UnderForge of Lack

そろそろ梅雨明けなのかな
それでは、新しい一週間がんばっていきましょう！

----------

やっちゃいました・・

CA Apologizes for False Positive

False positive detection of Win32/Amalum

CAのアンチウイルスソフト，「Windows XP」のシステムファイルをウイルスと誤判定 一部の顧客からは，Windows Service Pack 3や商用「Cygwin」アプリケーションのファイルが行方不明になったとして，それらが削除されたのではないかとの声が上がった。しかし，CAによると，それらのファイルは隔離されて，拡張子が変更されただけで，ファイル自体には何の変更もないという。
CAは，同社のソフトウェアが「Win32/AMalum.ZZQIA」ファイルをウイルスとして誤検出したことに気付いたのは8日のことだと述べる。同社は顧客に対し，「Signature 6606」をアップデートしてこの問題に対処するよう呼びかけている

CAは企業向けのセキュリティソフトがメインなので、あまり日本ではなじみが薄いですが、USでは知名度があります。

----------

Koobface through Twitter

Twitterでマルウェアがさらに猛威に、感染ユーザーのアカウントを停止
Twitterの告知によれば、同社はこの事態を受けて、不正なつぶやきの投稿に使われている全アカウントを一時的に停止する措置を取った。ユーザーにはメールで通知し、KoobfaceをPCから削除する方法を紹介している。

Koobface malware attack

そういえば、元Appleの"エバンジェリスト"、Guy Kawasaki氏の Twitter アカウントが窃取された話もありましたね

Guy Kawasaki's Twitter account hijacked, pushes Windows and Mac malware

いずれにせよ、短縮URLサービスを信用してはいけません。

TinyUrlに関しては、
Preview a TinyURL
の enable preview を選び、一度 プレビューすることをお奨めします。
ていうか、デフォルトでこっちにしてほしい

----------

ゲームアカウントのパスワード窃取が急増中？

ゲーム系は詳しくないのでよくわかんなかったりしますが・・・・
更に中国語のサイトに飛ばされることが多く、余計に判らなくなります（苦笑）

参考：Ilion様のサイト
インジェクション

fak888.cn
kill52000.com
kaixin8080.com
121.14.218.162 (MAINT-CHINANET-GD)

3b3.org
59.34.197.154 (CHINANET-GD)

7nian8.com
3b3.org
8man7.3322.org
bybyybyb.com
ds355.8866.org
h65uj.8866.org
59.34.197.156 (応答停止)

bbssifu.cn
mmsifu.cn
arplgm.cn
ckt1.cn
ckt3.cn
ckt4.cn
mbr0.cn
wvg0.cn
wvg7.cn
63.216.57.186 (Beyond The Network America, Inc. )HERDON


----------

時間切れ
EoF

７月２日、西のほうの大雨は水不足の解消になったのかな～

----------

Conficker
エフセキュア、2009年第2四半期セキュリティ総括を発表
メディアのConfickerワームに対する関心が薄れた今でも、Confickerワームは感染を広げており、未だに作成者の意図はわかっていません。

「拡げている」かどうかは判りませんが、Autorunを切っていない企業や、未だに Windows/Microsoft Updateを自動化していないユーザが多いことだけは事実です。

参考：
Windows の自動実行機能を無効にする方法

----------

Update: VMware ESX 3.5.0 のサービスコンソール krb5
New VMWare Security Advisory

[Security-announce] VMSA-2009-0008 ESX Service Console update for krb5

VMware Product	Product Version	Running on	Replace with / Apply Patch
VirtualCenter	any	Windows	not affected
hosted(*)	any	any	not affected
ESXi	3.5	ESXi	not affected
ESX	4.0	ESX	affected, patch pending
ESX	3.5	ESX	ESX350-200906407-SG
ESX	3.0.3	ESX	affected, patch pending
ESX	3.0.2	ESX	affected, patch pending
ESX	2.5.5	ESX	affected, patch pending

該当製品を使っている方は、Updateもしくは Patch pending情報の続報を待ちましょう。

最近、VMwareのパッチ多いなぁ

----------

Injection

Torrentreactor Website compromised Date:07.01.2009

英国のTorrentサーチエンジンのWebが、例の8080インジェクションに感染しているようですが
コレ、昔どっかの旅行会社が感染してたのと同じ CVE-2008-2463の、Office Snapshot Viewer ActiveXの脆弱性悪用ですね。

最近アクセスした人はウィルス感染をチェックしてみてください。

誘導元：
90.156.144.78
77.37.19.173
77.37.19.179
77.37.19.205
77.37.20.130
91.203.134.123
200.111.65.244
213.174.136.80
165.132.70.147

ドメイン：
１００以上（汗）

ダウンロードされて実行される EXE:
File rncsys32.exe received on 2009.07.01 05:14:26 (UTC) 2/41 (4.88%)

Connection to 78.109.29.116
GET: /new/controller.php?action=bot

BotNet C&C: 78.109.29.116


そもそも Torrent って何？って人は近寄らないほうがいいですよ～

----------

人の死や不幸にツケ込む輩に鉄槌を

マイケル・ジャクソン死去の話題で感染を図るマルウエア，F-Secureが警告

M・ジャクソンさんの訃報に便乗した波状攻撃、今度はワーム出現
We All Knew It Was Coming: A Michael Jackson Mass Mailing Worm

Michael Jackson has “Gone Too Soon.” Spammers Never Let Go

Michael Jackson Spam Inhibits the Independence Day Spam Spur

もうなんか、Span, Scam, Malware, Warm 果ては 独立記念日とのコラボ・スパムとか・・やりたい放題ですね

そのうち、例の腕組んだ先生とのコラボが見られるのか！？

----------

雪豹

「Snow Leopard」のセキュリティは企業にとって十分か？

MacOS信者には耳の痛い記事になってますが、私的には概ね同意かなぁ・・

これまで余りにも多くの脆弱性を放置して「ゼロデイのMac」とまで呼ばれた汚名を灌ぐのは時間がかかると思いますよ（笑）

----------

パスワード入力の「****」は不要？　研究者の間で激しい論議

こないだの記事
Stop Password Masking -- Jakob Nielsen's Alertbox, June 23, 2009

の反論
To *** or Not to Mask: Usability Versus Security in Password Masking

Why it's a **** idea not to mask passwords -- Graham Cluley’s blog

パスワードマスクをショルダーハックされることよりも、ヒストリーボックスに残っちゃうほうが厄介ですけどね
そうした部分を IF ～ で見えなくしたり消したりする為のコードを書くコストがかかっていることは事実です。

まぁ・・それよりもこんな問題のほうがより危険なわけですが
Client Credentials Caching

----------

うわ・・時間切れです

FireEyeに興味あるポストがあったんですが、脳内翻訳間に合わず・・・

日曜日はまた・・・・雨

----------

ほんとに何て呼べばいいのかわからない :8080 インジェクション攻撃ですが
現在のところ以下のような IP での攻撃が続行中の様子

64.91.254.69	2009.06.25	AS32244
77.37.18.36	2009.06.25	AS44146
77.37.19.43	2009.06.25	AS44146
77.37.19.173	2009.06.26	AS44146
77.37.19.179	2009.06.26	AS44146
84.16.247.12	2009.06.24	AS28753
89.171.115.10	2009.06.23	AS12968
88.191.78.48	2009.06.23	AS12322
90.156.144.78	2009.06.24	AS25532
91.121.146.101	2009.06.24	AS44146

84.16.247.12 は従来とは違う形（偽AV誘導）ですので、少し注意が必要です。
この AS28753 (NETDIRECT) も防弾ホストっぽいですねぇ

ちなみに
77.37.18.36
77.37.19.173
77.37.19.179
77.37.19.43
90.156.144.78
この５つのドメインのラウンドロビン (MDLでは Fast-Fluxと言ってますがどうなのかな？）で存在する ドメインは・・・

この有様

ドメインを Hosts に登録するのもイヤになりそうです。

----------

すっかりお馴染みの LeaseWeb (AS16265)です

95.211.9.25に、michael-jackson-and-brooke-shields.a2h.usとか変なドメインがいっぱい・・・

まぁ・・もう何も言わないことにしましょう（苦笑）

----------

最近、クラウドクラウドと言われてますが・・・


2010年版コンシューマ市場向け “超軽量級(ウルトラライト)”マルウェア対策4製品をリリース（日本語版含む）

コレの販売版ですね。
Panda Cloud Antivirusをリリース: 業界初の無料クラウド型アンチウイルス シンクライアントプロテクション 2009.04.29


私も１００％理解しているわけではありませんが、IDE（ウィルス定義ファイル）を内部に持たずに挙動が変なファイルを検出したらその都度、ネット経由のデータベースに紹介するものです。

誰かが saclifice になると、他のみんなのタメになるという自己犠牲精神バンザイのシステム・・・いう認識ですけど、間違ってるかな？（笑）
こうしたシステムの要は、どれだけの数のユーザがシステムに参加しているか？によって検出率に直結しますので、シェア＝検出率ということにもなりますね。

同様のネット経由の自動検体を行っているのは
ってとこなのかな？

しかしこれ、MD5/SHA-1ハッシュの提出ならいいけど、自動で実ファイルを送られることに懸念をもつ企業も多いでしょうね・・
あと・・名前とFaviconがなぁ・・かわいいんだけど（苦笑


ともあれ、メモリ不足のユーザはお試しあれ～

----------

パスワードのマスキングは廃止すべき

んーん・・
ヒトによるかなぁ・・

特に今後増えていく、高齢のネットユーザはパスワードそのものを嫌う傾向があるのも事実

４桁の数字だけのパスワードにしてほしいって要望は意外と多い・・・
それってパスワードじゃなくて PIN ですがな・・

----------

火曜日です

「複数のArticleをひとつにまとめると、Feedで見難いからバラしてくれ！」という意見を頂きました・・・
ぇ～、「一日に何度もポストすんなYO!」という意見もらったのでまとめてるのに（笑）
他にもそう思ってる方がいらっしゃったら考えます

---------------------
新しいFakeAVが現れた！ として Sophosが警告しています。

UnVirex, Fake AV
When the user clicks on the “Remove Threats” button, the malware provides a window in which the user is prompted to pay for a full version of the rogue software in order to remove the threats.
「脅威を除去」を選んだら、脅威を除去する代わりにこの偽ソフトの"Full-Version"を購入するように促すウィンドウをしつこく表示します。

最近、このテの偽アンチウィルス・アンチマルウェア・アンチスパイウェアのソフトが大量に出回っています。
怪しげなサイトに張ってある（特に Video Codecのインストールを促すようなサイトから誘導されることが多い）妙なセキュソフトを信用しないようにしましょう。

セキュリティソフトはその性質上、システムの低レベルな部分まで噛み込みます。偽セキュリティソフトを入れてしまうことは、単に金銭的なトラブルだけでなく、キーロガー的あるいはパケットスニフ的な動作をしているものも多数存在します。

---------------------
BIND 9.6.1

BIND 9.6 のメンテナンスリリース、BIND 9.6.1 がリリースされました。

BIND9.6 の機能は、New features in BIND 9.6を参照してください。

参考：
BIND 9.6.1がリリース

---------------------
Outlook 利用者を狙ったターゲット型攻撃？

国内確認、Outlook利用者を狙ったソーシャルエンジニアリング攻撃

典型的な Zeus/Zbotのwsnpoem Trojanですね

--
djellow.com
91.206.201.6

PE Sergey Demin 91.206.200.0 - 91.206.201.255 Ukraine
この国旗を見ると即焼いてしまいそうになりますが、現時点では他の犯歴が見当たらないため防弾ホストでは無いようです。

--
dvstep.ru
174.36.221.128

SoftLayer Technologies Inc. 174.36.0.0 - 174.37.255.255 USA Texas Dallas
3FNが逝ったので、現在最も有名な防弾ホストのひとつです（笑）

--
omizerto.com
209.62.7.253

THEPLANET.COM INTERNET SERVICES 209.62.0.0 - 209.62.127.255 USA Texas Houston
ここも、最近めっきり頭角を現してきた防弾ホストです。

IDS管理者としては焼いちゃうことが手っ取り早くて簡単（メンドイ）ですが、やはりユーザも「こういう攻撃が現在行われている」ことを知ることが危険回避の重要な要素となるでしょう。
そも前に Outlookをまだ使ってる　ってのに問題があるような気はする

---------------------

自動更新が始まった“IE 8”はインストールすべきか？

IE7のユーザは間違いなく IE8にすべきです。

が・・・最大の問題は IE6にしかできない WindowsXP SP2以前のユーザがかなりの数存在する点です。

個人的な意見ですが、WinXP, Win2K, Server2003 のユーザは、選択肢として他のブラウザ（Firefox or Opera)にすることを強くお奨めします。
※Chrome, Safari, IE7/IE8 は動きません

---------------------

もう１こ日経から

ネットユーザーの9割以上がID・パスワードを違うサイトで使い回し――野村総研調査

まぁ・・普通はそうなりますよね・・

パスワードの水平漏洩が大きな問題になっているわけですが、なかなかコレといった対策が無いのが現状です。

Open ID?

---------------------

PDFウイルスがアダルトサイトでまん延、アップデート呼びかけ

今に始まったことじゃないような気もしますが・・・

この記事をみると、当該サイト「が」ウィルスを撒き散らしているように見えますが、単に Gumblar系に感染して放置されているサイトも多数存在します。

いずれにせよ、最新バージョンへのアップデートを怠らないことが重要です。

---------------------

puppetさんのとこで知りましたが

覚書
の
日本語組版処理の要件 (W3C Japanese Text Layout) 公開

うげ・・
これのサポートはイヤだ（笑）

多言語対応とかをやってるクセに自国語のことには疎いことに気がつきました（苦笑）

---------------------

ついでにもうひとつ

JavaScriptなしでブラウザの閲覧履歴を盗む ―

いわいる、ターゲッティング広告の指標ですね。最近はけっこう 一部のJavaScriptをブロックしている人が多いので CSSに埋め込んでしまうというもの
ユーザの同意なしにクッキーを多角的に使用される「第三者クッキー」よりもタチが悪いかもしれません。

コノヘン辺りに、具体的な話が載ってます。
I know where you've been

---------------------

「中国始まったな」　中国人がフィルタリングソフトを萌え擬人化

始まってNEEEEEEE!

---------------------

EoF

F-secureさん、こんなタイトルつけたら、またどっかから突っ込まれますよ？（笑）

Put Your Passwords on a Post-it


中身は、FaceBookのフィッシングが何故絶えないのか？という話と、各SNS（とか、いろいろなもの）毎に違うパスワードを設定するガイドラインのようなものです。

FaceBookの件でも述べられているように、最近は MailアドレスがIDのものが非常に多いため、１回パスワードが漏洩してしまうと水平的に色々なトコに波及してしまいます。


ユニークなパスワードに関しては色々あるでしょうが、一部だけメモしておき自分自身の３文字(PIN)を決めて末尾に付与するというのは悪くないアイディアです。

あとは、他国人には理解不能な文字の置き換えとかを混ぜるのがいいでしょう。

Microsoft謹製：パスワード強度チェッカ
パスワード チェッカー


Oh, one last piece of advice.

Don't put the Post-it on your monitor! And not on the underside of your keyboard either… everyone's familiar with that location too.

（笑）

ギャンブラーはちょっと置いときまして・・・

Password != secure
Twitterのクラッキングに使用された Admin用 I/F IDのパスワードをどうやって入手したか？という話・・・

「アドミンの一人は Yahooのアカウントを持っていました。私はシークレットクエスチョン（注釈：パスワードを忘れた際の予備質問）を使用してパスワードの変更を行いました。そしたら、パスワードがメールボックスに入っていました。」

ソーシャルエンジニアリングと正確な予測は、いつもセキュリティへの悪手と成り得ます。Twitterへの侵入は、残念ながらそれを証明する結果となりました。ハッキングは必要ないのです。あなた方の大部分はそのことをご存知でしょうから、これいじょう言う必要なないでしょうが・・・

娘の名前を入れてるヒト、前に出なさい（苦笑）

SSHパスワードへの攻撃（ブルートフォースアタック）が頻発しているようです。

Guess what? SSH again!
While I'm aware that ISC readers probably don't have to be told, let's nevertheless try again to get the word out: If you are running any SSH server open to the Internet, and your usernames and passwords aren't at least 8 characters or so, your box is either owned by now, or about to be. It doesn't matter one bit what sort of device it is - those who run these scans have proven to be equally apt at taking over a Cisco router as they are at subverting an iMac.

• Filter (by IP) who can get to your SSH. Firewalls rule! Who can't get to your SSH can't brute-force your SSH.
  
• Reconfigure your SSH to only use password protected SSH keys and not permit plain passwords anymore
  
• Use hard to guess usernames. Yes, usernames.
  
• Move your SSH off port 22 to some obscure corner of the port space
  
• Scan your own network to find out where you have SSH running before others do. You might be surprised ...
  
• Use "fail2ban", though this doesn't help a lot anymore against the distributed scans we see lately
  
• Educate your users to use good passwords. Yes, even those users who have proven to be immune to enlightment.
  
• Watch your logs. It's a great way to learn. And knowing what the "daily noise" looks like is imperative to spot "oddities"

Update: http://wiki.centos.org/HowTos/Network/SecuringSSH contains a decent list of tips on how to secure sshd.

Firewallの段階でIP制限を掛けるのが最強ですね（笑）
そのあと、TCP Wrapperを掛け～の、Password強度を上げ～の、システムログを見ぃ～のという対策を講じます。

-------------------
はい・・どこですか？ rootのログインを平文Passwordで許可してるのは？（苦笑）

最近のあなたのセキュリティの問題の種は何ですか？
今月は政府が指針した「情報セキュリティ月間」でした。（テーマソング１, テーマソング２）

それについては/.jでもいくつか記事になりました（記事１、記事２）が、友人や知人、職場の方々のセキュリティ意識は向上しましたか。

キーボードのセキュリティも守りたいものですが、あなたが最近気をつけているセキュリティの種や問題点は何でしょうか。またその対策として、どのようなことをしていますか。あくまで公表できる範囲でいいので教えてください。

-----------------------------
セキュリティの懸念材料ねぇ・・

うーん・・
コメントにも出てますが

パスワードでしょうね・・・・

とにかくパスワードを使いまわす人が多いんですが（自分も含めて・笑）
漏洩の危険が出た場合にどんな対策をとればいいのか？というのがイマイチなんですよね

私はむしろ、
全てのパスワードをランダムパスワード生成でも使って
（例えば、パスワード・ジェネレータ)
cookieに覚えさせて、本人はもう忘れてしまう（爆笑）
というのも一つのテではないか？とか思ってしまったりします。

cookieのハイジャックによるパスワード漏洩？
そんなもんを心配してる人は、全てのパスワードをユニークにしてちゃんと管理できてる人が言えるセリフですよ？（笑）
(except me)

-----------------------------
まぁ・・セキュリティホール云々の問題は、現在は３種に大きく枝分かれしてると思うんですよね。

Ａ：悪意を持って外部からハッキングを掛けてくる「見ず知らずの犯罪者」
Ｂ：悪意を持って窃盗を行い内部漏洩（売却）を行う「身内犯罪者」
Ｃ：善意で「仕事してるつもり」でポカをやらかしてしまう「流出者」

Ａって・・よほどのことがない限り、「致命的なデータ漏洩」なんか起こしようがないと思いますよ？
公開Webサーバに個人情報を大量に溜め込んでいる「一般企業」とかあるんですかね？
逆にいえば、管理できる自信がないなら安易に個人情報を集めないことが重要です。

Ｂに関しては、「考えるだけ不毛」だと思います。
疑うなら「社長」及び「経営者の縁故者」が全てのセキュ権限を握って、他人を一切信用しない独裁体制を敷くしかないわけで、議論するだけアホらしい。しかし・・最近のメディアの論調はどんどんコウなってる気がしますがね？

問題はＣなんですよ・・・
セキュリティが何を意味するのか？という教育を受けていない人にとって、セキュ＝仕事の邪魔と思ってる人も多いんですよネ。ＵＳＢ問題なんかにしても、「会社からデータを持ち出せなくて困るんですよね～」・・みたいなグチをこぼす人がいる始末。自分だけは流出しないとタカを括っているのかどうかは判りませんが、万一にでも、盗難にあってそのデータがネット経由で流出したらどうするの？という、想像力の欠如は恐ろしいものがあります。

でもね・・このへんはもう
「言ってもわからない」
レベルなんですよね

かといって、万一の事態が発生したら会社もろとも吹き飛んでしまう可能性もあるので、日頃から漏洩の恐怖を語り聞かせて「三つ子の魂百まで」の状況にしなければダメなのかな？とか思ってしまいます（苦笑）

-----------------------------
あー妙な方向に逝ってしまった・・・

コレでも聞いて気を紛らわせてくださいませ

悪魔の唄（耳に残ってもシラナイヨ？）

※職場の人、公共の場所にいる人、音量に注意してください※

※不用意にクリックすると激しく後悔する危険があります（笑）※

Copyrightc 1995-2009, Tokyo Broadcasting System, Inc. All Rights Reserved.


まぎれねーよ！！
-----------------------------

Confickerのとこでパスワードの話が出ましたが、
「じゃぁ実際にはどんなパスワードを使えばいいのよ！？」
とお怒りの方がいらっしゃるので・・・（怖い怖い）
あくまでも例ですけどね！

---------------------------
まずはですね
自分の特定の数字を決めます
なんでもいいんですけど、 "82" とか "435" とか "4649"（どこの族だ！）とかね

この数字を挟む形で、２ワードを設定します。
このとき、あまり日常的ではないワードを選ぶのもポイントですね
人名（お子さんの名前）とか、LOVE をわざと ROVE にしてるひととか居ますね（ねー・笑）
※たまに、通常文章でも I ROVE とか書いたりするわけですが・・・

某さんが昔使ってた（今は使ってない） hehe lol あたりのワードでいうと
"hehe82lol"

これだけでもかなりの強度がありますが
更に強度を上げるために、特定の場所でない部分に大文字を混ぜます
"hehe82lOl"

--------------------------
強度を調べるには、こういうとこを参考にしてください。

※注意：SSL通信(https)と鍵を確認してください。Microsoft のページに飛ばします。
パスワード チェッカー

--------------------------
パスワードで重要なのは、そのID/Passwordを使ってアクセスするサイト、機関等が何を扱っているか？ということをきちんと認識することです。

例えばここで触れたYahooのID/Passwordを入手できれば、
ヤフオクでID乗っ取り5000件　ヤフー、不正出品の被害補償へ 2008.09.26
のような金銭的被害が発生する可能性があります。

--------------------------
しかし、こうして強度を高めたパスワードも、同一のものを使いまわしては意味がありません。

上記のYahooの例ですが
そのIPアドレスからヤフオクに対し、約150万件の文字列を使って数秒に1回の頻度でログインが試みられており、そのうち約4.3％（約6万 5000）の文字列がYahoo！のIDと合致していた。パスワードは「1～2回のトライで合致していたものが多く、ログイン可能な確率は高かった」（同社広報部）という。

150万の文字列の9割以上がYahoo！IDと合致せず、「-」「.」などYahoo！IDで利用できない記号が含まれたIDもあったため、同社からIDやパスワードがもれた可能性はないとしている。同社は「他社サービスのIDリストがもれ、他社サービスと同じIDやパスワードを利用しているユーザーが被害にあったのではないか」と推測している。

こうして、１個所で漏れたパスワードを別のログインにトライされ、ありとあらゆる場面で使用される危険性があります。
漏れたパスワードを分解して、ヒューリスティックに再構築する機能をもったクラッキングツールもあります。

--------------------------
特に注意しなければならないのは、フリーメールやISPメールのパスワードを同一にしないことです。

冗談のような最悪な例：

とあるネットゲームの ID / PASSWORD
Netoge81@gmailx.com / pAsswordcHan
※これをMalwareによってフィッシングされる

このフリーメールアドレスの Password : pAsswordcHan
※この時点で、フリーメールが暴かれ、中身を見られる　オワタ＼(＾o＾)／

あとはもうやりほうだいですね
フリーメールに、各種登録の報告メールを残している人は多いでしょうから

Paypal, eBay, Yahoo など、金銭に直結したアカウントから不正使用されます。

パスワード管理は大丈夫？意外にやってしまうWEBメールパスワード漏洩の危険性
様々なサイトからパスワード入力を求められます。
パスワード管理は大変ですが、しっかりと地道に分けて使うのが最も安全です。
それが大変だと言う場合は最低以下の４つだけでも分離して考えましょう。
１）銀行などの暗証番号
２）クレジットカードの暗証番号
３）WEBメールパスワード
４）常時ログインする事が多いサイト（フィッシングの危険回避）

--------------------------
結局のところ、最終的に自分を守れるのは自分しかいません。

定期的なパスワード変更
全てのサイトでのパスワードを違うものにする

よく言われる話ではありますが、実際やるのは難しいですよね。

ですので、こうしてパスワードの話が話題に登った際に、
気が向いたらパスワード変更してみる～
とかそんな程度から始めることをお奨めします。

実際にパスワードクラックを喰らった人も、（喉元過ぎれば）結局また同じパスワードを使いまわしている人もいることですしネ！(苦笑）

参考情報：
優れたパスワードの選定と記憶法 2006.08.01

安全なパスワードの保管方法は？ 2007.03.15

The Top 500 Worst Passwords of All Time - 2008.11.30
※ここにあるようなパスワードを使ってはいけません。

「同じID・同じパスワード」を使い回すと危険 2008.11.25
過去に登録した無料サービスのことまで覚えていない人が大多数だろう。それらから情報が漏れる危険性は永久に残る。したがって、いま使っているネットサービスすべてのパスワードを変えておく必要がある。

面倒くさい？　そう考える人は、安易にネットサービスにID/パスワードを登録する癖をやめるべきなのだ。今後は、ID/パスワードを登録することも「面倒くさい」と考えるようにして、登録の段階で踏みとどまるのも賢明な考え方である。
（笑）

Microsoftが２５万ドルの懸賞金をかけたConficker/Downadup ですが、事態が益々悪化しています。

ここを見てる個人の方は（セキュリティ意識が高い方でしょうから）あまり関係ないかもしれませんが、企業などのDMZ の内側のイントラネットで猛威を振るっています。

どういうことかと言いますと、イントラネット内部にはInternetと切り離されて「Windows UPDATEすら行ったことの無い」PCが大量に存在します。そこにUSB経由で感染して蔓延するという、まさにトロイの木馬的な感染っぷりです。

どうもコイツは、過去に駆除されたPCに無理やり侵入するロジックをもっているようでして、「感染してないけど、撒き散らす」という半ゾンビ化した「スキャッター」の存在も確認されているようです。
それを感染状態って言うって説もありますが（笑）

当初はロシア製（ウクライナ）のウィルスだと思われていたのですがその理由が・・・
Conficker(Downadup)ワームに関するまとめ
まず 1 番目は Worm:Win32/Conficker.A (英語情報) で、2008 年 11 月 21 日に報告され、MS08-067 のセキュリティ更新プログラムにより解決された脆弱性を悪用することによってのみ蔓延します。この変種はウクライナ語版のキーボードの配列を使用するコンピューターは感染しないため、マルウェアの開発者はウクライナに本拠地を置くのではないかと疑われていました。
そんな理由で判断してたのか・・・・

現在はこの変種にあたる
Conficker.B
が出現しています。

------------------------
感染から蔓延へのプロセス

コレは感染すると・・・
・自己を.DLLと偽装して本体を再コピーします。
・レジストリを改造して、再起動の度に「コピー」を起動します
・起動後、自己のプロセス名を偽のサービスとしてロードします
・サービス名をランダムに生成します
のような動作をおこなって、自己隠蔽します。

更に感染拡大の為に・・
・脆弱な ADMIN$ の共有パスワードを使用して共有ネットワーク内のPCに、普遍的なパスワードを使用してログインを試みます。
・ログオンに成功すると、アクセス可能な admin の共有にADMIN$\System32\.dll としてそれ自身をコピーします。
・コピーされたワームはリモートでジョブ スケジュールを作成して、コピーを有効化します。
・ ファイル名を使用して、すべてのマップされたドライブにそれ自身をコピーします。
・マップされた有効なドライブに'RECYCLER'というフォルダを作成します（消されていないゴミ箱の中身）。
・RYCYCLERにワーム本体をコピーし、 autorun.inf で次回起動時に自動実行します。
これで、DMZ の内側にあるＰＣ群が陥落してしまう可能性が非常に高いです。

更に・・
・MS08-067が未適用のPCは、1024 から 10000 の間のランダム ポートを開き、HTTP プロトコルを介してホストコンピューターからワームのコピーをダウンロードします。
※この際、更に違う亜種をダウンロードされる可能性が高いです。

・システムを変更し、隠しファイルを見えなくします。
値の追加: "CheckedValue"
データ: "0"
サブキー: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL

・システムの TCP 構成を変更し、多くの同時接続を許可します。
値の追加: "TcpNumConnections"
データ: "0x00FFFFFE"
サブキー: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

これだけでも恐ろしいのに、更に
Win32/Conficker.B は Windows Defender 向けのレジストリ キーを削除し、システムが起動した際に実行させないようにし、Windows Vista TCP/IP の自己調整を無効にします。
この文字列を持ったモジュールがプロセスとして起動することを阻害します。
(文字列のほとんどがウイルス対策およびセキュリティ ソフトウェアに関連しているため、署名のアップデートの入手が事実上不可能になり、ユーザーがこれらの文字列を含む URL の Web サイトにアクセスできなくなることに注意してください)

また、システムリカバリを防止するためにシステム復元ポイントを破壊します。

こうして完全に屈服したPCを操り、BotNet化するための手段として
以下のサイトに接続を試み、Internetに接続されているかどうかを確認します。
aol.com
cnn.com
ebay.com
msn.com
myspace.com

インターネット接続が可能なPCは
http:///search?q=%d
のルールに従って、次のサイトへ接続、ファイルのダウンロードを試みます。
構築された URL の例


------------------------
ここまで読んで頭痛がしてきた方も多いと思います。
何故、イントラネット内部で蔓延しているのか？というのも頷けます。

個人のPCは（ここを見てる方は特に）影響が薄いのですが
スキャッターのみに感染している場合、USBメモリ経由で（気が付かずに）亜種を会社に持ち込んでしまう可能性が有ります。

普遍的なパスワードあたりでギクリとした人は、早急にパスワードの変更を行ってください。

他参照：
本サイト内 Tag:Conficker

そのとき何が、「WORM_DOWNAD」ファミリの振り返り 2008.12.24

Spy-Agent.da
遮断すべきIP/host
59.106.145.58
doradora.atzend.com
perlbody.t35.com
summertime.1gokurimu.com

「Downadup」ワームの巧妙なるネットワーク・スキャン

「最悪の事態はこれから」？ 不気味に急拡大する「Downadup」ワーム

抗ウィルスベンダ各社の対応リンク

-------------------------
The probability of anything happening is in inverse ration to its desirability.