KAMUIの日記: 警視庁ネットワークにワーム侵入、オンライン業務停止中。 109
日記 by
KAMUI
YOMIURI ONLINEの記事などに依ると、警視庁でオンラインシステムの端末に使用されている PCから W32.Downadup.B と見られるワームが検出され、現在システムが停止されている。
ワームが見つかったのは22日正午頃で、システムの一部を停止したが駆除が追いつかず別の PCからも検出されたため、システムを随時停止しながら駆除作業を行なっている。その間は車庫証明の発行や免許更新など業務の一部を手作業でやる羽目になっているようだ。感染元は USBメモリと見られているがまだ確認されていない。なお警視庁では「外部のネットワークには接続しておらず、情報の流出などは無い」としている。全面復旧は週明けの26日になる模様。
また、W32.Downadup.B についてはつい先日、シマンテックが亜種の出現を警告したばかりだが、今回のものが亜種なのかについては今のところ公表されていない。
ワームが見つかったのは22日正午頃で、システムの一部を停止したが駆除が追いつかず別の PCからも検出されたため、システムを随時停止しながら駆除作業を行なっている。その間は車庫証明の発行や免許更新など業務の一部を手作業でやる羽目になっているようだ。感染元は USBメモリと見られているがまだ確認されていない。なお警視庁では「外部のネットワークには接続しておらず、情報の流出などは無い」としている。全面復旧は週明けの26日になる模様。
また、W32.Downadup.B についてはつい先日、シマンテックが亜種の出現を警告したばかりだが、今回のものが亜種なのかについては今のところ公表されていない。
外部のネットワークには接続しておらず? (スコア:5, すばらしい洞察)
感染源がUSBメモリだとしたら、それはスニーカーネットと呼ばれるもので明確に外部と繋がってた状態と言える。
Re:外部のネットワークには接続しておらず? (スコア:5, おもしろおかしい)
メディアを持って走り回る「構内RUN」というヤツですね?
Re:外部のネットワークには接続しておらず? (スコア:3, おもしろおかしい)
やけに通信がモタつくと思ったらエレベータ点検中らしいぞ!
しばらく上層階への送信は控えなきゃ!
Re:外部のネットワークには接続しておらず? (スコア:1)
Re:外部のネットワークには接続しておらず? (スコア:1)
ちょっとパケット落ちしてるようだが、大丈夫か?
Re:外部のネットワークには接続しておらず? (スコア:2, おもしろおかしい)
条件がよいときの転送レートは相当のものです。
実際、私のデスクトップと、隣接したサーバルームのサーバ(歩いて数秒)
との間はスニーカーネットで接続されていますが、1Tbps 近くの数値を叩き出します。
Re:外部のネットワークには接続しておらず? (スコア:1)
「内部のネットワークには接続していて、情報の流出はあるかもしれない。」
が正解でしょうね。
外部接続してないとか (スコア:3, すばらしい洞察)
IT関連の教育・指導が徹底していない組織で「外部には接続していない」と自認してしまうことは非常に危険です。
他のコメントでの指摘にもあるように、USBメモリーで他のPCとデータのやり取りをしていながら「外部には接続していない」と言ってしまうのもセキュリティ感覚の欠如や認識の甘さでしょう。
本来、関係者以外が接触できないはずの内部資料が外部に持ち出された挙げ句、自宅PCから流出という事例も後を絶ちません。
本格的に調査すれば、無線LAN大解放状態とか困るほど露呈しちゃうんじゃないでしょうか。
そもそも、情報管理の観点から言えば部外者の立ち入りが規制されるべきエリアでも平気に一般人が往来していたりというのもあるんじゃないですか?
そんなトコで「外部には接続していない」なんていくら強弁しても意味無いですし。
セキュリティとか何とか言う以前に、まずちゃんと教育しましょうよ。
最低限、PC使う当事者ぐらいは。
毎回言うけど (スコア:2, おもしろおかしい)
本質的じゃないことはわかりきってるけど,
それで実際に余計なことやらなくなりそうなレベルの人間が使ってるから
USBメモリ経由でウイルス持ち込むような馬鹿なことするんでしょ?
部署(サーバ?)毎にUbuntu,MacOSX,Windowsどれかを割り当てるとか.
# Macな部署の人には罰金多く取られる気がするID
# あ,教育は放棄な方向で.
Re:毎回言うけど (スコア:2, 興味深い)
・(プラットフォーム毎に)だれがアプリを作るの?
・どのようにサイトとして一貫したセキュリティポリシーを保つの?
・Macとか、LinuxでADのようなポリシー配布ってできるの?
できたとしてもプラットフォーム毎にその管理する仕組みを作れとでも?
Windowsを捨てろ、という話題とか、そのようなことは自宅とか小規模なシステムこそ可能かもしれないが、
100台とかそれ以上の規模で一人一人責任を持ってセキュリティポリシーを保とうなんて正気の沙汰じゃないと思う。
#研究室レベルな話題を大きなシステムに持ち込まないでほしいと思う。
#そしてすば洞つけてるモデレータも一緒だと思うけど。
Re:毎回言うけど (スコア:1)
>「出来る」かどうかと「出来てる」かどうかは違う。
>「出来る」のだとしても「出来てない」のなら結果は「出来ない」のと同じ。
んー。でも結局それってWindowsじゃダメってこととはつながらないのでは?
機能させる余地があるか、ないかにはそもそも隔たりが有ると思うのですが。
#あとは、コンサルがアホじゃなければまともな仕様書を作るでしょうよ。
Re:毎回言うけど (スコア:1, おもしろおかしい)
金額や使用するソフトの関係で、Macを選ぶことは大変でしょうから、そのぶん罰金に上乗せですかねぇ。
そんなことしたら (スコア:1, おもしろおかしい)
無期限貸与+2年ごとの新機種更新をしてもらっていることが
収賄だとして捕まってしまうではないか!
Re:毎回言うけど (スコア:1, 参考になる)
Win止めないにしてもautorun.inf廃止するだけで相当効果がありそう。
あとは、人のモラルの問題。最近Macでも海賊版ソフトにトロイが仕込まれていて数千~2万規模の大規模なウイルス感染騒動があったばかりです。 [itmedia.co.jp]
バイナリなりシェルなり実行するように仕向ければ、どんなOSであってもウイルスは広がります。
Re:毎回言うけど (スコア:1)
検査で「OK」ではなく検査できるものを「OK」としているだけなのでは?
LinuxやMacがよくてWindowsがわるいなんて同じレベルで評価してるの?
#というか、具体的にどのような検査をして、OK/NGなのか教えてほしいもんだけど・・・
Re:毎回言うけど (スコア:3, すばらしい洞察)
業務の定型作業するだけなら、べつに何だって構わんだろ。
うちの近所にあったクリーニング屋だって、FM-8か何かで作った風味な、画面が黒字にミドリでカタカナな顧客管理ソフト、一昨年ぐらいまで使ってたぞ。
Re:毎回言うけど (スコア:1)
FM-8か何かで作った風味な、画面が黒字にミドリでカタカナな顧客管理ソフト、一昨年ぐらいまで使ってたぞ。
そりゃすげぇ!FM-8 [wikipedia.org]は1981年発売だからざっと二十年以上動いてたってことか。
システムはどうやってブートしてたんだろう?5インチフロッピー?それとも8インチ?いや、それじゃドライブが持たないな。十年くらいは保守部品もあったろうけど、20年は無理だ。
と、すると、幻のバブルメモリ [wikipedia.org]?
FM-8は8色カラー表示可能だったはずだけど、グリーンディスプレイだったのかな?提携業務ばかりだと焼きつき(いわゆるXevious現象)が起こりそうだけど、どうだったんだろう?
バブルメモリ発見 (スコア:1)
物置をごそごそしてたら,
FM-8のバブルメモリの新品カセットとFM-11のライトペンを発見した.
OS-9 Level2 の5インチディスクも発見したけどたぶん時期が弱っててもう読めないだろうな・・・さみしい
屍体メモ [windy.cx]
Re:毎回言うけど (スコア:1)
>それで実際に余計なことやらなくなりそうなレベルの人間が使ってるから
まったく使えない人間の方が余計な操作はしないもんですからね。
いつでも一番やっかいなのは中途半端に使える人間です。
# Windowsってのはこの中途半端に使える人間の人口がずば抜けて多いような気がします。
Re:毎回言うけど (スコア:1)
私の周囲にはそのような人が居ないので、分布が偏ってるのかもしれません。
たまたま集中してる地域にお住まいのACさんにはご愁傷様としか言いようがありませんが、
めげずにがんばってください。
# ま、そもそもMACユーザーがあまり居ないわな。こんなド田舎。
## さて、元の話はなんでしたっけ?
Re:毎回言うけど (スコア:1)
そうですよね。
半導体製造とか、IC設計から自分の手でできるくらいでないと、
本格的とはいえないと思います。
# 私も中途半端なSEです、という自戒をこめて。
Re:毎回言うけど (スコア:1)
決められた作業だけを決められた手順を守ってするのなら、OSなど何でもいい。
1を聞いて0を知れ!
Re:毎回言うけど (スコア:2)
> ここはやはり、超漢字です。
超漢字VはWindows上のVMware Player内で動くため,これまでの超漢字とは異なり,Windowsの影響から完全に免れることが出来ません。(メーカーの説明ページ [chokanji.com])
Windowsから逃げ出せる環境としては,便利だったんだけどなorz
本当にUSBメモリか? (スコア:2, 興味深い)
最近は公衆インターネットにつなぐ機械と警察の広域LANに繋ぐ機械は分離してるということになってるようですが、あれだけ大きな組織だと、二者のネットワークとしての接点が全くないという方が不自然に思うのですけど。
流石に窓口業務や事務を行ってるマシンの分離は無問題でしょうが、例えばハイテク捜査課のように公衆網を調べる部署だと、公衆網に繋ぐための線と警察の広域LANに繋ぐための線が物理的に完全に分離されてるかどうかと言う部分で不安が残りますが。
例えば、警察署内のLAN配線は物理的には一本化して、公衆網に向けたゲートウェイへの接続はVPNか何かで分離する。と言うソリューションでお茶を濁してる危険は(専ら予算的な理由から)けして低くないと思いますが。
その上で、「ハイテク犯罪」の捜査にかかわる情報を警察内でより使いやすく共有しようとすると、どうしてもそこの部分で公衆網と警察広域LANの間での(と言うか公衆網→警察広域LANと言う経路での)論理的な接点が出来てしまう。
このような「接点」から警察の広域LANにワームが送り込まれてしまった。と言う構図が一番ありそうにどうしても思ってしまうのですが。
逆に言えば、今回の感染経路が「USBメモリ→感染した端末→広域LANにぶら下がっている各マシン」と拡散したのであればまだマシな方で、業務上公衆網に常時接続しつつ拾って来たファイルや解析結果ををほぼノーチェックで広域LANに転送するバグとか色々あるんでしょうね。
Re:本当にUSBメモリか? (スコア:1, すばらしい洞察)
外部に繋いでないなら (スコア:1)
まさかUSBメモリで内部のサーバに手作業で注入?
Re:外部に繋いでないなら (スコア:1, 興味深い)
サーバ・クライアント型の配信システムを構築して大本だけ手動でアップデートしているかVPNとかでメーカー直結しているとかそんなのかも。
Re:外部に繋いでないなら (スコア:1)
ウイルス対策ソフトを配信して駆除作業を実施したが、
PC端末にはウイルス対策ソフトを入れてないみたいですね。
Re:外部に繋いでないなら (スコア:3, 参考になる)
特定の業務専用のPCとネットワークならば、
ウィルス対策ソフトをインストールしないというのも1つの選択肢です。
その代わり、外部からファイルが持ち込まれないように対策をしますし、
ネットワークの事業所や部署などの境界にファイアウォールを設置して、
業務専用のカスタムなプロトコル以外をすべて遮断し、
ワーム等が持ち込まれても感染が一部に留まるようにします。
Re:外部に繋いでないなら (スコア:1, すばらしい洞察)
隔離されたネットワークでは自動アップデートを行わない事は珍しいことではありません。
Re:外部に繋いでないなら (スコア:1, 参考になる)
社内システムとの検証ができてないのでXP SP3使用禁止!ってまま放置プレイの会社があります。
まあそれは極端でも、IE7にすんな!ってところは結構あると思う。
Re:外部に繋いでないなら (スコア:3, 参考になる)
> Windows Updateによって不正なファイルが入り込むこともありますし、仕様変更によって正常に稼働していたシステムが期待に反する動作をすることもありますから。
上記のとおり「期待に反する動作」が無いと保証できない限り、パッチやパターンファイルを導入することは許されませんよね。銀行とか。
もしくは、誤検出などのリスクを理解していただくか。
もちろんネットワークが隔離されていることが前提ですが。
Re:外部に繋いでないなら (スコア:1, おもしろおかしい)
現実に顕在化した問題だけについて最適化された結果論はナンセンスよ。
しかも、WindowsUpdateしてたって今回のワームには対処できないんだしぃ。
Re:外部に繋いでないなら (スコア:1, おもしろおかしい)
> 余計なことは書かないこと。
できれば、ほんの少しだけでも我が身を振り返って頂けると……。
ウイルス対策ソフトが入っていれば拡散が防げるのか (スコア:1)
ウイルス対策ソフトにより、MS08-067(RPCの境界チェックの
不具合)を利用したウイルス感染を防ぐことができるものなの
でしょうか?
ウイルス対策ソフトは、Webやディスクからのファイルを経由した
感染は拾ってくれるでしょうが、パケットの細かいところまで見て
パケットを破棄してくれているわけではないような気がします。
誰かテストされた方は教えてください。
Re:ウイルス対策ソフトが入っていれば拡散が防げるのか (スコア:1)
それはいわゆるウイルス対策ソフトの機能というよりネットワークIDSのような…。
そういうのもセットにした製品もあるでしょうけどそこらへんの量販店で売っている製品にはないですな。
たぶん一般ユーザにはIDSにつきものの誤検知問題をハンドルする、そしてメーカーや販売チャンネルが
それをサポートするのは現実的に無理だと思うんですがどうでしょう。
Re:ウイルス対策ソフトが入っていれば拡散が防げるのか (スコア:1)
Re:外部に繋いでないなら (スコア:1, 興味深い)
|
GW
|
Front-End
|
Back-End
のようなシステムで、バックエンドはフロントエンドを経由せずに
直接GWにたどり着けないなんてのはごく普通にあることです。
ここで、バックエンドの更に奥にNASやSANを置き、
別の隔離されたネットワークからNASやSANだけ共有すると、
外部と直接通信できなくても外部からデータを取り込めるネットワークが完成します。
SUSに使うようなサーバと、SUSからアップデータを受けるクライアントは
隔離されたネットワークに置けばよいのです。
Re:外部に繋いでないなら (スコア:1, 興味深い)
普通こういうものです。
Re:外部に繋いでないなら (スコア:1, 興味深い)
という要件を提示したとき、それを満たす案を考えてみてくれないか。
「できません」と答えるのはナシな。そういう奴はプロジェクトから真っ先に外されるから。
元コメのようなネットワーク構成と、全て人力を介して管理するのと
コストを算出してみるとどちらが現実的かよーく分かるぞ。
Re:外部に繋いでないなら (スコア:1, 参考になる)
ま、それらの企業のほうで、辿っていけばインターネットに繋がってるから無意味だっていう話をされると、まぁ、あれですが。
Re:外部に繋いでないなら (スコア:1, 参考になる)
業務用ネットワーク内に配布サーバ置いて更新データをネットワークを介さずにメディア等でもってくるだけだろ。
元コメにもあるがWindowsアップデートならWSUS、ウイルス定義なら各メーカーでEnterprise向け製品があるだろうが。
そいつらを直接インターネットに繋げなければ良い。
なんでインターネットから直接取得して更新しないといけないなんて考えるだ?
そもそもWindowsアップデートなんて通常月一回だし、実際は毎月更新せざるをえないわけじゃない。
ウイルス定義の更新だって、各端末は毎日行うようにしておいても業務ネットワーク内の配布元の更新は毎日やる必要性はない。一時配布元(メーカのことな)が通常は毎日更新なんかしない。
更にいえば公開されるパッチのうち何時どれを適用するかは自社でコントロールするだろうし、事前に検証もするだろ。
インターネットと遮断したいなんて要求出すレベルのところじゃ、これぐらいはコスト増にはならん。
元コメにある構成は確かに有用な構成なんだが、これをもって遮断しているとは言わん。
直接は繋がっていないけど間接しているので、外部とは繋がっている。
レスにもあるようにGWなりがやられたら終わりだ。
遮断したいという要求には満たしていない。
# 要求する側が「遮断したい」という言葉を言っているだけで、実際は元コメのようなものを要求しているというのは別の話な。
読売かー (スコア:1)
24日の朝刊にちょうどこんなニュース「USBメモリー経由のウイルス感染、大学で猛威振るう」 [yomiuri.co.jp]が掲載されてましたが。
警察でも猛威をふるったか。
Re:読売かー (スコア:1, すばらしい洞察)
ネットに常時繋いでいるPCはいいんですが、そうじゃないノートPC(プレゼン用)のほうが結構弱かったりします。ウイルス対策ソフトの更新が定期的にされないので。
実際、研究室のプレゼン用ノートPCは感染しましたが、普段使っている方のPCはUSBを刺した瞬間、ウイルス対策ソフトがトロイの自動実行を拒否しました。
す、すみません (スコア:1)
Copyright (c) 2001-2014 Parsley, All rights reserved.
分かってはいるが (スコア:1)
建前上は越権行為なんだがねw > 警視庁
Re:分かってはいるが (スコア:5, 参考になる)
行政庁の権限の一部を他の行政機関に代理させているだけなので、越権行為というわけではないと思いますが。(たとえば戸籍業務は本来法務省の管轄ですが、地方自治体に代理させている扱いのはずです。)
HIRATA Yasuyuki
Re:分かってはいるが (スコア:1, 参考になる)
管轄違いだというならその後だ
Re:分かってはいるが (スコア:1, 参考になる)
それと、警察庁は国家公安委員会が、各都道府県警は各都道府県公安委員会が管理してますが、公安委員会の事務処理の多くは、警察庁や各都道府県警がやってます。
Re:予備システムは無い? (スコア:1)
市民向けの窓口にパソコンを2台配備するということですか?
あまりにも無駄かと思います。
手作業で業務が続行できるだけで充分です。