Windows Updateでマルウェアもらくらくアップデート 26
ストーリー by mhatta
セキュリティ屋はクラッカー掲示板も監視しているのか 部門より
セキュリティ屋はクラッカー掲示板も監視しているのか 部門より
ComputerWorld.jpの記事より。米Symantec社のセキュリティ専門家Elia Florioのブログによると、彼の友人Frank Boldewinが今年3月にドイツで活動を検出したマルウェアを解析した結果、ファイルのダウンロードに新しいテクニックを利用していることが判明したという。
今回発見された手法では、Windows UpdateやSUSなど様々なソフトウェアが利用するMicrosoft開発のOSコンポーネントBackground Intelligent Transfer Serviceを利用していた。OSの一部であるためローカルファイアウォールを迂回しやすく、対処が困難などの特徴がある。
Frank BoldewinのWebサイトでは5月11日から検証用コードの配布も行っているようだが、テストは自己責任において行ってもらいたい。
記事の題名 (スコア:5, すばらしい洞察)
リンク先のニュースを見るとちゃんと
「Windows Updateのファイル転送を悪用する」
とヘッドラインを見れば、概要が適切に伝わる表現が使われています。
新聞のように文字制限があるわけでもあるまいし、なぜ「思わせぶり」な
題名を付けるのですかね。これではWindows Updateを利用するとマルウェア
も同時にアップデートされるのか?と誤解するじゃないですか。
ところで、ソース元の記事を見ると
>「BITSのインタフェースには、高い権限レベルでしかアクセスできないように設計すべきだ。
>また、BITSによるダウンロードでは、ダウンロード元を、信頼できるURLに限定するようにすべきではないか」
と書いてあるのですが、そういう風になっていないんですね。調べたことがなかったので
知らなかったのですが、システムアップデートを扱うコンポーネントの一部なのでもっと
セキュアに作ってあると思ってました。
Re:記事の題名 (スコア:3, すばらしい洞察)
#1156188 [srad.jp]に述べられているような、
内容に関する勘違いが問題だと思うけど。
題名が問題になるのは、せっかく正しく内容を理解しているにも
かかわらず、題名が不適切なために正しく伝わらない(誤解を与えたり
意味不明になる)場合でしょう。今回は元記事からして内容が正しく
理解されてない(少なくとも、誤解を生む記事ではある)のだから、
題名以前の問題だと思います。
Re:記事の題名 (スコア:0)
> タイトルはキャッチーで俗受けするのがいいかなあ
と考えられた結果のようです。
本文も含めて「技術的な内容が理解できていない」だけでなく、
「理解できていないことを認識できていない」ようにも見えますが。
Re:記事の題名 (スコア:1, すばらしい洞察)
>> タイトルはキャッチーで俗受けするのがいいかなあ
>と考えられた結果のようです。
あえてきつく書くが、タイトルをつけた奴(これまでのコメントからするとoddmakeのようだが)は大馬鹿野郎だ。
"NEWS FOR NERDS"なのだから、「キャッチーで俗受けするかどうか」よりも、正確さを優先するべきだろう。
他のスレッドで
> 「うちじゃBITSなんてソフトは入れてないから大丈夫」って安心する人が大多数となる悪寒。
などと書いているが、タイトルだけを読んで、「Windows Updateは危険」と誤解するバカが出現したり、タイトルだけが一人歩きする可能性を想像できなかったのか。
これまでも記事内容に問題があるストーリーはあったが、今回のは特にひどいと思った。
ゴシップ記事が書きたいのなら個人のブログでやれ。
Re:記事の題名 (スコア:2, 興味深い)
> もっとセキュアに作ってあると思ってました。
BITSはシステムアップデート「にも」使ってるだけでは。
極端な話、win32APIの一般的な機能(ファイルI/Oとか)も
システムアップデートに使われていると思いますが、
それも高い権限レベルでしか使用できないようにすべき?
適切なレイヤで適切なレベルの保護をかけるべきであって、
むやみやたらとセキュアにすることが意味があるとは思えません。
Re:記事の題名 (スコア:2, 参考になる)
今回の誤解は、ネタもとである Symantec blog が Malware Update with Windows Update [symantec.com] と表現しているのが震源地でしょう。
Re:記事の題名 (スコア:0)
タレコミしたことあれば分かりますが、文字制限あります。何文字か忘れましたが。
プレビューでは書き込めても「タレコむ」ボタンを押すときに警告がでます。
Re:記事の題名 (スコア:0)
#内容はさておきタブロイド紙と同じやりかた。
Re:記事の題名 (スコア:0)
題名部分に折り目を入れられないのが残念です。フォントサイズが調整できればよいのか。
Re:記事の題名 (スコア:0, フレームのもと)
microsoftを信頼したことはありません
Re:記事の題名 (スコア:0)
お前さんのポリシなんて知らんがな
本質的に関係ないWindows Updateの問題としているのはどうよ! (スコア:5, すばらしい洞察)
って、BITSは、確かにWindows Updateから呼び出されているけど、専用のコンポーネントじゃないんだけどなぁ。
APIも公開されているし...。
Windows Updateの欠陥のような表現をしているあたりに、レポートや記事の注目を集めようとして、意図的な情報の歪曲が行われていると感じています。
「BITSという機能がウイルス製作者に悪用されている」っていう表現が妥当でしょ?
コンピュータワールドの誤解or誤読でしょう (スコア:1)
コンピュータワールド記事では確かにそのような書き方がされていますが、Symantec Security Response BlogではWikipediaからの引用として、
と、さまさまなソフトウェアから利用されていることがちゃんと書かれております。
地の文ではWindows Updateにしか触れていないのでアレなんですが。
>レポートや記事の注目を集めようとして、意図的な情報の歪曲が行われていると感じています
意図的かどうかはともかく…Blogの方では歪曲は行われていないと思いました。
>「BITSという機能がウイルス製作者に悪用されている」っていう表現が妥当でしょ?
「うちじゃBITSなんてソフトは入れてないから大丈夫」って安心する人が大多数となる悪寒。
「Windows Updateで利用されている機能BITSによってクラッカーがマルウェアを目標コンピュータに投入するのが容易になっている」くらいでないと。でも一般人に識別できるのは最初の数文字 [srad.jp]っていう話があるから微妙ですねえ。
/.configure;oddmake;oddmake install
Re:コンピュータワールドの誤解or誤読でしょう (スコア:1, 興味深い)
>「Windows Updateで利用されている機能BITSによってクラッカーがマルウェアを目標コンピュータ
>に投入するのが容易になっている」くらいでないと。でも一般人に識別できるのは最初の数文字っていう話があるから微妙ですねえ。
確かに単に「BITSという機能がウイルス製作者に悪用されている」では開発者でないと何が言いたいのかわからない。
開発者に「今後、BITSは脆弱だから廃止するよBITS2を使ってね」というニュースならそれでいいんだけど、
コンポーネントの名称など意識しないWindows利用者に注意を促すには代表的な利用例を示すのは妥当だろうね。
WindowsUpdateが有効な環境にあるPC(つまりネットに繋がっているPC)が影響を受けると言ったほうが直感的に伝わる。
年配の一般企業の役職者にプレゼンするのに、BITSなんてコンポーネントだけで説明する馬鹿はいない。
「Windows Updateで利用されている機能」より、「Windows Updateも利用しているコンポーネント」のほうが適切だけどね。
「本質的に関係ない」とまで言ってしまうのもまた、問題を過小評価させかねない情報の歪曲になりうる。
ただ、こんなタレコミしておいてお前が言うなとも言っておきたい。
最悪なのは、タイトルが「WindowsUpdateでマルウェアも同時にアップデートされる」と受け取られかねないこと。
これでは、コンポーネントに問題があるのか、サイトに悪質なスクリプトを仕掛けられたのか解らない。
元記事にはそのようなニュアンスが無いのに、タレコミのせいで「レポートや記事の注目を集めようとして」と元記事を読まずに言われ、
更にその指摘にすばらしい洞察5がついてしまうと、バイアスに満ちている雑誌、有用な情報ではないと判断されかねない。
ComputerWorldのほうが、いい迷惑だろうにね。
ComputerWorldは、開発者向け雑誌というよりも、一般企業の偉い人も目を通すエンタープライズ情報誌だから、
WindowsUpdateという身近な例を持ち出すのは当然なんだな。
DivX のアップデート機能 (スコア:2, 参考になる)
これも Background Intelligent Transfer Service を使っていたんでしょうかね…。
Re:DivX のアップデート機能 (スコア:1)
http://www.google.com/support/pack/bin/answer.py?hl=jp&answer=33190 [google.com]
APIが公開されているというのもあるのでしょうが、
利用しているソフトは結構あるのかもしれません。
悪用以前に、あの重たさは勘弁して欲しい (スコア:1)
Microsoft Update の更新チェックが異常に重たくなってた気がしてるんだが、、、
バックグラウンドプロセスのくせに
フォアグラウンドのタスクが動けない程の負荷かけるのは正直勘弁して欲しい。
そう思っていたら、
「Windows UpdateでPCが高負荷になる問題、MSが技術情報を公開 [impress.co.jp]」
なんて発表が、、、
これで改善されるなら良いのだが、、、
あと、Windows Update らしきプロセスが、
http://cds256.lax.llnw.net/msdownload/update/v3-19990518/cabpool [llnw.net]
辺りを見に行ってる形跡が、、、
上記 URL には何も見えんのだが、これ、本物なんだろうか?
まさか問題のマルウェアではないのかと、気が気ではない、、、(- -;;;)
# ウィルススキャンしても引っかからんし、、、(- -;;;;;;)
ドメインメイが Microsoft じゃないのが凄ぇ気持ち悪いんだが、
もし俺が悪いんじゃないんだとしたら、
Microsoft の神経はどうかしてると思う、、、
https じゃないと成りすましが防げんじゃないか、、、(- -;;;)
uxi
ただのCDNでしょ (スコア:0)
もたないところ(ニコニコ動画など)はよく使っていますよ。
>もし俺が悪いんじゃないんだとしたら、
>Microsoft の神経はどうかしてると思う、、、
精神科へ行って強迫神経症のカウンセリングを受けましょう。
Re:悪用以前に、あの重たさは勘弁して欲しい (スコア:0)
えーっと、WindowsUpdateの途中に電子証明の検証中って出ますよね・・・?
すぐ終わっちゃいますけど。
例えはすっごく悪いけどPGPの電子証明みたいな感じでとりあえずもってきて、
それを開く前に本当にMSの作った本物かどうか検証するって感じなんですが。
なりすましされてMSの電子署名がされたexeに摩り替えられたというのなら脅威度は高いですが・・・
そんな事が出来るならhttpsも成りすまし可能かな。
# そりゃhttps+電子署名の方がベターかもしれませんけど。
あと、とりあえず、逆引きが管理下にないとか大規模になってくればふつーの事(ミラー業者に委託とか)では?
特に全世界にサーバー持たないと捌ききれるか不明なほどのMSなら普通にありますよね。
コロンブスの卵 (スコア:0)
Re:コロンブスの卵 (スコア:0)
今までは、こんな機能を使わなくても普通に大漁に釣れたからでしょ。
Re:コロンブスの卵 (スコア:0)
Re:コロンブスの卵 (スコア:0)
BITSって、単なるユーザーのネットワーク帯域を邪魔しない(事も可能)で自動ダウンロードしてくれるダウンローダーなサービスです。
途中での再起動・レジューム対応・完了の通知を備えたダウンローダーなんで他のアプリでも自由に使うことが可能ですよ。
あれですな、Iriaやwgetがサービス化したような感じ。
ふーむ (スコア:0)
もっと言うとtelnet 80とかも。