インシデントからの回復
------------------
2010.01.04 Adobe Reader の JavaScript の件を加筆
2010.01.02 書初め
------------------
このセクションは、既にウィルス除去が終了し、所有しているサイトへの初期対策も完了していることを前提としています。
前提に関しては 
インシデント発生: THE FIRST STEP を参照してください。
------------------
1. セキュリティソフトを導入します。
有料版がよければ、たくさんの選択肢がありますので、それから選んでください。
幾つか挙げておきます(順不同)
2008年頃までの「御三家」+1
Symantec
ノートン インターネットセキュリティ 2010
TrendMicro
トレンドマイクロ : ウイルスバスター2010
McAfee
マカフィー・インターネットセキュリティ2010
Kaspersky(最近はMcAfeeと順位が入れ替わっていますね)
Kaspersky Internet Security 2010
ノートン インターネットセキュリティ 2010TrendMicro
トレンドマイクロ : ウイルスバスター2010McAfee
マカフィー・インターネットセキュリティ2010Kaspersky(最近はMcAfeeと順位が入れ替わっていますね)
Kaspersky Internet Security 2010あとはVTのリストを参考にしてください。
VirusTotal について無料版でしたら右のメニューバーに4つほどありますので、お好きなものを選んでください。
私は現在:
Avira AntiVir - Free (VM内の Windows 2KとXPとVista)
Microsoft Security Essential - Free (Windows 7)
を使っていますが、今のところ問題を感じたことがありません。Microsoft Security Essential - Free (Windows 7)
尚、WindowsXPの方は、Firewallに不安がありますので、適切なPFWの導入を推奨します。
PFWに関しては別アーティクルを参照してください。
(無料の)PFWのインストール------------------
2. 物理的ファイアウォールを設置します。
WAN(外側)とLAN(内側)の間に何か機器を設置します。
現在のRouterと呼ばれる機器には殆どがその機能を持っています。
WANとの直結は絶対に避けてください。
------------------
3. アプリケーションを最新版にアップデートし、自動アップデートを確認します。
Microsoft Updateは自動実行にしてください。※これにより Officeのアップデートも含みます。
以下のソフトウェア・コンポネンツを最新版にしてください。
Adobe Reader※必ず Adobe Reader の JavaScriptを無効にしましょう。
※どうしても PDFに埋め込まれたJavaScriptを駆動しなければならない方は、(そんなプロダクトを呪いつつ)専用の環境で実行するようにしましょう。
※代替のPDF readerを使う手もありますが、同じ脆弱性攻撃に対して本当に耐性があるのかどうか確証がもてないため、当方としてはあまりお奨めできません。
Adobe Flash Player以下のコンポネンツが必要なら最新版に、不要なら削除してください。
Sun Java JRE※たくさんのバージョンが消されずに残っていることがあります。
※現在は Oracleに買収されています
Apple QuickTimeApple iTunes※Apple QuickTimeを一度でも導入した環境にはたくさんのコンポネンツが残されることがあります。
Windows XP での iTunes、QuickTime、その他のソフトウェアコンポーネントの削除および再インストール参考:
あれこれ参考2:
二度とインストールしたくないソフト(--; [PC] -- Seiren's_Clamchowder「鳥ひじき混ぜご飯」に黙祷
Adobe Shockwave Player※Flashとは別物です。既にShockwaveの開発は終了しています。
※過去のブラウザ上のゲームなどが使用しています。
以下のアプリケーションが必要なら最新版に、不要なら削除してください。
Apple Safari※iTunesを入れると勝手に入れられます。
Mozilla Firefox
Opera Software OperaAdobe AIR※一部のアプリケーションが AIR のエンジンを使用しています。
RealNetworks RealPlayer Basic※トップページからどこにもリンクがありません。
※勝手にバージョンが上がっていることがあります。
Realメディアファイル (.rmvbなど)を再生する必要のない方には不要です。
Sun Open Office※Java JREを含みます。
WinAMPVersion履歴:
Version History
Skypeリリースノート:
Skype Release Notes
PidginChangeLog:
Pidgin ChangeLog
Adium(MacOS)Lhaca
Lhacaに未パッチの脆弱性、悪用トロイの木馬も出現
一太郎一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
「日本が狙われた」、一太郎狙うウイルスを受けてジャストシステムがパッチ公開その他、インターネット上との通信を行うアプリケーション
------------------
4. インターネット上で使用したことのある全てのパスワードを変更します。
サイトを持っている場合には、そのパスワード
MailのPOP(IMAP)パスワード
ISPのマスターパスワード
私見:強固なパスワードにするには
日本人にしかわからないような語句にします。
外国人にはわからない文字羅列
例)出身地が神奈川の人:kanagawa -> ka7riv
と
プロダクト符丁を組み合わせます
例)Yahoo用:
kaIka7riv
Yahoo = Softbank = CMの犬(Kai君) kaI 末尾I を大文字
強度的にはかなり強いと思います。
パスワード チェッカー
※記号 ! " # $ などは、禁止しているところもありますが手軽に強度が上がります、Unix系ならOKでしょう。
日本人にしかわからないような語句にします。
外国人にはわからない文字羅列
例)出身地が神奈川の人:kanagawa -> ka7riv
と
プロダクト符丁を組み合わせます
例)Yahoo用:
kaIka7riv
Yahoo = Softbank = CMの犬(Kai君) kaI 末尾I を大文字
強度的にはかなり強いと思います。
パスワード チェッカー※記号 ! " # $ などは、禁止しているところもありますが手軽に強度が上がります、Unix系ならOKでしょう。
逆に、このようなパスワードはすぐに破られると思ってください:
Twitterで使ってはいけない370のパスワードリスト:テキストファイル------------------
5. 保有しているサイトの掃除を行います。
Blog等の場合
XML等でバックアップファイルが作成できるなら、一度全ての投稿、固定ページ、コメント等を抜き出します。
FTP使用可能の場合
全てのファイルを一度ローカル側にバックアップします。
その際、FTPS(FTPoverSSL)が使用可能かどうか確認し、FTPSへ移行を強く推奨します。
またSSH使用可能の場合には、SCPのようなSFTPを使用し、必要に応じてSSHのIP制限を掛けてください。
ローカル側にバックアップを取ったファイルから以下の文字列を検索し、自分が意図した投稿なのかどうかチェックします。
iframe
script
base64
unescape
eval
FTPの場合、以下の拡張子のファイルが存在しないかチェックします。もし存在した場合、自分が意図してそれをアップロードしたかどうか確認します。
.js
.pl
.php
.zip
.cab
.exe
.dll
.scr
また、.htaccess ファイルをチェックし自分の意図した設定以外が登録されていないかどうか確認してください。
FTPの場合で、全てのファイルがローカル側に残っている場合、問題が無ければローカルのファイルを書き戻してください。
※その際、必ず元のファイルを全部消してください。
------------------
6. 今後のサイト運用に関して
サイトを運用することは車の運転と似ています。自分が望まなくても加害者になることがあることを認識しましょう。
可能な限り、FTP(平文)での運用を避け、FTPSが使用可能な環境へ移行しましょう。
複数のサイトと連携して、コミュニティ内でもお互いに注意しあいましょう。
インシデントは必ず前兆があります。自分のサイト内、あるいはローカル環境下でおかしなことが起きたら信頼できる人に相談しましょう。
ウィルスやマルウェアの情報に少しだけ耳を傾けておきましょう。
------------------
以後、気が付いたら加筆訂正します。