アカウント名:
パスワード:
どう考えてもウイルスじゃいんだけど。何でもかんでもウイルスというのはやめて欲しい。
今回って被害者側もそれなりにPCについてのスキルはあると思うので、メールに添付された怪しげな実行ファイルを素直に実行しちゃったというのも結構不思議な気がします。
各社の報道にばらつきがあるのでおかしいですが、各紙報道をソースとしながらもIT Mediaがまとめた記事 [itmedia.co.jp]が一番矛盾がないんでこれが大筋で正しいと仮定すると、これはクロスサイトリクエストフォージェリ [wikipedia.org](CSRF)と言う攻撃手段じゃないかと思います。これはいわゆる「感染」などを引き起こすものではありません。細工されたページにアクセスしてトラップを踏む…これはダウンロードしたファイルを実行するなどではなく、単に画面のどこかをクリックするだけとかでもいいんですが、そういった動作で勝手にどこかに書き込みなどの動作が行われるというものです。
#というかそろそろ「ウイルス」という言葉は「感染する」という微妙な用語を呼び覚ますのでやめるべきだよね…。
これ、 Wikiepdiaだとセッション情報を利用してやる攻撃を想定しているので、利用者側だとこまめにCookieを消せとか書いてありますが、基本的にはサーバ側でおかしなクエリは受け取らないだとか、そういった対処しないと利用者の方じゃ処置が難しい攻撃です。
なので、そもそもCSRF対策しない釣り用の掲示板を用意しておいて、そこに対して書き込みをさせるトラップを仕込んだ一見無害なページを送りつけると言う形では正直なかなか防げないなと言う気がします。届いたメールが特に標的型であれば、セキュリティソフトの類いも警告を出しにくいでしょうし、怪しいと言うのもきちんと判断できないんじゃないかな。また一人の人間を引っかければ良いのであれば、CSRF対策としてよく見られるトークン型の対策(一意の使い捨て・有効期限付きのトークンをフォームに埋め込んでおく)では比較的簡単に回避させることができてしまいます。
被害者が気付いて攻撃したページを保存していたとか、加害者が攻撃につかったページをマヌケにもそのままのこしていたとか、どこかにキャッシュされてたとか発覚した経緯は今のところ分かりませんが、もっと巧妙にやられると発覚は難しい、少なくとも専門捜査官じゃないと警察じゃ見抜けないんじゃないかな。さらに攻撃者と、CSRFトラップを踏ませせられた被害者と、掲示板などを管理している被害者と言う3者が絡むとか、ポストさせる内容に児童ポルノや覚醒剤、売春、人身売買などに関連する情報を含ませるといった形だったりするといよいよと面倒くさい事になります。
なんか模造犯が出そうな予感……と、言うかすでに冤罪とかあるんじゃないのか?なんかいい具合に自衛が可能な方法ないだろうか…。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
それって (スコア:0)
どう考えてもウイルスじゃいんだけど。
何でもかんでもウイルスというのはやめて欲しい。
Re:それって (スコア:0)
今回って被害者側もそれなりにPCについてのスキルはあると思うので、メールに
添付された怪しげな実行ファイルを素直に実行しちゃったというのも結構不思議な
気がします。
Re:それって (スコア:4, 参考になる)
各社の報道にばらつきがあるのでおかしいですが、各紙報道をソースとしながらもIT Mediaがまとめた記事 [itmedia.co.jp]が一番矛盾がないんでこれが大筋で正しいと仮定すると、これは
クロスサイトリクエストフォージェリ [wikipedia.org](CSRF)と言う攻撃手段じゃないかと思います。これはいわゆる「感染」などを引き起こすものではありません。細工されたページにアクセスしてトラップを踏む…これはダウンロードしたファイルを実行するなどではなく、単に画面のどこかをクリックするだけとかでもいいんですが、そういった動作で勝手にどこかに書き込みなどの動作が行われるというものです。
#というかそろそろ「ウイルス」という言葉は「感染する」という微妙な用語を呼び覚ますのでやめるべきだよね…。
これ、 Wikiepdiaだとセッション情報を利用してやる攻撃を想定しているので、利用者側だとこまめにCookieを消せとか書いてありますが、基本的にはサーバ側でおかしなクエリは受け取らないだとか、そういった対処しないと利用者の方じゃ処置が難しい攻撃です。
なので、そもそもCSRF対策しない釣り用の掲示板を用意しておいて、そこに対して書き込みをさせるトラップを仕込んだ一見無害なページを送りつけると言う形では正直なかなか防げないなと言う気がします。
届いたメールが特に標的型であれば、セキュリティソフトの類いも警告を出しにくいでしょうし、怪しいと言うのもきちんと判断できないんじゃないかな。
また一人の人間を引っかければ良いのであれば、CSRF対策としてよく見られるトークン型の対策(一意の使い捨て・有効期限付きのトークンをフォームに埋め込んでおく)では比較的簡単に回避させることができてしまいます。
被害者が気付いて攻撃したページを保存していたとか、加害者が攻撃につかったページをマヌケにもそのままのこしていたとか、どこかにキャッシュされてたとか発覚した経緯は今のところ分かりませんが、もっと巧妙にやられると発覚は難しい、少なくとも専門捜査官じゃないと警察じゃ見抜けないんじゃないかな。さらに攻撃者と、CSRFトラップを踏ませせられた被害者と、掲示板などを管理している被害者と言う3者が絡むとか、ポストさせる内容に児童ポルノや覚醒剤、売春、人身売買などに関連する情報を含ませるといった形だったりするといよいよと面倒くさい事になります。
なんか模造犯が出そうな予感……と、言うかすでに冤罪とかあるんじゃないのか?
なんかいい具合に自衛が可能な方法ないだろうか…。