2005年04月26日(火) << 前の日記 | 次の日記 >>
これまでの04月26日 編集

■1SYA!nikki[SYA!nikki]次の記事 >> このエントリーをはてなブックマークに追加

■ 関連記事

■2 フィッシング詐欺対策ツールに脆弱性、任意のファイルダウンロード可能に[http://pcweb.mycom.co.jp/news/2005/04/25/006.html][セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

SNS Advisory No.80 nProtect:Netizen Arbitrary File Download Vulnerability[http://www.lac.co.jp/business/sns/intelligence/SNSadvisory/80.html] のニュース。
JVN#AF02FB4B nProtect : Netizen に複数の脆弱性[http://jvn.jp/jp/JVN%23AF02FB4B/index.html]IPAセキュリティセンター 脆弱性関連情報の調査結果[http://www.ipa.go.jp/security/vuln/documents/2005/JVN_AF02FB4B_nProtect.html] 等も参考に。
この日記でも、nProtectについて、 「セキュリティのため」ActiveXコントロールの導入を勧めるUFJカード[http://www.nantoka.com/~kei/diary/?200504a#T200504041]続・「セキュリティのため」ActiveXコントロールの導入を勧めるUFJカード[http://www.nantoka.com/~kei/diary/?200504a#T200504051]日本企業初!!フィッシング詐欺対策機能を持ったツールを導入[http://www.nantoka.com/~kei/diary/?200504a#T200504073]「セキュリティ商社の餌食になる思考停止事業者を自衛のため見分けよ」[http://www.nantoka.com/~kei/diary/?200504a#T200504093] 等で取り上げ、「セキュリティのためにActiveXを導入」するということに対して疑問を表明してきた。
ActiveXについては、 「スクリプトを実行しても安全だとマークされているActiveXコントロール」は安全か[http://www.nantoka.com/~kei/diary/?200504a#T200504071]「『SFSとマークする』と『デジタル署名する』は直交した概念」[http://www.nantoka.com/~kei/diary/?200504b#T200504122S2] の記事で、
ActiveXコントロールは一度パソコンの中に組み込まれると、 どこからでもActiveスクリプトを通じて起動することができる。 例えば、 UFJカードや東京スター銀行が導入を勧めたフィッシング詐欺対策ツールだが、
(中略)
と言った感じのコードをhtml中に書けば、誰でも起動できる。上のサンプルで角括弧で囲った中身は、秘密の値ではなく、実際にこのソフトを起動しているページに行けば見ることができる。 だから、私がこのページのhtmlに適当な値を入れて、上記のコードを書いておけば、 いきなりフィッシング詐欺対策ソフトが起動して、閲覧者をびっくりさせるいたずらをすることは可能である。
という心配をしていた。
プログラムを解析してはいけないことになっているので、本当にそうなるかどうか確かなことは分からなかったのだけど、起動時にスクリプトで指定されたURLから設定ファイルを読み込む仕掛けになっている様に 見えて、その設定ファイルに指定されたURLからアップデータを指定のファイル名でローカルに持ってくる仕組みになっている 様で、非常に危険だと 感じていた。
これも 解析したわけではないので確かなことは分からないが、アップデータが本物かどうかを確認するためにはハッシュを使っていて、ファイル自体は暗号化されたZIPファイルの 様に見えた。もちろん 解析したわけではないから確かなことは分からない
これも 解析したわけではないから確かなことは分からないが、ハッシュのアルゴリズムも暗号化のパスワードもプログラムを解析すれば判明するのではないかという気がしていた。もちろん 解析したわけではないから確かなことは分からない
この二つを悪い人が解析すると、任意のDLL等をnProtectの一部として組み込んで実行させることができるような気がして心配だった。もちろん 解析したわけではないから確かなことは分からない
いずれにせよ、今回の報告で何らかの改善はなされたはずだけれども、どこからでも起動できるというActiveXスクリプトの性質を考えると、ローカルにファイルを保存したりシステムをフックしたりという大掛かりなことをするのは危険がいっぱいで、書くのは恐ろしいと思う。

導入していた各社の対応:

UFJカード[http://www.ufjcard.com/]東京スター銀行[http://www.tokyostarbank.co.jp/]JCBカード[http://www.jcb.co.jp/] ともに、プレスリリース等は出していない様だ(17時40分現在)。
ついでに、東京スター銀行が「銀行初のセキュリティ対策機能『スターセーフ』新開発」していたことを知った。初もの大好きなんですねぇ。

関連記事[http://www.nantoka.com/~kei/diary/?200504a&to=200504073S8#T200504073S8]:

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2005年04月 翌月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project