アカウント名:
パスワード:
機密データはインターネットと繋がらない場所におかないともちろん、管理サーバやらプロキシサーバ、ライセンスサーバ、WSUSサーバ等を経由して間接的につながるのもダメ
理想論を説いたところで意味はないと思います。機密データ以前に、ウイルス対策管理サーバーがインターネットから接続可能であることにツッコミがいるのではないでしょうか。
以下、「不正アクセスによる個人情報と企業機密の流出可能性について(第 3 報) 」3ページ目より引用
> 機密データ以前に、ウイルス対策管理サーバーがインターネットから接続可能であることにツッコミがいるのではないでしょうか。
これ、直接外部から接続可能だったのでしょうか?まずは社内端末が乗っ取られて、リバースコネクションを使って外部からコントロール可能な状態になり、乗っ取られた社内端末からウイルス対策管理サーバーの脆弱性を突かれてウイルス対策管理サーバーについてもリバースコネクションを使って外部からコントロールされるようなった…というシナリオの方がありそうな気もするんですが。
報告を見る限り、第1ステップがこれになっているので、該当のサーバーを外部公開していたと思われます。
他の可能性としては、NICと送信元の対応をチェックしないタイプの古いファイアウォールを運用していて、かつ、プライベートIPを詐称して攻撃したケースが考えられます。が、この場合は上位ネットワークを監視/操作できていないと極めて困難なので、犯人は上位ネットワークを支配できている可能性が…
元記事のように一度内部に入ったのでなければ、PDFに書いてある「送信者アドレス詐称」って、ルーティングも握られているってことだよね?最初にやられたのが中国拠点っていうことは、実は犯人グループは中国政府の関係者で、上流のプロバイダも実は犯人グループってことでは?特定が難航するわな、それは。
> PDFに書いてある「送信者アドレス詐称」って、ルーティングも握られているってことだよね?> 実は犯人グループは中国政府の関係者で、上流のプロバイダも実は犯人グループってことでは?
ログに逆引きした名前しか記録されておらず、IPアドレスの記録はなかったという可能性も一応あるかも。
あと、IPアドレス詐称の場合であても、やられてるのが上流プロバイダとは限らないと思います。むしろ相当に遠方の末端プロバイダの可能性の方が高いのでは?例えば以下の台湾のpublic DNS server が
外野予想
・アンイウィルスのパターン配信サーバのIPアドレスを、BGP hijackで短時間経路を乗っ取る ↓・アクセスしに来たサーバに、毒入りのパターンファイルを送りこむ。(これが未公開のゼロデイアタック)・TLSは、杜撰に発行された偽証明書で突破 ↓・毒パターンを配信されたクライアントでファイルレスマルウェアが誕生し、活動開始 ↓ 以下略
それならまだゲートウェイ(ルータ)の脆弱性を突かれて内部ネットワークに侵入された説の方が可能性高そう
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
機密データをインターネットにつながるところに置くのはダメだろ (スコア:0)
機密データはインターネットと繋がらない場所におかないと
もちろん、管理サーバやらプロキシサーバ、ライセンスサーバ、WSUSサーバ等を経由して間接的につながるのもダメ
Re: (スコア:2)
理想論を説いたところで意味はないと思います。
機密データ以前に、ウイルス対策管理サーバーがインターネットから接続可能であることにツッコミがいるのではないでしょうか。
以下、「不正アクセスによる個人情報と企業機密の流出可能性について(第 3 報) 」3ページ目より引用
Re: (スコア:0)
> 機密データ以前に、ウイルス対策管理サーバーがインターネットから接続可能であることにツッコミがいるのではないでしょうか。
これ、直接外部から接続可能だったのでしょうか?
まずは社内端末が乗っ取られて、リバースコネクションを使って外部からコントロール可能な状態になり、
乗っ取られた社内端末からウイルス対策管理サーバーの脆弱性を突かれて
ウイルス対策管理サーバーについてもリバースコネクションを使って外部からコントロールされるようなった…
というシナリオの方がありそうな気もするんですが。
Re:機密データをインターネットにつながるところに置くのはダメだろ (スコア:1)
報告を見る限り、第1ステップがこれになっているので、該当のサーバーを外部公開していたと思われます。
Re:機密データをインターネットにつながるところに置くのはダメだろ (スコア:1)
他の可能性としては、NICと送信元の対応をチェックしないタイプの古いファイアウォールを運用していて、かつ、プライベートIPを詐称して攻撃したケースが考えられます。
が、この場合は上位ネットワークを監視/操作できていないと極めて困難なので、犯人は上位ネットワークを支配できている可能性が…
Re: (スコア:0)
元記事のように一度内部に入ったのでなければ、PDFに書いてある「送信者アドレス詐称」って、ルーティングも握られているってことだよね?最初にやられたのが中国拠点っていうことは、実は犯人グループは中国政府の関係者で、上流のプロバイダも実は犯人グループってことでは?特定が難航するわな、それは。
Re: (スコア:0)
> PDFに書いてある「送信者アドレス詐称」って、ルーティングも握られているってことだよね?
> 実は犯人グループは中国政府の関係者で、上流のプロバイダも実は犯人グループってことでは?
ログに逆引きした名前しか記録されておらず、IPアドレスの記録はなかったという可能性も一応あるかも。
あと、IPアドレス詐称の場合であても、やられてるのが上流プロバイダとは限らないと思います。
むしろ相当に遠方の末端プロバイダの可能性の方が高いのでは?
例えば以下の台湾のpublic DNS server が
Re: (スコア:0)
外野予想
・アンイウィルスのパターン配信サーバのIPアドレスを、BGP hijackで短時間経路を乗っ取る
↓
・アクセスしに来たサーバに、毒入りのパターンファイルを送りこむ。(これが未公開のゼロデイアタック)
・TLSは、杜撰に発行された偽証明書で突破
↓
・毒パターンを配信されたクライアントでファイルレスマルウェアが誕生し、活動開始
↓
以下略
Re: (スコア:0)
それならまだゲートウェイ(ルータ)の脆弱性を突かれて内部ネットワークに侵入された説の方が可能性高そう