2015年2月のWindowsUpdate

2015年2月のWindowsUpdateがリリースされました。 Internet Explorer の脆弱性が前評判でも緊急扱いでしたが、緊急（リモートでコードが実行される） レベルでパッチがリリースされました。 でも IE だけじゃなかったです。 Windows カーネルモードドライバの脆弱性も、グループポリシーの脆弱性も、Officeの脆弱性も、いろいろと緊急でリリースされてました。 一つ一つの脆弱性について議論するよりかは、まとめて全部適用しましょう。 それで...

侵害を見つけるためにプロセスの実行をイベントログに記録する

マシンで不審な動作が行われていないかをチェックするのに、セキュリティイベントログでプロセスの生成や終了を出力させます。 これはグループポリシーで設定できます。 そしてマシンが侵害されると意図せずプロセスの実行が行われるので、これを見つけます。 ただしこのようにして出力するようにしたプロセスの生成イベントは、例えば net.exe コマンドが実行したとか、quser.exe コマンドが実行したとしか、イベントログには出力されません。 侵害が起きたかどうかのイベントを検知するためにはこれも重要な情報なのですが、プログラムの引数も欲しいです。cscript.exe のプロセス生成だけではなくて、引数で VB スクリプトファイル名も知りたいということです。 ※もちろんハッカーはスクリプトを実行したら必ずファイルを消しますから、どんなスクリプトかを知ることができるかどうかは微妙です。経験的には...

クロスサイトスクリプティング Q&A

クロスサイトスクリプティングって何ですか？ → インターネットを使っている中で起きるセキュリティ攻撃の一つです。 どこでその攻撃を受けるの？ → IEやChromeなどのブラウザを使っている中で受けることがあります。 IE や Chrome などにパッチを当てて最新に保てば大丈夫ですか？ → いいえ。ダメなんです。IE や Chrome がスクリプト実行できることに問題があります。 では IE や Chrome のスクリプトを止めるのはどうですか？ → JavaScriptやActiveXなどを含むブラウザーのスクリプトを無効にする方法で対応ということも言われますが、著しく使い勝手が悪くなります。個人で楽しむにはスクリプト実行は前提にもなっているので致命的と言っていいです。 クロスサイトスクリプティングの脆弱性があるというのは何？ → Web サーバがクロスサイトスクリプティング用の対策をしてないということです。 誰が攻撃をするのですか？ →...

Symantec CIDS シグネチャ - Web Attack: Joomla JCE Vulnerability

アンチウイルスソフト Symantec の検知イベントでこんなのがありました。 Joomla・・・じゅーむら。オープンソースのツールで複数の人数でブログなどを作るのに使うことができる。PHPで書かれている。 JCE・・・Joomla contents editor の略  つまり、Joomla は Apache や IIS の Web サーバ上で動作する PHP のツールで、そこの脆弱性に対しての攻撃があったことを示している。 ただ、該当のサーバが Joomla! が使っていなければサーバ上にそもそも脅威は存在しないため意味のない攻撃となる。 ちなみにこの脆弱性の説明を Symantec のサイトで確認すると下記のようにある。 Web Attack: Joomla JCE Vulnerability http://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=27481 JCE...

私はセキュリティエンジニア

私はオンラインゲーム会社に務めていて、セキュリティ専門のチームでセキュリティエンジニアをしています。 ハッキングとかDoSとか、そういったサイバー関係の攻撃の対応がメインの業務です。 セキュリティソリューションの検討や導入、セキュリティ関係の最新動向の把握とシステムへの対応、そしてインシデントレスポンスをしたりします。 常時の負荷は大したことなくて余裕のある感じなのですが、一旦インシデントが起きるとかなりのプレッシャーと緊迫した状態で仕事をしてい...

glibc の脆弱性。議論する前に適用を。

glibc の脆弱性が公開されて数日経ちました。 緊急だと騒いだり、影響は少ないから落ち着いて対処をと言ったり。。。 どっちが正しいかを考える必要はない。 攻撃コードが作成される可能性がある。 だから、そうなってしまう前にパッチを急いで当てれば良い。 もし不要なパッチなら適用するのは無駄な作業になるのだからちゃんと調べろという人がいる。 セキュリティエンジニアにとってはそんなこと言われて調べるのが無駄な作業。 なぜなら全ての企業のセキュリティエンジニアが gethostbyname 関数の影響が Apache に影響があるのかどうかとか、メールサーバに影響があるのかどうか分かるわけじゃないからです。 既に危険だとアナウンスされているのだから、私は適用を進めるべきだと思ってる。 Goをかけてもらい、各所に影響があると話をして、スケジュールを立てて、システムエンジニアに作業をしてもらう。 それが企業のセキュリティエンジニア。 もし「お前がやれ」という指示をするなら、その時点で、そこにセキュリティは無いだろう。 私は価値観の理解のあるところで働けていて、とても恵まれている。 (adsbygoogle...