今年の8月から9月にかけて、paperboy&co.が運営する「ロリポップ!レンタルサーバー」にて運用されていたWordPressサイトが多数改ざんされるという問題が発生しましたが、それを受けた対策の一環として脆弱性の報告を社外から受け付ける窓口を設置するという発表がありました:
Windows版のBIND 9.xでのみ発生する、意図しないアクセス許可をしてしまう問題についての記事が出ていました:
後者のページが詳しいのですが、簡単にまとめると「WinSock 2はWinSock 2であってBSDソケットではない」という一語に尽きるかと思います。WSAIoctlというAPIは、WinSockに固有のAPIであり、この仕様はWinSockに固有であるわけです。そのため、今回は255.255.255.255のときの値が、BINDの作成者が期待していたとのと異なる関係で問題が生じてしまったというケースです。
WinSock 2はBSDソケットだと思って使っていると、微妙に互換性がない部分があります。注意しないと今回のように危ないことも起こりえるわけです。
なんというか、こういう微妙な差異で、正常系では問題なく動いてしまっているとなかなか気づきにくい不具合ですよね。
“Adobeの情報流出で判明した安易なパスワードの実態、190万人が「123456」使用 – ITmedia ニュース”という記事を何気なく開いて読みました。それによると、
流出したパスワードを調べたセキュリティ企業が、依然として「123456」などの安易なパスワードを使っているユーザーが大量に存在する実態を指摘した。
とのことで…。あれ? なんでわかったんだろう、と思いつつ先に読み進めていくと、
集計できた理由としてSCGのジェレミ・ゴスニー最高経営責任者(CEO)は、「Adobeがハッシュよりも対称鍵暗号を選び、ECBモードを選択し、全てのパスワードに同じ鍵を使っていたことや、ユーザーが平文で保存していたパスワード推測のヒントがあったおかげ」だと説明している。
なんてことが書いてあります。総合してざっくり言うと、「暗号化されている情報?あれは復号できたよ?」っていう話のようです。暗号キーが固定であり、絶対使っているであろうパスワードから逆算して暗号キーを割り出したのだろうと思われます。つまり、悪意を持った第三者も同じことができる可能性があるということです。
CNET Japanの記事「アドビへの不正アクセス、影響は3800万アカウントに」(著・Dan Ackermanさん / 翻訳・村上雅章さん、野崎裕子さん)によると、
Adobeは米国時間10月3日、攻撃を受けたことにより同社の顧客IDと暗号化されたパスワードが漏えいしたことを明らかにした。その時点で同社は、ハッカーらが約300万ユーザーの暗号化されたクレジットカードの記録とログイン情報へのアクセスを得たと述べていた。だが、影響を受けたアカウントの数はこれよりはるかに多いことが分かった。
この攻撃では実際、3800万件のアクティブアカウントが影響を受けた。
ということで、当初予想されていた約300万件(でも十分多いのですが)のデータだけではなく、3800万件ものデータが影響を受けていたとのことです。この3800万件の影響を受けた顧客への通知はすべて終了しているそうです(この3800万件のなかに私のアカウントも含まれていたというわけです)。
また、このほかに非アクティブのアカウントも影響を受けるとのことで、かつての顧客にも影響範囲が広がるそうです。そちらに向けた通知が現在進行中とのことで、現在までに連絡が来ていないかつての顧客にも、これから通知が行くことがありそうです。
具体的な状況はよくわからないのですが、「Webブラウザが「PHP.net」へのアクセスを遮断、マルウェア配布の疑い – ITmedia エンタープライズ」という鈴木聖子さんによる記事によれば、PHPの総本山であるphp.netサイトにマルウェア(不正ソフトウェア)が仕掛けられた可能性があるとの指摘がでているとのことです。
先日「Adobeがサイバー攻撃を受けて290万件のユーザー情報などを漏えい」で書いたように、私はAdobe IDを持っており、このアカウントの情報が漏えいしたかどうかについて知りたいと思っていました。そこで、前述の記事を書いた時点ではAdobeから登録メールアドレスへメールが届いていなかったことや、私個人としては影響度合いが比較的少ないと思われることもあり、積極的にパスワードを変更することなくしばらく待って、Adobeからメールが来るかどうかを確認してみることにしました。
Adobeがサイバー攻撃を受け、約290万人のAdobe ID登録情報や一部製品のソースコードの漏えいを起こしてしまったとのことです。関連する公式発表および報道記事を以下に紹介します:
総務省が中心となって、不正サイトへのアクセスを表示する前に注意喚起ページを表示する実証実験をするという記事が出ていました:
Microsoft会長のビル・ゲイツさんが「Ctrl+Alt+Delete」について触れた部分が、ちょっと変な方向にバイアスがかかって広まっているので、その点についてコラムとして触れたいと思います。私の目についた関連記事を4つ、以下に紹介します:
Apache Struts 2の脆弱性に対応するためのマイナー更新版がリリースされたとの記事を紹介します:
鈴木 聖子さんによるこの記事によれば、脆弱性の原因になってしまいやすいDMI(Dynamic Method Invocation)をデフォルトで無効にする仕様変更を含む、セキュリティ対応リリースとのことです。
デフォルト設定ではDMIが無効になる仕様変更を伴うため、デフォルト設定のまま適用が可能かどうかアプリケーションごとに判断する必要があります。記事にもありますが、DMIに依存しないようなアプリケーションのリファクタリングを検討した方がよさそうです(DMIはStruts 3で廃止予定だそうです)。
なお、
Struts 2のActionマッピング機能に関連して、特定の状況下でセキュリティ制限をかわされる恐れのある脆弱性も修正された。
という修正を含むため、DMIを有効にせざるを得ない場合でも、本リリースの適用をすべきでしょう。