本日無事カーネギーメロン大学日本校での講義を開始いたしました。キャンパスの整備、ネットワーク、システム構築などについては、関係企業皆様のご協力により、短期間にとても素敵なキャンパスを構築することができました。
今後プレス向けキャンパス公開など段階的に状況をお伝えできるかと思いますが、世界的に見てもユニークな研究・教育環境が構築できたのではないかと思います。学生受け入れのオリエンテーションと開講初日の2日が経過した今の段階での感触は、海外大学のリモートキャンパスというのは、予想以上にうまく機能するのではないかということです。特に国内で米国大学院の活気ある雰囲気を実現できるのかという心配もありましたが、全くの杞憂であったように思います。最初の講義が日米同時講義で、最初からその洗礼を受けたのもかえってよかったのかもしれません。
もちろん、まだまだ解決すべき事項もありますし、これからが大変な時期となるわけですが、まずは良いスタートを切ることができたのではないかと思います。もっともこれは手前味噌な話なので学生からの評価は厳しいものかもしれませんが・・・。
ともあれ本日無事開講しました。これまで様々な方々のお力添えをいただきました。この場を御礼を申し上げます。ありがとうございます。また、今後ともご支援のほどよろしくお願いします。
先週のマイクロソフト8月の月例パッチリリース以降、短期間の間に関連するエクスプロイトが多数公開され、これを利用した様々なボットの亜種が感染を広げるという事件が発生した。この一連の出来事についてDominic White氏がブログ上に整理していたものを、本人の了解を得た上で日本語に訳したのでここに掲載する。
MS05-039 and the Zotob summary(Dominic White, 2005/8/18)
MS05-039とZotobに関するサマリー(Dominic White氏, 2005/8/18)
Japanese Translation(Keiji Takeda, 2005/8/20)
日本語翻訳:(武田圭史, 2005/8/20)
ここ数日の間に様々な事態が発生していたが、本当に重要な出来事とメディアによるデマが入り混じり、我々は“Chief”にこの件について騒ぎたてるように頼まれた。このサマリーでは、この事件に関する情報からデマを取り除き、何らかの重要な教訓または理論を得ることができないかを調査した。
タイムライン
ディスカッション
現在、事態は収まっており、分析にとりかかりたい。今回の事件は「脆弱性の公開からウィルスの発生までの最短の周期だ」と主張する人々がいた。最初、この主張は事実だと思われたが実際にはそうではない。Sasserはエクスプロイトがリリースされた翌日に出現しているが、脆弱性自体は16日前に公開されている。しかし、wittyワームはeEyeによる脆弱性の公開から36時間後に出現している。したがって今回の事件は、脆弱性公開からエクスプロイト、エクスプロイトからウィルス、脆弱性公開からワーム出現のいずれの期間についても最短ということはない。
ZytobはMytobの子孫でありトルコの同じ作者によって作成されたと見られている。
複合的な脅威が問題を大きくしているようだ。新たな脆弱性が公開されると既存のワームがそれをアタックベクターとして使用するようにアップグレードされる。これはまさに今回の事件で我々が目にしたものであり、今後さらにこの傾向が強まるものと思われる。これらを支配する単一のワームはもはや存在しない。
事件中盤でのVeritasとAppleのパッチに関するエクスプロイトは、いくらかの人々にとって大きな問題となった。標準化に関するjoatの主張は、垂直統合を最小化することによっていくらかのメリットを得られることを言っている。例えばLinuxをデスクトップとサーバの両方に利用する場合でも、それぞれの設定は異なったものにしておき、水平レベルでは標準化するというアプローチである。
考察
パッチマネジメント・メーリングリストにおける投稿が問題をうまくまとめている。この企業は、分析から完全な対策の展開まで、20日のテストサイクルを使用していた。Sasserの事件があってから、彼らは7日のテストサイクルを導入した。しかしながら、今回の事件は、0-dayは無理としても3日のテストサイクルが必要であることを示した。各種対応についてはマネジメントの承認が必要である。パッチを3日であてるのはほぼ不可能に近い、通常そのような短期間でパッチをあてることはできない。他の問題としては、現在のIEの0-day攻撃等によってパッチング・ポリシーが非現実的な競争に追い込まれている。
この状況に対して、我々は緩和戦略をとらざるを得ない。パッチを当てることなく、このようなマルウェアをブロックするいくつかの方法が存在する(いずれにしろ最終的にはパッチを当てるのが望ましいが)。これは短期的な対応と、アーキテクチャの変更など長期的な対応の2つからなる。
短期的な対応
- 該当するサービスについてファイアウォールをプロキシとして使用するかサービスを停止する。
- 推奨される緩和戦略を適用する(この場合NULLセッションを無効化する)。
- snortシグネチャを更新し、不審なトラフィックをブロックする。これはいくらかのフォールスポジティブをもたらすかもしれないが、ワームへの感染に比べれば対応が容易である。フォールスポジティブはコミュニティがシグネチャを改善する助けにもなる。
- そのマルウェアをブロックするようにウィルス対策シグネチャを更新する(常に有効とは限らない)。
長期的な対応
- ポータブルデバイス(例:Wifiデバイス、ラップトップ、PDA)を特別なサブネットに隔離し、外部ネットワークのように取り扱う。これによりマルウェアが内部に持ち込まれるのを防止できる。
- マルウェアがトンネルされるのを防ぐためVPNアクセスを制限する。単純なWebアプリケーションのレベルで十分なアクセスを提供できる場合がある。
- ルーティングのホワイトリストを実装し、イグレスフィルタリングを行う。ユーザのデスクトップは特定のサーバにさえ接続できれば良いケースも多い。これによって、組織内での感染速度を遅らせ、サーバのパッチ当てにより多くの時間を使うことができる。
- 環境によっては実行ホワイトリストの利用が有効である(Axel Ebelに感謝)。Windows のDEPにより署名付バイナリによる制御が可能である。
- セキュリティ情報、特にSANS ISC InfoCon脅威レベルに注意する。最小限のテストで即座にパッチを当てなければならないこともある。
これらによりパッチをテストし展開する時間を稼ぐことができる。我々はいまだに、Morrisワーム事件の際、Bill Cheswickがこのペーパーで「柔らかい中心を包む殻」と表現したものが必要なのだ。
結論
結論として、今回の件は大して重要ではない多くのノイズのようにも見えるが、実際に全く何もなかったというわけではない。デマもパッチ当てや脅威管理ポリシーのアップデートには使うことができるのである。
更新:体裁を整え、微修正を行った。
更新:おっと、wittyワームはZotobより早かった。
更新:実行ホワイトリストを追加。SANS ISCからエントリーのレビューを受けOKをもらう。
Posted by Dominic White in Masters at 01:21
© Dominic White 2005
![somerights20.gif](http://motivate.jp/archives/somerights20.gif)
Original content in this work is licensed under a Creative Commons License.
このコンテンツはクリエイティブ・コモンズ・ライセンスの下でライセンスされています。
Thanks to Dominic for his insightful work and for his approval of translation for Japanese readers. -Keiji
HDDの障害でWindowsが立ち上がらなくなったラップトップが2台ほど眠っていたので、昔のデータを回収するため外付けのUSB-HDDインタフェースを購入した。固定的な用途に使うのであればHDD、電源、インタフェースが一体になったBOXタイプのものが良いだろうが、すでに所有している2.5, 3.5インチの複数のディスクをさくさく接続して使いまわしたかったのでインタフェースと電源が独立したNOVAC社の「IDE HDD つながーるKitUSB」「SATA HDD つながーるKitUSB」という商品を選択した。
![usb-hd.JPG](http://motivate.jp/archives/usb-hd.JPG)
接続はコネクタを繋ぐだけですぐに認識。とりあえず2台のラップトップからHDDを取り出し蓄積されていた様々なファイルを救出。デジカメの写真なども入っていたので助かった。次に250GB Serial ATAの3.5インチHDDの一部を使って現在使用中のラップトップのバックアップを作成。ユティリティを使えばディスククラッシュからのシステム・リカバリも可能なので心強い。取り出した昔のディスクはバックアップ用として使ったり、別途ケースを購入して持ち運びにも使えるので資源の有効活用にもつながる。また、生のディスクを接続できるので安価なバルク品を購入すれば安く済むし、取り扱いにさえ注意すれば場所をとらないので蓄積メディアとしても効率的だ。
ハードディスクの価格が安くなる一方、個人が管理するデータも重要かつ大容量化しているので、個人レベルでも、HDD障害などにおいて業務の中断を最小限に抑えるためのBCM(Business Continuity Management:事業継続管理)やDR(Diserster Recovery:災害復旧)を考える時代かもしれない。
ちなみに、HDDの物理コピーを行うセンチュリー社の「これdo台HEROプラス」と併用すれば、「なんちゃってフォレンジック」にも使えそうだ。
(参考情報)
■NV-UA2000 IDE HDD つながーるKit USB
![ide.jpg](http://motivate.jp/archives/ide.jpg)
![](http://www.assoc-amazon.jp/e/ir?t=motivatejp-22&l=as2&o=9&a=B0009XOZDG)
■NV-US2000 SATA HDD つながーるKit USB
![sata.jpg](http://motivate.jp/archives/sata.jpg)
![](http://www.assoc-amazon.jp/e/ir?t=motivatejp-22&l=as2&o=9&a=B0009XOZD6)
■KD25/35SP これdo台HEROプラス
![kore-do.jpg](http://motivate.jp/archives/kore-do.jpg)
![](http://www.assoc-amazon.jp/e/ir?t=motivatejp-22&l=as2&o=9&a=B0007OHFMA)
※各画像にはAmazonアソシエイトプログラムのリンクを設定しています。
新しいキャンパスをつくるのは大変ですがとても楽しい仕事です。
最初はとても実現不可能に思えたものが、いろいろな方々の熱い思いや、運命的な出会い、そして皆の力によっていつの間にか具体的な形になっています。
もう少しです。
どんな学生さん達がやってくるのでしょうか。
新しいキャンパスやカリキュラムに満足してもらえるでしょうか?
新しい大学院のかたちが機能し、日本の高等教育や情報セキュリティの世界に少しでも影響を与えることができるでしょうか?
教室や研究スペース、会議室、机イス、ネットワーク、情報サービス、Webサイト、プレスリリース、セキュリティ・ライブラリ、毎日いろんなことがものすごいスピードで決定され実現していきます。
あっと驚く仕掛けを考えてみたり、ああでもないこうでもないと深夜まで議論をしたり、突然のどんでん返しに一喜一憂したり。
今まで誰も見たことのない大学院キャンパスがもうすぐ出来上がります。
最近のコメント