感染するとパソコンがしゃべり始める「BotVoice.A」
このトロイの木馬「BotVoice.A」に感染するとパソコンが「お前は感染した、繰り返す、お前は感染した、そしてお前のシステムファイルはもう削除しておいた、ごめんね、良い一日を、バイバイ」というような台詞をしゃべり始めます。 どういう仕組みでこんな事になるのか、そして実際にしゃべっている音声ファイルなどは以下の通り。 P2P Trojan Makes PC Talk, Laugh at You, While Erasing Hard Drive New Trojan Makes Computers Talk While Wiping out the Hard Drive Panda Software,しゃべるトロイの木馬「BotVoice.A」を警告:ITpro 繰り返されるメッセージは次の通り: “You have been infected I repeat you have been
高木浩光@自宅の日記 - 「ガラパゴス携帯のパラダイス鎖国」をWebの技術面から見る
■ 「ガラパゴス携帯のパラダイス鎖国」をWebの技術面から見る ワンクリック不当請求が問題となり携帯電話事業者各社が「お知らせ」を発表した2004年夏、8月29日の日記で総務省の「次世代移動体通信システム上のビジネスモデルに関する研究会」について少し触れた。実はもっと詳しく書くべき興味深い内容があったのだが、あまり言うのもいやらしい(せっかく解決に向けて動いて頂いているようなのに)という事情が当時はあったため、その後何もしていなかった。いまさらではあるが、これについて書き留めておく。 2000年に旧郵政省が「次世代移動体通信システム上のビジネスモデルに関する研究会」を開催していた*1。2001年に総務省情報通信政策局が報告書を公表している。 第1回 議事要旨, 郵政省, 2000年7月 第2回 議事要旨, 郵政省, 2000年9月 第3回 議事要旨, 郵政省, 2000年12月 第4回 議
高木浩光@自宅の日記 - EZwebサイトでSession Fixation被害発生か?, サブスクライバーIDをパスワード代わりに使うべきでない理由
■ EZwebサイトでSession Fixation被害発生か? au booksでの事故 意図的な攻撃でなく偶発的な事故なのかもしれないが、auの公式サービス「au books」のEZwebサイトで、Webアプリケーションの脆弱性が原因の情報漏洩事故が起きたようだ。 顧客情報漏えい:書籍販売サイト「au Books」で, 毎日新聞, 2007年6月26日 ゲーム攻略本(1冊1890円)の紹介サイトからアクセスし、その攻略本を買おうとすると、他の顧客の氏名、住所、電話番号、生年月日、会員パスワードが表示された。そのまま購入手続きをとると、他の顧客が購入したことになってしまうという。 au携帯電話におけるオンライン書籍販売サイト「au Books」におけるお客様情報の誤表示について, KDDI, 2007年6月26日 1. 発生事象 本年6月22日20時37分から23日18時45分までの間
Lhacaに未パッチの脆弱性、悪用トロイの木馬も出現
日本の研究者が圧縮・解凍ソフト「Lhaca」の脆弱性を発見。「.lzh」の圧縮ファイルでこれを悪用するトロイの木馬も見つかった。 日本で人気の圧縮・解凍ソフト「Lhaca」に未パッチの脆弱性が発覚、この問題を突いた「.lzh」圧縮形式のファイルが見つかった。米Symantecが6月25日のブログで報告している。 問題の.lzhファイルは日本の研究者から提出された。Symantecで分析したところ、Lhacaの脆弱性を突いてマルウェアを植えつけるトロイの木馬であることが分かった。 Symantecは、ゼロデイ攻撃を仕掛けるこのトロイの木馬を「Lhdropper」と命名。日本語版のWindows XPでLhaca 1.20(訳注:おそらく「Lhaca デラックス版1.20」と思われる)を使ってこれを解凍すると、システムフォルダにバックドアを仕掛けるとともに、別のLZHアーカイブを保存して後で悪
高木浩光@自宅の日記 - キンタマウイルス頒布にマスコミ関係者が関与している可能性
■ キンタマウイルス頒布にマスコミ関係者が関与している可能性 Winnyを媒介して悲惨なプライバシー流出事故が続いているのは、言うまでもなく、自然現象なのではなく、ウイルスを作成し頒布している者が企図するところによるものである。いったいどういう人が何の目的で作成し頒布しているかということは、憶測にしかなりようがないので、あまり多く語られることはないが、よく耳にする陰謀論的な説としては、(1)著作権侵害行為をやめさせたいと考えている者が、Winnyの利用を危険なものにするためにやっているという説、(2)ウイルス対策や流出対策の事業者の関係者が、事業の需要を創出するためにやっているという説(これは、Winny媒介ウイルスに限らず昔のウイルスのころから語られていたもの)などがある。 私の憶測では、少なくとも初期のキンタマウイルスは、単純に愉快犯だったのだろうと思う。論座2006年5月号では私は次
APOPのぜい弱性で見えてきたMD5の「ご臨終」
情報処理機構セキュリティセンターは4月,メール・サーバーの認証プロトコルの一つ「APOP」について注意を喚起した。この注意喚起は,電気通信大学の太田和夫教授のグループが,APOPで使うハッシュ関数「MD5」に新たな欠陥を発見したことに基づくもの。この欠陥は,APOPだけでなく,MD5を使う電子署名などのほかのアプリケーションの欠陥も示唆する。実際にどの程度危険なものか,技術に基づいて考えてみよう。 わからないはずのパスワードが解かれる APOPは,チャレンジ・レスポンスという方式を使って,メール・クライアントとメール・サーバーのやりとりを盗聴してもパスワードが解読できないようにする。パスワードを直接やりとりせずに,まずサーバーからクライアントに「チャレンジ・コード」という文字列を送る。クライアントはチャレンジ・コードとパスワードを連結したうえで,MD5というハッシュ関数を使ってハッシュ値を
GNU Privacy Guard講座
まもなくこのページは移転します。 新しいURLは以下の通りです。 http://gnupg.hclippr.com/ お手数ですがリンク・ブックマークの更新をお願いいたします。 ※環境によってはリンク先が正常に表示されるまで多少の時間を要する可能性があります。 This website will be moving to soon to the following URL. http://gnupg.hclippr.com/ Please update your link and bookmarks. The link may not display correctly at the moment, in that case, please try again later.
高木浩光@自宅の日記 - 北海道新聞の記者がWinnyを使って流出ファイルを入手したことを公言しているが自分のやっていることがわかっているのか
■ 北海道新聞の記者がWinnyを使って流出ファイルを入手したことを公言しているが自分のやっていることがわかっているのか 北海道新聞の記者のブログにこんな記述がある。 今回の流出資料を、インターネット掲示板「2ちゃんねる」の情報を元に入手してみました。 (略) 私はWinnyを使う際、ハードディスクの中身を完全に消し、クリーンインストールし直した古いPCで起動しました。もちろん、個人情報などは一切入っていません。会社のネットは使わず、自宅のネットを使ったほか、流出資料はその古いパソコンでウイルスファイルの除去を行い、Winnyが入っていない別のパソコンでさらにウィルスチェックを行い、安全を確認してから閲覧しました。仕事用のパソコンでは開いてません。これぐらいやらないと危なくて危なくて。 で、目的のファイルを入手した時点で、古いパソコンは再び、押し入れにしまいました。流出ファイル自体もパソコ
IE7ユーザーにいまさらSSL2.0を使わせようとする銀行 - 「 Firefox ×?=!」を考えてみる、ブログ。
インターネットバンキングでのFirefox推奨状況を確認していた時に気が付いたのだが、Internet Explorer 7ユーザーに対して、SSL2.0を使うように設定変更を促している銀行が目に付いた。これらの銀行では注意書きとして『Internet Explorer7の場合は「SSL2.0を使用する」がチェックされていない場合が多いのでご注意ください。』などと書かれているので、一般ユーザーならばチェックしなければならないものと思ってしまうのではないだろうか。 Internet Explorer 7 における HTTPS セキュリティの強化点 (Windows IETechCol)にも記述があるように、SSL2.0はセキュリティの問題が理由でIE7の標準設定から外されたのだが、このような銀行の対応は問題を全く無視しているとしか思えない(それとも、問題自体を知らない?)。もうちょっとまとも
高木浩光@自宅の日記 - APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に
■ APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に APOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について, IPA, 2007年4月19日 回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。 というわけで、POP over SSLの特需が見込まれるところだが、MUAのサポート状況はどうだろうか。 大きなシェアを占めるBecky! はというと、POP over SSLをサポートしているのだが、残念なことに図1の設定がある。 この「証明書を検証しない」は、失効確認のことではない。オレオレ証明書の警告を出さない、そのチェックさえしないという設定だ。 これを設定した場合、偽サーバに接続*1しても何の警告もなしに処理される。(パスワードは偽サーバによって復号ないし解読され得る。) ここはデフ
Winnyネットワークはやっぱり真っ黒,NTTコミュニケーションズの小山氏に聞く:ITpro
ボットネット研究で知られるNTTコミュニケーションズの小山覚氏。小山氏の新しい研究対象は「Winnyネットワークの実態」だ。小山氏は「悪意のある人物がワームを撒き散らしているWinnyネットワークは『真っ黒』としか言いようがない」と指摘する。小山氏にWinnyネットワークに関する最新事情を聞いた(聞き手は中田 敦=ITpro)。 小山さんは最近,Winnyネットワークの調査を始められているそうですね。 これは,4月25日の「RSA Conference 2007」で話そうと思っていた内容なのですが,私が出るセッションは,ラックの新井悠さん,JPCERTの伊藤友里恵さん,マイクロソフトの奥天陽司さんというセキュリティ界の論客が揃ったパネル・ディスカッションなので(モデレータは日経パソコン副編集長の勝村幸博),私だけが長い時間発表するのは無理そうです(笑)。そこで,今回のインタビューで全部お話
eicar テストウィルス
eicar(European Institute for Computer Anti-virus Research)はコンピューターウィルスやトロイの木馬などの危険なプログラムに対抗するために設立された有識者の団体で、コンピュータセキュリティに関して有用な情報を多く提供している。 eicarのサイト http://www.eicar.org/ ・テストウィルス eicarが提供しているダミーウィルス(テスト用ウィルス)はAntiVirusツールのテストを行うためのもので、中身は68バイトのコードであり、DOSモードで実行すると「EICAR-STANDARD-ANTIVIRUS-TEST-FILE!」と表示されるだけのファイルである。実行してもまったく問題はない。 つまりeicarテストウィルスをダウンロードしてAntiVirusツールのテストを行った後に、このテストウィルスを削除
無料でデジタル証明書を取得する - @IT
プログラムや重要な業務メールなどは、その出所を証明するためにデジタル証明書を付加している場合が多い。メーラの多くは、証明書のツリーをルート証明書までたどり、問題のないデジタル署名がなされているかチェックしている。 ファイルやメールの出所の確実性を保証するデジタル証明書だが、個人で利用するには、取得するための費用や手間の問題で、なかなか利用に踏み切れない場合が多いだろう。デジタル証明書が必要だがコスト面で導入できない、あるいはデジタル証明書の利用テストを行いたいというなら、個人向けのデジタル証明書を無料で発行してくれる認証局を利用すればよい。 Thawte Inc.[英語] Thawte Inc.は、デジタル証明書のプロファイルに一部制限があるものの、メール(S/MIME)に無料で利用できる「Personal E-mail Certificates」を提供している。Thawte Inc.の認
高木浩光@自宅の日記 - IE 7の普及でサーバ証明書失効によるトラブルが表面化する
■ IE 7の普及でサーバ証明書失効によるトラブルが表面化する Internet Explorer 6まででは、「サーバー証明書の取り消しを確認する」の設定(「インターネットオプション」の「詳細設定」タブのところにある)が、デフォルトでオフになっていたが、IE 7で、これがデフォルトでオンになった。 Internet Explorer 7 における HTTPS セキュリティの強化点, Microsoft Windows Vista にパフォーマンス強化および OCSP プロトコルのサポートが追加されたことで、Windows Vista 上で実行される IE7 では既定で失効状態のチェックが有効になり、セキュリティが強化されます。 この影響が出始めているようだ。 QNo.2856522 証明書エラーがでてしまいます・・, 2007年3月22日 ビスタに変えてから、XPの時に普通に入れていたサ
高木浩光@自宅の日記 - JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり
■ JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり 一昨年7月のWASフォーラムのイベントで話した以下の件。 セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏, MYCOM PCWEB, 2005年7月12日 誤った解説や必要以上に危機感を煽る報道に不満 (略)アドレスバーがきちんと表示されていてURLが確認できる状態になった上で、SSLの鍵マークが表示され、ブラウザがSSL証明書に関する警告画面を出さなければ、いちいち証明書を開かなくても安全性は確認できるのに、未だに「安全性を確認するには証明書を開く必要がある」といった誤った解説が(それもセキュリティに詳しいとされている記者の記事の中で)なされている」と指摘。その上で「キーワードジャーナリズムは、よりユーザにとって手間のかからない対策手法を紹介すべきだし、
高木浩光@自宅の日記 - RFID児童登下校管理システムのクオリティは安心安全ソリューションってレベルか
■ RFID児童登下校管理システムのクオリティは安心安全ソリューションってレベルか 2004年から2005年にかけてたびたびNHKニュースやテレビ東京で華々しく宣伝されていた、RFID児童登下校通知システムだが、去年あたりから悲惨なことになっていたようだ。 2006年8月13日の日記からリンクしていた個人ブログを再び見に行ってみたところ、その後こんなことになっていた。 「情報科な日々のつれづれ」の「ICタグ」カテゴリ 朝、7:36。 ICタグによる登下校システムの停止。(略) 事務所の電話は、鳴りっぱなし。 何とかならないかといわれても・・・・。 とにかく富士通に対応してもらうまで待つしかない。 原因は、どうやら、メールサーバの停止らしい。 7:36に最後の送信をしてから、停止したらしい。 それ以降に登校した子どもには、メールが送信されていません。(略) 27 September ご迷惑を
第3回 ウイルス対策ソフトは効果なし:ITpro
取引先や同僚を装って限られたユーザーをピンポイントに狙い,ウイルス・メールを送り付けるスピア型攻撃が国内で顕在化してきた。まんまと騙され,ウイルスをパソコン上に仕込まれると,これを発見するのは至難の業だ。 スピア攻撃で添付されてくるウイルスを対策ソフトが阻止してくれれば,感染は防げる。しかし,実際にはウイルス対策ソフトは無力だ。 犯罪者は「ウイルス対策ソフトを使って検知されないことを確認した上で攻撃を仕掛けてくる」(ISSの高橋CTO)からである。当然,送られてきたときには対応するパターン・ファイルがないため,ウイルス対策ソフトは反応しない。 スピア攻撃を助長する,こうした未知のウイルスが世の中にまん延していることを象徴する数字がある(図3)。テレコム・アイザック推進協議会とJPCERTコーディネーションセンターが2005年4月~5月に実施した調査結果だ。インターネット上にウイルスに感染さ
jugement:判決書きの一部を黒塗りにした例 - Matimulog
社内発明の報酬規定と見られる部分や、その他の部分も数行にわたり黒塗りがされた判決書きである。 いわゆる営業秘密に関する秘密保護と裁判公開の調和を図ったものと表すべきであろうが、黒塗りというのは戦前の検閲済み出版物か戦後の占領下の出版物を想起させる異様さだ。 (追記) いつもお世話になっている裁判所判例Watchさんからの指摘により、この黒塗りは全く役に立たない代物であることが分かった。 もう昨年から問題となっているケースと同じであろう。岡村先生や高木先生が指摘しているところであり、裁判所の判例公開も素人がちょいちょいとやることの危険性を示している。 岡村先生の以下の指摘に深く共感するものである。 「せっかく根付きはじめたネットによる情報公開が、今回の事件によって後退することがないよう、願いたいものだ。」 (追記2) 最高裁の広報課に電話してみたところ、黒塗り部分が見えてしまうという現象はそ
グーグルを利用した罠ドメイン「Goggle.com」はどれぐらい危険なのか?
グーグルにアクセスする際、アドレスバーに「google.com」と入れれば無事にグーグルにつながるわけですが、間違えて「goggle.com」とか「goggle.net」と入力すると、ポップアップウインドウが次々と開き、その間にスパイウェアだのマルウェアだのといった悪質なソフトウェアが次々とインストールされ、ウインドウズの挙動が怪しくなり、見たくもないサイトに自動的に誘導されたり、妙なメッセージがびよ~んと出てきたり、ありとあらゆる災難に見舞われてしまい、しかも駆除しようと思っても駆除に対抗するために次々と新種のスパイウェアが自動的にインストールされ続け、恐ろしい目に遭う……ということで以前から「あのサイトは危険だ!」という認識で一致していました。 ということで、どれぐらいひどい目に遭うのかというサンプルムービーがYouTubeにあります。見てみましょう。そして、さらに追試験を行ったがそこ
「スパイウェア」が侵入してくるのはどんなときか実験してみる(CA基準)
■ 「スパイウェア」が侵入してくるのはどんなときか実験してみる(CA基準) 14日の日記に書いたように、日本CAはtracking cookieをスパイウェアと位置付けているわけだが、その「スパイウェア」とやらはいったいどんなときに我々のパソコンに侵入してくるのか、実験してみた。 実験方法は以下の手順。 Internet Explorerをデフォルト設定にする。 「インターネットオプション」の「全般」タブとのころにある、「Cookieの削除」ボタンを押す。 CA無料スパイウェアスキャンで、(CnsMin以外の)スパイウェアが検出されないことを確認する。 どこかのWebサイトを訪れる。 再びCA無料スパイウェアスキャンで、何か検出されるか調べる。 まず、トレンドマイクロ社Webサイトのトップページにジャンプした後、すぐスキャンしてみると、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
