カテゴリー
Vulnerability

「韓国ハッキング被害」の話。

投稿アップデート情報  追記(3/21)  追記2(3/22)  追記3(3/23)

 今日は,一日バタバタしていて,改めてtwitterを読んでびっくり。ニュースも読みにいった。こんなふうに,世の中の動きに置いてけぼりのことがよくあるので,ある日気がついたら,戦争が勃発していたなんてことがあるんじゃなかろうかなんて,不吉なことを考えてしまうことがある。

 日経の「韓国放送局などサーバーダウン、政府が警戒態勢に 」を読んで,エーッと,今度は,ガゼット速報を見に行く。「韓国サイバーテロ、中央管理サーバが悪意のあるコードを配布か」だってさ。文末に「(推定段階であるものの)今回はパッチサーバを経由して狙われた可能性がある。」とある。

 「マイクロソフト セキュリティ アドバイザリ (2718704)」のときに,「こういう悪夢の元だってことだよねえ。」と書いたんだが,悪夢が本当になった。ただし,今回の更新サーバというのは,大本ということではないが……

 上原さんのTweetを読んだりすると案外たいした犯人ではないかもしれないと思えたりするが,犯人の技量はともかく,損害は計り知れないよね。

 朝鮮日報を見に行ったら,「(KBS·MBC·YTN 内部ラン全面ダウンの原因分析)セキュリティプログラムの更新サーバがマルウェアの配布元にされたか?」という表題で,Twitterにあげられたという髑髏の画像が,一面を飾っていた。

追記(3/21):
 少し沈静化してきたのか??? 朝鮮日報でもトップのトップからは少し外れている。6社とも同じ攻撃元だったらしい。昨日,推定段階として流された「パッチサーバがハックされた」ということではなく,各社内の更新管理サーバがマルウェアの配布元となった模様。それが汚染された原因として,APT攻撃によって,管理者アカウントを奪取したものと推定されているらしい。これまた,推定の段階。まだ変わるのかな。

 「“ATP攻撃”で管理者アカウント奪取 – AhnLab」という記事があった。専用ワクチンのダウンロード URI (ahnlab.com/kr/site/download/vacc/vaccView.do?seq=109) が書いてあった。AhnLab って,不明にして知らなかったが,韓国では結構有名なウイルス対策ソフトベンダらしい。その記事によると,
     - Windows XP、Windows 2003 Server
       物理ディスクのMBRとVBRなどにゴミデータの埋め込​​み
       論理ドライブの破壊

     - Windows VISTA、Windows 7
       物理ディスクの破壊
       すべての論理ドライブのファイルの内容を削除
だって。

追記2(3/22):
 まだ,いろいろ情報が錯綜していて,読んでいて頭が混乱してきたのだが,徳丸さんが,Masafumi Negishi さんのまとめをtweetしてくれていたので読みに行ってきた。

 文中に,韓国インターネット振興院 (KISA) というのが出て来るが,独立行政法人情報処理推進機構 (IPA) と似たようなものらしい。しかし,全体で150人,通常時にインターネットトラフィックを監視する人員は日中が4人,夜間は3人という陣容の組織らしく,なかなか実際に最前線で実戦対応するのは難しいようだ。この陣容の件は,朝鮮日報の「[3·20 사이버 테러] 北, 정찰총국서 사이버戰 일사불란… 우리는 뿔뿔이 대응」という記事の中にあった。この記事には,日本語版もあった。内容的には,あまり変わらないようだ。題名は「サイバーテロ:司令塔ない韓国、各組織の対応バラバラ」とずっとおとなしくなっている。

 どこの国の管理行政も,急激に増大する民間のネットインフラに対応できていないということだろう。我が国だと,どうなるんだろう。いろいろ読んでて,彼らも悪夢を見ているかもしれないと思った。

追記3(3/23):
 なんか,あほな話が混じってくるようになったが,でもねえ,笑いごとじゃすまないからな。
 とかいいつつも,徳丸さんらの関連tweet読んでて,吹いた。これとかこれとか。お腹よじれた。

カテゴリー
everyday life

Your eTicket。

 この間,invite+~@facebookmからのメール。というのを書いた。で,その中に

> 私の憶測が正しい場合に限っての話だけど,営業の方とか,ついうっかり,仕事用の携帯でやっちゃいけない
> 私用のfacebookアクセスして,「問題のリンクをタップ」とかしたら,最悪だねぇ。

と書いたけど,仕事関係についてのSNSの使い方は,こんなのも見とけば,「設定」なんかもしっかりやる気になるんじゃないかと思うよ。話の結末は,ちょっと,釣り気味で,どうかと思ったけど。
 まぁ,見ようと思う人は,最初から気をつけてる人だというところが,この辺の話の困ったところなんだが。知人にセキュリティの話をしてても,その辺が困るんだ。いろいろたとえ話をしても,実際に痛い目に合わないと,ピンとこないみたい。遭遇した痛い目が,「灸を据えられる」レベルで済めば,御の字だが,そううまくいくとは限らないからなあ。
 とはいえ,注意を促すといっても,今は仕事じゃないから,その点は昔に比べると,気は楽だ。

 今日も今日とて,Twitterを眺めてたら,Fujisawa さんのこんなのがあって,思い切り苦笑してしまったんだが,実務屋としては笑えないだろうな。

 そういえば,今日,「Your eTicket」という題名の英文フィッシング・メールを受け取った。公開しているメールアドレス o6asanATyahooDOTde に来たもので,yahoo が端から[Bulk]付で回してくれてたから,「フーン」で済んだけど,日本語メールだったらやっちゃったかもしれない。起き抜けだったし(爆)。文面は,よくある「購入ありがとうございます」の英文版。
 文中の http://www.delta.com にリンクが貼ってあるが,跳び先は,デルタ航空の正規のホームページ。ソース等を調べただけで,クリックはしてませんよ!!! http://ja.delta.com/ じゃなくて,http://www.delta.com 。ただし,ついてた添付ファイルが,怪しげだった。 eTicket.zip というアーカイブ。展開してみたい誘惑にかられたけど,やめておいた。やるんだったら,それ用にPCを用意してからじゃないと,ヤバイ。なんか感染したら,復旧のほうが手間だし(汗)。

 で,デルタのホームページにも,案の定,お客様へのフィッシングメールに関する警告というのがあったが, zip の添付ファイルというのは警告にないな。こういうメールって,「下手な鉄砲も数うちゃ当たる」方式だと思うが,うっかり, eTicket.zip をダブルクリックしたりしたら,最悪だな。まぁ,大概は,これにウイルスとかが仕込まれているんだろうから。

 そういえば,差出人のドメインは, primrosehomesinc.com になっていたけど,これ自体は,まともなドメインようだ。ただ,ヘッダの詳細を見ると, SPF について,
     Received-SPF: softfail (transitioning domain of primrosehomesinc.com
     does not designate xxx.xxx.xxx.xxx as permitted sender)
と softfail がでている。 primrosehomesinc.com の transitioning domain は xxx.xxx.xxx.xxx を使うように設定されていませんということだから,何か変なことがあるわけだ。実際,Twitter なんかも SPF 対応だが,お知らせメールの場合なんかは
     Received-SPF: pass (domain of yyyy.twitter.com designates zzz.zzz.zzz.zzz as permitted sender)
と,ちゃんと pass になっている。

 でも,寝ぼけ眼でメールを見るときに,いちいちここまでヘッダを見ないからね。気をつけなくちゃ。

カテゴリー
Vulnerability

80年後のKENJI-#1

The same article in English

 なんかまた,いろいろ出てますね。こんなのとかこんなのとか。どれも緊急ですワ。我が家は,ついにJREをアンインストールしてしまいました。まあ,Webのほうだけ無効にしてもいいのですが,最近あまり使わないもので。

 昔(といってもネットの世界なので,つい2年位前の話ですが),WindowsUpdateは安定するまであてないとかいう時代もあったのですが,こんなこともある当世なので,OSや有名どころのプラグインなど(なんといっても有名どころは狙われやすいです。ただし,対応も早いですが)は必ず最新のパッチをあてた状態にし,ウイルス対策ソフト・ファイアーウォールは統合ソフトを導入し,これまた最新にしておくことが肝心ですナ。どこの水飲み場で襲われるかわかったもんじゃありません。昔と違い,昨今の悪者は,目に見える症状を表してくれないからたちが悪いですよネ。

 さて,本題。

 昨夜,80年後のKENJI~宮沢賢治 映像童話集~というのがありまして,恐る恐る見てみました。何で,恐る恐るなのかといいますと,長岡さんの死の話のときにチラッと「雨ニモマケズ」の件に触れたことがありますが,それに限らず,KENJIの作品には昔からかなりの思い入れがありまして,他の人が作った映像作品が,なかなかに受け入れがたいということがよくあるのです。まあ,昨夜のところは,それほど拒否反応を起こすものはありませんでした。シグナルとシグナレスについては,あのキャラはやめてほしいなと思いましたが……
 今回使われた原作について,また,青空文庫を利用させていただき,縦書きにしてみました。縦書き集にも入れておくつもりです。よかったらお読みください。

80年後のKENJI~宮沢賢治 映像童話集~ 第1回「ちいさき命」

80年後のKENJI~宮沢賢治 映像童話集~ 第2回「畏れる」

 書き忘れていましたが,縦書き集は,Javascriptを有効にしないと読めません。(最低でもo6asan.com,
ajax.googleapis.com,nehan.googlecode.com,googlecode.comに対しては。) また,IE9,10の場合は互換表示で読んでください。

カテゴリー
Vulnerability

IE6,7,8 のゼロデイアタックの話。

投稿アップデート情報  追記(1/4)  追記2(1/8)  追記3(1/9)  追記4(1/15)

 年の初めからナンだけど, CVE-2012-4792 の件です。

 昨年末,いつもの セキュリティホール memo さんのところで, Attackers Target Internet Explorer Zero-Day Flaw やら CFR Watering Hole Attack Details なぞというのを見かけて,アラーッと思っていたんだが,30日の追記によると,Fix it が提供される予定らしい。しかし,日本語の情報が少なくて,アドバイザり(2794220)は出たが,これも今のところ日本語なし。<<--- 遅ればせながら,日本語のほうにリンクを貼り換えた。(1/15)  すでにアタックがあってるのに,どなたかお願いしますよと思っていたら,徳丸さんが,今日,元旦にも関わらず,IE6,7,8のゼロデイ脆弱性(CVE-2012-4792)の対処法 を出してくれた。

 で,この中に 日本語情報のページとして, Internet Explorer に任意のコードが実行される脆弱性 をリンクしてくれている。今のところ,姑息な回避策しかないようなので,Fix it か Windows Update でパッチが提供されるまでは,IE6,7,8 の使用は避けたほうが,無難かもしれない。

 このゼロデイアタックの内容を書くのが後になったが,要するに,マルウェアに感染しているサイトを見に行くと,この脆弱性を利用して攻撃され,見に行ったものがトロイの木馬に感染するということらしい。このトロイの木馬は, Symantec が Trojan.Swifi と名づけけていたものの亜種のようだ。一番初めに感染したサイトとして,報告されたのが,Council on Foreign Relations (外交問題評議会) で,日本語でもこのゼロデイアタックは有効ということだから,年末年始にどこか大手のサイトで感染しているところに遭遇する危険は,十分ある。

 どこの国でも,クリスマスやお正月などの前後は,ネットワーク管理者なんかもみんなお休みになって,セキュリティパッチの適用なんかも遅くなりがちだから,自衛するに越したことはないと思うよ。

 自衛法は,徳丸さんのところを参照してください。

追記(1/4):
 これに対するfix itは,すでに出た。しかし,当該ページにも書いてあるように,セキュリティパッチに代わるものではなく,先に提示されていたややこしい回避策のうちのひとつを,自動的にやってくれるものに過ぎないようだ。IE9,10は影響を受けないといわれているが,WinXPはIE9をサポートしていないから使いようがない。

 IE6,7,8については,最新のセキュリティパッチを当てた上で,上記のfix it(50971)ををやっておけばいいかもしれない。50972はこの回避策を解除するものなので,50971を当てたせいで,不具合が起こったりしない限り,使う必要はない。万が一間違って50971→50972と続けてやってしまうと,何もやっていないのと同じことになるので注意。

 ちゃんとインストールされたかどうかは,次の方法で確認できる。
[方法 1]
 レジストリエディタで以下のエントリがあるかどうかを確認。

  • 32-bit および 64-bit ともに以下のエントリが存在する。
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{a1447a51-d8b1-4e93-bb19-82bd20da6fd2}.sdb
  • 64-bit には以下のエントリも存在する。
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{6631f21e-4389-4c67-9b10-cf2b559b8d4a}.sdb

[方法 2]
 レジストリエディタで以下の場所の REG_QWORD エントリに
  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\iexplore.exe

  • 32-bit および 64-bit ともに以下の名前が存在する。
      {a1447a51-d8b1-4e93-bb19-82bd20da6fd2}.sdb
  • 64-bit には以下の名前も存在する。
      {6631f21e-4389-4c67-9b10-cf2b559b8d4a}.sdb

 まぁ,正規のセキュリティパッチの出るまでは,FireFoxでも使ったほうがいいかもね。

追記2(1/8):
 こんなことだそうです。上にも書いたけど,正規のパッチが出るまでは,IE6,7,8は使わないほうがいいですね。感染サイトとして報告されているのが,大きなまともなサイトばかりだから,国内のサイトでも,そういう可能性は否定できないです。
    Fix it を突破する方法が確認されたそうで:

追記3(1/9):
 徳丸さんとこの記事です。どうしても,IE6,7,8を使い続けなければいけない場合に使える回避策だそうです。しかし,一般人は,ここまでするなら,別ブラウザを使うほうが楽ッス。そういえば,火狐の18.0が出ましたね。
 いずこも日夜努力しておられます。ユーザとしてはありがたく成果を頂戴するのみですが,悪いことのほうで日夜努力するグループが多いのも,痛いですね。
    EMET3.5でIEを防御する(CVE-2012-4792)

追記4(1/15):
 出ました。Internet Explorer 用のセキュリティ更新プログラム (2799329)。自動更新を有効にしている場合は,自動で当たるので大丈夫なはずだが, (2799329) MS13-008が更新プログラム中にあるかどうか位は,確認しておいたほうが,吉。手動にしている場合は,早速,対処しよう。ただし,当てる順序には十分注意を。

  1. Internet Explorer の最新の累積的なセキュリティ 更新プログラム (2761465) MS12-077 <<--- 先月分です。
  2. Internet Explorer 用のセキュリティ更新プログラム (2799329) MS13-008
  3. Fix it による回避策 50971 を使った場合は,これを元に戻す 50972。必須ではない模様。やらなくても可。
カテゴリー
everyday life

SpyEye(スパイアイ)の話。

 11月に入ってから,取引先の銀行からこんなのやこんなのが来ていた。どちらも似たような内容だ。

 こういうものは珍しくないがと思っていたら,今朝,朝日にこんな記事が載っていた。

 特に,後半についてさもありなんと思った。まあ,私自身,プラグインの日本語化ファイルを作ったりしていて,それが簡単に作れることに感動しているわけで,そういうものを悪用する人間も当然現れるだろうということだ。

 便利になっていいことが増えれば,それを利用して悪いことをする人間も増えるわけで,いっそう気をつけなければいけないということだ。スパイアイ対策については,ちょっと古い記事だけれども,いつもながらSo-netの記事をリンクさせておいてもらおうと思う。

カテゴリー
Vulnerability

こんな記事が……#2

 「こんな記事が……」に書いた話だけど,続いているね。IT系のニュースには随分いろいろ出ているけど,一般紙にさえこんなのがあった。誤認逮捕という話が出たもんだから,日ごろこういうことに興味のない人たちも気にしてるようで,今日も知人にいろいろ聞かれた。一般の人は逮捕された人たちのことが気になっているようだ。

 しかし,まあ,わがブログの場合はそれはおいておいて,PCのセキュリティの話に終始する。

 昨日も,2012 年 10 月のセキュリティ情報で予告されたアップデートが出たし,マイクロソフト セキュリティ アドバイザリ (2749655)なんてのもあった。

 前にも書いたけど,快適なWebライフのために頑張りまっしょい。

カテゴリー
Vulnerability

こんな記事が……

 今朝,各新聞のヘッドラインを見ていたら,「2人のPC乗っ取り犯罪予告か…類似ウイルス」という読売の記事が目に入った。

 「警察庁によると、サイバー攻撃などでは発信元を特定されないよう、セキュリティーの甘いパソコンをウイルス感染させて中継点にする手口はあるが、パソコンを完全に乗っ取って他人になりすます事例は珍しいという。」という文が入っているのだが,乗っ取られてリモートで弄られる(都合の悪い写真を流された程度だと,実際に仲の悪い知人が本体からやったってこともありうるけど,今回は犯罪予告って話だから,それはないだろう)ってことだよね。リモートオーケーかつパスワード・ファイアーウォール・ウイルス対策などガチャガチャだと,まぁ,そのあたりがいい加減というPCはほかの点でもセキュリティ甘々だろうから,ありうる話だ。

 こういう記事を一般紙の紙上で見ると,こういう時代なんだなぁと思う。これだけPCに依存した生活を送っていても,パスワードを設定していないとか,すごーくわかりやすいパスワードのままで使っているとか,いまだにありがちな話だよね。パスワードクラックなんかは悪いことする人たちにはありふれた手法だけど,それでも,パスワードのレベルでクラッキングに要する時間はずいぶん変わる。だから,パスワードを設定することが役に立つし,他人に推測されにくいものにすれば,もっといいわけ。

 OSとして,Win Vista以降を使っているなら,うっとうしくてもUACは生かしておいた方がいいと思う。自分がうっとうしさになれてしまえばいいわけだから。

 リモートでコードが実行されるなどという脆弱性が発見されてパッチが出たときなどは急いで当てよう。もっとも頻度が高すぎてベンダーの対応が悪く,ゼロディ放置ということもある昨今だけど,一般人はこのあたりの対応で自衛するしかないもの。快適なWebライフのために頑張りまっしょい。

カテゴリー
Windows

マイクロソフト セキュリティ アドバイザリ (2757760)

 出ましたね。ここ2・3日忙しくて,Zero-Day Season Is Really Not Over Yetを見た後も記事を書き損ねて「ウーム」とか思ってたら,早速出ましたね。

 関連するMSの記事としては,以下のようなところですね。
     マイクロソフト セキュリティ アドバイザリ (2757760)
     マイクロソフト セキュリティ情報 MS12-063 – 緊急
     CVE-2012-4969  <<—  ここはMSのサイトではない。

 「Zero-Day Season Is Really Not Over Yet」を読んでもよくわからなかったのが,正直なところだけど―特に後半は。「リモートでコードが実行される」というのは大変な問題なので,速やかにパッチを当てましょうネ。更新プログラムの履歴に KB2744842 (成功)があれば,既に,システムはパッチされてまーす。

カテゴリー
everyday life

ウイルスバスターの話。

 ウイルス対策ソフトとして,ウイルスバスタークラウドを使ってきた。使い始めがいつだったかは忘れたが,マカフィーなどを使ったごく初めは除いて,ネットではずっとそれで来たので,10年以上の利用だったと思う。7月31日に契約期限が来たのだが,使用自体は5月初めにやめた。今回は契約を更新する気がなかったし,4月ごろから,更新通知が増えてうざかったからだ。

 更新を止めようと思った理由はいろいろあるが,サーバにおけるファイアーウォールとして使いにくかったのも一つだ。これは,主として私の使い方が,トレンドマイクロの仕様を逸脱しているせいで,ウイルスバスターの責任ではない。いろいろと悪評もあるにはあるウイルスバスターだが,ほとんど何も設定しなくても使えるし,それなりにいいソフトではないかと思う。

 9月になるとすぐに右図のような「更新のご案内」を受け取った。まぁ,商売熱心だ。企業なんだから,商売熱心なのは結構なことだが,私が,5月に出した「メールでのお問合せ」の返事はついに来ずじまいだった。「今回のライセンス期限後,契約を更新しないので,こちらの登録を取り消させていただきたいのですが,退会の方法の記載がないようです。どのようにすれば,よろしいでしょうか。」という,簡単明瞭なものだったのだが,「契約更新しない奴なんか知らないよ」ということだろうか。日本の企業もそういう時代なんだね。

 母体は米企業だから,体質は本体と同じなのかもしれないが,日本生まれ日本育ちの人間としては,「どうして,取引をおやめになるのでしょうか。何か,落ち度がありましたでしょうか。」などという返信が来て,こちらが「そちらの落ち度ではありません」とか答えると,「これまでありがとうございました。また,機会がありましたらよろしくお願いいたします。」なんていうやりとりがあるのが普通だと思っていたのだが,自分が時代において行かれているなと感じた一幕であった。

カテゴリー
Vulnerability

Javaにも困ったもんだ。

投稿アップデート情報  追記(8/31)  追記2(9/5)  追記3(2013/6/2)

 えっと,ご存知の方はご存じだと思うが,いつも読ませていただいている「セキュリティホール memo」さんとこで,「Zero-Day Season is Not Over Yet」というのが紹介されたのが,26日。「またかよ」とか思っていたら,結構大変になってきているようで,昨日追記が載っていて,一般ユーザもちょっと対処しておいたほうがよさそうなお話。

 「猛威を振る Java ゼロデイ攻撃コード」(つまんないことだが,「振う」ではないのと突っ込んだりして ― 爆)とか,「Oracle Java 7の脆弱性を狙った攻撃について」を読んでいただけば,内容はわかると思うが,「Blackhole:パッチのスピードよりも高速」というのを読むと,こういう商売というのも盛んなんだなあと,素人は変に感心したりするのであった。

 で,我々一般ユーザとしてはどうしたらよいかということですが,「【ゼロデイ攻撃】JREの未修整の脆弱性を悪用した攻撃発生」を参考にお手当ください。蛇足として書いておくと,JavaとJavaScriptは全く別物です。

追記(8/31):
 JREの1.7.0_07が出ました。Update Release Notesによれば,上記のゼロデイ(CVE-2012-4681)に対応したようです。早速,アップデートしました。
 プラグインは無効のままです。自分がよく訪ねるサイトで,今のところ特に有効にする必要も感じないので。

追記2(9/5):
 追記に書いたように,Java 7 Update 7が出たんだが,「先週公開の「Java 7」パッチは不完全、脆弱性が残る--研究者が指摘」なんだってさ。
 いたちごっこもいいところだ。Javaに関して頻度が高いのは認めるが,一ユーザとしては,セキュリティアップデートとリアルタイムプロテクトに努めるしかないのだろうか。ネットなしの生活なんて考えられないしなあ。しかし,「Microsoft Updateと最悪のシナリオ」なんていうのが,一般ユーザについて現実化したらいったいどうなるんだろ。

追記3(2013/6/2):
 「computerworld.jp終了です」ということらしくて,「先週公開の「Java 7」パッチは不完全、脆弱性が残る--研究者が指摘」のリンク先がなくなってしまったので,参考のために保存してあった PDF に差し替えた。