パスワードを忘れた? アカウント作成
1186 story

MSNに侵入したNIMDAは社内感染 124

ストーリー by wakatono
同様の事例多数と推測 部門より

複数の参加者から同じネタで投稿をいただいた。hiromasa 曰く,"日経ITPro に 「MSNが新型ウイルス「ニムダ」に感染,社内からのコンテンツ更新が原因」 という記事が出ています。 ウィルス対策ソフトベンダーのパターンファイル配布が遅かったのが、 msn.co.jpの感染の原因だとし、「当時はどうしようもない状況だったといえる」なんて結論になっています。そんなの link checker で防げた筈なのにねぇ。ま、今後ともmsnはなにかと汚染されるであろうことを知らしめてくれる記事なんで、「参考になる」に投票しておきましたけどね。"

また、nobuo 曰く,"M$ Japanの阿多社長のインタービュー記事で/.でも話題沸騰だった日経ITpro。9/25付けで、なぜmsnがNimdaに感染したのかというこんな記事が出ている。

曰く、「マイクロソフト社内から,MSNにアップロードしたWebコンテンツに,ニムダが埋め込まれていた」

該当記事はM$ Japanの言い訳が満載されているのだが、この1行だけを読むと「msnのサーバはセキュリティ対策が施されていたにも関わらず、M$社内で使われていたPCには、まったくセキュリティパッチが充てられてなかった」というのが真相なのでは?という感じもしてくる。

msnがNimdaに感染してからのことでもこんなことが書かれている。

「インターネット上の多くのWebサイトを調べ,新しいウイルスの情報を見つけ,その対策法を見つけ出した」

社長がこの記事で「(ウィルスの)新種の発見と対策ファイルの提供を一秒でも早く実施するため,24時間365日監視の目を緩めない。」と言っていることと矛盾してこない?"

うーん…努力はしてるんだろうけど…

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • WindowsUpdateのサイトもクラックされて、真面目にUpdateして
    いる人達まで被害を受ける様な事態になりかねないのでは?と心配
    しています。
    --

    There is no spoon.
  • 早い話が (スコア:4, 興味深い)

    by visha (779) on 2001年09月26日 15時57分 (#25102) 日記

    「社内にパッチを当てていないIISやIEが存在した」ということはつまり、IISやIEが「MSのお膝元でさえ、セキュアな状態を保つのが難しい」プロダクトであるということですな。まさに自分で自分の足を踏んだの図。これに懲りて、セキュリティパッチの適用や告知をもっと簡単で自動化しやすい仕組みを作って欲しいものだ。

    それにしても「いたしかたなかった」とはどういう言い草だろう >日経ITPro

  • 倉庫番 (スコア:4, おもしろおかしい)

    by sham (4555) on 2001年09月26日 22時26分 (#25224)
    で片付けてたのは、MSのOSが入っていて、どうしようもなかったPCだったのか。

    あのゲームの作者は、今ごろ何処でなにをしているのだろう?
  • by jmz-yam (5393) on 2001年09月26日 16時41分 (#25120) 日記
    記事の一番最後で「対策のポイントはいくつかある。地道な作業ではあるが…」と書かれていますが、一番単純な「M$製品を使わない」という指摘がされていません。いつものことですが、悲しいです。

    <おふとぴ>
    「LANケーブルを抜く」
    って、物理的に遮断ですか!「なりふりかまっていられない」状況だったんですかね。
    </おふとぴ>
    - jam -
    --
    jmz
  • NimdaじゃLANケーブルを抜くわ、CodeRedでHotMailのOSを再起動するわで、きっとこれがMS製品の正しい運用方法なんだろうな。

  • by Dot.Zeile (1169) on 2001年09月26日 17時45分 (#25142) 日記
    ここでCourseyの悪口を言うのは私の役目のようだから、書きますが(笑)David Courseyは Anchordeskコラム にてガートナーの言ってることに関して「三つの違った見方がある」と言っています。(以下は私の悪意のこもった超訳。)
    1. ガートナーの言うとおりにすれば、つまりIISをやめればいいんじゃない?ただし、プラットフォームの切換には金がかかるし、そうすることによってOutlookカレンダーをwebで見れるとかいったIISベースの様々な「便利な」機能をあきらめなくちゃいけない。それと、忘れちゃならないことはIISを捨てることが、こういうwormを作った連中を喜ばせることにもなる、ということだ。彼らはMS製品が使われなくなるのを見るのが嬉しいんだ。IISが使われなくなったら彼らは次のターゲットを別のMS製品に定めてすべてのMS製品が使われなくなるまでそれを繰り返すんだ。
    2. 結局問題はソフトじゃなくて間抜けな管理者にあるんだ。ちゃんと勉強して仕事すればいいんだよ。MSのコードの質が問題だという人もいるけど、私はそれを判断する立場にないけど、MSのコードのボロボロさと、MSの敵の多さとどっちが問題の本質なのかは考えなくちゃいけない。MSのコードはそんなにほかと比べて悪くないというアナリストもいるんだ。もしも悪漢どもがApacheを今MSに対してやっているのと同じくらい攻撃したら、そのときにガートナーが「Apacheを捨てなさい」と言うかどうかは疑問だと思う。
    3. 何でもいいけど、Webの管理なんて仕事はアウトソーシングして本来の仕事だけに集中するってのがいいんじゃないの。
    ざっくり要約すると、「MSには敵が多い。ウィルス作成者どもはMSを憎んでいる。要するに敵が多いから攻撃されてるだけだ。Webサーバの管理なんて手間ばっかりかかってくだらない仕事だからアウトソーシングしちゃおう。ガートナーが正しいとは思えないし、MSは何も悪くない。」って感じですな。

    一言私の意見を言わせてもらえば、ひどいもんです。

    あ、誤訳についての責任は負いませんのであしからず。:-)
  • by Technical Type (3408) on 2001年09月26日 18時13分 (#25153)
    NAI のページによると

    SHSファイルの興味深い特徴として、オペレーティングシステムがファイルの拡張子を表示するように設定されている場合でも、拡張子が表示されないことが挙げられます。つまり.TXT.SHSファイルは常に.TXTとして表示されます。このため、ユーザは混乱して、SHSファイルを.TXT 形式のファイルだと思い込んでしまうことがあります。

    これは LIFE_STAGES というワームが悪用しました。対策法はこれ。 .SHSを表示させる方法

    もちろん、私はやってます。

  • 心配なのは (スコア:3, 興味深い)

    by witch (3127) on 2001年09月26日 18時52分 (#25166) 日記
    Internet Explorer を INSTALL or UPDATE すると
    ホームを何処に指定しておいても、必ず一回目に msn に行っちゃうことだよね…

    msn に行く前にセキュリティの設定変更をする方法ってあるのかな…

  • by Dot.Zeile (1169) on 2001年09月26日 20時07分 (#25195) 日記
    Windows Updateサイトはつい最近何かの攻撃でダウンしたことありませんでしたっけ?
    security holeやbackdoorがちゃんと塞がれてればいいけどねえ…
  • by visha (779) on 2001年09月26日 16時04分 (#25105) 日記

    引用は正確にしないとあかん >をれ

    いたしかたなかった

    じゃなくて

    ニムダに対応したパターン・ファイルを配布したのは,MSNが感染したあとだった。当時はどうしようもない状況だったといえる。

    でした。

    この言説の最大の問題点は、「ウィルス対策ソフト」が対応してくれなければ、あたかもこの感染媒介は防げなかったかのように主張しているところだ。問題点はそこにあるんじゃない。親コメントにも書いたけど、「セキュアな状態を保つのが非常に難しいMSのプロダクトとそのアップデートシステム」にあるのだ。MSのお膝元ですら満足にアップデートし切れないモノを、エンドユーザができるわけがない。

  • Re:早い話が (スコア:2, すばらしい洞察)

    by awajiya (2498) on 2001年09月26日 16時15分 (#25109) ホームページ
    あえて突っ込むまでもないけど....

    どのセキュリティ・ホールも2カ月以上前に発見されたもので,修正ソフト(パッチ)が配布されている。
    ....と書いておいて,
    どうしようもない状況だったといえる
    はないでしょ.どーしょもあるじゃん.
  • この記事 (スコア:2, 参考になる)

    by fgd (2415) on 2001年09月26日 16時16分 (#25110) 日記

    この記事(MS社長のIISに関するインタビュー) の「皆様の評価を見る」(下のほうのFeedBackの中)は一目に値するよ

    「参考にならなかった」が75%とは…
    コメント欄も怨嗟の声に満ちています。

  • by crouton (9) on 2001年09月26日 16時29分 (#25117)
    「参考になった」の中にも「MSの体質がわかって大いに参考になった」という
    意味のものがあるようで。
    --
    "Quidquid latine dictum sit, altum videtur."
  • by yotaro (790) on 2001年09月26日 16時50分 (#25124) 日記

    蛇足ですが。

    IISのDirectory Traversal Vulnerabilityへの対策パッチって、一年ほど前にリリースされてるんですよね。Symantecのこれ読む限りでは件のパッチ当ててればこんなことにはならなかったのではないかと。

    まったくもって、どーしょもある話だった、と言うわけですな。

    <更に蛇足>

    MSNのNimdaについてのページに、

    MSN ではサーバーが直接マイクロソフト社外のサーバーに対して影響を及ぼしたことはないと考えています。MSN のインターネット上に開いたサーバーは、サーバー機能ではなくそのコンテンツファイルが 9/18 の夜 11 時以降 1 時間ほど感染した状態にありましたが、これにより影響を受けたのは直接このサーバーにアクセスした利用者のコンピュータになります。なお、利用者のコンピュータが感染するには、ブラウザのバージョンなどいくつかの条件がそろった場合に限られます。

    てな表記がありますが、実際にLANケーブル抜いたのって午前3時でしょ?その間まったくwww.msn.comが外部へのアタックをかけなかったとは考えにくいんですが…

    </更に蛇足>
  • 登録されている拡張子は表示しない、の設定になっていたとか。(デフォルトだけど!)
  • しゃれになってねー。

    というか私の場合、Windows系のOSを新規に入れたら最初にやることは「隠しファイルも全部表示」「拡張子も全部表示」のオプション設定なんですけど、世間的にはどうなんですかね?(やらない人っているの?)
  • 私もWindowsを入れたらまず「隠しファイルも全部表示」「拡張子も全部表示」を設定しますが、他人のPCを横から眺めているとデフォルトのままの人が多いっすね。
  • この時に、しっかりパッチセット作って社内にも配布して、
    徹底させればこんなひどいことはならなかったんじゃないか~~
    --

    IDENTIFICATION DIVISION.
    AUTHOR YUKI-KUN.
  • 人的なミスによる被害だったと言う事にしたいだけでしょうね。
    真相は社内のパソコンがメール等によって感染して社内から
    「MSNのIISが攻撃されてワームによって自動的にアップロードされた」
    と言う事だと思います。

    さらに言えば社長自身、部下からの報告を聞いただけで本当の所良く解っていないに1票。

    重蔵。
  • M$製品を使わない (スコア:2, おもしろおかしい)

    by noriyuru (5179) on 2001年09月26日 17時42分 (#25140) 日記
    エンジニアの世界では個人のノウハウやスピリッツで結果に差が出ます。
    それはUNIXであれNTであれLINUXであれ変わらないことです。
    この一般論(定理や法則とも言える)から行くと、どこかに究極のM$管理者がいるに違いない。
    その人は注目されていないだけで、いろいろなM$ノウハウやM$スピリッツでいっぱいだろう。(バイナリーをハックなんて日常的かつ平気)
    そういう人からすれば「M$製品」は使いやすくパワフルなのではないか?

    と、ずっと前から想像してるんですけど、いるんでしょうか? 究極のM$管理者さん。でなければCMに出てくるようなNTによる大規模商業サイトなんて実現できないはずなんですが…
  • by Dot.Zeile (1169) on 2001年09月26日 18時02分 (#25149) 日記
    MSじゃなくてアンチウィルスメーカーが悪い、ということにしておきたかったわけだね。
  • いや、2つの記事は矛盾していませんよ。MSの社長は「ウィルスの新種の発見と対策ファイルの提供を一秒でも早く実施するため,24時間365日監視の目を緩めない」と言っている。それは信じてあげよう。次。

    ウイルス対策ソフト・ベンダーがニムダの存在に気付いてパターン・ファイルを配布するまでは、どうしようもない状況だった、というわけでしょ? これも信じてあげよう。

    結論: (MSの言葉を信じれば) MS製品を使う限り、いくら努力してもセキュリティーは「どうしようもない状況」にしかならない。

    これならどこも矛盾しないよ。 (^^)

    まあ、最初からセキュリティーを考えていない物は、幾らパッチを当てても駄目って事でしょ。

  • ありがとうございました。参考にさせていただきます。

    それにしてもこの種のregedit動かさないと表示されるようにならない拡張子っていうのが山のようにあったりしませんかね?その一つ一つがセキュリティ上の潜在的リスクなわけでしょ…。IISだけじゃなくてOSも一から、コーディングだけじゃなくて設計からやりなおさせないとダメっぽいぞ。>ガートナー

  • 結局問題はソフトじゃなくて間抜けな管理者にあるんだ。ちゃんと勉強して仕事すればいいんだよ。
    何でもいいけど、Webの管理なんて仕事はアウトソーシングして本来の仕事だけに集中するってのがいいんじゃないの

    いくらなら請け負ってもらえる or 受注できるのであろ。
    MS Products は勉強のコストも馬鹿にならない上に、あっという間に陳腐化するので、攻撃されて躓いたら損害賠償だと縛っておいて IIS を使えといわれたら、費用を倍以上ふっかけられるのではないかな?

  • このまま報告に使えそうな「すばらしい洞察」ですね。
    きっと日経BPの意図もそうだったのでしょう。
    イニシャルにしなくてもいいのに。
  • by argon (3541) on 2001年09月26日 19時18分 (#25174) 日記
    見ていないときを狙っても、タレコマレることはあるかも。
    複数のハードに分散して動かしていてサービスを停止しないならば、個別にリブートするのはかまわないと思います。
    TCO は高そうですが、それを24時間運転だと主張するのはよろしいんじゃないですかね。

  • by Anonymous Coward on 2001年09月26日 19時37分 (#25184)

    どなたかが書いてくれましたんで、こちらではまとめだけしておきますね。

    1.まずPCからLANケーブルを抜きます。
    2.M$のOSをインストールします。
    3.電源を切り、コンセントを抜きます。
    4.そのままライセンス証書とともに倉庫に入れます。
    5.忘れます。

  • by Dot.Zeile (1169) on 2001年09月26日 19時48分 (#25188) 日記
    とりあえずLANケーブルを引っこ抜くのが有効でしょう。ダイヤルアップモデムの場合は電話線も引っこ抜いておきましょう。え?なに?「うちとこじゃUSBにルータが繋がってます」?しくしく…。

    「H"-in」なんてのもあるからな…。
  • by Dot.Zeile (1169) on 2001年09月26日 19時52分 (#25193) 日記
    冗談抜きで、何回かに一回起動時にMSサイトを見に行くようになっているのは、あれは心臓に悪いというかセキュリティに悪いというか…。

    いちいち「指定されたウェブページはこちらへ移動しました」(だっけか?)と表示するのもマヌケなような…
  • いや、もっと最近何かあったような…気がするだけかな?
  • Re:拡張子を隠す (スコア:2, おもしろおかしい)

    by tohfu (3814) on 2001年09月26日 21時10分 (#25207) ホームページ
    > きっと、よりマックに近づきたかったんだろうね。

    「隠す」だけでは見た目以外、ちっとも近づいているとは言えないですよね。
    マックに拡張子が必要無いのは、ファイルタイプ、クリエータ情報をもとにファイル管理してるからで、確かにはじめてマックを使った時、便利だなーと思った。

    # PCを家電にしたいのなら、拡張子は「隠す」んじゃなくて、「必要無い」にして欲しい。
    # いっそ、ファイルという概念も...

    だけど、これほどWEBも普及し、他のプラットフォームとのファイルのやり取りが増えて、マックでも拡張子をつけるの人は多くなってきてると思う。

    だ、だが、DTP出身のマックな人、オリジナリチーあふれる拡張子をつけるのはやめてください。(涙
    irare、foto、ward ....
  • by densuke (113) on 2001年09月26日 21時19分 (#25209) 日記

    そういうことに対処する方法として、私は自分用Proxyの一歩手前にJunkBusterを入れておいて、msn.co.jpへのアクセスをブロックさせるようにしています。一度アクセスさせれば、それ以降は通常の動作に戻ります。

    私は、もともとあんなページに行くことはないのでずっとブロックさせっぱなしですが。 いい副作用として、「泣く泣くhotmailを使った後、ログアウトした時に勝手にmsnに行くのを防止できる」というのもあります。

    --
    -- やさいはけんこうにいちば〜ん!
  • by yanushi (176) on 2001年09月26日 21時21分 (#25210) 日記
    今見た感じでは、
    .maw .mag .maf .mam .mad .maq .mar .mas .mat .mav
    .cnf .shb .URL .lnk .pif .scf .SHS .xnk
    .MAPIMail .DeskLink .mydocs
    が表示されないようです。

    ちなみに .ma*な拡張子はAccess関係です。
    (Access.Shortcut.DataAccessPage.1とか)
  • by tt (2867) on 2001年09月26日 23時51分 (#25232) 日記
    http://www.zdnet.co.jp/news/0107/24/b_0723_23.html

    をみると、「先週windows updateのサイトは書きかえられた」となってますね。

    http://www.attrition.org/mirror/attrition/2001/07/19/windowsupdate.microsoft.com/

    に、書きかえられたときのミラーが残されてます。この時同時にmsnも書きかえられたそうで。

    しかしやるならこんなけち臭いページ改竄じゃなくて、SSLのキーでも奪えばよかったのに(こら)。まあ、アマチュア(というかただのWorm)の犯行でよかったねという事ですな、、、
    --
    -- Takehiro TOMINAGA // may the source be with you!
  • by goodlife (5595) on 2001年09月27日 10時20分 (#25274) 日記
    一番最初に標的となり,広範な感染源となることが 予想されるサイトが,パターンファイルという必ず 後手に回らざるを得ない対策に依存している状況, ヘンだと思いませんか?
  • by prom (3277) on 2001年09月27日 10時45分 (#25278) 日記
    おおすばらしい。
    モデレータ権限はありませんので返信にて+1モデレートさせていただきます。

    ちなみにWin2kでの検索では
    REGEDIT NeverShowExt
    HKEY_CLASSES_ROOT\Access.ShortCut.Form.1
    HKEY_CLASSES_ROOT\Access.ShortCut.Macro.1
    HKEY_CLASSES_ROOT\Access.ShortCut.Module.1
    HKEY_CLASSES_ROOT\Access.ShortCut.Query.1
    HKEY_CLASSES_ROOT\Access.ShortCut.Report.1
    HKEY_CLASSES_ROOT\Access.ShortCut.Table.1
    HKEY_CLASSES_ROOT\CLSID\{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}
    HKEY_CLASSES_ROOT\CLSID\{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}
    HKEY_CLASSES_ROOT\CLSID\{ECF03A32-103D-11d2-854D-006008059367}
    HKEY_CLASSES_ROOT\ConferenceLink
    HKEY_CLASSES_ROOT\DocShortcut
    HKEY_CLASSES_ROOT\InternetShortcut
    HKEY_CLASSES_ROOT\lnkfile
    HKEY_CLASSES_ROOT\piffile
    HKEY_CLASSES_ROOT\SHCmdFile
    がヒットしました。あと
    HKEY_LOCAL_MACHINE\以下同じもです。

    狙われそうなのが、結構ありますね。
    ってここまでやるんだったら
    レジストリ変更用のregを書けという噂もあり。
    Access.Shortcut.DataAccessPage.1は
    私の環境にはありませんでした。
    Office2000 Standardだからかもしれません。

    以上ご参考まで
  • by Dot.Zeile (1169) on 2001年09月27日 11時06分 (#25286) 日記
    >あのゲームの作者は、今ごろ何処でなにをしているのだろう?

    #本当のところを知ってるわけじゃないですが、
    現実に今でも業界にいてCodeRedやNimdaの対応に追われてたりしませんかねえ…。
    #いや、ほんとに片付けて済むモンなら片付けたいわ、これ。
  • MSNアクセス禁止 (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2001年09月27日 11時23分 (#25289)
    Norton Internet Securityのオプションで、「msn.co.jp」サイト全体アクセス禁止にしてやった。
  • ちょっとオフトピック気味ですが

    前から思ってるんですけど、LinuxにはStackGuardコンパイラってのがありましたよね?カーネル以下全部それでコンパイルしなおしたLinuxディストリビューションなんてのもあったよね?

    Microsoftの製品は全部MSのコンパイラでコンパイルされてるわけでしょ。似たような処置をしたコンパイラを一個用意して全面的に再コンパイルするのってそんなに大変なのかなあ、という気がちょっとする。

    #それをやると過去の製品との互換性が失われてしまう、とかだったりしてね。

    もちろん根本的にはコードの質自体を上げないとダメでしょうけどMSのプログラマって流動性高いから期待薄な気がするし…。IT不況のおかげで定着率が上がって、これから品質がよくなるのだったりするかな…。
  • いや、だから本人(本社?)はわかってるんでしょう、そういうことは。

    ・素直にパッチを当てるのを忘れてたと言うのが悔しかったので誤魔化した

    ・アンチウィルス会社に責任を転嫁したい

    のどっちかだと思うよ。
  • by WindKnight (1253) on 2001年09月27日 11時47分 (#25301) 日記
    Admin でなければ動かない HTTP サーバーという発想が間違っていると思ふ。

    いくら、OSが硬くてもねぇ・・・・・。
  • あのOSって硬いんでしょうか。ていうか、IISがAdministrator権限で動作するようになってるのは、OSのセキュリティ全体の仕組みがタコで、Administrator権限がないと実現できない機能が満載だから、のような気が(素人考えですけど)するのですよね。隠れ隠し拡張子の話もそうなんだけど、やっぱりシステム全体の構成というか成り立ちというか、そういうのを根幹から見直さないとどうしようもないのではないだろうか。
  • 究極のM$管理者 (スコア:2, おもしろおかしい)

    by minz (3213) on 2001年09月27日 13時32分 (#25320) ホームページ 日記
    ってのは、少なくとも、MCPだのMCSEだのの資格とは全く関係がないのは間違いなさそうです。:-)
    --
    みんつ
  • ツールを使ってページを作成、一気に Web Server 配下へ送り込むという作業をやってると、ページが期待通り見えることは確認しても、自分がどんなファイルを作ってるかは意識しないままの人もいるようです。なので、期待通りの挙動をしている限りにおいては、見慣れないファイルがいることにも気づかないままなのではないでしょうか?

  • by argon (3541) on 2001年09月27日 18時44分 (#25369) 日記
    譬え話としては、警護をサボる SP に近いと思いますが、 SP も人間だからねぇで終わるかな。
  • by argon (3541) on 2001年09月27日 23時43分 (#25431) 日記
    もったいない。
    他は知りませんが、 MSN ジャーナル は興味深い記事が多いですよ。もっぱら w3m で見てます。
    玉石混交ではありますが、コンピュータの記事を扱わないことで質の高さを維持しているような気もします。
  • by WindKnight (1253) on 2001年09月28日 9時40分 (#25472) 日記
    トップからのリンクが無くなっているようです。

    ページは残っているようですが・・・・・。

  • 既にご存じの方も多いかと思いますが、そんなWindows
    ユーザーの方々にこの「極窓」を。

    http://www.55555.to/

    対応拡張子650種類以上を判別、正常な拡張子に
    戻してくれるツールです。
  • PCで編集中のHTMLにタグが書き加えられたって ことらしいが、readme.eml readme.exe もサーバーに アップロードされたってのはどういうことなのでしょうか?
    --
  • M$社内のセキュリティ意識なんてのはその程度って言えますね。
    ( msn を標準のスタートページにしておいて
      msn に汚染されたコンテンツを置いても気づかないあたりとか)
    その程度の会社の作ったプロダクトはその程度のセキュアさ
    ってことで一応理解できそうです。

    --
    Kiyotan
typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...