パスワードを忘れた? アカウント作成
14179692 story
インターネット

三菱電機へのサイバー攻撃とそれによる情報漏洩、発覚したきっかけは不審な「Chrome.exe」 66

ストーリー by hylom
単なるツールの回答としては正しいがコンサルタントとしては…… 部門より

今年1月、三菱電機に対しサイバー攻撃が行われ情報が漏洩する事件が発生した(過去記事)。この事件についてはトレンドマイクロのセキュリティソフトの脆弱性が悪用されていたことも報じられているが、三菱電機のサイバー攻撃対策チームが攻撃を受けた際に見つかった不審なファイルをトレンドマイクロに送付して解析を依頼したところ、「異常なし」という回答を受けていたという話が報じられている(朝日新聞)。三菱電機の対策チームはこの回答を受け、独自に調査を行なった結果サイバー攻撃の痕跡を見つけ、情報漏洩が明らかになったそうだ。

問題の不審なファイルの正体はWindowsのコンポーネントの1つである「powershell.exe」だったとのことで、特に改変などもされていなかったことからトレンドマイクロは「異常なし」と判断したという。ただ、このプログラムはファイル名が「chrome.exe」に書き換えられており、また本来存在しないはずの「C:\ProgramData」ディレクトリ内に隔離されていたという。このファイルは、トレンドマイクロの「ウイルスバスター」は不審なものとして検出したことで存在が発覚したそうだ。

なお、このサイバー攻撃ではPowerShellに対し悪意のある命令を実行させるという手法が使われていたことが先に明らかになっている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2020年05月08日 20時55分 (#3811280)

    メーカーをあえて書かないけれど。こんなもんよ。

    なのでおすすめのセキュリティソフトは、サーバや端末内の
    各ライブラリーと実行体をハッシュ値でまず判定する機能を
    持っている奴です。

    • by Anonymous Coward

      つまりWindows Defender Application Controlとかか。

      でもWDAC(に限らずホワイトリスト方式セキュリティソフト全般だろうが)って運用困難と聞くしな。
      ひな形マシンを準備して、アプリケーションが更新されるたびにポリシーファイル作り直して配布してを延々と繰り返す、しかもひな形マシンと異なる構成は許されないなんてのを続けられる自信は無い。

    • by Anonymous Coward

      シマンテックのエンドポイントは検出実績の少ないソフトだと正規のアップデートでもアラートが出るね。

      • by Anonymous Coward

        一般コンシューマー向けのNorton Internet Securityとかでもアラート出したり勝手に隔離したりするので、
        多分シマンテックの奴に共通した挙動だと思います。

    • by Anonymous Coward

      バイナリ系は置いとくとして
      そろそろスクリプトはllvm的なOS内一律実行環境用意する時期に来たんじゃないかと思うね
      アプリ内のDSLも含めOSの直接管理下にまとめ実行するAPI用意してさ

      • by Anonymous Coward

        llvmって言葉知ったばかりなところ?申し訳ないんですが・・・
        バイナリ系は措くといってるところから察するにどうもLLVM ILのことを言いたいのかしら?

        PowerShellは1.0のころからそういった仕組みの上に存在していますよ。
        .NET Frameworkとか.NET Coreで調べてみてね

        もしLLVMに興味があるならぜひいろいろ調べてみてね。
        IL以外にも様々な概念を含んでいて面白いですよ。普及へ一役買ってください!

        #LLVMはバイナリ系(変な言葉だけど)も包含しますよ。

    • by Anonymous Coward

      Tripwire とかあったな…

  • by Anonymous Coward on 2020年05月08日 20時54分 (#3811278)

    ウイルスバスターはウイルスバスターを不審なものとして検出できなかったようだ。

    • by Anonymous Coward on 2020年05月09日 1時30分 (#3811405)

      ウイルスバスターは、ProgramDataフォルダ内のChrome.exe(実態はpowershell.exe)を不審と判定したが、
      トレンドマイクロは不審ではないと判定した。

      この場合、ウイルスバスターに欠陥があると判断すべきなのか
      トレンドマイクロに欠陥があると判断すべきなのか・・・

      # 会社的にファイル名を擬装する手段は慣れている筈なのに・・・

      親コメント
      • by Anonymous Coward

        変な場所に偽装した名前で配置してる時点で不審だし検出するのは当然。
        バイナリだけ送って報告されたとかなら不審ではない判定も仕方ないが、
        ファイル名や発見状況を僅かでも聞いていればトレンドマイクロのチョンボ。

        そもそもマルウェアメーカーのソフト入れてる時点でまともな要素ないんだが。
        登場人物みんなクズってパターン。
        「トレンドマイクロはマルウェア配布して開き直りのとこだね、
        三菱でITと言えばLibrahack事件のMDISか。仲良く沈んで浮かんでくるなよ」レベル。

    • by Anonymous Coward

      ノートンもカスペルスキーもマカフィーもアバストもディフェンダーも、どれもウイルスバスターを不審なものとしては検出しないでしょ?

typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...