年金機構などが被害に遭ったEmdiviウィルスに「あなたのPCが感染していないか?」の簡易チェック方法をお教えします
-
- いいね!53
TLより
西村誠一
@khb02323
「日本年金機構などが被害にあった標的型メールウィルスEmdiviウィルスにあなたのPCが感染してないか?」の簡易チェック方法をお教えします(是非お試しください)
2015-06-17 17:29:14
西村誠一
@khb02323
1、日本年金機構などが「標的型メール」のウィルス被害で「Emdivi」ウィルスの被害を受けて大騒ぎになっている件について、「あなたのPCやあなたの職場が本当に感染していないか?」の簡易チェック方法をお教えします
2015-06-17 17:30:17
西村誠一
@khb02323
2、ここ最近、日本年金機構で「メールの添付ファイルを開いてウィルスに感染した」という内容のニュースが騒ぎになっています、今回のウィルス被害は「標的型」と言って極めて巧妙な手法のメールである為100%防ぐ事は極めて困難です(90%防げるとしても100%防ぐのは不可能だと思います)
2015-06-17 17:30:25
西村誠一
@khb02323
3、Emdiviウィルスにおいて、ニュースになっている感染経路は「メールの添付ファイルを開く」ですが、WindowsやFlashやJavaのセキュリティホール経由など「普通にPCを使ってるだけで感染する可能性」もあり得ます
2015-06-17 17:30:32
西村誠一
@khb02323
4、ノートン、ウィルスバスター、マカフィー、フリーソフトのアンチウィルスソフトなど、アンチウィルスソフトが入っていても「検出できない」、「パターンファイルの最新版が間に合ってない」などの理由ですり抜ける可能性も高いです(90%防げたとしても100%防ぐのは無理です)
2015-06-17 17:30:41
西村誠一
@khb02323
5、どんなにウィルスに気を付けて、またどんなにウィルス対策しても、「どうしても一部の環境でウィルスに感染してしまう」という事が実際にあちこちで起きている以上、「ウィルスに感染したPCがある前提」で物を考える時代に来ていると思います
2015-06-17 17:30:51
西村誠一
@khb02323
6、具体的には、ウィルスに感染したPCが発生すると、社内などLAN環境で他に感染させられそうな別のPCを探したり、感染したPCの中の重要なファイルを外部に送信したり、キーロガーでキー入力を外部に送信したりします(つまり、最終的に外部と通信するのが最近の流行りです)
2015-06-17 17:30:59
西村誠一
@khb02323
7、さて、現在、大いに猛威を振るっている(日本年金機構などが被害を受けた)「Emdivi」ウィルスです。これもネット経由で外部に情報を流すタイプですが、C&Cサーバー(コマンド&コントロールサーバー)と通信して情報を流すタイプです
2015-06-17 17:31:07
西村誠一
@khb02323
8、ここまでの話は、日常目にするニュースなどにも書いてありますが、実はニュースで流れてくる情報には「大事な情報が抜けている」事に気づきませんか?
2015-06-17 17:31:14
西村誠一
@khb02323
9、ウィルス感染の被害が発生した場合、「外部のC&Cサーバーと通信する」、「だからそれをチェックすればいい」…そこまではニュースに書いてあります…でも、「じゃあC&Cサーバーってどこ?」、「何をどうやってチェックすればいいの?」って情報が実は一連のニュースには書いてありません
2015-06-17 17:31:22
西村誠一
@khb02323
10、ニュースをよく読んでいくと、「Emdiviウィルスの感染の被害にあった企業」や「感染が心配な企業」はどうすればいいか?・・・という部分については「専門企業に依頼して」的な事が書いてあります。金額を調べると100~200万円単位だそうです。信じられますか?
2015-06-17 17:31:30
西村誠一
@khb02323
11、「大企業」で「実際にウィルス感染の被害にあった」状況なら専門企業に調査と駆除を依頼して、(それでも100~200万円は高い気もしますが)、まあ数十万円位かかるのは仕方ないかもしれません…でも、「個人」や「まだ感染してない企業」がそんな大金を払う必要がありますか?
2015-06-17 17:31:39
西村誠一
@khb02323
12、私は「個人」や「中小企業」、「まだ感染してない企業」がそこまで大金を払って専門企業に依頼する前に、「まずは自分でチェックする」、「まずは自分で対策する」事が必要だと思います…なのですが、残念ながら「自分で対処するだけの情報」も「ソフト」も一般には公開されてないのです
2015-06-17 17:31:48
西村誠一
@khb02323
13、「自分で対処するだけの情報」については、ニュースなどで自動的には流れてこないのですが、ネットでよく検索すればそういう情報は見つかります。具体的にはEmdiviウィルスの場合、C&Cサーバーのドメイン一覧情報を公開してくれている人がいます
2015-06-17 17:31:55
西村誠一
@khb02323
14、EmdiviウィルスのC&Cサーバーのドメイン一覧情報は、次のサイトなどで(有志の方が)公開しています d.hatena.ne.jp/Kango/20141107… (または、こちら pastebin.com/8nVxS4pT)
2015-06-17 17:32:03
西村誠一
@khb02323
15、EmdiviウィルスのC&Cサーバーのドメイン一覧をpingやnslookupなどで(ドメイン→IPアドレス)変換すると、実際にC&CサーバーのIPアドレス一覧は次の様になります pic.twitter.com/m8PfqnZcLr
2015-06-17 17:32:26
拡大
西村誠一
@khb02323
16、Emdiviウィルスに感染した場合の外部通信先のIPアドレス一覧(C&Cサーバー一覧)は分かりました、では、個人や企業が自分で「どうやったら」、この通信を確認できるでしょうか?簡単に検出できるソフトはありませんよね?なぜアンチウィルスメーカーが用意しないんでしょうか?
2015-06-17 17:32:34
西村誠一
@khb02323
17、無い事を嘆いていても仕方がないので、今回、私の方で「フリーソフト」でEmdiviウィルスの検出機能を持つソフトを用意しました 「ウィルスを通信から発見する NetStatusMonitor」 asahi-net.or.jp/~tz2s-nsmr/Net…
2015-06-17 17:32:43
西村誠一
@khb02323
18、NetStatusMonitorは、今回話をしているEmdiviウィルス感染チェックだけでなく、様々なウィルス検出機能を持っているのですが、説明が面倒なので「Emdiviウィルスの簡易チェック」に話を絞って説明します
2015-06-17 17:32:50
西村誠一
@khb02323
19、「ウィルスを通信から発見するツール NetStatusMonitor」 asahi-net.or.jp/~tz2s-nsmr/Net… から「ダウンロード」をクリックしてソフトをダウンロードして、zipファイルを解凍してください
2015-06-17 17:32:59
西村誠一
@khb02323
20、Windows7の場合はNET35フォルダの中のNetStatusMonitor.exeを起動してください。Windows8/8.1/10の場合はNET40フォルダの中のNetStatusMonitor.exeを起動してください
2015-06-17 17:33:06
西村誠一
@khb02323
21、NetStatusMonitorが起動すると、画面の上のリスト2つが黄色く表示されるので、画面上の「全て除外する」ボタンを押して、確認ダイヤログで「はい」を押してから、「手動更新」ボタンを押してください pic.twitter.com/lkNvMtv12k
2015-06-17 17:33:23
拡大
西村誠一
@khb02323
22、画面が全て白くなったら、ウィンドウを最小化して30分~1時間ほど様子をみてください (※)1分に一度通信チェックを行います。画面が黄色くなったら繰り返し「すべて除外する」ボタンを押してからウィンドウを最小化してください pic.twitter.com/Bwf0Cjm1Sc
2015-06-17 17:33:42
拡大
西村誠一
@khb02323
23、ウィンドウを最小化して放置してる間に、次の様な真っ赤な画面が表示された場合、そのPCは(日本年金機構などが被害に遭ってる)Emdiviウィルスに感染している可能性が非常に強いです。白や黄色の画面のまま、最小化のままなら安全です pic.twitter.com/8rACDSQCws
2015-06-17 17:34:52
拡大