先ほどの記事で少し書いたことですが、最近また増加している銀行の偽装サイト事件にも関連したセキュリティーの話です。
銀行を偽装したサイトによるパスワード盗用や不正取引の被害があります。
【重要】不正にポップアップ画面を表示させてインターネットバンキングの情報を盗み取ろうとする犯罪にご注意ください
みたいな注意書きがどの銀行のホームページにも見られます。
不正なスクリプトをPC内で実行させて、銀行のホームページを開いた時に、偽のダイアログを表示させて、パスワードなんかを抜き取る被害です。
今まで仕事で相談を受けたり、見聞きしたセキュリティー関連の事故を書いてみようと思います。
■事例1(DNSサーバ、WEBサーバの改ざん)
以前依頼のあったサーバ障害対応で、こんなのがありました。
某企業から「お宅のサーバが当社の偽装サイトにされている」と連絡が入ったらしく、相談を受けました。
事務所に設置したサーバが侵入され、WEBサーバとDNSサーバが改竄されていました。
DNSには偽の銀行のIPが定義され、WEBサーバには「/var/www/htdocs/ほにゃらら.co.jp」というディレクトリが作成されていました。
あとはまあ、何らかの形でこのサーバのDNSを参照するようにすれば、偽企業ホームページに誘導されてしまうわけです。
構築した担当者は連絡が取れません。基本インストールの知識はあっても、運用やセキュリティーに関する知識は無かったようです。
※お客さん側で保守や運用のコスト意識が低いことが間接原因になっているケースもありますが。 。。
■事例2(MySQLデータベースの改ざん)
ホームページの記事が書き換えられたケースです。
MySQLデータベースに保存された記事データが書き換えられました。
<原因>
rootのパスワード無し、ローカル以外のアクセスも可能という、xamppなんかでサーバ構築した際のデフォルト設定のままでした。
管理用のアカウントを作らず、rootユーザでそのまま外部アクセスして運用していたようです。
■事例3(金融系企業のWindowsサーバの全フォルダにウィルスが仕込まれる)
これは私が関わっていた、某カード会社のプロジェクト(200人/月 x 2年ほど)のサーバです。
数10万個のフォルダの全てにウィルスのファイルが書き込まれました。
当時は個人の持ち込みPCのLAN接続も許可されていて、侵入経路は不明です。
※セキュリティーポリシーを下げてPCを使う管理職なんかが、大半の企業セキュリティー事件の加害者かと思います。。。
<原因>
1)本番環境と開発環境、職場のLANが同一ネットワークにある。
業界トップクラスの企業なのに、凄いことですが、指摘しても改善されませんでした。
2)Windowsサーバの管理共有(暗黙共有)を止めて無かった。
侵入されたウィルスが全サーバの全フォルダにばらまかれた理由が問題です。
事務用PCからサーバ全体に広まったのは、ドライブの暗黙共有がされていたからです。
これは、WindowsOSをインストールした標準の状態です。
「自分は共有フォルダなんか作ってない」と思いますよね?
試しに、エクスプローラーのアドレスバーに「¥¥(自分のマシン名)¥c$」と入力してみてください(¥は実際は半角)。
Cドライブ直下のフォルダが全部見えるはずです。
個人PCなんかで普通に使う分には問題ありません
ただ、もしこのPCに外部アクセスできる人がいたら、Cドライブ全部を見られる可能性があります(フォルダ個々の権限設定によります)。
※比較的最近のWinodwsではセキュリティー設定が変わったので、この限りではありません。
※ネットワーク経由でクライアントPCを管理/操作するのを前提とした暗黙共有の仕様ですが、通常では第三者からアクセスされなければ問題ありません。
無責任な管理職のPCがウィルス侵入されたせいで、暗黙共有を止めていない全サーバにウィルスが拡散されたわけです。
■事例4(hostsファイルの改ざん)
偽装サイト詐欺で多く見られるケースで、平たく言うとPCが騙されて偽のサイトのURLを信じ込まされるというものです。
具体例は書きませんが、上記事例3のように、Cドライブの共有によって侵入され、hostsファイルが書き換えられてしまうのが良くあるケースです。
Windowsであれば、
c:\windows\system32\drivers\etc\hosts
というファイルがあるんですが、ここにはIPアドレスとホスト名の対応が書かれています。
インターネットにアクセスする時、サイトのIPアドレスはDNSサーバによって判断されるわけですが、実はDNSサーバを参照する前に、
このhostsファイルが参照されます。
で、hostsファイルに偽のホスト名とIPアドレスが書かれてしまうと、ユーザは偽装サイトに誘導されてしまうわけです。
例)
hostsファイルに書き込まれた記述が以下の場合
123.456.789.xxx ichiryubank.co.jp
ブラウザでhttp://ichiryubank.co.jpにアクセスすると、本来のサイトではなく、詐欺集団のサーバ(123.456.789.xxx)にアクセスすることになります。
銀行のサイトのマネなんてできないとお思いかもしれませんが、ブラウザで目に見えるものは丸々取得できますし、入力画面のプログラムなんかは適当なもので置き換えてしまえます。
これら侵入されたPCやサーバは直接の被害を受けないかもしれませんが、知らぬ間に多大な被害を生む加害者にもなってしまっているわけです。
体系的な、あるいは法制化されたセキュリティー管理基準、規則、管理者資格などが無いために、依然として大企業や政府機関のセキュリティーホールは小さくなりません。
加害者側の技術は向上し、活動範囲は広がる一方なので、むしろセキュリティーの穴は大きく、しかも数も増えていると言えるかもしれないですね。
■事例5(アニメ演出家逮捕のあの事件ークロスサイトリクエストフォージェリ(CSRF))
事件報道直後から、あれはCSRFだろうと言われていたのに誤認逮捕されてしまいました。
10年近く前の時点でも、WEBセキュリティー対策の基本としてCSRFは一般的なもので、何でだろうと思います。
WEBサイト上のプログラム(送信フォームなど)は、一見人が入力して実行しないといけないようなものでも、自動化したプログラムにより代行することが可能です。
複数のブログサイトに一括で投稿できるプログラムなんかがあると思いますが、あれもプログラムが代行して投稿してるわけです。
一見何でもないサイト上にこういったプログラムが仕掛けられていたとして、例えばメールに書かれたリンクをクリックしたり、そのサイトにアクセスしたタイミングで実行されるようにしておけば、そのユーザが実行したように見せかけられます。
簡易的なcgiの無料掲示板プログラムなどには、CSRF対策がされていないものも多いです。
ところが、行政機関の問い合わせフォームなどでもこういったものを利用しているのを見かけます。
これは明らかにユーザではなくサイト管理者側の問題です。
以上、セキュリティーチェックか何かの参考になればと思います。
銀行を偽装したサイトによるパスワード盗用や不正取引の被害があります。
【重要】不正にポップアップ画面を表示させてインターネットバンキングの情報を盗み取ろうとする犯罪にご注意ください
みたいな注意書きがどの銀行のホームページにも見られます。
不正なスクリプトをPC内で実行させて、銀行のホームページを開いた時に、偽のダイアログを表示させて、パスワードなんかを抜き取る被害です。
今まで仕事で相談を受けたり、見聞きしたセキュリティー関連の事故を書いてみようと思います。
■事例1(DNSサーバ、WEBサーバの改ざん)
以前依頼のあったサーバ障害対応で、こんなのがありました。
某企業から「お宅のサーバが当社の偽装サイトにされている」と連絡が入ったらしく、相談を受けました。
事務所に設置したサーバが侵入され、WEBサーバとDNSサーバが改竄されていました。
DNSには偽の銀行のIPが定義され、WEBサーバには「/var/www/htdocs/ほにゃらら.co.jp」というディレクトリが作成されていました。
あとはまあ、何らかの形でこのサーバのDNSを参照するようにすれば、偽企業ホームページに誘導されてしまうわけです。
構築した担当者は連絡が取れません。基本インストールの知識はあっても、運用やセキュリティーに関する知識は無かったようです。
※お客さん側で保守や運用のコスト意識が低いことが間接原因になっているケースもありますが。 。。
■事例2(MySQLデータベースの改ざん)
ホームページの記事が書き換えられたケースです。
MySQLデータベースに保存された記事データが書き換えられました。
<原因>
rootのパスワード無し、ローカル以外のアクセスも可能という、xamppなんかでサーバ構築した際のデフォルト設定のままでした。
管理用のアカウントを作らず、rootユーザでそのまま外部アクセスして運用していたようです。
■事例3(金融系企業のWindowsサーバの全フォルダにウィルスが仕込まれる)
これは私が関わっていた、某カード会社のプロジェクト(200人/月 x 2年ほど)のサーバです。
数10万個のフォルダの全てにウィルスのファイルが書き込まれました。
当時は個人の持ち込みPCのLAN接続も許可されていて、侵入経路は不明です。
※セキュリティーポリシーを下げてPCを使う管理職なんかが、大半の企業セキュリティー事件の加害者かと思います。。。
<原因>
1)本番環境と開発環境、職場のLANが同一ネットワークにある。
業界トップクラスの企業なのに、凄いことですが、指摘しても改善されませんでした。
2)Windowsサーバの管理共有(暗黙共有)を止めて無かった。
侵入されたウィルスが全サーバの全フォルダにばらまかれた理由が問題です。
事務用PCからサーバ全体に広まったのは、ドライブの暗黙共有がされていたからです。
これは、WindowsOSをインストールした標準の状態です。
「自分は共有フォルダなんか作ってない」と思いますよね?
試しに、エクスプローラーのアドレスバーに「¥¥(自分のマシン名)¥c$」と入力してみてください(¥は実際は半角)。
Cドライブ直下のフォルダが全部見えるはずです。
個人PCなんかで普通に使う分には問題ありません
ただ、もしこのPCに外部アクセスできる人がいたら、Cドライブ全部を見られる可能性があります(フォルダ個々の権限設定によります)。
※比較的最近のWinodwsではセキュリティー設定が変わったので、この限りではありません。
※ネットワーク経由でクライアントPCを管理/操作するのを前提とした暗黙共有の仕様ですが、通常では第三者からアクセスされなければ問題ありません。
無責任な管理職のPCがウィルス侵入されたせいで、暗黙共有を止めていない全サーバにウィルスが拡散されたわけです。
■事例4(hostsファイルの改ざん)
偽装サイト詐欺で多く見られるケースで、平たく言うとPCが騙されて偽のサイトのURLを信じ込まされるというものです。
具体例は書きませんが、上記事例3のように、Cドライブの共有によって侵入され、hostsファイルが書き換えられてしまうのが良くあるケースです。
Windowsであれば、
c:\windows\system32\drivers\etc\hosts
というファイルがあるんですが、ここにはIPアドレスとホスト名の対応が書かれています。
インターネットにアクセスする時、サイトのIPアドレスはDNSサーバによって判断されるわけですが、実はDNSサーバを参照する前に、
このhostsファイルが参照されます。
で、hostsファイルに偽のホスト名とIPアドレスが書かれてしまうと、ユーザは偽装サイトに誘導されてしまうわけです。
例)
hostsファイルに書き込まれた記述が以下の場合
123.456.789.xxx ichiryubank.co.jp
ブラウザでhttp://ichiryubank.co.jpにアクセスすると、本来のサイトではなく、詐欺集団のサーバ(123.456.789.xxx)にアクセスすることになります。
銀行のサイトのマネなんてできないとお思いかもしれませんが、ブラウザで目に見えるものは丸々取得できますし、入力画面のプログラムなんかは適当なもので置き換えてしまえます。
これら侵入されたPCやサーバは直接の被害を受けないかもしれませんが、知らぬ間に多大な被害を生む加害者にもなってしまっているわけです。
体系的な、あるいは法制化されたセキュリティー管理基準、規則、管理者資格などが無いために、依然として大企業や政府機関のセキュリティーホールは小さくなりません。
加害者側の技術は向上し、活動範囲は広がる一方なので、むしろセキュリティーの穴は大きく、しかも数も増えていると言えるかもしれないですね。
■事例5(アニメ演出家逮捕のあの事件ークロスサイトリクエストフォージェリ(CSRF))
事件報道直後から、あれはCSRFだろうと言われていたのに誤認逮捕されてしまいました。
10年近く前の時点でも、WEBセキュリティー対策の基本としてCSRFは一般的なもので、何でだろうと思います。
WEBサイト上のプログラム(送信フォームなど)は、一見人が入力して実行しないといけないようなものでも、自動化したプログラムにより代行することが可能です。
複数のブログサイトに一括で投稿できるプログラムなんかがあると思いますが、あれもプログラムが代行して投稿してるわけです。
一見何でもないサイト上にこういったプログラムが仕掛けられていたとして、例えばメールに書かれたリンクをクリックしたり、そのサイトにアクセスしたタイミングで実行されるようにしておけば、そのユーザが実行したように見せかけられます。
簡易的なcgiの無料掲示板プログラムなどには、CSRF対策がされていないものも多いです。
ところが、行政機関の問い合わせフォームなどでもこういったものを利用しているのを見かけます。
これは明らかにユーザではなくサイト管理者側の問題です。
以上、セキュリティーチェックか何かの参考になればと思います。