カテゴリー: Vulnerability

投稿アップデート情報　　追記(3/21)　　追記２(3/22)　　追記３(3/23)

　今日は，一日バタバタしていて，改めてtwitterを読んでびっくり。ニュースも読みにいった。こんなふうに，世の中の動きに置いてけぼりのことがよくあるので，ある日気がついたら，戦争が勃発していたなんてことがあるんじゃなかろうかなんて，不吉なことを考えてしまうことがある。

　日経の「韓国放送局などサーバーダウン、政府が警戒態勢に 」を読んで，エーッと，今度は，ガゼット速報を見に行く。「韓国サイバーテロ、中央管理サーバが悪意のあるコードを配布か」だってさ。文末に「（推定段階であるものの）今回はパッチサーバを経由して狙われた可能性がある。」とある。

　「マイクロソフト セキュリティ アドバイザリ (2718704)」のときに，「こういう悪夢の元だってことだよねえ。」と書いたんだが，悪夢が本当になった。ただし，今回の更新サーバというのは，大本ということではないが……

　上原さんのTweetを読んだりすると案外たいした犯人ではないかもしれないと思えたりするが，犯人の技量はともかく，損害は計り知れないよね。

　朝鮮日報を見に行ったら，「（KBS·MBC·YTN　内部ラン全面ダウンの原因分析）セキュリティプログラムの更新サーバがマルウェアの配布元にされたか？」という表題で，Twitterにあげられたという髑髏の画像が，一面を飾っていた。

追記(3/21)：
　少し沈静化してきたのか??? 朝鮮日報でもトップのトップからは少し外れている。６社とも同じ攻撃元だったらしい。昨日，推定段階として流された「パッチサーバがハックされた」ということではなく，各社内の更新管理サーバがマルウェアの配布元となった模様。それが汚染された原因として，APT攻撃によって，管理者アカウントを奪取したものと推定されているらしい。これまた，推定の段階。まだ変わるのかな。

　「“ATP攻撃”で管理者アカウント奪取 – AhnLab」という記事があった。専用ワクチンのダウンロード URI　(ahnlab.com/kr/site/download/vacc/vaccView.do?seq=109) が書いてあった。AhnLab って，不明にして知らなかったが，韓国では結構有名なウイルス対策ソフトベンダらしい。その記事によると，
　　　　　- Windows XP、Windows 2003 Server
　　　　　　　物理ディスクのMBRとVBRなどにゴミデータの埋め込​​み
　　　　　　　論理ドライブの破壊

　　　　　- Windows VISTA、Windows 7
　　　　　　　物理ディスクの破壊
　　　　　　　すべての論理ドライブのファイルの内容を削除
だって。

追記２(3/22)：
　まだ，いろいろ情報が錯綜していて，読んでいて頭が混乱してきたのだが，徳丸さんが，Masafumi Negishi さんのまとめをtweetしてくれていたので読みに行ってきた。

　文中に，韓国インターネット振興院 (KISA) というのが出て来るが，独立行政法人情報処理推進機構 (IPA) と似たようなものらしい。しかし，全体で150人，通常時にインターネットトラフィックを監視する人員は日中が4人，夜間は3人という陣容の組織らしく，なかなか実際に最前線で実戦対応するのは難しいようだ。この陣容の件は，朝鮮日報の「[3·20 사이버 테러] 北, 정찰총국서 사이버戰 일사불란… 우리는 뿔뿔이 대응」という記事の中にあった。この記事には，日本語版もあった。内容的には，あまり変わらないようだ。題名は「サイバーテロ：司令塔ない韓国、各組織の対応バラバラ」とずっとおとなしくなっている。

　どこの国の管理行政も，急激に増大する民間のネットインフラに対応できていないということだろう。我が国だと，どうなるんだろう。いろいろ読んでて，彼らも悪夢を見ているかもしれないと思った。

追記３(3/23)：
　なんか，あほな話が混じってくるようになったが，でもねえ，笑いごとじゃすまないからな。
　とかいいつつも，徳丸さんらの関連tweet読んでて，吹いた。これとかこれとか。お腹よじれた。

　なんかまた，いろいろ出てますね。こんなのとかこんなのとか。どれも緊急ですワ。我が家は，ついにJREをアンインストールしてしまいました。まあ，Webのほうだけ無効にしてもいいのですが，最近あまり使わないもので。

　昔（といってもネットの世界なので，つい２年位前の話ですが），WindowsUpdateは安定するまであてないとかいう時代もあったのですが，こんなこともある当世なので，OSや有名どころのプラグインなど（なんといっても有名どころは狙われやすいです。ただし，対応も早いですが）は必ず最新のパッチをあてた状態にし，ウイルス対策ソフト・ファイアーウォールは統合ソフトを導入し，これまた最新にしておくことが肝心ですナ。どこの水飲み場で襲われるかわかったもんじゃありません。昔と違い，昨今の悪者は，目に見える症状を表してくれないからたちが悪いですよネ。

　さて，本題。

　昨夜，80年後のKENJI～宮沢賢治　映像童話集～というのがありまして，恐る恐る見てみました。何で，恐る恐るなのかといいますと，長岡さんの死の話のときにチラッと「雨ニモマケズ」の件に触れたことがありますが，それに限らず，KENJIの作品には昔からかなりの思い入れがありまして，他の人が作った映像作品が，なかなかに受け入れがたいということがよくあるのです。まあ，昨夜のところは，それほど拒否反応を起こすものはありませんでした。シグナルとシグナレスについては，あのキャラはやめてほしいなと思いましたが……
　今回使われた原作について，また，青空文庫を利用させていただき，縦書きにしてみました。縦書き集にも入れておくつもりです。よかったらお読みください。

80年後のKENJI～宮沢賢治　映像童話集～　第1回「ちいさき命」

• 「シグナルとシグナレス」-新字新仮名
• 「注文の多い料理店」-新字旧仮名
• 「雨ニモマケズ」-新字旧仮名

80年後のKENJI～宮沢賢治　映像童話集～　第2回「畏れる」

• 「やまなし」-新字旧仮名
• 「春と修羅」-新字旧仮名-作品に使われたのは，9頁の終わりあたりからです。
• 「十力の金剛石」-新字新仮名

　書き忘れていましたが，縦書き集は，Javascriptを有効にしないと読めません。(最低でもo6asan.com，
ajax.googleapis.com，nehan.googlecode.com，googlecode.comに対しては。)　また，IE9，10の場合は互換表示で読んでください。

投稿アップデート情報　　追記(1/4)　　追記２(1/8)　　追記３(1/9)　　追記４(1/15)

　年の初めからナンだけど， CVE-2012-4792 の件です。

　昨年末，いつもの セキュリティホール memo さんのところで， Attackers Target Internet Explorer Zero-Day Flaw やら CFR Watering Hole Attack Details なぞというのを見かけて，アラーッと思っていたんだが，30日の追記によると，Fix it が提供される予定らしい。しかし，日本語の情報が少なくて，アドバイザり(2794220)は出たが，これも今のところ日本語なし。<<--- 遅ればせながら，日本語のほうにリンクを貼り換えた。(1/15) 　すでにアタックがあってるのに，どなたかお願いしますよと思っていたら，徳丸さんが，今日，元旦にも関わらず，IE6,7,8のゼロデイ脆弱性(CVE-2012-4792)の対処法 を出してくれた。

　で，この中に 日本語情報のページとして， Internet Explorer に任意のコードが実行される脆弱性 をリンクしてくれている。今のところ，姑息な回避策しかないようなので，Fix it か Windows Update でパッチが提供されるまでは，IE6，7，8 の使用は避けたほうが，無難かもしれない。

　このゼロデイアタックの内容を書くのが後になったが，要するに，マルウェアに感染しているサイトを見に行くと，この脆弱性を利用して攻撃され，見に行ったものがトロイの木馬に感染するということらしい。このトロイの木馬は， Symantec が Trojan.Swifi と名づけけていたものの亜種のようだ。一番初めに感染したサイトとして，報告されたのが，Council on Foreign Relations (外交問題評議会) で，日本語でもこのゼロデイアタックは有効ということだから，年末年始にどこか大手のサイトで感染しているところに遭遇する危険は，十分ある。

　どこの国でも，クリスマスやお正月などの前後は，ネットワーク管理者なんかもみんなお休みになって，セキュリティパッチの適用なんかも遅くなりがちだから，自衛するに越したことはないと思うよ。

　自衛法は，徳丸さんのところを参照してください。

追記(1/4)：
　これに対するfix itは，すでに出た。しかし，当該ページにも書いてあるように，セキュリティパッチに代わるものではなく，先に提示されていたややこしい回避策のうちのひとつを，自動的にやってくれるものに過ぎないようだ。IE9,10は影響を受けないといわれているが，WinXPはIE9をサポートしていないから使いようがない。

　IE6,7,8については，最新のセキュリティパッチを当てた上で，上記のfix it(50971)ををやっておけばいいかもしれない。50972はこの回避策を解除するものなので，50971を当てたせいで，不具合が起こったりしない限り，使う必要はない。万が一間違って50971→50972と続けてやってしまうと，何もやっていないのと同じことになるので注意。

　ちゃんとインストールされたかどうかは，次の方法で確認できる。
［方法 1］
　レジストリエディタで以下のエントリがあるかどうかを確認。

• 32-bit および 64-bit ともに以下のエントリが存在する。
  　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{a1447a51-d8b1-4e93-bb19-82bd20da6fd2}.sdb
• 64-bit には以下のエントリも存在する。
  　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{6631f21e-4389-4c67-9b10-cf2b559b8d4a}.sdb

［方法 2］
　レジストリエディタで以下の場所の REG_QWORD エントリに
　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\iexplore.exe

• 32-bit および 64-bit ともに以下の名前が存在する。
  　　{a1447a51-d8b1-4e93-bb19-82bd20da6fd2}.sdb
• 64-bit には以下の名前も存在する。
  　　{6631f21e-4389-4c67-9b10-cf2b559b8d4a}.sdb

　まぁ，正規のセキュリティパッチの出るまでは，FireFoxでも使ったほうがいいかもね。

追記２(1/8)：
　こんなことだそうです。上にも書いたけど，正規のパッチが出るまでは，IE6,7,8は使わないほうがいいですね。感染サイトとして報告されているのが，大きなまともなサイトばかりだから，国内のサイトでも，そういう可能性は否定できないです。
　　　　Fix it を突破する方法が確認されたそうで:

追記３(1/9)：
　徳丸さんとこの記事です。どうしても，IE6,7,8を使い続けなければいけない場合に使える回避策だそうです。しかし，一般人は，ここまでするなら，別ブラウザを使うほうが楽ッス。そういえば，火狐の18.0が出ましたね。
　いずこも日夜努力しておられます。ユーザとしてはありがたく成果を頂戴するのみですが，悪いことのほうで日夜努力するグループが多いのも，痛いですね。
　　　　EMET3.5でIEを防御する(CVE-2012-4792)

追記４(1/15)：
　出ました。Internet Explorer 用のセキュリティ更新プログラム (2799329)。自動更新を有効にしている場合は，自動で当たるので大丈夫なはずだが， (2799329) MS13-008が更新プログラム中にあるかどうか位は，確認しておいたほうが，吉。手動にしている場合は，早速，対処しよう。ただし，当てる順序には十分注意を。

1. Internet Explorer の最新の累積的なセキュリティ 更新プログラム (2761465) MS12-077 <<--- 先月分です。
2. Internet Explorer 用のセキュリティ更新プログラム (2799329) MS13-008
3. Fix it による回避策 50971 を使った場合は，これを元に戻す 50972。必須ではない模様。やらなくても可。

　「こんな記事が……」に書いた話だけど，続いているね。IT系のニュースには随分いろいろ出ているけど，一般紙にさえこんなのがあった。誤認逮捕という話が出たもんだから，日ごろこういうことに興味のない人たちも気にしてるようで，今日も知人にいろいろ聞かれた。一般の人は逮捕された人たちのことが気になっているようだ。

　しかし，まあ，わがブログの場合はそれはおいておいて，PCのセキュリティの話に終始する。

　昨日も，2012 年 10 月のセキュリティ情報で予告されたアップデートが出たし，マイクロソフト セキュリティ アドバイザリ (2749655)なんてのもあった。

　前にも書いたけど，快適なWebライフのために頑張りまっしょい。

　今朝，各新聞のヘッドラインを見ていたら，「２人のＰＣ乗っ取り犯罪予告か…類似ウイルス」という読売の記事が目に入った。

　「警察庁によると、サイバー攻撃などでは発信元を特定されないよう、セキュリティーの甘いパソコンをウイルス感染させて中継点にする手口はあるが、パソコンを完全に乗っ取って他人になりすます事例は珍しいという。」という文が入っているのだが，乗っ取られてリモートで弄られる（都合の悪い写真を流された程度だと，実際に仲の悪い知人が本体からやったってこともありうるけど，今回は犯罪予告って話だから，それはないだろう）ってことだよね。リモートオーケーかつパスワード・ファイアーウォール・ウイルス対策などガチャガチャだと，まぁ，そのあたりがいい加減というPCはほかの点でもセキュリティ甘々だろうから，ありうる話だ。

　こういう記事を一般紙の紙上で見ると，こういう時代なんだなぁと思う。これだけPCに依存した生活を送っていても，パスワードを設定していないとか，すごーくわかりやすいパスワードのままで使っているとか，いまだにありがちな話だよね。パスワードクラックなんかは悪いことする人たちにはありふれた手法だけど，それでも，パスワードのレベルでクラッキングに要する時間はずいぶん変わる。だから，パスワードを設定することが役に立つし，他人に推測されにくいものにすれば，もっといいわけ。

　OSとして，Win Vista以降を使っているなら，うっとうしくてもUACは生かしておいた方がいいと思う。自分がうっとうしさになれてしまえばいいわけだから。

　リモートでコードが実行されるなどという脆弱性が発見されてパッチが出たときなどは急いで当てよう。もっとも頻度が高すぎてベンダーの対応が悪く，ゼロディ放置ということもある昨今だけど，一般人はこのあたりの対応で自衛するしかないもの。快適なWebライフのために頑張りまっしょい。