パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

警視庁ネットワークにワーム侵入、オンライン業務停止中。」記事へのコメント

  • いつも思うんだけど、どうやってウイルス対策ソフトのパターンファイルを更新してるんだろ?

    まさかUSBメモリで内部のサーバに手作業で注入?
    • by Anonymous Coward on 2009年01月24日 23時54分 (#1498070)

      サーバ・クライアント型の配信システムを構築して大本だけ手動でアップデートしているかVPNとかでメーカー直結しているとかそんなのかも。

      親コメント
    • 更新するしない以前に、

      ウイルス対策ソフトを配信して駆除作業を実施したが、

      PC端末にはウイルス対策ソフトを入れてないみたいですね。

      親コメント
      • by Anonymous Coward on 2009年01月25日 0時25分 (#1498088)
        ウィルス対策ソフトもまたセキュリティ・ホールになりえますから、
        特定の業務専用のPCとネットワークならば、
        ウィルス対策ソフトをインストールしないというのも1つの選択肢です。

        その代わり、外部からファイルが持ち込まれないように対策をしますし、
        ネットワークの事業所や部署などの境界にファイアウォールを設置して、
        業務専用のカスタムなプロトコル以外をすべて遮断し、
        ワーム等が持ち込まれても感染が一部に留まるようにします。
        親コメント
        • by Anonymous Coward

          ウィルス対策ソフトをインストールしないというのも1つの選択肢です。

          ルス対策ソフトをインストールしないというのは、まあ選択肢の一つだと思いますが、Windows Update をしないのも選択肢の一つですか?

          • by Anonymous Coward on 2009年01月25日 1時21分 (#1498106)
            Windows Update によってシステムが影響を受けるリスクを避けるため
            隔離されたネットワークでは自動アップデートを行わない事は珍しいことではありません。
            親コメント
          • by Anonymous Coward on 2009年01月25日 9時32分 (#1498176)

            社内システムとの検証ができてないのでXP SP3使用禁止!ってまま放置プレイの会社があります。
            まあそれは極端でも、IE7にすんな!ってところは結構あると思う。

            親コメント
            • by Anonymous Coward

              IE7にはする意味自体がもともと無いから

          • by Anonymous Coward
            もちろん、Windows Updateはしません。

            Windows Updateによって不正なファイルが入り込むこともありますし、仕様変更によって正常に稼働していたシステムが期待に反する動作をすることもありますから。
            • by Anonymous Coward on 2009年01月25日 3時21分 (#1498130)

              > Windows Updateによって不正なファイルが入り込むこともありますし、仕様変更によって正常に稼働していたシステムが期待に反する動作をすることもありますから。

              上記のとおり「期待に反する動作」が無いと保証できない限り、パッチやパターンファイルを導入することは許されませんよね。銀行とか。
              もしくは、誤検出などのリスクを理解していただくか。

              もちろんネットワークが隔離されていることが前提ですが。

              親コメント
            • by Anonymous Coward

              Windows Update、ウイルス対策ソフトの導入を禁止しておきながら、USB メモリーなどで外部からのファイルの持ち込みを許可していたから、W32.Downadup.B なんて古いセキュリティーホールを突くワームにやられたと。

              設計者の想定範囲内の事態だから問題ないですね!

              • Re:外部に繋いでないなら (スコア:1, おもしろおかしい)

                by Anonymous Coward on 2009年01月25日 11時25分 (#1498212)
                素人は黙ってなよ。
                現実に顕在化した問題だけについて最適化された結果論はナンセンスよ。

                しかも、WindowsUpdateしてたって今回のワームには対処できないんだしぃ。
                親コメント
              • Re: (スコア:0, オフトピック)

                素人は黙ってなよ。

                これは余計。誰にでも意見を表明する権利はある。
                専門家なら、素人に解りやすく説明できるのが当然。そうでないなら半人前。君は半人前ではないんだから、余計なことは書かないこと。

              • Re:外部に繋いでないなら (スコア:1, おもしろおかしい)

                by Anonymous Coward on 2009年01月25日 22時06分 (#1498502)

                > 余計なことは書かないこと。

                できれば、ほんの少しだけでも我が身を振り返って頂けると……。

                親コメント
    • ウイルス対策ソフトにより、MS08-067(RPCの境界チェックの
      不具合)を利用したウイルス感染を防ぐことができるものなの
      でしょうか?

      ウイルス対策ソフトは、Webやディスクからのファイルを経由した
      感染は拾ってくれるでしょうが、パケットの細かいところまで見て
      パケットを破棄してくれているわけではないような気がします。

      誰かテストされた方は教えてください。

      親コメント
      • >パケットの細かいところまで見てパケットを破棄して

        それはいわゆるウイルス対策ソフトの機能というよりネットワークIDSのような…。
        そういうのもセットにした製品もあるでしょうけどそこらへんの量販店で売っている製品にはないですな。
        たぶん一般ユーザにはIDSにつきものの誤検知問題をハンドルする、そしてメーカーや販売チャンネルが
        それをサポートするのは現実的に無理だと思うんですがどうでしょう。
        親コメント
        • つまりウイルス対策ソフトの導入と更新だけでは不十分で、 きっちりセキュリティ更新プログラムを適用する必要があるってことですね。
          親コメント
        • by Anonymous Coward
          あたかも完璧かのように謳ってるけど、
          打たせて取る方式なのは、ヤバいよね。

          任意のコードを実行されて冒されたあとに、
          冒されたファイルを元に戻そうとするなんて。

          たとえばNTFSのMFTをゼロクリアされた後に、
          ウイルス対策ソフトができることは、もう・・・

          ま、パターンファイルのアップデートで対応するよりも、
          WindowsUpdateで穴を塞いだほうがいいってことなんだろうな。
    • by Anonymous Coward

      そんな製品は法人向けならいくらでもあると思いますよ。

      インターネット上から最新のパターンを取得できるサーバが一台あれば、それを見に行くようにしておけば良いし。

      Kasperskyにはパターンファイルを共有する機能があります。
      http://blog.shiten.info/2008/09/-pc--.html [shiten.info]

      • by Anonymous Coward
        ちょっと待て。
        それって外部のネットワークと繋がっている、って言うんじゃないの?

        そのサーバは外部と通信できるし、内部の「外部のネットワークに繋いでいない」はずのクライアントとも通信できるんでしょ?
        • by Anonymous Coward on 2009年01月25日 12時42分 (#1498256)
          The Internet
          |
          GW
          |
          Front-End
          |
          Back-End

          のようなシステムで、バックエンドはフロントエンドを経由せずに
          直接GWにたどり着けないなんてのはごく普通にあることです。

          ここで、バックエンドの更に奥にNASやSANを置き、
          別の隔離されたネットワークからNASやSANだけ共有すると、
          外部と直接通信できなくても外部からデータを取り込めるネットワークが完成します。

          SUSに使うようなサーバと、SUSからアップデータを受けるクライアントは
          隔離されたネットワークに置けばよいのです。
          親コメント
          • by Anonymous Coward
            それで隔離したつもりになる、外部と繋がっていないというのは、インチキだろ。
            ゲートウェイなりフロントエンドなりにワームが入り込めば、あとはもう・・・。
            • by Anonymous Coward on 2009年01月25日 16時28分 (#1498370)
              これを「外部と繋がっていない」と定義すれば何も問題はありません。
              普通こういうものです。
              親コメント
            • by Anonymous Coward on 2009年01月25日 18時02分 (#1498417)
              では、顧客が
              • 業務用ネットワークは、インターネットから遮断されていること
              • 業務用ネットワークは、不意の事故に備え
                • Windows Updateを適用すること
                • 毎日一回以上、ウイルス定義ファイルを更新できること

              という要件を提示したとき、それを満たす案を考えてみてくれないか。
              「できません」と答えるのはナシな。そういう奴はプロジェクトから真っ先に外されるから。

              元コメのようなネットワーク構成と、全て人力を介して管理するのと
              コストを算出してみるとどちらが現実的かよーく分かるぞ。

              親コメント
              • by Anonymous Coward on 2009年01月25日 20時19分 (#1498460)
                マイクロソフトおよびウイルス対策ソフトのメーカーの、インターネットを介さずにアップデータを提供するサービスを使う。
                ま、それらの企業のほうで、辿っていけばインターネットに繋がってるから無意味だっていう話をされると、まぁ、あれですが。
                親コメント
              • by Anonymous Coward on 2009年01月26日 0時02分 (#1498542)
                何いってんだ?

                業務用ネットワーク内に配布サーバ置いて更新データをネットワークを介さずにメディア等でもってくるだけだろ。
                元コメにもあるがWindowsアップデートならWSUS、ウイルス定義なら各メーカーでEnterprise向け製品があるだろうが。
                そいつらを直接インターネットに繋げなければ良い。
                なんでインターネットから直接取得して更新しないといけないなんて考えるだ?

                そもそもWindowsアップデートなんて通常月一回だし、実際は毎月更新せざるをえないわけじゃない。
                ウイルス定義の更新だって、各端末は毎日行うようにしておいても業務ネットワーク内の配布元の更新は毎日やる必要性はない。一時配布元(メーカのことな)が通常は毎日更新なんかしない。

                更にいえば公開されるパッチのうち何時どれを適用するかは自社でコントロールするだろうし、事前に検証もするだろ。
                インターネットと遮断したいなんて要求出すレベルのところじゃ、これぐらいはコスト増にはならん。

                元コメにある構成は確かに有用な構成なんだが、これをもって遮断しているとは言わん。
                直接は繋がっていないけど間接しているので、外部とは繋がっている。
                レスにもあるようにGWなりがやられたら終わりだ。
                遮断したいという要求には満たしていない。

                # 要求する側が「遮断したい」という言葉を言っているだけで、実際は元コメのようなものを要求しているというのは別の話な。
                親コメント

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...