求む！イカタコクラゲフグ『ウイルス』の情報〜なんかヤバそうなニホヒがするのだがいまだに正体が分からない・・・

まずは以下のキャプチャーを見てほしいのだが、これが最近一部の特殊アプリ常用者のWindowsユーザがやられて、阿鼻叫喚地獄になっている「イカタコウイルス」のスクリーンキャプチャーだ。
（キャプチャーは下記リンク先の２ちゃんねるまとめブログから転載）

これはWindowsのスクリーンキャプチャ（２ちゃんねるまとめブログより転載）
あらゆるファイルが「イカ画像」に置き換えられている

この「ウイルス」にやられると内蔵ディスクだけでなく、接続しているネットワークボリュームのすべてのファイルが「イカ」の画像に置き換えられてしまう。
jpegやmpegだけでなくドキュメントファイルもシステムファイルもすべて書き換えられてしまうそうだ。
そしてそうなったら勿論もう内蔵ディスクから起動はできなくなるし、一般に消去ファイルはサルベージできるがこのように上書きされてしまったファイルはもう二度とサルベージも不可能だということだ。

なかなか気味が悪い「ウイルス」だと納得いただけただろうか。
しかもさらに気味が悪いのは、実はこれウイルスかどうかもよくわからないのだ。だから「ウイルス」とカッコつきで書いているのだ。

「一部の特殊アプリ常用者のWindowsユーザ」とは要するにWinnyユーザのことだが、これはそういうファイルをもらっちゃったら、Windowsでは誰でもやられる可能性がある。

作者はWinnyやTorrentなどのP2Pユーザに対する憎悪を表明するようなメッセージを添えているが、もしもこういうものをもらったnyユーザからたまたまメールやUSBメモリなどで問題のファイルをもらってしまったら、そういうアンダーグラウンドに手を染めていないWindowsユーザだってやられる可能性はある。
「ウイルス対策ソフトはちゃんと入れているから大丈夫さ」
とか言ってみたって、そのウイルス対策ソフトに引っかからないようだからたちが悪い。

このファイルはもらった時には.AVIなどの拡張子を持っている。
ファイル名は大抵は人気のアニメのタイトルだったり、映画のリッピング風の名前だったりする。
そしてnyユーザがこういうファイルをゲットして、勿論用心のためにPCに入れてるウイルス対策ソフトでスキャンをかけるが特に異常も「感染」アラートも出ない。

最近のnyユーザは、世間で個人情報流出事件が喧伝されていることも知っているし自分たちが危険なことをしているという自覚を当然持っているから、こういうWinnyでゲットしたファイルは必ず右クリックでウイルス対策ソフトでまずスキャンするという癖がついている。
それも用心深いユーザだと、インターナルにインストールしているウイルス対策ソフトだけでなく、複数のネットスキャンサービスでスキャンをかけてからクリックしてファイルを開くという用心深さを持っているようだ。

しかしそれでもやられてしまう。

どうも
.avi
という拡張子は偽装で
.avi                            .exe
というような細工がしてあったのではというのが通説なのだが、どうやらそうではなくaviファイルはただのラップで、その中味に実行形式のファイルを仕込むことができるような未確認情報もある。
今のところAVIにそういう脆弱性があるという話は聞いたことがないが、もし本当だとしたら大変なことだ。
そしてそういううわさ話も聞かれるくらいこの「ウイルス」は正体不明なようだ。

実はしばらく前からこの話題には注目していろいろトレースしていたのだが、以下のリンク先を見ていただければわかるように、かなりあちこちでスレが立ち、エントリーも書き込まれ各所で話題になっているにもかかわらず、マスコミやITニュースは勿論、セキュリティソフトベンダーのセキュリティレスポンスでもほとんど話題にならないので全く正体がつかめない。

イカ、タコウイルスの記事のリンク先一例

タコ・イカウィルス（？） 暫定まとめ-Birth of Blues

2chまとめブログ クマ速報 - 軽い気持ちでP2P入れたらPCがぶっ壊れた

Winny？- 掲示板 新型のp2pウイルスについての情報をお願いします

強力なコンピューターウィルス　八戸の蛸（たこ） - バビル３世の　ＰＣ関連　& お勧め映画、書籍等

見た目はかわいいが恐ろしいウイルス！ - パソコン修理マニア

ウィルス襲来、殲滅に関する報告｜かずのこのブログ

ということで皆さんにお願いなのだが、どこかでこのウイルスをちゃんと特定しているという情報をお持ちならお知らせいただきたい。
というかこれは本当にウイルスなのかという情報も含めて、ご存知の方はお知らせいただければ助かる。
ウワサはたくさん飛び交っているのだが、それも結構な期間ウワサになっているのだが、どこからも公式発表がないというのがよくわからない状況だ。
ひょっとしたら私が見落としているだけなのかもしれないので、
「ここに行けばちゃんとした情報があるよ」
という情報をご存知の方がおられたらご教授願いたい。

よろしくお願いいたしますm(_ _)m

タコ「ウイルス」をゲット、テストしてみた〜これは引っかかるヤツが悪いといってしまうと身もふたもないのだが・・・

先日ここでも「イカタコクラゲフグ『ウイルス』」の情報を求めたところ、お仕事仲間から
「タコウイルスゲットしましたので差し上げます」
ということで検体をいただいた。

このイカタコクラゲフグ『ウイルス』についてのウワサはこちらを参照。

2009 年 11 月 5 日
求む！イカタコクラゲフグ『ウイルス』の情報〜なんかヤバそうなニホヒがするのだがいまだに正体が分からない・・・

いただいたタコ「ウイルス」は先の2ch系ウワササイトのサンプルのタコ「ウイルス」とは別種で、どうやら相当亜種が増えているらしい。

これがなぜ.aviとして入ってきてWindowsユーザが皆手もなくやられるかが知りたかったのだが、調べてみて確かになるほどと思った。

これの特徴は
１）.aviファイルを偽装した.scrファイル（実行ファイル）であること

２）Windowsファイルシステムの拡張子表示の弱点を利用して拡張子を偽装している（拡張子をチェックする習慣のあるユーザを出し抜く意図あり）

３）それ自体は単なるスクリプトであり、自分で実行環境に感染したりコピーをバラまいたりできない

４）つまり厳密には「ウイルス」ではなく単なるスクリプトなのでウイルス対策ソフトには引っかからない

５）主にWinny、Torrentなどのファイル共有ソフトを媒介に流通しており、ファイル名は人気アニメや映画などをリッピングした風のタイトルになっている（ケースが多い・・・今後例外も出るかも）

６）また.aviファイルを偽装するためにそれなりのファイルサイズになっていて、無意味な映像もバンドルされている

７）クリックで起動するとWindows Media Playerが起動して、その無意味な短い動画を再生するが、それは見せかけでその背後でどんどん実行ファイルは作業を進行させている

８）「winlogon.exe」というプロセス名がフルアップしている
またよく見ると同名のプロセスが２つ起動している（あまり動いていない方が本物でフルアップしている方はプロセス名を偽装していると思われる）

９）終了しようとすると「lsass.exe」というプロセスがログアウトを拒否する
結局強制終了することになる

１０）もとの偽装.aviファイルを削除して再起動してもまた「タコjpegバラまき」プロセスが始まって最終的にはシステムも起動できなくなってしまう

１１）システムを破壊するように思われたが、実際にはシステムファイルで置き換わるのはごく一部だけ
それでもユーザファイルは全滅するので被害は甚大

１２）やられたあとでその起動ボリュームに外からウイルススキャンをかけてもやはりウイルス様のものは見つからない（System32の中のlsass.exeがプロセスの実体で、やはり単なるスクリプトだからウイルス対策ソフトは反応しない）

１３）ファイルを削除するウイルスと違って上書きしてしまうので、感染後のデータのサルベージはおそらく不可能

ということになる。

ここまでなぜ「ウイルス」とカッコつきで書いていたかおわかりいただけたろうか。
厳密にいうとこれは作業を自動実行するスクリプトで、ウイルスとはいえない。
マルウエアではあるが、そういう理由なのでウイルス対策ソフトでこれを防ぐことはできない。

ただ大事な点は、この「ウイルス」は一般のウイルスやワームと違って自分で感染活動をすることができないので、出元が怪しいファイルをもらってしまわないように気をつけるということで防げると思う。
端的にいえばWinnyなどのリスクが高いソフトは使わないことだ。
Torrentは有用なファイルの共有にも使われているが、出自がしっかりしたファイル共有者はMD5ハッシュ値も配付しているので、そういうもので怪しいファイルでないか確認するという方法をお薦めする。
ただし、Winnyを通じなくても手渡しで、こういうファイルを渡すことは当然できるので相手に悪意がないかを見極めることはどんな場合でも必要になる。

もうひとつ重要な点はこれ自体は単なるスクリプトだが、これを隠れ蓑にして別のワームのエクスプロイトと組み合わせたり、ペイロードに別のものを組み合わせるということができるんじゃないかという気がした。

つまり今のところはWinnyユーザをターゲットにした他愛もない「いたずらソフト」だが、Winnyユーザをダシにして最終的には会社などのネットワークを全滅させたり、管理権を乗っ取ったり、それで重要情報を抜いたりというように悪用される可能性も感じた。

これも相当亜種が出回っているようだし、巷でウワサになっている「イカタコクラゲフグ」などの多数の亜種の全部が、これと同じ原理なのかもわからないのだが、とりあえず.aviそのものに細工をされる可能性は今のところなさそうなので、ちょっと安心している。

ただしファイル共有ソフトユーザは安心してはいけない。
というより「もうWinnyはヤメレ」といいたい。
Windowsでファイル共有ソフトなんか使っているのは自殺行為だと思う。

タコ「ウイルス」をテストするに先立ってシマンテックアンチウイルスの
ウイルス定義ファイルを最新にしてスキャンをかけてみた
しかし何ら「感染」は無いという結果が出た

問題のタコ「ウイルス」はMacで見ると明らかにWindows実行ファイルのアイコンがついている

ファイル名を確認するとリッピングコンテンツ風のタイトルの最後が
.avi.scrという二重拡張子になっているのがわかる

ところがWindowsで見るとこの拡張子が.aviに化ける
どういう仕掛けなのかAVIアイコンまで貼付けてある

リスト表示で見てもやはり.aviに見える
最近のnyユーザも馬鹿ではないからダウンロードしたファイルの
拡張子を必ず確認する習慣は広まっているようだが
これはそういうnyユーザを出し抜いてやろうという意図がアリアリだ

もう一度ウイルス対策ソフトで止められないかテストするために
ウイルス定義ファイルを最新版にする
ClamAVは念のためにTerminalから更新

シマンテックアンチウイルスとClamXavでスキャンをかけたが感染はないという結果が出た

さらにWindowsのAVGでもスキャンをかけてみた

こちらも問題無し
普通ここまでやれば「問題無いようだから中味を見てみよう」と考えるだろう
最近のnyユーザは複数のウイルス対策ソフトでファイルを
スキャンするという習慣も身につけている
しかしそれも出し抜かれているということだ

ここでテストのためにこの時にもしUSBなどで外付けハードディスクを
マウントしていたらどうなるかも見てみることにした

例のaviファイルとおぼしきファイルをクリックすると
一応Windows Media Playerが起動してきてモヤモヤっと
画像らしきものをちょっとだけ表示する

そのあとは何も起こらない
しかし注意深いユーザなら猛烈に外付けハードディスクに
ディスクアクセスしていることに気がつくだろう
外付けハードディスクを開いてみると中味はもうこうなっている
ウワサ通りjpegやmpegだけでなくバイナリも何もかもやられている

普通の人はここで異常に気がついて慌ててシャットダウンをトライするに違いない
しかしなぜか「反応しないプロセス」があってシャットダウンはブロックされてしまう
結局強制終了するということになる
私はVMWare Fusionのメニューから「ゲストのシャットダウン」をかけたが
実機ならコンセントをぶち抜くということになると思う
ホストのMacのCPU表示がフルアップしていることに注目

先ほどの外付けハードディスクをシマンテックアンチウイルス、
ClamXavでスキャンをかけるがやはり何も出てこない

しかしその中味はWindowsのエクスプローラからも見えた通り全部消えている
画像や動画ファイルだけでなくバイナリもその他ファイルも全部これに変わっている

このメッセージが以前のタコウイルスではWinnyに対する敵意が感じられるメッセージだったが
これは全くの愉快犯としか言いようがない

ことの発端になった偽装AVIファイルをMac側から削除してもう一度Windowsを起動してみた
起動には成功したがまたプロセスがフルアップしていることに気がつく
「ウイルス」に入り込まれた状態だと思われる証拠にタスクマネージャを開くと
「winlogon.exe」というプロセスがフルアップしているのに気がつく
しかも同名のプロセスがもうひとつ起動しているのがわかるだろうか

そうこうしているうちにデスクトップがPNGだらけになってきた
デスクトップの不可視ファイルもどんどんタコ画像ファイルに置き換わっているからだと思われる
このようにシステムファイルも見境なしに削除されてしまう

デスクトップに置いていたフォルダを開くと中味はもうこの通り

このような表示が出るとシステムの起動に必要なファイルもやられていると思われる

ここで再度シャットダウンをかけることにした
もうシステムはいうことを聞かないのでVMWare Fusionから
「ゲストをシャットダウン」で終了をかける

この時に執拗にログアウトを止めるプロセスがある

このlsass.exeが「反応していません」という表示を出してログアウトをブロックする
勿論その間にもどんどんバックグラウンドではファイルが消されている
このlsass.exeがプロセス名を詐称して活動しているに違いないと考えてあとで実験をしてみた

再度BootCamp全領域をClamAVでスキャンをかける
動作が確実なのでTerminalからかけてみたがやはりウイルスらしきものは出てこない

再起動をかけるがWindowsはdllの不適合で起動できないという表示を出して止まってしまう
Windows単一の環境だともうここで完全にパニクってしまうかもしれない

まず悪さをしている張本人だと思われるlsass.exeをMacから探してみる
３つあるがこの場合WINDOWS￥System32の中にあるlsass.exeが怪しいと思われる

そこでバックアップ先のディスクイメージから同名ファイルと置き換える

Cドライブの第１階層にある「BOOT.INI」というファイルもタコファイルに置き換えられている
またアラートにあったHAL.DLLはWINDOWS￥System32の中にあるので
これらもバックアップのものと置き換える

これでやっとシステム自体は復帰した
やはり起動中のシステムファイルやアプリのバイナリまでは削除できないらしい

しかし大部分のファイルやアプリは削除されたあとで
システムが復帰しても結局できることは何もない

今度はwinlogon.exeというプロセスは
一つだけ起動していてCPUもほとんど喰っていない
これが正常な姿なのだろう

こんな大変な時でもDropboxはちゃんと動いてくれたので
Windowsのフォルダのすべてのタコファイルをwebにアップロードしてくれて
MacのDropboxのフォルダもきっちり全部タコファイルに書き換えてくれた
ここにもし重要ファイルを入れていたりすると使っているパソコンが
全部連鎖的にやられるという悲惨なことになるというオマケつきだ

このようにいかなる段階でもウイルス対策ソフトのスキャンでウイルス性のプロセスは発見できなかった。
「ウイルス対策ソフトを入れているから大丈夫」
とか言っている人達にはよくこの事実を見てもらいたい。
ウイルス対策ソフトだけではこのマルウエアは止められないし、ごく一部のウイルス対策ソフトは対応しているみたいだが単なるスクリプトだからいくらでも亜種は作れる。

ただ感染ルートはすべてユーザが自分の手で入れて自分でクリックして起動するというプロセスが必要で、 自律的に感染することはできないので感染力は強いとはいえないが、それでもWinnyなどをやっている人はハイリスクグループだということは間違いない。

そういう人達が気がつかないで持ち込んで、会社のネットワーク上のサーバを全滅させるなんてこともあり得ないとはいえない。
そうなった時に
「ウイルス対策ソフトも入れていたしファイアウォールも立てていたのに」
と訝しむことになるだろう。

その可能性を感じたのは、内蔵ディスクよりも先に外付けハードディスクやネットワークボリュームの方を優先的に破壊するように設定されていることに気がついたからだ。
そういうシチュエーションを想定して、まず外部のボリュームから先に破壊するという考え方になっている。

このすごい悪意からあなたは自分を守れるだろうか。

タコウイルスの拡張子偽装のメカニズムもわかった〜のだがやっぱりWindowsって安全に問◎▼×$?★♂∫・・・

先日気になっていたタコウイルスの検体を入手してその仕組みも大体わかったのだが、この「ウイルス」の一番気持ち悪いところは拡張子を偽装しているというところだった。

未確認情報で.aviをエンベロープのように使って、その中に実行形式にファイルを仕込むことができるのだ・・・とかつぶやいている御仁がいたが、そういうものはまだ確認できない。
もしそんなことができるなら大問題で、今のところセキュリティ的に安全だと思われる.aviや.movなどの形式のファイルの安全性を全部見直さなければいけなくなる。
パソコン世界の安全基準の根幹を揺るがすような話だが、今のところそういうものを確認できない。

それで予想では、昔よくあった
.avi                            .exe
というようなスペースを空けて本当の拡張子を隠しているのじゃないかと思っていたが、Macから問題のファイルを見ているとスペースを入れているような様子もなく、普通に.avi.scrというように二重拡張にになっているだけだ。

これはどういうことか調べていてこちらのページの記述に出会った。

ひまぐらま-実行形式拡張子 「 .scr 」

要するにWindowsの世界では拡張子表示にしても未登録の.dmgなどの拡張子は表示されるが、.scrのようなスクリーンセーバの拡張子は隠される。
しかもexeが実行ファイルの拡張子だというのは皆知っていることだが、他にもいくつも実行形式の拡張子があるというのは案外知らないんじゃないだろうか。
しかし.exeと.scrは実際には拡張子が違うだけで中味は全く同じだということだ。

その証拠に.exeファイルの拡張子を.scrに書き変えても普通に動く・・・（゜Д゜）

フォルダオプションの設定で、「登録されている拡張子は表示しない」という設定が入っていると、この.scrは隠されてしまうからこういうことが起きるのだが、これがこのウイルスでは狙われたわけだ。
初心者はこういう未登録の拡張子を見て「確認した気なっている」ということもあり得る。
ダウンロードしたファイルに普通に「.avi」の拡張子がついていたら初心者は安心してしまうだろう。

初心者は
「ちゃんと拡張子は確認しました。.aviになっていました。なのにやられてしまいました」
というだろう。
上級者が
「こんなウイルスに引っかかるヤツがバカなのだ」
といっている記述をあちこちで見かけたが、でもシステムのデフォルトの設定がそうなっているのだ。
初心者が馬鹿だからというのはちょっと酷すぎないだろうか。
私は知らなかった。
私も初心者だが・・・

こういう初心者には安全管理ができないようなインターフェイスそのものにやはり問題があると思う。
少なくとも.exeや.scrも未登録の拡張子も扱いをいっしょすべきだ。
拡張子なんて隠すか見せるかのふたつにひとつで、それ以外の細かい設定なんて混乱するだけで無用だと思うのだが、そういうもんじゃないのだろうか。
そして拡張子はデフォルトですべて表示する設定にしてほしい。
これはMacでも同じことだが・・・

とにかく、そういう「欠点」を突かれてWindows初心者は今日もイカタコクラゲフグの犠牲になっているわけだ。
おめでたいことである。

先日確認したタコ「ウイルス」の拡張子がちゃんと表示されている

どうやったかというとエクスプローラのツールから「フォルダオプション」に入る

そこで「登録されている拡張子は表示しない」のチェックを外すとすべての拡張子が表示される
そうすると上記のように偽装拡張子の下に.scrというスクリーンセーバの拡張子が現れる

上記チェックが入ったデフォの状態だと、偽装の.aviは残って.scrは消える
ややこしいのは未登録の拡張子はこの状態でも見えるので
初心者はそれを見ているケースがあるということだ
拡張子はすべて隠すかすべて表示するというふうに単純化してほしいものだ
こういうデフォルト設定で「一部だけ拡張子が隠れる」というのは私も初めて知ったが
Windows上級者がこの手のウイルス感染者をバカにする理由がわかった
しかし初心者でも安全管理が問題無くできるインターフェイスでないと意味がない
と考える私は「所詮、発想がマカ」ということになってしまうのだろうか

この.scrが隠れる設定がいかに問題が大きいかをテストする
ここにiTextというMacでも愛用しているテキストエディタがある
Windows版の拡張子はアプリなので.exeだ

この拡張子をスクリーンセーバの.scrに書き変える
当然システムは「そんなことして動かなくなっても知らんぞ」というアラートを出す

しかし拡張子を書き換えたiText.scrは問題無く起動した
つまりこの方法で実行ファイルの拡張子を隠すことができるし
簡単に偽装することもできるということだ

先ほどのフォルダオプションの設定を戻したらiTextも.aviファイルに偽装できた
このアプリのアイコンリソースにAVIのアイコンを貼ればもう見分けがつかないだろう
こんな偽装は初心者でも簡単だ・・・引っかかるヤツがバカだといわれればそうかも・・
ともかくWindowsを使っている人は仮想マシンだろうがBootCampだろうが
上記のフォルダオプションの設定を今すぐ変更することをお薦めする
そしてクリックする前に拡張子を確認すること・・・身を守る方法はこれしかないと思う

iPhoneを狙ったワームが出てきている

表題の通りで、こちらのSophosのセキュリティレスポンスブログにその詳細がでています。
First iPhone worm discovered - ikee changes wallpaper to Rick Astley photo | Graham Cluley's blog

オーストラリアのユーザの報告によると待ち受け画面を８０年代のポップス歌手のリック・アストレイの写真に変えられてしまうというワームに感染したらしい。

感染の可能性があるのはジェイルブレークしたiPhoneで、SSHインストール後のパスワードをデフォルトのまま変更していないものがターゲットになるという。
感染すると特定のところに接続する、待ち受け画面をリック・アストレイの写真にロックされてしまうということが起こるらしい。

この顔にピンときたら・・・とか言っている場合ではない
iPhone、iPod Touchをジェイルブレークしていろいろ
自分流にカスタマイズして使っている人は要注意だ

やられるとこういう感じで待ち受け画面を変更されて
特定の通信を勝手にされるということが起きるらしい

これについては同一のものなのかどうかはわからないが、シマンテックからもセキュリティレスポンスが出ている。
そのリリースを転載する。
（最近またシマンテックが少しやる気を取り戻しているのがよろしい）

※ シマンテック コーポレーションのブログ（米国時間2009年11月11日）の抄訳

ご参考資料
報道関係者各位
2009年11月11日

もう 1 つの iPhone 攻撃

iPhoneOS.Ikee という初の iPhone ワームが最近、至る所で話題になっています。
このワームの作者は、jailbreak （Appleの認可を受けていないアプリケーションを
インストール）された iPhone を容易にエクスプロイトできる（付け入ることができる）
不備があることを示すことを目的としていました。そのためワームの被害は軽微で、
攻撃の犠牲となった iPhone が単に Rickroll する（異なるリンク先にアクセスする）
だけというものでした。しかし、公開されたコードは簡単に変更でき、深刻な結果を
もたらすという警告が数多くなされています。

この警告やこれが関心の高いトピックであることから、jailbreak された iPhoneを
攻撃できるハッキングツールについてのレポートが登場しています。このツールは、
iPhoneOS.Ikee の場合と同じ、デフォルトの SSH パスワードを利用しますが、
別のワームではありません。これは iPhoneにインストールされるのではなく、
攻撃を実施するコンピュータにインストールするハッキングツールです。この
ツールを使用すると、攻撃者はネットワークをスキャンし、 iPhone のデフォルト
の SSH パスワードを使用してデバイスへのログインを試みることが
できます。パスワードがデフォルトのままの jailbreak された iPhone が
見つかると、ハッカーは電子メール、テキストメッセージ、連絡先、写真など、
侵入したデバイスからあらゆるデータを盗むことができます。ハッカーは
デバイスに接続して、完全にそのデバイスをコントロールできます。

iPhone のオーナーは、侵入が起きているという警告情報にほとんど
気付くことはありません。iPhoneOS.Ikee の場合は、壁紙を Rick Astley
に変更されることで感染したことを警告していました。今回のケースの
場合は、そのような目に見える兆候はありません。

一つ言えることは、この攻撃方法がとても古いということです。新しいこと
と言えば、このハッキングツールが jailbreak された iPhone を標的と
しているだけであり、それも以前に話題になったものです。このツールは
他の任意のデバイスをスキャンし、さまざまなサービスが使用する
デフォルトパスワードの一覧を使って侵入を試みるために使用することが
できます。

jailbreak された iPhone にログインして重要なデータをバックアップする
iPhone SSH スキャナと自動スクリプトは、登場してから数年たちます。
このハッキングツールは、何者かが 2 つのツールを組み合わせ、
手動で行う操作を除外してできたものです。iPhoneOS.Ikee の成功に
より、このツールに関する話題が、このレベルに到達しているだけと
思われます。

この脆弱性によって自分の iPhone が攻撃されるという不安がある
場合は、次の手順に従ってデータを保護してください。まず、データを
バックアップしてから、iPhone を出荷時の設定に戻します。その後 復元すれば、ワームは削除されセキュリティホールをなくすことができます。

リスクを承知で iPhone を再び jailbreak したい場合は、実行時に
ネットワーク接続を無効化し、デフォルトの SSH パスワードを変更
します。完了後にネットワーク接続を復元し、セキュリティホールを
なくすことができます。

jailbreak された iPhone のユーザーは、悪意のある攻撃に
対して明らかに無防備な状況にあります。iPhone を jailbreak
する前に、iPhone ユーザーは以前からわかっているこの脆弱性
について正しい認識を持たなければなりません。

この説明を見ると先のリック・アストレイのワームもジェイルブレークしたiPhoneの脆弱性を警告する実証コードが元になっているようだ。
この公開されたコードが改変されて実際に攻撃に使われているようで、対策はここにあるようにジェイルブレークを止めるか、やるときはオフラインにしてSSHパスワードを変更することということになる。

このジェイルブレークの危険性はつとに警告されていたことだから、やっている人は注意した方が良い。

ひょっとしたらスパムメールブラックリストに巻き込まれてるかもしれない〜要チェック

病欠中に発見したネタでまだ書いていないのがあってこれもそのひとつ。
spamhaus.orgをはじめとするIPアドレスベースのブラックリスト(RBL)を使ってはいけない
熱にうなされていたのに何やってたんだ(;¬_¬)？

有志の無料サービスでスパマーのIPアドレスのブラックリストが公表されていて、
「スパムメール、ウイルスメール対策済み！」
とか謳っているケーブルテレビとか一部大手インターネット接続プロバイダなどがこのブラックリストを使用していて、そういうリストから飛んでくるメールをシャットアウトしている。

ところが問題なのはこのspamhaus.orgのようなところのリストの作り方がずさんで、かなり関係ないところも巻き込まれて「メール禁止」状態になっているということだ。
このサイトでは具体的にどういうところがシャットアウトされているかIPアドレスで検証されていて、明らかにスパムメールとは無関係な企業や弁護士事務所までがリストに入っていることが分かる。

そういうところが入った経緯についても考察されていて、いろいろあるがやはりありそうなのはこの「ボランティア」の連中がボランティアであるイコール責任を問われないのような思い違いをしている典型的な連中のようで ひとつスパムが飛んでくるとその隣接した２０〜５０くらいのIPアドレスを全部禁止リストに入れてしまうらしい。 これが原因として一番大きそうだ。

しかも一度リストに乗ってしまうと数年経って、IPアドレスの使用者が変わっているにもかかわらずずっと「禁止状態」のまま放置されている。
これはひどい。

このブラックリストだがspamhaus.orgだけでなく、他のところも同じリストを使っているところが多く、要するにこの手のブラックリストを使っていると「一生メールのやり取りができないまともな人々」というのがどうしても存在する。
それもかなりの数存在する。

これを利用しているプロバイダ、企業もUSEN、Goo、中小ケーブルテレビネットサービス、ミサワホーム、その他一般企業多数ということらしい。
これはその会社がビジネス機会を逸失しているということだから、こういうことに無自覚なシステム管理者が居る会社は気をつけた方が良い。
システム管理者の怠慢のおかげでお得意様になるであろう人々をシャットアウトしている可能性があるということだ。

以前ケーブルネットからメールを送受信できないということがあって、それもここでも公開しているyahoo.co.jpのようなメールが撥ねられているなら仕方がないと思うが、私の会社のメールアドレスからの送受信が撥ねられているような感じなので、不思議だと思ったことがあったがこういう問題があるらしい。

オタクの会社&自宅のプロバイダはこういういい加減なスパム対策ブラックリストを使っていませんか？ 一度確認した方がいいと思う。

ガンブラー（Genoウイルス）の猛威にとりあえずAdobe Readerをアップデート

昨年ここでも紹介したGenoウイルス（最近の呼称はどちらかというとGumblarがよく使われている）が年末から年始にかけてまた急速に感染が広がっている。
この呼称はどちらも正確ではなく、正しくはJavaScriptを利用したトロイの木馬でペイロードをダウンロードさせ感染させるということらしいが、JR東日本、ローソン、ハウス食品、本田技研工業、モロゾフなどの有名企業が感染してホームページを改ざんされ、そういうちゃんとした企業のサイトを閲覧しただけで、潜在的に感染している人はかなりの数に上っているようなので、ここでもう一度注意を喚起する。

このウイルス（正しくない呼称かもしれないが、敢えてウイルスと呼ぶ）は感染して改ざんされたホームページを閲覧しただけで、ビジタも感染し、もしこのビジタが自分のブログやホームページを管理していたらそのFTPアカウントも盗まれ、そこも改ざんされる。
またペイロードの中には感染者のPCにバックドアを仕込むものも報告されている。

今のところ活動環境はWindows限定のようだが、感染ルートに関してはAdobe ReaderやFlash PlayerなどのJavaScriptの脆弱性を利用しており、この脆弱性はマルチプラットフォームなので、次々出てくる亜種の中にMacにも対応するものが出てこないとも断言できない。
またそういうもらっちゃったものをWindowsに渡せば当然感染は拡大する。
このウイルスについては昨日シマンテックからもセキュリティレスポンスが来たので、ちょっと長くなるがそのリリースを一部紹介する。

「この度シマンテックでは、現在広く報道されている通称「ガンブラー」攻撃に
関して分析した結果を、当社ブログに掲載しましたのでご連絡いたします。

まず2009年末から2010年の初めにかけて一部の企業のホームページを
改ざんした攻撃は、昨年5月に一部騒ぎになりました「ガンブラー」との
関係性は低いと見ています。一般的に「ガンブラー」と言われているものは、
「ドライブバイダウンロード（図）」と言われる攻撃者が用意したWebサイトに
ユーザーを自動的に誘導し、悪質なマルウェアをダウンロードさせる攻撃
手法で、元々転送されるURLが「gambler.cn」というサイトであったところ
から付いた名称でした。

（中略）

また今回の攻撃については、転送先のURLを頻繁に攻撃者の方で変更
することや、それに伴いユーザー側に実行される攻撃コードやダウンロード
されるマルウェアが多種におよぶ可能性があり、すべての攻撃が同じURL
や同じマルウェアをダウンロードしている訳ではないことに難しさがあります。」


「/*LGPL*/ で始まる新しい難読化コードが出現

昨年 12 月より、Web サイトに不正な JavaScript が貼り付けられ、
Webサイトが改ざんされるという被害が相次いでいます。

（中略）

以前、 "/*GNU GPL*/" で始まるスクリプトで改ざんされていたサイトの 1 つが、
最近になって "/*LGPL*/" で始まるスクリプトに書き換えられていることが
確認されました。

難読化されたこのスクリプトの開始部分は、次のような記述となっています。

＜script＞/*LGPL*/ try{ window.onload = function(){var
C1nse3sk8o41s = document.createElement('s&c^$#r))i($p@&t^&'.repl

難読化を解除したあとに出てくるURLは下記のようなものです。

hxxp://free-fr.rapidshare.com.hotlinkimage-com.thechocolateweb.ru
:8080/51job.com/51job.com/redtube.com/gittigidiyor.com/google.com/

良く知られているドメイン名をURLに使うことによって、攻撃者は保護
メカニズムを迂回しようとしていることが読み取れます。

（中略）

ペイロード自体は昨年の攻撃からそれほど変化していません。ユーザーが
改ざんされたサイトにアクセスすると、不正な JavaScript によって別の
JavaScript がロードされます。この 2 番目の JavaScript は、2 つの
リンクを含む iframe ページを開きます。1 つは Trojan.Pidief.H または
Bloodhound.Exploit.288 として検出される不正な PDF ファイルへの
リンクで（どちらに検出されるかはアクセスする URL によって異なります）、
もう 1 つは Downloader として検出される不正な JAR（Java ARchive）
ファイルへのリンクです。

これら 2 つのファイルは、以下の脆弱性を利用してコンピュータへの
マルウェア感染を試みます。

●Adobe Acrobat および Reader の任意のコード実行およびセキュリティ
に関する複数の脆弱性（BID 27641）
●Adobe Reader および Acrobat の 'newplayer()' JavaScript メソッドに
よるリモートコード実行の脆弱性（BID 37331）
●Sun Java Runtime Environment および Java Development Kit の
セキュリティに関する複数の脆弱性（BID 32608）

なお、BID 37331 のパッチは 1 月 12 日の提供予定となっているため、
それまでは Adobe Reader の JavaScript を無効にしておいた方が
よいかもしれません。

最終的なペイロードには、Trojan.Bredolabや Trojan.Zbotなどのマルウェアを
はじめ、PrivacyCenterなどのセキュリティリスク、およびその他多数のミスリーディング
アプリケーション（Trojan.FakeAVなどとして検出）が含まれます。ウイルス定義ファイル
は頻繁に更新されているので、常に最新の状態に保つよう注意してください。

ということで引用文にもあるようにAdobe Reader、Java Runtime Environmentなどは常に最新バージョンにしておこう。

こちらの脆弱性情報共有フレームワーク - MyJVNというサイトでこれらの環境が最新になっているか、脆弱性が無いかを診断できる。
残念ながらこのサイトはWindows環境でないと利用できないが、今のところ問題なのはWindowsなので、そちらでチェックをしながらMacについては、手動で常時チェックというのが望ましい。

Adobe Readerのアップデートを更新
2010年1月12日の最新版はv.9.3.0

ところでAbout表示をクリックするとビルドナンバーなどもチェックできる

ガンブラー対策でAdobe Readerにアップデートをかけたらアカンてアンタね〜ヽ(｀⌒´)ノ〜追記あり

先日、昨年流行のGenoウイルスの亜種なのか別種なのかわからないが、ガンブラーウイルスの流行が大手メディアでも話題になり始めているので、ここでも
ガンブラー（Genoウイルス）の猛威にとりあえずAdobe Readerをアップデート
という記事をアップして、注意を呼び掛けた。

以前の流行の時にはAdobeのアップデータはグダグダだったのだが、今回はすんなりかかって問題無く動作することも確認したのでそういう記事を書いたのだがなんと本家のAdobeからAcrobatのアップデートをかけるなという待ったがかかった。

【重要】Acrobatのアップデータは充てないで - いわもとぶろぐ

この内容によるとMac版でAdobe IllustratorとかInDesignとかを使っている人は、このアップデータをかけると、これらが起動できなくなってしまうそうだ。

というかこれってDTP、デザイン屋さんはほとんど該当するんじゃないだろうか。
私の個人環境では、イラレもインデザインも使っていないので、特に支障はなかったが業務でこういうソフトを使っているプロの皆さんには致命的なバグだと思われる。
もし万一、既にアップデートをかけちゃってイラレ、インデザインが動かなくなっちゃったという方の場合Time Machineでシステムごとリストアするか再インストールしか復元の方法はないと思う。
Adobeさん相変わらずグダグダな仕事ぶりだ。

そこでWindows環境とAdobe IllustratorとかInDesignを使っていない人は、Adobe Readerを9.3.0にアップデートするということでいいとして、MacでAdobe関連のソフトを動かしている人はアップデートをちょっと待ってAdobe Readerの設定でJavaScriptを切るということで対処した方がいい。
というかこの設定はあまりメリットがなくてリスクがあるだけなので、特に問題がない人は切っておくことをお薦めする。
今後ともAdobeのセキュリティ対応は後手に回って、アップデートもグダグダが続くと思われるので、この設定は永久にオフでいいんじゃないだろうか。
私のところではAdobe Photoshop Elementsなどは問題無く動くことを確認しているが、他にもどういう不具合があるか分からないし。

この際Windows版のAdobe ReaderもJavaScriptの設定もオフ、ActiveXも切っておくというのがよいと思う。
ActiveXは確かGenoの時に狙われていたが必ず危険とも限らないし、そこまで神経質になるならブラウザのJavaScriptも切らなくていいのかとかいう話に拡大して、そうなるともう
「インターネット使わないのが一番安全」
とかいうどうしようもない話になってしまう。
しかし必要がないなら、やはり切っておくべきだし仕事上でどうしても必要なら、ActiveXがオンになったInternetExplorerでやたらネット上をうろうろすんなというぐらいの慎重さは必要だと思う。

ていうかActiveXが必要ないなら、Firefoxを使おうよ、Windowsでは。

Mac版のAdobe Readerは環境設定から「JavaScript」に入ってここのチェックを外す
Adobe Illustratorなどを使っていて最新版にアップデートできない人は必ずこの設定を
やるべきだしそうでない人も余計なリスクを背負わないためにやっておくべきだ

Windows版のAdobe Readerはここから環境設定に入る

環境設定パネルのレイアウトはMac版と同じで
やはりここのJavaScriptのチェックを外しておくこと

勿論Windows版のAdobe Readerも最新版にアップデートしておくこと
これは新ガンブラー対策として絶対必要

InternetExplorerを起動するとAdobe Flash Playerの更新も要求されるのでこれもやっておく
この二つのアップデートをやっていないInternetExplorerで
ネットに接続するのはもう自暴自棄と言うべき

そのInternetExplorerも差し支えないならActiveXを切っておこう
これもWindowsの狙われやすい機能のベスト５には入っている筈だ

インターネットオプション／セキュリティ／（セキュリティ）レベルのカスタマイズから
ActiveXのコントロールとプラグインに入って「無効にする」にチェックを入れる
これでは仕事にならんというのだったらInternetExplorerをActiveX専用ブラウザにして
不特定のネットの閲覧をFirefoxでやるとかの慎重さはWindowsでは必要なのでは

＜追記＞

この問題についてSakiPapaさんから情報をいただいた。
いつもありがとうございます。

これについてAdobeからテックノートが発表されている。

236570- Adobe Reader-Acrobat 8.2アップデータを適用するとInDesignCS-CS2、Illustrator CS-CS2が起動しない(MacOS X)

なのでAdobe Readerを９に上げている場合は問題無い。

もし万一こういう問題に巻き込まれてしまった場合のリカバーの方法もここに書かれている。

1.この文書に添付されているMappings.zipファイルをダウンロードします
2.アップデータの問題の発生しているMacintoshでMappingsフォルダを解凍します（通常はダブルクリックで解凍します）
3.下記のフォルダを開きます
Library/Application Support/Adobe/TypeSpt/Unicode/
4.現在のMappingsフォルダをデスクトップなどに移動し、ダウンロードしたものと入れ替えます（デスクトップ上のMappingsフォルダは問題が解決したことを確認した後に削除してください）
5.Mappingsフォルダを入れ替えた後、InDesign、Illustratorが問題なく起動することを確認してください
注意：「Acrobatインストールの修復」を行うと現象が再発する可能性がありますので、行わないでください

以上追記する。
いつも情報をいただくSakiPapa様、ありがとうございます。

Adobe Shockwave Player

Adobe Shockwave Player

Shockwave PlayerとFlash Playerのアップデータ。

先日、ガンブラー対策でAdobe製品のアップデートを推奨していた。
ガンブラー対策でAdobe Readerにアップデートをかけたらアカンてアンタね〜ヽ(｀⌒´)ノ〜追記あり

しかしMac版のFlash Playerのアップデートのリンク先をここに、掲げていなかった。
ワンテンポ遅れてMac版も出ているのでMacにはこちらをインストールすること。

Shockwave Playerはインストーラをダウンロードしてその指示に従う
これでプラグインを最新状態にしておくこと
Flash Playerは環境によって直接インストールされる

Adobe Readerのバージョンアップに注目〜追記あり

最近、webサイトを見ただけでウイルスに感染してしまうガンブラーウイルスに狙い撃ちにされているAdobe ReaderにMac版、Windows版ともアップデートが出ているので、見落とさずにアップデートすること。

ガンブラー対策についてはこちらを参照。

ガンブラー（Genoウイルス）の猛威にとりあえずAdobe Readerをアップデート

ガンブラー対策でAdobe Readerにアップデートをかけたらアカンてアンタね〜ヽ(｀⌒´)ノ〜追記あり

Adobe Readerのバージョンは今回はMac版はv.9.3.1、Windows版はv.9.3.0、Mac版Adobe Reader8はv.8.3.0ということらしい。
前回Adobe Reader8はCS2版のIllustratorとInDesignが起動できなくなるという問題を起こしていたが、今回はこれは解決したのだろうか。

例によってAdobe Readerのヘルプメニューから「アップデートの有無をチェック」に入る
今回は問題無く最新バージョンを引っ張ってきた

そのままダウンロードを進行する
インストールにはAdobe ReaderとSafariなどのブラウザを終了させる必要がある

アップデートが完了するとAbout画面でバージョンをチェック
Mac版はv.9.3.1に

Windows版も同じ要領でアップデートをチェックから入る

Windowsのダウンロード、インストール進行表示
ダウンロードが始まらない時には「アイドル状態の時にダウンロードします」のチェックを外す

アップデートに成功するとAbout画面はv.9.3.0になっている

＜追記＞

BBSにSakiPapaさんからいただいた情報によるとWindows版のAdobe Readerの現在の最新バージョンはMac版と同じV.9.3.1なのだそうだ。
さっそくWindowsのAdobe Readerのアップデートをやり直すと、確かにご指摘の通りv.9.3.1がかかってきた。

Windows Updateだと一回アップデートに成功しても必ずもう一回アップデートをかけて、取りこぼしが無いか確認するのだが、Adobe Readerでもそれが必要だというのは知らなかった。
一度バージョンが遅れてしまうと次回からバージョンが二つ遅れて、アップデートをかけても最新にならないそうだ。
しかたないかもしれないけどもろもろ面倒な仕組みだ。

情報をいただいたSakiPapa様、ありがとうございます。

2009年２月１９日追記

Windows版のAdobe Readerでアップデートをかけ直すと
ご指摘いただいたようにv.9.3.1がかかってきた

そしてWindows版のAdobe Readerも最新版のv.9.3.1にアップした
メンドクサイが必ずアップデートは２回かけてみて
取りこぼしが無いか確認しないといけないらしい

メール添付でウイルスバラまく古典的手法がまた復活してきている

最近のバタバタでこの記事を書くのをすっかり忘れていたが、先月SPAMメールから久しぶりにウイルスが出てきた。

シマンテックアンチウイルスの定時スキャンで引っかかってきて気がついたのだが（ということはオートプロテクトでは引っかからなかったわけだ。やはり常駐ウイルス対策ソフトは必ず定時スキャンを設定しないという教訓だ）、その詳細はキャプチャーの通りだ。

出てきたウイルス、というか実体はトロイの木馬だが、
「Trojan Downloader」
ともう一種は
「Backdoor.Ciadoor」
という奴が出てきた。
シマンテックのセキュリティレスポンスではどちらも危険度は低いものの、れっきとした感染力があるマルウエアだ。
そのセキュリティレスポンスにはこう書かれている。

Backdoor.Ciadoor は、Trojan creation kit と Backdoor.Ciadoor.Cli で作成されています。Backdoor.Ciadoor.Cli は、このトロイの木馬の作者に、このトロイの木馬の機能に関する各種設定オプションを提供し、そしてその作成を可能にします

最近ガンブラーを筆頭にまたウイルスが盛り上がって来ているので、注意が必要だ。
一時期忘れ去られていた古典的な手法を、やや模様替えして新しい脆弱性を攻撃するというのが最近のトレンドだから、こういう古典的なマルウエアがまた出てきているというのは警戒を要する。

シマンテックアンチウイルスの定時スキャンが捉えた
メールフォルダの中の添付ファイルのウイルス
こういうのを見るとやはりユーザ領域の全域定時スキャンの設定は必要だ

どっちが本物でしょう？

さてここに並べたサイトのキャプチャー・・・
どちらかが偽物です。
どちらが偽物でしょうか？

こちらはiTunesのダウンロードページ
ハイチ震災救済プロジェクトアルバムのダウンロードリンクなんかあったりして新しいです
日本語サイトなのも注目

そして全く同じレイアウトの日本語ページ
並んでいる製品も同じ

わかっただろうか？

多分サイトの構成やデザインをいくら見比べてもどっちが本物か分からない筈だ。
それもそのはずで１つ目が偽物なのだが、本物のAppleのサイトからソースコードをごっそりコピーして、ダウンロードなどのリンク先だけ修正するということをやっているので、見た目では全く区別がつかない。

見分けるのはここしかない。

一つ目は中国のサイトで「Windows7xp.com」といういかにも怪しげなドメインで見分けられる
日本語サイトであることからも分かるように完全に日本人がターゲットのフィッシングサイトだ

本物のサイトは「apple.com/」で必ず.comの直後にスラッシュが入る
ドットコムドットなんとかとかいうのは偽装ドメインで全ていかがわしいと思っていい

上記の偽サイトは中国のサーバにあったもののようで、もう逃亡したあとで当該URLを覗いても何も残っていない。
何が目的なのかよくわからないのだが、マルウエアをiTunesのダウンロードリンクに仕込んでいるかもしれないし、AppleIDやパスワードを抜くという単純な目的のサイトかもしれない。

２００８年頃にAppleストアの偽サイトが出てきて一時期ちょっと話題になったが、今度もその類いかもしれない。
この当時のはカードの番号とパスワードを抜くのが目的の偽サイトだったが、最近iTunesStoreの身に覚えがない請求が増えているという話と関連性があるのだろうか。

フィッシングサイトに引っかからないために〜ちょこっとだけまとめ

先日、
どっちが本物でしょう？
という記事でAppleのフィッシング目的と思われる偽物サイトのことを取り上げたところ、反響があったのだがちょっと気になることがあったので、ここでフィッシングについて簡単にまとめておく気になった。

要は先日取り上げた偽Appleサイトは本家サイトからソースコードをコピーして作っているらしく、見かけで本物と偽物を区別することは非常に困難だということをいいたかったのだが、その違いはURLウインドウを見れば分かると書いてしまったところ、若干誤解を招いている気がしたので。

このケースの場合はURLウインドウを見れば明らかに偽物は偽物然としたURLを表示しているので、そういう怪しいURLを表示しているサイトはフィッシングサイトだと判断できる。

しかしこの表現がURLウインドウを見さえすればフィッシングには引っかからないという誤解を生まないか心配になってきた。
URLウインドウを見れば怪しいサイトを見分けることはできるが、URLウインドウが怪しくなければ安全なサイトだと断定していいのかというとそうともいえない。
怪しいサイトを見抜くことができる可能性があるだけで、ここを見ることで安全を確保できるわけではないというところにフィッシング対策の難しさがある。

例えばこういうリンクを踏んでみてもらいたい。
別に踏んでもマルウエアをいきなりもらったりしないから試してもらいたい。

Appleのサイトを偽装したURL

Appleの本家サイトのリンク

上のリンクをクリックしたらこんなサイトが表示された筈だ
Appleとは何の縁もゆかりもない結婚相手紹介サイトが表示されている

しかしそのURLウインドウを見るとこの通り「apple.com/」となっている

こちらは下のリンク先の本家AppleのサイトのURLウインドウ
この二つを見て区別がつくだろうか

これは多少古いネタで、今はこの手を使ってAppleの偽装サイトを作ることは不可能だが、何年か前にはこういうリスクも現実にあったという実例だ。

種を明かせば上のリンクは
apple
ではなく
appie
というサイト名で、URLもそうなっているのだがリンクのURL記述の「i」の文字を大文字にして
「appIe」
とするとリンク先に飛んだあとのURLウインドウには「i」の文字は大文字で表示される。
Safariなどのデフォルトフォントなら大文字の「i」と小文字の「l」は同じに表示されてしまうというからくりだ。

これは古典的な方法だが、他にもキリル文字、日本語などの２バイト系の文字を使って
ａｐｐｌe.com（appleの文字が全角ローマ字）
とするIDN偽装とかいろいろな手口が考えられる。
（これらの問題が盛んにいわれたのは数年前で今ではかなり対策されている筈だが、しかし人間のすることだから見落としがないとは断言できない）

また何年か前にはWindowsのInternet ExplorerではURLウインドウを偽装して、本当のURLではなく省略した恣意的なURLを表示できるという脆弱性も存在した。
この問題も完全に解決したのかどうかは私はよくは知らない。
一応の改善はされている筈だが、今のInternet Explorerならこの問題は完全に解決しているとも断言できない。

要するに何が言いたいかというと
「URLウインドウを見て明らかに怪しいURLのサイトはフィッシングサイトだと言えるが、もっともらしいURLなら安全だとは言い切れない」
ということだ。

「それならサーバ認証のあるサイトなら安全なのか・・・」
という疑問もわいてくるが、結論からいうとこれも少しはマシだが、絶対的に大丈夫というものではない。
サーバ認証も実はいろいろ問題があるのだ。

まずこうした何か個人情報を入力させる全てのサイトが全て認証局で認証を受けているというわけではない。

「そういう認証も受けないようなユーザの安全に無頓着なサイトは利用しないから良いのだ」
という人もいるかもしれないが認証を受けているサイトもそれなりに問題がある。
結構多いのが認証の期限が切れていたりするサイトの問題だ。
それも結構大企業のサイトが多かったりする。

これなんか鯖管か会社か分からないが、そういうものに無関心で放置されているのだろう。
（あるいは最初はちゃんとしていたのだが、ちゃんとした鯖管が辞めてしまい、あとを引き継いだ総務上がりの兼務シロウト鯖管が認証の問題をまったく理解していなくて放置しているとか、引き継ぎがちゃんとなされていないとか・・・最近の企業サイトの事情は大体こんなところだと思う）

また鯖管が
「中間認証局から取得したサーバ証明書なのに、中間認証局の証明書をサーバに設置していないという、第六種オレオレ証明書の状態」
というような話も多いようだ。
（高木浩光＠自宅の日記 - 第六種オレオレ証明書が今後増加するおそれ, 訂正（15日））

その認証のブラウザ側の表示もきちんとしているのはMozilla系のブラウザくらいで、Internet ExplorerにしろSafariにしろそういうところでは弱点があるのは否めない。

それに大体、ほとんどの一般ユーザがURLの認証情報なんかいちいち開いてからフォームに入力しているだろうかというユーザ側の問題も大きい。

いくらお題目的に
「個人情報を扱うサイトを開く時にはサーバ認証を確認しましょう」
なんて書いたところで、そんなの絶対にやらないに決まっている。
（かくいう私もやっていない）

例えばFirefoxのようなMozilla系のブラウザを使えば
URLウインドウでサイトが認証を受けたサイトかどうかを表示してくれる
しかしこれは単に認証の証明書の存在を表示しているだけでその証明書が
正当な証明書なのかどうかを保証しているわけではない
ただ単に認証局に登録があるというだけだ

その認証情報を開いてフィンガープリントまで確認すれば問題無いだろう
でも断言するがそんなことをやっている人なんてほぼいないと思う

じゃ結局どうしろというのか・・・ということだが結論は一つしかない。

何かを設定すれば自動的に安全になるとか、どこか一カ所だけ注意していれば間違いないとか、そういう手の「ラクチンで安全」みたいな方法は存在しない・・・ということを知れということだ。

それじゃとりとめがないので、もう少し絞り込めば
１）フォームにID、パスワード、生年月日、名前、住所、メールアドレス、カード番号などの個人情報を書き込ませるようなサイトに行く時には、必ず元リンクが間違いのないところからそのフォームに入ること
２）何かをダウンロードする時もサイトの性格を良く考えてダウンロードすること
この２点に尽きるんじゃないかと思う。

１）についていえば最近メールで「Paypal.com」や「eBay」、「Google.com」を名乗るメールが頻繁に来るようになった。
こういうメールから
「〜について確認したいので以下のリンクからログインして必要事項を入力せよ」
という内容で偽ログイン画面に誘導するというのは最近のパターンになってきている。
メールだけではなく、もっともらしいサイトからリンクを張るというケースも考えられる。

２）の場合はエロ系のサイトに多いのだが
「この動画を鑑賞するのはQuickTimeのコーデックプラグインのダウンロードが必要だ。ダウンロードする〜Yes/No」
みたいなサイトの作りが多い。
この二つの合わせ技みたいなことも考えられる。

とにかくよく知っているリンクから以外は、そういう入力フォーム、ダウンロードサイトに行かないことを強くお薦めする。

こちらは前出高木浩光さんのサイトで、こういう実例もあったというケーススタディだ。
高木浩光＠自宅の日記 - ヤフーからの通知を装った日本語フィッシングで何が起きていたか, Yahoo! Mailのフィッシング事例から得られる教訓, 「メールで...

メールでYahooやGoogleなどこういうwebサービスを利用しているところを詐称する連絡が来て、それではまらない自信はあるだろうか？
これは６年前のケースだが、同じような脆弱性が見つかれば今だって立派に通用するフィッシング手法だ。

MacOSXを狙ったスパイウエア付きスクリーンセーバに関する警告があのintegoから出ている

表題の通りで、Secret Land ScreenSaverというスクリーンセーバはインストール時にネットからスパイウエアを吸い込むので注意せよというセキュリティアラートがあのintegoから出ている。
現在判明しているOSX-OpinionSpyスパイウェアを インストールするアプリケーションのリスト

このスクリーンセーバはMacUpdate、VersionTrackerで配布されていたが、今のところ配布は中止されているが紹介ページ自体は削除されていない。MUもVTも判断保留で、ダウンロードだけは止めたという状況らしい。

今のところ情報ソースはintegoのサイトだけで、他のセキュリティソフトベンダー、機関から特に同様のアラートは出ていないみたいだ。
早速問題のスクリーンセーバをゲットして試してみた。

試してみた印象だと、確かにインストールの途中でなぞのプロセスを実行するアプリをダウンロードして、そのインストールの過程で管理者のパスワードを要求する。
integoはこのプロセスがバックドアを開く危険なアプリだと断定しているが、その内容が分からない。
一応付属のreadmeにもインストーラの同意書にも
「マーケティングのために情報を収集するアプリをインストールする」
というお断りは出ているし、パスワードを入力しなければこれを拒否することもできる。
どういう情報を収集しているのかが分からないので、クロともシロともいえないグレーのの感触だ。

ただこのdaemonがキーロガーのようなことをしているとしたらそれは問題だし、integoによると、きちんとした警告や同意書を表示しないアプリもリストの中にはあるそうだ。
そうなるとこれは問題だということになる。
ただいまのところ他のベンダーがどこも追随しないので何ともいえない。

こちらの英文サイトになるが、もう少し詳しい情報も出ている。
Spyware hidden in Mac software and apps, says security firm - Techworld.com

これによるとこのスクリーンセーバに仕込まれたスパイウエアは２００８年頃からWindows向けに流布されているスパイウエアの亜種だということだ。

その動きはダウンロードの途中で
PremierOpinion
というアプリをダウンロードさせ、これが再起動後もバックグラウンドで常駐してポート8254を利用するバックドアを開くということだ。
これがローカルボリューム、ネットワークボリュームをスキャンしてSafari、Firefox、iChatなどに不正なコードを挿入する、そうして得た情報をネット上のサーバにアップするとのことで、これが事実ならかなり悪質ということになる。

しかしこれも情報ソースはintegoだけなので本当のところは不明だ。
integoはかつてmp3genで一人大騒ぎをして、ギークから冷笑された経歴を持つセキュリティベンダーだ。

いずれにしてももう少し情報がそろうのを待って、続報があれば取り上げるが、パスワードを要求されたら何でもかんでもタイプしてしまうのではなく、その求めているタグのタイトルを読んで、何がパスワードを求めているかぐらいは確認するという心得が必要だ。

ポートを開こうとしているプロセスを確認できるLittleSnitchのようなアプリを入れておくのも有効だと思う。
そういう備えはこれから必要だ。

MacUpdateもVersiontrackerもダウンロードを止められているので
問題のサイトに行ってSecret Land screensaverをダウンロードしてきた

これをClamXavでスキャンしても特に反応しない

インストーラの中身をパッケージを開くで覗いてみても
Javaの実行ファイル本体があるだけで特に怪しいファイルは入っていない

インストールを開始すると同意書には
「市場調査のためにPremierOpinionというアプリをインストールする」
と一応お断りは明記はされている

そのまま進行するとまずスクリーンセーバがインストールされる

その過程で管理者のパスワードを要求される
これがくせ者だが逆にいうとパスワードさえうかつに入力しなければ
このてのアプリにはやられないともいえる
そういう注意力をどの程度維持できるかという人間の問題だ

そのあとは平和な楽園のスクリーンセーバをお楽しみください・・・という感じなのだが
アクティビティモニタを見るとPremierOpinionというプロセスが
盛んに動いているところを見ることができるかもしれない
悪意があればプロセスの名前は偽装できるということは以前別のマルウエアで
経験済みなので皆さんはマネしてはいけない

intego情報によるとポート8254番を利用してバックドアを開くということなので
LittleSnitchのようなアプリで監視するのも有効だと思われる
でも一番重要なのはパスワードを要求するアプリには要注意だということだ
なぜパスワードを要求するのか分かっている場合以外はタイプしないという用心深さが必要だ

相変わらず猛威を振るっているGumblarと亜種に狙われる脆弱性は？〜＜緊急追記あり＞

昨年春から猛威を振るっているGENOウイルス、改めGumblarは昨年末にまた8080系という新種の亜種を生み出して相変わらず猛威を振るっているそうだ。
その関連記事はこちらで相変わらず名だたる企業がやられている。
そしてそういう企業のサイトを閲覧している人達が感染して、自分のブログでも二次感染をまき散らしている確率が結構高い。
JR東日本・Honda・ローソン改竄などの史上最強クラスGumblar亜種「8080系」に関する情報共有（JustExploit、Eleonore Exploit Pack、Adobe PDF Zer…

その手口は
「タスクマネージャーで、プロセスの一覧をすべて表示させたところ、WebブラウザーにGoogle Chormeを用いているにも関わらず、なぜかInternet Explorerに似せた（iexploer.exe）プロセスがありました。
恐らく攻撃者が用意した不正プログラムのプロセスと思われます。」
というように名称偽装プロセスを潜ませて、FTPのパスワードを監視するという方法で、攻撃の対象はWindowsということになる。
また一時期パスワードを暗号化送信するFTPクライアントなら安全という情報も流れたが、8080系はdllを監視しているらしく、ここいらの安全性も結構怪しい。

最後のプロセスがWindows向けなので、今のところMacに対する脅威はないと言えるがMacでも標準でインストールされているJavaRuntimeを利用しているというところに注目すると、Mac向けの変種が作られる可能性だって否定できない。

また現状でも当然BootCampやVMWare Fusion、Parallelsなどを使ってWindowsを起動しているMacユーザは攻撃対象であると考えるべきだ。

この安全対策をどうするかだが、こちらの記事にあるように利用される脆弱性は大体決まっているので、ここらの設定に注意することだ。
ニュース・リリース｜アンチウイルス・アンチウイルスソフトの【 カスペルスキー 】

勿論可能なら
Adobe ReaderのJavaScript
ActiveX
JRE
を全て止めてしまうのが一番安全だが、相変わらずActiveX、JavaRuntimeを利用しているWebサービスは多く、企業のミドルウエアもこういうものを前提に動いているものが多いので、止めてしまうと仕事にならないという現実がある。

その場合どういう対策が有効かということだが、その傾向と対策をIBMのSOC（セキュリティオペレーションセンター）が発表してくれている。
その記事がこちら。
いま一番危ないぜい弱性は何だ？ - 今週のSecurity Check：ITpro

これまでのところ狙われている脆弱性は
JavaRuntimeの脆弱性へのゼロデイ攻撃
Adobe Readerの脆弱性へのゼロデイ攻撃
の二つが全体の４分の３を占めており、逆にいえばこの二つに対処すればリスクは４分の１に激減すると言える。
その設定法は以下のキャプチャーで説明

またこちらの記事によると、Javaスクリプト、ActiveXなどを利用するプロセスが呼び出される時には
「このファイルでコンテンツを実行しますか？」
というアラートが出るように改善されているそうだ。（Windowsの場合）

こういうアラートを流し読みしないで、必要と思われるサイト以外を閲覧している時には、やたらOKをクリックしないこと。
指定した特定のサイト以外ではActiveXなどの活動を禁止するフリーウエアのプラグインもあるので、Windowsユーザはそういうものを利用するのも手だと思う。

Macに関しては、今のところそういう攻撃の実績がないので手も打ちようがないがAdobe ReaderのJava Scriptをオフにするくらいのことは必要かもしれない。
JREに関してはセキュリティアップデートはWindowsと違って元々逐次なので、対応は既にできてるともいえるが、もともとのMac版JREのアップデートが遅いという問題はある。
こういうのは問題が起きる前になんとかして欲しいなぁ。

推奨されるJavaRuntimeの設定変更はここから
コントロールパネルにインストールされていればJavaという項目がある

ここに入って「アップデート」タブに入る
「詳細」ボタンをクリック

アップデートのタイムスケジュールだがデフォルトは月に一回に設定されている
ゼロデイ攻撃に対してはこれでは疎漏すぎるので日に一回に変更する
可能なら日に２〜３回に設定したいところだがそういう設定はできない
必ず電源が入っていそうな時間帯を設定すること

アップデートタブに戻って「今すぐアップデート」を
クリックしてJRE が最新版になっていることを確認する

Internet Explorerの「ツール」から「インターネット オプション」に入る

ここの設定を詳細に見直す
できればJava関連は全部オフが一番安全だがそれでは不便だろうから
余計な設定を外していくということで進行

セキュリティタブに入って「インターネット」の「レベルのカスタマイズ」に入る

ActiveXも狙われる脆弱性の代表なのでできれば止めてしまいたいが
仕事で使うWindowsはそういうわけにはいかないことが多い
それでこういうアラートを出す設定などを確認しておく

Adobe Readerを起動して環境設定に入って「JavaScript」タブに入る
ここの「JavaScriptを使用」は必要ないのでチェックを外す
アップデートを重ねると勝手にチェックが戻っていることが
あるのでアップデートごとにここは確認する
これはMacも推奨でやっておいた方が良い

＜緊急追記＞
などという記事を書いていたらそのタイミングでこういうニュースが飛び込んできた。 AdobeのFlash Player、Reader、Acrobatに未修正の脆弱性、悪用攻撃も多発 - ITmedia エンタープライズ

これは上記で取り上げた脆弱性とはまた別種のもので、SWFファイル関連のプロセスを悪用してバッファオーバフロー、システムリモート乗っ取りという手順になるらしい。
このFlash関連の不具合はいい加減にしてもらいたいな。
ジョブズが切れてiPadからFlashを放逐したのも宜なるかなと言いたくなってしまう。

既に出ている脆弱性への攻撃コードは例によってWindows向けで、これによって直ちにMacでも大きな危険に直面しているとも思えないが、
「アラート読まないで何でもかんでも機械的にOKをクリックしてしまうユーザ」
はMacユーザにも大量にいると思われるので、「関係ない話」とも言い切れない。

Gmailが乗っ取られるハッキングが急増している〜Twitterもターゲットか？

ここのところ、メール関連でいろいろ不審なことが起こっている。

お知り合いから以下の内容のメールが来た。

「私から下記メールが届いた方は、
何者かが送った不審メールですので、
絶対にクリックせずに捨ててください。

なお、gmailのパスワードを変更しました。

>メール送り主のメールアドレスを含むヘッダ
バイアグラ関連の英語の通販サイトのURLリンク」

どうやらこの方のGmailアカウントが誰かに乗っ取られて、このアカウントからオンラインのアドレス帳にあるアドレスに無作為に上記のバイアグラメールが送られてきたらしい。

私の方でもつとにそういう内容のスパムメールを受け取っている。

これが最近やたら飛び交っているバイアグラメール
差出人はスパマーなのか単にアカウントを乗っ取られて
踏み台にされている人なのかは不明
私を含み何人かのアドレスに同報メールで送信されている
差出人はGmailが多いというより被害者はほぼ全員そのような感じだ

このように単にバイアグラサイトのリンクだけが本文のメールを送りつけてくるものを私は受け取っていたが、Twitterのお知り合いの話ではウイルスファイルを添付したものも飛び交っていると言う。
それでそのサンプルを送ってもらった。
早速検査したところ、しっかりクロ判定。

Virustotalで調べてみると、約半数のウイルス対策ソフトが、このファイルを有害なトロイと認定しているが、このファイルは自律的に感染する能力はなく、人間が媒介し自分で起動しない限り感染も起きない。
ただし一度活動を始めるとシステムのレジストリを一部書き換えて、しつこく起動時にバックグラウンドで常駐する（しかもプロセス名を偽装する）たちが悪いトロイらしい。

また確実かどうか分からないが、Windowsの復元領域に忍び込み、一度対策ソフトで削除してもまた再起動すると復活するという動作もするらしい。

Twitter上のお知り合いから送ってもらったウイルスサンプルを
スキャンしたところClamXavはクロ判定を下した
ClamAVでの名前は「Suspect.Bredozip-zippwd-16」

このファイルをVirustotalで調べてみると
過半数のウイルス対策ソフトはこれをマルウエアと認定している

ただしこのトロイの木馬はWindowsにしか感染しない。

問題のGmailアカウント乗っ取りを報告してきた人はMacユーザだ。
他の事例もMacを使っている人が多いようだ。
このトロイは無関係だと考えるべきだ。

どうもこいつが犯人なのではなく、こいつはただ単に騒ぎに便乗してるヤツが放流しているのか、踏み台にされている人がたまたま感染していた別のウイルスに相乗りされたのか、そんなところらしい。

ググってみてこういう記事を見つけた。
Gmailに集団ハッキングか？　他人のアカウントを悪用 - ITmedia エンタープライズ

「スパムメールは、ハッキングしたGmailアカウントのアドレス帳データを悪用する。メールの件名は空白で、本文には医薬品販売サイトへのリンクのみが記載されているという。「送信済みメール」のフォルダ、または「ゴミ箱」のフォルダには、アカウントから送信されたスパムメールのコピーが残る。」

ということだ。攻撃の手口は
「攻撃側はモバイルインタフェース経由で他人のアカウントに侵入。ボットを利用している可能性が高い。」
と言うことだが
「現時点で、被害に遭ったアカウントの数や共通する手口などは明らかになっていない。集団によるハッキング攻撃なのか、Gmailにバグがあるのかなどの原因も分からないという。Googleは沈黙を保っている。」
ということらしい。

結局どういう手口かが分からないから、対策のしようがないのだが簡易な認証を悪用されている気がするので、
「ログインを維持する」
設定をオフにするとか、時々ブラウザでログインして
「送信済みフォルダ」
の中身をチェックして、身に覚えがないメールを送信した後が残っていないかをチェックするということしか対処しようがない。

これと似た手口なのがこちらの記事。
Twitterでアカウント乗っ取り詐欺が横行、「Lol」に要注意 - ITmedia エンタープライズ

こちらはTwitterのアカウントを乗っ取る手口で
『「Lol. this is me??」「lol, this is funny」「Lol. this you??」などの文面にリンクを添えたつぶやきが使われている。「Lol」は「lot of laugh」の略で、「すごく笑える」の意味。ユーザーが愉快な内容を期待してリンクをクリックすると、Twitterのログインページに見せかけたページにつながるが、このページは中国にある不正サイトでホスティングされている。』
とのこと。

Gmail攻撃は４月ぐらいから見られているらしいが、このTwitterフィッシングは２月ぐらいから、現れている。
一見無関係のように見えるが
「この手口で乗っ取ったアカウントを使ってさらなるスパムやマルウェアの配布に利用するためのボットネットを構成しており、既に偽バイアグラなどの医薬品を宣伝するスパムの送信に使われている」
という乗っ取った後の手口が酷似していて、同一グループかもしれない。
ホストが中国というのもそれっぽい。

Googleにログインしたまま、あちこちのWEBのサービスにやたらログインしたり、Twitterのサービスに入ったり、パスワード入力は止めようということかな。
いろいろ窮屈なことだ。

Gmailが乗っ取られるハッキングが急増している2〜原因は相変わらず不明だがパスワードの変更だけでは不十分かも

先日「Gmailが乗っ取られるハッキングが急増している」という記事を取り上げたところ、あちこちから反響をいただいた。
結構やられている人は多いようだ。
こちらがその典型的な例。
Googleアカウント乗っ取られた | Way2Go

問題はそうなった理由なのだが、どうもよくわからない。
この問題を扱ったサイトは、原因をパスワードクラックと決めつけてその対策を書いておられるところが多い。

が、パスワードクラックに対して「時々パスワードの変更を」なんていう対策は意味があるだろうか。
時々というのはどれくらいの頻度なのか？

それよりもどういう手口でパスワードをクラックされたかが分からないと、小手先のパスワードの変更は意味がないのではないだろうか。

絶対に使ってはいけないパスワードとは - ライフハッカー［日本版］
こういう使ってはいけないパスワードというのは参考になると思う。
もしクラッカーが総当たり攻撃をするなら、スクリプトを走らせる前にいくつか試してみるパスワードというのがある。
それがまさにファーストネームだったり「１２３４」なんていう文字列だったり、「password」なんていう文字列だったりするので、こういうことに気をつけるのは意味があると思う。

でも今回乗っ取りを経験している人の中には結構強度が高いパスワードを使用していた人も含まれる。
そうだとするとやはり総当たり攻撃を仕掛けているのかとも思うが、その割には被害者の数が多いような気がする。
こんなにみんなやられるということは何か共通点があるのではないかと、皆さんにいろいろ質問してみるのだが、Twitterの脆弱性を悪用されたとか、そういう共通点が浮かんでこない。
でもやはりMac＋Gmailという組み合わせが多いのは気になるところだ。
何かのマルウエアか特定のサイトのフィッシング、トロイの木馬の可能性が否定できない。

もしもやられた時にGoogleアカウントを素早く復旧できるためにいくつかの方法がある。
経験者は語る、Googleアカウントのハッキング被害から学んだ10のこと - ライフハッカー［日本版］

Googleアカウントに予備メールアドレスを設定しましょ | juggly.cn

予備メールアドレスの設定は早速私もやった。
不便だが接続を維持する設定も解除したりGoogleバズも解除した方が良いかもしれない。
Twitterとの関連性は不明のままだが、登録メールとパスワードはGmailとは別のものにしておくに越したことはないと思う。

時々ブラウザでGmailに接続して送信履歴等をチェックすることもお勧めする
また下のここをクリックすると最近ログインしたIPアドレスの履歴を見ることができる
ここでどう見ても自分のIPとは違うものがまぎれていたらやられている

Twitterアカウント乗っ取りの仕組みがなんとなく分かった＆たぶんGMailも・・・

最近TwitterやGMail等で、本人には出した覚えがない英文のメッセージがフォローしているアカウントやアドレス帳に登録された人に送られてくる「アカウント乗っ取り＆踏み台スパム」が流行している。
私の知り合いの何人かもやられている。

これがどういう仕組みでやられているのか分からなかった。
Windowsユーザばかりがやられているのなら、またそういうワームかトロイが流行しているのかとも思えるのだが、私の周辺でやられているのはMacユーザが多い。
中にはMacオンリーでWindowsを全く使わないという人もやられている。

それでひょっとしてMacをターゲットにした新種のワームかトロイが出現したのかと心配していたが、どうやらそうではなくプラットフォームに関係なくやられる可能性がある方法を使っているのではないか思うようになった。

これは昨年Twitter界隈で流行したOAuthの脆弱性かそれに準じた認証の弱点がターゲットにされているのではないかということだ。
昨年の春から夏にかけて他人のアカウント名を乗っ取って、そのフォローリストの人達に「バイアグラメール」のDMを送りつけるスパムが流行した。
お友達から「◯◯ファーマシーで人生が変わる」というような内容の英文DMが届き、そのメッセージの短縮URLのリンクを踏むとオートフィルで自動的にリンク先のOAuthを認証してしまい、そこでアカウントのアクセス権を抜かれて今度は自分のアカウントからスパムが飛び交ってしまうという流れだった。

ちょっと疑問なのは昨年の騒ぎで、OAuthの脆弱性は解消されたので一時期OAuthのサポートを中断していたTwitterもこれを再開したし、GMailやYahoo!Mailもこれをサポートしているという流れだったと記憶していたのだが、去年と同じ手口でまたやられているということはこの問題は解決していないということなのだろうか？

もしそうならGMailのアカウント乗っ取りが起きているのもこれと同じ流れの問題なのじゃないかと納得できるし、WindowsユーザだけでなくMacユーザも関係なしに同じようにやられているというのも宜なるかなと思う。
それにあまり話題になっていないが、GMailだけでなくYahoo!Mailなど、ほかのOAuthをサポートしているメールもアカウントを乗っ取られているかもしれない。

私はこのOAuthについては仕組みをあまり深くは知らないし、これが原因と断定できるわけでもない。
でもなんとなく問題のスパムリンクをみて納得してしまったので、これは専門家の分析を期待したい。
一応参考にしたリンクなど。

「OAuth」とは　日本のユーザー襲った"Twitterスパム"の正体 (1-2) - ITmedia News

OAuth、xAuthの問題点 - The ruin of ruinz - Techmemo

GMail、Yahoo MailがOAuthへ対応。時代遅れのメールは復活できるか？ - Publickey

APIアクセス権を委譲するプロトコル、OAuthを知る - ＠IT

またこういう動きもあって、もしこの認証の穴がこれが原因だとすると７／１以降はこの問題は解決するということになる。
TwitterのBASIC認証廃止、企業ユーザーが知っておくべきこと -ITmedia エンタープライズ
しかし解決しない場合は、やはりOAuthあたりがやられているんじゃないかというメルクマールになるわけで、ここらも注目したい。

そもそものきっかけはこのフォロワーから来たダイレクトメッセージ
このアカウントの方のツイートの流れとはかけ離れたSPAMチックな文面が怪しい
このリンクを踏むと危険だと内なるゴーストがささやく

そこでこのテキストをVMWare Fusion上で起動したFedoraに持ってきた
ここの環境では一度もTwitterを使ったことがない
Firefoxで開いてみた様子がこのキャプチャー
この「Play Now!」ボタンをクリックすると良いことがあるらしい

最初はこのサイトを表示するだけで何かマルウエアを注入する仕組みでもあるのかと思ったが
ソースを見る感じでは特に怪しい要素もなく参照しているのはpngとかcssとか普通のものだけ

例のボタンをクリックするとTwitterのアカウント名とパスワードを要求される
この環境ではTwitterを使ったことがないからこれ以上進まないが
もしオートフィルで「Allow」ボタン一発、あるいはそれも無しに
次に進んでしまう仕組みができればこの時点で乗っ取り完了ということになる
この手のサービスでパスワードまで要求されるのは変だが
APIにアクセス権を渡す簡易認証の場合そういうリスクを見落とすかもしれない

認証に失敗したURLウインドウにはoauthの文字列が・・・
ここでなんとなくピンと来た

一応念のために例のソースコードをMacに持ってきて詳細に見てみることにした
間違ってSafariで開いてしまうと一発でやられそうなので
クリエータを愛用のテキストエディタに変更しておく

念には念を入れてClamXavでスキャンしてみる
ウイルス認定はシロ

やっぱりソースコード自体には怪しいところを見つけられないが
ここで認証を要求して向こう側でそれを利用するからくりがあるのかもしれない
例えばAPIスタイルで自動的にフォローリストの上から何人かに
自動的にDMを送るスクリプトみたいになっているとか
それだけでこの仕組みは完成しそうな気がする

以上リンクを踏んでみたが、これは仮想マシンの上のLinuxで開いたから安全だと確信できるのでやった。
この環境ではTwitterやGMailも使ったことがない。
このLinuxは共有も開いていなしMacの環境と隔離されている。
セキュリティ界隈でよく聞くSandboxという技術もこういう状態をもっとコンパクトにやっているような感じなのだろう。
そういう前提があるからリンクを開いているので、皆さんはやたらマネをしてはいけない。

それで、なんとなく断定的でなく推量であるところが申し訳ないのだが、推量が当たっているとするとGMailの件もMacユーザがやられている件も納得がいく。

それでこれの対応策なのだが、お知り合いのアカウントから「このサイトに行け！人生が変わる！！」「あなたの欲しいものがここにある！！！」みたいな内容の英文メッセージがDMであるいはGMailで突然来たら、一応相手に
「こういう内容のメッセージを私に送ったか？」
と返信を出して確認することはできる。
でももしこれが日本語のメッセージを送ってくるような手口にエスカレートした場合、そこでクリックを留まれるかどうかというのはちょっと自信がない。

例のバイアグラメールは発信元が中国ではないかと思われるし、もしそうなら彼らは日本語バージョンだって用意してくるかもしれない。

こうなるとオレオレ詐欺みたいなもので、フォロワーのいつもの口調と違っていれば気がつくが、同じような文体だとつい引っかかってしまうということもあるかもしれない。
メールやTwitterのリンクをやたらクリックするなというのは簡単だが、それだとこのインフラを使う面白みが半減しそうな気がするし、どうしたら良いんでしょうね？

Safariのオートフィル機能の脆弱性を狙ってIDパスワードなどを抜く実証コードの存在が発表された

特定のサイトのログインや、ネットショッピングなどの個人情報記入のフォームに自動的に個人情報やIDパスワードなどを入力してくれるオートフィル機能という便利な機能がブラウザにはある。

これがあればいちいちパスワードや、住所氏名、カードの暗証番号などを打ち込まなくても入力できる。

しかしこのオートフィル機能はセキュリティの弱点として狙われがちで、最近では心あるサイトではカード番号等は手入力させるのが普通になってきた。

しかし住所氏名、パスワードなどはまだオートフィルが有効な場合が多いのだが、SafariとGoogle Chromeなどのweb kit系のブラウザの場合、このオートフィル機能に脆弱性があるというニュースが飛び込んできた。
詳細はこちら。
「Safari」のオートフィル機能に個人情報漏えいのおそれ--セキュリティ研究者が警告 - CNET Japan

この記事によると
『　WhiteHat Securityの最高技術責任者（CTO）であるJeremiah Grossman氏は、21日付けのブログ記事でエクスプロイトを実証し、現行の「Safari 5」および以前の「Safari 4」の両方が影響を受けると書いている。この脆弱性はかなり深刻なもので、ユーザーが悪意あるウェブサイトを訪れたとき、サイト上で個人情報を何も入力しなくても、またこれまでに訪れたことのないサイトであっても、Safariからオートフィル情報へのアクセスを許してしまう、と同氏は述べた。』
ということだ。

この脆弱性を利用すると悪意あるサイトを閲覧しただけで、ID、パスワード、住所氏名、ASPサービスのパスワードなどの個人情報を抜き取られる可能性がある。
悪意あるサイトに入力フォームを表示していなくても、初めての閲覧でもバックグラウンドでこれらの脆弱性を抜くことができるらしい。

Google Chromeの場合はフォーム入力に確認タグが出るが、Safariは出ないので危険なのはSafari５、Safari４ということになる。

この問題に関して、
『「われわれはセキュリティおよびプライバシを非常に重要視している。問題は認識しており、修正に取り組んでいる」とAppleは述べている。』
ということなので、直にセキュリティティパッチという形でこの脆弱性は修正されると思われるが、それまでの間面倒だがこのオートフィル機能をオフにしておくことをお勧めする。

Safariの環境設定に入って「自動入力」タブを開く
ここのチェックを全部外すのが望ましいが住所氏名まで
全部手入力は不便だというならこういう組み合わせもある
ただし特定のサイトのログインID、パスワードが「その他のフォーム」
に記憶されることが多いのでやはりここも外しておくべきだ

Windowsの緊急性の高いパッチはすごい内容だ〜かけ忘れるとやられるぞ

Windowsの月一パッチなのか、セキュリティパッチが出ているので、ユーザはかけるように・・・という話なんだけど、今回のは内容がスゴい。

そもそもの始まりがこれ
Windowsに新たな脆弱性、ショートカットアイコン表示でコード実行の危険性

この記事が７月２０日のもので、この時点で現在サポートされているすべてのWindowsでショートカットアイコンをエクスプローラなどで表示させるだけで、ユーザの許可なしに勝手に任意のコードを実行できるというもので、任意のコードを実行できるということは、リモートなんかもガンガン乗っ取ることができるということだ。
しかもエクスプローラで表示させるだけでいいので、悪意のあるホームページを閲覧するだけで強制リンクでWebDAVに誘導して、そこでショートカットアイコンを表示させてネット越しにリモートを取るなんてことも可能だ。
しかもこの攻撃、そんなに最上級者でなくてもできてしまう感じだ。
こうした脆弱性が今までゼロデイ状態になっていたわけだ。
クワバラクワバラ・・・

今回発表のパッチについての詳細はこちら。
マイクロソフト、ショートカット脆弱性に対応するパッチ「MS10-046」を緊急公開 | RBB TODAY (エンタープライズ、セキュリティのニュース)

MS、Windowsのショートカット脆弱性に対する修正パッチを公開 -INTERNET Watch

ところでXP以上のすべてのバージョンにパッチは配布されているが、Windows2000は大丈夫なんだろうか？
そこについての言及がどこにもないんだけど、同じ脆弱性を抱えているんじゃないだろうか？
MSは2000はサポート外ということでこれについては一切お構いなしだが、実際企業ユーザでWindows2000を使っているところはまだ相当数あると思われる。
かくいう私の今の職場も主力機はWindows2000だ。

私は使ってないからどうでもいいんだが、そういう会社機で調べものとかいってwebを調子コイテミテイて気がついたら会社情報、個人情報全部ぶっこ抜かれてましたなんてことがないんだろうかね？

「危険」とか真っ赤になるとかいうこともなくいつものパッチと
同じような表示で淡々とアップデートがかかる

しかしその内容は凄まじいので見ておくといいと思う
MS10-046という脆弱性でググれば一杯記事は出てくる

そういえばXPのSP2もサポート外だった

先日Windowsの緊急性の高いパッチについて取り上げたところ、「そういわれても何故かアップデートがかからない」とツイートしておられる方を見かけた。

その時に常連の「SakiPapa」さんから以下のサイトについての注意喚起のメッセージをいただいた。
Windows デスクトップ製品のライフサイクル

先日は「このパッチはWindowsXP以上のすべてのバージョンが対象」と書いてしまった。
しかしWindows2000についてはサポートが終わることは認識していたが、そういえばWindowsXPのSP2もサポートが終わるんだった。（VistaのRTMも）

個人ユーザ、企業ユーザともにXPをSP2のままで使っている人は結構多いように思う。
SP2はもうセキュリティ的には安全とはいえないバージョンになってしまったので、思い当たる方はすぐにSP3のパッチを当てるべきだと思う。
企業ユーザの場合は厄介で管理者が、そういうリスクを認識していないと社員個人ではどうしようもない場合が多い。
大丈夫なんでしょうかね？
SP2でないと動かない専用機、グループウエアとか結構多い気がするんだけど・・・

リンク先のマイクロソフトのページではWindows2000、WindowsXPのSP2、
Vista RTMのサポート終了のお知らせが掲示されている

Adobe製品が今またゼロデイ状態になっている

１０／２９のニュースではAdobeはAdobe Reader、Adobe Acrobat、Adobe Flash PlayerのWindows版、Mac版、UNIX版に深刻な脆弱性が発見されたと発表している。

この脆弱性を利用すると、攻撃者はシステムをクラッシュさせたり乗っ取ったりすることが可能だということだ。

この脆弱性のパッチは１１／９に発表される予定だという。

さあどうする？
とりあえずシステム管理者はAdobe製品をインストールしているパソコンでやたらネットを徘徊するなというおふれを会社で出さないと仕方ない感じでしょうな。
それじゃ仕事にならんという反論は当然あるだろうから、
「顧客情報、個人情報等を扱うセクションのPCのwebヘの接続を制限する」
というような消極的なおふれにして、それ以外の人たちはゼロデイ攻撃に晒されるままにしないとしょうがないという後退を余儀なくされるかもしれない。
自分がそういう立場でなくて本当によかったと思う。

もうメインブラウザからFlashやAdobe Readerのプラグインを外そうかなと今本気で思い始めている。

FlashやPDFがブラウザでみられなくて困ることって、実はそんなにないことも最近分かって来ているし。
勿論仕事では困るのだが、仕事用の環境はVMWareに閉じ込めてしまえばいいのだと最近思い始めているし。
メインのMacの環境さえ安全ならあとはどうでもいいと思っている。

Twitterでこの情報をチェックしていたら、こういうサイトを教えてもらった。
Qualys BrowserCheck

ここにアクセスしてスキャンをかけてもらうと、接続しているブラウザのプラグインのバージョンを確認、安全性を確認してくれる。

早速やってみた結果は下のキャプチャー通り。

これをみてますますAdobeを外したいと思っているわけだ。

上記リンクに接続して「Scan Now」ボタンをチェックしてみたところ
「２つのセキュリティ上の問題が見つかった」という警告が出た

Adobe FlashとMicrosoft Silverlightのふたつが問題だという

早速このふたつをアップデートをかけた

しかしAdobe Flashだけは最新版にアップデートしてもアラートが消えない
上記の問題と関係があるのかないのかは分からない
１１／９になってみればその原因が分かると思うが
そういうことを気にしなくてもいいようにAdobeを
外してしまうという選択肢もあると思い始めている

＜追記＞先日のAdobe Flashの警告が消えないわけが分かった〜でもやっぱりそのままにしとく〜Flashいい加減なんとかしてくれ

先日こちらの記事でブラウザのプラグインの脆弱性診断サイトを紹介したところAdobeのFlashのアラートがいくらアップデートしてみ消えないという話を書いた。
Adobe製品が今またゼロデイ状態になっている

その原因が分かった。
Safariのプラグイン情報を見ていたらFlashが二つ入っているのに気がついた。
Adobe Flash本体とClickToFlashのふたつだった。
ClickToFlashはFlashでできているというのはこのとき初めて気がついた。
またTwitterでも同様の趣旨の指摘をいただいた。
皆さん情報ありがとうございました。

それでまずClickToFlashをアップデートしてみたがどういうわけかインストールに失敗。
それで今度はClickToFlashのプラグインを削除することで再検証した。
ClickToFlashのプラグインは
~/Library/Internet Plug-Ins/ClickToFlash.webplugin
にあるのでこれをゴミ箱に移動した。

今度はビンゴで脆弱性のアラートは出なくなった。

先日の何回アップデートしてもFlashが脆弱性が残っているという警告が出る問題だが
Safariのプラグイン情報をよく見ると新しいバージョンと
古いバージョンのFlashがあることに気がついた
さらによく見ると古い方のバージョンはClickToFlashであることが分かった
このプラグイン自体がFlashをベースにして作られているということを今回初めて知った
警告に引っかかっていたのはコッチの方らしい

それでさっそくClickToFlashのステーブル版とナイトリーバージョンと
両方をダウンロードしてきてアップデートしてみることに

しかし何故かステーブルもナイトリーもインストールに失敗する
原因は不明だがどなたか情報をお持ちなら教えていただけると嬉しい

それで手動でClickToFlashの本体を削除することにした
場所は~/Library/Internet Plug-Ins/ClickToFlash.webpluginにある

これで件の診断サイトに行ってみたところ今度は「問題なし」お墨付きをいただいた

ということで一応Flashの警告が消えない問題は解決したかのような格好になったのだが、「待てよ、本当にこれでOKなの？」と心の内なるゴーストが叫ぶ。

例のAdobeのセキュリティアドバイザリの問題だ。
今現状ではAdobe製品の主力のAdobe Flash、Adobe Reader、Adobe Acrobatは非常に危険度の高い脆弱性があって、しかもそのパッチは１１月９日まで出ないというゼロデイ状態になっている。

診断ではOKになっていても、製造元がOKだと言っていないのでここはFlash、Adobe Reader等のプラグインを削除してしまうのがやはり安全なのだが、それでは仕事上あまりにも不便だ。

それで多少問題はあるが、ClickToFlashが入った状態にしておくのと、これを削除してFlashを素通しにしておくのとどちらがよりリスクが少ないだろうかとしばらく考え込んでいた。

その結果私はClickToFlashを元に戻して、このまま使用することに決めた。

手動で外したプラグインをもとの場所に戻すだけでいい。
これは他の人にまで推奨しないし、各自自分の判断で決めてもらえばと思うのだが、私の場合ClickToFlashを踏み台にされてシステムを乗っ取られるリスクよりもFlashをそのまま素通しにしておくリスクの方がはるかに高いと思えたのでこういうことにした。

ほかにTwitterでこういう似たようなサイトも教えてもらった。
こちらの方が診断項目が多い。
Plugin Check

こちらはちょっと困ったような顔をした救急隊員（？）がトレードマークのPlugin Checkサイト
プラグインが脆弱性がある旧バージョンのままになっていないか診断してくれる

こちらの方が項目が多い
「Search」になっている項目が多いのは「自分で調べろ」ということか

ところでFlashについてはWeb屋さんから面白い話を聞いた。

Webサイトの制作の受注額はFlashを使っているかいないかで一ケタ違うそうだ。

「プレインなテキストとCSSだけでナビゲーションの混乱がないサイトを作ってくれ」
という注文をするクライアントは、webのことをよく知っているのかもしれないが、そこからはせいぜい数十万円程度の制作費しか出てこない。

しかしFlashを使うことで、この受注額は一ケタ大きくなる。
Flashを使えば派手なポップアップメニューやマウスオーバーでどんどん変化するグラフィック、ビデオのように動画をマウントできるなどの特質はwebのことをあまりよく知らない素人の企業担当者さんには受けがいいのか知れない。

「これだけすごいビジュアルを作りましたのでお代は数百万円になります」
という感じなのだろう。
web屋さん自体が「なぜFlashを使うのか」というと
「その方が見積もりの金額をつり上げることができるからだ」
と認めている。
別にアクセシビリティが上がるわけでもない。

むしろ私も含めてClickToFlashをインストールしている人達は「Flashなんかイラネ」と思っている人が多い筈だ。
私自身もClickToFlashをクリックしてFlashを表示するのは、ある種のデータ表示画面だけだ。
それ以外の大部分のサイトは邪魔でしかない。

サイトの発注者の皆さんは、自社ホームページに無駄な金をつぎ込んでないでそろそろこういうことを理解して考えた方がいいと思う。

Flashのバージョン　投稿者：B-CHAN 投稿日：2010/11/01(Mon) 13:09 No.4665

https://browsercheck.qualys.com/のサイトで我が家もチェックしましたが、Flashでも危険は無し、と出ました。
というかバージョンが違いますね。
うちに入っている最新バージョンは10.1.85です。
これだと大丈夫じゃないですか？


Re: Flashのバージョン　muta - 2010/11/01(Mon) 16:05 No.4666

いろいろ調べてみましたが
http://nmuta.fri.macserver.jp/appli2m.html#ClickToFlash
ClickToFlashが原因だったようです。

ClickToFlash自体がFlashで作られていたんですね、へルプメニューのプラグイン一覧表示で、気がつきました。
ClickToFlashをアンインストールすると問題のアラートは出なくなりました。

問題はここからです。
問題あるバージョンで作られたFlashをブロックするプラグインと問題ないという表示のプラグインをオールOKするか。
ちょっと悩みましたが、原稿の最新バージョンにも脆弱性があるとAdobeが発表している以上、ベースのFlashに問題があってもすべてのFlashをブロックしてくれるプラグインを活かすことにしました。
どちらにしても問題はありますがこの方がより問題は少ないと判断したためです。

ちなみに私のところでもFlash本体は10.1.85でしたので、問題なしとでていますが、これも当てにならないということでしょうね。


Re: Flashのバージョン　edm2 - 2010/11/02(Tue) 19:06 No.4668

こんにちわ
以前、ClickToFlashはプラグインの方が安定していると書きましたが、その後のバージョンアップにより機能拡張でも問題なく使えています。
紹介されたサイトで診断しても問題なしでした。
ふたつは仕組みが違うのかプラグイン一覧にClickToFlashは出てこないです。


Re: Flashのバージョン　edm2 - 2010/11/02(Tue) 19:15 No.4669

よく考えたら機能拡張だからプラグインに出てこなくて当たり前か。
でも気分的にはこっちのほうがすっきりします。


Re: Flashのバージョン　thoma - 2010/11/03(Wed) 07:25 No.4671

私も機能拡張版も使っていますが、安定度はいまいち、という印象です。Flashのブロックそのものは問題ないのですが、Flashを見たくてクリックした場合でもFlashが始まらない、ということが時々。作者に知らせると結構対応良くUpdateしてくれるのですが、一旦動くようになったFlashも他の事情で次のバージョンが出ると再びだめ、ということもしばしば。
応援はしたいので、機能拡張版が動かない場合、プラグイン版と交代してみて動くかどうかやってみる、という検証用にプラグイン版もインストールして、普段はOffにしてあります。
もっとも最近は、同作者のClickToPluginという機能拡張の方がお気に入りですが。こちらだとsilverlightもブロックしてくれます。


Re: Flashのバージョン　muta - 2010/11/03(Wed) 10:38 No.4672

情報ありがとうございます。
そちらでは安定性はいまいちという感じなんですね。
こちらでは今のところ問題は感じませんが、もう少し様子を見てみます。