2015年02月27日

バラいろダンディ 苫米地 博士の『サイバー攻撃対策』が酷すぎるので解説

"アンチウイルスソフトはアンインストールしてください、とMXでいってる。
https://twitter.com/asa_nama/status/570927200683188224/photo/1

ant
なんか、酷い番組だな…と思ったので調べてみた。

2015/3/2 二転三転しましたが、結論:

Sterxnet ウィルスについてのセキュリティ会社の報告書に、カーネルに感染した後、感染過程で『ウィルス対策ソフト』に改ざんされたカーネルを読み込ませることによって、ウィルス本体のダウンロード&インストール検出されないようにする仕組みを利用している のだが、それを博士がアンチウィルスが乗っ取られたと勘違いされてるのが原因のようだ。なお、ウィルス対策ソフトが入っていなければ、Windows のシステムに入っているシステム実行ファイルを利用するので。単純に攻撃を検出できる最新のウィルス対策ソフトが入ってるかが鍵になるのであって、アンインストールすればよくなるということは絶対にない。なお、報告書には、アンチルートキット機能がある一部のウィルス対策ソフト(第3世代以降)では検出して、ユーザーに警告を出したと書かれているので、防げた事例もあるようだ。




バラいろダンディ(2015/02/26 21:00)の実況レポート|Shoutry
コンピュータの中で最強の権限を持っているので、それが一度でも乗っ取られたら、隅々まで全部見通せる、つまりターゲットのコンピュータやネットワーク全てを破壊できる権限をも持てるので、アンチウィルスソフトを入れるのは良くないとのこと。 #tokyomx
2015-02-26 21:51:37

Avastたん今までお世話になりますた。。。 #tokyomx
2015-02-26 21:48:58

苫米地さん曰く、サイバー攻撃への対策として、自分の端末を、よそのネットワークでの使用は危険。アンチウィルスソフトウェアはアンインストールして、 OSのアップデートがある度に頻繁に更新し、コンピュータを使用しない時はPCもルータも電源OFFにすべきとのこと。 #tokyomx
2015-02-26 21:48:23
実況内容を参照 … どういうことか把握

サイバー攻撃進化の三段階の理解が日本の安全保障のためになる!|池袋 夢が叶わない遠隔気功
1番はBIOSやハードディスクにコードが埋め込まれていること、ゼロデイ攻撃には役に立たないこと、アンチウィルスソフトの持つ権限が強いので、それ自体が乗っ取られると危険なことが理由のようです。

2番は、脆弱性対策としては必須です。しかし、システムを運用していると、安定して動いているのに変更を加えると逆におかしくなることも有り、事前の検証が必要です。

3番は、ルータも含めて電源を切ることです。乗っ取られて踏み台にされないようにするためです。

4番は、政府などに頑張ってもらわないと難しかもしれませんが。

とりあえず、できることから始めてみましょう。1番はパラダイムシフトが出来ていないと実行するのは難しいかもしれませんね。
こちらのブログで詳しい説明があった。

HDDのファームウェアに感染するマルウェアが登場、逃れる術はないことが判明 - GIGAZINE
おそらくこのニュースを見て、番組を作ったのだろう。

というわけで、問題点についてとことん突っ込むことにする。





ウィルスソフトを乗っ取るマルウェアの存在が問題。更にウィルスソフトが起動する前にBIOSブートでハードディスクから直接マルウェアが立ち上がる技術が拡散中。つまりウィルスソフトでは守れず、逆に乗っ取られれば致命的リスクが上がる RT ウイルスソフトは危険なのでしょうか?

3:24 - 2015年2月27日
こちらが苫米地 博士とやらの Tweet

まず、ITリテラシーの低い人が使う『ウィルスソフト』って言葉を連呼してる辺りが…。
おそらく『アンチウィルス』の事なのだろうけどなんだかなって思った。

1. BIOSやハードディスクにコードが埋め込まれていること、ゼロデイ攻撃には役に立たないこと、アンチウィルスソフトの持つ権限が強いので、それ自体が乗っ取られると危険⇒今後、アンチウィルスはアンインストールする。

まず、1から突っ込み

・PCの権限で一番強いのは OS。 アンチウィルスではない。OSが乗っ取られてしまえば、簡単にアンチウィルスは無効化されたり、アンインストールしたりできる。 OSのAPIを乗っ取ってしまえば、たとえば、ファイルの書き込みAPIに細工をして、特定のデータを書き込もうとしたときにHDDを破壊することだって可能だ。
一番強い権限のソフトを消してしまえっていうのなら 独自OSを作って入れるしかない。アンチウィルスを消すのは筋違い

・そもそも、BIOSやハードディスクに感染するマルウェアだが、そもそも 日本では見つかっていない。
ant2
もう、これは、恐ろしい病気が外国ではやってて(実際は点在してる程度のレベル)、ワクチンが毒化する可能性があるから(毒化の証明はされていない)、接種するのはやめよう!って言ってるのと同じ


・『政府関係機関、軍事機関、通信会社、金融機関、原子力研究者、メディア機関、イスラム主義活動家』で見つかったと言われているが、組み込みのPCにはアンチウィルスが入っていないことも多く、それが原因だと思われる。 また、HDDやBIOSで見つかったとされているマルウェアは感染したとされているのだから、感染する前なら、予防することができるのだから、アンチウィルスを消さなければそもそも感染しない可能性が高いのである。

・『アンチウィルスが乗っ取られたら〜』と言っているが、アンチウィルスなんて、何種類もあってアルゴリズムも様々、それを安定にのっとって何かするなんて事、普通は無理です。
それなら、仕様が分かっているOSのAPIを乗っ取った方が数万倍簡単です。


2.WindowsやMacO/Sは、最新の状態にアップデートする。

次は、2番。 まず、 『Mac O/S』 ってなんだよ!って突っ込みたいのだけど。
ここ最近のウィルスはOSの脆弱性を利用して、感染するものなんてほとんどありません。
まずは、ウィルスの感染の 90%は Java / Flash Player が原因、ついで Internet  Explorer 等のブラウザ。

OSさえ最新にしておけばウィルスに感染しない?
寝言は寝て言いましょう ・ω・


3番は、ルータも含めて電源を切ることです。乗っ取られて踏み台にされないようにするためです。


3は、まぁいいとして…

4.2000年問題以上のリスク。国内の原発を含む重要施設の制御コードをすべて書き換えるべき。

・制御コードを書き換えるってことは、ハードウェアの作り直しが必要。
・制御コード書き換えても、端末がハッカーの支配下にあったら意味ない。

むしろ、無駄だし、作り直すこと自体にリスクがある。

原発は危険だから廃止しようって流れっすか?無理ありすぎ。



とりあえず、こんな、酷いデマ、放送で流すな と言いたい。




アンチウィルスを削除した結果。HDDに感染するというやばいマルウェアはおろか、普通のウィルスにも感染するようになる。

分かり易くいうと、ボディーガードに内通者がいると危険だから、一切近くに人は置かない。一人で全部やる。
って言ってるのと同じ。 ちょっと考えればわかりますよね?

絶対、アンチウィルスソフトはアンインストールしないでください。

以上






#追加

苫米地 博士からTweetが飛んできたので、なんで、そんな考えに至ったかを分析してみた。
博士『Stuxnetをまず理解して』
私『Stuxnetを最初に作ったのはNSAがらみ模倣してCD向けウィルスが生まれた。同様にファームに感染するものもNSAの諜報が目的で、アンチウィルスをアンインストールしたら悪意のあるウィルスの攻撃にさらされる。本末転倒ではないか』
博士『ゼロデイという意味分かるかな? それとアンチウィルスソフト乗っ取りはStuxnetだよ。ネット記事でなく報告書読んで』
私『Stuxnet系のウィルスがアンチウィルスを制御下において危険に晒されるなど聞いたこともない。Stuxnetが何なのか理解できてないのでは?』
博士『君の理解は間違ってるよ。まず専門に勉強して。ゼロデイはアンチウィルスソフトが効かないという意味。君とのこの話は終わり』
私『ゼロディにアンチウィルスソフトは全く効果がないとか言ってるのは2世代以上前のアンチウィルスの話。一体何年前の話してるんですか?』
博士『君が知らないだけだよ。相手を良く知ってから悪口ブログに書いたら』
私『悪口ではなくて公共の電波で言ってはいけない嘘があるというだけ。アンチウィルスをアンインストールしたら沢山の人がリスクを被るのでは?』
博士『一応正確に言うとStuxnetはウィルスでなくてMalware。君とのこの話はこれで終わり。ただこの分野はリスクがあるから想像で情報を拡散しないで』
博士『だからゼロデイは特定ウィルスの名前でなくて、"現在の"アンチウィルスソフトが役に立たないマルウェアに対する概念だよ。もう話終わりにするよ』
私『ゼロディはアンチウィルスが役にたたないマルウェアではなくて、実際に脆弱性がふさがれていないけど、攻撃があるという概念でそちらが間違っています』
私『ゼロディの脆弱性であっても、アンチウィルスで検出できるものはいくらでもある』
博士『ウィルスソフトが対応可能なO/SのセキュリティホールはCMU CertメンバーのApple役MSも常にO/S側で現在対応しているという話。MX見てないでツィートしてたのかな。ゼロデイはO/S更新もアンチウィルスソフトも対応できない』
私『アンチウィルスソフトで防げてもゼロディという。そこから間違ってる。全然違う』
博士『そう、だからアンチウィルスソフトが役に立たない。分かったかな。アンチウィルスソフトが効いたらゼロデイと言わない』
私『OSがゼロディの脆弱性に対応できず、修正までの間。アンチウィルスや、脆弱性防御ソフトで防ぐという事例はよくある 』
博士『逆もね』
私『そもそも、Stuxnet自体が、もともと2010年、2012年の既存の Windows の脆弱性を利用して作られたマルウェアなので、既存の脆弱性を利用してハードウェアをバイパスするという意味では斬新ですが、ゼロディとは関係ないと思います』
博士『EquationGroup報告書読んで。ほんとにもう終わり』
私『そもそも、あの報告書に、日本の感染報告書いてなかったじゃないですか。
なのに、ウィルスだらけのネットワークで、アンチウィルスソフトをアンインストールさせることが正しいってのだけは納得いかないです』
多分、博士は、他の記事を読んで内容が整理しきれてないと思った。

その記事とは
「アンチウイルスソフトは死んだ」とノートンで有名なシマンテック幹部が告白、半分以上の攻撃を検知できず - GIGAZINE

1.ゼロデイに関する勘違い
2世代前の、パターン検出型のアンチウィルスは確かにもう時代遅れで検出できないことも多いのだが、アンチウィルスソフト自体を入れなくても同じかというと、そうじゃない。
脆弱性利用の方法にはパターンがあるため、最近のアンチウィルスソフトは、プログラムの挙動や、ファイル・レジストリの取り扱いで怪しいプログラムを検出することができる。(いわゆるリアルタイム分析)
だから、ゼロディの脆弱性が判明すれば、挙動からマルウェアを検出することができるようになるのだ。ゼロデイにアンチウィルスでは対応できないというのは大きな認識の誤りです。

2.Stuxnetに関する勘違い
工場にサイバー攻撃、制御システム「汎用化」で危機
次、Stuxnet をアンチウィルスを乗っ取るマルウェアだと言っていた。
Stuxnetは、原発などを制御するPCを乗っ取っただけであって、セキュリティソフトを乗っ取ったなんて話ではないのである。
アンチウィルスソフトのアンインストールを勧めるのも同じ。イラン核遠心分離機へのStuxnet攻撃では主要アンチウィルスメーカーほぼ全対応のMalwareに実際にアンチウィルスソフトが乗っ取られ攻撃利用されたから。安全保障観点ではアンチウィルスソフトはセキュリティリスク
2015/2/28 1:23:47
エフセキュアブログ : Stuxnet、Duqu、Flameについて
Stuxnetは、イン・ザ・ワイルドになって1年以上、検出されず、ベラルーシのアンチウイルス企業が問題の起きたイランのマシンをチェックするために 呼ばれ、ようやく発見された。研究者がStuxnetに似たものをアーカイブで探し求めたところ、Stuxnetで使用されたゼロデイエクスプロイトが、 他のマルウェアと共に、以前使用されていたことを発見したが、当時はそれに気づいていなかった。DuQuという関連するマルウェアも、1年以上、アンチウ イルス企業の検出を免れていた。

Stuxnet、DuquそしてFlameはもちろん、通常の良くあるマルウェアではない。3つはす べて、発見されないことを意図した秘密オペレーションの一部として、西側諜報機関によって開発された可能性が高い。同マルウェアが検出を回避したという事 実が、攻撃者がいかに良い仕事をしたかを証明している。StuxnetとDuQuの場合、これらのマルウェアを信頼できるアプリケーションに見せかけるた め、彼らはデジタル的に署名されたコンポーネントを使用した。そしてコードをカスタムパッカや難読化エンジンで保護しようとする代わりに(そうすること で、疑いを向けられる可能性がある)、ありふれた外観の中にひそませた。Flameの場合、攻撃者はSQLite、SSH、SSLおよびLUAライブラリ を使用して、コードがマルウェアの一部というよりは、ビジネスデータベースシステムのように見せかけた。
多分、アンチウィルスソフトを入れていると危険だ!という発想はここから生まれたのだと思われる。
OSの制御を奪われれば、その配下に入ってるソフトは関係ないよってこと。

ウイルスバスターにおける任意コードの実行を許可してしまう脆弱性について | サポート Q&A:トレンドマイクロ
そういや、昔TrendMicroさんの劣化セキュリティソフトに脆弱性があった。
これは、バグのない完璧なアプリケーションは無いのだから導入するアプリケーションや機能は少ないに限るということで、完璧じゃないものはすべて消してしまえって考えだと、ちょっと厄介ですよね。
映画の人工知能じゃないんだから、攻撃されてセキュリティソフトが足がかりになるケースは稀にあっても、乗っ取られて攻撃に回るなんてことはないのです。入れておいたほうがはるかにリスクは減ります。


3.最近のウィルス事情が分かっていない?
3の『使わない時は電源を切る』っての、あんまり気にしてなかったんですが、人間が介在していればマルウェアに感染したりしないって思ってるんじゃないんだろうか?OSのアップデートさえすれば、人間の判断で脆弱性が防げるような勘違いをしてるような印象を受けた。最近のウィルスやマルウェアは、人間によるブラウジングや、クリックがトリガになるものが大半なので、使ってる時が一番危険だということを理解できていないんじゃないかと思った。
博士は自分で『ゼロディでOSのアップデートでは対応できないことがある』って言ってるのに、セキュリティソフトなかったら防御できるわけないじゃないですか?
ATMや政府官庁や国家レベルでの話だって意見もあったんですが、『ルーターやPCは使わない時は電源を切る』って言ってる時点で個人の話も含んでると思うよ?



おまけ
さて、ここで 博士はATMや核施設に感染した Stuxnet 系のウィルスにこだわっていらっしゃったので 博士の4つの推奨事項を銀行のATMに当てはめてみましょう。

・アンチウィルスはリスクが高く危険だから入れない
 いかなる低レベルなマルウェアも検出できなくなる。
・客がいない時は電源落とす。
 強盗『電源落ちてるから破壊しても異常を検出できないぜ!ヒャッハー!』
 客『なんで、メニューが出てくるまでに何分も待たされるのよ!(ATMは起動に数分かかります)』

・毎月WindowsUpdateが出たらすぐにパッチを当てる。
 銀行員『なんてこったATMが起動しなくなったぞ!全国のATMがすべて利用不可能になった!』
 マイクロソフト『すんません、今月のアップデートバグがありました』

・銀行のシステムとのやり取りをするコードを全て作り直す
 み●ほ銀行『すみません、コード作り直したのでバグがありました。システムが停止します』

|。・ω・)。o ( これは、なんかの罰ゲームに違いない! )



※ 2015/2/28 さらに追加。
番組見た人から
『博士は国家レベル情報セキュリティの話をしてるのであって、あなたの一般論ベースの個人セキュリティの論理とは認識のレベルが違いすぎます。http://live.nicovideo.jp/watch/lv211606929
『そもそも、イラン核遠心分離機攻撃の例ではアンチウイルス乗っ取りの目的はroot権限乗っ取りではない』
『「アンチウイルスをすり抜けた」が一般に流布されている情報で、「アンチウイルスを乗っ取った」が一般に認識されていない真実』

などの意見をいただきましたが、
『国家レベルの防衛をするために、個人でセキュリティソフトをアンインストールしろ』って主張は飛躍しすぎだと思います。
アンチウィルスを消した時点で、危険だといわれてる国のウィルスに感染し放題になって意味がありませんし別の経路で踏み台になる可能性のほうが高いです。
一般的な話なら、『セキュリティソフトですべてが防御できるとは限らない』
ちょっと進んだ話で、トレンドマイクロやKingsoft やJustInternet Security など、出所の怪しい会社のセキュリティソフトは何が埋め込まれてるかわからず、危険があるからインストールしない。
LenovoやSamsungの携帯やPCはファームレベル・プレインストールソフトでで何が入ってるか分からないから購入しないって話だと思います。

ニコ生の視聴が¥800でお金出してみる価値があるのか、非常に疑問なので、2週間後に再放送あるそうなので確認する予定です。


※2015/3/1 追加

a さんから、ニコ生での詳しい情報をいただきました。ありがとうございます。
botnet-research-papers/Stuxnet_Under_the_Microscope.pdf at master ・ anfractuosity/botnet-research-papers ・ GitHub
確かにこの文書は読んでなかったので非常に参考になりました。

『要アンチウイルスソフトのプロセスを乗っ取り、 モジュール(stuxnetのプログラム)をダウンロードするように書き換える』との事ですが、読んでみると、ホストプロセスとして、権限の高いホストプロセスに、改ざんしたWindows のNTカーネルのAPIを読み込ませて、ダウンロードさせるというのが正しいようです。アンチウィルスの常駐プロセスがない場合は、Windowsのシステムプロセスでも構わないようです。その理由としては、アンチウィルス自身のプロセスで実行させることによって、不穏な挙動の検出を逃れるためなので、アンチウィルスが入ってるかどうかは全く関係なく感染します。アンチウィルスが原因で感染したというよりは、初動でアンチウィルスが検出できなかったため、システムが書き換えられてしまい、その後の、ウィルスの活動がヒューリスティックアルゴリズムで検出されないように、入ってるアンチウィルスのプロセスを利用したというのが正しいようです(文書にも再起動して、攻撃を開始するまでに関連ファイルが殺されないようにするための処置だと書かれてるかと)。だから、やはり、アンチウィルスを入れなければ感染しない。だから、アンインストールするべきだというのはかなり無理があります。文書にも、アンチルートキット機能がある、第3世代以降の一部のアンチウィルスは初期の感染で検出できると書いてあります。




blackwingcat at 18:30│Comments(37)TrackBack(0) | このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote |
このエントリーをはてなブックマークに追加
Security | 時事NEWS

Twitter Feedback

トラックバックURL

この記事へのコメント

1. Posted by 匿名   2015年02月27日 20:20
いつも楽しく拝見させていただいてます
このテレビ番組すごいですね、情報弱者育成のスペシャリストじゃないですか
もうウイルス作成側の人の発言にしか見えないレベル
2. Posted by ラケ   2015年02月27日 22:02
初めまして。

マイクロソフトやGoogleとかこれを把握したとして抗議しないのでしょうか?
3. Posted by 通行人@電話   2015年02月28日 01:53
この博士・・
脳みそをクリーンインストールしたほうがいいとおもうw
4. Posted by 紫のワカメな人   2015年02月28日 02:03
Win2kの神と馬鹿な(自称)博士とのやり取りがひどすぎて笑えない
自分で自分の無知晒してるだけじゃん

O/S(笑)を常に最新にするのも大切だけどMSのアプデは地雷が埋め込まれていることが多いからなんでも最新にしとけっていうのも考えものだと思うんですがね
5. Posted by      2015年02月28日 02:49
「はい論破終了」
「終了と言ったなあれは嘘だ」
の繰り返しワロタ
6. Posted by a   2015年02月28日 05:40
せめて放送見てから反論しましょうよ。
前後文脈切り捨てて理解してるから認識の差が致命的です。
博士との会話がかみ合ってない。
7. Posted by 完璧じゃないものは排除する主義?   2015年02月28日 07:49
シートベルトしてると逆に重症になる事故例が数件件報告されたので、みなさんこれからはシートベルトしないで運転しましょう。
防弾チョッキきてると撃たれたときに却って重症になる弾丸がありますので、自衛隊のご家族のみなさん、派兵されるご主人には防弾チョッキを着ないように薦めましょう。
警察官僚が暴力団と癒着している事件が過去何件も起きているので警察庁自体を日本からなくしましょう。というようなとんでも理論ですね。
8. Posted by 永遠の中級者   2015年02月28日 07:55
「自分で理解できていない人」でしょうね。

もしかしたら、

 ー分でPC初期化した事無い。
  (業者・システム管理部署に依頼とか…)
 ∪瀋(ネット環境など)できない。
  (全て標準設定のまま使ってそう…)
 PCは3〜5年使用しても(OS面も含めて)絶対故障しないと信じて疑わない。
  (そんなのあったら私も欲しい…)
 せ藩僂靴討い襯屮薀Ε玉勝Ε瓠璽蕁写召鯏えられない。
  (「分るだろ最初から入ってるの」とか言ったら終わってる…)
 ゥ丱奪アップを取っていない。
  (整理されていないHDDの中はブラックボックス状態…)

かも?
9. Posted by yoka   2015年02月28日 07:59
使わないときは電源を切ることに意味があると思ってる辺り幸せそうですね。
もちろん攻撃側はそういう挙動を考慮した方法も取っているものがありますし。
10. Posted by 黒翼猫   2015年02月28日 09:12
再放送は2週間後みたいなんですよね。
一応放送見た博士のファンの方ともTwitterでやり取りしたんですが、
結局博士の認識間違いだと思ってるので、
どこがおかしいか書いていただけたらと思います
11. Posted by けん   2015年02月28日 11:33
バラ色ダンディ、youtubeでみれ(ry
12. Posted by anonymous   2015年02月28日 13:11
OpenBSDならウィルス対策入れない方が安全ですもんねー(すっとぼけ)

>>9
使わないときは電源を切った方が安全というのだけは正しいです
踏み台に使うコンピュータは電源の切られないものを攻撃対象にします
特にUNIX系OS(Mac含む)は格好の的です

まめに電源切るとハードウェアの寿命はガタ落ちしますけどね
13. Posted by yoka   2015年03月01日 00:20
>>12
つまり、踏み台にぜす情報抜く攻撃対象であれば電源の状態によらないということですよね。
14. Posted by かも   2015年03月01日 02:00
見もせずに「酷すぎる」とか書いてんのかよ
自分の認識が間違ってるとは考えないの?
15. Posted by 黒翼猫   2015年03月01日 06:59
ウィルスとマルウェアの違いにこだわる人が、アンチウィルスソフトをウィルスソフトって言うし、
ゼロディがセキュリティソフトで対応できない脆弱性だと思い込んでるし、
偉い博士なのでしょうが、その分野の知識についてはちょっと疑問があります。
(そもそもPCに関してはどっちかというとマカーの専門家だった記憶があるんですが…)

そもそも、博士畑違いだし、最初私に Sturxnetを少し勉強すればセキュリティソフトが乗っ取られて陥落したのがわかるって言ったんですよ?
以前記事にするために海外の記事まで掘り起こして精読してたので即座に、あれはセキュリティソフトではなく2010年から2012年の複合的なOSのコアの脆弱性を利用したもので、セキュリティソフトを利用して感染したものではないと回答しましたが。
複数のセキュリティソフトが全く機能しなかったのは建前で普通に知られているとは別の事情が
実はあるんだとか言われても正直有料視聴者向けにあと付けで辻褄合わせしたように聞こえます。


16. Posted by 匿名   2015年03月01日 10:17
※14さんは逆に誰のどこが間違っていて、何がどう正しいのか書くことはできないのでしょうか?
できなければ煽っているだけですよ
17. Posted by 感情的になってない?   2015年03月01日 13:57
>15
外野からは最後のおまけは相手にされなかった腹いせに書いたようにみえる。なんかむりくりトラブル方向に寄せて書いてるよね。

パッチをすぐにあてることは別に非難されるようなことじゃない。銀行のような社会インフラでは”検証せず”に適用した銀行のほうが悪い。パッチの適用を速やかに行うこと自体はベスト・プラクティス。
博士のセキュリティソフトの主張はおかしくてもパッチを速やかに適用する主張は間違ってはいないと思う。

おまけをみると博士をおとしめたいがためにわざと短絡的に書いてるように受け取れる
18. Posted by a   2015年03月01日 14:03
>セキュリティソフトではなく2010年から2012年の複合的なOSのコアの脆弱性を利用したもので、セキュリティソフトを利用して感染したものではない

これはあなたの致命的な認識不足です。
苫米地さん仰る通り、ネット上の記事ではなくちゃんと報告書を読みましょう。

自分が少し検索してみたら、ちゃんと出てきましたよ。
www.eset.com/us/resources/white-papers/Stuxnet_Under_the_Microscope.pdf
4.1.4 Injecting into a new process に書いてある。
「主要アンチウイルスソフトのプロセスを乗っ取り、
モジュール(stuxnetのプログラム)をダウンロードするように書き換える」と。

そして、苫米地さんがニコ生で話していた内容の一部が以下。

「stuxnetプログラムは巨大なため、まず一部をUSB経由で感染させる。
そしてアンチウイルスソフトのプロセスを乗っ取り、
アンチウイルスソフトのアップデートに見せかけ残りプログラムをダウンロードする。
(アンチウイルスソフトのプロセスはrootに近いBIOS権限を取れるので、
OSを乗っ取らずとも容易にダウンロードとHDD書き換えが可能)
そして、プログラムが揃った時点で攻撃を開始する。」

あと、苫米地さんはイェール大、カーネギーメロン大で超並列処理やOSをバリバリ書いてましたし、内閣官房情報セキュリティセンター(NISC)に何度も助言してるエキスパート中のエキスパートなんですが・・
19. Posted by 黒翼猫   2015年03月01日 17:23
>おまけをみると博士をおとしめたいがためにわざと短絡的に書いてるように受け取れる

いや、これは、単なるブラックジョークです…。
別に、博士に個人的な恨みがあるわけじゃなくて、直接Twitterやり取りしたときに
もらった中途半端だったので、こちらで持ってる情報だけでわかりやすく、
まとめたにすぎません
(わかってるんだったら、なんで、ほとんどの視聴者さん方は詳しく教えてくれなかった
んだろうってのが疑問)
20. Posted by a   2015年03月01日 18:01
自分で見もせずに批判しておいて、
「なぜ教えてくれない」はないでしょ。
21. Posted by 黒翼猫   2015年03月01日 18:02
有料(800円も出す価値があると思えなかった)だったり、公開が2週間後だったりで見れなかったんですよ。
「国家セキュリティにかかわる問題の真実を知りたきゃ金を出せ」はないと思います。

まぁ、親切に教えてくださったので助かりました。ありがとうございます。
22. Posted by yoka   2015年03月02日 03:33
大天才の言うことなのでそこは許してあげてください^^;

私もアンチウイルス入れてない時にトロイ入れられそうになったことあります。一般人は入れておいた方が安全ですね。UPXかかっててやばそうと思ったらこれですよ。
23. Posted by よしあき   2015年03月02日 23:21
>管理人さん
いや、>18の文章読むと、どう解釈してもアンチウイルスソフト乗っ取ってるでしょ。
アンチウイルスプロセスを書き換えることで、アンチウイルスのBIOS権限を利用して外部からダウンロードしてるんだから。

[結論]で何か無理やり「乗っ取りではない」ように誘導して書いてるけど、
これが乗っ取りじゃないとか無理ありすぎw


>単純に攻撃を検出できる最新のウィルス対策ソフトが入ってるかが鍵になるのであって、アンインストールすればよくなるということは絶対にない。

この結論もおかしい。
文章によるとsyntuxnetはほぼ全ての主要アンチウイルスベンダーに対応している。
アンチウイルスが入っているシステムならば、OSもアンチウイルスも両方が脅威に対応した最新版でなければならない。
一方、アンチウイルスが入ってなければ、OSのみが脅威に対応した最新版でありさえすれば良い。
つまり、アンチウイルスが入っていることで、リスクはは2倍になる。

苫米地氏も言われてるように、CMU CERTに脆弱性情報が入った瞬間から全OS、
アンチウイルスベンダーが同時に対策に動くのだから、ソースコードを持ってるOS側がアンチウイルスよりも対策が遅れることはまずあり得ない。

少なくともsyntuxnetのようなアンチウイルスを乗っ取るマルウェアの場合は、
アンチウイルスはリスクであるという主張は十分納得できる。
24. Posted by 黒翼猫   2015年03月02日 23:26
アンチウイルスプロセスを書き換えてるのではなく、カーネルAPIを書き換えておいて、
ホストプロセスとして、そのAPIをアンチウィルスのプロセスに実行させるだけであって
既にOSが乗っ取られている。そして、アンチウィルスに検出させないために、
アンチウィルス自体にAPIを実行させている。
アンチウィルスが入っていなければ、システムのプロセスに同じことをさせる。
アンチウィルスに検出されないための偽装であって乗っ取りではない。

ESETの列挙したどれかのプロセスに対応していればいいわけであって、
アンチウィルスが入ってるとリスクが二倍になるわけではない。
Stuxnet に対応してないウィルスの場合、無効化されるだけであって、
リスクがアンチウィルスなしの時と変わらないだけだ。
君の言うように、アンチウィルスが入ってることによってリスクが2倍になるというのなら、
複数のアンチウィルスが競合できずにインストールできるなら、リスクがインストールした数の
倍数になるというバカな結論になる。

ダウンロードのホストとして使用するプロセスはアンチウィルスが入っていなければ、Systemプロセスを利用するだけでいいのでアンチウィルスが入っていなければ安全という理屈にはならない。
あと、「BIOS権限」なんて言葉はないし、アンチウィルスにBIOSを書き換える権限があるわけではない。「syntuxnet」なんて言葉もないし「CMU CERT」なんて言葉もない

Stuxnet がアンチウィルスの代わりに利用するSystemプロセスは必ずWindowsには存在するプロセスなので、リスクは100%で変わらない。アンチウィルスが検出できなければリスクは100%のまま。検出できればリスクが下がる。ただそれだけだ。

25. Posted by 通行人@電話   2015年03月03日 18:15
■2015年3月の呼びかけ - IPA 独立行政法人 情報処理推進機構
ttp://www.ipa.go.jp/security/txt/2015/03outline.html
-----
セキュリティソフトが危険というのであれば、Vista以降から標準で組み込まれたWindows Defenderは何なのか?

天才といっても、言うことが100%正しいわけではない。
故に紙一重w
26. Posted by 黒翼猫   2015年03月03日 20:34
問題点は、有名な偉い人が、勘違いしてるらしくて
その考えに基づいて、情報を拡散しちゃってるので、
その人がすごいって思ってる人には、なかなか伝わらないことかな…。
|・ω・) 。o (博士も人間なので、専門分野とちょっと離れたところだと、
勘違い位は、あると思うんですがねぇ )
27. Posted by             2015年06月06日 17:06
長文兄貴多すぎて草ww
28. Posted by あ   2015年12月16日 16:05
今市場に出回っているウイルス対策ソフトはパターンマッチング技術を使っているので、博士が言っているゼロデイにウイルス対策ソフトが効かないというのはあっていますよ。
また、一部のウイルス対策ソフトは未知の脅威も防御可能とか書いてますけど、性能が悪すぎて実効性がほぼないです。
シマンテックの幹部なども「ウイルス対策ソフトは死んだ」などのコメントを出しています。
29. Posted by 黒翼猫   2015年12月17日 13:51
パターンマッチング技術を使っているウィルス対策ソフトは全く新種のウィルスに効果がないってのはあっていますが、今回のこれはそういう話じゃないです
シマンテックがニュースで出していた「ウイルス対策ソフトは死んだ」ってのは、第3世代以前のウィルス対策ソフトはもう防げないので、新たに開発したやつ使ってくださいって広告出してたのを
マスコミが面白おかしく取り上げただけです。それを真に受けてウィルス対策ソフトは使わないって人が居たら絶句します…。
30. Posted by あ   2015年12月18日 13:25
黒翼猫さんコメントありがとうございます。

シマンテックを含めて未知の脅威に対応するって売り文句ですが、これが実際のところ未知脅威をほとんど防御できないのが現状なんですよ。

実際ネットバンキングの不正送金やら年金機構の情報漏えいやらやられまくっているわけで。
シマンテック含めてそれらの未知脅威を防げますよと言うばっかで防御実績なんか全然ださないですし。
Virus Totalで実際どんな感じかをみても防御できてないですしね。

ちなみに既知脅威に対してはWindous Defenderがあるのでわざわざサードパーティ製買う必要ないんですよね。
31. Posted by 黒翼猫   2015年12月18日 14:45
うーん、未知の脅威が防御できていないってソースはどこですかねぇ
対策ソフトの第三者機関の比較ソースで5年前は40%程度だったというレポートがありますが、
最近は Fortinet などの各社ファイアーウォールを検証してゼロディもほぼ100%防御できるという
レポートもあります。

ちなみに、Virus Total での検証はドメインベースになるのと、
攻撃サイトはスクリプトで動的に脆弱性を探してアクセスした環境に適した
コードを出力するので、Virus Total にURL入れて検証するのはあまり意味ないです。

ニュース見ていれば、分かると思いますが
『ネットバンキングの不正送金やら年金機構の情報漏えい』は運用側の問題で
セキュリティソフトが入ってなかったとか、出所不明の添付ファイルも開いてしまう
といったレベルの話なのに
セキュリティソフトが悪いって言ってしまうのはナンセンスです

後、Windows Defender はあなたが最初に言ってたようにパターンマッチングのみなので、
ミューテーション型ウィルスなどには効果がありません。サードパーティ製品買う意味がない
というのは矛盾します。
32. Posted by 通りすがり   2016年01月09日 05:13
苫米地さんが適当なのは有名だけど、今回の議論と関係なく、アンチウイルスソフトは無意味、時代遅れ、ってのは常識になりつつあるんじゃないんですかね。

こういう例もありますし。
ttp://cpplover.blogspot.jp/2015/12/avgchrome.html

そもそも、こういう人たち(みなさん)はGNU/Linuxのことはどう思ってるんだろう。

本当にウイルス対策をする気があるなら、当然GNUを使ってると思うんだが。

Windowsでも、普通にネット見てる分にはウイルスなんか感染しない、大丈夫だ、というのはもっと知られてもいいと思う。ウイルス会社[sic]の養分だよ。

ただまあ、無料で動画を見せてくれる優良アダルトサイトであるワンクリをこんなに恐れる人が多いことを考えると、たとえばscrですとかexeですとかを踏んでもディフェンドしてくれるような、フールプルーフな設計はやっぱ必要かなあ。

現状のWindowsは「感染しようと思えばできる」わけだしね。それは問題かも。
33. Posted by 黒翼猫   2016年01月09日 10:23
無料の時代遅れな低品質なセキュリティソフトベンダー挙げてこういう例もあるって言われても
ちょっと説得力ないかなぁと思います。

セキュリティソフトには世代があって、無料のセキュリティソフトの多くが第二、第三世代。

うちは、一つ古い第4世代のセキュリティソフトにWindows固有の脆弱性を全てブロックする
ソリューションを入れています。


「普通にネット見てる分にはウイルスなんか感染しない、大丈夫だ、というのはもっと知られてもいいと思う」
って逆じゃないですか?ほんとにそう思ってるなら、考え方が時代遅れです。
JavaScriptやAdd-onを無効にしてれば確かに感染しないと思いますが、それって普通じゃないし


私は、Linux使ってる人はセキュリティソフトを当たり前のように入れずに感染してることも知らない
人が多いってイメージですね
34. Posted by 通りすがり   2016年01月10日 01:21
えええ、まじっすか…

そういう人が一定数いてくれるなら、セキュリティソフトビジネスに参入しようかな。

僕ちょっと用語に詳しくないんだけど、その「第x世代」ってのは「ウルトラブック」とかと同様、セキュリティ会社が金儲けのために作ったバズワードとちゃいます?

これのことでしょうか?
hatenanews.com/articles/201311/16998

どっかの会社のスイートの話じゃなくて、業界内で普通に通用する用語なんですよね。

本当に聞いたことがなかったので。まあ、お手数をお掛けするので、英語版Wikipedia等の出典を示してください、とまでは言えませんが。

そもそもリチャード・ストールマンを知っていれば、ソフトは無料、というか自由なのが当たり前で、当然セキュリティソフトが必要だとしても、それは自由ソフトであるべきだと思うのですが、主さんはそういう観念を共有していないようですね。

>って逆じゃないですか?ほんとにそう思ってるなら、考え方が時代遅れです。

私も実証したことがないのでわからないのですが、本当に感染するんでしょうか?

JSは関係ないのでは? FlashやJavaは危なそうですが、それでもWindowsで最新版を使ってても感染するのかなあ。どこのサイトなんだろう。

>私は、Linux使ってる人はセキュリティソフトを当たり前のように入れずに感染してることも知らない
>人が多いってイメージですね

本当なんでしょうか。というか、黒翼猫さんもReact OSとか使われてるのかと思ってたんですが。

サードパーティCookieとか、ビーコンみたいなトラッキングをマルウェアに含まれてるならわかりますが、さすがにコンピューターウイルスには感染しないんじゃないでしょうか。

もしGNU/Linuxを本格的に使ったことがないなら、たとえばVMとかでUbuntuとかを試してみるといいですよ。

VMが重いならLubuntuみたいな軽量ディストリビューションもありますし。
35. Posted by 黒翼猫   2016年01月10日 11:50
無料のソフトが存在するのは分かりますが、無料のソフトは何らかの見返りを別のところで持っていたり、品質が低かったり、信頼するに値するとは思えませんが。
無料のAVGやKingsoftのセキュリティソフトが酷い品質なのは明らかだと思うんですが
無料のセキュリティソフトのひどさを掲げてセキュリティソフトは信用できないとかいうのは違うんじゃないでしょうか?

うーん、任意の VBScript や JavaScript がIEやShellの脆弱性と組み合わせて実行されたらウィルスに感染するのを知らない人なんでしょうか?最新のOSはホームページを見ただけならマルウェアに感染しない?トラッキングCookieをさすがにマルウェアに含めるつもりはありませんが、種類を限定しないならいくらでも感染するものはあります

UACを使わないマルウェアもありますし、仮に大事な作業の途中でUACのダイアログが、
許可をするまで永久に出続けるマルウェアのインストーラーが実行されてしまったら、
正しい対策を行えるユーザーはどのくらいいるでしょうか?
古いセキュリティソフトはパターンマッチングのみなので、検出できなければ終わりですが
新しいセキュリティソフトはユーザーが誤った判断を行っても、 実行・通信・挙動 まで確認
してブロックしてくれるので回避できる可能性があります。

わたしが、LinuxベースのOSでもない、ReactOSを試験的に使ったことがあるのとLinuxを常用してる人の話がどう関係あるのかわかりません

私が言ってるLinuxはセキュリティソフト入れないとFlashやJava入れて本格的にブラウジングしようなんて思えないって話とLinuxを使ってみたらいいってはなしは全然関係ないと思います

Linuxのシステムファイルの個別更新程度ならできますが、Windows 使ってた一般人に
安全だからセキュリティソフトなしでLinux使おうって勧められるレベルだとは思えません。
36. Posted by 通りすがり   2016年01月13日 07:59
え?ReactOSってLinuxディストリビューションじゃないんっすか?
…どうやらそのようですね。すいません、完全に勘違いしてました。私だけでしたか。

>うーん、任意の VBScript や JavaScript がIEやShellの脆弱性と組み合わせて実行されたらウィルスに感染するのを知らない人なんでしょうか?

待ってください。VBScriptとか超久しぶりに聞いたんですが、それってJavaScriptじゃなくていわゆるJScript、要するにIE限定の話じゃないんですか?

Shell…?ってのはWSHのことでしょうか?

いずれにせよ、WindowsでもFirefoxやChromeを使ってれば、やはり「ホームページを見るだけなら感染しない」んじゃないんでしょうか?

>私が言ってるLinuxはセキュリティソフト入れないとFlashやJava入れて本格的にブラウジングしようなんて思えないって話

これはどういう話でしょう?

LinuxにはIEもWSHも、UACも存在しないのだから、黒翼猫さんの「Linux使ってる人は感染してることも知らない」という話に対する、私の「さすがにLinuxでは普通にブラウズしてる分には大丈夫なんじゃ?」「セキュリティを気にする人はWindowsよりもLinuxを使うべきでは?」という論には、黒翼猫さんはまだ反論されていないと思うのですが。

まあ、もしセキュリティではなくユーザビリティの話をしているなら、Linuxは一般人の常用に耐えうるレベルに達していない、というのは同意です。
37. Posted by 黒翼猫   2016年01月13日 09:02
最近の Firefox や Chrome も play on clickを設定していない普通のユーザーは見てるだけで感染することはあります。(去年 Win7でホームページ見てただけで感染してネタにしたユーザーを2人ほどねたにしましたが、一人はそこそこセキュリティに知識がある人、もう一人はある程度PCにはくわしいひと)
>「さすがにLinuxでは普通にブラウズしてる分には大丈夫なんじゃ?」
Linux にも定期的に権限昇格や任意のコードを実行できる脆弱性が発見されており、JavaやFlashの脆弱性と組み合わせれば同じようにブラウザの閲覧だけで感染します。
>「セキュリティを気にする人はWindowsよりもLinuxを使うべきでは?」
気にしてても、詳しくないなら使うべきではありません。
例えば、私は自分のPCに感染したルートキットなどもWindows であれば発見できますが、Ubuntu やMacOSX などのLinux/BSD 系OS だと自信がありません
セキュリティを気にしてLinuxを完璧に使いこなせるレベルにある人だけが使うべきです

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔   
 
 
 
livedoor プロフィール
My PC
SNOWSTORM(P5E3 Premium)
OS:Win2000AdvancedSv
CPU:Xeon(4Core) 2.83G
Memory:8G
VGA:NVIDIA GTX 780Ti
HDD:SSD(32G)
    +SATA(540G+180G)
Crystal SCR:244765
SNOWFOX2(W860CU)
CPU:Core i5-540M(2.53G)
OS:Win2000Pro
Memory:4G
VGA:Geforce GTX285M
HDD:SSD(160G)
Crystal SCR:176460
SNOWMOBILE3(CF-J10S)
CPU:Core i5-2410M(2.3G)
VGA:Intel HD Graphics
HDD:SSD(128G)
Windows2000
Memory:6G
Crystal SCR:133495
SNOWMOBILE(N10Jc/故障)
Windows2000/XP Home
Crystal SCR:38316
SNOWLEO(MA206J/A/休止)
OS:OSX 10.4 +
Windows2000Pro(Solo動作)
Crystal SCR:24061
Windows 2000の セキュリティ対策について
FFR yarai(脆弱性防御)
SymantecEndpointSecurity 11 MR7
Windows Defender
記事検索
訪問者数

    今週のアクセス数

    Win2000お勧め
    お勧め記事
    Twitter Client Mo-Footer
    .NET FrameworkのUninstall
    lolifox 0.3.8.x
    WindowsのシャットダウンTips
    Fox Launcher
    ウィルス感染を手動で見つける方法
    Unknown Hard Errorとサルベージ
    Dependency Walker 日本語化
    Ultra VNC 1.0.6/1.0.8 を日本語化
    IME補完計画
    BSoD(ブルースクリーン)特集
    デフラグ時の4つの心得
    不明なデバイス探し
    SETUPAPI/NTDLLBugFix
    DNSデボルブ用更新[KB957579]
    最新 update.sys!
    4Thread以上のCPU最適化
    Win2000マルチコアで最適化
    Windows 2000の通信速度改善1
    Windows 2000の通信速度改善2
    内蔵簡易FireWallを使う
    ワームに感染しないインストール
    Remote Desktop Client
    IME 辞書 Tips
    Win2000用セキュリティSOFT
    不要なファイルの削除
    Win2000カスタマイズ
    便利なキーボードショートカット
    6月末まで使える体験版セキュリティ

    非対応ハード動作編
    HTC NDIS Driver
    Intel HD Graphic Driver
    VMWare Player 3.1.x
    Conexant HD Audio Driver
    NVIDIA WHQL Driver
    Intel Chipset 最新 INF
    Sentelic Finger Pad Driver
    ATI Legacy Driver 10.2
    AMD Radeon Driver 8〜11
    ATI Ahci/Raid Driver
    Intel SATA AHCI Driver
    D21LC(eMobile)
    USB-WSIM
    UVC カメラ
    Logicool Webcam
    Logicool ゲームパッド
    XBOX360用コントローラー
    Logicool Mouse
    Microsoft IntelliPoint
    iPod Touch/iPhone Driver

    非対応アプリ動作編
    Flash Player 10.3
    Java 6 JRE
    Java 7.0 JRE
    ティルズウィーバー
    Natal Online
    コンチェルトゲートフォルテ
    シルクロードオンライン
    東方幻想麻雀
    IME2010 Installer
    Adobe Reader X for Win2000
    Baidu IME 2.x
    MMORPG ドルアーガーの塔
    Adobe Air for Windows 2000
    Baidu IME
    iTunes 10.x installer
    Evernote 4
    Janetter
    Second Life
    雀龍門
    Media Manager for PSP 2.5a
    .NET Framework 3.5SP1
    ATOK 月額版(2010/2011)
    Leaf 愛佳でいくの!!
    VistaのScreenSaver
    会計ソフト弥生シリーズ 10
    Vegas Movie Studio 9
    EyeBall Chat
    ・CanonPowerShot[Soft/DPP]
    Google SketchUp Pro 7
    dance mixer
    Lismo Port
    DivX
    SONY ScreenSaver
    mixi アプリ
    DivX v7.x
    ニコニコムービーメーカー(動画)
    RC-S330 PaSoRi
    Finale 2009
    ZoneAlarm 8.0
    ルナティア Online
    ストリートギアーズ
    xfy Blog Editor
    Photoshop Elements 7
    Premiere Elements 7
    PowerShell 1.0
    ai sp@ce
    電脳フィギュアARis
    VOCALOID2 ミク・リンレン
    Google Chrome/SRW Iron
    Media Player 10
    ・iTunes 7.6.2を使う方法
    QuickTime 7.5x/7.6x
    foobar2000 9.5.x/9.6.x
    RealPlayer11
    Safari3/4.0
    ShockwavePlayer10/11
    Windows Live Writer
    Live Messenger
    Veoh Web Player / Web TV
    Level-R

    追加機能・カスタマイズ編
    W2K Kernel32 改造計画【BM】
    W2K Update Rollup v2
    XNA/SlimDX
    CPU Core数リミット解除
    OutLook Express 6SP3
    MDAC 2.8 SP2
    GIF/PNGを使えるMSPAINT
    IE5でWindowsUpdate
    MSXML 4.0SP3
    DirectX9.0c(2010/Feb)+拡張
    MS09-062(Gdiplus.dll)更新
    Unicode 制御文字
    Internet Explorer6 Bonus Pack
    夏時間(DaylightSavingTime)
    レジストリバックアップを取る
    IME2007
    Windows Media Bonus Pack
    XPSファイルビューア
    Windows Defender
    文字化け対策(FontLink)
    Meirio(KB927489)
    msconfig
    圧縮フォルダ
    Windows Movie Maker
    IE5.01/5.5/6タブ化
    MediaTypeChanger(EISA構成)
    Win2000 SP4 Support Tool
    kill/tlist with Debugging Tools
    sc.exe with Resource kit
    reg.exe
    TaskTray 256色化
    ISO仮想CD/DVDドライバ
    IE6高速化とWSH 5.7/5.8
    MS Baseline Security Analyzer
    音声認識 API 5.1
    Text Service

    Win2000インストール編
    CF-J10S
    N10Jc
    ThinkPad X200(7454)
    Quad Core/X48/P5E3
    VAIO VGN Type S
    E6850搭載 サポートPC
    Let'snote CF-R6
    MacMini
    Dell LATITUDE D630
    Core i7 + X58 +ICH10R
    790FX + SB750
    Clevo W860CU
    最新コメント
    Categories
    アーカイブ
    Information
    Google広告




    Translate


    このサイトはIE5.x/IE6
    IE5.x Internet Explorer 6.x

    Firefox Firefox ブラウザ無料ダウンロード
    で最適化されています。
    Technorati
    Add to iGoogle
    Amazon GIFTでカンパ

    Donation