エフセキュアブログ : 悪意のある数独問題ファイルを読み込むことで任意のコマンドを実行される脆弱性
悪意のある数独問題ファイルを読み込むことで任意のコマンドを実行される脆弱性 2015年08月10日08:00 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 概要 シンガポールの首相リーシェンロン氏によって開発されたSudoku solverには、バッファオーバーフローの脆弱性が存在します。 影響を受けるシステム Sudoku solverを組み込んだシステム 詳細情報 Sudoku solverには入力データの処理に起因するバッファオーバーフロー (CWE-121) の脆弱性が存在します。 想定される影響 細工された数独問題ファイルを読み込むことで、任意のコードを実行される可能性があります。 対策方法 不審な数独問題ファイルを開かないようにしてください。 参考情報シンガポール首相、自作のプログラミングコードをFacebookで公開シンガポール首相の、IT
エフセキュアブログ : ファイルサイズだけで悪性文書ファイルを検出するツールをリリース
ファイルサイズだけで悪性文書ファイルを検出するツールをリリース 2014年02月20日23:43 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 残念ながら私はコードブルーに出席できず、しょんぼりしながらタイムテーブルを眺めていたら、興味深い発表が目に留まりました。 ファイルサイズだけで悪性文書ファイルを見ぬくことができることが判明した http://www.codeblue.jp/speaker.htmlより引用 ファイルサイズだけで、というのはすごいですね。 後ほどソフトは公開されるそうですが、待ちきれなかったので自分で実装してみました。 user@local:~/Product$ cat f-checker.py #!/usr/bin/python import os, sys print "malicious" if os.path.getsize
エフセキュアブログ : ここがヘンだよ、日本のCTF
ここがヘンだよ、日本のCTF 2013年03月18日23:04 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 韓国で開催されているCODEGATE CTFでは、韓国内のセキュリティ技術者と海外技術者との交流を促進するため、今年はDEFCON CTF優勝チームをCTF決勝戦に招待しました。技術者の心をよく理解した、素晴らしい試みだと思います。 現に、CODEGATEでの過去の優勝チームはロシア、アメリカ、スウェーデンと国際色豊かです。毎年、少なくない金額の賞金を海外チームに持っていかれてますが、韓国の技術者にとっては大きな刺激になっています。 予選通過した国は、アメリカ、スイス、ロシア、スウェーデン、日本、チュニジア、スペイン、それにもちろん韓国を加えた8カ国、11チーム。 一方その頃日本では、CTFを知らない人たちによって、作為的に海外からの参加者を閉め
エフセキュアブログ : グリーティングカードを装った標的型メールに注意
グリーティングカードを装った標的型メールに注意 2013年01月30日08:00 ツイート hiroki_iwai オフィシャルコメント by:岩井 博樹 グリーティングカードを装った標的型メールが複数確認されています。 実在するサービスなので、ついクリックしてしまいそうですのでご注意ください! 今回、確認したケースでは記載されたURLへアクセスしますと、CVE-2013-0422(Javaの脆弱性)を悪用する攻撃コードが実行される仕組みとなっていました。 Javaの脆弱性を狙った攻撃は今後も継続することが予想されますので、特に必要のないユーザはアンインストールしておいた方が妥当かもしれません。 ちなみに、ダウンロードされる攻撃コードはmetasploitにより作成された可能性があります。 metasploit用に開発された攻撃コードの多くは研究し尽くされていますので、標的型攻撃で利用さ
エフセキュアブログ : 強制開示された制御システムの脆弱性
強制開示された制御システムの脆弱性 2012年12月19日08:12 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 今年の2月、JPCERT/CCが主催する「制御システムセキュリティカンファレンス 2012」において、制御システムが抱える脆弱性について具体的な事例を交えて、技術的な側面から発表しました。 調査の過程で発見された脆弱性は、ICS-CERTへ報告しました。 ICS-CERTは米国の国土安全保障省の管轄で米国の制御システムセキュリティを担当する機関です。 その際報告した脆弱性のうちの一件が、ようやく2012年9月にアドバイザリという形で公開されました。 以下はカンファレンスの際に紹介したディレクトリトラバーサルの実例です。 しかし、注意していただきたいのが、このアドバイザリは脆弱性が修正されたことをアナウンスするものではなく、脆弱性が存在するに
エフセキュアブログ : Flameのケース
Flameのケース 2012年05月29日03:14 ツイート mikko_hypponen ヘルシンキ発 by:ミッコ・ヒッポネン Flame(別名FlamerもしくはSkywiper)は、情報収集および諜報活動のために使用される、大規模かつ複雑なマルウェアだ。 同マルウェアは、西側の諜報機関もしくは軍により作成された可能性がある。イラン、レバノン、シリア、スーダンなどでコンピュータを感染させている。 中国により実行されるオンライン諜報活動の方法と、西側から行われる方法には違いがあるようだ。中国の関係者たちは、ブービートラップをしかけたドキュメントを添付した、なりすましメールを介して標的を攻撃するのを好む。西側関係者は電子メールを避け、その代わり、USBスティックかアクセスを得るために的を絞った侵入を使用する。 Flameの最悪な部分? それは長期にわたって広まっていたことだ。 Stu
エフセキュアブログ : シリアで標的型攻撃
シリアで標的型攻撃 2012年05月03日21:19 ツイート mikko_hypponen ヘルシンキ発 by:ミッコ・ヒッポネン シリアはこのところ、国際的に注目の的となっている。国内に政情不安があり、独裁政権が反体制派に対して、残忍な戦術を使用している。これらの戦略には、技術監視やトロイの木馬、バックドアなどが含まれている。 先日我々は、あるつてからハードドライブを受けとった。このドライブには、地元当局により標的とされているシリアの活動家のシステム画像が含まれていた。 この活動家のシステムは、Skypeチャットにより感染していた。チャットのリクエストは、仲間の活動家からのものだ。問題は、その仲間がすでに逮捕されており、チャットを開始することが不可能だったということだ。 最初の感染は、その活動家がチャットを介して「MACAddressChanger.exe」というファイルを受けとった
エフセキュアブログ : 中国で開発されたHacktoolの検知に注意
中国で開発されたHacktoolの検知に注意 2012年04月12日13:00 ツイート hiroki_iwai オフィシャルコメント by:岩井 博樹 HacktoolやNetToolといったウイルスが検出されたことはありませんか? ウイルス対策ソフトによっては、HackToolとかNetTool、xxx_Transmit(xxxはBackdoorやTrojan)のような検知名が付けられています。 これらのツールは感染機能は持たず、攻撃者がC&Cサーバなどと通信を確立するために、しばしば利用されます。 例えば、昨年のRSAの事件で悪用されましたBackdoor.Liondoor(HTran)などがそれにあたります。 ちなみに、Backdoor.Liondoor(HTran)は、2003年頃に中国紅客連盟により開発されたパケット転送ツールです。 ※開発元は中国なのですが、他国の攻撃者も利
エフセキュアブログ : 標的型攻撃メールの手口と対策
標的型攻撃メールの手口と対策 2012年03月29日08:28 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 すでに注意喚起が出ましたが、巧妙な標的型攻撃メールが出回っているようですので注意してください。 ここでは具体的な手口と対策について紹介します。 まず、航空会社を騙って次のようなメールが届きます。 差出人欄には正しいアドレスが入っていますし、メール本文には受信者の氏名が記載されています。頻繁に飛行機を利用している人にとっては、この段階で「怪しいメール」かどうかを判断するのは難しいかもしれません。 メールにはlzh形式の圧縮ファイルが添付されています。 解凍すると次のようなファイルが出てきます。 ここで注意してください。これはフォルダではなく、ファイルです。実行ファイル(exeファイル)です。ウイルスです。ダブルクリックしてはいけません。 もしダブル
エフセキュアブログ : 日本のサイバー犯罪捜査は変革を迫られている
日本のサイバー犯罪捜査は変革を迫られている 2012年03月05日09:29 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 サイバー攻撃が盛んに報道されるようになって、サイバー犯罪捜査の方法も注目されるようになりました。 海外で世界規模のサイバー犯罪を取り締まった事例を見ると、おとり捜査、司法取引を駆使していることがわかります。 日本ではまだサイバー空間でこういったアグレッシブな捜査は行われていませんが、すでに世界では盛んに行われているのです。その捜査手法が克明に記された書籍が、「アイスマン」というタイトルで発売されました。アイスマンというのは本書で取り上げられた犯罪を犯したハッカーのハンドルネームであり、この本はアイスマン視点から書かれたというのも興味深い特徴です。 サイバーの潜入捜査も現実の潜入捜査と同じで、そう簡単に潜入ができるわけではありません。
エフセキュアブログ : RSA Conference 2012
RSA Conference 2012 2012年03月06日21:31 ツイート yj_ukai オフィシャルコメント by:鵜飼 裕司 鵜飼です。2月末、サンフランシスコで開催されたRSA Conferenceに行ってきました。 米国でのセキュリティカンファレンスではいつもBlack Hatばかり参加していて、米国のRSA Conferenceは今回が初参加です。サンフランシスコも、カリフォルニアに住んでた頃にも結局一回も行くことが無く、学生の頃以来実に17年ぶりくらいです。 滞在は2/28までと短期間でしたが、米国時代の元同僚や多数のエンジニアと話しをする事もでき、大変有意義でした。RSA ConferenceはBlack Hatと異なり比較的ビジネス寄りという雰囲気です。Black Hatがベンダーニュートラルな基礎技術研究の成果を発表する場とすると、RSA Conference
エフセキュアブログ : ドイツ当局によるバックドアに関する追加情報:Case R2D2
ドイツ当局によるバックドアに関する追加情報:Case R2D2 2011年10月11日21:56 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン 先週、ドイツ語ベースの「Chaos Computer Club」(CCC)が、ドイツの法律に反して当局が使用していると主張する、バックドア型トロイの木馬に関する詳細を発表した。 そして、許可された範囲内でという但し書き付きで、ドイツのいくつかの州が「Backdoor:W32/R2D2.A」〔別名「0zapftis」)の使用を認めた。 1つのケースでは、ミュンヘン国際空港で税関・出入国管理を容疑者が通過する際、彼のラップトップにトロイの木馬がインストールされた。 以下は、このバックドアに関するさらなる詳細だ。 CCCのレポートには、同バックドアのDLLおよびカーネルドライバの分析が含まれている。CCCはインストーラを
エフセキュアブログ : 我々が「RSA」のハッキングで使用されたファイルを発見した方法
我々が「RSA」のハッキングで使用されたファイルを発見した方法 2011年08月26日18:29 ツイート mikko_hypponen ヘルシンキ発 by:ミッコ・ヒッポネン 3月、「RSA」がハッキングされた。これは、これまでで最大のハッキングの一つだ。 現在の推測は、ある国家がロッキード・マーティンおよびノースロップ・グラマンに侵入し、軍事機密を盗みたかったというものだ。しかし、目的は達成されなかった。両社がネットワーク認証にRSA SecurIDトークンを使用していたためだ。そのためハッカーたちは、標的型の電子メール攻撃でRSAに侵入した。彼らはバックドアを設置し、最終的にSecurID情報にアクセスし、もともとの標的に戻って、侵入することに成功した。この攻撃の結果、RSAは世界中の顧客のため、SecurIDトークンを交換することを余儀なくされた。 我々は4月には既に、同攻撃がE
エフセキュアブログ : LulzSecの解散宣言は混乱の収束を意味するのか?
LulzSecの解散宣言は混乱の収束を意味するのか? 2011年06月27日23:33 ツイート gohsuke_takama オフィシャルコメント by:高間 剛典 6月26日、LulzSecは唐突に活動開始50日目になったので解散すると宣言した。 LulzSecはここ2ヶ月にわたりNPRやFOXなどの放送局からCIAやFBI関連InfraGuardやNATOなど国際的な政治・軍事機関やSony Picturesなど広範囲に侵入しては内部情報を流出させる騒ぎを引き起こしていた。 Lulzの事件時間軸グラフ そのため、法執行機関の捜査の手も迫っていて、Lulz自身は関連を否定していたがイギリス在住の19歳Ryan Clearyが逮捕されている。 「LulzSec」の容疑者を拘留 http://blog.f-secure.jp/archives/50611764.html ただし興味深いの
エフセキュアブログ : Webアドレスは慎重に見るべし
Webアドレスは慎重に見るべし 2011年05月25日21:38 ツイート mikko_hypponen ヘルシンキ発 by:ミッコ・ヒッポネン 何とばかばかしいフィッシングサイトだろう。 このサイトは躍起になって、ユーザがアクセスしているURLが「accounts.craigslist.org」であることを再確認させようとする。 もちろん、違うのだが。 これは私がこれまで見た中で、最高に馬鹿げたフィッシング攻撃の一つと言える。 こんなものに誰も引っかかりはしない。 一部のケースを除いては。 ご存知のように、最近では誰もが自分のコンピュータで電子メールを読まなくなっている。携帯電話で読んでいるのだ。そのため、フィッシング詐欺メールも自分の電話で受信し、自分の電話で詐欺サイトをオープンすることになる。 iPhoneやAndroid、Nokiaの端末で同サイトがどのように見えるか、確かめてみ
エフセキュアブログ : ソニーのPSNからの情報漏洩に学ぶ事後対応策の重要性
ソニーのPSNからの情報漏洩に学ぶ事後対応策の重要性 2011年04月28日13:30 ツイート hiroki_iwai オフィシャルコメント by:岩井 博樹 PSNからの情報漏洩で大騒ぎ中ですが、差し出がましいようですが、私もひとつコメントさせて頂きます。 ちなみに、私も新聞各紙で出ている情報以外は知りませんので悪しからず。 本件は事後対応策を全くしていないかった典型的事例だと思います。 セキュリティ対策は、予防策から事後対応策までバランス良く実施できれば、それに超した事はありません。しかし、運用面やコスト、リソースなどの課題を考えると、中々そうはいかないのが現実です。 ところが、万一事故が発生した際に、確実に顧客の信頼を失うのは、事後対応策を怠った場合です。 なぜならば、事後対応策がとられている組織の場合、比較的原因究明が早いためです。そのため、 「○○の可能性で侵入された可能性が
エフセキュアブログ : 震災情報を装ったウイルスメールの犯人を追う
震災情報を装ったウイルスメールの犯人を追う 2011年04月19日15:55 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 東日本大震災直後から震災情報を装ったウイルスメールが出回っています。その中のひとつを解析し、犯人の痕跡を調査しました。WORD形式の添付ファイルは日本語で放射能情報が書かれていましたので、日本人を標的とした攻撃であることはほぼ間違いありません。 攻撃の流れはだいたい以下のようになっています。 添付ファイルを開くとWORDの脆弱性を利用してマルウェアに感染させ、キー入力を監視したり、ファイルを盗んだりします。 この一連の攻撃でいくつかの痕跡を調査すると、ある共通点が見えてくることがわかります。 痕跡1: WORDファイルのフォント マルウェアに感染させた後、放射能情報が書かれたWORDファイルが起動します。WORDファイルのフォントを
エフセキュアブログ : iPhone Webアプリで発信者番号をスプーフィングする
iPhone Webアプリで発信者番号をスプーフィングする 2010年11月17日02:48 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン 全てのiPhoneアプリケーションは、AppleのApp Storeにより承認されるべきだと考えている方は、もう一度考えて欲しい。 以下は「SpoofCard」というアプリケーションだ: 「SpoofCard」を使用すると、スマートフォンユーザは自分の発信者番号をスプーフィングすることができる。これは必ずしも新しいものではない。1年前にも多少のマスコミ報道があった。 しかし、現在我々にとって興味深いのは、Android、BlackBerry、Palm、Windows MobileそしてiPhoneと、サポートされているプラットフォームが多様であることだ。 とはいえ、「SpoofCard」をAppleのサイトで見付けるこ
エフセキュアブログ : ガンブラー対策「.htaccess」にも注意!
ガンブラー対策「.htaccess」にも注意! 2010年03月01日13:00 ツイート hiroki_iwai オフィシャルコメント by:岩井 博樹 お隣の119チームのSEKI隊員の呟きによると、、、 新型ガンブラーに攻撃されたサイトを複数確認したようです。 具体的には、FTPのアカウント情報を盗用され、「.htaccess」ファイルをアップロードされます。 どうやら、JavaScript以外でのリダイレクトの方法に切り替えてきている模様。(現在、詳細確認中・・・) ウェブサイト管理者様は、ウェブコンテンツ以外にサーバー等の設定ファイルの確認もしておいた方が良さそうです。 アップロードされた .htaccess の内容 ----- # HostRule RewriteEngine On RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR
エフセキュアブログ : 初のiPhoneワームを発見
初のiPhoneワームを発見 2009年11月09日07:21 ツイート mikko_hypponen ヘルシンキ発 by:ミッコ・ヒッポネン 我々は「ikee」という初のiPhoneワームを発見した。現在拡大しているが、ユーザにより「ジェイルブレイクの状態」にされているデバイスに対してのみ感染する。ジェイルブレイクはiPhoneの保護メカニズムを除去し、ユーザが欲するあらゆるソフトウェアを動作させることを可能にする。 影響を受けたユーザは、iPhoneのウォールペーパーが(リックロールで有名な)リック・アストリーの写真と「ikeeは決してあなたを諦めない」というメッセージに置き換えられる。 同ワームは端末をジェイルブレイクしているが、デフォルトのルート・ログイン・パスワードは変更していないユーザをターゲットにしている。同ワームは一握りのIPレンジ(ほとんどがオーストラリアにあるもの)を
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
