アカウント名:
パスワード:
もし偽装exeならちゃんと手口を報道してほしいなぁ。
JTB社員はなぜ、ウイルス入り添付ファイルを開いたのかhttp://www.itmedia.co.jp/news/articles/1606/15/news073.html [itmedia.co.jp]
添付ファイルを開いた社員は異変に全く気付かなかったとのことなので、マクロウィルスを仕込んだドキュメントファイルではないかと。
しかし、実在する取引先を騙った上で、全く不審がられない文面のメールを送りつけるって、そんなに簡単なこととは思えないんだけど、JTBの業務に詳しい人間が協力しているのかな?
ウイルス対策ソフトでも検知できなかったようなので、社員が感染してしまったのは仕方ないと思うけど、19日にセキュリティ会社から通報があったのに、遮断は21日よりも後ってのは、対応の不備と言われても仕方ないね。
客商売だから社員は出勤していたはずだけど、上司が休んでて、緊急連絡しなかったのかな?(ウイルス感染の脅威を十分に認識していなかった、と謝罪しているようなので)
正直、気持ちは分かるんで、他山の石としたいところ。
読売の方には「偽装されたPDF」と質疑応答があったのでまあexeなんだろうと思ってます。実行させないようにはできると思うんだけど他の細かい事が分からんので…。
http://www.yomiuri.co.jp/science/goshinjyutsu/20160615-OYT8T50004.html [yomiuri.co.jp]>JTB広報室「解析したところ、exe形式の実行ファイルだと判明した。>『ELIRKS』と『PlugX』の2種類のウイルスに感染させるものだった」
そもそもメールソフトでクリックしたコードがパソコンの隅々までアクセスできるってことが問題だよね。Windowsではメールソフト経由のソフトは自動でsandboxで実行とか、メールリーダ自体をsandbox内で実行とかできないのでしょうか?
MultiuserのOSなら、mailはそれしかできない、低権限のuserでアクセスする、とかやれそうだけど。もちろん、皆がそうやって防ぎ始めたら、攻撃側は権限昇格の穴をつくようになるだろうけど。
メーラーの起動スクリプトつくって別ユーザで実行するようにしてしまえば、 最小権限での利用ってのは、 昔なら出来たけど、Windows10では、 別ユーザーで実行すると日本語が使えなくなるからログインユーザ以外じゃ実行するかちがない感じ。
Windowsだとライセンスの都合があるからむずかしいけど、 メール・インターネット環境くらいならVirtualboxを起動しておいてLinux環境でごにょごにょと。するほうが楽な気がする。
メモリなら有り余ってるわけだし。
↓には「PDFファイル」って書かれてますね。
http://headlines.yahoo.co.jp/hl?a=20160615-00010000-bfj-soci [yahoo.co.jp]
adobe readerはデフォルトでスクリプト実行が有効になってたと思うので、それを利用してウイルス本体をダウンロードするタイプの可能性も?
いずれにしろ、こんなの顧客対応窓口の人間が開くのは避けられないですね。exe形式の圧縮ファイルを送ってくる本物の酷客もいますし……。
本当はexe形式の添付ファイルは、メールゲートウェイで遮断できれば良いと思うんですけど、不特定多数の顧客からメールが届く窓口では厳しいかな。
>しかし、実在する取引先を騙った上で、全く不審がられない文面の>メールを送りつけるって、そんなに簡単なこととは思えないんだけど、>JTBの業務に詳しい人間が協力しているのかな?
単に、何も考えずにメールを開いただけだと思う。セキュリティ意識とか微塵も持って無かったんだろう。
> FROMアドレス 実在する航空会社系列会社のドメイン 日本人のありふれた苗字がアルファベットで表記> 件名 「航空券控え 添付のご連絡」> 添付ファイル 「E-TKT控え」 eチケットを「E-TKT」といったファイル名とするのは社内でも使われる表記。> 本文 次の内容が本文に書かれていたと報じられている。> ・挨拶の定型文 「お世話になっております」が記載されていた。> ・「eチケットを送付しますのでご確認ください」「お客様の旅行内容を確認したい」といった内容であり不自然な文面ではない。> ・実在する取引先の会社名、部署名、担当者名の署名が記載されていた
この内容を見て、セキュリティ意識がみじんもないから開いたとは私ならよう言えませんけどね・・・参考: http://d.hatena.ne.jp/Kango/20160614/1465925330 [hatena.ne.jp]
eチケットなのに取引番号での照会じゃなく取引内容をPDFで送って照合するなんていうイレギュラーな運用が許されてる時点でおかしい。内部統制が機能してない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
偽装exe? (スコア:0)
もし偽装exeならちゃんと手口を報道してほしいなぁ。
Re:偽装exe? (スコア:1)
JTB社員はなぜ、ウイルス入り添付ファイルを開いたのか
http://www.itmedia.co.jp/news/articles/1606/15/news073.html [itmedia.co.jp]
添付ファイルを開いた社員は異変に全く気付かなかったとのことなので、
マクロウィルスを仕込んだドキュメントファイルではないかと。
しかし、実在する取引先を騙った上で、全く不審がられない文面の
メールを送りつけるって、そんなに簡単なこととは思えないんだけど、
JTBの業務に詳しい人間が協力しているのかな?
ウイルス対策ソフトでも検知できなかったようなので、社員が感染して
しまったのは仕方ないと思うけど、19日にセキュリティ会社から通報が
あったのに、遮断は21日よりも後ってのは、対応の不備と言われても
仕方ないね。
Re:偽装exe? (スコア:1)
Re: (スコア:0)
客商売だから社員は出勤していたはずだけど、上司が休んでて、緊急連絡しなかったのかな?
(ウイルス感染の脅威を十分に認識していなかった、と謝罪しているようなので)
正直、気持ちは分かるんで、他山の石としたいところ。
Re: (スコア:0)
読売の方には「偽装されたPDF」と質疑応答があったのでまあexeなんだろうと思ってます。
実行させないようにはできると思うんだけど他の細かい事が分からんので…。
http://www.yomiuri.co.jp/science/goshinjyutsu/20160615-OYT8T50004.html [yomiuri.co.jp]
>JTB広報室「解析したところ、exe形式の実行ファイルだと判明した。
>『ELIRKS』と『PlugX』の2種類のウイルスに感染させるものだった」
メールリーダをsandbox内で使用とかできないのかな (スコア:1)
そもそもメールソフトでクリックしたコードがパソコンの隅々までアクセスできるってことが問題だよね。Windowsではメールソフト経由のソフトは自動でsandboxで実行とか、メールリーダ自体をsandbox内で実行とかできないのでしょうか?
MultiuserのOSなら、mailはそれしかできない、低権限のuserでアクセスする、とかやれそうだけど。もちろん、皆がそうやって防ぎ始めたら、攻撃側は権限昇格の穴をつくようになるだろうけど。
Re: (スコア:0)
メーラーの起動スクリプトつくって別ユーザで実行するようにしてしまえば、 最小権限での利用ってのは、 昔なら出来たけど、
Windows10では、 別ユーザーで実行すると日本語が使えなくなるからログインユーザ以外じゃ実行するかちがない感じ。
Windowsだとライセンスの都合があるからむずかしいけど、 メール・インターネット環境くらいならVirtualboxを起動しておいてLinux環境でごにょごにょと。するほうが楽な気がする。
メモリなら有り余ってるわけだし。
Re: (スコア:0)
↓には「PDFファイル」って書かれてますね。
http://headlines.yahoo.co.jp/hl?a=20160615-00010000-bfj-soci [yahoo.co.jp]
adobe readerはデフォルトでスクリプト実行が有効になってたと思うので、
それを利用してウイルス本体をダウンロードするタイプの可能性も?
いずれにしろ、こんなの顧客対応窓口の人間が開くのは避けられないですね。
exe形式の圧縮ファイルを送ってくる本物の酷客もいますし……。
本当はexe形式の添付ファイルは、メールゲートウェイで遮断できれば良いと
思うんですけど、不特定多数の顧客からメールが届く窓口では厳しいかな。
Re: (スコア:0)
>しかし、実在する取引先を騙った上で、全く不審がられない文面の
>メールを送りつけるって、そんなに簡単なこととは思えないんだけど、
>JTBの業務に詳しい人間が協力しているのかな?
単に、何も考えずにメールを開いただけだと思う。
セキュリティ意識とか微塵も持って無かったんだろう。
Re:偽装exe? (スコア:1)
> FROMアドレス 実在する航空会社系列会社のドメイン 日本人のありふれた苗字がアルファベットで表記
> 件名 「航空券控え 添付のご連絡」
> 添付ファイル 「E-TKT控え」 eチケットを「E-TKT」といったファイル名とするのは社内でも使われる表記。
> 本文 次の内容が本文に書かれていたと報じられている。
> ・挨拶の定型文 「お世話になっております」が記載されていた。
> ・「eチケットを送付しますのでご確認ください」「お客様の旅行内容を確認したい」といった内容であり不自然な文面ではない。
> ・実在する取引先の会社名、部署名、担当者名の署名が記載されていた
この内容を見て、セキュリティ意識がみじんもないから開いたとは
私ならよう言えませんけどね・・・
参考: http://d.hatena.ne.jp/Kango/20160614/1465925330 [hatena.ne.jp]
Re: (スコア:0)
eチケットなのに取引番号での照会じゃなく取引内容をPDFで送って照合するなんていうイレギュラーな運用が許されてる時点でおかしい。
内部統制が機能してない。