Previous Topへ Next

OSXのtips3-3

今まで運用記録に書いてきたシステム運用のtipsを一カ所にまとめることにした。 要するに記事の量が当初の想定よりも多くなってしまい 私自身探すのが大変になってきたからだ。 ちょっとしたメモとしてのtipsも結構重要な情報になったりするので ここで項目を集めることにした。
セキュリティに関するtips

anchor

完全解決したのかが不明瞭なtelnetを通じた攻撃に対する対策

先日BBSに「chabin」さんより質問をいただいたのだが、ブラウザで開いただけで確認もなしにTerminalが開いてしまうwebページがある。
TerminalのURIスキームに対する脆弱性の対策としてTerminalを自動起動して悪意あるコードを実行されるリスクを回避するコードという対策をTipsページに掲げているが、これを実施していてもTerminalが勝手に開いてしまうという指摘をいただいた。
例のTipsは万能ではないのかというご質問だ。

これはその通りで、異常ではなくこれがtelnetについてのTerminalの仕様なのだが、ただURIスキームを通じた脆弱性が最初に問題になった2004年の春にも afp、ftp、telnet等のプロトコルを通じてTerminalヘルプ等のスクリプト実行環境を自動的に開いて悪意あるコードを実行できる可能性が指摘されていた。

現実にはこの可能性はとても低いと思うのだが
「じゃ、絶対に安全か?」
と言われると
「そうとも言い切れない」
としか答えようがない。
当時Appleはこの問題をセキュリティアップデートで対応し「問題は終息した」と言い切ったが、何がどう終息したのかよくわからないまま話題にならなくなった。

昨2006年、Tigerのメタデータを通じて再びURIスキームを突くという新手の実証コードが発表されてこの問題は再燃したわけだが、今回も「問題は終息した」ということでなんとなく話題にならなくなっている。
しかし、こういう機能は便利だけども常に仕様が変わるたびにまたこういう新手の脆弱性の原因になるという問題も抱えている。それはInternetExplorerのActiveX等を見ていればよくわかると思う。

そういう弱点になりそうな機能は殺しておきたいと考えるなら以下の対策が可能だ。
以下2004年の6月の記事を抜粋する。


"今回のOSXの脆弱性はいくつかの要素が絡み合っている。
このうち私が一番問題を感じたのがこれだ。
試しにこのアイコンをクリックしてみてほしい。



勝手にterminalが起動しなかっただろうか?
このようにOSXのURIを通じて、webサイトからある種のアプリを操作することができてしまうということが問題だ。
これ単独でterminalにある種の引数を渡してユーザ領域内のファイルを削除したり、コピーを送信させるというようなことも不可能とはいえない。

そういう危険性があるのでこういう機能はやはり殺しておくべきだ。
これについて私も当初、webブラウザのダウンロードしたファイルを勝手に開くチェックを外すことで対応できると考えていたが、チェックを外していても関係無しにアプリの起動はできるというのが驚きだった。
このセキュリティホール対処法をもう一度まとめておく。

1)ブラウザのダウンロードしたファイルを自動で開く機能をオフにする。
Safariの場合は環境設定に入って「一般」タグに入り、
「ダウンロード後”安全”なファイルを開く」という部分のチェックを外す。

2)ダウンロードした覚えが無い怪しいファイルはうかつに開かない。

3)そういうことが判るためにダウンロード先をデスクトップではなく別の専用のフォルダーを作っておき、そこでチェックできるようにしておくこと。
これはダウンロードしたファイルを遠隔操作されないようにするためにも有効だ。
遠隔操作するにはそのダウンロードファイルのパスが分かっていなければならないので、ブラウザのデフォルトではダウンロード先はデスクトップになっているはずだが、とにかくデスクトップ以外の専用フォルダを作って、そのフォルダに自分しか分からない名前を付けること。
これで悪意ある侵入者からはダウンロードしたファイルの在り処が分からなくなるので、それを遠隔操作される危険性は半減するはずだ。

4) Paranoid Androidを入れて、悪意ある第3者に勝手にアプリを起動させないように常に監視しておくこと。
(アラートは全て英語で出てくるが、このアラートを読まないと意味が無い)
またブラウザが明らかにおかしいURLを自動で開こうとしているのもこれで防げる。

5)またちょっと不便にはなるがMisFoxを使って
afp
ftp
disk
disks
telnet
などのプロトコルヘルパーを変更しておくこと。
これについては今問題になっているのはこの5つだが、OSXのセキュリティ情報に今後も常に注目しておいてほしい。これが増える可能性がある。

6)そして怪しげなサイトにはあまり行かないこと。

まとめてておくとこういう事になる。
今までOSXはセキュリティホールにほぼ無関心でいても問題なかったが、今後はこういう能動的な対策が必要だということだ。"



以上抜粋

このうちMisFoxを使ってtelnetを殺しておくというのがこういう場合の対策になる。telnetはネットなどを通じてMacを遠隔操作したい時には便利な機能なのだが、そういうことをする可能性がないという人はMisFoxを使ってtelnetのプロトコルヘルパーをテキストエディタか何かのスクリプトを実行できない無害なアプリに変更してしまえば良い。
これが一番確実な対策になる。






MisFoxを使ってプロトコルヘルパーを変更する
これでtelnetを通じてTerminalを起動されてしまうような
不安な仕様は止めることができる。



問題はtelnetを活用したいというユーザの場合だ。
telnetを有効にしておくと、以下の場合ちょっと不安を感じる。

1)Terminalを使ってsudoなどの認証を必要とするコマンドを実行する
2)その後5分以内にSafari等を開いて上記のようなtelnetプロトコルを自動的に読み込ませるようなタグが打たれたwebサイトをたまたま開いてしまう
3)そこに仕込まれた認証を必要とするコードがTerminalで認証抜きに実行されてしまう

これは確率的にあまり高いとは言えないが、「あり得ない」と言い切ってしまっていいのかが私にはよくわからない。
そこでやはりTipsのページの
未公認だが存在するTerminalの認証の弱点を防ぐ」という項目で書いた「5分間のsudoの認証猶予を無効にする」という対策で対応できるのではないかと考えている。
ただし今のところ「考えている」だけで実証したわけではない。
いつかそのうちこの問題についてちゃんと考えようと思っているうちにほったらかしになっていたのだが、そこを「chabin」さんに質問されたので、とりあえず実証はともかく今考えていることを書いておく必要性を感じたので書いておく。
どなたかこの件についてアドバイスをいただけたら、ありがたい。







セキュリティに関するtips

anchor

phishingサイトの被害に遭わない対策 〜といっても気にしている人は少ないかもなぁ

産業技術総合研究所情報セキュリティ研究センターの安全なWebサイト利用の鉄則というページを見つけた。
一頃フィッシング詐欺が話題になって、そういう被害とその対応策がいろんなところに解説されていたりしたのだが、大抵は
「運営者の身元が分からない怪しいサイトに個人情報を入力しないように注意しましょう」
みたいな役に立たない解説が多かったような気がする。
しかし「運営者の身元」が怪しいと思わないから引っかかるんじゃないか、失敗した人に「失敗しないようにしましょう」なんていうアドバイスがなんに役に立つんだろうかと思わされることが実に多かった。

このサイトに書かれていることでも一番重要なところは
1)アドレスバーでURLをみてドメインが間違いなくその運営者のものか確認する
2)SSLを使っているページか確認し、南京錠アイコンをクリックしてSSL認証者が書かれた「サーバ証明書」が間違いなくその運営者のものか確認する

という2点だと思う。

ところが実際にはほとんどの人はそういうところはあまり気にしていないのに
「ネットでカード番号を打つと悪用されそうなので怖い」
というような過剰な反応をしている人は結構多い。
注意していれば便利に使えるものなのに、妙な自己規制でこの便利さを棄てているか、不注意で自分自身をリスクにさらしているかの両極端でやるべきことをやって安全に使いこなすというバランスが欠けている人を良く見かけるし、専門誌の解説記事でもそういう類いの内容が多いように思う。

ひところInternetExplorerはURLを偽装されるという重大な欠陥が有ったのだが、しかもそれが長期間マイクロソフトからは放置されており、ユーザをフィッシングの危険にさらしていた。
その後この欠陥が解消されたのかどうかよく知らないのだが、この放置された理由がWindowsアップデートなどのミラーに飛ばされているという不快感を感じなくてすむようにどこに接続してもシアトル本社に接続しているように見せるためだという噂を聞いて、噂の域を出ないのだけどもしこれが真実ならばそんなくだらない理由のためにユーザを危険にさらすというのが信じられないと思った。
この話はガセかもしれないけど、そういう理由でもないとこの欠陥を長期にわたって放置していた理由がわからないので、一概にガセとも言い切れない。

このリスクはWindows版InternetExplorerだけでなくMac版InternetExplorerでも共通の問題が有ったはずだから注意した方が良い。
私自身はもうかなり長いことInternetExplorerを起動していないので詳しいことは知らないのだが。
(このサイトの「よくある質問と答え」のページの「この鉄則が守られれば絶対安全か?」というFAQに対する答えとして「webブラウザに脆弱性が有る場合」、そうともいえないケースが挙げられている)

それはともかくフィッシングの対策はこのリンク先のサイトに書いてあるように実はそんなに難しいわけではない。
これらのことが実行されればフィッシングに引っかかる可能性は極めて低くなると思う。
みておいて損は無いと思う。




<後日追記>

この記事がちょっとわかりにくかったので、実際のブラウザでのSSLの見方をちょっと解説しておく。
URL自体は偽装はできない(というはなし)なので基本的にはよく知っているサイトに関してはURLを確認するだけでフィッシング詐欺は予防できる。
例えば当サイトは別に個人情報を入力させるようなページではないのであまり適切でないのを承知で当サイトを例にとると、このページは
http://www.geocities.jp/nmuta2004/tips3.html#phishing
というURLにある。
geocities.jpが固有のドメインの表記だから
http://
というスキームの表示のあとの最初のスラッシュの前がgeocities.jpであるなら偽装サイトではない。

しかし
http://www.geocities.jp.gisou.co.jp/nmuta2004/tips3.html#phishing
というように同じ文字列が入っていてもそれが最初のスラッシュの前ではない、あるいは
http://www.gisou.com/geocities.jp/nmuta2004/tips3.html#phishing
最初のスラッシュ以外のところにある場合は、正当なドメインではないので注意しなくてはいけない。
というよりもこういう紛らわしいドメインの表記にはもう何らかの意図があると考えた方が良い。

あるいはSSLを使ったページに入ればこのサイトが信頼できるサイトかどうかは自動的にわかる。 SSL(セキュリティソケットレイヤー)は通常httpsというセキュリティを組み込んだプロトコルでやり取りされるのでURLのスキームも
https://www.geocities.jp/
というように表示される。
またそこに入ればブラウザのどこかに必ず南京錠のアイコンが表示される。
Safariであれば右上のコーナーだ。






SSLでセキュリティがかかったページに入るとSafariの場合は
右肩に南京錠のアイコンが表示される



これはこの通信は双方向に暗号化された通信でやり取りされているという意味だが、もうひとつ重要な意味があって、サーバ認証というPKI(認証インフラ)によって、表示されたURLドメインの所有者によって運営されているサーバであるということを保証されているということだ。
だからこの表示で特にアラートが出てこなくて、しかもこのサイトのURLは馴染みがあるという場合はこれでまずフィッシングなどの問題に当たることはない。
ところが以下のようなアラートがでることがある。






サーバ認証に失敗した場合はこのようなラートが出てくる
この場合はこのサイトの身元に間違いがないかよく確認する必要がある
というよりよく知っているサイト以外は確認のしようがないので
この場合には個人情報を入力しないことだ



この場合考えられることは、
1)ブラウザと認証局の通信にエラーが出て単純にエラー表示がでてしまった
2)サーバ管理者が認証の有効期限の延長などの手続きを忘れて身元不明サーバになってしまっている
3)何者かが偽のサイトを作って偽装している

この3つのケースだ。

対応策としてはよく知っている馴染みのサイトの場合はURLが偽装されていないか、確認して次のステップに進む、
1)のケースもあるので南京錠アイコンをクリックしてサーバ認証情報を確認するということになる。
ただしよく知らない、馴染みないサイトの場合はサーバ認証情報を見てもその信頼性を確認する方法がないので、サーバ認証情報を確認する意味はない。そういうところには近寄らないことだ。

またよく知っているサイトでも認証が期限切れになっているようなところは、サーバ管理者のセキュリティ意識に問題がある可能性もあるので、そういうところも慎重にお付き合いした方が良い。






南京錠アイコンをクリックするとサーバの管理者の認証情報と認証者の情報が見られる
この場合はサーバ認証は問題がないという表示になっているが
そこがお馴染みのところだったらこれで安全を確認できるが
紛らわしい商号を登録している可能性もあるのでURLから登記の住所から確認する方がよい
ましてや正確な商号や登記地、URLを空で言えない馴染みないところは確認できたことにならない






セキュリティに関するtips

anchor

シングルユーザモードに入れない(オープンファームウエアのロック解除)

昨晩からシングルユーザモードに入れなくなっていた。

シングルユーザモードとは起動時にコマンドキー+Sキーを押し続けることでBSDのCUI画面に入ることができるという機能で、GUIがどうにもいうことを聞かなくなったというような重篤なトラブルの時には緊急回避的なトラブルシューティングの手段になるし、私の場合は別に緊急事態でなくても日常的にメンテナンスの時にApplejackなどを使ってメンテナンスの手順を実行している。
真っ黒な画面に文字ばっかり出てくるので初心者には取っ付きにくいが、使い慣れると便利なモード。
昨晩もちょっと動作が重くなってきたので軽くキャッシュクリアなどを実行してfsckくらいはやっとこうとコマンド+Sキーを押しながら再起動をかけたが、SUM(シングルユーザモード)に入れないまま普通に起動してしまった。
直前に試したCocktailがなにかsecuritylogなどのシステムにかかわるファイルを壊してしまったかと思い、いろいろ修復を試みたが全く症状は改善せず。

昨晩から何十回も再起動しながらシステム修復を試みたが、特にエラーも異常もないのにSUMにだけ入れないという問題が残る。

最近でいえばセキュリティアップデートをかけたあとに1回SUMに入っているからそれ以降にやった何かのプロセスが問題を起こしていると見てひとつずつ検証する。
最初に疑ったCocktailだが、よく考えたらこれは通常のスタンダードなメンテナンスの時に使うUNIXコマンドをGUI化しただけのアプリだから、これが問題を起こしているとは考えにくい。

思い立ってもうひとつテストしてみると、P-RAMクリアもできなくなっている。
このメンテナンスはOSXになってからはあまり意味がないと思い、滅多にやらないのだが起動時に
コマンド+option+P+R
を押し続けると起動時のジャーンを押している間何回も繰り返すというもの。
内蔵の起動用プライマリメモリの中身が壊れてくると、起動に失敗したり時計が正常な時間を表示しないなどシステムの動作がおかしくなるので、これでメモリをリセットするともとに戻るというTipsだが、OSXに移行してからはそういう問題にあったことがないので、ほとんどやったことがなかった。
それをトライしたが、ジャーンを繰り返すどころかフツーにつるっと起動してしまった。

考えられる問題はキーボードを起動時に認識できなくなっているのかと思い、外付けのUSBキーボードで試してみるが同じこと。USBも受け付けなくなっているというのは仕様上おかしいので、ハードウエアの故障の線はなくなった。

ここでいよいよ手詰まりになってしまった。

そこで観念して(なんでやねん?)Appleのテックインフォライブラリ(今は名称が変わっているのか?)のMac OS X- シングルユーザまたは Verbose モードで起動する方法という記事を参照する。

ここにSUM並びにVerboseモードに入るという手順が書かれているが、ひとつ注目すべき文章を発見した。
注意の2番なのだが

2. コンピュータの所有者または管理者が Open Firmware パスワード保護を有効にしている場合は、シングルユーザモードや Verbose モードに入ることはできません。

とある。

そういえば!

一昨日だかPSU Blast Image Configをテストしかけた時に、その起動画面でOpenFirmware Security Optionという画面が出てきて、何の気なしに安全なモードの方がいいかというくらいの軽い理解で「コマンドモード」を適用してしまった。
あれだ!
さっそく、PSU Blast Image Configを起動してOpenFirmware Security Optionで「解除」を適用。
すると昨晩以来の激闘がウソのようにSUMにも普通に入れるようになったしP-RAMクリアも何百回でもできるようになった。(うるさいから何百回もするなって)

要するにテストしかけたアプリの機能や動作を完全に理解しないで、不用意な操作をした私のポカミスということだ。
焦りました( ̄¬ ̄;)







anchor

PSU Blast Image Config
(Freeware)
OS10.2Jaguar対応OS10.3Panther対応OS10.4Tiger対応

そのトラブルの原因になってくれたのがこのアプリ。

これについては「あらかじめ作っておいたディスクイメージからMacをリストアするためのソフト」という解説があちこちにあるが、サイトの説明を見ると、
「速やかにローカルなファイルによって、httpあるいはasrマルチキャストサーバーからMacの内部のハードディスクにマスターシステムディスクイメージを回復させる」
となっていて微妙にニュアンスがあるような。

いずれにしても使い方が未理解で、私自身ちゃんと試していないというか、ひとつお釈迦にしてもいいようなシステムを持っていないとこれは実際にテストできないということで放置している。
なので一連の操作画面までは出してみたが、意味が分からないまま推測するにたぶんこれは教室で何十台のMacOSXを管理するためのアプリかなという気がする。

生徒たちは思いもよらない操作をするわけで、中にはシステムをぶっ壊してくれるケースもあるだろう。
それをさせないために上記のようにOpenFirmwareにロックをかけてSUMに入れないようにするとかの設定もあるのだろうと思う。
それでもぶっ壊された時にいちいちクリアインストールしていると、情報科教室の先生はいくら時間が有っても足りないので、このアプリを使って差分だけシステムディスクを回復しちゃって手っ取り早くガキどもが触った前の状態に戻すというアプリなのだろうと想像する。

何分にも自分のシステムで実地に修復をテストしていないので、動作の確実性なども全く分からないのだが、そういうものだと想像する。
以下なんとなく見えた操作画面のキャプチャーをアップしておく。






PSU Blast Image Configを起動するとまずOpenFirmware Security Optionの画面に入る
これが上記のSUMに入れないというトラブルの原因になったのだが
何気なく「Apply」ボタンをクリックすると同じ眼に遭うので注意
デフォルトの設定は本来「None」で、この画面デフォの「Command」のまま
「Apply」をクリックするとオープンファームウエアにロックがかかってしまう





それをクリアすると今度は接続の設定に進む
LAN内ならDHCPだろうしVPNなどという話になってくるなら固定IPだろう





そして修復するソースとターゲットをここで設定するという流れか
一度テストしてみたいがぶっ壊してもいいシステムがないとなかなか実地テストはできない
だから理解も中途半端のままなのが申し訳ないが

anchor

シングルユーザモードに入れない2

新年早々早速一発目のトラブルシューティング。

といってもこれも今回初めて遭遇した問題ではなく、以前の問題と同じことをまたやっているという最近の多いパターン。

ある時ふと気がつくとシングルユーザモードに入れなくなっていた。
年末なのでそろそろ大掃除というか、大メンテナンスをやろうとAppleJackをかけるべくシングルユーザモードに入ろうとした。
しかしコマンド+Sキーを押しながら再起動しても普通に起動してしまい、シングルユーザモードに入れない。

これではメンテナンスができない。
ちょっと焦り気味でググって同じ事例がないか探したところなんと自分のサイトがヒットした。
それはこれ。
OSXのtips3-3

それで原因はこの時と全く同じでPSU Blast Image Configをテストしかけて、結局うまく動かないので捨てたのだがこの最初の動作で
「オープンファームウエア」
「コマンドモードに切り替える」という動作が原因だった。

ところが今回は前回と違って、もう一度PSU Blast Image Configを起動して「コマンドモード」を外しても元に戻らない。

シングルユーザモードに入れないままなのだが、これを何かリセットするコマンドがあった筈だと思い探してみたところ、こういう記事がヒットした。
Mac の PRAM および NVRAM をリセットする

要するにNVRAMをリセットすればいいのだが、その方法でここに書いてある電源ボタンを長押しして起動するという方法がうまくいった。
無事シングルユーザモードに入れて年末のメンテナンスも完了した。

しかし同じミスを最近いくつも繰り返している。
たまには自分の記事の過去ログに目を通した方がいいかもね。




2011年1月1日








セキュリティに関するtips

anchor

ClamXavのウイルス定義ファイル更新がうまくいかない

E-WA’S BLOG - ClamXav でウイルス定義の更新ができない(エラー 59)というエントリを読む。
実は数日前にまさにこういう症状を経験したところなので、納得した。


数日前の症状はClamXav Senteryからウイルス定義ファイルを更新しようとすると、
「更新に失敗しました」
というメッセージが出るというもの。
何度トライしても失敗するので、「clamavのエンジンがまた不適合なのか」と疑ったが、何度バージョンを確かめてもClamXavもclamavも最新バージョンだった。

アンインストールして再インストールしたところ、今度は「最新のファイルに更新された」というメッセージが出たので、未知の更新ログの不具合が原因かと思っていた。
しかし、そういうことよりもE-WAさんの説明の方が遥かに納得しやすい話だ。

E-WAさんの記事を抜粋すると、
「結論から言いますと、このような場合はとりあえず何もせず、ただしばらくお待ちください。数時間〜数日中に問題なく更新可能となるはずです。

ClamAV のウイルス定義は専用のデータベースサーバにより配布されていますが、このデータベースサーバは 1 ヶ所だけではなくインターネット上のあちこちにミラーがあり、ユーザ側からの更新指示は手近なミラーに誘導されるようになっています。しかし、誘導されたミラーとメインのデータベースサーバとの間できちんと同期が取れていない場合、このようなエラーが発生するようです。」

ということらしい。
clamプロジェクトのなかのひとはご苦労様である。
ミラーサーバの管理は大変だろうが、がんばっていただきたい。
なんせ私の場合ウイルス対策アプリはこのClamXavに頼りきっているもので。

私もじたばたしないで、しばらく様子を見ていれば良かったと思う。
そうしたら原因を特定できたのだが。
不具合が起きるとすぐ解決しないと気がすまないたちなのだが、こういう性格はトラブルシューティングには向かない。







セキュリティに関するtips

anchor

「Macユーザー狙ったトロイの木馬が出現、初の本格攻撃か」なんだそうだ。ちょっと情報ソースが頼りないのがなんだかなぁだが・・・

IT関連のニュースソースとしてその中立性にやや疑問があるITmedeaというニュースメディアが伝えるところによるとMacユーザー狙ったトロイの木馬が出現、初の本格攻撃か - ITmedia エンタープライズという記事に見られるように、セキュリティ関連情報のニュースソースとしてその信憑性が非常に疑わしいフランスのセキュリティ製品ベンダーのIntego社が
「Macユーザーを標的としたトロイの木馬が見つかったと発表した。Macに対する本格的な攻撃が発覚したのは初めてとみられる。」
と発表したということだ。

その信憑性が非常に疑わしいIntego社によると、
「このトロイの木馬『OSX.RSPlug.A』は、複数のポルノサイトで、Macでポルノビデオを無料で見るために必要なビデオコーデックと称して配布されていた。

 Mac関連のフォーラムには、ユーザーをこのサイトに誘導することを狙ったスパムが大量に投稿されているという。

 問題のサイトにはポルノビデオの静止画が掲載されており、ユーザーがビデオを見るつもりでこの画像をクリックすると、英語で『QuickTime Playerが映画ファイルを再生できません。ここをクリックして新しいバージョンのコーデックをダウンロードしてください』というメッセージが表示される。」
 
    「 このページがロードされると、ディスクイメージ(.dmg)ファイルがユーザーのMacに自動的にダウンロードされる。ユーザーがインストールを実行すると、ビデオコーデックではなくトロイの木馬がインストールされる。なお、インストールには管理者パスワードが必要で、これによってトロイの木馬がroot権限を取得する。」 


ということらしい。

これを評したSunbelt Softwareはこの情報を確認しており、このMacに対する攻撃は実際にweb上で行われているという。
つまりIntego社とCNetだけが大騒ぎしていたMP3genというでっち上げトロイの木馬の時と違って、今回は本物のクラッカーの攻撃であることは間違いないようだ。

ただしSunbeltの評するところによると
「同社の知る限りではこのトロイの木馬はまだ広く拡散しているわけではないという。また、Integoの発表のうち『攻撃者がWebトラフィックをリダイレクトして、PaypalやeBayのサイトを閲覧しようとしたユーザーを詐欺サイトに誘導してしまう』という部分は、大げさにかき立て過ぎだとSunbeltは述べている。」
なんだそうだ。

Sunbeltは以下のようなスクリーンキャプチャーも掲載してポルノサイトなどでQuickTimeのコーデックプラグインのダウンロードを要求された場合は注意するように呼び掛けている。






Sunbeltのキャプチャーではこの通りページがロードされただけで
自動的にダウンロードが始まっている様子がわかる
ただし最近のOSXの安全策で
「『ultracodec1237.dmg』はアプリケーションを含んでいる。ダウンロードを継続するか?」
というアラートが出ている



さてこの情報ソースの信憑性とマルウエアの本当の危険性の評価は別にして、この対策は以下のようにまとめられる。

1)Safariの設定で「安全なファイルをダウンロード自動的に開く」設定を解除する。
このことは以前から繰り返し書いているがこの設定は、セキュリティ的には百害あって一利なしなので安全にMacを使いたい人は必ず設定を外すこと

2)QuickTimeは単なるビデオプレイヤーではなくTerminalなどと同じ一種の実行環境であるという認識を持ち、出自が怪しいプラグインをやたらインストールしないこと。
ポルノサイトを見ていて
「このビデオを見るにはこのリンク先のプラグインが必要である」
なんて書いてあると、ついインストールしてみたくなる人がいるかもしれないがそういうリンク先が安全なバイナリだけ配布しているという保証はどこにもない。
本来ポルノそのもので収益を上げたいポルノサイトなら、最も一般的なコーデックを使う筈だから、そういうプラグインのインストールを要求するポルノサイトは
「何か他に下心がある」
と考えて間違いない。
そういうことを要求された時点でそういういかがわしいサイトからは離脱するべきだ。

3)ClamXavなどの一部のトロイの木馬までカバーしているセキュリティソフトを常駐させ、そのウイルス定義ファイルを常に最新の状態に保つこと

4)なにかのコーデックのプラグインを入手した時には、インストールにパスワードを要求されると思うが、そのパスワードを入力する前に、もう一度その入手経路を思い出しその入手元が怪しくないのか考えること。
このマルウエアを配布するスパムメールもどうやら配信されているようだから、信頼できるソース以外から入手したプラグインは基本的にインストールしないという用心深さが必要だ。

注意点としては以上かもしれない。
元記事にあるように、一度このマルウエアをインストールしてしまうと実際にDNSなどの設定が変更されたかどうかを確認するのは結構面倒なことになりそうなので、やはり引っかからないように注意するというに尽きる。
とにかくアラートを読まないで何でも「OKボタンをクリック」でインストールしてしまうトリガーハッピーなMacユーザは標的にされていると自覚した方が良い。

しかしそうした常識的な対策をしていれば、逆に言えばこれは特に脅威ともいえないような取るにたらない攻撃ともいえる。
これはどちらかというとひところ話題になった、「偽セキュリティソフト」のようなもので、ユーザにこういうものに引っかからない見識があれば防げる類いのものだ。
どこかのサイトを踏んでしまうと自動的に感染するとか、WANやイーサケーブルがつながっているだけで自動的に感染するというような非常にクリティカルなものではなく、ユーザが自分でインストール手順を踏まない限りは絶対に勝手に感染しないものなので、全てはユーザにかかっているといってもいい。

ただし最近のiPod、Mac人気でMacユーザにもわけの分かんない人が増えているので、こういうものに選択的に感染する面白いユーザが増えているのじゃないかということも危惧するのだが。












Previous Topへ Next





site statistics
青木さやか