Medion社製パソコンでのStoned.Angelina感染と、古参ウイルスについて

今週、出荷されたMedion社のパソコンにウイルスが感染していた問題が話題になっている。
製造工程にてどうやって潜り込んだのか興味は尽きませんね。


10年以上も前のウイルスが今更!と、驚いたものの。
だがじっくりと考えると、あながち有り得ない話でもないような気がしてきた。
Stonedだよ、Stoned。
今時は書籍の中だけに息づくこんな古いウイルスが復活したのも驚きですが、チェックを逃れ集団感染したのもまた驚きだ。

ドイツのコンピューターメーカー、Medion社がドイツおよびデンマークで販売したノートブックコンピューターがハードディスクのブートセクター(Master Boot Record)を書き換える特殊なウィルスに感染した状態で出荷されていたことが14日までに同社の発表により明らかとなった。
感染が明らかとなったのは「Stoned.Angelina」と呼ばれるウィルスで、最初に出現したのは1994年。2001年にも一度、感染が報告されていたが、その後は、感染事例は報告されてはいなかった。
今回、Stoned.Angelinaに感染していたことが明らかとなったPCは、1万〜10万台で、出荷前のプリインストールの際にウィルスに感染してしまったものと見られている。
このStoned.Angelinaの最大の特徴はハードディスクのブートセクターに感染するため、 Windowsが起動後には削除できなくなってしまう点にある。


次いでSunbelt Blogにては、ウイルス対策ソフトウェアによりこのマルウェアが検出でき・なおかつ修復できるのかをテストした記事が掲載された。
断りとして、Sunbelt Blogにては起動中のWindowsOSよりの修復作業であったのか、またはウイルス対策ソフトウェアによって作成した「救済ディスク」状のものによるのかについての言及はなかった。
Update on Stoned virus infection of German notebooks(2007年9月16日)によれば、以下の3製品のみが検出・駆除を行えたとの事。
G Data (AVK) Total Care 2008
BitDefender Internet Security 2008 (v10)
Kaspersky Internet Security 7.0


下記の製品は検出はできたものの駆除作業ができなかったとか。なお「BullGuard」はこのパソコンにプリインストールされているようだ。
BullGuard Internet Security 7.0 (updated information from BullGuard, here).
McAfee Internet Security 2007
Trend Micro PC-cillin Internet Security 2007
Avira AntiVir Personal Premium (v7)


以下の2製品は、駆除作業はできたもののOSが起動しなくなったとか。
Symantec Norton 360
Panda Internet Security 2008 (v12)


Microsoft OneCare 1.6ではディスク上でのブートセクタ感染ウイルスをスキャンできなかった。
だから対処も何もできなかったという。

シグニチャの増大化に対する予防策としての、検出対象よりの除外

ここまで書いて、以前どこかに同じ話を掲載したような気がうっすらとしてきましたが、このブログにて2度目ではないはずなのですいません。
ネタ元はPersonal Conservation、知人との私的な会話に基づくものであり、十分な確度は備わっていない話ではありますが。


はるか昔 - と言っても人間の時間軸ではなく、パソコンの成長に伴うもの - に存在したウイルスの中には、現代では活動ができない・または極めて困難なものがある。
例えば、MS-DOS時代のウイルスでは現代のパソコンでは感染活動なんて行えないものがあるだろう。


新たなOSが販売され続け世代が変わると、ウイルス対策ソフトメーカーはあまりにも古いOSへの対応なんてのは、そうそう簡単にいつまでもできるものではない。
今でもたまーに、アクセスログWindows98などのユーザーが含まれますが、Microsoftのサポートが完全に終了したようなOSに対応するとしたらばサードパーティ製品販売者は相応に手間と時間を必要とされるし。更新される見込みが無いシステムを保護し続けるのは無理がある。
サポートの対象外とするのは、仕方の無い事だ。


ウイルス対策ソフトウェアメーカーでは、「既に利用するのは困難なOSにしか感染しないようなマルウェアは、もう遭遇する機会は少ないし、遭遇したとしても感染したりはしないだろう」と考えるらしい。
シグニチャファイル(ウイルス定義ファイル)のサイズ増大や、凄まじい数のマルウェアに対して個別に情報を収集し対処する手間を考えると、どこかで「もうこのウイルスが出現するのは有り得ないし、あったとしても危害を及ぼす可能性は無いだろう」と、メーカーは判断し。
そして、シグニチャファイルより外すのだとか。

今回のStonedでの事例は、違うような気が

前置きが毎回長くてすいません。
いきなり自分が掲載した内容をひっくり返してしまうのも、問題ですよねぇ。。。。。。。。。。


1994年のウイルスだったとしても、現実にはしっかりと感染しているのだし。
重要な点として、幾つかのアンチウイルスソフトメーカー製品は、しっかりと検出できているではないか。


単純にこれは、社内で利用していた対策製品の瑕疵ではなくって。品質管理の面で何か致命的な問題があったと考えるべきなんだろうか。
もしくは、Medion社内部にて利用していた対策製品のマネージメントの失敗 - スキャン対象からブートセクタ等を除くなど - によるのかな。
どうもよくわからないや。