2015年12月5日~に騒ぎになった「VVVウイルス」に関する現状や誤解について
-
- いいね!29
斉藤ほづみ
@S_Hodumi
一昨日からのいわゆるVVVウイルスの件、まだ情報が錯綜しているのと、私の作成した画像(注意喚起と称する誤情報への指摘)に対して「ウイルスの存在は事実」といった中途半端な指摘が来るので、改めて情報を纏めます。 長くなるのでTogetterに纏めます。個々のRTは控えていただければ。
2015-12-07 17:32:15
斉藤ほづみ
@S_Hodumi
まず「どう対応すればいいのか」について。 現状ではWindowsとIE・各ブラウザ、および各種プラグイン(Adobe Flash、Reader、Java)のアップデートをきちんと適用し、適切なウイルス対策ソフトを導入すれば大丈夫と思われます。
2015-12-07 17:35:26
斉藤ほづみ
@S_Hodumi
対策に関しては、主に ESETセキュリティブログ:blog.eset-smart-security.jp/2015/12/vvv.ht…とか、 HEIMDALのAlert(英語):heimdalsecurity.com/blog/security-… といった情報が主です。
2015-12-07 17:38:31
斉藤ほづみ
@S_Hodumi
詳細は後述しますが、「各種パッチを当てても対応できない」という情報が一人歩きしていますが、これは現状では99%デマであると考えます。 (そう推察するに至った経緯はあとで説明しますが、ここでは結論のみ先に述べます)
2015-12-07 17:39:23
斉藤ほづみ
@S_Hodumi
WindowsおよびIEはWindows Updateを行えば対応できますし、ChromeやFirefox等のブラウザはだいたい自動アップデートが機能してるかと思います。 (自動アップデートを切っているかたは有効にするか手動でアップデートしてください)
2015-12-07 17:40:38
斉藤ほづみ
@S_Hodumi
FlashやJava等は、各ソフトのアップデートページで確認するか、自動アップデートを有効にしてください。 不安であれば、JVN(独立行政法人情報処理推進機構も関わってる脆弱性情報)にあるチェッカーを利用できます。 URLは jvndb.jvn.jp/apis/myjvn/vcc… です。
2015-12-07 17:43:16
斉藤ほづみ
@S_Hodumi
また、【今回は】各種ソフトのバージョンを最新版に保つことで防げますが、将来的にそうであるという保障はありません。 ですのでUSBメモリや外付けHDD等の媒体に、重要なデータはバックアップすることをお勧めします。
2015-12-07 17:45:04
斉藤ほづみ
@S_Hodumi
なお、HDDの破損等に対しては兎も角、ランサムウェア対策という観点ではバックアップしたあと、メディアをいれっぱなし・接続したままにしておくと、万が一感染したときにバックアップも含めてやられるので、必ずPCから外しておいてください。
2015-12-07 17:46:59
斉藤ほづみ
@S_Hodumi
ここから先はやや技術寄りの話になりますが、なぜ「未知の脆弱性による攻撃でないと判断したか」という点についてです。 理由は2つありますが、主な理由は「未知の脆弱性に対する攻撃であれば、被害があまりに限定的すぎる」ことです。
2015-12-07 17:48:43
斉藤ほづみ
@S_Hodumi
japan.zdnet.com/article/350697… こちらの情報を見るに、現状、Windowsのシェアは90%を超えています。 FlashやJavaも相応に普及している以上、Webを閲覧しているPCの半分以上はWindows+FlashやJavaの環境と考えて問題ないでしょう。
2015-12-07 17:51:02
斉藤ほづみ
@S_Hodumi
それだけのシェアに対して、「JavaやAdobe Flash・Reader等、複数のソフトウェアの未知の脆弱性をついた攻撃」が行われれば、感染被害は遙かに深刻になっていないとおかしいのです。 が、現状、報告事例は「あまり」上がっていません。
2015-12-07 17:51:52
斉藤ほづみ
@S_Hodumi
そも、今回話題になっているマルウェアと思われるCryptoWall4.0の報告事態は12月初頭に発生していました。前述のHEIMDALのblog等です。 ですが、それがさほど大きな話題になっていないのは、所詮は既知の脆弱性をついたものだから、という側面もあります。
2015-12-07 17:53:16
斉藤ほづみ
@S_Hodumi
それでも相応数の感染が確認され、海外では多少話題にはなりました。 ……ただ、そこまでなのです。 もし未知の脆弱性によるゼロデイ攻撃であれば、騒ぎは日本国内・国外を含めて、この程度で済んではおかしいのです。 今回の件に関して、その点をまず留意すべきです。
2015-12-07 17:54:36
斉藤ほづみ
@S_Hodumi
もちろんこれはある種の状況証拠でしかありません。 が、特にウイルスの検体が手に入らない・確認できない状況ではどうやっても状況証拠から判断するしかないことはありますので、それはご理解ください。 むしろ「感染源のサイトが生きてれば」いくらでも検証できるんですけどね、これ。
2015-12-07 17:55:47
斉藤ほづみ
@S_Hodumi
で、もう1点。今回のマルウェアに関しての誤情報は、ある程度発生元が絞られていると考えます。 twitter.com/rey1229/status… こちらです。 何が問題なのか、サマリーは私が以前に指摘画像を作りましたが。 twitter.com/S_Hodumi/statu…
2015-12-07 17:57:31
REY@
@rey1229
VVVウイルスに関して注意喚起用文章を作成しました。 当該内容に関する著作権を永久に放棄します。本内容は転載・改変・転送・送信は自由です。 職場等での注意喚起にお使いください。 pic.twitter.com/2tyArzPebh
2015-12-06 06:19:01
斉藤ほづみ
@S_Hodumi
変なものが流行っているようなので。 このウイルスの存在が「絶対にありえない」と断言はしませんしできませんが、あやふやな情報を元に騒ぎ立てたり、拡散したりすることに正当性はありません。善意だとしても加害者になるだけです。 pic.twitter.com/dENIIDiz82
2015-12-06 09:51:34
斉藤ほづみ
@S_Hodumi
件のツイートに関しては、元情報として twitter.com/rey1229/status… これらの情報が提示されているので、順番に検証していきます。 まず1つめのURL(読売新聞)に関しては、私が前述したようにソフトの更新等で対応できる旨が書かれています。
2015-12-07 17:59:11
REY@
@rey1229
対案について主な情報ソースはこちらになります yomiuri.co.jp/science/goshin… blog.livedoor.jp/blackwingcat/a… mezsystem.jugem.jp/?eid=285 本件は検証を進める意味で作りました。 twitter.com/rey1229/status…
2015-12-06 15:14:00
斉藤ほづみ
@S_Hodumi
次に2つめのblogに関して。 こちらには、『最近は、Adobe 製品や Java のゼロディをついてくるマルウェアも出現しています。だから、最新にすれば対策になるかというと、残念ながら気休め程度にしかなり確実とはいえません。』 と書かれています。これは一般論としては事実です。
2015-12-07 18:00:27
斉藤ほづみ
@S_Hodumi
ですが、今回の問題に関しては、ゼロデイ攻撃が行われた可能性は低いと考えられます。 根拠は前述のように、ゼロデイ攻撃の可能性について、何らかの兆候があれば通常、すぐに注意を喚起するセキュリティ会社や研究家、あるいは公的機関が一切告知していないことです。
2015-12-07 18:01:59
斉藤ほづみ
@S_Hodumi
で、一般論と状況証拠のどちらを優先するかという点は置いておいて、問題は前述の一般論(「ゼロデイ攻撃は最新パッチでも対応できない」)を、今回の問題にすり替えて、注意喚起として「一般のウイルス対策の知識では対応できない」「ほぼ強制的に感染する」と断言してしまった点です。
2015-12-07 18:05:03
斉藤ほづみ
@S_Hodumi
それ以外の情報(たとえば「研究家が検索してミイラ取りがミイラになった」等)は兎も角、こういった中途半端な情報が危機感を煽ったり、最新のパッチでも対応できないといった流言飛語を産んだ原因ではないかと。 だって、ソフトウェアを最新の状態に保つのは「一般のウイルス対策の知識ですものね。
2015-12-07 18:06:21
斉藤ほづみ
@S_Hodumi
そもそも論で言ってしまうのなら。 何度もツイートしましたが「具体的な対策が伝わらない注意喚起は注意喚起ではない」です。 だって「危険ですよ!気をつけてくださいね!」とだけ言われて対策できる人なら既に対策していますよね? その点において、この注意喚起は注意喚起になっていないのです。
2015-12-07 18:07:44
斉藤ほづみ
@S_Hodumi
それはそれとしても、件のツイートに関して、改めて。 「一般的なウイルス対策の知識が役に立たない」は明確に間違いです。 「現時点で全く対策方法がなく」も間違いだった可能性が非常に高いです。 少なくともゼロデイ攻撃が観測されたという情報はありません。
2015-12-07 18:09:59
斉藤ほづみ
@S_Hodumi
ですので今回の件に関して言うなら、ゼロデイ攻撃が行われた可能性は低いですし、ゼロデイ攻撃があったとする発言は基本的にデマと考えて問題ないと思います。 (必ずしもデマは故意に生まれるものではないので、デマを流そうと悪意があったかどうかは全くの別問題である点にご留意ください)
2015-12-07 18:11:38