wakatonoの戯れメモ

はてなダイアリーから引っ越してきました。

D-Grip社長の日記で,今回多発したWebページ改ざんに関連するおわびとおもわれる内容が

この5〜6月に多発したWeb改ざんの一部は,D-Grip社が管理していると思われるWebサイトもかなりの数含まれている.先日目grepしてみたwコンテンツを取得したのも,このD-Grip社が管理していると思われるWebサイトからだ.

本日確認したら,修正されていた.例によって可視化wしてみよう.
以下は,修正されたJSPによる出力である.

参考までに以下は,改ざんされた時の出力を可視化wしたものである.

改ざんされたものと比べると,あからさまに真っ赤になっている部分が減っていることがわかると思う.

D-Grip社長のおわびを読み解く

別に読み解くシリーズを始めたわけじゃないんだけどw,気になるところはあるので.

おわびには,以下のような文言がある.


弊社管理のホームページ、数百社様がハッキングとウィルス投下という状況になっております。

お客様には大変なご迷惑をお掛けし申し訳ございません。


通常のセキュリティソフトをなんなりと、かいくぐった最新のウィルスによる攻撃です。

実際,D-Grip社のWebサイトには,D-Grip社のお客様とおもわれるWebサイトへのリンクが掲載されていた(2013年6月8日時点ではメンテナンス中).

オレは実際に感染したブツを入手したわけではないので,あまり断定は出来ない.が,ウィルスに感染したのがひとつのトリガであるとするならば,かつて流行したGumblar攻撃のように,ドライブバイダウンロード攻撃により感染させられたウィルスで,Webサイトの更新のための情報を窃取され,その情報を使った不正なコンテンツの挿入が行われた,と考えるのが自然だ.

一つ注意したいのは,以下の部分.


通常のセキュリティソフトをなんなりと、かいくぐった最新のウィルスによる攻撃です。

この攻撃による不正改ざんコンテンツが読み込ませるのは,こちらのblogによると,FakeAV系のランサムウェア(?)という情報もあり,なんともしょぼい.となると,ウィルス自体は最新なのかもしれないが,そのウィルス自体は決してゼロデイなどを多用したものとは思えない.

最新のウィルスが最新の脆弱性を投入しているとは限らない

以前も参考にさせてもらった「日本のWebサイト改ざんを複数確認:PCは常に最新状態に!」(TrendLabs SECURITY BLOG)には,以下の記述がある.


一例では、Adobe Reader および Acrobat の古い脆弱性である「CVE-2010-0188」を使用した不正なPDFファイルがダウンロードされ、閲覧したPCが攻撃被害にあうことが確認されています。
本当にこれは一例でw,よく使われるとされるJava脆弱性も古いものであることが多い.ところが,このような古い脆弱性は,新しいバージョンでは脆弱性対応が行われていることがほとんどであるか,脆弱性に対応するための根本的な技術が導入されることがほとんどである.

なので,よく言われる「ソフトウェアは最新化を」というのは,脆弱性に付け入られる隙を減らすという観点では,とっても大事なことである.

セキュリティソフトウェア自体にも脆弱性がある,ということも考えられ,いわゆるパターンに反映されるまでのタイムラグがあることも考えあわせると,「ウィルススキャナを入れる」というのは「必要ではあるが十分ではない」ということがわかるだろう.

セキュリティソフトウェアを入れるまえに,使っている環境が既存の脆弱性に対応して最新化されているというのは,セキュリティを考える上で最低限の条件といえる.
ソフトウェアの脆弱性を放置しておくということを人間の身体に例えるならば,本来は運動したり食事する時の栄養バランスに気をつけるなどの健康的によいとされることを行わず,体調を崩したり病気にかかったりした時に医者に行けば良い,ということと似ている.
普段から自分の環境をチェックして,最新化を心がけてほしい.

そのソフト,本当に必要ですか?〜要らないものは消そうw

こんなこと書いたけど,ソフトウェアを入れるということは,管理対象が増えるということだ.
アップデートなどのしくみをきちんとしている「とおもわれる」ソフトウェアを使っていても,古い脆弱性を突かれることが多いわけだ.
ということで使わないようなモンを延々入れとくくらいならば,とっとと消してしまうのが吉である.
これは,メーカー製PCのプリインストールソフトなども同じことが言える.というか,そういうものこそとっとと抹殺してしまったほうが,動作は軽くなるし隙は減るし,良いことずくめだと思うんだが….