さくらのブログを利用していましたが、諸事情がありブログを変更しました。
記事の移転も完了したので、今後はこちらに投稿していきます。
2016年6月14日火曜日
マルウェア付きメール②
件名:Re: shipping information
添付ファイル名:shipping_0517700.doc
■VirusTotalの情報
SHA256:fb11e4192123e1738a9e587f4d95cb283f84357ea8b0ecd79bbff7a4ae3130ed
■実際のメール
前回受信したメールと似た手口でした。
マルウェア付きメール
・どちらも実在するドメインからの送信
・送信時間、送信曜日の類似
前回:Thu, 31 Mar 2016 08:xx:xx -0700 (PDT)
今回:Thu, 19 May 2016 08:xx:xx -0700 (PDT)
・どちらもワードファイルに仕込んだマクロウイルス
サンプル数が少ないのでたまたまかもしれませんが、
今後も来ると思いますのでウォッチしていこうかと思います。
添付ファイル名:shipping_0517700.doc
■VirusTotalの情報
SHA256:fb11e4192123e1738a9e587f4d95cb283f84357ea8b0ecd79bbff7a4ae3130ed
■実際のメール
前回受信したメールと似た手口でした。
マルウェア付きメール
・どちらも実在するドメインからの送信
・送信時間、送信曜日の類似
前回:Thu, 31 Mar 2016 08:xx:xx -0700 (PDT)
今回:Thu, 19 May 2016 08:xx:xx -0700 (PDT)
・どちらもワードファイルに仕込んだマクロウイルス
サンプル数が少ないのでたまたまかもしれませんが、
今後も来ると思いますのでウォッチしていこうかと思います。
2016年5月16日月曜日
パスワードに関するWEBアプリの仕様
あるWEBサイトの仕様でビックリする事がありました。
それは下記のような仕様です。
①会員登録時のパスワードが6~8桁
②「パスワードを忘れた場合はこちら」で再発行をしたら設定したパスワードが届いた
そこで、今回はこの2点について書きたいと思います。
①会員登録時のパスワードが6~8桁
発注者はWEBサービスを利用するユーザーの利便性を考えてパスワード桁数を増やしたくないと思ってます。
そのため、最低文字数を決める際に「出来る限り短いパスワードにしたい」という要望に対して、利便性とセキュリティを考慮した桁数を提示する必要があります。
最低桁数の根拠としてOWASPのガイドラインを基にすると良いです。
アカウントロック機能などを搭載する事を前提としてですが、下記のガイドラインが参考になります。
実践 OWASP
・Webシステム/Webアプリケーションセキュリティ要件書
最大桁数ですが、少なく制限するのは問題となります。
ユーザーが大きい桁数を選択出来ない事によって認証が突破された場合、システム側の責任となる可能性があります。
パスワードの保管はソルト+ストレッチングでハッシュ値を保存しますのでデータとして保持するサイズは桁数で変わりません。
もし、6~8桁のように上限が小さい場合は、最大桁数を増やせない理由がある可能性があります。
「桁数が増える事によってデータ容量が増える」といった理由であれば、ハッシュで保存していない事にもなります。
②「パスワードを忘れた場合はこちら」で再発行をしたら設定したパスワードが届いた
「設定したパスワードが届く」ということはパスワードがハッシュ化されていません。
平文で保存していた場合は論外ですが、暗号化で保存してあったと暗号鍵が奪われるリスクや保守担当者が鍵を知っていた場合は復号が可能です。
こういったサイトをどうしても利用する際はパスワードの使いまわしは辞めましょう。
それは下記のような仕様です。
①会員登録時のパスワードが6~8桁
②「パスワードを忘れた場合はこちら」で再発行をしたら設定したパスワードが届いた
そこで、今回はこの2点について書きたいと思います。
①会員登録時のパスワードが6~8桁
発注者はWEBサービスを利用するユーザーの利便性を考えてパスワード桁数を増やしたくないと思ってます。
そのため、最低文字数を決める際に「出来る限り短いパスワードにしたい」という要望に対して、利便性とセキュリティを考慮した桁数を提示する必要があります。
最低桁数の根拠としてOWASPのガイドラインを基にすると良いです。
アカウントロック機能などを搭載する事を前提としてですが、下記のガイドラインが参考になります。
実践 OWASP
・Webシステム/Webアプリケーションセキュリティ要件書
最大桁数ですが、少なく制限するのは問題となります。
ユーザーが大きい桁数を選択出来ない事によって認証が突破された場合、システム側の責任となる可能性があります。
パスワードの保管はソルト+ストレッチングでハッシュ値を保存しますのでデータとして保持するサイズは桁数で変わりません。
もし、6~8桁のように上限が小さい場合は、最大桁数を増やせない理由がある可能性があります。
「桁数が増える事によってデータ容量が増える」といった理由であれば、ハッシュで保存していない事にもなります。
②「パスワードを忘れた場合はこちら」で再発行をしたら設定したパスワードが届いた
「設定したパスワードが届く」ということはパスワードがハッシュ化されていません。
平文で保存していた場合は論外ですが、暗号化で保存してあったと暗号鍵が奪われるリスクや保守担当者が鍵を知っていた場合は復号が可能です。
こういったサイトをどうしても利用する際はパスワードの使いまわしは辞めましょう。
2016年4月22日金曜日
情報セキュリティマネジメント試験の問題を見て
今春から新設された情報セキュリティマネジメント試験の過去問が公開されてます。
平成28年度 過去問題
内容を途中まで見た感想を記載したいと思います。
【1点目】
午後問題の3ページ目で標的型攻撃メールとばら撒き型メールが問題となってます。
標的型攻撃メールは年金機構で話題となってから言葉が一人歩きしているように感じていました。
本来の目的である「データ流出を防ぐ」という事よりも「標的型攻撃メールを防ぐ」事に焦点があてられ、
意味合いもばら撒き型と混同されている印象を持ってましたので、問題として明確化してくれたのは良かったと思います。
【2点目】
午後問題の10ページ目で標的型攻撃メール訓練について言及されています。
訓練については様々な議論があるかと思いますが、メール受信後や添付ファイル、URLクリック後の報告、エスカレーションといった部分が一番重要だと考えていました。
解答内容が同じ考えであったので後ろ盾を得た気分でした。
(誰かを説得する際に、IPAでは~という説得の仕方が可能になるため)
クリック率を0%にする事は出来ませんので、クリックしたかどうかだけで評価する事は本質を見失います。
訓練では攻撃を受けてから一人一人が適切に対応出来るか確認するとともに、対応マニュアルの評価も同時に行って欲しいと思います。
この試験ではセキュリティに詳しくない人は元より、IT従事者以外にも受けてほしいと思いました。
平成28年度 過去問題
内容を途中まで見た感想を記載したいと思います。
【1点目】
午後問題の3ページ目で標的型攻撃メールとばら撒き型メールが問題となってます。
標的型攻撃メールは年金機構で話題となってから言葉が一人歩きしているように感じていました。
本来の目的である「データ流出を防ぐ」という事よりも「標的型攻撃メールを防ぐ」事に焦点があてられ、
意味合いもばら撒き型と混同されている印象を持ってましたので、問題として明確化してくれたのは良かったと思います。
【2点目】
午後問題の10ページ目で標的型攻撃メール訓練について言及されています。
訓練については様々な議論があるかと思いますが、メール受信後や添付ファイル、URLクリック後の報告、エスカレーションといった部分が一番重要だと考えていました。
解答内容が同じ考えであったので後ろ盾を得た気分でした。
(誰かを説得する際に、IPAでは~という説得の仕方が可能になるため)
クリック率を0%にする事は出来ませんので、クリックしたかどうかだけで評価する事は本質を見失います。
訓練では攻撃を受けてから一人一人が適切に対応出来るか確認するとともに、対応マニュアルの評価も同時に行って欲しいと思います。
この試験ではセキュリティに詳しくない人は元より、IT従事者以外にも受けてほしいと思いました。
2016年4月1日金曜日
マルウェア付きメール
件名:Re: Re: billing reminder
添付ファイル名:due_bill_674214.doc
■VirusTotalの情報
SHA256:767944ad1b275795b153e74f778a78e9b6fb4ee781a7314e8415d6f32e4604a7
■実際のメール
■送信元ドメインのサイト
4/1時点で確認した際にはハッキングされた旨の注意書きがありましたので、乗っ取られてマルウェア付きメールをばら撒いたのかと思います。
受信したメールアドレスは公開しているアドレスではなく、いくつかのサイトに登録しているくらいなので、どこかで流出した可能性があるのでしょう。
--追記--
ブラウザでGmailを見た際には画像の通り、ウイルス検知によりダウンロードできません。
AndroidのGmailアプリでは警告メッセージは出てますがダウンロードが可能となってますので、
スマホでダウンロードしたファイルをVirusTotalにアップロードしております。
添付ファイル名:due_bill_674214.doc
■VirusTotalの情報
SHA256:767944ad1b275795b153e74f778a78e9b6fb4ee781a7314e8415d6f32e4604a7
■実際のメール
■送信元ドメインのサイト
4/1時点で確認した際にはハッキングされた旨の注意書きがありましたので、乗っ取られてマルウェア付きメールをばら撒いたのかと思います。
受信したメールアドレスは公開しているアドレスではなく、いくつかのサイトに登録しているくらいなので、どこかで流出した可能性があるのでしょう。
--追記--
ブラウザでGmailを見た際には画像の通り、ウイルス検知によりダウンロードできません。
AndroidのGmailアプリでは警告メッセージは出てますがダウンロードが可能となってますので、
スマホでダウンロードしたファイルをVirusTotalにアップロードしております。
2016年3月28日月曜日
フォルダ内のファイル名が省略されるのを最適化するショートカット
フォルダ内のファイル名が省略され、毎回マウスで項目の所を動かすのが億劫でした。
最適化するショートカットがありますので、メモになります。
Ctrl + テンキーの+
名前以外にも、更新日時や種類も合わせて最適されます。
最適化するショートカットがありますので、メモになります。
Ctrl + テンキーの+
名前以外にも、更新日時や種類も合わせて最適されます。
登録:
投稿 (Atom)