「韓国の大規模ダウンは資産管理サーバー経由での攻撃か | ず@沖縄
資産管理サーバーとは?
先に引用したようにアンラボ社では「悪性コード流布は、外部ネットワークIDCに位置する”アップデートサーバー”ではなく、企業の内部ネットワークの”資産管理サーバー”が使用されたことが確認された」としている。
報道記事では「資産管理サーバー」は「各会社の内部ネットワークに設置されてワクチンなどを最新の状態に保つ」と解説されている。
また「한편 장애를 일으킨 악성코드는 ‘Win-Trojan/Agent.24576.JPF’로 알려졌다. 이 악성코드는 안랩의 통합자산관리 서버를 거쳐 APC와 연결된 PC가 이용된 것으로 확인되었다」と解説があるが、こちらは自動翻訳では文意がわからなかった。
この文に出てくるAPCについては、アンラボジャパンに日本語の資料がある。
韓国の大規模ダウンは資産管理サーバー経由での攻撃か | ず@沖縄
簡単に。
アンチウィルスソフトは、元々、Windowsの強いコントロール下に有るフォルダもスキャン出来るようにしていることが多い。そして、企業内での使用の場合、特に、この資産管理に引っ掛けて、クライアントPCのハードウェア情報であるとかソフトウェア情報であるとかを引っこ抜いたりする。
で、そんな情報は当然、社内の鯖に貯める。それを資産管理鯖と呼ぶ。
そんな情報を無理矢理集めるようなことが出来る・リモートでそのスケジュールを決めて実行させることが出来たりする。
「強制的な」というのがポイントで、クライアントPCではその挙動は停めづらい。ウチは開発会社なんで、ローカル管理者を自分が持っているけども、会社の内規で入れろって言われているから入れてる。キーログはやってなさげだし。
セキュリティソフト会社の企業向けサービスとして出しているのにくっついているのがそれ。単にアンチウィルスソフトを個人個人が知らないウチに最新に保つだけではなくて、クライアントで強制的に実行させられてるセキュリティソフトが勝手に通信を受け取ったりexe実行する。
まあ、配布するTrojan horseとかは別に難しい何かである必要はなく、各クライアンでいやな挙動をさせるのに実行ファイルにしたんじゃないのかという気は。MBRとか普通には触れないし。
