第17回まっちゃ139講師:小野寺さんの、2008年セキュリティインシデント総まとめ(仮題)資料公開

早速(翌日14時に)、小野寺さんの資料を頂きましたので公開しました。ってことで感想とか

 

なぜ、日本が昔のウイルスにまだまだ感染しているのか

Windows SP0やSP1がまだ残っている。世界的に見たらSP2、SP3に移っているのに、なぜ?!
ってのは、あげたくない人(意図的に)や企業として、あげない人(意図的に)ってのがあるみたい
海外の場合は、よりセーフティになるSPだったら、積極的に当てていくだろうが
日本企業と言う環境では、制限が増える、よりセーフティに運用したいと言う観点から、当てられない企業も多いのだろう

あと、Microsoft脆弱性を悪用するウイルスの割合ってのが
MS06-014Microsoft Data Access Components (MDAC) の機能の脆弱性により、コードが実行される可能性がある)、MS06-071Microsoft XML コアサービスの脆弱性により、リモートでコードが実行される)、MS06-057Windows Explorer脆弱性により、リモートでコードが実行される)、MS06-067Internet Explorer 用の累積的なセキュリティ更新プログラム)あたりが多いとのこと。
これは、とれんどふりーくとしては、MS06-040MS06-040 : Server サービスの脆弱性により、リモートでコードが実行される)が多かったけどなぁ、、、と当日言ったら、小野寺さんもなんか納得してたw(思うところがあったのかもw)

SMBのあれ

MS08-067は、2つくらいの亜種がどんどん増えて更新されているってのを、とれんどふりーく的にコメントしたら
その通りとのことwwwwwwwwwwwwさすがwwww

Confickerのあれ

個人的には、ここがかなりのヒット!w
最近のMS08-067を悪用するものは、現在の資格情報(権限)で他のSMBサービスに接続して繁殖、確かにうまいなぁ。
だいたい、感染を受けて管理者は、管理者権限でログイン(DomainAdmins?!?!)ドメイン全体に感染?!
ってのも、ウイルス作成者色々うまいこと考えるなぁ。って、本当にうまい。
DomainAdminsってのは、どういうロール設計したらいいのか?ってのもあると思います。
個人にロールを付けたほうがいいのか、ロール付き別アカウントでやったほうがいいのか?
このあたりは、以下をよく読むこと(自分)てか、笑ったwww

サービス毎にドキュメントが別かよ!!!!まぁ、システム構築、運用側としてはいいのか、横串の1ページリンクがあるとうれしいな。

環境を理解し文書化する

一見自明の理と思えるステップですが、管理者相当のアカウントのセキュリティを向上するための、この 1 番目の最も重要なステップは、このプロセスで最も困難なステップになる場合があります。 管理者レベルの特権の使用に関して組織が制限せず、文書化していない場合、管理者レベルの特権がどこで効果があるのかを判別するのは困難です。特に、ローカル アカウントが関連する場所では非常に難しくなります。

http://www.microsoft.com/japan/technet/security/midsizebusiness/topics/networksecurity/securingaccounts.mspx

テンポラリーアカウントで作業か、監視、監査対象のアカウントが良さそうですね。

  • 制御された単一アカウント。 1 つ目のアプローチは、厳重に監視および制御される単一アカウントにこの役割を制限することです。このアカウントの使用だけが、このアカウントを使用する必要のあるタスクに対して許可された変更制御要求と同時に発生するようにします。 このアカウントの名前において発生するあらゆる監視対象イベントでは、ただちに調査する必要があり、許可された変更要求イベントが伴う必要があります。
  • 一時アカウント。 もう 1 つのアプローチは、許可されたタスクを完了するために必要になるまで、そのようなアカウントを設定しないことです。 許可されたタスクの必要性が生じたら、一時アカウントを作成し、使用してタスクを完了し、その後削除します。 このような強力なアカウントが必要になるのはまれなので、このような手順による管理オーバーヘッドが大幅に追加されることはありません
http://www.microsoft.com/japan/technet/security/midsizebusiness/topics/networksecurity/securingaccounts.mspx

たとえば、admin_xxxxxx(特権ロール付きログインID)とxxxxxx(一般ログインID)がよさそうですねぇ。

ユーザー アカウントと管理者アカウントを別にする

一般に、アカウントはユーザーと関連しています。 特権を最小限にする原則を使用する場合、特に管理機能を考えるときには、アカウントは単に役割ではなくタスクに関連させることができます。 管理者の役割を担うユーザーの場合は、2 つのアカウントを用意しなければなりません。日常的に使用する一般的なユーザー アカウントと、管理ワークステーションで管理タスクを行うときに限り使用する管理特権を持つアカウントです。

http://www.microsoft.com/japan/technet/security/midsizebusiness/topics/networksecurity/securingaccounts.mspx

SQL Server系は、こんなのみたい。

ここでは、計画が必要なアカウントを示します。アカウントは、対象範囲に応じてグループ分けしてあります。アカウントの範囲が限られている場合は、そのカテゴリに対して複数のアカウントを作成する必要がある可能性があります。

アカウントのインストールおよび構成が完了した後は、管理タスクの実行やサイトの閲覧にローカル システム アカウントを使用しないようにしてください。たとえば、セットアップの実行に使用したのと同じアカウントを、管理タスクの実行に使用しないでください。

http://technet.microsoft.com/ja-jp/library/cc288210.aspx

こっちは、Sharepoint

Windows SharePoint Services 3.0 の新機能の 1 つに、構成タスクと管理タスクを一元化する 2 層の管理モデルがあります。このモデルでは、管理ロールを区別し、組織内の適切な人物に管理を委任して割り当てることができます。管理モデルの強化は、IT 組織がより効率的かつ効果的に管理タスクを実行することに貢献できます。この管理モデルと SharePoint グループを使用すれば、組織内での特定の役割に基づいて、特定のタスクの実行に必要な権限だけを与えることができます。2 層の管理モデルの内部で作業効率を高めるために、多くの組織では各層内で特定の管理ロールを指定します。この記事では、ソリューションの管理に役立てることができる各層内の管理ロールについて説明します。

http://technet.microsoft.com/ja-jp/library/cc288186.aspx

ログインしているパソコンの権限を利用するということは、企業でよくやる展開で、PCのディスクイメージ展開すると管理者アカウント、パスワードが統一されるわけですが
ローカルログインされている場合も、この管理者アカウント、パスワードを使うのでだめかな。
本当に色々うまいこと考えるなぁ>悪用者

USBメモリウイルスの件

AutoRun自体は、、、、便利なんですけど・・・あれですよねぇ・・・ここまで悪用されると考えないと。(止める事とか)

アンチウイルスソフト

Vista AntiVirus2008とか、日本語対応(怪しい日本語?!)で対応されているらしい、それでも引っかかる?!
AntiVirus 7とかも既にあるらしいwwwwwwwww

MD5ネタ

色々大変みたいですw

ってことで、小野寺さん本当にありがとうございました!!!<3

screenshot