ソニーのUSBメモリに「rootkit的」技術 146
ストーリー by yoosee
悪意は無いんだろうがやり方が安易だ 部門より
悪意は無いんだろうがやり方が安易だ 部門より
Melvin 曰く、
ITMediaの記事によると、 フィンランドのセキュリティ企業F-Secureは8月27日、ソニーのUSBメモリのドライバにrootkit的な隠し技術が組み込まれているのを見つけたとして、ブログで概略を公表した。 F-Secureによると、問題があるのは指紋認証機能を組み込んだソニー製USBメモリのソフトドライバ。 2種類のUSBメモリで指紋認証ソフト「MicroVault USM-F」をインストールしたところ、 ドライバが「c:\windows\」以下の通常では見えないフォルダにインストールされ、 Windows APIではこのフォルダが表示されない状態になるそうだ。 フォルダ名を知っていればこの隠しフォルダに新しいファイルを作ることも可能で、しかも一部のウイルス対策ソフトではこのフォルダ内のファイルは検出されないため、理論的にはマルウェアがこの隠しフォルダを利用することが可能だとしている。
F-Secureはこの隠しフォルダが指紋認証を守る目的だとしてもrootkit的な隠し技術を使うのは適切ではないと主張しており、この問題を公表する前にソニーに連絡したが、これまでのところソニーからは何の返答もないとしている。
当社のセキュリティ研究所にて安全性が確認されました (スコア:5, おもしろおかしい)
ようこそ、ソニーマルウェアハウスへ。
このXCP.Sony.Rootkit [ca.com]はサービスだから、まずインストールして落ち着いて欲しい。
うん、「また」なんだ。済まない。
仏の顔もって言うしね、謝って許してもらおうとも思っていない。
でも、このキーワードを見たとき、君は、きっと言葉では言い表せない
「※ただしソースはソニー」 [engadget.com]みたいなものを感じてくれたと思う。
「ほとんどの人はrootkitとは何かを知らないのだから、気に掛けたりしないのではないか」 [itmedia.co.jp]
殺伐とした世の中で、こう開き直れる度胸を忘れないで欲しい、見習ってほしい
そう思って、このUSBメモリのマルウェアを作ったんだ。
じゃあ、注文を聞こうか。
Re:当社のセキュリティ研究所にて安全性が確認されました (スコア:3, おもしろおかしい)
で、MacもUNIXも危険となると、PCとそれによく似たもの(Mac)は全て危険、ってことになる。
しかし、いまの世の中、PCが無くなったら大混乱。危険を承知で今後も使い続けるのですか?
いやいや、ソニーはPCに代わるものを既に販売しています。テレビをモニターに使えて
そこそこ安いお値段のもの。
ほれ、「ゲーム機じゃない」といっているあれですよ。
Re:当社のセキュリティ研究所にて安全性が確認されました (スコア:2)
一瞬、NEWSか?!と思った。
んなわけない。
# いーえ、年齢は詐称してませんよ。かつては熱烈なSJ3ユーザーでしたが。
Re:当社のセキュリティ研究所にて安全性が確認されました (スコア:1)
嫌だなぁ、松田聖子のhitbitに決まってるじゃないですか。
// 私も年齢詐称なんかしていませんよ?
おお、最近流行のアレですか。 (スコア:1)
そういう見方をするとあるいは・・・
# おかしいな。ただの自爆あるいは割腹にしか見えない・・・
それもそうだな (スコア:1)
ポケットビットのドライバも (スコア:4, 参考になる)
ポケットビットのドライバでも、やっぱりおなじのが見つかりました。
http://www.sony.jp/products/Consumer/media/pocketbit/products/usm-f/in... [www.sony.jp]
製品名が違っても、中身は一緒だから、当然だけど。
ドキュメントに (スコア:3, 興味深い)
無断で他者が作ったフォルダやファイルにアクセスした場合に、情報アクセス的ななんらかのペナルティーを設けたら同でしょう。
レジストリやIPによる通信も、利用者に無断でアクセスするのは不誠実だと思います。
Re:ドキュメントに (スコア:1, 参考になる)
GNUみたく主義主張でまとまっているところでも、KDEのようにパッケージ単位のところでも、掲載基準にドキュメントに関する要件が入っていたり、そこまでいかなくても、標準的なテンプレートのようなものが用意されていたりといったことは、少なからずあるんじゃないか。
#実態は知らんけど
個人製作の場合作者が一人で宣言している場合もあるし(たいていは「レジストリはいじらないしインストールされたフォルダ内とOpenコマンドで開いたファイル以外触らないよ」程度の簡単なものだけど)。
Re:ドキュメントに (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
検知ツールRootkitRevealer (スコア:3, 参考になる)
「RootkitRevealer」のページがNotFoundで探し回りました。
MSのページに移設されてました。
http://www.microsoft.com/technet/sysinternals/Security/RootkitRevealer.mspx
どうやって作ったの? (スコア:2, 興味深い)
rootkit 検出ツールで発見できるということは、セキュリティ関係の人にはわりと有名な手法なんでしょうか?
Re:どうやって作ったの? (スコア:4, 参考になる)
Re:どうやって作ったの? (スコア:1)
確か (スコア:2, 興味深い)
APIによらずに独自にNTFSファイルシステムを解析するプログラムを使わなきゃいけないんだとか聞いたことがある…んー、ソースが思い出せないな。
# まぁいいや、「ただしソースはソニー」ってことで
/.configure;oddmake;oddmake install
まさに (スコア:1, おもしろおかしい)
まさにIt's a SONY.
Re:どうやって作ったの? (スコア:1, 興味深い)
存在を示す情報を削除等)して返すようなものを走らせとくとか。
Re:どうやって作ったの? (スコア:1, 興味深い)
Re:どうやって作ったの? (スコア:1, おもしろおかしい)
--
~dareka/Wnn/. /.../tmp なんていうフォルダを勝手に占有していたのはいつのことだろう…
管理者権限でインストーラ走らせれば当然かと (スコア:3, 参考になる)
そんなわきゃない。そのように使うこともできる、というだけで。
変な仕込みをやってるのはアプリケーションやツールのインストーラ
なんだから、「管理者権限でインストールしてください」という
指示に従えばそうなってしまうわけで。それは Linux の各種
ディストリビューションのパッケージマネージメントシステムも同じ。
ただ Windows の場合、ユーザから認識できるユーザ名で管理者権限の
あるユーザかどうかが簡単に判定できないのはわかりづらいよね。
まぁ UNIX ライクな OS だって UID=0 のユーザ名が root じゃなきゃ
いけないという制限は本来ないはずなんだけど、そうしないと
多くのツールがうまく動かないので現実的には可読名で権限がわかる。
Windows が SID とユーザ名を徹底的に分離しているのはいい意味で
考えれば柔軟性なんだけどシステム上のその柔軟性が脆弱性を生む
方向に運用されている気がする。
屍体メモ [windy.cx]
Re:管理者権限でインストーラ走らせれば当然かと (スコア:2, 参考になる)
# あれ、ネットワークばっかだ
通常の方法=エクスプローラで見えないってだけ? (スコア:2, おもしろおかしい)
--
#ウイルスのソースの80%は普通に使われている技術の集合です。
Re:通常の方法=エクスプローラで見えないってだけ? (スコア:1)
ってぐらいだから、流石に属性情報だけ弄ってるようには思えないが。
#その程度でチェックしないウイルス対策ソフトが実存しても困るが。
/* Kachou Utumi
I'm Not Rich... */
AntiVirusベンダーのSymantecですら・・・・・ (スコア:2, 参考になる)
ITmedia エンタープライズ:SymantecのNortonにもrootkit [itmedia.co.jp]
書き方が悪い (スコア:2, 興味深い)
とでもすればいいのにね。
続報 (スコア:2, 参考になる)
XCPの時とほぼ同じ技術、その上ウィルスに利用された脆弱性までほぼそのままって事ですね。
なにも反省しない、何も改めない、それがソニーって事でしょうか?
これじゃ、ソニー自身が悪用する為にわざとやってるって言われても仕方ない。
でも・・・ (スコア:1)
そして、市場からそれに対する(暗黙の)ソリューションを求められている
という事だと思うんです。
結局、Administrator (root)権限を付与されてしまった場合って何でも
出来てしまいますよね?
Windows だろうが Linux だろうが Mac だろうが。
こういった防衛製品の場合、抜け穴を塞ごうとすると、こういった事
(OS が管理している権限以上の制御)が必要だと思っています。
例えば Windows の場合、どんなファイルも Administrator 権限さえ
持っていれば MoveFileEx で必ず消す事が出来るわけで。
製品用のユーザ作ってそのユーザ以外はアクセス出来ない様にしても
ユーザ消されてしまえば、アクセス不可の悲しいファイルの出来上がりだし。
今回のソニー製品の場合は、本来の目的から考えると隠蔽
なんてする必要は無いんじゃないかな?とも思ったりはしますが。
パーソナルコンピュータを仕事に使っている時点で、どうにもならない
事は多々あるんだろうなぁ・・・と日々思う次第。
Re:でも・・・ (スコア:1)
問題の製品 [www.sony.jp]は単にそのUSBメモリ内のファイルを暗号化するだけでなく、
「接続したPCにあるファイル/フォルダ(USBメモリ上にかぎらない)の暗号化および指紋認証によるアクセス」
「PCそのものの指紋認証によるロック」
「指紋認証による、WebサイトのID/パスワード自動入力」
などの機能を提供しています。
指紋認証システムとして見ると、USBメモリは単なるおまけです。
指紋認証による暗号化解除を透過的に行うためには、ファイルアクセスに細工するような何かをシステムに組み込むことはどうしても必要でしょう。
Re:でも・・・ (スコア:1)
それは例えばこんな製品? [apple.com]
Mac用なんだけどね。
見えないフォルダ? (スコア:1)
今までだって、Windowsに限らず、Linuxにも隠しフォルダは存在する。
いままでの隠しフォルダと何が違うの?
一部のアンチウィルスの検出に引っかからないというのは、どうして検出されないの?その理由は?
マルウェアが利用できるんだから、技術的にはアンチウィルスソフトだって利用できるはず。
アンチウィルスソフトの性能不足なだけではないの?
Re:見えないフォルダ? (スコア:2, 参考になる)
今までだって、Windowsに限らず、Linuxにも隠しフォルダは存在する。
ダウト、
隠しフォルダ属性ではありません。
隠しフォルダ属性は見えないフォルダじゃないですから。
きちんと隠しフォルダも表示するオプションで表示されます。
つまりOSからは見えるわけです。
SONYのこれはXCPの時とおなじく、"OSも書き換えて、OSからも存在を見えなくしています"
http://www.itmedia.co.jp/enterprise/articles/0708/29/news031.html [itmedia.co.jp]
だから、一部のウィルススキャンソフトでもアクセスできない事が発生するわけです。
OS上で、OSから見えないソフトなんて、通常の状態では存在しません。
Re:見えないフォルダ? (スコア:1)
ウィルスやマルウェアに感染している状態が「異常」で、ウィルスやマルウェアに感染していない状態を「正常」と呼ぶのだと思う。
従って、二つ目も三つ目も共に正常なのでは?
Re:見えないフォルダ? (スコア:1)
まず、「ソニー製マルウェア」と書かれていますが、今回のものは、正確にはマルウェアでは無いと判断しました。
マルウェアに悪用される可能性はあるが、これ自体は悪い事はしてない。
もし、「ソニー製マルウェア」というのが、今回のとは別のものを差しているなら、そのマルウェアの詳細を提示されていない以上、是非は判断できません。
そのうえで、提示されている3つの条件を見ると、マルウェアによる実害のあるケースは1つ目だけで、2つ目と3つ目は実害がありません。
ですので、「正常」なのは2つ目と3つ目と書きました。
要するに、ソニー製であろうと他社製であろうと、実害があれば「異常」、実害が無いなら「正常」と判断しているのです。
>つまり「ソニー製」ならOKか。わかりやすいねアンタ。
という事で、それは誤解です。
Re:見えないフォルダ? (スコア:1)
これはその通り、きちんとOSから見えないものも監視しているスキャンソフトは、ファイルの監視にOSのAPIを使わず、
独自にファイルアクセスのAPIを作り、監視しているんです。
>あるソフトは、「ソニー製マルウェア」自体の存在・動作を許さなかった。Windowsアプリの道を外しているんだから。
こうなるとユーザーは困るよね。金だして買ったのに使わせてもらえないんだから。
別に困らないなぁ。セキュリティリスク高すぎるから。
別のUSB買ってソニーに返品。本来してはいけない事をしているのは不良品と同じ扱いでいいと思う。
ソニーが受けるかどうかはわからんが。
ウィルスもいない、マルウェアもいない、勝手にOSからも見えないファイルなんてのが作られてない状態が"正常"なんですよ。
>#1211226の人はウィルス感染してるのが正常みたいですがw
Re:見えないフォルダ? (スコア:1)
私は、ウィルス感染してる状態は異常だと思います。
「>」と引用がついてるけど、oyajismelの意見ですよね?
何か勘違いさせてしまうような事を言ってしまったでしょうか?
最後の「w」からすると、何かの冗談なのでしょうか?
Re:見えないフォルダ? (スコア:2)
まず、
>ファイルシステム等へのアクセスに第三者のデバイスドライバを余計に介する事になり、その余分な分だけセキュリティホール等の危険性が増える。
この記述はマルウェアにバグがあった場合、セキュリティホールが余計に増える可能性がある。という記述です。これはこの通り。
(バッファオーバーフローなどがある場合のリスクですね)
ですが、今回のマルウェアの使用と性格上、インストール時に上記記述とは
別のセキュリティホールが発生します。
それがXCPのときにも言われた”悪用可能な不可視性"なんです。
ユーザーはそのフォルダ(と中の実行ファイル)をあることを
通常のOSの機能を使用しては認識できない。
だが、そのフォルダがある(ある可能性(フォルダ名)を知っている)人間は
そこに隠して、PC所有者に無断でなんでもできる
入れただけでセキュリティホールが空くんです。
だから、"実害"で"異常"なんです。
Re:見えないフォルダ? (スコア:1)
だと思うんですが。
コマンドプロンプトは実質、WINDOWS上で別OSが動いてる様なものですし。
自分でOS(WINDOWS)の機能を使わず、別にAPIを組む以外でWINDOWSAPIから見えないものを
WINDOWSAPIでアクセスする方法があるのでしょうか?
あるならば私の勉強不足です。すいません。
Re:見えないフォルダ? (スコア:1)
>今までだって、Windowsに限らず、Linuxにも隠しフォルダは存在する。
>いままでの隠しフォルダと何が違うの?
ニュースの記事のあの表現では、OS管理下のファイルシステムの標準の隠しフォルダの設定と誤解されるおそれもあるんだよな。
OSがファイルシステムにアクセスするシステムコールを書き換えて、対象のホルダー(ディレクトリ)は表示しない様に細工をしたから表示されなくなったって問題だよな。
他のアプリもその書き換えた部分を使ってファイルにアクセスするようになるので、書き換えた部分にバグがあれば他のアプリの動作もズタズタになる。バッファオーバーホールの様なセキュリティーホールがあれば悪用されるおそれも出てくる。
悪意を持った奴が対象ホルダーになるようにホルダーを作ると、その存在も解らなくなる。(前は、$sys$ってホルダーだっけ?)
>ドライバの初期化コードを調べたところ、このドライバはいくつかのファンクションをシステム・コールのテーブルから横取りしていることが分かった。そして名前が“$sys$”で始まるファイルやディレクトリ、レジストリ・キー、プロセスをすべて隠すのだ。
http://www.atmarkit.co.jp/fwin2k/insiderseye/20051109rootkit/rootkit_01.html [atmarkit.co.jp]
動作もかなり遅くなる。アプリからの要求を書き換えた部分を通して本来のAPIにアクセスし、返ったデータに対象ホルダーがあるか検索し、あれば削除をしてから要求してきたアプリに返すのだろ。要らない中継、要らない検索動作が加わるから。
と言うデメリットがあるんだよな。
指紋認証システムだからこういった細工をして、何処に存在するか隠したかったのだろうか?
でも、OSを書き換えてまでして隠しホルダーを作ったが、結局はばれた訳。調べる能力のある奴がいたからな。
windowsの利用者の多くは管理者権限で常時利用している訳で、隠しホルダーにコピーして実行するような細工を簡単にされる可能性がある。
書き換えているから、ウイルス検索ソフトなどでは大抵隠しホルダーは調べないし、調べれない。だから問題だとあのニュースは言いたかったんじゃ?
指紋認証システム自体を逆アセンブラーや逆コンパイラーで解析されたくないから、安易にファイルを隠そうとしたのだろうけど、どの道場所はばれたんだよな。
解析し悪用しようとする奴らならば、探してファイルを見つけられるだろうし。
メリットって殆ど無いんじゃ?
それなのにOSの書き換えをやっているんだよな。
今度はどう言った実装をしたのかは知らんが、前の様に$sys$が頭にあるホルダーやファイルみたいな実装だと、あるプログラムでデータを記録するホルダーが$sys$aaaで、データがあるか否か調べると常にデータ無しと誤認する可能性が出て来るんだよな。
「レジストリ・キー、プロセス」もだから、$sys$aaa.exeみたいなソフトは動いていることも表示されないのでは?タスクマネージャーでプロセスを摘んで止める事も出来なくなる?
そう言った事を断りも無くインストールをしたメーカーだよ。過去に続いてまたな。
Re:Vista (スコア:2, 興味深い)
元々Windows XP/2000では、通常は制限ユーザーで使用して、プログラムのインストールやシステムの設定を変更するときだけ管理者権限で使用することを想定していたのですが、事実上管理者権限でないと使用できないソフトが多数あったり、ユーザーが作業に応じてログインしなおすという運用形態を理解できない(理解できても面倒)という理由で、普段から管理者権限で使うというセキュリティ上好ましくない使われ方がされているだけです。
Windows VistaでもユーザーにUACを止められたら同じでしょう?
# Vista対応版TVチューナー(UAC非対応)のせいでUACをとめる羽目になった orz # UAC非対応でもVista対応とパッケージに書けるんだな…
愚かさによって説明できるものを悪意のせいにしてはならない
Re:Vista (スコア:2, おもしろおかしい)
だってさ
そんなやつらにはXP程度で十分なんだろうに無理しちゃって
Re:Vista (スコア:1, 参考になる)
はいはいとOK押しちゃうだろうからなぁ……
#なかなか巧妙な手口だ
ドライバインストールする以上、管理者権限でやるだろうし。
結局、最大のセキュリティホールは人間ってことか。
Re:Vista (スコア:1, おもしろおかしい)
>#なかなか巧妙な手口だ
そうか?見慣れた手口だと思うよ。
「おお ゆうしゃ おりばあ よ まっていたぞ
ひめ を たすけだしてくれるのか?」
はい →いいえ
「そうか では もういちどだけ きこう」
「ゆうしゃ おりばあ よ
ひめ を たすけだしてくれるな?」
はい →いいえ
「そうか では もういちどだけ きこう」
「ゆうしゃ おりばあ よ
ひめ を たすけだしてくれるな?」
はい →いいえ
(以下数回略)
「そうか では もういちどだけ きこう」
「ゆうしゃ おりばあ よ
ひめ を たすけだしてくれるな?」
→はい いいえ
「おお さすが でんせつの ゆうしゃの しそん
たのんだぞ ゆうしゃ おりばあ」
「まずは でんしゃに のって りぬくす の
えんばん を てにいれるのだ!」
Re:Vista (スコア:3, すばらしい洞察)
だから他人でもそのフォルダの中に“なにか”を仕込むことが可能で、しかも一部のセキュリティソフトはそこをチェックできない。
実に杜撰だ。
Re:Vista (スコア:3, すばらしい洞察)
rootkit的なツールを使っていることではなくて、本質は
ユーザにちゃんと「こういうツールを入れますよ」って
確認を取らずにインストールするのが問題なんです。
今回の問題だって、「指紋認証のセキュリティを確保するため、
一般的にrootkitと分類される機能を利用しています。」
ってあらかじめユーザの了解を得てからインストールしとけば
ただの脆弱性をもったタコなソフトという批判で済むんです。
それに、そんなソフトが他にもたくさんあるから勝手にやっていい
という理屈は通用しません。
信号無視をするやつがいるから自分も信号無視をしていいなんて
思うやつは運転する資格がないのと同様。
Re:Vista (スコア:1, おもしろおかしい)
君はそのままで大丈夫だよ。
Re:で? (スコア:2, すばらしい洞察)
バッファローとかハギワラシスコムとかIBMとか。
Re: (スコア:1)
Re:で? (スコア:1)
CDだとしたらそれ自身に記憶領域がないので
何らかの状態を保持しなくてはいけない状況であれば
ローカルのディスクにデータを保存するのは推測できるし
まぁ仕方ない(そんなアプリがCDに入ってるのがいいかはどうかとして)
でも、USBメモリならUSBメモリ自身に記録しておけばいいじゃないですか。
やっぱちょっと不自然ですよ。
# Sonyだから自然、という主張なんだったら・・・何というか・・・
# ・・・・ほんとイメージ悪くなったね・・・Sonyとしか言えない・・・
Re:つまりソニー製品はあぶない (スコア:1, おもしろおかしい)
「愛社無罪」
うん、これだ。
「愛国無罪」に比べたら大したことないっしょ、ということ。
理不尽な「愛国無罪」と「愛社無罪」にさらされる日本の国民は、とても不幸だ。
Re:つまりソニー製品はあぶない (スコア:1)