パスワードを忘れた? アカウント作成
12126051 story
情報漏洩

東京商工会議所、ウイルスメールで個人情報漏洩 42

ストーリー by hylom
続く漏洩事件 部門より
あるAnonymous Coward 曰く、

東京商工会議所がサイバー攻撃を受け、1万2139人分の個人情報が漏洩した可能性があることを発表した(47NEWS東京商工会議所のニュースリリース日経ITpro)。

ウイルスメールを開封して感染したことが原因だという。感染が判明したのは5月22日だったそうだ。

流出した可能性があるのは、国際部で管理していたセミナー出席者などの氏名や住所、電話番号、メールアドレス、会社名などとのこと。JPCERTコーディネーションセンター(JPCERT/CC)から5月11日に連絡を受けて調査を開始していたという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • いかにダブルクリックさせるかで勝敗が決まるサイバー攻撃とか。

  • by Anonymous Coward on 2015年06月10日 18時29分 (#2828629)

    なんというか、本当に発覚したもので全部なのか。

    ベネッセはユーザーがわざと違う署名書いてやっとベネッセソースだと発覚した。
    年金機構は警察に依頼してやっと漏洩が発覚した。
    今回はそれらを受けて職員が「メールクリックあ感染したかもやべえ調べて」ということで発覚したのだろう。
    じゃあ今までに他に漏洩はなかったのか。実は発覚してないだけではないのか。

    • by Anonymous Coward

      そら気づいてなければ公表もできないからな。
      //知らぬが仏。仏の顔も三度まで。

    • by Anonymous Coward

      発覚していない例のほうが、はるかに多いと思うぞ。

      情報流出に気が付くためには、すべてのインターネットアクセスログや、USBなどのメディアへの書き込み、DBや共有ディスクへのアクセスログを解析して、通常業務外のアクセスを洗い出した上で、それが不正なアクセスじゃないことを個別にチェックする必要がある。WEBページを見れば1ページ見ただけで数十行のアクセスログが吐かれるし、共有フォルダ開いただけでサムネイル作成とかでアクセスログ吐かれるし、全部足したら中小企業でも一日に数千万行ぐらいにはなるはず。

      このログを精査できるだけの情報システムとエンジニアを配置している企業って、本当に稀だと思うぞ。

  • by Anonymous Coward on 2015年06月10日 22時38分 (#2828718)

    exeクリックを常態化させてしまった秘文の罪は重いと思うけど、IPAは「ソフトウエア・オブ・ザ・イヤー2015」 [nikkeibp.co.jp]に秘文を選んでお墨付きを与えているらしくて、旗振り役のIPAからこれではもうどうしようもないのかな?
    この事件を機に、exeつきメールを使うソフトは不可という仕様が一般的になってほしいです。

    • 「秘文」シリーズのソフトには色々ありますが、基本的に「糞フト」の集合体だと言えます。「糞フト・オブ・ザ・イヤー」 にノミネートすべきような性質のものです。

      (以下は、イタズラ半分、おもちゃで遊ぶような感覚で、知り合いからいただいた秘文がインストールされていた廃棄品ノートパソコンを弄んでみた際の私の個人的な体験談です。記録を作っていた訳ではないため、どのバージョンの秘文なのかといった具体的なデータを挙げることや、最新バージョンでの対策の有無をお答えすることはできませんので、参考程度にご覧下さい。また、当該ノートパソコンに秘文以外の他社のセキュリティツールも一緒に入っていたかもしれないので、秘文以外について述べた記述が一部混ざってしまっている可能性もありますので、ご容赦下さい。その場合には突っ込んでいただけると幸いです。)

       「秘文」はフリーソフトやOSの機能などでもできるような処理に、幾つかのギミックを足して、より安全になったと人を錯覚させるソフトウェアの集合体です。あくまでも「錯覚」であって、スクリプトキディ程度の知識のある人ならば回避できる付加価値機能が大半です。例えば、ファイルの暗号化だったら、一定期間経つと見れなくなるとか、閲覧専用でコピーやスクリーンキャプチャーができないので情報の社外への持ち出しを制限するといった機能がついてます。他にもUSBメモリーへのデータ転送を制限とか、まぁ企業のお偉いさんたちが喜びそうな機能が満載なのです。

       さて、そういった機能を、解析してみたところ、お粗末なものでした。一応、キャプチャー防止は Print Screen キーが使えないだけではなく(SetWindowsHookEx かなんかを使ってのキャプチャー阻止だけでなく)、SnapCrab for Windows や RocketMouse といったキャプチャーツールの使用もきちんと妨害します。スクリーンのキャプチャー処理を行うWindowsのAPIの処理を途中で奪ってメモリ上のキャプチャーデータをダミーデータに上書きしているようです(そういった余計な処理が異常にパソコンを重くしたりセキュリティソフトと干渉しているので秘文が入ったパソコンは不安定で重くよく問題を起こします)。そういった行為を行うプロセスはビューワーとは分離しているので、それをタスクマネージャーから終了させるとどうなるか……、ビューワー側のプロセスが定期的に監視をしているらしくきちんとエラーが出て止まるようになっていました。しかし、その一つ上のクラッキングを行える人には無力です。キャプチャーを妨害しているプロセスを終了させずに、そのプロセスの処理を遅延させたところ、SnapCrab などのツールでキャプチャーが可能になりました(ビューワーの方でも Print Screen キーを奪っているのか、Print Screen によるキャプチャーはできないままでしたが)。

       不正に情報を漏洩させるインサイダーを監視して管理者への報告するプロセスもありますが、プロセスを kill せずに Process Explorer などのツールで suspend すればバレないとったレベルのようです。「不正」を行う内部犯をずいぶん甘く見ているな、と感じました。

       あと、余談ですが、秘文を導入したパソコンって、とにかく重いんですね。起動に10分かかるのは当たり前だし、起動後の処理も同スペックの秘文が入っていないパソコンの数倍かかる感じです。ありとあらゆるプロセスに割り込んで、余計な処理を処理しているので、当たり前といったら当たり前ですが。

       はっきり言って、秘文よりも、フリーソフトを使ったほうが、よっぽど安全で業務効率も低下しないと思います。HDDをの暗号化だって、TrueCrypt なら AES 256 で 2~3割遅くなる程度ですが、秘文の暗号化だと体感で何倍も重くなります。暗号化だって、ZIP の暗号化(必ず AES-256 を使用。最も普及している ZipCrypto は脆弱でもはや意味をなさないので使わないこと)で十分です。秘文の付加価値であるところの、10回パスワードを間違えると削除される機能(オリジナルファイルをコピーしとけば回避できる)だとか、閲覧期間を制限する機能(パソコンの日付を変えられば見られる)とか、スクリーンキャプチャーの妨害(回避方法は前述)は全く意味を成さないゴミであって、そんなことのために exe ファイルが使われる方が情報漏洩のリスクを高めているのです。よくわからないけど秘文の導入されているIT担当の方がいらっしゃいましたら、知り合いのスクリプトキディなどに事前に相談されることをおすすめします。

       最近では、日立のサーバと通信して、ファイルの閲覧などの権限を毎回オンラインでやる秘文ソフトもできたようですが、日立のサーバと通信するようなソフトを取引先に渡したところで相手のファイアウォールにブロックされて実行できないケースが多く実用的ではないので利用されないでしょう。それに、ファイルの複合キー(秘文はAESアルゴリズムを採用)と暗号化されたデータ(秘文クライアント付き)は相手に渡すのですから、秘文クライアントのexeファイルを解析すれば、権限管理処理(秘文のサーバと通信して、アクセス権が失効していないかを確認する処理)は迂回できてしまうでしょう。

      親コメント
      • by Anonymous Coward on 2015年06月11日 9時41分 (#2828836)

        短い文章で言いたいことを伝える技術が必要だとおもうの。

        親コメント
        • by Anonymous Coward

          「これが最善」と確信してやっているっぽいのでたぶん無理。

        • by Anonymous Coward

          ・秘文のコピー防止や閲覧制限機能は抜け穴だらけだ
          ・秘文はコンピュータの動作を非常に重くする
          ・秘文よりフリーソフトを使った方がよい

          #ライブドアニュース風にお届けしました。

        • by Anonymous Coward

          最初の数行に結論から書いてあるのだから、
          長文読めない人は読まなければ良いかと思います。

      • 秘文については詳しくないのですが。

        知り合いからいただいた秘文がインストールされていた廃棄品ノートパソコンを弄んでみた

        大丈夫? ライセンス的に。

        キャプチャーを妨害しているプロセスを終了させずに、そのプロセスの処理を遅延させたところ

        不正に情報を漏洩させるインサイダーを監視して管理者への報告するプロセスもありますが、プロセスを kill せずに Process Explorer などのツールで suspend すれば

        それって、一般ユーザで可能な操作なんですか?

        セキュリティソフトウェアって、どんなもので、そのソフトウェアさえあればokってのはなくて、いくつかのソフトウェア・管理・運用を組み合わせて効果を高めていくものです。
        この手のソフトウェアは、企業向けであって、Active Directoryなんかでユーザ権限がきちんと制限されているのが前提なんじゃないかと思います。
        ユーザに無制限な管理者権限を与えておいて、セキュリティソフトウェアは不完全だ、なんて言うのは、まあ、何て言うか、当たり前と言うか、そんな使い方は想定外ですよ、と言うか。

        まあ、機能の一部がダメダメ、って言うのは、そうなのかもしれませんが。

        親コメント
      • by Anonymous Coward

        秘文+Norton AntiVirusでデータを破壊しまくるバグもありましたね。
        しかも度々再発してるのに、なんで会社はあんなもの使い続けてたのだろうか?

    • by Anonymous Coward

      そういえば、多分IPAだったと思うんだけど。
      PCをチェックしてくれるウェブサイトがあるというんで覗いてみたら、チェックのためにはJavaのruntime入れろとあって引っくり返ったことがあったっけ。

      • by Anonymous Coward

        IPAは最新のJavaのバージョンに合わせてくれるからまだよい。

        多くのセキュリティ製品は管理用ツールをJavaで作ることが多く、しかも脆弱性の直された最新バージョンでは動かない物が多い。
        そのせいで、セキュリティ担当者のPCには脆弱性が空いたままのJavaVMが使われ続けているという。

        Javaで開発するのは、開発が楽だからなのであって、ユーザーにとって良いことは一つもない。
        もうJavaで作るのはやめろ!

      • by Anonymous Coward

        Javaの脆弱性チェックするのにJava使うってバカじゃないかと思ったもんで
        IPAに意見したことあります

        おかげでかどうか、最近は.NET版もできたようで(え

    • by Anonymous Coward

      > 「ソフトウエア・オブ・ザ・イヤー2015」

      リンク先では
      > 「ソフトウェア・プロダクト・オブ・ザ・イヤー2005」
      となっているようですが…。

  • by Anonymous Coward on 2015年06月11日 10時01分 (#2828840)

    自発的な感染能力を持たない「トロイの木馬」を「ウイルス」と言い換えるべきじゃなかった。
    ウイルスだと、まるでOSやアンチウイルスソフトが感染を阻止できなかったのが問題点で、トロイを実行した人間は悪くないような印象を持たれてしまいます。
    でも、本当は実行した人間こそがセキュリティホールなわけで……。
     
    かつ、標的型攻撃のトロイに対してアンチウイルス/アンチマルウェアソフトの防御が働くと期待する人が少なくないのも問題。
    (スラドでもそういうコメントが見受けられました)
    日本年金機構に送られたトロイ(ばかげたことにEXE)は、挙動上は
     
    ・ローカルマシンもしくはファイルサーバーを検索してファイル読み込み
    ・インターネット上のサーバーへデータをアップロード
     
    という機能を持つ、ただのプログラムです。
    (バックドアもあったらしいけど、それだって大した特徴があるわけでもない)
    アンチウイルス/アンチマルウェアソフトは、同じプログラムが感染を引き起こした後にパターンファイル配布によって防御が働くものであって、一品ものの標的型攻撃はまず検出不可能です。
     
    たかが用語、されど用語。
    マルウェアの実行に人間の介在が必須の場合は、「ウイルス」と呼ぶべきじゃない。
    # ただし、ルーマニアウイルスを除く。

    • by Anonymous Coward

      そんなレベルじゃないと思うけどな
      被害にあう人たちの中では、そんな呼称の違いなんてものは、大した意味を持たないような気がする。

  • by Anonymous Coward on 2015年06月10日 18時25分 (#2828627)

    どうなってんのもう。
    クラッカーの活動が活発化してるのか?
    それとも年金機構がやられてくれたお陰で、
    「この流れなら言える!」と便乗してるのか。

    • by JULY (38066) on 2015年06月10日 18時38分 (#2828632)

      どうなってんのもう。 クラッカーの活動が活発化してるのか?

      年金機構の一件があった後に、カスペルスキーが、日本をターゲットにした標的型攻撃の「Blue Termite」の一環ではないか、というコメントをしています。

      攻撃されるのは恥じゃない--年金機構被害でカスペルスキーが対策語る - CNET [cnet.com]

      2014年の秋頃から日本をターゲットにした新たな標的型攻撃(APT攻撃)「Blue Termite(ブルーターマイト)」が観測されており、一連の攻撃パターンから日本年金機構も、このAPT攻撃の被害にあった可能性が高いとカスペルスキーでは見ている。

      親コメント
      • by Anonymous Coward

        そう言えば、防衛省も狙われたとかいう報道がありましたね。
        漏洩は認められなかったそうですけど。

    • by Anonymous Coward

      便乗というか今までは報告受けても相手にしていなかったのを慌てて確認したんじゃないでしょうか

      • by nemui4 (20313) on 2015年06月11日 7時29分 (#2828798) 日記

        >便乗というか今までは報告受けても相手にしていなかったのを慌てて確認したんじゃないでしょうか

        同一グループの犯行か、あっちサイド(どこ?)で情報共有が進んで手口が拡散してるのか。

        年金機構の件も犯人探してるんだろうけどまだ特定できてなさそうだし、手口の解析とシステマチックな対応整備も全く進んでないし。
        この辺ちゃんとできるまであらゆる機関や企業が繰り返しやられていきそう。

        #個人情報つかんだら離さないっぽいC*Cとか*天とかだいじょぶかな。

        親コメント
  • by Anonymous Coward on 2015年06月10日 18時50分 (#2828636)

    電子メールの利用を恒久的に禁止。連絡は電話と郵便で。FAXも禁止な。
    インターネット上のウェブサイトの閲覧も事前に登録されたサイト以外全部禁止。

    • by Anonymous Coward on 2015年06月10日 20時20分 (#2828668)

      インターネット上のウェブサイトの閲覧も事前に登録されたサイト以外

      どこの会社とは言えませんが、こういうルールがあったにもかかわらず、ウェブ経由でウイルスに感染してしまったことがありました。

      拡張子とかで検索すると出てくるサイトで、何をどうやってもウイルスに誘導される仕組みになっていましたが、
      どこから拾ってきたのか、それなりに説明文が用意されていて、「役立つサイトだから」として申請され
      それが許可されてしまっていたようです。

      親コメント
  • by Anonymous Coward on 2015年06月10日 19時14分 (#2828644)

    基本的な安全対策すら全く考慮していないアホ組織多すぎ
    どうせセキュリティ関連なんて予算も時間も確保できないんだろうな

    • by Anonymous Coward on 2015年06月10日 21時42分 (#2828700)

      アホだの無能だの、人のことを扱き下ろせる人って、そんなに万能で全能なんでしょうか?

      親コメント
      • by Anonymous Coward

        さすがに今回のは教養がない行為
        サイバー攻撃なんて用語でごまかしてるように思える位

        • by Anonymous Coward

          このスレのAC全員標的型攻撃されたらあっさりひっかかりそうw

      • by Anonymous Coward

        万全や全能でないならば無能なアホだって話?

        年金機構みたいな「初歩の初歩の基本的なことすら知らず守らず考慮せず」ってのは話の次元が違うと思いますがね。
        システムで何とかすべきだ!って主張する連中は、システム運用規則すら守らず持ちだして個人情報を公開するバカ組織相手にどうやってシステムで防御する気?ってことですよ。

    • by Anonymous Coward

      アホというか、単に無知なんじゃないかな。
      わけも分からず新しい道具を与えられて使っているものの仕組みを全然知らないから、どう使うと危ないとか、使い方を間違えた時にどうなるとか、全く想像できないんじゃないかと思う。

    • by Anonymous Coward

      規則があっても
      個人情報扱わない開発者は接続禁止。
      個人情報扱う事務は接続可。
      なんですよ。
      webシステムなんですけどね。

  • by Anonymous Coward on 2015年06月10日 22時46分 (#2828719)

    他社がお漏らししたからウチのお漏らし発表しても埋もれるかも?

  • by Anonymous Coward on 2015年06月11日 8時26分 (#2828810)

    名刺交換せずに社名や担当者名を広く配布できた側・・・・なの?

    #いやいや....

  • by Anonymous Coward on 2015年06月11日 16時40分 (#2829091)

    とあるブログで発見したのですが、こんなのやったら効果ありそうでしょうか。

    下のブログの二番目の項目です
    「国民の情報を扱う官公庁、外郭団体の理事以上に情報処理技術者資格の義務づけ」
    http://www.landerblue.co.jp/blog/?p=20343 [landerblue.co.jp]

  • by Anonymous Coward on 2015年06月11日 19時39分 (#2829228)

    なんか、スラドは他人事じゃないんじゃないの?
    本番で動かしだしてから、特にメンテ予告もなしにシステムがコロコロ変わってる。
    俺はIDとか登録してないけど、こんな場当たり的改修続けてると、
    そのうちクラッカーに狙われるんじゃないだろうか。

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...