「IPSec」でインターネットVPN（LAN間接続）を行ってみた！

9月の大型連休中に行っておきたかったことの1つが、「IPSec」によるインターネットVPN（LAN間接続）。

いつも業務で（パソコン、ネットワークプリンタ、ネットワークカメラ、NASなどの）ネットワーク機器を何かしら利用しているため、おいそれと現在の無線LANルータを止めるわけにはいかなかったのですが、3日間以上の休みがあり「シルバーウィーク」が絶好のチャンスというわけです。

まぁ「PPTP」でもこと足りているのですが、一応サポート業務を生業にしている者として、一度は「IPSec」によるVPNは実際に行っておきたいことの1つです。
（ちなみにWindows2000、XPに標準実装している機能を使っても「IPSec」によるLAN間接続VPNを実現できないこともないですが、接続台数の問題や連続稼動に耐えうるセキュリティを考えると実用的ではなく却下。）

以下は接続ができた時のルータ「BRC-W14VG」のホーム画面。
（このブログの2009/6/9に関連記載あり。）

で、LAN-AのPCからLAN-Bのネットワーク機器を操作してみました。

• PCリモートコントロール（VNCを使用）
• NAS（ファイルサーバー）の共有フォルダに接続・データ取得、
• ネットワークカメラに接続・操作、
• データベースに接続
  （SQL Server 2005 ExpressEditionにExcelでADO接続）

小規模レベルでの利用なら、体感的にLANと同じ感じ。一般ユーザーならVPN接続しているということにきっと気付かないじゃないかな？
（10台以上による同時接続の場合は、LANより当然レスポンスが落ちるけど。）

ちょっと心配だったのが、暗号鍵の交換（リキー）の失敗等による切断。
キーライフタイムを3,600秒（1時間）に設定してみたのですが、3時間以上たっても切断されることなく、接続を維持していましたから一応OKかな？
（通信ログを見るのをすっかり忘れていていました。ログはやっぱりSyslogサーバーへの転送が必要だね。(^_^;)）

それにしても今時は、大きな出費もなくVPNを実現できちゃうことに改めてビックリ。

• 中古ハードウェアなら数千円レベルで入手できるし、
• 今時なら光ファイバーかADSLには既に加入しているでしょうから、追加通信費は0円、
• 無償のDDNS（CyberGateやDynDNS.orgなど）が沢山ある。

など、なんとすごい時代の変化なんだろう！　一昔ではありえない！
「IPSec」対応ルータのほとんどが企業向けで、数万円以上は絶対にかかるので、個人やSOHOレベルでは、軽いノリで試せるシロモノではなく半ば諦めていただけに、感動です。(≧∇≦)

これで基本的にIPベースの通信ソフトはインターネットを経由しても安全に利用可能になるのですが、IP層より下位のデータリンク層で動作する通信（ブロードキャストなど）は通常使えない。
例えば以下のものなんかは基本的にアウト。

• Wake on LAN（遠隔PC起動）、
• NetBIOS名による名前解決（マイネットワークの共有フォルダや共有プリンタ）
  ※IPによる名前解決は可能で共有フォルダも共有プリンタも利用可能。

もっともルータによってはブロードキャストやNetBIOSを通過機能を実装しているようですし、別途サーバー（WINSなど）を立てたりすれば可能だったりするんだけども。
このあたりは利用環境に次第ということになりますね。

補足として、このVPNルータ（「BRC-W14VG」）は、「IPSec」と「PPTPサーバー」の同時利用はさすがにできないことも自分用の備忘録として記載しておこっと。

LANなどの基本ネットワーク技術を理解したい要望って年々増えてきているように感じているのですが、机上のペーパー概念学習だけでは、挫折や時間のロスになるだけです。
難解な仕組みや用語も、やはり実際に実機を使って動作させてみることで初めて実感が沸いてくるものもあります。

そんなわけで、P-ぽけっと では（PCサポートだけではなく、）
PCネットワークの基本を理解したい方のために「ネットワーク入門講座」も行っていますので、ご興味のある方は まずはご連絡をどうぞ。(^^ゞ

今さらながらプラネックスのVPNルータ「BRC-W14VG」があつい！

最近、無線LANルータといえば、ハイパワーで高速（最大300Mbps）な11n通信規格のものが続々と登場していますね。
私も高速11n規格の製品の価格がこなれてきたら導入したいと思っていますが、今のところは11g（最大54Mbp）製品で十分かな。

無線LANルータに期待しているのは、「多機能性」か「格安」のどちらか。
そんな私が前々からYahooオークションで狙っていたのは前者で、プラネックス社の「BRC-W14VG」がそれ。
（この商品は生産終了品で、出品が少ないのですが、なぜか出品される時はまとまって見つかる。）

（ネット上の情報では、あまり評判よくない機種ですが）
ハードウェア処理による高速VPN（IPsec,3DES利用時、最大45Mbps）をうたっていて、わざわざパッケージに搭載CPUやメモリを記載していることから、発売当時のメーカの自信が垣間見れる？

この製品、とにかく多機能で「VPN機能」はもちろん「簡易NAS機能」や「VRRP（障害時自動回線切り替え）」まで実装している。
（VRRP機能まで備えた無線LANルータに、未だかつて出会ったことない。(＠_＠;)）

時に多機能製品は「マニア向けのオモチャ」という評価を下され、商業的にヒットせずに小ロット生産で終了となることもよくあるのですが、（万人ウケしないけど）ピリリと辛い製品って個人的に大好きです。

で、ゲットしました！3つも・・・(^_^;)

1. 「BRC-W14VG」・・・落札価格：4,000円
   パッケージや付属品などすべてそろっていた品です。
2. 「BRC-W14VG」・・・落札価格：3,500円
   こちらは、付属品などはそろっていましたが、パッケージはなし。でも無線LANカードが付いていましたのでお得かな？
3. 「BRC-W14VG-BT」・・・落札価格：1,700円！
   無線アンテナ欠品。（テストしてみたところ無線LAN機能も通常使用可能。）
   この製品はビットトレントやiTunesサーバまで内臓しているさらに多機能製品。

有線タイプの「BRC-14VG」なら現在（2009年6月現在）も15,000円前後で発売しています。

PLANEX VRRP対応セキュアストレージ BBルータ BRC-14VG 販売元：プラネックス 発売日：2005/06/03 Amazon.co.jpで詳細を確認する

さて、なんでこんなに買いあさっているかというと、
P-ぽけっと のお客様の中にネットワークの学習をご希望されている方が（少数ですが、）いらっしゃいまして、その方々向けに「小規模LAN／ネットワーク活用講座」のようなものを企画してもいいかな？と漠然と思っているんですね。

その講座セクションの中に「VPN」についても織り交ぜてみると、よりネットワークのご理解・ご興味を持ってもらえる可能性があるかなって。
そこに「ひょうたんから駒」的なニーズが生まれてくるかも？という小学生なみの浅はかな考えもあるわけです。

さてこの3台を使って遊んでみよう。仕事をしよう！(^_^;)

PS．---2009/9/27追記---
このルータを使って「IPSec」のよるインターネットVPN接続についてはこのブログの2009/9/27に関連記載があります。

公衆無線LANでリモートアクセスVPNを行ってみた！

以前から気になっていたこととして、
「フリースポット」など無料の公衆無線LANサービスのルータはVPNパススルー（pptpパススルー,IPsecパススルー）なの？ということ。
VPNパススルーの設定が許可されていないと（SSL-VPNなどを除いて）NAT越えの問題があるためVPNリモートアクセスができないんですね。

一般的に公衆無線LANは、認証/暗号化処理がなく（もしあったとしてもかなり脆弱）、危なっかしいこと この上ないのですが、VPNと組み合わせて使えることができれば、利用価値が俄然でてくる！

昨日、無線LANの再設定にお伺いしたお客様の近くに「フリースポット」があったので、「これはいい機会！」と思い、試してみたところ・・・結果はOK！ヽ(^o^)丿

VPNルータのログ

1. VPN接続セッション開始。
2. MS-CHAP-Ver2で認証処理開始。
3. MPPE（128bit）を使って暗号化処理開始。
   （Statelessはパケットごとに暗号化キーが異なりStatefulより安全性が高い）
4. 接続通信時間（約11分）。
5. VPN接続セッション終了。

リモートアクセス（レイヤー2）が実現できれば、LANで出来ることのほとんどが実現できるようになります。ちょっと思いつくものを記載してみると、

• Wake On LANによるPC遠隔起動。
  （このブログの2007/5/6に関連記載あり。）
  これは間違いでした・・・<(_ _)>　リモートPCからのブロードキャストはVPNトンネルを通過できないので。VPNルータにWake On LAN機能を実装しているのがもっとも確実かな。
• リモートコントロールソフトによる遠隔操作、メンテナンス。
  （このブログの2008/4/27に関連記載あり。）
• LAN内のファイルサーバやPCの共有フォルダに接続してデータ取得。
  （このブログの2008/2/21に関連記載あり。）
• LAN内のデータベースサーバやグループウェアに接続して情報取得。
• LAN内のネットワークカメラに接続して情報確認。
  （このブログの2007/10/4に関連記載あり。）
• LAN内のネットワークプリンタに印刷。

などなど。
場所の制限が大きく下がり、タイムリーな情報処理ができてとても便利です。
ちょっと大げさな言い方かもしれませんが、仕事の進め方やスタイルそのものが変ってくるかもしれません。
（もっとも最近はVPNよりも「クラウド」などのオンラインサービスのほうが注目を浴びているようですが・・・）

VPN経由でファイルサーバに接続中のスナップ。

VPN経由でネットワークカメラに接続中のスナップ。

VPN経由でネットワークプリンタに接続中のスナップ。
あまり意味ないけど外出先から印刷も可能。
（但しプリンタとプリンタポートは固定IPアドレスで運用いることが前提条件。）

P-ぽけっと では小規模環境向けVPNルータ（IPsec、PPTP）を低コストで入手し、導入から外部からの接続利用方法までサポート致します。（原則 釧路近郊になります。）
ご興味のある方はご連絡下さいませ。<(_ _)>

便利で危険な無線LANはいたるところあちこちに…

私は仕事の依頼で、無線LANの設定を行うことが多いのですが、
（P-ぽけっと の環境も含めるともう150回以上はやっているかな～。）
無線という目には見えないものの状況確認をするために、無線LANの設定が終わった後は、ツールを使って確認するようにしています。
（主に電波状態やチャンネルの「かぶり」など）

具体的な例が下の画像。

1. 無線LANルータ（又は無線LANアクセスポイント）のMACアドレス
2. SSID
   「不明」と表示されているのはSSIDを隠匿する「ステルスモード」の設定になっている。
3. チャンネル
   11チャンネルに3つのアクセスポイントがかぶっているのがわかります。（混信する可能性あるのでチャンネルの値を5つ以上離すのが望ましい）
4. 受信シグナル
   電波の受信状況は-70dBm以下でないと不安定と一般に言われています。
5. 無線LANのセキュリティ
   「None」というのはまったくセキュリティが行われていない超デンジャーな状態。
   「WEP」は完全に暗号化アルゴリズムが解読されて、無償ツールも出回っていて事実上意味をなしていない。これまた危険。

見てのとおり相変わらずセキュリティの甘い無線LANは至る所ににあるのがわかります・・。
（調査対象は英米だけど）そういえばネットでもこんなニュースがでていましたね。

『情報流出の温床に：
無線LANの57％は無防備状態、英米7都市で実態調査』

無線LANはとても便利だと思いますが、自信のない方はある程度ネットワークに詳しい方といっしょに行うほうが無難。
（このブログの2006/11/11に関連記載あり。）

ネットブックが爆発的に普及している今、隣接した車内から無線で進入しようとする輩は別に珍しいことではないので・・・(-_-;)

実録、USBメモリからのウイルス感染！

最近はお手軽メディアとしてすっかり定着したUSBメモリですが、
USBメモリからウイルス感染するというパターンが猛威を振るっているということをよくネット情報やIT系の書籍で目にします。
手法としては古典的で、ネットがまだ今ほど普及していなかった時期にOfficeソフトのデータファイルに寄生して（マクロウイルスなど）フロッピーを媒体に感染を広める手法が流行った時期がありましたから、昔に回帰しているような感じもしてなんだか妙な気もするなぁ～。

一昔前には、

「インターネット接続してないからウイルス対策してないよ。
（パソコンの動作が重くなるのでウイルス対策ソフトを入れたくない。出費もかさむし。）
それに大事なデータは別に扱ってないからね。」

とおっしゃる方もごく一部にいたようですが、
むしろ今では長期に渡ってネット接続していないほうが危険・・・
（もっともセキュリティパッチやウイルス定義ファイルを当てることの重要性を認識していない方はどっちみち危険だけど・・・。）

ウイルス対策の重要性を今一度お客様に啓蒙するという意味もこめて、
実際にウイルス対策を行っていないお客様のパソコンがUSBメモリからウイルス感染した例を記載してみます。
USBメモリから感染したマシンを実際にマジマジとみていると、（頭ではわかっているものの）なんだかリアルすぎて寒気が・・・(-_-;)

感染を確認するために、まず無償の「キングソフト」をインストールしてみると・・・

情報を詐取しようとするためなのか、バックグラウンド通信を行い、
ご丁寧にも（ウイルスプログラムの）プロセスを隠匿しようとタスクマネージャも無効にしてしまう。

一度、駆除してもWindowsのセキュリティパッチを当てていないと、その脆弱性を利用して再度USBメモリから感染する・・・。

（セキュリティソフトが制御しているけど、）
ウイルスはWindowsシステムに食い込んでしまっています。
こうなると完全な駆除は難しく、安全性と信頼性を考えてリカバリーするのが妥当。

リカバリーから復元するのは（とても時間がかかるけども）特に難しいことではなく、むしろデータファイルの救出が重要。
が、今回はちょっと厄介・・・・なぜなら感染したWindowsマシンを使ってデスクトップのデータやマイドキュメントを別のUSBメモリなどを使って移すのは二次感染の可能性が高い。

ここは、別システム（OS）から移動したほうが無難。
一般にWindowsで動作するウイルスプログラムは、他のOSでは動作しません。
（もっともクロスプラットフォームなウイルスも存在するのかもしれませんが・・・。）
今回はリナックスLiveDVDとしてメジャーなKNOPPIX（クノーピクス）を使用してデータファイルを救出。

丸3日ほどかけて、ほぼ完全修復。長かった・・・(+o+)
（セキュリティパッチ、メーカー提供の修正プログラムの適応、各種ソフトのバージョンアップ等を含む）

ウイルス感染の関連記載としては、

• HPの閲覧でウイルス感染！？（このブログの2008/08/05に記載）
• ネットワークに接続してウイルス感染！？（このブログの2006/05/27に記載）

もよろしければ あわせてご閲覧どうぞ。

P-ぽけっと では、

• ウイルス感染の疑わしいWindowsパソコンの復旧、
• ハードウェアの不調なWindowsパソコンのメンテナンス、
• セキュリティの強固な無線LANの設定（又は再設定）、
• （万一に備えて）データ自動バックアップシステムの設定、
• 実用性が高くセカンドマシンとしても有用な安価（3万～4万円前後）なノートパソコン（WindowsXP搭載）のご提供、
• 各種ソフトウェアの講座・研修。

などの様々なサポートを行っていますので、ご関心のある方、心当たりがある方はご遠慮なくご相談下さいませ。
（原則 釧路近郊が対象となります。）

PS．
最近は「検疫ネットワーク」というセキュアなネットワークシステムが大企業を中心に導入検討が盛んなようですが、SOHOや家庭向けにも安価で実現できるようになってほしい～！
（でも、過去の歴史を振り返るとこのシステムでも結局いたちごっこかなぁ～・・・。(+o+)）

無線LANセキュリティ（TKIP部分的に）破られる！

無線LANセキュリティの仕組みの1つ「TKIP（ティーキップ）」の暗号鍵が解読されたことを先日ネットニュースで目にし、「やはり・・・」という感じです。
というのも「TKIP」は、WEPの弱点を拡張・改良したものであるので、根本的な解決ではなく理論上は、ものすごい処理能力のコンピュータを使えば解析できてしまうことは前から言われていました。

• WPA-TKIPの暗号鍵は128ビット
• WPA2-AESの暗号鍵は128/192/256ビットとTKIPより強力。
  （暗号化アルゴリズムもAESはTKIPのRC4より強力）
  WinXPでは、更新ブログラム「KB893357」を追加インストールでWPA2の利用可。（日経Network 2007年8月号 P123参照）

ただ、今回の指摘は従来の辞書攻撃を使わずに、15分前後で解析できるということですから、ネットワーク管理者など業界関係者には衝撃だったと思います。

このブログのアクセスログをみると通常では、あまり見かけない無線LANの暗号化に関する検索キーワードが増えていますし・・・

もっとも暗号化セキュリティの解読は、いつの時代も「いたちごっこ」だから困ったものですね。

コンピュータネットワークがインフラとして確立している昨今、様々なシーンで認証/暗号化が使われていますが、（「SSL」や「VPN」などリモートアクセス技術には必須の仕組み。）
これが破られるとクラッカーによるなりすましで、いつでもどこでも制御されてしまいますから、便利さとリスクは紙一重です。(-_-;)

ちなみにリモートアクセスでの認証処理で利用されるハッシュ関数の「MD5」や「SHA-1」は既に脆弱性が発見されています。
（ただいつでもパケット傍受できる無線LANと比べるとリスクは格段に少ない。）

• 「MD5」はリモートアクセス技術のPPTPでの認証処理（MS-CHAP Ver2）で
• 「SHA-1」は同じくリモートアクセス技術のIPSecでの認証処理で
• 「SSH」（Linux環境で利用されるリモートアクセス技術）も「SSH Ver1」には脆弱性指摘されていて、現在は「SSH Ver2」の利用が推奨されています。

またLinuxディストリビューションの「Fedora8」までログイン認証処理に「MD5」を使っていましたが、脆弱性が指摘されたことにより「Fedora9」からは「SHA-512」に変更になったようです。（日経Linux 2008年7月号 P27参照）

さて、無線LANの設定を第三者にご依頼する場合は、認証／暗号化の違い程度はハッキリ説明できるくらいの知識を有する方にお願いするほうが無難そうです。
（最近の無線LAN機器はAOSSを実装しているものもあるので）無線LANの設定だけならだれでもできますが・・・・
その後の放置が怖い・・・（このブログの2006/11/11に関連記載あり。）

すっきりわかった! 無線LAN (NETWORK MAGAZINE BOOKS) 販売元：アスキー Amazon.co.jpで詳細を確認する

無線LANセキュリティの強化書 (白夜ムック Vol. 338) 販売元：白夜書房 Amazon.co.jpで詳細を確認する

意外と知られていない?「Windows Media エンコーダー」の便利な機能

本日（2008/09/10）は第2水曜日なので、マイクロソフト社からの月例パッチ提供日。
起床して直ぐ行ったことは、パソコン起動と手動での「Microsoft Update」実行。

設定が「自動更新」になっているんで、ほっておいても更新処理はしてくれるのですが、以下の理由で、毎月第2水曜日は少々早起きです。

• できるだけ早くセキュリティホールは埋めてしまいたい。
• 午前中はパソコンがフル稼働していることが多いので、バックグラウンド処理にリソースを消費したくない。
• 忙しい時にパソコンの再起動は時間の浪費。

（このブログの2008/04/27に関連記載あり。）

本日の月例パッチの1つに「Windows Media エンコーダー」（以下WME）に関するパッチがありましたね。（WMEをインストールしていない場合はなし。）

私が「WME」を利用しようと思ったのは、今から4年ほど前（2004年？月）で、目的は、「パソコンの画面の動画キャプチャ」。
お客様に各種ソフトの設定や操作を言葉や文字で説明するのは、時に混乱されてしまうことがあって、（例えば、Excelのピボットテーブルとか）それだったら動画ファイルを使ってビジュアル的に説明したり、ホームページで公開してしまおうと思ったのが事の発端です。

無料でダウンロード＆利用できる「WME」の本来の機能は、その名のどおり、WMV/WMA形式のエンコード（動画・音声の圧縮/伸張）行ってファイルの作成ですが、「Windows Media9シリーズソフト」と連携利用が想定されていて、パッと思いつくだけでも以下のことができます。

• パソコン画面を動画キャプチャしWMV形式のファイルの作成。
• パソコンとUSBカメラで簡易Liveカメラ（LANで動画ストリーミング配信）
• レコードやテープなどのアナログ音源を取り込んで、デジタルデータ（WMA形式ファイル）に変換。
• パソコンとテレビを接続して番組を動画ファイルにする。
  （今ではワンセグ機器やHDD搭載DVDプレイヤーなどの普及でその役目はあまり意味がありませんが・・・）

とりあえずいじってみたのですが、当時はさっぱりわからず・・・(-_-;)
（2004年当時はまだパソコン動画編集については一般的ではなく、動画特有の用語の意味がチンプンカンプン・・・）

パソコンでつくるTV録画システム Windows Media9編 (PC遊友倶楽部) 著者：大槻 有一郎 販売元：九天社 Amazon.co.jpで詳細を確認する

それで本屋さんで「WME」に関する数少ない上記の書籍購入。この書籍のおかげで当時はずいぶん勉強になりました。

さてここからが本題。（前置きが長い・・・(^_^;)）
「WME」には「Windows Media ファイルエディタ」というソフトも同梱されています。

意外と知られていないようですが、WMV形式の動画やWMA形式の音声ファイルの不要な部分をカットしてくれます。

WMA形式で音声ファイルをXP標準搭載の「Windowsムービーメーカー」で読み込んでつなげれば、「自作音楽メドレー」のような音声ファイルが簡単に作成できます。

中々便利です。（もちろん著作権の問題で私的範囲内での利用が前提ですが。）

ウイルス付きのメール！

昨日の北海道釧路市では13：00頃に猛烈な雨が・・・と記載しようと思ったのですが、お昼頃に、メールによるウイルス攻撃があったのでそのネタを少々。

私の場合、プロバイダーから配布されるメールアドレスは、ほとんど使っていなくて、たま～にしか受信していません。
そんなわけでウイルスメールを受信したことは多分？初めて。

「メールにウイルスの添付」というのは手口としては古典的ですが、
パケットフィルタなどの単純なファイヤーウォールはすり抜けてくるし、なにより心理的に添付ファイルを開かせるように細工してくるので、未だに攻撃手段としては絶えないようです。困ったもんですね・・・(-_-;)

（ごく一部の方ですが、）「セキュリティソフトはよくわからないから必要ない。」というお客様もいらしゃるので、こうしたネタはリスク体験談として説明材料に使わして頂こうっと。

それにしても、こうしたセキュリティのネタになると、「やだなぁ～。」と思う反面、「なるほど～。」と仕事柄思ってしまう私です・・・(^_^;)

Gmailに障害発生！

Gmailへの着信確認は私の日常的な作業の１つ。

今日も起床していつものようにGmailにアクセスすると、ちょっと様子が違った・・・なんとGmailの障害発生！（確認時間は07：23）

サーバーサイドのエラーなので、どうしようもない・・・(-_-;)

しばらくして、ネットニュースを読んでみると
「障害時間は2時間ほどで、（メール）データへの破損はない」
とのことだったんですが、時々バックアップも兼ねてメールソフトを使ってダウンロードしていけないなぁと思った次第。
業務情報データの損失は、時にお金に、変えられないモノがありますからね。

Gmailの稼働率はかなり高いと思っていたけど、やはり100％完璧・完全はない。いったい便利なんだか面倒なんだか・・・

あっ！そういえば、このしょ～もないブログもなくなると結構自分にはショック大きいかも。有償版に変更しようかな・・・(^_^;)

HP閲覧だけで不正進入アタック！

日々地味に忙しく、ブログの更新を怠っていましたので久々？更新。

さて、昨日HP（海外のフリーソフトサイト）閲覧していましたら、セキュリティ対策ソフトが反応！不正進入のアタック！(*_*)

対策ソフトが、水際で食い止めてくれたのですが、「ポート80」型の手口はおっかない～。(*_*;
（ちなみに、今年の初めにも、トロイ型のワームを仕込まれそうになったことがあったけ。
（このブログの2008/01/27に関連記載あり！）

改めてセキュリティ対策ソフトの重要性を身をもって実感です。（出来ればそんな体験したくないのですが。）

さて、リスク名が「MSIE COM Object Memory Corruption」ということは、どうやらIEのコンポーネントを悪用した攻撃のよう・・・(-_-;)
やっぱり世間でいう「IE」は狙われやすいということも、あながち言いすぎでもなさそうです。
「FireFox」はHPのレイアウト表示の確認に時々使っているけど、ブラウジングも「IE」から「FireFox」に完全に乗り換えようかな・・・。

今月の「日経Linux」はすごかった・・・！

今月（2008年5月号）の「日経Linux」を購入したんですが、私にとって、今までにないくらいエキサイトな内容でした。（笑）

日経 Linux (リナックス) 2008年 05月号 [雑誌] 販売元：日経BP出版センター Amazon.co.jpで詳細を確認する

「日経Linux」は数ヶ月に一度の購入頻度で、「Linuxの今ってこんな感じなのね。」と、どちらかというとさら～っと流し読み程度。
ですが今回はLinuxとWindowsを使って、SSH（Secure SHell）を使った暗号化リモートアクセス環境の構築の手順が詳細に記載されています。＼(◎o◎)／！

それとPXEブートを使ったネットワーク経由でのOSインストール記載されているから目を皿のようにしてみちゃいました。
（ちょっと古いけど、雑誌「PCJapan」2007年2月号のP40～P49にも記載されてましたね。）

（以下雑記として）
リモートアクセスを行う時は安全性上、暗号化処理が必須となるのですが、
一般にサーバー側がLinuxの場合はSSH、Windowsの場合はIPSecやPPTPを使うようです。
これはOS機能の実装状況などが関わってくると思うのですが、サーバーがWindowsでもSSHを使おうと思えばできるんですね。
興味のある方は、以下の書籍のP196～P200が参考なると思います。

絶対わかる!Windowsネット超入門 増補改訂版―ネットワークのしくみを知る!基礎を学ぶ! (日経BPムック ネットワーク基礎シリーズ 8) 販売元：日経BP社 Amazon.co.jpで詳細を確認する

基本的に全部フリーソフトで行えるので多少のネットワークの知識さえあれば投資金額ゼロで構築できます。

「Microsoft Query」をVPN接続でテスト！

本日はちょっと時間がとれたので、前々から行いたかったテストを実行してみました。

1. VPN接続コネクション（PPTP使用）を確立して、
2. 遠隔地にあるファイルサーバー内のAccess DB（mdbファイル）のテーブルに接続し、
3. 「Microsoft Query（マイクロソフト クエリ）」でテーブルデータを動的取得し、
4. Excelに表示。

目視で確認したいのは動作レスポンス時間。
（「Microsoft Query」については、このブログの2006/11/21に関連記載あり。）

VPN接続とは、おおざっぱに言うと、インターネットをはさんで拠点間を１つのLANのように扱えるようにする技術です。
（ただ通常のLANの場合と異なるのは、データがインターネットを経由しますので、「認証処理」、「暗号化」、「改ざんの防止」に伴う、様々な種類の技術がてんこ盛りになること・・・）

（VPN接続では流れる通信データ（パケット）をカプセル化しますが、）
リモートアクセスマシンに届いたデータは復号されるので、理論上は通常のLAN接続の時と同じように、「Microsoft Query」でデータベースに当然接続できるはずです。
そう、理論上の話なので、この目で実際に確かめてみないとスッキリしないタチなんですよね～私って(^_^;)

あっ！「Microsoft Query」は、直接ネットワークリソースを参照できない仕様？のようなので、事前に「ネットワークドライブ」の割り当てを行っておく必要があります。
（「ネットワークドライブ」については、このブログの2007/1/14に関連記載あり。）

で、結果は接続できました。当たり前と言えば当たり前ですが・・・
取得データも（後述）少なかったので取得にかかる時間も約5～10秒ほどでした。

それにしても、経験から得た知識は、記憶の残り方が全然違いますね。
（私も年のせいか、机上だけの知識はすぐ忘れちゃいます。トホホ・・・）

備考としてテストに使った通信回線は

• P-ぽけっと 側がBフレッツ ハイパーファミリー（実測15Mbps程度）、
• リモートアクセス側は、ADSL モア （実測1M程度）

テストに使った取得データは、

• （テスト用）mdbファイルのテーブルに100件程度のレコード。

リモートアクセステストマシンの主なスペックは

• OS：Windows XP SP2
• CPU：セレロン1.8Ghz
• メモリ：512MB

KNOPPIXでデータ救出！

昨日、いつもお世話になっているNさんから「パソコン起動しなくなっちゃたんですよ」とのご連絡があって、お話をお伺いすると

前日から異音がしていたということと、ブルースクリーンが表示されたということで、ほぼ間違いなくハードディスク障害・・・
（ブルースクリーンについてはこのブログの2007/2/22に関連記述あり）

「データのバックアップはとっています？」の問いに、「まったく・・・」
しばしお互い沈黙・・・(^_^;)

「とりあえずできる限りのことはやってみましょう。」とパソコンをお預かりして起動してみると・・・

WindowsのインストールCD-ROM内にある「回復コンソール」で復元できるようなメッセージが表示されましたが・・・

結果は（わかっていましたが・・・当然）アウト！(+o+)
（もともと「回復コンソール」はHDDの物理的な破損には無意味・・・
逆にNTローダーやMBRなど起動プログラムやシステムファイルの破損（通常はCドライブのWindowsフォルダー）なら修復可です。）

（しばし時間が流れて）・・・・・そうだ！＼(◎o◎)／！
「KNOPPIX（クノーピクス）」のLiveCD（DVD）で、ハードディスク内のまだ破損していない部分にアクセスできればデータファイルだけでも取り出せる可能性があるぞ！

Linuxディストリビューションの1つの「KNOPPIX」のLiveCD（又はDVD）内にOS機能が含まれていているんですね。
そのLiveCD（またはDVD）をパソコンのドライブにセットして起動すれば利用できます。
そしてパソコン内のハードディスクはあたかも外付けハードディスクと同じような感じになります。
後は、別の外付けHDDなりUSBメモリなどをパソコンに接続して「マウント（割り当て）」作業を行えば、データの救出（移動）が行えます。
（このブログの2007/9/27にKNOPPIXの関連記載あり）

でやってみると・・・読み込み成功～＼(^o^)／

しかし、「キリキリキリ・・・」というHDD故障時特有の異音を立ているのでノンビリもしていられない。　(-_-;)
早急に以下のデータ救出を開始。

• マイドキュメント＋下位のフォルダ
• デスクトップ＋下位のフォルダ
• お気に入り＋下位のフォルダ
• メールデータ
• （メール）アドレス帳
• ユーザー登録辞書

マイピクチャ内の写真の15個ほどが破損で移動できませんでしたが、全データの99.5％は救出に成功！ふぅ～。(^_^;)
Linuxが思わぬところで役立ちました。これからもLinuxへの学習＆投資は続けよう！

それにしても、皆さんデータファイルだけでもバックアップを取りましょうね！お金で買えない物もありますから・・・

P-ぽけっと PCサポート では、日本語版Windowsパソコンの
「自動データバックアップ」設定および、「バックアップデータからの復元」設定を承っています。
ご心配な方は是非ご相談下さい。　(^^ゞ

あやうくウイルス感染！

本日、朝からネットで調べ物をしていると、画面表示の動作が明らかに遅い・・・
「変だぞ？」と思ったら、セキュリティ対策ソフトが反応！＼(◎o◎)／！

あやうく、マルウェアが仕込まれるところだった！(-_-;)

それにしても、Webページを閲覧しているだけで感染するタイプは本当に怖い！
ユーザーが目視で確認できるわけではないので、セキュリティ対策ソフトの検知能力が頼みの綱ですね！
P-ぽけっと のお客様にも、セキュリティ対策ソフトの有効期限が切れている方が、いらっしゃるのですが、この記事でわかってもらうしかないなぁ～(^_^;)

日本国内にも40～50台に1台がウイルス感染しても気づかずにそのまま利用している可能性があるそうです。（日経パソコン 2006/8/14号・・・P67）
本当に他人事ではありませんね。(*_*)

「Norton Internet Security 2008」導入…その2

先日（2007/12/11）の続きものです。
「Norton Internet Security 2008」の「ネットワークセキュリティ」という新機能について感想を少々記載。

P-ぽけっと では安価なネットワーク機器を積極的に導入しているのでネットワーク管理機能は前々から「ほしいなぁ～」と感じていました。

1. 無線LAN環境が適切な設定（特に暗号化設定）かどうか一目でわかる。
2. 設定されている無線LANのESS-IDが表示（複数の表示も可能？）される。
3. LANに接続されている（いた）機器の数が一目でわかる。
4. ネットワークに接続されている機器はリアルタイムで表示されるわけではなく「更新」ボタンをクリック（ブロードキャストで）しないと現在の状態になりません。
5. ネットワークマップ・・・LANに接続している機器の一覧。
   （グレーになっている機器は電源が入っていないことを表しています。）
6. 5の一覧の機器は編集することができ、何の機器かがよりわかりやすくなります。
   （ただし管理編集できるのはブロードキャストが届く、単一のネットワーク内だけ。）
7. 「信頼制御」・・・ウイルス定義ファイルなどが最新版かどうかが一目でわかる。
8. 5で選択した機器の物理アドレス（MACアドレス）と論理アドレス（IPアドレス）が表示されます機器が一目でわかる。

などなどです。
簡易的な集中管理機能でしかないですが、小規模事業所・SOHO環境では、中々これでも有益な機能に思います。

実はネットワーク管理機能は「ノートン」よりも昨年の「ウイルスバスター2007」のほうが先に「無線LANパトロール」機能として実装していましたが、今年の初めに体験版で動作テストしたところ（このブログの2007/1/6に関連記載あり。）恐ろしく処理が重く、却下・・・

しかも、「ウイルスバスター2007」の場合、3台までパソコンにインストールできると謳っているものの、法人は不可！・・・(+_+)
（※「同2008」からは法人もOKになったようですが・・・いまさらねぇ～(-_-;)）

「Norton Internet Security 2008」導入…その1

12/8（土）、9（日）はP-ぽけっと では「医療事務コンピュータ講座」があり、今年も「会場＋コンピュータ＋ネットワーク環境」をご提供させて頂きました。
（P-ぽけっと の受講生さまの一部の方には受講日振り替えをお願いして恐縮でした。<(_ _)>）
医療事務コンピュータ講座は年数回、開催されているので会場費も中々の収入になります。とてもありがたいですね。(^^♪
（会場提供に関してはこのブログの2007/7/27に関連記載あり。）

さて、会場のマシンのセキュリティ対策ソフトを「ノートン・インターネットセキュリティ2008」に変更した少々記載。

Norton Internet Security 2008 販売元：シマンテック 発売日：2007/09/21 Amazon.co.jpで詳細を確認する

というのも、普段利用している無料版「キングソフト インターネットセキュリティ」では以下の問題があるからです。

（前置きとして）
管理者権限アカウントでのご利用はセキュリティ上問題があるので、医療事務講座の受講者さまに関わらず、一般の方々には（システム関連の変更が一切できない）ゲストユーザーアカウントでご利用頂いています。

• 「キングソフト」はゲストユーザアカウントごとのファイヤーウォール設定ルールを保存することが出来ない仕様？のようで、
  ゲストユーザーアカウントでログインした場合、通信系ソフトが動作するたびにアラート画面が表示されてしまう・・・これでは受講生さんがビックリしてしまう・・・(+o+)
  
• ゲストユーザーアカウントでログインしていると、キングソフトのウイルス定義ファイルのインストールできずCPU使用率が100%の状態になる。（管理者権限アカウントでないとインストール出来ない仕様なのか？）
  つまりフリーズしたような状態、もしくは恐ろしく動作レスポンスが悪くなってしまう・・・これでは医療事務データベースソフトが使いものになりません
  ・・・(+o+)

最近ちょっと他のセキュリティ対策ソフトに押され気味の「ノートン」ですが、そうは言っても開発元の「シマンテック社」はソフトウェア会社としては世界第4位！の超巨大企業です。
（※ ネットワークマガジン2007年2月号P28参照）
上記の問題もしっかり対処してくれます。＼(◎o◎)／！

また「ノートンインターネットセキュリティ」は以下の点が改良・追加されているようで、評価できると思います。

• 前バージョンの2007よりメモリ使用量が少なくなり、パソコン動作がより軽くなった。
• （有線／無線デバイスの）LAN監視機能が追加。
  （無線LAN機器が多数あるP-ぽけっと にとっては中々便利。）
• 2,000円のキャッシュバックキャンペーン！
  （近くの電気店で約6,000円で販売していましたからキャッシュバックで実質4,000円になる！）

そんなわけで約1年ぶりにノートンユーザーに戻りました。(^_^;)
次回は新機能の「LAN監視機能」について少々記載予定です。

ブロードバンドルーターのセキュリティ

ブロードバンドルーターに「パスワード設定」を行うのは、企業では当たり前なのですが、
（でないと勝手にルーターの設定を変えちゃう輩が社内にいるとも限らないので・・・）
家庭やSOHOなどの小規模オフィスでは、そうでもないケースが多いようです。
というか、そうした機能自体をご存知ないと言った方が正しいかも？

なんでこんなことを述べるかと言いますと、ブロードバンドルータにパスワード設定していないと「ドライブバイ・ファーミング」攻撃をうける可能性があるから・・・

「ドライブバイ・ファーミング」とは簡単に言うと「パスワード設定」していないブロードバンドルーターの設定を強制的に書き換えて、悪意のあるサイトに自動誘導させてしまうという手法。

よく似た手法の「ファーミング」が、一時話題になりましたが、Windowsを直接攻撃する方法は最近は下火？のようです。
（Windowsのシステムファイル内にある「hosts」ファイル情報を書き換えて、悪意のあるサイトに誘導。ファーミングと呼ばれるのは「植えつける」意味から。）

そして、最近「バッファローのVPNサーバー機能を搭載しているブロードバンドルーターに脆弱性を発見！」というニュースが！＼(◎o◎)／！

バッファローでは、ファームウェアを最新の「Ver 2.49」に更新することで対処とのこと。

P-ぽけっと では、導入段階でファーウェアの更新をしているのですが、お客さまに納品予定だった今回問題のあるルーターのファームウェアの更新は、まだだったからあぶないところだったぞ・・・(-_-;)

それにしても最近はパソコンだけでなく、ルーターも攻撃対象になる時代・・・
そのうち、携帯電話に感染するウィルス、マルウェアなどもでてくるのは時間の問題・・・？

ウイルス誤認識･･･？

先月の9/29に、以前新古パソコンを代理購入させて頂きました、Aさんのセキュリティ対策ソフトの期限が終了しそうだったので更新処理の依頼があったのですが、

今回利用したのはついに出てきた、完全無料版の「KingSoft InternetSecurity Free」を選択。

アップデート処理時に一瞬広告が表示されますが、有料版とまったく同等のセキュリティ機能で更新期限がないのは、利用者にとってはお得ですよね。私もプライベートパソコンで使っています。
（キングソフトについてはこのブログの2006/6/2にも記載しています。）

設定処理が終わった後、念のためウイルススキャンを行うとウイルス検知！＼(◎o◎)／！

しかしよ～くみると、どうもキングソフトが誤認識している可能性が高い。(-_-;)

今回のお客様のパソコンはNECのノートPCでハードディスクから、リカバリーを行える機種でして、復元には「ノートン・ゴースト7.5」を使っています。
「元の場所」から判断すると、おそらく隔離処理された「A0011751.EXE」ファイルは、リカバリー時に使用する「ノートン・ゴースト」のファイルと思われます。

リカバリーする（もとに戻す）という動作から「ウイルス」と判断？するのなら、少々これは早合点の気がするなぁ・・・
（本当にウイルス感染しているかもしれないから一応隔離したけど。）

（ちなみに「AGRSMMSG.EXE」ファイルはNECパソコン？が採用しているAG7規格に対応したモデム通信ソフト。これも誤認識の気がする・・・）

誤認識らしきものがあったりして、「キングソフト インターネットセキュリティ」の評価は人によってかなり差があるようですが、それでも個人的には結構キライではないですね。（雑感）

ネットワークカメラにVPNリモートアクセス

昨日の仕事の1つに、お客様に納品予定のネットワークカメラをVPN（PPTP）環境において動作レスポンスを確認するテストがありました。
利用したカメラは パナソニックのBL-C131。

松下電器産業 ホームネットワークカメラ BL-C131 販売元：松下電器産業 発売日：2007/02/17 Amazon.co.jpで詳細を確認する

この製品、Webサーバーを内臓しているコンピュータ（OSはLinux？）で、パソコンとケーブル接続する必要はなく、単体で動作します。

閲覧には普段HPを閲覧する時に利用するブラウザソフトを使い、LAN内はもちろんインターネットからの閲覧ができるところが今時の製品らしさを感じさせますね。

主な特徴としては

• 無線LAN対応で設置場所の自由度が高い。
• 遠隔操作によりレンズが動かす（パン・チルト）ことが可能。
• 携帯電話からの閲覧、操作も可能。
  （但し一部の古い機種の携帯電話には非対応。）
• 最大50人分のユーザーIDとパスワード登録可能で、認証機能でアクセス可能なユーザを制限できる。
• 音声も拾えます。
• 結構暗い場所でもOK。
  （レンズ対応照度が3～10,000ルクスとこの手の製品としてはかなりの幅がある。）
• 10倍デジタルズームで拡大もOK。
• 人感センサー機能が設定でき、反応するとメールにて通知、防犯としても利用可。

ただ暗号化をおこなう機能（メジャーな例としてはSSLプロトコルなど）を実装していないのでインターネットからの接続の場合、（いわゆる暗号化のない）「ベーシック認証」なので、「ユーザーID」と「パスワード」がそのままでインターネット上に流れてしまう点は少々問題あり？です。
（自然の景観など、不特定多数の方が閲覧できる公開型の利用ならそれほど問題ないのですが。）

そこでVPN接続によるトンネリング技術等を用いることで、インターネットを使った外部からの接続時でも、安心して利用できるようになります。

接続時のテスト環境はBフレッツハイパーファミリーとフレッツADSLモア（12M）でしたので、

• パンチルト時の動作レスポンス、
• 映像の延滞
• 音声の延滞

などが、確認ポイント。
それで結果としては、動きの速いもの（例えば走っている子どもなど）は、ちょっとカクカクしますが、個人的に運用上は問題ないと思いました。

こうした製品は得てして、「監視が目的」とした、ちょっとネガディブなイメージになりがちですが、アイディア次第で様々な利用シーンにマッチした有効なツールになると思っています。

メールボム攻撃発生！

日々の業務でブログで書きたいネタは沢山あるのですが、今日は「メールボム（爆弾）攻撃」について。
本日の11：30から約30分という短時間にメールを500通近くもメールサーバーに送りつけられる攻撃が発生・・・＼(◎o◎)／！

最初はメールソフトで受信（ダウンロード）していましたが、途中からクライアントPCに負荷がかかり、危険と判断。
フリーソフトの「nPOPQ」でメールサーバーにアクセスしてスパムメールをクライアントPCに受信することなく直接削除しました。

こうした短時間にアクセスして、サーバーをダウンさせる、「メールボム」や「Dos攻撃」は攻撃の種類としては古典的なのですが、実際に受けるは初めてなので少々ビックリ・・・(-_-;)
そのほとんどが海外からのものですが、中には、日本語による記載でクリックを誘う、ずいぶんと悪質なものも・・・いやはや迷惑なものですね。

リモートアクセス その3

リモートアクセスについての雑感 第3弾。
今回はハードウェアメーカーのインテルの新CPU「v Pro」のリモートアクセスによる新しいパソコンの管理について少々記載。

最近のリモートアクセスはソフトウェアベースが流行？ですが、ハードウェアメーカーのインテルだけあってハードウェアベースの管理ソリューション。
（ハードなので高額になりますが、OSなどのソフトウェアの影響をうけないことがメリット。）

また通常リモートアクセス管理は、サーバーなどの固定マシン環境がメインでしたが、「v Pro」はノートPCなどの移動環境でもリモートアクセスできます。しかも無線LAN環境でも管理できるというところがすごい！＼(◎o◎)／！
もっとも、便利と感じるのは利用者よりも遠隔サポートできるシステム管理者かもしれませんが・・・

サイトに内のショートムービーは、少々大げさですが、劇中の「ビジネスマン・プロ」=「v Pro」とかけている演出が結構感心しましたね。(^^♪

リモートアクセスVPN（PPTP）の実験

昨日はちょっとまとまった時間がとれたので、VPN（ Virtual Private Network = 仮想専用網）によるリモートアクセスの実験を行っていました。
（VPNは簡単に言うと遠隔地から会社などのネットワークに安全に接続する技術の1つです。）
最近ではブロードバンド通信が高普及してきたこともあって、個人や小規模オフィスでもVPN環境を構築したいニーズは潜在的にあるような気がします。
（ただVPNの仕組みは結構複雑で、私は昔よく参考用に以下の書籍を読んでいました。）

失敗しないVPN構築―VPNベストチョイス/SoftEther自由自在 (アスキームック―Network magazine mook) 販売元：アスキー Amazon.co.jpで詳細を確認する

すっきりわかった!VPN (NETWORK MAGAZINE BOOKS) 販売元：アスキー Amazon.co.jpで詳細を確認する

VPNには様々な種類があり、用途に応じて選定していくのですが、今回はルーターにVPNサーバー機能（PPTP）を搭載している、バッファロー社のWZR-RS-G54HP（生産終了品）でハードウェアVPNを実験。

この製品のVPN（PPTP）スループットが15Mbpsということで体感的にどのくらいなのかが、最も気になる点でしたが、個人的にはまったく気にならないくらいのレスポンス。
（もっともインターネット回線のトラフィックによって左右されるんですけども・・・(^_^;)）

WZR-RS-G54HPは生産終了しているので、2007/9/10現在、無線LANルーターでVPNサーバー（IPSec／PPTP）機能を搭載している比較的な安価な製品はプラネックス社の以下製品ぐらいなのかな？

PLANEX 無線ダウンロードルータ BRC-W14VG-BT 販売元：い〜でじ！！楽天市場店 楽天市場で詳細を確認する

こちらはメーカーが公開しているVPNスループットは45Mbpsと上記の製品より復号処理（暗号化を戻す処理）が高速で、IPSecにも対応なので様々なオプション設定もあるようです。

PS．
PPTPとIPSecに関しての動作や違いはこちらのサイトがわかりやすいですね。

ネットワーク経由のデータバックアップ

このブログを閲覧して頂いている方々の中にはパソコンのハードディスクが壊れて大切なデータや思い出の写真が全部パァ！になった苦い体験がある方が、少なからずいらっしゃるのではないでしょうか？
御多分もれず私もあります。(^_^;)

で、バックアップとなるのですが、いちいち手動コピーを行っていたのでは、とっても面倒。
（まして複数台パソコンがある場合は、管理が煩雑で、面倒くさがり屋の私にはとてもやってられません。）

そこでバックアップソフトを利用することになるのですが、P-ぽけっと ではパソコン雑誌などでよく紹介されている「Bun Backup （ブンバックアップ）」を重宝しています。

なぜこのソフトといいますと、（自動）ネットワークログイン機能があるため！

P-ぽけっと では、ファイルサーバーが稼動していて、一応セキュリティの面からファイルサーバー内の各フォルダには認証によるアクセス権を設定して管理しています。

ネットワーク ログイン機能のないバックアップソフトでは、時間設定したバックアップの時間がきても認証の機能がないのでいつまで立っても動作が始まらず、結局自動バックアップにはならない。(ToT)/~~~

ところで、地震の多い釧路。
新潟県の柏崎級の災害（家屋そのものが半壊、又は全壊）が発生した場合は別のコンピュータにバックアップをとってもおそらく対処できないでしょう。

企業ではそうした災害対策復旧（ディザスタ リカバリー）に対応した製品を導入していますが、最近では個人向け製品にも搭載されてきました。

ノートン360 販売元：シマンテック 発売日：2007/03/23 Amazon.co.jpで詳細を確認する

この製品はインターネットを介して遠隔地のサーバーに2GBの容量までのバックアップできる機能があるんですね。

この製品がよいかどうかはさておき、個人向け製品にこうした機能が搭載されてきた意義（つまりバックアップもセキュリティ対策の1つということ。）は大きんじゃないかなって思います。

スパムメール対策は必須！

先日、P-ぽけっと で使用しているパソコンのウイルス対策ソフトの利用期限終了まで3日を切ったので、更新処理を行おうかと思ったのですが、

「そういえば雑誌のプレゼント当選のノートンあったなぁ（このブログの2007/7/4に関連記載あり）。それでも使うか。」

ということで、「Norton Internet Security 2007」をインストール。

ノートン・インターネットセキュリティ 2007 VISTA対応 標準版 販売元：シマンテック 発売日：2007/02/09 Amazon.co.jpで詳細を確認する

少々動作が重い気がしますが、以前のノートンより処理軽く改善されている（らしい）ので、これで良しとしようと思っていたら・・・
迷惑メール対策ソフトの
「Norton Anti Spam（ノートン アンチ スパム）」がインストールされていないではありませんか！＼(◎o◎)／！

これは非常に困る・・・(-_-;)
それは P-ぽけっと にはスパムメールが多い時で1日100通以上届くから。(-_-;)
（これはおそらく、ホームページに公開しているメールアドレスがネット上にハイカイしている巡回ロボットに拾われているためでしょう。）

そのため、きっちりスパムメールフィルタリングの振り分け機能が必須なんです。
（ちなみに以前利用していた対策ソフトは1ヶ月にミスフィルタが1回あるか・ないか、でしたからフィルタリングの精度は約99.967％です。）

「でも昨今のセキュリティ対策ソフトスイート（統合ソフト）でスパムメール対策機能がないわけないぞ！
ないなら（スパム対策フリーソフトの）POPFileになるのか・・・フィルタリング機能が効いてくるまで、しばらくPOPFileに学習させなくはならないから、少々面倒だぞ・・・(-_-;)」

で、ノートンをリリースしているシマンテック社のサイトを見てみると・・・
ありました、「Norton Add-on Pack」として。

それにしてもデフォルト（標準）で組み込まれていないのはちょっと不親切だなぁ～(+o+)
なんでアドオン（追加組み込み）なんだろう？

情報漏洩を食い止めるハードとソフト

今年の10月から、P-ぽけっと の代表の太田が釧路短期大学の非常勤講師を務めるに伴い、学生さんの情報を扱うことになるということで、情報漏えい対策ツールの1つ、指紋認証機能付きUSBメモリを導入しました。

BUFFALO RUF2-FS256-W USBフラッシュメモリ 指紋認証 256MB 販売元：バッファロー 発売日：2006/08/11 Amazon.co.jpで詳細を確認する

この製品、USBメモリ内部に指紋認証プログラムを内蔵しています。ですからパソコンに別途ソフトをインストールする必要がありません。（でも少々お高めです。）

最近はノートパソコンの紛失・盗難による情報漏えいが後を絶たないので、一部のノートパソコンには指紋認証機能を標準搭載している製品もあります。
（このブログの2006/8/23に関連記載あります。）

さらに進化？して最近はこんなソフト商品も・・・(＠_＠;)

TRUST DELETE Vista対応版 販売元：トリスター 発売日：2007/04/20 Amazon.co.jpで詳細を確認する

「パソコンをなくしても安心。」と謳っているこの製品のすごいところは、

• ノートパソコンが紛失や盗難にあった場合でもデータをインターネット経由で消去でき、
• 一定時間インターネットに接続しなかった場合に、対象データを見えなくする「不可視タイマー機能」などを備える

というところです。(＠_＠;)
まるでスパイ映画によく出てくる、「なおこのテープは30秒後、自動的に消滅する・・・」のシーンみたいですね。

世の中、便利なんだか不便なんだか・・・(+_+)

ありそうでなかった無線LANルーターのマルチアクセスポイント機能

ワイヤレス好きな私は（というか絡まるケーブルは掃除に嫌気が・・・）
通信機器の選択時には、無線LAN対応のモノをまずチェックします。昨今では比較的安価に無線LAN対応機器が数多くリリースされていますしね。

無線LAN利用で重要になってくるのが安全性の確保（暗号化の設定）。
一般家庭ではリスクが少ないと思われるかもしれませんが、無料の専用ツールを使用すれば各種パスワード（ミクシィー、ブログ、専用サイト）やメールなどは丸見え状態です。
しかも比較的簡単に・・・電波は見えないだけに悪用に気づきにくい・・・怖い話です。

以前に（暗号化強度の低い）ゲーム機器を無線LANに接続といったケース（このブログの2006/11/12に記載）があったのですが、こうした場合はすべての無線LAN機器の暗号化強度を下げなくてはなりません。

しかし、こうした状況を解決してくれる無線LANルーターが先月発売に。＼(^o^)／

corega CG-WLBARGSX 販売元：コレガ 発売日：2007/05/07 Amazon.co.jpで詳細を確認する

最近の無線LANの話題はIEEE802.11nと言った通信速度の大幅強化が話題になっていますが、マルチアクセスポイント機能に目を向けた製品って今までありそうでなかったというかユニークな発想だなって思っています。
もっとも、全ての無線LAN通信機器が（ファームウェアの更新などで、暗号化強度の高い）AES対応になればなんの問題もない話とも言えますが・・・

この無線ルーターがP-ぽけっと にあったら、おもちゃで有名な「バンダイ」から発売されている無線LAN対応のロボット「ネットタンサー」導入できちゃうでしょ！って思っちゃいました。

この製品、パソコンから無線リモート操作できて、装備しているカメラの映像をモニタリングできます。
しかも自分で動作プログラミングすることも可能で、様々な動作・機能のカスタマイズできるところが今の時代を感じさせる商品です。

ですが！無線暗号化強度が（最も）弱いWEPのみ・・・なので導入は無理って思っていました。
しかし、前途のマルチAP機能搭載の無線LANルーターを使えば、パソコンなどの無線通信暗号化の強度を下げることなく（つまり安全性を保ちつつ、）「ネットタンサー」利用できます。

「ところでこのロボットの導入は、仕事と関係あるの？」と言われれば・・・笑うしかありません・・・(^_^;)

中古ノートPCでスカイプは安定動作する？

依然として中古ノートPCの代理購入依頼が多い今日この頃。 (^^♪
昨日もYさん（このブログの2006/10/4、11/11に登場させて頂いています。）からの依頼がありました。(^^ゞ

で、中古ノートPCの購入の目的の1つは（2006/10/4の記載にあるとおり）「スカイプ」を利用して国際結婚してイギリス在住の娘さんご一家と（通信コスト０円の）テレビ電話の実現だそうです。

是非、実現させてあげたいのですが、いくつか注意点も・・・。

• 中古パソコンのスペック（特にCPU）
  スカイプは安全な通信を実現するために暗号化（AES方式）しています。
  またYさん宅はこれまたAES暗号化を設定した無線LAN環境。
  これはパソコンに届いたデータを暗号化処理から戻す（復号化処理）を2重に行わなければならず、タイムラグが少ないようにするにはそれなりのパソコンの性能が必要となることを意味しています。
  （CPU：1.5GHｚ以上、メモリ512MB以上は必要？）
• 通信環境
  Yさん宅の通信環境はADSL。上がりのデータ通信が下りに比べて細い・・・。エリアによっても通信速度にムラもある。これはADSLの特性なので仕方ありません。
  音声データはともかく、Webカメラの配信動画データは抑える必要がありそう。

結論としてADSL環境下では、
「実際に行ってみないとわからない」としか言えません・・・(^_^;)
中古ノートPCに関しては2003年以降の発売のもので4万～5万程度の価格帯になりそう。時間をみつけて物色してみよっと。

さて、スカイプの爆発的な普及に伴い多くの便利な周辺機器が発売されていますが、個人的には（無線LAN環境が整っていれば）以下の製品がお奨め？って思っています。

Logitec Skype専用 無線LAN携帯端末 販売元：ロジテック 発売日：2006/09/30 Amazon.co.jpで詳細を確認する

（スカイプ）専用端末なので、パソコンにとらわれず使用できるところが最大のアドバンテージ。パソコン操作に不慣れな方にとってはこちらのほうが、携帯電話のようでわかりやすいと思う。

ちょっと値が張るのと動画通信（テレビ電話）ができないのは「たまにキズ」。(^_^;)
でも情報通信機器の定め？としてきっと低価格製品がリリースされるんじゃない？っと勝手に思ってます。

セキュリティアップデートのオンパレード！

ついに6月になりましたね。2007年も中盤戦に本格突入といったところですが、「ついこの前まで正月だったでしょ！」なんてくらいのんびり屋な私・・・(^_^;)

さて、そんなのんびり屋な私でも仕事上のんびりしていられないのが、セキュリティ関連のチェック。
正直なところ面倒極まりないことなのですが、安全性確保ためには仕方ありません・・・トホホ。　(ToT)
そんなわけなのかどうなのか、最近アプリケーションレベルの（セキュリティ）アップデートが頻発状態。

• OpenOffice.org 2.2リリース 複数の脆弱性に対応
• QuickTime Player に深刻な脆弱性
• Firefoxに危険度「高」の脆弱性
• Adobe Shockwave Playerの最新版
   

などなど・・・
上記のネット系アプリケーションをインストールしていない場合はなんの問題もないのですが、どれもメジャーなソフトなので結構利用されている（もしくは購入した時にインストールされている）方も多いと思います。

ちなみに、このブログにアクセスしてくれている方々のOS別の記録をみるとサポートの終了したWindowsをご利用されている方がそれなりにいるようです・・・これはセキュリティ上少々 かなり問題ありですね～。(*_*)

そういえば昨日、「つい！」にと言うか、「もう！」と言うかオープンソース（無償）OSの雄、Fedora Linuxの最新版「Fedora 7」を公開！されました。＼(◎o◎)／！
ちなみに前バージョンの「Fedora Core 6」は昨年2006/10にリリースされたばかり。Webサービスやオープンソース系のサイクルは早い、早すぎる・・・(-_-;)

インフルエンザからようやく回復？

先日、カゼを引いてしまって高熱にうなされていたのですが、とりあえずインフルエンザではありませんでした。
ところが、同時期に娘がインフルエンザA型にかかって、体調がよくない私もたちどころにインフルエンザに・・・(T_T)
現在、物議をかもしているタミフルを服用。今週の中頃に正常な体調になりましたが、しばらく頭痛と咳がひどくお仕事モードになれませんでした。

コンピュータウイルスもすごいですが
（このブログの2006/5/27に非常に感染力の強いウイルス=サッサーに感染したお客様のパソコンに関するエントリー記事あり。）、

現実のウイルスも、ものすごい感染力ということを身をもって知った次第・・・。(-_-;)

さて溜まっている仕事をやっつけるぞぉ～＼(-o-)／～（独り言）　

ポート25 ブロッキング！

いつも P-ぽけっと スタッフ一同、いつもお世話になっている「なのはな整骨院」さまから、

「（レンタルサーバーからの）メール受信は出来るんですが、送信ができないんです・・・ホームページからお問い合わせが数件きているのですが、返信できないんですよ。」

とのご連絡が。
「あら、メールアカウントの設定でも間違えちゃったかな？」と思いながらも、実際に訪問して実機を確認してみると、ちゃんとメールアカウントの設定や認証パスワードにも間違いがない・・・(-_-;)

「う～ん・・・受信はできるが送信ができない・・・はて・・・メール送信サーバー（SMTPサーバー）の障害または定期メンテナンスか？　」
と契約しているレンタルサーバー会社のWebサイトで確認してみるも、そうした情報はなし。

「メール送信サーバー（SMTPサーバー）名でも間違えたかな？」
（確認してみるも）これまた間違いなし・・・しばし時間が流れる・・・(-_-;)

「あの～レンタルサーバーの書類をちょっと見せて頂けます？」

そうして書類を持ってきて頂いたのですが、ISP（インターネット・サービス・プロバイダー）の書類。

「あっ、これは Plala（ぷらら）の書類ですね。違います。でもこうした書類ってよく似ているから区別つかないのは無理もないですよね～。（苦笑）・・・そうそうこれはPlalaの・・・ぷらら・・・はっ！(◎o◎)！もしかして！」

早速、Plalaのサイト内検索するとありました「アウトバウンド ポート25 ブロッキング！」

この機能について簡単にご説明すると、最近増加の一途をたどっている迷惑メール送信の減少を目的としています。
ISPとしてPlalaに加入している人はPlalaの提供しているメールサーバー以外からのメール送信は遮断するというものです。
（通常、迷惑メール送信業者は自前でメール送信サーバを構築しているので、こうした対策がほどこされるのです。）

でも今回のように、レンタルサーバーなどPlala以外のメールサーバーを利用したい場合もありますよね。それはポート番号の変更と認証設定を行います。

さて実際の対処ですが、通常はメールサーバーへの送信ポート番号は「25番ポート」ですが、今回のような場合は「587番ポート」に変更、及び「SMTP AUTH（SMTP認証）」を設定します。

最近、物忘れが多い私ですが、とりあえず知っててよかった・・・ホ～ッ (^_^.)
こうした問題は知っているかどうかの問題なので、「アウトバウンド ポート25 ブロッキング」について知らないと永遠に悩んでしまうことになります・・・（苦笑）

セキュリティ対策ソフトの選定

昨年末でP-ぽけっとで使用しているセキュリティ対策ソフトの更新期限終了だったので、年末から多忙な日常業務をこなしながら、代表的なセキュリティ対策ソフトの評価版や体験版をいくつかダウンロードして動作確認していました。

1. Norton Internet Security 2007
2. ウイルスバスター2007トレンドフレックスセキュリティ
3. キングソフト Internet Security 2007
4. F-Secure インターネットセキュリティ2007
5. Windows Live One Care

今回、複数台のパソコンに導入するので高品質を保ちつつコストパフォーマンスに優れている製品をチョイスしたいものです。
最近ではクライアントPC向けセキュリティ対策ソフトは非常に活気づいて、選択肢が増えてきていますしね。
（スタッフが困らないようなソフトをチョイスしたり、設定したり、導入によるコスト負担を少しでも軽減するといった地味～な裏方管理作業も私の役目なんです。）

で、今回もっとも期待しているのはマイクロソフト社、初のセキュリティ対策ソフトの『Windows Live One Care』。評価ポイントとしては

• 動作が軽く、パソコンへの負荷が少ない。
  （ちなみにウイルスバスター2007には閉口・・・　多機能なのはわかるのですが、とんでもなく動作が重い・・・(-_-;)）
• 操作設定はシンプル。しかしながら機能面ではバックアップ機能もしっかり標準装備している。
  （マイクロソフト純正品なので、肥大するレジストリのクリーン処理もフリーソフトで行うより安心？）
• 1つの製品で3台までインストールが可能。
  （マルチブート環境や仮想環境ではOSが3つまで。）
• 発売キャンペーンでさらに2,000円キャッシュバック！

以下、Windows Live One Careの画面ショットです。

Windows Live One Care （ベータ1.5版）をインストール中の画面。

インストール後は当然ですが、サービスとしてパソコンの起動と同時にバックグラウンドで動作するようになります。
（スタート→コントロールパネル→管理ツール→サービス）

Windows Live One Care のメイン画面、とてもシンプル。
新しい「InternetExplorer7にしなさい」だって･･･この辺もやはりマイクロソフト社純正品を感じさせますね・・・(-_-;)

タスクマネージャーでメモリリソースの消費を確認してみると、動作が軽いのがわかります。ハードウェアスペックの低い、4～5年前のノートPCでもこのくらいなら動作に負担がないでしょう（きっと）。

『チェーンアップ』というバックアップ&メンテナンス機能も標準搭載。

またしてもエラー発生！?

本日は第2水曜日なのでマイクロソフト社から月例セキュリティパッチの提供日。
先月（11/16、17）はMicrosoftUpdate後に結構面倒なことがあったのですが、今回もみょう～なメッセージが1台のマシンにのみ表示されちゃいました・・・(-_-;)

「おいおい頼むよ～(*_*)」と思いながらもサポート業務の血が騒ぐ？のか原因を探る事が意外と苦にならない私。（苦笑）
でよ～く診ると

1. エラー表示画面の左上に「データ実行防止」の文字、
2. そして「Generic Host Process for Win32 Services」の文字　

1はDEP機能（Date Execution Prevention）でWindows XP SP2に実装されているバッファオーバーフローの脆弱性を悪用した攻撃を防止する機能。

（マイコンピュータを右クリック→プロパティ→システムのプロパティの詳細設定のタブ→「パフォーマンス」の「設定」をクリックで表示されるパフォーマンスオプション）

2は32ビットWindows環境で通信で使用する汎用プログラム。
（このブログの2006/6/2に関連記述があります。）

問題は「Generic Host Process for Win32 Services」をDEP機能から例外にしてしまうと非常にまずい・・・
なぜかと申しますとウイルスの拡散動作やスパイウェアによる情報搾取は（動作隠匿のために）「Generic Host Process for Win32 Services」を使用するケースが多く、セキュリティを確保できなくなる可能性が出てきます。

そこでまずこのエラー表示が今回のMicrosoftUpdateによるものかどうかを切り分けるためにネットで検索してみると、ヒットしたものにはなぜかhp（ヒューレットパッカード）社のプリンタを使っているとこのようなケースになるとの情報が多数見うけられました。

そ～いえば・・・昨日エラー表示されるマシンに使用している複合機hp7410のドライバーを再インストールしたぞ！・・・ハッ・・・＼(◎o◎)／！

ということでhp社のサイトでトラブルシューティングのページを参照すると・・・
ありました！この現象が！

上記のページから修正プログラムをダウンロード＆インストールしてことなきを得たのですが本当に人騒がせな複合機です。そして来年のMicrosoftUpdateは何もないことを祈りますよ。～(*_*)　
でもウイルス感染でなくってよかった～（苦笑）

無線LANのセキュリティ2

受講生さんのMさんから以前より依頼を受けていた無線LANの設定が本日の仕事の1つでした。
といっても無線LAN環境自体は既に構築されていて、今回の作業は無線LAN環境にゲーム機のニンテンドーDSを追加接続できるようにすることでした。
「へぇ～ゲーム機器も無線クライアント機能があるのかぁ？時代が変わればゲーム機器も変わるんだなぁ～!？」って感じで私自身もはじめて知ったしだいです。（苦笑）

早速作業開始～♪　ニンテンドーDSに無線通信＆暗号化関連の設定をすれば終了なので即、終わる予定でした。

が・・・・またまた例によって問題が・・・(^_^;)
今回のMさん宅の無線LAN環境は以前に私が設定したもので、通信セキュリティ上最も暗号化強度の高いWPA-AESを設定していたのですが、ニンテンドーDSはなんとWPA-AESには非対応でWPA-AESより暗号化強度の低いWEP（64bit～152bit）までしか対応していないことに・・・(-_-;)

「WEPでは暗号化キー（事前共有キー）が解析される可能性があって、少々問題ありますがどうします？」に対して

「ゲーム優先で」とのご返答・・・(^_^;)　ここはお客様の依頼を尊重して暗号化強度をWEPにすることに。
（任天堂で将来的にファームウェアの更新でWPA-AESにも対応になることを願ってやまないです。）

そんなことで無線LAN環境を再度設定しますので（ルーター、パソコン、ニンテンドーDS）予定より作業量が3倍に・・・なっちゃいました。(^_^;)
ですが作業が終了後のお客様の「ホントご丁寧にありがとうございました。<(_ _)>」の一言であっという間に疲労が回復しちゃうから不思議ですよね。(^^♪

それと、もう1つ（些細なことですが）気分の良いことがありました。
本日の釧路はとっても寒く天候が悪かったのですが、設定業務が終わって帰社する時、遠方にとってもキレイな夕日。あまりにキレイだったので手持ちのデジタルカメラでパチリ。

海から見える夕日っていいですよね～(^^♪
 

ちなみに撮影エリアはこちらをクリックでどうぞ。えっ「全然業務と関係ない！」って。たしかに・・・明日も頑張ろう～♪　＼(^o^)／

無線LANのセキュリティ

昨日の依頼の1つに、Yさんのお宅へ無線LANの出張設定がありました。
新規に無線LAN環境を構築するのではなく、既存の無線LANにノートPCを追加するという非常に簡単に終わる作業・・・のはずでした・・・(-_-;)

いざ設定に取り掛かると、なんと！無線LAN環境に必須の暗号化セキュリティがされていません！＼(◎o◎)／！
お話を聞くと最初の導入時に日ごろお世話になっている電気屋さんが訪問して設定されたとのこと。

さらに無線LANルーターのマニュアルをみると驚きの事実が・・・
工場出荷時の設定では

• ESSIDはcorega（ハードウェアメーカー名）、
• MACアドレスフィルタリング無効、
• DHCP有効、
• 暗号化無効、
• ルーター内臓のWebサーバーへのログインパスワードなし。

これでは『だれでもご自由にご利用下さい。』と言っていると同じで非常にまずい状態・・・
何でかって申しますと無線LANアクセスポイントを検索するソフトとパケットキャプチャソフトを使用すればメールの送受信した内容、メールサーバとの認証パスワード、各種Webサービス等のパスワードはすべて傍受解析されてしまいます。

そんなこと簡単にできる？と申しますと・・・出来てしまいます。簡単に・・・　
そうしたツールはネット上にフリーソフトとして多数存在していますからね。
（本来こうしたソフトは無線LANや有線LAN環境の調査メンテナンス時に使用されるツールですが、本来の目的を逸脱して使用すればいくらでも悪用することができてしまいます。）
設定した電気屋さんが100％悪いとは言えませんので、やはりこうした作業は専門分野の方にお任せしたほうが無難かもしれません。
（ちなみにここ2～3年前から無線LANルーターにはAOSSという自動で暗号化の設定する機能がありますのでこうしたケースは少なくなったと思います。）

私も仕事上、無線LANアクセスポイントを解析するツールを使用することがあります。
もちろん本来の目的（アクセスポイントの電波チャンネルの混線状況の調査）としてですよ。

一般に電波数値が-70dBより小さければ十分通信可能と言えます。

ここでちょっと気になるフレーズではじまる書籍の紹介。(^^♪

『セキュリティを気にする人は幸せだ』、『守るべきものを持っている人がセキュリティを気にするから』。
う～ん確かにそうかも。

セキュリティはなぜ破られるのか 著者：岡嶋 裕史 販売元：講談社 Amazon.co.jpで詳細を確認する

（ちなみにこの書籍、私もまだ読んでいないのですが、どうやらセキュリティ対策ソフト系の話ではないようなので、一般の方でも安心して読めると思います。）

Quick Time Playerのバージョンアップ

普段デジタルムービーカメラ（ザクティ－ DMX-C4）で撮影したスナップ動画はアップル社のQuickTime（クイックタイム）で再生表示していて、現在まで使用しているQuickTimeのバージョンは7.04でした。

ところがたまたま読んでいたネットニュースでは

• 『QuickTime 7件の脆弱性に対応した7.13リリース』

とのこと。
あらあら・・・気が付かないうちにずいぶんバージョンアップがリリースされていました・・・
前回バージョンアップ版をインストールしたのが今年の2月末だから約半年間で数回バージョンアップしていたようです。はずかしながらまったく気がつかなかった・・・

そんなことでアップル社のサイトからダウンロード。
脆弱性の問題もあるので（正直いって仕方なくですが）、今回からアップデートの自動通知してくれる『Apple Software Update』を同時にインストール。

（ソフトウェアの宿命なんですけど）脆弱性の問題って本当に厄介・・・(-_-;)

指紋認証ログオン

今回も前回（8/17）のノートパソコンの盗難時の情報漏洩対策の記述と関連する内容。

お客様から
「新しいノートPCを購入したいので、各種設定も含めてP-ぽけっと さんにお願いしたいのですが。予算は10万円以内で無線LAN内臓、Office2003搭載、DVDドライブは特に指定はありません。」
とのことでいくつか候補が上がり、最終的に富士通のFMV-BIBLO NB40R FMVNB40Rに決定。プライスは96,000円なり～♪

搭載メモリが256MB（DDR PC2700）とやや貧弱で、Windows Vista Capable PCではないのですが、これだけのスペック＋Office2003付きで10万円以下はかなりコストパフォーマンスが高いですね～。（ちょっと羨ましいです。）

で、このパソコンの特徴の1つに指紋認証デバイスが内臓されていることです。
前回のUSBメモリによるロック機能よりこちらのほうが優れていますよね。
何しろ指紋認証（バイオメトリックス認証）なので、ログオンに指をかざすだけでOK。面倒なパスワード入力もいらない。

こうした機能は本来、企業のモバイルPC向けを想定しているのですが、コンシューマ向けPC（しかもロープライスPC）にも標準装備とは中々すごいと感心でした。（笑）

最低限のセキュリティ設定

先日、ノートPCをご持参してくれているお客様のパソコンのセキュリティ対策がちょっと気になってお声をかけてみると、

1. WindowsUpdateは2005年6月以降未適応。
2. ログオンパスワードなし
   （でも職場で使用するのでノートPCはよく持ち歩くとのこと）
3. セキュリティ対策ソフトはインストールしていない。

とのことなので、ちょっとリスクありかな？って思いましてお話をすると、

1. インターネット接続していないということなのですが、（これは多分ホームページ閲覧やメールの送受信と言う意味なんでしょう。）職場でLAN接続しているとのことなので（LAN環境でプロキシサーバーやゲートウェイ型ファイヤーウォールサーバーなどが動いているかもしれませんが、）通信しているからには、SP2＋最新修正パッチの適応だけでも最低限やっておくほうが・・・
2. ノートPCはなんといっても盗難のリスクが高く、万が一盗難にあってもデータの漏洩にならないように最低限の処置は必要かなと思います。
   （できればCドライブごと暗号化が望ましいのです。）
3. セキュリティ対策ソフトはインストールしておくにこしたことはないのですが、PCのスペックの問題や料金の問題もあるので・・・

ということでご理解の上、WindowsUpdateを実施したらなんと更新パッチが42件も！これだけでも（搭載CPUがセレロン900MHzということもあって、）約4時間以上かかっちゃいました。ふ～う・・・（苦笑）

もうひとつはUSBメモリーをつかったロック機能。今回はお客様がUSBメモリーをご所持しているので、フリーソフトでメジャーな『Black Burn』を使用。
これでUSBメモリーを抜くだけでパソコンにロックがかかり、USBメモリーを差し込むとロックが解除されます。
（本当はなどの『Fingerprint Reader』などの指紋認証のほうがベストなのですがやはりコストがかかることと持ち歩くのがちょっと面倒なのも事実です。）

それとセキュリティとは無関係なのですが、USBメモリーのアイコンを変更してみました。

いずれにしてもセキュリティ（リスク）対策は保険みたいなものなので、できればお世話になりたくないのですが、今の時代安心できない部分も多いのである程度のセキュリティに対する投資？は仕方ないです。（苦笑）

キングソフト

今日は昼の空いた時間にお客様の（セキュリティ対策ソフトがインストールされていなかった）パソコンに対策ソフトをインストールし、使用してみた状況を勝手にレポート。

お客様に極力金額的な負担がないように6ヶ月間、無料更新可能なキングソフトの「Internet Security2006+」をチョイス。（この手のソフトはネーミングからしてわかりづらいというか紛らわしいといいますか・・・）

P-ぽけっとでは（処理の重た～い）ノートンを使用していますが、このソフトがノートンと比べてどのくらい使い勝手がよいか以前から興味があったんです。（苦笑）

で・・・個人的には結構良いかなって思います。
主な理由として

• 処理が軽い（WinXPでメモリ、256MB搭載でもスワップがそれほど起きない。）
• 操作画面（インターフェイス）が比較的わかりやすい。

でしょうかね。特にファイヤウォールので通信を監視状況を確認できる画面は（ある程度ネットワークの知識を持っていることが前提ですが、）いいですね。

通信ネットワークを監視している画面で、どのポートをどのプログラムで使用しているかがわかります。

• Generic Host Process for Win32 Servicesは32ビットWindows環境で通信で使用する汎用プログラム。通信する時にはこのプログラムが動作に大きく関わります。
  このおかげで通信系のソフトウェアの開発を行うプログラマはかなり開発工程の作業が軽減されます。
• 123ポートはNTPサーバ（タイムサーバー同期することで時刻の修正する）と通信時に使用するポート。

これだけ統合（スイート）した商品で6ヶ月間とはいえ、無料にしたのはメーカーの思い切った販売プロモーションだと思います。

逆にちょっと気になる点は

• スパムメールのフィルタリング能力
• （ウイルスなどの）各種定義ファイルのリリース対応速度
• ウイルス、スパイウェア、ボットなどの検出能力

ってところでしょうか？
でもこうした部分はユーザー側では対処できる部分ではないので、最終的にはみんなが使っている『安心感』とか製品ブランドの『信頼性』なんでしょうね。

おっ！こんな時間に！そろそろ次の受講生さまの準備をしようっと。

更新料、無料のセキュリティソフト？

本日のネットニュースにて「更新無料のセキュリティソフト」を発見！

   

う～ん確かにセキュリティ対策は必須の時代ですが、対策をしつつも出来ればコストをかけたくないというのは大多数の方々の本音だと思います。（もちろん私も。）
ネット接続使用料金を支払っていながら、それが安全ではないというのもよくよく考えてみるとおかしな話といいますが釈然としませんよね。まぁネットの仕組み上しょうがないのでここで文句を言ってもどうしようもないのですが・・・
いずれにしても職場は言うに及ばず、家庭でも複数台のパソコンを所持が珍しくなくなった昨今、セキュリティ対策ソフトへの出費はできれば抑えたい・・・

この動きが現在コンシューマー市場で2強のシマンテック社の「ノートン」、トレンドマイクロ社の「ウイルスバスター」の牙城を崩せるか、はたまた上記の2社が対抗プロモーションを仕掛けてくるかが見所・・・
どっちにしてもユーザーにとってメリットのあることは大いに歓迎です。（笑）
ちょっと試してみる価値はあるかもしれないですね。

ウイルス感染を検証

2006/5/24の続きの記載。
本日のP-ぽけっと パソコン教室／パソコンサポートの終了後、サッサーウイルス（正確にはワーム）に感染したと思われるお客様のパソコンを実際に検証してみました。

Sasser（サッサー）は感染力が大変強いネットワーク型ウイルス（ワーム）で動作検証前に以下の準備を

• P-ぽけっと のLAN内にあるパソコンが万が一感染しないようにすべてシャットダウン。
• 外部に不正な通信データを流出しないようにブロードバンドルーターのWAN側ケーブルを外す。
• 感染パソコンをネットワーク接続する前にレジストリを確認しサッサー感染によって作られてファイルを確認。
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに「avserve2.exe」などの存在を確認。その画面は以下の画像。
   

準備が終了したところで、いよいよ動作確認に移りました。
（ちなみにサッサーは動作し出すと感染データを1秒間にインターネット上に5000ヵ所ばら撒くというからものすごい！）
パソコンにIPアドレスを設定した後にLANケーブルをパソコンとブロードバンドルーターに接続しいよいよ通信を開始してみる・・・

しばらくするとパソコンの制御ができなくなる・・・「あれフリーズ？」なんて思っているとしばらくすると操作できるようになったのでコマンドプロンプトで通信状態を確認するため「netstat -an」コマンドを入力してみると・・・なんと感染攻撃が始まっていました!!!

大変な高速処理のためパソコンにかなりの負荷がかかり、フリーズしたようになっていたのです!!!　
（以下の画像に現れている445ポートはWindowsXPや2000でファイル共有で使用する通信ポートで通常企業内LANの場合パソコンは共有フォルダなどでデータ共有していますからいったん1台が感染するとLAN内でファイル共有しているWindowsXP、2000は感染の危機にさらされます・・・(-_-;)）

その後、パソコンが強制終了してTheEnd・・・
い～や、どなたか知りませんがとんでもないものを作ったもんです。

ですが、最近ではもっとたちが悪いんですよ。何がですって・・・
こうしたサッサーのような感染力の強いものでしたら、セキュリティとネットワークの知識があるとすぐにピン！とくるのですが、もっと恐ろしいのは、派手な動きをせずにじ～っとゆるやかに動作して個人情報を搾取するタイプのボットやスパイウェアと呼ばれるモノ！
こうしたものは

• ウイルスと断定は難しいものあり、セキュリティ対策ソフトでも検知できない場合もあります。
• また亜種が圧倒的に多くこれまた対策ソフトの定義ファイルが間に合わない場合もあります。

まことにご迷惑な話ですがそれが現実であるのも事実。
ネット利用が欠かせない時代ですので最低限のセキュリティの知識は身に着けて頂ける努力をしてほしいと思った本日の検証でした・・・

ウイルス感染か？

今、お客様からお預かりしたパソコンが目の前にあるのですが、どうやらウイルスに感染している！
2004年に爆発的感染力で猛威を振るったSasser（サッサー）のようなんですね。う～んちょっと厄介だなぁ・・・

整理してお話すると、

• お客様は現在P-ぽけっと パソコン教室／パソコンサポートでパソコンの基礎を受講して頂いている方で、
• 2年ぐらい前にパソコンを購入してネット接続の契約も一緒にしたそうなんですが、忙しくて全然パソコンもネットも使用することがなく、結局ネット接続は解約し、パソコンも使用せずに現在にいたった・・・とのこと。
• P-ぽけっとで各社の料金プランの年間料金の見積書を作成し、ネット接続契約の代理手続き、各種セキュリティ設定を請け負うこととなったんです。

そんなわけでまずWindowsUpdateでセキュリティパッチをダウンロードするためにネットワーク接続設定をしたとたんに、エラー発生アプリケーション lsass.exe・・・と表示されて強制終了・・・

ん・・・と思いlsass.exeなるもののロケーションを調べると「C:\WINDOWS\system32\lsass.exe」でシステムフォルダ内のファイル・・・

「カーネルモードで動作するプログラムファイルか・・・破損でなければいいのだが・・・」

と思いつつ、何かどこかで見た記憶があるファイル名でちょっと気になりネット検索してみると・・・症状からしてほぼSasser（サッサー）と断定していい！
（パソコン購入してネット接続を最初に行った時期が今から2年前の2004年だからサッサーが流行した時期と同じですしね。）

簡単な設定作業だと思いきや付帯業務の発生でちょっとブルー・・・
とりあえず、駆除するか、万全を期してリカバリーするか、どっちにしてもお客様に一度ご説明しなくてはならない。

サッサーはさっさーと片付けますか・・・さ～む（苦笑）・・・もう今日は疲れた上に、想定外のこの状況で泣き笑いながら寝るしかない。