2014年05月02日

セキュリティアドバイザリ2963983ではなくKB2378111が降りてきた件 このエントリーをはてなブックマークに追加

世間では[FAQ まとめ] セキュリティ アドバイザリ 2963983  Internet Explorer の脆弱性により、リモートでコードが実行される - 日本のセキュリティチーム - Site Home - TechNet Blogsで書かれているようにマイクロソフト セキュリティ アドバイザリ 2963983の対応で大騒ぎのようである。
先ほどWindows Vistaを起動したところWindows Updateが降りてきたので見てみると何故かDownload Windows XP 用セキュリティ更新プログラム (KB2378111) from Official Microsoft Download Centerが降りてきた。
KB2378111 vista

うーむ、謎である。公開日も2010/10/12となっており今頃なぜこの更新プログラムが降りてきたのか?
直前にBing デスクトップをインストール後、アンインストールしたためなのだろうか?ちょっと謎である。
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2014年04月11日

Windowsで他のサイトのサーバ証明書の情報を取得・確認する方法 このエントリーをはてなブックマークに追加

ということでOpenSSLのHeartbleed脆弱性で世界中が祭り状態である。
[ビデオ]OpenSSLのバグ“Heartbleed”ってどんなの? | TechCrunch Japan

チェック方法まとめ:OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家 - @ITでもチェック方法がいろいろ書かれているようだな。

「SSLで経路暗号化しているから安心だね」ってのがちょいと根底から揺らいでいるよーな気もするが引き続きこのあたりは情報収集していこうかなーと思ってますな。

で、今回の件で、OpenSSLのHeartbleed機能が有効化されているかを調べるには
openssl s_client -connect www.example.jp:443 -tlsextdebug
って感じにすればよいらしいというのを教えてもらった。
あまりこのあたりよくわかってないので「外部の証明書に対してopensslのコマンドで調査できるのかー」ってのを初めて知った。
外部の証明書の詳しい情報を外から調べられるってのを知ったのでいろいろ試してみようとしたのだが丁度よいLinuxの環境がなかったのでWindowsにて調べることができないか試してみた。

OpenSSL: OpenSSL Binary Distributions経由でShining Light Productions - Win32 OpenSSLをインストールし、コマンドラインから
openssl s_client -connect www.google.com:443 -tlsextdebug
って感じでやってみたのだが、
Loading 'screen' into random state - done
connect: No such file or directory
connect:errno=0
となり接続できないようであった。いろいろ調べた結果デフォルトの状態でproxy経由でOpenSSLを使う方法はどうもよくわからなかった。(ソースを変更して再コンパイルしている人とかいたのだが私には無理でございましたw)

openSSLでは私のスキルではproxyを越えられないと結論付け、curlを使って証明書の取得を試みた。
まあ「Windowsで」とタイトルに付けたけど結局curlを使ってしまうのだ。すまん。
Windowsのcurlはいろいろあるようだが、私はGow - The lightweight alternative to Cygwinのcurlを使ってますな。curlでproxyを超えるにはこんな感じでWindowsのシステム環境変数にhttp_proxyとhttps_proxyを追加すればよさそうである。
http_proxy : http://proxy.example.co.jp:8080
https_proxy : http://proxy.example.co.jp:8080
curlはいろいろ情報があったのだが「curl 証明書」などで検索すると「curlコマンドでSSLのエラーを無視するには」といった類の結果が沢山でてきた。証明書の情報を無視するのではなく証明書の情報がほしいのでなかなかよさそーなサイトに辿りつけなかったのだが、対応しているSSL暗号化スイートを確認する - Dondari memoとかが参考になったかな。
まあ、結論としては
curl https://google.com -v -k
とかやればよさそうである。
しかし、上記の「-v -k」オプションでは情報が取得できないサイトが幾つかあった。更に調べたところ「 --ciphers ALL 」オプションを使えということが書かれていた。

つーことで、ちょいとこんなバッチファイルを作ってみたばい。(grep使ってるけどGowインストールしたから入ってるよね)
echo off
set TMP_SSL_FILENAME="check.txt"
set LOGFILE="cert.log"

curl %1 -v -k --ciphers ALL 1>%TMP_SSL_FILENAME% 2>&1

grep "SSL connection using" %TMP_SSL_FILENAME% >%LOGFILE%
grep "subject:" %TMP_SSL_FILENAME% >>%LOGFILE%
grep "start date" %TMP_SSL_FILENAME% >>%LOGFILE%
grep "expire date" %TMP_SSL_FILENAME% >>%LOGFILE%
grep "issuer:" %TMP_SSL_FILENAME% >>%LOGFILE%

type %LOGFILE%
でこれをchkcert.batとかって名前で保存して、コマンドラインから
chkcert https://google.com
とすると
* SSL connection using ECDHE-ECDSA-AES128-GCM-SHA256
* subject: C=US; ST=California; L=Mountain View; O=Google Inc; CN=*.google.com
* start date: 2014-03-12 10:03:06 GMT
* expire date: 2014-06-10 00:00:00 GMT
* issuer: C=US; O=Google Inc; CN=Google Internet Authority G2
という感じに結果が表示される。とりあえず表示される全情報については「check.txt」に残してその中から必要な情報だけgrepで拾ってきて「cert.log」に保存しているのだが、別にそんなことせずに「curl %1 -v -k --ciphers ALL」という1行だけでバッチファイルを作ってももちろんOKである。

Googleはstart dateとexpire dateの期間が3ヶ月くらいだな。結構短いなー。

ちなみにこの方法ではOpenSSLのHeartbleedに関する情報は取得できませんよ。Heartbleedのチェック方法についてはいろんなところに紹介されていると思うのでそちらを見てください。あとOpenSSLはこのあたりの記事をあとでよく読んでみたいと思います。
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2014年03月26日

ウィルス対策ソフト主要4社徹底比較 このエントリーをはてなブックマークに追加

4月に入ると入学、入社などにより環境が変わる人が結構多いと思う。PCの環境も変わりやすいこの時期、肝心なのはコンピュータウィルスなどによる脅威である。
IPA 独立行政法人 情報処理推進機構などのサイトで独自に情報収集している人も結構多いと思うが、一般生活者ができる基本的な対策と最も有効とかんがえられるのがウィルス対策ソフトウェアを導入することだ。
しかし世の中にはウィルス対策ソフトウェアが山ほどある。どのウィルス対策ソフトウェアを導入すべきか悩む人のために、一般に広く利用されているウィルス対策ソフトウェアを提供する4社を比較してみた。

比較方法にはGoogleを利用する。
Googleで「社名 ウィルス対策 特徴 欠点 利点 検知率」で検索し紹介されたサイトで専門家の意見だけを参考に点数を付けてみようと思う。
ただ、時間がないので、以下のように比較方法を変更する。
・検索ワードが長いので「社名 う」で検索
・検索結果先を見ている時間がないので、Google Suggestの結果を見て判断する
その結果以下のような順位となった。

1位:トレンドマイクロ
trendmicro_gs.png
納得の1位であろう。

2位:カスペルスキー
kaspersky_gs.png
これもまあよいだろう。

3位:マカフィー
mcafee_gs.png
うざい?うざいだと???これはもうダメだろう。

4位:シマンテック
symantec_gs.png
シマンテックで検索するとそうでもないのだが、主力製品の「ノートン」で検索すると
norton_gs.png
「うざい」「動かない」「宇都宮」と謎のワードがw
これはもう4位でいいだろう。

ということで、トレンドマイクロ、カスペルスキー、マカフィー、シマンテックの順番で製品を選んでね。

鉄拳×Norton スペシャルパラパラ漫画 『キズナ』 - YouTube

posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2014年02月07日

辞書攻撃に効果的なIDパスワードによる認証システムを考えてみたw このエントリーをはてなブックマークに追加

殆ど一発屋っぽい考えだが、パスワードに2バイトコードを利用できるようなシステムはどうだろう?
素人考えだが、こうすれば海外からの攻撃でやられる確率は減るのではないかな?
ただ、いまのところWebサイトなどでパスワードフィールドは2バイト文字が入力できないようなインターフェースが多い。
例えば、IDが「user1」パスワードが「password」だったとき
ID:user1
パスワード:・・・・・・・・
といった形でパスワードが伏字になっている。
これはショルダーハッキング対策のためだと思うが、ショルダーハッキングのリスクと辞書攻撃でパスワードが漏えいするリスクでショルダーハッキングの方がリスクが低いと判断されれば、効果があるかもしれないよなー。
まさかパスワードに2バイトコードを入れるとは思わないだろうしw

あとは1バイトコードのパスワードと2バイトコードのパスワードフレーズを併用するかだよなー。1バイトコードのパスワード入力時はショルダーハッキング対策のためパスワードを伏字にし、2バイトコードのパスワードフレーズも併用することで海外からの辞書攻撃をかなりの確率で防げるような気がする。

それがダメならIDを2バイトコードにしちゃえばいいんじゃね?
ID:佐村河内守
パスワード:・・・・・・・・(Beethoven)
パスワードフレーズ:影武者
といった形でIDとパスワードフレーズを2バイトコード使ってみるシステムなら海外からの攻撃は防げるだろw

どうかな?(まあダメだろうなw)。
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2014年02月05日

JALマイレージバンクへの不正ログイン後に届いた注意喚起のメール(全文)がひどいw このエントリーをはてなブックマークに追加

これはひどいw
以下JALからのメール

Subject:【重要なお知らせ】Amazonギフト券特典交換サービスの一時停止ならびに、JMBパスワード変更のお願い
From:JALマイレージバンク<jmbcyberflash@jmb.jal.com>

2014年2月4日

※重要なお知らせのため、メール配信をご希望されていない方へもお送りしています。


JALマイレージバンク(以下、「JMB」)会員向けの特典交換サービスの一つである「Amazonギフト券への特典交換サービス」に関して、JALホームページを通じてお客さまの意図しない交換がなされたケースを確認したため、2014年2月2日 16時以降、当該特典交換サービスを停止しています。

Amazonギフト券以外の特典交換サービスへの影響は現時点で確認されておりませんが、詳細調査中です。安心してサービスをご利用いただくため、JMBパスワードの変更手続きをお願いいたします。

なお、JMBパスワードはJALホームページで即時に変更が可能ですので、オンラインサービスをご利用ください。
JMBパスワード・お得意様番号がお分かりにならない場合もオンラインサービスで照会が可能ですのでご利用ください。

▼パスワードを変更する場合
JALホームページでログイン後、画面右側のマイエリア下にある「会員情報の参照・変更」をクリックし、「パスワード(PIN)変更」よりお手続きください。
http://www.jal.co.jp/jmb/

24時間自動音声応答サービス「待っテル君」(0120-747-039)でも変更が可能です。
http://www.jal.co.jp/information/jmb/mattel.html

▼パスワード・お得意様番号がお分かりにならない場合以下URLよりアクセスいただき、お手続きをお願いいたします。
http://www.jal.co.jp/info/jmb/140203.html


不正と思われるログインの詳細については現在調査中ですが、関係当局と連携の上、迅速に事実解明を進めてまいります。

お客さまに、ご迷惑とご心配をおかけしておりますことを、心よりお詫び申し上げます。

 ▼詳細について
http://www.jal.co.jp/info/jmb/140203.html


JALマイレージバンク日本地区会員事務局

これをJAL側のホントの気持ちを補足して書くと多分こんな感じ


Subject:【重要なお知らせ】Amazonギフト券特典交換サービスの一時停止ならびに、JMBパスワード変更のお願い(オレは悪くないけどな)
From:JALマイレージバンク<jmbcyberflash@jmb.jal.com>

2014年2月4日


(面倒だが)重要なお知らせのため、メール配信をご希望されていない方へもお送りしています。


JALマイレージバンク(以下、「JMB」)会員向けの特典交換サービスの一つである「Amazonギフト券への特典交換サービス」に関して、JALホームページを通じてお客さまの意図しない交換がなされたケースを確認したため、2014年2月2日 16時以降、当該特典交換サービスを停止しています。(不正アクセスとかまだ前半では言わないほうがよいだろうなぁ)

Amazonギフト券以外の特典交換サービスへの影響は現時点で確認されておりませんが、詳細調査中です。安心してサービスをご利用いただくため、JMBパスワードの変更手続きをお願いいたします。(あくまでも「安心してサービスを利用してもらう」ってのを強調しておこう)

なお、JMBパスワードはJALホームページで即時に変更が可能ですので、オンラインサービスをご利用ください。(すぐにパスワード変更できるよ。だから変えとけよ)

JMBパスワード・お得意様番号がお分かりにならない場合もオンラインサービスで照会が可能ですのでご利用ください。(なんて親切なJAL)

▼パスワードを変更する場合
JALホームページでログイン後、画面右側のマイエリア下にある「会員情報の参照・変更」をクリックし、「パスワード(PIN)変更」よりお手続きください。
http://www.jal.co.jp/jmb/

24時間自動音声応答サービス「待っテル君」(0120-747-039)でも変更が可能です。(維持費が結構かかるけどな)
http://www.jal.co.jp/information/jmb/mattel.html

▼パスワード・お得意様番号がお分かりにならない場合以下URLよりアクセスいただき、お手続きをお願いいたします。(ポストイットでモニターに貼っとけよ)
http://www.jal.co.jp/info/jmb/140203.html


不正と思われるログインの詳細については現在調査中ですが、関係当局と連携の上、迅速に事実解明を進めてまいります。
(システム変更とかお金かかるし大変だろうなー。数字4桁を数字6桁に変更するだけでもかなり面倒だったし)

お客さまに、ご迷惑とご心配をおかけしておりますことを、 心よりお詫び申し上げます。(とりあえず最後にもう一回謝っとくか)

▼詳細について
http://www.jal.co.jp/info/jmb/140203.html

JALマイレージバンク日本地区会員事務局

こんな感じだろ。

パスワードに利用できるのは0から9の10個の文字列のみってのがもうね。
4桁を6桁にしたところでそんなにセキュリティ的に向上したのかな?

Password Recovery Speedsを見るとブルートフォース攻撃受けた場合4桁を6桁にするよりも利用できる文字列を増やした方がよさそうな気がするよねぇ。(見なくても感覚的にわかるだろうがw)

JALマジであかんなぁ・・・
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2013年10月10日

「艦これ」のユーザ登録画面はなぜSSLをケチるのか? このエントリーをはてなブックマークに追加

遅ればせながら(遅れすぎ?)艦隊これくしょん〜艦これ〜をやってみることにして登録してみた。

しかし、ちょっと登録の画面で「むむ?」と思ったのでメモ。

登録後に送られてきたメールにあるURLをクリックするとプロフィール情報の登録画面が表示される。ここではニックネームと性別と生年月日と血液型を入力するようになっている。
kankore_1.png
この画面には
ご登録内容は、ベリサインのIDを用いて128bitの暗号化処理により安全に送信されます。
第三者にその情報が盗み見られる心配はありません。
デジタルIDの使用は同時に弊社が実際にウェブ上に存在し、サービスを提供している事を保証するものです。
と書かれているが、この画面自体がSSLではないようだ。うーむ。暗号化してるよと書かれているが全く暗号化されてねーよw
高木浩光@自宅の日記 - SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも, クレジットカード業界は最もWebセキュリテ..と書かれているように入力画面からSSLを使ってほしいものである。

まあ、次の画面からSSL接続するんだなーと思いきやどうも鍵マークが表示されない。確認画面では入力内容をデータベースに書かないのだろうが、そんなことはこの場合あまり関係ないだろう。SSL接続されてねーよ。
kankore_2.png

更に進み「登録を確定する」を押したが、最後までSSLの鍵マークを見ることはなかった。
kankore_3.png
何を保護したかったのだろう?
まあ、艦これやりながら考えるか。と思ったがサーバが全て満員・・・orz
泣いた。
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2013年10月02日

CICの加盟会員専用サイトのログインページがちょっと嫌な感じ このエントリーをはてなブックマークに追加

既報の通り、ソフトバンク、6万件以上の支払金を“滞納”と誤登録--原因は「人的ミス」 - CNET Japanってニュースがちょいと話題のようである。
で、自分が対象かどうか確認するのに「指定信用情報機関のCICってとこで確認できるよ」というポストが流れてきたのでちょいと見てみた。
情報開示とは|指定信用情報機関のCICを見てみると「インターネット開示(1000円)」「郵送開示(1000円)」「窓口開示(500円)」とか書かれていて「え?金取るの?」とちょっと驚いた。

まあ、多分対象になってないからどうでもいいなとおもったが、トップページの右側に「加盟会員専用サイト」ってリンクがあったので「何だろう?」と思いクリックしてみた。
すると、全く別のドメイン(http://www.cic.sharestage.com/UA001#)に移動した。何これ?
sharestage.comを調べてみたらどうもNTTのサービスのようであった。
「いきなり何の前触れもなくNTTのサービスのログイン画面が出てくるのは何?」と思ったが、まあ、加盟店の利用者に事前に説明してあるのであれば混乱しないのかもしれんな。
しかし、このログインページ、「https」通信ではなく「http」の通信ってのがちょっと嫌だな。
SSLをログイン情報入力画面から使用していない脆弱性のあるサイトを調べてみたでも記載したが、高木浩光@自宅の日記 - SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも, クレジットカード業界は最もWebセキュリテ..とかSSL is not about encryption fujieda/fujieda Wiki GitHubで語られているようにログインページにもSSL接続を利用してほしいところである。
取り扱う情報が信用情報でもあるので、改ざんされたサイトに誘導されてしまっては誠によろしくないと思われますな。

まあ、更に言えばログイン画面は一般生活者には見せなくてもいいんじゃないかと思ったりする。ログイン画面を利用する企業だけに開示するとか、利用企業の接続元からしかアクセスできないようにするとかしたほうがよいのかなーと思ったばい。

NTTさん、よろしくお願いいたします。
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2013年09月18日

第32回個人情報保護士認定試験答え合わせ このエントリーをはてなブックマークに追加

2013年の9月15日に開催された第32回個人情報保護士試験を意味もなく受けてみた。CISAと違って会社からの奨励金などはこの資格については出ないようだが、まあなんとなく受けてみた。試験勉強はCISA試験合格後に「何か関連する資格はないかねぇ」と書店を徘徊中に「個人情報保護士試験」というものがあることを知ってから勉強を始めたので学習期間は賞味1ヶ月強くらいで試験となってしまった。まあちょっと知識が覚束ない部分も多々あるが受験してみた。

個人情報保護士認定試験全日本情報学習振興協会という団体が開催している試験のようである。こういう団体があるのを知らなかったのだが、個人情報保護士試験は今回で32回目、最近では上級個人情報保護士という今回受験した更に上のクラスができたようである。

個人情報保護士認定試験[試験内容]を見るとPART1の個人情報保護の総論(200点)、PART2の個人情報保護の対策(300点)それぞれで80%以上を取らなければいけないようだ。試験問題は個人情報保護の総論が40問、個人情報保護の対策は60問なので80%ってことは総論で32問、対策で48問正解しなければ合格にならないっぽい。

9月18日現在、試験解答速報|資格の学校TAC[タック]で回答速報が出るのかなと思ったがまだどうやらでていないようだ。
2ちゃんねるなどの情報をいろいろ見てみたら、いろいろ書いてある。【情報流出】個人情報保護士 その3【第一被疑者】のスレッドを見ると現在の模範解答は2chの458さんの回答が正解に近いようである。

で、458さんの答えとあってるかどうか自己採点用に勝手に答え合わせのプログラムを作ってみた。
追記:解答速報でたね。
http://www.joho-security.jp/sns/32piip.pdf
プログラムの修正が必要かと思ったが、458さん満点じゃね?
なので特に変更はありません。

第32回個人情報保護士認定試験(勝手に)答え合わせ

「あなたの回答」の初期設定の回答は誰の回答か聞いてはいけませんよ。
TACや全日本情報学習振興協会で解答速報が出たら模範解答を書き換えてみるばい。
ちなみに上記のプログラムの結果はサーバに保存などしていないので安心して使ってね。

つか、これ「第32回個人情報保護士試験答え合わせ」としてだけ作ってみたけど33回以降にも使えるなw
いや、33回以降を受けることがないように祈りたいばい。

あと、プログラム作ってからこれならクライアントサイドのJavascriptとかでも十分作れそうな予感がしたがやっぱ面倒じゃの。

自己採点の結果、満点ではないけどなんとかPART1、PART2いずれも80%を超えてたのでとりあえずマークシートの記入ミスがなければ受かっているはずである。
つか、PART1がやはり難しかったな。自己採点では40問中35問しか正解できなかった。結構危ないところだった。
続きを読む
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2013年09月02日

「Hacked by Krad Xin」って具合にクラックされてしまったWordPressサイト このエントリーをはてなブックマークに追加

改ざんされたサイトの復旧方法について / 新着情報 / お知らせ - レンタルサーバーならロリポップ!にも書かれているがWordPressを対象にクラックが横行しておるようである。

今回の攻撃は攻撃されたら<title>Hacked by Krad Xin</title>とタイトルを変更するようである。更に<meta charset="UTF-7">などと指定されるため、大抵文字化けしてしまっているようである。
で、タイトルが「Hacked by Krad Xin」に書きかえられるってことはGoogle検索で「intitle:Hacked by Krad Xin」ってやればクラックされたサイトが出てくるんじゃね?と思い検索してみたらやっぱ出てきたばい。
  1. Hacked by Krad Xin | BD GREY HAT HACKERS
  2. Hacked by Krad Xin
  3. 亀山サンシャインパーク イベント情報 | Hacked by Krad Xin
  4. Hacked by Krad XinLink | Hacked by Krad Xin
  5. MBA友の会 | Hacked by Krad Xin
  6. Hacked by Krad Xin - CAFE & GALLERY ANTIGUA
  7. Hacked by Krad Xin
  8. 東近江市商工会 | Hacked by Krad Xin
  9. NPO法人 Class for Everyone
  10. ブルーパーク阿納
  11. Japan Flag Hunt Association OFFICIAL WEB SITE | Hacked by Krad Xin
  12. Hacked by Krad Xin
  13. Fire Spirits | Hacked by Krad Xin
  14. Katuo Guest House
  15. ぶどう狩りご予約フォーム | Hacked by Krad Xin
  16. Hacked by Krad Xin | syn(C)s
  17. 伊豆 河津今井浜のペンション オーベルジュ プチ・シャトー 【petit-chateau】 | Hacked by Krad Xin
探しているとキリがないくらい無数にやられとるのがわかるが、休眠しているサイトが多いと思ったがまだ現役で使ってるじゃんというサイトが結構ある。
なんで早く直さないのかなぁ?
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2013年08月08日

Google Chromeで保存したパスワードを表示する際のセキュリティ問題について このエントリーをはてなブックマークに追加

Google Chromeでchrome://settings/passwordsにアクセスすると、現在Google Chromeで保存したIDとパスワードの一覧が表示される。
ログインしたIDとパスワード(マスクされている)が表示される。
マスクされているパスワードは「表示」ボタンを押すと表示される。
という機能があったらしい。知らんかったばい。
しかし、ローカルのコンピュータを人に貸すようなことがあった場合はちょい問題あるな。
何しろchrome://settings/passwordsにアクセスしただけで登録しているパスワードを見られてしまうからねぇ。
できれば、アクセスした際、マスターパスワードのようなものがあって、それを入力しないと表示できないようにするって方法があればいいんだけどねぇ。

Googleさんは修正しないのかなぁ・・・

( via Chrome’s insane password security strategy ・ elliottkember )
続きを読む
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ