UnderForge of Lack

敬老の日
なお、敬老の日を第3月曜日に移すにあたって、高齢者団体から反発が相次いだため、2001年に老人福祉法第5条を改正して9月15日を老人の日、同日より1週間を老人週間とした。
参考：「敬老の日」と「老人の日」

世界アルツハイマーデー(World Alzheimer's Day™ - September 21)
1994(平成6)年、国際アルツハイマー病協会(ADI)の国際会議で、患者やその家族への支援を進めること等を謳った宣言が採択された。

国際平和デー(International Day of Peace)
この日は「世界の停戦と非暴力の日」として実施され、この日一日は敵対行為を停止するよう全ての国、全ての人々に呼び掛けている。
May peace prevail on earth

----------
like a never ending hamster wheel

Insider Threat and Security Awareness
新しい脆弱性が公開されると、すぐにその脆弱性を狙った攻撃がやってきます。ZeuS(Zbot)のような組織的な犯罪集団の場合、特にその傾向が顕著です。他方では、従業員のリスクが深刻化しています。
一般的にはセキュリティ・ポリシーの適用により、一般的な権限の従業員はサーバの排他的な情報にはアクセスできないはずです。しかし、そうしたブロックを解除することに長けた（悪意を持った）従業員がまったく存在しないと断言できるでしょうか？

なんか嫌な世の中になったものですよね・・・

参考：
Lazy Workers May Be Deemed Hackers
ヒマにしちゃいかんと？（苦笑）

----------
また Mass ～

Mass-generating fake Twitter accounts for profit
All the tweets sent by these accounts are auto-generated, either by picking up keywords from Twitter trends or by repeating real tweets sent by humans.

And where do all the links eventually end up to?

どうせ FakeAVでしょう？（苦笑）

----------
セキュリティ by TrendMicro

不正プログラムをあぶり出すウイルス対策ソフトの最新検出技術とは？
ウチは、個々のセキュリティソフトの比較とか、貶めたり、持ち上げたりはしないのがルールですので、基本的にはスルー・・・

なんですが、最後のほうにこんな文言が・・
現時点で未知の脅威を含めた不正プログラムを100％検出・駆除できるウイルス対策ソフトは存在しないとみられる。ウイルス対策ソフトの検出率を調査する第三者機関「AV-TEST.org」などが定期的に公開している解析済みの不正プログラムを用いた試験結果では、一部を除けば著名なウイルス対策ソフトの検出率の差は数％程度である。この差を大きなものと感じるか、小さなものと感じるかはユーザーによって分かれるところだろう。
ほんとに別れるとこでしょうね・・
参考：
Most Effective Antivirus Tools Against New Malware Binaries
VB RAP test results
AV-Comparatives - Independent Tests of Anti-Virus Software - Main-Tests
ウィルス対策ニュース・ドットネット: 比較テストアーカイブ
重要なことは、個々の撃墜率にあまりこだわらず、今どんなウィルス（マルウェア・ワーム・トロイ）が流行しているのか？　頭の片隅にとどめておくこと・・・ではないかと考えています。

そういえば、何かCM打ってましたね
ウイルスバスター2010の新CM
販売本数No.1
って部分のしたのほうにゴチャゴチャっと何か書いてある気もするけど読めませんが、たぶんこう書いてあります。
全国有力パソコン販売店2,360店のPOS実売統計 集計対象期間2008年1月～12月

----------
体調不良につきこのへんで・・
のみすぎ！

明日はお休みします。

EoF

台風が逸れて良かった

秋の彼岸

空の日
1911年9月20日に、山田猪三郎が開発した山田式飛行船（写真1 写真2）が東京上空を一時間にわたり初飛行で成功したことを記念"

バスの日
日本で最初にバスが走った日を記念する記念日。

----------
クリック型ADの死

新たなボットネットの出現で不正クリック詐欺が急増
不正クリックの狙いは、検索エンジンやWebページに掲載されているクリック課金型（PPC：Pay Per Click)広告のクリック数を不正に操ることにある。例えば、自身のサイトに掲載したPPC広告のクリック数を増やして広告掲載料を不正に稼いだり、逆に競合企業のPPC広告を繰り返しクリックして広告費の負担を重くしたりするのだ。

昨今始まったものではありませんが、次々と新しいMalwareが発生し、Botnet端末に堕ちてしまうゾンビPCが増加すればするほど、クリック型広告は死期を早めることになるでしょう。

Beware the “Bahama” Botnet

----------
spam熱烈歓迎

Hi! Can I send email spam from your servers?
Hi! Can I send email spam from your servers?

Yes.
let us know if you have any questions.
Manager

Aye!(もう海賊言葉はいい？)

----------
Come'in PHS? PHS?

ウィルコム、返済延長要請へ　私的整理、ＰＨＳ継続し再建急ぐ
私的整理の１つで第三者機関が仲介する事業再生ＡＤＲ（裁判外紛争解決）手続きに入る方針を主力銀行などに伝えた。

Willcomの反論：
本日の一部報道について
本日、一部で、弊社の債務返済に関する報道がありましたが、弊社から発表したものではありません。
さまざまな可能性を検討していますが、現在決まったものはありません。

さて・・どうなることやら・・・

----------
Sysinternals update(s)

Windowsの低レベル監視・解析ツール群 Sysinternals のうち、４つがアップデートしました。
Sysinternals Tools Updates

Process Monitor	→	ver 2.7
ファイルシステムやレジストリ、プロセスなどの稼働状況のモニタリングツール
Procdump	→	ver 1.5
コマンドラインのCPUスパイク（トラフィック急増）やクラッシュ時のメモリダンプツール
VMMap	→	ver 2.3
仮想と物理メモリ空間のプロセス要求を解析するツール
Autoruns	→	ver 9.54
起動時やログイン時、エクスプローラやIE起動時などに自動実行されるプログラムの解析ツール

Googleがついに核兵器を使用, Appleに勝ち目なし

Re: Apple's rejection of the Google Voice for iPhone Application

苗字の日
1870年に平民も苗字を名乗る事が許された日。

ITLAPD(International Talk Like a Pirate Day)
海賊口調で喋る日。日本ではあまり認知されていない。
Avast! (水夫が警戒するときに発する言葉 "Check it out!" に相当する)
よし、今日はがんばって使ってみましょうか。

子規忌／糸瓜忌／獺祭忌
正岡子規の忌日

----------
Woot!! fix it? Drink up Grog

先日から騒がれている SMB2 remote code execution ですが、Microsoft ZERO-DAYおなじみの FIX IT が出されました。

マイクロソフト セキュリティ アドバイザリ: SMB の脆弱性により、リモートでコードが実行される

相変わらず判りにくいのはもうお約束ですが・・・
左側の「SMBv2を無効にする」を選んでください。

個人的には緊急パッチで SMB2を Disableしてしまって、必要な人だけ自分の意思で enableにしたほうが良いような気がするんですが・・

Update on the SMB vulnerability situation

----------
Arrr(gh)! PHPspot got charged and infringe'ed several hole

複数の phpspot 製品におけるクロスサイトスクリプティングの脆弱性
複数の phpspot 製品におけるディレクトリトラバーサルの脆弱性

2009年9月 PHPスクリプトの脆弱性
XSS脆弱性によるCookie情報の漏洩と、サーバ側に存在する読み込み可能なファイルパーミッションのファイルを誰でも表示できてしまう深刻な問題があります。
該当製品：
影響を受けるバージョンは、9/14 以前に当サイトで配布されていた下記のプログラムとなります。不安な方はバージョンアップをお勧めします。
PHP掲示板
PHP画像キャプチャ掲示板
PHP＆CSS掲示板
PHP掲示板CE
PHP_RSS_Builder
webshot

使用中の方は即最新版にアップデートしてください。また、当該製品を使用中のサイトを見かけたら、脆弱性がある旨を管理者に教えてあげてください。
※バージョンナンバーが無いため、利用者に脆弱性が残っているのかどうか判らない欠点があります。

----------
Kick ur ROBO Keel

RoboHelp のアップデートが公開されました。
Security update available for RoboHelp Server 8
Tomcatを停止し、必要なファイルのバックアップを取り、配布されたzipファイルを展開し、所定の場所にすべて差し替え、Tomcatをアクティブにしてください。

CVE-2009-3068
Adobe RoboHelp Server Remote Code Execution Vulnerability
No PoC yet
Adobe Releases Security Bulletin for RoboHelp Server 8

----------
Yikes! Drupal sanitated some bilge rats

最近いろいろ話題に上ることの多い Drupal ですが、いくつかのセキュリティ問題の修正パッチが出されました。
Drupal 6.14 and 5.20 released

SA-CORE-2009-008 - Drupal core - Multiple vulnerabilities
OpenID association cross site request forgeries
OpenID impersonation
File upload
Session fixation

使用中の方は、アップデートするか、アップデートのための計画を至急建てましょう。

----------
STBD bury down these bots

Pick Your Poison: KOOBFACE or FAKEAV
Facebook のログイン画面に似せたサイトから malwareへの誘導が行われているのは前からですが、最近は MalwareがFakeAVになっており、偽セキュへの支払いを行うことによる クレジットカードのスキミングやら、FTPアカウントの窃取やら、複合的な感染を誘導させられ、最終的には Botnet - Koobface 端末化してしまうという、いわば「踏んだりけったり」な状態になっているようです。

同様ののBotnetは、つい最近発生した NYT への不正広告によるマルウェア誘導でも発生しています。
'Bahama' botnet linked to click-fraud surge

関連：
Your Facebook account is worth $100
facebook アカウントのハッキングに100$払うというリンク・・・もちろんそんなわけはなく、あなたのFacebookアカウントを盗まれるだけ（笑）

----------
PHP 5.2.11 stable like a urchin

PHP3 向けてのさまざまな問題を抱える中、PHP 5.2.xシリーズの最新Stable Releace が公開されました。

PHP 5.2.11 Release Announcement
This release focuses on improving the stability of the PHP 5.2.x branch with over 75 bug fixes, some of which are security related. All users of PHP 5.2 are encouraged to upgrade to this release.

というわけで、PHP 5.2.x リリースを使用中の方は update しましょう。

----------
Aye! we're putting powder for BULLET'in YOU overlooked vulnerability

Plugin Updating Project: Follow up
1000万ユーザをFlashのアップデートに導いた Mozilla に栄光あれ！
BURY! BURY! BURY!

と、それはおいときまして（笑）
Mozillaは引き続き、さまざまなプロダクツの脆弱性放置を検知し、警告を出すための取り組みを行うとアナウンスしました。
We’re continuing to look for ways to help our users stay safe and up to date. We’re working to roll other plugins into our web-based checking, and the Firefox team is also building an integrated check that will let you know whenever a site you visit is trying to use an outdated plugin (more on that soon). This is just the beginning.

----------
kick'n rusty nail on bung hole

SUN Microsystemsが提供する、Office スィーツの StarSuite(日本以外ではStarOffice) にリモートコード実行可能なセキュリティリスクがあるため、パッチが出されています。

15 Sep 2009 Sun Alert 263508 Security Vulnerability in StarOffice/StarSuite Related to Microsoft Word Document Handling may Lead to Arbitrary Code Execution

それにしても、OOo がある現在、この StarSuiteはどんな位置づけにおかれているのかよくわかりません・・
もし、OOoの有償版ということで、コード的にも同じものということであれば、当然同じ脆弱性がOOoにもあることになるわけですが、あるいは旧来から残っているコードのみの問題なのかもしれません。

とりあえず、使用中の方は最新版へのアップデートを行いましょう。
※NECのACOS用グループウェア StarOffice は全く別の製品です。

----------
Raise cutlass ye got victim!

契約前説明と実態が違う～「パソコン内職」に注意喚起（国民生活センター）
公表されているのは、「1日2～3時間のデータ入力作業で月3～4万円の収入になる」との説明を受けて、仕事を紹介するための「システム料」約50万円を支払い・・・・

いつまでたっても・・・

----------
海賊言葉参考：
Why talk like a pirate - and how

EoF

[IN ZERO DAY]
SMB2 remote exploit released
Yesterday a well known security company added a module for their exploitation product. The module contains the remote exploit for this vulnerability – in other words, any user running this tool can get full access to affected machines.

If the exploit is stable enough, it can _very easily_ be used in a worm, so it can potentially be devastating.
So, if you are running a Windows Vista or Server 2008 machine (Windows 7 RTM is not affected, RC *is*), be sure you apply one of workarounds listed by Microsoft (they are not perfect, but they can help), available here:

Microsoft Windows SMB2 '_Smb2ValidateProviderCallback()' Remote Code Execution Vulnerability

SMB2を経由したリモートからのBSoD（ブルースクリーン）DOS攻撃は、既に実証されているとおりですが、それだけでもアタマが痛いのに、リモートからコード実行可能なPoCが発表されました。

このPoCはまだ不安定なものですが、改良コードが出回れば、攻撃者は脆弱性を放置している環境を「非常に簡単に」制圧下におくことが可能であると警告しています。

対象環境
Windows Vista 全環境
windows Server 2008 全環境 (BSoDと違い、SP2も対象)
Windows 7 RC1 (RTMは含まない)

対処：
SMB の脆弱性により、リモートでコードが実行される
DMZ外側へ/からの Port445/139 を塞ぐこと

SMB2を無効化すること

Remote exploit released for Windows Vista SMB2 worm hole

----------
久しぶりの警報です。

かいわれ大根の日
数字の8を横にして、その下に1を付けるとかいわれの形に似ている事から
き・・厳しい・・
制定した「日本かいわれ協会」は、現在は「日本スプラウト協会」として、カイワレなどの食用新芽野菜の普及活動を行っています。

しまくとぅばの日
沖縄県の言葉「しまくとぅば」を奨励するために定められた記念日、9月18日は、「く」で9、「とぅ」で「十」、「ば」で8という語呂合わせである。

独立記念日 : チリ共和国
1810年、スペインからの独立を掲げてサンティアゴ・デ・チレ自治政府が樹立された日。
この後、チリは再びスペインの占領下に入るが、アルゼンチン出身で、「南米の解放者」と呼ばれるホセ・デ・サン＝マルティン率いるアンデス軍により、再び主権を奪回。その後も混乱の続いた南米諸国とは一線を画した保守勢力を中核とした政権を築いた。

----------
なぜあなたそんなそふといんすとーるしたですか

Why is Rogue/Fake AV so successful?
偽セキュソフトはこの２年間でますます勢力を増しています。サイバー犯罪者がこの手の攻撃を中核に据えているのは、金銭が主目的であることは明白なことです。

こうした偽セキュソフトに関して、いくつかの興味深い共通点があります。まず、多くの場合それらの攻撃には洗練された（脆弱性攻撃のような）手段を使いません。これらのインストールの殆どは、訪問者を巧妙にだますことで誘引されています。どうやってそれを行うのか？　という疑問は、全て「ソーシャルエンジニアリング的な手法」に集約されるでしょう。彼らはまず、Microsoft Windows の画面にそっくりな web page を作成し、これらのウェブサイト上でオンラインスキャン（に似せた）を行っているような画面を表示させます。そして訪問者が自分のPC上に悪意のあるウィルスがあると信じてしまえば、次のステップとして抗ウィルスソフトをインストールしようとしてしまうでしょう・・・もちろんそれは正常なものではありません。

一旦そうした偽セキュソフトがインストールされてしまえば、その瞬間、あなたのPCは完全に制圧下に置かれてしまいます。犠牲者は自分のPC上の架空のウィルスを除去するために、毎時間のように出てくる警告ウィンドウに表示されるアドレスへ クレジットカード情報を入力して送金してしまうかもしれませんし、いくつかの偽セキュソフトは、キーロガーを仕込んであらいる有価情報（FTP など）を別のリモートホストに送信しています。

犯罪者はそうした偽セキュソフトへの誘導サイトにありとあらゆる主管を使用します。パトリック・スウェイジの死の報道からわずか２時間後には、サージエンジンの結果のいくつかに、偽セキュソフト誘導のリンクが並ぶ結果となっていました。

偽セキュ(FakeAV)の恐ろしいところは、実際にインストールした瞬間、全てが決定してしまう点にあります。
本当に最悪の場合、キーロガーは言うに及ばず、更にRootkit的なものインストールされ、全てのセキュリティソフトへのリンクがバイパスされ、あらゆるトラフィックが監視される状況になり、Botnet端末として稼動してしまう可能性があります。

皮肉な話ですが、オンラインスキャンを提供するベンダーが増えているため、オンラインスキャンに対する警戒心が低下していることも、こうした犠牲者の増加の一因になっているのかもしれません。

参考：
スウェイジをエサにしたさらなるトラップ
Fake Online AV Scanner Installs Fake AV
偽オンラインスキャナーが偽セキュをインストールする

その他トリック：
Fake AV continuing the PDF onslaught
FakeAV exploits GreyMatter vulnerability
FakeAV, with sound.
Yet more FakeAV trickery

----------
XOOPS XF-section

XF-Section におけるクロスサイトスクリプティングの脆弱性
対策：
XF-Section を使用しない
XF-Section の開発は終了しているため、使用を停止してください。同等の機能が実装された他製品に切り替えることをお勧めします。

XF-Section 1.12a におけるクロスサイトスクリプティングの脆弱性
ただちに XF-Section の使用を停止することをお勧めします。
代替として SmartFactory 殿が公開している SmartSection モジュールを推奨します。
SmartSection 2.14 Final
XFsection から SmartSection への移設

----------
QuickSilver Malware Network

Quicksilver Malware Network

前回の DNS(FreeDNS) & Zombie Botnetに引き続く、Malware/Spam/Botnet のコングロマリットの解明に挑む特集。

まだ全部読んでませんので、とりあえず紹介

----------
Chatの中の人攻撃

Chatting with a phisher

年々巧妙化するフィッシング誘導ですが、Webベースのチャットクライアントや、Jabberなどの IM クライアントのセッションハイジャックを利用したフィッシングが増加しており、オンラインバンクに対する "Chat-in-the-Middle attacks" として警告されています。

"Chat-in-the-Middle" Phishing Attack Attempts to Steal Consumers' Data via Bogus Live-Chat Support
This includes, but is not limited to, informing customers to be aware of unusual online chat activity and to remind them that their bank and most other websites will never ask them to divulge information concerning their username/password or challenge/response questions.

基本的に、オンラインバンクや有価情報に直結するCredentialsを、銀行から問い合わせることはありません。

----------
10,000,000 upgrade'ed

Helping People Upgrade Flash

Firefoxで10,000,000 だと、IEはどんだけ～　って感じになりそうなんですが？

Firefox最新版更新時に「古いFlash Player」を検知

Firefox Flash patch nudge working, but...
The 30% click-through number might be something to celebrate but it means that a whopping two-thirds of all Firefox users may still be running a version of Flash Player that’s vulnerable to malware attacks.
*shrug*

----------
EoF

モノレール開業記念日
1964年9月17日に東京浜松町～羽田空港間に日本初の旅客用モノレールである東京モノレール羽田線が開通したことを記念

台風襲来の特異日
デカイのが接近中なので気をつけましょうネ

----------
Next Generation Network

NTTデータ、NGNを利用した認証連携技術を開発
次世代電話網の整備に意欲的に邁進している NTT ですが、はたしてどのくらいの人がその実像を知っているのでしょうか？

最近よく耳にする「NGN」で何が変わるの？ -- 2006年10月31日
IP網はインターネットの接続サービスなどに代表されるように、通信速度を保証しない「ベストエフォート型」がこれまでの基本だった。だが、NGNでは、音声通信の音声品質や、映像通信の映像品質といった通信の品質レベルを定義し、保証できるようになる。基幹通信ネットワークとして必要とされる信頼性を実現した上で、IPをベースとして構築されるネットワークがNGNというわけだ。

しかし、TCP/IPの生みの親の一人である ビント・サーフ氏は
インターネットの父いわく「NGNは実のない議論」-- 2006年09月13日
現在話題となっているNGN（Next Generation Network）は、インターネットが本来持つ柔軟さを損なうものであり、「実のない議論だ」と一蹴。テレコム産業側は、音声や動画の配信にはQoSが必要だ、やれコントロールやインテリジェンスが必要だと主張するが、「パケット交換ネットワークのほうがうまく機能するし、より柔軟だ」と述べた。
と一蹴。
もっとも、この記事はかなり抜粋されているもののようで、捻じ曲げられて解釈されている可能性もありますが、インターネットがオープンなもの故に柔軟性を持続できるという部分だけは同感です。

さて・・何がいいたいかと言いますと
2012年、2000万ユーザーのアクセスが2カ所の接続ポイントに集中するのか？
大鑑巨砲主義を連想してしまうのは、「ネイティブ方式」という、NTTが積極的に推進するプロバイダ（ISP）との接続方式において、そのインターネットとの接続ポイント（POI、Point Of Interface）が、2カ所（東京と大阪）に集約されるという部分（ほかに名古屋等にバックアップ用POIがある）。光ファイバーで提供されている「フレッツ光ネクスト」の場合、将来、相当数のユーザー（最大２０００万）がこの2カ所のポイントを通過してインターネットに接続することになる。

NTT持株会社が、08年5月13日の決算発表の中で公開した資料（サービス創造グループを目指して～ブロードバンド・ユビキタスサービスの本格展開～）によると、2010年から2012年にかけて、「計画的マイグレーション」という言葉で「強制移行」を明言している。

先日オーストラリアで発生した大規模な切断事故で、少数のノードに集中したインフラの恐ろしさをSANSが指摘していたのですが、日本は時代に逆行しているのかもしれません。

参考：
なんとなく実験 with SIProp開発記
NGNの企業利用が進まない三つの理由
IP電話観察日記
※SIPサーバの不審な動きの観察

----------
CAPTCHA戦争

Spamコメントや自動アカウント取得を防止するための、CAPTCHAは、年を追うごとに酷くなる傾向がありますが・・・

Teaching computers to read: Google acquires reCAPTCHA
ということで、OCRによる認証を防ぐために更に改良したと発表。

Google + reCAPTCHA could raise bar in anti-bot, anti-spam battle
ZDnetは
CAPTCHAs have served to slow down spammers and phishers but in many cases, they are easily defeated by bots or humans hired to manually solve text in the squiggly-lined images.
と、懐疑的ですが・・

----------
偽セキュソフトもGumblarも根本的には同じ

Fake AV — why I want your FTP credentials
Sophos によれば、偽セキュリティソフト (= Rogueware = Scareware = FakeAV)は、インストールされるとそのFTP(Port21)トラフィックを監視し、FTPのID/Password情報(Credentials)を盗んで、犯人のリモートサーバにアップロードするものがあるとのこと。
これは、今年流行した Gumblar/Geno と挙動的には同じものであり、FTP情報が（その水平的な漏洩流用も含めて）きわめて価値が高いことを示しています。

致命的な情報をやりとりする際に FTP をまだ使っている点も問題ではありますが、その ID/PASSWORD が SSH 等のパスワード・パスフレーズに私用されている例も多いため、本人も気がつかないうちにサーバそのものが陥落している例もあるようです。

----------
安全なWebAppli作成のための指針

Review the security controls of your Web Applications... all them!
Are you applying consistent security controls to all the input vectors of your Web Applications? Attackers are finding these inconsistencies and flaws... and exploiting them!
悪意をもった侵入者はいつでもカモを狙っているのは、コノ前の大規模なSQLインジェクションで（残念ながら）証明されてしまったわけで・・・
Distributed Brute Force Attacks Against Yahoo
Defensive Takeaways

セキュアなウェブアプリケーションの開発を手助けするOWASP

タブ機能が強化されたテキストエディタ最新版「Notepad++ 5.4」

(0day)Notepad++ 5.4.5 Local .C/CPP Stack Buffer Overflow POC

The Internet Infestation, How Bad Is It Really?

Adobe が18億ドルで Omniture を買収、Web 解析に参入へ

Adobe、「SiteCatalyst」などをリリースするWeb解析ツールベンダーを買収

ハイビジョンの日
ハイビジョンの画面の縦横比が 9:16 （16:9）であることから通商産業省（現経済産業省）が制定。他に11月25日が郵政省（現総務省）とNHKが制定。

国際オゾン層保護デー(International Day for the Preservation of the Ozone Layer)
1987(昭和62)年、「オゾン層を破壊する物質に関するモントリオール議定書」が採択された。
最近は笑気ガスが問題らしいですが・・

独立記念日 メキシコ合衆国 )

民主党政権奪取記念日？

----------
釣果?

「Yahao!」や「Amazan」にご用心！　ヤフーかたるフィッシングも継続中
先月から、「Yahao!オークション」「Amazan.com」「モバオクshop」「モハオクshop」と名乗り、Webサイトに誘導しようとする携帯電話宛てのメールが出回っている。Yahoo! Japanや Amazon.com、モバオクからのメールだと勘違いしないよう、注意が必要だ。

本物の「Yahoo!オークション」では実際に10周年記念のイベントやキャンペーンを実施しているので、信じてしまう人もいるかもしれない。

これらのメールでは、リンクのURLを見れば、誘導先のページがYahoo!やAmazon、モバオクと無関係であるとすぐに見抜ける。

Yahoo! JAPANをかたるフィッシング1(2009/9/14)
hXXp://ipremiunserdsfectas.●●●●●●●●.com/yahoo-actions.co.jp/index.htm
Yahoo! JAPANをかたるフィッシング2(2009/9/14)
hXXp://plirantmembacunera.●●●●●●●●.com/yahoo-actions.co.jp/index.htm
Yahoo! JAPANをかたるフィッシング3(2009/9/14)
hXXp://prlamiemrimenbersid.●●●●●●●●.com/yahoo-actions.co.jp/index.htm
英語のメールはスパムと（脳内で）疑ってかかれる人が多くなってきましたが、日本語でやってくると引っかかる人が多いようです。

あと、こーいうのもあるようです。
Vaio購入者向けメールを騙るスパム
コレかな？
1252915553.zip

気をつけましょう。

----------
New York Times' FaveAV

Fake anti-virus attack hits New York Times website readers
先週末、NewYorkTimesの広告欄に悪意リンクが張られ、不用意にクリックすると偽セキュソフトへ誘導されていた模様です。現在は修復しています。
Update on the New York Times malicious ads attack

NYTのお詫び（？）
Note to Readers
Some NYTimes.com readers have seen a pop-up box warning them about a virus and directing them to a site that claims to offer antivirus software. We believe this was generated by an unauthorized advertisement and are working to prevent the problem from recurring. If you see such a warning, we suggest that you not click on it. Instead, quit and restart your Web browser.
お詫び？（笑）
New York Timesサイトに悪質広告、偽ウイルス対策ソフトへ誘導

----------
サイバーセキュリティ・リスク

SANSがサイバー・セキュリティ・リスクに関するレポートを発表しました。
The Top Cyber Security Risks

重要度TOPは、
クライアントに残る、パッチが適用されず脆弱性が放置されたままのアプリケーション
ということで、このあたりの認識はズレてないと思います。
特に、Adobe Acrobat/Flash や Apple QuickTime など、サードパーティ製品の自動アップデートの不備が挙げられています。

２番目は、
脆弱性放置されているWebサイトで、SQLインジェクションやXSSを放置したまま運用しているWebサイト
で、こうした危険サイトは認識しているのかどうか不明なまま、一向に減る気配がありません。

また、OS上に残るリモートから実行可能な脆弱性を悪用したWorm的挙動をとるもの による感染が上げられています。広義的には BotNet 感染したゾンビPC群が、最も厄介な存在です。

そして、毎日のように上げられる脆弱性情報のいくつかはゼロデイ状態となってしまいます。攻撃者がその環境に気がつけば、いともたやすくサーバを陥落させることが可能です。

他、非常に長いレポートですので、全部読んでません・・・

----------
Internet Security Q1-Q2 2009

WebsenseからもQ1-Q2のサマリーレポートが出されました。
Websense Security Labs report - State of Internet Security, Q1-Q2 2009

・Gumblar(GENO), NineBall, Beladenのように、77％のマルウェアコードが、陥落した正規のウェブサイト(compromised legitimate site)に記述されており、危険なサイトを巡回しなければ安全という神話は既に崩壊している。
・「動的なWeb2.0サイト」は高い確率で悪意の対象となっており、95%のコメントが何らかの悪意を持ったものになっている。
・"Dirty"なWeb-siteは悪意の度合いがエスカレートしており、Sex, Adult Content, Gambling, Drugs といったリンクからマルウェアに誘引される可能性が飛躍的に悪化している。
・Web上の攻撃コードのうち、37%がデータ窃取のコーディングを施されている。
・Webベースの攻撃は、よりいっそうデータ窃取攻撃へのベクトルを強めていくものと推測される。
・Spamは相変わらず払拭できておらず、マルウェアのリンクを含むemailの比率が高まっている。

----------
geneva

September in Geneva
Another year has passed, and the time of the most important annual anti-malware event is upon us. The Virus Bulletin International Conference 2009 takes place on 23-25 September at The Crowne Plaza Hotel in Geneva, Switzerland.
レマン湖（Geneva)湖畔ですか・・ウラヤマシ・・

----------
Chrome 3.0

Stable version of Chrome 3.0 released
It's about 25 percent faster than the Chrome 2.0 stable version
まだ速度戦争やってたのか・・

----------
Serve redirect Malware

Serena Serves Up an Ace for Malware Pushers
テニスプレイヤーのセリーナ・ウィリアムズで検索したらマルウェア誘導される・・

他方、ゴースト/ニューヨークの幻で一世を風靡したパトリック・スウェイジ氏の訃報も・・

スウェイジ・スパム

もう何でもありですね・・

ちなみに、現在の GSB の件数は
Active Malicious: 391139
Removed されたものを含めると 630672
という数に上っています。
([goog-malware-hash 1.15758 update])

Activeは40万に達しないレベルで推移しているようです。

----------
C&C thru 2ch

GoogleグループやTwitterを悪用するトロイの木馬
その中に「Sufiage」というのがあってその亜種「Sufiage.c」＝俗称（？）「イオナズン」というやつが、

2chのスレッド一覧を定期的に監視して、
↓
その中から特定の文字列を含むスレッドを検索し、
↓
その特定の文字列を含むスレッド内には暗号化された攻撃命令が記述されていて、
↓
その命令を受け取ったPCはそのメッセージから「書き込み対象スレッド」や「書き込み内容」を解読し、
↓
指定されたスレッドに対して書き込みを行なう

という2chのスレッドをCnCとするボットみたいな動きをしてたなぁと。

2chのようなクラウド的な情報集積地だと、そういう使い方もありなのかもしれませんね・・

----------
Haiku (BeOS)

Haiku R1α1、リリース
OpenBeOS発足から8年の開発期間を経て、Haiku初の公式開発版がリリースされた（本家/.より）。

HaikuはBeOSの後継として長らく開発されてきたオープンソースのデスクトップ向けOSである。今回のリリースではISOイメージと共にVMware用ディスクイメージも正式に提供されており、インストール作業が簡易になったとのこと。Haikuはx86アーキテクチャのシステムのみで動作し、ディスクの空き容量は600MB以上、メモリは128MB以上を要するとのこと。また、CPUに関しては400MHzのPentium II でも動作することが確認されているとのことだ。


つまるとこ
火狐走れば
それで良い

(苦笑)

EoF

老人の日（旧敬老の日）
1963(昭和38)年までは「としよりの日」だったが、「としより」という名称はひどいということで、「老人の日」に改められた。
尚、現在の敬老の日は、毎年9月の第3月曜日に変更され、それに伴って「スカウトの日」も移動している。

独立記念日：旧スペイン領中米諸国
エルサルバドル グアテマラ コスタリカ ホンジュラス ニカラグア

----------
Not suprised Scarecrow

最近、脆弱性による Drive by Download があまり成功しなくなったためか、一部で Scare(脅し)wareの被害が深刻化しているようです。
The ultimate guide to scareware protection
こうした "偽セキュリティソフト(FakeAV)" は、さまざまなキーワードに散りばめられ、ちょっとした興味を引いた人が PE を踏みつけてしまうと、何やら恐ろしげなウィルス感染の警告と共に、すぐにウィルス除去を行うように誘導、カードによる決済を強要してきます。

基本的には、インターネットで上でセキュリティ警告を出されてもすぐには信用しないことが重要です。
VirusTotal - VT について
にリスティングされている企業は（基本的には）マトモなセキュ企業です。（たぶん）

Microsoftも、Malware Protection Centerで、定期的に特集を組んでいますので、参考にするといいかもしれません。

----------
Who trust me?

じゃ、そのセキュ会社をどのくらい信用してるか？といいますと・・
Survey: Three out of four administrators don't trust anti-virus software
In a recent study, a total of 226 administrators, CIOs and security specialists were asked what they thought of signature and blacklist-based solutions. Three out of four administrators consider signature-based enterprise anti-virus protection unreliable. For zero day attacks in particular, two thirds of the administrators surveyed(要レジスト) did not believe that standard anti-virus products helped to prevent attacks.

226人のセキュリティ担当者、CIO、アドミンにセキュリティに関する質問を行った結果、89%の企業で（旧態依然のシグネーチャベース）セキュソフトを導入しており、その半数は「ないよりもマシという程度」であることを認識しており、残り半数はコンプライアンス的にイヤイヤ導入している(felt compelled to use)と回答しました。また、40%は抗ウィルスソフトをシステム性能低下を理由に取り除くことを検討しているとしています。

また、40%のユーザはシグネーチャベースのセキュソフトの不備を認識しておらず、代替手段の検討を行ったことすら無い一方、43%はシステムスキャンの冗長性を鑑みて、ホワイトリスト形式の導入を検討しているとしました。しかしながら、66%の管理者は、ユーザに別のソリューションを導入すると、そのプロセスが遅くなったり難易度が増すのでは無いかとの懸念をあらわにしています。

「企業用途」と「個人用途」は、方向性にかなりの違いがあります。
企業内で使用する場合、危険をブロックするのではなく、必要のある場所にしか行かせないというのは自然な流れになるでしょう。
往々にして我慢できない人は、隠れて（危ないProxyなんかを使って）コソコソ変なサイトに行くようになるんですが・・

----------
OffVis Training Video

最近はAdobeにお株を奪われた感がありますが、Officeファイルといえばマルウェアの温床だった時期が長かったことは記憶に新しいと思います。
そうした、Officeファイルを解体し、Malcraftedされたファイルの挙動を知るためのツール OffVis がバージョンアップしました。
OffVis updated, Office file format training video created
って Silverlightですか・・・

OffVis 1.0 Beta: -- Office visualization tool By Russ McRee
WARNING:
The following usability is so straightforward that brain-freeze may ensue from lack of needed cycles.
ほ・・ほんとですか？（懐疑的）
PUSH とか POPとか見ると脳が凍るんですが・・・

----------
Oracle Secure Backup

Oracle Secure Backup Administration Server authentication bypass, plus command injection vulnerability

今年の７月に
大量すぎるパッチを充てた Oracle 製品ですが、Secure Backup にまたもや何か発生している模様。
関係者の方は注意しましょう。

----------
今度は幾らかなぁ？

アリコ、流出した顧客情報は1万8184名分～業務委託先社員が持ち出しか
また同社は11日に行った会見で、当初流出のおそれがあるとしていた約13万件の顧客に対し、金銭的な保障を行う意向を表明している。

----------
Upgrade for Windows7 from..?

意外に安い? ボリュームライセンスでWindows 7を導入する
なんか長ったらしくてアレですが・・Microsoftのいつもの例に漏れず、とにかくヤヤコシイ・・

Microsoft Volume Licensing ホーム
Microsoft Open License
ボリュームライセンスにおけるアップグレード対象 OS 一覧
Windows 2000 Professional
Windows NT Workstation 4.0
Windows 98 (Second Edition を含む)
IBM OS/2
Apple Macintosh
なんか懐かしいのを聞いたような気がする・・・

ボリュームライセンスでのWindows 7購入、個人でもお得になる

どうでもいいけど、Windows7のCM(YouTube):
More happy is coming…
好評価が Gizmode, MaximumPC, cNet そして ZDnet ってのが気になるような、ならないような・・・
次はこのCERP(検索結果）がMalwareリンクにならなきゃいいけど・・

EoF

コスモスの日
プレゼントにコスモスを添えて交換し、お互いの愛を確認しあう日。

メンズバレンタインデー
男性が女性に積極的に愛を表現する日
日本ボディファッション協会は、他にも妙な日を多数設定しているものの、「メンズバレンタインデー」は既に布教活動が停止中

セプテンバーバレンタイン
2月14日のバレンタインデーから半年目で、女性から別れ話を切り出してもよいとされる日。

----------
Malware戦線異状なし

FakeAV for 9/11
Scareware scammers exploit 9/11
9.11の検索結果はFake AVに
（※）異例の警告が US/CERTより Fraudulent 9/11 Web Sites出されています。

Google Trends Suffering Abuse Today
NFL シンシナティ・ベンガルズのローカルTV放送が中止されたことの詳細はTrojanに

Google Groups Trojan
Googleグループは Botnet C&Cのトリガーに

‘Shipping confirmation’ malware.
DHLやらUPSの見覚えの無い荷物発想確認はMalwareに

Newsletter Templates in Spam
ニュースレターのヘッドラインらしきものはバイアグラへ・・・

keyword:
Search safe.

----------
already slaught Autorun?

AutoPlay Windows 7 behavior backported
Windows Autorun (自動実行) 用の更新プログラム
実施：
Windows の自動再生機能の更新プログラム
Windows XP、Windows Vista、および Windows Server 2003 では、大容量記憶装置があり、ルートディレクトリに正式な形式の AutoRun.inf ファイルがあるすべてのデバイスに対して、自動実行エントリが有効になっていました。このようなデバイスには、CD、DVD、USB サム ドライブ (USB メモリ) 、外付けハードディスク、および大容量記憶装置として表示されるすべてのボリュームが含まれていました。この更新プログラムは、自動再生の自動実行エントリを無効にし、 CD/DVD ドライブのエントリのみを表示します。事実上、これにより USB メディアでは自動再生が機能しなくなります。

※ 最終更新日: 2009年8月31日 - リビジョン: 1.1となっていますが、実際に何が変更されたのかは不明です。本家エントリは Last Review: August 25, 2009 - Revision: 1.0 となっています。

----------
悪魔のすべての私の愛

Toata dragostea mea pentru diavola
Webサーバー向けに、ある種の脆弱性をスキャンする際に残されるUA情報のひとつです。今年のはじめごろから観測されています。

Dragisteaってどっかで聞いたと思ったらコレか！

当初は RoundCube Webmalの脆弱性 -- 2007/11/19を狙ったものが、ECサイト構築システム Zen Cartの脆弱性になり、更にバグ管理システムの Mantis へ ターゲットが移っている様子
※login_page 絡みは 2005-02-28 の脆弱性であり、最新の情報はありません。何かゼロデイの可能性もあります。

で・・問題は、その踏み台にされているサーバ群で、中に日本国内のサーバ例が報告されています。心当たりのある方はちょっとだけチェックしてみましょう・・・

----------
Cloud exposed over?

Information Leakage in Cloud Computing

用語だけが遥か彼方に先行している感のある「クラウド」ですが、UCSDの研究者グループが潜在的な危険として サイドチャネル攻撃による水平漏洩の危険性を指摘、問題提起を行っています。
Researchers find a new way to attack the cloud
SANSは、この種の攻撃は小さな危険性であり、この事実だけですぐにクラウド・コンピューティングの全否定には繋がらないとしながらも、こうした、仮想化に対する潜在的な危険性を過小評価し、殆どの人が盲目的に考慮しない点が問題であると指摘しています。

物理的にEC2のコンソールを眺められる人が悪意をもった場合？なんでしょうか？
元になった論文:
Hey, You, Get Off of My Cloud: Exploring Information Leakage in Third-Party Compute Clouds
斜め読みですが、評価版の頃のEC2の話が多いような気がします。

----------
マウスは燃えているか？

ソニーのBluetoothマウスに過熱・やけどの恐れ、無償交換対応
短絡が発生した場合、マウスの手前側面にあるストラップポール付近が高熱になり軽微なやけどにつながる可能性もあります。ソニーによれば、現在までにやけどの報告はないものの、電源が入らない・マウスが動かないという報告を8月中に国内で3件受けているとのこと。
BGM: パリは燃えているか　加古隆＆Ｎ響ポップス

----------
年賀状

「Web で新しい年賀状の仕組みを作りたい」―郵便年賀.jp、年賀状ネット通販受付開始
もうそのままPDFで送ってよ・・・
(JavaScript OFFでね！）

EoF

宇宙の日
毛利衛さんが1992年にスペースシャトル・エンデバーで宇宙へ飛び立った9月12日が選ばれた

水路記念日
明治4年7月28日（新暦の1871年9月12日）に兵部省海軍部水路局が設置されたことに由来

マラソンの日
紀元前490年9月12日 ペルシア戦争 マラトンの戦い

とっとり県民の日
島根は「左」で鳥取は「右」　知名度アップ作戦「まずは位置から」

----------
Microsoft explained (maybe) Unaffected Solution

先日からイロイロ言われている MS09-048 ですが、Win2kとWinXPに関して非常に歯切れが悪い返答になっています。

影響を受ける製品の一覧に Windows XP がありますが、なぜマイクロソフトはその更新プログラムを公開しないのですか?
既定で、Windows XP Service Pack 2、Windows XP Service Pack 3 および Windows XP Professional x64 Edition Service Pack 2 にはクライアント ファイアウォールで構成されたリスニングサービスが含まれていないため、この脆弱性の影響を受けません。さらに、Windows XP Service Pack 2 およびそれ以降のオペレーティング システムには、ステートフル ホスト ファイアウォールが含まれており、インターネットまたはプライベートネットワーク上の近隣のネットワーク デバイスからの受信トラフィックに対する保護がコンピューターに提供されます。Windows XP は CVE-2009-1925 の影響を受けません。サービス拒否攻撃の影響として、メモリが消費されるため、コンピューターが応答しなくなる可能性があります。しかし、攻撃が成功するには、持続的な特別に細工した大量の TCP パケットが攻撃者にとっての必要条件となりますが、そのような TCP パケットが停止するとコンピューターが回復します。このため、Windows XP についての深刻度を「注意」と評価しました。Windows XP は CVE-2009-1925 の脆弱性による影響を受けません。Windows XP を実行しているお客様がさらされる危険は少なくなりますが、マイクロソフトは Windows XP を実行しているお客様にオペレーティングシステムに含まれているファイアウォール、またはネットワークファイアウォールを使用して影響を受けるポートへのアクセスを阻止し、信頼されないネットワークからの攻撃の表面を制限することを推奨します。

何がいいたいのかさっぱりわかりません・・・

コノヘンに
Monthly Security Bulletin Webcast Q&A - September 2009
に延々と Q&A があるのですが、一体全体どのくらいのインパクトがあるやら無いやら・・・・・

September 2009 Security Bulletin Webcast Video and Customer Q and A
斜め読みしただけですが、Remote Codeの実行はできないので、TCP洪水攻撃への懸念から「重要」程度の危険性が残るものの、致命的ではないということにしたらしいです。TCP-Floodが発生したとしても、その状態が永遠に続かなければ洪水状態の解除と共に復旧するということを強調しています。

そんなもんなんですかね？

----------
YOYAKU system

株式会社ディーアイシー製 yoyaku_v41 における OS コマンドインジェクションの脆弱性
株式会社ディーアイシーが提供する yoyaku_v41 は、施設の予約管理を行うためのソフトウェアです。yoyaku_v41 には、OS コマンドインジェクションの脆弱性が存在します。
yoyaku_v41 を設置しているサーバ上で、ウェブサーバの権限で任意の OS コマンドを実行される可能性があります。

Webservice-DIC yoyaku_v41 Arbitrary Command Injection Vulnerability Secunia指標:4:High-Critical

使用中の方は Yoyaku_v41 version 1.20 へのアップデートを大至急行ってください。
yoyaku_v41 バージョン1.1にはOS コマンドインジェクションの脆弱性が存在します
バックアップもお忘れなく

----------
邪悪な画像ファイル

A Picture is Worth a Thousand Lines of Malcode
ScanSafe Webにおける悪意ブロッキングの15%が、画像ファイルに偽装されたマルウェア・コードであったと報告しています。その中の88%がシェルコード（コマンド実行）に使用され、7% に悪意をもった iframe に関与しています。
それらは、一般的によく知られた脆弱性攻撃ではなく、もっと単純なブラウザとPHPインタプリタにおける権限昇格とブラックリスト回避を使用しており、ユーザが意図しないコードの実行を簡単に実現しています。
特に、ウェブオーナーに対し、過去に侵入を許した経緯があるならば、そうした脆弱性をもった環境そのものを入れ替え、upload 可能な環境の構築には Secure file upload in PHP web applications のようなセキュアな環境構築を念頭に置くほうがよいと示唆しています。

といってもなかなか変更できない部分もあるんですよね～

----------
Zombie relative Gumblar

Gumblar(Zlkon/Martuz) との関連性が何度も指摘されている 8080インジェクション / 3文字.ru/in インジェクションですが、本当のところはたぶん（当事者にしか）わからないでしょう・・・・

Dynamic DNS and Botnet of Zombie Web Servers
たとえば、UnmaskParasite で取り上げられている
a86x . homeunix . org
ですが、
Dynamic DNS で提供されている Free Domains を使用することで、ブラックリスト入りを回避しようとしていると指摘、サーバー管理者は、こうした FreeDomainsに対して、警戒し、必要に応じてアクセス拒否等の設定をすべきであると警告しています。

UnmaskParasite的には 1und1は既に防弾ホスト認定されてしまっているのですね（嘆息）

----------
Milw0rm highlighted TWO articles

IBM AIX 5.6/6.1 _LIB_INIT_DBG Arbitrary File Overwrite via Libc Debug
IBM AIX

FreeRadius < 1.1.8 Remote Packet of Death Exploit (CVE-2009-3111)
The FreeRADIUS Project

----------
Google Chrome XSS-Protection

Google ChromeがUpdateしました。
Dev Channel Update: Bug fixes for Mac and Linux
Version: 4.0.207.0 for Mac and Linux.

その中で、クロスサイト・スクリプティング・プロテクション(XSS-Protect)について言及がありました。
Reflective XSS protection (for reals this time)
4.0.207.0以降のバージョンから、スクリプトを実行前にチェックし、XSSにつながるようなものをブロックする機能を導入しました。

----------
Ballmer Ballmer!

マイクロソフトのバルマーCEO、社員のiPhoneを奪って踏みつける (ふりをする)

I LOVE THIS COMPANY YAY~

EoF