MS Watch

Last update 2001/10/04

 ここには過去の「MS Watch」が集めてあります。

 これより古い分については、こちらへ

 これより新しい分については、こちらへ


2001/09/29

IIS使用中止勧告その3

 ASAHIネットのjouwa/salonから。

標題: IIS使用中止勧告その3
---
 IIS使用中止勧告について、それでもIISを捨てられないときのアドバイスが
ありました。詳しくは、
http://www.zdnet.co.jp/news/0109/26/e_coursey2.html
それでもIISを捨てられなかったら……
をどうぞ。
 結局は、自分で考えることなんですけどね。

韓国各社がXP発売に抗議

 ASAHIネットのjouwa/salonから。

標題: 韓国各社がXP発売に抗議
---
 韓国のソフト会社がまとまって、Windows XP発売に抗議しています。各種ア
プリケーションをOSに組み込む独禁法違反的な商慣行で、韓国のソフト市場を
かき乱そうとしているという抗議です。発売中止を求めているようです。詳し
くは、
http://www.zdnet.co.jp/news/0109/28/b_0927_05.html
韓国各社がWindows XP発売に抗議
をどうぞ。

悪魔よりひどいマイクロソフト

 ASAHIネットのjouwa/salonから。

標題: 悪魔よりひどいマイクロソフト
---
 Windows XPといえば、「がんばれ!!ゲイツ君」の
http://www.asahi-net.or.jp/~FV6N-TNSK/gates/nimda.html
サイバーの世界、実の世界
に、信じられない話が出ていました。
--- ここから ---
ところでそのWindowsXP、最近全く話題らしい話題にのぼっておりませんが、
最近MSNのサイトにこんな記事が上がっていたようです。 これ、デーモン小暮
氏が「WindowsXPは悪魔的OSだ。その訳を説明しよう!」とWEB上でさも彼が
喜んで宣伝しているかのような記事を載せているんですね。まぁ、悪魔的OS
ってのはある意味当たっているのかもしれませんけれど、しかし問題なのは、
この記事、ご本人も話されているようにデーモン小暮氏は一切覚えの無い文だ
ということなんですよね(^^;;。
--- ここまで ---

 この記事のリンクにあるデーモン氏のサイトに行くと、当人が、こんなのは
1文字も書いたことがないもので、掲載を止めるよう要求していると述べてい
ますね。
 しかし、MSNのサイトでは、今日2001/09/29現在、まだ読めます。
 さすが、マイクロソフト、でたらめやり放題。
 どうして、こういう会社なのかね。
 毎度毎度、こういうトラブルが続くのは、個人の問題じゃないんだよね。会
社の体質というか組織の病気ですね。
 こういう会社が、.NETとパスポートで、インターネットでの、個人情報や認
証を一気に握ってしまおうとしているんだからね。アメリカで抗議が続いてい
るのも当然だし、Sunは、パスポート対抗のプロジェクトを発表しています。
 日本も他人事じゃないんですよ。
2001/09/27

IIS使用中止勧告

 ASAHIネットのjouwa/salonから。

標題: IIS使用中止勧告
---
 アメリカの調査会社ガートナーグループが、IISの使用中止を勧告しました。
 理由は、
「Nimdaは、IISを利用することのリスクの高さを改めて示した」
からです。詳しくは、
http://japan.cnet.com/News/2001/Item/010926-2.html
ワーム対策の第一歩はMS『IIS』の使用中止
をどうぞ。
 IISを使用中止にして即刻置き換えるようにいってます。当然の措置ですよ
ね。

 この前、MSKK(マイクロソフト日本法人)阿多社長のあきれた言い草
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20010921/1/
を紹介しました。
 CNetの記事でも同じようにMSが反論していますから、MSKKの社長は腹話術の
人形のようにいってるだけにみえますね。これも成毛とよく似てます。
 FeedBackが面白いといわれたけど、会員登録しないといけないので面倒くさ
いと思ってなかったんですが、またあれは面白いといわれたので、会員登録し
て読みました。
 読むとみんな怒りまくってますね。
 特に、ワームが広がるのはIISが浸透したからなんていう、IISのセキュリテ
ィホールの多さを棚に上げた思い上がった発言には、みんな怒り心頭ですね。
Apacheよりはるかにシェアが低いIISでこれだけ大被害が出るのはどういうわ
けなんだと。
 被害を拡大したのが、MSがやってるサイトMSNがセキュリティホールのパッ
チを怠ったのが原因だったのに、その反省がゼロの癖して、ユーザにウイルス
情報やパッチに注意しろとはどういうことなんだと。
 説明になってないじゃないかと。

 成毛もそうだったけど、まあ、マイクロソフトというのは、こういう連中で
ないとやってけない会社なんですね。それが許されているのは、独占している
からなんですね。
 企業も個人も、真剣に考えたほうがいいです。

 日経コンピュータ2001年9月10日号の「セキュリティ・ホールと闘う」でも、
IISのセキュリティホールの多さに根を上げて捨てる動きがあることが出てい
ます。コストと手間がかかりすぎるからです。

 パッチを怠るのが悪いというのは簡単ですが、記事に出てくるところは、他
のシステム開発が大変でIISのお守りに手が回らなかった一瞬の隙をつかれた
り、まもなくシステム更新になるので、そのときにやろうと思っていたり、パ
ッチを何10個もあてないとダメで1個忘れたらそれでやられたとか、やはり、I
ISのお守りは大変だということがわかります。
 IISを使って被害を受けたグンゼの人が、担当していたNECソフトウェア関西
に対して、「WindowsとIISにはあまりに多くのセキュリティ・ホールが見つか
っている。プロと言えども、逐一チェックしていくのは大変な作業なことは理
解できる」と同情しています。
 まあ、MS自身がパッチを怠るくらいですからね(爆笑)。

IIS使用中止勧告その2

 ASAHIネットのjouwa/salonから。

標題: IIS使用中止勧告その2
---
 村松さんから。
--- ここから ---
最近話題のNimdaとCodeRedに関連してガートナーグループから「IISの代替ソ
フトウエア直ちに捜すことを勧告する」というレポートが発表されました。

・Gartner Fist Take 19 September 2001, [FT-14-5524]
  <http://www3.gartner.com/resources/101000/101034/101034.pdf>

日本語ではCNETに関連記事が出ています。
・ワーム対策の第一歩はMS『IIS』の使用中止
  <http://cnet.sphere.ne.jp/News/2001/Item/010926-2.html>

「ウイルスに狙われるのはIIS浸透の代償」なんぞと能天気なことを言ってい
る阿多社長に反論を試みて欲しいものです。今度は何を言い出すのか楽しみで。
--- ここまで ---

 厨子さんから。
--- ここから ---
 既にご存知だと思いますが、
http://www3.gartner.com/DisplayDocument?doc_cd=101034
とガードナーグループがIISを捨てるよう勧告しています。
 当方もこれまで業務上の都合からIISと付き合ってきましたが、この機にIIS
から脱却すべく、別途linuxを準備中です。移行にはそれなりの痛みが伴いま
すが、根本的な解決はこれしかありません。
 貴殿が取り上げられているとおり、
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20010921/1/
におけるMSの厚顔無恥体質にはもうたくさん、という感じです。本当にトップ
の発言だとしたら、これは驚くべき話ですね。
 セキュリティホールはlinuxにもたくさん報告されていますし、人間が作る
ものですから、セキュリティホールの発見でMSに対して、いまさら、非難する
気はありません。
 しかし、MSの場合、「その後」がいけません。
 悪意のある人に武器を与えているようなものです。
 「ウイルス」や「ワーム」という言い方も、MSが自身が生み出した土壌を隠
蔽する用語に思えてならないのですが、気のせいでしょうか?
 私は、悪意のある者の刺激によって、OSが癌化する、と解釈しています。
--- ここまで ---
2001/09/24

MSの厚顔無恥

 ASAHIネットのjouwa/salonから。

標題: MSの厚顔無恥
---
 Code Redや今回のNimdaなど、IIS、IE、Outlookのセキュリティホールが大
被害をもたらしていますが、これについて、MSKK(マイクロソフト日本法人)社
長の阿多がすごいことをいって顰蹙を買っています。
 おがさわらさんから。
--- ここから ---
すでに旧聞に属するかもしれませんが、日経IT Proの9/21に『「ウイルスに狙
われるのはIIS浸透の代償」とマイクロソフト阿多社長』という記事が掲載さ
れています。
読んでいただくとわかりますが、厚顔無恥というか、開き直りというか、よく
まぁここまでという感じの記事です。記事のどこを読んでもツッコミし放題と
いうか、トンデモ記事というか.....うちの職場のサーバ管理者が読んだら大
暴れしそうな記事ですね。

まだごらんになっていないようでしたら、是非とも中村様に読んでいただき、
ツッコミでもしていただければ幸いです。何度読んでも味わいのある、脱力感
たっぷりの記事ですよ。

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20010921/1/

なお、Feed Back!のコーナーのコメントを一緒に読まれると、食後のデザート
(にしてはかなりの量ですが(笑))みたいに、口の中に残ったいやぁ〜な感
じがぬぐい取れることと思います。
--- ここまで ---

 成毛と同じね。こういうのしか社長になれない体質がMSなんですね。これを
ちゃんと記事にした日経はやっぱ偉いです。
 ANDOさんから。
--- ここから ---
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20010921/1/

ふつうの神経していれば、
「弊社の製品が皆様に多大なご迷惑をおかけして申し訳ございません」
が最初の言葉でしょう。

これが産経新聞での坂村さんに対する答えだとしたら、あまりにおそまつとし
か言いようがありません。
社会的な責任というのを微塵も感じていないようなこんな発言をする前に、ぜ
ひ自社製品について、もっと勉強してほしいものです。

どうでしょうか?しばらくぶりに「お言葉」を更新されてみては?
--- ここまで ---

 そうですね。成毛も消え去ったし、いつまでもあの「お言葉」じゃね。暇が
あったらやってみます。
 染葉さんから、09/01に、ウイルス被害が100億ドルを超すという、こう
いうメールがきていたのですが、紹介を忘れていました。
--- ここから ---
今日のAsahi_dot_Comに、次のような記事が掲載されていました。

〓〓〓〓〓〓ここから〓〓〓〓〓〓
(今年の)世界のコンピューターウイルス被害、100億ドル超す

今年のコンピューターウイルスによる世界の被害額が107億ドル(約1兆2
840億円)に達したと、米調査会社コンピューター・エコノミクスが31日
発表した。

7月に大流行した新種の「コードレッド」が100万台以上への感染で26億
ドル、「サーカム」が230万台以上への感染で10億ドルなど。

過去最高額は、恋文を装った電子メールで広まった「ラブレター」ウイルスが
猛威をふるった昨年の171億ドル。
〓〓〓〓〓〓ここまで〓〓〓〓〓〓

被害の大部分はMicrosoftの製品が持っているセキュリティホールが原因で、
金額の規模からいって、同社の対応は最早犯罪行為に等しいと言わざるを得ま
せん。
 例えばコードレッドにしても、既に世界中の何処に自社製品で運用している
サーバがあるのか判っているのだから、自社Webサイトにパッチを掲載するの
では無く、直接送り込んで自動的に防止対策を講ずるぐらいのことをするべき
です。
 それで無ければ、ユーザー登録した意味が無いじゃあありませんか。

個人ユーザーなら、「本人が知らないうちに知人にウイルス付きメールを送っ
てしまうから自分には責任が無い」などと言っているのは明らかに自分勝手で
あり、インターネットに接続する資格は無いはずです。
 それにも関わらず、天下のマイクロソフトの製品だから安心_と思い込んで
いるのは、余りにも無知に過ぎます。
 自分の使っているソフトが原因でインターネット社会をトラブルに巻き込む
のは、果たして無罪だと言えるでしょうか?
--- ここまで ---

 バグフィックスのサービスパックがバグっていたMSの実力からして、自動ア
ップデートは、怖いですよね。かえってウイルス送りつけられるんじゃないか
って。^^;
 とにかく、これだけの大被害を出す欠陥品を出荷していながら、回収はおろ
か、大々的に告知することもしないんだからね。パソコンメーカーも欠陥を知
っていながら、ばんばん出荷しているもんね。
 これに比べたら大した欠陥でもなかったドコモの携帯をソニーや松下が回収
して、その費用が100億円以上かかったなんて話を読むと、日本の家電メー
カーってまともですよね。だから、MSみたいに儲からずに赤字になってリスト
ラなんだろうけれど。
 MSおよびMSKKは、金を惜しんで、ユーザに責任を押し付けて儲けているとい
われても仕方ないですね。
2001/09/23

Nimdaの訂正

 ASAHIネットのjouwa/salonから。西嶋さんの訂正書き込みです。

標題: Re: Code Redを超えるNimda
---
> いっぱいきてます。novell.co.jpからもきてました(笑)。

訂正します。novell.comでした。
ノベルの皆様ごめんなさい :-)

でもNovellは許さん :-)

メールで知らせておくか、と思ってnovell.comのWebサイトをみたら、
セールスとかテクニカルサポートの連絡先はあるんですが、こう
いうときに適切なところがないんですね。
postmaster@novell.comにでも送ってやるかな。
2001/09/21

思ったより大変なNimda

 ASAHIネットのjouwa/salonから。

標題: 思ったより大変なNimda
---
 Nimdaは感染力は強いが被害は大したことはないという話は、嘘だろうとい
うお話。感染するとシステムが外部から乗っ取られる危険があるんだそうです。
 染葉さんから。
--- ここから ---
何時もウイルス情報を頂いている松浦さんから、次のようなメッセージを貰い
ました。 個人的見解とは云え示唆に富んだ個所を含んでいますので、ご紹介
します。 お役に立つことがあると思います。

〓〓〓〓〓ここから〓〓〓〓
> 一部の報道では、同ワームは感染能力は高いが、ワームによる被害は大きく
> ないと言う言い回しを記述している記事を見かけます。これに対して、少々
> コメントさせて頂きます。
> 
> 確かに、ワームに対して直接的に関係する事柄での被害はそうかも
> 知れませんが、少々問題のある見解に思います。そして、個人的に問題が
> あると感じる点は、今の時点ではなく、放って置くと将来的に大きな問題
> があると感じています。
> 
> 
> 例えば、同ワームに感染し、ウイルス対策製品を利用してワームファイルを
> 削除したと仮定します。
> 
> 通常のワームやトロージャンホースの場合には、その対処で十分な訳ですが、
> このワームはシステムのアトリビュートを変更し、ネットワーク上に共有
> 環境を構築します。特に「ゲスト」ユーザーが管理者特権を持つようになって
> いますので、感染していたシステムでは外部からのシステム乗っ取りが非常に
> 容易になっています。
> 
> 特にこれは、公共アクセスを許しているIIS仕様のWEBサーバーでは、処置を
> しただけではかなり深刻な問題を抱えていると思います。
> 
> 
> 1) NTのドメインコントローラの場合には、ゲストがなければ作成され、それが
> 管理者特権になっています。
> 
> 2) レジストリの「LanManServer\Parameters」が削除されている形跡がある
> ため、外部から新しいネットリソースの構築が出来る可能性があります。
> 
> 3) dllcacheディレクトリが壊されている形跡があるため、SSLが正常に動作
> する保証がないと思われます。
> 
> 
> 恐らく、Windows 2000などでは、NetBEUIはディホルトで組み込まれない
> ため、TCP/IPからのNetBIOSがそのまま有効になっている条件が多いと
> 思います。(手動でバインドを外す手順は、NT環境では容易ではないです。)
> LAN環境で丸見えになっているシステムが、社内ネット上の公共アクセスを
> 許しているサーバーに接続されている場合には、LANは外から容易にアクセス
> できる可能性が高い訳ですので、外部からの攻撃やデータの盗み出しには
> 無防備な状態になっています。
> 
> 
> このような条件を考慮すると、IISが感染してしまった場合には、システム
> をフォーマットしたディスク上に一からクリーンインストールする方が
> 安全であると思われます。
> 
> 無論、インストールしただけでは不十分であり、これまでMicrosoftが
> 提供しているセキュリティパッチを導入しなければ、又感染します。
> 
> 米国のセキュリティ関連BBSでは、非パッチのWindows 2000コーポレート
> サーバー環境(Exchange Servers, Outlook Web Access Servers, IIS,
> SQL, Proxy, SMS , ドメインコントローラ, ファイル/プリントサーバー)
> 全てが感染したケースも報告されています。
> 
> 
> CodeRedに関連する情報で既にお知らせしましたように、Windows NT4.0に
> パーソナルWEBサービス(PWS)を組み込まれていた環境に対して、Windows 2000
> をアップグレードインストールすると、PWSが自動的にIISへアップグレード
> されます。ですから、知らない間にIISが導入されている場合もあると
> 思います。
> 
> 偶々、I-Worm.Nimdaの存在を確認した前日に、マイクロソフト社のクリティカル
> アップデートを導入する勧めのメッセージを配信しましたが、どのような対策
> 製品の導入よりも、「脆弱性」の対処には「クリティカルアップデート」が最
> も効果のある対応方法です。
> 
〓〓〓〓〓〓ここまで〓〓〓〓〓〓〓

CodeRedの対策が遅れて、止む無くクリーンインストールを余儀なくされたと
ころでは、まだ全てのパッチを当てていないのに、今度はNimdaにやられちゃ
ったというところもあるでしょうね。 そんなところはご苦労さんでも、もう
一度最初からやりなおしてください。(笑) もし、それがネットワークなら、
管理責任者は一生失業しません。(多分、あの世に行ってもメンテをさせられ
るでしょうから_。)
--- ここまで ---

 これは知りませんでした。ほんとだろうから、復旧は相当に大変ですね。
2001/09/20

Code Redを超えるNimda

 ASAHIネットのjouwa/salonから。

標題: Code Redを超えるNimda
---
 Code Redを超える新種ワームが被害を拡大しているようです。Nimdaという
名前で、これはadminを逆につづったものらしいのですが。詳しくは、
http://japan.cnet.com/News/2001/Item/010919-3.html
『Code Red』を超える新種ワーム
をどうぞ。
 アメリカの同時多発テロのあとだけに、いろいろ憶測が飛び交っていますが。
 テロ撲滅といったって、本気でやるなら、先進国の武器輸出を制限しないと
解決しないのと同様、MSのIISを使っている限り、この種のワームはなくなら
ないでしょうね。

Re: Code Redを超えるNimda

 ASAHIネットのjouwa/salonから。

標題: Re: Code Redを超えるNimda
---
 たくさんのメールや書き込みありがとうございました。
 ゆうがんさん、kenjiさん、斑さん、西嶋さん、中嶋さん、長南さん、古澤
さん、上田さん。
 とても紹介しきれないのでいくつか。
 kenjiさんの書き込み。
--- ここから ---
標題: いやはやたくさん来ますねえ
---
毎秒2〜3発という状況です。末端なのになあ。
http://www.cert.org/advisories/CA-2001-26.html
IE, OutLook, IIS, ファイル共有、 Code Red IIのバックドア経由で
感染してくれる厄介な代物のようです。
--- ここまで ---

 これIISだけかと思ったら、何でもありですね。ファイル共有でつながって
いるネットワークには全部感染しようとするし、ウェブページをJavaScript入
りのに書き換えて、IEで見ただけで感染するようにするし、Outlookはメール
を読んだだけで感染するし。
 Windows, IE, Outlook, IISの欠陥を攻撃しまくりですね。
 拙著「ウイルス、伝染るんです」を書いているとき、IISを攻撃してウェブ
をJavaScript入りにしてIEで見ただけで感染するようにしたら、すごいだろう
ねなどと話していたら、もう現実になっちゃいました。\(^O^)/
 IEやOutlookだと、ウェブを見ただけ、メールを読んだだけで感染するとい
っても、お前は反MSだからなんて見当違いのことをいって信じない人もいたん
だけど、これで信じるようになるかな。
 日経コンピュータだっけな、ウイルスと戦う特集があって、被害を受けたり、
IISのセキュリティホールの多さにうんざりした企業が、IISを捨てようとして
いる話が出ていました。コスト、かかりすぎだもんね。
 何年も前からいってることなのに、やっと気づいたんですね。やられないと
気づかないのが人間でしょうけれど。

 長南さんから。
--- ここから ---
 はじめてメール差し上げます。長南と申します。
 W32.Nimda.A@mm についてのネタ提供です。
 昨晩から国内で大量にワームが出回り、WEBサーバに対して無差別に IIS の
既知のセキュリティーホールを悪用した侵入の試みが広まっているのは、各メ
ディアが報道している通りですでにご存じかと思います。
 このワーム、昨晩から今日午前中(9/19)にかけてかなり大騒ぎになりました
が、MSNのWEBサーバもヤられ、IEのデフォルトのホームページを通じて感染者
を出した可能性があります。
 MSN のコメントは

http://help.msn.co.jp/notice.htm

にある通りで、昨晩の夜11時頃ということですから、MSN経路で大量の感染PC
を出した可能性があります。
 単なるワームであれば"Code Red の亜種"ということで話題性があまりない
のですけれども、MSが自分でワームをばらまいたとなると、トラブルに対して
後手後手の対応しかできないMSNの体質が明らかになった事例として"MS Watch
"話題性としての話題性もあるかと思われますので、タレコミしておきます。

# それにしてもエラーログたまるの早いなー
--- ここまで ---

 NHKもTBSもテレビ東京も報道していました。
 例によって官公庁が感染している。反省ないなあ。
 大学もいろいろ感染しているようですが、某大学の某マシンでは、攻撃の多
くが学内からだそうです(笑)。もう学内感染しまくりってことですね。
 毎秒数回攻撃されているようで、みんなログがたまるのが早くて困っている
ようですね。

 西嶋さんの書き込み。
--- ここから ---
標題: Re: Code Redを超えるNimda
---
>  Code Redを超える新種ワームが被害を拡大しているようです。

 いっぱいきてます。novell.co.jpからもきてました(笑)。
 これの対策を本気でやろうとすると、Internet Explorer 4.0の行き場がい
よいよなくなります。5.0SP2/5.5SP2で対策、それ以前のバージョンはサポー
トしてませんということになってますから。
 するとWindows 95にもInternet Explorer 5.0以降を入れるのか、というこ
とになりますが、他のコンポーネントとの組み合わせにもよるんでしょうが、
なぜかものすごく不安定になったりするので、結局、OSごとクリーンセットア
ップするとか、ひどいときはWindows 98以降にアップグレードしないとダメ、
とか、まあ、いろいろ連鎖的に出てきてしまいます。ミドルウェアのバージョ
ンも上げないとダメ、とか、モノによっては完全に入れ替えとか…
 そのうち、Windows 95とかNT 4.0あたりはそうやってなしくずしにサポート
されなく(=事実上つかえなく)なってくんでしょうね。
--- ここまで ---

 ノベル大丈夫か。\(^O^)/
 アップグレードするより、OSごと捨てるのが、一番楽なような気がします。
 Windows 95は今年でサポートがなくなります。だから、どのみち、アップグ
レードせざるを得ないんだけど、金がかかるから、企業ユーザからは不満が出
ています。この不況で、そんな金出せるわけないんだから。

 なお、Nimdaについては、
http://www.ipa.go.jp/security/topics/newvirus/nimda.html
をどうぞ。解説や対策のリンクなども入っています。
2001/09/14

 ASAHIネットのjouwa/salonから。

標題: XPのアクティベーション機能
---
 何かと問題視されているWindows XPのアクティベーション機能ですが、ZDNe
t JapanにMSの回答がありますね。詳しくは、
http://www.zdnet.co.jp/news/0109/12/e_coursey.html
Windows XPをめぐるQ&A(パート3)
をどうぞ。
 プリンストールのPCだとチェックはBIOSだけみたいですね。
 不正コピー撲滅の目的を述べた
「不正コピーを撲滅できれば,ソフト業界は製品開発,品質向上,サポートに
より資金を投じることができます。そうなれば,顧客により良い製品/技術革
新を提供できることになります」
というのは、半分は嘘ですね。撲滅はイタチごっこで困難ないし不可能なので、
撲滅のために資金を投じ続けることになって、製品開発、品質向上、サポート
には資金は投入できないのが現実でしょう。
 一般には、コピーガードは顧客に不便を強いるので、製品自体が売れなくな
ります。コピーガードをしない製品を顧客を選ぶようになりますから。
 ぼくは管理工学研究所にいたとき、当時のベストセラーの日本語ワープロソ
フト「松」の不正コピー防止に会社が、プロテクトをあれこれやっていたのを
間近でみていましたが、結局、コピー防止をすること自体が悪だとユーザに思
われたし、ソフトバンクとジャストが、コピーフリーの一太郎をばらまいたこ
とでやられたことを見ていますから。
 ナプスターもそうでしたが、コピーってある意味、非常に安価なマーケティ
ングなんですよね。
 競合製品がない、MSのような独占企業であって初めてこういう手段に訴える
ことができるわけです。

 ASAHIネットのjouwa/salonから。

標題: XPのファイアウォール機能
---
 Windows XPのファイアウォール機能のレビューがありました。詳しくは、
http://www.zdnet.co.jp/help/howto/security/special2/03.html
WindowsXPのファイアウォール機能の実用性は?
をどうぞ。
 外に出て行くのは、ほとんどブロックしないみたいですし、ファイアウォー
ルとしてはないよりマシといった位置付けの機能のように思えます。
 XPはファイアウォール機能があるから、インターネットも安心なんてバカな
ことを書くライターがいないことを祈ります。^^;

 jouwa/salonの斑さんの書き込みによれば、こういうバカな話、すでに先月どっかで読んだそうです。^^;

2001/09/13

Code Blue

 ASAHIネットのjouwa/salonから。

標題: Code Blue
---
 Code Redの次は、Code Blueの感染被害が拡大しているそうです。詳しくは、
http://www.zdnet.co.jp/news/0109/12/e_codeblue.html
をどうぞ。
 Code Redより悪質だそうです。
2001/09/12

産経新聞のMS批判記事

 ASAHIネットのjouwa/salonから。

標題: 産経新聞のMS批判記事
---
 産経新聞にMS批判記事が載っていたという話題。フジサンケイグループにMS
批判を書けるのかと思ったら、書いたのは坂村健です。\(^O^)/
 ANDOさんから。
--- ここから ---
 おそらく同じ情報がたくさんくるでしょうが(^^;
 2001年9月9日12版の産経新聞p.14「正論」というコラムで坂村健氏がマイク
ロソフト批判しています。
 見出しは
「問われるインフラ企業の責任」
「大きさに見合う社会的監視が不可欠」
などと間接的な表現になっていて、
産経新聞が記事内容を腰砕けにしているようにも感じます(^^;
 --- ここまで ---
 清水さんから。
--- ここから ---
 今日(日曜日)にたまたま産経新聞(紙メディアの方)を見てますと、面白
い記事を発見しました。
 以前から、産経新聞には「正論」という主義主張の記事が掲載されていてそ
の論客の一人として坂村健先生が投稿をされていました。
 で、今日の「正論」も坂村先生の記事だったのですが、これがもう全面的に
MSバッシングでした。
 全文転載というわけにはいきませんが、印象に残った言葉をいくつか。
「現在のウィルス類の被害各台のすべての根本的な責任はマイクロソフトにあ
る」
「「たくさん売れているから手中的に狙われる」などという泣き言でその責任
を免れることはできないだろう」
「マイクロソフトの製品に欠陥があるのがわるいと言っているわけではない。
むしろ問題はその後の対応である」
「(マイクロソフトは)社会を支えているという責任感よりもマーケティング
重視の姿勢が伺えるのだ」
 もう、私なぞが常に不満に思っていることを、実に気持ちよく言いきってお
られます。
 さて、これに対してMicrosoft側から反論があると、非常に面白いところな
んですが、どうなるでしょう。しばらく正論から目が離せないです。
--- ここまで ---

 清水さんはよく、ぼくの誤植を指摘してくださるんですが、この引用、誤植?
と思うところがありますね。「被害各台」は「被害拡大」? 「手中的」は
「集中的」?
2001/09/05

新種ワーム

 ASAHIネットのjouwa/salonから。

標題: 新種ワーム
---
 染葉さんから、セキュリティホールを直すパッチを装った新種ワームの紹介
です。
--- ここから --
一寸古くなったかも知れませんが、先週配信されてきたSunbelt W2K News 
Letterに依ると、マイクロソフトを騙った新種ワームが出回り始めたそうです。
 これを発見したセキュリティ会社では、週末の時点ではまだ一件しか報告を
受けていないが、うっかり引っ掛かる可能性もあるので、注意するよう訴えて
います。

配信されるメールは、...

>   From: "Microsoft Support" support@microsoft.com
>    Subject: Invalid SSL Certificate
> 
>    Body:
> 
>    Hello,
>    Microsoft Corporation announced that an invalid SSL certificate
>    that web sites use is required to be installed on the user computer
>    to use the https protocol. During the installation, the certificate
>    causes a buffer overrun in Microsoft Internet Explorer and by that
>    (SNIP)
> 
>    Attachment: sslpatch.exe

...となっていますので、特にセキュリティに敏感な人ほど引っ掛かる可能
性があると見られます。 特にマイクロソフトのInternet Explorerを使って
いて、若干でも英語の判る人ほど危ないと思われます。 上記の添付ファイル
(SSLPATCH.EXE)が曲者です。 即時削除して、最新データでウイルス駆除を
実行してください。(メーラーで削除しただけでは、無くなりません。メモ帳
などでファイルデータを開き、ログファイルの中から、そのものを削除するこ
とが大切です。)
---- ここまで ---

 ほんと、いろいろ悪知恵が働きますよね。

もう1つの新種ワーム

 ASAHIネットのjouwa/salonから。

標題: もう1つの新種ワーム
---
 染葉さんから、もう1つ、新種ワームの紹介です。
--- ここから ---
 スエーデンで作られた、30KBのアッセンブラーで書かれた非常に複雑で規模
の大きいワームが発見されました。 中にメール経由の感染誘発、2段のポリ
モーフィックエンジン、感染プログラムが組み込まれており、発病部分のコー
ドは、アンチディバッグ化されており解析の非常に難しい構造になっているそ
うです。
 このワーム(I-Worm.Magistr)はCIHウイルス特性を持つ電子メール経由
で繁殖するインターネット型ワームで、条件によりディスクを消去、CMOSの破
壊活動を起動し、一度起動されるとLAN環境を感染させる能力があります。
 ワームが起動すると、WinNT、Windows、Win95、Win98の順に検索し、感染動
作を実行し、ランダムに数回繰り返すとか。 また、ターゲットになるのは
Outlook Express、Netscape Messenger、Internet Mail & Newsだそうですか
ら、非常に広範囲な影響を受ける可能性があります。
 また、一度感染すると20%の確率でDOC或いはTXTファイルを外部に送り出す
特性もありますので、企業が感染すると内部情報が漏出するという極めて危険
な行動をします。
 メールで配信されたEXE添付ファイルは絶対に開かないよう、暮々もお願い
します。
--- ここまで ---
2001/09/02

EU、MSの独禁法違反調査を拡大

 ASAHIネットのjouwa/salonから。

標題: EU、MSの独禁法違反調査を拡大
---
 欧州委員会は、MSがWindowsにMedia Playerを統合するとしたことで、これ
はパソコンメーカーや消費者から他のソフトを選択する権利を奪っている可能
性があるとして、独禁法の調査を拡大しました。詳しくは、
http://www.hotwired.co.jp/news/news/20010831103.html
欧州委員会、MSの独禁法違反調査を拡大
をどうぞ。
2001/08/25

IIS、保険料値上げ

 ASAHIネットのjouwa/salonから。

標題: IIS、保険料値上げ
---
 致命的セキュリティホールだらけで、いまCode Redで大被害を出しているMS
のウェブサーバソフトIISですが、IISを使っていると保険料が高くなります。
詳しくは、
http://www.zdnet.co.jp/zdii/0108/21/hn_001.html
CodeRedで広がる波紋――英損保業者,IISユーザーの保険料を値上げ
をどうぞ。
 この業者でしたっけ。以前、Windowsを使っていると保険料を高くしたのは。
2001/08/24

マカフィーがパクリ

 ASAHIネットのjouwa/salonから。

標題: マカフィーがパクリ
---
 匿名さんから。
--- ここから ---
この間、 スラッシュドットジャパンにでていた事です。

McAfeeウィルス対策をコピペでぱくる
http://slashdot.jp/article.pl?sid=01/08/21/0428210&mode=thread&
threshold=

「悪意ある Javaスクリプト実行による被害」に関連する話題って事になるの
かな。
個人的にはちゃんと機能する物が迅速に出て来る事は歓迎、なのですが。
でも、typo がそのままって事はちゃんとテストしてないって事なのかな、と。
しかも、元パッチがその後修正されている事に追随しているのかも疑問。
--- ここまで ---
 同様なメールをStellheimさんからも頂戴しています。
 AKIOさんという方が発表したregファイルを、マカフィーはそのままかっぱ
らって、自分たちが作った対策として同社のウェブに掲載していたというもの。
これで、ウイルス対策メーカー、セキュリティ関連メーカーとしての信用パー
ですなあ。
 まあ、ノートンとトレンドマイクロがあればいいか。\(^O^)/

 ところで、コピペって言葉、何のことかわからなかった。
 コマネチのピンクのベディキュアの略? ^^;
 コピー&ペーストのことですよね。イマドキは、こういう省略の仕方をする
んですね。なんか、コミケ的な省略で、てっきりアニメ用語かと思いました。
 日本語って4文字に省略することが多いんですけど、アニメ系というか若い
連中は、3文字へ省略する傾向が強いのかな。より圧縮率を上げているという
ことでしょうか。
 もう20年すると、2文字へ省略するようになって、あと50年で1文字に
省略するな。
 これは、世界のあらゆる言語のあらゆる言葉を単一の単語で表現するという、
UniWordの世界に近いのではないか。

 UniWordとは、はるか昔、いまはなき日経MIXで、UniCodeがおぼろげに姿を
あらわしたころ、ギャグとして出た構想です。発案者は、あれ、名前忘れた。
98大好きのほら、あの人。すみません。やっぱ出てきません。最近、ほんと人
名が出てこない。もう危ないな。

 あ、いま、突然、思い出した。takaonじゃない? 違うかな。

2001/08/22

Re: 悪意ある Javaスクリプト実行による被害

 ASAHIネットのjouwa/salonから。斑さんの書き込みにコメント。

標題: Re: 悪意ある Javaスクリプト実行による被害
---
> IPAからアナウンスが出ています。気をつけましょう...。
> http://www.ipa.go.jp/security/ciadr/20010820java_browser.html

 すみません。台風も来そうだったので、数日、ぼけーっとしていました。
 この話、昨日(21日)の朝のNHKニュースでやっていました。マイクロソフト
社の閲覧ソフトのインターネットエクスプローラーの安全上の欠陥だとちゃん
と言っていました。
 ニュースで出たのは、オークションサイトでした。侵入されて、ウェブサイ
トに仕込まれたもののようでした。
 ニュースでは、IPAが注意を呼びかけているということもいってました。し
かし、この種の問題は、ほんとはIPAじゃなくて、製造責任者であるマイクロ
ソフト(MS)が新聞の全面広告を使ってでも告知、回収すべき問題なんだよね。
それを責任逃れをして他人任せにしているから、MSはメーカーとして信用され
ないんだよ。
 根本的な問題は、MSのソフトの欠陥にあるわけで、それなのに利益優先で金
をケチっているのか、ユーザーを犠牲にしてるんだから、ひどい話。マスコミ
ももっとちゃんと根本原因をみて、MSに社会的責任を取らせる報道をしてほし
いですね。
 この件、いろんな人から、メールを頂戴しています。
 染葉さんから。
--- ここから ---
二つの新手ワームが出現しています。 共にインターネット型で、感染したホ
ームページや特定のサイトに接続すると、ユーザーのパソコンにトラブルをも
たらす_という悪質なものです。

今日のMainichi_Interactiveには、
−−−−−−−−ここから−−−−−−−
2001-08-20

■悪意を持つJavaスクリプト、HP閲覧でPC使用不能に IPA警告
 特定のホームページを閲覧しただけで、パソコンが立ち上がらなくなる被害
が相次ぎ、IPA(情報処理振興事業協会 )は20日、ユーザーに注意と対策を呼
びかける緊急対策情報の提供を始めた。ホームページは何者かによって一見し
ただけではわからないように巧妙に書き換えられており、ブラウザの設定によ
り、悪意のあるJavaスクリプトが実行されるようにプログラムされていた。
IPAでは、パソコンが一時使用不能になるなど被害が大きいことや、「今後同
様の被害の発生も予想される」として、強く注意を呼びかけている。

 IPAによると、被害届けは17日から10数件寄せられた。症状はまず、アプリ
ケーションの起動や設定の変更、ウィンドウズの終了ができなくなる。強制終
了して再起動すると、起動時に「 If you have any trouble please email:
findlu@21cn.xxx. note:not for japanese&dog&pig 」といったメッセージ
が記載され、その後は「全てのファイルが開けない」、「デスクトップのアイ
コンが消える」、「Windowsが終了出来ない」などの症状が起き、全くPCを利
用出来なくなる。
−−−−−−以下省略−−−−−−−
という記事が掲載されました。 現時点ではオークションサイトの落札者の確
認ページに感染しているだけですが、IE4以降のInternet Explorerを使ってい
る人は、セキュリティレベルを高に設定して、ActiveXをオフにするよう警告
されています。

また、最近のウイルス情報では
−−−−−−ここから−−−−−−
I-Worm.Loding という、Visual Basic Script (VBS)で記述されたインターネ
ット型ワームで、ワームはWEBホームページに組み込まれる形式で増殖が図ら
れており、IE4以上のInternet Explorerにおいて、セキュリティレベルのオプ
ションが「高」設定以外の場合に感染します。

ワームは、Outlookのアドレス帳をアクセスし、登録されているメールアドレ
スに下記に示すメッセージを送付します。

表題: "Computer Secrets !"
本文:
   If you are using Win9x/Me, visit the following page will upgrade 
your pc performance.
−−−−−−以下省略−−−−−−−
というのがあり、本文に埋め込まれたURLに辿ると、感染します。

前者は、当該サイトに外部から送り込まれたワームが問題を作り、後者は予め
ワームを埋め込んだサイトにアクセスすると問題を発生するという点で、どち
らもユーザーの不用意な行動が災いを招きます。 精々ご注意ください。
--- ここまで ---

 高田さんから。
--- ここから ---
Webの特定のページを開くだけで仕込まれているウイルスが感染するページ
があるそうです。

対象マシン はWindows+IEのようです。
症状は
・アプリケーションの起動、設定変更、Windowsの終了が出来なくなる
・強制終了後、再起動時に
  「If you have any trouble please email:findlu@21cn.xxx. note:not 
for japanese&dog&pig」
 と表示される。
・その後、「全てのファイルが開けない」、「デスクトップのアイコンが消え
る」「Windwosが終了出来ない」、などの症状が出るそうです。
詳細は
http://www.zdnet.co.jp/news/bursts/0108/20/ipa.html
に載っています。
対応策等は
http://www.ipa.go.jp/security/ciadr/20010820java_browser.html
から、JUMPできます。(上記のページはzdnet.co.jpの記事にも記述され
ています。)
自分がこの情報を知ったのは  今朝(8/21)のNHKのニュースの中で特定の
ページはとは  どこぞのオークションだったそうです。現在、そのサイト対策
が終了したとアナウンスしていました。
NHKとしては珍しく(?)、OS名、ブラウザ名を報道していましたし、対応
策がウンヌンと言っておりました。
--- ここまで ---

 西尾さんから。西尾さんは、「ウイルス、伝染るんです」の編集を手伝って
くれた人です。
--- ここから ---
 すでにご存じだと思いますが、特定のWebサイトにアクセスすると、Javaス
クリプトでマシンが使用不能になるというニュースが流れています。
http://www.zdnet.co.jp/news/0108/20/javascript.html

 これを見て、「しまった、この手があったか。もっと強く警告しておけばよ
かった……」と思いました。「ウイルス、伝染るんです」の115ページあたり
でトラップサイトの危険性を述べていますが、

>>普通はそういうことはしません、というのは、WebのURLは
>>決まっていますから、悪いことをすれば足がつきやすいからです。

 と、それほど危険ではないかのように書いています。
 でも今回のヤツは、外部から悪意のプログラムを埋めこんでいるわけで、こ
れをやられちゃうと、防備の甘いサイトは全部危険になってしまいます。

 と、今回知りましたけど、本来の Java VM と、Microsoft VM ってのは、ま
るで違うものなんですね。

http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-
075

>>Microsoft VM には、Java アプリケーションやアプレットによって ActiveX
>>コントロールを作成したり、操作したりすることができる機能が含まれています。

 これじゃサンドボックスの意味がないわけで、最低ですね。

 JavaとActiveXの違いはみっちりやりましたけども、Java系でも違いがある
というのはあんまり書きませんでした。このあたりもちょっと悔しいところで
す。
 改訂版の話があればぜひ。(^_^;)
--- ここまで ---

 JavaVM(JVM)の違いは、Java開発者の間では、MSのJVMはWindowsに縛り付け
られるものだとして、けっこう知っている人多かったと思います。
 ただ、パフォーマンスはMSのJVMがよかったですね。MSのVMのガベージコレ
クション関係は、David MoonがMSから頼まれて実装したという噂があって、ぼ
くはそれで、なるほどなと納得しました。
 David MoonはLisp屋なら知らない人はいない、LMIやSymbolicsなどのLisp専
用マシンが全盛の時代に活躍した天才で、メモリ管理やガベージコレクション
の専門家といっていいのかな。
 こういうLisp的天才たちを揃えたSymbolicsなどにたった一人で対抗してい
たのが、GNUとFSFのRichard M. Stallmanなんですね。
 1対15のバトルとか、そんな感じだったみたいですね。
2001/08/18

ここもうすこし教えてください(その2)

 ASAHIネットのjouwa/salonから。Code Red関係の補足です。その1はASAHIネットだけの話になっちゃったので、載せません。

標題: Re: ここもうすこし教えてください(その2)
---
>>> さて、MS-Watch 8/16付けの
>>> 「pwsをインストールしたNT4.0をWin2000にアップグレードすると自動的にIIS
>>> がインストールされる」
>>> との件ですが、Win98SEでも同様の現象を確認しております。
>>
>>Win98SE そのもの なのか、なんらかのアップグレード操作をすると
>>なのでしょうか。
>
> 元のメールの文意からすると、アップグレードするとだと思いますが、ちょ
>っと確認してみますね。

 築さんから、さっそく返事が来ました。ありがとうございます。
 Win98SEからWin2000にアップグレードすると自動的にIISがインストールさ
れるという意味でした。

--- ここから ---
私が確認しているのは

1. OSがWin98SEで、ユーザがPWSをインストールしたPCに
2. Win2000をアップグレード(メニューの表示を忘れてしまいまし
   たが上書き、あるいは非クリーンインストールのことです)し
   た場合に限り
3. PWSがIISにアップデートされてしまう

という現象です。

ちなみにPWSはIE5.0に付属のものを、スタートメニューの「パーソナルWebサ
ーバ」経由でインストールしたもので、VisualStudioなどのように、インスト
ールのプロセスの中で自動的にPWSがインストールされる例については未確認
です。
(それそれぞれで、registryなどが大きく変わることはないと思うのですけど
ね・・・)

これは、
「Win2000ProのCDを突っ込んで、何のパラメータも設定せずにアッ
プデートされた、最近のOSは楽になったもんだねえ」
と思ってた矢先のCODE RED騒ぎで、ためしにプロセス覗いてみたら

「サーバだけという報道と違ってIIS動いてるじゃん」

で、あせって、学校中のPCをチェックするドタバタで見つけたものです

ちなみに、勤務先ではWin2000Proと98SEの実習室が並存していて、さらに、教
員研究室のデスクトップと学生に貸与したノートPCありという、多様(笑)な
環境です。全部MSじゃん。
MSとCampus Agreementを締結しているためファイルサーバからOS、アプリ、言
語ともインストールし放題だし、学生ノートPCや教員研究室のPCはデフォルト
は98SEですが、自己責任でLinuxにするもよし、Win2000にするもよしという管
理者にとっては悪夢のような環
境です。まあいろいろなデータが取れるんですけどね。

今回の騒動で

楽あれば苦あり

というか

タダほど怖いものはない(もちろんGNUやLinuxにあらず、こちらはカラダで払
うことになりますから・・・)

というか

知らしむるべからず、依らしむべし
(「MS=日本(企業 or 官僚制)」説、卓見だと思います)

ということを実感してたところでした。

長くなってしまいました。
取り急ぎ、お返事まで
--- ここまで ---
2001/08/17

Code Red関係補足

 ASAHIネットのjouwa/salonから。

標題: Code Red関係補足
---
 築さんから。ありがとうございました。
--- ここから ---
Mix時代からの読者です。
大学内ネット管理の仕事とするようになってから、ニュースサイトの「裏取り」
のために、毎日最初にチェックするのが日課となっております。

さて、MS-Watch 8/16付けの
「pwsをインストールしたNT4.0をWin2000にアップグレードすると自動的にIIS
がインストールされる」
との件ですが、Win98SEでも同様の現象を確認しております。

この場合には奇妙なことに[コントロールパネル]を見ると
・インターネット サービスマネージャ
・パーソナルWebマネージャ
の二つのアイコンが並存しています。

ところが実際には、動作しているのはIISのみで、[パーソナルWebマネージャ]
の「入門」の内容も「インターネット インフォメーションサービスへようこ
そ」と密かにアップデートされています。

どうやらIIS管理ツールとして二つが並存した形になっており、PWSユーザも、
旧来のUIで操作できるような「親切な」設計になっているのですが、松浦さん
のメールにあった通りユーザとしては、IISではなくpwsで作業をしていると錯
覚させてしまうようです。

ご参考まで。
--- ここまで ---

文部科学省Code Red感染

 ASAHIネットのjouwa/salonから。

標題: 文部科学省Code Red感染
---
> 官公庁攻撃大したことなかった?ようですね。
> 文部科学省、扶桑社と産経新聞などフジサンケイグループがいくつかやられ
>たくらいで。

 昨夜のNHKニュースで、文部科学省がCode Redに感染しているといってまし
た。サーバを止めて、ほかに何かやられてないか、あれこれやっているようで
す。

 フジサンケイの教科書問題や小泉の靖国参拝問題で、狙われることがわかっ
ている状況で、どうして、IISのセキュリティホールを放置しているのか。よ
ーわーらんのー。
 というか、どうしてIISなんか使ってるんでしょうね

PDFのウイルス(その2)

 ASAHIネットのjouwa/salonから。

標題: PDFのウイルス(その2)
---
 小原さんから。ありがとうございました。
--- ここから ---
先日PDFを利用して広まるウイルスについて詳細記事があるplanetpdfのwebペ
ージをご紹介したものです。

今度は、PDFPlanetにPDFアタッチメントウイルスにうつらない方法という記事
が載りました。

Acrobat 5.0では警告メッセージが出るので、そこで『開かない』を選ぶべき
こと、メニューのPDFコンサルタントを使って、探知し、削除ができることな
どが図解入りで説明されています。
またMcAfeeが今週中にPeachyを探知するアップデートを発表予定であること、
などがかかれています。

http://www.planetpdf.com/mainpage.asp?webpageid=1575&nl
How *not* to get infected by a PDF attachment virus
--- ここまで ---
2001/08/16

Code Red関係訂正

 ASAHIネットのjouwa/salonから。

標題: Code Red関係訂正
---
 染葉さんから、松浦さんから訂正メールがきたとのこと。

--- ここから ---
先週末にお送りした「Code_Red-IIその後」でご紹介した話題記事で、本人か
ら次のような訂正メールが届きましたので、お送りします。

〓〓〓〓〓〓ここから〓〓〓〓〓〓
> 「興味深いのは、ラップトップのWindows 2000にパーソナルWEBサーバー
> (PWS)がインストールされたケースで、このラップトップが社外へ持ち出された
> 際、外のネット接続環境でC型のCode Redワーム感染した場合に関する事柄です。
> この場合、ラップトップが社内に帰って来て社内LANに接続されると、LANを
> 飽和させるというものです。実例では、訪問した顧客のLAN内で感染したケース
> があるようです。」
> 
> 
> この部分ですが、MicrosoftからPWSは、このワームに対する脆弱性問題は
> ないと確認されました。理由は簡単で、PWSにはIndex Server ISAPI
> Extension自体のコードが搭載されていないためです。今回のワーム騒動で
> 対象となっている障害は、IISのバージョン5で発生し、PWSはIISバージョン4
> を基準としたプログラム構成なのだそうです。
> 
> 
> IISバージョン5は、デフォルトでWindows 2000サーバーをインストールした
> 場合に組み込まれ、Windows 2000 Professional版にはデフォルトで組み込まれる
> ことはありません。
> 
> 
> ただ、今回の混乱の中で明らかになったこととして、PWSが組み込まれていた
> Windows 4.0のWorkStation環境に、Windows 2000 Professional版を
> アップグレード インストールした場合、このPWSがIIS 5.0へ自動的に
> 置き換わるのだそうです。今回の騒動では、この条件のユーザーの大半が
> 自分はIISではなくPWSを利用していると錯覚していたように思います。
> 
> 
> そのため、NT 4.0+PWS環境を持っていたユーザーで、Windows 2000を
> アップグレード インストールしたユーザーは、このワームの被害対象に
> なるということです。
> 
> 
> これまで判明しているCode Red ワームは下記の4種類です。
> 
> v1 = July 13th, 2001 - in the wild
> v2 = July 19th, 2001 - in the wild
> v3 = July 21st, 2001 -  FBI/NIPC報告
> v4 = August 4th, 2001 - in the wild

〓〓〓〓〓〓〓ここまで〓〓〓〓〓〓〓〓

然し、もう既にこの一ヶ月の間に四種類になっているそうですから、開発・改
良速度は速いですね。 早いところ手を打たないと、侵入方法までがますます
巧妙になって、手がつけられない状況になってしまうのでは?と心配されます。

前回のお知らせ時点で判明していたCode_Red-II (I-Worm.Baby) の汚染状況で
は、中国を中心とするアジア全域が圧倒的で、次いでアメリカ東部、太平洋岸、
欧州で汚染があったのですが、今回の場合には欧州だけがレポートされていま
す。これは、この追跡サイトがオランダにあるからでしょう。最新情報は
http://www.security.nl/misc/codered-stats/
にあります。
--- ここまで ---

韓国の感染被害

 ASAHIネットのjouwa/salonから。

標題: 韓国の感染被害
---
> 一昔前は、連休や長期休暇中にサーバを停止すると、
> ネットワーク界には迷惑である...云々と
> 警告していた時期がありましたけど...
>
>  家庭で常時接続(もどき)が普及してくる昨今だと
> どういうふうにアドバイスするといいんだろう。
>
> 一般・家庭ユーザが、サーバを動かしているという感覚はないだろうし
> ましてネットワークやシステム運用という概念はないよね。
>
> #CodeRedの頒布国上位の韓国って後発リッチ環境の典型的な事件だと思う

 韓国は、北朝鮮とのことがあるから、もっとセキュリティ意識が高いかと思
ったら、インターネットに関しちゃ、日本とどっこいどっこいなのかな。
 アジアNo.1のブロードバンド大国とかいっても、これじゃあね。
 「ウイルス、伝染るんです」のハングル版作るか。\(^O^)/
2001/08/15

Code Red関連、まだまだ

 ASAHIネットのjouwa/salonから。

標題: Code Red関連、まだまだ
---
 MSがやっと、Code Redの駆除ツールを出しました。詳しくは、
http://www.zdnet.co.jp/news/0108/11/b_0810_12.html
Microsoft,Code Red駆除ツールをリリース
をどうぞ。
 これが実は、ウイルスだったりしてね。^^; バグってたりしないのかな。
 Code Red対応でへとへとのみなさんには、「このソフトウェアパッケージに
は,IISを永久に無効化するオプションもある」というのが、一番の魅力でし
ょうね。\(^O^)/

 Code Red IIIというのもあるんだとかないんだとか。詳しくは、
http://www.zdnet.co.jp/news/0108/11/b_0810_06.html
韓国政府,「Code Red III」を報告
http://www.zdnet.co.jp/news/0108/11/b_0810_05.html
「Code Red III」は誤認の可能性
をどうぞ。
 もう、暑くてどうでもいいです。今日、会社のエアコンが壊れているんじゃ。
なんでまた。地獄じゃのお。
 こうやって投げやりになったときが、敵の思う壺なんだけどね。

Code Red感染図

 ASAHIネットのjouwa/salonから。

標題: Code Red感染図
---
 Code Red感染図
http://www.security.nl/misc/codered-stats/geodist.gif
で、日本が中心みたいに見えたのですが、そうではない。ちゃんと調べると韓
国が大変なんだというお話。
 河之邊さんから、「[CodeRed] 赤丸の中心はソウルです」というメール。
--- ここから ---
JAVA 版の、
http://www.security.nl/misc/codered-stats/geodist.html
で該当部分にポインタを当てて表示される緯度経度から、最も大きな赤丸は日
本ではなくソウルであることがわかります。地理に詳しい方なら樺太のあたり
と中国とモンゴルの国境線をヒントに朝鮮半島が中心であることは想像がつく
と思います。

ただし、この図は 8/1〜5 までの期間ということと、観測地がオランダである
ことを差し引いて見なければなりません。

それから、Code Red II に関しては、例えば 211.*.*.* とか 61.*.*.*などの
 IP は日本と韓国の両国に割り当てられていて、上記アドレスを用いている場
合には韓国からもかなりアタックされたりお返ししたりしているはずです。

うちの場合 211.*.*.* ですが、apache のログを集計すると半分以上韓国から
でした。

>  中嶋さんのメールのタイトルが「日の丸万歳!」なんです。なんで?と思っ
> たら、これみるとすぐわかります。すごいね。ほんと、日の丸万歳です。日本
> が異常にやられていますね。MSKKにいいように売り込まれて、メンテしていな
> い馬鹿鯖がいかに多いか。恥ずかしい。

実際には日本もかなり多いと思われますので、確かにこのとおりだとは思いま
す。
--- ここまで ---

 はまもとさんから。
--- ここから ---
CodeRedの感染図が紹介されていますが、その中心を解析された方がいらっし
ゃいます。
http://jove.prohosting.com/~wingtxt/source/nakasu121.jpg
お隣の国が大変なことになっているようです。日本じゃないみたいです。
以上、参考までに。。。
--- ここまで ---

 この感染スピードのすごさからして、韓国が、Code Red IIIが見つかったと
かといったわけですね。あれ、韓国政府の情報通信省の発表ですよね。日本政
府は何も発表しないのかな。
 おれ、福田官房長官の飄々としたユーモア、時に非常にブラックな笑いが出
ることがあって、あれ、大好きなんだ。Code Redに一言いってくれないかなと
思っているんだけど。
 まあ、明日になると官公庁のサイトが軒並みやられて、何か言わなきゃなら
なくなるのかも。
2001/08/14

Code Red関係

 ASAHIネットのjouwa/salonから。

標題: Code Red関係
---
 また、熱が出て寝てました。喉がちゃんと治ってないので、ちょっと気を抜
いたり、疲れがたまると熱が出るみたいです。

 その間にも、Code Red関係でいろいろメールをもらってます。
 まず、上田さんから。
--- ここから ---
 実はちょっと気になっているのですが……

> で、晒しものですが、
> http://usi.dyndns.org/~densuke/codered.html
> に過去1時間のログから抽出したアホ鯖のリスト(時間付き)を出しています。
> ISPの方が見れば、時間とホストから誰が利用してるかわかると思います。

もちろん中村さんは御理解されていると思いますが、これは Code Red (v1 or
 v2) だからシャレになるのであって、Code Red II (v3) でやってしまうとえ
らいことになります。backdoor があるサーバのリストを公開しているのと同
じことだからです。できましたら、そのことに関しましても言及していただけ
ると……と思います。以上、老婆心ながら。
--- ここまで ---

 ぼく、全然、気づいていませんでした。^^; ということなので、アホ鯖のリ
ストを公開している方々はご留意ください。
 中嶋さんから。
--- ここから ---
どうやら、日本ではかなりはやっているみたいです。

http://www.security.nl/misc/codered-stats/geodist.gif

M$にだまされている人が多いかよくわかります。
--- ここまで ---

 中嶋さんのメールのタイトルが「日の丸万歳!」なんです。なんで?と思っ
たら、これみるとすぐわかります。すごいね。ほんと、日の丸万歳です。日本
が異常にやられていますね。MSKKにいいように売り込まれて、メンテしていな
い馬鹿鯖がいかに多いか。恥ずかしい。
 村松さんから。メールのタイトルは「Code Red infects MSN Hotmail 
Server」です。つまり、MSがやっているHotmailのサーバがCode Redにやられ
ているわけですね。
--- ここから ---
表題の件ですが、CNET Tech Newsに訳文が掲載されました。

http://cnet.sphere.ne.jp/News/2001/Item/010810-4.html
MSとFedExが『Code Red』ワームの餌食に

元記事はこちらです。
http://news.cnet.com/news/0-1003-200-6826572.html
Code Red hits Hotmail, FedEx servers

パッチの当て忘れか、パッチが不完全なのか、いずれにしても間抜けをさらし
ているとしか言いようがないですね。

ちなみに、上記記事の時点でCode Redのどのバリエーションなのかも掴めてい
ないようです。そんな低レベルのところはセキュリティに穴だらけのNTなんぞ
を使ってはいけない、とアドバイスしてあげるのが親切かもしれません。
--- ここまで ---

 Carolさんから。
--- ここから ---
Code Redに感染している大手プロバイダということで、私が密かに立ち上げて
るサーバにもInfoWebのアクセスポイントから大量にアタックがありました。
通常のアクセスポイント(フェニックスロード?)やフレッツISDN,ADSL区別無
くきてるみたいです。
ログはこれ以上いらないということですのでお送りしませんが(笑)ご参考ま
で。
--- ここまで ---

 染葉さんから。松浦さんの情報を含んでいるので非常に長文ですが。
 IISはIt Is not Secureというのは、別の方からのメールにも書いてあった
のですが、もう捨てちゃったみたい。すみません。
 ノートPCのデフォルトで、ユーザが知らないうちにウェブサーバが動いてい
て、それでどこかに持っていったときに感染して、社内に戻って社内LANにつ
なぐと、社内にばらまいてしまうというのは、盲点なんでしょうね。
 ぼくのThinkPad s30はWin2000 Proですが、デフォルトのままだと思うけど、
IISやPWBは動いていませんね。Indexing Serviceはインストールされていて手
動起動になっているようです。まあ、大丈夫なんだろうなあ。
--- ここから ---
マイクロソフトのIISで運用しているサーバに感染して悪さをするCode_Red-II
に関する話題がたけなわですが、この件に関して、何時もウイルス情報を送っ
て頂いている松浦さんから、新しいメールを貰いました。 何かの参考になる
かと思いましたのでご紹介します。

〓〓〓〓〓此処から〓〓〓〓〓〓
> 少し脱線しますが、あるBBSではIISは、 Internet Information Server
> ではなくて"It Is not Secure"の略だとか言っています。まあ、感情論
> は別にして、私はIISはApacheと違って大変規模の大きなサービスプログラム
> ですから、運用にはそれなりの覚悟が伴うと思います。それで、感染している
> システムの管理者は、その覚悟がなく安易にIISを利用していることが一番の
> 問題ではないかと思っています。
> 
> 興味深いのは、ラップトップのWindows 2000にパーソナルWEBサーバーが
> インストールされたケースで、このラップトップが社外へ持ち出された際、
> 外のネット接続環境でC型のCode Redワーム感染した場合に関する事柄です。
> この場合、ラップトップが社内に帰って来て社内LANに接続されると、LANを
> 飽和させるというものです。実例では、訪問した顧客のLAN内で感染したケース
> があるようです。
〓〓〓〓〓〓〓此処まで〓〓〓〓〓〓〓〓

PCメーカーでプリインストールされたノートPCを買って安心していると、MSの
デフォルトでWebサーバが組込まれたままになっていますから、上記のような
笑うに笑えないことが起きますね。特にブンヤ(新聞記者)さんに多いのでは?

尚、感染したことが判明したら、どうすれば駆除できるかを書いた記述もあり
ましたので、テキスト形式のファイルで添付しました。 ウイルスチェックを
してありますが、念の為にお手元でチェックしてから開いてください。
--- ここまで ---

 以下、染葉さんのメールに添付されていた松浦さんの文書。
--- ここから ---
"CodeRed.c" (AKA "CodeRedII")に就いて

この亜流ワームは、増殖の過程で攻撃対象に選択するリモートシステムのIPア
ドレスは、現在のIPアドレスに類似したアドレス群が選ばれます。 例えば、
現在ワームが稼動しているシステムのIPアドレスが「192.a.b.c」とすると、
ワームの増殖活動の対象となるIPアドレスは「192.x.x.x」が最も攻撃可能性
の高いIPアドレス空間になります。

確率は、8回に1回の割合では完全にランダム、8回に4回は同じクラスAサ
ブネットのIPアドレス空間、8回に3回は同じクラスBサブネットのIPアドレ
ス空間が増殖活動時の攻撃対象になります。

このため、感染したラップトップが社内に帰ってくると、LAN内のシステムへ
増殖活動を始めることになる訳です。

オリジナルワームのAおよびB型に比較して、このC型はプログラムコードが短
く、i386アーキテェクチャおよびそのアセンブラー言語に熟知した人間が書い
たと想像されます。 感染した場合には、IISディレクトリ下に"cmd.exe"コマ
ンドシェルファイルを作成し、8192バイトサイズの"explorer.exe"トロージャ
ンホースプログラムを「C:\」および「D:\」ルートディレクトリに作成します。

また、C型ワームは、既にA又はB型ワームに感染しているシステムへの感染操
作は回避するようです。

参考に、ワーム感染している場合の対処方法を記述します。
Administratorアカウントでログインし:

1) Microsoftが提供しているセキュリティパッチをダウンロードして導入

http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
(日本語モジュールは、ダウンロードページの言語選択で選べます)

2) ワームのメモリからの取り外し

(1) タスクマネジャーを起動(起動時にCTRL-SHIFT-ESCを同時に入力)
(2) 「プロセス」タブをクリック
(3) プロセス名で縦列が並ぶように表示を変更
(4) 表示メニューから「列の選択」
(5) ストレッド数にチャックマークを挿入し、OKでダイアログを閉じる
(6) ストレッドが1のExplorer.exeプロセスを探し、これを右マスクボタンを
クリックして表示
されるポップアップメニューから「プロセス終了」を選択
(7) タスクマネジャーを終了

3) ファイルエクスプローラを起動とファイル削除

(1) 「ツール」「フォルダオプション」から「表示」へ移行
(2) 表示を「すべてのファイルとフォルダを表示」へ設定
(3) 「保護されたオペレーティングシステムファイルの表示をしない」を無効
化に設定
(4) 「C:\explorer.exe」「D:\explorer.exe」を削除
(5) 下記の4つのファイルを削除

C:\inetpub\Scripts\Root.exe
D:\inetpub\Scripts\Root.exe
C:\Program files\Common Files\System\MSADC\Root.exe
D:\Program files\Common Files\System\MSADC\Root.exe

4) バーチャル キャテゴリの削除

(1) デスクトップ上のマイコンピュータアイコンを右マウスボタンでクリック
して表示されるポップアップメニューから「管理」を選択
(2) サービスとアプリケーションをクリック
(3) アプリケーション/Internet Information Servicesを選択
(4) "C" virtual catalogue を右マスクボタンでクリックして表示されるポッ
プアップメニューから「削除」
(5) "D" virtual catalogue を右マスクボタンでクリックして表示されるポッ
プアップメニューから「削除」

5) レジストリ操作

(1)「ファイル名を指定して実行」からREGEDITと入力して、レジストリエディ
タを起動します。
(2) 下記のエントリを検索

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\
Virtual
Roots

(3) 右フレームにある"\C"および"\D"パラメーターを削除
(4) "/MSDAC"をダブルクリックし、 後尾値を「201」へ変更
(5) "/Scripts" をダブルクリックし、 後尾値を「201」へ変更
(6) 下記のエントリを検索

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\
WinLogon

(7) "SFCDisable"をダブルクリックし、値を「0」へ変更

注意する点としては、例えばVisual Studio's Visual Interdevをインストー
ルすると、インストールオプションを十分に確認しないと知らない間にIISが
導入されます。 Windows 2000のProにおいても、Personal Web Service (PWS)
がユーザーの意思に反してインストールされていて、稼動しているということ
です。 以前にも書きましたが、ディホルト インストールは注意が必要です。
 この点で言うと、メーカー製のPCでプリインストールされている機械は、特
に何が入っているかが分からないため注意が必要に思います。

面倒くさがりの私としては、上記に書いた手順を実行する位なら初めからサー
ビスパックをWindows Updateで導入する方が圧倒的に楽だと感じます。 これ
は、夏休みの宿題を最後まで溜めるのとは少々違って、友達のノートをコピー
するような訳に行かず、圧倒的に先にセキュリティパッチを導入した方が作業
が楽です。

この数週間位の間で、IIS向けのセキュリティ フィルターなる製品が発表され
ています。 私は、変なのを被せるくらいなら、その都度適切なセキュリティ
パッチを導入してやる方が対処としては合っているような気がしています。 
要はまめに保守をすることが結果経済的で効果的ということではないかと感じ
ます。

(松浦・記)
2001/08/11

 古河電工を古川電工と書いていました。訂正しました。すみません。有馬さん、ありがとう。

2001/08/10

Code Redのログ

 ASAHIネットのjouwa/salonから。

標題: Code Redのログ
---
>> 当然、ドメインを特定できるんで恥をさらしている会
>> 社や団体が判ります。
>
> 一度、みてみたいな、それ。^^;

などと書いたのは、斑さんの分だけでいいというつもりだったんですけど、ウ
ェブに書いたもんだから、いろんな人がログやら関連情報を送ってくださいま
した。
 ありがとうございます。でも、もう、いいです。これ以上、ログが増えても
困りますので。^^;
 多いので、いくつかだけ。
 上田さんからは、
--- ここから ---
常時接続されたサーバの多くは韓国・中国・台湾のもののようです。多くは 
IISを入れたまま何もメンテナンスをしていない、というような感じでしたが、
中には教育機関や政府の機関、はなはだしきに至っては日本国内のプロバイダ
のサーバもあったりして、あまりの範囲の広さにただただ驚いている状態です。
ここまでくると、本当に IIS 自体がウイルスみたいに思えてきます。
--- ここまで ---

 ほんと、Word, Excel, IE, Outlook, IISそしてWindows本体。全部、ウイル
ス状態ですね。
 匿名希望さんのログには、
home.ne.jp
mbn.or.jp
plala.or.jp
mesh.ad.jp
chapondow.co.jp
などの名前がありますね。plala.or.jpやmesh.ad.jpは大手プロバイダ?です
よね。それも複数のホストに感染しています。大丈夫かいな。
 中村さんからは、スラッシュドットジャパンからの情報。
http://slashdot.jp/comments.pl?sid=01/08/05/0441253&op=&threshold=0&
commentsort=0&mode=thread&startat=&cid=111
をどうぞ。
 佐藤さんから頂戴した情報はいろんな意味で面白かった。
 鯖ってサーバのことなのね。勉強になるなあ。
--- ここから ---
うちの自宅のサーバ(Lambルータ+1GBマイクロドライブ+フレッツADSL)にもち
ょっかいを出してくれています。うちはまだ少ないほうですけど、日記仲間の
ところでは3000を越えてるアタックがあったとの報告もあります。CodeRedア
クセスカウンタも設置して、たまに見ると増えてます。

で、晒しものですが、
http://usi.dyndns.org/~densuke/codered.html
に過去1時間のログから抽出したアホ鯖のリスト(時間付き)を出しています。
ISPの方が見れば、時間とホストから誰が利用してるかわかると思います。
また、日記ページ
ふが日記・T → http://usi.dyndns.org/~densuke/diary/
のほうにCodeRedアクセスカウンタも設置しております。
このアイデアは「ただただし」さん(tDiary日記システム作者さん)の日記
Mary日記 → http://www.spc.gr.jp/sho/diary/
よりいただいたものです。よろしかったらご覧ください。
それでは。
--- ここまで ---

 すごいなと思うのは、カウンタ付けるのが流行っていて、みんな、Code Red
いらっしゃい合戦でアクセスを競ってる感じになってることですね。
 なんか、
「あたしさ〜、有名人のCode Red IIちゃんにお尻触られちゃったのよ〜〜〜」
「なによっ、あたしなんか、毎日、300回も触られてるわよ」
「おれなんか、もう、おカマ、掘られたんだぜ。うらやましいだろ」
みたいな。

 ZDNet Japanには、やっとMSがCode Red対策用のサポート窓口を設置なんて
記事がありますね。いくつか関連記事を。
http://www.zdnet.co.jp/enterprise/0108/08/01080803.html
ようやく? マイクロソフト,Code Red対策用にサポート窓口を設置
http://www.zdnet.co.jp/enterprise/0108/08/01080804.html
Code Redの教訓:アプリケーションを守れ,攻撃者はネット上でうごめいてい
る
http://www.zdnet.co.jp/enterprise/0108/08/01080805.html
インターネットに放たれた,さらに危険な「Code Red II」

PDFのウイルス

 ASAHIネットのjouwa/salonから。たまさんの書き込みにコメント。

標題: PDFのウイルス
---
> Acrobatで作成するPDFファイルを介して蔓延するウィルスの情報があります。
>   http://www.zdnet.co.jp/news/0108/09/b_0808_05.html
> もはや、何でもありか?
> 一応、Acrobat Readerだけの人は、現段階では安全みたいですが、私、acrobat
>持っていて、それで開いちゃうんですぅ、PDFファイルは。どうしましょ。

 これについては、小原(こはら)さんからメールが来ていました。ありがとう
ございます。
--- ここから ---
PDFのファン?として、PDFおまえもかとがっかりしています。でも結局は、
Outlook、VBScriptが鍵なのですね。

PDFに焦点をあてたWeb、PlanetPDFに、PDFに潜ませたワーム関係の記事があり
ます。お時間のあるときにご一読ください。

http://www.planetpdf.com/mainpage.asp?webpageid=1563&nl
Report on new virus that travels as a PDF attachment

OUTLOOK.PDF worm
http://www.coderz.net/zulu/outlook.pdfworm.txt
Zuluと名乗る作者本人らしき人物が詳細解説しています。開発計画中のworm数
種についても列挙して説明していて、あきれます。

同じ、記事から下記の記事にも飛べます。
McAfee delivers Anti-Virus Support for Adobe Acrobat 5.0
こちらは、6月25日付けです。

--- ここまで ---

 そういえば、ASAHIネットが会員に提供しているサーバ側でのウイルスチェ
ックサービスが、値下げになってますね。詳しくは、
http://www.asahi-net.or.jp/news/0108mvchk/index.htm
「おまかせウイルスチェック」個人に提供開始 半額に値下げ!
をどうぞ。
2001/08/09

Re:CodeRed II が・・・:-(

 ASAHIネットのjouwa/salonから。たまさんが書き込んでくれたCode Red IIの話題にコメント。

標題: Re:CodeRed II が・・・:-(
---
> 気を付けてください。CodeRed II という無差別絨毯爆撃殲滅戦想定ワームが
>CodeRedの亜種というより悪質に進化したものです。
> これに感染すると、サーバの乗っ取りだけではなく、多方面にパケットをばら
>まき、乗っ取れるIISは乗っ取り、そうではないものには延々とパケットを流し
>てトラヒックを増大させる、という状態になります。邪悪です。
>   http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html

 これかあ。おれが39.7度の高熱を出した原因は(笑)。道理で変なパケッ
トが頭の中に流れ込んでくると思った。

 記事はほかにもいろいろ出ています。専門家によっても、変種だとか、感染
方法は真似ているが別物だとか意見がわかれるようですが、WindowsとIISを狙
っている点は共通しています。詳しくは、
http://japan.cnet.com/News/2001/Item/010807-2.html
破壊力を増した『Code Red』ワームの変種が出現
http://www.hotwired.co.jp/news/news/20010807302.html
今度は『コード・レッド2』が登場、個人ユーザーも標的に
http://www.zdnet.co.jp/news/0108/07/b_0806_07.html
初代よりたちの悪い「Code Red II」
をどうぞ。
 IISを使っているところはパッチを当てないとダメですが、そのパッチが一
貫性がなく複雑で訳がわかんない状態になっていて、苦労するようです。詳し
くは、
http://www.hotwired.co.jp/news/news/20010806301.html
『コード・レッド』対策用パッチは不安で一杯
をどうぞ。
 IISを動かしてなくても、インストールしてあるだけで感染するなんて説も
ありますよね。ともかく、Windowsでサーバを立てている人は、企業や組織は
当然として、個人で常時接続している連中も、みんなパッチを当ててください。
 そもそもこんなに問題になっているのに、新聞に告知もしないMSってのがメ
ーカーとして信じられないよね。自動車メーカー、家電メーカーやNTTやドコ
モだったら、批判の渦だぜ。さすが、MS。いい商売しているよね。
 日本の状況は、ZDNet Japanオリジナル記事にあります。詳しくは、
危険度はオリジナルを超える新種「Code Red II」
http://www.zdnet.co.jp/news/0108/06/codered_isec.html
をどうぞ。たまさんが書いてくださったIPAの紹介もありますね。

>#ちなみに、YAMAHAのRT80iとRTA50iというダイヤルアップルータでは、このパケ
> ットが送られてくるだけでリブートしてしまうようです。
>  http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/www-server-vulnerability.html
>
>#駆除ツールだけではなく、IISを使用している人はパッチも必要です。各アンチ
> ウィルスツールベンダは、対応を済ませているようですので、そうしたツール
> を導入すべきでしょう。

 YAMAHAのルータだけじゃないようです。Code Redの被害を受けた匿名希望さ
んから古河電工のMUCHO-Eシリーズその他についても情報を頂戴しています。
詳しくは、
http://www.furukawa.co.jp/fitelnet/topic/codered.html
CodeRedワームに関する対策について(2001/8/6) 
をどうぞ。

Re: 物騒な世の中です

 ASAHIネットのjouwa/salonから。Kenjiさんの書き込みにコメント。

標題: Re: 物騒な世の中です
---
>まったく、本当にランダムにTCP Port 80へ接続してくるので、うるさくて
>たまりません。不必要なPort 80への接続を禁止していたのが幸いしました。
>RT80i/RTA50iとも(もう更新しましたが)ACLでの防護が効果的です。
>ついでにやっておくことをお勧めします。

 慶応の学生には、実習より、セキュリティうんぬん、ワーム、ウイルス、詐
欺などの話をやかましく言ってきましたが、たぶん、自分が攻撃されないと身
に沁みないだろうなあ。
すでに、自宅から通っている学生には、常時接続している子もいましたが。

>IISのパッチを当てようとしたら、Win2000がSP2になってないとか言われたので、
>110MbyteほどSP2をもらってきて突っ込みました。
>IISのパッチにはpre-SP3 HotFixという名前がついてますね。
>もっとも、我が家ではIIS disabledですが(当然なんですけど)。

 2000だと、それくらいで済むんですか。NTだと、先に書いた
http://www.hotwired.co.jp/news/news/20010806301.html
『コード・レッド』対策用パッチは不安で一杯
にあるように、大変みたいです。記事にある
 「それほど複雑な事態ではないと思う。つまり、指示の内容は結局、3つの
パッケージの最新ソフトウェアをインストールし、SRPをインストールしてか
ら、6つの問題回避策をとって3つの修正パッチを当てるというだけのことだ」
とスタッフは回答している。
は、笑っちゃうよね。十分、複雑だと思うけど。そういえば、NT用のSRPって
のは、一度、出そうとして延期して、それから出したんですよね。あれ、日本
語版のほうでしたっけ。もう、高熱の彼方です。\(^O^)/

 これについては、Kenjiさんから以下のフォローがありました。ありがとうございました。

標題: いや、2000も重症のようです
---
日本語で私が見た中で一番きっちり解説しているのは以下のページです。
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html
2000でも重症なのは同じで、結局レジストリやcore binariesが書き換えられますから、
時間がなければ泣く泣く再インストールということになるでしょう。

Re: ずぼらなんですかね

 ASAHIネットのjouwa/salonから。斑さんの書き込みにコメント。

標題: Re: ずぼらなんですかね
---
> iPlanet使っているんで問題にはなっていないんですが
> それなりに形跡があります。
>
> accessログを'default.ida'でgrepしてwcすると日増し
> に増えているのが判ります。
>
> 当然、ドメインを特定できるんで恥をさらしている会
> 社や団体が判ります。

 一度、みてみたいな、それ。^^;

> 管理している人、夏休みなんですかね...。

 きっとそうなのでしょうね。いまごろ、家族を捨ててあわてて会社に移動中
だったりして。

ホットコーナーのトップページへ