UnderForge of Lack

IT Security Award 2009
監督賞の商品にXBOXがあるんですけど、これ360かな？（笑）

５回やったけど最高が90点だった orz

--------------------
Silverlightのインストールをさせるのが真の狙いなんじゃ？
ってソノとおりでしょうね（笑）

--------------------
ヒントが難しいって意見があるようですが
あれ・・ヒントっていうかずばりその項目なんですよ

いかにMSのアドバイザリ/TechNet系の文書が理解し難いか？ということを
逆手に取られてるみたいで実に妙な気分です（笑）

--------------------
お前の文章も長ったらしいわい！
って言われました（泣

長ったらしいというか、このBlogはターゲットがかなりオカシイので
（技術者とかセンセイとか主婦とか、５歳の子とか・・・）
技術的な話になったり、笑い話になったりするんですよ！

そーいう場所だと思って諦めてください

「大手サーバー・メーカー初」，日本HPがフリーLinux CentOSの有償サポート
日本ヒューレット・パッカード（日本HP)は2009年2月9日，フリーのRed Hat Enterprise Linux互換ディストリビューションであるCentOSを含めたオープンソース・ソフトウエアの有償サポート・サービスを開始した。このサービスは日本法人独自のもので，「大手サーバー・メーカーによるCentOSの有償サポートは世界でも初めて」（日本HP）という。

CentOSは，Red Hat Enterprise Linuxから米Red Hatの商標にかかわる要素を除いたフリーのLinuxディストリビューション（RHELクローン）。「日本では米国に比べ，クラウド・コンピュータのプレーヤーが CentOSなどのフリーOS利用している比率が高い」（日本HP エンタープライズストレージ・サーバ事業統括ISSビジネス本部ソフトウェアプロダクト＆HPCマーケティング部担当部長赤井誠氏）ことから，日本独自でのCentOSサポートに踏み切った。日本ではすでにミラクル・リナックスなどのソフトウエア・ベンダーやインテグレータがCentOSの有償サポートを提供しているが「大手サーバー・メーカーでは日本初で，世界でも例がない」（日本HP 赤井氏）としている。

サービス内容は平日8時45分から17時30分までのメールによる問い合わせ対応で，価格は5製品を対象にした年間契約の場合で料金は月額50万円。ただし日本HPの担当者の最大稼働時間は360時間まで。

何故Fedoraじゃないか？と思った方、ご安心を。ちゃんとFedoraもDebian GNU/Linuxもサポート内に入ってます（笑）

CentOSもまた、正式なディストリビューションとして認められたということなのでしょう（あるいはデファクト・スタンダードなのか？）

あぁ・・最近まったく使ってない（汗）

------------
関連：
日本HP、Linuxベースの独自OS搭載シンクライアントを発売

参考：
Linuxディストリビューションの比較

/*** この記事は 2/12 まで sticky 扱いにします ***/

マイクロソフト セキュリティ情報の事前通知 - 2009 年 2 月
Microsoft定例のセキュリティパッチが予告されました。

2009年2月のセキュリティ情報 by 小野寺さま

MS09-002 IE	緊急	リモートでコードが実行される	Microsoft Windows Internet Explorer
		特別な細工が施されたWeb ページを表示すると、リモートでコードが実行される可能性があります。 現時点では、脆弱性の詳細は公開されていませんが、最近の流れから早々に解析し、悪用コードとして公開される可能性が考えられます。また、悪用コードが作られた場合、脆弱性悪用指標でもお伝えしているとおり、比較的安定した悪用コードになる可能性が高いと予測しています。最近のマルウェアの拡散手法としてWeb経由が多いと考えられています、この更新だけではありませんが、早々に適用する事を強くお勧めします。
MS09-003 Exchange	緊急	リモートでコードが実行される	Microsoft Exchange Server
		特別に細工されたメールまたは、通信により、リモートでコードが実行される可能性があります。 電子メールでの悪用となると、通常では悪用が行いやすい傾向にあると言えますが、比較的不安定な悪用コードになる可能性があると予測しています。そのため、コード実行されExchange Serverが侵害される可能性より、悪用コードによりExchange Serverが不安定になりサービス拒否攻撃の状態になるケースが多いかもしれません。この脆弱性については、緩和要素がなく、かつ攻撃の経路として電子メールなどを使った外部からの攻撃が容易な事を考えると、早期に適用するべきと考えます。
MS09-004 SQL	重要	リモートでコードが実行される	Microsoft SQL Server
		特定のストアドプロシジャーに不正なパラメータを与える事により、リモートでコードが実行される可能性があります。セキュリティ アドバイザリ 961040でお知らせしたいた、脆弱性に対処したものとなります。 既にアドバイザリで示された回避策を実施している場合も、更新プログラムの適用を推奨しますが、その場合の回避策の解除手順は、セキュリティ情報に記載しています。
MS09-005 Visio	重要	リモートでコードが実行される	Microsoft Office
		特別な細工が施されたファイルをVisioで読み込むことによって、リモートでコードが実行される可能性があります。 外部から送られてきたVisioに関するファイルを開かない事である程度回避できますが、人間の注意には限界がありますので、更新プログラムは適用しておいた方が良いでしょう。
アドバイザリ (960715)		このアドバイザリは、Internet Explorerに、 KillbitとよばれるActiveXコントロールの動作禁止設定を行う為の更新プログラムの公開をお知らせしています。通常はセキュリティ更新プログラムとしてセキュリティ情報と共に公開いたしますが、新規にマイクロソフト製品に関するKillbitを含まないため、セキュリティ情報の公開は行っていません。 今回は、Internet Explorerを使っている利用者がより安全となるよう、他社の脆弱性による影響を緩和させるために行っています。
MSRT		悪意のあるソフトウェアの削除ツール (MSRT): 今月は、Srizbi および Conficker に対応しています。 Confickerは前回も対応していており、更新という位置づけです。

お忘れなく～♪

お察しのとおり、私はバルマー氏の大ファンです（笑）

--------------------
Update後は MRT.EXE という実行ファイルがこそこそ作業しますが
これが Malicious Removal Toolで、セキュアアップデートで必ず入ってくる「悪意のあるソフトウェアの削除ツール」の本体です。

最近はどうか知りませんが、以前はテンポラリ（作業領域）をあちこちに作って消さないというポカをやらかしたので、ウィルスと間違えられて消されてしまったというカワイソウな子です（笑）
抗ウィルスソフトが入っている人（入ってない人は居ないと信じますが？）も、どうせ対象プロセス毎に１回しか起動しないのでこんな理由で消したりしないでください。
※消してもどうせ翌月にはまた復活しますしね・・・・

MRTは実行中のプロセスのメモリを直接操作しますので、FireWallやHIPS系のツールが、警告を出しまくってきます。それは正しい行動ですので、MRTと警告を出したセキュアソフトを褒めてあげてください（笑）

参考：
マイクロソフトが無償で提供するウイルス削除ツールの特徴 2005.01

--------------------
Off Topic
"TEH" は "THE"のスラング表現で、慌てて THE を打ち込んだ人のtypoに由来します
意図的なものですので、念の為・・・・

ST3500320AS ST3500620AS ST3500820AS 用のファームウェアがこっそり変更されてるかも？
って言われたのでまたごそごそと解体作業・・・

----------------------
NEW:
MooseDT-SD1A-2D-8-16-32MB.ISO
MD5:A4CF6A918B44053975F993C3B8F16DB6
1.57 MB (1,654,784 バイト)

抽出イメージ
MD5:BDC777401EAA663DF6E94D58A1006AF4
2005/03/23 09:17 8,589 RDISK.EXE
2009/01/29 08:51 955,150 SD1A2D.ZIP
2009/01/20 12:53 1,960 AUTOEXEC.BAT
2004/05/26 15:57 30,226 unzip.exe
1993/01/31 02:10 13,740 TDSK.EXE
2005/05/02 14:48 7,738 HIMEM.EXE
2007/04/05 15:03 66,945 COMMAND.COM
2007/04/05 15:03 45,341 KERNEL.SYS
2008/03/11 12:40 102 CONFIG.SYS
9 個のファイル 1,129,791 バイト

SD1A2D.ZIP
2008/01/16 09:33 5,320 CHOICE.EXE
2007/12/20 02:03 7,345 FDAPM.COM
2009/01/28 13:41 178,956 fdl464.exe
2009/01/29 08:45 2,567 flash.bat
1991/09/13 08:06 24,681 LIST.COM
2008/03/11 14:03 17,436 README.TXT
2009/01/27 08:18 1,009,152 SD1A2D.LOD
(MD5:DF7E164329D4AD975C78788354CA580D)
2009/01/19 22:29 146,460 SeaEnum.exe
8 個のファイル 1,391,917 バイト

----------------------
OLD:
MooseDT-SD1A-2D-8-16-32MB.ISO
MD5:114A3933267FFC5F6B17C534951DB7E0
1.57 MB (1,654,784 バイト)

抽出イメージ
MD5:4E825D3D86F44DAAAA5217C6B6B54CB3
2005/03/23 09:17 8,589 RDISK.EXE
2009/01/20 22:03 953,417 SD1A2D.ZIP
2009/01/20 12:53 1,960 AUTOEXEC.BAT
2004/05/26 15:57 30,226 unzip.exe
1993/01/31 02:10 13,740 TDSK.EXE
2005/05/02 14:48 7,738 HIMEM.EXE
2007/04/05 15:03 66,945 COMMAND.COM
2007/04/05 15:03 45,341 KERNEL.SYS
2008/03/11 12:40 102 CONFIG.SYS
9 個のファイル 1,128,058 バイト

SD1A2D.ZIP
2008/01/16 09:33 5,320 CHOICE.EXE
2007/12/20 02:03 7,345 FDAPM.COM
2009/01/19 19:24 177,128 FDL462b.EXE
2009/01/20 22:02 2,284 flash.bat
1991/09/13 08:06 24,681 LIST.COM
2008/03/11 14:03 17,436 README.TXT
2009/01/20 09:53 1,009,152 SD1A2D.LOD
(MD5:9547F2451A7FABF07F3549396728275C)
2009/01/19 22:29 146,460 SeaEnum.exe
8 個のファイル 1,389,806 バイト


----------------------
明らかに別物ですね（笑）


----------------------
同様に
ST3750330AS ST3750630AS ST31000340AS 用の
MooseDT-SD1A-3D4D-16-32MB.ISOのほうも変更されています
（解体はもうメンドイ）
OLD:C89BFEA8B87701CEB8E9C8AB686CA756
NEW:400C9CDFB6C78944A483FCC692A8CD57

----------------------
以下のものは、古い(1/20前後）のものとMD5が一致しました。

ST31500341AS	Brinks-4D8H-SD1B MD5:42C4C8A1F69176A8FE9484688913CCC9
ST31000333AS	Brinks-3D6H-SD1B MD5:D108C5E3761118B62634FDB8A0371C05
ST3640323AS	Brinks-2D4H-SD1B MD5:D65674B32FA976B621FA71589C8B7903
ST3640623AS
ST3320613AS	Brinks-1D2H-SD2B MD5:A912C40D9E5CB1BFA0EB25F7DD3FE08C
ST3320813AS
ST3160813AS	Brinks-1D1H-SD2B MD5:82A4C347AA5FE95D815D0E8618FE6B18

はぁ・・・
疲れますネ


----------------------------
ひねもす庵様の
# 個人的にはSeagateもそこまで馬鹿ではないと思っている（信じたい）ので、これはBinary本体ではなくHeaderやFooterが書き換わったもの、だと思い・・・たい。
# だって・・・ねぇ。いくら何でも、Binaryを変えてVersion表記を変えない、なんてことしたら、誰も得しないしねぇ・・・。

切ない願いを無残に打ち砕いてごめんなさい（泣
自分も最初はそう思ってたのですが・・・

DIFFの結果



DIFF Report は テキストで8MBあったりします（汗

「ターゲット型攻撃」と「シーケンシャル攻撃」とは？

最近のウィルス・マルウェアの攻撃方法が徐々に巧妙化しているのは周知の事実ですが・・・

VIRUX Cases Escalate
There are an increasing number of reports from several countries about a complex file infector with several infection routines. Arriving via the Internet, this new strain bypasses the Windows Firewall, infects using various infection types and using more than one layer of encryption. The US seems to be the most affected amongst all other regions as of this writing.

Typical file infectors choose any of the following infection styles:
* cavity - the virus inserts its code into available spaces within the normal file
* appending - the virus inserts its code after the normal file’s code
* prepending - the virus inserts its code before the normal file’s code
* entry-point obscuring - a complex infection technique used to evade immediate detection

VIRUXの攻撃方法がエスカレートしています。
複数の感染経路、手段を持つ複合ウィルスの報告が各国から増加しています。インターネット経由で到達したそれは、ファイアウォールを潜り抜け、暗号化されたレイヤーを含んだ一つ以上の経路によって複数の感染個体が蔓延しつつ有ります。このレポートの執筆時点では米国が最もこの影響を受けています。

以下のようなスタイルの中のいずれかが感染源の典例です。
　cavity - ウィルスは通常ファイルの空白部分に攻撃コードを紛れ込ませます。
　appending - ウィルスは通常のファイルコードの末尾に攻撃コードを追記します。
　prepending - ウィルスは通常のファイルコードの先頭に攻撃コードを追記します。
　entry-point obscuring - 複合的な感染手段のテクニックは即効的な検出では判りませんでした。


上述のルーチンでは、PE_VIRUXはスクリプトファイルに偽装されています。この感染したスクリプトファイル(.PHP, .ASP, and .HTML)によって、PE_VIRUXはスクリプトファイルがOpenされたとき(htmlを開いた瞬間)、自動的に攻撃的なコードをIFrameとして埋め込みます。TrendMicroはこの感染スクリプトをHTML_IFRAME.NVとして検出します。このカタパルトは更に次の攻撃を可能とします。もし、このスクリプトが公開されているアクセス可能なウェブサイトにアップロードされると、訪問者は、URLが埋め込まれているIFrameから（勝手に）感染しているサイトへと誘導されます。疑いようも無くその先は悪意サイトです。そのサイトからHTML_XPLOIT.Vが自動的にシステムにダウンロードされ、あるいは、PE_VIRUT.BOがダウンロードされます。

PE_VIRUT.BO これは別の手段であり、（他のMalwareが）除去されると、TROJ_VIRUX.Aに変貌します。このトロイはWebsiteに接続します。記述している現在はアクセス不能ですが、将来は可能になる可能性があります。

PE_VIRUX群はまた、感染したPCの物理ドライブのフォルダーとサブフォルダーの中に存在する、ありとあらゆるタイプのファイルに潜伏します。


こうなるともうムチャクチャですね。

最初の感染源の切断に失敗すると、シーケンシャル攻撃(ZERG!)の防止は極めて難しいものがあります。

「Webからの脅威」の原因は「シーケンシャル攻撃」

------------------------------
これらをみても判るように、攻撃手段の多くが IFrameを使ったクロスサイト誘導を行います。しかし IFrameは（自分もそうですが）ついつい使ってしまうんですよね～（笑）　信頼しているサイト以外では IFrame を切るような切り分けが重要ですね

FireFoxユーザは必須だと思っている、No Script ダウンロード：No Script

これの
Option → <IFRAME>を禁止
でIFRAMEタグも原則禁止できます。

が・・・
いろいろなページでデザインがぶっ壊れますので、臨機応変に使い分けが必要です。
（自分のページもオカシクなる・笑）

国への情報セキュリティ関連法の整備に関する要望について
提案・要望の理由等
神奈川県授業料徴収システムに係る個人情報の流出事案では、ファイル交換ソフトにより流出（過失による流出）した情報を取得した第三者による意図的なインターネット上への情報の拡散（流出）が確認されている。流出された情報の中には、平成１８年度神奈川県立高等学校在籍生徒約１１万人分の氏名、住所、電話番号、口座情報など極めて機微な個人情報が含まれており、不安を抱いた保護者等から問合せが殺到するなど社会的に影響の大きい問題となっている。情報セキュリティに関連する法律としては主に次に掲げるものがあるが、ファイル交換ソフト等により個人情報等をインターネット上に流出させた者（意図的に流出させる行為）に対して直接的に法的責任を問えるものはない。

* 刑法
* プロバイダ責任制限法
* 個人情報保護法

インターネット上へ個人情報を流出された個人においては、個人の権利を侵害されていることは明白であり、これらの事実が確認された場合には、振り込め詐欺などの二次被害が起きないようにするための措置を速やかに講じる必要がある。また、地方公共団体は、法人等に関する重要情報も保有しており、流出したそれらの情報は、法人等に多大な不利益を生じさせるおそれがあることから、速やかな対応が求められる。　このような事態に対して、法的根拠が存在しない現状では、インターネット上に掲載された個人情報等は、事実上野放しにされ、時間の経過による事案の風化を待つしかない。情報の管理主体として、県民の個人情報等を流出させないよう情報管理の徹底を図ることはもちろんであるが、万一、事故が起きた場合でも、情報の拡散を防止することが重要である。このため、このような事故に対する情報セキュリティ関連法の整備とともに、情報を流出させる者に係る情報の開示を可能とする措置を要望する。

（神奈川県担当課：総務部情報システム課　県民部情報公開課）

高木浩光センセイも仰っていますが、いいかげん流通させている輩を罰せないかのように、明らかに意図的に再放流や他のP2Pネットワークへの意図的な「輸出」を行っている「情報テロリスト」に対しては罰則を設定してもいいと思いますけどね。

Winnyの流出で厄介なのは、Malwareが勝手にドキュメントフォルダを圧縮したzipファイルを作成して、自動的にwinnyネットワーク上に「公開状態」にしてしまうため、自業自得のような印象を与えてしまう点に有ります。しかし、最近危険性が指摘されている暴露型マルウェアは単純にhttpdサーバ化してしまうだけですので、そのデータを蒐集し、それをP2Pネットワーク上に「放流」しているのは明確な悪意行為です。

そのへんの切り分けはしたほうがいいと思いますね。

情報を流出させる者に係る情報の開示を可能とする措置を要望する。
流出最中の情報開示ってことなのかな？　それとも放流者のほう？　そのへんをきちんと区分けしないとこの問題の本質的な解決にはならないとおもうんですけどね～

（難しいとは思いますが）、P2Pネットワーク上に流出の形跡が見られた際（キーワードが決まっている）、各ISPと連携を取って当該したIPを即時遮断するシステムがとれるようになれば、流出による個人情報被害を最低限に抑えることができるとは思います。それには初期段階での拙速的な強制的切断が必須です。別に絶賛流出中のヒトの情報開示なんかどうでもいいから、とにかくブチっと切る！
流出が発生して時間が経過するとドウシヨウにもなりません。

通報ですけど、例えば、流出者のISPが（流出の通報をした人に）謝礼制をとるとかね（笑）。放流状況を眺めてる会社もいくつかあるようですし、その数十倍の「ウォッチャー」もいるでしょう。流出を放置していたISPには被害総額の何割かを負担させるようになればISP側も対処しなければならなくなるでしょうが、それは難しいかな？（笑）

もちろん、通信の傍受・検閲の懸念や誤報の時の問題点はありますが、まずは切断してから考えるシステムがこのテの流出には最適のような気がします。(DMCA的な考え方ですが）

とにかく、漏洩したら人生ｵﾜﾀ＼(^o^)／という現状を打開するための何らかのセーフティネットの構築が急務です。

---------------------
使わないことが一番ですという意見は、当然の話ですが
その先の話なんですよ（笑）

---------------------
故意に感染させて懸賞を稼ぐようになるかもよ？
って言われましたが

そこまで穿ってると何もできませんってばさ（苦笑）

やっぱ難しそうですけどね・・・