三菱電機でもウイルス感染 78
ストーリー by headless
攻撃 部門より
攻撃 部門より
防衛関連企業や官公庁へのサイバー攻撃が相次ぐ中、三菱電機でも社内のパソコンの一部がウイルスに感染していたことが判明した(47NEWSの記事、
NHKニュースの記事、
日本経済新聞の記事)。
ウイルスは社内ネットワークから外部にデータを送信するタイプのもので、標的型メールの添付ファイルを実行したことによる感染とのこと。同社によるとウイルスは既に駆除済みで、重要な情報の流出は確認されていないという。感染の時期や場所、規模等については明らかにされていない。
不審じゃないメールは開いてしまう (スコア:2, 参考になる)
サイバー攻撃 三菱電もウイルス感染 [tokyo-np.co.jp]
こういう標的型メールって一見すると不審じゃないから困るんですけどね・・
会社に実在する人の名前で、社内のメールフォーマットで、社内でしか使ってない用語が
入ったメールが届いたら、添付ファイルを開かない自信が無いです。
こういう場合、どうやって対策すれば良いんでしょう?
メールとかコンピュータに詳しくない人にもできる様な対策法を教えて頂けると幸いです。
完璧な対策はないと思う (スコア:1)
メールとかコンピュータに詳しくない人にもできる様な対策法を教えて頂けると幸いです。
ぶっちゃけ完璧には無理だと思う。
どれだけ不審なファイルを開かない実行しないようにと教育したところで、敵は不審じゃないように偽装してるわけだし、新人から定年間近の爺さんにまでそれを徹底させるのは難しい。
じゃあ技術的にどうにかするかと言っても、添付ファイルは全てブロック、URLとかも全てカット、なんてことはお客が絡む部署では難しい。
電子署名なりで差出人が正しいことを証明させるのも、同様に自社内では出来ても外部が絡むと難しい。
となると月並みですが、水際で阻止することは諦めて、
・各PC・ユーザーの権限/アクセス範囲を明確にする
・管理者権限を取り上げ、セキュリティーホールもふさいで、誤って開いてしまっても出来るだけ悪さされないようにする
・お客と直接やり取りする部署は重要な機密情報にアクセスできないようにする
・それ以外の部署は、外部とのやり取りを制限する
とかで、万が一の事態でも被害が最小限にとどまるようにするぐらいしかできないんじゃないかと?
# だからって、脊髄反射的に開発チームはインターネットアクセス禁止とかされると、それはそれで困るんだけど・・・
Re:完璧な対策はないと思う (スコア:1)
仕事のPCで出所が明らかでないバイナリ実行できる必要ないだろ。まさか今どきメールで自己解凍形式のlhz送ったりしないでしょ。
電子署名のないexeは実行できないようにするだけでいいじゃん。グループポリシーエディタか何かで設定できるでしょ。開発チームも自分で作ったexeに自分で署名すればいいよね。
三菱重工の際はPDFから (スコア:1)
関連リンクにある三菱重工の事件の際は、PDFにFlash Playerの脆弱性をつくウィルスを仕込んで攻撃が行われた [yahoo.co.jp]そうです。
となると、exeだけブロックでは不完全かと。
他のコメント [srad.jp]で一通りやり取りされている通り、まあアップデートしてれば大概問題ないわけではありますが、それでもゼロデイの危険性を考えると100%安全とは言い切れません。
そう考えると、添付ファイルのブロックも対策の一つではありますが、そこだけに拘らず、多層的に防御した方がよいでしょう。
(いや権限なんて、標的型メール攻撃とか関係なくそもそもちゃんと設定/管理すべきものだけど。)
Re: (スコア:0)
LHAのフォーマットにセキュリティホールとかあったような。
WordやExcelのファイルのマクロとか。
PDFもReaderのセキュリティホールを突かれることあるし。
HTMLメールもIEのエンジン次第では。
Re:完璧な対策はないと思う (スコア:1)
Outlook は 2007 以降、IE のセキュリティーホールの影響を受けないよう、独自の HTML レンダリングエンジンを積んでいたりします。
そうはいっても GDI のセキュリティーホールなんかで GIF や JPEG の穴が、とかはあるので侮れませんが。
Re:完璧な対策はないと思う (スコア:1)
ねえ、ゼロデイ攻撃ってどういう意味?
Re:不審じゃないメールは開いてしまう (スコア:1)
ふっふっふっ、ホストのウインドウズ上でアンチ・ウィルスソフトのチェックが入った後に、
vmware上のUbuntuでファイルを読む俺は勝ち組か。
会社の場合は仕方ないよね。使うソフトも選択できない場合があるし、
どうしてもアンチ・ウィルスソフト頼みになってしまう。
Re:不審じゃないメールは開いてしまう (スコア:1)
一般向けな ISP では難しいかもしれませんが、社外>社内の SMTP でメールの貼付部分を削除、あるいは問題のない形式に強制的に変換してしまうってできないのでしょうか?
イレギュラーな添付があればメールにその旨表記して、別途精査の上取得できるようにする、とか。
ビジネスメールに添付される文書なんて、ある程度決まったフォーマットなんだから、対応もそんなに難しくない気がするんだけど
ん? 俺、今何か言った?
グループウェアが入っているなら (スコア:1)
掲示板なり会議室なりを作って、利用者を制限する。で、配布したいファイルなどは掲示板等で行う、というのではどうだろう。
たとえば伊藤さんが秘密のファイルを加藤さん、工藤さん、近藤さんに配布したい場合は、伊藤さんがオーナーの掲示板を作成し、加藤さん、工藤さん、近藤さんに利用許可を与え、そこで秘密のファイルを配布する。
掲示板開設の案内はテキスト・オンリーのメールでもいいし、各人に手書きメモを配布してもいい。
公開鍵暗号システムとディレクトリ・サービスを組み合わせて、発信元の個人を確認できるようにするのが簡単だろうか・・・・。
問題はスパイが組織内にいた場合だけど、これは技術的な方法では無理だよね。
Re: (スコア:0)
ファイル添付機能を使わない習慣にする。
告白するのはバカ正直な会社と・・・ (スコア:2)
他にも有名企業でやられたというウワサを見聞きするのですが、
表には出てきません。
セキュリティ商品扱っているのに世間体が悪いとか、商売に差し支えるとか
いろいろウラの理由があるのかもしれませんが、出てきているのは
氷山の一角みたいな感じですね。
情シスの実力ってこんなものなんですかねぇ。
Re:告白するのはバカ正直な会社と・・・ (スコア:3, 興味深い)
情シスの実力ってこんなものなんですかねぇ。
某大手電機会社の過去の事例ですが、情シス部門の前身は経理部情報管理課ですから、元々メインフレームの運用(と言っても子会社に丸投げw)をしていたところですから、無駄に権力あるのに、システム運用の実力なしってところでした。
意思決定もトップダウンで行われるため、弊害でまくりでしたね~。
以下些細な事例ですが…
・新規にPCを手配すると、半年~1年くらい前のインストールイメージから展開し(WindowsUpdate
とかウィルスパターンファイルの更新なしに)配布
(Blaster等に感染したPCがいる場合、感染が早いかウィルスパターンファイルの更新が早いかの賭けになります。実際それで感染したパターンもありw)
・実際そのBlaster関連の対応の場合、SMS(System Management Service)を使用してパッチ配布→インストールを実施(SMS管理対象外は各責任者に通達)。
一見まともそうに見えますが、PDCAサイクルが回せてませんので、未対応PCが残りました。
(Checkサイクル回す気がありませんから、MS謹製パッチ未適用PCスキャナの存在なんぞ知りません)
半年位後、その環境下でお隣の部署がOS再インストールしたPCを接続(ま、これもWindowsUpdateしなかったのですがorz)したものですから、当然即日Blasterに感染しましたw
(どうやって見つけたかと言うと、Norton Internet SecurityをインストールしたPCがレポートくれたので判ったと言う話です)
情シス部門に「何でチェックしない?(当然MS謹製スキャナの情報を添付)」と文句を言うと「SMSで配布。未対象は通達済みなので問題なし」と返事をしてきた。
仕方がないので、情シス部門内をスキャナでチェックして、「おめーのとこのxxサーバが未対策なのに、どこが問題無しじゃい(意訳)」と返したら、以降返事が無くなったorz
(後日、そのxxサーバがパッチ適用したのも確認済み)
今はどうか知りませんが、少なくとも情シス部門が専門家集団等という幻想は抱かない方が良いかもしれません。
Re:告白するのはバカ正直な会社と・・・ (スコア:1)
Re:告白するのはバカ正直な会社と・・・ (スコア:2, すばらしい洞察)
#2042099です。
大手企業だろうと中小企業だろうと、最低限のセキュリティ維持は、正しくPDCAサイクル回せれば、精鋭部隊なんて必要ないです。
#情報収集だって、セキュリティホールmemo経由で集めていれば十分じゃね?
あとは、個別事案(アプリケーションのパッチ適用可否等)に対し、それぞれの運用ルールを策定し、確実に実施していけばおk。
#少なくとも、Adobe ReaderやFlash playerのセキュリティ・ホール突かれるなんて論外じゃんw
以下余談
今回の標的型メールだって、昨日今日始まった話じゃなく、5年以上前から「スピア攻撃」 [nikkeibp.co.jp]って言っていたものだし、本質的には従来のメール配布型ウィルスと何も変わっていない(単にメールを開く際の心理的ハードルを下げただけ)。
言い方変えれば、単に「振り込めサギ」や「社長の名を騙る電話」と同一レベルの話でしかない。
ウィルス対策の程度 (スコア:2)
それともウィルス対策ソフトの防御範囲を超える連続ゼロデイ攻撃なのか
どうなんだろう?
Re:ウィルス対策の程度 (スコア:1)
企画部の人とか総務部の人とか決める人達がよくわからないからソフトメーカーの営業トークにダマされていると思ったほうがいい。
基本的に、セキュリティパッチをWindows以外でもちゃんと当てていれば
ほとんどの場合、セキュリティホールを突いた感染はしない。そのくらいゼロディ攻撃ってのは少ないのです。
問題になるのはセキュリティホールを突かないケースだけど
この場合、アンチウイルスソフトでもほとんど防ぐことは難しいのでやっぱり空気。
とは言ってみたけれど、
大きい現場になるとソフトウエアのアップデートは一切できない場合も少くないので、企業の場合、アンチウイルスソフトは必要になってしまうのも確か。
んで、今回はアンチウイルスソフトで防げなかったケースなんじゃないかなー
ゼロデイならもっと全面的に出してくるだろうし。
単なる予想ですが。。。
Re:ウィルス対策の程度 (スコア:1)
おまけにマイナスモデレートまでされるかも。
Re:ウィルス対策の程度 (スコア:1)
一度つぶれてもかまわないところで適当なトロイなどを走らせてみることをおすすめします。
アンチウイルスソフトはしっかりと「事後報告」だけしてくれますよ
Re:ウィルス対策の程度 (スコア:1)
Re:ウィルス対策の程度 (スコア:1)
中に通ってる人ですが、ウィルス対策ソフトはちゃんと入ってますよ。
ちなみに身近で感染者出ましたが、そのケースでは何故かライセンスが切れてて
定義ファイルが更新されてなかったのが原因っぽい。
どうも数ヶ月前に作業場所を変更したんだけど、その時設定がおかしくなってた模様。
#流石にAC。
機密度の高いファイルを取引先とやりとりするときに (スコア:2, 興味深い)
自己実行型の暗号化ファイルにして送りつける慣習はなくなってほしいと思う今日このごろ・・・
三菱もそんな暗号化ソフトを使ってますよね。自業自得。
聞き覚えのある略称だと思ったら (スコア:1)
岡崎市立図書館の件 [impress.co.jp]で話題になったベンダーが子会社か。
Re:機密度の高いファイルを取引先とやりとりするときに (スコア:1)
>アホちゃうかあいつら
機密の漏洩が!
Re:機密度の高いファイルを取引先とやりとりするときに (スコア:1)
毎回気になるんですが (スコア:1)
重要な情報の流出は確認されていない
「重要な情報の流出はない」と断言していないところからすると、単に「俺は知らない」って言ってるだけのような気がしてならないのですが、こんな体たらくで企業が企業として存続して良いものなんでしょうか?
それとも、「ま、ほぼ間違いなく漏れてるんだけどな」っていう暗黙の表現なんでしょうかね。
Re:毎回気になるんですが (スコア:4, すばらしい洞察)
よそ様から「おたくの会社はウイルス感染してないって断言できる?情報流出してないって断言できる?」って聞かれたら
普通の会社なら「調査しましたが感染も流出も確認されていません」としか答えられんでしょう。
「感染も流出もしていません」と断言できるのは詐欺師紛いのことをしている連中だけです。
Re:毎回気になるんですが (スコア:3, おもしろおかしい)
「うちには重要な情報などないッ」(きりっ
と言っているのかもしれませんよ (^^;)
fjの教祖様
Re:誠意ある会社なら (スコア:3)
また今後ともこのような事態を起こさないために、社長直属の調査委員会をもうけ、具体的な対応策を**月**日までに決定いたします」
てけとーに書いたけどさ、
普通だったら、なにをいつまでに誰がどうやってやるのかぐらいハッキリさせるでしょ。
社内流出ならまだしも、他人の情報を漏らしておいて「今後は重々気をつけます。おわり」ですませる企業が多すぎると思う。
それに他社の発表テンプレートをそのまま使って、まるで「訴状が届いていないのでコメントできない」みたいな感覚で、
お手軽に返答してるケースも多いしね。
つまりは以下にネットリテラシーが低いかをよく表してる現象だと思う。
Re:誠意ある会社なら (スコア:1)
Re:毎回気になるんですが (スコア:2)
単に流出していないことを確認するのが不可能なだけでは
Re:毎回気になるんですが (スコア:2)
サイバー攻撃 三菱電もウイルス感染 [tokyo-np.co.jp]
添付ファイルを開いたクライアントには機密情報がなかったって話だろ。
# 根拠もなく「こんな体たらくで」と叩くACにはうんざりなID
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
それならそうと正直に言えばいいと思います。
セキュリティ事故対策の基本中の基本でしょう。
Re:毎回気になるんですが (スコア:1)
>とあるようにPC一台が感染して、その中の情報を調べて終わりという程度のレベルではありません。
そんなの分かっているが。
でも「保護が必要な軍事関連の製品や技術も含めて重要な情報」はその社内ネットワークに置いてなかったって話。
メールもエロ動画も1台のPCで済ませているおまえんちとは違うんだよw
モデレータは基本役立たずなの気にしてないよ
Re:毎回気になるんですが (スコア:1)
> 中途半端に発表するから・・・
初報から完璧に調べて「絶対に情報は流出していない」なんて断言するとインパクトが大きすぎるから。
最初のうちは「機密情報の流出は(現時点ではまだ)確認されていない」
としておいて、そろそろほとぼりが冷めた頃に「やっぱり流出してました」とこっそり発表する方が批判が少ない。
先の三菱重工の例なんてまさにそれだよね。最初は「防衛情報の流出は確認されていない」としておいて、安心させておきながら、みんながそれを忘れた頃に「実は防衛情報も流出してました。テヘッ」、とやっても、もう誰も注目しない。
Re: (スコア:0)
重要な情報が流出した証拠はないけど、流出してないと言いきれる証拠も揃えられない(はっきり言って無理)、というだけでしょ。
まあ、『ネットワークでつながっている範囲に重要な情報がありました』くらいに読んでおけばいいんじゃない?
#ピンポイントで狙われるくらい重要な情報?技術?があるだけ羨ましい、とか思ったりする。
インシデント事例が来たぞー!勝機だ! (スコア:0)
と、シマンテックが日本市場に向けて発売してなかった「Symantec Web Gateway 5.0 [symantec.com]」とこれを2週間利用して脅威を可視化する「ボットネット活動調査サービス [symantec.com]」を始めましたよ。
まあ、しょうがないんだけど火事場泥棒というか、火事場商法と言うか………
こんなこともあろうかと (スコア:0)
ボットの検出により標的型攻撃を阻止する最新版アプライアンス「Symantec Web Gateway 5.0」を発売 2011 年 10 月 27 日 [symantec.com]
ことが公になる前日に発表しておいたというわけですか、なるほど。
今後予想されそうなコメント (スコア:0)
「いやだから他人顔じゃなくって他人なんですって」
三菱電機の関係者様からは
「人ごとだと思ったら大間違いだぞ」
というコメントが来るでしょう。グループ外の人から見ればもう勝手にやってろという意識ですが。
Re:今後予想されそうなコメント (スコア:1)
そこで三菱鉛筆の人はどういう顔をするのでしょうか。
Re:今後予想されそうなコメント (スコア:1)
Hな顔じゃないですかね。
Re:今後予想されそうなコメント (スコア:1, おもしろおかしい)
三菱鉛筆「他人なんだってば!」
Re:今後予想されそうなコメント (スコア:2, おもしろおかしい)
今の東京三菱銀行の前身である三菱銀行も、元を辿れば
三菱鉛筆資金部が独立・分社してできたもの。
現在の三菱商事も、そもそもの淵源は三菱鉛筆販売部が
販路を世界に拡大するために分社化して設立された。
三菱倉庫は、三菱鉛筆が製品の鉛筆を保管しておくために
建てた一棟の倉庫がルーツとなっている。
三菱重工業も、三菱鉛筆が鉛筆製造の機械をドイツからの
輸入に頼っていたのを自社生産すべきだとなって社内に
設立した三菱鉛筆機械製作所が、他の機械の生産も手がける
ようになり、その後拡大に拡大を重ねて現在のような大企業にまで成長した。
また、日本光学(現ニコン)は三菱鉛筆が鉛筆を切断する際、より高速に
切断できるように非接触で長さを測れる測距儀を製作したのが始まりである。
三菱地所は、三菱鉛筆が将来の事業拡張に備えて確保して
おいた用地を自社で使う予定が変更になったため、ビルを
建設して賃貸に出し利益を上げようと設立した三菱鉛筆不動産部が発展したものだ。
また,三菱鉛筆は、早い段階から社員の福利厚生にも注力
していたが、特に力を入れていたのが社員の家庭を守る
ための生命保険制度で、この三菱鉛筆独特の生命保険制度が
今日の明治生命保険の母体となっていることは周知の事実であろう。
ある年の冬に倉庫が全焼して鉛筆10万本も焼失した。これを契機に損害保険業務子会社をつくり後に東京海上となった
三菱製紙は鉛筆製造時に発生する木屑を有効利用する事業として始まった。
三菱樹脂はシャープペンの芯に混ぜ込む樹脂の研究チームが独立した。
三菱マテリアル(旧三菱金属)はボールペンや消しゴム付き鉛筆に使う金属素材の調達部署であった。
三菱化学は鉛筆装着用消しをゴム開発することからスタートした。
麒麟ビールは鉛筆の芯に使用する黒鉛を製造する際の熱源として
当時使われていた麦わらの麦の有効利用のため創業された。
……というコピペが優秀だよね。騙されそうだ。
Re: (スコア:0)
他人顔って何?
Re: (スコア:0)
俺の息子は他人である隣のオッサンに顔が激似なのだが
これは他人顔?
Re:今後予想されそうなコメント (スコア:1)
それは普通の遺伝かもですね。
Re: (スコア:0)
?本当に無関係にしか見えないんだけど。三菱鉛筆も混ぜる?
アサヒビールが不祥事起こしたら朝日新聞に抗議するのかな?こういう人は。
オウム真理教が大問題になってるとき、技術出版のオーム社が
嫌がらせされまくって大変だった話を思い出しましたw
アレル (スコア:0)
除菌エアコンの販売に影響するのではないか
流出していないことを証明するのは (スコア:0)
流出したことを証明するより遥かに難しい。
不可能と言っても過言ではない。
インターネットに接続されている全てのコンピュータが同じ状況にある。
流出は確認されていないというのは詭弁である。
確認できないのだ。
Re:流出していないことを証明するのは (スコア:1)
外部に漏らすと無かった事になるが、社内に洩れると蜂の巣を突いた様になる
ふしぎ!