FTPやWebDAVなどを使ってHPの更新を行っている場合、アカウント情報を得て、そのアカウント情報を使ってHPを書き換えつ手法があります。ポイントはアカウント情報を得る方法ですが・・・
メールでパスワード等が暗号化されずに使われているのを良く見かけます。またスパイ活動は、セキュリティの甘いオフィイスや制服着用の工場やオフィイス外での食事中の会話等からセキュリティ情報を収集するという古典的な方法です。
この他に、HPが動的なページ、例えばWordPressなどに代表されるような、システムで作成されている場合、そのセキュリティホールを使って改ざんする方法もあります。そうしたシムテムの場合、多くはSQLデータベースエンジンを使っているので、SQLインジェクションという手法を用いて改ざん、あるいは改ざんに必要なアカウント情報を得て改ざんに使用するなどの方法が考えられます。こうしたシステムは、正に、はてなが利用している方法ですので、はてなのサイト管理側では、こうした攻撃に対応しているはずです。
この他に、サーバにご意見箱等が設置されているような場合や、ファイルをアップロードできるようになっているサイトの場合、まずセキュリティホールを作り出すプログラムを送り込み、それを実行させる事が成功すれば、そのプログラムを通じてHPを改ざんします。
他にも方法は沢山あり、列挙するだけで本が書けてしまうと思いますが、主な方法は上記のようなものだと思います。
ベタな手法としてはFTPの乗っ取りがありますね。
未だ多くのホスティングサーバでは、データ更新にFTPを使用していると思います。
FTPのアクセスはパスワードで管理されているため一見安全に思われますが,
このパスワード実は何の暗号化もかけずにサーバに送信されているんです。
中継地点で盗聴されたら一発でアウト、ですよね。
よく言われる対策法としてはFTPを使用しないこと。
そしてより安全なSFTPやFTPSを使用する事、などが上げられます。
廉価なホスティングサービスでは,FTPしか用意されてない場合が多く,
中々対策も難しいかと思いますが…
サーバ管理が可能なVPSとかになってくるともっと広範にセキュリティ対策を
講じることもかのうになってきますね。
どうもありがとうございます。
ガンブラー騒ぎ以来FTPS使ってます。
公的機関のHPがその程度の対策もしていないんでしょうかね?
官公庁の業務に実際携わったことはありませんが,
以前携わった業務では誰もが知ってる大企業のHP、普通にFTPでした。
別に官公庁だからといってそう変わるわけでも無いですし
しょせんはそんなもんです。
FTPやWebDAVなどを使ってHPの更新を行っている場合、アカウント情報を得て、そのアカウント情報を使ってHPを書き換えつ手法があります。ポイントはアカウント情報を得る方法ですが・・・
メールでパスワード等が暗号化されずに使われているのを良く見かけます。またスパイ活動は、セキュリティの甘いオフィイスや制服着用の工場やオフィイス外での食事中の会話等からセキュリティ情報を収集するという古典的な方法です。
この他に、HPが動的なページ、例えばWordPressなどに代表されるような、システムで作成されている場合、そのセキュリティホールを使って改ざんする方法もあります。そうしたシムテムの場合、多くはSQLデータベースエンジンを使っているので、SQLインジェクションという手法を用いて改ざん、あるいは改ざんに必要なアカウント情報を得て改ざんに使用するなどの方法が考えられます。こうしたシステムは、正に、はてなが利用している方法ですので、はてなのサイト管理側では、こうした攻撃に対応しているはずです。
この他に、サーバにご意見箱等が設置されているような場合や、ファイルをアップロードできるようになっているサイトの場合、まずセキュリティホールを作り出すプログラムを送り込み、それを実行させる事が成功すれば、そのプログラムを通じてHPを改ざんします。
他にも方法は沢山あり、列挙するだけで本が書けてしまうと思いますが、主な方法は上記のようなものだと思います。
他にも直接的な攻撃ではなく、外郭の関連システムのうち、管理の甘いサーバから侵入し、それを足がかりにして、本陣へと向かう方法もあります。
私は自宅サーバを立てていますが、昔、国内のプロバイダのサーバ経由で攻撃を受けた事があります。パターンと時期から見て、ある国からの攻撃が考えられたのですが、国内サーバからのものでした。おそらく、そのサーバがすでに乗っ取られたのだと思いますが、そのサーバの管理者と連絡を取りましたが拉致があかず、そのプロバイダはその数日後に業務停止を発表していました。
有名なのは トロイの木馬。
ウイルスですが、これに感染してしまうと自由にパソコンにアクセスされてしまいます。
http://ja.wikipedia.org/wiki/%E3%83%88%E3%83%AD%E3%82%A4%E3%81%AE%E6%9C%A8%E9%A6%AC_%28%E3%82%BD%E3%83%95%E3%83%88%E3%82%A6%E3%82%A7%E3%82%A2%29
トロイの木馬は、様々な経路を通じて被害者がダウンロードしたプログラム実行形式のファイル(Windowsであれば.exeにあたる)を実行することから悪意ある動作を開始する場合がほとんどである。また種類にもよるが、大半のトロイの木馬は大きく分けて二つのファイルを必要とする。ひとつはサーバ、そしてもう一方は、クライアントと呼ばれている。被害者が実行するのはサーバのほうである。これを実行することにより、被害者のパソコンは、ファイル名が暗示するように、一種のサーバと化す。一度サーバ化に成功すると、クライアントを使えば、いつでも、どこからでも、攻撃者の好きな時に被害者のパソコンに秘密裏に接続することが可能となる。
トロイの木馬は、その果たす役割からいくつかの種類に分別されているものの、多くのトロイは意外なほどファイルサイズが小さい。ひとたび実行されると、被害者の同意を一切得ずに、秘密裏にハードディスク内、もしくはメモリ内に自身を複製、インストールする。また、Windowsに感染するほとんどのトロイはレジストリを被害者の同意を得ずに、秘密裏に改変、削除、追加する。トロイは、被害者のネット接続設定やファイアウォールの設定を変更し、攻撃者任意のポートを開放し、外部からの接続を許可する。これにより攻撃者は被害者のパソコンを乗っ取って様々な被害をもたらす。例としてはキーロギング、プログラムの追加/削除、ファイルの追加/削除、アンチウイルスソフトの無効化、被害者のデスクトップ画面の撮影、パスワードの奪取、ウェブからの悪意あるプログラムのダウンロードなどがある。
どうもありがとうございます。
いまだに公的機関のHPがその程度の対策もしていないんでしょうかね?
最近世間を騒がせた「Gumblar」(ガンブラー)と呼ばれるタイプの攻撃は、ウィルスと改ざんの組み合わせ技になっています。この攻撃の特徴は、Webサイトを直接改ざんするのではなく、Webサイトを管理する管理者のPCを狙うという点です。
このウィルスは、まず管理者が自分のPCでWebにアクセスしたときに、FlashPlayer等の脆弱性を突いて感染します。そして、感染したPCのHDD内にある、Webサーバにアップロードされる予定のデータを狙い、その中に新たな感染への仕掛けを埋め込みます。感染に気付かない管理者が自分でWebサーバに改ざん済みのデータをアップロードしてしまうわけです。そしてそのサイトから新たな感染が広がっていくことになります。
もちろん、ウィルスに感染した時点でその管理者のPCは乗っ取られたも同然なので、単なる感染拡大以上の改ざんを行われることや、パスワードまで盗まれてやりたい放題されることも充分にありえます。
対策としては、ウィルス対策をしっかりしておくこととセキュリティパッチを迅速に適用すること、後は作業用・管理用PCとインターネット閲覧用PCを分けること位しかありません。
どうもありがとうございます。
例えば、サーバー本体をレンタルとかじゃなく自分の会社とかに置いて
そのサーバーに直接HPのデータをアップロードすれば良いんでしょうか?
当然アップロードするデータは徹底してウイルスとかのチェックは
するとしてですが。
それと、毎回思うのですが、いまだに公的機関のHPがその程度の対策も
していないんでしょうかね?
webだとクロススクリプティングという手法が有名ですね。これはhttpに続くurlに任意のスクリプトを追加すると、コマンドなどが実行できてしまうというものです。
http://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B5%E3%82%A4%E3%83%88%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%97%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0
対策法については以下、その他のwebへの攻撃法もくわしく解説されています。
http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html
どうもありがとうございます。
昔から何度も聞いたことある単語で、未だに使われている単純というか
古典的な方法なんですね。
どうもありがとうございます。
この場合だと、ウイルス対策ソフトなどでチェックすれば
対処できる可能性がありますよね?
改ざんの原因は色々考えられますが、ラック社のレポートによれば、今月はSQLインジェクションを狙う攻撃が増えているようです。
http://www.lac.co.jp/security/alert/2012/09/18_alert_01.html
事件として報じられているサイトがどうかは当事者からの発表がないと分かりませんが、SQLインジェクションに対して脆弱だった可能性はあると思います。この場合はプログラムのバグなので、そのようなバグを作りこまないように注意することが防御方法になると思います。
また、同ページには「ミドルウェアの脆弱性を狙った攻撃」も触れられていますが、これに対してはミドルウェアの脆弱性情報を確実に入手し、脆弱性が見つかったミドルウェアについては速やかにバグ修正版へ更新することが防御方法になると思います。
どうもありがとうございます
ラック社のレポート情報、これはいいですね、知りませんでした。
このレポートは参考になります。
http://www.tokiorisk.co.jp/topics/up_file/201208131.pdf
様々な手口がよくまとめられています。
http://virus.client.jp/secuhou.html
これって単純ですが、実は効果的です。
http://blog.f-secure.jp/archives/50659093.html
どうもありがとうごさいます
1,2番目はよく整理されているようですね
後でじっくり読みます
3番目、フォルダのアイコンでウイルスのexeファイルと言うのは、たしかにダブルクリックしてしまいそうで怖いですね。ローカルセキュリティポリシーはなんかいろいろソフトの動作に面倒が起きそうで、ちょっと考えてしまいますね~
簡単に言ってしまうとホームページを更新(FTP)するときに使用するパソコンが何らかのウイルスに感染したことが原因です。
防御方法もこのリンクに載っています。
https://www.ccc.go.jp/detail/web/index.html
ページの表示と同時にリンクする見えないウイルスへのリンクを埋め込む改ざんが行われます。
多くの場合、ウイルスのリンクは・<body> タグの前または後に<script>または<iframe> タグを埋め込む ・</html> タグの前または後に<script>または<iframe> タグを埋め込む が一般的です。
どうもありがとうごさいます
どうもありがとうごさいます
他にも直接的な攻撃ではなく、外郭の関連システムのうち、管理の甘いサーバから侵入し、それを足がかりにして、本陣へと向かう方法もあります。
2012/09/21 18:16:55私は自宅サーバを立てていますが、昔、国内のプロバイダのサーバ経由で攻撃を受けた事があります。パターンと時期から見て、ある国からの攻撃が考えられたのですが、国内サーバからのものでした。おそらく、そのサーバがすでに乗っ取られたのだと思いますが、そのサーバの管理者と連絡を取りましたが拉致があかず、そのプロバイダはその数日後に業務停止を発表していました。
2012/09/21 18:20:39