2005年02月22日(火) << 前の日記 | 次の日記 >>
これまでの02月22日 編集

■1フィッシング詐欺用サイトとサイト改竄の違い[セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

JPCERT[http://www.jpcert.or.jp/] から、 Web 偽装詐欺 (phishing) の踏み台サーバに関する注意喚起[http://www.jpcert.or.jp/at/2005/at050002.txt] も出ていて、実際に踏み台にされる事例が急増している様だ。
「ウチも対策をしないと」ということで、早速、Webページ改竄検出のソリューションを導入して一安心というところがあるかも知れないがちょっと待って欲しい。
それらのツールは、確かにWebページの改竄を検出してくれるかも知れないし、それはそれで大事なのだけれども、フィッシング詐欺用の踏み台化の対策としては不十分だ。

フィッシング詐欺サイト情報[http://www.rbl.jp/phishing/] というページがある。
この内容を参考に、フィッシング詐欺サイトがどの様に構築されるかを考えると、

  1. 自分のサーバに構築する
  2. 侵入したサーバのトップページをいきなり書き換える
  3. 侵入したサーバのアドレスの秘密のディレクトリ以下をこっそり使う
  4. 侵入したサーバにバーチャルホストを構築する
  5. 侵入したサーバの別ポートでサーバを構築する

というパターンがある様だ。この内、自分のサーバが悪用される事を心配するのは、2以降で、3,4については、トップページから再帰的にリンクを辿るタイプの改竄検知システムでは検知不可能だ。
サーバ自身でファイルの改竄検出をするタイプであれば、うまく設定すれば、2,3,4が検出可能。5は検出できないケースも出てくるだろう。

フィッシング詐欺用サイトを立ち上げる場合、トップページを書き換えて「書き換えたぞ!」とアピールする改竄とは、攻撃側の立場が全く異なる。一旦作ったサイトが長期間機能すれば機能しただけ、引っかかる被害者も多くなるわけで、なるべく長期間発覚しないのが望ましい。
トップページをいきなり書き換えて、フィッシング詐欺メールを送る前にサイトを停止されたら何にもならないのだ。
こうやって考えると、ページトップから辿っていく手法の改竄検出は、フィッシング詐欺サイト構築の検出には向いていない事が分かる。

攻撃者から見ると、上記、2,3は、サーバのコンテンツ管理者の権限以上が入手できれば実現可能。いくつかの事情 *1 で、コンテンツをhttpdあるいはCGI実行ユーザーの持ち物にしている場合、CGIに穴があったら実現される可能性がある。
4は、httpd.confの更新がrootにしかできないのであれば、root権限を奪取されなければ大丈夫だと思われる *2
5は、一般ユーザー権限があれば可能。もちろんhttpd権限でも可能。

ということで、結局、フィッシング詐欺サイトの構築を防ぐためには、

  • サーバ全体の防御を固める
  • ログを含めてシステムの監視を強化する

といった地道な対策が必要で、特効薬はない様だ。
あえて、特化した検出系の技術を考えると、httpアクセスをパケットキャプチャ的に監視して、コンテンツとして用意していない筈のURIを検知するというテクノロジが使えるかも知れない。

*1: suExecを利用している場合はそうせざるを得ない。理由がないのだったらもちろん止めるべき。
*2: 動作中のhttpdの動作をhttpdの実行ユーザー権限で変更する事ができる可能性はあるが、未検証。

■ 関連記事

■2買い落とし本リスト[book]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

買わなきゃいけない本リスト。

IPv6 magazine[http://www.amazon.co.jp/exec/obidos/tg/listmania/list-browse/-/2ND02RQUV4A96/249-3743634-2985128]:

書店で見つけた時に買っていたのだけれども、入荷しなくなってから買わなくなってた。10号で廃刊の様なので、買いそろえておかないと。

Amazon[http://www.amazon.co.jp/] では10巻が品切れだったので、 impress Direct[http://direct.ips.co.jp/book/impress.cfm] で発注。

[和書]FreeBSD expert―ワンランク上のFreeBSDユーザを目指せ! (2005)[http://www.amazon.co.jp/exec/obidos/ASIN/4774122092/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]BSD magazine No.17 (2003) (17)[http://www.amazon.co.jp/exec/obidos/ASIN/4756143458/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

FreeBSD PRESS[http://www.amazon.co.jp/exec/obidos/tg/listmania/list-browse/-/2NTZ7O2NCS308/249-3743634-2985128]:

これは創刊号の方を持っていない。
1〜8巻、14,15,16巻が無いのだけど、もはや入手が困難かも知れない。

■ 関連記事

■3 STEP - SuperTagEditor Plugin[http://haseta2003.hp.infoseek.co.jp/]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

リッピングした曲データに、SonicStageでID3タグを打つのが面倒で、他のタグエディタを探したのだけれども、OpenMGの.omaファイルに対応したものが見当たらなかった。
調べてみるとid3libの形で、OpenMGの情報が 公開[http://www.sony.co.jp/Products/OpenMG/overview/tech.html] されているので、作れないことはない様だ。
とは言っても、UIを最初から作るのは大変なので探し当てたのがこれ。
大量の曲のタグを打つのに非常に重宝した、SuperTagEditorのタグ入出力部分をプラグイン化したプロジェクト。 これ用のプラグインとして、id3libを組み込む事ができれば、.omaファイルも扱える様になるのでは無いかと目論んだけれども、クイックハックでできる話じゃなさそうなので、一時棚上げ。

■ 関連記事

■4なぜ○○銀行のインターネットバンキングは右クリックを禁止するのか[セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

ここ1ヶ月位でずいぶん状況が変わってきた。
実はこの記事の、○○銀行の○○の部分では、ある特定の銀行を想定していた。 その後、調べていくと、多くの銀行に共通する問題だということが分かったので、○○としておいたという事情があった。
最初に気づいた銀行とは、以前からやり取りをしていて、最終的にはアドレスバーを隠すのは止めるという方向で解決しそうだったので、様子を見ていた。
フィッシング防止のため地方銀行はこうするべき[http://takagi-hiromitsu.jp/diary/20050220.html#p01] の記事を読んで、そういえばどうなったかなと、以前アドレスバーを隠していた銀行を回ってみると、アドレスバーを隠す様なことは無くなっていた。いずれも、同じサービスを利用していた様だから、一斉に変更したのだろう。
世の中が一つだけれども、安全な方に動いたシーンをみる事ができたのは嬉しい。

アドレスバーを隠している理由は、恐らく、他のドメインでサービス本体を動かしているのを知られたくないという理由だろう。 これは、 高知県電子申請システムはどうしてアドレスバーを隠すのか[?200502b&to=200502161#200502161] で取り上げたのと同様、説明責任を回避してリスクを利用者に押しつける行為で許される事ではない。
面倒でもきちんと説明するか、 こうすれば良かったのではないか[?200502b&to=200502161S2#200502161S2] や、 フィッシング防止のため地方銀行はこうするべき[http://takagi-hiromitsu.jp/diary/20050220.html#p01] で提案されている様に、自分のドメインで運用すると、利用者に「ドメイン名が違うのは要注意」という習慣づけができて、より安全な社会になる。

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2005年02月 翌月
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project