「テーマ「???」が久しぶりに更新ですってよ。(ヒソヒソ」
「あらやだ。また更新停止かと思っちゃったわ。(ヒソヒソ」
いや、あのね?
別にサボってたワケじゃないんだよ?
Vistaで動くツールが少なくて二の足踏んでただけだかんね?
まぁ実はVirtual PC 2007 RCを落としてあったからWindowsXPでやろうと思えばできたんだけど。
メンドくさかったなんて言えないよね。
んでまぁネットをガサゴソあさってたらよさげなツールを発見。
IE'en (SecurityFriday)
http://www.securityfriday.com/tools/ieen_sla.html
このツールは恐ろしいコトに遠隔でInternet Explorer(以下IE)を操作することができるらしい。
まず、ieen_s.exeを実行すると接続の画面が表示される。
(クリックで拡大)
今回は [Connect to local] で自分のマシンに接続してみる。
(クリックで拡大)
接続すると画面が開く。
(クリックで拡大)
ここで試しに [New Window] をクリックしてみると、IEが起動する。
(Googleに接続されているのはIEの既定のページに設定している為)
(クリックで拡大)
で、 [URL] のトコロに別のサイトのURLを入力して [Go] をクリックするとそのページに移動する。
(今回はYahoo!のページに移動させてみた)
(クリックで拡大)
怖いのはコレがリモートのマシンに対しても有効ということだ。
知らないウチに誰かが自分のマシンのIEで何かやっているのを想像すると気味が悪いだろう。
んで、さらに気味が悪いのが今開いているIEにもIE'enから接続できる点だ。
今開いているIEに接続するにはプルダウンメニューを使用する。
(Vistaでは何故かこの機能は利用できなかった)
(クリックで拡大)
これで一度接続しておくとあとはIEで移動した履歴が表示されるというワケだ。
(クリックで拡大)
今回はGoogleからamebaと検索してアメブロに移動してみたのだが、移動した履歴はしっかり表示されている。
それどころかQUERY STRINGには検索キーワードまで表示されてしまっている。
そしてもっと怖いのはSSLで暗号化する前のデータが表示されるので、やり取りしている個人情報などは丸見えになってしまう。
(今回はメンドクサイので実演はナシ)
なぜこんなことが出来てしまうかというと、135番ポートに秘密があるようだ。
このポートはDCOM(分散COM)というサービスが利用しているのだが、コレがいけないらしい。
しかもコレはWindowsでデフォルトで有効になっているのだ。
(もっともWindowsXP SP2以降はWindows Firewallで守られてはいる)
じゃあ、コレを回避する策をば。
これはまず、[ファイル名を指定して実行] に「dcomcnfg」と入力して [OK] をクリックする。
(クリックで拡大)
すると [コンポーネントサービス] というウィンドウが開くので、[マイ コンピュータ] を右クリックして [プロパティ] をクリックする。
(クリックで拡大)
[プロパティ] が開いたら [既定のプロパティ] タブで [このコンピュータ上で分散COMを有効にする] のチェックを外して [OK] をクリックする。
(クリックで拡大)
これでDCOMが無効になり、IE'enなどによる悪用はできなくなる。
ウチの仕事場のPCはこの方法でDCOMを無効にしてあるが、今のところ不具合は出ていないっぽい。
あ、悪用すると犯罪者になります。
こと135番ポートについては中国や韓国から大規模なスキャンが実行されているというウワサもあったりする。
(昔の話なのかもしれんが)