
パリス・ヒルトンの公式サイトに不正な IFrame タグが挿入されていた 41
ストーリー by reo
有名人はつらいよ 部門より
有名人はつらいよ 部門より
ある Anonymous Coward 曰く、
IT Mediaの記事によると、パリス・ヒルトンの公式サイト (音注意) に不正な IFrame が挿入されていたようです (F-Secure 社のブログ記事) 。この IFrame の内容により、サイトにアクセスした際にポップアップが表示され、Flash Player の更新版を装ったマルウェアをダウンロードするよう促される状態となっていたそうです。1 月 15 日の時点で問題の不正 IFrame 箇所は削除されたもようで、現状は問題ない状態となっていると思われます。
手口自体は目新しい物ではないですが、比較的人気のあるサイトが狙われる傾向が強まっているようですので、IFrame タグ自体のあり方について考えるべき段階にきているのかもしれません。
不正に挿入された部分が削除されただけなのか、不正に挿入されるに至ったセキュリティホールが塞がれたのか。実際に挿入されたのは javascript のコードで、動的に作られた IFrame が外部サイトからバイナリを引っ張って来て、という構造のよう (ZDNet のブログ記事) 。詳しい方、説明よろしく (丸投げ) 。
木を見て森を見ず (スコア:1, すばらしい洞察)
たとえiframeを廃止したところで、そうなったらこんどは、攻撃者は直接攻撃コードを改竄で埋め込むようになるだけでしょう。
iframeは道具であって原因ではない。
Re:木を見て森を見ず (スコア:2, 参考になる)
>たとえiframeを廃止したところで、そうなったらこんどは、攻撃者は直接攻撃コードを改竄で埋め込むようになるだけでしょう。
いやいや、「あり方を考える」っていった場合、廃止しか選択肢が無いわけじゃないでしょ。
(その場合、iframeの存在の是非についてとかになる)
ブラウザの実装(例えばobjectやscriptのような制御オプション、IEにはIFRAMEの制御項目はあるが…)であるとか、
外部サイトをソースにした場合の制約だとか、セキュアに使われるようにはどうするか、
というのを検討する事は車にブレーキ、ABSつけて売りましょうとかいうレベルで考えましょうって話でしょ。
車をなくしてしまえ、とかいう極論しか考えられないのは只の思考停止ではないですか?
道具自体に責任をとらせる事は出来ないし、悪意のある人間がそれで諦めることはないでしょう。
ただ、その当たり前の正論に目がくらんで、すばらしい洞察をつけていませんか?
悪意のある人間は減らないんだから、(iframeがそうだというのではなく)脆弱性という道具は修正しても仕方ない。
論理的な正論をぶっただけで、技術的に対策することを放棄してもいいじゃないか。
そう言ってるのと変わりなく、それじゃ行き着く先はサイバーノーガード社会ですよ。
マイクロソフトに任せれば (スコア:1, おもしろおかしい)
「このページはIFRAMEタグを含んでいます。
IFRAMEタグには危険な要素が含まれている場合があります。
通常、IFRAMEタグを無効にすると安全ですが、IFRAMEタグが適正な場合、機能が使えなくなります。
[IFRAMEタグを無効にする] [IFRAMEタグを有効にする] [詳細]」
ほら、対策完了!
Re: (スコア:0)
>外部サイトをソースにした場合の制約だとか、
外部サイトをソースにしなくても同じ攻撃は可能です。
なにしろ当該サイトが改竄される状態なのですから、
当該サイトにウイルスなりの攻撃コードを全部置けばいいのです。
iframe で外部サイトを参照するのは、現時点でも最も楽だからにすぎません。
技術的セキュリティを考えるときは、自分の思い付いたところだけ見ていても駄目です。
他にも攻撃手段はないのか、その対策は包括的な防止策になっているのか、
そういうことを自問しなければ、本物のセキュリティ対策ではありません。
Re: (スコア:0)
だとしたら、全く要旨をつかめていないと思うのですけど。
(#1493851)さんは
「別にIFrame使わなくたって攻撃できるから、IFrameはほっといて良し!」
というのは違うんじゃないか、と言いたいのだと思います。
>外部サイトをソースにしなくても同じ攻撃は可能です。
というのは当たり前の話で、
「IFrameの対策をすればサーバの対策は不要だよ!」
と言っているわけではなく、
「サーバの対策をやった上で、IFrameをセキュアに使える世の中を一緒に考えようよ!」
という話です
Re: (スコア:0)
むしろ「完全ではないが次善の対策」こそがセキュリティの本質。
どんな理想論掲げても、それが極端すぎては意味がありません。
「現状を分析して,対策によってどの程度の安全ならば確保出来そうか」を
割り出し、対策を講じるのがセキュリティ。
『安全のためにサイトを閉鎖しました』。
Re: (スコア:0)
できることは「ルータのIP/Macアドレスの対比をstaticに設定してしまう」くらいか。
(もちろん、セキュリティパッチだのはすべて当てておく前提)
件のサイトにどうやって埋め込まれていたのかはしらないけど。
Re: (スコア:0)
>iframeは道具であって原因ではない。
とはいえiframeを使った攻撃がこれだけ流行ったということは、クラッカーにとって便利な道具ではあるのでしょう。
#個人的にはnoscriptでブロック
Re: (スコア:0)
ついでにこの辺は、車や銃、ナイフ、ライターという道具についても同じで、道具だから規制はいらないという方が木を見て森を見ずですね。
Re: (スコア:0)
> 検討することは無駄になりませんし。
リソースの無駄遣いでは。
じゃないとしたらキミがやれば。
パリス・ヒルトン のネタは実は Flame であると言うことなのか… (スコア:1)
IFrame ... あら、スペル間違えたかしら? ... とかいうことではないだろうな…
fjの教祖様
100%信頼できるサイトなど存在しない (スコア:1)
「攻撃側は人気サイトをハッキングする傾向が強まっており、100%信頼できるサイトなど存在しない」とは、F-Secureのコメント。
つい先日もエキサイトブログのトップページが改ざんされ、悪意のあるスクリプトが埋め込まれる [srad.jp]というストーリーが掲載されたばかりですが、人気サイトが標的になっているというよりあたりかまわず攻撃されているというのが真相のような気がします。そして今回のmalwareが利用していた脆弱性は、Adobe Reader printf vulnerabilty [coresecurity.com]という Adobe Reader 8.1.2(以前?) にあるセキュリティホールだったわけで、仮に攻撃コードが埋め込まれているパリス・ヒルトン公式サイトをうっかり訪れたとしても、Adobe Reader を最新版にしておくかアンインストールしてあれば問題なかったと思われます。Windows本体はWindows Updateで防げると思いますが、個々のアプリのアップデートもきちんと適用しておけば、危機感を煽る必要はないのかもしれません(笑)
ちなみにパリス・ヒルトン公式サイトを狙った malware が置かれていた you&'tube.com/flvideo/.a/(一部伏字) は現在 Not Found になっていますが、ThreatExpert Report: Trojan:Win32/Zbot.BY [threatexpert.com]によると、Trojan-Spy.Zbot と呼ばれるオンラインバンキング情報を盗むトロイを仕掛ける別な攻撃もここを利用して行われていたことが伺いしれます。
# 最新OS/2環境であるeComStation 2.0 RC6日本語プレビュー版使いのID
Build identifier: Mozilla/5.0 (OS/2; U; Warp 4.5; en-US; rv:1.9.2a1pre) Gecko/20081229 Minefield/3.2a1pre
モデレータは基本役立たずなの気にしてないよ
つまり (スコア:0, すばらしい洞察)
Re: (スコア:0)
今回はたまたま最新版で修正済みの脆弱性でしたが、ゼロデイだとお約束のように「信頼できないサイトは~」と書かれますよね。そんなの「対策」にならないのに。
じゃあそうすればいいのかと言われてもどうしようもない感じがしますが。
うんいまんとこOS/2を使ってれば安全ですな(爆笑 (スコア:1)
>どうしようもない感じがしますが。
それか Java Script 無効にしてブラウザアクセスするとか
0dayが心配ならWindows以外を使え、でいいじゃないとか(w
Javascript 絡みの脆弱性に限ってはOS/2でも悪用可能でしたが、仕込まれるものがWin32 only なので寂しいのね(ぉ
Build identifier: Mozilla/5.0 (OS/2; U; Warp 4.5; en-US; rv:1.9.2a1pre) Gecko/20081229 Minefield/3.2a1pre
モデレータは基本役立たずなの気にしてないよ
タイトルを見た瞬間に思った事を正直に書きます(ファンのクレームの元 -10) (スコア:1)
パリス・ヒルトンなら、何が挿入されていても不思議じゃない。
ネタか (スコア:0)
Re:ネタか (スコア:1)
#でもいわゆる世間一般ではそうでもないのか
Re: (スコア:0)
Re: (スコア:0)
>> シンプル・ライフも放送終了しましたし。
その後,「パリスの親友を募集する」という日本人には理解不能なリアリティー・ショーの番組 [mtv.com]が放送されてますよ.
ただ,あの禁固刑のあたりでパリスの人気(=話題性)は失速したような気はしますね.
Re: (スコア:0)
直して (スコア:0)
パリス・ヒルトン氏
パリス・ヒルトンは男なの?? 女性にも氏はつけるだろうけどさ、違和感あるな。パリス・ヒルトン嬢とか?
あとIT Mediaの記事のリンクがおかしい
Re:直して (スコア:2)
Hiroki (REO) Kashiwazaki
Re: (スコア:0, すばらしい洞察)
Re: (スコア:0)
女性にも付けるようになったのは最近のことらしいので、年配の方に違和感があること自体はおかしくありません。
(マスコミが主導して女性にも付けるようにしたそうですが、詳しくは知りません)
現時点で正しいのに自分に違和感があるから直せ、と言われてすんなり直してしまうのもどうかとは思いますが。
Re:直して (スコア:2)
> 現時点で正しいのに自分に違和感があるから直せ、と言われてすんなり直してしまうのもどうかとは思いますが。
いえ、自分で違和感を感じたので、その感覚に沿って修正したまでです。根拠は自分の感覚。
Hiroki (REO) Kashiwazaki
Re: (スコア:0)
「違和感を感じる」ことにも「違和を感じて」欲しいですね ;-p
Re:直して (スコア:2)
> 「違和感を感じる」ことにも「違和を感じて」欲しいですね ;-p
性別が女性だから違和感を感じましたとは言ってないんですけどね。
男でも女でも氏をつけるのに違和感を感じたり感じなかったりする時があったりなかったりします。統一した基準は感覚なのでございません。
Hiroki (REO) Kashiwazaki
無粋だけど (スコア:0)
違和感は【覚える】ものですよ
Re:無粋だけど (スコア:1)
http://dictionary.goo.ne.jp/search.php?MT=%B0%E3%CF%C2%B4%B6&kind=jn&mode=0&kwassist=0
Best regards, でぃーすけ
パリス・ヒルトンって誰 (スコア:0)
そりゃぐぐればわかるけど、一言添えても罰は当たらんだろう?
マスゴミだって、歌手の誰それ、とか、俳優の某、くらいつけてるぜ?
Re: (スコア:0)
パリス・ヒルトンとは (スコア:0)
パリにあるヒルトンホテルです。他にも世界中にヒルトンホテルがございます。ご旅行、出張の際には是非ご用命を。
Re: (スコア:0)
わかっていてボケているのか単に知らないだけなのかわかりませんが、一応補足しておくと、パリス・ヒルトン [wikipedia.org]の曽祖父のコンラッド・ヒルトン [wikipedia.org]はそのヒルトンホテルの創業者です。
無粋ですが念のため。
Re: (スコア:0)
http://www.hilton.com/en/hi/promotions/hi_hotel_paris_en/index.jhtml [hilton.com]
ヒルトン・パリ・ホテルはあるみたい
Re: (スコア:0)
もちろん知っていてのボケです。娘にパリスって、いわゆるDQNネームですね。姉妹に東京ヒルトンとかがいればなおいいんだけど。
女性に男性名を付けるというのは何ではあります (スコア:1)
Re:パリス・ヒルトンとは (スコア:1)
>娘にパリスって、いわゆるDQNネームですね。
子供に地名をつけるという例はたまに聞くので、
まんま常識外れかどうかは……
そういうのは時代とともに多少変化していくものみたいですし、
今だと、静香、千春、伊織なんかは主に女の子の名前みたいですし。
ただ Paris だとフランス語では男性ぽく聞こえるんじゃないでしょうか。
千春 (スコア:1)
今ですと、松山<新山ですものね。
私も、義務教育の頃などは、いちいち説明しないと、
いつのまにか父親のいない子扱いされておりました。
Re: (スコア:0)
彼女はお金持ちの孫娘って以外に別に特別何が優れてるって訳じゃないからなあ。
日本じゃ無芸でもタレントって呼ぶからタレントでいいか。
Re: (スコア:0)
日本で言うとセレブタレントかな?
これもすっかり過去の人になった化膿仕舞とは違って、
リアルに姉妹でリッチなハチャメチャお嬢様。