パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

三菱電機に対する不正アクセス、同社が概要を公開」記事へのコメント

  • 機密データはインターネットと繋がらない場所におかないと
    もちろん、管理サーバやらプロキシサーバ、ライセンスサーバ、WSUSサーバ等を経由して間接的につながるのもダメ

    • 理想論を説いたところで意味はないと思います。
      機密データ以前に、ウイルス対策管理サーバーがインターネットから接続可能であることにツッコミがいるのではないでしょうか。

      以下、「不正アクセスによる個人情報と企業機密の流出可能性について(第 3 報) 」3ページ目より引用

      • 昨年 3 月 18 日に、当社の中国拠点内ネットワークにあるウイルス対策管理サーバーが、外部から未公開脆弱性を突いたゼロデイ攻撃を受け、パターンファイルアップデート機能を悪用される形で同拠点の端末に侵入が拡大。
      • by Anonymous Coward

        > 機密データ以前に、ウイルス対策管理サーバーがインターネットから接続可能であることにツッコミがいるのではないでしょうか。

        これ、直接外部から接続可能だったのでしょうか?
        まずは社内端末が乗っ取られて、リバースコネクションを使って外部からコントロール可能な状態になり、
        乗っ取られた社内端末からウイルス対策管理サーバーの脆弱性を突かれて
        ウイルス対策管理サーバーについてもリバースコネクションを使って外部からコントロールされるようなった…
        というシナリオの方がありそうな気もするんですが。

        • 報告を見る限り、第1ステップがこれになっているので、該当のサーバーを外部公開していたと思われます。

          • 他の可能性としては、NICと送信元の対応をチェックしないタイプの古いファイアウォールを運用していて、かつ、プライベートIPを詐称して攻撃したケースが考えられます。
            が、この場合は上位ネットワークを監視/操作できていないと極めて困難なので、犯人は上位ネットワークを支配できている可能性が…

            • 元記事のように一度内部に入ったのでなければ、PDFに書いてある「送信者アドレス詐称」って、ルーティングも握られているってことだよね?最初にやられたのが中国拠点っていうことは、実は犯人グループは中国政府の関係者で、上流のプロバイダも実は犯人グループってことでは?特定が難航するわな、それは。

              親コメント
              • by Anonymous Coward

                > PDFに書いてある「送信者アドレス詐称」って、ルーティングも握られているってことだよね?
                > 実は犯人グループは中国政府の関係者で、上流のプロバイダも実は犯人グループってことでは?

                ログに逆引きした名前しか記録されておらず、IPアドレスの記録はなかったという可能性も一応あるかも。

                あと、IPアドレス詐称の場合であても、やられてるのが上流プロバイダとは限らないと思います。
                むしろ相当に遠方の末端プロバイダの可能性の方が高いのでは?
                例えば以下の台湾のpublic DNS server が

              • by Anonymous Coward

                外野予想

                ・アンイウィルスのパターン配信サーバのIPアドレスを、BGP hijackで短時間経路を乗っ取る
                 ↓
                ・アクセスしに来たサーバに、毒入りのパターンファイルを送りこむ。(これが未公開のゼロデイアタック)
                ・TLSは、杜撰に発行された偽証明書で突破
                 ↓
                ・毒パターンを配信されたクライアントでファイルレスマルウェアが誕生し、活動開始
                 ↓
                 以下略

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

処理中...