アカウント名:
パスワード:
僕が理解した範囲では対策はAdobe Flash Playerを更新することで良さそうです。Security NEXT記事「「vvvランサムウェア」はFlash脆弱性で感染...」 [security-next.com]によると(このvvv ランサムウェアは)『 10月に「APSB15-27」で修正された「Adobe Flash Player」の脆弱性「CVE-2015-7645」を悪用していた。』とのこと。(ということは11月以降にFlash Playerを最新版にした人は被害受けそうにない)今回は妙に被害報告に尾ひれがついて拡散して、肝心の対策記事が遅かった印象です。
(このvvv ランサムウェアは)『 10月に「APSB15-27」で修正された 「Adobe Flash Player」の脆弱性「CVE-2015-7645」を悪用していた。』とのこと。 (ということは11月以降にFlash Playerを最新版にした人は被害受けそうにない)
もしその話が正しいならば被害を受けた人は1ヶ月以上Flashのアップデートをしていなかったということになる Flashのアップデート通知って新バージョンでたらそれほど遅延なく通知されるイメージあるけど、それでもやらない人がいるってことなのだろうか
逆に、「下手にイエスボタンをクリックしてはいけない」と思っている人はいる。
うちの母親にもその傾向があるの「AdobeがUpdateせいと言ってきたらYESをクリック」と教えている。
ブラウザ上に「古くなっていてセキュリティー的に危険なのでAdobe Readerを更新してください」という『広告』(リンク先はセキュリティーソフトに偽装したマルウェア)が表示されたことあるから気をつけた方がいいよ。
>「下手にイエスボタンをクリックしてはいけない」は確かにその通り。間違ってない。で、その上でアップデートは必要って話なのだが、この判断が初心者には難しい。
アバストがアップデートの必要なソフトを指摘してくれる機能は、初心者にも有効じゃないかと思ってる。「このツールを定期的に実行して/ツールから指摘されたら、それらについてはアップデートするように」ですむからね。#他のアンチウイルスソフトでも似たような機能はあるんだろうか?#アンチウイルスは滅多に乗り換えないからよーわからん。
アンチウイルスではないけど、SecuniaPSI [impress.co.jp]がそのためのソフトウェアですね。ただ、スタートアップで失敗したりして機能しない時があるのが困りもの。他に同機能のソフトがあれば乗り換えたいのですが……。#アンチウイルス自体はカスペルスキーで満足してる。
Kaspersky Software Updater オススメ
AdobeのアップデータとUACのダイアログを見分けられるお母様賢いな。うちのかーちゃんには無理。
flashのアップデートって、オートにしておけばUACのダイアログどころかアップデートの確認すら出さずに勝手に書き換えてなかったっけ?
ログイン時のダイアログに応答して手動更新するときはUACのダイアログ出るんだよね。ChromeもAboutから更新するとUACのダイアログが出る。
「AdobeがUpdateせいと言っている」かどうか判断できない人にそんなこと言うのは逆に危険でしかないよ。
最良の方策はAdobe FlashとReaderの削除なんだが、そうもいかないか。自分はどっちも入れてないけど(Flash必要なサイトはあきらめる。ReaderはFirefoxプラグイン(これは自動で更新される)とWindowsストアアプリのやつ(同上)。# これらが安全かどうかの異論は認める。
Google Chromeは?
そりゃあ「何か面倒そう」って理由でアップデートをキャンセルする人は結構な割合でいるだろうけど、このケースでは
> トレンドマイクロは「日本で被害が急増した形跡は見当たらない」とし
被害が多発しているという噂事態が、そもそもデマ。
もしその話が正しいならば被害を受けた人は1ヶ月以上Flashのアップデートをしていなかったということになる
もともと長い自動更新間隔に加え、ブラウザが起動しっぱなしだったとか?
Flash Player 自動更新の設定https://helpx.adobe.com/jp/flash-player/kb/228473.html [adobe.com]
ああそうか、サスペンドやスリープがセキュリティーホールになりえるのか。
Windowsはブラウザ自体にFlashを組み込んだバージョンがありますから怖くて簡単にはできないんです(Windows10とか)。
ChromeもそうだけどEdgeの組み込みブラウザはPPAPIベースで組まれてるんでFlashは閉じたサンドボックス上でしか動かない脆弱性あっても大抵は無力
サンドボックスで動いているのは事実だがいつのまにPPAPIベースになったんだよ。まさかEdgeはWebKitベースになったとかいうデマを信じてるの?
EdgeのFlashは詳細設定で無効にできるよ。
click-to-playは有効しておきたいところ広告読み込んで、意外なページで重くなるのも防げるし
口実は揃ってるんだからブラウザメーカーの皆様におかれましてはそろそろデフォルトでCTP有効にしてほしい。Java経由の攻撃がなくなってきたのもそろそろ攻撃が現実的じゃないくらい有効化の手間が増えてきたからだろ(Javaプラグインインストール→ブラウザのCTP無効化もしくは例外追加→Javaのセキュリティ設定変更もしくは例外追加→ダイアログに「はい」と応答。ブラウザによってはサポートを完全に廃止)。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
対策はAdobe Flash Playerの更新 (スコア:5, 参考になる)
僕が理解した範囲では対策はAdobe Flash Playerを更新することで良さそうです。
Security NEXT記事「「vvvランサムウェア」はFlash脆弱性で感染...」 [security-next.com]によると
(このvvv ランサムウェアは)『 10月に「APSB15-27」で修正された
「Adobe Flash Player」の脆弱性「CVE-2015-7645」を悪用していた。』とのこと。
(ということは11月以降にFlash Playerを最新版にした人は被害受けそうにない)
今回は妙に被害報告に尾ひれがついて拡散して、肝心の対策記事が遅かった印象です。
Re: (スコア:0)
(このvvv ランサムウェアは)『 10月に「APSB15-27」で修正された
「Adobe Flash Player」の脆弱性「CVE-2015-7645」を悪用していた。』とのこと。
(ということは11月以降にFlash Playerを最新版にした人は被害受けそうにない)
もしその話が正しいならば被害を受けた人は1ヶ月以上Flashのアップデートをしていなかったということになる
Flashのアップデート通知って新バージョンでたらそれほど遅延なく通知されるイメージあるけど、それでもやらない人がいるってことなのだろうか
Re:対策はAdobe Flash Playerの更新 (スコア:2)
逆に、「下手にイエスボタンをクリックしてはいけない」と思っている人はいる。
うちの母親にもその傾向があるの「AdobeがUpdateせいと言ってきたらYESをクリック」と教えている。
Re: (スコア:0)
ブラウザ上に「古くなっていてセキュリティー的に危険なのでAdobe Readerを更新してください」という『広告』(リンク先はセキュリティーソフトに偽装したマルウェア)が表示されたことあるから気をつけた方がいいよ。
Re: (スコア:0)
>「下手にイエスボタンをクリックしてはいけない」
は確かにその通り。間違ってない。
で、その上でアップデートは必要って話なのだが、この判断が初心者には難しい。
アバストがアップデートの必要なソフトを指摘してくれる機能は、初心者にも
有効じゃないかと思ってる。「このツールを定期的に実行して/ツールから指摘されたら、
それらについてはアップデートするように」ですむからね。
#他のアンチウイルスソフトでも似たような機能はあるんだろうか?
#アンチウイルスは滅多に乗り換えないからよーわからん。
Re: (スコア:0)
アンチウイルスではないけど、SecuniaPSI [impress.co.jp]がそのためのソフトウェアですね。
ただ、スタートアップで失敗したりして機能しない時があるのが困りもの。
他に同機能のソフトがあれば乗り換えたいのですが……。
#アンチウイルス自体はカスペルスキーで満足してる。
Re: (スコア:0)
Kaspersky Software Updater オススメ
Re: (スコア:0)
うちの母親にもその傾向があるの「AdobeがUpdateせいと言ってきたらYESをクリック」と教えている。
AdobeのアップデータとUACのダイアログを見分けられるお母様賢いな。
うちのかーちゃんには無理。
Re: (スコア:0)
flashのアップデートって、オートにしておけばUACのダイアログどころかアップデートの確認すら出さずに
勝手に書き換えてなかったっけ?
Re: (スコア:0)
Re:対策はAdobe Flash Playerの更新 (スコア:2)
uxi
Re: (スコア:0)
ログイン時のダイアログに応答して手動更新するときはUACのダイアログ出るんだよね。ChromeもAboutから更新するとUACのダイアログが出る。
Re: (スコア:0)
「AdobeがUpdateせいと言っている」かどうか判断できない人にそんなこと言うのは逆に危険でしかないよ。
Re: (スコア:0)
最良の方策はAdobe FlashとReaderの削除なんだが、そうもいかないか。
自分はどっちも入れてないけど(Flash必要なサイトはあきらめる。ReaderはFirefoxプラグイン(これは自動で更新される)とWindowsストアアプリのやつ(同上)。
# これらが安全かどうかの異論は認める。
Re: (スコア:0)
Google Chromeは?
Re: (スコア:0)
そりゃあ「何か面倒そう」って理由でアップデートをキャンセルする人は
結構な割合でいるだろうけど、このケースでは
> トレンドマイクロは「日本で被害が急増した形跡は見当たらない」とし
被害が多発しているという噂事態が、そもそもデマ。
Re: (スコア:0)
もしその話が正しいならば被害を受けた人は1ヶ月以上Flashのアップデートをしていなかったということになる
もともと長い自動更新間隔に加え、ブラウザが起動しっぱなしだったとか?
Flash Player 自動更新の設定
https://helpx.adobe.com/jp/flash-player/kb/228473.html [adobe.com]
Re: (スコア:0)
ああそうか、サスペンドやスリープがセキュリティーホールになりえるのか。
Re: (スコア:0)
Windowsはブラウザ自体にFlashを組み込んだバージョンがありますから
怖くて簡単にはできないんです(Windows10とか)。
Re: (スコア:0)
ChromeもそうだけどEdgeの組み込みブラウザはPPAPIベースで組まれてるんで
Flashは閉じたサンドボックス上でしか動かない
脆弱性あっても大抵は無力
Re: (スコア:0)
サンドボックスで動いているのは事実だがいつのまにPPAPIベースになったんだよ。まさかEdgeはWebKitベースになったとかいうデマを信じてるの?
Re: (スコア:0)
EdgeのFlashは詳細設定で無効にできるよ。
Re: (スコア:0)
click-to-playは有効しておきたいところ
広告読み込んで、意外なページで重くなるのも防げるし
Re: (スコア:0)
口実は揃ってるんだからブラウザメーカーの皆様におかれましてはそろそろデフォルトでCTP有効にしてほしい。
Java経由の攻撃がなくなってきたのもそろそろ攻撃が現実的じゃないくらい有効化の手間が増えてきたからだろ(Javaプラグインインストール→ブラウザのCTP無効化もしくは例外追加→Javaのセキュリティ設定変更もしくは例外追加→ダイアログに「はい」と応答。ブラウザによってはサポートを完全に廃止)。