2015年07月の#ssmjp おかわり! まとめ


今月二回戦目のssmjp始まりました!
北河さんによる「ブラウザ・プラグインの脆弱性を狙ったドライブバイダウロード攻撃の対策」のお話です!
#ssmjp
ブラウザプラグインの脆弱性を狙ったドライブバイダウンロード攻撃の対策の話
から開始です。 #ssmjp
開始5分でやっと表紙がめくられた! #ssmjp
今日の会場はなんだか豪華だな…w #ssmjp
Javaは8になってからは以前ほどは脆弱性が見つかっていない印象ですが古いのを使い続けてる方がいるのでEKとかでは現役で攻撃に利用されているイメージはありますね。 #ssmjp
一般の人は余程の事がない限りJava必須ではなくなってますなぁ #ssmjp
JREが不要な.net Framework版のjvnチェッカーがリリースされている。#ssmjp
jvndb.jvn.jp/apis/myjvn/vcc…
社内で実施されるeラーニングがFlash使いまくりというのはよくある話ですね。 #ssmjp
flashは脆弱性も多いけど、開発者からの恨みを買って無くなればいいコールも多いよなぁ #ssmjp
たしかに企業内で配布している場合には動作検証とかあるからタイムラグが発生しますね。
#ssmjp
工作員やスパイを指して侵入社員っていうのいいなw積極的に使っていこう(どこで?) #ssmjp
「ゼロデイが出たくらいで煩悩が抑えられる賢者ばかりじゃない」www #ssmjp
#ssmjp 常に賢者モードで居られるように精神修養
#ssmjp ゼロディごときで、煩悩は抑えられません!
FlashPlayerプラグインを無効化してキミも今日から賢者モード! #ssmjp
100%の安全を求めたい方は今すぐ賢者モードに。。。#ssmjp
UAをスマホにすればFlashがなくても動画見られるサイト結構ある気がするから煩悩を抑えなくてもおk #ssmjp
攻撃ツールが直接設置されるよりもアレなサイトにリダイレクトさせる手法が主流 #ssmjp
Click-toPlayで必要な場合のみプラグインの実行を明示的に許可することで、悪性サイトからのプラグインの実行の可能性できるだけ少なくする
#ssmjp
知ってる(つもり)のものでも丁寧に解説してくれてるので判りやすい。欠点は時間が時間が… #ssmjp
もうLXCで実行してXだけ飛ばせばいいのでは…そしたらファイルへのアクセスは防げる #ssmjp
100%防げるものではないため、プラグインの更新がやはり重要
#ssmjp
Right-Click-to-Playで確認後、flashを実行するようにする。利便性は犠牲になるが、リスクは低減できると。#ssmjp
#ssmjp 確かに広告flashが動き出したら、CPUがはねあがる時があるね。
chromeの設定はflash広告とか撲滅しにくるんたろうか #ssmjp
Chrome42からRight-Click-to-Playが採用され、2段階になったと。#ssmjp
超大遅刻したので正座するお… #ssmjp
FlashPlayerの更新は毎回McAfeeと戦う必要がある(バンドル的な意味で) #ssmjp
ASKバンドルしてたJavaよりマシか… #ssmjp
FIrefoxは現在のページ単位で実行する/しないが管理されているのか #ssmjp
要素ごとにプラグインを有効化するお話 #ssmjp
ちょいちょいネタが挟まっているので思わず笑ったしまうw
#ssmjp
ブラウザによって許可単位が変わるのは教育上きついかも #ssmjp
IE先生:「すべてのサイトで許可」を修正するのが第一のお仕事になるのか。 #ssmjp
IEのFlash実行順でルーレットができる #ssmjp
RT @icchyr: IEのFlash実行順でルーレットができる #ssmjp
EMETでセキュリティゾーンを使い分けるって、現実的にはキツイ運用では? #ssmjp
EMETでプラグインの読み込みを制御するやり方について
#ssmjp
EMETそのもののUIがうさんくさい… #ssmjp
EMETでもプラグインの要素単位のコントロールはできない #ssmjp
EMETってデフォルトでも結構セキュア側にたおしてるイメージあるんですが、違いましたっけ… #ssmjp
EMETでは 32bit IEと64bit IEそれぞれで設定が必要? #ssmjp
そうか、そもそもイントラだけフルアクセスにして、インターネット全部flash切ればいいんだ #ssmjp
IE、Edge、Firefox、Chromeそれぞれでプラグインコントロールの方法も機能の範囲もばらばらなのね。 #ssmjp
#ssmjp Chrome: Right Click-to-Playの有効化
Firefox: Click to Play per-elemntの導入
IE: EMETの導入と設定(ASRにflash*.ocxを追記)
Click-to-playで実用的なのはChromeかな #ssmjp
振る舞い検知で不具合起こす業務ソフトなんて窓から投げ捨(略 #ssmjp
有料化したらサポートしきれないくらいEMETは強力(強烈) www #ssmjp
EMETはPositiveFalseが結構出るから有料にしたら大変なことになる。ってのは腹落ちした。 #ssmjp
都市銀行のトップページでのflash使用は広告のみなので、利用する上では多分お困りにならないに違いない。 #ssmjp
やはり不具合起こす可能性あるので導入ハードル高いのか… EMETは #ssmjp
しっているひとがそれなりにいる #ssmjp
「まだ1/4くらいしか終わってない」 #ssmjp 会場大笑い(滝のような汗
「その3にならないように。。。」wwww #ssmjp
ちょっとまって!さらっと衝撃的な発言がwww
#ssmjp
「広告配信サービスからの感染」爆弾的なテーマ来た。 #ssmjp
もしかしてわんこそばなんじゃないだろうか #ssmjp
というかアドネットワークなんてこんなもんだからなあ。ふつーに期限切れの証明書使うし。(スクリーンショット取得は2014年7月22日 19時27分) #ssmjp pic.twitter.com/gcaaDfzIPp
Mr.Fがブロックされてるwww #ssmjp
Mr.Fから感染するという大変おもしろいギャグ #ssmjp
何だか #ssmjp が面白いことになっているっぽい。行きたかった。。。(>_<)
広告ブロックで広告配信経由の感染の可能性を低減
#ssmjp
対策案「できるだけFlashを使っていないサイトやサービスを利用する」 #ssmjp (真顔
#ssmjp videoタグ自体に脆弱性が存在する、みたいなこともこの先でてきそうと思った
Flash使いたくない時の対策案「そうだ、スマホ用ページを表示してみればいいんだ」(名指し:ニコニコ動画) #ssmjp
スマホでアクセスするとPC用サイトの案内は出るが、逆はなかなかない #ssmjp
#ssmjp スマフォ用サイトは煩悩の救世主になるかもしれない。
Adblock自体の信頼性ってどうやって担保しようかねえ…… #ssmjp
Chromeはプラグイン使わなくても開発者ツールでUser-Agent変更できるよ #ssmjp
Flashを避けるためにユーザーエージェントを変更してスマホ用サイトを見る #ssmjp
HTML5時代になりつつあるが、スマホ用サイトではHTML5等であっても、PC用サイトはまだFlashを要求するところが… #ssmjp
「XなVideoとかカリブ海方面の〜」www #ssmjp
xなビデオとか、カリブ海方面のサイトwww
#ssmjp
実はエロサイトの方がHTML5の対応が進んでいるw #ssmjp
アダルトサイトのほうが対応が進んでいる #ssmjp
スマホアプリの公式審査が通らない(通りようがない)のと、パーソナルな閲覧用途に応じるため、実はエロサイトの方がHTML5対応が進んでいる感じある #ssmjp
エロい方がHTML5への対応が進んでいる
#ssmjp
エロサイト方面の技術を #ssmjp で発表してくれる人いないかなー
いつの時代も新技術の普及はエロから #ssmjp
「提督の検証を望む」 #ssmjp わかったよやりゃあいいんだろ!
armrfじゃ提督業無理くさいのはちゃれんじ済みだよ!!! #ssmjp
公式じゃなくてもエロ専用のAndroidマーケットありますよね #ssmjp
ブラウザゲー、エロゲーがネックか。あのへんJavaScriptだとソース丸見えなので敬遠されるだよなぁ #ssmjp
スマホ用のエロゲーは専用マーケットアプリ経由が多い気がする #ssmjp
かつてここまで「エロ」という単語が飛び交った回があったであろうか(反語) #ssmjp
そもそも提督なアレはスマホ対応してないからなあ #ssmjp
(個人的メモ)Flash Player互換モノはそれはそれで動きが怪しいのでぶっちゃけた話諦めた方がいい。 #ssmjp
IPv6への対応だけじゃなくてHTML5への対応もdmmとかニコ動に聞いていこうな #ssmjp
良かった!今回分は終わった!!(狂喜乱舞する運営スタッフ) #ssmjp
そっち方面での水飲み場攻撃が多そう。。。#ssmjp
運営陣はみんなこの瞬間心の底から「とりあえず今回分が終わって良かった!」と思いましたw
#ssmjp
所が前回のおさらいなのに新しい資料が投入されて運営スタッフ白目 #ssmjp
#ssmjp 標的型攻撃メールは、実行ファイルを圧縮して送ってくるものが多数派。

サードパーティー製アーカイバの問題。アイコン偽装に騙されやすい、解凍後のファイルにZoneIDが付与されないのでセキュリティ警告が出ない。

「このソフトウェアを実行しますか」ってダイアログ出て「なんか変なのが出るんですけど」って持ってきてもらったことがないのでちょっと心配 #ssmjp
Officeの「保護されたビュー」もZoneID。 #ssmjp
『SmartScreenの警告は目立つので、きちんと教育すれば「解除慣れ」も起きにくいのでは』 #ssmjp
SmartScreen出たらその時点で管理者に連絡いくような仕組みあるのかな #ssmjp
ZoneID前回聞いてから自分の家でやったら同じようにできて感動しました #ssmjp
Win10の情報が増えている気がする #ssmjp
細かいUIもちょいちょい改善されてるのね #ssmjp
前回なかったPeaZipが導入されてる! #ssmjp
やっぱり派手だとわかりやすいな #ssmjp
#艦これ はスマホ対応してないけど、 #かんぱに は対応してるから、みんな提督じゃなく社長になればいいんじゃないかな? (#ssmjp 方面(ぉ
標的型攻撃メール訓練「メールの文面から見分けるとかもはや不可能」 #ssmjp
…と思ったら、前回資料にPeaZip記載された #ssmjp
リモートデスクトップ間のドラッグ&ドロップでもZoneIDなくなってたなあと。
#ssmjp
すげえ 振られてすぐ答えが返ってくる これがプロか #ssmjp
QAのAを会場に振る北河さんw そしてちゃんと回答する @tomoki0sanaki さん凄いw #ssmjp
ようことかいつのだよwww #ssmjp
Chromeでローカルフォルダを開いて、drag&dropするとzoneIdきえない #ssmjp
8/7の #ssmjp の資料「Windows標準の機能を使用した標的型攻撃の対策 ドライブ・バイ・ダウンロード編」を公開しました。speakerdeck.com/kitagawa/ssmjp…
昨日公開したスライドで「既定の設定でブラウザでのJavaの実行が無効にされている」となっていたのは間違いで、新規にインストールした場合は既定で有効になっているようです。#ssmjp
実際に、一度アンインストールした後、再度インストールして無効になっていることを確認したのですが、これはアンインストール前の設定を引き継いでいたようです。最新のJRE8U51を全く新規の環境にインストールした場合は有効になっていました。 #ssmjp
誤解が生じることがないよう、スライドは更新しておきました。申し訳ありませんでした。#ssmjp
タイトルが「Windows標準の機能を使用した~」となっているのに、ChromeもFirefoxもEMETも標準じゃないじゃないか?と言われそうですが、これは、本来は標的型メール攻撃についてのみ話す予定だったところ、直前になってFlashの攻撃が増えてきたため、#ssmjp
続き)Flashの攻撃対策についてもオマケで話すつもりでいたところ、時間切れでそこまで進まず、急遽2回目を開催となったために、前回からの流れでそういうタイトルになっています。特別に製品を買わなくても~、ということで大目に見て下さい。#ssmjp
1回目と2回目で、デモも含めて3時間半以上かけて説明しているので、スライド上に全ては再現されていません。会場に来た人がスライドを見返すことによって、より理解が深まることを目的として公開しています。#ssmjp

コメントを残す