アカウントを超える操作 (例えばインストールや管理者として実行) を行おうとすると、デスクトップが暗くなって、UAC (User Account Control) エスカレーション ダイアログが表示されます。このダイアログが表示されることをアプリケーションから知りたいときは、次のように SetWinEventHook でイベントとコールバックを指定します。

■「セキュリティの意識は高まっているが、教育や開発プロセスの見直しが必要」、シマンテックの調査結果：ITpro

回答者のうち、「自社がセキュリティを踏まえたシステム開発のための教育に力を入れている」と答えた人が68％、「自社がセキュリティ対策をシステム開発の中でプライオリティが非常に高いものと位置づけている」と答えた人が33％に上り、企業の意識の高さがうかがえた。一方で教育については、専門のセキュリティ教育を受けたと回答したのは40％にとどまり、66％の回答者がOJT（オンザ・ジョブ・トレーニング）によるものと答えた。

　システム開発の納期とセキュリティ対策のどちらを優先させているかを尋ねた設問では、回答者のうち12％は「常に納期を優先」、30％は「納期を優先させることが多い」と答えた。一方、「常にセキュリティを優先させる」と回答したのは12％、「セキュリティを優先させることが多い」と答えたのは16％だった。「数年前は、ここまでセキュリティを優先させる人は多くなかっただろう」（シマンテック）。

　しかし、実際に開発プロセスの中にセキュリティ対策の観点からコードをチェックするような工程を組み込んでいるかという問いに対しては、「常に組み込んでいる」という回答は3割にとどまる。63％が「時々」、7％は「組み込んでいない」と回答した。

回答者の平均年齢は40歳。システム開発の経験年数は平均10年で、開発チームの規模は20人程度。

思ったより高いと見るか低いと見るか…

■Office 2007 との競合？

10月のMS更新プログラム(Office系のやつ）をOffice 2003とOffice 2007が同居する環境にインストールするとOffice2007の起動時や、ファイル保存時に何かのコンポーネントをインストールしようとしてWindows Installerが起動する…。

とりあえずOffice2007の修復インストールで解消されたが、βとはいえ勘弁してくれ(;´Д`)