三菱電機へのサイバー攻撃とそれによる情報漏洩、発覚したきっかけは不審な「Chrome.exe」 27
ストーリー by hylom
単なるツールの回答としては正しいがコンサルタントとしては…… 部門より
単なるツールの回答としては正しいがコンサルタントとしては…… 部門より
今年1月、三菱電機に対しサイバー攻撃が行われ情報が漏洩する事件が発生した(過去記事)。この事件についてはトレンドマイクロのセキュリティソフトの脆弱性が悪用されていたことも報じられているが、三菱電機のサイバー攻撃対策チームが攻撃を受けた際に見つかった不審なファイルをトレンドマイクロに送付して解析を依頼したところ、「異常なし」という回答を受けていたという話が報じられている(朝日新聞)。三菱電機の対策チームはこの回答を受け、独自に調査を行なった結果サイバー攻撃の痕跡を見つけ、情報漏洩が明らかになったそうだ。
問題の不審なファイルの正体はWindowsのコンポーネントの1つである「powershell.exe」だったとのことで、特に改変などもされていなかったことからトレンドマイクロは「異常なし」と判断したという。ただ、このプログラムはファイル名が「chrome.exe」に書き換えられており、また本来存在しないはずの「C:\ProgramData」ディレクトリ内に隔離されていたという。このファイルは、トレンドマイクロの「ウイルスバスター」は不審なものとして検出したことで存在が発覚したそうだ。
なお、このサイバー攻撃ではPowerShellに対し悪意のある命令を実行させるという手法が使われていたことが先に明らかになっている。
続きは有料 (スコア:0)
初めて朝日新聞を有料登録したくなった
Re: (スコア:0)
ちょっと前までは新型コロナの対応の一つで一部有料記事が無料で読めたんですが、終わったようで残念。
ただ会員登録だけしておくと、有料登録していなくても一部有料記事が一日一本だけ読めます。この記事がそれに対応していないのが残念。
Re: (スコア:0)
ログインしなきゃ見れない記事は無いものとして扱う主義なので
Re:続きは有料 (スコア:1)
いつもなら図書館でついでに見てこようと思っても、図書館自体が閉まってるし残念。
Re: (スコア:0)
手間暇かければ登録無しでなんとか読めるんですけどね。
非常に面倒なのでよほど読みたい記事以外はおすすめできない。
Re: (スコア:0)
スラドはケチな人が多いんですね
朝日新聞のデジタル版は月々980円
普通の社会人なら30分もあれば稼げる金額です
それさえ出し渋って,無料で読めなくて残念とか,図書館で見てるとか,まともな大人の発言とは思えません
最低賃金中央値は790円なんですが (スコア:0)
最低賃金(都道府県別)の中央値は、青森・岩手など15県もが占める「790円」です。
求人情報見ても最低賃金が大半ですので、単純計算で1時間15分働かないといけませんね。
実際には、通勤時間には給与は発生せず、始業時間には仕事を始められる状態にするために早めに
つかないといけない企業が大半で、就業も同じく遅れるし、所得からは税金等がひかれるので、
実質1時間半~2時間以上は働かないといけません。
なので、図書館に行ったときに「ついでに」見る方が合理的でしょう。
Re: (スコア:0)
最低賃金で働く人変だとかおかしいとは言わないが、
それが当然だってのはそれはそれで間違ってるだろ
スラド人士の年収分布とかどんなもんなんかね
Re: (スコア:0)
社会人って昼飯の予算が500円ってよく聞く気がする。
そんな人なら、980円は高すぎだろ。
Re: (スコア:0)
アサヒってる記事なんかお金出して読む価値ないでしょww
Re: (スコア:0)
たしかに必要なのが朝日新聞だけならそうなんだけど、それを言ったら読みたい新聞はたくさんあるし、新聞以外も興味があるものはたくさんある。
全部金を払ってたらいくらあっても足りないよ。
無数の興味があるものの中から取捨選択したら結局、払えないだけ。
Re: (スコア:0)
月額3,800円じゃないの?と思ったら、月300本のコースか。
https://digital.asahi.com/info/price/?iref=guide_top [asahi.com]
どうせなら、1本単位でバラ売りもしてくれればいいのにね。そうなったら1本50円ぐらいかな?
Re: (スコア:0)
三菱自身のサイトで読めばええやん
Re: (スコア:0)
確かに基本的な手法部分についてはこのリリースと一致していますが
今回知りたいのはこの判明するまでのプロセス(精査の一言でまとめられる部分)でどんなことがあったかなのですよ。
トレンドマイクロに調べてもらったがスカ判定もらったとかそういったのはリリースでは出てこないので
Re: (スコア:0)
昨今サイバーセキュリティ分野の報道は朝日新聞もとい須藤龍也記者の一人勝ちですね。他紙にも見習ってほしい。
Re: (スコア:0)
普通もっとぼんやりした表記に丸めちゃうだろうに、今回の記事はパスとか技術要素の名前そのまま出て面白いよね
セキュリティソフトの欠陥 (スコア:0)
ウイルスバスターはウイルスバスターを不審なものとして検出できなかったようだ。
Re: (スコア:0)
ノートンもカスペルスキーもマカフィーもアバストもディフェンダーも、どれもウイルスバスターを不審なものとしては検出しないでしょ?
Re:セキュリティソフトの欠陥 (スコア:1)
そのどれかは自身を不審な物として検出したときがあったような…
# たしか、本来付けられるはずの署名が付いてなかったとかだった。
Re: (スコア:0)
ウイルスバスターは、ProgramDataフォルダ内のChrome.exe(実態はpowershell.exe)を不審と判定したが、
トレンドマイクロは不審ではないと判定した。
この場合、ウイルスバスターに欠陥があると判断すべきなのか
トレンドマイクロに欠陥があると判断すべきなのか・・・
# 会社的にファイル名を擬装する手段は慣れている筈なのに・・・
まぁね (スコア:0)
メーカーをあえて書かないけれど。こんなもんよ。
なのでおすすめのセキュリティソフトは、サーバや端末内の
各ライブラリーと実行体をハッシュ値でまず判定する機能を
持っている奴です。
Re: (スコア:0)
つまりWindows Defender Application Controlとかか。
でもWDAC(に限らずホワイトリスト方式セキュリティソフト全般だろうが)って運用困難と聞くしな。
ひな形マシンを準備して、アプリケーションが更新されるたびにポリシーファイル作り直して配布してを延々と繰り返す、しかもひな形マシンと異なる構成は許されないなんてのを続けられる自信は無い。
Re:まぁね (スコア:1)
専用機(EmbeddedとかIoT Enterpriseとか)だと良いかもしれんね。
Re: (スコア:0)
シマンテックのエンドポイントは検出実績の少ないソフトだと正規のアップデートでもアラートが出るね。
Re: (スコア:0)
一般コンシューマー向けのNorton Internet Securityとかでもアラート出したり勝手に隔離したりするので、
多分シマンテックの奴に共通した挙動だと思います。
Re: (スコア:0)
バイナリ系は置いとくとして
そろそろスクリプトはllvm的なOS内一律実行環境用意する時期に来たんじゃないかと思うね
アプリ内のDSLも含めOSの直接管理下にまとめ実行するAPI用意してさ
Re: (スコア:0)
llvmって言葉知ったばかりなところ?申し訳ないんですが・・・
バイナリ系は措くといってるところから察するにどうもLLVM ILのことを言いたいのかしら?
PowerShellは1.0のころからそういった仕組みの上に存在していますよ。
.NET Frameworkとか.NET Coreで調べてみてね
もしLLVMに興味があるならぜひいろいろ調べてみてね。
IL以外にも様々な概念を含んでいて面白いですよ。普及へ一役買ってください!
#LLVMはバイナリ系(変な言葉だけど)も包含しますよ。