アカウント名:
パスワード:
EmEditor 更新チェックによるウィルス感染の可能性について [emeditor.com]で被害者のIPアドレスを(最後のとこだけ隠して)晒してますが、これは適切な対応でしょうか?
改ざん疑いのあった時間帯を確定させれば、セキュリティ担当者がFWのログを見て自分のところが関係しているかどうか判断できるはずです。
私には適切な対応とは思えません。
勘違いされていませんか?IPアドレスの一覧は、被害者一覧ではなく、犯人がターゲットとしていたIPレンジやIPアドレスの一覧です。このIPアドレスに入っていれば、マルウェアが落ちてきて、入っていなければ正常なファイルが落ちてきていたのでしょう。発覚を遅らせるためにしたことでしょうね。
ログからユーザー特定してターゲット選定したのか、何かしらの狙い(研究、企業や国家の機密情報)があってターゲットを狙ったのか、どうなのだろう
セキュリティ担当者がいてFWを立てててログを適切に保存しているところ以外は切り捨てろという主張ですか。さすが適切な対応ですな。
不安なら、そう言う企業や個人の制作したソフトを切り捨てると言う判断は間違いではないでしょう
企業ユーザー以外居ないとでも?
意味が分かるものについては概ね想定内の反応ですね。どこにぶら下げてもいいのでとりあえず一番下に見えるところに。
ISP経由で接続している個人ユーザーが公開されているIPアドレスを見て、「やべえこれ俺のだ」と気づくと思いますか?これを読んでいる「個人ユーザー」の方、自分が使っているIPアドレスを即答できますか?まあここに出入りしているような逸般人なら即答可能、最低でも1分以内に答えられるでしょうけど。
もちろん自分のIPアドレスを調べる方法はいくらもありますが、エンジニアでも何でもない一般ユーザーが知っている、または調べることができると思いますか?私は無理だろうと思います。
そういう一般人については、攻撃対象のIPアドレスを公開しても意味がないでしょう。もしもISPのサービスがものすごくよければ、自社のIPアドレスが攻撃対象になっていたことに気づいたエンジニアなりがアラートを上げて、サービス部門がその時間帯に問題の範囲のアドレスを割り当てていた顧客に通知してあげるかも知れません。今回だとOCNやSo-netのユーザーが狙われてますね。おやIIJもだ。しかしぼかして特定されていないせいで作業量が最大254倍になります。ISPがそこまでしてくれるかどうか。
個人ユーザーを顧客にしているISPって、そこまで面倒を見てくれるものですか?あの金額でそこまでやってくれるとは到底思えないのですが、もしそうならISPというものを見直します。
今回の件では、開発元は攻撃対象のIPアドレスをぼかして晒すのではなく、個別にwhois引いて対象組織を調べて、具体的なIPアドレスとアクセス時刻を直接通知すべきであったろうと思います。ISPや携帯電話キャリアのIPアドレスなら、ISPなりに。何万件もあったのならともかく、あの程度の数ですからやる気になればできたのではないかと思います。もちろん全ユーザー宛に直接連絡するくらいはやっているのでしょうが。
IPアドレスを晒したりすると、当然それを元にwhoisを引いて組織名を晒す暇人が出てきて、そうなるとマスコミにも露出しやすくなります。広島の土石流災害に隠れたかテレビ等で見たことはありませんが。そんなことになると、例えばしばらく前に侵入被害を受けたことがあるJAXAのシステム担当者なんて、気の毒でなりません。社長とか役員とか、偉い人は自組織名がよくないことでマスコミに出るのをものすごく嫌いますから、ただ単に狙われただけであっても「綱紀粛正、再発防止、問題を起こした者(この場合単に使っていただけのユーザー)の特定及び処分」という流れになりかねません。「オンラインソフト禁止」とか言い出す偉い人もいるかも。起きたことは同じことでも、内部から報告が上がるのとネットに晒されるのとでは、組織に与える影響が全く違うのですよ。言うまでもないことながら。
企業等には迷惑をかける一方で、個人ユーザーはたぶん救えない。あれは不適切な対応だったと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
被害者を晒す必要あったのか? (スコア:0)
EmEditor 更新チェックによるウィルス感染の可能性について [emeditor.com]で被害者のIPアドレスを(最後のとこだけ隠して)晒してますが、これは適切な対応でしょうか?
改ざん疑いのあった時間帯を確定させれば、セキュリティ担当者がFWのログを見て自分のところが関係しているかどうか判断できるはずです。
私には適切な対応とは思えません。
Jubilee
Re: (スコア:0)
勘違いされていませんか?
IPアドレスの一覧は、被害者一覧ではなく、犯人がターゲットとしていたIPレンジやIPアドレスの一覧です。
このIPアドレスに入っていれば、マルウェアが落ちてきて、
入っていなければ正常なファイルが落ちてきていたのでしょう。
発覚を遅らせるためにしたことでしょうね。
ターゲットの選定方法 (スコア:0)
ログからユーザー特定してターゲット選定したのか、
何かしらの狙い(研究、企業や国家の機密情報)があってターゲットを狙ったのか、どうなのだろう
Re: (スコア:0)
セキュリティ担当者がいてFWを立てててログを適切に保存しているところ以外は切り捨てろという主張ですか。
さすが適切な対応ですな。
Re: (スコア:0)
不安なら、そう言う企業や個人の制作したソフトを切り捨てると言う判断は間違いではないでしょう
Re: (スコア:0)
企業ユーザー以外居ないとでも?
Re:被害者を晒す必要あったのか? (スコア:1)
意味が分かるものについては概ね想定内の反応ですね。どこにぶら下げてもいいのでとりあえず一番下に見えるところに。
ISP経由で接続している個人ユーザーが公開されているIPアドレスを見て、「やべえこれ俺のだ」と気づくと思いますか?これを読んでいる「個人ユーザー」の方、自分が使っているIPアドレスを即答できますか?まあここに出入りしているような逸般人なら即答可能、最低でも1分以内に答えられるでしょうけど。
もちろん自分のIPアドレスを調べる方法はいくらもありますが、エンジニアでも何でもない一般ユーザーが知っている、または調べることができると思いますか?私は無理だろうと思います。
そういう一般人については、攻撃対象のIPアドレスを公開しても意味がないでしょう。もしもISPのサービスがものすごくよければ、自社のIPアドレスが攻撃対象になっていたことに気づいたエンジニアなりがアラートを上げて、サービス部門がその時間帯に問題の範囲のアドレスを割り当てていた顧客に通知してあげるかも知れません。今回だとOCNやSo-netのユーザーが狙われてますね。おやIIJもだ。しかしぼかして特定されていないせいで作業量が最大254倍になります。ISPがそこまでしてくれるかどうか。
個人ユーザーを顧客にしているISPって、そこまで面倒を見てくれるものですか?あの金額でそこまでやってくれるとは到底思えないのですが、もしそうならISPというものを見直します。
今回の件では、開発元は攻撃対象のIPアドレスをぼかして晒すのではなく、個別にwhois引いて対象組織を調べて、具体的なIPアドレスとアクセス時刻を直接通知すべきであったろうと思います。ISPや携帯電話キャリアのIPアドレスなら、ISPなりに。何万件もあったのならともかく、あの程度の数ですからやる気になればできたのではないかと思います。もちろん全ユーザー宛に直接連絡するくらいはやっているのでしょうが。
IPアドレスを晒したりすると、当然それを元にwhoisを引いて組織名を晒す暇人が出てきて、そうなるとマスコミにも露出しやすくなります。広島の土石流災害に隠れたかテレビ等で見たことはありませんが。そんなことになると、例えばしばらく前に侵入被害を受けたことがあるJAXAのシステム担当者なんて、気の毒でなりません。社長とか役員とか、偉い人は自組織名がよくないことでマスコミに出るのをものすごく嫌いますから、ただ単に狙われただけであっても「綱紀粛正、再発防止、問題を起こした者(この場合単に使っていただけのユーザー)の特定及び処分」という流れになりかねません。「オンラインソフト禁止」とか言い出す偉い人もいるかも。起きたことは同じことでも、内部から報告が上がるのとネットに晒されるのとでは、組織に与える影響が全く違うのですよ。言うまでもないことながら。
企業等には迷惑をかける一方で、個人ユーザーはたぶん救えない。あれは不適切な対応だったと思います。
Jubilee