スポンサーサイト 

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
  • [--/--/-- --:--]
  • スポンサー広告 |
  • トラックバック(-) |
  • コメント(-) |
  • この記事のURL |
  • TOP ▲

ウイルスバスターを2007から2009にした 

後輩がウイルスバスターを入れる!と言っていたので、それに乗じて自分も2009にしてみた。

動作の軽い/重いは判断がつかないのだけど、
・パタンファイルの更新
・ウイルススキャン
をバックグラウンドで実行してくれるようになっただけでも、とっても嬉しい。

2007の頃は、パタンファイルを更新する度にアクティブ状態のダイアログがポップアップされ、作業が中断。
仕事効率を落とすこと請け合いの、激しくウザい設計だったのだ。


MS Office を 2003 → 2007 にするチャンスもあったんだけど、リボンUIを使える気がしなくて、アップデートは控えておいた。^^;


ウイルスバスター2009 3年版
トレンドマイクロ (2008-09-19)
売り上げランキング: 4


Microsoft Office 2007 Personal
マイクロソフト (2007-01-30)
売り上げランキング: 78

スポンサーサイト

キーボードを打っているだけでパスワードが盗まれる!? 

モニタの電磁波を測定して打鍵キーを盗聴する、といった手法は聞いたことがあったけど、今ではキーボード打鍵時の電磁波を盗聴してタイプキーを判別できるらしい。
もちろん観測条件が理想的なことを想定しているだろうけど、このまま盗聴技術が高度になっていったらと思うと・・・おそろしい。


参考:
キーボード打鍵時の電磁波で情報漏えい、スイスの研究者が実証
http://internet.watch.impress.co.jp/cda/news/2008/10/21/21252.html


テンペスト(電磁波盗聴):盗聴対策情報:JP-セキュリティネット
http://www.jp-security.net/01touchou-taisaku/tenpesuto.html

  • [2008/11/04 23:55]
  • セキュリティ |
  • トラックバック(0) |
  • コメント(0) |
  • この記事のURL |
  • TOP ▲

パスワードのハッシュ化におけるsaltとレインボーテーブル 

パスワードをどうやって保存しているのかわかりやすい解説。

パスワードの保存に SMD5 (Salted MD5) や SSHA1を使う (MD5 への辞書攻撃とか) - まちゅダイアリー (2007-10-23)
http://www.machu.jp/diary/20071023.html#p01


パスワードにsaltを足して、ハッシュアルゴリズムにかけるのが、現在は一般的ですかね。
saltを使わないと、ハッシュ関数を通した後の文字列を集めたDBなどで総当たり攻撃が用意だということですね。

ちなみにWindowsのパスワードはsaltなしにハッシュ化されているので、パスワードファイルの盗難のリスクがとても高いです。
(Lan Manager Hash)


リンク記事のコメントで知ったのだけど、総当たり用のDBを工夫して構築する方法なんてのもあるんですね。
レインボーテーブルって初めて知りました。

レインボーテーブル - Wikipedia
http://ja.wikipedia.org/wiki/%E3%83%AC%E3%82%A4%E3%83%B3%E3%83%9C%E3%83%BC%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB



セキュリティネタってイタチごっこの側面が強いので、たまには情報を追いかけておかないと訳のわからないことになりそうで怖い。
(IT業界全般に言えることでもあるけど)


  • [2008/07/31 21:36]
  • セキュリティ |
  • トラックバック(0) |
  • コメント(0) |
  • この記事のURL |
  • TOP ▲

オプトアウトとオプトイン 

どっちがどっちだったか、ごっちゃになっちゃうのでメモっておこう。

・オプトアウト
ユーザの許諾なしに、広告メールを送りつけること。
未承諾広告の表示等が必要とされているけど、実情は巧妙に隠した広告メールが多かったりする。

・オプトイン
ユーザが許諾したときに送られる広告メール。


ブラックリストとホワイトリストみたいなものですね。

ちなみに迷惑メールなどがばんばん届くことからも分かりますが、今はオプトアウト方式が多いです。
で、膨大な迷惑メールが飛び込んでくる実情のひどさから、行政を含めてオプトイン方式にシフトしようという動きがあるようです。


参考:
総務省のページの検索結果
http://www.soumu.go.jp/namazu/namazu.cgi?query=%A5%AA%A5%D7%A5%C8%A5%A4%A5%F3&whence=0&max=20&result=normal&sort=date%3Alate&reference=off



サウンドハウス社の情報漏洩事故報告書 

少し前になりますが、サウンドハウス社の情報漏洩事故対応の様子が話題になりました。
2年前にすでに不正プログラムを設置されていたなど、なかなか興味深いないようです。
発表されている事故レポートの報告はとても細かな事柄まで時系列にまとめられており、一読の価値があります。

レポートは下記リンクにあります。

サウンドハウスニュース
http://www.soundhouse.co.jp/shop/News.asp?NewsNo=1561



その他参考リンク

「サウンドハウス」名指しの攻撃マニュアルが中国で公開されていた
http://internet.watch.impress.co.jp/cda/news/2008/04/18/19291.html


I, newbie » サウンドハウスの情報漏洩
http://trombik.mine.nu/~cherry/w/index.php/2008/04/19/1215/soundhouse-case-1



事例で学ぶセキュリティ運用技術・インシデント対応技術 (NTT R&D情報セキュリティシリーズ)
NTT情報流通プラットフォーム研究所
アスキー
売り上げランキング: 486304

セキュリティ啓蒙活動の裏をかいた攻撃 

ここのところ、情報セキュリティの脅威を前面に押し出した報道が増えている。
それが元で不安になっている人も多いはず。
そんな人たちをターゲットにした、ソーシャルエンジニアリングの一環が紹介されている。

Ad Innovator: [今日のおまけ]こんなバナーにご注意
http://adinnovator.typepad.com/ad_innovator/2007/08/post-11.html



この辺りの攻撃って、技術だけではどうしようもない部分があって、如何ともしがたし。
啓蒙活動のあり方が問われそうな問題ですね。

CAPTCHAの活用 

機械的な認証を防ぐために、活用されるCAPTCHA。
文字列を歪めて提示し、入力を促すものをよく見かける。

で、GoogleやYahooが、機械的な認証を防ぐためにCAPTCHAを使っていますという話
普段見かけることは無いけど、何度か認証に失敗するとCAPTCHAが現れるんだとか。
知らなかった!

これまでは機械的な不正アカウント大量作成を防ぐために使われることが多かった印象。
何度か認証に失敗するとCAPTCHAで機械には難しい認証を促すというのは、ユーザビリティを保ちつつもブルートフォースに強い利点がある。
訪問ユーザに対して初回からCAPTCHA認証を求めない、ってのがミソなんでしょうな。
GoogleやYahooの採ってるこの手法は、今後標準的に使われるようになるかもしれないですね。

・・・画像認識技術が拙いうちしか効かないけど・・。


参考:
おさかなラボ - 人間様には見えなくて、spamボットには見える不思議なCAPTCHA
http://kaede.to/~canada/doc/captcha-in-gmail


「CAPTCHA」技術を応用して書籍のデジタル化を進める新ツール「reCAPTCHA」:ニュース - CNET Japan
http://japan.cnet.com/news/ent/story/0,2000056022,20349589,00.htm


Googleも避けられなかった落とし穴 - シロクマ日報 [ITmedia オルタナティブ・ブログ]
http://blogs.itmedia.co.jp/akihito/2006/03/google_3847.html

最近のセキュリティ事情 

面白いなぁと思った二つを紹介。

●埋め込まれたパーツをクリックさせる

外部からAPIを呼んで、ブログなどに直接パーツを埋め込めるサービスが増えている。
例えば、YouTubeの動画を埋め込んでいるように見せかけてクリックさせる、といった手法はひっかかる人が多いかもしれない。

ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口*ホームページを作る人のネタ帳
http://e0166.blog89.fc2.com/blog-entry-95.html



●Unicodeを使った拡張子偽造
UnicodeのRLOを使った拡張子偽造。これ流行るかしら。
RLOはアラビア語のような右からの読みに対応するためのコードで、例えば“test[RLO]txt.exe”は、“testexe.txt”のように見えるという話。
アイコンもテキスト用のアイコンを実行ファイルに仕込んでおけば、思わずダブルクリックしてしまうユーザは多いはず。

RLOの実験 | Okumura's Blog
http://oku.edu.mie-u.ac.jp/~okumura/blog/node/1415


それ Unicode で
http://openmya.hacker.jp/hasegawa/public/20061209/momiji.html

これ認定証? 

GSECの認定証らしきものが届いた。
よくある厚紙の表彰状みたいなものではなく、ペラ1枚のものが。w
このあたり、アメリカを感じる。(違

GSEC


合格者一覧を見たら、いつの間にか名前も掲載されてるな・・。
Googleでエゴ検索したら、5位くらいに出る。
いつのまに!SEO!


参考
SANS JAPAN
http://sans-japan.jp/SJ/giac/giac.html

BlackHat Japan 2006 Briefings のメモ3 

これが最後のメモになります。

●ボットネットの発見、追跡、影響緩和のための、マルウェア捕獲
 ゲオルグ・ヴィヘルスキー & トールステン・ホルツ

ボットネットを追跡するための、3つのツールの紹介があった。
  1. nepenthes: ハニーポット構築用のツール
    特定の脆弱性を模倣するエミュレータモジュールを用意し、そこへの攻撃を観察できる。
    また、攻撃で使用されるシェルコードが実行できるシェルコードモジュールも用意されており、攻撃の流れを観察できる。
    攻撃の中でマルウェアを外部からダウンロードさせようとする場合には、ダウンロードが成功したかのように見せかけるダウンロードモジュールも用意されている。
  2. CWSandbox: マルウェアの挙動を追跡するためのツール
    マルウェアの挙動を観察するための、サンドボックスを用意できるツール。
    APIのフック、コードのオーバーライト、DLLインジェクション等が利用でき、動作の詳細な部分まで把握できる。
  3. botsnoopd: ボットネットを追跡するためのツール
    ボットネットで利用されているプロトコルを模倣し、Botクライアントをモジュールとしてエミュレートすることで、動作を把握できる。
    このソフトの正式版はまだ公開されておらず、近く公開する予定とのこと。


●Winnyのプーさん
 杉浦 隆幸

Winnyの暗号を解読した、ネットエージェント株式会社の杉浦氏による講演。
最近では、Winny利用の目的も変わってきており、流通コンテンツはアニメがメインになっているとのこと。(特に地方では視聴できないようなモノ)
現在よく利用されているP2PソフトウェアにはWinnyとShareがあるが、二つを比較するとWinnyはよく出来ているとのこと。
作者の金子勇氏が、フィードバックを経て何度もバージョンアップを繰り返したため、パラメータのチューンがよくできているらしい。
豆知識として、Winnyのアイコンはニューヨークの写真ということを紹介していた。
あわせて、ある程度ファイルサイズの大きなものになると、ファイルサイズから一意にファイルが定まることも紹介していた。

Winny上で流通しているマルウェアは亜種が多く、セキュリティベンダーもほんとど対応していないため、アンチウイルスソフトによる検出は難しい。
またWinnyを取り巻く現状は、金子勇氏の裁判の行方を見守っている状況。
漏洩したファイルのダウンロードや、ACCS会員の著作物をアップロードすると警告が来るようだが、今の所は警告止まりの場合が多い。


●カーネル内でのWindowsフォレンジック分析を排除する
 ダレン・ビルビー

事故や何らかの被害にあったとき、証拠保全を如何にして行うか、の講話。
揮発性の高い情報(メモリ内の情報や、ネットワークのコネクション情報)は、早急に保存しておく必要がある。
PCを起動したまま、即座にデータバックアップを行うLive Imagingができれば一番良い。
サービスを停止すると損害が発生するような場合には特に重要な要素である。

後半では、証拠保全のためのRootkitの紹介があった。
より低レベルな位置にRootkitを設置しておき、攻撃者からは身を隠しながら逐次証拠を保存していくというものだった。
見えないところでツールが稼動しているのは不気味だが、未知の攻撃に対する証拠を確実に抑えるためには、このくらいの対策が必要なのかもしれない。


参考
Winnyはどこまで危険か - CNET Japan
http://japan.cnet.com/news/sec/story/0,2000056024,20265907,00.htm

BlackHat Japan 2006 Briefings のメモ2 

●AJAXウェブアプリケーションへの攻撃: Web2.0の脆弱性
 アレックス・スタモス & ゼーン・ラッキー

Ajaxを使う際のセキュリティ面の懸念事項を紹介しており、特に以下の事項についてのお話があった。
  • XSS(Cross Site Scripting)
  • XSRF(Cross Site Request Forgeries)
  • FlashにおけるXHR(XMLHttpRequest)の制限

XSRFは、mixiの自動日記投稿で問題が顕在化していたのが記憶に新しい。
サーバ側へcrossdomain.xmlを設置しておくだけで、Flashのクロスドメイン制限が解除されるため、使用の際は十分注意が必要だとのこと。
(ググるとやばそうなサーバ一覧がずらずらと・・)
JavaScript周辺では、JSONPでクロスドメインを実現するサービスも出てきているため、この周りの知識はしっかり仕入れておきたい。

講演の最ではAjaxウェブサービス作成のフレームワークの紹介があった。
DWR、Atlas、Google Web Toolkitを紹介していたが、「これだ!」というものは無いらしい。
これらを使うにしても、XSSやXSRFに注意して開発を進める必要があるとのこと。


●イントラネットへの外部からの攻撃:進化するJavaScriptマルウェアとブラウザー奪取の危険性
 ジェレマイア・グロスマン

イントラネット上にある機器には、Webインタフェースから設定が行えるものが増えている。
その上でのXSSやXSRF等の脆弱性にも、十分に注意を払う必要がある。
またFWはHTTPを通す設定が多いため、イントラネット上のPCをマルウェアに感染させ、収集させた内部情報を外部にPOSTさせて、インターネット側でデータを受け取るという手法が流行りつつある。
実際にJavaScriptで80番、443番のポートスキャンを実行させるデモを行っていた。
FW等による境界セキュリティモデルだけで満足してはいけないというのが要点。


●国際化されたソフトウェアへの攻撃
 スコット・ステンダー

マルチバイト対応が進む中でのセキュリティ問題についての講話。
エンコード/デコードが行われる中で、想定外の攻撃を受ける場合がある。
例えばWin32APIのWC_NO_BEST_FIT_CHARSは無効にするのが望ましい。
有効にしている場合、対処を怠るとSQL Injectionに利用される場合がある。
エンコード/デコード周りの話は、知識もさることながら慣れが必要な気がするなぁ。


参考
【レポート】Black Hat Japan 2006 - 外部からイントラネット内にも攻撃可能、JavaScriptマルウェア (1) イントラネットには外部からアクセスできないという「認識」 (MYCOMジャーナル)
http://journal.mycom.co.jp/articles/2006/10/07/blackhat/

BlackHat Japan 2006 Briefings のメモ1 

10/5~6にかけて、表題のイベントへ参加した。
そんなわけで、数回に分けて各講演のメモを残しておこう。

●イベント概要
会場は京王プラザホテル。東京都庁の目の前だ。
一流ホテルだけあって、イベント参加は84,000円也。
基本的にエンジニアが集うイベントで、受付等の事務方も恐らくそっち方面。
そのためか不慣れそうで、初日の受付はグダグダだった。^^;
だけど会場の高級感に加え、ランチボックスやコーヒーが振舞われたため、現金な私からすれば不満はなし。
参加により頂けるものは、分厚い講演資料集、PDFを収録したCD-ROM(裏面が黒く懐かしい)、鉛筆三本、付箋紙をいくつか。
他にも、受付ではTシャツの販売を行っていました。買いませんでしたが。


●基調講演:「脅威と技術の意味の変化....日本では今何が起きてるの?」
 岡谷貢:防衛庁統合幕僚監部(元内閣官房情報セキュリティセンター参事官補佐)

セキュリティ業界全般に関する動向や考察を講演。
スピアメール(スピアフィッシング)という単語が、日本でのみ使われていることは知らなかった。
海外ではTargeted Attackと呼ぶらしい。
また攻撃側は、昔は技術的な興味からいたずら目的だったが、近年では金銭的な利益が目的となっている。

最近よく耳にするようになった0day攻撃、すなわち脆弱性が知れ渡ったその日のうちに攻撃が始まる事象がある。
もちろん防御側のパッチはリリースされていないことが、ほとんどだ。
0-day攻撃はさらに発展しており、攻撃側が自ら発見した脆弱性情報を他に漏らすことなく、自分だけが利用して利益を得ようとする攻撃がある。
他には誰も知らない脆弱性を利用するため、防御が難しく発見されにくいという特徴がある。

昨今では攻撃側が手を組むようになってきているため、防御側(我々)もコミュニティを形成し、力を発揮して行く必要がある、というのが講演で一番言いたかった点だろう。


参考
Black Hat Japan 2006 Briefings
http://www.blackhat.com/html/bh-japan-06/bh-jp-06-jp-index.html


変化する“情報セキュリティ”の意味、防衛庁統合幕僚監部の岡谷氏が講演
http://internet.watch.impress.co.jp/cda/event/2006/10/05/13530.html

黒い帽子 

いいものゲット。お勉強してきます。

blackhat

GIAC認定試験のGSECに無事、合格 

昨年度2月に受講したSANSのセミナーの後、GIACの認定試験を受けなければならないことを、すっかり忘れていた。
スケジューラを見て思い出したのが夏期休暇の後。
そして受験締切は8月31日。
一回で3時間を要する試験を、最低でも2回、悪ければ最大4回も受けなくてはならない、時間の面で鬼試験。
分類が多岐に渡るGIAC認定試験の中で、今回は一番基礎的な「GIAC Security Essentials Certification(GSEC)」の受験だったのだけど、内容は深くはないものの、幅が広くてなかなか骨が折れる予感がしていました。

そんなこんなで油断していたら8月も終わり近くになっており、「これはやばい!」というわけで、30日+31日の二日間で事前準備なしに受験。^^;
仕組みとしては前後半の二部構成になっていて、トータル4回チャレンジできる中で二つとも通過しなさい、といった感じ。
オンラインでの受験なので手元で資料を見たり、検索したりというのはありなのだけども。
さらに与えられる時間は3時間で、問題数は100問なので時間が余りそうな気がするけど、大間違いだったようで。
範囲が広すぎて検索に思ったよりも時間がかかってしまい、結局ギリギリまで使い切っている自分。

結果としては合格だったけど、内訳としては1回目は不合格、2回目で前半、3回目で後半を合格。
試験がどんな感じか理解できてからはスムーズだったけど、一回目は時間配分なんかもわからず、勢いに任せて進めていったら、ものの見事に落ちた。w
そんな言い訳がありつつも、結果的には合格できてよかったです。^^;

一度取得すると4年間有効な認定資格らしいので、近い将来、履歴書を書く機会があればでかでかと書いちゃいたいと思います。
しかし、米国ではそれなりに評価されている認定試験らしいのだけど、日本国内ではマイナーな資格・・。orz

SANS JAPAN
http://sans-japan.jp/SJ/giac/giac.html

ラグナロクオンラインの不正アクセス事件を、他社がどのように捉えているか 

表題の事件について、凄く興味深いインタビュー記事があった。

4Gamer.net ホントのところ,GMは何をどこまでできるんですか? ――オンラインゲーム会社に聞く,各社それぞれの運営方針とその思想
http://www.4gamer.net/news/history/2006.07/20060726140900detail.html



各社、ログを取っているとは回答しているのだけど、ログに対してどのような行動を取っているのかが不明瞭。
ログをただ取っているだけでは、後で証拠になるものを持っているというだけで、監査要件の一つになる程度だ。
ログを走査・監視して、不正なアクセスや操作を検出する必要がある。

そんなわけで「ログを取っている」という文面をみても「え?だから??」としか思えないのでした。

アラートメールが飛ぶといった機能性を求めることも必要だし、ログ改竄等の攻撃を防ぐための頑強な環境作りも必要だろう。
ログ保存にプラスして、どの程度の対策が取られているのかが気になる。

今回の事件は、パスワードを盗んで不正を働くといった内容だったので、単独では犯行がほぼ不可能な環境を作っておくだけでもかなりの効果がありそうなもの。
上級管理者が二人同時にアクセスして操作が必要って感じにするだけでも効果はありそうな気がする。
もちろん、特権ユーザがアクセスした際にアラートが飛ぶようにしておくなどの工夫も必要なんだけど。

セキュリティを学ぶ身としても非常に興味深い事件だった。
興味本位なのは否めないけど。^^;
  • [2006/08/06 22:08]
  • セキュリティ |
  • トラックバック(0) |
  • コメント(0) |
  • この記事のURL |
  • TOP ▲

ラグナロクオンラインの不正アクセス事件について 

ちまちまと始めた途端、タイムリーに表題の事件が発覚。
ラグナロクで遊ぶユーザだけではなく、オンラインゲーム業界全てに震撼が走った事件でしょう。

事件内容は各所で既報の通りなわけですが、物凄く簡単に要約すると・・・
ゲームマスター業務に就いていた社員が、入手したパスワードを使って上司のアカウントでログイン。
そして、大量のゲーム内通貨を生成したという事件です。

問題はいくつかあって、次の3つがぱっと思いた。

  1. 管理体制の甘さ
    内部犯行というのは最近ホットな話題であり、各企業で体制強化を図っているはずだが、後を絶たないのも事実。
    今回の事件も同様なケースなわけだが、ゲームに直接触れるゲームマスターという立場の社員が犯罪に手を染めたというのは特徴的だと思う。
    重点的に教育がなされていそうな立場の人間が犯行に及ぶようでは、全社的には壊滅的なのでは・・・と思わざるをえない。
    とはいえ、組織におけるコンプライアンスやセキュリティガバナンスの教育は、かなり難しい問題である点は認知しておくべきだろう。

  2. 仮想通貨が現金に換わる
    今回の事件で注目すべきはゲーム内通貨が現金に換わっていることである。
    逆に言えば、現金化できなければさほど騒がれなかっただろう。
    通貨の元締めが不正作出することを現実世界に当てはめれば、造幣局の職員が勝手に万札を刷って私腹を肥やしているようなものだ。
    しかし現実世界とは違って、ゲーム内に関しては“通貨を不正作出する”ことも“通貨を現金で取引する”ことも法律には引っかからない。
    不正に金銭を得ていたことが罪に問われたわけではなく、上司のアカウントをクラックしたことによる不正アクセス禁止法が適用されているのがミソだ。
    コマンド一発で無から金銭が生成できるという錬金術は、法律の視点からは白なのである。(もちろん社内規約には引っかかるだろうけど)
    ちなみに偽造されたゲーム内通貨の価値は6000万円分くらい(?)という情報も目にした。

  3. ゲームの寿命を縮める
    これはガンホー社の経営が傾くだけで、ユーザから見れば管理会社が変わればむしろ嬉しいのかもしれない。^^;
    MMORPGの世界では独自の経済圏が出来っており、アイテムのお役立ち度と希少さに価値がつけられ、仮想通貨により取引されている。
    通貨の大量作出による経済圏の崩壊はインフレを招くため新規ユーザが参加しづらくなる上に、物価の上昇が止まらなくなる。
    物価の上昇によってアイテムの入手が難しくなりすぎると、面白さも激減してしまいユーザ離れが進む。
    このような負のスパイラルに陥る可能性は大きく、ゲームの短命化に繋がる。
    特にラグナロクオンラインの作りは、お金が増える一方になっており、管理側がどのようにインフレ対策をとっているのかは気になる所。


個人的な感想としては、今の法律が追いついていないのかなと思った。
ただし、法が先走るのは危険な側面もあるので、今回の事件をきっかけに法体制を整備すべきではないかなと。
錬金術を取り締まる手段が無ければ、現実の経済にも影響を及ぼすわけで、ここらで何らかの手を打つべきじゃないでしょうか。

オンラインゲームでよく扱われる問題としてRMTとBOTがあるが、感覚としてはRMTはありで、BOTはなしという思いがあったり。
時間を投資して築いた資産をお金でやり取りするのはあり。
リスクなしで稼げてしまうBOTなしと。
(もちろん規約違反になるのでRMTもなしなゲームが多いわけだけど)
株ロボなども手から離れたところで稼げるけど、リスクが付きまとうから成り立っているわけで。
BOTが抹殺されれば、想像よりも健全な世界になりそうな気がします。

管理会社であるガンホーはゲーム自体に手を入れられないでしょうから、不正プログラム対策などが後手に回りがち。
対策が困難な面はあるでしょうが管理会社として収益をあげている以上、顧客からの期待には応える必要があるでしょう。
オンラインゲームを運営する企業の中でも国内トップとして君臨していることから、他企業からのお手本にもなるわけですし、今後の健全な体制作りに期待したいものです。

参考サイト
ガンホー・オンライン・エンターテイメント | プレスリリース | 元職員による弊社への不正アクセスについて
http://www.gungho.co.jp/press/089.html


「ラグナロク」のゲームマスター、自社サーバーへの不正アクセスで逮捕
http://internet.watch.impress.co.jp/cda/news/2006/07/20/12720.html


ITmedia News:「ラグナロク」GMのガンホー社員逮捕 「ゼニー」を不正に増やし売却
http://www.itmedia.co.jp/news/articles/0607/20/news069.html


ガンホー元社員、不正アクセスで逮捕--ゲーム内通貨を不正操作し販売 - CNET Japan
http://japan.cnet.com/news/tech/story/0,2000056025,20176007,00.htm


BOTNEWS~ボットニュース~
http://blog.livedoor.jp/botbokumetu/

  • [2006/08/02 08:34]
  • セキュリティ |
  • トラックバック(0) |
  • コメント(2) |
  • この記事のURL |
  • TOP ▲

脅威に関する啓蒙活動 

ネット犯罪の脅威は目に見えないため、危険に対する意識はどうしても希薄になりがちだ。
危険を意識付けするために視覚にうったえるのは効果が高そう。

そんなわけで、こんな素敵なFlashコンテンツが。

0-DAY - SIMPLE SQL INJECTION
http://0-day.x128.net/simple-sql-injection.html


ソースファイルを精査してSQLインジェクションの脆弱性を探し出し、攻撃を仕掛けるという流れだ。
最近では脆弱性情報が金銭でやりとりされているという話ですし、認知できてない脆弱性も多そうです。
ソフトウェア開発者が、気を引き締めるために効果的なコンテンツでしょう。

パスワードの強度を測る 

Microsoftが面白いサービスを提供しています。

パスワード チェッカー
http://www.microsoft.com/japan/athome/security/privacy/password_checker.mspx


そのものずばり、パスワードの強度を測ってくれるサービスです。
いつも使っているパスワードを入れてみると、どの程度の強度を持っているのか、4段階で表示してくれます。

大文字や数字、記号の入り混じったある程度長いパスワードが必要なんだな、と教えてくれます。

私の使っているパスワードの中で一番ややこしいものでも、強度は「中」と診断されてショッキングでした。^^;
そろそろ新しいパスワード作ろうかな。

研修五日目 

オペレーション、Windowsセキュリティについて。

オペレーションは情報収集、統制あたりのお話。
特記すべきことはなし。

Windowsセキュリティは想像より実りある内容でした。
正直Windowsってなめがちだけど、奥が深い。
周辺ツールの紹介を交えつつ、ポリシー設定のやりかた、テンプレートと反映の仕方などなど。
Windowsはバージョンが変わると変更事項も多いので、セキュリティ周りの対応も大変。
ActiveDirectoryのことすらあまり分かっていないことがはっきりした。

ActiveDirectory、Kerberosあたりは勉強し直します。

診断ツールもなかなか便利。

話を聞いてて思ったのは、Windowsって脆弱だと思われがちだけど、どうもデフォルト状態がまずいんじゃなかろうか。
設定次第では堅牢な環境を構築することも可能だし、便利なGUIツールも揃っているからLinuxよりも簡単に設定ができる。
デフォルト設定って大切だなぁと改めて思った。

実習は、講義で紹介のあったWindowsツールを触って終了。
・・・これで実習が終わりなわけだけど、正直微妙だったかも。^^;

講義はレベルがそんなに高くなかったため、理解するための労力は少なくすみ、あれこれ考察を加える時間がありました。
示唆に富んだ内容で、なかなかよかったのかな。
今回はオトナの事情で無料受講できたことを考えると、かなりお得でした。
# 本当は50万くらいかかる研修です

研修四日目 

暗号化技術、情報隠蔽技術あたりのお勉強。

暗号化や通信傍受(sniffing)に関しては何冊か本を読んだことがあったので、浅いところに関しては既知の内容が多かった。
現在、主に使われている暗号などの現状把握は大切かな。
際だって勉強になった内容は無し。

情報隠蔽、ここではステガノグラフィがメインだったんだけども。
画像とか音声ファイルに情報を埋め込んで送るって、インサイダーの情報漏洩とかを考えるとかなりの脅威だよなぁ。
しかも、普通はそこまで精査できないだろうし、できたとしても激重いと思う。
今まであまり意識したことがない部分だったので、興味深い内容でした。

演習。
s-tools等の情報埋め込みツール、ウォードライビングツールで遊んだり。
あとはhping2、tcpdump、etherealあたりでほげほげ。
今日は特に面白くなかった・・。orz


名著。
暗号の歴史をすらすらと学べます。
http://heavyfeather.blog38.fc2.com/blog-entry-465.html

暗号解読―ロゼッタストーンから量子暗号まで
サイモン シン Simon Singh 青木 薫
新潮社 (2001/07/31)
売り上げランキング: 8,266



軍事に絡んだ通信事情と傍受事情
すべては傍受されている―米国国家安全保障局の正体
ジェイムズ バムフォード James Bamford 瀧沢 一郎
角川書店 (2003/03)
売り上げランキング: 119,869

研修三日目 

昨日とはうって変わって技術寄りのお話。

Webサービスから始まり、FW、IDS、IPS、Honeypotなどなど。
各種ツールの紹介もあって収穫多し。
講師が運用中のHoneypotの様子を見せていただけたのもよかった。
そこたら中で攻撃が横行してるのは知っていたものの、豊富な攻撃のバリエーションを見せて貰えた。

実習はちまちまと各種ツールを使ってみましょう、といった感じ。
nmap、Nessus、John the Ripperあたり。
(他にもいくつか触ってたはずだが忘れた)

nmapは以前も使ったことあったけど、改めて便利だなぁと。
ポートスキャン、OS看破などなど。
ステルススキャンも出来る。(root権限いるけど)

Nessusは脆弱性診断をしてくれるオープンソースソフトウェア。
ユーザ追加など、ちょっとだけ前準備が必要だけど、あとはずがーっと自動でやってくれる。
グラフなどが入った豪華なレポートを生成してくれるのが魅力かな。
最新版であれば、PDFやPSファイルでも出力してくれるらしい。

John the Ripperに限らず、パスワードクラックはデータさえあれば意外とお手軽。
Unixであればハッシュファイルとshadowファイル、Windowsであればハッシュファイルだけ用意してやれば、後はツールに任せて放置。
unshadowとかpwdumpとか便利ツールも使ったんだけども。
さすがにBrute Force Attackだと、ものすごい時間がかかりそうだった。
Dictionary Attackが一瞬で完了するのを見て、単純なパスワードは止めておこうと心に誓ったのは収穫かな。w

パスワードって、Brute Forceで解けるまでの時間内に変更をすることで、一応の可用性を保っているわけだけど。
この先、演算能力が上がり続けたら頻繁にパスワードを変えるのが標準ポリシーになっちゃうのかしら。
その前にスパコンみたいな感じで演算装置は輸出禁止!とかになるのかな。^^;
# すでにbotnetがかなりの脅威ではありますが

こんな感じで、技術屋さん向けな一日だった。

研修二日目 

本日は技術的な話はあまりなく。

基礎のCIAから始まってパスワード管理などの体制について。
内容的には監査寄りのお話。

ポリシー策定とか、インシデント対応は聞いてて面白かったです。
パーフェクトなセキュリティは実現不可能なので、インシデントハンドリングやら緊急時対応などのポリシーは重要だなぁと感じました。

今日から実習も始まり。
どんなことするのか楽しみだったんですが、初日は本当に初歩のコマンドおさらいみたいな感じで終わってしまった。
どうも技術屋さんだけを対象にしているわけではないようだ。
そんなわけで、手を動かすから眠くならないはずなのに、船こいでしまいました・・。
さすがに朝から英語の講義を集中して聞いてたら、夜にはバテてます。

明日からはtcpdumpとかetherealでパケット覗いたりする模様。
なんというか、実習のレベルが大学学部生とか高専レベルじゃないのかと思ってしまう。w
フィルタ設定は奥深いと思うんだけど、そこまで深くやらないと思う。;;
ついでにルータの設定とかFWのフィルタ設計とかその辺も?やるのか?

exploit codeを実践できる、通学中の大学の実習の方が有意義な予感が、今からばりばりしてたり・・。


直接関係ないけど休憩時間を利用しつつ、久しぶりに宮部みゆき読み始めたらやけに文章がすっきりしてるなーと感じた。
それが巧さなんだろう。
なによりも秀逸だと思うのは、物語の設定なんだけども。
短編集なので、緻密に組み立てられた設定をより濃密に味わっております。

研修一日目 

研修開始です。
なんの研修に行っているのかと言うと、コレ。

SANS Security Essentials Bootcamp Style
http://sans-japan.jp/SJ/tokyo02_2006/track1.html


セキュリティ絡みですな。
昨日も書いたとおり、海外から招いた講師なのでばりばり英語です。
どこまでついていけるかなーと思って頑張ってみたんですが、さすがにネイティブのナチュラルスピードはきつかった。
既知の部分は英語で聞いていたんですが、少しでも得るものがありそうな部分は同時通訳に頼ってしまいました。
とりあえず、定型文とその分野の語彙を抑えないと辛いな。
あと、耳も英語に慣らしておかないと・・・。orz

初日の内容は、ネットワークの基礎から入って、関連のセキュリティをかじる所まで。
物理セキュリティの対策部分は、海外ならではの感覚があって面白かった。
その他は大体知ってることでした。^^;

CISCOのルータに関する話もあったけど、ネットワーク屋さんではないのでメモ程度。
この辺りはノウハウも多そうで、知識だけ持っててもちょっと手が出ない。

初日は、英語と物理セキュリティ対策のお勉強だった感触。

明日はネットワークセキュリティのに関するCIAとかその辺かしら。
実習も始まります。
# 多分tcpdumpとかで終わる気がする・・大学の実習の方がレベル高い予感

情報漏えい事故に便乗したフィッシング 

少し前になるが、個人情報情報漏えい事故に便乗したフィッシング詐欺が発生した。

外国為替証拠金取引-ジェイ・エヌ・エス
偽サイトについて
http://www.jns-online.com/etc/dummy_web.html

これはヤバイ。
このやり方はかなり深刻な問題になりそうな気がする。
そもそもメールを受け取った情報漏えいの被害者は、意識が情報漏えい事故にばかりいってしまい、フィッシングの可能性に気づきにくそう。

詐欺なんかの攻撃も組合せで来られると、かなりの困り者になりそうだ。


そんな中、Google大先生が素晴らしいツールを提供。

Google Safe Browsing for Firefox
http://www.google.com/tools/firefox/safebrowsing/


Safe Browsing is often able to automatically warn you when you encounter a page that's trying to trick you into disclosing personal information.


要は、個人情報を盗もうと試みるサイトに出会ったら警告してくれる、というわけだ。
ただ、Phishingのページだって判断をどのようにしているのかが良く分からないなぁ。


advanced algorithms with reports


ってあったけど、報告はともかく“advanced algorithms”ってなんなのだろうか。^^;
Google大先生なので、きっと凄いに違いないとは思えども。


あと、こんなのも。

窓の杜 - 【NEWS】「Firefox」上でWebフォームの送信先URLを手軽に事前確認できる「FormFox」
http://www.forest.impress.co.jp/article/2005/12/15/formfox.html

フォームから情報を送信する際に、送信先URLを確認できる。
また、JavaScriptのチェックもしているようで心強い。

紹介画像を見た限り、送信先URLの目視が大変そうだ。
ドメインが違うときは、赤く表示するとかしてくれるんだろうか。


しかし、こうやってみるとFirefoxの地位が上がっていきそうだ。
Extension開発のしやすさが、かなり効果を挙げてるんだろうなぁ。

“セキュリティを学ぶこと”を、2005年を振り返りつつ考えてみる 

2005年4月より、セキュリティを学びに大学へ通っているわけだけど、セキュリティを学ぶことは恐ろしい事態を招いている気がする。

何が恐ろしいって、“ネガティブ”になりがちなのだ。
あぁ、あれはダメだ、恐ろしい脅威だ、どうやって守るんだ、なんて弱いところにまず目がいってしまう。
しかも、この思考パターンは無意識に植えつけられていて、なんとなく気づき始めたのがここ最近。
・・・これって、私だけなんだろうか??

もうちょっとポジティブな思考に切り替えないといけないな、なんて思っていた年末。
流れるニュースも、こぞってセキュリティの負の側面を捉えたものばかりなのが、ちょいと頂けないなぁ。
2006年はポジティブシンキングでセキュリティを学びたい。


あと、セキュリティについて日頃思っていることも書いておこう。

いきなりセキュリティには関係なくて恐縮だが、まずは少し離れて、Web創世記を思い返してみよう。
当時はHTMLを書けるだけでも凄い凄いともてはやされたものだ。
ところが、今ではソフトウェアエンジニアがHTMLを記述できるのは、ほぼ当たり前といった状況になっている。
エンジニアではない一般のユーザでも、HTMLを書ける人は多い。

そして、セキュリティの創世記に当たるのが今なんじゃないかな、と感じている。
もちろんセキュリティ技術自体は昔からあるものなんだけど、一般レベルに浸透するという意味での創世記。
なによりも脅威が身近に迫っていることを実感させられる事件が、2005年あたりから多発しているのが要因だ。

上記したWeb創世記を踏まえると、数年後にはセキュリティの知識があって当たり前の世界がやってくるんじゃないだろうか。
Webサービス開発の分野に目を向けると、エンジニアとデザイナの垣根が低くなっているように、セキュリティについてもある程度の知識を、多くの人が持っている時代が間違いなく来るだろう。
その“ある程度”がどの程度なのかは分からないのだけど。

今からセキュリティを学んでいる身としては、数年後には、一線に立てる人間になっていることが目標だ。
そのためには、今学んでいることが先端であってもすぐ時代遅れになるだろうから、貪欲に学び続ける姿勢が重要だろう。


ちなみに、後半書いたことは帰省した際の呑みで友人と話していた内容だったりする。
口に出すと改めて思考するし、考えがまとまってよいね。
特に異業種の人間と話すのは、凄く刺激的だ。
  • [2006/01/07 04:16]
  • セキュリティ |
  • トラックバック(0) |
  • コメント(0) |
  • この記事のURL |
  • TOP ▲

ネットバンキングと個人情報保護 

個人情報の流出がコワイから--米でネットバンキングが伸び悩んでいる訳
http://japan.cnet.com/news/tech/story/0,2000047674,20087000,00.htm

フィッシングなどオンライン詐欺が騒がれているせいで、ネットバンキングに新規加入する人が減っているようだ。
# そういやフィッシング詐欺ってFishingじゃなくてPhisingなんだよね
# ファーミングもFarmingじゃなくてPharmingだし

ところが、ネットバンキング離れが進んでいる一方では、従来からのユーザが利用する時間は増加しているんだそうで。
一度ネットバンキングの便利さを知ってしまうと、なかなか離れられないのは分かる。
一昔前と違って、残高参照だけじゃなく振込みまで出来ちゃうし。
振込みがあるとメール通知までしてくれるサービスもあったりする。

フィッシングの手口に注目すると、実は従来のアナログな詐欺とさほどの差はない気がする。
肝はインターネットを通じてのソーシャルエンジニアリングに対し、充分な対策が整備されていない点で、それが脅威を助長する原因になっている。
つまり未知の部分が多いということだ。

一昔前に架空請求詐欺が各地で頻発した。
ポストにはがきが入っており、これこれこういうわけだから“お金を振り込め”と書いてあるわけだ。
さらに期限までに振り込まないと“会社にも連絡するよ”とか、“訴えますよ”なんて、ご丁寧に書いてある。

スパムメールも結局やってることは似たようなものだ。
手口は似たようなものなんだけど、ITが絡むことによる未知への恐怖と、Eメールはタダで飛ばし放題ってところが問題なんだろうなぁ。
この辺り、一般の人たちの持つオンラインの脅威に関する知識が不足しているんじゃないかなと思う。
どうやって、この辺りの知識を広範囲に普及させるかは、セキュリティを考える上でかなり重要な課題なんじゃないかな。

記事でも取り上げられているように、サービスを利用しないことも、リスク回避の手段としては有効ではあるんだけど。
身の回りのサービスを駆使して生活を便利にしつつ、リスクも回避できるのが一番いいよね。

PC盗難を防ぐための一工夫 

昨今、個人情報流出の一因となっているのが、ノートPCの盗難。
これに対するソリューションとして、データを暗号化しておくとかシンクライアントを導入するなどの対策がある。
これらの手法は確かに有効だろう。
しかし、少し考えてみれば、機器や情報自体を紛失してしまうこと自体が損失であることは明白だ。

そこで、物理層からのアプローチ。
見た目を偽装して、情報端末ではないと認識させ、盗難自体を防ぎましょうという話だ。

キャリングケース偽装
http://japanese.engadget.com/2005/11/27/powerpizza-pc/


ピザボックスだと逆に取られやすくなるんじゃ??、とか細かいことは気にしない。
何に偽装するかは当事者にお任せする。

とまぁ、ほとんどネタなんだけど、案外バカにできない対策方法じゃないかなぁ。
盗む方も価値があるんだから盗むのであって、価値がないように見せかければいいじゃない。
というソリューションなのでした。

個人情報の使い方 

http://internet.impress.co.jp/kojinjohoblog/

様々な場面で個人情報を扱う際の例が取り扱われていて面白いかも。
今年に入ってから、個人情報保護法の影響で個人情報に関してうるさすぎな気がする。もう少し利便性を考えて、柔軟な体制作りというかシステム作りが進むと嬉しいのだけど。
その辺りがビジネスチャンスってものなんでしょうか。

設定ミスでSasser感染 

大手ISPの@niftyの提供するセキュリティサービス、「常時安全セキュリティ24」にてトラブルがあったようで。
サービス提供側の設定ミスのせいで、Sasser感染者が多数続出。
http://www.nifty.com/sec24/notice/topics17.htm

今のところ、会社側の発表を見ているとお詫びとSasserへの対応方法が掲載されているものの、特に補償はないみたいですね。

今年の5月くらいにはトレンドマイクロが誤ったパターンファイルを公開してしまう事故が発生しました。
そのときに、各企業は人が介在することのリスクを認識したはずで、設定ミス等のケアレスミスを回避する体制ができていないのはおかしいような気がします。
特に、今回はワームに感染してしまうという洒落にならない事態が発生しているんだから、なんらかの補償があってもよさそうなもんですが。

規約をちょっと読んだところ、第二条「本サービス」の第四項に “本サービスの各機能の内容は、その時点でニフティが提供可能なものとします。”

とあるものの、 「設定はずしてて、その時点で機能は無効だったから規約違反じゃない!」なんて言い訳は通用しないでしょう。
# そもそも、そういうものじゃないのかも。

事故の詳細を明かさず、万全な体制だったと言い張ったkakaku.comの事故のように、今年に入ってのセキュリティ事故を見ていると、充分とはいえない対応がちらほらとあって、今回の事故の対応も気になります。
しばらくの間、@niftyの対応を生暖かく見守ってみることによう。

Movable Typeでのコメントスパム対策 

ここのところ、コメントスパムの量が多くなってきた。
日頃のアクセス数が特に多いわけでもないので、今までは標的になって無かったんだけど。
少し前から徐々に増え始め、最終的には50件/日程度のペースになっていた。

スパム投稿側も、IP偽装なんかは当たり前のように行っているため、ブラックリスト登録もままならない状況。
手動でスパムコメントを削除するのは大変だなーと、今頃になって気づいたので対策を採ることに。

コメントスパム対策にはいくつか種類があるようで、難しい手法には例えばベイジアンフィルタを使った手法がある。
Thunderbirdなどでも採用されており、ある程度の学習期間を経れば精度よくスパムメールをはじいてくれる。
一方で、簡単な手法を選択するなら、チェックボックスを用意するだけの方法もある。
コメント投稿の際に用意したチェックボックスをチェックしてもらうわけだ。

ただ、これらの方法には、導入負荷が高かったり、学習が必要だったり、ユーザに余計な手間を取らせてしまうといった問題が付きまとう。
そんなわけで今回は、導入が簡単かつ、ユーザには負荷のかからない方法で対策を取ることにした。

方法はとても簡単で、<FORM>タグの間にhidden属性で値を埋めておき、その値をコメント投稿の処理時にチェックするだけだ。
この方法は、ほとんどのスパムコメントがmt-comment.cgiに直接投げられるのを、逆手に取っている。

導入の参考にしたのは下記サイト。
 http://sadayx.ddo.jp/blog/archives/000045.html

同じスクリプトが広まっていそうなので、一応変数名は変えておいた。
この方法で、毎日来ていたスパムコメントは無くなったので、効果はてきめんであった。
# てきめんて覿面て書くのか

ただし、効果がない場合もあるようなので、今後問題が生じたら他の手法も試してみよう。
と、セキュリティを学んでいる立場なのに事後対策に興じるのであった。
# だめやん
  • [2005/10/17 02:53]
  • セキュリティ |
  • トラックバック(0) |
  • コメント(-) |
  • この記事のURL |
  • TOP ▲

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。