パソコン・インターネット

2015.08.09

偽メール訓練

職場で偽メールの訓練をしてみた。
明らかにアヤシイメールにしておいたのだが、抜き打ちで行ったこともあり、何人か騙されてしまった。

一方で、CERTの対応は早かった。
偽メールを不審に思った人たちの騒ぎを聞きつけ、偽メールからリンクしている偽のウェッブサイトの管理元を割り出し、「サーバが乗っ取られて改竄されているぞ」と連絡していたようだった。

あーっ、偽ウェッブサイトに使ったVPSの管理元へも、事前に知らせておくべきだった。


| | コメント (0) | トラックバック (0)

2015.07.22

WordPress ブルートフォースログイン

ウェッブサイトを作成するツールに、WordPressというオンラインソフトウェアがある。ウェブブラウザで管理者ページ "wp-login.php" を開き、ログインし、ページを作成・編集する。

私の管理するウェッブサーバの "wp-login.php" に対して、最近頻繁にログイン試行の攻撃がある。1つのコンピュータから数時間かけて数千回も様々なパスワードを試みているようだ。また、1日に複数のコンピュータから攻撃を受けることがある。万が一ログインされてしまうと、ウェブサイトを書き換えられてしまう。

Firewallのログなどを見てみると、ちゃんと WordPress で構築したサイトのみが狙われている。どうやら、WordPress で管理されているウェブサイトのリストを攻撃者たちが共有しているようだ。

私の方では、今回の攻撃に対して、特に対応していない。というのも、今狙われているウェッブサイトというのは、WordPress が動いていないからだ。当初は WordPress で構築・運用していたが、現在は追加・編集するようなことがなくなったので、HTML ファイルを静的に書き出し、ウェブサーバ上に展開している。

このため、攻撃者がログイン試行のため、"wp-login.php" へアクセスしても、404 (Not Found) のステータスコード
が返っているはずだ。これは "wp-login.php" が存在しないということで、いくらログインしようとしても無理だ。
しかし、攻撃は中断されず、何千回もログインの攻撃が続く。

このような攻撃ツールを作成する場合には、きちんとステータスコードまで確認して頂きたいものだ。

| | コメント (0) | トラックバック (0)

2015.04.24

ネットワーク障害

職場のネットワークの一部で突然障害が発生した。

はじめ、一人が「ネットワークがおかしい」と直接報告に来た。状況を聞いているうちにもう一人現れ、同様の不具合を訴えた。慌てて対応を開始した。

どうやらプライベートアドレスのネットワークで問題が生じているようだ。
ただ、NATを経由しないDMZとの通信もダメなので、NATが問題ではなさそう。

サーバ室へ向かい、機器の状態を目視で確認する。
何かあれば通信が待機状態の副系へ移行しているはずだ。しかし、LEDを見ると主系の機器が稼働している。副系へfailoverしていない。
ブロードキャストストームなどで、正常に通信出来ない場合を考えたが、どのポートも up している。また、LED の点滅も普段と変わらない。

IPSが擬判定していないか疑ったが、ログを見る限り、特に何かの通信をブロックしているわけではなさそう。
不正な機器の接続を監視する機器監視装置を念のためネットワークから外すが、状況は変わらない。

ネットワーク機器の設定が誰かに変更されたのかと思ったが、私は変更していないし、保守をお願いしているネットワークの業者が管理用ネットワークにアクセスした記録もない。多分、誰も設定変更はしていない。

ping モニターを確認すると、1週間ほど前から通信が不安定だった様子。
そして、今朝から一層エラーが増えている。

調査にあまり時間をかけるわけにはいかないので、とりあえず主系の uplink のケーブルを引き抜く。
すぐに副系がアクティブになる。通信も復旧したようだ。

その後、主系の機器を再起動させ、ネットワークの利用の少ない昼食時間帯を狙って通信を主系へ戻す。
大丈夫。今度は問題ない。

とりあえず復旧したが、何も解決していないので再発の可能性がある。
あとで、syslog のデータとか、SNMPのログを調べてみよう。何か分かるかも知れない。

| | コメント (1) | トラックバック (0)

2015.02.22

困った添付ファイル

外部の業者の方から幾分機密性の高い情報が電子メールで送られてくる場合、実行可能形式のプログラムが添付されてくる場合がよくある。どうやら、暗号化されたファイルが、このプログラムの中にに含まれているようで、実行時に正しいパスワードを入力すると、復号されたファイルが現れる。大抵の場合、パスワードは次のメールに書かれている。

暗号化されたファイルも、そのパスワードも、結局は電子メールで送られてくるわけで、あまり機密性は高くない。それでも、例えば「葉書ではちょっと送れない」程度の機密性の場合には良いのかも知れない。

ただ、実行可能形式のプログラムを添付してくるというのはどうだろう。

このプログラムを実行すると、パソコンはそこで指示された通りに行動する。
期待した通りにファイルを復号するだけかもしれないが、時々こっそりとハードディスク内のファイルを書き換えたりするかも知れない。
そして、そのプログラムが実行時に何をするのかを調べるのは、かなり面倒なことで、「実行してみないと分からない」どころか、「実行しても、隠れて何をしているかは分からない」というのが現実のところだと思う。
そう考えると、怖くて気軽には実行出来ない。

さらに、電子メールは差出人の詐称が容易なので、本当は別の人から送られてきたメールかも知れない。
本当に本人から送られてきたメールだとしても、改竄されているかも知れないし、コンピュータウイルスのようなものに感染しているかも知れない。

そう考えると、電子メールに添付されたプログラムを実行するなんてありえない。
(電子署名などがあれば別だが)

実際、職場のガイドラインでは、電子メールに添付されたプログラムは実行してはいけないことになっている。
(というか、私がそうした。)
そして、どうやら、職場の Windows PC は、電子メールに添付されたファイルは実行出来ないようになっているようだ。
私の管理する一部のメーリングリストでは、実行可能形式の添付ファイルを削除するようにしている。
また、私は職場で Mac を使っているので、Windows 用のプログラムは実行出来ない。

だから、そのような添付ファイルを送りつけないで欲しい。
送りつけてくる業者の人も、少しは考えてから送って来て欲しい。
特に情報関係の業者から届くと、そんなところと取引して大丈夫か心配になる。頭が痛い。

さらに、頭の痛くなることがある。
電子メールにプログラムが添付されていると、自動的に削除してしまうシステムがある。
これに対抗するため、ある業者から送られてきた電子メールでは、プログラムの拡張子をわざと取り除いてから添付されているのだ。
そして、メールの本文には、「添付ファイルの拡張子を ".exe" に変更してから実行して下さい。」と書かれている。

これは、受信者側のセキュリティーポリシーを認識した上で、それをわざと回避させようとしている。
法律的にはどうかは分からないが、倫理的には問題だろう。

本当に、少しは考えてから送ってきて欲しい。

| | コメント (0) | トラックバック (0)

2015.01.29

CVE-2015-0235

CVE-2015-0235 (GHOST) の対応で、サーバにセキュリティアップデートを適用。
念のため、今日再起動させるとアナウンス。

昔の本では、「/bin /sbin は静的リンクで」と書かれていたような遠い記憶がある。
どうやら、最近のバイナリはほとんど動的リンクのようだ。mount も bash も init も動的リンク。

あとは firewall などのネットワーク機器とビデオ会議システムが心配。

| | コメント (1) | トラックバック (0)

2014.12.25

CVE-2014-9322

Linux に、ローカルユーザが権限昇格できる脆弱性
自動アップデートさせていないサーバに、慌てて新しいカーネルを適用。

| | コメント (0) | トラックバック (0)

2014.11.29

C&Cサーバ

職場の IPS(ネットワークの侵入防御システム:賢いファイアウォール)がアラートメールを送ってきた。

どうやら、無線LANで接続している PC の1つでマルウェアが動いており、指令を受け取るためにC&C(Command and Control)サーバへアクセスしようとしたようだ。
その指令に従って、PC内のデータを流出させたり、迷惑メールを送信したり、他のPCを攻撃したり、PC内のファイルを人質にして金銭を要求したりなどと、色々と悪いことをする。
今回の C&Cサーバ自体は既に停止させられているようだし、IPS でも通信を遮断しているので、緊急性は低そうだ。

そうとはいえ、マルウェアが動いているのは問題だ。
IP アドレスから色々と調べて、利用者へたどり着いた。
他の大学からの学生だった。
しかし、どこにいるか分からなかったので、無線LANのコントローラから通信のあったAP(アンテナ)を限定し、その場へ駆けつけた。

既に本人は帰宅していたので、知り合いの方に、マルウェア感染が疑われることを伝えてもらうことと、私宛に連絡してもらうこととをお願いした。

| | コメント (0) | トラックバック (0)

2010.04.05

NHKオンデマンド

NHKの過去の番組で、見逃したものや再度視たいと思うものがある。
このような番組の中には、
NHKオンデマンド
で配信されているものがあるが、いままで、Internet Explore 7 (6だったかも?)でないと視聴できないという制限があった。私の使っている Windows PC は、すべて Internet Explore 8 にしてあるので、これまで視聴できなかった。
番組を視るためにお金を支払う意思はあっても、さすがに IE7 の使える環境を用意する気はまでは起きない。
あっさりと利用をあきらめていた。

この4月から、配信方法が Flash Player に変更になった。これで、やっとNHKオンデマンドを利用できる。
さっそく、「出社が楽しい経済学」を視てみた。
今回の変更では、Windows だけでなく、Mac や Linux でも視聴出来るようになったようで、実際、私は Linux PC で視聴した。

さて、これで(全てではないにしても)NHKの好きな番組を好きな時間に視ることが出来るようになった。
あまりテレビを視ないことだし、テレビを廃棄して受信料を払うのを止め、好きな番組だけ料金を払って NHKオンデマンドで視るというのはどうなのだろうか?

| | コメント (0) | トラックバック (0)

2009.09.09

新棟ネットワーク

今の職場で、新しい建物を建設中だ。

この新棟のネットワークの要求仕様書をまとめていた。
各居室の情報コンセントは、L2スイッチ経由して、基幹のL3スイッチで束ねて、
ファイアーウォールを経由してから外部へつながるというもの。

実は、「要求仕様」といっても、どのような機器が必要かが判断できる程度の情報しかなく、
どのような設定で運用するかはほとんど書いていない。
なぜ、書いていないかというと、まだ決めていないから。

最近、気がついたのだが、ネットワークのことを理解できている人というのはあまり多くない。
まあ、建築技法に詳しい人もあまり多くはないので、そんなものなのだろう。

サブネットをどう分けるか、無線LANの暗号化や認証はどうするかなどといった設計に関する事柄や、
どのような場合に自由度の高いネットワークへの接続を許すかなどといったポリシーのようなものも
考える必要がある。

勝手に決めてしまうしかないのだろうが、一人で勝手に決めてしまってよいのか不安を感じる。

| | コメント (0) | トラックバック (0)

2009.04.29

ウェッブの移行

先週、管理しているウェッブサイトを CMS(Content Management System) を使ったものへ移行させた。
CMSは、Drupal を用いている。

実は移行作業は外部の業者が行ったのだが、業者側でセットアップした Drupal をこちらのサーバへ移行させるさいに、「データがインポート出来ない」とか「リンク切れ」とか様々な問題が生じたので、その対応が大変だった。

静的なHTMLから CMS へ移行したので、今後はウェッブの管理が楽になるだろうと考えている。
ただ、この Drupal はとても高機能な CMS で、使いこなすのはそれなりに大変かも知れない。

| | コメント (1) | トラックバック (0)