セキュリティ企業Qualysによると、正しく設定されているSSL証明書はたった3%しかないそうだ（eSecurity Planet、本家/.より）。 Qualysは1億を超えるドメインをスキャン、その結果1240万ドメインは解決されず、1460万ドメインはレスポンスが無かったとのことで、アクティブドメインはこのうち9200万であった。アクティブドメインのうち、Port 80と443の両方でQualysのスキャンに応えたのは3400万ドメインであり、Port 443をより詳しく調べたところ、内2300万ドメインがSSLを実際に運用していた（概してPort 80はHTTPに使われ、443はHTTPSやSSL保護されたサイトに使用されている）。 SSL証明書はどのドメインに対しても発行することが可能だが、SSL証明書のドメインが接続先のドメインと一致することが最善とされている。しかしこの2300

今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと（LZH書庫のヘッダー処理における脆弱性について）。 Micco氏はこれをJVN（Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト）に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー， JVN / IPA 等共に『LZH 書庫なんて知らねぇ～よ』という態度から変わることはない」と判断できましたので， UNLHA32.DLL， UNARJ32.DLL， LHMelt の開発を中止す

Googleが「ハッキングを通じてWebアプリのセキュリティや脆弱性を学ぶ」ことを目的としたWebアプリ「Jarlsberg」を公開した Google Online Security Blog）。 Jarlsbergは、「ハッカーがどのようにセキュリティ脆弱性を見つけるか」「どのようにWebアプリを攻撃するか」「どうすればそのような行為への対策を行えるか」を学習することを目的としたもの。Google Apps上で動作しているWebアプリで、ユーザーが実際にさまざまな攻撃をテストしてみることが可能。「jarlsberg.appspot.comドメイン上で任意のスクリプトを実行できるようなファイルをアップロードせよ」などの課題やヒント、その解答と対策なども多数用意されている。また、ソースコードについてもすべて公開されている。 ドキュメントはすべて英語だが、セキュリティに興味のある方は挑戦してみ

「マイミク通信簿」や「今日の名言」など、mixiをやっている人なら結構な頻度で目にするであろうmixiアプリを提供していた「空飛ぶ」（現在は改竄の影響からかＨＰ不通状態）が、サーバーを改竄されたとしてアプリケーションの提供を停止する事態が起きている。 mixiにとってmixiアプリはmixiの利益予想の下方修正に繋がるほどのインパクトがあったようだが、問題は色々とありそうだ。 タレコミ人としては、こういった危険な状態をなぜmixiが気がつけなかったのか、管理体制に疑問を感じずには居られない。 ちなみにこの「空飛ぶ」、以前もmixiのユーザートップページに制限なしに任意のHTMLコードを書けるというアレなmixiアプリ「フリーエリア」を公開して一部で話題になっていた（なお、こちらはすぐに「mixiアプリの規約に違反している」として公開中止になっている）。

日本語は https://www.phish-no-phish.com/jp/ [phish-no-phish.com] ですね。 最初の「お客様の情報をご提供ください」で既にテストが始まってるのかと身構えちゃいました。 それはさておき一問目から "Bizy Bank" のドメインが "bijiibank.co.jp" なのに本物といってたり、偽物の根拠がエラーを表示してるからだったりと、かなり無理があります。さすが宣伝サイト。 フィッシングサイトがどれほど本物にそっくりか、実際に見て比べられる例として両親にも見せてやりたいと思う一方、あまりにアレな解説に誤解と過信を植え付けられても困るし、どうしたものでしょうか。

Windows の 2 月の月例セキュリティアップデートをあてると BSoD が発生するという報告があり、マイクロソフトはパッチの提供を一時中断しているそうだ (INTERNET Watch の記事、ITmedia エンタープライズの記事、本家 /.、Microsoft Security Responce Center (MSRC) blog の記事 より) 。 問題となっているパッチ「MS10-015」を適用するとブルースクリーンが表示され Windows が起動しなくなる場合があるという。パッチの対象システムは Windows 7 / Vista / XP / 2000 および Windows Server 2008 / 2003。Symantec Connect の 記事によると Backdoor.Tidserv というトロイの木馬に感染しているとこの問題が発生するとのこと。このマル

「3分セキュリティ講座」などのコンテンツを提供している「ソフトバンク ビジネス+IT」にて、サイト内のSSL対応ページを閲覧する際に証明書エラーが出るということで「SSL証明書エラーに関するお詫びと対処法」という対処法説明を出している。 ソフトバンク ビジネス+ITでは、セミナー申し込みページなど個人情報を入力するページでSSLが使われているのだが、IE6/7でこれらのページを閲覧した場合、「証明書に問題がある」と表示されるケースがあるようだ。 Internet Explorer 6 で2月1日以降、初めてセミナー登録ページを利用する際に証明書エラーが発生する場合や　Internet Explorer 7におけるHTTPSセキュリティ強化により，Internet Explorer 7にバージョンアップ後に証明書エラーが発生するケースが確認されている 使用されているSSL証明書はSECOMが

JVNのJVNVU#188937 GNU gzip における複数の脆弱性経由で知ったが、GNU ProjectのGNU gzip — News: gzip-1.4 released (stable/security)によると、GNU gzip 1.3.14 ～1.3.3 のバージョンに複数の脆弱性があり、修正がされた1.4がリリースされたとのこと。 この記事によると、脆弱性のあるバージョンでは、細工された gzip 圧縮ファイルを処理させることで、サービス運用妨害 (DoS) 攻撃を受けたり、ユーザの権限で任意のコードを実行されたりする可能性がある。また、脆弱性の一つは、64-bitシステム上でのみ影響を受ける模様。 gzip 1.3.3のリリースは2002年3月8日で、1.3.14は2009年10月30日のリリースなので、かなり長期間のものが対象になる。 なお、2月5日の3時現在でCOD

いささか旧聞だが、本家記事Mobile: Second 3G GSM Cipher Crackedによると、3G GSMにおいてトラフィックの安全性を保つ「Kasumi」暗号が新しく開発された解読法によって破られたそうだ。「related-key attack」というこの方法では、完全な復号鍵が得られるという。ただし、Kasumiが即時に危険な暗号となるようなことはないという。 「Misty」と呼ばれる暗号の改良版であるKasumi暗号は「A5/3」とも呼ばれ、3G GSMにおける通信暗号の標準となっている。論文では この論文ではsandwitch attackという新しい攻撃を提示し、それにより8つあるKASUMIのラウンドのうち7つを2^14という驚くべき高い確率で発見する単純な手順を組み、残り一つを解析することで、4つのrelated key、2^26のデータ、2^30バイトのメモリ

やや古い話になるが、ドコモ携帯の携帯固有IDのみを用いたWebサイト認証の脆弱性がHASHコンサルティングより報告されている（情報公開日は昨年11月24日）。この問題は、数年前からセキュリティ研究家の高木浩光氏が指摘していたものだ（「無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者」、「ケータイWebはどうなるべきか」）。 この問題は読売新聞でも取り上げられている（「最新29機種ドコモ携帯、個人情報流出の恐れ」） 専門家では無いのでややセンセーショナルな読売の記事見出しが適切かどうかは判断が付きかねる。技術的な詳細に関しては専門の方々の解説を求む。 （追記@16:08）今回発覚した問題と、高木氏が指摘していた問題はどちらも固有IDを悪用するという点は共通しているものの、異なるものだという指摘をいただきました（#1702037）。高木氏が指摘していたのは、携帯

ヤフーを装ったフィッシングメールを140万人に送り付け、2700人分のクレジットカード番号等をだまし取っていた会社員ら5人が逮捕されたと、産経新聞ニュースや毎日新聞ニュースが報じている。 だまし取ったカード番号を不正に使って家電量販店のネットショップで商品を購入し、中古品業者に転売して換金していたという。確認されているだけで370件の被害が確認されているそうで、被害額は現在判明しているものだけでも3500万円、最終的には1億円を超える可能性があるそうだ。

連帯保証人制度 改革フォーラムというサイトにある「捨印の恐ろしい本当の話し」という記事を読んでびっくりした。例えば新規にクレジットカードを作る際など、通常の捺印とは別に欄外にある「捨印」という箇所に押印した経験は皆さんもおありだと思うが、この捨印のお話である。 金融機関相手の金銭消費貸借契約書や保証契約書に捨印があれば、金融機関側が契約書の内容を、契約者に未承諾で書き換えても、その書き換えた内容が有効になるらしい。つまり、実質白紙委任と同様の状態になってしまうようだ。実際にいくつかの判例もあり、最高裁もその有効性を認めている。その法的根拠は民事訴訟法 228 条の 4とのこと。 敗訴事例には、出典付きで実際の事例・判例も紹介されている。「捨印が金融機関に流用され、本人が自覚しないうちに連帯保証人に切り替わっていたケース」(平成 16 年 9 月 10 日日本経済新聞記事) だ。 谷岡さんは

ストーリー by hylom 2008年12月17日 18時00分 無防備な挿入にはお気をつけください、 部門より asahi.comの記事によると、東京のＪＲ立川駅北口にある家電量販店「ビックカメラ立川店」で、デジタルカメラの写真プリント注文機がコンピューターウイルスに感染し、利用者の持ち込んだメモリーカードにも感染が広がっていたことがわかった。ビックカメラ広報・ＩＲ部は「利用者には伝票の控えで連絡を取るなどし、感染の可能性と対策について早急に告知する」と説明している。 感染していたのは写真プリント注文機「オーダーキャッチャー」の１台で、画像が記録されたメモリーカードを同機に差し込むことで感染して拡大していく「ワーム型」と呼ばれるウイルスが確認された。注文機を開発した富士フイルムの調査によると、３日には感染していたことが分かったそうだ。 私はこのようなプリント注文機を利用した事がないので

6月27日のストーリー「行動ターゲティング広告とプライバシー」で、「閲覧情報の照会範囲が世界中のウェブサイトへと拡大」というのが謎とされていた、楽天とドリコムの新型広告システムについて、その仕組みがNIKKEI NETの記事「行動ターゲティング広告はどこまで許されるのか」で明らかにされた。 記事によると、「ブラウザ側の欠陥を突くことによって閲覧履歴を取得するもの」で、「Flashオブジェクトの中に数千個の隠しリンクが埋め込まれており、JavaScriptによってそのリンクの訪問の有無を調べ、どんなカテゴリーのサイトに多く訪問しているかを集計」しているのだという。 記事では「合法ではあるが、企業のビジネス行為として倫理的に許されるものだろうか」と疑問を投げかけているが、スラッシュドットのみなさんはどう思われるだろうか。

Akamaiの2008年第2期インターネット現状調査[PDF]によると、攻撃トラフィックの発信源として今期最も多かったのは日本(30.07%)だったそうだ。また、最も多かった攻撃はDCOMに対する攻撃(29.66%)だったとの事である。 ちなみに、ブロードバンド世界一の座は日本(52%)から韓国(64%)に移った模様。 日本が前期の7位（3.56％）から1位まで急浮上した理由はタレコミ子がPDFをざっと見た限りでは書いていなかったと思われるが、スラッシュドットの諸兄はいかがお考えだろうか。

米ラスベガスで開催されたハッカーカンファレンスDefconで、GmailのセッションIDを自動的に盗むツールが発表された（hungry-hackers.com・本家記事）。 Gmailにアクセスする際にブラウザはクッキーを送信している。Gmail上の単なる画像にアクセスするだけでもクッキーは送られているのだが、Gmailはセッション情報をクッキーで管理しているため、悪意ある者がhttp://mail.google.comの画像をメールやウェブページに紛れ込ませることでセッションIDを得ることが可能である。一旦セッションIDを手に入れてしまえば、パスワード無しにログインすることが可能になる。 このツールは２週間後にリリースされる予定だが、Gmailには常にhttpsを利用する設定オプションが追加されているので、特に保護されていないワイヤレスネットワークからアクセスする際などは利用したほうがよ

INTERNET Watchの記事によると、さくらインターネットのレンタルサーバの1台がクラックされ、6月1日1時52分〜6月2日17時23分の期間、ARP spoofing攻撃が発生していたとのことです。これにより、さくらインターネットの「専用サーバ10Mスタンダード」プランの「219.94.145.0〜219.94.145.127」のIPアドレスのサーバの通信経路が変更されてしまい、クラックされたマシンを通して外部と通信する状態になっていたとのこと。セキュリティホールmemoの記事によりますと、さくらでホストされていたethna.jp や jp2.php.net などのウェブサイトで、HTMLにウイルスを埋め込む<iframe>タグが差し込まれていたと報告されており、どうやらクラックされたマシン上で通信の改ざんが行われたようです。 さくらインターネットは、障害情報のページで「6月4日追

米軍は軍用ボットネットを持つべきと米空軍のCharles W. Williamson III大佐は唱えている（本家/.記事・Armed Forces Journal記事）。ボットネットは、政府ネットワークにDDoS攻撃を加える者への抑止手段、そしてテロリスト団体、犯罪グループ、非友好国へのネットワーク攻撃用兵器という両方の役割を担うものとのことで、大佐は次のような主張を展開している。 ボットネットによって無実の人たちが攻撃される可能性を恐れる人がいるかもしれない。もしボットネットが厳密な攻撃的目的で使われるとすれば、民間コンピュータも攻撃される可能性はあるが、しかしそれは敵によって我々がそうせざるを得ない場合のみである。アメリカは従来同様のターゲット策定準備を行い、国防省の方針に従い武力紛争の法を遵守し、必要性を検討し、軍事・軍民兼用・民間ターゲットの判定およびその割合を分析する。 また、

ストーリー by nabeshin 2008年05月01日 11時28分 RFC 3751 全知プロトコルはいかが？ 部門より セキュリティ組織サンズ・インスティチュートは、米国の研究者らが修正パッチから攻撃プログラムを自動的に生成する手法を発表したと報じた（サンズ・インスティチュートの記事、ITproの記事）この手法はバークレー大学、ピッツバーグ大学、カーネギーメロン大学の研究者らの共同研究の成果であり、マイクロソフトが過去に公開した5種類のパッチから、わずか数分で攻撃プログラムを作成することに成功したという。修正パッチを解析して、そのパッチが修正する脆弱性を攻撃するプログラムを作成するのは攻撃者の常套手段だが、今回の発表によって、パッチ発表から攻撃プログラム出現までの期間が短縮される可能性が示唆された形となる。 ところで、研究者らは、攻撃者がパッチを入手しにくいように「安全に配布」する

総務省はウェブメールサービス Yahoo!メールにおいて、受信したメールに他人のメールのヘッダ情報が表示される不具合があったとして、ヤフーに対し行政指導を行った(総務省の報道資料)。 昨年 10月31日から今年 2月21日の約4ヶ月間、受信メールの約 57,000通に「送信日時、送信元メールアドレス、宛先メールアドレス、件名、経路情報」など他人のメールのヘッダ情報が併記されていた事が原因で、これらが追加表示される事があったというもの。原因は「メールサーバーのソフトウェアの不具合」だそうだが、「テストで不具合を確認しながら、連絡ミスでそのまま全てのサーバーにインストール」してしまったとの事。 ヤフー側では 3月18日にこの問題を告知。3月24日になって総務省に報告を行い、それに対する指導が今回行われた訳だが……動きがちょっと遅すぎる印象は拭えないよなぁ。