このページは、以下のサイトの和訳を中心として、セキュリティ関連のニュースを発信していくことにします。

Archive
2007まで
2008年　

セキュリティ・メーカー関連
• ・　F-Secure Weblog : News from the Lab
• ・　Kaspersky Analyst's Diary
• ・　McAfee Avert Labs Blog
• ・　WEBSENCE Security Labs : Threat Blog
• ・　The H : Security
マスメディア
• ・　The Gurdian
情報サイト等
• ・　Krebs on Security
• ・　Secunia "Security Watchdog" Blog
• ・　Zeroday Emergency Response Team
• ・　PhishTank
• ・　The PC Informant : Blog

---

アンチマルウェア プログラムを完全に削除するには…
The PC Informant : Blog (2009/12/22)

　アンチマルウェア プログラムは、しばしばOS中で、それら自身を頑迷にフックし、Windowsレジストリを通じての参照物を勝手気ままに撒き散らす。例えば、シマンテックのNortonアンチウィルス プログラムを完全にアンインストールすることが、如何に困難なことであるかについて以前ポストした。アンチマルウェア プログラムの残存物の問題は、他のアンチマルウェア プログラムとコンフリクトを発生させることにある。そのセキュリティ プログラムを、もはや必要とせず、他のセキュリティ プログラムに乗り換えたいのであれば、あなたはこの問題に遭遇するかもしれない。
　そこで、セキュリティ ソフトウェアを完全に削除するように設計されているとされるAppRemoverというフリーのユーティリティに関する記事に興味があった。Windows Clubによれば：

　AppRemoverは、アンチウィルス、アンチスパイウェア、ファイアーウォール、他のセキュリティ アプリケーション、及び不完全なアンインストレーションによって残存したファイルを削除するためのフリーのユーティリティである。
　もはやレジストリ回りを汚損する必要はない。このプログラムを起動すれば、必要な仕事を実行してくれるだろう。
　AppRemoverで、”Remove a Complete Security Application”（セキュリティ アプリケーションを完全に削除）、もしくは”Clean Up a Failed Uninstall”（失敗したアンインストールをクリーンアップ）を使用するだけである。
　このプログラムは単一、スタンドアロン、ポータブルファイル（USBから起動できる）である。
　このプログラムは、Avast!, AVG, Avira, BullGuard, CA, ClamWin, ESET, F-Secure, Kaspersky, Lavasoft, McAfee, Microsoft, Norman, Panda, Sophos, Symantec, TrendMicro, TrustPort, Webroot等々を削除できる。

　私は未だこのツールを試していない（【訳注】訳者も同様に試していない）。しかし、役に立つユーティリティのように思われる。読者が何らかの経験を持ったのであれば知らせてほしい。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊訳者補足： AppRemoverの使い方

　AppRemoverの使い方を丁寧に記述したサイトが見つからないので、ベンダのサイトを和訳しておきます。

　インストール ガイドは省略します。

セキュリティ アプリケーションを完全に削除するには

　この、「セキュリティ アプリケーションを完全に削除するには」のガイドは、セキュリティ ソフトウェアのアンインストーラへのアクセスに要求されるパスワードを忘れた場合であっても有効に動作する。

1/

AppRemoverを起動し、”Next”ボタンをクリック。

2/

　”Remove Security Application”を選択。

3/

　コンピュータのスキャンが終了し、インストールされているセキュリティアプリケーションが決定されるまで待つ。

4/

　アンインストールしたいアプリケーションを選択する。

5/

　アンインストール プロセスが終了するまで待つ。

失敗したアンインストールをクリーンアップするには

　セキュリティ アプリケーションをアンインストールしたが、そのコンポーネントが完全に削除されたか否か疑わしい。多くのインスタンスにおいて、この現象は、ユーザのマシン上に他のセキュリティ アプリケーションをインストールすることを妨げる（他のセキュリティ アプリケーションと互換性がないことが報告されている）。
　不完全なアンインストールは、アンインストレーション中にマシンがクラッシュすることでも発生する。十分なアンインストール機能を持っていない物は、その製品を不安定なまま放置する（多くのファイルやOSのオブジェクトが残されたままになっている）。この最たる物がWindowsの「プログラムの追加と削除」である。このプログラムのプログラム削除メカニズムは、Windows上に存在するセキュリティ アプリケーションを検出しない。このことは、通常ユーザのマシンを不安定にし、彼らのマシンを以前の状態にリストアしなければならないことを、あるいはリカバリしなければならないことを意味している。
　このオプションは、アンインストールが失敗した場合にだけ使用すべきである。

1/

AppRemoverを起動し、”Next”ボタンをクリック。

2/

　”Clean Up a Failed Uninstall”を選択。

3/

　コンピュータのスキャンが終了し、インストールされていたセキュリティ アプリケーションの残存エレメントが決定されるまで待つ。環境により、この操作は15分もしくは、それ以上かかる。

4/

　アンインストールするアプリケーションを選択する。各製品の百分比に注目する。この数値は、アプリケーションの内どの程度がマシン上で検出されたかを示している。アンインストールするアプリケーションの選択にあたっては、ユーザは注意して実行すべきである。AppRemoverは設計されているソフトウェア製品の個々の部分を削除する。誤った選択は、そのコンピュータ上にインストールされている現行のセキュリティアプリケーションを損壊させる。

5/

　アンインストール プロセスが終了するまで待つ。

ハッカー、コマ割漫画独立系放送番組経由でAdobe Readerのフローを攻撃
The Washington Post : Security Fix (2009/12/18)

　Security Fixが知ったところによると、ハッカーは木曜日オンライン上のコマ割漫画独立系放送番組サービスに侵入、最近発見されたAdobe ReaderとAcrobatのセキュリティ フローを攻撃しようとする悪意あるコードを埋め込んだ。
　月曜日、Adobeシステムズは、犯罪者がAdobe ReaderとAcrobatの未知のセキュリティ フローを突いてインターネット ユーザを攻撃しているとするレポートを調査中であると発言していた。セキュリティ エキスパートは、このフローが、ハックされたり罠を仕掛けられたサイトを訪問する疑うことを知らないユーザに、ソフトウェアを押し付けることが可能であると警告した
　ニューヨークのアルバニーを本拠とするHearst出版Timesunion.comは、木曜日から、その漫画セクションの読者が、悪意あるソフトウェアのダウンロードをプロンプトされるとする苦情が始まったと報告している。そのサイトにポストされているアップデートで、Timesunion.comは、この攻撃が最近露にされたAdobeのフローを悪用していると発言した。この報道サイトは、彼らのWebサイトの漫画サーバーであるKing Featureに対する攻撃を追跡し、既にKing Featureの問題を修正したと発言している。
　King Featureの商標浸透（Brand development）マネージャ Rose Croke は、どういうわけか、悪意あるコードが Comics Kingdom クライアントのコンテンツを取り扱うこの会社のWebサーバー中に挿入されたと発言している。Crokeは、Comics Kingdomコンテンツが凡そ50の様々なニュースサイト（Timesunion.comを含む）によって配給されていたと発言している。
　「我々は挿入物のコードを発見しようとしている」とCrokeは発言している。
　Adobeは、来年の（2010年）1月12日まで、このフローを修正したソフトウェアアップデートをリリースする計画はないと発言している。
　AdobeはAdobe ReaderとAcrobatのJavascriptを無効にして、この脆弱性由来の脅威を軽減するよう発言している。（こちらにその手法が指示されている。【訳注】英文。）
　代替として、インターネット ユーザは、Adobe Readerをアンインストールし、他のフリーのPDFリーダー（Foxit Readerのような）をす利用することを考慮した方がよいだろう。

Adobe ReaderとAcrobat中の未パッチのセキュリティホールが攻撃されている
The H : Security (2009/12/15)

　AdobeはAdobe Reader 9.2とAcrobat 9.2（それ以前のバージョンも同様）中の未パッチのセキュリティホールが、システムに感染するためのアクティブな攻撃が既に開始されていると報告している。Adobeセキュリティチームは、彼らが現在問題を調査中であると発言しているが、この問題の詳細、状況、感染させられるオペレーティングシステムを明らかにしていない。この攻撃が個別に用意されたPDFドキュメントをターゲットにしたり関連付けられているのか否か、あるいは、Webページが彼らの訪問者のPCに既に感染しているのか否か、明らかにしないままである。
　Adobeは詳細な情報が手に入り次第、アップデートをリリースすると発言している。残念ながら、Adobeは新たな攻撃を防御するためのいかなる解決策も示唆していない。今までのセキュリティホールは、しばしばReader中のJavaScriptを無効化することで一時的に閉じることが可能であった。ユーザは、Adobeがアップデートをリリースするまで他のPDFリーダを選択するようアドバイスされている。Adobe Readerの最新のアップデートは11月にリリースされた。このアップデートは合計29のセキュリティホールを閉じている。

Adobe: Flash Player中の幾つかのセキュリティホールを閉じる
The H : Security (2009/12/09)

　Adobe Flash Playerの 10.0.42.34 へのアップデートと、Adobe Airの1.5.3 へのアップデートは、全てのプラットフォームに対し、潜在的にアタッカーが、（犠牲者が管理者権限レベルで動作させている）システムの制御を取得できる六つの深刻なセキュリティホールを修正している。攻撃が成功すると、ユーザは特別に細工されたWebページを訪問させられるか、否応なくリダイレクトされる。Windowsバージョンでは、PCからある情報を求め食い物にできるところのInternet Explorer用のActiveXコントロール中のセキュリティホールも修正している。
　Adobeは、Flash Player 10.0.32.18とそれ以前のバージョンのユーザは新しいバージョンに切り替えることを推奨している。しかしながら、Adobeは、このセキュリティホールがFlash Player 9に発見されたのか否か言及していない（Flash Playerに関する今までの掲示では、常にバージョン9と10の両方が影響を受けていた）。Flash Playerは、自動アップデート機能でアップデートできる。Adobe Airは、手動でダウンロードする必要がある。
　Adobeは様々な問題（このような問題は整数オーバーフローや、メモリフローのような問題を発生させる）が、外部のセキュリティサービス（Fortinet, TippingPoint, the US-CERT, Microsoftを含む）によって発見され、通知されたと報告している。

Thunderbird 3 がリリースされた
The PC Informant : Blog (2009/12/08)

　ローカルE-Mailクライアントを未だ使用している多くのホームPCユーザは、Microsoftの冷たさの中に取り残されている。Outlook Expressは数年に渡りアップデートされていない。VistaではWindows Mailに名前は変更されたが、何等新しい物はない。Windows 7では、E-Mailクライアントは含まれてもいない。あなたは望みもしない多くの機能付きの製品スーツをダウンロードしなければならない。
　Web上ではなく自身のシステム上にE-Mailをダウンロードして閲覧する事を好む人々にとって、最高の無料の解決策は、おそらくMozilla Thunderbirdである。バージョン 3.0が出現し、良いレビューを得ている。Lifehackerは、以下のように発言している。

　Thunderbird 3.0は素敵な新機能（Firefoxや他のブラウザのような、新規なTabインターフェイス、美しくパワフルな新規検索機能、いかなるE-Mailもユーザが突き止めることのできるフィルタリングツール、Gmailや他のアカウントを設立し、直ちにThunderbirdで起動する総合的ストリームラインE-Mailセットアップツール）を搭載して出現した。

　ダウンロードはこちらのページから。

インターネット接続に金銭を要求するトロイ
The H : Security (2009/12/01)

　小さなブラックメイルを実行するWindowsのトロイについて新しいことは何もないが、Computer Associatesは、新しい変異（ユーザがアクティベーションコードを入力するまで、インターネットアクセスをブロックするトロイ）を今監視している。これはアクティベーションコードが、高価なプレミアムレート電話番号（【訳注】ダイアルQ2のようなサービス）のような、特別な番号を含んでいて、このデータがSMS送信によって取得されるということである。取得された総和を、CAは言及していない。
　このマルウェア（'Win32/RansomSMS.AH'とも呼ばれる）は、"uFast Download Manager"ツール（起動したとき、彼らのライセンス条件を破ったとユーザに訴えるツール）であると表明することによってコンピュータに感染する。CAは親切にも、要求されたコードをユーザが自身のために発生させることのできる無料のツール（ZIPアーカイブ。ダイレクト・ダウンロード・リンク）を提供している。
　以前の身代金要求ウェアの例は、ユーザを締め出すためにWindowsをロックするか、おそらく破ることのできないアルゴリズムを使用しファイルを暗号化することで知られていた。

ユーザ作成のPDFドキュメントは個人情報を露にする
The H : Security (2009/11/24)

　ユーザ作成PDFドキュメントは、作成者が露にすることを望まない情報を潜在的に開示する。HTMLページからPDFをプリントするためにInternet ExplorerとバーチャルPDFジェネレータを使用すると、このドキュメント自身が保存された、そのドキュメントの完全なローカルファイルシステム上のパスを発生させる。例えば、file://C:\\Users\dab\Downloads\document.pdf である。ドキュメントのヘッダやフッタ中のファイル情報と違って、この様な詳細は排除できない。
　類似の問題はMicrosoft Word中に存在していた。MS-Wordは、ドキュメントそれ自身の中に製作者の詳細同様に完全なローカルファイルシステム上のパスを保存した。この情報はメモ帳で簡単に読むことができる。しかしながら、最近のMS-Wordのバージョンには、もはやこの問題は存在しない。
　挙動自身がセキュリティホールを表しているわけではないが、サードパーティーが製作者のコンピュータのディレクトリ構造についての詳細な情報取得することを可能にするためプライバシー問題になった。つけられているパスはユーザ名、インストールされているソフトウェア等に関する詳細を顕にするかもしれない。
　この問題を発見したセキュリティ・スペシャリスト（ハンドル名、Inferno）は、単純なGoogle検索は、この様なパスの情報を含んでいる数百万のPDFドキュメントを発生させると指摘している。この問題は、ドキュメントタイトル中に完全なローカルファイルパスとファイル名を、IEが挿入することによって発生する。使用するPDFライターに関係しない。heiseセキュリティ・チームがテストした時点では、IE8とCutePDFの組み合わせで、この情報は露にされたが、AdobeのPDFライター（Adobe Distiler）では発生しなかった。そして、他のベンダの製品では、IEと組み合わせた場合に、この問題は発生した。Firefoxは、この様な方法をとらず、ドキュメントのタイトル中にファイル名だけを挿入する。
　Microsoftは繰り返しこの問題の情報を提供されていた。Microsofstは、Internet Explorer 9で、この問題を修正することを計画している。解決策として、Infernoは製作者にあらゆる個人情報を削除するように示唆している。しかしながら、この方法はPDFを損壊するか、ディスプレイの表示を不可能にするかもしれない。

IEに0-Dayの脆弱性
Symantec : Security＞Blog (2009/11/21)

　IEをターゲットにした新たな攻撃が、昨日BugTrackメーリングリストに公開された。Symantecは更なるテストを行い、この攻撃がIE 6と7に影響あることを確認した。この攻撃は現在信頼性の低い傾向にあるが、我々は、完全に機能的な信頼性ある攻撃が近い将来可能になるだろうと予測している。これが発生すると、攻撃者はWebサイトにこの攻撃を注入し、訪問者を感染させることが可能になる。攻撃者が成功裏に攻撃を発動するためには、彼らは悪意あるWebページや、彼らが改竄したWebサイトに犠牲者を誘い出さなければならない。共に、攻撃者はIEを攻撃するためにJavaScriptを要求する。
　この攻撃は、IEのカスケーディング・スタイルシート（CSS）取扱い方法中の脆弱性をターゲットにしている。CSSは多くのWebページにおいて、サイトのコンテンツの表示を定義するために使用されている。Symantecは現在この攻撃をBloodhound.Exploit.129として検出し、新たな定義ファイルは既に実行されている。Symantec IPSプロテクションも、現在この脆弱性をHTTP Microsoft IE Generic Heap Spray BOとHTTP Malicious Javascript Heap Spray BOとして検出する。新たなIPS定義ファイル（HTTP IE Style Heap Spray BO）は、この特定の攻撃のために作成された。この問題によって影響を受ける機会を最小にするために、IEユーザは、使用しているアンチウィルスソフトの定義ファイルのアップデート、JavaScriptの無効化、Microsoftから修正がリリースされるまでは信頼するWebサイトだけの訪問を保証すべきである。

ラップトップは故障率が高い
The PC Informant : Blog (2009/11/18)

　surveyはラップトップの1/3が購入後3年以内に完全に機能しなくなると発言している。

　SquareTradeは、SquareTradeラップトップ保証プランを適用されている新しいラップトップコンピュータ30,000以上についての故障率を解析し、全コンピュータの1/3が3年以内に機能しなくなっていることを見出した。SquareTradeはまた、ネットブックが他のラップトップより20%以上信頼できないものであり、Asusと東芝が最も信頼できるラップトップのブランドであることを発見した。

　このレポートは保証延長サービスを販売している会社からのものなので、偏りの可能性を心配するかもしれない。しかしながら、PC Worldは、PC所有者の年次調査が同程度の故障率を示していると伝えている。
　注意すべきことは、ヒューレットパッカード（HP）が信頼性において最後尾であるということである。Rescuecomの、この3月の信頼性に関するレポートもまた、HPが最も信頼できないメジャーブランドであることを示している。この最新のレポートでは、Asusが首位である。
　HPのラップトップでの私自身の経験は、良悪入り混じっている。私は数年間ハイエンドの17インチモデルを所有していた。そして、何の問題もなかった。もう一つは、家族用の低価格マシンで、絶対的欠陥品であった。このマシンは、HPがギブアップしマシンを交換するまで、HPとの間を行ったり来たりした。

Microsoft : Windows 7のセキュリティホールを警告
The Washington Post : Security Fix (2009/11/17)

　Microsoftはハッカーが一時的にWindows 7を不安定にするために使用できるとするセキュリティフローに関するレポートを認めた。Microsoftはまた、この脆弱性を攻撃するための青写真が、今オンラインで利用可能になっていることを認めた。
　この問題は共有ファイルとフォルダを操作するWindowsのコンポーネント中にDoS脆弱性と呼ばれるものである。Microsoftは攻撃者が今、脆弱なシステムに機能の停止や、信頼性の欠如を発生させるために、公に利用可能になっている脆弱性攻撃コードを使用できると発言している。このフローはWindows 7とWindows Server 2008 R2に存在する。そして、Microsoftの以前のバージョンのOSには存在しないと、Microsoftは発言している。
　金曜日に発行されたセキュリティブレチンで、Microsoftは、攻撃者はこの脆弱性を利用して悪意あるソフトウェアのインストールをできないことや、影響を受けたシステムの制御を取得できないと発言した。そしてこの脆弱性に関する攻撃者の如何なる悪質な努力も、PCを再起動すれば元に戻すことができる。さらに、このフローを攻撃するために必要なある種のコンピュータ・ネットワーク・トラフィックは、ファイアーウォール（Windows 7に同梱されているWindowsファイアーウォールのような）を使用することで簡単にブロックできる。

Apple: Safariセキュリティアップデート
The Washington Post : Security Fix (2009/11/13)

　Appleは少なくとも七つのセキュリティ上の脆弱性を修正したSafari Webブラウザの新しいバージョンをリリースした。
　Safari 4.0.4アップデートはMac、Windowsの両方のバージョンが利用可能である。MacユーザはSoftware Updateで最新バージョンを入手できる。Windowsユーザは、バンドルされているApple Software Updateを使用する必要がある。

Scrap fileがスクラップされた
The PC Informant : Blog (2009/11/13)

　Windowsは複雑なOSであり、大多数のPCユーザが認識していない多くの属性と機能を持っている。奇妙なものの一つで、Windows 98/XPで殆ど知られいない機能にscrap fileと呼ばれるものがある。私は数年前、scrap filesとウィルス製作者によるそれらの使用との関連について記した。私はこの問題を指摘するためにこの主題を再び訪問した。Vista開始以来、Windowsはもはやscrap filesをサポートしていない。
　scrap filesは何をしようとしていたのか？　それらはデスクトップ上にドキュメントの小さな部分をコピーするためのある種の手軽な方法を意図していた。しかしながら、僅かなアプリケーション（殆ど、Micorosoft Office）だけが、この機能をサポートし、極僅かなPCユーザだけがこれについて認識していた。
　Windows XP上でscrap fileがどのように動作しているのか確認するには、Wordドキュメントを開く。次に、幾許かのテキストを選択し、マウスを使用して選択した部分をデスクトップにドラッグする。新しいファイルが表示される。このファイルをダブルクリックすると、このテキストを含むWordドキュメントが開く。もしくは、開いたWordドキュメント中にデスクトップ上のスクラップファイルをドロップする。そうすると、Wordドキュメント中に、このテキストが表示される。手順は多少異なるが、画像も取り扱うことが可能である。しかしながら、この場合、あなたは右クリックドラッグを使用する必要がある。そして、コンテキストメニューから選択する。
　下位互換性の問題から、MicrosoftはWindowsの機能を削除しない。しかし、scrap filesは、殆ど知られても使用もされておらず、この機能にセキュリティ上の問題があったため、VistaとWindows 7から削除された。

GIMPに脆弱性
The H : Security (2009/11/12)

　セキュリティ・サービス・プロバイダSecuniaによれば、フリーの画像編集ツールGIMP中の脆弱性は、潜在的にユーザシステムを改竄する攻撃を可能にする。この脆弱性（Secuniaは深刻さを中と評価している）は、plug-ins/file-bmp/bmp-read.c中でReadImage()関数中の特別に細工されたBMPイメージを処理するときに発生する（ヒープベースバッファオーバーフローを発生させ脆弱性を攻撃できる整数オーバーフローを発生させる）。このオーバーフローは、攻撃者がユーザシステム上でリモートからコードを実行することを可能にするかもしれない。
　この脆弱性は最新の安定版GIMP 2.6.7（2009.08.14にリリースされた）で発見された。他のバージョンも影響を受けるかもしれない。開発者はこの問題をアドバイスされ、GITソースコードリポジトリでこの問題を解決した。公式アップデートは未だリリースされていない。

Adobe FlashのON/OFFを切り替える方法
The PC Informant : Blog (2009/11/05)

　Adobe FlashクリップはWeb上の何処にでもあたりまえのようにあり、多くの広告を含んでいる。Windows Flash playerは、マルウェア側への方向性もまたあり、しばしばセキュリティアップデートがなされる。結果として大多数のPCユーザは、望むようにFlashのON/OFFが出きることが役に立つと分かるだろう。
　Firefoxブラウザは、しばしば言及されている拡張NoScriptを持っている。この拡張は与えられたWevサイトに関し、Flashの有効/無効にしたりする能力を提供している。
　Internet Explorerのユーザは、FlashのON/OFFを切り替えるための二つのユーティリティを持っている。サイト指定はできないが使い方は容易である。一つはNir Soferの著作物であり、これはWindows XPで動作する。このソフトはTurnFlashと呼ばれる。このソフトは単一の小さな実行ファイルであり、タスクバー中にアイコンを表示する。このアイコンを単純にクリックすることで、FlashのON/OFFを切り替えることができる。
　XP同様Vistaでも動作するもう一つのユーティリティは、Toggle Flashである。Internet Explorerのツールバー中にトグルボタンが設定される。このツールの作成者は署名をしていないので、多分インストール時にセキュリティ警告が表示されるだろうと発言している。Flashを無効化すると、サイトによっては、Flash Playerのアップデートが必要という、間違った警告を表示するだろう。（IE7以降、Net Framework 2.0を必要とする）

Sun Microsystems：　Javaをアップデート。複数の脆弱性を修正
The H : Security (2009/11/04)

　Sun Microsystemsは、複数のセキュリティの脆弱性を修正したJava 6 Update 17をリリースした。これまでのバージョンは、巧みに細工されたオーディオやイメージファイル（これらのファイルは、Javaアップレットや'Java Web Start'アプリケーションのユーザ権限を昇格させることによって攻撃することができ、システムへの感染を可能にする）をトリガーとするバッファオーバーフローや整数オーバーフローを含んでいた。。'Java Web Start'インストーラ中のバグは、信頼できないWeb Startアプリケーションを、信頼されるアプリケーションとして、ひいては権限の昇格を取得して起動することになった。Java Runtime Environment Deployment Toolkit中の脆弱性は、Webサイトにコードの挿入と実行を可能にする。
　Sunはまた、HMACダイジェスト（【訳注】認証及び改竄検出技術の核となるアルゴリズムの一つで、ハッシュ関数を使って秘密鍵と組み合わせて計算する）を認証するときのデジタル署名を欺くことで攻撃を成功させてきた脆弱性を削除した。このJREアップデート機能は直に英語版以外の言語のWindows下のランタイム環境でもアップデートされるだろう。
　幾つかのバグは、Java バージョン 5.0、1.4.x、1.3.x中にも存在している。Sunはこれら製品のユーザに、夫々バージョン 5.0 Update 22、1.4.2_24、1.3.1_27にアップデートするよう推奨している。これら三つ全て、既にサポート期限に到達もしくは終了している。Update 22は、バージョン 5の最終アップデートになるだろう。そしてSunは、セキュリティアップデートの受信を継続するために、全てのユーザがバージョン 6に切り替えるようアドバイスしている。

Adobe：　Shockwave Playerの深刻な脆弱性にパッチ
The H : Security (2009/11/04)

　Adobeは5つの深刻な脆弱性（そのうちの4つは、攻撃者が影響を与えるシステム上に悪意あるコードを挿入し実行することを可能にする）を解決するためにShockwave Playerのアップデートをリリースした。これらの脆弱性はフランスのセキュリティ・サービス・プロバイダVUPENによって発見された。この攻撃が成功すると、犠牲者は最初に特別に細工されたサイトを訪問させられる。Adobe Shockwave Playerの11.5.2.601までのバージョン（11.5.2.601を含む）は、この脆弱性の影響を受ける。この脆弱性を解決しているバージョン11.5.2.602は、WindowsとMac OS X用がダウンロード可能である。Adobeは可能な限り早急に最新版にアップデートするように推奨している。
　Adobe Shockwave Playerは、Flash Playerの見掛け上の兄貴分であり、より広い範囲の機能を含んでいる。典型的には、より複雑な事（双方向性のプレゼンテーション、ゲーム、他のアプリケーション）に使用される。おそらく大多数のユーザはAdobe Flash Playerだけがインストールされている。そして、聞くところによるとAdobe Flash Playerは影響を受けない。Shockwave Playerをインストールすると自動的にAdobe Flash Playerはインストールされる。

論評：　Ubuntu 9.10　対　Windows 7
The Guardian : News＞Technology＞Technology Blog (2009/10/27)

　Canonicalはオープンソース・オペレーティング・システムUBUNTUの最新バージョンを、この木曜日リリースする。我々はUBUNTUがWindows 7に匹敵するかどうか検証してみた。

　
　オープンソース・オペレーティング・システムUBUNTUの最新のアップデートは木曜日にリリースされる。

　 　Appleは、この初秋Snow Leopardを世に出した。そして、Canonicalは今週もう一つの猛獣Karmic Koara（業深いコアラ、オープンソース・オペレーティング・システムUBUNTU 9.10）をリリースした。これはMicrosoftのWindows 7（Vistaのメジャーアップデート）の直後に出現した。
　Linuxには数百の様々なバージョンやディストリビューションがある。あるディストリは、一般的使用のために、他は高度なセキュリティの必要、あるいは古いマシンやマルチメディアでの使用のために投入されている。投入から5年で、UBUNTUは最も人気あるOSの一つになった。
　Linuxは人気あるランニングサーバーであり、組み込みシステムである。しかし、LinuxはデスクトップOSとして少数派であった。デスクトップLinuxの使用統計は、明確に定義することが困難であり、接戦である。Linux狂が12%に近いと発言している時、ある者はその統計を1%以下とした。Bruce Byfieldが、この統計を検証した今年早期に書いた記事として、"choose your logic and choose your figure."がある。
　LinuxのDebian系に準拠するUbuntuは、Linuxの大衆化の試みであり、"Linux for Human Beings"を標榜している。私はこの論評でWindows 7とUBUNTU 9.10を直接対決させる。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
インストレーションとアップグレード
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

　私はOSが出現したとき、相対的不可知論者であるが、Linux純粋主義者とMicrosoft信奉者が、この論評の中に偏見の気配を探すであろうということは認識している。私は毎日MacBook上で、Mac OS 10.4と仮想化されたWindows XPを使用し、Athlon XP 2400+デスクトップでUBUNTU 8.10を使用している。また、大変便利なrEFltブートローダを使用してマルチブートに設定してあるMacBook上でWindows 7を使用中である。
　私は最新のリリース候補UBUNTU9.10を使用中であり、比較のためにMacBook上でWindows 7ベータを使用中である。この論評の目的のため、私は750Mhz Pentium IIIのDell Latitude Cpx上で再インストールを実行し、MacBook上でフレッシュ・インストールを実行した。
　UBUNTUの新バージョンへのアップグレードは簡単であった。WindowsやMac OS Xのように、UBUNTUはあなたのOSを最新に維持する。WindowsはMicrosoftのソフトウェアとOSをアップデートする。UBUNTUは、OSそれ自身をアップデートするだけでなく、あなたのシステムにインストールされているあらゆるソフトウェアをもアップデートする。
　9.10にアップデートするために、UBUNTUはアップグレード実行のためのソフトウェアをダウンロードし、そのプロセスを踏む。この古いハードウェアでは、およそ2時間を要した。しかし、より高速なマシンでは、もっと早く終わるだろう。しかしながら、アップグレードの時間はインターネットの速度とコンピュータの速度に依存する。
　UBUNTUのインストールが初めてなら、CDイメージをダウンロードし、自分でインストレーションCDを焼きなさい。私がUBUNTUの使用を開始した理由の一つは、このCDがハードドライブにインストールしなくてもOSを稼働することができる点にある。これは、「ハードドライブをフォーマットする前に試みる」オプションである。インストレーション・プロセスを始めるためのショートカットがデスクトップに用意されている。

　
　WubiインストーラはWindowsシステム上に非常に簡単にUBUNTUを追加できる。

　 　私はまた、Wubiと呼ばれるヘルパーアプリケーションを使用して、MacBookにUBUNTU 9.10をインストールした。これはUBUNTUのインストールをWindowsと平行して順調に進ませた。UBUNTUインストーラはハードドライブをどの程度UBUNTUに転用するか尋ね、次にあなたのUBUNTU用セットアップアカウントを尋ねてくる。必要なファイルのコピーには10分かからない。Windowsをリブートすると、Windows 7とUBUNTUのどちらをブートするかのオプションがあった。最初に、私はUBUNTUをブートした。この操作は、およそ5分でインストールの最後の仕上げをした。UBUNTUをインストールしている間、UBUNTUに馴染んでいない人々のための有益な情報を見る。そして、オープンソースアプリケーションはDefaultで含まれている。
　Windows XPからアップグレードしたAthlonのデスクトップ上にWindows 7ベータをインストールした。VistaからWindows 7へのアップグレードは比較的簡単であるが、Windows XPからのアップデートは、かなり複雑である。Jack Schofieldは、既にWindows 7の完全な論評を行っている。もちろん、UBUNTUやLinuxの他のバージョンへの移行の大きな関門は、何十万ものコンピュータがWindows 7をプレインストールして出荷しているということである。しかしながら、UBUNTUはDell、HP（ヒューレットパッカード）、Acer、東芝のようなメジャーメーカーのコンピュータのオプションとして出現している。
　 　UBUNTU 9.10(Karmic Koala)の主たる恩恵、これまでのバージョンを越えるものは以下である。

・　ブートタイムが速くなった。このことは直近の二つのリリースでも取り組まれていた。
・　Intelグラフィックス機能統合型チップセット搭載コンピュータの場合は、UBUNTUはそのグラフィックスプロセスを改善し安定させるための新しいドライバを用意している。
・　UBUNTUは優秀なクラウド・ストレージ・サービス（オンライン・ストレージ・サービス。UBUNTU ONEと呼ばれる）を追加した。詳しくはチョット後。
・　UBUNTUは新たなソフトウェアセンターを作成し、新しいアプリケーションの追加方法を改善した

　こちらでupdates and new features in Ubuntu's 9.10 Technical Overview（UBUNTU 9.10に関するアップデートと新機能）の全てを閲覧できる。

結論：

　XPからVistaへのアップグレードは、UBUNTUを以前のバージョンからアップグレードするのと同じくらい容易であった。XPからWindows 7へのアップグレードは、かなり複雑である。Wubiインストーラは 完全な単純化の例である。UBUNTUは多くのオプションと全てのオプションに渡っての単純化で、このカテゴリでWindows 7に勝る。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
スピード
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

　スピードでは、Windows 7は明らかにVistaよりハードウェア上で軽い。これはAthlonデスクトップではとっても便利であった。取り分け、Aeroビジュアル効果を閉じた後で。
　この論評はスピードテストではなく、特徴の比較である。私はおよそ10年前のラップトップで稼働しているUBUNTUと、2.0Ghzデュアルコア Core Duo MacBookやAthlon XP 2400デスクトップで稼働しているWindows 7とを比較するつもりは無い。
　しかしながら、まだらっこしい機動の古いコンピュータを持っていて、しかも新しいコンピュータを買うつもりも無ければ余裕もないのであれば、UBUNTUに進みなさい。時代遅れのコンピュータ上で稼働している期限切れのOSのアップデートを問題なく取得するだろう。
　UBUNTUには幾つかのバージョンがある。UBUNTUはGNOMEデスクトップを使用する。これはスタイルとスピードの素敵な混合物である。XUBUNTUは、とても古いハードウェア上でも使用できるようにするためにより軽量なXFCEを使用している。

結論：

　Windows 7は、古いハードウェア上で良く稼働するという意味において、以前のバージョンよりずっと良くなっている。UBUNTUは幅広いハードウェアでとても良く稼働する。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
ドライバとハードウェア
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

　UBUNTUはドライバに関しては利点と欠点を持っている。ハードウェアの幅広い範囲を認識しているので一般的にはとても良い。Windowsでは、私は年代物の3Com WiFi PC Cardのドライバをダウンロードしなければならなかったが、UBUNTUではOSで解決されていた。WiFiカードのサポートでさえUBUNTU 9.04から9.10で改善されていた。
　UBUNTUは私のラップトップの特殊キーを利用するための拡張を追加した。そして、スペアのMacキーボードを差し込んだとき、CDの取り出しボタンのようにMacセントリックキーを取り扱った。
　これには利点もあれば欠点もある。私の家庭のデスクトップはATI Radeon 9600XTビデオカードを使用している。ATIのプロプライエタリ・ビデオドライバはLinux用の優れものであるが、私のさほど古くないカードをレガシーサポートに移動していたので、私はオープンソースドライバを信頼しなければならなかった。このドライバは同じパフォーマンスを提供しなかった。私が新しいビデオカードを入手するまで、家庭用デスクトップのUBUNTUをアップグレードするつもりはない。このことはUBUNTUが悪いわけではないが、イラつきの原因である。
　UBUNTUは自動的にドライバをインストールしない。このことは何かを動作させるためのチョッとした努力を必要とする。しかも、全てのハードウェアと周辺機器がLINUX上で動作するわけではない。時々、ハードウェアを動作させるために、コマンドラインに行かなければならない。これは多くのユーザを恐怖に陥れる領域である。プリンタやたの主要な周辺機器用ドライバをLINUXが所有しているか確認することは有益なことである。
　UBUNTUのインストレーションは、サウンドドライバを除けば大変スムースである。サウンドはスピーカーでは再生できたがヘッドフォンでは再生できなかった。
[UPDATE]　評者Yelvingtonは、ヘッドフォンの問題はドライバのダウンではなく、別の問題である。ヘッドフォンの音はインストレーションの後Defaultでミュートになっている。ミュートを解除するためにGnome Alsa Mixerをインストールしなければならなかった。
　Windowsはいつもドライバに問題を抱えている。私は未だに既にインストールしてあるハードウェアをWindowsが無視するのか理解できない。Windows 7は、この問題を完全には解決していない。
　Windowsと拡張されたLINUXハードウェアの環境依存システムは、共に強力さと脆弱さを併せ持つ。幾千ものベンダが、WindowsやLINUXで稼働するIntelベースのコンピュータのハードウェアや周辺機器を製造している。選択の多様さや競争の激しさは素敵なことである。しかしながら、ドライバへの対処は、相対的にはWindowsより限定されているAppleハードウェアの世界に比べると非常に複雑である。

結論：

　Microsoft、UBUNTU共にドライバの対処方法を改善できる。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
マルチメディア
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

　Windows Media Centreは、Windows 7エントリレベル（【訳注】必要最低限の機能に絞ったバージョン）のバージョンを除く全てのバージョンに搭載されている。メディアを巧みに取扱い、TVを視聴できる素敵なソフトウェアも存在する。

　Windows 7とKarmic Koala（UBUNTUは音楽用にRhythmbox、ビデオ用にMovie Playerを搭載している）のDefaultで搭載しているアプリケーションに注目した。共に有能である。そして、Apple iTuneに親しんでいる誰もが、ナビゲートし易いアプリケーションを見出すだろう。
　ライセンス制限とUBUNTU自身の哲学から、UBUNTUは販売されているDVDを再生する能力を出荷していない。販売されているDVDをサポートするには、Software CenterにUbuntu Restricted Extrasを追加すればよく、そんなに難しいことではない。
　Windows 7の殆どのバージョンは、Windows Media PlayerとMedia Centreを搭載している。Media Centerは印象的で洗練されている。Media Centerは、ユーザの写真・ビデオ・音楽ファイルを体系化し、リモコンでラウンジのソファーから気楽にアクセスできる。
　あなたのコンピュータがMedia Centerをサポートしているのであれば、それはTVを視聴するための素敵なインターフェイスでもある。電子番組ガイドは優秀で簡単にTVの番組予約が可能である。

結論：

　このカテゴリではMicrosoftに軍配が上がる。Windows Media CenterはWindows 7のベーシックバージョンを除く全てのバージョンに同梱されおり、洒落たソフトウェアの一部である。LINUXのファンは、Microsoftの著作権問題を指摘するだろうが、含まれているソフトウェアの観点から、Windows Media CenterはUBUNTUに含まれているアプリケーションを凌駕している。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
ソフトウェアとアプリケーション
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

　UBUNTUはソフトウェアを追加するための新しいソフトウェア（Software Center）を用意した。

　ソフトウェアのこの観点では、UBUNTUはiPhoneのようである。あなたがしたい殆どのことのためのアプリケーションが存在する。しかしながら、MacやWindowsで使用していたアプリケーションからの移行を学ばなければならない。LINUXに切り替えようと思っている人々のために、Osalt.comは汎用の商用ソフトウェア代替のオープンソースソフトを探すための良い場所である。UBUNTUはOffice代替スイーツとしてDefaultでOpenOfficeをインストールしている。Defaultインストレーションはワードプロセッサ、スプレッドシート、プレゼンテーションソフト、データベースアプリケーションを追加する。UBUNTUはまた、GIMP画像加工ソフトもインストールする。GIMPは完全版であるが、そのインターフェイスには戸惑わされる。Appleが同梱している画像処理ソフト類似のソフトとして、UBUNTUはF-Spotを同梱している。
　Windows 7ユーザはMicrosoft Officeを購入するか、OpenOfficeやGIMPをダウンロードする必要がある。Windowsユーザは、E-MailクライアントとしてOutlookを使用する。UBUNTUはEvolutionを同梱している。このソフトはメールクライアントの他にカレンダー機能も持っている。
　UBUNTU 9.10は標準でFirefox 3.5（現在、グラフィカルでマルチプロトコルなインスタントメッセージングクライアント付きで出荷されている）を同梱している。エンパシーは多くのインスタント・メッセージングシステム（幾つか例を挙げると、AIM, Gtalk/Jabber, MSN and IRC）で動作する。
　Windows 7は、MSNメッセンジャーを有し、以前のバージョンから多大な改善がなされたInternet Explorer 8を同梱している。
　他のアプリケーションをインストールするために、UBUNTU 9.10は、追加と削除ソフトウェア・アプリケーションをSoftware Centerと呼ばれる更新されたツールに変更した。あなたは山の如きアプリケーションで溢れている場所を検索できる。
　他のソフトウェアソースはSkypeやGoogleのようなソフトウェアをインストールするために追加できる。これは複雑な操作ではない。
　Windows 7は、画像を取り扱う簡単なアプリケーション、基本的な編集を実行するための簡単なアプリケーション、能力の高いマルチメディアソフトウェア、インターネットブラウザを同梱している。それ以外に関しては、ユーザは購入を必要とする。けれども、多くのLINUX用オープンソースアプリケーションがWindow上でも使用できる。

結論：

　ダウンロードするための大きな範囲のソフトウェアパッケージを準備していることでUBUNTUに勝利を言い渡す。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
オンライン・ストレージサービス
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

　UBUNTU Oneは、デスクトップフォルダ同様に見えるストレージである。

　（【訳注】この記事が書かれた時点での）UBUNTUの最新版（ver 9.04、Jaunty Jackalope）は、このオープンソース・オペレーティングシステムに対し、多くのクラウド・コンピューティング機能をもたらした。OpenNebulaとEucalyptusは、プライベート・パブリック・ハイブリッドクラウドを構築するために柔軟性あるシステム管理ツールである。

　【訳注】クラウドについて
　クラウドには複数のタイプがあり、クラウドの展開にも、サービスの共有方法によって複数の方法がある。
パブリック・クラウド
サード・パーティによって運営される。クラウド内のサーバ、ストレージ・システム、その他のインフラストラクチャ上に多数の異なる顧客のジョブが混在することがある。エンド・ユーザは、自分のジョブが実行されるサーバ、ネットワーク、またはディスク上に、自分以外に誰がいるのかを知らない。
プライベート・クラウド
これは単一の顧客が所有するものであり、どのアプリケーションをどこで実行するかは、その顧客が管理する。サーバ、ネットワーク、ディスクは顧客が所有し、インフラストラクチャの使用をどのユーザに許可するかもその顧客が決める。
ハイブリッド・クラウド
パブリック・クラウドとプライベート・クラウドを組み合わせたもの。顧客はインフラストラクチャの一部を所有し、それ以外は他の顧客と共有する。ただしその共有は顧客が管理する。

　この追加で、UBUNTUはAmazonのEC2クラウドコンピューティングサービスを簡単に利用できるようになる。しかしながら、この追加は一般ユーザではなくシステム管理者を狙いにしている。
　UBUNTU 9.10はUbuntu Oneサービスで多くの人々にクラウド・ストレージを提供している。これは簡単で良く統合されている。ファイルを保存するときは常に、Ubuntu Oneに直接ファイルを保存するオプションを持っている。ストレージの2GBまでは無料である。それを越えて使用する場合は有料となる。
　ユーザは他の人々とファイルを共有でき、そのファイルは簡単に他のコンピュータから（UBUNTUが稼働していないコンピュータからでさえ）利用可能である。しかしながら、SafariでMacBook上のUbuntu Oneアクセスに幾許かの問題を持ったが、オープンソース・ブラウザであるFirefoxからは良く動作した。このサービスはベータなので、多少の問題は予期していた。
　Appleは以前から、.MacとMobileMeサービスを持っている。MicrosoftはWindows備え付けのサービスとして持っていない。

　私は誤りを認める。Microsoftはクラウド・ストレージ・アプリケーション（Live Mesh）を持っていた。この機能は、デスクトップシェアリング機能も持っている。

　[UPDATE]　評論家のsnipsnipは私に思い出させてくれた。Microsoftは、Live MeshやSkyDriveと呼ばれるリモートストレージやリモートデスクトップを持っている。SkyDriveは25GBの保存領域をフリーで提供している。この機能は、Ubuntu OneのようにOSに未だ統合されていない。しかし、Microsoftは市場独占の理由から、OSにどのように統合するか精査中である。これは幾分クロスプラットフォームである。Ubuntu Oneのように、ユーザはブラウザ経由でアクセスできる。しかしながら、その機能の幾許かはMicrosoftのSilverlightに依存する。

結論：

　このカテゴリでもまたUBUNTUに軍配を揚げる。Microsoftは未だ実際に、この機能に関する対応策を持っていない。[UPDATE]　MicrosoftはLive MeshとSkyDriveという対応策を持っている。Live Meshは、Ubuntu Oneがスタートアップ直後から統合されているように、完全に統合されていない。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
使い易さ
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

　これは主観的判断である。私はこの二年間UBUNTUを使用してきた。そして、相対的に使い易いと判断した。しかしながら、新しいOSに引っ越すのだから、学習曲線は存在する。LINUXファンは、しばしばこのことを軽く扱う。UBUNTUは使い易さの点で大きな一歩を踏み出したが、平均的ユーザは、この時点では未だまごつくだろう。
　新しいソフトウェアソースが追加されたので、大多数の平均的ユーザが理解困難だったSkypeやGoogle Earthのようなアプリケーションを簡単にインストールできる。LINUXのユーザインターフェイスは、この十年で大きな進歩を遂げたが、Mac OS XやWindows 7上のソフトウェアに未だ遅れをとっている。
　Windows 7はXPユーザのために調整されるだろう。Vistaユーザは、より高速に、よりスムースに、そして、あなたの選択にあれやこれや言うポップアップに悩まされることが少なくなったことを別にすれば、変化に気がつかないだろう。

結論：

　Windowsは未だ重要な仕事に関しLINUXより容易である。前にも言ったように、これは私が平均的コンピュータユーザが実行するであろう仮定を基にした主観的選択である。私はUBUNTUに使用上の問題を感じていないが、私はこの二年間に渡って、その使い方を学ぶためにかなりの時間を費やした。大多数のユーザは動作する物を望んでいる。UBUNTUは多くの進歩をしたが、Microsoftはそのゲーム同様進歩した。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
最終的結論
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

　Windows 7はWindows XPの立派な後継者である。Vistaは良く知られているフローを持っていた。このことが多くのユーザがXPを決して置き換えないこととなった。Windowsソフトウェア中の多くの資本にとって、多分他の場所を探す理由は存在しない。Widnows 7は、価値あるアップグレードである。大多数の人々は、実際にOSについて考えることはなく、ただ使用しているソフトウェアがWindows上で稼働する理由でWindowsを使用している。
　Windowsの世界に拘っていない人にとって、UBUNTUは代替物を探している人々にとって価値あるものに見える。Mac OS X、Windows 7、UBUNTU 9.10の使用価値を減じると思う私の結論は、消費者が機能、パワフルさ、OSの使い易さに関して多くの選択肢を決して持っていないことである。LINUXユーザはUBUNTUはLINUXディストリビューションの一つに過ぎないということを早晩指摘することになるだろう。私はブロードバンドを得て直ぐから凡そ10年頻繁にLINUXを試した。しかし、UBUNTUに至まで数日間でギブアップした。UBUNTUは概して使い易い。現代的OSであり、あなたがかけるコストはダウンロードするための時間だけである。

Microsoft: CryptoAPIの修正パッチをリリース
The H : Security (2009/10/30)

　Microsoftは、10月の定例パッチ日で配布したWindows用MS09-056 CryptoAPIアップデートの問題の解決策をリリースした。なりすまされたSSL認証プロセスを防止するために設計されていたこのパッチは、幾つかのシステム上の重要なサービスに誤動作を発生させた。結果として、Live Communications Server 2005、Office Communications Server 2007、Office Communicator 2007の評価版もまたアクセス不可能になった。ユーザはもはやこのサーバーに接続できない。
　ocsasnfix.exe（直リンク）プログラムは、クライアントとサーバー両方の誤作動を修正する。ナレッジベースの記事において、Microsoftはプログラムの起動方法と何らかの他のアクションが必要であるかもしれないことを説明している。
　Redmond（【訳注】Microsoftと同義）はまた、Office Access Runtime 2003での問題を修正するためMS09-043をリリースした。Windows Server Update Services (WSUS)経由でアップデートを探すことは、ユーザに間違った安心感を与え、信頼できない結果を与えることになった。
　MS09-062もまた訂正され、ダウンロードも再リリースされた。

Windows 7に切り替える利点と欠点
Windows Seacrets : Newsletter (2009/10/22)

　Windows 7へのアップグレード（今や数時間前から利用可能になっている）について塀の上に未だ座っているのなら、私は両足で飛び込むにたる八つの理由であなたを喜ばしたい。
　私はまた、少なくとも暫くの間、新しいOSを棚晒しにした方がよいとする三つの可能性も述べる。
　あなたは、Windows 7の派手な売り込みを読んだ後、この新規リリース中に実際に改善された確固たるコアを見出すだろう。Windows 7には、それを適用すべきと叫ぶ多くの特徴があり、そして、VistaもしくはXPに止まるべきとされる少数の特徴がある。　

・8. Windows 7は見ていて心地良い

　偽り無く、装飾的な壁紙と可愛いアイコンにまごつく段階を越えて、どのように見てもWindows 7は衝撃的である。それ自身を変更する壁紙から、時計付近の領域で確固として制御されたアイコンのグループに至るまで、Windows 7は、利用者が必要とする場所に、最も必要なものを配置する。このOSはまた、不要な物を邪魔にならないところに移動する。
　Windows 7にはサイドバーが無いので（なくなって清々した）、Windows 7のガシェットはデスクトップの高級地区に移動している。この場所は、移動、リサイズ、そして、上手くそれらにスナップすることができる。

・7. アクションセンターは、小煩い機能を一括して置いてある

Windows XPとVistaは、猛烈に重要な情報を撒き散らすことで悪名高かった。同時に（全くひねくれて）、ユーザがXPやVistaにインストールしている全ての2ビットアプリケーションは、何等かの仕事を実行しようとしている最中に、注意をそらす悩ましいメッセージをポップアップした。
　Windows 7は、アクションセンターに殆ど全ての相互作用機能を集中することで、厳しい負担を最小に減少した。そう、このアクションセンターは以前のセキュリティセンターを根源とするが、完全に成長している。
　アクションセンターは、情報、警告、しばしば悩ませる通知のための交通警官として提供されている。ユーザが見るであろう唯一の警告は、ポップアップウィンドウではなく、通知領域（時計の近辺）中のフラグ（指示により赤や黄色になる）である。
【訳注】アクションセンターは、セキュリティ センター、問題のレポートと解決策、Windows Defender 、Windows Update 、診断、ネットワーク アクセス保護、バックアップと復元、回復、ユーザー アカウント制御を一元化したもの。

・6. Windows 7のセキュリティは、より強固に、そして押し付けがましくない

　セキュリティ機能は直ぐに面倒になる。Windows 7はVistaよりクラックすることが明らかに困難であると言えば十分だろう。このことはXPより侵入に命令と多大なタフさがいる（Internet Explorerと .NET Frameworkは顕著な例外である）。
　挑戦的なVistaのユーザ・アカウント・コントロール（UAC）と比べ、Windows 7中の同等の機能は纏められ、より厳しく状況の制御を始めている。ユーザは簡単に設定できる。大多数の人々に関して、セキュリティはWindows 7ではVistaのように（そして、XPのように透過的でない）、それほど厄介なものではない。

・5. ユーザはPCに問題を発生させた事態を映像化することができる

　Windows 7の新機能Problem Steps Recorder (PSR、問題ステップ記録ツール)を確認していないのなら、自分自身で試してみなさい。スタートをクリック、ファイル名を指定して実行で、psrと入力し、OKボタンをクリックする。この小さなユーティリティはスクリーン上のあらゆる事を記録する（あなたがタイプした物を除く）、驚いたことに。実行したら、PSRはInternet Explorer中で開始され、再生できるMHTMLファイルを吐き出す。
　VistaのSnippingツール（Windows 7でも利用可能。【訳注】スクリーンキャプチャ）のように、一旦PSRを試みたなら、それなしではいられないだろう。

・4. 検索機能ーやっと

　Windows XP備え付けの検索機能は遅く、苦痛であり、酷い冗談のようである。Vistaでは、検索は少なからぬ努力を伴った。たまに役に立つが、ずっと信用できなかった。
　Windows 7で、Microsoftはやっとのことで、OSそれ自身に検索機能を織り込んだ。顕著なシステムオーバーヘッドはなく、検索は恐ろしいほど速く進行し、最も重要な結果は正確である。
　ユーザはWindows 7の様々な所から検索機能を起動できる（スタートメニュー、コントロールパネル内部、Windowsエクスプローラ中）。幾許かの特異性（偽りの、ワイルドカード検索や単語の先頭文字がマッチするテキスト検索）は存在するが、Windows 7の検索機能は、大抵あなたが探している物を発見する。

・3. デバイスの制御が改善されている

　Windows 7は、全てのデバイス（プリンタ、MP3プレイヤー、電話、キーボード、マウス、ファックス、その他コンピュータに接続できる全てのもの）の制御を集約化している。この制御は全て、デバイスステージと呼ばれる場所に存在している。
　デバイスステージの革命的部分は、そのデバイスの全てを知っているということではない。Windowsは数年間様々なデバイスとプリンタタイプの機能を持っていた。デバイスステージは、そのメーカーが直接そのデバイスに接続するためのドライバを書けるようになった点で異なっている。
　接続しているハードウェアを制御するため10の異なった場所に10の異なったプログラムを持つことに飽きているのなら、今日どんどん終わりに近づいている。デバイスに伴うジャンキーな小さなプログラムもまた消滅するだろう。少なくとも、私はそうなることを希望する。有料のドライバ・アップデート・ユーティリティよ、さようなら。

・2. Windows 7のライブラリは、マイドキュメントを打ち負かす

　5月14日のトップストーリーでWindows 7のライブラリ機能について最初に説明した。ライブラリはファイルを纏めることを排除しない。もっと楽にする。ファイル追跡が大変簡単に、ファイルを正しい場所に置けるようになっている。
　「整理整頓」母が言っていたように。Windows 7のライブラリでファイル管理は以前よりずっと簡単になった。

・1. ホームグループは共有機能を安全、高速、楽しくしている

　衝撃的な設計。Windows 7のホームグループは、アクセス可能なファイル、プリンタ、メディアを、あなたのネットワーク上の、あらゆる他のWindows 7のPCと共有するオプションの全てを結合したものである。
　5月14日のトップストーリーで説明したように、ホームグループはWindows 7のPC間でのみ動作する。XPやVistaとの類似点は無い。まだ、Windows 7のPC間での共有は、それ程簡単では無い。

Windows 7が、あらゆる人のもので無い三つの理由。

　この様なそして、他の先進性にも拘らず、Window XPとVistaのユーザが、現在のOSに止まるための少なくとも三つの適切な理由がある。

・3. あなたのコンピュータの調子が良くないのなら、興味を示すな

　Windows 7のハードウェア・デマンドはVistaのそれより厳しくないので、単純にWindows 7を適用できない夥しい数のPCが存在する。
　以前説明したように、メモリを2GBまで増強し、パワフルなグラフィックボードを差し込むことで三・四年前のデスクトップPCをWindows 7に変換できるかどうか述べた。私はこの方法で幾多のWindwos XPデスクトップを改造した。その結果は驚くべきものだった。僅かな刺激と数百ドルで、この様な古いPCはXPより高速にWindows 7を稼働した。
　しかし、あなたのデスクトップもしくはラップトップマシンが数年以上前のマシンであるのなら、Windows 7をサポートするためにハードウェアをアップデートすることは、その価値以上に多くのトラブルを発生させるだろう。
　努力するな。

・2. ハードウェアやソフトウェアがXPを要求しているのなら、そのOSに止まりなさい

　Windows 7　ProfessionalとUltimate版に備え付けられているXPモードは、仮想環境ベースでのXPの実装である。XPモードはWindwos 7の便益に与りたい大会社にとって有用であるが、Windows XP下でのみ動作するハードウェアとソフトウェアで辛抱しなければならない。
　しかしながら、典型的なホームユーザや中小企業ユーザにとって、XPモードはイラつく元である。私の忠告？　Windows 7アップグレード・アドバイザ（このソフトはMicrosoft Windows 7のサイトからダウンロードできる）が、あなたのPCはWindows 7に互換しないと指示したなら、マシンのソフトウェアやハードウェアをアップグレードするか、システム上でWindows 7を稼働することを諦めるかのどちらかである。人生はあまりにも短い。

・1. 触らぬ神に祟りなし

Windows XPやVistaに止まるべしとする最も有力な論議が以下である：　今持っているWindowsが、必要なあらゆる事を実行しており、あなたがルートキットや他の不可視のマルウェアにあなたのマシンを上手く利用されているということを殆ど心配していない。このケースでは、Windows 7に身を乗り出すための説得力ある理由は存在しない。
　オペレーティングシステムを置き換えることは、自己管理の脳移植手術に比べれば多少簡単であるが、未だ誰でもできる簡単なことではない。多くの場合、Windows 7へのアップグレードはスムースに進行する。伴う多少の苛立ちは、例えば、多分古いプログラム用のインストールCDを発見できないことであったり、パスワードを書き留めることを忘れていたりである。
　低いパーセンテージではあるが、Windows 7のインストレーションは最終的に失敗する。彼らの発言には、色々ある。いかなるアップグレードも潜在的に災難を含んでいる。Windows 7も免疫はない。
　システムをアップグレードする事で夜も眠れないの？　悩むな。
　悪くなるかもしれない新しい何かを処理するより、例え、それを好まなくても、あなたが知っている何かを処理する方がベターである。

TrueCryptを欺くツールが公開された
The H : Security (2009/10/19)

　セキュリティエキスパートJoanna Rutkowskaは、TrueCryptで暗号化されたハードドライブに攻撃者がアクセスを取得するために使用できるツールを開発した。Rutkowskaが実装したトリックは簡単なものである。原理はこのところ知られていた。彼女は復号化するために入力されるパスワードを嗅ぎ回るキーボードロガーを書いた。取り分けそのプロセスをユーザフレンドリにするために、彼女は USBドライブ上でロードされるあるイメージを考えついた。USBドライブが暗号化されたラップトップに挿入され、そのラップトップがUSBドライブからブートされたなら、この悪意はハードドライブのブートローダに感染し、パスワード検索メカニズムを手に入れる。
　次回、このノートPCがブートされたとき、スニッファーはパスワードを入手し、それを保存する。その後のある時点で、攻撃者はラップトップへの更新されたアクセスを取得しなければならず、USBドライブからそれをブートしなければならない。このコードはシステムが既に感染させられており、嗅ぎ回ってパスワードが抽出させられていることを検出する。盗人はラップトップを通常通りブート、もしくは単純コピーでき、USBドライブからロードされるOSを使用してハードドライブを復号化できる。
　Rutkowskaは明らかにTrueCrypt（オープンソースソフトウェア）の新たな脆弱性を発見していない。結局、攻撃のシナリオはよく知られ、実証されているものである。実際、このアプローチは他のタイプのハードドライブ暗号化ツール（商用のPGP Whole Disk Encryption等）に対しても使用できる。むしろ、このセキュリティエキスパートは狡賢く古傷を開いて見せた。この様なシステムのセキュリティは、巧みな操作に対し防御する実体が、ブートしている間、全てのコンポーネントの完全性をチェックする場合にだけ保証することができる。例えば、認証のためのTrusted Platform Module (TPM)を使用しているシステムは、そうしなければならない。
　BIOSがパスワードで防御していたり、マシンが唯一インストールされているハードドライブからだけブートされるなら、この様な攻撃は少なくともより困難にされる。しかし、攻撃者はそれを削除することによってハードドライブを未だ巧みに取り扱うことができる（感染用の他のコンピュータにそれを接続し、次にそれを再インストールする）。

ASCIIアートスパムが回帰している
McAfee : Avert Labs Blog (2009/10/19)

　スパマーは常にスパムフィルターを打ち砕くテクニックを探している。我々は様々なスパム用テクニック（言葉の難読化、画像中へのテキストの埋め込み、なりすましURL、ソーシャルネットワークサイトの悪用、その他スパムを捕獲される事を回避する多くのテクニック）を見てきた。
　スパムフィルターを煙に巻くために使用されるそのようなテクニックの一つがASCIIアートである。ASCIIアートは、文字を使用してイメージを表現する巧妙な方法である。文字によるイメージの表現は、グラフィック表示に関するコンピュータの制限を克服するため随分前に実行された。

例。

REPLICA のASCIIアートは省略する。

　優れた点は、各行がREPLICAという言葉のいかなる部分にも共通点の無い"_"と"|"付きのランダムな文字で構成されていることである。我々が完全な絵を念頭においたならば、人間の目はそれを言葉として読むことができる。スパマーはスパムフィルタを通過するためにこの特徴を利用し、人間にとって明らかに可読なので、目的のメッセージを配布しようとしている。
　言葉をこの手法で表現するだけでなく、そのドメインのブラックリストへの登録を回避するために、URLでさえこの方法で表示することができる。
　ASCIIアートスパムは言葉でない文字だけに限定されない。数字、アルファベット、その組み合わせであることもできる。このことはスパムフィルターにとって大変悪いことである。

CHIALS のASCIIアートは省略する。

　上のE-Mailで、我々はスパマーが、医薬品の宣伝をそれぞれの単語を使用せず、メッセージを伝えることに成功しているしていることを確認できる。
　我々は以前数回このスパムテクニックを確認しているが、そのようなスパムは消滅していた。しかしながら、最近再びこの種のスパムテクニックが増加していることを確認した。McAfeeの顧客はこのタイプのスパムテクニックから保護される。

おめでとうMozilla
Secunia : Blog (2009/10/16)

　皆さん、ソフトウェアベンダがサードパーティ製ソフトウェアの支援と促進のためにサービスを立ち上げた事は素晴らしいことです。
　ユーザに安全でないソフトウェアのアップデートを支援するMozillaの主導性に対して多大な賞賛を贈る。
　我々はMozillaのようにユーザに彼らのソフトウェアアップデートをさせる戦いに参加するプレイヤー（ソフトウェアベンダのみならず、インターネット・サービス・プロバイダ等）を切に希望する。
　安全でないソフトウェアは、インターネット上の全てのユーザにとって、現在最も大きなリスクとして存在する。それらが個人、中小企業、大企業、政府に関わらず。それら全てが、脆弱性あるクライアントシステム上で、複数のアプリケーションとプラグインを起動している。そして、悪い奴等に容易な方法を提供している。
　残念な事に、大変少数のユーザ、アドミニストレータ、最高経営幹部、監督機関等だけが、古く、安全でないソフトエアが普通の正当なインターナットサーフィンで攻撃される可能性があることを認識している。そして、PC上の古く安全でないソフトウェアを使用することは、幾多の攻撃に対して防御できない。彼らだけが、そのような旧態依然としたソフトウェアに関心を抱いている。
　「パッチされていないことでの脆弱性は、ターゲットにされ、多大な伝搬の脅威の主たる感染源である。この攻撃ベクトルに対する最高の防御は、素早く効果的にパッチすることである」と2009年9月のCartnerのレポートにある。
　あなたが11,000アップデートできるのに、僅かなプラグインもアップデートしないのは何故だろうか？　Mozillaの構想で唯一不都合な点は、スコープが狭いことである（Mozilla Plugin Checkは、極めて僅かなサードパーティー製ブラウザプラグインのみカバーしている）。
　無料提供されているSecunia PSIは、11,000以上のプログラムとプラグインを検出し、全てのブラウザ、そのプラグイン、同様にOfficeスイーツ、メッセージング・ソフト、他のプログラムのアップデートを支援している。
　それにも拘らず、Windowsアップデートの使用やブラウザのアップデート以上にユーザにアップデートの勇気を与えるこのミッションに他の会社が参加することは素晴らしいことである。
　悪い奴等と彼らのマルウェアとの闘いの時であり、アップデートの時である。
　セキュリティパッチを充てることは、アンチウィルスプログラムとパーソナルファイアーウォールを持つこと以上に重要なことである。
　安全を維持せよ。

ADOBE：　ReaderとAcrobat中の29の深刻なセキュリティホールにパッチ
The Washington Post : Secuity Fix (2009/10/13)

　Adobeシステムズは、この火曜日、Adobe AcrobatとReader（フリーのPDFリーダー）中の少なくとも29の個別のセキュリティ問題を修正するために、それらの新バージョンをリリースした。
　このプログラムのどちらか（もしくは、両方）をインストールしているのであれば、これらのアップデートに時間を取ろう。Adobeは、ハッカーが既に脆弱性あるシステムに侵入するために、少なくともこれらのフローの一つを攻撃していると警告している。
　Adobe ReaderとAcrobatのバージョン9.1.3とそれ以前のユーザは、バージョン9.2にアップデート（このリンク先のソリューションのセクションで利用可能）すべきである。アップデートは、Windows,Mac,Unixバージョンが利用可能である。
　Adobeは、何等かの理由で、このソフトウェアの古いバージョンで止まる必要があるユーザに対し、幾つかの特別なアドバイスを用意している。この会社は、Acrobat 8.1.6とそれ以前のバージョンのユーザは、Acrobat 8.1.7にアップデートすることを、Acrobat 7.1.3とそれ以前のバージョンのユーザは、Acrobat 7.1.4にアップデートすることを推奨している。Adobe Reader9.2にアップデートできないAdobe Readerのユーザについては、Adobe Reader 8.1.7と7.1.4へのアップデートを提供している。

日本の高等裁判所、ファイル共有ソフトウェアの開発者に逆転無罪判決
The Gurdian : News＞Technology＞Internet (2009/10/08)

　【訳注】外国では、この判決がどのように報道されているのか？　その興味から。
＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

　日本の高等裁判所は火曜日、Winnyと呼ばれるファイル共有ソフトの開発者に逆転無罪判決を言い渡した。
　この高等裁判所は、2006年に地方裁判所が課した金子勇被告（39歳）への160万円（【訳注】日本の報道では150万円）の罰金を覆した。、名前の公開を辞退した法廷当局者によると、彼は開発ポリシーを主張していた。
　 　「今日の判決は、私だけでなくコンピュータテクノロジの開発を萎縮させられていたコンピュータ技術者にとっても有益である」と、金子氏は大阪（西日本）の裁判所の外での記者会見で話した。
　金子氏のプログラム（Winny）は、ユーザがIPアドレス（オンラインにおける電話番号同等のもので、オンライン上での著作権のあるファイルを不法交換している疑わしい人々を追跡して捕らえるために、著作権の所有者によって使用される）を明かにすることなしにファイルを交換することが可能である。デジタルコンテンツの提供者は、Winnyはユーザに自由に彼らの著作物へのアクセスを与えることで、彼らの著作権を侵害していると発言している。
　金子氏（高名な東京大学の元助手）は、2004年に逮捕された。彼は日本において最初に逮捕されたファイル共有ソフトの開発者となった。彼はWinnyでインターネット上の著作物を配布していた二人のユーザを幇助していたことを否認していた。
　2006年の判決では、裁判官はWinnyが犯罪を幇助したと発言していた。日本における著作権法違反は、3年の懲役もしくは、最大300万円の罰金を課すことができる。
　しかし、共同ニュースによると、小倉正三裁判長は「被告人が著作権侵害に使わせるように提供したと認めることはできない」と述べた。
　社団法人コンピュータソフトウェア著作権協会（ACCS、東京を本拠とする220以上のコンピュータソフトウェアメーカーの業界団体）によると、凡そ20万人のユーザ（大多数は日本人）が毎日Winnyを使用しているとしている。
　この団体は、この判決に「遺憾の意」を表明している。「そのネットワークを通じて著作権侵害行為が蔓延することは火を見るより明らかである」との声明を発表している。

　この逆転判決は、他の国における最近の判決に逆行している。ファイル共有サイトや違法な共有コンテンツを稼働している人々が、罰金の支払いを命じられるケースがアメリカで急増している。更に、音楽を海賊していたグループ（Apocalypse Production Crew）の数人のメンバーが、著作権法違反で有罪判決を受けた。極最近、ある男性が、このグループと関係していたことで18ヶ月の懲役を言い渡された。スウェーデンでは、The Pirate Bay（世界最大のファイル共有場所の一つ）に接続していた四人の男達が、著作権法の侵害行為を煽ったためにこの6月、1年間の懲役を言い渡された。彼らはまた、3000万クローナ（【訳注】凡そ、3億5千万円）の罰金を課せられた。この判決は現在上告中である。

いすず自動車のトルコの公式サイトがハックされた
Websense : Security Labs (2009/10/08)

　Websense Security Labs ThreatSeeker Networkは、トルコのIsuzu（いすず自動車）の公式Webサイトが改竄され、悪意あるiFrameリダイレクタが挿入されていることを発見した。Isuzuは、取り分けアジア・ヨーロッパ地域において著名な日本の車輌・トラック製造メーカーの一つである。
　以下に、そのサイトの画像とiFrameを示す。

　以下略。

Adobeユーザは再び攻撃に曝されている
The H : Security (2009/10/09)

　Adobeは、Windows, Macs, Linux向けのAdobe ReaderとAcrobat 9.1.3にセキュリティホールがあることを警告している。先と同様に、このセキュリティホールは、Adobeがパッチをリリースする前に、既に攻撃が開始されている。Adobeは、現在の0-Day攻撃はWindowsシステム向けで限定的なものであるとしている。
　Adobeは、全てのプラットフォーム向けにReaderのアップデートバージョンを、来るパッチの火曜日（10月13日）にリリースすることを計画している。推奨される解決策は、現在の脆弱性攻撃を成功させないために、JavaScriptを無効化することである。しかしながら、このセキュリティホールは（【訳者挿入】JavaScriptを要求しないので）JavaScriptなしでも、攻撃が成功することは明らかである。DEP（【訳注】データ実効防止）を有効にしているWindows Vistaシステムは免疫があると言われている。
　あらゆる兆候がバッファオーバーフローを示しているので、他の解決策として、Adobeのソフトウェアの代替として、Foxit Readerのような別のPDFリーダーを使用することである。この脆弱性攻撃はAdobe Readerに向けられているので、伝えられているところでは、たとえ代替PDFリーダーにこのセキュリティホールが存在したとしても、攻撃は不成功に終わるだろう。Internet Storm Centerによれば、PDFファイルをPostScriptに変換した後、再びPDFに戻すことによって浄化可能である（【訳注】Internet Storm Centerは、この手法は100%確実では無いとも説明している）。

【訳注】Adobeセキュリティアドバイザリはこちら。

山の如きHotmailパスワードがオンラインにポストされた
The Washington Post : Security Fix (2009/10/05)

　MicrosoftのHotmailサービスのユーザなら、おそらくパスワードを変更する時期だろう。Microsoftは月曜日に、数千のHotmailアカウントが、この週末オンラインにポストされたと発言した。
　Windows Live Spaceブログにポストされた声明において、Microsoftはデータの漏洩はMicrosoftの内部データが露にされた結果ではなく、おそらくフィッシング詐欺による盗品であると発言している。
　Microsoftは、露見したアカウントの全てをブロックする措置を取っている最中であり、アカウントを再請求するユーザを支援する手段を取っている。Microsoftは、彼らの情報が不正なリストに掲載されていると信じているユーザ（即ち、あなたが最近フィッシング詐欺の餌食になったと信ずるに足る理由がある）は、このフォームを埋めることでアカウントへのアクセスを再請求できると発言している。
10月は"Cyber Security Awareness Month（【訳注】サイバーセキュリティ強化月間）"である。読者（取り分け、Webmailアカウントに関係ある人々）に最も有効なパスワードについて考えさせることは名案といえる。

　ーー　あなたのアカウントの代替E-Mailアドレスをセットアップしなさい。大多数のフリーのWebmailプロバイダ（Hotmail, Gmail, Yahoo!を含む）は、この機能を提供している。この機能には、通常ユーザアカウント設定の下からアクセスできる。この方法は、もしも誰かにあなたのパスワードを盗まれたなら、「リセット用パスワード」のリンクを代替E-Mailの受信箱に送信すればリセットできる。あなたが自身のHotmail受信箱を人質に取られていたり、それに対するアクセスへの回復を強要されたりしているような、誰からも羨まれない立場にいるのなら特に有用である。

　ーー　他のサイトで使用しているパスワードをE-Mailパスワードとして使用するな。その別のサイトがハックされたなら、攻撃者はあなたのE-Mailアドレスを知るだけでなく、E-Mailパスワードも知ることになる。パスワードとユーザ名を入力するように要求する大多数のオンラインフォーラムは、あなたの個人情報やファイナンシャルデータを登録しないように発言しているページを提供している。

　ーー　幾つかの人気あるWebmailアカウントパスワード改竄は成功している。この理由は、犠牲者が、パスワード リセット セキュリティ機能として多くのサイトが使用している「秘密の質問と答え」に、容易に推測できる解答を使用していることにある。しばしば、この質問は、ソーシャルネットワーキングとオンライン顧客データベースのこの時代に、それほど重要ではないと思われる個人情報を要求する。この選択を行ったなら、あなたは一意の質問と答えを作成する。あなたが予め用意されている質問のリストから選んだのなら、あなたにとって笑えるが意味のある途方もない答えにすることを考慮しなさい。

　ーー　パスワードにあなたのユーザ名を使用するな。

　ーー　"password"のような、簡単に推測できるパスワードを使用するな。

　ーー　誕生日、社会保障番号、電話番号、家族の名前のような予測できるデータを基にしたパスワードを選択するな。

　ーー　幾つかの言葉・数字・記号・大文字と小文字を組み合わせて一意のパスワードを作成しなさい。強固で忘れにくいパスワードを構築する一つの方法は、お気に入りのフレーズの各言葉の先頭の文字を使用することである。例えば、"The ratio of people to cake is too big,"だと "Troptcitb"という素敵で楽しいパスワードになる（特に、大文字を含んでいるのなら）。

　ーー　パスワードを書き留めることが必要なら、この情報を暗号化するpassword vaultツール（Password Safe, Keypass, Roboformのような）にそれらを保存しなさい。MacユーザはOSに備え付けでこの機能Keychainを持っている。この機能は、ある場所にユーザパスワードを格納し、マスターパスワードやパスフレーズ経由でそれらへのアクセスを可能にする。

Microsoft Security Essentialsでの検索結果に注意せよ
Websense : Security Labs (2009/09/30)

　Websense Security Labs "ThreatSeeker" ネットワークは、Microsoftが最近リリースしたSecurity Essentialsツールのダウンロードに関する情報の検索結果に、偽のアンチウィルスをサーブしているリンクを戻してきていることを発見した。
　マルウェアの製作者は、正当なサイトの中にインチキの検索結果を混ぜるために、検索エンジン最適化テクニックを使用している。例えば、偽リンクの一つは、Microsoft Security Essentialsについて論議しているMSDNブログエントリの下に存在している。インチキのリダイレクトは改竄されたWebサイト（カナダの出版社のWebサイトとBritish Travel Health Association）上にホストされている。
　ユーザが改竄されたWebサイト（検索エンジンによって返されたものである限り）をブラウズすると、ユーザはcomputer-scanner21やcomputervirusscanner31のようなドメイン名の悪意あるWebサイトにリダイレクトされる。
　悪意を搭載したファイルの一つの例は、アンチウィルス検出が高くないことを示している。そのようなファイルの一つは、Soft_71.exe (SHA1: 4e58a12a9f722be0712517a0475fda60a8e94fdc)と名づけられている。ユーザがこのアプリケーションをダウンロードしたなら、.tif 拡張子のファイルが"program files\TS"ディレクトリにTSC.exeとsystem.datとしてダウンロードされる（.tifファイルは復号/解凍され、分割される）。この悪意の総体は、次に"tsc.exe -dltest"を実行し、明らかにNASAのWebサイトに接続し、インターネット接続をチェックする。最後に、"tsc.exe"は、パラメータなしで実行され、インチキのアンチウィルスを開始する（バックグラウンドで、オリジナルファイルは削除される）。
　昨日以来、Websense ThreatSeekerネットワークはMicrosoft Security Essentialsに関連した検索用語中の毒ある検索エンジン最適化を監視している。マルウェア製作者は今日、明らかにインチキのアプリケーションを配布するためのリダイレクトを変更する前に、検索エンジン最適化毒テクニックの稼働を試すことをセットアップしている。

Google検索結果のスクリーンショット。

インチキのアンチウィルスWebサイトのスクリーンショット

ダウンロードプロンプトのスクリーンショット

　Websense MessagingとWebsense Web Securityの顧客は、この攻撃から防御される。

Sophos：　Windows用フリーの暗号化ツールをリリース
The H : Security (2009/09/24)

　セキュリティ専業のSophosはWindows用で無料の暗号化ツールをリリースした。幾つかあるSophosのフリーツールの一つであるSophos Free Encryptionと呼ばれるこのツールは、ユーザがAES暗号化アルゴリズムを使用して、彼らのファイルを送信したり保管したりするために、簡単に暗号化し圧縮することを可能にしている。
　Sophosのプロダクトマネージメント副部長Chris Kraftによってポストされたブログによれば、大多数のユーザは彼らの情報を保護するために何も使用していない。KraftはE-Mailの本文で決して重要な情報を送信しないようにユーザに忠告している（ハガキを一般郵便物で送信した場合と比較しなさい。配送プロセスでハガキに触った人は誰でもが自由に読むことができる）。主なアプリケーションのインターフェイスに追加されることに加えて、ユーザはWindows Explorerコンテキストメニュー中の暗号化を起動させるために、ファイルやフォルダ上を単純に右クリックすることでSophos Free Encryptionの機能にアクセスできる。このツールは幾つかの標準的E-Mailクライアント（Lotus NoteやMicrosoft Outlookのような）に統合される。このツールは「平均的ユーザ」を主たるターゲットにしているが、同様に商用でもフリーで使用することができる。
　このリリースに関する詳細はSophos Free Encryptionデータシートに見ることができる。Sophos Free Encryptionは、Windows 2000, XP, 2003, Vista用のダウンロードが利用可能である。Sophosはまた、１ユーザライセンス当たり$39（サポートを含む）でSafeGuard PrivateCryptoと呼ばれる商用バージョンを提供している。オープンソースの代替暗号化ツールに興味のあるWindows, Linux, Mac OS Xユーザは、TrueCryptを考慮すべきである。

Google Chromeブラウザ
The PC Informant : Blog (2009/09/22)

　幾つかのインタネット用のブラウザがあるが、ホームPCユーザの大多数は、Windowsに最初から同梱されているためにIEから脱却しようとしない。Firefoxのようなブラウザをダウンロードしインストールすることは、単純で複雑なことはないプロセスであるが、IEの虜囚たる平均的ユーザには、小さなハードルでさえある。事実、多くのIEの虜囚たる平均的ユーザは、ブラウザが選択できるものであることさえ知らない。IEよりもっと優れたブラウザが存在することから、このことを不幸なことだと考える。
　個人的に、Firefoxで満足していたので、Operaや記事にされている他の代替ブラウザを試す必要性を感じていなかった。しかしながら、Google Chromeブラウザが、如何に高速であるかという多くのコメントを見るにつけ、Chromeに変更してみることを決定した。起動した。大変速い。私はおそらく恒常的に使用するだろう。Firefoxは多くのアドオンをもっているので、私のメインブラウザとして継続使用するだろうが、私はChromeを好む。Chromeのインストレーションは非常に簡単である。IEかFirefoxのどちらかから、好きな場所にインポートできる。
　ComputerworldへのGregg Keizerの投稿では、ブラウザのドラッグレースでWindowsでのライバルを葬り去るだろうと記している。彼の記述によれば：

　Googleの新版Chrome 3.0はWindowsブラウザのTop５中で最も高速である。ベンチマークが示しているように、Apple Safariを含む全てのライバルに大きく水を開けて勝利した。
　ChromeとSafariは共にオープンソースのWebKitブラウザエンジンを使用している。
　Computerworldによって実行されたテストによれば、先週GoogleがリリースしたChrome 3.0はWindowsのTop5ブラウザ中で最高速の製品バージョンであった。ChromeはMicrosoftのIE8の９倍、Opera 10の5倍、Firefox 3.5の2．5倍、Safari 4.0より30%速くJavaScriptをレンダーした。

　私が気に入らないことの一つは、GoogleのEULA（【訳注】End User License Agreement、使用許諾書）だった。個人的見解であるが、Googleに対する権利付与が大変広大である。あなたがプライバシに関してウルサイ人間であるのなら、Chromeをインストールする前に、EULAを読みなさい。ダウンロードのリンクはこちら。

****************************　【訳注】

　現時点で、Windows Vista/XP SP2 用のみ。
　Linux版は、開発中とのことです。　

VLCとFFmpegに脆弱性
The H : Security (2009/09/22)

　VLCの開発者は、幾つかの深刻な脆弱性を閉じた、彼らのオープンソース・メディア・プレイヤー（VLC）バージョン1.0.2のソースコードを公開した。人気あるメディアプレイヤーVLCのバージョン0.5.0から1.0.1までは、リモートから任意のコードを実行できるスタックオーバーフローの脆弱性が存在していた。攻撃が成功すると、犠牲者は、まず特別に細工された MP4, ASF, AVIファイルを開かなければならなくなる。パッチは、VLCのVLC source code repository 1.0-bugfix branch（ソースコード・リポジトリ 1.0-バグフィックス・ブランチ）で利用可能である。代替方法としては、ユーザがプラグイン・インストレーション・ディレクトリから、MP4, AVI, ASFデマルチプレクサ・プラグイン(libmp4_plugin.*, libavi_plugin.*, libasf_plugin.*)を手動削除するよう、開発者は忠告している。

　さらに、セキュリティ専門ファームSecuniaは、FFmpeg（ストリームオーディオと様々なフォーマットのビデオファイルの録音や変換に使用されるフリーのツール且つライブラリ・コレクション）に幾つかの脆弱性があると警告している。FFmpegは、VLCメディア・プレイヤー, MPlayer, Perianを含む人気あるオープンソース・ソフトウェア・プロジェクトによって使用されていた。この脆弱性は、NULLポインタ逆参照、ヒープオーバーフロー、リモートコード実行、DoS問題を発生させる様々なプロセスの範囲に及ぶ。Secuniaによれば、この脆弱性は、バージョン0.5で発見された。そして、他のバージョンもおそらく影響を受ける。

Microsoft：　Windowsのフローに関し、当座の修正をリリース
The Washington Post : Security Fix (2009/09/22)

　Microsoftは今週、幾つかのWindows PC中に現在存在する深刻なフロー（攻撃者が脆弱性あるシステムの制御をリモートからコントロールできる）に対し、一時しのぎのセキュリティ上の修正をリリースした。しかし、この脆弱性同様に怖いように思えるのが、Vistaユーザの中には、Microsoftの公式アップデートを待った方が良いかもしれないユーザがいることである。
　セキュリティ研究者が、攻撃者がこのフローの攻撃方法を解明するために使用するかもしれないProof-of-Concept（脆弱性の証明）の公開を通知した後、Microsoftは緊急にこの解決策をリリースした。Microsoftがリリースしたこの解決策は、脆弱性あるコンポーネントを無効化するが、この問題を修正するわけではない。現時点で、Redmondは、公式のパッチを開発中と発言している。
　このフローは、Windows Vista、Windows Server 2008のファイルシェアリング機能中に存在している。Windows XP, Windows 2000, Windows Server 2003のコンピュータには影響を与えない。Microsoftは、PCメーカーにリリースしたWindows 7中には、この脆弱性は存在しないと発言している。しかし、Windows 7の最初のRC版（リリース候補版）には存在していた（ZDNetは、Windows 7 build 7130で、このバグは修正されたと報告している）。
　この一時しのぎのパッチは、全てのユーザにとって相応しいものではない。一例を挙げると、ネットワーク内部で一旦ゴソゴソした後に、他の脆弱性あるホストに拡散するように設計されているコンピュータワームによって利用されたなら、この修正を適用することは、ネットワーク中に多くの感染されたシステムを稼働している組織に関しては大抵の場合脅威である。一般ユーザが、ある種のファイアーウォール（Windows備え付けのファイアーウォールを含む）で自身を保護しているなら（インターネットからのファイルシェアリングトラフィックを、設定しているファイアーウォールがDefaultでブロックしていなければならない）、この脅威はより少ないものである。
　また、この一時的な修正はファイルの共有やネットワーク上のプリンタの機能を無効化するかもしれない。あなたが、Vistaのユーザであり、この機能を失いたくないのであれば、Redmondからの公式アップデート（来月初旬にリリース予定）を待つのがベストである。
　あなたがVistaユーザであり、ホームネットワーク越しにファイルやプリンタを共有していないのであれば、この簡単な修正を配備することを考慮すべきである。この修正をインストールしたからといって、Windowsユーザが公式のパッチのインストールことに、何ら影響を与えない。公式パッチは、いつでも利用可能である。
　この修正をインストールするには、こちらのページにアクセスし"Fix it for me"の項にある、「SMBv2 を有効にする」の「この問題を解決する」アイコンをクリックする。次に、修正ファイルを保存し、起動する。何らかの理由で、この修正を外したいのであれば、「SMBv2 を無効にする」の「この問題を解決する」アイコンをクリックする。

誰を信じられるのか？
The PC Informant : Blog (2009/09/19)

　先週、New York TimesはTimesサイト上の広告がマルウェアをサーブしていたことを発見した。今週、Public Broadcasting System (PBS、【訳注】公共放送サービス)は打撃を受けた。Ryan NaraineはZDNetで報告している。

　人気あるPBS.orgのWebサイトの幾つかのセクションがハッカーによって危険な脆弱性攻撃の混合物をサーブアップされハイジャックされた。
　Purewireの研究者によれば、あるPBS Webサイトページにアクセスし、iframe経由で悪意あるドメインから脆弱性攻撃をサーブするJavaScript生じさせることを企てている。
　この悪意あるJavaScriptは、人気あるアニメーションシリーズのコンテンツを提供している“Curious George”のページで発見された。

　あなたがWeb上の何処に行くかは重要なことではなく、何処にでも潜在的危険が存在すると仮定しなければならないようである。

多くのPCが長い間感染させられている
The H : Securuty (2009/09/18)

　Trend Microによる100万の疑わしいIPアドレスの解析結果によれば、感染されたPCは長い期間感染させられたままになっている。疑わしいIPアドレスのPCの半分が少なくとも300日感染されたままになっており、1/5は少なくとも一月感染させられたままになっているか、複数感染させられていた。感染期間のピークは二年であることが見出された。Trend Microによれば、最も感染していたマルウェアは、Koobface, llomo, Zeus/Zbotであった。
　アンチウィルスソフトウェアは、多くの場合において、感染の防止や検出に効果がないことが明らかになっている。例えば、Zeusはアンチウィルスソフトウェアから自身を隠すためにrootkitテクニックを使用している。Trusteerによる10,000の感染したPCの解析結果によれば、半分以上のPCはアップデートされたアンチウィルスソフトウェアを使用していた。
　Trusteerはオンライン・バンキングに焦点を当てているものの中で、現在最も効果的トロイはZeusであると評価している。ZeusはユーザのブラウザにHTMLコードを挿入することで本物のバンキングWebサイトになりすますことができる。統合化インスタントメッセージ・クライアントを使用することで、リアルタイムにユーザによって入力されたPIN（【訳注】Personal identification numberの略。クレジットカードやキャッシュカードなどの暗証番号）、TAN（【訳注】 Transaction authentication numberの略。オンライン・バンキング・サービスで、銀行取引を認証するための単独で使用するワンタイムパスワード）やそれ以外の情報を送信する。
　Botネットの専門家であるDamballaによれば、Zeusはアメリカで3,600,000のコンピュータに感染（Koobfaceの2,900,000が続いている）しておりナンバーワンにランクされる。Trend Microによれば、Botの世話をしている者の内の少数が、以前考えられていたよりより多くの数の感染コンピュータを制御していた。Trend Microは、サイバー犯罪者が自由に使えるコンピューティングのパワーは世界のスパーコンピュータを結合したより以上であると見積もっている。

さらばAutorun
Kaspersky : Analyst's Diary (2009/09/17)

　少し前、MicrosoftはWindows 7に先んずるWindowsオペレーティングシステムのautorun機能を部分的に無効化するアップデートをリリースした。このアップデート（KB971029として知られる）は、Windows XP, Vista, Server 2003, Server 2008を対象としている。autorun機能は、CD, DVD, USB, 他のリムーバルメディアからインストレーションプロセスを自動的に開始するために使用されている。
　autorunは、リムーバルドライブのためのファイルシステムのルートに発見されるautorun.infと呼ばれるファイルを使用して動作する。これはCDからのソフトウェアのインストールのような信頼されたプロセスで使用されていたときは有用なプロセスであったが、この機能は読み書き可能なドライブ（以降、リライタブルドライブ）上にマルウェアを感染させることにも重宝であった。
　Kasperskyとしては、Microsoftに対し、事前通知をユーザに提供することなしにソフトウェアやコードを自動インストールする機能は、悪意に使用されることができるので、このプロセスを無効化するよう再三要請してきた。今までに、我々は感染させられている顧客のデバイスを発見した。そして、autorun機能がConficker（Kido）のような多大な成功をおさめた脅威の拡散に使用されていた。このリストは、感染ベクトルとして、どのくらいの頻度でautorunが使用されているかの一部を与えるものである。
　Windows XP SP1とそれ以前のWindowsのバージョンは、リライタブルドライブ上のソフトウェアを忠告なしに自動的に起動する。XP SP2及びそれ以降のバージョンは、そのドライブに挿入した時、自動的にウィンドウを表示し、実行ファイルの起動を選択できるようになった。ところが、ユーザはこのウィンドウの底部にある「常に選択した動作を行う」にチェックすることができる。悪意あるプログラムを起動するとき、マルウェア作成者は、リムーバルメディア上にautorun.infファイルをしばしば作成し、ネットワーク越しの攻撃ベクトルを拡大する。共有USBドライブはインターネットアクセスさえ持っていないネットワークへの脅威になる。

　Windows XP SP2, Vista, Server 2008では、autoplayと名付けられた新しい機能が導入された。autoplay機能は、autorun.infファイルが検出され、ユーザからのアクションが要求されたとき、ウィンドウをポップアップする。このオプションは、意図されている実行ファイルを起動してプログラムをインストールするか、ファイルを閲覧するためのフォルダを開く。このアプローチはユーザの認識なしに実行ファイルを自動起動するよりベターであるが、厳密な安全性はない。大部分の一般的コンピュータユーザーはファイルが開くまで、クリックし続けることを条件づけられているので、まさに感染への道の上に歩を追加しているようなものである。上で言及したアップデートはUSBドライブのような書き込み可能メディア上のautoplayを無効化する。他方、CD, DVDのautoplay機能はそのまま残す。

　Windows 7は、Defaultで書き込み可能外部ドライブ全てに関し、この機能を無効化している。これはずっと安全なアプローチであるが、何か新しいものをインストールしようとしたりするとき、平均的コンピュータユーザにとって、次に実行すべきことの発見をより困難にすることになる。ここには常にセキュリティとユーザビリティの二律背反が存在する。我々は最終的なこの修正を実装するように推奨し続けたが、大変長い時間を要した。数え切れない感染を回避することができた。そして、この簡単な修正がもっと早くに実行されていたなら、Confickerの拡散ははるかに少ないものになっていた。

Inducは既存のカテゴリに分類できない新規なウィルスである
Sunbelt : Blog (2009/09/11)

　Kaspersky Labの友人達はInduc（Delphiシステムファイルに感染し、感染したコンパイラで作成されたあらゆるファイルに、それ自身を感染させるマルウェア）に関する興味ある記事をリリースした。
　Inducが最初に発見されたのは8月中旬である。KasperskyのDenis Nazarovは、それをブログに記した。数週間後、KasperskyはInducが幾許かの新機能を搭載していると結論づけた長文の解析結果を記した。Kasperskyはまた、Inducが検出される数か月前（2008年11月頃まで遡る）から徘徊していたかもしれないと結論している。そして数百万のコピーが存在している可能性がある。幸い、Inducは悪意ある搭載物を持っていない。

「我々が知る限り、今までに直接コンパイラのサービスファイルに感染しようとしたInducは存在しない。このアプローチは、我々の現在の分類基準ではどれにも当て嵌まらない珍しいウィルスである。Inducは直接ファイルに感染しないので、厳密な用語の定義上からはウイルスではない。Inducは発見した全てのファイルを改竄するのではなく、単一のシステムファイルを改竄する。Inducは、ある種のマルウェアの特質を有しているとしても、ワームとも呼べないし、トロイとも呼べない。Inducは本当に新しい何かである。」

　ファイルがコンパイルされたとき、Induxがプログラム中に含まれたなら、ホワイトリストを作成している会社はファイルの分類操作上幾つかの大きな問題を持つことになる。
　Kasperskyはまた、興味を引く別のこと（ブラジルからの銀行をターゲットにするトロイ（Banking Trojans）がInducを含んでいる）にも注意をしている。これはブラジルのマルウェア作成者のコンパイラがInducに感染していることを意味している。Delphiはブラジルでは人気がある。
　詳細に関してはKasperskyのアナリストBlogを参照。
　VipreはInducをVirus.Win32.Induc.a (v)として検出する。

偽のFirefox用Flashプラグイン
SophosLabs : Blog (2009/09/04)

　マルウェアはしばしば、それらのホスト上で自身が何であるかを明らかにするために多くのテクニックを使用する。最近、Sophosのアナリストは、マルウェアの一部にそれ自身をFirefox用のFlashプラグインに偽装するものを発見した（SophosはTroj/FFSpy-Aとして検出する）。
　このファイルを起動すると、あなたのブラウザにAdobe Flash Playerをインストールすることを装う。以下のインストールプロセスが表示される。

　インストレーション完了後、Firefoxを再起動すると、Firefoxがこの拡張を以下に示すように“Adobe Flash Player 0.2″としてインストールされたことを示している。

　Troj/FFSpy-Aは、あなたのGoogle検索をモニタし、この情報をリモートサーバーに送信する。Troj/FFSpy-Aはまた、あなたが検索に使用したキーワードをベースに、あなたが閲覧しているWebページに広告を挿入する。
　この様なマルウェアは、Adobe Flash Playerのインストレーションファイルであることを装い、インターネットフォーラム経由で、それ自身を拡散しているようである。感染リスクを軽減するには、ユーザが見知らぬ、信頼できていないソースからの実行ファイルのダウンロードを回避することである。

Mozilla：　Adobe Flashユーザの保護へ
The H : Security (2009/09/03)

　来るべきFirefox 3.5.3と3.0.14（現在ベータ）は、このブラウザにインストールされているAdobe Flashプラグインのバージョンをチェックし、プラグインが最新の物でない場合はユーザに警告を発するだろう。Johnathan Nightingale（Mozillaの「人間の盾」）は、The Hに対しセキュリティの新機能を認めた。そして、Flashのバージョンチェックは「オンライン上の緊急の脅威からのユーザ保護」の幅広い献身の一部であると発言している。
　MozillaはAdobe Flash Playerが定期的にチェックされアップデートされる必要があるとした、最初のブラウザ会社である。ユーザの80%が脆弱性あるAdobeのプラグインでWebサーフしているとする推定がある。7月にFlash Player中に発見された0-Dayの脆弱性は、その修正にほぼ一週間を要した。
　The Hは今朝、スタートアップした時、最近アップグレードされ、Firefox 3.5.3のベータ版が稼働しているMac OS Xが、警告ページを表示する機能が追加されたことを報道している。Appleの最新のOSに搭載されたFirefoxは、Adobe Flash Playerの最新でないバージョンを問題があるとして正しく同定した。表示されたこのページには、クリックすることによりアップデートプロセスを開始できるボタンが存在する。The HはMozillaにコンタクトした。そこで彼らは、Firefox 3.5.3と3.0.14に、この機能を搭載することを明かにした。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊　Update

　Flashチェックの実装に関する更なる調査で、この機能がMozillaの”What's New”のページに存在しており、Firefoxそのものにビルトイン（備え付け）されていないことが明かになった。以下に示す画像のページ、もしくは類似ページが、Firefoxのアップデートが必要になったときに自動的に表示される。このページのJavaScriptはFlashのバージョンをチェックし、適切なアップデートのリンクを表示する。Mozillaは、Firefoxがこのページ上のJavaScriptを常に実行するようにすることを保証するか否か、未だ決定していない。Webページ上にコードを置くことで、MozillaはFirefoxアップデートをリリースすることなく、チェックされるFlashのバージョン番号を変更するだけで済むので、Flashのチェックコードをより高速にアップデートできる。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊　Update 2

　MozillaはFlashプラグインのチェックを今、公式にアナウンスした。Nightingaleはまた、The Hに対し、ユーザがJavaScriptを無効に設定していると、このチェック機能は稼働しないことを明らかにした。

Microsoft Live Messenger強制アップデート
The H : Security (2009/09/02)

　MicrosoftのLive Messengerが深刻なATL（Active Template Libraryの略。COMプログラミングを簡単に行えるようにするためのMicrosoftによるテンプレートベースのC++ライブラリ）セキュリティホールの影響を受けるプログラムに含まれていることが明かになった。Microsoftが最近Visual Studio開発環境ライブラリ中のセキュリティホールを緊急パッチで塞ぎ、その後にIE中のセキュリティホールをブロックしたセキュリティホールである。
　このセキュリティリスクを解消するには、バージョン 8.1, 8.5, 14.0のユーザは現在のバグの無いバージョンに切り替えることが推奨されている。このアップデートのアナウンスは、アップデートすることは当初はオプショナルであるが、バージョン 8.1, 8.5に関しては9月中旬に、バージョン 14に関しては10月末から強制になるだろうと発言している。Windows Live Messengerチームは最終的にブログで説明しているように、以前のバージョンを使用してMessengerにログインすることはもはや不可能である。
　このセキュリティ問題はActiveXコントロールを作成するためのVisual Studio補助ライブラリを引き金とする。このライブラリを使用しているプログラムは攻撃を受けやすい存在である。Microsoftに加えて、他のソフトウェアベンダーがAdobeやCiscoの例に続いて、できるだけ早く彼らの製品のチェックを望むことができるだけである。

タスクマネージャは未だ稼働しているか？　Windowsパスワードを変更できるか？
McAfee : Avert Labs Blog (2009/09/01)

　我々はコンピュータのセキュリティ状態を減少させるマルウェアがあると聞いた。例えば、この様なマルウェアはレジストリへのアクセスを無効化したり、IEのセキュリティ設定を低くしたり、システムファイルを削除したり、システムのDNS設定を巧みに取り扱ったりするかもしれない。この様なステップのそれぞれは、犠牲者が危険なマルウェアに感染していたり、システムが改竄されたりしていることを露にしている。
　昨日、我々はレジストリを変更することで犠牲者のシステムのセキュリティを脆弱化するトロイに突入した。このマルウェアはタスクマネージャ、Windows Update、IE中のツールバーを無効化した。更に、ユーザがそのマシンをロックしたり、パスワードを変更したりすることを許さなかった。感染した後、[CTRL]+[ALT]+[DEL]キーを押したな時、以下の画像が表示されるだろう。

　タスクマネージャを失うことは、最大のダメージを与えるセキュリティ攻撃であるので、我々は上位にリストしている。我々は、このトロイをQTaskMgr-1と名付けた。我々のアンチウィルスソフトは、9月01日にリリースした5727 DATsで、このトロイを検出・削除する。

Flashユーザの80%が脆弱性あるバージョンでWebをサーフしている
The H : Security (2009/08/26)

　セキュリティ サービス プロバイダTrusteerのFlash Security Hole Advisory（Flashのセキュリティホールに関する勧告）によると、大多数のユーザが、Adobe Flashの脆弱性あるバージョンでサーフしており、それによって、自分自身を犯罪者にとって魅力的な攻撃目標にしている。Trusteerは、この会社のRapportセキュリティサービス機能で、凡そ2,500,000のシステムをモニタし、インストールされているFlashの凡そ80%が脆弱性あるバージョンであったと発言している。攻撃者は巧みに工作したWebサイトベースのFlashアップレットを使用して、この様なコンピュータにマルウェアを感染させることができる。Trusteerはまた、調査されたコンピュータの84%上にAdobe Readerの脆弱性あるバージョンを発見している。
　Trusteerの見解では、この図式はAdobeのアップデートプロシージャがきちんと機能していない事実に起因するとしている。Flashのアップデートが利用可能になるとユーザは通知されるが、このアップデートの通知は緊急にセキュリティアップデートをインストールするよう警告しない。多くのユーザは、重要なアップデートをインストールすること無に、この通知を閉じてしまっている。Trusteerは、Adobe自身が、全てのコンピュータの99%にインストールされているアプリケーションであり、マルウェアのエントリポイントとして定評があることを認めていることは、容認できるものではないと発言している。
　Trusteerによれば、この問題に関するより良いアプローチは、ユーザ確認を要求することなくアップデートをインストールし、結果として高いパッチ適用率をもたらすGoogle Chromeのようなアプリケーションを使用することだとしている。Adobeは今年五月、Adobe ReaderとAcrobatに関しての定例パッチサイクルと、その製品の製品安全ライフサイクル（SPLC）を導入したに止まっている。しかしながら、ユーザの注意は明らかにアップデートの適用に惹きつけられていないので（Microsoftはシステムメッセージを表示するが）、定例アップデートの利用は殆ど役に立っていない。
　Secunia Personal Inspector（PSI）のようなツールは、Flashプラグイン、Javaやブラウザのライブラリのような重要なコンポーネントに脆弱性があるか否か、アップデートが要求されているか否かを明瞭にしてくれる。Secunia Personal Inspector（PSI）はバージョン1.5以降、「安全なブラウジング」オプションを提供している。これは、ユーザのシステムでの安全なWebサーフの方法に関するアイデアをユーザに与える。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊　【訳注】Secunia PSI
　このツールは、日本語を含む42ヶ国の言語に対応しています。

Microsoft、反著作権侵害プログラムを拡張
Washingtonpost : Security Fix (2009/08/26)

　Microsoftは今週、その反著作権侵害プログラムを拡張した（ユーザが稼働しているOfficeがライセンスされたバージョンかプロダクティビティ・ソフトウエア・スイート（【訳注】WordやExcel、Power Pointなどが一緒に入ったパッケージのこと）の海賊版なのかをチェックするソフトウェアアップデートをリリース）。
　自動アップデートに設定しているWindowsユーザは、多分今までにRedmondから少なくとも一つのアップデートが利用可能であることを通知されている。このパッチは昨年Microsoftが開始したOffice Genuine Advantage (OGA)反著作権侵害パイロットプログラムの次のフェーズを意味している。Microsoftは、このアップデートを徐々に様々な国々に展開していくと発言しているので、このアップデートは一度に全ての人々が利用できるようになるわけではない。
　このアップデートは、Office XP, Office 2003, Office 2007のインストレーションをチェックする。
　パッチのダウンロードとインストールを自動アップデートに設定しているユーザでさえ、OGAパッチが完全にインストールされる前は、使用許諾を承認する必要がある。これは賢明なことである。何故なら、Microsoftによれば、このパッチは一旦インストールすると削除できない。また、「システムは反著作権侵害テストに不合格になるかもしれない」という小煩いメッセージを一時的に停止するオプションもないからである。
　この検証プログラムがこの様なタイトルの一つのインストレーションを不当であると判断したなら、以下の意味のようなメッセージが表示される。

　Microsoft Officeのこのコピーは正当なコピーではありません。
　邪魔立てして申し訳ありませんが、Microsoft Officeのこのコピーは検証に合格しませんでした。詳細と正当なMicrosoft Officeを入手する最良の方法のヘルプに関してはLearn Moreをクリックしてください。

　更に、OGAチェッカーは、ライセンスされていないOffice XPとOffice 2003に対して類似のメッセージの表示付きのツールバーを、Office 2007システムには警告付きのリボンを追加する。
　私のWindows Vistaのインストレーションはまた、セキュリティに関係していない関連するアップデートを教えてくれた。Microfostは、このアップデートは数ヶ国の夏時間に対応するためWindowsのタイムゾーンを変更すると発言している。

Thunderbird 2.0.0.23、SSL脆弱性を修正
The H : Security (2009/08/21)

　Mozilla開発チームは人気あるE-MailクライアントThunderbirdのバージョン2.0.0.23（SSL認証プロセス中の脆弱性を解決）のリリースをアナウンスした。NULL文字を認証中に挿入することは、例えば、幾つかのアプリケーションを欺いて、www.paypal.com\0.thoughtcrime.orgが、あたかもwww.paypal.comに属しているかのように認証を表示させることができた。
　Moxie MarlinspikeとDan Kaminskyは、Black Hatプレゼンテーションで、この脆弱性の詳細を露にした。この脆弱性（Firefox 3.5.xと3.0.xにも存在する）は二週間以上前に修正された。他のソフトウェアベンダは未だその製品群のアップデートを開発中である。
　このセキュリティアップデートは全てのユーザに推奨されている。このリリースに関する詳細は、そのリリースノート中に見られる。Thunderbird 2.0.0.23はWindows, Mac OS X, Linux版がダウンロード可能である。ThunderbirdはMPL/LGPL/GPLの三ライセンス下でリリースされている。　

VMware、その製品群にパッチ
The H : Security (2009/08/21)

　VMwareは、その製品群の幾つかのセキュリティアップデートをリリースした。libpngライブラリ中のセキュリティホールは、細工された画像を導入し任意のコードを稼働することを可能にする。脆弱性あるアプリケーションは、VMware Workstation 6.5.x, VMware Player 2.5.x, VMware ACE 2.5.x, VMware Server 2.xと1.xである。このサーバーバージョンの利用者は、VMwareが未だパッチを作成中なので、今暫く待つ必要がある。
　ACE 2.5.xのWindows版のアップデートは、幾つかの脆弱性を解消するためのApache Webサーバ（バージョン2.0.63）へのアップデートも含んでいる。

CAのアンチウィルスソフトウェア、自身及び他のアプリケーションを無効化
The H : Security (2009/08/13)

　昨日の、コンピュータアソシエイト（CA）のeTrustスレットマネージャ（以前のITM）アンチウィルスソフトの33.3.7051へのエンジンアップデートは、そのユーザに膨大な誤検出を経験させた。結果、重要なファイルが隔離されたり他の名前に変更されたりした。これには、eTrustそれ自身を構成するファイルも含まれている。CAフォーラム上でのレポートによれば、eTrustはMS Visual Studio、Nokia-Software、VNC、他の多くのDLLがStdWin32マルウェアを含むと誤検出した。コンピュータアソシエイト（CA）のインターネットセキュリティ製品の利用者は、このバグの影響を受けない。
　コンピュータアソシエイト（CA）は、この問題の存在を確認し、解決に向け努力していると表明している。他方、CAは問題を起こしたアップデートを引っ込め、従前のエンジンを搭載した新しいアップデート(34.0.0.6674)を配布している。隔離されているファイルを救出するための二つのツール（CA-UnquarantineとRenameavb2exe_with_date）は、利用可能にされていた。このツールの解凍に要求されるパスワードは、このツールに含まれるFTPフォルダ中のpassword.txt中に見出すことが出来る。

TwitterとAdobe、何が違うのか？
Kaspersky : Lab Weblog (2009/08/12)

　本日、我々はTwitter上に新たなDDoS攻撃を確認した。多くの人々は、Twitterがこの様な攻撃に対処していないかに見える理由を尋ねている。そして同時に、Adobe製品から脱却しろとの発言に便乗している大変多くの人々がいる。
　この関連性は何か？　世界中のサイバー犯罪者によってターゲットにされるのは、共に極端なまでに高姿勢な会社であること。更に、この二つの会社は、そこにセキュリティ問題が発生したとき、あからさまに対応しようとしてこなかった実績がある。
　しかも、これは大抵平行線で終わる。今年のTwitterを観察することで、我々はどのような結論を導けるだろうか？
　まず、Twitterのセキュリティは、年初より改善されているとは思えない。個人的意見であるが、私の見立てでは間違いない。第二に、このサービスは継続的に人気が上昇している。Twitterはあらゆる場所に存在する。私が言うところのは「あらゆる場所」とは、主だったメディアのチェックと、あなたの毎日のTwitter上の幾つもの参照先を意味している。
　Twitterへの攻撃は、その人気に何ら影響を与えていない。このサービスの現在のビジネスモデルに与えられていることは、唯一DDoS攻撃だけがTwitterに何らかの本当の苦痛を発生させているかのようである。そして、この同じビジネスモデルがTwitterにセキュリティに投資させていない理由かもしれない。
　多分インターネットコミュニティにとって幸だったことは、Adobeがこれと立場を同じくしていないことである。Adobeからの脱出の呼びかけの増大は、この会社にビジネス上の大きなインパクトを感じさせ、セキュリティへの投資を発生させるだろうことを意味している。Adobeは明らかにマーケットのリーダーであるが、ある重要な優位が失われている。それは多くのメジャーな代替ソフトの存在である。
　私がそれを確認したとき、Adobeは7年前のMicrosoftと同じ状況にあった。しかしながら、Microsoftの主たる競合相手は、今のAdobeほど成熟していなかった。Adobeは幾つかのジャンルで多くの競合相手がいる。
　PDFリーダー/エディタの競合相手が存在し、Adobe Acrobat/Readerの代替ソフトとしての能力のある新興勢力の幾つかがある。
　Flashの競合物は定かでない。なぜなら、Flashフォーマットは未だプロプライエタリなので、サードパーティーがAdobeの所有するFlash Playerに対し彼ら自身の作成物を維持できるFlash Playerを作成することが殆ど不可能である。オープンソースの代替ソフトは存在するが、機能が限定的である。そして、オープンソース代替ソフトもFlashファイルの作成と編集の問題を解決することはない。Adobeの大多数の競合物はMicrosoft出身である。Silverlightは今迄に大きな躍進を遂げていないが、Adobeのセキュリティ問題が継続するなら、間違いなくSilverlightにチャンスをもたらすだろう。
AdobeやTwitterの経営者達は、今まさに、セキュリティよりむしろ、どの領域に投資することが彼らにとって最高なのかということを熟考しているかもしれない（とりわけTwitterは適切なビジネス戦略を持っていることを現在明かにしていないので）。
　しかし、今日のインターネットの動向は、いかに良い媒体であろうとも長期戦略にセキュリティ（安全なコーディングと迅速な応答）を含んでいなければならないことは言うまでもない。
　私の視点から、この様な戦略は直ぐに十分な効果を発揮しない。私は、このサービスを使用するコミュニティとして、このビジネスに多くの関心を払っているわけではない。我々が我々のデータをトゥイートし、共有し、拡散することを奨励されているなら、我々が使用している全てのことが可能な限り安全であることを確実にしなさい（絶対安全などというものは存在しないが、出来うる限り安全にすることは出来る）。

WindowsがUSBドライブを認識しない時の解決策
The PC Informant : Blog (2009/08/06)

　今日、多くの様々な物がUSBを使用してコンピュータに接続される。時々、WindowsはUSBドライブや他の外部メモリデバイスを認識しない時がある。これは、接続状態が悪かったり、あるいはドライブそのものに欠陥があるためかもしれない。しかし、時々、Windows自体が混乱し、既に他のドライブが使用しているドライブレターを割り当てることがある。外部ドライブがExplorer中に表示されていないなら、Disk Management Console中にリストされているかどうか確認しなさい。同じドライブレターが複数のドライブに割り当てられていたなら、あなたのUSBドライブのドライブレターを、使用されていないドライブレターに変更しなさい。

＊＊＊＊＊＊　【訳注】Disk Management Consoleを使用したドライブレターの変更方法

1/　ファイル名を指定して実行で、diskmgmt.msc　と入力しOKボタンをクリック。
2/　ディスクの管理（Disk Management Console）が開き、システム上の全てのドライブがリストされている画面が表示される。
3/　認識されていないドライブ上を右クリックし、ドライブ文字とパスの変更　をクリックする。新しいダイアログが開く。
4/　ウィンドウの底部にある変更ボタンをクリックする。再び新しいダイアログが開く。
5/　指定したいドライブレターを選択する（既に使用されているドライブレターと重複しないようにする）。
6/　数回OKボタンをクリックし、ディスクの管理（Disk Management Console）を終了する。

上記方法はWindows XPを対象にしていますが、Vistaでも大きな差異はないようです。

インチキの"blue screen of death"マルウェア
The PC Informant : Blog (2009/08/05)

　インチキのセキュリティ警告が進歩を遂げている。今回のこのスカムは、あなたを信用させて騙しマルウェアをダウンロードさせるために、まやかしの“blue screen of death”を使用している。Ryan NaraineによるZDNetでのレポート：

　ハッカーは、コンピュータを使用しているユーザを騙し、詐欺のためのセキュリティソフトウェア（スケアウェア）をダウンロードさせるために悪名高いWindows Blue Screen of Deathを使用している。Sunbelt Softwareによる発見によれば、Windowsユーザは輝くばかりの赤での“Security Alert”忠告付きでOSのクラッシュを意味する、よく知られているBlue Screenを表示され続けている。

Naraineはまた以下のようにも忠告している：

　このスカム中で使用されている詐欺のためのセキュリティソフトウェアは、SystemSecurityと呼ばれる。インチキのコーデック経由でWindowsマシンに感染し、インチキのFlash Playerアップデートパッケージが、悪意あるWebサイト上に植え付けられている。

****************************************************
【訳注】Sunbeltが提供しているSystemSecurityのBSoD画像を掲げておきます。クリックすると大きな画像が閲覧できます。

Adobe、ReaderとAcrobatの脆弱性にパッチ
The H : Security (2009/08/03)

　週末にかけて、AdobeはWindows, Mac, Unix用のReaderとAcrobatに関するアップデートをリリースした。このアップデートはFlash PlayerだけでなくFlashコンテントに関連するセキュリティ上の深刻な脆弱性を修正したが、AdobeのPDFアプリケーションを通して悪意あるコードを挿入・実行するための脆弱性攻撃も可能であった。幾つかのアンチウィルス セキュリティ ベンダは、攻撃者がWindows PCをマルウェアに感染させるためにこの是じゃ区政攻撃を既に実行していると報告している。
　ユーザは自動アップデート機能を使用してAdobe Readerをバージョン9.1.3にアップデートすべきである。Readerの新しいバージョンをインストールしているユーザーは、現在Windows版ダウンロードとして利用できるバージョンは9.1だけである点に注意しなければならない。このバージョンをダウンロードしているユーザーは、次にバージョン9.1.3に確実に更新しなければならない。
　Linuxユーザは直接、バージョン9.1.3をダウンロードでき、更なるアップデートを実行する必要はない。Adobe AcrobatユーザはWindowsとMac用の完全に新しいバージョンをダウンロードする必要がある。

詐欺アンチウィルスはマルウェア ドメイン リストを使用している
F-Secure Weblog : News from the Lab (2009/08/03)

　マルウェア ドメイン リスト(Malware Domains List (MDL))は、セキュリティの専門家やITセキュリティに興味を持つ者の間で人気あるサイトである。今、詐欺アンチウィルスプロモータは、MDLのドメインに大変近似したURL上にWebサイトをセットアップすることによって、その人気の恩恵に欲そうとしているようである。
　訪問者は、以下の画面を予期している。

　代わりに以下のように見える所に連れていかれる。

　正当なWebサイトとインチキWebサイトとのURLの違いに注目。
　僅かな文法上のエラーにもかかわらず、この警告はFirefoxからの正当な忠告類似のまともな仕事をしている。以下の正当な表示とを比較しなさい。

　悪意あるWebサイトの「警告」メッセージ上の"Get security software"ボタンに注目。クリックしたなら、このユーザは、（詐欺の）アンチウィルスプログラムの販売促進をしているWebサイトに送られる。
　これに関する詳細は以下にアクセスすることで読むことができる。

クリックする前の注意（転ばぬ先の杖）
Sunbelt : Blog (2009/07/30)

　我々の詐欺ソフト担当研究者Patrickは、殆ど毎日インターネット上のオカシゲナ場所に行く。最近、彼は幾つかの混乱をもたらすオカシゲナURL（vvindows.com や google-rnail.com）で我々の興味を惹いた。これらを注意深く観察しよう。最初のURLは二つの"v"で”w”に見せかけている。二つ目は"r"と"n"を組み合わせて"m"のように見せかけている。
　誰かが、掘り出し物のドラッグとイミテーションの腕時計について送り続けるメール中のURLをクリックして、ウェブをブラウズする者にとって、リンクのURLは、マウスをクリックする前にカーソルを置く青い線であるにすぎない。絶対に、この様な行為を行うべきではない。URLに注意を払わねばならない。この二つのケースで、URLを凝視すべきである。最初の例は、一瞥しただけでは、vvindows.comの代わりにwindows.comに見えてしまうだろう。

　このURLは合法的なサイトに誘導した。これは手の込んだ若干のマーケティングが使用する真っ当なビジネスである。

　しかしながら、二つ目のURLは無害なものではなかった。明らかに“google-rnail.com”は“google-mail.com”に見せかけようとしている。

　Patrickによれば、このURLは訪問者のGMailのユーザ名とパスワードを盗むページとそっくりであった。
　以下はシャットダウンされる前の画像である。

　このURLー“google-mail.com”ーは実在しない。

　まさに、あなたが行くことを望まない場所に、あなたを連れていくWeb上のもう一つのテクニックである。

Adobe Flash Playerをアップデート
Washington Post : Security Fix (2009/07/30)

　Adobeは、本日Flash Player中の少なくとも１ダースあったセキュリティホールを塞ぐセキュリティアップデート（ハッカーが脆弱性あるシステム中に侵入するために使用するものを含む）をリリースした。
　今回のアップデートでFlash Playerのバージョンは10.0.32.18となる。アップデート版は、Windows、Mac、Linux版が用意されている。所有しているFlashのバージョンを確認したいのであれば、このページを訪問しなさい。
　Adobeは、Adobe AIRのバージョン1.5.1とこれ以前のバージョンのユーザにも、Adobe AIR 1.5.2へのアップデートを推奨している。
　このアップデートは、あなたが使用しているWebブラウザの数に依存することを憶えておいてほしい。あなたは一回以上アップデートをする必要があるかもしれないのだから。例えば、Internet ExplorerとFirefoxの両方を使用しているWindowsユーザは、それぞれのブラウザでFlashダウンロードページを訪問する必要がある。Firefoxアップデートページは、インストレーションパッケージ（”.exe”）をダウンロードし起動することを要求してくるが、IEアップデートはActiveXコントロールのインストールを要求してくる。IEユーザは、IEウィンドウの上部に現れる青いバーをクリックし”このアドオンをインストールする”を選択する必要があるかもしれない。
　Flashの脆弱性はAdobe ReaderとAcrobat中にも存在している。Adobeは金曜日にこの様なタイトルのWindows、Mac、Linux用アップデートを出荷するだろうと発言している。
　このパッチに関するAdobeアドバイザリは、こちらで利用可能である。
　以下省略（この問題に関するSecurity Fixのオンラインチャットでの使用の記述のため）。

ある特殊文字がIEにセキュリティバグを発生させる
The PC Informant : Blog (2009/07/29)

　昨日の緊急アップデートによってパッチされたIE中に巨大なセキュリティ上の問題が存在する。この問題は、コード中の一文字のミスタイプによって発生する。Computerworldは特殊文字”＆”がこの問題を発生させると報告している。
　最新のWindowsの全てのバージョンが数百万行のコードを持っていることを考慮すると、そこに潜むであろうありとあらゆるセキュリティバグの可能性を考えると震えがくる。もちろん、他のオペレーティングシステムもまたコード含んでいるのだが。

Microsoft、来週に緊急のパッチをリリース予定
Washington Post : Security Fix (2009/07/24)

　Security Fixが今週初め予言していたように、Microsoftは来週、Windows OSとInternet Explorerウェブブラウザ中の、一連の異常なほど頑固で深刻なセキュリティホールを塞ぐ少なくとも二つの緊急のソフトウェアのアップデートを発生させることを計画している。
　Microsoftは二つのパッチ（Internet Explorer中の問題の処理に関するものが一つ。Visual Studioソフトウェア中のバグフィックスが一つ）をリリースするだろうと発言している。
　Microsoftから：

　我々はリリースに先立って、この問題を詳細に語ることはできないが、Visual Studioブレチンが、ある種のアプリケーションに影響するこの問題に対処するだろうと言うことは可能である。Internet Explorerブレチンは、IEにVisual Studioブレチンによって対処されるこの問題に関し、更なる防御の提供を支援するために多層防御の変更を準備するだろう。Internet Explorerアップデートはまた、個人的に且つ、責任をもって報告されたVisual Studioブレチンとは無関係であるが、深刻として評価される脆弱性に対処するだろう。

　Microsoftが、この直近のパッチについてリリースしたThe advance notification advisoryは、ハッキリと説明していない。しかし、Microsoftのスポークスマンは、アップデートはMicrosoftがWindows中の幾つかの場所で使用しているコードのコレクション中の深刻なセキュリティフローに対処するだろうことを認めた。「コードライブラリ」中に脆弱性を持つことは、Microsoftがサードパーティ ソフトウェア メーカーにWindowsの特定の備え付けの機能を活用するプログラムのビルドを支援するために、このライブラリを彼らにも提供しているので取り分け危険である。　
　いつも通り、Security Fixは来週の火曜日にMicrosoftがリリースしたなら、このパッチの実状に迫るだろう。

UPDATE :　新たなAdobeのReaderとFlash中のフローがターゲットにされている
(2009/07/24)

　Secuniaによると7月30日、Websenceでは、7月30日もしくは31日に、Adobeはこの脆弱性の修正版をリリースすると発表。

Twitter上に詐欺目的のアンチスパイウェア検出プログラム
Kaspersky : Analist's Diary (2009/07/23)

　トロイの木馬とワームに加えて、Twitterは、詐欺目的のセキュリティソフトを配布するための都合の良いプラットフォームになったかのようである。この最新の事例は、"MalwareRemovalBot"と呼ばれるプログラムである。Kasperskyは、このプログラムを"not-a-virus:FraudTool.Win32.MalwareRomovalBot.e"（【訳注】ウィルスとしてではなく、詐欺目的ツールのカテゴリに分類）として検出する。

　Twitter中のこのリンクは「ベンダ」のサイトに繋がっている（ここにある殆ど全てのリンクはダウンロードに繋がっている）。

　ダウンロードされるファイル名は様々である（"setup.exe", "setupxv.exe", "setup-trial.exe"）。Windows PE（【訳注】CD／DVDメディアやネットワークなどから起動して利用できるコンパクトなWindows OS）実行用にUPX圧縮されている。
　一旦、このプログラムをインストールすると、

　そして、スキャンが実行され、このプログラムはユーザを怖がらせるためにスパイウェアへの虚偽の感染を通知する。そして、ダウンロードした者の「登録」獲得する。

　登録Webサイトは、潜在的な顧客を「スペシャル オファー」で待っているショップに繋がっている。

　１PCライセンスは3PCライセンスと同額で$39.95であり、さらに二つの「特別」技術として、１「特別」技術あたり$9.95が追加される。総額$59.85は、PayPalやクレジットカードで支払い可能である。インチキ防御用ソフトとしてはとても高い。
　結論：　全てのTweetが興味あるWebサイトに繋がっていると考えることはできない。それらの幾つかは悪意あるサイトに繋がっていると考えなさい。常識を駆使しなさい、そして、あなたがTweetしたとき、からかうようなことをするな。

新たなAdobeのReaderとFlash中のフローがターゲットにされている
Washingtonpost : Security Fix (2009/07/22)

　Adobe Systems Inc.（アドビ・システムズ）は、火曜日、Acrobat、Flash、PDF Readerアプリケーション中の、今迄知られていないセキュリティホールが攻撃されていると調査レポートで発言した。
　Adobeのセキュリティアドバイザリは、Adobe ReaderとAcrobat 9.1.2、同様に、Flash Playerの9と10が、このセキュリティ上の弱点の影響を受けることが明らかであると発言している。これは、現時点でAdobeによって提供されている情報の及ぶ範囲である。
　他方、Symantecは、目標とされた攻撃で、この脆弱性が利用されている数例を確認した（例えば、受取人の名前だけで宛てたE-Mail中に毒のある添付ファイルを含めるような）と発言している。
　Symantecの開発マネージャ、Marc Fossiは、Symantecが今までに確認した攻撃が、Readerに備え付けられているAdobe Flash機能を巧みに利用してブービートラップされたPDFファイルに関連していると発言している。Fossiは、この攻撃は今迄、スタンドアロンのFlashで使用されたことはない（Webサイトに埋め込まれた悪意あるFlash Movieのように）と発言している
　「私はこの件で人々がうろたえることは望まないが、この脆弱性がWebサイトを通して攻撃することができる潜在性は存在する」とFossiは発言している。
　Firefoxユーザは、Noscript, Request Policy, Adblock Plusのような自動的に使用されるアドオンでレンダリングからFlashをブロックすることができる。私は、Adobe Readerが重いことを発見し、フリーのFoxit Reader（私はAdobe Readerの代替としていつも推奨している）を気に入っている。しかしながら、他にも代わりとなるフリーのPDFリーダー（Sumatra PDF、PDF-XChange Viewer等）がある。

アップデート
　コンピュータセキュリティ企業Purewireは、悪意あるFlashムービーを使用して、この脆弱性を攻撃しているWebサイトを確認したという発言を記述している。彼らによれば、この悪意あるFlashファイルを有害として検出したアンチウィルス製品は一つもないとしている。
　Purewireは、この脆弱性が7月9日前後から存在していることは明らかであり、Adobeは少なくとも2008年12月以来、この脆弱性を認識していたと発言している。
　一方、SANS Internet Storm Centerは、Adobe Readerに対する0デイ攻撃の脅威を軽減する通常のテクニック（JavaScriptをOFFにする）は役に立たないと報告している。

Adobe、危険/未パッチのバージョンを公式サイトで配布
Secunia : Blog (2009/07/21)

　Secunia PSIのユーザの中で最近若干の混乱が生じていた。ユーザはAdobe Readerの最新版をAdobe.comからダウンロードしたにも拘らず、何故Secunia PSIが危険と告げてくるのか謎であった。
　Secunia PSIの誤検出か？　Secunia PSIが使用している検出方法（PC上に実際に存在するファイルに注目する）に起因する誤検出は起こりそうにない。
　Secunia PSI中にミステイクがある？　しかし、検討したところSecunia PSIに問題はなかった。しかし驚いたことに、Adobe自身が彼らのユーザに対し危険なソフトウェアを出荷していることが発見された。
　Adobe Readerのインストレーションは、通常以下のように発生する。

１）　そのPC上にPDFリーダーが存在しないことを発見するためだけに、ユーザはPDFファイルを受け取る（通常、安全なファイルフォーマットと考えられている）
２）　ユーザは、公式のダウンロードサイトAdobe.comを訪問し、Adobe Readerの最新バージョンをダウンロードする。インストレーションが完了すると、ユーザは、スタンドアロン プログラムとブラウザ プラグイン（これは、多くのコード実行脆弱性として知られる）の両方で、バージョン9.1.0がインストールされる。 ３）　ユーザが悪意あるPDFを開いたなら、ダメージが発生し、システムは簡単に改竄される。

　Adobeの弁護：　Adobeは、ユーザがAdobe Readerをインストールしたとき、ユーザのPC上に”Adobe アップデート”の自動インストールも実行する。このソフトは、定期的に新しいAdobe Readerへのアップデートをチェックする。”Adobe アップデート”は義務として、利用可能なアップデートが存在するという事実をユーザに告げてくる。もちろん、ユーザがダウンロードに同意するためにクリックした後、インストレーションの終了を待つ必要がある。このことが、ユーザが第一にAdobe Readerをインストールする理由の全てである。
　思い出せ：　犯罪者はあなたのマシンを改竄するために未パッチのプログラムが一つあればいいということを。

脆弱性とタイムライン 　2009年5月1日、Adobe Readerのバージョン9.1.1がアナウンスされた。Adobeによれば、少なくとも一つの深刻な脆弱性が修正された。しかしながら、このアナウンスにもかかわらず、AdobeはAdobe.com上でバージョン9.1.0の提供を継続していた。
　そうこうしているうちに、6月10日、Adobeの人気あるPDFビューアー（【訳注】Adobe Readerのこと）中の、別の9つの深刻な脆弱性（SA34580）が、Adobeによって修正された。
　本日現在、Adobeは未だAdobe.com（Adobeの公式ダウンロードサイト）でバージョン9.1.0を提供し続けている。そのバージョンのユーザのPCが、攻撃被害を受け易くなっているという課題を残したまま。

あなたが実行すべきこと 　最近、Adobe Readerをインストールしたのであれば、Adobe Reader 9.xを開き、ヘルプ＞Adobe Reader 9　に進み、インストールしているバージョンが本当に9.1.2（この記事を記述している時点での最新バージョン（7/21現在））であるかどうか確認することを、我々は強く推奨する。
　他に、我々はSecunia PSI（完全にフリーのプログラム）をダウンロードしインストールすることを推奨する。Secunia PSIは、あなたのPCを改竄に導くところの脆弱性に対し、深刻なセキュリティアップデートを未だ適用していプログラムは何か？を決定し、そのプログラムへのアクセスを支援する。

　憶えておいて欲しい、パッチを適用することは、アンチウィルス プログラムやパーソナル ファイアーウォールを導入する以上に重要なことであることを。

月 ー スパムのフリーゾーンか？
Kaspersky Weblog : Analyst's Diary (2009/07/20)

　月着陸の40周年まで四時間足らずになった。私はデスクトップ上にあるMoonウィジェットのカウントダウンを見ていた。そして、月に関連するスパムの少なさに考えを巡らせていた。

　この記念日直前巨大なメディアは巨大な興味を持っていた。私はサイバー犯罪者が時流に乗ると予期していた。幾許かの件名を想像することは容易である：　Apollo 11号のファン向けに、「独占的NASAアーカイブの映像」。あるいは、謀略を陰で画策する理論家の想像力をくすぐるために「月面上陸は真実である」。そのような物は、おそらく私を誘惑できるだろう。なんてったって、私はセキュリティ企業で、訳の分からないソース出身の添付ファイルを開くことを仕事としているのだから。
　スパマーは、このテーマに関して奇妙な沈黙をしているようである。理由が分からない。私には、柄にもなく月面上陸40周年記念を見逃したかのように見える。おそらく、私がスパマーに向いていないだけなのかもしれないが。

Firefox 3.5.1にバッファオーバーフローの脆弱性
The H : Security (2009/07/19)

　4日前に知られることになったFirefox 3.5中のセキュリティ上の脆弱性は、17日にリリースされた最新バージョンFirefox 3.5.1も影響を受けることが明かになった。JavaScriptは長いユニコード文字列を、document.write()メソッドに渡すために用いられる。これは次に、バッファオーバーフローを発生させる。これは、攻撃者が任意のコードを稼働することを可能にする。もし、任意のコードが動作しなければ、Firefox 3.5.1は、おそらく巨大なメモリを要求し、フリーズもしくはクラッシュする。
　SecurityFocusは単純な攻撃手法でデモしている。IBM Internet Security Servicesとthe National Vulnerability Databaseは、この脆弱性を「深刻」と分類している。現在、JavaScriptをOFFにする以外、この脆弱性を防止する方法はない。しかし、この方法は多くのユーザにとって、殆ど実用的ではない。

DOMフローは、多くのブラウザをクラッシュさせる
The H : Security (2009/07/16)

　ルクセンブルグのセキュリティ スペシャリストG-SECは、大多数のブラウザに、ブラウザをクラッシュさせるか、あるいは、膨大なメモリを消費して、実際にコンピュータを使用不能にする脆弱性の詳細を公開した。このトリックは単純である。JavaScriptのDOM (Document Object Model)を使用してWebページ上に選択メニューと選択要素を作成する。次に、その選択要素の長さ属性に非常に高い値を割り当てる。結果として、メモリの配分が継続的になる。長さ属性は選択要素が含まなければならない幾つかのメニューアイテムを指定する。そして、指定に応じて読み込まれるだけであるべきだが、多くの場合、書き込み可能である。
　脆弱性の証明は、全てのブラウザがこの問題の影響を受けるわけではないことを示している。Windows Vistaでのテストでは、IE8だけが影響されクラッシュし、Firefox,Safari,Chromeは影響を受けなかった。Operaは多くのRAMを消費したが、操作は可能であった。G-SECによれば、この問題はOperaの次のバージョンで修正される。
　G-SECは、Firefox 2.0.19とと3.0.5は、問題を修正しているが、それ以前のバージョンは、利用可能な全てのメモリを使い切り、次にクラッシュする。ChromeやSafariの以前のバージョンも同様である。Ubuntu上でのKonquererは、ブラウザのクラッシュかシステムの再起動のどちらかが発生した。この再起動は明らかにUbuntuのメモリ マネージメント システムがメモリを占有させるプロセスよりむしろ、任意のプロセスを殺すことによって発生する。
　G-SECのThierry Zollerによれば、Operaはバージョン9.6.4でこのバグを修正すると約束したが、現在のところ実行されていない。MicrosoftはIE9で、この問題を修正したいとしている。おそらく新たなJavaScriptエンジンを搭載することになるだろう。大部分のモバイルデバイス（iPhone, Android, Symbian）上のブラウザとゲームコンソール（Wii, PS3）もまた影響を受ける。ただし、現在WebKitベースのブラウザを搭載したiPhoneとAndroidデバイスは、この問題を修正している。
　Thierry Zollerは、この問題が古い脆弱性（9年前にNetscape6で、最初に発見された）であると指摘している。他のブラウザのベンダは彼らのブラウザに互換性を持たせようとするので、G-SECがそのようなことにベンダの注意を引かせる前に、あらゆる共用ブラウザエンジンで同様の失敗が作成される

Firefox 3.5.1、リリース
F-Secure Weblog : News from the Lab (2009/07/17)

　Firefox 3.5に深刻な脆弱性が存在した。オンライン上でこのフローを実際に攻撃する悪意あるサイトも存在した。
　この問題を解決した、Firefox 3.5.1がリリースされた。既に利用可能である。
　今すぐアップデートするのであれば、こちら。

MyDoom DDoS攻撃はマイアミ（フロリダ州）からだった
Sunbelt : Blog (2009/07/15)

　PCWorldはアメリカと韓国政府のWebサイトに対するDoS攻撃の配信元は、北朝鮮でも、韓国でも、イギリスでもなくアメリカのフロリダからだったと報告している。
　昨日、ベトナムのセキュリティ企業の研究者は、イギリスのBrightonのGlobal Digital Broadcastによって使用されるIPアドレスに対して攻撃を導くcommand-and-control サーバ（リモート・コマンドの通信を行うサーバーのこと。リモート・コマンドの受信にはチャット・プログラムなどで使用されているIRC（Internet Relay Chat）プロトコルが使用される）を追跡したと発言している。同社はIPテレビを提供している。
　更なる調査は、実際のcommand-and-controlマシンがグローバルパートナーの一つ（Digital Latin America）によって所有されており、イギリス（しかし、装置等はフロリダのマイアミに存在する）のグローバルネットワークに接続するバーチャル個人ネットワーク上に存在することが明かにされた。Digital Latin Americaは、IP TVデバイス用テレビジョンプログラムをエンコードしている。
　今月の第一週に開始されたこの攻撃は、制御コンピュータと世界中の167,000の改竄されたマシン（ボットネット）に定期的にコマンドを送信する八つの他のマシンを含んでいる。
　こちらを参照。

　【訳注】　画像は、The Hより。

MS OfficeとIEに発見された新たな脆弱性
Washington Post : Security Fix (2009/07/13)

　一週間で二回目、Microsoftは、犯罪者がWindowsコンピュータに侵入しWindows中の、これまで未知のセキュリティホールを攻撃中であると警告している。Microsoftは、公式なソフトウェア アップデートがリリースされるまで、ユーザを保護する一時的な修正をリリースした
　この問題は未だ、別の危険なActiveXコンポーネント（今回は、IEと様々なMicrosoft Office製品の間でExcelスプレッドシートを取り扱う物）に由来する。
　本日リリースされたアドバイザリで、Microsoftは、この脆弱性（脆弱性あるWindows PCを、単純にユーザを欺き、IEでブービートラップされたWebサイトに訪問させることで完全な制御を犯罪者に与える種類の脆弱性）に対する攻撃を気がついていた（このことは、あなたがWindowsユーザであっても、継続的にIE以外のブラウザでWebサーフィンし、E-Mailリンクを開いているのであれば、このフローについて心配する必要は殆どない）。
　Microsoftによれば、以下のアプリケーションをインストールしているなら、あなたのシステムは脆弱性がある。

＊＊＊＊＊　影響を受けるソフトウェア
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 3
Microsoft Office XP Web コンポーネント Service Pack 3
Microsoft Office 2003 Web コンポーネント Service Pack 3
2007 Microsoft Office system Service Pack 1 用の Microsoft Office 2003 Web コンポーネント
Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3
Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3
Microsoft Internet Security and Acceleration Server 2006
Internet Security and Acceleration Server 2006 Supportability Update
Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
Microsoft Office Small Business Accounting 2006

＊＊＊＊＊　影響を受けないソフトウェア
Microsoft Office 2000 Service Pack 3
2007 Microsoft Office Suite Service Pack 1 および 2007 Microsoft Office Suite Service Pack 2
Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック Service Pack 1 および Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック Service Pack 2
Microsoft Forefront Threat Management Gateway、Medium Business Edition
Microsoft Internet Security and Acceleration Server 2000 Service Pack 2

　影響を受けるユーザは、この脆弱性あるコンポーネントを無効化するRedmondの暫定的修正を、このリンクを訪問することで取得できる。「回避策を有効にします」の”Fix it”アイコンをクリックし、そこからのインストレーション プロンプトに従う。Microsoftは、このフローを塞ぐ公式のパッチを開発中であると発言している。
　通常、Microsoftはこの種の脆弱性に関して警告するとき、「限定的攻撃」と発言する。今回に関しては、Microsoftは、アドバイザリで注意深く言葉を選んでおり、この文言を敢えて外しているかのようである。このことは、このフローを攻撃するサイトの数が巨大であることを意味しているのか、あるいは、これが未パッチの厳しい脅威を軽視しようとしないことを目的として、Microsoftが今迄行ってきたことからのチョッとした政策転換なのか、現時点ではハッキリしていない。前回、Microsoftが未知のセキュリティホールについて警告を発した（先週）とき、「限定的攻撃」という言葉を使用していた。直後にリリースされたアドバイザリ（攻撃のスコープを示唆したSANS Internet Storm Centerからのアドバイザリ）は、限定的とはしていなかったし、数千のWebサイトが、インチキのソフトウェアを訪問者のPCにインストールするためにこの脆弱性を使用していると、忠告している。
　アンチウィルスベンダのSophosは、幾つかのWebサイトのレポートを受け取り、インチキソフトウェアをダウンロードするWeb脆弱性攻撃キットの一部として、この脆弱性攻撃サーブしているのは主に中国でホストされているサイトであると発言している。

Firefoxにメモリ損壊の脆弱性
F-Secure Weblog : News from the Lab (2009/07/14)

　完全に安全なブラウザなど存在しない。そして今日、任意のコードを実行を可能にするとして、ポストされているFirefoxの脆弱性の追加証拠がもたらされた。Firefox 3.5（最新バージョン）は、この脆弱性の影響を受ける。以前のバージョンも、この脆弱性の影響を受けるかもしれない。
　Firefox 3.5の脆弱性は、JavaScriptコードのハンドリング時のエラーに起因して発生させられる。追加情報に関しては、我々の脆弱性の説明を参照。SBerryによって発見されたこの脆弱性への攻撃は、昨日人気ある脆弱性を攻撃するサイトにポストされた。
　ブラウジングプロテクション研究者の一人であるJoshuaは、我々のExploit Shield技術に対して、このFirefox脆弱性攻撃をテストした。
　そして、結果は良好であった。我々のExploit Shieldはシェルコード（【訳注】ソフトウェアのセキュリティホールを利用するペイロードとして使われるコード断片。侵入したマシンを攻撃者が制御できるようにするため、シェルを起動することが多いことから「シェルコード」と呼ぶ）として ヒューリスティックに検出し、この脆弱性攻撃をブロックした。

　０-Day攻撃に対して0-Dayプロテクション。Exploit Shieldは本年度製品の一部としてリリースされる。スタンドアロンのExploit Shield（ベータ）は、Technology Previewページから利用可能である。

=============

Note: Firefoxは良いブラウザだが、安全なサーフィンの習慣を実行しつづけなさい。

アップデートされたブラウザと昔ながらの攻撃
F-Secure Weblog : News from the Lab (2009/07/13)

　Firefox 3.5が利用可能となり、直ちに、ホットなダウンロードアイテムになった（今迄に、世界中で2400万ダウンロード）。このブラウザはそれ自身、高速・安全・優良として誇大宣伝しているが、これは注意しなければならない理由とは言えない。
　我々の脆弱性解析者の一人が、ある日、このビデオを探し出した。このビデオのタイトルは「Firefoxの脆弱性」だが、今迄の我々の解析では、この脆弱性は実際にFirefoxをターゲットにしていないように見える。
　この攻撃それ自体は、むしろ包括的である（少なくとも三つの攻撃が試みられている。そして、彼らの実験は多少複雑にしているようである）。この脆弱性はAdobe Flash Player(CVE-2007-0071)とMicrosoft ActiveX Control(CVE-2008-0015)をターゲットにしている。この最後の脆弱性は最近インターネット上を彷徨っているものである。
　使用されている方向性は、被害を受けやすいWebアプリケーションの立証済みのルートである。それは基本的に真新しいドレスの同じ古い穴である。ブラウザをアップデートすることは、良いことである。同時にWebアプリケーションをアップデートしないことは、良くないことである。老婆心から、ブラウザをアップデートする時は、プラグイン、アプリケーション等をアップデートすることを忘れるな。
　そうは言っても、我々のExploitチームは現在、この脆弱性のある機能を深く掘り下げている。何か興味ある機能を探し出したなら、アップデートを追加する。

危険な検索用語
abc15.com : iNVESTIGATORS-CONSUMER ALERT (2009/07/06)

　今までに、music videos onlineで検索したことがあるか？
　song lyricsはどう？
　したことがあるのなら、気をつけなさい。
　これらの用語はインターネット上での検索で最も危険な用語の範疇である。
　コンピュータセキュリティ企業McAfeeの新しいレポートは、スカマーがスパイウェアやウィルス付きのページに、この様な用語をロードすることで、検索ランキング上位に位置させ、あなたの興味を惹きつけていると警告している。
　McAfeeによれば、2009年の最も危険な用語は、lyrics, free videos, music, screensaversである。
　特に、 free lyricsとfree screensaversには注意を払わなければならない。
　McAfeeは、検索者が思っている以上であり、スパイウェア等をダウンロードする可能性は半分あると発言している。
　McAfeeは、music lyrics（歌詞）を提供している多くのサイトは、ユーザのコンピュータに極秘にプログラムをダウンロードし、ポップアップ広告やもっと酷いもので、ユーザのPCを洪水にすると発言している。
　McAfeeによれば、無料のmusic and lyricサイトは、コンピュータを綺麗に掃除することなしには削除不可能なスパイウェアやマルウェアを含んでいる。
　もし、YouTubeやTVネットワークサイトのオンラインの音楽ビデオを閲覧したいのであれば、それを閲覧するために特別なプログラムのダウンロードを要求されないことを確実にしておくことである。

Office 2010
Sunbelt : Blog (2009/07/10)

　Microsoftは、slick website promoting Office 2010をリリースした。
　カッコいいビデオだが、実際には何等情報はない。
　Office 2010が、Office 2007の開発で行った大きなUI（ユーザ インターフェイスの略、キーボード中心に使用するユーザにとって、Office2007は苦痛以外の何者でもなかった）の失敗を修正していると良いのだが。

Microsoft、DirectShowのパッチを、7/14にリリースの予定
The H : Security (2009/07/10)

　Microsoftは、次のPatch Tuesday（7月14日）にリリースする6つのセキュリティアップデートのうちの一つに、DirectShowのセキュリティホールを塞ぐパッチをリリースする予定であるとアナウンスした。これは、少なくとも、Microsoftのセキュリティ レスポンス チームのJerry Bryantによって報じられた計画である。Bryantによれば、開発チームは24時間体制で仕事している真っ最中であり、火曜日までに広範に配布するための適切な品質のアップデートをリリースすることが可能だろう、としている。一時的回避策として、Microsoftは、この脆弱性を修正するツールを、ユーザがダウンロードし稼働させることを推奨している。
　他の二つのアップデートは、Windows中の深刻なセキュリティホールを塞ぐ。そして、Microsoft Office Publisher 2007ようの一つのアップデートはリモート攻撃脆弱性を塞ぐ。Redmond（【訳注】Microsoftと同義）はまた、Internet Security、Acceleration Server 2006 (ISA)、Virtual PCとVirtual Serverの様々なバージョンの権限昇格問題の修正も計画している。

Microsoftの未パッチのWindowsフローが攻撃された
Washington Post : Security Fix (2009/07/06)

　Microsoftは本日、脆弱性を持つPCに侵入するため、Windows XP, Server 2003システム中の今迄未知のセキュリティホールを、ハッカーがターゲットにしていると警告した。今日のアドバイザリは、このフローからの脅威を軽減するための示唆を含んでいる。
　本日ポストされたセキュリティ警告で、Microsoftは、ユーザが単にハックされていたり、ブービートラップされている、このセキュリティホールを攻撃するために設計されたWebサイトをブラウズしたなら、この脆弱性は犠牲者のPCにウィルスや他のソフトウェアをインストールするために使用されることが可能であると発言している。
　Microsoftは、この脆弱性のコンテキストで「限定された、積極的」攻撃と定義していない。しかし、SANS Internet Storm Centerは、新たに改竄された数千のWebサイトが、この脆弱性を攻撃するコードの種を蒔いているとレポートしている。SANSはまた、この脆弱性を攻撃するための示唆が、幾つかの中国のWebサイトにポストされていると発言している。
　Symantecによって公開されたプレスリリースによれば、この攻撃でマルウェアを配布しているサイトの一つは、ワシントンにあるロシア大使館の公式Webサイトである。
　Symantecセキュリティ対応の副責任者Vincent Weaferは、このフローがInternet Explorer 6,7をインストールしているWindows XPユーザに影響を与えると発言している。
　Microsoftは、この問題がMicrosoft Video ActiveX Control中の脆弱性に起因すると発言している。そして、このセキュリティホールを塞ぐ公式のパッチを作成中であると発言している。他方、Microsoftは顧客が、IE（WindowsのDefaultのWebブラウザ）中のこのActiveXコントロールに関するいかなる作為的使用も表示させないために、この機能を無効化することを考慮すべきであると発言している。
　これを実行するには、影響を受けるとされるユーザは、脆弱性あるWindowsコンポーネントを無効化するために、このページ上の"回避策を有効にします"アイコンをクリックする。Microsoftは、Windows VistaとWindows Server 2008のユーザはこの脆弱性の影響を受けないが、より慎重な防御を考慮し、この回避策を実装することを推奨している。

プライベート ブラウジング
F-Secure Weblog : News from the Lab (2009/07/01)

　Firefox 3.5が昨日リリースされた。私はPrivate Browsing Mode（プライベート ブラウジング モード）を試したかったので、今日、Firefox 3.5をインストールした。以下が私のFirefox 3.0.1でのプライバシー設定である。

　インストールした時、Firefox 3.5のプライベート ブラウジングの停止オプションは無効化されていた。

　このインストレーションは、3.0.1の設定を認識し、それと同じようにプライベート ブラウジングを設定し、「自動的にプライベート ブラウジング セッションで開始する」ように3.5を予め設定したようである。
　素晴らしい。

　そこで、選択しておきたいプライベート ブラウジングの簡単なオプションの再設定（変質的？？？）を除いて何の変更もしなくて済んだ。
　経験すべし。

********************** 【訳注】プライベート ブラウジングについて窓の杜より引用

プライベート ブラウジングは、一時的にWebページの閲覧履歴、検索履歴、フォーム入力履歴、ダウンロード履歴、一時ファイル、Cookieを保存せずにWebブラウズができるという機能。同様の機能は「Safari」や「Google Chrome」が搭載しているほか、IEも次期バージョンv8で搭載を予定しており、最近のWebブラウザにおけるトレンドの1つとなっている。

稼働中の新たな危険なスパムはPDFの脆弱性を利用して感染する
Sunbelt　：　Blog (2009/06/30)

　昨日、我々の吸引装置は、OutlookとOutlookExpressの偽のアップデートを押し付ける危険な新たなスパムの稼動を検出し始めた。Microsoftからと主張するこのスパムは、あるWebページを人々に押し付ける。次に、PDF脆弱性を攻撃するページにリダイレクトする。

　このリンクをクリックすると、"Microsoft"アップデートと称するページの一つに連れていかれる。幾つかの中から一例をあげる。

　あっという間に、この例のようなサイトを訪れた人々は脆弱性を攻撃するページにリダイレクトされる。悪意の総体はZbotである。
　あなたやあなたのユーザがAdobe Acrobatの最新バージョンに完全にアップデートしていないのであれば、これは極めて危険なスパムである。

Firefox 3.5
The PC Informant　：　Blog (2009/06/30)

　Firefoxの最新バージョンが利用可能になった。Gigaomのコメントによれば、

Mozillaは、最新バージョンFirefox 3.5をリリースした。多くのWebアプリケーションに深刻な脆弱性を与えるJavaScriptパフォーマンスは、新たなTraceMonkeyエンジンにより大幅な改善がなされ、実際に非常に高速動作する。更なるパフォーマンスと標準への準拠の改善として、Firefox 3.5は、新たなプライバシーコントロール、location-aware browsing（Googleの位置情報サービスを利用し、あなたのIPアドレス、ワイアレスアクセスポイント近辺の情報等を使用して、あなたの位置を決定する）、プラグインなしにビデオやオーディオを再生する機能を搭載している。

　現在のFirefoxのユーザはFirefoxのメニューから、ヘルプ＞ソフトウェアの確認　からこの最新版を入手できる。あるいは、>このリンクを使用する。

[追記]
　拡張の中には最新版へのアップデートが対応できていない物が存在する。あなたが失いたくない拡張を持っているのであれば、Firefoxのアップデートを暫く待つことである。

Windows 7で削除されたVistaの機能
The PC Informant　：　Blog (2009/06/30)

　Windows 7では幾許かの機能が追加され、幾許かの機能が削除された。>Windows ClubはWindows 7で削除されたVistaの機能をリストしている。Windows Photo Gallery、Windows Movie Maker、Windows Mailなどが含まれている。

有用なGmailセキュリティ機能
Sunbelt　：　Blog (2009/06/29)

　Gmailアカウントは、ハックされることも他人に閲覧されることもできる。そこで、何処からアクセスされているかを知ることは良いことである。
　Gmailユーザは、Gmailページの底部にあるGmail中の手軽な機能で、これを実行できる。

＊＊＊＊＊＊＊＊＊＊【訳注】　以下類似の部分があるので、「もっとみる」をクリックします

高速 Gmail をケータイで。携帯電話のブラウザから http://m.google.co.jp/ にアクセス。 詳細
現在 7342MB 中 174MB (2%) 使用しています。
前回のアカウント アクティビティ: 20分前 (IP: ***.+++.***.+++)。 もっとみる

　「もっとみる」をクリックすると、あなたのアカウントのアクティビティの概要（PCブラウザ、携帯電話、POP3）を取得できる。
　大変有用である。

VLCメディアプレーヤーにセキュリティホール
The H　：　Security (2009/06/26)

　セキュリティサービスプロバイダSecuniaによれば、VLCメディアプレーヤーのWindows版中の脆弱性はシステムを改竄するための攻撃に利用される可能性がある。攻撃は生贄にとてつもなく長いsmb:// URI付きプレイリスとファイルを開かせることをアタッカーに要求する。この問題の発生は、modules/access/smb.c中のWin32AddConnection関数中のバッファオーバーフローである。
　このエラーはVLCのバージョン0.9.9で発見されたが、おそらく他のバージョン中にも存在しているだろう。VLC開発者は、Git（【訳注】プログラムなどのソースコード管理を行う分散型バージョン管理システム）レポジトリ中で修正したが、このプレーヤーをクラッシュさせるDoSとしてだけこの問題の説明をしている。公式には、バージョン0.9.9だけがソースコードとWindows用バイナリで、（【訳注】この問題の修正を）利用できるようになっている。

安全なブラウジング用のフリーの拡張
The H　：　Security (2009/06/26)

　アンチウィルス業界のFinjanからIEとFirefox用のフリーのブラウザ拡張 SecureBrowsingは、Google検索、他の人気サイト、オンラインポータル中の潜在的危険なリンクをユーザに警告する。このアドオンは三つの異なった色のアイコンを使用してリンクに印を付ける。グリーンは、ユーザにそのページをブラウズしても安全であることを知らせる。黄色はそのページをスキャンすることが可能でないことを示唆している。赤は、そのページがスパイウェアとして挙動する可能性を含んでいることをユーザに忠告している。Twitter, MySpace, Digg, Slashdotを含んでいる人気あるサービス、同様にGMail, Yahoo, Hotmailのようなオンラインメールサービスへのリンクもまた検証されている。人気あるTwitterマイクロブログサービス上に見られる、また、TinyURL, Cligsのようなサイトからの短縮されたURLもチェックされており、適切なアイコンが貼り付けられている。
　他の類似のブラウザアドオンと異なっている。例えば、SecureBrowsingは ページの評判や他のプロバイダからの情報をベースとしていない。どちらかといえば、各リンクは潜在的有害性コンテンツに関し個別にスキャンされる。Finjanはそれ自身の所有する挙動解析を使用する。そして、このアドオンは、HTMLコードそれ自身を検索するのみであり、マルウェアやウィルス感染に導くダウンロード可能な如何なる付加ファイルも検索しない。解析が行われているとき、このアドオンは各リンクに解析結果待ちを意味するアイコンを表示する。ページのURLの全てを解析するために、おそらく数秒かかるだろう。
　Googleを使用した簡単なテストで、SecureBrowsingは潜在的にスパイウェアの挙動をしているとしてフラグを立てるページを発見することは困難であることを証明した。McAfeeによれば、"screensaver", "free music download", "bebo" のような検索用語を使用すると、幾つかのページにはフラグが立たなければならない。検索キーワードにTwitterを使用したとき、SecureBrowsingは、短縮されたURLの幾つかにマークを付けた。しかし、Tweetsを追加したものを表示するために更に検索した後、明らかに、それらの幾つかはスキャンされていなかった。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊　The Hの検索実験画像へのリンク　

１）　>The h-online browser checkは、有害ではない。ユーザが脆弱性を持っているかどうかデモしているだけである。それであるにも拘らず、Finjanは有害の可能性ありとしてマークしている。
２）　FinjanアドオンはTwitterリンクの全てをスキャンしているわけではない。

「Adobe、Shockwave Player中の深刻な脆弱性にパッチ」の追加情報
Washington Post　：　Security Fix(2009/06/25)

【訳注】要点のみ。
1/
　インストールされているShockwave Playerのバージョンを知るには、こちらを訪問する。
2/
　Adobeによれば、未だこの脆弱性を狙った攻撃は発生していない。
3/
　Shockwave version 11.5.0.600へのアップデートは、下記手順を踏んだ後、以下のサイトより利用可能。
4/
　読者は、Defaultで、このパッチがシマンテックのNorton Security Scan（あなたのシステムがマルウェアを持っているかを確認するノートンの巧妙なマーケティングツールで、次に、発見された全てのアイテムを削除するためにシマンテックのソフトウェアを購入することを要求してくる）をインストールしようとすることを認識すべきである。私はこれとは別の深刻なセキュリティアップデートが同梱されていることを発見した（ただし、このツールがイラつかせたり、非生産的であるといったようなことは除く）。読者は不思議に思うだろう。シマンテックが単独でこのマーケティング戦術を思い付いたのか？　それとも、シマンテックはインチキなアンチウィルス製品を押し売りしている人々から考えを借りたのか?(はたまた、逆か?)。いずれにせよ、この一時的なソフトウェアを望まないのであれば、アップデートの処理を始める前に、このオプションを無効にしなさい。

Adobe、Shockwave Player中の深刻な脆弱性にパッチ
The H　：　Security (2009/06/24)

　Adobeは深刻なセキュリティ脆弱性を修正するためにShockwave Playerバージョン11.5.0.600をリリースした。Adobeによれば、この深刻な脆弱性はアタッカーによって改竄され、ユーザのシステムの制御を取得するために使用することが可能だった。攻撃が成功した場合、犠牲者は最初に巧みに取り扱われたShockwaveファイルを開かれることになる。しかしながら、脆弱性の詳細はリリースされていない。
　Shockwave 11.5.0.596とそれ以前のバージョンはこの脆弱性の影響を受ける。新しいリリースにアップデートするためには、ユーザは最初に以前のバージョンのShockwave Playerをアンインストールしなければならない。次に自身のシステムを再起動し、新しいバージョンをインストールする。Adobeは全てのユーザが最新版にアップデートすることを推奨している。
　Adobe Shockwave PlayerはFlash Playerの外見上巨大な兄弟である。そして、機能のより幅広い範囲を含んでいる。Adobe Shockwave Playerはより複雑に使用される（双方向性プレゼンテーション、ゲーム、他のアプリケーション）。おそらく、大多数のユーザはAdobe Flash Playerだけをインストールしているだろう。この場合は、今回のShockwave Playerの脆弱性の影響を受けない。　

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊【訳注】アップデート情報

　人気あるPDFリーダー　Foxit Readerもアップデートされています。

USBフラッシュドライブからU3ソフトウェアを削除せよ
PC Informant　：　Blog (2009/06/23)

　USBフラッシュドライブの中にはU3と呼ばれる特別なソフトウェアを搭載している物がある。あるソフトウェアはU3を有効にしたドライブ（CDドライブを装う）でのみ稼働する。しかしながら、私はそれらを緩慢にすることと全く有用でないことを見出した。私はUSBがお気に入りである。U3プラットフォームを削除するソフトウェアがある。U3を有効にしたドライブの中には、U3アンインストールオプションを持っている物もある。アンインストールオプションがなければ、こちらからアンインストールを実行するソフトウェアをダウンロードできる。

【訳注】ダウンロードは、3.How do I uninstall U3 from my flash driveの項の、Remove U3のリンクをクリックしてください。

Botnet所有者とOpera Unite機能
Sunbelt　：　Blog (2009/06/18)

　Operaは、ユーザがOperaブラウザをサーバーとしても利用できるようにする”Unite”と呼ばれる新しい機能を導入した。これは、多分、生肉を充満したバックパックでサファリパークにハイキングする顧客を送り出すのと同様に、丹念に考えられたかもしれないコンセプトである。
　Opera Uniteの開発者用プライムによれば、「Opera UniteはOperaブラウザ内部で稼働するWebサーバ機能である。このことはユーザがこの機能で、幾許かの驚くべきことを実行することを可能にする。」　我々は、この機能で幾許かの驚くべきことを実行するためにインターネットを使用する別の人々がいることもまた、間違いないと思っている。
　Uniteは基本的にOpera Webブラウザ ウィジェット システムに対する拡張の一つのグループである。この拡張のグループは、Operaユーザがブログやファイルへのアクセスを彼らの友人に対して提供するためのサーバとして、Operaユーザのマシンを設定することを可能にする。Operaのサーバは、その「Turbo」機能のためのページを提供し、ユーザのUniteにリンクされたブラウザとの間で情報伝達するためのファイアーウォール付きプロキシとして行動する。Operaのスタッフはバグや悪意あるコードをチェックする。成人向けの情報は許可されない。
　発生すると思われる最も重要な疑問は、ユーザが彼らのファイルシステムに対し偶然に意図しないアクセスを行うことはないのか？　である。Operaのプログラムは正にウィジェットである。ショートカットは、彼らがアクセスできるものを設定するために提供されている。幾許かのショートカットは、システムフォルダに導く。このドキュメント中には警告が含まれているが、つまるところ、露出される物は、その開発者に委ねられている。
　ウィジェットはOpera以外のソースから利用可能である。これは侵入者が、ローカルウィジェットであることを装い、実際には悪意ある目的のためにUniteプロトコルを使用するOperaウィジェットの作成を可能にする。
　我々は最初の"Unite"ボットネットを監視する。
　更なる情報はこちら参照。
　Unite開発者用Operaプライムはこちら。

インチキのアンチウィルスソフトがMicrosoft Malicious Software Removal Toolになりすましている
Sunbelt　：　Blog (2009/06/12)

　マルウェアの製作者はWindowsでチャッティネスとマーケティングwebiness（Web-Businessの造語）の利用を継続している。主たる事例は、Windows Malicious Software Removal Tool（悪意あるソフトウェアの削除ツール）を装う新たなインチキのアンチウィルスプログラムである。
　CA（コンピュータ・アソシエイツ）は、この一つに関する仕事を幾つかの有用なスクリーンショット付きで実行したので、私はこの件に関する仕事をする必要がなくなった。
　リンクは、コチラ。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊
【訳注】CAより画像を引用しておきます。

Adobe、第一回目のReaderとAcrobatの定期的セキュリティアップデートを6月9日に予定
Adobe Product Security Incident Response Team (PSIRT) : Security Bulletin - Adobe Reader and Acrobat (2009/06/04)

　Adobeは、WindowsとMacintosh版Adobe ReaderとAcrobat versions 7.x, 8.x, and 9.xのセキュリティアップデートの配信を6月9日に予定している。これは、我々が5月20日にポストしたブログに記載したAdobe ReaderとAcrobatに関する四半期毎のセキュリティアップデートの第一回目である。
　Adobeはこれを重要なアップデートであると考えている。ユーザは該当する製品のアップデートを適用することを推奨する。アップデートをダウンロードする場所の詳細に関しては、Adobeの Security Bulletins and Advisoriesサポートページ（【訳注】　日本では、おそらくアドビのセキュリティ情報のページ）に6月9日（【訳注】米国時間）にポストされるだろう。
　UNIX用セキュリティアップデートの詳細は利用可能になり次第ポストする。

BeladenペイロードサイトはShkarkimiに変更された
WEBSENCE Security Labs : Alerts (2009/06/04)

　Websence Security Labs ThreatSeakerネットワークは、Beladenとして知られていた巨大な改竄用ペイロードサイトが、Shkarkimiに変更されていたことを検出した。この新しいサイトはBeladenと同じIPアドレス上にホストされており、同じ攻撃を提供している。脆弱性攻撃を行うShrarkimiサイトへ誘導する紛らわしい誤認識用ドメインGoogle-Analyticsは未だ巨大な挿入を行っている。この記事を記述している時点で、我々は凡そ30,000のサイトが、最終的にShkarkimiに誘導されてコードを挿入されたことを確認している。この攻撃の詳細に関してはBeladenに関する我々のブログを参照されたい。

　Shkarkimiへのリダイレクトのスクリーンショット

　攻撃の流れは、Beladenの代わりに動的に形成されるサブドメインShkarkimiに自動的にリダイレクトされることを除けば、以前と同様である。

　上図から明らかなように、ShkarkimiはBeladenと非常によく似たネットワークトポロジー（【訳注】ネットワークトポロジーとは、ネットワーク機器の繋がり方のことを言います。ネットワーク機器が二つの場合は、繋がり方は一通りしかありません。三つ以上になると複数の繋がり方ができてきます）を持っている。昨日、GoogleセキュリティチームはマルウェアドメインのTop10のリストを公開した（Top10マルウェアサイトの一つにgoogleanalystlcs.netも含まれている）。合法サイトへのgoogleanalystlcs.netのコード挿入は、我々がBeladenを調査するとき追跡していたものである。Beladenはこの攻撃の初期の着陸地点ページだった。既に述べたように、攻撃者は今、最終着陸地点としてshkarkimi.netを使用している。

　我々はこの攻撃の監視を継続する。興味ある発見があったなら公開する。
　Websense MessagingとWebsense Web Securityの顧客はこの攻撃から防御される。

Microsoft Outlookのユーザはフィッシング攻撃のターゲットにされている
The H : Security (2009/06/04)

　Trend Microは、とりわけMicrosoft Outlookユーザをターゲットにした新しいフィッシング攻撃を警告した。E-Mailを単にオンラインアカウントの詳細や一般的個人情報から生贄を欺くことに使用するよりむしろ、この様な攻撃はE-Mailアカウントそれ自身の詳細を取得することを企てている。フィッシングE-Mailは、Microsoftからのものであることを装い、フィッシングWebサイトに誘うリンクをクリックすることによってOutlookメールクライアントを再設定するための手法を提示している。そこで、このサイトはユーザに再設定プロセスを完成させるためとしてアカウント名、パスワード、メールサーバー情報を登録するよう依頼する。
　E-Mailアカウントの詳細から生贄を欺くことで、フィッシング詐欺を行っている者は、ソーシャルネットワーキング、マイクロブログ、個別のメール中に含まれる銀行アカウント情報を発見するために全てのE-Mailに容易にアクセスできる。さらに、そのアカウントにフルアクセスすることで、フィッシング詐欺を行う者は他のユーザに多くのスパムメールを送信するために、それを使用できる。

Googleの統計（Google Statistics）はマルウェアのTop10サイトを露にした
Washington Post : Security Fix (2009/06/02)

　Googleは最近の二ヶ月以上に渡るスキャンから、Top10マルウェア ソース サイトに関する統計をリリースした。これらはユーザのブラウザをマルウェアのソースサイトにリダイレクトするために、感染している合法的サイトによってユーザに配布されるマルウェアをホストしているサイトである。次に攻撃者は、犠牲者のシステムにマルウェアを感染させるためにIE、Firefox、QuickTime中の様々な脆弱性を利用する。

　Googleのグラフはまた、Top10マルウェアサイトのどれかにリンクするために改竄された幾つかの合法的Webサイトを表示している。5月中旬最もアクティブであったドメインは、凡そ60,000の改竄されたサイトを持つgumblar.cnであった。Martuz.cnは第二位のアクティブドメインであった。そして、改竄サイトは35,000がピークであった。先週確認された巨大なハック攻撃は、googleanalytlcs.net（Googleの無料解析サービスに故意に類似に名付けられたドメイン）が二万以上の合法的Webサイトを巧みに取り扱う中心的役割を果たしていたことが確認された。Top10中に示されている6つは、中国を表すトップレベルドメイン（.cn）を使用してホストされている。4000以上のサイトが、マルウェアを配布するためにセットアップされていることがGoogleによって確認された。このうち、1400以上が.cnトップレベルドメイン中にホストされている。
　Googleは、ユーザがフィッシングや他のオンライン攻撃を防ぐためにSafe Browsing APIを含んでいるWebブラウザ（FirefoxやChromeのような）を選択するよう推奨している。Googleはまた、検索結果の中には改竄されたサイトに導くものがあることを警告している。

iTuneとQuickTimeのセキュリティアップデート
Washington Post : Security Fix (2009/06/02)

　AppleがQuickTimeメディアプレーヤーとiTuneソフトウェアのセキュリティアップデートをリリースした。このアップデートはWindowsとMacの両方のプログラム用が利用可能である。
　QuickTimeへのパッチはバージョン7.6.2としてもたらされた。そして、少なくとも10のセキュリティホールが修正された（QuickTimeのWindowsバージョン特有の二つの問題の修正を含む）。iTuneのアップデート（バージョン8.2）は、悪意あるWebサイトがユーザのシステムに、ソフトウェアをインストールするためのプログラムを使用することを可能にするiTune中の一つのフローもまた修正された。 　AppleユーザはSoftware Updateから、このアップデートを入手できる。Windowsユーザは、このアップデート入手用に同梱されているApple Software Updateプログラムを使用する必要がある。

MicrosftはFirefoxの拡張を、こっそりインストールしている
Washington Post : Security Fix (2009/05/29)

　コンピュータに山のごとくインストールされているMicrosoft Windowsコンポーネント用セキュリティアップデートの方法は、Mozilla Firefox WebブラウザでWebサーフィンしている数多くのユーザに何も告げることなく、臨時のアドオンをこっそりインストールしていた。
　今年初め、MicrosoftはMicrosoft .NET Framework（プログラミング プラットフォーム用サービスパック。Microsoftや多くのサードパーティーの開発者がWindows上で相互作用する様々なプログラムを稼働するために使用している）の一群のアップデートを出荷した。
　他のアップデートのように、.NET Framework用サービスパックは、Windows Update Webサイトを通じてユーザに提供されていた。Windows Updateが.NET Framework用サービスパックを提供し始める前に、多くの読者はこのプラットホームについてこれまで耳にしたことはなかったはずである。そして、読者の多くは.NET Framework用サービスパックを進んでインストールして差し支えないか知りたがっていた。早期に行われたことは、このサービスパックが広範な問題を引き起こすか、あるいはサードパティー製プログラムを妨害するかを確認することであった（結局、このアップデートで撥ねつけられるものは何も発見されなかった）。私は読者に、心配せず.NET Frameworkをインストールするようにと告げた。

　私は、ほんの数日前まで認識していなかったのだが、ここに、このサービスパックをインストールすることによる小さな副作用に関するレポートがある。明らかに、.NETアップデートは、このアップデートが所有するFirefoxアドオンを自動的にインストールする（危険性はないが、一旦インストールすると削除することは困難である）。
　Annoyances.org（Windowsでイライラする様々な面をリストしている）は、このアップデートは現在のIEの全てのバージョンで最も危険な脆弱性の一つ（Webサイトが容易に且つ黙って、あなたのPCにソフトウェアをインストールする能力）をFirefoxにインストールする、と発言している。私はこのことをこの様なヒドイ言葉に置き換えたくない。しかし、Windows用Firefoxのそこそこの利用者は狂信的とも言える反Internet Explorer派であると確信している。そして、いかなる方法であれ、Firefoxを弄っているRedmond（【訳注】Microsoftと同義）の意向を大変不快に思う。
　一大事件、そう思いますか？　私はFirefoxの手動アドオンインターフェイスからこのアドオンをアンインストールすることができる。正しいか？　そううまくはいかない。この問題は、Microsoftがこの拡張の「アンインストール」ボタンを無効化したことにある。さらに重要なことは、Microsoftによれば、この拡張を削除する唯一の方法はWindowsレジストリを修正することであると我々に告げた。もし不正確な処理をすれば、Windowsは起動しなくなる。

　これを最初に学習したとき、頭に三つの考えが即座に閃いた。

1.　どのようにすればこれを回避できるか？
2.　正しい方法が、Mozillaのアドオンページに、このアドオンに関して公開されているだろうか
3.　他の何かが、我々の認識なしにMicrosoftによってインストールされていないか。

　そこで、私はMicrosoftの手法だけが唯一の解決策ではないことを発見した。Microsoftは以前にこの不幸な開発物に関してコメントした人々からの批判を聞いている。
　とにもかくにも、世界の終焉というわけではないが、多くの読者は苛立つだろう。最初に、このブログの読者に、.NET Frameworkセキュリティアップデートの「機能」を見逃してきたことを謝罪する。二つ目はMicrosoftに、これは、あなた方のセキュリティアップデートを信頼することを説得できない顕著な例である。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊
【訳注】この問題の解決方法
＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

手動アンインストール方法
手動で削除する方法、.NET Framework アシスタント for Firefox

.NET Framework 3.5 SP1をFirefox用.NET Framework Assistant 1.0にアップデートする
　この方法は、Firefoxアドオンリスト中で、この機能をアンインストールするためのアンインストールボタンが利用可能になります。 Update to .NET Framework 3.5 SP1 for the .NET Framework Assistant 1.0 for Firefox - 日本語（2009年05月31日、00:15現在、日本語版準備中です）

　いずれも、Microsoftのリリースです。

Microsft、深刻なDirectShow脆弱性を警告
The H : Security (2009/05/29)

　MicrosoftはQuicktimeビデオ再生用DirectXライブラリ中に深刻な脆弱性のあることを、そして、この脆弱性が実際に攻撃されていることを発見した。Microsoftは、この脆弱性に関する詳細な情報を含むセキュリティ アドバイザリを公開した。
　影響を受けるDirectShowフィルタはWindows VistaとServer 2008中には存在しない。影響を受ける脆弱性を持っているのはWindows XPのような以前のプラットフォームである。脆弱性あるシステム上では、代替ブラウザのマルチメディア拡張も、脆弱性あるOSのDirectX機能にアクセスするため、犠牲者がIEの代替ブラウザ（【訳注】Firefox、Opera等）を使用した場合でさえ、アタッカーはこのセキュリティホールを繰り返し攻撃することが可能である。AppleのQuicktimeをインストールしても、この問題の解決策とはならない。このフローは特別に細工されたWebページを通ることと、（例えばMedia Playerで）直接関連するファイルを経由することとの両方をトリガーにしている。
　ブログで、Microsoftのセキュリティエキスパートは、最も簡単且つ最も安全な解決策として、以下のレジストリキーの削除を推奨している（セキュリティ アドバイザリにも説明されている）。

HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}

　これはQuicktimeが脆弱性あるQuartz.dllライブラリ中で解析されることを妨げる（【訳注】QuickTimeコンテンツは再生不可能になります）。Microsoftはシステムに免疫を与えるためのWebページ”Fix it”を作成した。
　Microsoftは普段では考えられない透明性で、その行動計画を明らかにし、開発メンバーは調査終了次第パッチをリリースするため不断に努力していると発言している。この言葉の意味していることは、このパッチが次のPatch Tuesday（6月9日、日本では6月10日）にリリースされるのかどうか、まだ不明であるということである。

**********************************
【訳注】Microsoftの本件に関するアドバイザリ
**********************************

　マイクロソフト セキュリティ アドバイザリ: Microsoft DirectShow 脆弱性によりリモートでコードが実行されます

　このページの途中に"Fix it"ボタンがあります。この回避策を実行すると、QuickTimeコンテンツは再生不可能になります。なお、このページには、回避策を無効にするボタンもあります。

IEでLANの設定をすると遅くなる
The PC Informant : BLOG (2009/05/29)

　大多数のPCユーザはプロキシサーバとして知られる設定を使用していない。しかしながら、この設定はインターネット接続を試みたとき、IEのLAN設定がプロキシサーバを探すことを発生する。これはイライラする遅延を発生する。時々遅延を発生させる他のLAN設定は、「設定を自動的に構成する」オプションである。この様な設定はIEのダイアログ中に見出すことができる。

ツール＞インターネット オプション＞接続＞LAN設定

　このダイアログは以下の図のように表示される。

　大多数のPCユーザは、この設定の全てのオプションをアンチェックすべきである。全てのチェックを外したら、OKをクリック。もう一度、OKをクリックする。

アドビ、四半期毎に定例パッチを配信へ
ZDNet Japan : News＞Security (2009/05/21)

　Adobeは四半期毎（第二火曜日）にセキュリティパッチをリリースすると発表しました。WashingtonPost初め沢山のセキュリティ情報サイトが報告していますが、日本語サイトを紹介しておきます。

ZDNet

インチキのブラウザエージェント
F-Secure Weblog : News from the Lab (2009/05/18)

　インチキのアンチウィルスアプリケーションは何と巨大な問題なのだろうか？　見てみよう。
　あなたのブラウザユーザエージェントはどうなっていますか？　Firefoxであれば、以下のように表示されるだろう。

whatsmyuseragent.comであなたのブラウザユーザエージェントを確認できる。今、以下に示されているユーザエージェントを見てみよう。

Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; AntivirXP08; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

　解りますか？　まさしく中程に"AntivirXP08"が存在する。どういうことだろうか？
　幾つかのインチキソフトはブラウザユーザエージェントを改竄する。我々はAntivirXP08文字列の変種を沢山見てきた。改竄された文字列は、悪意あるウェブサイトで「ビジネス」するためのインストレーションを行うための系列を同定することが可能である。
　改竄されたユーザエージェントは様々なコンテンツを配布するためにも使用される。AntivirXP08の犠牲者は、インストーラをダウンロードするよう要求されることはないが、代わりにスカムを完成させインチキソフトを購入させるためのターゲットにされる。
　どのくらい感染させられたユーザエージェントがあるのだろうか？ Toniは悪の溜まり場の一つを検証した。そして、AntivirXP08を含むエージェントを使用している一意のIPアドレスが63000含まれていることを記録している。
　63000。この数は感染数として多いと言えるだろうか？　"Antimalware2009"のような他の文字列を含んでいない。
　これは大きな問題の小さな兆候である。

幾つかのベンダから山のようなアップデートが・・・
F-Secure Weblog : News from the Lab (2009/05/13)

Microsoft ? PowerPointと中の14の脆弱性にパッチ
Adobe ? Adobe Readerの二つの脆弱性にパッチ
Apple ? Mac OS Xの67のセキュリティ上の問題にパッチ

最も攻撃目標にされているファイルの種類はPDF
F-Secure Weblog : News from the Lab (2009/05/06)

　我々は過去何度も攻撃の目標にされている物について述べてきたし、PDFとマルウェアをインストールするためにAdobe Acrobat/Reader中の脆弱性を利用していることについても述べてきた。我々は、2008年と2009年の今迄に変化した攻撃目標として最も人気あるファイルのタイプに注目した。

　2008年では、攻撃目標にされた1968のファイルについて同定した。最も攻撃目標にされたファイルの種類は、"DOC"（Microsoft Wordに代表される）で、34.55%あった。

　2009年の今迄、我々は663の攻撃目標にされているファイルを発見している。最も攻撃目標にされているファイルの種類は、現時点で"PDF"である。何故、変化したのか？　第一に、Microsoft Officeアプリケーション中の脆弱性よりAdobe Acrobat/Reader中の脆弱性がより多いことに起因する。我々が一週間前に言及した二つの脆弱性のように・・・。この脆弱性をAdobeは5月12日に修正するとしている。
　攻撃目標に関する詳細と、それらが動作する方法は、我々の研究室によるYouTubeビデオで見ることができる。

Adobe、AcrobatとReader中のセキュリティホール修正版を12日にリリース
The H : Security (2009/05/05)

　Adobeは5月12日にAdobe ReaderとAcrobatのセキュリティアップデートのリリースを計画している。このアップデートは最近アナウンスされたJavaScriptのgetAnnots()関数中の深刻なバッファオーバーフローを修正するだろう。アタッカーはアプリケーションをクラッシュさせるPDFドキュメントを用意し、潜在的に影響を受けたシステムを制御することを可能にした。このアップデートはWindowsバージョンの7.x、8.x、9.x、及びUNIXとMACバージョンの8.x、9.xで利用可能である。
　UNIXバージョンのアップデートは、DoSや任意コードの実行を発生させるために巧みに取り扱われたcustomDictionaryOpen()メソッドJavaScript関数中の二つ目のセキュリティホールも閉じるだろう。このアップグレードのリリースまで、Adobeは、編集＞環境設定＞JavaScriptと進み、”Acrobat JavaScriptを使用”のチェックを外すことによって、脆弱性ある製品中のJavaScriptのプロセスを無効化するよう推奨している。

Windows 7 失敗
F-Secure Weblog : News from the Lab (2009/05/05)

　Windows 7 RCが本日リリースされる。
　素敵なニュースがある。それは、現在までにWindows Explorerが修正されたことである。
　認識されているように、Windows NT、2000、XP、VistaのExplorerは既知のファイルタイプの拡張子を非表示にしていた。そこで、ウィルス製作者は人々にドキュメントファイルのように見せかけたファイルを、間違えて実行させるためにこの機能を利用した。
　このトリックは、VIRUS.EXEをVIRUS.TXT.EXEやVIRUS.JPG.EXEと名付けることで、Windowsでファイル名の".EXE"部分を非表示にすることにあった。更に、ウィルス製作者は実行ファイルのアイコンをテキストファイルや画像ファイルのように見えるアイコンに変更している。
　間違いなく、このトリックはWindows 7 で動作しないだろうね？
　やってみよう。
　ウ〜〜〜ン、まさにExplorer中ではテキストファイルのように見える。

　しかし、実際には実行ファイルである。

　Windows 7 失敗。

Windows Vista SP2 非互換プログラムリスト
Microsoft : サポート オンライン (2009/04/28)

Microsoftサーポートオンラインの情報です。SP2にアップグレードする前に確認してください。ただし、機械翻訳です。

　Windows Vista および Windows Server 2008 Service Pack 2 のインストール後に機能の損失が発生するがわかっているプログラム

Adobe : Readerに未だ攻撃が発生していないフローがあることを警告
Washington Post : Security Fix (2009/04/28)

　Adobeシステムズは、Adobe Readerの最新バージョンに、未だ攻撃が発生していない新たなセキュリティフローが存在することを警告中である。Adobe製品セキュリティ問題対応チーム（PSIRT）のブログにおいて、Adobeは月曜日に簡潔なアドバイザリをリリースし「これは Adobe Reader 9.1と8.1.4中のセキュリティホールに関する調査中のレポートである」と発言している。Adobeは、「詳細な情報を入手次第直ちにアップデートは提供されるだろう」とも発言している。
　この脆弱性に関するSecurityFocusの提言は、Linux上で稼働するように設計されたReaderにJavascriptフローが含まれていることを指摘していたが、このアドバイザリでは、他のバージョンやOSでも影響があるかもしれないことを示唆している。
　これは何でもないかもしれない。しかし、私の感性は私に”Adobe Readerを稼働中のマシンに侵入するためAdobe Readerの今迄知られていないJavascript脆弱性を使用することを、マルウェアとハッカーが発見したとき、直ちに我々は、二月からの問題の焼き直しを迫られるかもしれない”と告げている。
　これはまた、先週の金曜日の最新のSecurity Fix Live Onlineで受け取った、一つの疑問を私に思い起こさせた。

Denver CO（【訳注】質問者）:　多くのコンピュータに詳しいとされる人々がAdobe Readerに発見された最近の脆弱性により、代替PDFリーダーに引越している。あなたはAdobe Reader/Adobe Acrobatを使用することは、もはや賢明な選択ではないと考えているか？

Brian Krebs（【訳注】回答者。このブログの著者）:　様々なソフトが使用されることが賢明であると私は考える。とりわけコンピュータソフトウェアとOSの世界においては。同等もしくはより優れた代替ソフトが与えられ、明らかにマーケットのリーダーではないソフトウェアを使用することは、安全保障の観点からは屡々賢明な手段である。

　近頃、私はAdobeのPDFリーダー（肥大化し動作が緩慢である）に代わる物としてフリーのFoxit Readerを推奨してきた。セキュリティ上の利益の可能性は、ちょっとしたボーナスである。
　代替ソフトとして、殆どの場合フリーで軽量なFoxit Reader（Adobe Reader同様、インストールしたくないツールバーを同梱している）を推奨する。他にもSumatra PDFやPDF-XChange Viewerのような、フリーのPDFリーダーがある。
　Adobeは、多分、未だチェック中のため、如何なる軽減方法も提供していない。可能性ある方法の一つはAdobe ReaderのJavascriptを無効化する（編集＞環境設定＞JavaScript　と進み、”Acrobat JavaScriptを使用”のチェックを外す）ことである。もちろん、これを実行してもこのバグからの潜在的脅威を鈍化させないかもしれない。更に、Adobe ReaderのJavascriptを無効化することは、このプログラムからのイライラさせる挙動を発生させる（【訳注】起動したときに、JavaScriptが無効化されています。有効にしますか？　等というメッセージの発生・・・）。

************************　Update ： F-Secureから以下がレポートされた（要点のみ）

　この脆弱性は、二つのJavaScript関数、getAnnots()とspell.customDictionaryOpen()、に起因する。共にリモートからのコードの実行を許可する。
　F-Secureは、Adobe Reader代替のPDFリーダーの使用を推奨する。特定のリーダーを推奨することはしないが、ここにPDFリーダーのリストがある。他にFoxIT、CutePDFがある。
　あなたがAdobe Readerを変更できないのであれば、JavaScriptを無効化することを強く推奨する（【訳注】編集＞環境設定＞JavaScript　と進み、”Acrobat JavaScriptを使用”のチェックを外す）。

Gmailアカウントは未パッチのセキュリティホール経由でハックされる
WindowsSeacrets : Home (2009/04/23)

　まだ人口に膾炙されていないが、セキュリティ研究者が、Googleが再三パッチすることを拒否したセキュリティホールの詳細をリリースした後、ハッカーがGmailアカウントに侵入する脆弱性攻撃が発生している。
　ユーザはWebメールアカウント使用のリスクを軽減するための幾つかのステップがある。しかし、Googleがこのソフトウェアを修正するまでGmail問題を解決できないことは明らかである。
　研究者が言うGMailの悩みは、クロスサイトリクエストフォージェリ（CSRF（別名：sea surf） ： 【訳注】 Webサイトにスクリプトや自動転送(HTTPリダイレクト)を仕込むことによって、閲覧者に意図せず別のWebサイト上で何らかの操作(掲示板への書き込みなど)を行なわせる攻撃手法。）として知られる攻撃分類に属している。
　影響を受けるCSRFセキュリティホールは、GMailの他に、YouTube、Netflix、NYTimes.com（【訳注】ニューヨークタイムズ）にも発見され、これまでに修正された。CSRF攻撃はCookie、パスワードの要求、ユーザのWebブラウザとWebサイトサーバ間のコミュニケーションをインターセプトするための双方向性Webコンポーネントのセキュリティフローを使用する。
　セキュリティ領域におけるGmail問題の最初のレポートは、2007年7月30日、Internet Security Auditors(ISA)のVicente Aguilera Dによって記された。翌日、ISAは警告を発した。この警告はGmailアカウントパスワードの変更に使用される方法を図解したProof of Conceptを含んでいた。
　ISAによれば、この間一年以上に渡り、2009年3月3日Secure Computingにこの脆弱性攻撃の詳細を公にした研究者に対し、Googleはこの問題について繰り返しコンタクトしていた。
　この雑誌が引用した匿名のGoogleスポークスマンの発言では、「我々は暫くの間、この問題を注目していた。ユーザが潜在的な脆弱性攻撃サイトを訪問している間に、成功した脆弱性攻撃は正しくユーザのパスワードを推測することを必要とするので、我々はこの問題を重要なセキュリティ問題と考えていなかった。」
　自動化された攻撃は、凡そ数秒で数千のパスワードをテストできることを考慮すると、Googleの立場に落胆させられるかもしれない。多くのPCユーザは、ブルートフォース（【訳注】考えられる全ての鍵をリストアップし、片っ端から解読を試みる方式）に発見されやすい一般名や辞書に記載されている言葉から構成される弱いパスワードを使用している。CSRFテクニックの一般へのリリースは、フィールド中に未だ脆弱性攻撃が存在しない場合、ハッカーがこの機に便乗してコードを書くことを容易にする。
　3月3日に露見されたことは、2007年1月1日に最初に報告された早期のGmailのCSRFフローと混同してはならない。ソフトウェアコンサルタントHari Gottipatiによるブログのポストによれば、Googleは、その後この問題を修正した。
　CSRF攻撃（session-ridingとも言われる）は、より広範に知られているクロスサイトスクリプティング（XSS）脆弱性攻撃と異なっている。XSSセキュリティホールは、あるブラウザウィンドウ中に開かれている悪意あるWebサイトが、別ウィンドウもしくは別タブ中に開かれている、他のサイトのページにJavaScriptを挿入することを可能にする。PC上で望みもしないスクリプトが起動したなら、コードは個人データを集め、それらを攻撃者のサーバーに転送する。
　XSS脆弱性は最近発見された。多くのブラウザと多くのサイト（Gmail、Hotmail、Yaho Mailを含む）はこの脆弱性にパッチを充てた。

httpsでWebメールに幾許かの防御を提供する

　Google、Yahoo、他のインターネットサービスは、「ユーザ自身のリスクでこのサービスを使用する」ことを宣言することで彼ら自身に保険をかけている。如何なるWebメールサービスを使用しようとも、その最大の脅威は、ハッカーがユーザのパスワードを奪ったり、推測したりでき、ユーザのアカウントを取得したりできることである。
　あなたのGoogleアカウントが、クレジットカード番号（例えば、Googleショッピング用の）、コンタクトリスト、写真、ビジネスや金融関係ドキュメントのような個人情報が含んでいるなら、あなたのアカウントがハックされることは、まさに迷惑程度のことではなくなる。
　アタッカーがパスワードを盗む方法の一つは、インターネット トラフィックを”sniffs（クンクン嗅ぐ）”ソフトウェアを使用することである。暗号化なしにWebページ上であなたのユーザ名やパスワードを入力するなら、あなたの入力はプレーン テキストとして送信される（Wi-Fi接続だけでなく、あなたとサービスマシン間に位置する、あらゆるルータを通じてもまた）。
　幸いにして、三大Webメールサービス（Gmail、Yahoo Mail、Hotmail）と他のWebサイトは、Secure Sockets Layer (SSL)暗号化を使用してユーザのサインイン セッションを保護している。SSLはWebブラウザがインターネットに剥き出しでデータを送出する前に、如何なるサインイン データもスクランブルすることを可能にする。
　あるサイトがサインインの処理を暗号化しているかどうか決定するには、ブラウザのアドレスバーに注目する。ページのURLは、https(Hypertext Transfer Protocol over SSL)で始まっているはずである（下図参照）。暗号化されていないページはhttpプロトコルを使用している。

　もちろん、httpsプロトコルや、ブラウザのステータスバーに、よく知られている「南京錠」アイコンを確認できたからといって、特定のサイトが正当なものである保証は無い。Anti-Phising Working Groupは、この様な表示がスカムを回避することを支援する幾つかのチップ同様、ハッカーの悪用方法に関する情報を提供している。
　しかしながら、サインインのページがhttpsプロトコルを使用しているなら、あなたのパスワードがインターネット上でプレーン テキストとして送信されることは考えられない。

GmailのCSRF（別名：sea surf）の穴はSSLで塞ぐことはできない

　Web上での幾つかのレポートは（Softpedia.comのような）、あなたがGmailセッションにいる間、サービス上のCSRF攻撃をブロックするためにhttpsを使用していると発言している。
　ISAのAguileraによれば、残念ながら、この様なレポートは、ここで記述しているGmailの場合ではない。Aguileraが母国語のスペイン語で運営している電子メールインタビューにおいて、彼は、このフローは、ハッカーが暗号化セッションを利用することを可能にすると発言している（以下は私がスペイン語を英語に翻訳した文章である）。

　・　この脆弱性中で、アタッカーは犠牲者にサーバへのリクエストを不可視で発生させる（このリクエストで、犠牲者の本物のセッションクッキーもまた送信される）。
　 　・　このサーバがリクエストを受け取った時、実際には、このリクエストはアタッカーによって発生させられているのに、本物のセッション（犠牲者の物）からと思い、それらを検知しようとしない。
　・　言い換えれば、犠牲者（ユーザ）がこのサーバへのリクエストを作成したかのようであり、コミュニケーションが暗号化されているという事実は無関係であり、この攻撃を防御しない。

　httpsを使用することはトラフィックを嗅ぎ回ることと、いわゆる中間者攻撃（【訳注】通信者同士の間に第三者が勝手に割り込むタイプの攻撃）を防御する。そこで、ユーザはGmailのCSRF脆弱性がパッチされているかどうかに関係なく、httpsの使用を有効にすべきである。
　Gmailにアクセスしたとき暗号化のもたらす便益のために、デフォルトでSSLサービスを有効にすべきである。そうするためには、メインのGmailウィンドウの右上隅にある「設定」をクリックする。「全般」タブの一番下にある「ブラウザ接続」で「常にhttpsを使用する」を選択し、「変更を保存」をクリックする。（UPDATE 04/30【訳注】<重要＞　iGoogleのGoogle gadzetは、「常にhttpsを使用する」をサポートしていません。メールタイトルや新規メール数はGoogle gadzet中に表示されなくなります。）
　暗号化を使用することはGmailのパフォーマンスを僅かながら悪くするが、この小さな代償には、その価値がある。httpsプロトコルは、ユーザのサインイン セッションを暗号化しないだけでなく、それらがユーザのブラウザとGoogleサーバ間で送信された時、ユーザのE-Mailのコンテンツも暗号化されない。

POP3とIMAPはGmail、Hotmail、Yahoo Mailを防御する

　残念ながら、Yahoo MailとHotmailは「常にhttpsを使用する」設定を提供していない。しかし、PCベースのE-Mailリーダーを使用し、長い歴史を持つPOP3やIMAPプロトコル経由でメッセージを取得することで、ユーザはこの様な二つのサービスのデータを保護することができるし、Gmail CSRFの脆弱性を克服することもできる。
　Webメールを読んだり送信したりするためにMozilla ThunderbirdのようなPCベースのクライアントを使用すると、SSL暗号化は盗み聞きを防止できる。IMAPやPOP3を使用することはまた、リモートサーバ上に残存する重要なメッセージの削除オプションも与える（私はThunderbirdと他のフリーメールクライアントを比較したレビューを2008/07/31にポストしている）。
　IMAPとPOP3はGmaiとHotmailの両方のフリーバージョンによってサポートされている。YahooはPOP3をサポートしているが、Yahoo Mailの有料バージョンのみで提供されている（20US$/年）
　PCベースのメールクライアントを使用して、Webメールサービスからメッセージを取得するための説明に関しては（例として、Hotmailを使用）、About.comにこの主題に関するステップ-バイ-ステップがある。
　サインインでhttps（そして、Webメールの処理に暗号化）を使用することは、おそらくユーザのパスワードと他の個人情報を嗅ぎ取られることを極僅かにする。このことは、セキュリティ研究者がプンプン怒っているCSRF脆弱性をGoogleが修正する前に取得したメッセージであるか否かに関係なく、あなたのWebメールを安全にする。

いかがわしいインストーラに注意せよ
McAfee Avert Labs : Blog (2009/04/24)

　今日、私はVLCメディアプレーヤ用のインストーラと称するプログラムに遭遇した。本当にそうだろうか？　違う！　まず第一に、このインストレーションファイルは、正当なVLCメディアプレイヤーサイトが提供しているインストーラと異なっていた。
　インストール過程のStep3で、この様なダイアログボックスが表示された。

　フランス語のメッセージを翻訳すると、「我々のサービス改善を支援して欲しい。アクティベーションコードを取得するには、[番号削除]に電話し、SMS（Short Message Service。ショートメッセージサービス：携帯電話同士で短い文字メッセージを送受信できるサービス）中であなたのコードを取得するために、そのキーワードCODEを[番号削除]に送信してください。」　これはSMS詐欺である。
　通常、我々は信頼できないソースからプログラムをインストールすべきではない。我々はインストール過程のStep3から、詐欺師に対処していることが分かる。それなのに、なぜインストレーションを継続するのか？
　我々は、このトロイをRansom-Eとして検出する（5597 DATsでアップデートした）。

Google Chromeクロスサイトスクリプティングの脆弱性にパッチ
The H ： Security (2009/04/24)

　Mark Larson（Google Chrome プロジェクトマネージャ）は、Google Chrome Webブラウザ中にリスクの高い脆弱性の存在をGoogle Chromeリリースブログに投稿した。クロスサイトスクリプティング（XSS）脆弱性は、ChromeHTMLハンドラ中でURL操作を失敗することで発生する。この脆弱性はアタッカーが遠隔からコードを実行することを可能にする（同一生成元ポリシー違反）。
　攻撃が成功すると、犠牲者は最初に、IEで特別に細工された悪意あるHTMLページを訪問するようアタッカーによって導かれ、Chromeの起動が発生し、複数のタブが開き、スクリプトが実行される。しかしながら、この攻撃は唯一Chromeブラウザが起動していない場合にのみ動作する。
　影響を受けるバージョンは、Chrome 1.0.154.55 及び、それ以前のバージョンである。ユーザは、この問題の修正バージョン 1.0.154.59 にアップデートすることが忠告されている。

AVG、リンクスキャナをリリース
The PC informant ： Home (2009/04/23)

　リンクスキャナは、クリックするリンクがマルウェアサイトの可能性をチェックするブラウザのアドオンである。私は、リンクスキャナがブラウジングを減速し、如何なる方法でも、リンクを安全にアクセスできるか否かをチェックするだけであることから、リンクスキャナのファンではない。よく知られているリンクスキャナにMcAfeeのSite Advisorがあるが、サイトの評価に全く古いデータを使用していると報告されている。今、AVGはLinkScannerと名付けた無料のブラウザアドオンをリリースした。Neil Rubenkingは、AppScoutでAVGのリンクスキャナについて以下のように記している。

　リンクスキャナはユーザがそのリンクを訪問する前に、そのサイトやGoogle・Yahoo!・MSNでヒットした検索結果をチェックする。とりわけ、脆弱性攻撃や他の悪意あるコードを探すために、各ページのHTMLを解析する。

　これに先立つ投稿で、彼はLinkScannerについて記述している。

　LinkScannerはXP・Vistaの32ビットと64ビットバージョンで動作する。そして、AVGによれば、全てのメジャーなセキュリティソフトウェアと互換性がある。LinkScannerはIE6以降、Firefox2以降で統合使用することができる。無料ダウンロードはhttp://linkscanner.avg.comからダウンロードできる。http://freeforum.avg.comでサポートされる。

　個人的に、私は殆どのブラウザアドオンを回避している。私はLinkScannerを試していない。しかしながら、毒を有するWebサイトが、かってなく増加していることは、この様な物があなたの防御への望まれる追加となるかもしれない。

F-SecureはAdobe Readerの使用に対し忠告を発した
The H ： Security (2009/04/22)

　現在のRSAカンファレンスで、フィンランドのセキュリティメーカーF-Secureの最高研究統括者Mikko Hypponenは、Adobe Readerのセキュリティ問題に起因することに関して、ユーザは代替プログラムに切り替えるべきとコメントした。
　今年、管理者、政治家、登録されている上流階級の個人が狙われた攻撃のうち、およそ50%がAdobe PDF製品中の6つのセキュリティ上の脆弱性を攻撃されていた。2008年では、この様な攻撃の人気の的であったのはMicrosoft Wordであった（35%）。Adobe Readerの脆弱性の数（19）は、既に4つMicrosoft Wordの脆弱性数（15）を上回っている。Hypponenは、2008年1月〜4月の感染したPDFファイルの数が128であったのに対して、今年同時期では2300以上に増加していることを指摘している。
　この攻撃は、犠牲者のPCに感染しスパイする目的で、犠牲者に予め用意されたドキュメントを犯罪者が送信することを伴う。最近報告されたスパイネットワーク（チベット亡命政府に所属するコンピュータに潜入した）によって使用された方法も、巧みに細工されたPDFファイルを含んでいた。PDFとFlashプラグインもまたリスクが存在する。
　Hypponenによれば、ユーザはしばしば、それらアプリケーションのアップデートに失敗する。そして、重要なセキュリティアップデートがリリースされたことに気付いていない。自動アップデートの要求表示は、しばしば無視される。Hypponenの見解では、AdobeはMicrosoftと同様の方法でAdobe製品の定期的アップデートサイクルを確立すべきであるとしている。
　Hypponenは特定の代替PDFビューワーに言及していないが、幾つかの無料のPDFリーダーをリストアップしているPDFReaders.orgのWebサイトを示してはいる。しかしながら、Foxit Readerはこのリストには存在しない。このリストはオープンソースのPDFリーダーKPDFとXpdfを含んでいる（これらは最近、Adobe Reader中に発見された脆弱性と類似の深刻なセキュリティ上の脆弱性が発見されている）。Foxitもまた、今までに幾つかの深刻なバグを含んでいた。ユーザはどの代替PDFリーダーに切り替えるのか、自分自身で決定しなければならない。あるいは、より賢明な解決方法とされるセキュリティアップデートのインストールを直ちに行うことである。

新たなTwitter XSSワームが徘徊している
Kaspersky ： Lab Weblog(2009/04/17)

　今日、我々はTwitterの周辺を徘徊しているNet-Worm.JS.Twettirを発見した。Kasperskyは、これをNet-Worm.JS.Twettir.hとして検出する。
　このワームは、セキュリティ会社が、このワームのオリジナルの作者を雇用していたと、アナウンスした直後に出現した。このブログの意図している話題から外れることを望んだわけではなく、我々は、これが非常に悪い決定であると非常に強く感じると発言したに過ぎない。
　この新たな変種は、プールされた選択肢からtweet（囀る）ためのメッセージを選択する。それらの幾つかはビッグなTwitterの名前を参照し、それ以外は単に原作者”Mikeyy”につい囀っている。
　この様なメッセージの一つは、このXSS（【訳注】クロスサイトスクリプティング）脆弱性がIEユーザにのみ影響を与えると断言している。この記事を書いている時点で、我々はFirefoxの最新バージョン（ver3.0.8）には、この攻撃に対する脆弱性が無いという事実を確認している。
　このワームに関し興味あることは、このXSSスクリプトがオリジナルワームと全く同じドメインにホストされていることである。このことは、Mikeyyが未だにそこに存在していることを仄めかしているかのようである。セキュリティ業務に従事している者にとっては却って奇妙である。
　他方、彼のパスワードが存在する“Mikeyy”のマシンが改竄されたという噂が流れている。最終的に他の誰かになるかもしれないが。
　プロファイルとURLをクリックするのが大好きというわけではない全てのTwitterのために、あなた方の最良の選択は、noscript.netを訪問し、利用可能な最新のnoscriptプラグインをインストールした最新のFirefoxを使用することである。これは、この時点でTwitterが直面しているかもしれない新たなXSSワームからの適切な保護を提供する。

IE8へのアップグレードを急ぐ理由は無い
WindowsSeacrets ： Top Story(2009/04/02)

　Microsoftは、セキュリティ・スピード・互換性の立場から以前のバージョンより大幅に改善されたとしてIE8を執拗に宣伝している。
　このことは基本的には真実であるが、既に明かにされているように、IE8の必然的欠陥から、少なくとも一月はアップグレードを控えるべきである。
　ブラウザを選択するとき、最初に考慮されるべきはセキュリティである。偽り無く、IEは他の如何なるソフトウェアよりもマルウェアのターゲットにされている。実際に、IEを使用することは、あなたの額に（射的の）金的を描き、戦場を歩いているようなものである。
　IE8が、有用なセキュリティ機能を追加してもなお、その根幹にブラウザの脆弱性をもたらすActiveXへの依存を継続している。このセキュリティの欠如が、多くの人々にIEの使用を停止させた根本的理由である。
　セキュリティだけでなく、Webデザインの問題も代替ブラウザへの集団移動の要因であった。数年に渡り、IEのページレンダリングは、Web開発者（ユーザも同様に）巨大な頭痛を発生させた。Firefox、Opera、他のサードパーティー製ブラウザで表示されるようデザインされた外観や機能のページは、IEでレンダリングしたとき、ぶっ壊れたレイアウトとして表示された。
　IE8は互換性の改善に努力しているが、結局のところ標準に達していない。
　パフォーマンスはIEが競争に着いて行けた領域である。確かに、IE7はIE6より高速だった。新しいバージョンの8は、今までのバージョンより速い。しかしながら、早期に行われたテストでは、未だに他のブラウザよりかなり遅い。

互換性の改善はユーザとプログラマを標的にしている

　IE7はしばしば、Firefox・Google Chrome・他のサードパーティー製ブラウザが綺麗に表示し取り扱うサイトのレイアウトをグチャグチャにした。WebデザイナはIE8がこの様な多くのレンダリング不備のページを解決すると聞いて励まされるだろう。
　全てのブラウザできちんと動作するサイトの構築は明らかにもっと簡単になるだろう。同様に、Webサーフィンしている人々にとっては、IE8でぶっ壊れたレイアウトのサイトに遭遇することは、多分少なくなる。核心には触れないが、IEBlogで説明されているように、The Web Standards Project（WaSP）（【訳注】WWWブラウジングの標準技術の普及を図る組織）Acid2適合試験にIE8が合格している。
　更なる互換性のステップとして、IE8はIE7のレンダリングエンジンに立ち戻る"compatibility view mode（互換ビューモード）"を持っている。ユーザは、ブラウザTopの検索バーの傍にあるボタン（下図で、破れたドキュメントのように見えるボタンアイコン） を使用して、このモードの切り替えを行うことが出来る。

（IE8の機能ボタン。左から、新しい互換、更新、閉じるボタン）

　しかし、隠された問題がある。IE8は互換ボタンを表示するタイミングを決定する。明らかに、このボタンが表示されなければ、ユーザは、このボタンをクリックすることができない。しかし、ユーザはツールメニューの互換ビュー設定オプションに登録することで、互換ビューで表示したいサイトを手動設定することができる。

　あなたの組織が特にIE用にデザインされたカスタムイントラネットアプリケーションを使用しているのであれば、IE8をサポートするように、そのようなアプリケーションを調整する必要があるかもしれない。
　読者の一人（Jim Johnson）は、新しいブラウザ互換モードを使用しても、彼のイントラネット問題を軽減することは無かったと報告している。Jimは、F12キーを押し、Developer Tools（開発者ツール）を開き、次に、ブラウザモードとしてIE7を選択することによって、強制的にIE8をIE7モードにしなければならなかった。このステップで、彼はサインインを許され、彼の会社のイントラネットアプリケーションを使用することが可能になった。
　Microsoftは、Web開発者が、ブラウザの非互換性をページ単位やサイト全体をベースにして操作する方法を提供している。あるページを強制的にIE7スタイルを使用して表示させるには、エンドユーザはView＞Source（表示＞このページのソースを表示する）をクリックし、ヘッダのmeta http-equiv= setting を以下のように変更する（必ずタグの両端に<>をつける）。

meta http-equiv="X-UA-Compatible" content="IE=EmulateIE7" /

　サイト全体でレンダリングを制御するには、サイトの所有者は、彼らのサーバが以下のHTTPヘッダを送信するように設定する（【訳注】サーバーのHTTPヘッダに以下を追加する）。

X-UA-Compatible: IE=EmulateIE7

マルウェアと闘うためにアップグレードされたフィッシングフィルタ

　IE8における顕著なセキュリティの向上が、SmartScreenフィルタである。この機能はマルウェアディフェンスを追加することで、IE7のフィッシングフィルタをアップグレードした物である。（IE7中のフィッシングフィルタは、ユーザを欺くためのサイトへの偶発的な誘導に対してユーザを防御した。そして、ユーザの個人情報を盗もうとする攻撃も検知した）
　IE8の新しいアンチマルウェアコンポーネントはreputation-baseのフィルタリング（【訳注】評価スコアをベースにしてフィルタリングする）システムである。この点において、McAfeeのSiteAdvisorやSymantecのNorton Safe Webに類似である。しかしながら、SiteAdvisorと異なり、SmartScreenはMicrosoftの Malicious Software Removal ToolやWindows Defender他のような定義ファイルベーステクノロジでも動作している。
　ユーザはIE8の新規なInPrivateモードを有効にできる。これで、Cookie、ブラウジングの履歴、キャッシュデータや他の個人情報を、IE8が保存することを防止できる。
　IE8はまた、クロスサイトスクリプト攻撃とクリックジャック（ユーザに非表示のページ要素をクリックするように欺くハッカーのテクニック）に対して良好な防御機能を提供している。最終的に、Microsoftは、悪意あるコードを起動するために、メモリトリックを使用する悪意ある攻撃を妨げる助けとしてData Execution Prevention(DEP/NX)（【訳注】データ実行防止）メモリ防御をIE8に含ませている。
　しかしながら、これらセキュリティ機能は、誰にでもできるというものは一つもない。三月初め、CanSecWestカンファレンスで取り上げられた主な例は、Computerworldの記事中で説明されている。Nilsとしてだけ知られる研究者は、DEP/NX防御システムの欠陥を利用してWindows7上で稼働しているIE8を改竄した。

IE8は速くなったが、十分ではない

　Microsoftはページサーフィンするとき、速度は非常に重要なものではないと、我々に信じさせたいようである（IEの今までのバージョンの惨めなまでのパフォーマンスを考えれば、この表現は無理からぬことだろう）。実際、MicrosoftのIE8のドキュメントは、「現実世界における得やすさとスピードはミリ秒単位でなく分単位で測られる」と述べている。私はブラウザのスピードテストに対するMicrosoftの先制攻撃であると推測している。
　ComputerworldのJavaScriptパフォーマンステストは、Google ChromeがIE8よりJavaScriptのレンダリングが4倍高速であることを示している。同じテストで、JavaScriptのページをレンダリングさせたとき、Firefox 3.0.7は、IE8より59%高速であり、Safariは47%、Operaは38%高速であった。
　そう、JavaScriptのレンダリングスピードは本当に重要なことだろうか？　あなたがそのようなページを50訪問したとして、ロードするのに平均2秒かかったとしたなら、IE8ではFirefoxより60秒余分にかかることになる。一年で考えれば、6時間を浪費したことになる。
　当然、あなたが毎日50ページ以上サーフしているのであれば、IE8ではもっと多くの時間を浪費していることになる。ビジネスの世界において、時は金であるが、プライベートな生活では、時間はもっと高価でさえある。ブラウザのスピードは明らかにとっても重要である。
　偽り無く、IE8はIE7より随分良くなっている。それであるにも関わらず、未だ、Firefoxや他の代替ブラウザに劣る。あなたがIE8に今アップグレードするか、後でアップグレードするか考えているのなら、私のアドバイスは、IEのどのバージョンを使用していようとも、代わりにFirefoxを使用することを勧める。
　あなたがIEを使用しなければならないのであれば、私は少なくともIE8にアップグレードすることを一月待つこと（望ましくは二月）を勧める（しかし、IE6を使用しているのであれば、追加されるパフォーマンス同様セキュリティの目的で、直ちにIE7をインストールしなさい）。
　なぜ、私が待つべきと考えるか？　現時点で、世界中のWindowsユーザの僅かな人々だけが、IE8ベータに参加している。いま、このブラウザは公式にリリースされたが、これはより大きな努力を要する問題を発生させるだろう。それが発生したとき、問題は表面に浮上する。例えば、Vista上のIE8で奇妙なページローディングが発生するという幾つかの報告を、我々は受け取っている。そして、奇妙なことに、IE8のインストレーションの中にはWindowsのホットフィックスを適用した後に、IE7に戻されるものがある。
　さらに、悪い奴等は新しい攻撃を実行し難い、この新規なブラウザでさえ攻撃することを開始している。IE8に熱狂する前に、この幾つかの攻撃を終らせることだ。IE8にアップグレードする確たる理由が無いのであれば、ただリラックスし待つことである。そして、何が発生するか観察しなさい。

Windows Kernelに再び脆弱性が発見された
McAfee : Avert Labs Blog (2009/04/09)

　最近、我々のアジア太平洋地域諜報チームは、フィールド中に0-DayのWindows Kernelの二つの脆弱性を発見した。この脆弱性は潜在的に悪意ある目的に使用されていた。この脆弱性は中国の幾つかのディスカッションフォーラムで発見されていた。
　提供されている説明によれば、この問題の一つは、Windows NT/2000/XP中に存在する。この問題は安全でない win32 syscalls（このバッファは usermode から提供される）に起因して発生する。このkernelのアドレスが上書きされたなら、この脆弱性はBSOD（死のブルースクリーン）に至り、DoS（Denial of Service）状態に至る。しかしながら、この問題は管理者権限を要求するので、結果として権限の昇格を導くことは出来ない。しかし、より深く考察すると、これは破壊やkernelモードフックをインストールすることに利用できることを示唆している。そこで、悪意ある目的に利用できる。
　最近フィールド中で発見された二つ目の問題（類似の挙動をするkernelのバグ）は、atapi.sysに関連している。
　このバグの問題も同様である。これはユーザモードから渡されたデータを検証しない。結果としてバッファオーバーフローをもたらす。大抵の場合、この問題はBSOD（死のブルースクリーン）を発生させる。
　ソフトウェアデザインの視点からすれば、ユーザモードから渡されたデータを無闇に信頼してはならず、常に検証されなければならない。大多数の既知のWindowsのローカルな脆弱性はこの理由によって発生している。Microsoftはこの問題を気づいていた。そして、極めて複雑なものであるために、未だwin32 kernel部分と闘っている。多くのkernel脆弱性に従事している者が今、このモジュールに取り組んでいる。そして過去二年で幾多の脆弱性を発見した。Windows7で、我々はkernelセキュリティがより強固に成長していることを希望する。
　我々はこのブログにポストする前に、Microsotにこの二つの問題を通知した。この脆弱性は未だパッチされていないので、ここで技術的詳細に関して記述することは行わない。我々は、この問題が解決された後、この記事のフォローアップをポストする。

Confickerの新バージョンが発生
F-Secure Weblog : News from the Lab (2009/04/09)

　昨日、Confickerの新バージョンが発見された。我々は、このファイルを調査中であるが、以下に、これまで分かったことを記す。

・　4月8日に、P2Pネットワーク経由でConficker.Cに感染したマシンに対し、新たなアップデートが可能になった。
・　新しいファイル（Conficker.Eと呼ばれる）は、今までの感染と平行して実行され、共存する。
・　Conficker.Eは、MS08-067脆弱性経由での拡散を取り入れている。拡散機能はConficker.Cで削除された。このウィルスの背後にいるギャングは、失敗したことを多分認識した。そして、再びそれを追加した。
・　Waledec（スパムボット）への接続を可能にする。Conficker.Cに感染したコンピュータの中には、よく知られているWaledecへ接続し、そこからWaledecをダウンロードするものがある。
・　我々は最終的にConficker.Cに感染したマシンで見てきたように、インチキのアンチウィルス製品に接続するものもある。このインチキアンチウィルス製品は、SpywareGuard 2009であった。
・　Conficker.Eは、日付が2009年5月3日以降なら、自分自身を削除する。

　複雑で奇妙なように見えますか？　その通り。不幸にしてConfickerに関して簡単なことは何もない。そこで、我々はConfickerの新バージョンの挙動について分かったことを、このポストでアップデートしていく。我々は昨日以来Conficker.Eを検出している。そして、関連するファイル全てをダウンロードしている。

IrfanViewイメージビューアに深刻な脆弱性
The H : Security (2009/04/07)

　人気あるイメージビューアIrfanViewのフォーマットプラグイン（format.dll。【訳注】 IrfanViewでマイナーな形式の画像を開くためのプラグイン）中に深刻な脆弱性が発見された。セキュリティサービスプロバイダSecuniaによれば、この問題は、特定の形式でXPMファイルを処理する時のInteger型オーバーフローによって引き起こされる。この脆弱性はユーザのシステムを改竄し、マルウェアに感染させるためにアタッカーによって使用されることが可能である。この攻撃が成功すると、ユーザはヒープベースのバッファオーバーフローを引き起こす特別に細工されたXPMファイルを開くよう欺かれるに違いない。
　IrfanViewイメージビューワそれ自身は脆弱性を含んでいない。Defaultで、ユーザは最初に脆弱性あるプラグインをインストールする。この脆弱性は、IrfanView Formatsプラグインのバージョン4.22で発見された。Formatsプラグインのバージョン4.23にアップデートすることで、この問題を解決できる。

Adobe Readerのアップデートがギクシャクしている
The PC Informant : Home (2009/04/05)

　ComputerworldでMichael Horowitzは、AdobeアップデートがAdobe PDF Readerの最新バージョンをインストールしない場合があると発言している。

　私は最近新しいWindowsXPマシンを稼働していた。このマシンにはAdobe Acrobat Reader ver. 8.1.1が搭載されていた。このバージョンのAdobe Readerには、深刻なセキュリティホールが存在するので、私は律儀に、いつも通りAdobe Readerのヘルプ＞アップデートを確認　からこのソフトウェアをアップデートした。今までに何度もやっている通り全て進んだ。最終的に、インストールされたバージョンは8.1.3であった。
　しかしながら、Adobe Reader 8の最新バージョンは8.1.4である。Adobe Reader 8.1.2の起動している別のマシンでも、同じことが発生した。アップデートをチェックしたところ8.1.3であった。

　もし、バージョン8.1.3を既にインストールしているのであれば、このアップデート機能はバージョン8.1.4にアップデートする。もし、8.1.2であるのなら、二回アップデートをしなければならないようだ（最初に、8.1.3にアップデートし、二回目に、8.1.4にアップデートする）。Adobeさん、こんな調子ですか？　やるべきことがあるでしょ。

信頼あるオンライン マルチ-スキャンサイトの紹介
Sunbelt : Blog (2009/04/04)

　【訳注】紹介のみ。様々なオンライン マルチ-スキャンサイトのうち、信頼のおけるサイトの紹介です。疑わしいファイル等は、以下のサイトにアップし、複数のアンチウィルスソフトでスキャンすることで確認できます。

VirusTotal==よく知られている大変有名なサイトです。
Jotti==VirusTotal同様の著名なサイトです。
Viruscan==非常に多くのスキャンエンジンの結果を見ることが出来ます。
Filterbit==できたて。現在ベータです。

Confickerに関する情報のまとめ
The H（以前の、heiseSecurity） : Security (2009/04/03)

　このドキュメント中でConfickerワームに関する、あらゆる重要な情報を見出すことが出来る（検出方法や防衛方法を含む）。なお、ConfickerはKidoとかDownadupとも呼ばれていることに注意。

テストページ

　Conficker感染をチェックできる幾つかのテストページがある。以下のリンクのページは、アクセスするとテストが実行され、結果が表示される。

The H 及び heise SecurityのConofickerテストページ
ボン大学のConfickerテストページ
【訳注】ボン大学のテストページは、あまりに簡単です。The Hのテストページを利用することをお勧めします。

アンチウィルスベンダからのConficker情報ページと削除ツール

　幾多のアンチウィルスベンダがConficker専用の検出・削除ツールを提供している。これらのアプリケーションは、アンチウィルスパッケージ全体のインストールを要求しない。専用ツールを利用するための最も簡単な方法は、感染していないコンピュータに、この専用ツールをダウンロードし、USBドライブにコピーする。それから、感染したシステム上で、この専用ツールを実行する。
【注意】以下の会社名をクリックすると情報サイトにジャンプする。また、各ファイルのリンクは全て、ダイレクトリンクである。アクセスすると直ちにファイルのダウンロードが開始される。

Sophos - ssconftool_10_sfx.exe
Symantec - FixDwndp.exe
F-Secure - f-downadup.zip
McAfee - Stinger_Coficker.exe
Trend Micro - SysClean-WORM_DOWNAD.zip
Kaspersky - KKiller_v3.4.3.zip
BitDefender - bd_rem_tool.zip
Eset(NOD32) - EConfickerRemover.exe

ネットワークスキャナ

　様々な会社がネットワーク経由でConfickerを検出するスキャナを提供している。これらは、Felix LederとTillmann Wernerのセキュリティ研究によって開発された技術に立脚している。この様な技術は、ターゲットのシステムに到達するために、TCPポート445へのアクセスを要求する。このポートは、全てのファイアーウォールのインターネット側からブロックされているはずなので、通常、ローカルネットワーク上でのみ稼働する。

Nmap version 4.85Beta5

Nampで基本的なConfickerをスキャンするためには、以下を実行する:
nmap -sC -PN -d -p445 --script=smb-check-vulns \ --script-args=safe=1 ip-address-to-scan
Nessus plugin 36036
Confickertest　McAfeeから
ConfickerScanner　eEyeから
SCS　ボン大学(Leder, Werner)から

　The HのConfickerに関する情報は省略。

Tips and Tricks

　ロックをバイパスする　：　Confickerは特定のWebサイトへのアクセスをブロックする。スタートメニューをクリックし、ファイル名を指定して実行　から以下のコマンドを実行することで、このロックをバイパスすることができる。

NET STOP DNSCACHE

　ボン大学のConfickerページ（英文）には、幾つかの興味あるConfickerツールがある。

エンドユーザ用の簡単なConfickerテスト
The H（以前の、heiseSecurity） : Security (2009/04/03)

　SecureWorksのJoe Stewartは、システムがConfickerの広範に拡散しているバージョンの一つに感染しているか否かを一瞥して明かにする簡単なテストを開発した。The Hは今、このテストのThe H用のバージョンを提供する。
　システムがConfickerに感染させられたのであれば、システム上にインストールされているアンチウィルスは、もはや信頼できない。Confickerは幾つかのセキュリティメカニズムを終了させる。そして、特定のプログラムの起動を妨げる。この新しいテストは、Confickerが様々なセキュリティとアンチウィルスページへのアクセスをブロックするという、この事実に立脚している。このテストには、通常とブロックされるサイトの画像を表示するページを含んでいる。もしもアンチウィルスベンダの画像だけが表示されないのであれば、そのコンピュータがConficker（もしくは、類似の方法で挙動する他のタイプのマルウェア）に感染させられている可能性が高い。
　せめて、影響を受けているシステムはConficker削除ツールで処理されるべきである。これを念頭において、ユーザは表示される最初のリンクに盲目的に従ってはならず、代わりに信頼あるベンダの削除ツールを探すべきであるとアドバイスされている（参照、Freeloaders are taking advantage of Conficker scare）。
　ユーザは、このテストに幾つかの制限があることを知っておかねばならない。Confickerはdnsapi.dllにコッソリ忍び込み、ブロックするDNS（ドメインネーム サービス）をクエリすることでアクセスをフィルタする。しかしながら、これはプロキシの関わるシステムに影響を与えない。結果として、このテストは会社のネットワークのような環境には相応しくない（代わりに、Confickerを検出する能力のあるネットワークスキャナが使用されなければならない）。
　別の問題として、Confickerの最初のバージョン（Conficker.A）はDNSクエリをブロックしない。そのため、テストページでConficker.Aの感染を顕にすることは不可能である。しかし、Conficker.Aは後継のBやCほど汎用されていない。
　Felix Leder und Tillmann Werner（Confickerを解析しているhoneynetの記述者）もまた、ConfickerがDNSリクエストをブロックするという事実を使用したテストページをアップしている。彼らはConficker B/Cの感染の診断にCSSスタイルシートを使用している。
　却って面食らうのだが、Conficker Working Groupは、Conficker.Aを検出しないということを指摘せずにStewartのオリジナルテストを導入していることである。そのため、ユーザは"Not Infected by Conficker.（【訳注】Confickerに感染していません）"という誤解を招く恐れのあるメッセージが表示される。人は、Microsoftと全ての主要アンチウィルスベンダを含む組織が、それらをリリースする前にこのテストをチェックしていると考えているだろう。

***********************【訳注】 The H のConficker感染テストサイト

=== The HのConficker感染テストサイト、以下にアクセス。ただし、英文。

http://www.heise.de/security/dienste/browsercheck/tests/conficker/conficker_e.shtml

=== テスト手法と結果の見方
1/　上記ページにアクセスするだけ。それ以外、実行することは何もありません。
2/　ページ上部の”Conficker Test”という見出しの下にある、画像の表示状態をチェックします。
3/　この表示と、”Interpretation”見出しの下にある画像とを比較します。

以下の画像が表示されたのであれば、Conficker.BとCには感染していない。

以下の画像が表示された場合は、Conficker.Bに感染。

以下の画像が表示された場合は、Conficker.Cに感染。

以下の画像が表示されたのであれば、ブラウザの画像表示がOFFになっている。（【訳注】ブラウザの画像表示をONにして、再度アクセス）

上記画像以外の場合は、インターネットアクセスが貧弱、もしくはサーバに問題がある。

MicrosoftのPowerPointに脆弱性
McAfee Avert Labs : Blog (2009/04/03)

　我々は二月にMicrosoft Excellの0-day攻撃を見てきたばかりだ。本日、MicrosoftはPower Pointに新たな未パッチの脆弱性があることを通知するセキュリティアドバイザリをリリースした。
　McAfee Avert Labsは、フィールド中でPowerPointの脆弱性を攻撃している複数の攻撃を調査・発見した。 McAfee VirusScan製品は、同日リリースされた5573 DATsを使用して、この脅威をExploit-PPT.kとして検出する。
　大多数のドキュメントへの攻撃同様に、このようなPowerPointファイルはバックグラウンドで悪意あるトロイの木馬をインストールするが、欺くための方策として犠牲者に無害のPowerPointプレゼンテーションを表示する。以下のリストは、この攻撃でインストールされる様々な悪意あるファイルを示している。

fssm32.exe: 428,032 bytes (Muster.c trojan)
IEUpd.exe : 45,056 bytes (Muster.c trojan)
setup.exe : 13, 1072 bytes (Muster.c trojan)
PeerCM.exe : 80,666 bytes (Generic BackDoor.u trojan)
ws2_42.dll :10,6740 bytes (Generic BackDoor.u trojan)

　この様な特別に細工された脆弱性攻撃のいくつかは、PowerPoint Showfiles（拡張子”.pps”）で到着する。この様なファイルはフルスクリーンモードで開かれるのが常である。そして、犠牲者にトロイの木馬のインストールを覆い隠すための手がかりを与えることのできる、システムモニタリングツールのようなデスクトップ上で稼働しているアプリケーションを隠す。
　DATファイル（ウィルス定義ファイル）のアップデートを維持しなさい。そして、ベンダー（【訳注】この場合、Microsoft）からのパッチが利用できるようになるまで、信頼できないソースからの、いかなるPowerPointファイルも開くことを自制しなさい。
　可能なら、あなたが入手した物が装われている物であるかどうか確認するために、送信者を確かめなさい。

インチキなギャングに使用されているConficker広告
F-Secure Weblog : News from the Lab (2009/03/30)

　何たる皮肉
　最近、Confickerワームに関する膨大なニュース（特に、4月1日に何かが起こるかもしれない）があることは皆認識していることである。我々はインチキソフトウェアの連中が、このことを利用していることを発見した。例えば、本日登録されたドメインremove-conficker.orgを見てみる。

　彼らは、MalwareRemovalBotと名付けられたソフトをアドバイスしている。このソフトはインチキ。おもしろいことに、このソフトはあなたのPCに感染したとされる、存在しないマルウェアをいつも発見するわけではない。しかし、確実なことが一つある。このソフトはConficker.Cを削除することはない。我々はこのツールを確かめたが、Conficker.Cを削除しなかった。
　このソフトがマルウェアであると主張するものを発見すると、以下のような表示になる。

　次に、このソフトは削除機能を提供してほしければ$39.95支払うよう求めてくる。

　我々は"remove conficker.c"をキーワードに、Google検索で、これをフォローアップした。そして、同種の「セキュリティ」ソフトウェアに誘導する有料広告を発見した。

　この広告は、AdwareAlertやAntiSpy2009のような、金儲けプログラムに導くことは明らかである。

　信頼ある既知のサイトから事実を入手しなさい。そして責任ある会社から削除ツールをダウンロードしなさい。我々のツールはここで見出すことができる。

Antivirus2009: 犠牲者のドキュメントを質に身代金を要求する
WashingtonPost ： Security Fix (2009/03/21)

　セキュリティの専門家は、幾つかの新規な"scareware（スケアウェア）"製品（顧客を脅してインチキのセキュリティ製品を購入させようとするソフトウェア。また、犠牲者が$50の身代金の要求に応じて支払うまで犠牲者のデジタルドキュメントを暗号化するソフトウェア）に対して警告を発している。
　スケアウェアAntivirus2009の新規なバージョンは、マイドキュメントフォルダ中のファイルが損壊しているとするインチキなWindows警報をユーザに発する。このプログラムは建前上は損壊したファイルを修復するために、"FileFixerPro"をダウンロードするようユーザに指示する。
　実際に、Antivirus2009のこのバージョンはマイドキュメントフォルダ中のドキュメントを暗号化したり、スクランブルをかけたりする。FileFixerProのライセンスを購入するため$50支払ったユーザだけが、彼らのマイドキュメントフォルダ中のファイルへのアクセス権限を再取得するための復号化キーを入手できる。
　幾つかのセキュリティフォーラムは、スケアウェア進化のこの不快な進展の増加を年代順に記録している。"devshed" Web developmentフォーラムで既に閉じられているこのスレッドは、この脅威によってドキュメントをスクランブルされた何人かの人々の助けを求める叫びを含んでいる。
　朗報と落胆を誘うニュースがある。朗報は大変活発なコンピュータ支援フォーラムBleepingComputer.comの人々によって、FileFixerProの削除方法に関する詳細な説明がポストされたことである。落胆を誘うニュースは、このFileFixerProの削除方法に関する詳細な指示が、犠牲者のドキュメントを取り返す助けにはならないだろうということである。
　しかし、更なる朗報がある。FireEyeの人々が、FileFixerProによってスクランブルされたドキュメントを復号化する方法を説明している。そして、犠牲者が彼らのドキュメントをアップロードし、スクランブルを解除することのできる無料のWebベースサービスをセットアップしている（【訳注】現時点では、１回あたり１ファイルのみしか復号できない）。FireEyeの上級セキュリティ研究者Alex Lansteinは、マイドキュメントフォルダの完全復号化を支援するためのツールを、彼らのチームが早急にリリースしダウンロードできるようになることを希望すると発言している。
　"ransomware（身代金ウェア）"と呼ばれるソフトを同梱したスケアウェアについて、今迄聞いたことが無かった。しかし、ある程度、これらスケアウェアプログラムの提供者が、今迄数年間ホストシステムを人質に取っており、ユーザのシステム上で実在しない脅威についてのいい加減なメッセージ（ユーザが折れ、スケアウェアプログラムのライセンスの支払いに同意した場合のみ表示が停止される）で絶え間なくユーザを爆撃していたことは知っていた。
　これはスケアウェアで我々が脅威を感じる新機能である。これは今日オンラインに存在する脅威で最も高速に成長しているファミリーの一つである。Anti-Phishing Working Group（サイバー犯罪に取り組むことを目的とした企業共同体）によって本日リリースされた報告によれば、インチキ セキュリティ プログラムは、昨年7月には2850であったものが、昨年12月には9287と225パーセント増加している。
　更に悪いニュースがある。この詐欺の背後に存在する悪意ある奴等は、より強力な暗号化を取り入れ始めている。「彼らがopensslツールキットに基づくような強力な暗号化方法を使用したなら、金銭の支払いなしにファイルを復号化することはできないだろう」と、Lansteinは発言している。

諸情報のまとめ(2009/03/20)

IE8リリース
　IE8は、次期OSであるWindows7に同梱される予定でしたが、今迄のバージョン用のIE8がリリースされました。
　Internet Explorer 8: Home pageにアクセスし、”Download now”ボタンの下にある”Other locales and versions”をクリック。開いたページで、言語とOSのバージョンを選択します。他の情報に関しては、こちら参照（http://www.itmedia.co.jp/news/articles/0903/20/news006.html）。

Adobe Reader 9.1リリース
Adobe Reader ver.9.1 がリリースされています。
こちらにアクセスしてください（http://get.adobe.com/reader/）

一太郎に脆弱性
　日本語ワードプロセッサ一太郎の情報を、McAfee Avert Labs Blogから入手。この不思議はさておき、該当される方はこちらにアクセスし、アップデートしてください。

Conficker/Downadup専用駆除ツール
heseSecurity ： Security (2009/03/13)

　多くのアンチウィルスメーカー（Symantec, F-Secure, BitDefenderを含む）は今、Conficker/Downadupワーム専用削除ツールを提供している。このプログラムは、いかなるアンチウィルスソフトのインストールも要求しない。このプログラムは小さいので、感染したシステムのUSBドライブから起動することもできる。McAfeeは専用ツールは提供していないが、McAfee Avert Stingerスタンドアロン ユーティリティがConficker/Downadupワームを検出する（Conficker/Downadupの全てのバージョンを検出するわけではない）。
　残念ながら、アンチウィルスメーカー全てが、彼らのプログラムがConficker/Downadupワームのどのバージョンを削除するのか確認し詳らかにしているわけではないし、Conficker/Downadupワームを完全に駆除するということを保証もしていない。一般的に、ユーザが彼らのバックアップからリストアすることができなかったり、あるいは、完全なシステムリストアができない場合、この様なツールは、Conficker/Downadupワームを削除し、このワームによって開かれていた可能性のあるいかなるバックドアも閉じる支援をするはずである。原理上、このワームに感染されたマシンは改竄されており、ユーザには、この感染が削除されるという完全な確証はない。

それぞれの専用ツールに関しては、以下を参照。

W32.Downadup Removal Tool, from Symantec
Worm:W32/Downadup.AL Removal Tool, from F-Secure
Downadup Removal Tool, from BitDefender

VistaからXPにダウングレードするための７ステップ
Windows Secrets ： News Letter (2009/03/12)

　数ヶ月後にWindows 7がリリースされるようだが、多くの人々は待ち望んでいない。多くの人々が望んでいることは、Vistaの新機能（珍妙な機能と呼ぶ人もいるが）をXPのように親しみやすくすることである。
　あなたが、古き良き時代のXPを懐かしく思い、インストールCDを持っているのであれば、このステップバイステップのガイドは、VistaをXPに変更するために役に立つ。
　今日、XPがインストールされた新しいコンピュータを見つけるには骨が折れる。XPをVistaにアップグレードした多くのPCユーザは、Vistaのパフォーマンスと他の問題で失望させられている。いずれにせよ、XPのインストレーションCDを持っているのであれば、Vistaにお別れのキスをすることができる。
　VistaからXPのダウングレードは、あなたが思っているほど困難な操作ではないが、幾許かの時間のかかる操作を伴う。多くのオンライン情報源は、ハードディスクを再フォーマットする事無に、XPを再インストールするテクニックを提供すると主張している。しかしながら、私の調査では、Vistaパーティションを削除し、そのパーティションにXPをインストールすることは、ほぼ間違いなく、最も簡単なアプローチである。その上、この方法はVista削除の残存物によるコンタミが存在しないクリーンインストールを保証する。
　（NOTE、XPからVistaへのアップグレードを、XPのインストレーションCDが無い場合でも、アンドゥできる場合さえある。このアドバイスはMicrosoftの記事933168に示されている。この記事はXPの復元に コマンドライン操作を行っている。そして、ユーザのルートドライブにwindows.oldフォルダが存在することも要求している）

　XPのインストレーションCDとアプリケーションCDがあれば、準備は整っている。

Step1
　データをバックアップする。残念ながら、Vistaのバックアップと復元センターを使用して作成したバックアップはXPにリストアできない。これは、あなたのデータファイルを手動でバックアップするか、XPとVistaの両方で動作するサードパーティー製バックアップツールを使用しなければならないことを意味している。そのようなプログラムの一つとして、2BrightSparksの SyncBack（【訳注】Altech等からダウンロード可能）がある。SyncBackには無料版と有料版がある。
　アプリケーションのバックアップを面倒臭がるな！　XPに戻した後、バックアップしたインストレーションCDからバックアップを再インストール必要があるのだから。
　Portable Apps（【訳注】USBメモリなどを利用して、アプリケーション環境を持ち歩くためのソリューション。アプリケーション起動に関わる実行ファイルの本体、データをすべてメディアに詰め込むことができる）のデータを保存用フォルダにバックアップする。このPortable Appsその物は再インストールする必要はないが、データファイルはこのバックアップからリストアされなければならない。Portable Appsの取扱いに関しては、"Free software on USB enables portable computing.（2007/10/18）"で論議している。

Step2
　必要なら、コンピュータをCDからブートできるようにBIOSを設定する。CDブートできるのであれば、XPインストレーションをディスクを挿入し、再起動する。

Step3
　XPセットアップがロードしたら、使用許諾を受け入れるため、スクリーン上の表示に従い、XPインストールを継続する。XPをインストールするためのパーティションに関するプロンプトが表示されたら、Vistaが存在するパーティションを選択し、このパーティションを削除するために[D]キーを押し、続いて[Enter]キーを押す。次に、Vistaパーティション上の全てのデータとソフトウェアの削除に関する確認画面で[L]キーを押す。

Step4
　パーティション画面に戻ったら、Vistaに使用されていたが、今はパーティションされていない場所を選択する。このスペースは自動的に選択されているかもしれない。次に、パーティションを作成するために[C]キーを押す。パーティションサイズを設定する。あるいは、デフォルトの割り当て（可能な限り最大のパーティションになっている）を受け入れるために[Enter]キーを押す。（[C]キーの代わりに単純に[Enter]キーを押すと、デフォルトのサイズで新しいバーティションが作成される）

Step5
　まだ、パーティション画面が表示されているようなら、設定したいパーティションが選択されていることを確認した後、[Enter]キーを押す。ディスクフォーマットのオプションでNTFSを選択し、もう一度、[Enter]キーを押す。

Step6
　画面に表示されるプロンプトにしたがいXPのインストレーションを継続する。

Step7
　アプリケーションをインストールし、バックアップからデータを復元する。

　これで終了。心変わりしたなら、VistaのDVDを挿入し、XPからVistaにいつでもアップグレードできる。

セーフモードに悪意のトリック
McAfee Avert Labs ： Blog (2009/03/12)

　Windowsはシステム中の様々な悪意ある機能によって発生する様々なダメージを修復するために「セーフモード」という有用なオプションを持っている。セーフモードでブートすると、システムの基本的な操作に必要なドライバとサービスだけが限定的にロードし、環境を複雑化する多くの必要以上な機能の追加を回避する。一般的に、セーフモードはマルウェアの感染からシステムを修復するために非常に有用である。しかしながら、マルウェアはセーフモード中にロードすることで、この機能の脆弱性を攻撃することができる。この様な作成物はユーザや管理者がこの様な感染を修復することを非常に困難にする。

　セーフモードでロードされるサービスとドライバは、以下のレジストリキーの下にリストされている。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

　マルウェアがシステムの制御を獲得したら、セーフモードブートの間にロードするために、マルウェアのエントリを上述のキー中に追加する。この種のマルウェアは手動削除することは困難である。ユーザは、そのようなマルウェアを検出し駆除するアンチウィルス製品を必要とする。常に「安全なインターネットサーフィン」を実行したいのであれば、あなたのコンピュータをクリーンに維持することと、あなたが利用しているアンチウィルスの定義ファイルのアップデートを維持することが最初のステップである。

AdobeとFoxitがセキュリティ アップデート
Washingtonpost : Security Fix (2009/03/10)

アドビシステムズは、ハッカーが一月から脆弱性を攻撃している危険なセキュリティホールを塞ぐアップデートを本日リリースした。このアップデート（こちらから利用可能）は、WindowsとMacシステム上のAdobe ReaderとAcrobat用である。
Adobeは、Adobe Reader 7と8、そして Acrobat 7と8のアップデートを3月18日までに行うと発表していた。
　PDFドキュメントを読むために人気あるAdobe代替を使用したいのであれば、Foxit Readerがある。Foxit Readerに関してもアップデートが必要である。月曜日、FoxitはFoxit Reader中に存在した三つの深刻な脆弱性を修正するアップデートをリリースした。これはFoxit Reader ver 3.0である。こちらのリンクから利用可能である。

************* Foxit Reader について

　Foxit Readerは大変軽快なPDFリーダとして人気があり、WashingtonPost上で"Security Fix"をBlogするBrian Krebsは推奨しています。ただ、最近のPC Informant他の情報によれば、「Foxit ReaderはAsk.com Toolbarのインストールを要求してくる。もはや完全なフリーではない」とし、Adobe Readerの代替に、Sumatra（http://blog.kowalczyk.info/software/sumatrapdf/index.html）を挙げています。

Firefox：脆弱性の数は最も多いが、素早くパッチされている
heiseSecurity : Security (2009/03/06)

デンマークのセキュリティ企業Secuniaの2008年レポート(PDF)によると、Mozillaは昨年、Firefoxの115の脆弱性をパッチした。主たるブラウザの2008年の脆弱性発生数は、Internet Explorer＝31、Safari＝32、Opera＝30であった。しかしながら、脆弱性が認識された後、Firefoxの開発者は明らかにMicrosoftがIEにパッチを充てるより高速に、その脆弱性を処理している。
　Secuniaのレポートは次に、発行時点でパッチされていない幾許かの未処理の脆弱性に言及している。このレポートは、この様な脆弱性がIEで6個、Firefoxで3個存在していたと述べている。IE5と6で根源を一にするフローとクロスドメイン セキュリティ ポリシーに関連する深刻な脆弱性を例にとると、Microsoftはこのフローを110日間パッチせずに放置した。
　Microsoftの"security evangelist（【訳注】直訳すれば、セキュリティ福音伝道師）"Jeff Johnsは、Firefoxユーザは285日間セキュリティ脆弱性を放置されたまま運用しなければならなかったと、この一月の研究で主張している。Criticsは彼のカウント方法が正しくないと反論している。
　2008年のSecuniaのレポートは、Secunia自身の集計ツールPersonal Software Inspector (PSI)によって表示された結果を示している。最も汎用されている10個のプログラムのうち、少なくとも1/4に、パッチが適用されていない脆弱性が存在した。Sun Java JRE 1.5.x/5.xに関する集計は、インストールされている96%が最新のプログラムでなかった。また、Adobe Flash Player 9.xの48%が危険とされるバージョンであった。Adobe Reader 8.xでは、1/4のユーザが脆弱性あるバージョンを使用していた。
　Secuniaが伝える良いニュースの一つは、2007年20個発生した0-Day攻撃が2008年には12個に減少したことである。この0-Day攻撃の9つはMicrosoftに関係する物であり、残りの3つはIE中のサードパーティ製ActiveXコントロールに影響を及ぼす物であった。

高速拡散中のフィッシングスカム、Googleユーザを攻撃
The NewYork Times : Technology Bits Blog (2009/02/24)

　まず、GoogleのE-Mailサービスは数時間落ちた。数百万のユーザがロックアウトされた（【訳注】昨日、訳者のG-Mailアカウントでも発生した。iGoogleは「一時的に・・・・」のようなメッセージを発生していた）。今、Googleのチャットサービスは高速に拡散しているフィッシングスカムのルートであることは明らかである。
　Googleチャットに付随するチャットサービスに登録している殆どのGmailユーザは、友人からであると思われるメッセージを得ていた。これらのメールは、ViddyHoと呼ばれるサイトに連れていくtinyurl.comで始まるWebアドレスをクリックするよう促した。このサイトは、個人のGmailログイン情報を 要求する。次に、このアカウントをハイジャックし、そのユーザがコンタクトしている全てのアカウントにチャットメッセージを送信し、それ自身を更に拡散する。
　オンラインサービスTwitterには絶え間ない不満が殺到した。そして、この攻撃について警告した。「私からViddyhoへの招待を受け取った方々へ、どうか無視してください。」Zaffiという名のTwitterユーザは、「私はペテンにかけられていると思う」と警告している。
　Avivah Litan（リサーチ企業Gartnerのセキュリティアナリスト）は、Webサーファーにビデオ上をクリックするよう誘うフィッシング攻撃は、この半年継続的に増加している。消費者は、銀行やクレジット会社からの重要なメッセージのような偽装E-Mailメッセージに対し「賢く」なった、とMs.Latinは発言している。彼女は今、フィッシャーは話題になっている、新しいイベント（この場合、ビデオはコメディーThe Lonely Island座と歌手T-Painを主役としている）を再生するビデオの招待状を送信している。このビデオを再生している間、このサイトは犠牲者のコンピュータを感染するためにバックグラウンドでマルウェアをダウンロードしている。
　「この様な犯罪者は、人々の注意を惹く方法を熟知している。この方法は詐欺師によって支持されている手法である。そして非常に良く動作する。彼らは儲かり過ぎて笑いが止まらない。」と彼女は発言している。
　ViddyHoの犠牲者になったユーザのために、Ms.Lattinは、パスワードと稼働しているウィルススキャンの変更を推奨しているが、それだけでは十分でないとも警告している。「実際に高度に精巧な場合には、40のアンチウィルスプログラムを稼働させたとしても、いかなるマルウェアも検出できない。そこで、バックアップをする必要がある、次に全てを削除し、もう一度やり直す。これがもっとも安全な方法である。」

Conficker（Downadup）ワーム、よりフレキシブルに
heiseSecurity : Security (2009/02/23)

　Windows攻撃用のConfickerワームの作者は、継続的にこのマルウェアをアップデートしているようだ。SRI Internationalの研究者の解析によると、最新のConfickerの変種BとB++は、コンポーネントと新しいバージョンのダウンロードしようとする今までのバージョンより、更にフレキシブルになっていることを発見した。
　このワームの最初のバージョンは、どのドメインにコンタクトするか容易に予想できる方法を使用していた。そこで、MicrosoftとICANNは、この様なドメインの制御を取得しようと、あるいは、そのようなドメインをシャットダウンしようと試みた。次のバージョンのBは、コンタクトしようとするドメインの確立に別の方法を使用した。バージョンBはまた、このワームがウクライナ語用キーボードレイアウトを検出した場合、バージョンAで可能にされていた「自殺スイッチ」を持っていなかった。
　このマルウェアの最新の変種（Conficker B++）は、DLLだけでなく完全な任意のプログラムもダウンロードできる。これはボットネットオペレータの活動範囲をより拡張する。このダウンロード機能の拡張として、このバージョンは、追加のコンポーネントや新しいバージョンを、積極的に遠隔的に注入するために使用されるバックドアも含んでいる。
　この研究者は現在、Confickerが活動している1000万のIPアドレスを計測している。これの600万以上がConficker Bに感染している。しかしながら、この数値は感染したシステムの実際の数を反映していない。SRI Internationalによれば、この数値はおそらく一桁小さく、多分数百万単位で違っている。他の興味ある計測は国別の数値である。中国が270万IPでトップ。イギリスの感染アドレス、98,719。ドイツは195,923でアメリカよりちょっと多い。

Adobe ReaderとAcrobatに０ーDayの攻撃
Washingtonpost : Security Fix (2009/02/20)

　ハッカーは、ユーザがbooby-trapされたPDFファイルを開いたとき、悪意あるソフトウェアをインストールするため、Adobe ReaderとAcrobatの現在のバージョンに存在する未パッチのセキュリティホールを攻撃中であると、セキュリティの専門家は警告している。
　Adobeはユーザが毒を含んだPDFファイルを開いたら、攻撃者がシステムの制御を完全に奪取することを可能にする脆弱性を含んでいるReaderとAcrobatのバージョン9とそれ以前のバージョンに関する警告を木曜日にリリースした。Adobeは、3月11日までこのセキュリティホールを塞ぐアップデートをリリースすることは計画されていない、と発言している。
　Meanwhile（ボランティアが率いるセキュリティグループShadowserver.orgのメンバ）は、この脆弱性が攻撃目標として使用されている兆候を確認した、と発言している。Shadowserverは、この脆弱性を突く攻撃は、ハックする種を蒔いたり、マルウェアをインストールしようとするコードの付属する悪意あるWebサイトを専門にするサイバー犯罪者に売られる攻撃キット中におそらく同梱されるていると、警告している。
　「この種の攻撃は、しばしば多大なダメージを与える。そして、インターネット上のあらゆる攻撃パックに詰め込まれるのは時間の問題である」とShadowserverのボランティアSteven Adairはグループブログ中で記している。
　Adobeのアドバイザリには、ユーザがこのフローの脅威を軽減する指示が欠乏している。しかし、Shadowserverの説明では、Adobe ReaderとAcrobatのユーザは、このアプリケーション中のJavaScriptを無効化することによって、この様な攻撃に曝されることを明らかに減少できる、と発言している。JavaScriptを無効化するには、編集＞環境設定＞JavaScript　で、「Acrobat JavaScriptを使用」設定のチェックボックスのチェックを外す。
　過去、PDFファイルビューワの代替として、私は高速で軽量なFoxit Readerのフリーバージョンを推薦した。しかしながら、Foxit Readerが同様の脆弱性があるかどうか未だ確認できていない。Foxitから返答があり次第、この記事をアップデートする。

************************************　アップデート（結論のみ）

　Foxitからのメールによると、Foxitにこの脆弱性は存在しない。今後も注意して監視する。

IE7への新たな攻撃
Channel & Register : Software & Security (2009/02/17)

　サイバー犯罪者は、先週MicrosoftがパッチしたIE7の深刻なセキュリティホールを攻撃することを開始した。Microsoftもこの脆弱性を攻撃することは容易であると警告している。
　研究者によれば、この脆弱性を攻撃するコードは、パッチされていないマシン上に情報を盗むマルウェアをインストールする罠を仕掛けられた（ブービートラップ）Wordドキュメントを介して拡散している。この脆弱性は先週MicrosoftがパッチしたIE7の二つのフローのうちの一つである。Microsoftはこの時点でリモート実行フローのための「一貫した脆弱性を攻撃するコード」が存在しそうであると警告していた。
　この攻撃は現時点で、Wordドキュメントのスパミングを含んでいるため、おそろしく原始的である。セキュリティの専門家はそれが変更されると考えている。
　 　「攻撃者がdrive-by攻撃で脆弱性を突くことから完全に防御する術はない（不幸にして、我々はこの攻撃が直ちに発生するであろうことを予測できる）」とBojan Zdrnja（Sans Internet Storm Centerのハンドラー）は、ここに記している。この脆弱性コードはMicrosoftのパッチをリバースエンジニアリングの結果であったと続けている。
　しかしながら、この脆弱性コードは新規な側面も持っている。例えば、くすねられたデータは暗号化されたチャンネルを通じて中国のWebサイトに集められる。また、多分追跡を回避するために、極度に難読化されたシェルコードとガベージコレクションを使用している。
　MS09-002の脆弱性を突く攻撃は、削除されたオブジェクトにアクセスすることを企てたとき、不適切なエラーハンドリングの結果発生するリモート実行フローである。アンチウィルスプロバイダTrend Microはこの攻撃についてより詳細に記している。

あなたのPCはボットネット ゾンビになっているか？
Windows Secrets : Home (2009/02/15)

　大多数のアンチウィルスアプリケーションは、この種のマルウェアを停止する準備はできていないが、あなたのPCがゾンビ化されるリスクを減少することはできる。
　 　昨年11月、Hurricane Electricというインターネット接続業者は、McColo会社をホスティングすることを中止した。幾つかの見積りによれば、即座に世界中のスパムの量は一挙に65%減少した。
　WashingtonPost.comのBrian Krebsの記事における説明として、Hurricane（McColoがインターネット接続を依頼した二社のうちの一つ）は、WashingtonPostにインターネット悪人のあらゆる種類をホスティングしているMcColoのプロバイダとしての役割を説明された後、このアクションを取った。
Krebsによれば、McColoのクライアントは「何百万もの改竄されたコンピュータの遠隔管理から、偽の医薬・デザイナーグッズ・インチキのセキュリティ製品・電子メール経由の児童ポルノの販売まで、全てに関係する国際的会社とシンジケート」を含んでいた。
　InfoWorld.comの11月26日の記事によれば、スパムの減少状態は逆戻りするまで数週間継続した。
　McColのサーバーは自身ではスパムを送信していなかった。代わりに、コマンドを供給し、マルウェアで感染させたPCの巨大なネットワークを制御した。自動的にスパムを送信するようにされたハックされたPCのコレクションは、robotネットワーク（あるいは、botnet）として知られている。セキュリティの専門家は、これら（Asprox, Rustock, Cutwail, Srizbilを含む）を実行するマルウェアをbotnet（ボットネット）と名付けた。
　このマルウェアの作者は彼らのbotnetをスパマーに貸した。WashingtonPostの記事によれば、スパマー達は多量のダイレクトメールの送信を調整するため、制御されたサーバーを順番に使用した。
　あなたのコンピュータはスパムゾンビになっている可能性があり、あなたはそのことを全く分からないかもしれない。あなたが使用しているセキュリティソフトが、あなたのPCをbotnetの奴隷になることから妨げ続けてくれていると考えているのなら、考え直した方が良い。
　 　セキュリティ企業FireEyeの最近の研究は、アンチウィルスがボットを検出する割合は半分以下であることを明かにした。この研究は無料のマルウェアスキャンサービスVirus Totalが使用しているアンチウィルスプログラム（Virus Totalが使用しているアンチウィルスプロダクトのリストは、そのサイトを参照）をテストしている。

4-ステップ、スパムボットから身を守るプログラム

　ボットネットの犠牲者になることを妨げるために実行できることが何かある。けれども、完全な解決策というものは存在しない。以下に記すアクションは、あなたのシステムが改竄されることを妨げるために役に立つ。
　

ステップ-1、使用しているセキュリティ製品のアップデートを堅持する。　FireEyeの研究は、アンチウィルスがボットを防ぐことは極僅かであるとするが、この研究の著者（FireEyeの主任研究員Stuart Staniford）は、「アンチウィルスは改善され続けている。数カ月間放置し、使用し続けていれば、セキュリティソフトの70〜80%は、おそらくボットを検出する」とも発言している。
　利用しているアンチウィルスの最新のパッチとウィルス定義ファイルを定期的にアップデートしなさい。たとえ最新のbotを捕獲しなくても、インターネット上を徘徊している古いマルウェアは捕獲するので、リスクは減少する。

ステップ-2、ファイアーウォールを使用しなさい。　あなたのインターネット接続を注意深く監視することで、botnetマルウェアによる感染のリスクは減少する。デフォルトで、ファイアーウォールはWindows XPとVistaに備え付けられているが、インバウンドしか監視しない。このファイアーウォールはアウトバウンドトラフィックを監視するように設定することもできるが、そうするには大多数のユーザにとって技術的且つ問題がありすぎる。XPとVista中のファイアーウォールの相違点は、Microsoft TechNet中の記事として提供されている。
　多くのフリーのサードパーティー製ファイアーウォールは双方向共にブロックする。サードパーティー製ファイアーウォールは時々、MicrosoftのパッチTuesday（毎月第二火曜日）の修正の後、アップデートを要求する。しかし、このようなファイアーウォールの追加された機能は、この不便さを共存する価値のあるものにする。WSの上級編集者 Ian "Gizmo" Richards は、2008年7月31日の彼のコラムに、ファイアーウォールのベスト プロダクトを記述している。

ステップ-3、フリーの診断ツールを取得しなさい。　幾つかのセキュリティ製品は、特に挿入されたbottnetと戦うことを意図している。例えば、RUBottedはTrendMicroが提供するフリーのユーティリティで、システムトレイの決められた場所に位置し、特定の行動を監視している（詳細はこちら）。このプログラムが感染を発見したら、行動を取るようあなたに注意を促す。このプログラムは現在ベータであるが、私の場合は良好に動作した。
　セキュリティブロガーFeinbergによれば、RUBottedはTrendMicroのフリーのHouseCallオンライン ウィルススキャン サービスでシステムをスキャンするよう促す。このスキャンは、多くのマルウェア感染を検出する。[注意]私のシステム上では、RUBottedはRAMの8MBを消費した。

　留意：Feinbergのブログは、ある程度RUBottedのメーカー（Trend Micro）によって後援されている。しかし、私はRUBottedを使うことの論議に、これを考慮していない。

ステップ-4、Norton AntiBotを試しなさい。　もう一つのbotを特定するセキュリティ製品は、シマンテックの Norton AntiBotである（詳細はこちら）。この30$のプログラムはbotが、システムを損傷する前に、botを監視し、検出し、削除する。Norton AntiBotは、botを特定する定義ファイルよりむしろ挙動解析を使用する。このソフトは2007年度PC MagazineのEditor's Choice賞を受賞している。
　Marshalのようなセキュリティサイトはスパムボットの挙動報告を継続している。糞野郎はジャンクメール、マルウェア、他の醜悪なデータを数百万の犠牲者に対し配布し続けている。上述のbot防御ツールとテクニックを使用することによって、あなたのマシンがスパマーを支援する機会を減少させる。

LastPass：Roboform同等以上の無料のパスワードマネージャ
Gizmo's Tech Support Alert : Hot find (2009/01/18)

【訳注】見つけるのが遅れて・・・。（和訳：2月15日）。

　このようなことが起こるとは思いもしなかった。Roboform同等、多分それを上回る無料のパスワードマネージャが出現するなんて・・・。
　 　利用者のPC上で稼働するユーティリティであるRoboformと異なり、LastPassは利用者のPC上で稼働するプログラムと協力して動作するWebサービスを使用する。

　巧みなアプローチである：

　Webサービスは、利用者のパスワードがいろいろなコンピュータ（Mac、Linuxを問わず）からアクセス可能であることを意味している。
　利用者のコンピュータ上で稼働しているスタンドアローン プログラムは、利用者がオフラインの状態にあるときでさえ、パスワードにアクセスし使用できる。
　しかし、私がLastPassで一番好むのは、Roboform同様に、Webサイトへの訪問と同時にログインフォームに自動的に書き込んでくれることである。これは単に利用者のログイン情報を記憶し、認証のコピーアンドペーストを要求する他のパスワードマネージャと、大きく異なるところである。
　LastPassはユーザ名とパスワード以外のことも、すなわちRoboformのPasscards類似の挙動でWebフォーム情報も記憶する。また、しっかりと利用者のメモも記憶する。
　セキュリティと利用者の情報は、強力な256ビット長AES暗号化によって保護される。さらに利用者の暗号鍵とマスターパスワードは、LastPassの社員ですら利用者のデータを読むことができないので、利用者のコンピュータから決して漏洩することはない。
　プラグインはInternet ExplorerとFirefoxで利用可能なので、Windowsシステムだけでなく、MacやLinuxシステム上で稼働するFirefoxでも利用できる。

　他の機能：

　・　ポータブルバージョンが利用可能である。
　・　Roboformを始め、多くのパスワードマネージャから情報をインポート可能。
　・　IEとFirefoxのパスワードをインポート可能。
　・　有用な「お気に入り」リストが付属している。
　・　Partial iPhone integration
　・　SafariとChrome もサポートが計画されている(Operaは対象外)。

　全てのことは以下にある。最高の無料パスワードマネージャとして私がTopに挙げる物に直行しなさい。

https://lastpass.com/

Windowsの自動再起動の設定を変更するには
The PC Informant : Blog (2009/02/13)

　殆どのWindows PCでは、システムクラッシュした場合のデフォルトの設定は自動再起動になっている。あなたがBlue Screen of Death（死のブルースクリーン）のエラーメッセージを解読しようとした場合等では、この設定は便利ではない。しばしば、自動再起動はクラッシュと再起動の無限ループに陥るかもしれない。デフォルトの設定を変更したいのであれば：

　Windows XPでの手順。

1/　マイコンピュータを右クリックし、プロパティを開く。
2/　詳細設定タブをクリックする。
3/　起動と回復の設定ボタンをクリックする。
4/　起動と回復ダイアログで自動起動のチェックを外す。
5/　OKボタンをクリック、もう一度OKボタンをクリックする

　Windows Vistaでの手順。

1/　コンピュータを右クリックし、プロパティを開く。
2/　タスクの左ペインでシステムの詳細設定をクリックする。
3/　[ユーザー アカウント制御] が表示され、操作を続行するかどうかを確認するメッセージが表示された場合は、[続行] ボタンをクリックする。
4/　起動と回復の設定ボタンをクリックする。
5/　起動と回復ダイアログで自動的に再起動するのチェックを外す。
6/　OKボタンをクリック、もう一度OKボタンをクリックする。

【訳注】Vistaの場合、こちらを参照（ヒューレットパッカードの画像付き日本語情報）。

セキュリティハッカー今度はF-Secureを攻撃
Chanel Register : Software & Security (2009/02/13)

　F-Secureは、つい最近Kaspersky LabとBitdefenderの再販売業者がポルトガルで稼働しているWebサイトを攻撃したルーマニア人グループによる攻撃があったことを木曜日に認めた。
　三つの攻撃すべて、攻撃者はSQLインジェクション技術を使用していた。F-Secureは彼らのシステムに対する攻撃のインパクトは小さく、そしてマルウェアの統計を照合するために通常使用されているサーバーのみが影響を受けたと発言している。
　ブログにポストされた記事において、F-Secure（フィンランドのセキュリティメーカー）は、攻撃のインパクトは「小」であったが、将来の攻撃（多分、さらに強力な）に対して防御されなければならないので改善されるだろうと発言している。

マルウェアの統計の集約に使用している我々のサーバーの一つが、適切に入力を消毒しないページを持っており、それ故、攻撃に対して脆弱性が存在していた。幸いにして、我々は深層防御の戦略を利用していたので、攻撃のダメージは部分的に止まった。
　攻撃者はデータベースから情報を読み取ることは可能であったが、データベースに書き込んだり、巧みに取り扱うことはできなかった。SQLユーザはそれ自身のデータベースにしかアクセスできないので、攻撃者はそのサーバー上に存在する如何なる他のデータにもアクセスできなかった。これは我々が統計のページに表示する公開情報しか含んでいない。攻撃者は、我々がそれから学習しなければならないことを、改善の必要があることを指摘したが、大したことではない。
　マルウェアの統計は、我々がworldmap.f-secure.com上で様々な方法で公開しているものである。そして、我々のITセキュリティ戦略により、攻撃被害は小さかった。

　F-Secure攻撃に関するハッキングフォーラム上への投稿は、このセキュリティ企業の見解を裏打ちしている。 　インフォメーションセキュリティ供給元を取り巻く如何なるセキュリティ事件も深刻である。しかし、FーSecureのハックの場合、usa.kasperky.comとbitdefeder.ptへの攻撃とは異なり、顧客情報は漏洩しなかった。

Microsoftの今月のパッチ中の深刻なIEとExchangeの脆弱性について
WashingtonPost : Security Fix (2009/02/10)

　Microsoftは本日、Windows OSと他のソフトウェアが稼働しているPC中の、最新の8つのセキュリティ上の脆弱性を修正をバンドルした4つのパッチをリリースした。この修正は、Microsoftアップデート、もしくは自動アップデート経由で利用できる。
　修正の半分は、Microsoftが最も緊急の「深刻」（攻撃者が、ユーザーにブービートラップを仕掛けられたウェブサイトを訪問させるか、とり分け巧みに作られた電子メールを開けるよう説得するだけでなく、殆どユーザの支援無しで脆弱性あるシステムに侵入することができることを意味する）と評価していた二月のパッチバッチで修正された。
　この深刻とされる脆弱性の二つはMicrosoftのInternet Explorer 7 中に存在する（不思議なことに、MicrosoftはIE6は影響されないと発言している）。
　Redmond（MicrosoftがRedmondに位置することから、この様に呼ぶこともある）が修正した他の二つの深刻なフローはMicrosoft Exchange（何千万もの組織で使用される電子メールサーバープログラム）中で発見された。
　Andrew Storms（ネットワーク セキュリティ会社 nCircleのセキュリティ オペレーション ディレクター）は、Exchangeの脆弱性はとり分けビジネスに取って深刻である。なぜなら、攻撃者は会社のExchangeサーバーへ巧みに細工されたe-Mail添付ファイルを送信するだけでExchangeサーバーの制御権を強奪できるからであると発言している。 　「ありとあらゆる高度な秘密と機密情報は毎日Exchangeを通過している。そのようなサーバーの制御権を奪うこと。そしてその内容はサイバー犯罪者にとっての金鉱であるだろう」とStormsは発言している。
　Microsoftは、犯罪者が確実に脆弱性を攻撃する能力あるコードを開発することはありそうもなく、この内密に報告された脆弱性に対する攻撃は未だ認識されていないと発言している。
　この様な断言にもかかわらず、Stormsは悪い奴等はこの脆弱性を捕らえそうであると発言している。 　「一週間以内に早期の脆弱性を攻撃するコードを確認したとしても驚くに当たらない」と彼は発言している。
　二つの残りのアップデートは内密に報告されたSQLサーバーデータベースソフトウェア中の脆弱性と三つの内密に報告されたMicrosoft Office Visio中のフローを修正している。

ファイルのタイプではなく、ソースを考慮せよ
WashingtonPost : Security Fix (2009/02/06)

　人気のP2Pファイルシェアリングネットワーク上で交換される音楽ファイルに感染するマルウェアが改善（改悪）されていることで、Windowsユーザは未知のソースからの楽曲のダウンロードを一時休止にすべきである。
　シマンテックは、Trojan.Brisv.A（他のアンチウィルスメーカーででは、Worm.Win32.GetCodec.a とも呼ばれる）と呼ばれるウィルスに感染させられたオーディオファイルの数が急上昇していると報告している。悪意あるソフトウェア（開始されたとき、全てを.mp3に変換し、次にホストシステム上の.mp3を Windows Media Audio (.wma)に変換する）は、別の無害なように見えるWindows Media Audio (.wma)ファイル中に存在する。
　このトロイの木馬によって改竄されたオーディオファイルは、それら本来の .mp2や.mp3ファイル拡張子を失っているわけではない。それどころか、このトロイは変換されたメディアファイルのプレースフォルダ中に埋め込まれているので、犠牲者がそれを聞こうとした時、楽曲をWindows Media Player中に開く。この時点で、犠牲者は再生を継続するためにオーディオコーデックのダウンロードを促される。犠牲者がこのオーディオコーデックをインストールしたら、このトロイは、ユーザのシステム越しに悪意あるプログラムの製作者に制御権を与えるプログラムをインストールする。
　シマンテックは、インチキのコーデックが犠牲者に偽のアンチウィルスソフトウェア（インチキのコンピュータセキュリティプログラムを実行し犠牲者を脅す、偽のセキュリティ警告を使用する。"scareware"としても知られる）を購入するよう促すソフトウェアをインストールすると発言している。シマンテックは20万〜160万の人々が、このトロイが付随する感染したオーディオファイルをダウンロードしたと見積もっている。
　このトロイは昨夏最初に見出されたのだが、シマンテックはこのマルウェアに関し、検出したものの中の多くに最近改善が見られると発言している。
　Kevin Haley（Symantec Security Responseのディレクタ）は、このトロイがいわゆる"binder"（幾つかのハッカーツールの一つで、無償利用可能。テキストやイメージファイルのような無害に見えるファイルタイプ中に実行ファイルを同梱することができる）と呼ばれるものを抱き合わせて作成されていることを明かにした。
　「これはユーザに、ダウンロードし稼働することが危険を伴う .exe ファイルでないことを思いださせるので、狡猾な狙いである」とHalleyは発言している。
　不幸にして、このトロイの付属する感染させられているオーディオファイルをダウンロードした後、あなたの音楽コレクションが損壊したのであれば、これを修復するシマンテックの無料ツールを使用することができる。このツールは感染したファイルからこのトロイを削除する。

Sunbeltが一月に公開した、ScareWare
Sunbelt : Blog (2009/一月公開分)

【訳注】Sunbeltの公開順。訳は抄訳。

Total Protect 2009
　このインチキソフトは面白い。uninstaller.exeとインストーラtotalprotect2009_setup.exeは、同じMD5/CRC8を持っている。片方をアンインストールしている間に、もう片方がインストールされる。

Total Defender
　GUIは以下。

　これがホームページ。

　VIPRE（Sunbeltのアンチウィルスソフト）は、これを削除する。

IE Security
　IE SecurityはIEDefenderファミリーの新しいインチキのセキュリティアプリケーションである。
　IESecurityはWin Defender 2009を置き換える。

　Ie-security comは、このインチキソフトのホームページである。実際にインチキのインストーラがダウンロードされる。

SysAntivirus 2009
　SysAntivirus 2009は、WinSpywareProtectファミリー出身の最新のインチキソフトである。

　関連サイト。

94.247.2.75 Sysantivirus2009 com
78.26.179.232 Files.sysav-download com
94.247.2.92 Int.sysreport1 com
78.26.179.239 Dl.sysav-storage com
94.247.2.94 Int.sysreport2 com
64.27.18.137 Sales.buysysantivirus2009 com

MicrosoftのAutorunを無効化する方法は動作しない
heiseSecurity : Security (2009/01/22)

【訳注】この情報は、F-Secureによって詳細に報告されているDownadup情報の一環です

　US-CERTはTechnical Cyber Security Alertで、WindowsのAutoRun/AutoPlay機能の無効化方法に問題あるとする警告をリリースした。Microsoftによって記述されているAutoRunとNoDriveTypeAutorunレジストリキーの構成に関するの情報は、AutoRunとAutoPlay機能を完全に無効化しない。AutoRunとAutoPlay機能が完全に無効化されると、モバイル ストレージ デバイス上のプログラムは、このデバイスが接続されても直ぐに稼働しないか、更なるステップを示唆するところのAutoPlayダイアログがポップアップする。
　最近徘徊しているConfickerワームは、ユーザが感染したUSBスティックを差し込んだときワームを起動することをユーザに納得させることで、AutoRunとAutoPlay機能を不正に設定し脆弱性を攻撃すると、幾つかの情報筋はレポートしている。このワームはAutoPlay表示中に偽のアイコンをもたらし、不注意なユーザに、このアイコンをクリックするよう欺こうとする。彼らはフォルダーを開いているように見せて、代わりに彼らはワームを解き放っている。
　Microsoftはこの問題を確認した。そして、2008年3月から表示され、この脆弱性を説明 しているナレッジベースの記事を指摘している。そこには、エラーを修正し、正しいキーを設定するためのWindows 2000, XP, Server 2003用のアップデートへのリンクが含まれている。US-CERTは、アップデートMS08-038はVistaとServer 2008中のエラーを既に排除したと発言している。そして、そのレポートは、問題を修正するためのそれ自身の解決策を与えている

Apple、今年最初のパッチはQuickTime
Washingtonpost : Security Fix (2009/01/21)

　Appleは本日QuickTimeメディアプレイヤーのセキュリティアップデートをリリースした。新バージョン（QuickTime 7.6）は、MacとWindowsシステム上で利用できる。
　このリリースは、少なくとも7つのセキュリティ上の脆弱性を修正している。7つの脆弱性すべては、Appleが特別に細工されたムービーやストリーミング メディア ファイルを閲覧するようユーザを納得させることで、脆弱性あるシステム上でアタッカーが選択したソフトウェアを簡単に稼働することに使用できると発言しているくらい十分深刻である。
　QuickTimeユーザ（特にWindowsユーザ）は、このアップデートを適用する前に、ぐずぐずしてせっかくのチャンスを逃さないようにすることが重要である。QuickTimeは大変広範にインストールされている（そして、頻繁にアップデートされる）ので、QuickTimeは自動的に脆弱性を攻撃するツールキットを製作販売しているハッカーの注目を集めている。これらはアタッカーがハックしたWebサイトに縫い付けるソフトウェアキットである。ユーザがそのようなサイトを訪問したとき、このツールキットはQuickTimeのプラグインに、未だ既知のセキュリティフローのある脆弱性があるかどうかチェックし、発見した最初の脆弱性を俎上に上げる。次に、訪問者のPCに悪意あるソフトウェアインストールするためにこの脆弱性を使用する。
　Microsoftの最新の「セキュリティ情報報告」によれば、QuickTimeのフローは、2008年の前期の間に、Windows XPとWindows Vistaシステムに関し、三・四番目にその脆弱性を攻撃されているWebブラウザである。
　 　MacユーザはSoftware UpdateやApple Downloadからアップデートできる。Windowsユーザはダウンロードサイト、もしくはApple Software Updateプログラムを使用してアップデートを入手できる。

インチキ アンチウィルスソフトと実際の脅威
McAfee Avert Labs : Blog(2009/01/20)

　インチキ警告マルウェアは、誤った方向に導くスキャン警告を表示することで純真な犠牲者を餌食にする。偽の警告は、誇大なスキャンで報告されたインチキの物を修正するために、インチキ アンチウィルスを購入するようユーザを欺く。この“scareware”に分類されるソフトウェアは、極端なまでにソーシャルエンジニアリングへの策略に依存し、Backdoor, Password Stealers, Downloaders, Droppers, Browser Helper Objects等と共に出現する。
　 　上の分類のそれぞれのマルウェアは、インチキ アンチウィルスそれ自身を配布するためか、もしくはインチキ アンチウィルスが一旦生贄のマシンにインストールされたなら、他の種類のマルウェアを増殖させるかのどちらかで使用される。共通の最終目的への仕事（純真な犠牲者から金を巻き上げること）をするために、これら”scareware”アプリケーションは、彼らの武器庫（Rootkit）に新しい種類のマルウェアを追加する。
scarewareファイルを隠すことは別として、Rootkitは本物のセキュリティベンダーのサイトへのアクセスを使用不能にする。我々が気づいたルートキット（tdss［ランダムな文字列］.sys」と名付けられていた）は、最近Computer Associatesによってブログされた。そして、AntiSpywareXP2009 scarewareとの関係があった。しかし我々は、このRootkitがWinWebSecurity scarewareに属しているインチキな構成要素を保護していることに気づいた。これは、以下のことを意味する。：

このルートキットの作者は、金銭目的のために複数のscarewareベンダーに彼のコードを供給している。
あるいは、同じグループが複数の偽のアンチウィルスを作成し、配布している。

　McAfee AVは、バージョン5496以降のDATから、このRootkitコンポーネントを検出し駆除する。しかし、アップデートされたシグネチャーを使用していないアンチウィルスに固執するユーザは、このRootkitを手動で削除しなければならない。
　あなたがWindowsユーザなら、通常の安全なコンピューティングは別として、scarewareによる感染の機会を最小にするために、ファイアーウォール、Windowsアップデートされたシステム、アンチウィルス ソフトを使用することが考慮されなければならない。以下のステップを踏む。

1.　バックアップソフトをインストールする。これは、以前の既知の感染していない状態にシステムを戻すことが出来る。
2.　Sandboxソフトウェアを通してインターネットをブラウズする。
3.　仮想マシンをインストールし、インターネットをブラウスする。

最後になるが、連邦取引委員会は Innovative Marketing社とByteHosting Internet Services社（WinFixer, WinAntivirus, DriveCleaner, ErrorSafe,XP Antivirusという"Scareware"アプリケーションの上梓責任のある会社）に対する禁止命令に勝利した。しかし、我々はこの動きが実際に、scarewareの配布を抑制することに影響を及ぼすかどうかの確認には、しばらく待たなければならない。

ソーシャルエンジニアリング オートプレイとWindows7
F-Secure Weblog : News from the Lab(2009/01/19)

　Downadupワームは、USBドライブのようなリムーバルデバイス経由で拡散するためにautorun.infを活用している。
　我々の1月7日のポスト（「AUTORUN.INFは本当のAUTORUN.INFである時ばかりではない」として和訳しています）で解析結果を提供している。autorun.infは検出を回避するための手段として幾許かのトリック（ファイルサイズを様々に変更してくる等）を使用する。
　SANS Internet Storm CenterでBojan Zdrnjaは、最近幾つかの追加解析結果をポスト（Downadup attempts a social engineering trick in Windows Vista）している。
　Downadupのautorun.infファイルは以下を作成するためにshell32.dllから抽出した実行キーワードとアイコンを使用する。

　このカテゴリは"Install or run program"（プログラムのインストールもしくは起動）だが、テキストとアイコンは"Open folder to view files"（ファイルを閲覧するためにフォルダを開く）である。
　最初のオプションはDownadupを起動する。毒だ。二つ目は一般オプションでUSBドライブを安全に開く選択である。
　好奇心から、我々はWindows7で、このautoruon.infを試みた。

　そして、Windows7の結果は、Vistaでの結果と同じであった。

　Downadupは、インストレーションオプションをフォルダを開くオプションとして偽装することを企てている。
　我々はWindows7の"Send Feedback（不具合レポートの送信）"リンクを活用したが、この研究室のWindows7システムはインターネットに接続しなかった。我々のClient Security 8アプリケーションをテストした。Client Security 8(Internet Security 2009と幾つかの最近のリリース）は、一般的にDownadupのautorun.infファイルをWorm:W32/Downaduprun.Aとして検出する。

Downadupは非常に巨大である
F-Secure Weblog : News from the Lab(2009/01/14)

　Downadupワームは家に電話しようとする。
　攻撃者は様々なWebアドレスに接続することを試みることで、これを実行する。そして、このワームが、このようなドメインの一つでアクティブなWebサーバーを発見したら、特別な実行ファイルをダウンロードし稼働する。これで、マルウェアギャングは感染させたマシン上で、彼らが望むことは何でも自由に操作できるようになる。
　例えば、攻撃者は巨大なボットネットを構築できる。フレームワークは整っている。
　通常、マルウェアは一つもしくは一握りのWebサイトを使用する。そのようなサイトは一般的に場所を特定することやシャットダウンすることが容易である。
　Downadupがあると、Downadupは毎日変更され、Google.comやBaidu.comのような周知されているWebサイトからのタイムスタンプを元にする複雑なアルゴリズムを使用する。このアルゴリズムで、このワームは毎日多くの利用可能なドメイン名を構築する。
　数百のそのような名前には以下がある。

qimkwaify .ws, mphtfrxs .net, gxjofpj .ws, imctaef .cc, and hcweu .org.

　これは、我々善意の側に立つ者が、これら全てをシャットダウンすることを不可能にしている。この様なものの大部分は、そもそも決して登録されない。
　しかしながら、悪意ある輩は、明日用に予定されるドメインを一つ事前に決定しておく必要があり、それを登録し、Webサイトをセットアップしなければならない。次に、彼らは感染させた全てのマシンへのアクセスを取得する。 恐ろしく狡猾である。
　しかし、我々は、このゲームを彼ら同様に上手にプレイできる。
　そこで、我々は利用可能なドメインを決定し、それらの幾つかを我々用に登録した。
　これは、感染したマシンが我々に接続するかもしれないということを意味している。
　もちろん我々が行うことはないが、我々は感染させられたマシンを巧みに操作しようと思えばできる。実際、不正使用になるので、我々は感染したマシンに対して何も実行しなかった（感染の削除さえ）。少なくとも殆どの公権力下において、それは不正行為である（依頼される事なしに何等かのことを実行することは、倫理上も大変大きな疑問である）。何もせずに見るのが行動軌範である。
　これを視聴することは、我々に内部の特有の可視性を取得させた。これで我々は感染させられたマシンの数を確認できた。
　まさに、我々が登録したドメインに接続してくる数十万の一意のIPアドレスを確認している。
　そのトラフィックの大部分は会社のネットワークから、FirewallやプロキシやNATルータを通って来ている。我々が確認している一つの一意のIPアドレスが意味していることは、実生活における2000台のワークステーションに相当する。
　我々のレスポンスチームのToni Koivunenは、感染したマシンが如何ほど存在するのかを見積もるために幾許かのトリックを追加使用した。
　Toniの感染数の集計結果は、全世界で2,395,963であった。この見積りは控えめである。実数はもっと多い。
　これは、巨大なたちの悪いボットネットを作るだろう。
　世界中のどこで、この様な感染が発生しているのか？　我々はIPから国を解析した。

Number of IPs	Registered country of the IP
38,277	China
34,814	Brazil
24,526	Russia
16,497	India
14,767	Ukraine
13,115	Italy
11,675	Argentina
11,117	Korea
8,861	Romania
6,166	Indonesia
5,882	Chile
5,531	Taiwan
5,162	Malaysia
4,392	Germany
4,261	Philippines
3,958	United States
3,719	Colombia
3,307	Spain
3191	Thailand
2,871	Kazakhstan
2,828	Venezuela
2,685	Mexico
2,518	Europe (resolved to EU)
2,337	France
1,901	Bulgaria
1,789	United Kingdom
1,655	Pakistan
1,636	Turkey
1,544	Saudi Arabia
1,399	Hungary
1,389	Iran
1,272	Poland
1,259	Macedonia
1,193	Japan
1,052	Portugal
1,029	Vietnam

これらは生の一意のIPである。中国の感染させられた会社（個人ではない）が38,272にのぼっていることをどのように思うだろうか？　

**********************************************
【訳注】この件に関して、昨年以来F-Secureは警告を発し続けている。2009年01月16日、このワームによる感染数は8,976,038と報告されている。僅か4日の間に240万から、890万に増加した。WashingtonPost Security Fixもこの問題を取り上げた。以下にそれぞれの記事のリンクを掲げておく。

F-Secureの関連記事
Creating MS08-067 Exploits : 日付:2008年12月5日
MS08-067 Worms : 日付:2009年1月7日
When is AUTORUN.INF really an AUTORUN.INF? : 日付:2009年1月7日
MS08-067 Worm, Downadup/Conficker : 日付:2009年1月9日
Downadup Blocklist : 日付:2009年1月9日
Preemptive Downadup Domain Blocklist, Jan. 13-16 : 日付:2009年1月12日
More Than One Million New Infections : 日付:2009年1月14日
Preemptive Blocklist and More Downadup Numbers : 日付:2009年1月16日
Calculating the Size of the Downadup Outbreak : 日付:2009年1月16日

Apple Safari に脆弱性
heiseSecurity : Security (2009/01/13)

　自身のブログで、この問題を公開したBrian Mastenbrookによると、Webブラウザ Apple Safari中のフローは、悪意あるWebサイトに対し、Safariを脆弱性あるものにしている。このフローはユーザのハードドライブからファイルを読み出すことを可能にする。そしてMastenbrookは、このフローが（他のWebサイトへのアクセスを取得するために使用することの出来る）E-Mail、パスワード、クッキーのような重要な情報を露にするとしている。
　Masterbrookは以前 Mac OS X 中のフローを発見し報告したことがあり、結果としてAppleはセキュリティアップデートを行っている。今回の問題はSafariのRSSフィードのハンドリングに関連するとされる。この機能は Mac OS X ではDefaultで有効になっている。Appleはこの問題を認識しているが、アップデートが利用可能であるとはアナウンスしていない。Mac OS X ユーザは、SafariのPreferencesに進み、RSSを読むための他のアプリケーションを使用するよう推薦されている（RSSタブを選択。次に、DefaultのRSSリーダを、Apple Mailのような他のアプリケーションに変更する）。Windows版Safariユーザもまた、このフローの影響を受ける。Mastenbrookは、Windows版Safari利用者の唯一の解決策は他のブラウザに乗り換えることだと発言している。　

Googleの多様性
Kaspersky : Lab Weblog (2009/01/05)

　ドライブバイダウンロードは2008年中に増加した。セキュリティ問題に高度な認識を持つウェブマスターがいれば、対極にいる犯罪者は、彼らのマルウェアの寿命をより長くするための新たな技術を常に探している。Googleを使用することほど容易なことはない。誰でも実行することを、ウィルスライターがしてはいけないという理由はない。最近、我々は以下の方法で動作する攻撃を確認した。

　このマルウェアライターはGoogle検索を実行することで、人気あるWebサイトを同定することから始めている。検索毎に上位にランクされる最も人気あるサイトは、次に脆弱性から実際に侵入できるかどうかペンテスト（penetration test の略）が行われる。最も脆弱性あるWebサイトは改竄され、彼らのトラックを回収する命令が下される。マルウェアの作者は、新しいファイルの形で彼らの改竄したページにコードを追加しない（暗号化されたコードでさえ）。代わりに、彼らは改竄されたページ中で既に稼働しているスクリプトを単に修正する。今回の場合、新しいパラメータが、以下の関数(--referer=http://www.google.com/)を含む既に存在していたスクリプトに追加された。

　この関数は感染させたページの訪問者が何処から来たのかをチェックする。もしもGoogle検索中のリンクからであれば、訪問者はオリジナルサイトでは何もすること無く、自動的に一連の悪意あるWebサイトにリダイレクトされる。この結果、コンピュータは感染させられる。

　大変興味あることは、感染用のWebサイトの名前を単純にタイプしてもリダイレクトは発生しない。注入されたスクリプト関数はどれも稼働しない。訪問者が望んだページだけが表示されている。この手法は、犯罪者が以下に記す彼らの目的を達成するまで、ウェブマスター、従業員、このサイトへの訪問者に感染の疑いを持たれることを妨げる助けとなる。

・　多くの人々を感染させる。
・　マルウェアの寿命を永らえさせるためにウェブマスターから悪意あるスクリプトを隠蔽する

　この種の攻撃は直ちにユーザを傷つけない。この種の攻撃はセキュリティ製品によってブラックリスト化されているWebサイトを無害な物に導くことも出来る。
　ちなみに、使用されるのは高い検索ランキングを求めて最適化されているWebサイトだけではない。犯罪者は幾つかのセキュリティサイトもターゲットにしている。例えば、Antivirus XPのようなインチキ アンチウィルスソフトについても多く話題にされている。あなたがGoogleを使用し、これに関して情報を発見することを試みるのであれば、検索結果は数多くの様々なページが表示されるだろう。唯一問題がある。Google検索結果リストのサイトをクリックしたなら、ハックされたセキュリティサーバー上の改竄されたスクリプトは、あなたのマシンに対しAntivirus 2010を実行する。
　検索エンジンで上位にランクされるために最適化されていて改竄されたWebサイトと、一連の悪意あるリダイレクトでユーザを感染させる行為は2009年において人気ある攻撃ベクトルとなるに違いなく、ウェブマスターの新しい頭痛の種になることは間違いない。
　本件は、まさにインターネット上のものが見えている程安全でないことの証明である。 そして、影響を受けるのはGoogleだけではない。 私はYahoo!とMSNを使用して、この攻撃シナリオをテストした。そして、結果は同じであった。我々は、本件に関し上で詳細に論じた。そして、本件で使用されたマルウェアを、Trojan-Downloader.Win32.Fraudload.vffaとして検出した。そして、我々はこのトロイの多くの変種を発見した。アンチウイルスソフトのアップデートを必ず実行し続けなさい!

AUTORUN.INFは本当のAUTORUN.INFである時ばかりではない
F-Secure Weblog : News from the Lab　(2009/01/07)

　こちらの記事の追加である。Downadupはまた、USBワームである。
　USBワームはUSBドライブのrootにAUTORUN.INFと呼ばれるファイルを作成するとこによって動作する。このようなINFファイルは次に、USBドライブが差し込まれた時、あるいは、より一般的には、ユーザがマイコンピュータ（Windows Explorer）からUSBアイコンをダブルクリックした時、それら自身を起動するために、AutorunもしくはAutoplay（この二つは同じものではない）のどちらかを使用する。

この様な悪意あるAUTORUN.INFファイルにスポットを当てることは容易である。その代表的とも言えるファイルがここにある。

　しかし、Downadupはこの様なファイルを作成しない。DownadupがUSBドライブにドロップするファイルは、このようなAUTORUN.INFである。

　そう、ゴミのようなバイナリファイルである。役に立たない。本当に？？？
　もっと詳しく見てみよう。

　注目に値するテキストが90KBのファイルの中程に見つかった。スクリーンショットの底部。分かりますか？

Open=RUNDLL32.EXE .\RECYCLER\jwgvsq.vmx

　この指示はUSBドライブ上の非表示のフォルダからjwgvsq.vmxと呼ばれるDLLを実行する。
　無価値なバイナリ中の残りはコメントであり、Windowsはこれを無視する。もちろん、このファイルのサイズと、無価値なバイナリの量は毎回異なっている。
　巧みなトリックである。