
三菱電機へのサイバー攻撃とそれによる情報漏洩、発覚したきっかけは不審な「Chrome.exe」 66
ストーリー by hylom
単なるツールの回答としては正しいがコンサルタントとしては…… 部門より
単なるツールの回答としては正しいがコンサルタントとしては…… 部門より
今年1月、三菱電機に対しサイバー攻撃が行われ情報が漏洩する事件が発生した(過去記事)。この事件についてはトレンドマイクロのセキュリティソフトの脆弱性が悪用されていたことも報じられているが、三菱電機のサイバー攻撃対策チームが攻撃を受けた際に見つかった不審なファイルをトレンドマイクロに送付して解析を依頼したところ、「異常なし」という回答を受けていたという話が報じられている(朝日新聞)。三菱電機の対策チームはこの回答を受け、独自に調査を行なった結果サイバー攻撃の痕跡を見つけ、情報漏洩が明らかになったそうだ。
問題の不審なファイルの正体はWindowsのコンポーネントの1つである「powershell.exe」だったとのことで、特に改変などもされていなかったことからトレンドマイクロは「異常なし」と判断したという。ただ、このプログラムはファイル名が「chrome.exe」に書き換えられており、また本来存在しないはずの「C:\ProgramData」ディレクトリ内に隔離されていたという。このファイルは、トレンドマイクロの「ウイルスバスター」は不審なものとして検出したことで存在が発覚したそうだ。
なお、このサイバー攻撃ではPowerShellに対し悪意のある命令を実行させるという手法が使われていたことが先に明らかになっている。
まぁね (スコア:1)
メーカーをあえて書かないけれど。こんなもんよ。
なのでおすすめのセキュリティソフトは、サーバや端末内の
各ライブラリーと実行体をハッシュ値でまず判定する機能を
持っている奴です。
Re: (スコア:0)
つまりWindows Defender Application Controlとかか。
でもWDAC(に限らずホワイトリスト方式セキュリティソフト全般だろうが)って運用困難と聞くしな。
ひな形マシンを準備して、アプリケーションが更新されるたびにポリシーファイル作り直して配布してを延々と繰り返す、しかもひな形マシンと異なる構成は許されないなんてのを続けられる自信は無い。
Re:まぁね (スコア:1)
専用機(EmbeddedとかIoT Enterpriseとか)だと良いかもしれんね。
Re: (スコア:0)
シマンテックのエンドポイントは検出実績の少ないソフトだと正規のアップデートでもアラートが出るね。
Re: (スコア:0)
一般コンシューマー向けのNorton Internet Securityとかでもアラート出したり勝手に隔離したりするので、
多分シマンテックの奴に共通した挙動だと思います。
Re: (スコア:0)
バイナリ系は置いとくとして
そろそろスクリプトはllvm的なOS内一律実行環境用意する時期に来たんじゃないかと思うね
アプリ内のDSLも含めOSの直接管理下にまとめ実行するAPI用意してさ
Re: (スコア:0)
llvmって言葉知ったばかりなところ?申し訳ないんですが・・・
バイナリ系は措くといってるところから察するにどうもLLVM ILのことを言いたいのかしら?
PowerShellは1.0のころからそういった仕組みの上に存在していますよ。
.NET Frameworkとか.NET Coreで調べてみてね
もしLLVMに興味があるならぜひいろいろ調べてみてね。
IL以外にも様々な概念を含んでいて面白いですよ。普及へ一役買ってください!
#LLVMはバイナリ系(変な言葉だけど)も包含しますよ。
Re: (スコア:0)
Tripwire とかあったな…
セキュリティソフトの欠陥 (スコア:0)
ウイルスバスターはウイルスバスターを不審なものとして検出できなかったようだ。
Re:セキュリティソフトの欠陥 (スコア:1)
ウイルスバスターは、ProgramDataフォルダ内のChrome.exe(実態はpowershell.exe)を不審と判定したが、
トレンドマイクロは不審ではないと判定した。
この場合、ウイルスバスターに欠陥があると判断すべきなのか
トレンドマイクロに欠陥があると判断すべきなのか・・・
# 会社的にファイル名を擬装する手段は慣れている筈なのに・・・
Re: (スコア:0)
変な場所に偽装した名前で配置してる時点で不審だし検出するのは当然。
バイナリだけ送って報告されたとかなら不審ではない判定も仕方ないが、
ファイル名や発見状況を僅かでも聞いていればトレンドマイクロのチョンボ。
そもそもマルウェアメーカーのソフト入れてる時点でまともな要素ないんだが。
登場人物みんなクズってパターン。
「トレンドマイクロはマルウェア配布して開き直りのとこだね、
三菱でITと言えばLibrahack事件のMDISか。仲良く沈んで浮かんでくるなよ」レベル。
Re: (スコア:0)
ノートンもカスペルスキーもマカフィーもアバストもディフェンダーも、どれもウイルスバスターを不審なものとしては検出しないでしょ?
Re:セキュリティソフトの欠陥 (スコア:1)
そのどれかは自身を不審な物として検出したときがあったような…
# たしか、本来付けられるはずの署名が付いてなかったとかだった。
Re:続きは有料 (スコア:1)
昨今サイバーセキュリティ分野の報道は朝日新聞もとい須藤龍也記者の一人勝ちですね。他紙にも見習ってほしい。
Re: (スコア:0)
ちょっと前までは新型コロナの対応の一つで一部有料記事が無料で読めたんですが、終わったようで残念。
ただ会員登録だけしておくと、有料登録していなくても一部有料記事が一日一本だけ読めます。この記事がそれに対応していないのが残念。
Re:続きは有料 (スコア:1)
ログインしなきゃ見れない記事は無いものとして扱う主義なので
Re:続きは有料 (スコア:1)
いつもなら図書館でついでに見てこようと思っても、図書館自体が閉まってるし残念。
Re:続きは有料 (スコア:3, 参考になる)
紙面には詳細部分ついての記載がなく、Web 版のみ閲覧可能なようですね。
ref.
@piyokango (Twitter, 2020-05-08 11:03)
https://twitter.com/piyokango/status/1258578364001972224 [twitter.com]
ただ、以下のツイートで記事の要点を挙げてくれているので、参考になるかと思います。
ref.
@piyokango (Twitter, 2020-05-08 10:53)
https://twitter.com/piyokango/status/1258575703953436672 [twitter.com]
①Trend Micro へ不審ファイル解析依頼も異常無しと報告
②社内 CSIRT は①を受け独自調査実施決定
③ウイルスバスター Corp 被害例を取り上げた LAC レポートは別事案
④国内侵害起点の VPN の脆弱性も当時未修整
Re:続きは有料 (スコア:1)
手間暇かければ登録無しでなんとか読めるんですけどね。
非常に面倒なのでよほど読みたい記事以外はおすすめできない。
Re:続きは有料 (スコア:1)
たしかに必要なのが朝日新聞だけならそうなんだけど、それを言ったら読みたい新聞はたくさんあるし、新聞以外も興味があるものはたくさんある。
全部金を払ってたらいくらあっても足りないよ。
無数の興味があるものの中から取捨選択したら結局、払えないだけ。
Re: (スコア:0)
ほんとにこのとおり。
dマガジンみたいに、新聞も複数の新聞社のをパッケージで契約できる仕組みがあればいいのに。
Re:続きは有料 (スコア:1)
「あらたにす」のこともたまには思い出してあげてください
Re: (スコア:0)
たくさんっつっても10も20もあるもんなの?
金額が万単位のコンテンツならその説はわかるけど、980円クラスなら金足りるんじゃね?
Re:続きは有料 (スコア:1)
朝日、またやらかしたね。医師の意見と真逆になるよう編集して報道。
嘘の情報ソースに金を払いたくないってのはケチとは違うでしょ。
Re:続きは有料 (スコア:1)
> それさえ出し渋って,無料で読めなくて残念とか,図書館で見てるとか,まともな大人の発言とは思えません
君、ホントに朝日の読者ですか?
朝日を読んでたら「新聞すら読めない貧困世代を生み、格差の拡大を招いた政治の責任は大きい」とか言うのでは。
Re:続きは有料 (スコア:1)
なんだかんだでネットでニュースという物の一次ソースは朝日新聞が一番多いし(俺調べ)月1000円は払う価値あるよ
Re:続きは有料 (スコア:1)
事実を歪めたニュースなんか見てもね…
Re: (スコア:0)
> 一次ソースは朝日新聞が一番多いし
スラドばっかみてるんですね。
Re:続きは有料 (スコア:1)
月々980円の他に、単品で300円くらいとかでも売ってくれないかな。
最低賃金中央値は790円なんですが (スコア:0)
最低賃金(都道府県別)の中央値は、青森・岩手など15県もが占める「790円」です。
求人情報見ても最低賃金が大半ですので、単純計算で1時間15分働かないといけませんね。
実際には、通勤時間には給与は発生せず、始業時間には仕事を始められる状態にするために早めに
つかないといけない企業が大半で、就業も同じく遅れるし、所得からは税金等がひかれるので、
実質1時間半~2時間以上は働かないといけません。
なので、図書館に行ったときに「ついでに」見る方が合理的でしょう。
Re: (スコア:0)
最低賃金で働く人変だとかおかしいとは言わないが、
それが当然だってのはそれはそれで間違ってるだろ
スラド人士の年収分布とかどんなもんなんかね
Re: (スコア:0)
スラド民は高等遊民のハズでは…?
Re: (スコア:0)
社会人って昼飯の予算が500円ってよく聞く気がする。
そんな人なら、980円は高すぎだろ。
Re: (スコア:0)
一日500円と1ヶ月980円を比較できるといつから思った?
Re: (スコア:0)
昼飯一食分の方が役に立つからなぁ、昼飯二食分の価値すらないよ
Re: (スコア:0)
980円は該当記事一つだけを読むコストだよね?
あとの記事が読みたくないなら、1ヶ月朝日新聞を読めても価値はない。
読みたくない記事を無理に読む時間を自給換算したら、いくら損になるんだよ。
該当記事を読んですぐ契約を止めるとして、朝日新聞の解約の時間コストはいくらなのか?
15分で解約できたとして、それこそ一食代ぐらいにはなりそう。
Re: (スコア:0)
月額3,800円じゃないの?と思ったら、月300本のコースか。
https://digital.asahi.com/info/price/?iref=guide_top [asahi.com]
どうせなら、1本単位でバラ売りもしてくれればいいのにね。そうなったら1本50円ぐらいかな?
Re: (スコア:0)
図書館利用をディスるなんて、日本人の貧困率の高さを知らないの?
「約6人に1人は「相対的貧困」なのです」( https://business.nikkei.com/atcl/seminar/19/00067/111200016/ [nikkei.com] )
Re: (スコア:0)
貧乏のくせに図書館の存在すら忘れてる人もいるんですよ、そういう人は交通費もケチるので、
毎朝運んでくれる情報を鵜呑みにするか、それも払えなくなって新聞の数分の1の値段ですむネット購読でもしてるんじゃないですかね。
気狂いな思考を生み出すためには、その辺の新宗教と同じで、狂った元ネタが必要な訳でして。
パヨクは狂った情報源のみを吸収する情報中毒人間になったのを気づいてないようですね。
だからネットで殺人予告や脅迫をしたり、教え子に障害者施設で大量殺害をさせる思考を与えることができるのでしょう。
Re: (スコア:0)
「相対的」な貧困であって、新聞や書籍を買うことが困難な人なんてその中のごく少数だろ
むしろ図書館なんて期限切れの古い本とか百科事典みたいな特殊な本だけに限定して「読みたいなら買え」ってした方が相対的貧困率も少しは下がるんじゃない
酷い図書館だと新刊本から映画や音楽ソフトまで置いてるんでしょ
Re: (スコア:0)
遅かれ早かれ、コロナ復興税を搾り取られる見込みなので、不要不急の支出は、差し控えさせていただきます。
Re: (スコア:0)
紙で取ってるのをわざわざ同額払って電子版でも読むとかバカバカしいし
ましてや図書館までわざわざ紙面見に行かないわな
>朝日新聞のデジタル版は月々980円
それはフルじゃないよね
Re: (スコア:0)
そもそも匿名で払えない
Re: (スコア:0)
アサヒる新聞にお金出すの?捏造出鱈目記事に?
まともな新聞にお金を出しましょう。
Re:続きは有料 (スコア:1)
Re: (スコア:0)
こういう人間は右翼でも左翼でも洗脳され、搾取される。
Re: (スコア:0)
貨幣経済の否定?
Re: (スコア:0)
三菱自身のサイトで読めばええやん
Re:続きは有料 (スコア:1)
確かに基本的な手法部分についてはこのリリースと一致していますが
今回知りたいのはこの判明するまでのプロセス(精査の一言でまとめられる部分)でどんなことがあったかなのですよ。
トレンドマイクロに調べてもらったがスカ判定もらったとかそういったのはリリースでは出てこないので
Re: (スコア:0)
普通もっとぼんやりした表記に丸めちゃうだろうに、今回の記事はパスとか技術要素の名前そのまま出て面白いよね