SQLインジェクション攻撃続報

大規模なサイト・ハッキングが再発生――英国政府や国連のサイトも被害に : セキュリティ・マネジメント – Computerworld.jp
米国Websenseは4月22日、英国政府のWebサイトや国連のWebサイトなどを含む多数のWebサイトがハッキングされ、マルウェアをまき散らしているとの報告を発表した。
「今回の攻撃では、悪意あるペイロードをホスティングするハブを、新たなドメインに切り替えたようだ。しかし、3月に猛威をふるった大規模なSQLインジェクション攻撃と関連があることはまちがいない」
「英国政府のWebサイトはハッキングされたページを修正したようだが、国連のWebサイトの一部には、まだハッキングされたままのページが残っているようだ」

Webサイトの改ざん攻撃が拡大、世界で数十万ページが被害

Webサイトの改ざん攻撃が拡大、世界で数十万ページが被害 – ITmedia エンタープライズ
SQLインジェクションでスクリプトを仕込む攻撃が大量に行われている。

「1.js」というファイルを正規サイトに不正に仕込み、Windows版のAIM(AOL Instant Messenger)やRealPlayer、iTunesなどの脆弱性を突いた8種類のエクスプロイトを使って、正規サイトを訪れたユーザーのシステムにマルウェアを感染させる。
「管理者や運営者がそのデータベースにどのような情報が保存され、リクエストがされているかをチェックすべきだ」と指摘する。
 特にブログやフォーラムなど、常時ユーザーがコンテンツをアップロードするWebサイトでは注意が必要で、「データが保存される前にチェックしなければ、Webサイトに表示される内容を制御できなくなる」(同社)と警告している。
 当面の対策として、SANSなどは攻撃に使われているURLとIPアドレスの遮断を促している。

SANSが遮断を促しているのは、
hxxp:/www.nihaorr1.comとIPアドレス: 219DOT153DOT46DOT28
SANS Internet Storm Center; Cooperative Network Security Community – Internet Security – isc

エンジニアSM度判定

昨夜の飲み会であなたMでしょ、と言った会話があったな、とおもったら、SM度判定の記事が話題にされてた。仕事で見るS or M度 – Y’s superficial blog (H20年度上半期)
はやってるのかな。
で、SM度判定をやってみたら。
人には言えない…SMタイプ別「仕事で快感」60連発/Tech総研
僕も「超ドS」と出た。
そんなことねーだろ。
smcheck.jpg
…そんなこと…ないと思うけどなあ。

プリンタのセキュリティ (とカナダいじめ)

FAXでのセキュリティリスクをマクラに、プリンタのセキュリティに警鐘を鳴らす記事。
Your printer: An open door for hackers? – Network World
最初にカナダの病院で昔発生した、FAX番号を間違えて患者情報をガソリンスタンドに送りつけてしまった事例を紹介。
面白いのは、カナダに関するくすぐりが入っている。

ちなみに合衆国の読者のために補足しておくと、カナダというのは地図で国境の北側にある大きな何も書いてないピンク色の部分だ。 一般には鹿やビーバーしかいないと言われているが、実際は人間もいる。

US人とカナダ人は仲が悪い、と聞いたことがあるけど、こんな公なところでここまで言うほどなんだ。
強いて大げさにしているんだろうけど。
ちなみに、たまたまあった世界地図では、確かにカナダはピンクだ。
4色の世界地図 – 世界各国を4色で塗り分けました。無料でご利用いただけます。
慣例なんだろうか。
それから1999年に報道された、プリンターをハックしてロシアに送信していた事件の紹介があり、話も佳境かと思ったら、プリンタを使ったデータベースへの攻撃については次回をお楽しみに、とは気を持たせるなあ。

SQLインジェクションで情報流出→12万人に1000円 - サウンドハウス

カード情報流出の経緯を分刻みで説明 サウンドハウス、1人1000円分のポイント付与 – ITmedia News

運営するECサイトが不正アクセスを受け、顧客のクレジットカード情報などが流出したサウンドハウスは4月18日、流出した可能性がある12万2884人に1000円相当のポイントを付与すると発表した。
 補償の対象となるのは、昨年1月1日から今年3月22日までに会員登録した全ユーザー12万2884人。実際に流出したのは9万7500人だが対象ユーザーが特定できないため、流出した可能性がある全ユーザーを対象にした。補償対象のユーザーが商品を購入した際、代金の3%を還元するポイントプログラムも4月30日まで実施する。

この、対象ユーザーを特定できないことが、DB監査ログにレスポンスも残すようになってきてる原因。

犯人は06年6月にSQLインジェクションを利用し、データベースサーバを直接操作するためのバックドアを作成。このバックドアを利用し、さらに別のサーバにバックドアを埋め込み、悪性プログラムを置いた、と見ている。攻撃は、中国国内の複数のIPアドレスから仕掛けられていた。中国のブログに06年、同社のサイトへの攻撃マニュアルが掲載されていたことも分かったという。

歯を抜いた。痛くなってきた。

朝9時に病院にいって歯を抜いた。奥の親知らず、上下2本。横向きに生えてきて、隣の歯を削ってる&炎症を起こしているとのことで。
ちゃきちゃきした女医先生と、助手のどっしりした肝っ玉系の女性。
今日は左右どっちにしますか、と尋ねられて、左下がよくモノが挟まるので、てことで左の上下をやってもらう。
麻酔する時、最初のちくっはともかく、あとでぐいーっとくるのが痛い。
この後、効くまで、という事で1~2分待機。
女医さん戻ってきて助手(?)の肝っ玉系どっしり女性登場。
左に女医さん、右に肝っ玉が立つ。顔にカバーをかぶせられる。口の所だけ丸く穴。顔側にのリがついててひっつく。穴の位置を合わせて貼るが、穴の上の縁が鼻の穴にかぶった。

女医さん これじゃ苦しいよね。
肝っ玉 ちょっとお。それはやめて下さーい。

楽しそうに会話してる。
抜く作業はぜんぜん痛くない。
上の歯はあっという間。下が大分苦労してた。
のこぎり3回使ってた。
作業時間約30分。

あれ、何かある?
(あとの説明で、「根っこ」が出ていて仲々取れなかった由。)
ちょっとそっち行っていい?
こっち?いいよ。

二人のポジション交代。

これ上顎用?(器具のことらしい。使いながら)
そう上顎用。下顎用もあるよ。
それちょうだい。
ちょっと見て。
ふーん。
ね?どうしようか。
深くやるしかないよね。
柔らかいよね。
ドレーンするか。

患者が聞いていることは念頭にないのかな。
結構好き勝手言ってくれてる。
不安感は全然なかった。
事前に周りのひとびとから脅されていたので始まる前、麻酔のあたりが一番緊張してた。
うちに帰って普通にしてたけど、だんだん痛くなってきた。ずきずきする。何もやる気がおきない。

「サウンドハウス」名指しの攻撃マニュアルが中国で公開されていた

「サウンドハウス」名指しの攻撃マニュアルが中国で公開されていた

サウンドハウスによれば、今回の不正アクセスの攻撃手法についてラックは、「SQLインジェクションおよび以前からサーバー上に存在した悪性プログラムを利用した攻撃」であると分析。Webサーバーに置かれた「aa.asp」というファイル名の悪性プログラムを経由して、個人情報が抜き取られたと見ているという。

攻撃者がバックドアを使用して、社内の別のサーバーにバックドアを埋め込み、これを使用して「asp1.asp」というファイルを2006年7月28日にWebサーバー上に配置した可能性が高いと指摘。この攻撃手法が2008年2月18日、中国のホームページ改竄に関するサイトに登録されたことから、これをもとに不正アクセスが行なわれ、最終的に既に存在していたバックドアを経由して、悪性プログラムの「aa.asp」を生成したと推測している。

中国のブログで2006年6月29日、同社サイトへの不正アクセスに成功したことが記載されていたことを挙げている。このブログではそのほか、同社サイトへの不正アクセス方法を紹介するマニュアルも公開されていたという。

データ抽出時には、「select*from○○○○where○○○○like’ %2008%’」というSQLクエリが送信された形跡が判明。2007年分も合わせると、最大9万7,500件の顧客データが流出した可能性があることがわかったという。このSQLクエリは、もともと難読化されていたコマンドを解読したものとしている。

栗原潔のテクノロジー時評Ver2 > サウンドハウスのクレジットカード情報流出について : ITmedia オルタナティブ・ブログ

原因は中国サイトからのSQLインジェクション攻撃だそうです。3月11日から同様の攻撃が多発しているとの報道がありました。ということは、他にも被害サイトがある可能性があります。しかし、今時SQLインジェクションで攻撃されてしまうとは... サウンドハウスのサイトでも最初は「SQLインジェクションという特殊な方法で...」と書いてあったのが2ちゃんねるで「特殊でも何でもない古典的な手法ではないか」とツッコミされて、「SQLインジェクションという方法で」に急遽書き換えられていたのでちょっと笑いました。

カンタンに今時、と書いてしまうところが、責任感が無くていいなあ。そのコメントで、わかってないことがわかってしまう。
評論家が、中身を理解してないこと自体はしょうがないけど、そのくせ被害者を非難するようなことを書くのは、ひどい。

頭脳警察、紫… JAPAN ROCK FES

「頭脳警察、始動。」だそうで。(また?)
PANTAX’S WORLDに書いてあった。
しかも紫も出るって。(紫が、やってたんだねえ。Wikipediaによると、「現在はコザのライブハウス「7th Heaven KOZA」にて定期的にライブを行う。」)
いいなあ。誰か一緒に行かないかなあ。
『JAPAN ROCK BAND FES. 2008 新しい歴史が始まる日!』
5/18(日) 14:00open/15:00start @日比谷野外大音楽堂
出演:頭脳警察、BLUES CREATION、紫、めんたんぴん
チケット:特別シート10000円/指定S席8000円/指定A席6500円/立見5000円
主催:テレビ朝日
後援:TVK/NACK5

スキャナ修理 CanoScan FB636U

スキャナが壊れて動かなくなっていたのを修理。
キヤノンのCanoScan FB636U
中で移動するはずの発光する棒(センサー)が移動しなくなっていた。
発光はしていた。
分解しようと思ったら、開けられそうなところが見つからない。
似たようなことをやった人がいたので真似してみた。
世の中、探究心旺盛で修理にチャレンジするばかりか、その過程を記録するマメな人がいて、助かるなあ。
両脇の細長いパネルを剥がして

ガラス板をはずして、センサーを動かすらしいワイヤが外れてたのをはめる。
端っこの部品のところが外れてた。
はめたところ。

ガラスをはめて、パネルを両面テープでくっつけて、試運転したらスキャンできた。
大仕事をした気分で、うれしい。

できるポケット+ PDF快適活用術 iPhone&iPad&スキャナーで資料や電子書籍を活用するテクニック (できるポケット+)
# 単行本(ソフトカバー): 160ページ
# 出版社: インプレスジャパン (2010/9/17)
# ISBN-10: 4844329251
# ISBN-13: 978-4844329251
# 発売日: 2010/9/17
# 商品の寸法: 17.4 x 12 x 0.4 cm