McAfee Avert Labs Blog 「Clickjacking」より October 15,2008 Posted by Zhu Cheng 最近インターネット界では,「クリックジャッキング」(Clickjacking)と呼ばれる新たな攻撃手法が話題になっている(関連記事:「クリックを乗っ取る」攻撃が報告、ほとんどのブラウザーに影響)。 オンライン公開されていたセキュリティ会議「OWASP NYC AppSec 2008 Conference」のビデオで,Jeremiah Grossman氏とRobert “RSnake” Hansen氏が「New Zero-Day Browser Exploits――ClickJacking(Webブラウザの新たなゼロディ・エクスプロイト――クリックジャッキング)」と題するプレゼンテーションを実施し,クリックジャッキングというセキュリティ・ホー
会員限定サービスです 日経電子版セット2カ月無料! お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
この特集では,筆者が法人顧客のサポート・エンジニアとして経験した数多くの実例の中から,企業ネットワークで実際に発生したある事例について,時系列に従い,その時々でシステム管理者とセキュリティ・ベンダーのサポート・チームが試行錯誤で行った現場の対処を紹介する。 第2回は,セキュリティ・インシデントが発生したA社への到着から,到着後約1時間で行った初期対応までである。当時の現場状況を追いながら,不正プログラムによるアウトブレイクを食い止めるための要となる「正体不明の不正プログラムを見つけ出す」方法について解説する。 終電に近い電車でA社に到着したころには,既に午後11時を回っていた。A社のオフィスは,当然のことながら営業が終了している。従業員用の非常口にいる警備員にシステム担当者のM氏を訪ねてきた旨を伝えると,まもなくM氏が現れた。 「お待ちしていました。会議室で緊急対策チームが作業していますの
アステックインタナショナルは,機密情報を保存したパソコンを社外に安全に持ち出すためのセキュリティ・ソフト「セキュリティコンパクト」を,2月5日に出荷する。ファイルの暗号化により,暗号鍵を知らない第三者の手に渡っても解読できないという仕組み。価格は30ユーザーで45万円など。販売会社はエージーテックで,開発会社はアステックインタナショナル。 セキュリティコンパクトは,“社外持ち出しPC”を実現するためのセキュリティ・ソフト。同ソフトを使うと,機密情報ファイルなどを暗号化してハード・ディスクに保存して社外に持ち出すことになるため,パソコンの盗難などによってファイルが第三者の手に渡ってもそのままでは解読されない。暗号方式は鍵長128ビットのAES(Advanced Encryption Standard)を採用した。 特徴的なのは,鍵管理機能である。ファイルの暗号/復号に用いる暗号鍵をサーバー側
米シマンテックは2008年1月22日(米国時間)、ブロードバンドルーターの設定を勝手に変更する悪質なメールが確認されたとして注意を呼びかけた。メールを開くだけでルーターのDNS設定が変更され、ある銀行のWebサイトにアクセスしようとすると、偽サイトへ誘導される恐れがある。その結果、個人情報などを盗まれる危険性がある。 WebページやHTMLメールに悪質なHTMLとJavaScriptを仕込んで、それらを閲覧したユーザーのブロードバンドルーターの設定を変更する攻撃は「ドライブバイ・ファーミング(Drive-by Pharming)」と呼ばれる。 この攻撃では、ブロードバンドルーターのDNS設定を変更し、攻撃者のDNSサーバーなどを参照させるようにする。これにより、ファーミング詐欺を可能にする。具体的には、ユーザーが本物のWebサイトのURLをWebブラウザーに入力しても、攻撃者が意図した偽サ
ワンクリック詐欺に誘い込むために送られてくる典型的な迷惑メールは,「逆援助交際」をうたったもの。誰が見ても怪しいことはわかりそうなものだが,このようなメールがいまだに送られてくるということは,それでもだまされてしまう人が存在するということだ。 ただ,最近では一見しただけでは怪しいと思えないメールが増えている。例えば,あて先を間違えた風を装ったり,仕事のメールに対する返信を装ったり,昔の友人(恋人)を装ったりする。「32型液晶テレビが5万円!」や「元手いらずで100万円ゲット!」といった,お得な情報を装うものもある。 最近は,検索サイト経由でワンクリック詐欺サイトに誘い込まれることも増えている。例えば,検索サイトで女優の名前と「お宝映像」という単語を組み合わせて検索すると,おびただしい数の検索結果がリストアップされる。検索結果の上位は,かなりの割合でワンクリック詐欺サイトの入り口になっている
楽天は、同社のショッピングモール「楽天市場」の決済プロセスがクレジットカード業界の情報セキュリティ規格「Payment Card Industry Data Security Standard (PCIDSS)」に準拠したことを発表した。 今回の認定にあたり、外部認定機関のBSIマネジメントシステム ジャパンの監査を受けた。実際には、ビザ・インターナショナルの診断プログラム「アカウント情報セキュリティ(AIS)」に基づく手順を満たしたことで、PCIDSS準拠と認定された。監査内容は、AISの中で最も厳しい大型加盟店を対象とした「レベル1」加盟店向けのもの。楽天によると、EC(電子商取引)業界で初めてのPCIDSS準拠という。 PCIDSSは、クレジットカードの国際ブランド5社(VISA、MasterCard、JCB、American Express、Discover)が共同策定した情報セキ
以前の「今週のSecurity Check」の記事で,見落としがちなWebアプリケーションのぜい弱性の例として,ログイン画面におけるエラー・メッセージから認証の安全性が低下する例を示した。今回は,ログイン画面そのものがぜい弱な例を取り上げてみたい。 まず,写真1のログイン画面にどのようなぜい弱性が内在しているかお考えいただきたい。Webサイトの会員の立場から,ご自身の認証コードが破られる可能性は高いと思われるだろうか。 では,これに以下の条件が加わった場合はどうだろう。 ・会員番号は10桁の数字 ・認証コードは9桁の数字 この条件が加わると,ある特定の会員にとってログイン画面の認証の安全性は大幅に低下する。攻撃者の視点で考えてみよう。 攻撃者は,誰かの有効な会員番号と認証コードのセットを「できるだけ沢山、できるだけ容易に入手すること」を第一に考える。そこで,こうしたログイン画面に狙いを付け
この1年間に起きた出来事を振り返って検証する時期になった。新聞と雑誌は,そろそろ映画や音楽,書籍のトップ・ランキングを掲載する。我々も10大ニュースをまとめよう。愉快なことではないが,セキュリティ環境の傾向を整理したこの一覧は,さまざまな例からサイバー犯罪がプロ化し,金儲けに結び付くという予測の正しさを証明している。各項目を見ていくと,「時事問題」と「信頼」という二つの言葉が思い浮かぶ。攻撃者は現在起きている出来事と信頼されているブランドを悪用し,金儲けのためにユーザーをだます。セキュリティ企業は,これからも攻撃者のこうした活動を阻み続ける。 2007年のインターネット・セキュリティ10大ニュースを順不同で紹介する。 (1)情報漏えい:重要データの流出事件によって,データ喪失を防ぐ技術および戦略の重要性が強調された (2)Windows Vista発売:米マイクロソフトのWindows V
今年9月,Gmailにクロスサイト・リクエスト・フォージェリ(CSRF)のぜい弱性が見付かった。ユーザーはメールを盗み見される危険にさらされていた。また,10月にはバッファローの無線LAN製品「AirStation」に組み込まれている設定ツール(Webアプリケーション)に存在するCSRFのぜい弱性が発見された。第三者にAirStationの設定を勝手に書き換えられる可能性があった。 これらのぜい弱性は, ユーザーがWebアプリケーションにログインした状態で,攻撃者が用意した悪意のあるリンクを誤ってクリックすると,ユーザーが予期しない処理を実行されてしまうというもの。Gmailなら例えば勝手にフィルタ・プログラムを作成して任意のアドレスにメールを転送するなどの仕組みを実現できる。 グーグルは既にこのぜい弱性を修正済みだが,万が一,利用者のフィルタ・リストに攻撃者が作成したフィルタが存在してい
「標的型攻撃」の危険性が叫ばれるようになってしばらく経つ。名前の通り特定の組織にしか届かないため,なかなか実感は湧かない読者が多いことと思う。ただ,今年9月に報告されたAdobe Readerのゼロデイのぜい弱性(10月29日に修正された)は,今後の標的型攻撃の傾向に変化を与えるかもしれない。 これまでに被害が報告された標的型攻撃は,Microsoft Wordや一太郎といった市販ソフトのぜい弱性を悪用したものがほとんどだった。標的となったソフトが普及している製品だとはいえ,用途が決まっているうえ有償であることから,ユーザー層は限定されていた。これに対してPDFはプラットフォームを選ばないうえ無償。市販のワープロ・ソフトなどに比べると標的となるユーザーが多く,被害が広がりやすい。以下では,PDFのゼロデイ攻撃について解説しよう。 ファイルを開くとプログラムが動く 9月に報告されたPDFのゼ
米アップルから携帯AVプレーヤーの「iPod touch」がリリースされた。2本の指でタッチパネルを操作するユニークなユーザー・インタフェースは,多くのユーザーの関心を集めている。iPod touchには無線LAN機能も搭載され,ユーザーはWebアクセスにもiPod touchを利用できる。 こうしたデバイスの進化によってWebは日常生活にますます浸透するのだろうが,それは同時に,Web経由の攻撃の影響範囲も広がることを意味する。Web経由の攻撃技術は日々巧妙化し,Webコンテンツに含まれるファイルの信憑性が問われる場面は少なくない。典型例が今年6月に世界的に被害が広がったMPack。一般のWebサイトにiframeタグが埋め込まれた。一般のブログやSNS(social networking service)のコンテンツも,必ずしも信頼できるとは限らない。 しかも解決策は不十分。ゼロデイ攻
米Finjan Softwareは2007年12月10日(現地時間)に公開した同社のレポートの中で,「“Trojan 2.0”(トロイの木馬2.0)と呼ぶべき新しい手口が今後使われるようになる」と警告した。インターネット上で提供されているブログや掲示板,RSSフィードといったWeb 2.0型サービスをインフラとして使うことで,監視の目を潜り抜けるというものだ。 現在,犯罪者は家庭や企業のパソコンに,トロイの木馬を埋め込むことにやっきになっている。一度,埋め込むことができれば,ここから個人情報や企業の機密情報を盗み出したり,ユーザーのキー入力からクレジット番号を盗んだり,迷惑メール送信の踏み台として使ったりできる。 従来,犯罪者はパソコンに埋め込まれたトロイの木馬に対し,IRC(インターネット・リレー・チャット)のプロトコルを使って命令与えたり,情報を取得したりしていた。これに企業やウイルス
McAfee Avert Labs Blog 「From Fast-Flux to RockPhish - Part 1」より November 30, 2007 Posted by Francois Paget 何年も前から,攻撃方法の高度化に関する話題を取り上げてきた。攻撃者が洗練された手口を使う理由は,主に攻撃の自由度と隠蔽度合いを高め,利益を増やすためだ。よく利用される攻撃手法やツールには,「Fast-Flux」や「RockPhish」,「MPack」といった名前が付いている。最近いくつかスパム送信行為や怪しいWebサイトを調査したので,そうした事例を使い,当ブログで二回に分けて新しいサイバー犯罪の手口を説明する。 まず,極めて単純な例を紹介し,その後で手口を詳しく解説しよう。 ドメイン名を多数持っているスパム送信者がいるとする。通常スパム送信者は,盗んだクレジットカード番号を使っ
山田:結局お手上げということですか。 室長:いやいや,ボットネットから送られた迷惑メールも,メールのヘッダー部分に残された中継情報を見ると見分けがつくことが多いんじゃよ。 迷惑メールは,メールのヘッダー部分の中継情報を見るとある程度判別できる(図3)。メール・ヘッダーには,メールの題名や送信元/返信先メール・アドレス以外に,経由してきたメール・サーバーや,送信時に使用されたメール・ソフトなどの情報が刻印されている。 図3●ヘッダー情報から迷惑メールを見分けるポイントはいくつかある 第三者のパソコンから送られてくる迷惑メールはブラック・リストでは判別できない。しかしメール・ヘッダーを見れば、迷惑メールらしいことは判別できる。[画像のクリックで拡大表示] ところが,迷惑メールのヘッダー情報を開いてみると,送信してきたメール・サーバーのホスト名が書かれていないことが多い。中には偽装のためにでたら
最近,顧客などからWebメールの利用に関する相談が多くなっている。企業内の個々の社員が勝手に利用している場合はもちろん,企業として利用する場合に,メール本文を外部に置くことで情報漏えいにつながるのではないかという危機感からだ。企業の機密が漏れることはもちろん,個人のプライバシーにかかわる問題でもある。 Webメールは,既に多くのユーザーがプライベートのメールとして利用している。“実名”でビジネス用メールにGoogleやYahoo!などの外部サービスを利用しているユーザーも増えている。ただ,自分の電子メールが他人に読まれていたという事例は過去にいくつもあり,決して珍しい話ではない。事業者のサーバーにメールを置くWebメールとなると,不安はさらに膨らむ。 さすがにWebメール・サービスも,一昔前と比べるとそれなりにセキュリティ対策はとられている。それでも,必ずしも十分とは言えないのが実情である
11月,米シマンテックの運営するセキュリティ・サイト「SecurityFocus」で「米マイクロソフトのDNSサーバー,スプーフィングのぜい弱性」が目に留まったため,これを少し掘り下げてみようと思う。この問題は,どれほど想像力を働かせようとも,決して複雑なものではない。とはいえ,好ましからざる類の人々,すなわちフィッシング・サイトを利用して,我々が汗水たらして稼いだお金をだまし取ったり,奥底に秘めた秘密を突き止めたりする(フィッシング・サイトによる被害の程度は,必ずしもこの順序とは限らない)個人やグループの関心をひくものであり,大儲けにつながる可能性がある。 簡単に言うと,攻撃者はDNSサーバーに存在するこのぜい弱性を悪用してDNS情報のキャッシュを汚染(破壊)できる。こうすると,何も知らないユーザーを,本来のWebサイトではなく,攻撃者の指定したIPアドレスに導ける。今回の問題は,DNS
複雑になった攻撃からネットワークを守るため,ファイアウォールに複数のセキュリティ機能を統合したUTM。第2回,第3回ではUTMの基本を知るために,機能や活用法,導入するメリットとデメリットを見ていく。 ファイアウォール以外から生まれた製品もある 現在すでに多くのベンダーがUTM製品を市場に出している。各ベンダーとも,対応するネットワークの規模に合わせて幅広い製品ラインアップを用意している。 第1回ではUTMをファイアウォールの進化形と書いたが,すべてのUTM製品がファイアウォールをベースとしているわけではない。そこで,UTM製品を,元となった製品で分類したのが図1である。ここではUTMを,(1)ファイアウォールから発展したもの,(2)IPSから発展したもの,(3)もともとUTMとして誕生したもの──の三つに分けた。 図1●UTM製品のベースとなる製品形態 各ベンダーの主要製品がセキュリティ
米シマンテックは2007年12月1日(米国時間)、米アップルの音楽/動画再生ソフト「QuickTime」の脆弱(ぜいじゃく)性を悪用する攻撃が確認されたとして注意を呼びかけた。QuickTimeがインストールされた環境では、細工が施されたWebサイトにアクセスするだけで、悪質なプログラム(ウイルスなど)を勝手にインストールされる恐れがある。修正版やセキュリティアップデート(修正パッチ)は未公開。 悪用が確認された脆弱性は、ポーランドのセキュリティ研究者によって2007年11月23日に報告されたもの。RTSP(Real Time Streaming Protocol)というプロトコルの処理に関する脆弱性で、細工が施されたファイルやWebページを開くだけで被害に遭う恐れがある。 実際、11月24日以降、この脆弱性を悪用することが可能であることを示す実証コードがインターネット上で公開されている。
最近セキュリティの分野で「UTM」(統合脅威管理)という単語をよく聞くようになった。とはいっても,まだ広く浸透しているとはいえない。「一体何なのだろう」と首を傾げる人もいるはずだ。 UTMは,守るべきネットワークと外部ネットワークとの境界に置くゲートウエイ装置である。外部から入ってくるパケットや内部から出て行くパケットをチェックして,パケットを通したり遮断したりする。 こう聞くと,「それってゲートウエイ型のファイアウォールのことじゃないか」と思うかもしれない。確かに,ファイアウォールも同じような役割を果たしているが,UTMは働きがちょっと違う。実は,UTMには厳密な定義がないのだが,ファイアウォールとUTMの違いは知っておきたい。そこで,まずはUTMが登場した背景を見ていこう。 複雑になった攻撃に対処する ファイアウォールは,ネットワークの境界部分に置いて出入りするパケットをチェックし,通
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く