三菱電機へのサイバー攻撃とそれによる情報漏洩、発覚したきっかけは不審な「Chrome.exe」 43
ストーリー by hylom
単なるツールの回答としては正しいがコンサルタントとしては…… 部門より
単なるツールの回答としては正しいがコンサルタントとしては…… 部門より
今年1月、三菱電機に対しサイバー攻撃が行われ情報が漏洩する事件が発生した(過去記事)。この事件についてはトレンドマイクロのセキュリティソフトの脆弱性が悪用されていたことも報じられているが、三菱電機のサイバー攻撃対策チームが攻撃を受けた際に見つかった不審なファイルをトレンドマイクロに送付して解析を依頼したところ、「異常なし」という回答を受けていたという話が報じられている(朝日新聞)。三菱電機の対策チームはこの回答を受け、独自に調査を行なった結果サイバー攻撃の痕跡を見つけ、情報漏洩が明らかになったそうだ。
問題の不審なファイルの正体はWindowsのコンポーネントの1つである「powershell.exe」だったとのことで、特に改変などもされていなかったことからトレンドマイクロは「異常なし」と判断したという。ただ、このプログラムはファイル名が「chrome.exe」に書き換えられており、また本来存在しないはずの「C:\ProgramData」ディレクトリ内に隔離されていたという。このファイルは、トレンドマイクロの「ウイルスバスター」は不審なものとして検出したことで存在が発覚したそうだ。
なお、このサイバー攻撃ではPowerShellに対し悪意のある命令を実行させるという手法が使われていたことが先に明らかになっている。
続きは有料 (スコア:0)
初めて朝日新聞を有料登録したくなった
Re:続きは有料 (スコア:1)
昨今サイバーセキュリティ分野の報道は朝日新聞もとい須藤龍也記者の一人勝ちですね。他紙にも見習ってほしい。
Re: (スコア:0)
ちょっと前までは新型コロナの対応の一つで一部有料記事が無料で読めたんですが、終わったようで残念。
ただ会員登録だけしておくと、有料登録していなくても一部有料記事が一日一本だけ読めます。この記事がそれに対応していないのが残念。
Re: (スコア:0)
ログインしなきゃ見れない記事は無いものとして扱う主義なので
Re:続きは有料 (スコア:1)
いつもなら図書館でついでに見てこようと思っても、図書館自体が閉まってるし残念。
Re:続きは有料 (スコア:1)
紙面には詳細部分ついての記載がなく、Web 版のみ閲覧可能なようですね。
ref.
@piyokango (Twitter, 2020-05-08 11:03)
https://twitter.com/piyokango/status/1258578364001972224 [twitter.com]
ただ、以下のツイートで記事の要点を挙げてくれているので、参考になるかと思います。
ref.
@piyokango (Twitter, 2020-05-08 10:53)
https://twitter.com/piyokango/status/1258575703953436672 [twitter.com]
①Trend Micro へ不審ファイル解析依頼も異常無しと報告
②社内 CSIRT は①を受け独自調査実施決定
③ウイルスバスター Corp 被害例を取り上げた LAC レポートは別事案
④国内侵害起点の VPN の脆弱性も当時未修整
Re: (スコア:0)
手間暇かければ登録無しでなんとか読めるんですけどね。
非常に面倒なのでよほど読みたい記事以外はおすすめできない。
Re: (スコア:0)
スラドはケチな人が多いんですね
朝日新聞のデジタル版は月々980円
普通の社会人なら30分もあれば稼げる金額です
それさえ出し渋って,無料で読めなくて残念とか,図書館で見てるとか,まともな大人の発言とは思えません
Re:続きは有料 (スコア:1)
たしかに必要なのが朝日新聞だけならそうなんだけど、それを言ったら読みたい新聞はたくさんあるし、新聞以外も興味があるものはたくさんある。
全部金を払ってたらいくらあっても足りないよ。
無数の興味があるものの中から取捨選択したら結局、払えないだけ。
最低賃金中央値は790円なんですが (スコア:0)
最低賃金(都道府県別)の中央値は、青森・岩手など15県もが占める「790円」です。
求人情報見ても最低賃金が大半ですので、単純計算で1時間15分働かないといけませんね。
実際には、通勤時間には給与は発生せず、始業時間には仕事を始められる状態にするために早めに
つかないといけない企業が大半で、就業も同じく遅れるし、所得からは税金等がひかれるので、
実質1時間半~2時間以上は働かないといけません。
なので、図書館に行ったときに「ついでに」見る方が合理的でしょう。
Re: (スコア:0)
最低賃金で働く人変だとかおかしいとは言わないが、
それが当然だってのはそれはそれで間違ってるだろ
スラド人士の年収分布とかどんなもんなんかね
Re: (スコア:0)
スラド民は高等遊民のハズでは…?
Re: (スコア:0)
社会人って昼飯の予算が500円ってよく聞く気がする。
そんな人なら、980円は高すぎだろ。
Re: (スコア:0)
一日500円と1ヶ月980円を比較できるといつから思った?
Re: (スコア:0)
昼飯一食分の方が役に立つからなぁ、昼飯二食分の価値すらないよ
Re: (スコア:0)
月額3,800円じゃないの?と思ったら、月300本のコースか。
https://digital.asahi.com/info/price/?iref=guide_top [asahi.com]
どうせなら、1本単位でバラ売りもしてくれればいいのにね。そうなったら1本50円ぐらいかな?
Re: (スコア:0)
朝日、またやらかしたね。医師の意見と真逆になるよう編集して報道。
嘘の情報ソースに金を払いたくないってのはケチとは違うでしょ。
Re: (スコア:0)
金払って読むことを洗脳されてるパヨク君w
Re: (スコア:0)
こういう人間は右翼でも左翼でも洗脳され、搾取される。
Re: (スコア:0)
貨幣経済の否定?
Re: (スコア:0)
図書館利用をディスるなんて、日本人の貧困率の高さを知らないの?
「約6人に1人は「相対的貧困」なのです」( https://business.nikkei.com/atcl/seminar/19/00067/111200016/ [nikkei.com] )
Re: (スコア:0)
貧乏のくせに図書館の存在すら忘れてる人もいるんですよ、そういう人は交通費もケチるので、
毎朝運んでくれる情報を鵜呑みにするか、それも払えなくなって新聞の数分の1の値段ですむネット購読でもしてるんじゃないですかね。
気狂いな思考を生み出すためには、その辺の新宗教と同じで、狂った元ネタが必要な訳でして。
パヨクは狂った情報源のみを吸収する情報中毒人間になったのを気づいてないようですね。
だからネットで殺人予告や脅迫をしたり、教え子に障害者施設で大量殺害をさせる思考を与えることができるのでしょう。
Re: (スコア:0)
遅かれ早かれ、コロナ復興税を搾り取られる見込みなので、不要不急の支出は、差し控えさせていただきます。
Re:続きは有料 (スコア:1)
Re: (スコア:0)
> アサヒってる記事なんかお金出して読む価値ないでしょww
ねとうよはこうやって情弱になってく
#しかし本人は気がついてないww
Re: (スコア:0)
役に立たない新聞を読んでる方が時間の無駄なんだよパヨクちゃん
第一君たちはインテリ気取っときながら、いつも内容で反論できないじゃないかw
Re: (スコア:0)
そんなに無知を誇ってると、阿呆な指導者に騙されて消毒液注射する羽目になりますよw
Re: (スコア:0)
また関係ない内容でさっそく返信しちゃったパヨクwwww
Re: (スコア:0)
三菱自身のサイトで読めばええやん
Re:続きは有料 (スコア:1)
確かに基本的な手法部分についてはこのリリースと一致していますが
今回知りたいのはこの判明するまでのプロセス(精査の一言でまとめられる部分)でどんなことがあったかなのですよ。
トレンドマイクロに調べてもらったがスカ判定もらったとかそういったのはリリースでは出てこないので
Re: (スコア:0)
普通もっとぼんやりした表記に丸めちゃうだろうに、今回の記事はパスとか技術要素の名前そのまま出て面白いよね
セキュリティソフトの欠陥 (スコア:0)
ウイルスバスターはウイルスバスターを不審なものとして検出できなかったようだ。
Re: (スコア:0)
ノートンもカスペルスキーもマカフィーもアバストもディフェンダーも、どれもウイルスバスターを不審なものとしては検出しないでしょ?
Re:セキュリティソフトの欠陥 (スコア:1)
そのどれかは自身を不審な物として検出したときがあったような…
# たしか、本来付けられるはずの署名が付いてなかったとかだった。
Re: (スコア:0)
ウイルスバスターは、ProgramDataフォルダ内のChrome.exe(実態はpowershell.exe)を不審と判定したが、
トレンドマイクロは不審ではないと判定した。
この場合、ウイルスバスターに欠陥があると判断すべきなのか
トレンドマイクロに欠陥があると判断すべきなのか・・・
# 会社的にファイル名を擬装する手段は慣れている筈なのに・・・
まぁね (スコア:0)
メーカーをあえて書かないけれど。こんなもんよ。
なのでおすすめのセキュリティソフトは、サーバや端末内の
各ライブラリーと実行体をハッシュ値でまず判定する機能を
持っている奴です。
Re: (スコア:0)
つまりWindows Defender Application Controlとかか。
でもWDAC(に限らずホワイトリスト方式セキュリティソフト全般だろうが)って運用困難と聞くしな。
ひな形マシンを準備して、アプリケーションが更新されるたびにポリシーファイル作り直して配布してを延々と繰り返す、しかもひな形マシンと異なる構成は許されないなんてのを続けられる自信は無い。
Re:まぁね (スコア:1)
専用機(EmbeddedとかIoT Enterpriseとか)だと良いかもしれんね。
Re: (スコア:0)
シマンテックのエンドポイントは検出実績の少ないソフトだと正規のアップデートでもアラートが出るね。
Re: (スコア:0)
一般コンシューマー向けのNorton Internet Securityとかでもアラート出したり勝手に隔離したりするので、
多分シマンテックの奴に共通した挙動だと思います。
Re: (スコア:0)
バイナリ系は置いとくとして
そろそろスクリプトはllvm的なOS内一律実行環境用意する時期に来たんじゃないかと思うね
アプリ内のDSLも含めOSの直接管理下にまとめ実行するAPI用意してさ
Re: (スコア:0)
llvmって言葉知ったばかりなところ?申し訳ないんですが・・・
バイナリ系は措くといってるところから察するにどうもLLVM ILのことを言いたいのかしら?
PowerShellは1.0のころからそういった仕組みの上に存在していますよ。
.NET Frameworkとか.NET Coreで調べてみてね
もしLLVMに興味があるならぜひいろいろ調べてみてね。
IL以外にも様々な概念を含んでいて面白いですよ。普及へ一役買ってください!
#LLVMはバイナリ系(変な言葉だけど)も包含しますよ。