6月 26

佐川急便が行った迷惑メールに関する注意喚起について

先日、佐川急便から下記のようなメールが来ました。
sagawaspam

WEBトータルサポート会員様へ

いつも佐川急便をご利用いただきましてありがとうございます。

最近、佐川急便を装った迷惑メールが届くというお問い合わせが増えております。

このような迷惑メールに記載されているアドレスにアクセスされますと、
意図しないサイトへアクセスしてしまう場合がありますのでご注意ください。

不審なメールを受信された場合は本文中のURLへのアクセスや返信をなさらないようご注意をいただき、
ご不明な点がございましたら担当営業所または「ご意見・お問い合わせ」までお問い合わせください。

■担当営業所の検索はこちら
http://www.sagawa-exp.co.jp/send/branch_search/tanto/

■ご意見・お問い合わせはこちら
https://www2.sagawa-exp.co.jp/contact/communication/

ご注意

本メールアドレスは配信専用となっております。
本メールへの返信は受付できませんのでご了承ください。

————————————————————
佐川急便株式会社
http://www.sagawa-exp.co.jp/
————————————————————

折角なのにもったいないと思いました。

不審なメールを受信された場合は本文中のURLへのアクセスや返信をなさらないようご注意をいただき


とありますが、そのメール内でURLへのアクセスを促してしまっています。
これそのものが迷惑メールやフィッシングメールではないか?と思わせてしまいますし、このメールをベースに少し細工をした迷惑メールやフィッシングメールが送られてしまうかもしれません。(なんとなく引っかかりやすそうですよね)メールで受信したURLは基本開かないという癖をつけてもらうために、例えば、ブックマークなどから佐川急便のサイトにアクセスしてからログインを行うことを促すなどしていただければよかったなと思いました。

佐川急便のサイトでは「佐川急便を装った迷惑メールにご注意ください」というコンテンツがあり過去に報告を受けた迷惑メールやフィッシングメールを思われるメールの本文を公開してくださっています。
こういう風に可能な限り情報を公開してくださることはとても素晴らしいことだと思います。

と思っていただけに今回の注意喚起のメールが気になりましたよ。

Category: memo | 佐川急便が行った迷惑メールに関する注意喚起について はコメントを受け付けていません。
6月 23

ビックカメラがログインIDをメールアドレスへ変更したことについて

先日、ビックカメラは同社の通販サイトである「ビックカメラ.com」のログインIDを会員を自由に設定できていたものからメールアドレスに統一するという変更を行いました。
00

以下の記事で取り上げられボクも求められたことについてコメントしました。
もう少し言いたいことがあったのでこのブログに書いておこうと思います。

ITpro ビックカメラ、通販のなりすまし対策で会員IDのメアドへの変更を強制

まず、今回の「ビックカメラ.com」の変更点は下記の通りとなります。

① ID設定のルールから自由なものからメールアドレスのみに変更
② 設定できるパスワードの縛りが6文字以上から8文字以上に変更
(厳密には6文字以上から12文字以下から8文字以上12文字以下に変更)
③ パスワードリセットにおいて秘密の質問を追加

③についての挙動についてチェックしましたが、パスワードリセットを行う際に必要な情報としてメールアドレス + 電話番号(会員登録時に必要)の組み合わせを入力すると事前に設定したメールアドレスにパスワードリセットのためのリンクが送られてきます。
01
そこに記載されているURLにアクセスすると質問が表示され(自身で過去に設定したものが自動で表示されています)、そこに答えを入力し、正しければ新しいパスワードを設定することができる画面へと遷移するというものです。
メールアドレスと電話番号くらいは知人であれば知ることが容易な情報であると考えられますが設定されたメールアカウントが乗っ取られていない限り新しいパスワードを設定することができません。

①と②についてですが
②に関してはパスワードの最低限の長さの強制が6文字以上から8文字以上へと長くなっていますので総当りへの耐性は強固になったと言えるかと思います。(アカウントのロックアウト機能があるかどうかは検証しておりません。)
ただ、利用できる文字種が半角英数字ですので、できれば記号を使えるようにし、12文字の文字長の上限をもう少し長いものにしてほしかったとは思います。こちらは今後に期待することにします。

しかし、①には、条件付きではありますが、この変更によって改悪となってしまうケースがあるのではないかと思っています。

それは、元々、8文字以上のパスワードで他のサイトと同一のパスワードを設定してしまっているユーザと8文字未満から8文字以上のパスワードに設定しなおしたユーザが他のサイトと同一のパスワードを設定しまうというケースです。
このケースに当てはまってしまうと、今回の変更で自由な文字列であったログインIDをメールアドレスに変更することで過去にどこかから漏洩したログインID(メールアドレスの場合が多い)、パスワードを用いた俗に言うリスト型攻撃の被害を受ける可能性が高まってしまう。ということになるかと思います。

Category: memo | ビックカメラがログインIDをメールアドレスへ変更したことについて はコメントを受け付けていません。
2月 23

NSEarchをインストールして使ってみましたよ

nsearch03
ポートスキャナ「Nmap」には、NSE(Nmap Scripting Engine)http://nmap.org/book/man-nse.htmlというものが付属しています。NSEは様々な処理を自動化したスクリプトでサービスの設定を確認するものや脆弱性が存在するかどうかをチェックするようなものなど多種多様で、自分自身で記述することも可能です。
今回はこのNSEを検索するためのツール「NSEarch」をKali Linux 1.1.0にインストールして使ってみました。

【NSEarchをダウンロード】

git clone https://github.com/JKO/nsearch.git

【設定に必要なNSEが保存されているPathを取得】

find /usr -type f -name “script.db” 2>/dev/null | awk ‘gsub(“script.db”,””)’
/usr/share/nmap/scripts/

【設定ファイルの編集】

cd nsearch
cp config.yaml.example config.yaml
vi config.yaml

(設定ファイル編集前)

#Configuration File

config:
scriptsPath: “/usr/local/share/nmap/scripts/”
filePath: “/usr/local/share/nmap/scripts/script.db”
fileBackup: ‘scriptbk.db’
scriptdb: “nmap_scripts.sqlite3”
categories: [“auth”,”broadcast”,”brute”,”default”,”discovery”,”dos”,”exploit”,”external”,”fuzzer”,”intrusive”,”malware”,”safe”,”version”,”vuln”]

(設定ファイル編集後)

#Configuration File

config:
scriptsPath: “/usr/share/nmap/scripts/”
filePath: “/usr/share/nmap/scripts/script.db”
fileBackup: ‘scriptbk.db’
scriptdb: “nmap_scripts.sqlite3”
categories: [“auth”,”broadcast”,”brute”,”default”,”discovery”,”dos”,”exploit”,”external”,”fuzzer”,”intrusive”,”malware”,”safe”,”version”,”vuln”]

【NSEarchを実行】

python nsearch.py

================================================
_ _ _____ _____ _
| \ | |/ ___|| ___| | |
| \| |\ `–. | |__ __ _ _ __ ___ | |__
| . ` | `–. \| __| / _` || ‘__| / __|| ‘_ \
| |\ |/\__/ /| |___ | (_| || | | (__ | | | |
\_| \_/\____/ \____/ \__,_||_| \___||_| |_|
================================================
Version 0.3 | @jjtibaquira
================================================

Creating Database :nmap_scripts.sqlite3
Creating Table For Script ….
Creating Table for Categories ….
Creating Table for Scripts per Category ….
Upload Categories to Categories Table …

================================================
_ _ _____ _____ _
| \ | |/ ___|| ___| | |
| \| |\ `–. | |__ __ _ _ __ ___ | |__
| . ` | `–. \| __| / _` || ‘__| / __|| ‘_ |
| |\ |/\__/ /| |___ | (_| || | | (__ | | | |
\_| \_/\____/ \____/ \__,_||_| \___||_| |_|
================================================
Version 0.3 | @jjtibaquira
================================================

nsearch>

【helpを表示】

nsearch> help

Nsearch Commands
================
clear doc exit help history last search

【各コマンドのhelpを表示】

nsearch> help clear
Clear the shell

nsearch> help doc
Usage:
doc

nsearch> help exit
Exits from the console

nsearch> help history
Print a list of commands that have been entered

nsearch> help last
Print the last Result of the Query

nsearch> help search

name : Search by script’s name
category : Search by category
Usage:
search name:http
search category:exploit

【基本的な使い方】
基本的には[search]コマンドを用いてNSEを探すことになるかと思います。
Version 0.3での検索の方法は[name]と[category]が用意されています。
[name]では指定した文字列を含んでいるNSEが列挙されます。
また、[category]では「NSEarch」の設定ファイルに定義されているカテゴリーにマッチするものを列挙されます。
Version 0.3 では「auth」「broadcast」「brute”」「default」「discovery」「dos」「exploit”」「external」「fuzzer」「intrusive」「malware」「safe」「version」「vuln」が定義されています。

以下は[name]で[ntp]、[category]で[auth]で[search]コマンドを実行したログです。

nsearch> search name:ntp
1.http-frontpage-login.nse
2.ntp-info.nse
3.ntp-monlist.nse

nsearch> search category:auth
1.ajp-auth.nse
2.creds-summary.nse
3.domcon-cmd.nse
4.domino-enum-users.nse
5.ftp-anon.nse
6.http-auth.nse
——– SNIP ——–
29.sip-enum-users.nse
30.smb-enum-users.nse
31.smtp-enum-users.nse
32.snmp-win32-users.nse
33.x11-access.nse

また、[doc]コマンドを用いることで指定したNSEを見ることができます。

nsearch> doc ntp-info.nse
local bin = require “bin”
local comm = require “comm”
local nmap = require “nmap”
local shortport = require “shortport”
local stdnse = require “stdnse”
local string = require “string”
local table = require “table”

description = [[
Gets the time and configuration variables from an NTP server. We send two
requests: a time request and a “read variables” (opcode 2) control message.
Without verbosity, the script shows the time and the value of the
—- SNIP —-
author = “Richard Sammet”

誤った文字列を指定するとエラーメッセージではなく終了してしまったり、NSEによっては[doc]コマンドの結果が正しく表示されなかったりという荒削り感はありますがその辺りは今後のバージョンアップに期待です。

Category: memo | NSEarchをインストールして使ってみましたよ はコメントを受け付けていません。
2月 10

Kali Linux NetHunter “Bad USB” MITM Attack + sslstripメモ

Nexus5にインストールした「Kali Linux NetHunter」のココにある「”Bad USB” MITM Attack」を実行した上で「sslstrip」を実行しSSL通信を覗き見るということをしてみたのでそのときのメモです。

実施内容は下図の通りです。
fig01
通常では水色の経路で通信しているコンピュータにBadUSB機能を有効にした状態のNethunterをUSB接続することでそれ以後は黒色の経路の通信を行うように設定を変更してしまいます。これにより通信内容を覗き見たり、干渉したりすることが可能になります。

まず、NethunterのBadUSB機能をONにします。
下図のNethunterのメニューからの実行はうまく動作しなかったため起動スクリプトを編集した上でターミナルからスクリプトを実行しました。
menubadusb

【/sdcard/files/startbadusb.shの編集】

#dnsmasq -H /data/local/tmp/hosts -i $INTERFACE -R -S 8.8.8.8 -F 10.0.0.100,10.0..0.200 -x $TMPDIR/dnsmasq.pid
dnsmasq -C /sdcard/files/dnsmasq.conf -x $TMPDIR/dnsmasq.pid -i $INTERFACE

dnsmasq -H /data/local/tmp/hosts -i $INTERFACE -R -S 8.8.8.8 -F 10.0.0.100,10.0..0.200 -x $TMPDIR/dnsmasq.pid
#dnsmasq -C /sdcard/files/dnsmasq.conf -x $TMPDIR/dnsmasq.pid -i $INTERFACE

【/sdcard/files/startbadusb.shの実行】

/sdcard/files# ./startbadusb.sh
iptables v1.4.14
rndis,hid
1

これで準備は完了ですのでコンピュータにNexus5をUSBで接続します。
しばらくするとネットワークの設定が変更され、それ以降Nexus5を経由しての通信を行うようになります。
下図は設定を変更し、通信がNexus5を経由していることを確認するためwww.google.comにpingを送信しその内容をNexus5で表示しているものです。その左横にあるコマンドプロンプトを見ても分かる通りデフォルトゲートウェイが変更されています。また、その次に実行しているPingの内容がNexus5の画面に同様のものが表示されていることからNexus5経由の通信に変更されたことが分かるかと思います。
badusb_cap

これでMan In The Middle状態になりました。
しかし、SSL通信は暗号化されて覗き見ることができないため「sslstrip」を利用します。
「sslstrip」を実行した際に行われることは下図の通りです。
fig02

【IPTABLESのリダイレクト設定】

iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT
–to-port 8080

【sslstripの起動】

sslstrip -l 8080

この状態でYahooのログイン画面にアクセスしてみます。
sslstrip01
URLがhttpsになっていないことが分かります。この状態でログイン処理を行います。
入力、送信した情報は存在しないアカウントのもので
ユーザ名「test@pentest.ninja」
パスワード「MIMTtest」
です。

送信後、ログファイル「/sdcard/files/sslstrip」の内容を確認したものが下図です。
sslstrip02
送信した認証情報が表示されているのが分かるかと思います。

同じ内容をNexus5上で確認したものは下図の通りです。
sslstrip03

以上です。

Category: memo | Kali Linux NetHunter “Bad USB” MITM Attack + sslstripメモ はコメントを受け付けていません。
12月 26

ドメインに対する永続的な管理者権限での侵入の検証レポート

【概要】
WindowsのKerberos認証の脆弱性により、権限昇格が行える脆弱性(CVE-2014-6324)に関する検証レポート」で紹介した、MS14-068の修正プログラムにより修正される脆弱性は、ドメインに参加が許可されているユーザーがドメインの管理者権限を奪取することが可能な問題です。この脆弱性を利用した後の攻撃者による更なるシナリオとしては、

  • ドメインユーザー名とそのパスワードハッシュのリストを取得する
  • バックドア用のユーザーを作成する
  • マルウェアをインストールする
  • 侵入範囲を拡大するための情報(ホスト名、IPアドレス)を収集する
  • 侵入範囲を拡大する

などといった行動が考えられます。
他には、永続的な侵入を可能にするためにKerberosチケットの有効期限を変更するというものも挙げられます。

以下の図はチケットの有効期限を10年間に変更したものです。チケットの有効期限内であれば、チケットのユーザーのパスワードを変更したとしても、攻撃者はログオンすることが可能となります。すなわち、チケットの有効期限を変更することで攻撃者は永続的な攻撃が可能となります。
下図はチケットの有効期限を10年に変更したものの確認結果です。
P11_golden

このような状態のチケットは「Golden Ticket」と呼ばれています。
Golden Ticketは、任意のユーザー、または、任意の有効期限が設定された状態のチケットです。Windowsのドメインコントローラーはデフォルトで10時間のチケット有効期限が設定されていますが、Golden Ticketを利用することにより、この制限を回避してドメインのリソースへアクセスし続けることが可能となります。

また、以下の図は、Golden Ticketを利用してドメインコントローラーへアクセスした後、バックドア用のユーザー「golden」を作成し、ユーザー「golden」を「Domain Admins」権限へ追加するまでを示しています。

P11_golden2
このように攻撃者が任意のユーザ名、パスワードを設定した管理者ユーザアカウントを追加し、本来の管理者に気付かれぬよう永続的な侵入を行うといった攻撃が行われることもあります。

このGoldenチケットによるリソースへのアクセスを防ぐためには、krbtgtアカウントのパスワードを二回変更する必要があります。ただし、krbtgtアカウントのパスワードを変更することにより、現在ログオン中のセッション全てに影響を及ぼす可能性があるため、実行する際には運用中のシステムに影響を及ぼさないことを検証環境にて十分に確認を行ってから実施することを推奨します。

MS14-068の修正プログラムにより修正される脆弱性と併せて対策を実施する場合、

  1. MS14-068の修正プログラムを適用する
  2. krbtgtアカウントのパスワードを二回変更する

というステップを踏んでいただくことが挙げられます。

reported by y.izumita, ntsuji

 

Category: exploit, memo | ドメインに対する永続的な管理者権限での侵入の検証レポート はコメントを受け付けていません。
11月 26

1Password(Win版)がキーロガーに耐性があるか確認してみましたよ。

マルウェア「Citadel」に特定のパスワード管理ソフトのプロセスを検知するとキー入力を取得するという機能が追加されたという報道がありました。この狙いは、パスワード管理ソフトの要である「マスターパスワード」を盗み取るためでしょう。
マスターパスワードとは、登録されているすべてのパスワードにアクセスするための最も大切なパスワードです。例えるなら守衛室にあるような色々な部屋の鍵が入れてあるロッカーの鍵だと思っていただければいいかと思います。
パスワード管理ソフトでは登録されているすべてのパスワードをまとめたファイル(以下、パスワードデータ)は、このマスターパスワードで暗号化されています。そのため、仮にマルウェアに感染していて、最悪、パスワードデータを盗み出せたとしてもマスターパスワードが分からない限り中身を見ることができないわけです。しかし、前述したようにこのマスターパスワードを盗むために追加されたと思われる機能により、マルウェアに感染することでその理屈が通用しない状態となったわけです。
(パスワード管理ソフトの種別としては大きく分けて、パスワードデータがパスワード管理ソフトのインストールされているコンピュータに保存しているものと、クラウド上に保存する2つのタイプがあります。今回は前者のタイプへの確認です。)

パスワード管理ソフトにお世話になっているボクとしてはかなりの脅威です。

ということで今回はメインで使用しているパスワード管理ソフト「1Password」のWindows版においてマスターパスワード入力時にキーロガーから保護することが可能かどうかの確認を自作のキーロガーソフトで確認してみました。(入力文字列はテスト用です。)

1Passwordを起動し下図のように入力を行うと入力した文字列をキーロガーで取得することに成功し表示されました。
keylogtest01

しかし、下図のように「Unlock on Secure Desktop」ボタンで表示される入力ボックスに入力をした場合には入力した文字列はキーロガーでは取得できず表示されませんでした。
keylogtest02

残念ながらブラウザの拡張では「Unlock on Secure Desktop」ボタンがないためこの機能を使うことはできませんでした。(Chrome, Firefoxで確認)
keylogtest04

ブラウザの拡張ではなく、アプリの「Unlock on Secure Desktop」からマスターパスワードを入力し、ロックを解除しておけば設定されている時間内はブラウザの拡張もアンロック状態になりますので、その順でロックを解除するという運用は可能です。

ボクの作ったキーロガーで盗めないからといって、他のキーロガーで盗めないとは限りません。
もし、このあたりに詳し方がいらっしゃいましたらTwitterなどでこっそり教えていただけると嬉しいです。

Category: memo | 1Password(Win版)がキーロガーに耐性があるか確認してみましたよ。 はコメントを受け付けていません。
9月 24

「STOP!! パスワード使い回し!!」について考えました。

JPCERT/CCとIPAが「STOP!! パスワード使い回し!!」というキャンペーンを開始しました。

JPCERT/CCのプレス
IPAのプレス

JPCERT/CCが
「STOP!パスワード使い回し!」キャンペーンにご賛同頂ける企業の募集
を出しているところを見るとJPCERT/CC主導のキャンペーンなのでしょうか。

複数のサイトでパスワードの使い回しがあり、その現状に狙いを定めてリスト型攻撃が多く発生し、不正ログインの被害に遭っている方が増えていることを考えるとこのようなキャンペーンを行うことはとてもいいことだと思います。しかし、一方でボクはこのキャンペーンに薄らと違和感を覚えていました。その違和感というのはこの不正ログインを防止する上でどのような対策を誰が行うのかということとこのキャンペーンを照らし合わせたときに不十分に感じたからです。

「不正ログインを防止する」ということをボクは交通安全を実現し人命を救うことに例えることがよくあります。
サービス提供側は車の製造メーカー。ユーザはドライバーです。
エアバッグや衝突被害軽減ブレーキなど安全に配慮した機能を実装するのは車の製造メーカーです。
その車を適正に利用し、危険な運転を行わないようにするのはドライバーです。
この両方が満たされることが交通安全、人命を救うことに繋がると考えています。つまり、どちらか一方が欠けてもいけないということです。この例えからすると、サービス提供側は、強固なパスワードを設定することが可能となる実装するなどといったユーザを最大限に保護する機能を提供し、ユーザは強固なパスワードを設定し、使い回しをしない。ということで「不正ログインを防止する」ということが実現できると考えています。もちろん、それぞれは義務ではありませんので強制することはできず、一定の自由があるとも考えています。いずれにせよ、「不正ログインを防止する」にはサービス提供側とそのユーザそれぞれが努力する必要があると思います。

今回のキャンペーンを見てみるとユーザにしか努力しようがない「パスワードの使い回し」にフォーカスされています。不正ログインに対抗するためには「パスワードの使い回し」だけではなく、推測可能な「弱いパスワード」もSTOPさせる必要があると考えています。今回のキャンペーン対してはいくつかの賛同企業があり、それによって多くの方に「パスワードの使い回し」をやめてもらうための情報発信をすることはとても価値のあることだと思いますが、不正ログインそのものに対抗するためには、その賛同企業にも努力の余地があるのではないだろうか。と考えました。そこで賛同企業の提供サービスの一部ではありますがどのようなユーザを保護する機能を実装しているのかということを調査してみました。調査の結果は以下の通りです。(ボク自身が登録していなかったサービスが多数あったため今回登録して調査をしてみたのですが誤りやお気づきの点があればこっそり教えていただければ幸いです。修正いたします。)

社名 サービス名 長さ 文字種 二要素 ユーザ名 [pasw0rd]を設定
Gunho ガンホーID 8~16 *1 半角英数 独自ID  可
Hoikuu 保育のひろば WordPre *2 WordPre *2 WordPre *2  WordPre *2
CyberAgent アメーバID 6~12 半角英数 *3 独自ID  可
dowango niconico 6~32 半角英数 メールアドレス
電話番号
 可
ナナロク 個人向けなし?
mixi mixi 6~ *4 半角英数記号 メールアドレス  不可
Yahoo!JAPAN Yahoo!JAPAN ID 6~32 半角英数記号 ユーザID *5  不可
楽天 楽天会員 6~ *6 *7 半角英数 メールアドレス *12  可
DeNA DeNA ID 8~20 半角英数記号 メールアドレス  可
GMOグループ GMOとくとくID 6~16 半角英数 メールアドレス  可
DMM.com
DMM.comラボ
DMM.com 4~16 半角英数 メールアドレス
独自ID
どちらも可
 可
セブン&アイ・ネットメディア セブンネット 6~12 半角英数記号 メールアドレス
独自ID *8
 可
グリー GREE 6~20 半角英数記号 メールアドレス  可
ジャックス インターコム
クラブ
6~8 半角英数 非会員の為
確認できず
検索した限り「無」?
独自ID 非会員の為
確認できず
ソースネクスト マイページ 6~16 半角英数記号 メールアドレス
自動で割振
12桁の独自ID
どちらも可
 可
ネット・コミュニケーションズ フレーバー
ネット
4~10 半角英数 メールアドレス  可
ビッグローブ マイページ 8~16 半角英数記号
(一部使えない記号有)
メールアドレス
独自ID
(自動割振)
どちらでも可
 不可
ポケットカード 会員専用
ネットサービス
5~10 *9 半角英数
及び「-」「_」 *10
非会員の為
確認できず
検索した限り「無」? *11
独自ID(自動割振) 非会員の為
確認できず
リクルートホールディングス リクルートID 6~20 半角英数記号 メールアドレス  可

*1 同じ文字が4文字以上連続、数字のみ、英字のみ不可
*2 WordPre利用と考えられるため不明
*3 数字のみIDに含まれる文字列は使用不可
*4 33文字でも設定できた
*5 シークレットID利用可
*6 33文字でも設定できた
*7 ユーザIDと同一は不可
*8 独自IDを登録した場合、独自IDでのみログイン可能
*9 少なくともアルファベット1文字以上を含ませる必要あり
*10 大文字小文字の区別なし
*11 ログイン時にはCAPTCHA有
*12 任意の独自IDに変更可能

記号が使えないサービスや設定できる文字数が長くないもの、辞書攻撃に耐性が弱そうなパスワードを設定可能なサービスが見受けられます。だから、ダメだとはならないと思うのですが、今回の「STOP!! パスワード使い回し!!」を継続しつつ。今後は「STOP!! 弱いパスワード!!」キャンペーンといったサービス提供側とそのユーザが一丸となって不正ログインに立ち向かうようなキャンペーンが実施されればいいな。と思いました。

度々、穴となる「秘密の質問」もSTOPしてくれると嬉しいですね。

2015年08月24日
楽天で利用できるユーザ名について注釈を追記しました。

2015年08月23日
「DMM.com、 DMM.comラボ」「セブン&アイ・ネットメディア」
「グリー」「ジャックス」「ソースネクスト」
「ネット・コミュニケーションズ」「ビッグローブ」
「ポケットカード」「リクルートホールディングス」
のサービスについて追記しました。

Category: memo | 「STOP!! パスワード使い回し!!」について考えました。 はコメントを受け付けていません。
8月 31

Wiresharkによる無線LAN通信の復号手順メモ

本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。また、本記事を利用した行為による問題に関しましては、一切責任を負いかねます。ご了承ください。

ひょんなきっかけで接続されているパスワードが設定されており、暗号化された無線LANを流れる自分以外の通信を復号できるかどうかということの再確認を「Wireshark」を用いて行ったのでそちらの手順のメモです。前提条件として、その無線LANに接続しているユーザはWPA2 Personalで共通のパスワードで接続しているというものです。
また、今回、Wiresharkを動作させているコンピュータはMacOSです。

まず、「Wireshark」を起動してメニューバーの

[Capture]→[Options]

を選択し、[Capture Options]ウインドウを表示します。
01

表示されたウインドウ内に表示されている中からパケットを収集するネットワークカードを選択して、ダブルクリックをします。すると下図のように[Edit Interface Settings]ウインドウが表示されますので
02

[Capture packets in promiscuous mode]
[Capture packets in monitor mode]

のそれぞれにチェックをします。

[Edit InterfaceSettings]ウインドウを[OK]で閉じ、[Capture Options]ウインドウを[Close]で閉じます。

次にメニューバーから

「Edit」 → 「Preferences…」

を選択し、[Preferences]ウインドウを開き、左ペインの[Protocols]を開き[IEEE 802.11]を選択します。
そうすると右ペインの表示が変化するので
[Enable decryption]にチェックを付けて
[Decryption Keys:]の[Edit…]ボタンをクリックします。
03

すると[WEP and WPA Decryption Keys]ウインドウが開きます。
04-1

そして、[New]ボタンをクリックし、復号したい通信が流れる無線LANアクセスポイントの暗号化方式[Key Type]とパスフレーズとSSIDを入力をします。今回は[WPA-PWD]の通信を復号するため[Key]の部分は

Passphrase:ssid

という形式で入力します。
04-03

上記ウインドウ、[WEP and WPA Decryption Keys]ウインドウ、[Preferences]ウインドウを[OK]で閉じます。

これで準備は整いました。後は通信をキャプチャするだけで、条件に合致した通信は復号されて読むことができるようになります。
05

下図は、復号を行った状態と行っていない状態での通信の内容を表示したものです。
復号後のものはアクセスしたサイトのアドレスが表示されています。

【復号前】
09

【復号後】
07

Category: memo | Wiresharkによる無線LAN通信の復号手順メモ はコメントを受け付けていません。
8月 25

模倣サイトと呼ばれている「3s3s」について

各所から「模倣サイト」に関する注意喚起が出されています。多くの注意喚起は
「コンピュータウィルスに感染するなどの恐れがあり」といったような文言を添えて注意喚起をしています。模倣サイトとされているサイトのドメインは伏せられていることが殆どですが一部の発表によると「3s3s.org」というドメインのようです。
このあたりについてはpiyokangoさんがまとめを作られているので参照いただければと思います。

さて、この「3s3s」は一体どのようなサイトなのか?ということなのですが、それについてはトップページに書かれています。

3s3s01

Your favorite site someone has blocked? You do not like censorship?
Enter the site address in the text box below and click “Unblock”.

「あなたのお気に入りのサイト誰が誰かにブロックされましたか?あなたは検閲を好みませんか?
以下のテキストボックスにサイトのアドレスを入力し、「ブロックを解除する」をクリックしてください。」
といったところでしょうか。

この言葉通りであれば、何かしらの理由でユーザが見たいサイトがブロックされている場合、この「3s3s」を経由することで目的のサイトを見られるようにするというものだと考えられます。
「http://n.pentest.ninja/」というアドレスがブロックされているとすると「3s3s」を経由することで「http://n.pentest.ninja.3s3s.org/」というアドレスになり、閲覧できるようものだということです。つまり、誰かが意図的に作成したサイトではなく、元のサイトのまま表示させているため注意喚起のようにコンピュータウイルスの感染は考えられないということになります。もし、「3s3s」のほうにコンピュータウイルスに感染する危険性があるのであれば、元のサイトにもコンピュータウイルスに感染する危険性があるということになりますので本末転倒です。

また、この「3s3s」を経由すると「3s3s」が指定したサイトにアクセスを行ってきますので「3s3s.org」からのアクセスを「.htaccess」やファイアウォールなどでブロックすれば、各サイトで呼ばれているような「模倣サイト」の作成は防ぐことができるようになりますので、どうしても防ぎたいという場合は注意喚起をする前にそちらを実施すればいいのだと思います。
「.htaccess」によるブロックの方法は、Yuta Hayakawaさんがブログに書いてくださっています
さて、「模倣サイト」という言葉なのですが、こちらはこの言葉でいいのでしょうか。
ボクははじめ注意喚起していたことにTwitterで以下のようにつぶやきました。

これは「模倣サイト」という言葉に対して「コピー」という表現を使ったのですがこれに対してご指摘をいただきました。


※ また、北河拓士さんはTogetterにもこの件についてのまとめを作成してくださっています

おっしゃる通りで、このとき完全にコピーするよりも、プロクシのような仕組みのほうが「3s3s」自身の負荷も減らすこともできるのでこちらの可能性が高いかもしれないと思いました。

その後、piyokangoさんが「3s3s」の管理者に質問をしてくださったようでProxyであると明言されていますね。

何れにしてもこの「3s3s」は現在のところ仕組み上コンピュータウイルスに感染するようなものではないということが言えます。
もちろん、このサイトの管理者やこのサイトを乗っ取った攻撃者がある日「3s3s」を経由してのアクセスしたユーザに不正なスクリプトを埋め込むということをすれば、その瞬間からコンピュータウイルスに感染するというようなものに変更できなくはありませんが現在、各所で注意喚起されているものと
現在の「3s3s」の挙動は合致しない説明であると言えると思います。

ここまで書いてふと思い出したのですが過去にも似たようなことがありました。
昨年の4月11日にボクは以下のようなツイートをしています。

このつぶやきは、中国のドメインでフィッシングサイトらしきものが作成されているという注意喚起がされたときのものです。しかし、こちらも今回と似ているもので携帯電話でアクセスするためにサイトを携帯用に変換して表示してくれるサービスだったのでした。

また、このサイトを「3s3s」経由でアクセスしてみてソースコードを確認したのですが気になる表記がありました。下図の「blacklist.3s3s.org」の部分です。3s3s02

このアドレスにアクセスするといくつかのドメイン名とその管理者らしき方のメールアドレスが列挙されていました。試しにblacklistに記載されているドメインを入力してみたところ下図のようなポップアップが表示されました。
3s3s03

おそらく、「3s3s」にコンタクトを取りブラックリストに入れてもらうことでこのように対処してもらうことが可能なのでしょう。しかし、ポップアップにもある通り、OKを押すとすぐに「http://anonymouse.org/」にリダイレクトされました。
3s3s04

この「anonymous.org」も「3s3s」と似たサイトでここを経由して目的のサイトを閲覧するというものです。

だらだらと書いてきましたが簡単にいうと現在の「3s3s」は有害ではないと言えます。
どれくらい有害ではないかというと翻訳サイトで閲覧したいサイトのURLを打ち込むのと同様と考えていただければいいかもしれません。
参考までに下図はエキサイト翻訳のウェブページ翻訳で「http://n.pentest.ninja」を入力した結果です。
excitewebftans

日本に住んでいると検閲を受けてサイトをブロックされたりする機会はかなり少ないのであまりピンとくる方は多くはないのかもしれませんが、そのようなことが行われることが当たり前の国は世界中にあります。「3s3s」はそのような方のために作られたサービスなのかもしれません。
もちろん、普段から模倣サイトには気をつける必要があり、それと疑わしきものについては注意喚起すべきであるということにはボクも賛成ではありますが今回の件は「模倣サイトが作成されており、コンピュータウイルスに感染する恐れがある」といったような注意喚起そのものが不適切な表現であると言えます。とは言うものの「3s3s」側でも元のサイトと見た目に全く同じというわけではなく、元のサイトを表示するにはこちら。といったようなリンクなどをページ上部にでも表示してくれると親切設計で誤解を招きにくいのかもとも思いました。

今回の件で、正しく理解し、正しく伝え、正しく怖がるということの大切さを改めて考える事ができました。

Category: memo | 模倣サイトと呼ばれている「3s3s」について はコメントを受け付けていません。
8月 19

ANAの「Webパスワード」導入で思ったこと。

fly_01

全日本空輸(以下、ANA)から「Webパスワード」の導入に関する発表がありました。

これは、今まで数字4桁だったログインパスワード(と呼べる強度かどうかは別にして)から

任意の英文字(大小)と数字で構成する8桁以上16桁以下のパスワード

を設定できるようになるというものです。
実施開始予定は

2014年9月4日(木)午前 5:00(日本時間)より

とのことで

2014年12月3日まで

は案内、移行期間として

2014年12月4日以降

はこのポリシーの「Webパスワード」のみの利用に切り替わる予定だそうです。

設定できるパスワードと認証方法に関してはまだまだ万全というわけではなく

・使用できる文字種に「記号」を使えるようにする。
・設定可能な文字数を長くする。
・二要素(段階)認証を設定可能にする

など個人的には、改善の余地のあるものだと思います。

しかし、元々が数字4桁のみと脆弱極まりないと言えるものだったということもあるにはあるのですが
今回の「Webパスワードの導入」は大きな進歩だとも言えると思います。

ANAは、2014年3月11日、「ANAマイレージクラブ」のWebサイトに不正ログインがあり、
顧客9人のマイレージ・112万マイル(現金に換算すると、最大で65万円分)が「iTunesギフトコード」に不正に交換されていたこと発表しています。

この事実から以下のように考えることもできるのではないでしょうか。

65万円分の補填を行うことと、今まで数字4桁で構築してきたシステムを「Webパスワード」を設定できるように変更するコストを天秤にかけた場合、補填したほうが安い。(金銭的な)費用対効果を考えれば、決して誠意ある対応とは言えませんが、システムの変更を行わず、都度、補填を行うという選択をするという可能性も大いにあったのではないかと思います。

その中で改善点はまだまだあるものの
今回の選択をしたということは評価すべきことなのではないかと思います。

昨今、色々なところでセキュリティ事故が発生しています。
Web改ざん、不正ログイン、情報漏洩、サービス停止などなど。

もちろん、事故が起こるということは何かしらの不備があるからです。
それは、マイナスの評価をされて然るべきことだと思うのですが
その事故に対してどのような対応を取ったのかということは、事故を起こした事と別に評価すべきものではないかと思っています。

不正ログイン事故が発生した場合も可能な限りユーザに情報開示を行ったサービスと
そうではないサービスとでは違った評価がされるべきだと思っています。
前者は、きちんとプラスの評価をユーザもすべきだと思います。
その評価(マイナスだけではなくプラスの評価も)をTwitterなどでつぶやいてみることもいいと思います。地道かもしれませんが、そうした個々人のアクションがサービス提供側に伝わっていききちんと対応すれば、きちんと評価されるんだという空気が広がって良いサイクルが生まれていけばいいなって思います。

人は、誰でも誉められることは悪い気はせず嬉しいものだと思います。
そうすると「これでいいんだ。よかった。もっと頑張ろう」って思えるものだと思うんですよね。

今回のANAの対応を見て、ボクは「よくやってくれた!」と思いました。
今後、更なるレベルの向上も行ってくれることも期待したいと思います。

そして、今回のANAの対応を受けて
他のサービス提供サイトのセキュリティレベルの向上があると嬉しいと思います。

Category: memo | ANAの「Webパスワード」導入で思ったこと。 はコメントを受け付けていません。