ネット遮断についての考察
ネット遮断は必要か? さらに、国会や報道等で「もっと早くネット遮断をするべきだった」と指摘された影響で、ウイルス感染したらまずネット遮断、という連鎖が続いているようだ。 一方で、ネット遮断は稚拙な対応で、ちゃんとしたCSIRTがあればネット遮断など必要なかった、という意見もある。マルウェア解析やログ解析などの十分な技術があり、組織内のコミュニケーショッも潤滑に行え、リソースも十分に割り当てられているCSIRTがあれば、動揺せずに冷静に対処できたであろう、ということと思われる。 今回は、ネット遮断について少し考察してみる。 これまでに行われてきたネット遮断は、報道によると概ね以下のような経緯であるようだ。 ウイルスに感染しているらしいことを外部組織から指摘される 調査すると内部にウイルスに感染している端末があることが判明 複数台の感染があるが、全体把握ができないためにとりあえずネット遮断 上
年金情報漏えい報道から、いくつかの考察―その時、どうすればよかったのか?
どう対応すればよかったのか? まず、報道発表が遅い、という批判が多いが、感染が5月8日であるとすると、3週間程度での発表となり、標的型攻撃の報道発表の中では「早い」部類になる。 一方、1台目の感染が確認されたのちに「注意喚起」を行ったものの、複数台が感染した、と報道されていることは残念なポイントである。その後の調査で今回の被害が判明することになる。 報道では、感染後の対処がどのようなものであったか、どのようなセキュリティシステムが機能していたのか、についてはほとんど触れられていないので、ここでは、本来行うべきであった対応について考察してみたい。 標的型攻撃によってマルウェアに感染したことは、多くの場合「添付ファイルが正常に表示できない」「身に覚えのない内容」であることでユーザ自身が気づくことができる。このことは、セキュリティ教育でも取り入れるべきである。しかしながら、しっかりと作りこまれた
防衛産業企業を狙った標的型攻撃が発覚、「多層防御」を考察する
防衛産業企業を狙った標的型攻撃が発覚、「多層防御」を考察する 完全な防御は困難、機密ファイルを奪取されても情報が漏洩しない工夫が重要 以前からお付き合いのある企業のシステム管理者から、「三菱重工が国内11拠点でウイルス感染したと公表している。原因は、標的型のサイバー攻撃とされているが、今回の標的型攻撃の手口は何だったのか。攻撃を受けても被害を受けないようにするための具体的な対策はあるのか?」と相談を受けました。 トレンドマイクロのブログ「Malware Blog」には、9月19日に「Japan, US Defense Industries Among Targeted Entities in Latest Attack」というエントリーが投稿されました。 同じ日に三菱重工業がウイルス感染を公表していることから、Malware Blogのエントリーにある企業の中に三菱重工が含まれている可能性
パッチ未公開の『超特大』のセキュリティ・ホールを「Microsoft Fix it」で回避
パッチ未公開の『超特大』のセキュリティ・ホールを「Microsoft Fix it」で回避 影響を受けるWindows Vista/Server 2008/7 RC版は“SMBv2”を無効に 比較的安全なOSとされるWindows Vista/Server 2008。そのVista/Server 2008が影響を受ける,パッチ未公開のセキュリティ・ホールがアナウンスされています。ネットワークに接続しているだけでパソコンを乗っ取られる可能性があるという,非常に危険なものです。これについて,ある企業のシステム管理者から『対象の”SMBv2”とはどういう機能なのか?また,簡単な回避方法をアドバイスしてほしい』と相談を受けました。 マイクロソフトは2009年9月9日,「マイクロソフト セキュリティ アドバイザリ(975497) SMB の脆弱性により,リモートでコードが実行される」を公開しました。
今年も危険な“夏季休暇”,休む前にパッチ適用を徹底しよう
ある企業のシステム管理者から『去年に引き続き夏季休暇は分散取得しているが,それでも8月13日から取得する社員が一番多い。システム管理者として長期休暇の前後に徹底すべき事項があれば,アドバイスしてほしい』と相談を受けました。 去年のコラムで述べたように年末年始,ゴールデンウィーク,夏季休暇など長期休暇の前には,様々なセキュリティに関連する団体や企業からセキュリティ対策の注意喚起が行われます。 例えばマイクロソフトは,「長期休暇の前に セキュリティ対策のお願い」という2003年12月10日にリリースしたレポートを,2009年4月30日に最終更新して公開しています。 こうした長期休暇に伴う注意喚起のレポートは,それぞれの長期休暇によって内容に変更がある訳ではなく,基本的には同様の内容で公開されます。 しかし,日本の場合はどれもが同じような対策で良いという訳ではなく,特に「夏季休暇」に注意すべきで
『超特大』のセキュリティ・ホールに強いWindows Vista/Server 2008
『超特大』のセキュリティ・ホールに強いWindows Vista/Server 2008 ベータ版登場のWindows 7を横目に,ようやく評価する時期に ある企業のシステム管理者から『1月14日に公開されたマイクロソフトのセキュリティ・リリースは,ネットワークに接続しているだけでパソコンを乗っ取られる可能性があるという非常に危険なセキュリティ・ホールに関するものらしい。脅威を分析してアドバイスしてほしい』と相談を受けました。 2009年の第1弾の“パッチ・チューズデイ”(米国Microsoftがセキュリティ修正パッチをリリースする第2火曜日)の対象は1件でした。その1件である「MS09-001 - 緊急 SMB の脆弱性により,リモートでコードが実行される(958687)」は,筆者が以前から『超特大』のセキュリティ・ホールと呼んで警告していた非常に危険なレベルのセキュリティ・ホールです。
Webブラウザを使い続けるための“お勧め”設定【プラグイン管理編】
Webブラウザを使い続けるための“お勧め”設定【プラグイン管理編】 管理対象のプラグインを明確にし,それ以外の削除の徹底を! 「Adobe Readerにまたセキュリティ・ホールが発見された。アップデートが必要らしい。ところがブラウザのプラグインのセキュリティ・アップデートは,もぐら叩き的な対応で混乱している。管理を徹底するためのポイントをアドバイスしてほしい」。最近,こうした相談を受けました。 確かに,JPCERT/CC Alertでも,PDF閲覧アプリである「Adobe Reader」および編集アプリである「Adobe Acrobat」に関する注意喚起のレポートが掲載されています。 ■「Adobe Acrobat 及び Adobe Reader の脆弱性に関する注意喚起」(公開日:2008/06/24) [関連記事]Adobe ReaderとAcrobatに危険な脆弱性,最新版も影響を
「Apple Software Update」での「QuickTime」アップデートに注意
「Apple Software Update」での「QuickTime」アップデートに注意 重大なセキュリティ・ホールがあるアプリを同時にインストールする恐れあり 前回のFlash Playerに引き続き,「QuickTimeでもセキュリティ・ホールが発見されており,アップデートが必要らしい。アップデート時に注意すべき点をアドバイスしてほしい」との相談を受けました。確かに,JVN(Japan Vulnerability Notes)でもQuickTimeに関する“緊急”レベルの警告が1件掲載されています。 ■「VNVU#132419 Apple QuickTime の file:URL の処理に任意のコード実行の脆弱性 緊急」(公開日:2008/06/11) ■関連記事:Apple,5件の脆弱性を修復した「QuickTime 7.5」を公開(2008/06/11) セキュリティ・ホールは5
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
