Confickerに感染しているかどうかを一瞬で判定 24
ストーリー by otk
撲滅のためのあの手この手 部門より
撲滅のためのあの手この手 部門より
あるAnonymous Coward 曰く、
4月1日に活性化するとうわさされていたConfickerワーム(別名Downadup)だが、幸いなことに当日を迎えても特に大きな被害は出なかったようだ。
Conficker Working GroupのJoe Stewart氏は、世界的な規模で感染を広げているこのワームに感染しているかどうかを一目で判別できるチャートを作成した(本家/.ストーリー)。Confickerワームに感染すると、大手セキュリティ企業やマイクロソフトなど特定のドメインへのアクセスがブロックされるため、それらのサイトからコンテンツを読み込めるかどうかだけで感染をチェックできるとのこと。
このチャートはHoneynetでも取り上げられており、「ネットワーク・スキャンベースのチェックよりも信頼性がある」として、診断結果を分かりやすく表示するバージョンを作成、公開している。
チャートのページにアクセスして、6つのロゴ画像がすべて表示されれば感染していない。皆さんもぜひチェックを。
Conficker遮断サイト∧WindowsUpdate∧ネットワーク (スコア:5, 興味深い)
狙いはわからなくはないのですが、
この画像を直接見られる人ならWindowsUpdateは当然直接見られるのではないですか?
つまりプロキシ経由でしかLAN外へアクセスできない環境なら、
感染していようがこの画像は見られます。むしろ過負荷防止のため
WindowsUpdateへのアクセスをプロキシで禁止している環境も
あるぐらいですから、ヘタに安心させてしまうまずいデモではないでしょうか。
今回大規模感染が発生したのはパッチを当てたら怒られ処分される、まんじゅう
こわいという風土がある環境でしょう。そういうところにこのような
直接ビジュアルに訴えるデモを持ってきたら、「やかましいこのサイトで
絵が出てるだろうが英文なんか知らんMS08-067なんか永久に当てん」
となる可能性すらあります。
一応下の注意書きには書いてありますけど、まずいデモと思います。
Re:Conficker遮断サイト∧WindowsUpdate∧ネットワーク (スコア:1, すばらしい洞察)
本論とは無関係ですが、
>パッチを当てたら怒られ処分される、まんじゅうこわいという風土がある環境
「まんじゅうこわい」って、そういう意味ではないと思います。
「安全(有益)と見なすべきものと危険なものとを「逆に言う」」
という意味では同じですが、
それを「わざと言う」のか「無知だから言う」のかで
違いはかなり有ると思います。
落語のアレは
「周囲の人々による悪意の可能性を逆手にとって利益をあげる」
というずいぶんシタタカな人の話だったと記憶しています。
いっぽう単に無知とか無思慮とかで逆を言うのは
単純に不利益が自分(やその配下の人々)に降ってきます。
悪意に対して全く無防備な人が当然の結果を被っただけです。
…まさかとは思いますが、
狙ってわざと逆をやる「わざとノーガード戦法」なんてものは
普通は無いだろうと思います。成立し得ない。
まんじゅうのように何が自分にとっての利益/不利益なのかを「隠蔽」する作戦は
セキュリティにおいては不利益パターンは人に依存せずほぼ一定ですから意味が無い。
まして「自分はxxxが嫌いなんですよー」という叫びを聞かせるべき相手(敵)は
そんな個々の被害者のせりふをいちいち観測せず自動でじゅうたん爆撃してるだけ。
「こちらから相手を騙しにかかる」という作戦はそもそも成り立ちにくい。(ハニーポッド仕掛けるんでない限り)
本当にネットワークスキャンより信頼性が高いの? (スコア:2)
たしかにそう書いてありますね。根拠は何でしょう。
正直なところ、画像を表示してみるという方法の信頼性がそれほど高いとは思えないのですが、これより劣るって、ネットワークスキャンというのはそんなに信頼できないのでしょうか。
Re: (スコア:0)
>根拠は何でしょう。
根拠を求める前に、まず相手が前提としている条件を確認すべきじゃないかと。
何も全てのウイルスの全ての条件に対して、確実とは言っていないでしょう。
そんな万能論を持ち出すのは、技術者は力量あるほどしないものです。
既に感染したかどうかわからない環境に、後からスキャンシステムを導入しても、
あらかじめ予測していて交わされてしまうかも知れず、信頼性の確保は難しい、
ただ、この当該ウイルスの亜種3つABCに関しては動作を特定したので、
感染後のスキャンに有効ということでしょう。
そもそも、大前提として「パッチを速やかに
Re:本当にネットワークスキャンより信頼性が高いの? (スコア:2)
はい。知っています。
Honeynet の記事では、 Conficker (Downadup) に感染しているかどうかのテストとしてネットワークスキャンよりこのテストの方が信頼性が高いとしています。その根拠を知りたいです。
それが事実なら、たしかにネットワークスキャンの信頼性は低いと言えそうですね。そうなんでしょうか。
Re: (スコア:0)
>ネットワークスキャンよりこのテストの方が信頼性が高いとしています。その根拠を知りたいです。
元記事の意図とは違うかもしれませんが、記事は妥当と考える立場から答えます。
そもそもネットワークスキャンとは何を指していますか?
(元記事の言うネットワークスキャンの定義もわからないのですけどね)
少なくとも、何かのツールを別途ダウンロードして利用するというやり方だと思います。
敢えて、このウイルスのために、恐らく利用者の使い慣れていないツールを導入するというのはそれだけで危険です。
この辺に記事 [nikkeibp.co.jp]がありますが。
そこに問題なかったとしても、スキ
Re:本当にネットワークスキャンより信頼性が高いの? (スコア:2)
僕はトレンドマイクロのオンラインスキャン [trendflexsecurity.jp]やシマンテック・セキュリティチェック [symantec.com]の類のソフトを指すものと理解しています。
確かに、「スキャンツールだよ」と書かれたメールを信じて騙された場合でも、ソフトをインストールしなければ危険は防げるので、偽物が現れた場合の被害の大きさという点では今回の方法の方が多少安全そうです。
ただ、今回の方法がオンラインスキャンより利用者のスキルへの依存度が低いとは一概には思いません。どんな方法を使うにしても、その方法が使える範囲を理解しておく必要があって、そこが最も難しいと思うので。今回の方法なら、プロクシーを使う設定になっていたら検査ができませんが、「プロクシーを使う設定になっていると検査できません」と言われても多くの利用者は何を確認すれば良いのかわからないと思います。
パッチを当てましょう、には同感です。
エイプリルフールネタ (スコア:2)
やっぱ、噂はエイプリルフールに向けたねただったのですね。
オリジナルのチャートページじゃ判定できなんじゃね? (スコア:1, 興味深い)
McAfeeによれば、confrickerを含むドメインへのアクセスはブロックされる [mcafee.com]らしいですから、オリジナルのページへ到達できない気が…。
#とはいえ、アクセスのブロックを逆に利用するってのは良いアイデアだと思う。
#他のウィルス/ワームの判定もできるVersionも欲しいかもw
ああ…次は偽ウイルス確認チャートだ… (スコア:1, 興味深い)
一瞬で判断できるチャートが大事なんではなくって、特徴的な挙動を説明して理解した上で確認することが大事ですね。
なので分かりやすく表示するバージョンってのは本質的な理解 [uni-bonn.de]を隠蔽してしまう気がする。
しかも、httpsでアクセス [uni-bonn.de]すると怒られるし。
指名手配犯は警察署に入ることを嫌うのは普通に納得できる事で、やたら簡素化する必要あるのかなと。
アレたまで赤く色づく程度に投票されているにも関わらず、鮮やかにスルーされているこの話題 [srad.jp]の一例 [simplexsimple.com]なんかにも言えることだけど。
本当に信じられるの?っていう心理戦、効果があると聞けば偽対策ソフトを実行するという心理戦に持ち込まれないようにしなくちゃいけんと思うな。
スラッシュドットのアレたまを利用して、ある程度信頼できる情報源のように思わせて誘導するとか…
#なに?スラッシュドットは信用されてないから大丈夫?それもそうだ!
本文を読んだ感想 (スコア:1)
Re: (スコア:0)
そう思ってクリックをためらってしまった
送信元を偽装するウイルスメールもこんな感じなんだろうね
画像ブロックしてるから何も見れない (スコア:0)
残念でした (スコア:1, 参考になる)
リンク先読めんばちゃんとその可能性についても考慮されてます。
感染していたらどう対処するか? (スコア:0)
>Confickerワームに感染すると、大手セキュリティ企業やマイクロソフトなど特定のドメインへのアクセスがブロックされるため
ウイルス・ワームに感染していたら、他PCに被害が及ばないよう即ネットワークから切り離せ
と教えられたし確かに妥当な判断とは思うが、対処法を探すために他PCのとこまで持って行くのも
大変だな。
電源は切らない (スコア:1)
>他PCに被害が及ばないよう即ネットワークから切り離せ
車内のユーザにはまずそれを徹底させたいですね。
とはいえ、感染しているかどうかわからなければどうしようもないですが。
そして電源は切らないでおいてほしい。
起動時にさらにファイルシステム破損などの被害が起きないとも限らないし。
被害状況とか活動しているマルウェアの確認とかすぐやりたいし。
えっと、他に電源切らないほうがいい理由ってなんだったっけ。
屍体メモ [windy.cx]
Re:電源は切らない (スコア:1, おもしろおかしい)
Re: (スコア:0)
そもそも次回起動できるとは限らないとか?
Re: (スコア:0)
> えっと、他に電源切らないほうがいい理由ってなんだったっけ。
ものにもよりますが、シャットダウン時に痕跡を削除される場合があります。
即電源断で、HDD をイメージ化して read only で調査用のマシンにマウントしてってのもありかなあと思ってます。まあ、このやり方だと、HDD に永続化しないようなタイプのものには通用しなさそうですが。
うわあああぁぁぁ、アクセス出来ねぇぇぇぇ!!!111!!! (スコア:0)
すべて表示でセーフ?それ本当に「すべて」? (スコア:0)
チャートのページにアクセスして、6つのロゴ画像がすべて表示されれば感染していない。
6つのロゴ画像のうちどれかが欠けていれば感染している可能性がある、の間違いだろ。
マルウェアに感染していると言うのは簡単だが感染していないと言うのは困難なことぐらい周知の事実ですよね?
Re: (スコア:0)
それを言うなら、全ての画像が表示されていても感染している可能性があるし、
ウィルス対策ソフトをインストールしていたってマルウェアが潜んでいる可能性もある。
可能性が0かそうでないかを議論することは、セキュリティの観点上ほとんど意味がない。
そうではなくて、このチャートは Conficker に感染している可能性の高さを示すもの。
ウィルス対策ソフトウェアのベンダの画像のみが表示されていなかった場合には、
Conficker に感染によりウィルス対策ソフトの動作や利用者による情報収集が
Re: (スコア:0)
個人的には
「その他の組み合わせ:インターネット接続環境が貧相なんじゃ?」
という最後のコメントに笑いました:)
プロキシ (スコア:0)
ちゃんと「プロキシ等を使っている場合はこのチェックではわかりません」って
目立つように書いておかないと、感染しているのに安心する人が出るです。