メンテナンス

2019年06月03日

トレンドマイクロさんのパスワードマネージャーがやばい件について

もう一つ別の脆弱性を見つけたので詳細を記事にしたのですが、
パスワードマネージャーをインストールする前のPCに細工したソフトを
インストールしておくことによって(絶対マルウェアとは検出できない)
パソコンのセキュリティ機能の一部を完全に無効にできてしまうことがわかり、
公開すると、悪用される可能性があるので、IPA に報告することにしました。
それまでこの記事は封印です( ˘ω˘)続きを読む

blackwingcat at 08:30|PermalinkComments(0) このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote

2019年06月02日

トレンドマイクロさんの パスワードマネージャーを実際に使った感想

トレンドマイクロ さんいまだに、頻繁なパスワード変更が必要で、パスワード管理ソフトを導入するとよりセキュリティが高くなると説明してることが発覚
と言う記事を書いたのですが、実際一度もアプリを使わず批判するのもアレなので、実際に体験して感想を書いてみることにしました。

tpm1
体験版なるものがあったのですが、期限切れたら、保存した情報どうするんだろう…?
って思ってたら、5つのアカウントまでなら無料で使い続けられるそうな。
ちょっと安心。

パスワードマネージャー - トレンドマイクロ
tpm2
起動するとパスワードをインポートするのだけど、
パスワードをブラウザに残すと正直、ローカルにID、パスワード 残ることになるので、全然セキュリティ向上しないんじゃね?って思いました。
既定で残す設定になっているので、殆どのユーザーはセキュリティレベルは変わらないまま使っていることになる。

tpm3
自動的にパスワードを検出して保存したり入力したりする仕組みになってるように見えるのだが…。
どうも判定が甘いらしく、パスワードを思うように入力してくれないことがしばしば。

tpm4
入力してくれないときはこうやってパスワードの詳細を開いてコピペできる様になっている。
ちゃんと自社製品の欠陥を理解した仕様になっている( ˘ω˘)


tpm5
120秒でこの情報を開いたり閉じたりできるのだが果たして意味があるのか。
      :


グーグルのProject Zero、トレンドマイクロのパスワード管理ツールの脆弱性を報告 - ZDNet Japan

ところで、トレンドマイクロさんは Google のセキュリティチームから 一通りの脆弱性を指摘された後、2016年1月に14か月も前にリリースされた Chrome 41 を -disable-sandbox オプションを付けて起動している酷いつくりになっているとダメ出しを食らったわけなのですが、

2019年6月現在、どうなっているかと言うと、 29か月も前にリリースされた Chrome 56 を -no-sandbox オプションを付けて起動するという、更にひどい作りになっていることが分かりました

この会社にはメンテナンスと言う言葉が辞書にないようです。

その後、調べてみた所、脆弱性が見つかったので、ブログネタにしようと思ってたのですが、深く掘り下げてみると、ブログで晒せるような脆弱性ではなく、下手したら被害が拡大するような欠陥だったので、おとなしくIPAに報告して、後日情報公開されてからネタにすることにしました。



ざっくり動作を見て見たのですが、

https://pwm-image.trendmicro.jp/ を管理サーバーとして、パスワード、ID、サイト情報を暗号化して、インターネット上でやり取りしてるような?

DirectPass.Plugin.PluginObject
DirectPass.Plugin.BrowserAdapter
DirectPass.Plugin.PluginStatesManager
DirectPass.Plugin.PasscardCandidates
DirectPass.Plugin.CurrentPasscard.Passcard (ログイン情報が入ってた)
DirectPass.Plugin.CurrentPasscard
DirectPass.Plugin.OperationContext
DirectPass.Plugin.FeedbackHandler
DirectPass.Settings.SecureBrowserExceptionDomain
REPLAY_PASSCARD_ID
DirectPass.Debug.Logger
DirectPass.Debug.LoggerSettings
feedbackCache
DirectPass.Plugin.PatternOperator
DirectPass.JSNLog.AjaxAppender.BatchLogs
などの情報が JSON 形式で落ちてくるようだ
後、取り込んだ時のブラウザ情報をサーバーで保存してるようだ。
ひょっとしたら、ブラウザのデータ内に含まれていた、個人情報が一緒に取り込まれてる可能性もある(要検証)
SSLで暗号化してるから問題ないって?
それもあるけど、トレンドマイクロさんに預けて本当に大丈夫か?って気がしなくないのだが…。



とりあえず、簡単にまとめる

・セキュリティ向上について
 既定ではセキュリティは向上しない(本来は既定でブラウザの管理データを消すべき)。単にパスワードを管理する場所が増える分脆弱性が増える。
 後述のセキュリティの問題が色々見つかったので、却って低下すると私は判断する。

・脆弱性について
 Googleさんが見つけたのとは全然関係ないけど、結構やばい セキュリティホールを見つけた。
 設計上色々問題があると2016年にGoogleのセキュリティチームから言われていたが、突っ込んだら、もっといろいろ出てきそう。
 2年以上前のブラウザをセキュリティ機能をOFFにして起動している。つまり、Googleから言われて、上辺だけの対応をしてメンテナンスもろくにできていない事が判明。

・利便性
動作が正確ではなく、若干ストレスが残る。
ブラウザを起動するたびにマスターパスワードを入れているのだが、ちゃんとパスワードが入力できない場合は二度手間になる。

・その他
コードを解析したら、日本語、英語、中国語、台湾語の4つの環境で開発されてる。
こんなソフト薦めるのは論外。




blackwingcat at 12:30|PermalinkComments(0) このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote

2019年06月01日

トレンドマイクロ さんいまだに、頻繁なパスワード変更が必要で、パスワード管理ソフトを導入するとよりセキュリティが高くなると説明してることが発覚

Are Your Passwords Secure Enough? -
銀行やショッピングにはブラウザやオンラインアプリを使用して、通常はアカウントに毎日アクセスしているため、パスワードのセキュリティと強度を確保するために、定期的にアカウントを管理する必要があります。


そのためのヒントをいくつか紹介します。

・各オンラインアカウントに対してある程度の長さの一意の強力なパスワードを作成し、特に取引に使用するアカウントの場合は、頻繁にパスワードを変更します。
・パスワードの強度をさらに複雑にするには、文字、数字、および記号を組み合わせて使用​​します。
・可能であれば、追加のセキュリティ保護のためにアカウントで2要素認証プロセスを有効に してください。

オンラインアカウントをさらに強化するには、パスワードマネージャも使用する必要があります。Trend Micro Password Managerを使用すると、すべてのオンラインパスワードを管理し、定期的に簡単に変更できます。PC、Mac、Android、iOSデバイスを問わず、すべてのデバイスにパスワードを配信し、超安全なパスワードを生成し、それらをAES 256ビット暗号化で保護して、ハッカーやクラッカーから保護します。
トレンドマイクロさん…パスワードマネージャーを使うと、更にセキュリティが上がるという嘘をついて Trend Micro Password Manager を売りつけようとしていますが。

トレンドマイクロのパスワード管理ツールにパスワードを盗まれ遠隔操作される脆弱性 - GIGAZINE
この様に、管理を任せるソフトに欠陥があると、さらに脆弱性が増えますし、別のソフトに管理を任せる以上、攻撃方法が増えるため、セキュリティが強化されるということはありません。


総務省、「パスワードの定期的な変更は不要」と方針変更 | スラド セキュリティ
Surprising Password Guidelines from NIST - Enzoic
安全なパスワード管理|社員・職員全般の情報セキュリティ対策|企業・組織の対策|国民のための情報セキュリティサイト

頻繁にパスワードを変える必要があるから、人間には覚えられないパスワードを管理するためにソフトが必要と言う流れでセールスしてるようなのですが…。
総務省もNISTももう、頻繁なパスワード変更は推奨していません。

Android のセキュリティの件もですが、最新情報だと都合が悪い部分は古い情報を使うのはやめて欲しいものです、トレンドマイクロさんがこんな記事書いたの先月ですよ? 困った会社ですね (・ω・)



blackwingcat at 12:30|PermalinkComments(1) このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote

2019年05月31日

AdvIntel による新しい報告。別のハッカー集団がSymantec、ユニセフ関連団体、Comodo などに侵入し、データを販売すると持ちかけた模様

Another Hacker Selling Access to Charity, Antivirus Firm Networks
AdvIntel の新しいセキュリティ警告が発表されました。

このFxmspとは別のハッカーはオンラインでアキレスの名前を使って、ユニセフ関連団体やサイバーセキュリティ会社である、シマンテックとコモドに不正アクセスし、データやアクセス権を販売すると申し出ています。
Fxmsp のハッカーはロシア語を主に話していましたが、このハッカーは英語を話し、イラン人かもしれません。

シマンテックは、今回も「現時点では、シマンテックはネットワークへの侵入の証拠を持っていません。また、お客様が心配する理由があるとは考えていません。」と回答しています。


AdvIntelのレポートによると、ハッカーが Symantec、Comodo、Transatのネットワークを侵害したという主張を裏付ける証拠は提供しなかったそうです。

しかし、ユニセフの関連会社については、ネットワークアクセス権限を直接持っていて、4000ドルで販売すると申し出ました。

ハッカーからのスクリーンショットでは、ユニセフに属する機密文書にアクセスできていることが示されており、様々な委員会の活動、会議、政策、国別の政策指針の情報が含まれていました。

この証拠画像は、AdvIntel によると、ちょっとやばいので公開することはできないとのこと

このアキレスは、AdvIntelによると少なくとも何人かのイラン人ハッカーとの関係を持っていることを示しているそうです。そのうちの1人がXhat氏で 、タジキスタンのドメイン登録機関のWebサイト(domain.tj)のコントロールパネルを侵害し、DNSレコードを変更したと非難されています。
この事件は2014年に発生し、攻撃者の制御によって、Yahoo!、Twitter、Google、およびAmazonの各サイトのローカライズページに訪れた人が改ざんされたWebページにリダイレクトされました。
また、アキレスとイランのハッカーグループであるイリジウムで使用されているパスワードスプレー戦術の使用が共通しています。さらに、アキレスは イリジウムがCitrixに不正アクセスしたという時期にCitrixのVPNシステムについて語っており、フォーラムやメッセンジャーに対するハッカーの活動も増加していました。
また、このハッカーはイランのタイムゾーンを使用しているという。

( ˘ω˘) Symantec さん、本当に 大丈夫だろうね?



blackwingcat at 20:30|PermalinkComments(0) このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote

2019年05月29日

ウイルス対策ソフトの誤検出ワースト&ベストメーカーが発表される

【納得】ウイルスバスターをインストールすると全ての アプリケーションの速度がセキュリティソフトで最低速になることが判明【AV-Comparatives】
パフォーマンステスト2019年4月| AV比較

先日アンチウイルスソフトのパフォーマンステストの結果について記事を書きました

False Alarm Test March 2019 | AV-Comparatives
今回は誤検出テストの結果が発表されたので解説します

まずは、優良メーカーベストフォー から

1. ESET  1point
2. カスペルスキー 3point
3. Avira 4point
4-6. Bitdefender / Total Defense / VIPRE

       :
上位セキュリティソフトについては特に解説はなくていいかと思います・ω・


続いてワーストフォー

1. Panda 90point
2. トレンドマイクロ 81point
3. K7 44point
4. Tencent

ちょっとワースト4のセキュリティソフトについては複雑です。

Panda と TrendMicro は誤検出率は非常に高かったのですが、殆どが suspicious (悪意のあるものと疑わしいファイル)として検出されたのに対して、
K7 と Tencent の場合は、トロイの木馬やら、危険なファイルというやばいものとして誤検出しています。
誤検出が多いのも困りますが、誤検出した時に、ウイルスバスターの場合「疑わしいファイル!」として一考の余地があるのに対して、K7やTencent の場合トロイの木馬だと断言してしまう訳ですから誤検出がトレンドマイクロの半分〜1/4 であってもちょっと困りますね

ちなみに、K7 は ソースネクストの ZEROウイルスセキュリティ のエンジンで有名。
tencent は QQと言うメッセンジャーで有名な中国ベンダーです。

fpv
結果一覧はこちら・ω・




blackwingcat at 18:30|PermalinkComments(0) このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote

【注意喚起】NTT東日本が営業してくる新しいセキュリティソリューションも、調べてみたら トレンドマイクロだった件



NTTネクシアと言うところからかかってくる、NTT東日本お客様サービス担当 と名乗る 新しいセキュリティ対策についての営業電話。何の話なのか気になりますよね?

情報セキュリティ対策 | 課題解決 | 法人のお客さま | NTT東日本
これが最近NTT東日本が推してくるセキュリティ対策の新しいソリューションです。

おまかせサイバーみまもり|情報セキュリティ|NTT東日本
その中におまかせサイバーみまもり と言うのがあります。

専用のUTM(Unified Threat Management / 統合脅威管理)と呼ばれるセキュリティボックスを使ってネットワークを監視したりするセキュリティルータを使います

UTM比較、情報漏洩対策、ウィルス対策、不正アクセス対策等、中小企業の情報セキュリティを守る中小企業情報セキュリティ.COM

例えば、SOPHOS や FortiGate WatchGuard CheckPoint などと言った有名どころの物が使われるのが一般的です

機能詳細|おまかせサイバーみまもり|情報セキュリティ|サービス|法人のお客さま|NTT東日本
機能詳細を見ると、筐体の写真があるのですが、なぜか型番などが書いてありません。
何故でしょうか?

gc

でも、私の検索力にかかれば探し出すことなどちょろいのです

Seagull-LC Security Box | ワイイーシーソリューションズ
gc2
Cloud Edge と言う名前でした
さらに調べてみましょう

Cloud Edge | トレンドマイクロ
gc3
どう見ても、トレンドマイクロです。本当にありがとうございました。・ω・

NTT東日本とトレンドマイクロ,専用ボックスを使った個人向けセキュリティ・サービスを発表 | 日経 xTECH(クロステック)
そういえば 2002 年から Web Caster など、トレンドマイクロ製品を使ったセキュリティルーター販売してたのですが・・・今もトレンドマイクロの名前を隠して、セキュリティソリューションを中小企業向けに販売してることが分かりました。
いや、筐体に、トレンドマイクロっぽいロゴが付いてるから気持ち悪いなとは思ってたんですが・・・ 20年近くもこんなことやってるんですか?

【注意喚起】フレッツ・ウイルスクリアの中身はウイルスバスタークラウド その1
【注意喚起】フレッツ・ウイルスクリアの中身はウイルスバスタークラウド その2

そういえば、ウイルス対策ソフトの名前もウイルスバスターというのを隠蔽して販売してましたね!



blackwingcat at 08:30|PermalinkComments(0) このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote
livedoor プロフィール
My PC
SNOWSTORM(P5E3 Premium)
OS:Win2000AdvancedSv
CPU:Xeon(4Core) 2.83G
Memory:8G
VGA:NVIDIA GTX 780Ti
HDD:SSD(32G)
    +SATA(540G+180G)
Crystal SCR:244765
SNOWFOX2(W860CU)
CPU:Core i5-540M(2.53G)
OS:Win2000Pro
Memory:4G
VGA:Geforce GTX285M
HDD:SSD(160G)
Crystal SCR:176460
SNOWMOBILE3(CF-J10S)
CPU:Core i5-2410M(2.3G)
VGA:Intel HD Graphics
HDD:SSD(128G)
Windows2000
Memory:6G
Crystal SCR:133495
SNOWMOBILE(N10Jc/故障)
Windows2000/XP Home
Crystal SCR:38316
SNOWLEO(MA206J/A/休止)
OS:OSX 10.4 +
Windows2000Pro(Solo動作)
Crystal SCR:24061
Windows 2000の セキュリティ対策について
FFR yarai(脆弱性防御)
SymantecEndpointSecurity 11 MR7
Windows Defender
記事検索
訪問者数

    最近のアクセス数

    Win2000お勧め
    お勧め記事
    Twitter Client Mo-Footer
    .NET FrameworkのUninstall
    lolifox 0.3.8.x
    WindowsのシャットダウンTips
    Fox Launcher
    ウィルス感染を手動で見つける方法
    Unknown Hard Errorとサルベージ
    Dependency Walker 日本語化
    Ultra VNC 1.0.6/1.0.8 を日本語化
    IME補完計画
    BSoD(ブルースクリーン)特集
    デフラグ時の4つの心得
    不明なデバイス探し
    SETUPAPI/NTDLLBugFix
    DNSデボルブ用更新[KB957579]
    最新 update.sys!
    4Thread以上のCPU最適化
    Win2000マルチコアで最適化
    Windows 2000の通信速度改善1
    Windows 2000の通信速度改善2
    内蔵簡易FireWallを使う
    ワームに感染しないインストール
    Remote Desktop Client
    IME 辞書 Tips
    Win2000用セキュリティSOFT
    不要なファイルの削除
    Win2000カスタマイズ
    便利なキーボードショートカット
    6月末まで使える体験版セキュリティ

    非対応ハード動作編
    HTC NDIS Driver
    Intel HD Graphic Driver
    VMWare Player 3.1.x
    Conexant HD Audio Driver
    NVIDIA WHQL Driver
    Intel Chipset 最新 INF
    Sentelic Finger Pad Driver
    ATI Legacy Driver 10.2
    AMD Radeon Driver 8〜11
    ATI Ahci/Raid Driver
    Intel SATA AHCI Driver
    D21LC(eMobile)
    USB-WSIM
    UVC カメラ
    Logicool Webcam
    Logicool ゲームパッド
    XBOX360用コントローラー
    Logicool Mouse
    Microsoft IntelliPoint
    iPod Touch/iPhone Driver

    非対応アプリ動作編
    Flash Player 10.3
    Java 6 JRE
    Java 7.0 JRE
    ティルズウィーバー
    Natal Online
    コンチェルトゲートフォルテ
    シルクロードオンライン
    東方幻想麻雀
    IME2010 Installer
    Adobe Reader X for Win2000
    Baidu IME 2.x
    MMORPG ドルアーガーの塔
    Adobe Air for Windows 2000
    Baidu IME
    iTunes 10.x installer
    Evernote 4
    Janetter
    Second Life
    雀龍門
    Media Manager for PSP 2.5a
    .NET Framework 3.5SP1
    ATOK 月額版(2010/2011)
    Leaf 愛佳でいくの!!
    VistaのScreenSaver
    会計ソフト弥生シリーズ 10
    Vegas Movie Studio 9
    EyeBall Chat
    ・CanonPowerShot[Soft/DPP]
    Google SketchUp Pro 7
    dance mixer
    Lismo Port
    DivX
    SONY ScreenSaver
    mixi アプリ
    DivX v7.x
    ニコニコムービーメーカー(動画)
    RC-S330 PaSoRi
    Finale 2009
    ZoneAlarm 8.0
    ルナティア Online
    ストリートギアーズ
    xfy Blog Editor
    Photoshop Elements 7
    Premiere Elements 7
    PowerShell 1.0
    ai sp@ce
    電脳フィギュアARis
    VOCALOID2 ミク・リンレン
    Google Chrome/SRW Iron
    Media Player 10
    ・iTunes 7.6.2を使う方法
    QuickTime 7.5x/7.6x
    foobar2000 9.5.x/9.6.x
    RealPlayer11
    Safari3/4.0
    ShockwavePlayer10/11
    Windows Live Writer
    Live Messenger
    Veoh Web Player / Web TV
    Level-R

    追加機能・カスタマイズ編
    W2K Kernel32 改造計画【BM】
    W2K Update Rollup v2
    XNA/SlimDX
    CPU Core数リミット解除
    OutLook Express 6SP3
    MDAC 2.8 SP2
    GIF/PNGを使えるMSPAINT
    IE5でWindowsUpdate
    MSXML 4.0SP3
    DirectX9.0c(2010/Feb)+拡張
    MS09-062(Gdiplus.dll)更新
    Unicode 制御文字
    Internet Explorer6 Bonus Pack
    夏時間(DaylightSavingTime)
    レジストリバックアップを取る
    IME2007
    Windows Media Bonus Pack
    XPSファイルビューア
    Windows Defender
    文字化け対策(FontLink)
    Meirio(KB927489)
    msconfig
    圧縮フォルダ
    Windows Movie Maker
    IE5.01/5.5/6タブ化
    MediaTypeChanger(EISA構成)
    Win2000 SP4 Support Tool
    kill/tlist with Debugging Tools
    sc.exe with Resource kit
    reg.exe
    TaskTray 256色化
    ISO仮想CD/DVDドライバ
    IE6高速化とWSH 5.7/5.8
    MS Baseline Security Analyzer
    音声認識 API 5.1
    Text Service

    Win2000インストール編
    CF-J10S
    N10Jc
    ThinkPad X200(7454)
    Quad Core/X48/P5E3
    VAIO VGN Type S
    E6850搭載 サポートPC
    Let'snote CF-R6
    MacMini
    Dell LATITUDE D630
    Core i7 + X58 +ICH10R
    790FX + SB750
    Clevo W860CU
    最新コメント
    Categories
    アーカイブ
    Information
    Google広告




    Translate


    このサイトはIE5.x/IE6
    IE5.x Internet Explorer 6.x

    Firefox Firefox ブラウザ無料ダウンロード
    で最適化されています。
    Technorati
    Add to iGoogle
    Amazon GIFTでカンパ

    Donation