自分のパソコンは、セキュアか。今日は、そんな事を考えてみたい。新聞をにぎわず情報漏えい、仕組みはバックドアだ。標的型ウイルスとも言われる。
厄介なのは、アンチウイルスソフトでは検出できない事が多い。そもそもアンチウイルスソフトは、代表的なウイルスは、検出できるが、改造された物や、オーダーメイドは、検出するすべを持たない。どの位いい加減かを実感するには、疑似ウイルスソフトを使って見れば、分かり易い。
疑似ウイルスコードは、短く、自身を複製しない。悪さもしない。ただ検出されるコードを内在するだけだ。このコードをメモ帳などにコピペして、ディスクトップなどに保存しようとすれば、アンチウイルスソフトに検知される。ただ、そのコードの前に、i am a bad boy.などと追加してみよう。今度は、すんなり保存できてしまう。そもそもアンチウイルスだけでは、万全ではないのだ。
次に、Windows7などは、「セキュリティが強化されたWindowsファイヤーウォール」が追加され、プログラムごとに、通信規則を決められる。こうした仕組みが、きちんと働けば、情報漏えいなど有り得ないと思うかも知れない。
所が、VB.netなどでメールプログラムを作ってみるとよい。添付ファイルを適当に決めて、プログラムを走らせる。何の警告も出ないで、まんまとファイルを送信できてしまう事が、分かるだろう。こんなに簡単に情報を持ち出せると分かれば、何か対策を考えざるを得ない。
自分のパソコンに、バックドアが有るのか、無いのかを見極める便利なツールは、Microsoftが準備した「Sysinternals」のツールが役に立つ。初めに実行するのは、AutoRuns かな。問題は、ちょっと使い方がむづかしい。
そこで、そもそもWindowsに備わっている機能で、そうした事の対応と言おうか、知ると言おうか、そうした事ができないか考えてみた。
ネットをググると、まず初めにすべきは、セキュリティログの保存だ。次に、保存されたEventLogを見る事だが、これが大変だ。何せ量が多い。
EventLogを見やすくする。となれば、サンデープログラマーの登場となる。このプログラムに関しては、ページを改めて、もう少し詳しく書いた。自分のパソコンが、遠隔操作で使われるとしたら、ネットワーク経由のログが残るはずだ。しかも、自分のIDではないかも知れない。そんな事を念頭に解析を進めれば、良いのではなかろうか。
プログラムは、セキュリティのログを念頭に、書き進めている最中だと言う事を理解して頂きたい。セキュリティ以外のログは、読めるようではあるが、使い勝手は今一かも知れない。そもそも、ログのファイル形式をネットで調べたが、分らなかった。勝手に自分でこうだろうと見積もった物だから、大きな間違いがあるかも知れない。その場合は、あしからず。
考え方は、まず、ログを残す。セキュリティ上、エラーとか、警告があれば、その時点でメールがスマホなどに飛ぶ。
次は、そのログの解析だ。表は、タイトルをクリックするとソートされる。コントロールキーを押したままクリックすると、並びが、逆転する。
そもそもどんなIDがログオンを試したかとか、そのIDは、時間経過を追いながら、どんな事をしたのかとか、整理をして見る事で、不正なログオンが有ったのか、無かったのかなどを知る事になる。
作っている最中なので、プログラムの中身が大きく変わるかも知れない。適当なところで、ソースも載せたいとは思っている。コードと言っても、ネットを探して、コピペの部分が多いけどね。