10周年のSPコンテンツ!

2015年12月5日~に騒ぎになった「VVVウイルス」に関する現状や誤解について

色々と誤情報が出回っているようなので。 纏め本文では触れていませんが「特定のサイトが原因」的なデマについては言及する必要すらないと思うので放置しています。
インターネット
78
斉藤ほづみ @S_Hodumi
一昨日からのいわゆるVVVウイルスの件、まだ情報が錯綜しているのと、私の作成した画像(注意喚起と称する誤情報への指摘)に対して「ウイルスの存在は事実」といった中途半端な指摘が来るので、改めて情報を纏めます。 長くなるのでTogetterに纏めます。個々のRTは控えていただければ。
斉藤ほづみ @S_Hodumi
まず「どう対応すればいいのか」について。 現状ではWindowsとIE・各ブラウザ、および各種プラグイン(Adobe Flash、Reader、Java)のアップデートをきちんと適用し、適切なウイルス対策ソフトを導入すれば大丈夫と思われます。
斉藤ほづみ @S_Hodumi
対策に関しては、主に ESETセキュリティブログ:blog.eset-smart-security.jp/2015/12/vvv.ht…とか、 HEIMDALのAlert(英語):heimdalsecurity.com/blog/security-… といった情報が主です。
斉藤ほづみ @S_Hodumi
詳細は後述しますが、「各種パッチを当てても対応できない」という情報が一人歩きしていますが、これは現状では99%デマであると考えます。 (そう推察するに至った経緯はあとで説明しますが、ここでは結論のみ先に述べます)
斉藤ほづみ @S_Hodumi
WindowsおよびIEはWindows Updateを行えば対応できますし、ChromeやFirefox等のブラウザはだいたい自動アップデートが機能してるかと思います。 (自動アップデートを切っているかたは有効にするか手動でアップデートしてください
斉藤ほづみ @S_Hodumi
FlashやJava等は、各ソフトのアップデートページで確認するか、自動アップデートを有効にしてください。 不安であれば、JVN(独立行政法人情報処理推進機構も関わってる脆弱性情報)にあるチェッカーを利用できます。 URLは jvndb.jvn.jp/apis/myjvn/vcc… です。
斉藤ほづみ @S_Hodumi
(チェッカーはあくまでバージョンのチェックのみで更新を自動でやってくれるわけではないので、その点はご留意ください)
斉藤ほづみ @S_Hodumi
また、【今回は】各種ソフトのバージョンを最新版に保つことで防げますが、将来的にそうであるという保障はありません。 ですのでUSBメモリや外付けHDD等の媒体に、重要なデータはバックアップすることをお勧めします。
斉藤ほづみ @S_Hodumi
なお、HDDの破損等に対しては兎も角、ランサムウェア対策という観点ではバックアップしたあと、メディアをいれっぱなし・接続したままにしておくと、万が一感染したときにバックアップも含めてやられるので、必ずPCから外しておいてください。
斉藤ほづみ @S_Hodumi
---ここまでが「現状、いわゆるVVVウイルスと呼ばれているものに感染しないため行うべき対策」です。---
斉藤ほづみ @S_Hodumi
ここから先はやや技術寄りの話になりますが、なぜ「未知の脆弱性による攻撃でないと判断したか」という点についてです。 理由は2つありますが、主な理由は「未知の脆弱性に対する攻撃であれば、被害があまりに限定的すぎる」ことです。
斉藤ほづみ @S_Hodumi
japan.zdnet.com/article/350697… こちらの情報を見るに、現状、Windowsのシェアは90%を超えています。 FlashやJavaも相応に普及している以上、Webを閲覧しているPCの半分以上はWindows+FlashやJavaの環境と考えて問題ないでしょう。
斉藤ほづみ @S_Hodumi
それだけのシェアに対して、「JavaやAdobe Flash・Reader等、複数のソフトウェアの未知の脆弱性をついた攻撃」が行われれば、感染被害は遙かに深刻になっていないとおかしいのです。 が、現状、報告事例は「あまり」上がっていません。
斉藤ほづみ @S_Hodumi
そも、今回話題になっているマルウェアと思われるCryptoWall4.0の報告事態は12月初頭に発生していました。前述のHEIMDALのblog等です。 ですが、それがさほど大きな話題になっていないのは、所詮は既知の脆弱性をついたものだから、という側面もあります。
斉藤ほづみ @S_Hodumi
それでも相応数の感染が確認され、海外では多少話題にはなりました。 ……ただ、そこまでなのです。 もし未知の脆弱性によるゼロデイ攻撃であれば、騒ぎは日本国内・国外を含めて、この程度で済んではおかしいのです。 今回の件に関して、その点をまず留意すべきです。
斉藤ほづみ @S_Hodumi
もちろんこれはある種の状況証拠でしかありません。 が、特にウイルスの検体が手に入らない・確認できない状況ではどうやっても状況証拠から判断するしかないことはありますので、それはご理解ください。 むしろ「感染源のサイトが生きてれば」いくらでも検証できるんですけどね、これ。
斉藤ほづみ @S_Hodumi
で、もう1点。今回のマルウェアに関しての誤情報は、ある程度発生元が絞られていると考えます。 twitter.com/rey1229/status… こちらです。 何が問題なのか、サマリーは私が以前に指摘画像を作りましたが。 twitter.com/S_Hodumi/statu…
斉藤ほづみ @S_Hodumi
件のツイートに関しては、元情報として twitter.com/rey1229/status… これらの情報が提示されているので、順番に検証していきます。 まず1つめのURL(読売新聞)に関しては、私が前述したようにソフトの更新等で対応できる旨が書かれています。
斉藤ほづみ @S_Hodumi
次に2つめのblogに関して。 こちらには、『最近は、Adobe 製品や Java のゼロディをついてくるマルウェアも出現しています。だから、最新にすれば対策になるかというと、残念ながら気休め程度にしかなり確実とはいえません。』 と書かれています。これは一般論としては事実です。
斉藤ほづみ @S_Hodumi
ですが、今回の問題に関しては、ゼロデイ攻撃が行われた可能性は低いと考えられます。 根拠は前述のように、ゼロデイ攻撃の可能性について、何らかの兆候があれば通常、すぐに注意を喚起するセキュリティ会社や研究家、あるいは公的機関が一切告知していないことです。
斉藤ほづみ @S_Hodumi
で、一般論と状況証拠のどちらを優先するかという点は置いておいて、問題は前述の一般論(「ゼロデイ攻撃は最新パッチでも対応できない」)を、今回の問題にすり替えて、注意喚起として「一般のウイルス対策の知識では対応できない」「ほぼ強制的に感染する」と断言してしまった点です。
斉藤ほづみ @S_Hodumi
それ以外の情報(たとえば「研究家が検索してミイラ取りがミイラになった」等)は兎も角、こういった中途半端な情報が危機感を煽ったり、最新のパッチでも対応できないといった流言飛語を産んだ原因ではないかと。 だって、ソフトウェアを最新の状態に保つのは「一般のウイルス対策の知識ですものね。
斉藤ほづみ @S_Hodumi
そもそも論で言ってしまうのなら。 何度もツイートしましたが「具体的な対策が伝わらない注意喚起は注意喚起ではない」です。 だって「危険ですよ!気をつけてくださいね!」とだけ言われて対策できる人なら既に対策していますよね? その点において、この注意喚起は注意喚起になっていないのです。
斉藤ほづみ @S_Hodumi
それはそれとしても、件のツイートに関して、改めて。 「一般的なウイルス対策の知識が役に立たない」は明確に間違いです。 「現時点で全く対策方法がなく」も間違いだった可能性が非常に高いです。 少なくともゼロデイ攻撃が観測されたという情報はありません。
斉藤ほづみ @S_Hodumi
ですので今回の件に関して言うなら、ゼロデイ攻撃が行われた可能性は低いですし、ゼロデイ攻撃があったとする発言は基本的にデマと考えて問題ないと思います。 (必ずしもデマは故意に生まれるものではないので、デマを流そうと悪意があったかどうかは全くの別問題である点にご留意ください)
残りを読む(5)

コメント

ムタマック @mutamac 2015年12月7日
CryptoWall4.0についてのまとめ:今回はネットの噂がどのように広がるのかというのが興味深かった
浅木みりあ@どう祭2019ありがとう @MiriA_Asagi 2015年12月7日
一昨日からの騒ぎを、わかりやすく要約しているまとめです…φ(..)メモメモ
undo(らぶほーほけきょ) @tolucky774 2015年12月7日
デマになった人のツイートは削除したのかな。根拠訊かれて逆ギレしてたりなんだかなあとはおもってたんだが。悪気があったとは思わんが、間違いだとわかった時点で削除しないと
Sの人 @siellc 2015年12月7日
デマやネタだけではないのだ
nekosencho @Neko_Sencho 2015年12月7日
正しいかどうかはわからんけど腑に落ちた
けぃ♪ @mkchi3939 2015年12月7日
tolucky774 このまとめに過剰反応して恥の上塗りを重ねてるあたり、悪気は無くても往生際は悪いし頭も悪そうな人って印象ですねw 自らの過ちを素直に認めることってすごく大事
初瀬 神楽 @Kagura_d34272 2015年12月7日
http://togetter.com/li/909801 恥の上塗りやねぇ。技術的とかやなく日本語の読み間違えまであるしのぉ。
undo(らぶほーほけきょ) @tolucky774 2015年12月7日
mkchi3939 まだ削除してなかったんですね。間違いは誰にでも有るからそこは仕方ないとは思うんですが、謝罪はなくてもいいから現状ではおかしい点は認めて削除したほうが楽だと思うんですけどね
undo(らぶほーほけきょ) @tolucky774 2015年12月7日
件の人、SEということですが、設計のミスがあっても「俺は間違ってない」で通すのかな。それは迷惑やねえ
張三李四 @tyousanrisi 2015年12月7日
各種アップデートは無駄にやってないってことが、目に見える事案だったみたいだね。うざいからと安易にアップデートを切ってしまってはいけないってことか。
深蒼 @Deep_Blue06 2015年12月7日
うん、なんで日本のついったーだけで騒いでんだ?て不思議に思ったんだよね。普通はヨーロッパあたりから大騒ぎじゃない。亜種疑ったけど、JVNには直近それぽい脆弱性見当たらないし。まあほんと穴だったんだろね(笑)
undo(らぶほーほけきょ) @tolucky774 2015年12月8日
あー、間違いを認めたら死んじゃうタイプの人みたい。情報をアップデートできない人って怖いわ
Ducky G. Duck @duckygduck 2015年12月8日
2015年05月29日 http://www.yomiuri.co.jp/it/security/goshinjyutsu/20150529-OYT8T50124.html トレンドマイクロでは「不正広告とゼロデイ脆弱性利用という2つ手口が組み合わせられたため、『信用のおけるサイトのみを閲覧する』や『最新の修正プログラムで更新されたアプリケーションのみを使用する』といった対処法の価値が大きく損なわれた」と分析している。
Ducky G. Duck @duckygduck 2015年12月8日
★日本がターゲットにされており、多くが日本語のサイトだ★ 2015年11月20日 http://www.yomiuri.co.jp/science/goshinjyutsu/20151120-OYT8T50088.html 不正広告が出ていた3500サイトの内訳は下のグラフのとおりだ。日本がターゲットにされており、多くが日本語のサイトだ。
Ducky G. Duck @duckygduck 2015年12月8日
2015年12月04日 http://www.yomiuri.co.jp/national/20151203-OYT1T50185.html 今年7月以降、不正プログラムが仕込まれたバナー広告が正規のサイトに表示されただけで、攻撃サイトとの通信が発生する手口が急増。こうした不正広告が、国内3700以上のブログサイトや企業サイトなどでランダムに表示されていたとみられる。
とけとけ@金欠 @toketoke7 2015年12月8日
被害のデカさだけが前に出てて具体的な事象報告ががほとんどない事案なんで違和感があったけどああなるほどいう感じ
狐謡 @Towa_towa_to 2015年12月8日
Kagura_d34272 @rey1229 さんは「もうこの件に関して言及しません」とか言ってるけど、勝手に注意喚起の拡散始めて状況を煽って、反対意見が出てくると論陣張るだけ張って放置ってのは、無責任も甚だしい態度だよなあ。少なくとも、@S_Hodumi さんに反論するのならば、@S_Hodumi さんの再反論も受け付けるのが筋だと思うけど。
うてん。 @uten00 2015年12月8日
うちも話題性に反比例して被害者は少ないのが違和感あった。広告を使った感染は昔ながらの手段で珍しくないから既存のアンチウィルスソフトや広告ブロッカで防げており、おかげで専門家も情報が集めにくかったかな? そういうことなら目新しいのはランサムウェアな部分だけであって「広告見たら感染!」ってパニックになる必要はなく、一般的なマルウェア対策で済むはずだ。
ぼんじゅ〜る・Fカップ @France_syoin 2015年12月8日
ツイッター界隈でよくある「大山鳴動して鼠一匹」ってやつやなw
@djusmurthaa 2015年12月8日
情報をアップデートする気がないんだったらあんな画像作らないほうがよかったよねえ…「著作権を放棄します」(この文言がそもそも謎だけど)と書いたせいでパクツイする少年少女ツイッタラーが大盛り上がりしたって印象がある
玄米 @genmaicha1000ml 2015年12月8日
まとめ主さんが既に指摘してはいるが、「対策はない」「webサイト見ただけで感染」「尋常じゃない」とか、ただただ不安と混乱を生むだけの情報を拡散してどーすんだと思って様子見してたら案の定。
玄米 @genmaicha1000ml 2015年12月8日
情報元の人にも悪意はなかったんだろうが、今はまとめ主さん含め色々つっこまれてムカつくムキーもういいよ俺知らないからって感じですな。トレンドマイクロからも発表が出てんのに、画像も消さず、ろくな訂正も行わず、ただただ無責任な人だという印象。
けぃ♪ @mkchi3939 2015年12月8日
tolucky774 ちゃっかりコメント削除してて笑っちゃいましたw http://togetter.com/li/909801 この人は自分のちっぽけなプライドを守りたいだけなんだなぁという事がよく分かりました。
Ducky G. Duck @duckygduck 2015年12月8日
トレンドマイクロ「2015年第1四半期セキュリティラウンドアップ」では、このマルバタイジングについて詳しく取り上げている。今年2月には、ゼロデイ脆弱(ぜいじゃく)性が不正広告に利用される手口がみつかっているとのこと。 2015年05月29日 http://www.yomiuri.co.jp/it/security/goshinjyutsu/20150529-OYT8T50124.html
Ducky G. Duck @duckygduck 2015年12月8日
ブログ・Wiki・レンタルWebなどのレンタル系サイトが63%、企業・ビジネス系が7%、ニュースメディア・情報ポータルが4%で、この中には月間100万ページビューを超える人気サイトもあった。 http://www.yomiuri.co.jp/science/goshinjyutsu/20151204-OYT8T50135.html  海外サイト20%, アダルトサイトはわずか 2%
Ducky G. Duck @duckygduck 2015年12月8日
「vvvウイルス(TeslaCrypt 2.0)だけに限っての注意喚起 = 危険をそのまま放置すること」です。いずれ、「多数派同調バイアス」、「正常性バイアス」に泣くことになる。
初瀬 神楽 @Kagura_d34272 2015年12月8日
mkchi3939 デマ拡散→反論される→一方的にクローズ宣言して勝った気になる→まとめでも指摘されてコメントデザイン とまあ、 #デマッター の平常運転やねぇ。
初瀬 神楽 @Kagura_d34272 2015年12月8日
とりま、もう1つの纏めで削除されたコメを証拠としてこっちに貼っとくん。 https://twitter.com/Kagura_d34272/status/673880710457909249
ちはや🌸🐱 @Chihalog 2015年12月9日
喚起をしててどちらも我が強く、どっちもどっちな気はするけどさらにマズい後手を打つと印象が悪くなるんだけどなあとか。どちらも相手を攻撃するよりお互いで情報交換をしたほうがいいのでは。
双馬 凜 @rin_souma 2015年12月9日
デマで注意喚起するのは最低の悪手だよ、だから間違っているものは間違っていると言わないといけない。 オオカミ少年の悲劇は起こしてはいけないのだ
Sea_Doberman @Sea_Doberman 2015年12月9日
まとめ主のドヤ顔のツッコミが無意味というか、今となっては黒歴史。明らかに、不正広告(malvertising)ウイルスに関する知識不足を露呈している。 https://pbs.twimg.com/media/CVgOLbFU8AAVpMn.png:large
barubaru @berururururu 2015年12月11日
まとめ主は、そろそろごめんなさいの準備しといた方がいいのか?
けぃ♪ @mkchi3939 2015年12月12日
偶然感染事例が判明して彼にとっては僥倖ですねw 本人は英語読めないようですからこの事例について以前から知っていたという事はないでしょうけど、これに気を良くしてますます自らの“正しさ”を確信してしまいそうですねw
Ducky G. Duck @duckygduck 2015年12月12日
vvvウイルスは日本を狙ったもの? - ESETが"バラマキ型攻撃"の注意喚起 | マイナビニュース http://news.mynavi.jp/articles/2015/12/11/vvv/ 「ESETは11日に「国内で増加中」として注意喚起」、「亜種も含めて、世界の中でも日本の検出が圧倒的に高い数値」、「日本では検出数が小規模であるとしたトレンドマイクロも、マルウェアスパムや脆弱性を突かれたサイト経由の感染を確認している」
狐謡 @Towa_towa_to 2015年12月12日
Sea_Doberman http://news.nicovideo.jp/watch/nw1940470?ver=video_q http://www.yomiuri.co.jp/science/goshinjyutsu/20151211-OYT8T50037.html どうも、これまでと同じような、メール添付やサイト改ざんなんかの手口で侵入するウイルスらしいよ。不正広告ウイルスというのは、結局はデマだったっぽいな。
最終日本黒幕XX7SP1フレンズVer1.0 @WorldKuromaku 2015年12月13日
道理できのうおとといのタイミングで自動更新かかるわけだ
barubaru @berururururu 2015年12月15日
Towa_towa_to http://blog.trendmicro.co.jp/archives/126323 「「CrypTesla」の感染経路として、マルウェアスパム経由と脆弱性攻撃サイト経由の2種の攻撃の存在を確認しています。」「国内の利用者に対するメール経由、Web経由(Web改ざん、不正広告)の攻撃が継続して発生していることは事実です」両方あるってことよ。
狐謡 @Towa_towa_to 2015年12月15日
berururururu 「バナー広告での感染は確認できない」トレンドマイクロなどが見解http://www.huffingtonpost.jp/2015/12/07/vvv-virus-actual-situation_n_8745404.htmlとあるんけど・・・その君が取り上げた「Web経由(不正広告)の攻撃」ってのが、注意喚起されてるような「広告を見ただけで感染する性質のものだ」と解る情報が知りたいんだけど、どこかにある?
Ducky G. Duck @duckygduck 2015年12月15日
新手のPCウイルス「vvv」 自動再生の広告見ただけで感染も http://www.tokyo-sports.co.jp/nonsec/social/483390/
Ducky G. Duck @duckygduck 2015年12月15日
「不正広告=デマ」という短絡的、硬直した受け止め方しかできないような人はIT機器を触るべきじゃないと思う。脆弱性との戦いという業界最大の問題を理解していない証拠だから。
初瀬 神楽 @Kagura_d34272 2015年12月16日
「不正広告がゼロデイを利用してるというのはデマ」と「不正広告がデマ」の区別もつかん、日本語が読めんアヒルが騒いどるねぇ。そも、12月5日に起きた事件と、その後の事件を一緒くたにしとる時点で時間の感覚もぶっ壊れとるんかの。
初瀬 神楽 @Kagura_d34272 2015年12月16日
[c2358813] 5月の記事をもって12月の事件を予想するとかすごいのぉ、エスパーか何か? 拡散された情報全体を否定してるように読める読める残念な頭みたいし、まあ仕方ないんやけど。
初瀬 神楽 @Kagura_d34272 2015年12月16日
纏め主さんは「現状ではWindowsと(中略)のアップデートをきちんと適用し、適切なウイルス対策ソフトを導入すれば大丈夫」と、あくまで纏め時期の現状について語ってるだけなんで、今年の5月の記事やら、纏めの数日後の事象についてまでは言及しとらんのよね。ましてや、親元の画像のどこが間違ってるか指摘した上で、正しいと思われる情報(VVVウイルスの存在も含めて)を流しとるのに、ウイルスの存在をデマ扱いしとると読むとか、もう日本語読解力が残念すぎるのぉ。
Ducky G. Duck @duckygduck 2015年12月17日
「2月、5月からの話をまったく知りませんでした」というだけの話を……
初瀬 神楽 @Kagura_d34272 2015年12月17日
「今回の」と銘打ってる話題で2月や5月のことを云々する理由、ないよねぇ。2月や5月がゼロデイだったから今回もゼロデイですって条件反射みたいに言う方が阿呆やし、むしろどっかのアヒルの人みたいに話を混同するバカが出てくるから「あくまで今回はどうなのか」という情報に徹しとるだけなんと違う?
ログインして広告を非表示にする
ログインして広告を非表示にする