トロイの木馬を拾いましたぁ アフターフォローアップ
 今回のGumblar.8080の一件は,暴論と言われるのを承知の上で,言わせてもらえれば,世の中の一般ユーザーのほとんどは,Webサイトを持っていないわけで,実害はないと考えます。
 今後,どう変異するか?わからないので,変なものが自分のPCに入っていても,いいとは思いませんけど,現状では,大した事がないと言えば,そういえるかも?
 甘いかなぁ。

(2010.1.31 一部追記・訂正あり)



 これだけ,大規模にやっているのに,実害というか,被害というが,そういうのが少ないのが,やや不思議。
 もっとも,Security Toolsのようにクレジットカードを抜くようなものも,最近登場していますが。
 Webサイトを持っていれば,Webサーバーが改ざんされてしまうわけで,それも,被害といえば被害で,当事者とっては大きな被害なこともあるでしょうが,アタッカーは直接的利益を得られません。そういう意味での実害です。
 当方の勝手な推察では,元々は金銭目的じゃなかったのが,やってみたら面白いように,あちこちのシステムに入っていくことが出来たので,途中から,Security Toolsを使ってカネを巻き上げるようにしたとか?どうかな(謎

 毎度のことですが,アタッカーは,それまで考えてもいなかったようなところを突いてくるのであります。
 今回のGumblar.8080は,ワクチンメーカーのビジネスモデルを壊したかも?
 「壊した」は言い過ぎにしても,さして役に立っていないのは間違いないかと。

 昔から言われている事ですが,ウイルスって,ワクチンメーカーが作っているんだよ。と。
 さすがに自作自演と言うことはないと思いますが,共存共栄的な関係なのは確かだと思います。
 ワクチンメーカーにしてみれば,自分達が防げる範疇でウイルスが,たまに暴れてくれると,ユーザーに不安を煽ってワクチンを売ることが出来たわけです。収入は,1回ポッキリ売り切りでなくて,年間更新料という形で,半永久的に毎年安定的に得られるのですから,いい商売ですよ。
 今回も,ワクチンメーカーを含むセキュリティ関連のところが,主に会社関係向けの緊急セミナーなるものをやって,Webが改ざんされた場合の機会損失の影響などを説いて,不安を植えつけようとしていますが,ワクチンメーカーが,まずは,ちゃんと対処しろよ(苦笑

 Gumblar.8080は,ワクチンが通用するとは限りません。後手の対応しか出来ないので,ワクチンメーカーは立つ瀬がない。
 たいして役に立たないのに,毎年年貢を納めるワクチンメーカーのより,無料の岬ちゃんで十分だわ。そう考えるのが自然でしょう。その岬ちゃん↓
・Microsoft Security Essentials
http://www.microsoft.com/security_essentials/
> Microsoft Security Essentials をインストールするには、お使いの PC で正規の
> Windows を実行している必要があります

 そっかぁぁぁ。
 これまで何気なく見ていたので,気づきませんでしたが,OSが海賊版でないことをシステム的にチェックするのね。
 まぁ~,この辺りのホンネの話になれば,だからIE 6が使われ続けているとか,いろいろ出てきちゃうけどさー。

 どこで見たのか忘れてしまったが,アタッカーは,作ったウイルスをVirusTotal等の検体解析システムでチェックして,検出されない事を確認した上で,Internetに放つ。とのこと。
 そういう使い方もあるわけですが,こうなるとワクチンメーカーは,毎回,新種対応しているようなものでは?
 ワクチンメーカーも,努力はしていると思いますが,コイツの場合,これまでやってきた手法では限界があるような気がします。

 ワクチンの宣伝文句に「検出率NO.1」ってあったり,雑誌やWeb媒体の評価記事にも,検出率うんぬんってありますが,この有様では,検出率なんて,さしたる評価軸にならんですな。以前から,あやしいもんだと思っていましたが,今回の一件で証明されてしまいました(笑

 この件,逆に言うと(現状のGumblar.8080に限れば)ワクチンが,なくても対策は出来ると感じます。
 言われている予防策(後述)+アルファをやっていれば,まず大丈夫だと思います。

 定例外のWindows Updateがあった1.22に書いた時は,余裕こいてIE 8.0は,まだいいや。と思っていましたが,さすがに自分のところにやって来たとなると話は別。IE 8.0直行便でした(笑
 なぜなら,セキュリティ対応のレベルが上がっているからです。さらに上を目指すならWin 7+IE 8ですが,すぐに出来る話じゃないので,もうちょっと考えてみまスー。

 調べてみるとGumblar.X(その後,Gumblar.8080へ変異)を早々に発見してアラームを発したのは,ロシアのカスペルスキーだったとか。
 商品パッケージに写っているオッサンが,カスペルスキーご本人サンなの?昔,シマンテックに買収される前にピーター・ノートンが写ってましたけど。
 年が明けてからも,Gumblar.8080の検出でカスペルスキーさんは優秀で,男を上げたと思っていましたが,こんなの↓
・KasperskyでWebサイト閲覧時にトロイの木馬が誤検知される件
http://www.just-kaspersky.jp/support/info/20100125.html
 検出率を上げていくと,誤検知も出てきてしまうのが,難しいところですが,これは,ちょっと。ケチがついてしまったかな?
 今年のワクチンソフト更新(2010.11頃)では,第一候補:カスペルスキー,第二候補:岬ちゃん(MSE),第三候補:NOD32って,感じですかね。今のところ。また,その頃になったら考えてみますわ。

 ISPがセキュリティ対策としてサービスメニューに入れていることが多いのは,電子メールのチェック。
 これは,メールサーバ側にゲートウェイを置いて,そこでウイルス検査を行うもの。最近では迷惑メールの検査なんていうのもありますな。
 これと同じように,ISP側で接続先のWebサーバへの検査をしてくれるところはないかしら?
 会社向けには,社内でのURLフィルタリングとからめて,そういう製品を導入しているところは多々あると思います。

 と思って,ちょっと調べてみましたが,主要ISPでは,ぷららだけでした。
 それ以外は,主に子供を対象としたURLフィルタリングサービスはありましたが,これもゲートウェイじゃなくて,クライアントPCのプログラムをインストールする形態のもの。
 どうしてそう思ったかというと,ウイルス検査を二重化することによって,多少はワクチンの精度を上げることが出来ると思ったから。
 家庭用の場合,主流はクライアントPCにインストールするワクチンなので,ISPがゲートウェイをはさんでも,ビジネスとして成り立たないのでしょう。一番の理由は,帯域かも?ゲートウェイが間に入れば,速度低下はある程度ありますもの。
 電子メールの場合は,Webメールなどがあり,クライアントPCに届く前に検査するサービスでも使ってくれるユーザーがいるのだと思います。帯域の問題も,電子メールだったら,表面化しないでしょう。

 ぷららのは「ホームページウイルスチェックサービス」といい月額189円(ぷらら会員のみ)。ゲートウェイはトレンドを使っているとのこと。
 設定方法のページでプロキシーを使っているので,ゲートウェイ型なのは間違いないと思います。
 クライアントPCのワクチンが,トレンドのウイルスバスターだと,異なるエンジンによる二重化と言う点では意味はありません。あと,これを使えばクライアントPC側でワクチンが不要かといえば,現状では必要だと思います。
 なお,ぷららの場合「ホームページウイルスチェックサービス」はオプションですが,ネットバリアというシステムがあり標準サービスで「有害サイトフィルタ(いわゆるURLフィルタ)」「パケットフィルタ」「Winnyフィルタ」が可能です。URLフィルターを標準(ユーザがOFFにするのも可)にするとは,よっぽど帯域に自信があるんですかね?
 ぷららって,NTTグループ。さすがNTT。やるなぁ。けど,コミュニケーションズのOCNにはなかった(笑

 今回のGumblar.8080システムって,ワクチンが検出するのは,トロイの木馬なので,検出名は,当方みたいにTrojanなんとか。検出名はGumblarやGumblar.8080にならんのです。。
 一般ユーザーの場合,仮にリアルタイム検出に成功しても,Trojanなんとかって表示されるだけなので,Gumblar.8080に誘導されたとか,踏んだとか思わないこともあるかも。
 ワクチンで検出出来ていれば,感染は食い止められているので,それはそれでもいいか。

 今回のは,いわゆる怪しいサイトに行ってなくても,感染サイトから誘導される手口だったので,気が付かない人も多いのでしょう。(ワクチンのリアルタイム検出をすり抜けるケースも多いし)
 報じられているように,感染サイトには,世間に名の知れたところも多く,感染サイトに行っても,Webページの外観に変化はなく,閲覧しただけでは,問題には気がつきません。
 セキュリティを専門にしていないので,詳しくはありませんが,感染サイトを誘導口にして,ウイルス本体は別サイトに置く手法って,現在の主流なんでしょうか?
 誘導口となる感染サイトの画面に,乗っ取ったことを示す派手な表示でもされれば,誰だって気がつきますが,今回のは,平然を装っていたので,わかりませんでした。
 なにが言いたいかというと,これまで一般的に言われてきた「怪しいサイトへ行かない」が通じなくなったこと。
 直接行ったのが,普通のサイトでも,裏側で怪しいサイトに誘導されているのかもしれません。もう,こうなってしまうと,どこにも行けないわけで,仮に意図しない誘導にあっても,連れていかれない手立てを講じる必要があるかと思います。
 こういう部分は,ワクチンとか,ウイルス対策ソフトとかの守備範疇からは外れてくるので,ワクチンに,それを期待するのは無理です。

 あと,今回の特長は,誘導口サイトの更新にコンテンツ管理者のFTPを使ったこと。正規のFTPパスワードを取られてはねぇ。
 これで,So-netさんの言うところの「正面玄関から堂々と入って来る」ので,誘導口サーバーの改ざんは自由自在になっていると思われます。最初だけでなく,後からも,ウイルス本体配布サイトを変えれば,それに応じて誘導口サーバーの改ざんも書き換えるのでしょう。東京なんとか劇場が,3回も改ざんされたのは,そういうことなんじゃないかと。

 FTPでは「FTPをセキュアにしろ」という主張がありました。確かに,今どき,生データを流していいのか?
 その見方はわかりますが,今のところGumblar.8080はFTP通信をスニッフしているのではなくて,クライアントのファイル(もしくはレジストリー)に保管されているパスワードを盗むようです。
 それならSFTP/FTPSでも役に立たないのでは?

 まぁ,他のウイルスにはスニッフするのもいるので,いちおー(国内の)レンタルサーバーでSFTP/FTPSをやっているところを確認してみました。
 数箇所程度でしたが,ほとんど未対応。安いところは,もちダメ。NTTコミュニケーションズのOCNホスティングも未対応っぽい。これって,Verioだよね。それでもダメ。
 当方が見た限りではNTT PCコミケーションズがSFTPに対応(リカちゃんのはダメ)。ここは格安レンタルサーバが普及する前に当方が使っていたところ。当時から取り組みが早かったのよ。やっぱりNTTグループだわ。個人で使うには高いけど,高いだけの理由があるわ。

 FTPクライアントも槍玉にあがっているようです。フリーのFFFTPが,よろしくない。と。
 FFFTPは登録したサーバーのパスワードを.iniファイルもしくはレジストリーに暗号化して格納しているが(ソースを見ることが出来るので)復号ロジックを解析されてしまうので,それがよろしくない。よって,FFFTPを使うのをやめよう,と。
 もし,それだけが理由ならば,パスワードを記憶させなければ,いいのでは?
 もち,毎回パスワードの入力が必要になりますが,それで回避出来るなら,それでいいような気がします。(もしかしたら,パスワード入力時も,プログラムが勝手に記憶しているのかもしれません。なら,この部分だけを直せばいいのでは?)とっとっと,それだと今度はキーロガーがあるのか(笑
 有償のNextFTPが,どういうロジックなのか?存じませんが,毎回のパスワード入力が面倒な人はNextFTP等のソースコード非公開なソフトを買えばいいような気がしますが,どんなものでしょう?
[2010.1.31 追記]
 本日FFFTPの作者の方からGumblar(とその一派)対策として「パスワードをFFFTPに記憶させるのをやめ、接続時に毎回パスワードを入力する」ことを強く推奨する事の表明がありました。また,パスワードを記憶させた場合でもパスワードが漏れないように改良をしたプログラムも公開されました。

 それにしても,今回,難儀したのは,感染の有無を特定すること。
 ウイルス本体が,コロコロ変わっているので,ワクチンでフルスキャンしても,検出出来ないこともあるし。
 ファイル名は,ランダムに命名されるので,決まっていない。
 レジストリーの改ざん確認も,たーだregeditで開くと,当該エントリーを一時回避して隠蔽するとか。
 確証を得るのがやっかいでした。

 なお,Gumblar.8080は,感染すると,感染サイトへの2回目以降のアクセスはキャッシュを使う。(=ユーザーが不審に思って再訪しても,気が付かれないように偽装する)
 ワクチンソフトの機能を止めるなどもする。

 関連事項を調べていて見つけたもの↓
・ウイルスがブラウザを狙っている
http://itpro.nikkeibp.co.jp/article/COLUMN/20080313/296171/
 2008年3月の記事なので,約2年前。感染の方法は,元祖Gumblarとその一派(Gumblar.X,Gumblar.8080)そのものですな。
 サブタイトルに「ウイルス対策ソフト・ベンダーさえ信用できない」って,ありますが,いやはや,その通りになってしまいましたわ(笑
 「第4回 ダウンローダをブロックする手段」の記事
 ITproの記事なので,家庭向けでなく会社などの情報システム部向けの記事で,一般ユーザー向けではありません。
> 改ざんされたサイトも見破る新サービス
 として「トレンドのWebセキュリティサービス」が載っています。これは,上記で紹介したゲートウェイ型のURLフィルターの一種。
 「マカフィーのMcAfee SiteAdvisor Plus」も載っています。この記事では単品製品として紹介されていますが,家庭用のMcAfee アンチウイルスプラスなどにも搭載されています。
 ブラウザブラグインの単品でしたら,無料利用可↓(≠ワクチン)
http://www.siteadvisor.com/download/ff_learnmore.html
 「セキュアブレインのWebクローラ」と同様の機能は,Firefox(クローラはGoogle)にも搭載されており,「攻撃サイトとして報告されているサイトをブロックする」(ONがデフォルト)になっていれば機能します。(IE,Safariにも同様の機能あり)
 どれにしても,今回のGumblar.8080みたいにコロコロ変異するモノだと即効性は薄いと思われます。
> ユーザー認証でダウンローダの動きを封じる
 感染そのものは,食い止められないけど,その後の活動を封じ込める。発見を容易にする。そういう点では有用なのかもしれません。ただ,一般家庭で(単なるhttpプロキシーでなく)Internet接続点にプロキシーを配するなんて出来ないので,現実的じゃないですな。

・「NOD32」のスロバキアESETに聞く、「ヒューリスティック検知に力を入れる理由」
http://enterprise.watch.impress.co.jp/docs/news/20090522_169889.html
 当方が使っているNOD32の記事
> ヒューリスティック検知を重視することで、シグネチャが提供される前のウイルスに
> 対しても、高い効果を発揮しているのだという

 残念ならが,当方が出会ったトロイの木馬に限れば,検出出来なかったッス(苦笑
 だからと言って,NOD32がダメだとは,思っていません。ダメなのは,どこも似たり寄ったり。
 当方が昨年(2009年),マカフィー→NOD32に乗り換えた理由は,動作が軽いと言う評判,比較的安価製品でスパイウェアに対応していたこと。この2つが決め手でしたの。
 いわゆる検出率なんて,さして気にしていませんでしたから。

・GUMBLAR(ガンブラー)の対策
http://jp.trendmicro.com/jp/threat/solutions/gumblar/
> ガンブラー攻撃での使用が確認されている脆弱性としては、Adobe Reader/Acrobat/
> Flash Playerがあります。その他のアプリケーションについても、脆弱性が狙われる
> 可能性があります

 もっともらしい事が書いてありますが,今一番狙われていると思われるJREを明記していないので,ワクチンメーカーのアドバイザリーとしてみれば,落第点と判断します。
 JREは「その他のアプリケーション」に含んでいるというのは責任逃れにしか,思えんですよ。
 ワクチンメーカーのWebサイトに書いてあることをやっていれば十分か?と問われれば,答えは「NO」です。

・新ウイルスGumblar(ガンブラー)対策について
http://www.mcafee.com/japan/security/gumblar.asp
 文脈からして,今年になってからのものだと思われます。
> そのサイトからダウンロードされるファイルが『Internet Explorer』 『Adobe Acrobat』
> 『Adobe Reader』 『Adobe Flash Player』の脆弱点を悪用

 IEの弱点を使うの?これは,初耳。
 他のどこも,IEの弱点に触れていないので,これは,マカフィーさんの特ダネなのでしょう(笑
> WindowsやInternet Explorer、Acrobat Reader、Flashなど、利用しているソフト
> ウェアの最新のパッチが適用されているか確認することが重要です

 ここもトレンドに同じで,JREを明示していないので,落第。

 もう何度も紹介しているSo-netさんの↓
・サイト改ざん(1)「告知せず」で感染拡大の恐れ~負の連鎖を断ち切るために
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2112
> 以下を漏れなく実施していれば、たとえ改ざんされたWebサイトを閲覧しても、
> 現時点ではウイルスに感染することはない

 年貢を納めているワクチンメーカーより,So-netさんの方が,頼りなりますな(苦笑
 今になって気が付いたのですが,So-netさんの話ではワクチンの必要性に触れていません。やっぱり,Gumblar.8080だけに限りれば(誘導口サイト対策としては),ワクチンがなくても防ぐことが,出来ると考えます。

 期待したように作動してくれない↓
・次世代ブラウザ Firefox - プラグインチェック
http://mozilla.jp/firefox/security/plugincheck/
> プラグイン検出サービスのエラー
・Plugin Check
http://www.mozilla.com/en-US/plugincheck/
> Plugin Finding Service Error
 もう,何日か,やっているけど,一般ユーザー権限では,一度も成功していないの(笑
 これが,ちゃんと機能するなら,Javaは,MyJVNバージョンチェッカーしか使っていないので,アンインストールしていいと思っているのに。
 それとも,これって,管理者権限オンリーなの?(苦笑


 よく言われる予防策(from So-net)+当方の見方↓(Gumblar.8080対策に限らず)
・Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
 IE 8.0へのアップグレードもする
・Adobe Readerを最新版に更新する
 Adobe ReaderのAcrobat JavaScriptを無効に設定する
・JRE(Java Runtime Environment,Javaの実行環境)を最新版に更新する
 Javaが不要なら,Java自体をアンインストールしてしまう
 Javaを使う/使わないに係わらず,古いJREはアンインストールする
・Flash Playerを最新版に更新する
 IE以外のWebブラウザを使っている場合は,更新手順が異なるので注意
・QuickTimeを最新版に更新する
 QuickTimeを使わないなら,QuickTime自体をアンインストールしてしまう

・ルータを使ってInternet接続する
 出来ることなら,ポートの制限を行う
・Firefox+RequestPolicy(アドオン)が使えるなら使う
 IEの利用は必要最小限にする(IE用にNoScriptやRequestPolicyみたいなのってあるの?)

・ワクチン(セキュリティ対策ソフト)を導入して最新版に更新する
 ないなら,とりあえずMSE(Microsoft Security Essentials)を入れてみる
 どのワクチンでも,リアルタイム検出に失敗することがあるので,フルスキャンを定期的に実行する
・IPAの「MyJVNバージョンチェッカー」を活用して最新版の確認に努める

(関連リンク)
・トロイの木馬を拾いましたぁ その1(2010.1.25)
http://rainbow55.exblog.jp/12724074/
・トロイの木馬を拾いましたぁ その2(2010.1.25)
http://rainbow55.exblog.jp/12724227/
・トロイの木馬を拾いましたぁ 作業後記(2010.1.27)
http://rainbow55.exblog.jp/12734838/
・エマーで使った(使えた)リンク(2010.1.29)
http://rainbow55.exblog.jp/12745357/
・トロイの木馬を拾いましたぁ アフターフォローアップ(2010.1.30)
http://rainbow55.exblog.jp/12749411/

 2010.1.31 一部追記・訂正
[PR]
by rainbow-5 | 2010-01-30 18:53 | 日記 | Comments(0)


<< 最近,見たもの(種々雑多) エマーで使った(使えた)リンク >>