河端善博 ブログ / SQL Server / PASSJ

Windows Server 2008 に待望の Hyper-V がリリースされましたので、試してみました。

• PC: Intel Q6600 x 1, MEM: 8GB, HDD 1TB x 2
• Host OS: Windows Server 2008 x64 + Hyper-V
• Guest OS: Windows Server 2008 x64 (MEM 2GB, HDD 50GB)
• Guest DB: SQL Server 2008 Enterprise Edition RC0
• Guest IIS: 7.0
• Guest Application: DotNetNuke 4.8.4

朝から GuestOS のインストールを初めて、構築が終わりました。
けっこうスムーズに動いてしまった。という感想です。
DotNetNuke の大阪の集まりで、動作報告をさせていただきました。

【 スナップショット 】

いいですね。
Guest OS 上の SQL Server もきちんと連携しているようです。

簡単なテスト結果:

1.スナップショット作成中は、T-SQL 処理が止まる。

　連続して insert 処理中に、スナップショットの作成を行うと、
　スナップショットの処理がある程度、進むまで insert 処理が待たされます。

2.データベースの状態は、スナップショットの開始時点で保存される。

　スナップショットを行うと、データベースは、開始時点の状態で保存されています。
　終了時点ではありません。

3.トランザクションが終了していない場合は、適用時にキャンセルとなる。

　スナップショット作成時点で、コミットされていないトランザクションは、
　スナップショットを適用して戻した時点で、ロールバックされます。
　すべてのセッションがリセットされるようです。

4.リモートデスクトップ接続も、適用時に切れる。

　ゲストOS に接続した状態で、スナップショットを適用すると、
　リモートデスクトップは切れてしまいます。

このほか、順次テストしていければと思います。

テスト案:

a.タイムアウトの発生の確認

　適用時に、一気に時間が飛ぶと思われます。
　このため、Guest OS 内で継続していた処理は本来そのまま継続してもよさそうですが、
　タイムアウトになってしまうのではないかと。

b.Guest OS で、スナップショットの作成を検知する方法

　スナップショットの作成中、適用中であることを、ゲストOS で検出する方法。

ちなみに、Hyper-V のヘルプは内容が少ないので注意が必要ですね。
できれば、開発チームの方々や、海外の MVP の方々のブログや資料を参考にしたほうがよさそうです。

ついに、マイクロソフトからもアドバイザリという形で、SQL Injection 攻撃について注意喚起が行われました。

マイクロソフト セキュリティ アドバイザリ (954462)
ユーザー データ入力の未検証を悪用した SQL インジェクション攻撃の増加
公開日: 2008年6月25日

監査ツール、検査ツールの紹介が合わせて行われています。
これらのツールについては、順次評価して報告させていただきたいと思います。

アップルから、ぜい弱性に対処したバージョンがリリースされました。

About the security content of Safari 3.1.2 for Windows
(Apple, 2008/6/19)

お伝えしてきた脆弱性を含めて 4 件、修正されています。

　【 Safari 3.1.2 for Windows で修正された脆弱性 】

1. CVE-2008-1573: BMP, GIF 処理の脆弱性により、メモリ上の情報が漏えいする
2. CVE-2008-2540 : じゅうたん爆撃 といわれた脆弱性。ブラウザ利用者の確認なくファイルがダウンロードされる
3. CVE-2008-2306 : Internet Explorer 6 にて「ローカルイントラネット」または「信頼済みサイト」に設定したサイト、Internet Explorer 7 にて「アプリケーションと安全でないファイルの起動」を有効に設定したサイトを Safari で表示したとき、ダウンロードしたファイルを自動実行する。
4. CVE-2008-2307 : WebKit の JavaScript 配列処理の脆弱性。

あとは、マイクロソフトが、「デスクトップ」上のファイルの処理について、関連アプリケーションを修正することを期待します。

Safari の問題についての続報です。

マイクロソフト セキュリティ アドバイザリ (953818)
Apple 製 Safari が Windows プラットフォーム上で使用された場合の複合的な脅威
(2008/5/31, 2008/6/9)

なぜ、マイクロソフトが「複合的な脅威」と表現しているのか、確認することができました。

Safari Vulnerability: Now a Blended Flavor
(2008/6/12, StopBadware.org)

ここにあるように、Internet Explorer 7 の「デスクトップ」上のファイルの扱いに問題があるためです。この問題は、Aviv Raff さんが、マイクロソフトに 2006/11/1 に報告しています。

Internet Explorer 7 - Still Spyware Writers Heaven
(2006/11/1, Aviv Raff On .NET)

この時点で、マイクロソフトはセキュリティ上の課題ではない、としていました。
しかし、今回の Safari 3.1 for Windows の動作により、攻撃が可能であることが確認されました。

回避策として、Safari のダウンロード先を「デスクトップ」以外のフォルダにすることにより、Internet Explorer 7 のデスクトップ処理の仕様による「複合的な脅威」は回避することができると思われます。
ただ、「複合的な脅威」は回避できますが、ユーザーの確認なしに大量のファイルをダウンロードさせる攻撃は回避することはできません。
ご注意いただければと思います。

※Internet Explorer 7 のデスクトップ処理の仕様を、簡単に確認する方法はありますが、一般公開することは適切ではないと思われますので、省略させていただきました。

前回の投稿の続きです。

注意: Webサイトのアクセスは要注意 (SQL インジェクション被害の拡大)
(2008/5/21 )

攻撃は、変化しながら拡大しているようです。
注意点を追加しておきたいと思います。

注意.4: 効果のある対策は、利用するツールの更新

ファイアウォール、Web コンテンツフィルタ、ウィルス対策ソフト、怪しいサイトを見ないなどの方法も、一定の効果が見込めます。ただし、現状、もっとも効果があるのは、Microsoft Update などを利用して、ぜい弱性に対策したツールへ更新することとなります。

注意.5: 問題を感じたら、担当者へ

PC の利用に異常を感じたら、担当者へ確認してください。担当者の場合は、完全なウィルス検査、ネットワークやファイアウォールのログを確認してください。

注意.6: 信頼できるサイトも改ざんされる可能性

信頼できるサイト、いつも見に行くブログや掲示板のサイトも、改ざんされ、ウィルスダウンロードを仕掛けられている可能性があります。異常を感じた場合は、担当者へご相談ください。

注意.7: Google 「このサイトはコンピュータに損害を与える可能性があります。」表示

Google の検索結果に、このメッセージが表示されているサイトがあります。
これは、Google がサイトを検査して、ウィルスダウンロードを仕掛けられている可能性があると判断した場合に、表示します。このサイトは、表示しないことをお勧めします。
また、仕掛けられているにもかかわらず、このメッセージが表示されないサイトも多数あります。
Live Search, Yahoo, Google などの検索結果からのアクセスは十分に注意してください。

注意.8: 状況は刻々変化しています。

戦況は、刻々と変化しています。セキュリティ対策の会社や組織による対策と、それをかわす攻撃側。
先日の PASSJ アフタースクールでお話がありましたように、日々状況が変化しています。

PASSJ アフタースクールにていただいた質問です。

Q.不正なファイルを読み取り専用、またはビューアで開くと、攻撃を回避できるか ?

たとえば、不審な WORD ファイルを開くときに、Word Viewer を使って開くことで問題を回避できるでしょうか。
また、Word を使って、読み取り専用で開くことで回避できるでしょうか ?

「回避できない」

と考えられます。

実績として、今月のWORDの脆弱性「MS08-026 Microsoft Word の脆弱性により、リモートでコードが実行される (951207)」は、Word Viewer も影響をうけるソフトウェアとして指定されています。
また、問題の回避方法に、読み取り専用で開くと回避できるという記述はありません。
同様に、過去の WORD, EXCEL などの脆弱性の多くは Viewer にも影響を受けています。
中には、Viewer / 読み取り専用で回避できる攻撃がある場合もありますが、回避できない攻撃がある以上は、「回避できない」として扱う必要があると思います。

技術面で考えた場合、こうした攻撃は、WORD のファイル読み取り処理の脆弱性をついて、不正なプログラムを実行させます。このため、WORD そのものが読み取り専用で扱っているかどうかには影響しないと考えられます。

あわせて、PDF による攻撃を考えると、通常 Acrobat Reader という表示専用ツールで開くにもかかわらず、問題が発生しています。これは、読み取り専用として開いても攻撃が成立する例といえると思います。
※本日、PDF へ 攻撃用のEXE を埋め込む方法が、簡単に行えることが F-Secure のブログで紹介されています。

Creating malicous PDF files
(悪意のある PDF ファイルの作成)
(F-Secure Blog 2008/6/2)

ご質問へのフォローになっていればと思います。

Secunia PSI (英語)

PC にインストールしているプログラムを確認して、更新の必要のあるプログラムを指摘します。
マイクロソフト製品であれば Windows Update をすることで、更新を確認できますが、Adobe, Apple などのツールは個別に確認が必要となっています。
この Secunia PSI は、マイクロソフト製品だけでなく、多くのソフトの確認を行います。
また、マイクロソフト製品でも、FxCop, Fiddlerなどツールとして提供されているものの確認も行います。

一度、試されてはいかがでしょうか。

※Secunia PSI により警告されるプログラムの種類は次のものがあります。

• Insecure = ぜい弱性が確認されているプログラム/バージョン
• End-of-Life = サポートが終了しているプログラム/バージョン

マイクロソフトから、Apple社のブラウザ Safari について、セキュリティアドバイザリが出ています。

マイクロソフト セキュリティ アドバイザリ (953818)
Apple 製 Safari が Windows プラットフォーム上で使用された場合の複合的な脅威
(2008/5/31)

Windows で Safari をご利用の方は、ダウンロードコンテンツを保存する先を変更することをお勧めします。

また、「推薦されるアクション」をご確認の上、Safari のご利用を、適切な対策版が提供されるまで控えることをお勧めします。

※ Safari の画面、文字がみやすくて、とても気に入っているのですが...

SQL インジェクションによる Web サイトの改ざんが拡大しているようです。

そこで、Web 管理者だけでなく、インターネットの Web を利用される方、管理者の方への注意をまとめます。

注意.1　一般利用者: Webサイトのアクセスは要注意

Live Search, Google などでの検索した Web サイトを参照は、URL を確認するなど安全であることを確認の上、参照されることをお勧めします。
もちろん、セキュリティ対策ソフトを導入し、ソフトウェアを確実に更新の上、安全な設定での運用が前提となります。PC の動作がおかしくなった場合は、コンピュータ全体をウィルススキャンするなど、検査することをお勧めします。

注意.2　一般利用者: 店頭PCやネットカフェのPC では個人情報やパスワードを入力しないでください。

店頭、ホテル、空港、ネットカフェ、図書館に、PC が設置されるようになりました。
こうした PC から、Hotmail などのメールを参照、掲示板への書き込みなどをされる方をよく見かけます。
しかし、こうした PC が、ウィルスに感染している可能性が高くなっていると思われます。
ウィルスに感染しいる PC から、パスワードを入力した場合、パスワードが漏えいしてしまいます。
利用には、十分にご注意ください。

注意.3　管理者: 問題のあるサイトの参照を、業務マシンからしないでください。

　SQL インジェクションに感染しているサイトは、特定のキーワードで簡単に検索して見つけることができます。
管理者としては、実際にどのような形で改竄されているのかを確認したいと思います。

しかし、こうした問題のある Web サイトを、業務 PC や自宅 PC から行わないでください。
ダウンロードされてくるウィルスは、急速に進化し、攻撃力を高めています。
万が一に備えて、実験用の環境や、バーチャルマシン上の環境を利用することをお勧めします。

以上です。

現在、数十万の Web サイトが改ざんされているようです。
Live Search, Google, Yahoo, Goo など検索サービスを提供している会社は、感染しているサイトを表示しないように対策を進めているようですが、間に合っていないと思われますので、注意としてまとめました。

Apple のブウラザ Safari をご利用の方に、注意があります。

問題: Safari Carpet Bomb (じゅうたん爆撃)
現象: ファイルが、利用者の確認なしにダウンロードされる
確認した Safari バージョン: 3.1.1 (525.17) Windows

情報: Safari Security Questioned; SBW Encourages Action
　(StopBadware.org, 2008/5/19)
記事: Appleは対処せず：Safariの「じゅうたん爆撃」問題、StopBadware.orgも対処を要求
　(ITMedia, 2008/5/21)

通常、Web ページを開いてファイルをダウンロードさせる場合、ファイルを保存する場所を確認する画面が表示されますね。
しかし、Safari では、ある種の URL を開くと、利用者になんの確認もなく、ダウンロードを行います。

Windows 版 Safari では、デスクトップにファイルができることになります。
ファイルの拡張子は、EXE を含めて、なんでも可能です。

StopBadware.org は、この問題により、利用者の PC に、大量のファイルをダウンロードさせることができると指摘しています。
また、ダウンロード履歴を注意深く観察してない場合、いつの間にかデスクトップにできたファイルに気づかない人も多いでしょう。
問題を再現させることは、とても簡単です。

したがって、Safari をご利用の方は、ほんとうに安心できる Web サイトのみアクセスすることをお勧めします。
Live Search, Google などで検索したページを表示させる場合は、ダウンロード履歴を十分に注意することをお勧めします。

※さらに、デスクトップには、なにもない状態にしておくほうがいいと思います。

SQL Server への DoS 攻撃について、SecurityFocus に投稿がありました。
※ざっくりしか読んでいません。

　件名: DoS attacks using SQL Wildcards - Whitepaper
　投稿: Ferruh Mavituna
　会社: portcullis-security.com
　日時: 2008/5/19
　資料: http://www.portcullis-security.com/uplds/wildcard_attacks.pdf

　概要:
　　LIKE を利用したクエリーを実行するサイトに、ワイルドカードを含む
　　文字列を検索させると、通常の検索の数倍の時間がかかる場合がある。
　　SQL Server は CPU 100% となる。
　　これを多数実行することにより、DoS 攻撃が成立する。

ざっくり読んだ感じでは、
ユーザーから、ワイルドカードの入力を受け付けていると問題が発生する可能性があります。
ユーザーからの入力は、ワイルドカード文字とせず、すべてエスケープしてから、処理するようにすれば避けられると思います。

今月末、PASSJ アフタースクールを開催します。

　「データベースセキュリティ講座」
　日時: 2008/5/31(土) 13:00-17:00
　場所: マイクロソフト新宿 5F

セッション:

1. 最新インターネットセキュリティ (株式会社ラック様)
2. データベース監査入門 (株式会社システムエグゼ様)
3. 最新のセキュリティ傾向 (JPCERT コーディネーションセンター 様)
   

今、多くのWeb改ざんの原因となっている SQL インジェクションと、内部統制・情報漏洩対策で必要となるデータベース監査をテーマとしています。
講師は、現場で顧客対応をされた経験をお持ちなので、いろいろ面白いお話をしていただけると思います。

HD革命 DISK Mirror ver.2
株式会社アーク情報システム

ヨドバシカメラ梅田店の地下で、説明員の方としばらく歓談してきました。
とても印象のいい方で、時折まじる大阪弁につい、長話。
結局、購入せずに帰ってきました。

さて、歓談した内容を簡単にまとめておきたいと思います。

商品概要:

　内蔵ハードディスクへの書き込みを、外付けUSBハードディスクへ
　ミラーリングするソフトウェア。
　内蔵ハードディスクの障害発生時には、専用のCD-ROM を使って、
　外付けUSBハードディスクからブートすることができる。

注意点:

　RAID 1 のミラーリングとは本質的に異なる。
　RAID 1 では、いずれかのハードディスクが損傷した場合も、
　運用し続けることができる。
　一方、DISK Mirror は、内蔵ハードディスクが故障した場合、
　運用を続けることはできない。
　書き込み内容を、外部HDDにも反映するだけと考えてほうがいい。

　また、Ver.2 は、システムドライブのミラーリングを手動で行う必要がある。
　リアルタイムにミラーリングできるのは、データドライブのみ。

　外付けHDDの接続方式サポートは、USB のみであり、eSATA 接続などは利用できない。

要望:

1.HDD故障時の動作の明確化

　内蔵ハードディスク、外付けハードディスクのいずれかが故障した場合、
　どちらが故障したのかを判断する基準がほしい。

2.S.M.A.R.T 情報の提供

　HDD故障を予知する情報を提供してほしい。

3.バックアップソフトとの連携

　HD革命シリーズのバックアップソフトを含めて、多くのバックアップソフトで
　バックアップする場合に、ミラーリングを停止する必要がある。
　少なくとも HD革命シリーズのバックアップソフトとは連携して動作してほしい。

4.システムドライブもリアルタイムミラーリングしてほしい。

5.ハードディスク暗号化ソリューションとの共存を明確にしてほしい。

　Vista の BitLocker や、秘文などのハードディスク暗号化ソリューションを
　利用できるのか確認してほしい。

6.セキュリティ対策ソフトとの共存を明確にしてほしい。

　セキュリティ対策ソフトは、かなり低レベルでの処置をするため、ぶつかりそうな。

7.「スリープ」「休止」時の動作も明確にしてほしい

8.eSATA 接続ハードディスクをサポートしてほしい。

　ノートPC であっても、ハードディスクは大幅に大容量化しているため、
　eSATA 接続が必要。

9.外付けHDD を内蔵HDDとして設置できるのか明確にしてほしい。

　故障発生時に、外付け HDD を取り外して、内蔵HDD とそのまま
　交換できるのであれば、復旧を短時間で終わらせることができる。

10.ミラーリングを停止させた状態で、外付けHDDの内容をみれるようにしてほしい。

　ミラーリングで使用する外付けHDDは、ドライブとして認識されないようになる。
　なにか大きなシステム変更をする場合、ミラーリングを一時停止してから、
　変更作業を行い、問題が発生した場合には、内蔵HDDと外付けHDDで
　ファイルを比較できればと。

11.SQL Server のデータベースが置けるのか、明確にしてほしい !

　たぶん大丈夫では、ちょっとね。
　VSS (Volume Shadow Copy) に対応しているんだろうか。

12. Vista 64bit に対応を.

以上です。

英語: SQL Server - Fact Checking Recent Vulnerability History (Jeff Jones, 2008/3/5)
日本語: SQL Server (niwaka さんによる翻訳)

マイクロソフト Jeff Jones さんによる SQL Server のここ数年の脆弱性状況の報告です。
niwaka さん、翻訳ありがとうございます。

結果は、本文のとおり。
多くの痛い経験を積んだ SQL Server チームは、SDL を導入し、セキュアなデータベースを作る体制を築いたことを確認できます。

マイクロソフト セキュリティ アドバイザリ (951306)
Windows の脆弱性により、特権の昇格が行われる
(2008/4/18)

このセキュリティアドバイザリへの回避策について、ご注意いただければと思います。

IIS 6.0 を利用している場合、サービス「MSDTC」の停止が推薦されています。
Windows の管理ツール「サービス」では、次のようになっているサービスです。

サービス名: MSDTC
表示名: Distributed Transaction Coordinator
説明:
　データベース、メッセージ キュー、またはファイル システムなど、
　複数のリソース マネージャに分散されたトランザクションを
　調整します。
　このサービスが停止すると、これらのトランザクションは開始できません。
　このサービスが無効な場合は、このサービスに依存するサービスは開始できません。

説明にあるように、MSDTC は、非常に多くのサービスから利用されているサービスです。
このため、MSDTC の停止は、多くのアプリケーションを停止させる可能性があります。

「回避策の影響」をよくご確認の上、自社のシステムが MSDTC を利用しているかどうか、
ご確認されることをお勧めします。

【MSDTC 利用の確認方法】

　MSDTC を「停止」させます。
　自社のアプリケーションをひととおり、操作します。
　MSDTC が「開始」されているかどうかを確認します。

　MSDTC が開始されている場合、アプリケーションから利用されていることになります。

SQL インジェクション攻撃とその対策
(マイクロソフト, 2008/4/30)

SQL インジェクション攻撃による Web 改ざんが多発しているようです。
主に、IIS, ASP, ASP.NET, SQL Server で構築された Web システムがターゲットとなっています。

Web 改ざんが発生した場合、Web サイトを閲覧した方のコンピュータがウィルスに感染する可能性があります。
マイクロソフトをはじめ、セキュリティ関連団体が注意喚起を行っていますが、改ざんは増え続けているようです。

開発者、技術者の方々は、早急に関連情報を確認されることをお勧めします。

【最初に注意】

　改ざんされた Web を、参照するなら、感染してもいいマシンで行うこと。

　SQL インジェクションに関連する情報を読むと、感染しているサイトを特定のキーワードで検索できることがわかります。
　しかし、感染している可能性がある Web サイトを見にいくことはお勧めしません。
　見に行くのであれば、感染してもいいコンピュータを用意した上で、見に行ってください。

　攻撃側は、あなたの防御対策の上を行っているかもしれないためです。

ここでは、それぞれの立場の方々に向けて、注意を整理させていただきます。

【経営者の方々】

　自社の Web サイトにて改ざんが発生した場合、自社の顧客の PC がウィルスに感染することになります。
　もちろん、お客様がそれぞれ十分なセキュリティ対策をしていれば感染しない場合もありますが、すこしでも対策が漏れたお客様が被害にあわれる可能性があります。

　さらに、改ざんされた場合、自社の Web サイトが、Live Search, Google, Yahoo などの検索から除外される可能性があります。
　検索サービスを提供する各社は、利用者保護のため、改ざんされている Web サイトを検索から除外しているようです。このため、御社のサイトが検索されなくなる可能性があります。

　次に、自社Web サイトへの攻撃の有無の確認、自社の Web アプリケーションの対策状況の確認をされるとともに、ご利用のファイアウォール製品などで本当に防ぐことができるのか、確認されることをお勧めします。

【運用管理者の方々】

　まず、攻撃の状況を確認されることをお勧めします。
　たとえば、IPA から iLogScanner により Web アクセスログから攻撃の状況を確認することができます。
　ただし、iLogScanner で検出されなかったとしても、攻撃がなかったことにはなりません。
　次に、現在の Web アプリケーションの対策状況、データベース内の改ざんの状況の確認をお勧めします。
　あわせて�