Shambara / DEAD END

ブランヴィリエさんがDEAD ENDが活動再開と書いていたので、ああ聞きたいなあと思ってCDを探したけど見つからない。 ZEROのジャケットがあったけど中身がない。
レコードでもなんか持ってたと思うけど、探す手間の上にかけるのがめんどくさい。
Amazon見てみたら、売ってんじゃん、と思ってぽちっとして数日待った。
いいねえ。

流れよわが涙、ってのは、このアルバムじゃなかったっけな。
昔、シリコンバレーで車を運転してて、ラジオでJunkがかかってびっくりしたのを思い出した。 カリフォルニアの空に、百鬼夜行の~とか、似合わないことおびただしい。
活動再開は、湊もはいっているそうで、それなら、見てみたいなあ。
Dead End – MySpace : 音楽の無料試聴、動画、写真、ブログなど

HeartlandへのSQLインジェクションの手口と対策

多数のカード情報盗難で起訴されているAlbert Gonzalezに関して。
TJX事件のハッカーがHeartlandの件でも起訴 – けにあmemo
手口や犯人について複数の報道が出ている。
Computerworld
SQL injection attacks led to Heartland, Hannaford breaches
Details of the attacks could spur focus on Web app security
By Jaikumar Vijayan
August 18, 2009 10:32 PM ET
Heartlandなどの情報盗難がSQLインジェクションによるものだったと言うことを受けて、流通業界ではとうとうWebアプリケーションのセキュリティ脆弱性に重大な関心を寄せ始めた。TJX事件のときにワイアレスの問題が注意を集めたのに似ている。
Albert Gonzalezと仲間たちはHeartland, Hannaford Bros., 7-Eleven and three other retailersから1億3千万件のクレジットおよびデビットカード情報を盗んだとされる。
2008年にはTJX Dave & Busters, BJ’s Wholesale Club, OfficeMax, Boston Market, Barnes & Noble, Sports Authority, Forever 21 and DSW等の小売業への同様な侵入に関して訴えられている。
Heartland等のシステムへの侵入に使われたのはSQLインジェクションで、その後パケット監視ツールやその他のマルウェアを設置し、ネットワークを流れるカード情報を盗んだ。
「SQLインジェクションがWebに対しては最も多い攻撃テクニックだ。攻撃試行数が多いだけでなく、成功数も最も多い。」とコメントしてるのは、セキュリティ検査をする会社Trustwaveのマーケティング最高責任者Michael Petitti氏だが、この会社はHeartlandのセキュリティ検査を請け負っていると言うから面白い。
企業が侵入経路を埋めるようになってきたのに伴ってSQLインジェクションが増加してきた。これがゴンザレスの攻撃計画にも影響を与え、当初はTJXに仕掛けたように脆弱なワイアレスAPを狙っていたものが、2007年8月頃からSQLインジェクション専門に切り替えていた。
対策:コード・レビューでアプリケーションの脆弱性を見つける、Webアプリケーション・ファイアウォールを導入する、データベースを固めてWebアプリケーションからのアクセス内容を限定する。
Forbes
Inside The Year’s Biggest Data Breach – Forbes.com
ForbesでもSQLインジェクションが取り上げられるのはすごい時代だと言えるけど。
OSI7層モデルのことを、ネットワークのソフトウェアスタックを保護するための良く知られた参照ガイド、と説明していて面白い。
TIME
Catching ‘Soupnazi’: Who Is Hacker Albert Gonzalez? – TIME
ゴンザレス、28歳の写真

ゴンザレスの経歴がまとめられている。
Heartland等への侵入は2006年から2008年にかけて行われ、1億3千万件のカード情報を盗んだ。
TJX関連では2008年5月と8月に訴えられた。4千万件のカード情報盗難。
2003年にニュー・ジャージーで逮捕されており、盗難カード情報の交換WebサイトShadowcrew.com、会員4千人、で管理者として働いていた。
逮捕後、シークレットサービスのエージェントとして働き、オペレーション・ファイアウォールと言う作戦で、Shadowcrewの会員を誘い出して2004年10月の28人逮捕につながった。この際、ニックネームCumbaJohnyを使用。
ニックネームをSegvecと変えてマイアミに引越し、個人情報盗難リングを始めた。Operation Get Rich あるいは Die Tryin’と言う名前。
ロシア人プログラマー2名と共謀し、企業ネットワークに侵入してマルウェアをインストールし、データを盗んだ。
Heartland Payment Systemsは顧客企業25万件のカード情報を処理していたが、起訴状に書かれた1億3千万件の大部分に相当する。同社はこの事件関連で既に1260万ドルの法的費用と罰金を支払い済み。
ZDNet
Albert Gonzalez was hacking in high school…where were the safety nets? | Education IT | ZDNet.com
ゴンザレスは17歳のときに高校の図書館からインド政府のサイトに侵入して改竄していた。FBIが捕まえたが、6ヶ月間はコンピューターを触るな、と言われただけだった。
11年前だか1998年、インターネットが急拡大した頃。
eWeek
Details of Heartland, Hannaford Data Breaches Emerge
ゴンザレス達は、注入するマルウェアを使う前に、ウィルス検知ソフト20種にかけて検知されないことを確かめていた。
Steve Dauber, vice president of marketing at RedSealのコメント。
「PCIは実際には、基本的なセキュリティ推奨項目のまずまず適正なセットだ。 問題は、企業がPCI監査の通過をPCIに準拠したと勘違いすることだ。 監査は本質的に網羅的ではない。 実装において起こりうるエラーを全て見つけることはできない。 もっと重要なことは、監査はある時点で実施されるが、ITインフラは常時変化している。 もしPCIの恩恵を受けたければ、準拠を包括的かつ継続的に維持する必要がある。」
darkREADING
Mega-Breaches Employed Familiar, Preventable Attacks – DarkReading
起訴状 http://www.usdoj.gov/usao/nj/press/press/files/pdffiles/GonzIndictment.pdf
FBIのアドバイス http://usa.visa.com/download/merchants/20090212-usss_fbi_advisory.pdf
Microsoft’s SQL Serverを狙った攻撃について警告し、対策を説明。ストアド・プロシージャーの扱いや、HSMなど。
Errata Securityのロバート・グラハム氏
SQLインジェクションはしばしば、重要でないとして軽視されがち。管理層や開発者がSQLインジェクションなど理論的な攻撃に過ぎないと言い返されてしまう。 未だにその重大性について広く誤解と不信がある。 これはSQLインジェクションの脆弱性がサイトごとに異なり、新たに発見される脆弱性に対して作られる典型的な攻撃コードとは違うからだろう。防衛側はパッチやファイアウォールの更新は行うが、SQLインジェクションのバグはほとんどチェックしていない。
Securosisのリッチ・モーグル
大規模な事故は回避可能だった。対策としては、データ漏洩防止ツールを導入して内部のカード情報を攻撃者より先に見つける、データベースとアプリケーションサーバーの守りを固める、外向きのフィルタリングに注力する。

「アミューズ」、謝罪で7千万円支払い

SQLインジェクションによる情報漏洩(アミューズ Webサイト不正アクセスによるカード情報漏洩 – けにあmemo)の被害。
14万人に500円の謝罪費用だけで7千万円。
「アミューズ」、14万人におわびのクオカード : 社会 : YOMIURI ONLINE(読売新聞)

芸能プロダクション「アミューズ」(東京)のタレント関連グッズなどを扱う通販サイトで顧客情報が流出した問題で、同社は25日、顧客14万8680人に対し、謝罪として500円相当のクオカードを渡すと発表した。
 9月初旬から順次、発送する。また畠中達郎社長の月額報酬を10%(2か月)カットする処分も明らかにした。
 同社は最終的にクレジットカード情報3万4988件、メールアドレス11万6911件の流出を確認したという。問い合わせは専用ダイヤル(0120・356・664)で午前10時~午後7時に受け付ける。
(2009年8月25日18時40分 読売新聞)

TJX事件のハッカーがHeartlandの件でも起訴

2007年春のTJX事件(TJXにおけるPCI DSS違反の影響)でつかまった容疑者が、今年初めのHeartland (最大のカード情報漏えい? Heartland事件)他、セブンイレブン、Hannaford Brothers (スーパー)のデータも盗んでいたとして起訴された。
SQLインジェクションで、データを取りまくっていたと。
Alleged TJX hacker now indicted for massive Heartland, Hannaford credit card thefts – Network World

using SQL injection attacks to steal credit and debit card information. Among the corporate victims named in the two-count indictment are Heartland Payment Systems, a New Jersey card payment processor; 7-Eleven, the Texas-based convenience store chain; and Hannaford Brothers, a Maine-based supermarket chain.

PCI DSS関連の国内団体

2件あるPCI DSS関連の国内団体まとめ。
1. PCI SSC PO Japan
PCI SSC PO Japan 連絡会
正会員A PCI SSC Participating Organizationsへ正式会費負担している企業
正会員B 本会の目的に賛同し、PCI SSCが定める各規格(PED,DSS,PA)に準拠する企業及び団体 入会5万円、年会費10万円
準会員 本会の目的に賛同し、本会が行なう事業活動と連係する企業及び団体 = 入会5万円、年会費20万円
特別会員 運営委員会が本会の目的及び事業に照らして特に認めた公益法人等の有識者
会員企業紹介(各企業の並び順は、ABC順です。)
正会員A:(※は、運営委員)
* 日本ATM株式会社(※)
* コモタ株式会社(※)
* eCURE株式会社(※)
* 株式会社フューチャーコマース
* GMOペイメントゲートウェイ株式会社
* 株式会社日立システムアンドサービス
* 日立オムロンターミナルソリュショーンズ株式会社
* 株式会社インテリジェント ウェイブ
* ネットワンシステムズ株式会社(※)
* 株式会社ラック
* SBIベリトランス株式会社
* 株式会社スマートリンクネットワーク
* 東芝テック株式会社
* 株式会社ゼウス
正会員B
準会員
特別会員
* 石油連盟
2. 日本カード情報セキュリティ協議会 (JDCSC)
クレジットカード情報の保護を推進する『日本カード情報セキュリティ協議会』の設立準備を開始|NTTデータ・セキュリティ株式会社 2009.03.05 News Release
【現在までの参加企業】
eCURE株式会社
NRIセキュアテクノロジーズ株式会社
兼松エレクトロニクス株式会社
国際マネジメントシステム認証機構株式会社
株式会社シマンテック
住商情報システム株式会社
ソフトバンク・テクノロジー株式会社
テュフ・ラインランド・ジャパン株式会社
日本アイ・ビー・エム株式会社
株式会社ブロードバンドセキュリティ
株式会社ラック
【日本カード情報セキュリティ協議会準備事務局】
NTTデータ・セキュリティ株式会社(事務局代表)
BSIマネジメントシステム ジャパン株式会社
三和コムテック株式会社
日本オフィス・システム株式会社
クレジット情報を守る「日本カード情報セキュリティ協議会」発足 - @IT

「日本カード情報セキュリティ協議会(Japan Card Data Security Consortium:略称JCDSC)」が4月21日、正式に発足した。
PCI DSSと日本クレジット協会で作る細則をいかに融合していくかが、発足したJCDSCの役割である

第1回総会に参加した企業は以下の31社。
* eCure
* Knowledge & Strategy, Inc
* NRIセキュアテクノロジーズ
* RSAセキュリティ
* TIS
* ウィプロ・リミテッド
* シマンテック
* 日立システムアンドサービス
* ブロードバンドセキュリティ
* ベリサーブ
* ラック
* グローバルセキュリティエキスパート
* 住商情報システム
* ソフトバンク・テクノロジー
* テュフ・ラインランド・ジャパン
* トリップワイヤ・ジャパン
* バンクテック・ジャパン
* ペンタセキュリティシステムズ
* 伊藤忠テクノソリューションズ
* プロティビティジャパン
* 京セラコミュニケーションシステム
* 国際マネジメントシステム認証機構
* 大日本印刷
* 日本NCR
* 日本アイ・ビー・エム
* 兼松エレクトロニクス
* 日本セーフネット
* BSIマネジメントシステムジャパン
* 三和コムテック
* 日本オフィス・システム★
* NTTデータ・セキュリティ★
(順不同。★は本年度の事務局を担当)

アミューズ Webサイト不正アクセスによるカード情報漏洩

今度はWebサイトからの情報漏洩。
アミューズの通販サイトに不正アクセス、情報漏えいが発生 – ITmedia エンタープライズ
2009年08月10日 17時31分 更新

不正アクセスはアスマートの運営を委託しているテイパーズのWebサーバに対して行われた。攻撃元は中国とみられ、同社では7月29日にセキュリティ企業のラック サイバーリスク研究所に調査を依頼し、不正アクセスの攻撃ルートの遮断やセキュリティ対策の確認、被害状況の確認を進めた。
 8月3~9日にかけて、クレジットカード情報とメールアドレスの流出が相次いで確認された。確認された流出規模はメールアドレスが11万6911件で、このうちクレジットカード情報が含まれるものが3万4097件。クレジットカード情報の内容はカード番号と有効期限のみだという。なお、流出した可能性がある情報は最大でのべ14万8680人分となっており、2005年4月4日~2009年7月20日に同サイトで商品を購入した顧客が対象になる。
 同社は顧客専用の問い合わせ窓口を設置するとともに、情報流出の可能性がある顧客へ個別に連絡している。今回の事件に関連したクレジットカードの不正利用などによる金銭的被害は発生していないといい、流出が確認されたクレジットカード番号についてはクレジットカード会社と共有して、対応するとしている。

11万7000件の流出確認 アミューズ通販利用の個人情報 – MSN産経ニュース
2009.8.10 11:27

同社の通販サイトで平成17年4月4日から今年7月20日に商品を購入した14万8680人。流出を確認したのは11万6911件のメールアドレス情報。このうち、3万4097件はクレジットカード番号やカードの有効期限を含んでいた。10日午前までの調査では、流出を確認したクレジットカードの不正利用による金銭的被害は確認されていないという。

こちらでは、不正利用があったとなっている。
NIKKEI NET(日経ネット):経済ニュース -マクロ経済の動向から金融政策、業界の動きまでカバー
08日 10:06

カードの不正利用も起こっているもようで、不正利用は1千件単位に上る可能性もある。

紙面では、SQLインジェクション、と書いてあったようだけど。 あまり具体的な情報は出さないようにしているのかな。

XML処理の脆弱性 – XercesはじめSun, Apache, Pythonのライブラリ

CERT-FIから発表された脆弱性。
XMLをパースするコードに脆弱性があり、DoSあるいはコード実行の危険がある。
影響が大きそう。
CERT-FIの発表
CERT-FI – CERT-FI Advisory on XML libraries
XML要素で、予期しないバイト値とネスとされたカッコを含むデータをパースする際に、メモリ境界外へのアクセスや、無限ループが発生する。
対象:
# Python libexpat
# Apache Xerces, all versions
# Sun JDK and JRE 6 Update 14 and earlier
# Sun JDK and JRE 5.0 Update 19 and earlier
XML flaw threatens apps built with Sun, Apache, Python libraries – Network World

Vulnerabilities discovered in XML libraries from Sun, Apache Software Foundation and Python Software Foundation could result in successful denial-of-service attacks on applications built with them, according to Codenomicon.
“There are probably millions of these applications,” says Dave Chartier, CEO of Codenomicon, the security vendor that makes a protocol-analysis fuzzing tool, Defensics, and earlier this year added a way to test for vulnerabilities in XML code.
多分何百万種類ものアプリケーションが該当する。

XMLがどこで使われているかの説明が興味深い。

“XML implementations are ubiquitous — they are found in systems and services where one would not expect to find them,”
XMLの実装は普遍的だ。使われていると想像もしないようなシステムやサービスに使われている。

だから危険だ、ということ。
続報。
Expect hacker attacks on XML flaws, analyst warns – Network World
この脆弱性を持つライブラリは広範なアプリケーションで使われている。

The bigger issue is that many developers have implemented open-source XML libraries in custom and commercial applications, and over the years, people may be unaware what has been used in an application, he says.
より大きな問題は、多くの開発者がオープンソースのXMLライブラリをカスタムや商用のアプリケーションに使用して、時とともに何が使われているのかわからなくなっている場合があることだ。

MySQL Connector/J における SQL インジェクションの脆弱性

DBアクセス用のドライバパッケージに、SQLインジェクションの脆弱性。
こうなってくると、サーバーにインストールされているソフトウェアのすべてをミドルウエアや細かいツールも含めて脆弱性検査しないと安心できない世の中ってことか。
JVNDB-2009-000050 – JVN iPedia – 脆弱性対策情報データベース

JVNDB-2009-000050
MySQL Connector/J における SQL インジェクションの脆弱性
概要
Sun Microsystems が提供する MySQL Connector/J には、SQL インジェクションの脆弱性が存在します。
Sun Microsystems が提供する MySQL Connector/J は、MySQL データベースにアクセスするための Java 言語用ドライバソフトウェアです。MySQL Connector/J には、SQL インジェクションの脆弱性が存在します。

伝説のハッカー、ケビン・ミトニックがハッカーに追われてWebサイトを移設

Black Hatからのニュース。
Kevin Mitnick seeks refuge from hackers – Network World
ケビン・ミトニックがみつけたハッカーからの避難所
FBIが恐れた伝説のハッカー、ケビン・ミトニックのWebサイトがハッカーに攻撃され、ホスティング業者が音を上げてWebスペースの提供を中止した。

Hostedhere.netを5年間使ってきた。しかしこの元ハッカーを狙った数々の侵入事件を経て、「彼らは僕の面倒を見続けるのは費用効率がよくないと判断したんだ。」とミトニックは言い、続けて、ほとんどが「お山の大将」にちょっかいを出したくて名うてのハッカーとして知られた人間をハッキングしてくる連中にとって「僕は標的だ。」

代わってミトニックのコンサルティング会社Mitnick Security Consulting LLCのサイトの避難先として名乗りを上げたのが、FireHost社。

FireHostは、CEOのクリス・ドレークいわく典型的なWebホスティングで見られるのより優れたセキュリティ対策つきのホスティングを、すべての顧客を対象に、提供している。
FireHostはSQLインジェクションやクロスサイト・スクリプティング等のアプリケーション層の攻撃に対する防御としてはImperva社のアプリケーションファイアウォールを利用。 Snortベースの内製ツールやTop Layerのセキュリティ機器も使っており、DoS攻撃に対する緩和策、侵入防御、感染済みWebページのスキャンに利用している。
1週間経過しただけで、ミトニックのサイトは他に比べて「攻撃トラフィックを毎日20倍受けている」とドレーク氏は言う。

セキュリティのコンサルを提供する立場としては、勲章みたいなもんだろうな。