Previous Topへ Next

OSXのtips3-6

今まで運用記録に書いてきたシステム運用のtipsを一カ所にまとめることにした。 要するに記事の量が当初の想定よりも多くなってしまい 私自身探すのが大変になってきたからだ。 ちょっとしたメモとしてのtipsも結構重要な情報になったりするので ここで項目を集めることにした。
セキュリティに関するtips

anchor

注意〜海賊版iWorkにトロイの木馬が仕込まれている

海賊版iWork 09でMacをターゲットにしたTrojan Horse OSX.Trojan.iServices.Aを発見
というインテゴのセキュリティアラートが出ている。

トロイの木馬の名称は
OSX.Trojan.iServices.A

概要は以下の通り

『このトロイの木馬は、現在BitTorrentトラッカおよび海賊版ソフトウェアへのリンクを載せる他のサイトで見つかるAppleのiWork 09に隠されて配布されています

このソフトウェアは、通常はAppleの起動項目によって使用され、rootの読み書き権限を持つ「/システム/ライブラリ/StartupItems/iWorkServices」の中に起動項目としてインストールされます。この危険なソフトウェアは、インターネット上のリモートサーバに接続します;これにより、悪意を持つユーザが、特定のMacにこのトロイの木馬がインストールされたことを知り、それらに接続して、様々なリモート操作を実行できるようになります。また、このトロイの木馬は、感染したMacに追加コンポーネントをダウンロードすることもできます。』


要するにiWorkのライセンスキーを外したものを再びpkgにまとめて海賊版iWorkとして配付しているのだが、そのpkgの中にトロイの木馬のインストーラも仕込んだという非常にプリミティブな手法のようだ。

手法はプリミティブだが、当該サイトから海賊版をダウンロードしたワレザーはもう2万人もいるとのことなので、相当数の人が感染していると思う。
BitTorrent等で出回っているそうなので実際の感染者はもっと多いと思われる。

トロイの木馬の通例でネットワーク経由あるいはメール経由で二次感染したりということはないと思われる。
ただ友だちから「無料版のiWorkがあるからあげるよ」なんて言われたら警戒するべきだ。
そういう海賊版を使わない人には関係ない話なのだが。





anchor

iWorkServices Trojan Removal Tool
(Freeware)
OS10.5Leopard対応

海賊版iWorkに仕込まれたトロイの木馬を削除するツール。

一部の海賊版ソフトを扱うサイトにアップされ、ファイル共有でもかなり流通していると見られるiWork09にトロイの木馬が仕込まれているという話題は先日こちらの記事でも取り上げた。
注意〜海賊版iWorkにトロイの木馬が仕込まれている

このトロイの木馬専用の削除ツールがさっそくリリースされているので、身に覚えがある人は使ってみるのも良いと思う。
本体のiWork09をアンインストールしてもこのトロイの木馬は削除されない可能性も高いからだ。

問題の海賊版iWork09
/System/Library/StartupItems/iWorkServices
の中にマルウエアをインストールする仕組みになっている。
これを削除するということらしい。

しかし注意しておいてもらいたいのはこれだって効果は絶対ではないということだ。
当該ファイルのファイル名などの情報を改変されていたり、インストーラのスタイルを変更されていたりすると駆除にかからないことも考えられる。
これもひとつの便利ツールぐらいに考えて使うことをおすすめする。






iWorkServices Trojan Removal Toolの使い方は簡単
下の「Scan」ボタンをクリックするだけでスキャンは始まる





残念ながら問題のトロイの木馬入りiWork09をまだ入手していないので効果は未確認
もし何も感染していなかったらこのように「iWorkServices Trojanは見つからなかった
MacScanなら何千ものトロイの木馬を駆除できるのでこれを買え」という広告が出る






セキュリティに関するtips

anchor

アンチウイルスアプリをいろいろ試してみた

さる掲示板で「新鮮な」トロイの木馬を入手したので、これを検知できるかいくつかのアプリで試してみることにした。
問題のトロイの木馬はMacには影響を及ぼさないWindows向けのトロージャンダウンローダの一種らしい。

Macで話題になることが多いMacScan 等があるが、これはトロイの木馬検出に特化した対策ソフトだと自称しながら、これまでサンプルのマルウエアをひとつも検出したこともない。
なのでこれはパス。
同じ理由でProtectMacも検疫ソフトの更新の内容がよくわからないという結論で追加テストはやっていない。

ここでは定番で使っているClamXavから始めた。






入手したのはこの「SumotoriDreamingというWindowsで話題のフリーウエアの偽装ファイル
こういうものが出回っているのかは分からないが
最近は偽装ファイル流行りだから出自が怪しいものには気をつけた方がいい





最初の頃動きでいろいろ問題があったClamXav
ClamXav Sentry以外はLeopard/intelでも快適に動くようになった
しかしこの最新のWindows向けトロイの木馬を検出できない
今のところMacでは一番信頼できるアプリだとは思うのだが
買収されてから定義ファイルの更新に若干タイムラグがあるような気がするのは私だけだろうか





期待していなかったがiAntiVirusはやっぱり検出しない
というかこれ以外のサンプルファイルも一切検出しない
スゴく快速なアプリなのだが何も検出しないのでは意味がない




anchor

avast!
(Products)
OS10.4Tiger対応OS10.5Leopard対応Windows2000~XP対応

これはWindows向け製品版アプリをMacに対応させたウイルス検出アプリ。

今回は製品版アプリもテストの対象にした。
使ってみた印象はなかなか華やかなGUIで使いやすいかもしれない。
検出結果を見れば当然ながらWindows向けマルウエアも検出するので実用性は高いと思う。
ただ問題のマルウエアは検出しなかった。






avast!のインストールはインストーラを使う
管理者パスワードを要求されることになる





インストールが完了するとこんなフェイスが出てきてまず定義ファイルをダウンロードし始める
結構時間がかかるがここは我慢強く待つこと





ウイルス定義ファイルのアップデートが完了したらこういう表示になる





左の3つのボタンでボリュームごとかフォルダ単位か全域かなどのスキャンのエリアを指定できる





さっそくデスクトップの問題のファイルのある場所をスキャンする





スキャンが完了していくつか「感染ファイルが見つかった」という表示





赤文字で表示が当たりファイルでここには無いが浅葱色文字が怪しいファイル
Windows向けのトロイの木馬などサンプルファイルをちゃんと検出した
なかなか快速だし結果も悪くないがやはり問題のファイルをマルウエアとして認識できず
悪くないのだが起動するたびにMailを起動したりとか変な振る舞いもあったりで
個人的な感想を言うとなんとなく肌が合わない気がした




anchor

Sophos
(Products)
OS10.4Tiger対応OS10.5Leopard対応Windows2000~XP対応

イギリス製のどちらかというと法人向けのセキュリティスイーツ。

製品版としては3つのパッケージを選ぶことができて、ネットワークセキュリティを管理者が集中的に管理したいということも考慮されて作られているようだ。
勿論スタンドアローンのコンピュータに「アンチウイルスアプリ」としてインストールすることもできる。

Macに関してはアンチウイルスアプリのMac版が、30日間無料試用できるので試してみた。
結果は見事なもので、問題のマルウエアを検出したのでその面での信頼性は高いと感じた。
また一度ウイルスとして検出したファイルに関しては、それ以降開こうとすると
「ウイルス感染ファイルなのでアクセスを禁止する」
という表示を出してアクセスさせないなど、無謀な初心者を多く管理する法人セキュリティ管理者用として充分な機能を持っていると感じた。

ただし使いやすいソフトとは言えない。
インストールの手順も結構めんどうだし、これをインストールしたらディスクユーティリティの「アクセス権修復」ができなくなってしまった。
実はこの記事のアップが遅れたのもこの問題に対処していたからだ。

高価な製品だし、そこそこの手練でないと使いこなせないのではないかという気がした。






Sophosのインストールはなかなか面倒だ
試用版の場合はwebサイトで試用キーを入手してインストーラファイルをダウンロードしてくる





インストールが完了するとアプリケーションフォルダに
Sophos Update Managerというアプリが生成されているのでこれを起動





この画面に試用キーとIDを入力する





アップデートが完了すると/Sophos Anti-Virus/ESOSX
というフォルダに検疫ソフトと思われるxmlが生成される
さらにここに入っている「Sophos Anti-Virus.mpkg
というインストーラでインストールを続ける





ここからがアプリ本体のインストールとなる
システムにもファイルを挿入するのでrootのパスワードが必要





こうしてやっとアプリケーションフォルダに
Sophos Anti-Virusというアプリがインストールされる
しかし後述するがこれは単にコントロールパネルの呼び出しアイコンに過ぎない





Sophos Anti-Virusの操作画面は非常にシンプル
上の三角四角ボタンでスキャン開始、停止
センターの窓でスキャン領域の指定
下の詳細に結果が表示される





面白いのは設定でMac向けマルウエアのみ検出ということもできる点
私はWindows向けファイルも検出するアプリを使いたいし、そうあるべきだと考えているが
急ぎの時にはとりあえずMac向けのファイルだけスキャンして作業を短縮するということもできる





検出ファイルを削除するか駆除するか単に警告するだけにするかなどの設定





管理者向けのソフトなのでこういうメッセージがデフォでは用意されている





メニューバーにもアイコンを常駐させてここから操作も可能





さっそくスキャンを開始
かなり時間がかかり、その間CPUもフルアップするので正直心してかからないといけない





スキャンが終了した表示
感染ファイルの数が出ている
詳細はこれを閉じて詳細ウインドウで見ることができる





Sophos Anti-Virusの面白いところは一度クロ判定を出したファイルは
GUIではアクセスできないようにdaemonがブロックすること
初心者ユーザがうっかり感染ファイルを開いてしまわないフールプルーフになっている
ところで問題のファイルをこのように「Mal/Generic-A」という名前で検出した
これは最近話題になっている「Generic!atr」のことだろうか?





ところでスキャンにはさすがに時間がかかるのでエリアを絞り込みたい
その場合このようにラジオボタンをクリックすると緑に点灯したところだけをスキャンする





設定画面はシステム環境設定ペイントしてもインストールされる
どこからでも設定をいじれるという考え方か





ところでこのSophos Anti-Virusをインストールしてから
アクセス権修復ができないという問題が発生した
意図的なのか単なるコンフリクトなのかわからない
これの対処で実は一晩かかったためこの記事のアップが遅くなった





アクティビティモニタで見るとSophos Anti-Virusは4つもプロセスを常駐させている
しかもアプリケーションフォルダに見えているアプリを削除して
AppCleanerでアンインストールしても この4つのプロセスは残ったままだ





Finderの検索窓で検索条件を「システムファイル」「を含む」を追加して検索したところ
システムのあらゆる場所にかなりの数のファイルをばら撒いていることが分かった
企業向けのセキュリティソフトというのはこういう作りのものが多いが一体どうなんだろうか?
このどれかを削除して検証するのも大変なので結局アンインストールすることにしてしまった
「アクセス権修復」ができないことが気にならないならSophosは良いソフトだと思うのだが・・・





アンインストール後はアクセス権修復がちゃんとできるようになった




anchor

Norton AntiVirus
(Products)
OS10.4Tiger対応OS10.5Leopard対応Windows2000~XP対応

上記Sophos Anti-Virusでやっと検出できた問題のファイルだがWindowsのデファクトスタンダードのようなNorton AntiVirusだとどうなるか試してみた。

わけあって私のところではMacにはNorton AntiVirusはインストールしていないのだが(つまり昔散々煮え湯を飲まされたから、Nortonのロゴを見ると条件反射的にアンインストールしたくなるという問題のために・・・)、WindowsではNorton AntiVirusを常用している。

こちらにファイルを渡してスキャンしてみた。
結果は以下の通り。






ところで問題のファイルだがWindows版のNorton AntiVirus
スキャンしたところマルウエアとして検出した
名称はそのまんまの「Trojan Horse」となっている





詳細情報で結果を見ると気になり削除しているのが分かる
また元画面の表示リンクをクリックするとシマンテックのwebで
このマルウエアの情報を見ることができる





このトロイの木馬の各社での呼び名などの情報が書かれていて
Sophosでは「Mal/Generic-A」と呼ばれていることも書いている
危険度「低」となっていた
Norton AntiVirusのMac版は思うところあって入れていないが
Windows版はきちんと動くしこうした新しいマルウエアも捕獲することができる




anchor

とりあえずマルウエアの疑いがあるかどうかをファイル単位で調べたい場合はこんな方法もある。

VirusTotal - 無料オンライン ウイルス/マルウェア スキャン
こちらのサイトでファイルを指定してアップロードすると、そのスキャン結果を表示してくれる。
シマンテックや上記、Sophos Anti-Virusavast!ClamXavなど一通りのスキャン結果を一同に表示してくれるから各社、各グループの対応の進展なども比較できる。
面白いwebサービスだ。






アンチウイルスアプリはサクサク動くものは効果が疑問だし
精度が高いものはシステムの動きに問題を起こす
どれもこれも帯に短し襷に長しなのか
webサービスならエンジンは向こう側だからとりあえずシステムはモタらないし
各社のスキャンエンジンの結果を見られるので見落としがない
問題は「そのファイルが怪しいかも」という注意力が求められることくらいか?





ところでマルウエアの呼び名も各社バラバラなのに気がつく
ここでも多数決でこのファイルはマルウエアだということに決定された



今後も他にも目についたアプリを試していくことにする。
探してみればMac用のセキュリティソフトも結構数があることはあるので。







セキュリティに関するtips

anchor

シマンテックよりExcelの脆弱性をつくトロイの木馬についてのアラート

本当に久しぶりのことだが、シマンテックの広報からどうでもいい新製品のお知らせ以外のプレスリリースが届いた。

Excelの脆弱性を攻撃するトロイの木馬が発見され、ある条件ではこれは検疫にも引っかからないそうだ。アンチウイルスアプリの定義ソフトの更新を呼び掛けている。
詳細は以下の転載参照。

この記述はWindows版のExcel2007以前のバージョンで.xlsファイルの振る舞いで起きる問題で、文脈からはMac版は影響を受けないように思われるが、これだけでは断定はできない。
ましてやBootCampや仮想化ソフトでWindowsを駆動しているMacは当然影響を受ける。
.xlsはやがては消滅するファイルタイプなのかもしれないが、企業ユーザは今でもかなりの割合でMSOffice2003以前のバージョンを標準で使っていると思われるので、現在ではほとんどのところが影響を受けると思われる。

以下転載



ご参考資料
2009年2月25日
(米国時間2009年2月24日 シマンテック コーポレーションのブログの抄訳)

Excelの脆弱性を突くTrojan.Mdropper.ACを確認

シマンテックの日本のエンジニアが昨日、Microsoft Office Excel 2007に
脆弱性があることを確認しました。当社では、この脆弱性を突く悪質な
スプレッドシート向けの検出を追加し、Trojan.Mdropper.ACとして検知
されます。悪意のあるバイナリファイルは、トロイの木馬として検出されます。
今回の脅威の対策として、定義ファイルが最新のものに更新されているか
確認してください。

確認された脆弱性に関して、原因解明に向けて米マイクロソフトと共同作業を
行っています。この脆弱性を突いた悪質な攻撃は日本国内でも数件確認されて
います。今回の事件の動機は現在のところはっきりしていません。当社は、
継続してモニタリングを行い、随時情報を提供していきます。マイクロソフト
とも共同作業を行っており、マイクロソフトでは今回のものが新しい脆弱性
であることを確認しました。

同社のウェブサイトのSecurity Advisoryにおいてより詳細な情報が掲載されます。
http://go.microsoft.com/fwlink/?LinkID=143568

背景
昨日、シマンテック社の日本のエンジニアが、一部のお客様からの異常な
サブミッションに気付きました。それらの全てに不審なMicrosoft Office
Excel 2007のスプレッドシートが含まれていました。その後の調査の結果、
これらのファイルがExcelの脆弱性を突いて、バイナリをファイルシステムに
落として実行させていたことが判明しました。

当社ではこのような動きを常に目にしていましたが、脆弱性解析が進むに
つれ、今回の脆弱性がこれまでに見たことがないものであることが判明
しました。この脆弱性は、古いExcelの「.xls」バイナリ形式に存在し、
新しい「.xlsx」形式には存在しません。悪質なExcelスプレッドシートを
開くと脆弱性を引き起こします。これにより、シェルコードが実行され、
システムに二つのファイルを落とします。一つが、すでに述べた悪質な
バイナリで、もう一つが無害なExcel文書です。そしてシェルコードが
落としたファイルを実行し、Excelがクラッシュした事実を隠すために、
無害なExcel文書を開きます。これにより、感染したスプレッドシートを
開けたときの疑念を減らすことに役立っています。

この脆弱性を突く攻撃者は、不正なファイルが発見されることを避けるために
様々な技法を用いています。例えば、スプレッドシートに組み込まれた
バイナリに弱い暗号化を用います。ペイロードを解読した後、カジュアル
解析を避けるためにMZヘッダが難読化されていることに気付きます。
使われるトリックの一つは、文字を変えることです。MZがZMになり、
PEがEPになります。以下のスクリーンショットが「このプログラムは
DOSモードでは実行できません」に起きることを示しています。


これらは全て基本的な技法ですが、ある特定の種類の検出から逃れることが
できます。当社のテストにより、この抜け道がExcel2007向けに作られた
ものであることが明らかです。しかし以前のエクセルのバージョンでは、
この抜け道により引き起こされる例外をうまく処理できません。この結果、
エクセルのより古いバージョンにおいて、これがセキュリティホールになる
可能性があります。







セキュリティに関するtips

anchor

ワームAutorunが大噴出!〜この際徹底スキャンした結果出てきた出てきた!

先日高速化して動作が安定したと紹介したClamXavであれやこれやスキャンして大変な結果になった。

Autorun.infがあちこちから出てきた。

使ったのはこれ。


anchor

ClamXav1.1.1
(Freeware)
OS10.4Tiger対応OS10.5Leopard対応

このアプリはスキャン速度が飛躍的に向上したのであちこちかけてみた。
事の起こりはこういうこと。

会社の新システムが稼働前にウイルスに冒されてダウンしてしまった。
日本一厳しいセキュリティポリシーの元スタートする筈だったセキュアなシステムが、スタート前からぐだぐだという大失態だ。

徹底的にスキャンしたところ業者はAutorun系のワームが発見されたという。
発見されたブツから推測してUSBが疑われた。
そこでUSBメモリ禁止令が出ただけでなく、現状のオフィスで使っているパソコン、ストレージも検疫することになった。

それで今回は私もいつもはあまりやらないストレージのスキャンまで徹底的にやってみることにした。
私はMacユーザだし、基本的にはUSBメモリもMac同士でファイルをやり取りするのに使っているので、何も出ないだろうという予想していた。

さすがにMacの内蔵ディスクからは、テスト用のサンプル以外は何も検出しなかったが、自分の手持ちのUSBメモリをスキャンしたところ、話題の
Autorun.inf
が検出された。

これはちょっとショックだった。
Macユーザの油断だと言われれば言葉もない。
確かにWindowsユーザともファイルをやり取りすることもあるから可能性を考えるべきだったが、この2ヶ月ほどほとんど使っていない、しかもいつWindowsに差したか思い出せないようなUSBメモリからも検出されたのが驚きだった。
そこでさらに徹底的にスキャンすることにした。






ClamXavのスキャン結果
USBメモリの第1階層から「Autorun.inf」というマルウエアが発見された
これが今話題のUSBを媒介に自動的に自分の複製をどんどんコピーするワームの姿
Windowsセットアップスクリプトの形式をとっている





捕獲した「Autorun.inf」をサンプル置き場に隔離した
ClamXavはスキャンした「汚染ファイル」の拡張子の後ろに
.001という文字列を追加して無力化している
拡張子が変更されてしまえばWindows環境に移してもマルウエアとしての活動はできない
勿論Mac環境では無力化しなくても何も起こらない
これが最近のClamXavの新機能らしい



ところでもうひとつ問題が起きた。
これはFAT32でフォーマットされた外付けハードディスクのスキャン結果で、WindowsにインストールされたシマンテックのNortonアンチウイルスでスキャンしてAutorunはクリアになったにもかかわらず、同じディスクをMacOSXのClamXavでスキャンしたところ、Autorunが出てきたというケース。

こういうことがあると、世間で広くその効果が信じられているNortonアンチウイルスの実効性にも疑問がわいてくる。

Autorunは一般に思われているよりもはるかに広くあまねく、そこら中に感染しているのではないかという気がしてきた。

しかもこのAutorunのあった場所が実に巧妙というか、駆除しにくい場所にあってWindowsでこれを完全に駆除するのは、よほどの手練でないと無理なのではないかという気がした。






FAT32でフォーマットされたWindows用の外付けハードディスクを
WindowsXPのNortonアンチウイルスでスキャンした
TrojanPackedNという比較的危険度が低いトロイの木馬を隔離した
これでNortonアンチウイルス的にはこのディスクは安全な筈だった





ところが同じディスクをMacOSXのClamXav
スキャンしたところAutorunが2件発見された
Nortonアンチウイルスで安全と出たから安全というわけではないという実例を突きつけられた





そのマルウエアの置いてある場所は
"/Volumes/(外付けHDDの名前)/System Volume Information/_Resource(任意の番号)/"
となっていてWindowsは勿論、MacのFinderからも表示することができない領域にある
しかもFinderを「不可視ファイルを表示」する設定にしてもこのディレクトリは表示できない
ここを開く方法は検索窓に「_Resource」と打ってディスク内の検索をかける
この「_Resource」はWindows独特の障害回復のためのデータ領域で
ここにコピーを潜ませて削除しても何度でもワームを復元するという悪質な機能を実現している





上記検索結果の「_Resource」を軒並み開いてClamXav
指摘したファイル名と一致するファイルを目視で探していく
ファイル名も当然偽装していて自分から「Auntorun.inf」なんて
名乗ったりしてくれないので削除はなかなか面倒だ
これはWindowsの中級者程度ではクリアできないのではないだろうか



Windowsの中級者程度ではクリアできないのではないかと書いたが、実際ウチの会社の新システムも完全に初期化して再インストールということになってしまった。
上級者でも手を焼く問題らしい。
たまたまMacから見れば見えるので、何とかなるということだ。
Windowsを安全に使うためにMacで検疫するという本末転倒なことを真面目に検討しないといけない状況なのかもしれない。

それとやはりNortonアンチウイルスでこれを発見できなかったというのが衝撃だ。
実際にははるかにこのワームはそこら中に蔓延しているのではないかという気がしている。

「ノートン入れているから俺のWindowsとUSBメモリは感染していないよ」
と言っている皆さんのパソコンはかなり感染していると疑われる。






ところでClamXavで2テラバイトのXServeのストレージをスキャンした
以前だと気が遠くなるような時間がかかっていたが
ファイル容量1.4テラを40分でスキャンした
これは実用的な速度になってきたというべきだ

anchor

ワームAutorunが大噴出!〜そこでAutorunの感染対策をすることにした(追記あり)

<前回までのあらすじ>
会社のシステムがダウンして、それ見たことかと勝ち誇っていたMac論者だったが、個人所有のUSBメモリからもAutorun.infが出てきてかなりへこんでしまう。
そこで少なくとも自分は媒介者にならないために、手持ちのWindowsで認識できるUSBメモリ、外付けハードディスクはすべてAutorun対策をすることに・・・






出ぇ〜た〜〜っ ヽ(`Д´)ノ



ところで私のMacBookではBootCamp環境にWindowsXPをインストールしているので、ここには以前も取り上げたがAutorun対策をしていた。
今回手持ちのUSBメモリ、ストレージが感染していたにもかかわらずこのWindowsが感染していなかったのは、この対策のおかげと思われる。

ウイルス騒ぎって子供の頃の颱風みたいにちょっとワクワク・・・(不謹慎)〜autorun.infまたはW32.Gammima.AGM/対策

「颱風騒ぎのよう」などと不謹慎なことを書くから今回は罰が当たったのだと反省することしきりだが、今回はこちらのサイトを参考に外付けハードディスクとUSBメモリにも対策を施すことにした。

「Autorun.inf」ウイルスの予防注射 | Windows XPとVistaの裏技

一応リンクが切れた時のために転載しておく。詳細はリンク先を参照されたし。

手順は以下の通り。
1)まずストレージをMacから徹底的に検疫しておく。
WindowsのNortonアンチウイルスでは検疫漏れがあることは前回紹介した通りなので、必ずMacからもやっておく。(そうしないと以下のWindowsも感染する可能性がある)

2)Windowsを起動して「すべてのプログラム」/「アクセサリ」の中の「コマンドプロンプト」を起動する

3)そして以下のコマンドを入力。


cd\ と入力Enter。

e: と入力Enter。(USBメモリなどのドライブレター、私の場合はeドライブだったのでeだが各自の環境によって違う)

md Autorun.inf と入力Enter。(ここでは「Autorun.inf」という名前のフォルダを作成)

cd Autorun.inf と入力Enter。(ここでは「Autorun.inf」フォルダに移動)

md nokill..\ (nokillドットドット円)と入力Enter。(ここでは「nokill」というフォルダを作成)


以上でWindows環境では上書きできない「Autorun.inf」という名称のフォルダがストレージ、メモリの第一階層にできる。
これでワームが何らかの環境で入って来ようとしても自分の分身をここに置くことができないので予防になる。

ただし、「ワームが従来と同じ振る舞いをするのならば」という条件がつく。
最近の亜種の増え方を見ていると、意味があるのかないのかよくわからないが可能性がある名前のフォルダは全部作っておいた方が良いように思う。

そのリストは以下の通り
「autorun.inf」
「2j.cmd」
「3u.cmd」
「ampfrb.cmd」
「hbs.exe」
「s2.com」
「w.com」
「q83iwmgf.bat」
「8e9gmih.bat」

「dt8.bat」
「em0x.exe」
「ju.bat」
「nm3osq.bat」
「88p9u9j.cmd」
「rdg.cmd」
「s9.cmd」
「ukmggpy.cmd」
「w.com」
「ju.bat」
「nm3osq.bat」
「r88p9u9j.cmd」
「rdg.cmd」
「s9.cmd」
「ukmggpy.cmd」
「xj8guf.bat
「f.exe」


これは大変だ!






Windowsのコマンドプロンプトを起動する
場所は「すべてのプログラム」/「アクセサリ」/「コマンドプロンプト」
MSのCUIはWindowsになってからは初体験だ





こんな感じでDOSっぽいシェル画面が現れる





いきなり最初のcd\コマンドでつまづく
Macのキーボードではなぜか「\」マークが入力できないのだ
そこでスクリーンキーボードを起動してマウスで入力した





かなりミスしたりしながらもなんとか入力を進めていく
今回Windowsのシェルは初体験なのだが実際使ってみると
UNIXのコマンドにかなり似ている
これは知らなんだ





最初のコマンドでeドライブ(USBメモリ)に入って
「autorun.inf」という名称のフォルダを作る





次のコマンドでその中に「nokill.」という名称のフォルダを作る
これでこの「autorun.inf」というフォルダはWindowsのGUIからは削除できなくなる





実際に削除してみたが「削除できません」のアラートで停まってしまう
これでワームはここにこの名称のファイルを上書きできなくなる





この「nokill.」というディレクトリはMacのGUIで見ると
容量OKBの正体不明なファイルに見える
しかも「情報を見る」を開くと本体が消えてしまう
FAT32のファイルシステムに依存した独特のファイル形式らしい





ちょっといたずら心で同じ手順をMacのGUIでやってみてWindows環境でどうなるか試してみた





これは簡単に削除できてしまうので予防注射にはならない
やはりWindowsのコマンドプロンプトを使ってやらないとダメだということだ
ところで上記のリストの数だけこの作業を繰り返すのは相当大変だ
時間が有る時にじっくり取りかかりたい


<参考文献>
jp-22186 --Windows Me/XP の「_restore」フォルダから何度もウイルスを発見してしまう-- | Windows Me/XP の「_restore」フォルダから何度もウイルスを発見してしまう [jp-22186]

できない、困って→問題解決- USBメモリに「q83iwmgf.bat」「autorun.inf」が一瞬現れて消えるウィルスに注意(追加:8e9gmih.bat、o0s.cmd)/kavo・mmvoの駆除・予防・復旧

享楽的書き散らしブログ 具体的にはゲームとか動画とか- ウイルス…だと….

WebDiary--autorun.infウィルスキタ━━━━(゚∀゚)━━━━ !!!!!(revo.exe AhnRpta.exe hbs.exe)




<追記>

この予防注射だが、Macから「Autorun.inf」という名称の空のフォルダを作っていれてやるだけでもある程度の効果はあるようだ。
ワームが同じ名称のファイルを上書きしようとすると、
「Autorun.infを上書きしてもいいか?」
というアラートが出て一応動作は止まるみたいだ。
ただ勝手に上書きされるスクリプトができないとも言い切れないので安全を期すならやはり上記の方法の方がベターだと思われる。

さらにAutorunに対するピンポイントな対応策だが、Windowsのオートラン機能を停止するという対策もあるらしい。
しかしこれもMSが公表したやり方は、不完全とUSCertが警告したニュースが流れるなど、混乱しているしUSCertなどが推奨する方法は、これまたWindows初心者の私には、簡単に「やってみる」と言えないような内容だった。
ちゃんと理解したらまたここにも追記する。






「Autorun.inf」という検出したファイルをテキストエディタで開いてみた
このshell¥open¥Command=3u.cmdという文字列が
「ボリュームを開いたら3u.cmdというスクリプトを実行せよ」という意味らしい
そうならば本来はUSBメモリなどをさすだけでは感染しない筈だが
「いつもこの設定で開く」を一度選んでしまうとあとは差すだけで自動実行が満開だ





先日検出した不可視のデータ再生領域に潜んでいたヤツは
「f.exe」というコマンドを開けと書いてある
こういう地雷がそこここに埋められるというのがこのワームの特徴だ


こうしたことから、このWindowsの自動実行の機能自体を停めてしまうという安全対策もある。
その参考ページは以下の通り。
Semplice-autorun.inf - ウイルス対策とUSB接続機器の安全な利用法







セキュリティに関するtips

anchor

「ウイルスに汚染されていますよ」の結末〜RSSで配信されるものに余計な文字列をコピペしない

先日USBメモリがワームAutorunに汚染されているという記事を書いたところ、BBSに「t0mori」さんから当サイトのRSSがウイルス対策ソフトの検疫に引っかかったという書き込みをいただいた。

調べたところご指摘の通りこちらでも
"~/Library/PubSub/Feeds"
からウイルスを検出という結果になった。

その中味を調べたところ、特に異常ない普通のRSSのファイルだったが、どうやら
Autorun.inf
という文字列と
shell¥・・・
ではじまる感染源ファイルに書かれていた記述を本文にうっかりコピペしてしまったことと、RSSがxmlという実行ファイル形式だったというこの3つの条件で、RSSフィードが「ウイルスと判定」されてしまったらしい。
要するに私の不注意だった。

このせいで当サイトのRSSを定期購読しておられる皆さんは、上記のディレクトリが「ウイルスに汚染されている」というアラートを対策ソフトから受けている筈だが、そういう事情だった。
皆さんにご迷惑をかけて申し訳ありませんでした。

同じ理由でメールマガジンの購読者の皆さんもメーラの「メッセージフォルダが汚染されている」というアラートを受けていると思う。
こちらもご迷惑をかけました。






ClamXavが検出したRSSフィードの「ウイルス容疑者」
"~/Library/PubSub/Feeds"から出てきた





開いてみたところ中味は通常のテキストとxmlコードで
特に何かを仕込まれているという感じではなかった
内容をよく見ると先日の私の記事でどうやらこの囲みの
文字列がxmlという実行ファイルにあったのと
Autorun.infという文字列とこれだけの条件で
ウイルスと判定されたようだ





さらにたちが悪いことにメールメッセージもウイルス汚染されているという判定





ClamXavが指摘したメッセージファイルを注意して開いてみると
これまたRSSフィードから配信しているメールマガジンのこの日の分だった
このメッセージが検出された理由も同じと思われる
RSS購読者とメールマガジン購読者の皆さんにはご迷惑をおかけしました





ところでスキャンを開始するとデスクトップがこんなになって操作不能になってしまった
この原因はウイルス隔離フォルダに隔離されたファイルは拡張子が変更されるという
ClamXavの新機能により変更されるたびに そこを監視しているClamXav Sentry
「新規汚染ファイル」と判定してさらに拡張子を変更して、
それをまた「新規汚染ファイル」と判定して・・・というループを繰り返すからだった
この拡張子変更機能を外す設定が見当たらなかったので
隔離フォルダをClamXav Sentryの監視領域から外した
実害はないと思うがやっぱり監視していたい気はするのだが・・・






セキュリティに関するtips

anchor

GENOウイルスに注意!〜webサイトを見るだけで感染、自前ブログなどを持っていると他人にまで被害を拡げてしまう最悪シナリオのウイルス

この一ヶ月、仕事に追いまくられていて新作ウイルスの流行に疎くなっていたのだが、その間にも新種のウイルスはどんどん生まれて、汚染を拡げている。






ClamXavのウイルス定義ファイルが認識しているウイルスの数
5月16日段階で54万9715種類のウイルスを登録している





それが5月23日には55万4723種類と一週間ほどでおよそ5千種類も増えている
ウイルスの種類はまさに等比級数的にというか爆発的に激増しているということだ
10個や20個ぐらいチェックが洩れたって別に不思議でも何でもない


キャプチャーのClamXavのウイルス定義ファイルの登録済みのウイルスの数の爆発的な増加ぶりからいえるとは、
1)ウイルス対策ソフトのウイルス定義ファイルの更新は毎日、できれば朝昼晩と一日3回やるぐらいでもやり過ぎではない
2)それだけやっても一週間に5000種類の新規登録がある
(4月には3週間で5000種類くらいだったから、まさに爆発的に増加率も上がってきている)
ということは、10個や20個は新種ウイルスの登録漏れがあったって、別に驚くに値しないということだ
ウイルスの情報を常に収集して、ウイルス対策ソフト以外の対策も怠らないこと

この2点はWindowsユーザだけでなくMacユーザも是非心に留めておいてほしい。



それで今回の爆発的ウイルスの増加はこれが原因なのかどうかは定かではないが、Autorun騒ぎに続いて今度はwebのサイトを閲覧するだけで感染し、感染するとシステムにバックドアを仕掛けられたりボット化されて踏み台にされたり、しかも汚染者が自前のホームページなんか持っていたりするとそこから今度は他人にウイルスをまき散らす媒介になってしまうという恐ろしいウイルスがこの4月あたりからパンデミックを起こしているという話だ。

全体的には、各種対策も出てきてピークは過ぎたという情報もあるが、かなりの部分のユーザはまだ対策をやっていないと思うので、乗り遅れ気味を承知で情報を上げておく。
それでもこのウイルスもかなりな勢いで亜種が現れてきており、最初の頃に有効だった簡易な感染テストでも引っかからない新種もあるなど、例によって悪質化、巧妙化が進んでいる。

このウイルスは通称で
「GENOウイルス」
と呼ばれているが
Troj/JSRedir-R
などいろいろな名前が与えられている。
また感染者のリダイレクト先のホスト名から
gumblar
という名前も使われている。

要約すると
1)webページを閲覧するだけで、AdobeのAdobe Readerの脆弱性(修正パッチはすでに配布開始)を突いて、マルウエアを勝手にダウンロードさせて感染させる

2)感染者は勝手にマルウエア配布サイトにリダイレクトされて、そこから攻撃を受けることになる

3)攻撃を受けると感染PCがボット化されて、ボットネットに組み入れられ、遠隔操作されるなどで別の悪意ある攻撃の踏み台にされる

4)FTPのアカウント、パスワードなどを監視され、それを抜かれると今度は感染者が運営しているサイトにマルウエアが仕込まれて、そのサイト、ブログなどがウイルス配布サイトになってしまう

5)このウイルスはWindows上でしか活動しないが、Adobe Readerの脆弱性を利用していることから、他のプラットフォームもキャリアになる可能性はあること

6)初期の頃ではPCで使われている代表的なウイルス対策ソフトのほとんどは、これを検出することができなかったために感染に気がつかないというケースが続出している

7)感染が確認されたら通常の方法でのリカバリーは非常に困難で、必要なデータを検疫しながらバックアップして初期化する以外に方法はない(Windowsの場合)

8)初期の頃はAdobe ReaderAdobe Flashなどの脆弱性を攻撃していたが、チャットプログラム、ビデオツール、ダウンロードマネージャなどに攻撃の範囲を拡げる可能性があり、Adobeのパッチを当てるだけで安心ともいえなくなっている

9)感染サイトはいわゆるアングラ系だけでなく、企業のホームページや公的機関のサイトもかなりやられており、その一部に対応が不完全なものもある


ここまでの話をまとめると大体こんなことらしい。



参考
GENOウイルスに同人サイト連鎖感染 拡大防止へ協力の輪広がる - ITmedia News

UnderForge of Lack ? Blog Archive ? Gumblar ?とおもったら

引用
『ホームページに不正に埋め込まれたJavaScriptやIFRAMEが不正に SWFやPDFを開かせます。
アップデートを行っていないユーザの脆弱性で、Flash Player や Adobe Acrobat Readerがクラッシュしてしまいます。
クラッシュ時の脆弱性を悪用し、マルウェア(PE型:xxxxx.exe)をそのブラウザのユーザ権限で実行させられます。
実行されたマルウェアは、内部にトロイを埋め込みます。
埋め込まれたトロイプログラムは、感染したPCのインターネットアクセスを監視、特に FTPアクセスを監視して ID/Passwordを盗んでいる可能性があります。
不正に入手したID/Passを使って、ホストへ(おそらく自動巡回で)不正侵入、改ざんコードを埋め込まれます

感染すると、アカウントを盗まれたり、ネット犯罪者のためのボットネットの一部にされるといった実害があります。』

こちらに
感染したサイト一覧
がある。

So-netセキュリティもかなり詳細にこの問題をトレースしている。
正規サイト改ざん:ここまで広がった国内でのサイト汚染、訪問歴確認を

以下はSo-netがトレースしている感染したサイト。
こういう話が出ると
「どうせやられてるのはエロサイトや、アングラ系サイトの常連だけだろ。
オレは怪しいサイトには行かないから大丈夫だよ」
とたかをくくっている人がいるが、今回の感染サイトを見ると結構一般の企業や公的機関のサイトもやられていることがわかる。
こういうところに脆弱性を解決しないまま行ったら感染している可能性があるので、自分の訪問履歴もチェックしておくことをお勧めする。


■zlkon.lv

 GENO、
 ジューシーロック、
 楽天市場「ジュエリーボックスバービー」、
 日本クレストロン、
 ブランジスタ「puppine」、
 ナクソス・ジャパン、
 WDSC、
 薬事日報、
 NHT紀尾井町クリニック、
 ホビコン公式サイト、
 全日本民主医療機関連合会、
 国土交通省中部地方整備局、
 千葉県旅館ホテル生活衛生同業組合(04/24〜04/26)、
 千葉市中央区の「鮨割烹みどり」(04/24〜04/26)

■gumblar.cn

 東京都港区の「アークデザインインターナショナル」(05/03以前〜05/09)、
 ホースマンクラブ、
 BIG-server.com、
 ウェルネス、
 長岡京市体育協会(05/04〜05/05)、
 静岡県御殿場市のヘア/エステサロン「ビューティーウェンズデー」(05/04〜05/16)、
 東京都港区の芸能事務所「エス・プログレス」(05/04以前〜閉鎖)、
 岐阜県高山市のペンション「ふらいingぱん(05/06以前〜05/09、05/15〜05/17)、
 岡山県倉敷市のヘアサロン「ジョイ」(05/09〜05/20)、
 兵庫県姫路市の介護リフォーム業「前後前」(05/09〜05/21)、
 東京都練馬区の中古車販売「TAX」(05/10〜05/11)、
 東京都渋谷区のアパレル商社「デイトナ・インターナショナル」(05/10〜05/15)、
 リボンマジック公式サイト(05/12〜05/18)、
 ティアラモード公式サイト(05/12〜05/18)、
 兵庫県宝塚市のゲーム開発「まどか」、
 (05/12〜05/18)関電セキュリティ・オブ・ソサイエティ(05/12以前〜05/18)、
 小林製薬、
 東京都武蔵野市のヘアサロン「FIRST」(05/13以前〜修正日不明)、
 東京都新宿区のアウトドアスポーツショップ「エイアンドエフ」(05/13〜05/17)、
 富山県砺波市のアミューズメント業「ジャストドゥイット」(05/13以前〜05/19)、
 滋賀県草津市のヘアサロン「レビュー」(05/14〜※感染中※)、
 熊本市のヘアサロン「ニフティ」(05/14〜05/18)、
 アイマジック、
 ミュージック・オン・ティーヴィ、
 兵庫県西宮市のモーターアクセサリー店「ケイ・エム・エー」(05/15〜※修正漏れの残骸あり※)、
 長野県伊那市のTシャツ卸売専門店「問屋街」(05/15以前〜修正日不明)、
 商標登録ホットライン

■martuz.cn

 岡山県倉敷市のヘアーサロン「ジョイ」(05/15〜05/20)、
 兵庫県姫路市の介護リフォーム業「前後前」(05/15〜05/21)、
 大阪府豊中市のランプ専門メーカー「セン特殊光源」(05/15、05/20〜05/21)、
 東京都府中市と世田谷区のヘアサロン「ベリーズ」(05/16〜※感染中※)、
 東京都練馬区の24時間洗車「カーウォッシュ・オーシャン」(05/16〜05/18)、
 石川県金沢市の菓子店「烏骨鶏」(05/16〜05/19)、
 東京都新宿区の成美堂出版(05/16〜05/18)、
 福岡県大牟田市の通販サイト「りぶメール」(05/16〜05/18)、
 滋賀県大津市のヘアサロン「ティアラ」(05/16〜※感染中※)、
 ライブハウスあさがやドラム、滋賀県草津市のヘアサロン「レビュー」(05/17〜※感染中※)、
 トヤマデータセンター(富山県富山市)運営の「地域情報ナビimpulse」(05/17以前〜05/21)、
 飛騨市観光協会(05/21以前〜※メンテナンス中※)、
 京都市中京区のブランド/ブライダルショップ「C&C」(05/21以前〜修正日不明)、
 兵庫県宝塚市のゲーム開発「まどか」(改ざん日不明〜05/18)



こちらにはGENOウイルスの振る舞いと対策について書かれている。
参考
G DATA〜GENOウイルス」対策について2009.5.20

引用
『●GENOウイルスとは
GENOウイルスは、広くは「トロイの木馬型ウイルス」に属し、PDFやFlashにおける脆弱性を利用した、ドライブバイダウンロードと呼ばれるものの一種です。ウェブブラウザを通じて攻撃者がユーザーに悪意あるエクスプロイトコードをリダイレクトさせ、ウイルスを仕込んだサイトへと誘導させるもので、特に何かをクリックしたり、ダウンロードしたりしなくても、ただブラウザを起動し、あるウェブサイトを開いただけで仕組まれます。以下の、3段階があります。

(1)Google検索結果の操作
GENOウイルスがパソコンに侵入すると、マルウェアはインターネットブラウザに潜んで、検索エンジンGoogleの検索結果を操ります。GENOウイルスによって操作された検索結果は、攻撃者がコントロールしているウェブサイトを表示させます。このサイトをクリックすると、犯罪者たちの作成したウェブサイトに誘導され、更に別の罠を仕掛けられます。

(2)FTPアカウントの窃取
このウイルスには、検索結果を操作するだけでなく、FTPのログイン情報を盗む内容が含まれています。攻撃者の目的は、FTPアカウントを使ってウェブサーバにアクセスし、さらにマルウェアを多く配布できるように仕掛けることです。ウェブサイトの内容をアップデートするときや、感染の可能性を疑って確認しようとするときに、FTPを通してウェブサーバにつながるのを狙って、マルウェアは悪意のあるスクリプトコードを仕掛けるのです。その後、感染したウェブサイトを訪問する人たちも、同様に感染しパンデミックを引き起こします。

(3)被害PCのボット化
さらにまた、GENOウイルスは、バックドアを感染したシステム上にインストールし、攻撃者がシステムを遠隔操作できるようにし、将来的にはボットネットの一部として使われるおそれがあります。ボット化すると、犯罪に加担するのみならず、パソコンに負荷をかけられてしまいます。

中略

特に慎重を要するのは、この悪意のある罠は、決して一面的ではないということです。感染したシステムの特定のパラメータに基づいて亜種が生み出されているため、たえず最新の状態にすることが重要です。当初GENOウイルスがさらなる悪性コードをダウンロードしていた中国のドメイン「gumblar.cn」「martuz.cn」は、もはや利用されておりません。それでも、感染している間にインストールされたバックドアのために、終息する見込みは、まだ見えてはいません。』

わかりやすいまとめサイト、リンク集
通称「GENOウイルス」・同人サイト向け対策まとめ - トップページ






そもそものきっかけになったAdobe Readerのアップデートの方法
Macの場合ヘルプからアップデートを確認できる





アップデータがあればこういう表示が出るのでアップデートしてインストールする





Adobe ReaderのMacの最新版は9.1.1ということになる
アプリの情報は9.1.0のままだがAbout画面が9.1.1になればよい





またJavaScriptを実行した時の脆弱性を攻撃されているのが当初のパターンだから
設定から「JavaScript」に入ってここのチェックを外すことである程度の安全は確保できる
ただしこれも絶対の安全策ではないかもしれない





Windowsの場合「操作ガイド」からも最新バージョンをダウンロードできる





またcontrol+Kキーあるいはここから設定に入ることでJavaScriptの設定変更ができる





Windows版もJavaScriptの同じところのチェックを外すこと
これで安全とも限らないがやっておいた方が良いと思う





WindowsがGENOウイルスに感染していないかテストする方法はいくつかある
まずスタートメニューの「ファイル名を指定して実行」を選択





ここに「regedit」という文字列を入力して検索する





すると「レジストリエディタ」が起動すれば感染は一応シロ
ただし最新の亜種は感染していてもこのチェックをパスするらしい





次に同じく「ファイル名を指定して実行」「cmd」という文字列を入力する





するとcmd.exeつまりMS-DOSのキャラクターコマンドを実行するコマンドプロンプトが起動する
最初の頃のウイルスはこの動きを阻害していたそうだが新しい亜種はこれもクリアするらしい





そこで今度はスタートメニューから「検索」に入る





「ファイルとフォルダのすべて」を検索する





ここに「sqlsodbc」という文字列を入力してsqlsodbc.chmを表示する





このファイルサイズが「50K」あるいは「50,727バイト」であれば感染無し
1000〜2500バイトという小さなものに書き換えられていたら感染を疑えとのこと
さらに正確を期したい場合はMD5のハッシュ値をチェックする
これのハッシュ値は『F639AFDE02547603A3D3930EE4BF8C12』とのこと





また自分が運営するebサイトが感染していないか確認するには
このような文字列が含まれていないかを確認する
『unescape、eval、base64』のような文字列を含み
さらに『replace』のような文字列を含むと感染している疑いが濃いという
キャプチャーは実際に感染しているというサイトのソースコードを見たもの






セキュリティに関するtips

anchor

ウイルス対策ソフトをネットにつながっていない筐体でもアップデートして使う

ちょっとした個人的なメモ。

会社機で管理しているいくつかのMac、Windows機はセキュリティのためにネットから切り離されて運用されている。
ところがネットから切り離されているために、アップデート、セキュリティパッチ、ウイルス対策ソフトの定義ファイルなどがアップデートできない。
安全のために切り離されているのに、切り離されているために安全ではないというジレンマにずっと悩まされている。

システムアップデートやセキュリティパッチなどは、まだダウンロードして当てるということで何とかなるがウイルス対策ソフトのウイルス定義ファイルは、パッチ的に当てることができないソフトが大部分だ。
つまりネットから切り離されている機体にウイルス対策ソフトをインストールするのは無意味だという滑稽な状況が起きてしまう。

もぐりセキュリティ担当にあれよあれよという間に任命されてしまった身からすれば
「滑稽だ」
なんて可笑しみを感じている余裕は無いのだが、いろいろ試行錯誤するうちにとりあえずMacとWindowsのそれぞれにダウンロードしたファイルで、ウイルス対策ソフトの定義ファイルをアップデートする方法を見つけた。
人からいただいた情報もある。
テストした結果いずれも最新のファイルでしか引っかからないウイルス検体を検出したので、方法としては有効なようだ。

とりあえず書き留めておく。


Windowsの場合はSymantec Antivirus Clientを使う。
アップデータはこちらからダウンロード。

いろいろなバージョンがアップされているが、通常のWindows機の場合は必要なのは32ビットバージョンの「X86.exe」というやつだ。

Macの場合はネットにつながったMacのClamXavを最新版にアップデートして
/usr/local/clamav/share/clamav/
というフォルダをフォルダごとごっそり取り出して、アップデートしたいMacの同じディレクトリに上書きする。

不可視領域をいじることになるので、そういうアプリが必要になる。
rootのパスワードも必要になる。
私の場合はMainMenuを使ってFinderで操作したがCoelaを使うという手もある。






Windowsの場合はSymantec Antivirusを使う
シマンテックのサイトからダウンロードしたアップデータを実行するとこういう表示が出る





進行中はこんな感じの表示
完了した時の表示も全て英文だが使い方は簡単だ
なぜかアップデートに失敗したいくつかのウイルス対策ソフトと違って
これは確実にアップデートがかかる





Macの場合はClamXavを使う
/usr/local/clamav/share/clamav/のフォルダごと取り出して
アップデートしたいMacの同じディレクトリに移植する
最新のファイルでないと引っかからないファイルも検出したので一応これで機能するようだ






セキュリティに関するtips

anchor

MacOSXのJavaの深刻な脆弱性を修正するパッチは飛ばさずに当てること

CVE-2008-5353というMacOSXのJavaの脆弱性のアラートが実は昨年末に出ていて、攻撃に対する脆弱性の情報が公開されていた。

公開されていたということは、この脆弱性を利用したトラップのようなサイトを作ってMacユーザを陥れることがこの半年間可能だったということだ。

このセキュリティホールについて警告していたLandon Fullerによると
「この脆弱性を利用するとアクセスしているユーザ権限のままで任意の悪意のあるコードを実行できる。
これはどういうことかというと悪意のあるサイトに行っただけでそこに置かれたアプレットに自由にコードを実行されいいように利用されてしまうということ」
らしい。

この半年間にいくつかパッチが出ていたし、OS10.5.7というややメジャーなバージョンアップもあったのだが、その間この問題は解決されないでいた。
先日Update 06-15-2009というアップデートで「Java for MacOSX 10.5アップデート 4」というパッチが当たったがこれがこの脆弱性の修正だったようだ。

このパッチが当たっているかをまず確認してもらいたい。
Safariの設定に入ってJavaを有効にして こちらのページにアクセスしてもらいたい。

sayが起動して何かしゃべり始めたらこの脆弱性が残っているということで、正常にパッチが当たっているとしたら何も起こらない。

この情報はこちらを参考にした。
Landon Fuller

こちらのブログ主さんによるとSafariの「ダウンロード後”安全な”ファイルを開く」という設定は引き続きオフにする方が良いとのこと。
この設定についてはこちらでもたびたび取り上げているが、こういうバカな設定をつけてデフォルトでオンにするというのはいい加減修正してもらいたい。
この設定は百害あって一利なしで、Macをインストールした時に一番最初にやらないといけない設定変更がこれだというくらい、全てのユーザはこの問題に注意してもらいたいと思っている。






6月15日に出たパッチがこれ
Java for MacOSX 10.5アップデート 4が当たっているかを
システム環境設定のソフトウエアアップデートで確認する
当たっていなければ今すぐソフト上アップデートを





Javaのパッチはソフトウエアアップデートから当てられる





安全対策のためにすでにSafariなどのJavaの設定を
オフにしている場合はこれをオンにしてみる
その上で上記のサイトにアクセスして脆弱性のテストをしてみよう





件のサイトにアクセスするとこういうJavaアプレットの読み込み画面に続いて・・・





こういう画面が出てSafariが英語をしゃべり始めたらまだ脆弱性は残っている
すぐにソフトウエアアップデートを起動してパッチを当てる必要がある





こういう画面が出たりすることもあるが・・・





もし脆弱性が解消されていたら最終的にはこういう画面になりSafariは何もしゃべらない





Safariの「ダウンロード後”安全な”ファイルを開く」の設定は
パッチを当てた後も引き続きチェックを外しておくこと
このバカな設定はセキュリティ的には百害あって一利なし
こんなものをデフォルトでオンにしているAppleの見識を疑う

anchor

Macを乗っ取られかねないJavaのセキュリティホールのパッチがTiger向けにも出た

先日ここで取り上げたMacOSXの深刻な脆弱性の修正パッチのTiger版が出ていたので当てた。

Leopard版のパッチについてはこちらの記事を参照。
2009 年 6 月 17 日
MacOSXのJavaの深刻な脆弱性を修正するパッチは飛ばさずに当てること

Tigerについてこのパッチが出るのかアナウンスが無かったのだが、出ていたのでとりあえず一安心だ。 このセキュリティホールは上記リンク先の記事のように、webページを通じて任意のコードを実行されてしまうリスクがあるという危険なものなので、Tigerユーザは必ずこれを当てるべきだ。

Panther以前についてどうなっているかは、私の手許に確認できる環境が無いので不明だ。
おそらくPantherのアップデートはもう停まっているので、Javaも最新バージョンではないと思われる。
なので多分この問題は関係ないだろう。
確信があるわけではないが。

OS9以前の旧OSに関してはほぼ確実に関係ないと思われる。

この脆弱性のテストはこちらのサイトで確認できるので、不安な場合はテストしてみよう。
Safariが英語をしゃべり始めたらこの脆弱性があるということだ。






Tiger向けにもJavaのアップデートが出ている
「for MacOSX, リリース9」となっているので確認すること





SafariのJavaを有効にする設定にして上記のサイトに行ってみる
Safariはこういう表示になって英語でしゃべり始めた
このパッチを当てる以前はTigerには脆弱性があったということだ






セキュリティに関するtips

anchor

Windowsに緊急アップデート!〜Windowsユーザは注意されたし

マイクロソフトから定例外のアップデートの予告が出ている。
詳細はこちら。

マイクロソフト セキュリティ情報の事前通知 - 2009 年 7 月 (定例外)

Windowsは月に一回、第二火曜日に定例のアップデートを出すことになっているが、今回は定例アップデートまで日数が近いにも関わらず、緊急でアップデータを公開することを予告した。
現地時間で7月29日、日本時間で30日未明の公開になると思われる。

問題のリスクはInternet ExplorerVisual Studioの脆弱性に関するもので、任意のコードをリモートで実行されるというもの。
いずれも危険度は「緊急」という評価になっている。

当然BootCampのWindowsも含めてリスクは同じで、アップデートの対象になる。


anchor

先日予告されていたInternetExplorerのセキュリティアップデートは昨日の夕刻には出ていた

InternetExplorerに久しぶりに深刻度「緊急」のセキュリティパッチが当たるということで、予告されていたアップデートが予想していたよりもちょっと早く公開されていた。

さっそく当ててみて、特に問題はなさそうなのでこれはWindowsを使っている全ての人に推奨したい。






InternetExplorerの「緊急」アップデートが公開された
これも任意のコードをリモートで実行されてしまうというリスクの
高いセキュリティホールなのでこのパッチは必ず当てること
月一アップデートが近いのに臨時でパッチが出るというところに「緊急」度を感じてほしい



2009年7月30日














Previous Topへ Next





site statistics
青木さやか