人気テキストエディタ「EmEditor」が攻撃を受ける、自動更新によりマルウェア感染の可能性も 39
ストーリー by hylom
今度はこちら 部門より
今度はこちら 部門より
あるAnonymous Coward 曰く、
人気のテキストエディタ「EmEditor」を狙った攻撃が行われていたことが明らかになった(窓の杜、開発元であるエムソフトの発表)。
EmEditorのWebサイト上に悪意のあるファイルが置かれており、特定のIPアドレスからEmEditorの更新チェック機能を利用すると、悪意のあるファイルがインストールされてしまう可能性があるという。日本時間で18日の22時36分から19日の3時20分(推定)までに特定のIPドレスから更新チェックを行ったユーザーはマルウェアに感染した可能性があるということで、ユーザーに対し確認するよう注意喚起を行っている。
さらに、EmEditorのWebサイト上にあるフォーラムについても攻撃された痕跡が発見されたとのことで、利用者のユーザー名やパスワード、IPアドレスを盗もうとした痕跡があるという(開発元であるエムソフトの発表2)。そのため、全アカウントのパスワードを強制的に変更し、ユーザーに変更した旨のメールを送信したとのこと。
記事を書き直しなさい (スコア:1)
「さらに」というのはおかしいでしょう。順序が逆ですよね?
この攻撃は、8月15日の不正侵入から続いているものだと思うのですが。
15日の段階で侵入を許した事に気付いていたのに、18日まで対策しなかった為、今回第二の被害が出たということですよね?
IPアドレスを絞った攻撃というのは、事前に入手したユーザのアクセス履歴から、抽出したものなんじゃないのかな?
そう考えると、最初の段階でサーバのクリーンアップや、安全確認の為のサービス一時停止さえしてれば、今回の件は防げた可能性が高いということですよね。
今回の被害が甚大なのは、配信側が「よく分からない」と言うので、受け手は最悪のケースを想定して対応しなければならない事。
普通の人の最善策は、手っ取り早くOS初期化でしょうかね。
とりあえず企業においては、しばらくEmEditorの使用禁止か、安全なバージョンを再インストール後、更新の禁止が必要ですね。
それより、httpdのログにリライトだか、リダイレクトの記録残ってないのかね?
クライアントPCに更新に関するログは残ってないのかね?
なんかモヤッとする事件だなぁ。
しっかし、管理者以外がサーバを触るってのはホントに恐怖だな。
普通なら消去せず移動させたり、バックアップ後に消したり、とりあえず自分の範囲外のファイルを、気楽に触ったりしない筈ですが、
やっぱり素人は、意味分からないファイルは消したくなっちゃうのかな。
今回は復旧ソフトとかでファイルの復元は出来なかったのかなぁ。
まぁ、シェアウェアに、セキュリティまで求めてはダメか。
なんとまあ (スコア:0)
EmEditorのサイトって業者がやってるんだよな
大方、コマンドインジェクションやSQLインジェクションを食らったんだと思うんだけど、業者が入っていてこれとは
なさけねえ
Re:なんとまあ (スコア:1)
>今回の対応策として、問題の可能性がある古い Xoops による外国語 Web ページをすべて削除し、
とか書いてるところを見ると、
Xoopsのバージョンアップを怠っていたとか、
それとも、使ってない古いシステムが生き残っちゃってたとか、
そんな話かね。
なさけねえ、とも思うが、こういう穴が残っちゃってるサイトがたくさんあるのだろうな、
と思うといろいろ怖い。
Re: (スコア:0)
EmEditorというソフト自体も、裏で怪しい通信してるとかマルウェア疑惑がある
Re: (スコア:0)
有料のこれ使うなら無料の羊さんでいいやと
me(ry
時制がおかしい (スコア:0)
修正済みなので、悪意のあるファイルがインストールされてしまう可能性は現在ありません。
念のためタレコミを確認したけれど、そちらは大丈夫でした。
Re: (スコア:0)
いつものアレのつもりだったんですけど、わざわざ引用して明示しないと駄目でした?
#今気がついたけど、IPドレスってどんなドレス?
Re:時制がおかしい (スコア:1)
物理層に限りなく近いので、ランジェリーみたいなものかなぁ?
Re: (スコア:0)
IPv6 なら,ランジェリーにもアドレスが振れます!
なんだか違和感のある発表 (スコア:0)
> 特定のIPドレスから更新チェックを行ったユーザーはマルウェアに感染した可能性がある
要するに、Webサーバのログから確認したのかな?
ユーザが固定IPかどうかも分からないし、注意喚起ならIP関係無く、その期間パソコンを起動した人全員に警告した方が良いと思うんだけど。
それとも改ざんされたhtaccessにIPが書かれている様な、スピア型の攻撃なの?そいつは余計にやっかいだ。
しかも早速、ウィルスチェックして問題無ければ、本当にそれで良いのか質問されてるし。
自分達が突破された上に、検体を入手出来て無いんだから、ウィルスチェックに期待出来ないのは自明の理でしょ。
まさか、実行ファイルを配布する癖に、サーバ側やネットワーク側でウィルスチェックをしてなかったのかな。
ソフトウェア更新機能のありがちな事件だよね。
署名とか、インストーラの工夫とかいろいろ対策出来そうなのにね。
そもそも、エディターの更新機能って必要なの?
蛇足だが、
> お客様の IP アドレスは、www.google.com で、「My IP」と入力していただくと表示されます。
これって、Googleにそんな機能有るの?うちの環境では出来なかった。
Re:なんだか違和感のある発表 (スコア:1)
回答 [emeditor.com]が上がっていますが、まさに
> 改ざんされたhtaccessにIPが書かれている様な、スピア型の攻撃
のようです。
私の使用環境は固定IP、対象外でした。
Re: (スコア:0)
どうでもいいけど、こういうへりくだった文章でハッカーって出てくると違和感倍増な感じ。俗語って意識ないんだろうか。
Re: (スコア:0)
由来がどうであれ、今は俗語というわけじゃないのでは。
日米政府の公式発表でも普通に使われている言葉ですし。
Re: (スコア:0)
日米政府の公式発表でも普通に使われている言葉ですし。
うえ、まじか。本来の意味でも使ってなかったか?それで良いんか政府。
Re:なんだか違和感のある発表 (スコア:2)
言葉の意味なんて時代とともに変わっていくものなんだからどーでもいい
Re: (スコア:0)
うちもひとまず対象外だし、その時間には更新も行ってなかった。
今回ので何よりまずい対応は、犯人につながる可能性のあったファイルを何のためらいもなく削除してるとこだろうなあ。
ダウンロードされたとしてそれがマルウエアだったのかどうかすら、確認しようがないとは。
大事なWebページなのに、夜中にsnapshot取るのもないんだろうか。
Re: (スコア:0)
英語版Google.comで「my ip」などを検索すると、検索結果のトップに自分のPCのパブリックIPアドレスが表示される。
http://www.itmedia.co.jp/news/articles/1110/20/news029.html [itmedia.co.jp]
Re:なんだか違和感のある発表 (スコア:1)
元ACではなく#2661269ですが。
co.jpでも歯車ボタンの設定から英語二変更すると表示されました。
言語設定でしたか。
江村さん米国法人に行ってるもんなぁ。知り合いじゃないけど。
メールで送信って言ってるけど (スコア:0)
メールアドレスが書き換えられていないって保証はあるのだろうか...
Re: (スコア:0)
登録メアドじゃなくて、問い合わせして来たメアドに返すんでしょ?
なら問題ないんじゃないの?
Re: (スコア:0)
???
全員と書いてあるが?
被害者を晒す必要あったのか? (スコア:0)
EmEditor 更新チェックによるウィルス感染の可能性について [emeditor.com]で被害者のIPアドレスを(最後のとこだけ隠して)晒してますが、これは適切な対応でしょうか?
改ざん疑いのあった時間帯を確定させれば、セキュリティ担当者がFWのログを見て自分のところが関係しているかどうか判断できるはずです。
私には適切な対応とは思えません。
Jubilee
Re: (スコア:0)
勘違いされていませんか?
IPアドレスの一覧は、被害者一覧ではなく、犯人がターゲットとしていたIPレンジやIPアドレスの一覧です。
このIPアドレスに入っていれば、マルウェアが落ちてきて、
入っていなければ正常なファイルが落ちてきていたのでしょう。
発覚を遅らせるためにしたことでしょうね。
ターゲットの選定方法 (スコア:0)
ログからユーザー特定してターゲット選定したのか、
何かしらの狙い(研究、企業や国家の機密情報)があってターゲットを狙ったのか、どうなのだろう
Re: (スコア:0)
セキュリティ担当者がいてFWを立てててログを適切に保存しているところ以外は切り捨てろという主張ですか。
さすが適切な対応ですな。
Re: (スコア:0)
不安なら、そう言う企業や個人の制作したソフトを切り捨てると言う判断は間違いではないでしょう
Re: (スコア:0)
企業ユーザー以外居ないとでも?
Re:被害者を晒す必要あったのか? (スコア:1)
意味が分かるものについては概ね想定内の反応ですね。どこにぶら下げてもいいのでとりあえず一番下に見えるところに。
ISP経由で接続している個人ユーザーが公開されているIPアドレスを見て、「やべえこれ俺のだ」と気づくと思いますか?これを読んでいる「個人ユーザー」の方、自分が使っているIPアドレスを即答できますか?まあここに出入りしているような逸般人なら即答可能、最低でも1分以内に答えられるでしょうけど。
もちろん自分のIPアドレスを調べる方法はいくらもありますが、エンジニアでも何でもない一般ユーザーが知っている、または調べることができると思いますか?私は無理だろうと思います。
そういう一般人については、攻撃対象のIPアドレスを公開しても意味がないでしょう。もしもISPのサービスがものすごくよければ、自社のIPアドレスが攻撃対象になっていたことに気づいたエンジニアなりがアラートを上げて、サービス部門がその時間帯に問題の範囲のアドレスを割り当てていた顧客に通知してあげるかも知れません。今回だとOCNやSo-netのユーザーが狙われてますね。おやIIJもだ。しかしぼかして特定されていないせいで作業量が最大254倍になります。ISPがそこまでしてくれるかどうか。
個人ユーザーを顧客にしているISPって、そこまで面倒を見てくれるものですか?あの金額でそこまでやってくれるとは到底思えないのですが、もしそうならISPというものを見直します。
今回の件では、開発元は攻撃対象のIPアドレスをぼかして晒すのではなく、個別にwhois引いて対象組織を調べて、具体的なIPアドレスとアクセス時刻を直接通知すべきであったろうと思います。ISPや携帯電話キャリアのIPアドレスなら、ISPなりに。何万件もあったのならともかく、あの程度の数ですからやる気になればできたのではないかと思います。もちろん全ユーザー宛に直接連絡するくらいはやっているのでしょうが。
IPアドレスを晒したりすると、当然それを元にwhoisを引いて組織名を晒す暇人が出てきて、そうなるとマスコミにも露出しやすくなります。広島の土石流災害に隠れたかテレビ等で見たことはありませんが。そんなことになると、例えばしばらく前に侵入被害を受けたことがあるJAXAのシステム担当者なんて、気の毒でなりません。社長とか役員とか、偉い人は自組織名がよくないことでマスコミに出るのをものすごく嫌いますから、ただ単に狙われただけであっても「綱紀粛正、再発防止、問題を起こした者(この場合単に使っていただけのユーザー)の特定及び処分」という流れになりかねません。「オンラインソフト禁止」とか言い出す偉い人もいるかも。起きたことは同じことでも、内部から報告が上がるのとネットに晒されるのとでは、組織に与える影響が全く違うのですよ。言うまでもないことながら。
企業等には迷惑をかける一方で、個人ユーザーはたぶん救えない。あれは不適切な対応だったと思います。
Jubilee
人気? (スコア:0)
どちらかというとマイナーエディタの部類だろ。
作者がことあるごとに問題起こして悪い意味では知られているが。
Re: (スコア:0)
マイナーとか人気とかは関係ない。
個人的に使いやすいので使っている。
Re: (スコア:0)
その関係ないのがいきなりタイトルの頭にぽこっと付いてるから元コメがあるんでしょ。
Re: (スコア:0)
アンタよりは遙かにメジャーだからって嫉妬すんなよ
Re: (スコア:0)
うわっ
気持ち悪い信者が出てきた
Re: (スコア:0)
EmEditorが人気ってところに引っかかって元リンク見たら案の定、ホラ吹きhylomでした
知名度も人気もいま一つ、しかもユーザーと頻繁にトラブルを起こす
Windows環境では秀丸、サクラエディタ、MIFESの三択だろ
どちらかというとマイナーエディタの部類だろ。 (スコア:0)
>どちらかというとマイナーエディタの部類だろ。
おいらは、MS-DOS時代はMifes、WindowsになってからずっとEmeditor使っています。
このソフトはマイナーだったのか?
みなさん何使ってるのきゃな?
Re: (スコア:0)
どの職場行ってもvim, Emacs, 秀丸, サクラエディタ, Mifes, Visual Studio, Eclipseのいずれか(複数利用もあり)
EmEditor使うならMeryの方がお勧め
Re: (スコア:0)
なんでMeryってエディタこのストーリーで2回も名前が出てきてんの。
機能のレベルはシェアウェア系の高機能エディタ(含EmEditor)より明らかに低く見えるけど。
(個人的には、エディタの品質を見る時はまず数100Mぐらいのファイルを開いてみる)
悪くないエディタだと思うけど、EmEditorの代わりにはならんでしょ。
Re: (スコア:0)
高機能エディタとは言えないが、癖がなくて使いやすく、機能もそれなりに充実していて万人に勧められる。