河端善博ブログ / SQL Server / PASSJ

Hyper-V リリースを試してみました

Windows Server 2008 に待望の Hyper-V がリリースされましたので、試してみました。

PC: Intel Q6600 x 1, MEM: 8GB, HDD 1TB x 2
Host OS: Windows Server 2008 x64 + Hyper-V
Guest OS: Windows Server 2008 x64 (MEM 2GB, HDD 50GB)
Guest DB: SQL Server 2008 Enterprise Edition RC0
Guest IIS: 7.0
Guest Application: DotNetNuke 4.8.4

朝から GuestOS のインストールを初めて、構築が終わりました。
けっこうスムーズに動いてしまった。という感想です。
DotNetNuke の大阪の集まりで、動作報告をさせていただきました。

【スナップショット】

いいですね。
Guest OS 上の SQL Server もきちんと連携しているようです。

簡単なテスト結果:

1.スナップショット作成中は、T-SQL 処理が止まる。

　連続して insert 処理中に、スナップショットの作成を行うと、
　スナップショットの処理がある程度、進むまで insert 処理が待たされます。

2.データベースの状態は、スナップショットの開始時点で保存される。

　スナップショットを行うと、データベースは、開始時点の状態で保存されています。
　終了時点ではありません。

3.トランザクションが終了していない場合は、適用時にキャンセルとなる。

　スナップショット作成時点で、コミットされていないトランザクションは、
　スナップショットを適用して戻した時点で、ロールバックされます。
　すべてのセッションがリセットされるようです。

4.リモートデスクトップ接続も、適用時に切れる。

　ゲストOS に接続した状態で、スナップショットを適用すると、
　リモートデスクトップは切れてしまいます。

このほか、順次テストしていければと思います。

テスト案:

a.タイムアウトの発生の確認

　適用時に、一気に時間が飛ぶと思われます。
　このため、Guest OS 内で継続していた処理は本来そのまま継続してもよさそうですが、
　タイムアウトになってしまうのではないかと。

b.Guest OS で、スナップショットの作成を検知する方法

　スナップショットの作成中、適用中であることを、ゲストOS で検出する方法。

ちなみに、Hyper-V のヘルプは内容が少ないので注意が必要ですね。
できれば、開発チームの方々や、海外の MVP の方々のブログや資料を参考にしたほうがよさそうです。

(速報) マイクロソフトが、SQL インジェクションについてアドバイザリ公開

ついに、マイクロソフトからもアドバイザリという形で、SQL Injection 攻撃について注意喚起が行われました。

マイクロソフトセキュリティアドバイザリ (954462)
ユーザーデータ入力の未検証を悪用した SQL インジェクション攻撃の増加
公開日: 2008年6月25日

監査ツール、検査ツールの紹介が合わせて行われています。
これらのツールについては、順次評価して報告させていただきたいと思います。

Safari 3.1.2 for Windows リリース

アップルから、ぜい弱性に対処したバージョンがリリースされました。

About the security content of Safari 3.1.2 for Windows
(Apple, 2008/6/19)

お伝えしてきた脆弱性を含めて 4 件、修正されています。

　【 Safari 3.1.2 for Windows で修正された脆弱性】

CVE-2008-1573: BMP, GIF 処理の脆弱性により、メモリ上の情報が漏えいする
CVE-2008-2540 : じゅうたん爆撃といわれた脆弱性。ブラウザ利用者の確認なくファイルがダウンロードされる
CVE-2008-2306 : Internet Explorer 6 にて「ローカルイントラネット」または「信頼済みサイト」に設定したサイト、Internet Explorer 7 にて「アプリケーションと安全でないファイルの起動」を有効に設定したサイトを Safari で表示したとき、ダウンロードしたファイルを自動実行する。
CVE-2008-2307 : WebKit の JavaScript 配列処理の脆弱性。

あとは、マイクロソフトが、「デスクトップ」上のファイルの処理について、関連アプリケーションを修正することを期待します。

(続) Apple社のブラウザ Safari について、マイクロソフトからセキュリティアドバイザリ

Safari の問題についての続報です。

マイクロソフトセキュリティアドバイザリ (953818)
Apple 製 Safari が Windows プラットフォーム上で使用された場合の複合的な脅威
(2008/5/31, 2008/6/9)

なぜ、マイクロソフトが「複合的な脅威」と表現しているのか、確認することができました。

Safari Vulnerability: Now a Blended Flavor
(2008/6/12, StopBadware.org)

ここにあるように、Internet Explorer 7 の「デスクトップ」上のファイルの扱いに問題があるためです。この問題は、Aviv Raff さんが、マイクロソフトに 2006/11/1 に報告しています。

Internet Explorer 7 - Still Spyware Writers Heaven
(2006/11/1, Aviv Raff On .NET)

この時点で、マイクロソフトはセキュリティ上の課題ではない、としていました。
しかし、今回の Safari 3.1 for Windows の動作により、攻撃が可能であることが確認されました。

回避策として、Safari のダウンロード先を「デスクトップ」以外のフォルダにすることにより、Internet Explorer 7 のデスクトップ処理の仕様による「複合的な脅威」は回避することができると思われます。
ただ、「複合的な脅威」は回避できますが、ユーザーの確認なしに大量のファイルをダウンロードさせる攻撃は回避することはできません。
ご注意いただければと思います。

※Internet Explorer 7 のデスクトップ処理の仕様を、簡単に確認する方法はありますが、一般公開することは適切ではないと思われますので、省略させていただきました。

注意(続): Webサイトのアクセスに注意 (SQL インジェクション被害の拡大)

前回の投稿の続きです。

注意: Webサイトのアクセスは要注意 (SQL インジェクション被害の拡大)
(2008/5/21 )

攻撃は、変化しながら拡大しているようです。
注意点を追加しておきたいと思います。

注意.4: 効果のある対策は、利用するツールの更新

ファイアウォール、Web コンテンツフィルタ、ウィルス対策ソフト、怪しいサイトを見ないなどの方法も、一定の効果が見込めます。ただし、現状、もっとも効果があるのは、Microsoft Update などを利用して、ぜい弱性に対策したツールへ更新することとなります。

注意.5: 問題を感じたら、担当者へ

PC の利用に異常を感じたら、担当者へ確認してください。担当者の場合は、完全なウィルス検査、ネットワークやファイアウォールのログを確認してください。

注意.6: 信頼できるサイトも改ざんされる可能性

信頼できるサイト、いつも見に行くブログや掲示板のサイトも、改ざんされ、ウィルスダウンロードを仕掛けられている可能性があります。異常を感じた場合は、担当者へご相談ください。

注意.7: Google 「このサイトはコンピュータに損害を与える可能性があります。」表示

Google の検索結果に、このメッセージが表示されているサイトがあります。
これは、Google がサイトを検査して、ウィルスダウンロードを仕掛けられている可能性があると判断した場合に、表示します。このサイトは、表示しないことをお勧めします。
また、仕掛けられているにもかかわらず、このメッセージが表示されないサイトも多数あります。
Live Search, Yahoo, Google などの検索結果からのアクセスは十分に注意してください。

注意.8: 状況は刻々変化しています。

戦況は、刻々と変化しています。セキュリティ対策の会社や組織による対策と、それをかわす攻撃側。
先日の PASSJ アフタースクールでお話がありましたように、日々状況が変化しています。

不正なファイルを読み取り専用で開くと、攻撃を回避できるか ?

PASSJ アフタースクールにていただいた質問です。

Q.不正なファイルを読み取り専用、またはビューアで開くと、攻撃を回避できるか ?

たとえば、不審な WORD ファイルを開くときに、Word Viewer を使って開くことで問題を回避できるでしょうか。
また、Word を使って、読み取り専用で開くことで回避できるでしょうか ?

「回避できない」

と考えられます。

実績として、今月のWORDの脆弱性「MS08-026 Microsoft Word の脆弱性により、リモートでコードが実行される (951207)」は、Word Viewer も影響をうけるソフトウェアとして指定されています。
また、問題の回避方法に、読み取り専用で開くと回避できるという記述はありません。
同様に、過去の WORD, EXCEL などの脆弱性の多くは Viewer にも影響を受けています。
中には、Viewer / 読み取り専用で回避できる攻撃がある場合もありますが、回避できない攻撃がある以上は、「回避できない」として扱う必要があると思います。

技術面で考えた場合、こうした攻撃は、WORD のファイル読み取り処理の脆弱性をついて、不正なプログラムを実行させます。このため、WORD そのものが読み取り専用で扱っているかどうかには影響しないと考えられます。

あわせて、PDF による攻撃を考えると、通常 Acrobat Reader という表示専用ツールで開くにもかかわらず、問題が発生しています。これは、読み取り専用として開いても攻撃が成立する例といえると思います。
※本日、PDF へ攻撃用のEXE を埋め込む方法が、簡単に行えることが F-Secure のブログで紹介されています。

Creating malicous PDF files
(悪意のある PDF ファイルの作成)
(F-Secure Blog 2008/6/2)

ご質問へのフォローになっていればと思います。

Secunia PSI: 自分の PC の更新漏れを確認するツール (英語)

Secunia PSI (英語)

PC にインストールしているプログラムを確認して、更新の必要のあるプログラムを指摘します。
マイクロソフト製品であれば Windows Update をすることで、更新を確認できますが、Adobe, Apple などのツールは個別に確認が必要となっています。
この Secunia PSI は、マイクロソフト製品だけでなく、多くのソフトの確認を行います。
また、マイクロソフト製品でも、FxCop, Fiddlerなどツールとして提供されているものの確認も行います。

一度、試されてはいかがでしょうか。

※Secunia PSI により警告されるプログラムの種類は次のものがあります。

Insecure = ぜい弱性が確認されているプログラム/バージョン
End-of-Life = サポートが終了しているプログラム/バージョン

Apple社のブラウザ Safari について、マイクロソフトからセキュリティアドバイザリ

マイクロソフトから、Apple社のブラウザ Safari について、セキュリティアドバイザリが出ています。

マイクロソフトセキュリティアドバイザリ (953818)
Apple 製 Safari が Windows プラットフォーム上で使用された場合の複合的な脅威
(2008/5/31)

Windows で Safari をご利用の方は、ダウンロードコンテンツを保存する先を変更することをお勧めします。

また、「推薦されるアクション」をご確認の上、Safari のご利用を、適切な対策版が提供されるまで控えることをお勧めします。

※ Safari の画面、文字がみやすくて、とても気に入っているのですが...

注意: Webサイトのアクセスは要注意 (SQL インジェクション被害の拡大)

SQL インジェクションによる Web サイトの改ざんが拡大しているようです。

そこで、Web 管理者だけでなく、インターネットの Web を利用される方、管理者の方への注意をまとめます。

注意.1　一般利用者: Webサイトのアクセスは要注意

Live Search, Google などでの検索した Web サイトを参照は、URL を確認するなど安全であることを確認の上、参照されることをお勧めします。
もちろん、セキュリティ対策ソフトを導入し、ソフトウェアを確実に更新の上、安全な設定での運用が前提となります。PC の動作がおかしくなった場合は、コンピュータ全体をウィルススキャンするなど、検査することをお勧めします。

注意.2　一般利用者: 店頭PCやネットカフェのPC では個人情報やパスワードを入力しないでください。

店頭、ホテル、空港、ネットカフェ、図書館に、PC が設置されるようになりました。
こうした PC から、Hotmail などのメールを参照、掲示板への書き込みなどをされる方をよく見かけます。
しかし、こうした PC が、ウィルスに感染している可能性が高くなっていると思われます。
ウィルスに感染しいる PC から、パスワードを入力した場合、パスワードが漏えいしてしまいます。
利用には、十分にご注意ください。

注意.3　管理者: 問題のあるサイトの参照を、業務マシンからしないでください。

　SQL インジェクションに感染しているサイトは、特定のキーワードで簡単に検索して見つけることができます。
管理者としては、実際にどのような形で改竄されているのかを確認したいと思います。

しかし、こうした問題のある Web サイトを、業務 PC や自宅 PC から行わないでください。
ダウンロードされてくるウィルスは、急速に進化し、攻撃力を高めています。
万が一に備えて、実験用の環境や、バーチャルマシン上の環境を利用することをお勧めします。

以上です。

現在、数十万の Web サイトが改ざんされているようです。
Live Search, Google, Yahoo, Goo など検索サービスを提供している会社は、感染しているサイトを表示しないように対策を進めているようですが、間に合っていないと思われますので、注意としてまとめました。

注意: Apple のブラウザ Safari を利用の方, ファイルを確認なしにダウンロードする問題

Apple のブウラザ Safari をご利用の方に、注意があります。

問題: Safari Carpet Bomb (じゅうたん爆撃)
現象: ファイルが、利用者の確認なしにダウンロードされる
確認した Safari バージョン: 3.1.1 (525.17) Windows

情報: Safari Security Questioned; SBW Encourages Action
　(StopBadware.org, 2008/5/19)
記事: Appleは対処せず：Safariの「じゅうたん爆撃」問題、StopBadware.orgも対処を要求
　(ITMedia, 2008/5/21)

通常、Web ページを開いてファイルをダウンロードさせる場合、ファイルを保存する場所を確認する画面が表示されますね。
しかし、Safari では、ある種の URL を開くと、利用者になんの確認もなく、ダウンロードを行います。

Windows 版 Safari では、デスクトップにファイルができることになります。
ファイルの拡張子は、EXE を含めて、なんでも可能です。

StopBadware.org は、この問題により、利用者の PC に、大量のファイルをダウンロードさせることができると指摘しています。
また、ダウンロード履歴を注意深く観察してない場合、いつの間にかデスクトップにできたファイルに気づかない人も多いでしょう。
問題を再現させることは、とても簡単です。

したがって、Safari をご利用の方は、ほんとうに安心できる Web サイトのみアクセスすることをお勧めします。
Live Search, Google などで検索したページを表示させる場合は、ダウンロード履歴を十分に注意することをお勧めします。

※さらに、デスクトップには、なにもない状態にしておくほうがいいと思います。

SQL Server ワイルドカードを使った DoS 攻撃

SQL Server への DoS 攻撃について、SecurityFocus に投稿がありました。
※ざっくりしか読んでいません。

　件名: DoS attacks using SQL Wildcards - Whitepaper
　投稿: Ferruh Mavituna
　会社: portcullis-security.com
　日時: 2008/5/19
　資料: http://www.portcullis-security.com/uplds/wildcard_attacks.pdf

　概要:
　　LIKE を利用したクエリーを実行するサイトに、ワイルドカードを含む
　　文字列を検索させると、通常の検索の数倍の時間がかかる場合がある。
　　SQL Server は CPU 100% となる。
　　これを多数実行することにより、DoS 攻撃が成立する。

ざっくり読んだ感じでは、
ユーザーから、ワイルドカードの入力を受け付けていると問題が発生する可能性があります。
ユーザーからの入力は、ワイルドカード文字とせず、すべてエスケープしてから、処理するようにすれば避けられると思います。

2008/5/31(土) 新宿:　データベースセキュリティ講座

今月末、PASSJ アフタースクールを開催します。

　「データベースセキュリティ講座」
　日時: 2008/5/31(土) 13:00-17:00
　場所: マイクロソフト新宿 5F

セッション:

最新インターネットセキュリティ (株式会社ラック様)
データベース監査入門 (株式会社システムエグゼ様)
最新のセキュリティ傾向 (JPCERT コーディネーションセンター様)

今、多くのWeb改ざんの原因となっている SQL インジェクションと、内部統制・情報漏洩対策で必要となるデータベース監査をテーマとしています。
講師は、現場で顧客対応をされた経験をお持ちなので、いろいろ面白いお話をしていただけると思います。

店頭で, アーク情報システム「HD革命 DISK Mirror ver.2」の説明をお聞きして...

HD革命 DISK Mirror ver.2
株式会社アーク情報システム

ヨドバシカメラ梅田店の地下で、説明員の方としばらく歓談してきました。
とても印象のいい方で、時折まじる大阪弁につい、長話。
結局、購入せずに帰ってきました。

さて、歓談した内容を簡単にまとめておきたいと思います。

商品概要:

　内蔵ハードディスクへの書き込みを、外付けUSBハードディスクへ
　ミラーリングするソフトウェア。
　内蔵ハードディスクの障害発生時には、専用のCD-ROM を使って、
　外付けUSBハードディスクからブートすることができる。

注意点:

　RAID 1 のミラーリングとは本質的に異なる。
　RAID 1 では、いずれかのハードディスクが損傷した場合も、
　運用し続けることができる。
　一方、DISK Mirror は、内蔵ハードディスクが故障した場合、
　運用を続けることはできない。
　書き込み内容を、外部HDDにも反映するだけと考えてほうがいい。

　また、Ver.2 は、システムドライブのミラーリングを手動で行う必要がある。
　リアルタイムにミラーリングできるのは、データドライブのみ。

　外付けHDDの接続方式サポートは、USB のみであり、eSATA 接続などは利用できない。

要望:

1.HDD故障時の動作の明確化

　内蔵ハードディスク、外付けハードディスクのいずれかが故障した場合、
　どちらが故障したのかを判断する基準がほしい。

2.S.M.A.R.T 情報の提供

　HDD故障を予知する情報を提供してほしい。

3.バックアップソフトとの連携

　HD革命シリーズのバックアップソフトを含めて、多くのバックアップソフトで
　バックアップする場合に、ミラーリングを停止する必要がある。
　少なくとも HD革命シリーズのバックアップソフトとは連携して動作してほしい。

4.システムドライブもリアルタイムミラーリングしてほしい。

5.ハードディスク暗号化ソリューションとの共存を明確にしてほしい。

　Vista の BitLocker や、秘文などのハードディスク暗号化ソリューションを
　利用できるのか確認してほしい。

6.セキュリティ対策ソフトとの共存を明確にしてほしい。

　セキュリティ対策ソフトは、かなり低レベルでの処置をするため、ぶつかりそうな。

7.「スリープ」「休止」時の動作も明確にしてほしい

8.eSATA 接続ハードディスクをサポートしてほしい。

　ノートPC であっても、ハードディスクは大幅に大容量化しているため、
　eSATA 接続が必要。

9.外付けHDD を内蔵HDDとして設置できるのか明確にしてほしい。

　故障発生時に、外付け HDD を取り外して、内蔵HDD とそのまま
　交換できるのであれば、復旧を短時間で終わらせることができる。

10.ミラーリングを停止させた状態で、外付けHDDの内容をみれるようにしてほしい。

　ミラーリングで使用する外付けHDDは、ドライブとして認識されないようになる。
　なにか大きなシステム変更をする場合、ミラーリングを一時停止してから、
　変更作業を行い、問題が発生した場合には、内蔵HDDと外付けHDDで
　ファイルを比較できればと。

11.SQL Server のデータベースが置けるのか、明確にしてほしい !

　たぶん大丈夫では、ちょっとね。
　VSS (Volume Shadow Copy) に対応しているんだろうか。

12. Vista 64bit に対応を.

以上です。

Jeff Jones さんによる SQL Server 脆弱性状況の確認

英語: SQL Server - Fact Checking Recent Vulnerability History (Jeff Jones, 2008/3/5)
日本語: SQL Server (niwaka さんによる翻訳)

マイクロソフト Jeff Jones さんによる SQL Server のここ数年の脆弱性状況の報告です。
niwaka さん、翻訳ありがとうございます。

結果は、本文のとおり。
多くの痛い経験を積んだ SQL Server チームは、SDL を導入し、セキュアなデータベースを作る体制を築いたことを確認できます。

マイクロソフトセキュリティアドバイザリ (951306) : Windows の脆弱性により、特権の昇格が行われる

マイクロソフトセキュリティアドバイザリ (951306)
Windows の脆弱性により、特権の昇格が行われる
(2008/4/18)

このセキュリティアドバイザリへの回避策について、ご注意いただければと思います。

IIS 6.0 を利用している場合、サービス「MSDTC」の停止が推薦されています。
Windows の管理ツール「サービス」では、次のようになっているサービスです。

サービス名: MSDTC
表示名: Distributed Transaction Coordinator
説明:
　データベース、メッセージキュー、またはファイルシステムなど、
　複数のリソースマネージャに分散されたトランザクションを
　調整します。
　このサービスが停止すると、これらのトランザクションは開始できません。
　このサービスが無効な場合は、このサービスに依存するサービスは開始できません。

説明にあるように、MSDTC は、非常に多くのサービスから利用されているサービスです。
このため、MSDTC の停止は、多くのアプリケーションを停止させる可能性があります。

「回避策の影響」をよくご確認の上、自社のシステムが MSDTC を利用しているかどうか、
ご確認されることをお勧めします。

【MSDTC 利用の確認方法】

　MSDTC を「停止」させます。
　自社のアプリケーションをひととおり、操作します。
　MSDTC が「開始」されているかどうかを確認します。

　MSDTC が開始されている場合、アプリケーションから利用されていることになります。

注意: SQL インジェクション攻撃

SQL インジェクション攻撃とその対策
(マイクロソフト, 2008/4/30)

SQL インジェクション攻撃による Web 改ざんが多発しているようです。
主に、IIS, ASP, ASP.NET, SQL Server で構築された Web システムがターゲットとなっています。

Web 改ざんが発生した場合、Web サイトを閲覧した方のコンピュータがウィルスに感染する可能性があります。
マイクロソフトをはじめ、セキュリティ関連団体が注意喚起を行っていますが、改ざんは増え続けているようです。

開発者、技術者の方々は、早急に関連情報を確認されることをお勧めします。

【最初に注意】

　改ざんされた Web を、参照するなら、感染してもいいマシンで行うこと。

　SQL インジェクションに関連する情報を読むと、感染しているサイトを特定のキーワードで検索できることがわかります。
　しかし、感染している可能性がある Web サイトを見にいくことはお勧めしません。
　見に行くのであれば、感染してもいいコンピュータを用意した上で、見に行ってください。

　攻撃側は、あなたの防御対策の上を行っているかもしれないためです。

ここでは、それぞれの立場の方々に向けて、注意を整理させていただきます。

【経営者の方々】

　自社の Web サイトにて改ざんが発生した場合、自社の顧客の PC がウィルスに感染することになります。
　もちろん、お客様がそれぞれ十分なセキュリティ対策をしていれば感染しない場合もありますが、すこしでも対策が漏れたお客様が被害にあわれる可能性があります。

　さらに、改ざんされた場合、自社の Web サイトが、Live Search, Google, Yahoo などの検索から除外される可能性があります。
　検索サービスを提供する各社は、利用者保護のため、改ざんされている Web サイトを検索から除外しているようです。このため、御社のサイトが検索されなくなる可能性があります。

　次に、自社Web サイトへの攻撃の有無の確認、自社の Web アプリケーションの対策状況の確認をされるとともに、ご利用のファイアウォール製品などで本当に防ぐことができるのか、確認されることをお勧めします。

【運用管理者の方々】

　まず、攻撃の状況を確認されることをお勧めします。
　たとえば、IPA から iLogScanner により Web アクセスログから攻撃の状況を確認することができます。
　ただし、iLogScanner で検出されなかったとしても、攻撃がなかったことにはなりません。
　次に、現在の Web アプリケーションの対策状況、データベース内の改ざんの状況の確認をお勧めします。
　あわせて、ご利用のファイアウォール製品などで本当に検出、防御できるのかメーカーに確認されることをお勧めします。
　なお、ASP と VBScript で開発した Web サイトは、エラー処理があまい場合が多く、危険性が高くなります。

【Web アプリケーションを運用される方々】

　市販の Web アプリケーションを利用されている方々、オープンソースやフリーのものも含みます。
　こうした Web アプリケーションを自社サーバや、ホスティング上で利用されている方は、開発元、販売元に確認し、適切なバージョンを利用しているかを確認します。

　次に、攻撃の状況を確認されることをお勧めします。

【開発者の方々】

　まず、攻撃の状況を運用管理者に確認されることをお勧めします。
　すでに提供済みの Web サイトについても、保守範囲であれば確認されることをお勧めします。
　次に Web アプリケーションの対策状況の確認をお勧めします。

　次に、利用しているフレームワーク、コントロールなどのライブラリが適切に対応されているか提供元に確認されることをお勧めします。適切な保守が行われていないものは、脆弱性が存在する可能性があります。

【ホスティング利用者の方々】

　まず、攻撃の状況を確認されることをお勧めします。
　たとえば、IPA から iLogScanner により Web アクセスログから攻撃の状況を確認することができます。
　ただし、iLogScanner で検出されなかったとしても、攻撃がなかったことにはなりません。
　攻撃の可能性があった場合は、Web サイトを構築した方と相談されることをお勧めします。
　次に、データベースが改ざんされていないかを確認します。

【開発者で、セキュリティについて自身がない方】

　Web サイトを公開する前に、マイクロソフト, IPA などで提供される対策情報の確認をお勧めします。
　下記のオンライントレーニングもお勧めします。

　「開発者向けセキュリティオンラインセミナー」
　https://www.microsoft.com/japan/msdn/security/seminars/default.aspx

【一般の方】

　まず、今回の攻撃では、問題のある Web サイトを表示しただけで、感染する場合があります。
　さらに、感染したことに、特に気付かない場合があります。
　ふつうに Web を見れる場合もあります。
　このため、通常の PC 利用で、なにかいつもと違うと感じられる場合は、ウィルス対策ソフトで、PC を完全にスキャンするなどの確認や、運用管理者に確認を行うことをお勧めします。

　次に、Windows Update を確実に行い、セキュリティ対策製品の更新を確実に行ってください。
　Firefox, Safari などのブウラザ、Acrobat, Flash, Java ランタイム, Google ツールバー, Yahoo ツールバー, QuickTime などブラウザのアドイン製品もすべて、確実に最新版にしてください。
　最新版にできない場合、感染する可能性があると考えてください。
　攻撃側は、複数のウィルスをまとめて送りこんでくるためです。

　次に、いつも利用している Web サイトや、絶対に安全そうな企業や政府の Web サイトであっても、改ざんされている可能性があることを認識してください。
　もし、Web サイトのおかしな動きを確認した場合は、運用管理者や、Web サイトのサポートに問い合わせることをお勧めします。

以上です。

また、今回の SQL インジェクション関連の情報を確認される方への注意点もまとめておきます。

【SQL インジェクション注意点】

1. Windows, IIS, ASP, ASP.NET, SQL Server そのものの脆弱性が問題ではない

　SQL インジェクションの Web サーバへの攻撃は、SQL Server に脆弱性があるためではありません。
　ASP などで構築した Web アプリケーションそのものに問題があります。

2. Windows, IIS, ASP, ASP.NET, SQL Server のシステムだけが問題ではない

　攻撃は、Linux, Apache, PHP, MySQL などを利用したシステムでも、行われる可能性があります。

3. クエリー引数だけが対象ではない

　攻撃は、http://localhost/test.asp?value=xxxxxx の value= の部分のようにクエリー引数を改ざんして行う場合が、はっきりと Web アクセスログに残りますが、これだけではありません。
　POST の値、Referer や User-Agent などHTTP ヘッダーの値、Cookies の値など、すべてが対象となります。

4.ファイルは改ざんされていない

　Web サーバ上のファイルは改ざんされない場合があります。
　攻撃によって、データベース上のテーブルのレコードの一部に文字列が埋め込まれる場合があります。
　この場合、ファイルは一切変更されません。
　このため、既存のファイル改ざんを検知するソフトウェアでは、検知できません。

5.攻撃の状況は変化している

　攻撃は、数年前から行われてきましたが、2007年末から一気に多くなり、どんどん攻撃対象が拡大しているようです。

6.改ざんされていなくても、漏えいしている可能性がある

　改ざんが成功していない場合も、データベースの情報の漏えいが発生している可能性があります。

7.改ざんされたサイトの総数はわからない

　検索サイトでは、改ざんされた Web サイトを検索から除外しているようです。
　このため、実際に改ざんされた Web サイト数は、専門の調査会社でないとわからないようです。

以上です。

ご注意いただければと思います。

マイクロソフトランゲージポータル: 製品用語を検索できるサイト

マイクロソフトの製品で使われている用語を検索できるサイトが公開されました。

マイクロソフトランゲージポータル

おもに次の機能があります。

特に、「製品用語検索」は、英語での用語を日本語にどう置き換えればいいかを確認することができます。
英語の掲示板を活用する時や、英語の製品の日本語リソースを作成する時、などに活用できます。

今後、日本語から英語を検索する機能も提供が予定されている ? かも。

2008 MVP Global Summit では、この部門の担当の方とお話する機会もあり、いくつか要望を上げさせていただきました。

2008 MVP Global Summit から帰ってきて...

先週、シアトルで開催された MVP Global Summit に参加しました。
毎年、世界中から、マイクロソフト MVP があつまり、製品、技術、コミュニティ活動について、熱い議論を重ねます。

今年も、世界にいる 4,000 名のうち、1,700 名が集まりました。
日本からは、80名弱が参加。
セッション数は、500 を超え、朝 9:00 から、夕方の懇親会、さらにはホテルに戻って明け方近くまで。

元気をもらう

毎回参加しておもうのは、「とっても元気をもらえる」こと。
ヨーロッパ、カナダなど、世界の技術者との会話。
マイクロソフトの製品担当者、開発者、セールス、マーケの方々との会話。
そして、日本からこられている MVP の方々との会話。
いずれも面白く、ふと気付くと 3:00am を回っていたり。

この体験をぜひ、PASSJ のみなさんと共有していければと思います。

※セッションの内容は、機密保持契約 (NDA) で縛られてますので、
　個別に担当者に連絡をとり、コミュニティにフィードバックする許可を得て、公開させていただきます。

参考: Microsoft MVP (Most Valuable Professional)

Sara さんの"Visual Studio ワンポイント"

マイクロソフトの Sara さんが、毎日 Visual Studio のワンポイントをブログにまとめています。

日本語: Visual Studio ワンポイント
英語: Sara Ford's Weblog

著者の Sara さんとは、先週シアトルで行われた 2008 MVP Global Summit でお会いしました。
とっても笑顔のすてきな Sara さんが、2007年7月から毎日ひとつ、TIPS を紹介されています。
開発裏話もたのしいですね。

英語版は、今日の時点で 198。
日本語版は、今年の4月から翻訳が始まっています。

Windows Vista 用のサイドバーガジェットもありますので、よろしければどうぞ。

英語: Visual Studio 2008 Tips of the Day

※日本語版も、もうすぐ提供がはじまるのではないかと思います。

そそ、Sara さんは、空手をライフワークにされているそうです。 (Tags: Karate)

予定: DPM, Windows バックアップ, VSS 対応バックアップ製品の評価

今回のアフタースクールでは、SQL Server のバックアップ、復旧以外についてもご紹介させていただきました。
多様な障害と、復旧要件に対して、多くのソリューションが提供されています。

そこで、こうしたソリューションを SQL Server 復旧という視点から評価を進めていく予定です。

対象製品:

Windows Vista 「バックアップと復元センター」
Windows Server 2008 「Windows バックアップ」
Micrsosoft System Center Data Protection Manager
Symantec Backup Exec
TrueImage
Windows Strage Server
各種 SAN, iSCSI ソリューション

ご関心がある方がいらっしゃいましたら、ぜひ相談させていただければと思います。

マイクロソフトのフィードバックセンター活用: 日本語で要望、バグ報告できます

マイクロソフトの製品について、日本語で開発担当者へ要望やバグ報告ができるようになったことをご存知でしょうか。

Visual Studio & .NET Framework
プロダクトフィードバックセンター

マイクロソフトのシアトル本社など、直接製品開発に携わっているチームに、要望やバグを伝えることができます。
それも、日本語で。
日本人技術者の気持ちをわかる、翻訳担当者が、日本語と英語をつなぎます。

現在、Visual Studio と .NET Framework のみのサービスとなっています。
今後、SQL Server もサービスされるよう、要望していきたいですね。

なお、ご利用にあたっては、FAQ などをご一読ください。
サポートセンターではないので、ご注意。

投稿するときのポイントは、「あなたにとっての痛さ」。
要望の場合は、そうなっていないことで、どれだけ苦労が発生しているのか。
バグの場合は、そのバグによって、どれだけ問題が発生しているのか。
ぜひ、現場の気持ちを伝えていただければと思います。

〆切 2008/4/4(金) : マイクロソフト「あなたの欲しい技術情報」アンケート

マイクロソフトでは、技術者の方々への支援策として、技術情報の大幅な拡充を計画されています。

「あなたの欲しい技術情報」
締切: 2008/4/4(金)

この機会に、ぜひ投票を !
もちろん Q2 の「データアクセス」に, 1票を。

フリーコメントにもしっかり書き込むことをお勧めします。

【参考】

プレスリリース 2008/3/5
ITエンジニア向けの技術支援活動を「Power to the PRO Next」を通じて強化

【ITPro エバンジェリストの方々からメッセージ】

長坂さん「あなたにとって必要な技術情報を教えてください」
田辺さん「技術情報の整備拡充に関するアンケートにご協力お願いします」
高添さん「How-to 系コンテンツの提供形式について、あなたにとって最も利用しやすい形式はどれですか？」
奥主さん「【Power】あなたにとって必要なMS技術情報は？」
安納さん「マイクロソフトは【日本語】による情報提供について真剣に考えています」

アフタースクール「データベース復旧講座」参加のお礼

先週末、PASSJ アフタースクールへ多くの方にご参加いただくことができました。
年度末の大変お忙しい中、ありがとうございます。

PASSJ アフタースクール「データベース復旧講座」
2008/3/29(土)

今回のセッションでは、復旧の現場に必要とおもわれる情報をご提供させていただきました。
より多くの現場に対応できるよう、調査していきたいと思います。
ご意見、コメントがありましたら、ぜひ、お寄せいただければと思います。

今回、それぞれの障害分類について、体験された方々に挙手いただき、意見をいただくことができました。

　【挙手いただいた項目例】

ハードディスク破損を体験された方
ハードディスクが続けて破損することを体験された方
RAID コントローラ故障を体験された方
サーバーのメモリエラーを体験された方

メモリエラーを体験された方が、半数近くいらっしゃったのは、驚きとともに、認識を新たにしました。
メモリエラーは、パリティ付き ECC メモリが絶対必要ですね。
クライアントPC への ECC メモリ導入も検討していきたいと思います。

RAID コントローラ障害も、多かったですね。
RAID コントローラ障害は、ハードディスク全体の破損を意味します。
ベアメタルリステムリカバリも含めて、対策をしっかり考えておく必要があります。

RAID を組んだ状態で、ハードディスクが連続して故障した方も、多数いらっしゃいました。
故障した後、ハードディスクを購入しにいっている間に、もう一台故障してしまった方も。

どの方の SQL Server も、何かあったらすぐに復旧できなければならないものばかり。
より多くの現場で、安心できるように情報提供していければと思います。

シマンテック動画: 「難問解決の達人」

PASSJアフタースクールで紹介させていただいた動画です。

難問解決の達人 (シマンテック, サウンドあり)

データベースのバックアップと復旧に取り組んでいる方には、共感するところがあると思います。
なお、決して復旧の最中に見ないように。

select ステートメントの監査を Audit Schema Object Access Event イベントで。

先週末開催の PASSJ アフタースクールイベントのあと、ご質問いただきました。

質問: Audit Schema Object Access Event で select ステートメントの実施を監査できるか ?

はい、正しくイベントが得られることを確認しました。

　【確認した SQL Server バージョン情報】

SQL Server 2005 (9.0.3215)
SQL Server 2008 (10.0.1300) 2008 Feb CTP

もし、うまく拾えない場合、次の点を試してみていただければと思います。

　【確認する点】

「列フィルタ」を指定しない。 (ただし ApplicationName にデフォルトで設定されているものを除く)
"Errors and Warnings" イベントグループをすべて選択してみる。
"Security Audit" イベントグループをすべて選択してみる。

なお、再検証していて、監査という面で SQL Server の機能が扱いにくいように思われました。

河端善博 ブログ / SQL Server / PASSJ

Hyper-V リリースを試してみました

(速報) マイクロソフトが、SQL インジェクションについてアドバイザリ公開

Safari 3.1.2 for Windows リリース

(続) Apple社のブラウザ Safari について、マイクロソフトからセキュリティアドバイザリ

注意(続): Webサイトのアクセスに注意 (SQL インジェクション被害の拡大)

不正なファイルを読み取り専用で開くと、攻撃を回避できるか ?

Secunia PSI: 自分の PC の更新漏れを確認するツール (英語)

Apple社のブラウザ Safari について、マイクロソフトからセキュリティアドバイザリ

注意: Webサイトのアクセスは要注意 (SQL インジェクション被害の拡大)

注意: Apple のブラウザ Safari を利用の方, ファイルを確認なしにダウンロードする問題

SQL Server ワイルドカードを使った DoS 攻撃

2008/5/31(土) 新宿: データベースセキュリティ講座

店頭で, アーク情報システム 「HD革命 DISK Mirror ver.2」 の説明をお聞きして...

Jeff Jones さんによる SQL Server 脆弱性状況の確認

マイクロソフト セキュリティ アドバイザリ (951306) : Windows の脆弱性により、特権の昇格が行われる

注意: SQL インジェクション攻撃

マイクロソフト ランゲージ ポータル: 製品用語を検索できるサイト

2008 MVP Global Summit から帰ってきて...

Sara さんの"Visual Studio ワンポイント"

予定: DPM, Windows バックアップ, VSS 対応バックアップ製品の評価

マイクロソフトのフィードバックセンター活用: 日本語で要望、バグ報告できます

〆切 2008/4/4(金) : マイクロソフト「あなたの欲しい技術情報」アンケート

アフタースクール「データベース復旧講座」参加のお礼

シマンテック 動画: 「難問解決の達人」

select ステートメントの監査を Audit Schema Object Access Event イベントで。

河端善博ブログ / SQL Server / PASSJ

2008/5/31(土) 新宿:　データベースセキュリティ講座

店頭で, アーク情報システム「HD革命 DISK Mirror ver.2」の説明をお聞きして...

マイクロソフトセキュリティアドバイザリ (951306) : Windows の脆弱性により、特権の昇格が行われる

マイクロソフトランゲージポータル: 製品用語を検索できるサイト

シマンテック動画: 「難問解決の達人」