コンピュータウイルス「Gumblar」について質問です。

コンピュータウイルス「Gumblar」について質問です。

企業やその他のさまざまな機関のホームページがGumblarによって改ざんされることは、ISO/IEC27001管理策のどの管理策から抜けたと考えられますか？
ホームページとは誰でもアクセスできるものですから機密性を強化するのは難しいと思うのですが・・・・

No.1 回答者： John_Papa 回答日時： 2010/11/01 22:22

ガンブラーというか今日の現状はISO27001の想定外でしょう。

そもそも脅威の内容が違ってます。ISO27001は2005年当時の状況で考えられています。
昨年のマルウェアの新種発生数をご存知でしょうか？
2005年当時の過去20年分を総計したより遥かに多いのですよ。しかし、検出総数は減っている。
特定のウイルスがOutbrakeするのではなく、少数多品種の時代になったのです。
参考：http://internet.watch.impress.co.jp/docs/news/20 …
言ってみればゲリラ戦法。ISO27001の想定は軍隊方式。
ベトナムやアフガニスタンにその例があるではないですか。
カスタマー対マニュアラーの戦いですか。
ご存知と思いますが一つのGumblarの行動期間は長くて２週間。次々と出現場所や手段を変えます。そして同時に何百何千というGumblarが活動している。

また、報道記事から想像されるエクスプロイト攻撃用に改ざんされたサイト単独ではなく、多くの支援のための改ざんサイトがあるという事実。
SEO対策の改ざん（表面に見えないけれど検索エンジン上位に登録させるためのリンクをベタベタ埋め込む）とか、そのサイトからは一切リンクされていないGumblar中継スクリプトとか、これらはそのサイトにアクセスしても無害でHTMLソースとか攻撃スクリプトを解析しなければ気付く事はありません。

脆弱性は日々発見され、修正されているので、最新にアップデートしておけばというのが数ヶ月前までの対策でしたが、現在は犯人側が先に脆弱性を見つけ、攻撃によってその脆弱性を知って対処するという対策が後手に回る非常に危険な状態になっています。
例：http://www.itmedia.co.jp/enterprise/articles/101 …
ISO27001、無駄ではありません、セキュリティへの取り組みの起訴となるでしょう。が、それが安全・安心を担保するものではありません。

破られた時、どうやって気付くか、どう処置するか、社会に対する注意喚起や公表の方法という事中対策や事後対策はISO27001から欠落しているのではないかと思います。

No.2 ベストアンサー 回答者： John_Papa 回答日時： 2010/11/02 12:07

No.1で例として挙げたFirefoxの対応がニュース配信されていたので追加します。

http://journal.mycom.co.jp/articles/2010/11/01/f …

破られた時、どうやって気付くか、どう処置するか、社会に対する注意喚起や公表の方法という事中対策や事後対策はさすがです。

犯人達は、自動販売機でマルウェアを買うお手軽犯も多く居ますが、一年くらい掛けて用意周到に犯行に及ぶ輩もいます。
この種の攻撃の総称名と成ったガンブラー．ｃｎというサイトも、犯人が正規取得して一年ほど寝かせたサイトでした。
ドメインもサーバーも寝かせ（一見正常運用し）ておける余裕が彼らにはあります。有名検索ドメインすら取得していたことがあります。マルウェアの販売元でもあるのでしょう。
サイトの改ざんも、ＩＤ・パスワードを手に入れたら即改ざんというのではなく、例に挙げたノーベル賞サイトの改ざんのように時を見計らって改ざんしています。どのサイトが何に向くか熟知して彼らのビジネスを運営しています。

防ぐ事より、
破られた時、どうやって気付くか、どう処置するか、社会に対する注意喚起や公表の方法という事中対策や事後対策を検討し決めておく事のほうが優先すると思いますが、いかがお考えになりますでしょうか？
漏洩防止対策(ISO27001)は、その枝葉であると思います。