はてなブックマーク

IISのフォルダ侵入およびファイル要求解析の脆弱性 Windows 2000 World 2001年2月号 月刊セキュリティレポート No.12 今回はIIS4.0および5.0に関する「Webサーバフォルダへの侵入」と「Webサーバによるファイル要求の解析」の二つの脆弱性を取り上げる。いずれもWebサーバ上で任意のコマンドを起動させることができてしまう、非常に危険性の高い脆弱性である。 Webサーバフォルダへの侵入の脆弱性 この脆弱性は、IIS4.0および5.0において特定のURLを指定することにより、特定の条件下でOSのコマンドをリモートから実行することができるものである。匿名の投稿者によりpacket storm（セキュリティ情報を提供するWebサイト）のフォーラムに投稿され、rain forest puppy氏[1]（図1）によってマイクロソフトへ報告された。またNSFOCUSも同時

Windowsセキュリティ・ワンポイントレッスン 第3回 ソフトウェア制限ポリシーによるマルウェア対策 Windows OSにはマルウェア対策に有効なさまざまな機能が実装されています。そのような機能の一つであるにもかかわらず、あまり一般に利用されていないのが「ソフトウェア制限ポリシー」です。今回はWindowsの標準機能である「ソフトウェア制限ポリシー」を使用したマルウェア感染対策について解説します。 ソフトウェア制限ポリシーとは ソフトウェア制限ポリシー（SRP：Software Restriction Policies）とは、Windows XP以降に導入された「ソフトウェアの実行を制限する機能」のことです（各ホームエディションは除く）。 例えばみなさんが組織のシステム管理者だったとしましょう。組織内のエンドユーザが自分のWindows PC上に好き勝手なソフトウェアを入れて動かすこと

Windowsセキュリティ・ワンポイントレッスン 第2回 USBメモリ経由でのマルウェア感染を防ぐには 近年、多くのマルウェアがその感染媒体としてUSBメモリに代表されるリムーバブルメディアを採用するようになってきています[1]。一昔前、フロッピーディスクを媒体としたウイルスが猛威を振るったことを考えると、まさに「時代は繰り返す」といった感慨を覚えずにはいられませんが、今回の「Windowsセキュリティ・ワンポイントレッスン」はこのUSBメモリ経由でのマルウェア感染の仕組みや、その対策についてお話したいと思います。 基本的な感染の仕組み 私がUSBメモリ経由でのマルウェア感染について初めて耳にしたのは、確か2006年7月の「［CRYPTO-GRAM日本語版］USBでパソコンを乗っ取る[2]」という記事だったと記憶しています。この記事にはUSB機器を接続することでPCを乗っ取ったり、あるいは

Windowsセキュリティ・ワンポイントレッスン 第1回 ハイバネーションの危険性 みなさんはノートPCを持ち歩く際に、どのような状態でパワーオフしていますか? お仕事で外回りなどをされている方などは特にそうでしょうが、いちいちOSをシャットダウンするのは手間と時間がかかりますので、多くの場合、ログオンしたまま一時停止の状態にしておき、パワーオン後すぐさま継続してお使いになっているかと思います。そのようなケースでよく利用されるのが「ハイバネーション」（いわゆる休止状態）ですが、ハイバネーション機能は注意して使わないと思わぬ情報漏洩に結びつきかねません。 今回の「Windowsセキュリティ・ワンポイントレッスン」は、このハイバネーション機能の危険性について解説します。 ハイバネーションとは Windows PCを「一時停止」の状態にする場合、一般的には以下のニ種類の選択肢があります。 スタン

IISクロスサイト・スクリプティング問題 Windows 2000 World 2000年11月号 月刊セキュリティレポート No.10 今回は、IIS4および5における「クロスサイト・スクリプティング問題」を解説する。クロスサイト・スクリプティング問題は、直接Webサーバに対して攻撃を行なうことができるような脆弱性ではない。その問題を持ったWebサーバ（あるいはWebアプリケーション）を間接的に利用してWebクライアントマシンを攻撃するタイプの脆弱性である。 クロスサイト・スクリプティングとは そもそもクロスサイト・スクリプティング（Cross-Site Scripting）問題とは、今年の二月にCERT/CCがセキュリティ勧告[1]を出して広く注意を喚起した、Webサーバ全般に関連する脆弱性である（図1）。基本的には特定のWebサーバソフトウェアに依存したものではなく、Webアプリケー

本文書は、Cyber Security Management誌に寄稿した記事の原稿を、CSM編集部殿の許可を得た上で掲載したものです。 組織のネットワークセキュリティを確保する上で、コンピュータシステムに対するユーザの権限を限定することは非常に重要である。一般ユーザがコンピュータのシステム管理権限を持つというようなことは、通常は考えられない。しかし、ソフトウェアのセキュリティホールを利用すれば、一般ユーザとしてログオンしながらシステム管理権限を得ることも可能となる場合がある。 今回は、Windowsの基本的な機能であるWindowsメッセージを利用した権限上昇の危険性について、いくつかの例をあげながら解説する。 Windowsアプリケーションと「メッセージ」 WindowsのようなGUI（グラフィカル・ユーザ・インターフェイス）ベースのシステムでは、アプリケーションプログラムは画面上に「ウ

Windows NTLM認証とマン・イン・ザ・ミドル攻撃 Cyber Security Management 2004年5月号 あるWindowsシステムが他のWindowsシステムのリソース（資源）を使用する場合、通常、ネットワーク経由のログオン処理が行われる。このようなログオン処理の過程では、そのユーザがどういったユーザなのか（ユーザの識別）、確かにそのユーザ本人であるか（ユーザの認証）、さらにそのユーザがリソースを使用する権限を所有しているかどうか（アクセスの承認）について確認される。 今回はそのようなWindowsのログオン処理において重要な位置を占める「Windows NTLM認証」と、それに対する「マン・イン・ザ・ミドル攻撃」について解説する。 Windows NTLM認証のあらまし Windowsには各種のネットワーク経由でのユーザ認証機能があるが、その中でもNTLM認証（W

Windowsにおける物理アクセス対策 － EFSとSYSKEY Cyber Security Management 2004年10月号 今回はWindows PCが盗難や紛失により、第三者の手に物理的に渡った場合の脅威や、それに対する防御策としてWindowsが装備しているファイル暗号化機能について述べる。 PCに対する物理アクセスの脅威 このところ、企業における個人情報等の機密情報漏洩事件が後を絶たない。つい先日も、ある生命保険会社でPC（パソコン）が盗難に遭い、多くの個人情報が外部に流出した。このように、ハードディスク内に機密情報を記録したPCが、盗難もしくは紛失によって第三者の手に渡った場合、OSによるユーザ認証や、ファイルへのアクセス制御の仕組みなどは、基本的に意味を成さなくなる。 通常、PCは内蔵されているハードディスクの中のOSを起動するように設定されているが、設定を変更する

本文書は、Cyber Security Management誌に寄稿した記事の原稿を、CSM編集部殿の許可を得た上で掲載したものです。 ソフトウェアのセキュリティホールというと、まず最初に思い浮かぶのがバッファ・オーバーフローではないだろうか。バッファ・オーバーフローは、報告される件数も多く、また重大なセキュリティ侵害を引き起こす可能性が高いため、セキュリティホールの中でも非常に重要な位置を占めている。 多発するバッファ・オーバーフロー問題 今年の4月下旬、Sasserという名前のワームが出現し、多くのWindowsコンピュータに感染したことは記憶に新しい。SasserワームはWindowsのLSASS（Local Security Authority Subsystem Service）に存在するセキュリティホール（脆弱性）[1]を利用して感染するように作られていたが、このLSASSの脆

Windows 2000 telnetクライアントのNTLM認証問題 Windows 2000 World 2000年12月号 月刊セキュリティレポート No.11 Windows 2000のtelnetクライアントのNTLM認証により、クライアントのパスワードがオフラインでクラックされたり、認証情報を利用して不正にネットワークログオンされる危険性が指摘された[1][2]。マイクロソフトはこの問題に対し、セキュリティ情報、回避策、および修正モジュールを提供している[3][4]。 NTLM認証とは NTLM（NT LanMan）認証とは、Windows NTファミリーで共通して使用されるユーザ認証方式で、ファイル共有やプリンタ共有時のネットワークログオン（SMB認証）、IISにおける暗号化認証、Windows 2000のtelnetクライアント/サーバ間の認証等、さまざまな局面で使用される。

本文書は、NetworkWorld誌に寄稿した記事の原稿を、IDGジャパン編集部殿の許可を得た上で掲載したものです。 ネットワークシステムのセキュリティ対策を実施する際に、「はたしてこれで十分だろうか?」、「どこかに見落とした穴がないだろうか?」と自問するシステム管理者は多いだろう。ノーマルなネットワークアクセスには十分に耐えられるセキュリティシステムでも、通常考えられないような特殊なパケットがきた時に正常に対処できるだろうか? ある種の状態を持つパケットを素通しさせはしないだろうか? 現実問題として、アブノーマルなネットワークアクセスによりパケットフィルタリングを回避し、不正にアクセスできてしまうケースは数多く存在する。その原因はルール設定のミスの場合もあれば、ネットワーク装置の仕様という場合もある。いずれにせよ不正に侵入される前に、自らのネットワークシステムがアブノーマルなアクセスに対

オンラインソフトで実現する完全無欠のセキュリティ「第11回 PktFilter」 NetworkWorld 2003年6月号 PktFilterとは PktFilterは、Windows 2000/XP上で動作するIPv4パケットのフィルタリングソフトウェアである。Jean-Baptiste Marchand氏によって開発され、BSDライセンスのもとで無償配布されている。 パケットフィルタリングソフトウェアは、コンピュータとネットワークとの間の通信を、一定のルールに従って許可あるいは拒否する。一般的にパケットフィルタリングの方式は、大きく以下の二つに分けることができる。 1) ステートレス・フィルタリング 2) ステートフル・フィルタリング ステートレス・フィルタリングは非常に単純で、個々のIPパケットをそれぞれ単独でルールと比較し、通過させるかどうかを判断する。例えばコンピュータAからコ

Web 2004 12 7 <shio@st.rim.or.jp> 2 p Web SQL XPath HTTP 5 p URL p 3 p p p SQL p XPath p HTTP 4 p Cross-Site Scripting : XSS p Web Ø p Web CGI p Web IIS Apache Ø JavaScript/VBscript Ø Web p Web IE p Web Cookie ID p Web Cookie 5 p http://server/xss/greeting.asp 6 p <h1>aaa</h1> ... p <h1>...</h1> heading p h1 aaa 7 p <script>alert("aaa")</script> ... p <script>...</script> JavaScript p alert(...) p

本文書は、NetworkWorld誌に寄稿した記事の原稿を、IDGジャパン編集部殿の許可を得た上で掲載したものです。 Windowsネットワークを管理する上で、LAN上にどのようなWindowsマシンが存在するか、またそれらがどのようなサービスを提供しているかなど、各Windowsマシンの状況を把握することは非常に重要である。今回は、LAN上に存在するWindowsマシンのNetBIOS名を効率的にスキャンするツール「NBTscan」を紹介しよう。 NBTscanとは NBTscanは、リモートコンピュータのNetBIOS名テーブルをネットワーク経由で調査するツールである。Windows系のシステム管理者であれば、おそらく「nbtstat」というコマンドを一度は使用した事があるだろう。nbtstatはリモートコンピュータのNetBIOS名テーブルを参照する場合などに使用する、Windows

本文書は、NetworkWorld誌に寄稿した記事の原稿を、IDGジャパン編集部殿の許可を得た上で掲載したものです。 システム管理をしていると、システムの動作確認などでSMTPサーバやWebサーバ等に直接アクセスし、生のプロトコルで通信したいといったケースがよくある。今回はそのような時に便利なツール、「Netcat」を紹介しよう。 NetcatはHobbit氏によって開発された、汎用TCP/UDP接続コマンドラインツールである。接続先IPアドレス（もしくはホスト名）とポート番号を指定することにより、その接続先の該当するポートで待ち受けているサーバソフトウェアと通信することができる。またリッスンモードでは、指定したポート番号で通信を待ち受け、接続してきたクライアントソフトウェアと会話することも可能だ。 Netcatのインストール Netcatは1995年から1996年にかけて開発が行われ、1

本文書は、Windows Server World誌に寄稿した記事の原稿を、IDGジャパン編集部殿の許可を得た上で掲載したものです。 日夜不正アクセスと戦い続けるシステム管理者にとって、憎むべき敵は必ずしも外部の第三者とは限らない。さまざまな不正アクセス手法や、それを実現するためのツールが簡単に手に入る今日では、社内の一般ユーザが何らかの目的を持って、突如社内システムに対する攻撃を始めたとしてもなんら不思議ではない。 特に社内ネットワーク環境は、利便性を優先させるがためにセキュリティがおろそかになっている場合が多い。これはネットワークセキュリティに限らず、入退室等の物理的なセキュリティにもいえる。 社内的な不正アクセスにはさまざまな動機が考えられる。単なる出来心や好奇心の場合もあるだろうし、会社や上司に対する不満が引き金になることもあるだろう。あるいは明らかに金銭目的で機密情報を入手しよう