セキュリティ

Windows XP / Office 2003 サポート終了と高齢者

2014/4/5

Microsoft Windows XP 及び Office 2003のサポート終了まで残すところわずかとなりました。
2014年4月9日(日本時間)終了です。

Microsoft: Windows XP と Office 2003 のサポートがまもなく終了します
IPA: 「 あなたのパソコンは4月9日以降、大丈夫? 」

やはりこれだけ普及したWindows XPだけに、かつてないほど各種報道で取り上げられています。
まるでサポート終了するとPCが使えなくなると言わんばかりの表示を見かけたりしますが、そのぐらい危機感を持って対応したいところではあります。
家庭・個人の一般的な利用であれば、PC自体も流石に買い替え時なはずなので、新しくPCを購入したという方も多いのではないでしょうか。

Read more…

Webサイト改ざん 新型CookieBombの解析

2014/1/31

CookieBombと言えば、2013年6月頃に相次いだWebサイト改ざんでインジェクションされたものです。
当時書いた記事はこちら =>> 「相次ぐWebサイト改ざん被害 遅れる対応 -CookieBomb-

今回は再び、CookieBomb新型なるWebサイト改ざんが広まってきているようです。

0day.jp: 新型「CookieBomb」マルウェア転送クッションのdecoding方法(日本語版)
Malware Must Die!: ..And another “detonating” method of CookieBomb 2.0 – Part 1
..And another “detonating” method of CookieBomb 2.0 – Part 2

ということで、今回も日本国内サイトをざっと調査してみました。
とはいっても0day.jpさんで日本語の記事もあり、二番煎じではありますが、もうちょい詳しく解説してみようと思います。

Read more…

VALUE SERVER(s1.valueserver.jp) 改ざん被害 対応後も再び改ざん!

2014/1/20

GMOデジロック(旧デジロック)が運営する共有レンタルサーバー「VALUE SERVER」が、クラッキングされ、
Indexページ改ざんという被害が発生しています。
改ざんが確認されているのは「s1.valueserver.jp」(IP: 157.7.184.16)サーバーです。

発生日時は2014/1/19 16:40で、1/20 2時~3時頃まで改ざんされたページが表示される状況でした。
また、復旧後も対策漏れがあり、1/20 17時~18時に再び改ざんされてしまいました。
現状につきましては、公式の障害情報ページにて発表があります。

現時点では、悪意のあるページに改ざんされたり、リダイレクトされるようなことは確認されていません。

Read more…

相次ぐWebサイト改ざん被害 遅れる対応 -CookieBomb-

2013/6/5

IPA: 2013年6月の呼びかけ「 ウェブサイトが改ざんされないように対策を! 」
Trend Micro Security Blog: 日本のWebサイト改ざんを複数確認:PCは常に最新状態に!

どうも最近、先月末頃からWebサイト改ざん被害の報告が増加しているとのニュースが・・・
改ざんされたページを見るにウェブアプリケーションの脆弱性をついた攻撃による改ざん被害が見受けられます。
また、各所での報告によるとGumblarの時みたいにFTP・SSHアカウントの漏洩などが原因で改ざんされた例も多くあるようです。
全体的なことは上記リンクを読んでいただくとして。

Read more…

ESET, BitDefender ダウンロードファイル破損問題

2013/1/15

昨年10月頃より、ESET製品等を利用しているとダウンロードファイルの破損やYoutubeやニコニコ動画などストリーミング動画再生中にグリーンバックになってしまう、といった症状が報告されていました。
ようやく根本的な解決策、修正プログラムが公開されたようです。


この件に関しては、公式に既知の不具合として認識され、回避策が公開されていました。

キヤノンITソリューションズ: Webサイトからダウンロードしたファイルが破損する

HTTP通信のスキャンを無効にする設定のようですが、セキュリティ上好ましくないはず。
ファイルシステム保護で問題ないなど書いていますが、脆弱性対策をしていない環境では、流行りのExploitを水際で検出・遮断できるかどうかが、感染被害の明暗を分けると思います。ペイロードを確実に検出できる訳ではないですし。
あまりお勧めできない回避策ではないでしょうか。

症状

当方、ESET製品は利用していませんが、昨年12月頃よりBitDefenderをインストールした環境で同様の症状が発生したのです。
ダウンロードが完了しなかったり、ファイル破損・チェックサムエラーが多発して、非常に困りました。
数十MB以上のEXEファイルで破損することが多かったですね。(↓残0秒のまま完了しないダウンロード。バイナリ比較、破損しまくり。)
downloading_brokenexebinary_diff

問題の原因・詳細

当初はネットワーク環境が原因と疑っていたのですが、検索していると以下のようにBitDefenderのフォーラムにも報告されていました。

BitDefender Forum: Bitdefender Corrupts Most Of My Exe-downloads

ESETのサポート情報にもありましたが、この問題の原因はMicrosoft更新プログラムKB2735855に起因するものだそうです。
これはWFP(Windows Filtering Platform)に関する更新のようで、WFPとはVistaより実装されたパケットフィルタリングAPIです。
このWFP APIを利用してフィルタリングを行なっているソフトウェアに影響している問題だということです。
即ち、セキュリティソフト側の不具合ではなく、この更新プログラムに何らかの問題(バグ)があるのです。

この更新プログラムの対象はWindows 7 / Server 2008 R2 (x86/x64)ですが、問題が発生しているのはx64だけのようです。
また、興味深いことに各所の報告によると、Phenom II X4/X6, Core i3, i5, i7など4core以上のCPUの環境で発生しているのです。
確かに、私は複数台にBitDefenderを導入していますが、その内Phenom II X4 965BE(4core)を搭載したPCのみで発生しています。

Wilders Security Forums: Beware of MS hotfixes KB2735855 and KB2750841

こちらのフォーラムでESETとMicfosoftとのやり取りが投稿されています。
ESETは問題を把握していても、修正はMicrosoft待ち・・・という感じで、年明けに修正プログラムを提供予定とのことでした。

解決策

で、先日、修正プログラムhotfix 2735855が公開されたようです。

Microsoft: Data corruption and network issues when you run a WFP-based application on a computer that is running Windows 7
ESET Knowledgebase: Downloaded files are corrupted after installing the Microsoft hotfix KB2735855 and KB2750841

但し、これは更新プログラムとしてのリリースではない(Hotfix)ため自己責任とのことで、問題が発生している環境のみ適用してください。
ダウンロードにもURLをメール経由で送ってもらうという一手間が必要です。
ダウンロードは上記リンクから[Hotfix Download Available]より、メールアドレスとCAPTCHAを入力して下さい。
正式にはサービスパックでの提供とか書いてありますが、Windows 7 SP2っていつ出るの・・・?

かなり厄介な問題なので、もちろん即適用しました。
すると、ダウンロードファイルの破損も恐らく解消されているようです!よかった!
しなしながら、Micfosoftは相変わらず腰が重いですな。まぁ、テストとか色々あるんでしょうけど。

追記

Windows8 / Windows Server 2012についてはKB2811660を適用のこと。
アップデートはWindows Updateから可能。(Download Centerからはこちら