■SkypeのメッセージをMicrosoftが盗み見ている件アーカイブ最終更新 2013/05/25 01:011.名無し~3.EXEQ/ODlJy3http://gigazine.net/news/20130524-skype-backdoor-comfirmation/ドイツのニュースサイトハイス・セキュリティによって明かされたMicrosoftがSkypeのIMを閲覧していたという一件に失望した1人のネットユーザーアダムさんが、ハイス・セキュリティが使用した方法とは違い、より確実に判別できるやり方で、SkypeのIMがMicrosoftによって検閲されていることを確認しました。アダムさんが行ったテストは、まず初めにファイル名をサーチエンジンで検索しても絶対に検索結果として表示されないようにランダム生成された長いファイル名のPHPをセットアップ。このPHPに、自動的に特定のページにジャンプさせるMeta refreshタグを組み込んで、PHPをクリックするとマルウェアサイトにジャンプするように設定しました。また、argsおよびリフレッシュタグを含まないHTMLも作成。PHPのほうには?user=foo&password=barを介して、ユーザーネームとパスワードを譲渡。アダムさんは作成したPHPとHTMLの2つのリンクをSkypeのIMで友人のイアン・グリッグさんに送りました。グリッグさんには、送られてきたリンクを絶対にクリックしたらダメ!というメッセージも送信されたとのこと。アダムさんがSkypeのIMでリンクをグリッグさんに送信してから45分後に、下記のHEADリクエストがApache HTTPServerで確認されました。65.52.100.214 - - [16/May/2013:13:14:03 -0400] "HEAD /CuArhuk2veg1owOtiTofAryib7CajVisBeb8.html HTTP/1.1" 200 -65.52.100.214 - - [16/May/2013:14:08:52 -0400] "HEAD /CuArhuk2veg1owOtiTofAyarrUg5blettOlyurc7.php?user=foo&pass=yeahright HTTP/1.1" 200 -Apache HTTP Serverで確認された2つのログが意味することは、セットアップされたばかりでアダムさんとグリッグさんしか知らないはずのリンクに何者かがアクセスしたということです。しかもリンクはランダム生成された通常より長いものなので、アダムさんとグリッグさんのIMを読み取らない限り、誰にもわからないはず。誰がアクセスしたとのかということは、HEADリクエストに含まれるIPアドレスから判別可能。今回のテストでApache HTTP Serverに残されたログのIPアドレスはワシントン州レドモンドにあるMicrosoftを示す65.52.100.214でした。出典 https://mevius.5ch.net/test/read.cgi/win/13694113092013/05/25 01:01:491すべて|最新の50件
ドイツのニュースサイトハイス・セキュリティによって明かされたMicrosoftがSkypeのIMを閲覧していたという一件
に失望した1人のネットユーザーアダムさんが、ハイス・セキュリティが使用した方法とは違い、より確実に判別で
きるやり方で、SkypeのIMがMicrosoftによって検閲されていることを確認しました。
アダムさんが行ったテストは、まず初めにファイル名をサーチエンジンで検索しても絶対に検索結果として表示さ
れないようにランダム生成された長いファイル名のPHPをセットアップ。このPHPに、自動的に特定のページにジャ
ンプさせるMeta refreshタグを組み込んで、PHPをクリックするとマルウェアサイトにジャンプするように設定しました。
また、argsおよびリフレッシュタグを含まないHTMLも作成。PHPのほうには?user=foo&password=barを介して、ユー
ザーネームとパスワードを譲渡。アダムさんは作成したPHPとHTMLの2つのリンクをSkypeのIMで友人のイアン・グ
リッグさんに送りました。グリッグさんには、送られてきたリンクを絶対にクリックしたらダメ!というメッセージも送信
されたとのこと。
アダムさんがSkypeのIMでリンクをグリッグさんに送信してから45分後に、下記のHEADリクエストがApache HTTP
Serverで確認されました。
65.52.100.214 - - [16/May/2013:13:14:03 -0400] "HEAD /CuArhuk2veg1owOtiTofAryib7CajVisBeb8.html HTTP/1.1" 200 -
65.52.100.214 - - [16/May/2013:14:08:52 -0400] "HEAD /CuArhuk2veg1owOtiTofAyarrUg5blettOlyurc7.php?user=foo&pass=yeahright HTTP/1.1" 200 -
Apache HTTP Serverで確認された2つのログが意味することは、セットアップされたばかりでアダムさんとグリッグ
さんしか知らないはずのリンクに何者かがアクセスしたということです。しかもリンクはランダム生成された通常より
長いものなので、アダムさんとグリッグさんのIMを読み取らない限り、誰にもわからないはず。誰がアクセスしたと
のかということは、HEADリクエストに含まれるIPアドレスから判別可能。今回のテストでApache HTTP Serverに残
されたログのIPアドレスはワシントン州レドモンドにあるMicrosoftを示す65.52.100.214でした。