2005年12月22日

IMで偽サンタがギフトを持って来ます

IM(インスタント・メッセージング、インスタント・メッセンジャー)を使って、ワーム型ウイルスがサンタのファイルへのリンクを押すように勧めるみたいです。そして、先にはサンタの画像が現れて、噂の「Rootkit」をインストールしてユーザにばれないようにして感染活動を行うそうです。危険度は「中」とのこと。

 プレゼントは「rootkit」--サンタワームがAOL/MSN/ヤフーのIMを攻撃 (CNET Japan)
 クリスマス気分に冷水を浴びせる『IM.GifCom.All』ワーム (Japan.internet.com)
 偽サンタがルートキットの贈り物,新たなIMワーム「IM.GiftCom.All」 (IT Pro)
 サンタのサイトでrootkitに感染させるIMワーム (ITmedia)

このワーム型ウイルスは「IM.GiftCom.All」といい、AIM(AOLインスタント・メッセージング)やICQ、Yahoo! Messenger、MSN Messangerで感染活動を行っていて、手口は上の通りです。Rootkitとはファイルをユーザから見えなくするだけでなくウイルス対策ソフト等からも見えなくするという物で、発見・検出・駆除にやっかいなツールです。SONY BMGのCDにコピー制限ソフトをユーザに見えないようにするために絡み、一気に有名になりました。このRootkitの名称が「gift.com」というのも皮肉が効いています。

また、今までと違う点として、他のIM感染ウイルスと違い、一つで4つのIMに対応していることだそうです。他はせいぜい1つか2つのIMしか対象にしていないのに、3大IM全てをカバーしているのが大きいようです。


症状
・AIM、ICQ、Yahoo! Messenger、MSN Messangerに感染
・ウイルス対策ソフトの停止を試みる
・ウイルス自体はRootkitにより発見が困難
・キーロガー機能(IDやパスワードを取得)
・個人情報を外部に送信(上記のキーロガーの内容等)
・IMの友達リストに同ウイルスのリンクを送信する


最近は、返答するIMウイルスが出てきましたが、大半は、URLについてどんな内容かを聞き返す事で見破ることが出来ると思います。爆発的に増えいてるIM感染ウイルス、とりあえず確認するクセを付けましょうね!


【私の記事】
※IM感染型ワーム
IMでクリスマス・カードに見せかけたウイルスをプレゼント
返答するIMウイルス

※Rootkit
Rootkit
SONYのコピー制限はウイルスと変わらない?
SONYのコピー制限の追記
洋楽ファンのみなさん、SONYのコピー制限悪用が活動してます

2005年12月20日

スパイウェア検出サイトに偽装してスパイウェアをインストール

セキュリティ企業の米Websenseが、他のサイトに仕込んだ「スパイウェアを検出しました!」というポップアップを表示したり、メールを使って自サイトにおびき寄せ、検出・駆除ツールをインストールするふりをしてマルウェア(マル=悪意、悪いのあるソフトウェア。スパイウェアなど)をインストールさせるサイトが、この2週間で1500サイトと多数発見されているそうです。

そして、ファーミング詐欺のためにPC内のDNSを変更して悪意のあるサイトに導いたり、指名などの個人情報の入力の要求、対策費用として500ドルを請求するところ、IEの脆弱性を狙ったサイトに誘導するサイトもあるそうです。

私達みたいな一般人は、くれぐれも信用のあるサイト・・・日本で有名なサイトのオンラインスキャンに留めておいた方が身のためのようです。

 オンラインスキャンを装ってマルウェアをインストールする悪質サイトが登場 (ITmedia)
 「スパイウエアをインストールさせる“スパイウエア検出サイト”が多数」,米Websense (IT Pro)
 駆除サイトを装ってスパイウェアをインストールさせるサイトが急増 (INTERNET Watch)
 Spyware Lures to Install Potentially Unwanted Software (Websense:英文)

結構前から、こういうポップアップを使ったりしたサイトはあるのですが・・・2週間で1500サイトですか?? 一体どうしたんでしょ!?
実は、ポップアップウィンドウのこういう詐欺がいきなり出てきて、押して行ってしまったこと有ります(*ノノ) いきなり英語で「ウイルスに感染してます!」という警告が出てました。こういう事があるのは知っていましたので最初から無視しましたが、念のためにスパイウェア等のスキャンはしました。ドーン!と表示されるとそのサイトに設置してあるチェック機能と間違う人がいるかも知れません。

何はともあれ、いきなり表示されても信用しないで下さい。そしてウィンドウ右上の×ボタンなどで終了して下さい。ダイアログボックス中のcloseボタンは偽物で、それをきっかけにインストールさせる物もありますので、信用できるサイトの物しか押さないようにして下さいね。


今回のサイトの多くはロシア・ウクライナのサーバのようです。とはいっても、本当に良質なサイトもあるので、ロシアだから危険!と短絡するのもよくありませんが・・・フィッシング対策ツールバーのPhishWallは、接続しているサイトの国旗が表示されます(一応、ロシアのモスクワニュースサイトでロシアの国旗がでるのは確認しました)。危険を察知できる手助けになるかも知れません。


【私の記事】
※オンラインスキャン
ウイルスやスパイウェアは多いんです

※DNS関連
フィッシング詐欺につぐ、ファーミング詐欺
フィッシング詐欺防止システムDocWall

※PhishWall関連
ヤフオク「評価通知」でフィッシング
PhishWallについて聞いてみました
フィッシング対策ツールバー「PhishWall」の初適用

2005年12月15日

Operaの旧バージョンでダイアログ偽装の脆弱性

Operaの旧バージョン(8.01以前)で、ファイルダウンロードダイアログボックスを偽装出来る脆弱性が存在したことを発表しました。危険度は5段階評価で2番目に高いそうです。最新版の8.51では問題ありません。

 Operaの旧バージョンにIEと同様の脆弱性、ダイアログボックスを偽装 (INTERNET Watch)

ファイルダウンロードダイアログボックスの上に気付かれないように違うダイアログを表示させて、そのOKボタンを押させる等を行うようですね。そして、スパイウェアなどのインストールや、スパムサイトの会員登録させたりするのでしょう。

同様の脆弱性はIEでも起きておりますが、12月14日に行われたMicrosoft Updateの「(MS05-054) Internet Explorer の重要な更新 (KB905915)」で修正されています。


Operaで長すぎるサイトタイトルの脆弱性」で違う脆弱性が最新版の8.51で対応されているようですので、ぜひ、「Opera 8.51リリース」を参考に最新版に更新して下さいね〜!

※長すぎるサイトタイトル・・・の時には、8.50のままで大丈夫かもと思いましたが、新しい記事では8.51未満で問題とありましたので、8.50は危険かも知れません。

どうして参考に・・かというと、何故かOpera8.51は英語版のみで、日本語公式サイトは8.50となっています。いつもよりも少し手順が多いですので宜しくお願いします。


【私の記事】
本日12月14日のMicrosoft Update

2005年12月14日

本日12月14日のMicrosoft Update

今回はセキュリティアップデートは2カ所と、悪意のあるソフトウェアの削除ツールでした。
セキュリティの危険度は、緊急1件でした。もう一件はWindows2000 SP4用ですので、WindowsXPユーザには関係ないと思われます。

 MS、12月の月例パッチを公開--ソニーBMGの「rootkit」問題に関するものも (CNET Japan)
 12月の月例パッチは深刻度“緊急”のIEの累積的なセキュリティ修正など (INTERNET Watch)
 MS、12月の月例更新で悪用方法が公になっていた脆弱性に対応 (Japan.internet.com)
 IEに緊急の脆弱性、未修正の脆弱性も解消へ (MYCOM PC WEB)
 マイクロソフトがウイルス削除ツールの新版,ソニーBMGの“ルートキット”に対応 (IT Pro)
 マイクロソフト、ウイルス駆除ツールで「XCP」のrootkitに対応 (INTERNET Watch)


今回のIEの脆弱性対応は「IEの脆弱性をつく実証コードが流出」であった脆弱性で、最大深刻度としており早い適用が望まれます。(但し、実際に悪用されたケースは確認されていないそうです)


出来れば、手動でアップデートしましょう♪
自動でやるよりも、セキュリティ対策をしているという意識が芽生えますからね。
ちなみに、「Microsoft Update」も「Windows Update」も、基本的に同じ物です。「Microsoft Update」は、「Windows Update」と「Office Update」等が一つになったものです。

絵でみるセキュリティ情報からの情報です。
危険レベルは深刻度の評価システムとは?で判断出来ます。


緊急
(MS05-054) Internet Explorer の重要な更新 (KB905915)

重要
(MS05-055) Windows の重要な更新 (KB908523)


ところで、私には「KB910437」のアップデートがありました。
Windows XP 用の更新プログラム (KB910437)
この更新プログラムをインストールすると、アクセス違反エラーの発生後に Windows Update 自動更新によるダウンロードができなくなる問題が修正されます。インストール後には、コンピュータの再起動が必要になる場合があります。

でも、サポート情報(http://support.microsoft.com/kb/910437)を見ても出てこないんですよね。。。どうしてなんでしょ?


今回の悪意のあるソフトウェアの削除ツールでは、SONY BGM社のRootKit問題が問題になりましたが、それを削除する機能が追加されました。手動でやるとこういうのもチェックされているとわかり、結構安心できません?(下から2行目「WinNT/F4IRootKit」です)

悪意のあるソフトウェアの削除ツール RootKit削除


【追記】
Windowsの自動更新機能に不具合がありました」にて、KB910437についての情報がありました。現在は上記のKB910437のリンクが繋がっている状態です。

2005年12月13日

Operaで長すぎるサイトタイトルの脆弱性

Operaで長すぎるタイトルをもつサイトをブックマークに追加すると、クラッシュする恐れがあるそうです。また、攻撃者によって悪用される可能性があるそうです。(どのような悪用かまでは書いていませんでした)

対象となるプラットフォームは、WindowsでIMEを利用するユーザ(日本語Windowsを含む)と、Mac OS X。
対象バージョンはOpera8で、最新のOpera8.51では解消されていますのバージョンアップを行いましょう。

クラッシュ後の対応策は、autosave.win を削除することです。こちらはOpera再起動後、自動で再作成されます。
Windows XPでは「C:\Documents and Settings\(ユーザ名)\Application Data\Opera\Opera\profile\sessions\autosave.win」に存在します。
※Application Dataフォルダ等は隠れフォルダの可能性があります。エクスプローラーのフォルダオプション→表示→ファイルとフォルダの表示→全てのファイルとフォルダを表示するで表示して下さい。


 Operaに脆弱性、長すぎるタイトルのサイトをブックマークするとクラッシュ (INTERNET Watch)
 Opera Softwareのサポート情報(英文)

Operaサイト


上記は日本語サイトですが、日本語のバージョンは8.50のままです。
私がつかんでいる8.50→8.51の更新内容は、「Flash Playerに関する脆弱性等の対応と安定性の向上」ですので、恐らくはこの問題に関しては8.50でも大丈夫とは思いますが、「Opera 8.51リリース」で挙げたように他にも修正している内容があります。同記事に英語版のOperaを日本語に変更する方法をアップしていますので、最新にしておきましょう。


Firefox1.5を使用不能される脆弱性」に少々近い内容ですね。サイトタイトルが異常に長いと不具合が起きます。ただし、こちらはブックマーク登録した場合になりますので、比較的、被害に遭う可能性は低いのではないでしょうか?

バージョンアップして対応すれば問題はありませんが、ブックマーク登録の画面は小さいため、大量の空白を含められると気付かない可能性があります。信用がおけないサイトのブックマーク登録には気をつけましょう!


【追記】
 Webブラウザ「Opera」のブックマーク機能に問題,起動できなくなる場合あり (IT Pro)
上の記事を見ると、8.51未満で8.51は含まないと書いているので、8.50は対応されていない気がします。ぜひ、Opera8.51にアップデートして下さいね〜!

2005年12月09日

12月14日は月例 Windows Update!

12月14日(第2火曜日の翌日)は、月例のWindows Update (Microsoft Update)ですよ〜!

今回のUpdateの内容は2件で、「緊急」レベルにあるようです。
また、セキュリティには直接関係しないUpdateが2件以上公開されるそうです。

 MS、12月の月例パッチを予告--Windowsの「緊急」レベルの脆弱性を修正へ (CNET Japan)
 「12月はWindowsのセキュリティ情報が2件,最大深刻度は『緊急』」---マイクロソフト (IT Pro)
 12月の月例セキュリティパッチは2件、最大深刻度は“緊急” (INTERNET Watch)
 12 月のリリース予定 (日本のセキュリティチームの Blog)

「緊急」は、ユーザが特別な操作無しで拡散する悪質なものに関するセキュリティ問題のモノが含まれるそうです。

オススメは手動更新
自分で動かす事で、タイトルを見るだけでもなんとなくセキュリティ意識が増えるのと、詳細情報を見ればさらに詳しくなれるからです。
また、今回は適用時に再起動が行われるそうです。作業中に再起動を促されるのは嬉しくないので、ここはヤッパリ手作業でいかがです??


また、同時に「悪意のあるソフトウェアの削除ツール」のアップデートも行われます。今回はSONY BGMで大きな問題となっているコピー防止ソフト「XCP」の検出・駆除を行うそうなので、是非、どうぞ。

スパイウェア検出・駆除には、私的には個人使用ではフリーソフトである「Spybot - Search & Destroy」や「Ad-Aware」をオススメします♪


【関連記事】
ウイルスやスパイウェアは多いんです
SONYのコピー制限はウイルスと変わらない?
SONYのコピー制限の追記
洋楽ファンのみなさん、SONYのコピー制限悪用が活動してます
SONY BMG社のコピー防止ソフト付CDの回収と攻撃
SONY BMG社のコピー防止ソフト付CD日本国内で回収

2005年12月08日

Firefox1.5を使用不能される脆弱性

11月30日に、Firefox1.5がリリースされましたが、Firefox1.5をフリーズさせる脆弱性が見つかりました。

方法は、履歴を管理するファイルをJavaScript等を用いてオーバーフロー(容量オーバーで溢れる事)させ、フリーズさせてしまいます。また、再起動しても溢れたままなので起動と同時にハングアップしてしまうそうです。

 Firefox 1.5にブラウザを使用不能にさせられる脆弱性〜米SANS報告 (INTERNET Watch)
 Firefox 1.5のバグを悪用する実証コードが公開に (CNET Japan)

症状は、前述通りブラウザのフリーズのみです。
ブラクラ(ブラウザ・クラッシャー)の一種と言うには・・・ちょっと特有の脆弱性すぎます?


対応は、現在パッチが出ていませんので、設定の変更が必要です。
Firefox → ツール → オプション → プライバシー → 表示履歴の「表示したページの履歴をxx日分記憶する」の日付をゼロにして、記憶させない事。

また、既にこの状態になってしまってFirefoxが起動出来なくなった場合、Windows XPでのデフォルト設定では「C:\Documents and Settings\(ユーザ名)\Application Data\Mozilla\Firefox\Profiles\(ランダム文字列).default\history.dat」を手動で削除します。

LinuxやMacの場合は、Mozilla Japanプロファイルフォルダの説明を参考にして下さい。


危険度は低いですし対処方法も簡単なので私はそのまま使い続けるかも。ホントはこんな風に言ったらダメなんですけどね(笑)
Firefoxだけがブラウザじゃないので、実際に被害にあってコレを試してみればいいですし。
ただ、こういう事がある、という事をちゃんと把握していればこそ、ですよ? 思い出せなくて動かないと悩まれても、それは本人の判断の結果ですから。


危険度も低いですので、実証サイトで試してみました。
実証サイトといっても、ソースをアップしているだけでそれを元に自分のPC内で実行するんですけどね。
内容は、サイトのTitleをJavaScriptで大量の名称にしてしまうだけです。

ソースをそのまま試すとフリーズしなかったため、一部改変した(単純に繰り返し処理の回数を増やしただけ)所、見事フリーズしました。そして、次回起動しても最初からフリーズしています。
最初、161,005 バイトだったhistory.datは、10,558,218 バイトにまで膨れあがりました。

前述の通り、history.datを手動削除する事で動くようになりました。他のサイトをみるとすぐに新しくhistory.datが作成されていましたので、大丈夫です。


もし、いきなりフリーズしてしまった場合は、一つの可能性として疑ってみましょう。


【追記】
それゆけダメ人間さんのFirefox1.5がクラッシュするという脆弱性を見てみるより、情報を頂きました。
どうやら、トラップに掛かっても即時にフリーズせず、ブラウザを終了すると再起動出来なくなるという事があるそうです。最後に見たのはいつも見ている安心なサイトだから今回の脆弱性は関係ない・・・と思ったらいけないようです。

2005年12月07日

Googleデスクトップ検索がIEによる影響を修正

IEの脆弱性でデスクトップ検索が危なく」で、IEの未パッチの脆弱性により悪質なサイトに仕掛けられたトラップが、例えばGoogleデスクトップ検索から「パスワード」というキーワードで検索した結果を悪質なサイトに取得されてしまう危険にさらされるという事をお知らせしました。

Googleがそれを回避するための防御処置を行いました。これは個々のGoogleデスクトップ検索に対してUpdateを行うものではなく、Goolge内部で行われたようです。どうやって私達に影響を与えるんでしょうね? とりあえず、個々に対して行うものではないようですので、そのまま使い続けて構わないようです。

 グーグル、デスクトップ検索ツールを修正--IEの脆弱性問題に対応 (CNET Japan)

思った以上に早い対応で満足しています♪

ただし!!
根本的な問題はIEにあります。これは他のどんなソフトに影響がでるか詳しく知らされていません。危険を感じるようでしたら、IE以外のブラウザ、OperaやFirefoxを使う事をオススメします。Microsoftも調査を続けていますので、早ければ今月の月例パッチで修正されるのではないでしょうか?

返答するIMウイルス

IMを(インスタント・メッセージング、インスタント・メッセンジャー)狙ったウイルス型ワームがさらに進化しました。
IMで話しかけてくる新しいウイルスは「返事をします」。

IMでクリスマス・カードに見せかけたウイルスをプレゼント」で、IMを偽ったウイルスからのメッセージが増えているため、相手に話しかけて返事を聞きましょうと書きましたが・・・まさか次の日にそれも確実じゃありませんと書く事になるなんて、思いもしませんでした。。。

 IM攻撃がさらに進化--ユーザーとチャットするワームが出現 (CNET Japan)
 「ウイルスじゃないよ」と言ってクリックさせようとするIMウイルス (INTERNET Watch)


これも米AOLのAIM(AOLインスタント・メッセージング)の被害ですが、手口をCNET Japanの記事によると、こういう感じになるそうです。

相手:「lol thats cool(クールで、面白いよ)」といって、ウイルスのあるURLを送信
自分:「ウイルスとか入ってるんじゃないの?」
相手:「lol no its not its a virus(まさか、ウイルスなんて含まれてないよ)」と返答する

そして、URLをクリックした人は感染する・・・という仕組みです。

このやりとりは、感染してメッセージを送信してきた人は返事をされても会話ウィンドウが開かないので、気付かないそうです。
私は前回の話で、相手に喋り掛ける事を推奨したのは、返事が無ければウイルスと判断出来る上に、相手もいきなり話しかけられて不審に思うと思ったんですけど・・・このウイルスは相手に返事が届かないようにするそうです。全然違う人から話しかけられた時は、どんな反応するんでしょうね? その場合はちゃんと会話ウィンドウが開いて気付かないのでしょうか?

ちなみに、lol とは、「laugh out loudly」で、(笑)とか、wとか、そういう笑いを表しています。ろると言うそうで、英語圏?はあまり顔文字を使わないそうですね。


今回のウイルスは「IM.Myspace04.AIM」といい、「clarissa17.pif」というファイルへのURLを送るそうです。
追記:myphotos.ccというドメインとの事です。ccは国を示しますがオーストラリア領ココス島の国別コードとなります。安く売られているため、こういう時にも良く使用されています。

症状は以下の通りです
・セキュリティ対策ソフトを停止
・システムファイルの設定変更
・リモートからの侵入を許す(バックドアの開放)
・連絡先の友達にウイルスのメッセージを送信


対処方法は・・・むやみにURLをクリックしない、ちゃんとトークをして適切な答えを返すかどうか確かめてから、ですね。ウイルス対策ソフトは完璧に防ぐものではありません、あくまでも最後は人の判断がモノを言いますよ!!


今回はIMセキュリティベンダーのIMlogic(IMの専門ソフトですか??そんなのあるんですね)が警告を発しましたが、その製品管理担当ディレクターもこの手口は初めてとの事。今はまだ実験段階のようで、この手法が洗練されてくると一気に流行りそうです。


「こういう手口がある、気を付けなくちゃ」というのを覚えておいて下さいね〜!

2005年12月06日

IMでクリスマス・カードに見せかけたウイルスをプレゼント

IM(インスタント・メッセージング、インスタント・メッセンジャー)をしていると、よくこんな風にURLアドレスを送ったりしません?
クリックで救える命があるっていうサイト〜
http://www.dff.jp/

そして、とりあえずURLをクリックして見に行く・・・・こういう事って多いですよね。

近年多いのが、こういうやりとりを利用して、ウイルスが勝手にサイトに誘導するメッセージを送信して悪質なサイトに誘い込み、ウイルス感染させる事です。そして、既に今年のクリスマス用の罠が活動を開始しています。

 「あなたにクリスマス・カードが届いています」,実はボット (IT Pro)

今回は米AOLのAIM(AOLインスタント・メッセージング)で「あなたにクリスマス・カード(グリーティング・カード)が届いているので,次のURLへアクセスしてください」というメッセージとURLを送信してきます。それをクリックするとウイルスファイルの「My_Christmas_Card.COM」や「My_Christmas_Card.SCR」をダウンロードします。そして、それを実行してしまうとウイルスに感染するという仕組みです。

感染すると、他のAIMユーザに同じメッセージを送信して感染を広げる活動を行い、スパムメール送信マシンになったりDoS攻撃してしまったりと、ボットネットのマシンの一台になってしまいます。
※DoS攻撃について:Firefoxに重大なセキュリティ・ホールにて説明


今回はAIMだからといって、他のユーザは安心してはダメですよ。
MSNメッセンジャーは特に狙われています。Yahoo!メッセンジャーは少ないです(日本は独自のメッセンジャーなので海外の影響が少ないです)が、狙われていないわけではありません。


正直、これをクリックして実行してしまうのはどうでしょう・・・っていう気もしますけど、恐らくは友達からのアドレスなので何気なく実行しちゃうんでしょうね。この記事からは、誰からのメッセージなのかがよくわかりません。友達からのメッセージで「あなたにクリスマス・カードが届いています」といってURL送るかな・・・とか、AOLの管理者がいきなりこんな事するかな・・・と、ちょっと判りません。

あ、でも、ネットの友達には年賀状をHTMLでアップして見せるというのはしたことありました(*ノノ) あんまりかわらないかも?


とりあえず、URLをクリックする前に、ちょっと会話してみましょう。
同じように、いきなりのファイル送信も注意して、まずは話しかけてみましょう。
これがウイルスからなら返答はないです。そのうち、進化して返事するのが出るかも知れませんけど・・・。今、非常にインスタント・メッセンジャーは狙われています。いつもの友達からのメッセージは実はウイルスかも知れません。ウイルスソフトは絶対安全になるものではありません、あくまでも最後は人の判断がモノを言いますよ!!


年末・年始は非常にこういう事が多いです。
そういえば、私も年賀状をグリーティング・カードでしたりしてますね。。。これを偽装して行うウイルスやスパムもそろそろ出てきそうです。気を付けましょう!!


【追記】
返答するIMウイルス
要注意です。IMでメッセージを送信してくる新型のワーム型ウイルスは「返事をします」。今回書いた対策は、絶対ではなくなりました。ちゃんとトークをして反応を伺うしかありませんね。。。

2005年12月05日

IEの脆弱性でデスクトップ検索が危なく

IEの脆弱性でCSS(Cascading Style Sheets)の処理にバグがあり、これを突くと他のプログラムにも影響を与え、Googleデスクトップ検索にも影響が出るそうです。この攻撃によりGoogleデスクトップ検索を操作して「パスワード」という文字列を検索し、その情報を相手が盗ってしまう可能性があるそうです。

この攻撃は悪質なサイトが自分のサイトに仕掛けて来るのを待ちます。現時点ではその脆弱性を狙ったサイトはないと思われますが、安心は禁物ですね。

これはGoogleデスクトップ検索のバグではなく、あくまでもIEのバグであり、他にも影響を与える可能性があります。少なくともIEが修正されない限り、根本的な対応は難しいとの事です。

 Google Desktopユーザーもあぶない--IEの脆弱性で情報漏出のおそれ (CNET Japan)


【対処方法】
対処方法は2種類で、いずれかを行って下さい。
1.IEでJavaScriptを使用しない。
2.FirefoxやOperaを使う。

Get Firefox
Operaサイト


やっぱり、こうなるんですね。。。JavaScript不使用はサイト管理者の思った動作が得られない事が多いため、他のブラウザを使う事をオススメになります。

特にブログの管理者の皆さんはお気をつけて。
コメントやTBされると、とりあえず見に行きません? あからさまなスパムは見に行きませんが、普通そうなら見に行きますよね。そういう狙い方も考えれますので気をつけて下さい。
私はこういう時のために、Operaを使用します。理由は「IEとOperaでステータスバーを偽装」で。


同じようなデスクトップ検索ツールのMSNデスクトップサーチは、注意には出てきていませんね。全てに影響がでるわけではないみたいですが、油断は禁物ですね。


CSSとは、表示デザインに関する設定を行うものです。
昔は、HTMLファイルに直接、背景色や文字の色・太さなどを指定していましたが、今はCSSファイルに背景色などのデザインに関する事を書くようにしています。私のサイトを参考に、通常のCSSありと、CSSを使わない設定を比べてみました。
CSS表示CSSあり
CSS無しCSSなし

これだけ雰囲気変わると、どんな機能か判りますよね?
HTMLは構造化・・・文章に見だしや・本文・引用などをつけるだけにして、実際のデザインはCSSで行いましょうという形になっています。ブログのテンプレートの変更は、このCSSだけの変更ということになり、実際の文章は変わらないけど、見た目はがらっと変えれます。一番の理由は、昔はHTMLに直接デザインを書いていた時は変更を全てのページ変更で対応していましたが、今はこのCSSを変更するだけで全てのページが変更出来るというのが特徴です。


【私の記事】
IEの脆弱性をつく実証コードが流出
Google デスクトップ 2 日本語ベータ版リリース
「Google デスクトップ検索」日本語版も正式版に


【追記】
Googleデスクトップ検索がIEによる影響を修正 :Googleが独自に対応を行い、Googleデスクトップ検索に関しては対象外になりました。但し、IEの脆弱性は治っていませんので、使用の可否の判断には気を付けて下さいね。

2005年12月04日

拡張子に気をつけましょう!

エクスプローラーって、どんな表示方法で使ってます?
あのファイルを見る・管理するためにあるWindows付属のエクスプローラーです。「写真・縮小版・並べて表示・アイコン・一覧・詳細」とかありますよね。私はいつも詳細です。 ブログにアップ用の画像フォルダは縮小版で画像も確認しやすいようにしてますけど、基本は詳細です。

人のを見ていて多いのが、「並べて表示」とかで、拡張子は見ない設定です。たしか、コレがWindowsの標準ですよね?
アイコンを大きくして使う人が結構多いね〜って思うんですよね。確かに便利なんですよね。画像は中身も表示されたりしますし、拡張子が表示されていると名前変更の時にも誤って拡張子を触ってしまう事ありますし。

でも・・・危険な事をしてしまう原因だったりします。
どうしてかというと、そのファイルの正体がわかりづらいんですよね。


1.ここにある3つのファイル。アイコンは「Lhaca」のアイコンですが、どうやら圧縮ファイルが2つ、自動解凍圧縮ファイル(Win32 Zip Self-Extractor)がひとつあります。恐らく、殆どの人がそのままダブルクリックして解凍すると思います。(これは解凍ソフトの設定次第ですけど、ダブルクリックで解凍設定している人は多いと思います)
並べて表示で拡張子なし


2.でも、実は・・・「エクスプローラーのツール→フォルダオプション→表示→登録されている拡張子は表示しない」をオフにして拡張子を表示すると・・・実は一つは拡張子がexeの、実行ファイルだったりします!
並べて表示で拡張子あり
アイコンを偽装したり、「Archive file」と偽装表示するのは簡単だったりします。偽装といっても、一人一人設定が違うのでバッチリ!は難しいですけど、今回見えているアイコンは「Lhaca」という圧縮・解凍ソフトは日本でもトップクラスのソフトウェアライブラリ「Vector」で一番ダウンロードされている程人気のあるソフトですので、一緒の人も多いんじゃないでしょうか?


3.じゃぁ、拡張子を表示すれば・・・ですが、それだけではちょっと不十分だったりします。例えば、こんな感じです。パッと見た感じ、lzhファイルが2つに見えません?
並べて表示で拡張子偽装


4.でも、よく見ると・・・拡張子と思った.lzhの後ろに、大量の空白を挟んで.exeが見えます。
並べて表示で拡張子チェック
確かに、よく3の画像を見ると2つ目のファイルは1行空いていますし、端の方に「...」が見えて不自然です。ですが、普段からそれほど注意深くエクスプローラーを見ているかといえば、ちょっと疑問です。それ以上に、まずは大きなアイコンで判断するのが普通です。


5.と、いうわけで、エクスプローラーの表示を詳細にすると、種類がハッキリ見えて圧縮ファイルが一つ、アプリケーションが2つと判ります。一つは自動解凍圧縮ファイルなんですが、拡張子で判断しているのでそこまでは判りません。
詳細表示で拡張子あり

あと、「Gmailにウイルススキャン機能が付くそうです」で書きましたが、自動解凍圧縮ファイルはオススメしません。見ての通り、それがウイルスの実行ファイルか自動解凍圧縮ファイルの判断がしづらいからです。相手が指定しない限りは、自動解凍せず、ただの圧縮ファイルにしましょうね!


今回、お話したのは、こういう記事があったからです。

 「ウイルスにだまされるな!ファイルを開く前には拡張子の確認を」---IPA (IT Pro)
 開く前にまず確認、ファイルの拡張子――IPA/ISECが注意呼びかけ (ITmedia)

メールで添付したファイルをそのまま開いてしまいませんか? 拡張子を見て大丈夫か確認しましょうというお話です。
例えば、添付ファイルをExcelと見せかけて、実はウイルスの実行ファイルだったなんてことは常套手段です。どうです、下の二つのExcelファイル、パッとみて開いてしまう人はいると思います。今は拡張子が見えているので判りますが、アイコンは同じで説明も「Microsoft Excel ワークシート」と、疑うほうが難しいです。
Excelに見た目偽装

・・・今更ですけど、最初からこのExcelワークシート偽装にして説明しておけば判りやすかったと後悔してます。。。悔しいので、そのままにしておきますけど(*ノノ)

はい、これも詳細表示にすれば、種類が怪しいのがよくわかりますよね!
Excelに見た目偽装を詳細表示


そんな自分が保存したファイル、怪しいファイルは気付きますよ〜!なんて思うと、危ないですよ!
いつ、ウイルスに感染して、あなたのファイル名を真似たウイルスファイルに置き換わっているか判らないんですから・・・!


どうです、今度から「詳細表示で拡張子表示」でエクスプローラーを見るようにしてみません?
一つだけエクスプローラーを立ち上げてから上記の設定を行って、そのまま「フォルダオプションの表示」にある「すべてのフォルダに適用」ボタンを押してエクスプローラーを閉じて下さい。次からは、全て詳細表示になりますよ!

2005年12月02日

IEでパッチ未公開を狙うマルウェアが発生

IEの脆弱性をつく実証コードが流出」で、11月22日にIEのパッチ未公開の脆弱性を突くエクスプロイトコード(実証コード)がインターネット上で公開されていて、警戒が必要と書きました。

そして、約一週間後の30日、Microsoftがコレを狙うマルウェア(悪意のあるソフトウェア)の「TrojanDownloader:Win32/Delf.DH」を確認したそうで、それを仕込まれたサイトにアクセスすると、勝手にウイルスなどをインストールされるそうです。

これは「Windows Live Safety Center」で駆除が可能との事ですが・・・きっと、すぐに他でも削除になると思います。

 パッチ未公開のIE脆弱性を突くマルウェアが出現--MSが警告 (CNET Japan)
 IEのパッチ未公開セキュリティ・ホールを狙う悪質なプログラム出現 (IT Pro)

「TrojanDownloader:Win32/Delf.DH」自体はウイルス等ではなく、サイト上(HTMLファイル)に仕掛けて、このソフトが勝手にウイルスなどをダウンロード・インストールさせるという仕組みです。コレを防ぐ方法は「IEの脆弱性をつく実証コードが流出」にありますので、参考にして下さい。簡単なのは、「暫くの間は、FirefoxやOperaとかを使ってね♪」です。

Get Firefox
Download Opera


Windows Live Safety Center」ですが、オンライン上でウイルスやスパイウェアのスキャン・駆除、不要なファイルの削除等を行えるマイクロソフトのサービスです。

今回は画面中央にある「Full Service Scan」ボタンをクリック。新しいウィンドウで下記のような画面が表示されます。クイックスキャンと完全スキャンがあります。今回は「Complete scan」でのウイルススキャンが必要です。「Customize」を選ぶ事によりウイルススキャンのみ等を選べます。
WindowsLiveSafetyCenter選択画面


スキャン中の画面です。「Complete scan」は全ファイルをチェックするのでかなり時間が掛かりますのでご注意を!
WindowsLiveSafetyCenterスキャン中


カスタマイズ画面です。
Cleanup scanはアクセサリにある「ディスク クリーンアップ」と変わらない効果ですね。Open ports scanは、外部からアクセス出来る状態になっているか(ポートが開かれているか)を調べる機能です。
WindowsLiveSafetyCenterカスタマイズ


調査完了後、ウイルス感染ファイルなどを表示されます。
感染している場合は感染していたウイルスのリストが出てきて、その中にファイル名が表示されており、Delete等の対処結果が出てきます。今回、私はNorton Internet Securityで検疫したファイルが対象にされていました。標準では「C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine」にウイルスを検疫(他に感染しないように不活性化して隔離したもの)したものが入っていたりします。コレに感知してしまい、ちょっと焦りました(*ノノ) その時の画像取り込みが失敗しているのが残念です。。。

また、その画面内にある「Share information with Microsoft」にチェックが入っていると、スキャン結果等が報告されます。感染数の調査などに使われます。


とりあえず使ってみましたが・・・全ファイルスキャンで時間が掛かる上に結構動作が重いです。圧縮ファイル内の調査も行うようですが、これが重くて思わずスキャンを中止にしたくなるほどでした。スキャンしつつ、この記事とかを書こうとしてましたけど・・・全然はかどりません。イライラしつつ、殆どテレビを見ていたりでした(ノ_・。)
寝る前のスキャンをオススメします。


何はともあれ、「使っているウイルス対策ソフトが万能と思わない事」です。絶対大丈夫はこのソフトの分野に関してはあり得ません。だからといって、同時に複数のウイルス対策ソフトをインストールすると動作が不安定になりますので、時々、他のメーカーのオンラインスキャンを使いましょう!
ウイルスやスパイウェアは多いんです」にいくつか紹介していますので、参考にして下さいね〜。

2005年11月30日

11月の脆弱性を狙った画像作成

11月09日の「本日のMicrosoft Update」で、Windows Updateして欲しいとアップしている「(MS05-53) Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (KB896424)」が、また狙われそうです。この脆弱性をねらう画像ファイルを作成するプログラムコードがインターネット上で公開されています。

症状は、この画像を見る事により、CPU使用率が100%になってマシンが操作不能になるというものです。恐らくは再起動だけで済むとは思いますが、困り物には変わりません。

対象は、Windows 2000/XP/Server 2003。

 11月に公表されたWindowsのセキュリティ・ホールを突く画像ファイルが出現 (IT Pro)
 Windowsの脆弱性をつく実証コードがまた登場 (CNET Japan)
 11月公開の「MS05-053」の脆弱性を悪用する画像ファイルを確認〜米SANS (INTERNET Watch)

既に作り方が公開されている以上、出回っていると思ってよい状態です。Microsoftは危険度を「緊急」としています。すぐに適用しましょう!
そして、ぜひ、手動でWindows Updateを行ってみて下さいね♪(理由は「10月の脆弱性が狙われています」で書いています)


今回のは結構被害者が出そうな気がします。
恐らくはCPUの暴走だけなので再起動すれば特に被害はなく終わるかも知れません。ですが、非常に簡単に設置が出来る事なんですよね。画像をアップ出来る掲示板などにアップすればいいんですからお手軽です。そして、他の侵入とかと比べて被害が軽微なので本腰を入れて調査されません。そのため、軽い気持ちでそこら中にばらまく連中が出てくる可能性があるんですよね。


例えば、こういう事が現在発生しています。

 「2ちゃんねるの一部掲示板が見られない」Nortonがアクセス遮断 (INTERNET Watch)

2ちゃんねるの掲示板に脆弱性をつく攻撃コードが仕込まれており、それにシマンテックのNortonが反応して閲覧出来ない状態になっているそうです。これは恐らく、こんなのがあるというサンプルコードをアップしたら反応してしまったというレベルだと思いますが、画像の掲示板というのは非常に多く、結構友達も画像掲示板を見に行っている人が多いので、十分に気をつけて下さい。

Javaプラグインの脆弱性が出ています

Sun MicrosystemsのJavaで5種類の脆弱性の修正がありました。外部から攻撃を受ける可能性がありました。危険度は「非常に重大(highly critical)」と5段階中上から2番目の危険度で、「外部からの侵入を可能にし、システム全体を改ざんできるようにしてしまう。」らしいです。このJavaとはJavaScriptを指すのではなく、Javaアプレット等を動かす物を指しています。危険度が高いため、早めにアップデートしましょう!

対象機種は、Windows、Linux、Solarisで、Java Runtime Environment(JRE)、Java Development Kit(JDK)、Sun Java Software Development Kit(SDK)がインストールされているコンピュータ。

対象バージョンは、1.3.1_15以前、1.4.2_08以前、5.0 Update 3(JRE1.5.0_03)以前です。

 Javaに危険度「高」のぜい弱性,アプレットからファイルの書き込みや実行が可能に (IT Pro)
 SunのJava実行環境に複数の脆弱性 - 危険度は「高」 (MYCOM PC WEB)
 サン、Javaの深刻なセキュリティ問題5件に対応 (CNET Japan)
 SunのJavaプラグインに脆弱性〜Secunia報告 (INTERNET Watch)

JREとはJavaを実行するための土台です。この土台を各OS別に用意すれば土台がOSの違いを吸収して、WindowsでもLinuxでも他のOSでも同じような動作を行う事ができるという考えです。そして、JDK、SDKとはJavaのソフトを開発するためのものです。ですので、一般の人はJRE(Java Runtime Environment)を選んで貰えばいいと思います。


ダウンロードサイト(IT Proより)
・JDK/JRE 5.0:
JDK/JRE 5.0 Update 4以上へのアップデートを推奨する(ダウンロード・サイト

・SDK/JRE 1.4.x:
SDK/JRE 1.4.2_09以上へのアップデートを推奨する(ダウンロード・サイト

・SDK/JRE 1.3.x:
SDK/JRE 1.3.1_16以上へのアップデートを推奨する(ダウンロード・サイト


あれ? 最初、どこかでこの情報を見た時、「以前のバージョンはアンインストールを推奨」のような文章を見て驚いたんですけど・・・どこにもないですね?? うーん・・・見間違いだったのかな?
Javaは基本的には上書きインストールしません。最新はJRE 1.5.0_05でバージョンと同様のフォルダ名でインストールされますが、以前はJRE 1.5.0_04で同じくバージョンと同様のフォルダ名でインストールされています。Java等では動作環境を明確に指定して、動作を安定させるという考えがあり、上書きインストールを好みません。そのため、危険な状態の以前のバージョンを削除しなさいと言っているのかと思い、驚いたんですけど。。。忘れて下さい〜。


バージョン確認方法ですが、私はWindowsユーザなのでそれだけを・・・2つ方法があります。

1.スタートメニューから、コマンドプロンプト、または、MS-DOSプロンプトを起動して下さい。主にアクセサリの欄にあると思います。コマンドプロンプトの黒い画面上で、「 java -version 」と入力してエンターを押して下さい。下記のようなJavaが何チャラ・・・って出てくればインストール済みです。下の画面は「java version "1.5.0_05"」と書いてあるので、JRE1.5.0_05と判ります。「コマンドはありません」等のメッセージが出てくればインストールされていないねという扱いですね。

Javaバージョンプロンプト

JRE1.5.0_05は、上のダウンロードサイトのJRE 5.0の扱いになります。このバージョンから、1.5ではなく5.0という書き方に変わっており混乱しそうです。最後の「_05」の部分が、Update 5 という意味になります。これが「1.5.0_03」等の低い場合はバージョンアップ対象となります。判りづらいですけど、我慢してください!


2.コントロールパネルに「Java」があればそれを起動し、基本タブにある製品情報 → バージョン情報ボタンを押せば下記の画面が出てきます。
Javaバージョンパネル

真ん中ぐらいに、ビルド 1.5.0_05-b05とありますので、JRE 1.5.0 Update 5という認識になります。昔のバージョンを覚えていないので、このチェック方法はいつから出来るか判りません〜

このパネルのアップデートに「今すぐアップデート」ボタンがありますがこれは違うみたいですね。JRE 1.5.0_04の時に押すと最新と言われました。。。JRE 1.5.0_04の中でのマイナーバージョンアップ・・・なんでしょうか??


バージョンが対象の場合、ダウンロードサイトからインストールすれば完了です。IE等は特に問題ありませんが、Javaを使用するソフトは各ソフト毎に設定が必要かも知れません。これは各自ですので、頑張って下さい!

2005年11月29日

10月の脆弱性が狙われています

10月12日の「本日のMicrosoft Update」で、Windows Updateして欲しいとアップしている「(MS05-51) MSDTC および COM+ の脆弱性により、リモートでコードが実行される (KB902400)」が、また狙われそうです。この脆弱性をねらう方法がインターネット上で公開されています。

症状は、外部から細工を施したデータを受信するだけで悪質なプログラム(ウイルスなど)を実行させられる可能性があるという事です。

対象は、Windows 2000/XP/Server 2003。但し、Windows XP SP2とWindows Server 2003 SP1は対象外のようです。(MSDTC および COM+ の脆弱性により、リモートでコードが実行される (902400) (MS05-051)→詳細→要点)

 Windowsの脆弱性をつくエクスプロイトコード--MS、DoS攻撃の可能性を警告 (CNET Japan)
 MS05-051を突く深刻な攻撃コードが公開、米SANSなどが警告 (INTERNET Watch)
 10月に公開されたWindowsの脆弱性を突くプログラムが再び出現 (IT Pro)

すでにインターネット上に、この脆弱性を攻撃出来るエクスプロイトコードが公開されています。但し、Microsoftの調査では「実際にこのコードにより乗っ取ってDoS攻撃は可能だが、リモートから実行させる事は出来ない」という事です。一応、これをそのまま使って悪質な事は出来ないものの、これを改良すれば可能性はあると思います。安心したらダメですよ!


現時点では実被害の可能性は少ないですが、それは現時点での話です。「IEの脆弱性をつく実証コードが流出」でありましたが、想像以上に危険な使われ方をして大きな被害に繋がる可能性もあります。

ぜひ、手動でWindows Updateを行ってみて下さいね♪


ちなみに、私が手動でこだわるにも理由があったりします。
どうしてかというと、「ウイルスによってはWindows Updateを行わないように停止させるものがあるから」です。つまり、自動Updateだから気にしなくてOK!なんて思っている人は、結構カモと思われている可能性があるという事です。残念ながら、ウイルス対策ソフト等は万能ではありません。最新の手口には対応できないこともしばしばです。是非、手動を行う事をオススメします。


【エクスプロイト】
OSやアプリケーションのセキュリティホールを使って不正な処理を行うこと。または、そのプログラム。エクスプロイト・コードは、セキュリティホールの実証や検証を行うためのプログラム命令の例をを指します。
開発者や企業の対策の為に公開したりしますが、逆に、これを参考に不正攻撃のプログラムを作られたりします。安易に公開すると、対策以前に悪用されるため、公開は慎重にしないといけません。

2005年11月28日

こんな脆弱性を狙うそうです

こんな脆弱性があるから気を付けて!と色々アップしてきましたが、実際の所、特殊なソフトなどに関してはアップしてきませんでした。例えば、データベースのOracleやSQL Serverの脆弱性などですね。そういうわけで、OS以外ですと、ブラウザやそれに付随するFlash等のプラグイン、iTunesのようにネットに接続するソフト、実はウイルスがよく行うウイルス対策ソフトの停止など、そこら辺に注意して貰えばいいかな?って思ってました。

今回のこの報告は驚きました。

 狙われやすい脆弱性トップ20 - 攻撃のターゲットはOS以外に (MYCOM PC WEB)
 SANS Top-20 (SANS 英文)

上記の記事のWindows以外のアプリケーションで狙われやすいものです。
・クロスプラットフォーム・アプリケーション
C1: バックアップ・ソフト
C2: ウイルス対策ソフト
C3: PHPベースのアプリケーション
C4: データベース・ソフト
C5: ファイル共有アプリケーション
C6: DNSソフト
C7: メディアプレイヤー
C8: インスタント・メッセージング・ソフト
C9: MozillaおよびFirefoxブラウザ
C10: その他のクロスプラットフォーム・アプリケーション

※クロスプラットフォームとは、機種やOSに依存しないものを指します。


驚きなのが、Firefoxのようなブラウザや、最近問題になっているMSN メッセンジャーなどのインスタント・メッセージング(IM)よりも狙われているソフト等がこれほど多い事です。SANS Top-20には詳しい説明がありますが、英語は大の苦手でよくわかりません(*ノノ)


MYCOM PC WEBの説明を見ると成程です、バックアップソフトは確かに「大事なデータ」程、バックアップ対象にします。コレを乗っ取れば大事なファイルを狙い易くなり、理にかなっています。またネットワーク越しにバックアップをとる機能があれば、他にも影響を与えやすいですね。バックアップソフトの製品は殆ど知りませんが、まさか狙われているとは思いませんでした。これのパッチ確認をする人は少ない気がします。企業でも意外に放置が多そうですよね。それがトップに出てくるとは思いませんでした。

皮肉な事にウイルス対策ソフトは狙われ易いです。これを止めてしまえば一気に乗っ取りが進むため、ウイルスにはウイルス対策ソフトの機能停止を行う物が少なくありません。殆どはウイルス対策ソフトの脆弱性でもなんでもなく、OSの機能を乗っ取って停止させているだけなんですよね。あまりウイルス対策ソフトで脆弱性について聞く事はありませんけど、そんなに狙われているんでしょうか?・・・あるんでしょうね・・・・「日本はAntinnyがイッパイ!」で知りましたが、ウイルス定義の購読率は30%という予測があるほど想像以上に低いのが現状のようですから。

ちなみに、ウイルス対策ソフトがウイルスを検知出来なくても脆弱性とは言えません。単純に「新しいウイルスで定義未反映」や「検出対象外」という扱いなんですよね。過信は禁物ですよ!

PHPのアプリケーションも、PHP自体ではなく、それを使って作成した掲示板のようなアプリケーションだったり、SQLインジェクション攻撃のことを示しているようですね。サイト管理者の方は要注意ですね。xoops等のフリーのPHPモジュール等を使っている人は、修正等が出ていないか常にアンテナを張り巡らせて下さいね。
※PHP:Webサーバのソフトで、ユーザの動作やデータを使ってWebページを作る
※SQLインジェクション:入力欄に不正なデータを入力してエラーを誘発させて侵入を試みます。


ソフトは安定していると放置しがちですが、ソコを狙われる事もあります。更新情報には注意を払いましょうね!
RSSによる更新情報の入手や、WWWCというWEB更新確認ツールを使って効率よく情報を集めて対応しましょうね〜♪

2005年11月24日

FBIやCIAを語るSoberウイルスメール

メールで広がるSober系のワーム型ウイルスが米国・ドイツを中心に蔓延しているそうです。「Soberが再度発生、メールに気を付けて」が、さらに手を変えて悪化しているようです。

それはこのメール、FBIやCIAが「You visit illegal websites(あなたは不法なウェブサイトを見ている)」という件名で、あなたのIPアドレスを不法サイトで確認している、質問状に答えよという内容で、添付ファイルを開かせようとする手口があるそうです。そして、感染すると、PC内のメールアドレスを収集してそれを元にウイルスメールを送信するそうです。

 「Sober!M681」が感染拡大中、FBIやCIAを騙るメールに注意 (INTERNET Watch)
 「Sober」ウイルスの亜種が大量出現,対策ソフトで検出できない場合も (IT Pro)
 Sober亜種が急拡散、「ひっかかりやすい文面」が原因? (ITmedia)
 17通に1通がSober亜種のウイルスメール、Sophosが報告 (INTERNET Watch)

このウイルスの症状はWindows XP SP2のセキュリティセンターを無効にしたり、シマンテックのアップデートプログラム「LiveUpdate」が起動するたびにウイルスを実行したりと、Microsoftの「悪意のあるソフトウェアの削除ツール」の実行を停止させたり、セキュリティ会社へ接続出来ないようにhostsファイルを書き換えたり、ボットPCになるようにリモート操作出来るようにするそうです。

英語、ドイツ語のメールですが、24日1時から日本でも急増したそうですので他人事でないようです。


それにしても、なかなか怖いメールですね。
FBIやCIAが調査しているとなると、思わず狼狽えて開いてしまいそうです。有料サイトなどは無いと言い切れても、不法サイトでIPを検知されたというアバウトな言い方をされて質問状を開けと言われると・・・取りあえず開いてしまうかも知れませんね。そして、添付ファイルに仕込まれたウイルスが起動してしますんです・・・国家権力が聞いてきたと思うと、流石に焦ってしまいますよね。

対処方法は、簡単に添付ファイルを開かない、ウイルス対策ソフトの定義は常に最新にする事と、良くある対処方法です。

この手のウイルスの大きな問題は、非常に亜種が生まれやすい事です。最新のウイルス対策ソフトの定義ファイルを使っていても、検知されない事もあったそうです。一番大事なのは、簡単に添付ファイルを開かない事、ですね。

2005年11月23日

日本はAntinnyがイッパイ!

スイマセン、私、甘く見てました。
10月12日は月例 Windows Update!」で、「悪意のあるソフトウェアの削除ツール(MRT)」が、Antinnyに対応すると聞いてその有効性について私は疑問符でした。基本的にウイルス対策ソフトも対応していますし。ですが・・・すごい感染率なんですね。約11〜20万件のAntinnyが削除されたそうです。駆除数で言えば、一ヶ月間で削除された件数で史上2番目との事で、勿論、日本語環境の感染率が99%となります。

ただ、それも攻撃トラフィック(通信量)上で換算すると40%に過ぎないと言う事で、まだ約17万件のAntinnyが放置されている予測です。記事によって削除件数もバラバラですが、少なくとも攻撃されているサイト(コンピュータソフトウェア著作権協会(ACCS))等でそれだけ減っているに過ぎません。

 40%のAntinny駆除に成功するも、古いWindowsがネックに (ITmedia)
 「約17万のAntinnyが駆除されず放置」--マイクロソフトらが発表 (CNET Japan)
 「Winnyで広まるワームのまん延は異常事態」とテレコム アイザック ジャパン (IT Pro)
 マイクロソフト、ウイルス駆除ツールで20万以上の「Antinny」を駆除 (INTERNET Watch)
 40%のAntinny駆除に成功するも、古いWindowsがネックに (@IT)
 マイクロソフト、1か月間で20万以上の Antinny ワームを駆除 (Japan.internet.com)
 ちょっとこの状況は・・・ (日本のセキュリティチームの Blog)

ホント、感染率を甘く見ていました。。。最大、一つのPCに28種類も感染していたそうです。よくもまぁ、そこまで感染したものですよね。。。さらに言えば、このツールはWindows 2000/2003/XPが対象ですので、Win95/98/MEユーザは全く放置のままなんですよね。私のブログに来る人の6%ぐらいに相当するでしょうか? 特にWin95の方はパッチももう出ていません。こうなると早急に買い換えるとかLinux等に乗り換えて下さいとしか。。。とにかく、Win95/98/MEユーザは、最新のウイルス定義を使って全ファイルのウイルススキャンをして下さい。


また、IT Proで私も聞いた事があるお話が出ていました。

「Winnyを使って大きなサイズのファイルをダウンロードする際、パソコンの動作を早くするためにウイルス対策ソフトを終了させている可能性がある。」

ハイ、身近な人で、こういう話は複数件ありました。特にウイルス対策ソフトもそうですが、多かったのがファイアウォールの解除です。Winnyはファイアウォールがあると設定が面倒で速度が遅くなるために、解除する人が多いみたいです。何度かそういう人には怒ったんですけど。。。(止めなさいとまでは私は言いませんでしたけど。今のSONYのCCCDとかを考えると、どうしてそんなの買う必要が?って思っているのが本音です)。。。これもまた、Antinny以外の他の危険性がドンと増えているんじゃないでしょうか?



さて! 私からの追加注文!

Antinnyを「悪意のあるソフトウェアの削除ツール」で削除したのを見て安心した人いませんか? 感染していないと見て安心していませんか?
Winnyは基本的に圧縮ファイルで流通しています。この悪意のあるソフトウェアの削除ツールは、「チェック時に「Antinnyが動作中」じゃないと検知・削除しない」という欠点があります。つまり、手持ちにあるWinnyで取得したファイルは現在も感染中の可能性があり、誤って再度感染する可能性があります。最新のウイルス定義を使って、取得したファイルは検索して下さい。もちろん「圧縮ファイルもウイルス検索」して下さいね!


そのウイルス対策ソフト、ホントに有効ですか?
このブログを作ったきっかけはブログを試してみたかった・・というのもありますけど、周りのウイルスなどの対策の甘さからだったんですね。少しでも周りの人に危なさを知って欲しいというのがあったんです。

例えば・・・「Nortonの更新切れ、半年は前だったかなー?」とか「入ってたウイルス対策ソフト(本人もソフト名を知らず!)は1年ぐらい前に切れて、警告が邪魔だから切っちゃった」というのがありました。ネットの友達相手で覚えているだけで6人です。突っ込むと怪しい雰囲気の人はもっといましたけど。。。そうです、それほど「一応、ウイルス対策ソフトが入っているから大丈夫」という誤った認識がまかり通っているんです。つい先日も、コメントでお話しさせて貰った人の友達に「Windows XP SP2は感染しないから大丈夫」と言われたそうです。どこからそんな情報を得ちゃったのでしょう。。。

日本のセキュリティチームの Blogを見ていて引きつったのが、「一説には定義ファイルの購読をしている方は 30% 程度なんだとか・・・」です。ちょっと待って下さい、本当ですか?? 私としては「今まではNortonだったけど今度からNOD32にしたから、Nortonが期限切れで使っていると勘違いしている」という誤解がこの30%になっている・・・と思いたいんですけど。。。コレも甘いでしょうか?


フリーのウイルス対策ソフトやオンラインスキャンを「ウイルスやスパイウェアは多いんです」を紹介しています。特にavast!は私が思った以上に検出結果が良かったので、ウイルス対策ソフトを使ってない人や、ウイルス定義が期限切れの人は是非、乗り換えて下さい。そして、全ファイルのウイルスチェックを行って下さい。
また、avast!はスパイウェアには未対応ですので、Spybot - Search & Destroy等でチェックも必ずしましょう!


周りにもこういう話があったという事だけでも、言いふらして貰えれば嬉しいですね〜! 別に私のブログを紹介してとは言いませんから(笑)


【私の記事】
ウイルスやスパイウェアは多いんです
新しいOSとブラウザにして欲しいかな
フリーのウィルス対策とファイアウォール
新種ウィルスが大幅増加
ウィルス未検出の可能性

IEの脆弱性をつく実証コードが流出

IEの脆弱性をつくエクスプロイトコード(実証コード)が公開されています。症状は外部から乗っ取られる可能性があります。問題は既に「エクスプロイトコード」として公開されてしまったので、簡単に悪質なサイト等に埋め込まれて被害が発生する可能性があり、あるセキュリティ会社では「最大深刻度」で警告を発動しています。早急に対策が必要です。

対象は以下のブラウザとOS (INTERNET Watchより)
 IE6(64bit版を含むWindows Server 2003/ 2003 SP1およびWindows XP SP2)
 IE6 SP1(Windows XP SP1/2000 SP4/Me/98SE/98)
 IE5.5 SP2(Windows Me)
 IE5.01 SP4(Windows 2000 SP4)

対処方法はパッチは未公開のため、下記の方法のいずれかを設定します (INTERNET Watchより)
1.インターネットオプションのインターネットとイントラネットゾーンで、アクティブスクリプトが実行される前にダイアログを表示する設定、もしくはアクティブスクリプトを無効にする設定に変更する
2.インターネットとローカルイントラネットゾーンの設定を「高」にし、アクティブスクリプトを実行する前にダイアログを表示する
3.閲覧を「信頼済みサイト」のみに制限する


一番簡単なのは、パッチが出るまでの間、FirefoxやOpera等の「他のブラウザエンジン」を使うブラウザを使う事です。(SleipnirやunDonutはIEがメインエンジンです) たぶん、それが一番いいです。今、JavaScriptを使用不可にするとまともに表示出来ないサイトも結構ありますしね。悪質なサイトを見に行かないのは大事ですが、それもサイトの乗っ取りという可能性もあるので、過信は禁物ですよ〜!


 攻撃目的に悪用されないと思われていたIEの脆弱性に攻撃コードが出現 (INTERNET Watch)
 IEの脆弱性を悪用するエクスプロイトコード--リモート攻撃のおそれ (CNET Japan)
 IE に存在する未対応の脆弱性、概念実証コードが公に (Japan.internet.com)
 IEにパッチ未公開の危険なセキュリティ・ホール,“実証コード”が既に出現 (IT Pro)
 マイクロソフト セキュリティ アドバイザリ (911302) (Microsoft)

実はこの脆弱性、今年の5月には発覚していたそうなのですが、攻撃のために悪用はされないという判断の元に危険度最低として対応されなかったそうです。ここらへんは難しいところで、修正する事により新たな脆弱性が発生する可能性と、企業等はさらにパッチの対応により判断を迫られるため、軽微な時はリリースしないという判断も間違っていないんですね。とはいえ、最低から最高になるんですから、難しいところですよね。。。

この脆弱性はJavaScriptの「onLoad」イベントで発生するため、開いたページのデータを全て読み込み終わった時点(簡単に言えば表示完了になったら)で実行されます。つまり、ちょっと見に行って危なそうなら閉じるという判断では既に終わっているんですね。

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。