2019-04-11

セキュリティちょっと怖い話

3行まとめ

- 会社情報システム部局が配布した業務手順書に、出所の怪しいソフトウェアが紹介されていた

- 今のところ実害は出ていないが、社内に何か潜伏してしまったのでは?と不安になる

- 怖いかフェイクを交えてお話するよ

序章

- 私の勤務先は、全国に支社があったりする、まぁまぁ大きな会社

- 最近オフィスソフトウェア統合クラウド環境が整備され、全社的に統一的なIT環境が整備された。

- 情報システム部からメールデータ移行の手順書が配布され、手順書の中にeml形式pst形式に変換するツールが紹介されていた。

- ソフトウェアの配布ドメインmicrosoft.com 。ページタイトルは「EMLファイルPSTエクスポートするためのEMLからPSTへの変換 - 公式ツールキット」

気づき

- 私はそのソフトインストールしようとしたが、天性の直感がそれを妨げた。

- ドメインをよく見ると、 gallery.technet.microsoft.com 。マイクロソフトコミュニティポータルである

- そこにあったソフトウェアマイクロソフトでなく、いちユーザアップロードしたソフトにすぎない。

- アップロードしたユーザ名は日本人っぽいが、紹介文の日本語機械翻訳っぽい。

- そのユーザアクティティみても、類似機能(ファイル変換系)を持つソフトをアップしまくってるのみ。

exe調査

- ここでexe分析たかったのだが、残念ながら趣味プログラマの私には荷が重い。私の技術力で分かったのは次の通り。

* アップロードされていたソフトは、 mailsware社 製の EML File Converter というソフトのVer2.0、とメタデータから推測された。もしくは、それにさらに改造を加えたもの

* ちなみにmailsware社のページで配布中の最新バージョンはVer2.4。

* (ネットワークから遮断したPCで)インストールして動作させると、ちゃん機能してくれるっぽかった。

* でも、不要と思われる itextsharp.dll とか interop.domino.dll とかも入っている。(ほかの変換系ツールと開発を共用しているのか?)

検索による調査

- ここから技術力でなく、ぐぐるである主観憶測が多いため、話半分で。

- そもそも mailsware社 も怪しいよな、と思う。

* ホームページ上は2014-2019を謳うがドメインは2017取得。

* 会社所在地ストリートビューにはそれらしいオフィスは見当たらないほか、サイト上の地図が不自然に感じた。

* Ver2.4インストーラを見たところ、 recoverytools社 が実際にはソフトを作っていると思われる痕跡

- recoverytools社 これもまた怪しい、と私は思う。

* サイトではIndia会社とあるが、本当だろうか?

* Twitterアカウントもあるが、そちらではNY会社と謳っており、LinkedInアカウントではLA所在記載するなど。

* でもLinkedInフォロワーは一人。

* Twitterでは(ヒンディ語の(内容の薄い)ツイートリツイートしたりも)

* ドメイン2002年からあるが、当初から売地。2017年に今の状態

- など、確たる証拠は見つからないまでも、このあたりはSNSを辿っていくと、怪しいと思えるアカウントしか出てこなくて、三文小説のようで結構面白い

終章

- 情報システム部門には情報を上げて、当該ソフトの紹介は手順書から消してもらった

- ダウンロード数は1000超えてるし、わが社でも10人やそこらは気づかずにインストールした人が居るのでは

- なんか、怖いなー。って普通に思いました。

- 私に技術力があれば、NSAのGhidra?とかでexe分析してみたい、と思いました。

  • うちの会社はコテコテのSIerだけど、使用推奨ソフトの一覧に SoftEther があってびっくりしたよ! 使用禁止じゃなくて使用推奨だかんね! anond:20190411225105

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん