「攻撃者の“足跡”を探せ」---Windowsレジストリの解析方法:ITpro
自分の管理するシステムが不正アクセスされた場合には,影響範囲や原因を特定するために攻撃者の“痕跡”を調査する必要がある。対象システムがWindowsマシンであれば,レジストリの解析は不可欠。しかしながら通常のログ・ファイルと異なり,レジストリの調査は骨が折れる作業となる。そこで本稿では,不正アクセスを受けたシステムにおけるレジストリの解析方法をまとめた。 なお,Windowsマシンにおける失われやすい情報(揮発性の高いデータ)の証拠保全については以前の記事でまとめているので,そちらを参照していただきたい。 レジストリの分析は容易ではない Windowsマシンが不正アクセスを受けた場合には,通常,以下の3種類のファイルを調査することになる。 (1)Windowsのイベント・ログ (2)各種アプリケーションのログ (3)レジストリ (1)と(2)については,通常の運用においても馴染みが深いので
本当に怖い「パスワード破り」:ITpro
パスワードを破ってFTPサーバーやSSHサーバーに不正侵入しようとする攻撃が後を絶たない。IBM ISSのセキュリティオペレーションセンター(SOC)でも多数検知している。本稿ではパスワード解析の脅威を再認識していただくために,ハニーポット[注1]を使った調査結果を基に,その実際の手口を解説したい。 注1 ハニーポットとは,攻撃者やワームなどをおびき寄せ,侵入後にどんな行動をとるかを監視・観察するためのシステムのこと(用語解説)。今回使用したハニーポット環境では,侵入した攻撃者が悪用できないようにアクセス制限を施し,外部への不正なパケットを制御した。 侵入後の振る舞い ハニーポットによる調査期間は2006年9月1日から9月25日。以下では,実際にパスワードを破られて侵入された事例を紹介する。 システム・ログを確認したところ,この事例では,SSHサービスに対する認証が特定のIPアドレスから3
ルートキット削除ツール,13本を一気に紹介
ルートキットの問題が話題になる一方で,ルートキットの侵入を妨げるセキュリティ・ツールも増加している。今回は,8月最終週の段階で筆者が把握している,スタンド・アロンのルートキット検出/削除ツールを13本紹介しよう。ウイルス対策ソフトやスパイウエア対策ソフトと同じで,1つのルートキット削除ツールで,すべてのルートキットを削除するのは不可能だ。複数のツールを組み合わせるのが望ましい。 なお紹介したツールのなかで,著者は「RootkitRevealer」「F-Secure BlackLight」「Sophos Anti-Rootkit」「IceSword」を使ったことがある。いずれも著者がよく知っているベンダーのツールであり,それなりに信用できると思って使用した。 一部のツール(「GMER」「DarkSpy」「Rootkit Unhooker」)は面白そうだが,作者が誰なのか分からないし,ツールの
「Windowsマシンへの不正アクセスを発見」---そのとき,どうする?
「Windowsマシンへの不正アクセスを発見」---そのとき,どうする? Windowsにおける証拠保全の具体的手順 自分が管理するシステムにおいて不正アクセスを見つけた場合,まずなすべきことは証拠保全である。影響範囲や原因を特定するためには,その時点でのシステムの状態をきちんと記録/保存しておかなければならない。 証拠保全の手順などについては,インターネット上で関連する情報を見つけられるし,関連書籍も複数発刊されている。しかしながら,具体的な作業例はUNIX系のOSについて書かれているものがほとんどで,Windows OSについてはあまり情報がない。特に,日本語で書かれた情報はほとんど見かけない。 そこで本稿では,Windowsマシン上で不正アクセスが見つかった場合の対処法を紹介したい。特に,失われやすい情報(揮発性の高いデータ)の証拠保全に焦点を絞って順を追って解説する。揮発性の高いデ
プロキシ・サーバー:ITpro
ポイント ●通常,届いたパケットにはアクセス元の情報(送り元IPアドレス)が記述されている ●プロキシ・サーバーを介してアクセスしてきたパケットには,大もとの情報(送り元IPアドレス)が記述されていないため,アクセス元のセキュリティ向上につながる ●プロキシ・サーバーはアプリケーション・データをチェックしたり書き換えたりできるため,コンテンツ・フィルタリングなどの機能を持たせることができる 企業などの組織内からインターネットへアクセスする際に,DMZなどに配置したプロキシ・サーバーを経由する場合があります。プロキシ・サーバーを介してインターネットへアクセスする理由はいろいろありますが,セキュリティを向上させる目的もあります。今回は,プロキシ・サーバーを経由させることで,なぜセキュリティが向上するのかを確認していきます。 ルーターを介すだけなら,送信元IPアドレスは変わらない プロキシ・サー
Windows XP/2003のTCP同時接続数制限とその回避:鵜飼裕司のSecurity from KAGURAZAKA:ITpro
Windows XP SP2とWindows Server 2003 SP1のTCP/IPスタックでは、不完全な外向きのTCP同時接続数を10接続に制限しています。接続数が10に達した場合、接続要求はキューイングされ、ある一定間隔で処理されるようになります。 この制限は、ホストがワームに感染した際、他のホストへの影響を最小限にするため、Windows XP SP2とServer 2003 SP1で新たに実装されました。しかしこの制限は、不完全な外向きのTCP接続を大量かつ同時に張るアプリケーションにおいては、大きなパフォーマンス低下を招く可能性があります。例えば、P2Pシステムや脆弱性スキャナなどが挙げられます。特に脆弱性スキャナは業務で利用するケースが多いと思いますので、パフォーマンス低下は非常に致命的です。 これを回避する選択肢の一つとして、TCP同時接続数制限の無いプラットフォームを
Ajaxが招く新たなセキュリティリスク
SPI Dynamicsの研究者によると、未熟なプログラマによるAjaxの実装が深刻な脆弱性を作り出す可能性がある。Black Hatからのレポート。 ラスベガス発――オンライン企業間におけるAjax(Asynchronous JavaScript and XML)技術の普及が急速に進み、Webサイトのインタラクティブ性の向上に一役買うようになった。一方で、経験の浅いプログラマが製作したサイトに潜む数多くの脆弱性が、Web 2.0技術の今後のセキュリティに影を落としているという。 7月31日から8月3日にかけて開催されたセキュリティカンファレンス「Black Hat」で講演を行ったビリー・ホフマン氏は、アトランタに拠点を置くセキュリティソフトウェアメーカー、SPI Dynamicsの研究施設で、主任リサーチエンジニアを務めている人物である。同氏は講演の中で、ごく一般的なAjaxアプリケーシ
「攻撃は15分で完了する」---不正侵入,その実際の手口
インターネット上のシステムに対する不正侵入が後を絶たない。筆者の職場であるセキュリティ・オペレーション・センター(以下,SOC)では,一日に10件以上の不正アクセスによる侵入の試みを観測している。また,インターネットセキュリティシステムズの監視サービスを利用している企業・組織のシステムの8割以上において,何らかの侵入行為の兆候が観測されている。 情報システムが事業の重要な基盤となっている現在では,不正アクセスは,企業経営に直接的な影響を与える可能性が高い。例えば,2005年に不正アクセスを受けたカカクコムでは,2005年度の決算において,Webサイトの一時閉鎖にかかわる特別損失4100万円[注1]を計上している。 注1)関連記事:個人情報漏えい事件を斬る(7):特損4100万円「価格.comショック」の舞台裏 すべての企業がこのように直接的な影響を受けるとは限らないが,実際に侵入行為を受け
Ajaxの特徴に潜むリスクをサンプルアプリで確認しよう ― @IT
第1回 Ajax技術の目に見えない通信内容をのぞいてみようでは、Ajaxの技術背景を解説しました。今回は、「セキュリティ」という観点でAjaxを見ていきたいと思います。 2回目の今回は、非常に幅広く、奥が深い「Ajaxの特徴に潜むセキュリティリスク」を、実際のサンプルアプリケーションの通信や、マウスの動きを動画で見ながら、理解しましょう。スパイウェアやキーロガーへの基本的な対策も解説します。 通常のWebアプリと異なるAjaxの特徴に潜むリスク 「Ajaxのセキュリティ」といきなりいっても、『Ajaxとはいえ、単なるWebブラウザで動作するアプリケーションなのだから、これまでのWebアプリケーションのセキュリティとあまり変わらないのでは?』と予想される方も多いでしょう。確かに、Webアプリケーションとして注意すべきセキュリティのポイントは、Ajaxにおいても共通して当てはまると考えて問題あ
「セキュリティポリシー」を誤解していないか
組織がセキュリティポリシーを持っていない、あるいは持っていても実効性が乏しいというケースは数多い。なぜこんなことになってしまったのか。実効性のあるセキュリティポリシーを構築するためのポイントとは? 「セキュリティポリシー」という言葉が広く使われ出したのは、2000年頃から情報セキュリティ対策が大切という認識が広がり始めて以後のことだ。いまや、誰もが「まずセキュリティポリシーを作りましょう」という。 とはいえ、セキュリティポリシーを持っていない組織がまだまだたくさんあるのも事実だ。さらに、私の友人であるセキュリティコンサルタントの皆さんと話をすると、最近「とりあえずセキュリティポリシーを作ってみたものの、実効性のないものになってしまった、どうしたらよいか」という相談が持ち込まれるケースも多いと聞く。 つまり、この両方を合わせて考えると、(1)セキュリティポリシーを持たない企業は数多い、(2)
Apacheのセキュリティ設定例
■ Apacheのセキュリティ対策 Apacheをインストールしたままの状態及びhttpd.confを設定例で行っただけでは不十分です。 c:\usr\apache\htdocs\manual c:\usr\apache\icons \manualと\icons、2つのフォルダがアクセスを許したままになっています。ここは対策をしなければなりません。少し面倒ですが、ちょっと変わった対処法を紹介します。 図は、ブラウザでhttp://localhost/manual/とhttp://localhost/iconsへアクセスを行った時の例です。 ■ \iconsフォルダへのアクセス対策 c:\usr\apache\confフォルダのhttpd.confリストより、次の580〜587行の定義を見つけてください。そして、584行目のNoneをAllと書換えて下さい。 580:
検出ツールの開発者が語る,「Winnyを検出する方法」
ファイル共有(交換)ソフト「Winny(ウィニー)」のネットワークを介して拡散するウイルスにより、日本では深刻な情報漏えいが相次いでいます。米国でもこれら一連の事件はいろいろなメディアで報道されており、日本のインターネット社会が非常に深刻な事態に陥っているという認識が広まりつつあります。 私が所属する米eEye Digital Securityでも、遅ればせながらWinnyに関する本格的なリサーチを数週間前に開始しました。具体的には、Winnyのコード解析やWinnyネットワークの分析を通して、情報漏えいを防止するための手段など、Winnyにまつわる様々な事柄についてリサーチを進めています。後述するように、検出ツールも開発および公開しました。これらについては、主に私ともう一人の日本人エンジニアの金居が担当しています。 今回のリサーチやツール開発に関連した話題として、今回はWinnyを検出す
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA ISEC セキュア・プログラミング講座
WindowsにもLinuxにも感染するウィルス | スラド