パスワードを忘れた? アカウント作成
6101430 story
Windows

Windows 8のWindows Defenderはhostsファイルの変更をブロックする 77

ストーリー by hylom
なんのためのhostsファイルだ 部門より
あるAnonymous Coward 曰く、

本家/.で、Windows 8ではhostsファイルの変更がブロックされるという話が物議を醸している。

hostsファイルを変更して保存してもそれが反映されず、編集がなかったことにされる、という問題のようだが、その原因はWindows Defenderにあった模様(ghacks.net)。hostsファイルの書き換えによる不正なホストへの接続をブロックする措置だと思われる。Windows Defenderをオフにしてhostsファイルを書き換えればその内容は正しく保存されるようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by kanta1880 (42886) on 2012年08月22日 8時16分 (#2216092) 日記

    >Windows Defenderをオフにしてhostsファイルを書き換えればその内容は正しく保存されるようだ。
    オフにすれば今まで通り編集できるなら別にいいじゃないんじゃないかと。
    hostsで設定するのは便利とはいえ多くの人には不要だし、実際hostsを書き換えるウイルスが出回ったことを考えれば、デフォルトで編集出来るようになっている必要はないでしょう。
    編集したい場合は明示的にディフェンダーを解いて編集可の状態にする、ぐらいの了解があるのはむしろ賛成です。

    #OSX Mountain LionのGatekeeperの時も同じようなこと言ってた気がする

    • by Anonymous Coward on 2012年08月22日 8時28分 (#2216096)

      安全のために容易に変更できないようにするのには賛成ですが、ユーザーが保存したつもりなのにされていない、という点はなにかいい解決法がないものかなと思います。
      DefenderがOFFの場合、はなから保存操作を受け付けないようにしてしまえないものかな。

      親コメント
      • by Anonymous Coward on 2012年08月22日 8時36分 (#2216101)

        なんで黙って戻されるのかというと、hostsに追加された項目を「マルウェア」とみなして「駆除」しているからみたいね。
        だからDefender自体をOFFにしなくてもhostsを除外リストに追加すればいいみたい。

        親コメント
        • by kei100 (5854) on 2012年08月22日 20時33分 (#2216628)

          その通りです。
          hostsファイルを例外に追加するか、該当脅威自体を許可すれば設定変更可能です。
          該当のhostsエントリは、SettingsModifier:Win32/PossibleHostsFileHijack [microsoft.com]として検出され自動的に削除され空行になります。
          また、コメントアウト等で該当行が有効なエントリでなければ削除されずそのまま残るようです。

          Windows Defenderが原因である事は、Windows Defenderを起動し履歴タブを選択するか、イベントビューアのアプリケーションとサービスログ>Microsoft>Windows>Windows Defender>Operationalと辿ること等で確認できます。
          上記検出内容 [microsoft.com]は、Windows8のWindows DefenderはMicrosoft Security Essentials [microsoft.com]とほぼ同じパターンファイルですので、手元にWindows8が無くてもWindowsXP/Vista/7等でも検証可能です。
          他の該当ドメインはTrojan.Win32.Qhost [viruslistjp.com]の亜種等から適当にコピペすれば手元で確認できると思います。

          Windows8のWindows DefenderがMSEと大きく異なるのは、設定画面に「既定の操作」という項目が無く、おそらくパターンファイルで定義されている推奨される「検疫」「削除」「駆除」等が自動実行される、今回のケースの様に完全に通知すら出ないで駆除されるケースもあるようです。
          この為サイレントに駆除された際にその事が解りにくいという点でしょうか。
          イベントログにトリガーを設定すれば解りますが一般的ではないでしょうし。
          この挙動が許されないのであれば、もし後日提供されるのであればWindows8対応のMSEを入れるか、サードパーティのセキュリティソフトを導入すれば回避できそうです。

          個人的にはこの自動で適用されるのは好きではありませんが、セキュリティとのトレードオフな感じもします。
          少なくともデフォルトでインストールされ、多くの詳しくないユーザーが使うことを想定した際に、選択肢すら出さないというのはアリかもしれません。
          ただ、偽陽性対策に関して相当大変なチェックを要求されると思うのでMS大変そうだなとは思いますが。
          # WindowsPhoneもそうですが、「自動的に行う」挙動がだんだん増えて裏が見えにくくなってきたかな?と感じる今日この頃。歳かな……

          親コメント
        • なんで黙って戻されるのかというと、hostsに追加された項目を「マルウェア」とみなして「駆除」しているからみたいね。
          だからDefender自体をOFFにしなくてもhostsを除外リストに追加すればいいみたい。

          マルウェアなんかに書き換えられるリスクは残りますけどね。
          デフォルトが書き換えられないってのは一般の人向けには正しいと思う。

          親コメント
        • by Anonymous Coward

          消しても消しても復活するDLLファイルみたいな扱いなのね。

          >Windows2000/XPにはSystem File Protection(以下SFP)という機能があり、
          >重要なファイルが更新もしくは削除されると、dllcacheフォルダにある
          >正しいバージョンのファイルを置換します。

          WinXP消してもいいファイルまとめ | 役に立たないTips [fc2.com]

      • by Anonymous Coward on 2012年08月22日 8時59分 (#2216118)

        MSの意図どおりなのか、たまたまそうなったのか不明だけど、
        hostsを書き換えて悪意のサイトへ誘導するマルウェアのほうから
        見た場合、保存しようとしてエラーとなるよりは、保存したと
        みせかけて保存できていないほうが面倒になる。

        自分の誘導が成功したと思わせた動作をさせておいて、実は
        うまくいっていないわけ。

        マルウェアが、保存しようとしてエラーとなったとき、ここでの
        活動はあきらめて痕跡を消すための行動に入るかもしれない。
        自分だけを消す大人しい行動ならいいが、下手すりゃ、捜索を
        回避するために二度と起動できなくする破壊活動を取る可能性
        だってある。

        ユーザが自分で変更するときは、それなりにちゃんとした権限で
        ちゃんとした判断を持って変更するはずなので、それは問題ない。

        親コメント
        • by Anonymous Coward on 2012年08月22日 9時48分 (#2216146)

          APIは正常終了に見せかけつつ、Defenderが通知エリア辺りにポップアップで警告すれば良いと思うが。

          親コメント
          • by Anonymous Coward

            今度はポップアップがうるさいと言いだすに一票

            • by Anonymous Coward

              ブロックしなきゃ不味いイベントがそうポコポコ起きてたまるか。
              ポップアップが五月蝿いなんて言って良い相手はメール検疫とFW位だろうが。

              • by Anonymous Coward on 2012年08月22日 10時57分 (#2216205)

                甘いな。甘すぎるセキュリティ意識だ。

                最大のセキュリティホールの人間って、馬鹿だから。
                アンチウィルスのウィルス検知が頻繁に出るのがうざくて、アンチウィルスをOFFにするやつが存在することを知らないのか?
                MSともなると、そういう輩もぜんぶひっくるめて対策を考える必要があるんだ。

                親コメント
              • by Anonymous Coward

                通知すべきイベントを通知してそれがうっとうしいといわれても

                そもそもhostsファイルを書き換えるという
                > ブロックしなきゃ不味いイベントがそうポコポコ起きてたまるか。
                なわけ。
                だからうざいと思うほどポップアップするわけありません。

        • by Anonymous Coward

          なぜマルウェアの作者がターゲットに類似する環境でテストしていないと考えるのか。

          • by Anonymous Coward

            win7以前用のマルウェアにはwin8でテストしてないのも多いと思うけど。
            それが防げるだけでも万々歳。

      • それで一言、何か言ってくれるなら十分ですよね。「Defenderがhostsファイルの書き換えをロールバックしました」とポップアップが出るとか。
        親コメント
        • by Anonymous Coward on 2012年08月22日 11時22分 (#2216227)

          例によって日本語記事の劣化がひどいんだが、ロールバックしているわけではなく、特定のホスト名(本家ではfacebook.comとad.doubleclick.netが確認されている)を含むhostsの項目が選択的に削除される。
          ad.doubleclick.netは広告よけに追加していた人がそれなりにいたんじゃなかろうか。

          親コメント
      • by Anonymous Coward

        > DefenderがOFFの場合
        ONの場合でした。ごめんなさい

    • by Anonymous Coward on 2012年08月22日 8時39分 (#2216103)

      > 実際hostsを書き換えるウイルスが出回ったことを考えれば、デフォルトで編集出来るようになっている必要はないでしょう。
      ・hostsをいじるには管理者権限が必要
      ・マルウェアがhostsをいじれるということは管理者権限をすでにとられているわけで、マルウェアはDefenderの停止でもなんでもできる
      どうして目の前の現象に脊髄反射しかできないんだろうねえ。
      > 編集したい場合は明示的にディフェンダーを解いて編集可の状態にする、
      Defenderをオンに戻して、hostsに記述したサイトへアクセスした瞬間また削除されちゃうみたいだけど本当にいいの?

      親コメント
      • > ・hostsをいじるには管理者権限が必要
        > ・マルウェアがhostsをいじれるということは管理者権限をすでにとられているわけで、マルウェアはDefenderの停止でもなんでもできる

        hosts の編集ができても、勝手に止められないサービスを作るのは普通にできる。
        あと、セキュリティの話ではやれば迂回できる防御手段を単にダメというのは愚かな考えだよね。hosts変更だけならそれのコストは無視できる量だし。

        親コメント
        • by Anonymous Coward on 2012年08月22日 10時44分 (#2216187)

          > 勝手に止められないサービスを作るのは普通にできる。
          APIでお行儀よく止められないサービスを作るのは普通にできるけど、マルウェアがそういうサービスを止めるのも(管理者権限があれば)普通にできる。
          基本的に管理者権限を取られたらその時点で終了だし、Microsoftのセキュリティ対策は常にその発想に基づいていたと思うけど。
          そもそもDefenderを止められなくしたらユーザーがhosts書き換えを一切できなくなるわけでそれはそれで困るだろ。
          > セキュリティの話ではやれば迂回できる防御手段を単にダメというのは愚かな考えだよね。
          はあ? 何の意味もない「セキュリティ対策」もどきで対策した気分に浸るほうがよっぽど愚か。

          親コメント
          • by Anonymous Coward

            > 何の意味もない
            としか思えないなら、あなたには理解できないレベルのお話なんですよ…

    • 「デフォルトで編集出来るようになっている必要はない」には同意なのですが、

      hostsファイルを変更して保存してもそれが反映されず、編集がなかったことにされる、

      このような、一見、保存されたかのように見せかけて、実は保存されていない、みたいな、「裏工作的」な保護機能はやめてほしい。
      保護機能が働いた時には「権限がありません」「システムによって保護されました」の様な、明示的な警告を表示するか、
      あるいは、続行するには管理者のパスワードを入力するような仕組みになっていて欲しい。

      Vistaが出た時、UAC保護下で、Program Files下に書き込もうとすると、暗黙的に別の場所にリダイレクトされてしまって、書き込み処理は成功するのですが、コピーしたはずのファイルが見つからない、なんていう現象に悩んだことがありました。過去のソフトのために、リダイレクトの仕組みを実装したのでしょうけど、そういうことこそUAC機能で「リダイレクトして良いですか?」の様な警告を出して欲しかった。

      UACの警告はちょっとウザいけど、安全性のためなら我慢できる。でも暗黙のリダイレクトは非常に迷惑。システムファイルの書き換えもこれと同じ。表向きには成功したかのように見せかけて、実際にはブロックされてしまっては、ユーザーは混乱する。ブロックするのは構わないから、ブロックしたことをユーザーに明示してほしい。

      ディフェンダーを解けば編集可能になるってことは、hostsだけを書き換えたいがために、ディフェンダーを解かなくてはならないということ。これに抵抗があります。ディフェンダーを解除したくないけど、hostsを編集したいというニーズに対応するため、保護するファイルと保護しないファイルを選べるように(権限昇格ダイアログと共に)してほしい。

      親コメント
    • by Anonymous Coward

      > オフにすれば今まで通り編集できるなら別にいいじゃないんじゃないかと。

      要するに、世の中に多数あるバッドノウハウがまたひとつ増えたと思えばいいわけですね。

      • by Anonymous Coward

        バッドノウハウと言えるほどのレベルじゃないと思う。

    • by Anonymous Coward

      Windows Defenderなんかに頼らず、OSレベルでUACでも使って好き勝手な変更を認めないぐらいのほうがいいんですけどね。

      # でもUACを無効にするのが流行ると意味ないか・・・

      • by Anonymous Coward

        だからhostsファイルは管理者権限がないと変更できないわけで、そのレベルの対策はすでにVistaで行われたはずなんだが。

    • Re: (スコア:0, 参考になる)

      by Anonymous Coward

      今どきの環境で、hostsファイルの編集が必須という環境は少数派ではないかな?

      SMBでファイル共有するだけなら、名前解決は別の手段があるし、インターネット接続環境ならDNSなりDNSキャッシュがあるのが当然。

      hostsファイルの編集が必要なのは、閉網でDNS無し、SMBでファイル共有もないという環境ぐらいではないかな?

      まあ、レアケースとして、アクセスしたくないホストに対応するIPアドレスを別のものに置き換えるためにhostsファイルを書き換えるというのがあるが、これは悪質なマルウェアやウィルスが悪用する方法でもある。

      だから、レアケースを除けば、hostsファイルの編集は不要であり、編集を阻害することはセキュリティ対策ともなるということになる。

      • by Anonymous Coward on 2012年08月22日 10時53分 (#2216200)

        「今どきの環境で、hostsファイルの編集が必須という環境は少数派」
        であるにもかかわらず
        「Windows 8ではhostsファイルの変更がブロックされるという話が物議を醸している」
        って事から
        「あなたの考えてるレアケースは実はそんなにレアなケースじゃなかった」
        って事に気がついてください。

        更に言うなら「セキュリティ対策の一手段としてhostsファイルを編集する」場合もあるので、編集を阻害することはセキュリティが低下する面もあります。
        未修正の脆弱性を突くマルウェアの配布ホストへのアクセスがドメイン名だった場合にhostsで凌ぐとか、同意はとってますって言わんばかりに情報引っこ抜くツールの類(先日サービス停止したTポイントツールバーとか)の配布ホスト/送信先ホストを予めブロックしておいて、バンドルされて勝手にインストールされるのを防いだりとか、そういう事が(代替手段があったとしても)やり難くなるってのは明らかにリスクです。

        親コメント
        • by Anonymous Coward

          少数だからと無視するのが間違いなのはそうなんだけど。

          「セキュリティ対策の一手段としてhostsファイルを編集する」場合もあるので

          そういう人はDefenderのターゲットから外れるってだけだろうね。
          Defenderはhostsなんか弄らない・知らない、お着せで十分な人たちのためのものでしょう。

        • by Anonymous Coward

          単に声がデカいだけだろ。ほとんどのユーザは「hosts?なにそれ」だよ。

          >そういう事が(代替手段があったとしても)やり難くなるってのは明らかにリスクです。

          そういう手段がとれるユーザは極少数だってことに気付いたほうがいい。

      • by Anonymous Coward

        必要なケースをレアケースとして切って捨てれば不要とかいう
        「ぼくはいらないからいらないの!」みたいなガキの理屈はいりませんよ。

      • by Anonymous Coward

        書き換え超必要だよ。jword関連のサイトをいつも書き足しているよー

    • by Anonymous Coward

      nsswitch的なものがあって、そちらの変更権限をきっちり規制する方が筋のいい方法。

  • hostsファイルなんか理解して書き換えるわけで、一度Defenderを止めて編集するってTipsも「理解」の一つになるだけ。

  • by Anonymous Coward on 2012年08月22日 10時50分 (#2216193)

    hostsの変更を頑なに拒否する仕様ならhostsファイルそのものをなくせばいいだろとww
    どうせlocalhost(127.0.0.1)しか書かれてないだろ。
    いまさら必要ないだろと。仕様を変えてレジストリにでもその程度の情報突っ込んでおけよと

    • by Anonymous Coward

      レジストリに移動したらマルウェアがレジストリを書き換えるようになるだけだろ。
      何でマルウェア非対応の期間が一瞬でも存在すれば「一定の効果があった」とかほざくバカばっかなの?
      税金お無駄使いと言われないために何らかの効果があったという結論をひねり出さなければならないお役所の政策評価じゃあるまいし。

      • by Anonymous Coward

        だったら後は簡単だろ。
        レジストリ書き込みがらみのAPIなんかの利用制限としてMS公式からの署名入りアプリだけを許可するようにOSの仕様を変更すればいいだけ

        • by Stealth (5277) on 2012年08月22日 15時56分 (#2216461)

          アプリケーションのインストールでシステムレジストリーへの書き換えが発生する訳です。
          あなたが言っているのは、システムインストールできるのは署名入りアプリのみにしろ、 ということとほぼ等価です。

          署名なしドライバーが通常モードの x64 で動かなくなるという話だけでも大騒ぎだったのに、アプリレベルでやることになったらシャレにならんでしょう。

          親コメント
    • by Anonymous Coward

      残念ながら7/8ではそれすら書かれていない
      http://support.microsoft.com/kb/972034/en-us [microsoft.com]

  • by Anonymous Coward on 2012年08月22日 11時33分 (#2216238)

    たいがいのセキュリティ・ソフトにはhostsファイルの保護機能がついていて、そちらで書き換えがブロックされているはずだと思うが.......
    Windows Defenderだけしか使ってない人の多いのか?

    • by Anonymous Coward

      書き換えを拒否するにしても書き換えを検出するにしてもユーザーの目には何かしら入るだろ既存のやつらは
      問題にしてんのは何も言わずに書き換えを無かったことにしていること

  • by Anonymous Coward on 2012年08月22日 12時02分 (#2216259)

    iOSのjailbreakでOSのversion downにhostsが使われる。
    これを妨げるってことはAppleを助けるってことになると思う。

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...