ネットスキルアップ講座

インターネットへ接続_________

ネットスキルアップ講座

インターネットは楽しい世界ですが、メール利用の際やWebアクセスの際に何らかの危険性があることも否めません。ここではネットスキルアップのための予備知識としてさまざまなリスクとその対策についてみてみましょう。

コンピュータウイルス

コンピュータウイルスに関しては、当コンテンツ内のコンピュータウイルス対策のページを参照してください。

ブラウザクラッシャー

ブラウザクラッシャー（略してブラクラ）とは、特定のホームページを閲覧した途端、パソコンをフリーズ（固まった状態、または操作不能状態）させてしまうプログラムをいい、主にHTMLタグとJavaScriptを利用して書かれています。掲示板などでよく、「この掲示板はHTMLタグの利用OKです」というところがありますが、この被害を防ぐには掲示板提供者はユーザーが使用できるタグに制限を付けておくことが推奨されます。

1．掲示板などで使用不可にしておいた方が良いタグ

table　meta　form　!--　embed　body　tr　td　th　a　img　iframe　frame　xmp　script　plaintext　textarea

2．ConCon問題（Windows95/98のみ）

最近ではあまり見かけなくなりましたが、最も簡単かつ効果的に相手側をフリーズさせてしまう方法で、ConというのはDOSのデバイス予約語。HTML本文のボディー部分に

と入れておけばWindows95/98マシンなら確実にブルースクリーンになって制御不能状態になります。発見された当時はいわゆる「初級掲示板荒らし」さん達がHTML利用可能な掲示板で多用していました。これについてはMicrosoft Webサイトにて修正パッチを出していますから、95/98の人は今すぐダウンロードしてインストールしておくのが賢明です。FATファイルシステムを使用していないWindowsNT/2000/XPは関係ありません。またIE6はブラウザのURL入力欄に「C:\aux」と指定しただけでフリーズしてしまうことが発見されています。これも同様にこれを指定したページへリンクで飛ばされると不愉快です。現在のところまだMicrosoftによる修正は行われていません。

3．mailto:攻撃

ホームページ上で、「このページへのご意見ご感想はこちらまで」、といった案内をクリックすると自動でメーラーを起動してくれるこの便利なmailto機能ですが、1つや2つならまだしも、押した途端100個も1000個もメーラーが起動してしまっては大変です。

<img src="mailto:001"> <img src="mailto:002">
<img src="mailto:003"> <img src="mailto:004">
<img src="mailto:005"> <img src="mailto:006">
・
・
HTML文のBODY部に延々と100個も1000個も並べる。

押した途端にメーラーが並べたタグの数だけ起動して、やがてその量に対応しきれなくなったマシンはフリーズしてしまいます。

4．永久ループ

開いた途端、たくさんの窓が留まることなく出てきて、やがてリソースを食いつぶされたマシンはフリーズしてしまいます。×を押して消しても消しても再び出てきます。

JavaScriptの書式で要するに何かを命令して、それを停止させる命令を行ってないもの。作者が単に忘れているケースもあり得ますが、上の構文などは明らかに意図的です。不幸にしてこのようなプログラムに遭遇してしまった場合はキーボードから「Ctrl」+「Alt」+「Delete」キーを同時に押して、大元のファイルを強制終了させることによって回復することができます。

上ほどではないにせよ、非常識な量の窓を出すとか、1個しか出さないけれど閉じるを押しても再び復活してくるようなものとかもあります。これらJavaScriptに対してはブラウザのセキュリティ機能でこれを使用しない設定にすることができますが、当然のことながらすべてのJavaScriptが使えなくなります。このようなPOP-UP窓に対してはmozillaなどのブラウザでは標準でシャットアウトの機能が搭載されていますから、使用を検討してみるのも一つの手です。

IEのセキュリティの設定を行うには、デスクトップのIEアイコンを右クリック-[プロパティ]を選択し、[セキュリティタブ]をアクティブにします。[インターネットゾーン]が選択されていることを確認し、[レベルのカスタマイズボタン]を押すと下記が出てきます。

セキュリティ設定画面

FDCrash

特定のデバイス（特にフロッピィディスク）を指定して、悪さをするもの。

フロッピーがガリガリ動くだけですが、これも100個も1000個も並べられると大変です。他にも

というようにパソコン上の特定のデバイスを勝手に起動させてしまう方法とかもあります。上は電卓ですが、プログラムにはさまざまな引数を付けて起動させることもできますから使い方によっては危険なこともあり得ます。

同じようにパソコン上のTELNETプログラムを勝手に起動させて、接続させてしまうようなものもあります。

そもそもは接続先を自サーバーに指定し、80番ポートで接続させブラウザのプロクシサーバー経由で接続されている相手の本当のIPアドレスを調べるために考え出されたものですが（「生IPを抜く」というそうです）、それを悪用し、まったく関係のないところに接続させてしまうものです。外部への接続手段（Webブラウザ、FTP、TELNETなど）には十分注意を払い、使用する予定がないなら拡張子の関連付けを無効にしておくのが賢明です。

ActiveX

ActiveXというのはMicrosoftがJavaに対抗して作ったプログラム言語です。このプログラムは証明書というもので発行元を確認することになっていますから、ほとんどのものが安心できますが中には悪質なものもあります。例えば、勝手にQ2や国際電話に繋げるようにしたりするもの。これらは「このプログラムは安全です。インストールして実行しますか？」という具合に必ず聞いてから実行という形になりますから、むやみやたらと「はい」を押さないことです。Internet Explorer以外のブラウザ（ActiveX機能のないブラウザ、例えばOperaやNetscape、Mozilla）を使ってみれば解りますが、ActiveXはインターネット時に使えなくてもほとんど不自由することはありません。ぜひブラウザのセキュリティー機能で使用不可にしておきましょう。

他にもさまざまな方法のブラウザクラッシャーが存在しますが、これらに遭遇しないためにはむやみにいわゆる危ないサイト（UGサイトまたはアンダーグラウンドサイトと云います）や海外系のポルノサイトには行かないことです。

荒らし

荒らしというのは、掲示板やチャットで内容にそぐわない発言を繰り返したり、意味不明の連続書き込みを行ったり、ログの書き換えを行ったりする行為を指していいます。この荒らしはこれといった知識がなくても根気さえあれば誰でも行うことができますから、ホームページ所有者は比較的被害に遭うケースが多いようです。

1．連続書き込み

掲示板に連続で意味不明の内容、若しくは卑猥な内容を書き込むこと。まともに書き込んでくれればまだしも、専用プログラムを使って、投稿者123、内容234、投稿者234、内容345・・・・・・と延々と書き込んでくる悪質なものまであります。ただ、掲示板CGIプログラムにはこの連続書き込み対策をしてあるものが多いですから、少なくとも一度書き込んだら次の書き込みまでに一定の時間をおかないと書き込めないような設定にしておくのが賢明です。

2．ログ書き換え

CGIを使ったプログラムを動かすときに、所有者権限（704等）での実行と、一般権限での実行（755）というのがあり、普通フリーで提供してくれるWebサイトは後者のパターンが多いようです。掲示板やその他のプログラムにはログファイルという、訪問者が発言してくれた内容や遊んでくれたポイント等が保存されているファイルがあり、それは誰でも読み書きすることができます（パーミッション666のファイル）。ということは、そのファイルの名前さえ分かってしまえばPerlの知識のある人なら丸ごと書き換えることも可能になってしまいます。そこで、ログファイルの名前はなるべく他の人に分かりにくい名前にしておきましょう。例えば、掲示板のログファイルをbbs.logなどという名前にするのは軽率です。bbs_659.logなどどいう英数字を含んだ他の人には想像し難い名前にしておくのが正解です。

また、普通CGIを置くディレクトリは指定されているケースが多く、そのディレクトリをURL指定するとそこに置いてあるCGIプログラム、ログ等がすべて丸見えになってしまうことがあります。そういった設定のサーバーの場合にはCGIディレクトリに空のインデックスファイル「index.html」を置いてディレクトリの中身を隠すようにしましょう。

荒らしに対してはアクセス制限を行うことが有効な手段となります。アクセスログを取って、IPアドレスを特定しますが、プロキシサーバー経由だと少しやっかいです。プロキシには匿名プロキシとプロキシ固有の環境変数を出す漏れプロキシとがありますが、両方ともブロックするとプロキシ経由で楽しんでくれている人全員を拒否することになってしまいます。アクセス制限を行っているにも関わらず、次々とプロキシを乗り換えてくる相手にはプロキシを経由する前の元のIPアドレス（生IP）を調べる必要があります。これにはJavaを使ったものなどさまざまな方法があり、技術的には可能です。あまりにも悪質、執拗な場合はプロバイダと相談の上、法的措置も辞さないということになります。少なくとも日本は法治国家です。プロバイダの協力があれば、相手が余程のプロ級でない限り身元を特定することは可能ですが、必要最小限の事として相手のIPアドレスを調べてその証拠を保存しておくことが大切です。2002年5月にプロバイダ法が施工され、荒らした本人の個人情報を公開する命令判決が数例出ていますが、些細なことで人生を棒に振る方が増えないことを祈るばかりです。

ハッキング行為

最近のインターネットはブロードバンドと云われるように、大容量、高速、常時接続というのが売り。ところがこの常時接続というのが問題です。なぜなら、攻撃者にとって常時接続されているマシンは格好のターゲットになり得るという事実があるからです。

ADSL、CATVといった常時接続環境はモデムを使ったいわゆるPPP接続と比較してセキュリティーが甘いと云われています。インターネットする時、あなたにはIPアドレスというものが割り当てられますが、PPPの場合、その都度異なるIPが振られるのに対して、常時接続の場合は固定のIPになることが多いため（変動で割り当ててくるプロバイダでも1回の接続時間が長いと固定状態と変わらないため）、それが解ってしまうと攻撃目標になる可能性があります。えっ！？私のパソコンなんか何もいいもの入ってませんよですって？クラッカーにとってあなたのマシンの中身ではなく、あなたのマシンを他を攻撃するための中継（踏み台）に使うこともありますから、安心はできません。

対策

1．常時接続状態にしておかない

常時接続 = 基本的にはタダ、いやむしろ繋いでおかないと損。という考えはせず、使わないときはマメにパソコンの電源を切る。いかなる高度な知識と技術を持ったハッカー（クラッカー）でも、電源の入っていないマシン、インターネットに接続されていないマシンへ侵入することは不可能です。

2．パスワード

例えWindows98/Meでも、パソコンには必ず8文字以上の英数字を交ぜた規則性のないパスワードをかけること。また、ファイルを共有するときにもパスワードをかけること。自分が付けているパスワードの臆病性をテストすることも可能です。John the Ripperは有名なパスワード解析ツールです。当ページはそれを助長するわけではないため、詳細については割愛させて頂きますが、興味のある方は検索エンジンで「John the Ripper」と検索してみてください。こういった俗に言う「裏ツール」（失礼な表現かも知れませんが）も、使い方によっては自己防衛に役立つことが多々あります。つまりはこのツールの最大の売りであるインクリメンタルモードでも解析が困難なパスワードがより安全性が高いという訳です。

・比較的安全なパスワードの例：

CF78jsMG6Lo

ZU7h-Pt85-Gnx

・総当りですぐに解析されてしまうまずいパスワードの例：

happy517

nekodaisuki

英大文字、小文字、数字を取り入れた10文字以上のパスワードが安全です。ただ絶対に破られないという保障はありませんから、定期的に変更することも大切です。また、余談にはなりますが、最近流行のコンピュータウイルスもパスワードなしの共有ディレクトリに次々と感染増殖するものが増えています。例え親しい仲でのLAN接続であっても何らかのパスワード（ABCとか12345とかは論外）をかけるようにしましょう。

3．メールの添付ファイルには十分気を付ける

トロイの木馬というものをご存知ですか？これを仕込めばあなたのマシンを乗っ取るのは簡単です。メールに添付されたファイルは安易に開かない。また、拡張子についての知識が乏しい方は、必ずアンチウイルスソフトを導入し、ウイルス定義ファイルを常に最新の状態にしておくことが肝要です。「このメールに添付されたファイルは安易に開かない」といったことが守れないため感染してしまうケースは非常に多いです。何度も申し訳ないのですが、メールに添付されたファイルは安易に開かない。

4．パーソナルファイアウォールと銘打ったソフトを導入する

これらは、常時接続の穴（セキュリティーホール）を埋めるべく作成された専用ソフトです。これを使ってインターネットしているといろいろ警告とか出てうっとおしいと感じるかもしれませんが、かなり高いセキュリティレベルを期待できます。

フリーのパーソナルファイアウォール製品としては

・ZoneAlarm
http://www.zonelabs.com/index.html
・竜の情報館（上記のメニューの日本語化パッチ）
http://www.ryulife.com/index.html

があります。利用方法は上記ページに親切に掲載されています。

5．ブロードバンドルーターを導入する

クラッカーはターゲットを見つけるとまずポートスキャンをかけて、空いているポートを探します。特にファイルとプリンタの共有などに使うNetBEUIには十分な注意が必要です。インターネットに直接接続されているマシンには、絶対にこれをバインドさせてはいけません。といっても、何のことかわからない方はルーターによるパケットフィルタリングが最も効果的です。これならうっとおしい警告も出ません。また、初心者の方でも扱えるように、デフォルトでセキュリティーが確保できる設定になっています。以前はルーターといえば値段も高く、個人利用には敷居が高いイメージがありましたが、昨今のブロードバンドルータは安価（5000円程度～）になり、設定もブラウザで比較的簡単に行えることからぜひ導入をお勧めします。

今あなたの環境がどのくらいのセキュリティレベルなのかを診断してくれるサイトがあります。Gibson Research Corporationのページの中央部分にある[ShieldsUP！]という紫色の文字をクリックするとセキュアサイトへと繋がります。

中央にある[Test My Shields!]の紫色の文字をクリックすると現在のあなたのマシンのインターネット接続セキュリティ状態をチェックしてくれます。また、その隣の[Probe My Ports!]の紫色の文字をクリックすると現在のポートの状況を検査してくれます。

[Stealth!]、[Closed]、[OPEN!]の3つのレベルの診断結果を得ることができ、それぞれの状態の説明が添えられます。といっても[OPEN!]と診断された場合は速やかにパーソナルファイアーウォール製品の導入をしてください、ということになりますが。
参考までに簡単に説明しますと、例えば侵入者が泥棒、あなたのパソコンが家の玄関だとしましよう。

Stealth!		ステルス、つまり隠されていることから、泥棒にはあなたの家の玄関があることすらわかりませんから極めて安全な状態です。
Closed		一応玄関の鍵は掛かっていますが、合鍵を使えば開けることができますし、場合によっては無理やりこじ開けることも可能です。
OPEN		玄関の鍵が掛かっていないオープンな状態です。

ということです。もちろん自分でサーバーを立ててWebサイトを運営している、といった方ならOPENになっているポートもあるでしょうが、個人的にインターネットを楽しんでいる方でOPENになっているポートはあり得ません。

6．Windows XPの簡易ファイアーフォール機能を使う

Windows XPには簡易のファイアーウォール機能が標準で搭載されています。せっかくですからこれを使わない手はありません。使い方は「スタート」メニューから「マイネットワーク」を選択、ネットワークタスクから「ネットワーク接続を表示する」をクリックすると「ローカルエリア接続」アイコンが現れます。アイコンをクリックし「全般」タブの中にある「プロパティ」ボタンを押すと「ローカルエリア接続のプロパティ」が出てきます。

ローカル接続の状態画面　ローカルエリア接続のプロパティ画面

「詳細設定」タブを選択し、インターネット接続ファイアウォールにチェックを入れて、「OK」ボタンを押すと有効になります。以下はポートスキャン用の代表ソフトNmap（http://www.insecure.org/nmap/）とパケットジェネレーターであるhping（http://www.hping.org/）で検査した結果です。（これらは決して他サイトに向けて行ってはいけません）

・ファイアーウォール機能無効（Nmap）

nmap -n -sS -O 192.168.x.xx
Starting nmap V. 2.54BETA36 ( www.insecure.org/nmap/ )
Interesting ports on (192.168.x.xx):
(The 1553 ports scanned but not shown below are in state: closed)
Port State Service
135/tcp open loc-srv
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1025/tcp open listen
5000/tcp open fics

送られてきたパケットに対し、サービスされているポート番号を返してしまっている。

・ファイアーウォール機能有効（Nmap）

nmap -n -sS -O 192.168.x.xx
Starting nmap V. 2.54BETA36 ( www.insecure.org/nmap/ )
Note: Host seems down. If it is really up, but blocking our ping probes, try -P0
Nmap run completed -- 1 IP address (0 hosts up) scanned in 30 seconds

各種TCP、UDPパケットに対して応答を返さなくなっている。FINパケットに対しても返さない。特にWindows2000/XPから使用されるようになった445番ポート（ダイレクト・ホスティングSMBサービス）は、古いルーターではデフォルトでブロックされていないので注意が必要。

・ファイアーウォール機能無効（hping）

hping2 -n -c 5 -p 22 -S 192.168.x.xx
HPING 192.168.x.xx (eth0 192.168.x.xx): S set, 40 headers + 0 data bytes
len=46 ip=192.168.x.xx flags=RA seq=0 ttl=128 id=54287 win=0 rtt=4.3 ms
len=46 ip=192.168.x.xx flags=RA seq=1 ttl=128 id=54290 win=0 rtt=0.9 ms
len=46 ip=192.168.x.xx flags=RA seq=2 ttl=128 id=54292 win=0 rtt=0.8 ms

22番ポートに対しパケットを送った結果、RAフラッグが返ってきた（ポートは閉じている）。

・ファイアーウォール機能有効（hping）

hping2 -n -c 5 -p 22 -S 192.168.x.xx
HPING 192.168.x.xx (eth0 192.168.x.xx): S set, 40 headers + 0 data bytes
--- 192.168.x.xx hping statistic ---
5 packets tramitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms

hpingに対しても応答を返さなくなっている。

以上、あたかもあなたのマシンにクラッカーが侵入してくる。といったような大袈裟な表現になってしまったかも知れませんが、現実的にはその確率は宝くじに当たるくらいの非常に低い確率ですからさほど心配には及ばないといったところでしょうか。しかし、その”もしも”に当たってしまったときには悲惨な結果が待っています。侵入者は上記のような方法であらゆることを検査しアタックしてきます。例えパケットフィルタリングを行っていたとしてもそれを回避し検査することも可能です。上記で紹介した方法はどれをとってもそれぞれ有効な手段ですが、これらを複数で組み合わせるとなお一層有効であることはいうまでもありません。

7．Microsoft Baseline Security Analyzerで脆弱性をチェックする

MicrosoftはWindows NT 4.0/2000/XPにおけるセキュリティ上の脆弱性をチェックするツールMicrosoft Baseline Security Analyzer（MBSA）を公開しています。Windows NT 4.0/2000/XPで動作するフリーソフトで、同社のWebサイトからダウンロードできます。ダウンロード後「mbsasetup.msi」をダブルクリックすると指定ディレクトリにインストールされ、スタートメニューから「Microsoft Baseline Security Analyzer」を選択することにより実行できます。

Microsoft Baseline Security Analyzer

このツールではOS（オペレーティングシステム）そのものと、インストールされている「Internet Explorer」や「Outlook」、「IIS」、「Microsoft Office」などMicrosoft製のソフトにセキュリティパッチの適用漏れがないかをチェックできるほか、ファイルシステムがNTFSであるかどうか、Guestアカウントでのログオンを許可しているか否か、安易なパスワードが設定されたアカウントはないかなど、全21項目の脆弱性をチェックします。使い方は「Scan a computer」をクリックし「Computer name」が正しいことを確認したら「Start scan」をクリックするとチェックが始まります。

Microsoft Baseline Security Analyzer

しばらく待つとスキャンが完了し、結果が表示されます。

Microsoft Baseline Security Analyzer

Security assessment: Strong Security (All checks were passed.)と表示されれば完璧ですが、おそらく何箇所か不合格になるでしょう。そこで対策を施していくわけですが、青いリンク文字「What was scanned」をクリックすると何についてスキャンしたかを表示し、「Result details」をクリックすると結果の詳細を表示し、そして「How to correct this」をクリックするとこれを修正する方法が表示されますので、その指示に従って修正を行う、もしくは、パッチをダウンロードし、インストールします。修正が完了したら再度チェックを行います。特にWindows Updateではそのマシンにパッチが適切に適用されているかどうかに関してレジストリ項目しか確認しない（システム上は確認しない）ため、何らかの理由でアップデートに失敗していてもレジストリに登録さえされていれば適用されているとみなされ、適用漏れが起こり得るという問題にも効果的です。

Windows Updateを滞りなく適用していても、初期状態で適切でないと指摘される可能性のある項目と、その対策方法を以下に挙げておきます。

チェック項目	内容	推奨される設定	方法
Restrict Anonymous	匿名の接続（NULL接続）に関するアクセスを制限する	明示的な許可のない匿名のアクセス（NULL接続）は許可しないようにする。デフォルトは許可するようになっている。	レジストリエディタを開き、「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA」キーの中の「RestrictAnonymous」をダブルクリックし、値をWindows2000なら「2」に、WindowsXPなら「1」に変更する。但し、個人ユーザーでなおかつルーターを導入しているなら設定変更不要。また、何らかの不具合があった場合は元の値「0」に戻す（マイクロソフトサポート技術情報143474、246261参照）。
Local Account Passwords	ローカルアカウントのパスワードに「happy」などといった安易なパスワード、辞書に載っているような解読が容易なパスワードを設定していないかどうか	解り難い、強いパスワード、例えば「Dfu58pL641」のようなパスワードを使用すべきである。	「Ctrl」-「Alt」-「Delete」キーを同時に押し、「パスワードの変更」をクリック、変更画面で強力なパスワードに変更する。
Internet Explorer Security Zones	インターネットエクスプローラーのセキュリティゾーン設定	インターネットゾーンのセキュリティレベルを「中」以上にする。デフォルトは何故だか「カスタム」という意味不明の設定。	「コントロールパネル」-「インターネットオプション」をダブルクリック、「インターネットのプロパティ」の「セキュリティ」タブをアクティブにし、インターネットゾーンを「既定のレベル（中）」以上にする。

このツールを使って定期的に自マシンのセキュリティチェックを行うことも非常に有用な手段です。

インターネットセキュリティに関してもっと詳しく知りたい方は

不正アクセス対策集

http://www.ipa.go.jp/security/ciadr/cm01.html

The World Wide Web Security FAQ（日本語版）

http://www.w3.org/Security/Faq/001031wwwsfj.ja.sjis.html

等を参照してください。

TOPページ(Alt+B)