パーソナルセキュリティ研究所 tag:www.p-sec.net,2010-09-03:/pw/1 2011-08-30T03:50:13Z IT社会は、もはやパスワード地獄社会へ もう限界!もうパスワードなんて憶えられないよ~~! p-sec管理人がそんな現代のパスワード神話を斬る!!! パスワードを中心に、利用者の安全性について検証していきます。 P-SEC.NET since 2000.11.1 email: meiru@p-sec.net Movable Type 4.261 パスワードを盗む手法はキーロガーだけではないのに tag:www.p-sec.net,2011:/pw//1.109 2011-07-22T05:09:53Z 2011-07-22T05:24:49Z 下記のようなネットバンクの不正利用に対する注意喚起のメールが横浜銀行から着ました... p-sec管理人 http://www.p-sec.net/ 下記のようなネットバンクの不正利用に対する注意喚起のメールが横浜銀行から着ました。

どうしても、パスワードの盗み出しはキーロガーで行われると決めつけたいのでしょうか。

管理人が何度も説明しているように、
PCの中に不正なプログラムが浸入してしまった場合、ソフトウエアキーボードは対策になりません。キーロガーよりも簡単に、正確にパスワードは盗み出されます。

当研究会のデモプログラム、「パスチラ」を試してみれば、パスワードがすぐに盗み見できることがわかります。

大手SIさん(NTTDATAかな)、銀行さん、古い手法への対策だけをユーザーに教えて、やみくもに安心を与えるのは、罪だと思いますが。

 

(以下メール)

--------------------------------------

◆◇━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━◇◆
 【重要なお知らせ】
  インターネットバンキングの不正利用にご注意ください

    平成23年7月21日  株式会社横浜銀行 http://www.boy.co.jp/
◆◇━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━◇◆

 最近、不正なサイトへのアクセスによりウィルスに感染する等、お客さまの
 パスワードや暗証番号が不正に取得され、不正な振り込みがおこなわれる
 事件が発生し、問題となっています。

 お客さまにおかれましては、以下のセキュリティ対策のご確認とご対応を
 あらためてお願い申し上げます。


 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  セキュリティソフトは導入されていますか?
 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 ●インターネットバンキングをご利用のパソコンには必ずセキュリティソフト
  の導入と、最新版へのアップデートをお願いします。
  また、定期的に正常に動作していることをご確認ください。

 ●セキュリティソフトを導入されていない場合は、不正に利用されるリスクが
  高いため、パスワードを変更するか、都度指定振込利用停止機能等を
  利用して振込取引を制限してください。

 ●パスワード入力時には入力欄への直接入力を避け、ソフトウェアキーボード
  を利用してください。

 ●セキュリティソフトを導入されている場合も、ワンタイムパスワード等の
  複数のセキュリティ機能を組み合わせてご利用ください。


]]> Twitterをセッションハイジャックする tag:www.p-sec.net,2011:/pw//1.110 2011-07-25T07:21:04Z 2011-07-25T07:31:08Z 今日は、Twitterをクッキー盗聴によりセッションハイジャックする実験です。い... p-sec管理人 http://www.p-sec.net/ 今日は、Twitterをクッキー盗聴によりセッションハイジャックする実験です。
いつものように、Google ChromeWireSharkWebTasterを使って実験を来ないます。

WireSharkで、ネットワークを盗聴している状態で、Google Chromeを使ってTwiterにログインし、いろいろと操作をします。
次ぎに、WebTasterでTwitterに行き(ログイン前)この状態で、クッキーデータをWireSharkで盗聴し収集したTwitterのクッキーデータに改竄します。

twitter_cap.JPG

され、ログイン画面が表示されました。
セッションハイジャック失敗です。
Twitterは、クッキーでは、セッションハイジャックできないのか...

もう一度実験します。
そういえば、前の実験では、ログインのときに
□保存する
のチェックボックスにチェックを入れていなかったので、保存をチェックします。

再度、クッキーを取得し、WebTasterでクッキーを改竄すると、

twiter_hj.JPG

おおお、大成功!
つぶやきもできてしまいました。

ちなみに、Twitterの場合は、設定の中に

「HTTPSを常時使用する」

というのがあります。少し重くなりますが、これをチェックして利用すると、盗聴問題は回避できます。

twitter_ssl.JPG

]]> ITサービスのセキュリティランキングをやってみよう tag:www.p-sec.net,2011:/pw//1.111 2011-07-26T11:38:58Z 2011-07-26T11:43:28Z いままで、いくつかのITサービスのログインやセッションハイジャックなどのセキュリ... p-sec管理人 http://www.p-sec.net/ いままで、いくつかのITサービスのログインやセッションハイジャックなどのセキュリティをテストしてきました。
これらをユーザーの安全性の視点で、まとめて行きたいと思います。

こんな項目でランキングをつくってみようと思います。
[ ] 内の数字は、管理人の独断と偏見による得点。

1.ログイン

標準でSSL[2]
オプションでSSL[0]
SSLなし[-3]

2.個人情報送信

標準でSSL[2]
オプションでSSL[0]
SSLなし[-3]

3.サービス利用時

標準でSSL[3]
オプションでSSL[2]
SSLなし[0]

4.個人情報アクセスで再認証要求

求める[2]
求めない[-1]

5.クッキー盗聴、セッションハイジャック(SSLでない場合)

ログインできない[3]
ログインできてしまう[0]
サービスなりすましで利用できてしまう[-3]

さあ、どうなるでしょうか。
お楽しみに。

 

]]> GREEがSSL詐欺を修正してくれた tag:www.p-sec.net,2011:/pw//1.112 2011-07-27T11:37:55Z 2011-07-27T11:48:15Z 当研究会が、GREEはSSL詐欺であると指摘したからなのかどうか分かりませんが、... p-sec管理人 http://www.p-sec.net/ 当研究会が、GREEはSSL詐欺であると指摘したからなのかどうか分かりませんが、早速、GREEのログインのシステムが変更されました。


gree_login0.JPG ←変更前

gree_new.jpg←変更後

変更後は、SSL詐欺表示もなくなり、標準でSSLログインになっています。

当研究会の指摘なんて見ていただいたのでしょうか?

いずれにせよ、GREEさん、早速の対応ありがとうございます。

 

]]> 新GREEのユーザーセキュリティを再チェック tag:www.p-sec.net,2011:/pw//1.113 2011-07-28T05:33:16Z 2011-07-28T05:37:24Z 標準ログインがSSLになったGREE、ユーザーセキュリティが大幅に改善されたこと... p-sec管理人 http://www.p-sec.net/ 標準ログインがSSLになったGREE、
ユーザーセキュリティが大幅に改善されたことを期待して、再チェックしてみます。

1.ログイン (2点)

標準でSSL

2.個人情報送信 (-3点)

なんと、いまだにSSLなしで、携帯メアド等が送信されます

3.サービス利用時 (0点)

SSLなし

4.個人情報アクセスで再認証要求 (-1点)

求めない

5.クッキー盗聴、セッションハイジャック (-3点)

サービスを成りすましで利用できる


総得点は、-5点

GREEさん、個人情報保護の見直しを是非お願いします。

 

]]> セキュリティ・ランキング 2011/07/29 tag:www.p-sec.net,2011:/pw//1.114 2011-07-29T05:10:23Z 2011-07-29T05:23:44Z 今まで調査をしてきた、インターネット上のサービスのユーザー保護の視点に立ったセキ... p-sec管理人 http://www.p-sec.net/ 今まで調査をしてきた、インターネット上のサービスのユーザー保護の視点に立ったセキュリティレベルにポイントをつけて、P-SEC管理人の独断と偏見でランキングをしてみました。

予想通り、日本のイケイケベンチャー企業のランキングが低いのが気になります。
もっと、ユーザーの安全について配慮してくれることを期待しています。

サービスプロバイダの皆様へ
ランキングに誤りがある場合や、その後に修正をした場合などは、P-SEC管理人宛にメールをいただければ、確認後にランキングを修正いたします。

usecpoint110729.JPG

-------------------------------

<採点の基準>

1.ログイン

標準でSSL[2]
オプションでSSL[0]
SSLなし[-3]

2.個人情報送信

標準でSSL[2]
オプションでSSL[0]
SSLなし[-3]

3.サービス利用時

標準でSSL[3]
オプションでSSL[2]
SSLなし[0]

4.個人情報アクセスで再認証要求

求める[2]
求めない[-1]

5.クッキー盗聴、セッションハイジャック(SSLでない場合)

ログインできない[3]
ログインできてしまう[0]
サービスなりすましで利用できてしまう[-3]

 

]]> 楽天をセッションハイジャック tag:www.p-sec.net,2011:/pw//1.115 2011-08-01T07:15:03Z 2011-08-01T07:28:18Z 日本の大手ショッピングサイトである楽天のテスト・リクエストがあり、楽天を調査して... p-sec管理人 http://www.p-sec.net/ 日本の大手ショッピングサイトである楽天のテスト・リクエストがあり、楽天を調査してみることにします。楽天やYahoo!は、最近出てきたイケイケベンチャーと違うので、それなりのセキュリティ対策が期待されます。

<準備>
調査の方法は、いつものようにGoogle ChromeWireSharkWebTasterの3点セットです。

<調査>
WireSharkで、パケットを盗聴しながら、Google Chromeで楽天にアクセスし、ログインします。
さすが、楽天は、ログインや登録回りは完全にSSLになっていて、全く盗聴することができません。
ログイン完了後に表示される画面は、SSLではなく暗号化されていないページです。
期待通りセッションハイジャックできる予感です。

rakuten_cook.JPG

ここで、盗聴パケットを見ると、クッキーが取得できていますが...
クッキーのデータの中に、こちらのIPアドレスが埋め込まれています。
これにどの程度のセキュリティ効果があるのかわかりませんが、とにかくアクセス元の情報を埋め込んでいます。

WebTasterを起動し、楽天にアクセスします。
この状態では、楽天にログインしていません。
ここで、WebTasterを使って、クッキーを先ほど取得したデータに改竄書換、再度、楽天にアクセスすしてみます。

結果は、見事にセッションハイジャック成功です。

rakuten_hj.JPG

管理人の個人名と、現在のポイントが表示されています。
その他、カートの中身や、閲覧履歴などを、セッションハイジャック状態で見ることができます。

しかし、氏名以外の個人情報や買い物実行などでは、再度ログインを要求されるようになっています。

イケイケITベンチャーとは違い、海外サイトと同等の対策がされています。

 

]]> セキュリティ・ランキング 2011/08/01 tag:www.p-sec.net,2011:/pw//1.116 2011-08-02T05:43:20Z 2011-08-02T05:46:51Z ユーザーセキュリティのランキング表に、昨日調査した楽天を追加しました。 調査対象... p-sec管理人 http://www.p-sec.net/ ユーザーセキュリティのランキング表に、昨日調査した楽天を追加しました。

ranking20110801.JPG

調査対象のご希望などあれば、メールでご連絡ください。
※ただし、必ずしも対応できるというものではありません。

<サービスプロバイダの皆様へ>
ランキングに誤りがある場合や、その後に修正をした場合などは、P-SEC管理人宛にメールをいただければ、確認後にランキングを修正いたします。

メールアドレス:meiru@p-sec.net

 

]]> もう少しだけ「楽天」を調査 tag:www.p-sec.net,2011:/pw//1.117 2011-08-03T02:30:11Z 2011-08-03T02:33:53Z 楽天がクッキー盗聴によって、セッションハイジャックできるかどうかを実験しましたが... p-sec管理人 http://www.p-sec.net/ 楽天がクッキー盗聴によって、セッションハイジャックできるかどうかを実験しましたが、その時に、楽天のクッキーの中に、ユーザーのIPアドレスのようなデータが含まれていることを発見しました。

 Apache=122.24.129.222.95275512447477966;

このような「122.24.129.222」
このIPアドレスらしきを、逆引きして調べてみると

 C:\>nslookup 122.24.129.222
 Server:
 Address:  192.168.1.1
 Name:    p2222-ipbf1106hodogaya.kanagawa.ocn.ne.jp
 Address:  122.24.129.222

これは、管理人がインターネット接続しているIPアドレスです。

ユーザーセキュリティの視点で、これがセッションハイジャック対策の為だとすると、とても興味深いです。
クッキーを盗聴されて、それを使ったセッションハイジャックが行われたとしても、

"同じIPアドレスでないとハイジャックできない仕組み"

かもしれません。
このことを確認する為に、WebTasterを使って簡単な実験を行ってみます。

<実験>
1.WebTasterを使って、楽天にアクセスし、ログインします。
2.WebTasterのクッキー書換機能で、クッキーの中のIPアドレスらしきデータを別のデータに書き換えます。

このようにIPアドレスが実際にIPアドレスと違う状態で、楽天のセッションが維持できるのか?

<結果>
クッキーの中のIPアドレスは新しいものに書き換えられ、特に支障なくセッションは維持されました。

実験が終わってから良く考えてみれば、あたり前のことでした;;
家庭のIPアドレスにしてもWiFiアクセスポイントのIPアドレスにしても、アクセスする場所や時間によって、当然ながら変わっていきます。
その都度々々に、ログインを求められることはないですからね。

それにしても、WebTasterは、ブラウザのアクセスをそのままに、セッション限りのクッキーまで簡単に、自在に改竄できて、セキュリティ研究家には堪らない便利ソフトです。

 

]]> WiFi、ミイラ取りがミイラになる! tag:www.p-sec.net,2011:/pw//1.118 2011-08-11T05:42:45Z 2011-08-11T05:51:25Z iPadやiPod、PSP、ニンテンドーDS、ノートパソコンなど、WiFi接続す... p-sec管理人 http://www.p-sec.net/ iPadやiPod、PSP、ニンテンドーDS、ノートパソコンなど、WiFi接続する機器が沢山あります。これらの機器は、外出先でもどこでも、近くにあるアクセスポイントを探して、そこに接続をすることができます。もちろん暗号化設定がされているアクセスポイントには、暗号キー(パスワード)が分からないと接続できませんが。

実は、このWiFiのアクセスポイントというのが、個人のセキュリティを考える上で大きな危険性を含んでいます。

何が危険かというと、そのアクセスポイントは罠かもしれないということです。

<事例1>
A君は、喫茶店で、インターネットを使いたくなり、iPodで接続できそうなWiFiのアクセスポイントを検索してみました。
すると、暗号化をされていない「BBUser」というアクセスポイントを発見。
「ラッキー、セキュリティゆるゆるのオバカな人が、この近くに住んでるじゃん」
さっそくiPodでメールをチェック。

この場合、このアクセスポイントは罠かもしれません。最近では、個人がアクセスポイントを立てることは、とても簡単です。自宅にインターネット回線があれば、安いものなら1500円くらいでアクセスポイントを立てることができます。
そして、「わざと暗号化なしのものを用意し、これに繋いでくる人をハッキングする」ということは、当たり前のように行われています。
あなたはラッキーと思うかもしれませんが、そこには、あなたの接続を待ち構えている犯罪者がいる可能性があるのです。

あなたのログイン情報やパスワードが盗まれたり、メールの内容を盗み見されないようにする為には、このようなアクセスポイントにむやみに接続してはいけません。

ミイラ取りがミイラになってしまいます。


 

]]> ハッキング・ゲーム tag:www.p-sec.net,2011:/pw//1.119 2011-08-12T06:53:20Z 2011-08-12T06:59:27Z 実際のハッキングに挑戦して、Webセキュリティの基礎知識を高めようという、ハッキ... p-sec管理人 http://www.p-sec.net/ 実際のハッキングに挑戦して、Webセキュリティの基礎知識を高めようという、ハッキングの実験サイトが登場。

hack the eek

管理人の愛用しているWebTasterでのセキュリティ検査や、ハッキング、侵入などが体験できるようです。

基本は、SQLインジェクションでしょうか。

さっそく、管理人も挑戦してみます。

 

]]> GoogleがSSL検索 tag:www.p-sec.net,2011:/pw//1.120 2011-08-16T02:05:36Z 2011-08-16T02:14:23Z www.google.com がSSL検索になりました。セッションハイジャックの... p-sec管理人 http://www.p-sec.net/
google_ssl.jpg

セッションハイジャックの実験で、何度も検証してきているように、パーソナルセキュリティを考えたとき、SSLの導入は必要不可欠です。
しかし、これが企業にとっては、負担になっているというのも事実で、その結果、イケイケITベンチャー企業は、企業利益を優先に考え、ユーザーのための投資となるSSLをできるだけ使わないという間違った選択をしています。
googleが完全SSL化するようであれば、国内のベンチャーもその方向に向かうことでしょう。
これは、正しい方向性です。

]]> WiFiの危険性2 暗号化の勘違い tag:www.p-sec.net,2011:/pw//1.121 2011-08-22T08:16:03Z 2011-08-22T08:22:25Z WiFiを使うと、友人や恋人をハッキングすることが簡単にできます。前回の記事で紹... p-sec管理人 http://www.p-sec.net/ WiFiを使うと、友人や恋人をハッキングすることが簡単にできます。
前回の記事で紹介した通り、自宅にWiFiのアクセスポイントを開設しておけば、そこに接続した友人や恋人の通信パケットを盗聴することはとても簡単なことです。
お金も数千円しかかかりません。
とても現実的なストーキング(ハッキングとは言えないので)の方法です。
 
WiFiに暗号が掛かっていれば安全なのでしょうか?
 
 
これが、大いなる勘違いのポイントです。


homewifi.jpg
WiFiの暗号化というのは、空中を飛んでいる間は暗号化しているというもので、ひとたびアクセスポイントに到達すると、そこから先は暗号は外されしまうので、備え付けのPC等からは丸見えの状態になります。
 
友達の家にいって、「暗号キーは1234だよ」と言われて、暗号化されているからと安心してWiFiに接続すると、あなたの通信は盗聴されているかもしれません。
(悪用厳禁)

]]> WiFi で彼女をネットストーカーする方法 tag:www.p-sec.net,2011:/pw//1.122 2011-08-24T13:58:43Z 2011-08-24T14:26:10Z ネットストーカーの方法を紹介することは、本来のパーソナルセキュリティの目的とは真... p-sec管理人 http://www.p-sec.net/ ネットストーカーの方法を紹介することは、本来のパーソナルセキュリティの目的とは真逆になります。しかし、こんなに簡単にストーカーされる危険性があるということを認識してもらう意味であえて紹介します。

 

<方法>

ここでは、ipod touchを使っている彼女をストーキングする例で紹介します。

 

1.まず、パソコンショップに行って、ゲーム機をパソコンに繋ぐ為のUSB型のWiFiアダプタを入手します。1500円程度です。

wifiap.jpg

 

2.これをパソコンに接続し、無線LANのアクセスポイントとして設定します。
 この時、WiFiの暗号設定もします。
 (暗号化は、しなくても構いませんが、暗号設定すると相手が安心します。)

 

3.同じPCにWireSharkをインストールし、盗聴の準備をします。

 
4.友達が来たら、無線LANのアクセスポイントと暗号キーを教えて、ipod touchに設定してもらい、ipod touchでいろいろなネットにアクセスして見せてもらいます。

 

これだけで、あなたのPCの中には、彼女のログイン情報がたくさん収集されてしまいます。

 

どんなサイトが危ないのか?どんなことをされてしまうのか?

そのあたりは、徐々に解明して行きますが

 

ここで言いたいのは、1500円のアダプタで、あなたがストーカーされる危険性がある。
彼氏や友達の家のアクセスポイントには、安易に接続してはいけない!
ということ。

 

この認識が重要なのです。

そしてこれは、ipod touchだけの問題ではなく、WiFi接続できるモバイル機器、PCやiphone、スマートフォン、携帯電話やゲーム機でも同様に発生する問題なのです。

]]> パスワードだけでなく、何も推測されてはいけない tag:www.p-sec.net,2011:/pw//1.123 2011-08-30T03:38:48Z 2011-08-30T03:50:13Z パスワードについて、"推測されにくいもの"を使わなければいけないというのは、もは... p-sec管理人 http://www.p-sec.net/ パスワードについて、"推測されにくいもの"を使わなければいけないというのは、もはや常識です。

しかし、ここにあるハッキング手順などを読んでいると

 hack the eek (ハッキングチャレンジ)

推測されてはいけないパスワードだけではないことがよく分かります。

自分でIDをつける場合、あるいはデータベースを設計する場合、どんな場合でも、少しひねりを加えた文字列にしておくことが、セキュリティ向上のポイントと言えそうです。

最初の壁を乗り越えられた場合の安全を保つ為には、今までは意識していなかったところにも、ちょっとひねった情報を使うということ。

 

例えば、当研究会のIDを決めるなら

 p-sec

にはしないで

 p__sec_

などと、ちょっと捻っておくということです。

 

]]>