スパイウエアをインストールさせるスパイウエア検出サイト 21
ストーリー by kazekiri
誰もがうっかり 部門より
誰もがうっかり 部門より
Anonymous Coward曰く、" ITproの記事となっているが、 米Websense社が19日付でスパイウエアを検出・駆除するサイトに 見せかけた悪質なサイトが多数確認されているとして 注意を呼びかけたとのこと。 ユーザーがスパイウエアに感染している可能性があることを煽り、 そこで偽のスパイウエア対策サイトへ誘導するということのようだ。 当然のように、そのようなサイトでは、スパイウエア/アドウエアを インストールさせられたり、個人情報を盗まれたりするとのこと。 手口としては古典的なので、精巧にやられると一般には判別しにくい かもしれませんね。"
信用できないので Spybot もインストールしていません (スコア:5, すばらしい洞察)
理由としては次のようなものが挙げられます。
・デジタル署名がされていない。
・公式サイトにファイルのハッシュ値が表示されていない。
・公式にファイルを置かずにランダムで表示されるミラーサイトからのダウンロードを要求している。
・公式サイトのミラーサイトが多数あったりURLが頻繁に変更されて信頼性が低い。
勿論、デジタル署名がされていたら他の条件は満たしていなくても許容しますけどね。
無料運営とは言っても多数のWebサイトを運営している経験からして、
Spybotの公式サイトにAdsenceなどの広告を貼れば最低でも1000$/月にはなるでしょう。
年間$80もあれば可能なデジタル署名をけちる理由にはならないと思います。
(デジタル署名を付けたりすればソフトの信頼性が高まり寄付金も増えるでしょうし)
もし、費用面がこれが不可能だというなら仕方ないかもしれません。
しかし、訳のわからんダウンロードサイトから落とせと要求するなら、
最低でも公式サイトにハッシュ値を掲載して欲しいものです。
こういったセキュリティの基礎が出来ていないようなソフトで、
しかもUsers権限ではなくAdministrators権限と通信許可まで要求します。
セキュリティソフトを唄っているならユーザに信用してもらえるような工夫をしてほしいです。
Re:信用できないので Spybot もインストールしていません (スコア:2, すばらしい洞察)
意味が正反対になってしまうのできっちり区別した方が
よろしいかと…
Re:信用できないので Spybot もインストールしていません (スコア:1)
Spybot - Search & Destroy なら大活躍。
Re:信用できないので Spybot もインストールしていません (スコア:1, 興味深い)
を見ると、MD5のハッシュが張ってあるように見えるけど
これは信用できないのかな?
Re:信用できないので Spybot もインストールしていません (スコア:5, 参考になる)
ちょっと前まではこのように [higaitaisaku.com]なっていて、
ハッシュ値は掲載されていませんでした。
まず、皆様に古い情報をもとにした記事を公開してご迷惑をおかけしたことをお詫び申し上げます。
このハッシュ値に関する問題点を挙げると、
問題点1:
取得ドメインが多すぎたりサイトの移転が過去に数回あったりして、
どれが正規のサイトでどれがフィッシングサイトだかの区別がつきにくい。
従って、正当なハッシュ値を記載している公式サイトがどれだか分からない。
(例)www.safer-networking.org, www.spybot.info, spybot.eon.net.au
問題点2:
MD5ハッシュは最近では信頼性がなくなってきており偽装される心配もある。
どうせならCHA-1やPGPなどのハッシュ値を記載して欲しい。
問題点3:
通信経路の改ざんなどの問題があるので、
SSLを利用して欲しい。
ですね。
Re:信用できないので Spybot もインストールしていません (スコア:5, 参考になる)
正規サイトは過去何度も執拗に攻撃されたことがあり、その都度
退避を繰り返してきた経緯があるようです。
現在でも攻防は断続的に続いているようなので正規サイトの証明
はきちんとしてほしいと思うのは同意です。
ただこのような民間のプロジェクトで実用レベルのものは少ない
ので取り組みそのものは評価してよいのではないかと思います。
Re:信用できないので Spybot もインストールしていません (スコア:1, 参考になる)
Re:信用できないので Spybot もインストールしていません (スコア:1)
まず、このストーリーでハッシュ値が公開されているのが必須だとか言うのが変。
この言いようだと、
ハッシュ値が公開されていれば、スパイウェアをインストールする
スパイウェア検出ツールでもインストールしてしまいそうな勢い。
第一、ダウンロードした物が改変されていないかそれほど心配なら、
複数個所から何個かダウンロードして比較してみればいいではありませんか。
ソフトウェアをダウンロードする時にハッシュ値でわざわざチェックする人なら、そのくらいできるでしょう。
常駐しているスパイウェアに改変される恐れを抱いているなら、
スパイウェアが常駐している状況では(本質的にはトロイ等と変わらないのだから)
何やっても信頼なんて出来ませんので、心配するだけ取り越し苦労。
まぁデジタル署名があるならまだましかもしれませんが、それだって
インストール後の動作を考えれば、完璧ではない。
さらに Admin 権限が云々といってますが、
スパイウェアが Admin 権限でインストールされていたり、
気付きにくい非表示のデバイスドライバとしてインストールされることがごく普通にあるのに、
どうやって駆除するのかと。
Users 権限と Admins 権限で作り分けろってか。
スパイウェア駆除ソフトの通信要求すら許可できないとなると、
新しいスパイウェアに対応できずに、逆に
スパイウェアだけがどんどん自分自身を更新していくだけ。
[Q][W][E][R][T][Y]
Re:信用できないので Spybot もインストールしていません (スコア:1, すばらしい洞察)
> スパイウェア検出ツールでもインストールしてしまいそうな勢い。
だれもそんな事言ってませんよ。
ミラーサイトからのダウンロードを要求する以上は信頼性のあるハッシュ値の公開は必要条件だと言っているだけで。
URLがIPアドレスのサイトは信用できない、という発言に対して
「独自ドメインのサイトなら全部する勢い」と反論しているようなものですね。
> 第一、ダウンロードした物が改変されていないかそれほど心配なら、
> 複数個所から何個かダウンロードして比較してみればいいではありませんか。
大容量のファイルを複数サイトからダウンロードしたら相手のサーバに負荷がかかりますし、
ダウンロードに膨大な時間がかかります。
ハッシュ値掲載するなんてたいした手間じゃないのに、
何故利用者側がそのような事をする必要があるのですか?
しかも、それをやったところで、公式サイトが配布したいファイルとの同一性は確認できません。
> さらに Admin 権限が云々といってますが、・・・
> スパイウェア駆除ソフトの通信要求すら許可できないとなると・・・
だから、そういうAdministrators権限や通信許可を要求するソフトを導入するってことは、
そのソフトにPCの完全な支配権を与えることに等しいわけです。
従って、「デジタル署名」を行って信頼性を保証しろってこと。
デジタル署名は匿名では取れません。
ベリサインなどの機関から郵便物が郵送されたり電話確認があったりと
身元の確認が署名機関によって行われるわけです。
またファイルが改変されていないことなども同時に証明できます。
Re:信用できないので Spybot もインストールしていません (スコア:0, おもしろおかしい)
理由としては次のようなものが挙げられます。
・デジタル署名がされていない物が殆ど。
・公式サイトにファイルのハッシュ値が表示されていない。
・公式にアップデートファイルを置かずに各install.rdf内に書かれたサイトからのアップデートを要求している物が多い。
・アップデートはインストールを許可していないサイトからでもできる。
・アップデート後、起動時に勝手に無断で、任意サイトにアクセスしに行くようになったものもある
・公式サイトのミラーサイトが多数あったり同じバージョンを何度もアップデートさせたり信頼性が低い。
勿論、デジタル署名がされていても、オレオレ署名だったら許容しませんがね。
#
そもそも、無料のセキュリティツールなんて相互監視させないと信用できないです。
Re:信用できないので Spybot もインストールしていません (スコア:0)
されてます
>・公式サイトにファイルのハッシュ値が表示されていない。
されてます
>・公式にファイルを置かずにランダムで表示されるミラーサイトからのダウンロードを要求している。
>・公式サイトのミラーサイトが多数あったりURLが頻繁に変更されて信頼性が低い。
上記の2項が満たされていればどうでもいいですね。
つまり、親コメントに真実はいっさい含まれていません。
一度でもダウンロードしたら分かることなんですけどね。
情報収集の手間を惜しむと失敗するいい教訓ですな。
Re:信用できないので Spybot もインストールしていません (スコア:0)
download.com から 現在(2005年12月29日)、
Spybot S&D をダウンロードしてみたところ、
デジタル署名がされていることを確認しました。
古い情報を今の情報と誤解されるような書き方をして申し訳ありませんでした。
何を信じればいいのか… (スコア:2, おもしろおかしい)
件のサイト「あんたのPCはスパイウェアに侵されています!」
ユーザー「大変だいますぐアクセクする!」
Websense社「お前それ騙されてるよ」
ユーザー「よかった!僕のPCにはもともとスパイウェアはいなかったんだね!」
それ何てちょっといい話?
Re:何を信じればいいのか… (スコア:1)
まぁそれはおいといて…。
Web上で引っ掛けられる、ソフトのインストールでも
引っ掛けられる。有名どころのソフトを
開発元から落とすしかないのでしょうかね。
それでも絶対的な安心はないでしょうが…
//疑い出せばキリがない。嫌な世の中…
Re:何を信じればいいのか… (スコア:4, 参考になる)
> 引っ掛けられる。有名どころのソフトを
> 開発元から落とすしかないのでしょうかね。
> それでも絶対的な安心はないでしょうが…
11月25日の高木浩光氏の日記によると、
ウイルスバスター2006はトレンドマイクロの定義で言うところのスパイウェアである [takagi-hiromitsu.jp]
とのことです。
一応、ウィルスバスター2006のフィッシング詐欺対策ツールバーを使わなければ問題ないらしい。
I'm out of my mind, but feel free to leave a comment.
Re:何を信じればいいのか… (スコア:2, 参考になる)
多分これのことかと (スコア:1, 参考になる)
最近の (スコア:0)
なんかあるの?
2004年度いぜんは アンチスパイウエアがスパイウエアだって
ことはよくあったんだけど・・・
もうね (スコア:0)