パスワードを忘れた? アカウント作成
12284030 story
セキュリティ

東京都職員のPCでウイルス感染、修正までの隙を突かれる 74

ストーリー by hylom
一週間は大きい 部門より
maia 曰く、

東京都は21日、職員のPC計9台がウイルスに感染したことを発表した。Webサイトに表示される広告バナー経由で「表示されるだけで感染する」プログラムによって感染したという(産経新聞)。現時点で被害は確認されていないとのこと。東京都によると「修正プログラムが正しく機能するかテストし、すべてのPCに適用するには1週間ほどかかる」とのことで、その間に被害が発生したようだ。

パッチを当てるのに1週間もタイムラグがあるようでは、まったく意味をなしてない。Firefoxのように一時的にでも遮断すべきだった。できればFlashの全面廃止が望ましい。おそらくJavaも。

また閲覧先は不届きなサイトではないとのことだが、不届きな広告を配信したことの責任は、広告システムを提供している会社にはないのかな。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • > パッチを当てるのに1週間もタイムラグがあるようでは、まったく意味をなしてない。
    なぜ意味をなさないのでしょうか?

    即急な対策ができない問題はありますが、
    一週間後であってもパッチをあてるのは意味はあります。

    • by Anonymous Coward
      即死した人間を病院に運んでどうすんだよ。行き先は火葬場。
    • by Anonymous Coward

      もし、今回のケースが0-dayでなかったとしても、一週間という時間は長すぎると思います。

      ブラウザ攻撃の94%は脆弱性公開後24時間以内に発生
      http://www.atmarkit.co.jp/news/200807/30/ibm_iss.html [atmarkit.co.jp]

      • by Anonymous Coward

        問題は意味があるかないかで

        一週間経つとパッチが意味をなさなくなるのはなぜだろう?

  • by ymasa (31598) on 2015年07月24日 12時38分 (#2852482) 日記

    http://mainichi.jp/select/news/20150722k0000m040035000c.html [mainichi.jp]

    東京都は21日、主税局などの職員が使うパソコン(PC)端末9台がウイルスに感染し、うち4台に都税の還付を受けた約2700人分の住所や氏名、口座番号などの個人情報が含まれていたと発表した。外部への情報流出は確認されていない。

  • そんな丸ごとマルウエアなWEBサイトってどこなんだ、と思ったら

    都によると、感染経路は朝日新聞や読売新聞のニュースサイトに表示されたバナー広告のほか、厚生労働省の外郭団体「安全衛生技術試験協会」のホームページ(HP)など。

    広告掲載する際に内容は精査しないのか、できないのか、しなくてもいいのか。
    実際広告を表示させてるのはまた別の会社なんでしょうけど、そっちをなんとかしとかないとダメだと思うけど、やっぱりできないんすかね。
    Googleとかはどうしてんのかな。
    #Flashはやっぱりもうダメか。

    • そんな丸ごとマルウエアなWEBサイトってどこなんだ、と思ったら

      都によると、感染経路は朝日新聞や読売新聞のニュースサイトに表示されたバナー広告のほか、厚生労働省の外郭団体「安全衛生技術試験協会」のホームページ(HP)など。

      広告掲載する際に内容は精査しないのか、できないのか、しなくてもいいのか。

      改ざんされたと書かれている。

      協会のHPは閲覧時にウイルス感染するよう何者かに改竄(かいざん)されており、現在は閉鎖している。

      親コメント
      • by Anonymous Coward

        読む限り、改竄されたのは「協会のHP」で、「バナー広告」は改竄されていない様に読めますが?

        • by Anonymous Coward

          読む限り、改竄されたのは「協会のHP」で、「バナー広告」は改竄されていない様に読めますが?

          つまりは朝日新聞や読売新聞はバナー広告から感染し
          協会はバナー広告以外から感染するのか?

          • by Anonymous Coward on 2015年07月24日 18時10分 (#2852751)

            たぶんそれで正解
            【改ざんされたURL】
            hxxp://www.exam.or[dot]jp/movie.swf

            親コメント
            • 公益財団法人 安全衛生技術試験協会 皆様へのお詫びとお知らせ(更新第二版) [exam.or.jp]

              1 マルウェアのファイル名
                Rdws.exe
                movie.swf

                      2 マルウェア感染の条件
                【Flash Player のバージョン】
                 Adobe Flash Player 18.0.0.194及びそれ以前のバージョン

                        【ブラウザの種類】
                  Internet Explorer

                        【改ざんされた当協会HPのURL】
                  http://www.exam.ordotjp/movie.swf [www.exam.ordotjp]

              Rdws.exe でググると、トレンドマイクロ曰く「継続中の大規模な同時多発Web改ざん攻撃」 [trendmicro.co.jp]だそうだ。

              JP RTL では、本件について 7月24日時点で数十ドメインの改ざん事例を確認しています。そのうち約半数が日本に関連する Webサイトでした。

              さらに、これらの攻撃の内容を確認したところ、以下のような特徴が見えます。

                    * 現在までに確認された国内の改ざんサイトは、特定のクラウドホスティングサービスに集中している
                    * 改ざんの犠牲になった Webサイトのほとんどが非営利団体のものである(外郭団体など)
                    * 不正に設置された HTMLファイルと SWFファイルは全てのケースでほぼ同一のファイル名と構成を持つ
                    * Adobe Flash Player の脆弱性「CVE-2015-5119」と「CVE-2015-5122」を利用した攻撃を行う
                    * 最終的に感染する不正プログラムのファイル名は全てのケースで同一の “Rdws.exe” である
                    * 不正プログラム「Rdws.exe」は、かねてから日本を狙う標的型攻撃で利用されている遠隔操作ツール(RAT)の、「EMDIVI」ファミリーもしくは「PLUGX」ファミリーである

              つまり「安全衛生技術試験協会」に限らず攻撃は拡大する恐れがあるとのこと。

              とりあえずこのニュースに触れたら、今一度手元の環境のアップデート状況やマルウェアが仕込まれていないか確認する必要があるだろう。

              --
              モデレータは基本役立たずなの気にしてないよ
              親コメント
    • by Anonymous Coward

      Googleの広告でも、昨年同じ事が起こりました。

      <Googleの広告サーバ「DoubleClick」がマルウェアを配信していた>
      http://gigazine.net/news/20140922-google-doubleclick-malware/ [gigazine.net]

      広告審査に際し、ウイルススキャンくらいはかけているでしょうが、
      zero-day脆弱性を利用していた場合は検出が難しいかも知れませんね。

      • by Anonymous Coward

        出稿した人の身元が分かっているなら、起訴できないの?

        • by Anonymous Coward on 2015年07月24日 12時08分 (#2852461)

          金銭のやりとりもあるし、広告主の身元はわかっているはず。
          広告会社はそういう悪い広告主を突っぱねるべき。それとも大口で金積まれて文句言えない立場なのか。

          親コメント
          • クライアント>広告会社>マスコミ様→発表できない・・・

            親コメント
          • by Anonymous Coward

            たぶん、名目上の広告主は、乗っ取られたPCを持ってるだけなんじゃないかな。
            真犯人はbotnetから、そのPCをリモート操作して広告出してて、追跡困難みたいな。

          • by Anonymous Coward

            この間逮捕された17歳の少年は、盗み出したクレジットカード情報で決済してたが?
            GoogleAdsなんて、クレジットカードさえもっていれば、出稿できるよね。

    • by Anonymous Coward

      それが的確な事実だとしたら、もっと大々的な感染騒動になってもおかしくないと思うんだけど・・・・・・・・
      なぜ東京都職員のPCが感染などという規模の話題になっているのだろう。

      • by Anonymous Coward on 2015年07月24日 12時58分 (#2852496)

        今回の件がそうだったかはわかりませんが、特定のIPアドレス帯にのみマルウェアをダウンロードさせる手口はありますよ。

        親コメント
      • 東京都職員のPCでしか見られない新聞社の記事だったりして。

        実際、日本の大手新聞社ニュースサイトの広告で見ただけで感染するならものすごく広範囲に被害出てそうだけどそうだないというのは
        関係者の誰かがホントのことを言ってないか、新聞社がホントのことを報道してないか。
        どっちもありそうで真贋不明。
        もしかしたら新聞社のニュースサイトなんて一般人はほとんど誰も見ていないのがしんそうだったりして。

        自分もGoogle newsとかの経由でしか新聞社のニュース記事なんて見ないしなぁ。

        親コメント
      • by Anonymous Coward

        実際のところ、東京都職員以外にも被害が出ていると報じられているよ?
        民間に対しては総務省から個別に連絡するわけではないし、公表するかは被害を受けた組織の判断だ。

    • by Anonymous Coward

      サードパーティの広告ブロック使うにも申請が必要でなんしょう
      役目を考えれば日々不審な挙動がないかチェックしないとあかん
       
      # そこまで意識有とこなら不祥事続かんわな

    • by Anonymous Coward

      病原体や毒なんかは撒いた側の責任なのに、Web広告はそういうのがないんですよね。
      責任無いからやりたい放題

  • by Anonymous Coward on 2015年07月24日 13時08分 (#2852506)

    東京都はマルウェアによってデータが破壊されたり情報漏洩したりするリスクよりも検証不十分なパッチによってPCに不具合が発生するリスクの方を、つまり外部に迷惑をかける事より自分たちの業務が止まるリスクの方を重大視してるって事ですね。
    お役所らしいといえばらしいけど。

    • by Anonymous Coward on 2015年07月24日 14時04分 (#2852544)

      東京都が自分たちの業務を停止したら、それはそれで外部に別の種類の迷惑がかかるんですけど。
      これだけの情報では価値判断の基準は不明だと思う。

      親コメント
    • by Anonymous Coward

      うちの近所の役所は所内の業務が止まると利用者や取引先にも迷惑がかかるんだけど、お前のところのは違うの?

  • by Anonymous Coward on 2015年07月24日 12時08分 (#2852462)

    フラッシュを使った広告を配信した
    広告会社へ家宅捜索でもした方がいいと思う。

    フラッシュが危険で、ウイルスを混入されても当然なことなんて
    周知の事実でしょ。

    にもかかわらずフラッシュを使いつづけて、実際に被害を与えたんなら
    未必の故意で刑事的にも有罪だと思う。

    警察は今すぐ家宅捜索して、広告会社が危険を認知していた証拠を確保すべき。

    んで刑事で有罪になりゃ民事で賠償も取り放題。
    それぐらいしないと広告会社はウイルス配布を止めないよ。絶対。

  • by Anonymous Coward on 2015年07月24日 12時22分 (#2852470)

    フラッシュが有効でないと各種資料等の閲覧が出来ない企業からの調達を止めますって訳にはいかない事情があるんだろうなぁ。

  • この人馬鹿なのかな?
    まともな会社の管理者なら1週間程度のテストもやってないようなパッチを前者に配布するわけないだろうに。

    • by Anonymous Coward

      「(既にパッチは出来上がっているが)すべてのPCに適用するには1週間ほどかかる」って意味なんだよ。

    • by Anonymous Coward

      「まともな会社」でのセキュリティ事故の報が飛び交う現状をよく表しているコメントだと思う。
      多少のウィルス感染、情報漏洩はしょうがないね。

      • by Anonymous Coward

        そして即日パッチを配布して、バグでPCが全滅するんですね。分かります。

  • by Anonymous Coward on 2015年07月24日 12時41分 (#2852487)

    大手のサイトでも、送り込んでくる広告の中にあやしいスクリプトが入り込んでいることがあります。しかもきっちりSSL経由なので、ブラウザ上で実行されるまでわかりません。

  • by Anonymous Coward on 2015年07月24日 14時42分 (#2852572)

    Flashの問題はプラグインゆえの、all or nothingなところだと思う。
    故に危険性がわかってもブラウザで閲覧する以上「止められない」って感じ。
    #止めるとまともに機能しない・閲覧できない分野がある
    #ならClick to Playにしろって話だけどね、Firefoxみたいに

    HTML5(+何かの言語)なら一部の機能(タグ・コマンド)のみ無効化できるのかな?
    可能なら、それによって動かなくなるものは当然あるにしても、関係ない機能なら動くので
    Flashほど影響範囲は…よくつかわれるか否かの差か。広告関連ならえらい影響が出そう。

  • by Anonymous Coward on 2015年07月24日 16時15分 (#2852652)

    どうせ99割は変わり映えのしない演出に使われるだけなんだから、テンプレートからの選択式にでもしてしまって、
    どうしても広告内でミニゲームをプレイ出来るみたいな無駄に凝った仕掛けをしたいときは別料金で厳重な審査を受けるようにでもすればいい

typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...