G'night Jan 09, 2010
今日の24:00スタートの仕事があるので寝るわけにもいかず・・
----------
今日はいつもと違う視点で
----------
検体・・・
検体を送ってくださる方へ、お願い。
ZIPでくれ・・・は違法という話ですが
検体を送る際には必ず PASSWORDをつけたzipでお願いします。
IDSに引っかかると、後処理がめちゃくちゃ面倒なのです。
----------
レジデントの責任
インシデントという用語は、かなりバズワードに近いものがあり、一般的には「セキュリティ問題の可能性の高いトラブル」と認識されているようです。
インシデントとは
今日、尋ねられたのは
「ハウジングしているサーバにインシデントが起きた場合、どちらの責任なのか?」
という非常に難しい問題でした。
例えば、これまで散々コキおろしてきた LeaseWeb(AS16265)ですが、最近はあまり大規模な汚染源報告をみかけなくなりました。
Search: AS16265
これは、Unmask Parasitesで取り上げられ、新聞紙面にも名指しで防弾ホスト扱いされるようになって初めて事態の深刻さに気が付き、自己テイクダウンを実行するようになった結果だと好意的に判断しています。
comment by Alex de Joode
プロバイダに代表される、サーバー管理者側(レジデント)は
特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律(プロバイダ責任制限法)
による掣肘を受けますが、どちらかといえば著作権法や猥褻物陳列罪への対処から慌ててつくられたものであり、ウィルスを散布するサイトへの公的な制裁等の条文はありません。
参考:
FLMASK事件
大阪FLMASK事件(正犯):大阪地方裁判所判決全文
※注意:原文がみつからないため、判決文の全文を網羅しているかどうかは不明です。
現時点で、ウィルス散布に対する正式な犯罪立件は「前例が無い」ため、どのような形になるかは裁判所が決めることでしょうが、プロバイダ側が自主的にテイクダウンすることが望ましいと考えています。
----------
誰が悪いのか?
そりゃ、ウィルスの作者に決まってます(笑)
正確に言えば、背後にいるRBNのような犯罪組織ですが・・・
最近、答えにくいな質問が【公開しないで】タグつきでやってきますが、基本的に私はセキュ会社の人間では無いので、どこかのセキュリティソフトに肩入れしたりはしていないつもりです。というより、どこに対してもナナメ上かもしれませんが(苦笑)
SymantecやTrendMicroに対して、口調がキツイのは、実際に使っているにも拘わらず感染してしまうケースが多く散見され、
「セキュソフトさえ入れておけば安全」
のような間違った幻想を植え付けた罪が重いと考えているからです。
しかし、これはセキュ会社だけを断罪できる性質のものでもありません。
本体なら、一般ユーザがセキュリティに関してアレコレ考えなければならないほうが異常事態なのであって、責任所在がどこにあるか?と問われれば、私は即答で Microsoft だと答えるでしょう。
家に鍵をかけない人が、昔は大勢居たわけですが、都市部で今でも鍵の無い家は存在しないでしょう。しかし、壁をブチ抜いて侵入してきたり、床板をはずされたり、親戚を装って入ってきたりと、千差万別な侵入に、果たして鍵が役に立つでしょうか? Microsoft Windowsのセキュリティ対策はまさにそういう状況です。しかも、地理的な垣根が存在しないだけに、即効的な対処が要求されるセクションでもあります。
にもかかわらず、セキュリティ市場が拡大し、その経済効果が無視できなくなった時点で、事態がユーザーの利便性を通り越した方向に暴走している感触を常に感じています。
セキュリティ会社にしてみれば、2~3年前のように、散発的にセキュリティ・インシデントが発生し、僅少な数の「インセキュア・ユーザ」が感染して被害を被っていた時代が一番よかったのかもしれません。恐怖のみを煽っておけば、数少ないウィルスから、自分の顧客だけは安全な位置を保てたからです。
しかし、現在は異なります。あまりにも多くのベクトルで攻撃が発生するため、セキュリティソフトの重要性よりも、進入経路やその対策といった踏み込んだ部分までの知識が要求されます。逆に言えば、その知識を持ってしまえば、現在のセキュリティ・ソフトが如何に役に立たないのか(メモリとプロセスのムダだと)エンドユーザが気付き始めているのです。
Microsoftの市場寡占と独禁法の絡みで、結果的にユーザの安全性がないがしろにされている現在の状況は、あと数年したら「笑うべき時代」とネタにされるのかもしれません。
あと、なんでもかんでもプリインストールして出荷する「メーカPC」の製造物責任って無いのでしょうか?
少なくとも今回のJRE攻撃で陥落した人の話では、「Javaなんか1回も使ったこと無い」にも拘わらず、プリインストールされていた JRE 6 update10の穴を突かれて陥落していました。
----------
For the Future
Adobeの穴がふさがれれば、また別の穴がでてくるんじゃないでしょうかネ?(苦笑)
ただ、インシデントがパンデミックになるまでに若干の猶予があります。そうした情報を、高い信頼性で共有できるコミュニティの醸成が急務なのかもしれません。(ネタと称してウィルスリンクを貼ったりする場所をコミュニティとは呼ばない気がします)
Windows XPユーザの方で、こうした事態に対して恐怖感を感じていらっしゃる方は、セキュリティソフトよりも先にOSをアップグレード(Vista以降)されることを強くお奨めします。 Vista以降であれば Vista(UAC ON) + 標準Firewall + MSE で特に不安は感じません。
もっとも、100.0%安全な環境など、この世界のどこにも存在しないことを認識せねばならないわけですが・・・
※Adobe Readerのバッファ・オーバーラン攻撃は Vista以降のASLR+DEP保護下では機能しません。
※JavaJRE のZoneInfo オブジェクトの権限昇格問題はかなり深刻で、UACでしか保護できません。
----------
Wikipedia
GENOウイルス
こんな項目がWikipediaにできていて失笑。
EnglishはGumblarにリンクされてるのが更に笑えます(いや・・笑っちゃマズイのか?)
こっち(Security Tool)は、さすがにまだ日本語ページはできていませんね。
EoF