highness曰く、"日経ITProによる。今回のウイルス騒ぎ(Blaster、Welchi)で被害を受けた日本郵政公社だが、原因はNECの作業ミスであったとのこと。郵政公社はNECへ損害賠償を求める検討を始めたそうだ。
感染ルートは、元々はインターネットに接続されていなかった交換機制御用のパソコンを、NECの保守作業員が勝手にインターネットへ接続した時に感染したそうだ。インターネットに接続した理由は、保守作業に関する情報をインターネットから入手したかったためだという。あまりにおそまつな気がするのですが..."
実は定番 (スコア:3, すばらしい洞察)
最近は企業もセキュリティーへの意識が強いために社内の端末は
パッチやワクチンソフトはきっちりしているのですが
個人で所有しているノートパソコンなどは意外と
ワクチンソフト等が入っていなくて,それでも業務上どうしても
必要という事でつなぐことあるんですよねぇ.
で,あとはご存じの通りとw.
まぁ,せめてWindows Updateだけはやっておけという事ですね.
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
Re:実は定番 (スコア:1, 参考になる)
今回のような、普段はオフラインのPCにどうやってWindows Updateをかけろと?
Windows Updateの実行中にワーム感染してしまいますよ。
#普段からサービスパックのCDをばらまけ>MS ってことです。
Re:実は定番 (スコア:2, 参考になる)
WindowsUpdate カタログ [microsoft.com]を使えってことでしょう
コピーはメモリスティックなりCD-Rなり好きなのを..
SUSは無料ですよー(-1激しく揚げ足取り(笑)) (スコア:1, 参考になる)
ダウンロードして使ってたのでちょっとびっくりしました
「Microsoft(R) Software Update Services」日本語版を6月24日(月)より提供開始 [microsoft.com]
一回SUSサーバーが同期してしまえば、Windows Updateが混んでても各端末に反映できるのが良いです
無論完全隔離なネットワークにはWindows Update カタログしか使えませんが...
(Proxy経由/FW経由等によりSUSとMSのUpdateサイトとの接続を確立する必要があるため)
あと自動更新機能のみでしかUpdateできないのも...
Windows UpdateみたいにWebで出来れば便利なんですけどねぇ
Re:実は定番 (スコア:2, 参考になる)
すべてのWindowsUpdateが終わるまでwww.windowsupdate.comを開く以外の操作を禁止にすれば、まずウィルスに感染することはない。
ローカルエリア接続->インターネットプロトコル->詳細設定->オプション->TCP/IPフィルタリング
以外と知られてないけど再セットアップ後のWindowsUpdateはこれでやるのが安全。もちろんパッチを保管しておくのがベストですがね。
# 再セットアップ用のCD-ROMはサービスパック適用済みにしておくののも忘れずに。
# この簡易ファイアーウォール、ひとつひとつポート設定しないといけないのが大変・・連番で指定できればラクなのに・・
Re:実は定番 (スコア:1, 参考になる)
揚げ足をとる気はないですが、Windows Updateでは443/tcp(HTTPS)もつかいますよ。
Windows Update で使用されるポートについて [microsoft.com]
Re:実は定番 (スコア:1)
#保守用のマシンならなおさらそのような環境を整えておくべき。
みんつ
Re:実は定番 (スコア:2, 興味深い)
これに限らず今後盲点になりそうなのはこの例 [impress.co.jp]のように組み込みOSに脆弱性があることを認識できずに臨時にプリンタの貸し借りやってしまって感染してしまうなどということが起こりえるということですね。
プリンタに限らずインテリジェントっぽいものなら何でも。
ひょっとして「この製品はWindowsXXが組み込まれています」という表示を義務付ける必要があるかな?
Re:実は定番 (スコア:1)
脆弱性の識別/検知という意味では「内容を表示しておく」というのは、十分に効果のある方法だと思いますよ。
でも、組み込みでも Windows 系に限らず、TRON だろーが何だろうが OS やミドルウェアに脆弱性はあるものと考えるべきでしょう。アップデート不能なものかもしれませんし。
100%の防御は不可能ですが、確率を100分の1、1000分の1にする方策はいくらでもあるはずです。小さな対策からでいいから、それを考え実践していくことが大事なのではないかと。
みんつ
Re:実は定番 (スコア:2, 参考になる)
>脆弱性の識別/検知という意味では「内容を表示しておく」
>というのは、十分に効果のある方法だと思いますよ。
そうですね。商品の購入時の判断基準にもなり得るでしょう。そしてそれがポジティブに働けば一種のブランドを形成することにも繋がるのだと思います。
おまけ
ネットワークプリンタの組み込みOSなどの脆弱性にからむ危険性についてピンと来ない方はプリンターを買うときはネットワークプリンターを買うべきではない [iij4u.or.jp]を読むと分かりやすいかも。
Re:実は定番 (スコア:2, 参考になる)
>それとも片っ端から全部とっておけ?
Windows Update嫌いな私めと致しましては、コレ実践しちゃってます。
作業がうっとうしいったらありゃしない。
でもWindows Update嫌いなんだから仕方が無い。
あきらめが付いてるからそうしてますが、素人に限らずオススメできるものではありませんね。確かに。
私んとこには該当する機械が2台しかないからマシなんだと思いますが、管理者の中の人は大変でしょうね。
しかし、Windows Updateの動作がイマイチ信用ならねぇ [microsoft.com]んで、単体パッチをダウンロードして当てて回れば結果が見えるぶん安心できるかも知れません。
起こるべきして起きただけ (スコア:3, 興味深い)
過去にNECの中に入って作業をしてた事があるので今回の件は全然驚くような事とは思えません。/.Jの人にとってはNECというとコンピューターに詳しい人が多い会社だと思ってるかもしれませんが、実態はこの程度です。
例えば新しい作業が発生してPCが必要になるのでNECの人にお願いすると「そのあたりにあるPCでも使って」という感じでした。SPもhotfixも当ててない、明らかに私物ソフト(時にはゲーム!)をインストールしたままのマシンが渡されるのです。最近は少しまともになったようですが、一昔前だと外注の人はネットワークでNECの外に出る事が許されなかったのでWindowsUpdateなんてしたくても出来ませんでした。オフラインで使うのならともかくそれを社内のネットワークにつないで使わされる身になってほしいと常日頃感じてました。(もちろんそれでウイルスに感染でもすれば外注の責任になります)
マシンについてもNECの資産、レンタル品、社員の私物持ち込み、外注持ち込み(外注の私物も含む)、素性不明品等、はっきりいって管理なんて出来ていません。優秀な(?)管理職ならマシンの数台の予備をさりげなくキープしてるのも当たり前でしたし。あくまでキープするだけなのでパッチなんて当てるはずもありません。それでも足りなくなると外注に「悪いけどマシンを1台持ってきて」と平然と言いのける人もいますし。もちろんどの台帳にもそのマシンの素性はもちろんの事、誰の管理かも記されてません。
こんなレベルの話はおそらくほとんどの企業である事でしょう。いい年をしてからむりやりPCを使うのを強要される中間管理職、数年前のリストラのおかげでセキュリティチェックなんて余計な仕事をするヒマのない担当者が泥をかぶる現在の社会情勢が改善されないといくらトップが口やかましく叫んだり、管理部門が頑張っても無駄だという事に気づけば今回の件は決して無駄にならないと思うんですが、多分ダメでしょうね。
# 二度とあんな会社に派遣で行きたくないのでAC
まさか社員の発言じゃないよなコレ (スコア:1)
すまん、思わず笑っちまった。
# mishimaは本田透先生を熱烈に応援しています
で、今は? (スコア:1, すばらしい洞察)
それでもこんな事になってしまうのですね。
型に嵌めてアレはダメ、コレはダメ、と規制するのではなく、
何が何故ダメなのか、規制の意味を自ら考えてコントロールできないと無意味って事か。
鵜呑みにしていいのかな (スコア:1)
「そちらの責任という事で泥を被ってくれれば、埋め合わせに次も大口の仕事を回してやろう。だがもし俺達のメンツを潰したらどんな報復を受けるか解っているだろうな」なんて事で今回の「賠償請求」という形の発表になったり、という事は無いの?
(4/1 から公社になりましたがね、郵政は)
Re:鵜呑みにしていいのかな (スコア:2, すばらしい洞察)
と担当者が思った所が。
# あるいは単に暇だったのでネットでも...
Re:鵜呑みにしていいのかな (スコア:2, 参考になる)
わたくし、学生時代、郵便局を一軒一軒回って
端末を設置。オンラインにつなぐテストまでやる「バイト」を
やってました。
お客には「xx社の技術者」と名乗るよう指示されたのですが、
当時、パソコンのパの字も知らず、
ウインドウを消す右上のボタンも知らず、
笑われながら講習受けたもんです。
そういう空気だから、逆に言えば
「お上の説明いんちきやろ」
という疑惑にも、なんか頷けてしまいます。
なんでもありっしょ。あの世界。
#26万ももらったのでAC
Re:鵜呑みにしていいのかな (スコア:1)
社内のリソースにアクセスしようとしたのでは?
だったとしても危機管理能力はないとしか言えませんが…
------
------- 今日も今日とてとてちてた…
Re:鵜呑みにしていいのかな (スコア:2, すばらしい洞察)
Windows なんてウィルスに感染して当たり前なんだから、 対策を考えてませんでしたなんて担当者にも損害賠償請求すべきだね。
-- 哀れな日本人専用(sorry Japanese only) --
Re:鵜呑みにしていいのかな (スコア:1, 興味深い)
けど、外部ネットワークに継っていない環境でどこまでそれを想定するかは限られた資源をどう配分するかという問題ですから難しいですよ。ウィルスだろうと蟲だろうと自然発生はしない訳で、持ち込ませない方向に重点を置いた設計をした場合に内部の耐性をどれだけ稼ぐかってのは。出入口に鍵の掛かる建物の内部での防犯管理体制をどうするかって話に似てますね。Re:鵜呑みにしていいのかな (スコア:1)
ワームって自己増殖能力を持つタイプだから、フロッピーに入らないでしょ普通。
誰かフロッピー入れて、かつ持ち込んで実行しないといけないと思うけど。
それは悪意が伴う必要がある。だから珍妙。
と僕は読んだ。
Re:鵜呑みにしていいのかな (スコア:1)
とか
>#「あれ、これなんだろう」ってな感じで実行してくれちゃうのかもしれませんが。;-)
ありはありですね。
けど、そんなことSEがするか?
なんて思ってしまったのですが、そういう思考が多分セキュリティホールなんですよね。。。
やらないだろうとか想定せずに、出来ないように設定。
ちょっと基本に立ち返れた気分です。
Re:まさかと思うけど (スコア:2, 参考になる)
しばらく追っかけてればまた何か追記されるかも。
Re:まさかと思うけど (スコア:2, 参考になる)
今回は中途半端に知識/技能があったからインターネットにつないでトラブルを呼び込んだんですね。本当にダメなエンジニアだと、 ギブアップして応援を呼ぶか作業をあきらめて帰ってしまって翌日 別の人が来る。
JCOの臨界事故もそうだけど、現場の創意工夫は一般には良いこと とされているけど、越えてはいけない一線があると言うことが体に染みついているかどうかがキーポイントなのかなぁ。
Re:まさかと思うけど (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
Re:まさかと思うけど (スコア:1)
つまり、「熟練者」の要件は「客観的な基準をクリアしているというお墨付きがある」事である、と。
Re:まさかと思うけど (スコア:1)
いくら車の運転がそれなりにうまいからといって免許の無い人に客を乗せたバスを運転させないのと同じ。
それが対外的にも品質に対する立証につながる。
かえって中途半端な技量を持った自称ハンダ付け技術者がしゃしゃりでてくることが多いと問題が起こりやすい。
Re:まさかと思うけど (スコア:2, 興味深い)
Re:小さな穴はあくものだと思っておくべし (スコア:1)
そういう管理を簡単にするためにドメインとかがあるんだろうと思うけど、あんまり詳しくないので、現状でそういうことができるようになっているかわからないし、できるとしてもそれを適切に運用できる人がどれだけいるかも疑わしい。
もういいから、Windowsにウィルス対策ソフトも内蔵して、次のサーバー製品にはドメイン全体をデフォルトで安全にできるくらいの簡便な機能をつけてほしい、と思ってしまいますがどうでしょう?
Re:小さな穴はあくものだと思っておくべし (スコア:1)
定時ファイルスキャンで見つかるのは感染した後なので、 どっちかといえばリアルタイム検索をちゃんとオン にするほうが効果があると思うんだけど。
Re:小さな穴はあくものだと思っておくべし (スコア:1, おもしろおかしい)
ウィルス有りませんか~って、お伺いを立てながら自己増殖つつ
ネットワークを徘徊するウィスル対策ソフト。
Re:小さな穴はあくものだと思っておくべし (スコア:1)
# あやふや~
Re:小さな穴はあくものだと思っておくべし (スコア:1)
今回のような場合では、そんなゲートウェイを通すわけないですね。
#端末側をきちんと設定しておけば良かっただけな気が…
#未知のモノじゃないんだし…
タブレット中毒者。
Re:おそまつくん (スコア:2, 参考になる)
DDIポケット、Blasterウイルス対策に135番ポートを遮断
http://k-tai.impress.co.jp/cda/article/news_toppage/15359.html [impress.co.jp]
#AirH"が感染源、とか言われないために
- Ryuzi Kambe -
え? (スコア:2, 興味深い)
PRINやDION *ではない* AirH"ユーザです^^
昨日、13時~17時頃までAirH"で繋いでIDS動かして眺めてたんですが…
秒間3件のMSRPCもしくはHTTPのアクセスがきてました(w
こりゃ、対策してない状態で繋いだら、即感染だな、と思ったり…
こわいこわい…
Re:おそまつくん (スコア:1, 興味深い)
余ったAirH"カードを使って観測用マシンを作り
Blaster感染状況の調査をしていたのですが、
突然アクセスがこなくなりました。
最初は新型welchiaが普及して、自爆ルーチンが働いて
動作停止したのかと判断していましたが、
まさかプロバイダーが勝手にフィルターしていたとは驚きました。
KDDIによれば、「135番ポートを閉じることは通常サービスにも影響が出る。
今回の措置はDDIポケットユーザー限定のもので、
固定網などで利用しているDIONユーザーに対しては行なわない」
とのことですが、固定網で問題があるなら、
その理由がそのままDDIポケット側に適用されるとは思わないのでしょうか。
メイン環境を接続している固定網側にデコイ設置してパケット調査なんて
怖くてできないので固定網は全部フィルターしてるし。
プロバイダーが勝手にフィルターすると
せっかく丸裸でグローバル接続できるメリットが台無しになってしまう。
ここまで集めたBlaster感染状況の資料が台無しになったことに
ショックを隠しきれない毎日。
あらかじめアナウンスしてくれるならまだしも、
極一部であってもサービスの一部をいきなり無断で停止するなんて
昔から企業体質に問題があると叩かれてるけど、未だに直らない。
小さな親切大きなお世話。勘違いした善意で自信もって悪行を重ねる
企業というのは本当に迷惑だと思う。
Re:おそまつくん (スコア:1, すばらしい洞察)
今やブロードバンドが主流となり、固定網はADSL等の常時接続でルーター付モデムや単体ルーターを使う人も多いので、そこで弾ける。
それに対して、AirH"は基本的にモバイルが多数派でパソコンにAirH"を直結になるので、プロバイダで弾くのが効率的になる。
中には、AirH"でルーターとか未だに加入電話でダイアルアップな放置民もいるが、既に少数派 [impress.co.jp]といっていい状態です。
この点では、ISDNに固執して不良インフラを築いたNTTの方が酷いと思う。私の経験だけど。
Re:おそまつくん (スコア:1)
ただそうでないならば、傍から見ている限りでは
大多数のユーザーにとってメリットのある処置だと私は思うので
>小さな親切大きなお世話。勘違いした善意で自信もって悪行を重ねる
>企業というのは本当に迷惑だと思う。
というのには、少々疑問を感じます。
Re:おそまつくん (スコア:1)
「ネットワークの安定運用のために事前通達無く対処する事もあるよ」
って約款に含まれてるんじゃないでしょうか。
# 確認してないけどね
Re:おそまつくん (スコア:1, すばらしい洞察)
契約時はデフォルトでほとんどオフ。webとメールしかできない。
んでユーザー設定用のページを用意しておいて、自分で必要なポートを開けていく。
そんなんで十分だと思うがなぁ。大半の人間は。
Re:おそまつくん (スコア:1, 興味深い)
でも、他社も、RAIDのパラメータ変更のためにフルバックアップして、 戻そうとしたらじつはバックアップがうまくいってなくて ファイルサーバの内容を丸ごと失ったというトラブルを起こしたことがあります。
Re:元記事はこれか? (スコア:1)
「日経ITProによる」ってとこに
元記事のリンク張ってあったんですけど、
わかり辛かったみたいで申し訳ありません。
「日経ITProの記事による」とかのほうがよかったですね。
Re:Windows (スコア:2, 興味深い)
「困った時のLinux頼み」-Linuxサーバを使う米マイクロソフト[yahoo.co.jp] [yahoo.co.jp]
〜◍
Re:Windows (スコア:1)
Windowsってセキュリティホールの数が多いのかなぁ?ユーザ数が多いほうが発見される数も増えるわけで・・・私にはわかりませんが。
もしかしたら、まだ誰にも見つかっていない重大なセキュリティホールがMacにもあるかもしれませんし。
ま、「超漢字に重大なセキュリティホール発見」てニュースにはならんよなぁ。
Re:Windows (スコア:1, 参考になる)
ここまでは可能性として間違いではないが感染するかどうか
つまり繁殖するかどうかはOSの仕様の問題ですよ。
この場合Windowsは欠陥OSって言われても仕方ないと思ってます。
コンピュータが感染してダウンするものだと思うのであれば
Windowsがコンピュータのイメージそのもを変えたマイナス方向に変えてしまった悪い例ですね。
>もしかしたら、まだ誰にも見つかっていない重大なセキュリティホールがMacにもあるかもしれませんし。
ないよ。
バッファーオーバーランってのは出る可能性ある。しかしWindowsのような簡単な構造で
外広がるような仕組みはないので絶対にと言ってもでないでしょう。
ただし、手間を掛けるタイプなら可能性はないわけではありませんし注意は必要だと思ってますが
AppleScriptを利用した例があった。
イメージファイルになっているのをダウンロードさせて共通の場所をつくり出し動かす方法があったけど
読み込むだけでマウントするかは別だし、なかなか上手くはいきません。
1つあるならバッファーオーバーランで無理に動かす方法ですが機種のモデルに依存するような気がするしなー
プロセッサーの種類も関係してくると思う。
単一種族より多種多様性が一番安全になると思うよ。
#外部から無条件に動かせる環境がないと広がらないと思って下さい。
#当たり前ですが、それがウィルスであっても実行さえしなければ爆発せんのですよ。
#Windowsは呪われているので、ウィルスを簡単に動かす仕組みが山程あるのが原因<仕様上の欠陥
#Windowsじゃ共有ディスク経由ってもあるねー
#Windowsは機能を削るって事考えないとだめなのかもね
結局いまだにDOSマシーンだからトラブルが多い気がするね。
名前とファイルタイプを別に記録してないから、中身で判断しなければならず
その部分で勝手に実行して感染しているのが原因ではないでしょうかね。
Windows以外だとテキストで出てくるサーバ未だにありますけど。<MIME設定が不適格
#セキュリティ セキュリティと人一倍大きな声を出しているメーカが全然できてないってはいやはや...
Re:Windows (スコア:1)
同意します。
農作物の世界でも同じ [nwj.ne.jp]ですよね。
-- sun burst.
Re:バベルの塔 (スコア:1)
Re:原因はNECの作業ミスではない (スコア:2, おもしろおかしい)
ところで、会社への不満による心のすきまを利用され悪霊に とり憑かれた人って身近にいませんか? 「Microsoft Exorsist ver.1.0」は そういう人から悪霊を取り払い、ウィルスを仕掛けたりしなくなります。
-- 哀れな日本人専用(sorry Japanese only) --
Re:そんなにいけないかな (スコア:2, すばらしい洞察)
#たとえば「社内文書を外部にメールで送ってはいけない」と、
#当然のように啓蒙されていた会社にいたことがありますが、
#この場合には、必然的に中断して取りに行くしかない環境でした。
みんつ
Re:部門名 (スコア:1)