Recently in Security Category

BarackObama.comがSQLインジェクションでハックされたニュース。
Barack Obama hacked by SQL injection | Chester Wisniewski's Blog

Shouldn't the most powerful, well-protected man in the world have a website that is at least reasonably secure? Storing credentials in plain text is even more embarrassing than being vulnerable to SQL injection.

世界でも最大の権力を持ち、安全に保護される人物は、ウェブサイトも、少なくともそこそこ安全じゃないといけないんじゃないか？ パスワードを平文で保存しているのは、SQLインジェクションの脆弱性があったことより、もっと恥ずかしいぞ。

Unuというハッカーが攻撃して、得た情報をブログで公開した。
Microsoft Accessのデータベースに、管理者のパスワードが平文で保存されていた。
また、画面ダンプの中にはdonate.barackobama.comというURLもあり、献金者の情報も平文で存在するのではないか、と指摘している。

こっちの記事には、画面ダンプの転載あり。

Researcher discloses SQL Injection flaw on barackobama.com (Update 2) - Security

7月の情報漏洩事件に関して、業務改善命令。

「情報漏洩が起こりやすい状況だった」、金融庁がアリコに業務改善命令 - ニュース：ITpro

アリコジャパンの顧客情報が流出した問題で、金融庁は2010年2月24日、同社に対して保険業法に基づく業務改善命令を出すとともに、個人情報保護法に基づく勧告を行った

金融庁は、アリコに対して顧客情報の安全管理の徹底やクレジット業界との連携による顧客保護、情報漏洩の原因究明などを求めている。

原因究明はまだできていないのか。

この問題は、2009年7月にアリコがクレジットカード会社からカード情報の不正使用の照会を受けて発覚した。これまでの調査では、約3万2000件の顧客情報の流出を確認。中国の業務委託先の会社の従業員がホストコンピュータにアクセスして持ち出したとみられるが、現在までに流出した顧客情報の具体的な範囲や犯人の最終特定には至っていない。カード情報の不正使用の疑いがあるとして、カード会社から報告を受けた件数は2月18日までに6592件である。

金融庁は、今回の顧客情報流出が発生した要因として、ホストコンピュータへのアクセスで使用するIDとパスワードが担当者の間で使い回しされていたために「個人顧客情報管理がずさんであり、情報漏洩が起こりやすい状況にあった」と指摘。IDの使い回しによって、「実行犯の特定が困難にするという問題にもつながった」

米サービスプロバイダーComcastが、全国ネットワークへのDNSSEC実装が終わり、希望ユーザーに試験利用提供を始めた。
Comcast launches first public U.S. trial of advanced DNS security

2011年3月までには自社で保有する約5000件のドメインすべてに署名する。
2011年末までには、顧客向けDNSサーバーすべてにDNSSEC検証機能を実装する。

他の動向でいうと、DNSルートサーバーは7月までに署名される。Verisignは.comと.netドメインのサーバーへのDNSSECサポートを2011年はじめまでに提供。US政府は.govドメイン全体でDNSSECを導入する予定で、Public Interest Registryは.orgドメインでDNSSECをサポートしている。

IPAがWAF読本というのを出した。
情報処理推進機構：情報セキュリティ：脆弱性対策：Web Application Firewall 読本

商用製品のリストに6社載っているが。
業界の1位、2位は入っていない。
出版の舞台裏が想像できてしまう。
結果として、WAFの機能もローエンドの機能しか紹介されていない。

ウェブサイトから情報漏洩。ということはSQLインジェクションか。
asahi.com（朝日新聞社）：モンベルのサイトに不正侵入か　カード情報盗難の可能性 - 社会2010年2月6日17時25分

　アウトドア用品の総合メーカー「モンベル」（大阪市）は、同社のウェブサイトが不正アクセスを受けた疑いがあるとして、サイトを閉鎖し調査を始めた。昨年１１月以降にサイト上のオンラインショップで買い物した顧客のクレジットカード情報が盗まれた可能性があるという。該当人数などは調査中としている。

　同社によると、クレジットカード会社からの指摘を受けてサイトを閉鎖したのは１月２９日深夜。該当期間の利用者には６日、おわびと連絡のメールを送った。調査の経過はサイトで報告するという。問い合わせは電話０６・６５３６・５７４０。

WAFの解説と、選定に際しての着眼点。
前編に引き続き。
Webアプリケーションへの攻撃をいかに阻止するか？（後編）｜最適なWAF製品をどう探す？ 最大のポイントは「自社の要求を明確にし、それに合致したものを選ぶこと」 - CIO Online

調査会社の意見などが数件紹介されている。

　バートン・グループでリサーチ・アナリストを務めるラモン・クリッケン氏は、「アプリケーション・デリバリに特化した製品の場合、ワイヤ・スピード（理論上の最高通信速度）で動作する必要があるため、学習エンジンやセッション管理など、WAFが本来持つはずの計算集約型の機能を搭載していない」と指摘する。「そうした製品の機能は非常に限定されている。ブラック・リスティング／ホワイト・リスティングや、インバウンド／アウトバウンドの検査ができる程度だ」（クリッケン氏）というのである。

ガートナーのアナリスト、グレッグ・ヤング氏...
　「人々はこう考える。『ファイアウォール製品を購入すれば、監査人のお墨付きが得られる』と。しかし、この分野ではそれだけでは足りない。自社の環境に合わせて、アプリケーション保護の方法をカスタマイズする必要があるのだ」（ヤング氏）

「WAFを評価する際には、エンタープライズ・アーキテクチャ、アプリケーション・デリバリ、ソフトウェア開発の各責任者にも加わってもらうべきだ」とアドバイスしている。
　「そうすれば、それぞれの責任者のセキュリティ対策への信頼感が高まり、さらに可用性やパフォーマンスに関する懸念も緩和されるだろう」（クリッケン氏）
　また、WAFの新しい使い方の1つとして最近普及し始めたのがアプリケーション監視だ。この使用法は、WAFがパフォーマンスの問題や、リンク切れなどによるエラー・ページの表示を検出できることを応用している。

WAFの解説と、選定に際しての着眼点。
原文を見ると、後編は、WAFのべきとべからず集、になるらしい。
出典は「CSO Online」なのに、日本ではCIOにくくらないといけないのね。

Webアプリケーションへの攻撃をいかに阻止するか？（前編）｜巧妙化する攻撃への有効策として普及が進む「Webアプリケーション・ファイアウォール」。製品選定に際しての着眼点はココだ！ - CIO Online

　現在、WAFが導入される主な理由は2つある。1つは、PCIデータ・セキュリティ基準（PCI DSS：Payment Card Industry Data Security Standard）において、一般公開されているWebアプリケーションは、コード・レビューの実施か、もしくはWAFにより、既知の攻撃から保護することがセキュリティ要件として定められていることだ。もう1つは、セキュリティ攻撃の対象がネットワーク・レイヤからアプリケーション・レイヤに移行しているという認識が高まっていることである。なお、ホワイトハット・セキュリティが2006年1月から2008年12月までの3年間に行った877のWebサイトの評価調査では、82％のWebサイトに深刻度が「高い」、「重大」、あるいは「緊急」の問題が1つ以上あることが明らかになっている。

WAFが備えているべき特徴
●HTTP通信の完全な解析が可能
●ポジティブ・セキュリティ・モデルの提供
●アプリケーション・レイヤに対応したルールを持つ（SQLインジェクションなどの攻撃のあらゆる亜種を検出できる汎用的なルール)
●セッション・ベースの攻撃からの保護が可能
●きめ細かなポリシー管理が可能

OWASPが挙げるWAF製品の選定基準
●誤検出がほとんどない（正当なリクエストを決して拒否しない）
●初期設定状態でも強力な防御機能を発揮する
●堅固なセキュリティ設定が可能な動作モードと、設定の容易な動作モードが用意されている
●防御できる脆弱性の種類が多い
●個々のユーザー・セッションの改竄を防げる
●緊急パッチなどによって問題が生じないよう設定できる
●ソフトウェアかハードウェアとして提供される（一般にハードウェアが好まれる）

　

パスワードを調べた結果、相変わらず(ますます?)脆弱なパスワードが使われてるという記事。
人類の遺伝子レベルの欠陥、というのが面白い。

ニュースな英語 - goo辞書パスワードは「123456」

記事は昨年12月、FacebookやMySpaceなどにソフトウェアを卸している会社「RockYou」のデータベースがハッキングされた事件に端を発しています。このときネット上に流出した3200万個のパスワードを、「Imperva」というハッキング対策ソフトウェア会社が調査したところ、 利用者の20％が、人気のパスワード5000個を使っていたとのこと。つまり、大勢が使いがちポピュラーなパスワードがあるというわけです。逆に言えばハッカーは、そのポピュラーなパスワードを一分に何千個の速度で次々と試行すれば、かなり簡単に情報が盗み取れるのだと。

記事には、情報流出したRockYouユーザーの内、100万人が利用していたという32種類のパスワードが「人気」順で載っています。100万人が32種類ですから、単純計算して、同じパスワードを3万人以上が使っているというわけです。
一番人気（most popular)のパスワードは、前述したように「123456」。記事いわく、ネット黎明期の一番人気は「12345」。人類は20年近くかけてインターネットに慣れて、ネットの危険性をも承知するようになり、その結果とった安全対策と言えば、数字を一ケタ追加しただけだったという......。

そのほかの人気パスワードは、定番の「12345」。そして「1234567」に「123456789」。ちょっとひねって「654321」。

「password」というそのままやん！なものや、「iloveyou」とか「iloveu」（まあ嬉しい）。なぜか「princess」もポピュラー。RockYouというサービスのパスワードを「rockyou」にして、覚えやすさを何より優先してしまったものもあります。

href="http://www.imperva.com/news/press/2010/01_21_Imperva_Releases_Detailed_Analysis_of_32_Million_Passwords.html"
target="_blank">「Imperva」社サイトのこちらによると、調べたユーザーの実に半分近くがパスワードとして「名前やスラング、辞書にある言葉、簡単な言葉（数字の連番や「qwerty」などキーボード上で並ぶ文字列そのまま）など」、推察しやすいものを使っているとか。

これはいったいどういうことなのでしょう？　人類はネットに慣れて賢く用心深くなったかと思いきや。むしろネットに慣れすぎてしまって安全ボケしているのかもしれません。記事では調査したImpervaの担当者が「人類の遺伝子レベルの欠陥なんじゃないかと思う（I guess it's just a genetic flaw in humans）」とまで。

とするならばせめて、2種類のパスワードを使い分けてくださいというアドバイスに、なるほどと思いました。銀行やメールなど高いセキュリティーが必須なサービスについては、長くて複雑なパスワード（少なくとも12文字で、英数字や記号を組み合わせたもの推奨）。それほどセキュリティーを必要としない（つまり個人情報を提供していない）SNSやお遊びサイト用には、短くて単純なものを。

米ニューヨーク州の銀行、SCNBがSQLインジェクションで顧客情報漏洩。
8千件以上の顧客情報。credentials、とあるからパスワードのことか。
その情報が平文で保存されていたと指摘されている。
攻撃方法はSQLインジェクションではないかと思われる。

SCNB hit by breach - over 8,000 clear text credentials stolen - Security

According to Amichai Shulman, Imperva's CTO, what is amazing about the case is not just the fact that the bank has taken until earlier this week to reveal that around 10 percent of its customers' credentials were compromised, but that the data was stored as plain text.

"What I find astonishing about this hack is that you would think that a banking application would undergo much more stress testing than most and, as a result, the storage of user credentials in plain text would have been spotted and remediated early on in the system development process," Shulman said.

"Although the full modus operandi for this banking hack has yet to be revealed, but given that the server was accessed and 8,378 credentials were stolen, I would assume the attacker gained access using an SQL injection approach," he added.

米軍のサイトが侵入され、DBの情報がさらされた。
U.S. Army Website Hacked - DarkReading

犯人は、TinKode、ルーマニアのハッカーらしい。先月はNASAのサイトに侵入した人。
TinKodeのブログ上の報告記事。
TinKode Stuff » Blog Archive » Army.mil full disclosure
マイクロソフトSQLサーバーのSQLインジェクション脆弱性を利用した、とある。テーブルのリスト、平文で保存されていたパスワードなどが掲示されている。
テストから、攻撃ステップが報告されている。
1=1という古典的なパターンが成功、1=2にすると詳細なエラーメッセージを表示してしまっている。