高橋晶子のセキュリティ漂流記

Exploit Kit (Exploit Pack) とは、闇市場で購入できる攻撃用のインフラで、訪問者の環境を自動判別して exploit を実行したり、訪問者のブラウザ環境や exploit の成功率といった統計情報を提供します。

一般的な OS、ブラウザ、アプリケーションの脆弱性を悪用する exploit (攻撃コード) を提供し、マルウェアの感染に必要な Web サーバーを構築します。有名なところでは、Phoenix、CRiMEPACK、IcePack、Eleonore、Yes、Fragus といった Exploit Kit があります。

Exploit Kit は、多くの大規模マルウェア感染 (Zeus、SpyEye、など) で利用されています。影響を受けたマシンはボットネットの一部として、スパム配信や DDoS 攻撃に使われたり、ブラウザの使用をモニタリングされ、銀行のオンラインサイトの認証情報やクレジットカード番号などを傍受されます。

また、影響を受けたマシンが接続されているエンタープライズ ネットワークへの侵入に使われる可能性もあります。Gartnerは、エンタープライズの全てのワークステーションの 4-8% の環境が感染していると推定しています。

Exploit Kit の問題に対応する為には、以下の対策が有効であると考えられます。
・OS、ブラウザ、ブラウザプラグインを最新に保つ
・ウィルス対策ソフトを導入し、最新に保つ
・不要なブラウザブラグインの無効化
・不要なスクリプト機能の無効化
・パスワードの定期的な変更

私が所属している Qualys 社でも、Exploit Kit に対応する為のサービス提供や機能追加を行っています。

QualysGuard Vulnerability Management という脆弱性管理サービスでは、ExploitKit Mapping という機能が追加され、KnowledgeBase (脆弱性データベース) で、Exploit Kit で利用されている脆弱性を判別できるようになりました。システム管理者はこの情報を使って、Exploit Kit が利用する脆弱性のパッチを優先的に適用する為に活用できます。

また Broswer Check というブラウザのプラグインをチェックするサービスも行っています。

英語ですが、１分ぐらいでチェックできますので、お手元の環境で試してみては如何でしょうか？

Qualys BrowserCheck (無料)
ブラウザのプラグインが最新になっているかチェックする

PacSec 2009 のスピーカーが確定しました。
http://pacsec.jp/speakers.html?language=ja

今回は本当に質の高い論文の応募が多く、選定されなかったプレゼンでも良いものが色々あったなあと思います。今年は、BlackHat Japanがないことも関係しているのかも知れません。BlackHat がないことを踏まえて、今年のPacSecは少し参加者層を広げた内容になっています。今までとは一味違ったプレゼンテーションもあり、個人的にもとても楽しみです。

11月4-5日に東京の表参道にある「青山ダイヤモンドホール」で開催されます。

eTicket で購入できるようになったみたいです。これで、登録手続きがスムースになったかも。10/10までは早期割引のようです。
http://www.e-ticket.net/pacsec/2009/

みなさまは、セキュリティ＆プログラミングキャンプをご存知でしょうか？

学生さんを対象とした、4泊5日の合宿形式のワークショップです。実際に参加したことはないのですが、講義内容が魅力的な上に、そうそうたる講師陣で、ほぼマンツーマンでトレーニングを受けられるとか。社会人でも、セキュリティ関係のお仕事をされている方は、参加したい方がたくさんいらっしゃるのではないかと思います。

ただし、参加できるのは22歳以下の学生さんのみです。IT技術者を目指す学生の皆さん、社会人になったら、こんな機会は二度とないですよ！

セキュリティ＆プログラミングキャンプ2009
http://www.jipdec.or.jp/camp/

締め切りは、平成21年7月6日（月）17:00 のようです。

セキュリティ カンファレンス PacSec の論文募集期間を6月14日まで延長します。

翻訳と通訳が付きますので、プレゼンは日本語でも英語でもOKです。日本人の方の応募が今のところ非常に少ないので、ぜひよろしくお願いします。

詳細はこちらです。期限、6月1日までと明記されてますが、6月14日まで受け付けます。
http://pacsec.jp/speakers.html

応募方法：

以下の情報を secwest09@pacsec.jp までメールでお送りください。

1) 講師情報、所在地（出生国/パスポートに記入されている国籍）、および連絡 先 (電子メールアドレス、住所、電話番号、FAX番号)
2) 勤務先、所属団体
3) 簡単な経歴、出版物および論文のリスト
4) 主なプレゼンテーションおよび講師経験/経歴
5) 話題の概要、論文の表題 (案) 、および内容の簡単な説明 (一段落にまとめ たもの)
6) 発表する題材が、革新的また重大な意味を持っている、あるいは重要な チュートリアルである理由
7) 既に存在する資料または概要のサンプル（オプショナル）
8)スライドの他に発表全内容についての文章の提出が可能かどうか
9)提出言語は英語、日本語どちらを希望するか
10)同題材が他で発表、出版、他に提出された過去及びされる予定のリスト尚、発表論文内容はテキストでお送りください。また、発表内容についての添付 ファイル（pdf, sxw, ppt, html）もあわせてお送りください。

システム管理者の方にとって、セキュリティ対策は悩みの種なのではないでしょうか。そんなにコストやリソースをかけれない、難しくてよくわからない、何から手をつければ良いかわからないなど、色々苦労をされている方も多いのではないかと思います。

今回は、そんなシステム管理者の悩みお応えするムービーを紹介します。

最初と最後の方は、セキュリティ関係の方はちょっとびっくりされるかも知れません。

あんしん処　セキュリ亭
http://technet.microsoft.com/ja-jp/security/dd767538.aspx

ソバと言えば、ちょうど今週末はセキュそばというセキュリティの勉強会がありますね。セキュリティ業界はお蕎麦好きが多いのでしょうか。

昨年12月にマイクロソフトに転職しました。久しぶりの更新になりますが、引き続きよろしくお願いします！

今回はちょっと趣向を変えて、情報セキュリティの「歌」を紹介します。

先月、情報セキュリティ対策推進コミュニティ事務局メンバーである、TBS様プロデュースによる情報セキュリティの歌「WANT TO BE SAFE!」を発表されました。テレビやニュースなどでご覧になった方もいらっしゃると思いますが、プロモーションビデオが公開されました。

「WANT TO BE SAFE!」 by 情報セキュリティレンジャーズ PV
http://www.netanzen.jp/campaignsong.html

子供たちが、「不正アクセス」、「アンチウィルス」、「ファイアウォール」などお馴染みのセキュリティ用語を使うのが、何とも言えなく新鮮です。とてもかわいいのでぜひご覧下さい。ラッキー池田さんによる振り付けも必見です。私はこの歌が頭から離れません！

情報セキュリティ対策推進コミュニティでは、2009年度の参加企業・団体を募集中です。こちらもよろしくお願いします！
http://www.netanzen.jp/img/leaflet.pdf

申込期限は2月28日まで、参加費用は無料です。

お申し込みはこちらです：
https://www.netanzen.jp/register/company.php

今さらですが、先月BlackHat Japanに行ってきました。今年は一部のセッションと懇親化のみの参加でしたが、簡単にレポートします。

セッション

Understanding Targeted Attacks with Office Documents
Officeドキュメントを使った攻撃を理解しよう
by Bruce Dang (ブルース・ダン氏）

MS Office 2003以前のPowerPoint、Excel、Wordなどの脆弱性を使った標的型攻撃とここ数年問題となっていますが、その解析方法や対策についてのセッションでした。Office 2003ではバイナリ形式のファイルフォーマットの構造(PowerPoint, Excel)、解析方法(CやPythonで解析)、対策方法(Office 2007, 2003 SP3, MOICE)、Exploitの構造などについて解説されました。
資料はこちらにて公開されています。
http://www.blackhat.com/presentations/bh-jp-08/bh-jp-08-Dang/BlackHat-Japan-08-Dang-Office-Attacks.pdf

Threat Gallery of Japanese Landscape
日本に迫る脅威～SOCからみた景色～
by Hiroshi Kawaguchi (川口洋氏）

JSOCの観測データに基づいた、昨今の攻撃の目的や手法の変化についてのセッションです。例えば、同じSQLインジェクションでも、以前はDBからデータを抜き出すことが目的だったのが、最近ではクライアントのデータを抜き出すことを目的としていることや、IDS/IPSをバイパスするためにどのようなリクエストが細工されているかなどについて解説されました。http://www.blackhat.com/presentations/bh-jp-08/bh-jp-08-Kawaguchi/BlackHat-Japan-08-Kawaguchi-Japanese-Threat-08-JP.pdf

懇親会

初日は懇親会のみ参加しました。今年は私の仕事のパートナーの赤澤が乾杯の挨拶をしました。あっさりしたスピーチでしたが、本人はイベントの前から一所懸命準備していたのを知っていたので、挨拶が終わった後、会場がリラックスしたムードになったのが妙にうれしかったです。今年はAV200Xというサブイベントもあり、全般的にスピーカーの方々と話ができる機会も増えたように感じました。

展示スペースにて...

上(左から)： 金澤さん、蓑田さん、笠原さん、内田さん、赤澤さん

下： カナさん、高橋

今年のPacSecセキュリティカンファレンスのスピーカーが概ね決まりました。

11月12-13日に東京の青山ダイヤモンドホールで開催予定です。

Arrigo Trulzi - Putting an SSH server in your NIC
Erik Tews - Gone in 900 Seconds, Some Crypto Issues with TKIP/WPA
Mark Dowd - Browser Memory Protection Bypasses: Virtual Machines
Chris Evans, Billy Rios - Cross domain leakiness: Divulging   sensitive information and attacking SSL sessions
Rich Cannings - Flash XSS
Fredric Raynal, Guillaume Delugre - Malicious origami in PDF
Takahashi Akiko - Security for Virtual and Physical Server Environment
David Thiel - Living in the RIA World (Flash/Air, Silverlight,  Gears, Prism, BrowserNow, HTML5)
Peleus Uhley - Understanding Cross-Domain Models and Threats
Emmanuel Bouillon - Gaining access through Kerberos
Stephan Chenette - A new web attack vector: Script Fragmentation
Tetsuo Handa - Countermeasure to SSH Brute Force Attack according to  behaviour
Carlos Sarraute - Advances in Automated Attack Planning
Toshiaki Ishiyama - Inside "Winnyp", Winnyp Internals and Concepts of  Network Crawling

詳細は近々PacSecウェブサイトに公開される予定です。

今年は私もスピーカーとして、お話しさせていただくことになりました。皆様のお役に立てる発表ができるよう頑張ります。内容は、仮想環境と物理環境のセキュリティの違いについてです。

先週、Security Solution 2008に行ってきました。8/20、21、22の3日間、東京ビッグサイトで開催されました。出展ブースとフォーラム(セッション)で構成されているイベントです。昨年と比べて展示よりも、フォーラムが充実しているように感じました。

フォーラム
気がついた時には殆どのセッションが埋まっており、残念ながら参加できませんでしたが、面白そうなセッションがいっぱいありました。

出展ブース
写真は特設テーマコーナーの様子。「メールセキュリティ」、「フォレンジック・ログ取得/監査」、「Webからの脅威対策」という3つのテーマでの展示ブースが並んでいました。

SCSのブースの様子
脆弱性スキャナ、WAF、仮想化セキュリティ製品、SIM、ログ管理アプライアンスなどを展示していました。

VirtualShieldという仮想環境用のセキュリティ製品が記事に掲載されました。セキュリティホールmemoでも取り上げて頂きました。本当にありがとうございます。VirtualShield 4.2については、Interopでベータ版を参考出品していました。リリースはまだ少し先になりそうです。

最後にSCSのブースで集合写真を撮りました。イベントの後の集合写真ってなんか好きです。3日間で予想をはるかに上回るお客様がブースにお立ち寄り頂いたそうで、当部のマーケティング担当の赤澤はかなりテンション上がってました。みなさんお疲れ様でした。

7月29日に開催したセミナーのレポートを公開しました！資料のダウンロードや録画版の視聴が可能です。

仮想化セキュリティセミナー（2008年7月29日）レポート
https://sec.scs.co.jp/bluelane/report_dl_20080729.html

7月25日の投稿でお話ししましたが、仮想環境におけるセキュリティ対策を洗い出す為にPCIDSSを参考にしました。PCIDSSは導入する機器やソフトウェア、運用方法が具体的なので、それを仮想環境に適用した場合どうなるかイメージしやすかったです。

当日かなり緊張してしまい、あまり声がでなくて申し訳ございませんでした。次回までに発声練習しておきます！

資料の方はわかりやすくできたと思います。ご興味のある方は、こちらからダウンロードをお願いします。