Heartlandの情報漏洩損害賠償、AMEXに$3.6M

カード情報漏洩事件にかかわる賠償として、HeartlandがAMEXに360万ドル、3億円以上を支払うことに同意。
Heartland to pay Amex $3.6m for massive payment breach ? The Register
その他のカード会社、VisaやMasterとは依然交渉中の模様。
最大のカード情報漏えい? Heartland事件 – けにあmemo

JR東日本のサイトが2週間改ざん、ページ内検索でウイルス感染も -INTERNET Watch

JR東日本のサイトが2週間改ざん、ページ内検索でウイルス感染も -INTERNET Watch JR東日本のサイトの一部ページが不正アクセスにより改ざんされ、閲覧者のPCがウイルスに感染した恐れがあることが判明した。JR東日本によれば、改ざんされていた期間で該当ページに約5万件のアクセスがあったという。
 改ざんされていたのは、JR東日本のサイト内のキーワード検索の検索結果ページが12月8日21時40分から21日23時55分まで、「大人の休日倶楽部」内の「東京講座」ページが18日11時から22日21時まで。
 なお、キーワード検索はトップページのほかにも、「Suica」や「ビューカード」などのページにも設けられているが、キーワードを入力して検索結果ページを表示させなければウイルスに感染する恐れはなかったという。
 改ざんされたページは、いずれも「Gumblar」ウイルスの亜種に感染する不正なページへリダイレクトするスクリプトが埋め込まれていた。改ざんされたサイトは表面上の変化がないため、ユーザーは知らない間にウイルス感染の危険性にさらされることになる。
 JR東日本は改ざんされたページを修正した上で、23日1時40分にサイトの一部ページを閉鎖。その後、調査を行った上で、23日19時にサイトを再開した。同社は現在、ウイルス感染の有無を確認したり、駆除を行う方法として、トレンドマイクロのオンラインスキャンツールをサイト上で紹介している。
情報処理推進機構:情報セキュリティ:ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起 一般利用者へ:改ざんされたウェブサイトからのウイルス感染に関する注意喚起(1) ウェブサイト改ざんの概要と主な原因
 ウェブサイト改ざんの原因として、ftp※のアカウント情報を盗まれた事例がありました。盗んだ ftp アカウント(ID/パスワード)を使い、正規のユーザになりすまして、改ざんしたページをウェブサーバに公開(アップロード)するというものです。
 ftp のアカウント情報を盗む手口としては、スパイウェアをターゲットのパソコンに送り込むなどの方法が一般的です。
 ※File Transfer Protocol の略。ネットワークでファイルを転送するためのプロトコル。
 改ざんされたウェブページには不正なスクリプトが埋め込まれ、そのページを閲覧した一般利用者を、ウイルスが仕掛けられた悪意あるウェブサイトにアクセスさせます。一般利用者が悪意あるウェブサイトを閲覧した場合、利用者のパソコンに脆弱性があると、それを悪用されウイルスに感染させられてしまいます(図1-1参照)。

Citibankでman-in-the-browserにより預金詐取?

シティバンクに対するハッカー被害が話題になっている。
FBIが、Citibankで数十億円単位のハッカー被害の調査をしているとのこと。
Citibankからの声明では、シティではそんな被害はないと言っているらしいが。
そうなのかな: シティ ハッカー被害なしか

 シティグループは、傘下の銀行に対するハッカー攻撃で数千万ドル
(数十億円)の損害が出た恐れがあるとする報道は誤りだとする声明を
発表した。
 FBIがシティグループ傘下の銀行に対するハッカー攻撃を捜査している
と報じていた。

こちらの記事
FBI Reportedly Investigating Hack and Theft at Citibank – Web Hosting Industry News | Daily Web Hosting News and Web Host Interviews”
によると、Wall Street Journalの記事でCitibankの顧客の話が紹介されていて、百万ドル(=~1億円)以上がラトビアとウクライナの口座に知らないうちに送金されていた、とのこと。
Wall Street Journalの記事は購読していないと読めない。
また、犯行手段について、ボットネットで操作されたトロイの木馬がブラウザで不正な操作を行ったのではないかという意見を紹介。 クライアント側の操作ではあるが、ウェブサイト管理者は、このようなman-in-the-browser攻撃の防止手段を持つべきだと言っている。

In a statement sent to the WHIR by email, Amichai Shulman, CEO of security company Imperva says, “my analysis of this report is that we are talking about a man-in-the-browser attack. That is, a Trojan controlled through a botnet that operates from within the browser and inserts false transactions into a user’s sessions. In view of this it is clear why Citibank did not report or ‘notice’ any breach. The breach is not on Citi’s side but rather on the consumer side.”

“It does point to the growing sophistication of the attacker as we’ve mentioned in our list of predicted trends for next year,” says Shulman. “While this is presumably an end-point security issue, I think that application owners should look for solutions that would protect their users against man-in-the-browser attacks during a session with the specific application.”

Man-in-the-browserは2007年に報告されている。
正規銀行サイトで入力した個人情報を奪う「Man in the Browser」攻撃

OpenIDとSAMLの相互運用を検証する認証基盤連携フォーラム

OpenIDとSAMLの相互運用を検証するらしい。
共通IDを利用できる認証基盤の連携を、国内で実証実験 – ITmedia エンタープライズ 

24の民間企業や団体などが参加する「認証基盤連携フォーラム」は12月21日、インターネットの異なるサービスやコンテンツを共通IDで利用できることを目指す実証実験を12月下旬から始めると発表した。2010年3月末まで実施する。
 具体的には、1)認証基盤連携の標準方式のうち「OpenID」および「SAML」の拡張部分における記述方式のルール化と、相互運用性を強化した確認書の自動生成、自動変換の仕組みの検討、2)複数のデバイス同士でユーザーが同一であることを確認する方式の検討、3)認証機能を提供する事業者が撤退した場合にユーザーが継続利用できる仕組みと機能、性能評価の実施と課題の――など。

なんで文章が途中で切れてるんだろう。
フォーラムのサイトはないのかな。
報道発表はNRIから出ている。
インターネット上などのサービスやコンテンツの利用拡大を促進する『認証基盤連携』の実証実験を開始~各種認証サービスの連携で、相互利用を可能に~
●会員
当フォーラムの会員は次の方々です(2009年12月21日現在、五十音順、敬称略)。
【座長】
相田 仁 東京大学
【副座長】
森川 博之 東京大学
【実証実験ワーキンググループ参加企業・団体】
* 株式会社ACCESS
* 株式会社ウィルコム
* エヌ・ティ・ティ・コミュニケーションズ株式会社
* 株式会社エヌ・ティ・ティ・ドコモ
* KDDI株式会社
* ソニー株式会社
* ソフトバンクBB株式会社
* 日本電気株式会社
* 日本ユニシス株式会社
* 株式会社ネクストウェーブ
* 株式会社野村総合研究所
* 株式会社日立製作所
* 富士通株式会社
【オブザーバー企業・団体】
* 株式会社インターネットイニシアティブ
* イー・モバイル株式会社
* 株式会社ジェーシービー
* 住友商事株式会社
* 社団法人テレコムサービス協会
* 日産自動車株式会社
* 日本ヒューレット・パッカード株式会社
* ネットワンシステムズ株式会社
* 三井物産株式会社

“OpenIDとSAMLの相互運用を検証する認証基盤連携フォーラム” の続きを読む

CSRF対策

CSRFは対策が難しい、というお話。
CSRF対策は基本? | 水無月ばけらのえび日記

XSSやSQLインジェクションなどは単純なバグが原因で発生するものです。指摘された場合、修正の方法について議論する必要もなく、ただバグを修正すれば良いだけです (たまに、変な修正の仕方をする人もいますが……)。
それに対し、CSRFはバグが原因ではありません。設計段階から意識的にCSRFに対応する必要があり、それが抜けていたのであれば設計から再検討する必要があります。また、対策方法もいろいろあるので、どう対策して良いのかすぐには方針が決められない場合があります。
※個人的には、フレームワークにCSRF対策の機能があればそれを使用し、無ければ「高木方式 (takagi-hiromitsu.jp)」で良いとは思うのですが……。

発見するのが面倒、うっかり発見されることも少ない、だからいろいろな統計でも数が少ない。
= 潜在的にはたくさんありそう、ということらしい。
仮に脆弱性が存在しても、対策が単純でない。

第三者の用意したフォームからPOSTできるとしても、それだけでは脆弱性とはみなせません。以下のような点を考慮して検討する必要があります。
副作用が生じるのかどうか。副作用がない(サーバ側の状態を一切変更しない)場合は問題ありません。たとえば、検索結果を表示したり、確認画面を表示したりするだけの動作であれば問題ないということになります。
発生する副作用が有害なものであるかどうか。たとえば、買い物かごに商品を追加する機能がCSRFで攻撃されても、決済が完了できなければ問題ないという考え方もあり得るでしょう (次に利用者が決済しようとしたときに気付くため、被害につながらない)。

鼻行類―新しく発見された哺乳類の構造と生活 ハラルト シュテュンプケ

鼻行類―新しく発見された哺乳類の構造と生活 (平凡社ライブラリー) (単行本)
ハラルト シュテュンプケ (著), Harard Stumpke (原著), 日高 敏隆 (翻訳), 羽田 節子 (翻訳)
# 単行本: 152ページ
# 出版社: 平凡社 (1999/05)

こんな変な本があるんだなあ。
南の島に生息していた特殊な哺乳類・鼻行類Rhinogradentia、あるいはハナアルキの仲間の生態を描いた論文風の本。
鼻が発達して複雑になったり数が増えたり、いろいろな機能を持つようになり、鼻で歩くものも出てきて、鼻行類と呼ばれた。この地域だけで分化した26種類の動物を解説している。
表紙に出ているのは、ランモドキ、といって鼻を含めて花びらのようなものが発達している。その他、羽みたいに進化して空を飛べるもの、複数の鼻で直立して(逆立ち)歩行できるもの、20本以上の長さの異なる鼻から音を出して演奏するものなど。
なんなんだ、これは。 一種類考えるのだけでもすごい想像力だと思うけど、なぜこんなにたくさん作ったのか。 世界、あるいは人間社会の縮図を描こうとしたようにも見える。
最後に、なぜ今ではこの種類が見られなくなったかを説明するオチも付いてる。

COP15とクライメートゲート

コペンハーゲンのCOP15に関連して、フィナンシャル・タイムズの記事。
FT.com / Comment / Opinion – Smeared scientists must still mend their ways
汚れた科学者達は引き続き行いを正さないといけない、ってところか。
地球温暖化の権威とされるUKの大学からハッカーが電子メールデータを盗み出し、その中で過去の気温データの改竄やら、懐疑派に対する罵倒の文章などが見つかった、クライメートゲート事件がCOPでも話題になったことを引き合いに出している。
クライメートゲート: 「温暖化は捏造」論争が過熱:メール流出で(WIRED VISION):ニュース

Mikeの『Nature』トリックを終えたところだ。過去20年(1981年以降)については本物の気温に加え、1961年からは減少を隠すためにKeithのものを加える

ただ、地表温度のデータベースは温暖化人為説を正当化するために改竄されていたけどそれは大きなことではない、今までの論議全体が強引な結論付けが多すぎる、としている。 例えば、アル・ゴアのホッケースティック形グラフ。 過去千年の温度変化を年輪と氷床コアの情報から気温を推定し、直近100年で急に気温が上がっているとしたもの。 この記事では、ホッケースティックを導いた手法は不透明、そこから何らかの結論を導くのは問題、といっている。
結びで言ってるのは、一番必要なのはリスクと選択肢のきめ細かい理解だ。(nuanced understandingなんて、言うんだなあ。)
COP15というと日本が25%といったのだけ押し付けられるとか、そんな話ばかり眼にするような気がしてる中で、なんだか新鮮だった。

“COP15とクライメートゲート” の続きを読む

RockYouへSQLインジェクションで3200万件の個人情報漏洩

ソーシャル・ガジェットの大手サイト、RockYouがハッカーに侵入され、3200万以上のユーザーアカウントの情報が盗まれたという記事。
記事の中では、このサイトのセキュリティがいかにダメだったか、発覚後の対応がさらに良くなかったことを書いてある。
3200万人の個人情報漏洩―RockYouのハッカー侵入への対応は最悪

RockYouはユーザーのパスワードを暗号化せず平文のままデータベースに保管していた。やがて問題のデータにはユーザーが入力した他の提携サイトのパスワードも含まれていることが分かり、事態は当初に考えられていたよりずっと深刻であることがわかった。
データベースには、RockYouの提携サービスの一覧と個別ユーザーのそれらサービスへのログイン情報が含まれていた。提携サービスにはMySpaceやウェブメールのアカウントが含まれていた。
ハッカーは最初に簡単なSQLインジェクション脆弱性を利用した。この脆弱性は10年以上前から詳しく文書化されているもので、ハッキングの手口としてはこの上なく初歩的である。しかしその結果はRockYouにとって壊滅的だった。

SQLインジェクションというものが昔からあるからと言って、初歩的な手口と言えるかどうかは、疑問。
これが、実行犯のページかな。
igigi’s blog ツサ Blog Archive ツサ Rockyou.com exposed more than 32 millions of passwords in plaintext

So i was reading this shit about how some lol company Imperva found a SQLi on Rockyou.com. Yea, right, you’re the best. Too late guys, too late. I’ve got every account downloaded from this shitty site. You were too slow, but what can i expect from you?
There is 32 603 388 customers. Pretty nice list with plain text passwords. It’s so lame, and I’m sure that more than half does work for myspace and other sites.
Don’t lie to your customers, or i will publish everything

(この後、入手したデータの一部のリスト)

SQLインジェクションによる改竄サイトを150万件発見

eSoftと言う会社がSQLインジェクションによる大量のWeb改竄を報告。
Threat Center Live Blog: eSoft Uncovers 1.5 Million Sites in SQL Injection Attacks
.cnドメインを中心に150万サイト以上に、スクリプトが埋め込まれていて、コレを実行するとTrojan.Buzus というトロイに感染する。
これらのスクリプトは”script src=http”を含んでいる。これだけじゃ判断できないだろうけど。
調べた結果、埋め込まれているサイト。

攻撃手法は先週Scansafe社が報告したのと同じもの。
ScanSafe STAT Blog – ScanSafe STAT Blog – 318x SQL Injection Claims 125,000+
こちらの手法も30万件以上が攻撃されている。

ただし、Googleで検索すると、.com、.orgなど様々なドメインのサイトがやられている。
Googleで318x iframeを検索
eSoftはUSのセキュリティ会社でファイアウォール、VPN等のアプライアンスを作っているらしい。
設立は1998年と10年選手。 知らなかったなあ。

Elixir(エリクサー) ギターケーブル L-L 15FT 4.6m 92315

こないだ、ライブの前に購入したシールド。

スタジオで、ギターがガリが出てるなあと思ったら音が出なくなった。ギターのジャックが怪しいと思って、回してみたり、抜いて覗いてみたりしていたら。
ケーブルのプラグの先っちょが緑色に変色していた。サビだろうなあ。こりゃ駄目だ、とすぐ捨てちゃった。写真くらい撮っとけばよかった。
その時は、スタジオでシールド借りて済ませたけど。 シールドを変えるだけで何故か音の張りがなくなる。
条件としては、5m、両端がL字型のプラグのモノ、ランクとしては5千円前後、と思ってたんだけど。
両端L字っていうのが、なかなかない。
楽器屋2軒行ってみてなかったので、通販で購入。

最近は、ケーブルの能書きも、大変な事になってるな。

エリクサーギターケーブルは、独自に設計された同軸構造により、業界最小の線間容量(33pF/m)を実現! このため、中音域の増長と高音域の劣化が抑えられ、ギター本来の音を歪めることなく、忠実に伝えることが可能です。■ フラットな周波数特性透明感のあるクリアな高音域、強調されすぎない、スムースでバランスのとれた中音域。■ 低ノイズ設計独自のケーブル設計ノウハウにより、ハンドリングノイズ、電磁ノイズを極限まで抑制。■ 高強度・高耐久性高密度編組シールド、高強度芯線を採用し、強度を格段にアップ。従来のケーブルと比較し、10倍もの屈曲耐久性を実現。■ 柔軟かつ巻き癖がつきにくい柔らかなジャケット素材を使用し、巻き癖やもつれを軽減、取り扱いやすく、演奏性も抜群。■ メタルダイキャスト製プラグキャップ頑強かつ確かなグリップ性と秀逸なデザインを同時に実現。■ 完全オリジナルケーブル全てのパーツを独自技術により設計。トータル性能を限りなく高めた究極のギターケーブル。 / プラグ:L字-L字ケーブル長:4.6m /15FT /

使ってみたところ、文句なし。以前と同じようにちゃんと音が出てる気がする。
プラグの持つところが変な形になってる。「確かなグリップ性と秀逸なデザイン」はこれか。
IMG_2482.JPG IMG_2483.JPG IMG_2484.JPG IMG_2483b.jpg