やまぬWeb改ざん、Apache Struts2の被害も拡大
やまぬWeb改ざん、Apache Struts2の被害も拡大:セキュリティクラスタ まとめのまとめ 2013年7月版 7月も引き続き、日本のWebサイトでは改ざんや不正ログインが続々と発生。加えてApache Struts2に重大な脆弱性が発見され、さらに多数の攻撃が起こりました。 7月も前月に続き、日本のWebサイトで改ざんや不正ログインが続々と発生しました。加えてApache Struts2に重大かつ悪用の容易な脆弱性が発見され、さらに多数の攻撃がありました。またBINDにも脆弱性が発見され、サーバ管理者はアップデート作業で大変な思いをしていたようです。 一方、国内ではQ&Aサイトの「Yahoo!知恵袋」でゼロデイ脆弱性が見つかって公開されたほか、海外でもアップルの開発者向けサイトのゼロデイ脆弱性を突いた不正アクセスが発生し、侵入者が名乗り出るといった事件が起こりました。これを機に、脆
新たな不正アクセス判明、「OCN ID」によるログイン機能を一時停止
NTTコミュニケーションズ(NTT Com)は2013年7月26日、「OCN ID」のサーバに対する不正アクセスが新たに判明したことを受け、OCN IDによるログイン機能を一時停止した。 NTTコミュニケーションズ(NTT Com)は2013年7月26日、「OCN ID」のサーバに対する不正アクセスが新たに判明したことを受け、サービスの一部を停止した。OCN IDの認証サーバとのネットワークを一時遮断し、調査を進めている。復旧の時期は明らかにされていない。 OCN IDはいわゆるシングルサインオン機能で、Webメールサービス「OCNメール」のアドレスをIDとして、複数のサービスにログインできる。いったんOCN IDでログインすれば、メールやブログ、データ転送サービスなどをシームレスに利用できるほか、利用料金などを確認できる「OCNマイページ」、コンテンツ利用料金の支払いを行える「OCNペイ
NTT Comのサーバに不正アクセス、Webアプリサーバの脆弱性を突かれた可能性
NTT Comのサーバに不正アクセス、Webアプリサーバの脆弱性を突かれた可能性:メールアドレスとハッシュ化されたパスワード、約400万件が流出の恐れ NTTコミュニケーションズ(NTT Com)は2013年7月24日、外部からの不正アクセスを受けたことを明らかにした。最大で約400万件のメールアドレスとハッシュ化されたパスワードが外部に流出した可能性がある。 NTTコミュニケーションズ(NTT Com)は2013年7月24日、同社のWebアプリケーションサーバが外部からの不正アクセスを受けたことを明らかにした。最大で約400万件のメールアドレスとハッシュ化されたパスワードが外部に流出した可能性があるという。 NTT Comが不正アクセスに気付いたのは7月23日。OCNメールやOCNマイページなどへのログインに利用される「OCN ID」を管理するサーバに、5つの不審なプログラムファイルが設
NAVERのアカウント情報データベースに外部からの不正アクセス
NAVERのアカウント情報データベースに外部からの不正アクセス:アカウント情報、約169万件が流出の可能性 LINEは2013年7月19日、「NAVERまとめ」などで利用されている「NAVERアカウント」のデータベースサーバが外部から不正アクセスを受けたことを明らかにした。ユーザーIDとメールアドレスおよびハッシュ化されたパスワード、169万2496件が外部に流出した可能性がある。 LINEは2013年7月19日、「NAVERまとめ」などで利用されている「NAVERアカウント」のデータベースサーバが外部から不正アクセスを受けたことを明らかにした。ユーザーID(アカウント名)とメールアドレスおよびハッシュ化されたパスワード、169万2496件が外部に流出した可能性があるという。ただし、LINEの会員情報やトーク履歴、アドレス帳の情報、Livedoorのアカウント情報には影響はないとしている。
Webアプリケーションファイアウォール(WAF)とは
WAF(Web Application Firewall)とは、脆弱性を突いた攻撃からWebアプリケーションを守るためのファイアウォールである。 WAF(Web Application Firewall)とは、脆弱(ぜいじゃく)性を突いた攻撃からWebアプリケーションを守るためのファイアウォールである。オープンソースソフトウェアのWAFとしては「mod_security」が有名。 通常のファイアウォールのようにWebサーバの前方(利用者側)に設置し、トラフィックの解析を行うことで危険な通信を遮断するが、通常のファイアウォールと異なるのは、機能がアプリケーションレイヤーに特化している点である。例えば、クロスサイトスクリプティングやSQLインジェクションのような攻撃に対し有効である。 検出方法については、「ブラックリスト方式」と「ホワイトリスト形式」の2種類が存在する。 前者は、「不正な値」や
Apache Struts 2に深刻な脆弱性、国内でも攻撃を観測
Apache Struts 2に深刻な脆弱性、国内でも攻撃を観測:場合によってはリクエストの制限などの回避策を推奨 Apache Software Foundationは米国時間の2013年7月16日、深刻な脆弱性を修正するアップデート「Struts 2.3.15.1」を公開した。 Apache Software Foundationは米国時間の2013年7月16日、Webアプリケーションフレームワーク「Struts 2」の新バージョン「Struts 2.3.15.1」を公開した。深刻な脆弱性を修正するもので、同Foundationは早急なアップデートを推奨している。 Struts 2は、JavaによるWebアプリケーション開発に広く使われているフレームワークで、国内でも多くのサービスが採用している。 今回修正された脆弱性(S2-016)は、Struts 2.0.0から2.3.15までに存
漏えいの次は改ざん――被害相次ぐ国内サイト
6月のセキュリティクラスタでは、トヨタ自動車をはじめ、100件以上の企業Webサイトが改ざんされた件が大きな話題となりました。 6月のセキュリティクラスタですが、国内ではトヨタ自動車をはじめ、100件以上の企業Webサイトが改ざんされ、スクリプトを埋め込まれた件が大きな話題となりました。一方海外では、米当局が世界各国の個人情報を秘密裏に収集していたことが関係者によって暴露され、特に欧米ユーザーの間で大きな話題となっています。 ほかに、日曜ゴールデンタイムの番組「ほこ×たて」で、ハッカーとセキュリティプログラムが対決したことや、遠隔操作ウイルス事件の捜査がようやく終了したこと、遠隔操作ウイルス事件に関連して記者が不正アクセス容疑で書類送検されたことなども、多くの注目を集めていました。 多数の国内Webサイトが無差別に改ざん 5月末から6月半ばにかけて、国内の多数のWebサイトが無差別に改ざん
LinkedInでアクセス障害、原因はDNSハイジャックとの指摘
6月20日、ビジネス向けSNSのLinkedInが、「DNSの問題」により約1時間にわたってアクセスできなくなる事態が発生した。障害発生時はLinkedInにアクセスしてもドメイン販売用のページが表示される状態になっていたが、現在ではほぼ復旧しているという。 LinkedInはこれまでのところ、Twitterでの発言以外には詳細を明らかにしていない。 app.netの共同創設者、Bryan Berg氏はその原因を「DNSハイジャック」によるものではないかと指摘している。Berg氏は、「その間LinkedInにアクセスしたユーザーのトラフィックは、Confluence-Networksがホスティングしていたネットワークに送信されていた」と述べ、しかもサイトではSSLを利用していなかったことから、長い有効期限が設定されていたCookieが平文のまま送信された可能性があるとしている。 SANSは
「演算子のインジェクション」と「SSJI」
「演算子のインジェクション」と「SSJI」:NoSQLを使うなら知っておきたいセキュリティの話(1)(1/2 ページ) ここ数年、大量データ処理時の高速性やデータ構造の柔軟性などから、「NoSQL」が注目を集めています。それと同時に、NoSQLを使うアプリケーションに対する攻撃手法も研究されるようになりました。この記事では、NoSQLを使ったアプリケーションの脆弱性と対策について解説します。 注目集める「NoSQL」 ここ数年、NoSQLと呼ばれる種類のデータベースが注目を集めています。NoSQLはSQL言語を使用しないデータベースの総称で、大量データ処理時の高速性やデータ構造の柔軟性などのメリットがあるため、従来のリレーショナルデータベース(RDB)を補完・代替するものとして、大規模なWebアプリケーションなどにおいてNoSQLを採用する事例が増えています。 このような新しい技術が普及し
狙われた「使い回しアカウント」
4月は日本のサイトで多数の不正アクセスがあり、パスワード攻撃、その中でも特にどこかから流出したと思しきIDとパスワードのリストを使った攻撃が話題となりました。 4月は日本のサイトで多数の不正アクセスがあり、パスワード攻撃、その中でも特にどこかから流出したと思しきIDとパスワードのリストを使った攻撃が話題となりました。一方海外では、AP通信のTwitterアカウントが乗っ取られて株価に影響が生じ、サイバー攻撃と現実がリンクすることに、あらためて驚きを感じた人が多かったようです。 遠隔操作ウイルス事件のその後も引き続き話題となっています。容疑者は再び逮捕されました。また、事件で注目を集めた「Tor」による通信に対し、警察が遮断を求めているのではないかという報道があり、「官による検閲ではないか」とこれも大きな話題になりましたが、どうやら勘違いだったようです。 使い回しのID/パスワードを狙った不
国内のWebサーバ改ざん、古いコンパネソフトに一因? JPCERT/CCが警告
国内のWebサーバ改ざん、古いコンパネソフトに一因? JPCERT/CCが警告:古いバージョンのままの「Parallels Plesk Panel」に注意 JPCERTコーディネーションセンター(JPCERT/CC)は4月8日、改ざんされたWebサイトの多くで、古いバージョンの管理コントロールパネルソフトウェア、「Parallels Plesk Panel」が稼働していると指摘し、注意を呼び掛けた。 3月中旬以降、国内でWebサーバが改ざんされ、不正なモジュールが仕込まれるケースが相次いでいる。JPCERTコーディネーションセンター(JPCERT/CC)は4月8日、そうしたWebサイトの多くで、古いバージョンの管理コントロールパネルソフトウェア、「Parallels Plesk Panel」が稼働していると指摘し、注意を呼び掛けた。 一連の改ざんでは、Webサーバの「Apache」に、「D
PostgreSQLのセキュリティアップデートが緊急リリース
OSSのRDBMSであるPostgreSQLで、予告されていたセキュリティアップデートがリリースされた。ユーザーは速やかなアップデートを。 2013年4月4日、PostgreSQLで「深刻な脆弱性」に対応するためのマイナーアップデートがリリースされた。 今回発見された脆弱性は、DBの正規アカウントを持たないユーザーがpsqlなどでDB接続しようとするだけでDBを破壊できるというもの。「-」で始まるユーザー名で接続すると、データベースサーバのデータディレクトリ構造などに影響を与える可能性がある。一般ユーザー権限で実行できることから、ユーザーには速やかなアップデートを呼び掛けている。 もし即時のアップデートが困難な場合は、一時的にオープンなネットワークからPostgreSQLへの接続を制限するといった回避策も検討する必要があるだろう。 アップデートの対象は以下のバージョン。7.4系、8.0~3
韓国のサイバー攻撃、アクセス元は社内のプライベートIPアドレス
韓国の放送通信委員会は3月22日、マルウェアを送り込んだアクセス元は中国ではなく、農協社内のプライベートIPアドレスであったことを明らかにした。 3月20日に発生したサイバー攻撃事件について調査を進めている韓国の放送通信委員会は3月22日、農協への攻撃においてマルウェアを送り込んだアクセス元は中国ではなく、社内のプライベートIPアドレスであったことを明らかにした。 同委員会では当初、農協へのハッキングに利用されたIPアドレス「101.106.25.105」に基づいて、アクセス元を中国と解釈。中国から更新管理サーバにアクセスされ、マルウェアが配布されたと報告していた。 しかし、被害サーバへの接続記録やIPアドレスの使用状況などを分析した結果、当該アドレスは内部の従業員が社内ポリシーに基づき、プライベートIPアドレスとして利用していたことが判明したという。 韓国放送通信委員会では引き続き、攻撃
韓国サイバー攻撃に使われたマルウェア、MBRを上書きし起動不能に
韓国で3月20日、放送局や金融機関のPCがマルウェアに感染してコンピュータシステムが一斉にダウンした件に関連し、韓国インターネット振興院(KISA)は3月21日、専用の駆除ツールを開発し、配布を開始した。またセキュリティ企業も、原因となったマルウェアについての情報を公開し始めている。 この事件は2013年3月20日14時過ぎに発生した。KBSやMBC、YTNといった放送局と新韓銀行などの金融機関でコンピュータネットワークがダウンし、ATMが使えなくなるなど、業務に支障が生じた。韓国政府の放送通信委員会ではこれを受け、官民軍合同の対策チームを立ち上げ、対策と攻撃元の調査に当たっている。 KISAによると、被害に遭った機関から収集したマルウェアは、2013年3月20日14時に動作するようスケジュールされていた。この結果、複数のPC/サーバのシステムブート領域(Master Boot Recor
JINSに不正アクセス、約1万2000件のクレジットカード情報流出の可能性
メガネブランド「JINS」を展開しているジェイアイエヌは3月15日、同社が運営するオンラインショッピングサイト、「JINS ONLINE SHOP」のWebサーバに不正アクセスがあったことを明らかにした。顧客のクレジットカード情報、1万2000件あまりが流出した可能性があるとし、サイトの運営を停止し調査を進めている。 同社によると、異常に気付いたのは3月14日19時58分。クレジットカード情報を入力するためにWebサイトに用意されている入力フォームが改ざんされ、ユーザーが入力した情報が外部のデータベースに送信されてしまう状態となっていた。これを踏まえ同日23時6分、Webサイトを停止し、調査を開始したという。実際に何件の情報が外部に送信されたか(あるいはされていないか)、送信先サーバはどこかといった情報については、ログなどを基に引き続き調査中。 ジェイアイエヌは2月6日にサーバ移転作業を行
顧客データがすべて盗まれる?!~OSやデータベースへの攻撃~
顧客データがすべて盗まれる?!~OSやデータベースへの攻撃~:Webアプリケーションに潜むセキュリティホール(2)(2/2 ページ) OS Command Injection(OSコマンドの挿入) 通常リモートからサーバOSのコマンドを実行するためには、telnetやsshなどを使ってログインして、コマンドを実行する。通常Webサーバでは、これらのサービスを挙げていたとしてもせいぜい管理用で、だれでも使えるようにはなっていないはずだ。 そこで、telnetやsshではなくWebアプリケーションを経由してOSコマンドを実行してしまおう、というのがこの攻撃だ。 OSコマンドを実行することができれば、任意のファイルの読み出し・変更・削除、OSやデータベースのパスワード漏えい、最悪はサーバの管理者権限まで奪われてしまうなど、被害は計り知れない。 ほとんどのプログラム言語には、外部コマンドを実行する
WAFの性能を測る方法は? ソーシャルエンジニアリングを成功させやすいタイプとは?
「オースティンってどこ? 何があるの?」と同僚や友人に何度も聞かれ、入国管理管には「観光するところないよ」と言われつつ、2012年10月22日から10月25日にかけて、メキシコと国境を接しているアメリカ合衆国のテキサス州オースティンへ行ってきました。「OWASP AppSec USA 2012カンファレンス」に参加することが目的です。 OWASPっていったい何? OWASP(The Open Web Application Security Project)は、Webアプリケーションのセキュリティの向上を目的としたボランティアによるプロジェクトです。Webアプリケーション開発者の手助けとなるツールやフレームワーク、ガイドラインを提供しており、すべてを無料で公開しています。 Webアプリケーション開発をしている方の中には、「OWASP-Top10」という言葉を聞いたことのある方もいるのではな
JAXAや三菱重工業でウイルス感染、ロケット関連情報流出の可能性も
JAXAや三菱重工業でウイルス感染、ロケット関連情報流出の可能性も:「知られていなかったウイルス」 宇宙航空研究開発機構(JAXA)は11月30日、職員が利用していたPCがウイルスに感染したことを発表。三菱重工業も同日、PC4台がウイルスに感染したことを明らかにした。 宇宙航空研究開発機構(JAXA)は11月30日、職員が利用していたPCがウイルスに感染し、開発中の「イプシロンロケット」に関する情報などが外部に漏洩した可能性があることを明らかにした。 また三菱重工業も同日、同社名古屋航空宇宙システム製作所で、宇宙関連の業務に利用していたPC4台がウイルスに感染していたことを発表。外部の専門調査機関と共同で、感染経路や情報流出の有無を含めた被害状況を調査しているという。 JAXAでウイルス感染による情報漏洩の可能性が判明したのは11月28日。まず11月21日にこの端末でウイルス感染を検知し、
Webアプリに絞った脆弱性対策の要求仕様モデル、LASDECが公開
Webアプリに絞った脆弱性対策の要求仕様モデル、LASDECが公開:「保証期間」を設け追加費用なしでの修正を盛り込む 地方自治情報センター(LASDEC)は10月22日、「地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)」を一般公開した。 地方自治情報センター(LASDEC)は10月22日、「地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)」を一般公開した。地方公共団体がWebアプリケーションを調達する際のセキュリティ要求仕様をひな形としてまとめたもので、一部をカスタマイズし、システム発注時の特記仕様書として利用できる。 このモデルプランは、Webアプリケーションの脆弱性が問題となり、一部では実際に攻撃を受け、改ざんなどの被害が発生していることを背景に作成された。こうした脆弱性が運用後に見つかると、開発/受
いまさら聞けないAnonymous(1/3) - @IT
11個の質問を通じて理解する真の姿 いまさら聞けないAnonymous 根岸征史 インターネット イニシアティブ セキュリティ情報統括室 2012/4/16 日本企業へのDDoS攻撃をきっかけに知名度が上がり、テレビや新聞などマスメディアでも報道されるようになった「Anonymous」。その実態を「Anonymousウォッチャー」が分かりやすく解説します。(編集部) 2011年4月に起きた日本企業へのDDoS攻撃をきっかけに、日本でもその存在が広く知られるようになってきた「Anonymous」。しかしその実態については意外に知られていないのではないでしょうか。 筆者は2010年頃からAnonymousの活動に興味を持ち始め、個人的にその活動内容に注目してきました。そこで本記事では、「Anonymousとは一体何なのか?」という素朴な疑問に、できるだけ分かりやすく答えてみたいと思います。 Q
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
