水無月ばけらのえび日記

IPAX2006 プレゼンテーション枠が確定

IPAX2006の出展者プレゼンテーションのページ (www.ipa.go.jp)が更新されています。

というわけで、1発目にやらせていただくことになりましたので、よろしくお願いします。話す内容はまだ最終確定ではないのですが、今のところは以下のような内容を考えています。

• 自己紹介
• 脆弱性発見の経緯 (スクリプト無効の話、ノートPCを検索する話)
• かつての情報の扱い (直接通知していた時代の苦労話)
• 届出しないケース

あとは不満点を入れるかどうかとか……。

ともあれまだ考え中ですので、「これをやってほしい」という要望などがあるようでしたら、参考にいたします。

※具体的な事例紹介はあまりしない予定です。「ウェブアプリケーション開発者向けセキュリティ実装講座 (www.ipa.go.jp)」の「最近の脆弱性関連情報の届出事例とその対策方法」という資料があるのですが、ここで紹介されている「届出事例」の半数ほどには心当たりがあります。紹介しても見事に内容がかぶりそうですので……。

• 「IPAX2006 プレゼンテーション枠が確定」へのコメント (4件)

関連する話題: セキュリティ / IPA / 講演

Trac に XSS

「JVN#84091359 Trac におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」。Wiki機能に XSS だそうで。

手元でも使っていたりするので、管理者にアップデートするように伝えておかないと……。

※なにげに ZnZさん (znz.s1.xrea.com)の届出みたいですね。Good Job.

• 「Trac に XSS」にコメントを書く

関連する話題: セキュリティ / 情報セキュリティ早期警戒パートナーシップ

タッチペンをなくした

いつものように「どうぶつの森 (www.amazon.co.jp)」をはじめて、本体からタッチペン (スタイラス) を抜こうと思ったら……ペン、ありませんでした。どうも、昨日のうちにどこかで落としてしまったようです。タッチペンは本体にかっちりはまるようになってはいるのですが、最近ちょっとゆるくなってきていたので、ペンを使わないゲームをやっているときに抜け落ちてしまったのでしょう。

もちろん、こんなこともあろうかと用意しておいた予備のペンがあるので問題なし。そもそも任天堂はペンをなくすことを想定しているらしく、ニンテンドーDS (www.amazon.co.jp) には最初から予備のペンが 1本ついているのでした。

• 「タッチペンをなくした」へのコメント (1件)

関連する話題: ニンテンドーDS

IPAX2006 受賞者プレゼン枠

IPAX2006 (www.ipa.go.jp)のが発表されています。「出展者プレゼンテーション (www.ipa.go.jp)」のページを見ると「IPA賞受賞者プレゼンテーション予定」という枠がありますが、受賞者に対してプレゼンテーション枠の案内があったのが今日だったりするという。

というわけで話すことがあるかどうか訊かれているわけですが、基調講演 (www.ipa.go.jp)のほうに「ウェブアプリケーションのセキュリティホールの現状 ～ 情報セキュリティ早期警戒パートナーシップ」とその成果・課題 ～」という講演もあるようで。私がしゃべっても内容がかぶりそうですね……。

※社内セミナーと違って、暴露話とかできませんし。:-)

• 「IPAX2006 受賞者プレゼン枠」へのコメント (4件)

関連する話題: セキュリティ / IPA / 講演

情報処理試験でNUL文字攻撃の問題など

更新: 2006年4月20日

スラッシュドットに「情報処理試験(2006年春)はどうでしたか (slashdot.jp)」というトピックができていますね。今回、「テクニカルエンジニア(情報セキュリティ)」という試験区分が新たに追加されたとのこと。

「情報処理技術者試験センター：問題冊子・配点割合・解答例 (www.jitec.jp)」として問題が公開されているので見てみましたが、ディレクトリトラバーサルやSQLインジェクションの攻撃手法を答えさせるものがあったりして、なかなか興味深いです。

個人的に印象深かったのは、拡張子指定を迂回する話ですね。Perl スクリプトで、外部から与えられた $fname という名前に対して '.cep' という文字列を連結してから open に渡しています。$fname は何もサニタイズされていませんが、プログラム内で '.cep' という固定の文字列が連結されてから open に渡りますので、これを書いた人は「拡張子 .cep のファイルにしかアクセスできない」と思っているわけです。そこで「任意のファイルにアクセスする方法を答えよ」というのが問題になります。

まあ、単にファイル名の後ろに NUL文字をつけるだけなのですが、この手法、意外に知られていないように思います。以前、私が社内向けのセミナーで紹介したことがあるのですが、普段から Perl のプログラムを書いていて、XSSなどは知り尽くしているような人にも「初耳」と言われたりしましたので……。

※Perl の open は NUL を含むファイル名を渡されると NUL 以降を無視します。クエリに index.html%00 などと指定すると index.html(NUL).cep という文字列が open に渡ることになりますが、index.html.cep ではなく index.html が開かれます。

※2006-04-20追記: もう少し正確に言うと、Perl は NUL を含むファイル名をそのまま OS に渡すので、結果として NUL 以降が無視されます。Perl が一律に文字列の NUL 以降を無視しているわけではないので注意が必要です。詳しくはコメント欄を参照してください (PANDA さんありがとうございます)。

ところで話は変わりますが、こんなご意見が。

それはあるいは私のせいかも。届出様式には「5) 脆弱性により発生しうる脅威」という項目があって、これは届出者が書いていますので。

• 「情報処理試験でNUL文字攻撃の問題など」へのコメント (11件)

関連する話題: セキュリティ

cssText修正の余波?

「4月の月例パッチ「MS06-013」適用で、キヤノンのプリンタ用ソフトに不具合 (internet.watch.impress.co.jp)」だそうで。

パッチを当てたら「アクセスが拒否されました」と言われるようになった、というのは cssText プロパティを参照する exploitコードと同じ挙動ですね。印刷用のツールということですから、印刷用にスタイルを調整するために cssText プロパティで CSS を参照していたのかもしれません。

いや、「cssText プロパティを使っている人なんて見たことない」と断言してしまっていましたが、こんな使われ方もあり得るのですね。ひっそりと CSS2 の印刷系プロパティを使っていた MS Word を思い出しました。

• 「cssText修正の余波?」へのコメント (2件)

関連する話題: セキュリティ

色遣い

「Webにまつわる大騒ぎは見当違い (www.usability.gr.jp)」……黄色地に白文字とかやられると、読めないのですが……。

※ちなみに原文の Hyped Web Stories Are Irrelevant (www.useit.com) は文字色が黒なので、読めないような事態にはなっていません。

• 「色遣い」へのコメント (2件)

関連する話題: アクセシビリティ / ユーザビリティ

モヒカンの中のモヒカン

同僚がイベントで会った人の話をしていて、

• 「この人知ってる?」
• 「おお、モヒカンの中のモヒカンじゃん!」

などという会話が耳に入ったので覗いてみたら、私も知っている人でした。

※誰なのかはあえて伏せておきますが。:-)

• 「モヒカンの中のモヒカン」にコメントを書く

関連する話題: 思ったこと / 与太話

Level1飛空挺症候群

「情報過多が作り出す「Level1飛空挺」症候群 (plusd.itmedia.co.jp)」。

反射的に FF9 (www.amazon.co.jp) を連想してしまったわけですが……。

※FF9 では、本当にレベル1で最後まで行けます。

• 「Level1飛空挺症候群」にコメントを書く

関連する話題: 思ったこと

しつこいサバレンジャー

アキバ特捜隊　サバレンジャー (www.express.nec.co.jp)。

って、3回も言わなくても……。

あるいは、3回入れないと警告されるから入れているのですかね。最近、どうも「アクセシビリティチェックツールに警告されたから対応しました」と言わんばかりの、変な (アクセシビリティ対応としては明らかに間違っている) 使われ方をした noscript をよく見かけるのですが。

• 「しつこいサバレンジャー」へのコメント (1件)

関連する話題: HTML / アクセシビリティ

Windows + L は知られていない?

更新: 2006年4月14日

最近の Windows (2000 や XP や 2003) は普通にロックすることができると思いますが……。Ctrl+Alt+Del の後にエンターを押すか、Windows キー + L キーでロックできます。離席時に Windows + L を押す癖をつけておくと良いのではないかと思います。

※いや、実は Ctrl+Alt+Del しなくても Windows + L で良い、ということを知ったのはつい最近だったりしますが。:-)

※追記 : Windows + L でロックできるようになったのは Windows XP からで、Windows 2000 の場合は Ctrl+Alt+Delしないと駄目なようです (izumiさん情報ありがとうございます)。

• 「Windows + L は知られていない?」へのコメント (3件)

関連する話題: 思ったこと / セキュリティ

プロフィールを公開

以前から ASAHIネットや mixi では本名を公にしていたのですが、どこかに名前が出ると「名前出てますけど大丈夫ですか?」などと訊かれる事が良くありました。

せっかくだからもう少し積極的に公表しておこうということで、暫定的なプロフィールのページを作成しました。

※時間があるときに、もう少しちゃんとしたものにしておきたいと思いますが……。

• 「プロフィールを公開」へのコメント (7件)

関連する話題: 出来事

第2回IPA賞

「プレス発表 : 第2回IPA賞について ～今まさに次代を切り開く「旬」の個人やグループを表彰～ (www.ipa.go.jp)」ということでプレスリリースが出ました。

なんというか、情報セキュリティ部門で株式会社ラック (www.lac.co.jp)の方と並んでしまっているのが凄いですが……。弊社はセキュリティ系の会社ではありませんので、念のため。

※写真は好評のようで良かったです。Special Thanks: yukop (blog.omase.com), kotarok (hemiolia.com), わだっち、ようへいさん

• 「第2回IPA賞」にコメントを書く

関連する話題: セキュリティ / IPA / 出来事

CSSXSS対策された模様

更新: 2006年4月14日

本日のパッチによって、いわゆる CSSXSS の対策がなされたようです。同一ドメイン上の CSS の内容は読めますが、他ドメインの CSS に対して cssText プロパティを参照しようとすると、「アクセスが拒否されました」と言われて失敗します。

これにより、他ドメインの任意のコンテンツにアクセスできてしまうといったことはなくなったはずです。端的に言うと、Firefox と同様になったということですね。

※2006-04-14追記 : 一応の対策はなされたものの、完全に FIX したわけではなく、依然としてアクセスする方法があるようです。参考 : InternetExplorerのいわゆるCSSXSS脆弱性と4月度のセキュリティ更新プログラムについて(その２) (d.hatena.ne.jp)

※ちなみに Firefox の場合は DOM2-style (www.w3.org) 準拠で、document.styleSheets[0].cssRules[0].cssText などとしてアクセスすることができます。これも同一ドメインでは取得できますが、クロスドメインでは取得できません。

• 「CSSXSS対策された模様」へのコメント (10件)

関連する話題: セキュリティ

装備を調える

私はあまり服装には頓着しないほうなのですが、諸事情により、それなりに装備を調える必要が生じたので、仲間の協力を得て装備を調えたりしました。おかげさまで、なかなかの装備がそろった感じです。

※本当はもっと後で行こうと思っていたのですが、写真が必要と言われたので、「せっかくだから」ということで。

いやー、みんなで買い物するって楽しいですね。

• 「装備を調える」にコメントを書く

関連する話題: 出来事

CSRFとCSSXSSは分けて議論したい

スラッシュドットに「正しいCSRF対策、してますか？ (slashdot.jp)」というトピックが立っているようですが、議論がかなり混乱しているように思います。「hiddenにセッションIDをセットする CSRF 対策は、CSSXSS があるので危険」という話なのですが、CSRF といわゆる CSSXSS は別の問題ですので、分けて議論したいですね。

簡単に言うと、

• hiddenにセッションIDをセットする方法は、CSRF対策としては正しい
• ただし現在、MSIE には HTML の内容をクロスドメインで読めてしまう脆弱性 (いわゆる CSSXSS) があるため、HTML に秘密情報をセットすることには別の危険がある

ということになります。

• hiddenにセッションIDをセットする方法でも、CSSXSS 対策ができていれば問題ない
• 何であれ、CSSXSS 対策ができていなければ危険

ということです。注意したいのは、いわゆる CSSXSS の問題は CSRF に限った話ではないということです。秘密情報は何であれ、CSSXSS 対策をする必要がある (たとえば、GET で得られる HTML の中に出力しないようにする) という話になります。「セッションID」や「CSRF対策のためのワンタイムトークン」などはもちろん、個人情報の編集画面であるとか、Webメールの画面であるとか、そういった画面もすべて問題になるはずです。CSRF 問題のないサイトだから CSSXSS は関係なさそうだ、と思ってしまったりしないように気をつけたいところです。

※ただ、実際には CSSXSS によって取得できるものは限定されていて、何でも取れるわけではありません。基本的には MSIE が CSS の宣言ブロックの中身であるとみなしたものだけが取れるので、たとえば Webメールの画面の本文全体を取る、といったことができるかというと難しいところです。ただ、攻撃者が {} を挿入することができる余地、多バイト文字の一部が {} に解釈される余地などを考えると、あまり安心できなかったりもします。

個人的には、いわゆる CSSXSS は CSRF とは別の問題としてきちんと議論して欲しいし、もっとクローズアップされても良いと思います。まあ、今回の話で十分に注目されていると思うので、それはそれで良いような気もしますけれど。

ちなみに、CSSXSS に対しては利用者側でできる対策があります。それは、

• MSIE を使う場合、スクリプトを無効にする

ということです。現在知られている CSSXSS の攻撃手法では、攻撃者のサイト上でスクリプトを介して cssText プロパティの値にアクセスすることになります。ですから、スクリプトを無効にしておけば CSSXSS の攻撃は受けません。もちろん、MSIE 必須かつスクリプト必須のサイトは利用できませんので、それについてはパッチ待ちとなります (まあ、そんなサイトそうそうありませんが)。

• 「CSRFとCSSXSSは分けて議論したい」へのコメント (11件)

関連する話題: セキュリティ / CSRF / CSSXSS