今回の件に関して知っておいて欲しいこと
ウイルス検知ではないということ
今回の件についてですが、正確にはウイルス検知ではありません。
まず最初にネットランナーの記事の訂正をすれば
ノートン先生とありますが
ノートンのNorton Anti VirusとNOD32は別物です。
NOD32は
ESET社が作り、
キヤノンシステムソリューションズが代理店販売しているソフトウェアです。
ウイルス検知とウイルス予測
今回、発動したのは、ウイルス予測であり、ウイルス検知ではありません。
ウイルス検知というのは、ウイルスと認定されたプログラムの中から、特徴的な部分を抜き出して、
それを判別する物です。
重要なのはこの特徴的な部分というのは、必ずしもウイルス的な行動をする部分という意味ではありません。
ウイルス的な行動をする部分というのは、
セキュリティーホールを突くという行動部分と、OSが提供している機能を組み合わせた結果ウイルスとなる。という
2つの物があります。
後者の場合、ウイルス的な行動をする部分を使って判定してしまうと、他の安全なソフトまで誤判定してしまうことになるので、
もっと別な部分を使うことになります。
ふつうのウイルスソフトでも希に誤判定しますが、それはこういった他のソフトも同じ行動をする場合があるという事です。
さて、今回発動したウイルス予測ですが、プロダクトの説明にも書いてありますが、ウイルスがよく行う行動をするコードを判定する機能です。
こう書くと、ウイルス検知と同じに見えますが・・・ウイルス検知が人の力により、ウイルスを、セキュリティーホールを付くタイプと、そうでない物をあらかじめ分類し、そうでない物は、ウイルス的なコードではない部分も使って判別するのに対し、この
ウイルス予測は、後者の、OSの特定の機能の組み合わせを使っただけで、
ウイルスと予測されてしまうので誤検出の可能性が、ウイルス検知よりも高いという事です。
中川翔子以外の何かwithウイルス
仮に、中川翔子以外の何かwithウイルスだったとして、いったいどのような
ウイルスだと言うのでしょうか?
トロイの木馬(バックドア系)であるか? No?
バックドアをしかけ、外部からそのマシンに進入できるタイプでしょうか?
これについてはバックドアを調べれば容易に存在の有無がわかります。
結果としては、内部用のポートは開いている物の外部に向けた進入ようのドアはありませんでした。
*もっとも通常この手のタイプは、48時間以上監視しないと、白とは言い切れないので、黒の可能性も残されています。
トロイの木馬(キーロガー系)であるか? No?
キーをロギングして、口座番号やパスワードを外部に投げるタイプでしょうか?
これについては、調査が不十分なので、YesともNoともいえませんが
外部になにがしかのデータを流出させていないか、外部との通信を数分間監視した範囲では
不振な通信はりませんでした。
上記により、外部から入りデータを得ることは不可能なので、外にデーターを送らないキーロガー
というのは考えにくいので、限りなく白に近いグレーだと思います。
*もっとも通常この手のタイプは、48時間以上監視しないと、白とは言い切れないので、黒の可能性も残されています。
*もっとも、暗号化されたり、巧妙にデータを送られていたらわかりませんがorz あくまでもぱっと見であることはご了承下さい
Windows破壊系であるか? No?
Windowsを破壊する目的の物でしょうか?
隔離されたPCで検査しましたが、特にWindowsが破壊された形跡はありませんでした。
*もっとも、もっとよく調べないと、白とは言い切れませんが 簡易診断では白に近いです。
感染が目的のタイプか? No?
感染だけが目的のタイプでしょうか?
簡易的な調査なので、何ともいえませんが・・・
隔離されたPCで他のファイルに感染した形跡(実行後,他のファイルでウイルスが検出されるか確認したところ、確認できなかった)
*もっとも、もっとよく調べないと、白とは言い切れませんが 簡易診断では白に近いです。
ではどんなウイルスなんだ?
簡易(手動)検出で見つけられないとなると
そうとう手の混んだ、ウイルスなのでしょうか?rootkitとか?
ただ、それにしても、どのような被害をもたらすウイルスなのか想像がつきません。
情報が伝達するにつれ誤検出かもしれないという情報が抜け落ちている
各ニュースサイトさんが、情報を伝達するにつれ
オリジナルでは伝えられていた、ウイルス検出ではなく、ウイルス予測が働いたので
あくまでも、
パソコンが事前に与えられた情報から、予測しただけ=誤検出の可能性もある
という情報が落ちている用に見受けます。
ウイルスが混入という情報については
配布元にダメージを与えかねない、情報ですので
情報を消費者に伝えて、消費者を守るという行為と
その中でも消費者が判断を間違わないように、疑いなのか確定なのかはきちんと伝える
事が重要かと思います。
解析中に思ったこと
どうやら、このプログラム、自動アップデート機能やパーソナライズ機能があるのですが
このプログラム達が本来やらない事をしているいので、
誤検出だとしたら、それが引っかかったかなと
自動アップデート機能ではプログラムをDLするのですが、その際に
親プロセス(アップデート用?)が子プロセス(本体?)を呼び出し親が先に死ぬ
という行動をします。
これはウイルスがよくやる行動(被害先に自分のプログラムを追加し、自分を先に起動させて常駐してから、被害先のプログラムを正常に起動させる)なのでこれが疑われたか?と思います。
パーソナライズ機能では、上記アップデート用と思われるファイルを、Windowsが標準で提供しているデーター用の隠しフォルダ内に保存します。そのため、隠しフォルダからプログラムが起動することになり、マナーは良くないといえます。
一般的にアップデートプログラムは、インストールフォルダ内に置くべきで、隠しフォルダにおいたらダメでしょう。
仮に、今回の件が誤検出だったとしたら、上記のように、ふつうはやらないマナーみたいなものに反したために誤検出したといえます。しかし、これらはあくまでもマナーであり、やってはいけない事ではないので、ウイルスではありません。
疑いは疑いなので
白とも黒とも言う気はございません。
あくまでも、素人がさらーっと見たところでは、疑わしいところはなかったけど
本職が調べればあるのかもしれないという事ではあります。
しかし、
疑いは疑いとして、かつ、予測なので外しやすいですよ。という事はきちんと伝えていただきたいところ。
このままでは、
最悪、ウイルスではなかったけど、誤報というチェーンメール(Blog)ウイルスになってしまいます。orz
*とはいえ黒の可能性もあるので、事態が決着するまでは、インストールは控えた方がベターというのも真実です。
*ここからさきは本職の領域なのでこれ以上の解析はしていません。
★
「確率は低いが被害は甚大」--脅威を増す標的型攻撃 - CNET Japan
Amazonで適当に検索してみた。だけ。 |
欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法
[ Amazon] |
あなたもこうしてダマされる―だましの手口とだまされる心理
[Amazon] |
初めてのハーブ作り―定番50種―上手に育てて暮らしに生かす
[Amazon] |
|
