UFJ銀行、ウィルスメールを約7,000人へ配信

UFJ銀行、ウィルスメールを約7,000人へ配信 31

ストーリー by GetSet 2005年12月17日 11時00分
お粗末部門より

von_yosukeyan曰く、"Impressの記事によると、UFJ銀行中国進出支援室が配信しているメールマガジンUFJ CHINA NEWSのメール配信用サーバに、何者かがワーム型ウィルスNetsky.Pが添付されたメールを送信し、同メールマガジン購読者約7000人に配信されていたと報じている。(UFJ銀行によるプレスリリース)
Netsky.PはNetskyの亜種の一つで、Outlook Expressのバグを利用して感染し、送信元アドレスを詐称したウィルスメールを不特定多数にばら撒く。UFJ銀行のメールサーバは、特定権限のメールアドレスから送信されたメールを配信する仕組みで、パスワード認証やファイアーウォールなどによる保護が行われていなかったため、Netskyに感染した第三者からのメールを誤って配信してしまったらしい
大手金融機関のセキュリティとしてはお粗末過ぎるが、UFJ銀行では本件による個人情報の流出はないとしている"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索31コメント Log In/Create an Account

プレスリリースを読んだけれども (スコア:5, 興味深い)

by Concerto (28311) on 2005年12月17日 18時36分 (#851001) ホームページ

感染してしまった場合の症状は載っているけれど、対処方法は載ってませんね。
それに加え、ウィルスの詳細な情報も載ってませんし。
感染した場合の対処/感染しているか調べる方法/ウィルスの詳細情報を知りたい場合は自分で調べてね、って事でしょうか。
企業の対応としては、あまりにもお粗末過ぎる気がしますが・・・。

価格.comがウィルスをばらまいた時のように、UFJでもアンチウィルスソフトの体験版を配布するべきだと思うんだけどなぁ・・・。
- Re:プレスリリースを読んだけれども (スコア:2, すばらしい洞察)
  
  by depress (12451) on 2005年12月18日 22時45分 (#851374)
  
  価格.comがウィルスをばらまいた時のように、UFJでもアンチウィルスソフトの体験版を配布するべきだと思うんだけどなぁ・・・。
  
  こんなお粗末をやらかすようなアンチウイルスソフトなんて怖くってつかえませんよねえ。
  
  シェア
  
  親コメント
  - Re:プレスリリースを読んだけれども (スコア:1)
    
    by depress (12451) on 2005年12月18日 22時49分 (#851380)
    
    こんなお粗末をやらかすようなアンチウイルスソフトなんて怖くってつかえませんよねえ。
    
    いや訂正。
    こんなお粗末をやらかすような組織が配布するアンチウイルスソフトなんて、です。
    
    シェア
    
    親コメント
「個人情報の流出はない」? (スコア:4, すばらしい洞察)

by OKSoft (27172) on 2005年12月17日 12時50分 (#850894) 日記

いや、漏れなくてもそれでユーザーが感染したらどうなるんだか...
- Re:「個人情報の流出はない」? (スコア:3, 興味深い)
  
  by Anonymous Coward on 2005年12月17日 13時03分 (#850906)
  
  利用者にとって気になるところだから発表してるんだろうけど、なんかテンプレート化してるよな。
  
  「～では本件による個人情報の流出はないとしている」
  「～では流出した個人情報による被害はないとしている」
  
  シェア
  
  親コメント
  - Re:「個人情報の流出はない」? (スコア:2, 興味深い)
    
    by yanagi (6075) on 2005年12月17日 19時58分 (#851013) ホームページ日記
    
    Netsky.Pはマスメールをするだけのワームだから
    HDD内で見つけたアドレスに勝手にメールを送信する。
    このとき、発信元アドレスに他人のアドレスが
    使われた場合、ＵＦＪ銀行が起因となった
    個人情報の流出になると思うんだけど。
    
    「流出はない」と言い切るよりも、
    「個人情報の流出は確認されていない」くらいで
    いいんじゃないかな、と思ってみたりｗ
    存在しないことの証明はかなり困難だし。
    
    --
    やなぎ
    字面じゃなく論旨を読もう。モデレートはそれからだ
    
    シェア
    
    親コメント
  - テンプレ化ならいっそ (スコア:1, おもしろおかしい)
    
    by Anonymous Coward on 2005年12月18日 1時18分 (#851115)
    
    「セキュリティがバールのようなものでこじ開けられていた」
    「むしゃくしゃしてやった。今は流出している」
    
    シェア
    
    親コメント
    - 便乗テンプレ投稿 (スコア:1)
      
      by tenkoma (23973) on 2005年12月18日 23時42分 (#851407) ホームページ日記
      
      「どう見てもハッカーの仕業です．本当にありがとうございました．」
      
      --
      見つけたものが何であるかで，未来の姿が変わる．
      
      シェア
      
      親コメント
  - Re:「個人情報の流出はない」? (スコア:0)
    
    by Anonymous Coward
    
    航空事故とかで
    「乗客に日本人はありませんでした」
    
    ってのと同じだと思うが。
    - Re:「個人情報の流出はない」? (スコア:1, すばらしい洞察)
      
      by Anonymous Coward on 2005年12月17日 16時14分 (#850957)
      
      ちがう。
      
      シェア
      
      親コメント
- ユーザーが感染したらどうなるんだか? (スコア:0, おもしろおかしい)
  
  by Anonymous Coward
  
  そんなの決まってるよ、こういえば良いんだ。
  
  「ほとんどのユーザーはウイルスの事なんか知らないから、きにしないんじゃないか」
  
  それじゃソニーと同じだからいやだっていうなら
  
  「ほとんどのユーザーは、ウイルス対策ソフトの一つや二つ入ってるから影響ないんじゃないか」
  - Re:ユーザーが感染したらどうなるんだか? (スコア:2, 興味深い)
    
    by tenkoma (23973) on 2005年12月18日 23時38分 (#851403) ホームページ日記
    
    似たような実例がありそう．
    「フルブラウザには需要がない」--Scope開発者が激白 [cnet.com]
    問題とされているメール機能は、実際に使っている人は全体の1％以下なんですよ。この機能を正しく使えていない人が多い。期待して投入したサービスの割には、あまり使われていない機能なんです。
    
    要するに"実質的被害はない|多くない"と広告する手法って蔓延りやすい気がします．
    # なんか違う？
    
    --
    見つけたものが何であるかで，未来の姿が変わる．
    
    シェア
    
    親コメント
    - Re:ユーザーが感染したらどうなるんだか? (スコア:1)
      
      by wadatch (6649) on 2005年12月19日 17時44分 (#851732) 日記
      
      ＞"実質的被害はない|多くない"と広告する手法
      それをあまりにも露骨にやってしまって世間から大顰蹙を買ったみずほ銀行の例もありますけどね・・・。
      あまり不安を煽り立てる発表も問題でしょうけどね。
      
      シェア
      
      親コメント
あと１０日ほど維持できればいいんだよ (スコア:4, おもしろおかしい)

by Anonymous Coward on 2005年12月18日 5時41分 (#851170)

どうせなくなる銀行だし。

# なお当局の許可によります。
- Re:あと１０日ほど維持できればいいんだよ (スコア:0)
  
  by Anonymous Coward
  
  そもそもスタートでおおこけした銀行が今まで続いていたほうが不思議。しかもその後も繰り返してきたし。どこも似たり寄ったりだろうけど・・。
つまり (スコア:4, すばらしい洞察)

by rykmsb (19545) on 2005年12月18日 14時50分 (#851269)

mail@hoge.hogeに
admin@hoge.hogeからメールが来ると、
それを会員に転送する、という仕組みだったが

mail@hoge.hogeに
admin@hoge.hogeに送信元を偽装したNetsky.Pが来たので
それを会員に転送した・・・ってこと？

あんまりだなぁ。あんまりだ。
後悔と反省は違う (スコア:3, すばらしい洞察)

by Anonymous Coward on 2005年12月17日 18時20分 (#850998)

>UFJ銀行では本件による個人情報の流出はないとしている

いやね。誰でもミスはあるし、どんな企業でも問題は出てくるしいろいろあるとは思うが。大事なのは、「その後」とうか、その教訓をどう生かすか？だと思う。企業のポーズとして「流出はないから大丈夫」「問題はない」って言うのは理解できるが、本音の、裏方のレベルでは徹底的に次につながらない対策をしている。ってなってもらいたいね。そうだろうとはおもうが。ヒューマンエラーでも必ず起きるものなので、でもそれをいかに認めて、そして改善していくかっていうほうが大事。
- 手順書の整備が必要 (スコア:2, 参考になる)
  
  by SuperSouya (18827) on 2005年12月17日 22時23分 (#851043) 日記
  
  そもそも、（送信ミスが発生した際の）手順書の整備が必要だと私は考えます。
  ・ミスが発生することを想定した手順
  ・発生した際の復旧方法
  ・発生したときの連絡網（エスカレーション先）
  上記のことをオペレータに教育しておけば、改善するはずです。
  
  --
  Super Souya
  
  シェア
  
  親コメント
  - Re:手順書の整備が必要 (スコア:1, 興味深い)
    
    by Anonymous Coward on 2005年12月18日 0時41分 (#851095)
    
    そ。
    この手のセキュリティ教育自体がそもそも
    行われてないんだけど、ミスはどんなに教育したって在る程度は絶対残っちゃう。
    
    なので、リスクマネジメントを考えて、
    インシデント発生時のこういったマニュアルだとかを
    作成するのは重要だよね。
    
    シェア
    
    親コメント
    - Re:手順書の落とし穴 (スコア:3, 興味深い)
      
      by Anonymous Coward on 2005年12月18日 18時36分 (#851307)
      
      >インシデント発生時のこういったマニュアルだとかを作成するのは重要
      備えあれば憂い無しなものだけど、それが正しくメンテナンスされないといけない。
      これが一番難しくて、形式だけ用意するのはたやすいこと。
      
      「防火設備があったおかげで、うちの会社だけ延焼を免れた」
      とか、その時になって見なければ判らないもの、被害が最悪のケースでも
      人命には影響が及びにくいものへの投資を継続する意識が重要であって、
      マニュアルがあったなかったなど表面的な事に過ぎない。
      
      「教育をしたってある程度残る」所が、うまい具合にカバーされるようなマニュアルなど無いもの。
      マニュアルにないから教育が追いつかない、かといって誰も追いきれないような物量のマニュアルはメンテが困難。
      教育をしていてもマニュアルを用意していても、その組織は想定していなかった事がインシデントになる。
      
      ミスに対して誠実に対応する、という社風がない企業がマニュアルを作っても、
      三菱のようなリコール隠しの応対マニュアルが出来てくるという事もある。
      そういう社風っていうのは、マニュアルでは作れないし、その時が起きてから作っても遅い。
      そして、前述したように、そのマニュアルには書いてないことが起きる。
      
      教育漏れに備えての、実効性が無いのに過信されている切り札的な後ろ向きマニュアルではなく、
      日常業務と常に連動していて拘束性・存在感のある事が重要なのです。
      火事場が収集できなくなってから、初期消火マニュアルが出てきてもしょうがない、そういうこと。
      
      シェア
      
      親コメント
  - Re:手順書の整備が必要 (スコア:1)
    
    by coolguy (4034) on 2005年12月18日 11時52分 (#851231) ホームページ日記
    
    オペレータ教育以前に、それらの事前準備がサービス企画段階で必要であることを企画側に教育しなきゃならんのではなかろうか
    
    シェア
    
    親コメント
  - Re:手順書の整備が必要 (スコア:0)
    
    by Anonymous Coward
    
    まぁ今回のトラブルとは関係ないけどね
MLシステムの仕様 (スコア:3, 参考になる)

by Anonymous Coward on 2005年12月18日 18時50分 (#851312)

おそらくUFJのメールマガジンは一般的なMLシステムを流用しているのでしょう。

一般的なMLシステムでは、MLメンバーや管理人のみ投稿できる設定にしていても、
MLシステムがチェックするのは差出人アドレスだけですので、
From部分を詐称するだけで簡単にMLを乗っ取ることができます。

また、投稿にML管理人の許可が必要な場合でも、ML管理人のアドレスを詐称すると
無許可で配信されてしまうシステムもあります。

ML管理人やメンバーのアドレスを知るためには、
MLに登録してメールが配信されるのを待つだけでいいのですから簡単です。

ML乗っ取りを防ぐには、たとえML管理人自身が投稿したものでも
必ずML管理人による許可が必要になるMLシステムを選ぶ必要があります。
- 他のメールマガジンは？ (スコア:2, 興味深い)
  
  by RSATOsrv (19280) <{reisato.plala.jp} {at} {plala.to}> on 2005年12月19日 5時03分 (#851495) ホームページ日記
  
  あるメルマガはFromアドレスが～@ml.～.jpで本文最後に「※本メールの返信はご遠慮ください」なので、
  MLのシステムを使っているだろうと簡単に予想できるんですが、
  メールマガジン配信としてMLシステムはよく使われているんですかね？
  
  シェア
  
  親コメント
一向に減りませんな (スコア:2, 興味深い)

by Anonymous Coward on 2005年12月17日 12時35分 (#850881)

対策はしてるのでしょうけど
社員のモラルや知識不足の社員が多すぎるような気がします。
- Re:一向に減りませんな (スコア:4, すばらしい洞察)
  
  by Anonymous Coward on 2005年12月17日 12時58分 (#850904)
  
  Impress の追記 16:30 で
  
  通常UFJ CHINA NEWSでは、特定権限のメールアドレスから投稿されたメールを配信していたが、パスワード不要で配信できる仕組みだった。また、このメール配信サーバーのファイアウォールは、LAN側には設置していたものの、WAN側には設置していなかった。このため、特定の権限を設定されたメールアドレスを詐称すれば、WAN側からメール配信サーバーに投稿することで、正規の投稿と判断されてメールマガジン読者に配信されてしまう。
  
  なんて書いてあるのだけど、こんなの SMTPAuth とか Firewall の話じゃないよね。
  
  ＃そもそも "特定の権限" てなによ。
  ＃特定のアドレスってだけでしょ
  
  シェア
  
  親コメント
  - Re:一向に減りませんな (スコア:4, 参考になる)
    
    by herewe (21291) on 2005年12月17日 14時19分 (#850930) 日記
    
    UFJのプレリリースを見ると、
    ・「UFJ CHINA NEWS」の登録ユーザがウィルスに感染
    ・ウィルスが、たまたま「UFJ CHINA NEWS」の配信権を持つアドレスを詐称して、たまたまメールサーバ宛に送信
    ・「UFJ CHINA NEWS」登録ユーザ全員に、ウィルスメールが配信される
    
    って感じですか…。
    メールサーバのウィルスチェックも行われてなかったということなんでしょうね。
    メーリングリストか、それに似たシステム？
    フリーのものを使えば安上がりそうだし。
    
    ＃コメントなので、コメントで返事
    ＃特定のアドレスに"配信権限"や"設定変更の権限"等を設定すれば、
    ＃"特定の権限を設定されたメールアドレス"と書いて問題ないんじゃ？
    
    シェア
    
    親コメント
    - Re:一向に減りませんな (スコア:1)
      
      by Ultramarine (24090) on 2005年12月17日 21時05分 (#851025)
      
      で、その特定のアドレスを使っていたパソコンがどっかでウイルスに感染したとか。
      
      シェア
      
      親コメント
- これはやはり (スコア:0, 余計なもの)
  
  by Anonymous Coward
  
  ノーガード戦法を採用してたんじゃないんですかね
「送信先アドレスを詐称」？ (スコア:2, 参考になる)

by Anonymous Coward on 2005年12月17日 12時55分 (#850899)

あまりコメントすることのない事件なので、重箱の隅でもつつくとします。
タレコミ曰く：
Netsky.PはNetskyの亜種の一つで、Outlook Expressのバグを利用して感染し、送信先アドレスを詐称したウィルスメールを不特定多数にばら撒く。
送信者（From:）の詐称ですよねえ。
- Re:重箱の隅 (スコア:0)
  
  by Anonymous Coward
  
  「UFJ銀行中国進出支援室」のリンク先が
  http://srad.jp/UFJCHINANEWS
  となっているのですが、何かの間違いではないでしょうか

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

UFJ銀行、ウィルスメールを約7,000人へ配信 31

UFJ銀行、ウィルスメールを約7,000人へ配信 More ログイン

プレスリリースを読んだけれども (スコア:5, 興味深い)

Re:プレスリリースを読んだけれども (スコア:2, すばらしい洞察)

Re:プレスリリースを読んだけれども (スコア:1)

「個人情報の流出はない」? (スコア:4, すばらしい洞察)

Re:「個人情報の流出はない」? (スコア:3, 興味深い)

Re:「個人情報の流出はない」? (スコア:2, 興味深い)

テンプレ化ならいっそ (スコア:1, おもしろおかしい)

便乗テンプレ投稿 (スコア:1)

Re:「個人情報の流出はない」? (スコア:0)

Re:「個人情報の流出はない」? (スコア:1, すばらしい洞察)

ユーザーが感染したらどうなるんだか? (スコア:0, おもしろおかしい)

Re:ユーザーが感染したらどうなるんだか? (スコア:2, 興味深い)

Re:ユーザーが感染したらどうなるんだか? (スコア:1)

あと１０日ほど維持できればいいんだよ (スコア:4, おもしろおかしい)

Re:あと１０日ほど維持できればいいんだよ (スコア:0)

つまり (スコア:4, すばらしい洞察)

後悔と反省は違う (スコア:3, すばらしい洞察)

手順書の整備が必要 (スコア:2, 参考になる)

Re:手順書の整備が必要 (スコア:1, 興味深い)

Re:手順書の落とし穴 (スコア:3, 興味深い)

Re:手順書の整備が必要 (スコア:1)

Re:手順書の整備が必要 (スコア:0)

MLシステムの仕様 (スコア:3, 参考になる)

他のメールマガジンは？ (スコア:2, 興味深い)

一向に減りませんな (スコア:2, 興味深い)

Re:一向に減りませんな (スコア:4, すばらしい洞察)

Re:一向に減りませんな (スコア:4, 参考になる)

Re:一向に減りませんな (スコア:1)

これはやはり (スコア:0, 余計なもの)

「送信先アドレスを詐称」？ (スコア:2, 参考になる)

Re:重箱の隅 (スコア:0)

スラド