--> 01/23追記・編集
piyokangoさんのまとめ(↓)・ログ消去もされていた三菱電機の不正アクセスについてまとめてみた (01/20~)
https://piyolog.hatenadiary.jp/entry/2020/01/20/172436①セキュリティ製品のupdateを行っていれば、どの程度拡大を防げたか?
これだけの規模なら、複数の脆弱性を個々のkill chain突破で段階的に悪用と推察。
それぞれ、どのような内容だったか?
②三菱関連会社が販売するセキュリティ製品だとどうだったか?
③PCの不審な動作で気づいた、とはどんな動作か?
・ラック、企業を狙う標的型攻撃について注意喚起、 無償の痕跡調査ツール「FalconNest」の利用を推奨 (01/22)
『 攻撃対象になりうるドメインコントローラーやサーバーを対象に、 FalconNestによる調査を定期的に実施することで、 標的型攻撃の痕跡を初期段階で発見できる可能性が高まる...
なお、FalconNestの利用にあたっては、 ユーザー登録が必要になる。 』
--> 01/22
・三菱電機へのサイバー攻撃にみる、正確な報道の困難さ (01/21)
https://news.yahoo.co.jp/byline/yamamotoichiro/20200121-00159790/本報道検証が分かりやすい。
『その大手メーカーを単独で狙うようなハッキングに対しては無力であり、万全とはとても言えない』と言って経営が納得するか?不正アクセスの原因となった製品名は「ノーコメント」とする日経BP、
『「社内調査に時間がかかった」というより「流出してしまった情報が何であるかすら把握できないぐらい、気づくのが遅れた」ことを意味するならば、この問題を報じる側も相当なリテラシーの高さでないと正確な報道はむつかしいのでは』
他には「トレンドマイクロ」としている記事も見られます。
・【まとめ】トレンドマイクロ・三菱電機 不正アクセス年表(URL付き) (01/15)
http://blog.livedoor.jp/blackwingcat/archives/1993184.htmlトレンドマイクロが複数回侵入され、脆弱性修正は後手になり、
(それが決定的かハッキリしないが)三菱電機事件が起きた経過のまとめ
・CVE-2019-18187 Detail (2019/10/28-31)
https://nvd.nist.gov/vuln/detail/CVE-2019-18187『トレンドマイクロのOfficeScanバージョン11.0およびXG(12.0)は、ディレクトリトラバーサルの脆弱性を利用して、任意のzipファイルからウイルスバスターCorp.サーバー上の特定のフォルダにファイルを抽出する攻撃者によって悪用される可能性があり、リモートコード実行(RCE)につながる可能性があります。 リモートプロセスの実行はWebサービスアカウントにバインドされており、使用するWebプラットフォームによっては、許可が制限されている場合があります。 攻撃を試みるには、ユーザー認証が必要です。HIGH以上のものは原則対応、というのがベストプラクティス。
... Base Score: 7.5 HIGH 』(機械翻訳)
万一対応できない場合、リスク分析・判断~決裁~次善策 等、どの程度やってたのか?
・ウイルスバスターに脆弱性情報、悪用攻撃が発生 (2019/10/28)
https://japan.zdnet.com/article/35144536/『管理サーバーにアクセスできるクライアント端末を操作できることも条件 ...
攻撃者が外部から遠隔で直接的に該当製品のサーバーにあるファイルを変更できるものではない』
でも、ここまでの侵害が起きた。社内のシステム管理PCが先に侵害され、さらにそこに至るための他の侵害もあった、と考えるのが自然だろう。それぞれ公表されれば、大いに参考になると思うのだが。。。
--> 02/13 追記
・不正アクセスによる個人情報と企業機密の流出可能性について( 第3報)(02/12)
・複数の Trend Micro 製品におけるパストラバーサルの脆弱性 (2019/09/11)
CVSS v3, v2から抜粋、、
『
攻撃条件の複雑さ: 低
攻撃前の認証要否: 不要
攻撃に必要な特権レベル: 不要
利用者の関与: 不要
』
No comments:
Post a Comment