管理人のMonoblog　

2007年06月26日

iGoogleやWindows Liveのガジェットでウイルス検索

管理人の自宅もVistaになって、ガジェットが常駐する環境になりました。
しかし、実際に有効なガジェットはそれほど多くはなく、管理人が現在有効にしているのは
CPU/メモリメーターだけです。

しかし、このPanda Labsが提案している”ガジェットでウイルス検索”というのは中々いい
アイディアだと思います。アンチウイルスソフトウェアは常駐させていると明らかにシステムが
重くなりますが、怪しいWebサイトを巡回したり、ウイルス入りメールを頂戴するということが
なければ、リアルタイムスキャンを常に有効にしておく意味もかなり薄くなります。

ガジェットで利用できるということは、当然無料ということになりますし(ActiveXで動作するため
、対象OSはWindowsに限定されるようですが)、検出処理をサーバ側で実施するため、マシン
のパフォーマンスに与える影響も少ないようです。

管理人も実際に試して見ましたが、非常に軽快に動作しました。
あまり起動する機会がなく、アンチウイルスソフトを購入して導入するには惜しいマシンには
ちょうどいいのではないでしょうか。

2007 06 26 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年06月21日

Verisign / iDefenceによるMPackの解析情報

SANS Internet Storm Centerに掲載されているMPack Analysisという記事より。

Verisign / iDefenceから詳細な解析情報がリリースされた模様です。
インターネットには公開されていないけれども、SANSに全文の掲載許可が出たようで、詳細な
情報が載せられています。原文はこちらですが、英語に拒否反応を示す人のために以下に
翻訳しておきます。SANS様、Verisign様、お許しください

Greetings All,

MPackは、ロシアのアンダーグラウンドで販売されている最新、そして最強のツールです。$ashという人物が、およそ500～1,000ドルで販売しています。最近の投稿によると、$ashはローダーを300ドル、本体を1,000ドルで販売しようとしている模様です。開発者によると、攻撃の成功率は45～50%程度で、アニメーションカーソルの脆弱性をはじめとするおおくの脆弱性に対応しているとのこと。具体的には、MS06-014, MS06-006, MS06-044, XMLオーバーフロー, WebViewFolderIconオーバーフロー, WinZip ActiveXオーバーフロー, QuickTimeオーバーフローなどです (これらはすべて$ashが具体的に名前を挙げている脆弱性です)。 MPack、別名WebAttacke IIからの攻撃は、2006年10月から観測されており、公にされているある情報によると、現在観測されているWebの脆弱性を突いた攻撃のおよそ10%は、MPackによるものだそうです。

MPackの攻撃リストには1万以上のドメインが存在しています。特にイタリアでの攻撃で大きな成功を収めており、攻撃を受けたIPアドレスは、少なくとも8万はあると考えられています。どうやら、ホストプロバイダが持つcPanelの脆弱性を攻撃された結果、そのサーバにホストとしているドメインにiFrameが挿入された模様です。不正なiFrameが挿入された正規のページがロードされると、こっそりとMpackが作成したページに犠牲者をリダイレクトします。Mpackが生成したページはよく作りこまれていて、攻撃が成功するまで次々に様々な脆弱性を突き、成功したら攻撃者が選択した悪意のあるコードのインストールを行います。

Torpigというスパイウェアは、今のところ知られているMpackの攻撃に含まれるペイロードの一つです。このコードの背後にはRussian Business Network (RBN)が見え隠れしていますが、RBNは多くのインターネット経由の攻撃の攻撃元となっています。RBNは、ロシアのサンクトペテルブルグからの攻撃を覆い隠す仮想の安全な家となっており、Torpigやその他の悪意のあるコード、フィッシングや児童ポルノ、その他の不正なオペレーションなどを請け負っています。最近のMPackの攻撃先となっているドメインの多くを管理しているイタリアのホストは、クライアントのWeb管理ツールとしてcPanelを利用しています。cPanelへの0-Day攻撃が発生したのは2006年の秋で、大規模なVML攻撃の発端となりました。cPanelの攻撃コードを作成したStep57.infoというロシア人もまた、RBNを利用してイタリアのISPと関連ドメインを攻撃していました。これらのISPとドメインは、Mpackの攻撃先でもあります。

Mpackは、管理や攻撃状況をレポートするインターフェースとしてWebを利用します。最近の攻撃状況のスクリーンショットがJPEG形式でこのメッセージに添付されています。

引用

1. Mpackは強力なWeb攻撃ツールで、音もなくWebブラウザに対して攻撃を行う。その成功率は50%と主張している。

2. Mpackをアンダーグラウンドで販売しようとしている首謀者のロシア人の名前が$ashで、完全なMPackのキットの価格は約1,000ドル。

3. MPackは、脆弱性を抱えたコンピュータに感染するために、複数の脆弱性を洗練された方法で悪用する。最近発見されたアニメーションカーソル(ANI)の脆弱性からからQuickTimeの脆弱性まで、MPackは様々な脆弱性を幅広く悪用する。MPackの最新バージョンである.90では、以下の脆弱性の攻撃コードが含まれている。

MS06-014
MS06-006
MS06-044
MS06-071
MS06-057
WinZip ActiveXオーバーフロー
QuickTimeオーバーフロー
MS07-017

4. Russian Business Network (RBN)は、今日のインターネットにおいて最も悪名高い犯罪集団の一つである。最近のMPackの攻撃では、RBNのサーバに置かれている悪意のあるコードであるTorpigがインストールされている。RBNは、Step57.infoによるcPanelの脆弱性を突いた攻撃、VML、フィッシング、児童ポルノ、Torpig、Rustock、その他の今日行われている多くの犯罪的な攻撃などにも関与している。RBNが持つアドレスブロックからなにかいいものが出てきたことは、未だかつてない。

5. VeriSignとiDefenseが解析した攻撃ログファイルによると、MPackの攻撃の成功率は高い。わずか数時間の間に、2,000以上の新たな犠牲者がMPackの管理サーバに報告されている。イタリアをターゲットにした最近の攻撃では、8万以上のIPが攻撃を受けていた。

Ken Dunham
Senior Engineer
Director of the Rapid Response Team
VeriSign-iDefense
CISSP, GREM, GSEC, GCIH Gold Honors

クライアントから見れば直接の感染元はWebサーバになるわけですが、そのWebサーバも実は
被害者というところが新しいですね。攻撃に成功するまで次々と色々な脆弱性を突いてみると
いうのも、非常に理に適っています。

どこで見たか忘れましたが、MPackの管理画面のスクリーンショットの中に日本の国旗もあった
ので、既に日本でも感染しているサーバが相当数出ている模様です。

記事の中で取り上げられたcPanelは、日本語化されていて日本でも販売されているようなので、
こちらを利用している方は念のため注意しておいた方がいいでしょう。
＃もちろんそれ以外の人も、ですが...

2007 06 21 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年06月19日

MPACKが猛威を振るっている模様です

以前このBlogでも採り上げたMPACKが、色々なニュースサイトで話題になっています。

多数の脆弱性を使い分ける「MPACK」、各国で被害多発 (ITMedia)
大規模なウェブ攻撃「Mpack」が猛威--セキュリティ企業が注意を呼びかけ (CNET Japan)
Italy Under Attack: Mpack Gang Strikes Again! (Symantec Security Response Blog)
Massive MPACK Compromise (SANS)

また、Panda Labsが実施した詳細な調査結果がPDFで公開されています。

ざっと斜め読みしましたが、
　・PHPを利用して、クライアントOSを識別した上でOSに対応した脆弱性を突く
　・新しい脆弱性を追加することができる
　・(おそらく)毎月更新が行われている
　・集中管理ができるようになっている
　・一部のニュースサイトに張られている管理画面を見ると、日本もかなりやられている
といった所が注目すべき点でしょうか。
基本的に個人情報を盗むのが目的の模様です。

実際に値段が付けられて売られているわけですが、"いかに楽して個人情報を集めるのか"
という点に注力されているのがよくわかります。

昔みたいに、愉快犯的にウイルスをばら撒く輩はいなくなったのはそれはそれでありがたい
のですが、これはこれで怖いですね....

2007 06 19 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年06月15日

spam ≠ ham

スパムってハムだっけ？というCNET Japanのブログエントリを発見して読んだのですが、
自分が予想している内容とはまったく異なる内容でした。

意外と知られていないのかもしれませんが、メールサーバで利用するアンチスパムソフト
として著名なSpamAssassinでは、spamの反対の概念として、"ham"という言葉を
利用しています。

SpamAssassinに同梱されているベイジアンフィルタを学習させるsa-learnというツールが
あるのですがコマンドの引数として"--ham"を指定すると、"これから学習させるメールは
spamではない"という意味になります。

上記のようなことを踏まえて、きっと記事ではSpamAssassinのことが扱われているの
かな...と思って読んだら、見事に肩透かしでした....
勝手に内容を想像して読む私も悪いんですが(^^;

2007 06 15 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年05月23日

マルウェアのお値段

PandaLabs Blogの”Cybercrime... for sale (II)”という記事より。

このエントリの直前のDDoS攻撃をアウトソーシング...の続きで、今回はいわゆるマルウェアの
お値段について調査した結果です。

Keylogger Teller 2.0:
　典型的なキーロガー。完成度が高いステルステクニックを利用。$40

Webmoney Trojan:
　Webmoneyアカウントをキャプチャする。$500だが、先着100名のみ$400!!!

WMT-spy:
　WebMoneyアカウントを取得するための別のトロイの木馬だが、前のものよりもずっと安価(its creator publishes the results it has obtained in virustotal ← 意味不明)。
　実行ファイルで$5、更新が$5、ビルダーが$10。

SNATCH TROJAN:
　先のポストでこのトロイの木馬については既に触れた。
　パスワードを盗む機能と、rootkitの機能を持っている。$600。

Limbo Trojan:
　値段にだけついて触れると、$500だ。別のサイトの特別価格で、$350で提供されているのを
　見たことがある。このトロイの木馬については近々採り上げる予定だ。

FTP checker:
　盗んだFTPアカウントが利用できるかどうかをチェックするプログラム。FTPアカウントのリストを
　ロードすれば、自動的にユーザ名とパスワードが正しいかどうかについてチェックし、有効な
　アカウントと無効なアカウントとを仕分けしてくれる。$15。

Dream Bot Builder:

　たった$500でサーバを溢れさせて(floods)くれる(DDoS攻撃?)。$500で、更新が$25。

Pinch:

　完成度の高いトロイの木馬の作成キット。その特性を丸裸に分析した投稿をする予定だ。
　キットの実行ファイル(トロイの木馬)が$30、更新が$5。

Polaris:
　実行ファイルに対してポリモーフィックな暗号をかける．$20．

Freejoiner:
　実行ファイルを別のファイルと結合することにより隠す．$30で，更新が$5．

My joiner:
　Pinchの開発者の手による結合プログラム．$10．

Pity Joiner:
　別の結合プログラム．$7．

MPACK:
　複数の脆弱性を利用してリモートシステム上にトロイの木馬を仕込む，サーバにインストール
　するアプリケーション． Vicente Martinezがこのアプリケーションの完全なレビューを準備
　しており，近々その情報を提供してもらう予定なので，期待してもらいたい．
　Ver.0.80(2007年3月13に時点)で$700．4月のはじめには，ANIファイルに関する新しい
　脆弱性に対応したバージョンが公開される予定．

Ecore exploit 1.2:
　Mpackに似たフレームワークで，完成度と更新頻度が非常に高い．新しく(最新版が3月に
　公開)，感染コンピュータを制御したり監視したりすることができる．それを利用すれば，
　ローダ(トロイの木馬)が収集した感染コンピュータのあらゆる情報(パスワード，URL，
　アカウント名などなど)にオンラインでアクセスすることができる．
　購入者がどのような情報を求めるかにより，価格は大きく変わる．
　　バンドル版 : $590 (ecoreがインストールされたドメイン/IP単位)．
　　ドメイン/IPの追加 : $490 (インストールヘルプ : $15)

支払方法:
　これらの"商品"を購入する際のもっとも一般的な手段は，売り手にICQでアクセスするという
　方法である．全ての折り合いがつけば，購入者は代金を支払う．支払い全体の約8割は，
　WebMoneyで決済されている．実際，商品の多くは，米ドル相当のWebMoneyのコインの
　単位である"wmz"という単位で値が付けられている．

2007 05 23 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年04月25日

DDoS攻撃をアウトソーシングする際のお値段

PandaLabs Blogの”Cybercrime... for sale (I)”という記事より。

アンダーグラウンドな世界のサービスが掲載されていて、中々面白いです。
記事を執筆した方が、ロシアのアンダーグラウンド名サイトに侵入して収集した情報だそうで、
一部にその色が見えます。価格が米ドルというところが興味深いですね。

以下に一部を抜粋。

DDoS攻撃
　1時間　　: $10～$20 (販売主による)
　2時間　　: $20～$40
　1日間　　: $100
　1日以上 : $200～応相談 (実施難易度により異なる)

ちなみに、通常10分間の無料試用期間付で、このサービスに興味がある人が指定したサーバ
に対して10分間のDDoS攻撃をしてくれるとの事。それで、”サービス品質”を確認することが
できるようです。

Spam用メールサーバのホスティング : $200（基本料金?）
　　専用メールサーバオプション : $500
　　1,000万通/日を超える場合 : $600
　　SMS spam (1通あたり) : $0.2
　　ICQ spam (100万通あたり) : $150

このようなサービスがあるのは、spam用のメールサーバがあっという間にブラックリストに載って
転送拒否にあうためでしょうか。単位は不明ですが、月額でしょう。結構高いように見えますが、
以下のspam送信サービスの価格を見れば、納得です。これでも十分にペイするでしょう。

メーリングリストに対するspam
　アカウント数　　　米国　　　ドイツ　　　ロシア　　ウクライナ
　1,000万　　　　　$100　　　$100　　　$100　　　$100
　3,000万　　　　　$200　　　$200　　　$200　　　$200
　5,000万　　　　　$300　　　$300　　　$300　　　-
　8,000万　　　　　$500　　　$500　　　$500　　　-
　16,000万　　　　$900　　　　-　　　　　　-　　　　　-
　32,000万　　　　$1500　　　-　　　　　　-　　　　　-

1億6,000万以上が米国しかないのは、それ以外の国ではそれほどのメールアカウントが収集
されていない（できない）ということなのでしょう。
ボリュームディスカウントがあるんですね...

実行ファイルの隠蔽
　購入日時点での最新ウイルス定義ファイルで、そのファイルが検出されない事を保障。
　$1～$5 / 1実行ファイル

激安ですね。確かに手間もリソースもかからないと思いますが。

そのほかのサービス
　FTPアカウント : $1 / 1アカウント
　Limboのログ50MB : $30
　（メールアカウントや銀行の口座番号、クレジットカード番号などが一定量入っている事を保障）
　ICQ番号 : $1～$10 (ICQ番号による)
　RapidShareプレミアムアカウント:
　　　1ヶ月 : $5
　　　2ヶ月 : $8
　　　3ヶ月 : $12
　　　6ヶ月 : $18
　　　1年間 : $28

FTPアカウントがどこのアカウントかはまったくわかりません。
おそらくですが、Downloader系のスパイウェアやウイルスに利用させるアカウントなのでは
ないかと思います。

Limboはトロイの木馬の名称のようですが、いい情報がヒットしませんでした。
存在はするようなんですが...
”XXXが一定量異常は言っている事を保障”って、なんだか福袋みたいですね(w

RapidShareとは容量無制限の気前がいいストレージサービスで、プレミアムアカウントとは
無料アカウントに欠けられている様々な制約がない有料アカウントのことです。
ちなみに正価は以下の通り。

RapidShareプレミアムアカウント:
　　　1ヶ月 : €4.5　　　　　(≒ $6)
　　　2ヶ月 : €6.99　　　　(≒ $11)
　　　3ヶ月 : €16.99　　　(≒ $23)
　　　6ヶ月 : €29.99　　　(≒ $40)
　　　1年間 : €54.99　　　(≒ $74)

思ったほど激安というわけでもないですが、契約期間が長くなるにつれてお買い得度が
高くなってゆくところが面白いです。

次回はトロイの木馬やウイルスの価格についての話になるそうで、見つけたらまた採り
上げたいと思います。

2007 04 25 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年03月30日

商品券＆図書カード１万円分が22％OFF！7800円で激安販売！！

表記のタイトルのメールに、ほんのちょっとだけ反応してしまった自分が恥ずかしいです(笑

実際に来たのはこんなメールです。

┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛

　◆チケットスーパーこすも◆メール通信№3（3/29隔週号）◆

　　　　１万円分の商品券＆図書カードを７８００円で！
　　　数量・期間限定、開店記念セールだけのお得販売です

┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛┛
┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯┯
　　　　 ★★★　開店記念セール第２弾　★★★
　全国共通百貨店券・ＪＣＢギフトカード・全国共通図書カード
　　１００００円分を７８００円で販売です！（２２％オフ）
┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷┷

■数量・期間限定開店記念セールだから出来る超お得セール！
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
全国で使える「全国共通百貨店券」「ＪＣＢギフトカード」
「全国共通図書カード」１００００円分を７８００円での
激安販売です！　さらに送料は当社負担！
またとない開店記念＆新春セールだけの超お得セールです。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■お申込みについて
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
※お申込可能数量には上限がございます。
※期間限定となっていますが、販売数量には限りがございますので
　売り切れ次第、セール期限内でも終了となります。
※今回の開店記念＆新春セールはモニター販売となります。
　ご購入頂いたお客様には、簡単なアンケートをご用意しており
　ますのでご協力をお願いいたします。(個人情報等は記入不要)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

「金券販売のコスモ」が、平成１９年１月１０日、通信販売専門
ネットショップ「チケットスーパーこすも」としてＯＰＥＮ！
今回は開店記念セール第２弾、「全国共通百貨店券」
「ＪＣＢギフトカード」「全国共通図書カード」の激安セールです。
全国のデパートやお店、書店で使えます。
使用期限はありませんので、この機会にご購入されておけば
とってもお得です。

　　　　 　詳細は当社ホームページでチェック！
　　　　　　　　　　　　　↓
　 　 　　　　http://www.ticosmo3.com

■ご注文方法
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
１．ここ(↓)をクリックして当社ホームページへ。
　　http://www.ticosmo3.com
２．トップページの「開店記念セール第２弾」のバナーをクリック。
３．ご説明にしたがって、お申込み下さい。
４．折り返し当社より、御注文番号・お振込先・お振込金額等を
　　お知らせいたします。
５．銀行振込みにて御入金下さい。　なお、お振込手数料は
　　お客様のご負担となりますので、ご了承下さい。
６．お振込日(午後2時30分以降のお振込は翌日扱いとなります)
　　の翌日に商品を簡易書留郵便にて発送いたします。
　　(ご注文金額が５万円を超える場合は書留郵便にて発送。)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■ご注文について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
※商品は、千円券×10枚（１万円分）が１セットとなります。
※価格は、１セット（１万円分）が７８００円となります。
　（２２００円引きの２２％オフとなります。）
※送料は当社で負担させて頂きますが、速達をご希望のお客様は
　別途速達料金２７０円が加算されます。
※御注文はお一人様各商品１０セットまでとさせて頂きます。
※御注文受付期限は、４月４日（水）までとなりますが、販売数量
　に限りがありますので予定数量に達し次第、期限内でもセール
　終了となります。早期終了が予想されますので、ご了承下さい。
※商品は簡易包装となります。（今回の開店記念セールでは
　贈答用包装は行っておりませんのでご了承下さい。）
※ご購入頂いたお客様には、当社の販売方法、対応、ホームページ
　のご感想に関する簡単なアンケートをご用意していますので、
　ご協力をお願いいたします。（個人情報等の記入は不要です）
　アンケートはお振込のご案内メールと一緒になっていますので、
　商品到着後にご返信下さい。
※各商品の絵柄、図柄のご指定はできません。
※同業者様や転売目的の御注文はご遠慮下さい。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

□■━━━━━━━━━━━━━━━━━━━━━━━━━━■□
　　　　　　　　　チケットスーパーこすも
　　　　　　　　 http://www.ticosmo3.com
―――――――――――――――――――――――――――
　　　　〒242-0012　神奈川県大和市深見東1丁目1-24
　　　　　　　　　　TEL　046-262-3650
　　　　　　　　　　チケットスーパーこすも
　　　　　　　　　　代表　福永　一博
■□━━━━━━━━━━━━━━━━━━━━━━━━━━□■

※ホームページアドレスは平成１９年４月２７日より
　　http://www.rakuten.co.jp/ticosmo3/
　　へ移転の予定です。（楽天市場申請中）

―――――――――――――――――――――――――――――――――
■事業者：チケットスーパーこすも
■神奈川県大和市深見東1丁目1-24
―――――――――――――――――――――――――――――――――
特定商取引法施行規則　受取りを希望しない場合の連絡方法
弊社からの広告メールの配信停止を希望の場合は、下記のメールアドレスの
件名に「配信停止」と記入して送信してください。
cancel24@reject.udzk.com

”金券ショップに行けば売値よりも高く買ってくれるから、これって大儲け可能？”

とか思ったら、引っかかる一歩手前です。もちろんそんなうまい話はありません。

こちらでも紹介されていますが、早い話詐欺です。

管理人はメールアドレスをいくつか持っていますが、このメールはbflets.dyndns.orgの管理人
宛でした。このアドレスはどこかに登録したりすることはないので、事実上spam専用メール
アドレスになるのですが、管理人はここで確信しました。

もう一つのアドレスは楽天にも登録してあるので、そっちに来ていたらひょっとしたらやば
かったかも.....楽天申請中(もちろん嘘)とか書いてあるし(^^;

もっとも、怪しいと思って調べたら案の定...だったわけですが、これはなかなかspamとしての
出来はなかなかです。騙される人がいてもおかしくないと思いましたが、情報自体があまり
なかったので、あえてblogに載せてみました。

皆さんも気をつけてください！

2007 03 30 | この記事へのリンク | この記事へのコメント (3) | トラックバック (1)

2007年03月08日

Snort 2.6.1 DCE/RPCプリプロセッサのリモートバッファオーバーフローを本当に実行する方法

とあるブログで、非常に詳細なレベルで本当に実行する方法が紹介されています。

Snort 2.6.1 DCE/RPC Preprocessor Remote Buffer Overflow: Part 1 - Denial Of Service
Snort 2.6.1 DCE/RPC Preprocessor Remote Buffer Overflow: Part 2 - Command Execution

最後に、本当にcalc.exeの起動に成功しています。

ここまで載せてしまっていいのでしょうか？

2007 03 08 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年03月02日

動画のコーデックをダウンロードするとウイルスに感染？

PandaLabs Blogの"A curious technique of social engineering"という記事より。

新手のソーシャルエンジニアリングの手法として、コーデックを装って不正なコードをダウンロードさせる手法が流行しているとの事。実際にだまされる人も少なくないとか。

簡単な流れは、
　1. メールの添付ファイルでaviファイルが送られてくる。
　2. .aviファイルを開くと(この時点で問題がありますが)、Windows Media Playerが起動。
　3. コーデックがないから再生できない、というメッセージが表示される。
　4. コーデックダウンロード先とされる"Click Here"をクリックすると、不正なコードが....

なかなかよく考えられていると思いました。騙される人が多いのもわかる気がします。
元記事には、実際の画像入りの解説があるので、参照してみてください。

2007 03 02 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年02月05日

セキュリティエンジニアとしてのキャリア

自分自身の肩書きを何か名刺に刷れ、といわれたら、管理人はおそらく"セキュリティエンジニア"と書くと思います。プログラマとかプロジェクトマネージャに比べるととらえどころがない気がしますが、これが一番自分のスキルにマッチした表現のような気がしています。

このエントリを読んでいる方の中には、私が所属している会社を知っている人も居るかもしれませんが、私の会社では、どのようなキャリアを持った人でも基本的に管理者を目指すことになります。要するに部長や課長ですね。課長以上については自分の意思で昇進試験を受けない限り自動的になることはありませんが、その下の主査でも管理職であることには違いありません。

何が言いたいのかというと、私の会社には一技術者としてキャリアを積んでゆくという道がないのです。経理や法務など、特殊な知識が必要とされる部門であれば、ある意味スペシャリストになれるのかもしれませんが、少なくとも私が所属している法人営業系の部門では、そのような道はないように見えます。そのようなポジションはありませんし、管理者の人のそれまでのキャリアと、管理者の人の管理対象業務とが一致していないことも少なくありません。
＃研究開発部門であれば、そのような道もあるようですが。

管理人は、はっきり言って管理職には興味がありません。
人を管理するというのは確かに重要な業務ですが、100人社員が居たら全員が管理者でなければならないかといえば、決してそんなことはないと思います。管理者は、管理者としての適正があり、その仕事に情熱を注ぐことができる人がやればいいと思っていますが、特定の分野のスペシャリストが居てもいいのではないかと思っています。

セキュリティは幅広く、管理人もまだまだ修行が足りないと思うことがよくあります。少なくとも管理人が現役で居る間は、多少の流行り廃りはあるかもしれませんが、セキュリティ関連ビジネスが市場から消えてなくなってしまうことはないでしょう。セキュリティは概念なので、システムで利用される技術がいくら進歩しても関係ありませんし、セキュリティ自体はいたちごっこですし...

管理人の会社であえてスペシャリストを目指そうとするならば、一担当者に意識的にとどまりつつ(昇進すると自動的に管理者系に進むため)、事あるごとに自分のやりたい事を主張して、そのラインから人事的に外されないようにする(それでも外される場合はあるでしょうが)しかないと思いますが、なんとかならないのでしょうか？

世の中のほかの会社はどうなのでしょうか？
特定の分野にとんがった人材が、その価値を認められつつ、その長所を最大限に生かして仕事をすることができるのが普通なのでしょうか？それとも、それはとても幸せなレアケースなのでしょうか？

珍しく愚痴になってしまいました(笑

2007 02 05 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年01月23日

JREを更新したら*必ず*古いバージョンを消すこと！

SANS Internet Storm Centerに掲載されていたAdrien de Beaupré氏のDiaryより。

As new versions of the Sun Java JRE keep coming out to address security vulnerabilities do NOT forget to remove the old versions. It is possible that you may be running Java code in your applications that absolutely require a specific version of the JRE to run, update the applications and then update the JRE, and then remove the old JRE versions. Why? A Java applet can request which version of JRE it wishes to use, that's why.

-----------

(管理人意訳)
Sun Java JREにセキュリティ上の脆弱性が発見され、新しいバージョンが次々と公開されているが、過去のバージョンを削除することを絶対に忘れないように！もし動作環境としてある特定のバージョンのJREを必要とするJavaコードを利用しているのであれば、まずそのアプリーションを更新し、次にJREを更新し、それから古いJREを削除することをお勧めする。なぜかって？Javaアプレットが、利用した任意のバージョンのJREを指定することができるからだ。

いやぁ、これは知りませんでしたね。
自分のPCで、過去のJREがてんこ盛だった理由がわかりました(削除はしていましたが)。
更新版を入れると過去のバージョンは自動的に削除される製品が多い中、JREはちょっと特殊
なので、注意する必要がありますね。

文中にも書かれているように、特定のバージョンのJREを動作環境として要求するアプレットへ
の配慮なのでしょうが、セキュリティ的にみると非常に恐ろしいことですね。更新版が入っている
にもかかわらず、脅威が依然として存在していることになるわけですから....

アンインストールやJREの既知の脆弱性に関する情報などが元記事にリンクとしてまとめられて
いるので、該当する人は要確認です。

2007 01 23 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2007年01月22日

MLの登録購読を解除したければ$1よこせ！というspam

ロシア発のspamで、いきなりメールを送りつけてきて、

登録を解除したければ$1よこせ！

というものがある模様。こちらに実物の画像付きで詳細が報告されています。

古くからある紳士録詐欺のオンライン版のようなものですが、よくやるなぁというのが
正直な印象です。

というのも、リンク先を見ればわかるのですが、振込先として指定されているのがオンライン決済
で、その受取人のIDが書かれているんですよね....電話番号も出ていますし。

日本だったらあっという間に逮捕されそうな気がするのですが(されないのか？)、そこはさすが
ロシアというべきでしょうか。

2007 01 22 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年12月08日

MIMEを悪用→アンチウイルスソフトのすり抜けが可能？

最近RSSで購読しているSANSのInternet Storm Centerに掲載されていた記事より。
＃これ自体が別のblogからの引用を含んでいます。

記事によると、メールソフトウェアとアンチウイルスソフトウェアとの間で、MIMEの解釈に違い
があるため、これを悪用すると、アンチウイルスソフトウェアに気がつかれることがなく、
メールソフトウェアに対して不正なファイルを送り込むことが可能になる模様です。

全文訳は以下のとおり。
＃SANS様、トラックバックできませんが、引用をご容赦くださいm(__)m

続きを読む "MIMEを悪用→アンチウイルスソフトのすり抜けが可能？"

2006 12 08 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年11月24日

Norton 360パブリックベータが公開

ようやくとういべきか、Symantecより次世代セキュリティスィートのNorton 360のパブリックベータ
が公開されました。

Norton 360の主な機能として、

* 電子メールやIMからのウイルスの除去
* 入口でのインターネットワームのブロック
* スパイウェアを停止して、オンラインでトラックされないようにする
* 主要なショッピング/バンキングWebサイトの認証
* 個人情報を盗むことを目的に設計されたフィッシングサイトからの保護
* 新しいファイルの発見と、その自動的なバックアップ
* 重要なファイルを自動的に安全なオンラインストレージにバックアップ
* CDやDVD、外部ディスクへのローカルバックアップ
* PCのパフォーマンスを落とす各種ファイルを自動的に削除

が挙げられていますが、管理人が特に注目しているのが、オンラインストレージです。

続きを読む "Norton 360パブリックベータが公開"

2006 11 24 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年11月09日

セキュリティ関連の研修で悩んでいる人へ

管理人の所属する会社の業績はなかなか好調で、「行きたい研修があればいうがよい」という
ありがたいお達しがありました。

管理人の担務はセキュリティ関連なので、そちら方面でいい研修がないか一生懸命探したの
ですが、心の琴線に響く研修がどうしても見つからない....と思っていたのですが、意外な所で
素晴らしい講師群による研修を発見しました。

以下がその一例です。
----------------------------------------------------------------------
講座名 : 不正アクセス調査技法
講師 : 伊原 秀明 (ネットエージェント取締役)
定員 : 10名
費用 : 3,9万円 (2日間)
----------------------------------------------------------------------
講座名 : ネットワークセキュリティの現状と不正侵入検知
講師 : 園田 道夫 (セキュリティコンサルタント)
定員 : 10名
費用 : 3,9万円 (2日間)
----------------------------------------------------------------------

魅力的な講座、一流の講師、少ない定員、格安といっていい費用、どれをとっても文句の
つけようがありません。というか、むしろ信じられない内容で、この設定であれば、自腹で
受けに行ってもいいんじゃないかと思わせるほどです。

いったいこれだけの研修を誰が開催しているのでしょうか？

続きを読む "セキュリティ関連の研修で悩んでいる人へ"

2006 11 09 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年11月01日

Norton360(Genesis)ベータテスト開始

というわけで、本日SymantecよりNorton360のベータテストの招待が来ました。

管理人はもともとベータテスタに登録していましたが、Norton360のテスターに応募していれば、
この時点でベータテスタとして登録することになる模様です。

添付のドキュメントに掲載されている既知の問題は、次の通り。

続きを読む "Norton360(Genesis)ベータテスト開始"

2006 11 01 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年10月18日

運び屋

ITmediaの"「運び屋」――フィッシングの隠れた側面"という記事なんですが、これははっきり言って
目から鱗でした。

冷静に考えれば当然なんですが、詐欺師がいかに大量のクレジットカード番号やオンライン
バンキングのアカウントを盗み出したところで、それをそのまま自分の口座に持ってきたら
そりゃ足がつきますよね。

そこでマネーロンダリングの登場なんですが、まさかそこまでだまされた一般の人々が
やっているとは思いませんでした。ある意味、犯罪を犯罪として完結させるために必要
なプロセスであることはわかりますが、全く意識していませんでしたね....

パチンコの打ち子や出会い系のサクラなど、怪しげなバイトは日本でもありますが、
それ自身はおそらく犯罪ではないと思います。ですが、これは完全に手が後ろに
回りますよね。マネーロンダリングの片棒を担いでいるわけですから....

2006 10 18 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年10月03日

Norton 360のベータユーザ事前登録

Symantec社の次期セキュリティ製品のNorton360のベータテストの事前登録が行われて
います。とはいっても、登録先は本国のSymantecなので、本当に参加できるかどうかは
わかりませんが、興味がある方は登録しておいても損はないのではないでしょうか。

Norton 360 Beta Pre-Register - Symantec Corp

2006 10 03 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年09月19日

P2PのeDonkey、閉鎖へ

ITmediaの記事で知ったのですが、P2Pネットワークとして日本でもそれなりに知られていた
eDonkeyが閉鎖に追い込まれた模様です。

続きを読む "P2PのeDonkey、閉鎖へ"

2006 09 19 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年08月08日

AOL、無料のウイルス対策ソフトウェアを提供開始

CNETの記事より。

無料のウイルス対策ソフトウェアがこれまでに存在していなかったわけではありませんが、
AOLが提供する、このActive Virus Shieldは一味違うようです。

続きを読む "AOL、無料のウイルス対策ソフトウェアを提供開始"

2006 08 08 | この記事へのリンク | この記事へのコメント (0) | トラックバック (1)

2006年08月03日

ApacheにXSSの脆弱性

あまり聞いたことがないHTTP Expectリクエストヘッダの処理に脆弱性があるとのこと。
詳細についてはここら辺を参照。

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3918
http://www.frsirt.com/english/advisories/2006/2963
http://www-1.ibm.com/support/docview.wss?uid=swg1PK24631
http://secunia.com/advisories/21172/

Secuniaには、脆弱性の有無をチェックするページも用意されています。

http://secunia.com/expect_header_cross-site_scripting_vulnerability_test

結果が出るまでにかなり時間がかかるので(管理人の試した限りでは5～6分)、気長に待つ
必要があります。ちなみに、管理人の環境では以下の1行をhttpd.confに追加したら、
上記ページで脆弱性がふさがったことを確認できました。

ErrorDocument 417 "Don't Trick on me!"

417のエラードキュメントが明示的に指定されていない場合、動的にエラードキュメントが
作成されます。その過程に脆弱性があるのですが、明示的にエラードキュメントを指定すれば、
回避することができるということになります。

もちろんApache本体を最新バージョンにすることでも回避可能ですが、本格稼働中のサーバは
バージョンアップできない方が普通なので、このような対策が必要になる場合もあるでしょう。

2006 08 03 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年07月28日

セキュリーマン検定

日立システム情報セキュリティブログより。

やってみた結果は....

続きを読む "セキュリーマン検定"

2006 07 28 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年07月23日

75%程度危険なプログラムを検出するソフト

一般的なアンチウイルスソフトウェアは、基本的に"パターンファイル"もしくは"定義ファイル"
と呼ばれる、既知のウイルスの特徴を詰め込んだデータベースを利用してウイルスの検知を
行います。これは既知のウイルスであれば100%間違いなく検知できる手法ですが、逆に
未知のウイルスに対しては全く無力なのが特徴です。

その問題を解決するために開発された検知技術が"アノーマリ検知"もしくは"アノマリ検知"
で、こちらはシステムの正常な状態を覚えておいて、そこから大きく逸脱する事態が発生した
場合に、ウイルスの発生などが起こったと想定するものです。

現在利用されているアンチウイルスソフトの大部分は、パターンファイルによる検出を基礎とし、
それを補完する形でアノーマリ検知が導入されていますが、今回このアノーマリ検知のみを
突き詰めた珍しい製品が登場しました。

続きを読む "75%程度危険なプログラムを検出するソフト"

2006 07 23 | この記事へのリンク | この記事へのコメント (1) | トラックバック (0)

2006年07月07日

KeePassでパスワード管理

最近管理人が会社で利用している、お気に入りのパスワード管理ソフトです。
この手のソフトはまだメジャーになっていませんが、特に会社で複数の社内システムを
利用している方にはお勧めです。

続きを読む "KeePassでパスワード管理"

2006 07 07 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年07月03日

Windows版Nessusの利用方法

表記のコンテンツを当Webサイトにて公開しました。こちらから閲覧できます。

意外とWindows版のNessusについての記事は少ないようですが、非常に有用なツールなので、多くの
人に知ってもらえればうれしいです。

2006 07 03 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年06月21日

[続き] Winnyの通信をIPSで止めるデモ？

2台のノートPCの間にProventiaを挟み込む形でデモ環境の構築をしているんですが、普通の通信は
抜けるのにWinnyはまったくやる気なし....

原因は意外なところにありました。

続きを読む "[続き] Winnyの通信をIPSで止めるデモ？"

2006 06 21 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年06月20日

Symantecのベータテスタ募集サイト発見

とある情報を求めてSymantecのWebサイトを放浪していたときに発見しました。

続きを読む "Symantecのベータテスタ募集サイト発見"

2006 06 20 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年06月15日

世界を翔る日本の技術者

今月のマイクロソフトのWindows Updateの詳細を見ていて気が付いたのですが...
日本の(おそらく)個人の方が報告した脆弱性のパッチが出ているのですね。

日本のマイクロソフト :
　　MS06-021 の問題を報告してくださった 星屑|スターダスト 氏

米国のマイクロソフト :
　　hoshikuzu star_dust for reporting an issue described in MS06-021.

こんな日本人もいらっしゃるんですねぇ。

2006 06 15 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年06月13日

テクニカルエンジニア(情報セキュリティ)合格！

なんとか合格していました。

受験番号 SV218 - 0xxx の方は，合格です。

午前試験のスコアは，715 点です。
午後I試験のスコアは，650 点です。
午後II試験のスコアは，600 点です。

でも、午後IIはぎりぎりだったようです。

# 合格基準は，午前，午後I，午後II試験のいずれも600点です。
# 午前，午後I，午後II試験のすべてが合格基準を満たす場合，合格となります。
# 午前試験のスコアが600点以上でない方の午後I，午後II試験のスコアは表示されません。
# 午後I試験のスコアが600点以上でない方の午後II試験のスコアは表示されません。
# スコアの範囲は，最低200点～最高800点です。

なにはともあれ、よかったよかった。

2006 06 13 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年06月05日

Winnyの通信をIPSで止めるデモ？

営業部門から連絡があり、セキュリティの専門家が集まる場ではない所で、
ISSのIPSであるProventiaのデモをすることになりました。デモをするという
ことで、当然ではありますが、

ほらほら、Proventiaならこんな通信を止めることができるんですよ！

というのを見せて、相手の購買意欲をあおる必要があるのですが、その対象
として営業部門が指定してきたのが....Winnyでした。

いや、目の付けどころはいいと思いますよ。セキュリティに詳しくない人で
あっても、パソコンをネットワークに接続して利用している人であれば一度
は聞いたことはあるでしょうし、カミングアウトはしないでしょうが、利用
している人だっているでしょう。

しかし、しかしですよ、

検証用PC --- Proventia M10 --- 検証用PC
この構成でWinnyを動作させることができるのでしょうか？

まだ差し迫っていないので、すぐに着手しなければならないわけではありま
せんが、とりあえずやってみます...orz
＃初期ノード？何それ....

2006 06 05 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年06月02日

Microsoft Defender 日本語版ベータ2公開

昨日公開されたようです(製品URLはこちら)。

実際に導入してみてスキャンしてみたところ、スキャン自体は正常に終了しました。
が、オプション機能の"ソフトウェアエクスプローラ"を起動してみたら...

あっ、怪しいソフトが！！！！！

"新注音"ってなんですか？？？？
説明にある"微軟新注音輸入法 2002a"も意味不明ですし...
パスをみるとMSのIME関連のようですが、全く身に覚えがありません

アンインストールしてやろうか.....

2006 06 02 | この記事へのリンク | この記事へのコメント (1) | トラックバック (0)

2006年05月29日

Windows Vista向けアンチウイルスソフト

早くも...と言うべきか、Windows VistaのBeta2向けのアンチウイルスソフトがCA
から公開されています。

Vista Beta2のユーザであれば、1年間無償で利用できる模様なので、評価中の
方は、速やかに導入しておくといいでしょう。登録はこちらから。

管理人は、Vista Beta2が一般公開されたすぐに入手して評価したい(=人柱になりたい)
と思っていますが、MSDNを購読していないので、現時点では入手できていません。

ちなみに、上記アンチウイルスソフトはあくまで英語版のBeta2向けのものだと思われる
ので、日本語版に導入した際の動作は保証の限りではありませんので、あしからず。
＃95%は正常に動作すると思っていますが....

2006 05 29 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年05月26日

Symantec Antivirus Ver.10に致命的な脆弱性

日本ではまだ話題になっていませんが、Symantec Antivirus Ver.10.0に致命的な
脆弱性が発見されたようです。

Symantec Anti-Virus Vulnerability (eEye)
Symantec AntiVirus Worm Hole Puts Millions at Risk (eWeek.com)
Flaw Found In Symantec Antivirus, Hackers Say (newsnet5.com)

以下、eWeek.comの記事から一部引用。

Researchers at eEye Digital Security, the company that discovered the flaw,
said it could be exploited by remote hackers to take complete control of the
target machine "without any user action."

"ユーザの干渉なしに"クラッカーがリモートのマシンを乗っ取ることが可能と
解説されており、もし本当なら最悪の部類に属する大問題です。

Symantecにはすでに通知が行っており、現在確認中との事ですが、以降注目
して観察してゆきたいと思います。

2006 05 26 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年05月25日

Wordの脆弱性に対処する「非公式フィックス」

CNET Japanの記事より。

以前、WindowsのWMFファイル形式のファイルを扱う際に発生する脆弱性が露見した際に
非公式パッチが出て話題になりましたが、Wordでそれと同じものが出るとは思っていま
せんでした。

WMFファイルの場合は、Windowsそのものの脆弱性でわからなくもありませんが、普及率
が異常に高いとはいえ、一ベンダのワードプロセッサ製品に対してまで、サードパーティー
が非公式パッチを公開するとは、ある意味世も末だと思いました。

まぁ、今回公開されたものは、Wordからレジストリを変更できないような状態にする
スクリプトの模様なので、適用しても問題はなさそうですが、それでも躊躇してしまいます。

いっそのこと、昨日公開されたOffce 2007 Beta2でも入れてやるか....
＃でも、会社の端末では出来ませんね(哀

2006 05 25 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年05月24日

MBSDが侵入防止システムの新版を発売，「トラフィックの変化から異常を検出」

IT Proの記事より。
モノはSourcefire社のアプライアンスのようです。

Sourcefire製ということで、当然Snortがエンジンかと思いきや、Nessusのエンジン
まで搭載しているようで、かなりパワーアップがされているようです。

注目すべき点は、タイトルからわかるように、今回発表された製品が非常に珍しい
アノーマリ検知型のNIDSという点です。

通常のNIDSは、アンチウイルスソフトウェアと同様に、既知の攻撃をデータベース
として持っており(シグネチャと呼ばれます)、それを利用して攻撃の検知を行います。
つまり、未知の攻撃についてはまったく無力なのが特徴です。

これに対し、"アノーマリ検知"という検知方式では、"正常な"状態を記憶しておき、
その状態から大きく逸脱する状態の発生を異常事態として検知します。

これは、特に未知の攻撃やDoS/DDoS攻撃の検知に非常に有効な技術ですが、
何を持って"正常な"状態とするかが非常に難しく、商用/フリーを問わずに、アノー
マリ検知を行うNIDSはほとんど存在していないのが実情でした。
＃管理人が知る限りでは、過去に沖電気がEMERALDというNIDSを販売していた
＃くらいです。

ということで、管理人的にこの製品は要チェック製品だと思っています。

2006 05 24 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)

2006年05月23日

ホスト型IPS?

本日、とあるところでISSがホスト型IPS製品を出荷したというプレスを見ました。
＃どこかはすでに忘れてしまいました(w

IPSはIDSの進化形な訳で(正確に言えば、インライン型IDSの発展形)、IDSにホスト型と
ネットワーク型があるのであれば、IPSにもホスト型IPSがあってもおかしくはありません