シバケンの天国・みんながパソコン大王・雑談ＮＯ．１０９

みんながパソコン大王
雑談＜ＮＯ．１０９＞

みんながパソコン大王

総　合

目　録

趣意書

表題一覧表

ＮＯ	表題	起稿	起稿日
雑談ＮＯ．１１０
１３２３	古参ユーザーほど知らないWindows 10の“超防衛力”(TechTargetジャパン)	磯津千由紀	１６／０３／２４
１３２２	運転免許更新	磯津千由紀	１６／０３／２３
雑談ＮＯ．１０８

ＮＯ．１３２２　運転免許更新＜起稿　磯津千由紀＞（１６／０３／２３）

【磯津(寫眞機廢人)@ThinkPad R61一号機(Win 7)】　2016/03/23 (Wed) 04:24

　こんばんは。

　過日３月１日、掛川警察署に運転免許の更新に行ってきた。

　てっきりゴールド３年と思っていたら、医師の診断書の様式が変わって「３年程度は運転に支障なし」の項目がなくなったからだろう、ゴールド５年を貰えた。

　危惧していた深視力検査、一発合格した。
　３回の誤差（ずれ）の平均が２ｃｍ以下なら合格である。
　係員の方に聞いてみたところ、２回目が３ｃｍずれたが、１回目と３回目が１ｃｍそこそこだったとのこと。
　尚、覗きこみ式で合格したが、其れが苦手な人向けと思われる開放式の機械も置いてあった。

＜参考＝「運転免許更新,深視力かろうじて一発合格,ゴールド3年ではなく5年」（ちゆきの懸想文）＞

【シバケン】　2016/03/23 (Wed) 09:14

＞てっきりゴールド３年と思っていたら、医師の診断書の様式が変わって「３年程度は運転に支障なし」の項目がなくなったからだろう、ゴールド５年を貰えた。

へえ＜！＞
ですねえ。
ゴールドは、一律５年と、思てたですが。医師の診断書云々にて、３年があるですか。

まあ、様式が変更で、３年云々が無くなれば、以降、５年にしてもらえるの哉と。

での、
免許証に、「本籍」の記載が無くなったが、不満でして。
一応、覚えてるですが。

【磯津千由紀@ElitePad 900】　2016/03/23 (Wed) 13:42

　シバケン様、こんにちは。

　高齢者の母も、ゴールド３年です。
　何歳からかは存じませんが、多分、高齢者講習が必要となる７０歳からではないかと思います。

【シバケン】　2016/03/25 (Fri) 13:39

オッとの、
余所事みたいに思てたですが。
７０歳以上からは、「高齢者講習」があるですねえ。

＜参考＝「高齢者講習（70歳から74歳までの方の免許更新）」（警視庁）＞
＜消滅・１６／０３／３１＞

当方、
次回、更新、平成３０年、「高齢者講習」受けねばなりませんです。
ゾ＜！＞

【磯津千由紀@ElitePad 900】　2016/03/25 (Fri) 14:00

　シバケン様、こんにちは。

　高齢者講習、筆記で０点でも、運転が弩下手でも、運転免許更新に支障はないです。勿論、運転免許返納を「助言」されますけれど。

【磯津(寫眞機廢人)@ThinkPad R61一号機(Win 7)】　2016/03/31 (Thu) 00:20

　こんばんは。

　シバケン様が書かれた警視庁のページがリンク切れとなりましたので、分かり易そうな解説のページをリンクしておきます。

＜参考＝「運転免許総合案内所TOP > 更新手続き（書換え）について > 70歳以上の方の運転免許更新手続き」（運転免許総合案内所）＞
＜消滅・１９／０７／１９＞

【シバケン】　2016/03/31 (Thu) 00:37

オッとの、
そですねえ。
リンク切れになってるです。

ありがとうございます。

ＮＯ．１３２３　古参ユーザーほど知らないWindows 10の“超防衛力”(TechTargetジャパン)＜起稿　磯津千由紀＞（１６／０３／２４）

【磯津(寫眞機廢人)@ThinkPad R61一号機(Win 7)】　2016/03/24 (Thu) 00:32

＜副題＝いまだ知られていない新ブラウザ「Microsoft Edge」と「Windows 10」の“防衛力”＞

　こんばんは。

　ＴｅｃｈＴａｒｇｅｔジャパンから興味深いＷｉｎｄｏｗｓ１０のセキュリティとプライバシー関係の記事を紹介します。

＞米Microsoftの「Microsoft Edge」「Windows 10」にはさまざまな新しいセキュリティ機能が搭載されている。どのようなセキュリティ対策ができるのか、本稿で紹介する。

＞米Microsoftの「Windows 10」には注目度の高い多くの新機能が搭載されているが、セキュリティについてはどうだろう。Microsoftの最新OSは、企業で使用するには安全なのだろうか。

＞ MicrosoftはWindows 10で、Windows Phone専用のOSを廃止し、1つのOSでMicrosoftの各デバイスに対応するようにした。結果として、攻撃者が利用する外部からのアクセスがより少なくなり、IT管理者は1つのOSを保護するためのセキュリティ手段を開発するだけで済むようになった。

＞マルウェアを駆除するツールや多要素認証、機能を一段と高めた情報漏えい対策（DLP）などWindows 10には、新しいセキュリティ機能が搭載されている。

＞ Windows 10にはマルウェアと戦うための主要なツール「Device Guard」が存在する。このツールを使うことで、エンドユーザーはWindows向けのアプリケーションをダウンロードできる専用ストア「Windowsストア」を利用したり、特定の信頼できるベンダーによって承認されたアプリケーションをダウンロードすることができる。またこのツールは、Microsoftや他のアプリケーションベンダーが署名や承認をしなかったアプリケーションにIT管理者が、署名と承認をする権限を与える。これは基本的にホワイトリストの形式であり、どのアプリが企業にとって安全かをIT部門が判断するものだ。

＞ホワイトリストに掲載されていないアプリケーションをエンドユーザーがダウンロードしようとすると、Device Guardはダウンロードを止め、そのアプリケーションが承認されていないことをIT管理者からエンドユーザーに知らせることができる。さらに防御力を増強するため、IT管理者はポートとIPアドレスに基づいて、企業のバーチャルプライベートネットワーク（VPN）にアクセスできるアプリケーションを制限することが可能だ。

＞ Device Guardを使用する上での主な制約は、その改ざん防止設計だ。これは、管理と柔軟性の加減の調整を管理者任せにしないようにするものである。

＞多要素認証とは

＞多要素認証は、コンピュータまたはプロファイルにログインするために少なくとも2つの形式の識別情報を要求することにより、セキュリティを増強するものだ。認証の1つはパスワードである場合もあるが、エンドユーザーはログインするために暗証番号または生体認証技術を使用する必要がある。「Windows Hello」はMicrosoftの生体認証機能を持つハードウェアであり、エンドユーザーの顔や眼球の虹彩、指紋を認識することができる。「Microsoft Passport」は非対称暗号を特徴とし、Windows 10の新しいWebブラウザ「Microsoft Edge」に生体認証機能を追加する。

＞ Windows 10では、モバイルデバイスは認証デバイスの1つとなり、MicrosoftまたはPKI認証局から発行された鍵とペアになる。どちらもデバイスを認証し、セキュリティトークンとそれを関連付けることができる。トークンはHyper-V技術を使用してセキュアなコンテナに保存される。ハッカーは「pass-the-ticket」攻撃でユーザーになりすましてトークンにアクセスすることはできない。たとえハッカーがユーザーのパスワードを保持していても、ネットワークへアクセスするには、やはりユーザーの実際のモバイルデバイスを必要とする。

＞ Windows 10はどのように情報漏えい対策に取り組むのか

＞ Windows OSはWindows Vista以来、情報漏えい対策（DLP）としてドライブ暗号化技術「BitLocker」を使用している。Windows 10セキュリティ機能は、常にデバイスからデバイスへデータを転送するエンドユーザーの問題に対処するため、DLPをさらに改良している。エンドユーザーが正しいセキュリティプロファイルを保持していない場合、IT管理者はコンテナを使い、企業データにアクセスできるアプリケーションを制限することができる。またIT管理者は、あるデバイスから他のデバイスへデータを転送している間にコピーできる情報を制限することも可能だ。

＞コンテナはアプリケーションおよびファイルレベルで企業と個人の情報を区別して保持し、さらにデータがデバイスに移動したとき、自動的にデータを暗号化する。エンドユーザーはデータを安全に保持するために、何もする必要がない。そのため、IT管理者はエンドユーザーがセキュリティポリシーを気に掛けないことを気に病む必要がなくなる。

＞ Microsoft Edgeはどのようにセキュリティに対処するか

＞ MicrosoftのWebブラウザ「Internet Explorer」（IE）のセキュリティホールには、最も基本的なブラウザの脆弱（ぜいじゃく）性や分散型サービス、バイパスの妨害攻撃などありふれた攻撃まで存在したが、これらは既に十分に調査されている。Edgeでは、フィッシングおよびブラウザのハッキングの阻止に焦点を当てることにより、Microsoftはギャップを埋めようと試みている。例えば、レンダリングエンジン「EdgeHTML」はWorld Wide Web Consortium（W3C）標準規格で「クロスサイトスクリプティング攻撃」を阻止することにより、フィッシングに立ち向かう。「HTTP Strict Transport Security」（HSTS）は各Webサイトへのセキュアな接続を提供する。その他のフィッシング対策機能には、悪意のあるサイトへのアクセスを阻止する「Microsoft SmartScreen」や、不正な証明書を使用しているサイトへのアクセスを防止する「Microsoft Certificate Reputation」などがある。

＞ Microsoftは「Document Object Model」（DOM）を全面的に再設計することにより、攻撃に対するさらなる耐性をコードに持たせ、ブラウザのハッキングを阻止する手段を講じている。HTML5を採用し、VML、VBScriptやツールバーなどの脆弱な拡張機能を除外した。またEdgeは64bitシステムで64bitのプロセスとして稼働する。Edgeのアドレス空間はIEでのアドレス空間よりかなり大きくなるため、結果としてアドレスのランダム化は攻撃者が攻撃する場所を正確に特定するのをより困難にする。

＞ OSに搭載されているWindows 10のその他のセキュリティ機能とは

＞ Windows 10では、IT管理者が「Microsoftアカウント」の代わりに「Azure Active Directory」を使用して「Active Directory」を管理する。また社内のポリシーを犠牲にすることなく、常にユニバーサルアプリのプラットフォームにアクセスすることができる。またWindows 10は、Windows 8.1からあらゆるサードパーティーのVPNベンダーまで、マネージドVPNのポリシーを拡張することができる。それには個人のデスクトップやユニバーサルアプリも含まれる。ポリシーは全て、モバイルデバイス管理（MDM）プラットフォームにより管理される。行動分析を使用して脅威を識別する「Microsoft Advanced Threat Analytics」はActive Directoryの内部ビューで例外を検出する。

＜参考＝「いまだ知られていない新ブラウザ「Microsoft Edge」と「Windows 10」の“防衛力”」（TechTarget）＞

【磯津(寫眞機廢人)@ThinkPad R61一号機(Win 7)】　2016/03/24 (Thu) 00:43

＜副題＝「Windows 10」の“セキュリティ四天王”、一体どのような機能か＞

　こんばんは。

＞米Microsoftは、「Windows 10」のマルウェアを排除する目的で新しいセキュリティ機能を追加した。“セキュリティ四天王”ともいえる4つの機能を紹介する。

＞エンドポイントが再び、情報セキュリティの戦いの主戦場となっている。セキュリティチームがネットワークをマルウェアから保護するために奮闘する一方で、マルウェア感染は日常的に発生し、重要リソースの運用を妨害している。米Microsoftのエンタープライズ用OS「Windows 10 Enterprise」では、生体認証機能「Windows Hello」や業界団体FIDO Allianceが策定する認証仕様「FIDO（Fast Identity Online）」に完全準拠した「Microsoft Passport」など、各種のセキュリティ強化が図られている。

＞ただし、「Windows 10」デバイスを永久にマルウェアから守る上で鍵となるのは、新しいセキュリティ機能「Device Guard」だ。Device Guardは、OSの中核になるコアカーネルをマルウェアから保護する役割を果たす。Windowsセキュリティの担当者はこの新機能の仕組みをよく理解し、マルウェアといった各種のサイバー攻撃からWindows 10デバイスを守るために、この機能をどう活用すればいいかを確認しておくべきだろう。

＞「アプリケーションホワイトリスト」は、実行が明示的に認められているアプリケーションのみを許可するという、信頼を基盤としたセキュリティ手法だ。デバイスを1人だけ使用するのであれば、限られた数の既知のプログラムを実行するだけでいい。そのような場合、ホワイトリストはマルウェアやユーザーの誤操作に対する効果的なセキュリティ対策となる。「ゼロデイ攻撃」や「ポリモーフィック型ウイルス」、未知のマルウェアなどから確実にデバイスを保護できるだろう。ただし、企業が全社レベルでアプリケーションホワイトリストを適用するのは決して容易ではない。管理すべきアプリケーションやバージョン、パッチなどが膨大な数に上るからだ。Microsoftは新機能のDevice Guardによってこうした状況を変えようとしている。Device Guardを使えば、企業はホワイトリストを全社規模で容易に管理し、実施して、信頼できるアプリケーションのみを実行するようユーザーのデバイスをロックできる。

＞ Device Guardは、ハードウェアとソフトウェアのセキュリティ機能を組み合わせ、アプリケーションのコードの整合性をポリシー化してデバイスを保護する。Device Guardは、コード整合性ポリシーが定義されている通りに、信頼できる署名者によって署名されているコードのみを実行するようWindows 10 Enterpriseを制限する。自社製やサードパーティー製など、暗号で署名されていないアプリケーションについては、Microsoftが発行する証明書を使って認証できる。また、デバイスのアプリケーション管理ポリシーを変更できるのは、信頼できる署名者によってポリシーが更新されている場合だけである。Device Guardは、管理者権限を取得した攻撃者によるアクセスを許す従来のアプリケーション制御機能「AppLocker」と比べて大きく改善した。

＞ Device Guardは、デバイスのプロセッサとマザーボードチップセットの入出力メモリ管理ユニット（IOMMU）を使って、Windowsから分離された状態で機能する。Device Guardは、仮想化ベースのセキュリティ機能であり、ハイパーバイザーベースの仮想化システム「Hyper-V」の新コンポーネント「Virtual Secure Mode（VSM）」を活用する。VSMはHyper-Vで直接動作する仮想マシンであり、Windows 10から分離され、保護されている。

＞デバイスの起動時には、起動プロセスを制御する「Universal Extensible Firmware Interface（UEFI）セキュアブート」を使い、他の何よりも先にWindowsブートコンポーネントを確実に始動させることができる。これによりマルウェアである「ブートキット」の実行を阻止する。次に、Hyper-Vで「仮想化ベースのセキュリティ（VBS）」サービスが始動し、システムのセキュリティと整合性に不可欠となるWindowsのコアサービスを分離する。こうして起動プロセスの初期段階や起動後のカーネルでマルウェアが動作するのを防ぐことによって、カーネルや特権ドライバ、マルウェア対策プログラムなどのシステムを保護できる。

＞また、デバイスの起動と同時に、「Trusted Platform Module（TPM）」も起動する。TPMは、ユーザー認証情報や資格証明書などの機密情報を保護するための分離されたハードウェアコンポーネントだ。システムが安全に起動したという証拠を保存し、ネットワークへの接続を許可する前にデバイスの安全性を確認するのに用いられる。

＞ WindowsカーネルやOSの残りの部分から分離させたVSMコンテナにおいて、VBSを有効にし、Device Guardで必要最小限のWindowsインスタンスを実行することで、他のソフトウェアによる改ざんを防ぐことができる。ただしDevice Guardは、カーネルモードのコード署名の単なるアップデート版ではない。ユーザーモードのコード整合性を確認するためのコンポーネントもDevice Guardは提供される。そのためユーザーモードで、サービスや全てのWindowsデバイスで使用できる「Universal Windows Platform（UWP）」アプリケーション、従来のWindowsアプリケーションなど、署名付きの信頼できるプログラムしか実行しないようにできる。仮にマルウェアがマシンに感染しても、Device Guardコンテナにはアクセスできず、コード署名の確認を回避して悪質なペイロードを実行させることもできない。従って、攻撃者はたとえフルシステム権限を入手しても、マルウェアを実行するのははるかに難しくなる。デバイスを再起動しても動作し続けるコードをインストールし、デバイスへの攻撃を執拗（しつよう）に繰り返すAPT攻撃についても同様だ。

＞ Device Guardを使ったからといって、Windows 10のマルウェアを根絶できるわけではない。だがハッカーがマルウェアをインストールするのに必要な能力レベルが引き上げられるのは確実だ。アプリケーションにデジタル署名するセキュリティ手法は以前からある。しかし、管理者がそうしたアプリケーションを管理し、社内デバイスの完全性を確保して、独自の包括的な信頼モデルを実行できるというのは今回が初めてだろう。Device Guardは、アンチウイルスプログラムが信頼できると見なすアプリケーションではなく、企業が認めるアプリケーションだけが信頼される。ただし、今後も両方のソリューションが必要だ。Device Guardは実行可能なスクリプトベースのマルウェアを阻止するために必要になる。アンチウイルスプログラムは、Java言語のコンパイラ「JIT」ベースのアプリケーションやOfficeドキュメントのマクロなど、Device Guardには阻止できない攻撃ベクトルをカバーするのに必要となる。

＞ Credential Guard

＞ Microsoftによれば、データ漏えいの約80～90％は認証情報の盗難によるもので、攻撃者は盗まれたドメインやユーザー認証情報を使って、ネットワーク内を動き回ったり、他のコンピュータにアクセスしたりしているという。ほとんどのWindows環境にはMicrosoftのチャレンジレスポンス型認証プロトコル「NT LAN Manager（NTLM）」が使われている。だが、NTLM認証には1つ大きな問題点がある。それは、攻撃者がリモートサーバやリモートサービスに認証されるには、必ずしもユーザーのプレーンテキストのパスワードを入手しなくても、パスワードのハッシュがあれば十分であるという点だ。システムにマルウェアをインストールし、ユーザーがWindowsにログインする際にハッシュを集め、そうしたハッシュを使ってそのユーザーになりすますことができる。こうした攻撃は、狙われる認証情報によって「Pass-the-Hash」攻撃や「Pass-the-Ticket」攻撃などと呼ばれる。Microsoftの「ケロベロス認証パッケージ」を使えばNTLMよりもセキュリティが強固だが、それでもまだ上述の攻撃手法を使って認証システムを回避される可能性はある。

＞米連邦人事管理局（OPM）の職員の個人情報が流出した事件も含め、この種の攻撃は多くのデータ攻撃に使われている。こうした攻撃を防ぐべく、MicrosoftはWindows 10 Enterpriseに「Credential Guard」という新機能を追加した。認証仲介に使用するログオンサービスを実行するための必要最低限の機能を備えたVSMを用意し、そこにユーザー認証情報を隔離するという機能だ。総当り攻撃を回避するために、アクセストークンとチケットは完全にランダムな最大長のハッシュに保存され、管理される。Device Guardと同じハードウェアとVBSを使うことで、仮にマルウェアがフルシステム権限へのアクセスを入手したとしても、Credential Guardに格納されているデータにはアクセスできないようになっている。

＞ Windows 10 Enterpriseの新しいセキュリティ機能を活用するには、幾つかの満たすべき要件があり、多くの場合、ハードウェアとソフトウェアへの投資が必要となる。例えば、Device GuardとCredential Guardには以下のシステム要件がある。

＞ •UEFI 2.3.1以降
＞ •Intel VT-dまたはAMD-Viなどの仮想化支援機能
＞ •64bit版Windows 10 Enterprise
＞ •IOMMU
＞ •TPM 2.0
＞ •セキュアブート

＞米HP、台湾Acer、中国Lenovo、東芝などのハードウェアベンダーは既に「Device Guard-capable」または「Device Guard-ready」のマシンを販売しているが、これらは通常の軽量かつ低コストなコンシューマーモデルではない。Device Guard-readyは、そのデバイスがWindows 10 Enterpriseの新しいセキュリティ機能使うためのハードウェア要件を満たし、Device Guardに最適化されたカーネルドライバがインストールされており、セキュリティ機能が有効になっていることを示す。一方、Device Guard-capableは、そのデバイスがそれらのハードウェア要件を満たしているものの、ドライバのインストールと設定はシステム管理者がする必要があることを示している。もう1つの必要な要件として、ドメインコントローラーで「Windows Server 2016」を実行している必要がある。

＞ Device Guardの導入

＞ Windows 10 Enterpriseの新しいセキュリティ機能を活用したい場合、ハードウェア要件を満たすデバイスのユーザー向けに、Device GuardとCredential Guardとその他各種の機能を有効にした新しいドメインを作成するのが良い。コード整合性ポリシーの作成方法は、システムをスキャンしてデバイスにインストールされている全てのアプリケーションのリストを作成するといった選択肢が用意されている。デフォルトでは、ポリシーは監査モードで作成される。つまり、ポリシーは実施されないが、代わりに、ブロックされていたであろうファイルが全てイベントログに記録される。これにより、管理者はポリシーを完全に実施する前にあらゆる問題を評価できる。アップグレードできないデバイスやレガシーシステムは既存のドメインに残し、そのドメインに関しては特権アカウントの保護に力を注ぐ。そして、マルウェアの検出と封じ込めのためのソリューションを導入するといいだろう。

＞ Microsoft PassportとWindows HelloにDevice GuardとCredential Guardを組み合わせれば、一般的な攻撃手法の多くは成功率が確実に下がり、Windows環境のロックダウンに大いに役立つはずだ。ただし、これらの機能を効果的に使用するには、適切なハードウェアだけでなく、スタッフのトレーニングも必要となる。

＞米セキュリティ教育機関SANS Instituteは以前から、コンピュータセキュリティが脆弱（ぜいじゃく）である主要な原因の1つは、スタッフのトレーニングにあるという。SANS Instituteは、「トレーニングを受けていないスタッフをセキュリティ業務に就かせ、必要な知識を学んだ上で業務に取り組めるようにするトレーニングの時間も与えないことが脆弱性を生む原因だ」と主張している。Windows 10にはさまざまなセキュリティ機能が用意されている。IT部門のスタッフには、そうした機能の最適な使用方法と導入方法を学ぶための時間を与えるべきだ。

＞ Device Guardを使ってマルウェア感染を確実に阻止できるかどうかは、ハイパーバイザーベースのセキュリティの堅牢さ次第だ。だが、その点についてはまだあまり分かっていない。Device Guardは恐らく厳重に管理されたセキュアな実行環境で動作するだろうが、これまでも「セキュアな実行環境」は敗北を喫している。またCredential GuardはPass-the-Hash攻撃は阻止できても、入力を監視して記録する「キーロガー」に対する防御にはならない。さらに企業は、アプリケーションストア「Windows Store」に登録されるアプリケーションの審査プロセスのクオリティーにも左右されることになる。一方、企業とソフトウェアベンダーは署名証明書を厳重に守る必要がある。さもなければ、この信頼モデル全体が成り立たない。

＞実際のところ、これだけのレベルのセキュリティの実装は非常に高くつく。レガシーハードウェアと古いOSをアップグレードするコストを考えると、採用の広がりには時間がかかりそうだ。ただし、欧州連合（EU）の新しいデータ保護指令では規則に違反した場合、罰金が年間世界売上高の最大4％と定められていることもあり、企業は恐らく、システムの完全性を確保するためであれば支払うに値するコストだと判断するのではないだろうか。

＜参考＝「「Windows 10」の“セキュリティ四天王”、一体どのような機能か」（TechTarget）＞

【磯津(寫眞機廢人)@ThinkPad R61一号機(Win 7)】　2016/03/24 (Thu) 00:49

＜副題＝MSがプライバシー保護でAppleを支持、「地獄への道はバックドアから始まる」＞

　こんばんは。

＞ Microsoftの法務担当者が、強力な暗号化の基盤を弱めようとする米政府の動きを批判し、暗号化技術を支持するよう業界に呼びかけた。

＞ Microsoftのブラッド・スミスプレジデント兼最高法務責任者が2016年2月29日、米サンフランシスコで開かれた「RSA Conference 2016」で、同社は強力な暗号化と顧客のプライバシー保護に力を入れると言明した。

＞スミス氏は基調講演の中で、Appleと米連邦捜査局（FBI）の争いではAppleを支持すると表明。米政府に対しては、顧客のプライバシーを妨害し侵害しているとして批判した。

＞「Microsoftは、われわれの業界の各社と一緒になって、この重要な案件においてAppleの側に立つ」。スミス氏はそう言明して聴衆の盛大な拍手を浴びた。

＞合法的な命令には協力

＞スミス氏によると、Microsoftは合法的な命令に対しては常に進んで司法当局や政府機関に協力してきた。例えば2015年にパリで起きたテロ事件では、事件後に逃走したテロ容疑者に関わるコンテンツについて、法に基づき14件の開示を命じられたという。「14件全てに応えることができた。命令は合法的と判断して、コンテンツを引き出した。そのためにかかった時間は平均すると30分以下だった」とスミス氏は打ち明ける。

＞一方で同氏は、特にアイルランドのMicrosoftのデータセンターにある電子メールのコンテンツに関連した米司法省との法律論争を引き合いに、米政府が法の支配を回避しようとしていると批判した。電子メールの開示を命じた米司法省の令状に対し、Microsoftは情報がアイルランドにあることを理由に、米政府がメールを入手するためにはアイルランドの適切な法務機関を経由する必要があると反論している。

＞スミス氏は言う。「政府機関が正当な企業を捜査したいと思えば、そしてその企業が保有する情報を入手したいと思えば、その企業のところへ行って、その企業に対する令状や召喚状を示すべきであり、それをせずにクラウドサービス事業者のところへ行くことは許されないとわれわれは固く信じる。米国では2世紀以上にわたって、それが法および法執行の在り方だった。クラウドコンピューティングによってその均衡が変わることがあってはならない」

＞強力な暗号を支持

＞スミス氏はまた、暗号化を迂回（うかい）しようとするFBIの「ゴーイングダーク（Going Dark）」キャンペーンや、暗号化強度を弱めようとする米政府の動きには反対すると強調した。「善意に基づくとしても、1つはっきりしていることがある。地獄への道はバックドアから始まる。暗号化技術は強力なままであるべきことを確認しなければならない」。聴衆はこの発言にも大きな拍手を送った。

＞スミス氏は聴衆に対し、強力な暗号化技術を支持し、守るよう訴えた。この技術を弱めたり損ねたりしようとする動きは、情報セキュリティ業界に対する一般の信頼に壊滅的な影響を及ぼしかねないと述べ、「セキュリティに関しては、暗号化より大切な技術はないと日々肝に銘じる必要があると考える。だからこそわれわれは立ち上がってよく考え、声を上げる必要がある。かつてないほど、他の何よりも明確になったことがある。人は自分が信頼できない技術は使わない。つまり信頼はわれわれの業界全体にとって絶対的な基盤といえる」と力説した。

＞その目標に向け、暗号化委員会を設けてサイバーセキュリティと法執行上の課題について公に論議するというマーク・ワーナー上院議員（民主党、バージニア州出身）とマイケル・マコール下院議員の提案を支持するとスミス氏は表明。ただし米国の法律はひどく時代遅れになっていて、21世紀の技術に合わせて改正する必要があるとも指摘した。

＞「われわれが必要としているのは、技術が単純な物理的法則ではなく、法の支配によって統制される世界だ。われわれは優れた法律を必要とし、開かれた論議を必要としている。法が追い付くことができた場合のみ、世界は技術を信頼してくれる」。スミス氏はそう語った。

＜参考＝「MSがプライバシー保護でAppleを支持、「地獄への道はバックドアから始まる」」（TechTarget）＞

【磯津(寫眞機廢人)@ThinkPad R61一号機(Win 7)】　2016/03/24 (Thu) 00:59

＜副題＝知らないともったいない、「Windowsコマンドライン」をセキュリティ対策に使う方法＞

　こんばんは。

＞ Windowsには、セキュリティ対策に役立つコマンドラインツールが充実している。「Windows PowerShell」の基本的な使い方を含め、こうしたツールを使ったセキュリティ対策の進め方を示す。

＞セキュリティインシデント（事象）発生後の組織的な対応であるインシデントレスポンスは、企業の情報セキュリティプログラムにおいて重要な役割を担っている。セキュリティインシデントの原因となることが往々にしてあるのが、企業環境で最も普及しているOSである米Microsoftの「Windows」だ。Windowsが危険にさらされているかどうかを検出することは、インシデントレスポンスにおいて重要な作業になる。

＞ここ数年、Windowsのインシデントレスポンスの基本は変化していない。だが企業のインシデントレスポンス計画に組み込むことができる多数の新しいツールと技法が誕生している。こうしたツールの多くはサードパーティーから提供されており、デフォルトではWindowsにインストールされていない。

＞ここで注意事項が1つある。それは、サードパーティーのセキュリティツールやフォレンジックツールを装った悪意のあるツールが少なくないことだ。そのため、標準的なインシデントレスポンスのツールキットを使用するのが最も安全で簡単かもしれない。

＞本稿では、Windowsに搭載されている新しいコマンドラインツールの関数と、クライアントPCが危険にさらされているかどうかをIT管理者とセキュリティ管理者が判断するのに役立つツールを紹介する。また、危険にさらされていることが判明した場合に使用できる技法とヒントも取り上げる。

＞ PCが危険にさらされているかどうかを判断する

＞インシデントレスポンスの最初の手順は、クライアントPCが危険にさらされているかどうかを判断することだ。「wmic」「netstat」など、以前からある管理用のコマンドラインツールは今でも使用できる。

＞ Windowsのコマンドラインツールにおける恐らく最大の進歩は、Microsoftが「Windows PowerShell」を開発したことだろう。Windows PowerShellは、以前の組み込みのコマンドラインユーティリティよりも大幅に多くの機能を搭載した、タスクの自動化と構成管理のためのコマンドラインインタフェースだ。MicrosoftのOnline Services Security & Complianceチームのメンバーであるラス・マクリー氏が、潜在的なセキュリティインシデントの調査にWindows PowerShellを使用する方法を自身のブログ記事で解説している。

＞ Windows PowerShellは高度なスクリプト機能を備えており、一般的なコマンドラインユーティリティの代替として使うことが可能だ。例えば、プロセスの一覧を表示する「PsList」やプロセスを強制終了する「PsKill」など、Windows管理ツール群「Windows Sysinternals」が含むツールの代わりに使える。

＞企業は独自のWindows PowerShell標準スクリプトを記述して、自社の環境で最も重要な証拠を収集できる。収集したデータは、危険にさらされていないシステムや基本イメージと比較して、詳しい調査の手掛かりを特定する手段としても使える。疑わしいネットワーク接続やプロセス、ファイルなどの異常があれば、侵入検出システム（IDS）またはシステム管理ツールのデータを使用し、システムにインストールされているアプリケーションやシステムにあるファイルと比較すべきだろう。

＞ Windows PowerShellでプロセスの一覧を表示するには、次のコマンドを実行する。

＞ Get-Process | Out-Gridview

＞次のコマンドを実行すると、インストールされているプログラムの一覧を表示する。

＞ Get-ItemProperty HKLM:SoftwareMicrosoftWindowsCurrentVersionUninstall* | Select-Object DisplayName, DisplayVersion, Publisher, InstallDate | Format-Table –AutoSize

＞ IPアドレスの構成一覧を表示するには、次のコマンドを実行する。

＞ Ipconfig /all

＞次のように「netsh」というコマンドを使用して、ファイアウォールのステータスの一覧を取得することも可能だ。

＞ netsh advfirewall export "firewall.txt"

＞「Driverquery」というコマンドを使用すると、使用中のドライバ一覧を表示する。この一覧は、悪意のある可能性があるドライバを特定するのにも役立つ。次のように「>」演算子を使用して、情報を指定のファイルに出力できる。

＞ driverquery /v /fo csv > drvlist.csv

＞情報をファイルに出力すれば、管理者はシステムの状態を記録しやすくなる。セキュリティが確保されたシステムでファイルをさらに分析したり、他のツールで利用することも可能だ。

＞危険にさらされているPCに対処する方法

＞クライアントPCが危険にさらされていることを特定したら、次は、そのシステムをさらに調査するか、問題を修正する必要がある。さらなる調査は、市販のツールや「Volatility」「PyFlag」といったオープンソースのフォレンジック（不正追跡）ツールを使って進めることができる。悪意のあるプロセスやネットワーク接続で特定したマルウェアを分析する場合もあるだろう。こうした分析をすると、副産物が得られる。例えば、危険にさらされている他のシステムやアカウントの検出・特定、攻撃者がキャプチャーしたデータの把握などが可能になる。

＞システムがマルウェアに感染したり、攻撃者によって危険にさらされている場合、最も安全で簡単なシステムの復旧方法は、システムの再インストールだ。だがシステムによっては、再インストールが実用的な選択肢でない場合もある。危険にさらされたクライアントPCから機密データへアクセスされたと考えられる十分な理由がある場合は、そのクライアントPCがどのようにして危険にさらされたのかを綿密に調査して、根本的な原因を特定し、修正しなければならない。修正方法は複数ある。例えば、パッチをインストールする、他のシステム構成を変更してシステムのセキュリティを強化する、システムに新しいセキュリティ制御を追加する、などだ。

＞マルウェアに感染したクライアントPCが機密データを処理／保存しておらず、ユーザーがそのようなデータへのアクセス権を持っていなかった、という場合もあるだろう。インシデントレスポンスでは、問題がないことが分かっている状態のバックアップを使って再インストールするという標準的なアドバイスで終わるかもしれない。一方、攻撃者を現行犯で取り押さえ、攻撃者による管理者権限の入手を阻止できた場合、システムの完全な再インストールは不要になる可能性がある。ここでいう現行犯の取り押さえとは、攻撃者が実行しているプロセスの強制終了、悪意のあるファイルの削除、根本的な原因の特定と修正などが相当する。

＞ Microsoftは「Windows 8」で「Recimg.exe」という名前のコマンドラインツールを導入した。Recimg.exeを使用すると、独自のシステムイメージを作成してシステムを回復できる。このイメージは、システムが危険にさらされた場合に、システムを問題がない状態へ復元するために使用できる。システムの完全な再インストールと比較すれば、カスタムイメージの作成は大した作業ではないだろう。

＞ Windowsは、新しいバージョンがリリースされるたびに多くの点が変更される。だが幸いなことに、危険にさらされたクライアントPCのインシデントレスポンスには、従来のWindowsと同じツールや技法の多くを利用できる。これらのツールからは、危険にさらされたクライアントPCに対処する技法と手掛かりを得ることができる。

＞企業は定期的にツールとプログラムを更新して、修正プログラムがリリースされている既知の問題の餌食にならないようにすべきだ。インシデントレスポンス計画を施行すれば、ツールとプログラムでは自然と小さな更新が必要になるだろう。

＜参考＝「知らないともったいない、「Windowsコマンドライン」をセキュリティ対策に使う方法」（TechTarget）＞

【磯津(寫眞機廢人)@ThinkPad R61一号機(Win 7)】　2016/03/24 (Thu) 01:05

＜副題＝「Windows 10」の“なぜか注目されない”新セキュリティ機能「分離ユーザーモード」とは？＞

　こんばんは。

＞「Windows 10」には新しいセキュリティ技術「Isolated User Mode」（分離ユーザーモード）がある。仮想化ベースの技術で、セキュアなカーネルとアプリケーションを実現している。

＞ Microsoftの仮想化ベースのセキュリティ技術である「Isolated User Mode」（分離ユーザーモード）は、「Windows 10」の新機能だ。

＞ Windows 10の仮想化ベースのセキュリティ技術は今のところ、あまり注目されていないが、同OSの重要なセキュリティ機能の1つである。

＞仮想化ベースのセキュリティの考え方はシンプルだ。プロセスやデータを仮想化すれば、OSの他の部分から切り離され、改ざんしにくくなる。分離ユーザーモードによって、カーネルとアプリケーションの安全性が高まる。

＞この仮想化ベースのセキュリティは、Windows 10のさまざまな機能で利用されている。例えば、「Credential Guard」（資格情報ガード）というセキュリティ機能では、資格情報の保存と保護に仮想化環境が使われている。これまでは攻撃者が「Pass-the-hash」攻撃で資格情報を盗むことが可能だったが、仮想化ベースのセキュリティでこれを防ぐことができる。

＞「Device Guard」（デバイスガード）というセキュリティ機能にも、仮想化ベースのセキュリティが利用されている。従来のWindowsでは、攻撃者が管理者権限を入手してアプリケーション制御ポリシーを改ざんすれば、悪意のあるアプリケーションを実行可能だった。

＞ Device Guardでは、信頼できる署名者の署名がない限り、アプリケーション制御ポリシーを更新できない。攻撃者は、デバイスのアプリケーション制御ポリシーを改ざんして不正アプリを実行することができなくなる。この技術によって、「AppLocker」だけに頼るよりも安全性が大きく向上している。

＜参考＝「「Windows 10」の“なぜか注目されない”新セキュリティ機能「分離ユーザーモード」とは？」（TechTarget）＞