こんにちは、阿久津です。2月9日は"月刊Microsoftセキュリティ"の日です:-)。言わずもがな、Microsoftが毎月公開しているセキュリティ情報定例日ですが、今月は事前通知で報告されていたとおり、緊急を要する脆弱性が8件、重要な脆弱性が3件、警告レベルの脆弱性が1件。詳細はMicrosoft TechNetの「2005年2月のセキュリティ情報」に掲載されているとおりですが、Service Pack 2適用済みのWindows XPは、MS05-004、MS05-007、MS05-008の3つとすべて"重要な脆弱性"。これ以外はWindows Messengerなど外部プログ ラムの脆弱性です。

基本的にはWindows Updateにアクセスし、すべてのセキュリティ修正プログラムを適用するのが一般的な対応ですので、ここで述べることは特にありません。だが、セキュリティ対策でもっとも重要なのはユーザーの意識です。修正プログラムの適用は言わずもがな、セキュリティという概念に対して、どのようなスタンスで取り組むのか意識を変える必要があるでしょう。わかりやすい例えでは、「PC＝家」というものがあります。

たとえば家の鍵は必ず閉めているか、鍵は一般的なものではなくピッキングに対抗できるものか、暮らしている家族の生活サイクルを外部に知られていないか等々。これらをPCに置き換えてみると、鍵はOSやアプリケーションのセキュリティホールにあたり、生活サイクルはOSやサービスの各バージョンが持つ脆弱性を外部に知られないか、という部分にマッチします。特に後者は動いているWebサーバのバージョン情報を外部から参照させないために、文字列を削るといった対策が講じることで、特定のバージョンが持つ脆弱性を狙い難くくさせる、というのは昔からある手。

このように防犯意識＝セキュリティへの意識というのは、一歩間違えればパラノイア的と言えるでしょう。読者の中には『そんなところまで見ないよ』と軽んじる人がおられるかもしれません。ですが、我々を取り囲む現代社会の治安を見ればわかるとおり、自衛手段を講じないのは犯罪者に対して『狙ってください』とアピールしているようなもの。これはPCにも通じることです。Service Pack 2に含まれる「自動実行」が強化された一因として、修正プログラムの適用率が非常に低いというものがありましたが、これすらも、ユーザーのセキュリティ意識が高まれば済む問題ではないでしょうか。

セキュリティホールを放置するということは、自分だけでなく所属する団体や不特定多数に対して迷惑をかける可能性があります。これを機会にセキュリティに対する意識を改めて考えてみてはいかがでしょうか。

閑話休題。今週はセキュリティに関するTipsを紹介しましょう。Windows XPでは初期設定で「ADMIN$」「C$」「D$」という共有フォルダが用意されているのをご存じでしょうか。これは「デフォルト管理共有」と呼ばれるもので、管理者が複数PCに対してリモート操作を行う際などに用いられます。その性格上、Administrator権限を持つユーザーからのみ接続可能になっていますが、「Remote Registry」サービスと並んで、何か起きる前に無効にしたい機能と言えるでしょう。今週はこの機能を無効にするTipsを紹介します。

1.＜スタート＞メニューから＜ファイル名を指定して実行＞を選択し、「名前」に「regedit」と入力後＜OK＞ボタンをクリック。
2.レジストリエディタが起動したら、HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ lanmanserver \ parametersまでキーをたどって開く。
3.＜編集＞メニュー→＜新規＞→＜DWORD値＞で「AutoShareWks」を作成。
6.レジストリエディタを終了し、Windows XPを再起動する。

これで「デフォルト管理共有」の設定が無効になります。簡単に結果を確認するには、コマンドプロンプトを開いて「net share」コマンドを実行してみましょう。「C$」など各ドライブや「ADMIN$」が消えていればOKです。ただし、Microsoft Baseline Security Analyzerなど、リモートアクセスを行うツールが一部正常に動作しなくなりますので、ご了承ください。

それではまた次週お会いしましょう。

阿久津良和( http://www.cactus.ne.jp/ )