カード情報漏洩事件にかかわる賠償として、HeartlandがAMEXに360万ドル、3億円以上を支払うことに同意。
Heartland to pay Amex $3.6m for massive payment breach • The Register
その他のカード会社、VisaやMasterとは依然交渉中の模様。
2009年12月 Archives
JR東日本のサイトが2週間改ざん、ページ内検索でウイルス感染も -INTERNET Watch JR東日本のサイトの一部ページが不正アクセスにより改ざんされ、閲覧者のPCがウイルスに感染した恐れがあることが判明した。JR東日本によれば、改ざんされていた期間で該当ページに約5万件のアクセスがあったという。
改ざんされていたのは、JR東日本のサイト内のキーワード検索の検索結果ページが12月8日21時40分から21日23時55分まで、「大人の休日倶楽部」内の「東京講座」ページが18日11時から22日21時まで。
なお、キーワード検索はトップページのほかにも、「Suica」や「ビューカード」などのページにも設けられているが、キーワードを入力して検索結果ページを表示させなければウイルスに感染する恐れはなかったという。
改ざんされたページは、いずれも「Gumblar」ウイルスの亜種に感染する不正なページへリダイレクトするスクリプトが埋め込まれていた。改ざんされたサイトは表面上の変化がないため、ユーザーは知らない間にウイルス感染の危険性にさらされることになる。
JR東日本は改ざんされたページを修正した上で、23日1時40分にサイトの一部ページを閉鎖。その後、調査を行った上で、23日19時にサイトを再開した。同社は現在、ウイルス感染の有無を確認したり、駆除を行う方法として、トレンドマイクロのオンラインスキャンツールをサイト上で紹介している。
情報処理推進機構:情報セキュリティ:ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起 一般利用者へ:改ざんされたウェブサイトからのウイルス感染に関する注意喚起(1) ウェブサイト改ざんの概要と主な原因
ウェブサイト改ざんの原因として、ftp※のアカウント情報を盗まれた事例がありました。盗んだ ftp アカウント(ID/パスワード)を使い、正規のユーザになりすまして、改ざんしたページをウェブサーバに公開(アップロード)するというものです。
ftp のアカウント情報を盗む手口としては、スパイウェアをターゲットのパソコンに送り込むなどの方法が一般的です。
※File Transfer Protocol の略。ネットワークでファイルを転送するためのプロトコル。
改ざんされたウェブページには不正なスクリプトが埋め込まれ、そのページを閲覧した一般利用者を、ウイルスが仕掛けられた悪意あるウェブサイトにアクセスさせます。一般利用者が悪意あるウェブサイトを閲覧した場合、利用者のパソコンに脆弱性があると、それを悪用されウイルスに感染させられてしまいます(図1-1参照)。
シティバンクに対するハッカー被害が話題になっている。
FBIが、Citibankで数十億円単位のハッカー被害の調査をしているとのこと。
Citibankからの声明では、シティではそんな被害はないと言っているらしいが。
そうなのかな: シティ ハッカー被害なしか
シティグループは、傘下の銀行に対するハッカー攻撃で数千万ドル
(数十億円)の損害が出た恐れがあるとする報道は誤りだとする声明を
発表した。
FBIがシティグループ傘下の銀行に対するハッカー攻撃を捜査している
と報じていた。
こちらの記事
FBI Reportedly Investigating Hack and Theft at Citibank - Web Hosting Industry News | Daily Web Hosting News and Web Host Interviews"
によると、Wall Street Journalの記事でCitibankの顧客の話が紹介されていて、百万ドル(=~1億円)以上がラトビアとウクライナの口座に知らないうちに送金されていた、とのこと。
Wall Street Journalの記事は購読していないと読めない。
また、犯行手段について、ボットネットで操作されたトロイの木馬がブラウザで不正な操作を行ったのではないかという意見を紹介。 クライアント側の操作ではあるが、ウェブサイト管理者は、このようなman-in-the-browser攻撃の防止手段を持つべきだと言っている。
In a statement sent to the WHIR by email, Amichai Shulman, CEO of security company Imperva says, "my analysis of this report is that we are talking about a man-in-the-browser attack. That is, a Trojan controlled through a botnet that operates from within the browser and inserts false transactions into a user's sessions. In view of this it is clear why Citibank did not report or 'notice' any breach. The breach is not on Citi's side but rather on the consumer side."
"It does point to the growing sophistication of the attacker as we've mentioned in our list of predicted trends for next year," says Shulman. "While this is presumably an end-point security issue, I think that application owners should look for solutions that would protect their users against man-in-the-browser attacks during a session with the specific application."
Man-in-the-browserは2007年に報告されている。
正規銀行サイトで入力した個人情報を奪う「Man in the Browser」攻撃
OpenIDとSAMLの相互運用を検証するらしい。
共通IDを利用できる認証基盤の連携を、国内で実証実験 - ITmedia エンタープライズ
24の民間企業や団体などが参加する「認証基盤連携フォーラム」は12月21日、インターネットの異なるサービスやコンテンツを共通IDで利用できることを目指す実証実験を12月下旬から始めると発表した。2010年3月末まで実施する。具体的には、1)認証基盤連携の標準方式のうち「OpenID」および「SAML」の拡張部分における記述方式のルール化と、相互運用性を強化した確認書の自動生成、自動変換の仕組みの検討、2)複数のデバイス同士でユーザーが同一であることを確認する方式の検討、3)認証機能を提供する事業者が撤退した場合にユーザーが継続利用できる仕組みと機能、性能評価の実施と課題の――など。
なんで文章が途中で切れてるんだろう。
フォーラムのサイトはないのかな。
報道発表はNRIから出ている。
インターネット上などのサービスやコンテンツの利用拡大を促進する『認証基盤連携』の実証実験を開始~各種認証サービスの連携で、相互利用を可能に~
●会員
当フォーラムの会員は次の方々です(2009年12月21日現在、五十音順、敬称略)。
【座長】
相田 仁 東京大学
【副座長】
森川 博之 東京大学
【実証実験ワーキンググループ参加企業・団体】
* 株式会社ACCESS
* 株式会社ウィルコム
* エヌ・ティ・ティ・コミュニケーションズ株式会社
* 株式会社エヌ・ティ・ティ・ドコモ
* KDDI株式会社
* ソニー株式会社
* ソフトバンクBB株式会社
* 日本電気株式会社
* 日本ユニシス株式会社
* 株式会社ネクストウェーブ
* 株式会社野村総合研究所
* 株式会社日立製作所
* 富士通株式会社
【オブザーバー企業・団体】
* 株式会社インターネットイニシアティブ
* イー・モバイル株式会社
* 株式会社ジェーシービー
* 住友商事株式会社
* 社団法人テレコムサービス協会
* 日産自動車株式会社
* 日本ヒューレット・パッカード株式会社
* ネットワンシステムズ株式会社
* 三井物産株式会社
Continue reading OpenIDとSAMLの相互運用を検証する認証基盤連携フォーラム.
CSRFは対策が難しい、というお話。
CSRF対策は基本? | 水無月ばけらのえび日記
XSSやSQLインジェクションなどは単純なバグが原因で発生するものです。指摘された場合、修正の方法について議論する必要もなく、ただバグを修正すれば良いだけです (たまに、変な修正の仕方をする人もいますが......)。それに対し、CSRFはバグが原因ではありません。設計段階から意識的にCSRFに対応する必要があり、それが抜けていたのであれば設計から再検討する必要があります。また、対策方法もいろいろあるので、どう対策して良いのかすぐには方針が決められない場合があります。
※個人的には、フレームワークにCSRF対策の機能があればそれを使用し、無ければ「高木方式 (takagi-hiromitsu.jp)」で良いとは思うのですが......。
発見するのが面倒、うっかり発見されることも少ない、だからいろいろな統計でも数が少ない。
= 潜在的にはたくさんありそう、ということらしい。
仮に脆弱性が存在しても、対策が単純でない。
第三者の用意したフォームからPOSTできるとしても、それだけでは脆弱性とはみなせません。以下のような点を考慮して検討する必要があります。副作用が生じるのかどうか。副作用がない(サーバ側の状態を一切変更しない)場合は問題ありません。たとえば、検索結果を表示したり、確認画面を表示したりするだけの動作であれば問題ないということになります。
発生する副作用が有害なものであるかどうか。たとえば、買い物かごに商品を追加する機能がCSRFで攻撃されても、決済が完了できなければ問題ないという考え方もあり得るでしょう (次に利用者が決済しようとしたときに気付くため、被害につながらない)。
鼻行類―新しく発見された哺乳類の構造と生活 (平凡社ライブラリー) (単行本)
ハラルト シュテュンプケ (著), Harard Stumpke (原著), 日高 敏隆 (翻訳), 羽田 節子 (翻訳)
# 単行本: 152ページ
# 出版社: 平凡社 (1999/05)
こんな変な本があるんだなあ。
南の島に生息していた特殊な哺乳類・鼻行類Rhinogradentia、あるいはハナアルキの仲間の生態を描いた論文風の本。
鼻が発達して複雑になったり数が増えたり、いろいろな機能を持つようになり、鼻で歩くものも出てきて、鼻行類と呼ばれた。この地域だけで分化した26種類の動物を解説している。
表紙に出ているのは、ランモドキ、といって鼻を含めて花びらのようなものが発達している。その他、羽みたいに進化して空を飛べるもの、複数の鼻で直立して(逆立ち)歩行できるもの、20本以上の長さの異なる鼻から音を出して演奏するものなど。
なんなんだ、これは。 一種類考えるのだけでもすごい想像力だと思うけど、なぜこんなにたくさん作ったのか。 世界、あるいは人間社会の縮図を描こうとしたようにも見える。
最後に、なぜ今ではこの種類が見られなくなったかを説明するオチも付いてる。
コペンハーゲンのCOP15に関連して、フィナンシャル・タイムズの記事。
FT.com / Comment / Opinion - Smeared scientists must still mend their ways
汚れた科学者達は引き続き行いを正さないといけない、ってところか。
地球温暖化の権威とされるUKの大学からハッカーが電子メールデータを盗み出し、その中で過去の気温データの改竄やら、懐疑派に対する罵倒の文章などが見つかった、クライメートゲート事件がCOPでも話題になったことを引き合いに出している。
クライメートゲート: 「温暖化は捏造」論争が過熱:メール流出で(WIRED VISION):ニュース
Mikeの『Nature』トリックを終えたところだ。過去20年(1981年以降)については本物の気温に加え、1961年からは減少を隠すためにKeithのものを加える
ただ、地表温度のデータベースは温暖化人為説を正当化するために改竄されていたけどそれは大きなことではない、今までの論議全体が強引な結論付けが多すぎる、としている。 例えば、アル・ゴアのホッケースティック形グラフ。 過去千年の温度変化を年輪と氷床コアの情報から気温を推定し、直近100年で急に気温が上がっているとしたもの。 この記事では、ホッケースティックを導いた手法は不透明、そこから何らかの結論を導くのは問題、といっている。
結びで言ってるのは、一番必要なのはリスクと選択肢のきめ細かい理解だ。(nuanced understandingなんて、言うんだなあ。)
COP15というと日本が25%といったのだけ押し付けられるとか、そんな話ばかり眼にするような気がしてる中で、なんだか新鮮だった。
Continue reading COP15とクライメートゲート.
ソーシャル・ガジェットの大手サイト、RockYouがハッカーに侵入され、3200万以上のユーザーアカウントの情報が盗まれたという記事。
記事の中では、このサイトのセキュリティがいかにダメだったか、発覚後の対応がさらに良くなかったことを書いてある。
3200万人の個人情報漏洩―RockYouのハッカー侵入への対応は最悪
RockYouはユーザーのパスワードを暗号化せず平文のままデータベースに保管していた。やがて問題のデータにはユーザーが入力した他の提携サイトのパスワードも含まれていることが分かり、事態は当初に考えられていたよりずっと深刻であることがわかった。データベースには、RockYouの提携サービスの一覧と個別ユーザーのそれらサービスへのログイン情報が含まれていた。提携サービスにはMySpaceやウェブメールのアカウントが含まれていた。
ハッカーは最初に簡単なSQLインジェクション脆弱性を利用した。この脆弱性は10年以上前から詳しく文書化されているもので、ハッキングの手口としてはこの上なく初歩的である。しかしその結果はRockYouにとって壊滅的だった。
SQLインジェクションというものが昔からあるからと言って、初歩的な手口と言えるかどうかは、疑問。
これが、実行犯のページかな。
igigi's blog ツサ Blog Archive ツサ Rockyou.com exposed more than 32 millions of passwords in plaintext
So i was reading this shit about how some lol company Imperva found a SQLi on Rockyou.com. Yea, right, you're the best. Too late guys, too late. I've got every account downloaded from this shitty site. You were too slow, but what can i expect from you?There is 32 603 388 customers. Pretty nice list with plain text passwords. It's so lame, and I'm sure that more than half does work for myspace and other sites.
Don't lie to your customers, or i will publish everything
(この後、入手したデータの一部のリスト)
eSoftと言う会社がSQLインジェクションによる大量のWeb改竄を報告。
Threat Center Live Blog: eSoft Uncovers 1.5 Million Sites in SQL Injection Attacks
.cnドメインを中心に150万サイト以上に、スクリプトが埋め込まれていて、コレを実行するとTrojan.Buzus というトロイに感染する。
これらのスクリプトは"script src=http"を含んでいる。これだけじゃ判断できないだろうけど。
調べた結果、埋め込まれているサイト。
攻撃手法は先週Scansafe社が報告したのと同じもの。
ScanSafe STAT Blog - ScanSafe STAT Blog - 318x SQL Injection Claims 125,000+
こちらの手法も30万件以上が攻撃されている。
ただし、Googleで検索すると、.com、.orgなど様々なドメインのサイトがやられている。
Googleで318x iframeを検索
eSoftはUSのセキュリティ会社でファイアウォール、VPN等のアプライアンスを作っているらしい。
設立は1998年と10年選手。 知らなかったなあ。
こないだ、ライブの前に購入したシールド。
スタジオで、ギターがガリが出てるなあと思ったら音が出なくなった。ギターのジャックが怪しいと思って、回してみたり、抜いて覗いてみたりしていたら。
ケーブルのプラグの先っちょが緑色に変色していた。サビだろうなあ。こりゃ駄目だ、とすぐ捨てちゃった。写真くらい撮っとけばよかった。
その時は、スタジオでシールド借りて済ませたけど。 シールドを変えるだけで何故か音の張りがなくなる。
条件としては、5m、両端がL字型のプラグのモノ、ランクとしては5千円前後、と思ってたんだけど。
両端L字っていうのが、なかなかない。
楽器屋2軒行ってみてなかったので、通販で購入。
最近は、ケーブルの能書きも、大変な事になってるな。
エリクサーギターケーブルは、独自に設計された同軸構造により、業界最小の線間容量(33pF/m)を実現! このため、中音域の増長と高音域の劣化が抑えられ、ギター本来の音を歪めることなく、忠実に伝えることが可能です。■ フラットな周波数特性透明感のあるクリアな高音域、強調されすぎない、スムースでバランスのとれた中音域。■ 低ノイズ設計独自のケーブル設計ノウハウにより、ハンドリングノイズ、電磁ノイズを極限まで抑制。■ 高強度・高耐久性高密度編組シールド、高強度芯線を採用し、強度を格段にアップ。従来のケーブルと比較し、10倍もの屈曲耐久性を実現。■ 柔軟かつ巻き癖がつきにくい柔らかなジャケット素材を使用し、巻き癖やもつれを軽減、取り扱いやすく、演奏性も抜群。■ メタルダイキャスト製プラグキャップ頑強かつ確かなグリップ性と秀逸なデザインを同時に実現。■ 完全オリジナルケーブル全てのパーツを独自技術により設計。トータル性能を限りなく高めた究極のギターケーブル。 / プラグ:L字-L字ケーブル長:4.6m /15FT /
使ってみたところ、文句なし。以前と同じようにちゃんと音が出てる気がする。
プラグの持つところが変な形になってる。「確かなグリップ性と秀逸なデザイン」はこれか。
コレは残念。
好きだったのに。
「ウェンディーズ」全店、年内で閉店 - ITmedia News
日本ウェンディーズは12月11日、ハンバーガーチェーン「ウェンディーズ」の全71店舗を31日に閉店すると発表した。「約30年間、みなさまの温かいご支援のもと『パティのおいしいウェンディーズ』として営業を続けさせていただいたことを、心から感謝申し上げます」とし、「ぜひ一度今月中にウェンディーズへお越しください」と呼び掛けている。
ウェンディーズは、ダイエー創業者の中内功氏(故人)が米国でWendy'sを知ったのを機に、ダイエーグループが1980年5月、東京・銀座で1号店をオープン。2002年12月からゼンショー傘下に入った。
でもなんで、ITmediaでこんなニュースが...
マイクロソフト、パブリック・クラウド向けの新しいセキュリティ技術を説明 : クラウド・コンピューティング - Computerworld.jp
Project Sydneyでは、ネットワークの仮想化によって顧客間でクラウド・リソースを隔離し、企業の社内データセンター機器と、企業がクラウドで使っている機器とを安全に接続すると、アルハティブ氏は語った。Project Sydneyは、企業内のクライアントPCとサーバや、Windows Azureのようなパブリック・クラウド・サービスのリソースなど、「任意のエンドポイント・セット」を包含し、「仮想ネットワーク・オーバーレイ」(アルハティブ氏)を構築する。このオーバーレイはIPsecで保護され、許可された人だけがアクセスできるという。「これらの要素はお互いに、専用のプライベート・ネットワークであるかのように見える」(アルハティブ氏)
要は、VPNだな。
ハイテク業界の2009年10大買収リストの記事。
Tech industry's biggest M&A deals of 2009 - Network World
1. Oracle-Sun: $7.4 billion
2. Xerox-Affiliated Computer Services: $6.4 billion
3. Dell-Perot Systems: $3.9 billion
4. Cisco-Tandberg: $3.4 billion
5. Cisco-Starent Networks: $2.9 billion
6. HP-3Com: $2.7 billion
7. EMC-Data Domain: $2.1 billion
8. Emerson-Avocent: $1.2 billion
9. IBM-SPSS: $1.2 billion
10. Ericsson-Nortel Networks' wireless assets: $1.13 billion
1と6の展開が面白いかな。
意外と、Oracleは1件しか出ていない。
Microsoft Forefrontの新製品2件がリリースされたニュース。
Microsoft releases next two pieces of Forefront security suite
MSからは、ブログに書かれているだけ?
Forefront Team Blog : New Forefront enterprise security solutions for safe, productive web surfing and remote access
Forefront Threat Management Gateway 2010 (TMG)
a secure web gateway で、URL filtering, anti-malware, and intrusion-prevention technologies tを提供。
Forefront Unified Access Gateway 2010 (UAG.)
SSL-VPN
新機能として、 Windows DirectAccess (DA)
DirectAccess establishes bi-directional connectivity with a user's enterprise network every time a user's DirectAccess-enabled portable computer connects to the Internet, even before the user logs on. Users never have to think about connecting to the enterprise network and IT administrators can manage remote computers outside the office, even when the computers are not connected to the VPN.
そうきたか。
よくわからないけど。
Windows 7と2008サーバーで提供、らしい。
NASAのサイトにハッカーが侵入、SQLインジェクションによる。
Hacker scalps NASA-run websites • The Register
ハッカーのブログ。
Nasa.gov Full Access • Blog Archive • TinKode Stuff
画面ダンプ、DBの情報、管理者アカウント、そのうちいくつかのパスワードなど。
The reason was simple! Because I could, and they were vulnerable. As you can see, I didn't change anything.
コレは凄い。
一瞬、絵の意味がわからなかった。
追突されたトラック「立ち往生」トンネル入り口で : 社会 : YOMIURI ONLINE(読売新聞)
このさきっちょにいた運転手も軽傷だそうだけど。 ものすごい景色が展開したんだろうなあ。
「PostgreSQL」保護が加わったデータベース・ファイアウォール「GreenSQL 1.2」 - SourceForge.JP Magazine
イスラエルGreenSQLは12月2日、オープンソースのデータベース用ファイアウォールの最新版「GreenSQL 1.2」を公開した。「MySQL」に加えて「PostgreSQL」にネイティブ対応、PostgreSQLを保護できる唯一のデータベースファイアウォールという。GreenSQLはアプリケーションとデータベースの両サーバー間のプロキシーとして動作してSQLコマンドを分析、SQLインジェクションや許可されていない変更からデータベースを保護するファイアウォールソフトウェア。
最新版では、MySQLに加えてPostgreSQLも保護できるようになった。モニタリング用のグラフィックUIを導入、プロキシーの設定と修正が容易にできるほか、MySQLまたはPostgreSQLのセキュリティ設定、アラートの一元化、設定のバックアップと復元などの機能を利用できる。
これまで「GreenSQL-Console」と「GreenSQL-FW」と分けてリリースされていたが、最新版では2つをマージした。設定中にConsoleをインストールするかどうかを選択できる。
GreenSQLはまた、電子メールによるサポート、セキュリティシステムコンサルティングなどGreenSQLに関連した有償サービスを提供することも発表している。
最新版は「CentOS 5.4」「Debian 5.0」「Fedora 12」「Ubuntu 8.10」「Ubuntu 9.04」に対応、GPLv2の下で公開している。
イスラエルGreenSQL
http://www.greensql.net/「GreenSQL 1.2」ダウンロード
http://www.greensql.net/download
末岡洋子
Googleが突然、日本語入力FEPを出した。
いきなり登場の『Google 日本語入力』、柔軟すぎる変換候補が魅力に | ネット | マイコミジャーナル
Googleによれば、開発には「もしかして」機能を担当していた人物が絡んでいるなど、サジェスト機能を彷彿させる内容となっている。Googleが収集したWeb上の大量のデータから統計的言語モデルを構築し、Webのありのままを反映したIMEだという。これをサジェスト機能と組み合わせることで、高い効率を持つ入力エンジンを実現しているようだ。自然言語処理など、Googleの日本語処理技術のノウハウを凝縮したIMEといえる。
コレは凄い。
今まで、まあIMEでイイやと思っていたけど、こんな便利なものがタダですよ。
思い通りの日本語入力、は伊達ではなさそう。
早速入れてみたら、便利。
打つ端から予測変換でどんどん出てくる。
なんと、湊雅史、が、みなとまさ、まで打つと出てくる。
学習もしっかり。
今まで、FEPにお金払う気はしない、とIME使ってたけど、乗り換えます。
ダウンロード: http://www.google.com/intl/ja/ime/
来てくれたみんな、どうもありがと。
1年半ぶりのライブも、何とか無事終了しました。
その他の写真は、こちら。
