クロスサイトリクエストフォージェリで思い出す、あの事件

クロスサイトリクエストフォージェリと聞いても、
多くの方は、あまりピンとこないでしょう。

でも、あの事件は記憶に新しいと思います。

クロスサイトリクエストフォージェリで思い出す、
あの事件とは、
昨年、横浜市で起こった誤認逮捕事件で、
小学校の襲撃予告を「パソコン遠隔操作」
によって引き起こした事件を思い出します。

このときの各種報道では、
「パソコン遠隔操作」と「誤認逮捕」が大きく取り上げられていました。

しかし、
その背景には、
このクロスサイトリクエストフォージェリ
の脆弱性を利用して、
無関係の人のパソコンを遠隔操作、掲示板に書込をさせている、
という怖いセキュリティホールなのですよ。

クロスサイト リクエスト フォージェリ の危険性

クロスサイト リクエスト フォージェリ
(Cross site request forgeries、略記:CSRF、またはXSRF)は、
掲示板に意図しない書き込みがされ、また
オンラインショップで意図しない買い物をさせられるなどの、
乗っ取り被害が起こるリスクがあります。

4/15のIPA公表資料によると、

製品の開発者からの届出に基づく協議の結果、
危険性を認知してもらうため、本日公表されたということです。

該当する製品は、次の通り複数に渡ります。
•サイボウズ Office 9.2.3 およびそれ以前
•サイボウズ Office 8.1.5 およびそれ以前
•サイボウズ メールワイズ 5.0.3 およびそれ以前
•サイボウズ メールワイズ 4.0.5 およびそれ以前
•サイボウズ デヂエ 8.0.6 およびそれ以前

JPcert20130415
サイボウズ株式会社が提供しているこれらの複数の製品には、
クロスサイトリクエストフォージェリの脆弱性が判明しているので、
速やかに、最新版に更新するようにとのアナウンスです。

この弱点を悪用される場合、
当該製品にログインした状態、つまり、
それぞれのツールを使用しているときに、
何らかの悪意をもって細工された URL にアクセスすると、
ツールの管理画面にアクセスするためのパスワードや、
ユーザ認証のためのパスワードを盗み出されて、変更される可能性があります。

つまり、ハッキングされてしまいますよ、という警告です。

ハッキングされたこと ありますか?

このタイトルを見て、
びっくりされた方もいらっしゃることでしょう。

でも、
もう関係ないではすみません。

衝撃的な事実があります。

全世界の多くのサイトが、
すでに何らかのハッキングの被害にあっているのです。

 アンケートにお答えいただけますか。
 回答いただいた方に、
 ワードプレスのセキュリティ対策7カ条(PDF)
 をプレゼントしますね。

 アンケート「ハッキングされたこと ありますか?
 hackingvideo

 回答は、三択から選ぶだけの簡単なアンケートです。

 集計の結果は、後日、このサイトで公開しますね。

ハッキング対策eラーニング 概要編

あなたのワードプレスサイトのハッキング対策は、十分でしょうか。

この「ハッキング対策eラーニング」コースでは、
eラーニング教材を、

テーマごと、
対策ごと
に分けて、適切な個別対策を導くまで、アドバイスします。

映像は英語版ですが、
セキュリティ診断の専門家が、

 日本語解説レジュメ

をつけてお渡しします。

だから、
映像の英語は聞き流すだけで、
お手元のレジュメを見ながら、知識を高めることができますね。

「ハッキング対策eラーニング」コースのタイトル

■教材
ワードプレス利用者のセキュリティ対策(PDF版、または冊子印刷)

内容 ビデオの内容を、簡単に解説した内容です
この教材を読んで、実際に設定作業をする場合には、
ビデオタイトルを見ながら進めると効率的でしょう。

■ビデオタイトルと上映時間:

1.More Secure Manual Install [include steps] (より安全な手動でのインストール) 9分11秒
2.More Secure 1-Click Install (より安全な1クリックインストール) 5分42秒
3.Secure FTP (安全なFTP) 3分22秒
4.Secure WP-Config.php (安全な WP – Congig.php) 3分32秒
5.Secure Admin Username (安全なアドミンユーザー名) 2分38秒
6.Secure Webhosting (安全なウェブホスティング) 6分20秒
7.More Secure Passwords (より安全なパスワード) 2分20秒
8.Secure Database Prefix (安全なデーターベース接頭詞) 6分56秒
9.Secure Cleanup [include code] (安全なクリーンアップ) 6分40秒
10.Configure BWS Plugin (BWS プラグイン設定) 6分32秒
11.Prevent Brute Force Attacks (無差別攻撃を回避する) 5分40秒
12.Manual Backup-Break-Restore (手動でのバックアップとリストア) 6分15秒

■価格 特別紹介価格 3980円(税込)
申し込みは、次の販売ページの内容を確認いただき、
Paypalまたはクレジットカードでお支払いください。

このサイトを見て購入いただく方への特典として、
1)継続してセキュリティ強化につながる情報をお届けします。
  不要な場合は、いつでも解除できます。
2)教材内容の実践に不安な方へ、セキュリティ専門家が直接サポートします。
3)被害に遭遇した場合、直接、相談できます。
4)2013年4月に取り組んでいる、ブルートフォースアタックへの対処方法レポート
  (現在編集中なので、発行後に無料プレゼントします)

注意:PayPal決済後に教材ダウンロードURLとパスワードを掲載したページの情報を、
登録いただいたメールアドレスにお知らせします。

もし、24時間以内に、何らかの理由でメールが届かない場合、
サポートセンターへダウンロード情報をお問い合わせください。

スマホミクス祭、「祭り」と聞いて感じることは(アンケートに答えて豪華景品ゲット)

スマホミクス祭、「祭り」と聞いて、
何を連想しますか。どのように感じますか?

ヤバイ!バブリー!キテます!!スマホ祭りだ!

豪華すぎる出演者とスマホのツールが貰える

スマホアフィリ史上最初で最大の祭!

スマホバブルに乗り遅れないように、今すぐチェックしよう!

  ⇒【スマホミクス祭】の詳細を確認する

※詳しくは、下部をご覧ください。

スマホミクス祭を記念したアンケートや
100万円相当の豪華賞品(ウソ)争奪戦のお知らせです。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━
★☆★☆スマホミクス記念、意識調査アンケート☆★☆★

  以下の【1】【2】【3】の手順に従うだけ、

  抽選で10名に豪華すぎるプレゼント!(^ー^)v

  ※アンケートには

でお答えください。

 締め切り第一期 4/8(月)まで。
     第二期 未定

━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【1】アンケートにお答えください。

Q.スマホミクス祭、「祭り」と聞いて感じることは?

 A.
  ・1.サブちゃんわっしょい!
  ・2.熱気があってバブリー!
  ・3.浴衣でデート

【2】【最後に!もうひとつ、あなたの夢お聞かせください。】
**************************************************

Q.もしもスマホアフィリで、100万円手に入れることができたら
 どんなことに使いたいですか?

━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【3】このページのコメント欄に

  【1】の質問に対し 三択で、
  【2】の質問に対しては、自由に

  お答えください。

抽選で、10名に100万円!?メモ帳(^ー^)v プレゼント!!
ふるってお答えくださいね!

当選の発表は、メルマガにて!

結果は、貴重な資料として、スマホミクスでも参考に
させていただきます!

ということで、
セミナーに参加申し込みすると、
・スマホサイトを作成するツールがもらえる
・スマホの活用事例を紹介してもらえる
・スマホを活用したアフィリエイト(商品紹介)の手法を教えてもらえる

というイベントが開催されます。

日限も迫っていて、参加できる人数も限られています。
(1週間前という、直前に公開されたのも、狙いがあるのでしょう)

関心をお持ちの方は、参加費1980円という低価格なので、ツールをもらう目的で
申し込んでもいいのではないでしょうか。
遠隔地で、東京渋谷まで参加できない場合には、収録音声をもらえるようです。
  ⇒【スマホミクス祭】の詳細を確認する

いよいよセキュリティ対策も、
スマホ対策を本格的に準備するタイミングが来ているようです。

現代のネット破りは、証拠を残さない腕比べ

大規模なサービスは、
狙う価値が高いのです。

国際的にサービスを提供しているようなブランド、
Google、Yahoo、Facebook、Twitterなど
近年成長が著しい企業は常に標的とされています。

軍事関連の企業でなくても、
皆が知っているような国際的に有名なハイテク企業のブランドは、
攻撃されやすいのです。

何故かって?

腕ためしです。

日本でも、
平和な江戸時代に
道場破り、
という形の腕比べがありました。

武士ですので、名乗りを上げて、
試合を申し込みするわけですが、
現代のネット破りは、名を名乗りません。

本格的に成功しても、
犯行声明は出さないでしょう。

証拠を残すと、探知されます。
探知され逮捕されるともう遊べないので、証拠を残さないのです。
リンク: Yahoo!のサーバーに不正アクセス – 情報流出は確認されず – 速報:@niftyニュース.

韓国の大規模コンピューターネットワーク障害

20日に発生した韓国の放送局や金融機関の
大規模なコンピューターネットワーク障害について、
中国が管理するIPアドレスから攻撃が仕掛けられていたとの情報があり、
北朝鮮の関与が濃厚になったようです。

中国は今回の攻撃への関与を全面否定する、
一方で北朝鮮にはIPアドレスそのものが配分されていないことから、
中国むけに割り当てられた一部が北朝鮮に再配布されており、
そのIPアドレスが利用された可能性が高い、
ということからも推定できるわけです。

これらのやり取りは、
国際的なインターネット通信経路を分析して、
事実関係が明らかになっていくことですので、
最終報告が公開されるまでは、
憶測に過ぎません。

しかしながら、
これまでの公開情報を元に
自衛する、自衛対策を計画するとすれば、
すでに、サイバー戦争が開始されている、
と考えて、重要インフラを運用する組織や
有名企業であるほど、対策しておく必要がありそうです。

現に、
北朝鮮では、休戦協定の効力を破棄したと言っているわけです。

現在の交戦の場は、従来の
・地上
・海上
・空中
・宇宙
からさらに広がり、
・サイバー空間
が攻撃の場として本格登場したといえるようです。

“指紋認証”を偽装する事件

“指紋認証”をシリコンで偽装すればどうなるか、

冗談では何度か話をしていましたが、

ブラジルで、偽装事件が発覚したようです。

 ⇒ 本当にあった”指紋認証”偽装事件

ただし、指紋偽装そのものは、

指紋認証技術が開発された当初から想定されていた内容です。

だから、よりセキュリティレベルの高い水準を必要とする場面では、

静脈認証技術を使うのですが、

費用との関連で、投資を削減したのか、

認証の用途が勤務管理用ですので、

簡単な認証だけでいいという判断をしていたのでしょう。

IPA標語 ウイルスの ゴールをゆるすな たよれるキーパー セキュリティ

長い休暇あけに、不具合はありませんでしたか。
今年も、狙われていますよ。安心してはいけません。

■ IPA(独立行政法人情報処理推進機構)技術本部セキュリティセンターの
  「今月の呼びかけ」は、

 「 ウイルスの ゴールをゆるすな たよれるキーパー セキュリティ(※)」

(※)第8回IPA情報セキュリティ標語・ポスター・4コマ漫画コンクール 標語部門
    最優秀賞  酒井 七星さん(兵庫県 伊丹市立南小学校)の作品

   出所 URL:http://www.ipa.go.jp/security/txt/2013/01outline.html

なんと、これ小学生の作品なんですね。
最近は、小学校のホームページ作成コンテストも開催されているようです。

授業でも学び、クラブ活動で学ぶ、そんな世代がどんどん新しい時代を作っていく、
世界の中の個人として、まさに革新の時代を生きているわけです。

セキュリティ感覚や自己防衛を、早い時期から学ぶことは素晴らしいことですね。
============================================================================

 昨年、2012年は、ウイルス感染により窃取被害に発展するという事件が

 多く発生しました。

 しかも、一定期間、その事件が起きていることが分からず、
 後日発見されるというパターンです。

 搾取されたものは、個人情報や預金口座の金銭です。
 残高の多い人は、それだけリスクも高いということです。

 インターネットを使って殺人予告などの遠隔投稿の事件は、最近、
 新たな展開を見せているようですね。

 サスペンスドラマよりも面白いのではないでしょうか。

 誤認逮捕よりも、真犯人を特定、逮捕。そしてその全容の解明が急がれます。

 はやく捕まらないと、
 同じような手口で、第二、第三の事件が起きても困りますね。

 誰でも感染により加害者にされてしまうような事件は、困ったものです。

 先のIPAでは、2012年に発生したウイルスや不正アプリが引き起こした主な事案を
 示しています。

 ・ウイルスが表示する偽の警告が原因で偽セキュリティソフトを購入してしまった
  (2月)
 ・Android搭載スマートフォンの電話帳情報が窃取されてしまった(4月、8月)
 ・パソコンを遠隔操作されて知らないうちに事件に巻き込まれてしまった(10月)
 ・インターネットバンキングの口座から現金が窃取されてしまった(11月)

 詳細については、IPAの下記サイトに紹介されています。

  URL:http://www.ipa.go.jp/security/txt/2013/01outline.html

【楽天市場】注文内容ご確認(自動配信メール)にご注意!

【楽天市場】注文内容ご確認(自動配信メール)

というタイトルの詐欺メールを捕獲しました。

見ると、

【楽天市場~gakuten-ichiba~】から重要なお知らせ
———————————————————————
本メールはお客様のご注文情報が楽天市場のサーバに到達した時点で送信
される、自動配信メールです。ショップからの確認の連絡、または商品の発送
をもって売買契約成立となります。
———————————————————————

──────────────【PR】───────────────
   ◇◆12月1日(日)00:00から12月31日(月)26:00まで◆◇
       ★1ヵ月限定!楽天スーパーSALE開催中★

これだけ見て、偽装の根拠にいくつ気づきますか。

1.詐欺メールは、ラクテン ではなく、
  gakuten-ichiba と表示されています。

2.PR文の日付、12月1日(日)は日曜ではありません。
  これは、よく間違う場合があります。
  また、00:00 との表示、26時と表示する場合にも、
  ちょっと違和感を感じるかどうか。
  慣れている人ほど、危ない。

3.表示されているURLは、楽天のショップのものではありません。

など、一見して不審なメールですが、
本文そのものは、ごく普通に利用されるものです。

標的型メールのパターンと似ていますね。

実にタイムリーな楽天市場を偽装した詐欺メールです。

クリスマスから年末、年始にかけて、
多くの方が、ネットショッピングを利用するでしょう。

そして、【楽天市場】は、誰でもが知っているほどの有名なショップです。

実際に注文した経験のある方も多いでしょう。

そこで、先に紹介したような受注確認メールを受信している方も多いと思われますので、
経験者であればある程、メールの内容を確認するでしょう。

そして、中に隠されたURLをクリックすると、

 悪意のあるサイト
 ウイルス感染させるサイト
 不正行為を働くサイト

へと誘導されてしまいます。

【楽天市場】を利用している方、ご用心ください。

このような詐欺行為を働く人は誰か、
当サイトでもチェックしてみました。

Whois 検索による詐欺メールの配信者

Whois 検索してみると、
この詐欺メールの配信者は、埼玉県深谷市に住む人と
登録されています。

取得されたドメインは、例によって
大手レジストラ の お名前.com のようです。

先日も、迷惑メールの配信を止めるよう相談しましたが、
実際に使用しているサーバーは、GMOグループのものではないようで、
サービス提供会社の管理権限にも限界があるようでした。

ドメインそのものを利用停止する行政処分や、
発見者が通報することで、
サイバーポリスなどの監督機関によるによる監視が必要でしょうか。

セキュリティ、ウイルス対策で自衛する方法