パスワードを忘れた? アカウント作成
80004 story

Confickerに感染しているかどうかを一瞬で判定 24

ストーリー by otk
撲滅のためのあの手この手 部門より

あるAnonymous Coward 曰く、

4月1日に活性化するとうわさされていたConfickerワーム(別名Downadup)だが、幸いなことに当日を迎えても特に大きな被害は出なかったようだ。

Conficker Working GroupのJoe Stewart氏は、世界的な規模で感染を広げているこのワームに感染しているかどうかを一目で判別できるチャートを作成した(本家/.ストーリー)。Confickerワームに感染すると、大手セキュリティ企業やマイクロソフトなど特定のドメインへのアクセスがブロックされるため、それらのサイトからコンテンツを読み込めるかどうかだけで感染をチェックできるとのこと。

このチャートはHoneynetでも取り上げられており、「ネットワーク・スキャンベースのチェックよりも信頼性がある」として、診断結果を分かりやすく表示するバージョンを作成、公開している。

チャートのページにアクセスして、6つのロゴ画像がすべて表示されれば感染していない。皆さんもぜひチェックを。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 狙いはわからなくはないのですが、
    この画像を直接見られる人ならWindowsUpdateは当然直接見られるのではないですか?

    つまりプロキシ経由でしかLAN外へアクセスできない環境なら、
    感染していようがこの画像は見られます。むしろ過負荷防止のため
    WindowsUpdateへのアクセスをプロキシで禁止している環境も
    あるぐらいですから、ヘタに安心させてしまうまずいデモではないでしょうか。

    今回大規模感染が発生したのはパッチを当てたら怒られ処分される、まんじゅう
    こわいという風土がある環境でしょう。そういうところにこのような
    直接ビジュアルに訴えるデモを持ってきたら、「やかましいこのサイトで
    絵が出てるだろうが英文なんか知らんMS08-067なんか永久に当てん」
    となる可能性すらあります。

    一応下の注意書きには書いてありますけど、まずいデモと思います。

    • by Anonymous Coward on 2009年04月04日 13時54分 (#1543685)

      本論とは無関係ですが、

      >パッチを当てたら怒られ処分される、まんじゅうこわいという風土がある環境

      「まんじゅうこわい」って、そういう意味ではないと思います。

      「安全(有益)と見なすべきものと危険なものとを「逆に言う」」
      という意味では同じですが、
      それを「わざと言う」のか「無知だから言う」のかで
      違いはかなり有ると思います。

      落語のアレは
      「周囲の人々による悪意の可能性を逆手にとって利益をあげる」
      というずいぶんシタタカな人の話だったと記憶しています。

      いっぽう単に無知とか無思慮とかで逆を言うのは
      単純に不利益が自分(やその配下の人々)に降ってきます。
      悪意に対して全く無防備な人が当然の結果を被っただけです。

      …まさかとは思いますが、
      狙ってわざと逆をやる「わざとノーガード戦法」なんてものは
      普通は無いだろうと思います。成立し得ない。
      まんじゅうのように何が自分にとっての利益/不利益なのかを「隠蔽」する作戦は
      セキュリティにおいては不利益パターンは人に依存せずほぼ一定ですから意味が無い。
      まして「自分はxxxが嫌いなんですよー」という叫びを聞かせるべき相手(敵)は
      そんな個々の被害者のせりふをいちいち観測せず自動でじゅうたん爆撃してるだけ。
      「こちらから相手を騙しにかかる」という作戦はそもそも成り立ちにくい。(ハニーポッド仕掛けるんでない限り)

      親コメント
  • このチャートはHoneynet [honeynet.org]でも取り上げられており、「ネットワーク・スキャンベースのチェックよりも信頼性がある」として

    たしかにそう書いてありますね。根拠は何でしょう。

    正直なところ、画像を表示してみるという方法の信頼性がそれほど高いとは思えないのですが、これより劣るって、ネットワークスキャンというのはそんなに信頼できないのでしょうか。

    • by Anonymous Coward

      >根拠は何でしょう。

      根拠を求める前に、まず相手が前提としている条件を確認すべきじゃないかと。
      何も全てのウイルスの全ての条件に対して、確実とは言っていないでしょう。
      そんな万能論を持ち出すのは、技術者は力量あるほどしないものです。
      既に感染したかどうかわからない環境に、後からスキャンシステムを導入しても、
      あらかじめ予測していて交わされてしまうかも知れず、信頼性の確保は難しい、
      ただ、この当該ウイルスの亜種3つABCに関しては動作を特定したので、
      感染後のスキャンに有効ということでしょう。

      そもそも、大前提として「パッチを速やかに

      • 何も全てのウイルスの全ての条件に対して、確実とは言っていないでしょう。

        はい。知っています。

        Honeynet の記事では、 Conficker (Downadup) に感染しているかどうかのテストとしてネットワークスキャンよりこのテストの方が信頼性が高いとしています。その根拠を知りたいです。

        既に感染したかどうかわからない環境に、後からスキャンシステムを導入しても、
        あらかじめ予測していて交わされてしまうかも知れず

        それが事実なら、たしかにネットワークスキャンの信頼性は低いと言えそうですね。そうなんでしょうか。

        親コメント
        • by Anonymous Coward

          >ネットワークスキャンよりこのテストの方が信頼性が高いとしています。その根拠を知りたいです。

          元記事の意図とは違うかもしれませんが、記事は妥当と考える立場から答えます。

          そもそもネットワークスキャンとは何を指していますか?
          (元記事の言うネットワークスキャンの定義もわからないのですけどね)

          少なくとも、何かのツールを別途ダウンロードして利用するというやり方だと思います。
          敢えて、このウイルスのために、恐らく利用者の使い慣れていないツールを導入するというのはそれだけで危険です。
          この辺に記事 [nikkeibp.co.jp]がありますが。

          そこに問題なかったとしても、スキ

          • そもそもネットワークスキャンとは何を指していますか?
            (元記事の言うネットワークスキャンの定義もわからないのですけどね)

            僕はトレンドマイクロのオンラインスキャン [trendflexsecurity.jp]やシマンテック・セキュリティチェック [symantec.com]の類のソフトを指すものと理解しています。

            確かに、「スキャンツールだよ」と書かれたメールを信じて騙された場合でも、ソフトをインストールしなければ危険は防げるので、偽物が現れた場合の被害の大きさという点では今回の方法の方が多少安全そうです。

            ただ、今回の方法がオンラインスキャンより利用者のスキルへの依存度が低いとは一概には思いません。どんな方法を使うにしても、その方法が使える範囲を理解しておく必要があって、そこが最も難しいと思うので。今回の方法なら、プロクシーを使う設定になっていたら検査ができませんが、「プロクシーを使う設定になっていると検査できません」と言われても多くの利用者は何を確認すれば良いのかわからないと思います。

            最初にパッチが出た時点であてましょうに尽きる話ではありますが。

            パッチを当てましょう、には同感です。

            親コメント
  • やっぱ、噂はエイプリルフールに向けたねただったのですね。

  • by Anonymous Coward on 2009年04月04日 4時21分 (#1543578)

     McAfeeによれば、confrickerを含むドメインへのアクセスはブロックされる [mcafee.com]らしいですから、オリジナルのページへ到達できない気が…。

    #とはいえ、アクセスのブロックを逆に利用するってのは良いアイデアだと思う。
    #他のウィルス/ワームの判定もできるVersionも欲しいかもw

  • by Anonymous Coward on 2009年04月04日 5時38分 (#1543588)

    一瞬で判断できるチャートが大事なんではなくって、特徴的な挙動を説明して理解した上で確認することが大事ですね。

    Conficker (aka Downadup, Kido) is known to block access to over 100 anti-virus and security websites.

    なので分かりやすく表示するバージョンってのは本質的な理解 [uni-bonn.de]を隠蔽してしまう気がする。
    しかも、httpsでアクセス [uni-bonn.de]すると怒られるし。
    指名手配犯は警察署に入ることを嫌うのは普通に納得できる事で、やたら簡素化する必要あるのかなと。
    アレたまで赤く色づく程度に投票されているにも関わらず、鮮やかにスルーされているこの話題 [srad.jp]の一例 [simplexsimple.com]なんかにも言えることだけど。

    本当に信じられるの?っていう心理戦、効果があると聞けば偽対策ソフトを実行するという心理戦に持ち込まれないようにしなくちゃいけんと思うな。
    スラッシュドットのアレたまを利用して、ある程度信頼できる情報源のように思わせて誘導するとか…
    #なに?スラッシュドットは信用されてないから大丈夫?それもそうだ!

  • by hashitom (34540) on 2009年04月04日 11時17分 (#1543643)
    これって新手のフィッシング?
    • by Anonymous Coward

      そう思ってクリックをためらってしまった
      送信元を偽装するウイルスメールもこんな感じなんだろうね

  • by Anonymous Coward on 2009年04月04日 2時06分 (#1543555)
    t/o
  • by Anonymous Coward on 2009年04月04日 4時08分 (#1543574)

    >Confickerワームに感染すると、大手セキュリティ企業やマイクロソフトなど特定のドメインへのアクセスがブロックされるため

    ウイルス・ワームに感染していたら、他PCに被害が及ばないよう即ネットワークから切り離せ
    と教えられたし確かに妥当な判断とは思うが、対処法を探すために他PCのとこまで持って行くのも
    大変だな。

    • >他PCに被害が及ばないよう即ネットワークから切り離せ

      車内のユーザにはまずそれを徹底させたいですね。
      とはいえ、感染しているかどうかわからなければどうしようもないですが。
      そして電源は切らないでおいてほしい。

      起動時にさらにファイルシステム破損などの被害が起きないとも限らないし。
      被害状況とか活動しているマルウェアの確認とかすぐやりたいし。
      えっと、他に電源切らないほうがいい理由ってなんだったっけ。

      --
      屍体メモ [windy.cx]
      親コメント
      • Re:電源は切らない (スコア:1, おもしろおかしい)

        by Anonymous Coward on 2009年04月04日 15時54分 (#1543719)
        車内ならすぐですね。
        親コメント
      • by Anonymous Coward
        >他に電源切らないほうがいい理由ってなんだったっけ。

        そもそも次回起動できるとは限らないとか?
      • by Anonymous Coward

        > えっと、他に電源切らないほうがいい理由ってなんだったっけ。

        ものにもよりますが、シャットダウン時に痕跡を削除される場合があります。

        即電源断で、HDD をイメージ化して read only で調査用のマシンにマウントしてってのもありかなあと思ってます。まあ、このやり方だと、HDD に永続化しないようなタイプのものには通用しなさそうですが。

  • by Anonymous Coward on 2009年04月04日 14時04分 (#1543689)

    チャートのページにアクセスして、6つのロゴ画像がすべて表示されれば感染していない。

    6つのロゴ画像のうちどれかが欠けていれば感染している可能性がある、の間違いだろ。

    マルウェアに感染していると言うのは簡単だが感染していないと言うのは困難なことぐらい周知の事実ですよね?

    • by Anonymous Coward
      > 6つのロゴ画像のうちどれかが欠けていれば感染している可能性がある、の間違いだろ。

      それを言うなら、全ての画像が表示されていても感染している可能性があるし、
      ウィルス対策ソフトをインストールしていたってマルウェアが潜んでいる可能性もある。
      可能性が0かそうでないかを議論することは、セキュリティの観点上ほとんど意味がない。

      そうではなくて、このチャートは Conficker に感染している可能性の高さを示すもの。
      ウィルス対策ソフトウェアのベンダの画像のみが表示されていなかった場合には、
      Conficker に感染によりウィルス対策ソフトの動作や利用者による情報収集が
      • by Anonymous Coward
        当該ページには、画像の表示のされ方によってどう判断すべきか、という組み合わせの例が提示されていますね。 Conficker限定という前提条件付きですけど、わかりやすいのではないかと思います。

        個人的には
        「その他の組み合わせ:インターネット接続環境が貧相なんじゃ?」
        という最後のコメントに笑いました:)

  • by Anonymous Coward on 2009年04月06日 9時13分 (#1544215)
    プロキシを通している場合は、このチェックは全く無意味ですね。
    ちゃんと「プロキシ等を使っている場合はこのチェックではわかりません」って
    目立つように書いておかないと、感染しているのに安心する人が出るです。
typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...