エフセキュアブログ

by:高間 剛典

パスワードメモのソルティング

  パスワードはポストイットに書こう と言われて面食らっている人も多いかもしれません。何しろ伝統的に「パスワードをポストイットに書いて貼っておく」というのはセキュリティをダメにする悪習慣の代表例のように言われて来たからです。しかし、このポストの中で解説されているのは「ソルティング (Salting)」と云われる、あるデータの文字列の中にそれとは関係のない文字列を加えることで、解読を難しくする手法の簡易版です。

  現実的に、ネットショップやオークションやブログやSNSやYouTubeや写真共有サイトなどで仕事以外にIDとパスワードを求められる場面が急増している現在では、違うパスワードをサイトごとに使うのは覚えることが不可能になり、何かにメモしない限り同じパスワードを多数のサイトで使ってしまう状況に陥ります。

  さらに良くないことに、最近は!@#$%^&*などの記号をパスワードに使えない場合が増えている上に、長さも8文字に制限しているサイトすらあります。一種類の8文字の英数字だけのパスワードを各種のサイトで使い回した場合、どこか一カ所ででもパスワード盗難に遭えば使っているすべてのサイトのアカウントが危険に晒されるのは明らかです。

  企業などでの利用場面でなら、USBキーを使った認証やSecurIDなどの同期型時限パスワード発行ガジェットや、長いパスワードにしてPDAに保存して持ち歩く方法など、いろいろな作戦が考えられてきましたが、一般の個人が利用するためにはどうにも複雑過ぎます。

  実際には、紙に書いたパスワードに対して使われるはずの、人間の頭の中にあるパスワードクラッカーはあまり高性能ではありません。ですから、もし現実的に考えるならこのポストのように「安全にパスワードをメモする方法」を考えるのは妥当な提案と言えます。
(とはいえ、私なら3文字と言わず、もっとたくさんのソルティングを加えることをお薦めしたいところです)

MacOSXセキュリティアップデートから抜け落ちたJava脆弱性対策

  Mac ProtectionポストでF-SecureのMacOS対応ベータ版が発表された矢先、先週のMacOSXセキュリティアップデートに含まれずにいた問題が発見された模様です。

  Threat Postによると、これはJavaの脆弱性で、今年始めに開催されたカナダのセキュリティコンファレンス「CanSecWest」で発表されていたものですが、先週のOSXアップデートでも未だに修正されずに残っていたのです。Javaそのものの脆弱性ということで、MacOS X, Windows, Linux, OpenBSDで動くFirefox, IE6, IE7, IE8, Safariの上で同じエクスプロイットを走らせることが可能になってしまうという、広範囲に及ぶ問題でした。

  Macが人気機種となり始めるにつれて、MacOSを狙うエクスプロイットが作られるようになるのは予想されていたことでした。安全な環境を保つためには、セキュリティ対応も同時にスピードアップして行く必要があるでしょう。

サイバー犯罪対策コンファレンスが今日からスペインで開催

  Darkmarket.wsはどんなサイトだったか? ではオンライン犯罪者の捜査の様子が解説されていましたが、マルウェアとフィッシング対策を目的とするAnti Phishing Working Group (APWG)が主催する国際コンファレンス「CeCOS III」が今日5月12日から3日間、スペインのバルセロナで開催されています。昨年のCeCOSは東京で開催されたので、日本のセキュリティ関係者で行かれた方もいると思います。
http://www.antiphishing.org/events/2009_opSummit.html

  今日は、4月に話題となったConfickerについてのSRI Internationalからの発表があった模様です。
  Twitterでのアップデートは@APWG か#CeCOSでサーチしてみると、随時いろいろ見つかると思います。

セキュリティ・クエスチョンの問題点

  「Facebookセキュリティ・クエスチョン」では、ソーシャルネットワークでユーザーがパスワードを忘れた場合にシステム側が訊ねるプリセットの質問の問題について書いていましたが、この中でFacebookが用意している質問のカテゴリーには、もし盗まれるとオンラインバンキングなどでも重大な問題になりうるものがあります。

  例としては「What is your mother's maiden name?」は母親の旧姓、「What is your mother's birthday?」 は母親の誕生日を聞いていますが、これらは金融機関などでも本人確認のために訊ねることがよくある項目です。

  このFacebookの例はサイト設計の時点での思慮不足といえますが、ユーザーとしてもソーシャルネットワークや様々なソーシャルメディアを利用する場合には、自分の家族親族友人に紐付けされ易い情報は自衛的に避ける方が安全と言えるでしょう。

豚インフルエンザSEOに騙されないためには...

  メキシコに端を発する豚インフルエンザ感染の世界的な飛び火のニュースが不安を煽る中では、「豚インフルエンザSEO」のポストにあるような、様々な手口を使う便乗商法やマルウェアサイトへの誘導も起きると推測されます。
  それらに騙されないための対策は、なんといっても正しい情報を受け取ることでしょう。いくつかの信頼できうる情報源を挙げておきます。

  まずはGoogleMapsを使った H1N1 Swine Flu マップ。色分けは「黄=陰性、ピンク=疑い、紫=確定、黒丸=死亡者なし」となっています。

  アメリカのヘルス・サーベイランスのベンチャー企業Veratectが、Twitterで世界中で刻々と変化する情報を提供しています。@veratect をフォローすれば随時最新状況がわかります。

  Wikipediaの
「2009 swine flu outbreak」ページも随時アップデートされています。
http://en.wikipedia.org/wiki/Mexican_flu

  WHO (世界保険機関)の「
Disease Outbreak News」ページも役に立ちます。
http://www.who.int/csr/don/en/

ハッキングで有名になった人物を雇う軽卒な会社

Twitterワームの作者といわれるMichael Moonyを、事件後に雇用したといわれるexpSoft Solutions LLC (http://exqsoft.com/)に対して一部で批判が起きていますね。
http://blogs.zdnet.com/security/?p=3170

このようにハッキングで有名になった人物を雇うことで会社の知名度を上げようとする行為は、求職活動のためのハッキングが効果を持つことのコンセプトの証明(Proof of Concept)になってしまうからです。企業として、あまりにも軽卒というべきでしょう。

Twitterワーム、日本でも影響多数

  Twitterワーム、日本でも13日の月曜にはMikeyyに引っかかったという話題がTwitter近隣ユーザーからかなりありました。修復のために多数の人が以下のポストを参考にしていたようです。
http://andrew.hedges.name/blog/2009/04/12/dude-mikeyy-cant-even-spell-his-own-name

  ここのポストとコメントを合わせると、JavaScriptをオフにして、ブラウザーのクッキー、キャッシュなどを消去してからブラウザーを再立ち上げして、それから自分のパスワード再設定作業にかかるのが良いようです。

  が、知人からはそれでもうまく行かなかったという話題も聞こえてきました。これは、けっきょくiPhoneのクライアントTwitterFonからリセットができたようです。最近はTwhirlやTweetDeckやNambuなどの専用Twitterクライアントが出て来ているので、それらではまた様子が違う可能性があります。

xls ファイルの地図を見ていて

 ミッコの投稿へのコメント(英語)がにぎわっていますが、このxlsファイルにある地図の場所は熊本県だったようです。

 それよりも気になるのは、熊本大学と、熊本大学医学部と、付属病院がカバーされていることで、このファイルが送られたターゲットは誰か気になるところ。

  また熊本大学の他の関係者もターゲッ トにされていないかどうか、調査が必要ではないでしょうか。

Conficker騒動の陰でDNSサービスへのDDoSアタックも発生

 4月1日は、Confickerの話題がマスメディアを席巻していた陰で、いくつかの 大手DNSサービスがDDoSの被害にあっていたようです。

 DDoS攻撃を受けたのは Register.comUltraDNS.com ですが、UltraDNS はAmazon のクラウドサービスや SalesForce.com、IMDB.com などが利用している高可用性が売りのサービス。

 詳細についてはほとんど報道されていませんが、このようなDNSサービスを落とすほどのDDoSというと、かなりのボリュームのものと想像されます。

 今のところConfickerワームとこれらのDDoS攻撃との直接の関連は報道されて いません。

 しかしここで、やや別な見方をすると、Conficker の能力の一つは、すぐに特定の話題一色になってしまうマスメディア報道の特質を狙うマスなソーシャルエンジニアリングとも言えるのかもしれません。

Conficker 感染診断Webサイト

 ミッコ・ヒッポネンのTwitter投稿によると、ジョー・スチュアートの作ったこのページでConfickerに感染しているか調べられるそうです。

 Conficker Eye Chart
 http://www.joestewart.org/cfeyechart.html

 これは、Confickerが主要な100あまりのセキュリティサイトへのアクセスをブロックすることを利用して、F-Secure、SecureWorks、TrendMicro各社のサイトからのロゴが出るかどうかで感染を判別するものですね。

Twitterにも

Twitterにも@ConfickerVirusというボットらしきものが登場、 「Conficker」という言葉を使ったユーザーを自動的にフォローしていたようです。

私のフォロワーにも入ってきました。

しかし半日以内にアカウント停止になっていました。
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード