【レポート】7分でほぼ全無線LAN機器を攻撃可能! - 森井教授がWPA-TKIPの脆弱性を解説 (1) WPA-TKIPの検証結果で"誤解"を生んでから1年、新たな攻撃手法を披露 | エンタープライズ | マイコミジャ�
2009年8月、我々は一般の無線LAN機器でWPAよりもセキュアとされるWPA-TKIPを利用する際も脆弱性があることを示した。しかし、「中間者攻撃という必ずしも現実的でない環境を仮定したこと」、「MIC鍵を得ているという仮定の下で偽造パケットを1分以内に生成できること」が誤解を与え、その脆弱性の深刻さを十分伝えることができなかった。したがって、現在でも一部ではWPA-TKIPには深刻な脆弱性がないと認識されている。 その認識を改めるべく、我々は2010年8月に開催されたJWIS2010で「WPA-TKIPに深刻な脆弱性が存在すること」、「その脆弱性を突いて容易にシステムダウンさせることが可能なこと」を具体的な方法を交えて示した。WPA-TKIPには深刻な脆弱性が存在するのである。 WEPはもはや暗号ではない、ではWPA-TKIPは? 2008年10月、我々のグループはわずか4万パケット程
フィッシングの個人情報で偽造パスポート――ネットの闇市場で販売中
セキュリティ企業の米マカフィーは2010年8月23日、フィッシング詐欺などで盗まれた個人情報は、パスポートやクレジットカードの偽造に使われる場合があるとして注意を呼びかけた。例えばある闇市場サイトでは、盗んだ情報で作成した偽造パスポートを5000ドル程度で販売しているという。 同社スタッフが確認したWebサイトでは、偽造パスポートや偽造クレジットカード、偽造した運転免許証などが販売されていた。いずれも、フィッシング詐欺などで盗んだ個人情報を使っているという。 偽造パスポートは多数の国のものが用意されている(図1)。国によって値段が異なり、最も安いのがアゼルバイジャンで870ドル、最も高価なのがフランスで5530ドル。同社の情報を見る限りでは、5000ドル程度の国が多かった。 偽造クレジットカードは10枚1セットで販売(図2)。カードのブランドや使える国によって価格が異なる。例えば、日本で使
デジタル署名への過信は禁物、「署名付きウイルス」が多数出現
図1 デジタル署名が付与されたウイルス「W32/Hupigon.OLY」のプロパティ(エフセキュアの情報から引用。以下同じ)。ウイルスプログラムの内容とデジタル署名が対応していないために、「This digital signature is not valid」と表示されている フィンランドのセキュリティ企業エフセキュアは2010年6月21日、デジタル署名が付与されたウイルス(悪質なプログラム)を多数確認しているとして注意を呼びかけた。プログラムの正当性を検証できるデジタル署名は有用だが、過信は禁物としている。 デジタル署名とは、デジタルデータ(ファイルやプログラム)の作成者や完全性(改ざんされていなこと)を証明するために付与されるデータのこと。通常、CA(認証局または認証機関)と呼ばれる第三者機関が、審査をした上で付与する。このため、デジタル署名が付与されたプログラムは、付与されていない
XSSの攻撃手法いろいろ - うなの日記
html5securityのサイトに、XSSの各種攻撃手法がまとめられているのを発見せり!ということで、個人的に「お!」と思った攻撃をサンプルつきでご紹介します。 1. CSS Expression IE7以前には「CSS Expressions」という拡張機能があり、CSS内でJavaScriptを実行できたりします。 <div style="color:expression(alert('XSS'));">a</div> 確認 @IT -[柔軟すぎる]IEのCSS解釈で起こるXSS で詳しく解説されていますが、CSSの解釈が柔軟なことともあいまって自前で無害化するのはなかなか困難。以下のようなコードでもスクリプトが実行されてしまいます。 <div style="color:expr/* コメントの挿入 */ession(alert('XSS'));">a</div> 確認 <div s
Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ - Claybird の日記
今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す
asahi.com(朝日新聞社):「ネット全履歴もとに広告」総務省容認 課題は流出対策 - ビジネス・経済 (1/2ページ)
インターネットでどんなサイトを閲覧したかがすべて記録される。初めて訪れたサイトなのに「あなたにはこんな商品がおすすめ」と宣伝される――。そんなことを可能にする技術の利用に、総務省がゴーサインを出した。ネット接続業者(プロバイダー)側で、情報を丸ごと読み取る技術を広告に使う手法だ。だが、個人の行動記録が丸裸にされて本人の思わぬ形で流出してしまう危険もある。業者は今後、流出を防ぐ指針作りに入る。 この技術は「ディープ・パケット・インスペクション(DPI)」。プロバイダーのコンピューター(サーバー)に専用の機械を接続し、利用者がサーバーとの間でやりとりする情報を読み取る。どんなサイトを閲覧し、何を買ったか、どんな言葉で検索をかけたかといった情報を分析し、利用者の趣味や志向に応じた広告を配信する。 DPIは従来技術に比べてより多くのデータを集められるため、こうした「行動ターゲティング広告」に利
しゃおの雑記帳 - 携帯サイト開発者のためのセキュリティ再入門
通勤電車で周囲を見渡せば大抵数台のスマートフォンを見つけられるようなご時世ですが、現実は日本の伝統的な携帯電話が多数派です。今もそんなガラケー向けWebサイトの開発案件は衰えることありません。 そんなガラケーサイトの開発者の間で話題になっている「セキュリティ対策」について、ガラケー界の現状をふまえた上でまとめてみます。 携帯電話のIPからのアクセスであることを前提としたセキュリティ対策はすでに無駄 ソフトバンク3Gのプロクシ情報は検索すればすぐに出てきます イー・モバイルのEMnetに至っては公開情報です サイトのソースもFlashのswfも画像もPCから丸見えだと思うべきです 危険な「かんたんログイン」 かんたんログインで使う契約者IDはあなたのサイトにも他のサイトにも同じものが送出されてます 悪意をもった人が他人の契約者IDをヘッダに乗せてかんたんログインのアクションを呼び出したらどう
自動起動を無効にしても防げないUSB攻撃、ほとんどのOSが該当 | エンタープライズ | マイコミジャーナル
Taranfx.com - Your Gateway to Technology, Redefined. ウィルスやマルウェア、スパイウェア、悪意あるプログラムはあの手この手でPCに侵入を試みる。特定のルートがあるわけではなく、その時々の流行に合わせてさまざまな方法が発見される。たとえば古くはFDDからの侵入、不正なプログラムを含んだアプリケーションをダウンロードさせる形式での侵入など。現在ではブラウザの特性を活かして不正なプログラムをインストールすることなく重要な個人情報を取得したり、クッキーを取得してから総当たり手法でサーバへの侵入を試みるなどがある。 そうした侵入経路の一つに、USBメモリに不正なプログラムを仕込んでおき、USBポートにさしたときに自動実行するというものがある。この侵入自体は自動起動機能を無効にしておけばいいし、特定のOSに限定されるためそれほど驚異的というものではな
CSS による履歴の漏えいを防ぐ取り組み « Mozilla Developer Street (modest)
これは、Mozilla Security Blog の記事 Plugging the CSS History Leak (英文) の抄訳です。Web 開発者の方は Mozilla Hacks の記事抄訳 CSS の :visited に行われるプライバシー対策 も参照してください。 プライバシーの保護は必ずしも簡単なことではありません Mozilla では近く、以前からブラウザ各社が取り組んでいる個人情報漏えい問題の対策を Firefox の開発ツリーに追加します。私たちはこの改善を非常に楽しみにしており、他のブラウザも後に続いてくれることを期待しています。しかし、これは解決が難しい問題であるため、Mozilla がなぜこのようなアプローチを取ることにしたのか説明しておきたいと思います。 履歴の取得 Web ページ上のリンクは、ユーザがそのリンク先を訪れたことがあるかどうかによって見た目が
米Google、Webアプリケーション向けの高速な脆弱性スキャナ「Skipfish」を公開 | OSDN Magazine
米Googleは3月19日、Webアプリケーション向けのセキュリティ脆弱性スキャナ「Skipfish」を公開した。現在最新版となるバージョン1.1ベータのコードが公開されている。 Skipfishはクロスサイトスクリプティング、SQLインジェクションなど、Webアプリケーションで発生する可能性のあるセキュリティホールをスキャンして検出するツール。誤検知を抑えた高度なセキュリティチェックを導入、捉えにくいセキュリティホールを検出できるとしている。Cで実装されており、HTTPハンドリング向けに最適化することで速度を改善、LAN環境で毎秒2000件以上のHTTP要求を処理できるという。使い勝手が良い点も特徴としている。 検出できる問題としてはSQLインジェクションやシェルコマンドの実行、XML/XPathインジェンクション、フォーマット文字列のチェックミスや整数オーバーフローといった危険度の高い
進化し続けるドライブバイ・ダウンロード攻撃
本城信輔/McAfee Labs東京 主任研究員 Gumblarは,ドライブバイ・ダウンロード(drive-by-download)攻撃の一つである。ドライブバイ・ダウンロード攻撃とは,Web サイトにアクセスしたユーザーのきちんとした同意を得ずに,マルウエア(ウイルス)を勝手にダウンロード・感染させる脅威だ。このうちWebブラウザやアプリケーションのぜい弱性を悪用する方法は,数年前から見られるようになった。今年1月には,「Operation Aurora」という,Internet Explorer(IE)のゼロデイのぜい弱性を悪用したドライブバイ・ダウンロード攻撃も発見された。 2009年4月ころに発見された,元々のGumblar攻撃の流れは,図1の通り。大きく五つのステップがある。(1)攻撃者がWeb管理者になりすましてWebページを改ざん,(2)ユーザーが改ざんされたWebページにア
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
新品のAndroid携帯にマルウェア、USB経由でPCに感染
VodafoneのAndroid携帯から「Mariposa」など複数のマルウェアが見つかったとPanda Securityが伝えた。 GoogleのAndroidを搭載したVodafoneの携帯電話「HTC Magic」からマルウェアが見つかったと、スペインのセキュリティ企業Panda Securityが3月8日のブログで伝えた。 それによると、同社の従業員が入手した新品のHTC MagicをUSBでPCに接続したところ、ウイルス対策ソフトがマルウェアを検出。調べたところ、この携帯電話が「Mariposa」など複数のマルウェアに感染しており、USB接続したWindowsマシンにマルウェアを感染する仕掛けになっていることが分かった。 Mariposaは感染したコンピュータの遠隔操作に使われるボットネット型のマルウェア。ユーザーの情報を盗み出して攻撃者に送ってしまうなどの機能も持つ。さらに、C
マルウェア解析の現場から-03 Gumblar攻撃 | トレンドマイクロ セキュリティブログ
不定期でお送りしている本ブログのこのシリーズ。今回はこれまでと少し趣向を変えて、特定の単体のマルウェアではなく「Gumblar攻撃」を取り上げます。最近のマルウェアを利用した攻撃は複数のマルウェアを利用することが多いため、一つのマルウェアの動作を詳細に解析しているだけでは起きていることの全貌を明らかにすることができません。そのため解析エンジニアには、個々のマルウェアを詳細に解析する「虫の目」だけでなく、関連するすべてのマルウェアを俯瞰して全体を見通す「鳥の目」も必要になります。そこで今回は、解析エンジニアの鳥の目で「Gumblar攻撃」を眺めて感じたことをお伝えします。 ■第1段階:Webページの改ざん Gumblar攻撃は、Webページが何らかの方法で改ざんされるところから始まります。これまでに確認されている情報によれば、FTPによってWebコンテンツへの不正アクセスが行なわれているよう
最も危険なプログラミングエラーTop 25、2010年版 | スラド セキュリティ
昨年も取りまとめられていた「最も危険なプログラミングエラーTop 25」の2010年版が発表された(本家/.記事)。 2010年版で一番のエラーとされたのは、クロススクリプティングを引き起こし得る「ウェブサイトの設計不備」。その後にSQLインジェクションの原因となる「SQLクエリの保護不備」、バッファオーバーフローの原因となる「メモリバッファ境界チェックの不備」と続く。このTop 25のエラーは、最近中国で起きたGoogleへの大規模サイバー攻撃や、その他軍用システムから一般ユーザまでを対象とした大小様々なサイバー攻撃の多くで悪用されているとのこと。 今回のレポートでは、製品のセキュリティに対して開発者らが責任を負うよう消費者が声を挙げるべきであると推奨している。「開発チームのメンバー全員がセキュアプログラミング技術のトレーニングを適切に受けていることを確証する責任を負う」ようベンダーに求
asahi.com(朝日新聞社):河村市長「住基ネット侵入実験したい」 違法の恐れ - 政治
名古屋市の河村たかし市長は29日、市内であった講演会で、「住民基本台帳ネットワーク(住基ネット)への侵入実験を行いたい」と話した。住民の個人情報を管理する住基ネットは、外部からの不法な侵入を防ぐ仕組みになっているが、実験で安全性を再検証する。具体的な方法は未定で、総務省の許可なく侵入すれば法律に抵触する恐れもあり、実現には壁もある。 河村市長はこれまで、住基ネットからの離脱意向を示していたが、同日午前、「市民の理解が必要」などとして新年度予算には住基ネットの維持費を計上する方針を示した。同日午後の講演会で、河村市長は「離脱は侵入実験をやってから決める」と話した。 侵入実験は、長野県も2003年秋に実施しているが、本体へ侵入できる可能性を指摘した長野県に対し、総務省は「本体には侵入されておらず、全く問題ない」との立場で、実験結果の見解は分かれている。住基ネットを担当する総務省市町村課は「
TLSとSSLにゼロデイ脆弱性--セキュリティ研究家が明らかに
一般的にウェブページの暗号化に使用されるTLSおよびSSLプロトコルのゼロデイ脆弱性が公表された。 セキュリティ研究家のMarsh Ray氏とSteve Dispensa氏は米国時間11月4日、今回のゼロデイ脆弱性と関連性はないが類似したセキュリティ研究結果を開示したことに続き、TLS(Transport Layer Security)の脆弱性を明らかにした。TLSとその前身であるSSL(Secure Sockets Layer)は通常、オンライン小売業者や銀行によって、ウェブ決済のセキュリティを確保するために使われる。 Dispensa氏とともに2要素認証企業のPhoneFactorに勤務するRay氏は5日、同氏が8月にこの脆弱性を初めて発見したこと、そして、9月初旬に実際に機能するエクスプロイトのデモをDispensa氏に披露したことをブログ投稿で説明した。 TLS認証プロセスの脆弱性
エフセキュアブログ : 間違いだらけのGumblar対策
間違いだらけのGumblar対策 2010年01月12日11:50 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 Gumblarが大流行し、大手メディアでも取り上げられるようになりましたが、情報が錯綜しているようです。そこで、実際に検体を解析しましたので、よくある間違いをQ&A形式にてお伝えします。 Q. OSだけでなくすべてのソフトウェアを最新版にアップデートしておけば大丈夫ですか? A. 違います。最新版でも攻撃を受ける可能性があります。未パッチのAdobe Reader/Acrobatの脆弱性を攻撃するものも出回りましたので、対策としてはAdobe Reader/AcrobatのJavaScriptを無効にする必要があります。 修正版ソフトウェアは2010年1月12日(日本時間だと13日)に出る予定です。ただし、今後も同種の脆弱性が発見され、修正版
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ニュースリリース | セキュリティ対策のラック
Attacking with Character Encoding for Profit and Fun