13/03/22 17:45:34.02 loDbBdZG0
>>338
推測だけど、こういうことじゃないかな
今回、いくつもの銀行・政府機関の多数のクライアントPCが
時限式のマルウェアに感染して一斉に起動不能になった。
クライアントマシンへのマルウェア感染経路は次の2つ:
1.各企業内におかれたアンラボのセキュリティ製品の「更新管理サーバ」にマルウェアが混入した。
そこからセキュリティソフトの更新モジュールをダウンロードしたPCがマルウェアに感染した。
2.今回のマルウェアには、感染WindowsマシンにSSHがあったときに
その設定ファイルに情報が載ってるUnixマシンへの侵入を試みる機能があった。
それが成功してUnixマシンに感染した。
1の「更新管理サーバ」マシンへの攻撃について
マルウェア混入手段や、どこからの不正アクセスがあったかについて確定的な情報は出ていない。
アンラボは「標的型攻撃によって各企業のセキュリティが突破された」と推定している。
2はマルウェアを分析したらそういうコードが見つかったという発表であって
実際にUnixマシンへの感染成功例があったかどうかは情報が出ていない。
ここまで確定事項
で、今回の「悪意あるコードの発信元IP」てのは、農協ネットワーク内の感染PCから
外部ネットワークのマシンに送りつけられた、2のssh要求のIPアドレスなんじゃないかな?
もしも1の更新管理サーバへの外部からの攻撃元IPアドレスとして発表していたのだとしたら
それは更新管理サーバにどんな手段の攻撃があったのか、ある程度判明したという事だから
普通に考えてそっちも報道するはず