Hatena::ブログ(Diary)

Tetsu=TaLowの雑記 このページをアンテナに追加 RSSフィード Twitter

Tetsu=TaLowのblogというより単なる日記です。最近Twilog化したので本体ははてブロに引っ越しました

2008-04-09

[] がんばれ民喜ちゃん  がんばれ民喜ちゃんを含むブックマーク  がんばれ民喜ちゃんのブックマークコメント

今週からサンデーでまた若木民喜が新連載。がんばれー。

・・・・しかし早速貧乏ネットネタにされてるのなぁ。前に会ったときに、作品やってる時はあんまりネットに近寄らん方が精神衛生にいいんでないかいと言ったんだけど、今回はネット同時進行でやるつもりみたいねぇ。まぁ彼自身リスクは重々承知でやってるんだろうけど、とにかく負けずにがんばれ。批判には耳をふさいで良いことだけ聞いてほしい。批評は誰だってできるけど、モノを創ることができるのはそれだけですごいことなんだから。

・・・ということで先々週から久々にサンデー毎週買い始めてます(先々週はラムさんのクリアファイルのためだけに!)。

[] 標的型攻撃?  標的型攻撃?を含むブックマーク  標的型攻撃?のブックマークコメント

もう一昨日の話ですが。私も含む、大学内のあるML(アドレスは公開されていないのでどこから漏れたのやら・・・)に飛び込んできた、間違いメールを装ったExcelつきメールがありまして。怪しいと思ってヘッダ見たら某国が発信地、こりゃやばい。みたらこいつがまたSymantecにもTrendmicroにもAvastにも反応しないけどVirusTotalに放り込んだらKasperskyとかMcAfeeとかが反応してくれました(それでも6/32)。どうやらMS08-014使ってバックドア仕掛ける模様で。

いままじめに解析している暇がないのでとりあえずやばいことが判明した時点でとりあえず検体提供したんですが、やだなぁ。感染力ななさそうなマルウェアピンポイントで送り込んで来てるので、標的型攻撃なんですかね。それにしてはもう少し「怪しく」ないような工夫ができたと思うので、やや杜撰だとは思うけど。

やまきたやまきた 2008/04/10 19:22 ほいな。サンデー読んでて、「おお、また連載もらえたのね」と口に出してしまい、周囲の人に「何だ?」という顔で見られました。

keijikeiji 2008/04/11 00:53 標的型攻撃っていうより昔からある単なるマッシブなトロイの木馬攻撃ですよね。
KasperskyとかMcAfeeの反応ってどんなでした?

tetsutalowtetsutalow 2008/04/11 09:59 アドレスがちょっとね・・・どこから漏れたのかだいぶ気になるのですよ。

keijikeiji 2008/04/11 11:51 受信者のうちの誰かがアドレス収集型のボットに感染しているのでは?
標的型であればKasperskyやMcAfeeが反応しないですよね。

あるアドレスが秘密だからという前提は今の時代では厳しいかと。

tetsutalowtetsutalow 2008/04/11 13:32 もちろん、botの可能性も含めてどこから漏れたのかというのが今回大変重要なんです。武田先生はご存じかと思いますが、本学は企業よりはやられやすいと思いますが普通の大学よりは、流出経路が限られるはずなので。(毎日botを血眼になって探しているT准教授もいますし)
今回の攻撃は真剣に何かを狙った標的型とまでは思いませんが、単にbotがMassiveに攻撃してきているのではなく、少なくとも明確に本学を狙って、送ってきている感じです(本文部分が、もう一ひねりくらいあったら本気でひっかかる人がいるかも。かつ、日本人が作っている)。
ところで某所から調査がてら情報をいただいたのですが、件のファイル、どうやら
http://www.mcafee.com/japan/security/virH.asp?v=HTool-Exp-MS08-014
このツールを使ってる可能性がありそうです。

keijikeiji 2008/04/11 18:16 なるほど了解です。なかなか興味深そうなケースですね。
いつかまた結末を教えてくださいね。

tetsutalowtetsutalow 2008/04/12 07:06 メールアドレスの流出経路の可能性の1つが見つかりました・・・・Google cache内に発見されちゃいました(-.-;

tetsutalowtetsutalow 2008/04/12 09:38 あと、標的型というたのは、ツール使ってるにせよ従来の他のマルウェアと組み合わせてるにせよ、新規に作って送り込んでいるのではと感じたからです。スクラッチから書いたマルウェアだけを標的型と呼ぶならそれは違いますが。

keijikeiji 2008/04/12 10:59 アップデートありがとうございます。
ちなみになぜGoogle cacheで発見されたのでしょう?
過去にWebにアップされたことがあったからでしょうか?

本文が日本語できちんと書かれていて他にも同様のものが送信されているなら広く注意喚起した方がよいかもしれませんね。

マルウェア作成ツールを使ってでも新規に作った特定対象向けのトロイを使って行う攻撃は標的型と言えるでしょうね。

すでに広く出回っているトロイを改変することなく送りこむような場合は標的型とは言い難いような気がしますが。

世の中で「スピア型」とか言っている人は、マッシブなトロイ攻撃のことを言っている場合も少なくないような気がしてきました。


P.S. 毎回「画像の文字列と入力された文字列が違います。」と言われるのはなぜだろう・・・