パスワードを忘れた? アカウント作成
16199 story

ソニーのUSBメモリに「rootkit的」技術 146

ストーリー by yoosee
悪意は無いんだろうがやり方が安易だ 部門より

Melvin 曰く、

ITMediaの記事によると、 フィンランドのセキュリティ企業F-Secureは8月27日、ソニーのUSBメモリのドライバにrootkit的な隠し技術が組み込まれているのを見つけたとして、ブログで概略を公表した。 F-Secureによると、問題があるのは指紋認証機能を組み込んだソニー製USBメモリのソフトドライバ。 2種類のUSBメモリで指紋認証ソフト「MicroVault USM-F」をインストールしたところ、 ドライバが「c:\windows\」以下の通常では見えないフォルダにインストールされ、 Windows APIではこのフォルダが表示されない状態になるそうだ。 フォルダ名を知っていればこの隠しフォルダに新しいファイルを作ることも可能で、しかも一部のウイルス対策ソフトではこのフォルダ内のファイルは検出されないため、理論的にはマルウェアがこの隠しフォルダを利用することが可能だとしている。
F-Secureはこの隠しフォルダが指紋認証を守る目的だとしてもrootkit的な隠し技術を使うのは適切ではないと主張しており、この問題を公表する前にソニーに連絡したが、これまでのところソニーからは何の返答もないとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2007年08月29日 3時37分 (#1211072)
    やあ (´・ω・`)

    ようこそ、ソニーマルウェアハウスへ。

    このXCP.Sony.Rootkit [ca.com]はサービスだから、まずインストールして落ち着いて欲しい。

    うん、「また」なんだ。済まない。

    仏の顔もって言うしね、謝って許してもらおうとも思っていない。

    でも、このキーワードを見たとき、君は、きっと言葉では言い表せない

    「※ただしソースはソニー」 [engadget.com]みたいなものを感じてくれたと思う。

    「ほとんどの人はrootkitとは何かを知らないのだから、気に掛けたりしないのではないか」 [itmedia.co.jp]

    殺伐とした世の中で、こう開き直れる度胸を忘れないで欲しい、見習ってほしい

    そう思って、このUSBメモリのマルウェアを作ったんだ。

    じゃあ、注文を聞こうか。
  • by Anonymous Coward on 2007年08月29日 0時38分 (#1211035)
    写真と型番が一緒だったから、BLACKLIGHTでスキャンしてみたら、
    ポケットビットのドライバでも、やっぱりおなじのが見つかりました。
    http://www.sony.jp/products/Consumer/media/pocketbit/products/usm-f/in... [www.sony.jp]

    製品名が違っても、中身は一緒だから、当然だけど。
  • by kcg (26566) on 2007年08月29日 10時52分 (#1211152) ホームページ 日記
    アクセスするすべてのファイルやフォルダのパスを一覧することを義務化してほしいです。
    無断で他者が作ったフォルダやファイルにアクセスした場合に、情報アクセス的ななんらかのペナルティーを設けたら同でしょう。
    レジストリやIPによる通信も、利用者に無断でアクセスするのは不誠実だと思います。
    • by Anonymous Coward on 2007年08月29日 14時35分 (#1211253)
      法規制はムリだろうけど、ガイドラインのようなものならすでにあるね。たとえばベクターの掲載基準 [vector.co.jp]にもドキュメントに関する規定(第10条)がある。

      GNUみたく主義主張でまとまっているところでも、KDEのようにパッケージ単位のところでも、掲載基準にドキュメントに関する要件が入っていたり、そこまでいかなくても、標準的なテンプレートのようなものが用意されていたりといったことは、少なからずあるんじゃないか。
      #実態は知らんけど

      個人製作の場合作者が一人で宣言している場合もあるし(たいていは「レジストリはいじらないしインストールされたフォルダ内とOpenコマンドで開いたファイル以外触らないよ」程度の簡単なものだけど)。
      親コメント
    • by sakamoto (8009) on 2007年08月29日 20時17分 (#1211393) 日記
      これは構造的な問題じゃなくて、ソニーとか、シマンテックとかの一部の会社特有の問題だと思うな。 だから、産業界全体にブレーキをかけるようなことはして欲しくないな。 どっちかというと、「こういうソフトウェアは非常識」みたいなリストを作って、そういうソフトウェアを作る会社をリストアップしていく方がいいと思うけど。
      --
      -- 哀れな日本人専用(sorry Japanese only) --
      親コメント
  • by sladoslado (28918) on 2007年08月29日 16時46分 (#1211311)
    SysinternalsがMSに買収されて統合されてるのですね。
    「RootkitRevealer」のページがNotFoundで探し回りました。
    MSのページに移設されてました。
    http://www.microsoft.com/technet/sysinternals/Security/RootkitRevealer.mspx
  • by orcinus (28475) on 2007年08月28日 22時35分 (#1210966)
    そもそも何でそんなフォルダが作れるのかが謎。
    rootkit 検出ツールで発見できるということは、セキュリティ関係の人にはわりと有名な手法なんでしょうか?
  • フォルダ属性が FILE_ATTRIBUTE_HIDDEN なだけだったりして

    --
    #ウイルスのソースの80%は普通に使われている技術の集合です。
  • by Rutice (31742) on 2007年08月29日 10時24分 (#1211141)
    過去に同じようにディレクトリを隠蔽して問題になりました
    ITmedia エンタープライズ:SymantecのNortonにもrootkit [itmedia.co.jp]
  • by Anonymous Coward on 2007年08月29日 13時43分 (#1211231)
    2種類のUSBメモリで指紋認証ソフト「MicroVault USM-F」をインストールしたところ、ドライバが「c:\windows\」以下の通常では見えないフォルダにインストールされ、 Windows APIではこのフォルダが表示されない状態になるそうだ。
    肝心の何故見えなくなるかが説明できてませんね。

    2種類のUSBメモリで指紋認証ソフト「MicroVault USM-F」をインストールしたところ、Windows APIが書き換えられてしまい、ドライバが「c:\windows\」以下の特定の名前のフォルダにインストールされる。書き換えられたWindows APIではこの特定の名前のフォルダは表示されない状態になるそうだ。
    とでもすればいいのにね。
  • 続報 (スコア:2, 参考になる)

    by oyajismel (32045) on 2007年08月29日 14時00分 (#1211243) 日記
    http://www.itmedia.co.jp/enterprise/articles/0708/29/news031.html [itmedia.co.jp]


    、既存のドライバスタックの上にファイルシステムフィルタドライバとしてインストールされ、以後すべてのファイルシステム情報がこの新しいデバイスドライバ経由でフィルタされるようになり、どんなディレクトリやファイルでも簡単に隠すことができるようになる。


    XCPの時とほぼ同じ技術、その上ウィルスに利用された脆弱性までほぼそのままって事ですね。

    なにも反省しない、何も改めない、それがソニーって事でしょうか?

    これじゃ、ソニー自身が悪用する為にわざとやってるって言われても仕方ない。
  • by kazu.kd (34697) on 2007年08月29日 13時21分 (#1211223)
    問題は、顧客は Administrator 権限で作業を行っている事が多いという事実。
    そして、市場からそれに対する(暗黙の)ソリューションを求められている
    という事だと思うんです。

    結局、Administrator (root)権限を付与されてしまった場合って何でも
    出来てしまいますよね?
    Windows だろうが Linux だろうが Mac だろうが。

    こういった防衛製品の場合、抜け穴を塞ごうとすると、こういった事
    (OS が管理している権限以上の制御)が必要だと思っています。
    例えば Windows の場合、どんなファイルも Administrator 権限さえ
    持っていれば MoveFileEx で必ず消す事が出来るわけで。

    製品用のユーザ作ってそのユーザ以外はアクセス出来ない様にしても
    ユーザ消されてしまえば、アクセス不可の悲しいファイルの出来上がりだし。

    今回のソニー製品の場合は、本来の目的から考えると隠蔽
    なんてする必要は無いんじゃないかな?とも思ったりはしますが。

    パーソナルコンピュータを仕事に使っている時点で、どうにもならない
    事は多々あるんだろうなぁ・・・と日々思う次第。

  • 見えないフォルダが存在する事はなんら問題は無いはず。
    今までだって、Windowsに限らず、Linuxにも隠しフォルダは存在する。
    いままでの隠しフォルダと何が違うの?

    一部のアンチウィルスの検出に引っかからないというのは、どうして検出されないの?その理由は?
    マルウェアが利用できるんだから、技術的にはアンチウィルスソフトだって利用できるはず。
    アンチウィルスソフトの性能不足なだけではないの?
    • by oyajismel (32045) on 2007年08月29日 14時09分 (#1211245) 日記
      >見えないフォルダが存在する事はなんら問題は無いはず。
      今までだって、Windowsに限らず、Linuxにも隠しフォルダは存在する。

      ダウト、

      隠しフォルダ属性ではありません。
      隠しフォルダ属性は見えないフォルダじゃないですから。

      きちんと隠しフォルダも表示するオプションで表示されます。
      つまりOSからは見えるわけです。

      SONYのこれはXCPの時とおなじく、"OSも書き換えて、OSからも存在を見えなくしています"
      http://www.itmedia.co.jp/enterprise/articles/0708/29/news031.html [itmedia.co.jp]

      だから、一部のウィルススキャンソフトでもアクセスできない事が発生するわけです。

      OS上で、OSから見えないソフトなんて、通常の状態では存在しません。
      親コメント
    • >見えないフォルダが存在する事はなんら問題は無いはず。
      >今までだって、Windowsに限らず、Linuxにも隠しフォルダは存在する。
      >いままでの隠しフォルダと何が違うの?

      ニュースの記事のあの表現では、OS管理下のファイルシステムの標準の隠しフォルダの設定と誤解されるおそれもあるんだよな。
      OSがファイルシステムにアクセスするシステムコールを書き換えて、対象のホルダー(ディレクトリ)は表示しない様に細工をしたから表示されなくなったって問題だよな。

      他のアプリもその書き換えた部分を使ってファイルにアクセスするようになるので、書き換えた部分にバグがあれば他のアプリの動作もズタズタになる。バッファオーバーホールの様なセキュリティーホールがあれば悪用されるおそれも出てくる。
      悪意を持った奴が対象ホルダーになるようにホルダーを作ると、その存在も解らなくなる。(前は、$sys$ってホルダーだっけ?)
      >ドライバの初期化コードを調べたところ、このドライバはいくつかのファンクションをシステム・コールのテーブルから横取りしていることが分かった。そして名前が“$sys$”で始まるファイルやディレクトリ、レジストリ・キー、プロセスをすべて隠すのだ。
      http://www.atmarkit.co.jp/fwin2k/insiderseye/20051109rootkit/rootkit_01.html [atmarkit.co.jp]
      動作もかなり遅くなる。アプリからの要求を書き換えた部分を通して本来のAPIにアクセスし、返ったデータに対象ホルダーがあるか検索し、あれば削除をしてから要求してきたアプリに返すのだろ。要らない中継、要らない検索動作が加わるから。
      と言うデメリットがあるんだよな。

      指紋認証システムだからこういった細工をして、何処に存在するか隠したかったのだろうか?
      でも、OSを書き換えてまでして隠しホルダーを作ったが、結局はばれた訳。調べる能力のある奴がいたからな。
      windowsの利用者の多くは管理者権限で常時利用している訳で、隠しホルダーにコピーして実行するような細工を簡単にされる可能性がある。
      書き換えているから、ウイルス検索ソフトなどでは大抵隠しホルダーは調べないし、調べれない。だから問題だとあのニュースは言いたかったんじゃ?
      指紋認証システム自体を逆アセンブラーや逆コンパイラーで解析されたくないから、安易にファイルを隠そうとしたのだろうけど、どの道場所はばれたんだよな。
      解析し悪用しようとする奴らならば、探してファイルを見つけられるだろうし。
      メリットって殆ど無いんじゃ?
      それなのにOSの書き換えをやっているんだよな。

      今度はどう言った実装をしたのかは知らんが、前の様に$sys$が頭にあるホルダーやファイルみたいな実装だと、あるプログラムでデータを記録するホルダーが$sys$aaaで、データがあるか否か調べると常にデータ無しと誤認する可能性が出て来るんだよな。
      「レジストリ・キー、プロセス」もだから、$sys$aaa.exeみたいなソフトは動いていることも表示されないのでは?タスクマネージャーでプロセスを摘んで止める事も出来なくなる?

      そう言った事を断りも無くインストールをしたメーカーだよ。過去に続いてまたな。
      親コメント
typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...