パスワードを忘れた? アカウント作成
103536 story
セキュリティ

NTTコミュニケーションズのIP-VPNネットワーク経由によるワーム感染、被害が広がる 86

ストーリー by hylom
プライベートじゃなかった 部門より

Anonymous Toward 曰く、

日経コミュニケーションの記事より。NTTコミュニケーションズの「Arcstar IP-VPN」という企業向けIP-VPNサービスで、今年4月、サービスに加入した複数の企業のIP-VPNネットワークに、ワーム型ウイルス「WORM_NEERIS.A」の感染が広がった。その感染経路は、なんとNTTコミュニケーションズ内のLANを経由したものだったそうだ。

サービスを利用する各企業のIP-VPNは、当然ながら本来は独立した閉域ネットワークであるはずだが、「ルーター監視オプション・サービス」を利用した場合は、NTTコミュニケーション内に設置された監視用端末が加入各社のIP-VPNに接続され、その監視用端末がNTTコミュニケーション内でLANで接続されているのだという。しかも、そこにはファイアウォールはなく、監視用端末と各加入企業のIP-VPNネットワークは「すべてのパケットがやり取りできる状態になっていた」とのことだ。

加えて、NTTコミュニケーションズの監視用端末はWindows Updateの適用を怠った状態で、MS08-067の脆弱性パッチを適用していなかったという。MS08-067については、悪用ワームが世界中に広がっているとして、「日本でも感染報告:Windowsの脆弱性を悪用するワームが猛威」(2008年11月)、「 MS08-067の悪用ワーム、世界で350万台強に感染」(2009年1月)といったニュースが出ていたところだった。

記事によると、加入企業の担当者からは「NTTコムの過失なのに,メール一本の指示だけでユーザーにウイルス・チェックさせるのはおかしい」という不満も噴出しているとのこと。一方、NTTコミュニケーションズの広報部は、ウイルスの侵入元について「ユーザー企業のIP-VPNから感染した可能性が最も高い」とコメントしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2009年06月03日 21時34分 (#1579544)

    これさ、IP-VPNサービスだろ。仮想的にでもネットワークが”独立”してないといけないのにさ。
    監視側からのパケットのポリシーがノンポリシーだったというのは驚愕に値する。
    仮にでも、他所様のネットワーク、さらに言えば相手からお金を貰っているネットワークに繋ぐ監視ネットワークは、監視するための必要最低限のパケットのみ通過させるポリシーであるべき。にも関わらずだよ。

    >WORM_NEERIS.A - 概 要
    > * 共有フォルダ内に自身のコピーを作成して侵入←たぶんこれ
    > * リムーバブルドライブを介して侵入
    > * "MSN Messenger" を介して侵入
    > * 他の不正プログラムを介して侵入

    Windowsのファイル共有のポート(Port 137-139,445)がなんで客先向けのネットワーク監視に双方向透過する必要あるんだよ。こんな危険なポートを双方向に空けたまま監視やるなんて、本当の馬鹿でしかない。仮に監視側が感染しても、他に迷惑掛けないようなフィルタくらい書けよ。フェイルセーフとか多段防御とかそういう発想ないのかね。高い専用FW要らないぞ。ルータに数行設定書けば終わりだろうと。こんなのやる前に一瞬で思いつく話だと思うのだがなぁ。
    この監視ネットワークを作った奴はIDとPasswordをroot/rootと設定するような奴に違いないw。

  • by mondy (27787) on 2009年06月04日 0時36分 (#1579664)

    技術的におバカという意見があるが、こういう事は組織体制のせいで起こる事もある。
    寧ろ今回はそっちだと思われ。

    監視装置構築がシステム部
    実運用が運用部
    ネットワークサービスがネットワーク部
    お客との直接契約が営業部

    こんな感じだと内部ネットワークにファイアーウォールを設置する費用はどこが持つのか
    それらのポリシー維持計画は誰が担保するのか
    外ネットワークに繋がっていない監視サーバのアップデートは何処がやるのか
    各顧客に対して、これらの費用分割をどうするのか
    もともとのサービスが古いと初期の設計にファイアーウォールがない
    全体を見渡したリプレース、セキュリティ計画が建てられない
    (サービス停止が入るので何処もやりたがらない)

    特に事業部制だったりすると、独立採算なのでどこも金や労力を出したがらない。
    社内政治で、めでたく技術的な空隙が誕生する。

    元ネタのITproでも、NTTcomの対策が当たり前の事を当たり前に運用し始めたって書いてるし、恐らく・・・
    > 今回の事故の収束後,NTTコムは監視端末への最新パッチを定期的に適用し,
    > ウイルス対策ソフトのパターン・ファイルを常時最新にする運用に変えた。
    > また,ユーザー網との間では,監視に必要なパケット以外は排除する設定にしている。

    • by Anonymous Coward on 2009年06月04日 11時13分 (#1579849)
      会社としては大きいけれども、この事業を担当しているところはそんな大それた規模じゃないですよっと。
      単純にネットワーク的なつながりを認識していなかっただけのこと。

      もっとも、サービスを設計したのが社員で、運用監視してたのは外部の会社です。
      運用監視している側からしたら「指差して笑うしかない構成」でも、そのままやるしかないのです。

      関係者なのでAC
      親コメント
  • もうやめます (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2009年06月03日 19時40分 (#1579436)

    N ノウハウの
    T 蓄積が
    T 達成したので(キリッ

    • Re:もうやめます (スコア:2, おもしろおかしい)

      by teracy (38036) on 2009年06月03日 19時48分 (#1579445)

      Internal
      Provide
      -
      Virus
      Pandemic
      Network

      // internalなのにpandemicなのはおかしいか…

      親コメント
    • Re:もうやめます (スコア:2, 参考になる)

      by Anonymous Coward on 2009年06月04日 1時40分 (#1579688)

      そういえば、
      「5月30日を過ぎてもサイトが残る(閲覧できる)と観たが、予想が甘かった。

      5月31日の0時キッカリに完全に切れた。
      連続アクセスを仕掛けていたら、0時を迎えて突然にアクセスの様子に変化!!
      やるじゃない! NTTデータ!!」
      http://d.hatena.ne.jp/mihn/20090601/1243818561 [hatena.ne.jp]

      さすがは天下のNTTデータですね。
      倍速開発 [cnet.com]を謳っているだけのことはあって、逃げ足の早さは天下一品。

      親コメント
  • VPN (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2009年06月03日 20時21分 (#1579474)
    Anonymous Coward曰く、「VPN=Virtual Public Networkの略でした」
  • by jsi (25633) on 2009年06月03日 21時14分 (#1579526)
    閉じたネットワークだろうがなんだろうが、ネットワークに
    つながっている限りワーム型ウイルスに感染する危険性があ
    ります。

    むしろOfficeなどの入った普段使いのマシンよりも下記の
    ような条件を満たす、今回のようなマシン(環境)が一番危険です。

    例えば、受付窓口のシステムなどがこれにあたります。

        ・インターネットからは完全に遮断されている
        ・セキュリティ更新プログラムを適用していない
        ・ウイルス対策ソフトが入っていない
        ・一般ユーザのマシンが接続されることがない

    このような環境では対策を怠りがち(というか設計上考慮されない)
    ですが、一度感染が始まるとものすごい勢いで感染が拡大し、
    数百台・数千台・数万台規模で感染が進みます。

    Confickerのように破壊力のないウイルスなら駆除すればいいので
    おおごとになりませんが、Confickerの感染力を持った破壊力のある
    ウイルス、具体的には「特定の日時がくると前データを消去してマシン
    を使えなくする」ようなウイルスが流行した場合、ある日一斉に受付
    窓口のパソコンが使えなくなり、かつてないほどの混乱が発生すると
    考えられます。

    ですから、閉じたマシンでも、セキュリティ更新プログラムの適用と、
    ウイルス対策ソフトの導入は必ず行うべきです。
    • by Anonymous Coward
      つーか、そういう用途にWindowsを使うのが間違ってる
      • by Anonymous Coward on 2009年06月03日 22時08分 (#1579572)

        つーか、そういう用途にWindowsを使うのが間違ってる

        つーか、そういう用途にWindowsを使うという提案をするベンダーも間違ってる。といえないか?

        親コメント
      • by Anonymous Coward
        そういう用途で、オペレータ向けGUIアプリを低コストで作れる環境って、Windowsの他に存在するか?
        • 窓口業務ならGUIでなくても良いはず。
          実際、昔は3270でやってたんだし。

          本当にセキュアな環境を構築したかったら、ダム端末で作る方が楽だと思う。
          --
          notice : I ignore an anonymous contribution.
          親コメント
        • by Anonymous Coward
          Mac OS X でごく普通に(しかも奇麗に)作れますが?

          あるいは、Java でもごく普通に簡単に作れますが?
  • by Elbereth (17793) on 2009年06月03日 19時27分 (#1579426)

    これは多分、NTTコミュニケーションズがやってるITパワーMAGAZINE [ntt.com]の
    記事のネタのために、自ら体を張ったネタをやったんだよ!

    無茶しやがって……!

  • by Anonymous Coward on 2009年06月03日 21時30分 (#1579538)

    NTTコムのイーサネットVPNサービス [ntt.com]でも同じような
    構成、つまりどこかで他社VPNと接続されている可能性はありますな。
    こっちも、コムの監視設備から加入者のL3SW/ルータまで
    ping監視 [ntt.com]してくれるサービスがついてるけど、各加入者のVPN毎に監視設備が
    独立して存在しているわけではないと思うので。こっちは大丈夫なんだろうか。

    アウトバンド監視機能やOAMが充実してる専用線/ATMの時代は
    そんなことする必要なかったんだけどねぇ

  • >ウイルスの侵入元について「ユーザー企業のIP-VPNから感染した可能性が最も高い」
    ずいぶんな監視だなぁ...。

    • by Anonymous Coward

      元記事みたらユーザー企業からの報告で発覚したようですし監視なんてしてないんじゃないんでしょうか。

    • by Anonymous Coward

      大本営発表「水際で侵入を防ぐよう、万全の対策を採っています。」
      → 兵庫県で感染確認されました。
      → 他のアチコチの地域でも感染確認されました。
      → マスクが飛ぶように売れた。

      みたいなもんじゃね?

  • また発生か! (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2009年06月03日 19時05分 (#1579400)
    と思ってしまった。旬を過ぎたネタを掲載してビックリさせないで欲しい。 記事を引用しているなら、発生日位書きましょうよ。
    • by Anonymous Coward on 2009年06月03日 20時08分 (#1579462)

      焦るぐらいなら、IP-VPN網とはいえFW設置しましょうよ。
      ネットワークの境界なのに、FWが無いことに驚きだよ。

      親コメント
      • FW至上主義? (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2009年06月04日 8時41分 (#1579756)

        なんで、FWで防げると思うのかなぁ。
        ウィルスのパケットが届く限り、FWではなにも防げないぞ。

        そもそも、監視端末のパケットがユーザー企業のネットワーク内に侵入できるほうが変だぞ。
        きちんと監視しているのなら、NTT側が、監視対象まで(境界ルーター)のルーティングのみに限定しておくべき。

        親コメント
        • by tks256 (30608) on 2009年06月04日 16時36分 (#1580256)

          死活と言ってもPingとSNMPが通れば十分でしょうから、
          それ以外を遮断するFWがおいてあれば、感染は防げたのではないでしょうか。

          FWも感染したら意味ないですけど。

          親コメント
      • by Anonymous Coward
        焦ったとも管理者であるとも読み取れなかったのだが…
        焦ったにしても、株主、メディア関係者、いろいろあるだろうし。
    • by Anonymous Coward
      #タレコミ子じゃないですが・・・・・

      元記事は6月1日のものですよ。
      速報サイトじゃないんだし、数日のラグぐらいいいんじゃない?
      せっかく元記事を読んだなら、せめて文末まで読みましょうよ。
    • by Anonymous Coward

      記事を引用しているなら、発生日位書きましょうよ。

      上記を書かれた時には

      NTTコミュニケーションズの「Arcstar IP-VPN」という企業向けIP-VPNサービスで、今年4月、サービスに加入した複数の企業のIP-VPNネットワークに、ワーム型ウイルス「WORM_NEERIS.A」の感染が広がった。

      という記載ではなかったということでしょうか? それとも4月の何日かを書けという意味ですか?

  • これはありえますねぇ。データセンターなどでもホスティングを請け負っている会社の運用する監視サーバのIPへの疎通をとりあえず特別扱いで許可したりという経験はなきにしもあらずです。その先がどうなっているか分からなくても信用するということで。

    監視サーバは止まってはいけないので管理の手間を考えると増やせない。しかし、何かあったときは必ず想定した動作をしなきゃならないという環境を簡単に作れるなら苦労しませんね。

  • いちいち暗号を解いたりとかしなくても、全部すっぴんで盗聴できたからなんだね?!

    # 真の問題はウィルスが撒き散らされた事じゃないと思うぞ。
    # 確かに他に確認方法はあまり思いつかないが…

    --
    fjの教祖様
  • by Anonymous Coward on 2009年06月03日 18時35分 (#1579371)

    今でも監視用マシンはユーザーのVPNにアクセスできるわけで、
    スーパーハッカー(w ががんばれば、
    自分のIP-VPNから監視用ネットワークを通じて他の人のIP-VPN内に入れるってことでいいの?

    # 監視サービスが無い方がセキュアな気がするんだけど

    • by Anonymous Coward

      まあ、所詮はVirtual Private Networkなので。それが微塵でも嫌という話ならば本物の専用線を使ってくださいよ、という話です。
      可能性だけで話せば、IP-VPN収容装置のインターフェイスにバグがあれば、別に監視網経由しなくても直接他のIP-VPNへ接続可能ですね。
      実際には恐ろしい設定ミスをやらかさない限りにおいては、なかなかそういうことはおきないと思います。

      • by tks256 (30608) on 2009年06月04日 9時34分 (#1579774)

        いわゆる「専用線」だって、TDMなら共用サービスなのですけどね。
        ダークファイバだって、中継スイッチ噛ます場合は共用ですし。

        問題の本質は、事業者も顧客も、「監視サービスを置くことによって増加する脆弱性」を
        正しく認識していなかったことではないかと思うのですよ。

        親コメント
        • by Anonymous Coward on 2009年06月04日 10時30分 (#1579809)

          >いわゆる「専用線」だって、TDMなら共用サービスなのですけどね。
          >ダークファイバだって、中継スイッチ噛ます場合は共用ですし。

          純粋なL1の専用線なら、L2以上のパラメータが違うので繋がらないし、point to multipointの接続は出来ない。また、原理的にどんな脆弱性を突いた攻撃を加えても顧客側回線からタイムスロットの任意の変更はできない。
          また、中継スイッチを噛ますようなサービスはダークファイバとは呼ばない。

          >問題の本質は、事業者も顧客も、「監視サービスを置くことによって増加する脆弱性」を
          >正しく認識していなかったことではないかと思うのですよ。

          IP-VPNサービスも「他ユーザーとの共用設備が増えることによって増加する脆弱性」を認識しないといけないわけだが。そんな事は構築している事業者側が絶対に無いと言い切っているわけだ。
          少なくとも顧客側はIP-VPNサービス、および事業者の信頼性を信じて監視サービスを契約したわけで、NTTComの手落ちは業界全体に対する信用失墜行為に等しいと思う。

          親コメント
          • by tks256 (30608) on 2009年06月04日 12時28分 (#1579948)

            なんでオフトピされてるかわかんないけど
            自分の認識が間違ってるんですかね。

            今回の問題点は
            「仮想閉域ネットワークの方式」
            に依るものではなくて、
            「閉域であるはずのネットワークに(提供事業者とはいえ)外部の機器を接続している」
            と言うことが問題じゃないの?
            監視サービス契約していないユーザにも影響があったってこと??

            親コメント
      • by Anonymous Coward on 2009年06月04日 6時02分 (#1579719)
        今回の問題はVPNの問題ではなく、監視サービスの問題です。
        ゆえに、専用線を使っていたとしても、同様の監視サービスを使っていれば、同様の結果になったでしょう。

        情報漏洩やネットワーク侵入を警戒する会社は、監視サービスのようなトロイの木馬に化けるかもしれないものを引き入れるべきではない、と。
        親コメント
  • by Anonymous Coward on 2009年06月03日 22時02分 (#1579565)

    今年、NTT.comがやらかしたこと。

    IP-VPNをサービス提供する機械のOSを変えて、RSTパケットを廃棄するように変更。
    そして変更されたことに気がつかずサービス提供。

  • by Anonymous Coward on 2009年06月03日 23時02分 (#1579602)
    windowsに寄生するワームなんでしょ。
    なんでwindowsをつかうの?
    我が社ではwindows禁止になっちゃいました。
    (私が禁止にしました。)
    • Re: そもそも論 (スコア:1, 参考になる)

      by Anonymous Coward on 2009年06月03日 23時38分 (#1579625)

      セキュリティ意識が無い、または低いシス管の元では、どんなOSを使っても一緒だよ。
      現状、利用者にとってもっとも利便性の高いOSを、管理者の一存で使わせないのはバカのする事。

      無茶なパスワード規則や利用制限で利用者を縛り、反乱を起こされた管理者の話や、複雑すぎるが故にめくら印等の形骸化した監査手続き、勝手に作られた治外法権な部門内システム等、暴走した管理者への反発はよくある事です。

      親コメント
    • by Anonymous Coward on 2009年06月04日 10時49分 (#1579825)

      私も某企業で部門レベルでのシス管してます。
      システム管理部からの勅令が下ると現場対応するような立場です。

      結構お馬鹿な指示もきましたが、部長を通して臨機応変に対応してます。
      Win2kの使用禁止の命がきたら、実験機やテスト環境で必要なので特例措置作ったりね。

      システム管理部(ないしはそれに該当する部門)の方々は堤防を高くすることばかりで、現場でのユーザビリティを考えてくれてないんだなぁといつも思います。
      原因調査と対策はセキュリティにおいてだけでなく必要なことですが、そこに誰がどのようなメリット/デメリットを負うことになるかを忘れた管理者が多い気がします。

      システム管理って、セキュリティとユーザビリティを天秤にかけてリスクヘッジを考えながら最善の手を打つor提案する仕事だと思いますが・・・
      その答えがWindowsの禁止ならば、#1579765さんが言うとおりどのOS使おうが何しようがネットワークという脅威に晒されている以上リスクは減らないでしょうね。

      NTTコムの管理PCについては論外というしかないでしょう。
      つーか、社内政治がどうとかどうでもいいよ。
      役員クラスでさっさとケリつけて、業務としてどっかの部門に落とせばいいだけの話。
      下がもめるなら上を担ぎ出さなきゃね。

      親コメント
    • Re: そもそも論 (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2009年06月04日 12時57分 (#1579993)

      馬鹿な。
      こんな管理をする団体の管理システムにLinuxなんぞ入れたら、それこそやりたい放題にやられるじゃないか。
      そういう奴等は何を使ってもトラブるもんだから、Windowsみたいに自由度が低い構成の方が、被害を限定的に抑えられるって可能性も高いのだよ。

      親コメント
typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...