サイバーエージェント「アメーバブログ」の「ノートン警察」がトロイの木馬に感染?
芸能人のブログに入り放題という前代未聞の新サービスを世に問い、問題作として話題を攫ったサイバーエージェントが、今度はノートンとのコラボサービスのブログパーツでトロイの木馬を搭載するという面白い試みをしているというので見物に逝ってきました。
ブログパーツ「ノートン警察」を使われていた方へ
http://ameblo.jp/caetla-2008/entry-10427328482.html
http://megalodon.jp/2010-0107-1225-07/ameblo.jp/caetla-2008/entry-10427328482.html
【ノートン警察】お粗末、Javascruptが・・・・
http://ameblo.jp/dendoshi/entry-10428673022.html
http://megalodon.jp/2010-0107-1235-05/ameblo.jp/dendoshi/entry-10428673022.html
ノートン警察 グラウンドゼロ
http://ameblo.jp/team-norton/
先日、まだブログパーツ貼ってあったサイトを観に逝ったところ、私のAvast!先生が激しく警告しておられましたのできっと何事かあったのだろうと思います。いい仕事しますね、サイバーエージェント。証拠は保全しておきました。
一応、前振りとして壮大なプレスリリースを出しておられ、非常に興味も関心も性欲もそそられます。ちんこ勃ちっぱなしなんですけれども、どうしてくれるんでしょう。惚れてしまいそうです。
「Ameba」がシマンテックと共同で「Ameba」内に「ノートン警察」を開設 インターネットユーザーに対するセキュリティ啓蒙活動を展開
http://www.cyberagent.co.jp/news/press/2009/0917_2.html
きっと啓蒙としては「こういうこともあるから、しっかりセキュリティ対策しておいたほうがいいよ」という内容であり、大変画期的な方法論を大胆に展開しているんだろうと思われます。先進的かつ前衛的すぎます。通常、こういうキャンペーンサイトでソフトを撒いたりサービスを始めるときは、デバッグ工程の中にセキュリティチェックは入れると思うんですけれども、きっと新たな建設方法をサイバーエージェントは編み出したのかもしれません。
ところで、年末年始にネットユーザーの間で健やかな笑いを引き起こしたアメブロの芸能人ブログのパスワード流出問題でありますが、肝心の芸能事務所に対する説明の速度や精度に差があって、何かいろんな人がいろんなことを言ったようであります。せっかく見た目は黒字化したのに、また詫び料とかの出費が大量に出たりして面白決算が出たりするのでありましょうか。
現在のところ、不正アクセスした一般ピープルのことが前に出ておりますが、流出経路や流出時期、中身から勘案するに、内部流出の可能性が高いような気もします。通常のユーザーに被害は出ていないようで、そこは良かったねという話ですけれども、逮捕者でも出るとそれはそれでネット社会史にまた黒いシミができてしまうと思います。
関係諸氏におかれましては、なるだけ早期に頑張って対応して欲しいなあと。
« 東証アローヘッド導入でスキャ厨のデイトレ死滅かと言われてたが、本当に死んでて笑った | Main | 『フォーサイト』の休刊は実に惜しい… »
Comments
The comments to this entry are closed.
« 東証アローヘッド導入でスキャ厨のデイトレ死滅かと言われてたが、本当に死んでて笑った | Main | 『フォーサイト』の休刊は実に惜しい… »
アンチウィルスソフトは新種のウィルス感染を予防できない。既存のウィルスに対して対策を施しているだけなので常に後追いになる。プログラミングの知識のある人なら亜種のウィルスをつくりだすのも簡単だろう。サーバーエージェントを責めるのは酷だろう。
Posted by: H | 2010.01.07 14:06
>アンチウィルスソフトは新種のウィルス感染を予防できない。既存のウィルスに対して対策を施しているだけなので常に後追いになる。プログラミングの知識のある人なら亜種のウィルスをつくりだすのも簡単だろう。サーバーエージェントを責めるのは酷だろう。
exe形式なら分からんでもないが、javascriptのトロイなんだから、アンチウイルスソフトは一発で検出するよ。
それに、ウイルス感染は4日に報告されてて、そこから公式には何ら発表せず、黙ってキャンペーンサイトそのものを閉鎖してほっかむりして、今も公表してないよね。
それがサービスをする会社の態度なのかな、とは思うけどね。
NTT系とかなら契約解除するレベルの仕事内容だと思うよ。
Posted by: | 2010.01.07 17:11
javascriptのトロイなんだから、普通のアンチウイルスソフトなら一発検出だと思うが、CAというのはそういうチェックはしない会社なのか?
nortonには知り合い多いので、何があったか聞いてみるかな。
Posted by: ossan | 2010.01.07 17:17
Posted by: | 2010.01.07 17:59
ネタ読んでひと笑い。さらにコメ読んでひと笑い。御馳走様でございました。
Posted by: nya | 2010.01.07 18:06
Javascriptだから検出できるって意味が分からん。玄人にはそれが当然なんか知らん?
Posted by: ass | 2010.01.07 22:03
jacascriptのウイルスは検出しやすいってことじゃないの?
それなのに、大手ブログサイトが分からないでリリースしちゃうというのは、なんなんだろうね。
Posted by: | 2010.01.07 22:24
誤感知じゃなく、本物のトロイだから問題だと言ってるのに、はてブにバカが出てるね。
4日には通報されてるんだから、把握した時に警告出すのがサービス業者としてのCAの責務だと思うがね。思わないのなら、その程度の倫理の会社ってことだね。
http://b.hatena.ne.jp/daruyanagi/20100108#bookmark-18396239
# daruyanagi daruyanagi 本文もコメントも……痛い。アンチウイルスソフトが検知したもの=有害なものではないよ。誤検知などの可能性も考慮しよう。 /ぇ、まじでトロイなの?
Posted by: | 2010.01.08 00:47
誤感知じゃなく、本物のトロイだから問題だと言ってるのに、はてブにバカが出てるね。
4日には通報されてるんだから、把握した時に警告出すのがサービス業者としてのCAの責務だと思うがね。思わないのなら、その程度の倫理の会社ってことだね。
http://b.hatena.ne.jp/daruyanagi/20100108#bookmark-18396239
# daruyanagi daruyanagi 本文もコメントも……痛い。アンチウイルスソフトが検知したもの=有害なものではないよ。誤検知などの可能性も考慮しよう。 /ぇ、まじでトロイなの?
Posted by: | 2010.01.08 00:47
体を張らないと笑いは取れないのさ。
Posted by: みかん | 2010.01.08 00:51
>Javascriptだから検出できるって意味が分からん
javascriptってのはhtml同様ほとんどただのテキストファイルで、どういう動作をするつもりなのかが最初から丸分かり。だから危険なコードがあれば実行前に検知するのも容易。犯罪スケジュールが書いてあるようなもんだから。
exeはデータの羅列だから、まずどんな動作をするのか解析しなきゃいけないので難しい。だからよく誤検出が生じたりもする。
つまり言ってみれば、銃持って大きなマスクにサングラスしてTシャツに犯罪スケジュールを克明に記してきた奴が銀行にやってきたのに警備員が制止することなくにこやかに窓口まで道案内しちゃったとかそういうレベル。
Posted by: ak | 2010.01.08 00:59
テキストファイルだから検出しやすいって理由がわからん
難読化したうえに、分割して、AJAXした上で、遅延評価かかるようにされたものが
なんの対処もしていないEXEと比べて検出しやすい理由は無いと思うが?
単純に歴史と伝統があるEXEのウイルスの偽装レベルと
最近作られたばっかの、Javascriptの偽装レベルでは、技術的な偽装レベルが違うだけで、アーキテクチャー的な問題ではないのでは?
Posted by: 心は萌え | 2010.01.08 05:24
>javascriptってのはhtml同様ほとんどただのテキストファイルで、どういう動作をするつもりなのかが最初から丸分かり。
それを言えばバイナリもアセンブラで「どういう動作するか」分かるんじゃないの?
今の仕組みは
1.ジャックしたサイトに難読化したURIジャンプのJavascriptを仕込む
2.不特定のユーザーにJSを実行させて攻撃サイトへ移動
3.攻撃サイトには脆弱性攻撃の詰め合わせを用意
4.いずれかの攻撃でパスワードスニッカーをロード・実行
5.成功したユーザーのサイトパスワードを盗聴してサイトをジャック(1に戻る)
なんだろ
2なんか移動先サイトが変われば検出しようが無い(ただのJSのジャンプを規制できない)と思うし難読化も手作業らしくパターンでマッチしきれないらしいじゃない。実際去年前半のGumbler登場時には反応できなかったセキュリティソフトがあったと思うんだ。
3はセキュリティベンダーの確認済みの攻撃は防げるがいわゆるゼロデイには対応できない。今回の3はおそらくMSやAdobeや各セキュリティベンダーの押さえているモノだったのだろうから予防の使用はあったとは思うが、Javascriptならいつでも誰でも予防できるっつうのは分かんないな。
あなたセキュリティの専門家?それなら正しいんだろう。今の俺には理解できないから教えを請うよ。
Posted by: ass | 2010.01.08 10:35
これでも「ブログパーツ離れ」みたいなことにはならないのかな
Posted by: mlx | 2010.01.08 10:59
バイナリの難読化とjavascriptの難読化を同難易度に見ている人もいるけど、セキュリティベンダのsolvage rate reportとか読んでないんだろうな。
「実際去年前半のGumbler登場時には反応できなかったセキュリティソフトがあった」のは事実だけど、それはそっち方面の技術への対応が遅れたソフトハウスが一部あったというだけで、原則として解析→解決のハードルは一般的にJavascriptは低い。仮想UUで自動解析して対応できるモジュールがあるかをオンライン上で判断できてしまうのだし。
今回は本物のtroyだったので、3日深夜にはすでに警告、4日には主要なソフトは対応可能と判断して警戒レベルが下がったものの、サービス主体であるサイバーエージェントがしばらく対応しなかったのが問題となったと聞いているが。
今回のプレスリリースで、外注先が不正アクセスされたのでtroy仕込まれました、という内容が出たのは問題じゃないかな。
事実であれば、そっちが警察沙汰になるべきものだと思うんだが。
Posted by: | 2010.01.08 14:46
この話、雨風呂に書いたらすぐ削除されるんだろうか?
Posted by: 無記名さん | 2010.01.08 19:06
この話、雨風呂に書いたらすぐ削除されるんだろうか?
Posted by: 無記名さん | 2010.01.08 19:06
一番悪いのは「1.ジャックしたサイトに難読化したURIジャンプのJavascriptを仕込」んだやつ。サーバーエージェントは被害者なのに犯人扱いはいかがなものか。対策はクラッカーの侵入経路を調べて対策を施すべし。。。
Posted by: H | 2010.01.09 00:15
>一番悪いのは「1.ジャックしたサイトに難読化したURIジャンプのJavascriptを仕込」んだやつ。サーバーエージェントは被害者なのに犯人扱いはいかがなものか。
お前がバカなのはよく分かった
Posted by: | 2010.01.09 01:14
>一番悪いのは「1.ジャックしたサイトに難読化したURIジャンプのJavascriptを仕込」んだやつ。サーバーエージェントは被害者なのに犯人扱いはいかがなものか。
お前がバカなのはよく分かった
Posted by: | 2010.01.09 01:14
さすが「21世紀を代表する会社になりたい」だけある。サイバーはこの調子でがんばってほしい。
Posted by: O | 2010.01.09 04:42