ykkのセキュリティ、フォレンジック関連情報(自己啓発とモチベーション維持のために)

2010-01-15

百度の停止はDNSレコードの不正変更が原因/Googleに続いてAdobeも「標的型攻撃」、すなわちスパイ型トロイの木馬の攻撃に遭っていた

00:16

http://www.computerworld.jp/topics/vs/171889.html

百度(Baidu)が1月11日オフラインになったのは、

ドメインレジストラ「Register.com」でBaiduのDNSレコード

#変更されたことが原因である可能性が高い。

#“Iranian Cyber Army”という名称を使うハッカーらが、

#Register.comもしくはBaiduの従業員の1人にフィッシングを行い、

#Baiduに関する Register.comのレコードへのアクセスが可能となる

#ユーザー名とパスワードを入手したのではないかと推測している。

#こうした手法は、「DNSを直接ハッキングするよりも簡単だ」と同氏は指摘する。


Googleに続いてAdobeも、標的型攻撃、すなわちスパイ型トロイの木馬の攻撃に遭っていたことを明らかにした。

http://www.itmedia.co.jp/enterprise/articles/1001/14/news085.html

http://blog.f-secure.jp/archives/50334905.html

#我々は、この攻撃はエクスプロイトに支配されたPDFファイルが添付された、

#信頼できる電子メールを介して...。

Adobeは同時に、彼らもまた標的型攻撃を受けたことを発表した。

#もしかしたら何者かが、将来の攻撃のため、新たな脆弱性を発見するべく、

Adobeの開発システムにアクセスしようとしたのだろうか?

なーるほど...少しずつ繋がってきましたね...。

Google標的型攻撃(PDF)→中国の人権問題活動家のGmailアカウントへのアクセス?!

Adobe標的型攻撃(将来の攻撃のための新たな脆弱性を発見するため)


中国からGoogleほか30社以上に攻撃:目的はソースコード(WIRED VISION)

 http://pc.nikkeibp.co.jp/article/news/20100114/1022158/

中国語版Googleのブランド名「谷歌」(グゥガ)を発表

#金融機関や防衛関係の請負業者を含む米国の30社以上が攻撃され、

ソースコードが狙われていたことがわかった。

#米iDefense社(米VeriSign 社の子会社)のセキュリティ研究者たちによる情報だ。

Google社は、同社のほか、IT、金融、メディア化学なども含む他の20社以上が攻撃されたと述べた

#iDefense社によると、ハッカーらは、悪意のあるPDFファイルを添付した電子メールを

Google社の従業員に送信することで、同社のネットワークに侵入し、悪意のあるコードで、

Adobe Readerアプリケーションのゼロデイ脆弱性を利用した。

#受信者が悪意のあるPDF添付ファイルをクリックすると、『Trojan.Hydraq』というバックドア

トロイの木馬プログラムが、Windows DLLの形で侵入先のマシンにインストールされたという。

ようは、標的型(スピア)攻撃...ということ...らしい。


中国検閲ソフト訴訟の米法律事務所にサイバー攻撃

http://www.afpbb.com/article/environment-science-it/it/2682570/5165001


羽田で管制システムに障害、欠航や遅延が発生

http://itpro.nikkeibp.co.jp/article/NEWS/20100114/343219/

#障害が発生したのは、航空機の位置やスピード、便名などの情報を管理する

#「ターミナルレーダー情報処理システム」。障害発生後、すぐにパックアップ

#システムに切り替わったが、処理能力が低下した。

んんっ?!システム障害?!セキュリティインシデント?!


・ガンブラーウイルスによるWeb改ざんとその対策(NISC、警察庁

 http://www.nisc.go.jp/active/support/index.html

 http://www.nisc.go.jp/active/support/pdf/siryou1.pdf

 http://www.npa.go.jp/cyber/warning/h22/100108_1.html

#私の見落としですが、1月8日に更新された模様です。


ウェブサイト改ざんに関する注意喚起(IPA

 http://www.ipa.go.jp/security/topics/20091224.html

#1月13日に更新されたようです。

#改ざんされたウェブページを閲覧してウイルス感染する仕掛けにおいて、

Adobe Reader および Acrobat脆弱性が悪用されているという情報があります。

#本脆弱性の修正プログラムが 2010年1月13日(日本時間)に

アドビシステムズ社より公開されましたので、至急最新版に更新してください。

・クリエーター向けサイト「ncc」で一時ウイルス感染のおそれ

http://www.security-next.com/011826.html

センチュリー21加盟店でサイト改ざん - 関連する6社が被害

http://www.security-next.com/011825.html

・オンライントレードサイトの一部が改ざん被害 - 豊商事

http://www.security-next.com/011824.html

・年末から年始にかけてウェブサイトが改ざん - FJネクスト

http://www.security-next.com/011828.html


Windows XP同こんの「FLASH PLAYER」に脆弱性、最新版への更新を

http://internet.watch.impress.co.jp/docs/news/20100113_342029.html

http://itpro.nikkeibp.co.jp/article/NEWS/20100114/343199/?ST=security

Flash PlayerはAdobe Systemsの製品だが、過去にWindows XPとともに提供されていた経緯があることから、

マイクロソフトでもセキュリティアドバイザリを公開した。

#現在インストールされているFLASH PLAYERのバージョンは、アドビシステムズ

#「Adobe Flash Player」ページにアクセスすれば調べられる。

FLASH PLAYERやADOBE READERなどの脆弱性は、「ガンブラー」攻撃の標的になっている。


・広範なIT実務者にセキュリティ知識が求められる理由

http://www.computerworld.jp/news/sec/171269-1.html

#IT技術の面からだけでなく、「企業経営」や「組織運営」という観点からも情報セキュリティを理解し、

#適切な判断を下すことが必要とされているのだ。そのためには、技術や理論の断片的な知識ではなく、

#それを実際の業務の中で応用し、実施するだけの体系化された実践的知識が欠かせない。

#さらに、企業環境の変化や技術の進化に取り残され陳腐化してしまわないよう、

#過去ではなく現在において通用する最新の知識やスキルを備えている必要がある。


グーグルへのサイバー攻撃は「中国の情報活動の一環」、専門家

 http://www.afpbb.com/article/politics/2682523/5160340

グーグルサイバー攻撃の背後に中国政府がいると明言したわけではない。

#しかし、攻撃の洗練度や標的となった企業、攻撃が中国国内から行われたことから、

#同政府の関与があったものとみている。

アドビAdobe)も13日、自社を含む複数の企業が管理するネットワークが

#9日に組織的なサイバー攻撃を受け、各社と共同で調査していることを発表した。

#30社以上が中国から同様のサイバー攻撃を受けたと報じられている。


・【中国撤退】オバマ大統領グーグル擁護の考え

 http://rocketnews24.com/?p=22611

#ロバート・ギブス(Robert Gibbs)大統領報道官は「大統領インターネット

#自由に対してサポートしていて政権もこれを後押しするだろう」と明らかにした。

でしょうね...。


・米ヤフーグーグルを支持 サイバー攻撃巡り

http://www.nikkei.co.jp/news/kaigai/20100114ATGM1401G14012010.html

http://jp.wsj.com/US/node_21995

ヤフー広報は日本経済新聞の取材に対し、同社のネットワークが攻撃を受けたかどうか、

中国事業を今後どう展開するかについては回答を避けた。


ボットネット「ASProx」、再び活発化する

http://itpro.nikkeibp.co.jp/article/COLUMN/20100108/342983/

トレンドマイクロの製品では「TROJ_PIDIEF.ASP」として検出され、

#特別に細工されたPDFファイルとしてコンピュータに侵入する。

ASP技術のぜい弱性を利用した後さらに、「Adobe Reader」および「Adobe Acrobat」の

#バージョン9、8および7に存在する以下のぜい弱性を利用するのだ。

サイバー犯罪者たちは、Webサイトに存在するデータベース・プログラムのエラーを利用して、

#自身の攻撃コードを組み込む。ASProxでは、このSQL インジェクションのプロセスが自動化されており、

#時間をかけずに標的とするWebサイトにマルウエアを組み込むことができる。

#ASProxはWebページを改ざんする際、JavaScriptを使って不正なサイトへリダイレクトする

HTMLタグ「iframe」を非表示で埋め込む。この JavaScriptから攻撃が始まるのだ。

Y.K