すでにパスワードでユーザを認証する，ということが崩壊してるわけで，いかに安価に実装できるからといって，それが今のまま進むというのはいささか甘い．また，指紋認証とか生体認証は，リスト型アカウントハッキングに一定の効果があると感じているが，こ…

昨今の攻撃を見ていると，リスト型アカウントハッキング攻撃の意図は金銭にあるのではないか？というのは真っ先に思いつく． 問題は，攻撃者は金銭をどうやって得るか？というところなのだが…．基本，リスト型アカウントハッキング攻撃で入手可能な情報は，…

リスト型アカウントハッキングとか，パスワードリスト攻撃とか，いくつかの呼び名で示されるこの攻撃，要は「どっかから漏れだしたIDとパスワードの組を大量に持っていて，それ使って不正ログインを試行するという攻撃と理解している．この攻撃，落ち着いて…

いろいろ首がしまってるんだけどｗ，それでも書いておく．

概要：一時ファイルの削除時の処理にバグがあり，近隣のフォルダ類も道連れに．で，詳細は以下のとおり．アップデートプログラムにもおおざっぱには2通りあると考えてて… 配信されるデータそのものが実行可能形式（プログラム）になっている プログラムその…

なんか，PSO2のアップデートで大変なことがおこってるみたいで…． オレ，PSO2やってないから関係ないといえば関係ないんだけどｗ，テキトーな推測を書いてみる． PC版ユーザのみ阿鼻叫喚になっている，ということで…考えられるのは「アップデートプログラム…

実はオレも，先月の下旬くらいから始めた新米提督ｗながら何気にプレイしてたり． いろんなところで書かれているから，ここであえてあれこれ書かないけど（NAVARのまとめとかもあったりするし），よくできてる良心的なゲームかなーと感じてたり． 気を付ける…

10年前に日記書き始めてから10周年． 毎日ではないけど，続くモンだねー．

「水飲み場に毒まいて，飲みに来たカモがひっかかるのを待つ」という，なんともなことでした．狩猟民族的な考え方だとこうはならず，ライオンとかが待ち伏せるという意味になるのかもしれないけど，農耕民族の末裔であるオレとかは，そういう考えには至らず…

間違えて「型」をいれちゃってましたが，正確には「Web待ち伏せ攻撃（Web Ambush Attacks）」ですね．書いた文章は（一部）修正済み．

セキュリティに限らずなんでもそうなんだけど，なんかすごそうなｗコトバを並べて恐怖を煽ったりという人が少なからずいるように思う．これはいただけない．なんか厨二病みたいで嫌だなとも感じる． ホントに理解を促したいのであれば，まず「ご理解いただく…

よく考えると，上の引用中に答えが書いてあったよねｗという感じもするが，「水飲み場」という場に着目するのではなく「攻撃者が何かを仕掛けて攻撃対象を『待ち伏せる』」という講堂に着目すれば，話は早い． 正規なWebサイトで待ち伏せする水飲み場攻撃に…

なんでもかんでも標的型攻撃に繋げたい方々がいらっしゃるような感もあったり．ちなみにオレは，「なんじゃそりゃ？」という手合いだった． で，水飲み場型攻撃なんだけど，例えば「IEへのゼロデイ攻撃で用いられた“水飲み場型”攻撃」という記事では，水飲み…

という話を同僚としていたのだけど，あまりにナイスな言い換えが提案された…． その名も「Web待ち伏せ攻撃」．オレ的には即採択ｗ

リンク先は，「Apache Struts」としか書かれてないけど，Struts 1.x と Struts 2.x は（開発元は同じでも）別モンという認識なので，あえて「Struts 2」と書いている． で，この脆弱性，心底ヤバいという風である．該当するStruts 2を使ってるWebアプリ，本…

ええと，帰宅してからいままでに，一度過熱して落ちました…＞オレのマシン

別にオレは，世の中のすべてのWebサイトに責任を持つ者でもなんでもないけどｗ，さすがにここまで放置されているWebサイトが多いと気になる． どのような運用になっているのか？てのはあるけど，自分ところのWebサイトがどんなになってるのか？てのは，折を…

見え見えの特徴があるところで「どうやって？」などと聞かれても「ここまでわかれば普通調べられるだろ」としか言えない． 改ざんコードの特徴を検索エンジンに食わせれば，嫌でも山ほど見つかる…． 見つかったURLを，wgetなりのコマンドで取得して内容を目…

というのは，きわめてあたりまえのことなのだがｗ，このような改ざんに気づいてないWebサイト／Webサーバの管理者は，次に改ざんされても気づかない可能性がある． 要は「改ざんしやすいWebサイトリスト」に掲載され続けてるように見えるけど，当人は何も気…

少し見て回ると，おおよそなおってるか，改ざんされたWebページが消されてるか閲覧出来ない状況になっているかという風に見える． が，「残ってるんじゃないか？」とちょっとだけ根性入れて探すと，いや，あるわあるわ…． で，残ってるところの特徴をざっと…

ということで，少しだけ調査をしてみた．*1 JPCERT/CCからもWeb サイト改ざんに関する注意喚起としてリリースされていますが，1ヶ月以上経過してたりする． どういう状況なのか？を少し調べてみた． *1:別に暇な訳じゃないけど，いろいろとひっかかる

アレ＝大規模改ざんの件について書いてから．

結論から言うと，「使わないよりは使ったほうがいい」となる．ただ，これ使ったからすべてが最新であると思わないほうがいい． 対応製品は，Windows版とLinux版で何気に同じだが，要は「Webサーバ」「Tomcat 1.5」「BIND」「Java」「OpenSSL」というように，…

結論から言うと，「使わないよりは使ったほうがいい」となる．ただ，「絶対に使わなければならない」ほどのものか？と言われると，ちょっと疑問だ． 以下にその理由を． 2013年1月のJVNからのリリースの中で，「ウェブブラウザ上で Java を実行する必要がな…

上の事例で明らかに抜けているのは，Webアプリケーションの脆弱性を突いたとおもわれるもの．それも個別に作ったものではなく，古いパッケージ製品や，脆弱性がすでに判明している（そして攻撃手段も準備されている）オープンソースなCMSの脆弱性を突いたと…

なんともな感じだが，IPAから「 止まらないウェブ改ざん！ 」〜ウェブサイトの管理の再検討を！〜という周知が出ている． この周知は，先月までに多く確認されたWebサイト改ざんを受けてなされたものだが，内容は大変限定的なものになっている． 読んでる人…

まぁ，これはしょうがない…

いろいろ書いたが，まとめると以下のところに集約される． キャンプはあくまで手段であり，通過点である やる気をわかる形で見せてほしい キャンプの期間中にやることについていけると思わせてほしい 主張するポイントや手がかりは，きちんと提示されている …

まだ「これ」という分野に行き着いていない，もしくは自分でそういう分野があると自覚していない人は，そういう分野を見つけてほしい． あくまで個人的な感覚ではあるが，そういう分野を見つけた人が，さらなる知見や見方を身に着ける手伝いをするのが講師陣…

ある年でダメでも，次の年，そしてまた次の年に応募してきて，参加できた人もいる． そういう人は，1年間本当にがんばってきたんだな，というような内容を応募用紙に書いてきてくれている．それこそ，1年ということは，次回の応募開始までは300日程度を取れ…