2008年10月 Archives

RSA Conference Europe 2008でGoogleを利用した攻撃手法の指摘。
Googleを駆使したWeb攻撃が急増――セキュリティ専門家が指摘 : セキュリティ・マネジメント - Computerworld.jp

Impervaでは最近、GoogleのIPアドレスを使ってSQLインジェクション攻撃を実行する方法を発見したという。Shulman氏は同コンファレンスでこの攻撃に関するプレゼンテーションを行ったが、攻撃の仕組みについては詳細を伏せた。

　ただし、同氏はこの攻撃にGoogleの広告システムが関係していることを認め、Googleに通知したことを明らかにした。同氏は「（同攻撃は）攻撃者が匿名性を保てるうえに、Googleを自動化した攻撃エンジンとして利用できる」と語った。

　実際「Goolag」「Gooscan」といったツールを利用すれば、インターネット上を広範囲に検索して特定の脆弱性をスキャンし、こうした問題を抱えるWebサイトのリストを作成することが可能だ。

正規のWebサイトを検索結果から消し去ってしまう「サイト・マスキング」

Googleの検索エンジンは、コンテンツの重複したWebサイトにはペナルティを科し、一方がGoogleのリストから外れるようになっている。ハッカーはこれを利用し、プロキシ・サーバを通して新たなサイトを作り、正規Webサイトへのリンクを張る。

　Googleでは、プロキシのドメインにあるコンテンツをインデックス化してしまう。さらにほかのプロキシ・サーバを利用してこの作業が数回行われた場合、Googleは正規ページを「複製」だと判断し、インデックスから消去してしまうというものだ。

　シュルマン氏はサイト・マスキングを「企業にとってかなりやっかいな問題」と指摘したうえで、「Webサイト管理者がこのような攻撃を防ぐ手段としては、検索エンジンの正規IPアドレス以外からはインデックス処理ができないようにしてしまうことだ」と語った。

Webアプリケーションのセキュリティ対策はWAFが良いのかセキュアコーディングが良いのか、という不毛な議論はもうやめましょうよ、という記事。
WAF vs. Secure Code vs. Dead Fish | securosis.com

Dead Fishがなぜ出てくるのか、よくわからない。

書いたのは元ガートナーのアナリストだったRich Mogull。 以前からアプリケーションレベルのセキュリティを調査している。
PCI DSSの要件6.6でWebアプリケーションの保護手段として、コード検査かWAF導入かどちらか、と規定されたために起こっている混乱に疲れた、と言っている。

酔っ払ったケイジャン2人が、ガンボの中でエビか豚肉のどちらがより重要か言い合っているようなものであって、実際はどちらが欠けても台無しになる。

両方実施するだけの体力のない企業は、アプリケーションを抱えずにアウトソースするか、とりあえず検査を受けてみてその結果を見て検討するように勧めている。

開発フェーズと運用フェーズのセキュリティ対策が一元化できていないところが一番の問題だと思うんだけど、そこで必要なのは、まず組織的に開発とセキュリティが連携できることじゃないかな。

すっげー。
こんなのに追いかけられたら、たまらん。
東京じゃ使えないだろうけど。

転載記事

ランボルギーニ、伊警察に高級スポーツカーを提供

【10月25日 AFP】イタリアの自動車メーカー、ランボルギーニ（Lamborghini）が特別に安全仕様を施すなどした高級スポーツカー1台を同国警察に寄贈する。同社の広報が24日発表した。　今回......
≫続きを読む

ニューヨークタイムズのノンフィクションベストセラーのリストに、Ted, White & Blueが載っていた。
Hardcover Nonfiction - List - NYTimes.com

今週は9位、先週は8位だったらしい。
恐ろしい国だ。

テッド・ニュージェント著 「Ted, White & Blue: Nugent Manifesto」 - けにあmemo

この夏のコンサートツアーにおける興行収入の記事。
Economy can't cool summer tours: Earnings rise 5% - USATODAY.com

景気が良くないにもかかわらずツアーの収入は前年比5%アップ。
アーティストトップ10は...

1 Kenny Chesney - カントリーの人らしい。
2 The Police
3 Tom Petty
4 Dave Matthews Band
5 Bruce Springsteen
6 Billy Joel
7 The Jonas Brothers
8 American Idols Live
9 Neil Diamond
10 Rascal Flatts

なんか、おじさんたちががんばってるなあ。
ブルース・スプリングスティーンまでやってるんだ。
7 The Jonas Brothersはさわやかポップの若者たちで、期待を上回る成功らしい。

SQLインジェクションによるWebサイト改竄の記事。
AdobeのWebサイトがSQLインジェクション攻撃受けマルウエア配布源に，Sophosが警告：ITpro

SQLインジェクション攻撃（関連記事：急増するSQLインジェクション攻撃）を受け，アクセスしてきたユーザーのパソコンに悪質なスクリプトMal／Badsrc-Cをダウンロードする。このスクリプトが機能すると，さらにスパイウエアをダウンロードし，個人情報の不正取得などを図る。

SymantecがMessageLabsの買収を発表。

http://www.networkworld.com/news/2008/100808-symantec-to-buy-e-mail-security.html?fsrc=netflash-rss
Symantec to buy e-mail security vendor MessageLabs - Network World

$695 million
MessageLabsはメールとWebのフィルターサービスを提供、顧客の3分の2がヨーロッパ。
Symantecが既に提供しているデータバックアップやリモートアクセス等のオンラインサービスと統合。
ただし既存のSymantecサービスをMessageLabsのデータセンターに統合する形になる模様。
いよいよセキュリティSaaSが本格化するか。

テッド・ニュージェントが新しい本を出した。

ちょっとさあ、とうとうここまできたか。
とてもついていけない。
まずタイトルのTed, White & Blueってのは、Red, White & Blue (星条旗のこと)に引っ掛けてんのね。はい、はい。
オフィシャルサイトの宣伝The Official Community of Ted Nugentによると。

その時がきた

アメリカは指導者を求めてきたが、ついに、銃をぶら下げた、大ロックスターで、鹿殺しの愛国者がその役を進んで引き受けた。

鹿殺しって何だよ。

TED NUGENTに道を譲れ 撃ち方良し、不動の姿勢で、ロックの準備も良し、かのモーターシティマッドマン、あるいはデキる男のアブラハム・リンカーンが、究極の高オクタン価政治マニフェストを全世代のために解き放ったTed, White, and Blueは、憲法制定以来最も重要な愛国的文章だ。

Ted, White, and Blueを読めばこれがわかる：

• なぜ戦争が、現状のさまざまな問題の答えとなるのか。


• なぜ、テッドがメキシコ人だったら革命を始めるのか。
  (そして、現実には違うので、どうやって国境を守るべきか）


• サムおじさんにダイエットさせる方法。
  (政府の浪費監視プログラム)


• 世界を良くするために、いかに神と銃とロックンロールの力を利用するか。

もしアメリカを気遣うなら、もしこの自由の大地と勇気の故郷を守りたいなら、そしてもし怠惰で情けない脅かしやで政府を食い物にするアル・ゴアやマイケル・ムーアやオバマニアックスに嫌気がさしているなら、Ted, White, and Blue: The Nugent Manifestoを読まなければいけない。

もう疲れたけど宣伝文はまだ続く。
テッドが如何にすごいかがいろいろ書いてある。
テッドのTV番組Ted Nugent Spirit of the Wildは、アウトドアチャンネルのハンティング番組ランキングで1位になった。（だいぶ細かいな)
1995年から、NRA(全米ライフル協会)の役員。(びっくり)
2008年は50周年記念のOperation Rolling Thunderツアーを実施し、6000回目のコンサートを開き、アメリカとヨーロッパにおける動員記録(おそらく累計)を打ち立てた。(これは単純にすごいな)

この後、推薦の言葉が4人分並んでいる。
最初のToby Keith, country music starがほめてるのは良いとして。
2番目が元アーカンソー州知事のマイク・ハッカビーって、去年大統領候補選に出馬してた人が、「私はテッドの音楽やメッセージ、そしてわるびれず男らしい人生への対し方が好きだ。」なんていってる。残りの2人は、フィラデルフィアのDJと現役のテキサス州知事。

Rolling Stone誌では関連ニュースが結構流れている。
Ted Nugent Wishes Sarah Palin Luck This Hunting Season : Rolling Stone : Rock and Roll Daily

テッドが副大統領候補の話題の人、サラ・ペイリンに本を贈った。

ちなみにサラ・ペイリンは僕の3日前に生まれた人らしい。

8月24日には、
Ted Nugent Threatens to Kill Barack Obama and Hillary Clinton During Vicious Onstage Rant : Rolling Stone : Rock and Roll Daily
テッド・ニュージェントがステージで、バラク・オバマとヒラリー・クリントンの命を脅かす演説
"Obama, he's a piece of shit. I told him to suck on my machine gun. Hey Hillary," he continued. "You might want to ride one of these into the sunset, you worthless bitch." Nugent summed up his eloquent speech by screaming "freedom!"
これは僕にはちょっと訳せない...
しかし、あほか。

あきれながらいろいろ見てたら、こんなのが出てた
Sweden Rocks (Dol) ~ Ted Nugent (DVD - 2008)
から、ポチっとしてしまった。
わくわく。

こっちはすんでのところで踏みとどまった。
Rockin the Corps ~ Various Artists (DVD - 2005)
イラク帰還兵を迎えるイベントでKISSやその他一杯でているそうだけど。
テッド・ニュージェントの星条旗よ永遠なれだけ見たいんだよなあ。他はいらないんだけどなあ。

で結局、本は買うべきなんだろうか。ギター弾いてるテッドが好きなだけで、中身は読みたくもないんだけど。

最近また多いなあ。
「今までにないタイプのSQLインジェクション」――ゴルフダイジェストへの不正アクセス手口が判明：ITpro

GDOでは，同社Webサイトを構成するデータベースの一部が不正アクセスを受けたとして，2008年10月2日からWebサービスを全面的に停止していた（関連記事）。攻撃の具体的な手順は明らかにしていなかったが，「今までにない新しい手法のSQLインジェクションだった」（同社広報）という。なお，最近セキュリティ・ベンダーからCookieを悪用した新手のSQLインジェクションについて警告が出ている（関連記事）が，この件との因果関係については「コメントできない」（同社広報）としている。

Unified Communication （電話、音声、ビデオ、IMなどのトラフィックをすべてTCP/IP上で運用すること)におけるセキュリティの記事。
ユニファイドコミュニケーションのセキュリティの勘所 － TechTargetジャパン

SIPとSCCPに関連した問題としては、各種のバッファオーバーフローのほか、SQLインジェクション攻撃の脆弱性などがある。

それは知らなかった。
調べて見ると、
SNOCER

ここに "SIP Message Tampering: THE SQL code INJECTION attack"という論文があり、SIPやSQLインジェクションの簡単な説明から、SIPメッセージにSQLを挿入する手法、実証実験（SIPクライアントとしてMicrosoft PortraitとOsip使用)、防御・検知の方法などが書かれている。防御方法としては、ゲートウェイを立ててフィルターする、SIPメッセージに電子書名をつける、SIPサーバーからDBにアクセスするユーザーの権限を絞る、など。

SES SIP SQL Injection | Research | VoIPshield Systems Inc.
2008-04-01
AvayaのサーバーでSIP REQUESTにSQLコマンドを挿入して実行できてしまう。

SPIM Unauthenticated SQL Injection | Research | VoIPshield Systems Inc.

Avayaのサーバーでアカウント情報なしでSQLコマンドを挿入できてしまう。

Address Book SQL Injection | Research | VoIPshield Systems Inc.

Cisco Unified Communications Managerで、WebサーバーにSQLインジェクションの脆弱性がある。 これはSIPに関係するわけではないか。

Full Disclosure: Owning the internal network with SIP (part 1) and a Linksys Phone

LinksysのIP電話機に対して、脆弱性を利用してスクリプトを挿入する。

なるほど。
そうするとSIP用のファイアウォールというものが必要なわけで。
既にいくつか存在する。
Interex SIP Firewalls
Ingate Firewalls - enabling SIP-based VoIP also outside the enterprise

BorderWare SIPassure VoIP/SIP Security
ただしNATできることあたりが主な機能で、SQLインジェクションまで語っているところはなさそう。

ラックの研究機関であるサイバーリスク総合研究所のコンピュータセキュリティ研究所から注意喚起が出た、という記事。

ログが残らず、検知も難しい新手のSQLインジェクション攻撃が発生：Security NEXT

IDSやIPS、ウェブアプリケーションファイアウォール（WAF）などで対応が難しい新手のSQLインジェクション攻撃が発生した。ラックによれば実被害も確認されているという。

問題の攻撃は、CookieにSQLインジェクション攻撃を埋め込む手口。Cookieを利用するためウェブサーバのログに攻撃の痕跡が残らず、IDSやIPSでも定義されていないことから検知できない可能性があるという。また、攻撃そのものにもIDSやIPSの検知を避ける細工が施されている。

ということは、WAFでクッキーを監視しておくと良い、ということだな。

注意喚起レポート本文：
【CSL】CSL緊急注意喚起レポート～新手のSQLインジェクションを行使するボットの確認～ | LAC

このレポートの中でも、今回のSQLインジェクション攻撃に特化した対策として、

5）WAFの導入（F）
本問題をクリアしたWAFの導入を検討する。サイトごとに投資可能な金額は異なると思いますが、今後、益々悪質になることを考えると、費用対効果は高いと考えます。

をあげている。

OpenSSOの有償版サポート付が発表された。
米Sun、オープンソースID管理「OpenSSO」のエンタープライズ版発表 - SourceForge.JP Magazine

オープンソースのID管理技術「Open SSO」の商用版「OpenSSO　Enterprise」を発表した。サポートと免責保証が付いたエンタープライズ向けとなり、ID管理製品ポートフォリオを拡充した。価格は、4万ドルから（2万5000ユーザー未満）。

　OpenSSOは、JavaベースのID管理技術で、シングルサインオン、フェデレーションなどの機能を持つオープンソースソフトウェア。OpenID、SAML 2.0、XACML、WS-Federationなどの標準をサポートする。

　OpenSSO Enterpriseはフルサポート付きの有償版となり、「Sun Java System Access Manager」「Sun Java System Federation Manager」を置き換える製品となる。柔軟性と拡張性に優れ、容易に実装できるという。具体的な機能としては、包括的なアクセス管理、フェデレーション、Webサービスがある。

Sunのプレスリリース： Sun Unveils OpenSSO Enterprise
Sun Completes Identity Management Portfolio Refresh
ID管理製品の再編成が完了したといっている。
特徴について、

the only product on the market to feature embedded directory capabilities
(アクセス管理製品として) 唯一、組み込みのディレクトリ機能を搭載している

製品ページ：
Sun OpenSSO Enterprise software
日本のサイトには載っていないみたい。
というか、アイデンティティ管理のページが、Sun Java System Identity Manager 7.0 リリース！2007年1月で止まっている。残念な感じだなあ。