Googleを脆弱性スキャナに利用するツールがリリース

Google検索エンジンを脆弱性スキャンに利用するツール「Goolag Scan」がハッカー集団Cult of the Dead Cow（cDc）からリリースされたそうです。
Googleを脆弱性スキャナに。ハッカー集団が新ツール　ITmediaエンタープライズ　２００８年２月２２日

このツールを利用すれば様々な問題のあるWebサイトを検索することができるそうです。

オープンソースのGoolag Scanには、脆弱なWebアプリケーション、設定ミスでバックドアが開いているWebサーバ、ユーザー名とパスワードなど、インターネット上で誤ってさ らされてしまっている文書を検索するための約1500種のカスタムGoogleクエリーがデフォルトで組み込まれている。

実際に使ってみてはいないのですが、記事を読む限りではかなり実用的？なツールですね。Googleハッキングを行うための便利なツール、といったところでしょうか。

「北米、欧州、中東でこのツールを使ってランダムにテストしてみたところ、恐ろしい欠陥が見つかった。もしもわたしが政府機関や大企業、あるいは大規模な Webサイトのオーナーだったら、このツールをダウンロードして自分のサイトで試しているだろう。見つかった脆弱性はそれほど深刻なものだった」（cDcの広報担当オクスブラッド・ラフィン氏）

例えば、企業はGoolag Scanを使って、自社のWebサイトの脆弱なサーバあるいは「機密情報を含むファイル」を検索でき、このツールを便利な監査ツールにすることができる。

確かに自分の管理しているドメインなどに対してスキャンをかけるために利用するのであれば、便利なセキュリティ監査ツールでしょう。しかし、誰もが好きなドメインに対してスキャンをかけることができるわけですから、そのような使われ方はあまりしないでしょうね。かなり強力なクラッキングツールだと思います。

オンラインゲームポータルに不正アクセス、個人情報が1万4000件が流出

シーアンドシーメディアが運営するオンラインゲームポータルサイト「MK-STYLE」が不正アクセスに遭い、個人情報14,362件（1月27日現在）が流出したそうです。
不正アクセス発生に関する調査報告と個人情報流出のお詫び　株式会社シーアンドシーメディア　2008年1月28日

今回の事件は、どうやら「Perfect World -完美世界-」のアカウントハック被害から発覚したようですね。流出した情報はアカウントID、パスワード、メールアドレス、年齢で、クレジットカード情報などはないそうです。不正アクセス元はどうやら中国らしく（4Gamerの記事より）、サーバにはトロイの木馬も仕掛けられていたようです。

今回の不正アクセスを受け、シーアンドシーメディアは以下のセキュリティ対策の強化を発表しています。

第1段階
　・セキュリティ対策室の設置 (実施済)
　・情報セキュリティ専門会社による不正アクセスの監視 (1月24日機器導入済)

第2段階
　・認証システム強化 (1月26日実施済)

第3段階 (1月中に実施予定)
　・サーバーシステムの改修によるセキュリティ強化
　・ハッキング防止対策強化
　・BOT対策強化

第1段階ぐらいははじめからやっていても良いんじゃないかな、と思ったりしてしまいますけどね。

ちなみに今回の個人情報流出を受け、補償も発表されています。
不正アクセスによる一部個人情報流出に関する補償方針について　MK-STYLEカスタマーセンター　2008年2月6日
＜不正アクセスに伴い、ご迷惑をお掛けしたお客様への補償内容＞　「Perfect World -完美世界-」インフォメーション

さすがオンラインゲーム、情報漏洩の保障もゲーム内のポイントで支払われるようです。仕組みが良く分からないので、GAME Watchの記事を引用します。

　発表された補償内容は、まず、1月26日13時までに「パーフェクトワールド」に会員登録している全てのユーザーに対して、MKポイント「500ポ イント」を2月14日の定期メンテナンス後に配布。所持していた有料アイテムとワールドチケット (WT) は同額のWT (端数は切り上げ) にて補償される。

　そして盗難されたゲーム内アイテムは、アイテムのカテゴリーおよびアイテムの精錬値に応じて、仮想通貨 (Coin) にて補償される。なお、EXカテゴリーのアイテムおよびEXランクの精錬アイテムは、アイテム価値を協議した上で補償額を決定する。

C&Cメディア、MMORPG「パーフェクト ワールド -完美世界-」個人情報流出に関する補償方針を発表　GAME Watch　2008年2月6日

私はやらないのであまり詳しくないのですが、最近のオンラインゲームはかなり現金が動くそうです。お金の集まるところには犯罪者たちも集まってきます。オンラインゲームの運営会社も、犯罪のプロたちを相手にしているんだという心構えでセキュリティ対策を行って欲しいですね。

＜参考＞
「Perfect World -完美世界-」でのアカウントハックの原因判明，海外からのサーバー侵入を確認　4Gamer　2008年1月28日
ゲームポータル「MK-STYLE」から個人情報1万4000件流出　ITmedia News　2008年1月29日

コンピュータウイルス・不正アクセスの届出状況[1月分]

IPAがコンピュータウイルス・不正アクセスの届出状況[1月分]を公開しました。
コンピュータウイルス・不正アクセスの届出状況[1月分]について　ＩＰＡ　2008年2月4日

特集は原田ウイルスです。ＩＰＡも（ウイルスを扱っているだけに？）流行には敏感ですね。

＜参考＞
IPAが1月のウイルス届出状況を公表、「原田ウイルス」の被害に注意喚起　IMTERNET Watch　2008年2月4日
「原田ウイルス」に気をつけろ！――IPAが注意喚起　ＩＴ Ｐｒｏ　2008年2月4日
ウイルス・不正アクセス届出状況について（2008年1月分）　まっちゃだいふくの日記★とれんどふりーく★　2008年2月4日
「原田ウイルス」作成者逮捕　このブログ

SEOポイズニングとは

検索サイトを利用したクラッキング手法の中に、SEOポイズニングというものがあるようです。
米国で「SEOポイズニング」が相次ぐ　日立システム情報セキュリティブログ　2008年1月31日

簡単に説明すると、人気のある検索キーワードで、高い順位に悪意のあるサイトが表示されるようにすることをSEOポイズニングと呼ぶようです。GoogleであればGoogleポイズニングと呼ぶのでしょうか？以下の例では、高い順位に表示されるサイトを見ようとすると、悪意のあるサイトにリダイレクトされるようにし、巡回ロボットの目をくらましていたようです。
大量ハッキング＋Googleポイズニング　不正サイト誘導の巧妙な手口　ITmediaエンタープライズ　2007年12月19日

普段良く利用しているものに、罠が仕掛けられている。うーん、巧みですね。

米有名サイトにアドウエアの広告

セキュリティベンダーの米サンベルトソフトウエアが、「有名なＷｅｂサイトでもアドウエアをインストールさせるような危険な広告が表示されている」として注意を呼びかけているそうです。また、例として「Snopes.com」という米国で有名な都市伝説を集めたWebサイトに、1年前から「Zango」と呼ばれるアドウエアの広告が表示されるようになっていると述べています。
米で有名な「都市伝説」サイトに「アドウエア」の広告　IT Pro　2008年1月29日

ユーザがこの広告をクリックすると、以下のようになるそうです。

ユーザーが同サイトにアクセスすると、「迷惑メールを遮断したいと思いませんか（Do you want to block Junk Emails）?」といったポップアップが表示される。　「はい（Yes）」を押すと、Zangoの配布サイトなどに誘導され、ダウンロードおよびインストールするよう促される。だまされてインストールすると、意図しないWebページや広告がWebブラウザーに表示されるようになる。

こういった広告、さらにはトラックバックや、コメントなどによるリンクは、時として悪意ある人々に利用され、サイトの管理者が知らないうちにサイトの訪問者に被害を発生させてしまうかもしれません。また、このような攻撃は、有名サイトや大規模な攻撃が行われれば何かおかしいと気づく人が出るかもしれませんが、今日多く行われつつあるターゲットを絞った形で行われた場合、誰にも気づかれることなく被害が増えていってしまうかもしれません。昨日の記事ではありませんが、こういった攻撃に対する対策というのも考える必要がありますね。とりあえずは、ユーザはサイトのブロック、管理者は信頼できる広告を使うとか、トラックバック、コメントに注意するとかでしょうか？大変そうですけどね。

まあ、今回の例ではサイトの管理者もアドウエア広告について把握していたのかもしれません。

この件について、同社スタッフは半年ほど前にSnopesに連絡したが、無視されたという。

サイト運営者としては、広告を掲載する際には注意したい。望ましくない広告を表示するようなことになれば、わずかな広告収入と引き換えに、今までに気付いた信用を失うことになる。一度失った信用を回復させることは容易ではない。

全くですね。

＜参考＞
トレンドと東大、「Webリンク構造の解析」の成果を発表　このブログ

ルーターの設定変更攻撃が流行中？

ルーターの設定を変更する攻撃が流行っているのでしょうか？
UPnPを狙う新たな攻撃、「Webアクセスだけでルーター設定変更の恐れ」　IT Pro　2008年1月22日
「メールを読むだけでルーターが設定変更される」、驚異の新攻撃出現　IT Pro　2008年1月23日

両方とも元ネタがシマンテックなので、もしかしたらシマンテックでブームなのかもしれません。

こういった攻撃のことをファーミングと呼びます。仕掛けて待つという点でフィッシングと似ているのですが、ファーミングのほうがより自動的で、影響が大きなイメージがあります。代表的（私の中で）な攻撃にDNSポイズニングというものがありますが、この攻撃が成功した場合、例えば攻撃を受けたDNSサーバを利用しているユーザは、特定のサイトにアクセスする場合に必ず悪意あるサイトに誘導されることになります。まあ、詳しいことはWikipediaでも見てください。
ファーミング　Wikipedia

今回の2つの記事は、両方ともブロードバンドルーターのDNSの設定を変えていると思うので、DNSポイズニングと呼べばよいと思うのですが、ブロードバンドルーターの設定を変えるファーミングのことを、「ドライブバイ・ファーミング」と呼ぶそうです。

WebページやHTMLメールに悪質なHTMLとJavaScriptを仕込んで、それらを閲覧したユーザーのブロードバンドルーターの設定を変更する攻撃は「ドライブバイ・ファーミング（Drive-by Pharming）」と呼ばれる。

以下は、2つ目の記事からの引用ですが、怖いですね。

　このメールにはある細工が施されている。HTMLメールに対応したメールソフトで表示させると、メールに仕込まれたコードが解釈されて、メールソフトか らブロードバンドルーターへ設定変更のデータ（HTTP GETリクエスト）が送信される。それによって、ルーターのDNS設定が変更される。
　具体的には、メキシコのある有名銀行のWebサイトにアクセスしようとすると、その銀行サイトに見せかけた偽サイトに誘導されるように設定を変更。偽サイトでは個人情報の入力を要求する。
　メールに仕込まれた設定変更のデータは、メキシコでよく使われているルーターのモデルを狙ったものだという。これらから、今回の攻撃はメキシコのユーザーを狙ったものである可能性が高い。