メール添付型の攻撃は99%脆弱性を悪用しない 22
ストーリー by hylom
直球でも数打ちゃ当たる 部門より
直球でも数打ちゃ当たる 部門より
あるAnonymous Coward 曰く、
日本IBMが、2014年下半期(7月から12月)における国内のサイバー攻撃の動向をまとめた「2014年下半期Tokyo SOC情報分析レポート」を公表した。それによると、メール添付されるウイルスなどの攻撃ファイルのうち、ソフトウェアの脆弱性を突くのはわずか1.3%で、脆弱性を悪用しない攻撃がほとんどだったそうだ(日経PCオンライン)。
脆弱性を悪用しない攻撃ファイルのうち、59.9%は単純な実行形式ファイルで、38.8%は悪質なマクロを含むOfficeファイルなどだった。脆弱性を悪用しないメール攻撃が多い理由として、添付ファイルを利用する攻撃では脆弱性悪用の有無にかかわらず、ユーザーにファイルを開かせる必要があるためだろうとしている。
ユーザーの脆弱性 (スコア:3, すばらしい洞察)
いや、言ってみたかっただけ。
# 爆言のち漏電中… :D
Re:ユーザーの脆弱性 (スコア:1)
だよな。ユーザが最大かつ最悪の脆弱性だよな。
Re: (スコア:0)
このソフトウェアは脆弱性を取り除きます。
……そして、誰もいなくなった。
Re: (スコア:0)
実際のところ人が人である以上、取り除けない。
最後は人間だとblackhat/defcon等でももう何年も言われ続けてるわな。
Re: (スコア:0)
ゼロにはできないかもしれないけどある程度は取り除けるやろ。
無人システムだって良いしな。
# そして自我を獲得した無人システムが人類を不要と判断し(以下略
Re: (スコア:0)
>このソフトウェアは脆弱性を取り除きます。
その手の文言が有るだけで、セッセと誰が送って来たかも知れないソフトを自分で入れちゃう人の多さったら・・・。
最初は何年も仕事でPCを使っているのなら、そんな物は見向きもしないのが当たり前って思っていたけど、現実的には。
Re: (スコア:0)
Targeted Attackだよね
人間系を突くのはセキュリティの基本やろ
直球? (スコア:1)
何故「下手な鉄砲」じゃないんだろう。
Re:直球? (スコア:1)
クリックさせることが成功するなら、込み入った手段をとる必要がないということなのでは。
Re: (スコア:0)
分身魔球(ただしどのボールも本物)を投げて、素人が振り回したバットに当たることを期待しているのでは。
#それはピッチャーとしてどうなんだ
傾向と対策 (スコア:1)
それに、そんな便利な脆弱性が放置されて、ごろごろと転がってはいない。
そもそも、サーバへの攻撃と違い、脆弱性を悪用しなくったって、受信者が実行してくれれば、こっちのもの。
もしかしたら、脆弱性を狙うことでウイルス対策ソフトに検知されやすくなるかも?
やはり、社内のルールで、メールへの添付ファイルは禁止しましょう。
せめて、実行ファイルの添付は禁止しましょう。
Re: (スコア:0)
脆弱性を突いて任意のコードを実行する場合脆弱性の突き方にバリエーションつけるのも大変ですし、
そもそも「既知の脆弱性を突く破損データ」というパターンにマッチする可能性が高いですから。
バイトコードの解釈結果として脆弱性を突くケース位じゃないとなかなかバリエーションが作れません。
その場合にしても攻撃コードを生産し続けないと駄目だし、脆弱性が修正されたら攻撃成立しないし。
標的型攻撃でどうしても突破しなければならない場合はともかく、
ジュアルユーザが引っかかる程度の攻撃を量産したほうがアンチウィルスの回避率も攻撃自体の命中率も稼げるんでしょうね。
実行ファイルの添付は禁止 (スコア:0)
相手が暗号化するソフトで毎回、実行ファイルで添付されるのをなんとかしたかったので
exeファイルやめてほしいと伝えるとexe_になって添付されてきた。そういう意味じゃないw
※これで慣らされてる人へ、暗号化ファイルだよって送れば開いてしまわないだろか
Re: (スコア:0)
あなたは今、慣らされている過程にあるのです。
単純な話 (スコア:1)
感染Vectorがメール、しかも添付ファイルに限定するのであれば、自らの意思でファイルを開く必然性が高いわけで、その前提であればわざわざ脆弱性を悪用する必要がない…ISS(IBM)も言ってますがただそれだけの話。そしてこういうののほとんどは経路上で検知されて消えていくわけで、それに言及する事自体「?」と感じます。まぁプロダクトを売る上でのセールストークになるかな?
もう一歩踏み込むと、本気で感染させたい、何かしたいという意思がある場合、メールであってもやっぱり脆弱性を悪用してくる、一定の工夫をしてくるケースが多い実感です。そういうのは、エンドに到達してきますよ。
#IBM 東京SOCもISSの頃に比べるとコアメンバーの離脱もあり、なんだか覇気と元気を感じなくなったな。
#昔は東京SOCレポートが情報源として有用だったのだが。
相手に落ち度を持たせる (スコア:0)
自動実行で単に攻撃してしまうと被害者は「明らかに被害を受けた立場」を手に入れることが出来るため、
被害報告への心理的ハードルが下がります。
もうお察しでしょうが、逆にファイルを開くという一手間によって、
自分の方に落ち度があったと感じてしまうことから被害を届けにくくさせる狙いがあると考えられます。
#落ち度はどのくらい首をかしげているのでしょうか。ポロリ?
clamav-milter「せやな」 (スコア:0)
昔、PostfixにAMaViS + McAfeeでやってた頃は怪しげなメールはガンガン引っかかって、相手が顧客だろうとMLだろうとAMaViSがバンバン警告メール撃ちまくるからそっちの対策の方が大変だったのに、Postfixにclamav-milterオンリーにした頃から全然全くこれっぽっちも引っかからなくなった。
だからといってウィルスやマルウェアが飛んでこなくなったわけではなく、DetectPUAからOLE2BlockMacros、更にはHeuristicScanPrecedenceからDLPまで全てオンにしてるのにもかかわらずこの体たらく。
それどころかPhishingScanURLsかけてるにもかかわらず、うちの上司なんぞpaypal-update.comからUFJをかたった詐欺メールにまでまんべんなく配信されてた。
ClamAVのザルっぷりは異常。ClamAVはeicarのテストウィルスしか検知できないんじゃないかと本気で疑うレベル。
あんだけザルのくせして、一体なにに常時500〜600MiBものメモリを使ってるんだか・・・・
それはそれとして「メール添付型の攻撃は99%脆弱性を悪用しない」とかいうヨタ記事を書く為に利用した対ウイルスソフトの名前が知りたい。
ClamAVを使った経験から書いたのなら、そりゃそうだろうよ(笑)
Re:clamav-milter「せやな」 (スコア:1)
「攻撃ファイルがアンチウイルスに検出されない」と「攻撃ファイルが脆弱性を利用しない」は別の話だと思うが。
当たり前じゃ? (スコア:0)
としか思えないんだが、脆弱性サポートをネタに商売したい向きには不都合な真実だったりするんだよなこれが。
Re: (スコア:0)
遠隔操作ウィルスという名のトロイ(脆弱性無関係)に引っかかって誤認逮捕されてた人が、通信を監視していたのでウィルスに気付いた、とか、なんか偉そうに語ってましたねえ。
Re: (スコア:0)
こういう記事見せて、「ソフト入れて安心なんて言ってるようじゃ駄目ですよ、
コンサルティングサービスも一緒に必要ですよ」って言えるようじゃないと、
商売なんて出来ないよ。
国内のサイバー攻撃の動向と個人情報保護法 (スコア:0)
Kddi の auone http://auone.jp/ [auone.jp] は利用者の閲覧履歴を勝手に収集しているらしい。個人情報保護法に完全に抵触している。
更に履歴の削除も全く出来なくなっており、利用者情報を違法に蓄積しているそうだ。
被害が拡大する前に、消費者庁に通報した方が良いんじゃないかと。
ベネッセの様に悪用する輩が現れたようだ。
稲盛会長の奥さんは韓国人財閥なので、反日カラーが強いとも言われている。