タグ: 脆弱性

Windowsのガジェットはいつ廃止になったのか

某PC雑誌を見ていた時ですが、ガジェットは重大な脆弱性がある為廃止になりましたとあり、
「えっ、いつの話?」とネットで調べた所、なんと2012年じゃないですか!!

しかも、管理者権限でログオンしていると攻撃の可能性があると・・・
よくもまあ、こんな危ないものほっておいたものです。

なお、この脆弱性はWindowsVistaとWindows7のみですので、その他のプラットホームの方は記事を飛ばしてもらってかまいません。

では本題です

ひっそり廃止したサービス

そもそもWindowsのガジェットとは正式名Windowsデスクトップガジェット(ウィキペディアより)と言うらしいですが(以下ガジェット)、WindowsVistaで導入され、Windows7でも引き継がれた簡易情報サービスです。

管理人はカレンダーしか使っていませんでしたが、他にも株価の情報や天気など
リアルタイムで得られるものもあったので、使用していて突然情報が廃止した方は不便したのではないでしょうか。

ちなみにカレンダーだとこんな感じ

ガジェット

そもそもなんでサービス廃止に気がつかなかったのでしょうか。

マイクロソフト(以下MS)は相当な緊急性が無い限り、月例対応で環境に合わせた修正プログラムを配信します。

まあ、この点は問題ないのですが、ガジェットの脆弱性の修正を月例パッチに乗せてしまうと、使用しているユーザーすべてに影響が出る為、個々に修正をあててくれという事でしょう。(バグにより情報配信を廃止した時点でもっと周知すべきだったと思いますが)

なんともMSらしいですが、新規のガジェット追加は廃止している為、
カレンダー機能くらいでは気付きにくい様です。

ただ、MSは機能を無効にする事を推奨しています。

Windows ではこの機能を廃止すると共に、脆弱性のあるガジェットや悪意のあるガジェットについて懸念を持つ Windows Vista および Windows 7 をご使用のお客様に、できるだけ早くこの機能を無効にすることを推奨しています。
セキュリティTechCenter(デスクトップ ガジェットより)

ガジェット機能を無効にする

MSからは3つの方法が紹介されていますが、管理人が実行した方法を書いておきます。
(必ず管理者権限で行ってください)

自動のFix itソリューションを使用する

マイクロソフト セキュリティ アドバイザリのガジェットの脆弱性により、リモートでコードが実行される。

上記リンクより、Fix itで「無効にする」Microsoft Fix it 50906を選択し、ダウンロードします。
(使用の前には必ず条件を確認してください)

パッチFix

実行すると再起動を要求され、再起動後にはガジェットが無効化されています。

確認方法として、スタート>>すべてのプログラム>>デスクトップガジェットを選択します。

反映確認

上記が確認できればOKです。

補足事項
Fix itとは不具合修正プログラム(パッチ)の事なのですが、緊急性があるもので月例パッチが間に合わない時や、一時的に特定のバグを回避する際に配布される事が前提とされています。
しかし、今回の場合はガジェット自体が廃止とされている為、復活はないでしょうし、上記に記した既存ユーザーの件もあるので月例パッチでは配布を行わず、ユーザー対応に任される形で放置されると思います。

参照リンク
・ガジェットは廃止になりました(マイクロソフト)
・マイクロソフト セキュリティ アドバイザリ(マイクロソフト)
・セキュリティTechCenter(デスクトップ ガジェットより)

まとめ

気がつかない脆弱性で今後対応できるのか
今回の様に、一部のサービスですが脆弱性があまり周知されていないバグがまだまだ潜んでいそうで、いまさらですがMSの対応は相変わらずだなと思います。

製品のサポートが終わってもバグは絶対残るので、どの商品でも絶対安全という事はありませんが、管理者権限で実行できてしまうバグは情報をもっと出すべきですね。

チェックがあまいと言われればそれまでですが、PCを使っているのは上級者だけではありません。
むしろ、初級~中級ユーザーが大半だと思いますので、MSに限らずこの辺は徹底してもらいたいですね。

マウスコンピューター/G-Tune
Pocket

SSL3.0の脆弱性発覚で運営側続々と対応

SSL3.0という通信プロトコルに深刻な不具合が発覚した為、サーバー運営側や、ユーザー側にも対応が推奨されてきています。

では本題です

SSL3.0の脆弱性対応や廃止が続々と発表されていますが、深刻な不具合とはいえ、相当複雑な条件下で発生するらしいので対応する事は推奨されますが、今の所あせる必要はなさそうです。

登場からほぼ18年で幕をおろすSSL3.0

元々、前の規格SSL2.0に脆弱性があった為、互換として発表されたものだったのですが、ほぼ18年で幕をおろす事になりました。

年数の訂正ほぼ15年で幕をおろす事になりましたGoogle Online Security Blogより、年数の訂正を致しました。

[Updated Oct 15 to note that SSL 3.0 is nearly 18 years old, not nearly 15 years old.] SSL3.0はほぼ15歳ではなく、ほぼ18歳であることに注意することを10月15日に更新いたしました。

Web翻訳の為、若干の違いがあるかもしれません。

近年は、TLS(ウィキペディアより)と言われる後継の通信プロトコルが主流になりつつありますが、SSL3.0もまだ多く使われている事から対応の推奨をしている訳です。

ユーザー側の対応策

深刻な不具合には違いありませんが、ほぼ運営側にまかせるしかないと思います。
普通にブラウザでネットを閲覧しているだけであれば、常に最新のバージョンにしておけばまず問題ないと考えています。

ただし、あまり古いブラウザや、サーバー運営側が対応していないとまれに問題が起こる可能性は否定できません。
対応策などは、IPA(独立行政法人 情報処理推進機構)からアナウンスされています。

対策サーバもしくはクライアントのどちらか一方で、SSL3.0を無効化することで対策できます。
なお、SSL3.0を無効化することで次の影響を受ける可能性があります。
・サーバ側でSSL3.0を無効にした場合一部のクライアントから接続ができなくなる可能性があります。
・クライアント側でSSL3.0を無効にした場合一部のサーバに接続できなくなる可能性があります。

IPA独立行政法人情報処理推進機構より

IPA独立行政法人情報処理推進機構によると、対処方法はサーバー運営側とユーザー側に分かれていますが、ユーザー側であればブラウザの更新に伴い、SSL3.0が無効化される方向にありますのであまり気にする必要はなさそうです。

参照リンク

・SSL3.0に深刻なセキュリティ脆弱性-Googleが発見(マイナビニュースより)

・SSL3.0の脆弱性対策について(IPA独立行政法人情報処理推進機構より) 対応情報など随時更新中

*****     まとめ     *****
  • 推奨レベルでも対応は必要
    複雑な条件下で起こる不具合とはいえ、ユーザー側であれば常にブラウザを最新状態に保っておく事が重要だと思います。
    使用ブラウザがIEであれば、ツール→→インターネットオプション→→詳細設定で「SSL3.0を使用する」という項目がありますのでチェックをはずして適用してください。
    これでどこかのサイトが反応しなくなった場合、その運営側の対応が済んでいない可能性があります。
  • 対応を迫られるサーバー運営側
    SSL3.0で運営している所はそんなに多くはないとの情報ですが、世界的に見たらまだまだ使っている所は多いはずです。
    その弊害を出さない為にも運営側には迅速な対応をお願いしたい所です。
ソニーストア
Pocket

サーバー改ざん被害は人ごとではない時代

ここの所サーバー改ざんによる二次的被害が増加するばかりで、これによるユーザーのウイルス感染被害も人ごとではなくなってきました。

では本題です

5月下旬に起きたバッファローのダウンロードサービスによる被害は、韓国CDNetworksのサーバー改ざんが関与していたと報告されています。
サイトを閲覧するだけでウイルス感染するやっかいなものです。

原因はAdobeFlashPlayerの脆弱性

韓国CDNetworksのサーバー改ざんは、AdobeFlashPlayerの脆弱性を突いてウイルスが組み込まれていた為、被害の拡大に至った模様で大手セキュリティベンダーのシマンテックも警告しています。

株式会社シーディーネットワークス・ジャパンとはネットワーク関連企業で、韓国法人からはじまり、現在はKDDIの系列企業らしいですが、はじめて知りました。(株式会社シーディーネットワークス・ジャパン ウィキペディアより)

2014年6月11日現在、プレスリリースでセキュリティ被害のお知らせとして追加更新されていますが肝心の被害状況が記載されておらず、企業体質が疑われても仕方ないと思います。

プレスリリースより影響を受けた被害サイト(各社の被害報告など)

・GMOペパボのブログサービス「JUGEM」
【JUGEM】【解決済み】ブログやポータルサイト閲覧時、ウィルス対策ソフトが動作する件について

・エイチ・アイ・エス(HIS)及びリクルートマーケティングパートナーズ
株式会社エイチ・アス告知(pdf) リクルートマーケティングパートナーズ

他にも被害を受けた可能性があるとしながらも、詳細な公表には踏み切っていません。

ネットバンキング利用者は注意

今回のウイルスは、ネットバンキング利用者が標的だった様で、バッファローのサイトからも、その内容が読みとれます。

バッファローダウンロードサイトのウイルス混入によるお詫びとご報告より

参照リンク

・バッファローのウイルス感染は、CDNetworksの改ざん被害が関与(ITPROより)

・Flashの脆弱性を突く攻撃、シマンテックが警告(ITPROより)

・アドビFlash Playerの状況確認(最新版がインストールされているか確認できます)

*****     まとめ     *****
  • サイト閲覧で感染のリスク
    サイトを見ただけ、ダウンロードしただけでウイルス感染、被害は止まりません。
    大手セキュリティベンダーも前から述べている様に、ウイルス駆除ソフトではもはや限界があるとしています。
  • 分からないでは済まない時代に突入している
    今回のターゲットはネットバンキング利用者でしたが、ネットバンキング利用者はその利便性から年々増加し、また被害も増加しているのが分かります。
    Web感染で被害にあわない為にも、また、仮にあってしまっても最小限で済む様に複数サイトで同じパスワードを使うなどは絶対NGですので最低限の知識は頭に入れて置きたいものです。
  • 常に最新の環境で使用する
    今回はサーバー改ざんの原因がAdobeFlashPlayerの脆弱性でしたが、パソコンは使用環境で違いが出るものの、色々なソフトの集まりで機能しています。
    最新バージョンのソフトをインストールして思わぬ不具合が出たなんて事もありますが、基本的には「ご自分の使用環境を最低限理解」して「常に最新に保つ事」が今ユーザー側で出来る作業だと思っています。
Pocket

IEの脆弱性対応確認とブラウザの知識

GWも終わってしまい、IEの脆弱性を休み明けに知った方も多いのではないかと思います。

IEは未だに世界の半数でシェアを持っている為、対応出来ていない方やIEがなんなのか分からない方も以外に多い様で、今回の広範囲にわたる脆弱性で対応策以前の問題も浮き彫りになった事が分かりました。

では本題です

今回は、IEの脆弱性で大騒ぎになった事からブラウザに焦点をあてます。

最低限の知識はおさえておこう

ブラウザとはインターネットを閲覧するソフトになり、特定の業務で使用される事もあります。

ウェブブラウザとも言いますが、現在はブラウザと言った方が一般的で通じやすい為、単にブラウザで良いと思います。

IEとはInternet Explorerの略で、マイクロソフトが開発した世界を代表するブラウザになります。

今回の脆弱性騒ぎは、IE6からIE11まで幅広く影響が出た上、米国土安全保障省がIEの脆弱性に対して警告を出した事もあり、一瞬で世界中にニュースが広まり混乱になりました。

そこにきて、パソコンは使っているけれどもIEやブラウザの意味が分からない方がパニックになったと思われます。

今回のIEの脆弱性対応プログラムはすでに配布されており、通常はWindows Updateで自動更新される様になっています。

自動更新されない場合は、パソコンのスタートからすべてのプログラムとたどりWindows Updateから更新してください。

更新の確認方法として

コントロールパネルからプログラムとたどり、インストールされた更新プログラムに
「KB2964358」
あるいは
「KB2964444」 が更新履歴で確認できる。

上記のKB番号はPCの使用環境により異なる様です(2014年5月8日補足)

参考リンク

・日本のセキュリティチーム – Site Home – TechNet Blogsより

・Microsoft セーフティとセキュリティセンターより

もしくは、IEのブラウザのメニューバーのヘルプからバージョン情報を開き、更新バージョンに上記のKB番号が確認できれば問題ありません。(メニューバーが表示されていない場合は「Altキー」を押してみてください)IE11で確認しています(Windows7環境)

IE11更新イメージ

使用環境を知っておく事も大事

IEがなにか知らなくてもインターネットは出来ますがいざと言う時パニックになるのは本人ですので、冷静な対処をする意味を込めて使用しているパソコン環境くらいは把握しておきましょう。

別に、パソコンの速度がどうとか、解像度がどのくらいとかそんな事は分からなくても問題ではありません(開発側だと知らないと問題ですが)ネットを利用するのであれば、最低限使用しているブラウザのバージョンくらいは把握しておくべきだと思っています。

使えるブラウザを2つはインストールしておく

今回の騒動で、IEしか使用した事がない方が他のブラウザに一時的に乗り換える際にIEを使わなくてはならず、どうすれば良いみたいな事がネットで飛び交っていましたが、IEの脆弱性はなにも今回に始まった事ではないので、違和感なく使えるブラウザをメインとして使い、サブにもうひとつ違うブラウザを入れて置けば、いざと言う時使い分ける事が出来便利だと思います。

とは言え、ブラウザも完璧なものは存在しない為、IE以外でメジャーブラウザとなると選択肢が限られてきます。

IEにできるだけ依存しないブラウザを選ぶ

これも結構難しいですが、代表的なのが

Mozilla Firefox(モジラ ファイヤフォックス)

Google Chrome(グーグル・クローム)

Opera(オペラ)などですが、Mozilla Firefoxに関しては2014年5月1日現在、バージョン28で影響を受ける脆弱性が発覚した為、最新バージョン29以降での使用をおすすめします。 Mozilla Firefoxの脆弱性について(JVN iPedia 脆弱性対策情報データベースより)

他にも数多くのブラウザが存在しますが、MSのIEで使われているレンダリングエンジン(Trident(トライデント))を併用している場合があり、MSの世界シェア最大も納得してしまいます。

まめ知識

Acid3(アシッドスリー)ウェブブラウザが特定のウェブ標準にどれだけ従っているのかを調べることを目的にしたものでスコア100で合格となります。(ウィキペディアより一部引用)

Acid3のWebサイト(評価したいブラウザを開いてサイトへアクセスするだけです)

******     まとめ     *****
  • ソフトウェアに完璧はありません
    使用するソフトがブラウザであれ、オフィスソフトであれ不具合は必ず存在します。
    しょせん人間が創るものなので完全なんてありません。

    今回のブラウザ騒動は、世界規模で騒動になった事とIEが使えない>ブラウザが使えない>インターネットが使えないと一部でねじれた誤解が生じた事で、混乱に拍車がかかったと思われます。

    IEは確かに不具合が多いですが、他のブラウザも例外ではありません。
    今回の騒動でブラウザを乗り換えてこれで安心と思っている方もいると思いますがそれは間違った認識となります。
    最低限の知識を身につければ、いざと言う時の対応に少しは冷静になれると思っています。

Pocket

ついに来たOpenSSL対応サイトからのお願い

ついに来たかって感じでしたが、幸いにも情報をもらっているだけのサイトだったので
「パスワードをご変更いただくことを強く推奨いたします」という事でパスワード変更だけで済みました。

では本題です

今回の案内は、迷惑メールでは無い事をサイト元や、登録メールで確認を取った上で変更を行いましたので問題はないと思います。

パスワード変更は充分確認を取ってから

今回の様に、サイトから対応完了のアナウンスがあってから、もしくは、「データ暗号化ソフト「オープンSSL」で脆弱性」で紹介した Heartbleed脆弱性検査を行い、OKであればパスワード変更した方が良いと思います。

OpenSSLの脆弱性の対応が終わってないサイトに対してパスワード変更して、その後サイトから対応終わりましたとアナウンスがあった場合、もう一度変更をしなくてはならず2度手間になってしまいます。

複数サイトでのパスワード使いまわしは危険

これは前々から言われている事ですが、例えば管理しているサイトが3つあったとします。

仮にサイトA、B、Cとしましょう。

パスワード変更が面倒だと、すべて同じID、パスワードにしていた場合Aのサイトが被害にあった時、B、Cのサイトも同じだと、Aサイトで盗まれたID、パスワードからB、Cのサイトへいもづる式に被害にあう可能性があります。

パスワード管理には無料のソフトがいろいろ出ていますので複数サイトを管理する場合はこの手のツールに頼った方が効率と安全性が確保できます。

参考リンク(Heartbleed脆弱性検査サイト)

・シマンテック(SSL Certificate Checker)

・海外サイト(ハートブリード検査)

その他

・IPA 独立行政法人 情報処理推進機構

OpenSSLの脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について

OpenSSLの表記について

上記サイト、IPAやセキュリティベンダーは「OpenSSL」としている事から今後の記事に関しては「OpenSSL」表記に統一していきたいと思います。
なお、すでにUPした記事の表記に関しては 記事全体に問題が生じなければ修正はしない事にしています。

Pocket

三菱UFJニコスOpenSSLで情報流失か

クレジットカード会社の三菱UFJニコスにオープンSSLの脆弱性を突いたアクセスがあり、顧客情報が流失した可能性があるとしています。(4月19日現在)(各メディア記事より抜粋)

カードの悪用は報告されていないとしていますが、国内で今回のバグに関して被害報道されるのは初となります。

WindowsXP騒動と重なった事

海外では脆弱性については大騒ぎになっており、カナダでは逮捕者も出ていると言うのに国内ではXPサポート終了騒動で手がいっぱいなのでしょうか。

個人的にはXPは最終パッチが出たので、オープンSSLの脆弱性の深刻度に注意してもらいたいと思うのですが、どうも対応の遅れとしか思えません。
通販サイトも膨大にあるのにのんびりしすぎなのではと思います。

今回のオープンSSLの脆弱性で大手サイトも結構使っている事が分かり、カード決済をインターネットで行っている全ての方が他人事ではなくなった気がします。

すべてのユーザーに注意が必要

未対応サイトのパスワード変更はもちろんですが、大手セキュリティーベンダーのシマンテックによると、今回の脆弱性はクライアントすべてが対象になる可能性があるとしており、その範囲もソフトウェアに限らず幅広い分野が指摘されています。(詳しくは下記参照リンクから)

なら、どうすれば良いのかと不安になりますが、ユーザー側では使用しているサイトがOpenSSLかなんて事は分かる訳がありませんので、ネットでクレジットカード決済している口座は明細確認をする事が大事で、それでも不安であれば直接確認を取るべきです。

今後、どの程度被害がでるか検討もつきませんが、最小限で済む事を願っております。

参考サイト

・脆弱性突き、カナダで逮捕者(ITPROより)

・ heartbleed によってクライアントやモノのインターネットデバイスもリスクにさらされる恐れ(シマンテック:セキュリティブログより)

・モノのインターネットとは

 

ノートンモバイルセキュリティバナー
Pocket

データ暗号化ソフト「オープンSSL」で脆弱性

暗号化ソフトの「オープンSSL」で脆弱性が発見され、ネット決済などの根底を揺るがす世界的大ニュースとなっています。

では本題です

オープンSSLのバグで何が危険か

SSL(Secure Sockets Layer)とは個人情報やネット決済情報を安全にやりとりする為の欠かせないシステムです。

オープンSSLとは(IT用語辞典より)

一般的にはこれですね(ヤフーログインより)

ヤフーログイン

アドレスのhttpの後ろにsがついていればSSL対応となる訳ですが、

このSSLのオープンSSLで見つかったバグ(深刻な不具合)が約2年間も気づかれずに放置状態だった事が世界中で大騒ぎになっている訳です。

つまり、2年間個人情報(決済など)がダダ漏れだった可能性が否定できない事と、ユーザー側としてはパスワードを変える位しか出来ないのが現状だという事です。
さらにはアタックされたログ(記録)が残らないそうなので、追跡が不可能と最悪です。

オープンSSLと深刻度

オープンとある通り、誰でもスキルがあれば自由に利用できる為、かなりネットに浸透しているのは確実で、今回のバグについて大手セキュリティベンダーも「深刻」と警戒しています。

一般ユーザーが危険サイトを確認できる方法

今回のバグは、オープンSSLに潜んでいたハートブリードと呼ばれるものらしいですが、今の所、下記サイトにて安全性が確認できます。
(完全な保障を約束するものではありません)ネットエージェント株式会社(Heartbleed脆弱性検査)(現在は閉鎖)

ネットエージェント

ヤフーログインアドレスで確認しましたが、問題ありませんでした。

サイトのhttp://は省いて検査してみてください。

海外サイト(ハートブリード検査) Test your server for Heartbleed

こちらはアドレスをそのまま入力が可能で、All goodと表示されればOKです。

例えば、Amazonであればhttp://www.amazon.co.jp/ではなく、http://の最後にがついているアドレスを指定するか、を付けて検査するとOKになります。
(もしくは、ログインする際にhttps://が付きますのでそちらを指定するなど)(2014年5月補足)

<補足>

チェックにあたり、ログイン画面にSSL指定がないサイト(例:FC2など)はログイン時にセキュリティサーバーを一瞬通る事がありますので、そのアドレスをチェックしないと意味がありません。

ちなみに、管理人がチェックした時はOKでした。

参考サイト

・ロイターより(暗号化ソフトに重大なバグ)

・一般ユーザーの為のOpenSSL脆弱性おさらい(ITPROより)(2014年5月追加)

*****     まとめ     *****
  • ユーザー側の対応
    これらの不具合はサイト管理者が対応しなければ放置状態です。
    オープンソースとはいえ、約2年も不具合が放置されていたらしいのでそれは世界が大騒ぎでしょう。

    残念ですがユーザー側で出来る事はありません。

    上記検査サイトでアウトになったサイトを使用していればサイトの対応を待つか、パスワードを変更するくらいしかないと思います。
    また、パスワード変更は今回に限らず変更のくせはつけておき、
    複数サイトで同じIDやパスワード使用などは禁止した方がセキュリティ上安全です。

  • 大手サイトの対応
    ネット決済やバンキングで気になる方が一番だと思いますがAmazonなど大手は問題ないとしているそうです。
    ですが、対応しましたという所は気をつけた方が良いと思います。
    過去の取引がバグ発覚まで放置状態だった可能性がありますので。
  • SSL導入にはお金がかかる
    大手優良サイトや官公庁は多少金額が高かろうが大手のSSL導入サービスを選びます。
    個人でレンタルサーバーなどを運営された方は分かると思いますがSSL対応サイトにはとにかく導入コストがかかります。
    その為、個人情報を入力する画面なのにSSL対応されていないサイトもたまに見かけます。
    そんな背景もあり、オープンSSLが現在世界に広まり大きな騒ぎになった原因だと思います。

オープンソフトとはいえ、SSLサイトが危険にさらされてはネットでの信頼性が根底から崩れかねません。

オープンSSLで過去、どれほどの情報が外部に漏れたかは分かるはずもありませんが、大手サイトくらいは信頼性の高い暗号証明証発行サイトを使用してもらいたいものです。

オープンSSLの表記及び補足事項

  • オープンSSLの表記について(2014年4月24日記事より「OpenSSL」に統一致しました。)当初、「オープンSSL」か「OpenSSL」で迷ったのですが、ボランティア団体がオープンソースとして開発している為、オープンSSLでもいいやという結論になりました。どちらも意味は同じです。
  • OpenSSL日本語サイト(文字化けする場合は、ブラウザの表示からエンコードを自動判別にしてみてください) また「データ暗号化ソフト」ではなく「データ通信暗号化」であるとしているサイトも見かけますが確かにプロトコルという通信手段の一部である事から分からない訳ではないのですが、一般ユーザーからしてみればそこまで詳しくないですし、情報が正確に伝われば良いと思います。
    SSL表記で統一するのは問題ですが、使用サイトが危険か危険じゃないかが分かれば良い話です。
    プロトコルとは(IT用語辞典より)
  • 今後一番注意しなければいけない事
    暗号化ソフトの不具合が大規模に発生した事により、今後パスワード変更に関する迷惑メールなどが増えると思われます。

    【例】「弊社サイトがこのたび発生致しました暗号化の不具合により・・・中略・・・至急下記アドレスよりパスワード変更をおねがい致します・・・」とか、ご自分が現在使用しているSSL対応のサイトを確認、もしくは問い合わせの上、迷惑メールやサイトの誘導には引っかからない様に気を付けてください。

    しっかりした所は対応済みかどうかなど必ず教えてくれます。

Pocket