会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
「Downadup」ワームのUPnPを使った攻撃
注記:当記事は「W32.Downadup」ワーム特集連載の第6回である。 「Downadup」ワームは複数の感染手段を使っており,その中に「MS08-067」のぜい弱性に対してリモート・プロシジャ・コール(RPC)を仕掛けて遠隔地から感染する手口がある。このぜい弱性を悪用し,感染元パソコンにコネクトバックするシェルコード(ぜい弱性を悪用する攻撃コードの中核部分)を送り込むのだ。この処理は「バックコネクト」と呼ぶ。バックコネクトは,ランダムに選ばれたHTTPポートを経由する。感染元パソコンは,受信したバックコネクト要求に対し,Downadupワーム・ファイル全体を提供するという対応をとる。一方,狙われたパソコン上で動いているシェルコードは,このファイルを受信して実行し,感染に至る。 ただし多くの家庭では,ルーターなどのゲートウエイ装置を介してインターネットに接続している。デフォルトでは,外部
「大手サーバー・メーカー初」,日本HPがフリーLinux CentOSの有償サポート
日本ヒューレット・パッカード(日本HP)は2009年2月9日,フリーのRed Hat Enterprise Linux互換ディストリビューションであるCentOSを含めたオープンソース・ソフトウエアの有償サポート・サービスを開始した。このサービスは日本法人独自のもので,「大手サーバー・メーカーによるCentOSの有償サポートは世界でも初めて」(日本HP)という。 CentOSは,Red Hat Enterprise Linuxから米Red Hatの商標にかかわる要素を除いたフリーのLinuxディストリビューション。「日本では米国に比べ,クラウド・コンピュータのプレーヤーがCentOSなどのフリーOS利用している比率が高い」(日本HP エンタープライズ ストレージ・サーバ事業統括ISSビジネス本部ソフトウェアプロダクト&HPCマーケティング部担当部長赤井誠氏)ことから,日本独自でのCentO
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 有料会員(月額プラン)は初月無料! お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
「ISPはキャリア・グレードNATを2010年に開始すべき」,IPv4枯渇対応セミナーでNTTコムの宮川氏が主張
写真1●講演を行ったNTTコミュニケーションズ 先端IPアーキテクチャセンタ ネットワークプロジェクトの宮川晋担当部長(左)と,午後の研究発表・報告会で総合司会を務めたIPv6普及・高度化推進協議会 専務理事の江崎浩氏(右) 総務省とインターネット関連団体で構成するIPv4アドレス枯渇対応タスクフォースは2008年10月6日,第1回「IPv4アドレス枯渇対応テクニカルセミナー」を開催した。この中で,NTTコミュニケーションズ 先端IPアーキテクチャセンタ ネットワークプロジェクトの宮川晋担当部長が「From IPv4 only To v4/v6 Dual Stack」と題して講演した(写真1)。同氏は,IPv4アドレス枯渇対策としてのキャリア・グレードNATの問題点と,IPv4からIPv6への移行シナリオを示した。 宮川氏はまず初めに「IPv4アドレス枯渇対策にはIPv6化が必須であること
ポータブルストレージ製品の新認証規格「IEEE 1667」--Windows 7でサポート
筆者は,業界の標準規格には,どちらかというと冷笑的な態度を取ってきたが,「ポータブルストレージデバイスの,ホスト機器接続時認証に関する標準プロトコル」を意味する「IEEE 1667」規格に関しては,非常に大きな期待を抱いている。この標準規格は,必ずやセキュリティの改善につながるであろうし,他の利点も持ち合わせていそうである。 IEEE 1667が必要な理由は,次のような事情にある。われわれは皆,かなりの数のフラッシュドライブ,MP3プレーヤー,USBディスクドライブなどを所有している。確かに,音楽をコピーしたり,ファイルを転送したりするのに,これらは優れた手段だが,巨大なセキュリティ上の脆弱性という問題を引き起こすものともなっている。たとえば,家電量販店の「Fry」で昼休みに購入してきた,250Gバイトのドライブを接続しさえすれば,膨大な量のデータを(PCから)盗み出すことができてしまう。
セキュアブレイン,Webページやプログラムの安全性を確認するサイト「gred」ベータ版を公開
セキュアブレインは2008年11月20日,Webページやプログラムの安全性を無償で確認できるWebサイト「gred」(グレッド)のベータ版を公開した。 gredには「Webチェック」,「プログラムチェック」の二つの機能がある。 「Webチェック」は,gred上にWebページのURLを入力して「CHECK」ボタンをクリックすれば,そのページの安全性を確認してくれるというもの。フィッシング詐欺やワンクリック詐欺といった不正なWebページではないか,Webページ上のコンテンツにマルウエアなどが仕込まれていないか――といった内容を実際にアクセスする前に確かめられる。URLをブラックリストと照合して判定するのではなく,セキュアブレインの解析エンジンがWebページのコンテンツを実際に取得して安全性を検証している。 「プログラムチェック」では,ZIPまたはEXE形式のプログラムの安全性を確認できる。利用
Webブラウザを狙う中間者攻撃の対抗手段「ZTIC」
Webブラウザを狙う中間者攻撃についてご存知ない方のためにまず説明しておこう。昔からあるMan-in-the-Middle(中間者)攻撃を,ずる賢くもWebブラウザ向けに特化させ,攻撃用コード(一般的にスクリプト対応プロキシ技術が使われる)をWebブラウザに仕掛ける攻撃手法が存在する。この攻撃を受けたWebブラウザは,最終的に中核機能を掌握され,送受信するデータが攻撃者に筒抜けとなり,好きなようにデータを操作されてしまう。 この種の手口は「Man-in-the-Browser(Webブラウザを狙う中間者)攻撃」と呼ばれ,2年前に初めて登場して以来,銀行を狙ったトロイの木馬で使われる例が増えてきている。 銀行の顧客に対する攻撃手段としてMan-in-the-Browser機能を実装している最近のマルウエアは,非常に高度化している。そのため,オンライン・バンキング時にWebブラウザ経由で顧客と
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
スパムメールの収益性が明らかに
カリフォルニア大学サンディエゴ校の研究者が,Stormボットネットによって生成されているスパムメールの投下資本収益率を明らかにした。1通のメッセージに対する応答率は驚くほど低いにも関わらず,この率はスパム業者が収益を上げるには十分なものだった。 2008年のACM Conference on Computer and Communication Securityで,Stefan Savage氏,Vern Paxson氏とそのチームは,スパムメールの換算率,すなわち製品販売における広告効果を計測した結果を示す論文を発表した。同チームは,データの収集にあたり,かなり攻撃的な手法を用いている。同チームはこのために,Stormボットネットの一部を乗っ取り,彼らがコントロールしているドメインと店舗へのリンクを含むスパムメールを挿入した。 同チームのデータと分析は,さまざまな「男性機能強化」製品の平均
キヤノンITがスパム対策POP3プロキシ装置に新ファーム,先読みでスキャンを省略
キヤノンITソリューションズは,中小企業向けスパム対策アプライアンス「SpamChecker」の新版を,2008年11月4日に出荷した。新たに,メール・スキャンにかかる時間を削減する工夫を凝らし,使い勝手を高めた。価格は,同時コネクション数で50ユーザーまでが25万円(税別),100ユーザーまでが35万円(税別)。開発会社はオーストラリアのNetBox Blue。 SpamCheckerは,アクセス透過型で動作する,POPプロキシ型スパム対策アプライアンスである。POP3クライアント(メーラー)とPOP3サーバー(メール格納サーバー)とのアクセス経路上にインライン設置して運用する。POP3クライアントがPOP3サーバーからメールをダウンロードするタイミングでメールをスキャンする。 新版では,POP3アクセスの先読み機能を追加した。POPアクセスのID/パスワードをメモリー上に保持し,ユーザ
DNSぜい弱性によって全世界の1/3のユーザーが危険にさらされた
DNSぜい弱性によって全世界の1/3のユーザーが危険にさらされた 米アイオーアクティブ ペネトレーション・テスティング・サービス ディレクター ダン・カミンスキー氏 2008年7月に大きな問題となった「DNSキャッシュ・ポイズニング」(関連記事1,関連記事2)。DNSぜい弱性の研究者として有名なダン・カミンスキー氏は「8月末時点で全世界の3分の1のユーザーが危険な状態にあった」と語り,まだ危機が去ったわけではないことを示唆した。 DNSキャッシュ・ポイズニングは,DNSサーバーに偽の情報を埋め込む攻撃。エンドユーザーを偽のWebサイトに導いたり,メールを悪意あるサーバーに配送させたりといった被害を起こす危険性がある。ネットワークのインフラストラクチャを狙った攻撃だ。 2008年10月5~10日に開催されたセキュリティ・カンファレンス「Black Hat Japan 2008」のために来日し
IP電話に無言電話が着信する現象が多発,原因はインターネット上からの不正攻撃:ITpro
2008年9月9日からIP電話に対する不正接続が多発していることがわかった。不正接続があると,無言電話のような症状が発生する。ヤマハのIP電話対応ルーターを使っているユーザーが,メーリング・リストに無言電話がかかってくる現象を報告した。 同じユーザーの投稿によると,ブルガリアとマレーシアの2カ所からIP電話端末(SIP端末)に対して無差別にSIPのパケットを送信し,不正接続を試みているようだとしている。インターネット上からの攻撃なので,攻撃の対象となるのは「050番号」を利用するIP電話端末になる。 ヤマハによると,無言電話のトラブルを把握したのは9日の12時ごろだという。同日の夕方には,同社はWebページにある製品のFAQに対処法を掲載し,社員による広報用のブログにも同様の内容を掲載した。そこで示した具体的な対処法は,電話ユーザー名として正しい着信番号(SIPサーバー・コマンドのsipア
JavaScriptスクリプトに潜むXSSのぜい弱性も検出
今回は,ratproxyが検出する特徴的なぜい弱性として,JavaScript関数に関するものを紹介しましょう。DOM(document object model)の仕組みを使ったクロスサイト・スクリプティング(XSS)のぜい弱性(DOM Based XSS)です。 DOM Based XSSは,XSSの中では比較的新しいタイプのぜい弱性で,業界団体のサイトなどで紹介されています。ここでは詳細な説明は割愛しますが,簡単に言うと,Webサーバーを経由させずに標的ユーザーのブラウザ上で悪意あるスクリプトを実行させられるぜい弱性です。 ぜい弱性のある簡単なサンプルJavaScriptコードを以下に示します。これは,かつてBugzillaで発見されたぜい弱性です。 このコードでは,locationがそのまま(エスケープされずに)HTMLに出力されています。そのため,locationに「<scrip
Content-Typeなどでクロスサイト・スクリプティングの危険度をチェック
今回から3回にわたって,ratproxyが検出するぜい弱性のうち特徴的なものについて説明しましょう。前回挙げた(1)~(6)のぜい弱性のうち(1)Content-TypeやCharset指定の誤り,(2)write()などのJavaScript関数,(3)JavaScript Hijack/JSON Hijackの3種類を取り上げます。ここでは,ratproxyの挙動面だけではなく,ぜい弱性自体に関する技術的な内容についても説明をしますので,当面ratproxyを使用する予定がない方も参考にしていただければと思います。 まず今回は,(1)のContent-Type指定の誤り(XSSの危険性)です。 HTTPレスポンスには,通常「Content-Type: text/html; charset=UTF-8」といったレスポンス・ヘッダーが付けられます。このヘッダーは,「返信されるコンテンツがH
「Google Chrome」のセキュリティパッチ,詳細が明らかに
Googleは,ブラウザ「Chrome」に対して3日前に提供開始したセキュリティパッチについて沈黙を守っていたが,米国時間9月8日午後,緊急レベルの脆弱性2件と重要度の低い問題数件が修正されたことを,その詳細とともに明らかにした。 GoogleのChromeプログラムマネージャーMark Larson氏が8日午後,メーリングリストで明らかにしたところによると,緊急レベルのパッチ2件はバッファーオーバーランの脆弱性を改修するもので,この脆弱性を利用されると遠隔地にいる攻撃者によってChromeが動いているコンピュータ上で任意のソフトウェアを実行される恐れがある。1つはSaveAs脆弱性と呼ばれているもので,長いファイル名の扱い方に問題があった。もう1つの脆弱性は,マウスカーソルがリンク上にあるときにステータス領域に表示されるウェブサイトアドレスの扱いに関するもの。 Chrome関連の発表やリ
グーグル,クッキーの安全強化のためSSLを変更
あるセキュリティ研究者が,公開を計画しているエクスプロイトについてGoogleと議論を続けてきた。このエクスプロイトは,セキュアだと言われているウェブサイトとの通信をセキュリティの施されていないWi-Fiネットワークで行った際,ハッカーが容易にこの通信を傍受可能にする恐れがある。FacebookやYahoo Mail,Hotmailなどのサイトはいまだ脆弱だという。 Riverbed Technologyでリバースエンジニアリングと開発を担当しているMike Perry氏は1年前,ウェブサイトがSecure Sockets Layer(SSL)プロトコルを実装する方法に共通の脆弱性があることをBugTraqメーリングリストで発表した。SSLプロトコルはウェブ閲覧時のデータを守るための仕組み。同氏によると,多くのウェブサイトでは,SSLを使ってデータを暗号化しているのはログインの段階でだけだ
詳細が明かされたDNSキャッシュ・ポイズニングの新手法
2008年7月から世界的に話題になっているDNSキャッシュ・ポイズニングを効率的に実現する手法について,発見者であるダン・カミンスキー氏が,Black Hat 2008の席上でプレゼンテーションを行いました(8月6日)。このキャッシュ・ポイズニングのぜい弱性については,いろいろ動きがありましたので,ぜい弱性に関連するイベントを追いかけておきましょう。 ■キャッシュ・ポイズニングのぜい弱性の対応経過 まずは,ぜい弱性に代表的なイベント一覧です。他の関連イベントについては, Status Tracking Note TRTA08-190B:複数の DNS 実装にキャッシュ・ポイズニングのぜい弱性 を参照してください。 2008年7月8日 BINDを含む複数のDNSサーバーが,ダン・カミンスキー氏が指摘するキャッシュ・ポイズニングを効率的に実現する手法に対してぜい弱であったことから,対策版がリリ
特に危険な今年の“夏季休暇明け”,注意すべきセキュリティのポイント
ある企業のシステム管理者から『夏季休暇は分散取得しているが,それでも8月13日から取得する社員が一番多い。システム管理者として長期休暇の前後に徹底すべき事項があれば,アドバイスしてほしい』と相談を受けました。 年末年始,ゴールデンウィーク,夏季休暇などの長期休暇の前には,セキュリティに関連する様々な団体や企業からセキュリティ対策の注意喚起が行われます。例えばマイクロソフトは8月4日に,「長期休暇の前に セキュリティ対策のお願い」というレポートを公開しました。これは2003年12月10日に初めて公開したレポートを更新したものです。 長期休暇に伴う注意喚起のレポートは,それぞれの長期休暇によって内容に変更がある訳ではなく,基本的には同様の内容で公開されます。 ただ日本の場合は,特に「夏季休暇」に注意すべきです。というのも,マイクロソフトのセキュリティ情報(パッチ)の定期リリースのスケジュールが
日本シー・エー・ディー,集中管理可能な5万9800円の検疫アプライアンス
日本シー・エー・ディーは2008年8月6日,検疫アプライアンス「IntraGuardian Version 1.2.0」を出荷開始したと発表した。同製品は,不正クライアントの検知・防御に特化し価格を5万9800円に抑えるなど,導入の手軽さが売り。新版では複数のIntraGuardianを集中管理する機能を追加して管理性を高めた。 IntraGuardianは,MACアドレスを基に不正なクライアントを判別するタイプのシンプルな検疫サーバーとして動作する。外形寸法は幅83×奥行き24.3×高さ58mmで重さが70gと小型・軽量。初回導入時に正規のサーバーやクライアントのMACアドレスを自動収集し,以降は未登録のクライアントが接続時に発する「ARPパケット」に偽の応答パケットを返すことで通信を妨害する。動作原理上,ネットワーク・セグメントごとにIntraGuardianを配置する必要がある。 V
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
