最近多いクロスサイト・スクリプティングですが、医療業界の業界新聞のオンライン版である「薬事日報」がクラックされたようです。

http://www.yakuji.co.jp/?p=7

http://headlines.yahoo.co.jp/hl?a=20090421-00000000-cbn-soci

「当サイト」を管理していた「社内PC」1台にコンピュータウイルスが感染
コンピュータウイルスは感染した「社内PC」のFTP通信を監視
コンピュータウイルスは感染した「社内PC」のFTP通信で使用された「設定情報」を記録
コンピュータウイルスは記録した「設定情報」を小社とは無関係の外部サーバーに転送
外部サーバーは「設定情報」を利用し「当サイト」にFTP通信で不正にアクセス
外部サーバーは「当サイト」の html,php,js等のウェブ関連ファイルの一部をダウンロード
外部サーバーはダウンロードしたファイルに悪意あるスクリプトを一定条件のもとに挿入
外部サーバーはダウンロードしたファイルを「当サイト」にアップロード
 以上の工程は自動で行われる。


と言う事で、元は何のウィルスかはわかりませんが、怖い話ですね
設定情報を記録という事でFTPが生情報使うのをついて、FTPポートを通る通信を傍受していたようです

今回のクラックでも、被害後にサイトを見ただけでウィルスが送り込まれているようなので、関係者の方はよく注意して欲しいものですが、こういった被害にあった企業においては、

 どのセキュリティソリューションを受けていたのにウィルスが素通りだったのか
 実際のウィルス名はなんだったのか
 2次被害である一般の閲覧者にはどのような被害が及ぶか

位は情報公開して欲しいものです
それにしても怖いのは未だにFTPが大量に使用されている事

生情報のやりとりが問題になってTelnetは殆ど無くなったと思いますが、FTPはrootアカウントじゃないから、未だに結構使われちゃってますよね

ウィルスがすべてのポートを監視するのはしんどいから、規定のポートを監視してると思うんだけど、サーバ側でポートを変更するか、FTPをやめてSFTPに変更するかくらいしか対処がないのかな?
#もちろんSSHも規定ポートを使わないってのが原則だと思うし、出来れば接続先をIPで固定するぐらいがいいんだけどね

http://www.ipa.go.jp/security/vuln/report/vuln2009q1.html

IPAの発表によると

今四半期(2009年1月1日から3月31日まで)に届出を受理したウェブサイトの脆弱性は821件でした。これらの脆弱性の種類は、DNS(*2)の設定不備(DNSキャッシュポイズニングの脆弱性)が343件(42%)、クロスサイト・スクリプティングが334件(41%)、SQLインジェクションが100件(12%)となっており、この3種類の脆弱性の合計で95%を占めています

だそうだね、そういえばIPAつこうた事件はどうなったのかなと思って調べてみたら、身内に甘い処分で終わっちゃっていたのね

http://ipa-mapyome.pbwiki.com/

我ら平民はつこうたで捕まるけど、貴族IPA様はぬるーですか、そうですか

###追記

問い合わせに対し、非常に慎重かつ正確な情報を調査・公開しているようです

http://www.yakuji.co.jp/?p=16

それにしても、今年はセキュリティソフトベンダーのふるい落としが発生するような事例が多く、この手の情報を意識してチェックしないと、USBウィルスの例に漏れず、セキュリティソフトを素通りっていうのが多発しそうですね

有名どころ、今まで良かった所が必ずしもって無い訳であるのが怖い所です

糞対応のGENOには爪の垢を煎じて飲ませてやりたいZE!
トラックバックURL
http://kyounoare.blog117.fc2.com/tb.php/610-9a72bfbf
トラックバック
コメント
管理者にだけ表示を許可する
 
記事検索
カウンター
カテゴリー
最近のコメント
最近のトラックバック
おすすめサイト更新情報
相互リンク