河端善博 ブログ / SQL Server

RAID 5, RAID 6, RAID 10 などで構成したストレージで、ハードディスクが壊れたとき、どのような影響があるだろうか。
RAID により冗長化されているから、サービスには影響はないのだろうか。

RAID システムは、ハードディスクを冗長化しているので、故障したハードディスクを交換すれば、サービスを停止することなく、データを失うことなく、復旧することが期待されている。

しかし、実際のところは、次のような影響がある。

1.冗長化されていない状態になる

RAID 5, RAID 10 の場合、正常なディスクと交換し、RAID 構成が復旧するまで、冗長化のない状態となっている。つまり、もう一台のハードディスクが壊れたら、サービス停止、データ破損になる。
RAID 6 の場合、1 台の故障では、冗長化は保たれる。復旧前に、2 台目のハードディスクがこわれたら、冗長化はなくなる。 3 台目のハードディスクが故障すると、サービス停止、データ破損になる。

多くの RAID システムは、ホットスペアとして予備のディスクを準備しておけるので、最低 1 台は設置しておきたい。もし、ホットスペアがなければ、IT 担当者は、メーカーから交換用のディスクが届き、復旧するまでの間、つらい時間となるだろう。

2.パフォーマンスが半分以下になる

正常なディスクに交換するか、ホットスペアのディスクにより RAID の復旧がはじまると、ディスク全体に多大なアクセスが発生する。このため、サービス用のディスクアクセスの性能は半分以下になる。
サービスに必要な性能がでないと、サービス停止、サービス不安定になる。

RAID システムによっては、復旧のためのディスクアクセス頻度を減らす機能があり、サービス用アクセス性能への影響を下げることができる。
ただし、復旧によるディスクアクセス量を減らすと、復旧完了までの時間が長くなる。復旧完了まで数日必要となる場合もあるので、本番利用前に評価が必要。

3.データが失われる。

復旧完了までに、もう一台のディスクが破損した場合、データは失われる。
復旧中に、別のディスクが破損する可能性は高い。
復旧のために、いつもは利用されていなかったディスク領域にエラーが発見される可能性が高いためである。

RAID システムによっては、定期的にディスク全体を検査する機能がある。設定しておけば、復旧中にディスク破損が発見されてしまうのを防ぐことができる。設定していなければ、かなりの確率で、2 台壊れると覚悟しておいたほうがいい。

また、ディスクではなく、RAID カードのエラーによりデータが失われる可能性がある。RAID カードそのものが故障した場合と、RAID カードが、正常なディスクのほうを故障していると間違って判断する場合である。

RAID カードが破損すれば、ディスクには間違ったデータが書き込まれるため、ディスクは正常でも、データは破損する。
一方、RAID カードが故障したディスクを正常と判断し、正常なディスクを故障と判断すると、冗長化されていない状態で、故障したディスクにデータを書き込むため、データは失われる。

こうした課題が RAID のディスク 1 台が故障した場合に存在することを考えて、システムの要件定義と、対策をしておく必要がある。

簡単な要件定義例:

データは 4 時間以上のものは、復旧できること
ディスク 1 台の故障で、冗長化されないポイントが発生しないこと
ディスク 1 台の故障で、サービスのパフォーマンスに影響しないこと
ディスク 1 台の故障は、24 時間以内に復旧すること

さて、どのような冗長化を組み合わせることにより対策できるだろうか。

SQL Server 2000 から SQL Server 2008 へ移行する方が検討されたいこととして、システムの冗長化がある。

システム障害が発生したときに、できるだけ早く復旧したい

特に ASP, SaaS,Web 形式でサービスを 24 時間継続して提供している企業の IT 担当者にとっては深刻だ。

万が一、復旧できなかったら …

という不安が、担当者にのしかかる。
社内システムである程度、利用者の顔もわかっていて、一日ぐらいなら止まってもいいというシステムの担当者には理解しがたい不安だ。

そこで、担当の方々が望むこと。

システム障害を自動的に検出して、待機系システムに切り替わる

というソリューションだ。
SQL Server に対応した冗長化ソリューションは、各種販売されている。

そこで、SQL Server の冗長化ソリューションを検討する場合のポイントを検討しておこう。

• Windows Update の適用
• SQL Server サービスパック、修正プログラムの適用
• ドライブへのチェックの実行, chkdsk
• 問題のあるデータベースのみの切り離し運用
• 正常なサーバーの検出
• 障害復帰後の切り戻し

まず、サーバーの適正な更新は必須条件となる。
停止できないので、Windows Update は適用できませんは通用しない。
なお、Windows Update, SQL Server の修正プログラムの適用に必要な時間は、システムに大きく依存する。また、適用後に障害が発生した場合の切り戻しをデータのロスなく行う方法、適用後の動作検証方法も考えておく。

次に、SQL Server のデータベースやトランザクションを保存しているドライブに、不整合が発生した場合、chkdsk /f することも考えておく。
chkdsk /f 中は、対象のドライブ、サーバーが使えなくなる。

また、多数のデータベースを運用している場合、原因と思われるデータベースのみ別サーバーで動作確認できることが望ましい。多数のデータベースが共存した状況では原因究明と対策に時間がかかることが多いためである。完全にシステムが停止する障害ではないが、システム全体に著しい影響のある障害もある。

正常なサーバーとは何かを、正常に検出するのは、実は難しい。間違った方を選択すると、システム全体障害に発展する。

最後に、問題解決後のサーバー切り戻しの手順について、リアルに検討しておく必要がある。サーバー障害の原因が完全に特定できることは少ない。原因と思われる個所に対策をして、運用してみて、はじめて解決となる場合もある。この時に、正常系と待機系を一度に切り替えるのではなく、段階的に切り替えることができることが期待される。

SQL Server 2008 では、こうした冗長化にたいする要件にたいして、魅力的な機能を提供している。

データベース・ミラーリング

SQL Server 2008 に移行するのであれば、ぜひ検討してみてほしい。
担当者の不安を軽減できると思われる。

SQL Server 2000 のシステムを SQL Server 2008 へ移行する方が質問することがある。

互換性レベルを SQL Server 2000 (80) から SQL Server 2008 (100) にするメリットはありますか ?

多くのメリットがある中で、特に長く SQL Server 2000 を利用され、顧客データが蓄積されてきたデータベースをもっている方にお勧めな点は、

レポート

SQL Server Management Studio から、SQL Server インスタンス、データベース、テーブル、インデックスの状況がひとめでわかる。
実は、適切な統計ツールをいれてなかったり、よほどの SQL Server の技術者がいないところでは、データベースの状況がほとんどわかっていない。
フラグメンテーションの状況もよくわからないし、どのような処理に時間がかかっているのかもわからない。

System Center , Operations Manager をいれていなければ、時系列のデータベースの状況もわからない。

まずは、レポート機能をつかって、現状の正確な把握をチームで共有することにより、適切な投資が可能となる。

インデックス使用状況の統計

たとえば、レポートにて、「インデックス使用状況の統計」をみることにより、不要なインデックスを理解できれば、ディスク, CPU の負担を適正にすることができる。

なお、互換性レベルを SQL Server 2008 にする場合は、十分に動作確認を行ってほしい。データベース単位で変更できるので、段階的に導入するほうがいいだろう。

また、レポート機能のいくつかは、SQL Server が起動してからの統計情報を表示するため、テスト用のサーバーでは必要な統計が表示されない可能性があることを注意してほしい。「インデックス使用状況の統計」は、テストサーバーでは何にも表示されない。

Outlook を利用していると次のメッセージが出ることがある

画像をダウンロードするには、ここをクリックします。
プライバシー保護を促進するため、メッセージ内の画像は自動的にはダウンロードされません。

この機能は、HTML メールの本文内に埋め込まれていない画像を、Web サイトからダウンロードするのをブロックする。
この機能によるプライバシー保護とは、次のようになる。

Web サイトへのアクセスをブロックするため、メールアドレスが存在することかどうか、メールを開いたかどうかをメール送信者から隠す

迷惑メール事業者は、存在するメールアドレスを得るために、メールに Web アクセスを埋め込んでおく。
メールが開かれ、Web アクセスが発生すると、どのメールアドレスが利用されているのかを確認することができる。

さて、Outlook は、以前からこのブロック機能を提供してきたが、最近、この機能が必須であることが忘れられてきたようだ。
スパムメールを送る側にとっては、うれしいことだろう。

たとえば、手元の iPhone のメール機能は、ブロックされなかった。
iPhone をもっている人のメールアドレス一覧がほしい事業者は、いろいろやってきそうだ。

なお、Windows Mobile 6 の T-01A のメール機能は、ブロックする。
Exchange Online の Outlook Web Access / OWA も、ブロックする。

iPhone でメールを見ていると、画像がたくさん埋め込まれたプロモーションメールもさくさく読めるので便利ではあるが、悪意のある相手にとっても便利であることを理解しておきたい。

Web ベースアプリケーションの開発が一般的になってきた。
ここで、ブラウザと、契約条項がどうなっているのか疑問がある。

ブラウザのバージョンアップによる不具合に対する保守契約は ?

企業システムとして開発した Web アプリケーション、製品として開発した Web アプリケーションについて考えたい。
開発期間が終了し、納品されたあとのことだ。

Web ブラウザがバージョンアップすることにより、アプリケーションに不具合が発生することに対して、どのような保守契約になっているのだろうか。

現状では次のような状況がある。

1. Internet Explorer 6 にのみ対応し、IE 8 に対応するには、多額のバージョンアップ費用が必要になるグループウェアがある。ある団体は、バージョンアップ費用回避のため、IE 6 を残そうとしている。
2. Windows, Internet Explorer のセキュリティアップデートは、稼働中のシステムに影響が出ないよう徹底して配慮されている。API の追加、機能追加、動作変更を最小限にするための配慮がされている。
   Windows XP SP2, Windows 2000 は、10年間配慮が継続した。
3. Firefox は、2.0 が 2 年2か月、3.0 が 1年8か月でセキュリティ修正が終了している。

アプリケーションの開発が終了すれば、開発チームは解散する。
Web ブラウザをふくめて、関連システムのバージョンアップにより不具合が発生すれば、保守により対応する。
保守コストを適正化するため、新機能追加を伴うバージョンアップは極力避ける。
Windows 2000 が現在も、Windows 2008 にバージョンアップされない要因には、システム不具合の調査、回収コストの負担がある。

さて、Windows XP SP2, 2000 が提供してきた 10 年間にもおよぶシステムプラットフォームとしての責任は、今後 Web ブラウザやスマートフォンなどで、どのように提供されるのだろう。

あなたが選んだシステムプラットフォームは、何年間保証されますか ?

携帯電話用の充電ケーブルの話。

在庫はありません

帰省先、大手家電量販店でいわれた。

古い機種なので

と、10km 先の別の家電量販店でいわれた。
(昨年 2009年6月に発売されたスマートフォンです)
さらに、ドコモのショップ、別の大きな家電量販店でもいわれた。

結局、50km 先の都市の駅にあるヨドバシカメラまでいって、購入した。
ちいさな、ちいさな、充電ケーブルをひとつ買うために。

さて、丸一日、100 km の距離を運転していて思ったことがある。

充電ケーブルの在庫を置いてないのなら、サポート終了と考えます。

携帯電話の利用者にとって、充電ケーブルがドコモショップにも、大手家電販売店の携帯電話コーナーにもおいていないのなら、それは、サポート終了と考えるだろう。
当たり前のように、「お取り寄せになります」といわれたら、サポート終了と考えるだろう。

発売から 1年2か月でサポート終了するなら、違約金なしで解約させてください。

今回の機種は、ドコモ/東芝の T-01A。OS は、Windows Mobile 6.5。
発売開始は、2009年6月。まだ発売開始から 2年経過していません。
企業利用が全くできない機種ですね。
お取り寄せを待つ間、電池切れで待つの ?

最後に

携帯電話会社さん、サポート期間中の携帯電話の充電ケーブルは、確実に入手できるようにしてください。

携帯電話の 1/3 ほどの体積しかない充電ケーブルです。
もちろん、ほとんどの携帯電話の充電ケーブルは、コンビニで簡単に手に入ります。
しかし、もしスマートフォンを提供していくつもりなら、サポート期間中は、充電ケーブルも提供してほしいと思います。

ちなみに、市販の MicroUSB 用の充電ケーブルでは T-01A に充電することはできません。

補足:
1. 罵詈雑言 … もちろん、自動車の中で考え付く限りの悪態をかみ殺していました。
2. あぜん … やっとみつけた Micro USB を購入して、自動車の中で充電しようとして唖然.
　　店に戻って、いろいろためしてダメ
3. 古い機種 … 携帯電話のバッテリが切れかけて、ショップに入った人に。
　　店頭からなくなるのと、サポートがなくなるのは意味が違うでしょ ?

ふぅ。。 Windows XP SP2, Windows 2000 が 10 年経過してようやくサポート終了となった。
一方、インターネットの主流に躍り出たような感のあるスマートフォンは、2 年もサポートが続かない。
これからも、IT に投資する以外の方々には、旧来の携帯電話を、お勧めしよう

スマートフォンがウィルスに感染するなどした場合のリスクは、これまでの PC の感染とは違うようだ。
ふたつの記事があった。

まず、GPS による追跡されてしまう事例:

ユーザーの行動を監視するAndroidアプリ、「スネークゲーム」を装う
(2010/8/17, ITmedia News)

さらに、課金されてしまう事例:

Androidを標的とした初のトロイの木馬、SMSを自動発信
(2010/8/11 Imedia エンタープライズ)

初めの事例は、簡単なゲームに GPS 追跡機能が埋め込まれている。
ゲームをいれただけなのに、自分の居場所を GPS でばらされてしまう。
自分のリアルタイムの居場所が、攻撃者にばれたらまずいだろう。
あらゆる犯罪に巻き込まれる可能性がある。

二つ目の事例は、簡単な音楽などの再生ソフトに、送金の仕組みが埋め込まれている。
音楽を聴いていると、勝手に SMS メッセージを送って送金している ?

スマートフォンには、GPS が内蔵されているから、乗っ取ってしまえば不正な位置追跡に使える、
スマートフォンには、携帯電話事業者による課金、アプリストアによる課金の仕組みがあるので、乗っ取ってしまえば、不正な送金に使える、
これまでの PC ベースのセキュリティ対策とは違う部分。

これから、盗聴、盗撮など、いろんなウィルスが日々作られるのだろう。

ゆうちょ銀行で 2010/7/12 に発生したシステム障害について、原因判明の記事があった。

ゆうちょ銀障害の原因判明　IBM製HDDのプログラムにバグ
(ITmedia News 2010/8/17)

記事の後半に障害発生の経緯の説明があるが・・・
不思議なことに、制御装置が A と B しかないように見える。

つまり、二重化

で、

ひとつ故障して、切り離した間に、残りが故障 ?

いやいや、まさかね。
ゆうちょ銀行の為替システム。
最低でも、三重化しているでしょ ?
さらに、1 台が故障したら、予備を使って、自動復旧させるでしょ ?

もし、ほんとに 二重化 だとしたら、確実にまた障害は発生しますね。
メーカーの「世界でゆうちょ銀が初めて」なんて理由説明を信用する人がいると思えないけどね。

日本で「1000台」、世界でも、たった「10,000台」しか動いていない HDD にバグがあるのは、当然ですよね。

iPad が話題になる一方で、さまざまな Android 端末が話題に上がる。
中国に出張したついでに、iPad そっくりな Andoid 端末をあやしい店で買ってきたという方も多い。

さて、この端末で何をしていいんだろう。
リスクを検討し、相応の操作が求められる。

想定されるリスク

1. Android OS にウィルスが仕込まれている可能性がある
   販売元、または端末作成者によって、あらかじめウィルスが組み込まれている可能性がある。
   端末に登録した個人情報、メール、クレジットカード、通話履歴がすべて流出しているかもしれない。
2. Android OS が乗っ取られている可能性がある。
   あらかじめ、OS が改ざんされ、リモートから操作可能な状態にある可能性がある。
   事務所や自宅の Wi-Fi に接続した時点で、攻撃者の端末と化す。
3. 端末の GPS, カメラ, マイクが、リモートから操作されている可能性がある。
   端末に内蔵される GPS, カメラなどが、攻撃者により操作され、盗撮、盗聴、追跡されているかもしれない。
4. 端末が、踏み台になっている可能性がある。
   事務所や自宅の Wi-Fi につないだ端末を踏み台に、内部のネットワークに侵入が始まるかもしれない。

これらは、実行は難しくなく、攻撃者のバグでもない限り、利用者は気づきかないと思われる。
Android 端末が、ネットワークでどのような通信をしているのか詳細に解析していない場合、きっと攻撃者のやりたい放題だろう。
最近、信頼あるはずのメーカーの PC 端末やネットワーク機器でさえ、ウィルスに感染している場合がある。
しかし、もともと Android OS を組み込む立場の販売元や製造過程にかかわれる人であれば、どのような仕掛けも行うことができる。ネットワークに接続することが前提なので、盗撮、盗聴も自由自在だ。

さて、このような端末で何をしていいんだろう。
このような端末を購入した、IT に先進的に取り組まれている方々が、どのようなことをしているのか、聞いてみよう。

Azure の課金は、利用した分だけ。
レンタルサーバーや、日本のクラウドの多くは、定額。
Microsoft Online の中では、Exchange Online, SharePoint Online なども定額。
いくら迷惑メールを送りつけられても、定額。

Azure は月額最高いくらになるのでしょう。

利用する前に経営陣に、了解を得ておく必要があります。
まさか、レスポンスが高く、手軽に分散処理できるからといって、先月の請求は 1,000 万円でしたなんて、通らないですよね。

例

1. 平均して 30 Mbps を利用している場合、月額ぐらいだろう。
2. 何 Mbps を出せるんだろう。
3. もし、転送量にリミットがある場合、それはどのような制限だろう。
4. リミットがある場合、リミット超過時の動作はどうなるんだろう。

プログラムのバグ、設定ミス、そして DDoS 攻撃。
想定外の利用をすることは、よくある。
定額制では対処をがんばるだけだ。
だが、利用に応じた課金の場合、対処の遅れは請求金額に反映される。

Azure 担当の方と、きちんと話をしたいと思う。

※よくみるサーバー負荷のネタ

• Webサイトをよく利用してくれる方が、Web サイト巡回ソフトに登録したところ、毎秒 10 回 Web サイトにアクセスしつづけてしまった。決して悪意はないが・・・・
• 大手の検索サービスのクローラーの更新ミスで、延々と Web サイトを巡回されてしまった・・・・
  もちろん、検索サービスは 通信費を払ってくれないと思う。
• Web サイトの JavaScript のバグで、延々と Web サービスをたたき続けてしまった。
  ひとりの利用者が Web ページを開いただけで、毎秒 10 回 Web サービスをたたき続けて・・・
• 有名 Web メディアに Web サイトが紹介された。
  アクセス数が 100 倍になった・・・
  売上は 1.5 倍だった・・・

Internet Explorer 9 のベータ 4 が提供された。
専用のデモサイトには、HTML5, SVG, DOM, JavaScript を活用したページが掲載されている。
来年 の Web を、ここに見ることができる。

ところで、Internet Explorer 9 が正式に提供されたあと、順次 Web サイトに採用されていくだろう。
ふつうの PC で、Web ページ上で、CAD が、図面が、ゲームが、アニメーションが、ふつうに表示されるようになる。
DirectX 技術をブラウザが利用するのは、当然になる。

当然、仮想化デスクトップ、VDI でも、適切なレスポンスが期待されそうだ。
このとき、VDI でのみ、動かない・遅いというのは、企業にとって大きな欠点になると思われる。

どの VDI 技術が IE 9 に期待される機能とレスポンスを提供するのか、楽しみ。

「ダメ」と言っていいと思える。
「 iOS4 にしていない、iPod Touch, iPhone で Web をみてもいいですか ? 」と聞かれたら。

2010年 6月に提供された iOS4 で修正された脆弱性は、とても深刻な上に、数が多い。
iOS 3 の脆弱性修正が提供されない以上、iOS 4 にしていない端末は利用禁止が基本だろう。

「いいえ」と答えていいだろう。
「 iPhone での PDF 表示の脆弱性もやっぱり アドビが悪いんですか ? 」と聞かれたら。

iPhone には Adobe Reader が入っていない。PDF ファイルの表示は Safari ブラウザが行っている。

今日発表された、iPhone をジュエルブレイクさせる、脱獄させるツールは、Safari の PDF 表示の脆弱性も利用しているらしい。とすると、現在の iPhone は、攻撃者にとって完全の端末を乗っ取ることができることになる。

そろそろ、企業向けに iPhone 端末の完全な管理機能、および、iPhone からの外部通信を専用のファイアウォールとフィルタを経由した通信に限定する機能が必要と思われる。

ワールド・サテライト・ビジネスは、2010/8/6 製品サポートを提供するビジネスを特集した。
家電製品について、延長保証を提供するビジネスだ。

この特集で、疑問に残る点があった。

「なぜ マイクロソフトの Windows 2000 の製品サポート終了を冒頭で取り上げたのか ? 」

番組では、Windows 2000 のサポートが切れて、Windows 2000 でしか動かないシステムが残っていて困っている企業があるという流れで取り上げていた。

さて、家電製品のサポート延長提供ビジネスにつなげるのは、一方的にマイクロソフトを貶めていないだろうか。
マイクロソフトは、この程度の扱いには慣れているし、規模としても問題ないと考えればいいのだろうか。

ワールド・サテライト・ビジネスでも、この程度の特集と知識しかないのだと、「知る」ことができたいい機会だった。
自分の専門分野の特集の仕方をみると、製作者のレベルがわかることが多いが、今回はまさに。

【ポイント】

• 家電のサポートビジネスは、3 年～ 5 年。
  Windows 2000 は、10 年ですよ。 + 5 年のサポートの価値。
• 家電は、その製品への依存した製品や文化は、ほとんどない。
  Windows 2000 は、依存してつくられた企業システムが多数存在する。
  依存するシステムへの影響を最小限にとどめながら、脆弱性修正が提供されることの価値。
• 家電の問い合わせ対応は、製品の機能、動作についてが大半。
  Windows 2000 は、他者の製品も組み合わされた環境の中で、問題を切り分けサポートを提供する価値。
• 家電は、脆弱性の発見、高度な攻撃者がいない。
  Windows 2000 は、日々進化し続ける高度な攻撃者に対する修正が提供されつづけた。

ワールド・サテライト・ビジネスが、番組でのWindows 2000 の取り上げ方について、訂正するのかどうか、見てみたい。
また、マイクロソフトの日本法人が、正式にクレームを入れるかどうかも、見てみたい。

Windows が、ビジネスを行う企業や利用者からの対話によって、今のサポートが提供されてきた。
一方、他の OS、製品、スマートフォンなどは、まだ、こうしたサポートが提供されていないと思う。
メディアも、そろそろ、IT 製品・サービスのまともな サポートを認識してほしい。

インターネットで使うドメイン名の更新を忘れてしまった場合、他の方が、そのドメイン名を取得することができます。この時、何が起こるかというと・・・

そのドメイン宛てのメールが、他の方にながれてしまうことになります。
取引先からや、契約先からのメールがどんどん、流れてしまうことに。 (漏洩)

事後対策は、取引先全部に、ドメイン名が変わったので昔のドメイン名で送るなと注意勧告する、ぐらいです。しかし、実際には、昔のパンフレットや名刺、過去のメールなどから、元のドメイン名が再利用される可能性があります。

また、オンラインでの各種契約や登録に、そのドメインのメールアドレスを使っていた場合は、パスワードを再設定されてしまう可能性もあります。

改めて、注意しておきたいと思います。

先日、PDF を表示する Adobe Reader と Acrobat の脆弱性が公開されました。

Security Advisory for Adobe Reader and Acrobat
(Adobe 2009/12/15)

JVNVU#508357
Adobe Reader および Acrobat における解放済みメモリを使用する脆弱性
(IPA 2009/12/16)

Adobe Acrobat and Reader contain a use-after-free vulnerability in the JavaScript Doc.media.newPlayer method
(US-CERT, 2009/12/15)

攻撃は、はじまっています。
安全なはずの Web サイトを開いただけで、ウィルスに感染する可能性があります。
修正プログラムは、2009/12/28 現在、提供されていません。

攻撃側は、細工した PDF を、改ざんした Web サイトにアップロードするだけです。
Web サイトを改ざんし、細工した javascript を埋め込む方法も考えられます。

【注意点】

• 対策可能なウィルス対策ソフトはあるようです
• 回避策をとっておくことが必要
• ウィルスに感染する可能性が高くなっている
• ウィルスをばらまいてしまう可能性が高くなっている
• 関係者への周知が必須

クリスマスイブに IIS の脆弱性が公開されました。

Microsoft IIS ASP Multiple Extensions Security Bypass
(Secunia 2009/12/24)

Microsoft IIS Malformed Local Filename Security Bypass Vulnerability

(SecurityForus 2009/12/23)

IIS 1.0 ～ IIS 6.0 までの ASP を許可している Web サイトが対象です。
脆弱性の詳細と、対策方法は関連サイトをご確認ください。

【予想】多数の Web サイトが改ざんされ、ウィルスを、ばらまき始めるかも

この脆弱性に脆弱性な Web サイトは、たくさん。きっと・・・・

注意点をまとめておきたいと思います。

【注意点】

• Web サイト管理者の方: 対策をしましょう
• Web サイト管理者の方: DDoS 攻撃が増えるかも
• ITPro の方: 安全なはずの Web サイトが、ウィルスをばらまいているかも
• 一般利用者の方: 念のため、バックアップしておきましょう

ある日、仕事上、重要な Excel ファイルが開けなくなった。

他のコンピュータでもファイルを開けない。
マイクロソフトのサポート情報もない。
マイクロソフトの人力検索にも、フォーラムにも情報はない。
ファイルは、RMS = Rights Management Services を使って暗号化していた。

そして、ある日、突然 開けるようになった。
なんの前触れもなしに、何事もなかったかのように。
マイクロソフトから、なにも情報はなかった。

そして、ようやく状況が判明した。

AD RMS および RMS で保護されている Office 2003 ドキュメントに対応する修正プログラムについて
2009/12/11

RMS 定義ファイルに関するライセンス失効が原因だったそうな。

このサポート情報の最後に、次の一文がある。

「詳細についてわかり次第、次の Office 製品チームの Web サイトに公開する予定です」

きっと、悪気はないんですよね。
暗号化が必要な、ビジネスに重要なファイルが、数日間、開けなった障害に対して、英文のブログで詳細報告だそうです。次からは、Twitter でリアルタイム報告でもするのかなぁ。

実は、この前に、もうひとつ事件がありました。

IRM サービス無料版で暗号化した Office ファイルが 2009/11/25 から開けなかった。
関連ブログ: Passport RMS Service Experiencing Technical Difficulties
2009/11/25 ? 2009/12/2

はい、こちらもやられました。
情報をさがしまわり、フォーラムで質問もしましたが、マイクロソフトのサポートチームに情報がなかったようです。
IRM サービス無料版は、Windows Live ID があれば無料で使える RMS サービスです。
もちろん、このサービスで障害が起こっていたことは、上記ブログ以外、どこにも情報はないようです。

さて、今回の事件から考えたことを教訓にまとめておきたいと思います。

【教訓】

1. ファイル暗号化は、異なる方式にて暗号化し、バックアップしておく。
   ひとつの暗号化方式に障害がでた時、ビジネス継続できなくなることを避ける。
2. オンラインサービスは、その障害状況と対策の提供速度と品質を前提に利用する。
   IRM サービス無料版の障害情報は、実質提供されていない。
   マイクロソフトは IRM サービス無料版の障害状況を、ブログでのみ公開している。

さて、今日も重要なファイルの RMS 暗号化を解除して、パスワード暗号によりバックアップしておこう。

IIS 7 を、今、ひたすら掘り下げて、検証しています。
FTP, チューニング、セキュリティ、エラー処理、負荷分散、冗長構成など。

IIS は、Windows NT の頃からずっと触ってきていますが、IIS 7 は柔軟性と速度が大きく上がる一方、複雑になり、現場で必要なレベルの検証されたドキュメントが少なく、IIS 6 以前との同じ設定をする方法も整理されていません。

さて、といいつつ、ひたすら 英語の資料と付き合うしかありませんが、マイクロソフトの奥主さんが着々と日本語ドキュメントを整備されていますので、メモしておきます。

• 英語: iis.net
• 日本語: IIS TechCenter

IIS のコミュニティが欲しいかも・・

5 年前から使ってきた DELL c400 の Windows XP 環境を Hyper-V へ移動することができました。

ツール: マイクロソフト sysinternals Disk2VHD v1.4

Disk2VHD は、マイクロソフトが提供する無料のツールです。
ハードディスクから、仮想ディスク VHD ファイルを作成することができます。

今回、DELL c400 上で Disk2VHD を起動し、C ドライブから VHD を作成しました。
VHD ファイルは、ネットワーク共有フォルダ上に作成することができます。

バージョン 1.4 からは、待望の HAL 修正機能が付きました。
HAL 修正とは、物理コンピュータと、Hyper-V 仮想マシンとのシステム上の違いを修正する機能です。HAL が修正されない場合、仮想マシン上で Windows が起動しない、不安定になるといった問題があります。
これまで HAL 修正機能は、市販のバックアップソフトやツールでのみ提供されていました。

さて、実際に行った流れは次のようになります。

【DELL c400 / Windows XP を ゲストOS へ移行した手順】

1. DELL c400 上で、Disk2VHD を起動し C ドライブのイメージを ファイルサーバー上に VHD ファイルとして作成
2. Hyper-V サーバー上で、VHD ファイルを使って新しい仮想マシンを作成。
3. 仮想マシンを起動
4. 仮想マシンで、Windows アクティベーションを実施
   ハードウェアが、大幅に変わったと、Windows が判断したため。
5. コンピュータ名を変更
   元の DELL c400 が動いていたため。
6. Hyper-V 統合サービスをインストール
   これで、マウスが動くようになります。
7. 仮想マシンに不要なアプリケーションやデバイスドライバをアンインストール

【注意点】

1. IP アドレスに注意
   元となるコンピュータをうごかしたままにする場合、IPアドレスが競合しないように注意。
   DHCP でアドレスをとつている場合は問題なし
2. コンピュータ名に注意
   元となるコンピュータをうごかしたままにする場合、コンピュータ名の変更が必要。
   ドメインへ新規に参加させることが必要。
3. USB が使えない
   Hyper-V 仮想マシンは、USB に対応しませんので。
   Windows 7 XP Mode だといけるのかも。
4. 不要なデバイスドライバやツール
   グラフィックボード、サウンドカード、無線LAN カードなど物理コンピュータ上でインストールしていたデバイスドライバなどは、不要であれば削除。
   怖い場合は、スナップショットをとってから作業

さて、これで、物理コンピュータを Windows 7 にしていく道が見えました。
Windows Server 2003 の仮想マシン化もまた、試してみたいと思います。

静岡ITPro勉強会にて司会していただいた石坂さんの感想に。

第3回静岡ITPro勉強会 御礼＆感想
(isisaka.com, 2009/10/3)

クラウド提供企業、大規模なWebビジネス展開する企業、サーバーベンダー、OS ベンダー、仮想化ソリューションベンダーから、多くの情報が提供されます。

しかし、それを導入するユーザーとして、企業IT担当者、SI 事業者、開発者、そして学生の方々は、これらの情報を適切に振り分ける必要があります。

20年程度のコンピュータの歴史の中で、破壊的なムーブメントは何度も発生してきました。ホスト、オープンシステム、クラサバ、シンクライアント、Web さらに、携帯/モバイル。
あわせて、インターネットと携帯電話の普及、超大規模な事業者の出現。
ただ、破壊的なムーブメントの後、ほどなく揺り戻しも発生してきました。

これからも、しっかり見ていきたいと思います。

電力… そうですよね。これだけ充実した電力インフラがあるのに、どうして家庭内で太陽光などをつかって発電しているんだろう。

仮想化とクラウドについて、お話させていただきました。
企画いただいた方々、ご参加いただいた方々、参加する機会をいただき、いろいろなお話を聞くことができ、楽しい時間を過ごすことができました。

静岡 ITPro 勉強会

学生の方、まだ仮想化を試していない方、低価格のPCサーバーをつかって仮想化を試している方、ブレードをつかってサーバー統合をされた方、今、仮想化に関心を持つ方の状況を知ることができました。

また、Windows 7 用に提供された 「XP mode」 は、基本的な仮想化の知識がない方々がつかってみる仮想化として関心が高いことも確認。
ちょうど、勉強会の朝未明に、XP mode をいれて確認しておいてよかったと思います。

クラウドは、いろいろな方と、もっとお話していきたいテーマですね。

資料は、スタッフの方に送付させていただきましたので、ご確認いただければと思います。

Amazon, Yahoo, Twitter, RSS, REST, JSON など Web サービスを活用してプログラムをする機会が増えています。
とても便利な Web サービスですが、開発者が注意しておきたい点があります。

注意: TCP ソケット リソースには限りがあります。

一台のコンピュータで利用できる TCP ソケットは、限りあるものです。
さらに、TCP ソケットが利用するメモリなどのリソースは、ファイルやプロセスのハンドルと同じ領域を利用します。

このため、多くのプロセスが動作するコンピュータ上で、一度に使える TCP ソケットは限定されており、使い切ってしまうと、TCP 接続ができなくなる上に、さまざまなエラーが発生する可能性があります。

また、TCP ソケットは、CLOSE 処理後も、一定時間 TIME_WAIT ステータスとして保持されます。
たとえば、Amazon API を使って、100冊の書籍情報を取り出すループ処理を行った場合、一時的に 100 個の TCP ソケットが消費されます。CLOSE してから、次の処理をしているから、瞬間的には 1 個 の消費とはなりません。

また、10 冊の書籍情報を表示する Web ページが 100 ページある Web サイトの場合、Google や Bing などの検索エンジンのクローラにより、すべてのページにアクセスが発生すると、10 * 100 = 1000 個の TCP ソケットを一時的に消費します。短時間に 1万ページ以上をアクセスするクローラーもあります。

Web サービスだけでなく、SMTP, POP3, IMAP4, FTP, WebDAV も同様に限りある TCP ソケットを消費します。

なお、SQL Server は、限りあるリソースを有効に利用するため、コネクションプール技術を提供しています。
コネクションプールにより、大量のデータベースアクセスを、クライアント・サーバーともに安定して処理します。

便利な Web サービスを有効に活用するには、開発者が TCP リソースの制限を理解し、適切に管理していくよう注意しておきたいと思います。

TIPS:

• コマンド netstat -ano -p tcp により、TCP 接続状況を確認する
• レジストリにより TIME_WAIT を維持する時間を調整する
• 接続処理を TIME_WAIT にあわせて一定の間隔をあける
• Web サービスの値をキャッシュし、大量の Web サービス接続が発生しないように調整する
• 最大 TCP 接続数が、一定以上にならないようにプログラムを調整する

Sentrigo 社は、 SQL Server のログインパスワードについての脆弱性を発表しています。

Sentrigo Uncovers Significant Password Exposure Vulnerability in Microsoft SQL Server
(2009/9/2, sentigo)

サーバー管理者が、動作中の SQL Server のメモリをダンプすることによって、ログインのパスワードを取得することができるとするものです。あわせて、メモリ上のパスワード情報を消去するツールを提供しています。
Sentrigo 社は、たとえ管理者であっても、ログインのパスワードを見ることができないようになっている必要があると説明しています。

この件について、マイクロソフトがコメントを出しています。

SQL Server information disclosure non-vulnerability
(2009/9/2, Microsoft Security Research & Defense)

マイクロソフトの見解は、パスワードを得るためには、サーバーの Administrotors 権限が必要であるため、脆弱性ではないとしています。
攻撃者がサーバーの Administrators 権限を持てるのであれば、サーバーは乗っ取られているため、不正利用を防ぐことができないためです。

※できれば、それでもパスワードが取り出せないようになつているといいなぁ。

参考:

• TechNet: 10 Immutable Laws of Security (セキュリティに関する10 の鉄則)
  - Law #6: A computer is only as secure as the administrator is trustworthy
  (鉄則 6: コンピュータのセキュリティが守られているかどうかは、その管理者が信頼できるかどうかにかかっている)
  
• セキュリティ ウォッチ セキュリティに関する 10 の鉄則再考 : 第 1 部 (TechNet マガジン)
  　鉄則 1: 悪意のある攻撃者の誘惑に乗って、攻撃者のプログラムをあなたのコンピュータで実行した場合、もはやそれはあなたのコンピュータではない
  　鉄則 2: 悪意のある攻撃者があなたのコンピュータのオペレーティング システムを改ざんした場合、もはやそれはあなたのコンピュータではない
  　鉄則 3: 悪意のある攻撃者があなたのコンピュータに対して物理的なアクセスを無制限に行える場合、もはやそれはあなたのコンピュータではない
• セキュリティ ウォッチ セキュリティに関する 10 の鉄則再考 : 第 2 部 (TechNet マガジン)
  　鉄則 4: 悪意のある攻撃者にあなたの Web サイトに対して自由にプログラムをアップロードさせてしまうのなら、もはやそれはあなたの Web サイトではない
  　鉄則 5: セキュリティが強力であっても、パスワードが弱ければ台無しである
  　鉄則 6: コンピュータのセキュリティが守られているかどうかは、その管理者が信頼できるかどうかにかかっている
  　鉄則 7: 暗号化されたデータのセキュリティが守られているかどうかは、解読キーのセキュリティにかかっている
  　まとめ
• セキュリティ ウォッチ セキュリティに関する 10 の鉄則再考 : 第 3 部 (TechNet マガジン)
  　鉄則 #8: 古いウイルス検出プログラム (ウイルス定義ファイル) はウイルス検出プログラムがないも同然である
  　鉄則 #9: 現実の生活でも Web 上でも完全な匿名などあり得ない
  　鉄則 #10: テクノロジは万能ではない

MS09-048 TCP/IP 脆弱性の対策として Windows TCP に新しい機能が追加されています。

KB 974288: TCP スタックの新しいメモリ機能の保護機能の説明
(Description of the new Memory Pressure Protection feature for TCP stack)

この機能は、修正プログラム 967723 によって追加されます。

MPP (Memory Pressure Protection) は、メモリ負荷に対する保護機能です。
攻撃によって、大量の TCP セッションが発生した場合に、システムを保護します。

ランダムに、TCP セッションを切断し、また SYN 要求を拒否します。

TCP セッションにより、メモリ負荷が異常に高くなっていると判断すると、強制的に、適当にセッションを閉じます。ここ、注意が必要だと思います。

MPP の動作を、Windows Server 2003 ではレジストリ、Windows Vista, 7, 2008 では netsh コマンドにて制御することができます。既定の設定は、サーバーOS の場合は有効、クライアントOS の場合は無効になっています。

念のため Windows Vista, 7, 2008 の方は、次の方法で、設定状況を確認することをお勧めします。

netsh int tcp show security

管理者として、コマンドプロンプトを開いてから、上記のコマンドを実行してください。
Windows Server 2003 の方は、サポート情報にしたがって、レジストリを確認します。

参考:

• MS09-048: TCP/IP vulnerabilities
  (2009/9/8, Microsoft Security Research & Defense)

2009/9/9(水)、マイクロソフトが TCP プロトコルの処理について深刻な脆弱性への修正プログラムを提供しました。

マイクロソフト セキュリティ情報 MS09-048
Windows TCP/IP の脆弱性により、リモートでコードが実行される (967723)
公開日: 2009/9/9

この脆弱性は、スウェーデンの Outpost24 社が 2008/10/2 に発表しました。

さて、この問題について、注意事項があります。

ネットワークにつながる全ての機器が対象

マイクロソフト Windows だけでなく、ネットワーク接続できる機器であれば、脆弱性をもっている可能性があります。すでに、Microsoft, VMware, Cisco, CheckPoint, Juniper, Clavister, Red Hat が修正プログラムやアドバイザリを提供しています。Linksys などの低価格ルータにも、軒並み対策プログラムが提供されています。
Windows 3.1,95,98,ME,NT, Windows CE, Windows Mobile も影響を受けるようです。
世の中には、ブロードバンドルータ、NAS, 低価格なファイアウォール、CentOS, iPhone, ネットワークプリンタ、などがあります。これらが安全かどうかは、十分に確認が必要ですね。

なお、発見者の Outpost24 は、評価できるツール SockStress を開発し、各メーカーが脆弱性についての評価ができるようにしているようです。

参考:

• Outpost24 : TCP Vulnerablity Fund (2008/10/2)
• CERT-FI Advisory on the Outpost24 TCP Issues (2009/9/8)
• JPCERT: 複数製品の TCP プロトコルの脆弱性に関する注意喚起 (2009/9/9)
• Vulnerability Summary for CVE-2008-4609