ブログ - セキュリティカテゴリのエントリ
攻撃者の手口として,自分の思い通りに動くツールを送り込む事も多いけれど,現在はシグネチャで意図してないファイルがあるとつまみ出される.そして逆にOSの進化によって便利ツールが多くデフォルトで入っている現状がある.
LoLBin,Living Of the Land Binary(環境寄生)という戦術がある.シスコのTalosという脅威を研究している人たちのブログ.
Cisco Japan Blog
https://gblogs.cisco.com/jp/2019/11/talos-hunting-for-lolbins/
ここで上がっているコマンド.
・powershell.exe
・bitsadmin.exe
・certutil.exe
・psexec.exe
・wmic.exe
・mshta.exe
・mofcomp.exe
・cmstp.exe
・windbg.exe
・cdb.exe
・msbuild.exe
・csc.exe
・regsvr32.exe
昔からあるものもあれば,身に覚えのないものもある.powershell.exeやwmic.exeなどはスクリプト攻撃のベースになるものだけれど,csc.exeC#のコンパイラだったりして,これは.NET Frameworkに付いている.cdb.exeはデバッガだしそういうものが入っているというだけで,悪いことできそうな感じがするなぁ.
まずは,そういうものが本当に必要なのかどうか,いらなければ消す,そして実行を監視する仕組みを作るというのが大事でしょうね.
LoLBin,Living Of the Land Binary(環境寄生)という戦術がある.シスコのTalosという脅威を研究している人たちのブログ.
Cisco Japan Blog
https://gblogs.cisco.com/jp/2019/11/talos-hunting-for-lolbins/
ここで上がっているコマンド.
・powershell.exe
・bitsadmin.exe
・certutil.exe
・psexec.exe
・wmic.exe
・mshta.exe
・mofcomp.exe
・cmstp.exe
・windbg.exe
・cdb.exe
・msbuild.exe
・csc.exe
・regsvr32.exe
昔からあるものもあれば,身に覚えのないものもある.powershell.exeやwmic.exeなどはスクリプト攻撃のベースになるものだけれど,csc.exeC#のコンパイラだったりして,これは.NET Frameworkに付いている.cdb.exeはデバッガだしそういうものが入っているというだけで,悪いことできそうな感じがするなぁ.
まずは,そういうものが本当に必要なのかどうか,いらなければ消す,そして実行を監視する仕組みを作るというのが大事でしょうね.
複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性
- カテゴリ :
- セキュリティ » 脆弱性情報/注意喚起
- ブロガー :
- ujpblog 2019/12/23 22:52
こんな脆弱性が話題.
複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性
https://jvn.jp/vu/JVNVU95417700/
うちで関係ないのは,今年買ったiPad mini 5だけだな.
さて,Appleはどういう対応をしてくるのか...
iPhoneの修正困難な脆弱性 - 公開実証コードをフォレンジック企業が採用
http://www.security-next.com/110926/2
これによると,「物理的に端末へアクセスし、デバイスファームウェアアップデート(DFU)モードにする必要がある。」とあるので,すでに端末を,落としたりして手放した上で,中身をこじ開けられてしまうということだな.
「iPhoneを探す」をオンにしておいたら,DFUモードにする前に起動された時点でワイプするワンチャンがあるように思う.対策してないで亡くしたなら,もうどうしようもない.
概要
複数の Apple 製品で使用している SecureROM には解放済みメモリ使用
(use-after-free) の脆弱性が存在します。
影響を受けるシステム
プロセッサチップ A5 から A11 を搭載する次の製品
iPhones 4s から iPhone X まで
iPad 第 2 世代から 第 7 世代まで
iPad Mini 第 2 世代および 第 3 世代
iPad Air および iPad Air 2
iPad Pro 10.5 インチ および 12.9 インチ 第 2 世代
Apple Watch Series 1 から Series 3 まで
Apple TV 第 3 世代 および 4k
iPod Touch 第 5 世代 から 第 7 世代
複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性
https://jvn.jp/vu/JVNVU95417700/
うちで関係ないのは,今年買ったiPad mini 5だけだな.
脆弱性のない製品への移行
本脆弱性は読み取り専用の SecureROM に存在するため、
ファームウェアアップデートなどによる対策ができません。
脆弱性を含まない製品へ移行してください。
※ Apple からは本脆弱性に関する情報が公開されていません。
iPhoneの修正困難な脆弱性 - 公開実証コードをフォレンジック企業が採用
http://www.security-next.com/110926/2
これによると,「物理的に端末へアクセスし、デバイスファームウェアアップデート(DFU)モードにする必要がある。」とあるので,すでに端末を,落としたりして手放した上で,中身をこじ開けられてしまうということだな.
「iPhoneを探す」をオンにしておいたら,DFUモードにする前に起動された時点でワイプするワンチャンがあるように思う.対策してないで亡くしたなら,もうどうしようもない.
10年ほど前から,facebookに登録しているのだけれど,数年前から自分の個人情報は排除した.メールアドレスも専用のものにしたし,携帯電話番号も消したし偽名に変更した.
ただ,こうも情報漏洩問題がでていると,消したはずの変更前情報も漏洩していると考えるのが正しいのだろうな.
システムを作る際に,変更前情報を取って置いたりするけれど,その回数はシステムによってまちまち.最小限は1回分なので,変えるときは2回〜3回行えば古い情報は消えるはずだけれど,SNSは一度帰るとしばらく変更できない制限があるので,うまくいかないな.
Facebookのユーザー情報がアマゾンのクラウドに“放置”、ずさんなデータ管理から見えてきたこと
https://wired.jp/2019/04/05/facebook-apps-540-million-records/
“大量のユーザーデータが保護されていない状態でアマゾンのクラウドサーヴァーに置かれていた”
フェイスブック利用者2.7億人の個人情報流出、ほとんどが米ユーザー
https://www.bloomberg.co.jp/news/articles/2019-12-21/Q2UC7ST0G1KY01
”ベトナムを拠点とするとみられるグループによって検索可能なデータベース上に掲載されていた。同グループはデータへのアクセス料を請求していたもようだが、コードの欠陥で誰にでも閲覧できる状態になっていたという。”
フェイスブックから4億人以上の電話番号が流出…何者かがネット上に公開
https://www.businessinsider.jp/post-198159
”9月4日のTechCrunchのレポートによると、パスワードで保護されていないサーバー上で、Facebookアカウントにリンクした電話番号が4億1900万件も発見されたと”
ここ一年だけでもこれだけ.facebookのwikipediaをみると,もう多すぎて載ってないみたいだw
それ以外にも.
12億人分もの個人情報がオンラインのサーバー上に誰でもアクセス可能な状態で保管されていたことが判明
https://gigazine.net/news/20191125-massive-data-leak-discovered/
4TB分のデータ.全国紙の朝刊1日分が1MBの容量と言われたいてこともあったけれど,ほとんどは画像や動画なんだろうな.
ただ,こうも情報漏洩問題がでていると,消したはずの変更前情報も漏洩していると考えるのが正しいのだろうな.
システムを作る際に,変更前情報を取って置いたりするけれど,その回数はシステムによってまちまち.最小限は1回分なので,変えるときは2回〜3回行えば古い情報は消えるはずだけれど,SNSは一度帰るとしばらく変更できない制限があるので,うまくいかないな.
Facebookのユーザー情報がアマゾンのクラウドに“放置”、ずさんなデータ管理から見えてきたこと
https://wired.jp/2019/04/05/facebook-apps-540-million-records/
“大量のユーザーデータが保護されていない状態でアマゾンのクラウドサーヴァーに置かれていた”
フェイスブック利用者2.7億人の個人情報流出、ほとんどが米ユーザー
https://www.bloomberg.co.jp/news/articles/2019-12-21/Q2UC7ST0G1KY01
”ベトナムを拠点とするとみられるグループによって検索可能なデータベース上に掲載されていた。同グループはデータへのアクセス料を請求していたもようだが、コードの欠陥で誰にでも閲覧できる状態になっていたという。”
フェイスブックから4億人以上の電話番号が流出…何者かがネット上に公開
https://www.businessinsider.jp/post-198159
”9月4日のTechCrunchのレポートによると、パスワードで保護されていないサーバー上で、Facebookアカウントにリンクした電話番号が4億1900万件も発見されたと”
ここ一年だけでもこれだけ.facebookのwikipediaをみると,もう多すぎて載ってないみたいだw
それ以外にも.
12億人分もの個人情報がオンラインのサーバー上に誰でもアクセス可能な状態で保管されていたことが判明
https://gigazine.net/news/20191125-massive-data-leak-discovered/
4TB分のデータ.全国紙の朝刊1日分が1MBの容量と言われたいてこともあったけれど,ほとんどは画像や動画なんだろうな.
データ消去会社から内部犯行による盗難したハードディスクですが,ネットオークションで販売しているから,トレースは簡単だろうな.これが秋葉原の露店とかだと足取りが取れない.不幸中の幸いかな.
デフォルトではPowerShellの実行は,実行ポリシーによって無効化されている.
管理者権限で,実行ポリシー(ExecutionPolicy)をRestictからUnrestrictedに変更する手順をまとめてみた.
PowerShellの実行ポリシー
http://www.ujp.jp/modules/tech_regist2/?PowerShell%2F01%2FGet-ExecutionPolicy
最初の一歩という感じだから,入門本とかみれば最初に書いてあるんだろうな...
管理者権限で,実行ポリシー(ExecutionPolicy)をRestictからUnrestrictedに変更する手順をまとめてみた.
PowerShellの実行ポリシー
http://www.ujp.jp/modules/tech_regist2/?PowerShell%2F01%2FGet-ExecutionPolicy
最初の一歩という感じだから,入門本とかみれば最初に書いてあるんだろうな...
政府が抱えているハッカーっていうと,どうにも共産圏の国が多いような気もするけれど.
グーグル、政府の支援を受けたハッカーの標的を3カ月で1.2万件超検出
https://japan.cnet.com/article/35146201/
「Googleが公開したヒートマップによると、これら警告の発出先は、大半が米国と韓国、パキスタン、ベトナムのユーザーだったという。」
そう考えると,中国インドなのかなぁ.
グーグル、政府の支援を受けたハッカーの標的を3カ月で1.2万件超検出
https://japan.cnet.com/article/35146201/
「Googleが公開したヒートマップによると、これら警告の発出先は、大半が米国と韓国、パキスタン、ベトナムのユーザーだったという。」
そう考えると,中国インドなのかなぁ.
新幹線とか,無料Wi-Fiとか,Wi-Fiのアクセスポイントに接続しようとすると,認証画面がでたりする.
次の画像は,東京スタジアム(味スタ)でフリーWi-Fiに接続した時のスクショ.
仕組み的には,Wi-Fiに接続したあと,ゲームでもWebブラウザでもいいけれどHTTPクライアントが何処かのサーバにアクセスしようとした際に,HTTPを横取りして認証画面を出す,という感じになっている.
昔は,色々な個人情報を入力させるものも多かったけれど,現在は利便性のために,SNSなどとの認証を連携させていることも多いかな.
東京スタジアムの場合,RUGBYのセンスのいい画像がでていたので思わずスクショを撮っておいたけれど,PRにも使えてますね.
ヤマハの次の技術情報が,とてもわかりやすい感じ.
WLX313技術情報 - YAMAHA
http://www.rtpro.yamaha.co.jp/AP/docs/wlx313/captive_portal.html
ただし,意外と簡単に作れるみたいなので,偽Wi-Fiを立てるには,Captive Potalにそれっぽいデザインの画像を入れておいたら,騙されちゃうこともあるかも.
次の画像は,東京スタジアム(味スタ)でフリーWi-Fiに接続した時のスクショ.
仕組み的には,Wi-Fiに接続したあと,ゲームでもWebブラウザでもいいけれどHTTPクライアントが何処かのサーバにアクセスしようとした際に,HTTPを横取りして認証画面を出す,という感じになっている.
昔は,色々な個人情報を入力させるものも多かったけれど,現在は利便性のために,SNSなどとの認証を連携させていることも多いかな.
東京スタジアムの場合,RUGBYのセンスのいい画像がでていたので思わずスクショを撮っておいたけれど,PRにも使えてますね.
ヤマハの次の技術情報が,とてもわかりやすい感じ.
WLX313技術情報 - YAMAHA
http://www.rtpro.yamaha.co.jp/AP/docs/wlx313/captive_portal.html
ただし,意外と簡単に作れるみたいなので,偽Wi-Fiを立てるには,Captive Potalにそれっぽいデザインの画像を入れておいたら,騙されちゃうこともあるかも.
グーグル、政府の支援を受けたハッカーの標的を3カ月で1.2万件超検出
https://japan.cnet.com/article/35146201/
不正侵入をしようとしても,多層防御をクラウド利用で手軽にできちゃう昨今,表から入るのは難しいので,そうなると,錠前の弱い部分から入っていこうとするわけで,それが振り込め詐欺・・・じゃなくて標的型攻撃.
https://japan.cnet.com/article/35146201/
不正侵入をしようとしても,多層防御をクラウド利用で手軽にできちゃう昨今,表から入るのは難しいので,そうなると,錠前の弱い部分から入っていこうとするわけで,それが振り込め詐欺・・・じゃなくて標的型攻撃.
ちょっと古い記事のようだけれど,これ.
国家関与の高度で危険な18のマルウェア
https://japan.zdnet.com/article/35139844/
脆弱性を利用した悪意ある行為をおこなうソフトウェア,マルウェアは,新しい脆弱性を突破口に,侵入,権限昇格を行うのだけれど,それらが成功した後,やることは一緒.
・侵入に成功したことを,ボスに伝える
・駆除されないようにバレないように潜伏
・本来の目的のために準備(ラテラルムーブメントも含まれる)
・その時が来たら活動開始
それらが基本セットになっているわけで,そういうものをrootkitと呼ぶのだけれど,そのrootkitの中に,何処かの国の機関がよく使うクセのようなものが出ていて,それでその国が関与しているとされているらしい.
今日は,ロシアが組織ぐるみのドーピング,検査データの改ざんのためにオリンピックを始めしばらく国際大会に参加させない決定が下されたようだけれど,そういうのもそういうクセがあるのから,間違いないのだろうなぁ.
そして,同じ記事の中の13番目に,まさにロシアのドーピング問題に関わって活動したのではとされるものがある...
Olympic Destroyer
https://japan.zdnet.com/article/35139844/13/
国家関与の高度で危険な18のマルウェア
https://japan.zdnet.com/article/35139844/
脆弱性を利用した悪意ある行為をおこなうソフトウェア,マルウェアは,新しい脆弱性を突破口に,侵入,権限昇格を行うのだけれど,それらが成功した後,やることは一緒.
・侵入に成功したことを,ボスに伝える
・駆除されないようにバレないように潜伏
・本来の目的のために準備(ラテラルムーブメントも含まれる)
・その時が来たら活動開始
それらが基本セットになっているわけで,そういうものをrootkitと呼ぶのだけれど,そのrootkitの中に,何処かの国の機関がよく使うクセのようなものが出ていて,それでその国が関与しているとされているらしい.
今日は,ロシアが組織ぐるみのドーピング,検査データの改ざんのためにオリンピックを始めしばらく国際大会に参加させない決定が下されたようだけれど,そういうのもそういうクセがあるのから,間違いないのだろうなぁ.
そして,同じ記事の中の13番目に,まさにロシアのドーピング問題に関わって活動したのではとされるものがある...
Olympic Destroyer
https://japan.zdnet.com/article/35139844/13/
ネットオークションで購入したハードディスクの,消去されたファイルを復活させたら,神奈川県の情報がわんさか出てきた件.
テレビのニュースでも大きく報道されていた.「桜を見る会」のデータは復活できないようだけれど,それとの対比的なこともあるかな.
「世界最悪級の流出」と報じられた廃棄ハードディスク転売事案についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2019/12/07/091332
これをみると,富士通リースの下請けになるブロードリンク社は,表面上,かなり厳格に管理していたようだけれど,噂によると実態は・・・
http://kan3.hateblo.jp/entry/2019/12/07/151750
買った中古HDDはBlanccoで消去済みだった
廃棄ハードディスクを盗んでオークションで売っていた犯人が悪いのだけれど,落札したIT関連の人が簡単位ファイルを復活することができたということは,フォーマット程度のことしかしてなかったということだろう.
10年ほど前に中古ハードディスクを買った時は,blanccoというソフトウェアを使っていたのを見たことがある.
データの消去は,次の2つが代表的.
NSA消去方式
NSA:National Security Agency:米国国家安全保障局が定義した,ランダムデータを2回書き込み,最後にゼロで書き込む方法.
DoD消去方式
DoD:Department of Defense:米国国防総省が定義した,ゼロで上書きし,1で上書きし,最後に乱数で上書きする方式.
これ,どっちも3回書き込むのでこれを実施するのは非常に時間がかかる.非効率.それだったら,もったいなくても破壊してしまうのが手っ取り早い.粉砕破壊した際にその部品の個数なんて数えないから,そこが今回の犯罪の発生起源だとおもう.
今回データを復活されたハードディスクはファイルサーバとして使われたいたということだけれど,普通RAIDにしていると思うけれど,RAID1だったのかな.これがRAID5だったら,そのセットが揃わないとデータが取り出せたとしても完全ではない.
それでも断片的に取り出せる可能性はあるから,そういうことでファイルシステムを暗号化した上で利用すべきだっただろう.
テレビのニュースでも大きく報道されていた.「桜を見る会」のデータは復活できないようだけれど,それとの対比的なこともあるかな.
「世界最悪級の流出」と報じられた廃棄ハードディスク転売事案についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2019/12/07/091332
これをみると,富士通リースの下請けになるブロードリンク社は,表面上,かなり厳格に管理していたようだけれど,噂によると実態は・・・
http://kan3.hateblo.jp/entry/2019/12/07/151750
買った中古HDDはBlanccoで消去済みだった
廃棄ハードディスクを盗んでオークションで売っていた犯人が悪いのだけれど,落札したIT関連の人が簡単位ファイルを復活することができたということは,フォーマット程度のことしかしてなかったということだろう.
10年ほど前に中古ハードディスクを買った時は,blanccoというソフトウェアを使っていたのを見たことがある.
データの消去は,次の2つが代表的.
NSA:National Security Agency:米国国家安全保障局が定義した,ランダムデータを2回書き込み,最後にゼロで書き込む方法.
DoD:Department of Defense:米国国防総省が定義した,ゼロで上書きし,1で上書きし,最後に乱数で上書きする方式.
これ,どっちも3回書き込むのでこれを実施するのは非常に時間がかかる.非効率.それだったら,もったいなくても破壊してしまうのが手っ取り早い.粉砕破壊した際にその部品の個数なんて数えないから,そこが今回の犯罪の発生起源だとおもう.
今回データを復活されたハードディスクはファイルサーバとして使われたいたということだけれど,普通RAIDにしていると思うけれど,RAID1だったのかな.これがRAID5だったら,そのセットが揃わないとデータが取り出せたとしても完全ではない.
それでも断片的に取り出せる可能性はあるから,そういうことでファイルシステムを暗号化した上で利用すべきだっただろう.
12月に入り,今年も早いもので残り1ヶ月を切りました.
そんな時期に飛び込んで来たこのニュース.
2020年1月1日以降に「日付を誤認識」する不具合、Splunkが公開
https://www.atmarkit.co.jp/ait/articles/1912/02/news042.html
昔取引のあった外資系金融会社は,12月に入るとテクノロジーフリーズを行う.いわずもがな,クリスマス休暇を長期で取る従業員が増えるから,トラブルがあると対応しきれない可能性がある.
でもこの記事の対策を見ると,datetime.xmlを入れ替えるだけで,問題の発生を10年先送りができますね.
そんな時期に飛び込んで来たこのニュース.
2020年1月1日以降に「日付を誤認識」する不具合、Splunkが公開
https://www.atmarkit.co.jp/ait/articles/1912/02/news042.html
昔取引のあった外資系金融会社は,12月に入るとテクノロジーフリーズを行う.いわずもがな,クリスマス休暇を長期で取る従業員が増えるから,トラブルがあると対応しきれない可能性がある.
でもこの記事の対策を見ると,datetime.xmlを入れ替えるだけで,問題の発生を10年先送りができますね.
マルウェア解析をする際に,.NETアプリだとデコーダー(バイナリからソースコードを生成する)ものがあって,その中でdnSpyがとても良いらしい,,,というので使って見た.
dnSpy6.1を使ってみた
今回はdnSpy本体を解析して見たけれど,C#のコードにデコードされてますね.とても高速です.あとは,C#を読む人が高速であれば・・・
dnSpy6.1を使ってみた
今回はdnSpy本体を解析して見たけれど,C#のコードにデコードされてますね.とても高速です.あとは,C#を読む人が高速であれば・・・
JPCERT/CCの活動はかなり古いと思う.メルマガサービスが始まった時に申し込んで以来,ずっとメールが来ている.最近はあまり見なくなったけれど...
代わりに?というわけじゃないけれど,ブログがありました.
JPCERT/CC Eyes
JPCERTコーディネーションセンター公式ブログ
https://blogs.jpcert.or.jp/ja/
頻繁に更新されては無いけれど,巡回コースの1つかな.
代わりに?というわけじゃないけれど,ブログがありました.
JPCERT/CC Eyes
JPCERTコーディネーションセンター公式ブログ
https://blogs.jpcert.or.jp/ja/
頻繁に更新されては無いけれど,巡回コースの1つかな.
ほんと,同じような組織が乱立しているもんだなぁ.
特定非営利活動法人 日本ネットワークセキュリティ協会 JNSA
https://www.jnsa.org
それぞれ存在意義や目的が異なるのだろうけれど,乱立=混沌としてる状態だと,誰が一番手になるか,みたいな
こういう感じのまとめ記事がある.
■セキュリティ業務を担う人材のスキル可視化における概念検証報告書
~トライアル結果の考察~
https://www.jnsa.org/isepa/images/outputs/JTAGreport2019_trial.pdf
その双璧になりそうなこんなものも.
サイバーセキュリティ小説コンテスト
https://www.jnsa.org/novel_contest/
今年高校一年生になった姪っ子が,2年ほど前「将来就職したくない.小説家になる.今小説書いている」と言ってた.小説家になるというのが流行った時代があったなぁ.
話が逸れたけれど,戻して?みる.小説は下記で読めるそうだ.
君の物語(ストーリー)で世界(ネット)を救え!
サイバーセキュリティ小説コンテスト
https://kakuyomu.jp/contests/cyber_security
KADOKAWAが運営しているのか.
特定非営利活動法人 日本ネットワークセキュリティ協会 JNSA
https://www.jnsa.org
それぞれ存在意義や目的が異なるのだろうけれど,乱立=混沌としてる状態だと,誰が一番手になるか,みたいな
こういう感じのまとめ記事がある.
■セキュリティ業務を担う人材のスキル可視化における概念検証報告書
~トライアル結果の考察~
https://www.jnsa.org/isepa/images/outputs/JTAGreport2019_trial.pdf
その双璧になりそうなこんなものも.
サイバーセキュリティ小説コンテスト
https://www.jnsa.org/novel_contest/
今年高校一年生になった姪っ子が,2年ほど前「将来就職したくない.小説家になる.今小説書いている」と言ってた.小説家になるというのが流行った時代があったなぁ.
話が逸れたけれど,戻して?みる.小説は下記で読めるそうだ.
君の物語(ストーリー)で世界(ネット)を救え!
サイバーセキュリティ小説コンテスト
https://kakuyomu.jp/contests/cyber_security
KADOKAWAが運営しているのか.
PCの中にCyberlink社のPower2GoというDVDライティングソフトが入っていた.どんなことができるのか調べてみようと思ったら,脆弱性が存在した.
JVNDB-2011-003510
Power2Go にバッファオーバーフローの脆弱性
https://jvndb.jvn.jp/ja/contents/2011/JVNDB-2011-003510.html
JVNのサイトには「2011年12月12日現在、対策方法はありません。」と書いてある.2011年なので随分古いけれど,現在はPower2Go 13が最新の模様.
新しいパッチとかは出ないようだけれど,EMETやDEPを利用すれば回避できるそうだ.
で,EMETってなに?というのが今日の本題.
Enhanced Mitigation Experience Toolkit
https://ja.m.wikipedia.org/wiki/Enhanced_Mitigation_Experience_Toolkit
Windows 10 1607まで対応だそうで,1803や1903に対応してないようだ.
「サポート終了日は、2018 年 7 月 31 日です。 2018 年 7 月 31 日以降、EMET のサポートやセキュリティ修正プログラムが提供される予定はありません。」
https://support.microsoft.com/ja-jp/help/2458544/the-enhanced-mitigation-experience-toolkit
代わりのものはないらしい.結局,Power2Goは安全なのかどうなのかわからずじまいだ.
JVNDB-2011-003510
Power2Go にバッファオーバーフローの脆弱性
https://jvndb.jvn.jp/ja/contents/2011/JVNDB-2011-003510.html
JVNのサイトには「2011年12月12日現在、対策方法はありません。」と書いてある.2011年なので随分古いけれど,現在はPower2Go 13が最新の模様.
新しいパッチとかは出ないようだけれど,EMETやDEPを利用すれば回避できるそうだ.
で,EMETってなに?というのが今日の本題.
Enhanced Mitigation Experience Toolkit
https://ja.m.wikipedia.org/wiki/Enhanced_Mitigation_Experience_Toolkit
Windows 10 1607まで対応だそうで,1803や1903に対応してないようだ.
「サポート終了日は、2018 年 7 月 31 日です。 2018 年 7 月 31 日以降、EMET のサポートやセキュリティ修正プログラムが提供される予定はありません。」
https://support.microsoft.com/ja-jp/help/2458544/the-enhanced-mitigation-experience-toolkit
代わりのものはないらしい.結局,Power2Goは安全なのかどうなのかわからずじまいだ.
この時期の感染流行だとインフルエンザだけれど,そうではなくてEmotetと名付けられたマルウェアが猛威をふるっているそうだ.
JPCERT/CCからも注意喚起が出ています.
マルウエア Emotet の感染に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190044.html
具体的なメール文を入手して展開しているのはありがたい.
どれくらいやばいのかは,piyolog氏のサイトにまとめられています.
国内で相次ぐ不審メールの注意喚起と返信型Emotetについてまとめてみた
https://piyolog.hatenadiary.jp/entry/2019/11/26/054443
私に来る,呑気なフィッシング目的の迷惑メールとは違う何かもっと意図したものがあるのだろうなぁ.
JPCERT/CCからも注意喚起が出ています.
マルウエア Emotet の感染に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190044.html
具体的なメール文を入手して展開しているのはありがたい.
どれくらいやばいのかは,piyolog氏のサイトにまとめられています.
国内で相次ぐ不審メールの注意喚起と返信型Emotetについてまとめてみた
https://piyolog.hatenadiary.jp/entry/2019/11/26/054443
私に来る,呑気なフィッシング目的の迷惑メールとは違う何かもっと意図したものがあるのだろうなぁ.
こういう組織があるのね.
迷惑メール相談センター
https://www.dekyo.or.jp/soudan/index.html
1973年からある古い組織の「一般財団法人 日本データ通信協会」(総務省管轄)が運営しているそうで,迷惑メール情報の提供窓口が用意されています.
情報提供のお願い
https://www.dekyo.or.jp/soudan/contents/ihan/index.html
うちによくくるAmazonを語るメールの情報を提供してみようかと思ったけれど,「提供いただいた違反情報については、総務大臣及び消費者庁長官による違反送信者への措置、電気通信事業者による送信防止対策に活用させていただきます。」とある.
今回は,総務大臣及び消費者庁長官の効力が効かなそうな相手からの迷惑メールなので,情報提供しても無駄かな.逆に国内の業者からパーミッションを取ってないメルマガとかが届き出したら,ここへ通報してみれば良いということになる.機会があったら使ってみよう.
総務省における行政処分 実施状況
https://www.dekyo.or.jp/soudan/contents/activities/mic.html
対処はしているようだけれど,小物がおおいなぁ...自転車の無灯火取り締まり的な地道な行為を思い浮かべました...
迷惑メール相談センター
https://www.dekyo.or.jp/soudan/index.html
1973年からある古い組織の「一般財団法人 日本データ通信協会」(総務省管轄)が運営しているそうで,迷惑メール情報の提供窓口が用意されています.
情報提供のお願い
https://www.dekyo.or.jp/soudan/contents/ihan/index.html
うちによくくるAmazonを語るメールの情報を提供してみようかと思ったけれど,「提供いただいた違反情報については、総務大臣及び消費者庁長官による違反送信者への措置、電気通信事業者による送信防止対策に活用させていただきます。」とある.
今回は,総務大臣及び消費者庁長官の効力が効かなそうな相手からの迷惑メールなので,情報提供しても無駄かな.逆に国内の業者からパーミッションを取ってないメルマガとかが届き出したら,ここへ通報してみれば良いということになる.機会があったら使ってみよう.
総務省における行政処分 実施状況
https://www.dekyo.or.jp/soudan/contents/activities/mic.html
対処はしているようだけれど,小物がおおいなぁ...自転車の無灯火取り締まり的な地道な行為を思い浮かべました...
アマゾンのアカウントを持ってない私にとって,Amazonからのメールは100%迷惑メールなわけなのだが.
件名も差し込み未完成だし,日本に「州」は無いし,ロクインってなんだろう.
そのロクインへのリンクへアクセスすると,結構ちゃんとした様に見えるページに行く模様.
ランディング用のメールがむちゃくそなのに誰がリンクを踏むのだろうかと...でもこのサイトは,まだ今日現在活動中です.怖いな.
件名も差し込み未完成だし,日本に「州」は無いし,ロクインってなんだろう.
そのロクインへのリンクへアクセスすると,結構ちゃんとした様に見えるページに行く模様.
ランディング用のメールがむちゃくそなのに誰がリンクを踏むのだろうかと...でもこのサイトは,まだ今日現在活動中です.怖いな.
昨日に引き続きネットワークスキャナのmasscanを使って見た.
今回はポートを制限してウェルノウンポートだけで試して見た.
それでも45分ほどかかりました.色々と見つかるなぁ.
今回はポートを制限してウェルノウンポートだけで試して見た.
$ date;sudo /usr/local/bin/masscan -p0-1024 192.168.20.1/24;date🆑
月 11 25 23:31:02 JST 2019
Password:
Starting masscan 1.0.4 (http://bit.ly/14GZzcT) at 2019-11-25 14:31:06 GMT
-- forced options: -sS -Pn -n --randomize-hosts -v --send-eth
Initiating SYN Stealth Scan
Scanning 256 hosts [1025 ports/host]
Discovered open port 80/tcp on 192.168.20.208
Discovered open port 23/tcp on 192.168.20.208
Discovered open port 548/tcp on 192.168.20.200
Discovered open port 21/tcp on 192.168.20.210
Discovered open port 445/tcp on 192.168.20.30
Discovered open port 445/tcp on 192.168.20.200
Discovered open port 88/tcp on 192.168.20.30
Discovered open port 22/tcp on 192.168.20.30
Discovered open port 22/tcp on 192.168.20.231
Discovered open port 80/tcp on 192.168.20.1
Discovered open port 445/tcp on 192.168.20.231
Discovered open port 139/tcp on 192.168.20.200
Discovered open port 21/tcp on 192.168.20.208
Discovered open port 22/tcp on 192.168.20.26
Discovered open port 515/tcp on 192.168.20.208
Discovered open port 23/tcp on 192.168.20.1
Discovered open port 80/tcp on 192.168.20.210
Discovered open port 88/tcp on 192.168.20.231
火 11 26 00:16:37 JST 2019
$
いつもとは違うメールアドレスに,売り込みがあった.
ちょっと中国語っぽいけどわからないので,翻訳ツールを使って内容確認.
第124回カントンフェアの出展者データらしい.
これって,トレードショーのようだけれど,2万以上出店があるのか.なんだか規模がすごいな.それに124回って.春秋と年に2回程度やっているっぽい.そうなると60年ほどの歴史があるものか.
China Import and Export Fair (Canton Fair)
https://cantonfair.org.cn/
それでその名簿,300RMBとあるけれど,人民元のことらしい.CNYとRMBは同じものだけれど,呼び方が違うだけの模様.
RMB:Rénmínbì(レンミンビィ)
CNY:Chinese Yuan(チャイニーズ・ユエン)
そして,
CNH:Chinese Hong Kong(チャイニーズ・ホンコン)
というのもあるのか.
ちなみに,300RMB=300人民元は,今日現在のレートで4,643.99円でした.安いね.内容が本物かどうかわからないけれど.
ちょっと中国語っぽいけどわからないので,翻訳ツールを使って内容確認.
第124回カントンフェアの出展者データらしい.
これって,トレードショーのようだけれど,2万以上出店があるのか.なんだか規模がすごいな.それに124回って.春秋と年に2回程度やっているっぽい.そうなると60年ほどの歴史があるものか.
China Import and Export Fair (Canton Fair)
https://cantonfair.org.cn/
それでその名簿,300RMBとあるけれど,人民元のことらしい.CNYとRMBは同じものだけれど,呼び方が違うだけの模様.
RMB:Rénmínbì(レンミンビィ)
CNY:Chinese Yuan(チャイニーズ・ユエン)
そして,
CNH:Chinese Hong Kong(チャイニーズ・ホンコン)
というのもあるのか.
ちなみに,300RMB=300人民元は,今日現在のレートで4,643.99円でした.安いね.内容が本物かどうかわからないけれど.
指定されたネットワークのポートスキャンを高速で行うというmasscanを使って見た.
今回はLAN上の24bit分なので256hosts分です.
1時間程度で終わるという表示だったので夕ご飯食べながら放置していたけれど,全く終わっていませんでした.思ったよりも遅すぎたので途中で停止.
よく考えたら無線LANにしていたことが原因かな?と思ったので,1Gbpsの有線LANに切り替えて再実行です.
まぁ,ちょっと上の表示はポート番号が広いので仕方ないかなぁ.ちなみに80番ポートだけを指定して実行したらこんな感じでした.
うちのネットワークだと,Webサーバが3台稼働しているようだ.調べたらルータとプリンタとブルーレイレコーダだった.
今回はLAN上の24bit分なので256hosts分です.
$ date;sudo /usr/local/bin/masscan -p0-65535 192.168.20.1/24;date🆑
日 11 24 20:27:07 JST 2019🈁
Starting masscan 1.0.4 (http://bit.ly/14GZzcT) at 2019-11-24 11:27:08 GMT
-- forced options: -sS -Pn -n --randomize-hosts -v --send-eth
Initiating SYN Stealth Scan
Scanning 256 hosts [65536 ports/host]
Discovered open port 62078/tcp on 192.168.20.126
Discovered open port 62078/tcp on 192.168.20.103
Discovered open port 62078/tcp on 192.168.20.108
^Cwaiting several seconds to exit...
saving resume file to: paused.conf
月 11 25 01:13:45 JST 2019🈁
$
よく考えたら無線LANにしていたことが原因かな?と思ったので,1Gbpsの有線LANに切り替えて再実行です.
まぁ,ちょっと上の表示はポート番号が広いので仕方ないかなぁ.ちなみに80番ポートだけを指定して実行したらこんな感じでした.
$ date;sudo /usr/local/bin/masscan -p80 192.168.20.1/24;date🆑
月 11 25 01:26:35 JST 2019
Password:
Starting masscan 1.0.4 (http://bit.ly/14GZzcT) at 2019-11-24 16:26:40 GMT
-- forced options: -sS -Pn -n --randomize-hosts -v --send-eth
Initiating SYN Stealth Scan
Scanning 256 hosts [1 port/host]
Discovered open port 80/tcp on 192.168.20.208
Discovered open port 80/tcp on 192.168.20.1
Discovered open port 80/tcp on 192.168.20.210
月 11 25 01:26:54 JST 2019
$
urlscan.ioを調べていたら,SHODANという興味深い検索サイトが.
インターネット上にある何か,つまりIoT機器を検索できるって.例えば,インターネット上にあるWindows XPマシンについて調べて見ると..
なに?ログイン画面がログオン待ちの状態の模様.IPアドレス的にはアメリカにあるマシンのようだけれど,これはどうみてもハニーポットなんじゃなかろうか?
どんな形ですらWindows XPのマシンがインターネットに接続していたら,色々な悪さをする人たちの格好の餌食.つまり生き続けられるわけがない.あるいは両手ぶらり戦法.古すぎるOSは,逆に機能が少ないし32bitマシンだと64bit用に作られたマルウェアを送り込んでも実行できない,的な.
ちなみに,SHODANというのは,System Shockというロールプレイングゲームに登場する人工知能の名前だそうだ.ゲームの内容は,名も無きハッカーを操作して人工知能の野望を打ち砕く,という内容だそうで.シャレが効いてるね.
インターネット上にある何か,つまりIoT機器を検索できるって.例えば,インターネット上にあるWindows XPマシンについて調べて見ると..
なに?ログイン画面がログオン待ちの状態の模様.IPアドレス的にはアメリカにあるマシンのようだけれど,これはどうみてもハニーポットなんじゃなかろうか?
どんな形ですらWindows XPのマシンがインターネットに接続していたら,色々な悪さをする人たちの格好の餌食.つまり生き続けられるわけがない.あるいは両手ぶらり戦法.古すぎるOSは,逆に機能が少ないし32bitマシンだと64bit用に作られたマルウェアを送り込んでも実行できない,的な.
ちなみに,SHODANというのは,System Shockというロールプレイングゲームに登場する人工知能の名前だそうだ.ゲームの内容は,名も無きハッカーを操作して人工知能の野望を打ち砕く,という内容だそうで.シャレが効いてるね.
怪しいサイトかどうかを判定するためのツールとして,urlscan.ioというのがあると教えてもらった.
https://urlscan.io
早速使って見る.
URLを入力してpublic Scanというボタンを押すだけ. 取り急ぎどうなのか調べるにはいいのかな.
何も問題ない模様.悪性のサイトではないからなぁ...
スパムメールについていたURLをスキャンして見た.
すでにサイトが停止しているので評価できずの模様.
https://urlscan.io
早速使って見る.
URLを入力してpublic Scanというボタンを押すだけ. 取り急ぎどうなのか調べるにはいいのかな.
何も問題ない模様.悪性のサイトではないからなぁ...
スパムメールについていたURLをスキャンして見た.
すでにサイトが停止しているので評価できずの模様.
いまのトレンドは,サプライチェーン攻撃なのだそうだ.これ,なんか一言で説明しづらい.ソーシャル・エンジニアリングにも似ているかなぁ.
説明文書があったのでリンクを.
サプライチェーンのセキュリティ脅威に備える -IPA-
https://www.ipa.go.jp/files/000073868.pdf
より具体的に例えるなら,これかな.
スバル工場、操業再開 台風19号で浸水被害
https://www.asahi.com/articles/ASMBT35FPMBTULFA00J.html
新聞サイトなので消えるかもしれないので要約して引用.
1つの部品でも供給が止まると車は完成しないからね.この場合,たとえばスバルのような大企業のセキュリティを突破しようとすると大変だけれど,取引先にある小さな会社だと,突破しやすそうだという想像は付くね.
そういえば,昔KDDIと取引している会社は,KDDI費用でセキュリティ対策をするという話があった.KDDIはネットベンチャーの育成をやっているけれど,そういう会社は生きていくのがやっとなのでセキュリティ対策ができてないことも多い.そこをサプライチェーンの1つとして考え,KDDIは費用として計上し,ネットベンチャーは「売り上げ」として処理できたという神対応だったな.
下請け,孫請け,ひ孫受けとかまで考えるんだろうな...取引先を選ぶときに与信をするけれど,そのうちセキュリティ対策していますか何をどこまで?みたいなことを名しいがわりに説明する時代もくるのでしょう.
説明文書があったのでリンクを.
サプライチェーンのセキュリティ脅威に備える -IPA-
https://www.ipa.go.jp/files/000073868.pdf
より具体的に例えるなら,これかな.
スバル工場、操業再開 台風19号で浸水被害
https://www.asahi.com/articles/ASMBT35FPMBTULFA00J.html
新聞サイトなので消えるかもしれないので要約して引用.
スバルは25日、台風19号の影響で取引先が浸水して部品供給が滞り、
操業を止めていた国内唯一の完成車工場、群馬製作所(群馬県太田市など)
で、生産を再開した。
〜略〜
群馬製作所は台風による直接の被害はなかったが、プレス部品をつくる
取引先企業が浸水。部品の供給が止まった・・・
そういえば,昔KDDIと取引している会社は,KDDI費用でセキュリティ対策をするという話があった.KDDIはネットベンチャーの育成をやっているけれど,そういう会社は生きていくのがやっとなのでセキュリティ対策ができてないことも多い.そこをサプライチェーンの1つとして考え,KDDIは費用として計上し,ネットベンチャーは「売り上げ」として処理できたという神対応だったな.
下請け,孫請け,ひ孫受けとかまで考えるんだろうな...取引先を選ぶときに与信をするけれど,そのうちセキュリティ対策していますか何をどこまで?みたいなことを名しいがわりに説明する時代もくるのでしょう.
4年前に同じタイトルでNorse社がReal-time mapを紹介したけれど,サイトがなくなっていますね.
カスペルスキーのマップは,まだ健在でした.
CYBERTHREAT REAL-TIME MAP
http://cybermap.kaspersky.com
映画のワンシーンで使われそうな感じは健在.
そして今日教えてもらったのはこれ.
デジタル・アタック・マップ
http://www.digitalattackmap.com/
]
他の類似のものに比べて,とてもあっさり色使いだけれど,これはGoogleが提供しているものです.他と違うのは,過去履歴を見ることができるということ.
たとえば,3年前のMiraiマルウェアによるDDoS被害.これもピンポイントでリンクが貼ってある.
Miraiは初期パスワードのままの監視カメラ等のIoTデバイスに入り込んで,特定のどこかのサイトに集中的にDDoSアタックをかけるものでした.ブラジルからドカーンとでているのがよくわかります.
ただしこのサイト,とても重たい...
カスペルスキーのマップは,まだ健在でした.
CYBERTHREAT REAL-TIME MAP
http://cybermap.kaspersky.com
映画のワンシーンで使われそうな感じは健在.
そして今日教えてもらったのはこれ.
デジタル・アタック・マップ
http://www.digitalattackmap.com/
他の類似のものに比べて,とてもあっさり色使いだけれど,これはGoogleが提供しているものです.他と違うのは,過去履歴を見ることができるということ.
たとえば,3年前のMiraiマルウェアによるDDoS被害.これもピンポイントでリンクが貼ってある.
Miraiは初期パスワードのままの監視カメラ等のIoTデバイスに入り込んで,特定のどこかのサイトに集中的にDDoSアタックをかけるものでした.ブラジルからドカーンとでているのがよくわかります.
ただしこのサイト,とても重たい...
前回はナリタイ(なりすましメール対策)のサイトがありましたが,現在はこのサギタイの方を熱心に更新しているようです.
ビジネスメール詐欺対策
https://www.sagitai.jp
まぁ,ビジネスマン向けの振り込め詐欺ってことか.ブログの中にあったのだけれど印象的なのはこれ「K さんの BEC 体験談」のところ.
「メールとは別の手段で必ず相手先と直接確認し合う」といところかな.次のサイトでも同じことを書いてある.
フィッシング詐欺メールは現実世界で確認!騙されないためのポイントとは?
https://cybersecurity-jp.com/security-measures/34177
「一般の方に私が勧めるとしたら「見分けることを諦める」ことです。」と「"現実世界で"確認すれば良いのです」ということ.
でも,書かれている通り,腕のある人ほど,机上で確認しようとしてしまうな.俺か.
ビジネスメール詐欺対策
https://www.sagitai.jp
まぁ,ビジネスマン向けの振り込め詐欺ってことか.ブログの中にあったのだけれど印象的なのはこれ「K さんの BEC 体験談」のところ.
「メールとは別の手段で必ず相手先と直接確認し合う」といところかな.次のサイトでも同じことを書いてある.
フィッシング詐欺メールは現実世界で確認!騙されないためのポイントとは?
https://cybersecurity-jp.com/security-measures/34177
「一般の方に私が勧めるとしたら「見分けることを諦める」ことです。」と「"現実世界で"確認すれば良いのです」ということ.
でも,書かれている通り,腕のある人ほど,机上で確認しようとしてしまうな.俺か.
最初,何かの自己啓発サイトかと思った.
ナリタイ
https://www.naritai.jp
なりすましメール対策について,わかりやうくその説明をしていたり,何よりもオープンリレーなどのチェックツールがついています.
「ナリタイ製作委員会」という団体が運営しているそうです.
そしてSPFのチェックツールを使って見たら・・・設定間違いがありました.先ほど修正.
DNSは今でも反映が遅いだろうからなぁ.
ナリタイ
https://www.naritai.jp
なりすましメール対策について,わかりやうくその説明をしていたり,何よりもオープンリレーなどのチェックツールがついています.
「ナリタイ製作委員会」という団体が運営しているそうです.
そしてSPFのチェックツールを使って見たら・・・設定間違いがありました.先ほど修正.
DNSは今でも反映が遅いだろうからなぁ.
久々に迷惑メール専用メールボックスを覗いたら,また来ていました.
ということで,例のサイトをのぞいてみると・・・
フィッシング対策協議会
https://www.antiphishing.jp
けっこうな確率でこちらに届いているようだ.良いサンプルなのかなぁ..
そして気のなるのは,今日,突如として来るようになったこれ.
一見,よく見かける奴だと思うけれど,これには2つの特徴が.
toyota[.]co[.]jpからのメールが来ている.
Delivery Errorメールが来ている
まず,世界のトヨタのメールが奪われる位ことは無いと思うので,SMTPにありがちが偽名で送信したのでしょう.そして2つ目は,私のメアドで迷惑メールを送信したけれど,相手のメアドが無かったのでラーメールが私に帰ってきている状態.
古典的だけれど,オープンリレーを許しているSMTPサーバがあるから偽名で送信できているみたい.そして漏洩したメアドを使って送信しているから,エンベロープFromのメアドにエラーが返却されている.面倒だなぁ.
ということで,例のサイトをのぞいてみると・・・
フィッシング対策協議会
https://www.antiphishing.jp
けっこうな確率でこちらに届いているようだ.良いサンプルなのかなぁ..
そして気のなるのは,今日,突如として来るようになったこれ.
一見,よく見かける奴だと思うけれど,これには2つの特徴が.
まず,世界のトヨタのメールが奪われる位ことは無いと思うので,SMTPにありがちが偽名で送信したのでしょう.そして2つ目は,私のメアドで迷惑メールを送信したけれど,相手のメアドが無かったのでラーメールが私に帰ってきている状態.
古典的だけれど,オープンリレーを許しているSMTPサーバがあるから偽名で送信できているみたい.そして漏洩したメアドを使って送信しているから,エンベロープFromのメアドにエラーが返却されている.面倒だなぁ.
この事件?事故を見て2つの実体験を思い出した.
簡単なパスワードでRDPを空けておいたら、数時間でハッキングされマイニングツールを仕込まれた話
https://internet.watch.impress.co.jp/docs/column/shimizu/1195372.html
1つは,2001年の夏だったかな.うっちゃん(誰?)とスガちゃんと3人で,某データセンタに行きました.
私とスガちゃんは既存Solaris場で動くDBサーバの調整,うっちゃんは新規のiモードのサイトを構築.新規サイトはWindows 2000サーバにIISという環境だったのだけれど,その日はOSをインストールしてIISが立ち上がったところまでで作業終了.データセンタ近くの居酒屋で三人でビール飲んで帰宅.
翌日,うっちゃんが「なんか変な画面が出ている」というので見て見たら,ワームに感染していた.Code Redというワームでした.インデックスサーバの脆弱性を狙ったもので,このワームの増殖トラフィックのために当時インターネットが麻痺したと言われてました.
マイクロソフト セキュリティ情報 MS01-033 - 緊急
Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される
https://docs.microsoft.com/ja-jp/security-updates/securitybulletins/2001/ms01-033
この時の敗北は,3点.
・OSをインストールしてそのあと必要なパッチを当てることまでしなかったこと.
・使ってもないインデックスサーバを稼動さえていたこと
・まだ準備できてないのにインターネットにオープンにしていたこと.
まだ救われたのは,この時は増殖する以外にの,例えばファイルの破壊行為はなかったし,感染しているぞとわかるページを残していて発見しやすかったことかな.
Code Red ワームに対する警告
https://docs.microsoft.com/ja-jp/security-updates/planningandimplementationguide/19871744?redirectedfrom=MSDN
そして2回目は,2007年ごろかな.外部からのメンテナンス用に,当時SSHサーバをSpringboard(踏み台)として使っていたのだけれど,そこにある安田のおっちゃんのyasudaユーザが乗っ取られてしまった.
発見したのは,偶然見つけた2chの記事.「不正アクセスしてくるIPを晒すスレ」にSprinbboardサーバが出ていたのでした.見つけたきっかけはSpringboard場で動かしていたWebサーバにアクセスしようとブラウザの検索バーにホスト名を入れたら,HTTPアクセスではなく検索になってしまったことという,本当に偶然...
不正通信の状態を見ると,ノルウェーのIPアドレスから,yasudaユーザでログインされてIRCのリレーサーバが設置されていました.安田のおっちゃんに聞き取りしたら,アカウント払い出ししたあと,簡単なパスワードに変更してそれっきりにしていたそうで...
そのSpringboardサーバはLinuxサーバだったのだけれど,隠しフォルダを使って送り込んだファイルを隠蔽していたけれど,root権限まで取ろうとしてなくてログ削除などは行ってませんでした.
隙を見せると瞬間的に乗っ取られるので,インターネットは怖いね.
簡単なパスワードでRDPを空けておいたら、数時間でハッキングされマイニングツールを仕込まれた話
https://internet.watch.impress.co.jp/docs/column/shimizu/1195372.html
1つは,2001年の夏だったかな.うっちゃん(誰?)とスガちゃんと3人で,某データセンタに行きました.
私とスガちゃんは既存Solaris場で動くDBサーバの調整,うっちゃんは新規のiモードのサイトを構築.新規サイトはWindows 2000サーバにIISという環境だったのだけれど,その日はOSをインストールしてIISが立ち上がったところまでで作業終了.データセンタ近くの居酒屋で三人でビール飲んで帰宅.
翌日,うっちゃんが「なんか変な画面が出ている」というので見て見たら,ワームに感染していた.Code Redというワームでした.インデックスサーバの脆弱性を狙ったもので,このワームの増殖トラフィックのために当時インターネットが麻痺したと言われてました.
マイクロソフト セキュリティ情報 MS01-033 - 緊急
Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される
https://docs.microsoft.com/ja-jp/security-updates/securitybulletins/2001/ms01-033
この時の敗北は,3点.
・OSをインストールしてそのあと必要なパッチを当てることまでしなかったこと.
・使ってもないインデックスサーバを稼動さえていたこと
・まだ準備できてないのにインターネットにオープンにしていたこと.
まだ救われたのは,この時は増殖する以外にの,例えばファイルの破壊行為はなかったし,感染しているぞとわかるページを残していて発見しやすかったことかな.
Code Red ワームに対する警告
https://docs.microsoft.com/ja-jp/security-updates/planningandimplementationguide/19871744?redirectedfrom=MSDN
そして2回目は,2007年ごろかな.外部からのメンテナンス用に,当時SSHサーバをSpringboard(踏み台)として使っていたのだけれど,そこにある安田のおっちゃんのyasudaユーザが乗っ取られてしまった.
発見したのは,偶然見つけた2chの記事.「不正アクセスしてくるIPを晒すスレ」にSprinbboardサーバが出ていたのでした.見つけたきっかけはSpringboard場で動かしていたWebサーバにアクセスしようとブラウザの検索バーにホスト名を入れたら,HTTPアクセスではなく検索になってしまったことという,本当に偶然...
不正通信の状態を見ると,ノルウェーのIPアドレスから,yasudaユーザでログインされてIRCのリレーサーバが設置されていました.安田のおっちゃんに聞き取りしたら,アカウント払い出ししたあと,簡単なパスワードに変更してそれっきりにしていたそうで...
そのSpringboardサーバはLinuxサーバだったのだけれど,隠しフォルダを使って送り込んだファイルを隠蔽していたけれど,root権限まで取ろうとしてなくてログ削除などは行ってませんでした.
隙を見せると瞬間的に乗っ取られるので,インターネットは怖いね.
Windowsに搭載されているスクリプト言語環境がPowerShell.バッチプログラム(拡張子.bat)の現在進行形.
Windowsのマルウェアの主流はPowerShellを用いたファイルレスマルウェアなのだそうです.スクリプト言語なので送り込んでもファイルじゃなくて主記憶メモリ内で展開して実行されるから,従来型のファイルスキャンのパターンマッチングのアンチウイルスソフトでは検知できない.
それに向けての対策もPowerShell 5.0から行なわれていて,ログの出力ができるようになっているそう.設定が必要で,グループポリシーのWindows Shellで「XXX ログを有効にする」を[有効]にすることで有効になる.
モジュールログ
イベントとログにスクリプト名や引数が記録されるようになる.
まずはどういうスクリプトをいつ実行しているかな程度のもの.バッチ処理の実行実績の確認程度の用途かな.対セキュリティでは無い.
PowerShellスクリプトブロックのログ記録
イベントとログにスクリプト名や引数が記録されるようになる.対話的な呼び出しも記録されるけれど,実行結果は記録されない.
PowerShellトランスクリプション
これまでの話の流れからいうと,実行結果も記録される.これまでも,デバッグ用途でStart-Transcriptと入力すると,トランスクリプトログが記録される.Transcript=転写という意味.
グループポリシーで設定することで,わざわざStart-Transcriptと入力しなくてもログが取得されるようになる.逆にいうと強制的にログを吐き出させる.
こんな感じで使う.
すると,こういうログが作成される.
なるほど.
こういう仕組みということで,PowerShellで作成されたマルウェアを検知しようとすると,まず第一にイベントログの中から実行されたスクリプト名を取り出す仕組みから,しばらくはモニタリング期間として実行されるスクリプト名やパラメータ,時間(タイミング)などの情報を収集して辞書を作成.
辞書が出来上がったら,検出モードとして,辞書にないスクリプトが実行されたら通知する感じかな.
そして第2として,スクリプトの中の実行された命令を見て,マルウェアが使いがちな命令を検出すること.
「Powload」の手口の変化:ファイルレスな活動からステガノグラフィまで
https://blog.trendmicro.co.jp/archives/20694
この記事によるとPowerShellの場合Get-Cultureというコマンドでコンピュータの地域設定を取得しているそうだ.
単純に外部プログラムを実行するコマンドのStart-Processなどを検出しても良いのかもしれない.この辺は,多くの検体を持っているセキュリティ対策を行っている会社の方が強いだろうなぁ.Trend Micro Anti-Threat Toolkitとかで提出を受けるのかな.
Windowsのマルウェアの主流はPowerShellを用いたファイルレスマルウェアなのだそうです.スクリプト言語なので送り込んでもファイルじゃなくて主記憶メモリ内で展開して実行されるから,従来型のファイルスキャンのパターンマッチングのアンチウイルスソフトでは検知できない.
それに向けての対策もPowerShell 5.0から行なわれていて,ログの出力ができるようになっているそう.設定が必要で,グループポリシーのWindows Shellで「XXX ログを有効にする」を[有効]にすることで有効になる.
モジュールログ
イベントとログにスクリプト名や引数が記録されるようになる.
まずはどういうスクリプトをいつ実行しているかな程度のもの.バッチ処理の実行実績の確認程度の用途かな.対セキュリティでは無い.
PowerShellスクリプトブロックのログ記録
イベントとログにスクリプト名や引数が記録されるようになる.対話的な呼び出しも記録されるけれど,実行結果は記録されない.
PowerShellトランスクリプション
これまでの話の流れからいうと,実行結果も記録される.これまでも,デバッグ用途でStart-Transcriptと入力すると,トランスクリプトログが記録される.Transcript=転写という意味.
グループポリシーで設定することで,わざわざStart-Transcriptと入力しなくてもログが取得されるようになる.逆にいうと強制的にログを吐き出させる.
こんな感じで使う.
すると,こういうログが作成される.
**********************
Windows PowerShell トランスクリプト開始
開始時刻: 20191113004136
ユーザー名: windows81pro\ujpadmin
RunAs ユーザー: windows81pro\ujpadmin
構成名:
コンピューター: WINDOWS81PRO (Microsoft Windows NT 10.0.17134.0)
ホスト アプリケーション: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
プロセス ID: 9164
PSVersion: 5.1.17134.765
PSEdition: Desktop
PSCompatibleVersions: 1.0, 2.0, 3.0, 4.0, 5.0, 5.1.17134.765
BuildVersion: 10.0.17134.78-)65
CLRVersion: 4.0.30319.42000
WSManStackVersion: 3.0
PSRemotingProtocolVersion: 2.3
SerializationVersion: 1.1.0.1
**********************
トランスクリプトが開始されました。出力ファイル: C:\test.log
PS C:\Users\ujpadmin> write-host "test"
test
PS C:\Users\ujpadmin> Stop-Transcript
**********************
Windows PowerShell トランスクリプト終了
終了時刻: 20191113004146
**********************
こういう仕組みということで,PowerShellで作成されたマルウェアを検知しようとすると,まず第一にイベントログの中から実行されたスクリプト名を取り出す仕組みから,しばらくはモニタリング期間として実行されるスクリプト名やパラメータ,時間(タイミング)などの情報を収集して辞書を作成.
辞書が出来上がったら,検出モードとして,辞書にないスクリプトが実行されたら通知する感じかな.
そして第2として,スクリプトの中の実行された命令を見て,マルウェアが使いがちな命令を検出すること.
「Powload」の手口の変化:ファイルレスな活動からステガノグラフィまで
https://blog.trendmicro.co.jp/archives/20694
この記事によるとPowerShellの場合Get-Cultureというコマンドでコンピュータの地域設定を取得しているそうだ.
単純に外部プログラムを実行するコマンドのStart-Processなどを検出しても良いのかもしれない.この辺は,多くの検体を持っているセキュリティ対策を行っている会社の方が強いだろうなぁ.Trend Micro Anti-Threat Toolkitとかで提出を受けるのかな.
Trend Micro Anti-Threat Toolkit (ATTK)の脆弱性
- カテゴリ :
- セキュリティ » 脆弱性情報/注意喚起
- ブロガー :
- ujpblog 2019/11/12 23:21
最近狙われているのかな?ほころびがているのか毎月脆弱性が発見されていますね.
JVNVU#91935870
Trend Micro Anti-Threat Toolkit (ATTK) における任意のコード実行が可能な脆弱性
https://jvn.jp/vu/JVNVU91935870/
Anti-Threat Toolkit (ATTK)というのは,マルウェアを分析し脅威を検出して取り除くためのツール群らしいけれど,ミイラ取りがミイラ的なことか.
どう言ったツールなのかはこれ.
調査ログ収集用ウイルス対策ツールキット(ATTK)の使用方法について
https://success.trendmicro.com/jp/solution/1097836
無料で使えるのかな.
JVNVU#91935870
Trend Micro Anti-Threat Toolkit (ATTK) における任意のコード実行が可能な脆弱性
https://jvn.jp/vu/JVNVU91935870/
Anti-Threat Toolkit (ATTK)というのは,マルウェアを分析し脅威を検出して取り除くためのツール群らしいけれど,ミイラ取りがミイラ的なことか.
どう言ったツールなのかはこれ.
調査ログ収集用ウイルス対策ツールキット(ATTK)の使用方法について
https://success.trendmicro.com/jp/solution/1097836
無料で使えるのかな.
このニュース.
トレンドマイクロの法人製品に脆弱性
~管理画面の認証が回避されルートでログインされる恐れ
https://forest.watch.impress.co.jp/docs/news/1217432.html
マルウェア対策のソフトウェアに脆弱性があるなんていうのは,タコが空腹で自分の足を食べている的なことなのか.過去にもWinnyで顧客情報漏洩,ウイルス情報ページが改ざんされ逆にウイルスがダウンロードされたということもあった.
去年は,ブラウザ履歴やアプリリストを勝手に送信していたなどがあって,App Storeから締め出しされていたし...そういえばダメなウイルスパターンファイルを配布して大半のPCが起動できなくなったという大問題もあった.
企業向けのマルウェア対策サーバソフトとして「ウイルスバスター」というブランドはシマンテックと双璧だったけれど,機能以外の部分でやらかしてばかりいることもあってか,私が関わっている仕事先ではシマンテック製品ばかりになっているね.選定に関わってないから知らないのだけれど,機能だけでは無いと思う.
でも,シマンテックがじゃぁ良いのかというと,6年前に関わった仕事でひどいことも目の当たりにした.20万人以上の社員の為のセキュリティゲートをシマンテック製品を入れるのに,1年以上導入検証してやっと導入したけれど,システムをユーザにハンドオーバーする直前,該当製品がアメリカで廃止.「後継製品が出るけれど,それに無償で移行できるので4年間使えるという提案に間違いはない」と言っていた.
契約上はいいのかもしれないけれど倫理的にはどうなのさ.と思ったけれど日本法人の営業も「USに問い合わせてもそれ以上の回答はでないです」と言って困った顔をしていたけれど,本番稼働して本契約書のやりとりが終わった途端に電話連絡で出なくなったといって困っていた担当者がいた.
連絡取れなくなった担当者は個人的なマインドのことなのだろうと思うけれど,今現在,シマンテックはブロードコムに買収された影響があって,新規販売や追加ライセンス販売を凍結しているらしい.年末,年度末にかけて予算を組もうとしている担当者は頭を抱えている模様.
メジャーなセキュリティツールを選ぶと,そのゴタゴタに巻き込まれる率が高いということなのか,セキュリティ業界がホットだということなのか.
トレンドマイクロの法人製品に脆弱性
~管理画面の認証が回避されルートでログインされる恐れ
https://forest.watch.impress.co.jp/docs/news/1217432.html
マルウェア対策のソフトウェアに脆弱性があるなんていうのは,タコが空腹で自分の足を食べている的なことなのか.過去にもWinnyで顧客情報漏洩,ウイルス情報ページが改ざんされ逆にウイルスがダウンロードされたということもあった.
去年は,ブラウザ履歴やアプリリストを勝手に送信していたなどがあって,App Storeから締め出しされていたし...そういえばダメなウイルスパターンファイルを配布して大半のPCが起動できなくなったという大問題もあった.
企業向けのマルウェア対策サーバソフトとして「ウイルスバスター」というブランドはシマンテックと双璧だったけれど,機能以外の部分でやらかしてばかりいることもあってか,私が関わっている仕事先ではシマンテック製品ばかりになっているね.選定に関わってないから知らないのだけれど,機能だけでは無いと思う.
でも,シマンテックがじゃぁ良いのかというと,6年前に関わった仕事でひどいことも目の当たりにした.20万人以上の社員の為のセキュリティゲートをシマンテック製品を入れるのに,1年以上導入検証してやっと導入したけれど,システムをユーザにハンドオーバーする直前,該当製品がアメリカで廃止.「後継製品が出るけれど,それに無償で移行できるので4年間使えるという提案に間違いはない」と言っていた.
契約上はいいのかもしれないけれど倫理的にはどうなのさ.と思ったけれど日本法人の営業も「USに問い合わせてもそれ以上の回答はでないです」と言って困った顔をしていたけれど,本番稼働して本契約書のやりとりが終わった途端に電話連絡で出なくなったといって困っていた担当者がいた.
連絡取れなくなった担当者は個人的なマインドのことなのだろうと思うけれど,今現在,シマンテックはブロードコムに買収された影響があって,新規販売や追加ライセンス販売を凍結しているらしい.年末,年度末にかけて予算を組もうとしている担当者は頭を抱えている模様.
メジャーなセキュリティツールを選ぶと,そのゴタゴタに巻き込まれる率が高いということなのか,セキュリティ業界がホットだということなのか.
灯台下暗し.
トレンドマイクロ従業員が顧客情報を不正に持ち出し売却、サポート詐欺に悪用されていたことが判明
https://internet.watch.impress.co.jp/docs/news/1216837.html
影響を受けた利用者は全体の1%,だけれど,120万人だそう.広島市の人口に近いのか.
トレンドマイクロ従業員が顧客情報を不正に持ち出し売却、サポート詐欺に悪用されていたことが判明
https://internet.watch.impress.co.jp/docs/news/1216837.html
トレンドマイクロのテクニカルサポートの従業員が顧客情報を持ち出し、
第三者の悪意ある攻撃者に売却していたことが判明した。
これを悪用したサポート詐欺が発生していることが確認されている。
ヨドバシカメラに行くと,パソコン売り場でWindows7のサポート終了までのカウントダウン情報がでていたりするのだけれど,世の中にはソフトウェアがたくさんあって,それらの情報を把握するのは大変.
ということで,CIS(Center ofr Internet Security)が情報を取りまとめてくれていました.
まずは親記事のページへのリンク.
MS-ISAC Releases EOS Software Report List
https://www.us-cert.gov/ncas/current-activity/2019/10/30/ms-isac-releases-eos-software-report-list
リスト.
End of Suport(EOS) Software Report List
https://www.cisecurity.org/wp-content/uploads/2019/10/EOS-Report-October.pdf
ここのリストにあるのは,次のようなメーカ.
Adobe,Atlassian,Checkpoint,Cisco,Corel,Debian,Forcepoint,IBM,Joomla,Linux Kernel,McAfee,MediaWiki,Microsoft,One Identity,Oracle,RSA,Sophos,Symantec,Trend Micro,Tripwire,Ubuntu,VMWare,WinZip,Wiresh ark Foundation(Wireshark)
有名な有償ソフトもあればオープンソースも入っている.今後月次で12ヶ月はリストが更新されるようなので,ニュースレターの購読申し込みをしておきました.
ということで,CIS(Center ofr Internet Security)が情報を取りまとめてくれていました.
まずは親記事のページへのリンク.
MS-ISAC Releases EOS Software Report List
https://www.us-cert.gov/ncas/current-activity/2019/10/30/ms-isac-releases-eos-software-report-list
リスト.
End of Suport(EOS) Software Report List
https://www.cisecurity.org/wp-content/uploads/2019/10/EOS-Report-October.pdf
ここのリストにあるのは,次のようなメーカ.
Adobe,Atlassian,Checkpoint,Cisco,Corel,Debian,Forcepoint,IBM,Joomla,Linux Kernel,McAfee,MediaWiki,Microsoft,One Identity,Oracle,RSA,Sophos,Symantec,Trend Micro,Tripwire,Ubuntu,VMWare,WinZip,Wiresh ark Foundation(Wireshark)
有名な有償ソフトもあればオープンソースも入っている.今後月次で12ヶ月はリストが更新されるようなので,ニュースレターの購読申し込みをしておきました.
rootでログインできない代わりに,root権限を実行する権利を付与してアカウントを運用することは多いと思うけれどsudoコマンドに脆弱性が見つかったそうだ.
sudo コマンドの脆弱性 (CVE-2019-14287) について
https://www.jpcert.or.jp/newsflash/2019101601.html
注意喚起よりは,ゆるいらしい.
でも,やって見たらすぐできたよ.怖いね.
sudo コマンドの脆弱性 (CVE-2019-14287) について
https://www.jpcert.or.jp/newsflash/2019101601.html
注意喚起よりは,ゆるいらしい.
CyberNewsFlash は、注意喚起とは異なり、
発行時点では注意喚起の基準に満たない脆弱性の情報や
セキュリティアップデート予告なども含まれます。
今回の件を含め、提供いただける情報がありましたら、
JPCERT/CC までご連絡ください。
でも,やって見たらすぐできたよ.怖いね.
家電量販店に行っても,Windows 7のサポート終了までのカウントダウンが掲示されていたりと,消費が落ち込む中?アップデート特需もこれからあるのだろうなぁ.
複数の Microsoft 社製品のサポート終了に伴う注意喚起
https://www.ipa.go.jp/security/announce/win7_eos.html
「2020年1月15日(米国時間1月14日)、Windows 7とWindows Server 2008、Windows Server 2008R2のサポートが終了します。」とある.2020年1月のカレンダーを確認すると,普通の真面目な企業は1月6日から正月なんだろうけれど,1月15日まで1週間しかない.
そうなると,実質12月には対応を終えてないといけないな.
まぁ,期限切れになったからといって即使えなくなるわけでもないのだけれど,そうやってずるずるやっているといつまでも終わらない感じなのだろう.
マイクロソフトが提示しているロードマップ的には,パソコンのOSの買い替え的なキャンペーンは,今回が終わりなはず.そのうち,Office365のようにクラウドベースになって,車内ヘルプデスク的な業務は完全アウトソーシングになっていくのだろう.
そういえば,オープンソースのOfficeソフトが流行った時に,OpenOffice?あたりに全社で一気に切り替えた六百人くらいの会社があったけれど,去年その人たちに会いましたが,もうとっくにMicrosoft Officeに戻っているという話でした.やはり顧客とのやりとりに互換性問題があって,仕事にならないということで.海外商品をあつかう商社なんだから,わかっていたことだと思うんだけどね.
複数の Microsoft 社製品のサポート終了に伴う注意喚起
https://www.ipa.go.jp/security/announce/win7_eos.html
「2020年1月15日(米国時間1月14日)、Windows 7とWindows Server 2008、Windows Server 2008R2のサポートが終了します。」とある.2020年1月のカレンダーを確認すると,普通の真面目な企業は1月6日から正月なんだろうけれど,1月15日まで1週間しかない.
そうなると,実質12月には対応を終えてないといけないな.
まぁ,期限切れになったからといって即使えなくなるわけでもないのだけれど,そうやってずるずるやっているといつまでも終わらない感じなのだろう.
マイクロソフトが提示しているロードマップ的には,パソコンのOSの買い替え的なキャンペーンは,今回が終わりなはず.そのうち,Office365のようにクラウドベースになって,車内ヘルプデスク的な業務は完全アウトソーシングになっていくのだろう.
そういえば,オープンソースのOfficeソフトが流行った時に,OpenOffice?あたりに全社で一気に切り替えた六百人くらいの会社があったけれど,去年その人たちに会いましたが,もうとっくにMicrosoft Officeに戻っているという話でした.やはり顧客とのやりとりに互換性問題があって,仕事にならないということで.海外商品をあつかう商社なんだから,わかっていたことだと思うんだけどね.
JPCERT/CCでキャンペーンをやっているのに気づいた.
STOP! パスワード使いまわしキャンペーン2019
https://www.jpcert.or.jp/pr/stop-password.html
素人にも?わかりやすくするために漫画付きの模様.でも,内容的には難しいよね.「フィッシングサイト」なんてキーワードもでてきているから,
総務省の方が,より優しく書いてある感じはある.
総務省:IDとパスワード|国民のための情報セキュリティサイト
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy/01-2.html
そして「定期的な変更は不要」とう言葉かな.最近のはやりは.
こういうのも参考になる.
内閣サイバーセキュリティセンター
https://www.nisc.go.jp/security-site/files/handbook-03.pdf
似たようなことを色々な行政機関でやっているのもなぁ,,,と思うけれどそれぞれ参考になります.
STOP! パスワード使いまわしキャンペーン2019
https://www.jpcert.or.jp/pr/stop-password.html
素人にも?わかりやすくするために漫画付きの模様.でも,内容的には難しいよね.「フィッシングサイト」なんてキーワードもでてきているから,
総務省の方が,より優しく書いてある感じはある.
総務省:IDとパスワード|国民のための情報セキュリティサイト
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy/01-2.html
そして「定期的な変更は不要」とう言葉かな.最近のはやりは.
こういうのも参考になる.
内閣サイバーセキュリティセンター
https://www.nisc.go.jp/security-site/files/handbook-03.pdf
似たようなことを色々な行政機関でやっているのもなぁ,,,と思うけれどそれぞれ参考になります.
facebookを見ていたら,怪しい広告が紛れ込んで来たので,アクセスして見た.
なんと割引のないApple製品が10分の1以下の価格で販売している! そしてその価格で販売されている数も4700も!
運営会社を見てみる.
特定商取引法で提示が必要な日本人の名前,住所の表示はあるが,電話番号がない.あやしい.
営業時間8時〜18時なので10時間勤務? 休業日は365天.天? 中国語っぽい.翻訳してみる.
中国語だった.化けの皮が剥がれた瞬間か.
平成28年現在で120名も従業員がいるというのだから,さぞ大きな会社だろう.国税庁で調べてみる.
国税庁法人番号公表サイト
https://www.houjin-bangou.nta.go.jp
埼玉県にはそういう会社は存在しないようだ.
まぁ,そんな値段で売られていたら,大ニュースになるからその時点でアウトだね.
なんと割引のないApple製品が10分の1以下の価格で販売している! そしてその価格で販売されている数も4700も!
運営会社を見てみる.
特定商取引法で提示が必要な日本人の名前,住所の表示はあるが,電話番号がない.あやしい.
営業時間8時〜18時なので10時間勤務? 休業日は365天.天? 中国語っぽい.翻訳してみる.
中国語だった.化けの皮が剥がれた瞬間か.
平成28年現在で120名も従業員がいるというのだから,さぞ大きな会社だろう.国税庁で調べてみる.
国税庁法人番号公表サイト
https://www.houjin-bangou.nta.go.jp
埼玉県にはそういう会社は存在しないようだ.
まぁ,そんな値段で売られていたら,大ニュースになるからその時点でアウトだね.
日本でWindowsだとTeraTermが定番だと思うけれど,Macの世界だと,今でこそ標準搭載の「ターミナル」で不自由ないけれど,文字コードや便利機能の実装でiTermが一番だった.いまでも,わざわざ入れて使っています.
そのiTerm2に脆弱性が.
iTerm2 における任意のコマンド実行が可能な脆弱性
http://jvn.jp/vu/JVNVU98580651/index.html
アプリが持っている自動アップデート機能を使って,問題なくバージョンアップできるけれど,脆弱性の解説を見てもよくわからんなぁ.危険度はまったくわからん.
そのiTerm2に脆弱性が.
iTerm2 における任意のコマンド実行が可能な脆弱性
http://jvn.jp/vu/JVNVU98580651/index.html
アプリが持っている自動アップデート機能を使って,問題なくバージョンアップできるけれど,脆弱性の解説を見てもよくわからんなぁ.危険度はまったくわからん.
昨日というか昨夜,ブログに書いた迷惑メールですが,調べるとセクストーションスパムという部類なのだそうです.
日本語「セクストーションスパム」登場から1年、再び被害発生か
https://blog.trendmicro.co.jp/archives/22509
流行りのメールが来たって事か...
そしてこのメールは「トレンドマイクロが確認しただけでも300回を超えるトランザクションがあり、合わせて29BTC(本記事執筆時点の価格で日本円2,850万円相当)が送金されていることが確認されました。」という事です.
元のメールで「私は$841が良い価格だと思います!」と記載されていて,今日現在の為替レートで計算すると9万円.1件あたりの被害額として単純計算すると,316人が振り込んでしまったという事かな.
メールによって金額が違うらしいし,ビットコインになるともっと時価な感じになるけれど,大して苦労してなさそうなメールを送るだけで,3000万円近い収入があるのなら,やってしまう人も多いだろうなぁ.
そして,スパムメールだしアダルトだしビットコインだという事,9万円という価格からプロファイリング?すると,老人ではなく35〜50代男性なのかな.
日本語「セクストーションスパム」登場から1年、再び被害発生か
https://blog.trendmicro.co.jp/archives/22509
流行りのメールが来たって事か...
そしてこのメールは「トレンドマイクロが確認しただけでも300回を超えるトランザクションがあり、合わせて29BTC(本記事執筆時点の価格で日本円2,850万円相当)が送金されていることが確認されました。」という事です.
元のメールで「私は$841が良い価格だと思います!」と記載されていて,今日現在の為替レートで計算すると9万円.1件あたりの被害額として単純計算すると,316人が振り込んでしまったという事かな.
メールによって金額が違うらしいし,ビットコインになるともっと時価な感じになるけれど,大して苦労してなさそうなメールを送るだけで,3000万円近い収入があるのなら,やってしまう人も多いだろうなぁ.
そして,スパムメールだしアダルトだしビットコインだという事,9万円という価格からプロファイリング?すると,老人ではなく35〜50代男性なのかな.
類似のものはよくくるのだけれど,今回は今まで来なかったメアドに来た.スペインからはるばると.
最近どこかでメアドが漏洩したのだろうか.
それにしてもBTCウォレットの1H2kisMFkvqQhCFPQChKucNzxErXFZmLgqで検索すると,たくさん出て来るなぁ.
こんにちは!
私は数ヶ月前にあなたの電子メールとデバイスをクラックしたハッカーです。
あなたが訪問したサイトの1つにパスワードを入力君た。それを傍受しました。
もちろん、それを変更したり、すでに変更したりすることができます。
しかし、それは問題ではありません、私のマルウェアは毎回それを更新しました。
私に連絡したり、私を見つけようとしないでください。それは不可能です。
私はあなたのアカウントからメールをあなたに送ったので、
あなたの電子メールを介して、私はあなたのオペレーションシステムに
悪質なコードをアップロードしました。
私は友人、同僚、親戚とのあなたの連絡先のすべてを保存し、
インターネットリソースへの訪問の完全な履歴を保存しました。
また、あなたのデバイスにトロイの木馬をインストールしました。
あなたは私の唯一の犠牲者ではない、私は通常、デバイスをブロックし、
身代金を求める。
しかし、私は頻繁に訪れる親密なコンテンツのサイトにショックを受けました。
私はあなたの幻想にショックを受けている! 私はこれのようなものを見たことがない!
だから、あなたがサイトで楽しむとき(あなたは私が何を意味するか知っています!)
あなたのカメラのプログラムを使用してスクリーンショットを作成しました。
その後、私はそれらを現在閲覧されているサイトのコンテンツに結合しました。
これらの写真を連絡先に送信すると素晴らしいことがあります。
しかし、あなたがそれを望んでいないと確信しています。
したがって、私は沈黙のためにあなたからの支払いを期待しています。
私は$841が良い価格だと思います!
Bitcoin経由で支払う。
私のBTCウォレット: 1H2kisMFkvqQhCFPQChKucNzxErXFZmLgq
あなたがこれを行う方法を知らない場合 -
Googleに「BTCウォレットに送金する方法」を入力します。 難しくない。
指定された金額を受け取ると、妥協しているすべての材料は自動的に破壊されます。
私のウイルスはあなた自身のオペレーティングシステムからも削除されます。
私のトロイの木馬は自動アラートを持っています。私はこのメールを読んだ後で
メッセージを受け取ります。
私はあなたに支払いのための2日間を与える(正確に48時間)。
これが起こらない場合 -
すべてのあなたの連絡先はあなたの暗い秘密の生活からクレイジーショットを取得します!
あなたが妨害しないように、あなたのデバイスはブロックされます(また、48時間後)
ばかなことしないで!
警察や友人はあなたを確実に助けません...
p.s. 私はあなたに将来のアドバイスを与えることができます。
安全でないサイトにはパスワードを入力しないでください。
私はあなたの慎重さを願っています。
お別れ。
それにしてもBTCウォレットの1H2kisMFkvqQhCFPQChKucNzxErXFZmLgqで検索すると,たくさん出て来るなぁ.
「SS7の脆弱性対応をどう考えるか」という議論があった.なんの事かわからなかかったのだけれど,日本ではSS7(えすえすせぶん)とかNo.7と呼ばれる,共通線信号No.7 (Common Channel Signaling System No.7、SS7)の事.
世界各地の公衆交換電話網で使われている電話網用のシグナリング・プロトコルで,北米ではCCSS7,イギルスではC7と呼んだりするらしい.
要は電話回線の信号の事だけれど,これがハッキングされると,通話内容が傍受されるわけだけれど,この中にSMSのテキストメッセージも含まれるそう.
セブンイレブンのセブンPayで認知度が高まった?!二要素認証の1つの手段で,SMSで認証番号を送るというのがあるけれど,SMSが傍受されるとお手上げってことらしい.
それで,日本だとケータイ回線は3G,4Gが主流で,そろそろ5Gの時代が来るけれど,5GではSS7を使ってないので対策できるそうだ.ただし,当然下位互換性を求められるから,通信相手が3Gや4G回線だと,その意味も薄れる.
3Gはそろそろだけれど,4Gの停波までは,随分先だろうからなぁ.
このSS7の防衛策なんてのは,普通の企業だとあまり考えなくても良さそう(狙う意味がない)だけれど,政府とか大企業で国家レベルで攻撃を受けそうな対象機関だと,対策,あるいは脆弱性を前提として潰していく必要があるのかな.
世界各地の公衆交換電話網で使われている電話網用のシグナリング・プロトコルで,北米ではCCSS7,イギルスではC7と呼んだりするらしい.
要は電話回線の信号の事だけれど,これがハッキングされると,通話内容が傍受されるわけだけれど,この中にSMSのテキストメッセージも含まれるそう.
セブンイレブンのセブンPayで認知度が高まった?!二要素認証の1つの手段で,SMSで認証番号を送るというのがあるけれど,SMSが傍受されるとお手上げってことらしい.
それで,日本だとケータイ回線は3G,4Gが主流で,そろそろ5Gの時代が来るけれど,5GではSS7を使ってないので対策できるそうだ.ただし,当然下位互換性を求められるから,通信相手が3Gや4G回線だと,その意味も薄れる.
3Gはそろそろだけれど,4Gの停波までは,随分先だろうからなぁ.
このSS7の防衛策なんてのは,普通の企業だとあまり考えなくても良さそう(狙う意味がない)だけれど,政府とか大企業で国家レベルで攻撃を受けそうな対象機関だと,対策,あるいは脆弱性を前提として潰していく必要があるのかな.
攻撃を検知する仕組みを構築しようとしている.コントラクターの人が,仕様について色々と調べ,どうにか検出しようと考えているのだが,フォールス・ポジティブ(誤検知)が多いので苦労しているというので相談にのっている.
認証情報を偽装して初期接続してきた攻撃者が,さらに不正なチケットを生成して認証状態を,最大10年間,つまり実質無期限にできるというものなのだけれど,接続/切断の際にでてくるログを検証して,攻撃を検知する方式を編みだそうとしている.
ブルートフォースアタック的なことだったら,大量の接続失敗が記録され,突破されたら接続成功が記録されるということになるのだが,正規の利用者が接続している際にも,有効期限切れを起こすと失敗が記録されることがしようとして存在している.また,複合でログを付き合わせれば検出できるのだけれど,片方のログは必ず記録されるとは限らないこともある.例えばドアを開けたら閉めるルールがあるけれど,閉めなくてもOKみたいな場合が存在する.
何回か開催されている会議で,数回目の途中から参加したので,その攻撃の発端となる「認証情報の偽装」がどういう仕組みで起こるのかを調べて見たら,単純に「プログラム不具合で脆弱性があった」という過去が存在した.5年前の2014年に報告され,既にパッチがでている.
ただし,そのパッチが適用される前のOSに,認証情報を偽装して接続した悪意のある攻撃者は,最大10年間の有効期限を持ったまま,つまり再認証が不要な10年のうちの残すところ5年になっているのだけれど,その対象の組織ができたのが2014年なので,その時点から今日の今まで,攻撃者が認証を突破した状態を維持しているとは,到底思えない.
その最初の突破が既に行われてないと,それに続く攻撃ができないわけだから,想定している攻撃は発生しない.つまり,ログを付き合わせたところで発生しないのだから検出できないので検知できない.
また,類似の攻撃があったとして,その時は違う結果になっているから,これまでの手法による検出は,やっぱり検知できない.
過去の事例から未来を予測して発見するのはAIとか機械学習の世界だけれど,既存の認知済みのパターンを実現しようとしているだけなので,そういう世界観だと実装は無理なんじゃなかろうか.
そして理論的に整理できてないので,つまり検出できたとしても正しいのか正しくないのかの検証に時間がかかる事が想定される.
映画の「容疑者Xの献身」で堤慎一演じる天才数学者の石神が,一晩かけて「リーマン予想の否定の証明」をやったというシーンがあるけれど,検出する仕組みがを運用業務に落とし込もうとした時に,それを説明でき真偽を判断できる所までの運用設計まで構築できるのか,不安が残る.
認証情報を偽装して初期接続してきた攻撃者が,さらに不正なチケットを生成して認証状態を,最大10年間,つまり実質無期限にできるというものなのだけれど,接続/切断の際にでてくるログを検証して,攻撃を検知する方式を編みだそうとしている.
ブルートフォースアタック的なことだったら,大量の接続失敗が記録され,突破されたら接続成功が記録されるということになるのだが,正規の利用者が接続している際にも,有効期限切れを起こすと失敗が記録されることがしようとして存在している.また,複合でログを付き合わせれば検出できるのだけれど,片方のログは必ず記録されるとは限らないこともある.例えばドアを開けたら閉めるルールがあるけれど,閉めなくてもOKみたいな場合が存在する.
何回か開催されている会議で,数回目の途中から参加したので,その攻撃の発端となる「認証情報の偽装」がどういう仕組みで起こるのかを調べて見たら,単純に「プログラム不具合で脆弱性があった」という過去が存在した.5年前の2014年に報告され,既にパッチがでている.
ただし,そのパッチが適用される前のOSに,認証情報を偽装して接続した悪意のある攻撃者は,最大10年間の有効期限を持ったまま,つまり再認証が不要な10年のうちの残すところ5年になっているのだけれど,その対象の組織ができたのが2014年なので,その時点から今日の今まで,攻撃者が認証を突破した状態を維持しているとは,到底思えない.
その最初の突破が既に行われてないと,それに続く攻撃ができないわけだから,想定している攻撃は発生しない.つまり,ログを付き合わせたところで発生しないのだから検出できないので検知できない.
また,類似の攻撃があったとして,その時は違う結果になっているから,これまでの手法による検出は,やっぱり検知できない.
過去の事例から未来を予測して発見するのはAIとか機械学習の世界だけれど,既存の認知済みのパターンを実現しようとしているだけなので,そういう世界観だと実装は無理なんじゃなかろうか.
そして理論的に整理できてないので,つまり検出できたとしても正しいのか正しくないのかの検証に時間がかかる事が想定される.
映画の「容疑者Xの献身」で堤慎一演じる天才数学者の石神が,一晩かけて「リーマン予想の否定の証明」をやったというシーンがあるけれど,検出する仕組みがを運用業務に落とし込もうとした時に,それを説明でき真偽を判断できる所までの運用設計まで構築できるのか,不安が残る.
ゾーホージャパン株式会社という会社が,「サイバーセキュリティ評価チェックシート」なるものを提供.
無償だけれど,こちらの個人情報は提供しないといけない.
サイバーセキュリティ経営ガイドラインの対応状況を可視化!
「サイバーセキュリティ評価チェックシート」を無償提供開始
セキュリティ対策で遅れを取っている日本。各企業はただちに対応を
https://www.manageengine.jp/news/news_20190904.html
手に入れて見たけれど,読み応えがあるので,これはコンサルティングサービスを頼まなければいけないね
無償だけれど,こちらの個人情報は提供しないといけない.
サイバーセキュリティ経営ガイドラインの対応状況を可視化!
「サイバーセキュリティ評価チェックシート」を無償提供開始
セキュリティ対策で遅れを取っている日本。各企業はただちに対応を
https://www.manageengine.jp/news/news_20190904.html
手に入れて見たけれど,読み応えがあるので,これはコンサルティングサービスを頼まなければいけないね
「別の利用者の注文履歴、住所、名前が一部表示されたり、エラーが表示される事象が9月26日未明ごろから発生していた」のですが,2日後の9月28日に不具合解消したらしい.
気になるのは「問い合わせを行ったユーザーには連絡を行っている」とか「個人情報流出やエラーの被害規模などについては、「現在調査中」」となっていたりとか,
公式見解を見てみようとプレスリリースを確認.
何もなかった.漏洩事故があった事さえ記載がない.
そしてプラポリを確認.
10月1日に,何かが更新されている模様...
いわゆる「Pマーク」とかを取得してなければ,報告義務とかないだろうしなぁ.漏洩規模がわからないから即時発表の必要性すら感じさせないプレスリリースといえるかな.「現在調査中」だが「いつまでの報告するとは言ってない」ということか.
ITmedia ビジネスオンライン
アマゾン、他人の注文履歴や氏名が表示されるエラー解消 原因は「技術的な不具合」
https://www.itmedia.co.jp/business/articles/1909/28/news018.html
気になるのは「問い合わせを行ったユーザーには連絡を行っている」とか「個人情報流出やエラーの被害規模などについては、「現在調査中」」となっていたりとか,
公式見解を見てみようとプレスリリースを確認.
何もなかった.漏洩事故があった事さえ記載がない.
そしてプラポリを確認.
10月1日に,何かが更新されている模様...
いわゆる「Pマーク」とかを取得してなければ,報告義務とかないだろうしなぁ.漏洩規模がわからないから即時発表の必要性すら感じさせないプレスリリースといえるかな.「現在調査中」だが「いつまでの報告するとは言ってない」ということか.
ITmedia ビジネスオンライン
アマゾン、他人の注文履歴や氏名が表示されるエラー解消 原因は「技術的な不具合」
https://www.itmedia.co.jp/business/articles/1909/28/news018.html
一度流出したメールアドレスは,使われ続ける...
某サイトからメールアドレスが流出して,そのアドレスに向けて定期的にスパムメールが来る.いや,逆にいうとスパムメール専用メアドになっている.
それはそれで面白いので,ハニーポットじゃないけれどウォッチを続けていて,今週来たメールがこれ.
近年流行りの,HTMLメールじゃないことを偽装したメール.公式サイトへのリンクアドレスは,実は違うドメインへの誘導.
面倒なのが,「セキュリティ部」とされているところに記載されている電話番号は,実在する本物の電話番号(三井住友銀行 カード発行部のもの)なので,もうこれだけで偽計業務妨害罪に問われる可能性があるね.
残念ながら,そのドメインはすでに潰されている模様.
フィッシングメールの注意喚起を行っているフィッシング対策協議会のサイトを確認してみたけれど,今回の事例は,まだ掲載されてないようだ.
フィッシング対策協議会 Council of Anti-Phishing Japan
https://www.antiphishing.jp
SMBCをかたるフィッシングメールは,たびたび出ているようだけれど.
そしてHTMLメールのソースを見ると,次のようなアドレスからメールが来ていました.
AWSがあれば世界中どこでも簡単にサイトを構築できるねーって思ったけれど,whoisして見たら意外と...
さくらインターネットでドメインを取っている.取りたてホヤホヤといってもいいでしょう.先入観怖いなー.
某サイトからメールアドレスが流出して,そのアドレスに向けて定期的にスパムメールが来る.いや,逆にいうとスパムメール専用メアドになっている.
それはそれで面白いので,ハニーポットじゃないけれどウォッチを続けていて,今週来たメールがこれ.
近年流行りの,HTMLメールじゃないことを偽装したメール.公式サイトへのリンクアドレスは,実は違うドメインへの誘導.
面倒なのが,「セキュリティ部」とされているところに記載されている電話番号は,実在する本物の電話番号(三井住友銀行 カード発行部のもの)なので,もうこれだけで偽計業務妨害罪に問われる可能性があるね.
残念ながら,そのドメインはすでに潰されている模様.
フィッシングメールの注意喚起を行っているフィッシング対策協議会のサイトを確認してみたけれど,今回の事例は,まだ掲載されてないようだ.
フィッシング対策協議会 Council of Anti-Phishing Japan
https://www.antiphishing.jp
SMBCをかたるフィッシングメールは,たびたび出ているようだけれど.
そしてHTMLメールのソースを見ると,次のようなアドレスからメールが来ていました.
Received: from a2.amazeonco23[.]jp (unknown [104[.]223.154.204])
Domain Information: [ドメイン情報]
[Domain Name] AMAZEONCO23.JP
[登録年月日] 2019/09/04
[有効期限] 2020/09/30
[状態] Active
[最終更新] 2019/09/04 18:31:12 (JST)
Contact Information: [公開連絡窓口]
[名前] さくらインターネット株式会社
[Name] SAKURA Internet Inc.
$
某サイトから流出してしまったメアドへの迷惑メール.巧妙なものってあまりないが,HTMLメールに見えないHTMLメールというのが来た.
よく観察すると日本語が変である.
line.meへのリンクなので一見,正しそうだけれど,実際にはよくわからないアドレスに向いていますね.
次に紹介するのが,Amazonが更新できなかった件.
これも日本語がおかしい.そしてURLが,co.jpに様に見せかけてそうで無いというのが巧妙な点かな.これをスマホとかで受けて見たら,ついクリックしてしまいそう.
これらのメールは日本語がおかしいので判別しやすい様に思うけれど,それらが正しくなって来たら,簡単に判別できなくなるのだろうな.
よく観察すると日本語が変である.
line.meへのリンクなので一見,正しそうだけれど,実際にはよくわからないアドレスに向いていますね.
次に紹介するのが,Amazonが更新できなかった件.
これも日本語がおかしい.そしてURLが,co.jpに様に見せかけてそうで無いというのが巧妙な点かな.これをスマホとかで受けて見たら,ついクリックしてしまいそう.
これらのメールは日本語がおかしいので判別しやすい様に思うけれど,それらが正しくなって来たら,簡単に判別できなくなるのだろうな.
メルカリにて,勝手にメールアドレスを使われていた件について,問い合わせていた件,やっと返事がきた.
メルカリじゃなくて株式会社メルペイなのね...
それで,もう返答はないと思うので,送信した文を公開.
こちらの希望の(2)について,全く記載もありませんでしたが,無回答ということで問題ないと承諾されたと解釈します.
時間かかりすぎだなぁ.最初に「受け付けました」くらいは,自動応答でも良いので反応が欲しかったが.
【重要】事務局からのお知らせ
情報をご提示いただきありがとうございます。
この度お客さまがログインされたアカウントは、お客さまのメールアドレスを
誤ってご登録されていた方のご登録であることが予想されます。
現在は、ログインができないようお手配をさせていただきました。
万一、再度メルカリからメールが届いた場合には、改めて事務局までご連絡ください。
何とぞよろしくお願いいたします。
ーーーーーーーーーー
株式会社メルペイ
ーーーーーーーーーー
※株式会社メルペイはメルカリの決済サービスを運営しています
それで,もう返答はないと思うので,送信した文を公開.
私はメルカリを利用していませんが,ことの発端は,普段使わないメールアドレス
@icloud.comに5/11付でメルカリの登録が行われた旨の通知メールが来ておりました.
パスワードリセットしてログインしたところ,プロフィールには長崎の人の住所氏名と
電話番号認証済みで,クレジットカード情報の登録が確認できました.
また,少額の取引を終えたようでした.
状況を踏まえて推察するに,登録してある内容から,スマホで新たにアカウントを
登録したが,メールアドレスの疎通確認までは行われておらず,電話番号認証が
完了したことでメルカリのサービスを利用できていると考えています.
@icloud.comは,2ファクタク認証を2017年に行なっていますしicloud.comからの
メールアドレスの流出では無いと考えています.
対処の希望としては,次の通りとなります.
(1)長崎の人に正しいメールアドレスを利用させるようにすること.
(私のメールアドレス以外でも可能)
(2)私がパスワードリマインドで他人の個人情報を見てしまったことが
不可抗力であり罪に問われないことを確約すること.
回答は2019年5月末日までにお願いします.
(電話にはでませんので,メールで連絡をお願いします)
以上です.
時間かかりすぎだなぁ.最初に「受け付けました」くらいは,自動応答でも良いので反応が欲しかったが.
不正に?メアドが使われている件でメルカリに問い合わせている件.メルカリからメールが来たので確認したけれど,次のようなものでした.
「なお、現在も商品が届いていない、あるいは商品に問題があった場合や、返品のお話し合いをされていた場合は事務局までお問い合わせください。」と書いてあるけれど,問い合わせ先は書いてない.
商品とかはうちには届かないと思うけれど,取引が無事終わったのかどうかは,わからない.
「なお、現在も商品が届いていない、あるいは商品に問題があった場合や、返品のお話し合いをされていた場合は事務局までお問い合わせください。」と書いてあるけれど,問い合わせ先は書いてない.
商品とかはうちには届かないと思うけれど,取引が無事終わったのかどうかは,わからない.
利用してないメルカリから,私のメアドを使って会員登録されてモノが購入されている件.
メルカリのシステム上,会員登録時に登録するメールアドレスの疎通確認がされてないのが原因と想定され,問い合わせフォームから連絡をしたが,その後連絡なし.
ただし,間にメールが2通来たけれど,これはメルカリのシステムに関するものでした.
私のメルアドを使って登録したユーザが,取引について評価を行ってないので,その催促のメールのみ.メルカリでは評価がされないと支払われないとかあるのだろうか?そのあたりはわからん.
メルカリのシステム上,会員登録時に登録するメールアドレスの疎通確認がされてないのが原因と想定され,問い合わせフォームから連絡をしたが,その後連絡なし.
ただし,間にメールが2通来たけれど,これはメルカリのシステムに関するものでした.
XXXX さん
いつもメルカリをご利用いただきありがとうございます。
購入した商品が届いたら、商品に問題がないことを確認後、受取評価を行なってください。
・TOYOTA XXXX4個セット (id: m697XXX)
商品が届かない、商品説明と実物が異なる場合などは、
評価をせず出品者に取引メッセージを送ってみてください。
【取引メッセージについて】
アプリ右上にある「やることリスト」から取引画面を表示し、
画面の下の方から送ることができます。
メルカリ事務局
※このメッセージは自動で送信されています。入れ違いや状況により、
すでに対応不要な場合は申し訳ございません。