トップ «前の日記(2007/02/06(Tue)) 最新 次の日記(2007/02/08(Thu))» 編集

糸の切れた(たこ) ( a threadless kite )

ここは、管理人yamagataが方針未定のまま、何となーく思いついたことを思いついたままにだらだらと書き付ける日記帳です。ふんわりほんわかな感じでお願いします。



2007/02/07(Wed) 水曜日ー。(ぶはw  吹いたw

[セキュリティ] 園田道夫「蔵出しセキュリティ」: 添付ファイルにさよならを

あー、びっくりしたw 今週からは、きっと、トラックバックが殺到することでしょうw 今回は、先週の私のつたないツッコミに反応して頂きました♪ m(_ _)m

これだけ「手間」がかかって、いろんな画面遷移を経て初めてファイルを送ることができるということは、機械的にファイルをばらまく手段には使いづらいですよね。

確かに、普通に送るのに比べて「手間」が増えることは同意です。 ただ、これは攻撃者の足かせにはならないと思うのです。 なぜなら、もしも、ちょっと ひと手間を加えるだけで、騙されやすさがグレードアップする(と想定される)のであれば、きっと攻撃者は多少の苦労はいとわないだろうな と思うからです。

    例えば、去年までに実際にあった標的型攻撃を思い浮かべると、“一太郎のゼロデイを発見し、攻撃コードを作り上げ、当時の時事問題に絡めて官公庁に送りつける”、 “銀行からの修正プログラムを装った スパイウェア入りの 偽CD-ROM を作成し、説明書や案内文を同梱し、別に入手した銀行の顧客名簿に載っていた宛先に郵送する”、 “スパイウェアを作成し、顧客からのクレームを装った文面をつけて、メーカのサポート用メールアドレスに送りつける” などなど、相手は、「効果が見込める」と思ったら、どんな面倒なことでもやってしまう連中なのだと思うのです。

      これらを考えるに、有効なメールアドレスが必要な「宅ふぁいる便」「おくりん坊」はともかく、送信元が詐称し放題の「データ便」は いつ悪用され始めてもおかしくないと思えてしまいます。 (もちろん、そういう意識が世の中に広まった暁には、今度はそれを逆手にとって「宅ふぁいる便」「おくりん坊」がターゲットにされるのでしょうw 自分の使い捨てメアド宛てにマルウェアを送り、URL連絡メールだけ真似して、送信元を偽装して送るとかね。 URL が見慣れた正しいサイトなので、サービスの仕組みを安全だと思い込んでいる人ほど、騙されてマルウェアなどをダウンロードされられてしまう、と。)

        もちろん、ご指摘の通り、ファイル転送サービスそのもののニセモノを作りあげてしまう話も考えられますが、被害者を騙すためには、“それっぽいURL” が必要だと思うので、ドメインを取ったり、こちらは それこそ「痕跡」がいっぱい残ってしまいそう。 「データ便」を使って送る方がよっぽど楽でしょうね。

        そういった偽装に対抗するには運用で工夫するしかなさそうです。例えば、プロジェクトの場合ならばプロジェクトのメーリングリストをあらかじめ作成しておき、そこに「これからファイル転送しまっせ」という告知を流すのです。

        これは良さそうです。 万が一、これで何か事件が起こったら、すぐに犯人を特定できそうですしねw ただ、こういう運用が長続きすれば の話ですよね。 最初はやっていても、だんだん、ファイル転送サービスで連絡の文面も書けるんだからそれで良いぢゃん!となってきてしまいそう。 また、告知メールが無いまま、ファイル転送サービスの URL だけ来た場合には、送信元に確認する ということだと思いますが、これも何回も続くとやらなくなりそうだし、相手が上司だったら遠慮したりしそうw

          ましてや、標的型攻撃では、相手が開かざるを得ない状況を作り上げたりするわけですよね。 クレームのメールを装ったり、緊急事態だと強調したり。 これに対抗するためには、やはりユーザへの教育が徹底して行き届いていないとダメだと思うのです。 そして、もし、「送信元アドレスの確認をする」 「本文内で言及されていない*1 不審なファイルがあれば、送信元に電話などで確認を入れる」 「どうしても不審なファイルを開かなくてはいけない場合には、適切な部署の担当者に指示を仰ぐ」などの教育がちゃんと出来るのであれば、もはや、ファイル転送サービスであろうが、添付ファイルであろうが、同じ安全度じゃないかと思ったりしてしまうわけですw それに・・・自社内だけの話ならば これで良いとしても、実際は取引先やお客さんからもメールは届くわけで、そちらに何かを強要することは出来ませんしね。

            と言うことで、ファイル転送サービスは、メールの容量制限の回避、メールサーバの負荷の軽減、時と場合によってファイル取得を選択できる(出張時は読まない/必要な人だけ取得する)といった利点が認められるものの、セキュリティ向上には あんまり関係ないんじゃないかな〜 と思ってみるわけですw

            *1 言及がされていればOKだと言うわけではないし、そもそも「不審かどうか」を一般ユーザが判断できるのか?とツッコミが入りそうw

            [製品] 液晶を折りたたんで収納することができる携帯電話「Cellular Book」 (GIGAZINE)

            普段は小さいのに、使う時は大画面。 こういうの流行るといいなー。(^-^)

            [セキュリティ] Yahoo!IDのログイン履歴を確認可能に 不正アクセス対策 (ITmedia)

            ログイン履歴」のページで、過去 60回分のログイン日時や IPアドレスの一覧が確認可能に。 一般ユーザに使わせたいのなら、IPアドレスだけじゃなくて、名前解決もして表示して欲しいかも?w

            [雑談] ニコニコ動画(β) - すごいぜ!JASRAC伝説

            話題になってるようなので、とりあえずメモw

            [セキュリティ] 脆弱性を利用した攻撃手法(3) ディレクトリトラバーサルとOSコマンドインジェクション

            OSコマンドインジェクションは,ディレクトリトラバーサルの手法を用いてOSコマンドがあるディレクトリにアクセスし,OSコマンドを実行する手法のことである。

            ディレクトリトラバーサルの手法を用いるとは限らないような気もw
            「system("sendmail ' yamagata21@example.jp'; /bin/rm -rf / # ' ' ");」系とか。