Top > old-topics
  • The added line is THIS COLOR.
  • The deleted line is THIS COLOR.
  • Go to old-topics.

#freeze
TITLE:過去のTopics
**[[WPA>http://ja.wikipedia.org/wiki/Wi-Fi_Protected_Access]] [#e1298cc9]
WEPの解読でおなじみの[[森井昌克氏(神戸大学大学院 工学研究科)>http://srv.prof-morii.net/~morii/]]が、WPAも攻略したようです。

以下、[[無線LANのWPAをわずか数秒から数十秒で突破する新しい攻撃方法が登場、早期にWPA2に移行する必要あり - GIGAZINE>http://gigazine.net/index.php?/news/comments/20090805_attack_on_wpa/]]よりの引用です。

>
今回の方法は昨年11月に発表された「Tews-Beck攻撃」(WEPのTKIPにおいて辞書攻撃ではなくプロトコルの不備をつくことによって、15分前後かかるが、鍵の一部を確定的に導出できる方法)がQoS制御を利用する機器に限定されるものであり、鍵の導出に15分もの時間が必要であったのに対して、わずか数秒から数十秒で導出してしまうことができるというもの。~
~
このWPAについての実践的な攻撃方法は8月7日に「A Practical Message Falsification Attack on WPA」という題目で、台湾にて開催される国際会議 JWIS2009(Joint Workshop on Information Security )にて大東俊博氏(広島大学 情報メディア教育研究センター)と森井昌克氏(神戸大学大学院 工学研究科)によって発表される予定となっています。
<

GIGAZINEの記事によると、WEPからWPAへの移行よりもWPA2への移行のほうがハードルが高いとのこと。~
~
物理的かつ精神的に安心して無線LANを運用できる日は来るのでしょうか。


-関連リンク
--[[研究会 - 無線LAN暗号化WPAへの改ざん攻撃の実装と評価>http://www.ieice.org/ken/paper/20090925faPH/]]

***追記 1 &new(){2009/08/22 08:32:00}; [#q69ee461]
-[[WPA/TKIPへの攻撃,その対策(現実編)|神戸大学 教養原論「情報の世界」講義(大学院工学研究科 森井昌克 教授)>http://ameblo.jp/prof-morii/entry-10325842713.html]]


***追記 2 &new(){2009/09/27 18:48:00}; [#b399b29d]
-[[高木浩光@自宅の日記 - 「WPA-TKIPが1分で破られる」は誤報>http://takagi-hiromitsu.jp/diary/20090926.html]]~
論文の中身を正確に報道していなかったということでしょうか?~
~
当方も中身を精査しないまま記事を取り上げたことを深くお詫び申し上げます。

#br

**[[MD5>http://ja.wikipedia.org/wiki/MD5]] [#abf0bfca]
明けて2009年早々、悪いニュースがIT業界内で駆け巡っています。~
MD5が抱える脆弱性を悪用して、最新のブラウザであっても「信頼できる」と認識して受け入れてしまうSSL証明書のニセモノを''Play Station 3''を200台組み合わせたシステムで生成することに成功したというものです。~
~
-[[MD5 considered harmful today>http://www.win.tue.nl/hashclash/rogue-ca/]]~
-[[MD5コリジョンでインチキ認証局は作れる(ネットにとっては悪い報せ)>http://jp.techcrunch.com/archives/20081230md5-collision-creates-rogue-certificate-authority/]]~
-[[スラッシュドット・ジャパン | SSLで使われる証明書の偽造に成功、200台のPS3でMD5をクラック>http://slashdot.jp/security/article.pl?sid=09/01/02/0928204]]~
-[[不正サイトでの悪用も:SSL証明書の偽造に成功、ハッシュ関数の脆弱性を応用 - ITmedia エンタープライズ>http://www.itmedia.co.jp/enterprise/articles/0901/06/news030.html]]~
-[[サーバID - MD5アルゴリズムへの衝突攻撃によるSSLサーバ証明書の偽造に関する報道について | ベリサイン - SSLサーバ証明書>http://www.verisign.co.jp/ssl/about/20090106.html]]~

#br

**[[WEP>http://e-words.jp/w/WEP.html]] (Wired Equivalent Privacy) [#z5d091e2]
以前からWEPは脆弱で簡単に破られる、というのが常識になっていましたが未だに広く使用されています。~
理由のひとつに「解読手法が特殊((ARPパケットを大量(40,000パケット以上)収集する必要がある。現実的には非常に困難))」というのがあると思います。すなわち、「脆弱であるのは理解しているが、別の方式にリプレースするのはいろいろ大変だし、現実的には解読は難しいというし。。。」という心理が影響しているようです。
しかし、もうそんなことを言ってられないようです。~
~
2008年10月7日に''[[WEPを一瞬で解読する方法...CSS2008で「WEPの現実的な解読法」を発表|神戸大学 教養原論「情報の世界」講義(大学院工学研究科 森井昌克 教授)>http://ameblo.jp/prof-morii/entry-10148520792.html]]が公開され、フォロー記事として[[一瞬にして無線LANのWEPを解読する方法がついに登場、まもなく解読プログラムを公開予定 - GIGAZINE>http://gigazine.net/index.php?/news/comments/20081013_wep_morii/]]が公開されました。~
~
記事によると、今回発表された手法を用いることによって、任意のIPパケットを20MB程度観測するだけで、わずか10秒ほどで104bit WEP鍵の導出に成功したそうです。~
~
関連記事
-[[英Sophos、WEPの利用禁止を呼びかけ>http://internet.watch.impress.co.jp/cda/news/2008/10/09/21123.html]]
-[[「WEPは10秒で解読可能」、神戸大と広島大のグループが発表>http://internet.watch.impress.co.jp/cda/news/2008/10/14/21162.html]]-[[「WEPを一瞬で解読する方法」を研究者グループ発表 プログラムも公開予定 - ITmedia News>http://www.itmedia.co.jp/news/articles/0810/14/news020.html]]

**[[経済産業省 CHECK PC!>http://www.checkpc.go.jp/]] &new(){2009-01-31 21:24:00};[#z1415f7a]
経済産業省によるPCのセキュリティ啓蒙キャンペーンが2009年2月2日から2月28日まで実施されます。

以下、「CHECK PC!」サイトより引用。
>&size(16){''2009年「CHECK PC!」キャンペーン概要''};
~
2009年2月から、キャンペーンキャラクター「セキュリーナ」を起用した、情報セキュリティ対策に関する普及啓発活動を実施します。~
-情報セキュリティ対策の重要性を訴える交通広告、新聞広告等の実施。
-ポスター等の配布。
-[[セキュリーナ広告ポスター>http://www.checkpc.go.jp/about/poster.html]]
-キャンペーン専用サイト(www.checkpc.go.jp)を開設し、自らの大切なパソコンを守るための基本的な情報セキュリティ対策をわかりやすく掲載。

#br

**SQLインジェクション [#aa5dbc50]
-[[【CSL】CSL緊急注意喚起レポート~新手のSQLインジェクションを行使するボットの確認~ | LAC>http://www.lac.co.jp/info/rrics_report/csl20081002.html]]
--IDS/IPS/WAF2などの防御システムをすり抜ける新手のSQLインジェクション攻撃だそうです。
**DNS (Domain Name System) [#g0d885f3]
-[[情報処理推進機構:情報セキュリティ:脆弱性対策:DNSキャッシュポイズニングの脆弱性に関する注意喚起>http://www.ipa.go.jp/security/vuln/documents/2008/200809_DNS.html]]
--この脆弱性への対策状況がよろしくないが故の更なる注意喚起です。
-[[複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性に関する注意喚起 >http://www.jpcert.or.jp/at/2008/at080014.txt]]
--2008-07-24付改訂版。脆弱性を抱えているDNSに対する攻撃手法が予想外に早く公開されてしまったので、改めての注意喚起。
-[[複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性に関する注意喚起 >http://www.jpcert.or.jp/at/2008/at080013.txt]]
--2008-07-09 JPCERT/CC発。リンク先の「更新: 2008年7月11日追記」に特に注意のこと。単にDNSをバージョンアップするだけでは片手落ち。ファイアウォールの設定見直しも忘れずに。
**[[外来語のカタカナ表記における長音記号について>http://d.hatena.ne.jp/nilfigo/20080725/1217014588]] [#ka68d458]
セキュリティの話題ではないのですが。~
-[[マイクロソフト製品ならびにサービスにおける外来語カタカナ用語末尾の長音表記の変更について>http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3491]]
-[[マイクロソフト ランゲージ ポータル - ダウンロード>http://www.microsoft.com/language/ja/jp/download.mspx]]内のリンク'''「マイクロソフト 日本語スタイル ガイド」'''で、さまざまな表記の定義がダウンロードできます。
**SHA-1 [#v6bfd328]
-[[すべてはここから始まった~SHA-1の脆弱化 - @IT>http://www.atmarkit.co.jp/fsecurity/rensai/crypt01/crypt01.html]]

**Struts (Apache Struts 2) [#c051252c]
-[[Release Notes 2.0.11.2>http://struts.apache.org/2.0.11.2/docs/release-notes-20112.html]]
-[[Strutsにセキュリティ更新、全ユーザにアップデート推奨 | エンタープライズ | マイコミジャーナル>http://journal.mycom.co.jp/news/2008/07/14/030/index.html]]
--Strutsなシステムに関わっている方は是非ご参照ください。
**JPCERT [#af86e594]
-[[情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイト運営入門>http://www.ipa.go.jp/security/vuln/7incidents/]]
--一度お試しあれ。
#br

Reload   Unfreeze Diff Copy Rename   Front page List of pages Search Recent changes Backup Referer   Help   RSS of recent changes