セキュリティ

青少年インターネット規制法案

myugaru (myugaru@wankuma.com) — Thu, 24 Apr 2008 02:37:00 GMT

青少年インターネット規制法案に対する意見および保護者とともに行う自主的な取組みについて
Microsoft:http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3429

難しそうな感じに書いてあるのでもうちょい砕けた解説してくれてるところ

GIGAZINE:「青少年インターネット規制法案」にヤフーとマイクロソフトと楽天などが共同で「反対」を表明
GIGAZINE:「青少年インターネット規制法案」が成立すると、日本のネットは完全に死ぬ

先だって私myugaruがP2Pを全部廃止しちゃえ、みたいな話を書きましたが、

読み返して確認くださってもいいですが、私はそれは”国というのは、そういう乱暴にかなりおおざっぱに決めようとしますよ”という意味で書いたものです。

まあ行間を察してくださらない多くの皆様に袋たたきにあったわけですが、現実はやっぱりその程度のもんでしたね。

凪瀬さんの例え話（P2Pのない世界）のような静まり返った王宮も間もなく現実のものになろうとしています。

さてどうしますかね。

＃とりあえず早苗ちゃん(早苗ちゃんの発言)には票入れないように親戚に言っとこう

＃もひとり居た(美穂ちゃんの発言)

１３歳独少年がＮＡＳＡの計算ミス正す＝小惑星の地球衝突確率

myugaru (myugaru@wankuma.com) — Fri, 18 Apr 2008 01:28:00 GMT

【こぼれ話】１３歳独少年がＮＡＳＡの計算ミス正す＝小惑星の地球衝突確率 - gooニュース

まるで近未来映画のようなニュースですね。

ここで言う”近未来映画”。

私なら「マーキュリー･ライジング」を推します。いかがでしょう？

この少年が映画みたいに何者かに狙われたりされないことを祈ります。

Amazon.co.jp: マーキュリー・ライジング

精神に障害を持つ少年・サイモンはある日偶然、国家の極秘コード“マーキュリー”を解読してしまう。事実を知った国家安全保障局は、彼の家を奇襲、難を逃れたサイモンを見つけ出したのは、落ち目のFBI捜査官だった…。

P2Pさん、皆さん、すみません

myugaru (myugaru@wankuma.com) — Wed, 16 Apr 2008 17:41:00 GMT

いつのまにか・・・祭りの張本人です。なんだか裾野が広がっています。

myugaruのこれまでの意見
１．ファイル共有ソフトは犯罪の温床になるので使用反対
２．P2Pはファイル共有ソフトを指す場合が多い
３．面倒だからP2Pって言葉ごとひっくるめて禁止

ここで３の乱暴な意見を書いてしまった結果、
皆様には多大なお手間取らせてしまいました。
この点ただいま深く反省しております。
まず１についてはＯＫだと思っています。
ところが２についてですが・・・。

●果たしてP2Pという単語はどれくらい浸透しているのか
色々検索してみると、そもそもP2Pという単語そのものの認識度が高くなさそうだと思いました。
それは一般的なブログや掲示板でのやりとりなどがほとんどヒットしないからです。
ヒットするのはP2Pそのものを技術的に説明している情報系のページか、
用語のページなどが大半でした。
ここからP2Pという単語がほぼ100%”ファイル共有ソフトの使用”にリンクしていたとしても、
もしかするとそれほど世間的影響は無いのかな？と考えられます。
今後はどう変わるかわからないですが、とりあえず今はそのようです。

→２改定．P2Pという単語はあんまり普及してない。たまに聞いたりするとどうもファイル共有の事を指す場合が非常に多い。

つづいて３ですが・・・。
●主張をやり直します
２が改定されましたので「P2P否定」とかしてると実は意見として
全体のほとんどを指さないということになるわけです。
ついでにP2P以外のファイル共有の事も指していないわけです。
ついでに皆さんに色々と余計なお手間取らせてしまいご指摘をされてしまうわけです。
全然良いことありませんね。

なので・・・P2Pと単体で書くこと自体、今後やめます。

・技術を指す場合＝P2P（通信）技術
・ファイル共有（ソフト）を指す場合＝ファイル共有（ソフト）

とはっきり書くことにします。
そしてそれに伴いP2P否定というのを撤回し改めて主張し直します。
私はP2Pという単語が普及率が高いと考えていました。
それもファイル共有を指す間違った方の意味での普及率が高いと考えていました。
なので全否定にしなければいけないと考えていました。この点お許しください。
色々お騒がせしましたが以下が今の３を改定した私の意見となります。

ファイル共有ソフトの使用はやめましょう

ニュースでファイル共有ソフトが使用されて情報漏えいするなどの不祥事が相次いでから、
結構回りではこの話題にシビアになっていて私もセキュリティをどちらかというと推進する立場にもあるので、
色々ありまして素直になれなかった部分はお許しください。
そして何だかわかんないけど危なそうなら全部否定！って言う意見を述べていたところもあります。
そこに先日の知り合いのトロイの木馬騒動があり少々熱くなりすぎた節があります。
コメントくださいました方には色々と認識の間違いなど指摘いただきありがとうございました。

これでもう意見は皆さんと揃いました・・・よね？

ここまでの参考にさせていただいたご意見：

P2Pの誤解を広めてはならない、P2Pのない世界凪瀬さんありがとうございました。

誤謬を正すのもエンジニアの責務だぜ。な。中さんありがとうございました。

誤謬祭りに乗っかってみる Hirotowさんありがとうございました。

P2Pってなーに？ MrTさんありがとうございました。

片桐さん、とっちゃんさん、RUNさん、かつのりさん、アキラさん、じゃんぬさん、コメントありがとうございました。

P2Pという言葉を変えてしまえばいい

myugaru (myugaru@wankuma.com) — Wed, 16 Apr 2008 15:11:00 GMT

ネタ元：P2Pの誤解を広めてはならない

まず世間の常識として。

P2Pというのはファイル共有ソフトの事です。

それも悪しき利用を指す場合がほとんどです。

いまさら技術者がこぞっていやいやそれは勘違いだとか言っても手遅れです。

P2Pに濡れ衣を着せるとか言っておられる方はP2Pの意味をよくご理解されているのだと思いますが、

残念ながら世間の常識ではP2P＝ファイル共有ソフトの犯罪利用、となっているのです。

方法は２つ。

１．P2Pというのは通信技術である、というのを世間の常識化する

２．P2Pという単語は＝悪しきファイル共有ソフト、と認めて、通信技術には別の単語を新設する。

P2P肯定派な皆さんはがんばっていらっしゃるようですが私には１はそうとうな労力に思えます。

社会というのはおもしろいことはすぐ広まりますが、どうでもいいことはちっとも普及しないのです。

そして私には２しか答えは無いと思います。

そして結論はP2Pは悪しきものですから否定する事で間違っていないですよね？

追記：

もう少し書かせてください。

前エントリーで全否定したP2Pですが、仮に通信技術名称が「新P2P」なりに新設されたとします。

その場合でも意見としてP2Pを否定し、新P2Pは否定しないということを述べています。

現状では通信技術もP2Pですから法整備の段階でP2P（ただしファイル共有うんぬん）というのが作られると思われないと私は考えており、

その意味を込め前エントリーではP2P全体否定しか取り得ないと書きました。

今後ほんとうに新語が出来たならもちろんP2Pはファイル共有部分のみ指す単語ですから、

結果としては私はファイル共有のP2Pのみの否定する人になるという意見です。

追記：

２もホネだというご意見いただきました。

ということは

１も２も実現が難しいのならどっちかが実現するまでは、

残念ながら今後も肯定派と否定派で対立していくしか道はないのかなあと思います。

（赤字を追記してみました）

札幌の高３、無断複製ソフトをネットで販売し書類送検

myugaru (myugaru@wankuma.com) — Wed, 16 Apr 2008 01:49:00 GMT

P2Pで入手したソフトをネット販売して捕まったそうです。

これはネット販売したことから足がついて捕まったわけですが、

先日から書いてますが、もう間もなくにでもP2Pで”入手した時点”でお縄になるケースが出てくると思います。

やめましょう、とか書いてもそういう人たちは読んじゃいないでしょうがね。

とりあえず無駄でも書きますよ。

P2Pはやめましょうね。

追記：P2P肯定派の方たちへの返事：

私はここでは無条件にP2P全体を否定したいと思っています。

ちゃんと使える人がちゃんと使えば素晴らしい技術だという点は認めます。

しかし前エントリーや世間の常識などを振り返ってみていかがでしょうか？
世間一般のセキュリティに対する認識の低さ、IT技術力の低さをちゃんと把握していらっしゃいますでしょうか？
そういう世間の方たちに与える技術としてP2Pは子供に拳銃を与えるようなものです。
そういう部分も考慮せずにP2Pを手放しに賛嘆するという方の気が私には計りかねます。

一部P2Pソフトが本人が意図してなくてもファイルをキャッシュしたりする点はどうしますか？
そのファイルが違法であれば犯罪の片棒かつがされてると私は思います。
あとはサイバー犯罪の流通ルートでP2Pが利用されてるのはどうしますか？
悪しきネットワーク負荷の大半がP2Pによるものだという調査結果についてはどうしますか？
色々な点をみても未然に防げるなら私は包丁反対でよいと思います。
仮に使用する人たちが大人であるとおおむね認めたとしても武器の適宜な使い方を考えて認めるってのをやると結局アメリカの拳銃社会みたいになるのではありませんか？

現在のP2Pは無ければ生活に困る技術だとは私には思えません。
ネットゲームについてもそうです。遊びのために多くの危険をはらむ技術を認めるだなんてナンセンスだと思います。
犯罪の温床になるなら撤廃でいいと思います。
技術として未成熟であればとりあえず禁止という流れは遺伝子操作などでも同じように結論として出ている話です。
現状のP2Pは犯罪利用を防ぐための法的措置や対策が余りにも遅れています。

P2P利用を認めていくためには法的・技術的に犯罪利用を完全に防げる手段が整ってからだと思います。

以下、確証の無い想像を書いてしまったので削除します。すみません。

とりあえず撤廃ってのは私がここで叫ばなくてもいづれそうなるんじゃないでしょうか？
私に噛み付かれてもこればっかりは私が決めていることではありません。

PCセキュリティでも“ガラスの10代”、突出して低い対策率

myugaru (myugaru@wankuma.com) — Wed, 16 Apr 2008 01:28:00 GMT

PCセキュリティでも“ガラスの10代”、突出して低い対策率 2008/4/15 - @IT

先日来、トロイの木馬などに対する対処とか書いていますが世間のPCセキュリティの認識なんて相変わらずこんなものなんですよね。

そのくせ被害に遭ったら大騒ぎするわけでしょう？ほんと相談とか受けてる方にしたらやってらんないですよね・・（私もよく相談されますんで。はい）。

今の状態だと私くらいのプログラミングレベルで作ったトロイの木馬でも普通にハッキングできるでしょうねえ。（いやもちろん私は作りませんよ＾＾；；）

セキュリティ対策を推進している偉い人たちの大変な苦労が伺い知れます・・。

新種のトロイの木馬型ウイルスと戦ってみた（続報）

myugaru (myugaru@wankuma.com) — Tue, 15 Apr 2008 14:19:00 GMT

先日レポートした「新種のトロイの木馬型ウイルスと戦ってみた」で、

一匹捕まえたウイルスをsophos.comというウイルス検出ツールの開発会社へ送付していた。

その回答が来た。

いつもお世話になっております。
ソフォステクニカルサポートです。

弊社にお送りいただきましたファイルを解析したところ、
Troj/Agent-GVW であることが判明いたしました。

Troj/Agent-GVW
http://www.sophos.com/security/analyses/viruses-and-spyware/trojagentgvw.html

4/12 に対応しておりますので、最新の IDE ファイルを適用していただければ
ブロックが可能と思われます。

また、トロイの木馬の除去方法については以下のページに情報がございます。

http://www.sophos.co.jp/support/disinfection/trojan.html

以上、お手数をおかけしますがよろしくお願いいたします。

ソフォステクニカルサポート

やはりトロイの木馬だった。

しかし示されている除去方法を試すにはソフォス製品を購入しなければならない。

うーん・・・。

この情報をネタにして購入済みのトレンドマイクロにも問い合わせてみた方がよさそうかな。

新種のトロイの木馬型ウイルスと戦ってみた

myugaru (myugaru@wankuma.com) — Sun, 13 Apr 2008 01:37:00 GMT

以下の記事は私個人の感想やら試みが多数含まれて居ます。

この記事の対処を参考に何かを行う場合には実施者本人の自己責任でお願いします。

P2Pは多くのサイバー犯罪に密接に関わってきており、

各プロバイダもその使用が合法違法に関わらず一律使用禁止の方向に動きが見られております。

すでにP2Pが匿名でファイル交換できるというのは過去の話となり、

現在では誰がいつどのファイルを交換したか等の情報が確実にわかるようになっています。

海外では違法なファイルを交換した人物の家に警察が踏み込むということがもう既に始まっています。

日本では法的な準備が遅れている事情がありますが、それもまもなく整ってくるでしょう。

悪い事は言いませんから今P2Pをしている人は早めにやめておくのがよいと思います。

金曜日の深夜あたりに知り合いがPCがおかしいので見に来てほしいと連絡があった。
結果から言うとトロイの木馬に侵略されていた。
P2P用に開けていたポートから入り込んだようだ。

感染状況
不審なプロセスがサービスとして多数立ち上がっている。
タスクマネージャーのプロセスリストを見るとその数・・・400超。
サービス停止を行うとPCを強制シャットダウンしてしまう。
サービス自動起動が設定されているので再起動後はまた立ち上がっている。

応急処置
とりあえずポートを閉じれば外から操作されなくなる。
光通信のCTUなので固定アドレス払い出し設定さえ削除してしまえばPCには
ローカルIPしか割り当たらなくなるからポートを閉じる作業はすぐに済んだ。

最近流行しているP2Pを狙ったウイルス
最近はP2Pだとかネトゲなどのプログラムを頻繁に利用している場合、
それらの脆弱性に特化したウイルスが多く出回っているらしい。
この知り合いはあまりPCに詳しくは無い。
実はこのポート開放をしたのも私でその頃は確かWinny作者も捕まっていなかった。
当の知り合いも事件があってから怖くなってP2Pは使っていなかったという。
Winny作者が捕まった時に私が思い出して閉めに行ってればこんなことにはならなかったかも知れない。
本当に申し訳ないことをしてしまった。
今更言っても仕方ないのでとりあえず対処を考える。

対策を調べる
一番の問題はこのウイルスが相当最新作らしくトレンドマイクロの最新パターン
でも検出できないのだ。
GData社のエンジンはP2Pに特化したウイルスに効果があるらしい。http://gdata.co.jp/press/archives/2008/04/p2p_dl67.htm
さっそく30日体験版をインストールして検出を試みた。
しかし結果は残念ながら検出できない。
とりあえずサービスを止めなければ重くて何もできない。
色々試してみるとサービス停止ではなくサービス無効だとウイルスに
PC強制シャットダウンされないことがわかった。
面倒だがサービス変更コマンドSC.EXEでスクリプトを組んで400近くのサービス
全て無効にしてＰＣを再起動。
サービスは立ち上がらなくなった。
C:\Windows\system32\以下にウイルスが数百匹（！）居たのでそのうち一匹を
メモリースティックに採って残りを手で削除。
何度か再起動し不審サービスが全て立ち上がっていないことを確認。
そのままPC起動したまま一日放置してあるが何も起こらないようだ。
知り合いにはPCで使ったかも知れないカードはカード会社に連絡して使用不能にしてもらい一旦帰ってきた。

さらに調べる
未知のウイルスを分析してくれる無料ネットワークサービスを見つけた。
http://www.virustotal.com/jp/
採取したウイルスを解析した結果は
http://www.virustotal.com/jp/analisis/c5e6bfe51161418ff94b778375a41e5c

ファイル名 advancecupdalkill.exe 受理 2008.04.12 09:33:35 (CET)
アンチウイルス	バージョン	更新日	結果
AhnLab-V3	2008.4.12.0	2008.04.11	-
AntiVir	7.6.0.85	2008.04.11	HEUR/Malware
Authentium	4.93.8	2008.04.11	Possibly a new variant of W32/SelfStarterInternetTrojan!Maximus
Avast	4.8.1169.0	2008.04.11	-
AVG	7.5.0.516	2008.04.11	-
BitDefender	7.2	2008.04.12	-
CAT-QuickHeal	9.50	2008.04.11	-
ClamAV	0.92.1	2008.04.12	-
DrWeb	4.44.0.09170	2008.04.11	-
eTrust-Vet	31.3.5692	2008.04.11	-
Ewido	4.0	2008.04.11	-
F-Prot	4.4.2.54	2008.04.11	W32/SelfStarterInternetTrojan!Maximus
F-Secure	6.70.13260.0	2008.04.11	-
FileAdvisor	1	2008.04.12	-
Fortinet	3.14.0.0	2008.04.12	-
Ikarus	T3.1.1.26	2008.04.12	Backdoor.Win32.Agent.egr
Kaspersky	7.0.0.125	2008.04.12	-
McAfee	5272	2008.04.11	-
Microsoft	1.3408	2008.04.12	-
NOD32v2	3020	2008.04.11	-
Norman	5.80.02	2008.04.11	-
Panda	9.0.0.4	2008.04.11	-
Prevx1	V2	2008.04.12	Heuristic: Suspicious Self Modifying File
Rising	20.39.50.00	2008.04.12	-
Sophos	4.28.0	2008.04.12	Sus/Behav-1014
Sunbelt	3.0.1041.0	2008.04.12	-
Symantec	10	2008.04.12	-
TheHacker	6.2.92.275	2008.04.12	-
VBA32	3.12.6.4	2008.04.06	suspected of Trojan-Spy.Agent.13 (paranoid heuristics)
VirusBuster	4.3.26:9	2008.04.11	-
Webwasher-Gateway	6.6.2	2008.04.11	Heuristic.Malware
?
追加情報
File size: 45056 bytes
MD5...: 2b6fa0f35ab4f4edd7096799a48d5430
SHA1..: 644f4e89f2e987b3e12cee54a2787dfd35bd21e3
SHA256: d0793bb8c7b0558417a2110cef957c5d9c7234593599e9605b322ed1e08aa7e7
SHA512: d4ebecd2f0010276811b7ea5a47d065b3c466d8ce86580293f569e1afc115292 7f6e924ae8979abdc1c9e2d204d2e6fb76424636922fed5252dd3ac6fa3d6cc5
PEiD..: Armadillo v1.71
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x405d94 timedatestamp.....: 0x4121f340 (Tue Aug 17 12:00:00 2004) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x4faa 0x5000 6.32 9c6e1b1d454f2e810a404dfbc1f00333 .rdata 0x6000 0x17c2 0x2000 4.21 bb1c308aabc14a60b0019f769033ec47 .data 0x8000 0x1740 0x1000 3.64 303464058ecd415537b26884988d0006 .rsrc 0xa000 0x1930 0x2000 5.02 d8c615ad01e1f1e63267dba71ac8b63e ( 9 imports ) > WSOCK32.dll: -, -, -, -, -, -, -, -, -, -, -, - > PSAPI.DLL: GetProcessMemoryInfo > WININET.dll: FindNextUrlCacheEntryA, DeleteUrlCacheEntry, FindFirstUrlCacheEntryA > MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, - > MSVCRT.dll: __dllonexit, _onexit, __1type_info@@UAE@XZ, _exit, _XcptFilter, _acmdln, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp, _strdup, _atoi64, atol, _i64toa, exit, abs, fgets, memmove, _stat, _EH_prolog, __CxxFrameHandler, _mbscmp, atoi, _ftol, fread, memcpy, getc, putc, _CxxThrowException, printf, memset, fopen, strlen, fwrite, fclose, time, srand, rand, strcpy, strcat, _setmbcp, _stricmp, _ltoa > KERNEL32.dll: GetCurrentProcess, Sleep, CopyFileA, GetSystemDirectoryA, GetTickCount, SetFileAttributesA, lstrcpyA, lstrlenA, GetModuleFileNameA, GetProcAddress, LoadLibraryA, FreeLibrary, LocalFree, MapViewOfFile, CloseHandle, GetVersionExA, UnmapViewOfFile, TerminateProcess, OpenProcess, DeviceIoControl, GetModuleHandleA, CreateFileA, CreateThread, GetCurrentProcessId, CreateProcessA, DeleteFileA, LockResource, LoadResource, SizeofResource, FindResourceA, GetStartupInfoA, WinExec > USER32.dll: LoadIconA, PostMessageA, SendMessageA, GetSystemMetrics, GetWindow, GetClassInfoA, EnumWindows, GetCursorPos, SetTimer, KillTimer, FindWindowA, ExitWindowsEx, EnableWindow, GetClassNameA > ADVAPI32.dll: GetSecurityInfo, CreateServiceA, StartServiceA, CloseServiceHandle, OpenSCManagerA, OpenServiceA, ControlService, DeleteService, AdjustTokenPrivileges, SetEntriesInAclA, SetSecurityInfo, StartServiceCtrlDispatcherA, RegisterServiceCtrlHandlerA, SetServiceStatus, OpenProcessToken, LookupPrivilegeValueA > SHELL32.dll: SHGetSpecialFolderPathA ( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=F4542B5B0050B5FCB01C00FCA6837300FEC4B078

31エンジン中8エンジンが警告を出している。
その8エンジン中のSophosはサンプルを受け付けているとの事なので送付してみた。
http://www.sophos.com/support/samples/
すぐに
「We will send you the results of our investigation as soon as possible.」
「出来るだけ早く調査結果を送る」
という返信が来た。
未知ウイルスの検出もなかなか優れているし、
こういうサービスがあるのならSophos製品を持っておいてもいいのかも知れない。

まとめ
Winny以来あまりP2Pが利用されなくなったのかなあと思ったら、
意外とまだまだ密かに別のP2Pソフトの利用者は多く居るらしい。
そしてその脆弱性を突くウイルスも更に数を増しているようだ。
その進化速度は大手ウイルス検出ツールのアップデートを上回っている。
その多くは破壊活動はほとんどせず、PCを乗っ取ってパスワードを盗んだり、
踏み台にして他PCへ進入したり悪用しようとするトロイの木馬型がほとんどだ。
それらに一番効果的なのはポートを開けたりせずファイアウォールでしっかり進入を阻止する事だ。
最近の光通信ならPC自体にはローカルIPしか割り当たらないのでそれほど心配は無い。
しかし私のようにグローバルIPを割り当ててポート開放できるのも事実。
危険を承知でそういう事をしたいなら特化した検出ツールを導入した方が良さそう。
まあポート開放って何？というあなたは手を出さないに越したことはない。