List of malware - Baldanders.info
tag:Baldanders.info,2015-07-01:/tags
2015-07-01T09:00:00+00:00
バルトアンデルスは連続的な怪物,時間の怪物である。(ホルヘ・ルイス・ボルヘス 『幻獣辞典』より)
https://baldanders.info/images/avatar.jpg
https://baldanders.info/images/avatar.jpg
溺れる者は◯◯◯も掴む
tag:Baldanders.info,2015-07-01:/blog/000856/
2015-07-01T09:00:00+00:00
2015-07-01T09:00:00+00:00
なんちうか IPA にしては珍しく場当たり的というかその場しのぎというか,焦ってる感じがする。この記事を見て真っ先に浮かんだ言葉は...
Spiegel
/profile/
<p>
うーん。
これはちょっと...
</p><ul>
<li><a href="http://www.ipa.go.jp/security/ciadr/vul/20150629-checkpc.html">【注意喚起】潜伏しているかもしれないウイルスの感染検査を今すぐ!:IPA 独立行政法人 情報処理推進機構</a></li>
</ul><p>
いや,今や日本中を席巻している malware による情報漏えい被害をなんとかしたいという心意気は買うよ。
でも
</p>
<pre class="brush:bash gutter:false" title="コマンドプロンプト">C:\Windows\system32>dir /a /r /s /b "%TEMP%" "%SystemDrive%\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\" "%SystemDrive%\Users\All Users\Microsoft\Windows\Start Menu\Programs\Startup" | findstr /I /R "\\leanp\.exe \\leassap\.exe \\leassaq\.exe \\leassnp\.exe \\mdm\.exe \\nvsvcv\.exe \\nvvscv\.exe \\slwga\.exe \\upsl\.dll \\vmat\.exe \\vmatam\.exe \\vmatap\.exe \\vmater\.exe \\vmmat\.exe \\vmnatam\.exe \\vmwer.exe \\windump\.exe \\ct\.exe \\yrar\.exe \\csvde\.exe \\mimikatz\.exe \\mimikatzx64\.exe \\mimikatz1\.exe \\gp\.exe \\Gp64\.exe \\ps\.txt \\msver\.exe \\ss\.exe \\mailfinal\.exe \\mail_noArgv_final\.exe \\result\.log \\14068\.rar \\ms14-058\.exe \\kptl\.doc \\kenpo\.doc"</pre>
<p>
はナイわぁ。
</p><p>
(ちなみにこのコマンドを試すときは, <code>C:\Windows\system32</code> フォルダに移動してから実行してね。でないと「findstr とか知るか,ボケェ!」(← 超意訳)とか怒られます)
</p><p>
(もうひとつ余談だけど <code>C:\Windows\system32</code> に PATH を張るのは止めましょう。普段は動いてほしくないコマンドとか山盛りあるので)
</p><p>
なんちうか IPA にしては珍しく場当たり的というかその場しのぎというか,焦ってる感じがする。
この記事を見て真っ先に浮かんだ言葉は
</p>
<figure>
<blockquote>
<q>溺れる者は◯◯◯も掴む</q>
</blockquote>
<figcaption>小山田いく <q>すくらっぷブック</q> より</figcaption>
</figure>
<p>
だった(下品なので伏せ字)。
</p><p>
まぁ,でも,しかし,潜伏している malware を基本装備だけで探すのは難しい。
てか,無理。
F-Secure ではこんな検知方法を紹介している
</p><ul>
<li><a href="http://blog.f-secure.jp/archives/50750631.html">エフセキュアブログ : 年金機構を襲ったマルウェアに感染しているかを1分で確認する方法</a></li>
</ul><p>
が,これも効果的とはいえない。
本当に苦肉の策である。
企業や組織なら(かなりお高めかもしれないけど)ちゃんとしたフォレンジック・ツールを使うことをお薦めする。
(その上でセキュリティ対策企業と継続的な契約を結ぶことを考えた方がいい。
あぁ,もちろん自前で何とか出来る人は別だよ)
</p><p>
問題は個人だよねぇ。
</p><p>
今は企業・組織内のネットワークがターゲットになってるけど,組織内の構成員が分かれば,その個人(の携帯端末や家庭内 LAN)に直接攻撃を仕掛けてくることはありえないことじゃない。
それは「時間の問題」と言える。
IoT でスマート家電とか自殺行為ですよ。
</p><p>
今は地道に監視していくしかないが,なにか効果的な手段を考えないとねぇ。
</p><p>
そうそう。
<a href="https://medium.com/@spiegel/-a6240f77460c">そろそろ「ウイルス」って言うの止めない?</a>
誤解を生む元だよ。
</p><p class="offrec">
(「溺れる者は◯◯◯も掴む」という言葉は小山田いくさんの作品の中で,海で溺れかけた時に思わず掴んだのがう◯ちだったというエピソードを指す)
</p>
<div class="hreview"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/483544213X/baldandersinf-22/"><img src="https://images-fe.ssl-images-amazon.com/images/I/518uMdKYp3L._SL160_.jpg" alt="photo" class="photo"/></a><dl><dt class="fn"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/483544213X/baldandersinf-22/">すくらっぷ・ブック (1) (fukkan.com―小山田いく選集)</a></dt><dd>小山田 いく </dd><dd>ブッキング 2006-06-01</dd><dd>評価<abbr class="rating" title="5"><img src="https://images-fe.ssl-images-amazon.com/images/G/01/detail/stars-5-0.gif" alt=""/></abbr> </dd></dl><p class="similar"><a href="https://www.amazon.co.jp/exec/obidos/ASIN/425310200X/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/425310200X.09._SCTHUMBZZZ_.jpg" alt="週刊少年チャンピオン40th 創刊40周年記念特別編集"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4835442970/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4835442970.09._SCTHUMBZZZ_.jpg" alt="魑魅 (小山田いく選集 2期)"/></a> </p>
<p class="description">思春期の頃の愛読書でした。</p>
<p class="gtools">reviewed by <a href="#me" class="reviewer">Spiegel</a> on <abbr class="dtreviewed" title="2015-07-01">2015/07/01</abbr> (powered by <a href="http://www.goodpic.com/mt/aws/index.html">G-Tools</a>)</p>
</div>
MTOS 5.2.13 リリース,他
tag:Baldanders.info,2015-04-21:/blog/000834/
2015-04-21T09:00:00+00:00
2015-04-21T09:00:00+00:00
MTOS 5.2.13 リリース / Google は何でもお見通しさ! (ケーサツもね♥) / 「Simdaボットを射る3本の矢」
Spiegel
/profile/
<section> <h3>MTOS 5.2.13 リリース</h3> <ul> <li><a href="https://movabletype.org/news/2015/04/movable_type_608_and_5213_released_to_close_security_vulnera.html">MovableType.org – News: Movable Type 6.0.8 and 5.2.13 released to close security vulnerability</a></li> <li><a href="http://www.sixapart.jp/movabletype/news/2015/04/15-1100.html">Movable Type 6.1.1 をリリース。クラウド版のサーバー配信機能がより使いやすくなりました | Movable Type ニュース</a></li> <li><a href="http://www.sixapart.jp/movabletype/news/2015/04/15-1045.html">[重要] 6.0.8、5.2.13 セキュリティアップデートの提供を開始 | Movable Type ニュース</a></li> <li><a href="http://www.sixapart.jp/movabletype/news/2015/04/16-1100.html">Movable Type セキュリティ対策ガイドを公開しました | Movable Type ニュース</a></li> </ul> <figure> <blockquote> <q>Movable Type 6.1 を含む以前のバージョンにおいて、ユーザー入力値のバリデーション漏れに起因する、リモートコード実行の脆弱性が発見されました。Movable Type 6.1.1へのアップグレードを強く推奨します。</q> </blockquote> <figcaption><q><a href="http://www.sixapart.jp/movabletype/news/2015/04/15-1100.html">Movable Type 6.1.1 をリリース。クラウド版のサーバー配信機能がより使いやすくなりました</a></q>より</figcaption> </figure> <figure> <blockquote> <q>Movable Type 6.0.7、5.2.12 を含む以前のバージョンにおいて、ユーザー入力値のバリデーション漏れに起因する、リモートコード実行の脆弱性が発見されました。修正版へのアップグレードを強く推奨します。</q> </blockquote> <figcaption><q><a href="http://www.sixapart.jp/movabletype/news/2015/04/15-1045.html">[重要] 6.0.8、5.2.13 セキュリティアップデートの提供を開始</a></q>より</figcaption> </figure> <p> というわけで MTOS(Movable Type Open Source)も 5.2.13 へ要変更。 ちなみに <a href="https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0845">CVE-2015-0845</a> では CVSS 基本値を 7.5(AV:N/AC:L/Au:N/C:P/I:P/A:P)と見積もっている。 一般的に CVSS 基本値が 7 以上は「危険」なので,必ず更新すること。 </p><p> 「<a href="http://www.movabletype.jp/guide/movable-type-security-guide.html">Movable Type セキュリティ対策ガイド</a>」は参考になるが,個人的には Movable Type を 6 以上に上げる気はないので, MTOS のメンテナンスが続いてくれてるうちに CMS(Content Management System)の検討を始めるべきか。 とりあえず GW 中に色々と物色してみるつもり(といっても実は既にある程度あたりはつけているのだが)。 はっきり言って個人で運用する限りにおいて CMS の機能をサーバサイドに置くのはリスクが高い。 WordPress とか愚の骨頂だし。 </p> </section> <section> <h3>Google は何でもお見通しさ! (ケーサツもね♥)</h3> <ul> <li><a href="http://weekly.ascii.jp/elem/000/000/326/326088/">移動履歴・あなたの趣味をGoogleは全部知っている これが確認方法だ - 週アスPLUS</a></li> </ul><p> ポイントとなるのは<q><a href="http://www.google.com/settings/ads">広告設定</a></q>と<q><a href="https://maps.google.com/locationhistory/">Googleロケーション履歴</a></q>。 特に<q><a href="https://maps.google.com/locationhistory/">Googleロケーション履歴</a></q>は見たらギョッとすると思う。 </p><p> <q><a href="http://www.google.com/settings/ads">広告設定</a></q>は「オプトアウト設定」の2箇所を「オプトアウト」してしまえばよい。 ロケーション履歴については,嫌ならマメにクリアするしかない(<a href="https://baldanders.info/blog/000768/">本気で困る人は GPS 付きのケータイを使わない</a>こと)。 </p><p> まぁ,この件に関して Google は比較的誠実だよね。 たとえば Apple や Yahoo! などがどうしてるのか(<a href="http://docs.yahoo.co.jp/info/notice/150317.html">Yahoo! Japan はこの前 CCC の一味に加わった</a>けど),考えるだに「ぞんぞがさばる」。 </p><p> そういえば総務省が「<a href="http://www.soumu.go.jp/menu_news/s-news/01kiban08_02000169.html">電気通信事業における個人情報保護に関するガイドライン及び解説の改正案に対する意見募集</a>」を行っている。 これによると </p> <figure> <blockquote> <q>電気通信事業者は、第4条の規定にかかわらず、捜査機関からの要請により位置情報の取得を求められた場合において、当該位置情報が取得されていることを利用者が知ることができるときであって、裁判官の発付した令状に従うときに限り、当該位置情報を取得するものとする。</q> </blockquote> <figcaption><q><a href="http://www.soumu.go.jp/main_content/000353830.pdf">ガイドラインの一部改正案<sup><i class="far fa-file-pdf"></i></sup></a></q>より</figcaption> </figure> <p> そうだ。 <q><a href="https://maps.google.com/locationhistory/">Googleロケーション履歴</a></q>またはそれよりも詳細な情報をケーサツが握ってしまえるわけだ。 これに意見のある方は5月22日までにどうぞ。 </p> </section> <section> <h3>「Simdaボットを射る3本の矢」</h3> <ul> <li><a href="http://blog.f-secure.jp/archives/50746592.html">エフセキュアブログ : Simdaボットを射る3本の矢</a></li> <li><a href="http://blog.kaspersky.co.jp/simda-botnet-check/7327/">自分のPCがボットネットに組み込まれていないかチェックしよう | Save the Worldの思いを伝えたい – カスペルスキー公式ブログ</a></li> </ul> <figure> <blockquote> <q>インターポール、マイクロソフト、カスペルスキー、トレンドマイクロと協力しSimdaボットネットのテイクダウンを行いました。 <br/>カスペルスキーから出向している同僚から報告があるように、このマルウェアは多くの解析妨害機能があるため、アンチウイルスベンダーのサンドボックスではうまく検知することができていませんでした。 <br/>そこで、サイバーディフェンス研究所が手動で解析を実施し、その解析結果を元にしたアンパッカーと暗号化された通信、設定ファイルの復号ツールをマイクロソフトやアンチウイルスベンダーに提供し、全容の解明に協力しました。</q> </blockquote> <figcaption><q><a href="http://blog.f-secure.jp/archives/50746592.html">エフセキュアブログ : Simdaボットを射る3本の矢</a></q>より</figcaption> </figure> <p> Kaspersky が提供している <q lang="en"><a href="https://checkip.kaspersky.com/">Simda botnet detector</a></q> は有用と思えるので一度チェックしてみるとよい。 あとは <a href="http://www.cyberdefense.jp/simda/">hosts ファイルをチェック</a>して変な記述がないか調べてみることをお勧めする。 それでも不安な方は Kaspersky や Trend Micro が提供するアンチウイルスソフトで検出可能らしい。 </p><p> 安全なネット生活を。 </p> </section>
「Macユーザーにはウイルスやマルウェアに感染しにくい」とか誰が言ってるの(笑)
tag:Baldanders.info,2014-10-05:/blog/000746/
2014-10-05T09:00:00+00:00
2014-10-05T09:00:00+00:00
誰? 今時そんな「神話」をまき散らしてるバカは。
Spiegel
/profile/
<p> いやマジで笑かす。 </p><ul> <li><a href="http://internet.watch.impress.co.jp/docs/news/20141004_669929.html">1万7000台を超えるMacがマルウェア「iWorm」に感染、感染源は不明~掲示板「reddit」からの命令を待っている -INTERNET Watch</a></li> <li><a href="http://dev.classmethod.jp/security/understanding-iworm/">エンジニアが知っておくべき”iWorm” | Developers.IO</a></li> </ul> <figure> <blockquote> <q>Macユーザーにはウイルスやマルウェアに感染しにくいという“神話”が根強いが、実際は容易に感染するため、早急な対策が必要だ。</q> </blockquote> <figcaption><q><a href="http://internet.watch.impress.co.jp/docs/news/20141004_669929.html">1万7000台を超えるMacがマルウェア「iWorm」に感染、感染源は不明~掲示板「reddit」からの命令を待っている</a></q>より</figcaption> </figure> <p> 誰? 今時そんな「神話」をまき散らしてるバカは。 キミら<a href="https://baldanders.info/blog/000623/">2013年の騒ぎ</a>をもう忘れたの? </p><p> いまや Mac はマイナーなパソコンではない。 (多分 iOS 関連の開発の影響だと思うが)特にエンジニアの利用が多い Mac は攻撃者にとって明確なターゲットだ。 </p><p> Apple における security incident response は相変わらず褒められたものではないが,それでも数年前に比べれば随分ましになってる。 これは Apple 製品への攻撃が現実的なものになってきたからだろう。 しかし,肝心のユーザ側が全く改善しない。 </p><p> <a href="http://support.apple.com/kb/HT1222">Apple の security update ページ</a>を見れば分かるが, Apple 製品のセキュリティ脆弱性は非常に多い。 緊急性の高いものについては(<a href="http://support.apple.com/kb/HT6495">今回の bash 脆弱性</a>のように)比較的早く対応するようになってきたが(←ここが改善された部分),大部分の修正は機能追加・変更の「ついで」に行われる。 ユーザの多くは incident response なんか見ないでメディアで公表される追加・変更された機能のリストだけを見て勝手にアップデートの是非を判断してしまう。 先日の iOS 8 へのアップデートについても,<a href="http://support.apple.com/kb/HT6441">多くの脆弱性が修正されている</a>のにもかかわらず,忌避するユーザが多く存在した。 </p> <figure> <blockquote> <q>Doshiは私のインタビューに答えて、iOS 8のアップデート率が低い理由について「まずiOS 8はWiFiでインストールする場合、サイズが大きすぎる。多くのユーザーは写真や動画にスペースを取られて、iOS 8が必要とする空き容量がない。第2に、多くの会社が、前回のセキュリティー問題を教訓にして、iOS 8に大きな脆弱性がないことが確認されるまで、数日間アップデートを待つように社員に求めている」と原因を推測した</q> </blockquote> <figcaption><q><a href="http://jp.techcrunch.com/2014/09/19/20140918ios-8-adoption-off-to-a-slower-start-than-ios-7-say-multiple-usage-trackers/">iOS 8へのアップデート率の出だしはiOS 7より低い―空き容量が足りないとTwitterに悲鳴 - TechCrunch</a></q>より</figcaption> </figure> <figure> <blockquote> <q lang="en">Haven't upgraded to iOS 8 yet? Aside from a lot of new features, Apple also fixed a number of security vulnerabilities in iOS 8. For example CVE-2014-4377, a memory corrupion issue in iOS's core graphics library. An exploit is now available for this vulnerability.</q> </blockquote> <figcaption>via <q lang="en"><a href="https://isc.sans.edu/diary/iOS%207.1.x%20Exploit%20Released%20%28CVE-2014-4377%29/18693">InfoSec Handlers Diary Blog - iOS 7.1.x Exploit Released (CVE-2014-4377)</a></q></figcaption> </figure> <p> 単純に脆弱性の数なら Microsoft 製品のほうが多いが,総合的に見たセキュリティ管理については Apple (およびそのユーザ)の方が断然劣る。 今回の worm 感染だって「起こるべくして起こった」としか言いようがない。 </p><p> これは Apple への提言だが,機能の追加・変更(不具合修正も含む)のためのアップデートとセキュリティ対応のためのアップデートは別々に管理すべき。 できれば Adobe や Microsoft 等のように期日を決めてアップデートを行うのが望ましい。 これは「ユーザへの教育」としても有効だ。 セキュリティ・アップデートを個別に行うことでユーザ側も計画を立てやすくなるし,なによりセキュリティ脆弱性の認知に繋がる。 認識できてない問題は対応しようがない。 </p><p> そろそろちゃんとやろうよ。 40年前のガレージハウスとは違うんだよ。 (私はもう懲りたので Apple 製品は使わないけど) </p> <div class="hreview"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4822283100/baldandersinf-22/"><img src="https://images-fe.ssl-images-amazon.com/images/I/51-pZ52JsUL._SL160_.jpg" alt="photo" class="photo"/></a><dl><dt class="fn"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4822283100/baldandersinf-22/">セキュリティはなぜやぶられたのか</a></dt><dd>ブルース・シュナイアー 井口 耕二 </dd><dd>日経BP社 2007-02-15</dd><dd>評価<abbr class="rating" title="5"><img src="https://images-fe.ssl-images-amazon.com/images/G/01/detail/stars-5-0.gif" alt=""/></abbr> </dd></dl><p class="similar"><a href="https://www.amazon.co.jp/exec/obidos/ASIN/4881359967/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4881359967.09._SCTHUMBZZZ_.jpg" alt="暗号の秘密とウソ"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4797350997/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4797350997.09._SCTHUMBZZZ_.jpg" alt="新版暗号技術入門 秘密の国のアリス"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4594070507/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4594070507.09._SCTHUMBZZZ_.jpg" alt="チャイナ・ハッカーズ"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4105393022/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4105393022.09._SCTHUMBZZZ_.jpg" alt="暗号解読―ロゼッタストーンから量子暗号まで"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4102159746/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4102159746.09._SCTHUMBZZZ_.jpg" alt="宇宙創成〈上〉 (新潮文庫)"/></a> </p> <p class="description">日本語のタイトルはアレだが中身は名著。とりあえず読んどきなはれ。</p> <p class="gtools">reviewed by <a href="#me" class="reviewer">Spiegel</a> on <abbr class="dtreviewed" title="2014-09-14">2014/09/14</abbr> (powered by <a href="http://www.goodpic.com/mt/aws/index.html">G-Tools</a>)</p> </div>
6月最後の戯れ言
tag:Baldanders.info,2013-06-28:/blog/000641/
2013-06-28T09:00:00+00:00
2013-06-28T09:00:00+00:00
Feedly にするか... / malware の感染防止に電子署名で対抗しようという話 / 無線 LAN の子機がね
Spiegel
/profile/
<p> 梅雨真っ最中,皆様いかがお過ごしでしょうか。 私はいまだに次の仕事が決まりません。 誰か短期の仕事ください。 </p><p> 今回も戯れ言モードでポツポツ書いてみます。 </p> <h3>Feedly にするか...</h3> <p> 今まで RSS Reader をどれにするか決めかねていたのだが,やはり急ごしらえの <a href="https://digg.com/reader">digg reader</a> ではなかなか行き届かないようである。 <a href="http://cloud.feedly.com/">Feedly</a> のほうが一日の長がある。 </p><p> というわけで,メインの RSS Reader は当面 Feedly で行くことにした。 digg reader は予備系ということで。 まぁ digg reader の進行については <a href="http://blog.digg.com/">Tumblr でチェック</a>できるので,様子を見ながら今後を決めよう。 </p> <h3>malware の感染防止に電子署名で対抗しようという話</h3> <ul> <li><a href="http://www.itmedia.co.jp/enterprise/articles/1306/28/news080.html">Adobe、GPKIの電子署名を検証できる機能をReaderとAcrobatに実装 - ITmedia エンタープライズ</a></li> </ul><p> え? なにこれ? ギャグなの? </p><blockquote> 「 同社によると、日本ではサイバー攻撃が増加し、とりわけ、文書を改ざんしてマルウェアを埋め込み、関係者になりすまして特定組織を攻撃する「標的型攻撃」の被害が深刻化している。 ビジネス文書として幅広く普及しているPDFファイルが悪用されるケースも依然として見受けられるという。<br/> 中央省庁や地方公共団体での情報発信には、数多くのPDFファイルが使われており、PDFファイルを安心、安全に取り扱うことは、サイバー攻撃の被害を防止する意味で、地方公共団体でも喫緊の課題の一つになっていた。」 <br/>(「<a href="http://www.itmedia.co.jp/enterprise/articles/1306/28/news080.html">Adobe、GPKIの電子署名を検証できる機能をReaderとAcrobatに実装</a>」より) </blockquote><p> うん,まぁそうだね。 でも PDF を使った攻撃は主に Adobe 製の PDF Reader の脆弱性を突いたもので PDF フォーマットそのものは至極まっとうなものなのだよ。 </p><p> で,こっからがバカウケ。 </p><blockquote> 「 アドビシステムズは、住民が地方公共団体の発信するPDF文書を安心・安全に閲覧できるように、無償のAdobe ReaderまたはAcrobatでLGPKIの電子署名を簡単に検証できる仕組みを整えた。 住民が Adobe Reader、Acrobatを用いてPDF文書を閲覧する場合、特別な操作を行うことなく、その文書が「地方公共団体が作成した文書であること」ならびに「改ざんされていないこと」を確認できるという。<br/> 地方公共団体は、Acrobatを利用し、LGPKIで発行する職責証明書を用いて、PDFファイルに電子署名を付与することが可能。 電子署名が付与されたPDFファイルはインターネットなどを通して公開され、住民はPDFファイルをAdobe ReaderまたはAcrobatで閲覧できる。 その際、LGPKIのルート証明書が「Adobe Approved Trusted List」を通してAdobe Reader、Acrobatに自動的にダウンロードされ、署名の検証も自動的に行われる。 住民はルート証明書のダウンロード操作などを意識する必要はないという。」 <br/>(「<a href="http://www.itmedia.co.jp/enterprise/articles/1306/28/news080.html">Adobe、GPKIの電子署名を検証できる機能をReaderとAcrobatに実装</a>」より) </blockquote><p> 電子署名の埋め込み自体は PDF の規格として既にあるし LGPKI も X.509 型の PKI なので組み込むのは難しくないだろう。 しかし,よく見て欲しい。 なんで malware 対策を行うのに電子署名なんだ? 確かに電子署名は文書の改ざんを検出できる。 しかし,検出できる<strong>だけ</strong>だ。 どう改ざんされたかはわからないし,そもそも「関係者になりすまして特定組織を攻撃する「標的型攻撃」」を回避することはできないのである。 malware 等を使った攻撃を回避したいのであればアプリケーション,つまり PDF Reader を常に最新の状態にしておくしかない(それもベンダが脆弱性を直ちに修正してくれるという条件付きでだ)。 この記事は前半と後半で全く整合がとれていない。 本当になんのつもりなのだろう。 </p><p> <strong>そもそもが!</strong> である。 地方公共団体が特定企業のプロプライエタリなソフトの利用を促進するかのような対策ってどうなのよ。 知ってる人もいるだろうが,例えば欧州では2009年頃から FSFE(Free Software Foundation Europe)が中心となり政府系サイトでの「Adobe Reader」アイコンの掲示に対し抗議キャンペーンを行なっている。 そしてプロプライエタリ・ソフトへの対抗として <a href="http://pdfreaders.org/">PDFreaders.org</a> サイトを立ち上げている。 もちろんここで言う Free は「無料のビール」ではなく「自由なソフト」を指すものだ。 </p><p> このブログでは何度も書いてきたことだが,「無料でも不自由」なものより「コストがかかっても自由」なものを選ぶべきだ。 なぜなら自由はこちらから掴み取らない限り得られないものだから。 </p><p> (余談だが JPCERT/CC の<a href="http://www.jpcert.or.jp/research/sns2012.html">最近の文書</a>では PDF に電子署名を埋め込み,更に OpenPGP 鍵で PDF ファイル自体に署名を行なっている(署名ファイルは別ファイル)。 日頃 OpenPGP 鍵できちんと運用を行なっている JPCERT/CC ならではである。 もちろんいずれの電子署名でも,これが担保するものは PKI で言うところの「完全性」「認証」「否認防止」であり, malware の有無とは関係がない) </p> <h3>無線 LAN の子機がね</h3> <p> 今までパソコンで無線 LAN にアクセスする場合は(いや,アクセスする用事があるんだってば。無線ルータの設定は LAN 側じゃないとできないし,タブレットなんかのアクセスで <a href="https://play.google.com/store/apps/details?id=com.sand.airdroid&hl=ja">AirDroid</a> 使ったりするでしょ) USB 接続タイプの子機を使ってたんだけど,64ビット版 Windows 7 にしたら,その子機が動かなくなってしまったのですよ。 しょうがないのでドスパラまでホケホケ出かけて新しい(64ビット版 Windows に対応した)無線 LAN 子機を購入したのだった。 もともと安かった上に,たまってたポイントで値引きしてもらったので実質300円ほどでゲット。 ただドライバのインストールには手こずった。 なんかうまくドライバが入らなくて,一回アンインストールしてから再度入れたらうまく入った。 う~ん,う~ん。 まぁいっか,ゐごいてるから。 これで無線ルータ付属の BitTorrent にもアクセスできるようになったし,めでたしめでたし。 </p> <div class="hreview"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/B003NSAMW2/baldandersinf-22/"><img src="https://images-fe.ssl-images-amazon.com/images/I/41Cq4EQifXL._SL160_.jpg" alt="photo" class="photo"/></a><dl><dt class="fn"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/B003NSAMW2/baldandersinf-22/">BUFFALO 無線LAN子機 コンパクトモデル 11n技術・11g/b対応 WLI-UC-GNM</a></dt><dd>バッファロー 2010-06-25</dd><dd>評価<abbr class="rating" title="4"><img src="https://images-fe.ssl-images-amazon.com/images/G/01/detail/stars-4-0.gif" alt=""/></abbr> </dd></dl><p class="similar"><a href="https://www.amazon.co.jp/exec/obidos/ASIN/B006MNEH1C/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B006MNEH1C.09._SCTHUMBZZZ_.jpg" alt="BUFFALO 11n/g/b対応 無線LANルーター 【Wii U動作確認済み、iPhone5・Android端末対応】 WHR-G301N/N(FFP)"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B0088UGF1M/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B0088UGF1M.09._SCTHUMBZZZ_.jpg" alt="BUFFALO ハイパワー 11n/g Qrsetup対応 無線LAN親機 【Wii U動作確認済み、iPhone5・Android端末対応】 WHR-300HP"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B0088UGF2G/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B0088UGF2G.09._SCTHUMBZZZ_.jpg" alt="BUFFALO エアステーション 11n/g Qrsetup対応 無線LAN親機 WHR-300"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00BT5OZDI/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00BT5OZDI.09._SCTHUMBZZZ_.jpg" alt="dynabook 15.6型/Celeron 1000M/2GB/320GB/DVDスーパーマルチ/Windows7pro(Windows8Proダウングレード)◇PB452HNBPR5A71"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B0088UGF7G/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B0088UGF7G.09._SCTHUMBZZZ_.jpg" alt="BUFFALO ハイパワー Giga 11n/g AOSS2対応 無線LAN親機 【Wii U動作確認済み、iPhone5・Android端末対応】WZR-300HP"/></a> </p><p class="gtools">by <a href="http://www.goodpic.com/mt/aws/index.html">G-Tools</a> , <abbr class="dtreviewed" title="2013/06/28">2013/06/28</abbr></p></div>
アプリ開発者を狙った「水飲み場」型攻撃の可能性
tag:Baldanders.info,2013-02-21:/blog/000623/
2013-02-21T09:00:00+00:00
2013-02-21T09:00:00+00:00
最近 Java の脆弱性を利用した攻撃が話題になっている。セキュリティ企業のエフセキュアは,ブログにおいて,これらの攻撃がアプリ開発者を狙った攻撃である可能性を指摘している。
Spiegel
/profile/
<p>
最近 Java の脆弱性を利用した攻撃が話題になっている。
被害を受けた企業には Facebook や Apple といった有名どころも挙がっている。
セキュリティ企業のエフセキュアは,ブログにおいて,これらの攻撃がアプリ開発者を狙った攻撃である可能性を指摘している。
</p><ul>
<li><a href="http://blog.f-secure.jp/archives/50694451.html">エフセキュアブログ : Facebookのハッキングと、モバイル・アプリ開発者への水飲み場型攻撃と、Macのマルウェア</a></li>
</ul><p>
今回の攻撃は「水飲み場」型攻撃(“watering hole” attack)である点が特徴と言える。
「水飲み場」型攻撃とは
</p><blockquote>
「株式会社シマンテックによると、水飲み場型攻撃とは、標的ユーザーが利用する可能性の高いサイトに悪質なコードを仕掛けておき、ドライブバイダウンロードでマルウェアに感染させる手法。
攻撃者はまず、標的ユーザーがアクセスしそうなサイトを調査し、それらのサイトに脆弱性がないかチェック。
脆弱性の見つかったサイトに侵入し、マルウェアをホスティングしている別サイトへ誘導するHTMLやJavaScriptのコードを注入する。
その後は、水飲み場で獲物を待ち伏せるライオンのように、標的ユーザーがアクセスしてくるのを待つ――という流れだ。」<br/>
(「<a href="http://internet.watch.impress.co.jp/docs/news/20130108_580853.html">IEへのゼロデイ攻撃で用いられた“水飲み場型”攻撃 -INTERNET Watch</a>」より)
</blockquote><p>
といった攻撃手法である。
問題は「水飲み場」として狙われたのがモバイル・アプリ開発者の Web サイトだったことだ。
</p><p>
エフセキュアブログで紹介されている筋書きは大体こんな感じだ。
</p><ol>
<li>モバイル機器をハッキングしたい</li>
<li>それならモバイル機器のアプリを作っている開発者をハッキングするのがいいだろう。
そうすれば開発者のプログラムにいくらでもコードを忍び込ませることができる</li>
<li>イマドキの開発者は Mac を使ってそうだ。
しかも Mac ユーザはセキュリティが甘い</li>
<li>ではアプリ開発者が集まりそうな Web サイトに Mac 向けの malware を仕掛けることにしよう</li>
</ol><p>
ここでポイントとなるのは「水飲み場」で malware を食わされたユーザ・組織がどのくらいいるのかだ。
Facebook のセキュリティチームは第三者組織と組み, Facebook の他に数社が malware に感染していることを突き止めたらしい。
</p><ul>
<li><a href="http://blog.f-secure.jp/archives/50694484.html">エフセキュアブログ : 数社がハッキングされたことをFacebookが認める</a></li>
</ul><blockquote>
「「数社」とは、巣窟へ張られた、ほんの一握りのユニークな接続を意味するのだろうか?
あるいは、もっと多数の接続の中から、Facebookが「数社」しか特定できなかったということだろうか?」
(「<a href="http://blog.f-secure.jp/archives/50694484.html">エフセキュアブログ : 数社がハッキングされたことをFacebookが認める</a>」より)
</blockquote><p>
さて、真相はいかに。
</p>
メールアカウントの不正使用
tag:Baldanders.info,2012-06-07:/blog/000604/
2012-06-07T09:00:00+00:00
2012-06-07T09:00:00+00:00
JPCERT/CC から「メールアカウント不正使用に関する情報提供のお願い」というメールが来ていた。
Spiegel
/profile/
<p>
JPCERT/CC から「メールアカウント不正使用に関する情報提供のお願い」というメールが来ていた。
通常は,この手のメールは同じ内容が Web でも掲載され URL が提示されているものだが,今回はそういうのが見つからないので,メモがわりに以下に内容を示す。
</p><blockquote>
「JPCERT/CC では、インターネットサービスプロバイダー (ISP) が提供するメールサービスのメールアカウントおよびパスワード (メールアカウント情報) が何らかの方法で窃取され、そのメールアカウント情報を使用して SPAM メールが大量に送信されるという事象の報告を受領しています。<br/>
本事象は、複数の ISP 事業者のメールサービスにて発生しており、SPAM メールの送信には、正規のメールアカウント情報が使用され、ユーザ認証を受けた上で送信されていることが確認されています。<br/>
これまでにも様々なユーザアカウント情報を窃取するマルウエア、ISP のアカウントを詐取しようとするフィッシングや ISP の POP サーバなどに対するBrute Force 攻撃等の情報提供を受けておりますが、今回の行為者がメールアカウント情報をどのように入手したかは特定できていません。」
</blockquote><p>
ちうわけで,なにか情報を持っている人は <a href="https://form.jpcert.or.jp/">https://form.jpcert.or.jp/</a> までご一報の程を。
</p><p>
そういや LinkedIn でも情報漏洩騒ぎがあったよな。
世知辛いねぇ。
</p>