|| りんごのお味 || でこぽんリンク || りんごの味見 || りんごの聖地 || マクドサーバー ||

Security の覚え書き

数日前に発覚したカード情報大量流出事件。米国の支払いデータ処理業者が不正侵入を食らってデータのお持ち帰りを許してしまったことから始まるのだが、当初の被害規模数万件レベルから日を追うに従い4,000万人分の規模にまで膨らんでしまった模様。

MasterCard Internationalは米国時間17日、4000万件を超えるクレジットカード情報が盗まれた可能性があると発表した。 MasterCardによると、情報が流出したカードのうち、約1390万件が同社ブランドのもので、このほかVisaのクレジットカード約2000万件に関する情報も盗まれており、またAmerican ExpressやDiscoverを含む他のカードにも被害が及んでいるという。

何処からどれぐらいの規模の情報が漏れたのかは上のニュースを読めば何となくイメージ出来るのだが、原因としては下のニュースの方が詳しい。

約4000万件のクレジットカード番号が流出した事件で、数週間前にサードパーティーの決済処理会社CardSystemsから盗まれた記録は、本来なら同社で保存してはならないものだったと、同社のCEOがNew York Times紙に語った。 同紙によれば、事件は4月半ば、MasterCard Internationalが不正利用の異常な増大に気づいたことが発端となって発覚した。盗まれた記録は、流出した疑いのある4000万件のうち20万件を含め、「研究目的」でCardSystemsのコンピュータファイルに保存してあったと、CEOのジョン・ペリー氏は同紙に語っている。 (snip) 記録を保存したのは、一部取引が許可されなかったり完了できない理由を究明するためだったという。

ということで、漏れたのは「カードの利用に対して承認が降りなかった」シト達の情報ということになりそう。これはこれで漏れちゃったシトってのが表だって明確になっちゃうとさらに困ったことになっちゃうんじゃないかと思ってしまふ。所謂、レッドリスト手前ぐらいのものが漏れちゃった…という感覚に近いのかな。くわばら、くわばら。

| コメント(0) | トラックバック(0) |

個人的には「どんどんやれーぃ!」なんだけど、対象となった方はたまったもんじゃないね、これは。

ウイルスや不正アクセスによって、企業のコンピューターシステムが攻撃されることが増えているため、総務省は、専門家で組織した「官製ハッカー」を出動させ、企業にサイバー攻撃に対する「演習」をしてもらうことにした。本物のハッカーになりすまして通信企業の心臓部であるサーバーなどの設備を狙う。大規模なネット障害に対応できる人材の増強や、防御に弱い部分をあぶり出して企業の対策作りを促すのが目的だ。

これじゃ弱小過ぎてセキュリティコンサルを入れられない企業の救済策にしかなってない様な。モロに民間のサービスと被っちゃってますけど、いいんですかね?それよりもお国がやることなんだから、超強力な権限とツールを持たせて不特定多数にぶつけた方が効果あると思うんだけどなぁ。でもって穴っぽこ開けっ放しで営業してるところには「業務停止命令」を出せるようにしとくと。これぐらいしなきゃ上の方の意識も変わらないだろうし、対策だって何時までたっても改善されることも期待できないし。そういった意味では啓蒙になるし、危機感を煽って強制的に対策させるいい機会だと思うんだけどねぇ。

もっと過激に言わせて貰えば、こういった基本中の基本を怠ったままオマンマを食えてしまう…という錯覚を叩きつぶしておくのが吉。セキュリティ対策とか、基本的に絶対的に必要となる部分を端折ると飯食えないことを徹底的に国が指導してやれば良い。それで飯が食えなくなるのだったら被害者を出す前に鞍替えしてください、なんだよ。危険な落とし穴で営業されるくらいなら最初から国民に「これは落とし穴ですよ」って公表しておけばいいのだから。危険と判っていてその危険なサービスを利用するのは自己責任だものね。

| コメント(0) | トラックバック(0) |

人間の頭脳の出来、即ち頭の良さというものは概ね小学校の高学年時の成績に現れる。中学、高校、大学の「如何に勉強だけ出来たか」ではなく、小学校高学年の成績がそのまま頭の良さとなってくる。それを考えると、中、高、大の成績なんて「どれだけ勉強しました」ってものに過ぎないのに対し、今回の「全児童名簿流出」なんてのはそのまま個人の頭脳が世に提示されちゃったに等しいことだったりする訳で。

愛知県一宮市の市立小学校の03年度の全校児童535人と教職員の名簿などがインターネット上に流出していることが1日分かった。 児童名簿には住所や電話番号のほか、保護者や兄弟の名前など個人情報が詳しく記載され、複数の教科でクラスごとに一覧にした成績表も流出していた。

こういったものを企業の人事関係者が手に入れていたらどうだろう。さらには興信所が手に入れていたら…。この名簿の成績で高学年時に思わしくない成績が付いていた該当者は一生、影響を受けてしまうということにならないだろうか。少なくとも、500円ポッチの金券で済まされる話ではないと思うのだが。個人情報の漏洩はそれぐらい他人様に与える影響が大きいことを世の中はもっと自覚するべきだと思うんだけど。

全児童名簿流出:ウィニーで感染、成績表も 愛知の小学校(MSN-Mainichi INTERACTIVE 今日の話題)

| コメント(0) | トラックバック(0) |

これは何のことを指しているかというと、Webページなどでmailtoでリンクされた文字列をクリックすると自動的にメーラーが立ち上がり、新規作成する画面が出るのだが、このリンクの部分にBccやCcといったものも指定出来てしまうことから知らない内にBccなどへもメールが送られてしまう…という問題。

Cc: や Bcc: を含ませた mailto: URL をたどった場合に、Cc: や Bcc: が存在することに気がつかない (表示されない、気がつきにくい等) ままメールを送ってしまうメールソフトがある、という話の模様。 RFC2368: The mailto URL scheme にはこんな文章もあるそうで

早速ですけど「Becky! Internet Mail Ver.2 (2.21.02)」が出てます。この辺の対応早いね。あと要望としては、本文中のURIをクリックした時に出るアラート。これ設定で出ない様にできないものでしょうか。自分が知らないだけなのかしらん。

| コメント(0) | トラックバック(0) |

呆れるというか、アホらしくてコメントさえする気にならないのだが、こんなことがまかり通って良い訳ないのでメモ。

今回の事件では,サイトへ登録しているユーザーのメールアドレス2万2511件が搾取されたが,「サーバーのOSにはパッチもあてていたし,アプリケーションの構造にも問題はないため,当社に過失はない。スパム対策のサポートサイトを立ち上げるなど,被害のサポートはするが,自社の内部理由による被害ではないので,個別の補償はしない」(穐田氏)とした。

事の発端は「最高レベルのセキュリティが破られた」なんてふざけたコメントから始まっている。その最高レベルのセキュリティってのは「SQLインジェクション」のような「初歩的」な手法で破られている訳で。

そもそも、「自社の内部理由による被害ではない」なんて言い切ってるあたりが既に重大過失なんですが。SQLインジェクションが通ってしまうアプリケーションはこの会社の内部のシステムのはずなんですがね。そういった「欠陥」アプリケーションをネット上に晒していた訳だから、当然それを使われると「加害者」になるんですな。その辺の理解がゼロだということは周りも理解しておく必要があると。

| コメント(0) | トラックバック(0) |

ほんとに新手だ。

ユーザーのPC内のファイルを開けなくしておき、解決したければ送金しろとメッセージを残す、IEの脆弱性を悪用しした新手の攻撃が発見された。

同僚のデスクトップを勝手にPWD付きのスクリーンセーバー仕掛けて解除したければおごれ…というのの高等版というか、NTW版だよな、これって。そもそもデータをNASに突っ込んでおけば、データそのものは被害を受けない様な気もしますけど、どうなんでしょうね。

| コメント(0) | トラックバック(0) |

そもそも、拡大している訳ではなくて、後になって気付いただけの話でしょうに。

価格.comのWebページが不正アクセスを受け、脆弱性のあるWindows PCにウイルスを埋め込むよう改ざんされていた事件が明るみになったが、同様の不正アクセスは他のWebサイトにも広がっている。

早い話が、Win系サーバで公開しているところは軒並みやられてるって思った方がいいと書けばいいのに。注意するべきは利用者側(PC)ではなくて、Win系サーバなんぞで運用している方なんだってば。利用者に云々するよりも、サーバ側をさっさと公開停止勧告出してインターネットから切り離させる方が先決。改竄が確認できるまで繋いじゃ駄目ってのが筋でしょうに。折角MSさんがパッチ出してるんだから、全部パッチ充てなきゃ公開しちゃだめよ、ってのがルール。それでプログラムが動かなくなるならそれはそれでプログラムがタコなだけ。元々のプラットフォーム選びの時点でそれが理解できていない時点で自業自得なんだけどねぇ。

| コメント(0) | トラックバック(0) |

あらら、これは確信犯でしょうなぁ。

価格比較サイト「価格.com」が5月11日ごろから不正アクセスを受けて一部が改ざんされた上、同サイトを媒介にウイルスがばらまかれたため、カカクコムは14日から同サイトを一時閉鎖し、セキュリティ対策を施している。復旧には1週間程度かかる見通し。同社が保有するメールアドレスが閲覧された形跡もあるという。 (snip) 5月11日にプログラムの異常が発覚し、調査した結果、不正アクセスが判明。警察と相談しながら24時間監視体制をとって影響や対抗策、犯人調査を続けてきたが、不正アクセスがやまず、改ざんの範囲が拡大したためサイト閉鎖に踏み切った。

メーカさんにとっては戦々恐々なサイトですから、それなりにぶつかっちゃうところはあるんでしょうし。監視してたって書いてるぐらいだから、それなりに目星はとっくに付いてるんだしょう。さっさと晒しちゃってくださいませ。

| コメント(0) | トラックバック(0) |
見てみれば分かるんだけど、blog界隈のコメントスパム、トラバスパムの総本山なんじゃないかと思ってみたりとか、Bot NTW作って操ってるのはこ奴らなんじゃないかと思うんだよね。

ITmedia エンタープライズ:Googleのスペルミス悪用サイト、アクセスするとPC乗っ取り
GoogleのURL入力ミスに付け込んで、「Googkle.com」というサイトで不正コードがばら撒かれているという。セキュリティ企業のF-Secureがこのほど詳しい情報を公開した。
Win+IEなんか使ってるシトは絶対に踏んじゃいけないURIなのでご注意を。実際に「googkle.com」を見てみると、件のrefererスパムに登場するwordがゴロゴロ並んでる。でもってソースを拝見すると「msmn.com」なんてのまであったりして、実際にそこも前者と同じだったりするんですね。pop upのページは別のサイトに置かれてて、「toolbarpartner.com/adverts/test3/page1.htm」なんてページが開くように書かれてるんだけど、ソースを見るとまたおかしなものが書かれてます。ちなみに、これ作ったシト、HTMLのお作法をご存じなさそう。<BODY><HTML>○○○</BODY></HTML>って書いてますけど…。そうそう、先のソースにある「ntsearch.com」ですが、Dirが丸見えになっているのは気のせいでしょうか。色々とlogは溜まっているようですが…。ただし、この中にマルウェアパッケージがいるようなのでご注意を。
| コメント(0) | トラックバック(0) |
結局、どういった経路で誰がばらまいちゃったか判らないのね。

個人情報保護 :ITビジネス&ニュース
流出したのは、2000年10月―04年12月に年間パスを購入した12万1607人分の氏名や住所、電話番号など。都内の名簿業者が持つ顧客リストの内容が、同社保有のデータと一致したことから、情報流出が確実と判断した。流出経路は社内データに接触できる社員や委託業者の可能性があるが、操作記録の保存が不十分で特定できなかった。
ログがきちんと残ってないってのも問題と言えば問題だろうに。そもそも、そういった様なところが個人情報を集めていることが大問題。って、気がするんですけど。
| コメント(0) | トラックバック(0) |
昨日、時間が無かったので慌てて書いてそのまま放ったらかしにしてしまったが、件のページは「技術に出来ること」に焦点を絞って書かれている。読み方によっては、否定してしまう様な書き方にも取られかねないことを反省。確かに、社会の中で、優れた技術はほんとに素晴らしいものであり、また、それによって助けられることも多いと思う。また、それらを運用する側も、開発する側も、こういった落とし穴に注意することが肝要であることも事実だろう。だからこそ、技術で終わらず、本質、即ちものの見方、ITをどう捉えるか、利用するか、何が危険かを周知徹底することが必要だと思った。これが徹底されていれば、利用者はそれがどんなに素晴らしいものであろうが、昔からある古典的なものであろうが関係ない。安全でさえあればいいのだよね。目的を達するには、世の中一般に技術の話は関係ない。重要なのは目的を達しているか、条件を満たしているかだと思う。
| コメント(0) | トラックバック(0) |

さぁ、問題です。セキュリティ…って、何ですか?ぱっと答えられますかねぇ。

高木浩光@自宅の日記
「運用」のうち最も重要で解決が難しいのは、使用して いる技術に欠陥が見つかったときの対処である。
高木氏は述べられているが、もっと根本的なところから押さえないと駄目なような気がする。元々、セキュリティってのは、技術が解決してくれるものではないと思うんですよね。携わるシトがどれだけモラルがあり、正義感が高く、真面目か。これは技術者だけでなく、運用に携わるシトの問題。また、利用するシトの問題。これらを解決するには幾ら素晴らしい、完璧な技術をもってしても不可能。技術ってのはシトが使うもの。利用者が使わさせられるものではないですよね。早い話が、啓蒙、教育、規定、罰則をキチンと整備しろってこと。例えば、氏の例で出されているので同じく使わさせて頂くが、アドレスバーを隠すフォーム。これ、個人情報保護法でキチンと禁止しておけば良い。個人情報を収集するのに、受け取り側が所在を隠すなんざ以ての外、という意味。利用者に示すべき情報を故意に隠しているという判断が成り立とうというもの。んでもって訴訟をおこされれば即有罪とか賠償ン百万とかってことにしてしまえば良い。誰もやらなくなるって、あんなアドレスバー隠しみたいなお馬鹿なことは。あとは教育ね。学校でさっさと教えること。アドレスバー隠してるページはブラウザを可能な限り早く閉じること。これで良し。できるだけ早く日本の社会においてこういった風潮を作り上げることが必要なんじゃないのだろうかねぇ。
| コメント(0) | トラックバック(0) |
いやぁ、朝からよくこんなもんが来るもんだ。タイトルと中身と、それに肝心の「妊娠検査」の対象が♂ではないこところが破綻してるというか。

とある@mac.comのinbox
差出人: 県立白姫女子校保険室 <spnews@wecl-online.com>
宛先: <とある@mac.com>
日付: 2005.01.23, 07:23:32 JST
件名: 白姫女子校保健室からのおしらせ
 
この前の妊娠検査について県立白姫女子高校保健室からのお知らせです。
 
間違って受け取った方は、
お手数ですが、破棄してください。
お詫び致します。
 
該当する人は
下記リンクより入ってお知らせを確認して下さい。
http://just-feed.net/白姫/?unique_numbers
ということで、意外と効果薄いんじゃぁないだろうか、このスパム。この文章考えた香具師って、きっと毎日女子高生の妊娠検査結果に怯える毎日なんだろうなぁ、きっと。ぷぷぷぷな駄目駄目君なので晒し上げ決定。
| コメント(0) | トラックバック(0) |

ちょっと前に書いた没ネタの続き。「特定の場所」且つ「特定のブラウザ以外」からのアクセスをあぼーんする設定。なんか上手く動いてる気がするのでOpen。ApacheのApache module mod_setenvifSetEnvIfディレクティブを利用してあっちゃこっちゃ飛ばしまくるという荒技なり。

.htaccessの中身
SetEnvIf Remote_Addr 61.xxx.xxx.xxx/29 nolook
SetEnvIf Remote_Host foo.bar.jp nolook
SetEnvIf User-Agent Gecko !nolook
SetEnvIf User-Agent Firefox !nolook
order allow,deny
Allow from all
deny from env=nolook
deny from 220.xxx.xxx.xxx
…(snip)
<Files .htaccess>
deny from all
</Files>
ErrorDocument 403 http://www.google.co.jp/
ほんとは「…(snip)」のところに20行ぐらいズラズラと怪しげなIPからいやーんなポイントなどが列記されてるのだが、書式には影響を受けないので省略。特定のブラウザとは、自分が使ってるブラウザという前提で書いているので、例えばFirefoxなんかでUser Agent Switcher Extensionなんかを使ってオリジナルな名前を語っておけば、自分だけがアクセス出来るようになるとかの転用が効く。あくまでも「特定の場所からは…」といったある意味特殊なシチュエーションでのお話。個人の関係が深い仕事関係からのみDenyといった使い方があるのかもしれず。ただ、その設定された環境から外れてしまえば意味無いんですけどね。
| コメント(0) | トラックバック(0) |
高木氏が「はてなダイアリー(何時まで残っているか分からないので敢えてリンクせず)」からコンテンツのお引っ越しをされて無事公開の運びとなった模様。題して高木浩光@自宅の日記とな。日本においてはこの方の意見無くば政府もろともIT関連に関して迷走しかねないだけに、こういった辛口の意見は絶対に必要なものだと思うんですけど、これが復活しただけでも良いかな、良いかな。先日も某所のナニ某において、某企業の慌てふためいた対応を目にしたばかり(記事の中にバッチリ書かれてた…)なので、やはりお目付役としては十分機能しているものと思われます。ということでひとまず祝福の辞。というよりは、感謝の辞…だな。
| コメント(0) | トラックバック(0) |

Author

たく@藤沢
Blog Facebook Custom RSS/Atom はてな Tumblr Twitter YouTube

覚え書きカテゴリ

▽で展開|△で折畳み

月別 アーカイブ

▽で展開|△で折畳み
CPU hour
MEMORY hour

このアーカイブについて

このページには、過去に書かれた覚え書きのうちSecurityカテゴリに属しているものが含まれています。

前のカテゴリはRaceです。

次のカテゴリはServerです。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

最近のコメント

  • たく: ちゃんとポスト出来るかテストさせてくだしあ。 続きを読む
  • ヌルポ: ぽろぽろ記事が出てみるみたいなので読んでみたところ 続きを読む
  • matsuo: その記事みたときは「かっこいい」とは思ったけど値段 続きを読む
  • ヌルポ: コメントありがとうございます。このコース、一回填っ 続きを読む
  • ヌルポ: あははは、やっぱり誰が見てもセコいですよねぇ。ほん 続きを読む

ddo.jp

アイテム

  • ソフトウエアアップデート
  • FOMA 充電機能付USB接続ケーブル 02とFOMA ecoソーラーパネル 01
  • ドコモから届いた品々
  • Xiにねん内訳
  • スリープボタンの壊れたiPhone 4Sと復活したP703iμ
  • ソフトウェアアップデート