年末、いろいろあって12/30まで出社する羽目になりましたが、ようやく落ち着きました。
いや、年明けにまた何かあるかも知れませんが、できればご容赦いただきたく。(;´д`)
セキュリティについて勉強がてら備忘録的に使えたらとblogを始めましたが、特に今年の10月からやたらと忙しくなって、殆ど記事が書けない状態になってしまいました。
来年こそはせめて月1で更新していければと思いますので、どうぞ宜しくお願い致します。
しかしまあ、今年もいろいろありましたね~。
個人的に特に衝撃的だったのは、ゲス極の不倫騒動...ではなく、Miraiの事件でしょうか。
監視カメラのファームの不具合(というか、パスワードをファームに埋め込むなや!)を突いて感染を広げ、すさまじい規模のDDoSを成功させ、さらにそのソースコードを公開するという。。。
侵入や乗っ取りのことなんて意識されてこなかったこの手の機器に、その脅威があることをまざまざと見せつけた事件でした。
今も、怪しげなトラフィック(6789/tcp、23231/tcp)が飛び交っているらしく、警察庁のインターネット定点監視にも引っかかっているらしいです。
インターネットに繋げる機器は、パソコンであれ冷蔵庫であれ洗濯機であれ電子レンジであれ、細心の注意を求められることを、ゆめゆめ忘れてはなりませんね。
ともあれ、振り返ってみれば色々あった今年も後僅か。
皆様良いお年を!
土曜日, 12月 31, 2016
水曜日, 12月 14, 2016
Explorerからコマンドプロンプト(知らなかった!)
大変ご無沙汰しております。
何というか、仕事が忙しくて、blogを更新する気力が...。
今、2日間コースの研修を受けに東京駅のほうに行ってるのですが、そこで学んだこと第1位。
Explorerで右ペインの白いところ(クリックしてもファイルが選択できない場所)で、Shiftキーを押しながら右クリックすると、表示されるコンテキストメニューに「コマンドウィンドウをここで開く」という選択肢が現れます。
Windows7や8.1や10で確認しました。
てか、今日までこの技、知らなかった!(;゚▽゚)
ひょっとして、常識?誰でも知ってる技?
久々にWindowsで新たな発見をした瞬間でした。\(^o^)/
何というか、仕事が忙しくて、blogを更新する気力が...。
今、2日間コースの研修を受けに東京駅のほうに行ってるのですが、そこで学んだこと第1位。
Explorerで右ペインの白いところ(クリックしてもファイルが選択できない場所)で、Shiftキーを押しながら右クリックすると、表示されるコンテキストメニューに「コマンドウィンドウをここで開く」という選択肢が現れます。
Windows7や8.1や10で確認しました。
てか、今日までこの技、知らなかった!(;゚▽゚)
ひょっとして、常識?誰でも知ってる技?
久々にWindowsで新たな発見をした瞬間でした。\(^o^)/
土曜日, 11月 12, 2016
セキュリティの電子書籍
セキュリティに関しては、いろいろ電子書籍が出ているのですが、この間会社の後輩に教えてもらったよさげな奴があります。
AntiVirus Hacker's Handbook(英語)
アンチウイルスって何?から始まり、アンチウイルスの検知を逃れる方法や、攻撃手法などなど、マルウェアを扱うなら勉強しておけというものらしく...。
知らんかった!(;゚▽゚)←もぐり
どこか心優しい人が日本語訳してくれるのを祈りつつ、頑張って英語で読もうと思う今日この頃でした。
AntiVirus Hacker's Handbook(英語)
アンチウイルスって何?から始まり、アンチウイルスの検知を逃れる方法や、攻撃手法などなど、マルウェアを扱うなら勉強しておけというものらしく...。
知らんかった!(;゚▽゚)←もぐり
どこか心優しい人が日本語訳してくれるのを祈りつつ、頑張って英語で読もうと思う今日この頃でした。
日曜日, 11月 06, 2016
IoTデバイスの定義って...
つい最近の話ですが、巷で、IoTデバイスに感染するマルウェア「Mirai」のことが取り沙汰されていました。
中華製のネットワークカメラ部品をOEMで使っていたデジタル監視カメラ(DVR)などが相当数(Miraiの作者によると30万台位)感染した、という話です。
なんでも、この部品の古いファームウェアではburned-in(プログラムの中に静的に書き込まれちゃってた。普通禁じ手。)された管理アカウントがあって、それを突かれて不正ログインされちゃって感染した、ということらしいです。
※ファーム自体は2015年の9月ごろには改善されたものが頒布されたそうですが。ま~、ファームウェアなんか更新しないよね、この手の機械では...。
まあ、これだけなら、いつも通りの中華バッシングで終わりなのですが、この「Mirai」の感染ノードのBOTNETから米国の大手DNSサービスのDyn社に対して1Tbit以上のDDoS攻撃が発生し、twitterやRedditなどの有名サービスへアクセス出来なくなったという事件が発生して騒ぎになった次第です。
IoTデバイスに感染するマルウェアは他にもBashlightなるものもあって、こちらも100万台感染しているといわれているらしく...。
まあ、この辺の話は、wikipediaにも詳しく書かれているようなので、興味があればご一読ください。
ここで問題にしたいのは、そもそも「IoTデバイス」って何ぞや?ということです。
広義には、「Internet of Things(物のインターネット)」だから、単にインターネットに接続されるすべてのネットワークノード、ということになるのでしょうか?
個人的には、「既存の情報機器(サーバやPCやルータなどのネットワーク機器)を除く、近年の情報化によって新しくインターネットに接続されたもの」、というイメージがしっくりくると思っているのですが、ネットワークカメラなんて、それこそ私が会社に入社した10年以上前にも普通にありましたし、この定義では合わないですよね。
いわゆる情報機器以外のインターネットに接続される機器、ということなのでしょうか。う~む。
周りの人に意見を聞いても、人によって定義が曖昧な気がします。
いや、ちゃんと勉強してないだけで、きちんとした定義があるのかもですけど。
今回の事件の課題から、論点がズレているのかも知れませんけど、IoTというバズワードがよく分からなくなった今日この頃でした。(;´д`)
中華製のネットワークカメラ部品をOEMで使っていたデジタル監視カメラ(DVR)などが相当数(Miraiの作者によると30万台位)感染した、という話です。
なんでも、この部品の古いファームウェアではburned-in(プログラムの中に静的に書き込まれちゃってた。普通禁じ手。)された管理アカウントがあって、それを突かれて不正ログインされちゃって感染した、ということらしいです。
※ファーム自体は2015年の9月ごろには改善されたものが頒布されたそうですが。ま~、ファームウェアなんか更新しないよね、この手の機械では...。
まあ、これだけなら、いつも通りの中華バッシングで終わりなのですが、この「Mirai」の感染ノードのBOTNETから米国の大手DNSサービスのDyn社に対して1Tbit以上のDDoS攻撃が発生し、twitterやRedditなどの有名サービスへアクセス出来なくなったという事件が発生して騒ぎになった次第です。
IoTデバイスに感染するマルウェアは他にもBashlightなるものもあって、こちらも100万台感染しているといわれているらしく...。
まあ、この辺の話は、wikipediaにも詳しく書かれているようなので、興味があればご一読ください。
ここで問題にしたいのは、そもそも「IoTデバイス」って何ぞや?ということです。
広義には、「Internet of Things(物のインターネット)」だから、単にインターネットに接続されるすべてのネットワークノード、ということになるのでしょうか?
個人的には、「既存の情報機器(サーバやPCやルータなどのネットワーク機器)を除く、近年の情報化によって新しくインターネットに接続されたもの」、というイメージがしっくりくると思っているのですが、ネットワークカメラなんて、それこそ私が会社に入社した10年以上前にも普通にありましたし、この定義では合わないですよね。
いわゆる情報機器以外のインターネットに接続される機器、ということなのでしょうか。う~む。
周りの人に意見を聞いても、人によって定義が曖昧な気がします。
いや、ちゃんと勉強してないだけで、きちんとした定義があるのかもですけど。
今回の事件の課題から、論点がズレているのかも知れませんけど、IoTというバズワードがよく分からなくなった今日この頃でした。(;´д`)
金曜日, 9月 16, 2016
うどん県最終奥義
とりあえず、これを見てください。
もうね、子供を泣き止ませるって、特に新生児期のワカラン泣きの時には大変です。
世のお母さま方は、本当に苦労されているのが現実でしょう。
本気泣きに入ると、お父さんの出番はありません。ガチで。(;´д`)
しかし、このような技が...!
これなら、お父さんも活躍できます...!
どん兵衛あたりで試してみようかしら...。
まぁ、うちの子も、1歳を過ぎて、こういうワカラン泣きはしなくなりましたけどね。
※その代わり、イヤイヤ期的な不満泣きが出てきたけど。( ̄▽ ̄;)
ともかく、もっと早く教えてよ!というネタでした。
ちなみにアメリカ製のこういう技もあります。
こちらはうどんを作らなくていい分経済的ですが、首が座ってない2か月前後だと(それ用の技ではありますが)かなりの慎重さが求められますね
もうね、子供を泣き止ませるって、特に新生児期のワカラン泣きの時には大変です。
世のお母さま方は、本当に苦労されているのが現実でしょう。
本気泣きに入ると、お父さんの出番はありません。ガチで。(;´д`)
しかし、このような技が...!
これなら、お父さんも活躍できます...!
どん兵衛あたりで試してみようかしら...。
まぁ、うちの子も、1歳を過ぎて、こういうワカラン泣きはしなくなりましたけどね。
※その代わり、イヤイヤ期的な不満泣きが出てきたけど。( ̄▽ ̄;)
ともかく、もっと早く教えてよ!というネタでした。
ちなみにアメリカ製のこういう技もあります。
こちらはうどんを作らなくていい分経済的ですが、首が座ってない2か月前後だと(それ用の技ではありますが)かなりの慎重さが求められますね
火曜日, 9月 13, 2016
ばらまき型のスパムが来たのでちょっと分析してみた。
最近、スクウェア・エニックスを名乗るメールで、「不審なアクセスを検知したため、ログインが制限されました」などと来ることがあります。
※実のところ、過去に登録していたアカウントはすべて削除したので、初めからウソってのは分かってるのですけどね。
私が使っているメーラーは、htmlメールを強制的にテキストメールに変換してしまうので、URL偽装がうまく働かず、パッと見た目、何が悪いのかわからないほど。(^^;
しかし、よくよくヘッダや、偽装先URLを見ると怪しいことに気づけます。
今回は、このスパムメールを少し分析してみることにしましょう。
パッと見た目の本文は以下の通りです。
ちなみに添付ファイルはありませんでした。
From:"autoinfo_jp" <autoinfo_jp@account.square-enix.com>
To:私のメールアドレス
Subject:[スクウェア・エニックス アカウント]のお知らせ
こんにちは、メンバーズ事務局です。
お客様がログインされたスクウェア・エニックス アカウントの接続環境が変化した、
もしくは不審なアクセスを検知したため、ログインが制限されました。
ログイン制限を解除するには、以下の手順に沿ってセキュリティ対策とパスワード
再検証を行ってください。
スクウェア・エニックス アカウントの検証を完了するためには、下記のURLを
クリックしてください。
https://secure.square-enix.com/account/app/svc/Login?cont=account
※上記URLをクリックしてもページが開かないときはURLをコピーし、
ご利用のウェブブラウザーのアドレス入力欄に貼り付けてお試しください。
※上記URLは、送信より24時間経過すると無効になりますので、
有効期間内にURLをクリックしてメールアドレスの登録を完了させてください。
※本メールの著作権は株式会社スクウェア・エニックスに帰属します。
※記事内容の無断転載、加工、配布、再出版を禁じます。
※このメールは自動で送信しています。このメールに対し、ご返信いただきましても回答できません。
発行元:株式会社 スクウェア・エニックス
© 2012-2016 ARMOR PROJECT/BIRD STUDIO/SQUARE ENIX All Rights Reserved.
この時点で、やたらと空行が目立ってて(たぶん、テキスト化の弊害もあるけど)、おやおや?と思うところでしょうか。
次に、途中にあるURL、これ自体は本物です。
しかし、htmlのソースコードを見てみると、実際には以下のURLにリンクされていました。
hxxp://support.na.square-enix.com.sxrp-ouory.usa.cc/account/app/svc/login.html
※間違って開かないように、一部加工してます。
このURL、表示しているものと全然違います。
これが世にいうURL偽装ですね。
※このドメインをgred.jpで調べてみると、ドイツの Falkensteinなる都市にあるサーバなんだそうです。
こういうときに、URLをチェックするサイトはいくつかあります。
鵜呑みにはできませんが参考にはなります。
・gred.jp
・WebPulse サイト再評価リクエスト(泣く子も黙るBlueCoatのサイトです)
・Trendmicro Site Safety Center
・VirusTotal
今回はBlueCoatが「疑わしいサイト」、VirusTotalの結果は10個のウイルス対策が悪意のあるサイト、あるいはフィッシングサイトと返しており、とりあえずこれだけでも、黒っぽいサイトであると考えてよろしいかと思います。
次にRecievedヘッダを見てみましょう。
(前略)
Received: from pps.filterd (scpa213.cm2.dti.ne.jp [127.0.0.1])
by scpa213.cm2.dti.ne.jp (8.15.0.59/8.15.0.59)
with SMTP id u7S1CXTo018576 for <私のメールアドレス>;
Sun, 28 Aug 2016 10:15:01 +0900
Received: from iql.org ([42.59.121.141])
by scpa213.cm2.dti.ne.jp
with ESMTP id 252rg87xgs-1 for <私のメールアドレス>;
Sun, 28 Aug 2016 10:15:00 +0900
Message-ID: <422ABE3ABD48E5DB110ADB0DEF1AEB41@iql.org>
From: "autoinfo_jp" <autoinfo_jp@account.square-enix.com>
To:<私のメールアドレス>
これで見ると、一番最初の送信元がiql.orgという、スクエニとは全く関係なさそうなドメインから発信されていました。
IPアドレスが載っているので、spamhausに照会すると、ブラックリストのXBLに登録されており、その理由がCBLに入っているからでした。
CBLに入るということは、過去にspamを送って、その中にマルウェアが入っていたことがあるということです。
要は、spamの踏み台になっているか、むしろそれ専用のサーバなのかというところでしょうか。
ついで、Return-Pathも見てみましょう。
Return-Path: <ymwuv@iql.org>
そもそもFromとドメインも違うし、明らかにランダム生成されたアドレスだし...ということで、これも信用するに足りません。
そんなわけで、このメールは(1)疑わしいアドレスへのURL偽装があり、(2)添付ファイルがないことから、真っ黒なフィッシングメールである。
と結論付けることができそうです。
※本当は、その画面を見るのが一番確定診断が出しやすい(たぶん、それっぽい入力画面があると思います)のですが、残念ながら(?)テークダウンされているらしく、aguseで確認してみましたが、画面は表示されずでした。
ついつい、メール本文だけに目が行きがちですが、コピペすれば海外の人でもどうにかなることがあります。
やはり、ヘッダやリンクを確認すること、そもそもhtmlメールは強制的にテキストに変換するメーラーを用いることなどが大事ですね。
お金をかけずに、しょーもないフィッシングやランサムウェアを回避する一つの方策になるかと思います。
※実のところ、過去に登録していたアカウントはすべて削除したので、初めからウソってのは分かってるのですけどね。
私が使っているメーラーは、htmlメールを強制的にテキストメールに変換してしまうので、URL偽装がうまく働かず、パッと見た目、何が悪いのかわからないほど。(^^;
しかし、よくよくヘッダや、偽装先URLを見ると怪しいことに気づけます。
今回は、このスパムメールを少し分析してみることにしましょう。
パッと見た目の本文は以下の通りです。
ちなみに添付ファイルはありませんでした。
From:"autoinfo_jp" <autoinfo_jp@account.square-enix.com>
To:私のメールアドレス
Subject:[スクウェア・エニックス アカウント]のお知らせ
こんにちは、メンバーズ事務局です。
お客様がログインされたスクウェア・エニックス アカウントの接続環境が変化した、
もしくは不審なアクセスを検知したため、ログインが制限されました。
ログイン制限を解除するには、以下の手順に沿ってセキュリティ対策とパスワード
再検証を行ってください。
スクウェア・エニックス アカウントの検証を完了するためには、下記のURLを
クリックしてください。
https://secure.square-enix.com/account/app/svc/Login?cont=account
※上記URLをクリックしてもページが開かないときはURLをコピーし、
ご利用のウェブブラウザーのアドレス入力欄に貼り付けてお試しください。
※上記URLは、送信より24時間経過すると無効になりますので、
有効期間内にURLをクリックしてメールアドレスの登録を完了させてください。
※本メールの著作権は株式会社スクウェア・エニックスに帰属します。
※記事内容の無断転載、加工、配布、再出版を禁じます。
※このメールは自動で送信しています。このメールに対し、ご返信いただきましても回答できません。
発行元:株式会社 スクウェア・エニックス
© 2012-2016 ARMOR PROJECT/BIRD STUDIO/SQUARE ENIX All Rights Reserved.
この時点で、やたらと空行が目立ってて(たぶん、テキスト化の弊害もあるけど)、おやおや?と思うところでしょうか。
次に、途中にあるURL、これ自体は本物です。
しかし、htmlのソースコードを見てみると、実際には以下のURLにリンクされていました。
hxxp://support.na.square-enix.com.sxrp-ouory.usa.cc/account/app/svc/login.html
※間違って開かないように、一部加工してます。
このURL、表示しているものと全然違います。
これが世にいうURL偽装ですね。
※このドメインをgred.jpで調べてみると、ドイツの Falkensteinなる都市にあるサーバなんだそうです。
こういうときに、URLをチェックするサイトはいくつかあります。
鵜呑みにはできませんが参考にはなります。
・gred.jp
・WebPulse サイト再評価リクエスト(泣く子も黙るBlueCoatのサイトです)
・Trendmicro Site Safety Center
・VirusTotal
今回はBlueCoatが「疑わしいサイト」、VirusTotalの結果は10個のウイルス対策が悪意のあるサイト、あるいはフィッシングサイトと返しており、とりあえずこれだけでも、黒っぽいサイトであると考えてよろしいかと思います。
次にRecievedヘッダを見てみましょう。
(前略)
Received: from pps.filterd (scpa213.cm2.dti.ne.jp [127.0.0.1])
by scpa213.cm2.dti.ne.jp (8.15.0.59/8.15.0.59)
with SMTP id u7S1CXTo018576 for <私のメールアドレス>;
Sun, 28 Aug 2016 10:15:01 +0900
Received: from iql.org ([42.59.121.141])
by scpa213.cm2.dti.ne.jp
with ESMTP id 252rg87xgs-1 for <私のメールアドレス>;
Sun, 28 Aug 2016 10:15:00 +0900
Message-ID: <422ABE3ABD48E5DB110ADB0DEF1AEB41@iql.org>
From: "autoinfo_jp" <autoinfo_jp@account.square-enix.com>
To:<私のメールアドレス>
これで見ると、一番最初の送信元がiql.orgという、スクエニとは全く関係なさそうなドメインから発信されていました。
IPアドレスが載っているので、spamhausに照会すると、ブラックリストのXBLに登録されており、その理由がCBLに入っているからでした。
CBLに入るということは、過去にspamを送って、その中にマルウェアが入っていたことがあるということです。
要は、spamの踏み台になっているか、むしろそれ専用のサーバなのかというところでしょうか。
ついで、Return-Pathも見てみましょう。
Return-Path: <ymwuv@iql.org>
そもそもFromとドメインも違うし、明らかにランダム生成されたアドレスだし...ということで、これも信用するに足りません。
そんなわけで、このメールは(1)疑わしいアドレスへのURL偽装があり、(2)添付ファイルがないことから、真っ黒なフィッシングメールである。
と結論付けることができそうです。
※本当は、その画面を見るのが一番確定診断が出しやすい(たぶん、それっぽい入力画面があると思います)のですが、残念ながら(?)テークダウンされているらしく、aguseで確認してみましたが、画面は表示されずでした。
ついつい、メール本文だけに目が行きがちですが、コピペすれば海外の人でもどうにかなることがあります。
やはり、ヘッダやリンクを確認すること、そもそもhtmlメールは強制的にテキストに変換するメーラーを用いることなどが大事ですね。
お金をかけずに、しょーもないフィッシングやランサムウェアを回避する一つの方策になるかと思います。
土曜日, 9月 10, 2016
カッタクルガン(ぶどう)
最近買ったケーキに乗っていたブドウ、カッタクルガンが気になって、先週、藤沢市まで生産している農家の直売所に行ってみました(横浜の自宅から思ったよりは近かったです)。
皮が薄くて結構甘く、かなりジューシーなものでした。
実際買ってみて食べてみたら、やはり旨い。
それで、今日再度見に行こうと行ってみたら、残念ながらシーズンオフ。
なんと、8月下旬から9月上旬までで、しかも生産農家が少ないという...。
作るのが難しいので仕方がないそうです。
そこで、今回は瀬戸ジャイアンツを購入。
こちらは、カッタクルガンに比べると若干ブドウらしい渋みがあり、皮が若干厚い気がするものの、これはこれでサクサク食べられて止まらない系でした。
瀬戸~もおいしいけど、やはり来年こそはカッタクルガンを2kg(4房くらい?)買って堪能しよう。と、心に誓った今日この頃でした。
皮が薄くて結構甘く、かなりジューシーなものでした。
実際買ってみて食べてみたら、やはり旨い。
それで、今日再度見に行こうと行ってみたら、残念ながらシーズンオフ。
なんと、8月下旬から9月上旬までで、しかも生産農家が少ないという...。
作るのが難しいので仕方がないそうです。
そこで、今回は瀬戸ジャイアンツを購入。
こちらは、カッタクルガンに比べると若干ブドウらしい渋みがあり、皮が若干厚い気がするものの、これはこれでサクサク食べられて止まらない系でした。
瀬戸~もおいしいけど、やはり来年こそはカッタクルガンを2kg(4房くらい?)買って堪能しよう。と、心に誓った今日この頃でした。
月曜日, 9月 05, 2016
LANケーブルの比較
4年前とかなり古い記事ですが、おもしろいものを見つけたのでご紹介。
LANケーブルが変わると速度がどれほどアップするか38種類テスト結果まとめ
要はカテゴリー5e、6、7とあるけど、上のカテゴリ選んだからって速くなる訳じゃないよ! と言うことです。
この記事の試験環境がイマイチなので、多少揺らぎもありそうなのですが、GNDが適切でない環境下でカテゴリー7で遅くなるのはある程度予想がつきます。
一応、その道のお仕事をしていた経験からいいますと...
・ご家庭ではカテゴリー5eないしは6を選びましょう。
・自作は6以降はパフォーマンスが出ないので止めましょう。
・1GbEのネットワークでは、50cm未満のケーブルは使用を控えましょう。
・ケーブルは適切な長さのものを用い、特にリング上にまとめるのは避けましょう。
・ケーブルを強く縛るのは止めましょう。
・LANケーブル同士は纏めても構いませんが、大きな負荷のあるもの、モーターが繋がる電源ケーブルとまとめるのは避けましょう。
・可能ならアースが取れるものはアースをきちんと取りましょう。
・netstat -eでエラーが大量に出ているのなら、ネゴシエーション(速度と全・半二重)、ケーブル、スイッチングハブ、LANカードの順で疑いましょう。
・爪折れケーブルは捨てましょう。
ご家庭で出来そうな事は、これくらいでしょうか...。
LANケーブルが変わると速度がどれほどアップするか38種類テスト結果まとめ
要はカテゴリー5e、6、7とあるけど、上のカテゴリ選んだからって速くなる訳じゃないよ! と言うことです。
この記事の試験環境がイマイチなので、多少揺らぎもありそうなのですが、GNDが適切でない環境下でカテゴリー7で遅くなるのはある程度予想がつきます。
一応、その道のお仕事をしていた経験からいいますと...
・ご家庭ではカテゴリー5eないしは6を選びましょう。
・自作は6以降はパフォーマンスが出ないので止めましょう。
・1GbEのネットワークでは、50cm未満のケーブルは使用を控えましょう。
・ケーブルは適切な長さのものを用い、特にリング上にまとめるのは避けましょう。
・ケーブルを強く縛るのは止めましょう。
・LANケーブル同士は纏めても構いませんが、大きな負荷のあるもの、モーターが繋がる電源ケーブルとまとめるのは避けましょう。
・可能ならアースが取れるものはアースをきちんと取りましょう。
・netstat -eでエラーが大量に出ているのなら、ネゴシエーション(速度と全・半二重)、ケーブル、スイッチングハブ、LANカードの順で疑いましょう。
・爪折れケーブルは捨てましょう。
ご家庭で出来そうな事は、これくらいでしょうか...。
金曜日, 8月 26, 2016
人工知能のマルウェア検知 -Cylance-
先日も紹介しましたが、こういうの、出てきているんですよ。
Cylance(さいらんす)といいます。
まだ、最低購入ライセンス数があったり、1ライセンスで1万円以上だったり、次年度更新も製品購入価格と同額だったりと、かなり殿様もとい強気な商売をされているので、皆様のお手元に届くにはもう少し時間は掛かりそうなのですけどね。
とりあえず、本質的に過検知が避けられないものではありますが、額面通り動けばもう、既にうどん粉と化した有象無象のレガシーなウイルス対策ソフトや、高級なサンドボックスのFireEyeとかWildfireとか要らなくなるくらいの勢いです。
ちなみに、今のところ業務用だけで、一般のご家庭では買えません。
これだけ凄い(って言う)のなら、1個6000円くらいにして、エンドポイントのデスクトップセキュリティ市場をドミナントしちゃえば良いのに、と素直に思います。
まあ、スタートアップ企業でまだまだコンシューマに対応出来るだけの品質が確保できないのでしょうなぁ...。
ちなみに、一般のご家庭では、FFRIさんのMr.Fが唯一振る舞い検知+機械学習を提供しているっぽいのですが、価格が少々お高いです...。
他にも、インドのCOMODO Internet Securityがフリー+広告無しで、ウイルス検知機能はかなりアレなものの、強力なサンドボックス機能があって、マルウェア感染にやたらと強いという印象があります。
多分、意図的に許可しないかぎりランサム被害は受けないのでは!?とまで思ってます。
ただ、プログラムファイルレベルで良い悪いが判断できるかなりのエキスパートな人限定のシロモノで、素人にはお勧めできない感じです。
そんなわけで、Cylanceないしはその後追い製品が一般家庭に普及するくらい身近になるのは、果たして何時の事なのでしょうか...。(;´д`)
Cylance(さいらんす)といいます。
まだ、最低購入ライセンス数があったり、1ライセンスで1万円以上だったり、次年度更新も製品購入価格と同額だったりと、かなり殿様もとい強気な商売をされているので、皆様のお手元に届くにはもう少し時間は掛かりそうなのですけどね。
とりあえず、本質的に過検知が避けられないものではありますが、額面通り動けばもう、既にうどん粉と化した有象無象のレガシーなウイルス対策ソフトや、高級なサンドボックスのFireEyeとかWildfireとか要らなくなるくらいの勢いです。
ちなみに、今のところ業務用だけで、一般のご家庭では買えません。
これだけ凄い(って言う)のなら、1個6000円くらいにして、エンドポイントのデスクトップセキュリティ市場をドミナントしちゃえば良いのに、と素直に思います。
まあ、スタートアップ企業でまだまだコンシューマに対応出来るだけの品質が確保できないのでしょうなぁ...。
ちなみに、一般のご家庭では、FFRIさんのMr.Fが唯一振る舞い検知+機械学習を提供しているっぽいのですが、価格が少々お高いです...。
他にも、インドのCOMODO Internet Securityがフリー+広告無しで、ウイルス検知機能はかなりアレなものの、強力なサンドボックス機能があって、マルウェア感染にやたらと強いという印象があります。
多分、意図的に許可しないかぎりランサム被害は受けないのでは!?とまで思ってます。
ただ、プログラムファイルレベルで良い悪いが判断できるかなりのエキスパートな人限定のシロモノで、素人にはお勧めできない感じです。
そんなわけで、Cylanceないしはその後追い製品が一般家庭に普及するくらい身近になるのは、果たして何時の事なのでしょうか...。(;´д`)
月曜日, 8月 08, 2016
汎用計算可能な量子計算モジュール
http://pc.watch.impress.co.jp/docs/news/1014034.html
ついに、キタ━━(゚∀゚)━━ッ!!!って感じですね!
量子計算機、私が大学生時代には、まだ磁力とかジョセフソン素子とかで、数qubit(キュービット、quantam bit=量子ビットの略)しか実現できなかったものでした。
あれから早いもので14年。
※そういえば西野先生、三原先生はお元気でしょうか...。
理論的には100qubitも出来そうとのことで、本当に実現できるようになったら、
「そろそろ俺のShorの素因数分解アルゴリズムが火を噴くぜ!」
なんてことになるかも知れません。
まあ、計算量論的に多項式時間で解けるというだけなので、そう単純な話ではないのでしょうけども。
いずれにせよ、量子計算機の実現によって、P≠NP予想でNPだったものがP(相当)になるというのは大変なインパクトではあります。
これによって今、世界の証明書・公開鍵系を担っているRSAが没になってしまったら、どれくらいの影響が出るのか想像がつきませんね。
ついに、キタ━━(゚∀゚)━━ッ!!!って感じですね!
量子計算機、私が大学生時代には、まだ磁力とかジョセフソン素子とかで、数qubit(キュービット、quantam bit=量子ビットの略)しか実現できなかったものでした。
あれから早いもので14年。
※そういえば西野先生、三原先生はお元気でしょうか...。
理論的には100qubitも出来そうとのことで、本当に実現できるようになったら、
「そろそろ俺のShorの素因数分解アルゴリズムが火を噴くぜ!」
なんてことになるかも知れません。
まあ、計算量論的に多項式時間で解けるというだけなので、そう単純な話ではないのでしょうけども。
いずれにせよ、量子計算機の実現によって、P≠NP予想でNPだったものがP(相当)になるというのは大変なインパクトではあります。
これによって今、世界の証明書・公開鍵系を担っているRSAが没になってしまったら、どれくらいの影響が出るのか想像がつきませんね。
火曜日, 8月 02, 2016
Windows10に移行!
また、更新を少しサボっていました。生きてますよ~。( ̄▽ ̄;)
ちょっとネタは古いのですが、さる7/29ギリギリにWindows10への移行を完了しました。
といっても、メインで使っているノートPCだけですけどね。
クリーンインストールも考えたのですが、なんだかめんどくさいし、とりあえずアップグレード権だけは確保しとこう、ということで、インプレースアップデートした次第。
もともとそんなに汚していなかった環境ではあるのですが、案外快適に動いています。
ま、もともとWindows10をサポートしているモデルですから、当たり前といえば当たり前なのですけどね。
アップデートして、一部のソフトが動かなくなりましたが、大体は解決できそうです。
昔のKOEIのSafeDiscを使用したゲームも、テストモードにする必要があることを除けば、特に問題なく動作させることが可能でした。
Windows7も事実上2020年までは使えますので、アップデートし損なった方も、そこまで心配する必要はないと思いますが、新しいゲームをしたい人にはDirectXがらみで支障が多少あるかもです。
まあ、気にするレベルではないでしょうけどね。
ちょっとネタは古いのですが、さる7/29ギリギリにWindows10への移行を完了しました。
といっても、メインで使っているノートPCだけですけどね。
クリーンインストールも考えたのですが、なんだかめんどくさいし、とりあえずアップグレード権だけは確保しとこう、ということで、インプレースアップデートした次第。
もともとそんなに汚していなかった環境ではあるのですが、案外快適に動いています。
ま、もともとWindows10をサポートしているモデルですから、当たり前といえば当たり前なのですけどね。
アップデートして、一部のソフトが動かなくなりましたが、大体は解決できそうです。
昔のKOEIのSafeDiscを使用したゲームも、テストモードにする必要があることを除けば、特に問題なく動作させることが可能でした。
Windows7も事実上2020年までは使えますので、アップデートし損なった方も、そこまで心配する必要はないと思いますが、新しいゲームをしたい人にはDirectXがらみで支障が多少あるかもです。
まあ、気にするレベルではないでしょうけどね。
木曜日, 7月 14, 2016
火曜日, 7月 12, 2016
リモートデスクトップ直空け?
成城学園の個人情報入りのサーバーのリモートデスクトップアカウントが売買されてたそうです。
詳細は分かりませんが、リモートデスクトップの口をインターネットに晒していたのでしょうか...。(((;゚д゚)))
こういうのって、SIしたとこにも社会的責任が問われてしまうのかも。
お客様がそう言ってるからって、それを鵜呑みにしちゃいけない時代なのかも知れません。
後は、いい加減パスワードの時代、終了のお知らせってのを認識しないといけませんな。
とにかく、攻撃の口を作らない、やむを得ず開けなきゃいけない場合は、仮想化orJail化して、波及させないようにする。
こんなこと、大昔から言ってる耳タコなことなのですが、やっぱり基本って大事なんですよね...。
詳細は分かりませんが、リモートデスクトップの口をインターネットに晒していたのでしょうか...。(((;゚д゚)))
こういうのって、SIしたとこにも社会的責任が問われてしまうのかも。
お客様がそう言ってるからって、それを鵜呑みにしちゃいけない時代なのかも知れません。
後は、いい加減パスワードの時代、終了のお知らせってのを認識しないといけませんな。
とにかく、攻撃の口を作らない、やむを得ず開けなきゃいけない場合は、仮想化orJail化して、波及させないようにする。
こんなこと、大昔から言ってる耳タコなことなのですが、やっぱり基本って大事なんですよね...。
土曜日, 6月 25, 2016
焼きそばUFO、面白いですね
ねとらぼで紹介されていましたが、焼きそばUFOのCM?面白いですね。
http://nlab.itmedia.co.jp/nl/articles/1606/24/news129.html
特に面白いのが、インチキ超能力者のうたというもの。
Mr.マリックの鮮やかなマジックのネタばらしが...。
まあ、商売で使うものはまた別のものなんでしょうけども。
http://nlab.itmedia.co.jp/nl/articles/1606/24/news129.html
特に面白いのが、インチキ超能力者のうたというもの。
Mr.マリックの鮮やかなマジックのネタばらしが...。
まあ、商売で使うものはまた別のものなんでしょうけども。
木曜日, 6月 16, 2016
オフライン用のパッチ入手先の変更
Microsoftがパッチの提供をWindows Updateカタログに絞るようですね。
似たようなものを複数置いておくのも無駄っちゃ~無駄ですが、WIndows Updateカタログってちょっと癖があるというか...うーむ。(;´д`)
なんというか、Windows10の騒ぎもありましたし、「そろそろWindowsやめちゃおっかな~」って考える組織が出てきてもいいのかも。
生物もそうですけど、システムもある程度多様性があったほうが、世の中的には健全なのかも知れませんね。
Windows、Mac、Android、iOS、ChromeOS、Linux、FreeBSD...etc.と、選択肢は色々あるはずなのですが、お仕事で使うシステム(というか、ぶっちゃけMS Office)の互換性を考えると...。
まあ、最近ではMicrosoftもMac、Android、iOS用のMicrosoft Officeを出してますし、その辺の敷居も下がってきているのかなぁ?
とか、思ったり思わなかったりする今日この頃です。(´∀`;)
※この記事、どうもしっくり来なくて何度か書きなおしてます。おかしな所があれば指摘をお願いします。m(_ _)m
似たようなものを複数置いておくのも無駄っちゃ~無駄ですが、WIndows Updateカタログってちょっと癖があるというか...うーむ。(;´д`)
なんというか、Windows10の騒ぎもありましたし、「そろそろWindowsやめちゃおっかな~」って考える組織が出てきてもいいのかも。
生物もそうですけど、システムもある程度多様性があったほうが、世の中的には健全なのかも知れませんね。
Windows、Mac、Android、iOS、ChromeOS、Linux、FreeBSD...etc.と、選択肢は色々あるはずなのですが、お仕事で使うシステム(というか、ぶっちゃけMS Office)の互換性を考えると...。
まあ、最近ではMicrosoftもMac、Android、iOS用のMicrosoft Officeを出してますし、その辺の敷居も下がってきているのかなぁ?
とか、思ったり思わなかったりする今日この頃です。(´∀`;)
※この記事、どうもしっくり来なくて何度か書きなおしてます。おかしな所があれば指摘をお願いします。m(_ _)m
金曜日, 6月 03, 2016
今更ながら...OpenVPN Windows版のバグ改修?
と言っても、結構前の話なのですけど、思い出したので...。
OpenVPNの2.3.9以降では、ずーっと問題になっていたWindows版のバッファが小さな固定値になっていたところが外され、sndbufやrcvbufの引数で指定できるようになりました。
Do not set the buffer size by default but rely on the operation system default.
手元で試したところ、sndbuf/rcvbufを指定する前(Default値:8192)は、43~52Mbpsだったのが、サーバ・クライアントの両方で(pushはWindowsでは動かず)
sndbuf 393216
rcvbuf 393216
と設定したところ、63~75Mbpsあたりまで来ています。
※WAN経由で計測
OpenVPNは遅い印象がありましたが、これで結構改善できたのではないでしょうか。
OpenVPNの2.3.9以降では、ずーっと問題になっていたWindows版のバッファが小さな固定値になっていたところが外され、sndbufやrcvbufの引数で指定できるようになりました。
Do not set the buffer size by default but rely on the operation system default.
手元で試したところ、sndbuf/rcvbufを指定する前(Default値:8192)は、43~52Mbpsだったのが、サーバ・クライアントの両方で(pushはWindowsでは動かず)
sndbuf 393216
rcvbuf 393216
と設定したところ、63~75Mbpsあたりまで来ています。
※WAN経由で計測
OpenVPNは遅い印象がありましたが、これで結構改善できたのではないでしょうか。
土曜日, 5月 28, 2016
ブログが開けなくなってましたorz
ドメインを見ての通りmydnsを使っているのですが、mydnsは1週間に一度、heartbeat的にIPアドレスを教えないといけません。
それがこの前のメンテの時になにか間違ったのか、何故か28日周期になってました。(;´д`)?
とりあえず元の一週間おきにしたものの、やっぱりDNS解決の結果がGMO(mydns)のアドレスが複数ラウンドロビンで返ってくるのみ。
結局、mydnsにログインしてドメイン設定を上書きしたら、無事復活しました。
長く放置されると、ドメイン情報が外されちゃうのかも知れません。やれやれ。(;´д`)~3
それがこの前のメンテの時になにか間違ったのか、何故か28日周期になってました。(;´д`)?
とりあえず元の一週間おきにしたものの、やっぱりDNS解決の結果がGMO(mydns)のアドレスが複数ラウンドロビンで返ってくるのみ。
結局、mydnsにログインしてドメイン設定を上書きしたら、無事復活しました。
長く放置されると、ドメイン情報が外されちゃうのかも知れません。やれやれ。(;´д`)~3
金曜日, 5月 20, 2016
TeslaCrypt、ユニバーサルマスターキーがESETの手に
ESET(ウイルス対策ソフト。日本ではキャノンさんが販売)が、TeslaCryptの作者からユニバーサルマスターキーを入手したそうです。
そして復号ツールも出してくれているようです。
これで現状出回っているTeslacrypt v2/v3を一気に復号できるようになりましたね!
これで、復号できるかどうかわからないのに30万位要求してくる怪しい業者に頼む必要もありません。
匿名で入手したってことらしいですが...、I know you.(お前を知っているぞ。)を達成したのでしょうか。
だまし討かも?まあ、マスターキー変えてバージョン上げればいいわけで、お互い様かな?
ハッカーとクラッカーの騙し合いは、これからも続くのかも知れませんね。
そして復号ツールも出してくれているようです。
これで現状出回っているTeslacrypt v2/v3を一気に復号できるようになりましたね!
これで、復号できるかどうかわからないのに30万位要求してくる怪しい業者に頼む必要もありません。
匿名で入手したってことらしいですが...、I know you.(お前を知っているぞ。)を達成したのでしょうか。
だまし討かも?まあ、マスターキー変えてバージョン上げればいいわけで、お互い様かな?
ハッカーとクラッカーの騙し合いは、これからも続くのかも知れませんね。
木曜日, 5月 12, 2016
次世代のウイルス対策の足音が聞こえてきました。
最近、Deep learningなる人工知能(ニューラルネットワーク)の技術が進歩し、スーパーコンピュータで構成されるIBM WATSONなどは、対話においてかなり人間に近くなってきているそうです。
そんな人工知能技術。私が大学院で学んだそれよりも圧倒的に進化してきたわけですが、それが最近、マルウェア対策の技術として応用されてきています。
従来型のウイルス対策は検知しても精々30~40%。
アナリストやってた頃のことを思い出すと、スパムキャンペーンごときでも検知は稀。
もう、従来型のウイルス対策は、「効かない薬=うどん粉」状態です。
そんな中、この人工知能技術を応用したモノが出てきています。
まだまだ価格は高く、一般のご家庭に入るようなものではありませんが、じきに既存のものをさっぱりと置き換えていくことでしょう。
まあ、安いからと2~3000円のうどん粉を買ってお茶を濁すのか、それともイニシャル・ランニングともに4倍以上のものを買って価値ある取り組みをするのか。
経営者のセキュリティに対する姿勢・判断が問われる時代なのかも知れません。
そんな人工知能技術。私が大学院で学んだそれよりも圧倒的に進化してきたわけですが、それが最近、マルウェア対策の技術として応用されてきています。
従来型のウイルス対策は検知しても精々30~40%。
アナリストやってた頃のことを思い出すと、スパムキャンペーンごときでも検知は稀。
もう、従来型のウイルス対策は、「効かない薬=うどん粉」状態です。
そんな中、この人工知能技術を応用したモノが出てきています。
まだまだ価格は高く、一般のご家庭に入るようなものではありませんが、じきに既存のものをさっぱりと置き換えていくことでしょう。
まあ、安いからと2~3000円のうどん粉を買ってお茶を濁すのか、それともイニシャル・ランニングともに4倍以上のものを買って価値ある取り組みをするのか。
経営者のセキュリティに対する姿勢・判断が問われる時代なのかも知れません。
水曜日, 5月 11, 2016
CISSP、ようやくゲット!(エンドースメント出すの遅かっただけという説あり)
さりげなく去年の4/4に合格していたCISSPの試験ですが、うっかりアナリストやっててエンドースメント(推薦状)を提出することを忘れてました。(ぇ
同じグループ企業の研修をやっている会社の方から、エンドースメント書いてやるからCISSPさっさと申請しろ的なご指摘を頂き、やんなきゃなーと思いつつ早1年。
ギリギリまでやれば良いやと思ってほっといたら、試験が受かった状態(Associate なんちゃら)がExpire寸前に。
あわてて、CPEを登録してUSD35$払って延長しつつ、エンドースメントを4月の上旬位に提出しました。
そして、5/9にようやくエンドースメントがconfirmされ、晴れて無事にCISSPになれました。\(^o^)/
全世界では10万人ほどいるCISSPですが、日本では1500人ほど。
情報セキュリティスペシャリストに比べると、日本ではちょっと価値が低めかも。
取る前は、「セキュリティの神資格だ~」とか思ってましたが、取ってみたらあっけないものです。
所詮は資格は資格。自分磨きの通過点でしかないのでしょうね。ヽ(´ー`)ノ
まあ、維持するのがけっこう大変な資格なので、CPE稼ぎのために今後も勉強がんばります。
同じグループ企業の研修をやっている会社の方から、エンドースメント書いてやるからCISSPさっさと申請しろ的なご指摘を頂き、やんなきゃなーと思いつつ早1年。
ギリギリまでやれば良いやと思ってほっといたら、試験が受かった状態(Associate なんちゃら)がExpire寸前に。
あわてて、CPEを登録してUSD35$払って延長しつつ、エンドースメントを4月の上旬位に提出しました。
そして、5/9にようやくエンドースメントがconfirmされ、晴れて無事にCISSPになれました。\(^o^)/
全世界では10万人ほどいるCISSPですが、日本では1500人ほど。
情報セキュリティスペシャリストに比べると、日本ではちょっと価値が低めかも。
取る前は、「セキュリティの神資格だ~」とか思ってましたが、取ってみたらあっけないものです。
所詮は資格は資格。自分磨きの通過点でしかないのでしょうね。ヽ(´ー`)ノ
まあ、維持するのがけっこう大変な資格なので、CPE稼ぎのために今後も勉強がんばります。
日曜日, 5月 01, 2016
GW入りましたね~
ゴールデンウィークに入りましたが、皆様、いかがお過ごしでしょうか。
私は久々に帰省して、実家のある田舎でのんびり過ごさせてもらっています。
普段は都会の喧騒の中にいて慌ただしい日々ですので、ほっとする一時ですね。
子供もいつもより広いお家で、喜んでいるようでした。
今年のGWは、幸運なことに会社規定の休暇がうまく設定されていて、年次休暇を取らなくても10連休となっていました。
しかし、働いている人もいますので、感謝しなければなりませんね。
熊本震災及びその余震で被害に遭われた方々は、まだまだ苦しい状況かと思います。
一日も早く再び日常を取り戻されることを、切に願っております。
私は久々に帰省して、実家のある田舎でのんびり過ごさせてもらっています。
普段は都会の喧騒の中にいて慌ただしい日々ですので、ほっとする一時ですね。
子供もいつもより広いお家で、喜んでいるようでした。
今年のGWは、幸運なことに会社規定の休暇がうまく設定されていて、年次休暇を取らなくても10連休となっていました。
しかし、働いている人もいますので、感謝しなければなりませんね。
熊本震災及びその余震で被害に遭われた方々は、まだまだ苦しい状況かと思います。
一日も早く再び日常を取り戻されることを、切に願っております。
日曜日, 4月 17, 2016
熊本震災
今回の熊本震災は地震の規模が大きく、最大震度7に到達し、大分をはじめ近隣の県にも被害が出ており、被害は甚大です。
4/16現在で、既に41人もの方々が犠牲になられたとのこと。
亡くなられた方々のご冥福を心よりお祈りいたします。
私も熊本に6年間住んでおりました。
程よく発展した中心街と、少し離れたところののどかな風景が、田舎出身の私にとても適していたと思っています。
そんな第2の故郷というべき熊本がこのような状況となり、大変ショックを受けています。
学生時代お世話になった方々、友人達が無事であれば良いのですが...。
まだまだ、これからも余震が続き、予断を許さない状況にあるかと思います。
頭上や足元には十分お気をつけ下さい。
再び、皆様が平穏な生活を取り戻されることを、心よりお祈りいたします。
4/16現在で、既に41人もの方々が犠牲になられたとのこと。
亡くなられた方々のご冥福を心よりお祈りいたします。
私も熊本に6年間住んでおりました。
程よく発展した中心街と、少し離れたところののどかな風景が、田舎出身の私にとても適していたと思っています。
そんな第2の故郷というべき熊本がこのような状況となり、大変ショックを受けています。
学生時代お世話になった方々、友人達が無事であれば良いのですが...。
まだまだ、これからも余震が続き、予断を許さない状況にあるかと思います。
頭上や足元には十分お気をつけ下さい。
再び、皆様が平穏な生活を取り戻されることを、心よりお祈りいたします。
月曜日, 4月 04, 2016
ランサムウェアにやられてしまったら
もしランサムウェアに感染してしまったら。。。
目の前が真っ暗になりそうですが、いくつかの方法があると思います。
①バックアップから復旧する。
まさに取っててよかったバックアップ。
一番お手軽な方法です。
②shadow explorerを試してみる。
VSS(ボリュームシャドウコピーサービス)が有効になっている場合でかつ、ランサムウェアがシャドウコピーを削除しないもの、あるいはシャドウコピーを削除するUACを阻止できた時に利用できるオプションです。
③復号ツールを使ってみる(ただし、運よく対応していたら、ですが)
kasperskyなどがランサムウェアの復号ツールを公開していたりします。探せばもっとあるかも。ただ、テイクダウンされたC&Cから回収したキーなどを公開しているようなので、最新のものには追いつかないかもです。
・CoinVault&Bitcrypter
④お金を払う
まさに最終手段ですね。
戻る保証はありません。でも、戻らなかったということも最近はあまり聞きません。
かのFBIも最悪払うしかない、でも払わないほうがいい(犯罪の助長に繋がるでしょうしねぇ...)とか言ってますけど、①~③がダメで、どうしようもないならダメ元で、というのも残念ながら選択肢なのかも知れません。
目の前が真っ暗になりそうですが、いくつかの方法があると思います。
①バックアップから復旧する。
まさに取っててよかったバックアップ。
一番お手軽な方法です。
②shadow explorerを試してみる。
VSS(ボリュームシャドウコピーサービス)が有効になっている場合でかつ、ランサムウェアがシャドウコピーを削除しないもの、あるいはシャドウコピーを削除するUACを阻止できた時に利用できるオプションです。
③復号ツールを使ってみる(ただし、運よく対応していたら、ですが)
kasperskyなどがランサムウェアの復号ツールを公開していたりします。探せばもっとあるかも。ただ、テイクダウンされたC&Cから回収したキーなどを公開しているようなので、最新のものには追いつかないかもです。
・CoinVault&Bitcrypter
④お金を払う
まさに最終手段ですね。
戻る保証はありません。でも、戻らなかったということも最近はあまり聞きません。
かのFBIも最悪払うしかない、でも払わないほうがいい(犯罪の助長に繋がるでしょうしねぇ...)とか言ってますけど、①~③がダメで、どうしようもないならダメ元で、というのも残念ながら選択肢なのかも知れません。
ランサムウェアの猛威は続く...
最近、大きなネタもないので書くことないな~と思っていたのですが、世の中的にはランサムウェアとそれを運ぶスパムメールラッシュのようです。
夜中に凄まじい数のスパムが飛んで来るようで、それを日夜監視している方々は大変な状況の様子。
本当にお疲れ様です。
最近では、ランサムウェアもより凶悪になっていていまして、端末のみならず、ネットワーク上のファイルサーバも暗号化しようとするみたいです。
仕組みはよくわからないのですが、昔と違いネットワークドライブにマウントしていなくても、やられちゃう様子です。
ボリュームシャドウコピーサービスも標的にするようなので、UACをオンにして、かつ利用者には、明示的に管理権限を利用するツールを使用する特別なとき以外、基本「いいえ」を押せと教えておくべきでしょう。
と言っても、「ボリュームシャドウコピーって何?」というお客様も多いのが実情。
設定しておくと、利用者としてはとても幸せになれる素敵Windows標準機能(2003Serverからあります)ですので、是非使ってみて下さい...。
容量は多少食いますが、それを補って余りある利便性です。
ちなみに、Shadow Explorerを使えば、ボリュームシャドウコピーで取られているデータを纏めて管理できます。
ランサムウェアのシャドウコピー削除の際のUACを食い止めることが出来たなら、これを使っても復旧できる可能性があります。
また、トレンドマイクロさんが紹介している3-2-1ルールでのバックアップは検討しておく必要があるでしょう。
この時代、ファイルサーバがまるごとやられたら事業が止まります。BCPの脅威の一事象として、定義しておくこともおすすめです。
そういえば、昔、コンサル時代にバックアップについて、当時の流行りのDisk to diskを無視して、お客様にはLTOを提案していました。
テープに取っておけば、それぞれ別のところに保管できますし、世代管理も出来ます。
Disk to diskだと、早くリアルタイムにバックアップが取れますが、それだとこういう場合、設計によっては情報資産が全滅する可能性だってありますよね。
結局、私の力及ばず(テープは面倒と思われてしまって、それを打破できなかった...ライブラリは高いし...)、ウチの営業が提案したDisk to diskにしてしまったようなのですが...。
あのお客様、無事だといいな~。(;= =)
夜中に凄まじい数のスパムが飛んで来るようで、それを日夜監視している方々は大変な状況の様子。
本当にお疲れ様です。
最近では、ランサムウェアもより凶悪になっていていまして、端末のみならず、ネットワーク上のファイルサーバも暗号化しようとするみたいです。
仕組みはよくわからないのですが、昔と違いネットワークドライブにマウントしていなくても、やられちゃう様子です。
ボリュームシャドウコピーサービスも標的にするようなので、UACをオンにして、かつ利用者には、明示的に管理権限を利用するツールを使用する特別なとき以外、基本「いいえ」を押せと教えておくべきでしょう。
と言っても、「ボリュームシャドウコピーって何?」というお客様も多いのが実情。
設定しておくと、利用者としてはとても幸せになれる素敵Windows標準機能(2003Serverからあります)ですので、是非使ってみて下さい...。
容量は多少食いますが、それを補って余りある利便性です。
ちなみに、Shadow Explorerを使えば、ボリュームシャドウコピーで取られているデータを纏めて管理できます。
ランサムウェアのシャドウコピー削除の際のUACを食い止めることが出来たなら、これを使っても復旧できる可能性があります。
また、トレンドマイクロさんが紹介している3-2-1ルールでのバックアップは検討しておく必要があるでしょう。
この時代、ファイルサーバがまるごとやられたら事業が止まります。BCPの脅威の一事象として、定義しておくこともおすすめです。
そういえば、昔、コンサル時代にバックアップについて、当時の流行りのDisk to diskを無視して、お客様にはLTOを提案していました。
テープに取っておけば、それぞれ別のところに保管できますし、世代管理も出来ます。
Disk to diskだと、早くリアルタイムにバックアップが取れますが、それだとこういう場合、設計によっては情報資産が全滅する可能性だってありますよね。
結局、私の力及ばず(テープは面倒と思われてしまって、それを打破できなかった...ライブラリは高いし...)、ウチの営業が提案したDisk to diskにしてしまったようなのですが...。
あのお客様、無事だといいな~。(;= =)
月曜日, 3月 21, 2016
うっかり1ヶ月開けてしまいました
ふと気がついたら、1ヶ月も開けてしまいました。
ちょっと色々あって、ブログ更新まで手が回りませんでした。。。
更新を休んでいた間にOpenSSL絡みの問題(というか、プロトコルの問題?)や、IPsecのプロトコル仕様上の問題で、amplified攻撃の踏み台になってしまったりと、セキュリティ上の大きな問題が立て続けに発生していました。
これからも気になるイベントを載せていきたいと思います。
ちょっと色々あって、ブログ更新まで手が回りませんでした。。。
更新を休んでいた間にOpenSSL絡みの問題(というか、プロトコルの問題?)や、IPsecのプロトコル仕様上の問題で、amplified攻撃の踏み台になってしまったりと、セキュリティ上の大きな問題が立て続けに発生していました。
これからも気になるイベントを載せていきたいと思います。
CTFに参加!
と言っても、親会社が開催した非公開の奴なんですけどね。
問題は公開するなと言われているので実際のものは出せませんが、formatstringsの脆弱性やバッファオーバーフロー、ROPを実際にやってみてフラグを手に入れる問題がありました。
他にもログを見て攻撃の履歴を探したり、パケットキャプチャデータを解析したり、暗号文を解く問題があったりと、色々勉強になりました。(´∀`)
一般的に公開されているものもあり、紹介してくださっているページもあるようです。
深い専門知識も必要ですが、発想力と幅広い知識も求められるもので、趣味で遊ぶ分には楽しめるのではないでしょうか。
問題は公開するなと言われているので実際のものは出せませんが、formatstringsの脆弱性やバッファオーバーフロー、ROPを実際にやってみてフラグを手に入れる問題がありました。
他にもログを見て攻撃の履歴を探したり、パケットキャプチャデータを解析したり、暗号文を解く問題があったりと、色々勉強になりました。(´∀`)
一般的に公開されているものもあり、紹介してくださっているページもあるようです。
深い専門知識も必要ですが、発想力と幅広い知識も求められるもので、趣味で遊ぶ分には楽しめるのではないでしょうか。
木曜日, 2月 18, 2016
日曜日, 2月 14, 2016
SkypeにMalvertising
SkypeがMicrosoftに買収されてから、あちこちに鬱陶しい広告が表示されるようになりました。
まあ、どんな事業でも収入ありき。これは致し方無いとしましょう。
しかしです、その広告にMalvertisingが含まれていたとするとどうでしょう。
本質的に不正な広告を作った人が悪い。その理屈は分かります。
しかし、広告業者はそれを未然に防ぐことが出来ません。
日夜膨大な広告が生成され、それがタイムリーなものでなければならず、しかも、支払われた広告料というお金の前に平等であるという立場である広告業者が、Malvertisingを防ぐのは本質的に無理なのです。
でも、そのリスクがあることを重々承知の上でそれを放置し、あまつさえ広告収入を得る事業者には罪がないのでしょうか。
インターネット広告ビジネスそのものが岐路に立たされている、そう考えるべきなのかも知れません。
まあ、どんな事業でも収入ありき。これは致し方無いとしましょう。
しかしです、その広告にMalvertisingが含まれていたとするとどうでしょう。
本質的に不正な広告を作った人が悪い。その理屈は分かります。
しかし、広告業者はそれを未然に防ぐことが出来ません。
日夜膨大な広告が生成され、それがタイムリーなものでなければならず、しかも、支払われた広告料というお金の前に平等であるという立場である広告業者が、Malvertisingを防ぐのは本質的に無理なのです。
でも、そのリスクがあることを重々承知の上でそれを放置し、あまつさえ広告収入を得る事業者には罪がないのでしょうか。
インターネット広告ビジネスそのものが岐路に立たされている、そう考えるべきなのかも知れません。
土曜日, 1月 30, 2016
OpenSSLに脆弱性
1.0.2系で脆弱性が出ていますね。
1.0.2系でサポートされ始めた、X9.42がらみの脆弱性のようですので、1.0.1系は影響しません。
openvpnで使っているopenssl(ややこしい)は、1.0.1系なので、とりあえず問題はなさそうです。
opensslって、色んな所に使われているので、脆弱性情報が出るとドキドキしますね。(;´д`)
1.0.2系でサポートされ始めた、X9.42がらみの脆弱性のようですので、1.0.1系は影響しません。
openvpnで使っているopenssl(ややこしい)は、1.0.1系なので、とりあえず問題はなさそうです。
opensslって、色んな所に使われているので、脆弱性情報が出るとドキドキしますね。(;´д`)
アノニマスが暴れてますな~
このところ、DDoS騒ぎが連続で発生しているようです。
以前もこのblogに載せましたけど、OpKillingBayらしいですが。
日産→金融庁→成田空港→厚生労働省→中部国際空港セントレアと羽田空港→警察庁
とまあこんな感じです。
成田空港は、シー・シェパードかなんかの活動家の入国拒否で攻撃されたっぽいですけどね。
テロまで行かずとも、何かを傷つけたり壊したりしそうな人を入国拒否するのは、税関としては普通の仕事なのでしょうが...。
まあ、利害関係の違いがあるので、この辺の歩み寄りはなさそうですね。
DDoS対策って、なかなか難しくて、攻撃されているサイトだけでどうにかなる問題ではないのですよね。
日産が適用したといわれている、Defence.netなどを利用して、正常な通信と攻撃通信を、サイトに到達する前に仕分ける必要があります。
サイトに設置するタイプの装置(箱物)もありますが、結局上流回線が埋まってしまうのであまり効果はないのが現状です。
クラウド型のサービスであるDefence.netも、帯域がでかいから出来るんでしょうね。
IXに直接脚を突っ込んでるようなキャリアとかで、こういうのが今後流行りそうな気もします。
以前もこのblogに載せましたけど、OpKillingBayらしいですが。
日産→金融庁→成田空港→厚生労働省→中部国際空港セントレアと羽田空港→警察庁
とまあこんな感じです。
成田空港は、シー・シェパードかなんかの活動家の入国拒否で攻撃されたっぽいですけどね。
テロまで行かずとも、何かを傷つけたり壊したりしそうな人を入国拒否するのは、税関としては普通の仕事なのでしょうが...。
まあ、利害関係の違いがあるので、この辺の歩み寄りはなさそうですね。
DDoS対策って、なかなか難しくて、攻撃されているサイトだけでどうにかなる問題ではないのですよね。
日産が適用したといわれている、Defence.netなどを利用して、正常な通信と攻撃通信を、サイトに到達する前に仕分ける必要があります。
サイトに設置するタイプの装置(箱物)もありますが、結局上流回線が埋まってしまうのであまり効果はないのが現状です。
クラウド型のサービスであるDefence.netも、帯域がでかいから出来るんでしょうね。
IXに直接脚を突っ込んでるようなキャリアとかで、こういうのが今後流行りそうな気もします。
日曜日, 1月 17, 2016
水曜日, 1月 13, 2016
TeslaCrypt(vvvウイルス)の復号方法が発見される
ランサムウェアの一種でvvvウイルスと言う名称で有名になったTeslaCryptですが、どうやら復号方法があるようです。
と言っても、鍵を素因数分解して求めるという力技なので、何時間~何年かかるか分からない方法ではありますが。
セキュリティ業界では有名な、ソフトバンク・テクノロジーの辻さんが、検証されてました。
検証結果で出ているPrimeを見る感じ複数の素因数が出てきていたので、このマルウェアはRSAの公開鍵暗号を使いながらも、ひょっとして安全な鍵が作られていないのかな?と思った次第です。
いずれにせよ、不幸中の幸いですね。
※TesraCrackのサイトを見るとAES鍵がウンタラと出ていたので、多分RSAでAESの共有鍵を暗号化している形なのかな??間違ってたらごめんなさい。
まあ、この手の攻撃はスピード&スタートダッシュ命だから、安全な鍵をのんきに作ってられない、というのも有るのかもしれません。
※元々この手の暗号は、巨大な素数を使うことで、素因数分解が難しくなるというところを根拠に安全性を維持してます。うまく作れば、素因数は単位元(1)を除いて、2個しか出ないはずです。
また、TeslacCryptがvolume shadow copyを削除するところで出てくるUACを阻止出来ていれば、shadow explorerなどでも復旧することが出来ます。
まあ、何はともあれ、基本はバックアップとっておきましょう。
この手の攻撃には、バックアップが一番よく効きます。
と言っても、鍵を素因数分解して求めるという力技なので、何時間~何年かかるか分からない方法ではありますが。
セキュリティ業界では有名な、ソフトバンク・テクノロジーの辻さんが、検証されてました。
検証結果で出ているPrimeを見る感じ複数の素因数が出てきていたので、このマルウェアはRSAの公開鍵暗号を使いながらも、ひょっとして安全な鍵が作られていないのかな?と思った次第です。
いずれにせよ、不幸中の幸いですね。
※TesraCrackのサイトを見るとAES鍵がウンタラと出ていたので、多分RSAでAESの共有鍵を暗号化している形なのかな??間違ってたらごめんなさい。
まあ、この手の攻撃はスピード&スタートダッシュ命だから、安全な鍵をのんきに作ってられない、というのも有るのかもしれません。
※元々この手の暗号は、巨大な素数を使うことで、素因数分解が難しくなるというところを根拠に安全性を維持してます。うまく作れば、素因数は単位元(1)を除いて、2個しか出ないはずです。
また、TeslacCryptがvolume shadow copyを削除するところで出てくるUACを阻止出来ていれば、shadow explorerなどでも復旧することが出来ます。
まあ、何はともあれ、基本はバックアップとっておきましょう。
この手の攻撃には、バックアップが一番よく効きます。
OP Killing Bayで何故か日産?
なんだかアノニマスを名乗る人たちが、日産自動車のホームページにDDoS攻撃をしているとのことです。
イルカ云々とは関係なさそうな標的ですが、彼らなりの理由があるのでしょうか??
もはや、アノニマスの中の人に聞かないと分からないですよね...。
ひょっとして、日本攻撃する口実にOP Killing Bayとか言ってるんじゃあるまいなと。
防御するにも攻撃元は大体がBOTNETだけに、攻撃の発信元がよくわからないのが難点ですね。
キャリア(回線業者。NTTとかKDDIとか)にお願いして、通信遮断してもらうくらいしか手段がないのも難しいところです。
イルカ云々とは関係なさそうな標的ですが、彼らなりの理由があるのでしょうか??
もはや、アノニマスの中の人に聞かないと分からないですよね...。
ひょっとして、日本攻撃する口実にOP Killing Bayとか言ってるんじゃあるまいなと。
防御するにも攻撃元は大体がBOTNETだけに、攻撃の発信元がよくわからないのが難点ですね。
キャリア(回線業者。NTTとかKDDIとか)にお願いして、通信遮断してもらうくらいしか手段がないのも難しいところです。
新年明けまして脆弱性
いや~2週間ばかり放置してました。
仕事が変わってちょっと忙しく...(言い訳。
また、色々脆弱性出てますね、Adobe Readerとか、VMwareとか...。
早々にアップデートしておきましょう。
そういえば、Windowsの定例パッチも100M超でドカンと出てます。緊急もそこそこ出ているようなので、これも早々に...。
IEも最新版しかサポートしないという方針に変わりますので、企業ユーザの方はお気をつけ下さいまし。
やっぱりchromeやFirefoxがいいよねぇ...。
マイクロソフトの中の人が、IEの最新版サポートに絞る言い訳で「いたちごっこ」とか言ってました。
どなたかもtwitterで仰ってましたが、初めからバグが無ければパッチも出さなくて良い訳で、これを「いたちごっこ」と表現するのに違和感を感じるのは同感です。
あと、ネタとしては少々古いのですが、FortiGateの古いファームウェア4.x系~5.0.7を対象にSSHのバックドア(パスワード無しでログインできちゃう)の脆弱性も再チェックですね。
今朝Exploit databaseを見てたら、これのexploitが公開されてましたので、今後これを狙った攻撃が増えるんじゃないかな~と思います。
仕事が変わってちょっと忙しく...(言い訳。
また、色々脆弱性出てますね、Adobe Readerとか、VMwareとか...。
早々にアップデートしておきましょう。
そういえば、Windowsの定例パッチも100M超でドカンと出てます。緊急もそこそこ出ているようなので、これも早々に...。
IEも最新版しかサポートしないという方針に変わりますので、企業ユーザの方はお気をつけ下さいまし。
やっぱりchromeやFirefoxがいいよねぇ...。
マイクロソフトの中の人が、IEの最新版サポートに絞る言い訳で「いたちごっこ」とか言ってました。
どなたかもtwitterで仰ってましたが、初めからバグが無ければパッチも出さなくて良い訳で、これを「いたちごっこ」と表現するのに違和感を感じるのは同感です。
あと、ネタとしては少々古いのですが、FortiGateの古いファームウェア4.x系~5.0.7を対象にSSHのバックドア(パスワード無しでログインできちゃう)の脆弱性も再チェックですね。
今朝Exploit databaseを見てたら、これのexploitが公開されてましたので、今後これを狙った攻撃が増えるんじゃないかな~と思います。
金曜日, 1月 01, 2016
登録:
コメント (Atom)