wakatonoの戯れメモ

はてなダイアリーから引っ越してきました。

新年度あけましておめでとうございます

4月1日は、全く余裕がなかった…

基本は「普通のセキュリティ対策」+「こまめなバックアップ」と「バックアップされたデータのオフライン保存」

「カネさえ払えば復元できるならば」と思う人はいいけど、何度も何度も引っかかるようなケースも想定できるので、その度にカネ払うのはちょっとどうかと…なので、そんな(Ransomware被害から復旧するために攻撃者に支払う)カネがあるならば、そのカネを使っ…

額にもよるが、「身代金支払い」も視野に入れることで、対処の選択肢は広がるのではないか

トレンドマイクロさんの記事では、身代金を支払うべきでは「ない」理由として以下の3つを挙げている。 「身代金」を払ってもサイバー犯罪者が約束を守る保証はどこにもない 身代金の支払いはサイバー犯罪者に資金を与えることになる 身代金を支払ったことが…

流行(普及?)しているランサムウェアは、実はカネさえ払えば確実に復元できるのではないか?という仮説

上記のことより、広域に流通している/よく発見されるランサムウェアは、実はカネさえ払えば(自身のサービスの信用を維持するために)確実に復号できるのではないか?という仮説が成り立つ。 致命的なバグ(本来意図した復号機能を提供できない/暗号化や復…

「カネを払っても元に戻らない」のがRaaSプロバイダに起因する場合

このような場合はもはや論外でw、RaaSユーザはまずそのプロバイダは使わない。 自分に非がないのに自分が儲けられないってのは普通に嫌だろうから。

「カネを払っても元に戻らない」のがRaaSユーザに起因する場合

RaaSユーザの意図的な行動により、Ransomware被害者が「カネを払ってもデータが元に戻らない」となった場合、最たる被害者は Ransomware被害者よりもRaaS提供者になる可能性が高い。 これは、復号できないがため、カネを払わずバックアップから戻すという(…

ケーススタディ:ランサムウェアに感染してカネを払っても元に戻らないと何が起こる?

こんだけ流行ってる状況を見ると、ランサムウェアは、すでに犯罪者ネットワークでは認知されたビジネスモデルになっていると考えるのが自然だ。 そして、ランサムウェアの生成から配布までをサービスとして提供するRansomware as a Service(RaaS)も出始めて…

「身代金を支払っても元に戻る保障はない」というのは本当か?

まあ、本当だと思う。ただこれは、ソフトウエアのバグなどに起因して、(攻撃者側が)戻す意図があってもできないケースなどもありうるため、どの程度「元に戻らない」のかはよくわからない。

はじめに〜オレの記事は、犯罪者に利することを目的とするものでは「ありません」

いろいろと書いてるうちに、「こいつは犯罪者/攻撃者の片棒を担ぐのか?」と言われそうなことも出てくるかもしれませんが、そんなつもりは1ビットもありません。 あくまで「客観的」「中立」にものごとを考察した結果であって、そんなたいそうな意図は全く…

ランサムウェア考察

最近猛威を振るっているランサムウェアだけど、トレンドマイクロさんの記事で「身代金を支払う」ことはおすすめできないというのが書かれていたりして、ちょっと気になった…。

autorun.exe のアイコンの話

これは、後日追記しました。 ただ、Ubuntuで見たプロパティレベルでの確認に留まっており、Windows上で見たらどうなるかは確認してません。

VirusTotalのスキャン日付が古すぎる理由&ファイル名がランダムっぽい理由

これは、「同じ検体がすでにスキャンされていた」つうことで、あえてスキャンをしなかったためにこうなりました。 ハッシュ値で比較して「すでにあるぜ」だったので。 VirusTotalのファイル名の欄は、すでにスキャンされていたファイル名がこれだった、とい…

釣りと言われても事実だし

ちうてもしょうがないので、補足などなど。

Redditで釣り呼ばわりされてたので

一応補足。

ロッキーメモリの件の続報(2)〜どう考えても出荷前の工程で感染したとしか思えない…

10年以上のマルウエア入り景品騒動などでも類似の事案があり、こちらは調査中のまま(結局原因がわかったのかどうかも不明)だけど、この件で見つかったのは、WORM_QQPASS.ADHだったようだけど。マルウエアが空気感染するならばまだしも、そんなハイパーテク…

ロッキーメモリの件の続報(1)〜やっぱ相当古いこのマルウエア

本格的な解析はまた後日やるとして、autorun.exeの件続報。ロッキーメモリがリリースされたのは2009年2月。 で、autorun.exeのタイムスタンプ(更新日時)は2007年。 で、このファイルがVirusTotalで解析されたのは2013年。 https://www.virustotal.com/ja/f…

Lockyメモリ買ってみた(5)〜投げ売りの理由?

これ、実は2個1000円未満で売られてたモンなのだけど、メーカーも代理店もすでになかったり。 もしかして、出荷したモンがウイルスに感染しているのが発覚して取引停止にでもなったか?とか詮索したくなる…。まぁ、セキュリティなんとかしなきゃと思って使い…

Lockyメモリ買ってみた(4)〜ビンゴじゃねえか!

autorun.exeをVirustotalに放り込んでみたところ。 真っ黒じゃねーか!

Lockyメモリ買ってみた(3)〜なんだこいつわ…

autorun.infの中を見てみたところ。 えーと、なんかRecyclerの中のファイルautorun.exeを実行しようとしてますよ…

Lockyメモリ買ってみた(2)〜虫の知らせ

なんとなく嫌な予感がしたので、Ubuntuマシンで開いてみた。 新品のはずなんだけど、autorun.infと意味ありげなRecyclerフォルダがいますよ…

Lockyメモリ買ってみた(1)〜ネタとしてw

機械式4桁番号を設定してデータを守るLockyメモリというUSBメモリを買ってみた。まぁ、なんかおもしろそうだったしw。まぁ、ネタとして買ってみたわけだけど、まさかそれ以上のネタ拾っちゃうとは… あくまでリンク先は「Lockyメモリ関連で最近見た記事」で…

大当たり!

やってもうたw2016年3月21日追記:記述が足りないなぁというところもあった&Redditで「釣りか?」と書かれてしまってたのもあり、少しautorun.exe関連の追加情報(3/18)とかなぜVirusTotalでの日付が古いのか(あたりを中心に補足してます。

開発には期間が必要。人数を投入しようとここは変わらない

人数投入を否定するわけではないけど、それは工程の見直しが前提にあってのこと。 その前提を満たすにも、ある程度の時間を見込む必要があるし、そもそも開発には期間が必要。 2人がかりで5日のものを、5人がかりで2日でやるとかいう無茶はそもそもないし、…

要員増やすならば、工程の分割単位を見直すか、アサインする作業の割り振りを考えるべき〜それでも限度あるけど

「設計および工程の最適化によって工数は最小化されるが、限度もある」でも書いたが、最初の時点である程度勝敗が決している部分がある。ここで主に期間に係るところを見直す必要があるとなると、工程全体の見直しが必要というのが今のところの持論。「人数…

炎上プロジェクトあるある:「遅延しそうだから人数を投入」は、たいていの場合傷口を広げる

Day2の期間3年のうち10ヶ月が試験だったとして、多分この期間は短縮はできない。 おそらくは各工程を最適化し、かつ各工程で発生しうるリスクも織り込んだ結果だろうからだ。システム統合の「正攻法」という書籍の目次には、「成否のポイントは開始前にあっ…

大丈夫か?と思いつつも、きちんと段取りができたものの例

例えば、(ちょっと前のネタだが)Day2 と呼ばれた三菱東京UFJ銀行のシステム統合は、問題なく完遂した。このプロジェクトの例は、11万人月という巨大な工数を適正に割り振れた例であり(3年がかりとはいえ、移行で2600億ってのは相当でかい)、同時に動いた…

設計および工程の最適化によって工数は最小化されるが、限度もある

何かを開発するには時間が必要。 この時間を見積もるのに必要なのは、やっぱどんだけの開発をこなしてきたか(指揮してきたか)という経験。 単に経験するだけではなく、開発にかかった期間が適正であるかどうかをきちんと振り返り、次の開発に活かしている…

人月という単位

人月という単位は、「何人でが何ヶ月かかる」というような工数を数値で表すためのもの。 まぁ、だいたいこの単位とセットになるのは「○○円/人月」というお値段。 なので、何かの会社でプロジェクトとかでn人月というのが出てくると、a円/人月というお値段…

本日は代休

とりあえず、寝て起きてお昼。

イケてないとは書いたが、全く意味がないとは思わない

多く行われている(であろう)標的型メール攻撃の訓練内容がイケてないとは書いたものの、一定の意味はあるとも考えている。 そういう攻撃があるということを知ってもらう 自組織内の(こういう種類の攻撃に対する)強さというか脆さの現状把握を行う 訓練と…