メール人語 » セキュリティ

Twitter、イラン人(?)にDNS攻撃されてダウン

donq — Fri, 18 Dec 2009 08:05:27 +0000

TwitterがクラックされてTOPページが改竄される

2009年12月18日の午後、しばらくTwitterつながらなかったですよね？
クジラさんも、ロボットの姿もなく、ただタイムアウトしてたような。

てっきり高負荷で応答できないのかと思ったら、ハッキングされてTOPページが改竄されていたようで。
【トレビアン】Twitterがハッキングを受けてダウン！　目的は？
(↑改ざんされたTOPページ画像ものってます)

以下のような事が書かれたらしいです。

Iranian Cyber Army
THIS SITE HAS BEEN HACKED BY IRANIAN CYBER ARMY
iRANiAN.CYBER.ARMY@GMAIL.COM

なんでも、反アメリカのハッキング集団「IRANIAN CYBER ARMY」（やっぱりアラブの方なんでしょね？）によるもので、DNSが書き変えられらしい（詳細は不明）
~~DNSのポイズニング？~~
どうやらポイズニングではなく、DNSを提供しているDynectのTwitterアカウント/パスワードが盗まれて、正規ユーザーになりすましてDNSレコードが書き換えられたようです。（2009/12/19追記）
イランによる(?)Twitter攻撃の手口はこうだった

Twitter難民続出

ツイートするのが日常になっているTwitterユーザーが居場所を失って
「ツイッターおかしい！つぶやけないぢゃないか！」
ってmixiなんぞでつぶやいてたみたいですね。
もしかして「アメーバなう」でも、Twitterダウンなうされてたんでしょか。

で、Twitterらーはどうしたらいいんでしょか？

ただ心配なのは、ダウン中にログインしてるつもりで偽サイトにアクセスした方は、偽サイトにcookieを送り付けてるはずなんでcookie抜かれてる心配はありますよね。
とりあえずそのままログインしてるとセッションID使われてセッションを乗っ取られるかもしれないんで、いち早くログオフしませう。
まさかCookieの中にパスワードは入ってないと思うので、パスワード変更が本当に必要かどうかは不明。

ただ、ダウン中にiPhone等のTwitterアプリや、Webサービスを使ってしまった方は、それらアプリ/サービスがIDとパスワードを素のまま送ってるかもしれないんで、変更するのが安心かもです。（自分の使ってるTweetieは大丈夫やろか？）

【追記】
Twitterのオフィシャルコメント
・DNS障害について（2009年12月18日 18:11）
（「APIとプラットホームアプリケーションは動作していました」らしい）
・昨日のDNS障害についての追加情報（2009年12月19日 8:45）
（「アカウントが侵害された事実はないと確信しています」だそうです。公式Webサイトの範囲ならそうかもしれないけど、アプリや他Webサービスにおいて、どのようにTwitter認証情報が送信されてるか分からない以上、アカウント侵害があった可能性はありますよね）

暗号化された情報を携帯電話で解読（富士通）

donq — Sun, 17 May 2009 07:51:35 +0000

まるでスパイのツール！

『紙と電子データの暗号化技術がさらに進化！携帯電話で閲覧が可能に』
ちょうどその技術ををしている富士通フォーラムでやっているということだったので、東京に行ったついでに早速体験しに行ってきました。
やってることや暗号化された画像の見た目はちょっとQRコードに似てるんですが、目的や仕掛けはかなり違います。
すごーく簡単に違いをまとめてみました。
（推測のレベルのものもあるんで「？」も多いですが）

	QRコード	富士通の暗号化
目的	・小さなスペースの中に解読精度の高い文字情報を埋め込む・携帯電話からURL接続、メール送信、アドレス帳登録などの操作を簡単にする	権限を持った限られた者のみに情報を開示する
暗号化するもの	文字、画像、音楽データ等	基本的に画像データのみ？
読み取るには	一般的なQRコードリーダーがあれば誰でも読み取れる	専用の解読用アプリと暗号化の際に登録したパスワードが必要
暗号化するには	デンソーウェーブよりアルゴリズムが公開されているため誰でも作成可能	富士通の専用ソフトが必要なはず？暗号化アルゴリズムも公開しないはず？

しかし携帯電話って言う道具を利用して秘密の暗号を読むなんて、なんだかスパイ映画みたいですよね。

実際に体験してみて

会場でデモで見せて頂いたのは以下のようなところ
■暗号化
画面上に表示された印刷イメージの中で、暗号化したい任意の範囲を選択し、パスワードをセットして対象範囲を暗号化
■読み取り
携帯端末にインストールされた専用アプリを通して、画面の中心に暗号化されたカメラ画像をあわせると複合化された部分が専用アプリに表示
残念ながら展示会の会場では、撮影禁止だったので肝心の写真はないんですが、デモを見たりお話を聞いたことからいくつか補足情報。
・読み取りデモの中でパスワードを入力する手順は無かったのは、あらかじめアプリにパスワードが設定されているそうな
・現在の試作品アプリは、Windows Mobileにしか対応していないとのこと。
・専用アプリが暗号化された範囲を複合化するまでには、やはり数秒かかります。QRコードのように早くない。
・暗号化された画像はかなり細かかったです。精度の悪いFAXやプリンターで出力した文書でも大丈夫やろか？
（説明してくれた方は、2、3回コピーしても大丈夫って言ってましたけど）

リモート自爆装置を内蔵したノートPC

donq — Fri, 08 May 2009 15:06:29 +0000

ノートPCが盗まれても離れた場所からデータ消去

企業の情報漏えい被害を抑えることができるなかなか素敵なノートPCが富士通から発表されていました。
ノートPCの紛失・盗難対策ソリューションを提供
携帯電話などでは、リモートロックみたいなサービスがありましたが、そのPC版みたいな感じですね。
ノートPCに仕込まれた低消費電力のPHSモジュールが、ウィルコムの回線網から消去コマンドを受け取ると、Windows等のOSを起動させずに自動的にHDのデータを読取不能、またはロックしてしまうというものだそうです。
これって、なかなかに実用的なソリューションですよねー。
外に持ち出すノートPCは「シンクライアント」なんていって、ほとんど情報を積まないようなソリューションが主だった中、ちょっと画期的な仕掛けですよね。
疑問点は以下のような感じでしょうか。
■不正に消去コマンドを受け取ることは無い？
ユーザーが直接コマンドを送るわけではなく、富士通が提供するシステムにログインして富士通の管理サーバーからコマンドが送られるようです。
とりあえず、コマンドの発信元が富士通の特定のサーバーなのかどうかなど、いろいろと不正利用対策はされているはず（？）ですよね？
■PHPモジュールでインターネットはできる？
消去・ロック等の制御コマンド受信用のPHSで、Windows等のOSからは認識されないらしいです。
なのでこのPHSで通信しようと思っちゃだめなようです。
■PHPが通じないところでは？
コマンドを受け取るのはPHSなんで、もちろん機能しません。
（ということで、山奥とかに盗難PCを持っていかれるとダメ）
■HDの消去って時間がかかるのでは？
どうやらHDが暗号化されているらしくって、この自爆装置は暗号化されたHDの中身を解読するためのキーを削除するものらしいです。
なのでかなり一瞬で消えちゃう（読取不能になってしまう）んじゃないでしょうか。
■気になる費用は？
まずは富士通のサイトからWeb注文できるようになるそうですが具体的なPC本体の金額は不明。
またランニングコストもまだ未定。（1,000円以内で検討中なそうな。）
とりあえず契約は富士通とだけで、ウィルコムと契約する必要はなさそう？、
その他ちゃんと電話番号を持っているPHSなので、PHSが通信中の基地局の位置からどのへんにPCがあるのかってもだいたい分かるみたいです。

応用編？

これと同じようなインフラで、Winnyなんかで流出して広まってしまったファイルのハッシュ値をコマンドどともに送ると、そのファイルを保有していた端末のHDから強制的に削除してしまうようなソリューションがあれば、かなり利用料が高くでも需要はありそうですよね。
技術的にも倫理的にもいろいろと実現は不可能そうですが。

パソコンを誘拐・監禁するウイルス

donq — Sun, 19 Apr 2009 09:02:56 +0000

◎勝手にパソコンに鍵をかける
数年前にパソコン内のファイルを片っ端から暗号化して、身代金を要求するウイルスがいましたが、
「ファイルが見たかったら金を出せ！」
今度はもっと分かりやすくタチの悪い脅迫ウイルスが出回ってるそうです。
『新たな「脅迫ウイルス」出現、パソコンをロックして使用不能に』（ITPro）
感染すると、パソコンを強制的にロックして、解除コードを入力するまでは操作できなくしてしまうそうな。
解除コードを入手するためには、画面に表示されている番号にショートメッセージを送る必要があるらしい（やっぱり解除コードを購入させられるんでしょうね～）

何より分かりにくいのが、このロック画面がロシア語。
絶対分からんし…(-_-;)
どうやら、この解除コードについては、シマンテック社が解除コード生成プログラムを配布してるらしいんで、この解除コード生成プログラムをダウンロードしようにも、何せパソコンがロックされちゃってますもんね…
◎脅迫ウイルス応用編
パソコンをロックする以外に、脅迫できそうな嫌がらせ行為を考えてみました。
・日本語入力モードが、ローマ字入力じゃなく、カナ入力モードにさせられる（全く平気な人もいますが）
・Microsoft Office製品で、ファイルの保存ができなくなる
・「OK」ボタンをクリックしようとすると逃げる
・全てのiniファイルの数値パラメータを10倍にする
う～ん、考え出すとなかなか細かくいやらしい嫌がらせで楽しくなりますね…(^^ゞ

ブログを乗っ取ったwww.adxtn.comって誰？（thatsping）

donq — Wed, 26 Nov 2008 05:29:19 +0000

◎「ザッピングthatsping」を使うとブログが乗っ取られる！
たまにお邪魔しているブログを除いてみると…
「あれ？、強制的にwww.adxtn.comってサイトが表示される？」

もう一度、そのブログを表示してみると、最初からリダイレクトされているわけではなくって途中まで画面描画したところで飛ばされているようです。
「こりゃ何かブログパーツが悪いっぽい？」
ちょうどリダイレクトされた画面に「Thatsping.com」と書いてあるので、いろいろ調べてみると、どうやら株式会社ブログウォッチャーの運営サービス「ザッピング（thatsping）」のブログパーツが悪さをしているようです。
詳しいことはザッピング（thatsping）の新URLであるhttp://thatsping.jp/に詳しく書かれてますが、こういうことのようです。
<以下抜粋>
この度、「ザッピング」のURLを、弊社のシステムの都合により、http://thatsping.jp/へ変更致しました。ご利用の皆様には、多大なご迷惑をおかけしていることを、深くお詫び申し上げます。
ドメイン変更に関しましては、内外の要因によって、旧ドメインを失効した事に起因しております。これまでの間は、システム修正等を試みましたが、旧ドメインに本サービスを復旧させることが難しいと判断いたしました。
これって、もともとのドメインであるThatsping.comの更新忘れ？
Thatsping.comについては、whoisしてみると2008/11/3にDotstar,incが取得しているようです。
Dotstar,incって、ここのことことやろか？
http://www.dotster.com/
どうやら、このThatsping.comのドメイン失効については、少し前からザッピングのサイトでは告知をしていたみたいなんですけど、とにかくこのサービスはユーザー登録する必要が無いため、このことについてユーザーに連絡する手段が無かったようで。
きっとリダイレクトが開始されてから、びっくしりて気付く人が大半なんじゃないでしょうか。
しかし、あんまりこれまでは意識してなかったんですけど、ブログパーツ一個でサイト全体が他サイトに飛ばされる危険性ってあるんですよね。
なんとも恐ろしい…
今回はリダイレクトされた先のページに「Thatsping.com」って書いてあったから、また利用者も調査のしようがありますけど、これで普通にアダルトサイトなんかに飛ばされてしまうと、何が悪いんだか調べるのが難しいですよね。
もっと言うと、Thatsping.com側で悪意のあるJavaScriptを準備されてたら…（あ～怖っ。）
とりあえず、まだ継続して「ザッピング（thatsping）」を利用される気がある方は、無条件にタグを変更してくださいませ。
ドメインの有効期限切れについては、放ったらかしておくとこんなこと↓になるんで
あぁ～あのドメイン達が…
皆さんも気をつけませう。

「パスワードは後ほどメールします」は危ないぞ

donq — Thu, 31 Jul 2008 14:48:17 +0000

◎パスワード付きZIPファイルなら安心？
仕事で重要な情報をメール添付でやり取りする時に、添付ファイルをZIP形式で圧縮してパスワードをつけて送信するのを見かけたりしませんか？
そして、そんな中で何気に気になるのが、このパスワードの伝え方。
パスワード付きZIPファイルを添付したメールの文中に、
「パスワードは後ほどメールします」
と書いておき、メールの別便でパスワードを送信する方法ってよく見かけませんか？
でも、これって本当に大丈夫なんですかね？
きっとこのパスワード付きZIPファイルを不正に入手した人は、
・メールの盗聴
・正しいメール受信者のメールボックスの取得
・メール受信者のメールソフトの受信トレイを閲覧
などの手段によって入手しているはずです。
ということは、上記のどの手段であってもZIPファイル添付メールのすぐ後に送られているパスワード通知メールを見ることは限りなく簡単ですよね。
（おそらく同一の送信者、宛先のメールのはずですし）
◎パスワードをどう伝えるか？
正しくは、パスワードについては電話、郵送、またはインスタントメッセージなどの別通信手段で伝えなければ意味ないですよね？
とりあえずZIPにパスワードつけて別便のメールでパスワードを伝えれば、「個人情報の漏洩に気を使ってるっぽい」雰囲気をかもし出せるので、かなり広範囲に利用されている手段な気がしますが…(ーー;)
何より「パスワード付きZIPファイルそのものを信用するのが間違いなんだ！」というごもっともな意見も聞こえてきそうですが…。
まぁ、全ての重要な情報を毎度毎度CD-ROMに焼いて保険付きの専用宅配業者に依頼してたら、仕事が回らなくなってしまうのも分かるので、私はそこまでは言いませんけど。
とりあえずZIPファイルの解凍用パスワードを後から送信するメールで伝えるのはやめましょう。
もしかして、2者間で毎回変化するパスワードを安全に共有できるような簡単サービスって需要あったりして？

SSL証明書シールが飾りになってないっすか！？

donq — Wed, 16 Apr 2008 14:31:37 +0000

◎ＶｅｒｉＳｉｇｎのSecured Sealが開かない
皆さん、Ｐマーク制度の陰謀にはまって、ちゃんと問い合わせフォームではSSL通信してますかー？
ちゃんと個人情報の取扱いについての同意文言を表示して「同意する」アクションをさせてますかー？
ということで、今回はSSL（というよりは、ベリサインのお話）。
SSL証明書を取り扱っている業者はいろいろあるものの、なんとなく偉そうな日本ベリサインの証明書を購入するとベリサインセキュアドシールなるマークをサイトに表示して良いことになっています。

このシールは設置方法の説明によると、Adobe Flashのバージョンと、アニメーションGIFバージョンの二通りが用意されています。（ベリサインはFlash版を進めてるようです）
で、このセキュアドシール、クリックすると下のような画面が表示されて内容を確認できるという仕掛けです。

◎セキュアドシールが開かない！
ただし…
端末にインストールされているFlash Playerのバージョンを 9.0.124.0 にアップすると、このセキュアドシールが動かなくなってしまうような…
クリックしても無反応です（IEでもFirefoxでも同様）
なので、SSLセキュアドシールをどうしてもクリックしてみたい方は、しばらくFlash Playerを9.0.124.0にアップさせるのは待った方がええかもです。(^^;)
（とか言いながらも、9.0.124.0っていうのは、危険度「高」の脆弱性を含む修正版なので、インストールをおすすめします）
とりあえず、日本ベリサインに対しては、調査をお願い中です。
<<2008/6/25 追記>>
ベリサインにおいても、やっとこさ公式な不具合発表がありました。（対応じゃなくて発表です）
Adobe Flash Player バージョン9.0.124.0導入環境においてベリサインセキュアドシール(Flash形式)の検証ページが表示出来ない事象について

【速報】トレンドマイクロまたやっちゃった？(パターンファイル4.995.00障害)

donq — Wed, 13 Feb 2008 04:41:47 +0000

【速報】トレンドマイクロがまたやっちゃたか？(パターンファイル4.995.00の障害)
朝からOracleが起動しないっす。
再起動させても動作がものすごく遅いっす。
でっかいファイルを操作できないっす。
そんな症状にピンと来た方は…
そいつの犯人はウイルスバスターかもしれません！
一度パターンファイルの番号をチェックしてみてください。
もし、パターンファイル4.995.00になっていたら、そいつは危険だ！
どうやら、パターンファイル4.995.00では、でっかいサイズのファイルを扱えっぽいです。
いますぐにアップデートして4.997.00にするか、サービスを停止しませう。
サーバー側の製品、サーバープロテクトも同様です。
すぐにアップデートするか、コントロールパネルのサービスから、Trend ServerProtectと念のためTrend ServerProtect Agentを停止しましょう。
または、そろそろトレンドマイクロをやめて、他のプロダクトに切り替えるかですね。
まだ現在のところ、トレンドマイクロのサイトには何も情報が公開されていないので、大胆にも見切りで情報発信してします。
ですので、この情報については自己責任で参考にしてください。
とりあえず、朝から発生している謎のシステム障害に頭を抱えているかもしれないシステム管理者の皆さん向けに速報でした。
皆さんのご検討を祈ります。
しかし、トレンドマイクロはなかなか以前から体質が変わりませんねぇ…(ーー;)
以下、検索でなるべくヒットしやすいようにキーワードを列挙。
ファイル共有、ネットワーク、遅い、ファイル、サイズ、大きな、Oracle、ORA-00600、ウイルスバスター、トレンドマイクロ、trendmicro、サーバープロテクト、server protect、パターンファイル、ロータス、notes、outlook、SQL Server、Exchange
【追記】
トレンドマイクロが15時過ぎにオフィシャルに情報を公開したようです。
ウイルスパターンファイル4.995.00へのアップデート後に発生する現象についてのお知らせ
パターンファイルを手動で更新する方法など少し情報が出てます。

中国からの困った訪問者（China Unicom）

donq — Sun, 16 Dec 2007 15:50:47 +0000

お仕事であるWebサーバー管理を任されておりまして、やや困ったことを経験したので備忘のためご報告。
実は、ちょうど先週あたりから、このWebサーバーがダウンするということが頻発しておりましてなかなかに胃が痛い思いをしておりました。
というのも、このWebサーバーはWindowsのいわゆるIISってやつで動いておりまして、httpdのプロセスがクラッシュする、SSL通信ができなくなる、RPCが全く利用できなくなる、などそりゃヒドイことになっておりまして…(ーー;)
インストールされていたサードパーティーのISAPIフィルタを疑ってみたり、Microsoftのセキュリティーパッチを疑ってみたりと、テストツールから20回/秒のラッシュテストをしてみたり、いろいろとオタオタとやっておったのですが先週末に原因がやっとこさ判明。
調べてみると、ある仮想サイトのログに、1秒間に20アクセス前後のリクエストを送りつけてくる輩が。
USER_AGENTを見てみると、
DoCoMo/2.0 P90liS(c100;TB;W20H10)
ん？携帯電話から1秒間に20回もページ遷移をすることはできないでしょー。
それよりこのユーザーエージェント、P901iS（キュウマルイチアイエス）ではなくって、P901iS（キュウマルエルアイエス）になってますやんか！
ということで、そのIPアドレスをwhoisしてみると…
China United Telecommunications Corporation（China Unicom）。
お隣の中国からでしたか…
とりあえずこんな奴はまずはアクセス拒否と思って、そのIPアドレス（220.194.55.47）他、同一セグメントのIPアドレスをごっそりIISのアクセス拒否リストに設定。
F/Wでの設定は次の日にすることに。
で、やや安心しながら様子を見ていた19時頃。
またしてもChina Unicomからの攻撃が開始される。
「お、順調にアクセス拒否(403)のログが出力されてるぞ」と安心していた途端に、再びIISがクラッシュ。
え？IISの昨日で拒否するだけじゃアカンの！？
ということで、慌ててF/Wにフィルタを設定。なんとか解決に至ったわけです。
しかし、この220.194.55.47からやってくるロボット、いくらIISとはいえ拒否しているサーバーを落っことすくらいのいったいどんなエゲツないリクエストを投げてるんでしょ。
ちゃんとログを見てれば、すぐに分かったのですが仮想サイトが大量にあったものと肝心のログを見落とした私も悪かったんですが…(ーー;)
それよりも、このChina Unicomからのお行儀の悪いクローラーは有名なようで。
他にも被害あわれた方は、多数おられるようです。（今回のようにIISを使ってはないでしょうけど）
・ブログにP90liSからのアクセス（暇人STRのブログ）
・China Unicomからの大量アクセスを拒否（kawama.jp）
皆さん、チャイナ・アタックには要注意でございます。

QRコードに新規格（セキュリティQRコード）

donq — Fri, 14 Sep 2007 22:46:31 +0000

◎秘密のQRコード
QRコードの生みの親であるデンソーウェーブが、新たなQRコードを開発したようです。
名称は「セキュリティＱＲコード（SQRC）」というそうな。
デンソーウェーブの発表ページ
専用QRコードリーダーでしか読取ができない非公開部をそなえがらも、従来の通常QRコードリーダーでも公開部のみ読取れるっていうのは、なかなかすごいですね。
ちなみに今回はやはり仕様の公開は無し。そりゃそうだ。「秘密」ですもんね。
主に一般への情報漏えいを防止しながら、利便性を高めるという部分が利用想定なようですが、それ以外に利用方法は無いでしょうか？

◎どこの店でも…
チェーンの飲食店のメンバーズカードに、
・この客はキュウリ嫌い
・○○の話題が好き
などとQRコードに隠して情報を埋め込んでおくと、各店がオンラインでつながってなくもベストな接客ができるかもしれない？
他にも、小売店の値札などに
・この商品はここまで値下げしても可
と書いておけば、毎回商品データベースを調べたりせずに、接客中に値下げ交渉ができるかもしれません。
ということで、顧客に隠すべき情報を埋め込むことで、遠隔地での情報をスタッフが共有できるかも？という案でした。お粗末でございましたm(_ _)m