2015年07月の#ssmjpまとめ


IMG_9994

今日は前説で #ssmjp を振り返っている
「アウトプットしないのは知的な便秘」 #ssmjp
OK、 #ssmjp に侵入した。 (@ ビッグローブ株式会社 (BIGLOBE Inc.) – @biglobe in 品川区, 東京都) swarmapp.com/c/8ogjIfoakx3
本日は会場よりwifi環境をご提供いただきました!前のホワイトボードにSSIDなどの情報の記載がございます〜
#ssmjp
そにっくんさんのwebtトラッキングの話 #ssmjp
(cookie以外を使う)進化したwebトラッキングの話。#ssmjp
出会い系サイトとか勝手にトラッキングしてそう #ssmjp
こんなにいっぱい情報取られてるのか… #ssmjp
ACMが出てくるとは…さすが… #ssmjp
いやー情報あつめられてますねー。
#ssmjp
論文発表前に公開できるわけはないわね。 #ssmjp
リンククリックするたびにランダムでウィンドウサイズ変えれば。。。 #ssmjp
対策アドインツール: fireglobes、chameleon、adblock plus、etc #ssmjp
RTBとCookie Syncingはボリューム満点なので、後で公開するスライドを読んでねとのことです。
#ssmjp
トラッキングされてもええよ ていうたから、そにっくんさんはきっと関西人。(違) #ssmjp
#ssmjp ついたが、1つセッションが終わってしまったヨーダ
ちょうどWebトラッキング系をちょこっとしらべてたところだったので、面白かった!! あとで資料が出れば読んでみます! #ssmjp
webトラッキングの話。面白かった。#ssmjp
Webトラッキングの話。悪用があると、一周してまたJavascript切るべきになったりするかね。#ssmjp
WebのITニュース見てもITの展示会に行っても標的型攻撃の被害をいかに減らすかとゆーのが目につくので、自社でも啓蒙活動をしたいと思ってたところです #ssmjp
自社のWebサイトから推測できる社長のメールアドレス(偽物)をfromにしてデモ用トロイを全社のML宛に送りつけてみたい #ssmjp
本物の標的型攻撃対策が聞ける!! #ssmjp
遅くなりましたが会場入りしました。#ssmjp
北河さんのセッション始まりました!
#ssmjp
Windows標準でどこまでやれるかなー #ssmjp
「今日は自宅研究員としての登壇です」
所属会社は関係ないのよー#ssmjp
kitagawa_takujiさんによるWindows標準の機能を使用した標的型攻撃の対策
#ssmjp
”windows標準機能を使用した標的型攻撃の対策”の話 #ssmjp
今日のニュース記事これのことですな。 #ssmjp
緊急対応依頼が急増、サイバー攻撃対策の理想と現実のギャップが浮き彫りに itpro.nikkeibp.co.jp/atcl/column/14… #ITpro
サイバー攻撃の対策。防御、検知、対応の組み合わせ。でもお高いんでしょう? #ssmjp
今日はこれのアップデートとな #ssmjp
すぐ実践可能!:設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」 (1/4) – @IT atmarkit.co.jp/ait/articles/1…
Windows標準の機能を利用した標準型攻撃の対策 #ssmjp
Windowsやブラウザの標準の機能を使ってリスクを減らすとゆー事らしい。これはうれしい。 #ssmjp
おお、これは知りたい。ドライブバイを避けつつflashを使う方法。 #ssmjp
エロ動画サイトとか、エロゲームサイトとかw
#ssmjp
機能制限をせずにリスクを減らす方法。
1)zone id
2)解凍ソフト
3)windows smart screen
4)flashを安全に利用する
#ssmjp
「Flashを無効にしろという人もいるが、世の中まだまだ使われてます。エロ動画とかエロゲーとか」 #ssmjp
今年に入って、オフィス系文書が増えてる #ssmjp
標的型攻撃メールで送られる攻撃ファイルの96%は圧縮ファィル #ssmjp
最近のは脆弱性を利用しない #ssmjp
文書ファイルに偽装された実行ファイルが送られてくるのが最近のトレンド
#ssmjp
多くはofficeファィルに偽装した実行ファイル #ssmjp
「最近の標的型攻撃メールの主流は脆弱性を利用しない」なるる #ssmjp
最近の標的型攻撃メールの主流はは、脆弱性を利用しない #ssmjp
最近の標的型攻撃メールの主流は「脆弱性を利用しない」 #ssmjp
普段はあふwを使ってファイル操作をするので拡張子偽装には絶対に引っかからないけど、一度、アーカイバで開いていてフォルダアイコンに偽装されたトロイ踏んでしまったあの夏の日 #ssmjp
標的型攻撃 ある程度ITリテラシーの高い集団でも数打てばこれは引っかかるかもしらんね #ssmjp
ファイル名に大量のスペースを挿入して拡張子を隠すとな #ssmjp
ファイル種別偽装の手段: アイコン変更、二重拡張子、空白文字による拡張子隠し、RLO文字による反転表示など #ssmjp
RLOって知らなかった。「へぇ〜」押し続けてるビビる大木状態 #ssmjp
実際一番怖いのはソーシャルエンジニアリングなんだよなぁ
#ssmjp
WinRAR、ライセンス購入したシェアウェアの中で一番長く使い倒してる #ssmjp
ファイル名に拡張子つけてそのあとにスペース入れまくって本当に拡張子を隠すのなるほどなぁという感じで好き #ssmjp
思わずあーなるほどとつぶやいてしまったw勉強になるなあ
#ssmjp
「WinRARを使うと展開後にファイルの実行を指定する事ができる」やばい #ssmjp
exeは添付できないからex_にします() #ssmjp
パスワードメール偽装あるある #ssmjp
「先ほどの添付ファイルのパスワードは○○です」wwwwwwww #ssmjp
パスワードつき圧縮ファイルだとゲートウェイ型のアンチウィルスソフトもすり抜けられるしねw #ssmjp
vista以降だとパス付きのzipとか標準で解凍はできるけど、作れなくなってたのか
#ssmjp
windowsは独占禁止法でパスワード付きzipファイルの作成ができなかったと。
#ssmjp
独自のファイルマネージャを持つアーカイバを使う #ssmjp
しぇぞ氏によるLhaplusのZoneID対応が待たれる…という話? #ssmjp
ZoneIdがあるとセキュリティの警告メッセージが表示されると。
逆に思えたけどそうじゃないんだなあ。
#ssmjp
サードパーティの圧縮解凍ソフトを使うと、解凍するときにzoneidが欠落するので警告無くファイルが実行される危険性がある #ssmjp
「Lhaplusなんかで解答するとZone.IDが欠落(元々ないので責られない)してしまうのでセキュリティ的に問題」 #ssmjp
WinRARしか対応してないのかー >展開して実行後のZoneID維持 #ssmjp
#ssmjp 「代替データストリーム情報」 φ(`д´)メモメモ…
独自のファイルマネージャで開くとかはそもそもExplorerで拡張子表示させとけよって話だと思うので割とどうでも良い気はする #ssmjp
「PeaZIP」を「PikaZip」に空目した人は手を上げて懺悔してください #ssmjp
ZoneID、なるほど、維持されるされないでこんな違いがあるのね。そしてWinRARはエラいぞと。#ssmjp
Alternative Data StreamはWindowsの新しいファイルシステムのReFSではサポートされないんですよ。 #ssmjp
デスクトップ移動もZoneID欠落してたのか… #ssmjp
デスクトップにものすごい数のファイルをおいてる人 > 自分 #ssmjp
添付ファイルをデスクトップにドラッグアンドドロップするとZoneIDが欠落すると。
#ssmjp
これラプラスもはや脆弱性って言っても過言ではないのでは…… #ssmjp
全人類に拡張子偽装が効かない「あふw」を布教したい #ssmjp
メーラ/アーカイバ/保存操作の組み合わせでもzoneid保持の挙動が変わるっぽい #ssmjp
数多く使われているがゆえにセキュリティホールの代表のように扱われるLhaplusェ… #ssmjp
今時、lzhなどを使うのはやめていただきたい! #ssmjp
パスワードZIPを業務に組み込んだISMSが脆弱性なんだってば。lhaplusは悪くないだろ #ssmjp
ベッキーっていってもポニーテールの四十のことではない #ssmjp
D&Dで消えるようにした利点はnanndattannda #ssmjp
ドラッグ&ドロップと右クリック→名前を付けて保存、とでZoneID維持の挙動が違うのかー。 #ssmjp
メーラーからの直接DnDと名前をつけて保存で処理が違うとは確かに盲点だ。使ってるAPIが違うとかかな? #ssmjp
アーカイバ終わってる説もあるのでは #ssmjp
ショートカットだと拡張子が表示されないため、偽装に注意。#ssmjp
パスワードつき圧縮ファイルでセキュリティ対策やってますよ感出す風潮なくなればいいのに #ssmjp
保護されたビュー思ってたよりかしこい #ssmjp
ZoneIDを保持したままコピーするならShellExecuteがいいのかなあ。#ssmjp
保護されたビューなー。ファイルサーバから開けた時とかもつくことあるから解除慣れしてしまってあまり意識せずに解除しちゃったりすることありそう。機能自体は割と有効性高そうなので気をつけないと。 #ssmjp
お前らこれ回避する攻撃方法の2、3個はすでに思いついてるんだろ? #ssmjp
やっぱり7zかwinrarが優勢でしょうか(2回目) #ssmjp
7zipもいつも入れてるけど関連付けはLhaplusにしちゃってるなー。独自ファイルマネージャがなんかうざくて… #ssmjp
7-zipがこんな強いと思ってなかった #ssmjp
検証し尽くした時の説得力って重要だなと改めて #ssmjp
lhaplusとか+lhaca使ってる人を多く見かけたので会社で配布する標準PCの環境には7zipをぶっ込んでます。事務の人とか知らぬわ! #ssmjp
履歴書をrarで送ってくる人はおかしい #ssmjp
tar.gzとかだとどうだろ
履歴書を.rarに圧縮して送ってくるのはおかしいですよねw
#ssmjp
「履歴書をrarで送ってっくる人はおかしい」w #ssmjp
今時は tar.xz だろう RT @Niratama: 履歴書をrarで送ってくる人はおかしい #ssmjp tar.gzとかだとどうだろ
ずいぶん仕込まれた事務員さんだ…おそらく画像に何か埋まっておりますよ #ssmjp
履歴書を.rarで送りつけるやりとり型攻撃…!? #ssmjp
「履歴書とかRARで送ってくる人はいないでしょうから」笑ってる人はいけない人あるいはいけない事してた人だと思いますねっ #ssmjp
WinRAR、7zipかWin標準のアーカイバが強い #ssmjp
tar.Z や tar.z で送ってくるのは多分面倒くさいジジィ RT @nakj 今時は tar.xz だろう RT @Niratama: 履歴書をrarで送ってくる人はおかしい #ssmjp tar.gzとかだとどうだろ
こうしてみるとWindows頑張っているなと思う
#ssmjp
Microsoft Edgeではどうなるのだろう?
IE11は残ってるけど。
#ssmjp
本格派のジジイはuuencodeで @kusune: tar.Z や tar.z で送ってくるのは多分面倒くさいジジィ RT @nakj 今時は tar.xz だろう RT @Niratama: 履歴書をrarで送ってくる人はおかしい #ssmjp tar.gzとかだとどうだろ
smart screen でもzoneidがキーになると。。 #ssmjp
Windows SmartScreen強そうだけどいまだにWin8にすら上がってない職場環境考えると…… #ssmjp
内容的にも時間的にも充実したプレゼン #ssmjp
うーむ、Microsoftには筒抜けなのか…あんなものやこんなものがばれちゃう #ssmjp
警告を無視して(プレゼンを)実行した場合 #ssmjp
#ssmjp 前編、来月に後編でもアリかもしれない。
AppLockerによるソフトウェア制限ポリシーを使うと。
#ssmjp
サードパーティソフトのデフォルト解凍先 + ソフトウェア制限ポリシー運用で頑張れば、意図しないexe実行を防げる #ssmjp
「office文書の暗号化はアーカイバの数十万倍の解析時間がかかる」 #ssmjp
officeファイルのパスワード総当り攻撃の所要時間ははZipファイルの数十万倍なのか #ssmjp
用途を考えたら、たとえば「元ファイルに限らずアーカイバのデフォルトで展開後ファイル全てにZoneIDを付ける」というのは有効かなあ。 #ssmjp
この期に及んでデモに入るプレゼン #ssmjp
長兄さんには、来月も話してもらうのがいいとおもうんです。 きっと資料倍になってるとおもいますが。。。。 #ssmjp
こんなにいっぱい書けるのがすごい #ssmjp
保護ビューってそんな役割があったことを初めて知った #ssmjp
ディスク容量キツキツで圧縮で逃げてる俺涙目 RT @nekoruri 用途を考えたら、たとえば「元ファイルに限らずアーカイバのデフォルトで展開後ファイル全てにZoneIDを付ける」というのは有効かなあ。 #ssmjp
いつもなら乾杯してる時間だw #ssmjp
すごい量のー
資料とデモでー
見てると楽しいー
時間が足りないー
ピンチはチャンス
#ssmjp
へーOffice暗号化って結構頑健なのね。知らんかった #ssmjp
Laplasを利用するとWindowsが折角デフォルトで搭載している防御機構が台無しになるわけだな。非常によくわかった。
#ssmjp
内容が濃すぎて震えが止まらないww #ssmjp
毎月プレゼンの残り半分が次回に回されて無限に続くアレだ! #ssmjp
面白いけどそろそろほんとに会場的にヤバイのでは #ssmjp
あともうちょっとだけつづくんじゃ、 #ssmjp
今まで知らないようなWindows
の機能が知れて面白かった(まだ終わってない) #ssmjp
あまり無茶すると次回以降の会場が変わったりしそう #ssmjp
firefoxはデフォルト無効になりましたね #ssmjp
会場からご用意をいただいた方がよさそうなムードがありますね。 #ssmjp
Chrome、firefoxではプラグインの設定でflashの実行時に実行確認できる。
#ssmjp
やめられない、終わらないプレゼン。 #ssmjp
いまベージ番号に200とか見えた気がするんだけど #ssmjp
ここまでやってまだ来月に延長戦らしい(白目) #ssmjp
firefoxはclick to play per elementの拡張機能。
IEではEMETを使うと比較的安全にflashを利用できる。#ssmjp
Pwn合宿という怖い文字列を見てる #ssmjp
業務サイト用(IE)、外部閲覧用(Firefox,chrome)でブラウザを分ける、か。なるほど。 #ssmjp
撤退のお手伝いをしてくれる人を募集中(涙声) #ssmjp
場所非公開の2泊3日のPwn合宿で、6000円ってどこに泊まるの? #ssmjp
しまった、さっさと出たほうがいいのかと思って出てしまった… RT @yakumo3 撤退のお手伝いをしてくれる人を募集中(涙声) #ssmjp
「もうちょっとだけ続くんじゃ」を見た… #ssmjp
北河さんの標的型攻撃の講義、すごい勉強になった #ssmjp
Windowsの標準機能だけで標的型攻撃に気付くきっかけはワリと作れそうですね。 #ssmjp
あとはブラウザでのFlash対策でしたね。Chromeは設定>プライバシー>Flash(だったかな?)から、Flash Playerの実行タイミングを自分で決める(右クリックから実行)ように変更可能 #ssmjp
Firefoxではアドイン「Click to Play pre-element」で対策。IEではEMETで無効化。あとは…メモみなきゃ #ssmjp
#ssmjp 本物の標的型攻撃対策の話を聞いた。結論、Windowsを賢く使うえば、★百万もするような箱物はいらない。
箱物調達できる予算があれば、社員のPCを、Windows8に更新できるんとちゃうんか?! #ssmjp
今日の話の続きは、来月の #ssmjp で。8/7開催予定だそうですよ。
@tomoki0sanaki ブートパーティションにできるわけでもないですし、設計思想が可能な限りオンラインでエラー検出・復旧、でかいファイルを取り扱うことに向いていると思うので、NTFSとは使い方が違ってくると思いますよ。 #ssmjp

追記

そのあとのツイートを

 

PUAバイパス対策のために、PUA確認をMAXにする話した? #ssmjp
スマホ向けのWebトラッキング技術の進化具合も気になる。 / “進化するWebトラッキングの話 #ssmjphtn.to/xc7xJC
今回の #ssmjp で衝撃的だったのが、メーラーで添付ファイルを「名前を付けて保存」だとZoneIDが付加されるが、「ドラッグアンドドロップ」だと付加されないという事実を知ったことだった
#ssmjp 多分、標的型攻撃で被害が出ていない組織は、「狙われていない」or「狙われているけど、この手の標準的機能を粛々と活用していて跳ね返している」のどちらかかもしれない。
今日の #ssmjp の資料の前半は、月曜日くらいまでには公開しますのでお待ちを。後半は、来週の #ssmjp で、
北河さん枠で2時間とは吹いたw確かにそのぐらいのボリュームはありましたね。 #ssmjp 2015/07の2 ssmjp.connpass.com/event/18354/?u…
@0x009AD6_810 医療費通知.exeのような解凍後におとり文書が自動起動されるような自己解凍EXEはWinRARで簡単に作れるというのを見せたので、WinRAR怖いという反応になったのだと思います。
@0x009AD6_810 あと、一般事務員がRARとかのフォーマットを扱う必要もないので、標準のアーカイバで十分じゃない?履歴書をいきなりRARで送信してくる人がいたら、ZIPで再送してもらえば良いだけ。という話です。RARが悪いという話はしていないです。
読んでる。通りで最近はトラッキングをオフにしてもしつこく広告が出続ける訳だ。それにしてもここまで追跡出来るのは正直気味が悪いな。:進化するWebトラッキングの話 #ssmjp bit.ly/1KGD7bz
@kitagawa_takuji そうでしたか、ありがとうございます。ジャンルは違いますが例えば Tor も WinRAR も怖いものだし使っている人は悪いヤツだよねみたいな匂いを勝手に感じてしまったようです。失礼しました。
@kitagawa_takuji 確かに一般事務員ならばそうですね。外部からの問い合わせ窓口だとしても tar.gz で Linuxのログファイルを送ってくる人はいても rar で送ってくる人はいないと思います。AV関連だとパスワード付RARとかもあり得るのかもしれないですが。
@0x009AD6_810 WinRARは非常に良いという評価をしました。ただ、シェアウェアで約3千円なので全社的に導入するのはコストが掛かるし、一般事務員は標準アーカイバで良いんじゃないという話です。
@kitagawa_takuji そうなんです、国内で買う場合サポートなどの面でも DTI 経由にするのが良いのか本国の RARLAB からにするのが良いのかなど議論はあると思います。一般事務員前提だとそこまで高機能である必要もないし標準アーカイバで良いというのには同意です。
Windows 7 HomeのPCをWindows 10 HomeにアップグレードしたらWindows SmartScreenが使えるようになった。 #ssmjp
Windows SmartScreenの簡単なテストの仕方。#ssmjp
1.テキストやWordの適当な文書を作って保存。
2.文書を自己解凍形式EXEに圧縮
(続き) #ssmjp
4.右クリックでプロパティを選択し、「このファイルは他のコンピュータから取得したものです」となっていることを確認
(続き) #ssmjp
5.自己解凍形式EXEを実行
実行したファイルのハッシュ値がMSのクラウドに送信されレピュテーションを問い合わせる。作成した自己解凍形式EXEは、今まで世に出ていない未知のものなので、レピュテーションがなく、SmartScreenでブロックされる。
(続き) #ssmjp
標的型メールに添付されるマルウェアは、アンチウイルスのシグニチャを回避するため、あえて未知のハッシュ値となる様に作ってあるので、レピュテーションがなくSmartScreenでブロックされる。
(続き) #ssmjp
ただし、SmartScreenのチェックが行われるのはZoneIDが付加されている場合のみなので、ZoneIDが維持されるようなメーラ、アーカイバの組み合わせが重要。
(続き) #ssmjp
3.コマンドプロンプトで notepad 自己解凍.exe:Zone.Identifier
新規作成をOKして、下記を貼り付け保存
[ZoneTransfer]
ZoneId=3
3に間違いがあったので、訂正前は削除しました。#ssmjp
北河さんのセッションで、著名なサードパーティ製アーカイバにおいてZoneIDが維持されるかどうかの挙動の話があったけど、自分の使っているLhazについてはどうなんだろうと気になった。一応独自ファイルマネージャもあるしなー。ためしてみるかしらん。 #ssmjp

コメントを残す