NW屋的日常徒然日記

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

【JTB】送信元が中国でプラグXだそうで

 こんばんは。JTB情報漏洩事件の詳細を追いかけているのですが、今朝の日経朝刊を見ていると、今回の事件で使われたウイルスが「プラグXだ」という記事がありました。「過去の事例でプラグXを使った発信者が中国にいる」とのことらしいです。こいつがPCやサーバを遠隔操作しているとのことで、プロキシ挟まずにダイレクトにwebアクセスさせているようではセキュリティ的にアウトだと言っても過言ではないでしょう。プロキシサーバをユーザ認証要求するのもあまり現実的ではなさそうですから、L7まできっちりチェックするUTM入れて、アウトバウンドトラフィックのチェックは必須になってくるんじゃないでしょうか。でも、今後httpsで外部のC&Cサーバと通信するタイプのマルウェアなりウイルスなりが出て来ると少々厄介ですよね。httpsもチェックするタイプのプロキシサーバを導入することになって行くんでしょうね。この機会にネットワーク回りを見直す必要が出て来るでしょうね。ただ、これをどうやって上層部を説得するのかという別の問題はありそうですが。(^^;;

 この記事には「添付ファイルを不用意に開けないように従業員に教育する企業は多い」とあります。とは言うものの、開けないと仕事にならないという側面もありますので、アナウンスの効果を期待するのは厳しいでしょうね。さすがに一般ユーザに「メールのヘッダを見て、Fromフィールドとは異なるドメインのサーバを使って送信してないか確認してから添付ファイルを開けるかどうか判断しろ」と言うのはあまりにも酷だと思います。

 なので、ユーザ側として出来ることは、OSのアップデートは忘れずに行うとか、アプリケーションも同様に最新バージョンにしておくとかいう点に留意するしかないんでしょうね。ユーザ側だけの対応では限界もあるので、ネットワーク側でも可能な限り対応するのがベストでしょうね。

 このあたりの問題については、引き続きウォッチして行く予定です。