Recently in Security Category

ベリサインのシステムが2010年にハッキングされていたニュース。

VeriSign admits multiple hacks in 2010, keeps details under wraps - Computerworld

複数回の侵入の事実が明らかになったらしい。
電子証明書関連あるいはDNS関連の情報が盗まれたなら大問題だが詳細が公表されていないとのこと。

驚きなのは、ベリサインのセキュリティチームが経営陣に侵害の事実を報告していなかったということ。
経営陣が2010年に攻撃されたことを知ったのは2011年9月だったらしい。

インターネットのカタチ―もろさが織り成す粘り強い世界―
あきみち (著), 空閑 洋平 (著)
登録情報
単行本（ソフトカバー）: 295ページ
出版社: オーム社 (2011/6/25)
言語 日本語
ISBN-13: 978-4274068249
内容紹介
あらゆる視点からインターネットの「カタチ」をとらえる！ 本書は、人気ブログ「Geekなぺーじ」の管理人である著者らによる、非常に身近でありながらその全容をとらえることが難しいインターネットという存在を、わかりやすい切り口で解説したものです。インターネットってそもそも何？　という疑問に、従来の教科書や読み物とは別のアプローチ方法で、身近な話題と公開された情報や論文などをもとにわかりやすく解説した書籍です。

年末に警察庁から、官民意見集約委員会という会議による「不正アクセス防止対策に関する行動計画」という文書が公開されていた。

【セキュリティ ニュース】官民で不正アクセス対策の意見を集約 - フィッシング詐欺などの法規制を検討：Security NEXT

（Security NEXT - 2011/12/28 ） 不正アクセスの防止に向け、官民意見集約委員会は、「不正アクセス防止対策に関する行動計画」を策定した。フィッシング詐欺などへの法規制についても検討課題に挙げている。

この委員会は、「2011年6月に設置され、警視庁、総務省、経済産業省、セキュリティ専門機関、関連ベンダーが参加」している由。

行動計画の文書は、PDFで警察庁のウェブサイトに公開されている。
警察庁　サイバー犯罪対策：官民意見集約委員会

こういう取り組みをすること自体が大切な事だとは思うけど。
何を目指しているのかなあ。
文書の最初に、１ 行動計画の策定の趣旨、という章があるけど、これがまずよくわからない。
この章の結びの文章：

すなわち、情報セキュリティ技術に関する知見を有する者が集まって共同研究し、合理的かつ効果的な対抗策、中でも、不正アクセス行為に係る新たな手口への対抗策やアクセス管理者による防御措置の具体的向上方策を社会全体に対して具体的に示していく必要がある。

これが、「策定の趣旨」といえるだろうか。

文書の最後は、達成目標。

３ 達成目標 不正アクセス行為の防止に関し、不正アクセス行為の発生件数等の実態を適正に把 握した上で、効果的な普及啓発活動や的確な取締り・防御措置の実施を通じて、不正 アクセス行為の発生件数の減少を図る。

「減少を図る」のが達成目標なんだ。
会社の目標管理でこんなのが出てきたら、差し戻しだなあ。

ただ、その他の文書を見ると、具体的な方策も検討されているみたい。
今後の成果に期待したい。

グーグル　ネット覇者の真実　追われる立場から追う立場へ
グーグル　ネット覇者の真実　追われる立場から追う立場へ [単行本]
スティーブン・レヴィ (著), 仲達志 (翻訳), 池村千秋 (翻訳)
内容（「BOOK」データベースより）
徹底的な隠ぺい戦略で実現した「ネット錬金術」、ジョブズが憎んだアンドロイド携帯、中国市場での失態、フェイスブックに出遅れた焦り、そしてまだ見ぬ未来...誰も描かなかったGoogleの歴史のすべてがここにある。
単行本: 632ページ
出版社: 阪急コミュニケーションズ (2011/12/16)
言語 日本語
ISBN-13: 978-4484111162

FBIとエストニア警察がエストニア人6人とロシア人一人を逮捕したニュース。

FBI shuts down 'Ghost Click' botnet of 4m PCs as seven face charges | Technology | guardian.co.uk

ゴーストクリック作戦、というのは摘発作戦のことか。
結果として4百万台のPCで構成されるボットネットが停止することになった。
犯人グループは2007年から100カ国以上でPCにマルウェアを埋め込み、千四百万ドル（十億円くらいか）を稼いでいたらしい。

このマルウェアはDNSchangerといって、感染PCのDNS設定を変えて、犯人グループのDNSに問い合わせるようにさせていた。
で例えば"iTunes.apple.com"へのDNS応答を、アップル向けソフトウェアの販売サイトのアドレスにすり替えていた。
同様に米国歳入庁への問い合わせは「a US tax preparation company」に転送。
会計事務所みたいなところか。
犯人グループはそれら転送先から広告料をもらっていたらしい。
なるほどねえ。
その広告売上だけでそんなに儲かるというのがびっくり。

Trendmicroの人が一連のネット犯罪の中核にいる会社Rove Digitalとその関連会社についていコメントしている。

Esthost, a reseller of webhosting services, was in the news in the fall of 2008 when it went offline at the time its provider Atrivo in San Francisco was forced to go offline by actions of private parties. Around the same time a domain registrar company of Rove Digital, called Estdomains, lost its accreditation from ICANN because the owner, Vladimir Tsastsin, was convicted of credit card fraud in his home country, Estonia.

ところでエストニアってどこにあるかもよく知らないけど、「IT立国」らしい。
IT犯罪もススンじゃったんだ。

IT立国エストニア―バルトの新しい風 [単行本]
前田 陽二 (著), 内田 道久 (著)
内容（「BOOK」データベースより）
北欧バルトの小国"エストニア"が、いまIT立国として世界の注目を集めている。本書では、エストニアのIT整備の方針、エストニアIDカードやX‐RoadをはじめとするIT基盤、国民ID番号の利用とプライバシー保護対策および各種電子政府サービスについて紹介した。

スクウェア・エニックスの会員制サイトに不正侵入、改竄があったニュース。
SQLインジェクションか。

【セキュリティ ニュース】スクエニ会員サイトが不正アクセスで改ざん被害 - 個人情報流出の可能性も：Security NEXT

同サイトに対して外部から不正アクセスがあり、同社が改ざんされた痕跡を確認したもので、12月13日13時にサイトを一時停止した。

個人情報データベースに対しても不正アクセスを受けたおそれがあるが、同社によれば、保有する個人情報にクレジットカード情報は含まれていないという。

グーグル　ネット覇者の真実　追われる立場から追う立場へ スティーブン・レヴィ (著)
内容紹介
原書は、米アマゾン担当者が選ぶ２０１１年ビジネス部門の第１位！
これはグーグルの物語である。
グーグルは何を考え、何をめざしているのか。
『マッキントッシュ物語』でアップルの全貌を暴いた著者が、巨人の内側に密着取材。
これまでベールに包まれていた謎を解き明かす渾身のドキュメント。
徹底的な隠蔽戦略で見つけたネットの「金の鉱脈」、ジョブズが憎んだアンドロイド携帯、中国市場での失態、フェイスブックに挑むグーグル＋、クラウドコンピューティング戦略。
誰も描かなかったｸﾞｰｸﾞﾙの歴史のすべてが、ここにある。

ホリデーシーズンに増えるフィッシング詐欺の手口で典型的なものを紹介する記事。

Slide Show: Top 10 Holiday Phishing Scams - Darkreading

1. フットボールのオンライン中継 - URLをクリックさせる。
2. サンタの絵 - 安心させてクリックを誘う。
   
3. iTunesギフトカード - 認証コードが添付ファイルに書いてある、といって開かせる。
4. 偽のグリーティングカード - よくある名前を使って知人からのメッセージを装う。
5. クーポンとアンケート - フォームに記入させて個人情報を狙う。
6. QRコード - バーコードに不正サイトのリンクを仕込む。これは危ない。
7. 振込失敗通知 - ショッピングや旅行のシーズンに効果的。
8. 宅配便不在通知 - 多少怪しくてもショッピングのシーズンには効果的
9. 飛行機予約確認 - 航空会社の名を語る。ホリデーシーズンに効果的。
10. スクリーンセーバーダウンロード - やたら画面を飾りたがる人を狙う。Cherry folksって、情弱ってことか。

Cherryって、～boyだけじゃないんだな。
フットボール中継とか、飛行機予約とかあたりが、アメリカっぽい。

キュレーションの時代 「つながり」の情報革命が始まる (ちくま新書)
佐々木 俊尚 (著)
# 新書: 314ページ
# 出版社: 筑摩書房 (2011/2/9)
# 言語 日本語
# ISBN-10: 9784480065919
内容（「BOOK」データベースより）
テレビ、新聞、出版、広告―。マスコミが亡び、情報の常識は決定的に変わった。ツイッター、フェイスブック、フォースクエアなど、人と人の「つながり」を介して情報をやりとりする時代が来たのだ。そこには人を軸にした、新しい情報圏が生まれている。いまやだれもが自ら情報を選んで、意味づけし、みんなと共有する「一億総キュレーション」の時代なのである。シェア、ソーシャル、チェックインなどの新現象を読み解きながら、大変化の本質をえぐる、渾身の情報社会論。

SCADAへの攻撃で実被害が出たニュース。

公共インフラ狙う「SCADA攻撃」が発生、米自治体の水道設備に障害 - ITmedia ニュース

イリノイ州スプリングフィールドの水道水処理施設でポンプに障害が発生し、調べたところ、今年9月ごろからネットワークが不正侵入を受けていたことが分かったという。攻撃に気づいたのは11月8日だったと伝えられている。

生産システム関連で、外部から切り離された「無菌状態」だから問題ない、といった意見を聞いたことがあったけど、そろそろそうも言ってられない時代になったか。

ネット帝国主義と日本の敗北―搾取されるカネと文化 (幻冬舎新書)
岸 博幸 (著)
内容（「BOOK」データベースより）
今ネットの世界では、グーグル、アマゾンなどに代表される米国ネット企業だけが莫大な収益を上げ、一人勝ちしている。これらの企業は、オバマ政権の後押しも受け、その帝国主義的拡大をさらに押し進めている。一例であるグーグル・ブック検索の問題では、ヨーロッパ各国政府がグーグルの提示した和解案に反対の姿勢を明確に示し、国家の威信をかけた抵抗が始まった。このままでは、いつまでも毅然とした姿勢を示さず政策を間違い続ける日本だけが、カネと文化を搾取されてしまう。国益の観点からネットの危機的状況を初めてあぶり出す。

偽SSL証明書事件で破産に追い込まれたDigiNotarの記事で、DNSハッキングによるサイト乗っ取りについて触れられていた。

デジノター事件の重大性 - 世界のセキュリティ・ラボから：ITpro

　ソフォスは、DNSサーバー乗っ取りにより、ITニュースサイト「Register」、英紙「Daily Telegraph」など有名なWebサイトの訪問者が第三者のWebページにリダイレクトされた事件についてブログで説明した。このDNSハッキングでは、米誌「National Geographic」やオンラインカジノ「BetFair」、米UPS、英ボーダフォン、台湾エイサーなどのWebサイトも影響を受けた。

The Registerのサイトでは、ハッキングの手口について、情報サイトzone-hの記事を参照している。

It appears that the turkish attackers managed to hack into the DNS panel of NetNames using a SQL injection and modify the configuration of arbitrary sites, to use their own DNS (ns1.yumurtakabugu.com and ns2.yumurtakabugu.com) and redirect those websites to a defaced page.

トルコの攻撃者がドメイン名サービス業者NetNamesの「DNSパネル」にSQLインジェクションで侵入。 DNSパネルというのは、ウェブの登録画面ということだろうか。 複数のサイトの構成情報を書き換えて、攻撃者のDNSに誘導した。
DNSの脆弱性が使われたわけではなく、ウェブサイトが攻撃されたということ。

しかしITpro(日経コミュニケーション)の記事、妙に読みにくいけど、外国語記事の翻訳だろうか。 とくにそういうクレジットは見当たらない。
たとえば、

電話帳のような働きをするDNSの記録を改ざんすれば、参照する索引が変わってしまい、正しいURLを入力しても本来のサイトにはつながらない。

リダイレクト先のスクリーンショット、と書いてあるのに画像はなかったりするし。

Making Software ―エビデンスが変えるソフトウェア開発
Andy Oram, Greg Wilson, 久野 禎子, 久野 靖
大型本: 612ページ
出版社: オライリージャパン (2011/9/24)
言語 日本語
ISBN-10: 4873115116

通販の顧客情報漏洩。
関係者が売却した大量漏洩のニュースは久しぶりかな。

セシール、3万件超の顧客情報が不正売却のおそれと発表 | 経営 | マイコミジャーナル
2011/09/06

セシールは9月5日、過去に保険代理店事務に関わる委託をしていた関係者より、顧客情報が不正に取得され、第三者に売却されていた可能性が高いことが判明したことを発表した。

流出したことが疑われている顧客情報の流出件数は3万4,693件で、項目は顧客番号、氏名、郵便番号、住所、電話番号、生年月日、年齢、性別と、クレジット番号と口座情報は含まれていない。

不正に取得され、とあるのでアクセスが許可されていないサーバーからコピーしたといったことか。

ソーシャルメディア炎上事件簿
小林 直樹 (著) , 日経デジタルマーケティング (編集)
内容（「BOOK」データベースより）
ソーシャルメディアで炎上?なんて自分には関係ない。会社勤めをする、そんなあなたにこそ読んでいただきたい。同僚と飲みに行くのは会社近くを避ける。そんな慎重な人もツイッターなどソーシャルメディアへの投稿でついうっかり。そして炎上。翌日、会社に謝罪する。そもそも投稿などしないから関係ない。そう思っても誰かがあなたの役職に"なりすまし"孫正義氏を罵倒。そして炎上。翌日、会社が謝罪する。いずれも実話でありそれらを具体的社名で綴ったのがこの事件簿。12年前から炎上現場を追い続けた専門記者による炎上回避のための指南書でもある。

また認証局がハッキングされ、偽証明書が発行された。

認証局が不正なSSL証明書を発行、Googleユーザーを狙う攻撃が発生 - ITmedia ニュース 　

オランダの大手SSL認証局DigiNotarからGoogleなどのWebサイト用の不正なSSL証明書が発行され、これを使ってGoogleサービスとユーザーとの通信に割り込もうとする攻撃が発生している。Google、Firefox、Microsoftなどの主要Webブラウザメーカーは8月30日までに、ユーザー保護のための対策を表明した。

3月のComodo社事件と類似。
偽SSL証明書発行事件の情報 - けにあmemo

DNSSECを使う保護もまた話題になるのかな。
Chrome 14がhttpsサイトの認証にDNSSECを使用 - けにあmemo

ウィキリークス　WikiLeaks　　アサンジの戦争
『ガーディアン』特命取材チーム (著), デヴィッド・リー (著), ルーク・ハーディング (著), 月沢 李歌子 (翻訳), 島田 楓子 (翻訳)
# 単行本: 354ページ
# 出版社: 講談社 (2011/2/15)
# 言語 日本語
# ISBN-10: 9784062168502

art of defenceってもう買収されていたのね。

Zeus acquires Art of Defence | ZDNet
By Dan Kusnetzky | June 20, 2011, 3:05am PDT

Zeusにとってはソフトウェアで組み込む上で都合が良い製品形態だったのだろう。
買収額は非公開らしいけど、なんだか安そう。
WAFメーカーはなかなか単独で残らないなあ。

ウェブオペレーション ―サイト運用管理の実践テクニック
John Allspaw (編集), Jesse Robbins (編集), 角 征典 (翻訳)
内容（「BOOK」データベースより）
本書は、ウェブオペレーションに携わるエキスパートたちの経験と知識を18本のエッセイにまとめたものである。Yahoo!でさまざまなサービスを立ち上げたエンジニア、ソーシャルゲームの大手Zyngaのストレージマネージャ、Ganglia・Chef・Maatkitといったツールの開発者などが、インフラとアプリケーションのメトリクス・機能低下の人的要因・アジャイルインフラストラクチャ・NoSQL・継続的デプロイ・ウェブオペレーションのキャリア構築などについて、具体的な事例を挙げて紹介する。また、日本語版では、料理レシピサイトで有名なクックパッドを支えるオペレーション技術も掲載している。日々の試行錯誤から体得するウェブの運用・管理の技術について、経験豊富な技術者のノウハウを紹介する本書は、様々なケースに応用できる発想を導く一冊である。
大型本: 278ページ
出版社: オライリージャパン (2011/5/14)
言語 日本語
ISBN-10: 4873114934
ISBN-13: 978-4873114934