パスワードを忘れた? アカウント作成
Close
35376 submission
インターネット

[タレコミ] 2008年上半期インターネットの脅威動向レポート 28

タレコミ by kirara(397)
kirara(397) 曰く、
@ITの記事によれば、セキュリティ企業のラックは9月17日、同社のセキュリティ監視センターJSOC(Japan Security Operation Center)がまとめた2008年上半期のインターネット脅威動向レポートを発表したらしい(プレスリリース)。主に
  • SQLインジェクション攻撃
  • メジャーなWikiやCMSなどへの攻撃
  • SSHサービスへのブルートフォース攻撃
などが増加傾向にあり、その攻撃手法はより進化しているようだ。

年々手口が巧妙になっていく攻撃に、貴方の所では対処できているだろうか?
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

2008年上半期、SQLインジェクションが流行 More

  • やっぱり、DNS毒でしょうかね?

    • Re: (スコア:0)

      by Anonymous Coward
      天然 DNS Cache Poisonningならよくやります。

      # うわ誰だよIP間違えて登録してるのは、セカンダリーに行ってしまってるぞ、更新が二日かk(ry
      #
      # あまりにアレなのでAC

  • 進化? (スコア:3, 興味深い)

    by asanagi (22217) on 2008年09月20日 18時05分 (#1423385) 日記
    SQLインジェクションやブルートフォースって結構レトロな攻撃に思えるんですが
    その中身が進化してるんでしょうか?

    前者はORで常に真になる式を突っ込む、後者は辞書を賢くするくらいしか知りません

    • Re:進化? (スコア:3, すばらしい洞察)

      by a-yasui (30289) <a.yasui@gmail.com> on 2008年09月20日 18時56分 (#1423411) ホームページ 日記
      マンネリ化してるように思う。
      攻撃パターンが一定なので、そのパターンに対する封じ込みをされれば攻撃するだけ意味が無いような気が。
      SQLインジェクションならエスケープ、ブルートフォースならパスワード認証を不可能にするとか。

      #いずれにしろ、攻撃理由が踏み台目当てかいたずらなのは昔からなんだろなぁ。
      シェア
      親コメント

      • Re: (スコア:0)

        by Anonymous Coward
        マンネリ化してるならこれほど遅れた時期に流行はしないのでは?
        種類としては古いけど、アタックの手法がどんどん進化してるのかも知れないよ?

        • Re: (スコア:0)

          by Anonymous Coward
          ディフェンスの手法がどんどん退化してるのかも知れないけど?

    • Re:進化? (スコア:3, 参考になる)

      by elderwand (34630) on 2008年09月20日 19時15分 (#1423422) 日記
      うちで観測してるのは、SSHブルートフォースの方だけど、最近はボット使ってやってきますね。IP address で2回目からは遮断してますが、攻撃元ホストは 300とか 400 とか。分布も北米・南米・欧州・アジア・アフリカまんべんなく。国内もレンタル(専用)サーバからFTTHまで。

      そろそろ公開鍵認証 only にしてやらんといかんとは思うのだが、ユーザに教える面倒と、ブルートフォース人気サイトらしい快感が、、、
      シェア
      親コメント

      • Re:進化? (スコア:2, 興味深い)

        by Dobon (7495) on 2008年09月20日 20時00分 (#1423432) 日記
        ユーザ教育が非常に面倒です。

        社内と取引先の「安全な」連絡用のサーバを、公開鍵認証のみで運用してますが
        利用者のタコさ加減に混惑する事が多々あります。

        秘密鍵を掲示板(社内の)に載せたり、平文のメールに貼り付けたり…

        ソフト業界の従事者でさえ「この水準」ですから、
        一般中高年に対する「ユーザ教育」の困難さ・面倒さは、かなりのものです。

        # パスフレーズ忘れた,秘密鍵消した等で、問い合わせに来る連中から1回1000円くらい徴収したい
        --
        notice : I ignore an anonymous contribution.
        シェア
        親コメント

        • Re:進化? (スコア:1)

          by elderwand (34630) on 2008年09月20日 20時58分 (#1423451) 日記
          > 秘密鍵を掲示板(社内の)に載せたり、平文のメールに貼り付けたり…

          そういえば、先日も「ssh公開鍵をください」と言ったら、秘密鍵をメール添付してきた人がいた。

          「こっちを貰ってもしょうがないんだけど、、、」

          「あ、間違えた、こっちね。」

          #鍵、作り直したんかなぁ?
          #あ、試してみればわかったか。しまった、捨ててしまった。
          シェア
          親コメント

          • Re:進化? (スコア:1)

            by Dobon (7495) on 2008年09月20日 21時40分 (#1423465) 日記
            もらった秘密鍵から公開鍵を生成して、そのまま登録した事があります。(物理媒体でもらったので漏れている可能性なし)
            他のシステムでは絶対に使わないよう注意はしていますが、どこまで守られているやら…

            平文で送っても問題ないのが公開鍵の特徴なのに、
            物理媒体での輸送を推奨しなきゃならないのは困ったもんです。
            --
            notice : I ignore an anonymous contribution.
            シェア
            親コメント

        • Re: (スコア:0)

          by Anonymous Coward
          > 秘密鍵を掲示板(社内の)に載せたり、平文のメールに貼り付けたり…

          「社内の」だったらまだマシ(?)で、堂々と世界向けに公開してる人もいる有様だから
          業界といえども油断は禁物…

        • Re: (スコア:0)

          by Anonymous Coward
          >>社内と取引先の「安全な」連絡用のサーバを、公開鍵認証のみで運用してますが
          実は電話/FAXで十分だったりしませんか?
          「連絡用」目的でわざわざそんなメンドくさいことを
          しなくても…、と思うのですが。

          >>一般中高年に対する…
          年齢は関係ないかと。若いのでもタコな奴はいますし
          再教育もそれなりにやっかいです。

    • Re:進化? (スコア:3, 興味深い)

      by Anonymous Coward on 2008年09月20日 19時37分 (#1423426)
      セキュリティ関係の仕事に携わっていますが
      手口は昔から別に変わっていません。
      これは業界の構造的な部分で発生するんだと思います。

      私も以前は作るほうの下請けにいましたが、
      発注側はとにかく人月単位の金額で安い人を引っ張ってこようとし、
      受注側も少ない給料で済む人を派遣しようとします。

      そういう人達は、知識も少なめです、プログラミングも、セキュリティも。

      でも「少々知識がアレでも上の人間が面倒みればいいじゃん」って感じで
      引っ張ってきて開発をスタートさせてしまい、けれど「上の人間」は
      あれこれ忙しくてチェックなんか完璧にできるわけもなく、
      結局は穴がいくつも残ってしまいます。

      そして、全工程が短めに取ってあるために制作期間が足りなくなり、
      でも後ろが決まってるのでテスト工程が削られまくってしまい、
      オープンリリースになっても穴は残りっぱなし、と。

      シェア
      親コメント

      • Re:進化? (スコア:2, 興味深い)

        by Anonymous Coward on 2008年09月21日 8時01分 (#1423551)
        まぁそんな感じなんでしょうねえ。
        「手口が巧妙化」するっていうか、RDBを使ったサイトの数自体が増えていて
        その中にダメなものが相当数含まれているということなんでしょう。
        攻撃された件数じゃなくて、攻撃された率を見てみたいところです。

        シェア
        親コメント

      • Re:進化? (スコア:1, 参考になる)

        by Anonymous Coward on 2008年09月20日 20時20分 (#1423438)
        空き巣やひったくりなど、様々な手口や防御方法が紹介されていても被害が無くならないのと同じなのでしょうかね。

        一度痛い目にあえば学習するかもしれないけど、それまでは「わかっちゃいるけど…真剣に学ばない、自分だけは大丈夫だろう」って感じなのでしょうか。

        シェア
        親コメント

    • Re: (スコア:0)

      by Anonymous Coward
      Simple is best.
    • むしろ「スクリプトキティ」レベル
      但し、コンピュータは昔とちがってはるかに演算能力が向上しているので、非常に脅威

    • Re: (スコア:0, 参考になる)

      by Anonymous Coward
      進化なんかしてないですよね。

      やはりPHP厨が大半のセキュリティーホールを作り出しているんじゃ・・・

      #釣りのようで真剣

  • 結局のところ (スコア:2, 興味深い)

    by Anonymous Coward on 2008年09月21日 2時30分 (#1423525)
    http://linuxweb.biz/ [linuxweb.biz]
    こういう変な教材があるから
    中途半端な知識で中途半端なサーバができて
    中途半端なソースがかかれてってところがあるんでしょうね。
    日進月歩なセキュリティーの世界で30日でプロまでの能力が付くって
    あり得ません。

  • これだけでも読めばだいぶへると思った文章 (スコア:1, 参考になる)

    by Anonymous Coward on 2008年09月20日 19時14分 (#1423419)
    外部入力を使って検索などをするwebプログラム書く人はJoel on softwareの間違ったコードは間違って見えるようにする [joelonsoftware.com]を読むだけでだいぶ違うと思うんだが。(他にこれほど役に立ったテキストしらない)

    • Re: (スコア:0)

      by Anonymous Coward
      そのテキストはお奨めできない。

      > 外部入力を使って

      その発想が既に間違い。

      • Re: (スコア:0)

        by Anonymous Coward

        > 外部入力を使って

        その発想が既に間違い
        検索サイトが既に間違い?
typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー