ブログ - セキュリティカテゴリのエントリ
有害サイトブロック機能のあるプロキシが導入されている会社で,当サイトのアクセスをして観ているのだけれど,今の所ブロックされた事が無い.
・有害ではない.
・長く運営されている
主にこの二つが判断基準なのだとおもう.単純な技術情報サイトだったとしてもblogサイトだとブロックされてるし.
ま,
有害ではなくても有益でもない
かもしれなけれどね.
・有害ではない.
・長く運営されている
主にこの二つが判断基準なのだとおもう.単純な技術情報サイトだったとしてもblogサイトだとブロックされてるし.
ま,
有害ではなくても有益でもない
かもしれなけれどね.
韓国の銀行や放送局のPCがサイバーテロで一気にダウンしたというニュースが駆け巡った.映像を見ると,Operation System Not Foundと虚しく表示されているパソコンの画面が表示されている.
タイマーを仕掛けて,あるいは指示待ちをするマルウェアが一斉に活動したという事だけれども,銀行のシステムは比較的短時間で復旧した事に注目したい.
ただ「何を持って復旧か」ということを考えると,今回はシステムがダウンするような動作がメインだったようだけれど,これがデータの改竄であったならば,発見しにくい状態も作り出せたかもしれない. いや,実はもうステルス的に,例えば違法な送金等を行なっており,それを解らなくするために,つまり証拠隠滅野ために破壊行為をだったのかも.
ジェイアイエヌのECサイトの漏洩事件では,意図しない送信先へもデータが送信されるようにプログラムされていたそうだけれど,同じような事があるかもしれないね.
タイマーを仕掛けて,あるいは指示待ちをするマルウェアが一斉に活動したという事だけれども,銀行のシステムは比較的短時間で復旧した事に注目したい.
ただ「何を持って復旧か」ということを考えると,今回はシステムがダウンするような動作がメインだったようだけれど,これがデータの改竄であったならば,発見しにくい状態も作り出せたかもしれない. いや,実はもうステルス的に,例えば違法な送金等を行なっており,それを解らなくするために,つまり証拠隠滅野ために破壊行為をだったのかも.
ジェイアイエヌのECサイトの漏洩事件では,意図しない送信先へもデータが送信されるようにプログラムされていたそうだけれど,同じような事があるかもしれないね.
wordpressで運営しているサイトでSPAMコメントが増えたのでブロックを検討.
Akismetがスタンダードのようですけど商用利用だと有料と言う事なので躊躇してみた.そして調べてたどり着いたのはThrows SPAM Awayという日本製.しかしあまり効果が無い状態だ.
・SPAM判定されたiPアドレスは自動ブロック→IPアドレスを変更してくる
・コメントに日本語が含まれてないとSPAM→中国語っぽいのは通過してしまう
そもそもSPAMコメントの反応が速くて,新規に情報公開した直後にアクセスがあるのです.RSSの更新PINGを情報源としてやってくるのだろう.
Akismetがスタンダードのようですけど商用利用だと有料と言う事なので躊躇してみた.そして調べてたどり着いたのはThrows SPAM Awayという日本製.しかしあまり効果が無い状態だ.
・SPAM判定されたiPアドレスは自動ブロック→IPアドレスを変更してくる
・コメントに日本語が含まれてないとSPAM→中国語っぽいのは通過してしまう
そもそもSPAMコメントの反応が速くて,新規に情報公開した直後にアクセスがあるのです.RSSの更新PINGを情報源としてやってくるのだろう.
IPAが面白いツールを提供しています.
ソースコードセキュリティ検査ツール「iCodeChecker」
http://www.ipa.go.jp/security/vuln/iCodeChecker/index.html
C言語の検査ということなので,バッファーオーバフローとかを検出するのでしょうか.
ソースコードセキュリティ検査ツール「iCodeChecker」
http://www.ipa.go.jp/security/vuln/iCodeChecker/index.html
C言語の検査ということなので,バッファーオーバフローとかを検出するのでしょうか.
昨年の8月にこのブログでもJava 6のサポートが2013年2月まで延長!と言っていたけれど,今現在,再々延長のアナウンスは出てませんね.
事の発端はJava 7に脆弱性が見つかり,深刻度最悪で,対処方法は「アンインストール」となっている.
今の勤務先ではイントラのシステムがJavaで作られていてログインに必須なのですが全社アナウンスで「Java 7の人,バージョンアップよろしく!」って言われたので,バージョン確認したら1.3だった...
javaの1.3って,2000年リリースだから,まぁ最新の技術を使った攻撃コードも,動かないと思われ...高度なことができないので逆に安心なんじゃないか?
事の発端はJava 7に脆弱性が見つかり,深刻度最悪で,対処方法は「アンインストール」となっている.
今の勤務先ではイントラのシステムがJavaで作られていてログインに必須なのですが全社アナウンスで「Java 7の人,バージョンアップよろしく!」って言われたので,バージョン確認したら1.3だった...
javaの1.3って,2000年リリースだから,まぁ最新の技術を使った攻撃コードも,動かないと思われ...高度なことができないので逆に安心なんじゃないか?
絶え間なくくる迷惑メール...と思ったら絶えていた.
15日は土曜日,17日は月曜日.
そんな事より最初は「1億円振り込みますので口座教えろ」だったのに今は「260万円振り込みます」に減額されているよ...
15日は土曜日,17日は月曜日.
そんな事より最初は「1億円振り込みますので口座教えろ」だったのに今は「260万円振り込みます」に減額されているよ...
最近,iモードのアカウントを取って4〜5年?の義母の所に迷惑メールが来たと騒ぎになった.これまでそういうものがこなかったからびっくりしていた. そして,妹が迷惑メールが大量に来るのでメアドを変えたと言っていた.最近増えているのかな?
そして斜め前の人が,業務用のシステムテストで,ケータイのメアドを変更して登録する部分のテストをしていたのだけれど,変更後,2時間程度で迷惑メールが来たと言っていた.
そして,自分.SPモードを契約したので,メールアドレスを取得してみた.それが12月5日.夕べの大きな地震で,緊急地震速報が来てないかな?と思ってみたら,6通程メールが来ていて,中身を見ると全て迷惑メールだった.
ハッピーハッピーメール.1億円振り込んでくれたりするらしい.恐るべし.
そして斜め前の人が,業務用のシステムテストで,ケータイのメアドを変更して登録する部分のテストをしていたのだけれど,変更後,2時間程度で迷惑メールが来たと言っていた.
そして,自分.SPモードを契約したので,メールアドレスを取得してみた.それが12月5日.夕べの大きな地震で,緊急地震速報が来てないかな?と思ってみたら,6通程メールが来ていて,中身を見ると全て迷惑メールだった.
ハッピーハッピーメール.1億円振り込んでくれたりするらしい.恐るべし.
DNSBLとは,DNSのブラックリスト.しばらくメンテしてなかったけれど,今の所下記を使う事で設定していて,そう大きく漏れは無いようだ.
niku.2ch.net
list.dsbl.org
bl.spamcop.net
sbl-xbl.spamhaus.org
all.rbl.jp
opm.blitzed.org
bsb.empty.us
bsb.spamlookup.net
ちょっとセルフチェックもしてみた.
http://dnsbllookup.com
大丈夫なようだ.当たり前だ.
niku.2ch.net
list.dsbl.org
bl.spamcop.net
sbl-xbl.spamhaus.org
all.rbl.jp
opm.blitzed.org
bsb.empty.us
bsb.spamlookup.net
ちょっとセルフチェックもしてみた.
http://dnsbllookup.com
大丈夫なようだ.当たり前だ.
朝日新聞で次の様に報道されていました.
----------
遠隔操作されたパソコンからの犯罪予告事件で、「真犯人」を名乗る人物からのメールが13日夜、朝日新聞記者などに届いた。発信元のメールアドレスは、10月にTBSや東京都内の弁護士宛てに送られた犯行声明メールと同じだった。
メールは、朝日新聞の記者を含む七つの宛先に、13日午後11時55分に届いた。「おひさしぶりです。真犯人です。ミスしました。ゲームは私の負けのようです。楽しいゲームでした」などと書かれていた。
----------
一般には公開されてない,発信元のメールアドレスが一緒と言う事で同一犯を示す秘密の暴露が成り立っているようだけれど,パソコン遠隔操作犯だから,それらの行為自体も遠隔操作で行っていたら足がつきづらい.当然,今の時期にそれを実施するというのは相当地震があるのだろう.
----------
遠隔操作されたパソコンからの犯罪予告事件で、「真犯人」を名乗る人物からのメールが13日夜、朝日新聞記者などに届いた。発信元のメールアドレスは、10月にTBSや東京都内の弁護士宛てに送られた犯行声明メールと同じだった。
メールは、朝日新聞の記者を含む七つの宛先に、13日午後11時55分に届いた。「おひさしぶりです。真犯人です。ミスしました。ゲームは私の負けのようです。楽しいゲームでした」などと書かれていた。
----------
一般には公開されてない,発信元のメールアドレスが一緒と言う事で同一犯を示す秘密の暴露が成り立っているようだけれど,パソコン遠隔操作犯だから,それらの行為自体も遠隔操作で行っていたら足がつきづらい.当然,今の時期にそれを実施するというのは相当地震があるのだろう.
このニュース.
パソコン遠隔操作、捜査員を米国派遣へ 警視庁など
http://www.nikkei.com/article/DGXNASDG09047_Z01C12A1CC1000/
普通にコンピュータを使った犯罪捜査の形跡でいうと,通信履歴,つまりログを解析してみるってことになるのだけれど,wikipediaによると最初の事件が6月29日なので,5ヶ月目.ログが残っているかなぁ....と,思ったけれどもうそれよりは10月9日前後に送られた犯行声明を調べるという事だそうです. まぁ,この犯行声明では,秘密の暴露が行われているという特徴があるから,犯行声明を逮捕理由にひも付け出来るのだろう.
海外経由の多段Proxyでプリペイドモバイル回線とか無料WiFiとか野良WiFiだったら,難しいだろうなぁ.
http://ja.wikipedia.org/wiki/遠隔操作ウイルス事件
パソコン遠隔操作、捜査員を米国派遣へ 警視庁など
http://www.nikkei.com/article/DGXNASDG09047_Z01C12A1CC1000/
普通にコンピュータを使った犯罪捜査の形跡でいうと,通信履歴,つまりログを解析してみるってことになるのだけれど,wikipediaによると最初の事件が6月29日なので,5ヶ月目.ログが残っているかなぁ....と,思ったけれどもうそれよりは10月9日前後に送られた犯行声明を調べるという事だそうです. まぁ,この犯行声明では,秘密の暴露が行われているという特徴があるから,犯行声明を逮捕理由にひも付け出来るのだろう.
海外経由の多段Proxyでプリペイドモバイル回線とか無料WiFiとか野良WiFiだったら,難しいだろうなぁ.
http://ja.wikipedia.org/wiki/遠隔操作ウイルス事件
個人情報を抜き取るアプリを作成したとして,逮捕者が出ていた.思い起こせば,最初にiPhoneにFaceBookアプリを入れた時に勝手にiPhoneの連絡先(アドレス帳)からデータを引き抜いて招待メールを送っていたという事があったけどなぁ.
Googleのアプリ配信マーケットのGoogle Playだと動作についての確認をしてない無法状態らしいけれど,日本のケータイキャリアではどうしているのか調べてみたが,値段と内容がそれぞれ異なるが,面白い側面が...
Googleのアプリ配信マーケットのGoogle Playだと動作についての確認をしてない無法状態らしいけれど,日本のケータイキャリアではどうしているのか調べてみたが,値段と内容がそれぞれ異なるが,面白い側面が...
今回は,BIND 9.xでリソースレコード(RR)の取り扱いに不具合があり,namedがロックアップする(無応答になる)障害が発生するそうです.
(緊急)BIND 9.xの脆弱性(サービス停止)について(2012年10月10日公開)
- キャッシュ/権威DNSサーバーの双方が対象、パッチの適用を強く推奨 -
http://jprs.jp/tech/security/2012-10-10-bind9-vuln-rr-combination.html
ISC
CVE-2012-5166: Specially crafted DNS data can cause a lockup in named
<https://kb.isc.org/article/AA-00801>
CVE-2012-5166 [JP]: 特別に細工されたDNSのデータによるnamedのハングアップ
<https://kb.isc.org/article/AA-00808>
BIND 9.9.1-P4
<http://ftp.isc.org/isc/bind9/9.9.1-P4/bind-9.9.1-P4.tar.gz>
BIND 9.8.3-P4
<http://ftp.isc.org/isc/bind9/9.8.3-P4/bind-9.8.3-P4.tar.gz>
BIND 9.7.6-P4
<http://ftp.isc.org/isc/bind9/9.7.6-P4/bind-9.7.6-P4.tar.gz>
BIND 9.6-ESV-R7-P4
<http://ftp.isc.org/isc/bind9/9.6-ESV-R7-P4/bind-9.6-ESV-R7-P4.tar.gz>
BIND 9.9.2
<http://ftp.isc.org/isc/bind9/9.9.2/bind-9.9.2.tar.gz>
BIND 9.8.4
<http://ftp.isc.org/isc/bind9/9.8.4/bind-9.8.4.tar.gz>
BIND 9.7.7
<http://ftp.isc.org/isc/bind9/9.7.7/bind-9.7.7.tar.gz>
BIND 9.6-ESV-R8
<http://ftp.isc.org/isc/bind9/9.6-ESV-R8/bind-9.6-ESV-R8.tar.gz>
(緊急)BIND 9.xの脆弱性(サービス停止)について(2012年10月10日公開)
- キャッシュ/権威DNSサーバーの双方が対象、パッチの適用を強く推奨 -
http://jprs.jp/tech/security/2012-10-10-bind9-vuln-rr-combination.html
ISC
CVE-2012-5166: Specially crafted DNS data can cause a lockup in named
<https://kb.isc.org/article/AA-00801>
CVE-2012-5166 [JP]: 特別に細工されたDNSのデータによるnamedのハングアップ
<https://kb.isc.org/article/AA-00808>
BIND 9.9.1-P4
<http://ftp.isc.org/isc/bind9/9.9.1-P4/bind-9.9.1-P4.tar.gz>
BIND 9.8.3-P4
<http://ftp.isc.org/isc/bind9/9.8.3-P4/bind-9.8.3-P4.tar.gz>
BIND 9.7.6-P4
<http://ftp.isc.org/isc/bind9/9.7.6-P4/bind-9.7.6-P4.tar.gz>
BIND 9.6-ESV-R7-P4
<http://ftp.isc.org/isc/bind9/9.6-ESV-R7-P4/bind-9.6-ESV-R7-P4.tar.gz>
BIND 9.9.2
<http://ftp.isc.org/isc/bind9/9.9.2/bind-9.9.2.tar.gz>
BIND 9.8.4
<http://ftp.isc.org/isc/bind9/9.8.4/bind-9.8.4.tar.gz>
BIND 9.7.7
<http://ftp.isc.org/isc/bind9/9.7.7/bind-9.7.7.tar.gz>
BIND 9.6-ESV-R8
<http://ftp.isc.org/isc/bind9/9.6-ESV-R8/bind-9.6-ESV-R8.tar.gz>
殺人予告を掲示板に書き込む,遠隔操作型のウイルスに感染され,誤認逮捕された人が釈放されたというニュースがある.
パソコン乗っ取り ウイルスのファイル名判明 - 日本経済新聞
http://www.nikkei.com/article/DGXNASDG1001K_Q2A011C1CC0000/
「捜査関係者によると、津市の男性は9月14日に逮捕され、県警に「無料ソフトをダウンロードしたらPCの動きが重くなった」と供述」とあるが,それを入手したあとiesys.exeというウイルスに感染したらしい.
Windows7など新しいOSであれば感染しないそうで,感染するOSはWindows 98, ME, NT, 2000, XP,Server 2003となる.
トレンドマイクロのサイトに情報がありました.
TROJ_DROPPER.ELZ
http://about-threats.trendmicro.com/ArchiveMalware.aspx?language=jp&name=TROJ_DROPPER.ELZ
これに対するパターンファイルはJan 15, 2007にリリースされているので,何らかのウイルス対策ソフトが入っていれば感染を防げたのかもしれません.
パソコン乗っ取り ウイルスのファイル名判明 - 日本経済新聞
http://www.nikkei.com/article/DGXNASDG1001K_Q2A011C1CC0000/
「捜査関係者によると、津市の男性は9月14日に逮捕され、県警に「無料ソフトをダウンロードしたらPCの動きが重くなった」と供述」とあるが,それを入手したあとiesys.exeというウイルスに感染したらしい.
Windows7など新しいOSであれば感染しないそうで,感染するOSはWindows 98, ME, NT, 2000, XP,Server 2003となる.
トレンドマイクロのサイトに情報がありました.
TROJ_DROPPER.ELZ
http://about-threats.trendmicro.com/ArchiveMalware.aspx?language=jp&name=TROJ_DROPPER.ELZ
これに対するパターンファイルはJan 15, 2007にリリースされているので,何らかのウイルス対策ソフトが入っていれば感染を防げたのかもしれません.
DNSサーバとしてスタンダードなBINDに毎度のセキュリティホールがでているのですが,注意喚起が緊急となっています.
(緊急)BIND 9.xの脆弱性(サービス停止)について
- キャッシュ/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -
http://jprs.jp/tech/security/2012-09-13-bind9-vuln-rdata-too-long.html
緊急とされているのは,次のような事情があるからの様です.
・現在までにリリースされたすべてのバージョンのBIND 9が対象
・攻撃手法が比較的容易であること
ある人はBINDはディストリビューションの公式RPMがリリースされてから適用していたけれど,その方法は確実性が可解けれど,今回は速くリリースされれば良いですが...
(緊急)BIND 9.xの脆弱性(サービス停止)について
- キャッシュ/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -
http://jprs.jp/tech/security/2012-09-13-bind9-vuln-rdata-too-long.html
緊急とされているのは,次のような事情があるからの様です.
・現在までにリリースされたすべてのバージョンのBIND 9が対象
・攻撃手法が比較的容易であること
ある人はBINDはディストリビューションの公式RPMがリリースされてから適用していたけれど,その方法は確実性が可解けれど,今回は速くリリースされれば良いですが...
VPNや無線LANの認証でよく使われているMS-CHAP v2ですが,仕様上の問題で情報漏洩が発生する問題が発見されています.
これは仕様上の問題なので,パッチ等は用意されなく,他の方法に入れ替えるしか対策はありません.
ただし,実質影響を受けるのはMS-CHAP v2 を単体で利用して PPTP ベースの VPN 接続を行っているシステムのみで,MS-CHAP v2 の認証トラフィックを別の手段で暗号化している場合は影響を受けません.
仕組みと影響範囲に付いては,以下のマイクロソフトのブログが詳しく解説しています.
セキュリティ アドバイザリ 2743314 カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる を公開
http://blogs.technet.com/b/jpsecurity/archive/2012/08/21/3515331.aspx
・VPNをPPTPでMS-CHAP v2のみの場合
・有名な?VPNサーバ
・頻繁に使っている
というような条件があれば,盗聴が可能ということでしょう.攻撃ツールが公開されているとはいえ,狙われる対象かどうかは自分の胸に聞きながら,対策をうつということでしょうか.
対策としては,別の認証方法に変更するという事ですが,次のような簡単なレベルから恒久対策へ進む事ができるでしょう.
・VPN接続ログを確認する.
・パスワードを変更する.
・暗号化方式を変更する
これは仕様上の問題なので,パッチ等は用意されなく,他の方法に入れ替えるしか対策はありません.
ただし,実質影響を受けるのはMS-CHAP v2 を単体で利用して PPTP ベースの VPN 接続を行っているシステムのみで,MS-CHAP v2 の認証トラフィックを別の手段で暗号化している場合は影響を受けません.
仕組みと影響範囲に付いては,以下のマイクロソフトのブログが詳しく解説しています.
セキュリティ アドバイザリ 2743314 カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる を公開
http://blogs.technet.com/b/jpsecurity/archive/2012/08/21/3515331.aspx
・VPNをPPTPでMS-CHAP v2のみの場合
・有名な?VPNサーバ
・頻繁に使っている
というような条件があれば,盗聴が可能ということでしょう.攻撃ツールが公開されているとはいえ,狙われる対象かどうかは自分の胸に聞きながら,対策をうつということでしょうか.
対策としては,別の認証方法に変更するという事ですが,次のような簡単なレベルから恒久対策へ進む事ができるでしょう.
・VPN接続ログを確認する.
・パスワードを変更する.
・暗号化方式を変更する
2012年11月でサポート終了とアナウンスされていたJava 6ですが,オラクルが8月8日に4ヶ月サポート延長すると発表しました.つまり,2013年2月までとなりました.2012年7月から2012年11月に延長したので再延長になります.
参考文献 (英語)
Oracle
Java 6 End of Public Updates extended to February 2013
https://blogs.oracle.com/henrik/entry/java_6_eol_h_h
今後は自動アップデートも予定されているとか.
7月17日と微妙ですが,政府正式見解は、次のとおりです.
内閣官房情報セキュリティセンター
JavaSE 6 のサポート有効期間の満了に係る対応について(注意喚起)
http://www.nisc.go.jp/active/general/pdf/javasupport_press_120717.pdf
参考文献 (英語)
Oracle
Java 6 End of Public Updates extended to February 2013
https://blogs.oracle.com/henrik/entry/java_6_eol_h_h
今後は自動アップデートも予定されているとか.
7月17日と微妙ですが,政府正式見解は、次のとおりです.
内閣官房情報セキュリティセンター
JavaSE 6 のサポート有効期間の満了に係る対応について(注意喚起)
http://www.nisc.go.jp/active/general/pdf/javasupport_press_120717.pdf
パスワードが破られないために,tVpTt9qbdp等というような複雑なパスワードをつけたりしますが,普段使いの自分のパスワードがどうなのか,マイクロソフトのサイトで判断してもらえます.
パスワードのチェック — パスワードは強力か?
https://www.microsoft.com/ja-jp/security/pc-security/password-checker.aspx?wt.mc_id=site_link
まぁ、目安ですが.ためしてみるとおもしろい.
ビジュアル的には、こちらのサイトのほうが、パスワードが破られるまでの予測時間がでるのでより面白いでしょう。
How Secure Is My Password?
http://howsecureismypassword.net/
パスワードが3日で破られるとなると、こまっちゃうなぁ。
パスワードのチェック — パスワードは強力か?
https://www.microsoft.com/ja-jp/security/pc-security/password-checker.aspx?wt.mc_id=site_link
まぁ、目安ですが.ためしてみるとおもしろい.
ビジュアル的には、こちらのサイトのほうが、パスワードが破られるまでの予測時間がでるのでより面白いでしょう。
How Secure Is My Password?
http://howsecureismypassword.net/
パスワードが3日で破られるとなると、こまっちゃうなぁ。
なんか6月頃に来ていた...
憶えが無いので怖いんですけど. Twitterの場合,登録の際のメアドだけじゃなくて,Twitterのユーザ名でもパスワードクエリを送信する事ができるので...
そして,この案内文...
頻繁に有るのかなぁ.
憶えが無いので怖いんですけど. Twitterの場合,登録の際のメアドだけじゃなくて,Twitterのユーザ名でもパスワードクエリを送信する事ができるので...
そして,この案内文...
頻繁に有るのかなぁ.
興味深いレポートが.
管理されないオンラインファイル共有はリスクを高める:シマンテック警告
http://japan.zdnet.com/security/analysis/35018659/
最近言われて試してみたのだけれどEvernoteはWindowsの管理者権限が無くてもインストールできてしまう.そして通信内容の把握はできないので統制を実施するためのログ取得が難しい.
これまでの考え方だとEvernoteのサイトへのアクセスを禁止するか統制用プログラム管理システムにより起動できないようにすれば防げたが,たとえEvernoteを封鎖しても類似のサービスのDropboxなどもあり,封鎖する方式だときりがない. Google driveだとGoogleへのアクセスを禁止するわけにもいかず...
つまりこういう時は,「考え方を変える」必要がある.
管理されないオンラインファイル共有はリスクを高める:シマンテック警告
http://japan.zdnet.com/security/analysis/35018659/
最近言われて試してみたのだけれどEvernoteはWindowsの管理者権限が無くてもインストールできてしまう.そして通信内容の把握はできないので統制を実施するためのログ取得が難しい.
これまでの考え方だとEvernoteのサイトへのアクセスを禁止するか統制用プログラム管理システムにより起動できないようにすれば防げたが,たとえEvernoteを封鎖しても類似のサービスのDropboxなどもあり,封鎖する方式だときりがない. Google driveだとGoogleへのアクセスを禁止するわけにもいかず...
つまりこういう時は,「考え方を変える」必要がある.
DNS Changerというマルウェア(悪意を持ったソフトウェア)に感染しているPCを確認する為のサイトが用意されています.
DNS 設定を書き換えるマルウエア (DNS Changer) 感染に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120008.html
DNS Changerとは,PCのDNS設定(名前解決を行うサーバ)を変更してしまうわけですが,不正なDNSサーバは,誤った宛先に通信をうながす事になったり,その行った先はフィッシングサイトかもしれません.
まずは,次のURLをクリックして,表示される内容を確認すれば,結構安心できます.
DNS Changer マルウエア感染確認サイト
http://dns-ok.jpcert.or.jp/
DNS 設定を書き換えるマルウエア (DNS Changer) 感染に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120008.html
DNS Changerとは,PCのDNS設定(名前解決を行うサーバ)を変更してしまうわけですが,不正なDNSサーバは,誤った宛先に通信をうながす事になったり,その行った先はフィッシングサイトかもしれません.
まずは,次のURLをクリックして,表示される内容を確認すれば,結構安心できます.
DNS Changer マルウエア感染確認サイト
http://dns-ok.jpcert.or.jp/
IBMのPCOMMに脆弱性情報が出た.
U-114: IBM Personal Communications WS File Processing Buffer Overflow Vulnerability
http://circ.jc3.doe.gov/bulletins/u-114.shtml
そういうえば先日,面談した人がSystem zでNetViewとかTivoliっていうので3270エミュレータは何を使っていた?と尋ねたら,なんですかそれ?って言われた.
WindowsだとPCOMMでSNA Server経由で3270接続していたけれど,Macだと良いエミュレータが無くてTCP/IPをしゃべれる様になったというので途中からTELNETでつないだりしていたな...
IBM Personal Communications
http://www-06.ibm.com/software/jp/network/pcomms/
様々なセキュリティ要件を考えると,オープンよりクローズ,分散より集中,そう思い始めて数年...
U-114: IBM Personal Communications WS File Processing Buffer Overflow Vulnerability
http://circ.jc3.doe.gov/bulletins/u-114.shtml
そういうえば先日,面談した人がSystem zでNetViewとかTivoliっていうので3270エミュレータは何を使っていた?と尋ねたら,なんですかそれ?って言われた.
WindowsだとPCOMMでSNA Server経由で3270接続していたけれど,Macだと良いエミュレータが無くてTCP/IPをしゃべれる様になったというので途中からTELNETでつないだりしていたな...
IBM Personal Communications
http://www-06.ibm.com/software/jp/network/pcomms/
様々なセキュリティ要件を考えると,オープンよりクローズ,分散より集中,そう思い始めて数年...
無線LAN設定を簡単に行う規格のWi-Fi Protected Setup に脆弱性が発見され既に攻撃ツールが公開されているけれど対象機器が整理されていないという状態です.
ちょっと調べたら家庭用の無線LANルータと一部のAndroid機器がWPS対応しているみたいです.
無線LANの電波が入る場所からの攻撃が可能になるわけですから厄介です.
現時点ではWPS機能を無効化して対応しか無いのですがITリテラシー的に対応できないような.
ちょっと調べたら家庭用の無線LANルータと一部のAndroid機器がWPS対応しているみたいです.
無線LANの電波が入る場所からの攻撃が可能になるわけですから厄介です.
現時点ではWPS機能を無効化して対応しか無いのですがITリテラシー的に対応できないような.
緊急のセキュリティ更新情報が公開されてます.
http://technet.microsoft.com/ja-jp/security/bulletin/ms11-100
ASP.NETでハッシュテーブルの処理に問題があり実際に存在するアカウントを使用して「あらゆるアクションの実行ができる」そうです.
まだ,この脆弱性を用いた攻撃は確認されて無いそうです.
緊急に位置づけられる脆弱性がこの年末年始休みに発表されても,日本では実質的に対応できないな.
http://technet.microsoft.com/ja-jp/security/bulletin/ms11-100
ASP.NETでハッシュテーブルの処理に問題があり実際に存在するアカウントを使用して「あらゆるアクションの実行ができる」そうです.
まだ,この脆弱性を用いた攻撃は確認されて無いそうです.
緊急に位置づけられる脆弱性がこの年末年始休みに発表されても,日本では実質的に対応できないな.
形態素解析器の茶筌に脆弱性がみつかってます
JVN#16901583 茶筌 (ChaSen) におけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN16901583/index.html
対象となるバージョンは2.4系ですが,既にメンテナンスしないスタンスなので,使うのを止めるか,バージョンダウンしか対応策はありません.
前バージョンの2.3.3については当サイトで提供している「形態素解析システム茶筌の導入」を参考にしてください. Darts:Double-ARray Trie Systemの導入から,実際の形態素解析器の使い方まで資料化しています.
JVN#16901583 茶筌 (ChaSen) におけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN16901583/index.html
対象となるバージョンは2.4系ですが,既にメンテナンスしないスタンスなので,使うのを止めるか,バージョンダウンしか対応策はありません.
前バージョンの2.3.3については当サイトで提供している「形態素解析システム茶筌の導入」を参考にしてください. Darts:Double-ARray Trie Systemの導入から,実際の形態素解析器の使い方まで資料化しています.
この前,音楽サイトでの不正利用の被害連絡がカード会社からあったと同僚が言ってた.こういうのは警視庁サイバー犯罪対策課だろうなぁと思ってみてみたら,出てました.
警視庁 情報セキュリティ広場
http://www.keishicho.metro.tokyo.jp/jiken/kenkyo/jiken.htm
●検挙年月日 平成23年10月31日(月)
他人名義のクレジットカード情報を使用して音楽データを不正に購入した被疑者を逮捕
他にも,
●検挙年月日 平成23年10月18日(火)
通販会社のサーバに不正アクセスして通販会員を無断で退会させた被疑者を逮捕
●検挙年月日 平成23年10月17日(月)
他人を装って銀行から現金を引き出した被疑者を逮捕
というか,結構頻繁に捕まえてますなぁ.10年くらい前は遅くて批判の多かった警視庁ハイテクですが,かなりがんばっているようです.こんな風に悪いやつは元から絶たなきゃダメですが.
この3つは「他人」としてアクセスしたあとの行為というのが特徴的.最近の事件で言うとソニーの情報漏洩事件がありますが,あのようにメアドやパスワードが盗まれた場合はそれを使って不正アクセスされる可能性が高いわけなので,自己防衛としては定期的にパスワードを変更するというのはやっぱり意味のある対策だな〜って思いますね.
警視庁 情報セキュリティ広場
http://www.keishicho.metro.tokyo.jp/jiken/kenkyo/jiken.htm
●検挙年月日 平成23年10月31日(月)
他人名義のクレジットカード情報を使用して音楽データを不正に購入した被疑者を逮捕
他にも,
●検挙年月日 平成23年10月18日(火)
通販会社のサーバに不正アクセスして通販会員を無断で退会させた被疑者を逮捕
●検挙年月日 平成23年10月17日(月)
他人を装って銀行から現金を引き出した被疑者を逮捕
というか,結構頻繁に捕まえてますなぁ.10年くらい前は遅くて批判の多かった警視庁ハイテクですが,かなりがんばっているようです.こんな風に悪いやつは元から絶たなきゃダメですが.
この3つは「他人」としてアクセスしたあとの行為というのが特徴的.最近の事件で言うとソニーの情報漏洩事件がありますが,あのようにメアドやパスワードが盗まれた場合はそれを使って不正アクセスされる可能性が高いわけなので,自己防衛としては定期的にパスワードを変更するというのはやっぱり意味のある対策だな〜って思いますね.
脆弱性があるか否かレポートを書いてて思いついた.
このプロダクトはマイナー製品なので狙われにくい
攻撃者の心境からするとメジャーを狙った方がダメージは大きい.そこにセキュリティリスクがある.
このプロダクトはマイナー製品なので将来性に不安がある
これも事業継続性視点で考えるとリスクがある.
このプロダクトはマイナー製品なので狙われにくい
攻撃者の心境からするとメジャーを狙った方がダメージは大きい.そこにセキュリティリスクがある.
このプロダクトはマイナー製品なので将来性に不安がある
これも事業継続性視点で考えるとリスクがある.
ここ1〜2ヶ月,軍事産業企業や政府機関に対してのサイバー攻撃があると報道されていて,その発信元が中国のIPアドレスだという報道が多い.
おいっ,ちょっとまて!
中国のIPアドレスだからといって,中国人or中国が攻撃を仕掛けていると限らないのではないか.
1)IPスプーフィングの可能性
IPスプーフィングとは,送信元のIPアドレスを偽装して成り済まし=Spoofingを行って攻撃する手法の事.つまり「犯人の証拠とする中国のIPアドレス」が偽装されたものだったら?
実際に,「昨年」見つけた事のある,LAN内にいたbotは,IPアドレスもMACアドレスも偽装して通信していたし,古典的攻撃方法だし.
2)中国国内にあるマシンが乗っ取られている場合があるかも
中国は人口も多いし天才を大量に排出していて経済的に脅威があるという背景もあって,たとえばそういうエリートが結集してサイバー攻撃部隊を組織し,意図を持って日本のいくつかのターゲットを絞って攻撃を仕掛けている.
という風に想像しがち?だけど,それ以上に,おっちょこちょいだったり情報リテラシーの低い中国人も,た〜くさんいるでしょう. つまり,第三国によるトロイの木馬等の仕掛けに感染した一般中国人家庭のマシンが感染していて,思わずそれが日本に攻撃を仕掛けているのかもしれない.
実際に,以前仕掛けたハニーポットには,ポルトガルからブルートフォースで入られてドイツの中継サーバと何らかの通信をするような事をしていました.
ーーー
つまり,あの報道の仕方だと,偏見報道だと思えるわけで,そこが気になる.
おいっ,ちょっとまて!
中国のIPアドレスだからといって,中国人or中国が攻撃を仕掛けていると限らないのではないか.
1)IPスプーフィングの可能性
IPスプーフィングとは,送信元のIPアドレスを偽装して成り済まし=Spoofingを行って攻撃する手法の事.つまり「犯人の証拠とする中国のIPアドレス」が偽装されたものだったら?
実際に,「昨年」見つけた事のある,LAN内にいたbotは,IPアドレスもMACアドレスも偽装して通信していたし,古典的攻撃方法だし.
2)中国国内にあるマシンが乗っ取られている場合があるかも
中国は人口も多いし天才を大量に排出していて経済的に脅威があるという背景もあって,たとえばそういうエリートが結集してサイバー攻撃部隊を組織し,意図を持って日本のいくつかのターゲットを絞って攻撃を仕掛けている.
という風に想像しがち?だけど,それ以上に,おっちょこちょいだったり情報リテラシーの低い中国人も,た〜くさんいるでしょう. つまり,第三国によるトロイの木馬等の仕掛けに感染した一般中国人家庭のマシンが感染していて,思わずそれが日本に攻撃を仕掛けているのかもしれない.
実際に,以前仕掛けたハニーポットには,ポルトガルからブルートフォースで入られてドイツの中継サーバと何らかの通信をするような事をしていました.
ーーー
つまり,あの報道の仕方だと,偏見報道だと思えるわけで,そこが気になる.
ヒューリスティクスフィルタを使って迷惑メールを管理しているのですが,最近の捕捉状況は,このグラフの通り.
専用メールボックスには94通のメールがあったのだけど,正解率100%でした.スパム認識も100%.かなり良い結果です.
増えたと言っても,1年半前の様にスパムメールが常時大量に送りつけられてくる状態とは,異なります.
ブラジルから大量に送られていた時
専用メールボックスには94通のメールがあったのだけど,正解率100%でした.スパム認識も100%.かなり良い結果です.
増えたと言っても,1年半前の様にスパムメールが常時大量に送りつけられてくる状態とは,異なります.
ブラジルから大量に送られていた時
15年くらい使っている某プロバイダのメールですが,6年程前にアドレスを変更しました.迷惑メールが多くなって来たから.
そして,突如として今年の7月から迷惑メールが来る様になりました.
あまり使ってないアドレスなので,知り合いの何かから漏洩したのかな.
そして,突如として今年の7月から迷惑メールが来る様になりました.
あまり使ってないアドレスなので,知り合いの何かから漏洩したのかな.
gooから「事務局にて必要な対処をいたしました」というメールが来ました.削除してくれたのかな?
対応履歴を追ってみると,こんな感じ.
2011年9月3日(土) 15:19:17JST 問い合わせ自動受付
2011年9月4日(日) 10:44:27JST 一次対応連絡
2011年9月5日(月) 20:30:52JST 対応完了連絡
一次対応までの時間が長かった様に思うのですが,スムースに対応していただけたのではないでしょうか.
対応履歴を追ってみると,こんな感じ.
2011年9月3日(土) 15:19:17JST 問い合わせ自動受付
2011年9月4日(日) 10:44:27JST 一次対応連絡
2011年9月5日(月) 20:30:52JST 対応完了連絡
一次対応までの時間が長かった様に思うのですが,スムースに対応していただけたのではないでしょうか.
SPAMメール判定されたメールの中に,存在しないアドレスへのメルマガがあった.メルマガの送信元はNTTレゾナントが運営するgoo.
何者か(たぶんロボット)が,gooでアカウントを発行して,その時に存在しないアドレスを使用して,そのドメインが私が管理している1つを使っています.
よくみると,こんなメールが来ていました.
このgooIDはrbxipzcetですが,メールアドレスはloaeyだったりしています. まずは,そういうアドレスがいくつあるかとカウントしたら9個.
これをgooの問い合わせフォームから削除依頼をだしてみた.
何者か(たぶんロボット)が,gooでアカウントを発行して,その時に存在しないアドレスを使用して,そのドメインが私が管理している1つを使っています.
よくみると,こんなメールが来ていました.
<pre>※このメールはgooIDに登録いただいた方にお送りしています。
rbxipzcet 様
gooIDへのご登録ありがとうございます。
お客様のご登録が完了致しましたのでお知らせいたします。
-----------------------------------------------
◆gooID:rbxipzcet
-----------------------------------------------
ご登録いただきましたgooIDとログインパスワードで、gooメール、
gooホーム、教えて!goo、gooブログなどの多彩なサービスを
ご利用いただくことができます。
gooIDについての詳細はこちらから
http://login.mail.goo.ne.jp/id/Top</pre>
elyyo@
hjcyd@
kkxez@
kmvqn@
ncryf@
okawe@
omjox@
riluq@
xnzmt@
Apacheで脆弱性対応パッチの出てない状態で攻撃コードが後悔されているそうです. とれる対処は,ないんだけども...
DoS攻撃(ディーオーエスこうげき)は,Denial of Service attackの略で,Denialは「拒否」.サービス拒否攻撃.サービスを拒否するのはアタックを受けた側です.
8月15日は終戦記念日と言う事で,いつの頃からか外国からDoSとなる,大量アクセスを受けてサイトが停止になるという話をネットで聞いていたのだけれど,偶然にも15日の15時から某社サイトに大量のアクセスが来る様になりました.
世の中の色々な情報を見て回ったのだけど,世界的に攻撃を受けているわけでもなくて,じゃぁ実際誰が何をしているのかと思ったら,どうみても一般の個人が大量にデータをダウンロードしていた事が判明.
なんかクローリング的な事をしているのだけど,天下のGoogle様に肩を並べ,Yahoo!様を超える程の量,これを短時間に行ってくるというものでした.
GoogleやYahoo!のエラい所は,相手のサーバのレスポンスタイムをみて,クローリングの足を弱めてくれる所.NAVERやBaiduはあまり賢く無くて,淡々と定期的.ただし定期間隔は絶妙.
このDoSかけてきたアホは,短時間集中収集だったのとやっている事が悪意を持っている内容だったので,プロバイダ経由で警告してもらいました.
実際,営業行為にあたるので威力業務妨害としても立件できるのかなぁ. 1ユーザあたり1〜2回のリクエストの所を15日には30万回,16日には20万回もアクセスしてきているのです.
昨年,ちょっと話題になった逮捕者がでた岡崎市立中央図書館の問題では,数日間に渡ってトータル3万リクエストという感じでしたので,その10倍だから,それなりに説明できるかな.リクエストされURLもマッシュアップ的利用ができるという部分でもないし.
「サービス妨害攻撃の対策等調査」報告書について ~サービス妨害攻撃の手法とそれに対する予防策や対応方法に関する適切な知識が重要~
http://www.ipa.go.jp/security/fy22/reports/isec-dos/index.html
8月15日は終戦記念日と言う事で,いつの頃からか外国からDoSとなる,大量アクセスを受けてサイトが停止になるという話をネットで聞いていたのだけれど,偶然にも15日の15時から某社サイトに大量のアクセスが来る様になりました.
世の中の色々な情報を見て回ったのだけど,世界的に攻撃を受けているわけでもなくて,じゃぁ実際誰が何をしているのかと思ったら,どうみても一般の個人が大量にデータをダウンロードしていた事が判明.
なんかクローリング的な事をしているのだけど,天下のGoogle様に肩を並べ,Yahoo!様を超える程の量,これを短時間に行ってくるというものでした.
GoogleやYahoo!のエラい所は,相手のサーバのレスポンスタイムをみて,クローリングの足を弱めてくれる所.NAVERやBaiduはあまり賢く無くて,淡々と定期的.ただし定期間隔は絶妙.
このDoSかけてきたアホは,短時間集中収集だったのとやっている事が悪意を持っている内容だったので,プロバイダ経由で警告してもらいました.
実際,営業行為にあたるので威力業務妨害としても立件できるのかなぁ. 1ユーザあたり1〜2回のリクエストの所を15日には30万回,16日には20万回もアクセスしてきているのです.
昨年,ちょっと話題になった逮捕者がでた岡崎市立中央図書館の問題では,数日間に渡ってトータル3万リクエストという感じでしたので,その10倍だから,それなりに説明できるかな.リクエストされURLもマッシュアップ的利用ができるという部分でもないし.
「サービス妨害攻撃の対策等調査」報告書について ~サービス妨害攻撃の手法とそれに対する予防策や対応方法に関する適切な知識が重要~
http://www.ipa.go.jp/security/fy22/reports/isec-dos/index.html
監査対応資料に「パスワードに塩を付けて保存していますか?」という文があって意味がわからず悩んだのですが,この被監査人は外国企業だったという事を思い出して,調べてみたらすっきり.
塩は,SALT.ですが「パスワードSALT」で検索すると答えは出てきます. 会員システム等でパスワードを保存する際に暗号化をしますが,そこにキーワードを付けて複雑性を増すわけですね.
password
を暗号化するのではなく,たとえばSALTとしてabcをつける.
passwordabc
とか
abcpassword
とか.
塩は,SALT.ですが「パスワードSALT」で検索すると答えは出てきます. 会員システム等でパスワードを保存する際に暗号化をしますが,そこにキーワードを付けて複雑性を増すわけですね.
password
を暗号化するのではなく,たとえばSALTとしてabcをつける.
passwordabc
とか
abcpassword
とか.
Imperva製SecureSphereは,WAF(Web Application Firewall)やDAM(Database Activety Monitoring)としてスタンダードな製品ですが,脆弱性を持っていると発表がありました.
JVNVU#567774
Imperva 製 SecureSphere にクロスサイトスクリプティングの脆弱性
https://jvn.jp/cert/JVNVU567774/index.html
緊急度としては低いかな. 管理画面なので,そこに入って来れている時点で,セキュリティ的にはアウトな感じですが.
JVNVU#567774
Imperva 製 SecureSphere にクロスサイトスクリプティングの脆弱性
https://jvn.jp/cert/JVNVU567774/index.html
緊急度としては低いかな. 管理画面なので,そこに入って来れている時点で,セキュリティ的にはアウトな感じですが.
BIND 9でDoSを受ける原因となる脆弱性があるそうです. 対象は以下の通り.
- 9.4-ESV-R3 および、その後のバージョン
- 9.6-ESV-R2 および、その後のバージョン
- 9.6.3
- 9.7.1 および、その後のバージョン
- 9.8.0 および、その後のバージョン
9.6.2-P3は除くそうです.
攻撃されたら以下の様なログが記載されている様なので,キーワードチェックが必要ですね.
buffer.c:285: REQUIRE(b->used + 1 <= b->length) failed
exiting (due to assertion failure)
- 9.4-ESV-R3 および、その後のバージョン
- 9.6-ESV-R2 および、その後のバージョン
- 9.6.3
- 9.7.1 および、その後のバージョン
- 9.8.0 および、その後のバージョン
9.6.2-P3は除くそうです.
攻撃されたら以下の様なログが記載されている様なので,キーワードチェックが必要ですね.
buffer.c:285: REQUIRE(b->used + 1 <= b->length) failed
exiting (due to assertion failure)
いや,私が買ったわけじゃなくて,セキュリティプロダクトの会社F-Secureで買ってみた事があるそうです.
スパムで恩恵を受ける銀行
http://blog.f-secure.jp/archives/50604335.html
ほとんどがちゃんと商品が届いたそうで.まぁスパムメールは迷惑だけど,商品が届かないと犯罪になるので一線を越えるからか.
このブログの主題テーマはスパムセールスで使われる振込先銀行のほとんどが「3つの銀行」ということ.ノルウェー,カリブ,アゼルバイジャンなんだと.
あれ,スイスがない? スイス銀行といえばゴルゴ13等で有名ですがプライベートバンクで匿名口座開設ができるんですね.高い守秘義務があるので世界のお金持ちが口座を持っているわけですが,ダークマネーの温床と言われている負の側面があるのだけど,最近だとエジプトのムバラークの口座が凍結されたりとかで地位改善しているようですしね.
スパムで恩恵を受ける銀行
http://blog.f-secure.jp/archives/50604335.html
ほとんどがちゃんと商品が届いたそうで.まぁスパムメールは迷惑だけど,商品が届かないと犯罪になるので一線を越えるからか.
このブログの主題テーマはスパムセールスで使われる振込先銀行のほとんどが「3つの銀行」ということ.ノルウェー,カリブ,アゼルバイジャンなんだと.
あれ,スイスがない? スイス銀行といえばゴルゴ13等で有名ですがプライベートバンクで匿名口座開設ができるんですね.高い守秘義務があるので世界のお金持ちが口座を持っているわけですが,ダークマネーの温床と言われている負の側面があるのだけど,最近だとエジプトのムバラークの口座が凍結されたりとかで地位改善しているようですしね.
スパムメールの送信者偽装を防ぐ為のドメイン認証技術にSPF(Sender Policy Framework)という方法があります.
それが正しく設定されているか否かを調査するiPhoneアプリが公開されたというので使ってみました.
まずは,settingの中でDNSサーバを指定します.このサーバが信頼性が無いとそもそも意味がありません.
今回はGoogleが提供するDNSサーバの8.8.8.8を設定しました.そして次の様にメールサーバとヘッダをセットします.
Submitボタンを押してみると結果が表示されます.
それが正しく設定されているか否かを調査するiPhoneアプリが公開されたというので使ってみました.
まずは,settingの中でDNSサーバを指定します.このサーバが信頼性が無いとそもそも意味がありません.
今回はGoogleが提供するDNSサーバの8.8.8.8を設定しました.そして次の様にメールサーバとヘッダをセットします.
Submitボタンを押してみると結果が表示されます.
約1年前に書いた記事の続きなんだけど.
この時は,ネットワークが繋がらなくて困っていると言うのでオンコールを受けて出動. その会社は従業員700名くらいの会社なんだけど,システム担当はPOS担当が1名,パソコンセットアップ担当が1名.ネットワーク&セキュリティに関する知識は皆無.
まず,ネットワーク図を出させたら,トップルータが1つあるだけのシンプルさん.動作状況は,アクセスできなくなったらルータの電源をOFF/ONすると,使える様になる.しかし,30分もしないうちに使えなくなるという現象.
偶然,良く知っているヤマハのRTX1500だったのでログインするとCPUがほぼ100%になっている異常通信.
利用実態を見ようと,NATテーブルを確認するとあふれていました.RTX1500のスペック上のNATセッション数は4,096.
まさに「RTX1100で高負荷トラフィッククライアントを捜す」のドキュメント通りに実行すると,高負荷アクセスが確認できてNATテーブルが食いつぶされていました.
NATアドレステーブルをリセットすると通信が回復します.が,直ぐに埋まります.試しにTTLをデフォルトの15分から30秒に変更するとネットワーク疎通に問題が出なくなった.
とりあえずの暫定作業は終わったけれど,これからが大変だった.
この時は,ネットワークが繋がらなくて困っていると言うのでオンコールを受けて出動. その会社は従業員700名くらいの会社なんだけど,システム担当はPOS担当が1名,パソコンセットアップ担当が1名.ネットワーク&セキュリティに関する知識は皆無.
まず,ネットワーク図を出させたら,トップルータが1つあるだけのシンプルさん.動作状況は,アクセスできなくなったらルータの電源をOFF/ONすると,使える様になる.しかし,30分もしないうちに使えなくなるという現象.
偶然,良く知っているヤマハのRTX1500だったのでログインするとCPUがほぼ100%になっている異常通信.
利用実態を見ようと,NATテーブルを確認するとあふれていました.RTX1500のスペック上のNATセッション数は4,096.
まさに「RTX1100で高負荷トラフィッククライアントを捜す」のドキュメント通りに実行すると,高負荷アクセスが確認できてNATテーブルが食いつぶされていました.
NATアドレステーブルをリセットすると通信が回復します.が,直ぐに埋まります.試しにTTLをデフォルトの15分から30秒に変更するとネットワーク疎通に問題が出なくなった.
とりあえずの暫定作業は終わったけれど,これからが大変だった.
JPCERT/CCのJVNからJVN#55714408としてヤマハのルータにある脆弱性について報告がありました.
IPヘッダへ不正値を入れる事で場合によってリブートと言う事です.アクセスされまくるとリブートしまくるのでDoSになるかな.
まだ全てのルータに提供されているわけではないです.今日現在は以下のようになっています.
RTX3000 Rev.9.00.48以降
RTX2000 順次リリース
RTX1500 Rev.8.03.87以降
RTX1200 Rev.10.01.22以降
RTX1100 Rev.8.03.87以降
RTX1000 順次リリース
SRT100 Rev.10.00.52以降
RTV700 順次リリース
RT300i 順次リリース
RT250i 順次リリース
RT107e Rev.8.03.87以降
RT58i Rev.9.01.48以降
RT57i 順次リリース
この脆弱性はルーターが自分自身宛として処理するIPパケットでのみ実行出来るので,ファームアップできなくても,IPフィルタで軽減する事ができます.
それらの具体的・最新情報は以下のURLを参照してください.
IPの実装におけるサービス運用妨害(DoS)の脆弱性について
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVN55714408.html
実際のアップデート手順はこれ.(無料会員限定)
・ RTX1100のファームウェアをRT-TFTPでアップデートしたり切り替えたりしてみる
・RTX1100のファームウェアをアップデートする from MacOS X
IPヘッダへ不正値を入れる事で場合によってリブートと言う事です.アクセスされまくるとリブートしまくるのでDoSになるかな.
まだ全てのルータに提供されているわけではないです.今日現在は以下のようになっています.
RTX3000 Rev.9.00.48以降
RTX2000 順次リリース
RTX1500 Rev.8.03.87以降
RTX1200 Rev.10.01.22以降
RTX1100 Rev.8.03.87以降
RTX1000 順次リリース
SRT100 Rev.10.00.52以降
RTV700 順次リリース
RT300i 順次リリース
RT250i 順次リリース
RT107e Rev.8.03.87以降
RT58i Rev.9.01.48以降
RT57i 順次リリース
この脆弱性はルーターが自分自身宛として処理するIPパケットでのみ実行出来るので,ファームアップできなくても,IPフィルタで軽減する事ができます.
それらの具体的・最新情報は以下のURLを参照してください.
IPの実装におけるサービス運用妨害(DoS)の脆弱性について
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVN55714408.html
実際のアップデート手順はこれ.(無料会員限定)
・ RTX1100のファームウェアをRT-TFTPでアップデートしたり切り替えたりしてみる
・RTX1100のファームウェアをアップデートする from MacOS X
今年度何度目かの,企業向けセキュリティポリシー策定を行っています.プライバシーマークのような審査ものを取得する事が目的ではないので,企業の実態に即したものをカスタマイズで作るわけです.
そこで今回,調査していて見つけたのが,三井情報株式会社(MKI)の発表資料.
「情報セキュリティ調査・改善委員会」の調査報告書について
http://www.mki.co.jp/corp_news/corp_news_2010/100426_01.html
大きな事件に発展していないので大きく報道されてないとおもいますが,ルール違反して個人情報の入ったPCを持ち出して,飲酒会食中に無くしたという,よくあるやつです. ナノメディアがジャニーズの顧客データを無くしたのも同じようなものでした.
普通にお侘びしてすませている会社が多い中,MKIは,最近合併して大きくなったSIerですがちゃんと分析しているんですね.
そこで,形ばかりのWebBTとか,甘えが出ていた事が原因というふうに分析しているわけです. 素直に分析した結果で,とても参考になりました.
この件の様にPCを無くした場合,出てくる事が無いですね.パソコンは換金が楽なので出てこない事が多いです. つまり,暗号化をしていればかなりリスクを下げられそうです. 最近は,iPhoneやAndroidも2.2以降では,数回パスワードを間違えたら,データを消去するワイプ機能を持っていますし.
意外な盲点としては,業務継続性です.パソコン無くした,暗号化している,でもパソコンにしかデータが入ってないので仕事ができない・・・そんな時の為にバックアップが必要な訳ですね.
そこで今回,調査していて見つけたのが,三井情報株式会社(MKI)の発表資料.
「情報セキュリティ調査・改善委員会」の調査報告書について
http://www.mki.co.jp/corp_news/corp_news_2010/100426_01.html
大きな事件に発展していないので大きく報道されてないとおもいますが,ルール違反して個人情報の入ったPCを持ち出して,飲酒会食中に無くしたという,よくあるやつです. ナノメディアがジャニーズの顧客データを無くしたのも同じようなものでした.
普通にお侘びしてすませている会社が多い中,MKIは,最近合併して大きくなったSIerですがちゃんと分析しているんですね.
そこで,形ばかりのWebBTとか,甘えが出ていた事が原因というふうに分析しているわけです. 素直に分析した結果で,とても参考になりました.
この件の様にPCを無くした場合,出てくる事が無いですね.パソコンは換金が楽なので出てこない事が多いです. つまり,暗号化をしていればかなりリスクを下げられそうです. 最近は,iPhoneやAndroidも2.2以降では,数回パスワードを間違えたら,データを消去するワイプ機能を持っていますし.
意外な盲点としては,業務継続性です.パソコン無くした,暗号化している,でもパソコンにしかデータが入ってないので仕事ができない・・・そんな時の為にバックアップが必要な訳ですね.
JPCERTが,Gumblarに対する分析結果をまとめたものをPDFで公開しています.
踏み台にされるWebサイト~いわゆるGumblarの攻撃手法の分析調査~
https://www.jpcert.or.jp/research/#webdefacement
Gumblarについては,ITホワイトボックスでも放送されてましたね.来年頭くらいに再放送される様です.
第13回 ::脅威!ガンブラーウイルスの正体
http://www.nhk.or.jp/itwb/2/workshop/13.html
踏み台にされるWebサイト~いわゆるGumblarの攻撃手法の分析調査~
https://www.jpcert.or.jp/research/#webdefacement
Gumblarについては,ITホワイトボックスでも放送されてましたね.来年頭くらいに再放送される様です.
第13回 ::脅威!ガンブラーウイルスの正体
http://www.nhk.or.jp/itwb/2/workshop/13.html
リンク先のURLを調べる為のツールが提供されています.
http://www.aguse.jp/
このページでURLを入れると,カスペルスキーによるマルウェア検出やブラックリスト判定等を行ってくれます.
http://www.aguse.jp/
このページでURLを入れると,カスペルスキーによるマルウェア検出やブラックリスト判定等を行ってくれます.
ECとかのWebサイトで個人情報に関係するようなデータの送受信が行われる際にSSLを使ったHTTPSによる暗号化通信が使われるのが普通です.
しかし,あえてHTTPとHTTPSの両方でアクセスできる様に設定しているサイトがあります.
15年くらい前はブラウザが,そもそもHTTPSに対応してないとかクライアント側に証明書が入ってないとかの機能不全でしかたなく用意していましたが,現在でも用意されているのは何故でしょうか?
それは簡単で,会社でプロキシーを経由して外部へアクセスしている際に,HTTPSで暗号化通信が行われると,アクセス内容のログを取得できないからです.
社内から掲示板等に誹謗中傷等の書き込みがあった場合,ログの日時等で追跡できるのですが,最後の最後,暗号化ログでは投稿内容が確認できないですからね.
つまり,ログを残す運用というアクセスポリシーを設定した場合,HTTPSで外部にアクセスされると困るので閉じてあるわけです.
あとは,会社から「ショッピングするな=私用で使うな」的なメッセージもあるとおもいますけどね.
しかし,あえてHTTPとHTTPSの両方でアクセスできる様に設定しているサイトがあります.
15年くらい前はブラウザが,そもそもHTTPSに対応してないとかクライアント側に証明書が入ってないとかの機能不全でしかたなく用意していましたが,現在でも用意されているのは何故でしょうか?
それは簡単で,会社でプロキシーを経由して外部へアクセスしている際に,HTTPSで暗号化通信が行われると,アクセス内容のログを取得できないからです.
社内から掲示板等に誹謗中傷等の書き込みがあった場合,ログの日時等で追跡できるのですが,最後の最後,暗号化ログでは投稿内容が確認できないですからね.
つまり,ログを残す運用というアクセスポリシーを設定した場合,HTTPSで外部にアクセスされると困るので閉じてあるわけです.
あとは,会社から「ショッピングするな=私用で使うな」的なメッセージもあるとおもいますけどね.
9月から携帯電話のメアド宛に広告メールが届く様になり以下の様な問題がありました.
1)停止機能を保有していない.
2)不要通知をしてからもメールが届く
3)運営業者か記載されてない
よって,財団法人日本データ通信協会に,違反メールの情報提供をしてみました.
違反メールの情報提供
http://www.dekyo.or.jp/soudan/ihan/
今回の場合,「特定電子メールの送信の適正化等に関する法律」の以下の2つに違反することになります.
1)第3条第1項(特定電子メールの送信の制限)
2)第4条(表示義務)
さて,今後どのような事になるのでしょうか.協会からは個別に通知が無いそうなので,このまま放置して迷惑メールが停止すれば,それで効果があったと判断できます.
●特定電子メールの送信等 に関するガイドライン(PDF 平成22年4月以降)
http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/pdf/m_mail_081114_1.pdf
1)停止機能を保有していない.
2)不要通知をしてからもメールが届く
3)運営業者か記載されてない
よって,財団法人日本データ通信協会に,違反メールの情報提供をしてみました.
違反メールの情報提供
http://www.dekyo.or.jp/soudan/ihan/
今回の場合,「特定電子メールの送信の適正化等に関する法律」の以下の2つに違反することになります.
1)第3条第1項(特定電子メールの送信の制限)
2)第4条(表示義務)
さて,今後どのような事になるのでしょうか.協会からは個別に通知が無いそうなので,このまま放置して迷惑メールが停止すれば,それで効果があったと判断できます.
●特定電子メールの送信等 に関するガイドライン(PDF 平成22年4月以降)
http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/pdf/m_mail_081114_1.pdf
2週間程前,休日にも関わらず緊急電話があり,security toolに感染した!と連絡がありました.
もう,名称がウザイ.
面倒なのでとりあえずネットワークから分離して放置.あとでヒアリングした所,この脆弱性が元になっている様でした.
弊社サービスの改ざんに関するお詫びとご報告 - MicroAd
http://www.microad.jp/press/20100925/
行動ターゲッティングでの広告事業をやっているサイバーエージェント社の子会社の株式会社マイクロアドが攻撃を受けていた事の様です.
WebブラウザでWebサイトを閲覧しただけでマルウェアがダウンロードされてしまうこのタイプは「ドライブバイダウンロード」と呼ばれます. セキュリティパッチが適用されていれば問題なかったのでしょうけど,当時,マルウェア検出ソフトは無反応だった様です.
もう,名称がウザイ.
面倒なのでとりあえずネットワークから分離して放置.あとでヒアリングした所,この脆弱性が元になっている様でした.
弊社サービスの改ざんに関するお詫びとご報告 - MicroAd
http://www.microad.jp/press/20100925/
行動ターゲッティングでの広告事業をやっているサイバーエージェント社の子会社の株式会社マイクロアドが攻撃を受けていた事の様です.
WebブラウザでWebサイトを閲覧しただけでマルウェアがダウンロードされてしまうこのタイプは「ドライブバイダウンロード」と呼ばれます. セキュリティパッチが適用されていれば問題なかったのでしょうけど,当時,マルウェア検出ソフトは無反応だった様です.
RBL(Realtime Blackhole List/Realtime Blocking List)というSPAMメールのブラックリストを保持するサイトがいくつかあるのですが,その1つに,当サイトが登録されていました.
検証で使用したサイト.
http://rbls.org/
検証結果
http://rbls.org/ujp.jp
bogusmx.rfc-ignorant.orgというサイトで登録されているという事なので,そのサイトを訪問してブラックリストからの削除をお願いする.
依頼作業は簡単で,クリックするだけ。
それで自動的にリストから削除作業が受け付けられている. 以下の点が不明なので,定期的にチェックしてみる.
1)自動的にリストから削除される,,,とは思えない.
2)それなりにチェックされて問題ないと判断されたら,ブラックリストから消えるはず.
3)どれくらいタイムラグがあるのか,確認したい.
2022年3月1日現在このサイトは使えないので新しいブログをご覧ください.
検証で使用したサイト.
http://rbls.org/
検証結果
http://rbls.org/ujp.jp
bogusmx.rfc-ignorant.orgというサイトで登録されているという事なので,そのサイトを訪問してブラックリストからの削除をお願いする.
依頼作業は簡単で,クリックするだけ。
それで自動的にリストから削除作業が受け付けられている. 以下の点が不明なので,定期的にチェックしてみる.
1)自動的にリストから削除される,,,とは思えない.
2)それなりにチェックされて問題ないと判断されたら,ブラックリストから消えるはず.
3)どれくらいタイムラグがあるのか,確認したい.
2022年3月1日現在このサイトは使えないので新しいブログをご覧ください.
インターネットってなんですか?と答えると,DNSだと,いつも答えています.
そのDNSですが良く使われているサーバソフトのbindにも良くセキュリティホールもでるし,脆弱性が多いので困ったチャンな昨今ですが,それを解決しようとしています.
DNSSECというのは,そのセキュリティ拡張の方式で,DNSの応答に公開鍵方式の署名を付加する事で成り済ましへのアクセスを防ぐという仕組みです.
で,.jpに関しては,2011年1月16日からDNSSECの導入をするというアナウンスがこれ.
JPドメイン名サービスへのDNSSECの導入予定について
http://jprs.jp/info/notice/20090709-dnssec.html
じゃぁDNSSECの導入は判ったけれども,一般ユーザは何をすれば良いのか?となるのですが,署名が付属するのでこれまでのDNSパケットよりデータ量が多くなるので,場合によっては家庭用ルータがそれを受け取れない問題が出るかもしれません.
ルータのDENSEC対応状況がでているサイトを見つけました.
DNSSEC HARDWARE TESTER
http://www.dnssectester.cz/
日本の代表的なルータをいくつかピックアップしてみるとこんな感じ.
●YAMAHA
http://www.dnssectester.cz/manufacturer/63/
RTX1000,RT58i
●BUFFALO
http://www.dnssectester.cz/manufacturer/35/
BBR-4HG,BHR-4RV,WHR-HP-0AMPG,WZR-AGL300NH,WZR-HP-G301NH,WZR2-G300N
NTT
http://www.dnssectester.cz/manufacturer/29/
PR-S300SE,PR0200NE,RT0200KI,RV-230NE
まだまだ曇ってるなぁ..
そのDNSですが良く使われているサーバソフトのbindにも良くセキュリティホールもでるし,脆弱性が多いので困ったチャンな昨今ですが,それを解決しようとしています.
DNSSECというのは,そのセキュリティ拡張の方式で,DNSの応答に公開鍵方式の署名を付加する事で成り済ましへのアクセスを防ぐという仕組みです.
で,.jpに関しては,2011年1月16日からDNSSECの導入をするというアナウンスがこれ.
JPドメイン名サービスへのDNSSECの導入予定について
http://jprs.jp/info/notice/20090709-dnssec.html
じゃぁDNSSECの導入は判ったけれども,一般ユーザは何をすれば良いのか?となるのですが,署名が付属するのでこれまでのDNSパケットよりデータ量が多くなるので,場合によっては家庭用ルータがそれを受け取れない問題が出るかもしれません.
ルータのDENSEC対応状況がでているサイトを見つけました.
DNSSEC HARDWARE TESTER
http://www.dnssectester.cz/
日本の代表的なルータをいくつかピックアップしてみるとこんな感じ.
●YAMAHA
http://www.dnssectester.cz/manufacturer/63/
RTX1000,RT58i
●BUFFALO
http://www.dnssectester.cz/manufacturer/35/
BBR-4HG,BHR-4RV,WHR-HP-0AMPG,WZR-AGL300NH,WZR-HP-G301NH,WZR2-G300N
NTT
http://www.dnssectester.cz/manufacturer/29/
PR-S300SE,PR0200NE,RT0200KI,RV-230NE
まだまだ曇ってるなぁ..
IPAがレポートを出したというので見てみました.
MFP の脆弱性に関する調査報告書
http://www.ipa.go.jp/security/fy21/reports/mfp/documents/20100830report.pdf
簡単に言うと,見落としがちな複合機のセキュリティについての話ですが,政府調達基準でもあるISO/IEC 27001準拠に対しての話です.
でも,実際,複合機のセキュリティホールを狙った攻撃は,あまり耳にした事が無いですね.
春先に,某社がPマーク保険に入るというので色々な保険屋から取り寄せてセルフ診断項目を埋めて行ってたら,1つの会社がISO/IEC 27001対応機器の導入を要求していました.
先に述べた様に政府調達基準になっているということで,普通の複合機メーカは対応しているので,非対応機種を見つけるのが難しいくらいになっているので,そんなに心配は不要なんじゃないかな.実質的に.
MFP の脆弱性に関する調査報告書
http://www.ipa.go.jp/security/fy21/reports/mfp/documents/20100830report.pdf
簡単に言うと,見落としがちな複合機のセキュリティについての話ですが,政府調達基準でもあるISO/IEC 27001準拠に対しての話です.
でも,実際,複合機のセキュリティホールを狙った攻撃は,あまり耳にした事が無いですね.
春先に,某社がPマーク保険に入るというので色々な保険屋から取り寄せてセルフ診断項目を埋めて行ってたら,1つの会社がISO/IEC 27001対応機器の導入を要求していました.
先に述べた様に政府調達基準になっているということで,普通の複合機メーカは対応しているので,非対応機種を見つけるのが難しいくらいになっているので,そんなに心配は不要なんじゃないかな.実質的に.
