UnderForge of Lack

「IBMによるSun買収が合意間近」と複数の報道
New York Times紙（オンライン版）は米国時間の4月2日午後、米国IBMと米国Sun Microsystemsの買収交渉について、IBMがSunを1株当たりおよそ9ドル50セントという条件で買収するという内容で、近く合意に達する見通しだと報じた。

Wall Street Journal紙は2日、New York Times紙の報道よりも早いタイミングで、同じく情報筋の発言を引用し、IBMが買収提示価格を1株10～11ドルから9～10ドルに引き下げたと報じた。「Sunは、IBMが『規制当局から厳しい調査を受けても買収を実現させる』と強く約束したことを受け、買収価格の引き下げに応じた」（Wall Street Journalによる情報筋の発言）。

OpenOffice.orgとか MySQL とかはどうなってしまうんでしょうね・笑

世の中は押しなべて平和です

ちょっとまだ確認ができていませんが

１行削除 ++ 会社名 ++

hxxp://www.geno-web.jp/

がウィルス汚染されているかもしれない？という報告が上がっています。
まずは、不用意にアクセスしないように注意してください。

PDF / Flash を使った攻撃の可能性があります。


詳細は追って

------------------------------
確定した情報ではありませんので誤報の可能性もありますが・・・・

AJax用の jQueryライブラリが改竄され、不正規なURLアクセスによってファイルがダウンロードされた可能性があります。

アクセス先：
hxxp://94.247.2.195/news/?id=2
(Document write PDF)

Aguse先生：サイト 94.247.2.195 の調査結果
非営利団体SPAMHAUSプロジェクトによるIPアドレスベースの送信者ブラックリスト [CAUTION]

Trace -- 94.247.2.195

CIDR: 94.0.0.0/8
全ブロックするにはちょっと範囲が広すぎる・・・

inetnum: 94.247.2.0 - 94.247.3.255
netname: ZLKON
descr: ZlKon
country: LV (ラトビア)
コノヘンで手を打ちましょうか（笑）

-----------------------------------
Google先生に訊くと？

MALWARE DOMAIN LIST
に入ってるので、かなり赤いです。


Black Hat SEO and Rogue Antivirus p.5
ここにかなり詳細に書かれていますが

Adobe PDF脆弱性攻撃やら、オーバーフロー攻撃やら、PE型マルウェアダウンロードやら、いろいろヤバそうです。

jQuery改竄についても解説がありますので、AJaxに詳しい人は目を通しておくといいかもしれません。


現況（複数のファイル群の１個）：
dropper.bin -- 1d62a21e2d52467b78152e52c0359199

Excel PDF 一太郎 とイロイロな形での脆弱性攻撃が続いているわけですが・・・

Microsoft Office PowerPoint の脆弱性により、リモートでコードが実行される

特別に細工された PowerPoint ファイルをユーザーが開いた場合、リモートでコードが実行される可能性のある Microsoft Office PowerPoint に存在する脆弱性が新たに報告されました。マイクロソフトは現在この脆弱性について調査中です。現時点で、マイクロソフトはこの脆弱性を悪用しようとする限定的な標的型攻撃のみを確認しています。


相変わらず、何言ってるのか文面から理解できない Microsoftセキュリティアドバイザリ・・・

問題を緩和する条件として

• 管理者権限でPPTを開かない
  
• 電子メールやMSNメッセなどのリンクでPPTファイルを直接アクセスしない
  
• 電子メール添付ファイルのPPTファイルを不用意に開かない
  
• MOISEを使え
  

MOISEを使えって・・暗にOffice2007にしろって言いたいんでしょうけど（笑）

-----------------------
TrendMicroによれば
New Exploit Takes on MS PowerPoint

新しいタイプのマルウェアは、Microsoft Power Pointを標的としたもので、現在はゼロデイ状態です。この脆弱性を利用した特別製のPPTファイルは、様々なスパムメッセージをばら撒くために作成されたものと思われ、攻撃を受けたユーザのＰＣにサイバー犯罪的なアクセスを誘導する可能性が有ります。

このPPTファイルTROJ_PPDROP.ABは、感染したPCのsystemのテンポラリフォルダに以下の２つのファイルをドロップします。

temp.exe -- TROJ_KUPS.F
suhost.exe -- BKDR_KUPS.F

TROJ_KUPS.Fはシステム上に Adobe Readerが見つかればそのプロセスをKILLし、レジストリ上のエントリを PPTに上書きして PDFファイルの Openを PPTに誘導します。

BKDR_KUPS.Fは Internet接続によって www.download.windowsupdate.com にアクセスを試み、通信が成立すれば以下のやり取りを行います。

• PCの情報を送信 コンピュータ名、IPアドレス、OSバージョン
  
• ディレクトリ情報の取得
  
• 感染したシステムのコンテンツをリスト化
  
• 他のマルウェアのアップデート・ダウンロード
  

windowsupdate.comって、昔むかしに（市原悦子風）閉鎖されたんじゃなかったかな？・・・

米マイクロソフト、ワーム対策でwindowsupdate.comアドレスを閉鎖 2003-08

The IP of "windowsupdate.com" could not be resolved. Please try another one.

-----------------------
McAfeeもがんばっています

Next Up: Office Exploits Reloaded

Authorが "Shinsuke Honjo" になってますので、日本のスタッフが書いたのかな？

-----------------------
いずれにせよ、「怪しいファイルを開かない」という鉄則はどんなケースでも変わりません。

4/1に騒ぐだけ騒いで何も無かったConfickerですが、実際のところ「何も無かった」というよりも、ダウンロードサイトがCLOSEDのままというだけですので、長期的な脅威度が低下したわけではありません。

「こんふぃっかーに感染したかも？」

という不安を抱いている方は実に単純なチェック方法があります。

Confickerの特徴に、セキュリティソフトベンダーのドメインへのアクセスを阻害するというものがあり、それを利用（笑）して以下のようなチェックを行っているようです。

Conficker Eye Chart
※あまり安全性に自信のないサイトなので、自己責任でオネガイします

Proxyを使わずにアクセスした結果

こんな画像ですか？	きっとこんな状態
	正常な状態 Confickerには感染していません もしくはProxy環境下かも
	Conficker.C(MicrosoftではD)に感染中かも！？ もしくはF-SecureとSecureWorksとTrendMicroが嫌いでしょ？
	Conficker A/Bに感染しているかも！？ もしくはF-SecureとTrendMicroが嫌いでしょ？
	Browserの画像表示がOFFだったりして？
Any other combination	Internetつながってます？（笑）
	どこでなにやってんの？（苦笑）

Tux

Tuz

Linuxカーネル2.6.29がリリース、新マスコット「Tuz」もお目見え

FF11などでワンタイムパスワード認証が利用可能に
これと連携する形で「スクウェア・エニックス セキュリティトークン」を導入する（「スクウェア・エニックスセキュリティトークン」の使用には「スクウェア・エニックスアカウント」の取得が必要）。これはログインのたびに使い捨てのパスワードを自動生成する外部機器を使用するもので、IDおよびパスワードが固定であった状態において、悪意あるソフトウェアの影響などによって「アカウントハック」などの被害がある程度発生していた状態を改善するものである。

このワンタイムパスワードはVASCO社の製品を使用している。

日本ではイマイチ浸透度の低いワンタイムパスワードですが、今回有名ゲームメーカが導入に踏み切ったことで認知度の上昇が期待できるかもしれません。

プレスリリース：
スクウェア・エニックス アカウントならびにスクウェア・エニックス セキュリティトークンについて
他参考：
スクウェア・エニックス，プレイオンライン会員向けに「ワンタイムパスワード」導入を決定

セキュリティトークン
価格 ： 980円（消費税・送料込）


-------------------------------
そして、トークンが大量に増え・・・・・

いつも話題になる、セキュリティートークンの是非ですが
「携帯電話じゃだめなの？」
という意見に関してはコノヘンをご覧下さい

RSAセキュリティ、携帯端末をセキュリティトークンに変える新技術を発表へ

何せ、（現時点での）堅牢なセキュリティの構築のために使用される OTP と、セキュリティ的に不安の多い携帯電話とのコラボレーションには通常のSSL/TLS以上のセキュリティが要求されるので、RSAですらまだ構築中ということで・・・・

某ドングルのように大量にジャラジャラ持ち歩くことが無いように祈りたいですね。


-------------------------------
DIGIPASS GO 6

対応アルゴリズムが DES, 3DES(Triple DES), AESのみってのがちょっと引っかかったけど、OTPならそんなもんですかネ？