例えばこんなSSI
概要
資生堂の子会社「イプサ」が運営する「イプサ公式オンラインショップ」にて、SSIインジェクションによる情報漏えいが発生したことを受けて、改めて「SSI」および「SSIインジェクション」の概要、影響、およびその対策を調査・確認した.
ここではその調査・確認内容を記載している.
背景
2016年12月2日、資生堂の子会社「イプサ」が運営する「イプサ公式オンラインショップ」にて情報漏えいが発生したとのニュースがあった.
魚拓
この時点においてリリースPDF(魚拓)では「原因の解明と再発防止に向け社外の有識者を交えた調査を引き続き行い(以下省略)」とあり、はっきりした原因は解明できていなかったが、2017年1月31日、続報として以下の情報が報道された.
魚拓
(公式PDF)株式会社イプサ公式オンラインショップへの不正アクセスに関する調査報告書 (魚拓)
調査報告書を確認したところ、SSI、および原因の分析について以下のような記載があったが、その内容に疑問を覚えたので調査・確認に至った.
SSIについて(「ウェブサーバの操作を正規に行うためのプログラム技術」とは?)
SSI4の脆弱性を突かれ、(以下省略)
4: SSI(Server Side Includes)はウェブサーバの操作を正規に行うためのプログラム技術原因の分析(「当該技術の利用箇所を限りなく少なくするなど」は対策となるのか?)
イプサ公式サイトの開発・運用体制において、SSI 技術の利用に関する脆弱性の認識が甘く、当該技術の利用箇所を限りなく少なくするなどの対策が取られていませんでした。
SSI(Server Side Includes)の概要
代表的な Web Server Software である Apache には以下のような記載がある.
SSI (Server Side Includes) are directives that are placed in HTML pages, and evaluated on the server while the pages are being served. They let you add dynamically generated content to an existing HTML page, without having to serve the entire page via a CGI program, or other dynamic technology.
SSI(Server Side Includes)は、HTMLページ内に記載され、ページが提供されている間にサーバー上で評価されるディレクティブです。CGIプログラムやその他の動的な技術を使ってページ全体を提供することなく、動的に生成されたコンテンツを既存のHTMLページに追加することができます。
たとえばhtmlソース中に<!–#include file=“header.html” –>と書けば、記載箇所にheader.htmlが、<!–#include file=“footer.php” –>と書けば記載箇所にfooter.phpが読み込まれる、というもの. これは読み込み対象(例で言うとheader.html、footer.php)が動的に変化しても呼び出し元に手を加える必要がないという点で便利な機能である.
実際的な例であれば、企業さんのWebページで、以下のようなどのページにも表示させたいヘッダとフッタがある場合、SSIを使用するとすべてのページに次のように記載をすれば実現可能である.
- ヘッダの記述例
<!–#include file=“header.html” –> 表示させたいヘッダ例
フッタの記述例
<!–#include file=“footer.html” –>- 表示させたいフッタ例
※例であって、画像の実際のページでSSIは使用されていない.
ヘッダ/フッタに変更を加える場合、呼び出されているheader.html、footer.htmlを変更すれば、呼び出している全ページの表示に変更が適用されるため、メンテナンスコストが少なく済むメリットを持つ.
SSI 設定例
Apache HTTP Server の場合について触れる.
OS : CentOS 6 系
Apache : 2.2.15(yum インストール) ※古いのは脆弱性の検証環境のため
<Directory "/var/www/html"> 〜 # Options 設定にSSIインクルードを追加 # "+"がOptionsへの追加宣言、Options設定を〜の箇所で行っていない場合、"+"は不要 Options +Includes # SSI を適用する拡張子の指定(デフォルトは.shtml等特別な拡張子のみ有効) # 脆弱性検証のため、.htmlおよび.phpを指定 AddOutputFilter INCLUDES .html .php </Directory>
上記のように設定し、指定したディレクトリに以下のようなファイルを用意する.
- index.html
<!--#include file="hello.html" -->
- hello.html
<html> <body> Hello, world </body> </html>
index.html にアクセスすると以下のように表示される
SSIインジェクションの概要
安全なウェブアプリケーションやウェブサービスのセキュリティの改善を目的とした共同研究や関連活動を行っている非営利団体「OWASP」によると以下の通り.
The Server-Side Includes attack allows the exploitation of a web application by injecting scripts in HTML pages or executing arbitrary codes remotely. It can be exploited through manipulation of SSI in use in the application or force its use through user input fields.(中略)
In any case, the attack will be successful only if the web server permits SSI execution without proper validation. This can lead to access and manipulation of file system and process under the permission of the web server process owner.The attacker can access sensitive information, such as password files, and execute shell commands. The SSI directives are injected in input fields and they are sent to the web server. The web server parses and executes the directives before supplying the page. Then, the attack result will be viewable the next time that the page is loaded for the user’s browser.
Server-Side Includes (SSI) Injection
ユーザからの入力を適切な検証(HTMLエスケープ、入力値のバリデーション)なしに出力しているWebアプリケーションにおいて、HTMLページに例で示したようなスクリプト(<!–#include file=“hello.html” –>)を挿入された場合に、挿入されたSSIが実行されてしまうという問題である.
ここの例ではファイルのインクルードを示しているが、SSIではWebサービス実行ユーザ権限でのOSコマンド実行も可能である.
OSコマンドを実行する場合、<!–#exec cmd=“ls” –> というように記述する.
SSIインジェクションの影響
Webサービス実行ユーザ権限でのOSコマンド実行が可能なため、以下のような影響が考えられる.
- 不正な外部ファイルの読み込み (ダウンロード後にinclude)
- マルウェアのダウンロードおよび実行
- サービス実行ユーザで閲覧可能な範囲での情報漏えい
さらに、サーバに権限昇格可能な脆弱性が存在する場合、攻撃者にサーバを乗っ取られる可能性が考えられる.
※余談:WebアプリケーションにSSIインジェクションが存在する場合、そのアプリケーションではそもそも入力値のチェック、入力データを出力する際のHTMLエスケープ処理が行われていない可能性がある.そのためデータベースへ登録処理を行う箇所ではSQLインジェクション、入力確認画面におけるXSS(クロスサイトスクリプティング)も存在する可能性が考えられる.
検証例
1.入力値をエスケープせずに出力
以下のようなデータ送信画面、および入力確認画面があったとする.
- input.html
<html> <body> <br> <h1>データ送信</h1> <form action="output.php" method="post"> <input type="text" name="data"> <input type="submit" value ="送信"> </form> </body> </html>
- output.php
<html> <body> <?php $data = $_POST["data"]; echo $data; // Vuln ?> </body> </html>
※input.html において値を"test"として「送信」を押下した際の画面
input.html において、値を「<!–#exec cmd=“curl https://www.google.co.jp” –>」として「送信」を押下すると、以下のように、ブラウザにてサーバ上でcurlコマンドを実行した結果を確認することができる.
2.SQLインジェクションが成功しデータベースにSSIのスクリプトが混入、データをエスケープせずに出力
以下のようなデータ出力画面があったとする.
ここでは簡略化のため「PDO::〜」等を省略して「file_get_contents(‘db.result’);」としている.
「$output」「$data」にはselect文の結果(SSIスクリプト)が混入していると想定.
- output.php
<html> <body> <?php $data = file_get_contents('db.result'); echo $data; // Vuln ?> <br> <a href="input.html">戻る</a> </body> </html>
混入しているスクリプトは下記の通り.
- db.result
<!--#exec cmd="cat /etc/passwd" -->
output.php にアクセスすると以下のようになる.(一部マスク)
対策
どちらの場合も入力データの出力箇所である"echo $data;“においてエスケープを行うことで、SSIインジェクション対策となる.phpであれば、例えば以下のような記述.
<html> <body> <?php $data = file_get_contents('db.result'); echo htmlspecialchars($data); // Not Vuln ?> <br> <a href="input.html">戻る</a> </body> </html>
※出力箇所におけるエスケープ処理はXSSの対策にもなる.SQLインジェクション対策にはならない.
2017/2/1 追記
httpd.conf のOptionsにて以下のように設定するとexecを除き、SSIを使用することができる.
Options +IncludeNOEXEC
まとめ
上記の検証例には記載していないものもあるが、SSIインジェクションが存在するアプリケーションにおいて、外部リソースへのアクセス、外部ファイルのダウンロード、およびOSコマンド実行の動作確認を行った.上記の通り、Webサーバを動作させているユーザの権限で実行可能であることを確認した.これによってバックドアページの設置等、今回のインシデントにつながる動作を確認できたと思われる. SSIを利用する上でのSSIインジェクション対策は、ユーザからの入力値を出力する箇所においてエスケープ処理を行うこと、もしくは暫定的な回避策としてIncludeNOEXECを設定することが考えられる.
参考
SECCON 2016 Writeup(Vigenère, Anti-Debugging)
今回チャレンジした問題(Vigenère, Anti-Debugging)のWriteupです.
2問しかチャレンジしてないのでちょっとした手順も書いてみました.
# 今度はちゃんとSECCONに向けてスケジュールを調整したい...(去年も同じことを呟いたような)
Vigenère
下記のような問題でした。
k: ????????????
p: SECCON{???????????????????????????????????}
c: LMIG}RPEDOEEWKJIQIWKJWMNDTSR}TFVUFWYOCBAJBQ
k=key, p=plain, c=cipher, md5(p)=f528a6ab914c1ecf856a1d93103948fe
|ABCDEFGHIJKLMNOPQRSTUVWXYZ{}
-+----------------------------
A|ABCDEFGHIJKLMNOPQRSTUVWXYZ{}
B|BCDEFGHIJKLMNOPQRSTUVWXYZ{}A
C|CDEFGHIJKLMNOPQRSTUVWXYZ{}AB
D|DEFGHIJKLMNOPQRSTUVWXYZ{}ABC
E|EFGHIJKLMNOPQRSTUVWXYZ{}ABCD
F|FGHIJKLMNOPQRSTUVWXYZ{}ABCDE
G|GHIJKLMNOPQRSTUVWXYZ{}ABCDEF
H|HIJKLMNOPQRSTUVWXYZ{}ABCDEFG
I|IJKLMNOPQRSTUVWXYZ{}ABCDEFGH
J|JKLMNOPQRSTUVWXYZ{}ABCDEFGHI
K|KLMNOPQRSTUVWXYZ{}ABCDEFGHIJ
L|LMNOPQRSTUVWXYZ{}ABCDEFGHIJK
M|MNOPQRSTUVWXYZ{}ABCDEFGHIJKL
N|NOPQRSTUVWXYZ{}ABCDEFGHIJKLM
O|OPQRSTUVWXYZ{}ABCDEFGHIJKLMN
P|PQRSTUVWXYZ{}ABCDEFGHIJKLMNO
Q|QRSTUVWXYZ{}ABCDEFGHIJKLMNOP
R|RSTUVWXYZ{}ABCDEFGHIJKLMNOPQ
S|STUVWXYZ{}ABCDEFGHIJKLMNOPQR
T|TUVWXYZ{}ABCDEFGHIJKLMNOPQRS
U|UVWXYZ{}ABCDEFGHIJKLMNOPQRST
V|VWXYZ{}ABCDEFGHIJKLMNOPQRSTU
W|WXYZ{}ABCDEFGHIJKLMNOPQRSTUV
X|XYZ{}ABCDEFGHIJKLMNOPQRSTUVW
Y|YZ{}ABCDEFGHIJKLMNOPQRSTUVWX
Z|Z{}ABCDEFGHIJKLMNOPQRSTUVWXY
{|{}ABCDEFGHIJKLMNOPQRSTUVWXYZ
}|}ABCDEFGHIJKLMNOPQRSTUVWXYZ{
Vigenere cipher
https://en.wikipedia.org/wiki/Vigen%C3%A8re_cipher
古典暗号の Vigenère Cipher (問題文のリンクを参照)によって暗号化された平文を解読する問題です.
Vigenère Cipher は簡単に言うと、横軸に平文一文字、縦軸に鍵一文字を取り、テーブルを参照したときに該当する文字が暗号化した文字として出力される暗号です(リンクを読んで知った).
平文長 > 鍵長 の場合、暗号化には鍵に用いられた文字列が繰り返し適用されます.
このことから、暗号文の出力は簡易的に以下のように考えることができます.
p[x] = 'plain text'
k[x] = 'key text'
c[x] = 'ciphe text' # 文字数合わせのため、誤字ではありません
table[28] = ABCDEFGHIJKLMNOPQRSTUVWXYZ{}
c[i] = table[(p[i]_index + k[i]_index) mod (table length)]
# ここでは _index は 対象の文字がtableの何文字目か を示しています.
今回の問題だと鍵(k)の長さは ? の数(12)、平文(p)の長さ(=暗号文の長さ)は 43 です.
良い解読手法を知らなかった/思いつかなかったので k は総当りで探し、p が示されている md5(p) と一致した場合に p を出力するスクリプトにします.(圧倒的勉強不足)
事前準備
今回のテーブルは上記の通り 'ABCDEFGHIJKLMNOPQRSTUVWXYZ{}' で、table 長は 28 です.
鍵を完全に総当りをすると 2813 (6502111422497947648 = 262 < 2813 < 2663)となってちょっとした時間がかかるため、事前準備として分かる箇所を出します.
p = SECCON{
c = LMIG}RP
上記から k = VIGENER (7 文字) であることがわかります.
確認できた内容と問題のタイトルからなんとなく 8 文字目は E っぽい(VIGENER(E) かな?)です.
ひとまず、平文すべてに暗号化を行う際の鍵は以下と仮定します(8文字目(Rの次)の E が不確定).
k = VIGENERE????VIGENERE????VIGENERE????VIGENER
次に残りの4 文字の ? について総当りします.脳直スクリプト
% python vigenere_dec.py
SECCON{ABABABCDEDEFGHIJJKLMNOPQRSTTUVWXYYZ}
正解でした.
Anti-Debugging
bin というファイルをダウンロードし、フラグを見つけ出せ、という問題です.
とりあえず file と strings を叩きます.
% file bin
bin: PE32 executable for MS Windows (console) Intel 80386 32-bit
# 以下はコメントです
% strings bin
!Enjoy CTF! . # 楽しんでますよ
Richw0B
.text
`.rdata
@.data
.rsrc
(中略)
ollydbg.exe
ImmunityDebugger.exe
idaq.exe
Wireshark.exe
Input password >
I have a pen.
Your password is correct.
But detected debugger!
(But 〜 系が続くため省略)
But detected Debugged.
;aj&@:JQ7HBOt[h?U8aCBk]OaI38 # flagっぽい
check!
password is wrong.
(中略)
Process32Next
Process32First
CreateToolhelp32Snapshot
(アンチでバッグで使用する関数や DLL とかその他諸々. 以下省略)
「Input password >」「I have a pen.」から、起動したらパスワード入力のルーチンがありそうです.
また、アンチデバッグ機能はある程度含まれている模様.
そのあとに暗号化してある文字列を復号してどこかしらに出力してくれる流れでしょうか.(そうであってくれという願望)
Wireshark を検知しているところを見ると通信も見せたくないのかな?なんてことも頭に入れておきました(意味はありませんでした).
とりあえず見た感じアンチデバッグには少なくとも IsDebuggerPresent とプロセス名での検知がありそうです.
ひとまずバイナリエディタで見つけた文字列の exe を ex_ と変更しておきます.(要らない)
次に、おもむろに IDA で bin.exe (拡張子 .exe を付加) を開き、デバッグしていそうなところを特定します.
「Input password >」で検索.
OllyDbg で飛ぶとこんな感じです.
下の方にアンチデバッグしている箇所がちょいちょいあり、フラグを書き換えるのがめんどくさいので暗号文を用意しているっぽい箇所に飛んでみます.
# 00401663 に New origin here
ちょっと動かしてみると for で回っていることがわかります.
めんどくさいのでひとまず MessageBoxA の直後にソフトウェアブレークポイントを設定、F9.
出ました.
flag : SECCON{check_Ascii85}
簡単な感想
Webに触れたかった...
あとuncomfortable webは脆弱性のある kernel だったら権限昇格して楽にささっと解けるかもなー、と思ってバージョンとか見てみたけどダメだったので諦めました.
# CentOS 6.8 2.6.32-642.11.1.el6.x86_64、2016/11/19 にリリースなんですよね...くそう.
以上です.
2016/04/21 セキュリティニュース関連一覧 + その他
ニュース
日本テレビで不正アクセス発生
弊社ホームページへの不正アクセスによる個人情報流出の可能性について
日テレのサイトから43万件の個人情報が流出か - ITmedia ビジネスオンライン
日テレHPに不正アクセス 個人情報流出か|日テレNEWS24
日テレに不正アクセス 視聴者の情報43万件流出か | NHKニュース
日テレHPから最大43万件の個人情報流出か 不正アクセスで - 産経ニュース
日本テレビWebサイトへの不正アクセスについてまとめてみた - piyolog
マルウェア関連
The Vulnerable Space: Malware - Analysing and Repurposing Spartan's CVE-2015-7645
SpyEye Makers Get 24 Years in Prison — Krebs on Security
TeslaCrypt 4.1b Released with Few Modifications
InfoSec Handlers Diary Blog - Decoding Pseudo-Darkleech (#1)
病院がランサムウェアに狙い撃ちされる“簡単で奥深い”理由 − TechTargetジャパン セキュリティ
Multigrain PoS malware exfiltrates stolen card data over DNSSecurity Affairs
Fake Social Button Plugin Redirects to Angler EK
サイバークライムアナリストが明かす標的型攻撃の実像 - 手法再現で理解する、標的型攻撃を受けた端末は一体何をされるのか(2):ITpro
その他気になったニュース
ASCII.jp:カスペルスキー、日本で「インテリジェンスサービス」提供開始
カスペルスキー、攻撃の検知・対処やセキュリティ教育などを提供する法人向けセキュリティインテリジェンスサービス - クラウド Watch
「防御」「予見」「発見」「対処」4つのプロセスを包括的にカバー:カスペルスキー、脅威情報やマルウェア緊急解析といったサービス群を提供 - @IT
---
パナマ文書、米司法当局が関連犯罪の捜査開始 欧米報道 :日本経済新聞
パナマ文書、租税回避21万社公表へ…報道団体 : 国際 : 読売新聞(YOMIURI ONLINE)
---
被災地の渋滞・通行止めを表示 トヨタ「通れた道マップ」をアップデート - ITmedia ニュース
Tech TIPS:【まとめ】Windows版QuickTimeを見つけてアンインストールする - @IT
CTC&HPE 仮想化エキスパートが提言:「インダストリー4.0」を見据え──今、なぜ「OSとアプリケーションの分離」が叫ばれているのか - @IT
マイナンバーカード「ワンカード化」に向けたソリューション発表 - NEC | マイナビニュース
ネット掲示板で上越市立南川保育園に放火予告 警察や市が警戒|上越タウンジャーナル
報道発表資料:「最近の航空システム障害概要とサイバーセキュリティについての共有会議」の開催 - 国土交通省
鎖国機能搭載のWi-Fiルーター「SAKOKU」、プラネックスが発売 -INTERNET Watch
セキュリティ対策は"目的志向型"で実装しよう――多層防御による各対策例 (1/3):EnterpriseZine(エンタープライズジン)
【プレスリリース】シマンテック、「インターネットセキュリティ脅威レポート 第21号」を発表 - INTERNET Watch
脆弱なデバイスが4億2千万台、「アンドロイド・セキュリティ報告書」公表 | Forbes JAPAN(フォーブス ジャパン)
【セキュリティ ニュース】米国でも災害便乗のサイバー攻撃に警戒強まる - 日本やエクアドルでの地震発生受けて(1ページ目 / 全2ページ):Security NEXT
現代戦争はまずサイバー攻撃、インテカー斎藤氏 - 日経テクノロジーオンライン
サイバーセキュリティー人材を増強-総務省が年1000人規模で演習 | 政治・経済 ニュース | 日刊工業新聞 電子版
証拠保全ガイドライン第5版 | ホーム | デジタル・フォレンジック研究会
Anonymous presented OnionIRC, a chat service in the Dark WebSecurity Affairs
VWの「ディーゼルゲート」事件の不正ソフトウェアはアウディが1999年に開発していたものと報じられる - GIGAZINE
ASCII.jp:クラウド活用は危険!? サイバー犯罪者がデータを探す場所とは
「Pythonエンジニア育成推進協会」が2016年7月に設立予定、技術の習熟度を問う資格のベータ試験を2016年夏から開始:CodeZine(コードジン)
オラクル、定例パッチを公開--Javaなど49製品の脆弱性136件を修正 - ZDNet Japan
Dropbox Announces End of Support for Windows XP
中国、豪にサイバー攻撃か=首相会見、発信源言葉濁す:時事ドットコム
ニュース - 欧州委がGoogleに異議告知書送付、「Android」で競争阻害と判断:ITpro
(PDF)NCC Group Whitepaper Understanding and Hardening Linux Containers
neonprimetime security , just trying to help: XSS Cookie Theft
日本型セキュリティの現実と理想:第21回 戦艦大和の防御構造に学ぶ効率的な守り方(後編) (1/3) - ITmedia エンタープライズ
システムインテグレーションとセキュリティ(3):「イントラWebアプリケーションのセキュリティ」、大丈夫ですか? (1/3) - @IT
趙 章恩「Korea on the Web」 - サイバー選挙不正監視団に個人生放送──韓国の選挙運動はインターネット中心:ITpro
図解で手口を学ぶ「脆弱性」セキュリティ - 図解でわかるSQLインジェクション:ITpro
Cisco Talos Blog: Oracle OIT Image Export SDK libvs_pdf XRef Index Code Execution Vulnerability
ブログ等
https://gist.github.com/cure53/33fff6e38d256909c46a4b1ff9a534f4
2016/04/20 セキュリティニュース関連一覧 + その他
ニュース
脆弱性/アップデート関連
Oracle Critical Patch Update Advisory - April 2016
April 2016 Critical Patch Update Released (The Oracle Software Security Assurance Blog)
Oracleの定例アップデート公開、データベースやJavaに深刻な脆弱性 - ITmedia エンタープライズ
---
脆弱な「QuickTime for Windows」を削除すると「Creative Cloud」利用に一部不具合 - ZDNet Japan
Windows版のQuickTimeはアンインストールを、US-CERTが注意喚起 - Computerworldニュース:Computerworld
図解で手口を学ぶ「脆弱性」セキュリティ - 図解でわかるHeartBleed:ITpro
JPCERT コーディネーションセンター Weekly Report
マルウェア関連
2015年のサイバー犯罪は記録的、ランサムウェアが進化した:ウェブルート - ZDNet Japan
新種マルウェアは毎日100万円の札束を積むような事態――シマンテック - ITmedia エンタープライズ
"Multigrain" PoS Malware Exfiltrates Card Data Over DNS | SecurityWeek.Com
Macでも見つかったランサムウェア--事前防御がカギ - ZDNet Japan
Let's Analyze: Dridex (Part 2) | MalwareTech
サイバークライムアナリストが明かす標的型攻撃の実像 - 手法再現で理解する、標的型攻撃を受けた端末は一体何をされるのか(1):ITpro
パナマ文書関連
Panama Papers – How Hackers Breached the Mossack Fonseca Firm
パナマ文書をリークした不正調査ツール 国家間での情報戦争でも活用 Nuix Investigator Labの正体に迫る! WEDGE Infinity(ウェッジ)
その他気になったニュース
仙台放送が「関テレ中継車のGS割り込み」に関する虚偽の投稿でお詫び / なぜ偽りのツイートをしたのか? 仙台放送に尋ねた | ロケットニュース24
仙台放送:関連会社社員が虚偽ツイート 関西テレビ問題で - 毎日新聞
仙台放送、関連会社社員の虚偽ツイートを謝罪 関テレ中継車の割り込み給油めぐり - ITmedia ニュース
関テレ中継車の割り込みめぐり虚偽ツイート 仙台放送、関連会社社員の行為を謝罪 - ITmedia ビジネスオンライン
---
セキュリティエンジニアを将来の夢にしているのですが現在高2なの... - Yahoo!知恵袋
「セキュリティエンジニアになるには?」 「知恵袋」で高2が質問、業界トップから回答続々 - ITmedia ニュース
「セキュリティエンジニアになりたいのですが」―― 現役高校生のYahoo!知恵袋にセキュリティ界のアベンジャーズが次々集結する胸熱展開に - ねとらぼ
---
ゴールデンウィークにおける情報セキュリティに関する注意喚起:IPA 独立行政法人 情報処理推進機構
ゴールデンウィークでもランサムウェアにご注意――休暇でのセキュリティ対策 - ITmedia エンタープライズ
---
ボランティア詐欺など、熊本県警が地震関連犯罪で注意喚起 - ITmedia ニュース
熊本地震、iPhone生産に影響も ソニーの画像センサー工場が停止 (1/2) - ITmedia ニュース
---
Hacking Teamはどのようにしてハックされたのか?: Cyberlaw
弊社WEBサイト接続障害復旧のお知らせ - プレスリリース・お知らせ | 会社情報 | 株式会社セキュアブレイン
(PDF)ASERT Threat Intelligence Report 2016 - 03 The Four - Elemen Sword Engagement
米グーグル調査へ=携帯OSで独禁法違反疑い-欧州委:時事ドットコム
東日本震災支援団体装い詐取容疑 男6人逮捕、警視庁 - 共同通信 47NEWS
There are 12 Pinoys in heist –Dhaka | Inquirer News
SS7 hack explained: what can you do about it? | Technology | The Guardian
地下鉄で撮影された写真からSNSを特定してプロフィール写真と比較される「Your Face Is Big Data」 - GIGAZINE
山中真アナの弁当が熊本でメジャーな「おべんとうのヒライ」のものと特定されてやっぱり被災地で手に入れたものと確定 | netgeek
「Androidのユーザーを守った」、Googleがセキュリティ状況を報告 - ITmedia エンタープライズ
IoT普及で高まるサイバー攻撃の脅威 (1/2ページ) - SankeiBiz(サンケイビズ)
伝説のハッカー、テスラ幹部を引き抜き 自動運転カー実現へ | Forbes JAPAN(フォーブス ジャパン)
トレンドマイクロ、プレゼンだけで新卒採用の選考 :日本経済新聞
【プレスリリース】次世代のサイバー脅威の様相と標的型攻撃の傾向を探る「ウェブルート脅威レポート2016」発表 - INTERNET Watch
AWS、「Amazon Inspector」の一般提供を開始--「Amazon EBS」の新規オプションも追加 - ZDNet Japan
アメリカ軍、ISへサイバー攻撃:かく乱や制裁を目的としてサイバースペースを攻撃する段階へ | InfoComニューズレター
米最高裁、Googleブックスの書籍スキャンを公正使用と認定 | TechCrunch Japan
(耕論)アップル対FBI マイケル・ズウェイバックさん、板倉陽一郎さん、高木浩光さん:朝日新聞デジタル
[今月の技術トピック] ママ、Active Directory ってもういらなくなるの? | IT プロフェッショナルのみなさまへ
Google Developers Japan: Android Studio 2.0
How-To Disable Windows Script Host | News from the Lab
From CSV to CMD to qwerty | Explore Security
On Web-Security and -Insecurity: DTD Cheat Sheet
キヤノンITS、サイバー攻撃に“強い”UTMを中規模企業向けに発売 - ITmedia エンタープライズ
CNN.co.jp : iPhoneのロック解除で新情報、捜査進展と主張 FBI - (1/2)
セキュリティ・テクノロジー・マップ(2):「サーバにおけるアクセス制御」の基本――ネットワークで防ぎ切れない脅威からサーバを守る (1/2) - @IT
アップル、中国のソースコード開示要請を拒否=法務担当 | ロイター
サイバー防衛、自治体一丸 京都府、全域を一括監視 :日本経済新聞
Kippo and dshield - SANS Internet Storm Center
Amazon上で書籍関連の詐欺的行為が横行、被害者はAmazonではなくアマチュア小説家たち - GIGAZINE
支援に活用を ツイッター情報を分析し地図上に | NHKニュース
ブログ等
WEB+DB PRESS Vol.92で「Linuxコマンド入門」特集記事を書いた - mollifier delta blog
2016/04/19 セキュリティニュース関連一覧 + その他
ニュース
脆弱性/アップデート関連
QuickTime for Windows について
Apple、「QuickTime for Windows」のサポート終了を正式に認める | 気になる、記になる…
Windows Users: It’s Time to Dump Apple’s QuickTime - WSJ
【セキュリティ ニュース】Windows版「QuickTime」のサポート終了、映像製作現場に影響(1ページ目 / 全1ページ):Security NEXT
アップル、Windows版QuickTimeの終了を認める。AdobeはProRes代替コーデックにCineFormなどを推奨 - Engadget Japanese
QuickTimeのアンインストールで「ProRes」のデコードが不可に、アドビは「GoPro CineForm」の利用を推奨 -INTERNET Watch
---
JBOSS の脆弱性
320万台のコンピューターで「身代金ウィルス」配布元にされる脆弱性みつかる。うち約2100台からはバックドアも検出 - Engadget Japanese
JBossサーバ経由でランサムウェアに感染させる手口が横行、対応策は? - ITmedia エンタープライズ
Talos: 3.2 million machines vulnerable to malicious JexBoss exploit tool - SC Magazine
3.2 MILLION SERVERS VULNERABLE TO JBOSS ATTACK
---
電話番号さえあれば傍受が可能--新しいセキュリティ不具合が明らかに - ZDNet Japan
図解で手口を学ぶ「脆弱性」セキュリティ - 図解でわかるバッファーオーバーフロー:ITpro
マルウェア関連
ランサムウェア「Jigsaw」に感染してみました & 復号メモ | (n)inja csirt
---
Python-Based PWOBot Targets European Organizations
Top Alexa Web Site Spreads Locky Ransomware - Cyphort
Magnitude EK Activity At Its Highest Via AdsTerra Malvertising
CryptXXX: New Ransomware From the Actors Behind Reveton, Dropping Via Angler | Proofpoint
PowerShell、Windowsマルウェア開発ツールとして悪用の傾向 | マイナビニュース
その他気になったニュース
(PDF)脆弱性診断士(プラットフォーム)スキルマップ&シラバスについて : OWASP Japan
(PDF)脆弱性診断士(プラットフォーム)スキルマップ&シラバス第1.0版 : OWASP Japan
---
ニュース - NEC、マイナンバーカード活用支援で2018年までに売り上げ100億円目指す:ITpro
マイナンバー、総務省がシステムの利用制限を要請 :日本経済新聞
セコム、マイナンバーの流出経路を封鎖する専用端末を販売 | マイナビニュース
---
経団連、欧州案に反対=課税逃れ対策で-パナマ文書:時事ドットコム
パナマ大統領、口座情報共有「18年までに」 税逃れ対策 :日本経済新聞
Exploit kit writers turn away from Java, go all-in on Adobe Flash • The Register
APT TARGETING TIBETANS PACKS FOUR VULNERABILITIES IN ONE COMPROMISE
我が社に必要なセキュリティ人材が分かる資料、JNSAが7年ぶり改訂 - ITmedia エンタープライズ
元MIT学生が開発したツール、Webアプリの脆弱性を1分で発見 | マイナビニュース
【チャイナネット事件簿】 中国版YouTuberにブームの兆し/中国国内でのドメイン取得を義務化へ ほか〜2016年3月 - INTERNET Watch
不正プログラムでオンラインゲームのID入手 容疑の男逮捕/蕨署
Amazonの偽サイト「amazon-co-jp.pw」が出現 個人情報を盗まれる可能性 - ライブドアニュース
熊本地震の地域で、データ通信の速度制限解除や容量の追加を発表--ドコモ、KDDI、ソフトバンクら - CNET Japan
著作権侵害、誘導リンクもダメ 知財計画に盛る :日本経済新聞
孫子に学ぶスピアフィッシング対策5つの秘訣|ユージン・カスペルスキーのサイバー兵法|ダイヤモンド・オンライン
DDoS攻撃もサービス化! 被害を受けたSTB 辻氏が語る対策法 - A10 Forum 2016
UFO墜落、エイリアンを生け捕り…米ニューメキシコ | オカルトNEWS★かすぽ
ロシア、サイバー攻撃でGDPの0.33%(約3590億円)を失う! : 軍事・ミリタリー速報☆彡
サイバー戦争“和平”合意に効果あり?!中国発の攻撃が明らか... - Record China
フェイスブックを悩ませる「スパム・ボット」大増殖の可能性 | Forbes JAPAN(フォーブス ジャパン)
有名人ゴシップサイトのThe Shade Room、Facebookページ停止でフォロワー400万人を失う | TechCrunch Japan
【関西の議論】「イルカ・クジラ漁」標的にサイバー攻撃、アノニマスが“宣戦布告”…陰湿な嫌がらせ新段階へ(1/3ページ) - 産経WEST
半径300メートルのIT:これだけは知っておきたい、被災時のスマホ活用術 (1/2) - ITmedia エンタープライズ
スピン経済の歩き方:災害取材を行うマスコミが、現地で非常識な行動をとる理由 (1/5) - ITmedia ビジネスオンライン
90億円詐取、外国人20人関与=中銀の不正送金被害-バングラ:時事ドットコム
「戦争法阻止 全国2000万署名へ」と封書 県立高の元教諭、卒業生300人の住所録をコピー 学校は謝罪(1/2ページ) - 産経ニュース
国家公務員、家で仕事可 政府方針、専用端末で :日本経済新聞
Google Compute Engine、全世界のリージョンが同時に外部とのネットワーク接続を失うという深刻な障害が発生。ネットワーク管理ソフトウェアにバグ - Publickey
How Hacking Team got hacked | Ars Technica
5歳の子どもが難解で退屈な「プログラミング」をロボットで楽しく理解できる学習システム「Root」 - GIGAZINE
自転車フレームへ不正にモーターを内蔵しているのをサーモカメラで発見 - GIGAZINE
170万ものサイトをホストしていたレンタルサーバー業者が間違ってサイトデータを消去 - GIGAZINE
MIT、サイバー攻撃の85%を検知する人工知能プラットフォーム「AI Squared」を発表 - ZDNet Japan
iOSが「セキュアで使いやすい」のはiPhoneのロック解除が1日平均80回も行われているから? - GIGAZINE
ビル・ゲイツ氏「米政府の秘密調査に制限を」、顧客データめぐり | ロイター
Escaping The Avast Sandbox Using A Single IOCTL | Nettitude
ラック、新潟県のサイバー犯罪対策支援のため、新潟県警と共同対処協定を締結 | ニュースリリース | 株式会社ラック
記者の眼 - 事前準備ゼロで「情報セキュリティマネジメント試験」を受けてみた:ITpro
米連邦議員のiPhoneをハッキング!通話、メール、位置情報まで丸見えに! - iPhone Mania
サイバークライムアナリストが明かす標的型攻撃の実像 - 攻撃者視点で考えるサイバーアタック、異常すぎる「普通の動き」を検知できるかがポイント:ITpro
ニュース - 改正サイバー法が成立、国家資格「情報処理安全確保支援士」を新設:ITpro
ブログ等
AWSでのHTTP/2 or SPDY運用の課題とPROXY protocol - Hatena Developer Blog
Ranger - Tool To Access And Interact With Remote Microsoft Windows Based Systems
2016/04/14 セキュリティニュース関連一覧 + その他
ニュース
iPhone ロック解除の件 続報
FBIの「iPhone」ロック解除、ハッカーからの協力で成功か - CNET Japan
「FBI、ハッカー協力で成功」iPhoneロック解除:朝日新聞デジタル
ハッカーがFBI手助け=アイフォーンのロック解除-米紙:時事ドットコム
iPhoneロック解除ツールをFBIに提供したのはサン電子子会社ではなかったらしい - ITmedia ニュース
FBI paid professional hackers one-time fee to crack San Bernardino iPhone - The Washington Post
その他気になったニュース
(PDF)「JR九州アプリ」の不具合に伴うご利用の停止について
JR九州アプリに別会員の個人情報表示 利用停止と発表 - 西日本新聞
---
「Google Chrome 50」の安定版がリリース Windows XPなど旧OSのサポート終了 - ITmedia エンタープライズ
「Google Chrome 50」安定版公開、Windows XPなどのサポートが終了し通知機能が改善 - GIGAZINE
---
法律事務所から大量の電子文書押収、「パナマ文書」で家宅捜索 | ロイター
パナマ文書「震源地」に捜査の手 現地ルポ :日本経済新聞
---
(PDF)JPCERT/CC インシデント報告対応レポート(2016 年 1 月 1 日 ~ 2016 年 3 月 31 日)
Ralph Boehme joins SAMBA CoreTeam - SerNet
パスワードの別送に意味はある? - 10の疑問を試して解明 セキュリティ大実験室:ITpro Active
DECRYPTION TOOL STIFLES JIGSAW RANSOMWARE
交流サイトきっかけで犯罪被害の子ども 過去最多 | NHKニュース
米セキュリティー大手が名古屋進出 製造業などサポート :日本経済新聞
スノーデン、iPhoneが年末までに世界規模で攻撃を受けると予言
Flashの緊急パッチ、今すぐ更新を : 科学 : 読売新聞(YOMIURI ONLINE)
韓国の選挙管理委員会のウェブサイトにサイバー攻撃―韓国紙 - Record China
JVNVU#92232364: Microsoft Windows および Samba の認証機能に脆弱性 ("Badlock")
車へのハッキング、ドライバーとメーカーへの注意喚起が持つ意味は(後) - 車へのハッキング、ドライバーとメーカーへの注意喚起が持つ意味...:Computerworld
[講演資料提供] OSS脆弱性の"裏事情" - OpenSSL等の脆弱性はなぜ収束しないのか?
LINE×サイボウズのバグバウンティ対談 - サイボウズとLINEが語る報奨金制度、脆弱性報告への報酬金額はどうやって決める? :ITpro
趙 章恩「Korea on the Web」 - 「line.co.kr」をめぐる訴訟、LINEが他社のドメインを奪った?それともサイバースクワッティング?:ITpro
社員1000人が毎日“顔パス”で出社、NECが実証実験 - ITmedia エンタープライズ
Matthew Keys: Journalist sentenced to 24 months for Anonymous-linked LA Times hack
【セキュリティ ニュース】サン電子のイスラエル子会社、サイバー犯罪捜査でインターポールと提携 - 携帯解析技術を提供(1ページ目 / 全1ページ):Security NEXT
米サイバー防衛強化委員会、前NSA局長や企業幹部らが参加 | ロイター
笑えぬ4月1日ネタ 三重大助教「再びサイバー被害」 :社会:中日新聞(CHUNICHI Web)
オバマ大統領ががMicrosoftやUberの出身者たちを国のサイバーセキュリティー委員会の委員に任命 | TechCrunch Japan
ブログ等
hiddenなinput要素のXSSでJavaScript実行 | 徳丸浩の日記
Masato Kinugawa Security Blog: hiddenなinput要素でユーザー操作を使わずにXSS
「東京スター銀行」のAndroidアプリでSSLサーバ証明書の検証不備も脆弱性が報告される、アプリのv1.4で修正 | juggly.cn
2016/04/18 セキュリティニュース関連一覧 + その他
ニュース
マルウェア関連
IPAにランサムウェア感染の相談急増――ファイル添付メールに注意:セキュリティ通信:So-netブログ
ブラジルのサイバー犯罪組織による初の「クロスプラットフォーム・マルウェア」が拡散 | THE ZERO/ONE
マルウェアの「家系図」作りに魅せられて―FireEye 松田亜矢子さん (1/3):EnterpriseZine(エンタープライズジン)
【Infostand海外ITトピックス】全米の病院が標的に 猛威振るい始めた新種ランサムウェア - クラウド Watch
世界のサイバー攻撃、23%は中国が発信源=ゾンビPCの増加が... - Record China
Kovter Click-Fraud Malware Evolves Back into Ransomware
2つのトロイの木馬が結合された「GozNym」が登場--米国の銀行などに被害 - ZDNet Japan
InfoSec Handlers Diary Blog - VBS + VBE
---
日立ソリューションズ、機械学習技術を利用したマルウェア対策製品「CylancePROTECT」を販売 - クラウド Watch
カスペルスキー、ランサムウェアへの対抗機能を備えたWindowsサーバー用セキュリティソフト - クラウド Watch
定義ファイル不要のマルウェア防御――HISOLとCylanceが提供 - ITmedia エンタープライズ
制御システムセキュリティ:未知の脅威を人工知能でつぶす、工場でも使えるマルウェア対策 - MONOist(モノイスト)
その他気になったニュース
熊本地震の取材中にテレビ中継車が給油待ちの列に割り込んだと判明し関西テレビ謝罪 - ねとらぼ
関西テレビ謝罪 中継車が熊本のGSで割り込み給油 批判殺到 (スポニチアネックス) - Yahoo!ニュース
---
Hacker who hacked Hacking Team published DIY how-to guide | Network World
The Vigilante Who Hacked Hacking Team Explains How He Did It | Motherboard
---
パナマ文書はなぜ流出したのか--企業が学ぶべき最大の教訓 - ZDNet Japan
---
ニュース - Apple、iPhoneロック解除要請で政府非難 裁判所に書類提出:ITpro
iPhoneロック解除協力、米政府は必要性証明せず=アップル | ロイター
---
Google、Chromeウェブストアの個人情報に関するポリシーを改定 -INTERNET Watch
Google、Chromeウェブストアのポリシー改定 違反アプリは7月15日から削除へ - ITmedia ニュース
---
平成28年熊本地震で被災されたお客さまに対するデータ通信容量10GB追加について | 2016年 | KDDI株式会社
ニュース - 熊本市内のBPOセンター、稼働停止や他センターへの移管が相次ぐ:ITpro
ニュース - 熊本市の税・社会保障システムがマシン室内の揺れで故障、データは無事:ITpro
ヤマト運輸のなりすまし 熊本地震の支援物資を呼びかける - ねとらぼ
弊社サーバーへの不正アクセス事象につきまして - 株式会社ECロボ
QuickTime for Windows の脆弱性に要注意 | トレンドマイクロ セキュリティブログ
ついにドローンが旅客機と衝突する事故が発生 - GIGAZINE
【セキュリティ ニュース】退学者などの個人情報がSNSに流出 - 大阪の府立高校(1ページ目 / 全1ページ):Security NEXT
ASCII.jp:企業規模を問わず情報セキュリティ責任者の設置を、IDCが提言 (1/2)
不正アクセスでカード情報397件が漏えいか。ECロボ運営の「OTTERBOX JAPAN」 | ネットショップ担当者フォーラム
Burp Suite Professional - release notes: 1.7.01beta
Google and Microsoft’s shortened URLs make it easy to spy on people – Naked Security
テロ対策で政府が国民監視を強化しても安全につながらない理由を説明するムービー「Safe and Sorry」 - GIGAZINE
著作権侵害サイトへのハイパーリンクを著作権法で取り締まれるようにする議論が進められる | スラド
ニュース - マイナンバーカード、総務省が自治体に「アクセス集中時間は交付前設定控えて」:ITpro
CNN.co.jp : 米ロ、サイバー問題で協議へ ウクライナ電力網攻撃受け - (1/2)
JBサービス、ウェブサイトの改ざん検知復旧サービス提供--WebARGUSの技術利用 - ZDNet Japan
セキュリティ投資は増加傾向も、6割超の企業が現状維持--IDC Japan - ZDNet Japan
CSIRTメモ - チェックしておきたい脆弱性情報<2016.04.18>:ITpro
図解で手口を学ぶ「脆弱性」セキュリティ - 図解でわかる脆弱性でひどい目に遭う理由:ITpro
ブログ等
CNET のログイン画面がセキュリティ的にとてもいけてない件 | Webセキュリティの小部屋