teacup. [ 掲示板 ] [ 掲示板作成 ] [ 有料掲示板 ] [ ブログ ]

 投稿者
  題名
  内容 入力補助画像・ファイル<IMG>タグが利用可能です。(詳細)
    
 URL
[ ケータイで使う ] [ BBSティッカー ] [ 書込み通知 ] [ 検索 ]

スレッド一覧

  1. 足あと帳(0)
スレッド一覧(全1)  他のスレッドを探す 

*掲示板をお持ちでない方へ、まずは掲示板を作成しましょう。無料掲示板作成


どうしてこうなった?パソコンの怪現象を解明する」。(1)~(4)

 投稿者: “ た ぬ き ”  投稿日:2017年11月20日(月)15時21分57秒 p085.net059084006.tnc.ne.jp
返信・引用
  (1)【Windows編】女性の裸が表示されて消えません・・!他。1~6

  3、夜中にパソコンが突然動き出す。

休止させたはずのパソコンの画面が、暗闇の中で怪しく光り出す──。原因は「タスクスケジューラ」。
タスクスケジューラとは、
決められたスケジュールに従って特定の処理(タスク)を実行するWindowsの機能。
問題の現象は、ソフトのインストール時などに、自動的に設定されたスケジュールが原因だと考えられる。

怪現象の解決策は、設定を変更すること(図1)。
スリープ状態のときには、タスクを実行しないようにする。
タスクスケジューラの設定画面を開き、タスクの「条件」をそれぞれ確認。
「タスクを実行するためにスリープを解除する」のチェックを外せばよい(図2)。

Θ タイムスケジューラの設定を確認する。
図1、「タイムスケジューラ」の設定画面例。まずは、スタートメニューの、
     「アクセサリ」→「システムツール」→「タイムスケジューラ」から、
     「タイムスケジューラライブラリ」を選ぶ。

図2、「トリガー」が夜中になっているタスクを選択し、
     ダブルクリックして「プロパティ」を表示させる。
     「条件」タブで「タスクを実行するためにスリープを解除する」のチェックが入っていたら外す。

※ 次回は … 4、覚えのないソフトが入っている。です
.  

http://8823.teacup.com/tanuki/bbs/

 
 

情報セキュリティ > まるわかり標的型攻撃。(1)~(6)

 投稿者: “ た ぬ き ”  投稿日:2017年11月20日(月)07時46分4秒 p161.net059084009.tnc.ne.jp
返信・引用
  (5)検索サイトで脆弱性を把握、関係ない企業が被害に遭うことも。1~3

  2、検索サイトで脆弱性を探す。

アノニマスのような犯行声明を出す攻撃者は、Webサーバーの脆弱性を突いたり、
リフレクション攻撃という設定の不備がある第三者のネットワーク機器を利用したりする。
ここでは、Webサーバーの脆弱性を、
悪用した攻撃手法を見ていこう(リフレクション攻撃は別掲記事で解説)。

Webサーバーの脆弱性を突く攻撃は、まず脆弱性を見つけることから始まる(図3-3)。
目的遂行型の攻撃と同様、脆弱性スキャナーを使って脆弱性を探す場合もあるが、
標的にこだわらず脆弱性を持つサイトを見つけるだけなら、検索サイトを利用している可能性が高い。

図3-3、期間限定型の主な攻撃の流れ。
       期間限定型攻撃の主目的は、攻撃の成功によって自らの犯行声明に含まれる、
       攻撃者の主義主張を報道機関によって周知させること。
       このため、公開サーバーをダウンさせたり、改ざんしたり、情報を盗み出したりする。
       図では、Webサイトを脆弱性を使って攻撃する流れを示した。

トレンドマイクロ セキュリティエバンジェリストの岡本 勝之氏は、「攻撃者が、
攻撃対象を絞り込む手段として検索サイト『Shodan』を使っている可能性がある」という。
Shodanは、Webサーバーなど公開サーバーで稼働する、
ソフトウエアやバージョンなどを検索できるサイトだ(次ページの図3-4)。
ソフトウエア名だけでなく、脆弱性の種類を指定して検索できる。
例えば、TLS/SSL▼を処理するソフトウエアOpenSSLオープンエスエスエルの、
脆弱性「Heartbleed」を検索すると、数秒でサーバーの一覧が表示される。

図3-4、脆弱性の検索に使われているといわれる検索サイト。
       脆弱性を持ったソフトウエアを使ったWebサイトは、検索サイトで簡単に見つけられる。
       左側のShodanでは、2014年に見つかったHeartbleedという、
       OpenSSLソフトの脆弱性がいまだに残っているサイトが表示された。
       右側のGoogleでは、PHPプログラムのバックアップファイルに、
       外部から直接アクセス可能なサイトを検索した。
       ソースコードが外部から見えるため、脆弱性があればすぐに検索できてしまう。

なおShodanの検索は、バグを持つバージョンのソフトウエアを使用するサーバーを見つけるだけだ。
脆弱性スキャナーのように、様々な攻撃手法を試して判断していない。
修正プログラムを適用すれば、検索結果から外れる。

一般のユーザーがよく使うGoogleも脆弱性を持つサーバーの調査に使われる。

Googleには、検索対象を絞り込むためのオプションが豊富に用意されている。
これらを組み合わせて、脆弱性を持つサイトを探す。
例えば、Webサーバーで動かすPHPプログラムの中身(ソースコード▼)を、
閲覧可能なWebサイトを検索できる。
ソースコード内で脆弱性の特徴を表すキーワードを加えて検索すれば、
脆弱性を持つWebサイトがすぐにわかる。

▼ TLS/SSL。
    TLSはTransport Layer Security、SSLはSecure Sockets Layerの略。
    WebサーバーにHTTPSでアクセスするときに使われる、
    通信を暗号化したり、通信相手を認証したりする技術。
▼ ソースコード。
    プログラムの設計書に当たる、プログラムの処理方法がわかるテキストデータ。

※ 次回は … 3、攻撃手法はポータルから入手。です
.

http://8823.teacup.com/tanuki/bbs/

 

どうしてこうなった?パソコンの怪現象を解明する」。(1)~(4)

 投稿者: “ た ぬ き ”  投稿日:2017年11月19日(日)10時34分45秒 p195.net059084009.tnc.ne.jp
返信・引用
  (1)【Windows編】女性の裸が表示されて消えません・・!他。1~6

  2、いつもと違うソフトが起動してしまう。

画像ファイルや音楽ファイルなどがいつの間にか見慣れないアイコンになり、
ダブルクリックしたらいつもと異なるソフトが起動した経験はないだろうか。
その場合は、ファイルの「関連付け」が変更された可能性が高い。

関連付けとは、ファイルの種類(ファイルの拡張子)と、
そのファイルを開くためのソフトを対応付ける機能のこと。
その種類のファイルをダブルクリックするだけで、
関連付けられたソフトが起動されて、そのファイルを自動的に読み込む。

関連付けは簡単に変更でき、通常は、
ソフトのセットアッププログラム(インストーラー)が自動的に設定する。
あるソフトに関連付けられている拡張子であっても、
同じ拡張子を扱う別のソフトをインストールすると、関連付けが変更されることがある。
これが怪現象の正体だ。

元の状態に戻したいなら、関連付けを手動で変更すればよい。
関連付けを変更したい拡張子のファイルを、
右クリックして表示される「プロパティ」から変更できる(図1)。

Θ ファイルの関連付けを変更する。
図1、ファイルの関連付けを変更する手順例。関連付けを変更したい形式のファイルを、
     どれでもよいので右クリックして「プロパティ」を選択。
     「全般」タブ→「変更」ボタンで表示される選択画面で、
     関連付けたいソフトを選んで「OK」ボタンを押す。

※ 次回は … 3、夜中にパソコンが突然動き出す。です
.

http://8823.teacup.com/tanuki/bbs/

 

情報セキュリティ > まるわかり標的型攻撃。(1)~(6)

 投稿者: “ た ぬ き ”  投稿日:2017年11月19日(日)09時29分27秒 p141.net059084001.tnc.ne.jp
返信・引用
  (5)検索サイトで脆弱性を把握、関係ない企業が被害に遭うことも。1~3

  1、期間限定型の攻撃は、
            一昨年から攻撃を活発化する「アノニマス」の攻撃がその典型だ。

攻撃者が、標的をリスト化して一気に攻撃してくる。

Θ ネットで集まった不特定の集団。
アノニマスは、よくテレビのニュースなどで怪しげな仮面を付けた姿が報道されるが、
実際どのような人たちなのか。
アノニマスとは、主義・主張ごとにネットで参加者を募り、一緒に標的を攻撃する集団である。
主義・主張によって参加するメンバーが異なり、代表者のような統率者はいないと推測される。

攻撃の目的は、攻撃の成功によって主義・主張を報道機関を通じて世の中に周知させることだ。
そのため攻撃を実行した際は、
主義・主張を含む犯行声明を発表したり、ときには攻撃を予告したりする(図3-1)。

図3-1、アノニマスが書き込んだとされる犯行声明。
       アノニマスは攻撃に成功すると、SNSサイトやPasteBinというドキュメント共有サイトに、
       主義・主張と合わせて、成果を公開する。

Θ 誰でも攻撃対象になる。
アノニマスの攻撃は、Webサイトを攻撃してサービスを停止させたり、
改ざんしたりする。Webサイトを攻撃するのは、被害が第三者にわかりやすいからだろう。

具体的に、2015年10月から11月に発生した「OpKillingBay」(オペレーションキリングベイ)に、
関係したとおぼしきセキュリティインシデントを見てみよう。

オペレーションとは抗議活動の名称で、
OpKillingBayは日本におけるイルカ追い込み漁(クジラ漁)の中止を主張する活動だ。
攻撃対象になった企業や団体を見ると、追い込み漁がさかんな和歌山県太地町や太地漁協、捕鯨協会、
さらには日本政府に関わると思われた日本政府観光局や空港運営会社などが中心だ(図3-2)。
しかし、読売新聞社の英字新聞「The Japan News」や、インターネット接続事業者のNTTぷらら、
カドカワのWebニュースサイト「ASCII.jp」といった追い込み漁とは全く関係ない、
Webサイトも攻撃を受けている。

図3-2、2015年10月から発生したアノニマスが攻撃者と思われる、一連のセキュリティインシデント。
       日本の追い込み漁に対する、
       アノニマスの抗議活動「OpKillingBay」で攻撃された主なWebサイト。
       DDoS攻撃によって接続障害を引き起こされた例が多い。
       数社はWebサイトの脆弱性を悪用されて、情報漏洩の被害に遭った。
       ほとんどのインシデントで、攻撃当日に犯行声明がTwitterに書き込まれた。
       追い込み漁などクジラ漁をやめなければ攻撃を継続するという主張が書かれている。

図で示した企業や団体は被害を受けた一部で、
このほかにも北海道の名刺制作会社などが攻撃を受けた。
一連の攻撃では、ほとんどのWebサイトがサービス停止の被害を受けたが、
名刺制作会社などはWebサーバー内の個人情報を盗まれ、ネット上に情報を公開された。

※ 次回は … 2、検索サイトで脆弱性を探す。です
.  

http://8823.teacup.com/tanuki/bbs/

 

どうしてこうなった?パソコンの怪現象を解明する」。(1)~(4)

 投稿者: “ た ぬ き ”  投稿日:2017年11月18日(土)12時56分25秒 p195.net059084011.tnc.ne.jp
返信・引用
  (1)【Windows編】女性の裸が表示されて消えません・・!他。1~6

  1、女性の裸が表示されて消えない。

ここ数年、国内で相次いでいるのが、
デスクトップ画面に“謎の料金請求画面”が表示される怪現象だ(図1)。
通常のウインドウ画面と同様に、右上には「×」の閉じるボタンがあるものの、
押しても画面が消えない。消えた場合でも、すぐに復活する。

Θ 覚えがないのに登録完了、「すぐにお支払いを!」。
図1、デスクトップ上に表示される料金請求画面の例。
      右上の「×」ボタンを押して消しても、すぐに再度表示される。
      ボタンを押して消えない場合も多い。

しかも画面には、料金を請求する文章や、女性の裸の写真などが掲載されている。
職場のパソコンや家族で利用しているパソコンでこのような事態になれば、
怪現象とは別の意味でも“恐怖”だろう。

料金請求画面が表示される原因はウイルスだ。
パソコンがウイルスに感染したためにWindowsなどの設定が変更されて、
料金請求画面が表示され続ける。

請求画面を表示させるウイルスは、動画ファイルなどに見せかけて実行させようとする(図2)。
動画を閲覧するつもりでウイルスファイルを開いてしまうと感染し、請求画面が表示されてしまう。

Θ 原因はウイルス、だまされて実行した可能性大。
図2、動画などに見せかけてウイルスを配布しているWebサイトの例。
     だまされてウイルスを実行したために、図1のような請求画面が表示された可能性が高い。

ウイルスの一種なので、
ウイルス対策ソフト(セキュリティソフト)で検出・駆除できる場合があるが過信は禁物。
新たなウイルスが次々と作成されているので、検出できないことが多い。

請求画面が表示されないようにするには、怪しいファイルを実行しないことが第一。
提供元が明らかではないファイルは、決して開いてはいけない。

万一、料金請求画面が表示された場合の対処法は、「システムの復元」を利用すること(図3)。
請求画面が表示されるよりも前の時点にシステムの状態を戻せば、請求画面が消えることがある。

Θ 「システムの復元」で感染前の状態に戻す。
図3、Windows 7が備える「システムの復元」の利用例。
    「すべてのプログラム」→「アクセス」→「システムツール」→「システムの復元」を選択(左)。
    画面の指示に従って操作し、料金請求画面が表示され始めた日時よりも、
    前の状況(復元ポイント)を選択すれば(右)、料金請求画面が消える場合がある。

ただし、必ず元に戻せるとは限らない。パソコンを初期化しなければならない場合もある。
ウイルスに感染しないことが何よりも重要。
情報処理推進機構(IPA)セキュリティセンター、
http://www.ipa.go.jp/security/)に相談するのも手だ。

※ 次回は … 2、いつもと違うソフトが起動してしまう。です
.

http://8823.teacup.com/tanuki/bbs/

 

情報セキュリティ > まるわかり標的型攻撃。(1)~(6)

 投稿者: “ た ぬ き ”  投稿日:2017年11月18日(土)09時09分32秒 p142.net059084008.tnc.ne.jp
返信・引用
  (4) 事例2 日本年金機構のインシデント。1~3

  3、インシデント遭遇時は積極的に情報を公開しよう。

被害企業が公開するインシデントの情報は、企業によって内容や公開時期に差がある。
個人情報を漏洩させた場合は、該当者への謝罪が中心で攻撃内容にほとんど触れない企業が多い。
また攻撃に気付いてから、公開までに時間がかかるケースもある。
インシデントは「不祥事」として隠しがちだが、社会貢献の観点から積極的に広報すべきだ。
最近では、積極的な情報公開を評価する動きも出ている。

Θ 発表まで3カ月かかったJTB。
攻撃を感知してから情報公開までに時間がかかったのはJTBだ。

社内のパソコンがウイルスに感染し、外部と不審な通信が発生したと同社が気付いたのは2016年3月。
翌4月には、攻撃者が個人情報を盗み出すために作成したファイルの痕跡も見つかった。
しかし、公表は攻撃を受けてから約3カ月たった6月だった。

さらに同社は、
情報を持ち出した記録(ログ)が残ってないので、「漏洩したかはわからない」とした。
しかし報道によれば、外部との通信をそもそもすべてログに残していなかったという。

こういった対応により、セキュリティ専門家や報道機関からJTBに批判的な記事が相次いだ。

逆に評価された企業もある。ここで紹介したパイプドビッツだ。

同社は2016年6月22日、4月に個人情報を漏洩したと発表。
社長が謝罪する動画をWebサイトで公開。
さらに攻撃を受けた同社システムの脆弱性やその攻撃手法などを詳細な説明した(図A)。
攻撃に気付いたのは6月に入ってから。公表まで1カ月かからなかった。

図A、積極的な情報公開を行ったパイプドビッツ。
     複数のセキュリティ専門家が高く評価した、
     パイプドビッツの標的型攻撃に関する発表ページ。
     動画などを使った斬新な内容だった。

ソフトバンク・テクノロジーの辻氏は、
「被害企業が攻撃の詳細を公開すれば、被害を減らせる」と語る。
攻撃に使われたウイルス名、メールの内容、外部サーバーとの通信先といった情報を公開すれば、
他企業の担当者も攻撃手法を把握できるからだ。
攻撃が現在発生しているか、遮断すべき通信はどれか、などがわかる。
攻撃手法がわかれば、システム設計のレビューにもつながる。

Θ 広報姿勢を表彰する動き。
Webサイトの改ざん被害を2014年12月に受けた技術評論社も、積極的に情報を公開した。
この広報姿勢を評価され、「セキュリティ事故対応アワード」の表彰を受けた。

セキュリティ事故対応アワードは辻氏などセキュリティ専門家が、
インシデントに遭遇した企業の広報内容を評価し、高い評価を得た企業を表彰するもの。
辻氏は、「パイプドビッツは次回の有力な候補になる」としている。

※ 次回は、(4)が、終わりましたから、、、
           (5)検索サイトで脆弱性を把握、関係ない企業が被害に遭うことも。1~3
             1、期間限定型の攻撃は、一昨年から攻撃を活発化する、
                                       「アノニマス」の攻撃がその典型だ。です
.

http://8823.teacup.com/tanuki/bbs/

 

Office 365 使いこなし術。(1)~(4)

 投稿者: “ た ぬ き ”  投稿日:2017年11月17日(金)16時20分31秒 p061.net059084008.tnc.ne.jp
返信・引用
  (4)スケジュール調整に Office 365 を、駆使するアスクル、OneDriveは使わず。1~2

  2、予定表の機能は複数の従業員の、
               予定を“横串”に見ることができ、会議などの参加を打診する機能もある。

まず、スケジュールを調整したい従業員の予定表で仮の予定を登録して通知を送る。
通知を受信した従業員は承諾するかしないかを選択できる。

こうした機能を活用すると、
スケジュールを調整するために電話やメールでその都度予定を確認する手間が減らせるわけだ。

アスクルはセキュリティポリシーの観点から現状はOneDriveを利用していない。
OneDriveがポリシーを満たさないからだ。具体的には、
OneDriveを使って従業員同士で資料を共有しようとするとき「パスワードなどのアクセス制御や、
利用のログを管理する機能が十分ではない」(原田氏)ためだという。

画1、アスクル e-プラットフォーム本部インフォメーションテクノロジーの原田浩幸氏。

セキュリティポリシーを満たせば、導入の可能性もあるという。
ただその場合、
日本国内のデータセンターと専用線で接続するサービスを利用するなどの方法が必要、とする。

Θ WSUSサーバーのようなコントロールができたら。
運用に必要なコストが減った一方で、クラウドサービスならではの管理手法に改善点もあるようだ。

例えばOffice 365では追加機能や改善のためのプログラムが配布されたとき、
従業員のOffice環境が自動的に更新される。

「Windows Server Update Services(WSUS)」のように、
Windowsパソコンやサーバーへのパッチプログラム適用を管理できる仕組みがあれば、
適用するプログラムを選べる。しかしOffice 365ではそうした運用は難しい。

「そうしたきめ細かいコントロールが実現できれば、
管理者にとってもっと使いやすくなるはず」と原田氏は話す。

※ 次回は、Office 365 使いこなし術。(1)~(4)が、
                  終わりましたので、新しい連載に入ります、お楽しみ下さい。
.

http://8823.teacup.com/tanuki/bbs/

 

情報セキュリティ > まるわかり標的型攻撃。(1)~(6)

 投稿者: “ た ぬ き ”  投稿日:2017年11月17日(金)08時07分52秒 p139.net059084009.tnc.ne.jp
返信・引用
  (4) 事例2 日本年金機構のインシデント。1~3

  2、LANを調査してデータを盗み出す。

こうしてウイルスに感染したパソコンが年金機構内部に増えた。
攻撃者はC&Cサーバー▼を使って、ウイルスに感染したパソコンに指示を出し、
LAN内を調査して個人情報を含むファイルを盗み出したとされる。

年金機構ではデータベースサーバーから取り出した個人情報を含むファイルを、
一時的にアクセス制限をかけていないファイル共有サーバーに置いてもよいことになっていた。
攻撃者にこの共有サーバーが見つかり、ファイルを持ち出された。

年金機構では、ファイル共有サーバーにファイルを保存するときは、
パスワードロックをかけることを義務付けていた。
しかしほぼすべてのファイルにロックがかかっていなかった。

Θ 感染には早期に気付いていた。
年金機構のインシデントでは、標的型メールのリンクをクリックしたり、
添付ファイルを開いたりしたことが問題としてクローズアップされた。
しかし、受け取ったメールが業務に関連すると判断されれば、開かずにいられないだろう。
年金機構の問題は、
ウイルス感染に気付いてからの対処方法がまずかったことが、情報を漏洩させた原因だ。

年金機構は、内閣サイバーセキュリティセンターによって通信の監視を受けており、
5月8日にウイルス感染した直後、ウイルスとC&Cサーバーの通信が検知されている(図2-10)。
しかも、ウイルスに感染したパソコンは当日中に見つかっていた。

図2-10、日本年金機構が2015年5月に受けた標的型攻撃。
        非常に早い段階で攻撃を検知しながら、情報漏洩を許してしまった。
        不審な通信が見つかった時点で、セキュリティ専門家などによる、
        調査を実施していれば、被害はここまで大きくならなかったはずだ。

ところが、感染パソコンをLANから取り外し、全職員に注意喚起しただけで対処が終わってしまった。
攻撃者が個人情報を取り出したのは5月21~23日であり、
早期にLAN内の調査を始めていれば、漏洩は防げたかもしれない。

▼ C&Cサーバー。
   ウイルスに対して指示を出すサーバ-。
   実際にはサーバーに指示を掲載するだけで、
   ウイルスがC&Cサーバーに定期的に、アクセスして指示を確認する。
   C&Cは、Command & Controlの略。

※ 次回は … 3、インシデント遭遇時は積極的に情報を公開しよう。です
.

http://8823.teacup.com/tanuki/bbs/

 

Office 365 使いこなし術。(1)~(4)

 投稿者: “ た ぬ き ”  投稿日:2017年11月16日(木)10時39分46秒 p153.net059084001.tnc.ne.jp
返信・引用
  (4)スケジュール調整に Office 365 を、駆使するアスクル、OneDriveは使わず。1~2

  1、EC(電子商取引)サイト大手のアスクルは約1800人が、
                        利用するコミュニケーションツールとしてOffice 365を使っている。

Office 365を最も評価している点は、メールや予定表などの機能を一つのサービスとして使えることだ。

従来は国内のITベンダーが提供するサービスを個別に使っていた。
一つのサービスに統合することで運用管理の手間とコストを削減できた。

サービスをOffice 365に移行した当初は使い方に慣れない利用者もいたが、
導入から約4年が経過した現在は「使い方が分からない、というような質問はほとんどんない」と、
e-プラットフォーム本部インフォメーションテクノロジーの原田浩幸氏は話す。

いつでもどこからでもデータを見られるメリットもある。
従業員はスマートフォンやPCなど複数の端末からOffice 365にアクセスできる。
従来使っていたメールサービスではPOPでクライアント端末とメールサーバーを同期させる必要があり、
常にデータが同期されているわけではなかった。

表、アスクルのOffice 365の導入時期と用途。

Θ “仮押さえ”で予定の調整が楽に。
アスクルは、メールと予定表の用途でExchange Onlineを、
オフィス向けソフトとしてOffice ProPlusを使っている。

Exchange Onlineでは、メールと予定表の機能が同じアドレス帳を参照しており、
「従業員同士のスケジュール調整が従来より楽になった」(原田氏)という。

※ 次回は … 2、予定表の機能は複数の従業員の、
                  予定を“横串”に見ることができ、会議などの参加を打診する機能もある。です
.  

http://8823.teacup.com/tanuki/bbs/

 

情報セキュリティ > まるわかり標的型攻撃。(1)~(6)

 投稿者: “ た ぬ き ”  投稿日:2017年11月16日(木)10時08分16秒 p071.net059084005.tnc.ne.jp
返信・引用
  (4) 事例2 日本年金機構のインシデント。1~3

  1、日本年金機構は2015年5月、年金加入者の個人情報約125万件を漏洩させた。

LAN内のパソコンをウイルスに感染させて、目的のデータを持ち出すという典型的な攻撃だった。

ウイルス感染がきっかけとはいえ、
どうして厳重に管理されていると思われる個人情報が漏洩したのか、
攻撃の流れを見ながら理由を解説していく。
また攻撃が発覚した後に情報が持ち出されているため、その動きも時系列で追っていこう。

Θ 公開アドレスに届いたメール。
年金機構への攻撃は、5月8日に公開メールアドレスに届いたメールから始まったとされる(図2-9)。
公開メールアドレスとは、
よくあるお知らせやリリースなどの問い合わせ先として掲載したメールアドレスである。

図2-9、日本年金機構が受けた攻撃の流れ。
       日本年金機構の個人情報漏洩は、
       LANに侵入して目的のデータを取り出すタイプの典型的な攻撃だった。
       公開メールアドレスに届いた標的型メールをきっかけに、
       組織内にウイルス感染パソコンを増やしている。

そして九州ブロックの担当者が、攻撃者から届いたメールの本文内にあったリンクをクリックした。
次にリンク先からダウンロードしたファイルを担当者が実行してウイルスに感染してしまった。
なお、Webページを開くだけでウイルスに感染させる攻撃▼も存在する。

そして5月18日以降、公開されていない年金機構職員のメールアドレス宛てに、
ウイルスを添付した標的型メールが大量に届く。
非公開のアドレスは、最初にウイルスに感染したパソコンから漏洩したと思われる。
届いたメールには添付ファイルがあり、それを開いた職員のパソコンがウイルスに感染した▼。

5月8日に届いたメールには厚生労働省のWebサイトに掲載されている文書名が、
5月18日以降に届いたメールには年金に関係するセミナーや研修の告知が記載されていた▼。

▼ Webページを開くだけでウイルスに感染させる攻撃。
    Webブラウザー上で動くプラグインソフトやJavaスクリプトなどの脆弱性を悪用して感染させる。
    Webアクセス型攻撃と呼ぶこともある。
▼ ウイルスに感染した。
    年金機構ではウイルス対策ソフトを使っていたが、検出されなかった。
    標的型攻撃のウイルスは、既存のウイルスに一部改変を加えて、
    検知されないと確認してから使われたためだろう。
    改変用のソフトも公開されており、ウイルス対策ソフトだけで検知するのは困難。
▼ 記載されていた。
    情報処理推進機構が2016年7月に公開した、ある業界を標的とした攻撃に関するレポートでも、
    137通の標的型メールのうち45%がセミナーや説明会に関連するものだったという。

※ 次回は … 2、LANを調査してデータを盗み出す。です
.

http://8823.teacup.com/tanuki/bbs/

 

レンタル掲示板
/54