【セキュリティニュース】「メールを読むだけでルーターが設定変更される」、驚異の新攻撃出現 (ITPro)
1 :もやし味(080312)φ ★:
米シマンテックは2008年1月22日(米国時間)、ブロードバンドルーターの設定を勝手に変更する悪質なメールが確認されたとして注意を呼びかけた。
メールを開くだけでルーターのDNS設定が変更され、ある銀行のWebサイトにアクセスしようとすると、偽サイトへ誘導される恐れがある。
その結果、個人情報などを盗まれる危険性がある。
WebページやHTMLメールに悪質なHTMLとJavaScriptを仕込んで、それらを閲覧したユーザーのブロードバンドルーターの
設定を変更する攻撃は「ドライブバイ・ファーミング(Drive-by Pharming)」と呼ばれる。
この攻撃では、ブロードバンドルーターのDNS設定を変更し、攻撃者のDNSサーバーなどを参照させるようにする。これにより、ファーミング詐欺を可能にする。
具体的には、ユーザーが本物のWebサイトのURLをWebブラウザーに入力しても、攻撃者が意図した偽サイトに誘導されてしまう。
偽サイトの目的は個人情報の詐取。クレジットカード番号やパスワードなどを入力させて盗む。
シマンテックでは、およそ1年前に、こういった攻撃が可能であることを公表。この攻撃手法を「ドライブバイ・ファーミング」と命名するとともに
注意を呼びかけていた。そして今回、ドライブバイ・ファーミングの実例が初めて確認された。
今回確認されたドライブバイ・ファーミングはHTMLメールを使ったもの。メールは、グリーティングカード(e-Card)の通知メールに見せかけている。
グリーティングカードサービスを提供するWebサイトをかたり、受信者あてにグリーティングカードが届いたとする。
このメールにはある細工が施されている。HTMLメールに対応したメールソフトで表示させると、メールに仕込まれたコードが解釈されて
メールソフトからブロードバンドルーターへ設定変更のデータ(HTTP GETリクエスト)が送信される。それによって、ルーターのDNS設定が変更される。
具体的には、メキシコのある有名銀行のWebサイトにアクセスしようとすると、その銀行サイトに見せかけた偽サイトに誘導されるように
設定を変更。偽サイトでは個人情報の入力を要求する。
(続く)
メールを開くだけでルーターのDNS設定が変更され、ある銀行のWebサイトにアクセスしようとすると、偽サイトへ誘導される恐れがある。
その結果、個人情報などを盗まれる危険性がある。
WebページやHTMLメールに悪質なHTMLとJavaScriptを仕込んで、それらを閲覧したユーザーのブロードバンドルーターの
設定を変更する攻撃は「ドライブバイ・ファーミング(Drive-by Pharming)」と呼ばれる。
この攻撃では、ブロードバンドルーターのDNS設定を変更し、攻撃者のDNSサーバーなどを参照させるようにする。これにより、ファーミング詐欺を可能にする。
具体的には、ユーザーが本物のWebサイトのURLをWebブラウザーに入力しても、攻撃者が意図した偽サイトに誘導されてしまう。
偽サイトの目的は個人情報の詐取。クレジットカード番号やパスワードなどを入力させて盗む。
シマンテックでは、およそ1年前に、こういった攻撃が可能であることを公表。この攻撃手法を「ドライブバイ・ファーミング」と命名するとともに
注意を呼びかけていた。そして今回、ドライブバイ・ファーミングの実例が初めて確認された。
今回確認されたドライブバイ・ファーミングはHTMLメールを使ったもの。メールは、グリーティングカード(e-Card)の通知メールに見せかけている。
グリーティングカードサービスを提供するWebサイトをかたり、受信者あてにグリーティングカードが届いたとする。
このメールにはある細工が施されている。HTMLメールに対応したメールソフトで表示させると、メールに仕込まれたコードが解釈されて
メールソフトからブロードバンドルーターへ設定変更のデータ(HTTP GETリクエスト)が送信される。それによって、ルーターのDNS設定が変更される。
具体的には、メキシコのある有名銀行のWebサイトにアクセスしようとすると、その銀行サイトに見せかけた偽サイトに誘導されるように
設定を変更。偽サイトでは個人情報の入力を要求する。
(続く)
|
|
|
2 :もやし味(080312)φ ★:2008/01/23(水) 17:24:54 ID:???
(ソース続き)
メールに仕込まれた設定変更のデータは、メキシコでよく使われているルーターのモデルを狙ったものだという。
これらから、今回の攻撃はメキシコのユーザーを狙ったものである可能性が高い。
ドライブバイ・ファーミングの被害に遭わないための対策は、ブロードバンドルーターのパスワードを変更すること。
ほとんどのルーターでは、設定変更にはパスワードが必要だが、ユーザーの多くは初期設定のパスワードを変更していない。
初期設定のパスワードは広く知られているため、簡単に破られてしまう。
このためシマンテックでは、設定変更を強く勧めている。ただし、ルーターの中には設定変更にパスワード入力を必要としないものがあるので要注意としている。
加えて、パスワードを変更する前には、ルーターの設定をリセットすることを勧めている。これは、DNS設定などを既に変更されている場合を想定した対処だ。
いわゆる「セキュリティのセオリー」を守ることも対策として勧めている。具体的には、「信頼できないサイトにはアクセスしない」
「信頼できる人からメールであっても、メール中のリンクをクリックする際には用心する」「覚えのないメールは削除する」
「セキュリティ対策ソフトを利用する」ことなどを改めて推奨している。
なお、今回の実例が確認されたドライブバイ・ファーミングは、同社が2008年1月21日に警告した攻撃とは別物。
1月21日に警告した攻撃手法はFlashファイルを使ったもので、ドライブバイ・ファーミングの“発展形”。この手法を用いた実際の攻撃は、まだ確認されていない。
ソース:http://itpro.nikkeibp.co.jp/article/NEWS/20080123/291817/
※依頼スレ#573より
メールに仕込まれた設定変更のデータは、メキシコでよく使われているルーターのモデルを狙ったものだという。
これらから、今回の攻撃はメキシコのユーザーを狙ったものである可能性が高い。
ドライブバイ・ファーミングの被害に遭わないための対策は、ブロードバンドルーターのパスワードを変更すること。
ほとんどのルーターでは、設定変更にはパスワードが必要だが、ユーザーの多くは初期設定のパスワードを変更していない。
初期設定のパスワードは広く知られているため、簡単に破られてしまう。
このためシマンテックでは、設定変更を強く勧めている。ただし、ルーターの中には設定変更にパスワード入力を必要としないものがあるので要注意としている。
加えて、パスワードを変更する前には、ルーターの設定をリセットすることを勧めている。これは、DNS設定などを既に変更されている場合を想定した対処だ。
いわゆる「セキュリティのセオリー」を守ることも対策として勧めている。具体的には、「信頼できないサイトにはアクセスしない」
「信頼できる人からメールであっても、メール中のリンクをクリックする際には用心する」「覚えのないメールは削除する」
「セキュリティ対策ソフトを利用する」ことなどを改めて推奨している。
なお、今回の実例が確認されたドライブバイ・ファーミングは、同社が2008年1月21日に警告した攻撃とは別物。
1月21日に警告した攻撃手法はFlashファイルを使ったもので、ドライブバイ・ファーミングの“発展形”。この手法を用いた実際の攻撃は、まだ確認されていない。
ソース:http://itpro.nikkeibp.co.jp/article/NEWS/20080123/291817/
※依頼スレ#573より
3 :名前をあたえないでください:2008/01/23(水) 17:26:52 ID:wzzU655w
またWindowsか
4 :名前をあたえないでください:2008/01/23(水) 17:27:31 ID:12DADjzp
真犯人はノートン先生
5 :名前をあたえないでください:2008/01/23(水) 17:31:45 ID:wzzU655w
Thunderbird使えばいい
Thunderbirdだと勝手にゴミ箱に突っ込んでくれるから
メールを踏まずに捨てられる
Thunderbirdだと勝手にゴミ箱に突っ込んでくれるから
メールを踏まずに捨てられる
6 :名前をあたえないでください:2008/01/23(水) 17:34:01 ID:BYZQljNr
おれもadminのまんまだわ
7 :名前をあたえないでください:2008/01/23(水) 17:35:09 ID:wzzU655w
ルーターのアドレスを
192.168.0.1を使わなければいい
192.168.0.1を使わなければいい
8 :名前をあたえないでください:2008/01/23(水) 17:38:05 ID:VNf4gTRe
うーん、何となくお前らこの話理解してないんじゃないか?
9 :名前をあたえないでください:2008/01/23(水) 17:42:15 ID:BYZQljNr
>>7
それどうすればいいの
それどうすればいいの
10 :名前をあたえないでください:2008/01/23(水) 17:43:42 ID:kxp+Q3Ed
メールはテキスト形式だけにすれば
問題ないんじゃね?
問題ないんじゃね?
11 :名前をあたえないでください:2008/01/23(水) 17:47:37 ID:wzzU655w
>>9
設定できる奴はできるだろ
Airstationシリーズとかは出来るだろ
プライベートIPアドレスっていくつかパターンがあるからそのへんをつかえ
* 10.0.0.0〜10.255.255.255(クラスA)
* 172.16.0.0〜172.31.255.255(クラスB)
* 192.168.0.0〜192.168.255.255(クラスC)
設定できる奴はできるだろ
Airstationシリーズとかは出来るだろ
プライベートIPアドレスっていくつかパターンがあるからそのへんをつかえ
* 10.0.0.0〜10.255.255.255(クラスA)
* 172.16.0.0〜172.31.255.255(クラスB)
* 192.168.0.0〜192.168.255.255(クラスC)
12 :名前をあたえないでください:2008/01/23(水) 17:55:30 ID:wGvRmhIk
ブラウザにしてもメーラーにしても
なんでJavaScriptが実行できる状態にしておくんだろう
なんでJavaScriptが実行できる状態にしておくんだろう
13 :名前をあたえないでください:2008/01/23(水) 17:56:18 ID:VNf4gTRe
>>11
仮にこの攻撃が、PCの参照するDNSのアドレスに対して送信するようになっていた場合には
ローカル側のアドレスを変えてもアウトなので、やっぱりルータに管理者パスワードを
付けておくのがいまのところ一番いいんじゃないか?
バッファローの例
http://buffalo.jp/download/manual/html/air970/top/chapter18-kisyu.html
仮にこの攻撃が、PCの参照するDNSのアドレスに対して送信するようになっていた場合には
ローカル側のアドレスを変えてもアウトなので、やっぱりルータに管理者パスワードを
付けておくのがいまのところ一番いいんじゃないか?
バッファローの例
http://buffalo.jp/download/manual/html/air970/top/chapter18-kisyu.html
14 :名前をあたえないでください:2008/01/23(水) 18:03:03 ID:wzzU655w
15 :名前をあたえないでください:2008/01/23(水) 18:09:21 ID:YLGXAom7
webコンソールにログインパスワードかければいいだけ
16 :名前をあたえないでください:2008/01/23(水) 18:34:27 ID:cU0Dssu+
メールしなきゃいいねん
17 :名前をあたえないでください:2008/01/23(水) 21:20:32 ID:dILU6iW4
NTTの寄越すCTUはIDとパスワードがめちゃめちゃな上に
変える事すら許されていないから大丈夫!!11!!!
変える事すら許されていないから大丈夫!!11!!!
18 :名前をあたえないでください:
HTMLメール読まなければ良いこと。
MSもいいかげん、Outlook ExpressはHTML不可にしろよ。
MSもいいかげん、Outlook ExpressはHTML不可にしろよ。