ベクターのウイルス被害、一部ライブラリ作品にウイルス感染が確認される 90
ストーリー by GetSet
感染源はどこ? 部門より
感染源はどこ? 部門より
inu曰く、"先日発生したベクターのウイルス被害だが、ベクターは29日付けで、調査結果を発表した。感染が確認されたライブラリ作品3,986本のうち、ダウンロード停止される13:30までの間に807本が、合計7,873回ダウンロードされた可能性があるとのこと。
ざっとURLを確認した限り、Windows作品ばかりでなく、DOS作品や、自己解凍形式で配布されていたデータ作品も感染後ダウンロードされていたようだ。9月27日(水)1:00~13:30の間にベクターからライブラリ作品をダウンロードしたおぼえのある方は、至急当該ページを確認し、ウイルスチェック等を行ったほうがよいだろう。"
週明けには何らかの手を打つのかな? (スコア:5, 興味深い)
# 原因がわかって対策が取れ、落ち着いたらカラオケでも
# 行きませうって事で ID < 今、中で死んでる人
ベクターよ (スコア:5, おもしろおかしい)
ディスク消去問題で話題だった「WinGroove」も… (スコア:4, おもしろおかしい)
実はこのプログラムも、コンピュータウイルスに感染したリストに含まれていました…。
<参考>
WinGrooveの紹介 [wg7.com]
Super Souya
ダウンロードされてはいなかったようですが (スコア:0)
ウイルス感染したと思われるソフト一覧 [vector.co.jp]の方には載っていました。
Re:ダウンロードされてはいなかったようですが (スコア:2, 参考になる)
マルウェアバージョンより後の修正版のようですが、DL出来る状態で公開されてるし、シェアウェア料金(¥2000)の送金も受け付けてるようです。WinGroove [vector.co.jp]
Re:ダウンロードされてはいなかったようですが (スコア:0)
ちょうどダウンロードした所でした…。
# インストールしたフォルダのタイムスタンプを見たら09/09/26。
# あぶねー!ギリギリセーフ。
Re:ダウンロードされてはいなかったようですが (スコア:0)
># あぶねー!ギリギリセーフ。
09/09/26って、ちっともセーフじゃない気がw
それはともかく、ベクター的には、作者のやった事を許してるわけですよね?
どういうポリシーをもって許しているのか、疑問です。
Re:ディスク消去問題で話題だった「WinGroove」も… (スコア:0)
ファイルの公開方法 (スコア:4, 興味深い)
つまり、公開サーバーとアップする為の
操作端末は直接接続と言う事なんでしょうかね??。
何で、
操作端末
↓
チェック中継サーバーA(ファイル監視付きのA社のアンチウィルスを稼動)
↓動的ウィルススキャンで問題無ければサーバーBへ自動転送(するアプリを作る)
チェック中継サーバーB(ファイル監視付きのB社のアンチウィルスを稼動)
↓動的ウィルススキャンで問題無ければ公開サーバーへ自動転送(するアプリを作る)
公開サーバー
みたいに多段チェックな仕組みになっていないんでしょうか。
少なくとも、こんな感じにしておけば、
公開されいるファイルまでに感染するリスクは
”少し”は減るかと思うのですが。
そういう対策を取っていないならば
ウイルスチェック体制 [vector.co.jp]のは、いまいちじゃんって事になるような・・。
Re:ファイルの公開方法 (スコア:1)
Re:ファイルの公開方法 (スコア:0)
ファイルの公開(元)となる事で事業として
展開(客寄せ)している会社でしょ??。
つまり、飯の種なんじゃないの?
リスクが少ししか減らなくても、やってて
当然の仕組みだとは思うけどね。
Re:ファイルの公開方法 (スコア:0)
系の複雑さを増せばエラー率も上がるんだが。
ま、あくまで簡略化した一例を出しただけで、実際の安全対策とは異なるだろうから
単なる指標として見る分には問題は少ないけど。
Re:ファイルの公開方法 (スコア:0)
Re:ファイルの公開方法 (スコア:0)
やってたのに漏れちゃったなんてことは十分考えられるんですが。
Re:ファイルの公開方法 (スコア:1)
今回の感染に関しては、端末と公開サーバーの間に10万円以下のL2+スイッチ(CentreCOM 8316XL [allied-telesis.co.jp])を入れて、ftpだけ通す設定するだけで、再発防止できます。
Re:ファイルの公開方法 (スコア:1)
多段にしたところで、チェック時点で未知のウイルスであったのなら検出できないです。それよりは、たとえば「サーバ提出後 48 時間を経過した後で、再度ウイルスチェックをサーバ側で自動的に行い、これに通過しなければ公開しない」といった手法の方が実効性があるでしょう。アンチウイルスは、ウイルスの増え方に全く追い付けていませんから。
個人的には、ベクターが未知ウイルスへの対応は比較的弱いように思う「3大ベンダー」品ばかりを使っている [vector.co.jp]事の方が驚きでした。KasperskyやF-Secure、Sophos、Panda、ESET (NOD32) といった中堅ベンダーも組み合わせた方が、実効性は上がると思うのですが……。
コードサイニングしておけと (スコア:3, 興味深い)
Re:コードサイニングしておけと (スコア:1, 興味深い)
(今回はやってませんけど)仮にベクターがヤミ改修しようとしたとき否認防止には使えるでしょうか。
Re:コードサイニングしておけと (スコア:1)
で、だからやる必要がないとあなたは言うのですか?
Re:コードサイニングしておけと (スコア:4, すばらしい洞察)
> なんでそんなことが分かるのですか?
・9月27日 1:00~13:30 という短い期間にだけ起きた。
・影響を受けたファイルが3,986タイトル
つまり、1日で数千タイトルも追加するわけがないので、これらのほとんどすべてがコード署名していれば効果があったのは明らかです。
> > で、だからやる必要がないとあなたは言うのですか?
> 誰がそんなこと言いましたか? 妄想力豊かですね。
では何のために言いましたか?
Re:コードサイニングしておけと (スコア:2, おもしろおかしい)
>> 誰がそんなこと言いましたか? 妄想力豊かですね。
>では何のために言いましたか?
言ってる本体はともかく、
何故この人たちは喧嘩腰なんだろう?( ・ω・)
Re:コードサイニングしておけと (スコア:3, おもしろおかしい)
Vアップ通知強制の機会 (スコア:2, 興味深い)
署名の重要性 (スコア:2, おもしろおかしい)
--
×FireFox ○Firefox 間違えたら失敬
おぉ (スコア:1, おもしろおかしい)
結構有名どころがやられてましたね (スコア:1, 興味深い)
なにはともあれ、お疲れさま > ウィルスチェック担当者殿
Re:結構有名どころがやられてましたね (スコア:1)
リストを持ってて優先的にダウンロードされそうな物に感染して、あとは適当に手当たり次第みたいに・・・
考えすぎだと思うけどID
お疲れさまです (スコア:1)
後は再感染しないように祈るだけです。
Re:お疲れさまです (スコア:0)
しっかり?
Re:お疲れさまです (スコア:1)
鳥頭 (スコア:1)
>ダウンロードしたおぼえのある方
そんな昔のこと覚えてないっちゅーの……
Re:鳥頭 (スコア:2, 参考になる)
IEなら履歴を開いて表示-日付-水曜日
Firefoxなら履歴を開いて表示-日付とサイト名順-3日前
とかで見れますよ
Re:鳥頭 (スコア:0)
残す理由なんてないし。
Re:鳥頭 (スコア:2, 興味深い)
#問題が出たちょっと前に、LHAに関連したストーリー [srad.jp]が立ってたので、ドキュメント確認用に昔のDOS版LHAをダウンロードしたところだったんです。
で、落としたファイルの「作成日時」を確認して、問題の時刻にダウンロードしたわけでないという確証を得ました。
ついでに、他に作成時刻がその頃なファイルが無いことを確認して一安心。
「更新時刻」じゃなくて「作成時刻」で調べるのがポイントですね。IEでダウンロードだとやってくれませんが、ダウンロード支援ソフトとか使うと更新時刻はサーバ側のタイムスタンプに合わせてくれたりしますから。
Re:鳥頭 (スコア:1)
どっからダウンしたか覚えていないけど、圧縮関係のdllを9/25にいくつかアップしてた。
対応した新しいの出ていなか見に行って、しばらくアップしていない奴をいくつかね。
Re:鳥頭 (スコア:2, 参考になる)
ユーザー側の対応としては
「覚えてないから何もしない」んじゃなくて
「覚えてないからチェックする」のが普通じゃないか?
セキュリティー意識は、両者が足並揃えるべき事項だと思うんだが。
や、もちろんサービス提供側も
「ダウンロードした覚えのある方、弊社サイトにアクセスしたがダウンロードしたか曖昧な方」
という感じで書いた方がいいとは思うんだが。
(ぱっといい文言が思い浮かばなかったので、文言是非は別として)
# アクセスした気がするけど何したかも覚えてない(健忘症か!?)のでチェックしたけど平気だったのでID.
==========================================
投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
ぱっと見 (スコア:1)
AS400用もリストにあったし。
とりあえず自分のは感染してなかったらしい。
X68000用だけど
洒落にならないもの (スコア:1, おもしろおかしい)
http://www.vector.co.jp/info/060927_system_maint_urgent.html
プログラム名:ウイルス
種類 :ジョークソフト
ダウンロード回数 2
Re:ぱっと見 (スコア:0)
Re:ぱっと見 (スコア:0)
*.exeを見つけたら一定の処理をしてるだけだろうし。
W32/HLLP.Philis.av (スコア:0)
へえ。
書き換えできないように (スコア:0)
#Windows以外のマシーンを使えばリスクは減らせると思いますけどね
Re:書き換えできないように (スコア:5, すばらしい洞察)
> 感染したPCおよびネットワーク上の実行ファイルに感染します。
というものらしいですが、そもそも
「社内の普通のPC」が「一般公開しているファイルを置いてあるサーバ」に「ファイル共有でアクセスでき、書き換える権限を持っている」
というのが、状況としてダメな気がします。
普通なら「ウィルスチェックしてOKだったものを公開処理する」プロセスを通してだけ、アクセスできるようにするべきでは?
Re:書き換えできないように (スコア:0)
ローカルファイルシステムや共有フォルダをそのまま公開して、そこで作業するようなことはやめて、ネットワーク越しにFTPのようなプロトコルで処理するとか。
あと、今回のようなサイトの場合、ファイルシステム上は拡張子を持たないファイルとして置いておくだけでも、かなりリスクは回避できる気がするんですが、どうなんだろう。
Re:書き換えできないように (スコア:0)
差し替えするクライアントの感染を考慮すれば、権限は有効な対策にならない。
アトリビュートだって賢いウィルスは自動で解除するから同じ。
こうして (スコア:0)
Re:こうして (スコア:0, 興味深い)
Re:もっと頻繁に (スコア:1, 興味深い)
それは別として
Re:もっと頻繁に (スコア:1)
「全ファイルをウィルスチェック」していたからといって、今回のような問題が防げないでしょう。月一のウイルスチェックでは、「前回チェック日までは大丈夫」ということしか保証できず、最悪では一ヶ月近く改竄されたファイルが公開されたままになります。
今回の報告では、
> 調査の結果、9月27日(水)1:00~13:30の間、弊社サイトにウイルスに感染したソフトが掲載されていた
そうですから、少なくとも「9/27 1:00 までは大丈夫」だったと分かっているわけです。
ちょっと考えてみたのですが、
・マカフィーもしくは Symantec で、9/27 1:00 過ぎに検査した時は問題なかった
・ウィルスの進入が9/27 1:00 過ぎだったことがログから判明した
・公開ファイルの書き換えが 9/27 1:00 過ぎに発生しているというログが残っていた
のどれかでしょうか?
ベクターの方針としては「exe形式のインストーラは、実際にインストールしてみて、インストールされるファイルをウィルスチェックする」ことになっていますから、登録申請されたファイルが「検出できないウィルスに感染したもの」だったら、確実に汚染されることになります。
普通なら汚染が広がらないよう、隔離された環境でテストすると思いますが、
・隔離が不完全であり、ウィルス入りのファイルを受け取ったのが9/27 1:00だった
というのもあるかもしれません。
頻繁なだけでは駄目 (スコア:1)
完全停止しなくても済むのは、ダウンロード時にサーバ側で on-the-fly で検査するようなしくみがある場合に限られるでしょう。その場合ですら、「念のために」完全停止して確認するのが「安全側に倒れる」運用でしょう。