複数のウイルス対策ソフトウェアを、メール受信時に活用する
以前、某プロバから電話が来て、何だろうなぁとドキドキしてたら、新サービスのご紹介と話だった。
いつもなら「あぁ、結構です」と一言断りを入れて電話を切るのだが、相手の女性オペレーターの雰囲気とか話しぶりに好感を覚えまして。
印象をこの場で文章として説明するのは、難しいんだけど。「天真爛漫」?
気づくとかなり長い時間にわたって無駄話をしたけど、楽しかったよ。
このインターネットサービスプロバイダーでは、登録ユーザーに届いた電子メールのウイルスチェックを行うサービスを行っており、是非とも薦めたいとのことだった。
だけどもさ、そのウイルス対策ソリューションを提供している某社の製品をこちらは利用しておりまして。
同じ対策ベンダーの製品を用いてチェックしても活用できないので、断ったのだ。
断られてガッカリしたのか、先ほどまでの元気が消え失せ意気消沈したような感じで。
申し訳ないと言うか、説明しづらいんだけどさ。
「励ましてあげよう!」なんて、意味わからん熱い気持ちになったのだよ。
Lucaさん:いや、でも。このプロバはA社製品を利用するんだよね。うちはA社のをインストールして使っているから、あまり意味無いけどさ。
勧誘の人:はい。。。。。。。すいません
Lucaさん:A社以外のウイルス対策ソフトウェアをインストールしているユーザーがいたとしたらさ。
Lucaさん:複数のメーカーで二重にウイルススキャンを行うと、検出漏れの可能性も低くなるし、顧客もより安全になるよね?
勧誘の人:えっ?
Lucaさん:だからセールスポイントとして盛り込めば、営業成績にもつながるんじゃないかな
勧誘の人:はい!そうですね!
Lucaさん:例えばだけど、顧客がB社製品をインストールして使っているなら、A社製品でサーバー側で事前にスキャンするのは、
勧誘の人:うちのパソコンもB社のウイルス対策ソフトです!
Lucaさん:。。。。。。。。まぁ、いいんじゃないのかな。その調子で。
勧誘の人:はい、頑張ります!
と言う事で。
某社からの勧誘は、少しばかり話が長くなるかもしれないが、犯人は自分です。
泥棒が下見に来たみたい - 生活音CDっていいんじゃない?
うちは、あまーり人の出入りも無い場所に居住しておりまして。
いささか寂しい場所です。
降雪で、あたりがうっすらと雪に覆われている風景。
帰宅後にガラス戸を開け。
雪化粧の樹木の枝が、雪の重さでしなだれているのを目にし、風流を感じる意気も無いのにしみじみとし。
狭い庭を眺めつつセブンスターを一服と、、、、、あれ?
人が入り込むとは思えない場所なのに、足跡がある。
ガスの検針でも電気の検針でもないし(場所が違いすぎる)。
それは、不自然な歩き方で。雪があまり無い場所を選びつつ歩き、それぞれの部屋を観察するような感じ。
背筋がゾワゾワと寒くなったのだ。
考えすぎだって?
うーん、ちょい違う。
自分が学生の頃、居住しているアパートの敷地に外国人が何故かうろつく時期があり。
路地のどんづまりだから、通りがかっただけ、なんてはずもない。
案の定、他の部屋が空き巣にやられたとか。
中国人窃盗団の下見とばったりと出くわしたにも関わらず、自分以外の部屋が荒らされたのに、違和感。
当時、何故に自分の部屋に泥棒が入り込まなかったのだろうかと。
日常的に鍵をかけない、たまり場で誰でもWELLCOMな、うちの部屋。
今になって思い返せば、男の一人暮らしだからさ。
玄関を開けたらゴミ袋とかバラしたパーツとかが転がっていて、「こりゃゴメンナサイ」な状態だったからなのやもしれない。
自慢できない特技の一つですが、自分は昔から万引きとかを何故かバンバンと発見し、その辺を散策中に窃盗犯を発見し通報した経験も何故かある。
縁があるのか、これが何かの因縁なのか、わかりませんが。
特技を評価され、学生時代のバイト先から幹部候補生に是非ともとかリクルートされかかった、笑えない経緯がある。
閑話休題。
以前、彼女と出かけた先でですね、有線の番組表みたいなのを見たのですよ。
「アリバイ」というのが2つあって。
一つは雨の国道から電話をかけるような雑音、もう一つはパチンコ屋の店内の音。
そこで、思いついたのだ。
防犯目的でですね、生活雑音、つまり子供の声とか足音とか、テレビとか、ゲーム音楽と「あー、1機死んだ!」との絶叫。
こういうのを録音したCDがあればなぁ、と。
泥棒な人が下見した後に犯行に挑むとして、彼らは発見されるのを恐れるので、居住者が居る部屋に侵入するのは躊躇するだろう。
電気メーターのまわり具合とか、部屋の電気がついているかとか、そういうポイントはチェック項目らしい。
ならばですね。
部屋の電気をつけ「生活雑音CD」をかけておけば、かなりの防犯効果が期待できるんじゃないだろうかと。
どこかで販売すれば、即購入するんだけどね。
とりあえずは、外出時に居室の電灯をつけ。CDをかなり高い音量でリピート再生しておいた。
変な足跡はあったものの、侵入が容易な裏手にまわりこむようなものは無かった。
復調に際してのごあいさつ
ここ1年ほど、あまりにも体調が悪く。身心ともに不健康な状態でありまして。
最近やっと、以前のレベルでもないまでも復調いたしましたよ、大体。
はてなでは、ダラダラと下らない事柄を書いたり。
本ブログでは、多くの人より理解されづらいような投稿をして批判され。数か月経てからやっと理解されたりみたいな。
そんな感じな、自らの感性と義務感と突っ走る気持ちでですね。これまで誰も見向きもしないような視点で、突っ走ってきたんですけどね。
怪しい方々より逆恨みされたりしつつ。
これまで自分は「ある程度はセンセーショナルに書かなければ、人目を集めないのでは」とのスタンスでやってきたんですがね。
「これで多くの人が助かるんならば、いいんじゃないかなぁ」的な感覚で、やや扇情的スタンスで長らく活動を続けてきておりました。
とりあえず、いいじゃんと。
結局は、より耳目を集めるような構成を目指して、それが他者の助けとなるならばなぁと、期待してたんですがね。
(説明しづらいんだけど、多少意味不明な書き込みをするような方が乱入する程度がですね。耳目を集め、結果として人助けになるんじゃないかなぁと)
だけどさぁ、自身の書き様を見て品位の無さに、軌道修正すべきなんじゃないかなと、、、、寝る前によく考えこみました。
あー、それで。
近年の私を取り巻く多くの出来事があまりにも強烈過ぎまして、はい。
精神的におかしい上司に刃物振り回されたりとか。脅迫されて他人の横領の責任を押し付けられて、理事に訴えたりとか。
身心ともに、かなり疲弊いたしました。
あり得ないほど、疲れ切りまして。
一見するとつまらない散文に見えそうですが、かなりのリソースを注ぐようなブログ運営は、難しくなりまして。
中途半端な内容になるのは避けたく、しばらく休止しておりました。
多くの方々のやさしい気持ちに触れ、最近になってやっと復活したかなぁ、と。
表現が難しいんですが。自身が万全ではない状態で、発信者として活動を続けるのは難があると、自粛しておりました。
流し読みで10分のコンテンツであっても、記載するには1カ月またはそれ以上の取材やとりまとめや追試が必要だったりして。
全力を注ぎ事に当たるには、かなりの時間と精神力が必要で。
実生活では日常的な積み重ねとか、あっちこっちへの手伝い仕事での仕事ぶりとか懇切丁寧な態度とかが評価され。
どこまでイケるのかわかりませんが、それが自身に対する一人一人の評価、人間的な付き合いの上での評価、そして信頼につながっており。
ありがたさと共に、我が身の不甲斐なさを恥じ入るばかりなのです。
自爆するマルウェア
あまり確度が高くない情報ですいません。
autorun系の駆除作業にて、数回遭遇している不思議な出来事として。
あるUSBメモリを挿入して、しっかりとautorun.infとexeファイルが作成され、感染確認、と。
(面倒になったんで、自分はMacOS Xにてメディアチェックするようにしました。)
どうも納得がいかないケースが複数あり、検証もできず不完全ながら報告。
先週、Windows XP SP1の感染パソコンにautorun.inf - ウイルス対策とUSB接続機器の安全な利用法(Semplice, 2009年1月25日)の要領で、autorun.infを完全無効化したんですよ。
その後、ブータブルCDで起動してチェックしたものの。。。。。。想定されるマルウェア本体とレジストリの自動実行に関する部分が、無いのですよ。
一応、Windows XP SP2にて同様の感染例を2つ確認した。
おかしい、これは変だよ。
念のため、同じUSBメモリ(新規な機器と違い、感染を避けるための履歴が残ってる可能性がある)と、新規に接続した機器で試しましたが、新たな感染活動が行われないのだ。
負けてたまるかぁ的な熱意でかなり頑張って精査したものの、「多分この手の挙動を行うマルウェアがこれこれの形で存在するはず」との期待は、すっかり裏切られました。
。。。。。。。。。消滅?自己消去?
マルウェアの検出名のみで被害を想定するのは、間違っている
最近流行りのautorun系マルウェアは、やや食傷気味になりつつある。もうゲンナリ。
大元は東南アジアの大学発の単純なアイディアが、ここ数ヶ月の間に爆発的な感染数になるとは、想定してもみなかった。
せいぜい、外資企業・大学・どこかのシンポジウムをハブとした感染に留まるのではと思い込んでいた。
この場で提案する造語として、特定の機関・行事・イベントを介在とする大規模感染を、ハブ感染と呼称してみる。
大抵の場合、ある組織・部局に持ち込まれるのは極めて少数の感染ノードであり、そこから指数関数的に感染ノードが増えるからだ。結果として特定拠点から他の拠点への感染ルートが確立してしまい、点と点を結んだ先でそれぞれドバッと広まってしまう。
(超オフトピとして。先日の某勉強会にて、ある大規模感染の経路を偉い人から廊下で聞いてやや愕然としたのだが、実はほぼ同じ事例を身近にてチラ聞きしていたんで悩ましい)
世間様では、感染経路を元に「USBで広まる系だ」とか「autorun系だ」とか、あるタイプであるとまとめて呼称しがちである。
(実感として昨年までのものは大体は近似したものばかりでしたが)
実態としては感染の経路は近似していたとしてもその症例は様々であり、「製造元?」も全く異なるため、同一視するのはやや早計なんだけどね。
ここで簡単に断言しておくよ。
感染経路やその挙動が類似していたとしても、それは過去のマルウェアと同一の起源であるとは限らないし、被害の内容や程度が同一レベルとは限らない
ある感染経路のアイディアを流用し、複数のマルウェア作者が関与し新たなものを作成しているのが現況なんじゃないかな。
パスワードを盗み取るようなスパイウェアの事例でよく見かける、ある種の誤解と感覚的にかなり近い。
自分が知る限り、この世の中で最もアレな某所の解答例を一つ提示しておく。
>「某ゲームのパスワードを盗むマルウェアなので、そのゲームを利用していなければ何の問題も無い」
virustotalに投げたり・ウイルス対策ソフトウェアのスキャンを経た分類の結果が、必ずしも同一検出名として扱われるファイルの限定的な効果や行動のみを提示していると言い切れないのは、誰でもわかるよね
検出名が同一だとしても、それはあるタイプのマルウェアを包括するものであった場合、ウイルス対策ソフトメーカーの解説が詳細な部分まで同一とは限らないのだよ。
ましてや、ダウンローダータイプ、つまり新たなマルウェアを勝手にダウンロードするようなマルウェア・・・ボットみたいなものだ・・・ならば、と。
解説は不要だよね。
soundmix.exe - いや、これってマルウェアですから
ライトプロテクトをかけたUSBメモリを接続した直後のパソコンに、soundmixなるソフトウェアが書き込めないぞぉと幾度もエラー表示を出す。
これはiPODや音楽関連のソフトウェアじゃないし。
実はUSBメモリ経由感染のマルウェアが作成するファイル。
手元にある検体autorun.exeをVirusTotalにアップ。VirusTotalでの検索結果から、ThreatExpert's awareness of the file "soundmix.exe"を開いてみる。
The file "soundmix.exe" is known to be created under the following filenames:
%System%\dllcache\zipexr.dll
%System%\soundmix.exe
ファイルの名称次第で、感染中なのにも関わらずマルウェア感染以外の単純なエラーであると、エンドユーザーは思い込んでしまう。
(既存ファイルに上書き・追記するような「ウイルス」ではなく、単体で作成されるファイルによる危害ある行動の例である)
あっけなくWindows OSや既存のアプリケーションのエラーであるよう誤解されてしまいがちなのは、よくわかるよ。
MSのサービスやプロセスと類似した名称のファイルなどを作成するマルウェアなどは、HijackThisでの診断を逃れてしまいがちだ。
大体、ファイルの名称のみで善悪を定める作業はさほどの意味を成さず、MD5シグニチャや電子署名などを確かめない限りはそれが正規のファイルであるかを証明できない。
擬態・偽装するマルウェア - ファイル名・エントリ名とHijackThisによる修復の難(Lucablog, 2006年5月14日)を読み返し、チラッと脳裏を横切る事として。
メーカー製パソコンには、独自のアプリケーションが幾つも幾つも導入されている。それらはメーカー製パソコンが備える独自のディレクトリに存在する。
FMVとか、そんなものだ。
マルウェアのファイルのパスを、(例として)FMV以下にしてしまえば、多くの回答者がさぞや困るんだろうなぁと夢想する。
またはメーカー製パソコン、VAIOやDinabookやFMVに感染したらば、ファイルやプロセスの名称・フォルダの名称にこれらの文字列を入れるだけで、あっけなくHijackThisによる診断者の目を欺けるような。
ただ、自分の知見が至らないためもあってか、未だそのような特定メーカー狙い撃ちタイプのマルウェアは発見できていない(上書き・追記型ウイルスを除けばだが)。
話の締めくくりとして。
ファイルの名称のみで「安全・危険」との判断を下すのは、あまりにも早計だと言いたいんだ。
