2016年06月26日

【大切なので2回目の復習】パスワードの定期更新が必要なケース

総務省などがパスワードを定期的に変更するのを推奨する理由が非常に残念な可能性

以前の記事で、パスワードを更新する必要があるのは特定のケースだけという話をしました
パスワードを変えるのは

・総当り攻撃が可能なシステムを使うような場合に限って定期的に変える。
パスワードをグループで管理していて、異動など定期的に人の出入りがあるような場合も定期的に変える。
・システムの脆弱性が判明して、パスワードが流出した恐れがある場合も変える。

今話題になってる佐賀県の SEI-NETで数十万人分の個人情報が流出した件ですが、

・重要な管理者パスワードが多人数で共有されていた。
・パスワードがメモ帳などで開ける場所にハードコーディングされていた。
・簡単に記憶できるパスワードだった。
不正ログインなどを把握していたにもかかわらず、3年間変更していなかった
(これも一部のシステムにハードコーディングされていたため、パスワードの変更自体が禁止されて
いた、という恐ろしい話もあります)

ここで、勘違いしてほしくないのは、『やっぱり、パスワードの定期更新が必要だった』ということではなく、
パスワードの定期更新が必要な特殊なケースがあるという話です。
続きを読む

blackwingcat at 12:30|PermalinkComments(0)TrackBack(0) | Security 

2016年06月25日

【悲報】日本の公的機関は標的型メールを不自然さだけで判断する教育しているのが確定

副題:IPAのサイバーレスキュー隊の質が酷過ぎて被害を拡大している恐れについて

「特定業界を執拗に狙う標的型サイバー攻撃の分析レポート」を公開
<サイバーレスキュー隊(J-CRAT)分析レポート2015>:IPA 独立行政法人 情報処理推進機構
こんなのがあるそうです
送信にフリーメールが使われることが依然多い標的型攻撃メールである、本キャンペーンでは企業の正規メールアカウントを乗っ取り、不正に利用してメール送るケースが大半であった。
これホント?

どっちかというと、企業の正規アカウントを偽装して、自前のサーバーから送ったり、フリーメールのサーバーから送ったりする方が多いと思うんだけど、送信アドレスが偽装されてたら、メールサーバーが偽装されてると勘違いしてない?


IPA 独立行政法人 情報処理推進機構:標的型攻撃に関する調査結果
あやしいウィルスなどのメールの見分け方の実例紹介だそうだ
【違和感に気付くポイント】
 今回解析した標的型攻撃メールの受信者は、下記のポイントからこのメールが標的型攻撃ではないかとの疑いを持ち、添付ファイルを開くことはしませんでした。

■最初、送信者と同名の職員からのメールかと思ったが、その職員が送りそうにない件名である
■業務用のメーリングリスト宛てなのに、件名が「私信」である
■送信者に心当たりがないのに、「先日は…」という書き出しで始まる

sil3

まぁ、これは6年前のだから、100歩譲ることにしよう・ω・


続きを読む

blackwingcat at 12:30|PermalinkComments(3)TrackBack(0) | Networkサービス | Security

2016年06月24日

佐賀の自称最先端システムのまとめ

武雄市教育監 タブレットPC選定過程で受注企業側と接触 入札妨害の疑いも|政治ニュース|HUNTER(ハンター)|ニュースサイト

武雄市の学校の事前検証でほぼ確定していたiPad を取りやめて中国(恵安)製の格安タブレットを3153台、1億2300万円で導入。

一台当たり 4万円の計算。
恵安製の格安タブレット 定価 ¥18000だけど、ロット単位だと約1万円
iPad(Wifi/16G) の価格は4万円未満
うっ…頭が。


不正アクセス:「最先端の佐賀県システム破られるとは」 - 毎日新聞
格安ボロ Android使ったり、セキュリティホール満載のJava システムで成績管理したり、図書館を私利私欲に走った企業に乗っ取られても見抜けないことを最先端というのですね・ω・

武雄市図書館の蔵書購入「違法支出」と提訴|佐賀新聞LiVE
武雄市図書館が民間に業務委託し開館した際、蔵書購入で違法な支出があったとして、市民17人が14日、当時の責任者だった樋渡啓祐前市長らに約1900万円を賠償請求するよう武雄市に求める住民訴訟を佐賀地裁に起こした。   訴状によると、市が業務委託したカルチュア・コンビニエンス・クラブ(CCC)は、オープン時の蔵書費用として、図書1万冊を1958万円で購入すると見積もっていたが、実際には756万円分しか購入しなかった。残りは館内の安全対策に使われ、購入した書籍もグループ会社が取り扱う中古本が中心で、初期蔵書費用全額が違法支出だったと主張している。

佐賀県ICT教育事業 官業癒着の裏に韓国人元情報企画監|政治ニュース|HUNTER(ハンター)|ニュースサイト
タブレット型PCの納入をはじめICT教育事業全般でうまみを独占した学映システム、大方の予想を覆し「SEI-Net」の仕事を得た凸版印刷―― 三つの大きな流れのうち、二つまでが県教委と業者の癒着が疑われる状況だ。注目すべきは、県情報企画監の職にあった韓国人・廉宗淳氏(昨年退任)が果たし た役割。昨日報じたように廉氏の韓国系関連企業が「SEI-Net」の仕事の一部を受注していることが分かっているほか、「SEI-Net」自体が韓国で 組まれたシステムを日本向けに仕立て直したとの情報もある。

 三つの大きな流れのうち、残っているのは電子黒板だ。これまでタブレット型PCと「SEI-Net」の問題点を報じてきたが、疑惑まみれの先進的 ICT利活用教育推進事業にあって、もっとも“あくどさ”が際立っているのが、電子黒板の調達である。詳細は次週の配信記事で述べるが、佐賀県教委が導入 した電子黒板は「韓国製」。不具合が多く、修理依頼がある度に韓国から技術者が来て調整していたことが明らかとなっている。


韓国で組まれたシステムがそんなに品質よくないのはともかく
(なんで、韓国のゲームは、チート防止機能を作る会社が専門にあり、商売が成り立っているか、というと、
専門でそういう会社立ち上げないとダメなほど、適当な造りになってるからじゃないんですかね ?
私が10年間プレイしてる国産のMMORPGにチート防止機能なんかないですよ・ω・)

廉氏とは
06月21日のWeb改竄情報 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
9年前にWebサイト改ざんされたe-corporation.jp(イーコーポレーションドットジェーピー)企業作った人ですね・ω・

kr
ちなみに今のWebサイト

kr2
IIS 7.5 でFlash 埋め込み、典型的な、乗っ取られてウィルスばらまくサイトですね・ω・

住所でポン!非公式ミラー(2000年版) 東京都中央区日本橋小伝馬町 - 無料電話帳検索/閲覧
見てみると、ノーエルテックとイーコーポレートドットジェーピーって同一企業みたいですが・ω・

kr3

管理者用コンソールにWebサイトから直接 簡単にアクセスできるようになっていたり、
とっても意識が高いところですね・ω・
(もちろん、侵入はしてませんが、顧客リストへのアクセスと掲示板管理用っぽいですね)

つまり、SEI-NET はこういうポリシーで作られたんですね。

まぁ、意味が分かりませんが。

佐賀県の教育情報システム「SEI-NET」と校内LANへの不正アクセス事案についてまとめてみた - piyolog
この資料中に次のURLが確認できるが、恐らくこれがSEI-NETのURLの一部ではないかと思われる。またURLに「.do」が含まれていることからStrutsベースで稼働するWebアプリケーションではないかと思われる。

とのことだけど、一般的に 3年前でサポートが切れたセキュリティホールだらけの struts 1 の拡張子が .do
やっぱり、セキュリティホールだらけだけど、サポート中のstruts 2の拡張子が .action
確か、 action 拡張子は使ってないような

Struts といえばSONYが大量に情報漏えい引き起こしたアレで、セキュリティホールまみれで数か月おきに修正パッチが出ていて、サポート切れなのを考えると、ちょっと調べれば侵入が簡単なのは分かると思います

【セキュリティ ニュース】ソニーに不正アクセス、他社アカウント情報用いた「なりすまし攻撃」 - 有効アカウント9万3000件が一致(1ページ目 / 全1ページ):Security NEXT

基本LAN内でしか使わないから、情報漏えいなんてあるわけないとでも思ってたのかもしれませんね。

作り直した方がいいレベルじゃないんですか? ・ω・
いや、むしろ分かってて、セキュリティホールまみれにしたんじゃないすかね?

後、既定で使われている管理フォルダの構成に重要なファイルが置いてあったとかいう話ですから、セキュリティのノウハウなんて全くないか、脆弱なシステムを故意に作る企業がかかわっていたのは間違いないようです。、


Apacheの バージョン上げない ※※サイト root盗られて 「対策しろ!」か (#2346153) | 環境省のWebサイトがマルウェアによって改ざんされる。閲覧者への感染の可能性も | スラド
そういえば SEI-NET で使われてる Apache 2.2.3 は3年前環境省のWebが書き換えられたときに、サポート切れで脆弱性があるサーバーを使ってると笑われていたのと同じやつですね。
素敵!
Cent OSにも、bashの脆弱性やSSLの脆弱性もあるでしょうね(笑)

|。・ω・)。o ( 以上、あら佐賀し からお送りしました )



P.S. 審議要請が来ました

【審議中】( ´ ・ω)(´・ω・)(`・ω・´)(・ω・`)(ω・` )


blackwingcat at 18:30|PermalinkComments(0)TrackBack(0) | 時事NEWS 

グーグル先生に検索でモバイルフレンドリーではありませんと怒られた話

Google 先生曰く
mob
こんなのはじめてみた・ω・

とりあえずリンク飛んでみる

モバイル フレンドリー テスト

mob2
こんなのいつからできたんだろう

Google、「モバイルフレンドリー」アップデート開始、モバイル対応ページを検索ランキングで優遇 -INTERNET Watch Watch
調べたら1年前からでした ・ω・



blackwingcat at 08:30|PermalinkComments(0)TrackBack(0) | Networkサービス 
livedoor プロフィール
My PC
SNOWSTORM(P5E3 Premium)
OS:Win2000AdvancedSv
CPU:Xeon(4Core) 2.83G
Memory:8G
VGA:NVIDIA GTX 780Ti
HDD:SSD(32G)
    +SATA(540G+180G)
Crystal SCR:244765
SNOWFOX2(W860CU)
CPU:Core i5-540M(2.53G)
OS:Win2000Pro
Memory:4G
VGA:Geforce GTX285M
HDD:SSD(160G)
Crystal SCR:176460
SNOWMOBILE3(CF-J10S)
CPU:Core i5-2410M(2.3G)
VGA:Intel HD Graphics
HDD:SSD(128G)
Windows2000
Memory:6G
Crystal SCR:133495
SNOWMOBILE(N10Jc/故障)
Windows2000/XP Home
Crystal SCR:38316
SNOWLEO(MA206J/A/休止)
OS:OSX 10.4 +
Windows2000Pro(Solo動作)
Crystal SCR:24061
Windows 2000の セキュリティ対策について
FFR yarai(脆弱性防御)
SymantecEndpointSecurity 11 MR7
Windows Defender
記事検索
訪問者数

    今週のアクセス数

    Win2000お勧め
    お勧め記事
    Twitter Client Mo-Footer
    .NET FrameworkのUninstall
    lolifox 0.3.8.x
    WindowsのシャットダウンTips
    Fox Launcher
    ウィルス感染を手動で見つける方法
    Unknown Hard Errorとサルベージ
    Dependency Walker 日本語化
    Ultra VNC 1.0.6/1.0.8 を日本語化
    IME補完計画
    BSoD(ブルースクリーン)特集
    デフラグ時の4つの心得
    不明なデバイス探し
    SETUPAPI/NTDLLBugFix
    DNSデボルブ用更新[KB957579]
    最新 update.sys!
    4Thread以上のCPU最適化
    Win2000マルチコアで最適化
    Windows 2000の通信速度改善1
    Windows 2000の通信速度改善2
    内蔵簡易FireWallを使う
    ワームに感染しないインストール
    Remote Desktop Client
    IME 辞書 Tips
    Win2000用セキュリティSOFT
    不要なファイルの削除
    Win2000カスタマイズ
    便利なキーボードショートカット
    6月末まで使える体験版セキュリティ

    非対応ハード動作編
    HTC NDIS Driver
    Intel HD Graphic Driver
    VMWare Player 3.1.x
    Conexant HD Audio Driver
    NVIDIA WHQL Driver
    Intel Chipset 最新 INF
    Sentelic Finger Pad Driver
    ATI Legacy Driver 10.2
    AMD Radeon Driver 8〜11
    ATI Ahci/Raid Driver
    Intel SATA AHCI Driver
    D21LC(eMobile)
    USB-WSIM
    UVC カメラ
    Logicool Webcam
    Logicool ゲームパッド
    XBOX360用コントローラー
    Logicool Mouse
    Microsoft IntelliPoint
    iPod Touch/iPhone Driver

    非対応アプリ動作編
    Flash Player 10.3
    Java 6 JRE
    Java 7.0 JRE
    ティルズウィーバー
    Natal Online
    コンチェルトゲートフォルテ
    シルクロードオンライン
    東方幻想麻雀
    IME2010 Installer
    Adobe Reader X for Win2000
    Baidu IME 2.x
    MMORPG ドルアーガーの塔
    Adobe Air for Windows 2000
    Baidu IME
    iTunes 10.x installer
    Evernote 4
    Janetter
    Second Life
    雀龍門
    Media Manager for PSP 2.5a
    .NET Framework 3.5SP1
    ATOK 月額版(2010/2011)
    Leaf 愛佳でいくの!!
    VistaのScreenSaver
    会計ソフト弥生シリーズ 10
    Vegas Movie Studio 9
    EyeBall Chat
    ・CanonPowerShot[Soft/DPP]
    Google SketchUp Pro 7
    dance mixer
    Lismo Port
    DivX
    SONY ScreenSaver
    mixi アプリ
    DivX v7.x
    ニコニコムービーメーカー(動画)
    RC-S330 PaSoRi
    Finale 2009
    ZoneAlarm 8.0
    ルナティア Online
    ストリートギアーズ
    xfy Blog Editor
    Photoshop Elements 7
    Premiere Elements 7
    PowerShell 1.0
    ai sp@ce
    電脳フィギュアARis
    VOCALOID2 ミク・リンレン
    Google Chrome/SRW Iron
    Media Player 10
    ・iTunes 7.6.2を使う方法
    QuickTime 7.5x/7.6x
    foobar2000 9.5.x/9.6.x
    RealPlayer11
    Safari3/4.0
    ShockwavePlayer10/11
    Windows Live Writer
    Live Messenger
    Veoh Web Player / Web TV
    Level-R

    追加機能・カスタマイズ編
    W2K Kernel32 改造計画【BM】
    W2K Update Rollup v2
    XNA/SlimDX
    CPU Core数リミット解除
    OutLook Express 6SP3
    MDAC 2.8 SP2
    GIF/PNGを使えるMSPAINT
    IE5でWindowsUpdate
    MSXML 4.0SP3
    DirectX9.0c(2010/Feb)+拡張
    MS09-062(Gdiplus.dll)更新
    Unicode 制御文字
    Internet Explorer6 Bonus Pack
    夏時間(DaylightSavingTime)
    レジストリバックアップを取る
    IME2007
    Windows Media Bonus Pack
    XPSファイルビューア
    Windows Defender
    文字化け対策(FontLink)
    Meirio(KB927489)
    msconfig
    圧縮フォルダ
    Windows Movie Maker
    IE5.01/5.5/6タブ化
    MediaTypeChanger(EISA構成)
    Win2000 SP4 Support Tool
    kill/tlist with Debugging Tools
    sc.exe with Resource kit
    reg.exe
    TaskTray 256色化
    ISO仮想CD/DVDドライバ
    IE6高速化とWSH 5.7/5.8
    MS Baseline Security Analyzer
    音声認識 API 5.1
    Text Service

    Win2000インストール編
    CF-J10S
    N10Jc
    ThinkPad X200(7454)
    Quad Core/X48/P5E3
    VAIO VGN Type S
    E6850搭載 サポートPC
    Let'snote CF-R6
    MacMini
    Dell LATITUDE D630
    Core i7 + X58 +ICH10R
    790FX + SB750
    Clevo W860CU
    最新コメント
    Categories
    アーカイブ
    Information
    Google広告




    Translate


    このサイトはIE5.x/IE6
    IE5.x Internet Explorer 6.x

    Firefox Firefox ブラウザ無料ダウンロード
    で最適化されています。
    Technorati
    Add to iGoogle
    Amazon GIFTでカンパ

    Donation