「mstmp」「lib.dll」等のファイル名で拡散する不正プログラム、国内 100 社以上が感染 55
ストーリー by reo
日本を標的に、の可能性も 部門より
日本を標的に、の可能性も 部門より
hylom 曰く、
トレンドマイクロのセキュリティブログによると、Java の脆弱性を利用する新たなウイルスによる被害が急速に増えているそうだ (トレンドマイクロセキュリティブログの記事より) 。
このウイルスは Web 経由で感染するとのことで、不正なサイトにリダイレクトを行うよう改ざんされた Web サイトを閲覧すると Java の脆弱性を悪用するプログラムがダウンロード・実行され、ウイルスに感染するという。このウイルスは「mstmp」や「lib.dll」といったファイルを生成するとのことで、mstmp 系ウイルスなどとも呼ばれているようだ。
(追記@10/28 15:30)日経ITproにて今回問題となったウイルスについての詳細が説明された記事が公開されている。あるアクセス解析サイトのサーバーが攻撃され、そのアクセス解析サイトが提供しているアクセス解析用のコードが改ざんされていたようだ。
アップデートしない人 (スコア:3, 参考になる)
一般ユーザってWindowsUpdateも含めてアップデートの通知来ても更新しない人結構居るね。
セキュリティアップデート以外でもなにやらぴょこぴょこ通知が出てきてうかつに押したら壊れちゃうと思ってるみたいなんだよね。
ちらっと読めば何やろうとしてるのかわかると思うんだけどね。
何でも押してしまってフィッシングにひっかかる人と、アップデートしない人。どっちもなんとかできる方法無いのだろうか?
Re:アップデートしない人 (スコア:1)
#ペーパーレスドライバーは熟練です。
#産業が成り立たないくらい利用人口減りそうかな
Re:アップデートしない人 (スコア:1)
>なにやらぴょこぴょこ通知が出てきてうかつに押したら壊れちゃうと思ってるみたいなんだよね。
それがあながち間違ってないから困る。
Re: (スコア:0)
Re: (スコア:0)
実際、こういう言葉ってITに詳しくない人でも分かるものなのでしょうか?
Re: (スコア:0)
アップデートのふりしてマルウェアをインストールさせたりするのは基本ですから。
何でもOKを押す初心者よりは何でもキャンセルする初心者の方がマシです。
Re: (スコア:0)
ということは、通知せずに黙って更新するのが、確実にアップデートさせる正しい方法?
Re:アップデートしない人 (スコア:3, すばらしい洞察)
Chromeをそういう仕様にしたGoogleは少なくともそう思ってそうですね
Re: (スコア:0)
その場合、アップデートしてますという類の通知は出るけれども、選択肢の提示じゃなくて
単なる"通知"だから押さなくても問題ないよ。
んで、その方向は正しいと思う。ネットに接続するなら絶対アップデートしなさい、というのであれば、
ユーザにそもそも選択肢がないんだから、コンピュータが勝手にアップデートしたほうがいいんじゃない?
自動化できることは自動化しようよ。
バルーンをクリックしてアップデートする、という操作は無駄なんだよ。
自動アップデートを無効にしている人は、
Re: (スコア:0)
そうなんだと信じていましたよ。ええ、確かにその通りだったんですよ。一応、IT部門の方がセットアップしたので、そういう基本的なところに間違いはないと信じていたんですよ。だから、アップデートの通知がないのも気にしていなかったんですよ。
ある日、本当にアップデートされているのか、気になって、設定を見てみたら、午後9時にチェックする設定になっていました。でも、そんな時間まで残業するような職場ではないので、もしやと思い、手動でアップデートをかけてみたら、70個ものアップデート項目があったのです。1年以上、放置状態。最初から手動だったら、こんな基本的な間違いは無かったんですよ。
Re: (スコア:0)
とか
リモートから電源入れてアップデートかけるんでビックリしないでくれ
とか
言われてませんでしたか?
Re: (スコア:0)
Re: (スコア:0)
Write Once Run Anywareって言っておきながら、異なるプラットフォーム間
どころか、同一プラットフォーム内でもJREのバージョンが変われば互換性は
Oracleは保証しない。
保証しないからアップデートしても、古いバージョンはそのまま残る。
古いバージョンが必要なプログラムは、古いJREが使える。
それって、アップデートというより新しいバージョンを別にインストール?
きっと脆弱性を使うマルウェアが古いバージョンのJREを使えないように
する仕組みはあるんだと思うけど、アップデートしても脆弱性のある環境が
使える状態でそのまま残ってるっていうのは、
Re: (スコア:0)
そんなことは1.4系時代で終わったと思っていました...
Java7ではちゃーんと Write Once Run Anyware の時代が来るとイイナ。
Re: (スコア:0)
>異なるプラットフォーム間どころか、同一プラットフォーム内でもJREのバージョンが
>変われば互換性はOracleは保証しない。
おいおい。どこの素人の発言だよ。
メジャーバージョンが変われば互換性が無くなるなんて、IE6で嫌と言うほど経験しただろ?
Javaの互換性はそれよりずーーーーーーっと高いよ。
ほとんどの場合でそのまま動く。
それとここでOracleの名前を出すのはどうかな。むしろSUNだろ。
Re: (スコア:0)
>Javaの互換性はそれよりずーーーーーーっと高いよ。
>ほとんどの場合でそのまま動く。
完全でないならバージョンで撥ねて動かないでいてくれる方がずーーーーーーっとマシです。
Re: (スコア:0)
>メジャーバージョンが変われば互換性が無くなるなんて、IE6で嫌と言うほど経験しただろ?
おいおいおいおいおい、どこのしったかぶりの素人の発言だよ、それ。
誰がメジャーバージョンアップの話をしてるんだい?
Java6のUpdateの話だぞ?
IE6の脆弱性を修正するアップデートが出るたびに互換性の保証はしないと言ってるような
ものであって、そんなことはIEではなかったわけだが。
> Javaの互換性はそれよりずーーーーーーっと高いよ。
> ほとんどの場合でそのまま動く。
そんな嘘はやめとこう。
百歩譲ってそのまま動くとしよう。
でもSunもOracleも
Re: (スコア:0)
Windows64bit版用Javaは自動アップデートされませんけどね。
32bit版は自動アップデート機能あるのに、なぜだろう。
Re: (スコア:0)
なんて考えてたりして。
アクセス解析サービス (スコア:3, 参考になる)
今日来た JP-CERT のメールでは、「アクセス解析サービスを使用した Web サイト経由」と書いてあるので、もしかして 100社以上が利用しているアクセス解析サービスが感染していたのかも。
とのことですが。
https://www.jpcert.or.jp/at/2010/at100028.txt [jpcert.or.jp]
どこにも書いてない (スコア:2, 興味深い)
気をつけましょう、っていうのは判るんですが、「国内100社」って具体的にどこなのか、という情報があるとかなり有意義だと思うのですけれども、探しても見あたらないのですよね。
(一覧があれば過去にそこのサイトを閲覧した人に注意を喚起できるので)
守秘契約なのか圧力なのかその辺の理由で公開できないのだろうとは思いますが、こういった情報が出てこないことが感染に手を貸している部分もあるように思えます。
#OLのコスプレして仕事場から書いてるのでAC
もっと詳しく (スコア:5, おもしろおかしい)
>>#OLのコスプレして仕事場から書いてるのでAC
ここを!
Re:もっと詳しく (スコア:2, おもしろおかしい)
Re:もっと詳しく (スコア:2, おもしろおかしい)
そうそう、なんでOLのコスプレをしてる理由が出てこないことには、手のうちようが。
Re: (スコア:0)
内部にめったにしない普通のブラジャーを隠している可能性が…
いやガスマスクになるブラのおかげで水際で防げたのかも…
ごめんなさいごめんなさい
Re:もっと詳しく (スコア:2)
ですます口調、全角記号、そしてこのツイート [twitter.com]である。もうなんか色々と確定的に明らかではないかと…
# どうしてこうも特定可能なのだ、この人は
Re:もっと詳しく (スコア:1)
もう、「OLのコスプレして仕事場」って時点で一発ですね!
さすがスラドのアイドル!
Re:もっと詳しく (スコア:1, すばらしい洞察)
巫女の人 [srad.jp]だと思われる。
# 詳細は「巫女 site:slashdot.jp」でググるなどして熟知すべし
Re: (スコア:0)
>>#OLのコスプレ
##LOのコスプレ
と空目…死ぬしか無い…
Re:どこにも書いてない (スコア:2, おもしろおかしい)
なんか、誤解されているようですけど、(#1847679も)
リンク先を読む限り、改ざんされたのが100社ではなくて、
改ざんされたサイトを見たのが100社と考えるほうが、無難だと思います。
ガンブラーのように感染したら別のところを改ざんするという症状ではないみたいですし。
↓
>トレンドマイクロのサポートセンターへの問い合わせは、2010年10月14日以降、
>100社を超える法人ユーザから感染被害の報告を受けています。
Re: (スコア:0)
Re:どこにも書いてない (スコア:1, すばらしい洞察)
ここは妄想力が試される時ではないのか!?
スラドで有名な巫女さんが着慣れないスーツで恥ずかしがってる姿を想像してみれば……
・・・・誰かいっそイラスト化してくれないかな(←妄想力足りてない)
Re:どこにも書いてない (スコア:1)
巫女服で目だっても恥ずかしくないのに、スーツで恥ずかしがるわけがない!!!
#変態は変態らしくIDで
#壮大なストーリ。空転するアイディア。
google先生に聞いて見る (スコア:0)
Re: (スコア:0)
最初のJAVA_AGENT.[PO]って (スコア:1)
Javaのどの脆弱性で、どのバージョン、パッチレベルで修正されてるものなんでしょうか。
Re:最初のJAVA_AGENT.[PO]って (スコア:2)
IT Pro の記事 [nikkeibp.co.jp]を読むと、使われた脆弱性は CVE-2008-5353 だった模様。
対象となる Java のバージョンはhttp://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5353 [mitre.org]には下記のように書いてある
The Java Runtime Environment (JRE) for Sun JDK and JRE 6 Update 10 and earlier; JDK and JRE 5.0 Update 16 and earlier; and SDK and JRE 1.4.2_18 and earlier
でもこれって、Gumbar 騒ぎの時にも使われていた脆弱性だよなぁ。
100社以上が感染? (スコア:0)
マルウェアを撒くように、100社以上のウェブサイトが改竄されたってことじゃないの?
それともウェブサイトを改竄するマルウェアに感染したってこと?
Re:100社以上が感染? (スコア:2, 参考になる)
日本語で書いてあるからさ。
「100社を超える法人ユーザから感染被害の報告」なので、
PCのアンチウィルスで検知した感染被害報告数だよ。
改竄被害なら感染被害とは書かないし。
この攻撃で確認された事例では、偽セキュリティツールのインストールを
行うとあるので、Webを改竄する攻撃ではないようだ。
Javaのバージョン (スコア:0)
何日かにいっぺん、Oracleのサイトに最新を確認しに行ってますが、リリースを確認しても、他のサイトで必ずしもすぐに取り上げられていないような。
_6まではあってても、_05くらいの人が結構いるような。
Re:Javaのバージョン (スコア:1)
とりあえずWindowsだと、Javaの自動アップデートの更新頻度は設定で変更できるよ。
#スタートボタン→設定→ コントロールパネル→ Java、「アップデート」タブ、詳細
#いうまでもなく、環境によっては多少異なるかもしれない。
Re:Javaのバージョン (スコア:1)
自宅のPCでは Secunia PSI を使わせてもらってメジャーなソフトのパッチ管理をしています。Javaのパッチが出るといつも先に指摘されます。
Re: (スコア:0)
セキュリティー修正を含まないバージョンアップがありますから
そうした場合はニュースにもなりませんし、自動更新の通知もありません。
よくわからないが (スコア:0)
ダメジャン、トレンドマイクロ。
つぎに、今回の件って、スラドもやられたという広告配信サーバに毒が仕込まれた事件の続報?
Re: (スコア:0)
おそらく、単に検出したものの報告(自動)が100社以上に上った、というだけだと思いますよ。
手元のVBCorpではきっちり検出してるみたいだし。
関連ストーリ? (スコア:0)
Javaの脆弱性を利用した攻撃が激増、前四半期600万件超に [srad.jp]
JREって (スコア:0)
Re: (スコア:0)
それはJRA
#マジレスだけれどオフトピなのでAC.
Re: (スコア:0)
東日本旅客鉃道のことですよ:p
Re:シンプルかつ究極の対策 (スコア:1, 興味深い)
今回の件はWindowsだからではなくOracleのJREが脆弱だからでして、
仮にWindowsの代わりにLinuxやMacOSがシェアの大半を占める世界があったとしても、同じようなことになっていたでしょう。
個人的には、OracleとAdobeは脆弱性の二大巨塔だと思いますわ。
改善しているような気配も感じられない。
かつてはマイクロソフトも酷かったけど、いまでは改善してますからね。