2014年5月アーカイブ

他人のPCを不正に操作し、犯罪予告を送りつけたPC遠隔操作事件は、2014年5月20日に片山祐輔被告が弁護人に「自分が真犯人」と名乗り出る衝撃的な展開となった。被告が証言を撤回しない限り、公判の争点は事実認定から量刑判断へと移るだろう。

今回の公判で注目されたのが、コンピュータの中にあるデータを解析し、法的手続きのために証拠化する技術「デジタルフォレンジック」だった。


デジタルフォレンジックとは

刑事事件におけるデジタルフォレンジックでは、捜査機関が押収したHDDやフラッシュメモリーといったストレージから全データをコピー、保全し、解析する。例えばHDDの場合、HDDに保存された全データを、削除ファイルのデータや断片化されたデータを含めてコピーして、保全する。この際、ハッシュ値を計算して、後日データが改ざんされていないことを証明できるようにすることが一般的だ。 

保全したHDDデータは、様々な手法による解析が実施され、驚くほど多様な情報が得られる。たとえ犯人が証拠となるファイルを消去していたとしても、その痕跡を捉えることが可能になる。今回の公判で問題になった「ファイルスラック」は、削除ファイルの断片が残っている状態のことである。

スマートフォンのように、フラッシュメモリーにデータを格納する機器では、USBストレージとして全ファイルを抜き出すほか、チップのデバック用端子(JTAG)からデータを読み出したり、特殊な機材でフラッシュメモリーのチップを基板から外して、メモリーチップから直接データを読み出すこともある(写真)。スマートフォンの解析では、「LINE」のようなメッセージアプリのデータを抜き出し、会話履歴を証拠として保全することが多いという。
公判で検察官が示したデジタルフォレンジック調査の概要は、ジャーナリスト江川紹子氏の記事に詳しい。
被告人が職場で使っていたPCのHDDイメージを解析した結果、ファイルスラック領域から「iesys.exe」など遠隔操作ウイルスのファイル名やファイルパス、ビルド用ファイルが見つかったほか、ウイルスの作成言語とされたC#の開発環境「Visual C# 2010 Express」について、4回にわたりインストールと削除が行われた履歴、ウイルスファイルが頻繁に変更された履歴などが残されていた。このことが、公判で「被告が職場のPCで遠隔操作ウイルスを作成した証拠」として検察官から示された。

被告が今回、スマートフォンを河川敷に埋めて送信したという偽装メールは、デジタルフォレンジックが示した「証拠」の信用性を崩すことに主眼が置かれていた。検察官の示したデジタルフォレンジック報告書が、被告を追い詰める要素の一つになったのは確かだろう。

フォレンジックはどこまで証拠になるか
ではデジタルフォレンジックには、どれほどの証明力があるのだろうか。
今回のフォレンジック報告書を受けて被告は、職場のPC自体が真犯人からの「高度な遠隔操作ウイルス」に感染、操作されていたのでは、と主張していた。あるいは、遠隔操作ウイルスを使ってHDDのセクタにデータを直接書き込ませ、ファイルスラックの痕跡を偽装させることも、困難だが不可能とはいえない。
その一方で、Visual C# 2010 Expressを繰り返しインストール、削除するような作業を、遠隔操作の痕跡を完全に消し去りつつ、Windows OSに残された履歴の整合性を保ち、かつPCの利用者に気づかれないようGUIを隠蔽しながら行う、というのは確かに考えづらい。
弁護人は、検察官のフォレンジック報告書に対抗するため、特別弁護人としてIT専門家を参加させたほか、このような遠隔操作が可能であることをハッカソンで実証することを計画していたという。いずれにせよ被告の「自白」が行われた以上、このフォレンジック報告書の証拠評価について、裁判でこれ以上議論が進むことはなさそうだ。

「デジタル証拠」にひそむリスク
デジタルフォレンジックを含めた「デジタル証拠」は、うまく使えば自白偏重とされる捜査手法から脱却し、客観的な証拠に基づいて裁判を進める有力なツールになる。その一方で本件では、デジタル証拠が持つ弊害やリスクも明らかになった。

一つは、フォレンジック解析能力を巡り、警察・検察側と被告・弁護人側に大きな非対称性がある点だ。
近年、捜査機関はフォレンジック技術への対応を急速に進め、相当な予算と人員をつぎ込んでいるという。これ自体は望ましいことだが、その一方、こうした解析力で捜査機関と対峙できる弁護士は多くない。

捜査機関側の分析は国費で行われるが、検察官の主張に反論するためには、弁護人側もHDDイメージを分析する必要があり、それには数カ月の分析期間と、場合によっては数百万円の費用が必要になる。裁判のためとはいえ、誰もが支払える金額ではない。

今回、弁護人にHDDイメージが開示されたのは、2013年12月ごろとみられる。公判前整理手続が終了するまでに、弁護人側も分析・反論の準備を完了するのが本来の姿である。

だが今回は分析の時間がなく、弁護人側の分析の提出は公判前整理手続が終了した後に予定されるという、異例の展開をたどった。もっと早期にHDDイメージが弁護側に開示されてもよかっただろう。

デジタルフォレンジックの事例に詳しい田辺総合法律事務所の吉峯耕平弁護士は、近年は捜査機関がデジタル証拠への対応を必死に進めている一方、弁護人として対抗する弁護士側の知識・経験にはまだ課題があると指摘する。これに加え、ITの専門的知識がない裁判官に、デジタル証拠を適切に評価できるのか、という懸念もあるという。「裁判官に必要な専門知識を提示するためにも、技術者と法律家が適切な協力関係を築くことが重要になるだろう」(吉峯弁護士)。

もう一つは、デジタル証拠が「客観的な証拠」として過剰に信頼されることで、新たなえん罪を生みかねないリスクだ。

実際、被告が遠隔操作で脅迫文を書き込んだとされるケースのいくつかで、警察は遠隔操作されたPCにデジタルフォレンジックを試みたにも関わらず、当初は遠隔操作の痕跡を発見できなかった。痕跡を発見できなかったこと自体が、「確かに本人が脅迫文を書き込んだ」ことの証明として扱われ、結果的に無実の人間に罪をかぶせてしまった。

デジタルフォレンジックの技術は発展途上であり、その一方でフォレンジックをかいくぐる犯罪者側の技術も日進月歩である。今回のPC遠隔操作事件は、犯罪捜査や裁判におけるデジタルフォレンジックの扱いについて、多くの教訓を残す結果になった。

2013年9月中旬、日本を標的にしていると見られる“ゼロデイ脆弱性”を悪用するコードが、複数のウェブサイトで見つかった。この攻撃は、新しいタイプの標的型攻撃として短期間で急増している「水飲み場型攻撃」だった。

2013年9月中旬、日本を標的にしていると見られる“ゼロデイ脆弱性(未知の脆弱性)”を悪用するコードが、複数のウェブサイトで見つかった。サイトの内容が改ざんされて埋め込まれたのである。改ざんされたサイトはいくつかの国で見つかったが、数が突出していたのは日本と台湾である。特に日本では、国内メディア関連のサイトが多かった。実はこの攻撃は、最近注目を集めるようになった「水飲み場型」攻撃の1つだった。

水飲み場型攻撃という手口が明確な形で確認されたのは2012年だが、その件数は短期間で急増している。(1)感染対象が限定されているため攻撃が発覚しにくい、(2)攻撃対象者の環境以外では被害を再現できないため対策に時間がかかる---といった従来の攻撃手法にはなかった特徴があり、攻撃者にとって都合がいいからだろう。また、個々の相手にメールを送信するこれまでの標的型攻撃に比べて効率がよく、成功率も高い。24時間で500社が感染した事例も存在する。

メールを使わない標的型攻撃、サイトを改ざんして待ち伏せ
従来のマルウエアの配布パターンは、不特定多数の相手にばらまくのが一般的だった。しかし最近では、特定の会社や組織、あるいは特定の共通属性を持つ人々だけをターゲットにするケースが増えている。こうした攻撃を「標的型攻撃」という。単にマルウエアをばらまいて騒ぎを起こす愉快犯ではなく、特定組織の情報入手を目的としているため、計画的で執拗な攻撃になるケースが多い。

標的型攻撃の手法は、時間の経過と共に変化している。以前は対象となる人物に電子メールを送付してマルウエアを感染させる「スピア型フィッシング(スピア型攻撃)」がメインだった。しかし「怪しい添付ファイルは開かない」「メールに記載されているリンクは不用意にクリックしない」といった基本的なセキュリティ対策が浸透するのにともない、この攻撃手法の効果は薄れていった。そこで登場したのが「水飲み場型攻撃」である。

水飲み場型攻撃の流れは図1に示した通りだ。まず標的となる相手を特定し、ターゲットとなる人々がアクセスしそうなウェブサイトを調査。これらのウェブサイトの脆弱性をテストして、侵入できるサイトを見つけたら、そのページを改ざんする。例えば、マルウエアを仕込んだ別サイトにユーザーを誘導し、そこからマルウエアをダウンロードさせるといった具合だ。攻撃者が行うべき準備はこれで完了である。後はあたかも“水飲み場で獲物を待ち伏せるライオン”のように、標的ユーザーを改ざんサイトで待ち伏せていればいい。

多面的な対策で早期発見し被害を最小化
水飲み場型攻撃の中には、実に巧妙なものが存在する。では、企業の情報システム担当者は、どうすればこうした脅威からシステムを守れるのか。結論を言ってしまえば、ゼロデイ脆弱性を利用した水飲み場型攻撃を100%防ぐことは、残念ながら不可能だ。しかし被害を最小化する方法はある。単一のソリューションだけでセキュリティを確保するという考え方を捨て、多面的なアプローチを組み合わせた全体的な対策を講じることである。

個々のPCにアンチウイルス製品を導入するのはもちろんだが、PCとネットワークの間でやり取りされるパケットを監視し必要に応じて通信を遮断するIPS(Intrusion Prevention System:侵入防止システム)なども活用すべきだ。

またPCだけではなく、社内ネットワークとインターネットをつなぐゲートウエイでも、ウェブフィルタリングなどの対策を行う必要がある。さらに可能であれば、セキュリティ対策ベンダーが提供する監視サービスの利用も検討するといいだろう。監視サービスならば、様々なセキュリティ機器のログを一元的に収集し、独自の分析を加えることで見えない脅威をあぶり出してくれるからだ。また、セキュリティの専門知識を備えたスタッフが、世界中の監視網と連携し、24時間365日の体制で監視するため、リスクを最小限に抑えることができる。

このように、セキュリティ対策を“点”としてではなく、複数の点をつないだ“線”あるいは“メッシュ”として考えることで、多面的なログ情報を得ることが可能になる。このログ情報を適切に活用すれば、“点”のソリューションでは発見できなかった脅威を早期に発見でき、被害が拡大する前に対策を講じられるようになる。

さらに、もう1つ意識してほしいのは、水飲み場型攻撃ではゼロデイ攻撃が注目されることが多いものの、実は攻撃全体の中でのゼロデイ攻撃の割合は意外に少ないという点だ。2013年に発見された新たな攻撃でも、ゼロデイ攻撃は20数件程度であり、既知の脆弱性を狙った攻撃の方が圧倒的に多い。最初はゼロデイ攻撃であっても、脆弱性が発見されてパッチ(修正プログラム)が作成されれば、ゼロデイ攻撃ではなくなってしまう。ゼロデイ攻撃を100%防ぐことは不可能だが、ゼロデイではない攻撃はパッチとセキュリティソフトウエアの適切な活用によって100%防止できる。

| コメント(0) | トラックバック(0)

1.バッテリーの劣化を防ぐ充電方法

・電源につないだままパソコンを放置しない

バッテリーは何回か充電すると、新品時の性能に比べて劣化します(メーカーの使用にも書いてあります。)
主に家で使う人なら、コンセントにつないだまま使用することが多いはず。
しかし、バッテリーは常に満充電状態(100%)になっているため、バッテリーが急速に劣化します。ある程度充電したらコンセントから抜いてバッテリーのみで使用するか、バッテリーパックを外して、電源のみでパソコンを使用するとバッテリーが長持ちします。バッテリーパックを外して保管する場合は50%前後に充電しておくと長持ちします。

図1. 満充電状態が維持されていると・・・

出典pc.nikkeibp.co.jp

図1. 満充電状態が維持されていると・・・

充電容量が満充電(100%の状態)と50%の状態での劣化度の違い。満充電を維持すると、バッテリーの劣化が著しく進む(左)。ノートパソコンにACアダプターを接続したままにすると、満充電に近いところで充放電を繰り返してしまう(右)

リチウムイオンバッテリーは非常にデリケート

出典【解決編】 バッテリー長寿のためのノウハウ:PC Online

ノートパソコンで使われるリチウムイオンバッテリーは、非常にデリケートな性質を持つバッテリーだ。さまざまな要因により、バッテリーの劣化は進んでしまう。中でも要注意は、激しい劣化を促す満充電の状態である。それを示したのが、図1左のグラフだ。満充電したバッテリーと50%まで充電したバッテリーで劣化度を比較している。満充電の状態は50%充電した状態に比べて、劣化が倍近い速さで進むことが分かるだろう。

コンセントに差し込んだままだと充放電を繰り返す

出典http://pc.nikkeibp.co.jp/article/basic/20110301/1030503/?set=rss&rt=nocnt

基本的に、満充電の状態は高い頻度で起きていると考えてよい。一般的なノートパソコンにACアダプターを接続すると、常に満充電状態を維持するように働くからだ(図1右)。満充電になると充電を停止し、バッテリー残量が一定の水準を下回ると充電を始める。このように、水面下で充放電を細かに繰り返すのだ。言い換えれば、この満充電状態をいかに防げるかが、バッテリー長寿の鍵を握っていることになる。

出典joshinweb.jp

コンセントを抜くのが面倒な人はコンセントタイマーを使ってみてもいいかも

・バッテリーの充電量をコントロールするフリーソフト

Smart Battery Driver - ダウンロード

http://smart-battery-driver.softonic.jp/

Smart Battery Driver 無料ダウンロード。 Smart Battery Driver 1.0.0.12: 充電量をセーブして、ノートPCのバッテリーをできるだけ長寿命にしよう!. Smart Battery Driver(スマートバッテリードライバー)は、ノートPCのバッテリー充電量をコントロールするソフトウェアです。ノートPCのリチウムイオンバッテリーは充放電を繰り返すことで…

http://screenshots.softonic.jp/jp/scrn/245000/245576/smart-battery-driver-3.png

・涼しい場所に保管する

車内等、高温になる場所の保管は劣化を進めてしまいます。

・極力バッテリー使用を控える

コンセントがある場所では、バッテリーパックを外してACアダプタから電源をとるようにする。バッテリー使用はいざという時まで控えておいた方が良いですね。

2.消費電力を抑えて長持ちさせる

・パソコンの照度を下げる

パソコン画面の明るさを下げると、消費電力は少なくて済みます。
(キーボードのFnキーを押しながら、電球みないなマークを押すことで照度の調整ができます)

・解像度を下げる

コントロールパネルより画面の解像度の変更で、電力を抑えます。
例 配色を32ビット→16ビットに下げる。

・使用していないソフトは閉じる

メモリ消費を抑えるためです。使用していないタスクはなるべく閉じるようにしましょう。

・省電力設定を活用する

コントロールパネル→電源オプションで消費電力とパフォーマンスの設定ができます。
メーカーによっては特別な省電力モードがあるので、そちらも活用してみるのもいいと思います。

3.劣化したバッテリーを回復する方法

・完全放電(0%)→満充電(100%)を2~3回繰り返す
1.電源オン
2.BIOSメニューを開く
3.バッテリー駆動状態にする(ACアダプターを外す)
4.バッテリーが0%になると電源が自動で切れる
5.ACアダプターを接続し、満充電(100%)にする
1~5を2~3回程繰り返す。

・バッテリーの劣化具合を調べる方法

窓の杜 - 【今日のお気に入り】バッテリー状態を調査「Yuryu's Bettery Information」

http://www.forest.impress.co.jp/article/2008/08/07/okiniiri.html

最新の記事 2012年4月 議事録作成に機能を絞り込んだメモ帳ソフト「議事メモ」 (12/04/27) 指定フォルダ内の重複・類似画像を検索できる「SimiPix」 (12/04/20) 音やダイアログを使わずブレイクタイムを促す「FadeTop」 (12/04/13) 2012年3月 ユニークな学習法で英語のリスニングを強化「英耳鍛」 (12/03/30) フォルダアイコンを色つきアイコンに変…

http://www.forest.impress.co.jp/article/2008/08/07/okiniiri_1s.jpg

バッテリー状態をチェックしてくれるフリーソフトです。
【設計】容量と【フル】容量との差で劣化具合がわかります。

スマホ活用にはモバイルバッテリーが必携! Bluetooth対応イヤホンやキーボードも欲しい| nikkei BPnet 〈日経BPネット〉

http://www.nikkeibp.co.jp/article/column/20120517/309283/?top_f2

スマホにはもちろん電話機能があるが、ガラケーよりパソコンに近い使い方ができるため、その機能を拡張するための周辺機器が各社から提供されている。

2014-05-08_091615_2使用していた工人舎のノートPCのHDDが故障したので、代替機としてかねてより興味を持っていた「HP EleteBook」を購入することにした。
本機はコストパフォーマンスの高さが目立つ製品で、Core i7と160GBのIntel製SSDの構成でも20万円を切る価格を実現している。高いという印象が強いタブレットPCのイメージを覆す価格と言っていいだろう。
外観はHPらしいシックなイメージでまとめられている。外観はシルバーで統一され、天板のHPのロゴのほか、パームレストや電源スイッチなどはヘアライン加工を施したアルミニウムを使用している。 
液晶ディスプレーは12.1型ワイドで、解像度は1280×800ドットに対応し、指でも付属のペン2014-05-08_091859_thumbでも入力できるタッチパネル式で、Windows 7 Professional 64bit版と160GBのSSDを搭載したゼロスピンドルモデルで、早速Windows 8.1にアップグレードした。
現時点ではWindows 8用のデバイスドライバーはリリースされていないが、Windows 7用のデバイスドライバーがすべて使用できる。
PC本体の性能を「CrystalMark 2004R3」で計測したが、2コア/4スレッドCPUに加えSSDを搭載しているだけあり結果はかなり良好だ。
本機の液晶ディスプレーは、付属のペンでも指でも操作できるタッチパネル式となっている。たとえばドキュメントに対して手書き文字で修正指示を書き入れ、それをメールで送信するといった使い方が手軽にできるのはタブレットPCならではだろう。
タブレット型にして片手で持ちながらの作業を試してみたが、本体重量が約1.7kgあるので10分程度が限界だった。手持ちしながらタブレットで長時間操作するのは厳しい。
本体底面はバッテリーを含めてラバー加工が施されており、片手で持っても滑りにくい配慮がされている。
キーボードと本体の間に防水シートが挟まれている。そこで気になるのがキーボードの打鍵感だ。実際に利用してみると、剛性の高さがしっかり感じられる作りで、入力していて気持ちよい。裏に防水シートではなく鉄板でも仕込んであるのではと思ったほどだ。また、極端にキーピッチが狭いキーもない点も使い勝手の良さにつながっている。 キーボード中央に配置されたスティック型のポインティングデバイスもレスポンスがよく使いやすい。ただ、通常のマウスにおけるホイールに相当するボタンがなく、スクロース操作ができないのは残念だ。
=ゼロスピンドルモデル=
「ゼロスピンドル」とは、ハードディスクを搭載していないパソコンのことを指す。スピンドル(spindle)を直訳すると「軸」「心棒」といった意味になるが、コンピュータの世界ではハードディスクドライブやDVDドライブ、フロッピーディスクドライブなどの回転構造を持った記憶装置のことを指す。例えば、ノートPCにハードディスクやDVDドライブがいくつ内蔵されているかによって、1台なら1スピンドル、2台なら2スピンドルといったように表現することがある。実際には、1スピンドルといえばハードディスクだけを内蔵したノートPCのこと、2スピンドルといえば、ハードディスクとDVDドライブなどの光学系ドライブを内蔵したノートPCのこと、3スピンドルといえば上記の2スピンドルに加えてフロッピーディスクドライブを内蔵したノートPCのことを指すのが一般的だ。従って、ゼロスピンドルといえば1台も回転構造をもったドライブを内蔵していない、ハードディスクドライブの代わりにシリコンディスク(半導体メモリをディスクとして使用したもの)を搭載したノートPCのことをいう。

2014-05-04_213601_2Microsoft Windows 悪意のあるソフトウェアの削除ツールを使用すると、Windows Vista、Windows XP、Windows 2000、および Windows Server 2003 コンピュータが Blaster、Sasser、Mydoom などの特定の悪意のあるソフトウェアに感染していないかどうかをチェックし、感染している場合は削除することができます。 検出と削除の処理が完了し、何らかの悪意のあるソフトウェアが検出され削除された場合は、その結果を説明するレポートが表示されます。 %WINDIR%\debug フォルダに mrt.log という名前のログ ファイルが作成されます。
このツールの x64 バージョンは、Windows 7 x64、Windows Vista x64、Windows XP x64、および Windows 2003 x64 コンピュータでのみ動作する点に注意してください。
このツールは、ウイルス対策ソフトウェア製品に代わるソフトウェアではありません。 コンピュータを保護するには、ウイルス対策ソフトウェア製品を使用する必要があります。
マイクロソフトは、毎月第 2 火曜日に、このツールの更新バージョンをリリースする予定です。 新しいバージョンは、この Web ページ、Windows Update、Microsoft.com の「悪意のあるソフトウェアの削除ツール」ページから入手できます。
最新バージョンがリリースされたらすぐに、自動的に受信してインストールするには、自動更新機能を [自動] に設定しておきます。 Windows Update によって配布されるこのツールのバージョンは、毎月 1 回、コンピュータ上でバックグラウンドで実行されます。 感染が検出された場合には、次にコンピュータを起動したときにステータス レポートが表示されます。 このツールを毎月 1 回以上実行する場合は、この Web ページから入手できるバージョンを実行するか、Web サイトの「悪意のあるソフトウェアの削除ツール」ページのバージョンを使用します。
このツールの現在のバージョンで削除できる悪意のあるソフトウェアの一覧と、使用方法の説明については、KB890830 を参照してください。 また、感染が検出されるかまたはエラーが発生した場合には、このツールによって匿名の情報がマイクロソフトに通知されるのでご注意ください。 上記のサポート技術情報には、この機能を無効にする方法と、マイクロソフトに送信される情報の具体的な内容についても記載されています。
このツールを企業環境に展開する前に、KB891716 の内容を確認することを強くお勧めします。
このツールを実行するには、管理者の権限が必要です。 このツールは、Windows 98、Windows Me、または Windows NT 4.0 では実行できません。
このダウンロード ツールは、現在、複数の言語に対応しています。 サポート対象の言語であれば、オペレーティング システムの言語に応じてツールにも同じ言語が表示されます。

サポートされるオペレーティング システム
Windows 7, Windows 8, Windows 8.1, Windows Server 2003 x64 editions, Windows Server 2008, Windows Server 2008 R2, Windows Vista Business 64-bit edition, Windows Vista Enterprise 64-bit edition, Windows Vista Home Basic 64-bit edition, Windows Vista Home Premium 64-bit edition, Windows Vista Ultimate 64-bit edition, Windows XP 64-bit

ダウンロードサイト
http://www.microsoft.com/ja-jp/download/malicious-software-removal-tool-details.aspx

このアーカイブについて

このページには、2014年5月に書かれたブログ記事が新しい順に公開されています。

前のアーカイブは2014年4月です。

次のアーカイブは2014年6月です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

カテゴリ

月別 アーカイブ

ウェブページ

Powered by Movable Type 5.2.13