MSNに侵入したNIMDAは社内感染 124
同様の事例多数と推測 部門より
複数の参加者から同じネタで投稿をいただいた。hiromasa 曰く,"日経ITPro に 「MSNが新型ウイルス「ニムダ」に感染,社内からのコンテンツ更新が原因」 という記事が出ています。 ウィルス対策ソフトベンダーのパターンファイル配布が遅かったのが、 msn.co.jpの感染の原因だとし、「当時はどうしようもない状況だったといえる」なんて結論になっています。そんなの link checker で防げた筈なのにねぇ。ま、今後ともmsnはなにかと汚染されるであろうことを知らしめてくれる記事なんで、「参考になる」に投票しておきましたけどね。"
また、nobuo 曰く,"M$ Japanの阿多社長のインタービュー記事で/.でも話題沸騰だった日経ITpro。9/25付けで、なぜmsnがNimdaに感染したのかというこんな記事が出ている。
曰く、「マイクロソフト社内から,MSNにアップロードしたWebコンテンツに,ニムダが埋め込まれていた」
該当記事はM$ Japanの言い訳が満載されているのだが、この1行だけを読むと「msnのサーバはセキュリティ対策が施されていたにも関わらず、M$社内で使われていたPCには、まったくセキュリティパッチが充てられてなかった」というのが真相なのでは?という感じもしてくる。
msnがNimdaに感染してからのことでもこんなことが書かれている。
「インターネット上の多くのWebサイトを調べ,新しいウイルスの情報を見つけ,その対策法を見つけ出した」
社長がこの記事で「(ウィルスの)新種の発見と対策ファイルの提供を一秒でも早く実施するため,24時間365日監視の目を緩めない。」と言っていることと矛盾してこない?"
うーん…努力はしてるんだろうけど…
最近のMicrosoftの醜態を見ていると (スコア:5, 興味深い)
いる人達まで被害を受ける様な事態になりかねないのでは?と心配
しています。
There is no spoon.
早い話が (スコア:4, 興味深い)
「社内にパッチを当てていないIISやIEが存在した」ということはつまり、IISやIEが「MSのお膝元でさえ、セキュアな状態を保つのが難しい」プロダクトであるということですな。まさに自分で自分の足を踏んだの図。これに懲りて、セキュリティパッチの適用や告知をもっと簡単で自動化しやすい仕組みを作って欲しいものだ。
それにしても「いたしかたなかった」とはどういう言い草だろう >日経ITPro
倉庫番 (スコア:4, おもしろおかしい)
あのゲームの作者は、今ごろ何処でなにをしているのだろう?
単純な対策のポイントは… (スコア:3, 興味深い)
<おふとぴ>
「LANケーブルを抜く」
って、物理的に遮断ですか!「なりふりかまっていられない」状況だったんですかね。
</おふとぴ>
- jam -
jmz
Re:単純な対策のポイントは… (スコア:3, すばらしい洞察)
NimdaじゃLANケーブルを抜くわ、CodeRedでHotMailのOSを再起動するわで、きっとこれがMS製品の正しい運用方法なんだろうな。
Re:これはいただけないね (スコア:3, 参考になる)
一言私の意見を言わせてもらえば、ひどいもんです。
あ、誤訳についての責任は負いませんのであしからず。:-)
それでも .SHS は表示されないよ (スコア:3, 参考になる)
SHSファイルの興味深い特徴として、オペレーティングシステムがファイルの拡張子を表示するように設定されている場合でも、拡張子が表示されないことが挙げられます。つまり.TXT.SHSファイルは常に.TXTとして表示されます。このため、ユーザは混乱して、SHSファイルを.TXT 形式のファイルだと思い込んでしまうことがあります。
これは LIFE_STAGES というワームが悪用しました。対策法はこれ。 .SHSを表示させる方法
もちろん、私はやってます。
心配なのは (スコア:3, 興味深い)
ホームを何処に指定しておいても、必ず一回目に msn に行っちゃうことだよね…
msn に行く前にセキュリティの設定変更をする方法ってあるのかな…
Re:最近のMicrosoftの醜態を見ていると (スコア:3, 参考になる)
security holeやbackdoorがちゃんと塞がれてればいいけどねえ…
Re:早い話が (スコア:2)
引用は正確にしないとあかん >をれ
じゃなくて
でした。
この言説の最大の問題点は、「ウィルス対策ソフト」が対応してくれなければ、あたかもこの感染媒介は防げなかったかのように主張しているところだ。問題点はそこにあるんじゃない。親コメントにも書いたけど、「セキュアな状態を保つのが非常に難しいMSのプロダクトとそのアップデートシステム」にあるのだ。MSのお膝元ですら満足にアップデートし切れないモノを、エンドユーザができるわけがない。
Re:早い話が (スコア:2, すばらしい洞察)
....と書いておいて, はないでしょ.どーしょもあるじゃん.
この記事 (スコア:2, 参考になる)
この記事(MS社長のIISに関するインタビュー) の「皆様の評価を見る」(下のほうのFeedBackの中)は一目に値するよ
「参考にならなかった」が75%とは…
コメント欄も怨嗟の声に満ちています。
Re:この記事 (スコア:2)
意味のものがあるようで。
"Quidquid latine dictum sit, altum videtur."
Re:早い話が (スコア:2)
蛇足ですが。
IISのDirectory Traversal Vulnerabilityへの対策パッチって、一年ほど前にリリースされてるんですよね。Symantecのこれ読む限りでは件のパッチ当ててればこんなことにはならなかったのではないかと。
まったくもって、どーしょもある話だった、と言うわけですな。
<更に蛇足>MSNのNimdaについてのページに、
てな表記がありますが、実際にLANケーブル抜いたのって午前3時でしょ?その間まったくwww.msn.comが外部へのアタックをかけなかったとは考えにくいんですが…
</更に蛇足>Re:*.eml *.exe もアップロードしたってこと? (スコア:2, おもしろおかしい)
Re:*.eml *.exe もアップロードしたってこと? (スコア:2)
というか私の場合、Windows系のOSを新規に入れたら最初にやることは「隠しファイルも全部表示」「拡張子も全部表示」のオプション設定なんですけど、世間的にはどうなんですかね?(やらない人っているの?)
やらない人がほとんどでは (スコア:2)
だからあのとき・・・ (スコア:2)
徹底させればこんなひどいことはならなかったんじゃないか~~
IDENTIFICATION DIVISION.
AUTHOR YUKI-KUN.
Re:*.eml *.exe もアップロードしたってこと? (スコア:2, 興味深い)
真相は社内のパソコンがメール等によって感染して社内から
「MSNのIISが攻撃されてワームによって自動的にアップロードされた」
と言う事だと思います。
さらに言えば社長自身、部下からの報告を聞いただけで本当の所良く解っていないに1票。
重蔵。
M$製品を使わない (スコア:2, おもしろおかしい)
それはUNIXであれNTであれLINUXであれ変わらないことです。
この一般論(定理や法則とも言える)から行くと、どこかに究極のM$管理者がいるに違いない。
その人は注目されていないだけで、いろいろなM$ノウハウやM$スピリッツでいっぱいだろう。(バイナリーをハックなんて日常的かつ平気)
そういう人からすれば「M$製品」は使いやすくパワフルなのではないか?
と、ずっと前から想像してるんですけど、いるんでしょうか? 究極のM$管理者さん。でなければCMに出てくるようなNTによる大規模商業サイトなんて実現できないはずなんですが…
Re:早い話が (スコア:2)
つまりMS製品を使う限り24時間365日監視してもダメっ (スコア:2, すばらしい洞察)
ウイルス対策ソフト・ベンダーがニムダの存在に気付いてパターン・ファイルを配布するまでは、どうしようもない状況だった、というわけでしょ? これも信じてあげよう。
結論: (MSの言葉を信じれば) MS製品を使う限り、いくら努力してもセキュリティーは「どうしようもない状況」にしかならない。
これならどこも矛盾しないよ。 (^^)
まあ、最初からセキュリティーを考えていない物は、幾らパッチを当てても駄目って事でしょ。
Re:それでも .SHS は表示されないよ (スコア:2)
それにしてもこの種のregedit動かさないと表示されるようにならない拡張子っていうのが山のようにあったりしませんかね?その一つ一つがセキュリティ上の潜在的リスクなわけでしょ…。IISだけじゃなくてOSも一から、コーディングだけじゃなくて設計からやりなおさせないとダメっぽいぞ。>ガートナー
Re:これはいただけないね (スコア:2)
いくらなら請け負ってもらえる or 受注できるのであろ。
MS Products は勉強のコストも馬鹿にならない上に、あっという間に陳腐化するので、攻撃されて躓いたら損害賠償だと縛っておいて IIS を使えといわれたら、費用を倍以上ふっかけられるのではないかな?
Re:つまりMS製品を使う限り24時間365日監視してもダメ (スコア:2)
きっと日経BPの意図もそうだったのでしょう。
イニシャルにしなくてもいいのに。
Re:M$製品を使わない (スコア:2)
複数のハードに分散して動かしていてサービスを停止しないならば、個別にリブートするのはかまわないと思います。
TCO は高そうですが、それを24時間運転だと主張するのはよろしいんじゃないですかね。
M$製品の正しく安全な使い方 (スコア:2, おもしろおかしい)
どなたかが書いてくれましたんで、こちらではまとめだけしておきますね。
1.まずPCからLANケーブルを抜きます。
2.M$のOSをインストールします。
3.電源を切り、コンセントを抜きます。
4.そのままライセンス証書とともに倉庫に入れます。
5.忘れます。
Re:心配なのは (スコア:2)
「H"-in」なんてのもあるからな…。
Re:心配なのは (スコア:2)
いちいち「指定されたウェブページはこちらへ移動しました」(だっけか?)と表示するのもマヌケなような…
Re:最近のMicrosoftの醜態を見ていると (スコア:2)
Re:拡張子を隠す (スコア:2, おもしろおかしい)
「隠す」だけでは見た目以外、ちっとも近づいているとは言えないですよね。
マックに拡張子が必要無いのは、ファイルタイプ、クリエータ情報をもとにファイル管理してるからで、確かにはじめてマックを使った時、便利だなーと思った。
# PCを家電にしたいのなら、拡張子は「隠す」んじゃなくて、「必要無い」にして欲しい。
# いっそ、ファイルという概念も...
だけど、これほどWEBも普及し、他のプラットフォームとのファイルのやり取りが増えて、マックでも拡張子をつけるの人は多くなってきてると思う。
だ、だが、DTP出身のマックな人、オリジナリチーあふれる拡張子をつけるのはやめてください。(涙
irare、foto、ward ....
Re:心配なのは (スコア:2)
そういうことに対処する方法として、私は自分用Proxyの一歩手前にJunkBusterを入れておいて、msn.co.jpへのアクセスをブロックさせるようにしています。一度アクセスさせれば、それ以降は通常の動作に戻ります。
私は、もともとあんなページに行くことはないのでずっとブロックさせっぱなしですが。 いい副作用として、「泣く泣くhotmailを使った後、ログアウトした時に勝手にmsnに行くのを防止できる」というのもあります。
-- やさいはけんこうにいちば〜ん!
Re:それでも .SHS は表示されないよ (スコア:2, 参考になる)
.maw .mag .maf .mam .mad .maq .mar .mas .mat .mav
.cnf .shb .URL .lnk .pif .scf .SHS .xnk
.MAPIMail .DeskLink .mydocs
が表示されないようです。
ちなみに .ma*な拡張子はAccess関係です。
(Access.Shortcut.DataAccessPage.1とか)
書きかえられたWindowsUpdateサイト (スコア:2, 参考になる)
をみると、「先週windows updateのサイトは書きかえられた」となってますね。
http://www.attrition.org/mirror/attrition/2001/07/19/windowsupdate.microsoft.com/
に、書きかえられたときのミラーが残されてます。この時同時にmsnも書きかえられたそうで。
しかしやるならこんなけち臭いページ改竄じゃなくて、SSLのキーでも奪えばよかったのに(こら)。まあ、アマチュア(というかただのWorm)の犯行でよかったねという事ですな、、、
-- Takehiro TOMINAGA // may the source be with you!
パターンファイルのせいにしてるけど (スコア:2, すばらしい洞察)
Re:それでも .SHS は表示されないよ (スコア:2, 参考になる)
モデレータ権限はありませんので返信にて+1モデレートさせていただきます。
ちなみにWin2kでの検索では
REGEDIT NeverShowExt
HKEY_CLASSES_ROOT\Access.ShortCut.Form.1
HKEY_CLASSES_ROOT\Access.ShortCut.Macro.1
HKEY_CLASSES_ROOT\Access.ShortCut.Module.1
HKEY_CLASSES_ROOT\Access.ShortCut.Query.1
HKEY_CLASSES_ROOT\Access.ShortCut.Report.1
HKEY_CLASSES_ROOT\Access.ShortCut.Table.1
HKEY_CLASSES_ROOT\CLSID\{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}
HKEY_CLASSES_ROOT\CLSID\{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}
HKEY_CLASSES_ROOT\CLSID\{ECF03A32-103D-11d2-854D-006008059367}
HKEY_CLASSES_ROOT\ConferenceLink
HKEY_CLASSES_ROOT\DocShortcut
HKEY_CLASSES_ROOT\InternetShortcut
HKEY_CLASSES_ROOT\lnkfile
HKEY_CLASSES_ROOT\piffile
HKEY_CLASSES_ROOT\SHCmdFile
がヒットしました。あと
HKEY_LOCAL_MACHINE\以下同じもです。
狙われそうなのが、結構ありますね。
ってここまでやるんだったら
レジストリ変更用のregを書けという噂もあり。
Access.Shortcut.DataAccessPage.1は
私の環境にはありませんでした。
Office2000 Standardだからかもしれません。
以上ご参考まで
Re:倉庫番 (スコア:2)
#本当のところを知ってるわけじゃないですが、
現実に今でも業界にいてCodeRedやNimdaの対応に追われてたりしませんかねえ…。
#いや、ほんとに片付けて済むモンなら片付けたいわ、これ。
MSNアクセス禁止 (スコア:2, おもしろおかしい)
ばすちーゆうぃんどうず (スコア:2)
前から思ってるんですけど、LinuxにはStackGuardコンパイラってのがありましたよね?カーネル以下全部それでコンパイルしなおしたLinuxディストリビューションなんてのもあったよね?
Microsoftの製品は全部MSのコンパイラでコンパイルされてるわけでしょ。似たような処置をしたコンパイラを一個用意して全面的に再コンパイルするのってそんなに大変なのかなあ、という気がちょっとする。
#それをやると過去の製品との互換性が失われてしまう、とかだったりしてね。
もちろん根本的にはコードの質自体を上げないとダメでしょうけどMSのプログラマって流動性高いから期待薄な気がするし…。IT不況のおかげで定着率が上がって、これから品質がよくなるのだったりするかな…。
Re:パターンファイルのせいにしてるけど (スコア:2)
・素直にパッチを当てるのを忘れてたと言うのが悔しかったので誤魔化した
・アンチウィルス会社に責任を転嫁したい
のどっちかだと思うよ。
コードの前に・・・・・ (スコア:2, すばらしい洞察)
いくら、OSが硬くてもねぇ・・・・・。
Re:コードの前に・・・・・ (スコア:2)
究極のM$管理者 (スコア:2, おもしろおかしい)
みんつ
Re:*.eml *.exe もアップロードしたってこと? (スコア:2)
Re:読者次第かと (スコア:2)
Re:MSNアクセス禁止 (スコア:2)
他は知りませんが、 MSN ジャーナル は興味深い記事が多いですよ。もっぱら w3m で見てます。
玉石混交ではありますが、コンピュータの記事を扱わないことで質の高さを維持しているような気もします。
リンク消失? (スコア:2)
ページは残っているようですが・・・・・。
マックユーザーの独創的拡張子(ぉ (スコア:2, 参考になる)
既にご存じの方も多いかと思いますが、そんなWindows
ユーザーの方々にこの「極窓」を。
http://www.55555.to/
対応拡張子650種類以上を判別、正常な拡張子に
戻してくれるツールです。
*.eml *.exe もアップロードしたってこと? (スコア:1)
ぽ
別の見方をすると(Re:早い話が) (スコア:1)
( msn を標準のスタートページにしておいて
msn に汚染されたコンテンツを置いても気づかないあたりとか)
その程度の会社の作ったプロダクトはその程度のセキュアさ
ってことで一応理解できそうです。
Kiyotan