UnderForge of Lack

この件に関しては何も言わないの？　といわれましても・・・

管理職悪用、「想定外」でお手上げ　三菱ＵＦＪ証券の顧客情報持ち出し

社員による顧客情報の持ち出しが後を絶たない。売却による金銭取得、再就職を有利にするための材料…。理由はさまざまだが、ここ数年では管理職が関与するケースが目立ち始めているという。今回発覚した三菱ＵＦＪ証券でも元幹部による持ち出しとされたが、専門家からは「信用度の高い管理職への監視は意外な盲点になっている」との指摘もあり、権限が集中する“幹部対策”も課題として浮上している。

ただ、企業側としては、責任と権限が与えられている管理職への監視を強化することは「疑心暗鬼を生むことにもなり、士気に影響しかねない」（証券会社幹部）と二の足を踏む傾向もあり、情報管理の強化に向けた対策は容易ではなさそうだ。

こーいうのを考え出すと、疑心暗鬼というか社内秩序そのものが崩壊しかねないと思うんですけどねぇ
戦時中の隣組制度みたいなものを導入したいのかしらん？


性善説のセキュリティ管理に限界――三菱UFJ証券の顧客情報流出

今回のケースでは情報流出が顧客からの指摘で発覚した。中島氏は、「本来あってはならないこと。少なくともシステムのログなどを定期的にチェックしていれば早期に見つかり、被害を最小にできたはずだ」とも指摘している。なお、技術的なセキュリティ対策の内容について、三菱UFJ証券は「コメントできない」と話した。

シス管業務にチョットでも関わった人なら、「ウソだっ！」って叫んでしまいそうな話をしてるなぁ。ログを見る立場の人がやってるんだから、話にならないとおもうんだけど？
まさか、システムログのチェックを第三者機関に任せたり・・できないでしょ？（苦笑）

本気で管理しているとこは、アクセスしたデータベースの名前・アクセス時間などがメールになって管理者に同報発信されるらしいですけど、（恐らく）spamと同じで「時間の経過と共に開封もしなくなる」って話はよく聞きますね（笑）


性善説起源とかそんな話じゃなくて、社内間で人間関係が冷え切っている証拠なんでしょうね。不妊治療の取り違え問題なんかでもありましたが、個人情報閲覧は必ず複数の人間が目視チェックするような体制のほうが楽でいいかもしれませんね（雇用促進も含めて・笑）

私見：
そもそも、個人情報を取引する（買う）側に厳しい罰則を科した方が楽なんじゃないの？
売れなきゃ持ち出さないでしょ（笑）
あ・・P2Pネットワークへの（能動的）放流とかは厳罰の方向で

どこまで続くの Confickerって感じなのですが

Kaspersky Lab、Kido (Conficker) の新たな亜種を解析

この Kido は、自分自身の更新をダウンロードする以外に、新たに 2 つのファイルを感染コンピュータにダウンロードします。そのうち 1 つは偽のアンチウイルスアプリケーション (検知名：FraudTool.Win32.SpywareProtect2009.s) であり、ウクライナに置かれたサイトから配布されています。このファイルは、実行されると、「検知されたウイルス」に対して $49.95 で削除を請け負う、という内容のメッセージを表示します。

この偽スパイウェアソフト
Spyware Protect 2009
の画面写真は、TrendMicroの記事に出ていますね。
DOWNAD/Conficker Watch: New Variant in The Mix?


------------
Kaspersky Lab の国際調査研究分析チームを率いるアレックス・ゴスチェフは、次のように現状を説明しています。「Iksmas は、12 時間にわたって世界各国にある自身の指令センターへ何度も接続し、スパムメールを送信する指令を受け取っていました。12 時間の間に、1 つのボットだけで 42,298 ものスパムメールを送信しています。実質的に、それぞれのメールにはそれぞれ一意のドメインが含まれていました。これが、アンチスパムによるフィルタリングを避けるためであるのは明らかです。アンチスパムは、特定ドメインの使用頻度を分析することでメールの大量配信を検知するからです。全体として、 40,542 件の第 3 レベルドメインと 33 件の第 2 レベルドメインの使用が確認されました。これらサイトは、ほぼすべてが中国におかれており、さまざまな人物の名前で登録されていますが、ほとんどは架空の名前です。」

Conficker感染マシンがスパムを大量送信
Conficker.Cは4月8日から9日にかけて活動を開始し、Confickerの新たな亜種とともに、各国でスパムメールを撒き散らしているボット型マルウェアのWaledacを呼び込んでいた。

Kasperskyが感染マシンの観察を続けたところ、Waledacはコントロールセンターに繰り返し接続してコマンドを受け取り、スパムの送信を始めた。今のところ、内容はすべて医薬品を宣伝するもので、ボット1台だけで過去12時間に4万2298通のスパムを送信したという。

なんかちょっとニュアンスが違う気もしないでもないわけですが・・・
Conficker = Waledac 説はまだ確定したわけではありませんので、念のため。

それにしても、たった１個の感染ノードから送られるメールが 80,000/day ってのは恐ろしい数ですね

「単純計算すると、1 つの Iksmas ボットが 24 時間以内に送信するメールの数は 80,000 ほどです。仮に 500 万台のコンピュータが感染しているとすると、そのボットネットから送信されるスパムメールの数は、24 時間で 40 億にも上ります。」

やめてくれ（苦笑）

------------

Report: Conficker worm bites University of Utah
More than 700 computers at the University of Utah have been infected with the Conficker worm.

The hit includes computers at the university's three hospitals, the Associated Press reported early Sunday.

大学でこんな具合だと、企業内にはまだまだ潜んでいそうですネ

------------
Kasperskyも kido とか変な名前つけないで、Confickerに統一してくださいよ（苦笑）
Symantec, TrendMicro もね！

Worm:Win32/Conficker.gen!A
各社まちまちな名称・・・

緊急

ちょっと時間が無いので解析はテキトーですが、緊急報です

危険：
1行削除

------------------------------
解析
Analysis report for hxxp://www.wendytour.com/

Exploits:
The Microsoft Office Snapshot Viewer ActiveX control allows remote attackers to download arbitrary files to a client machine
CVE-2008-2463
MS08-041 : Access の重要な更新
(公開日: 2008年8月13日 | 最終更新日: 2008年8月13日)


FROM hxxp://91.212.41.241/in.php
TO hxxp://online2163.com/def1/index.php
※online2163.com の診断ページ

------------------------------
サンドボックス
Analysis Report for 3d8e88f8f2f99d993832c11859ba77c0-dde80ba60f7c1cc444fd7c9c86df81c3

サマリー
レジストリ
HKLM\​software\​microsoft\​windows nt\​currentversion\​winlogon
Set C:\​WINDOWS\​system32\​userinit.exe,C:\​WINDOWS\​system32\​sdra64.exe,

ペイロード・ドロップ
C:\WINDOWS\system32\sdra64.exe
※TSPY_ZBOT.ARJかも？ MD5照合まではやってません。

ファイル修正・改竄
PIPE\lsarpc

LSARpcは昔むかしあった SASSER WORMが使っていたユーザ認証をすっ飛ばすExploitの時に出てきた脆弱性の元凶でしたが、今回も何かあるのでしょうか？
参考：Microsoft LSASS Sasser ワームの拡散 2004.05
参考：IPSを実装する場所と考慮すべき点

-----
不正プロセス
winlogin.exe （あーあ）

作成
C:\WINDOWS\system32\lowsec
C:\WINDOWS\system32\lowsec\local.ds
C:\WINDOWS\system32\lowsec\user.ds
pipe\_AVIRA_2109

不正プロセス（子プロセス）
svchost
C:\WINDOWS\system32\svchost.exe

レジストリ書き換え
HKU\​S-1-5-18\​Software\​Microsoft\​Windows\​CurrentVersion\​Explorer\​Shell Folders
３エントリ

ファイル書き込み・改竄
PIPE\lsarpc
WMIDataDevice

------------------------------
ダウンロードファイル sample.exe の状況
sample.exe -- MD5:4ace9cb340f8adbc6a79e23c6f298c9d
ちょ・・・（泣）

管理者さまへ　封鎖IP:

IP: 91.212.41.241
CIDR: 91.212.41.0/24 (91.212.41.0 - 91.212.41.255)
LLC Gaztransitstroyinfo -- Russian Federation

Domain: online2163.com
IP: 91.212.41.210 : 同じCIDR範囲内


------------------------------
Exploitsとしてはモノスゴク古いものですが、古いだけに
Windowsは最新
Officeは古いまま
という状況の人が結構いるのかもしれません。
（そういう状況の対処の為に、Microsoft Updateができたわけですけどね）

中身はまだ完全にはわかりませんが、動きからみて TSPY_ZBOT.ARJ か、その亜種と見られます。こいつは典型的なキーロガーで、アクセスURLと単語を検出し、金融系のデータ入力を検知すると ID/Passを抜き取ってどっかに送信するタイプのものです（性格わる・・・）
検出テーブルは変更されている可能性が高いですので、なんともいえませんが・・・


ちなみに、感染してるとこですが、
あちこちのページにすべて IFRAME が挿入されています。
Blogにまで入れられているので相当根が深そうです。
※Blogの更新のときに気がついてないというのもアレですが・・・

早く気がついてくれないかな？（苦笑）
メール撃ったけど、spam扱いにされただろうなぁ（嘆息）

Twitterにワーム感染の疑いがあるとかで・・・？

Twitter worm outbreak over Easter
A cross-site scripting worm was spreading in Twitter profiles for several hours last night.

People started reporting that their profile had sent Twitter messages without their knowledge. Messages looked like this:



spam spam spam（苦笑）Monty Python - Spam


相変わらずのJavaScriptを使ったクロスサイト誘導：

Twitter StalkDaily Worm Postmortem

誘導先：
script src="hxxp://mikeyylolz.uuuq.com/x.js
212.95.49.251
NETDIRECT-NET-DEDISERV (Poland )
212.95.49.0/24 (212.95.49.0 - 212.95.49.255)

一応、Twitterは終息宣言をしていますが
Update on StalkDaily.com Worm
Earlier today we were informed of a malicious site that was spreading links to StalkDaily.com on Twitter without user consent via a cross-site scripting vulnerability. We’ve taken steps to remove the offending updates, and to close the holes that allowed this “worm” to spread.

No passwords, phone numbers, or other sensitive information were compromised as part of this attack.

とりあえず Twitterユーザは Passwordの変更をしたほうがいいのかもしれません。（特に StalkDaily.comを踏んだ人）


警告：Twitter、StalkDailyワームに襲われる（アップデート）
Twitter側から正式に問題が解決したと発表があるまで、安全策をとって、サードパーティーのTwitterクライアントを利用し、他のユーザーのプロフィール・ページを訪問するのを避けるのが賢明だろう。

われわれ記事への初期のコメントがこれはXSS攻撃だと指摘している。別のコメントでは、たくさん出回っているサードパーティーのTwitterアプリケーションの一つが乗っ取られて、ログイン情報が流出したのだと推測されている。

アップデート：StalkDailyウェブサイトは、「自分たちはこの攻撃に無関係だ」とする声明を発表している。しかし、当面、このサイトを訪問しないように。

H A P P Y E A S T E R

W/O Javascript