パスワードを忘れた? アカウント作成
10048 story

フィッシング詐欺対策ソフトに脆弱性 20

ストーリー by yoosee
本末転倒 部門より

KAMUI曰く、"4月始めにストーリーになったフィッシング詐欺対策ソフトnProtect: Netizen だが,複数の脆弱性が見つかった事を MYCOM PC WEB の記事が伝えている ( 参考: nProtect Netizenに脆弱性(neti-05-001)発見、並びに対応完了のご報告)。現在は修正済み。

対象となるのは nProtect: Netizen Ver.4とそれ以前で「悪意のあるWebサイトにアクセスする事で nProtect: Netizenが起動してアップデートの有無をチェックする際に,偽のアップデートファイルをダウンロードしてしまう」というもの。任意のファイルを任意の場所に保存させる事が出来るという点からかなり重大な脆弱性と言えるだろう。

しかし,4月25日に報じられたこの件が未だ話題にもあがらないってのは,やっぱりユーザー数が少ないのかね?"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 思考停止継続中 (スコア:3, 参考になる)

    by Technical Type (3408) on 2005年04月27日 9時01分 (#728299)
    こちらの記事 [itmedia.co.jp]の詳しいでしょうかね。それにしても、これではフィッシング詐欺対策ソフトの脆弱性を対策するソフトを導入する必要があるのかよ、と笑っちゃいます。だいたい、
    Webブラウザのブックマークなどから、正しいnProtect : Netizen利用サイトへアクセスし、そこからnProtect : Netizenを起動すれば、新バージョンがダウンロードされる。
    とありますが、これ「まさか https ではなく http で新バージョンをダウンロードさせるわけじゃないよね」と思いたいですが、もしそうなら、対策の過程でフィッシング詐欺にやられ、偽サイトからトロイの木馬を仕込んだnProtect : Netizenを入れさせられるんじゃないかな、と思ったり。

    セキュリティ商社の餌食になる思考停止事業者を自衛のため見分けよ [takagi-hiromitsu.jp]および「セキュリティのため」ActiveXコントロールの導入を勧めるUFJカード [nantoka.com]でこの対策ソフトがいかに逆効果なのかは詳しく解説されたばかりですが、JVN [jvn.jp]では、報告者はラックの山崎さんとの事。

    いずれにせよ「こんな物をユーザーにダウンロードさせればセキュリティー対策ができる」と考えているようなUFJ銀行、東京スター銀行は、消費者は自衛のために利用を敬遠すべきだろう。

    • by Technical Type (3408) on 2005年04月27日 9時28分 (#728310)
      言い忘れたんでちょっと補足。このソフトは、確か
      • Administrator 権限が無いと使えないので、 hosts の書き換えなど、システムファイルの改ざんの被害に遭いやすい環境での使用をユーザーに強いる。
      • キーロガー対策機能もあるが、それを実現するために nProtect Netizen 自体がキーロガーっぽい動作をする。
      だったっけ? 時間があったらソースも示したいけど・・・
      親コメント
    • 高木さんらの記事を受けてこんな記事 [hatena.ne.jp]が書かれてます。
      親コメント
      • by Anonymous Coward

        ついつい最新のまで読み続けてしまったけど、けっきょくまだ何も言ってないではないですか。

        もしかして、「APIやDLLをフックするプログラムを動かせればnProtectは無意味」ってことが言いたいのかな。そんなことは当然なんだけど。

        • 舌足らずな投稿で申し訳ない。

          >けっきょくまだ何も言ってないではないですか。

          そうなんですよね...
          何か高木さんらも見落としているような重大な何かを掴んでいるなら、わかる人にはわかるという書き方でいいからさっさと発表して欲しいです。
          親コメント
        • by Anonymous Coward
          >そんなことは当然なんだけど。

          システムやプログラムに詳しくない一般人には、その当然であるという理解がないと思われます
          むしろ、そんな一般人のほうが大多数な気がします
          nProtectやアンチウィルス等はあくまで補助であって万能薬ではない
          もしも、既に致命的な毒に犯されていたのならば手遅れなんですけどねぇ・・・
  • by kei100 (5854) on 2005年04月27日 8時51分 (#728297)
    過去に韓国のサイトでは結構見かけた記憶がありますが、
    1度だけ導入した際今回の脆弱性に使われたのと同じようにダウンロードを自動的にしていた記憶があります。
    なんていうか怪しい(どんな相性/悪影響があるか分かったものじゃない)ので、以降2度と入れてないのでもう違うのかもしれませんが、
    任意のファイルをその場で実行もできるとも思うので、見た瞬間に悪性コードが発動する可能性もありうるのではないでしょうか?

    それ以前ですが、コイツの有効性ってどの程度なのでしょうか?
    キーロガー系は、まぁ自分で対策していれば防げると思います、
    フィシングも本来サイトが適切に構築され、アナウンスされていればSSLで検証できるような気もします。

    有用なのは再起動してもリフレッシュされないようなインターネットカフェのような共有する端末でしょうかね?
  • 署名しようぜ (スコア:2, 参考になる)

    by ruto (17678) on 2005年04月27日 8時52分 (#728298) 日記
    自動アップデートは電子署名検証が必須なのだが…… [takagi-hiromitsu.jp]

    2005年4月24日付の記事なので"nProtect : Netizen"の脆弱性が発表される前の記事です。

    #ポインタだけだけどID
  • by motoo (26788) on 2005年04月27日 9時12分 (#728304)
    この対策ソフトはもちろんのこと、
    フィッシング詐欺すら知らない人がいました。
    その人のメインバンクはUFJとのこと。

    >やっぱりユーザー数が少ないのかね?

    まさしくその通りなんだと思います。
    • proxomitronの作者が亡くなった時も、
      全くのスルーだったしね。
      ノートンかバスターいれときゃいいや
      くらいの認識の人も多いって事かな。
    • > その人のメインバンクはUFJとのこと。

      UFJ銀行のインターネットバンキングを使用している人には(正しいメールアドレスが登録してあれば)「UFJ銀行を偽装した電子メール詐欺について」というメールが流れていると思います。うちには05-3-18付けで来てます。
      • 遅レスです

        その人はメールを見ない人ですねー
        送ってから電話しないとメール立ち上げないぐらいなので

        まぁ、そういう人も居るって事を言いたかったです、はい。
        親コメント
      • 「UFJ銀行を偽装した電子メール詐欺について」というメールが流れていると思います。
        そういうメールは偽メールなんじゃないですか?
        最後にここにアクセスみたいなURLとか書いてありませんでした?

        「これは架空請求ではありません」という架空請求はよく来るですよね。

        • URLは書いておらず、問い合わせ先は電話番号です。内容はパスワードなどを入力するページはSSL接続であること、その接続がUFJ銀行であるかどうかの確認方法などが書いてあります。

          もちろん虚偽の確認方法を書
  • by Anonymous Coward on 2005年04月27日 10時10分 (#728325)
    「修正アップデートは nProtect Netizen 起動の際、自動的に実行し反映され」るとのことなので、これを採用してるサイトには「導入頂いているお客様はログインする用事がなくてもカクカクの手続きをとってください、さもないとシカジカの危険があります」などと大きく掲示があってしかるべきだと思うんですが。

    タレコミにあるMYCOM PC WEBの記事に出ているサイトは次のものでいいのかな?
    東京スター銀行 [tokyostarbank.co.jp]
    JCB [jcb.co.jp]
    UFJカード [ufjcard.com]
    ベネッセカード [benesse.jp]//ここでいいのかな?
    セゾンカード [saisoncard.co.jp]
typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...