管理人のMonoblog　

2007年06月26日

iGoogleやWindows Liveのガジェットでウイルス検索

管理人の自宅もVistaになって、ガジェットが常駐する環境になりました。
しかし、実際に有効なガジェットはそれほど多くはなく、管理人が現在有効にしているのは
CPU/メモリメーターだけです。

しかし、このPanda Labsが提案している”ガジェットでウイルス検索”というのは中々いい
アイディアだと思います。アンチウイルスソフトウェアは常駐させていると明らかにシステムが
重くなりますが、怪しいWebサイトを巡回したり、ウイルス入りメールを頂戴するということが
なければ、リアルタイムスキャンを常に有効にしておく意味もかなり薄くなります。

ガジェットで利用できるということは、当然無料ということになりますし(ActiveXで動作するため
、対象OSはWindowsに限定されるようですが)、検出処理をサーバ側で実施するため、マシン
のパフォーマンスに与える影響も少ないようです。

管理人も実際に試して見ましたが、非常に軽快に動作しました。
あまり起動する機会がなく、アンチウイルスソフトを購入して導入するには惜しいマシンには
ちょうどいいのではないでしょうか。

2007 06 26 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年06月21日

Verisign / iDefenceによるMPackの解析情報

SANS Internet Storm Centerに掲載されているMPack Analysisという記事より。

Verisign / iDefenceから詳細な解析情報がリリースされた模様です。
インターネットには公開されていないけれども、SANSに全文の掲載許可が出たようで、詳細な
情報が載せられています。原文はこちらですが、英語に拒否反応を示す人のために以下に
翻訳しておきます。SANS様、Verisign様、お許しください

Greetings All,

MPackは、ロシアのアンダーグラウンドで販売されている最新、そして最強のツールです。$ashという人物が、およそ500～1,000ドルで販売しています。最近の投稿によると、$ashはローダーを300ドル、本体を1,000ドルで販売しようとしている模様です。開発者によると、攻撃の成功率は45～50%程度で、アニメーションカーソルの脆弱性をはじめとするおおくの脆弱性に対応しているとのこと。具体的には、MS06-014, MS06-006, MS06-044, XMLオーバーフロー, WebViewFolderIconオーバーフロー, WinZip ActiveXオーバーフロー, QuickTimeオーバーフローなどです (これらはすべて$ashが具体的に名前を挙げている脆弱性です)。 MPack、別名WebAttacke IIからの攻撃は、2006年10月から観測されており、公にされているある情報によると、現在観測されているWebの脆弱性を突いた攻撃のおよそ10%は、MPackによるものだそうです。

MPackの攻撃リストには1万以上のドメインが存在しています。特にイタリアでの攻撃で大きな成功を収めており、攻撃を受けたIPアドレスは、少なくとも8万はあると考えられています。どうやら、ホストプロバイダが持つcPanelの脆弱性を攻撃された結果、そのサーバにホストとしているドメインにiFrameが挿入された模様です。不正なiFrameが挿入された正規のページがロードされると、こっそりとMpackが作成したページに犠牲者をリダイレクトします。Mpackが生成したページはよく作りこまれていて、攻撃が成功するまで次々に様々な脆弱性を突き、成功したら攻撃者が選択した悪意のあるコードのインストールを行います。

Torpigというスパイウェアは、今のところ知られているMpackの攻撃に含まれるペイロードの一つです。このコードの背後にはRussian Business Network (RBN)が見え隠れしていますが、RBNは多くのインターネット経由の攻撃の攻撃元となっています。RBNは、ロシアのサンクトペテルブルグからの攻撃を覆い隠す仮想の安全な家となっており、Torpigやその他の悪意のあるコード、フィッシングや児童ポルノ、その他の不正なオペレーションなどを請け負っています。最近のMPackの攻撃先となっているドメインの多くを管理しているイタリアのホストは、クライアントのWeb管理ツールとしてcPanelを利用しています。cPanelへの0-Day攻撃が発生したのは2006年の秋で、大規模なVML攻撃の発端となりました。cPanelの攻撃コードを作成したStep57.infoというロシア人もまた、RBNを利用してイタリアのISPと関連ドメインを攻撃していました。これらのISPとドメインは、Mpackの攻撃先でもあります。

Mpackは、管理や攻撃状況をレポートするインターフェースとしてWebを利用します。最近の攻撃状況のスクリーンショットがJPEG形式でこのメッセージに添付されています。

引用

1. Mpackは強力なWeb攻撃ツールで、音もなくWebブラウザに対して攻撃を行う。その成功率は50%と主張している。

2. Mpackをアンダーグラウンドで販売しようとしている首謀者のロシア人の名前が$ashで、完全なMPackのキットの価格は約1,000ドル。

3. MPackは、脆弱性を抱えたコンピュータに感染するために、複数の脆弱性を洗練された方法で悪用する。最近発見されたアニメーションカーソル(ANI)の脆弱性からからQuickTimeの脆弱性まで、MPackは様々な脆弱性を幅広く悪用する。MPackの最新バージョンである.90では、以下の脆弱性の攻撃コードが含まれている。

MS06-014
MS06-006
MS06-044
MS06-071
MS06-057
WinZip ActiveXオーバーフロー
QuickTimeオーバーフロー
MS07-017

4. Russian Business Network (RBN)は、今日のインターネットにおいて最も悪名高い犯罪集団の一つである。最近のMPackの攻撃では、RBNのサーバに置かれている悪意のあるコードであるTorpigがインストールされている。RBNは、Step57.infoによるcPanelの脆弱性を突いた攻撃、VML、フィッシング、児童ポルノ、Torpig、Rustock、その他の今日行われている多くの犯罪的な攻撃などにも関与している。RBNが持つアドレスブロックからなにかいいものが出てきたことは、未だかつてない。

5. VeriSignとiDefenseが解析した攻撃ログファイルによると、MPackの攻撃の成功率は高い。わずか数時間の間に、2,000以上の新たな犠牲者がMPackの管理サーバに報告されている。イタリアをターゲットにした最近の攻撃では、8万以上のIPが攻撃を受けていた。

Ken Dunham
Senior Engineer
Director of the Rapid Response Team
VeriSign-iDefense
CISSP, GREM, GSEC, GCIH Gold Honors

クライアントから見れば直接の感染元はWebサーバになるわけですが、そのWebサーバも実は
被害者というところが新しいですね。攻撃に成功するまで次々と色々な脆弱性を突いてみると
いうのも、非常に理に適っています。

どこで見たか忘れましたが、MPackの管理画面のスクリーンショットの中に日本の国旗もあった
ので、既に日本でも感染しているサーバが相当数出ている模様です。

記事の中で取り上げられたcPanelは、日本語化されていて日本でも販売されているようなので、
こちらを利用している方は念のため注意しておいた方がいいでしょう。
＃もちろんそれ以外の人も、ですが...

2007 06 21 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年06月19日

MPACKが猛威を振るっている模様です

以前このBlogでも採り上げたMPACKが、色々なニュースサイトで話題になっています。

多数の脆弱性を使い分ける「MPACK」、各国で被害多発 (ITMedia)
大規模なウェブ攻撃「Mpack」が猛威--セキュリティ企業が注意を呼びかけ (CNET Japan)
Italy Under Attack: Mpack Gang Strikes Again! (Symantec Security Response Blog)
Massive MPACK Compromise (SANS)

また、Panda Labsが実施した詳細な調査結果がPDFで公開されています。

ざっと斜め読みしましたが、
　・PHPを利用して、クライアントOSを識別した上でOSに対応した脆弱性を突く
　・新しい脆弱性を追加することができる
　・(おそらく)毎月更新が行われている
　・集中管理ができるようになっている
　・一部のニュースサイトに張られている管理画面を見ると、日本もかなりやられている
といった所が注目すべき点でしょうか。
基本的に個人情報を盗むのが目的の模様です。

実際に値段が付けられて売られているわけですが、"いかに楽して個人情報を集めるのか"
という点に注力されているのがよくわかります。

昔みたいに、愉快犯的にウイルスをばら撒く輩はいなくなったのはそれはそれでありがたい
のですが、これはこれで怖いですね....

2007 06 19 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年06月15日

spam ≠ ham

スパムってハムだっけ？というCNET Japanのブログエントリを発見して読んだのですが、
自分が予想している内容とはまったく異なる内容でした。

意外と知られていないのかもしれませんが、メールサーバで利用するアンチスパムソフト
として著名なSpamAssassinでは、spamの反対の概念として、"ham"という言葉を
利用しています。

SpamAssassinに同梱されているベイジアンフィルタを学習させるsa-learnというツールが
あるのですがコマンドの引数として"--ham"を指定すると、"これから学習させるメールは
spamではない"という意味になります。

上記のようなことを踏まえて、きっと記事ではSpamAssassinのことが扱われているの
かな...と思って読んだら、見事に肩透かしでした....
勝手に内容を想像して読む私も悪いんですが(^^;

2007 06 15 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年05月23日

マルウェアのお値段

PandaLabs Blogの”Cybercrime... for sale (II)”という記事より。

このエントリの直前のDDoS攻撃をアウトソーシング...の続きで、今回はいわゆるマルウェアの
お値段について調査した結果です。

Keylogger Teller 2.0:
　典型的なキーロガー。完成度が高いステルステクニックを利用。$40

Webmoney Trojan:
　Webmoneyアカウントをキャプチャする。$500だが、先着100名のみ$400!!!

WMT-spy:
　WebMoneyアカウントを取得するための別のトロイの木馬だが、前のものよりもずっと安価(its creator publishes the results it has obtained in virustotal ← 意味不明)。
　実行ファイルで$5、更新が$5、ビルダーが$10。

SNATCH TROJAN:
　先のポストでこのトロイの木馬については既に触れた。
　パスワードを盗む機能と、rootkitの機能を持っている。$600。

Limbo Trojan:
　値段にだけついて触れると、$500だ。別のサイトの特別価格で、$350で提供されているのを
　見たことがある。このトロイの木馬については近々採り上げる予定だ。

FTP checker:
　盗んだFTPアカウントが利用できるかどうかをチェックするプログラム。FTPアカウントのリストを
　ロードすれば、自動的にユーザ名とパスワードが正しいかどうかについてチェックし、有効な
　アカウントと無効なアカウントとを仕分けしてくれる。$15。

Dream Bot Builder:

　たった$500でサーバを溢れさせて(floods)くれる(DDoS攻撃?)。$500で、更新が$25。

Pinch:

　完成度の高いトロイの木馬の作成キット。その特性を丸裸に分析した投稿をする予定だ。
　キットの実行ファイル(トロイの木馬)が$30、更新が$5。

Polaris:
　実行ファイルに対してポリモーフィックな暗号をかける．$20．

Freejoiner:
　実行ファイルを別のファイルと結合することにより隠す．$30で，更新が$5．

My joiner:
　Pinchの開発者の手による結合プログラム．$10．

Pity Joiner:
　別の結合プログラム．$7．

MPACK:
　複数の脆弱性を利用してリモートシステム上にトロイの木馬を仕込む，サーバにインストール
　するアプリケーション． Vicente Martinezがこのアプリケーションの完全なレビューを準備
　しており，近々その情報を提供してもらう予定なので，期待してもらいたい．
　Ver.0.80(2007年3月13に時点)で$700．4月のはじめには，ANIファイルに関する新しい
　脆弱性に対応したバージョンが公開される予定．

Ecore exploit 1.2:
　Mpackに似たフレームワークで，完成度と更新頻度が非常に高い．新しく(最新版が3月に
　公開)，感染コンピュータを制御したり監視したりすることができる．それを利用すれば，
　ローダ(トロイの木馬)が収集した感染コンピュータのあらゆる情報(パスワード，URL，
　アカウント名などなど)にオンラインでアクセスすることができる．
　購入者がどのような情報を求めるかにより，価格は大きく変わる．
　　バンドル版 : $590 (ecoreがインストールされたドメイン/IP単位)．
　　ドメイン/IPの追加 : $490 (インストールヘルプ : $15)

支払方法:
　これらの"商品"を購入する際のもっとも一般的な手段は，売り手にICQでアクセスするという
　方法である．全ての折り合いがつけば，購入者は代金を支払う．支払い全体の約8割は，
　WebMoneyで決済されている．実際，商品の多くは，米ドル相当のWebMoneyのコインの
　単位である"wmz"という単位で値が付けられている．

2007 05 23 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年04月25日

DDoS攻撃をアウトソーシングする際のお値段

PandaLabs Blogの”Cybercrime... for sale (I)”という記事より。

アンダーグラウンドな世界のサービスが掲載されていて、中々面白いです。
記事を執筆した方が、ロシアのアンダーグラウンド名サイトに侵入して収集した情報だそうで、
一部にその色が見えます。価格が米ドルというところが興味深いですね。

以下に一部を抜粋。

DDoS攻撃
　1時間　　: $10～$20 (販売主による)
　2時間　　: $20～$40
　1日間　　: $100
　1日以上 : $200～応相談 (実施難易度により異なる)

ちなみに、通常10分間の無料試用期間付で、このサービスに興味がある人が指定したサーバ
に対して10分間のDDoS攻撃をしてくれるとの事。それで、”サービス品質”を確認することが
できるようです。

Spam用メールサーバのホスティング : $200（基本料金?）
　　専用メールサーバオプション : $500
　　1,000万通/日を超える場合 : $600
　　SMS spam (1通あたり) : $0.2
　　ICQ spam (100万通あたり) : $150

このようなサービスがあるのは、spam用のメールサーバがあっという間にブラックリストに載って
転送拒否にあうためでしょうか。単位は不明ですが、月額でしょう。結構高いように見えますが、
以下のspam送信サービスの価格を見れば、納得です。これでも十分にペイするでしょう。

メーリングリストに対するspam
　アカウント数　　　米国　　　ドイツ　　　ロシア　　ウクライナ
　1,000万　　　　　$100　　　$100　　　$100　　　$100
　3,000万　　　　　$200　　　$200　　　$200　　　$200
　5,000万　　　　　$300　　　$300　　　$300　　　-
　8,000万　　　　　$500　　　$500　　　$500　　　-
　16,000万　　　　$900　　　　-　　　　　　-　　　　　-
　32,000万　　　　$1500　　　-　　　　　　-　　　　　-

1億6,000万以上が米国しかないのは、それ以外の国ではそれほどのメールアカウントが収集
されていない（できない）ということなのでしょう。
ボリュームディスカウントがあるんですね...

実行ファイルの隠蔽
　購入日時点での最新ウイルス定義ファイルで、そのファイルが検出されない事を保障。
　$1～$5 / 1実行ファイル

激安ですね。確かに手間もリソースもかからないと思いますが。

そのほかのサービス
　FTPアカウント : $1 / 1アカウント
　Limboのログ50MB : $30
　（メールアカウントや銀行の口座番号、クレジットカード番号などが一定量入っている事を保障）
　ICQ番号 : $1～$10 (ICQ番号による)
　RapidShareプレミアムアカウント:
　　　1ヶ月 : $5
　　　2ヶ月 : $8
　　　3ヶ月 : $12
　　　6ヶ月 : $18
　　　1年間 : $28

FTPアカウントがどこのアカウントかはまったくわかりません。
おそらくですが、Downloader系のスパイウェアやウイルスに利用させるアカウントなのでは
ないかと思います。

Limboはトロイの木馬の名称のようですが、いい情報がヒットしませんでした。
存在はするようなんですが...
”XXXが一定量異常は言っている事を保障”って、なんだか福袋みたいですね(w

RapidShareとは容量無制限の気前がいいストレージサービスで、プレミアムアカウントとは
無料アカウントに欠けられている様々な制約がない有料アカウントのことです。
ちなみに正価は以下の通り。

RapidShareプレミアムアカウント:
　　　1ヶ月 : €4.5　　　　　(≒ $6)
　　　2ヶ月 : €6.99　　　　(≒ $11)
　　　3ヶ月 : €16.99　　　(≒ $23)
　　　6ヶ月 : €29.99　　　(≒ $40)
　　　1年間 : €54.99　　　(≒ $74)

思ったほど激安というわけでもないですが、契約期間が長くなるにつれてお買い得度が
高くなってゆくところが面白いです。

次回はトロイの木馬やウイルスの価格についての話になるそうで、見つけたらまた採り
上げたいと思います。

2007 04 25 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年03月30日

商品券＆図書カード１万円分が22％OFF！7800円で激安販売！！

表記のタイトルのメールに、ほんのちょっとだけ反応してしまった自分が恥ずかしいです(笑

実際に来たのはこんなメールです。

┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛

　◆チケットスーパーこすも◆メール通信№3（3/29隔週号）◆

　　　　１万円分の商品券＆図書カードを７８００円で！
　　　数量・期間限定、開店記念セールだけのお得販売です

┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛
┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯
　　　　 ★★★　開店記念セール第２弾　★★★
　全国共通百貨店券・ＪＣＢギフトカード・全国共通図書カード
　　１００００円分を７８００円で販売です！（２２％オフ）
┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷

■数量・期間限定開店記念セールだから出来る超お得セール！
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
全国で使える「全国共通百貨店券」「ＪＣＢギフトカード」
「全国共通図書カード」１００００円分を７８００円での
激安販売です！　さらに送料は当社負担！
またとない開店記念＆新春セールだけの超お得セールです。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■お申込みについて
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
※お申込可能数量には上限がございます。
※期間限定となっていますが、販売数量には限りがございますので
　売り切れ次第、セール期限内でも終了となります。
※今回の開店記念＆新春セールはモニター販売となります。
　ご購入頂いたお客様には、簡単なアンケートをご用意しており
　ますのでご協力をお願いいたします。(個人情報等は記入不要)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

「金券販売のコスモ」が、平成１９年１月１０日、通信販売専門
ネットショップ「チケットスーパーこすも」としてＯＰＥＮ！
今回は開店記念セール第２弾、「全国共通百貨店券」
「ＪＣＢギフトカード」「全国共通図書カード」の激安セールです。
全国のデパートやお店、書店で使えます。
使用期限はありませんので、この機会にご購入されておけば
とってもお得です。

　　　　 　詳細は当社ホームページでチェック！
　　　　　　　　　　　　　↓
　 　 　　　　http://www.ticosmo3.com

■ご注文方法
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
１．ここ(↓)をクリックして当社ホームページへ。
　　http://www.ticosmo3.com
２．トップページの「開店記念セール第２弾」のバナーをクリック。
３．ご説明にしたがって、お申込み下さい。
４．折り返し当社より、御注文番号・お振込先・お振込金額等を
　　お知らせいたします。
５．銀行振込みにて御入金下さい。　なお、お振込手数料は
　　お客様のご負担となりますので、ご了承下さい。
６．お振込日(午後2時30分以降のお振込は翌日扱いとなります)
　　の翌日に商品を簡易書留郵便にて発送いたします。
　　(ご注文金額が５万円を超える場合は書留郵便にて発送。)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■ご注文について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
※商品は、千円券×10枚（１万円分）が１セットとなります。
※価格は、１セット（１万円分）が７８００円となります。
　（２２００円引きの２２％オフとなります。）
※送料は当社で負担させて頂きますが、速達をご希望のお客様は
　別途速達料金２７０円が加算されます。
※御注文はお一人様各商品１０セットまでとさせて頂きます。
※御注文受付期限は、４月４日（水）までとなりますが、販売数量
　に限りがありますので予定数量に達し次第、期限内でもセール
　終了となります。早期終了が予想されますので、ご了承下さい。
※商品は簡易包装となります。（今回の開店記念セールでは
　贈答用包装は行っておりませんのでご了承下さい。）
※ご購入頂いたお客様には、当社の販売方法、対応、ホームページ
　のご感想に関する簡単なアンケートをご用意していますので、
　ご協力をお願いいたします。（個人情報等の記入は不要です）
　アンケートはお振込のご案内メールと一緒になっていますので、
　商品到着後にご返信下さい。
※各商品の絵柄、図柄のご指定はできません。
※同業者様や転売目的の御注文はご遠慮下さい。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

□■━━━━━━━━━━━━━━━━━━━━━━━━━━■□
　　　　　　　　　チケットスーパーこすも
　　　　　　　　 http://www.ticosmo3.com
―――――――――――――――――――――――――――
　　　　〒242-0012　神奈川県大和市深見東1丁目1-24
　　　　　　　　　　TEL　046-262-3650
　　　　　　　　　　チケットスーパーこすも
　　　　　　　　　　代表　福永　一博
■□━━━━━━━━━━━━━━━━━━━━━━━━━━□■

※ホームページアドレスは平成１９年４月２７日より
　　http://www.rakuten.co.jp/ticosmo3/
　　へ移転の予定です。（楽天市場申請中）

―――――――――――――――――――――――――――――――――
■事業者：チケットスーパーこすも
■神奈川県大和市深見東1丁目1-24
―――――――――――――――――――――――――――――――――
特定商取引法施行規則　受取りを希望しない場合の連絡方法
弊社からの広告メールの配信停止を希望の場合は、下記のメールアドレスの
件名に「配信停止」と記入して送信してください。
cancel24@reject.udzk.com

”金券ショップに行けば売値よりも高く買ってくれるから、これって大儲け可能？”

とか思ったら、引っかかる一歩手前です。もちろんそんなうまい話はありません。

こちらでも紹介されていますが、早い話詐欺です。

管理人はメールアドレスをいくつか持っていますが、このメールはbflets.dyndns.orgの管理人
宛でした。このアドレスはどこかに登録したりすることはないので、事実上spam専用メール
アドレスになるのですが、管理人はここで確信しました。

もう一つのアドレスは楽天にも登録してあるので、そっちに来ていたらひょっとしたらやば
かったかも.....楽天申請中(もちろん嘘)とか書いてあるし(^^;

もっとも、怪しいと思って調べたら案の定...だったわけですが、これはなかなかspamとしての
出来はなかなかです。騙される人がいてもおかしくないと思いましたが、情報自体があまり
なかったので、あえてblogに載せてみました。

皆さんも気をつけてください！

2007 03 30 | この記事へのリンク | この記事へのコメント (3) | トラックバック (1)

2007年03月08日

Snort 2.6.1 DCE/RPCプリプロセッサのリモートバッファオーバーフローを本当に実行する方法

とあるブログで、非常に詳細なレベルで本当に実行する方法が紹介されています。

Snort 2.6.1 DCE/RPC Preprocessor Remote Buffer Overflow: Part 1 - Denial Of Service
Snort 2.6.1 DCE/RPC Preprocessor Remote Buffer Overflow: Part 2 - Command Execution

最後に、本当にcalc.exeの起動に成功しています。

ここまで載せてしまっていいのでしょうか？

2007 03 08 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年03月02日

動画のコーデックをダウンロードするとウイルスに感染？

PandaLabs Blogの"A curious technique of social engineering"という記事より。

新手のソーシャルエンジニアリングの手法として、コーデックを装って不正なコードをダウンロードさせる手法が流行しているとの事。実際にだまされる人も少なくないとか。

簡単な流れは、
　1. メールの添付ファイルでaviファイルが送られてくる。
　2. .aviファイルを開くと(この時点で問題がありますが)、Windows Media Playerが起動。
　3. コーデックがないから再生できない、というメッセージが表示される。
　4. コーデックダウンロード先とされる"Click Here"をクリックすると、不正なコードが....

なかなかよく考えられていると思いました。騙される人が多いのもわかる気がします。
元記事には、実際の画像入りの解説があるので、参照してみてください。

2007 03 02 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年02月05日

セキュリティエンジニアとしてのキャリア

自分自身の肩書きを何か名刺に刷れ、といわれたら、管理人はおそらく"セキュリティエンジニア"と書くと思います。プログラマとかプロジェクトマネージャに比べるととらえどころがない気がしますが、これが一番自分のスキルにマッチした表現のような気がしています。

このエントリを読んでいる方の中には、私が所属している会社を知っている人も居るかもしれませんが、私の会社では、どのようなキャリアを持った人でも基本的に管理者を目指すことになります。要するに部長や課長ですね。課長以上については自分の意思で昇進試験を受けない限り自動的になることはありませんが、その下の主査でも管理職であることには違いありません。

何が言いたいのかというと、私の会社には一技術者としてキャリアを積んでゆくという道がないのです。経理や法務など、特殊な知識が必要とされる部門であれば、ある意味スペシャリストになれるのかもしれませんが、少なくとも私が所属している法人営業系の部門では、そのような道はないように見えます。そのようなポジションはありませんし、管理者の人のそれまでのキャリアと、管理者の人の管理対象業務とが一致していないことも少なくありません。
＃研究開発部門であれば、そのような道もあるようですが。

管理人は、はっきり言って管理職には興味がありません。
人を管理するというのは確かに重要な業務ですが、100人社員が居たら全員が管理者でなければならないかといえば、決してそんなことはないと思います。管理者は、管理者としての適正があり、その仕事に情熱を注ぐことができる人がやればいいと思っていますが、特定の分野のスペシャリストが居てもいいのではないかと思っています。

セキュリティは幅広く、管理人もまだまだ修行が足りないと思うことがよくあります。少なくとも管理人が現役で居る間は、多少の流行り廃りはあるかもしれませんが、セキュリティ関連ビジネスが市場から消えてなくなってしまうことはないでしょう。セキュリティは概念なので、システムで利用される技術がいくら進歩しても関係ありませんし、セキュリティ自体はいたちごっこですし...

管理人の会社であえてスペシャリストを目指そうとするならば、一担当者に意識的にとどまりつつ(昇進すると自動的に管理者系に進むため)、事あるごとに自分のやりたい事を主張して、そのラインから人事的に外されないようにする(それでも外される場合はあるでしょうが)しかないと思いますが、なんとかならないのでしょうか？

世の中のほかの会社はどうなのでしょうか？
特定の分野にとんがった人材が、その価値を認められつつ、その長所を最大限に生かして仕事をすることができるのが普通なのでしょうか？それとも、それはとても幸せなレアケースなのでしょうか？

珍しく愚痴になってしまいました(笑

2007 02 05 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年01月23日

JREを更新したら*必ず*古いバージョンを消すこと！

SANS Internet Storm Centerに掲載されていたAdrien de Beaupré氏のDiaryより。

As new versions of the Sun Java JRE keep coming out to address security vulnerabilities do NOT forget to remove the old versions. It is possible that you may be running Java code in your applications that absolutely require a specific version of the JRE to run, update the applications and then update the JRE, and then remove the old JRE versions. Why? A Java applet can request which version of JRE it wishes to use, that's why.

-----------

(管理人意訳)
Sun Java JREにセキュリティ上の脆弱性が発見され、新しいバージョンが次々と公開されているが、過去のバージョンを削除することを絶対に忘れないように！もし動作環境としてある特定のバージョンのJREを必要とするJavaコードを利用しているのであれば、まずそのアプリーションを更新し、次にJREを更新し、それから古いJREを削除することをお勧めする。なぜかって？Javaアプレットが、利用した任意のバージョンのJREを指定することができるからだ。

いやぁ、これは知りませんでしたね。
自分のPCで、過去のJREがてんこ盛だった理由がわかりました(削除はしていましたが)。
更新版を入れると過去のバージョンは自動的に削除される製品が多い中、JREはちょっと特殊
なので、注意する必要がありますね。

文中にも書かれているように、特定のバージョンのJREを動作環境として要求するアプレットへ
の配慮なのでしょうが、セキュリティ的にみると非常に恐ろしいことですね。更新版が入っている
にもかかわらず、脅威が依然として存在していることになるわけですから....

アンインストールやJREの既知の脆弱性に関する情報などが元記事にリンクとしてまとめられて
いるので、該当する人は要確認です。

2007 01 23 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年01月22日

MLの登録購読を解除したければ$1よこせ！というspam

ロシア発のspamで、いきなりメールを送りつけてきて、

登録を解除したければ$1よこせ！

というものがある模様。こちらに実物の画像付きで詳細が報告されています。

古くからある紳士録詐欺のオンライン版のようなものですが、よくやるなぁというのが
正直な印象です。

というのも、リンク先を見ればわかるのですが、振込先として指定されているのがオンライン決済
で、その受取人のIDが書かれているんですよね....電話番号も出ていますし。

日本だったらあっという間に逮捕されそうな気がするのですが(されないのか？)、そこはさすが
ロシアというべきでしょうか。

2007 01 22 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年12月08日

MIMEを悪用→アンチウイルスソフトのすり抜けが可能？

最近RSSで購読しているSANSのInternet Storm Centerに掲載されていた記事より。
＃これ自体が別のblogからの引用を含んでいます。

記事によると、メールソフトウェアとアンチウイルスソフトウェアとの間で、MIMEの解釈に違い
があるため、これを悪用すると、アンチウイルスソフトウェアに気がつかれることがなく、
メールソフトウェアに対して不正なファイルを送り込むことが可能になる模様です。

全文訳は以下のとおり。
＃SANS様、トラックバックできませんが、引用をご容赦くださいm(__)m

続きを読む "MIMEを悪用→アンチウイルスソフトのすり抜けが可能？"

2006 12 08 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年11月24日

Norton 360パブリックベータが公開

ようやくとういべきか、Symantecより次世代セキュリティスィートのNorton 360のパブリックベータ
が公開されました。

Norton 360の主な機能として、

* 電子メールやIMからのウイルスの除去
* 入口でのインターネットワームのブロック
* スパイウェアを停止して、オンラインでトラックされないようにする
* 主要なショッピング/バンキングWebサイトの認証
* 個人情報を盗むことを目的に設計されたフィッシングサイトからの保護
* 新しいファイルの発見と、その自動的なバックアップ
* 重要なファイルを自動的に安全なオンラインストレージにバックアップ
* CDやDVD、外部ディスクへのローカルバックアップ
* PCのパフォーマンスを落とす各種ファイルを自動的に削除

が挙げられていますが、管理人が特に注目しているのが、オンラインストレージです。

続きを読む "Norton 360パブリックベータが公開"

2006 11 24 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年11月09日

セキュリティ関連の研修で悩んでいる人へ

管理人の所属する会社の業績はなかなか好調で、「行きたい研修があればいうがよい」という
ありがたいお達しがありました。

管理人の担務はセキュリティ関連なので、そちら方面でいい研修がないか一生懸命探したの
ですが、心の琴線に響く研修がどうしても見つからない....と思っていたのですが、意外な所で
素晴らしい講師群による研修を発見しました。

以下がその一例です。
----------------------------------------------------------------------
講座名 : 不正アクセス調査技法
講師 : 伊原 秀明 (ネットエージェント取締役)
定員 : 10名
費用 : 3,9万円 (2日間)
----------------------------------------------------------------------
講座名 : ネットワークセキュリティの現状と不正侵入検知
講師 : 園田 道夫 (セキュリティコンサルタント)
定員 : 10名
費用 : 3,9万円 (2日間)
----------------------------------------------------------------------

魅力的な講座、一流の講師、少ない定員、格安といっていい費用、どれをとっても文句の
つけようがありません。というか、むしろ信じられない内容で、この設定であれば、自腹で
受けに行ってもいいんじゃないかと思わせるほどです。

いったいこれだけの研修を誰が開催しているのでしょうか？

続きを読む "セキュリティ関連の研修で悩んでいる人へ"

2006 11 09 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年11月01日

Norton360(Genesis)ベータテスト開始

というわけで、本日SymantecよりNorton360のベータテストの招待が来ました。

管理人はもともとベータテスタに登録していましたが、Norton360のテスターに応募していれば、
この時点でベータテスタとして登録することになる模様です。

添付のドキュメントに掲載されている既知の問題は、次の通り。

続きを読む "Norton360(Genesis)ベータテスト開始"

2006 11 01 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年10月18日

運び屋

ITmediaの"「運び屋」――フィッシングの隠れた側面"という記事なんですが、これははっきり言って
目から鱗でした。

冷静に考えれば当然なんですが、詐欺師がいかに大量のクレジットカード番号やオンライン
バンキングのアカウントを盗み出したところで、それをそのまま自分の口座に持ってきたら
そりゃ足がつきますよね。

そこでマネーロンダリングの登場なんですが、まさかそこまでだまされた一般の人々が
やっているとは思いませんでした。ある意味、犯罪を犯罪として完結させるために必要
なプロセスであることはわかりますが、全く意識していませんでしたね....

パチンコの打ち子や出会い系のサクラなど、怪しげなバイトは日本でもありますが、
それ自身はおそらく犯罪ではないと思います。ですが、これは完全に手が後ろに
回りますよね。マネーロンダリングの片棒を担いでいるわけですから....

2006 10 18 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年10月03日

Norton 360のベータユーザ事前登録

Symantec社の次期セキュリティ製品のNorton360のベータテストの事前登録が行われて
います。とはいっても、登録先は本国のSymantecなので、本当に参加できるかどうかは
わかりませんが、興味がある方は登録しておいても損はないのではないでしょうか。

Norton 360 Beta Pre-Register - Symantec Corp

2006 10 03 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年09月19日

P2PのeDonkey、閉鎖へ

ITmediaの記事で知ったのですが、P2Pネットワークとして日本でもそれなりに知られていた
eDonkeyが閉鎖に追い込まれた模様です。

続きを読む "P2PのeDonkey、閉鎖へ"

2006 09 19 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年08月08日

AOL、無料のウイルス対策ソフトウェアを提供開始

CNETの記事より。

無料のウイルス対策ソフトウェアがこれまでに存在していなかったわけではありませんが、
AOLが提供する、このActive Virus Shieldは一味違うようです。

続きを読む "AOL、無料のウイルス対策ソフトウェアを提供開始"

2006 08 08 | この記事へのリンク | この記事へのコメント (0) | トラックバック (1)

2006年08月03日

ApacheにXSSの脆弱性

あまり聞いたことがないHTTP Expectリクエストヘッダの処理に脆弱性があるとのこと。
詳細についてはここら辺を参照。

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3918
http://www.frsirt.com/english/advisories/2006/2963
http://www-1.ibm.com/support/docview.wss?uid=swg1PK24631
http://secunia.com/advisories/21172/

Secuniaには、脆弱性の有無をチェックするページも用意されています。

http://secunia.com/expect_header_cross-site_scripting_vulnerability_test

結果が出るまでにかなり時間がかかるので(管理人の試した限りでは5～6分)、気長に待つ
必要があります。ちなみに、管理人の環境では以下の1行をhttpd.confに追加したら、
上記ページで脆弱性がふさがったことを確認できました。

ErrorDocument 417 "Don't Trick on me!"

417のエラードキュメントが明示的に指定されていない場合、動的にエラードキュメントが
作成されます。その過程に脆弱性があるのですが、明示的にエラードキュメントを指定すれば、
回避することができるということになります。

もちろんApache本体を最新バージョンにすることでも回避可能ですが、本格稼働中のサーバは
バージョンアップできない方が普通なので、このような対策が必要になる場合もあるでしょう。

2006 08 03 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年07月28日

セキュリーマン検定

日立システム情報セキュリティブログより。

やってみた結果は....

続きを読む "セキュリーマン検定"

2006 07 28 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年07月23日

75%程度危険なプログラムを検出するソフト

一般的なアンチウイルスソフトウェアは、基本的に"パターンファイル"もしくは"定義ファイル"
と呼ばれる、既知のウイルスの特徴を詰め込んだデータベースを利用してウイルスの検知を
行います。これは既知のウイルスであれば100%間違いなく検知できる手法ですが、逆に
未知のウイルスに対しては全く無力なのが特徴です。

その問題を解決するために開発された検知技術が"アノーマリ検知"もしくは"アノマリ検知"
で、こちらはシステムの正常な状態を覚えておいて、そこから大きく逸脱する事態が発生した
場合に、ウイルスの発生などが起こったと想定するものです。

現在利用されているアンチウイルスソフトの大部分は、パターンファイルによる検出を基礎とし、
それを補完する形でアノーマリ検知が導入されていますが、今回このアノーマリ検知のみを
突き詰めた珍しい製品が登場しました。

続きを読む "75%程度危険なプログラムを検出するソフト"

2006 07 23 | この記事へのリンク | この記事へのコメント (1) | トラックバック (0)

2006年07月07日

KeePassでパスワード管理

最近管理人が会社で利用している、お気に入りのパスワード管理ソフトです。
この手のソフトはまだメジャーになっていませんが、特に会社で複数の社内システムを
利用している方にはお勧めです。

続きを読む "KeePassでパスワード管理"

2006 07 07 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年07月03日

Windows版Nessusの利用方法

表記のコンテンツを当Webサイトにて公開しました。こちらから閲覧できます。

意外とWindows版のNessusについての記事は少ないようですが、非常に有用なツールなので、多くの
人に知ってもらえればうれしいです。

2006 07 03 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年06月21日

[続き] Winnyの通信をIPSで止めるデモ？

2台のノートPCの間にProventiaを挟み込む形でデモ環境の構築をしているんですが、普通の通信は
抜けるのにWinnyはまったくやる気なし....

原因は意外なところにありました。

続きを読む "[続き] Winnyの通信をIPSで止めるデモ？"

2006 06 21 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年06月20日

Symantecのベータテスタ募集サイト発見

とある情報を求めてSymantecのWebサイトを放浪していたときに発見しました。

続きを読む "Symantecのベータテスタ募集サイト発見"

2006 06 20 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年06月15日

世界を翔る日本の技術者

今月のマイクロソフトのWindows Updateの詳細を見ていて気が付いたのですが...
日本の(おそらく)個人の方が報告した脆弱性のパッチが出ているのですね。

日本のマイクロソフト :
　　MS06-021 の問題を報告してくださった 星屑|スターダスト 氏

米国のマイクロソフト :
　　hoshikuzu star_dust for reporting an issue described in MS06-021.

こんな日本人もいらっしゃるんですねぇ。

2006 06 15 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年06月13日

テクニカルエンジニア(情報セキュリティ)合格！

なんとか合格していました。

受験番号 SV218 - 0xxx の方は，合格です。

午前試験のスコアは，715 点です。
午後I試験のスコアは，650 点です。
午後II試験のスコアは，600 点です。

でも、午後IIはぎりぎりだったようです。

# 合格基準は，午前，午後I，午後II試験のいずれも600点です。
# 午前，午後I，午後II試験のすべてが合格基準を満たす場合，合格となります。
# 午前試験のスコアが600点以上でない方の午後I，午後II試験のスコアは表示されません。
# 午後I試験のスコアが600点以上でない方の午後II試験のスコアは表示されません。
# スコアの範囲は，最低200点～最高800点です。

なにはともあれ、よかったよかった。

2006 06 13 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年06月05日

Winnyの通信をIPSで止めるデモ？

営業部門から連絡があり、セキュリティの専門家が集まる場ではない所で、
ISSのIPSであるProventiaのデモをすることになりました。デモをするという
ことで、当然ではありますが、

ほらほら、Proventiaならこんな通信を止めることができるんですよ！

というのを見せて、相手の購買意欲をあおる必要があるのですが、その対象
として営業部門が指定してきたのが....Winnyでした。

いや、目の付けどころはいいと思いますよ。セキュリティに詳しくない人で
あっても、パソコンをネットワークに接続して利用している人であれば一度
は聞いたことはあるでしょうし、カミングアウトはしないでしょうが、利用
している人だっているでしょう。

しかし、しかしですよ、

検証用PC --- Proventia M10 --- 検証用PC
この構成でWinnyを動作させることができるのでしょうか？

まだ差し迫っていないので、すぐに着手しなければならないわけではありま
せんが、とりあえずやってみます...orz
＃初期ノード？何それ....

2006 06 05 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年06月02日

Microsoft Defender 日本語版ベータ2公開

昨日公開されたようです(製品URLはこちら)。

実際に導入してみてスキャンしてみたところ、スキャン自体は正常に終了しました。
が、オプション機能の"ソフトウェアエクスプローラ"を起動してみたら...

あっ、怪しいソフトが！！！！！

"新注音"ってなんですか？？？？
説明にある"微軟新注音輸入法 2002a"も意味不明ですし...
パスをみるとMSのIME関連のようですが、全く身に覚えがありません

アンインストールしてやろうか.....

2006 06 02 | この記事へのリンク | この記事へのコメント (1) | トラックバック (0)

2006年05月29日

Windows Vista向けアンチウイルスソフト

早くも...と言うべきか、Windows VistaのBeta2向けのアンチウイルスソフトがCA
から公開されています。

Vista Beta2のユーザであれば、1年間無償で利用できる模様なので、評価中の
方は、速やかに導入しておくといいでしょう。登録はこちらから。

管理人は、Vista Beta2が一般公開されたすぐに入手して評価したい(=人柱になりたい)
と思っていますが、MSDNを購読していないので、現時点では入手できていません。

ちなみに、上記アンチウイルスソフトはあくまで英語版のBeta2向けのものだと思われる
ので、日本語版に導入した際の動作は保証の限りではありませんので、あしからず。
＃95%は正常に動作すると思っていますが....

2006 05 29 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年05月26日

Symantec Antivirus Ver.10に致命的な脆弱性

日本ではまだ話題になっていませんが、Symantec Antivirus Ver.10.0に致命的な
脆弱性が発見されたようです。

Symantec Anti-Virus Vulnerability (eEye)
Symantec AntiVirus Worm Hole Puts Millions at Risk (eWeek.com)
Flaw Found In Symantec Antivirus, Hackers Say (newsnet5.com)

以下、eWeek.comの記事から一部引用。

Researchers at eEye Digital Security, the company that discovered the flaw,
said it could be exploited by remote hackers to take complete control of the
target machine "without any user action."

"ユーザの干渉なしに"クラッカーがリモートのマシンを乗っ取ることが可能と
解説されており、もし本当なら最悪の部類に属する大問題です。

Symantecにはすでに通知が行っており、現在確認中との事ですが、以降注目
して観察してゆきたいと思います。

2006 05 26 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年05月25日

Wordの脆弱性に対処する「非公式フィックス」

CNET Japanの記事より。

以前、WindowsのWMFファイル形式のファイルを扱う際に発生する脆弱性が露見した際に
非公式パッチが出て話題になりましたが、Wordでそれと同じものが出るとは思っていま
せんでした。

WMFファイルの場合は、Windowsそのものの脆弱性でわからなくもありませんが、普及率
が異常に高いとはいえ、一ベンダのワードプロセッサ製品に対してまで、サードパーティー
が非公式パッチを公開するとは、ある意味世も末だと思いました。

まぁ、今回公開されたものは、Wordからレジストリを変更できないような状態にする
スクリプトの模様なので、適用しても問題はなさそうですが、それでも躊躇してしまいます。

いっそのこと、昨日公開されたOffce 2007 Beta2でも入れてやるか....
＃でも、会社の端末では出来ませんね(哀

2006 05 25 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年05月24日

MBSDが侵入防止システムの新版を発売，「トラフィックの変化から異常を検出」

IT Proの記事より。
モノはSourcefire社のアプライアンスのようです。

Sourcefire製ということで、当然Snortがエンジンかと思いきや、Nessusのエンジン
まで搭載しているようで、かなりパワーアップがされているようです。

注目すべき点は、タイトルからわかるように、今回発表された製品が非常に珍しい
アノーマリ検知型のNIDSという点です。

通常のNIDSは、アンチウイルスソフトウェアと同様に、既知の攻撃をデータベース
として持っており(シグネチャと呼ばれます)、それを利用して攻撃の検知を行います。
つまり、未知の攻撃についてはまったく無力なのが特徴です。

これに対し、"アノーマリ検知"という検知方式では、"正常な"状態を記憶しておき、
その状態から大きく逸脱する状態の発生を異常事態として検知します。

これは、特に未知の攻撃やDoS/DDoS攻撃の検知に非常に有効な技術ですが、
何を持って"正常な"状態とするかが非常に難しく、商用/フリーを問わずに、アノー
マリ検知を行うNIDSはほとんど存在していないのが実情でした。
＃管理人が知る限りでは、過去に沖電気がEMERALDというNIDSを販売していた
＃くらいです。

ということで、管理人的にこの製品は要チェック製品だと思っています。

2006 05 24 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年05月23日

ホスト型IPS?

本日、とあるところでISSがホスト型IPS製品を出荷したというプレスを見ました。
＃どこかはすでに忘れてしまいました(w

IPSはIDSの進化形な訳で(正確に言えば、インライン型IDSの発展形)、IDSにホスト型と
ネットワーク型があるのであれば、IPSにもホスト型IPSがあってもおかしくはありません。
＃市場に存在しているほぼすべてのIPSは、言うまでもなくネットワーク型です。

考えてみたら、何で今までこの手の製品が出荷されていなったのだろう...と思って検索
してみたら、MacafeeからHost Intrusion Preventionという製品が出ていたようですね。

もちろん、IDSやIPSがアプライアンスの方向に流れていて、守るべき対象に直接導入
するタイプのIDS/IPSがはやっていないのは重々承知していますが、なぜ今あえてホ
スト型のIPSなのか、ISSに聞いてみたい気がします。

2006 05 23 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年05月19日

Ebayのフィッシングメール捕獲

久々にThunderbirdのスパムフィルタを潜り抜けたフィッシングメールを捕獲しました。
以下がそのメール本体です。

ありがちな、"アカウントが一時的にサスペンドされたので、再度アクティベートしてね"
系の内容になっていますが、クリックできるリンクがすべて同一URLと、手抜きを感じる
フィッシングメールです。メール自体はEbayからのものに見えなくもありませんが、
Thunderbirdに検知されている時点でNGですね。

このようなメールを出す人は、検証ということはしないのでしょうか？
URLをクリックしてみようとしたら、Thunderbirdが警告を出してくれました。

そして、警告を無視して進むと、こんなページが表示されました。

リンクはすべて本物のEbay行きになっていましたが、URLがそのままブラウザに
表示されています。これでは引っかかる人も少ないのではないかな...と思いますが、
これでも引っかかる人は引っかかるんでしょうね。

ところで、仕掛け人はEbayのアカウントを盗んで何がうれしいのでしょうか？
オンラインバンキングのフィッシングであればお金に直結しますが、Ebayのアカウント
を盗んだところで、直接お金には結び付けにくいような気がするのですが....

からくりを知っている人がいたら教えてください...m(__)m

2006 05 19 | この記事へのリンク | この記事へのコメント (2) | トラックバック (0)

2006年05月18日

VeriSign、GeoTrustを買収

ITmediaでこの記事を目にしました。
多くの人にとってはマイナーなニュースかもしれませんが、管理人にとってはかなり
衝撃的なニュースでした。

管理人は昔電子認証関連の担当に事実上なっていた時期があり(担当としてはEC
担当にいたのですが、SEとして案件対応できる人が他に存在しなかったため)、
その関係で日本ベリサインとはお付き合いがありました。
＃実は日本ベリサインに誘われたこともあります。
＃履歴書を出せば移籍できる所まで話は進んだのですが、諸事情によりポシャり
＃ました...orz

当時は電子証明書を提供する事業者としてはVesiginとGeotrustが絶対的な二強
で、前者が民需系、後者が公共系に強かったと記憶しています
＃日本国内ではほとんど日本ベリサインの独占状態だったと思います。

同一業種の協業他者でありながら、お互いにぶつかり合うところはあまりなく、
かつ業界としての将来性も十二分にあった当時は、この二社がくっつくなんてこと
は想像する事もできませんでした。

現在では電子認証も様々な事業者が提供するようになりました。
Verisignは、これまでの実績ということもあり、ある意味では絶対的な強者では
あり続けているものの、電子認証自体の普及が思ったほど進んでおらず、株価も
低迷気味です。

管理人はこの分野に今でも注目しているのですが、今後どうなるのでしょうか？
個人的には、ICカードの普及や世間的なセキュリティ意識の高まり、通信の秘密
の保護などがあるため、これから電子認証が爆発的に普及する可能性は十二分
にあると思っています。しかし、仕組みが非常に複雑なのは、管理人がはじめて
電子認証に触れた7年前位前から全く変わっていないので、

"人間の目に触れないところで静かに、でも爆発的に普及が進む"

というのが、一番ありえるシナリオじゃないかなぁと思っています。

2006 05 18 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年05月15日

国内企業の90％以上がウイルス対策導入済み、その他セキュリティは不十分

本日付のEnterprise Watchより。

IDCジャパンの調査によると、90%以上の企業はウイルス対策を導入しているものの、
それ以外の対策についてはまだまだという結果が出たそうです。

グラフを見ると一目瞭然ですが、たとえ中小までを含めるとしても、ファイアウォール
すら導入していない企業が3割以上あるというのは信じがたいです。そのほかの対策
についてはまぁ納得ができる範囲ですが....

筆者は仕事柄IDSやIPSの動向を注意してみていますが、こうしてみているとIDS/IPS
の普及はまだまだなんだなぁと言うことを思い知らされます。それがビジネスチャンス
があるということを意味するのか、それとも単純に必要とされていないのか、どちら
なのかを判断することはできませんが....

2006 05 15 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年04月25日

日本スケート連盟元会長、資金９００万流用か

なんだかセキュリティに全然関係がないタイトルですが、とりあえずこちらを見てください。

http://headlines.yahoo.co.jp/hl?a=20060425-00000301-yom-soci

なんと、いわゆる「ナイジェリアの手紙」と呼ばれる詐欺にはまっていたようです。

ここを読まれているような方であれば、決してこんなばかげた詐欺には引っかからないと思いますが、
世の中にはやっぱり引っかかる人が居るんだなぁと改めて思い知らされました。

"インターネットによる取引話"と書かれているので、おそらく「ナイジェリアの手紙」を電子メールで
久永会長が受け取ったのでしょう。言うまでもありませんが、電子メールの送信者が、そのメールの
中で名乗っている人物と本当に一致している限りません。とりあえず全てを疑ってかからなくちゃ
いけないという事ですね。

最近何かと話題の日本スケート連盟でしたが、まさかこんな幕引きが待っていたとは....

2006 04 25 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年04月24日

Winnyにバッファオーバーフローの脆弱性

ちょっと遅れましたが....
とりあえず関連リンク。

Winny（ウィニー）の安全上の問題箇所（脆弱性）の公表について(IPA)
Winny におけるバッファオーバーフローの脆弱性(JVN)
Winnyにバッファオーバーフローの脆弱性(Slast Dot)
Winnyにバッファオーバーフローの脆弱性、回避策は「Winny利用の中止」(Internet Watch)
Winnyのセキュリティ・ホールは危険」，発見者が警告(IT Pro)
Winnyの脆弱性は深刻、リモートからのコード実行につながる(IT Media)

Winnyの開発者である金子氏は、"任意のコードの実行は無理だと思っている"とIPAに書いていますが、
eEyeのアドバイザリでは"容易に"リモートから任意のコードを実行可能である事を確認したともあります。

こういう場合は悪いほうの情報を信じて行動するべきでしょうから、(もちろんそもそも利用すべきものでは
ありませんが)Winnyを利用しているのであれば、即刻利用を停止するべきでしょう。
ネットワーク管理者であるならば、IPAで紹介されているツールを利用して利用状況を把握すると同時に、
強制的にでも利用を停止するべきでしょう。

個人的な見解ですが、Winnyは日本独自の、それも一部の人のみが利用するアプリケーションであるため、
ウイルスに対するSymantecなどのアンチウイルスソフトウェアベンダの対応が遅い気がします。
＃基本的に彼らは外資ですし、ワールドワイドで見ていますから。

このため、特にWinnyについては自衛手段を講じることが重要だと思います。

2006 04 24 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年04月19日

テクニカルエンジニア(情報セキュリティ)の午後問題

解答サンプルが各所に掲載され始めました。

アイテック
TAC (午後I)

解答がみんな違う....orz
管理人の答えは70%位はあってそうな雰囲気なんですが、70%か80%かは激しく違います。
やっぱり本家の解答を待つしかないのでしょうか....
＃5末くらいのようなんですが(^^;

2006 04 19 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年04月17日

テクニカルエンジニア(情報セキュリティ)を受けてきました

管理人は資格は嫌いじゃありません。
批判的な方も居ますが、自分の努力目標を設定するという意味では、意味があることだと思っています。
ということで、今回が初めてとなるテクニカルエンジニア(情報セキュリティ)を受けていきました。
＃大抵初回は合格率が若干高めですしね。

会場は大東文化大学(都営三田線の西台駅から徒歩十分)で、数分遅刻してしまいました(^^;
感触としては、午前はバッチリ、午後は少々怪しい...という感じでしょうか。
すべての欄は埋めましたが、出題者の意図が読めない問題が多かった気がします。
というか、表現した稲用を表現するには文字数が足りなかったり、複数の回答が想定されたりする
ものがあったり、状況設定が不足していると思われるものがあったり...
＃管理人の読解力に問題があるのかもしれませんが...

帰ってきてアイテックの解答速報を参考に自己採点したところ、46/55で正答率83.63%。
とりあえず午前は合格ラインだと思われます。
各所の情報によると、本日中に情報処理技術者試験センターからも解答例が出るようなので、
出たら再度チェックですね。

問題は午後なんですが、今のところ解答例は見つかっていません。
前述のアイテックが4/19から順次掲載するようなので、そちらを待つことになると思います。

2006 04 17 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年04月14日

Microsoftの「Windows Defender」ベータ版、日本語版もうすぐリリース

Internet Watchより。

SymantecやTrendmicroもこれで安穏としていられなくなるのでしょうか。
とりあえずβ版の時点では無料ですが、製品版も無料だったらかなりのインパクトですね。
＃もし本当にそうなったら、またマイクロソフトが訴えられるのでしょうが...

2006 04 14 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年04月11日

「山田オルタネイティブ」の動作を知る

とりあえずセキュリティ関連をやる人は見ておくといいでしょう。

2006 04 11 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年04月07日

Chaseのフィッシングメール

久しぶりにフィッシングメールを捕獲したので、記念にアップ。

出来は非常に稚拙で、リンク先が本物とは全く違うので一目瞭然です。
こんなのでも引っかかる人がいるから送るんでしょうけれども....

2006 04 07 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年04月06日

Snortベースのセキュリティアプライアンス登場

海外製ではSourcefire社の製品がありましたが(もっとも、Sourcefire社にはSnortの
開発者がいるので、少々事情は異なりますが)、管理人が知る限りで純国産の製品
は初めてだと思います。

製品情報はこちら。

また、アプライアンスという意味だけではなく、SnortというオープンソースのIDSをベンダが
正式にサポートするということも、おそらく国内初なのではないでしょうか。

時間がないのでとりあえずここまで。

2006 04 06 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年04月05日

山田オルタナティブ

いまさら感もありますが、とりあえず忘れちゃいけないので。

恥ずかしながら、名前は知っていながら管理人は動きを知りませんでした。
知ろうと思ったのは、朝日新聞に山田オルタナティブが掲載されたときです。

"さすがにこれは知っておかなくてはまずいだろう"

ということで色々見たんですが、一番よくわかったのがここでした。
まぁ、自宅環境はブロードバンドルータが入っているので、あの仕組みであれば
感染してもさらされることはなさそうですが。
＃生々しい声もありましたし。

2006 04 05 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年04月04日

韓国で771万人個人情報流出

めったに見ない東京新聞の記事なんですが、豪快ですね(笑

日本で最大規模の個人情報漏えいは、おそらくYahoo!BBの451万件だと思いますが、
それをはるかにしのぐ規模の情報漏えいです。

流出したのは韓国のプロバイダー大手四社の加入者情報ということですが、やや行き
過ぎの感がある日本の個人情報保護から見ると、別世界の出来事のようです。

ここまでおおらか?になる必要はありませんが、日本ももう少し多めに見てはいいのでは
ないかと思う場面もありますよね。

2006 04 04 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年03月31日

RealSecure Desktop Protector 評価版緊急配布

最近話題のMicrosoft IE での createTextRange() によるリモートからのコマンド実行の
攻撃コードの影響確認を目的として、現在ISSでRealSecure Desktop Protectorの評価版の
緊急配布を行っているようです。

身元も明らかですし、信頼できるものだと思われますので、適用が推奨されていない第三者
パッチを利用するぐらいならば、こちらを検討してみてもいいかもしれませんね。

ちなみに、4月30日まで試用可能なようです。

2006 03 31 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年03月29日

NTTデータ、元社員が業務受託銀行からカード情報を盗み3100万円引き出す

いや、これにはびっくりしました。
とりあえず関連URL

NTTデータのプレス
仙台銀行のプレス(PDF)
オリックスクレジットのプレス
この事件の/.のスレッド
IT Pro

これはよくあるセキュリティ事件とは全く性質が異なると感じました。
というのも、

　・「正当な」権限を持った現場の責任者による犯行であった。
　・そのような立場にあるにもかかわらず、技術的にも高いスキルを(おそらく)持っており、
　　自力でプログラムの改造→暗証番号の取り出しや、指紋認証装置のログ改ざんを行っていた。
　・更に、取得したデータから偽造カードを作成する技術(と設備)も有していた。

逆に、それだけのスキルを有していながら、解せないのは、

　・どうやら監視カメラに自分の姿が映っていたのは放置していたらしい(改ざんは難しそうだが)
　・仕込みが大変な割には、金額が3100万円と小さすぎる。取っているリスクに見合わない。

という点です。もっと何かをする予定だったのでしょうか。

「今回の事件は、金庫の番号を知っている人が金庫の中からお金を持っていったようなものだ」

とどこかのサイトに書かれていましたが、正当な権限を持った人が悪意を持ってシステムを利用しようと
するのを、検知したり防止したりするのが非常に困難であることが浮き彫りになったと言えるでしょう。

2006 03 29 | この記事へのリンク | この記事へのコメント (0) | トラックバック (1)

2006年03月28日

トレンドマイクロがWinny経由で営業資料を流出

Winny上で流通しているウイルスによる情報漏えいはすでに"日刊"化していますが、
とうとうセキュリティを生業とする会社から出ましたね....

該当社員はすでに"別の理由で"退社しているとの事ですが、内部で発覚した時点で
さすがにそのまま居続けるはできませんよね。まさに"紺屋の白袴"ですし。

しかし、結果的にではありますが、わずか4日前に

なぜWinnyによる情報流出が突然話題になったのか ～「ウイルスバスター」のトレンドマイクロに聞く

という記事がデジタルARENAに掲載されているのが皮肉としか言いようがありません。
内容は非常にまっとうなんですけれどもね....

2006 03 28 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2005年10月29日

ClamAV 0.86.2 -> 0.87

ずっと前からこんなエラーが出ていましたが、

> WARNING: Local version: 0.86.2 Recommended version: 0.87: 859 Time(s)
> WARNING: Your ClamAV installation is OUTDATED!: 1847 Time(s)
> freshclam daemon 0.86rc1 (OS: linux-gnu, ARCH: i386, CPU: i686): 1 Time(s)
> DON'T PANIC! Read http://www.clamav.net/faq.html: 1847 Time(s)
> Giving up on database.clamav.net...: 100 Time(s)
> WARNING: Current functionality level = 5, recommended = 6: 988 Time(s)

時間がなかったので無視していました(汗

今日時間ができたので、アップデートしました。
といってもとっても簡単で、ソースアーカイブをダウンロード/展開後、そのディレクトリに移動して

% ./configure
% make
% su -
% cd /path/to/src/dir
% make install
% /etc/rc.d/init.d/clamd restart

としただけです。

これで何も文句を言ってこないので、とりあえず動いているようです。

2005 10 29 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2005年09月23日

ClamAVアップデート

以前雑誌の記事執筆の関係で導入した、オープンソースのアンチウイルスソフトの
ClamAV(http://www.clamav.net/)が、数日前から

> WARNING: Your ClamAV installation is OUTDATED!
> DON'T PANIC! Read http://www.clamav.net/faq.html

こんなエラーを吐きまくっていたので、最新版にアップデートしました。
手順は簡単で、/usr/local/lib/*clam*を削除してから、./configure -
make - make installするだけでした。

これでとりあえずうまく動いているようです。

続きを読む "ClamAVアップデート"

2005 09 23 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2005年07月22日

添付ファイルを暗号化するパスワード

管理人はSEとして働いており、社内の別部門や外部とファイルのやり取りを
行うことも少なくありません。

以前は特にセキュリティ対策を意識せずにそのまま添付していましたが、
情報漏えいの関係などもあり、特に外部とファイルのやり取りを行う際には、
ほぼ間違いなくパスワードによる暗号化をするようになりました。

しかし、暗号化が儀式のようになっており、実際にはほとんど意味を成して
いない場合も少なくありません。

----------------------------------------------------------------------

実例 1 : 「それじゃあ意味がないよ...」
　管理人と一緒に仕事をしている人なんですが、自己解凍型のファイルにパス
　ワードでガードをかけるのはいいのですが、その直後のメールに平文で

　「パスワードはxxxxです。」

　と書いて送るんですよね....
　盗聴されていたら意味がないって....

----------------------------------------------------------------------

実例 2 : 「上手の手から水がこぼれる？」
　某有名セキュリティ専業とファイルをやり取りする際には、当然のごとく
　暗号化zipでパスワードをかけます。でも、

　「パスワードは弊社のxx部門の代表番号です」

　ということが少なくありません。
　確かに特定部門の代表番号であれば、関係者以外では知り得ない情報では
　ありますので(絶対に知り得ないというほどでもありませんが)、暗号化の
　パスワードにするにはもってこいなのかもしれません。しかし、電話番号
　であるとわかっただけで、

　・必ず0-9の数字によってのみ構成され、記号や英字は入らない
　・最初の数桁は、その部門の所在地さえわかればある程度推測できる

　という特徴を持っているため、BruteForce攻撃(総当り攻撃)で簡単に解析
　できてしまいます。私はその代表番号は知りませんでしたが、所在地が
　東京であることは知っていたので、10分程度でパスワードを当てることが
　できました(Pentium3のNotePCを利用)。
　所在地がわからなくとも、パワフルなマシンを複数台用意できれば、
　現実的な時間で10桁の数値を総当りすることは簡単にできるでしょう。

----------------------------------------------------------------------

パスワードをかけよう！という心がけ事態は素晴らしいと思いますが、中身が
伴っていないと意味がありません。

皆さんも注意してください。

2005 07 22 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2005年03月31日

Telnetクライアントに脆弱性

　Bagtraqで話題になっていましたが、幅広いOSのTelnetクライアントに
脆弱性が存在するようです。実際に突っついた人の話が出ていましたが、
簡単にできるようですね。

　一昔前のSolarisだとTelnetがデフォルトで動いているので、内部から
だと簡単にやられてしまいそうです。盗聴の問題もあるし、そろそろ
Telnetは撲滅されてもいいと思うのですが....

2005 03 31 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2005年03月29日

Website Expert発売！

　本日からWebsite Exptertの第2号が店頭に並んでいます。

　前号とおなじく、この号の関東レポートの翻訳を管理人がしています。美術館
のWebマスターへのインタビューの記事なんですが、これが大変でした。何しろ
管理人は芸術とは程遠い位置にいる人間なので、登場する美術館の名称とか
巨匠の名前とかがぜんぜんわかりません...

　偶然というべきか、うちの奥様がその方面に興味があって多少助けられはしま
したが、とにかく翻訳以外の部分で色々と苦労しました。終わった今となっては
面白かったという印象しか残っていませんが(^^

　翻訳はまたやることになると思いますが、次は何か楽しみです。

2005 03 29 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2005年03月15日

UFJﾌｨｯｼﾝｸﾞﾒｲﾙｷﾀｰｰｰｰｰｰｰｰｰ！

話題のUFJのフィッシングメールが自宅のアカウントに届いていました。

あまりに稚拙なその内容にびっくりしましたが、逆にこんなんでも引っかかる
人っているんだろうな...と思うと、なんだか複雑な気持ちになりました。

しかし、UFJ側も、Webページに警告文載せてはいましたが、アカウントの
監視はしているんでしょうか？

例えば、同一IPアドレスから複数のアカウントでログインを試みるとか、
あからさまに怪しい挙動を監視することくらいは考えてもいいんじゃない
かと思いますが。

また、ISPと電話会社と警察が本気になれば、接続元を割り出すくらい
できるんじゃないかと思うんですが、やらないんですかねぇ。
＃もちろん、電話会社は警察の捜査令状がないと動きませんが....

2005 03 15 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2005年03月10日

ISSのSOCを見学した

　会社の仕事関係で、ISSという会社のSOC(Security Operation Center)を見学
してきました。

　ISSといえば、ネットワークセキュリティをかじったことがある人ならば誰でも
知っているビッグネームで、知名度は国内ではLACと二分している会社です。
もっとも、LACは日本ローカルな会社なので、グローバルなセキュリティ専業企業
としては、世界一の知名度と実績と実力を持つ企業といっても過言ではありません。
＃SymantecとかTrendmicroとかとはちょっとジャンルが違う会社です。
＃表現するのが難しいんですが....

　SOCは同社が販売する製品の遠隔監視を行う拠点なのですが、とにかくすごいです。
詳しくは書けませんが、環境も設備も中で働いている人も、とにかく一切の妥協が
ないんです。

　これだけの設備を打っていても、”それでも、最終的には人なんですよね”と
営業の方が話されていたのが印象的でした。

2005 03 10 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2005年03月09日

LAND攻撃再び

　セキュリティをちょっとでもかじったことがあることがある人であれば、LAND
攻撃という言葉を聞いた事があるのではないでしょうか。

　簡単に言えば、送信元IPアドレスと宛先IPアドレスに同一のIPをセットした、
通常ではありえない特殊なパケットをホストに送りつけることにより、そのホスト
を異常動作させることを目的とした攻撃手法のことです。

　攻撃手法としては初歩の初歩に属する非常に幼稚な攻撃で、現在のTCP/IP
の実装でそのような欠陥を持っているものは皆無だと思われていましたが、
なんと最新のパッチを適用することにより、LAND攻撃を可能にする脆弱性が
できてしまうことが判明したそうです。

　見る限りではDoS攻撃を成立させるだけなので、ウイルスやスパイウェアに
利用されることはまずないと思われますが、Windowsのサーバを立てている
人は対策しておいたほうがいいでしょう。
＃IPSでも入れないと対策できないと思いますが....

2005 03 09 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)