1: メチロフィルス(長野県) [DK] 2020/02/15(土) 02:05:26.21 ID:TI5JEaar0● BE:323057825-PLT(13000)
sssp://img.5ch.net/ico/asopasomaso.gif
サイバー攻撃の一種で、パソコンのディスクに不正プログラムが残らない「ファイルレス攻撃」が増えている。
三菱電機を襲った攻撃もこのタイプで、防衛省関連の情報が流出した可能性がある。
従来のウイルス対策ソフトウエアでは検出が難しく、企業を揺さぶっている。

外部から操作されているかもしれない――。三菱電機の社員が異変に気づいたのは、2019年6月28日だった。
国内拠点でのことで、パソコンの基本ソフト「ウィンドウズ」の機能の名前が書き換えられていた。

三菱電機は、国内外グループの社内ネットワークを構成している端末やサーバー24万5千台を調べた。
結果、国内87台、中国45台に感染の疑いがあると判明した。


▼ファイルレス攻撃 一般に、パソコンの計算部品であるメモリー上で動く不正プログラムによって、情報を抜き取る手口を指す。
基本ソフト「ウィンドウズ」の一部機能を悪用する。従来のウイルスと違い、ハードディスクにはファイルとして保存されない。
 ウイルス対策ソフトウエアの多くは、ハードディスク内の不審なファイルについて、既知のウイルスを記したブラックリストと照合して探す。
このためファイルレス攻撃はほとんど検出できない。

「いつ感染したんだ」。急いで感染した端末や通信記録をたどっていくうち、3カ月前の中国にたどりついた。
3月18日、同国の拠点にあるサーバーが外部から攻撃を受けていた。
ここが情報を抜き取るための拠点となり、不正プログラムが他のパソコンへ散らばった。
このときの手口がファイルレス攻撃だった。

「ファイルレス型」攻撃、企業揺さぶる 三菱電機も被害
https://www.nikkei.com/article/DGXMZO55672360U0A210C2EA2000/

60: シュードアナベナ(東京都) [ニダ] 2020/02/15(土) 05:36:33.95 ID:T8JoXN8B0
>>1
毎回シャットダウンすれば色々防げるのか?

69: アシドチオバチルス(東京都) [US] 2020/02/15(土) 07:27:43.91 ID:L5jrvrLR0
>>60
いまのWindows10は普通にシャットダウンしてもハイブリッドモードでメモリの内容を記憶するからむりだよ
意図的に完全シャットダウンさせないとダメ

152: セレノモナス(日本) [JP] 2020/02/15(土) 23:46:56.93 ID:ITak9Pg60
>>1
>国内拠点でのことで、パソコンの基本ソフト「ウィンドウズ」の機能の名前が書き換えられていた。

どの機能だったんだろ? よく気づいたな。
自動処理でひっかかったんか?


スタンドアロン運用してるPCって、しばらくすると使えなくなるドライバみたいなのあるよね。
あれ密かに外部通信してるからエラー起こるとかなの?

5: アカントプレウリバクター(千葉県) [US] 2020/02/15(土) 02:10:09.92 ID:IpjFA4LL0
また面白いもんつくったな

6: オセアノスピリルム(徳島県) [NG] 2020/02/15(土) 02:12:54.04 ID:hSymX2EZ0
相変わらず悪い事する為の発想は凄いね

11: テルモトガ(茨城県) [KR] 2020/02/15(土) 02:17:36.55 ID:TwIB62lJ0
もうついていけない
OSもグーグルも個人情報取得してくるのに
今更、ウイルスでもないだろう

15: プランクトミセス(兵庫県) [ニダ] 2020/02/15(土) 02:24:24.95 ID:s2Rd0eg+0
なるほど
再起動しなくても安定するようになって久しいし、そら抜け道にもなるわな

16: ミクロコックス(兵庫県) [BR] 2020/02/15(土) 02:27:54.22 ID:JNvgPJ750
もう外にネット繋ぐなよ分けろ

22: デイノコック(大阪府) [ニダ] 2020/02/15(土) 02:38:26.08 ID:dqZl/pAQ0
最近の若者はパソコンのシャットダウンの仕方を知らんらしいぞ

24: アナエロプラズマ(東京都) [EU] 2020/02/15(土) 02:39:58.30 ID:Q2m6UFZN0
一般家庭で重要なデータなど扱わない。

25: パルヴルアーキュラ(神奈川県) [US] 2020/02/15(土) 02:50:59.39 ID:yiD17vdW0
どうやってファイル化やファイル実行せずにメモリに侵入するのか教えてくれよ
しかもroot取った状態だったりするの?

27: シネルギステス(東京都) [US] 2020/02/15(土) 03:02:19.80 ID:77VYB7Iz0
winはMS-DOSで動いてるだろ
マシン語から入ってない奴は何も識らない

32: アシドバクテリウム(福岡県) [ニダ] 2020/02/15(土) 03:28:40.34 ID:oDvwfyRQ0
>>27
いつの話ししてんだよおじいちゃん
DOS上にWindowsが乗っかってたのは前世紀までだよおじいちゃん

34: スフィンゴバクテリウム(東京都) [JP] 2020/02/15(土) 03:33:06.28 ID:u8q/3RMP0
>>32
おこちゃまは何も知らないのね

28: シトファーガ(ジパング) [JP] 2020/02/15(土) 03:11:25.95 ID:YPieGjuW0
これからはLinuxの時代だな
使ったことねぇけど

48: セレノモナス(日本) [ニダ] 2020/02/15(土) 04:18:00.88 ID:XXCvG+AF0
>>28
リンドウズ

50: エアロモナス(茸) [AR] 2020/02/15(土) 04:21:03.06 ID:SCz91O740
>>28
ブラウザーとメーラーは自作
拡張子はすべて別名にしてしか動作しない
ソケット回りも自作
特にネットワークディスク回りは独自プロトコル

プロトコルはべつに従わなくていいんだよ
よそで使えないだけでね

33: テルモゲマティスポラ(山口県) [NO] 2020/02/15(土) 03:32:12.52 ID:TCim3GvJ0
win10は高速スタートアップのおかげで完全に電源切れてないけど
シャットダウンしたつもりでウイルス生き残ってるのかな?

42: ミクソコックス(東京都) [BE] 2020/02/15(土) 03:54:09.18 ID:JlMDQGJf0
ウイルス云々以前にメモリリークが全く起こらないOSなんてまず無いと思っているので
普段はスリープだけどmacもWindowsPCも必ず週1くらいで再起動させてるわ

49: ジオビブリオ(茸) [JP] 2020/02/15(土) 04:20:38.20 ID:bZp51PjX0
会社支給のパソコンで何にもできなくなるのはこのせいだな
。制限かけすぎやろ

53: エアロモナス(茸) [AR] 2020/02/15(土) 04:22:52.48 ID:SCz91O740
>>49
作業用と通信用のOSを1台のPCで動作させるべきだと思う
デュアルOSシングルインターフェースで

110: カルディセリクム(SB-iPhone) [RU] 2020/02/15(土) 14:07:11.39 ID:7YhF7C6+0
>>53
仮想PC化の virtualbox、vmwareじゃあかんの?

52: ロドバクター(やわらか銀行) [KR] 2020/02/15(土) 04:22:30.39 ID:oWGEb4hG0
高度やな
日本発のウイルスが無いのが悲しい

54: エアロモナス(茸) [AR] 2020/02/15(土) 04:25:46.64 ID:SCz91O740
>>52
外部からのアタックは自動でブラックリスト作れるしブラックにしたら相手のポートに巨大データ送り返すことできる
なんせつながるということは相手も丸見えだからね

不正アクセス元は攻撃してもよいという法にすべきやわ

63: ミクロモノスポラ(ジパング) [US] 2020/02/15(土) 07:08:53.02 ID:xbs26V4X0
メモリ常駐なら二四時間稼働のPCが狙われたか
外部からのアタックで直接メモリに常駐させるのは無理でしょ
何かプログラムを走らせて、その後プログラムを消したんだろうけど

64: フィンブリイモナス(ジパング) [CN] 2020/02/15(土) 07:12:36.98 ID:X0r3KSVK0
もう会社のセキュリティ専門の有能者を配置して常にチェックしとけよ。
こんな所を日本の経営者はケチるから、いつも馬鹿みたいな損失だしてるんだよ。

66: アコレプラズマ(福岡県) [FR] 2020/02/15(土) 07:24:57.83 ID:m1TXP8Mv0
団塊「このウィルスバスターってのが安いじゃないか」

128: テルモトガ(東京都) [DJ] 2020/02/15(土) 16:36:16.82 ID:RONioL4T0
>>66
最初から入ってる

70: シュードノカルディア(ジパング) [CN] 2020/02/15(土) 07:28:07.21 ID:et1/ioeM0
最近のセキュリティソフトはメモリ上もチェックするのは当たり前だろ

97: バークホルデリア(東京都) [IN] 2020/02/15(土) 09:34:10.84 ID:W6Ld4Vhj0
>>70
そうなのか
いつもどおり日経の記者がよく分かってないまま記事書いたってことでおけ?

103: ミクロモノスポラ(神奈川県) [PE] 2020/02/15(土) 11:50:29.51 ID:K4idUDXv0
>>97
多分違うと思う、というかパターンがいろいろある
・メモリで動いて、情報取得後、次入れるようにPowerShell実行プロセスも残す
このパターンは、既にもう遅いが、シャットダウンすりゃ永続的にはならない

ただ、単純に電源落としてメモリ上か削除してもわからないパターンもあるみたい(マカフィーHPより)
1.ユーザーがスパムメール内のリンクをクリックします、または危険なページを閲覧します
2.ウェブサイトがフラッシュをロードし、悪意のトリガーをひきます
3.シェルコードがコマンドラインでPowerShell (PS) を起動し、ペイロードをメモリにダウンロードして実行します
4.メモリ内で実行し、その一方でコードをロードします
5.データの抜き出しや、ダメージを与えるなどの行動をします
6.自動的に開始するレジストリが作成され、コマンドラインでPSを呼び出します

6で例えば、悪意のページ開くようなPSの場合、OS起動するたび感染することになるwつまりシャットダウンしても無駄
ウイルスソフトも見かけ上PSから呼び出されているので正規の操作と見分けがつかず
防ごうと思ったら1をやらないことだね

あんまり突っ込まれても分からんので詳しくは以下みて理解してくださいw
https://www.mcafee.com/enterprise/ja-jp/assets/white-papers/fileless-malware-report.pdf

129: アルテロモナス(東京都) [US] 2020/02/15(土) 18:57:40.27 ID:VWXYsd6B0
>>103
フラッシュや
フラッシュが全て悪いんや

135: キサントモナス(東京都) [US] 2020/02/15(土) 20:24:55.31 ID:uYqocl/t0
>>129
未だにデフォでフラッシュが動くブラウザってあるのかね?

74: オセアノスピリルム(庭) [IE] 2020/02/15(土) 07:32:43.40 ID:fa4CnDv/0
リアルでも電子でもウイルスばっか作ってんな中国は
もう人類の敵じゃねえか

掲載スレ:https://hayabusa9.5ch.net/test/read.cgi/news/1581699926/