株式会社宝情報

セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

郵政偽メール インターネットバンク被害ウイルスの感染をCheck Pointに止められました。

喜び勇んで感染しに行ったのに・・。

喜び勇んで感染しに行ったのに・・。

CheckPointブログで、現在一般的に利用されているルーターがセキュリティ穴だらけで危険ですよ。と、こんこんと説明されてますので、日本国内の事情にあわせて、かなり意訳してみました。

タイトルに記載している、ウイルス感染しようとした検証記事は【コメント】まで、読み飛ばしていただければと思います。

小規模事業者における、セキュリティ不備なルータの深刻な危険性について【Check Point社 ブログ記事 】

Unsecure Routers Pose a Serious Risk to Small Businesses より

【記事概要】

小規模事業者における、セキュリティ不備なルータの深刻な危険性について

  • ビジネスはインターネット接続が無いと運営出来なくなっている今、事業主はさらにセキュリティが重要と考え、注力している。
  • 一方で中小企業の方が、セキュリティに対しての解決策について要件が多種多様すぎて提案が受け入れられにくい。そのため、ハッカーによって積極的に狙われている。
  • 日本国内でもほとんどの事業者で、「小規模でのインターネット利用あれば、処理能力的にこれで十分だ」という考え方から、 個人利用向けの弁当箱サイズのルータが使われている(バッファローとか、ロジテックとか、サンワサプライとか、プラネックスとか)ただ、ビジネス利用する上で、データが守れない。サイバー攻撃から身を守る機能を持っていない。

個人向けのルーターの深刻なセキュリティ危険性

  • 攻撃者がまずすることは、ハードウェアやソフトウェアの脆弱性(セキュリティの穴)をみつけること。常に、穴を探して世界中のネットワークを回遊して、色々なハードウェアやソフトを突っついて回っている。
  • 以前に、NetGear D-Link社(USで多い家庭向けルーターのメーカー)の機器で、74種類にも及ぶ脆弱性が発見された。これは、攻撃者が完璧にここを通して攻撃する事を可能にする。
  • 2014年に、こういった脆弱性をTP-Link(Googleのルータ、OnHubなどで有名 ), TrendNet,Check Pointが発見。
  • 色々な会社でこういった被害や脆弱性の発見は行われている。
  • 2015年の第1四半期(1−3月)時点で販売されているルータの8割はこうした問題を抱えたままである。

それで、どうやって小規模事業者は自分達を守ればいいのか

  • 小規模事業者は、ぜんぜん武装出来ていない。
  • しかしながら、色々、解決策は世に出だしている。
  • Check Point社は、”セキュリティまるっと全部のせ製品”を中小規模事業者向けに現在提案している。これは、大規模事業者で使われているセキュリティレベルと同等の防御を簡単な仕組みで安価に構築する。
  • 新しい、モデル。Check Point 700シリーズは、インターネット接続のルータ機能に、無線LANアクセスポイント機能、ネットワークセキュリティ機器を世界ナンバーワンの実績でオールインワンで提供している。この製品は最小のITスキルでも管理ができる上、設置・展開も簡単にしている。
  • Check Point社のセキュリティ技術は、ゼロデイアタックを検知して、サイバー攻撃をブロック、さらにインターネットのパフォーマンスを最大限にするようひとつの設計思想にデザインされている。ネットワークにしみ込んでいるサイバー脅威を検知するだけではなく防御する。検知するということは、すでに荒らされた状態である事を表す。これは、中小企業に撮っては重大な事です。荒らされた事に対してどう処理したらいいか、対策が中々出来ません。中小企業が生き残る為には必ず、「検知するだけでなく止める」必要が有ります。

さらに情報が必要でしたら、私たちの商品情報をご覧下さい。(Check Point小規模製品情報のリンクに飛びます。)

【コメント】

  • 今、Check Point検証機で、わざと添付メールのウイルス感染コードをダブルクリックしまくりながらCheck Pointの管理画面で表示されるログを見つつ、この記事を書いています。「普通のルータは危険なのかーそうかー(棒読み)」
  • 【社内で感染コードを実行→感染して、データがぐちゃぐちゃにされる】、と思いきや、そうでもなく。
    検証PCのIPアドレス確認

    検証PCのIPアドレス確認

    ウイルス感染するjsコードを今からクリックしまくって被害に合う予定のPC
    IPアドレス:192.168.1.225
    日本郵政ジャパンから届いた、メールに添付されていたzipファイルを解凍すると、不在票と思われるデータ(jsファイル)が出てきました。

    スクリーンショット 2016-03-31 13.39.46

    マルウェア感染しそうな匂いがするjavascript

    とても、ウイルス感染しそうなファイルですね。

    スクリーンショット 2016-03-31 13.40.21

    感染せずに、”アクセスが拒否されました。”表示。

    感染して、画面が真っ暗にされてパソコンが別のパソコンの共有ファイルごと、ぐちゃぐちゃにされるのでしょうか?楽しみ。あれ?ならない・・。アクセス拒否メッセージが出てきてしまいました。おそらくjavascriptのコードが、マルウェア感染するサイトにアクセスしようとしている動きを、Check Pointでブロックしている為だと思われます。Check Pointの管理画面で、セキュリティログを確認します。

    スクリーンショット 2016-03-31 13.53.25

    192.168.1.225が感染しに行こうとしている動きをCheck PointがBlockしている図

    192.168.1.225が送信元となるWebサービスのアクセスが、Check PointのAnti Virus(ウイルス対策)機能で全部止められています。さらに、URL Filtering(危ないサイトを仕分ける)機能で、”ここは、ウイルス感染している実績があるサイトだ”と、Check Pointが判断して”youbestidea.su”へのアクセスを止めています。ちなみにGoogleで検索するとバイアグラの通販サイト(おそらく偽装サイト)が引っかかりました。これに加えて(まだそこまで通過出来てないので表示されませんが)AntiVirus,URLFilteringを通過したウイルス感染コードについてもIPS(侵入無効化)という機能で感染する動きを止めます。

  • ここで、表題に戻ります。アンチヴィールスやURLフィルタリングが無い、YAMAHA , バッファロー , Logitec , NECなどの家庭向けルーターが社内で私用されている場合。止めれるのか・・・・・・・(止めれません)

【検証記事、面白いですね】

  • 引き続き、感染実際にするところからまとめて、残高1,000円未満の貧乏口座をさらしてみたりとか意地でも大変な事になってやろうと思います。
    (検証機でやってますので、マネしないで下さい。)

【追記】

  • 実は、Lockyに感染するような、コードもクリックしまくっていて、Check Pointのセキュリティレポートに192.168.1.225が感染しているという表記が出ているのですが、ずっと「画面をロックした!」という画面を出さず、動作していないみたいです。ブロックされているログに埋もれているのか、動くタイミングが有るのか・・・。そのうちセキュリティ機能のないルーターに入れ替えてみて動き出すところを見てみたり、ウイルス対策ソフトを入れてみて削除をしたり試みてみます。

    Lockyに感染している192.168.1.225

    Lockyに感染している(かもしれない)192.168.1.225

記事一覧に戻る