Twitter用APIを悪用したJavaScriptの多重難読化
現在のIT部門にとって最大の脅威は、マルウエアに感染したWebページではないだろうか。マルウエアに感染したHTML文書は大抵の場合、活動内容を隠しておくために、JavaScriptで攻撃用コンテンツを動的に生成するようになっている。セキュリティ検査で発見されないようにするため、こうした攻撃の手口はどんどん複雑化している。今回分析するのは、自動解読エンジンをごまかす細工と5段階の難読化が施されたサンプルだ。 分析対象はWebページに感染した6Kバイトの難読化JavaScriptであり、解読していくと最後に攻撃用サイトを指す一つのiframeタグが現れる。攻撃者は暗号表やXOR演算、代入暗号に加え、古典的な文字入れ替えといった手法を組み合わせることで、最終的なコンテンツを隠そうとしている。当ブログでも以前こうした難読化手法をいくつか紹介した。 解読するには、ペイロードとなっているこのJavaS
高木浩光@自宅の日記 - クッキー食えないのはドコモだけ
■ クッキー食えないのはドコモだけ ろくに安全な作り方も確立していないくせになぜかやたら蔓延ってしまった「簡単ログイン」。そもそもUI設計からしておかしい。ボタンを押せば入れるなら、ボタンがある意味がない*1。ログアウト不可能な常時ログインサイトだ。(それなのに「ログアウト」ボタンがあったりする。) 「そんなこと言ったって便利だから必要なんだ」とか、「ケータイでパスワードなんか入れてられない」だとか、「お客さんが付けてくれって言ったら俺たちIT土方には何も助言なんてできないんだ」とか言う人が出てくるわけだが、そんなのは、一般のインターネットのサイトだって、昔から「□ 次回から自動的にログイン 」とか「□ 次回から入力を省略」といったチェックボックスが普通に用意されている。amazon.comなんか大昔からログインしっぱなしだ。 そしてそれはcookieによって実現されてきた。個人識別番号な
セキュリティ情報 - Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題
文書番号HASHC2010052401 Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題 HASHコンサルティング株式会社 公開日:2010年5月24日 概要 昨年11月24日づけアドバイザリにて、iモードブラウザ2.0のJavaScriptにより、携帯端末に割り当てられたID(以下、端末固有ID)を利用した認証機能(以下、かんたんログイン)に対する不正アクセスが可能となる場合があることを報告した。その後の調査により、同種の問題がYahoo!ケータイのブラウザ(通信事業者はソフトバンクモバイル)でも発生することを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者およびYahoo!ケータイ利用者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザに用意された端末固有IDを利用した簡易的な認証であり、ユーザがIDやパスワード
前職の会社から不正アクセス防止で訴えられました。…
前職の会社から不正アクセス防止で訴えられました。 先程、警察の方が来られて自宅PCを押収されたました。 警察からは事情を聞きたいので近々警察署に来てくださいと言われました。 ただ、玄関で内容を説明している時に写真を取られたり、PCの設置している場所の 写真を撮られたりしました。 前職の会社でIT責任者でした。アクセスしたのは私が作成したシステムですWEBから 利用できるシステムで主に顧客情報が載っております。退職後は管理者のIDでアクセス しましたが特に個人情報等を持ち出しはしておりません。ただ、ブラウザの機能で パスワードが残っていたので興味本位で中を閲覧しました。 ただ、押収されたPCの中には前職で利用したメールデータ、資料等が保存されています。 中には個人情報に関するものもあります。これらは自分を守るために保存しておりました。 それは退職前に経営陣に関して内部告発をして退職しました。
高木浩光@自宅の日記 - ここまで破綻しているケータイID認証(簡単ログイン)
■ ここまで破綻しているケータイID認証(簡単ログイン) 2009年夏、はてなブックマーク界隈では「かんたんログイン」が危ういという話題で持ち切りだった。IPアドレス制限をしていても突破できてしまうのではないかという話だった。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフトバンクの携帯用GatewayをPCで通る方法があるようです, ke-tai.org, 2009年8月4日 これは要するに次のような話だった。 まず、SoftBankの携帯電話で特定のAPN mailwebservice.softbank.ne.jp でネット接続して、所定のProxyサーバ sbwap
aguse.jp:aguse ポップアップツールの設置
調査結果は右図のように表示されます。 上から画面キャプチャ、フィッシング/マルウェア判定、サーバの位置(国旗)、サイトドメインです。 「国旗」「判定結果」「サイトドメイン」にマウスカーソルを乗せるとそれぞれの詳細情報を表示します。
WEBインベンターがCookieを使うようになった | 水無月ばけらのえび日記
公開: 2010年4月11日21時50分頃 「URLを知られたらアウトな管理画面」の話ですが、「管理プログラムのセキュリティーの向上 (mag.wb-i.net)」というアナウンスが出ていますね。 WEBインベンターのご利用に心から感謝いたします。ショッピングカートの管理プログラムのセキュリティーを一層向上させましたのでお知らせいたします。 追加された機能は、次の4つです。 (1)クッキーによるログイン方式。 (2)指定したIPアドレスからのみ管理プログラムにアクセスできる。 (3)パスワードの暗号化。 (4)メールフォームのスパム対策など。 以上、管理プログラムのセキュリティーの向上 より パスワードをURLにつけて引き回すのをやめて、Cookieを使うようにした模様です。下の方にサンプルへのリンクがあるので、早速確認してみると……。 サンプルのログイン画面にアクセス: http://w
58. すごいリロード対策
まず、日本のサイトにある一般的な登録フォームの画面遷移は 入力画面→入力確認画面→完了画面 となっている場合が多いようです。ここでリロード問題となるのは完了画面でのDBへのINSERT処理やCSV書き出し処理、メール送信処理など「一度しか行わない処理」です。例えば完了画面へ遷移した際にブラウザのリロードボタンが押された場合、確認画面よりsubmitした情報が再度submitされて上記の一度しか行わない処理が二度行われてしまいます。そうならないよう、リロード対策はスクリプトで制御します。 まずは確認画面のスクリプト 確認画面でチケットを発行し、セッションに保存しておきます。同時に完了画面へチケットがPOSTされるよう、hiddenにセット。こうして完了画面へ遷移させます。それでは完了画面のスクリプトを見てみましょう。 このように、確認画面で発行されたチケットは一度使い切ってしまえば2度処理さ
日本オンラインゲーム協会、セキュリティ共通基盤システムを導入 / GameBusiness.jp
日本オンラインゲーム協会は、多発しているハッキング行為によるユーザーアカウントの不正取得や、起因する犯罪行為やトラブルに対して適切なユーザー対応を行うため、会員企業で利用できるセキュリティ共通基盤システムを導入すると発表しました。 セキュリティ共通基盤システムは、携帯電話と定期的にパスワードが変更されるワンタイムパスワードを組み合わせた認証システムで、警察庁の要請を受けて導入が決定しました。従来のシステムと国べて、中小ベンチャー企業でも導入可能な低コストを実現しています。また、複数企業の共通基盤として運用するため、不正アクセスへの対処を多くの企業や団体との連携で行う事が出来ます。 協会加盟のオンラインゲーム各社の合算で約5000万のユーザーアカウントがあるとのこと。 日本オンラインゲーム協会では今後もユーザービリティとセキュリティのバランスを考慮しながらセキュアなサービス環境を構築し
高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件
■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ
FTP の危険性に関して超簡単まとめ
今日話題になった Gumblar の亜種によって FFFTP の設定情報から FTP 情報が漏れる件で、FTP 自体の危険性と FFFTP 自体の特性、さらに Gumblar 対策という点で少し情報が混乱している状況が見受けられます。そこでその点を簡単にまとめてみました。 去年あたりから、「Gumblar (ガンブラー)」 に代表されるような、FTP のアカウント情報を何らかの手段で盗み出して Web サーバにアクセスし、Web サイトを改竄して被害を広めていくタイプのウィルスが問題になっていますが、今日になって広く利用されているフリーの FTP クライアントである 「FFFTP」 にアカウント情報漏洩の危険性が見つかったということで話題になっていました。 「FFFTP」のパスワードが"Gumblar"ウイルスにより抜き取られる問題が発生 : 窓の杜 ただ、この問題で、FTP 自体の危険性
サイバークリーンセンター(CCC)|ホームページからの感染を防ぐために
最近は、「危ないサイト」だけではなく、正規サイトや、“いつも見ているホームページ”が、ある日突然、ウイルスへのリンクを埋め込む改ざんが行われ、そのサイトを見た方が感染する被害が増加しています。 当サイトでは、ボットウイルスから守るために「ボットの駆除対策手順」のページで以下の3つの対策お願いしております。 しかし、ホームページからの感染を防ぐためには、この3つの対策以外に次の「1,ホームページ閲覧者の感染防止方法」に記載するプログラムを最新に保つことが必要です。 また、ホームページを持っていらっしゃる方は、「2,ホームページ開設者の対処方法」を参考にウイルスへのリンクを改ざんされ埋め込まれていないかの確認を行い、改ざんされていた場合は手順に従い復旧を行ってください。 JVN(Japan Vulnerability Notes)の「MyJVNバージョンチェッカ」を利用してWeb感染型に
asahi.com(朝日新聞社):iTunes、IDなりすましの恐れ アップル社調査 - 社会
代金の不当請求被害が多発しているアップル社の音楽配信サイト「iTunes(アイチューンズ) Store(ストア)(iTS)」で、一定の条件がそろうと、見ず知らずの他人に自分名義で音楽ファイルなどを買われる状態になる恐れがあることがわかった。パスワードを変える際の本人確認が不十分な可能性があり、同社も事実関係の調査を始めた。 iTSの利用者は購入前にIDとパスワード、代金を支払うクレジットカード番号などを登録する。IDとパスワードは、対になって本人確認に使われる。 だが、千葉県の女性は約2週間前、実在する北海道の女性の利用画面に偶然に入ってしまった。千葉県の女性によると、新しく設定したIDでiTSに接続し、パスワードを入れたところ、何度か「違う」と接続を拒まれた。パスワードを再登録し、再接続してみると、個人情報の画面に北海道の女性の住所や電話番号、クレジットカード番号の一部、誕生日などが
独仏の政府機関、「IE」の利用を控えるよう勧告
ドイツ政府およびフランス政府は、「Internet Explorer(IE)」について、先ごろGoogleへのサイバー攻撃に用いられたゼロデイ脆弱性にMicrosoftが修正パッチを提供するまで、IEの利用を避けるよう国民に勧告を行った。 Microsoftは米国時間1月14日、IEの脆弱性が、Googleのインフラに対するサイバー攻撃に利用されたことを認めた。この攻撃は、中国の人権活動家の「Gmail」アカウントにアクセスを試みたもので、ほかにも同じ脆弱性が複数の米国企業への攻撃に用いられたという。 この攻撃コードは、無効なポインタ参照の脆弱性を悪用するもので、複数のメーリングリストのほか、少なくとも1件のウェブサイトで公開されていると、セキュリティ企業のMcAfeeは15日付のブログ記事で明らかにしている。 ドイツ連邦電子情報保安局(BSI)は現地時間15日、「緊急」レベルのこの問題に
Webからの脅威「Gumblar」(ガンブラー)
今回は趣向を変えて,複数の不正プログラムにより引き起こされる最新の脅威を仮想的に再現してみたい。トレンドマイクロでは現在最も多く発生している脅威のモデルを「Webからの脅威」と定義している。その最大の特徴は,インターネット経由のダウンロードなどにより複数の不正プログラムが侵入し被害を拡大し続けるというものだ。 この攻撃の導入口として増加している攻撃方法として,正規Webサイトの改ざんがある。正規Webサイトを何らかの手段でハッキングし,そのコンテンツを変更する攻撃は古くからあったが,Webからの脅威のモデルにのっとった大規模な正規Webサイトの改ざん例としては,2007年6月に発生した「イタリアンジョブ」と呼ばれるケースが最初のものである。イタリアを中心に100以上の正規Webサイトが改ざんされた事例だ。 この攻撃では,改ざんされた正規Webサイトには他の不正サイトへリダイレクトするHTM
asahi.com(朝日新聞社):三井住友カードのサイトも改ざん ガンブラー感染の恐れ - 社会
三井住友カードは13日、ホームページ上のサイトの一つが改ざんされ、閲覧者最大1845人に新型コンピューターウイルス「ガンブラー」の亜種に感染した恐れがあると発表した。「VISAギフトカードご利用可能店はこちら」というサイトで、対象期間は6日午後2時半から7日午前11時13分。閲覧者が感染すると、入力情報が流出している可能性がある。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
YouTube、3月13日でIE6のサポート終了 
ウイルス感染したPCにおける保存パスワードの窃取問題へ対策した「FFFTP」v1.97
So-net セキュリティ通信
https://jp.techcrunch.com/2010/01/22/20100121depressing-analysis-of-rockyou-hacked-passwords/
