2015年2月のWindowsUpdate

2015年2月のWindowsUpdateがリリースされました。

Internet Explorer の脆弱性が前評判でも緊急扱いでしたが、緊急（リモートでコードが実行される） レベルでパッチがリリースされました。

でも IE だけじゃなかったです。

Windows カーネルモードドライバの脆弱性も、グループポリシーの脆弱性も、Officeの脆弱性も、いろいろと緊急でリリースされてました。

一つ一つの脆弱性について議論するよりかは、まとめて全部適用しましょう。

それで十分。

侵害を見つけるためにプロセスの実行をイベントログに記録する

マシンで不審な動作が行われていないかをチェックするのに、セキュリティイベントログでプロセスの生成や終了を出力させます。

これはグループポリシーで設定できます。

そしてマシンが侵害されると意図せずプロセスの実行が行われるので、これを見つけます。

ただしこのようにして出力するようにしたプロセスの生成イベントは、例えば net.exe コマンドが実行したとか、quser.exe コマンドが実行したとしか、イベントログには出力されません。

侵害が起きたかどうかのイベントを検知するためにはこれも重要な情報なのですが、プログラムの引数も欲しいです。cscript.exe のプロセス生成だけではなくて、引数で VB スクリプトファイル名も知りたいということです。
※もちろんハッカーはスクリプトを実行したら必ずファイルを消しますから、どんなスクリプトかを知ることができるかどうかは微妙です。経験的には 1.bat とか 1.vbs とか、そんなファイル名を好んで使うハッカーも多いようです。


引数を見る方法としてはもう一段進んだログ取得設定をする方法があります。

Microsoft の Sysinternal スイートに含まれる System Monitor を利用します。
このプログラムはサービス登録することができて、その場合に、イベントログに実行されたプロセス情報をより詳しく記録します。

C:\Tools>sysmon.exe -accepteula -i -n -h md5

-i インストール（プロセス生成イベントを記録する）
-n ネットワークのアクティビティも記録する（特定のプロセスのみ記録することもできる）

その他のオプション
-m イベント・マニフェストのみのインストール
-c 設定の変更

Windows 2008以前：システムイベントログに記録
Windows 2008, Windows 7以降：sysmon のカテゴリのイベントログ（アプリケーションとサービス ログ配下にある）に記録

参考URL
https://technet.microsoft.com/en-us/sysinternals/dn798348.aspx

クロスサイトスクリプティング Q&A

クロスサイトスクリプティングって何ですか？
→ インターネットを使っている中で起きるセキュリティ攻撃の一つです。


どこでその攻撃を受けるの？
→ IEやChromeなどのブラウザを使っている中で受けることがあります。


IE や Chrome などにパッチを当てて最新に保てば大丈夫ですか？
→ いいえ。ダメなんです。IE や Chrome がスクリプト実行できることに問題があります。


では IE や Chrome のスクリプトを止めるのはどうですか？
→ JavaScriptやActiveXなどを含むブラウザーのスクリプトを無効にする方法で対応ということも言われますが、著しく使い勝手が悪くなります。個人で楽しむにはスクリプト実行は前提にもなっているので致命的と言っていいです。


クロスサイトスクリプティングの脆弱性があるというのは何？
→ Web サーバがクロスサイトスクリプティング用の対策をしてないということです。


誰が攻撃をするのですか？
→ Web サーバにデータを書き込めるユーザーです。掲示板とかをイメージすれば良くて、誰が攻撃したかを特定できないところにも問題があります。


攻撃が成功したらどうなりますか？
→ パソコン上で知らないプログラムが実行されることになります。マシン上の秘密情報が取られたり、自分のPCを使われて不正が起きて犯人呼ばわりされたりすることもあり得ます。

Symantec CIDS シグネチャ - Web Attack: Joomla JCE Vulnerability

アンチウイルスソフト Symantec の検知イベントでこんなのがありました。

Joomla・・・じゅーむら。オープンソースのツールで複数の人数でブログなどを作るのに使うことができる。PHPで書かれている。

JCE・・・Joomla contents editor の略

 つまり、Joomla は Apache や IIS の Web サーバ上で動作する PHP のツールで、そこの脆弱性に対しての攻撃があったことを示している。

ただ、該当のサーバが Joomla! が使っていなければサーバ上にそもそも脅威は存在しないため意味のない攻撃となる。

ちなみにこの脆弱性の説明を Symantec のサイトで確認すると下記のようにある。

Web Attack: Joomla JCE Vulnerability
http://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=27481

JCE 2.1.0 is vulnerable; other versions may also be affected.
※ 2015.2.10 時点の記述になります。

またもし Joomla! を利用している場合には、今日（2015.2.10）の時点での最新版は 2.5.28 or 3.3.6 となり、速やかに最新版にアップデートすることが重要。

私はセキュリティエンジニア

私はオンラインゲーム会社に務めていて、セキュリティ専門のチームでセキュリティエンジニアをしています。

ハッキングとかDoSとか、そういったサイバー関係の攻撃の対応がメインの業務です。

セキュリティソリューションの検討や導入、セキュリティ関係の最新動向の把握とシステムへの対応、そしてインシデントレスポンスをしたりします。

常時の負荷は大したことなくて余裕のある感じなのですが、一旦インシデントが起きるとかなりのプレッシャーと緊迫した状態で仕事をしています。

glibc の脆弱性。議論する前に適用を。

glibc の脆弱性が公開されて数日経ちました。

緊急だと騒いだり、影響は少ないから落ち着いて対処をと言ったり。。。

どっちが正しいかを考える必要はない。

攻撃コードが作成される可能性がある。
だから、そうなってしまう前にパッチを急いで当てれば良い。

もし不要なパッチなら適用するのは無駄な作業になるのだからちゃんと調べろという人がいる。
セキュリティエンジニアにとってはそんなこと言われて調べるのが無駄な作業。
なぜなら全ての企業のセキュリティエンジニアが gethostbyname 関数の影響が Apache に影響があるのかどうかとか、メールサーバに影響があるのかどうか分かるわけじゃないからです。

既に危険だとアナウンスされているのだから、私は適用を進めるべきだと思ってる。
Goをかけてもらい、各所に影響があると話をして、スケジュールを立てて、システムエンジニアに作業をしてもらう。
それが企業のセキュリティエンジニア。
もし「お前がやれ」という指示をするなら、その時点で、そこにセキュリティは無いだろう。

私は価値観の理解のあるところで働けていて、とても恵まれている。