システムやネットワークセキュリティに役立つテクニックとヒント集

Explorerを別のユーザーとして実行する(2004/10/6)

コンピュータを使用する場合には、通常時は権限が制限されたユーザーでログインし、必要なときにだけ管理者権限でプログラムを実行するのが一般的である。必要な時に管理者としてExplorerやコントロールパネルを開く方法を紹介する……

QuickMLでメンバーを容易に追加できないようにする(2004/10/6)

QuickMLは手軽にメーリングリストを構築できるRubyプログラムだ。簡単に参加者を追加できるため、攻撃を受ける可能性がある。設定ファイルを変更し、簡単にユーザーを追加できない方法を紹介する……

TCPポートをノックしてコマンドを実行するknockd(2004/10/6)

knockdは、特定の順序でTCPポートやUDPポートをノックすると、あらかじめ設定してあるコマンドを実行するプログラムだ。これを使うことで、sshのポートを開けたり閉めたりということができる……

Explorerのユーザーを表示しておく(2004/9/8)

管理者権限で起動したExplorerウィンドウも見た目は通常のExplorerウィンドウと変わらないので、操作ミスが生じやすくなるという弊害がある。Explorerやコマンドプロンプトの実行中ユーザーを分かりやすく判別する方法を紹介する……

プロキシ環境下でWindowsの自動更新を有効にする(2004/9/8)
インターネットのWebアクセスにアプリケーションプロキシを経由させることが必要な環境では、ユーザーがプロキシの設定を行っただけでは、Windowsの自動更新は機能しない。解決策としてLocal Systemアカウントのプロキシの設定を行う方法を紹介する……

Solaris 9のinetdに備わるアクセス制御機能を活用する(2004/8/18)
伝統的なinetdにはアクセス制御の機構はないため、一般的にはTCP Wrapperというフリーソフトウェアと組み合わせて用いる場合が多い。Solaris 9では、遅ればせながらTCP Wrapperの機能がOSに同梱されている……

hp-uxのinetdに備わるアクセス制御機能を活用する(2004/8/18)
hp-ux 11i以降ではtcpd(1M)のように、TCP Wrapperも同梱されている。しかし、これ以前のバージョンであっても、hp-ux独自のアクセス制御機能を活用することで、フリーソフトウェアを用いずにinetdで実装されているサービスのアクセス制御を行うことが可能である……

Office文書の隠しデータを削除する(2004/8/18)
Officeで作成される文書ファイルでは、文書の更新履歴など、さまざまな非表示データが含まれることがある。文書中に隠されたデータによる意図しない情報漏えいを防止するためのツールがMicrosoftから配布されている……

未登録機器のイーサネット接続をブロック - ip-sentinel(2004/8/4)
LANへの無断接続をなんとかブロックしたいという場合に、役に立つツールがip-sentinelである。MACアドレスをIPアドレスと対応させるプロトコルARPを用いることで、MACアドレスベースでネットワークにつながる機器の通信を制限するツールである……

Windows NT 4.0でMBSA 1.2を活用する(2004/8/4)
セキュリティ修正プログラムの適用状況をチェックするツールMBSAの稼働するプラットフォームにはWindows NTは含まれていない。しかし、スキャン対象製品にWindows NTが含まれているなど、Windows NTでもこのツールの恩恵を受けることが可能である……

Linuxでアカウントのログイン時間を制限する(2004/8/4)
一般のアカウントについてはログインできる時間帯を制限したいということも多いだろう。一般的なLinuxディストリビューションでは、pam_time.soというPAMモジュールを有効にして、time.confファイルで設定を行なうことにより、この要件を実現することができる……

SolarisのRBAC機能でsudoを置き換える(2004/7/21)
ユーザーに一部のコマンドだけをroot権限で実行させたいという場合に用いられる便利なフリーソフトにsudoがある。しかし、Solaris 8以降ではRBACに含まれる機能で、ほぼ同様のことが実現できる……

プロセスの実行を監査する(Windows編)(2004/7/21)
高い透明性や追跡可能性が求められる重要なシステムでは、プログラムの実行履歴を記録し監査したいという要請が出ることがある。NT以降のWindows OSでは、プロセス追跡の監査を有効にすることで、プログラムの実行履歴をイベントログに記録することができる……

Solarisのスタック実行制御機能でオーバーフローを防ぐ(2004/7/21)
Solarisでは64bitアプリケーション(SPARC、AMD)においては、スタック領域のデータを「実行」することが禁止されている。ただし、この機能はデフォルトでは無効になっている。この機能を有効にするには……

Live HTTP HeadersでHTTPヘッダ情報を確認する(2004/7/7)

Webアプリケーションの送受信データ内容のチェックやデータ送信先の確認などで、HTTPのヘッダ情報やPOSTされるデータ内容を確認する必要に迫られる。Mozilla/Mozilla Firefoxを使用できるのであればLive HTTP Headersというアドインツールが利用できる……

OpenSSLを使って公開鍵暗号でファイルを暗号化(2004/7/7)
公開鍵方式を使用するコマンドとしてはGnuPGコマンドが広く知られているが、opensslのsmimeコマンドを使用しても同様に暗号化を行うことができる……

添付ファイルの自動実行を抑止する(2004/7/7)
Windows XP以降のOSでは、「ソフトウェア制限のポリシー」を使用して、さまざまな条件を設定することで、管理者がプログラムの実行を禁止できる。このポリシーは、グループポリシーオブジェクト(GPO)として設定することも、ローカルポリシーとして設定することも可能だ……

Network Grepで手軽なパケットキャプチャ(2004/6/16)
パケットキャプチャのツールとしては、tcpdumpやEtherealなどがよく使われるが、パケットに含まれるテキストデータの内容を基にキャプチャしたいなどの場合は、これらのツールよりも Network Grep(ngrep)と呼ばれるツールを用いる方が効率的な場合がある……

opensslを使って共通鍵暗号でファイルを暗号化(2004/6/16)
重要な情報が記録されたファイルを持ち出したり、保存のためにリムーバブルメディアに記録したりする必要が発生した場合などには、データ流出防止のため、暗号化を施したい場合がある。opensslを使用すると、ファイルの暗号化/復号を手軽に行うことができる……

Windows XP Home EditionをSUSクライアントに(2004/6/16)
セキュリティ修正プログラムを効率よく配布するソリューションとして、SUSを用いている組織も多いだろう。Windows XP Home Editionでは、レジストリによる設定を行うことで、SUSクライアントとして構成することが可能である……

ハードディスクの内容を安全に消去 - DBAN(2004/6/2)
PCの廃棄あるいは再利用に当たっては、データ流出を招かないようハードディスク上のデータを読み出し不可能なように消去する作業が必須である。今回はインターネットで配布されている無償利用可能な消去ユーティリティ、Darik's Boot and Nuke(DBAN)を紹介したい……

WSHの暗号化 - Script Encoderの紹介(2004/6/2)
WSHは、従来プログラムを作成していたような用途にも、広く用いられている。しかし、スクリプトのソースが丸見えとなってしまうため、重要なビジネスロジックや認証情報などでは扱いにくいといったスクリプト言語故のデメリットも同時に存在する……

ファイルハッシュ値の計算(2004/6/2)
ダウンロードしたファイルの整合性・非改ざん性の確認のために、あるいはシステムファイルの同一性確認などの作業に、一方向性ハッシュ関数を応用したハッシュ値が利用されることが多い。ハッシュ値の計算には、md5sumなどのハッシュ計算コマンドが使われる……

Windowsで最後にログオンしたユーザー名を表示しない(2004/5/19)

Windows 2000マシンを起動すると、ログオンウインドウに前回ログオンしたユーザー名が表示される。パスワードを入力するだけでログオンできるというわけだ。しかし、どのような情報にせよ、ユーザー名やアカウント名に関する情報はなるべく公開しないようにしておきたい……

IISのヘッダ情報の一部を消去(2004/5/19)
IISに接続すると、デフォルトでは次のようなHTTPヘッダが返される。この内容には、WebサーバがIISであることや、Webサーバの実際のIPアドレスの情報が含まれており、攻撃者に有用な情報を与えてしまう。これらのヘッダ情報を隠ぺいする方法について説明しよう……

Windowsをリブートせずにパケットフィルタリング(2004/5/19)
以前、Windowsのパケットフィルタリング設定をGUIで行う方法を紹介した。しかし、この方法では、「必ずリブートが発生する」「コンピュータに入るパケットはフィルタリングできても、コンピュータから出るパケットはフィルタリングできない」という問題がある……

SSL非対応メーラのSSL化(2004/4/14)
SSL/TLSによる暗号化通信は、Webアプリケーションにおいては通信相手の認証と暗号化のスタンダードとなり、VPNへの応用も話題となっている。最近は大手プロバイダのメールサービスにおいてもその利用が広まってきているが、使い慣れたメールクライアントがSSL非対応なために、せっかくのサービスを有効活用できないケースもあるだろう……

修正プログラムの一括適用とqchain(Windows NT系OS)(2004/4/14)

Windowsサーバを運用するうえでは、Windows Update経由ではなく、個別に修正プログラムを適用することが必要となってくる。修正プログラムは実行ファイルとなっているため、単にファイルを実行して表示されるダイアログに答えていけば適用できるが、大半の場合は、修正プログラムを有効とするために、再起動を求められることが多い……

イベントログの自動監視とコマンドの自動実行(2004/4/14)

ご存じのとおり、Windowsの出すセキュリティ上の警告は、主にイベントログのセキュリティログに出力されるため、Windowsのセキュリティを維持するうえでイベントログの監視は必須である……

syslogサーバの限界を確認する(2004/3/24)
UNIXやLinuxなどのログのリモート転送には、syslogを使用する方法が広く用いられている。しかしsyslogは、通常ログメッセージ転送にUDPを使用するため、転送中にパケットが失われたりサーバが高負荷状態に陥りパケットを破棄してしまうような事態が生じた場合、ログサーバに記録されるべきメッセージが残らないという状況が発生し得る……

パケットフィルタログの有効活用(2004/3/24)
ワームなどの活動が定常化した現在、ルータやファイアウォールのパケットフィルタログはこうした活動の結果で溢れ返っている。これらのログはもはやネットワーク管理者が個別に確認できるものではないが、統計処理をしてグラフ化などしておくと、定在化した状況からの変動を見ることで異常状況の発生を確認できるなどのメリットはあるだろう……

特定のIPアドレスからの通信を行えなくする(2004/3/24)
Linuxでは、iptablesやipchainsなどを用いてIPパケットのフィルタリングを行うことができるが、ある特定のIPアドレスからの通信を遮断することはもっと簡単に行える……

不審なプロセスを調査する(2004/3/10)
システム管理作業中にふと見ると、幸か不幸か不審なプロセスを見つけてしまった。そんなときの調査手順に盛り込んでおくと役に立つのが、strace(Linuxなど)やtruss(Solaris)などのデバッグコマンドによる調査である……

効果的なパスワード管理(2004/3/10)
これまでパスワードはモニターに付箋紙で貼り付けてはいけない、などといわれてきた。一方、パスワードそのものは辞書に乗っているような単語は危険なので、意味が通らない、英数字にしなければならない、ともいわれている……

メッセンジャーサービスの無効化(2004/3/10)
Windowsではメッセンジャーというサービスが動いている。これは、例えばプリンタから「印刷できました」みたいなメッセージを送り、ユーザーのPCの画面に表示するときなどに使うサービスだ。しかし、このサービスを動かしておく必要はない……

ログオンしないとシャットダウンできない設定にする(2004/2/18)
Windows 2000ではログオン時にはまずCtrl+Alt+Delキーを入力するが、その際ログインを促すウインドウにはシャットダウンボタンが表示されている……

ログオンを模したプログラムからパスワード情報を守る(2004/2/18)
Windows XPの場合は「ようこそ画面」というものがあり、アカウント名をクリックするだけでログオンできてしまう。パスワード入力も不要だ。これでは簡単に他人にPCを操作されてしまう……

NetcraftでWebサーバの見え方を確認する(2004/2/18)
Webサーバを構築したら、あるいはすでに運営しているとしたら、そのWebサーバが外からどう見えているのかが気になるところだ。そういうときはNetcraftで確認してみるとよいだろう……

外部からのポートスキャンサービスを利用する(2004/1/28)
nmapはすでに紹介されたが、外部ネットワークから自分のネットワークがどのように見えているかを検査するには、インターネット経由で別のネットワークに接続されたコンピュータなどからのポートスキャンを実行する必要がある……

スパム中継防止のため、第三者中継をチェックする(2004/1/28)
メールの第三者中継(Third-Party Mail Relay)をチェックするには、relay-test.mail-abuse.orgのサービスを使うのが手軽でよい……

stringsコマンドの使い方(2004/1/28)
UNIXにはstringsコマンドというものがあるが、これはバイナリファイルなどの中に文字化して表示可能なデータがあれば、それを表示してくれるコマンドだ……

自マシンの開きポートとプロセスの関係を確認する(2004/1/5)
自マシンの開きポートを調べるのは、 netstat -anと実行する。これはWindowsもUNIXも共通だ……


Windowsの標準機能でパケットフィルタリング(2004/1/5)

Windowsを使用する際には、ServicePackやHotfixの類を導入するのは必須となるが、そのためにはネットワークに接続しなければならない。しかし、ネットワークに接続すると、各種ワームのアタックに晒される危険性がある……

ポートスキャナを使ってPCの存在を確認する(2004/1/5)
nmapという超有名なポートスキャニングソフトウェアがある。ネットワーク経由で相手マシンの開いている通信ポートを確認するものだ・・・・・・


Securityフォーラム記事一覧

 





Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間