パスワードを忘れた? アカウント作成
Close
13713959 journal
日記

90の日記: パスワード付きzipがマルウェア侵入経路になった大手サービス業者の事例があったらしい 8

日記 by 90

https://www.yomiuri.co.jp/national/20180912-OYT1T50078.html

この議論は、90 (35300)によって ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。

パスワード付きzipがマルウェア侵入経路になった大手サービス業者の事例があったらしい More

  • 領収証にマクロ? (スコア:1)

    by nemui4 (20313) on 2018年09月13日 12時11分 (#3479982) 日記

    かるくぐぐってこれですかね。
    領収証にマクロが付いてる時点で怪しそうだけど、実行しちゃうんだ。

    ランサムウェア「ONI(鬼)」ランサムウェアを利用し日本企業への標的型攻撃の痕跡を消去
    https://www.cybereason.co.jp/blog/ransomware/1830/ [cybereason.co.jp]

    感染経路はスピアフィッシングのメールに添付されて送られてくる、悪質なオフィス文書をパスワードで保護したzipファイルでした。

    zipファイルを解凍してドキュメントを開き、マクロを実行すると、VBScriptがAmmy Admin RATをダウンロードし、実行します。

    Ammy Adminがインストールされると、“Time service”というサービスとして、SYSTEM権限で実行されます。

    領収証、請求書、作業報告書とかを容易に編集可能なオフィスドキュメントで送られてくるとそれでええのかとか思ってしまう。
    特にExcelファイル。
    どっちみちいじられるけど、PDFにするかRO化してアーカイブしたファイルにすればいいのにと思ってたけど。
    マルウェア仕込まれる可能性があると、アーカイブファイルも厄介か。

    • Re:領収証にマクロ? (スコア:2)

      by 90 (35300) on 2018年09月13日 13時23分 (#3480037) 日記

      受信するメールに一から嘘を書いた文書が付いてきてマルウェアが仕込まれてるんですから、メールと添付ファイルと暗号化添付ファイルの配信業務を廃止すればいいんですよ。
      自社内で扱う領収書なんか好きに書いて送信したらいいのです。受取先だって好きに改竄したらいいでしょう。
      紙の領収書原本なんか暗号化も何もなくボールペンで好きに書き込めますけど、それで何かズルができるわけでもない。

      シェア
      親コメント

      • Re:領収証にマクロ? (スコア:1)

        by nemui4 (20313) on 2018年09月13日 13時41分 (#3480045) 日記

        >紙の領収書原本なんか暗号化も何もなくボールペンで好きに書き込めますけど、それで何かズルができるわけでもない。

        手書き領収書の数字改竄って無いのかな。
        0→6 or 9,1→4 or 7,3→8(逆もあり)とか容易にヤレそう。
        と思ったけど、カーボンコピーとか残されてたりすると照会されたらモロバレか。
        #映画か漫画でそういうシーンを見たのがうっすら記憶に残ってるかも

        シェア
        親コメント

        • Re:領収証にマクロ? (スコア:2)

          by 90 (35300) on 2018年09月13日 14時02分 (#3480061) 日記

          そう。だから送りつける側から見れば、相手に取って容易に編集可能で何も問題ないんですよ。形式的には、損するのは相手だけ。
          受け取る側からすれば改竄されていないかは重要ですが。受け取る側が改竄の疑いのある書類を破棄できないことが問題。

          シェア
          親コメント

          • Re:領収証にマクロ? (スコア:1)

            by nemui4 (20313) on 2018年09月13日 14時20分 (#3480069) 日記

            なるほど、疑問が解けました。
            そういう理由なんですね、説明ありがとうございます。

            以前Excelファイルで作業報告書や請求書を送られていて。
            ついうっかりセルに数字を上書きコピーしてしまったのに気がついて、慌ててメールから原本取り直したりしたときに「なんでこんなのを送ってくるんだろう」と訝しんでました、

            相手に「何故容易に修正できる書類を送ってくるのですか」と問い合わせたときには何も説明されなくて。
            次回からReadOnlyにされたファイルが送られてきたっけ。

            そんなの常識で「変なやつ」と思われてたんだろうなぁ orz.

            シェア
            親コメント

    • Re:領収証にマクロ? (スコア:1)

      by shibuya (17159) on 2018年09月13日 12時38分 (#3480001) 日記

      仮想通貨(この言いまわしも賞味期限切れだろなあ)でやっているような
      取引記録が真正であるということを領収証請求書作業報告書の流れにも
      組み込めばその取引のきれっぱしを zip にするとかpdfにするとか
      スクリプトがマクロがなどという話は枝葉末節になるのになあ。
      そうするだけのコストをかけたくないのか。

      シェア
      親コメント

      • Re:領収証にマクロ? (スコア:1)

        by nemui4 (20313) on 2018年09月13日 13時48分 (#3480053) 日記

        仮想通貨って結局どうなんすかね。
        どこぞの国が法定通貨として採用しようとしたらIMFから横槍が入ったとか。
        取引全てを参加者全員で見張ってて安全とのことですが。
        超大量にごっそり「盗まれた」「失った」とのニュースはよく聞くのに、それが解決したとか仮想通貨が正当に戻されたという話は聞かないし。(聞いてないだけ?)
        なんでそんなに不確かなものが莫大に実運用されているのかがよくわからない。

        #全ては人の強欲さ故なのでしょうか。

        シェア
        親コメント

  • PGPとかでメールを署名する、
    あるいは
    MS Officeのマクロの自己署名入りデジタル証明書機能 [wordpress.com]とか使えば良かったのかな。

typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie