例えばこんなSSI

概要

資生堂の子会社「イプサ」が運営する「イプサ公式オンラインショップ」にて、SSIインジェクションによる情報漏えいが発生したことを受けて、改めて「SSI」および「SSIインジェクション」の概要、影響、およびその対策を調査・確認した.
ここではその調査・確認内容を記載している.

背景

2016年12月2日、資生堂の子会社「イプサ」が運営する「イプサ公式オンラインショップ」にて情報漏えいが発生したとのニュースがあった. 魚拓
この時点においてリリースPDF魚拓)では「原因の解明と再発防止に向け社外の有識者を交えた調査を引き続き行い(以下省略)」とあり、はっきりした原因は解明できていなかったが、2017年1月31日、続報として以下の情報が報道された. 魚拓
(公式PDF)株式会社イプサ公式オンラインショップへの不正アクセスに関する調査報告書 (魚拓)

調査報告書を確認したところ、SSI、および原因の分析について以下のような記載があったが、その内容に疑問を覚えたので調査・確認に至った.

  • SSIについて(「ウェブサーバの操作を正規に行うためのプログラム技術」とは?)

    SSI4脆弱性を突かれ、(以下省略)
    4: SSI(Server Side Includes)はウェブサーバの操作を正規に行うためのプログラム技術

  • 原因の分析(「当該技術の利用箇所を限りなく少なくするなど」は対策となるのか?)

    イプサ公式サイトの開発・運用体制において、SSI 技術の利用に関する脆弱性の認識が甘く、当該技術の利用箇所を限りなく少なくするなどの対策が取られていませんでした。

SSI(Server Side Includes)の概要

代表的な Web Server Software である Apache には以下のような記載がある.

SSI (Server Side Includes) are directives that are placed in HTML pages, and evaluated on the server while the pages are being served. They let you add dynamically generated content to an existing HTML page, without having to serve the entire page via a CGI program, or other dynamic technology.

Google翻訳

SSI(Server Side Includes)は、HTMLページ内に記載され、ページが提供されている間にサーバー上で評価されるディレクティブです。CGIプログラムやその他の動的な技術を使ってページ全体を提供することなく、動的に生成されたコンテンツを既存のHTMLページに追加することができます。

たとえばhtmlソース中に<!–#include file=“header.html” –>と書けば、記載箇所にheader.htmlが、<!–#include file=“footer.php” –>と書けば記載箇所にfooter.phpが読み込まれる、というもの. これは読み込み対象(例で言うとheader.html、footer.php)が動的に変化しても呼び出し元に手を加える必要がないという点で便利な機能である.

実際的な例であれば、企業さんのWebページで、以下のようなどのページにも表示させたいヘッダとフッタがある場合、SSIを使用するとすべてのページに次のように記載をすれば実現可能である.

  • ヘッダの記述例
    <!–#include file=“header.html” –>
  • 表示させたいヘッダ例
    f:id:news-nknskn:20170201032427p:plain

  • フッタの記述例
    <!–#include file=“footer.html” –>

  • 表示させたいフッタ例
    f:id:news-nknskn:20170201032431p:plain

※例であって、画像の実際のページでSSIは使用されていない.

ヘッダ/フッタに変更を加える場合、呼び出されているheader.html、footer.htmlを変更すれば、呼び出している全ページの表示に変更が適用されるため、メンテナンスコストが少なく済むメリットを持つ.

SSI 設定例

Apache HTTP Server の場合について触れる.
OS : CentOS 6 系
Apache : 2.2.15(yum インストール) ※古いのは脆弱性の検証環境のため

<Directory "/var/www/html">
    〜
    # Options 設定にSSIインクルードを追加
    # "+"がOptionsへの追加宣言、Options設定を〜の箇所で行っていない場合、"+"は不要
    Options +Includes

    # SSI を適用する拡張子の指定(デフォルトは.shtml等特別な拡張子のみ有効)
    # 脆弱性検証のため、.htmlおよび.phpを指定
    AddOutputFilter INCLUDES .html .php
</Directory>

上記のように設定し、指定したディレクトリに以下のようなファイルを用意する.

  • index.html
<!--#include file="hello.html" -->
  • hello.html
<html>  
<body>  
Hello, world  
</body>  
</html>

index.html にアクセスすると以下のように表示される

f:id:news-nknskn:20170201040304p:plain

SSIインジェクションの概要

安全なウェブアプリケーションやウェブサービスのセキュリティの改善を目的とした共同研究や関連活動を行っている非営利団体「OWASP」によると以下の通り.

The Server-Side Includes attack allows the exploitation of a web application by injecting scripts in HTML pages or executing arbitrary codes remotely. It can be exploited through manipulation of SSI in use in the application or force its use through user input fields.(中略)
In any case, the attack will be successful only if the web server permits SSI execution without proper validation. This can lead to access and manipulation of file system and process under the permission of the web server process owner.

The attacker can access sensitive information, such as password files, and execute shell commands. The SSI directives are injected in input fields and they are sent to the web server. The web server parses and executes the directives before supplying the page. Then, the attack result will be viewable the next time that the page is loaded for the user’s browser.

Server-Side Includes (SSI) Injection

ユーザからの入力を適切な検証(HTMLエスケープ、入力値のバリデーション)なしに出力しているWebアプリケーションにおいて、HTMLページに例で示したようなスクリプト(<!–#include file=“hello.html” –>)を挿入された場合に、挿入されたSSIが実行されてしまうという問題である. ここの例ではファイルのインクルードを示しているが、SSIではWebサービス実行ユーザ権限でのOSコマンド実行も可能である.
OSコマンドを実行する場合、<!–#exec cmd=“ls” –> というように記述する.

SSIインジェクションの影響

Webサービス実行ユーザ権限でのOSコマンド実行が可能なため、以下のような影響が考えられる.

  • 不正な外部ファイルの読み込み (ダウンロード後にinclude)
  • マルウェアのダウンロードおよび実行
  • サービス実行ユーザで閲覧可能な範囲での情報漏えい

さらに、サーバに権限昇格可能な脆弱性が存在する場合、攻撃者にサーバを乗っ取られる可能性が考えられる.
※余談:WebアプリケーションにSSIインジェクションが存在する場合、そのアプリケーションではそもそも入力値のチェック、入力データを出力する際のHTMLエスケープ処理が行われていない可能性がある.そのためデータベースへ登録処理を行う箇所ではSQLインジェクション、入力確認画面におけるXSSクロスサイトスクリプティング)も存在する可能性が考えられる.

検証例

1.入力値をエスケープせずに出力

以下のようなデータ送信画面、および入力確認画面があったとする.
- input.html

<html>
<body>
<br>
<h1>データ送信</h1>
<form action="output.php" method="post">
<input type="text" name="data">
<input type="submit" value ="送信">
</form>
</body>
</html>

f:id:news-nknskn:20170201043444p:plain
- output.php

<html>
<body>
<?php
$data = $_POST["data"];
echo $data; // Vuln
?>
</body>
</html>

f:id:news-nknskn:20170201043542p:plain ※input.html において値を"test"として「送信」を押下した際の画面

input.html において、値を「<!–#exec cmd=“curl https://www.google.co.jp” –>」として「送信」を押下すると、以下のように、ブラウザにてサーバ上でcurlコマンドを実行した結果を確認することができる.
f:id:news-nknskn:20170201044216p:plain

2.SQLインジェクションが成功しデータベースにSSIのスクリプトが混入、データをエスケープせずに出力

以下のようなデータ出力画面があったとする.
ここでは簡略化のため「PDO::〜」等を省略して「file_get_contents(‘db.result’);」としている.
「$output」「$data」にはselect文の結果(SSIスクリプト)が混入していると想定.
- output.php

<html>
<body>
<?php
$data = file_get_contents('db.result');
echo $data; // Vuln
?>
<br>
<a href="input.html">戻る</a>
</body>
</html>

混入しているスクリプトは下記の通り.
- db.result

<!--#exec cmd="cat /etc/passwd" -->

output.php にアクセスすると以下のようになる.(一部マスク) f:id:news-nknskn:20170201050120p:plain

対策

どちらの場合も入力データの出力箇所である"echo $data;“においてエスケープを行うことで、SSIインジェクション対策となる.phpであれば、例えば以下のような記述.

<html>
<body>
<?php
$data = file_get_contents('db.result');
echo htmlspecialchars($data); // Not Vuln
?>
<br>
<a href="input.html">戻る</a>
</body>
</html>

f:id:news-nknskn:20170201051156p:plain

※出力箇所におけるエスケープ処理はXSSの対策にもなる.SQLインジェクション対策にはならない.


2017/2/1 追記
httpd.conf のOptionsにて以下のように設定するとexecを除き、SSIを使用することができる.

Options +IncludeNOEXEC

まとめ

上記の検証例には記載していないものもあるが、SSIインジェクションが存在するアプリケーションにおいて、外部リソースへのアクセス、外部ファイルのダウンロード、およびOSコマンド実行の動作確認を行った.上記の通り、Webサーバを動作させているユーザの権限で実行可能であることを確認した.これによってバックドアページの設置等、今回のインシデントにつながる動作を確認できたと思われる. SSIを利用する上でのSSIインジェクション対策は、ユーザからの入力値を出力する箇所においてエスケープ処理を行うこと、もしくは暫定的な回避策としてIncludeNOEXECを設定することが考えられる.

参考

  1. Apache httpd Tutorial: Introduction to Server Side Includes - Apache HTTP Server Version 2.4
  2. とほほのSSI入門
  3. Server-Side Includes (SSI) Injection
  4. セキュアWebプログラミングTips集
  5. SSI (Server Side Includes) の書き方 | murashun.jp

SECCON 2016 Writeup(Vigenère, Anti-Debugging)

今回チャレンジした問題(Vigenère, Anti-Debugging)のWriteupです.
2問しかチャレンジしてないのでちょっとした手順も書いてみました.
# 今度はちゃんとSECCONに向けてスケジュールを調整したい...(去年も同じことを呟いたような)

Vigenère

下記のような問題でした。

k: ????????????
p: SECCON{???????????????????????????????????}
c: LMIG}RPEDOEEWKJIQIWKJWMNDTSR}TFVUFWYOCBAJBQ
k=key, p=plain, c=cipher, md5(p)=f528a6ab914c1ecf856a1d93103948fe
|ABCDEFGHIJKLMNOPQRSTUVWXYZ{}
-+----------------------------
A|ABCDEFGHIJKLMNOPQRSTUVWXYZ{}
B|BCDEFGHIJKLMNOPQRSTUVWXYZ{}A
C|CDEFGHIJKLMNOPQRSTUVWXYZ{}AB
D|DEFGHIJKLMNOPQRSTUVWXYZ{}ABC
E|EFGHIJKLMNOPQRSTUVWXYZ{}ABCD
F|FGHIJKLMNOPQRSTUVWXYZ{}ABCDE
G|GHIJKLMNOPQRSTUVWXYZ{}ABCDEF
H|HIJKLMNOPQRSTUVWXYZ{}ABCDEFG
I|IJKLMNOPQRSTUVWXYZ{}ABCDEFGH
J|JKLMNOPQRSTUVWXYZ{}ABCDEFGHI
K|KLMNOPQRSTUVWXYZ{}ABCDEFGHIJ
L|LMNOPQRSTUVWXYZ{}ABCDEFGHIJK
M|MNOPQRSTUVWXYZ{}ABCDEFGHIJKL
N|NOPQRSTUVWXYZ{}ABCDEFGHIJKLM
O|OPQRSTUVWXYZ{}ABCDEFGHIJKLMN
P|PQRSTUVWXYZ{}ABCDEFGHIJKLMNO
Q|QRSTUVWXYZ{}ABCDEFGHIJKLMNOP
R|RSTUVWXYZ{}ABCDEFGHIJKLMNOPQ
S|STUVWXYZ{}ABCDEFGHIJKLMNOPQR
T|TUVWXYZ{}ABCDEFGHIJKLMNOPQRS
U|UVWXYZ{}ABCDEFGHIJKLMNOPQRST
V|VWXYZ{}ABCDEFGHIJKLMNOPQRSTU
W|WXYZ{}ABCDEFGHIJKLMNOPQRSTUV
X|XYZ{}ABCDEFGHIJKLMNOPQRSTUVW
Y|YZ{}ABCDEFGHIJKLMNOPQRSTUVWX
Z|Z{}ABCDEFGHIJKLMNOPQRSTUVWXY
{|{}ABCDEFGHIJKLMNOPQRSTUVWXYZ
}|}ABCDEFGHIJKLMNOPQRSTUVWXYZ{
Vigenere cipher
https://en.wikipedia.org/wiki/Vigen%C3%A8re_cipher

古典暗号の Vigenère Cipher (問題文のリンクを参照)によって暗号化された平文を解読する問題です.
Vigenère Cipher は簡単に言うと、横軸に平文一文字、縦軸に鍵一文字を取り、テーブルを参照したときに該当する文字が暗号化した文字として出力される暗号です(リンクを読んで知った).
平文長 > 鍵長 の場合、暗号化には鍵に用いられた文字列が繰り返し適用されます.
このことから、暗号文の出力は簡易的に以下のように考えることができます.

p[x] = 'plain text'
k[x] = 'key text'
c[x] = 'ciphe text' # 文字数合わせのため、誤字ではありません
table[28] = ABCDEFGHIJKLMNOPQRSTUVWXYZ{}
c[i] = table[(p[i]_index + k[i]_index) mod (table length)]
# ここでは _index は 対象の文字がtableの何文字目か を示しています.

今回の問題だと鍵(k)の長さは ? の数(12)、平文(p)の長さ(=暗号文の長さ)は 43 です.
良い解読手法を知らなかった/思いつかなかったので k は総当りで探し、p が示されている md5(p) と一致した場合に p を出力するスクリプトにします.(圧倒的勉強不足)

  • 事前準備
    今回のテーブルは上記の通り 'ABCDEFGHIJKLMNOPQRSTUVWXYZ{}' で、table 長は 28 です.
    鍵を完全に総当りをすると 2813 (6502111422497947648 = 262 < 2813 < 2663)となってちょっとした時間がかかるため、事前準備として分かる箇所を出します.
    p = SECCON{
    c = LMIG}RP
    上記から k = VIGENER (7 文字) であることがわかります.
    確認できた内容と問題のタイトルからなんとなく 8 文字目は E っぽい(VIGENER(E) かな?)です.
    ひとまず、平文すべてに暗号化を行う際の鍵は以下と仮定します(8文字目(Rの次)の E が不確定).
    k = VIGENERE????VIGENERE????VIGENERE????VIGENER
    次に残りの4 文字の ? について総当りします.

  • 脳直スクリプト

% python vigenere_dec.py
SECCON{ABABABCDEDEFGHIJJKLMNOPQRSTTUVWXYYZ}

正解でした.

Anti-Debugging

bin というファイルをダウンロードし、フラグを見つけ出せ、という問題です.
とりあえず file と strings を叩きます.

% file bin
bin: PE32 executable for MS Windows (console) Intel 80386 32-bit

Windowsデバッグですかね.

# 以下はコメントです
% strings bin
!Enjoy CTF! . # 楽しんでますよ
Richw0B
.text
`.rdata
@.data
.rsrc
(中略)
ollydbg.exe
ImmunityDebugger.exe
idaq.exe
Wireshark.exe
Input password >
I have a pen.
Your password is correct.
But detected debugger!
(But 〜 系が続くため省略)
But detected Debugged.
;aj&@:JQ7HBOt[h?U8aCBk]OaI38 # flagっぽい
check!
password is wrong.
(中略)
Process32Next
Process32First
CreateToolhelp32Snapshot
(アンチでバッグで使用する関数や DLL とかその他諸々. 以下省略)

「Input password >」「I have a pen.」から、起動したらパスワード入力のルーチンがありそうです.
また、アンチデバッグ機能はある程度含まれている模様.
そのあとに暗号化してある文字列を復号してどこかしらに出力してくれる流れでしょうか.(そうであってくれという願望)
Wireshark を検知しているところを見ると通信も見せたくないのかな?なんてことも頭に入れておきました(意味はありませんでした).
とりあえず見た感じアンチデバッグには少なくとも IsDebuggerPresent とプロセス名での検知がありそうです.
ひとまずバイナリエディタで見つけた文字列の exe を ex_ と変更しておきます.(要らない)
次に、おもむろに IDA で bin.exe (拡張子 .exe を付加) を開き、デバッグしていそうなところを特定します.
「Input password >」で検索.

f:id:news-nknskn:20161211204300p:plain

OllyDbg で飛ぶとこんな感じです.

f:id:news-nknskn:20161211205255p:plain

下の方にアンチデバッグしている箇所がちょいちょいあり、フラグを書き換えるのがめんどくさいので暗号文を用意しているっぽい箇所に飛んでみます.
# 00401663 に New origin here

f:id:news-nknskn:20161211205335p:plain

ちょっと動かしてみると for で回っていることがわかります.
めんどくさいのでひとまず MessageBoxA の直後にソフトウェアブレークポイントを設定、F9.

f:id:news-nknskn:20161211205807p:plain

出ました.

flag : SECCON{check_Ascii85}

簡単な感想

Webに触れたかった...
あとuncomfortable webは脆弱性のある kernel だったら権限昇格して楽にささっと解けるかもなー、と思ってバージョンとか見てみたけどダメだったので諦めました.
# CentOS 6.8 2.6.32-642.11.1.el6.x86_64、2016/11/19 にリリースなんですよね...くそう.

以上です.

2016/04/21 セキュリティニュース関連一覧 + その他

ニュース

その他気になったニュース

ASCII.jp:カスペルスキー、日本で「インテリジェンスサービス」提供開始

カスペルスキー、攻撃の検知・対処やセキュリティ教育などを提供する法人向けセキュリティインテリジェンスサービス - クラウド Watch

「防御」「予見」「発見」「対処」4つのプロセスを包括的にカバー:カスペルスキー、脅威情報やマルウェア緊急解析といったサービス群を提供 - @IT
---

パナマ文書、米司法当局が関連犯罪の捜査開始 欧米報道 :日本経済新聞

パナマ文書、租税回避21万社公表へ…報道団体 : 国際 : 読売新聞(YOMIURI ONLINE)
---

被災地の渋滞・通行止めを表示 トヨタ「通れた道マップ」をアップデート - ITmedia ニュース

猫カフェ 全国初の業務停止処分 | NHKニュース

マイナンバーカード交付、申請の3割どまり :日本経済新聞

Tech TIPS:【まとめ】Windows版QuickTimeを見つけてアンインストールする - @IT

CTC&HPE 仮想化エキスパートが提言:「インダストリー4.0」を見据え──今、なぜ「OSとアプリケーションの分離」が叫ばれているのか - @IT

マイナンバーカード「ワンカード化」に向けたソリューション発表 - NEC | マイナビニュース

ネット掲示板で上越市立南川保育園に放火予告 警察や市が警戒|上越タウンジャーナル

報道発表資料:「最近の航空システム障害概要とサイバーセキュリティについての共有会議」の開催 - 国土交通省

鎖国機能搭載のWi-Fiルーター「SAKOKU」、プラネックスが発売 -INTERNET Watch

【プレスリリース】サイバーセキュリティクラウド サイバーセキュリティ需要の高まりを受けて 自社サービス「攻撃遮断くん」の導入サイト数が2015年上期比で742%増を達成! - サーバーセキュリティ対策 WAFとIPS |株式会社サイバーセキュリティクラウド

「つながる世界」だからこそ必要な危機感 :日本経済新聞

セキュリティ対策は"目的志向型"で実装しよう――多層防御による各対策例 (1/3):EnterpriseZine(エンタープライズジン)

【プレスリリース】シマンテック、「インターネットセキュリティ脅威レポート 第21号」を発表 - INTERNET Watch

脆弱なデバイスが4億2千万台、「アンドロイド・セキュリティ報告書」公表 | Forbes JAPAN(フォーブス ジャパン)

【セキュリティ ニュース】米国でも災害便乗のサイバー攻撃に警戒強まる - 日本やエクアドルでの地震発生受けて(1ページ目 / 全2ページ):Security NEXT

現代戦争はまずサイバー攻撃、インテカー斎藤氏 - 日経テクノロジーオンライン

サイバーセキュリティー人材を増強-総務省が年1000人規模で演習 | 政治・経済 ニュース | 日刊工業新聞 電子版

証拠保全ガイドライン第5版 | ホーム | デジタル・フォレンジック研究会

Anonymous presented OnionIRC, a chat service in the Dark WebSecurity Affairs

VWの「ディーゼルゲート」事件の不正ソフトウェアはアウディが1999年に開発していたものと報じられる - GIGAZINE

ASCII.jp:クラウド活用は危険!? サイバー犯罪者がデータを探す場所とは

「Pythonエンジニア育成推進協会」が2016年7月に設立予定、技術の習熟度を問う資格のベータ試験を2016年夏から開始:CodeZine(コードジン)

オラクル、定例パッチを公開--Javaなど49製品の脆弱性136件を修正 - ZDNet Japan

Dropbox Announces End of Support for Windows XP

中国、豪にサイバー攻撃か=首相会見、発信源言葉濁す:時事ドットコム

ニュース - 欧州委がGoogleに異議告知書送付、「Android」で競争阻害と判断:ITpro

(PDF)NCC Group Whitepaper Understanding and Hardening Linux Containers

neonprimetime security , just trying to help: XSS Cookie Theft

日本型セキュリティの現実と理想:第21回 戦艦大和の防御構造に学ぶ効率的な守り方(後編) (1/3) - ITmedia エンタープライズ

システムインテグレーションとセキュリティ(3):「イントラWebアプリケーションのセキュリティ」、大丈夫ですか? (1/3) - @IT

趙 章恩「Korea on the Web」 - サイバー選挙不正監視団に個人生放送──韓国の選挙運動はインターネット中心:ITpro

図解で手口を学ぶ「脆弱性」セキュリティ - 図解でわかるSQLインジェクション:ITpro

Cisco Talos Blog: Oracle OIT Image Export SDK libvs_pdf XRef Index Code Execution Vulnerability



ブログ等

https://gist.github.com/cure53/33fff6e38d256909c46a4b1ff9a534f4

タイ全裸の株式会社DYMが評判の隠蔽に使った7つの手法 by @tsuj

2016/04/20 セキュリティニュース関連一覧 + その他

ニュース

その他気になったニュース

仙台放送が「関テレ中継車のGS割り込み」に関する虚偽の投稿でお詫び / なぜ偽りのツイートをしたのか? 仙台放送に尋ねた | ロケットニュース24

仙台放送:関連会社社員が虚偽ツイート 関西テレビ問題で - 毎日新聞

仙台放送、関連会社社員の虚偽ツイートを謝罪 関テレ中継車の割り込み給油めぐり - ITmedia ニュース

関テレ中継車の割り込みめぐり虚偽ツイート 仙台放送、関連会社社員の行為を謝罪 - ITmedia ビジネスオンライン
---

セキュリティエンジニアを将来の夢にしているのですが現在高2なの... - Yahoo!知恵袋

「セキュリティエンジニアになるには?」 「知恵袋」で高2が質問、業界トップから回答続々 - ITmedia ニュース

「セキュリティエンジニアになりたいのですが」―― 現役高校生のYahoo!知恵袋にセキュリティ界のアベンジャーズが次々集結する胸熱展開に - ねとらぼ
---

ゴールデンウィークにおける情報セキュリティに関する注意喚起:IPA 独立行政法人 情報処理推進機構

長期休暇に備えて 2016/04

ゴールデンウィークでもランサムウェアにご注意――休暇でのセキュリティ対策 - ITmedia エンタープライズ
---

ボランティア詐欺など、熊本県警が地震関連犯罪で注意喚起 - ITmedia ニュース

熊本地震、iPhone生産に影響も ソニーの画像センサー工場が停止 (1/2) - ITmedia ニュース
---

Hacking Teamはどのようにしてハックされたのか?: Cyberlaw

弊社WEBサイト接続障害復旧のお知らせ - プレスリリース・お知らせ | 会社情報 | 株式会社セキュアブレイン

(PDF)ASERT Threat Intelligence Report 2016 -­ 03 The Four -­ Elemen Sword Engagement

IPA 独立行政法人 情報処理推進機構:今月の呼びかけ

3,300万人以上が登録する「Yahoo!ウォレット」で新施策25行の銀行に対応した「預金払い」と電子マネー「Yahoo!マネー」を 初夏から提供。来春にはリアル決済にも参入予定 / プレスルーム - ヤフー株式会社

米グーグル調査へ=携帯OSで独禁法違反疑い-欧州委:時事ドットコム

東日本震災支援団体装い詐取容疑 男6人逮捕、警視庁 - 共同通信 47NEWS

There are 12 Pinoys in heist –Dhaka | Inquirer News

SS7 hack explained: what can you do about it? | Technology | The Guardian

地下鉄で撮影された写真からSNSを特定してプロフィール写真と比較される「Your Face Is Big Data」 - GIGAZINE

横浜市役所に爆破予告|カナロコ|神奈川新聞ニュース

[速報]Amazonクラウド、OSやWebサーバを自動アップデートしてくれる「Managed Platform Updates for Elastic BeansTalk」発表。AWS Summit 2016 Chicago - Publickey

山中真アナの弁当が熊本でメジャーな「おべんとうのヒライ」のものと特定されてやっぱり被災地で手に入れたものと確定 | netgeek

「Androidのユーザーを守った」、Googleがセキュリティ状況を報告 - ITmedia エンタープライズ

IoT普及で高まるサイバー攻撃の脅威 (1/2ページ) - SankeiBiz(サンケイビズ)

伝説のハッカー、テスラ幹部を引き抜き 自動運転カー実現へ | Forbes JAPAN(フォーブス ジャパン)

トレンドマイクロ、プレゼンだけで新卒採用の選考 :日本経済新聞

【プレスリリース】次世代のサイバー脅威の様相と標的型攻撃の傾向を探る「ウェブルート脅威レポート2016」発表 - INTERNET Watch

AWS、「Amazon Inspector」の一般提供を開始--「Amazon EBS」の新規オプションも追加 - ZDNet Japan

アメリカ軍、ISへサイバー攻撃:かく乱や制裁を目的としてサイバースペースを攻撃する段階へ | InfoComニューズレター

米最高裁、Googleブックスの書籍スキャンを公正使用と認定 | TechCrunch Japan

(耕論)アップル対FBI マイケル・ズウェイバックさん、板倉陽一郎さん、高木浩光さん:朝日新聞デジタル

[今月の技術トピック] ママ、Active Directory ってもういらなくなるの? | IT プロフェッショナルのみなさまへ

Google Developers Japan: Android Studio 2.0

How-To Disable Windows Script Host | News from the Lab

From CSV to CMD to qwerty | Explore Security

On Web-Security and -Insecurity: DTD Cheat Sheet

キヤノンITS、サイバー攻撃に“強い”UTMを中規模企業向けに発売 - ITmedia エンタープライズ

CNN.co.jp : iPhoneのロック解除で新情報、捜査進展と主張 FBI - (1/2)

セキュリティ・テクノロジー・マップ(2):「サーバにおけるアクセス制御」の基本――ネットワークで防ぎ切れない脅威からサーバを守る (1/2) - @IT

アップル、中国のソースコード開示要請を拒否=法務担当 | ロイター

サイバー防衛、自治体一丸 京都府、全域を一括監視 :日本経済新聞

Kippo and dshield - SANS Internet Storm Center

Amazon上で書籍関連の詐欺的行為が横行、被害者はAmazonではなくアマチュア小説家たち - GIGAZINE

支援に活用を ツイッター情報を分析し地図上に | NHKニュース



ブログ等

WEB+DB PRESS Vol.92で「Linuxコマンド入門」特集記事を書いた - mollifier delta blog

WordPress のサイトを 完全 HTTPS 化してみた | Webセキュリティの小部屋

ミクラスというゲーム情報サイトの不正アクセス: 独房の中

2016/04/19 セキュリティニュース関連一覧 + その他

ニュース

その他気になったニュース

(PDF)脆弱性診断士(プラットフォーム)スキルマップ&シラバスについて : OWASP Japan

(PDF)脆弱性診断士(プラットフォーム)スキルマップ&シラバス第1.0版 : OWASP Japan
---

ニュース - NEC、マイナンバーカード活用支援で2018年までに売り上げ100億円目指す:ITpro

マイナンバー、総務省がシステムの利用制限を要請 :日本経済新聞

セコム、マイナンバーの流出経路を封鎖する専用端末を販売 | マイナビニュース
---

経団連、欧州案に反対=課税逃れ対策で-パナマ文書:時事ドットコム

パナマ大統領、口座情報共有「18年までに」 税逃れ対策 :日本経済新聞

パナマ文書事件の裏側:ビッグデータと偏執的慎重さ
---

Exploit kit writers turn away from Java, go all-in on Adobe Flash • The Register

APT TARGETING TIBETANS PACKS FOUR VULNERABILITIES IN ONE COMPROMISE

我が社に必要なセキュリティ人材が分かる資料、JNSAが7年ぶり改訂 - ITmedia エンタープライズ

元MIT学生が開発したツール、Webアプリの脆弱性を1分で発見 | マイナビニュース

【チャイナネット事件簿】 中国版YouTuberにブームの兆し/中国国内でのドメイン取得を義務化へ ほか〜2016年3月 - INTERNET Watch

不正プログラムでオンラインゲームのID入手 容疑の男逮捕/蕨署

Amazonの偽サイト「amazon-co-jp.pw」が出現 個人情報を盗まれる可能性 - ライブドアニュース

熊本地震の地域で、データ通信の速度制限解除や容量の追加を発表--ドコモ、KDDI、ソフトバンクら - CNET Japan

著作権侵害、誘導リンクもダメ 知財計画に盛る :日本経済新聞

孫子に学ぶスピアフィッシング対策5つの秘訣|ユージン・カスペルスキーのサイバー兵法|ダイヤモンド・オンライン

中国、国家機密15万件漏えいの男に死刑判決 | ロイター

DDoS攻撃もサービス化! 被害を受けたSTB 辻氏が語る対策法 - A10 Forum 2016

UFO墜落、エイリアンを生け捕り…米ニューメキシコ | オカルトNEWS★かすぽ

ロシア、サイバー攻撃でGDPの0.33%(約3590億円)を失う! : 軍事・ミリタリー速報☆彡

サイバー戦争“和平”合意に効果あり?!中国発の攻撃が明らか... - Record China

フェイスブックを悩ませる「スパム・ボット」大増殖の可能性 | Forbes JAPAN(フォーブス ジャパン)

有名人ゴシップサイトのThe Shade Room、Facebookページ停止でフォロワー400万人を失う | TechCrunch Japan

【関西の議論】「イルカ・クジラ漁」標的にサイバー攻撃、アノニマスが“宣戦布告”…陰湿な嫌がらせ新段階へ(1/3ページ) - 産経WEST

半径300メートルのIT:これだけは知っておきたい、被災時のスマホ活用術 (1/2) - ITmedia エンタープライズ

スピン経済の歩き方:災害取材を行うマスコミが、現地で非常識な行動をとる理由 (1/5) - ITmedia ビジネスオンライン

90億円詐取、外国人20人関与=中銀の不正送金被害-バングラ:時事ドットコム

「戦争法阻止 全国2000万署名へ」と封書 県立高の元教諭、卒業生300人の住所録をコピー 学校は謝罪(1/2ページ) - 産経ニュース

国家公務員、家で仕事可 政府方針、専用端末で :日本経済新聞

Google Compute Engine、全世界のリージョンが同時に外部とのネットワーク接続を失うという深刻な障害が発生。ネットワーク管理ソフトウェアにバグ - Publickey

How Hacking Team got hacked | Ars Technica

5歳の子どもが難解で退屈な「プログラミング」をロボットで楽しく理解できる学習システム「Root」 - GIGAZINE

自転車フレームへ不正にモーターを内蔵しているのをサーモカメラで発見 - GIGAZINE

170万ものサイトをホストしていたレンタルサーバー業者が間違ってサイトデータを消去 - GIGAZINE

MIT、サイバー攻撃の85%を検知する人工知能プラットフォーム「AI Squared」を発表 - ZDNet Japan

iOSが「セキュアで使いやすい」のはiPhoneのロック解除が1日平均80回も行われているから? - GIGAZINE

ビル・ゲイツ氏「米政府の秘密調査に制限を」、顧客データめぐり | ロイター

Escaping The Avast Sandbox Using A Single IOCTL | Nettitude

ラック、新潟県のサイバー犯罪対策支援のため、新潟県警と共同対処協定を締結 | ニュースリリース | 株式会社ラック

記者の眼 - 事前準備ゼロで「情報セキュリティマネジメント試験」を受けてみた:ITpro

米連邦議員のiPhoneをハッキング!通話、メール、位置情報まで丸見えに! - iPhone Mania

サイバークライムアナリストが明かす標的型攻撃の実像 - 攻撃者視点で考えるサイバーアタック、異常すぎる「普通の動き」を検知できるかがポイント:ITpro

ニュース - 改正サイバー法が成立、国家資格「情報処理安全確保支援士」を新設:ITpro



ブログ等

AWSでのHTTP/2 or SPDY運用の課題とPROXY protocol - Hatena Developer Blog

Ranger - Tool To Access And Interact With Remote Microsoft Windows Based Systems

Heap tracing with WinDbg and Python

DNS Summer Day 2016

2016/04/14 セキュリティニュース関連一覧 + その他

ニュース

その他気になったニュース

(PDF)「JR九州アプリ」の不具合に伴うご利用の停止について

JR九州アプリに別会員の個人情報表示 利用停止と発表 - 西日本新聞
---

「Google Chrome 50」の安定版がリリース Windows XPなど旧OSのサポート終了 - ITmedia エンタープライズ

「Google Chrome 50」安定版公開、Windows XPなどのサポートが終了し通知機能が改善 - GIGAZINE
---

法律事務所から大量の電子文書押収、「パナマ文書」で家宅捜索 | ロイター

パナマ文書「震源地」に捜査の手 現地ルポ :日本経済新聞
---

(PDF)JPCERT/CC インシデント報告対応レポート(2016 年 1 月 1 日 ~ 2016 年 3 月 31 日)

Ralph Boehme joins SAMBA CoreTeam - SerNet

パスワードの別送に意味はある? - 10の疑問を試して解明 セキュリティ大実験室:ITpro Active

DECRYPTION TOOL STIFLES JIGSAW RANSOMWARE

交流サイトきっかけで犯罪被害の子ども 過去最多 | NHKニュース

米セキュリティー大手が名古屋進出 製造業などサポート :日本経済新聞

スノーデン、iPhoneが年末までに世界規模で攻撃を受けると予言

Flashの緊急パッチ、今すぐ更新を : 科学 : 読売新聞(YOMIURI ONLINE)

韓国の選挙管理委員会のウェブサイトにサイバー攻撃―韓国紙 - Record China

JVNVU#92232364: Microsoft Windows および Samba の認証機能に脆弱性 ("Badlock")

車へのハッキング、ドライバーとメーカーへの注意喚起が持つ意味は(後) - 車へのハッキング、ドライバーとメーカーへの注意喚起が持つ意味...:Computerworld

[講演資料提供] OSS脆弱性の"裏事情" - OpenSSL等の脆弱性はなぜ収束しないのか?

LINE×サイボウズのバグバウンティ対談 - サイボウズとLINEが語る報奨金制度、脆弱性報告への報酬金額はどうやって決める? :ITpro

趙 章恩「Korea on the Web」 - 「line.co.kr」をめぐる訴訟、LINEが他社のドメインを奪った?それともサイバースクワッティング?:ITpro

社員1000人が毎日“顔パス”で出社、NECが実証実験 - ITmedia エンタープライズ

Matthew Keys: Journalist sentenced to 24 months for Anonymous-linked LA Times hack

【セキュリティ ニュース】サン電子のイスラエル子会社、サイバー犯罪捜査でインターポールと提携 - 携帯解析技術を提供(1ページ目 / 全1ページ):Security NEXT

米サイバー防衛強化委員会、前NSA局長や企業幹部らが参加 | ロイター

笑えぬ4月1日ネタ 三重大助教「再びサイバー被害」 :社会:中日新聞(CHUNICHI Web)

オバマ大統領ががMicrosoftやUberの出身者たちを国のサイバーセキュリティー委員会の委員に任命 | TechCrunch Japan




ブログ等

hiddenなinput要素のXSSでJavaScript実行 | 徳丸浩の日記

Masato Kinugawa Security Blog: hiddenなinput要素でユーザー操作を使わずにXSS

「東京スター銀行」のAndroidアプリでSSLサーバ証明書の検証不備も脆弱性が報告される、アプリのv1.4で修正 | juggly.cn

2016/04/18 セキュリティニュース関連一覧 + その他

ニュース

マルウェア関連

IPAにランサムウェア感染の相談急増――ファイル添付メールに注意:セキュリティ通信:So-netブログ

エフセキュアブログ : Badlock:横展開への懸念点

ブラジルのサイバー犯罪組織による初の「クロスプラットフォーム・マルウェア」が拡散 | THE ZERO/ONE

マルウェアの「家系図」作りに魅せられて―FireEye 松田亜矢子さん (1/3):EnterpriseZine(エンタープライズジン)

【Infostand海外ITトピックス】全米の病院が標的に 猛威振るい始めた新種ランサムウェア - クラウド Watch

世界のサイバー攻撃、23%は中国が発信源=ゾンビPCの増加が... - Record China

Kovter Click-Fraud Malware Evolves Back into Ransomware

2つのトロイの木馬が結合された「GozNym」が登場--米国の銀行などに被害 - ZDNet Japan

Banking malware 'Halfbreed' targeting US and Canadian Banks - The World of IT & Cyber Security: ehacking.net

Emsisoft Decrypter for AutoLocky - Download a free Emsisoft Decrypter for the latest file encryption ransomware

InfoSec Handlers Diary Blog - VBS + VBE
---

日立ソリューションズ、機械学習技術を利用したマルウェア対策製品「CylancePROTECT」を販売 - クラウド Watch

カスペルスキー、ランサムウェアへの対抗機能を備えたWindowsサーバー用セキュリティソフト - クラウド Watch

定義ファイル不要のマルウェア防御――HISOLとCylanceが提供 - ITmedia エンタープライズ

制御システムセキュリティ:未知の脅威を人工知能でつぶす、工場でも使えるマルウェア対策 - MONOist(モノイスト)


その他気になったニュース

お詫びとお知らせ | 関西テレビ放送 カンテレ

熊本地震の取材中にテレビ中継車が給油待ちの列に割り込んだと判明し関西テレビ謝罪 - ねとらぼ

関西テレビ謝罪 中継車が熊本のGSで割り込み給油 批判殺到 (スポニチアネックス) - Yahoo!ニュース
---

Hacker who hacked Hacking Team published DIY how-to guide | Network World

The Vigilante Who Hacked Hacking Team Explains How He Did It | Motherboard
---

パナマ文書がわれわれに突きつけている歴史的課題とは

パナマ文書はなぜ流出したのか--企業が学ぶべき最大の教訓 - ZDNet Japan
---

ニュース - Apple、iPhoneロック解除要請で政府非難 裁判所に書類提出:ITpro

iPhoneロック解除協力、米政府は必要性証明せず=アップル | ロイター
---

Google、Chromeウェブストアの個人情報に関するポリシーを改定 -INTERNET Watch

Google、Chromeウェブストアのポリシー改定 違反アプリは7月15日から削除へ - ITmedia ニュース
---

平成28年熊本地震で被災されたお客さまに対するデータ通信容量10GB追加について | 2016年 | KDDI株式会社

ニュース - 熊本市内のBPOセンター、稼働停止や他センターへの移管が相次ぐ:ITpro

ニュース - 熊本市の税・社会保障システムがマシン室内の揺れで故障、データは無事:ITpro

ヤマト運輸のなりすまし 熊本地震の支援物資を呼びかける - ねとらぼ

弊社サーバーへの不正アクセス事象につきまして - 株式会社ECロボ

QuickTime for Windows の脆弱性に要注意 | トレンドマイクロ セキュリティブログ

ついにドローンが旅客機と衝突する事故が発生 - GIGAZINE

【セキュリティ ニュース】退学者などの個人情報がSNSに流出 - 大阪の府立高校(1ページ目 / 全1ページ):Security NEXT

ASCII.jp:企業規模を問わず情報セキュリティ責任者の設置を、IDCが提言 (1/2)

不正アクセスでカード情報397件が漏えいか。ECロボ運営の「OTTERBOX JAPAN」 | ネットショップ担当者フォーラム

Burp Suite Professional - release notes: 1.7.01beta

Google and Microsoft’s shortened URLs make it easy to spy on people – Naked Security

テロ対策で政府が国民監視を強化しても安全につながらない理由を説明するムービー「Safe and Sorry」 - GIGAZINE

著作権侵害サイトへのハイパーリンクを著作権法で取り締まれるようにする議論が進められる | スラド

ニュース - マイナンバーカード、総務省が自治体に「アクセス集中時間は交付前設定控えて」:ITpro

CNN.co.jp : 米ロ、サイバー問題で協議へ ウクライナ電力網攻撃受け - (1/2)

JBサービス、ウェブサイトの改ざん検知復旧サービス提供--WebARGUSの技術利用 - ZDNet Japan

セキュリティ投資は増加傾向も、6割超の企業が現状維持--IDC Japan - ZDNet Japan

CSIRTメモ - チェックしておきたい脆弱性情報<2016.04.18>:ITpro

図解で手口を学ぶ「脆弱性」セキュリティ - 図解でわかる脆弱性でひどい目に遭う理由:ITpro



ブログ等

CNET のログイン画面がセキュリティ的にとてもいけてない件 | Webセキュリティの小部屋

キャッシュコヒーレンシとジョブマッチング - blog

Remote code execution, git, and OS X

Chrome XSS Bypass - Sucuri Blog