2007年06月13日

開封確認を要求するスパム

開封確認を要求するspamをはじめてみかけたのでメモ。
世間的には多いのかなあ。

メールの開封確認を送受信しないようにする(Outlook Express編)(@IT)によるとメールヘッダの"Disposition-Notification-To:"フィールドがその部分らしい。

ReceivedのIPアドレスを見る限りアフリカ方面からきたみたいだった。


posted by 端っこなひと at 18:01| Comment(0) | TrackBack(0) | 情報セキュリティ | このブログの読者になる | 更新情報をチェックする

2006年03月30日

The Sleuth Kit & Autopsy Browser インストールメモ

The Sleuth Kit と Autopsy Browser をVMWare Player上のVine Linuxへインストールしたときのメモ。

この前受けた講座のテキストを参考にインストールした。


●本家よりソースコードをダウンロード
 (http://www.sleuthkit.org/)

$ wget http://jaist.dl.sourceforge.net/sourceforge/sleuthkit/sleuthkit-2.03.tar.gz
$ wget http://jaist.dl.sourceforge.net/sourceforge/autopsy/autopsy-2.06.tar.gz

●GCCが入ってなかったのでインストール
 # apt-get install gcc
 4つのパッケージがインストールされる
  binutils gcc glibc-devel kernel-headers

●Evidence Locker用に任意のディレクトリを作成
 $ mkdir /home/user1/sleuthkit/evidence

●The sleuth kit を展開・インストール
 $ tar zxvf sleuthkit-2.03.tar.gz
 $ cd sleuthkit-2.03
 $ make

●autopsy の展開・インストール
 $ tar zxvf autopsy-2.06.tar.gz
 $ cd autopsy-2.06
 $ make

Enter the directory where you installed it:
/home/user1/sleuthkit/sleuthkit-2.03

Have you purchased or downloaded a copy of the NSRL(y/n)[n]
n

Enter the directory that you want to use for the Evidence Locker:
/home/user1/sleuthkit/evidence
↑前に作成したディレクトリ(ここを入力せずに進んでコケタのは内緒)

●Autopsy起動
 $ ./autopsy -C -p 9999 192.168.238.1
 オプション
  -C クッキーなし
  -p ポート番号を指定
  ブラウザでアクセスするマシンのIPアドレス

●ブラウザでアクセス(192.168.238.1のマシンより)
 http://192.168.238.129:9999/autopsy
 (The Sleuth Kit と Autopsy Browser がインストールされているマシンのIPアドレスが192.168.238.129の場合)
 
---
参考リンク
The Sleuth Kit 入門編〜その1〜
https://www.port139.co.jp/cakeoff/030518/STTheSleuthKit01.pdf

Autopsy Help
http://www.monyo.com/technical/unix/TASK/autopsy-help-ja/

ITmedia「Linuxとフリーのツールで実現するComputer Forensic」
http://www.itmedia.co.jp/enterprise/0308/02/epn06.html
posted by 端っこなひと at 05:06| Comment(0) | TrackBack(0) | 情報セキュリティ | このブログの読者になる | 更新情報をチェックする

2005年11月04日

IPAセミナーのセキュリティ情報リンク

IPAのセミナーの資料にあったセキュリティ情報リンクをメモ
セミナー資料

セキュリティホール memo - 定番情報源の方が網羅的な感じかなあ。

○ML
 マイクロソフト テクニカル セキュリティ情報通知
 http://www.microsoft.com/japan/technet/security/bulletin/notify.mspx

 IPA 新着情報メール配信
 http://www.ipa.go.jp/about/mail/index.html

 JPCERT/CC
 http://www.jpcert.or.jp/announce.html

○Web
 IPA
 http://www.ipa.go.jp/security/

 JPCERT/CC
 http://www.jpcert.or.jp/

 @Police
 http://www.cyberpolice.go.jp/

 CERT/CC
 http://www.cert.org/
 http://www.cert.org/nav/index_main.html

 Security Focus
 http://www.securityfocus.com/ 

 JVN(JP Vendor Status Notes)
 http://jvn.jp/

○ベンダーWeb
 マイクロソフト TechNet セキュリティ センター
 http://www.microsoft.com/japan/technet/security/default.mspx
 
 CISCO Security Advisories
 http://www.cisco.com/en/US/products/

 Check Point セキュリティ情報
 http://www.checkpoint.co.jp/security/index.html

 Oracle セキュリティ情報
 http://otn.oracle.co.jp/security/

 IBM セキュリティー情報
 http://www-06.ibm.com/jp/software/lotus/techsupport/security.html

 HP HP-UX Patch Digests
 http://archives.neohapsis.com/archives/hp/

○ウイルスベンダー
 トレンドマイクロ セキュリティ情報
 http://www.trendmicro.co.jp/vinfo/
 http://www.trendmicro.com/map/(Virus Map)

 シマンテック
 http://securityresponse.symantec.com/
 http://www.symantec.com/region/jp/sarcj/index.html

 McAfee
 http://vil.nai.com/VIL/newly-discovered-viruses.asp
 http://www.mcafee.com/japan/security/latest.asp

 Sophos
 http://www.sophos.co.jp/downloads/ide/

 F-Secure
 http://www.f-secure.co.jp/v-descs/index.html

○ワームなどのインターネット事情
 InternetStormCenter
 http://isc.sans.org/

 DShield.org
 http://www.dshield.org/

 X-Force Internet Threat Intelligence
 https://gtoc.iss.net/

 @Police インターネット定点観測
 http://www.cyberpolice.go.jp/detect/observation.html

○ニュースサイト(インシデント事情)
 ITmedia
 http://www.itmedia.co.jp/enterprise/security/index.html
 http://www.itmedia.co.jp/news/

 CENT Japan
 http://japan.cnet.com/

 毎日新聞
 http://www.mainichi.co.jp/

 Internet Watch(Impress)
 http://internet.watch.impress.co.jp/

 japan.internet.com
 http://japan.internet.com/index.html

 Net Security
 https://www.netsecurity.ne.jp/

 日経IT Pro
 http://itpro.nikkeibp.co.jp/index.html

 IDG Japan
 http://www.idg.co.jp/ghl/

 MYCOM PCWEB
 http://pcweb.mycom.co.jp/

 Business Computer News
 http://www.computernews.com/
posted by 端っこなひと at 03:27| Comment(0) | TrackBack(0) | 情報セキュリティ | このブログの読者になる | 更新情報をチェックする

2005年10月04日

インターネットライブ授業「インターネット時代のセキュリティ管理」

セキュリティホールmemo経由で知ったのだけど、
WIDE・インターネット時代のセキュリティ管理を見てみた。

ほかにもWIDEとかいって、いろいろ授業をやっているらしい。


第1回のビデオを見てみたが、良い内容だった。
村井先生の話は、インターネットの昔から今日までの変化について。
インターネットが商業化した時の違和感などは興味深かった。

山口先生の話は、以前に聞いた情報セキュリティ文化賞記念講演会の話を発展させてたような内容だった。
人間系のお話が印象に残った。管理部門などの間接部門は評価されにくく、それが問題を引き起こすことがあるとか。
育成も大事で不況で新人を採らなかっところは、大変なことになりつつあるようだ。

村井先生の話の安全と安心の違いも大事。
安心していても実は安全でないこともあり。
リスクばかりを聞いていて使ったことがない人は、安心できないなど。



WIDE University, School of Internet
http://www.soi.wide.ad.jp/contents.html
posted by 端っこなひと at 19:08| Comment(0) | TrackBack(0) | 情報セキュリティ | このブログの読者になる | 更新情報をチェックする

2005年08月07日

情報漏えいの事後対策

情報漏えいが起こった後、、問題の原因解明から得られた知見や、事後対策について有益な情報はないんだろうか?
楽天のカード情報漏れの対応を読んでいて、ふとそんなこと思った。

 ITmedia「楽天の一部店舗でカード決済が10日以降不能に、流出対策で「対象外」と通告」
 http://www.itmedia.co.jp/news/articles/0508/05/news108.html

カード情報を店舗に扱わせないで、楽天が一元管理するのはいい方向だよね。
でも、いきなり事件が起こったから切り替えったって、準備もなしで無茶だよなあ。

それと原因の究明が進んでないんだけど、楽天側からもれた可能性も残ってたりする。
楽天は自分ところのシステムもチェックし直してるのかもしれないけど、そういう姿勢には見えないんだよね。


意外に事後対策についての情報はないなあ。
コンピュータ・フォレンジックが引っかかってくるんだけど、ちょっと違うし。
これはこれで大事なんだけど。

 @police コンピュータ・フォレンジック
 http://www.cyberpolice.go.jp/column/explanation03.html
 @police デジタル・フォレンジック
 http://www.cyberpolice.go.jp/column/explanation08.html


SAFETY JAPAN 2005「なぜ情報漏えいは止まないか」
http://nikkeibp.jp/sj2005/special/09/

情報漏えいに関してまとまった記事を見つけた。
原因は、盗難、紛失・置忘れ、誤操作、管理ミスの順で、防げる可能性が高いものばかりみたい。
まずは、基本的なところを押さえなきゃってことか。


情報漏えいのケースや統計については上の記事でも引用されていた以下の2つが詳しそう。

日本ネットワークセキュリティ協会
2004年度 情報セキュリティインシデントに関する調査報告書
http://www.jnsa.org/active/2004/active2004_1a.html

国民生活センター「個人情報流出事故に関する事業者調査結果
−急がれる個人情報管理体制の強化− 」
http://www.kokusen.go.jp/news/data/n-20050325_1.html


少し前に、武田さんのブログでアメリカでの統計が紹介されてた。
 【情報】CSI/FBIサーベイ2005年版公開
 http://blogs.itmedia.co.jp/keiji/2005/07/csifbi2005_c9ca.html
ウィルスの被害を除けば、高度なハッキングによる攻撃被害というよりはむしろ組織の情報管理上の事故による損害が多いように見受けられます。



IPAが最近、「情報セキュリティ対策ベンチマーク」てのを出していたなあ。
すごく大まかだけど、とりあえずのチェックリストくらいには使えるかも。
http://www.ipa.go.jp/security/benchmark/index.html


関連リンクをメモ
 経済産業省 個人情報保護
 http://www.meti.go.jp/policy/it_policy/privacy/privacy.htm

 日本ネットワークセキュリティ協会 成果物
 http://www.jnsa.org/result/index.html

 JASA「2004年度 情報セキュリティ監査制度普及啓発活動報告」
 http://www.jasa.jp/about/seika.html

 ITmedia 内部情報漏えい対策の常識(前編)
 http://www.itmedia.co.jp/enterprise/articles/0503/15/news003.html
 ITmedia 内部情報漏えい対策の常識(後編)
 http://www.itmedia.co.jp/enterprise/articles/0503/30/news037.html

 @IT 情報セキュリティポリシー入門
 http://www.atmarkit.co.jp/fsecurity/rensai/policy11/policy01.html
posted by 端っこなひと at 23:55| Comment(0) | TrackBack(1) | 情報セキュリティ | このブログの読者になる | 更新情報をチェックする

2005年07月28日

楽天の個人情報漏えい

こないだから、楽天の情報漏えいのニュースがあちこちで見かけるので、いくつか拾ってみる。

 IT media「楽天市場店舗からカード番号含む個人情報123件が流出」(2005/07/23)
 http://www.itmedia.co.jp/enterprise/articles/0507/23/news018.html

 Yahoo!ニュース MYCOM PC WEB「楽天で個人情報流出 - 123件、クレジットカード情報も」(2005/7/25)
 http://headlines.yahoo.co.jp/hl?a=20050726-00000098-myc-sci
週刊新潮から個人情報を記載した書類の提示を受け、同社(引用注:楽天)が調べたところ、センターロード運営の店舗「AMC」での取引情報123件の流出が確認された。

AMCは輸入雑貨を取り扱う店舗で、流出したのは同店舗を利用したユーザーの住所・氏名・電話番号・購入商品・クレジットカード番号。同店舗ではこれまで、重複を含めると約9万4千件を受注、クレジットカードは約2万1,000件が利用されていた。

 IT Pro【続報】楽天の情報流出、加盟店でのカード情報管理体制が明らかに(2005/07/26)
 http://itpro.nikkeibp.co.jp/free/NC/NEWS/20050726/165259/
 楽天市場の加盟店は、商品の在庫管理や注文情報の確認のために楽天市場の店舗管理システムを使っている。これまで、顧客カードの与信確認は、楽天側ではなく、加盟店側で行うのが一般的だった。多くの加盟店はこのシステムを使って取引ごとに顧客のカード番号や有効期限を入手し、決済端末などを使って与信確認している。

 しかし、取引の多い一部の大規模店舗は電子モール運営元の楽天から特別な審査を受けた上で、自社の顧客のカード情報を一括ダウンロードする権限を得ている。自前の与信確認システムにカード情報を一つひとつ入力する手間を省くためだ。AMCも、こうした権限を持つ加盟店の1社だった。

 楽天市場からのお知らせ
 http://www.rakuten.co.jp/com/faq/information/20050723.html


楽天市場の店舗のAMCの取引している情報が漏えいしたみたい。それ以外の店舗はないのか気になるところ。

AMCの情報だけなら、AMC側の管理体制の問題ということなのか?もしくは、楽天側からAMCの部分だけ漏れたか。
仮に店舗側の問題だったとしても、楽天がそういういい加減な店舗を入れていることは、利用者にとっても、他の店舗にとっても脅威だなあ。
AMCは特別な審査を通っていたそうだけど、審査方法にも問題がありそう。


楽天市場でのクレジットカードの与信情報の確認は、各店舗にまかされているらしい。
私はてっきり楽天が管理して店舗には触れさせていないのかと思っていた。そうしないと、今回の事件みたいなときに、楽天市場のブランドが守れないわけで。

まあ、クレジットカード情報だけ守れても、他の個人情報が流出すればそれなりにダメージは受けるわけだけど、ダメージの量は大分違うでしょ?

R-Card Plus」になれば、店舗はクレジットカードの与信情報に触れられなくなるのかな?


こちらは、個人情報がブラックマーケットで売られているよという話。
ソースが怪しいので、ホンマかな?という気もするけど。
住所とか商品情報とか宅配時間とか漏れると、気持ち良くはないよな。
ただ、アダルトサイトに登録させて料金を徴収しているってのは、逮捕されそうだけど。

 Yahoo!ニュース 毎日新聞 <楽天市場>流出データには下着の色やサイズまで(2005/7/28)
 http://headlines.yahoo.co.jp/hl?a=20050728-00000031-mai-soci


「セキュリティは弱いところから崩壊する」わけで、担当者の人は大変だろうなあと思うこのごろ。

2005年7月29日追記
セキュリティmemoのMLで流れていた、店舗側の事情なお話へのリンク。

 CNET Japan 楽天の情報流出事件、「誰の責任なのかはっきりして」--出店者の苦悩と不安(2005/07/26 )
 http://japan.cnet.com/news/sec/story/0,2000050480,20085788,00.htm
posted by 端っこなひと at 18:38| Comment(0) | TrackBack(3) | 情報セキュリティ | このブログの読者になる | 更新情報をチェックする

2005年07月09日

ACCS裁判の意味するものは?

この前、ACCS裁判で有罪判決を受けたoffice氏が控訴を取り下げたという。
これで不正アクセスが確定したわけだけど、釈然としない気もする。
ほんとにこれを不正アクセスにしちゃってもいいのかな?

 ITmedia ACCS不正アクセス事件の有罪確定 元研究員が控訴取り下げ
 http://www.itmedia.co.jp/news/articles/0507/05/news025.html

 slashdot ACCS事件office氏の有罪が確定
 http://slashdot.jp/article.pl?sid=05/07/05/1138212&topic=73


事件の経緯はなんだっけとWebを漁ってみる。

 ITmedia「ACCS裁判を追う」
 http://www.itmedia.co.jp/news/topics/accs.html

 ACCS不正アクセス 京大研究員逮捕事件のテンプレ
 http://www.geocities.jp/officeandaccs/index.html

 ASK ACCS「2003年11月に発生した個人情報保護流出事件について」
 http://www.askaccs.ne.jp/security_2003.html

 ファーストサーバ 不正アクセス事件に関する当社の対応について
 http://www.firstserver.co.jp/pdf/news041015.pdf

 slashdot ACCS事件でoffice氏に有罪判決
 http://slashdot.jp/articles/05/03/25/0423214.shtml?topic=73

office氏関連の動き
○2003年11月8日に行われた「A.D.200X」主催のセキュリティカンファレンス「A.D.2003」で、河合一穂(office)氏がACCSのサイトの一つであるASKACCSの著作権侵害報告CGIの脆弱性を説明し、4人の個人情報の掲載されたpptファイルを上演。

○カンファレンス前に、office氏は4度アクセスして、1,184名の個人情報を取得していた。

○このpptファイルが会場内の無線LANを通じてダウンロード可能な状態だった。

○2004年1月27日、このpptファイルは2ちゃんねるアップローダーに流出した。

○カンファレンス終了後、すくなくとも2人が同じ手口でアクセスした。

○カンファレンス後のにoffice氏は、ACCSにメールでこの脆弱性を報告した。


ACCSサイト運用
○管理体制については、ACCSは、ASKACCSのホームページの運賊管理をヨセフアンドレオン社に委託。ファーストサーバのサーバにて運用されていた。

○11月9日、ASKCCSサイト閉鎖


ファーストサーバ
○脆弱性のあったCGIは、ファーストサーバが作成、標準CGIとして提供していた。

○2002年12月、CGIの脆弱性を発見。対策されたCGIが作成された。
 旧標準CGIを対策されたCGIで上書き。
 CGIのソースコードをカスタマイズしているCGIは、対策されたCGIで上書きせず。
 ACCSサイトのCGIは、旧標準CGIをカスタマイズCGIと誤認して、上書きしてなかった。

○2003年3月、ソースのカスタマイズができない新標準CGIを作成。
 旧標準CGIをサポート外にするとして、新標準CGIへの移行を奨励。
 脆弱性を公表せず。

○2003年11月、ACCS事件に対応して、旧標準CGIを対策したCGIで上書きする。
 カスタマイズCGIについて、ソースの書き換え支援をして、脆弱性の除去作業。

---------------------------
法律以前の部分について、私の感想。

office氏が個人情報を公開したことはよくない。ダウンロードできる状態にしたことは特に問題だね。
脆弱性を指摘する方法が間違っている。ACCSへ直接ないしは公的機関を通して伝えるのが先。
アクセスすることは、ほめられることじゃない。
しかし、不正とまで言い切ってしまうのもどうかと。
ログファイル名を割り出すときと、ログファイルにアクセスするときに、postの引数を書き換えたことが問題になっているわけだが、問題のログファイルのアクセス制御はされてなかった。


A.D.200Xの運賊について、事前のチェックが絶対に必要というわけではないけど、
こういうことがある以上、ある程度のチェックは必要だったのかな。

A.D.200Xが解散に追い込まれたことをみると、気をつけなきゃって思う。
脆弱性について話すことがわるいんじゃなくて、当事者に報告して対策する時間をあげなきゃいけない。


ファーストサーバが脆弱性のあるCGIを修正したとき、客にたいして脆弱性の連絡がなかった。
これじゃ、客は脆弱性のあるCGIを入れ替えようと考えるわけがない。
まるで、三菱自動車のリコール隠しみたい。できるだけ知られないようにこっそり直そうなんて一番まずいやりかたでしょ。

ACCSにも問題があった。

 「ASKACCS個人情報流出事故調査委員会による『事故調査報告書』
 http://www.askaccs.ne.jp/houkoku3.html

この報告書に述べられてる通り。
とくに、不要な個人情報を集めていたことが問題。


Webサイトの管理者の人は他人事と思わずに、頑張って予算を獲得してWebサイトのセキュリティのチェックをほしいな。

---------------------------

「不正アクセスとは何か?」が裁判の焦点だったけども、私には法律論は難しくてどう考えればいいのかわからない。

 総務省 法令データ提供システム
 「不正アクセス行為の禁止等に関する法律」
 (平成十一年八月十三日法律・百二十八号)
 http://law.e-gov.go.jp/cgi-bin/idxselect.cgi?IDX_OPT=1&H_NAME=%95%73%90%b3%83%41%83%4e%83%5a%83%58%8b%d6%8e%7e%96%40&H_NAME_YOMI=%82%a0&H_NO_GENGO=H&H_NO_YEAR=&H_NO_TYPE=2&H_NO_NO=&H_FILE_NAME=H11HO128&H_RYAKU=1&H_CTG=1&H_YOMI_GUN=1&H_CTG_GUN=1

 奥村弁護士の見解「2号不正アクセス罪における「アクセス制御」とは?」
 http://d.hatena.ne.jp/okumuraosaka/20040712#p1

 高木浩光@自宅の日記「不正アクセス禁止法 私はこう考える」
 http://takagi-hiromitsu.jp/diary/20050324.html

高木さんの説が通るのなら、まあ納得がいくのだが、今回の判決ではそうはならなかった。
佐々木さんの記事が詳しい。

 「不正アクセスとは何か」--office氏の判決を読み解く
 http://japan.cnet.com/news/sec/story/0,2000050480,20082116,00.htm
裁判所は不正アクセス禁止法で定められている「特定電子計算機」という言葉を、あくまで日本語文法的にのみ解釈し、「それは物理的なハードウェアを指している」と断定したのだ
アクセス制御機能の有無については、特定電子計算機ごとに判断するのが相当であり、特定電子計算機の特定利用のうち一部がアクセス制御機能によって制限されている場合であっても、その特定電子計算機にはアクセス制御機能があると解するべきである。そして、本件においては、本件CGIおよび本件ログファイルを閲覧するには、FTPを介して識別符号を入力するものとされていたのであるから、本件サーバはアクセス制御機能を有する特定電子計算機といえるのである

FTPにはパスワードがついてるのだから、アクセス制御はあると考えるということらしい。
私にはここが理解不能なんだが。
なんでここでFTPのパスワードの話が出てくるんだ?

うーん、もしかして私の普段の行動も不正アクセスと言われちゃうのか?

私は普段JavaScriptを切っているので、リンクがJavaScriptで貼ってあると、舌打ちしながら、ページのソースからリンク先のURLをコピーして、ブラウザ窓に貼り付けてアクセスしている。

これも管理者の意図しないアクセスで、FTPにパスワードがついていれば不正アクセス?

IE以外ははじくJavaScriptなどの場合が特にやばいのか??


裁判を傍聴していたちせさんの記事を読んでいて、もしかして裁判官がFTPとHTTPの区別がついてないのかと思った。

 ちせのページ@せきゅりてぃ
 http://sp.homelinux.com/seer/library.shtml

まさかだけど、そう考えると一応つじつまが合う。
ルクレツィアさんも裁判官に弁護士の主張が理解できていないという説?

 Lucrezia Borgia の Room Cantarella
 http://d.hatena.ne.jp/Lucrezia/20050331#p1

まさかね。裁判官がそこまで無知じゃないでしょ?
そもそも、わからなければ、専門家を呼んだり、勉強するはず。
いいかげんな判決だしてたら、だれも裁判所の言うことを信用しなくなるわけだし。

だれか詳しい人がいらっしゃったら教えてください。


posted by 端っこなひと at 02:56| Comment(0) | TrackBack(0) | 情報セキュリティ | このブログの読者になる | 更新情報をチェックする

2005年07月06日

ガイアの夜明け「サイバー攻撃との闘い 〜IT犯罪から会社を守れ〜」

ガイアの夜明け「サイバー攻撃との闘い 〜IT犯罪から会社を守れ〜」がテレビ大阪で放送されていた。

 テレビ東京 ガイアの夜明け
 http://www.tv-tokyo.co.jp/gaia/backnumber/preview050705.html

内容は、カカクコムの事件。

○原因や対処方法についての内容を期待したが、対応については社員が徹夜でプログラムを直したとかいう話などはあったものの、詳しくはわからなかった。

セキュリティ対策は株式会社ラックに依頼したみたい。
クラックされる前より、かなり安全性は確保されているはず。

今回の教訓をもとに、きちんと対策されるのであれば、高いけど授業料になったといえるかもしれない。

○カカクコムでばら撒かれたウイルスについては、もう少し突っ込んだ話があった。
 (番組ではウイルスというよりスパイウェアというべきと言っていた)
 ウイルスはリネージュUのアカウントを盗むものだったという。
 リネージュUのアイテムは、現実世界で売買の対象になっているので、他人のアカウントを手に入れれば、売り払ってしまうことができるとのこと。
 しかし、ウイルスは古いタイプでおそらく被害はなかったという。
 犯人の狙いは不明だという。
 
たしかに、サイトをのっとって仕込むウイルスとしてはあまり意味がない。
いたずらか、恨みか、カカクコムの株価操作あたりが狙いだろうか?

○そこから、番組はスパイウェア一般の話になっていく。
 メールに添付したファイルをクリックしただけで、情報が筒抜けになるデモ。
 アークンの人がやっていた。

こういうデモはめったにみられないので、なかなか興味深かった。

○盗まれた情報をもとにした詐欺の話
 ヤフーのネットオークション詐欺
 アカウントを盗んで、他人になりすまして出品。お金を振り込ませるという。
 対策としては、登録されているメールアドレスと、送ってきたメールアドレスが
 違ってる場合は注意とか、名前と口座名義人が一致しているかを確認するなどと言っていた。

なるほど、これじゃ今までの取引が信用できる人だからって安心できないわけだ。
メールアドレスの送信者は偽装できるから、それだけで信用するのはまずいけど、詐欺師のボロを見分けるポイントではある。

----------------------------
私のカカクコム事件に対する感想:

大切なのは、今回を教訓にしてセキュリティを強化すること。

疑問なのは、5月11日にクラックを発見してから5月14日の閉鎖までに3日かかったこと。
ウイルスを除去できていたのかどうかわからないが、サイトの訪問者を危険にさらしていたことは言い訳できないよな。
この点に関する議論が少ないような気がするのだが。

最高のセキュリティだと発言して、あとで訂正するはめになった対応はまずかった。
対応の難しさを感じる。

あと、カカクコムが、あそこまでクラックされた原因を隠す理由がわからない。
別に公開義務があるわけじゃないけど、他社にとっても参考になると思うのだが。
隠すことでよけいに叩かれた感じがする。

 ITmedia 「過失はない」「地震のようなもの」――カカクコム、侵入手口明らかにせず
 http://www.itmedia.co.jp/news/articles/0505/25/news086.html 

 IT Pro カカクコムは情報をきちんと公開すべきだ
 http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050525/161530/

 カカクコムがサイト再開、依然残る多くの疑問
 http://www.atmarkit.co.jp/news/200505/26/kakaku.html

 「過失はない」としながらも不正アクセスの詳細の言及は避ける〜カカクコム
 http://internet.watch.impress.co.jp/cda/news/2005/05/25/7754.html

 佐々木俊尚の「ITジャーナル」 波紋を広げるカカクコム問題
 http://blog.goo.ne.jp/hwj-sasaki/e/9a15ede9f142fd281e16ce5a01a5241d

 カカクコム続報 実はサイバーノーガード戦法? 最大の問題は無知の脆弱性
 https://www.netsecurity.ne.jp/1_2777.html

公開意味なしの意見も。個別の対応対応より、セキュアなサイトをつくれということか。
岡田さんは、サイトの閉鎖の遅れも問題と指摘されている。
 特定サイトのセキュリティ被害の詳細情報は必要か
 http://japan.cnet.com/column/pers/story/0,2000050150,20084011,00.htm
 

評価できる点もある。発表した経過をきちんと残していること。
たいていの会社はお詫びの発表などをしばらくすると削除してしまうが、不信感を増大させかねないので、このように残しておくべきかと。

【重要なお知らせ】状況のご報告(履歴)
http://www.kakaku.com/info/200505/rireki.html

カカクコムのウイルス関連情報
http://www.kakaku.com/info/200505/antivirus.html

復旧スケジュールのご案内
http://www.kakaku.com/info/200505/schedule.htm



結局クラックの原因はSQLインジェクションだったのだろうか?
朝日だけが報道しているのだが、本当かどうかは確認しようがない。

 asahi.com データベースを攻撃、外部から支配 カカクコムHP事件
 http://www.asahi.com/digital/internet/TKY200505230341.html

私は不勉強でこの記事を読むまで、SQLインジェクションという言葉を知らなかった。

 HOTFIX report SQLインジェクション(SQL injection)
 http://www.hotfix.jp/archives/word/2004/word04-15.html

 IPA ISEC SQL組み立て時の引数チェック
 http://www.ipa.go.jp/security/awareness/vendor/programming/a02_01.html

 PHP SQLインジェクション
 http://php.liukang.com/manual/ja/security.database.sql-injection.php

 愛の死体安置所 SQLインジェクションFAQ
 http://lovemorgue.org/modules.php?name=Content&pa=showpage&pid=72

 IBM セキュアなプログラマー: 安全にコンポーネントを呼ぶ
 http://www-6.ibm.com/jp/developerworks/linux/050311/j_l-calls.html

入力値のチェックをしていないと、データベースを好きなようにいじられてしまう。
対策は、不正な入力値をとりのぞいたりエスケープすること、SQLのパラメータをシングルクォートでくくることもしておくなど。
ということらしい。3年ほど前にそんなことを勉強したおぼえが・・・。

ほとんどのWebサイトで脆弱性を抱えているという話もある。
カカクコムは他人事じゃないってこと。

 ITmedia 言葉は知られていても危険性までは認識されていない「SQLインジェクション」
 http://www.itmedia.co.jp/enterprise/articles/0506/07/news022.html
ラックの調査では「ほとんどすべてのWebサイト」が、また三井物産セキュアディレクション(MBSD)の調査によれば94%ものサイトが、Webアプリケーションのセキュリティに関して何らかの問題を抱えているという。
住商エレクトロニクスのセキュリティコンサルタントである笠原謙氏は、6月3日に行われた情報セキュリティセミナーの中で、「調査対象の60%以上にSQLインジェクションの脆弱性があるという数字があるが、私自身の感触ではもっと多いかもしれない」

Webサイトの管理者は、セキュリティ・チェックしとかないと痛い目にあいそう。
posted by 端っこなひと at 05:12| Comment(0) | TrackBack(1) | 情報セキュリティ | このブログの読者になる | 更新情報をチェックする

2005年06月15日

フィッシング偽Yahoo!摘発

この間ニュースで、Yahoo!の偽サイトを構築して、Yahoo!のIDとパスワードを不正に入手した男が逮捕されたことが報じられていた。
いまさらだけど、フィッシングについて知らなさすぎなので少し調べてみる。

 ITmedia フィッシングを初摘発 Yahoo!に似せたサイト構築の男
 http://internet.watch.impress.co.jp/cda/news/2005/06/13/7996.html

 スラッシュドット フィッシングサイト Yafoo!JAPAN 開設者が逮捕
 http://slashdot.jp/article.pl?sid=05/06/13/2224209

 Yahoo!ニュース 毎日新聞(6月13日)
 <フィッシング逮捕>偽ヤフーで個人情報入手の男 全国初
 http://headlines.yahoo.co.jp/hl?a=20050613-00000077-mai-soci

偽サイトの写真
 Yahoo!ニュース 写真
 http://headlines.yahoo.co.jp/hl?a=20050614-00000010-maip-soci.view-000


フィッシングを初摘発はいいんだけど、なんで著作権違反で別件逮捕するかな?
プロの詐欺師じゃなくて、ただのいたずらだったから簡単に捕まえられた感じ。


そもそも、フィッシングの定義って何?
 e-Words フィッシング 【phishing】
 http://e-words.jp/w/E38395E382A3E38383E382B7E383B3E382B0.html
 金融機関などからの正規のメールやWebサイトを装い、暗証番号やクレジットカード番号などを搾取する詐欺。「釣り」を意味する「fishing」が語源だが、偽装の手法が洗練されている(sophisticated)ことから「phishing」と綴るようになったとする説がある。


フィッシングの手口はいろいろあるようだけど、パスワードを本物サイトに中継されることもあるという。

 高木浩光@自宅の日記
 ヤフーからの通知を装った日本語フィッシングで何が起きていたか
 http://takagi-hiromitsu.jp/diary/20041205.html


ファーミングと呼ばれる、ブラウザのアドレスバーに手入力しても偽装される手口もあるらしい。

 IT Pro pharming(ファーミング)――オンライン詐欺は「釣り」から「農業」へ?
 http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050209/155922/


でファーミングの対策はというと、SSLの証明書をチェックすることのようだ。

 高木浩光@自宅の日記 ファーミング詐欺と区別がつかない自治体電子申請サイト
 http://takagi-hiromitsu.jp/diary/20050212.html
そのケースであれば、ブラウザの錠前アイコンを確認すればよい。そもそも、フィッシング詐欺に遭って困るような情報を入力するときは、通信が暗号化されていることを確認するのが基本


手の込んだフィッシングがこれからも増えそう。
javascriptを切ったり、アドレスバーのチェックはしていたけど、SSL証明書のチェックをついつい忘れがちなのを反省。



関連リンク
高木さんのサイトが一番わかりやすかった。
 高木浩光@自宅の日記
 http://takagi-hiromitsu.jp/diary/

高木さんのサイトのフィッシング関連(google検索)
http://www.google.co.jp/search?q=site%3Atakagi-hiromitsu.jp+%E3%83%95%E3%82%A3%E3%83%83%E3%82%B7%E3%83%B3%E3%82%B0++&start=0&start=0&hl=ja&lr=lang_ja&ie=utf-8&oe=utf-8&client=firefox-a&rls=org.mozilla:ja-JP:official


フィッシング詐欺サイト情報
http://www.rbl.jp/phishing/

Yahoo!ニュース フィッシング詐欺
http://dailynews.yahoo.co.jp/fc/computer/phishing/

hotwired 深刻化する「フィッシング詐欺」
http://hotwired.goo.ne.jp/news/news/business/story/20040604106.html
posted by 端っこなひと at 18:43| Comment(0) | TrackBack(0) | 情報セキュリティ | このブログの読者になる | 更新情報をチェックする

2005年06月07日

Winnyで小学校の児童名簿が流出

情報漏えいの話はいいかげん聞き飽きたけど、スラッシュドットでのレスがおもしろかったので最後まで読んでしまった。私も暇人だね〜。

 スラッシュドット セキュリティ Winnyで小学校の児童名簿が流出
 http://slashdot.jp/security/05/06/02/1645224.shtml?topic=57

事件としては簡単で、小学校の先生が仕事を家に持ち帰って、児童名簿などをWinnyでばら撒いちゃったということ。

事件自体はどうでもいいのだけど、気になるのは、「相変わらず個人の問題にしている」こと。

 中日新聞 全児童名簿がネット流出 愛知・一宮の市立小
 http://www.chunichi.co.jp/00/sya/20050602/eve_____sya_____013.shtml
同市教委は、パソコンで児童の個人情報を扱う作業は校内だけで行うよう各校に繰り返し通知を出していたという。同市教委の中野和雄学校教育課長は「関係者に大変申し訳ない。今後は情報管理の指導をさらに徹底したい」と話している。


指導とかそういう問題なのかな?
個人の不注意が原因なら情報漏えいがこんなにいろんな組織でおこるのはなぜ?
故意じゃないんだから責任論も不毛。
原因究明をして対策することが一番でしょ。


私のつたない頭で考えてみると、情報保護システムの問題と学校教育の問題に分けられる。

情報保護システムの問題は、次の3点
(1)そもそも不要と思われる情報が作成され、保持されていたこと
(2)その教師が知る必要のない情報にアクセスできたこと
(3)教師が漏えいしてはいけない情報を学校外へ持ち出せたこと

(1)については、「個人情報保護の基本は余計な情報を持たないこと」だったはず。
昔の成績表なんて必要なの?教員の出身大学がなんでいるの?
どんな情報を保存するか、どんな管理をするか、どうやって破棄するか(破棄するときこそ漏えいしやすい)を教育委員会が決めて、監督してなきゅ駄目だよね。

(2)については、教員が無条件に児童名簿とか教職員名簿に全体にアクセスできるのはまずいんじゃないのかな。
「Need to Know」の原則に反してる。
児童名簿なんて必要なときにその部分だけアクセスできればいいわけだから。

(3)については、どこまで制限するかは難しい。
ただ「通知」なんてのは管理者の責任逃れには役立つけど、情報漏えい対策としてはほとんど意味がない。
本気でやるならメディアの持ち込み・持ち出しができないよう物理的に対策するのがいいと思う。
FD、CD-Rドライブは外す。USBポートはつぶすなんてのも聞いたことがある。
あと、データを暗号化していれば、ファイルが流出しても中身が見られないようにできる。時間をかければ解読されるだろうけど。

でも学校外へ持ち出すのは「そうしないと仕事が終わらない」のが理由なんだから、学校内で仕事が終わるようにしないと抜け道探しになるだけ。

それが、学校教育の問題。
家に仕事を持ち帰らなければ終わらないのが問題。教育現場を知らないので原因はわからないけど、そこに手をつけなきゃ情報保護なんてできやしない。

今回はウイルスだったけど、ノートPCやかばんをなくしたとか、盗まれたとかいうケースもあるわけだから、情報を持ち出さなくてもいいようにしなきゃ。

私の話はしょせんは理屈。みんなの理解や協力が得られないのが現実かもしれないな。
(読んでるとは思えないけど)全国の教育委員会の情報セキュリティ担当の方々がんばってください。


関連ページ
(一番事件内容が詳しい)
 中日新聞 全児童名簿がネット流出 愛知・一宮の市立小
 http://www.chunichi.co.jp/00/sya/20050602/eve_____sya_____013.shtml

 ITmedea 一宮市の小学校、全児童・職員の名簿がWinnyで流出(2005/06/02)
 http://www.itmedia.co.jp/enterprise/articles/0506/02/news031.html

 毎日新聞 全児童名簿流出:ウィニーで感染、成績表も 愛知の小学校(2005年6月2日)
 http://www.mainichi-msn.co.jp/today/news/20050602k0000m040164000c.html


 ITmedea 特集・個人情報保護法
 http://www.itmedia.co.jp/news/privacy/

 @IT 情報漏えい対策
 http://www.atmarkit.co.jp/channel/rouei/rouei.html
posted by 端っこなひと at 09:03| Comment(1) | TrackBack(0) | 情報セキュリティ | このブログの読者になる | 更新情報をチェックする