セキュリティ」カテゴリーアーカイブ

セキュリティに関するカテゴリーです。

「ロリポップ!レンタルサーバー」の運営元paperboy&co.が脆弱性報告窓口を開設

今年の8月から9月にかけて、paperboy&co.が運営する「ロリポップ!レンタルサーバー」にて運用されていたWordPressサイトが多数改ざんされるという問題が発生しましたが、それを受けた対策の一環として脆弱性の報告を社外から受け付ける窓口を設置するという発表がありました:

続きを読む

BIND 9.x Windows版とWinSock 2の関係

Windows版のBIND 9.xでのみ発生する、意図しないアクセス許可をしてしまう問題についての記事が出ていました:

後者のページが詳しいのですが、簡単にまとめると「WinSock 2はWinSock 2であってBSDソケットではない」という一語に尽きるかと思います。WSAIoctlというAPIは、WinSockに固有のAPIであり、この仕様はWinSockに固有であるわけです。そのため、今回は255.255.255.255のときの値が、BINDの作成者が期待していたとのと異なる関係で問題が生じてしまったというケースです。

WinSock 2はBSDソケットだと思って使っていると、微妙に互換性がない部分があります。注意しないと今回のように危ないことも起こりえるわけです。

なんというか、こういう微妙な差異で、正常系では問題なく動いてしまっているとなかなか気づきにくい不具合ですよね。

Adobeから流出した暗号化情報は実際に復号が可能な模様

Adobeの情報流出で判明した安易なパスワードの実態、190万人が「123456」使用ITmedia ニュース”という記事を何気なく開いて読みました。それによると、

流出したパスワードを調べたセキュリティ企業が、依然として「123456」などの安易なパスワードを使っているユーザーが大量に存在する実態を指摘した。

とのことで…。あれ? なんでわかったんだろう、と思いつつ先に読み進めていくと、

集計できた理由としてSCGのジェレミ・ゴスニー最高経営責任者(CEO)は、「Adobeがハッシュよりも対称鍵暗号を選び、ECBモードを選択し、全てのパスワードに同じ鍵を使っていたことや、ユーザーが平文で保存していたパスワード推測のヒントがあったおかげ」だと説明している。

なんてことが書いてあります。総合してざっくり言うと、「暗号化されている情報?あれは復号できたよ?」っていう話のようです。暗号キーが固定であり、絶対使っているであろうパスワードから逆算して暗号キーを割り出したのだろうと思われます。つまり、悪意を持った第三者も同じことができる可能性があるということです。

続きを読む

Adobeから流出したAdobe IDの総数は3800万件

CNET Japanの記事「アドビへの不正アクセス、影響は3800万アカウントに」(著・Dan Ackermanさん / 翻訳・村上雅章さん、野崎裕子さん)によると、

Adobeは米国時間10月3日、攻撃を受けたことにより同社の顧客IDと暗号化されたパスワードが漏えいしたことを明らかにした。その時点で同社は、ハッカーらが約300万ユーザーの暗号化されたクレジットカードの記録とログイン情報へのアクセスを得たと述べていた。だが、影響を受けたアカウントの数はこれよりはるかに多いことが分かった。

この攻撃では実際、3800万件のアクティブアカウントが影響を受けた。

ということで、当初予想されていた約300万件(でも十分多いのですが)のデータだけではなく、3800万件ものデータが影響を受けていたとのことです。この3800万件の影響を受けた顧客への通知はすべて終了しているそうです(この3800万件のなかに私のアカウントも含まれていたというわけです)。

また、このほかに非アクティブのアカウントも影響を受けるとのことで、かつての顧客にも影響範囲が広がるそうです。そちらに向けた通知が現在進行中とのことで、現在までに連絡が来ていないかつての顧客にも、これから通知が行くことがありそうです。

PHP本家サイトにマルウェアが仕掛けられていた問題について

具体的な状況はよくわからないのですが、「Webブラウザが「PHP.net」へのアクセスを遮断、マルウェア配布の疑いITmedia エンタープライズ」という鈴木聖子さんによる記事によれば、PHPの総本山であるphp.netサイトにマルウェア(不正ソフトウェア)が仕掛けられた可能性があるとの指摘がでているとのことです。

続きを読む

米国Adobe SystemsからAdobe IDについてのメールが来ました

先日「Adobeがサイバー攻撃を受けて290万件のユーザー情報などを漏えい」で書いたように、私はAdobe IDを持っており、このアカウントの情報が漏えいしたかどうかについて知りたいと思っていました。そこで、前述の記事を書いた時点ではAdobeから登録メールアドレスへメールが届いていなかったことや、私個人としては影響度合いが比較的少ないと思われることもあり、積極的にパスワードを変更することなくしばらく待って、Adobeからメールが来るかどうかを確認してみることにしました。

続きを読む

Adobeがサイバー攻撃を受けて290万件のユーザー情報などを漏えい

Adobeがサイバー攻撃を受け、約290万人のAdobe ID登録情報や一部製品のソースコードの漏えいを起こしてしまったとのことです。関連する公式発表および報道記事を以下に紹介します:

続きを読む

官民共同の不正サイトへのアクセス時の注意喚起ページ表示実験

総務省が中心となって、不正サイトへのアクセスを表示する前に注意喚起ページを表示する実証実験をするという記事が出ていました:

続きを読む

ビル・ゲイツさんの「Ctrl+Alt+Delete」は失敗発言について

Microsoft会長のビル・ゲイツさんが「Ctrl+Alt+Delete」について触れた部分が、ちょっと変な方向にバイアスがかかって広まっているので、その点についてコラムとして触れたいと思います。私の目についた関連記事を4つ、以下に紹介します:

続きを読む

Apache Struts 2の更新版リリース

Apache Struts 2の脆弱性に対応するためのマイナー更新版がリリースされたとの記事を紹介します:

鈴木 聖子さんによるこの記事によれば、脆弱性の原因になってしまいやすいDMI(Dynamic Method Invocation)をデフォルトで無効にする仕様変更を含む、セキュリティ対応リリースとのことです。

デフォルト設定ではDMIが無効になる仕様変更を伴うため、デフォルト設定のまま適用が可能かどうかアプリケーションごとに判断する必要があります。記事にもありますが、DMIに依存しないようなアプリケーションのリファクタリングを検討した方がよさそうです(DMIはStruts 3で廃止予定だそうです)。

なお、

Struts 2のActionマッピング機能に関連して、特定の状況下でセキュリティ制限をかわされる恐れのある脆弱性も修正された。

という修正を含むため、DMIを有効にせざるを得ない場合でも、本リリースの適用をすべきでしょう。