タグ ‘セキュリティ’ の記事

どうみてもPDFに見えるEXEが危ないらしい(RLTrap)

ファイル名の文字が左右逆転したファイルに注意

「EXEファイルをPDFに見せかける」、拡張子偽装のウイルスが猛威 (ITPro)
これは敵さんながら見事な仕掛けですね。素晴らしいアイデア!

アラビア語などの表現で利用される制御文字(見えないけど役割を持った文字のことです)である、「RLO(Right-to-Left Override)」を使って文字の流れを左右逆転させてしまう仕掛けを使ってるようです。
つまり、「fdp.elpmas」 と入力された文字が、このRLOを使うと「sample.pdf」として表現されてしまうので、右端の3文字を見てPDFと思ってしまうといくことだそうです。
たしかにこれでアイコンまでPDFだったりすると、ダブルクリックしてしまうかも。

実際に名前がRLOなファイルを作ってみよう(Windows版)

何事も脅威を知るためには実体験から。
実はこの名前が左右逆転のファイルは以外に簡単に作れます。
以下手順。

1)メモ帳を開きます
2)テキスト入力エリアで右クリックをして、「Unicode制御文字の挿入」⇒「RLO Start of reight-toleft override」を選択
RLO制御文字挿入
特にメモ帳の上では大きな変化はないですが、このまま文字の入力をすると何が起こったかよく分かります。
一度、IMEをアルファベット直接入力モードにして、試しに「fdp.elpmas」と入力してみましょう。

すると…
画面上は、「sample.pdf」になりましたか?

ではこの左右逆転した文字を全て選択して丸ごとコピーしておいて、何でもいいので適当なファイルの名前変更でこの文字を貼り付けてみましょう。
ちゃんとファイル名としても左右逆転した状態が保持されて、なんちゃってPDFが完成しました。
RLTrapファイル
残念ながらアイコンは不明ファイルのものですけどね

RLTrapに引っかからないための対策

見知らぬ人から怪しいファイルは開かないというのが鉄則なのですが、Windowsのローカルセキュリティポリシーを設定変更することで、このような名前の左右逆転の小細工を行なっているファイルを開けないようにすることができます。
詳しい手順は以下のIPAのページで細かく解説されておりす。
「 ファイル名に細工を施されたウイルスに注意! 」(独立行政法人 情報処理推進機構)

アラビア語圏の方にあまり友達のいない皆さんはぜひ対策を!

2011/11/09 | タグ( ) | カテゴリ(セキュリティ) | コメント(0)

EVじゃないSSLを見つけたFirefoxの言い草がヒドい

「検証され信頼できる運営者情報はありません」って何ぞ?

先日、あるサイトにSSLサーバー証明書を導入して驚いたこと。
正確には、驚いたのはSSLやなくて、Firefoxの証明書の表示の部分(きっと随分前からなんでしょうけど)。
どのブラウザでも、SSLサイトに接続すると鍵マークのアイコンが出てきて、クリックするとSSL証明書が出てくると思うんですけど、Firefoxで見るとこんな表示がされたのでした。

「検証され信頼できる運営者情報はありません」
運用者が信頼できへんって、誰に向かってモノ言うとんねん!
って怒ったわけではないんですが、もしかして中間CA証明書のインストール間違えたかとびっくりしてしもたです。

これって、EV SSL証明書じゃない場合にFirefoxが表示する文言なものなそうな。
Firefox3になってからはこの表示なそうなので、もうけっこう前からこの表示やったんですね。
たしかにEV SSLは証明書の中に運営者の情報が明記されているというのが特徴なので、差をつけるためにこんな表現になったんでしょうけど、ちょっと過激過ぎな気が…

ちなみにEV SSLのサイトの場合はこんな感じで、ちゃんと運営者の情報が表示されます。

他のブラウザでは?

どのブラウザでもEV SSLのサイトの場合は、アドレスバーが緑色になるので分かりやすいんですが、証明書の詳細を表示した画面を比べてみました。

Internet Explorer


EV SSLの場合:発行者のステートメント確認ボタンが有効になる

通常のSSLの場合:EVとの違いも気付きにくいですね

Google Chrome


EV SSLの場合:サイト名以外に運営者の名称や住所が表示されている。それより、初めて訪問したサイトはドクロマークってどうなんでしょ…

通常のSSLの場合:Firefoxと違って警告っぽい表示はないです

このEV SSLって、運営者の実存確認が大きなポイントなんでしょけど、今後プラベートマーク取得の必須要件とかになったらイヤですよね。

2010/10/31 | タグ( , , ) | カテゴリ(セキュリティ, ブラウザ) | コメント(0)

Twitter、イラン人(?)にDNS攻撃されてダウン

TwitterがクラックされてTOPページが改竄される

2009年12月18日の午後、しばらくTwitterつながらなかったですよね?
クジラさんも、ロボットの姿もなく、ただタイムアウトしてたような。

てっきり高負荷で応答できないのかと思ったら、ハッキングされてTOPページが改竄されていたようで。
【トレビアン】Twitterがハッキングを受けてダウン! 目的は?
(↑改ざんされたTOPページ画像ものってます)

以下のような事が書かれたらしいです。

Iranian Cyber Army
THIS SITE HAS BEEN HACKED BY IRANIAN CYBER ARMY
iRANiAN.CYBER.ARMY@GMAIL.COM

なんでも、反アメリカのハッキング集団「IRANIAN CYBER ARMY」(やっぱりアラブの方なんでしょね?)によるもので、DNSが書き変えられらしい(詳細は不明)
DNSのポイズニング?
どうやらポイズニングではなく、DNSを提供しているDynectのTwitterアカウント/パスワードが盗まれて、正規ユーザーになりすましてDNSレコードが書き換えられたようです。(2009/12/19追記)
イランによる(?)Twitter攻撃の手口はこうだった

Twitter難民続出

ツイートするのが日常になっているTwitterユーザーが居場所を失って
「ツイッターおかしい!つぶやけないぢゃないか!」
ってmixiなんぞでつぶやいてたみたいですね。
もしかして「アメーバなう」でも、Twitterダウンなうされてたんでしょか。

で、Twitterらーはどうしたらいいんでしょか?

ただ心配なのは、ダウン中にログインしてるつもりで偽サイトにアクセスした方は、偽サイトにcookieを送り付けてるはずなんでcookie抜かれてる心配はありますよね。
とりあえずそのままログインしてるとセッションID使われてセッションを乗っ取られるかもしれないんで、いち早くログオフしませう。
まさかCookieの中にパスワードは入ってないと思うので、パスワード変更が本当に必要かどうかは不明。

ただ、ダウン中にiPhone等のTwitterアプリや、Webサービスを使ってしまった方は、それらアプリ/サービスがIDとパスワードを素のまま送ってるかもしれないんで、変更するのが安心かもです。(自分の使ってるTweetieは大丈夫やろか?)

【追記】
Twitterのオフィシャルコメント
DNS障害について (2009年12月18日 18:11)
(「APIとプラットホームアプリケーションは動作していました」らしい)
昨日のDNS障害についての追加情報 (2009年12月19日 8:45)
(「アカウントが侵害された事実はないと確信しています」だそうです。公式Webサイトの範囲ならそうかもしれないけど、アプリや他Webサービスにおいて、どのようにTwitter認証情報が送信されてるか分からない以上、アカウント侵害があった可能性はありますよね)

2009/12/18 | タグ( , , ) | カテゴリ(SNS/コミュニティー, セキュリティ) | コメント(0)

暗号化された情報を携帯電話で解読(富士通)

まるでスパイのツール!

紙と電子データの暗号化技術がさらに進化!携帯電話で閲覧が可能に
ちょうどその技術ををしている富士通フォーラムでやっているということだったので、東京に行ったついでに早速体験しに行ってきました。
やってることや暗号化された画像の見た目はちょっとQRコードに似てるんですが、目的や仕掛けはかなり違います。
すごーく簡単に違いをまとめてみました。
(推測のレベルのものもあるんで「?」も多いですが)

 
QRコード
富士通の暗号化
目的 ・小さなスペースの中に解読精度の高い文字情報を埋め込む
・携帯電話からURL接続、メール送信、アドレス帳登録などの操作を簡単にする		 権限を持った限られた者のみに情報を開示する
暗号化するもの 文字、画像、音楽データ等 基本的に画像データのみ?
読み取るには 一般的なQRコードリーダーがあれば誰でも読み取れる 専用の解読用アプリと暗号化の際に登録したパスワードが必要
暗号化するには デンソーウェーブよりアルゴリズムが公開されているため誰でも作成可能 富士通の専用ソフトが必要なはず?
暗号化アルゴリズムも公開しないはず?

しかし携帯電話って言う道具を利用して秘密の暗号を読むなんて、なんだかスパイ映画みたいですよね。

実際に体験してみて

会場でデモで見せて頂いたのは以下のようなところ
■暗号化
画面上に表示された印刷イメージの中で、暗号化したい任意の範囲を選択し、パスワードをセットして対象範囲を暗号化
■読み取り
携帯端末にインストールされた専用アプリを通して、画面の中心に暗号化されたカメラ画像をあわせると複合化された部分が専用アプリに表示
残念ながら展示会の会場では、撮影禁止だったので肝心の写真はないんですが、デモを見たりお話を聞いたことからいくつか補足情報。
・読み取りデモの中でパスワードを入力する手順は無かったのは、あらかじめアプリにパスワードが設定されているそうな
・現在の試作品アプリは、Windows Mobileにしか対応していないとのこと。
・専用アプリが暗号化された範囲を複合化するまでには、やはり数秒かかります。QRコードのように早くない。
・暗号化された画像はかなり細かかったです。精度の悪いFAXやプリンターで出力した文書でも大丈夫やろか?
(説明してくれた方は、2、3回コピーしても大丈夫って言ってましたけど)

2009/05/17 | タグ( , ) | カテゴリ(セキュリティ, 携帯電話/モバイル) | コメント(0)

リモート自爆装置を内蔵したノートPC

ノートPCが盗まれても離れた場所からデータ消去

企業の情報漏えい被害を抑えることができるなかなか素敵なノートPCが富士通から発表されていました。
ノートPCの紛失・盗難対策ソリューションを提供
携帯電話などでは、リモートロックみたいなサービスがありましたが、そのPC版みたいな感じですね。
ノートPCに仕込まれた低消費電力のPHSモジュールが、ウィルコムの回線網から消去コマンドを受け取ると、Windows等のOSを起動させずに自動的にHDのデータを読取不能、またはロックしてしまうというものだそうです。
これって、なかなかに実用的なソリューションですよねー。
外に持ち出すノートPCは「シンクライアント」なんていって、ほとんど情報を積まないようなソリューションが主だった中、ちょっと画期的な仕掛けですよね。
疑問点は以下のような感じでしょうか。
■不正に消去コマンドを受け取ることは無い?
ユーザーが直接コマンドを送るわけではなく、富士通が提供するシステムにログインして富士通の管理サーバーからコマンドが送られるようです。
とりあえず、コマンドの発信元が富士通の特定のサーバーなのかどうかなど、いろいろと不正利用対策はされているはず(?)ですよね?
■PHPモジュールでインターネットはできる?
消去・ロック等の制御コマンド受信用のPHSで、Windows等のOSからは認識されないらしいです。
なのでこのPHSで通信しようと思っちゃだめなようです。
■PHPが通じないところでは?
コマンドを受け取るのはPHSなんで、もちろん機能しません。
(ということで、山奥とかに盗難PCを持っていかれるとダメ)
■HDの消去って時間がかかるのでは?
どうやらHDが暗号化されているらしくって、この自爆装置は暗号化されたHDの中身を解読するためのキーを削除するものらしいです。
なのでかなり一瞬で消えちゃう(読取不能になってしまう)んじゃないでしょうか。
■気になる費用は?
まずは富士通のサイトからWeb注文できるようになるそうですが具体的なPC本体の金額は不明。
またランニングコストもまだ未定。(1,000円以内で検討中なそうな。)
とりあえず契約は富士通とだけで、ウィルコムと契約する必要はなさそう?、
その他ちゃんと電話番号を持っているPHSなので、PHSが通信中の基地局の位置からどのへんにPCがあるのかってもだいたい分かるみたいです。

応用編?

これと同じようなインフラで、Winnyなんかで流出して広まってしまったファイルのハッシュ値をコマンドどともに送ると、そのファイルを保有していた端末のHDから強制的に削除してしまうようなソリューションがあれば、かなり利用料が高くでも需要はありそうですよね。
技術的にも倫理的にもいろいろと実現は不可能そうですが。

2009/05/09 | タグ( , , ) | カテゴリ(コンピューター, セキュリティ) | コメント(0)

パソコンを誘拐・監禁するウイルス

勝手にパソコンに鍵をかける
数年前にパソコン内のファイルを片っ端から暗号化して、身代金を要求するウイルスがいましたが、
ファイルが見たかったら金を出せ!
今度はもっと分かりやすくタチの悪い脅迫ウイルスが出回ってるそうです。
新たな「脅迫ウイルス」出現、パソコンをロックして使用不能に』(ITPro)
感染すると、パソコンを強制的にロックして、解除コードを入力するまでは操作できなくしてしまうそうな。
解除コードを入手するためには、画面に表示されている番号にショートメッセージを送る必要があるらしい(やっぱり解除コードを購入させられるんでしょうね~)
脅迫ウイルス
何より分かりにくいのが、このロック画面がロシア語。
絶対分からんし…(-_-;)
どうやら、この解除コードについては、シマンテック社が解除コード生成プログラムを配布してるらしいんで、この解除コード生成プログラムをダウンロードしようにも、何せパソコンがロックされちゃってますもんね…
脅迫ウイルス応用編
パソコンをロックする以外に、脅迫できそうな嫌がらせ行為を考えてみました。
・日本語入力モードが、ローマ字入力じゃなく、カナ入力モードにさせられる(全く平気な人もいますが)
・Microsoft Office製品で、ファイルの保存ができなくなる
・「OK」ボタンをクリックしようとすると逃げる
・全てのiniファイルの数値パラメータを10倍にする
う~ん、考え出すとなかなか細かくいやらしい嫌がらせで楽しくなりますね…(^^ゞ

2009/04/19 | タグ( , ) | カテゴリ(セキュリティ) | コメント(0)

ブログを乗っ取ったwww.adxtn.comって誰?(thatsping)

「ザッピングthatsping」を使うとブログが乗っ取られる!
たまにお邪魔しているブログを除いてみると…
「あれ?、強制的にwww.adxtn.comってサイトが表示される?」
Thatsping.com
もう一度、そのブログを表示してみると、最初からリダイレクトされているわけではなくって途中まで画面描画したところで飛ばされているようです。
「こりゃ何かブログパーツが悪いっぽい?」
ちょうどリダイレクトされた画面に「Thatsping.com」と書いてあるので、いろいろ調べてみると、どうやら株式会社ブログウォッチャーの運営サービス「ザッピング(thatsping)」のブログパーツが悪さをしているようです。
詳しいことはザッピング(thatsping)の新URLであるhttp://thatsping.jp/に詳しく書かれてますが、こういうことのようです。
<以下抜粋>
この度、「ザッピング」のURLを、弊社のシステムの都合により、http://thatsping.jp/へ変更致しました。ご利用の皆様には、多大なご迷惑をおかけしていることを、深くお詫び申し上げます。
ドメイン変更に関しましては、内外の要因によって、旧ドメインを失効した事に起因しております。これまでの間は、システム修正等を試みましたが、旧ドメインに本サービスを復旧させることが難しいと判断いたしました。
これって、もともとのドメインであるThatsping.comの更新忘れ?
Thatsping.comについては、whoisしてみると2008/11/3にDotstar,incが取得しているようです。
Dotstar,incって、ここのことことやろか?
http://www.dotster.com/
どうやら、このThatsping.comのドメイン失効については、少し前からザッピングのサイトでは告知をしていたみたいなんですけど、とにかくこのサービスはユーザー登録する必要が無いため、このことについてユーザーに連絡する手段が無かったようで。
きっとリダイレクトが開始されてから、びっくしりて気付く人が大半なんじゃないでしょうか。
しかし、あんまりこれまでは意識してなかったんですけど、ブログパーツ一個でサイト全体が他サイトに飛ばされる危険性ってあるんですよね。
なんとも恐ろしい…
今回はリダイレクトされた先のページに「Thatsping.com」って書いてあったから、また利用者も調査のしようがありますけど、これで普通にアダルトサイトなんかに飛ばされてしまうと、何が悪いんだか調べるのが難しいですよね。
もっと言うと、Thatsping.com側で悪意のあるJavaScriptを準備されてたら…(あ~怖っ。)
とりあえず、まだ継続して「ザッピング(thatsping)」を利用される気がある方は、無条件にタグを変更してくださいませ。
ドメインの有効期限切れについては、放ったらかしておくとこんなこと↓になるんで
あぁ~あのドメイン達が…
皆さんも気をつけませう。

2008/11/26 | タグ( , ) | カテゴリ(セキュリティ, ブログ) | コメント(1)

「パスワードは後ほどメールします」は危ないぞ

パスワード付きZIPファイルなら安心?
仕事で重要な情報をメール添付でやり取りする時に、添付ファイルをZIP形式で圧縮してパスワードをつけて送信するのを見かけたりしませんか?
そして、そんな中で何気に気になるのが、このパスワードの伝え方。
パスワード付きZIPファイルを添付したメールの文中に、
パスワードは後ほどメールします
と書いておき、メールの別便でパスワードを送信する方法ってよく見かけませんか?
でも、これって本当に大丈夫なんですかね?
きっとこのパスワード付きZIPファイルを不正に入手した人は、
・メールの盗聴
・正しいメール受信者のメールボックスの取得
・メール受信者のメールソフトの受信トレイを閲覧
などの手段によって入手しているはずです。
ということは、上記のどの手段であってもZIPファイル添付メールのすぐ後に送られているパスワード通知メールを見ることは限りなく簡単ですよね。
(おそらく同一の送信者、宛先のメールのはずですし)
パスワードをどう伝えるか?
正しくは、パスワードについては電話、郵送、またはインスタントメッセージなどの別通信手段で伝えなければ意味ないですよね?
とりあえずZIPにパスワードつけて別便のメールでパスワードを伝えれば、「個人情報の漏洩に気を使ってるっぽい」雰囲気をかもし出せるので、かなり広範囲に利用されている手段な気がしますが…(ーー;)
何より「パスワード付きZIPファイルそのものを信用するのが間違いなんだ!」というごもっともな意見も聞こえてきそうですが…。
まぁ、全ての重要な情報を毎度毎度CD-ROMに焼いて保険付きの専用宅配業者に依頼してたら、仕事が回らなくなってしまうのも分かるので、私はそこまでは言いませんけど。
とりあえずZIPファイルの解凍用パスワードを後から送信するメールで伝えるのはやめましょう。
もしかして、2者間で毎回変化するパスワードを安全に共有できるような簡単サービスって需要あったりして?

2008/07/31 | タグ( , ) | カテゴリ(セキュリティ) | コメント(0)

SSL証明書シールが飾りになってないっすか!?

VeriSignのSecured Sealが開かない
皆さん、Pマーク制度の陰謀にはまって、ちゃんと問い合わせフォームではSSL通信してますかー?
ちゃんと個人情報の取扱いについての同意文言を表示して「同意する」アクションをさせてますかー?
ということで、今回はSSL(というよりは、ベリサインのお話)。
SSL証明書を取り扱っている業者はいろいろあるものの、なんとなく偉そうな日本ベリサインの証明書を購入するとベリサイン セキュアドシールなるマークをサイトに表示して良いことになっています。
日本Verisignのセキュアド シール
このシールは設置方法の説明によると、Adobe Flashのバージョンと、アニメーションGIFバージョンの二通りが用意されています。(ベリサインはFlash版を進めてるようです)
で、このセキュアド シール、クリックすると下のような画面が表示されて内容を確認できるという仕掛けです。
日本ベリサイン セキュアドシール
セキュアドシールが開かない!
ただし…
端末にインストールされているFlash Playerのバージョンを 9.0.124.0 にアップすると、このセキュアドシールが動かなくなってしまうような…
クリックしても無反応です(IEでもFirefoxでも同様)
なので、SSLセキュアドシールをどうしてもクリックしてみたい方は、しばらくFlash Playerを9.0.124.0にアップさせるのは待った方がええかもです。(^^;)
(とか言いながらも、9.0.124.0っていうのは、危険度「高」の脆弱性を含む修正版なので、インストールをおすすめします)
とりあえず、日本ベリサインに対しては、調査をお願い中です。
<<2008/6/25 追記>>
ベリサインにおいても、やっとこさ公式な不具合発表がありました。(対応じゃなくて発表です)
Adobe Flash Player バージョン9.0.124.0導入環境においてベリサインセキュアドシール(Flash形式)の検証ページが表示出来ない事象について

2008/04/16 | タグ( , , ) | カテゴリ(セキュリティ) | コメント(0)

【速報】トレンドマイクロまたやっちゃった?(パターンファイル4.995.00障害)

【速報】トレンドマイクロがまたやっちゃたか?(パターンファイル4.995.00の障害)
朝からOracleが起動しないっす。
再起動させても動作がものすごく遅いっす。
でっかいファイルを操作できないっす。
そんな症状にピンと来た方は…
そいつの犯人はウイルスバスターかもしれません!
一度パターンファイルの番号をチェックしてみてください。
もし、パターンファイル4.995.00になっていたら、そいつは危険だ!
どうやら、パターンファイル4.995.00では、でっかいサイズのファイルを扱えっぽいです。
いますぐにアップデートして4.997.00にするか、サービスを停止しませう。
サーバー側の製品、サーバープロテクトも同様です。
すぐにアップデートするか、コントロールパネルのサービスから、Trend ServerProtectと念のためTrend ServerProtect Agentを停止しましょう。
または、そろそろトレンドマイクロをやめて、他のプロダクトに切り替えるかですね。
まだ現在のところ、トレンドマイクロのサイトには何も情報が公開されていないので、大胆にも見切りで情報発信してします。
ですので、この情報については自己責任で参考にしてください。
とりあえず、朝から発生している謎のシステム障害に頭を抱えているかもしれないシステム管理者の皆さん向けに速報でした。
皆さんのご検討を祈ります。
しかし、トレンドマイクロはなかなか以前から体質が変わりませんねぇ…(ーー;)
以下、検索でなるべくヒットしやすいようにキーワードを列挙。
ファイル共有、ネットワーク、遅い、ファイル、サイズ、大きな、Oracle、ORA-00600、ウイルスバスター、トレンドマイクロ、trendmicro、サーバープロテクト、server protect、パターンファイル、ロータス、notes、outlook、SQL Server、Exchange
【追記】
トレンドマイクロが15時過ぎにオフィシャルに情報を公開したようです。
ウイルスパターンファイル4.995.00へのアップデート後に発生する現象についてのお知らせ
パターンファイルを手動で更新する方法など少し情報が出てます。

2008/02/13 | タグ( , , ) | カテゴリ(セキュリティ) | コメント(5)