ラベル マルウェア の投稿を表示しています。 すべての投稿を表示
ラベル マルウェア の投稿を表示しています。 すべての投稿を表示

2023年9月29日金曜日

悪用されている Predator 脆弱性に対するパッチを Intego が配布開始

 



すでにご存知の方もいらっしゃるかと思いますが、Apple が悪名高い Predator による脆弱性に対して iOS、iPadOS、macOS、そしてwatchOS へのパッチを公開しました。


(この記事は、2023年9月22日に Joshua Long (https://www.intego.com/mac-security-blog/author/joshlong/)によってMac Security Blogに投稿されたApple patches Predator-exploited vulnerabilities for iOS, iPadOS, macOS, watchOSをもとに構成したものです)


9月21日木曜日に、Appleは幾つかの重大な問題に対応するセキュリティアップデートを公開しました。パッチされたゼロデイ脆弱性は、Cytrox の Predator スパイウェアが悪用しているものでした。

Predator は、NSO GroupのPegasusスパイウェアのような商用の “傭兵” スパイウェアです。ちなみにPredatorの背後の会社が Cytrox あるいは Intellexa であると特定されたのかどうかについては、いくつかの異なる内容の報告があります。Cytrox は Intellexa Alliance の一部であるとされています;Intellexa はより知名度の高いNSO Groupに対抗する企業の集まりです。こうした団体は、米国政府の取引制限リストに載っています。


◾ Appleがパッチしたオペレーティングシステムとパッチしなかったオペレーティングシステム


Appleは、次のオペレーティングシステムとSafariアップデートで少なくとも3個の脆弱性をパッチしました:


これらのリンクは、Appleによる各アップデートのリリースノートの web ページへ遷移します。

見てお分かりと思いますが、このリストには iOS 15 および iPadOS 15、そして watchOS 8 がありません。


◾ iOS 15 あるいは iPadOS 15 はパッチされず


iOSおよびiPadOS 15には、今後もセキュリティアップデートが提供されると考えている人もいるでしょう。Appleは、これまで直近3世代のiOSのバージョンに対してバラバラにパッチを提供したことがあります。iOS 12は、2022年と2023年にそれぞれ一個の脆弱性をパッチするために一回ずつアップデートされています。つまり、この木曜日にiOS 15のアップデートが提供されなかったことでもうアップデートが提供されない可能性が示唆される一方で、まだまだ突発的にパッチが提供される可能性もあります。つまり今後については不確かな状態なのです。現時点では、iPhone 6s、6s Plus、SE(第1世代)、7、あるいは7 Plus(あるいは同時期のiPad)をお使いのユーザは、セキュリティとプライバシーを守るためにも iOS 17(あるいはiPadOS 17)に対応する機種へのアップグレードを検討した方が良いでしょう。



◾ watchOS 8 はパッチされず


Appleは、Apple Watch Series 3が対応する最後のwatchOSバージョンであるwatchOS 8のパッチも提供していません。Appleは今年の春まで、正確には2023年3月までSeries 3 Watchを販売していました(https://www.intego.com/mac-security-blog/apple-stops-selling-watch-series-3-eight-months-after-its-last-security-update/)。それ以降、Appleが提供したのは一個の脆弱性に対する一つのパッチだけです(https://www.intego.com/mac-security-blog/apple-gives-watch-series-3-users-false-sense-of-security-patching-1-vulnerability/)— 結果として、Apple Watch Series 3はすでに悪用されている脆弱性を含む攻撃には対応できません。Appleがほんの数ヶ月前まで販売していたハードウェア製品に対するパッチを“静かに終了”させた事実について、残念ながらプレスも消費者擁護団体もほとんど注目していません。



◾ macOS には不完全なパッチの可能性


macOS Big Sur(現時点で2世代前のリリース)には、Safariアップデートを介してWebKit脆弱性の一つのパッチが提供されましたが、これはmacOSに影響する可能性のある3つの脆弱性の内の一個に対応したに過ぎません。

同時にmacOS Monterey(現時点で1世代前のリリース)は、三個のパッチの内のWebKitとKernel脆弱性という二つが提供されているようです。

不思議なことにmacOS Venturaにも3つのパッチの内の2つしか提供されていないのですが、それはmacOS Montereyとは異なる内容なのです。macOS Venturaのリリースノートには、Appleが以前のmacOSバージョンでパッチしたWebKit脆弱性をパッチしたとの記載がありません。代わりに、Appleは多分WebKitの問題ではないと思われるKernelおよびSecurityの問題をパッチしたとされています。

Appleが木曜日にパッチした脆弱性の詳細およびこれまでにわかっていることについては後述します。



◾ macOS Ventura 13.6、iOS 16.7、そしてiPadOS 16.7のまだ公開されていないパッチ


macOS Ventura 13.6およびiOS 16.7、そしてiPadOS 16.7のリリースノートでは、どちらも「Additional CVE entries coming soon」となっています。つまりAppleは、これまでに公開したもの以外にもさらに脆弱性をパッチする予定だということです。こうしたiOSおよびiPadOS 16のアップデートには、今回のiOSおよびiPadOS 17.0.1のアップデートと一致する以下に列記した全部で3個の脆弱性がリストされています。

ということは、この「additional CVE entries」という注意書きは最近のiOSおよびiPadOS 17.0のリリースとiOSおよびiPadOS 17.0そして9月26日の火曜日に公開されたばかりのmacOS Sonoma 14.0でパッチされたCVEを指していると思われます。



◾ Apple がパッチした脆弱性


今の所、Apple はこうしたパッチには次の脆弱性が含まれているとしています(パッチによって対象機種などは微妙に異なりますので、全てのパッチが以下の対象機種に適用されるわけではありません):


● Security


対象:iPhone 8以降、iPad Pro(全機種)、iPad Air (第3世代)以降、iPad(第5世代)以降、iPad mini(第5世代)以降、macOS Ventura、Apple Watch Series 4以降

影響:悪意のあるアプリが、署名の検証を回避できる可能性がある。Apple では、iOS 16.7 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を把握しています。

説明:証明書の検証の脆弱性に対処しました。

CVE-2023-41991:The University of Toronto's Munk School の The Citizen Lab の Bill Marczak 氏、Google の Threat Analysis Group の Maddie Stone 氏


● Kernel


対象:iPhone 8以降、iPad Pro(全機種)、iPad Air (第3世代)以降、iPad(第5世代)以降、iPad mini(第5世代)以降、macOS Monterey、macOS Ventura、Apple Watch Series 4以降

影響:ローカルの攻撃者が権限を昇格できる場合がある。Apple では、iOS 16.7 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を把握しています。

説明:チェックを強化することで、この問題に対処しました。


CVE-2023-41992:The University of Toronto's Munk School の The Citizen Lab の Bill Marczak 氏、Google の Threat Analysis Group の Maddie Stone 氏



● WebKit


対象:iPhone 8以降、iPad Pro(全機種)、iPad Air (第3世代)以降、iPad(第5世代)以降、iPad mini(第5世代)以降、macOS Big SurおよびmacOS Monterey



影響:Web コンテンツを処理すると、任意のコードを実行される可能性がある。Apple では、iOS 16.7 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を把握しています。



説明:チェックを強化することで、この問題に対処しました。



WebKit Bugzilla:261544

CVE-2023-41993:The University of Toronto's Munk School の The Citizen Lab の Bill Marczak 氏、Google の Threat Analysis Group の Maddie Stone 氏



Google’s Threat Analysis Group (TAG)によれば、この3個の脆弱性全てがiPhoneにPredatorスパイウェアをインストールするための悪用手順の一部だそうです(https://blog.google/threat-analysis-group/0-days-exploited-by-commercial-surveillance-vendor-in-egypt/)。Citizen Labは、わかっている標的の一つはエジプトの大統領候補の一人だと報告しています(https://citizenlab.ca/2023/09/predator-in-the-wires-ahmed-eltantawy-targeted-with-predator-spyware-after-announcing-presidential-ambitions/)。

Appleは、macOS Ventura 13.6、そしてiOS 16.7およびiPadOS 16.7のリリースノートで「additional CVE entries [are] coming soon」としています。



◾ Apple のセキュリティアップデートをインストールする方法


★ macOS Ventura を実行する Mac では、システム設定 > 一般 > ソフトウェアアップデートを開いてください。

ここでmacOSのアップデートが正常に表示されない場合は、ソフトウェアアップデートの画面で⌘Rキーを押すか、ターミナルアプリケーションで

softwareupdate -l(最後は小文字のL)

と入力してReturn/Enterキーを押してください。

★ macOS Big SurあるいはMontereyを実行しているMacでは、システム環境設定 > ソフトウェアアップデートでアップデートが入手できます(あるいはmacOS Venturaにアップグレードすることもできます)。お使いのMacがmacOS High Sierra以前を実行していて、かつmacOS Venturaに対応するのであれば、Mac App StoreでmacOS Venturaを検索してダウンロードすることができます。

なお、完全なパッチが適用されるのは常に最新のmacOSバージョンだけだということに注意しておいてください。古いmacOSのバージョンでは、パッチの一部だけが提供されて脆弱性が残ったままになります。ですから、セキュリティとプライバシーのことを考えるなら、最新のmacOSのバージョンを使うことが重要なのです。詳細については、弊社の“When does an old Mac become unsafe to use?”という記事(https://www.intego.com/mac-security-blog/when-does-an-old-mac-become-unsafe-to-use/)を参照ください。

★ iPhoneあるいはiPadのユーザは、設定 > 一般 > ソフトウェアアップデートでiOSあるいはiPadOSをアップデートできます。

★ Apple WatchのwatchOSをアップデートする手順は、ちょっと面倒です。まずiPhoneが対応する最新のオペレーティングシステムにアップデートされていなければなりません(理想的には、iOS 17の最新バージョン)。次にiPhoneおよびWatchの両方が同じWi-Fiネットワークに接続している必要があります。さらにApple Watchのバッテリが50%以上充電されている必要もあります。この状態で、iPhoneでWatch Appを開き一般 > ソフトウェアアップデートを開きます。

なお、iOS、iPadOS、あるいはmacOSをアップデートするときは必ずアップデートを適用する前にデータをバックアップしてください。これで何か予想外の問題が起きても、事前の状態へ戻ることができます。macOSのバックアップが正常に動作するか確認する方法については、弊社の“how to check your macOS backups to ensure they work correctly”という記事(https://www.intego.com/mac-security-blog/how-to-verify-your-backups-are-working-properly/)も参照ください。

また、iPhoneまたはiPadをiCloudあるいはMacにバックアップする方法については、弊社の“how to back up your iPhone or iPad to iCloud and to your Mac”という記事(https://www.intego.com/mac-security-blog/should-you-back-up-your-ios-device-to-icloud-or-itunes/)を参照ください。




◾ お使いのMacは安全ですか?

Mac 用のセキュリティソリューションには Mac 専用に開発された製品をお使いください。Mac 専用に開発され続けてきた Intego ブランドのツール群をお薦めします。act2.com のIntego 製品ページで機能や目的に合った製品をご確認のうえお求めください:

https://www.act2.com/intego





さて、気がつけば、朝晩肌寒くなり、めっきり秋らしくなってきました。

皆様どうかご自愛くださいますように。


- act2.com Software Products Team



2021年11月30日火曜日

最新マルウェア OSX/WizardUpdate, OSX/Bundlore 対策

さて、今日は、Intego 社のブログからお送りいたします。

ちょっと難しい内容ですが、とても重要なことが書かれています。

ぜひご参考になさってください:

 



Macのマルウェア研究者は、絶えず新たなマルウェアのサンプルや亜種に遭遇しています。

最近では、注意すべき2種類のマルウェアのファミリーが感染キャンペーンに新たな亜種を投入したようです。


今回位は、この OSX/WizardUpdate と OSX/Bundlore と呼ばれる新しいMacを狙うマルウェアのファミリーについて、ご説明します。


■ OSX/WizardUpdate


マルウェアというものは、一度登場してそのまま消えていくことはほとんどありません。マルウェアによっては、最初の登場は概念実証(PoC)だけを目的としており、その後に機能を追加したり、自らをカモフラージュする技術を向上させたりして戻ってきます。マルウェアの開発者は、自らのソフトウェアをまず野に放って様子を見て、その結果を基に改良を加えることがあります。


OSX/UpdateAgent は、2020年11月に発見された当初、単純に情報を盗むだけでした。それから若干の変更が加えられたいくつかの亜種があり、ここへ来て新たなトリックを満載したUpdateAgent(別名はWizardUpdate)が登場しました。


最新のサンプルでは、次のような機能を含むいくつかのアップグレードが施されています:


1)クラウドインフラストラクチャから第二のペイロードをダウンロードできます。


2)SQLiteを使いLSQuarantineDataURLStringを列記することで全てのダウンロード履歴を取得します(https://osxdaily.com/2012/07/12/list-download-history-mac-os-x/にあるように約10年前に開発された技術です)。


3)ダウンロードしたペイロードから隔離属性を除去することで Gatekeeper を回避します。


4)PlistBuddy を使ってPLISTファイル(アプリケーションの設定)を変更します。


5)既存のユーザプロフィールを悪用してコマンドを実行します。


6)sudoersリストを変更して一般ユーザに管理者権限を与えます。


下図は、Microsoftが公開した(https://twitter.com/MsftSecIntel/status/1451279679059488773)OSX/WizardUpdateマルウェアファミリーの進化を表した図です:

https://www.intego.com/mac-security-blog/wp-content/uploads/2021/11/WizardUpdateEvolution.jpg


検出を避けてシステム感染を維持する新しい技術を使うこの新たな亜種は、まずMicrosoftによって報告されました(https://twitter.com/MsftSecIntel/status/1451279679059488773)。ランダムなウェブサイトでポップアップを表示する通りすがりのインストーラとして拡散されるこの最新の亜種は、偽のFlash Playerインストーラとして発見されました。


Adobe Flash Playerは、何年もかけて徐々に衰退し最終的には2020年12月に提供が終了しています(https://www.intego.com/mac-security-blog/the-history-of-adobe-flash-player-from-multimedia-to-malware/)。Flash Playerが内蔵されていたウェブブラウザは、そのプラグインを除去し、Flashコンテンツを提供していたほとんどのウェブサイトがHTML5や同様の技術に移行しています。Adobeは、ご丁寧にFlash Playerの実行をブロックするための最終アップデートもリリースしました。


しかし残念ながら、多くの人が下図のような悪意を持ったポップアップやメッセージに今でも騙されています:

https://www.intego.com/mac-security-blog/wp-content/uploads/2016/02/flash-out-of-date.jpeg


こうした偽 Flash Player のアップデートメッセージの見た目は、多岐にわたります。そして現時点でも、ユーザに「アップデート」と称した何か別のものをダウンロードさせる一定の効果を上げているようです。OSX/WizardUpdate もそんな「偽アップデート」を使うトロイの木馬の一つです


OSX/WizardUpdateがシステムにインストールされると、自らが作成した全てのファイル、フォルダ、その他の関連ファイルを除去し、自ら作成したユーザライブラリに隠れ、システムの再起動や移行後も感染し続けられるように.plistファイルを変更します。これは、インストールの際にユーザ自身が管理者パスワードを入力して高いアクセス権を許可したために実現できることです。


ユーザが偽のソフトウェアなのに問題のないソフトウェアだと騙され、迂闊にもインストールに必要なパスワードを入力してしまうことはあり得ることです。ですから、常に使っているソフトウェアをどこから入手したのか注意しなければなりません。ソフトウェアは、可能な限りApp Store あるいは信用のおけるウェブサイトから直接ダウンロードしなければなりません。ソフトウェアのダウンロードやインストールを促すウェブサイトやポップアップからは、ソフトウェアを絶対にインストールしてはいけません。


OSX/WizardUpdateは、さらにペイロードをダウンロードします。現在わかっているペイロードの一つである OSX/Adload の亜種は、ダウンロードされたファイルを信頼できない可能性があるファイルとしてフラグするGatekeeperと呼ばれるmacOSの保護機能をすり抜けようとします。このペイロードファイルから隔離フラグを除去することで、被害者にインストールされるソフトウェアに対する警告が表示されなくなるのです。


下図は、Microsoftが公開した(https://twitter.com/MsftSecIntel/status/1451279684570804234)現状のOSX/WizardUpdateおよびOSX/Adloadのサンプルによる動作を表す図です:

https://www.intego.com/mac-security-blog/wp-content/uploads/2021/11/WizardUpdateSteps.png


現時点でわかっているOSX/Adloadペイロードでは、ユーザが訪問したあらゆるウェブサイトに広告が挿入されるようになります(Integoでは、去る8月にOSX/Adloadについて記事を公開しています:

https://www.intego.com/mac-security-blog/osx-adload-mac-malware-apple-missed-for-many-months/)。ただし、OSX/WizardUpdateの洗練性と素早い進化は、いつでも、何でも、インストールすることができる可能性が示唆しています。OSX/WizardUpdateが、絶対に感染したくないマルウェアであることは確かです


Microsoftは、「その経歴を考えると、このトロイの木馬は洗練され続けるでしょう」としています。であるならば、IntegoのVirusBarrier X9 が提供するような積極的なマルウェア対策でシステムを保護することが本当に重要となります


VirusBarrierは、WizardUpdateをOSX/WizardUpdate.Hとして、AdloadペイロードをOSX/Adloadとして検出します。




■ OSX/Bundlore


OSX/Bundloreマルウェアドロッパーファミリーは、すでにかなりの期間出回っています。このマルウェアは、ユーザをインストールされるのが問題のないソフトウェアだと騙し、実はマルウェアをインストールするインストーラで構成されます。あるいは、他のソフトウェアと一緒にマルウェアが密かにインストールされることもあります。


最近になって、今更 Flash Playe rインストーラになりすました Bundlore の新たな亜種が見つかりました(https://twitter.com/Confiantintel/status/1451641996800454660)。このインストーラは不可視のヘルパーファイルを読み込みますが、そのヘルパーファイルがqaeqxa[.]pwという危険なドメインからBundloreをダウンロードして実行するシェルスクリプトを読み込みます。


この全ての処理は、その一連の動作と流れをXORを使って難読化しています。XOR(eXclusive OR)は、XORされたデータの解読に鍵が必要なため、技術に詳しくない人からデータを隠すためによく使われる手法です。マルウェアの開発者がデータにXORを二重にかけてデータを解読できる状態に戻す難易度を上げることがありますが、XORは比較的に解読が簡単なのが救いです。


このBundloreドロッパーは、Confiantによって次のスクリーン画像で示されたようなアプローチを採用しています(左の列にある“xor”に注目してください)。


下図は、Confiantが公開した(https://twitter.com/ConfiantIntel/status/1451641996800454660)現状のOSX/Bundloreの亜種がXORを使ってコードを暗号化する動作を表す図です:

https://www.intego.com/mac-security-blog/wp-content/uploads/2021/11/Bundlore-XOR.jpg


不可視のヘルパーファイルによって暗号化されたこのシェルスクリプトは、XORによってさらに難読化されていますが、難読化を除去すれば読める状態になり、スクリプトの本来の目的がわかります。


下図は、Confiantが公開した(https://twitter.com/ConfiantIntel/status/1451641996800454660)OSX/Bundloreの亜種が危険なドメインからペイロードを追加でダウンロードすることを表す図です:

https://www.intego.com/mac-security-blog/wp-content/uploads/2021/11/Bundlore-XOR-1.jpg


この偽Flash Playerは、“Tadarrius Rashard Campbell (B9L873SNL3)”という開発者証明書で署名され、Appleによって公証されています。残念なことに、AppleがMacを狙うマルウェアを公証することはままあります(https://www.intego.com/mac-security-blog/topic/notarization/)。この発見はAppleにも報告され、このアカウントに関連する証明書はAppleによって速やかに取り消されました。


当然ながら、他のApple開発者IDに切り替えた更なる亜種の登場が予想されます。


弊社が最後に確認した際には、このマルウェアの第二のURLからはOSX/Pirritスパイウェアのインストーラが提供されていました

https://www.intego.com/mac-security-blog/wp-content/uploads/2021/11/OSX-Pirrit-clt.png


VirusBarrierは、このBundloreの亜種を OSX/Bundlore.BEa として、現時点での第二のマルウェア OSX/Pirrit.clt として検出します。




■ OSX/WizardUpdate、OSX/Bundlore、およびその他の脅威を除去する、あるいはこうした脅威から防御するには、どうしたら良いのでしょうか?


公証、Gatekeeper、XProtect、そしてMRTといったAppleの脅威対策では、ある種の脅威がブロックされないことを考えると、Apple自身がmacOSに施した保護方法が十分でないことが分かります。



関連記事:

Macにアンチウイルスソフトウェアは必要でしょうか?(https://www.intego.com/mac-security-blog/do-macs-need-antivirus-software/



Intego の

Mac Premium Bundle X9https://www.act2.com/integostore#mpb)あるいは

Mac Internet Security X9https://www.act2.com/integostore#mis)に含まれているVirusBarrier X9は、OSX/WizardUpdateおよびOSX/Bundlore、関連マルウェア、そしてあらゆる既知のMacを狙うマルウェアファミリーを検出および駆除することでMacを防御します。


VirusBarrierは、Macの専門家によって開発されており、Appleの保護方法より多くのマルウェアに対応します



お使いのMacが感染している可能性を疑っているなら、あるいは今後の感染から防御したいなら、信頼できるMac用ソフトウェアの開発元が提供するリアルタイムスキャン(https://www.intego.com/mac-security-blog/why-your-antivirus-needs-real-time-scanning/)が可能なアンチウイルスソフトウェアの導入をお勧めします。


IntegoのVirusBarrier X9なら、M1ネーティブのマルウェア、クロスプラットフォームなマルウェアなどからもMacを保護できます。


Integoは、AV-Comparativeshttps://www.av-comparatives.org/tests/mac-security-test-review-2021/#intego)およびAV-TESThttps://www.av-test.org/en/antivirus/home-macos/macos-bigsur/june-2021/intego-virusbarrier-10.9-215205/)という二つの独立系の試験で、Macを狙うマルウェアの検出率100%を記録しています



補足: 古いMac OS X(macOS)でIntegoのVirusBarrier X8、X7(2013)、あるいはX6を使っているお客様も、こうした脅威から保護されています。しかし、お使いのMacがAppleの最新セキュリティアップデートで常に保護されるためにも、可能な限り最新のVirusBarrierとmacOSにアップグレードすることをお勧めします。


Mac Premium Bundle X9https://www.act2.com/integostore#mpb

Mac Internet Security X9https://www.act2.com/integostore#mis

文責

Intego | 株式会社アクト・ツー


2020年1月22日水曜日

DAY 022 - アドウェアの悩み

"アドウェア" という言葉があります。ご存知の方も多いと思いますが、勝手にバンバン広告を出してくるプログラムで、これを一種のウイルスであるとする人も多いです。少なくとも "マルウェア" の一種と言っても間違いではないと私も思います。

問題は、これに感染された時の「うっとうしさ」です。

広告がバンバン出てくること自体もうっとうしいですが、そのプログラムを除去することがなかなか面倒だったりします。

当社のパートナーである Intego 社は、社内外での討議の結果、「アドウェアをウイルスの一種とは定義せず、駆除の対象としない」というポリシーです。

たしかにアドウェアはうっとうしいだけで特別何か悪さをするわけではありません。ロジカルには Intego 社の判断は間違っていないと思います。

それでも、うっとうしいものは削除したいものですよね。

私の個人的経験では、こんなことがありました。

半年ほど前、Google が YouTube の URL を判断するアルゴリズムを変更したため、時々使っていたダウンロードソフトウェアではダウンロードできない動画が多く出てきました。
本来、著作権の観点から YouTube 動画をダウンロードするという行為はグレーゾーンなので、強い主張はできないですが、「これはダウンロードして保存したい」と思ってしまうのが人情というもの。

そこで、私は、フリー(ただ)でサーバ側で処理してダウンロードしてくれるサイトを使いました。たぶん、そのサイトの仕組みです。その瞬間から広告が勝手にどんどん出始めました。アドウェアを仕込まれてしまったのです。

「めんどくせ〜」と嘆きながら、どこに送りこまれたのか、探した結果、意外とあっさりわかりました。Google Chrome ブラウザの拡張機能の1つとして組み込まれていました。ですので、それを削除しただけで解決しました。

それにしても、「あ、やられた」と気づいた瞬間のいやな感触は、思い返してもやっぱり「かなりうっとうしい」です。

みなさんも気を付けてくださいね。

2020/01/22
- k

2015年6月4日木曜日

日本年金機構の情報漏洩について:その2



6月3日の報道によると、今回の日本年金機構の情報漏洩には4通の不審メールが要因だとされている。

そして、機構は職員に対して、不審メールへの警戒を喚起したが、メールの件名を示さなかったことが被害につながった、と報じられていた。

なんとも、どこに責任の所在があるのか、まったく釈然としないコメントだ。
メールを警戒しなかった職員のせいにしたいのだろうか?


かつて、マーフィーもこう言っている:

Anything that can go wrong will go wrong.
Everything that can possibly go wrong will go wrong.

うまく行かなくなり得るものは何でも、うまく行かなくなる。
何事であれ失敗する可能性のあるものは、いずれ失敗する。



笑えない話になってきた。
人がいちいちメールをチェックするのか? ただでさえワケの分からないコンピュータの、マルウェアにかかわることなど、普通、わからんですよ。

システム側はこうした事故を未然に防ぐために最善の防御策を講じる義務がある。

だから、とりあえず、動作のホワイトリストでフロントラインを防衛しなければ。

昔ながらのウイルススキャンは事件後の犯人捜査みたいなものであって、犯罪を未然に食い止めるリアルタイム性は無いのです。

賢い皆さんはどうかホワイトリストを入れてください。
ハミングヘッズ社から無償で提供されています。

http://www.shinobi-whitelist.com/index_j.html

- MK
日本年金機構の情報漏洩その1




2015年4月21日火曜日

訃報がメールで送られてきた!どうする?

昨日より「訃報」のマルウェアが話題になっている。

報道によると、「DragonOK」と呼ばれる、中国の攻撃者とみられる集団が、今年の1月から3月の間に国内の企業や組織に向けて「訃報」に見せかけて、新種のマルウェア「FormerFirstRAT」を送り込む攻撃を行ったことが発表されたようだ。