X

セキュリティ初心者質問スレッド Part142

■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
垢版 |
2020/09/23(水) 19:01:01.29
初心者の方の為のインターネットとパソコンのセキュリティについてのスレッドです
自習を出来るリンクも紹介していますので自衛のご参考にして下さい

━ *質問マナー ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ・ アドバイスをもらう為に、「質問用テンプレート」を使って質問しましょう
 ・ 2回目以降の発言書込は、名前欄に「最初に質問した番号」を半角英数字で入力して下さい
 ・ アドバイスする方は、解りやすい説明をしてあげて下さい
 ・ 他から誘導されて来た場合は、その旨書いておきましょう
 ・ ここは2ちゃんねるですので、正しい解答ばかりとは限りません (用心しましょう)
 ・ ここにサイトURLを示す場合、先頭のhを抜いてリンクして下さい

━ 質問用テンプレート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【使用OS】      『』 例、Windows 7 Home Premium 64-bit 、XP Home SP3
【PCスペック】    『CPUの種類: GHz 、メモリ: MB』 (「システムのプロパティ」で確認)
【使用ブラウザ】  『』 例、Internet Explorer 8

【セキュリティソフトと年式】      『』 例、○○○○ 2011
【その他スパイウェア対策ソフト】  『』

【具体的な症状】  『』
【過程と措置】   『』

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Windows オペレーティング システムが32 ビット版か 64 ビット版かを確認する方法 (XP proやVistaやWindows 7の方)
ttp://support.microsoft.com/kb/827218/ja

*画像アップロードサイト ttp://uploadgeek.com/ 
 (アップロード後 → サムネイル表示をクリックしてオリジナルサイズ画像のプロパティURLを)
*長い文面の中継サイト ttp://www.text-upload.com/upload.php

前スレ セキュリティ初心者質問スレッド Part141
https://medaka.5ch.net/test/read.cgi/sec/1573901260/
0101名無しさん@お腹いっぱい。
垢版 |
2020/10/26(月) 19:13:45.34
VPN->torの場合はISPからtor接続が分からなくなるだけであまり効果はない
tor->VPNは経路が不明になってるがVPNを押さえられたら全部ログが残ってるのでtorだけよりも匿名性が下がる
VPNを使うのはtorを弾いてるサイトへ接続する時くらいだろうな
0103名無しさん@お腹いっぱい。
垢版 |
2020/10/26(月) 20:28:09.56
せやな
0104名無しさん@お腹いっぱい。
垢版 |
2020/10/26(月) 22:01:44.76
aviraのVPNアプリを起動してtorbrowserを使った場合、VPN->torになるんでしょうか?
VPN->torとtor->VPNってどうやって判断するんですか?
0105名無しさん@お腹いっぱい。
垢版 |
2020/10/27(火) 05:00:59.84
>>102
tor接続を監視してる国もあるけどブリッジモードがあるから入口にVPNを使う意味はないよ

>>104
VPNかtorのどちらか片方だけつけて外部サイトでIP確認すれば良い
次につけてない方を起動してIPを確認して変わってれば良い
最後に最初つけた方を停止してウェブに繋がらなくなったら手順はあってる
繋がったままだと最初の方を経由してないから漏れる
0106104
垢版 |
2020/10/27(火) 15:00:32.08
>>105
教えていただきどうもありがとうございました
0107名無しさん@お腹いっぱい。
垢版 |
2020/10/27(火) 16:52:16.34
Windows7の偽造品(海賊版?)のインストールDVDってマルウェア仕込まれているんでしょうか?

数年前に、Amazon.co.jpが販売・発送します表示の正規品価格でパッケージ版Ultimateを購入したのですが、
混合在庫(FBA)というシステムでAmazon直の在庫とマーケットプレイス出品者の在庫がごちゃ混ぜになっていた可能性があると知って心配になりました
OSやSDカードなど、偽造品の多いカテゴリは混合在庫やってないという情報も見ましたが、
購入当時すでに混合在庫対象外だったかどうかわからないので不安です

いずれにせよWin7はもうサポート切れなので常時接続はせずに、
アクティベーションとWindowsUpdateだけしたらスタンドアロンゲーム用PCとしてオフラインで使うつもりですが、
このインストールDVDでOSインストールしたPCを一時的にとはいえネットにつないで良いのかという疑問をもっています
(オフライン用PCとはいえマルウェア入ってたらファイル等への被害も出そうですし)
もう正規品のWindows7は売ってないので、購入し直す事もできないので、困りました

仮に偽造品でも、DVDのデータ自体は正規品と同じ内容であるなら心配もないのですが…
0108名無しさん@お腹いっぱい。
垢版 |
2020/10/27(火) 19:08:51.68
age
0112名無しさん@お腹いっぱい。
垢版 |
2020/10/27(火) 23:35:57.07
>>111
それってWin7機をネットワークに常時接続し続けた場合の話ですか?
まさかアップデート中の間だけでもヤバいんですか?
ちなみにインストールDVDはSP1です
0114名無しさん@お腹いっぱい。
垢版 |
2020/10/28(水) 02:07:50.66
セキュリティを学ぶために大学院に行こうと思いますが、東京で働きながら通える大学院のおすすめを教えてください
0116名無しさん@お腹いっぱい。
垢版 |
2020/10/28(水) 03:45:33.32
>>114
ここで聞く人はまず駅前のパソコン教室でパソコンの使い方を習うべき
大学院とか専門学校はパソコンの使い方が前提知識だから教えてくれない
0117名無しさん@お腹いっぱい。
垢版 |
2020/10/28(水) 08:05:33.13
>>112 インストール中がむしろ一番ヤバイ
脆弱性パッチを当てる前なんだし
時間がかかっても「そんなもんだろう」
再起動しても「そんなもんだろう」
とウイルス感染の症状なのにアップデートだと勘違いする

オフラインインストール後にオフラインでインストール可能な
アンチウイルス&防火壁を入れてからじゃないと
オンラインアップデートはダメかな
0119114
垢版 |
2020/10/28(水) 21:47:52.09
>>116
ごもっとも…
流石にPC初心者ではないけどセキュリティは素人なんです
0120名無しさん@お腹いっぱい。
垢版 |
2020/10/30(金) 09:11:51.81
カスペルスキー→ロシアに情報筒抜け
トレンドマイクロ→中国に情報筒抜け
エフセキュア →ぱよク・極左に情報筒抜け

どれが1番ヤバい会社?
0123名無しさん@お腹いっぱい。
垢版 |
2020/10/31(土) 20:01:39.69
>>122
標準のセキュリティくらい回避しないとウイルス感染させられへんってことやろ
サードのアンチウイルスソフトすら無効化するウイルスもあるけど
標準のセキュリティよりはマシやぞ
0124名無しさん@お腹いっぱい。
垢版 |
2020/10/31(土) 23:14:11.88
現状だと、万が一の脆弱性を突かれた希なスクリプトを実行されない限り、
UACが発動されるからセキュリティソフトなど気に止めなくても感染しません
気にも止めずに実行を許可しているような人では、何を利用していようが効力はありません
特に企業さん内のユーザーね
よくあるパターンが、リアルタイムスキャンで発見していても既に実行されてしまっていて、
マルウェアがインストール済みってパターンですw
0127名無しさん@お腹いっぱい。
垢版 |
2020/11/01(日) 22:27:21.29
Defender使うと危険
0134名無しさん@お腹いっぱい。
垢版 |
2020/11/03(火) 06:35:42.73
サードパーティのcookieはブラウザのものばかり気にしてたんですが、
メールソフトの設定項目のところにもあることに気づきました。
サイトから送られてきたcookieを保存するという欄です。
ここで保存されたcookieはメールソフトの再インストールをすれば
完全に消えるのでしょうか?
0137名無しさん@お腹いっぱい。
垢版 |
2020/11/03(火) 21:08:21.48
仕事で急にセキュリティに関する部署に配属されたのだが、全くのノー知識。
一体どこから何を勉強したら良いのだ

ネットワークの脆弱性?
SSH?
ルーター?
スイッチ?
VPN?
プロトコル?

意味わからん言葉だらけで死にそうなんだが
0138名無しさん@お腹いっぱい。
垢版 |
2020/11/03(火) 21:40:08.34
基礎を知るなら仮想PCで良いからローカルサーバーを立てるのが一番早い
分からない用語はネットで検索汁
0139名無しさん@お腹いっぱい。
垢版 |
2020/11/03(火) 22:13:29.77
ipconfigを表示してローカルパソコンに割当てられているアドレスを確認してその意味を知る
c md.exe /c "netstat -bfo 7 >%USERPROFILE%\Desktop\NETSTAT出力.txt"
Webブラウジング中に上記のコマンドを実行して、ポートルーティングの意味を知る
きっかけになるローカル アドレス としてパソコン側がアクセスする際のポートは、
セキュリティを考慮していてその都度ランダムなんだからさ
偉そうにセキュリティを語るやつらでもこれを知らないのが多いと思うよ
これが最初の一歩です
0140名無しさん@お腹いっぱい。
垢版 |
2020/11/03(火) 23:10:28.65
>>139
うぉー、、、
これは日本語なのか???

取りあえずググりまくってます

なんとなくだが、
パソコンがルーターにつながってて
関所みたいになってて
外の世界(WAN?)に出ていっている
ということくらいしかまだわからん
0142でんでんまる
垢版 |
2020/11/03(火) 23:46:03.15
>>141
137です
名を名乗り忘れてた

まさにぶん投げられてます
前任者が急に退職したらしい
0144名無しさん@お腹いっぱい。
垢版 |
2020/11/04(水) 00:48:11.70
>>137
IT企業に任せるかSE募集しろよ
後継者も居ないならセキュリティ企業の社員を派遣して貰って教育&管理して貰うしかない
まあ、これ提案しても蹴る会社なら会社辞めた方が良い
俺なら問題起きても切り捨てられる奴据えるし
社員育てない会社はどうせ倒産するからな
0145名無しさん@お腹いっぱい。
垢版 |
2020/11/04(水) 01:10:37.23
今の日本の実情は、専門のセキュリティ企業に運用を依頼していても
ブログに上がっているように有事には何の役にも立たないって事です
ログ解析して問題が発覚するまでに半年とかかかっていますからねw
適当なセキュリティソフトが入っていればそこそこのセキュリティは保たれますから、
企業さんとしては後は変なものを実行しないように心掛けるだけですよ
0146名無しさん@お腹いっぱい。
垢版 |
2020/11/04(水) 01:19:44.16
> 後は変なものを実行しないように心掛けるだけ

その「変なもの」を見分けられず失敗するから
業者に管理を委託するんだろ
0147名無しさん@お腹いっぱい。
垢版 |
2020/11/04(水) 01:35:43.08
そのセキュリティ業者はほぼ能なしでしょ
社会構造に紛れ込んで適当に利益を得ているだけ
吊しのOSを利用するしかないのだから、穴が存在する未完成なものを使うしかない
この穴を個人的に解析したってほぼ後生に対して意味がなかったりします
どんなに気を付けて生きていても運が悪ければ殺されます
ただ、分かり切っている罠には嵌まらないように多少の知識を持つ必要はあります
あらゆる意味で底辺にいるばかりに社会のDQNから欺されるバカにならなければいいだけです
おまえらが持ち出してくる様々なアプリなど素人には何の役にも立ちません
0154134
垢版 |
2020/11/04(水) 04:33:56.26
>>136
ありがとうございました。
0158名無しさん@お腹いっぱい。
垢版 |
2020/11/04(水) 23:32:32.29
ええ話や
0159名無しさん@お腹いっぱい。
垢版 |
2020/11/05(木) 21:32:03.53
>>137
俺なら支援士の勉強、とくに午後問を解いてみることをすすめる
何やかや言ってもよくできてて、ノウハウがつまっている
0160名無しさん@お腹いっぱい。
垢版 |
2020/11/06(金) 17:00:40.80
とある、ビジネスが求めるセキュアさを謳っているような、国内のネットワーク関連の商用ソフトなのだけれど (名前は伏せとく)、
偶然そのソフトが通信に使ってるパケットキャプチャを見たら、 暗号化されている(と説明されている)通信が、数バイト毎にめっちゃパターンが出続けていたのよね。
しかも、複数種類の別のデータを転送したとき、そのデータに跨って同じパターンが出ていた。
つまるところ、同じ鍵を使いまわして、ECBモードで暗号化しているんだろうなと。ありがちな実装なんかね?こういうの。

これについて、その商用ソフトの開発元に、「これはどういうことだ?こんなんで転送されたデータが安全だなんて言えるのか?」と問い詰めても、「独自のセキュリティで安全だが、その仕組みはセキュリティ上説明できない」などと言うばかりで、修整するつもりはなさそうだ。
隠蔽によるセキュリティ()が安全なわけないだろと。

どうも、特定の業界ではそこそこ使われているソフトっぽいんだけど、こういうのって、 IPA に脆弱性関連情報として通報すべきものなんですかね?
開発者が「問題ない」と言い張っている場合は、通報しても意味がない?
0163名無しさん@お腹いっぱい。
垢版 |
2020/11/06(金) 17:40:29.16
>>160
そのパターンっていうのがどういうものか分からないけど、そのパターンデータを
使用してデータの暗号化が解除できたならば脆弱性かもしれないけど、パッと見で
パターンがあるからって脆弱性っていわれてもIPAも販売メーカーもそうですかで
終わりだと思うよ

>>161
ありは「じゃどうやってつかうんだそれ」って思ったよねぇ
0164160
垢版 |
2020/11/06(金) 19:33:40.51
画像のようなデータを転送したときに、 正に Wikipedia の「暗号化処理後の画像にはピクセルごとの色情報のパターンが残留している」の説明にあるような図は復元できた。
https://ja.wikipedia.org/wiki/%E6%9A%97%E5%8F%B7%E5%88%A9%E7%94%A8%E3%83%A2%E3%83%BC%E3%83%89#Electronic_Codebook_(ECB)
正直、用途的にその時点でだいぶ困るのだけれど。

また、言うまでないが、画像次第ではどこがゼロ埋めされているかなどが、わりと容易に想像できるような状態だ。


一方で、データの完全な復号はできていない。
何故か、データの暗号化に使われる暗号アルゴリズムと、ブロック長・鍵長は公開されているので、既知の平文と既知の暗号文から、時間をかければ鍵もわかるとは思うんだが、それは容易性の差はあれど、その公開鍵の例と同じ話になるんのかな…?
詳しくないので、 その暗号化アルゴリズムに於いて、ブロックの平文と暗号化から鍵を推測するのが、どれ程困難なのかは知らないけど、普及してるものだしまぁ簡単ではないよなぁ…

パターンから凡その内容が読み取れるというくらいじゃ、脆弱性とは言えないのか…
0166160
垢版 |
2020/11/06(金) 21:40:20.76
そらもちろん使うの止めるのはやめますわよ。
他に使ってる企業多いっぽいので、被害防止や情報展開のために届出するべきなのか悩んでるだけなので…
0167名無しさん@お腹いっぱい。
垢版 |
2020/11/06(金) 22:18:45.91
どうせ報告しても修正しないし
漏れても非常に高度な攻撃とかで誤魔化すだろうから放置だろ
取引先にだけ知らせればいい
0168名無しさん@お腹いっぱい。
垢版 |
2020/11/06(金) 23:39:18.27
それもそうか…
Thx
0170名無しさん@お腹いっぱい。
垢版 |
2020/11/07(土) 06:44:25.52
取引先と言ってもパスワードを掛けた添付ファイルのメールを送った後で二通目にパスワードを送る上場企業も有るくらいだからな
0171名無しさん@お腹いっぱい。
垢版 |
2020/11/07(土) 10:13:07.11
某証券会社に、
既に公表されてる脆弱性について具体的にこのファイルが未更新だからと連絡したらありがとう1、2週間で更新すると返信あったけど、
数日後にそのやり取りがゴッソリ消されて、
実際に更新されたのは1年以上後の機能向上updateに併せてコッソリとだった、
てのはあるな

基本、具体的にその脆弱性でどう実害が及ぶか明示できるレベルでないと何もしないね多くの企業組織は
0172名無しさん@お腹いっぱい。
垢版 |
2020/11/07(土) 11:31:11.50
>>171
あたりまえだろ
セキュリティ担当者レベルで対応して、プログラムの修正をした結果不具合で膨大な損失を発生させたら
どう責任を取るんだよ
やらずにスルーした方が責任者としては安泰だよな
世の中の仕組みってもんがわかっちゃいないなw
やるのならばしかるべき機関にその内容を告発するんだよ
その際に誰にでもわかるような資料も提供してやらないとあなたをDQNとして扱うかも知れない
0174名無しさん@お腹いっぱい。
垢版 |
2020/11/07(土) 12:54:13.67
メーカー製のノートンパソコンには
最初からいろいろアプリが入ってますが、
使わないものは削除しても大丈夫でしょうか?
パソコンの動作に影響が出るようなものは
そもそも容易に削除できないようになってますよね?
0175名無しさん@お腹いっぱい。
垢版 |
2020/11/07(土) 14:04:23.37
>>174
デバイスドライバと紐付けされたソフトもあるから削除するとUSBとか無線が繋がらなくなることもあるよ
まあ、公式サイトでデバイスドライバ配布してたりリカバリーメディアからインストール出来るだろうけど
0176174
垢版 |
2020/11/07(土) 23:20:52.44
>>175
>>削除するとUSBとか無線が繋がらなくなることもある

そういうリスクもあるんですか。知りませんでした。
ありがとうございました。
0177名無しさん@お腹いっぱい。
垢版 |
2020/11/08(日) 13:21:35.75
一年ほど前から画像のようにマカフィーが身に覚えのない接続をブロックし続けています。
接続の試行は数十秒〜数分おき、接続元は9割ローカルIPで残りは日本を含む複数の国からのものでした。
ルーターを何度か再起動しましたが症状は変わらず。
これは無視しても大丈夫なものなのでしょうか。
新しいPCを購入したもののネットワークに接続してよいのか悩んでいます。

画像
https://i.imgur.com/zrW44PZ.png
0178名無しさん@お腹いっぱい。
垢版 |
2020/11/08(日) 15:51:34.83
>>177
マカフィーインターネットセキュリティの細かいことは分からないけどFireWall
一般の話で言うと、接続ブロックのログのようなのでインターネット側から
許可されていない接続要求が来ているということ

通常FireWallは自分からインターネットに接続する通信は許可するけど、
インターネット側からの接続はユーザが許可したもの(いわゆるポート開放)
以外接続されないようになっている
このログは許可していないインターネット側からの接続要求が来たと言う、
まぁ読んでそのままの意味だね

インターネット側は定常的にBOTだったり政府プロジェクトだったりでポート
スキャン(インターネット側から接続可能なものを探す作業)が行われているので
このログが出てくること自体は何の問題もない

1秒間に何十回も出ているようであればDDos攻撃なので問題だけど1分おき
くらいなら気にしてもしょうがないし、セキュリティソフトは仕事してる感出す
ために、あまり意味のないログでも警告出す傾向があるのでほっておくしかない

IPアドレスにローカルIPのものが存在するのは、発信元をよくありがちなローカル
ネットワークのアドレスにして行う攻撃があり、この攻撃のパケットが届いている
インターネット側からローカルネットワークアドレスで接続/通信出来たという
ログであれば大問題だけど、ブロックしたというログならばFireWallが正常に
問題のあるパケットを排除したということなので気にしなくてよい

つうことで、インターネット側からの接続要求ブロックログは、統計を取る意味は
あっても個々のログにはあまり意味はないので気にしないということで
0180名無しさん@お腹いっぱい。
垢版 |
2020/11/08(日) 22:44:54.77
>>179
ブラウジング処理などをしていなくても[WWAHost.exe]などは勝手にウェブサーバーへとアクセスしています
その他にもあなたがインストールしているアプリの何種類かは勝手にウェブサーバーへとアクセスしています
これらの戻りパケット内に必要のないものが含まれているとファイアーウォールはブロックするでしょう
また、ネットブラウジング中を含めてクッキーへのアクセスもあるので、これらの必要のないものもブロックするでしょう
ルーター側でWAN側からの一方的なムダにアクセスして来るパケットを全て塞いでいたとしても、
これらのアクセスや私の場合には、NTT東のDNSサーバーからマシン内のUDPポートへとアクセスして来ています
その他にもLAN内に存在するマシンやルーターのデフォルトゲートウェイからのパケットも飛んで来ますよ
0181名無しさん@お腹いっぱい。
垢版 |
2020/11/09(月) 02:05:04.34
>>179
マカフィーならば、ファイアーウォールの「プログラムとインターネット接続」の項目に各プログラムが登録されていると思いますが、
これらは外部に対する接続をWindowsのサービスプロセスも含めて許可されているものですので、
何をするプロセスなのかを暇な時にでもひとつずつ確認してみるとセキュリティの知識が高まると思います
0182名無しさん@お腹いっぱい。
垢版 |
2020/11/10(火) 00:34:43.69
無線LANのファームウェアの更新も自動に設定した方がいいでしょうか?
更新履歴を見る限り、OSやブラウザみたいに頻繁に更新してないみたいなので
手動でもいいかなと個人的に思ったんですが‥。
0183名無しさん@お腹いっぱい。
垢版 |
2020/11/10(火) 17:06:06.18
>>182
本当は自己管理できるならばアップデートは手動でやる方が安全っちゃ安全

脆弱性を修正するためのアップデートで安定性が損なわれることもよくあるので
(窓10とかみたいに)安定性が確認できていないパッチが自動で適用されると
かえって危険な場合もあるので

ただ、大抵は管理出来ていないし修正した脆弱性で苦情が来るのも面倒くさいので
自動アップデートで強制更新って言う、まぁ問題が起こらなければ企業も顧客も
Win-Winっぽい状態にしておくのが無難なのかも

個々のアップデートで内容を確認して判断するとかする気がないのならば自動
更新に設定しておいてもよいのではないのかな
0184名無しさん@お腹いっぱい。
垢版 |
2020/11/10(火) 22:42:35.83
ふむ
0185名無しさん@お腹いっぱい。
垢版 |
2020/11/10(火) 23:26:17.15
ファームウェアはアップデートしてみなきゃトラブル持ちがどうかもわからないし
しかも以前のものへとロールバックも出来なかったりする
そんなのはどうでもいいよ
0186182
垢版 |
2020/11/11(水) 01:27:54.10
>>183 >>185
ありがとうございました
0187名無しさん@お腹いっぱい。
垢版 |
2020/11/11(水) 18:31:10.71
NASのユーザーがWhiterのようなトロイを踏んだ場合、
NASまで被害が及びますか?
また、NASのサブフォルダごとに権限設定して、
読み込みのみで書き込み不可にしておけば
仮に踏んだ場合、被害を免れますか?
0188名無しさん@お腹いっぱい。
垢版 |
2020/11/12(木) 08:30:02.37
Windows Defenderの保護の履歴なんですが、古いものが大分溜まってきたのでクリアしたいのですが、
どの様な方法でクリアできるのでしょうか?
ちなみに、C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistoryの
DetectionHistoryを削除するという方法も試そうとしたんですが、そもそもDetectionHistoryというフォルダが存在しないのでこの方法はできませんでした。(隠しファイルを表示も試し済み)
他イベントビューアーでログも削除しましたが駄目でした。バージョンは1909⇒20H2へ変更済み。
20H2に更新することによってまっさらになるのかと思いましたが、これもダメでした。
0189名無しさん@お腹いっぱい。
垢版 |
2020/11/12(木) 08:49:18.25
>>187 今時のウイルス攻撃ってのは 単一 じゃないから
家庭内に入られたら、AV機器からIoT機器、当然NASも全部やられるんだよ

素人さんは 常に原因・結果は 1つ と思い込んじゃうけど

世に伝わってる攻撃方法は 全部実施される と思ったほうが良い

だから、NASの設定をどうしたところで 被害を防ぐことなんかできない

今のウイルス攻撃は トロイという名の「遠隔指令所」を家庭内に橋頭保として
設置され、遠隔で 好きなタイミングで何百・何千という攻撃をされるんだよ
0190名無しさん@お腹いっぱい。
垢版 |
2020/11/12(木) 09:47:39.94
>>188
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory

エクスプローラーからだと、C:\ProgramData\Microsoft\Windows Defender\Scans\ にユーザーとしてアクセス権がないようだから、
上位のフォルダから開いて行って順にアクセス権をsystem経由で取得して行くとあるよ
回復環境のコマンドプロンプトへと入って削除してしまう方法もあります
cd /d C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory
del *.* /a /q
for /D %1 in (*) do rmdir /s /q "%1"

これでこのフォルダ内が空っぽになります
0191名無しさん@お腹いっぱい。
垢版 |
2020/11/12(木) 09:54:00.89
>>187
NASへとアクセスする際には必ずパスワードが必要な環境設定をしていれば守れます
不便だけどさw
要はシステムから直接アクセスできないものを書き換えることは出来ないんだよ
0192名無しさん@お腹いっぱい。
垢版 |
2020/11/12(木) 10:09:40.17
>>190
ありがとうございます。
>エクスプローラーからだと、C:\ProgramData\Microsoft\Windows Defender\Scans\ にユーザーとしてアクセス権がないようだから、
上位のフォルダから開いて行って順にアクセス権をsystem経由で取得して行くとあるよ

隠しファイルを表示にして、PC⇒Windows(C:)⇒PogramDatay⇒・・・と順番に入っていきましたが、やはりDetectionHistoryというフォルダは見つかりませんでした。
手順間違っていますか?
system経由でということですが、一応ユーザー=管理者ですべての権限を付与してあるとは思うんですが。
0193名無しさん@お腹いっぱい。
垢版 |
2020/11/12(木) 10:33:34.39
>>192
ああそうなの?
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
あとここにログファイルがいくつかあるでしょ
これも削除する

それと通常はあり得ませんが、DetectionHistoryがsystem属性になってしまっているかもしれません
エクスプローラーの表示タブから「保護されたオペレーティングシステムファイルを表示しない」のチェックを外します
また、cd /d C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory
管理者権限で起動したコマンドプロンプトでこれをやっても見つからなくてエラーになりますか?
0194名無しさん@お腹いっぱい。
垢版 |
2020/11/13(金) 00:10:32.84
>>193
「保護されたオペレーティングシステムファイルを表示しない」のチェックを外してみましたが、
やはり、DetectionHistoryというフォルダは存在しないみたいです。
代わりにhistoryとunknownという二つのファイルがあったので、削除した見ましたが、保護の履歴はそのままでした。
コマンドプロンプトの方もダメみたいです。
家電量販店で複数のPCを確認してみたところやはりDetectionHistoryというフォルダは無かったのでうちだけの問題ではないようです。
おなじwin10でもバージョンによって保存場所が違うんでしょうかね。
どんどん蓄積していって困るのでクリアしたいんですが、打つ手なしですかね。。。
0195名無しさん@お腹いっぱい。
垢版 |
2020/11/13(金) 01:11:11.53
さきほどNHKにてテレワークなんかでのセキュリティの話題が出てたけど
ウィルスなどに関するジャンルにおいて
セキュリティソフトの対処は結局新しいものを見つけてからの後手の処置だから
危険性はセキュリティソフトがあってもそんなに変わらないという意見もあるけど
でも攻撃を受けるこちら側にしてもいつもいつも真新しいものに攻撃されてるわけでもなく
最新のセキュリティに更新していれば時間差によって防げることが多いんではと思うけど
どうなんでしょうかね
もちろん運悪く最新のものに早々とやられることも
0196名無しさん@お腹いっぱい。
垢版 |
2020/11/13(金) 10:28:41.30
>>195 アンチウイルスの終焉→バックアップソフトの見直しの時代だね

未だに、IT業界は「アンチウイルスで防御」という おとぎ話を最新の対策のように語ってるけど
もうどこの企業もアンチウイルスソフトなんて見限ってる

EDR:振舞い検知にSoC:常時監視とかアンチウイルスに追加オプションで金を要求するけど
感染したら、今度はどこから感染したかの追跡サービスで安くて数百万 追加で請求する
その追跡の間は、暗号化されたまま仕事できない状況を維持しろとか言い始める

金をせびる事しか考えていないアンチウイルス屋は相手にしてないんだよ

そんなBCP(事業継続)できない糞ソフトに金掛けるなら、Acronis/Veeamといった
・ランサム・ウイルス対策済みバックアップソフト
に金払った方がはるかにマシ

個人でも、AcronisのTrueImage2010なら安いから考えてみ
全データは無理でも、OS・アプリのCドライブだけなら1TBのクラウドに収まるんじゃね?

ウイルス、とくにランサム攻撃にとっての 脅威は「バックアップ」なんだよ
身代金を要求してもバックアップがあれば無駄
なので、最近のランサムは暗号化する前に「バックアップの有無の確認」を行う
ここでRobocopyとか安物NASのバックアップとかだとスケジュールが殺されたり
Robocopy自体が感染されバックアップを壊すように書き換えられたりする
(有名な有料バックアップのArcServeもこれにやられてる)

これからはバックアップが有ったうえでのセキュリティ対策が基本になる

アンチウイルス屋はバックアップ技術が無いから、指をくわえてるしかないんだよね
0197名無しさん@お腹いっぱい。
垢版 |
2020/11/13(金) 20:41:14.66
>>195
テレビの話はアンチウイルスくらいしか使ってない所の話だろ
セキュリティ更新して最新にしてるなら検出されるようになるし
使ってるソフトもちゃんと更新してるなら脆弱性の修正も入るからな
仮に侵入されても仮想領域に隔離して被害防止するとか外部への通信を制限して情報流出を防ぐとか色々と方法はあるぞ
0198名無しさん@お腹いっぱい。
垢版 |
2020/11/13(金) 21:26:17.26
>>197 無理だよ、ファイルレスマルウェアの登場で
名のあるノートン・トレンド・マカフィ・ESET・・・ といったアンチウイルスソフトでは防げない
当然Definderでも防げない、ファイルI/Oをトリガにして検査するのは全滅

そこで、数年前に登場したのが「振る舞い検知」AI検知と言ってる場合もあるw
まるでこれさえあればファイルレルマルウェアもばっちりと思いきや「笑えるぐらい」使い物にならない

この「振る舞い検知」というのは 2016年 の JPCERT がまとめた
https://www.jpcert.or.jp/research/ir_research.html
インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書
https://www.jpcert.or.jp/research/20160628ac-ir_research.pdf (コッチが詳細)
https://www.jpcert.or.jp/research/20171109ac-ir_research2.pdf
みたいな資料をもとに、攻撃に利用される利用頻度の高いコマンド・スクリプト・イベントIDなどを
一定時間内に「何回使われたか・出現したか」という アホみたいなロジックで攻撃かどうかを判断する仕様

AIとか言ってるが各コマンド・イベントに重みを付けて計算するだけでAIでも何でもない
FEPの文節変換のように、接尾語が一致するかどうか程度のAIというには非常にいい加減なもの
(昔FEPがこの手の変換をAIと言い出したので、良いじゃんAIと名乗っても という業界の暗黙事項)

これは少し考えれば猿でもわかる、そもそもOSは裏で正常なスクリプト・イベントが山のように実行されている
それにまぎれるように何百・何千分の1の 攻撃コマンド・イベント群をAI解析するリソースがあるわけがないw
オマケにMicrosoftはイベントを割愛するブラックボックス仕様を搭載しているので、100%すべてのイベントを
出力しない設計になっている(MSも認めているし、その割愛ロジックも黙秘してる)

結果、ファイルI/Oもダメ、振る舞い検知もダメ あれもダメ・これもダメ

そして、アンチウイルス屋は白旗を上げずに 「見なかった事」 にして 何時かバレるので今のうちに金を集めよう
という回収フェーズに入ってる

最新にしたって無駄だよ 一定以上の攻撃には無駄に近いのが今の現状
セキュリティ会社ほど「自分の会社が金稼げるのも今だけだな」と理解している
0200名無しさん@お腹いっぱい。
垢版 |
2020/11/14(土) 01:53:39.96
>>198
ファイルレスが一般化してもシグネチャベース以外の方法で検知出来るようになるだけだぞ
シグネチャベースでも未知の攻撃に弱いのは昔からだから別に変わらない
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況