管理人のMonoblog　

2007年06月26日

iGoogleやWindows Liveのガジェットでウイルス検索

管理人の自宅もVistaになって、ガジェットが常駐する環境になりました。
しかし、実際に有効なガジェットはそれほど多くはなく、管理人が現在有効にしているのは
CPU/メモリメーターだけです。

しかし、このPanda Labsが提案している”ガジェットでウイルス検索”というのは中々いい
アイディアだと思います。アンチウイルスソフトウェアは常駐させていると明らかにシステムが
重くなりますが、怪しいWebサイトを巡回したり、ウイルス入りメールを頂戴するということが
なければ、リアルタイムスキャンを常に有効にしておく意味もかなり薄くなります。

ガジェットで利用できるということは、当然無料ということになりますし(ActiveXで動作するため
、対象OSはWindowsに限定されるようですが)、検出処理をサーバ側で実施するため、マシン
のパフォーマンスに与える影響も少ないようです。

管理人も実際に試して見ましたが、非常に軽快に動作しました。
あまり起動する機会がなく、アンチウイルスソフトを購入して導入するには惜しいマシンには
ちょうどいいのではないでしょうか。

2007 06 26 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年06月21日

Verisign / iDefenceによるMPackの解析情報

SANS Internet Storm Centerに掲載されているMPack Analysisという記事より。

Verisign / iDefenceから詳細な解析情報がリリースされた模様です。
インターネットには公開されていないけれども、SANSに全文の掲載許可が出たようで、詳細な
情報が載せられています。原文はこちらですが、英語に拒否反応を示す人のために以下に
翻訳しておきます。SANS様、Verisign様、お許しください

Greetings All,

MPackは、ロシアのアンダーグラウンドで販売されている最新、そして最強のツールです。$ashという人物が、およそ500～1,000ドルで販売しています。最近の投稿によると、$ashはローダーを300ドル、本体を1,000ドルで販売しようとしている模様です。開発者によると、攻撃の成功率は45～50%程度で、アニメーションカーソルの脆弱性をはじめとするおおくの脆弱性に対応しているとのこと。具体的には、MS06-014, MS06-006, MS06-044, XMLオーバーフロー, WebViewFolderIconオーバーフロー, WinZip ActiveXオーバーフロー, QuickTimeオーバーフローなどです (これらはすべて$ashが具体的に名前を挙げている脆弱性です)。 MPack、別名WebAttacke IIからの攻撃は、2006年10月から観測されており、公にされているある情報によると、現在観測されているWebの脆弱性を突いた攻撃のおよそ10%は、MPackによるものだそうです。

MPackの攻撃リストには1万以上のドメインが存在しています。特にイタリアでの攻撃で大きな成功を収めており、攻撃を受けたIPアドレスは、少なくとも8万はあると考えられています。どうやら、ホストプロバイダが持つcPanelの脆弱性を攻撃された結果、そのサーバにホストとしているドメインにiFrameが挿入された模様です。不正なiFrameが挿入された正規のページがロードされると、こっそりとMpackが作成したページに犠牲者をリダイレクトします。Mpackが生成したページはよく作りこまれていて、攻撃が成功するまで次々に様々な脆弱性を突き、成功したら攻撃者が選択した悪意のあるコードのインストールを行います。

Torpigというスパイウェアは、今のところ知られているMpackの攻撃に含まれるペイロードの一つです。このコードの背後にはRussian Business Network (RBN)が見え隠れしていますが、RBNは多くのインターネット経由の攻撃の攻撃元となっています。RBNは、ロシアのサンクトペテルブルグからの攻撃を覆い隠す仮想の安全な家となっており、Torpigやその他の悪意のあるコード、フィッシングや児童ポルノ、その他の不正なオペレーションなどを請け負っています。最近のMPackの攻撃先となっているドメインの多くを管理しているイタリアのホストは、クライアントのWeb管理ツールとしてcPanelを利用しています。cPanelへの0-Day攻撃が発生したのは2006年の秋で、大規模なVML攻撃の発端となりました。cPanelの攻撃コードを作成したStep57.infoというロシア人もまた、RBNを利用してイタリアのISPと関連ドメインを攻撃していました。これらのISPとドメインは、Mpackの攻撃先でもあります。

Mpackは、管理や攻撃状況をレポートするインターフェースとしてWebを利用します。最近の攻撃状況のスクリーンショットがJPEG形式でこのメッセージに添付されています。

引用

1. Mpackは強力なWeb攻撃ツールで、音もなくWebブラウザに対して攻撃を行う。その成功率は50%と主張している。

2. Mpackをアンダーグラウンドで販売しようとしている首謀者のロシア人の名前が$ashで、完全なMPackのキットの価格は約1,000ドル。

3. MPackは、脆弱性を抱えたコンピュータに感染するために、複数の脆弱性を洗練された方法で悪用する。最近発見されたアニメーションカーソル(ANI)の脆弱性からからQuickTimeの脆弱性まで、MPackは様々な脆弱性を幅広く悪用する。MPackの最新バージョンである.90では、以下の脆弱性の攻撃コードが含まれている。

MS06-014
MS06-006
MS06-044
MS06-071
MS06-057
WinZip ActiveXオーバーフロー
QuickTimeオーバーフロー
MS07-017

4. Russian Business Network (RBN)は、今日のインターネットにおいて最も悪名高い犯罪集団の一つである。最近のMPackの攻撃では、RBNのサーバに置かれている悪意のあるコードであるTorpigがインストールされている。RBNは、Step57.infoによるcPanelの脆弱性を突いた攻撃、VML、フィッシング、児童ポルノ、Torpig、Rustock、その他の今日行われている多くの犯罪的な攻撃などにも関与している。RBNが持つアドレスブロックからなにかいいものが出てきたことは、未だかつてない。

5. VeriSignとiDefenseが解析した攻撃ログファイルによると、MPackの攻撃の成功率は高い。わずか数時間の間に、2,000以上の新たな犠牲者がMPackの管理サーバに報告されている。イタリアをターゲットにした最近の攻撃では、8万以上のIPが攻撃を受けていた。

Ken Dunham
Senior Engineer
Director of the Rapid Response Team
VeriSign-iDefense
CISSP, GREM, GSEC, GCIH Gold Honors

クライアントから見れば直接の感染元はWebサーバになるわけですが、そのWebサーバも実は
被害者というところが新しいですね。攻撃に成功するまで次々と色々な脆弱性を突いてみると
いうのも、非常に理に適っています。

どこで見たか忘れましたが、MPackの管理画面のスクリーンショットの中に日本の国旗もあった
ので、既に日本でも感染しているサーバが相当数出ている模様です。

記事の中で取り上げられたcPanelは、日本語化されていて日本でも販売されているようなので、
こちらを利用している方は念のため注意しておいた方がいいでしょう。
＃もちろんそれ以外の人も、ですが...

2007 06 21 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年06月19日

MPACKが猛威を振るっている模様です

以前このBlogでも採り上げたMPACKが、色々なニュースサイトで話題になっています。

多数の脆弱性を使い分ける「MPACK」、各国で被害多発 (ITMedia)
大規模なウェブ攻撃「Mpack」が猛威--セキュリティ企業が注意を呼びかけ (CNET Japan)
Italy Under Attack: Mpack Gang Strikes Again! (Symantec Security Response Blog)
Massive MPACK Compromise (SANS)

また、Panda Labsが実施した詳細な調査結果がPDFで公開されています。

ざっと斜め読みしましたが、
　・PHPを利用して、クライアントOSを識別した上でOSに対応した脆弱性を突く
　・新しい脆弱性を追加することができる
　・(おそらく)毎月更新が行われている
　・集中管理ができるようになっている
　・一部のニュースサイトに張られている管理画面を見ると、日本もかなりやられている
といった所が注目すべき点でしょうか。
基本的に個人情報を盗むのが目的の模様です。

実際に値段が付けられて売られているわけですが、"いかに楽して個人情報を集めるのか"
という点に注力されているのがよくわかります。

昔みたいに、愉快犯的にウイルスをばら撒く輩はいなくなったのはそれはそれでありがたい
のですが、これはこれで怖いですね....

2007 06 19 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年06月15日

spam ≠ ham

スパムってハムだっけ？というCNET Japanのブログエントリを発見して読んだのですが、
自分が予想している内容とはまったく異なる内容でした。

意外と知られていないのかもしれませんが、メールサーバで利用するアンチスパムソフト
として著名なSpamAssassinでは、spamの反対の概念として、"ham"という言葉を
利用しています。

SpamAssassinに同梱されているベイジアンフィルタを学習させるsa-learnというツールが
あるのですがコマンドの引数として"--ham"を指定すると、"これから学習させるメールは
spamではない"という意味になります。

上記のようなことを踏まえて、きっと記事ではSpamAssassinのことが扱われているの
かな...と思って読んだら、見事に肩透かしでした....
勝手に内容を想像して読む私も悪いんですが(^^;

2007 06 15 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年06月13日

保険の見直し

今年の5月に生まれた長女のために学資保険をかけようと思って色々調べたところ、
どうもソニー生命の学資保険がよさそうだという結論になりました。
簡単に言えば、”どの会社よりも払戻率がいい”ということです。

そのからくりは簡単で、ソニー生命の学資保険は非常にシンプルな商品だからです。

学資保険は色々な保険会社が販売していますが、どれも色々な特約がついています。
代表的なのが育英会年金がついている商品ですが、管理人が確認した限りでは、
育英会年金がついていると100%間違いなく元本割れになる模様です。

ソニー生命の学資保険には、その手の特約が一切ありません。保険的な機能は、

保険をかけている人(=父親)が死亡したら、その後の保険金は払わなくてよい

という一点だけです。
＃被保険者である子供が死亡した場合、それまでの払込金相当の額が戻ります。

要するに、余計な特約 = 余計な保険が一切ついていないから、その分払戻率が
いいということになります。

学資保険には保険という側面と貯金という側面の2面性があります。
私は基本的に貯金だと考えているので、ソニー生命が提供している保障以上の保障が
欲しいとは思っていません。自分の生き死にに関わらず、子供が進学する際にまとまった
金額のお金が用意できればそれでよく、それ以上は学資保険には望みません。
自分が病や怪我で倒れた場合、もしくは死亡した場合の保障は、別に保険をかければ
いいと思っています。
＃学資保険の特約にすると、学資保険が終わるまでは変更ができないでしょうし。

ソニー生命の学資保険はインターネットで申し込むことはできず、ソニー生命の営業
担当の人に来てもらう必要があるのですが、先日管理人も来てもらいました。

その結果、かなり保険について考えさせられることになったのですが(営業の人の口車に
乗せられているような気がしないわけでもありませんが)、それはまた別の機会に...

2007 06 13 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)