斎藤ほづみ様のVVVウイルスに関する対案に関する考察
-
- いいね!1
REY@
@rey1229
斎藤ほづみ様(@S_Hodumi )がこちらに対する回答をいたしますね。 2015年12月5日~に騒ぎになった「VVVウイルス」に関する現状や誤解について - Togetterまとめ togetter.com/li/909731
2015-12-07 20:44:02
REY@
@rey1229
ずれている点1) この文章は情報管理者が一般ユーザに連絡する目的で作ったものであり、技術者同士が議論するために作成したものではありません。
2015-12-07 20:44:34
REY@
@rey1229
そこを、履き違えてのご指摘はおかしなものです。 「土日に発生している事象を月曜朝1で対応する情報管理者の立場に立ち、速報を流すならどう流すか?」を念頭に置いて作成しました。
2015-12-07 20:44:46
REY@
@rey1229
ずれている点2) 私のツイートは2015/12/6 6:19現在での情報であること。また拡散後に様々な方が検証されて新たな情報が上がってきていること。 それに新しい情報がきてからの指摘は対応しかねますね
2015-12-07 20:45:15
REY@
@rey1229
こちらに関してはおっしゃる通りですね。 OS、ブラウザ、ミドルウェア、各種プラグイン、アドインなどの更新は適用が基本です。 アンチウイルスに関してもしかり、本体の更新及び定義ファイルの更新は必要不可欠です。 twitter.com/S_Hodumi/statu…
2015-12-07 20:45:23
斉藤ほづみ
@S_Hodumi
まず「どう対応すればいいのか」について。 現状ではWindowsとIE・各ブラウザ、および各種プラグイン(Adobe Flash、Reader、Java)のアップデートをきちんと適用し、適切なウイルス対策ソフトを導入すれば大丈夫と思われます。
2015-12-07 17:35:26
REY@
@rey1229
こちらに関してもほぼおっしゃる通りですね。 私が参考にするのはIPAが中心ですが。 各セキュリティベンダーのブログは参考にはなりますが、商用目的で作られているブログです。 あくまで参考でとどめるべきですね。 twitter.com/S_Hodumi/statu…
2015-12-07 20:45:34
斉藤ほづみ
@S_Hodumi
対策に関しては、主に ESETセキュリティブログ:blog.eset-smart-security.jp/2015/12/vvv.ht…とか、 HEIMDALのAlert(英語):heimdalsecurity.com/blog/security-… といった情報が主です。
2015-12-07 17:38:31
REY@
@rey1229
こちらに関しては後述のツイートと合わせて回答しますね。 twitter.com/S_Hodumi/statu…
2015-12-07 20:45:44
斉藤ほづみ
@S_Hodumi
詳細は後述しますが、「各種パッチを当てても対応できない」という情報が一人歩きしていますが、これは現状では99%デマであると考えます。 (そう推察するに至った経緯はあとで説明しますが、ここでは結論のみ先に述べます)
2015-12-07 17:39:23
REY@
@rey1229
WindowsやChrome等のに関しましては確かに自動アップデートで更新がされます。 ただ、今回問題視されているのがWin10化によって、知らない間にウイルス対策ソフトが機能しなくなる事象があります。
2015-12-07 20:45:56
REY@
@rey1229
例えば、ウイルスバスタークラウドなどが典型としてあげられます。 esupport.trendmicro.com/support/vb/sol…
2015-12-07 20:46:02
REY@
@rey1229
このような事象で、会社等では起こり得ないかもしれませんが、個々人のパソコンではリスクがありえます。 こちらのツイートのようにバックアップ及び退避・隔離はとても重要なキーワードです。 twitter.com/S_Hodumi/statu…
2015-12-07 20:46:17
斉藤ほづみ
@S_Hodumi
また、【今回は】各種ソフトのバージョンを最新版に保つことで防げますが、将来的にそうであるという保障はありません。 ですのでUSBメモリや外付けHDD等の媒体に、重要なデータはバックアップすることをお勧めします。
2015-12-07 17:45:04
REY@
@rey1229
ここからもまとめての回答になります。主にゼロデイに関する指摘ですね。 twitter.com/S_Hodumi/statu…
2015-12-07 20:46:45
斉藤ほづみ
@S_Hodumi
それだけのシェアに対して、「JavaやAdobe Flash・Reader等、複数のソフトウェアの未知の脆弱性をついた攻撃」が行われれば、感染被害は遙かに深刻になっていないとおかしいのです。 が、現状、報告事例は「あまり」上がっていません。
2015-12-07 17:51:52
REY@
@rey1229
基本的に「ゼロデイは公開しないものが原則です」 基本的に日本でぜい弱性を発見した場合にはIPAに報告を上げますが、その時点ではぜい弱性に関する情報公開はされません。 ipa.go.jp/security/vuln/…
2015-12-07 20:46:51
REY@
@rey1229
これは、ぜい弱性の公開により、それを狙った攻撃が増えるためです。 どうしても、提供ベンダーが対応しない場合は公開する場合があるそうですが。
2015-12-07 20:47:01
REY@
@rey1229
ですので、「ぜい弱性が発見されたら即情報公開」なんてことはありえません。 twitter.com/S_Hodumi/statu…
2015-12-07 20:47:11
斉藤ほづみ
@S_Hodumi
ですが、今回の問題に関しては、ゼロデイ攻撃が行われた可能性は低いと考えられます。 根拠は前述のように、ゼロデイ攻撃の可能性について、何らかの兆候があれば通常、すぐに注意を喚起するセキュリティ会社や研究家、あるいは公的機関が一切告知していないことです。
2015-12-07 18:01:59
REY@
@rey1229
この点に関して、セキュリティ業界ではよくあることです。なお、この情報はTwitterで得ましたが、セキュリティ業界あるあるとして掲載しました。 twitter.com/S_Hodumi/statu… twitter.com/S_Hodumi/statu…
2015-12-07 20:47:18
斉藤ほづみ
@S_Hodumi
で、一般論と状況証拠のどちらを優先するかという点は置いておいて、問題は前述の一般論(「ゼロデイ攻撃は最新パッチでも対応できない」)を、今回の問題にすり替えて、注意喚起として「一般のウイルス対策の知識では対応できない」「ほぼ強制的に感染する」と断言してしまった点です。
2015-12-07 18:05:03
斉藤ほづみ
@S_Hodumi
それ以外の情報(たとえば「研究家が検索してミイラ取りがミイラになった」等)は兎も角、こういった中途半端な情報が危機感を煽ったり、最新のパッチでも対応できないといった流言飛語を産んだ原因ではないかと。 だって、ソフトウェアを最新の状態に保つのは「一般のウイルス対策の知識ですものね。
2015-12-07 18:06:21
REY@
@rey1229
ここで記載されている「具体的な対策が伝わらない注意喚起は注意喚起ではない」はおかしな話です。 twitter.com/S_Hodumi/statu…
2015-12-07 20:47:27
斉藤ほづみ
@S_Hodumi
そもそも論で言ってしまうのなら。 何度もツイートしましたが「具体的な対策が伝わらない注意喚起は注意喚起ではない」です。 だって「危険ですよ!気をつけてくださいね!」とだけ言われて対策できる人なら既に対策していますよね? その点において、この注意喚起は注意喚起になっていないのです。
2015-12-07 18:07:44
REY@
@rey1229
Flashにしろ、JREにしろ、情報管理者の許可が無いと更新できない。業務システムがおっつかなく更新できないなどよくある話です。 ひとまずの対応として、一般ユーザに対して「あぶないから遊びでサイト見るなよ?」と警告するのは普通ですね。
2015-12-07 20:47:36
REY@
@rey1229
こちらに関してはおっしゃる通りですね。 twitter.com/S_Hodumi/statu…
2015-12-07 20:47:45
斉藤ほづみ
@S_Hodumi
もちろん将来的にCryptoWallやそれに類するランサムウェアが未知の脆弱性を用いた攻撃を行う可能性はあります。 が、それはあくまで可能性の話であって、今回の問題の当面の回避策とは別の話題です。関連がないとは言いませんが。
2015-12-07 18:12:42
REY@
@rey1229
CryptoWall4.0(VVVウイルス)の感染そのものはあった その通りですね twitter.com/S_Hodumi/statu…
2015-12-07 20:47:56
斉藤ほづみ
@S_Hodumi
繰り返しますが、 ・CryptoWall4.0(VVVウイルス)の感染そのものはあった ・但しそれは既知の脆弱性をついたものしか観測されていない ・故にシステムのアップデートやウイルス対策ソフトで防げるものだった が今回の真相の可能性が非常に高いのです。
2015-12-07 18:14:01
REY@
@rey1229
但しそれは既知の脆弱性をついたものしか観測されていない こちらに関しては先述で述べた通りまだ非公開の可能性が多々ありますので既知の脆弱性と言いきるには無理がある
2015-12-07 20:48:06
REY@
@rey1229
故にシステムのアップデートやウイルス対策ソフトで防げるものだった こちらに関しても先述で述べた通り「まだ情報が非公開の可能性がある」「そもそもアップデートすると業務が出来ない」などあるため防げると断言するにはあまりに怖いです
2015-12-07 20:48:20
REY@
@rey1229
ゆえに、公開されないため、悪魔の証明です。ですので、議論もこういう形になります。 twitter.com/S_Hodumi/statu…
2015-12-07 20:48:27
斉藤ほづみ
@S_Hodumi
可能性だけだろって言われるかもしれませんが、それは当たり前です。 何しろ「ゼロデイ攻撃がなかったこと」の証明は、いわゆる悪魔の証明になってしまうからです。
2015-12-07 18:15:06