UFJ銀行、ウィルスメールを約7,000人へ配信 31
ストーリー by GetSet
お粗末 部門より
お粗末 部門より
von_yosukeyan曰く、"Impressの記事によると、UFJ銀行中国進出支援室が配信しているメールマガジンUFJ CHINA NEWSのメール配信用サーバに、何者かがワーム型ウィルスNetsky.Pが添付されたメールを送信し、同メールマガジン購読者約7000人に配信されていたと報じている。(UFJ銀行によるプレスリリース)
Netsky.PはNetskyの亜種の一つで、Outlook Expressのバグを利用して感染し、送信元アドレスを詐称したウィルスメールを不特定多数にばら撒く。UFJ銀行のメールサーバは、特定権限のメールアドレスから送信されたメールを配信する仕組みで、パスワード認証やファイアーウォールなどによる保護が行われていなかったため、Netskyに感染した第三者からのメールを誤って配信してしまったらしい
大手金融機関のセキュリティとしてはお粗末過ぎるが、UFJ銀行では本件による個人情報の流出はないとしている"
プレスリリースを読んだけれども (スコア:5, 興味深い)
それに加え、ウィルスの詳細な情報も載ってませんし。
感染した場合の対処/感染しているか調べる方法/ウィルスの詳細情報を知りたい場合は自分で調べてね、って事でしょうか。
企業の対応としては、あまりにもお粗末過ぎる気がしますが・・・。
価格.comがウィルスをばらまいた時のように、UFJでもアンチウィルスソフトの体験版を配布するべきだと思うんだけどなぁ・・・。
Re:プレスリリースを読んだけれども (スコア:2, すばらしい洞察)
こんなお粗末をやらかすようなアンチウイルスソフトなんて怖くってつかえませんよねえ。
Re:プレスリリースを読んだけれども (スコア:1)
いや訂正。
こんなお粗末をやらかすような組織が配布するアンチウイルスソフトなんて、です。
「個人情報の流出はない」? (スコア:4, すばらしい洞察)
Re:「個人情報の流出はない」? (スコア:3, 興味深い)
「~では本件による個人情報の流出はないとしている」
「~では流出した個人情報による被害はないとしている」
Re:「個人情報の流出はない」? (スコア:2, 興味深い)
HDD内で見つけたアドレスに勝手にメールを送信する。
このとき、発信元アドレスに他人のアドレスが
使われた場合、UFJ銀行が起因となった
個人情報の流出になると思うんだけど。
「流出はない」と言い切るよりも、
「個人情報の流出は確認されていない」くらいで
いいんじゃないかな、と思ってみたりw
存在しないことの証明はかなり困難だし。
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
テンプレ化ならいっそ (スコア:1, おもしろおかしい)
「むしゃくしゃしてやった。今は流出している」
便乗テンプレ投稿 (スコア:1)
見つけたものが何であるかで,未来の姿が変わる.
Re:「個人情報の流出はない」? (スコア:0)
「乗客に日本人はありませんでした」
ってのと同じだと思うが。
Re:「個人情報の流出はない」? (スコア:1, すばらしい洞察)
ユーザーが感染したらどうなるんだか? (スコア:0, おもしろおかしい)
「ほとんどのユーザーはウイルスの事なんか知らないから、きにしないんじゃないか」
それじゃソニーと同じだからいやだっていうなら
「ほとんどのユーザーは、ウイルス対策ソフトの一つや二つ入ってるから影響ないんじゃないか」
Re:ユーザーが感染したらどうなるんだか? (スコア:2, 興味深い)
「フルブラウザには需要がない」--Scope開発者が激白 [cnet.com]
要するに"実質的被害はない|多くない"と広告する手法って蔓延りやすい気がします.
# なんか違う?
見つけたものが何であるかで,未来の姿が変わる.
Re:ユーザーが感染したらどうなるんだか? (スコア:1)
それをあまりにも露骨にやってしまって世間から大顰蹙を買ったみずほ銀行の例もありますけどね・・・。
あまり不安を煽り立てる発表も問題でしょうけどね。
あと10日ほど維持できればいいんだよ (スコア:4, おもしろおかしい)
# なお当局の許可によります。
Re:あと10日ほど維持できればいいんだよ (スコア:0)
つまり (スコア:4, すばらしい洞察)
admin@hoge.hogeからメールが来ると、
それを会員に転送する、という仕組みだったが
mail@hoge.hogeに
admin@hoge.hogeに送信元を偽装したNetsky.Pが来たので
それを会員に転送した・・・ってこと?
あんまりだなぁ。あんまりだ。
後悔と反省は違う (スコア:3, すばらしい洞察)
いやね。誰でもミスはあるし、どんな企業でも問題は出てくるしいろいろあるとは思うが。大事なのは、「その後」とうか、その教訓をどう生かすか?だと思う。企業のポーズとして「流出はないから大丈夫」「問題はない」って言うのは理解できるが、本音の、裏方のレベルでは徹底的に次につながらない対策をしている。ってなってもらいたいね。そうだろうとはおもうが。ヒューマンエラーでも必ず起きるものなので、でもそれをいかに認めて、そして改善していくかっていうほうが大事。
手順書の整備が必要 (スコア:2, 参考になる)
・ミスが発生することを想定した手順
・発生した際の復旧方法
・発生したときの連絡網(エスカレーション先)
上記のことをオペレータに教育しておけば、改善するはずです。
Super Souya
Re:手順書の整備が必要 (スコア:1, 興味深い)
この手のセキュリティ教育自体がそもそも
行われてないんだけど、ミスはどんなに教育したって在る程度は絶対残っちゃう。
なので、リスクマネジメントを考えて、
インシデント発生時のこういったマニュアルだとかを
作成するのは重要だよね。
Re:手順書の落とし穴 (スコア:3, 興味深い)
備えあれば憂い無しなものだけど、それが正しくメンテナンスされないといけない。
これが一番難しくて、形式だけ用意するのはたやすいこと。
「防火設備があったおかげで、うちの会社だけ延焼を免れた」
とか、その時になって見なければ判らないもの、被害が最悪のケースでも
人命には影響が及びにくいものへの投資を継続する意識が重要であって、
マニュアルがあったなかったなど表面的な事に過ぎない。
「教育をしたってある程度残る」所が、うまい具合にカバーされるようなマニュアルなど無いもの。
マニュアルにないから教育が追いつかない、かといって誰も追いきれないような物量のマニュアルはメンテが困難。
教育をしていてもマニュアルを用意していても、その組織は想定していなかった事がインシデントになる。
ミスに対して誠実に対応する、という社風がない企業がマニュアルを作っても、
三菱のようなリコール隠しの応対マニュアルが出来てくるという事もある。
そういう社風っていうのは、マニュアルでは作れないし、その時が起きてから作っても遅い。
そして、前述したように、そのマニュアルには書いてないことが起きる。
教育漏れに備えての、実効性が無いのに過信されている切り札的な後ろ向きマニュアルではなく、
日常業務と常に連動していて拘束性・存在感のある事が重要なのです。
火事場が収集できなくなってから、初期消火マニュアルが出てきてもしょうがない、そういうこと。
Re:手順書の整備が必要 (スコア:1)
Re:手順書の整備が必要 (スコア:0)
MLシステムの仕様 (スコア:3, 参考になる)
一般的なMLシステムでは、MLメンバーや管理人のみ投稿できる設定にしていても、
MLシステムがチェックするのは差出人アドレスだけですので、
From部分を詐称するだけで簡単にMLを乗っ取ることができます。
また、投稿にML管理人の許可が必要な場合でも、ML管理人のアドレスを詐称すると
無許可で配信されてしまうシステムもあります。
ML管理人やメンバーのアドレスを知るためには、
MLに登録してメールが配信されるのを待つだけでいいのですから簡単です。
ML乗っ取りを防ぐには、たとえML管理人自身が投稿したものでも
必ずML管理人による許可が必要になるMLシステムを選ぶ必要があります。
他のメールマガジンは? (スコア:2, 興味深い)
MLのシステムを使っているだろうと簡単に予想できるんですが、
メールマガジン配信としてMLシステムはよく使われているんですかね?
一向に減りませんな (スコア:2, 興味深い)
社員のモラルや知識不足の社員が多すぎるような気がします。
Re:一向に減りませんな (スコア:4, すばらしい洞察)
通常UFJ CHINA NEWSでは、特定権限のメールアドレスから投稿されたメールを配信していたが、パスワード不要で配信できる仕組みだった。また、このメール配信サーバーのファイアウォールは、LAN側には設置していたものの、WAN側には設置していなかった。このため、特定の権限を設定されたメールアドレスを詐称すれば、WAN側からメール配信サーバーに投稿することで、正規の投稿と判断されてメールマガジン読者に配信されてしまう。
なんて書いてあるのだけど、こんなの SMTPAuth とか Firewall の話じゃないよね。
#そもそも "特定の権限" てなによ。
#特定のアドレスってだけでしょ
Re:一向に減りませんな (スコア:4, 参考になる)
・「UFJ CHINA NEWS」の登録ユーザがウィルスに感染
・ウィルスが、たまたま「UFJ CHINA NEWS」の配信権を持つアドレスを詐称して、たまたまメールサーバ宛に送信
・「UFJ CHINA NEWS」登録ユーザ全員に、ウィルスメールが配信される
って感じですか…。
メールサーバのウィルスチェックも行われてなかったということなんでしょうね。
メーリングリストか、それに似たシステム?
フリーのものを使えば安上がりそうだし。
#コメントなので、コメントで返事
#特定のアドレスに"配信権限"や"設定変更の権限"等を設定すれば、
#"特定の権限を設定されたメールアドレス"と書いて問題ないんじゃ?
Re:一向に減りませんな (スコア:1)
これはやはり (スコア:0, 余計なもの)
「送信先アドレスを詐称」? (スコア:2, 参考になる)
タレコミ曰く:
送信者(From:)の詐称ですよねえ。Re:重箱の隅 (スコア:0)
http://srad.jp/UFJCHINANEWS
となっているのですが、何かの間違いではないでしょうか