nextによる
2009年01月24日 23時26分の掲載
どこから入ってきたのやら部門より。
どこから入ってきたのやら部門より。
YOMIURI ONLINEの記事などに依ると、警視庁でオンラインシステムの端末に使用されている PCから W32.Downadup.B と見られるワームが検出され、現在システムが停止されている。
ワームが見つかったのは22日で、システムの一部を停止したが駆除が追いつかず別の PCからも検出されたため、システムを随時停止しながら駆除作業を行なっている。その間は車庫証明の発行や免許更新など業務の一部を手作業でやる羽目になっているようだ。感染元は USBメモリと見られているがまだ確認されていない。なお警視庁では「外部のネットワークには接続しておらず、情報の流出などは無い」としている。全面復旧は週明けの26日になる模様。
また、W32.Downadup.B についてはつい先日、シマンテックが亜種の出現を警告したばかりだが、今回のものが亜種なのかについては今のところ公表されていない。
外部のネットワークには接続しておらず? (スコア:5, すばらしい洞察)
感染源がUSBメモリだとしたら、それはスニーカーネットと呼ばれるもので明確に外部と繋がってた状態と言える。
コメントを書く
Re:外部のネットワークには接続しておらず? (スコア:5, おもしろおかしい)
メディアを持って走り回る「構内RUN」というヤツですね?
コメントを書く
親コメント
Re:外部のネットワークには接続しておらず? (スコア:3, おもしろおかしい)
やけに通信がモタつくと思ったらエレベータ点検中らしいぞ!
しばらく上層階への送信は控えなきゃ!
コメントを書く
親コメント
Re:外部のネットワークには接続しておらず? (スコア:2, おもしろおかしい)
条件がよいときの転送レートは相当のものです。
実際、私のデスクトップと、隣接したサーバルームのサーバ(歩いて数秒)
との間はスニーカーネットで接続されていますが、1Tbps 近くの数値を叩き出します。
コメントを書く
親コメント
外部接続してないとか (スコア:3, すばらしい洞察)
IT関連の教育・指導が徹底していない組織で「外部には接続していない」と自認してしまうことは非常に危険です。
他のコメントでの指摘にもあるように、USBメモリーで他のPCとデータのやり取りをしていながら「外部には接続していない」と言ってしまうのもセキュリティ感覚の欠如や認識の甘さでしょう。
本来、関係者以外が接触できないはずの内部資料が外部に持ち出された挙げ句、自宅PCから流出という事例も後を絶ちません。
本格的に調査すれば、無線LAN大解放状態とか困るほど露呈しちゃうんじゃないでしょうか。
そもそも、情報管理の観点から言えば部外者の立ち入りが規制されるべきエリアでも平気に一般人が往来していたりというのもあるんじゃないですか?
そんなトコで「外部には接続していない」なんていくら強弁しても意味無いですし。
セキュリティとか何とか言う以前に、まずちゃんと教育しましょうよ。
最低限、PC使う当事者ぐらいは。
コメントを書く
毎回言うけど (スコア:2, おもしろおかしい)
本質的じゃないことはわかりきってるけど,
それで実際に余計なことやらなくなりそうなレベルの人間が使ってるから
USBメモリ経由でウイルス持ち込むような馬鹿なことするんでしょ?
部署(サーバ?)毎にUbuntu,MacOSX,Windowsどれかを割り当てるとか.
# Macな部署の人には罰金多く取られる気がするID
# あ,教育は放棄な方向で.
コメントを書く
Re:毎回言うけど (スコア:2, 興味深い)
・(プラットフォーム毎に)だれがアプリを作るの?
・どのようにサイトとして一貫したセキュリティポリシーを保つの?
・Macとか、LinuxでADのようなポリシー配布ってできるの?
できたとしてもプラットフォーム毎にその管理する仕組みを作れとでも?
Windowsを捨てろ、という話題とか、そのようなことは自宅とか小規模なシステムこそ可能かもしれないが、
100台とかそれ以上の規模で一人一人責任を持ってセキュリティポリシーを保とうなんて正気の沙汰じゃないと思う。
#研究室レベルな話題を大きなシステムに持ち込まないでほしいと思う。
#そしてすば洞つけてるモデレータも一緒だと思うけど。
コメントを書く
親コメント
Re:毎回言うけど (スコア:2)
> ここはやはり、超漢字です。
超漢字VはWindows上のVMware Player内で動くため,これまでの超漢字とは異なり,Windowsの影響から完全に免れることが出来ません。(メーカーの説明ページ [chokanji.com])
Windowsから逃げ出せる環境としては,便利だったんだけどなorz
コメントを書く
親コメント
Re:毎回言うけど (スコア:3, すばらしい洞察)
業務の定型作業するだけなら、べつに何だって構わんだろ。
うちの近所にあったクリーニング屋だって、FM-8か何かで作った風味な、画面が黒字にミドリでカタカナな顧客管理ソフト、一昨年ぐらいまで使ってたぞ。
コメントを書く
親コメント
本当にUSBメモリか? (スコア:2, 興味深い)
最近は公衆インターネットにつなぐ機械と警察の広域LANに繋ぐ機械は分離してるということになってるようですが、あれだけ大きな組織だと、二者のネットワークとしての接点が全くないという方が不自然に思うのですけど。
流石に窓口業務や事務を行ってるマシンの分離は無問題でしょうが、例えばハイテク捜査課のように公衆網を調べる部署だと、公衆網に繋ぐための線と警察の広域LANに繋ぐための線が物理的に完全に分離されてるかどうかと言う部分で不安が残りますが。
例えば、警察署内のLAN配線は物理的には一本化して、公衆網に向けたゲートウェイへの接続はVPNか何かで分離する。と言うソリューションでお茶を濁してる危険は(専ら予算的な理由から)けして低くないと思いますが。
その上で、「ハイテク犯罪」の捜査にかかわる情報を警察内でより使いやすく共有しようとすると、どうしてもそこの部分で公衆網と警察広域LANの間での(と言うか公衆網→警察広域LANと言う経路での)論理的な接点が出来てしまう。
このような「接点」から警察の広域LANにワームが送り込まれてしまった。と言う構図が一番ありそうにどうしても思ってしまうのですが。
逆に言えば、今回の感染経路が「USBメモリ→感染した端末→広域LANにぶら下がっている各マシン」と拡散したのであればまだマシな方で、業務上公衆網に常時接続しつつ拾って来たファイルや解析結果ををほぼノーチェックで広域LANに転送するバグとか色々あるんでしょうね。
--暮らしの中に修行あり。
blogはじめました。 [hatena.ne.jp]
コメントを書く
外部に繋いでないなら (スコア:1)
まさかUSBメモリで内部のサーバに手作業で注入?
コメントを書く
Re:外部に繋いでないなら (スコア:3, 参考になる)
特定の業務専用のPCとネットワークならば、
ウィルス対策ソフトをインストールしないというのも1つの選択肢です。
その代わり、外部からファイルが持ち込まれないように対策をしますし、
ネットワークの事業所や部署などの境界にファイアウォールを設置して、
業務専用のカスタムなプロトコル以外をすべて遮断し、
ワーム等が持ち込まれても感染が一部に留まるようにします。
コメントを書く
親コメント
Re:外部に繋いでないなら (スコア:3, 参考になる)
> Windows Updateによって不正なファイルが入り込むこともありますし、仕様変更によって正常に稼働していたシステムが期待に反する動作をすることもありますから。
上記のとおり「期待に反する動作」が無いと保証できない限り、パッチやパターンファイルを導入することは許されませんよね。銀行とか。
もしくは、誤検出などのリスクを理解していただくか。
もちろんネットワークが隔離されていることが前提ですが。
コメントを書く
親コメント
読売かー (スコア:1)
24日の朝刊にちょうどこんなニュース「USBメモリー経由のウイルス感染、大学で猛威振るう」 [yomiuri.co.jp]が掲載されてましたが。
警察でも猛威をふるったか。
コメントを書く
す、すみません (スコア:1)
Copyright (c) 2001-2010 Parsley, All rights reserved.
コメントを書く
分かってはいるが (スコア:1)
建前上は越権行為なんだがねw > 警視庁
コメントを書く
Re:分かってはいるが (スコア:5, 参考になる)
行政庁の権限の一部を他の行政機関に代理させているだけなので、越権行為というわけではないと思いますが。(たとえば戸籍業務は本来法務省の管轄ですが、地方自治体に代理させている扱いのはずです。)
HIRATA Yasuyuki
コメントを書く
親コメント
Re:予備システムは無い? (スコア:1)
市民向けの窓口にパソコンを2台配備するということですか?
あまりにも無駄かと思います。
手作業で業務が続行できるだけで充分です。
コメントを書く
親コメント