標的型攻撃メールの手口と対策: すでに注意喚起が出ましたが、巧妙な標的型攻撃メールが出回っているようですので注意してください。ここでは具体的な手口と対策について紹介します。まず、航空会社を騙って次のようなメールが届きます。差出人欄には… blog.f-secure.jp/archives/50659…
2012-03-29 09:47:20ANAを装う標的型攻撃の分かりやすい説明 by 福森さん。実行ファイルをフォルダに見せかけたLZHファイルを用いる エフセキュアブログ : 標的型攻撃メールの手口と対策 blog.f-secure.jp/archives/50659…
2012-03-29 09:21:53福森さんが書いていたEXE添付のメールですが、EXEだとWindowsがブロックすると思うのですが、どうやって起動する(させる)のですかね。(1)ユーザがブロックを解除してしまう、(2)ブロック解除のトリックがある…
2012-03-29 09:50:01@ockeghem Windowsがブロックするというよりも、メーラーとアーカイバの組合せに依存します。Outlook ExpressとWindow標準の圧縮フォルダの組合せが拡張子偽造には最も有効です。
2012-03-29 14:21:37@kitagawa_takuji ありがとうございます。フォルダへの偽装ってどうやるんだろうと思いましたが、単にプログラムのアイコンをフォルダのものに設定するだけで、あとは拡張子がなければ簡単にばれないでしょうね
2012-03-29 14:28:01@ockeghem 7-zipの様に独自のファイルマネージャで拡張子が強制表示されるものはまだ安全ですが+Lhaca 、Lhaplusのように解凍後に標準のフォルダが自動的に開いてしまうものだと、Windowsの既定が「登録されている拡張子は表示しない」だけに危険です。
2012-03-29 14:47:43@hasegawayosuke ありがとうございます。WinXP+OutlookExpress+EXPLZHで試したところ、「セキュリティの警告」は出ますが、「実行」ボタンを押せば実行できました。この警告を出さないこともできるのでしょうか?
2012-03-29 10:25:48@ockeghem @hasegawayosuke Explzh の中でダブルクリック等で実行した場合は、Explzhがデジタル署名をチェックして警告を出します。署名が正しければ以降信用して警告を出さなく出来たと思いますが。 ファイルを展開してしまうとOSまかせですが…
2012-03-29 10:51:25@imatake_jp @ockeghem そうですね。アーカイバによってはデフォルトの挙動が「展開」になってしまっているので、その場合は実行ファイルの起動の制約はOS任せになってしまうと思います。
2012-03-29 11:09:38@hasegawayosuke @imatake_jp ありがとうございます。確かに展開してしまうと、カジュアルに実行してしまう(場合がある)ようですね
2012-03-29 11:24:10むしろ「ソフトウェア制限ポリシーを使用して、あらかじめ指定した実行ファイルしか実行できない設定にしておくことも有効です。」が現実的に取り得る対策なのかが疑問。ホワイトリストのみ実行許可は以前試そうとしたけど無理すぎて挫折した。
2012-03-29 09:53:10@hasegawayosuke 標準のメーラとアーカイバを固定し、解凍先をデスクトップかマイドキュメントの下のみに限定させるなどすれば可能。あらゆる組合せを想定するのは無理がありますね。
2012-03-29 14:25:36@ucq @hasegawayosuke メーラがOutlookExpress、アーカイバがWindows標準の圧縮(zip)フォルダで、添付ファイルのクリックのみで進んでいったならブロックされます。
2012-03-29 14:29:29「トレンドマイクロ セキュリティアワード2012」の参加募集が始まったようだ。今年は日本代表の2チームがグローバルの最終選考に参加 することになっている。jp.trendmicro.com/jp/about/topic…
2012-03-29 12:08:37セキュリティに関するコンテストとしては次の4つがあると考えている。 ①情報危機管理コンテスト:サイバー犯罪に関する白浜シンポジウムの中で実施(今年7年目) ②MWSカップ:情報処理学会CSSシンポジウムの中で実施(今年4年目)
2012-03-29 12:13:50③トレンドマイクロ セキュリティアワード2012(3年目)国際大会があるのが特徴 ④SECCON CTF<Capture the Flag>(今年からスタート)
2012-03-29 12:19:06一番古いのが白浜シンポの情報危機管理コンテスト。一等をとると産業経済大臣賞もらえる。わが大学は2等賞どまり。顧客への応対態度なども重視される。
2012-03-29 12:21:47