「ウイルスに狙われるのはIIS浸透の代償」 112
ストーリー by Oliver
あっそ 部門より
あっそ 部門より
Leafy 曰く,"日経IT Proの記事に、マイクロソフト日本法人社長・阿多親市氏のコメントが掲載されている。それによると、近頃大流行のNimdaワームなど話題の絶えないIISが、恰好のウイルスやワームの標的となっているのは、IISが社会に広く浸透した代償らしい。ウイルスやワームの標的になるのは、それだけセキュリティホールがたくさんあるからじゃないの? IISよりシェアが大きいApacheはどうなの? などツッコミどころ満載。まぁ、こういう人間が社長やってる会社が作るものなんだから、セキュリティホールだらけなのもしょうがないか…。"
誰も使ってなくて知名度ゼロなら誰もワームなんて作らないのは確かだけど.... 狙われるのが分かっているならもっと安全なソフトウェア作れぇぇぇぇ。知ってて対策とらないのは踏台を放置する管理者と一緒で共犯だ。
オプション導入でなくてはいけないはず (スコア:3, 興味深い)
LANの中ならばWebサービスを立ち上げるホストは制限があってしかるべきでしょう。
それに、INS64やADSLの上(のぼ)り側はWebサービスに使うにはもはや桁違いに転送能力が不足しています。
それでも敢えて「やろう」という意志と、転送能力の不足をカバーできる創意工夫があるのならともかく、意志も創意工夫もない状態においてINS64/ADSLの端末側で普通のWebサービスを開こうというのは「無謀」と呼んでいいと考えます。
そんな状況でIISがお仕着せで導入されてしまうというのは、やはり過剰なサービスでしょう。
#その割には対策の選択肢として「使わないならアンインストール」
#というものが出てこないのは不思議です。
Re:オプション導入でなくてはいけないはず (スコア:3, すばらしい洞察)
> #というものが出てこないのは不思議です。
出てこないのではありません。「アンインストールさせない。絶対に使わせる!」です。Outlook Express5は、Win2kでは標準装備とされアンインストールできないようになっています。また、IE5にSP2を当てようとすると強制的にインストールされます。
MS社に現状を予測できなかったはずはありせん。いずれこうなると判っていて、あえて自分たちの利益を優先したのです。私たちは、そのようなメーカーの製品を利用しているということを、今まで以上に認識しておいたほうが身のためだと考えます。
Re:ちょっと言葉不足ですねぇ (スコア:3, おもしろおかしい)
Re:アンチMS (スコア:3, すばらしい洞察)
MSやGatesに対する評価をはっきり書くのは別に悪いことじゃないと思うけどね。ここではGatesの発言そのものが批判されているわけだし、反論を封じているわけでもないし。モラルという面では長いものに巻かれろ式の似非ジャーナリストの書きっぱなし垂れ流し記事なんかよりはよっぽどマシですわな。Bill Gatesを「こんな人」というのは、彼の発言や行動を見てるとそんなに不自然じゃないと思いますし。せめてコンピュータというものに関する理解がもうちょっと深ければ…。
インフラ企業としての自覚と責任 (スコア:3, すばらしい洞察)
ま、一営業所の所長にそれを求めるのは、酷な話かもしれんが。
Re:アンチMS (スコア:3, 興味深い)
ないIIS+Windowsが、ここまでボコボコにされて、シェア
的に均衡していて、かつ、ソースプログラムからバレバレ
なApacheがほとんど的にならないというのは、面白い話だ
と思うけど。
Linuxで稼動しているApacheに至っては、OSまでバレバ
レなわけだし。(笑)
何ゆえ、世界一のソフト屋が、こんな醜態さらしているの
か、考える必要があると思う。
これが醜態で無いと弁明するのなら、そのこと自体が醜態でしょう。
やぱり (スコア:3, すばらしい洞察)
ただし、匿名に近い現状のものではなく、管理者のアドレスを入れた形でのアクティベーション。この時に正常に機能してるかのチェックを含めたり、既知の穴が残ってないかを確認されればなおよし。
そして、IISのセキュリティ情報が出たらただちにアクティベートされたユーザに送信してアップデートを促す。
情報を送って、従わないがためにクラックを受けたんなら責任逃れも可能かもしれないけど、現状では無駄に広めてのせられて使った人が悲しい思いをしているだけ。
-- やさいはけんこうにいちば〜ん!
Re:アンチMS (スコア:3, すばらしい洞察)
快不快は感情の問題なのであえて触れません。
だけど、
というMSの態度は、共犯の詆りを受けてもしかたないように思われますね。そして、そこに批判が集中したからこそ、最初の2点はかなり改善されたわけです。最後の1点はあんまり改善されたような気がしないけどね。
まぁ確かに「何でもいいからとりあえず叩け」という姿勢はいかがかとは思うが、MSの社会的な影響力を考えると、「ツッコミどころはゆるめずツッコむ」という態度でちょうどいいぐらいじゃないのかな。ここまでMSプロダクトへの依存度が高い社会になってしまうと、MSのポカひとつで甚大な損害が発生するわけなんだし。実際発生してるんだしね。
# Nimdaが収束したってほんとなのかね? うちのサイトをつつきに来る頻度が下がった気がしないんですけど。
Re:広く浸透? (スコア:3, 興味深い)
トラフィック増大の要因になるからと Windows Update を禁止していた某社では、始業からまもなく Nimda に制圧されました。
かなりの数の PC では、IE の Default Page が MSN になっていたらしい。
ちょっと言葉不足ですねぇ (スコア:2, すばらしい洞察)
「認知度が上がったのでウィルスやワームの標的に選んでもらえた」
又は、「こんなにセキュリティーホールの多いサービスを
浸透させたが為に彼らにとって絶好の標的になってしまう」
とコメントするのが正しい。
-- non --
もし、彼のいうとおり (スコア:2, すばらしい洞察)
監視の目、ゆるみっぱなしじゃん。
#自分の管轄外のサーバが被害甚大で機嫌の悪い男の愚痴でした(^^;;
/.configure;oddmake;oddmake install
なんだかねぇ。 (スコア:2)
弱いからこうやって狙われているんでしょ。わかってないな。
IISもアクティベイトしないと使えないようになるのかな。
きちんとした管理者以外に使えないようにしてほしいもんだ。
いくら接続プロセス数を規制してもWindows2000に
バンドルしてあるのは危いと思う。
インストール時に「あなたはビルゲイツを信じますか?」
ってダイアログ出てきて、「信じない」を選ぶとインストール永久に不可能になるとか。(笑
.::.:... .::....: .::...:: .::.:.:: .::..:.: .:::..:.
I 1 2 B H4[keR. :-)
Re:アンチMS (スコア:2, 興味深い)
私の知りあいには、マイクロソフトが大嫌いで文句をたらたら言いながらWindows系の仕事をし、自宅のPCにもWindows系OSを導入して、やっぱり文句を言ってるのがいたりします。能力はダントツなので、彼らをアンチMSでWindowsに精通してると呼んでかまわないと思ってます。
しかし、そろそろリコール騒ぎが起こってもおかしくないと思うんだけど。
Re:オプション導入でなくてはいけないはず (スコア:2, 参考になる)
( http://www.microsoft.com/JAPAN/support/kb/articles/J052/9/99.htm?LN=JA... )
にしたがって
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}\Stubpath
を削除し、セーフモードで再立ち上げ後Program Files\Outlook Expressの中身を削ってReadOnlyにしてしまう方法は見つけたのですが…これで対処できないバージョンがあるのかしら…?
Re:オプション導入でなくてはいけないはず (スコア:2, 興味深い)
Outlook Expressは絶対に使わせるようです。
最小限インストールはセキュリティも最低限…ってこと?
>重要:IE 6.0 をセットアップする場合は、必ず Outlook Expressを 含む標準構成以上でセットアップしてください。
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
Re:アンチMS (スコア:2, すばらしい洞察)
もっとも独占企業のトップが思い上がるのはなにもMSに限った例ではないけどね(昔パソコンのシェアトップだったメーカーの会長経験者が新聞に回顧録を書いていたけど、それを読んだときはへどが出そうになったこともあったし)。
Don't ask me why!
Re:アンチMS (スコア:2)
特に脆弱ではないかもしれないが (スコア:2, すばらしい洞察)
結果として、Windows プロダクト全体的に「意味不明な」構成となっているんでは。ネットワークプロトコルの理処理スタック、それらと相関したアプリケーション群と連携のしくみ、それこそ意味不明なウィザード。
設計の意図どおりにテストできる人間なんて、マイクロソフトの中にもいないのではないだろうか。
で、テスト不足なプロダクトが出荷されていく、と。
#IIS の unicode encoding パッチなんて、絶対クイックハックしているだけだと思うぞ (^^;
みんつ
量産されるセキュリティーホール (スコア:2)
でも、わざとセキュリティーホールが発生しやすいようにはなっていると思う。
なんでもかんでも、Adminで動かせば、小さな煙でも、大火になってしまいます。
せめて、IISの実行レベルがAdminでなければ、ここまでの惨状は無かったとも思うし。
#Apacheの頑強さの理由は、こういうところにもあるのです。
Re:オプション導入でなくてはいけないはず (スコア:2, 参考になる)
賛同ありがとうございます。
MS社は確かに高い技術力を持っていると思います。ユーザーのニーズを的確にとらえ、使い易いソフトや仕組みを作る技術は群を抜いています。商売も色々な意味で上手だし。
ただ、その使い易さは、もうひとつの重要な要素、「安全性」を犠牲にして実現されてますからねぇ。
もともと「使い易さ」と「安全性」はトレードオフの関係ではあるのですが、MS社は「安全性」を積極的に 無視、していますね。
> World PC ExpoのMSブースの盛況ぶりを見て、将来暗いなと思ったのは、私だけではないはず。
私自身は、PCやソフトの相談に乗る際、このことを口をすっぱくして言ってるんですが……(sigh)
Re:言葉尻をとらえると (スコア:2, おもしろおかしい)
“他製品”とはPWSのことでしょうか?
Re:今回はやむを得ないかも(Re:オプション導入でなく (スコア:2, 参考になる)
はい、了解しました。以下はあくまでも情報提供です。
[memo:1262] Nimda IE6 によると、
>> 増野です。
>> http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
>> では、IE6にすれば安心のように見えますが、最小インストールしただけでは
>> きっちり Readme.exe を自動ダウンロードします。
>> その後、ワトソン博士が出ます。この段階で、実際にreadme.exeを実行するか
>> どうかわかりませんが、IEのキャッシュディレクトリには残るのでこれを
>> クリックしたら一発感染かと思います。
>> IE6で自動ダウンロードしない設定とか、パッチとかあるのでしょうか?
>> <masuno@fujif.co.jp>
だ、そうです。
また、IT PRO「マイクロソフトがIE6日本語版を提供開始,NT4と2000で異なる注意点」によると
http://itpro.nikkeibp.co.jp/free/NT/NEWS/20010919/3/
>> 一方,Windows 2000ではこれまでのIEと同様に,標準および完全インストールを実行できず,
>> 最小限のインストールになる。
つまり、Win2KではIE6は最小インストールしかできず、その状態ではnimdaの攻撃を防ぐことはできない、らしいのです。現在セキュリティホールmemoMLで検証が進められているようです。
Re:アンチMS (スコア:2)
#少なくとも、よく言われるような「考え無しに追随する人達」や「最低限の判断すら出来ない人々」よりかは必然的によく知っている…というか、それを前提で発言してるんだろうし、そうでなきゃただの中傷だけどさ。
Re:言葉尻をとらえると (スコア:2, すばらしい洞察)
> 当然の姿勢でしょうが、IE,Outlook Express等のユーザまでに、
> 本気で、こうゆうことをせよと言っているとすれば、
> 見識を疑います。
> これだけの市場独占をしておいて、製品の構造的欠陥の対処を利用者に任せるのいですね。
常々思っているのですが、M$から製品紹介のメールが飛んできますが、
どうせならセキュリティホールのアナウンスを流せばいいのにと考えます。
毎回新製品の情報だけ送ってきて、既存製品の
欠陥についてはWebサイトまで見に来いというのは
おかしいのでは?
何ためのユーザ登録なの?
Re:量産されるセキュリティーホール (スコア:2, すばらしい洞察)
>しかし、手を変え品を変えいろんな形容詞を駆使してあげつらうことはないんじゃないかな。デフォルトで悪者扱いはかわいそう。
考えてしまったのだけど、逆に「デフォルトで悪者」でなければならないのでは?MSだからというのではなく、Apacheだろうと何だろうと。
そして実績から、安全性とか対処能力とかが評価されて残っていく仕組みが本当は必要なんだろうな、と。(客観的評価とは?とかは置いといて)
qmailとか見てると特にそう思う。だから以前話題に出てた保険料の高騰なんかはいいことです。
絶対的安全なんてことはない訳なので、せめてそんな競争力は絶対必要なんですよ。
Re:言葉尻をとらえると (スコア:2)
“他製品に比べて”と言っておられますな. “他社製品”とは言ってない.
つまり,Excel,Word,Powerpoint,OutlookExpressと比べて,
脆弱性は同程度.ってことじゃない?
“当社比”ってやつですね :-P
悪いのはMSだけじゃない。 (スコア:2, すばらしい洞察)
そもそもUNIX系を使わずWindows系でサーバーを構築している側は管理の手を抜きたいと言う理由で導入している場合が多い。
# もちろんそういう売り文句で売っているMSが悪いのだが。
管理者がきちんと管理していなければクラックの対象となるのは当り前。Windowsに限った話ではない。要はサーバー導入する側の姿勢がそもそもの間違いと言える。
MSはセキュリティ対策のパッチをずいぶん前からリリースしているのでこれをきちんと宛てていればここまで被害は拡大していなかったはずだ。
クライアントの方はどうかと言うと、確かに今回Nimdaで利用されたIEやOEのセキュリティホールは致命的だ。なんと言ってもブラウズのみでバイナリが実行されて感染してしまうのだから。
これは見た目を重視するあまり利便性(自動実行等)を過度に高めたことが原因。しかしFlash等が乱用される現状のWebを見れば市場が求めている事だとも取れる。MSはニーズに答えたに過ぎないのかもしれない。現在の一般消費者の嗜好だとネスケよりIEの方が好まれるのではないだろうか?
# だからと言ってセキュリティを犠牲にされても困るし
# 導入しないと言う自由がないのも不評なのは分かる
とりあえずこのセキュリティホールもしばらく前からリリースされているIEのSP2を導入していれば既に塞がれている。
# これを素人同然の一般消費者に求めるのは酷というものだが
そもそもIEを使おうがネスケを使おうが、不信なバイナリを実行すればウィルスに感染する危険性はあるわけでこれはどうしようもない。個人個人のセキュリティに対する意識が欠如していれば全てのネットワーク接続は重大なセキュリティホールになり得る。
まぁ金取っているのだからきちんと安心して使える製品を提供して欲しいのは同感だが、バグは絶対出てくるのだからその都度ユーザー側でパッチ等を当てて塞いでくしかない。
そういうことを初心者にもきちんと理解させ対策を講じる方法をきちんと身に付けさせる。そういうことは世間のパソコン教室や入門書、専門雑誌の役割だろう。
バグは放っておいても勝手に消滅しないのだから。
# そういう機構をOSに備えると一部からは必ず文句も出るし。
そういうセキュリティ意識の欠如したユーザーを増産すると結果として質の悪いサーバー管理者を増産することにもなりかねないと思う。
uxi
Re:オプション導入でなくてはいけないはず (スコア:2)
#IEをアップデートしたら他のアプリの挙動が変わったりするし(苦笑)。
IEをアンインストールするには、Windows自体をアンインストールしなきゃならんようで...WordとExcelファイル互換のLinux,FreeBDSアプリがあれば問題なくできるんだが。
統合化と多様化 (スコア:2, すばらしい洞察)
MS も自社製品以外、市場から排除する体質は変わっていないので、ある意味、自業自得です。統合化による欠点でもありますわな。
例えば ramen ワームの場合、Linux や Apache が原因ではなく他のモジュールのセキュリティホールでしたよね。被害を受けたシステムが多かったにしろ、全滅することはなかったはず。これは多様化による長所とも言えると思います。ということでよろしやろ?
Mc.N
Re:邪推 (スコア:2, 興味深い)
こういう変な感染方法って他にもあるのかな。
okome
ユーザ教育の充実を。 (スコア:2, すばらしい洞察)
# IIS なんて、SMTP まで立ってるからね。デフォで。
これではクラッカーが反MSかどうかはともかく、踏まれても致し方ない。
MS に、「使いやすい」と売り込まれ、使ってみたら踏まれる、もう IIS でしか使えないツールも入れてしまっているから今更変えられない、その上対策も分からない(インストールさえできれば使えるため、設定方法やサービスの意味が理解できない)というのでは、ユーザとしては屈辱を感じる。
IIS だけに特化して詳しい人はいないのではないかと思う。
ほかのいくつかの www サーバ(Linux,UNIX 系)にも経験がある人が多いような気がする。
MS 製品は、「ユーザ教育」面が弱いのではないか。
それさえクリアすれば、もう少しまともになるような気がするのだが。
secure IIS なんてのも出たみたいだが。
ユーザ教育も、ちょっとした市場になりませんかね。
Re:ユーザ教育の充実を。 (スコア:2)
手軽さを求めるユーザがそんなものに金かけるわけない。連中が求めるのは「できる!! セキュアなIIS」ってな解であって、それを支える理屈じゃないんだな。
# だから、いつまでたっても「本に載ってること」しかできないわけ。最近 Linux なユーザにも増えてるけどね。
もしや(Re:言葉尻をとらえると) (スコア:2)
スタートページを(勝手に)MSNに
という事なのでは…+スタートページはネットに繋ぐ度に隅から隅までチェックするはず
=わざわざメールでアナウンスしない
Re:インフラ企業としての自覚と責任 (スコア:2)
汚いプログラムを放置しておくと、自然にワームやウイルスが発生するのか....。
Re:アンチMS (スコア:2)
これもサービス会社への変身を模索中の本社の意向かもしれませんが。
Re:罰金制度をつくれば? (スコア:2)
Re:ほほぉ (スコア:2)
/.の発言より、過激な感じですねぇ。
やはり、かなりの人がバチ被ったようですね。
Re:IE6 vs Nimda (スコア:2)
なんつー、造りになっているんだ?IEは?
Re:ほほぉ (スコア:2)
幸い、日経BPの本と一緒に回覧するためにすべて印刷してありますので、手をかければ復元可能。
Re:10日経っても、 (スコア:2)
つまり、観測者問題。
Re:ちょっと言葉不足ですねぇ (スコア:1)
「認知度だけは上がったので・・・」
「こんなにセキュリティーホールだけが多い・・・」
だと更に良いかと思われますが。
sakura2k
Re:オプション導入でなくてはいけないはず (スコア:1)
WindowsというOS自体が、ウィルス蔓延の温床になっているということを、消費者はもっと認識する必要がありますが、いまだに、情報が正しく伝えられていないというのは問題です。
World PC ExpoのMSブースの盛況ぶりを見て、将来暗いなと思ったのは、私だけではないはず。
Re:アンチMS (スコア:1)
Re:アンチMS (スコア:1, おもしろおかしい)
を実践しておられると思われる阿多親市氏。
なんたって、MSNで垂れ流しだからな。
いわば、公認ワームっすか?
まさに、「こんな人が」って形容するに値すると思われ。
Winがこれだけのシェアを取ってしまったのだから、無責任な発言をして責められるのは当然と思われ。
今回はやむを得ないかも(Re:オプション導入でなくては (スコア:1)
今回の場合はやむを得ない気がします.
nimdaはoutlook expressのジャイアントセキュリティーホールを的確に狙っているので,
穴を確実にふさぐために必要なのかもしれません.
# で,インストール後は起動しない事(!)
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
Re:オプション導入でなくてはいけないはず (スコア:1)
: #というものが出てこないのは不思議です。
最近はIEにせよOutlookexpressにせよOSべったりで
むしろ,下手に消すと余計安定性に問題が出そうな気がします.
ここは,『入っていても無視して使いたいソフトを使う!』というのは
軟弱すぎますか?
# 当然,デスクトップやスタートメニューからは消す.
## OEはともかくIEは・・・・・・
## 『IEはOSの一部』というのは意外とマジになりつつあります.
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
Re:アンチMS (スコア:1, 参考になる)
Re:オプション導入でなくてはいけないはず (スコア:1)
おかげでIE5.5SP2のインストールの際には「インストールに失敗しましたのでやりなおしますか」なんて無駄なことを口走ってくれました。当然キャンセル。
-- やさいはけんこうにいちば〜ん!
言葉尻をとらえると (スコア:1)
顧客向けのメッセージでしょうね。
定量的な比較がなされたのかは、疑問があります。
#"他社製品"の定義にも依存しますがね
「IISの被害が多いのは,IISが社会に広く浸透していることも大きい。...」"ことも大きい"ということで、
別の要因もあるということを否定したわけではない。
まあ、自社製品の弱さを、日本法人の社長が積極的に
表明することはできないですよね。
ちなみに、私は、仕事でインターネット上に置いているW2KS/NT4S/FreeBSD/Linux/Solaris Boxを管理してます。
無論、安心していられるのはunix系ですね。
「...利用者全員が常にウイルス情報にアンテナを張って欲しい」サーバ管理者なら当然の姿勢でしょうが、
IE,Outlook Express等のユーザまでに、本気で、こうゆうことをせよと言っているとすれば、見識を疑います。これだけの市場独占をしておいて、製品の構造的
欠陥の対処を利用者に任せるのいですね。
無論、私は、プライベートでは、一切のMSのOSは使用してませんね。
---moto
Re:オプション導入でなくてはいけないはず (スコア:1)
上記の方法を普通のユーザーさんに薦めることは、私にはできないです。
ここで問題にしているのは、「最初から入っているのはともかく、アンインストールする手段が標準で提供されていない」ことなんです。