UnderForge of Lack

さて・・・
連休が終わって、真っ青になってる人が何人かいらっしゃるようですが・・・

連休前に送った警報の返事がチラホラ帰って来ました（ISPに送った分とかね）
つまり、連休期間中は I S S A I 見てないという・・・


６８行削除
実会社名は出さない方針へ


-----------
はっきり言って、今回のようにセキュベンダーですら対応できていないウィルスに感染するのは、不可抗力です。

しかし、その不可抗力によって不特定多数にウィルスを再感染させてしまった可能性があることを認識してほしい

車の当て逃げじゃないんだから・・・

TrendMicroも負けずと、旅行の自慢・・・

APWG Counter E-Crime Operations Summit 2009, Barcelona
APWG Counter E-Crime Operations Summit (CeCOS) 2009がバルセロナで開催されるようですね！



あーいいなぁ（嘆息）

----------
ところで、最近のTrendMicro Blogは面白くないので無視してました（笑）

フィッシングとかフィッシングとかカナダ薬局（バイアグラ=Waledac)とか、あげくに「遅いよ！」って感じの日本のインフルに乗じたYahoo Spamとかネ！

ちょっとだけ気になっていたのが
Porn Sites Lead to MBR Rootkit

アダルトサイトに埋め込まれていたウィルスが MBR潜伏型の RootKitだった？という話ですけど、他社の報道が無いので何ともいえませんね。

----------
そういえば、ウィルスバスターの修正版と思われる
プログラムバージョン17.10 ビルド1251 公開のお知らせ
■更新情報
2009年4月27日 15:00　プログラム提供日時を再調整するため公開予定日を「未定」に変更
今後ともご愛顧を賜りますよう、お願い申しあげます。

ずーっと未定のままなのかな？（笑）

おのれパンツめ（笑）

セキュBlogにブカレスト旅行の話を延々としてるので、実にムカツうらやましい！

AMTSO(Anti-Malware Testing Standards Organization)の会合っぽいですけど、中身の話はそっちのけじゃないか！（笑）

----------
間に挟まって Twitter のスパムの話が出てますけど
Twitter Spam

なんか、よくある話すぎてピンときませんね（むしろ YouTubeのほうが問題になってる）


あぁ・・旅行いきたい（それがいいたかったのかYO!）

F-secureが「ターゲット型マルウェア」に使用される、「メジャー」なファイルのリストを発表しました。
PDF Most Common File Type in Targeted Attacks

昨年までは Word PDF Excel だったものが、PDFが圧倒的になっています。

もっとも何をもって「ターゲット型」マルウェアと呼ぶかは実に難しいものがあります。現在進行中の Zlkon/Gumblarは、不特定多数が対象なので、ターゲット（スピア）ではなさそうですしね・・

現在確認されている PDFのゼロデイ脆弱性ですが、 Adobe は5/12には修正できるとしています。断言はできませんが、現在までにこの脆弱性を悪用した攻撃は確認されていません。

ま・・・仮に修正されたとしても、JavaScriptはOFFのままで行きましょう（苦笑）

まだまだユーザの少ないクロームですが、セキュリティへのアップデートには非常に敏感です。

Stable Update: Security Fix
Google Chrome's Stable channel has been updated to version 1.0.154.64 to fix two security issues discovered by internal Google testing.

最新: 1.0.154.64
どうでもいいんですが、こんな細かい数字覚えられませんよ（苦笑）

CVE-2009-1441: Input validation error in the browser process.
Issue 10869 : Buffer overflow in browser process while de-serializing SkBitmap (heap overwrite)
ブラウザプロセスからの入力のケアレス
（タブの）レンダリングプロセスからのフォーム入力をきちんとケアしていないため、攻撃によってブラウザをクラッシュ、ログイン中のユーザ権限で任意コードを実行できる可能性があります。この脆弱性を悪用するためには、攻撃者がレンダリングプロセスの内部で（攻撃のための）コードを実行させる必要がありました。

CVE-2009-1442: Integer overflow in Skia 2D graphics.
Issue 10736: SkMask::computeImageSize() integer overflow
Skia 2DのInt型整数値のオーバーフロー
特殊な作り方のイメージやカンバスを悪用することで、画像サイズ計算の際に整数乗算の返り血値のチェックミスによるクラッシュを誘発させ、レンダリングプロセスの（サンドボックス内）での任意コードの実行が可能かもしれませんでした。
・この犠牲者になるためには攻撃者の管理下にあるページを訪れる必要があります。
・攻撃のための任意コードはサンドボックスの内側でのみ有効でした。


いずれの問題も、Chromeのサイレントアップデートによって（こっそり）修正済みです（笑）

連休明けにどうなることやら・・


６４行削除
実会社名は出さない方針に変更


個人的には、船場吉兆よりも実害が大きいと思ってるんですがね？

アドビ製品のセキュリティ問題に苦しめられる企業

何がイイタイのか、さっぱり判らない記事なんですが・・

Cabetas氏は電子メールの中で、同氏は自分の会社全体のJavaScriptを無効にするスクリプトを書いたが、その結果は、1人の従業員が「友人からもらったPDFを開くために、yesをクリックすべきか」と問い合わせてきただけに終わったと書いている。

ひょっとして、この人が書いたプログラムのダイアログを出して話をすすめてるの？（苦笑）

Readerに脆弱性があるなら、Updateさせるのがシス管の役目であって、ユーザにいちいちさせてるの？とか思ったけど、数百台規模の会社の話なんでしょうね。

もしそんな巨大な企業の話をしてるんだとすると、こうしたフリーウェア的なOSSに脆弱性が有って、かつ放置された場合、どうするんでしょうネ？

以前、
Core Security、「Adobe Reader」の脆弱性を報告--アドビは修正パッチを公開 2008.11
Adobe ReaderとFoxit Readerの両方のPDFリーダーに同じバグが存在するということは、ベンダーごとに製品に異なる技術やコードを用いていても、競合するソフトウェアに脆弱性が発見された場合には自社のアプリケーションにも同様のバグがないか確認すべきであることを示している、とArce氏は述べた。
こんなことを言ってるのにね（苦笑）

正直、Adobeだから、セキュパッチを比較的短期間で出してくれるという部分があることも忘れてはいけません。そういう意味では Foxitは信頼できる部類に入るとは思いますが。

しかし、このAdobeの緩和策は実現が難しく、さらに悪いことに、企業環境では役に立たないという愚痴が顧客から聞こえてきている。
そりゃ・・あれだけ危険性が指摘されていた USB Autorunですら、なかなか駆逐できなかったんですもの・・・

----------
そういえば、foxitを薦めていた CNetが、脆弱性の問題が出た後から押し黙ってしまったのは何か意味があるんでしょうか？
（現在はGet a Free Software PDF reader! こんな抽象的なリンク）

JavaScriptをPDFに内臓させたのはAdobeなのかどうかは、このへん RFC 4627を見てもよくわかりませんでしたが、Adobe独自のフォーマットということでは無いようです。

いずれにせよ、セキュリティ的なトレードオフが危険域に傾きすぎてるので、一度振り子を戻したほうがいいと思いますけどね。

----------
無茶しやがって…。

AA略（笑）

身代金目的の誘拐は人間として最低の行為ですが・・・

Health database breached
ヴァージニア州のVirginia Prescription Monitoring Program (VPMP)のサイトがクラッキングを受け、麻薬などの薬物乱用者の再生プログラムのリストのうちの８百万件の患者記録と、３０００万件以上の処方箋を暗号コードによってロック、1000万ドル支払わない限り、解除に応じないと脅迫しているそうです。

・・・・・・
こーいうのも、誘拐なんでしょうね？

SANSは、事実関係が完全に判ったわけではない、としていますが、ワシントンポストにも載っていますので、何かがおきていることは間違いないようです。

Hackers Break Into Virginia Health Professions Database, Demand Ransom

「犯人は現場に戻るの法則」じゃありませんが、Malwareの散布元が潰されると、古巣にもどる傾向があるようです。

update.dom11z.cn

213.182.197.229
JUNIK Ltd. lv (ラトビア)

またか・・

213.182.197.224 - 213.182.197.239
Real_Host_NET1 LV(Latvia) ちょっと狭い？

リガの大手プロバイダ JUNIK 全焼でもいいかもね

213.182.192.0/19 (213.182.192.0 - 213.182.223.255)
JUNIK Riga Network part 2

----------
あんまりラトビアを焼くと、
ZABBIXを引っ掛けそうで怖いんですけどね（苦笑）

----------
91.212系の攻撃も激しくなっています。

id=? のphpでトロイを散布中：

91.212.41.111
91.212.41.119
91.212.65.55

すでに焼いたので、まいっか（笑）

----------
もうひとつの ZeuS(ZBot) と呼ばれる BotNetの散布マルウェアですが、これ・・タチが悪すぎてなかなか尻尾がつかめないんですよね。

よく 209.xxx.xxx.xxx 系に潜伏してるんですが、どんだけ隠れてるか？というと・・・

209.8.19.133
209.8.21.72
209.8.21.78
209.8.23.70
209.8.23.87
209.8.24.12
209.8.25.156
209.8.25.204
209.8.45.124
209.8.45.147 (*)

209.9.170.194

209.44.100.58
209.44.126.14 (**)
209.44.126.16
209.44.126.22 (*)
209.44.126.29 (*)
209.44.126.30 (*)
209.44.126.61
209.44.126.62 (*)
209.44.126.102
209.44.126.241

209.51.158.98
209.51.193.98

209.61.253.215

209.62.7.138
209.62.106.80

209.63.57.10 (*)

209.66.115.34
209.66.122.212
209.66.122.213

209.67.52.125
209.67.210.242
209.67.210.243
209.67.211.2
209.67.217.106

209.85.25.210
209.85.60.69

209.102.247.248

209.150.196.228

209.160.21.125 (*)
209.160.21.126
209.160.39.58
209.160.64.65
209.160.65.70
209.160.65.158
209.160.72.174 (*)
209.160.76.41 (*)


209.172.34.76
209.172.41.53 (*)
209.172.59.196 (*)

209.188.0.11

209.190.16.82
209.190.24.3
209.190.24.4

209.200.63.77
209.200.124.200

209.202.224.90

209.205.196.16

209.237.150.20

209.249.222.48 (*)

209.250.241.134
209.250.241.141 (*)
209.250.241.164
209.250.241.240

ど・・どんだけ・・・ orz

バラけ過ぎてるので、範囲絞ることすらできません。
(*)は複数回散見された IP （2008/07以降分）

209.で始まるIPは、基本的に疑ってかかるしかないような状況です。

とりあえず潰すのは

209.44.100.0/24
209.44.126.0/24
209.62.7.0/24
209.102.247.0/24
209.250.241.0/24

ほんとに全部焼く人は

209.0.0.0/8 (8！？) でどうぞ（笑）

ZeuSに関しては、本家（ロシア）のココが一番詳しいはず（苦笑）

今日の情報社会における脅威、2007年第３四半期