cles::blog

JPCERT/CCが「電子メールソフトのセキュリティ設定について」というドキュメントを公開しています。このドキュメントで取り上げられているメールクライアントは 「Apple Mail.app」「Becky! Internet Mail」「Microsoft Outlook Express」「Microsoft Outlook 2003」「Microsoft Outlook 2007」「Microsoft Windows Live Mail」「Mozilla Thunderbird」の7種類。一般的に使われている殆どのクライアントをカバーしています。

JPCERT/CC、電子メールソフトの設定方法を紹介するページを公開 -INTERNET Watch

JPCERT/CCでは、従来の迷惑メールのような無差別な配布だけではなく、近年では特定少数を標的にした「標的型メール攻撃」の被害も見られるようになったと説明。こうした状況の中で、ユーザーは「何に注意をして」「どのように設定すればよいのか」を知ることが非常に重要であるとして、電子メールの利用者が自分の身を守るために必要な電子メールソフトの最低限の設定や確認事項を調査・公開した。

内容的には、メールのヘッダやソースを表示する方法、電子署名を確認する方法など、昔からメールを使っている人にとっては初歩的で物足りないような印象を受けますが、それだけ裾野が広くなったということなんだろうと思います。

SANS InstituteとMITREが脆弱性の原因となるプログラムの間違いを纏めたランキングを発表しています。
一般に公開するウェブアプリケーションを作っているエンジニアは一読の価値がありそうです。

もっとも危ないプログラミングエラー25、 16 | エンタープライズ | マイコミジャーナル

CWE - 2010 CWE/SANS Top 25 Most Dangerous Programming Errorsにおいて脆弱性の原因となる危険なプログラミングエラー25が発表された。開発者にセキュリティ問題の原因となるプログラミングに関する注意を促し、実際にソフトウェアが動作する前の段階で問題を発見し対処できるようにすることを目指したもの。2009年に発表されたリストの更新版にあたり、内容の多くが更新されている。2009年版を使っていた場合には、今回発表された2010年版を再度検討する価値がある。

Top3は「クロスサイトスクリプティング」「SQLインジェクション」「Bufferオーバーフロー」という脆弱性の御三家みたいなものなので、そこまで目新しい感じはしませんが、やはり基本的な部分が危ないということなんでしょうね。

IPAがWAFについて纏めた「Web Application Firewall 読本」を公開しています。

情報処理推進機構：情報セキュリティ：脆弱性対策 : 「Web Application Firewall 読本」を公開

IPA（独立行政法人情報処理推進機構、理事長：西垣 浩司）は、ウェブサイトの脆弱性の修正作業が長期化している事例が少なくないことから、ウェブサイト運営者がWeb Application Firewall（ウェブ・アプリケーション・ファイアウォール、WAF）を導入する際の参考となる解説資料「Web Application Firewall 読本」を2010年2月16日（火）からIPAのウェブサイトで公開しました。URL： http://www.ipa.go.jp/security/vuln/waf.html

WAFは特定のパターンにマッチするリクエスト（攻撃）をアプリケーションに渡される前に破棄することによってウェブアプリケーションを保護するものですが、F/WやWAF、IPS、IDSについてはセキュリティ機器と一緒くたにされてしまっていて違いを分かっていない人も多いので、こういう資料はいいですね。

ただ、WAFはウェブアプリの脆弱性の根本を解決するものではないので、脆弱性を作り込まないための教育やソースコードレビューに加えて、診断項目に基づく定期的なウェブのセキュリティチェックについても、もちろん必要になります。

それでもWAFを入れるメリットとしては、あるセキュリティベンダーの人に話を聞いたWAFのちょっと変わった使い方として、外部の人間からウェブアプリケーションに脆弱性報告が寄せられたとき、アプリケーションの改修が即時に可能でない場合、WAFに脆弱性をつくリクエストをピンポイントでブロックするルールを加えて時間を稼ぐ事が出来るというのがあるようです。

あくまでダメージコントロールの域を出ませんが、大規模なアプリケーションを作成するときには導入を検討したいところです。

JPCERT/CCがいわゆるGumblarがどのようなソフトウェアの情報を盗むのかと言う事に関する検証結果を「FTP アカウント情報を盗むマルウエアに関する注意喚起」ということで発表していました。先日も書きましたが、この問題がFFFTPにとどまらない一般的な問題だという事をはっきりさせてくれる良いレポートですね。

FTP アカウント情報を盗むマルウエアに関する注意喚起 - JPCERT/CC Alert 2010-02-03

本攻撃に使用されているマルウエアに感染すると、ユーザのコンピュータ内に保存されているアカウント情報が読み取られ、外部のサーバに対し送信される可能性があります。このアカウント窃取の対象となるソフトウエアは、FTP クライアントを含む複数の製品にのぼります。JPCERT/CC では、以下の FTP クライアントにてマルウエアによるアカウント窃取、および外部サーバへのアカウント情報の送信を確認しました。

- ALFTP 5.2 beta1
- BulletPloof FTP Client 2009.72.0.64
- EmFTP 2.02.2
- FFFTP 1.96d
- FileZilla 3.3.1
- FlashFXP 3.6
- Frigate 3.36
- FTP Commander 8
- FTP Navigator 7.77
- FTP Now 2.6.93
- FTP Rush 1.1b
- SmartFTP 4.0.1072.0
- Total Commander 7.50a
- UltraFXP 1.07
- WinSCP 4.2.5

上記に加えて、以下の Web ブラウザのアカウント管理機能を用いて保存されている情報をマルウエアが窃取し、外部サーバに送信している事を確認しました。

- Microsoft社 Internet Explorer 6
(Internet Explore 7 および 8 ではアカウント窃取は確認されておりません)
- Opera社 Opera 10.10

また、今後マルウエアが変化し、アカウント窃取の対象となるソフトウエアが変化する可能性があります。

ポイントとしてはFFFTPの乗り換え先として取り上げられている事が多い、FileZillaやWinSCPが入っていることについては十分留意すべきだと思います。

Twitterのタイムラインに「FFFTPと8080系が・・・」みたいな話が流れていたので、ちょっと気になって調べてみたのですが、GumblarがFFFTPのレジストリ情報を攻撃対象にしているということのようです。

FFFTPの作者sotaさんのサイトには下記のようなアナウンスがアップされていました。

GumblarによるFFFTPへの攻撃について

FFFTPはパスワードをレジストリに記録しております。簡単な暗号化をかけてありますが、FFFTPはオープンソースであるため、暗号の解除はプログラムソースを解析すれば可能です。Gumblarウイルスの亜種は、レジストリに記録されているパスワードを読み取り、サイト改竄に使用しているようです。上記理由により、以下のいずれかの対策をお取りください。

ただ、この問題はそもそもパスワードをPC上に記憶させることによって発生する一般的なリスクと考えるべきで、FFFTPが責めを負うべき欠陥ではないと思います。よって、あくまで対策の第一選択はウィルス感染を防ぐことであり、ダメージコントロールとしてFFFTPにパスワードを記憶させない、もしくは使用中止を検討するというのがあるべき姿でしょう。よって、FFFTPを使うのをやめればよいと言う安直な発想は避けるべきだと思います。

JPCERT/CCから公表されている Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起で、DEPを有効にしていると攻撃を軽減できるということが解説されていたので、DEPの設定を確認してみたら、Windowsシステム関連のみ有効になっていたので、プログラム全体に対して有効になるように設定を変更しました。

Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起

【検証結果】
上記環境にて実証コードを実行し、任意のプログラムが起動されることを確認しました。また、DEP 機能を有効にすることで、任意のプログラムが起動されないことを確認しました。

DEPを有効にする方法については「＠IT：Windows TIPS -- Tips：XP SP2のデータ実行防止（DEP）機能を無効にする」に詳細があります。タイトルは「無効にする」になっていますが、有効にする方法や特定のプログラムでDEPを無効にする方法についても解説されています。

設定画面は「マイコンピュータ」を右クリック→「プロパティ」を開く→「詳細設定」タブを開く→パフォーマンスの枠内の「設定」をクリック→「データ実行防止」タブを開く、というちょっと分かりにくい場所にあります。

NTTらの研究チームががRSA暗号に使われている素因数分解問題で世界記録更新を出したようです。

NTTなど、「素因数分解問題」で世界記録更新--公開鍵暗号解読に一歩近づくか:ニュース - CNET Japan

これまでの世界記録を大きく上回る700ビットを超える素因数分解が可能になったが、これは将来的にRSA暗号で使われている1024ビットの素因数分解も達成できる可能性があることを示唆するものと注目される。その延長線上として、RSA暗号より強度が高く、より効率的な暗号技術を利用する必要性も高まるだろうと、NTTは見ている。

普段使われている1024ビットにだいぶ近づいてきましたね。NTTのプレスリリース「公開鍵暗号の安全性の根拠である「素因数分解問題」で世界記録を更新」によると、解を求めるためのステップごとの計算量が書いてあるので、これを抜粋すると下記のような感じになります。

（1）多項式選択 → Opteron 2.2GHz換算で20年
（2）篩（ふるい）処理 → Opteron 2.2GHz換算で1500年
（3）filtering → Core2 2.66GHz換算で6カ月以下
（4）線形代数（連立方程式の解法） → Opteron 2.2GHz換算でおよそ155年
（5）平方根（代数的数の平方根の計算及び最小公約数の計算） → 数時間

これを見る限り、計算量的にはまだ１つのCPUで1700年弱くらいはかかるようなので、どこかの国に狙われたりしない限りは、すぐに現在の1024ビットRSAが危ないということはなさそうですね。

最近、有名どころが立て続けにGumblarの被害にあったり、JPCERT/CCが「Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起*1」を出していたりとかなり話題になっていますね。てっきり新種なのかと思っていましたが、去年の5月頃に同人サイトの改ざんが多発して話題になった、GENOウイルスと呼ばれていたものと同種のウィルスのようです。GENOウィルスとひとくくりにしてはいけない模様。

セキュリティ通信｜セキュリティ関連ニュース　サイト改ざん(1)「告知せず」で感染拡大の恐れ～負の連鎖を断ち切るために

ユーザーも自身が閲覧したサイトで問題が発生していないかどうか注意を払うとともに、以下の予防策を必ず実施していただきたい。以下を漏れなく実施していれば、たとえ改ざんされたWebサイトを閲覧しても、現時点ではウイルスに感染することはない。

　(1）Microsoft Update（Windows Update）を実行しシステムを最新の状態にする
　(2）Adobe Readerを最新版に更新する
　(3) Adobe ReaderのAcrobat JavaScriptを無効に設定する
　(4) JRE(Java Runtime Environment)を最新版に更新する
　(5) Flash Playerを最新版に更新する
　(6) QuickTimeを最新版に更新する

　IPAが公開している「MyJVNバージョンチェッカ」を利用すると、2、4、5、6のインストール状況と最新版かどうかのチェックを簡単に行うことができる。

上記の記事に載っている「MyJVNバージョンチェッカ」のアドバイスを元に、自分のPCに入っているプラグイン類を最新板にアップデートしておきました。なおFlash PlayerはIE版と、Firefox版を別々にアップデートする必要があるので注意が必要です。僕はFTPで管理しているサイトは無いのですが、FTPで管理するサイトを持っている人は念のためPCの状況を確認しておいた方がよさそうです。

• ^*1: JPCERT/CC Alert 2010-01-07

IPAがPCのセキュリティ設定をチェックする無償のツールを公開しています。始まったばかりなので、まだUSBメモリの自動実行機能に対するチェックしかできませんが、ルールは今後増えていくようです。

情報処理推進機構：情報セキュリティ：脆弱性対策：「MyJVN セキュリティ設定チェッカ」を公開

そこで、IPAでは、USBメモリの自動実行機能をはじめとした Windows のセキュリティ設定を簡単な操作で確認可能なツール「MyJVN(*4)セキュリティ設定チェッカ」を開発、公開しました。「MyJVN セキュリティ設定チェッカ」は、 http://jvndb.jvn.jp/apis/myjvn/ から無償で利用できます。今回、チェック対象とする項目は表1の通りとなっており、USBメモリの自動実行機能を、①無効にする設定になっているか、もしくは、②無効にするパッチが適用済みであるかを簡単にチェックできます。

iモードブラウザ2.0の脆弱性とその対策が一般的なニュースやDoCoMoのリリースでは良く分かりませんでしたが、無効化されているメソッドをまとめているさいとがあったので、その全容が僕にもやっと理解できるようになってきました。

iモードブラウザ2.0のJavaScript mpw.jp管理人のBlog

XMLHttpRequestオブジェクトのsetRequestHeaderメソッドの無効化
X-DCMGUID、Host、User-Agent、Referrerなど、偽装されるとiモードのチープなセキュリティモデルを根幹から崩してしまうものだけを無効化するのではなく、setRequestHeaderメソッド自体が無効化され、JavaScriptからは全くヘッダを付加＆変更することが出来ないように変更されているようです。

alertメソッドの無効化
alertメソッドが無効化されていました。
alertメソッドがXSS脆弱性有無のプローブとして真っ先に使用されているからだと推測しています。
（当方のサンプリング調査の結果では、携帯サイトの約1/4にXSS脆弱性があると推計されます。）

やはり、ヘッダ偽装関連だったようです。個人的にsetRequestHeader()は使ったことがなかったのでノーマークでした。それにしてもalert()を使えないようにするなんてとっても姑息な感じがしますね。そもそも対策の内容が酷いとか騒ぎたいというのはありますが、そもそもDoCoMoがちゃんと脆弱性情報をディスクロージャーしないのかというのが今回の最大の問題ですね。脆弱性なんてこの件に限らずぼろぼろとでてくると思うんですが、毎回こんな感じだと先が思いやられます。