UnderForge of Lack

最近立て続けにアップデートが続いているVMwareですが、更に脆弱性が報告されました。
VMware exploits - just how bad is it ?

「ゲスト OS から、ホスト OS 上で任意のコードを実行できる」という仮想環境の根幹を揺るがしかねない問題が指摘された VMwareですが、実際にゲストのWindowsXPからホストのWindows Vistaの Calc（計算機）が実行される様子の映像が Flash Movieで公開されています。

この映像は出所不鮮明なので、完全に信用がおけるかどうかは「？」ですが、そうした脆弱性の懸念が公表されたことを踏まえて何らかの対処に迫られることになるでしょう。


VMwareの脆弱性問題、仮想化のリスクが本格的に
仮想化はシステムを物理的に切り離す代替として、WindowsだけでなくUNIXなどでも使われることがあり、今回のような脆弱性が悪用されれば重大な問題になりかねないとSANSは解説。今回の動画は、別々のシステムを使うよりも仮想化の方が危険が高いことを実証するものと言えるかもしれず、仮想化のメリットをリスクに照らして考えるきっかけになると指摘する。

CVE:
CVE-2009-1244
Unspecified vulnerability in the virtual machine display function in VMware Workstation 6.5.1 and earlier

関連:最初のアップデート情報
VMSA-2009-0004 ESX Service Console updates for openssl, bind, and vim

関連:２番目のアップデート情報
VMSA-2009-0005 VMware Hosted products, VI Client and patches for ESX and ESXi resolve multiple security issues

注意：自己責任で閲覧ください
ホストOSのタスク実行の様子

少なくとも、これまで私の周辺で感染した例を聞いたことがない「こんふぃっかぁ™」ですが・・・ニュースのネタとしては尽きることがないようでして・・

The DOWNAD/Conficker "Jigsaw Puzzle"
私的レジュメ

すこし前に、ConfickerA(WORM_DOWNAD.A)とConfickerB(WORM_DOWNAD.AD)が世に出て、世界中に蔓延しました。
三月になって新型の亜種 ConfickerC(Microsoft-Conficker.D, WORM_DOWNAD.KK)が登場し、これには4/1になると何らかの悪事を働くのではないか？と思わせるコードが内臓されていたため、世界中で（お祭り的に）注目されましたが結局のところ不発に終わり、みんなホッと（内心落胆）しました。

ところが、何もおきなかった４月も第二週に入ったころ、こっそりとConfickerが活動を開始(WORM_DOWNAD.E)、P2Pネットワークを介してペイロードを発注していることがわかりました。この件によって「こんふぃっかぁ・うぉっちゃーず」は俄に活気付き、さまざまな解析と憶測が流れ始めました。

Confickerとは違う系列のBotnetである Waledacと、嘘っぱちセキュリティソフトの代名詞の一つである FakeAV が、ほぼ時を同じくして活動が活発になり、ほぼ同時に同じPC内に同じような名前で感染ファイルをドロップされた事件が公表されて、ウィルス・マフィアの繋がりが報道されるようになりました。

この新種Conficker と、バイアグラを大量に売りたい Waledac, そして感染したことを逆手に取った偽セキュリティソフト群を率いる FakeAV の３種混合の攻撃はなかなか手ごわそうですので注意が必要です


ここまで書いててダレました（苦笑）

結局何をやらかすのか？ってまだ解析が完了してないんですよね～

P2Pネットワークから投下されるアップデート・コンポネントの内容と遮断方法くらい教えてほしいな？と思ったのですが、まだ内緒のようです。

いつでも、どこでもを主眼に発展してきたノート型モバイルPCですが、今その存在が利便性と安全性の狭間で問題になっているのは周知の事実です。

しかし、危険性ばかりを喧伝するあまり、ノート型PCそのものが業務で使用できない事態に陥っており、本末転倒ともいえる状況になりつつあります。

日経ITProの連載コラム
ノートPCの持ち出し禁止問題を再考する

セキュリティ対策で情報漏洩の危険度を0にできる保証はないが、現在の行き過ぎたノートPCの利用制限は報道機関が原因だと感じる。紛失時の暗号化などのセキュリティを施していても、個人情報漏洩の可能性があるかぎり、一定の発表をせねばならず、かつその対応に追われる。そのコストや信用低下を招くリスクを許容できるような世論でもないと思う。

結局のとこ、このへんなんですよね。

医療過誤あたりもそうですが、１００％ミスを起こさない保障なんて絶対にできないわけで、そうした事故（あるいはインシデントと呼ぶべきか？）が発生した際に、事態を的確に切り分け、情報漏洩が本当に発生したのか？　その原因究明と対策、再発防止策の再検討が重要だと思っています。

そうした対応策をとらない、あるいは発表しないところは、将来にわたる不安感を抱かれてもショウガナイですが、今の風潮だと「発表すると終わり」という部分が多く、セキュリティが足かせになっている印象を強く受けます。

-----------------
ノートPCが盗まれた場合、遠隔操作でHDDを消す
PCリモートデータ削除サービス
データ通信カードを利用したPCや通信機能搭載PCの盗難・紛失時に、PC内データを管理者PCから遠隔で削除することができるサービスです。ご利用中のPCに専用ソフトウェアをインストールするだけで、手軽に情報漏えい対策を導入することができます。

たとえば、こんな機能を入れていたとしても
盗難されてから、発覚するまでの時間でデータが吸い出された可能性を否定できない
なんていわれそうだ（笑）

-----------------
ノートPCをシンクライアント化することで、端末側には何も残さない・・・・

VT-100ですかそうですか・・

シンクライアントにして、データをノートPC側に持たないというのは非常に説得力のある方法ではありますが、ここまで DNS汚染やら、SSL-CAの偽造やらという話をしてきたウチ的に、素直にハイソウデスカと言えないのが苦しいところ（笑）

個人情報(PII)を携帯端末などで送受信することにすら抵抗があるのに、暗号化されているとはいえ、常にデータのやり取りを無線で行うことに疑問を感じてしまうのは私だけでしょうか？

-----------------
結局のところ・・・

私もあまり深く考えてないので、この問題に関してはペンディングにします（マテ）

個人情報という存在そのものに関して、定義から考え直すべき時期にきていると思うんですけどね（たとえば、携帯に入ってる電話帳情報だって立派な個人情報ですが、盗まれたら記者会見開いて頭さげるんでしょうか？・笑）

自分としては、社内が相互に疑ってかかるような「セキュリティ」は願い下げですね。

Prepare for Automatic Update distribution of IE8
In January we blogged about our plan to distribute IE8 via Automatic Update/Windows Update (for simplicity, we'll refer to this as Automatic Update for the rest of this blog post). This post provides some additional information about how users and administrators are in control of browser upgrades.

Last week, we released IE8 via Automatic Update to users still running pre-release versions of IE8 (Beta 2 or Release Candidate 1). The goal was to make sure users who chose to install IE8 have the latest up-to-date version.

Starting on or about the third week of April, users still running IE6 or IE7 on Windows XP, Windows Vista, Windows Server 2003, or Windows Server 2008 will get will get a notification through Automatic Update about IE8. This rollout will start with a narrow audience and expand over time to the entire user base. On Windows XP and Server 2003, the update will be High-Priority. On Windows Vista and Server 2008 it will be Important.

IE7にしているユーザ、もしくはVistぁんユーザは IE8へのアップデート進捗がゆっくりと進行しています。（ウチの訪問者 UA を見てもわかりますが）

しかし、IE6は一向に減りません（笑）

ちなみにウチのサイトの今週の状況をみると・・・

IE 8の自動配布、日本ではまだ未定

Internet Explorer 8 の自動更新による配布について 2009-01

Internet Explorer デベロッパー センター

Differences between IE8 Compatibility View and IE7

TwitterがXSSワームの複数の亜種に攻撃される
4月第2週の週末と、それに続く月曜日の早い時間、StalkDaily.com XSSワームから派生した少なくとも4つの亜種が、人気のマイクロブログサイトTwitterを襲った。これらのワームは、同サイトのクロスサイトスクリプティングのセキュリティホールを悪用することによって自動的にアカウントをハイジャックし、そのアカウントの所有者に成り代わってtweetを投稿することにより、ワーム作者のウェブサイトをへのリンクを広めた。

このワームの作者である17歳のMikey Mooney氏は、退屈だったのでこのワームを作ったと述べており（同氏の写真もあり、インタビューのポッドキャストもある）、同氏は月曜日に登場した一番最近の亜種は、Twitterがその日早くに対処したと発表したクロスサイトスクリプティングのセキュリティホールが、まだ修正されていないことを証明することを目的としたものだと主張している。

退屈だったのか・・（苦笑）

Interview with the Creator of the StalkDaily Worm -- Daily
NND: Do you realise you could be arrested for this?

MM: Yes, I’m aware. I’m not worried though. I know that it could land me in jail.

After this, Mikey signed off and told us that we are ‘as annoying as f**k’.

うーん（苦笑）
２時間で作ったとか、恐ろしい限りですが・・・