情報漏えい対策ソフトSKYSEA Client Viewへの攻撃の拡散。責任は開発企業にあると思う話
情報漏洩対策ソフトの脆弱性を狙った攻撃が相次ぐ | スラド セキュリティ
| 情報漏洩やマルウェア感染対策を強化するという触れ込みのクライアント運用管理ソフトウェア「SKYSEA Client View」において昨年発見された脆弱性(JVN#84995847)を狙った攻撃が増えているという(JPCERT/CC、NHK)。
問題の脆弱性は、管理対象のPCにインストールするエージェントプログラムに存在するもので、外部から任意のコードが実行可能というもの。すでに対策を行うアップデートは提供されており、利用しているすべての端末でアップデートを実施することが推奨されているのだが、アップデートを行っていない企業などが攻撃されているようだ。特にエージェントがインストールされている端末にグローバルIPアドレスが割り当てられているケースがあり、こういった端末が狙われている模様。 実際の被害として、開発中製品の情報や議事録、メールなどが流出する事件も起きているようだ。 |
【重要】グローバルIPアドレス環境で運用されている場合の注意喚起(CVE-2016-7836)|SKYSEA Client View|Sky株式会社
昨年末、 SKYSEA Client View の脆弱性情報が公開され 開発会社からもアナウンスがありました
SKYSEA Client Viewは、IT資産情報や操作ログ などを一元的に管理するソリューション。
個人情報だけでなく、文書管理、リモートでのPC操作が行えるのですが、操作される側のPCがすべて乗っ取られるという脆弱性があった模様。
| 2016.12.27 追記
今後、プライベートIPアドレスのみが割り当てられているローカル環境におきましても、悪用され、不正なパケットを受信する可能性もありますので、SKYSEA Client Viewのエージェントが導入されている端末全てにパッチを適用いただく事を強く推奨いたします。 |
ところがサイトの中身を見ると、脆弱性が分かった当時は、保守契約を結んでいる顧客だけへのパッチ提供。
1週間してから、問い合わせが合った顧客に対してだけ、パッチを提供するように切り替えたというのが伺えます
| 昨年末、SKYSEA Client View にて、任意のコードが実行可能な脆弱性(CVE-2016-7836)を確認し、2016年12月21日に当社「製品サイト」ならびに「保守契約ユーザー用Webサイト」にて発表いたしました。ご利用中の皆様におかれましては、多大なるご迷惑をお掛けしましたこと、深くお詫び申し上げます。 |
サイトで発表しただけで連絡してないんかい!
要するに、売った製品が原因でセキュリティホールがあっても、保守契約結んでないのだから関係ない
ってスタイルですね。
セキュリティ・脆弱性について|Sky株式会社
調べたら、脆弱性の周知先について詳しく書いてあった
| 対応情報の周知
・サポートニュースのメール配信に登録しているメールアドレスに通知。 |
これ、下手したら、保守中の客であっても、メール配信登録してない場合連絡してない可能性があるっていう最悪のケースじゃないんです?
少なくとも、販売した顧客に対して、直接電話で案内し、パッチを提供するという姿勢を見せないとダメだったのではないでしょうか?
多分、脆弱性があったことを知られるのがマイナス材料、使ってる客が実際に攻撃されることはまずないだろう。っていう考えがあったんじゃないでしょうか?
と言うか、被害が拡大して、ニュースになってるのに方針変えてないので、この会社もう駄目だと思います
セキュリティ製品を作る技術が足りなかったことより、脆弱性があった時の対応が最低です。
セキュリティ企業として、どうなんですかね?
こういう製品に騙されて便りっきりにならないように、セキュリティ担当者は常にアンテナを張り巡らせておく必要がありますね!といういい自戒になる事故案件のお話でした。
ニュース - 「機密情報が流出」報道にスカイが反論:ITpro
| この弱点は昨年12月に発見済みのもので、対策のためのパッチや、セキュリティホールをふさいだ新バージョンはすでにスカイから提供済み。だが、それらの対策を取っていないユーザーを中心に依然として被害が続いていることをセキュリティ会社「Secure Works Japan」が指摘。 |
ちゃんと、Sky株式会社が、周知しなかったのが悪いんでしょ。何言ってるんだか。
Translate
年末のパッチはもしかするとポートを閉じるだけだったのではないでしょうか
年末のパッチはもしかするとポートを閉じるだけだったのではないでしょうか