はい！電算室です

2024-04-26(Fri)

[PR]

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

2016-03-20(Sun)

人事異動の時期がやってきました。
今年は異動できるだろうか、どんな奴が異動してくるのだろうか？
そして手塩に育てた後輩はどうなるのだろうか？

いろんな噂が飛び交います。

その中でもいやーな噂もあります。

ある人を電算に送ると・・・。

その人や、会社の中でも「できない奴」で有名。
あらゆる部署をたらい回しされたが、結局使えず、最後の最後にシステム担当にしてしまえと・・・。

「システム担当にしてしまえ・・・・とな？」

確かにお客様先に出ることはそうありません。
ただ・・・・・・

いいのか？

システムは経営の中枢です。
一つ間違えれば取り返しのつかないことになります。

経営層にはシステムのやっていることを常々伝えてきたつもりだったのですが、大きなトラブルもなく、システムが全面に出ることがあまりなかったので、「システムは暇」と思われたのかもしれません。

これだから経営層は・・・・・。

一つお灸をすえる必要があるかもしれません。
ウィルスメールのテストでもしようかな（以前は社長が踏んだ）

電気、ガス、水道、そしてシステムは重要なインフラ。
セキュリティ対策だって一筋縄にはいきません。
もうすこしシステム担当のPRをすべきなのかもしれません。

ま、しばらく「愉快な仲間」の更新がなかったので、もしかしたら面白いことがあるかもしれません。少しだけ期待しましょう。

[1回]

2016-03-19(Sat)

パスワードでいいの？

東京大学でPCの紛失があったようです。

で、大体このようなインシデントが発生した場合、決まって書かれるのがこの言葉

>ログインする際にはパスワードがかかっているため、即座に情報が流出することはない

いつも思うのですが、そんなことはありません。
ログインせずともPCのファイルにアクセスすることは可能です。

Linuxでリブートする方法や、HDDの復元ソフト使う手もあるでしょう。

だから本当ならば、

>暗号化されているため、即座に情報が流出することはない

が正解なんでしょうね。
どうも「パスワード＝暗号化」という解釈している方が多いように思います。

[0回]

2016-03-17(Thu)

空きLANポートをふさぐ！塞ぐ！～セキュリティの波間～

ずいぶん前にUSBポートをふさぐ商品を紹介しました。
えぇ、こちらです。

大阪の堺市が職員による情報流出をうけてUSBポートをふさぐという措置をとったのですが、その時のネットの評判が悪いこと悪いこと(^^ゞ

＞円盤焼けば？とかクラウドに上げれば？マウスはどーしてるんだ？など突っ込みどころ満載だが
対策取れませんとは言えなかっただけの対策なんだろうな。

＞虚構新聞かと思った堺の個人情報は揮発性（物理的な意味で）なのか？

＞公務員って馬鹿しかいない(笑)

＞対策がくそバカすぎる

そのほかのコメントはこちらで見ることができます。

でも意外にこのローテクの対応は必要だと思います。
もし、不正人物がUSB経由でデータを盗み出そうとしても、ポートがふさがれていれば、その部品を抜くにも、キーボードやマウスを抜いてUSBメモリを差すという手間も躊躇します。犯罪者は想定外の手間は非常に嫌がりますし。

突っ込みどころがないといえば当然あります。がっ、できることはやる。それがセキュリティ対策の鉄則です。

さて、もう一つ、突っ込みどころがありそうなものを。

やはり職員対策ですが、悪意を持った職員が自分の端末を不正に持ち込み、LANに接続したとしたら・・・。当然認証があるので入ることはできませんが、念には念を。

ということで、空きLANポートがあったらふさいでしまいましょう。ほこりの侵入防止にもなりますし。
そんな商品はこちら

抜くのもちょっと難儀します。専用工具があれば難なく抜けますが、ちょっとやちょっとでは抜けません。
ぜってー、突っ込みがありそうだなぁ。
でもやれることはやります。ほこり防止にもなるし(笑)・・・と言い聞かせながら・・・。

[0回]

2015-06-03(Wed)

停電通知システムを作ろう

もし、不在時に電算室が停電になったら・・・。

UPSがあるので自動でシャットダウンするのでいいのですがやはり心配です。

そこで、停電になったらメールでお知らせするプログラム（スクリプト）の紹介です。

スクリプトはVBS。いろんな機能を寄せ集めたのでロジックに統一性がありませんがご了承ください。

まずは用意するもの

UPS：インターネットルーターの電源を確保します。停電でルーターも切れてしまってはメール通知できません。

ノートパソコン：AC駆動もバッテリー駆動もできるやつ。バッテリーも満充電にしておきましょう。

ノートパソコンは、休止状態やスリープ状態にならないようにしておきます。

以下のスクリプトをメモ帳に記述し、Power.vbs (好きな名前でいいです。）で保存します。

適当なフォルダに入れておき、vbsを実行します。

内部で動きっぱなしになります。

AC駆動になったりバッテリー駆動になったりした時点でログ（同じフォルダ内にPower.logが作成されます）に書き込まれ、

かつメールで通知します。

以下、ロジック。

--------------------------

'PC名前取得

Dim objNetwork,CmpName

Set objNetWork = WScript.CreateObject("WScript.Network")

CmpName = objNetWork.ComputerName

Set objNetWork = Nothing

'始まりのログ出力

Call SysWriter(CmpName & " Watching Start", "Power.log")

Set colMonitoredEvents = GetObject("winmgmts:")._

ExecNotificationQuery("Select * from Win32_PowerManagementEvent")

Set strLatestEvent = colMonitoredEvents.NextEvent

'Wscript.Echo strLatestEvent.EventType

If strLatestEvent.EventType = 10 Then

strComputer = "."

Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\wmi")

Set colItems = objWMIService.ExecQuery("Select * From BatteryStatus Where Voltage > 0")

For Each objItem in colItems

'テスト用 Wscript.Echo Date() & " " & Time() & ": " & "On AC Power: " & objItem.PowerOnline

Call SysWriter("On AC Power: " & objItem.PowerOnline, "Power.log")

Call SendMail(objItem.PowerOnline)

Set objWMIService = Nothing

Set colItems = Nothing

End If

Loop

Sub SysWriter(str,path)

Dim fso, fi

Set fso = CreateObject("Scripting.FileSystemObject")

'ファイルを開く

'もしも存在しない場合には作成する

Set fi = fso.OpenTextFile(path, 8, true)

fi.WriteLine (Date() & " " & Time() & ": " & str) 'ログを書き込む

Set fi = Nothing

End Sub

Sub SendMail(Msg)

Set objMail = CreateObject("CDO.Message")

objMail.From = "送信元@gmail.com"

objMail.To = "送信先@gmail.com"

objMail.Subject = CmpName & " 電源確知 On AC Power：" & Msg

objMail.TextBody = CmpName & " のAC Powerが " & Msg & " となりました。確認してください。"

strConfigurationField ="http://schemas.microsoft.com/cdo/configuration/"

With objMail.Configuration.Fields

.Item(strConfigurationField & "sendusing") = 2

.Item(strConfigurationField & "smtpserver") = "smtp.googlemail.com"

.Item(strConfigurationField & "smtpserverport") = 465

.Item(strConfigurationField & "smtpusessl") = True

.Item(strConfigurationField & "smtpauthenticate") = 1

.Item(strConfigurationField & "sendusername") = "送信元@gmail.com"

.Item(strConfigurationField & "sendpassword") = "Password"

.Item(strConfigurationField & "smtpconnectiontimeout") = 60

.Update

end With

objMail.Send

Set objMail = Nothing

End Sub

-------------------------------------------------------------

メール通知は、CDO.Massage を使っています。

できれば送信元はgmailがいいようです。hotmail(livemail)やyahoomailでも試してみましたが、

うまくいかず、今回はgmailで新規に取得しました。

これを作っちまったということは、停電通知のメールが来たら馳せ参じなくてはいけないということですね(;O;)

[0回]

2015-05-27(Wed)

zxcvbnでパスワードのチェックをしましょう。

よく現場で端末の作業をした後に、ユーザーにログインしてもらうのですが、見ないようにしていても、やっぱり手の動きを見てしまうのです。
そうすると、ログインに必要なパスワード入力時の手の動きが単調なことがおおいです。
ある人なんて、テンキーしか押していない・・・。

パスワードというもの、いかに大事で、しかも難しく、自分にしかわからないようにしましょうと啓蒙したところで、そのパスワードの強度というものが客観的に見えるようにしないと、ピンとこないようです。中には数字4ケタでも十分なパスワードと思い込んでいる人もいます。

そこでよく有名サイトなんかでパスワード設定時に出てくる（弱）～（強）のインジケーターを示すものでチェックしてもらいましょう。

ネット上では
マイクロソフト　パスワードチェッカー

インテル　How Strong is Your Password?

カスペルスキー　パスワードチェッカー

が有名でしょうか。

でも、パスワードチェッカーをイントラネット上で行いたい！とか、いくら有名でもパスワードを送信するのはちょっと・・・・という方は、オープンソースのパスワードチェッカーである、zxcvbnを使って簡単なパスワードチェッカーを作ってみましょう。
zxcvbnはdoropboxが製作し採用しているパスワードチェッカーのようで、最も効果的であるとの評価もあるようです。

ダウンロード先や、作り方についてはこちらを参考にしました。

さて、まずはzxcvbnをダウンロードします。
githubはダウンロードがわかりにくいですね。こちらから。
windowsであれば、zipをダウンロードします。
今は、バージョン1.0。そのまま解凍すると、zxcvbn-1.0というフォルダができるはずです。
そのままどこかの適当なフォルダに入れてしまいましょう。
で、そのフォルダに、以下のhtmlファイルを作り、保存しておきます。
----------------------------------------------------------------------------------------

<!DOCTYPE html>

<html>

<head>

<title>パスワードチェック</title>

src="zxcvbn-1.0/zxcvbn.js"></script>

src="zxcvbn-1.0/zxcvbn-async.js"></script>

src="zxcvbn-1.0/jquery.js"></script>

<SCRIPT type="text/javascript">//<![CDATA[

jQuery.noConflict();

jQuery( document ).ready(function( $ ) {

$('#password').keyup(function() {

$('#result').html('');

$('#resultDetail').html('');

var passwdValue = $(this).val();

var result = zxcvbn(passwdValue);

traverse(result);

});

function traverse(o) {

for (i in o) {

if (typeof(o[i]) == "object") {

traverse(o[i]);

} else {

$('#resultDetail').append("<tr><th>" + i + "</th><td>"+ o[i] + "</td></tr>");

switch(i){

case 'crack_time':

$('#result').append("<tr><th>推定クラック時間 (秒)</th><td>"+ o[i] + "</td></tr>");

break;

case 'crack_time_display':

$('#result').append("<tr><th>推定クラック時間</th><td>"+ o[i] + "</td></tr>");

break;

case 'matched_word':

$('#result').append("<tr><th>パターンマッチ文字</th><td>"+ o[i] + "</td></tr>");

break;

case 'score':

switch (o[i]) {

case 0:$('#resulttext').html("■(警告）");

$('#resulttext').css('color', 'red');

break;

case 1:$('#resulttext').html("■■■■■（注意！)");

$('#resulttext').css('color', 'orange');

break;

case 2:$('#resulttext').html("■■■■■■■■■■(弱）");

$('#resulttext').css('color', 'yellowgreen');

break;

case 3:$('#resulttext').html("■■■■■■■■■■■■■■■（中）");

$('#resulttext').css('color', 'green');

break;

case 4:$('#resulttext').html('■■■■■■■■■■■■■■■■■■■■（強）');

$('#resulttext').css('color', 'blue');

break;

}

//$('#resultimg').html("<img src='/dam/agilegroup/img/technote/security/score" + o[i] + ".png'>");

$('#result').append("<tr><th>スコア ( 0 - 4 : 4が最も強い )</th><td>"+ o[i] + "</td></tr>");

}

});//]]>

</SCRIPT>

</head>

<body>

<h1>パスワードチェック</h1>

<p>パスワード:<br>

</div>

<DIV>

</DIV>

</body>

</html>

--------------------------------------------------------------------------

説明は・・・・、わかる人はわかりますよね。そんなに難しくないと思います。
ちなみに、パスワードの辞書は　zxcvbn.jsに
u=[p("passwords",q("password,123456,12345678,1234,・・・
てな具合に書かれています。欧米系のパスワードばかりなのでたとえば自社の電話番号とか使いそうなパスワードを追加しておくとよいでしょう。

そして、意外な言葉も入っています(sonyとかtoyotaとか・・・）。なるほどもはや自分で考えるパスワードは危ないということですね。

[0回]

2015-05-23(Sat)

ウィルスソフトをテストしてみよう～ウィルステストファイル

普段会社では、「知らない先からのメールは開くな」「怪しい先のリンクはクリックするな」などうるさく言っていますが、あまり知られていない会社だけに、そういったメールはほぼ皆無です。

だから逆に怪しいメールが来たときにそのリンク先をクリックしそうで怖い。

と、いうことでセキュリティ意識チェックを兼ねてちょっと怪しいメールを送ってみました。

内容は詳しくは書けませんが、メールシステムの最終確認で以下のリンクをクリックしてくださいというもの
で、そのリンクは二つ。

http://files.trendmicro.com/products/eicar-file/eicar.com

と

http://www.eicar.org/download/eicar.com

です。

これなにかと言いますと、EICARという団体が開発した、ウィルス対策ソフトのテスト用疑似ウィルスです。疑似ウィルスなのでPCには影響を与えませんが、ウィルス対策ソフトは反応します。というか、反応しないといけません。
その中身は、たった68バイトの文字

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

これがなんでウィルスソフトは反応するのでしょう？
また、こちらには、圧縮ファイルなどもあるのでいろいろ試すこともできそうです。

さて、偽の怪しいメールを送った結果、幸いにもほとんどが無視、もしくは電算に報告がありました。
管理画面を見ると、たったひとつだけ、感染したPCが・・・

社長！！

役員が情報セキュリティに疎いのかもしれません。
情報セキュリティは役員も含めて行いましょう。

[0回]

2015-05-22(Fri)

Windows7端末で「このワークステーションとプライマリドメインとの信頼関係に失敗しました」

こちらで少しお話しました、Windwos7端末で「このワークステーションとプライマリドメインとの信頼関係に失敗しました」と出る現象。

年にほんの数台ですが、やはり出ていました。
DCをVmware上のWindows2008サーバーで構築していることと、Arcserveでバックアップしていることでなにか悪さをしているのではないかと勝手に推測していましたが、どうやらそうでもない様子。
で、同じような現象でお悩みになっている方もちらほらいるようです。

台数は少ないとはいえ、現象が出てしまうと、いったんドメインから外して（削除して）再度参加し直す設定が必要になるので、意外に手間です。

で、奥の手ということで、以下の設定も試してみたのですが・・・
------------

グループポリシーでコンピュータパスワードの変更を禁止する（ここでのパスワードはセキュアチャネルを確立するためのパスワード。ユーザーが使用するアカウントのパスワードではない）とされています。

グループポリシーでコンピュータパスワードの変更を禁止します

[Windowsの設定]-[セキュリティの設定]-[ローカルポリシー／セキュリティオプション]-[ドメインメンバ]で

[ドメインメンバー：コンピュータアカウントパスワード：定期的な変更を無効にする]

[ドメインコントローラー：コンピュータアカウントパスワードの変更を拒否する]

という二つを設定しておきます

-------------

設定した数日後に失敗した端末が発生！！
だめだったのか・・・・

ただ、実際に障害が発生した端末を調べてみると、どうもスリープから復旧した時に発生する確率が高いことが分かりました。
電源の管理で、スリープ（休止）状態にならないようGPOで設定して、様子を見ることに。
これで発生しなければいいなと願う今日この頃でした。

[0回]

2014-10-20(Mon)

USBなどの外部メディアを使えなくする～実践編

前回からだいぶ経ってしまいました。
どうやらベネッセではUSBデバイスを使えないようセキュリティ対策のソフトを導入していたようですが、そのソフトが新しいスマートフォンに対応していなかったようです。

USBメモリーに代表される外部メディアの場合は、Windowsでは新しいドライブとして認識され、従来のセキュリティ対策ソフトは指定のドライブの使用を禁止するというものでした。
しかし、WindowsVista以降のWindowsとここ数年のスマートフォンは、少し前はPTP(picture transfer protocol)、そして今の主流としてMTP(media transfer protocol)として認識され、Windows上ではまとめてWPD(Windows Portable Devices)として扱われます。
WPDの場合はドライブとして認識されないので、制限をかけることができないのです。

ただ、ベネッセの場合はもしかしたら、PTPまでは対応していて、MTPまでは対応していなかったということも考えられます。

さて、これらをまとめて制限をかける方法はないのでしょうか？
一番手っ取り早い方法は、BIOSでUSBそのものを使えなくするということもありなのでしょうが、それだとUSBマウスやUSBのキーボードも使えなくなり、現在では現実的ではありません。

[3回]

>>つづきはこちら

2014-07-19(Sat)

USBなどの外部メディアをメディアを使えなくする～ベネッセ情報漏洩～

ベネッセの情報漏洩事件で犯人が捕まりました。
やはりというか、委託先（下請け？）のSE。はっきりいって、内部犯行です。
システムを司る者、そのデータの取り扱いには十分注意し、当然ながら情報は漏らさないという高い意識のもと、作業をしているはず。

だからこそ、広範囲のアクセス権限を与えられているのです。

これから先、もしかしたらさらにアクセス権限について強化され、作業が分断化してしまう可能性だってあります。一人の不正が他のがんばっているSEにまで影響を及ぼすことを知ってほしいです。

さて、下の記事を読んでみてください。

個人情報最新型スマホ接続しコピー

この記事の中で、こう書かれています。

「貸与されたパソコンにはデータがコピーできないよう記憶媒体やスマートフォンを接続しても認識しないようなセキュリティーの設定が施されていましたが、松崎容疑者が接続したスマートフォンが最新の機種だったために設定の機能が働かず、データのコピーが可能になっていた」

すみません。私、これがわからないのです。
最新の機種だと認識しちゃうんでしょうか。

巷で販売されている外部認証システム（IDカードや指紋認証など）は、おそらくドライブの制限などかけられると思います。
リムーバブルディスクも制限できたかと思います。
ただ、スマートフォンなどはリムーバブルディスクとみなされず、データの同期という形でデータが書き込めることもあるようです。

が、Windowsの場合、グループポリシーで「すべてのリムーバブル記憶域へのアクセス」で制限をかければ、あらゆるデバイスに対して制限をかけられるはず。

私はそう思っていますし、実際設定しています。
ポリシーは以下の項目です。

［コンピュータの構成］－［管理テンプレート］－［システム］－［リムーバブル記憶域へのアクセス］
［ユーザーの構成］－［管理テンプレート］－［システム］－［リムーバブル記憶域へのアクセス］

まさか、ベネッセという上場企業が、そのシステムを委託されているシンフォームがグループポリシーの設定をしていなかったのでしょうか？それともWindowsではない別のサーバー、PCだったのか？
はたまた、上記のポリシーは最新のスマートフォンだと効かないのか？
他の企業のセキュリティのためにも教えてほしいものです。

あと、物理的にUSB端子をふさぐツールはこれ。抑止効果はありそうです。

[1回]

2014-05-20(Tue)

PC遠隔ウィルス操作事件

なんだかあっけない幕切れ。
やっぱりかという気持ちと、別のなんだかやりれない気持ち。
結局現実世界での行動が原因で捕まったということ。
もし、このまま仮想の世界から攻撃し続けていたら？
今の警察は対応できたでしょうか？

マスコミやネット上の論調は、自作自演で結局尻尾が出て捕まって、よかったよかったとなっているようですが、私はそうは思いません。

誤認逮捕された人たち。それはたまたま犯人の網にひっかかっただけで、もしかすると自分も遠隔操作されてしまう恐れがあるということ。

マルウェアが仕込まれたパソコンは、どんな状態だったのか？セキュリティ対策ソフトは？OSのアップデートは？ブラウザは？

遠隔操作されてしまった人の共通点は、電子掲示板によって仕掛けられたということ。

今、サイトに導こうとするメールや、ブログや掲示板のコメント、そして正規サイトを改ざんして仕込む手口。

知らないうちにもしかしたら・・・・。

犯人が捕まったから終息ではないです。
今、現在もマルウェアにより情報を盗まれ、遠隔操作で他のPCを攻撃しているかもしれないのです。

[0回]

<<前のページ次のページ>>

1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 |