見落としがちな脆弱性(Webアプリケーション編)~その3
Webサイト利用者への受動的攻撃の踏み台利用を目的としたWeb改ざんが世間を騒がせている。日本IBMのSOC(セキュリティ・オペレーション・センター)においても,中国を発信源とする一連のSQLインジェクション攻撃を断続的に観測しており,今後も同様の攻撃が続くものと見ている。 Web改ざん自体は目新しいものではないが,動機は自己顕示・愉快犯から金銭目的に変わった。攻撃の手口も,公開されている攻撃コードを単純かつ無差別に試すスクリプトキディ的なものから,周到に準備する傾向に変化している。Webサイト管理者には,自らのサイトに対する直接的な攻撃の防御に加え,第三者に対する攻撃に加担させられないためのセキュリティを考慮することが今後ますます求められる。今回はWeb改ざんによる不正プログラムの挿入を防ぐ上で,見落としがちな例を取り上げる。 Webページの改ざんを許してしまうWebアプリケーションのぜ
【RSA Conference】「反米意識」で動くサイバー犯罪組織,Secure Computingの研究者が分析
【RSA Conference】「反米意識」で動くサイバー犯罪組織,Secure Computingの研究者が分析 2008年4月11日まで開催された「RSA Conference 2008」の重要なキーワードは「サイバー犯罪との戦い」であった。基調講演では国土安全保障省(DHS)の長官が「サイバー犯罪と戦うために技術者よDHSに来たれ」と訴えていたが,実はサイバー犯罪組織も「米国との戦い」を掲げて構成員を集めていた--。米Secure Computingの研究者が,同カンファレンスの講演でこのような分析を披露した。 ネットワーク・セキュリティ機器ベンダーであるSecure Computingで,「インテリジェンス(諜報)分析」を担当するDirectorであるDmitri Alperovitch氏(写真)は,サイバー犯罪組織のことを「オンライン犯罪エンタープライズ」と表現し,その現状をRS
「世界最大級のボットネット『クラーケン』」公表、専門家は懐疑的
セキュリティ企業の米ダンバラ(Damballa)は2008年4月7日、40万台のウイルス(ボット)感染パソコンで構成される、世界最大級のボットネットを確認したと公表。しかし、他のセキュリティ企業や組織は、ボットネットの規模や脅威を誇張している可能性が高いとのコメントを発表している。 ダンバラでは、今回確認したボットネットを「クラーケン(Kraken)」と名付け、メディアなどを通じて、その特徴を公表した。それによれば、クラーケンはおよそ40万台のボット感染パソコンで構成され、世界最大規模。2007年1月以来、世界中で感染を広げている「ストームワーム(Storm Worm)」が構成するボットネットのおよそ2倍の規模であるという。 そして、クラーケンを構成するパソコンに感染しているボット(クラーケンのボット)は、暗号化などのさまざまな“工夫”を凝らすため、現在市場に出ているウイルス対策ソフトの8
またも中国からのSQLインジェクション、楽器通販サイトで約10万件の個人情報が流出
ギターやマイクなどの楽器・音響機器関連を販売するサウンドハウスは2008年4月7日、同社が運営するWeb通販サイトから会員の氏名や性別、ログインID、パスワードといった個人情報が最大9万7500件流出したことが調査の結果明らかになったと発表した。うち、クレジットカード情報を含むものは2万7743件に上るが、カードのパスワードの流出はなかった。中国からのSQLインジェクション攻撃により、不正プログラムが同社のWebサイトに仕掛けられたことが原因だ。 サウンドハウスは4月3日、クレジットカード会社からカード情報流出の可能性の指摘を受け調査を開始した。調査を依頼した第三者機関によると、3月11日から22日の間に同社のWebサイトへ中国からのSQLインジェクション攻撃があったことが確認されたという。同時期に日本国内の他のサイトへも同じSQLインジェクション攻撃が多発しており、この時に不正プログラム
楽器通販サイト、不正アクセスで10万件の顧客情報流出の恐れ
楽器/音響機器通販のサウンドハウスは、同社のショッピングサイトが不正アクセスを受け、クレジットカード番号などを含む顧客情報が流出した恐れがあると発表した。過去にウィルス対策ソフト大手、トレンドマイクロの情報サイトが改ざんされた際と同じ「SQLインジェクション」の手法が使われた。不正アクセスの発信元は中国という。 2007年1月1日―2008年3月22日に新規会員登録した顧客の個人情報12万2884件のうち、最大9万7500件が流出した恐れがある。そのうちクレジットカード番号/名義/有効期限を含むのは2万7743件。このほか氏名、性別、生年月日、ログイン用メールアドレス ログイン用パスワードが漏えいした可能性がある。 不正アクセスは3月11日―22日、複数のIPアドレスから仕掛けられたと見られる。同社ではクレジットカード会社から顧客情報流出の恐れがあると指摘を受け、セキュリティ対策専門機関に
HP,マルウェア感染したUSBドライブを出荷--「Proliant」サーバを狙った攻撃の可能性も
Hewlett-Packard(HP)は,攻撃者が感染したシステムを制御可能にするマルウェアが含まれた,複数の「Proliant」サーバモデル向けの「USBフロッピードライブキー」を出荷してしまった。 256Kバイトおよび1GバイトモデルのUSBドライブに含まれたワームは,「W32.Fakerecy」と「W32.SillyFDC」であることが判明した。AusCERTによれば,ワームの増殖は,リムーバブルドライブやマッピングされたドライブに自身をコピーすることで被害を拡大し,Windows 98,Windows 95,Windows XP,Windows Me,Windows NT,Windows 2000が稼動するシステムに感染する。 HPのSoftware Security Response Teamは,USBドライブ内のワーム発見に関するAusCERTの警告に呼応して,一群の感染サーバ
【RSA Conference】「クリックで感染,そしてシステムダウン」,英ソフォスがマルウエアの攻撃を再現
英ソフォス アジアパシフィック地区の技術部門の責任者であるポール・ダックリン氏(写真1)は4月9日(米国時間),米サンフランシスコで開催中の「RSA Conference」のセッションで「Live Malware Attack」と題してマルウエア(ウイルスをはじめとする不正プログラムの総称)の攻撃を再現するデモを披露した。 デモは,コンピュータをダウンさせる目的の破壊型のマルウエアとIDやパスワードを盗み出すキー・ロガーの動きを,セキュリティ・パッチが適用されていないと仮定した仮想マシン上で再現した。このうち,破壊型のマルウエアは,まず,メールに書かれたURLをクリックすると,動画ファイルを再生するブラウザ画面が立ち上がる。しかし,実際には動画は再生されずにPCがマルウエアに感染する。 ダックリン氏は,マルウエアの感染後の動きを,ソース・コードを解析しながら説明した。ソース・コードを見ると
添付ファイルを使う「フィッシング詐欺」が再び出現
フィンランドのエフ・セキュアは2008年4月6日、オンライン決済サービスの英マネーブッカーズ(Moneybookers)をかたるフィッシング詐欺が出回っているとして注意を呼びかけた。偽メールに添付したHTMLファイルを使うことが特徴。米ペイパルをかたる同様の偽メールも同年3月末に報告されている。 一般的なフィッシング詐欺では、偽メールに記載したリンク(URL)でユーザーを偽サイトに誘導し、パスワードなどを入力させて盗む。しかし、2008年3月末および今回報告されたフィッシング詐欺では、偽サイトに誘導しない。偽メールには、リンクの代わりにHTMLファイルが添付されている。このHTMLファイルを使って、攻撃者はパスワードなどを盗もうとする。 3月末のフィッシング詐欺はペイパルをかたっていたのに対して、今回はマネーブッカーズからのメールに見せかける。添付ファイルを開くと、そのファイルがWebブラ
マイクロソフトが「緊急」パッチを配信?――実はウイルス
セキュリティ企業の米トレンドマイクロは2008年4月6日、米マイクロソフトをかたるウイルス添付メールを確認したとして注意を呼びかけた。ウイルスをセキュリティ更新プログラム(修正パッチ)に見せかけてインストールさせようとする。 今回確認されたウイルスメールは、英語で記述されている(図1)。送信者名は「Microsoft Corp.」と偽装されていて、件名は「Critical patch released(緊急パッチがリリース)」。 本文には、「Microsoft OutlookとExchange Serverには危険な脆弱(ぜいじゃく)性が見つかってゼロデイ攻撃に悪用されているので、すぐに修正パッチを適用してほしい」といった内容が書かれている。そして、修正パッチに見せかけたウイルスを圧縮した「advisory.zip」というファイルが添付されている。 今回のように、ウイルスを修正パッチに見せ
仮想マシン移行時のセキュリティを考える
今回は「Xensploit」というぜい弱性について取り上げる。その謎をひも解くヒントは,最新のデータ・センター技術,セキュリティの詳細な調査,巧みなネーミングの三つだ。 読者に知っておいてほしいのは以下の内容である。 ミシガン大学の研究グループが最近,稼働している仮想マシン(VM)を移行させる「ライブ・マイグレーション」(関連記事「Xenによる仮想化システム構築術:第4回動的に仮想マシンを移動し可用性を向上」)のセキュリティに関する論文を発表した。ライブ・マイグレーションとしては仮想化ソフト「VMware」のVMotion機能,「Xen」のmigrate機能などを取りあげている。この論文は,ライブ・マイグレーションのプロセス全体について広範なセキュリティ分析を行っている。中でも重点を置いているテーマは,同グループが開発したコンセプト実証(PoC)ツール「Xensploit」である。攻撃者が
見えているようで見えていないセキュリティの罠
攻撃者たちがユーザーから認証情報を引き出す方法はいくつもあるが,依然として最も使われている方法の一つがフィッシングだ。米シマンテックのスパム・トラップは,オークションWebサイト「eBay」で最近行った取引について何らかの対応を求めるユーザーがターゲットになっている一連の電子メールを検出した。これらの電子メールには問題となった製品のハイパーリングが複数含まれており,いずれかをクリックすると,Webブラウザでリモート・ホストへのFTPサイトが開き,eBayの正規のログイン・ページのコピーが表示される。 筆者が注目したのは,この不正コピーの中に,eBayのセキュリティ・ヒントの一つが含まれており,「Check that the Web address in your browser starts with https://signin.ebay.com(ブラウザに表示されているWebアドレスが
相次ぐWeb改ざん、中国政府や中国ソニーのサイトにも「わな」
セキュリティ企業であるフィンランドのエフ・セキュアは2008年4月2日、中国の政府系サイトや、ソニーの中国における現地統括会社「中国Sony(China)Ltd」のサイトが改ざんされて、ウイルス(悪質なプログラム)を感染させるような「わな」が仕掛けられたとして注意を呼びかけた。 大手企業や組織のWebサイトが不正侵入されて、Webページを改ざんされるケースが相次いでいる。改ざんの結果、別サイトに置かれたウイルス(あるいは、ウイルスを感染させるようなWebページ)を読む込むIFRAMEタグを仕込まれる。 読み込まれるウイルス(ウイルスページ)には、Windowsやアプリケーションソフトの脆弱(ぜいじゃく)性を悪用する仕掛けが施されているので、脆弱性のあるパソコンでは、アクセスするだけでウイルスに感染する危険性がある。 エフ・セキュアが今回報告したのは、中国政府および中国Sony(China)
「USBウイルス」の被害報告が依然多数、トレンドマイクロが警告
トレンドマイクロは2008年4月3日、2008年3月中に同社に寄せられたウイルス報告をまとめた「ウイルス感染被害レポート」を発表した。2008年3月は、同年2月と同様に、USBメモリー経由で感染を広げるウイルス(USBウイルス)が多数報告された。 トレンドマイクロでは、同社のサポートセンターに寄せられた「ウイルス感染被害報告件数」を集計し、毎月公表している。なお、ここでの「ウイルス感染被害報告」には、ウイルスを発見しただけで、実害がなかったケースも含まれる。 2008年3月の報告数は4029件で、同年2月の4316件と比べると若干減少した。報告数が最も多かったのは、同年2月と同様に「MAL_OTORUN1(オートラン)」で138件(2月は58件)。 これは、USBメモリー経由で感染を広げるウイルス「WORM_AUTORUN(オートラン)」が作成する悪質な設定ファイル(Autorun.inf
止まらないWebページ改ざん,JavaScriptに気をつけろ:ITpro
国内で,一般消費者に向けたWebサイトへの改ざん攻撃が止まらない。しかも改ざんされたページには ,悪質なサイトにユーザーを誘導してウイルスを送り込む“わな”が仕掛けられる。3月10日前後から12日までの間に,一斉にWebサイトがページを改ざんされた。最たる例が,セキュリティ対策ベンダーのトレンドマイクロである。海外のWebサイトを含め,2万サイト以上が被害に遭ったという。 この日,ラックの監視センター(JSOC:セキュリティ・オペレーション・センター)では,通常の70倍から100倍の攻撃トラフィックを確認した。その後,いったん攻撃は止まったものの,攻撃が再開され,今も続いている。3月末には,デジタル・オーディオ・プレーヤなどを開発するクリエイティブメディアがWebページを改ざんされ,一時的にWebサイトを閉鎖していたことを明らかにした。 ■参考記事:トレンドマイクロのWebサイトが改ざん,
「QuickTime」に危険な脆弱性が多数、最新版へアップデートを
米アップルは2008年4月2日(米国時間)、同社の音楽/動画再生ソフト「QuickTime」の新版「QuickTime 7.4.5」を公開した。新版では、悪質な動画や画像を開くだけで被害に遭う恐れがある脆弱(ぜいじゃく)性が多数修正された。 新版で修正された脆弱性は11件。Mac OS X版とWindows版の両方が影響を受ける。そのうち6件については、動画ファイルの処理に関する脆弱性。細工が施された動画ファイルを開くだけで、悪質なプログラム(ウイルスなど)を実行される恐れがある。 また、3件は画像ファイル(PICTファイル)の処理に関するもの。細工が施されたPICTファイルを開くと、悪質なプログラムを実行される危険性がある。 残りの2件は、情報漏えいに関する脆弱性。細工が施されたファイルを読み込むと、パソコンに保存された個人情報などを攻撃者に盗まれる可能性がある。 新版では、危険な脆弱性
相次ぐWeb改ざん,いったい何が起こっているのか
2008年3月に入ってから,SQLインジェクション攻撃によるWeb改ざんが相次いでいる。例えば,セキュリティ対策ベンダーのトレンドマイクロは3月12日,同社のウイルス情報ページが改ざんされ,午前11時30分に同ページを閉鎖したことを発表した。実際にウイルス情報ページが改ざんされたのは3月9日の午後9時頃。同社はぜい弱性対策を施した後,13日午前8時30分からページ公開を再開した(関連記事)。 攻撃の標的になったのは,国内サイトだけではない。同様の手口による大規模Web改ざんが,世界中で確認された。米マカフィーは3月13日時点で,2万ページ近くのWebページが改ざんされたと推測した(関連記事)。 これらは,いったいどのような攻撃手法だったのだろうか。それについて,セキュリティ対策ベンダーのラックが説明会を開催した。この説明会については,ニュースとして記事化したが(関連記事),詳細についてはお
「エイプリルフール」にちなんだ悪質メール、ウイルスサイトに誘導
セキュリティ企業各社は2008年3月31日、4月1日のエイプリルフールにちなんだ悪質メールが出回っているとして注意を呼びかけた。メール中のリンクをクリックすると、ウイルス(悪質なプログラム)をダウンロードさせるWebサイトに誘導される。 今回の悪質メールを送信しているのは、2007年1月以降、大きな被害をもたらしている「Storm Worm(ストームワーム)」ウイルスの亜種。同ウイルスは、ウイルスをダウンロードさせるサイト(ウイルスサイト)へ誘導するメールを不特定多数に送信することで感染を広げる。 メールやウイルスサイトの内容は、その時々によって変えることが特徴。例えば、12月にはクリスマス、1月には年賀状、2月にはバレンタインデーにちなんだメールとウイルスサイトが確認されている。そして今回確認されたのは、エイプリルフールにちなんだ手口。 メールの件名は、「Happy All Fools
「添付ファイルでパスワードを盗む」――フィッシング詐欺の新手口
セキュリティ企業の米トレンドマイクロは2008年3月31日、オンライン決済サービスの米ペイパルをかたる新たなフィッシング詐欺を確認したとして注意を呼びかけた。偽メールに添付したHTMLファイルを使って、メールアドレスやパスワードを盗もうとする。 一般的なフィッシング詐欺では、偽メールに記載したリンク(URL)でユーザーを偽サイトに誘導し、パスワードなどを入力させて盗む。しかし、今回確認されたフィッシング詐欺では、偽サイトを使わない。偽メールにリンクは書かれておらず、HTMLファイルが添付されているだけ(図1)。このHTMLファイルを使って、攻撃者はパスワードなどを盗もうとする。 メールの本文にはいくつかのパターンがあるが、いずれも「ペイパルのセキュリティに関して重要なことが書かれているので、添付ファイルの内容を読んでください」といった内容が書かれている。 メールの指示に従ってHTMLファイ
内閣官房などが開発したセキュア仮想マシン,オープンソースとして公開
セキュアVMプロジェクトは3月19日,セキュア仮想マシン・モニタ「BitVisor」α版をオープンソース・ソフトウエアとして公開した。セキュアVMプロジェクトは,情報漏洩などのセキュリティ被害削減を目的に内閣官房セキュリティセンター(NISC)などが進めているデスクトップ向けの仮想マシン開発プロジェクト。筑波大学が中心となって開発している。 仮想マシン上で動作するゲストOSとしてはWindows XP,Windows Vista,Linuxに対応している。ハードウエアとしてはIntel VT機能に対応したプロセッサを搭載したパソコンが対象。セキュアVMプロジェクトにはインテルも協力している(関連記事)。 BitVisorでは,ストレージやネットワークの暗号化,ID 管理などの機能を仮想マシンが提供する。ユーザーが直接使用するゲストOSとは独立にセキュリティ機能を実装することで,ゲストOSが
Vista,未公開のFlash脆弱性で陥落--Pwn to Ownコンテストで
米国時間3月28日夕方,CanSecWestセキュリティカンファレンスで開催されたPwn to Ownコンテストで,長い間持ちこたえてきたノートPCに搭載された「Windows Vista」が,ハッカーたちの前に屈した。 コンテストはこの日が3日目だった。27日には「MacBook Air」がハッキングされている。TippingPoint Zero Day Initiativeはこの日,さらにルールを緩和した。コンテスト初日,対象となったのはOSのみだったが,2日目には標準的なアプリケーションにまで範囲が拡大された。このことが,これまで見つかっていなかった「Safari」の脆弱性により,MacBook Airがハッキングされることにつながった。 だが,ハッカーたちは28日になって,システム上に存在する「一般的な」アプリケーションソフトウェアであれば,どれでもターゲットにすることができるよう
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
