« ネットで浅田飴を買おうとしたら拒否られた。浅田飴は薬剤師を通して買う必要があるらしい | メイン | Amazonの返品方法が分かりにくい。ネット通販の大手なんだから、もう少し分かりやすいサイトを作れ »

脆弱性があるソフトを見つけ出してくれるソフト「Secunia Personal Software Inspector」で自分のマシンをスキャンしてみたら、大きな穴が2つも開いていた

《2009年7月18日》 《カテゴリー:ネットワーク

いくらNortonとかVirusBusterとか入れていても、
セキュリティホールがあるOSやアプリを使っていては効果半減です。
しかし、Windows本体は自動更新で穴を埋められますが、
他のソフトの中には自動更新機能を持たないものもあります。
更新の通知機能があっても「後でやろう」と無視することもあるだろうし、
致命的な穴を放置したまま使い続けていることも多いはず。

脆弱性のあるソフトを探し出してくれるソフトがあると聞き、
うちのマシンで試してみました。
「SecuniaPSI(Secunia Personal Software Inspetor)」です。
以下のサイトで「Home Users: Personal Desktop」とあるやつを
ダウンロードしてください。
http://secunia.com/vulnerability_scanning/

これでスキャンしてみた結果がこの通り。
image

「Security Threats(セキュリティの脅威)」というところに、
脆弱性があるアプリのリストが表示されます。
うちでは「Firefox 3.5」と「Winamp 5」の2つが引っかかりました。
Firefox 3.5.1が出たのは1日前の話なので、
最新バージョンもきっちりフォローされているようです。
Winampは近ごろ使っていないので、
すっかりアップデートを忘れていました。

他のマシンでも実行したところ、
「Flash player(activex)」と「Quicktime」の2つがヒットしました。
アップルのアップデータがうざいので消してたんですよね。

このソフトのすごいところは、
「Threat Rating」をクリックすると脆弱性の具体的な内容が分かり、
「Solution」をクリックすると対処法が分かるところです。
(情報はすべて英語ですが…)

ちなみにFirefoxのSolutionをクリックするとダウンロードサイトが開き、
WinampのSolutionでは即座にファイルのダウンロード画面が開きます。

毎週末とか曜日を決めて実行すれば、
深刻な穴を放置せずにすむので、
ウイルスやスパイウェアに侵入される危険性も下がりそうです。

本当はこの機能がNortonやVirusBusterに装備されるべきだと思います。
今度、機会があったらぜひ聞いてみたいです。

(7月19日 追記)
いったんSecuniaPSIをインストールすると、
SecuniaPSIはシステムに常駐して、
一週間おきにスキャンを自動実行してくれます。
手動でスキャンする必要はありません。
ただし、脆弱性があるソフトを見つけてもバルーンでお知らせするだけで、
自動でソフトをアップグレードしてくれるわけではありません。
SecuniaPSIのステータスを確認して、
その指示に従ってソフトをアップグレードします。

SecuniaPSIの画面の右上に「INTERFACE MODE」という項目があり、
「ADVANCED」をクリックすると詳細な情報も確認できます。
標準の「SIMPLE」では致命的な脆弱性を持つソフトのみレポートされ、
「ADVANCED」を選ぶと他の問題があるソフトもリストアップされます。
うちのマシンの場合、VMwareとかAcrobatのバージョンも古く、
アップグレードするように警告されました。

また、チェック済みソフトのリストも見られます。
PhotoshopとかDiskeeperとかDivXとかGoogleDesktopとか、
名前を知られたソフトはたいていチェック対象になっています。
BeckyやFFFTPみたいな日本産のソフトもチェックされていました。
ここに名前が出てこないソフトもあるので、
それは自分でバージョンチェックしなければなりません。

SecuniaPSIの指示によってすべてのアプリをアップデートしましたが、
それでも問題点がゼロにはなりません。
既知の脆弱性のすべてがアップデートで解決できるわけではなく、
Java JREにはある種のXML署名を処理するときにエラーが起き、
なりすまし攻撃に悪用される可能性があるらしいのですが、
最新版でもそのバグは解決されていないとのこと。
他にもInternet Explorer 8にも未解決の脆弱性があり、
SecuniaPSIのステータスには、
「Insecure, no solution」(安全でない、解決策なし)
と表示されています。

image

それぞれリンクをクリックすると詳細情報が分かるので、
各自が脆弱性の内容を理解した上で、
対処法を決めるしかありません。
穴が開いたまま使うのが不安であれば、
未解決の脆弱性を持つソフトを削除するしかないでしょう。

今回のアップデート作業の中で感じたのが、
「仕事で使うパソコンなら必要最小限のソフトしか入れるべきでない」
ということです。
ソフトの数が増えるほどバージョン管理が面倒になり、
穴を放置してしまう危険性も高まります。
「Winnyをやるなら専用マシンを使え」みたいな話がありますが、
その種のソフトを使うときだけでなくても、
マシンを分離するという対策が必要になりそうです。

投稿者 yasu : 2009年7月18日 11:57 | このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク はてなブックマーク - 脆弱性があるソフトを見つけ出してくれるソフト「Secunia Personal Software Inspector」で自分のマシンをスキャンしてみたら、大きな穴が2つも開いていた

トラックバック

このエントリーのトラックバックURL:
http://www.center-left.com/cgi-bin/mt5/mt-tb.cgi/1537


コメント

多言語(日本語)にも対応したので、
使いやすい。ただ、対応ソフトが少ない
感じ。リクエストは英語なので、困ってるね。

投稿者 たけちゃん : 2009年10月 4日 01:10




保存しますか?

(書式を変更するような一部のHTMLタグを使うことができます)