三菱電機に対する不正アクセス、同社が概要を公開 26
ストーリー by hylom
なぜ管理サーバーが狙われたのか 部門より
なぜ管理サーバーが狙われたのか 部門より
昨年に三菱電機の社内システムに外部からの不正アクセスがあり、それによって同社の社内情報が外部に漏洩していたことが明らかになったが、2月12日付けで三菱電機がこの攻撃の概要を公開した(発表PDF)。
この攻撃に関しては、トレンドマイクロのセキュリティソフトの脆弱性が悪用されていたとの指摘があったが、今回公開された文書によると、ウイルス対策管理サーバーが未公開の脆弱性を狙った攻撃を受け、それによって拠点内にマルウェアが実行される事態になったという。また、以前、不正なコードをファイルに書き込むことなく実行するマルウェアが増加傾向という話題があったが、このマルウェアではこの手法が用いられており、またPowerShellが攻撃に使われていたことも確認されている。
機密データをインターネットにつながるところに置くのはダメだろ (スコア:0)
機密データはインターネットと繋がらない場所におかないと
もちろん、管理サーバやらプロキシサーバ、ライセンスサーバ、WSUSサーバ等を経由して間接的につながるのもダメ
Re:機密データをインターネットにつながるところに置くのはダメだろ (スコア:3, 興味深い)
だけど、なぜか昨今の情勢から機密情報を扱う部門も「テレワークしろ」と上層部から言われる笑えない矛盾が発生する。
Re: (スコア:0)
閉域モバイル網とかどうですかね
Re:機密データをインターネットにつながるところに置くのはダメだろ (スコア:2)
理想論を説いたところで意味はないと思います。
機密データ以前に、ウイルス対策管理サーバーがインターネットから接続可能であることにツッコミがいるのではないでしょうか。
以下、「不正アクセスによる個人情報と企業機密の流出可能性について(第 3 報) 」3ページ目より引用
Re: (スコア:0)
危険なのでパターンファイルアップデートを禁止にしよう(真顔
Re: (スコア:0)
> 機密データ以前に、ウイルス対策管理サーバーがインターネットから接続可能であることにツッコミがいるのではないでしょうか。
これ、直接外部から接続可能だったのでしょうか?
まずは社内端末が乗っ取られて、リバースコネクションを使って外部からコントロール可能な状態になり、
乗っ取られた社内端末からウイルス対策管理サーバーの脆弱性を突かれて
ウイルス対策管理サーバーについてもリバースコネクションを使って外部からコントロールされるようなった…
というシナリオの方がありそうな気もするんですが。
Re:機密データをインターネットにつながるところに置くのはダメだろ (スコア:1)
報告を見る限り、第1ステップがこれになっているので、該当のサーバーを外部公開していたと思われます。
Re:機密データをインターネットにつながるところに置くのはダメだろ (スコア:1)
他の可能性としては、NICと送信元の対応をチェックしないタイプの古いファイアウォールを運用していて、かつ、プライベートIPを詐称して攻撃したケースが考えられます。
が、この場合は上位ネットワークを監視/操作できていないと極めて困難なので、犯人は上位ネットワークを支配できている可能性が…
Re: (スコア:0)
元記事のように一度内部に入ったのでなければ、PDFに書いてある「送信者アドレス詐称」って、ルーティングも握られているってことだよね?最初にやられたのが中国拠点っていうことは、実は犯人グループは中国政府の関係者で、上流のプロバイダも実は犯人グループってことでは?特定が難航するわな、それは。
Re: (スコア:0)
> PDFに書いてある「送信者アドレス詐称」って、ルーティングも握られているってことだよね?
> 実は犯人グループは中国政府の関係者で、上流のプロバイダも実は犯人グループってことでは?
ログに逆引きした名前しか記録されておらず、IPアドレスの記録はなかったという可能性も一応あるかも。
あと、IPアドレス詐称の場合であても、やられてるのが上流プロバイダとは限らないと思います。
むしろ相当に遠方の末端プロバイダの可能性の方が高いのでは?
例えば以下の台湾のpublic DNS server が
Re: (スコア:0)
外野予想
・アンイウィルスのパターン配信サーバのIPアドレスを、BGP hijackで短時間経路を乗っ取る
↓
・アクセスしに来たサーバに、毒入りのパターンファイルを送りこむ。(これが未公開のゼロデイアタック)
・TLSは、杜撰に発行された偽証明書で突破
↓
・毒パターンを配信されたクライアントでファイルレスマルウェアが誕生し、活動開始
↓
以下略
Re: (スコア:0)
それならまだゲートウェイ(ルータ)の脆弱性を突かれて内部ネットワークに侵入された説の方が可能性高そう
Re: (スコア:0)
そんな気もするけど、発表されたポンチ絵には、端末が乗っ取られるきっかけになったのがウイルス対策管理サーバみたいに書いてあるんだよなぁ。
Re: (スコア:0)
ウイルス対策ソフトの管理サーバは、インターネット側と内部ネット側の2台置いて、
その2台の間は、物理メディアで情報を運ぶみたいな運用じゃないと
内部ネット側管理サーバ→外部側管理サーバ間のデータ転送は不要、
もしくは可読形式のテキストファイルのみに限定とかね
Re: (スコア:0)
もしくは可読形式のテキストファイルのみに限定とかね
ishがアップを始めました。
Re:機密データをインターネットにつながるところに置くのはダメだろ (スコア:2)
機密なデータは暗号化しておく事の方が重要だと思うけどね。
あのFacebookでさえ、パスワードを平文で置くというヘマをやらかしているんだから。
ネットに接続しないようにしておくべきというけども、それが業務の効率化を下げることにつながることもあるので
一概にダメとは言えないでしょう。直接だろうが間接だろうが。
Re: (スコア:0)
そういうどこを守るのかのポリシーのない泥縄的アイデアをぶっこむのは良くない。
人間は復号された状態でなきゃ閲覧も編集もできないのだから、業務から暗号化されていない状態を排除することは不可能。
一部の情報が偶然守られることを期待した変なフローの導入はセキュリティ意識の一貫性に害を為すよ。
Re: (スコア:0)
Microsoft IRM 使えば、Office ファイルを認証受けられる端末でだけ開けるようにできるよ。
イントラの中なら普通に編集できて、外にコピーすると閲覧もできない。
Re: (スコア:0)
じゃあとりあえずメールは廃止ね。
Re: (スコア:0)
内部用PC/LANと外部用PC/LAN2つ用意して、メールやネットは後者でやるとか、
もしくは、同じPC内に、内部用VMと外部用VM、おなじネット内に内部用VLANと外部用VLAN置いて、論理的に分割するとか
Re: (スコア:0)
いやメール自体が機密情報だし。
Re: (スコア:0)
>内部用PC/LANと外部用PC/LAN2つ用意して、メールやネットは後者でやるとか、
セキュリティにうるさかった現場ではこうでした。
内部もセキュリティレベルでネットが分けられていて、異なるレベルにはアクセスできないし、admin権限は限られた人しか持ってなかった。
完全に外部から遮断されたPCはもちろんWindows Updateも届かないけど、怪しいサイトもあやしいアプリからも守られていた。
Endpoint Protectionは入っていたので、たまに自己書き換えプログラムが誤検出されて騒ぎになったりしたのもいい思い出。
Re: (スコア:0)
SIPRNETとNIPRNETみたいだ
Re: (スコア:0)
文部科学省の 教育情報セキュリティポリシーに関するガイドライン [mext.go.jp] がまさにこんな構成ですね
Re: (スコア:0)
今回の件は分からないけど、何でもかんでも機密データに指定しすぎなのは問題ではないかな。
当社のデータは全て機密データですとか、顧客に関するデータは全て機密データですって所が多くないかな?
きちんと分離するのが重要なのに、全て機密なんてやられたら利便性を重視すべきデータも混じってしまって、まともに運用できなくなる。