目に付いたセキュリティねたのメモ。昔なつかしの情報提供。

■事件・トピックス
全国200の自治体で住基ネットが利用不可能になる障害が発生
http://itpro.nikkeibp.co.jp/article/NEWS/20130327/466502/
スクープだったらしい。ネタ元は京○の先生？

おさまらぬWeb改ざん被害、Apacheモジュールの確認を
http://www.atmarkit.co.jp/ait/articles/1303/25/news122.html
3月中旬以降、複数のWebサイトで、Webサーバ「Apache」に不正なモジュール
「Darkleech Apache Module」が仕込まれ、アクセスしてきたユーザーのPC
をマルウェアに感染させる被害が相次いで報告されている。

#OCJP-098： 【警告】 285件日本国内のウェブサイトが「Darkleech Apache Module」に
感染されて、IEでアクセスすると「Blackhole」マルウェア感染サイトに転送されてしま
います！
http://unixfreaxjp.blogspot.jp/2013/03/ocjp-098-285blackhole-exploit-kit.html

ネットを崩壊の瀬戸際に追い込んだ「史上最大のサイバー攻撃」が明るみに
〜早急な対策が望まれるオープンリゾルバーDNS問題
http://internet.watch.impress.co.jp/docs/news/20130328_593523.html

辻さん(@ntsuji)のtweet
https://twitter.com/ntsuji/status/316754312502054915
外部からのdigによるオープンリゾルバの確認: 
dig @確認したいDNSサーバのアドレス 任意のドメイン名 
IPアドレスが引けたらオープンリゾルバ

SpamhausとCloudFlare、最大規模のDDoS攻撃にオープンリゾルバ問題を指摘
http://news.mynavi.jp/news/2013/03/28/142/index.html
ピーク時最大300GbpsのDDoS。

不正アクセス摘発、12年は過去最多　10代が42％　　：日本経済新聞
http://www.nikkei.com/article/DGXNASDG28001_Y3A320C1000000/?dg=1

サイバー攻撃特別捜査隊設置　１３都道府県警で４月から
http://www.asahi.com/national/update/0328/TKY201303280044.html
広島にも設置される。問い合せ対応などが想定される。


■脆弱性報告
CVE-2013-2266: A Maliciously Crafted Regular Expression Can Cause Memory Exhaustion in named
https://kb.isc.org/article/AA-00871
CVE-2013-2266 [JP]: 不正に細工された正規表現によってnamedがメモリ不足になる
https://kb.isc.org/article/AA-00881
【速報】ISCからBIND 9の致命的な脆弱性情報が発表されました。深刻度は
「重大（Critical）」で、対象はBIND 9.7系以降、外部から攻撃可能で、
キャッシュ／権威DNSサーバーのいずれも影響を受けます。
https://twitter.com/OrangeMorishita/status/316583833564753920


■韓国サイバー攻撃関係
2013-03-22 緊急レポート：韓国サイバー攻撃マルウェア検証
http://www.fourteenforty.jp/blog/2013/03/2013-03-22-1.htm

韓国の銀行、メディアに対するサイバー攻撃事件について
http://mcaf.ee/gdjz3

韓国同時多発サイバー攻撃について - セキュリティは楽しいかね？ Part 2
http://negi.hatenablog.com/entry/2013/03/22/123529

韓国で発生した大規模サイバー攻撃、日本は大丈夫か？ - ITpro
http://itpro.nikkeibp.co.jp/article/COLUMN/20130322/464961/?top_tl1

韓国への大規模サイバーテロ事件について(snowwalker’s blog)
http://snowwalker1224.wordpress.com/2013/03/21/cyberwarfare2korea_1/

韓国の大規模ダウンは資産管理サーバー経由での攻撃か(ず)
http://www.zukeran.org/shin/d/2013/03/21/korea-hacking/

2013年3月に発生した韓国へのサイバー攻撃をまとめてみた。
http://d.hatena.ne.jp/Kango/20130323/1363986809
某所の会議でpiyokangoさんのblogが紹介されていてびっくりした。

マスターブートレコードを破壊する韓国企業へのサイバー攻撃、その全体像と教訓とは？
http://blog.trendmicro.co.jp/archives/6923

韓国へのサイバーテロ、論理爆弾の仕組みが判明
http://wired.jp/2013/03/26/logic-bomb-south-korea-attack/?utm_source%3Dfeed%26utm_medium%3D

韓国へのサイバー攻撃、メールによる標的型攻撃がきっかけか 
http://www.security-next.com/038550

隣国のセキュリティ事案を教訓とするために
http://blogs.technet.com/b/jpsecurity/archive/2013/03/29/3561697.aspx
例の日経ITProの無許可WSUSは完全に誤報であることをMSが公式見解。

2011 年と 2013 年の韓国へのサイバー攻撃に関連性はあるか
http://www.symantec.com/connect/ja/blogs/2011-2013


■PC遠隔操作事件
【遠隔操作ウイルス事件】容疑者が猫にチップの首輪をつけたのは1月3日14:43〜16:13の間か / 証拠らしき写真がネットに載る
http://rocketnews24.com/2013/03/16/305032/
問題のblog
http://blog.livedoor.jp/hiro90mmhg/archives/52019644.html
続報はなし。結局、未検証か？

【PC遠隔操作事件】報じられない捜査の問題
http://bylines.news.yahoo.co.jp/egawashoko/20130327-00024083/

「遠隔操作ウイルス事件」に関連する一覧
http://blogos.com/news/remote_control/
blogosのまとめ


■情報漏えい関係
要注意！NTTの「インターネットご利用状況調査のモニター募集」が怖すぎると話題に
http://matome.naver.jp/odai/2136448146253383301?utm_source=dlvr.it&utm_medium=twitter
全インターネットパケットをNTTが取得するというすごい内容。
通信の秘密が全無視されている。他山の石の事例。

「ネット利用時の情報取得に関するモニター施策」に関するお詫びと施策中止のお知らせについて
http://www.ntt.co.jp/topics/info/index.html
そして、当然のように中止に。


■報告書・ツール
標的型攻撃の現状と対策
http://itpro.nikkeibp.co.jp/article/COLUMN/20130321/464727/?ST=attack
第1回 標的型攻撃の実状
第2回 4段階で進む標的型攻撃(2013/03/26)
第3回 標的型攻撃を想定したシステム設計(2013/03/27)
第4回 標的型攻撃メールの傾向(2013/03/28)
第5回 標的メールの最新手口(2013/03/29)

法人におけるSNS利用に伴うリスクと対策
https://www.jpcert.or.jp/research/sns2012.html

制御システムセキュリティ自己評価ツール(J-CLICS)
https://www.jpcert.or.jp/ics/jclics.html
無償公開。

セキュリティは“自分で”考えよう。えん罪をはらすには？
〜情報セキュリティシンポジウム道後2013レポートhttps://event.atmarkit.co.jp/events/64d34aa554814656e85f3029f77315e2/atmarkit_report
次回は月末月初は避けて欲しい。

組織における内部不正防止ガイドラインを公開
〜内部不正対策に悩んでいる組織のためのガイドラインを公開〜
http://www.ipa.go.jp/about/press/20130325.html

『クライアントソフトウェアの脆弱性対策』に関するレポート
〜クライアントソフトウェアの脆弱性対策の必要性理解と促進〜
http://www.ipa.go.jp/about/technicalwatch/20130322.html

BlackHatEU2013(てっじーの丸出し)
http://d.hatena.ne.jp/tessy/20130319/1363666242
後で読む。

Health2.0開催、医療ソフトウェアに多数の脆弱性を発見
http://scan.netsecurity.ne.jp/article/2013/03/19/31262.html
ちーん。
優勝した千田雅明氏は「診断したソフトウェアの中には製品レベルのセキュリティをまったく持っていないものがあり、セキュアなコードを見つける方が難しいぐらいだ。」と述べた。

多段プロキシによるTorのExitノードの隠蔽について
http://www.ntt.com/icto/security/images/sr20130410.pdf
佐名木さんの記事。

Windows Server 2012 Community Day
http://technet.microsoft.com/ja-jp/windowsserver/jj127279.aspx
資料が公開された
http://www.ustream.tv/channel/communityevent?utm_campaign=hootsuite.com&utm_source=11183782&utm_medium=social

遠隔操作ウイルス真犯人の勝手プロファイル

• 首都圏在住。
• 男性。
• 30代中〜後半。
• 不正アクセス禁止法以前の黒系セキュリティコミュティに199x年代に所属。CTFネタが分かることから、現在も継続してセキュリティコミュニティはウォッチ中。
• 過去にセキュリティ企業に務めたことがあるが、その会社は既に無い。現在はセキュリティとまったく関係のないただのプログラマとして普通のブラック企業に勤めている。
• 会社でのポジションは良くない。
• 未婚、もしくは過去に結婚していても、現在は独身。同居家族はいても猫。
• 過去に不正アクセス禁止法、詐欺、P2P情報漏えい事案などで、逮捕された経験アリ。このことから深く警察をうらんでいる。

か、もしくは、こういったおっさんを想定した、10代、20代、もしくは40代の男性、もしくは女性の可能性がある。w
うそです。完全ねたです。石を投げないで・・・

毎年恒例の診断前準備として開発者向けに、「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。他に追加した方が良い情報源があった場合はご指摘いただけると助かります。
上から重要な順。★がとりあえず読んどけ、の必須。必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているもの。
徳丸本は今年は必須かな。電子書籍版もあるから、スマホに常備できるし。

あと、後半、まったく初心者向けじゃないけど、セキュリティキャンプ生向けにWebテストできるためのツール類を紹介。Webセキュリティ組の参考に、あと、ネットワークセキュリティ組もFiddler2を使うのはパケットの中身の可視化に良いと思うので、インストールして見られるのがよろしいかと。ここはツール情報を定期的にポストしようと思うので、キャンプ生はチェックしておいて欲しい。

★Webサイト構築
安全なウェブサイトの作り方 改訂第5版第2刷
http://www.ipa.go.jp/security/vuln/websecurity.html 
携帯ウェブサイトの実装方法を追加
セキュリティ実装 チェックリスト（Excel形式、33KB） 
安全なSQLの呼び出し方（全40ページ、714KB） 

★発注仕様
発注者のためのWebシステム／Webアプリケーション セキュリティ要件書
http://www.tricorder.jp/security_requirement.html 
クリエイティブコモンズ・ライセンス

「Web システム セキュリティ要求仕様（RFP）」編 β 版
http://www.jnsa.org/active/2005/active2005_1_4a.html 

★書籍
体系的に学ぶ 安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践
http://www.amazon.co.jp/dp/4797361190/connect24h-22/ 
徳丸 浩 (著) ，価格：￥3,360
電子書籍版もあるので，スマフォに常備とかよいかも。


■Webアプリケーション開発
セキュア・プログラミング講座
http://www.ipa.go.jp/security/awareness/vendor/programming/index.html 
セキュプログラミング講座(旧版) 
WEBプログラマコース 
http://www.ipa.go.jp/security/awareness/vendor/programmingv1/a00.html 
新版にはプログラム例がごっそりに受けているので、初心者向けとしては情報の断裂があると思う。
旧版で見て、そのあとに新版も押さえておきましょう。

Webアプリケーションにセキュリティホールを作らないための
クロスサイトスクリプティング対策の基本
〜クロスサイトスクリプティング脆弱性とは？〜 
http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html 
http://www.atmarkit.co.jp/fsecurity/special/31xss/xss01.html 
http://www.atmarkit.co.jp/fsecurity/special/34xss/xss01.html 

Webアプリケーションに潜むセキュリティホール 
http://www.atmarkit.co.jp/fsecurity/rensai/webhole01/webhole01.html 
第1回 サーバのファイルが丸見え？！ 
第2回 顧客データがすべて盗まれる？！ 
第3回 気を付けたい貧弱なセッション管理 
第4回 エラーメッセージの危険性 
第5回 Webアプリケーションの検査テクニック 
第6回 Webサイトのセッションまわりを調べる方法 
第7回 攻撃されないためのセッション管理の検査方法 
第8回 Webサイトの問い合わせ画面に含まれる脆弱性 
第9回 オンラインショッピングにおける脆弱性の注意点 
第10回 安全なWebアプリケーション開発のススメ 
第11回 Webアプリケーションファイアウォールによる防御 
第12回 mod_securityのXSS対策ルールを作成する 
第13回 OSコマンドインジェクションを防ぐルールを作成する 
最終回 Webアプリケーションの脆弱性を総括する 

Webアプリにおける11の脆弱性の常識と対策
http://www.atmarkit.co.jp/fjava/rensai4/webjousiki11/webjousiki11_1.html 

脆弱なWebアプリケーション
http://thinkit.co.jp/free/tech/7/1/1.html 
旧版IPA ISEC『セキュア・プログラミング講座』著者の長谷川さんの記事。
第1回 Webアプリケーションの脆弱性 
第2回 ファイル流出 
第3回 パラメータからの情報流出 
第4回 セッション乗っ取り 
第5回 インジェクション攻撃 
第6回 各種の問題 

■携帯Web
ケータイWebのセキュリティ
第1回 「PCでは見えないはず」に頼ることの危険性
http://www.atmarkit.co.jp/fsecurity/rensai/keitaiweb01/keitaiweb01.html 
第2回 間違いだらけの「かんたんログイン」実装法
http://www.atmarkit.co.jp/fsecurity/rensai/keitaiweb02/keitaiweb01.html 
第3回 実は厄介、ケータイWebのセッション管理
http://www.atmarkit.co.jp/fsecurity/rensai/keitaiweb03/keitaiweb01.html 
最終回 ケータイWebの今後を安全に保つには
http://www.atmarkit.co.jp/fsecurity/rensai/keitaiweb04/keitaiweb01.html 
ちょっと古いが、ガラケーからスマートフォンへの移行で情報の隔絶が
おこりそうなのであえて掲載。

■Webセキュリティ診断
OWASP Guide 1.1.1 日本語訳
https://sourceforge.net/project/showfiles.php?group_id=64424&package_id=62287  

OWASP Top 10 - 2010
http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010%20Japanese-A4.pdf 
和訳

安全な Web アプリ開発の鉄則 2006
http://www.nic.ad.jp/ja/materials/iw/2006/proceedings/T21.pdf 
高木先生のプレゼン資料。コンテンツとしては古いけど、今でも色あせていない。

自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
http://www.slideshare.net/uenosen/web-2010-3241609 

LASDEC ウェブ健康診断
https://www.lasdec.or.jp/cms/12,1284.html 
平成23年度版はなし
平成22年度版ウェブ健康診断仕様 Internet公開用
（別紙）平成22年度ウェブ健康診断報告書フォーマット
最低限のチートシートとして。


以下、解説なしで見てわかる人向け。
書いてあることの意味がわからなかったら、徳丸本を読め。

■ツール類
Fiddler2 Web DeBugger
http://fiddler2.com/fiddler2/ 
Local Proxy Web DeBugger
MSのIEの中のひと作。徳丸本でも定番。
Windows限定。

"XSStest21" [Fiddler2 Extension] by yamagata21
http://yamagata.int21h.jp/tool/XSStest21/
試してないけどFiddler2の拡張追加機能。yamagata21さん作。

FiddlerとWatcherでWebサイトのセキュリティをチェックする
http://news.mynavi.jp/articles/2010/04/21/fiddler/index.html

Watcher
http://websecuritytool.codeplex.com/
Web-security scanner

BurpSuite
http://portswigger.net/burp/ 
Local Proxy Web DeBugger
Pro版はスキャナ付き。多機能すぎてかえってチューニング難しい。

Pangolin – Automatic SQL Injection Tool
http://nosec.org/en/productservice/pangolin/ 
まともなSQL Injectionスキャナ。悪用厳禁。テスト環境のみ使用推奨。
外で使うと一発アウトです。
使い方
http://www.youtube.com/results?search_query=Pangolin+Automatic+SQL+Injection+Tool&oq=Pangolin+Automatic+SQL+Injection+Tool&gs_l=youtube.3...2479.3181.0.3550.3.3.0.0.0.0.78.221.3.3.0...0.0...1ac.EuR1dW5I8U4 

XAMPP DVWA
http://www.dvwa.co.uk/ 
http://code.google.com/p/dvwa/ 
http://code.google.com/p/dvwa/wiki/README 
やられWebサーバ。 
何ができるの？
http://www.youtube.com/watch?v=oMV0JZVxvdQ 

SQL Injection DB
http://websec.ca/kb/sql_injection 
チートシート作成用の参考に


■パーセントエンコード
パーセントエンコードコンバータ
http://www.tagindex.com/cgi-lib/encode/url.cgi 

URLエンコード・デコードツール「URLDecEnc」v1.01 
http://www.forest.impress.co.jp/article/2008/02/14/okiniiri.html 

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

• 作者: 徳丸浩
• 出版社/メーカー: SBクリエイティブ
• 発売日: 2011/03/01
• メディア: 単行本
• 購入: 119人 クリック: 4,283回
• この商品を含むブログ (146件) を見る

以下、感想。ネタばれ注意。

良かった点としては、平易な言葉で、この業界の実態やトピックスを説明していること、一部、テレコムアイザック最強とかファンタジーあるけど、あまりにファンタジー過ぎて明らかにネタとわかるので、こういう「もしどら」ライクなセキュリティ業界話は、全体の裾野を広げるアプローチとしてはありだなと。
総合感想としては、「日本のネットワークセキュリティ業界を元ネタにした同人誌」。
この業界にいる人間にとっては、具体的な固有名、もしくは、具体的な事例を架空名、えらい詳細な解説もあれば、架空なんだけど、もっともらしい説明もありと、わかる人にはニヤリとなる非常に内輪受けの内容になっている。そこが同人誌だなと思ったところ。

反対にだめなところは、セキュリティキャンプ生なめすぎ。そりゃあね。若いから厨二病発症しちゃってる子も来るけど、えてしてそういう子は初日の夜には天狗の鼻が折れて、上には上がいるとわかっておとなしくなる。また、全体の1割以下だけど、本当に高度なスキルを持った子もいるけど、そういう子はこんな愚かなことしない。ある意味、ちゃんと精神のバランスが取れていたり、大人顔負けの状況判断ができる子がほとんどなので、彼らを○○に仕立て上げるのはどうかと思う。少なくとも、事件を起こすと、その後にどういう顛末になるか、最初に叩き込まれるので、彼らをいまどきの何を考えているかわからない若者扱いは、内情を知らないからこそ書けたのかな。
後、セキュリティ技術者の扱いもひどい。セキュリティ技術者の端くれとして、隠蔽なんかするわけが無い。私が知っているセキュリティ技術者は、リスクの最大と最小を考えてそのときに最善の行動をとるだろうし、そのためには時間との戦いなのもわかっているので、そこは組織の力を最大限に利用して、被害の最小化を図るはずなんだよね。あんなに情に盲目になることは無いと思う。まぁ、子供に寝首をかかれるほど耄碌してないし、ある程度予兆感じたら前もって手を打つよ。だって、家庭内のAdmin権限争奪戦なら絶対に負けないもの。ｗ

小説として、かつ、この業界にいる人間としてネタとしては結構楽しめたけど、セプキャン関係者としてもセキュリティ技術者の端くれとしても微妙。そういう意味で、セキュリティ業界での口コミバイラルが回らないわけで、ネタとしての一発芸としてはありだけど、正じゃなくて負の方のバイラルになっている気がする。もったいないね。

余談だけど、読んでてまったく気がつかなかったんだけど、読み終わった後に、知り合いから「よぉ。黒幕になった気分はどう？」って、言われて、「？？？」だったんだけど、よく考えたら、黒幕の一人と、おいら、苗字が一字違いだった！！( ﾟДﾟ) ｽ､ｽｹﾞｰ!

娘持ちのキャンプ関係者で、最後の舞台が、広島の福山の大学*1だし、もしかして、おいらもモデルの一人なのか？まぁ、住んでいる所とか、キャラ設定とか、口調とか人役単価とかまったく違うから、モデルの一部なのかもしれないけど、面白いから、今度のセキュリティもみじで、ネタにでもしよう。ｗ
んじゃあねぇ。

サイバーテロ　漂流少女

• 作者: 一田和樹
• 出版社/メーカー: 原書房
• 発売日: 2012/02/16
• メディア: 単行本
• 購入: 5人 クリック: 176回
• この商品を含むブログ (11件) を見る