パスワードを忘れた? アカウント作成
14079696 story
教育

オランダのマーストリヒト大学、ランサムウェア攻撃を受けてほぼすべてのWindowsマシンが汚染される 24

ストーリー by hylom
どうしてそんなことに 部門より

headless曰く、

オランダのマーストリヒト大学がランサムウェアによる大規模な攻撃を受け、Windowsマシンのほとんどが影響を受けたそうだ(大学の発表[1][2][3][4]Softpedia)。

攻撃が発生したのは12月23日。大学はすべてのシステムを一時的にオフラインにしたほか、科学的データを保護するための追加措置を取り、1月6日の再開を目指して調査と修復を進めている。Windowsマシンが受けた影響について具体的には記載していないが、生徒や職員には学内・学外を問わず大学のコンピューターやシステムを使用しないよう求めている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Technobose (6861) on 2019年12月31日 8時51分 (#3738960) 日記

     全体が全く同じシステム構成の場合、同一の脆弱性を突かれて一斉に落ちるリスクが高いから、ある程度の多様性が必要かもしれませんね。
     例えばOSはWin、Linux、OS Xあたりから選べるとか、クライアントのセキュリティソフトは三社の製品から選べるとかして、OSレベルでは数種類のシステムが動いているようにしておけば、どれか一つは生きてる可能性が高そう。
     あと、クライアントとサーバではOSもセキュリティも別種にしておくとか、管理できる範囲内で多様性が必要だよね。

    //でも、最後の決め手はバックアップですよね。こういう場合。テープとか光メディアとかオフラインでバックアップをとっておけば、金と時間はかかってもデータ消失という最悪の事態は避けられる・・。

    • by Anonymous Coward

      >最後の決め手はバックアップですよね

      ほんまにそう。
      単体のマシンが使えなくなるのはまだいい方で、
      もし rm -fr * しまくるマルウェアが発生したら
      OSが違ってても常用のネットワークドライブ先まで死亡で
      我が家も阿鼻叫喚ですよ。

      • by Anonymous Coward

        ファイルシステムのスナップショット撮っておけば助かりそう。
        スナップショットも消されたら知らん。
        WindowsのHomeエディションでも撮れるよ。取ってるだけで使ったことないけど。

        • by Anonymous Coward

          セキュリティという観点ではスナップショットは無意味です。
          攻撃を受けて汚染状態にあるシステムであれば、スナップショットも当然汚染されているものと見なすべきですから。

          • by Anonymous Coward

            ランサムウェアによる破壊であればスナップショットも破壊される恐れはあるにはあるだろうけど……
            スナップショットのデータ構造まできっちり把握して操作するって
            普通のユーティリティでもあまり信頼性は期待できないのに、
            マルウェアがきっちりデータ構造解釈して改竄操作できるかは怪しい気が。

            ただの破壊でも存在検知して的確に破壊する技術が要るから、
            スナップショットだけであっても生き延びる可能性は上がると思う。
            # オフラインへのバックアップが一番ですが。

    • by Anonymous Coward

      同じ機能のアプリケーションをWindowsとLinuxの両方で開発し、別々のサーバーに搭載しデータを同期する
      お互いにお互いのサービスを監視し、不具合があったら自動で切り離す
      ユーザーからはあたかも1つのサービスのように見える

      そんなシステムを運用している事業者なんているのだろうか

    • by Anonymous Coward

      たぶん以下のどれかだと思います。
      ・アクセス権がガバガバだった
      ・システム管理者権限を持っているユーザーが感染した
      ・権限昇格の脆弱性を突かれた

      クライアントがいくら多様化しようと関係ないでしょう
      管理の面で言ったら、防ぐべき脆弱性が増えるだけでむしろ逆効果かもしれません

      • by Anonymous Coward

        Windowsマシン群を管理していたサーバーのアクティブディレクトリとやらを乗っ取れば、
        「Windowsマシンのほとんどが影響を受けた=Windowsマシンのほとんどがランサムウェアに感染した」が可能では?

        • by Anonymous Coward

          被害がWindowsなのは、単にランサムウェアがWindowsにしか感染しなかったからでは。
          大規模感染を引き起こす経路は、プロキシサーバや学内WEBを乗っ取って、「大学からの大切なお知らせ」ページを表示させる方法もありまっせ。
          この経路なら、クロスサイトスクリプティングからも攻撃可能。(ふつうなら、WEBサーバ乗っ取りだろうけど。)

          • by Anonymous Coward

            追記 プロキシの場合は、乗っ取りというよりも「なりすまし」か。
            アクティブディレクトリを経由すれば「ほぼすべてのWindows」が可能だが、
            Windows共通の脆弱性をついても「ほぼすべてのWindows」も可能だろう。
            たぶん、そこそこ古い機能の脆弱性を使った可能性もあるだろう。
            いずれにせよ続報を待った方がいいでしょうね。

    • by Anonymous Coward

      テープとか光メディアとかオフラインでバックアップ

      もっと単純に、組織の知財に関わるファイルは常にファイルサーバーに置いとくルールにしておくんで良いのでは。
      ほら、ファイルサーバーだけ多様化するのは超簡単だし。

      いっそネットカフェみたいに、サインイン毎に環境がリセットされる運用にするのもいいかも。
      もちろん継続利用するツールに関して設定回りを保存復元する維持する方法を検討するのは前提で。

      • by Anonymous Coward

        ファイルサーバに問題がなくても、クライアントから削除要求が来たら、消さざるを得ない。
        スナップショット取るとか、大量の書き込み要求を監視するとか手はありそうだけど。

        • by Anonymous Coward

          そこを気にする場合は、一時用途以外のファイルは全部世代管理の対象にしてしまっていいと思う。

        • by Anonymous Coward

          その問題は、高級なファイルサーバであれば対処は可能(回復可能)。
          まあ、そんなに予算がある所ばかりじゃないので個別の対策としては、テープとディスクが主流だろうね。

    • by Anonymous Coward

      相も変わらずバイト列で検知しようとしてっから後手後手になるんよ
      組織内での拡散防ぐにゃ個々のマシンでポート監視しあって怪しいマシンを報告隔離する自動的な仕組みを入れなきゃ
      内部はみな素性の知れてるヤツらだしパケの正邪定義も無理ではないだろうに
      今更、切り離し作業をシス管が人力対応してるだけなのは何故なの

    • by Anonymous Coward

      最近のランサムウェアは、SMBでマウントしてるサーバまで暗号化するので、
      たとえファイルサーバやNASがLinuxや独自OSでも、
      マウントして変更権限が与えられてたら暗号化される

    • by Anonymous Coward

      多様性を維持するためのコストよりも全滅を復旧するコストの方が安く済むとか色々。
      俺らごときが考え付く程度のことは大学の担当者だって知ってるだろうよ。

  • by Anonymous Coward on 2019年12月31日 9時30分 (#3738965)

    NWに繋いでるだけで勝手にそんな事が起こる脆弱性が、まだ残ってた?
    それともゼロデイ突かれた?
    今さらUSBメモリ経由感染なんて、あえてマニュアルに「USB自動実行を有効にしておけぇ!」と明記してる組織でもない限り、起こらないだろうし・・・

    それとも感染は確認していないが、NWに繋がってたし信用ならん、という意味での汚染なのかな。

    • by Anonymous Coward

      HOS及びHOSに接触したコンピュータは全て汚染されていると見て間違いないでしょうねえ

      • by Anonymous Coward

        「やっぱトロイの木馬?」

    • by Anonymous Coward

      さっきツベに繋いでたら勝手に再生始まった。
      ブラウザ落としたらnotepadが連続起動された。
      なんかあるかも。

  • by Anonymous Coward on 2019年12月31日 12時22分 (#3739003)

    こちらです。
    ってなかんじのコメント多いな。

    • by Anonymous Coward

      日経WOMANだと、正しいお金の貯め方だった

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...