UnderForge of Lack

Another Exploit Targets IE7 Bug
Cybercriminals are actively exploiting a critical vulnerability in Internet Explorer 7, which arises from the browser’s improper handling of errors when attempting to access deleted objects. This vulnerability allows remote attackers to execute arbitrary codes on a vulnerable machine.

The threat starts with a spammed malicious .DOC file detected as XML_DLOADR.A. This file has a very limited distribution script, suggesting it may be a targeted attack. It contains an ActiveX object that automatically accesses a site rigged with a malicious HTML detected by the Trend Micro Smart Protection Network as HTML_DLOADER.AS.

つい先ごろ、定例パッチが充てられたばかりですが、そこでは修正された（はずの）IE7の脆弱性を突いたウィルスの報告が上がっています。

この脅威は、スパムメールなどに添付される .DOC ファイルから始まります。TrendMicroでは XML_DLOADR.A として検出します。このスクリプトは非常に限られたディストリビューション（パッケージ）を対象としたもので、ターゲット型攻撃と推測されます。このコードは悪意をもったHTMLサイトに自動的にアクセスします。TrendMicroは HTML_DLOADER.AS として遮断します。

HTML_DLOADER.AS は MS09-002 で既に修正された CVE-2009-0075 脆弱性を悪用し、パッチ未適用のシステムでは BKDR_AGENT.XZMS というバックドアを作成します。

このバックドアはデータを盗む可能性のある .DLL をインストールし、他のURLに Port 443を使用してPCの情報を送信します。

現在、エンジニアがこのウィルスの詳細をチェック中です。HTML_DLOADER.AS, XML_DLOADR.A, BKDR_AGENT.XZMS に関しては (TrendMicroの）最新パターンで対応済みです（Pattern Version: 5.835.00 - February 11, 2009, 15:31:30 (GMT - 08:00)
が、まずはMicrosoftのパッチを今すぐ充ててください。

---------------------
Update as of 17 February 2009, 6PM PST
Analysis by Trend Micro researchers reveal that BKDR_AGENT.XZMS takes screenshots of the infected system and sends these screenshots to a remote malicious location. It also creates a hidden Internet Explorer window which connects to a website to listen for commands.

最終形態のバックドア作成ウィルス BKDR_AGENT.XZMS は、感染したPCのスクリーンショットを作成し、悪意を持ったリモートサーバに送る機能をもっていることを TrendMicroの技術者が突き止めました。また同時に、コマンドを待機するためにウェブサイトに接続するための隠されたIEの窓を作成します。

自分のPCのスクリーンショットが他人に見られるのはかなりイヤですね（笑）

---------------------

バルマー氏から怒られる前にネ！

あとは・・
メール添付の .DOC を開くあたりから注意しましょう

※Webに埋め込まれた .DOC だったという説もありますが確証はありません。

ナニが問題なの？という質問へ
Microsoftが２月の月例パッチを充てた時点では「現実的な脅威は無い」と言っていたものが、現実的な脅威を伴ってきただけです。
きちんとUpdateパッチを充てていれば問題無い（はずです）。
が・・予防的な措置として .DOC 埋め込みに注意しましょうという先行警報ですヨ。

Firefoxで言えば

ここに application/msword という項目がある人（デフォルトでは有りません）は、「確認」にするとか、使ってないなら消しちゃうとかするのを推奨しておきます。

.doc, Content-Type: application/msword
こんなもん許可するのはセキュリティによほどの自信のある人か、自殺志願者かどっちかようなキモスル・・・

---------------------


XML_DLOADER.A
HTML_DLOADER.AS
BKDR_AGENT.XZMS

他社はまだ出てないのかな？


Exploit-MSWord.k

少し古い記事ですが、某さまからの質問に応えて・・

2009年の脅威予想、1位はウイルスのマッシュアップ- 2009/01/09
米Symantecのメールセキュリティ部門「MessageLabs」は、2009年に予測されるITセキュリティの脅威トップ5を発表した。Web 2.0技術を利用した攻撃の多様化を挙げている。

1位は「マルウェアのマッシュアップ化」で、Web 2.0技術を利用するコンテキスト型マルウェアの環境が実現する。攻撃者は、一見すると相互の関連性の見られない攻撃手段をいくつも集めて統合し、ユーザーに対して攻撃を仕掛けるという。

2位は「ソーシャルネットワーキングサービス（SNS）による個人情報の入手」で、SNSがフィッシング詐欺の標的対象となり続けるという。攻撃者は収集した多くの個人情報から、さらに標的を絞ったパーソナル型スパムを作成するなど、攻撃内容が専門的になるとしている。

3位は「CAPTCHAと脅威」。アカウント取得などに利用される変形文字のCAPTCHA技術が2008年に破られたことで、サービスプロバイダはさらに強化したCAPTCHAを導入するが、攻撃者は引き続き突破を試みるだろうという。

4位は「レピュテーションハイジャッキングの活発化」で、DNSやWebサイトの脆弱性を突いてユーザーを悪意のあるサイトへ誘導するフィッシング詐欺が活発化すると予想する。従来のように、正規サイトに類似したURLや名称を使う手口は減少するという。

5位は「ボットネットの復興」で、攻撃者は仮想化環境を利用してシステムの情報の盗難を試みるという。物理OSではボットプログラムの存在が認識されないため、攻撃者にとって都合の良い攻撃手法になる。

同社によれば、ボットネットの攻撃能力はスーパーコンピュータの能力を上回り、ボットネットはサイバー犯罪の「仮想化」を実現しているという。企業での利用が広がるクラウド環境が標的になる可能性が高まり、特にWindows環境の脆弱性を突くようになるだろうと予測している。

MessageLabs - pdf

--------------------------------
なんていうか・・・
難しい言葉使えばいい時代は終わったんですがね？
そもそも原文では順位付けも行われてないような気がしないでもない・・

Web2.0なんか、つい最近
“Web 2.0″という言葉は死んだ
と言われたばっかりなのですが・・
まぁ、「～は死んだ」なんてセンセーショナル（笑）な言葉を使うまでもなく、そもそも Web2.0が生きていた時代って存在するん？って感じもしないでもありません。

--------------------------------
SNSを使った個人攻撃はむしろ日本のほうが深刻化するでしょうね
現状ですら、携帯電話を使った架空請求対策などが全く功を奏していませんので、今後複雑化を極める攻撃方法がエスカレートするのは時間の問題です。

--------------------------------
マッシュアップ化
Malwareの攻撃手段（あるいは経路）が単独のものではなく、複雑化していることは事実ですが、マッシュアップ（複数のAPIを組み合わせて集大成化すること）とはちょっと違うような気もします。
Ｗｅｂ2.0を支える「マッシュアップ」・米国で早くもブームに陰り？【コラム】
にもあるように、この用語自体がかなり怪しげではありますが・・

コンテキスト型マルウェア
"contextual malware"の検索結果 24 件中 21 - 24 件目 (0.04 秒)
造語追加禁止の方向で（笑）

どういうマルウェアを言いたいのかちっともわからないけど、PE_VIRUXのような複合作用型(Complex infectively)を意味してるのかもしれませんが、Web2.0と何の関係があるんだか？

もっとも、Web2.0がバズワードの先鞭のような存在ですので、ここも「ユビタキス型マルウェア」とか表記してくれてたほうが納得したかも（笑）

--------------------------------
「CAPTCHAと脅威」は、ついさっき書いたばっかりなので、記憶に新しいことでしょう（笑）
「CAPTCHAの脅威」であって、主にHumanであるニンゲン側のほうが「読めない」脅威ですヨ？

--------------------------------
「レピュテーションハイジャッキングの活発化」
ワケワカラナイ用語はヤメテクダサイ（笑）

「レピュテーション」
レピュテーションとは，迷惑メールを受け取らないようにしたり，Webサイトからウイルスをダウンロードしないようにするために，通信相手の“評判”（reputation）を調べて通信を制限する技術を指す。
こうした、評判の「良い」メールサイトを乗っ取ってスパムを発信するやり方です。

詳細： スパム対策における送信者認証の重要性 ～SPF DKIM～

--------------------------------
スーパーコンピュータ
いつの死語ですか（笑）
ここで述べてるスパコンよりは確実にこっちの方が速いでしょうね

最近は、汎用京速計算機って言うらしいですが。

BotNetは怖いといえば怖いですが、コマンド送信用のIRCサーバが次々と潰されているので、コマンドトリガー（命令を下す起点）が P2P に移っていることのほうが問題のようです。

P2P環境はVMwareにでも閉じ込めて隔離状態で駆動しましょうね（笑）

--------------------------------
雑談
Ajax、それはWeb2.0へと続く道 -- 2005.11.09
こんな感じでAJaxやらが持ち上げられて、WebがJavaScriptだらけになったのは、Web2.0の悪癖ですね。これによってユーザがJavaScriptを安直に受け入れる体質を作ってしまい、結果的にセキュリティホールがピット（落とし穴）になってしまっています。

Web 2.0という言葉は死んだ？
ユーザーに個人情報を自ら進んで差し出させるための方便ですから。
もう次の段階に入っています。

有りそうで怖いナｧ

（株）WEB2.0、終了のお知らせ - 2008.08.24
あ・・死んでた（笑）

しかし・・
同社は株式会社デジタルガレージ、ぴあ株式会社、株式会社カカクコムの出資によって2005年11月15日に設立され、PingKingの運営を行っていた。ユーザー数が当初の予想を下回り、収益化が困難であるとの判断から解散することとなった、と報じられている。
どんな舵取りの会社だったんだろう・・

--------------------------------

CAPTCHA
CAPTCHA（キャプチャ、"Completely Automated Public Turing test to tell Computers and Humans Apart"; コンピュータと人間を区別する完全に自動化された公開チューリングテスト）は チャレンジ/レスポンス型テストの一種で、ユーザが人間であるかどうかを決定する計算処理に使われる。この用語はカーネギーメロン大学のLuis von Ahn、マヌエル・ブラム、Nicholas J. Hopper、IBMのJohn Langfordによって2000年に造られた。日本でよく使われる「画像認証」はその一つ。

主にSPAMを防止する手段として使用される「画像認証」ですが・・・

CAPTCHA破り対策も効果なし、Hotmailで繰り返される攻撃
MicrosoftがWebメールサービスLive Hotmailでアカウントの不正登録を防ぐために変更を施したCAPTCHAシステムが、再びスパマーに破られていると、セキュリティ企業のWebsenseが伝えた。
CAPTCHAは、相手が人間かどうかを見分けるために各種Webサイトが導入している変形文字。Websenseによれば、Microsoft はボットやコンピュータプログラムによってアカウントが自動的に登録されるのを防ぐため、2008年にCAPTCHAに変更を加えた。しかし、今回判明した攻撃でそれが徒労に終わったことが分かったという。

ちなみに、一年ほど前に・・・
変形文字「CAPTCHA」はもう無意味？ 2008.02.27
Webサービスでアカウントの不正取得を防ぐために使われている変形文字の「CAPTCHA」は、もう役に立たなくなっている――。人気WebメールのCAPTCHAを破るボットの相次ぐ登場を受け、セキュリティ研究者がこう指摘した。
セキュリティ企業のWebsenseは先に、米Microsoftの無料Webメール「Windows Live Mail」のCAPTCHAを破るボットが出現したと報告。続いてGoogleのGmailのCAPTCHAも破られたと伝えている。
(中略)
CAPTCHAをさらに強化することは可能だが、現状で既に、ついていけないユーザーはかなりの割合に上っており、これ以上アルゴリズムを強化して複雑な CAPTCHAを作る価値はないとオルマン氏は断言。脅威はCAPTCHAを超えて進化しており、CAPTCHAはもはや、金目当ての攻撃を食い止めるのに有効なツールではなくなったと結論付けている。

にも拘わらず、文字を強化（難読化）したわけですが・・・
セキュリティを強化すればするほど、ユーザに困惑を強いる結果になっているようですね。

「これはひどい」と言いたくなるCAPTCHAトップ10　- 2008.03.02

てめぇはすべての文系人間を敵にまわした!!
（笑）

-----------------------
脱線
首相官邸メールマガジンがいつのまにかVeriSignに変わってました（笑）
でも総務省のメールマガジンは相変わらずGPKIのまま。
そろそろ Mozilla への認証を働きかけてほしいものですが・・・

GPKI のセキュリティ -- 2006.07.15

政府認証基盤(GPKI)が「WebTrust for CA」検証報告書を取得 -- 2008.11.11

-----------------------
Yours sincerely

「電子署名及び認証業務に関する法律に基づく特定認証業務の認定に係る指針の一部
を改正する告示案」に関する意見募集
今般、「暗号技術検討会」（座長：今井秀樹中央大学理工学部教授）から平成１８年３月に公表された「暗号技術検討会２００５年度報告書」及び「電子署名及び認証業務に関する法律の施行状況に係る検討会」（座長：辻井重男情報セキュリティ大学院大学学長）から平成２０年５月３０日に公表された報告書の中で、指針第３条で規定する特定認証業務に係る電子署名の基準を満たす電子署名の方式において用いられるハッシュ関数の追加（SHA-2※）及び同指針第１０条第２号で規定する認定認証業務と他の業務との誤認を防止するための措置に用いられるハッシュ関数の追加（SHA-2※）について提言がされたことから、これらの報告書の内容を踏まえ、同指針の改正を行うこととしたものです。
かんぽの宿で気勢を上げてる某大臣んちの総務省ですが・・・・
今頃何を言ってるんだ？（笑）

----------------------
すべてはここから始まった～SHA-1の脆弱化 2006.03.06
MD4やMD5、SHA-0などのハッシュ関数への攻撃に関する論文が多数発表されていた2004年8月時点で、すでに「SHA-1は2010年までに運用を終了し、SHA-2（SHA-224、SHA-256、SHA-384、SHA-512の総称）に移行」する計画を公表していた。
※NISTの関連報告書 NIST Brief Comments on Recent Cryptanalytic Attacks on Secure Hashing Functions and the Continued Security Provided by SHA-1

他参考:
武田圭史氏Blog Search:SHA-1

ただですねぇ、このレポートは「実際にSHA-1の衝突誘導の理論」ではなく、従来言われていたSHA-1の衝突臨界値 2⁸⁰ (1,208,925,819,614,629,174,706,176 : 1.209杼) よりも（この教授曰く）Extremely Less な 2⁶⁹ (590,295,810,358,705,651,712 : 5.903垓) で誘引できる可能性があるという論文なんですよね。

最も、「危険性が指摘された場合にはセキュリティ側にドミノを倒す」という原則で言えば、この対応は正しいといえます。

問題は・・・
後継のSHA-2(SHA-256)が、SHA-1から踏襲されているアルゴリズムの改良版に過ぎないことから根本的な不安感の払拭が出来ていない点にあります。（この辺の「安心感」の根拠ってどこに拠るものなのかは千差万別でしょうにね・・）

こうした状況を踏まえて、後継のHash関数 SHA-3 のコンペが行われており、日本発の関数 Lesamnta も最終コンペに残りました。

日立など、より安全な次世代暗号技術「Ｌｅｓａｍｎｔａ（レザンタ）」を共同開発
安全で高速な次世代ハッシュ関数

----------------------
今年は何年でしょう？

2009年です！

SHA-1の運用終了は？

らいねんです（笑）

※注：合衆国内で運用完了の「勧告」が出されているという意味です。

----------------------
Yours sincerely