水無月ばけらのえび日記

CSRF 直った

ニフティ系のもろもろがいろいろ直ったという報告がありました。私は退会済みなので確認できませんが、まあ修正報告があったからには大丈夫でしょう。

「脆弱性届出状況2005年Q1」あたりで CSRF による強制パスワード変更の可能性について軽く臭わせることを書いていましたが、実際に「@homepage 管理画面において、CSRF 攻撃によって FTP のパスワードが強制変更される」というものを届け出ていたのでした。届出に記載していた PoC コードはこんな感じ。

押すと、Basic 認証のダイアログが出ます (既にログイン済みでなければ、ですが)。そこで素直にパスワードを入れると、パスワード変更完了画面が表示されて後の祭りです。

※まあ、パスワード変更完了画面を見られてしまうとばれてしまうので、本気で攻撃 (!?) する場合には完了画面をうまく隠す必要があるでしょう。フレームを使うなど、カモフラージュの方法はいくらでもあります。

昔ニフティには「インターウェイ」という Web インターフェイスがあって、フォーラムの発言などを Web 上で閲覧することができるようになっていました。そのアクセス制御には Basic 認証が使われていました。そんなわけなので、「ニフティの会員制のコンテンツですよー」と断ってリンクを書いておくと、Basic 認証のダイアログが出てきても不自然さが微塵もないという。

これの他にもいろいろと直ったらしいですね。お疲れ様でした。

• 「CSRF 直った」にコメントを書く

関連する話題: セキュリティ / ニフティ / CSRF / 情報セキュリティ早期警戒パートナーシップ

間違いだらけの個人情報保護ブログ

「間違いだらけの個人情報保護ブログ (internet.impress.co.jp)」なんてのがあるのですね。興味深いです。牧野二郎弁護士が書かれている模様。

• 「間違いだらけの個人情報保護ブログ」にコメントを書く

関連する話題: 法律 / 個人情報

見出し

「記事見出し配信訴訟、読売新聞側の訴えを一部認めた控訴審判決が確定 (internet.watch.impress.co.jp)」だそうで。

ちなみに「一部」ってどのくらいなのかというと……。

いちまんぶんのご、0.05% ですね。

• 「見出し」へのコメント (2件)

関連する話題: 法律

フィッシングメールの Recieved: フィールド

「5分で絶対に分かるフィッシング詐欺 (www.atmarkit.co.jp)」。

いや、それはちょっと……。From: だけではなく、Recieved: も簡単に捏造できます。信頼できるサーバ (自社のサーバ、自 ISP のサーバ) が付加したものでないフィールドは一切信じないのがセオリーでしょう。

※捏造した Recieved: ヘッダフィールドを含むメールを SMTP に渡すと、その Recieved: は消えたりせずに、その上に Recieved: が追加されて行きます。単純に一番下の Recieved: を見ると、それは捏造されたものである可能性があります。

というわけで、信頼できるものの中で一番下の Recieved: を見る必要があるのですが……何が信頼できるのかは、普段からメールヘッダを見ていないと判断できないかもしれません。まあ、他の無難なメールのヘッダと比較すればすぐに分かりますけれども。

• 「フィッシングメールの Recieved: フィールド」にコメントを書く

関連する話題: セキュリティ

破綻

「ハジョウする」という耳慣れない言葉を聞いたのですが……これ、ひょっとして「破綻」のつもりなのでしょうか。

……ATOK で「はじょう」と入れて変換しようとすると、「破綻《「はたん」の誤読》」という候補が出ますね。

※MSIME だと「波状」しか候補が出ない模様。

• 「破綻」へのコメント (5件)

関連する話題: 思ったこと / ATOK

セキュリティ人材のパラドックス

「ネットワークセキュリティの諸問題 - 技術者の雇用/Bot/ビジネスの継続性 (pcweb.mycom.co.jp)」。

なるほど。

何も起きないと経験も積めませんしね……。

• 「セキュリティ人材のパラドックス」へのコメント (1件)

関連する話題: 思ったこと

喫煙タクシー

「タクシー喫煙、粉じん基準の１２倍　回復まで１時間以上 (www.asahi.com)」だそうで。まあそうでしょうね。

私はタクシーに乗ると高確率で体調が悪くなるので、緊急時以外は決して乗らないようにしていますが……禁煙がデフォルトになれば、普通に乗れるようになるかもしれません。

• 「喫煙タクシー」にコメントを書く

関連する話題: 思ったこと

他人の会員情報が見える系

「小田急電鉄、特急券予約サイトで他人の会員情報が閲覧できてしまうトラブル (internet.watch.impress.co.jp)」というお話。見出しだけ見るとセッションの競合とかテンポラリファイルがかぶったとかいう話を想像しますが、良く読むと……。

一度ログアウトして、Cookie をクリアせずにもう一度ログインフォームからログインしたときに他人の情報が見えるということのようで……なんかこれ、私が以前に経験したことのあるパターンに似ていますね。問題の「ロマンスカー＠クラブ (www.web-odakyu.com)」のページにアクセスして、ログインフォームの form要素開始タグを見るとこんな感じでした。

リロードしてソースを見たら、今度はこうなっていました。

何が起きたのか、何となく想像できるような気がしました。

• 「他人の会員情報が見える系」へのコメント (1件)

関連する話題: セキュリティ

主文後回し

「主文言い渡しを後回し　連続リンチ殺人事件控訴審判決 (www.asahi.com)」。この見出し……主文が後回しになることの意味を知らない人も多いような気がしますが、かといって迂闊なことは書けないですし、微妙なところですね。

• 「主文後回し」へのコメント (8件)

関連する話題: 法律

届出状況2005年Q3

「ソフトウエア等の脆弱性関連情報に関する届出状況[2005年第3四半期（7月～9月）] (www.ipa.go.jp)」が公表されました。

確認もしないで届け出るとは、などと思われるかもしれませんが、届出者が確認してしまったらそれはそれで問題があるわけでして。XSS はともかく、SQL インジェクションは下手をするとデータベースを破壊してしまう可能性もあったりして洒落になりません。

しかし、確認しないで届け出ても結構「当たり」が出るものなのですね。

• 「届出状況2005年Q3」にコメントを書く

関連する話題: セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ

ケロロ軍曹11巻

ケロロ軍曹11巻 (www.amazon.co.jp)、中身に達する前に、目次で笑ってしまいました。

まさか「ケロロ将軍」が使われるとは……。

• 「ケロロ軍曹11巻」にコメントを書く

関連する話題: 出来事 / マンガ

闇サイト

「闇サイト事件：「殺人請負」サイト管理者を逮捕　調査費名目、１６５万円詐取の疑い (www.mainichi-msn.co.jp)」というお話。「闇サイト」ってなかなか凄い表現ですね。

ちなみに問題のサイトは Web Archive で見られます……「復讐★別れさせ屋★悩める方の駆込み寺★ (web.archive.org)」。確かに闇っぽいというか、まあ単に背景が黒いわけですけれども。「君が代★教育勅語」というリンクがあったりして、なんとも微妙な雰囲気を醸し出していますね。

• 「闇サイト」へのコメント (9件)

関連する話題: 出来事

Project 2002 と信頼済みサイトゾーンの微妙な関係

Microsoft Project 2002 (www.amazon.co.jp) という、プロジェクト管理のためのソフトウェアがあります。これ自体は普通のクライアントツールで、リソースの情報などを全社的に共有するためには Project Server と呼ばれるサーバが必要です。

その Project 2002 を Project Server と連携させて使おうとすると、少々驚くべき事が起きます。そのサーバのドメインを「信頼済みサイトゾーン」に追加するように求めてくるのです。必要性が理解できませんが、追加しないと使えないようなので、指示に屈して「信頼済みサイトゾーン」にドメインを登録して接続します。すると……パスワードを求めるダイアログが何度も出てきて、何を入れても駄目。結局接続できませんでした。

何が起きたのかは明白です。私は「信頼済みサイトゾーン」のセキュリティレベルを、デフォルトよりも高くしてくして使っています。設定はほぼ「中」のレベルになっていて、これは「インターネットゾーン」の初期値と同じです。そしてイントラネットゾーンは初期状態に近いレベルで使用していて、ほぼ「中低」です。つまり、初期状態では

• 信頼済みサイトゾーン …… 低
• イントラネットゾーン …… 中低

であるので信頼済みサイトゾーンよりもイントラネットゾーンの方がセキュリティレベルが高いのですが、私の場合は

• 信頼済みサイトゾーン …… 中
• イントラネットゾーン …… 中低

ですので、信頼済みサイトゾーンの方がイントラネットゾーンよりもセキュリティレベルが高いという逆転現象が起きています。

そして、私のところの Project Server にアクセスするためには、「ユーザー認証」-「ログオン」の項目が「現在のユーザー名とパスワードでログオンする」になっている必要があるのでした。デフォルトの信頼済みサイトゾーンならそういう設定になっているのでアクセスできるのですが、私のところではそうなっていないのでアクセスできないわけです。

しかし考えてみると、この Project Server はイントラネットゾーン上に存在しているので、「イントラネットゾーンでのみ自動的にログオンする」でも問題ないように思えます。しかし「イントラネットゾーンでのみ自動的にログオンする」では駄目なのです。なぜなら、信頼済みサイトゾーンに登録したことによって、イントラネットゾーンのサイトではなくなっているからです。では、信頼済みサイトゾーンから外してイントラネットゾーンにすればアクセスできるのでしょうか。

理論上は、認証は通るはずです。しかしなんと、Project 2002 はターゲットが信頼済みサイトゾーンに登録されているかどうかをチェックしていて、登録していないと「登録しろ」というダイアログが出てアクセスできないようになっているのでした。

何のためにそんなチェックをしているのか全く理解できないのですが、八方ふさがりです。何か打つ手はないかと探してみると、こんなリソースが見つかりました……「[PRJ2003] Project Professional 2003 でイントラネット ゾーンの Project Server に接続するときに、Project Server を信頼済みサイトに追加するよう求めるメッセージが表示されないようにする方法 (support.microsoft.com)」。どうも困っているのは私だけではないようで、いちおう無効にする方法が用意されているのですね。

……Project 2003 では、ですが。Project 2002 では、そのようなレジストリ設定をしても何も起きないようです。もうね……。

• 「Project 2002 と信頼済みサイトゾーンの微妙な関係」へのコメント (6件)

関連する話題: セキュリティ / Microsoft

ドメイン乗っ取り話

「正しいアドレスなのに別サイト　ドメイン乗っ取り、注意 (www.asahi.com)」。

「DNSサーバの乗っ取り」と「ドメインの期限切れ」は微妙に違うような気がしますけれども……期限が切れたドメインを取得することによって偽セカンダリ DNS サーバを立て、それでドメインを乗っ取るという話もありますのでややこしいですね。ドメイン失効から乗っ取りが起きるパターンは二つあります。

• 本体のドメインが有効期限切れとなり、それを他人に取得されれば別のサイトになるという当たり前の話。pukiwiki.org がこのタイプ。
• セカンダリ DNS サーバのドメインが有効期限切れとなり、他人に取得されて偽の DNS サーバを立てられれば一定確率で偽のサイトに誘導される。fdma.go.jp に起こりかねなかったのがこのタイプ。

警察庁の「ドメイン名の有効期限に注意 (www.cyberpolice.go.jp)」は前者の話、IPA の「ドメイン名の登録と DNS サーバの設定に関する注意喚起 (www.ipa.go.jp)」は後者の話ですね。

公的機関も……って思わせぶりですが、これは「消防庁など政府系4サイトに“ドメインハイジャック”の危険性 IPA、民間企業にも警告 (internet.watch.impress.co.jp)」の話ではないかと。

• 「ドメイン乗っ取り話」にコメントを書く

関連する話題: セキュリティ / IPA / DNS