タグ: セキュリティ

情報処理推進機構セキュリティセンター、IPAが夏期休暇の前のセキュリティ確認を呼びかけている。(ZDNet記事：夏休み前にセキュリティチェックを、IPAが対策リストを公開）

お盆休みの悪夢といえば、2001年のCode Red IIが思い出される。その年の7月に蔓延したCode Redの亜種で、Code Redが欧米の対岸の火事と見ていた、日本でも、被害がでて、一般のニュースでも報道される騒ぎとなった。

弊社の顧客でも、夏休み明けに、会社に戻ったらいつまでたってもパソコンが立ち上がらないなど、数社で被害を受けた。

その当時とくらべ、PC利用者の意識も高まり、ウィルス対策ソフトの導入や更新、スキャンの必要性への認知も進んでいるが、相手の手口も巧妙になってきている。

仕事で利用するPCはできるだけ、アプリケーションの導入やプラグインの導入は避け、最低限の機能で動作させることが、障害の確率を下げる。本来、新しいアプリケーションを導入して、新技術にふれることがパソコンを利用する醍醐味であるが、ウィルスやマルウェアと呼ばれる悪意をもったプログラムがはびこる現状では、個人のパソコンで自宅で楽しむのがルールである。また、自宅から会社へファイルなどを持ち込まないことも大切である。

「休みには、仕事を忘れ、楽しめ」という啓示と思い、仕事は家に持ち帰らないのが、会社や自分のシステムを守る一番の近道である。

6月26日に弊社と提携している複数のサーバー管理会社でそれぞれのセンターがDOS攻撃を被った。当日、画像データベースの最大手、ゲッティイメージでもメールサーバーも攻撃を受けた旨、通知を受け取った。
その後、情報処理推進機構の情報で6月にDOS攻撃が増えていた事がわかったが、それだけでは終わっていなかった。どうやら、次の攻撃の足がかりであったようだ。

翌週の7月4日には、米国と韓国で大規模なDOS攻撃が起こった。

• COMPUTERWORLD:米国と韓国を狙ったDDoS攻撃
• ZDNET:米韓DDoS：マルウェア4種が連携、拡散と攻撃を繰り返す
• ZDNET:米韓DDoSのボットネットワーム、感染PCのデータを消去する可能性

貴社のサイトのサーバーは、問題ありませんでしたか？

ホームページの表示はどうにもなりませんが、メールだけでも通じるように、弊社では、Gmailをバックアップに使用しています。もちろん、自社ドメインでのメールのやりとりは攻撃中は行えませんが、攻撃前に送られたメールの閲覧やGmailでのアカウントで連絡をとることができます。また、自社のサーバー容量では実現できない、古いメールの長期保存も可能です。

内容が読まれると怖がる方も多いのですが、現在の通常のメールシステム自体、配信中は無防備です。また、読まれると言っても、コンピュータが解析しているだけで、現在は、キーワードを拾っているに過ぎません。ぜひ、検討してみてください。

何度かこのブログでも取り上げた新しいインターネットの脅威、クリックジャック。キーマンズネットで図解入りでまとめられていたので、リンクを貼っておきます。

「クリックジャッキング」ってなんだ？！/キーマンズネット

特に図解で、フレームが重ねられ、不本意にボタンやリンクをクリックさせられてしまうのがよくわかります。また、今である対策についても、サーバー、サイト作成、ブラウザの観点からまとめられており、参考になると思います。

今後は、サーバーによる設定とブラウザの対応が進むであろうが、古いサーバーや更新されないブラウザは誇張でなく星の数ほど存在する。また、新しい攻撃手法も次々に開発される。ウェブ制作者としては、少なくとも、新しい手法の情報を常に入手し、できる限りの対応を取る必要があるだろう。

ホームページに掲示板を付けることは、初期のサイトにはよく見られた。これは、

サイトを作成→コメントをもとめる

と言う自然な流れであった。ある意味、Web2.0の大元である。しかし、現在、日本では掲示板と言えば、スパムによる書込、出会い系、学校裏サイトなど犯罪や暗い面がクローズアップされている。弊社では企業などのホームページに掲示板を設置することは勧めていない。どうしてもという場合はブログシステムの採用を勧めている。

それでも、まだ多くの掲示板が、個人サイトには設置されていたり、放置されている。その掲示板に脆弱性が見つかった。(CNET記事:CGI RESCUE製の電子掲示板にクロスサイトスクリプティングの脆弱性）

CGI RESCUEのサイトには多くのフリーのプログラムが公開されていて、利用しているサイトも多く、影響は大きい。残念ながら、掲載されているプログラムは最新の脅威に対応できていなかった。しかし、これら、フリーソフトの作成者を一方的に責めることはできない。ソフトの採用を決定する責任はあくまで、サイト主催側にある。どういう目的のサイトかよく考え、闇雲に無料だからとフリーのプログラムの採用をするのは、危険である。企業サイトでは、フリーソフトの採用はあり得ないが、オープンソフトの採用でも、その制作者やプログラム自体を良く吟味する必要がある。

CNETにこのブログでも良く取り上げている「クリックジャッキング」についての記事が掲載されていた。（CNET記事：不正操作を促す話題の攻撃手法「クリックジャッキング」、JPCERT/CCが対策法を公開）

いままで、有効な対策法がない為、攻撃手法については詳しく述べられていなかった。記事から攻撃手法が広まっては本末転倒になってしまう。上記では、技術メモをPDF公開しているので、興味のある方はダウンロードして欲しい。(MacのPreviewではエラーとなるのでAcrobatReaderで試してください。）

要約すると

“クリックジャック攻撃続報” の続きを読む

総務省が「一瞬で無線LANのWEPを解読する方法」が発見されたと言う報道を受け注意を呼びかけている。

もともと、脆弱性が指摘されていた無線LANは、最近、セキュリティの強化によって、安心感が高まり、広まっている。ゲームやPCを持ち運ぶ際にはやはり便利である。しかし、物理的に閉じていないネットワークは、外部から接続されてしまう。ネットワークのLANポートを公共の場所に作っておくようなものだ。そこに、ハッカーが接続したらと考えると、いくら暗号化でアクセスを防いでも、潜在的な危険は排除できない。

今回は、やはり、落とし穴があったかという感じがする。また、いくら、よりセキュリティの高い設定にせよと喚起されても、それに対応していない古い機器を使用している場合も多い。企業内では極力、無線LANの利用を避けるか、電波の漏洩に気をつけるのが得策である。家庭では、使用しないときは、ルーターの電源をきっておくしか、今のところ、有効な手段はないだろう。

先日、取り上げたクリックジャック、回避策が難しいために、実際の手法などが公表されていなかったが、もっとも影響をうけるフラッシュの対策をAdobeが発表した。新版は10月中にリリースされる。

クリックジャックの詳細も解説されているが、簡単に言えば、見ているページに透明な悪意のあるサイトが組み込まれ、本当のボタンやリンクをクリックすると、その下にある偽サイトのボタンもクリックすることになると言うものである。本人の知らないうちに、設定を変えたり、操作を行ってしまう。

前回あげた、対策の他、Adobeではフラッシュの「グローバルプライバシー設定」を「常に拒否」に設定することを推奨している。また、US-CERTで安全なブラウザの設定について詳細に説明してある。（英語だが、画面コピーが付いているので、参考になる。）

ホームページ制作でも、影響は大きい。フラッシュは動画としての利用のみ、iframeは利用しないなど制約がふえる。AJAXの普及でJavascriptの利用もふえているが、設定をOFFにするユーザーも多くなることを、考慮すべきである。

更新-Adobeがクリック対策を施したFlash Player 10を正式発表 “クリックジャック対策とその後” の続きを読む