このページは、独立した記事にするには至っていない、雑多なトピックの置き場である。未確認の情報が含まれるので、注意してほしい。
各トピックの追加日付・修正日付は記載しないが、新しいトピックは先頭に追加し、内容を追加・修正したトピックも先頭に移動する。...が、些細な変更の場合は移動しないこともある。
また、このページの更新は、トップページのWhat's Newと更新履歴には記載しない。
「3.5型外付けハードディスクユニット 「LHD-ED250U2」「LHD-ED400U2」「LHD-ED250SAU2」 ウイルス混入のお詫びとウイルス対策のご案内」http://www.logitec.co.jp/cgi-bin/qa/qa.cgi?id=0833
これほどの大手メーカーでもこんなことが起きるのか! フォーマット済みで出荷されるHDDは、新品でも取り付け即ウイルスチェックが必要だね。USBメモリやSDカードなどのメディアは、まず確実にFATフォーマットされた状態で出荷されるから、HDD以上に注意が必要だ。買ったら即、ウイルスチェックしよう。
YouTube動画 : http://www.youtube.com/watch?v=_4KCu8EAHsY
火花が出ているのはライター用フリントですかねえ。
説明 : http://www.metku.net/index.html?sect=view&path=mods/hdd_grinder/index_eng
この説明によれば、動画で黄色く映っているのはサンドペーパーだそうです。
NTT Docomo
「iモードセンタの各種情報/iモードセンタのIPアドレス帯域」(更新)(http://www.nttdocomo.co.jp/service/imode/make/content/ip/about/index.html)を参照。
au
「EZサーバのIPアドレス帯域」(http://www.au.kddi.com/ezfactory/tec/spec/ezsava_ip.html)を参照。
Vodafone
「テクノロジー&サービス/ウェブ/IPアドレス」(http://developers.vodafone.jp/dp/tech_svc/web/ip.php)を参照。↓
ソフトバンクモバイル
「IPアドレス帯域について」(http://developers.softbankmobile.co.jp/dp/tech_svc/web/ip.php)を参照。
資料
http://arena.nikkeibp.co.jp/tec/bb/20021114/102754/
http://arena.nikkeibp.co.jp/tec/bb/20021122/102883/
http://www.aa.alpha-net.ne.jp/bosuke/trash/upnp.htm
この仕組は「山田オルタナティブ」に悪用されている。
「ポートを開ける」=「IPマスカレードのポートマップ設定を行う」であって、パケットフィルタリング設定を変更するわけではないようだ。
ということは、ルーターのパケットフィルタリング設定で、外部からport 80へのリクエストを拒否している場合は防御できるのではないか。
UPnPでパケットフィルタリング設定まで変えられる場合--山田君はその機能を持っていないにしても--将来的に防御できないことになるが、どうなんだろう? http://www.upnp.org/standardizeddcps/igd.aspをざっと見たところ、重要管理機能の設定はUPnPの範囲外のようなんだが...
SOHOビジネスの住所として自宅をさらしたくない場合、私設私書箱サービスを使いたくなるだろう。
値段と安心感からいうとMAIL BOXES ETC.のレンタル私書箱「B-BOX」がいちばんだと思う。840円/月から。
http://www.mbe.co.jp/service/bbox.php
「楽天あんしん取引」(http://auction.rakuten.co.jp/guide/main/a004.html)も役に立つだろう。
Skypeの音声通話は、SSLと似た鍵交換方式により暗号化されている。SSLの場合と異なり、しかもユーザーにとってメリットが大きいのは、鍵の発行がSkypeのサーバーではなく、通話の呼び出し側と受け側の端末間で行われるという点だ。
つまりSkypeの音声通話を「インターネット上で」傍受し、復号に使う鍵をSkype本社に要求したとしても、その鍵はSkypeのサーバーが発行したものではないから、提供しようがないわけである。
Skypeの暗号機能については以下の文書(英語)に詳しい解説がある。
"SKYPE SECURITY EVALUATION" (http://www.skype.com/security/files/2005-031%20security%20evaluation.pdf)
パスワード保護されたWebサイトをInternet Explorerで表示するとき、[パスワードを保存する]にチェックを入れるとパスワードが保存され、次回の入力を省略できる。(*1)その保存場所が「プロテクトストレージ」だ。(*2)
しかしその内容は、"Protected Storage Passview"のようなツールを使うとあっさり表示されてしまう。
プロテクトストレージって暗号化はされているのか?
なぜ、あっさり表示されてしまうのか?
その答はこうだった。
"Protected Storage Passview"などでWebサービスのパスワードが表示されてしまうという例がパソコン雑誌などに出ているけれども、この手のツールを利用する場合については、上記のことから
ということがわかる。逆にいえば、スパイウェアはログオン中のユーザーについて、プロテクトストレージ内のパスワードを取得できるわけだ。
(*1) Internet Explorerのオートコンプリート機能によって保存される。
(*2) ほかにも、Outlook ExpressのPOPパスワードなども保存される。
MYCOM PC WEBの記事「会社のPCの機密情報を退職時に無断消去--元従業員、違反との裁判所判断」(http://pcweb.mycom.co.jp/news/2006/03/16/360.html)
これはアメリカで行われた裁判の話。従業員が退職時に会社に見られたくなかったらしいデータを抹消して、会社のノートPCを返却した。会社は重要データが復元できなくなったとして、抹消ツールのインストールと実行を「何らかの損害をもたらすプログラムなどを、権限がないにもかかわらず、意図的にコンピュータへ送信する行為」であると訴えたというもの(元従業員の敗訴が確定したわけではない)。
この人はどうすべきだったのだろうか? 会社から貸し出されたPCであれば、OSはたぶんWindows 2000 ProかXP Proだろう。そうであればcipherコマンドが使えるから、抹消したいファイルはまず普通に削除し(もちろんごみ箱は空にする)、それから"cipher /w:c:"、"cipher /w:d:"などを実行すればよかったのだ。標準コマンドであるcipherを使えば、抹消ツールのインストールを理由に告訴はできない。
http://www.eicar.org/anti_virus_test_file.htm
これはテスト用「ウイルス」ではない。単に決まった68バイトの文字列がファイル先頭にあれば、多くのウイルス対策ソフトが、ウイルスに対するのと同じ処理を行ってくれる、というだけである。....「だけ」ではあるが、ウイルス対策ソフトの警告と処理は本物のウイルスと同じなので、ダウンロードやウイルスチェックを実行する場所には注意すること。
APOPはPOPパスワードにチャレンジ文字列(毎回異なる)を連結し、MD5ハッシュを計算してレスポンスとすることで生パスワードをネットワークに流さないようにしている。形式的な感じに書くと
|
MD5[チャレンジ文字列+POPパスワード]=APOPレスポンス |
のようになる("+"は連結の意味)。
しかしサーバーとやりとりしたパケットがキャプチャされていたとすると、チャレンジ文字列とAPOPレスポンスは知られてしまう。したがって、上の式でPOPパスワードの部分を総当りで試し、APOPレスポンスが一致するものを探すという攻撃方法は可能になる。
APOPを使っているからといって、やはり安易なパスワードを使ってはいけないというわけだ。
シンガポールのセキュリティ企業"Institute for Infocomm Research"に所属するHongjun Wu氏によって発表された。
原文は"The Misuse of RC4 in Microsoft Word and Excel"(http://eprint.iacr.org/2005/007.pdf)。
Word 2002以降、Excel 2002以降で「読み取りパスワード」を設定すると、文書がRC4で暗号化される。しかし版管理機能も使って複数の版を作ると、どの版も同じキーストリームで暗号化(XOR)されてしまう。
この状態だと、複数の版を入手して"E. Dawson and L. Nielsen. Automated cryptanalysis of XOR plaintext strings. Cryptologia, (2):165-181, April 1996."で述べられている手法を適用すると、多くの情報を取得できる、らしい。
つまり版管理機能を使わなければこの状態にはならないし、なったとしても、だれもが簡単に解読できるようなものでもなさそうだ。
Wordの場合[ファイル]-[版の管理]を使わなければ、この状態にはならない。
Excelの場合、どれが版管理の機能か正確にはわからないが、共有ブックと履歴機能ではないだろうか。
以前は"SafeWeb"が有名だったが、SafeWebはSymantecに買収されてしまった。現在利用可能な、フリーのSSL Proxyサービスには次のものがある。
ProxyWeb
http://www.proxyweb.net/
使い方は簡単で、上記のページにあるフォームに、proxy経由でアクセスしたいURLを入力し、[SURF]をクリックするだけだ。
レスポンスにはけっこう時間がかかるので、接続先のページが切り替わるまで気長に待つこと。
SnoopBlocker.com
http://www.snoopblocker.com/
ドメイン名は異なるが、画面構成はProxyWebと同じだ。
上記のサービスの運営者は、あなたの通信内容のすべてを把握できる。認証をともなう操作は避けるべきだろう。
ここでいう「コンピュータ名」とはSMBのcomputer name(NetBIOS名ともいう)のことで、DNSのホスト名ではない。
DHCPクライアントになっているが、ダイナミックDNSなどでDNSのホスト名を割り当てていないWindows PCがあったとしよう。このPCがウイルス感染元になり、他のPCに攻撃を開始したとする。まず攻撃元IPアドレスがIDSなどで感知されるだろうが、DNSで管理していないのでnslookupコマンドでは、どのホストなのかがわからない。
この場合、Windowsでは、nbtstatコマンドで相手のコンピュータ名がわかる。
>nbtstat -A IPアドレス
と入力すればよい。(以前"-a"と書いていたが、それはDNSホスト名からコンピュータ名を表示させる場合)
NetBIOS Remote Machine Name Table
Name Type Status
---------------------------------------------
hogehoge <00> UNIQUE Registered
のように、名前の右に<00>、TypeにUNIQUEとあるのが、コンピュータ名だ(この例ではhogehoge)。
ただしこの方法はSMBのポートを使うので、ルーター(またはL3スイッチなど)を越えたサブネットにあるPCを調べられるかは、ルーターなどの設定による。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
これらにプログラムを実行するキーを追加されると、Windowsの起動時にそのプログラムも実行されてしまう。
以下のキーワードをGoogleで検索してみるとよい。
\Microsoft\Windows\CurrentVersion\Run site:symantec.com
これらのキーを目標にする不正プログラムが非常に多いことがわかるだろう。
一方、フリーウェアの実行後などに不安を感じた場合、これらのキーを見るとよいともいえる。
Windows Me/2000/XPの[プログラム]-[アクセサリ]-[ユーザー補助]にある[スクリーンキーボード]からの入力は、キーロガーに記録されるのか、されないのか。もしされないならパスワードの入力に役立つかもしれない。
結論からいうと、通常のキーボードと同じように、キーロガーに記録される。
SATE[Enter]
TUGIHA[Space][Enter]
SOHUTOKI-BO-DO[Space]KARANO[Enter]
NYUURYOKU[Space]DESU.[Enter]
(さて次はソフトキーボードからの入力です。)
というような具合。残念。
Windows NT/2000/XPのシステム自体がダウンすると、メモリダンプファイルが作成される。通常このファイル名は"memory.dmp"である。
ユーザアプリケーションがダウンした場合もメモリダンプファイルが作成される。このファイル名は、通常"user.dmp"である。
*.dmpを検索し、バイナリエディタで読んでみよう。どんな情報が得られるか。意外にhuman readableな内容である。ただし内容の価値についてはあまり期待しないように。
Windowsのメモリダンプファイルについては以下を参照。
「Windows 2000、Windows XP および Windows Server 2003 のメモリ ダンプ ファイル オプションの概要」(http://support.microsoft.com/kb/254649)
UNIX系OSでは従来から、coreファイルに情報が漏れる場合について論じられている。その解説のひとつとして以下のものがある。
「coreファイルから情報が漏れる」(http://www.ipa.go.jp/security/awareness/vendor/programming/b07_06_main.html)
proxyタイプのWebフィルタリングシステム"SFS"が無料でダウンロードできる。くわしくは以下を参照。
http://www.iajapan.org/rating/
および
http://www.nmda.or.jp/enc/rating/info/sys_01.html
QEMU on WindowsはWindows98,ME,2000,XPで動く仮想計算機(エミュレータ―)。KNOPPIX日本語版3.4以降では、CD-ROMのqemu-x.x.x-windowsフォルダからqemu-knoppix.batを実行すると、Windows上でKNOPPIXが起動する。
詳しくは以下を参照。
http://unit.aist.go.jp/it/knoppix/qemu/
Received:が複数ある場合...一番下が、最初の転送。メールヘッダーの内容が正しいものならば、一番下のReceived:のfrom xxxがメール送信者のマシンで、by xxxが最初のSMTPサーバーだ。
from xxx...xxxは送信したマシン
by xxx...xxxは受信したマシン
for..."for"の後に書かれたメールアドレスが宛先である
with...プロトコル、メールID、日付
ただしメール送信者自身のPCにSMTPサーバーを用意して、それが使われた場合は、最初のReceived:のfrom xxxはlocalhost(127.0.0.1)になり、by xxxがメール送信者のPCということになる。
メールのフィルタリングに、添付ファイルのMIMEタイプを使う方法がある。しかしこれは、Windowsでは拡張子を無難なものに変えてから添付することで、回避できる。
MIMEって何だと思ったらココへ→http://www.atmarkit.co.jp/fnetwork/rensai/netpro03/netpro01.html
SOHO・家庭向けセキュリティ対策マニュアル(Ver1.20)
http://www.ipa.go.jp/security/fy14/contents/soho/html/index.html
このほかにも「読者層別: 情報セキュリティ対策 実践情報」(http://www.ipa.go.jp/security/awareness/awareness.html)にいろいろあるね。
DEFCON12で行われた、無線LAN受信距離コンテストの優勝者が出した記録。山頂で直径2mのアンテナを使うと、こんな長距離でも受信できるらしい。
Outpost Firewall Proの開発元であるAgnitum社はキプロスにある。キヤノンシステムソリューションズは「NOD32アンチウイルス」(スロバキア)も販売している。「世界の隠れた逸品」を日本語化するのが方針なのかな。...Outpostの場合、すでに日本語化がある程度進んでいたわけだが。
ところでAgnitum社のWebサイト(http://www.agnitum.com/company/)では社長の名前が記載されていないのだが、なぜだろう? 秘密なのか?
作者 愛とゆりの部屋
ダウンロード http://www.asahi-net.or.jp/~ee7k-nsd/
ソフトをインストールできるネットカフェなら、これを入れてから使うと安心感が増すのでは。「安心だ」とは書かないのは、ネットカフェでのスパイ活動に使われる手段には、キーロガーだけでなくクリップボードの監視やネットワークパケットのキャプチャなどもあるからだ。認証が必要なこと(ユーザー名とパスワードの入力が必要なこと)は、ネットカフェではするべからず。
作者氏のハンドルには最初ちょっと引いてしまったのだが、ごく普通のサイト。単純に「愛さん」と「ゆりさん」が運営されているのではと思う。
ところでネットカフェでも認証をともなう操作を安全にできる方法がある。自分のノートPCと携帯/PHSを使うのだ。ネットカフェのブースには電源をとれるところもあるし。
その後、「キーロガー vs. ノーロガー」で実験してみたところ、残念ながら「実際にキーロガーとして使われそうなツール」ではキーロギングを防止できないという結果が出てしまった。
タイ、マレーシア、インドネシア、ロシア、インドでプリインストール出荷される予定の低価格版Windows XPが、Windows XP Starter Editionだ。それはもう様々な機能が制限されているのだが、致命的なのは「ユーザーアカウントは1つだけ」という点だ。これは、このEditionに存在するユーザーアカウントがAdministrator(名前が同じかはわからないが、同等のアカウント)だけということを意味する。
これではセキュリティのレベルはWindows 9x系と変わらない。Microsoft自身は、XPには組み込みのファイアウォールがあるが9x系にはないとか、XPはWindows Updateの対象であり続けるとか、いろいろいうだろうけど。
RedHatが、「シングルユーザーモードのみで動作可能」な低価格版Linux製品を出すようなもんだね。もしそんなものが出たら、誰しも自分自身の目を疑うでしょう。
調査会社のGartner Asia Pacificは、Windows XP Starter Editionを酷評している。
ITmediaの記事:「廉価版Windows XPに「価値なし」とGartner」(http://www.itmedia.co.jp/enterprise/articles/0408/16/news003.html)
Microsoft自身からの資料はこちら。
Microsoft Windows XP Starter Edition Fact Sheet(http://www.microsoft.com/presspass/newsroom/winxp/08-10WinXPStarterFS.asp)
Microsoftの日本語サイトには、Starter Editionについての情報はない。日本法人には関係のない製品だからだろうか。
簡単な方法は、ファイナルデータなどの試用版と「復元」で試してみることだ。
だが、これだけだとテキストデータが残っている場合などは、検出されないことがある。--というより、削除済みデータが単なるテキストの場合、検出できた復元ツールが今のところない。
したがって、重要だが形式がテキストのデータというものは、確実に抹消されているのか、復元ツールでは検証できないということだ。
テキストデータの抹消を検証するには、手間がかかるが「ディスクの直接観察」に近い方法をとるしかない。「でぃす君」や「低空飛行」は直接、ディスクのダンプ表示ができるが、検索機能がない。そこで、以下のようなツールを使う方法を試してみた。
要は、抹消したディスクをddで読み、strings(jstrings)に渡して「それらしき」文字列が残っていないかをみる、という方針。この方法では最後に乱数を上書きする場合、ゴミを拾ってくるだろうから、最後に0x00か0xffを上書きする場合でだけ有効だろう。
対象がフロッピーなど小容量のメディアなら、ddでイメージファイルに落とし、そのままテキストエディタで開いても、それなりの結果は得られるとは思うが。
それから、0で埋めたディスクをddで読み、NOT 0を出力するような検証方法もあると思う。
ところで厳密には"WindowsでいうシフトJIS=JIS X 0208(日本工業規格でいうシフトJIS)"ではないらしく、WindowsでいうシフトJISは多数の拡張文字を含み、"Windows文字セット"、"Windows-31J"、"CP932"(jstringのオプションで使っている)とも呼ばれるということだ。
ちょっと試してみた結果
フロッピーディスクをゼロで上書き抹消したが、抹消が不完全で"password:hogehoge"という文字列が残ってしまったと想定しよう。
そのために、すでにゼロで上書き抹消されているフロッピーの内容を、"dump"というファイルにイメージとして保存し、このファイルをバイナリエディタで編集し、先頭から700KBほどの位置に"password:hogehoge"という文字列を書き込み、保存した。
その後、以下のコマンドラインを実行した。
>jstrings -l --cp932 < dump (以下は出力)
CP932: <信SDOS5.0
CP932: )ム;UクNO NAME FAT12 3ノ紗シ
CP932: |8N$}$驚呵<
CP932: r9&8-t
CP932: ヲat2Nt ι ;r跋ワ
CP932: }エ}愚ャ蓮t
CP932: r鐚碍$セ
CP932: カネJJ皆
CP932: エB偶碍$ヘ
CP932: ーNTLDR
CP932: NTLDR is missing
CP932: Disk error
CP932: Press any key to restart
CP932: ャソフUェ (ここまではフロッピーディスクの先頭セクタの部分)
CP932: password:hogehoge (バイナリエディタで書き込んだ文字列を検出)
というわけで、とりあえず有効な方法であることがわかった。
なお、上記のイメージをフロッピーに書き戻して("dd if=dump of=\\.\a:"で可能)、ファイナルデータでチェックしてみたが、何も検出できなかった。
バイナリデータの抹消を検証したい場合
上の方法は、ちゃんと抹消されているか検証したいデータが、テキストの場合だ。
写真やプログラムなどバイナリデータの抹消を検証したい場合を想定して、以下のようにしてみた。
上で使った"dump"ファイルの"password:hogehoge"の代わりに、JPEGファイルの先頭から一部分を、バイナリエディタで書き込んだ。
また、フロッピーの先頭セクタの部分は無意味なので0x00で上書きした。この状態で以下のコマンドラインを実行した。
>jstrings -l --ascii < dump (以下は出力)
ASCII: Adobe ImageReady
ASCII: Ducky
ASCII: Adobe
ASCII: )))))//////////
ASCII: ((&((//////////
ASCII: $'{TN
ASCII: p9(G"
ASCII: Zq6n[
ASCII: YF7!(L<f
ASCII: 3coio
ASCII: yssvwf^s$
ASCII: ygwji
ASCII: qc)\sp
ASCII: qY%0`
ASCII: lBriM
ASCII: b.|@*
ASCII: tC"sQ
ASCII: *dqu
ASCII: :'&Q$U
ASCII: $vj-Y
ASCII: s^MMI'
ASCII: |;&!\
ASCII: bZ@]`v
ASCII: |V){;
ASCII: \ppiDi
ASCII: `5+-$
ASCII: -5'@3Z
この部分をバイナリエディタで取り出し、.jpgの拡張子を付けてファイルとして保存すると、イメージツールで下図のように表示できる。
「まず確実に」抹消できているといえる結果
0x00で上書きしたディスクのイメージファイルに対して、以下のコマンドラインを実行する。"-m 1"は、1文字以上の文字列を出力するというオプション。
>jstrings -l -m 1 --cp932 < dump
何も表示されず、プロンプトに戻れば「シフトJISコードに一致する部分がまったくない」ことを示す。この結果は「すべての部分が0x00である」ことと同じではないが、簡易なテストとしては使えるだろう。
なお、同じコマンドラインで、「ASCII文字コードと一致しないバイト列が、ごくわずかにある」ファイルを検査すると、以下のようになった。
>jstrings -l -m 1 --cp932 < dump
CP932: ョェヒ
CP932: ク便
CP932: ヒ
CP932: ォ
CP932: サハ
CP932: ケ
このファイルにはASCII文字コードに一致するバイトがまったくない(ASCII制御コードと一致するバイトは含まれる)ので、--cp932ではなく--asciiオプションを指定して検査すると、何も検出されない。
>jstrings -l -m 1 --ascii < dump
(出力なし)
これはあくまで特殊な例にすぎない。ディスクの抹消を検証する場合、対象のデータが1MBから数GBほどまでになるわけだから、ASCII文字だけ検索してもシフトJIS文字を検索しても、大して違いはないだろう。
もうひとつの方法
dd.exeが入っている"GNU utilities for Win32"には、ファイルダンプツールである"od.exe"も含まれている。odのダンプ表示には、「同じ内容の行が続く場合、*(アスタリスク)で省略する」という特徴がある。0x00か0xffで上書きした場合、この特徴を利用できる。
たとえば「先頭から末尾まで、完全に0x00で上書きした」ディスクのイメージファイルをodでダンプ表示すると、以下のようになる。
>od --address-radix=x --format=x dump00
000000 00000000 00000000 00000000 00000000
*
末尾のアドレス
"--address-radix=x"はアドレスを16進数で表示するというオプション、"--format=x"はダンプを16進数で表示するというオプションだ。上記のように0x00だけの行と*だけが表示されれば、すべての部分が0x00だということになる。
odはディスクを直接ダンプできないので、イメージファイルを作る必要がある。大容量のハードディスクに対しては使えない方法だろう。
迷惑電話がかかってくる確率が高いのは、携帯よりも固定電話だ。そういうわけで固定電話の通話は常に録音できるようにするほうがよい。留守番電話であれば通話録音もできるだろうが、そうでなければ、録音開始時刻を記録できるICレコーダーを使うのがいいだろう(録音開始時刻を記録できるテープレコーダーは少ない)。
通話の時刻記録にこだわらなければ、余っているテープレコーダーなどを使えばよい。人間工学的には、でかいボタンのレコーダーを電話の横に置く、のが使い勝手がよさそうだが。
生活がすべてパソコン中心になっていて、常にWindowsが立ち上がっている人なら、「ぽけっとれこーだー」などを使って、パソコンで録音するのもいいかもしれない。この記事の方法を使えば、ショートカットのダブルクリックで録音を開始できる。
電話の音声をレコーダーに流す機材としては、以下のようなものがある。
ECM-TL1はイヤホンマイクなので、どのようなタイプの電話でも使える。ただし、これを耳に付けてから電話をとるのは面倒かもしれない。
以上の仕掛けでは発信元の電話番号が記録できないが、「184」を付けられてはナンバーディスプレイにも表示されないし、やはり通話内容の方が重要だろう。
OSはWindows XP Pro。客のアカウントは「コンピュータの管理者」になっている。これでは何でもできてしまうと思いつつ張り紙を見ると「再起動すると設定はすべて元に戻ります」とある。
これはきっとWindows XPの「システム復元機能」を使っているのだろう。それとも「前回正常起動時の構成で起動する」機能か。
あとはルーターでPC同士の通信と外部への通信(SMTPとかTELNETとか)を制限すれば、基本的にはOKということなんだろう。
まあ、あまり変なことをされた場合は、Norton Ghostみたいなものを使って、まともなディスクイメージを書き戻すのじゃないかと推測するが。
資料
ちなみに「某ネットカフェ」のマシンにはウイルス対策ソフトは入っていなかった。復元機能でウイルス対策ソフトの代わりができるのだろうか?
後日談
上記のネットカフェでは、"Drive Shield"という環境復元ソフトが使われていることがわかった。
Webフィルタを購入しようかと考えている人は、パーソナルファイアウォールをすでに使っているなら、それをまずチェックしたほうがいいかもしれない。
たとえばNorton Internet Securityには「保護者機能」という名前のWebフィルタ機能がある。これには、一応のアカウント管理機能もある。
フィルタリングリストに、日本語サイトがどのくらい追加されているか不明だが、専用のWebフィルタ製品を買う前に、保護者機能を試してみてはどうだろうか。
復元対象のディスクからテキストデータを探す場合は、単にそれらしき文字列を探せばよい。しかしバイナリ形式のデータはそうはいかない。そこで主なバイナリ形式のファイルをバイナリエディタで開き、必ず含まれていると推定できる文字列を拾ってみた。ただしこれらは、ファイルの先頭付近か末尾付近にあるものが多いため、その部分が消えている場合は見つけることができない。
| ファイル形式 | マーカー文字列 |
|---|---|
| Word(.doc) | Microsoft、Word、Document など |
| Excel(.xls) | Microsoft、Excel など |
| PowerPoint(.ppt) | Microsoft、PowerPoint など |
| JPEG | JFIF |
| GIF | GIF89a |
| PNG | PNG |
| BMP | BM6 |
これら「価値の高い」ファイルタイプについては、ファイナルデータのような商用復元ツールが、内容からの復元機能を持っていることがある。商用復元ツールも、上記のような「マーカー文字列」を検索しているのではないかと思う。
一方テキスト形式のファイルの場合は、以下のような「マーカー」文字列がある。
| ファイル形式 | マーカー文字列 |
|---|---|
| RTF形式で保存した Word文書(.rtf) | \rtf ansicpg932 deflang など |
| HTML | <html、<meta、<body、<pなど、 HTMLタグの一部であればどれでも。 |
CSV形式で保存したExcelワークシート(.csv)は、保存されるのはセルのデータだけなので、「マーカー」といえるものは特にない。
CA(認証機関)の構築と、SSLやS/MIMEの証明書の発行を簡単な操作で行えるフリーのツール"EasyCert"。
操作はたいへん簡単でよいのだが、輸出可能バージョンということでRSA鍵の長さが512ビットに制限されている。設定中はメニューから1024ビットを選択できるのだが、実際には512ビットになってしまう。
鍵長512ビットのRSA暗号というのは、1999年に解読が成功して以来、安全ではないとされている。
だが、"Hoge Inc"などという、まともなCAをなめ切った名前のCAを簡単に作れるのは、なかなか気分がよい。
おちゃらけたCA証明書
鍵長が短くても、実用的な使い方はある。それは、S/MIME機能を持つメーラーや機器などのテスト用だ。実際にS/MIMEを使っている人なんてそうはいないから、本物の証明書を集めるのはたいへんだろう。そういうときはEasyCertで必要なだけ作ってしまえばいいのだ。
EasyCertを使ってみようという人は、
「EasyCertに関するページ」
http://mars.elcom.nitech.ac.jp/Research/MM/security/easycert/index.html
の、
1.1 インストールしよう!
1.2 CA(認証局)を構築しよう!
1.3 証明書を発行しよう!
1.4 暗号メールを利用しよう!
を読んで概要をつかんだあと、EasyCertをダウンロードするとよい。
ダウンロードは
http://www.vector.co.jp/soft/win95/util/se144009.html (EasyCert ver. 0.91b2)
http://mars.elcom.nitech.ac.jp/Research/MM/security/download.html
からできるが、最新版EasyCert ver. 0.91b2は、証明書の有効期限が7日に制限されている。CA作成中に有効期限を365日にしても、実際は有効期限が7日になっている。一応、7日ごとに更新すればいいわけだが、かなり面倒だ。
http://mars.elcom.nitech.ac.jp/Research/MM/security/download.htmlの方からは、前のバージョンEasyCert ver. 0.90b1をダウンロードできる。こちらは証明書の有効期限を365日にできるため、使うならこの方がよいと思う。
インストール後は、EasyCertのヘルプファイル"easycert.chm"で、詳しい説明を読める。
実際の暗号化に使うには、1024ビット以上のRSA鍵を使ったSSLやS/MIMEの証明書を自作する必要がある。それには、opensslコマンドをPC-UNIXで使うか、opensslのWin32版バイナリを使うしかないだろう。
opensslのWin32版バイナリは"OpenSSL for Win32 on Mingw32/Cygwin" (http://www.kix.or.jp/~fujino/openssl/index-ja.html)からダウンロードできる。これはversion 0.9.6gでSSL通信に関する脆弱性を持つバージョンなのだが、証明書作成に使う分にはかまわないのではないだろうか。
電子証明書を入手するには、ちゃんとした会社に申し込む必要があると思っている人もいるかもしれないが、だれでも勝手に作れるのだ。会ったことのない人への信用能力はないが、自分自身や知り合い同士の通信なら問題なく--EasyCertの場合、鍵長は短いが--使える。
旅行中、部屋の様子を撮影してメールで確認する仕掛け(メールカメラサーバー30分間Cooking (1) (2)で書いているようなもの)を作るとすると、夜、暗い間の撮影はどうしたものだろうか。暗視カメラを安価に作る方法はないものか...と思いをはせていたところ、ふと、
タイマーで電灯をつける
という解に至った。
面白みはまったくなくて残念だが、赤外線カメラ+赤外線LED照明より安くつき、防犯効果までもあるのだっだ。
留守にする日数が少なければ、単に電灯をつけっぱなしにしておいてもいいわけだ。
赤外線カメラ+赤外線LED照明に興味のある人は、定点観測画像記録発信システム
"ListCam"の作者が公開している「赤外線照明ユニット付き自作モノクロCCDカメラその2」(http://www.clavis.ne.jp/~listcam/system/system4.html)をどうぞ。
家庭内でPCを共有している場合、Outlook ExpressやBecky!など一般的なメーラーを使うと、送受信したメールを受信トレイ/送信トレイに残しておき、かつ自分以外に読まれないようにするのは非常に困難だ。
この問題を回避するには、
nPOP (フリーソフト)
作者:nakka氏
ダウンロード:http://www.vector.co.jp/soft/win95/net/se104061.html
このメーラーのサイズは192KBなので、フロッピーでも十分使えるだろう。
ただし操作にはOutlook Expressなど一般的なメーラーとは若干異なる部分がある。
Pochy (フリーソフト)
作者:sabory氏
ダウンロード:http://www.vector.co.jp/soft/win95/net/se293716.html
こちらの操作方法は一般的なメーラーと変わらないが、サイズが1MB近いため、フロッピーで使うには少々無理があるかもしれない。USBメモリやCFカード、SDカードなどで使うのが適当だろう。
Administratorsで実行する必要がある。
@echo off
net user "Hoge Taro" hogehoge /add
net localgroup administrators "Hoge Taro" /add
ここでHoge Taroはユーザー名、hogehogeはパスワード。先頭の@の意味は、これが付いているとバッチ実行時に"echo off"自体も表示しないということ。net userコマンドだけならPower Usersでも実行できるが、Usersグループのアカウントしか作成できない。新規アカウントをadministratorsグループに追加するにはnet localgroupコマンドを使う必要があり、このコマンドはAdministratorsの権限が必要。
FREESPOT http://www.freespot.net/
メルコのAirStationを使った無線LANスポットサービス。全国約2000箇所の店舗などで利用できる。会員登録のようなものはまったく不要で、その場所に行ってESSIDを"FREESPOT"にすれば使えるシンプルなもの。
有料か無料かは、各スポットの提供者次第だが、たいていは無料だろう。
ESSIDは"FREESPOT"で統一しているらしい。
WEPはなしか、またはスポットの提供者が決めたキーを使う。
私としては、こういう制約の少ないというか、大らかなサービスの方が好ましい。SMTP/POP3を使うなら、自前で暗号化する必要があるけどね。
Yahoo! BBモバイル http://bb.softbankbb.co.jp/bbmobile/
Yahoo! BBのサービスで、現在のところ無料。Yahoo! BBのADSLサービスに加入していなくても申し込み可能。
ESSIDとWEPキーは会員だけに知らされるが、結局は会員であれば同じWEPキーを使うことになるので、安全というわけではない。Yahoo! BBモバイルのログインページにはSSLが使われている。
Mzone http://www.nttdocomo.co.jp/p_s/mzone/
NTTドコモの有料サービス。
無線LANカードのMACアドレスの登録制。
「Mzone対応ユーティリティプログラム」によりIEEE802.1X(EAP-TTLS)を利用可能。この場合はユーザーごとに異なるWEPキーが使用される。
東京メトロ駅で利用できる
ホットスポット http://www.hotspot.ne.jp/
NTTコミュニケーションズの有料サービス。
IEEE802.1X対応ソフトウェア(サプリカント)の使用でIEEE802.1X(EAP-TTLS)を利用可能。この場合はユーザーごとに異なるWEPキーが使用される。
モスバーガー、ドトールコーヒーに利用できる店舗多し。
無線LAN倶楽部 http://www.ntt-bp.net/pc/
NTTブロードバンドプラットフォームの有料サービス。
ESSIDとWEPキーは会員だけに知らされるが、結局は会員であれば同じWEPキーを使うことになるので、安全というわけではない。
JR、私鉄の駅で利用できるスポットが多い。
見つけただけで細かく調べていないもの:
MapFan Web(地図検索サイト)の無線スポット検索サービス(http://www.mapfan.com/musen/index.html)にある、「事業者について」のページ(http://www.mapfan.com/musen/list.html)が、各サービスについて簡潔にまとめている。FREESPOTは「フリー無線スポット」に入れられているようだ。
Windows 2000/XP Professional/Server 2003のフォルダとファイルを暗号化する機能(Encrypted File System)は、普通の状態ではログオン中のユーザーにだけ復号されるのだが、そのPCのAdministratorも「暗号化されたデータの回復エージェント」という機能を使って復号できる。
したがって、会社のPCで、会社に見られたくないファイルを保存するためにEFSを使うのは意味がない。
では何ならいいのか? Homeを見なさい。
また、Windows 2000/XPで利用できる、フリーの暗号化ディスクツールとして、"TVD"が公開されている。作者のサイトは"http://tomatell.hp.infoseek.co.jp/"。
なお、別項で説明している、Microsoft Office 2002以降にある暗号化機能は、「普通の」暗号化機能で、Administratorが復号できるという抜け道はない。
回復エージェントの説明はWindowsのヘルプに載っている。「復元, 暗号化データ」のキーワードで探すとよい。
簡単に説明しておくと、「回復エージェント」とはEFSによる暗号化を解除できるユーザーのことで、デフォルトはAdministratorになっている。別のユーザーを回復エージェントとして追加することもできる。もし回復エージェントをだれもいない状態にすると、今度はEFSが使えないようになる(これはWindows 2000の仕様。たぶんServer 2003も)。XPではデフォルトの回復エージェントがない。回復エージェントを追加していなければ、各ユーザーだけが復号できるはずだ。
回復エージェントであるユーザーが、EFSで暗号化されたフォルダやファイルを復号するには、以下のようにする。
Windows XP Media Center Editionでも、EFSが使えるようだ。たぶん、回復エージェントについてもXP Proと同じではないだろうか。
だれかに、あるいは何らかのプログラムに、勝手に共有フォルダを作られていないかを確かめるにはどうするか。自分でフォルダを共有させて、それを忘れてしまうケースもあるだろう。深い階層に共有フォルダがあると、目で見つけるのは難しい。
しかしコマンドプロンプトで「net share」コマンドを実行すると、PCの全共有フォルダが表示される。
共有の解除もコマンドでできる。「net share 共有名 /delete」と実行すればよい。エクスプローラを使うよりずっと早い。
まったく記憶にない共有フォルダがあったなら、即ウイルスチェックすることを勧める。ただしWindows 2000で"C$"や"ADMIN$"や"IPC$"はもとからある「管理共有」なので、あわてる必要はない。これらの管理共有を自分で解除したはずなら問題だが。
と主張する科学者の一派―その代表はロジャー・ペンローズ―がいるが、私は
もしヒトの脳が量子コンピュータであれば、みんなもっと利口だろう
と思う。
これについては、すずきひろのぶ氏のWebパブリケーション(http://www.pp.iij4u.or.jp/~h2np/docs/index.html)にある「CRYPTO 2000 訪問記」を読むのがよいと思う。
「公開鍵暗号の安全性は、大きな数の素因数分解に非常に長い時間がかかることをよりどころとしている」
「だが量子コンピュータであれば、大きな数の素因数分解は簡単に計算できる」
「将来、実用的な量子コンピュータが現われた時点で、現在の公開鍵暗号は崩壊する」というわけ。
すずきひろのぶ氏は、この記事の中で、量子コンピュータの実用化にかかる時間を、あと30年〜50年と予想している。
ところで「量子コンピュータによる共通鍵暗号の解読」については議論を聞いたことがないのだが、どうなのだろう?
していたというニュースが2004年6月はじめに流れたが、
Scramdiskは、パーティション全体、またはフォルダ全体を暗号化するフリーソフトウェアだ。Windows 95/98/Me/NT/2000/XPで利用できる。(NT/2000/XPでは利用できない)
暗号アルゴリズムはBlowfish、3DES、IDEAなど9種類から選択できる。
このソフトウェアは、受信メール・送信メールが保存されるフォルダを暗号化しておくのに使うといいと思う。パスワードを入力するまでは、どのソフトウェアも暗号化フォルダ/パーティションにアクセスできないので、クラッカーからメールを守ることができる。ただし、メールフォルダの場所を変更する必要があったり、メールの送受信前にScramdiskのパスワードを入力し忘れると、メールを保存できないというエラーが出たりするなど、手間は増えるだろう。
あと、暗号化フォルダ/パーティションを、見られたくないデータすべての保管場所にしておけば、PCを修理に出すとき、心配せずに済む。
作者 開発者は匿名。WebサイトはSecurStar GmbHが運用している。
ダウンロード http://www.scramdisk.clara.net/
いったん、簡単なユーザー登録を行う必要がある。そのあと送られてくるメールに、ダウンロードページに入るためのパスワードが記載されている。ユーザー登録の際、メールアドレス以外の個人情報は記入する必要がないし、私の経験からいうと、この登録がもとでspamメールが来たことはない。
Windows 2000/XP Professional/Server 2003で使える暗号化機能はどう?
これもフォルダ単位の暗号化ができるが、ログオンしていると透過的にアクセスできてしまう。つまり、あなたがログオンしていれば、あなたのマシンに侵入しているクラッカーにとっても、暗号化されていない状態になる。
別のところでKNOPPIX STDというディストリビューションを紹介したが、雑誌や書籍の付録になっている日本語版KNOPPIX(http://unit.aist.go.jp/it/knoppix/))にも、もともと以下のようなセキュリティツールが入っている。
KNOPPIXなら、これらのツールが、なんとCDをセットしてPCをリブートしさえすれば使えるようになるのだ! ...というのはおおげさだが、インストールする手間がかからないというのは大きい。これらのツールの解説記事の内容は、半分以上がインストール手順だったりするからね。
上のほかにも、KNOPPIXにはまだまだたくさんのツールが入っている。KNOPPIXの使いみちはOpenOfficeだけじゃないんだよ。
またしてもデータ抹消ネタだが、デジカメの記録メディア(CFカード/スマートメディア/メモリースティック/SDカード)を貸したり売ったりするときは、当然、削除済みデータを復元されるリスクを考慮しなければならない。画像ファイルの復元に特化したツールもある。
これらのメディアの場合も、PCにセットすればフリーのデータ抹消ツールが使える。
デジカメ本体メモリの削除済みデータについては、本体メモリがUSBストレージなどの外部ディスクとしてPCから認識されるなら、メディアの場合と同様に抹消ができるだろう。そうでないタイプのカメラについては、メディアと同じ方法は使えない。つまり削除済みデータが残ったままになる。この場合、本体メモリはPCからディスクとして認識されないので、普通の復元ツールは使えないことになる。心配であれば、最高解像度で「部屋の壁」でも撮り続けて、メモリを上書きしてしまえばよい。
デジカメ以外に、PDAについても同様のリスクがあるが、それについては別の機会に。
これは、有償の抹消ツールを購入するかどうかを決める基準にもなるが、
「そのハードディスクの削除済みデータを、100万円以上出して復元しようとする人がいると思いますか?」
という質問に対する答を考えてみればよい。
100万円以上という金額の論拠については「「残留磁気を高精度で読み取る専門的な機器」とは何か」を参照。
その削除済みデータを復元するために100万円以上払うような人がいると思うなら、有償・無償に限らず、米国防総省方式なりグートマン方式なり、上書き回数の多い抹消方式を使えるツールを選べばよい。
そんな人はいないと思うなら、1回〜3回程度の上書きを行えばよい。これを行うのはフリーのツールで十分だ。システムパーティション以外の上書きなら、フォーマットしてから「復元」の完全削除機能を使えばよいし、システムパーティションの完全な上書きは、「1枚のFDで使えるLinuxディストリビューション」などでPCを起動し、ddコマンドを利用すればできる。
"1FD Linux"の種類については「フロッピーで動くLinux」(http://home7.highway.ne.jp/iMac/Linux.html)が詳しい。
システムパーティションの抹消に使えるツールとしては、他にも
DESTROY (http://www.vector.co.jp/soft/dos/util/se196626.html)
Eraser (http://www.heidi.ie/eraser/ )から作れる"Boot Nuke Disk"
がある。
1回〜3回程度の上書きを行えば十分とはいえ、PCや外付けハードディスクなどを売るときに、抹消処理が非常に重要であることは変わらない。空き容量が十分なまま使ってきて、抹消処理を一度も実行していないハードディスクには、これまで保存され、その後削除されたデータの相当数が、復元可能な状態で残っていると考えたほうがよい。
ミトニックの第一原理(ウソ):「ネットワークに接続されていないマシンは、ネットワークからクラックできない」
ルーターやADSLモデムへの接続にハブを介して、必要なときにだけハブの電源を入れるようにすれば「インターネットを利用していない間は、インターネット側からの攻撃に対して自明に安全」になる。
そんなのはあたりまえだといえるが、疑問の余地なく安全だといえることは、とても貴重だと思う。
インターネットを利用していない間でもLAN内では通信したい場合は、2台のハブをカスケード接続すればよい。LAN用のハブは常時オン、ルーターやモデム側のハブは必要なときにオンにする。
ソケットごとにスイッチが付いた電源タップを使えば、ハブの電源を手軽にオン・オフできる。
もちろん、ルーターやモデム自体の電源をオン・オフしてもよいが、選択はあなた次第である。
マイクロカセットレコーダーや低価格のICレコーダーなどは、USBケーブルなどで音声データを直接PCに保存できない。こういった機器で録音した音声をPCに保存するには、「ぽけっとれこーだー」(フリーソフト/Windows用)を使うとよい。
レコーダーのイヤホンジャックとPCのマイクジャックをオーディオケーブルで接続し、レコーダーで再生、ぽけっとれこーだーで録音する。音声は.wavファイルとして保存される。接続ケーブルは家電店のオーディオコーナーで千円以下で手に入る。
ぽけっとれこーだーのダウンロード場所と操作は「ダブルクリック一発で録音開始! PC証拠保全術」を参照。
なお、録音時間が60秒以内なら、Windows付属のサウンドレコーダーを使っても同じだ。サウンドレコーダーは60秒以上の連続録音ができない。
特殊なビデオチップを搭載したPCでKNOPPIXを使おうとすると、どうしてもXが起動せずコンソールで操作しなければならないことがある。
特に「KDEを動かすにはメモリが不足している」というドイツ語のメッセージが出たあとのコンソールでは、言語とキーボードの設定がドイツ語になっているようだ。"/"や"-"、"|"などの記号がまったく別のキーに割り当てられているし、基本的なコマンドのメッセージがドイツ語になっていたりして面食らう。
この場合は、まずkbdconfigコマンドを実行する。
#kbdconfig
メニューが表示されるので、キーボードの種類を"jp106"に設定する。これでキーボードがまともに使えるようになる。
次に、言語の環境変数を英語に設定する。
#export LANGUAGE=us
これで、コマンドのメッセージが英語になる。
kbdconfigはrootで実行する必要があるが、exportは一般ユーザーでも実行できる。KNOPPIXをコンソールモードで起動するとrootでログインした状態になっているので、あえて一般ユーザーになる必要はないだろう。
「1CD Linuxディストリビューション」であるKNOPPIXのバリエーションを発見。"STD"はSecurity Tools Distributionの意味で、セキュリティツールを満載している。 サイトは↓。
ディストリビューターのメールアドレスは"t1ck_t0ck@knoppix-std.org"。うむ。
本家KNOPPIXはhttp://www.knopper.net/knoppix/、本家日本語版はhttp://unit.aist.go.jp/it/knoppix/。
Word/Excel/PowerPointのどれも、[名前を付けて保存]ダイアログで[ツール]-[セキュリティオプション]を選択すると、[読み取りパスワード]を設定できる画面が表示される。
暗号アルゴリズムの種類を選択するには[詳細設定]をクリックする。[暗号化の種類]ダイアログのメニューから暗号アルゴリズムの種類を選択できる。現在の日本語版Word/Excel/PowerPointで選択できる最も強いと思われるアルゴリズムは[3DES(168bit)]だ。(この部分は誤り。3DESを選択できるのはOutlookでS/MIMEを使う場合)
デフォルトの暗号アルゴリズムが[Office 97/2000互換](非常に弱い)になっているかもしれないので、[RC4]が先頭にあるものを選択する。[RC4]が先頭にあるものは何種類か表示されると思うが、"RC4,"以降の部分は鍵交換などの種類であり、RC4自体に関してはどれも同じらしい(未確認)。心配なら鍵長が最も長いものを選択するとよい。
資料"General Information about Microsoft Office Encryption"(http://support.microsoft.com/default.aspx?scid=kb;JA;290112)には、MS OfficeのRC4では256ビットまでの鍵を使えると書いてある。
RC4は強い暗号とはいえないので、他に選択肢がない場合以外は、MS Officeの(現在の)暗号化機能に頼るのはやめるべきだ。
なお[書き込みパスワード]は暗号化ではないので注意。
補足
Wordなどに暗号化機能が追加されたというよりは、Windowsの暗号化機能(CryptAPI)を使用する機能が追加されたという方が正確だ。CryptAPIは、Internet ExplorerのSSLやOutlookのS/MIMEで、以前から使用されている。
「どんなに洗練されていないバックアップでも、ないよりは1000倍マシ」
というものだ。
そういうわけで、以下のバックアップツールを使用している。
Backup (フリーソフト)
作者 曽田 純氏(超メジャーなftpクライアント"FFFTP"の作者)
ダウンロード http://www2.biglobe.ne.jp/~sota/
日々の作業結果をバックアップするために使用。
PartitionImage (フリーソフト)
作者 Francois Dupoux and Franck Ladurelle
ダウンロード http://www.partiimage.com/
システムディスクごと、バックアップ/リストアするために使用。Windowsを再インストールするとService Packやパッチをインストールしなおさなければならないが、現在のシステムディスクごとバックアップ/リストアすれば、その手間は省ける。ディスクの内容をイメージとしてバックアップするツールなので、差分バックアップの機能はない。圧縮オプションを選択すると、使用ディスクサイズの50%程度までバックアップイメージのサイズを小さくできる。
PertitionImageはLinux上で動作するツールであり、Linuxについて「初級の上」程度の知識を必要とする。
PCのブートとバックアップには、「LinuxのブートFD+PartitionImageのFD」を使うか、「最小限のLinuxシステム+PartitionImageから成るブートCD」を使う。
WindowsのファイルシステムでバックアップできるものはFAT、NTFS。NTFSは"experiment"段階だそうだが、実用的には問題ないようだ。NTFSのパーティションをバックアップ先にはできないので、FATのディスクをバックアップ先にする必要がある(Linuxのext2パーティションでも、もちろんかまわない)。
PatitionImageは「1CD Linux」である「KNOPPIX」に含まれているので、KNOPPIXでPCを起動し、システムディスクをバックアップ/リストアする方法もある。
ジェラルド・M・ワインバーグのアイデアに「ソフトウェアの品質を匂いに変換する技術」というものがある。
ソフトウェアのディスクが、死んでから3週間経つ魚のような悪臭を放っているのに、「99%完成しておりますからご安心ください」などといわれても、信用する人はいないだろう、というわけだ。
出典
ジェラルド・M・ワインバーグ, 『ソフトウェア文化を創る2 ワインバーグのシステム洞察法』,p.53, 共立出版, 1996年
この方法は、ローカルのファイルに、プレーンテキストで書き込むキーロガーにしか効果がない。つまりキーログを外部に送ったり、キーログを暗号化したりするソフトの場合は効果がない。キーログのファイルに対してアクセス権がない場合も検索できない。したがって検索されなかったとしても、キーロガーが存在しない保証にはならない。
"Pestpatrol"の試用版をインストールしてスキャンしてみる、という手もある。
ダウンロード http://www.pestpatrol.jp/
ただし、現在はWindows版だけである。
これを最初に書いたのは3年近く前で、内容が古くなったなあ。「2ちゃんにAVGのスレッドがある」なんてのは今や完全にいわずもがなだし。現在(2006年)、フリーのウイルス対策ソフトは増えた。まあ商用でもフリーなのはやはり希少で、「ClamWin」ぐらい。個人利用がフリーで評判がいいのは「Avast! 4」のフリー版と「BitDefender」のフリー版だね。Avast! 4はフリー版なのにリアルタイム監視機能がある点がいいし、BitDefenderは検出率の高さが評判だ。
(以下は3年近く前のままね)商用でもフリー
Antidote Super Lite
作者 VINTAGE SOLUTIONS, INC
ダウンロード http://www.vintage-solutions.com/Japanese/Antivirus/Super/download1.html
Super Lite版はウイルスの検索のみで、削除はしない。だが検出率と検出速度は非常に高い。インストールするPCの数、用途に制限はない。
注意深く使っているPCや、用途を限定しているPCを、定期的に安全確認するのに非常に適している。
他のウイルス対策ソフトと競合しないという特徴もあり(これは、「リアルタイムのファイルI/O監視」をしないためだ)、ウイルス対策のサブソフトウェアとしても便利に使える。
以前はウイルス削除機能ありの製品版があったが、現在入手可能なのはSuper Lite版のみになっている。
個人利用ならフリー
AVG
作者 GRISOFT
ダウンロード http://www.grisoft.com/
AntiVir
作者 H+BEDV Datentechnik GmbH
ダウンロード http://www.free-av.com/
上記の2つとも、ウイルスの検索だけでなく削除もでき、リアルタイムのファイルI/O監視機能がある。AVGもAntiVirも、私はまだ使っていない。しかし日本でも利用者は多いので、Googleしてみるとよい。2ちゃんねるのセキュリティ板でも、何度かスレッドが立っている。
「高度な暗号化」とだけいってアルゴリズムの種類を書かないのは、「私が安全だといっているから安全です」というようなものだ。Microsoftのサイトで「暗号化アルゴリズム」で検索すると、IEやIISのSSLで使われるセッションキーについて情報がいくらか得られる。
情報を総合すると、日本語版では128bit RC4が使われるようだ。RC4とはなにかについては「電子商取引推進協議会の「暗号利用技術ハンドブック」」や「IPA(情報処理振興事業協会)の暗号技術評価事業について」に詳しい。これらはちょっと専門的すぎるかもしれないので一言でいうなら、RC4は無線LANの現在(〜2003年)のWEPで使われている暗号だ。
IEにおいてRC4は「SSLセッションの暗号化」に使われる。RC4の鍵(128ビットの共通鍵)はSSLセッションの開始時に、WebサーバーとIEの間で、公開鍵暗号を使って交換される。このとき使われる公開鍵暗号は、鍵長が512ビットか1024ビットのRSAのようだ。
Copyright (C) Cybernetic Survival Network. All Rights Reserved.