NTTコミュニケーションズのIP-VPNネットワーク経由によるワーム感染、被害が広がる 86
プライベートじゃなかった 部門より
Anonymous Toward 曰く、
日経コミュニケーションの記事より。NTTコミュニケーションズの「Arcstar IP-VPN」という企業向けIP-VPNサービスで、今年4月、サービスに加入した複数の企業のIP-VPNネットワークに、ワーム型ウイルス「WORM_NEERIS.A」の感染が広がった。その感染経路は、なんとNTTコミュニケーションズ内のLANを経由したものだったそうだ。
サービスを利用する各企業のIP-VPNは、当然ながら本来は独立した閉域ネットワークであるはずだが、「ルーター監視オプション・サービス」を利用した場合は、NTTコミュニケーション内に設置された監視用端末が加入各社のIP-VPNに接続され、その監視用端末がNTTコミュニケーション内でLANで接続されているのだという。しかも、そこにはファイアウォールはなく、監視用端末と各加入企業のIP-VPNネットワークは「すべてのパケットがやり取りできる状態になっていた」とのことだ。
加えて、NTTコミュニケーションズの監視用端末はWindows Updateの適用を怠った状態で、MS08-067の脆弱性パッチを適用していなかったという。MS08-067については、悪用ワームが世界中に広がっているとして、「日本でも感染報告:Windowsの脆弱性を悪用するワームが猛威」(2008年11月)、「 MS08-067の悪用ワーム、世界で350万台強に感染」(2009年1月)といったニュースが出ていたところだった。
記事によると、加入企業の担当者からは「NTTコムの過失なのに,メール一本の指示だけでユーザーにウイルス・チェックさせるのはおかしい」という不満も噴出しているとのこと。一方、NTTコミュニケーションズの広報部は、ウイルスの侵入元について「ユーザー企業のIP-VPNから感染した可能性が最も高い」とコメントしている。
ネットワーク設計のクオリティが低すぎる (スコア:4, すばらしい洞察)
これさ、IP-VPNサービスだろ。仮想的にでもネットワークが”独立”してないといけないのにさ。
監視側からのパケットのポリシーがノンポリシーだったというのは驚愕に値する。
仮にでも、他所様のネットワーク、さらに言えば相手からお金を貰っているネットワークに繋ぐ監視ネットワークは、監視するための必要最低限のパケットのみ通過させるポリシーであるべき。にも関わらずだよ。
>WORM_NEERIS.A - 概 要
> * 共有フォルダ内に自身のコピーを作成して侵入←たぶんこれ
> * リムーバブルドライブを介して侵入
> * "MSN Messenger" を介して侵入
> * 他の不正プログラムを介して侵入
Windowsのファイル共有のポート(Port 137-139,445)がなんで客先向けのネットワーク監視に双方向透過する必要あるんだよ。こんな危険なポートを双方向に空けたまま監視やるなんて、本当の馬鹿でしかない。仮に監視側が感染しても、他に迷惑掛けないようなフィルタくらい書けよ。フェイルセーフとか多段防御とかそういう発想ないのかね。高い専用FW要らないぞ。ルータに数行設定書けば終わりだろうと。こんなのやる前に一瞬で思いつく話だと思うのだがなぁ。
この監視ネットワークを作った奴はIDとPasswordをroot/rootと設定するような奴に違いないw。
でっかい組織は動きがとれませぬ (スコア:4, 参考になる)
技術的におバカという意見があるが、こういう事は組織体制のせいで起こる事もある。
寧ろ今回はそっちだと思われ。
監視装置構築がシステム部
実運用が運用部
ネットワークサービスがネットワーク部
お客との直接契約が営業部
こんな感じだと内部ネットワークにファイアーウォールを設置する費用はどこが持つのか
それらのポリシー維持計画は誰が担保するのか
外ネットワークに繋がっていない監視サーバのアップデートは何処がやるのか
各顧客に対して、これらの費用分割をどうするのか
もともとのサービスが古いと初期の設計にファイアーウォールがない
全体を見渡したリプレース、セキュリティ計画が建てられない
(サービス停止が入るので何処もやりたがらない)
特に事業部制だったりすると、独立採算なのでどこも金や労力を出したがらない。
社内政治で、めでたく技術的な空隙が誕生する。
元ネタのITproでも、NTTcomの対策が当たり前の事を当たり前に運用し始めたって書いてるし、恐らく・・・
> 今回の事故の収束後,NTTコムは監視端末への最新パッチを定期的に適用し,
> ウイルス対策ソフトのパターン・ファイルを常時最新にする運用に変えた。
> また,ユーザー網との間では,監視に必要なパケット以外は排除する設定にしている。
Re:でっかい組織は動きがとれませぬ (スコア:4, 興味深い)
単純にネットワーク的なつながりを認識していなかっただけのこと。
もっとも、サービスを設計したのが社員で、運用監視してたのは外部の会社です。
運用監視している側からしたら「指差して笑うしかない構成」でも、そのままやるしかないのです。
関係者なのでAC
もうやめます (スコア:3, おもしろおかしい)
N ノウハウの
T 蓄積が
T 達成したので(キリッ
Re:もうやめます (スコア:2, おもしろおかしい)
Internal
Provide
-
Virus
Pandemic
Network
// internalなのにpandemicなのはおかしいか…
Re:もうやめます (スコア:2, 参考になる)
そういえば、
「5月30日を過ぎてもサイトが残る(閲覧できる)と観たが、予想が甘かった。
5月31日の0時キッカリに完全に切れた。
連続アクセスを仕掛けていたら、0時を迎えて突然にアクセスの様子に変化!!
やるじゃない! NTTデータ!!」
http://d.hatena.ne.jp/mihn/20090601/1243818561 [hatena.ne.jp]
さすがは天下のNTTデータですね。
倍速開発 [cnet.com]を謳っているだけのことはあって、逃げ足の早さは天下一品。
VPN (スコア:3, おもしろおかしい)
Re:VPN (スコア:2)
今回は Vulnerable Poor Network かなぁ
Re:VPN (スコア:1, すばらしい洞察)
Re:VPN (スコア:1)
起こるべくして起こった事故 (スコア:3, 参考になる)
つながっている限りワーム型ウイルスに感染する危険性があ
ります。
むしろOfficeなどの入った普段使いのマシンよりも下記の
ような条件を満たす、今回のようなマシン(環境)が一番危険です。
例えば、受付窓口のシステムなどがこれにあたります。
・インターネットからは完全に遮断されている
・セキュリティ更新プログラムを適用していない
・ウイルス対策ソフトが入っていない
・一般ユーザのマシンが接続されることがない
このような環境では対策を怠りがち(というか設計上考慮されない)
ですが、一度感染が始まるとものすごい勢いで感染が拡大し、
数百台・数千台・数万台規模で感染が進みます。
Confickerのように破壊力のないウイルスなら駆除すればいいので
おおごとになりませんが、Confickerの感染力を持った破壊力のある
ウイルス、具体的には「特定の日時がくると前データを消去してマシン
を使えなくする」ようなウイルスが流行した場合、ある日一斉に受付
窓口のパソコンが使えなくなり、かつてないほどの混乱が発生すると
考えられます。
ですから、閉じたマシンでも、セキュリティ更新プログラムの適用と、
ウイルス対策ソフトの導入は必ず行うべきです。
Re: (スコア:0)
Re:起こるべくして起こった事故 (スコア:1, すばらしい洞察)
つーか、そういう用途にWindowsを使うという提案をするベンダーも間違ってる。といえないか?
Re: (スコア:0)
Re:起こるべくして起こった事故 (スコア:1)
実際、昔は3270でやってたんだし。
本当にセキュアな環境を構築したかったら、ダム端末で作る方が楽だと思う。
notice : I ignore an anonymous contribution.
Re: (スコア:0)
あるいは、Java でもごく普通に簡単に作れますが?
これは体を張ったネタ作りでしょう (スコア:2, おもしろおかしい)
これは多分、NTTコミュニケーションズがやってるITパワーMAGAZINE [ntt.com]の
記事のネタのために、自ら体を張ったネタをやったんだよ!
無茶しやがって……!
IP-VPNだけでなく (スコア:2, 興味深い)
NTTコムのイーサネットVPNサービス [ntt.com]でも同じような
構成、つまりどこかで他社VPNと接続されている可能性はありますな。
こっちも、コムの監視設備から加入者のL3SW/ルータまで
ping監視 [ntt.com]してくれるサービスがついてるけど、各加入者のVPN毎に監視設備が
独立して存在しているわけではないと思うので。こっちは大丈夫なんだろうか。
アウトバンド監視機能やOAMが充実してる専用線/ATMの時代は
そんなことする必要なかったんだけどねぇ
監視してたのにわかんないのかー (スコア:1)
>ウイルスの侵入元について「ユーザー企業のIP-VPNから感染した可能性が最も高い」
ずいぶんな監視だなぁ...。
Re: (スコア:0)
元記事みたらユーザー企業からの報告で発覚したようですし監視なんてしてないんじゃないんでしょうか。
Re:監視してたのにわかんないのかー (スコア:2, 参考になる)
Re: (スコア:0)
大本営発表「水際で侵入を防ぐよう、万全の対策を採っています。」
→ 兵庫県で感染確認されました。
→ 他のアチコチの地域でも感染確認されました。
→ マスクが飛ぶように売れた。
みたいなもんじゃね?
Re: (スコア:0)
セキュリティノーガード戦法を推奨したいんですね。わかります。
Re: (スコア:0)
未だに勘違いしてる人がいるようですが、
新型インフルの水際作戦は、単なる時間稼ぎですよ。
1101の記事内で、中の人も「水際作戦やってもいつかは必ず入ってくる」
と言い切っていますし。
#オフトピは承知。AC
大本営発表だからこそ (スコア:1)
大本営発表って本来大衆の操作を意図したものであって,事実を伝えることが第一義ではないと思います.いわゆる○○宣言みたいなもんじゃないでしょうか.
屍体メモ [windy.cx]
Re:大本営発表だからこそ (スコア:1)
いわゆる○○宣言みたいなもん
わかりません。
また発生か! (スコア:1, すばらしい洞察)
Re:また発生か! (スコア:1)
焦るぐらいなら、IP-VPN網とはいえFW設置しましょうよ。
ネットワークの境界なのに、FWが無いことに驚きだよ。
FW至上主義? (スコア:1, すばらしい洞察)
なんで、FWで防げると思うのかなぁ。
ウィルスのパケットが届く限り、FWではなにも防げないぞ。
そもそも、監視端末のパケットがユーザー企業のネットワーク内に侵入できるほうが変だぞ。
きちんと監視しているのなら、NTT側が、監視対象まで(境界ルーター)のルーティングのみに限定しておくべき。
Re:FW至上主義? (スコア:2)
死活と言ってもPingとSNMPが通れば十分でしょうから、
それ以外を遮断するFWがおいてあれば、感染は防げたのではないでしょうか。
FWも感染したら意味ないですけど。
Re: (スコア:0)
焦ったにしても、株主、メディア関係者、いろいろあるだろうし。
Re: (スコア:0)
元記事は6月1日のものですよ。
速報サイトじゃないんだし、数日のラグぐらいいいんじゃない?
せっかく元記事を読んだなら、せめて文末まで読みましょうよ。
Re: (スコア:0)
上記を書かれた時には
という記載ではなかったということでしょうか? それとも4月の何日かを書けという意味ですか?
監視サーバの監視? (スコア:1)
これはありえますねぇ。データセンターなどでもホスティングを請け負っている会社の運用する監視サーバのIPへの疎通をとりあえず特別扱いで許可したりという経験はなきにしもあらずです。その先がどうなっているか分からなくても信用するということで。
監視サーバは止まってはいけないので管理の手間を考えると増やせない。しかし、何かあったときは必ず想定した動作をしなきゃならないという環境を簡単に作れるなら苦労しませんね。
日本でなぜエシュロンが不要か判ったような気がする (スコア:1)
いちいち暗号を解いたりとかしなくても、全部すっぴんで盗聴できたからなんだね?!
# 真の問題はウィルスが撒き散らされた事じゃないと思うぞ。
# 確かに他に確認方法はあまり思いつかないが…
fjの教祖様
そうすると (スコア:0)
今でも監視用マシンはユーザーのVPNにアクセスできるわけで、
スーパーハッカー(w ががんばれば、
自分のIP-VPNから監視用ネットワークを通じて他の人のIP-VPN内に入れるってことでいいの?
# 監視サービスが無い方がセキュアな気がするんだけど
Re: (スコア:0)
まあ、所詮はVirtual Private Networkなので。それが微塵でも嫌という話ならば本物の専用線を使ってくださいよ、という話です。
可能性だけで話せば、IP-VPN収容装置のインターフェイスにバグがあれば、別に監視網経由しなくても直接他のIP-VPNへ接続可能ですね。
実際には恐ろしい設定ミスをやらかさない限りにおいては、なかなかそういうことはおきないと思います。
Re:そうすると (スコア:3, 興味深い)
いわゆる「専用線」だって、TDMなら共用サービスなのですけどね。
ダークファイバだって、中継スイッチ噛ます場合は共用ですし。
問題の本質は、事業者も顧客も、「監視サービスを置くことによって増加する脆弱性」を
正しく認識していなかったことではないかと思うのですよ。
認識が間違っていると思います (スコア:1, 興味深い)
>いわゆる「専用線」だって、TDMなら共用サービスなのですけどね。
>ダークファイバだって、中継スイッチ噛ます場合は共用ですし。
純粋なL1の専用線なら、L2以上のパラメータが違うので繋がらないし、point to multipointの接続は出来ない。また、原理的にどんな脆弱性を突いた攻撃を加えても顧客側回線からタイムスロットの任意の変更はできない。
また、中継スイッチを噛ますようなサービスはダークファイバとは呼ばない。
>問題の本質は、事業者も顧客も、「監視サービスを置くことによって増加する脆弱性」を
>正しく認識していなかったことではないかと思うのですよ。
IP-VPNサービスも「他ユーザーとの共用設備が増えることによって増加する脆弱性」を認識しないといけないわけだが。そんな事は構築している事業者側が絶対に無いと言い切っているわけだ。
少なくとも顧客側はIP-VPNサービス、および事業者の信頼性を信じて監視サービスを契約したわけで、NTTComの手落ちは業界全体に対する信用失墜行為に等しいと思う。
Re:認識が間違っていると思います (スコア:3, すばらしい洞察)
なんでオフトピされてるかわかんないけど
自分の認識が間違ってるんですかね。
今回の問題点は
「仮想閉域ネットワークの方式」
に依るものではなくて、
「閉域であるはずのネットワークに(提供事業者とはいえ)外部の機器を接続している」
と言うことが問題じゃないの?
監視サービス契約していないユーザにも影響があったってこと??
Re:そうすると (スコア:2, 興味深い)
ゆえに、専用線を使っていたとしても、同様の監視サービスを使っていれば、同様の結果になったでしょう。
情報漏洩やネットワーク侵入を警戒する会社は、監視サービスのようなトロイの木馬に化けるかもしれないものを引き入れるべきではない、と。
今年、NTT.comがやらかしたこと (スコア:0)
今年、NTT.comがやらかしたこと。
IP-VPNをサービス提供する機械のOSを変えて、RSTパケットを廃棄するように変更。
そして変更されたことに気がつかずサービス提供。
そもそも論 (スコア:0)
なんでwindowsをつかうの?
我が社ではwindows禁止になっちゃいました。
(私が禁止にしました。)
Re: そもそも論 (スコア:1, 参考になる)
セキュリティ意識が無い、または低いシス管の元では、どんなOSを使っても一緒だよ。
現状、利用者にとってもっとも利便性の高いOSを、管理者の一存で使わせないのはバカのする事。
無茶なパスワード規則や利用制限で利用者を縛り、反乱を起こされた管理者の話や、複雑すぎるが故にめくら印等の形骸化した監査手続き、勝手に作られた治外法権な部門内システム等、暴走した管理者への反発はよくある事です。
Re: そもそも論 (スコア:2)
それを言うと利便性の高いOSなんて無い。
ウィルス対策もせずマイナーであることを安全の理由にするような管理者のシステムはどんな穴があるかわからなくて怖いと思うぞ。
Re: そもそも論 (スコア:1, 興味深い)
私も某企業で部門レベルでのシス管してます。
システム管理部からの勅令が下ると現場対応するような立場です。
結構お馬鹿な指示もきましたが、部長を通して臨機応変に対応してます。
Win2kの使用禁止の命がきたら、実験機やテスト環境で必要なので特例措置作ったりね。
システム管理部(ないしはそれに該当する部門)の方々は堤防を高くすることばかりで、現場でのユーザビリティを考えてくれてないんだなぁといつも思います。
原因調査と対策はセキュリティにおいてだけでなく必要なことですが、そこに誰がどのようなメリット/デメリットを負うことになるかを忘れた管理者が多い気がします。
システム管理って、セキュリティとユーザビリティを天秤にかけてリスクヘッジを考えながら最善の手を打つor提案する仕事だと思いますが・・・
その答えがWindowsの禁止ならば、#1579765さんが言うとおりどのOS使おうが何しようがネットワークという脅威に晒されている以上リスクは減らないでしょうね。
NTTコムの管理PCについては論外というしかないでしょう。
つーか、社内政治がどうとかどうでもいいよ。
役員クラスでさっさとケリつけて、業務としてどっかの部門に落とせばいいだけの話。
下がもめるなら上を担ぎ出さなきゃね。
Re: そもそも論 (スコア:1, すばらしい洞察)
馬鹿な。
こんな管理をする団体の管理システムにLinuxなんぞ入れたら、それこそやりたい放題にやられるじゃないか。
そういう奴等は何を使ってもトラブるもんだから、Windowsみたいに自由度が低い構成の方が、被害を限定的に抑えられるって可能性も高いのだよ。
Re:どうせ (スコア:1, 興味深い)
Re:どうせ (スコア:1)
バスターは2003くらいのバージョンから、通常版は同じシリアルで複数台で使えなくなっていたはず。
通常企業で使用するのはコーポレートバージョンで、これは同じシリアルで使えます。
うちの会社ではバスターのコーポレートエディション使っています。
離れた部署に配布する場合は、最新版のプログラムからインストールCDを作成するアプリで、CD-ROMを作って配布します。
焼いたCDで同じシリアルだったから、不正コピーだと思っただけでは?
購入したライセンス数以上にインストールしたら不正ですけどね。
ひとに又聞きした不確かな情報で、公共の場で犯罪者扱いするモラルはどうかと思うんですが。
Re:疑問 (スコア:1)