セキュリティ初心者質問スレッド Part142
■ このスレッドは過去ログ倉庫に格納されています
初心者の方の為のインターネットとパソコンのセキュリティについてのスレッドです 自習を出来るリンクも紹介していますので自衛のご参考にして下さい ━ *質問マナー ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ・ アドバイスをもらう為に、「質問用テンプレート」を使って質問しましょう ・ 2回目以降の発言書込は、名前欄に「最初に質問した番号」を半角英数字で入力して下さい ・ アドバイスする方は、解りやすい説明をしてあげて下さい ・ 他から誘導されて来た場合は、その旨書いておきましょう ・ ここは2ちゃんねるですので、正しい解答ばかりとは限りません (用心しましょう) ・ ここにサイトURLを示す場合、先頭のhを抜いてリンクして下さい ━ 質問用テンプレート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 【使用OS】 『』 例、Windows 7 Home Premium 64-bit 、XP Home SP3 【PCスペック】 『CPUの種類: GHz 、メモリ: MB』 (「システムのプロパティ」で確認) 【使用ブラウザ】 『』 例、Internet Explorer 8 【セキュリティソフトと年式】 『』 例、○○○○ 2011 【その他スパイウェア対策ソフト】 『』 【具体的な症状】 『』 【過程と措置】 『』 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ Windows オペレーティング システムが32 ビット版か 64 ビット版かを確認する方法 (XP proやVistaやWindows 7の方) ttp://support.microsoft.com/kb/827218/ja *画像アップロードサイト ttp://uploadgeek.com/ (アップロード後 → サムネイル表示をクリックしてオリジナルサイズ画像のプロパティURLを) *長い文面の中継サイト ttp://www.text-upload.com/upload.php 前スレ セキュリティ初心者質問スレッド Part141 https://medaka.5ch.net/test/read.cgi/sec/1573901260/ VPN->torの場合はISPからtor接続が分からなくなるだけであまり効果はない tor->VPNは経路が不明になってるがVPNを押さえられたら全部ログが残ってるのでtorだけよりも匿名性が下がる VPNを使うのはtorを弾いてるサイトへ接続する時くらいだろうな aviraのVPNアプリを起動してtorbrowserを使った場合、VPN->torになるんでしょうか? VPN->torとtor->VPNってどうやって判断するんですか? >>102 tor接続を監視してる国もあるけどブリッジモードがあるから入口にVPNを使う意味はないよ >>104 VPNかtorのどちらか片方だけつけて外部サイトでIP確認すれば良い 次につけてない方を起動してIPを確認して変わってれば良い 最後に最初つけた方を停止してウェブに繋がらなくなったら手順はあってる 繋がったままだと最初の方を経由してないから漏れる >>105 教えていただきどうもありがとうございました Windows7の偽造品(海賊版?)のインストールDVDってマルウェア仕込まれているんでしょうか? 数年前に、Amazon.co.jpが販売・発送します表示の正規品価格でパッケージ版Ultimateを購入したのですが、 混合在庫(FBA)というシステムでAmazon直の在庫とマーケットプレイス出品者の在庫がごちゃ混ぜになっていた可能性があると知って心配になりました OSやSDカードなど、偽造品の多いカテゴリは混合在庫やってないという情報も見ましたが、 購入当時すでに混合在庫対象外だったかどうかわからないので不安です いずれにせよWin7はもうサポート切れなので常時接続はせずに、 アクティベーションとWindowsUpdateだけしたらスタンドアロンゲーム用PCとしてオフラインで使うつもりですが、 このインストールDVDでOSインストールしたPCを一時的にとはいえネットにつないで良いのかという疑問をもっています (オフライン用PCとはいえマルウェア入ってたらファイル等への被害も出そうですし) もう正規品のWindows7は売ってないので、購入し直す事もできないので、困りました 仮に偽造品でも、DVDのデータ自体は正規品と同じ内容であるなら心配もないのですが… 3rdのアンチウィルスなんて無駄なもの入れてる人がいなくならないのは何でですか? >>107 仕込まれてはいないけど脆弱性が多すぎて 完全LAN隔離ならいいけど、IoTが1台同LANに要るだけでヤバイだろうね >>111 それってWin7機をネットワークに常時接続し続けた場合の話ですか? まさかアップデート中の間だけでもヤバいんですか? ちなみにインストールDVDはSP1です セキュリティを学ぶために大学院に行こうと思いますが、東京で働きながら通える大学院のおすすめを教えてください >>109 ハッカーからすればwindows標準のセキュリティはバイパスして当然だから >>114 ここで聞く人はまず駅前のパソコン教室でパソコンの使い方を習うべき 大学院とか専門学校はパソコンの使い方が前提知識だから教えてくれない >>112 インストール中がむしろ一番ヤバイ 脆弱性パッチを当てる前なんだし 時間がかかっても「そんなもんだろう」 再起動しても「そんなもんだろう」 とウイルス感染の症状なのにアップデートだと勘違いする オフラインインストール後にオフラインでインストール可能な アンチウイルス&防火壁を入れてからじゃないと オンラインアップデートはダメかな >>116 ごもっとも… 流石にPC初心者ではないけどセキュリティは素人なんです カスペルスキー→ロシアに情報筒抜け トレンドマイクロ→中国に情報筒抜け エフセキュア →ぱよク・極左に情報筒抜け どれが1番ヤバい会社? >>122 標準のセキュリティくらい回避しないとウイルス感染させられへんってことやろ サードのアンチウイルスソフトすら無効化するウイルスもあるけど 標準のセキュリティよりはマシやぞ 現状だと、万が一の脆弱性を突かれた希なスクリプトを実行されない限り、 UACが発動されるからセキュリティソフトなど気に止めなくても感染しません 気にも止めずに実行を許可しているような人では、何を利用していようが効力はありません 特に企業さん内のユーザーね よくあるパターンが、リアルタイムスキャンで発見していても既に実行されてしまっていて、 マルウェアがインストール済みってパターンですw >>123 MicrosoftはEPPだけじゃなくてEDR出してるんだが 3rdのEPP入れて悦に浸る馬鹿どもはそんなことも知らんのか >>124 別にUACは無敵ちゃうで? petya&mischaとかもあったし >>125 そう思っといたらええやん? 実際には回避されてるけど ウイルスバスター16のアップデートで不具合報告凄いようだね。CPU使いまくるとか Windows Defender AV + ATP が至高 それ以外のセキュリティソフトに一切の価値はない Defenderのみで大概海外のエロサイト徘徊してるけど無問題ですよ("⌒∇⌒") windows defenderはCPU使い続けるバグはよ直せ >>132 リアルタイム保護以外を無効にしていてもそうなるの? おま環症状じゃないのか 最悪OSをインストールし直しだな サードパーティのcookieはブラウザのものばかり気にしてたんですが、 メールソフトの設定項目のところにもあることに気づきました。 サイトから送られてきたcookieを保存するという欄です。 ここで保存されたcookieはメールソフトの再インストールをすれば 完全に消えるのでしょうか? >>134 その辺はユーザーデータだから再インストールじゃなくても消せる 仕事で急にセキュリティに関する部署に配属されたのだが、全くのノー知識。 一体どこから何を勉強したら良いのだ ネットワークの脆弱性? SSH? ルーター? スイッチ? VPN? プロトコル? 意味わからん言葉だらけで死にそうなんだが 基礎を知るなら仮想PCで良いからローカルサーバーを立てるのが一番早い 分からない用語はネットで検索汁 ipconfigを表示してローカルパソコンに割当てられているアドレスを確認してその意味を知る c md.exe /c "netstat -bfo 7 >%USERPROFILE%\Desktop\NETSTAT出力.txt" Webブラウジング中に上記のコマンドを実行して、ポートルーティングの意味を知る きっかけになるローカル アドレス としてパソコン側がアクセスする際のポートは、 セキュリティを考慮していてその都度ランダムなんだからさ 偉そうにセキュリティを語るやつらでもこれを知らないのが多いと思うよ これが最初の一歩です >>139 うぉー、、、 これは日本語なのか??? 取りあえずググりまくってます なんとなくだが、 パソコンがルーターにつながってて 関所みたいになってて 外の世界(WAN?)に出ていっている ということくらいしかまだわからん >>141 137です 名を名乗り忘れてた まさにぶん投げられてます 前任者が急に退職したらしい >>140 そいつ初心者だからスルーした方がええぞ 解決策じゃなく毎回netstat -bfoやればいいって回答しかしない >>137 IT企業に任せるかSE募集しろよ 後継者も居ないならセキュリティ企業の社員を派遣して貰って教育&管理して貰うしかない まあ、これ提案しても蹴る会社なら会社辞めた方が良い 俺なら問題起きても切り捨てられる奴据えるし 社員育てない会社はどうせ倒産するからな 今の日本の実情は、専門のセキュリティ企業に運用を依頼していても ブログに上がっているように有事には何の役にも立たないって事です ログ解析して問題が発覚するまでに半年とかかかっていますからねw 適当なセキュリティソフトが入っていればそこそこのセキュリティは保たれますから、 企業さんとしては後は変なものを実行しないように心掛けるだけですよ > 後は変なものを実行しないように心掛けるだけ その「変なもの」を見分けられず失敗するから 業者に管理を委託するんだろ そのセキュリティ業者はほぼ能なしでしょ 社会構造に紛れ込んで適当に利益を得ているだけ 吊しのOSを利用するしかないのだから、穴が存在する未完成なものを使うしかない この穴を個人的に解析したってほぼ後生に対して意味がなかったりします どんなに気を付けて生きていても運が悪ければ殺されます ただ、分かり切っている罠には嵌まらないように多少の知識を持つ必要はあります あらゆる意味で底辺にいるばかりに社会のDQNから欺されるバカにならなければいいだけです おまえらが持ち出してくる様々なアプリなど素人には何の役にも立ちません >>145 その適当なセキュリティソフト開発してるのは役に立たないセキュリティ企業だろ、バカかよ 馬鹿がひとりで恥をさらす分には笑い話だが 他人を巻き込むと笑えないわ バカだから考え事纏まらずに長文書いてまうんやろ 矛盾したこと書いてるのもその証拠やろ >>137 俺なら支援士の勉強、とくに午後問を解いてみることをすすめる 何やかや言ってもよくできてて、ノウハウがつまっている とある、ビジネスが求めるセキュアさを謳っているような、国内のネットワーク関連の商用ソフトなのだけれど (名前は伏せとく)、 偶然そのソフトが通信に使ってるパケットキャプチャを見たら、 暗号化されている(と説明されている)通信が、数バイト毎にめっちゃパターンが出続けていたのよね。 しかも、複数種類の別のデータを転送したとき、そのデータに跨って同じパターンが出ていた。 つまるところ、同じ鍵を使いまわして、ECBモードで暗号化しているんだろうなと。ありがちな実装なんかね?こういうの。 これについて、その商用ソフトの開発元に、「これはどういうことだ?こんなんで転送されたデータが安全だなんて言えるのか?」と問い詰めても、「独自のセキュリティで安全だが、その仕組みはセキュリティ上説明できない」などと言うばかりで、修整するつもりはなさそうだ。 隠蔽によるセキュリティ()が安全なわけないだろと。 どうも、特定の業界ではそこそこ使われているソフトっぽいんだけど、こういうのって、 IPA に脆弱性関連情報として通報すべきものなんですかね? 開発者が「問題ない」と言い張っている場合は、通報しても意味がない? 外務省「公開鍵を公開すると危険。公開しません。」 ということが以前あったことを思い出したよ >>160 そのパターンっていうのがどういうものか分からないけど、そのパターンデータを 使用してデータの暗号化が解除できたならば脆弱性かもしれないけど、パッと見で パターンがあるからって脆弱性っていわれてもIPAも販売メーカーもそうですかで 終わりだと思うよ >>161 ありは「じゃどうやってつかうんだそれ」って思ったよねぇ 画像のようなデータを転送したときに、 正に Wikipedia の「暗号化処理後の画像にはピクセルごとの色情報のパターンが残留している」の説明にあるような図は復元できた。 https://ja.wikipedia.org/wiki/%E6%9A%97%E5%8F%B7%E5%88%A9%E7%94%A8%E3%83%A2%E3%83%BC%E3%83%89#Electronic_Codebook_ (ECB) 正直、用途的にその時点でだいぶ困るのだけれど。 また、言うまでないが、画像次第ではどこがゼロ埋めされているかなどが、わりと容易に想像できるような状態だ。 一方で、データの完全な復号はできていない。 何故か、データの暗号化に使われる暗号アルゴリズムと、ブロック長・鍵長は公開されているので、既知の平文と既知の暗号文から、時間をかければ鍵もわかるとは思うんだが、それは容易性の差はあれど、その公開鍵の例と同じ話になるんのかな…? 詳しくないので、 その暗号化アルゴリズムに於いて、ブロックの平文と暗号化から鍵を推測するのが、どれ程困難なのかは知らないけど、普及してるものだしまぁ簡単ではないよなぁ… パターンから凡その内容が読み取れるというくらいじゃ、脆弱性とは言えないのか… そらもちろん使うの止めるのはやめますわよ。 他に使ってる企業多いっぽいので、被害防止や情報展開のために届出するべきなのか悩んでるだけなので… どうせ報告しても修正しないし 漏れても非常に高度な攻撃とかで誤魔化すだろうから放置だろ 取引先にだけ知らせればいい 取引先と言ってもパスワードを掛けた添付ファイルのメールを送った後で二通目にパスワードを送る上場企業も有るくらいだからな 某証券会社に、 既に公表されてる脆弱性について具体的にこのファイルが未更新だからと連絡したらありがとう1、2週間で更新すると返信あったけど、 数日後にそのやり取りがゴッソリ消されて、 実際に更新されたのは1年以上後の機能向上updateに併せてコッソリとだった、 てのはあるな 基本、具体的にその脆弱性でどう実害が及ぶか明示できるレベルでないと何もしないね多くの企業組織は >>171 あたりまえだろ セキュリティ担当者レベルで対応して、プログラムの修正をした結果不具合で膨大な損失を発生させたら どう責任を取るんだよ やらずにスルーした方が責任者としては安泰だよな 世の中の仕組みってもんがわかっちゃいないなw やるのならばしかるべき機関にその内容を告発するんだよ その際に誰にでもわかるような資料も提供してやらないとあなたをDQNとして扱うかも知れない メーカー製のノートンパソコンには 最初からいろいろアプリが入ってますが、 使わないものは削除しても大丈夫でしょうか? パソコンの動作に影響が出るようなものは そもそも容易に削除できないようになってますよね? >>174 デバイスドライバと紐付けされたソフトもあるから削除するとUSBとか無線が繋がらなくなることもあるよ まあ、公式サイトでデバイスドライバ配布してたりリカバリーメディアからインストール出来るだろうけど >>175 >>削除するとUSBとか無線が繋がらなくなることもある そういうリスクもあるんですか。知りませんでした。 ありがとうございました。 一年ほど前から画像のようにマカフィーが身に覚えのない接続をブロックし続けています。 接続の試行は数十秒〜数分おき、接続元は9割ローカルIPで残りは日本を含む複数の国からのものでした。 ルーターを何度か再起動しましたが症状は変わらず。 これは無視しても大丈夫なものなのでしょうか。 新しいPCを購入したもののネットワークに接続してよいのか悩んでいます。 画像 https://i.imgur.com/zrW44PZ.png >>177 マカフィーインターネットセキュリティの細かいことは分からないけどFireWall 一般の話で言うと、接続ブロックのログのようなのでインターネット側から 許可されていない接続要求が来ているということ 通常FireWallは自分からインターネットに接続する通信は許可するけど、 インターネット側からの接続はユーザが許可したもの(いわゆるポート開放) 以外接続されないようになっている このログは許可していないインターネット側からの接続要求が来たと言う、 まぁ読んでそのままの意味だね インターネット側は定常的にBOTだったり政府プロジェクトだったりでポート スキャン(インターネット側から接続可能なものを探す作業)が行われているので このログが出てくること自体は何の問題もない 1秒間に何十回も出ているようであればDDos攻撃なので問題だけど1分おき くらいなら気にしてもしょうがないし、セキュリティソフトは仕事してる感出す ために、あまり意味のないログでも警告出す傾向があるのでほっておくしかない IPアドレスにローカルIPのものが存在するのは、発信元をよくありがちなローカル ネットワークのアドレスにして行う攻撃があり、この攻撃のパケットが届いている インターネット側からローカルネットワークアドレスで接続/通信出来たという ログであれば大問題だけど、ブロックしたというログならばFireWallが正常に 問題のあるパケットを排除したということなので気にしなくてよい つうことで、インターネット側からの接続要求ブロックログは、統計を取る意味は あっても個々のログにはあまり意味はないので気にしないということで >>178 大きな問題は無さそうで安心しました。 詳しく教えていただきありがとうございました。 >>179 ブラウジング処理などをしていなくても[WWAHost.exe]などは勝手にウェブサーバーへとアクセスしています その他にもあなたがインストールしているアプリの何種類かは勝手にウェブサーバーへとアクセスしています これらの戻りパケット内に必要のないものが含まれているとファイアーウォールはブロックするでしょう また、ネットブラウジング中を含めてクッキーへのアクセスもあるので、これらの必要のないものもブロックするでしょう ルーター側でWAN側からの一方的なムダにアクセスして来るパケットを全て塞いでいたとしても、 これらのアクセスや私の場合には、NTT東のDNSサーバーからマシン内のUDPポートへとアクセスして来ています その他にもLAN内に存在するマシンやルーターのデフォルトゲートウェイからのパケットも飛んで来ますよ >>179 マカフィーならば、ファイアーウォールの「プログラムとインターネット接続」の項目に各プログラムが登録されていると思いますが、 これらは外部に対する接続をWindowsのサービスプロセスも含めて許可されているものですので、 何をするプロセスなのかを暇な時にでもひとつずつ確認してみるとセキュリティの知識が高まると思います 無線LANのファームウェアの更新も自動に設定した方がいいでしょうか? 更新履歴を見る限り、OSやブラウザみたいに頻繁に更新してないみたいなので 手動でもいいかなと個人的に思ったんですが‥。 >>182 本当は自己管理できるならばアップデートは手動でやる方が安全っちゃ安全 脆弱性を修正するためのアップデートで安定性が損なわれることもよくあるので (窓10とかみたいに)安定性が確認できていないパッチが自動で適用されると かえって危険な場合もあるので ただ、大抵は管理出来ていないし修正した脆弱性で苦情が来るのも面倒くさいので 自動アップデートで強制更新って言う、まぁ問題が起こらなければ企業も顧客も Win-Winっぽい状態にしておくのが無難なのかも 個々のアップデートで内容を確認して判断するとかする気がないのならば自動 更新に設定しておいてもよいのではないのかな ファームウェアはアップデートしてみなきゃトラブル持ちがどうかもわからないし しかも以前のものへとロールバックも出来なかったりする そんなのはどうでもいいよ NASのユーザーがWhiterのようなトロイを踏んだ場合、 NASまで被害が及びますか? また、NASのサブフォルダごとに権限設定して、 読み込みのみで書き込み不可にしておけば 仮に踏んだ場合、被害を免れますか? Windows Defenderの保護の履歴なんですが、古いものが大分溜まってきたのでクリアしたいのですが、 どの様な方法でクリアできるのでしょうか? ちなみに、C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistoryの DetectionHistoryを削除するという方法も試そうとしたんですが、そもそもDetectionHistoryというフォルダが存在しないのでこの方法はできませんでした。(隠しファイルを表示も試し済み) 他イベントビューアーでログも削除しましたが駄目でした。バージョンは1909⇒20H2へ変更済み。 20H2に更新することによってまっさらになるのかと思いましたが、これもダメでした。 >>187 今時のウイルス攻撃ってのは 単一 じゃないから 家庭内に入られたら、AV機器からIoT機器、当然NASも全部やられるんだよ 素人さんは 常に原因・結果は 1つ と思い込んじゃうけど 世に伝わってる攻撃方法は 全部実施される と思ったほうが良い だから、NASの設定をどうしたところで 被害を防ぐことなんかできない 今のウイルス攻撃は トロイという名の「遠隔指令所」を家庭内に橋頭保として 設置され、遠隔で 好きなタイミングで何百・何千という攻撃をされるんだよ >>188 C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory エクスプローラーからだと、C:\ProgramData\Microsoft\Windows Defender\Scans\ にユーザーとしてアクセス権がないようだから、 上位のフォルダから開いて行って順にアクセス権をsystem経由で取得して行くとあるよ 回復環境のコマンドプロンプトへと入って削除してしまう方法もあります cd /d C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory del *.* /a /q for /D %1 in (*) do rmdir /s /q "%1" これでこのフォルダ内が空っぽになります >>187 NASへとアクセスする際には必ずパスワードが必要な環境設定をしていれば守れます 不便だけどさw 要はシステムから直接アクセスできないものを書き換えることは出来ないんだよ >>190 ありがとうございます。 >エクスプローラーからだと、C:\ProgramData\Microsoft\Windows Defender\Scans\ にユーザーとしてアクセス権がないようだから、 上位のフォルダから開いて行って順にアクセス権をsystem経由で取得して行くとあるよ 隠しファイルを表示にして、PC⇒Windows(C:)⇒PogramDatay⇒・・・と順番に入っていきましたが、やはりDetectionHistoryというフォルダは見つかりませんでした。 手順間違っていますか? system経由でということですが、一応ユーザー=管理者ですべての権限を付与してあるとは思うんですが。 >>192 ああそうなの? C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service あとここにログファイルがいくつかあるでしょ これも削除する それと通常はあり得ませんが、DetectionHistoryがsystem属性になってしまっているかもしれません エクスプローラーの表示タブから「保護されたオペレーティングシステムファイルを表示しない」のチェックを外します また、cd /d C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory 管理者権限で起動したコマンドプロンプトでこれをやっても見つからなくてエラーになりますか? >>193 「保護されたオペレーティングシステムファイルを表示しない」のチェックを外してみましたが、 やはり、DetectionHistoryというフォルダは存在しないみたいです。 代わりにhistoryとunknownという二つのファイルがあったので、削除した見ましたが、保護の履歴はそのままでした。 コマンドプロンプトの方もダメみたいです。 家電量販店で複数のPCを確認してみたところやはりDetectionHistoryというフォルダは無かったのでうちだけの問題ではないようです。 おなじwin10でもバージョンによって保存場所が違うんでしょうかね。 どんどん蓄積していって困るのでクリアしたいんですが、打つ手なしですかね。。。 さきほどNHKにてテレワークなんかでのセキュリティの話題が出てたけど ウィルスなどに関するジャンルにおいて セキュリティソフトの対処は結局新しいものを見つけてからの後手の処置だから 危険性はセキュリティソフトがあってもそんなに変わらないという意見もあるけど でも攻撃を受けるこちら側にしてもいつもいつも真新しいものに攻撃されてるわけでもなく 最新のセキュリティに更新していれば時間差によって防げることが多いんではと思うけど どうなんでしょうかね もちろん運悪く最新のものに早々とやられることも >>195 アンチウイルスの終焉→バックアップソフトの見直しの時代だね 未だに、IT業界は「アンチウイルスで防御」という おとぎ話を最新の対策のように語ってるけど もうどこの企業もアンチウイルスソフトなんて見限ってる EDR:振舞い検知にSoC:常時監視とかアンチウイルスに追加オプションで金を要求するけど 感染したら、今度はどこから感染したかの追跡サービスで安くて数百万 追加で請求する その追跡の間は、暗号化されたまま仕事できない状況を維持しろとか言い始める 金をせびる事しか考えていないアンチウイルス屋は相手にしてないんだよ そんなBCP(事業継続)できない糞ソフトに金掛けるなら、Acronis/Veeamといった ・ランサム・ウイルス対策済みバックアップソフト に金払った方がはるかにマシ 個人でも、AcronisのTrueImage2010なら安いから考えてみ 全データは無理でも、OS・アプリのCドライブだけなら1TBのクラウドに収まるんじゃね? ウイルス、とくにランサム攻撃にとっての 脅威は「バックアップ」なんだよ 身代金を要求してもバックアップがあれば無駄 なので、最近のランサムは暗号化する前に「バックアップの有無の確認」を行う ここでRobocopyとか安物NASのバックアップとかだとスケジュールが殺されたり Robocopy自体が感染されバックアップを壊すように書き換えられたりする (有名な有料バックアップのArcServeもこれにやられてる) これからはバックアップが有ったうえでのセキュリティ対策が基本になる アンチウイルス屋はバックアップ技術が無いから、指をくわえてるしかないんだよね >>195 テレビの話はアンチウイルスくらいしか使ってない所の話だろ セキュリティ更新して最新にしてるなら検出されるようになるし 使ってるソフトもちゃんと更新してるなら脆弱性の修正も入るからな 仮に侵入されても仮想領域に隔離して被害防止するとか外部への通信を制限して情報流出を防ぐとか色々と方法はあるぞ >>197 無理だよ、ファイルレスマルウェアの登場で 名のあるノートン・トレンド・マカフィ・ESET・・・ といったアンチウイルスソフトでは防げない 当然Definderでも防げない、ファイルI/Oをトリガにして検査するのは全滅 そこで、数年前に登場したのが「振る舞い検知」AI検知と言ってる場合もあるw まるでこれさえあればファイルレルマルウェアもばっちりと思いきや「笑えるぐらい」使い物にならない この「振る舞い検知」というのは 2016年 の JPCERT がまとめた https://www.jpcert.or.jp/research/ir_research.html インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 https://www.jpcert.or.jp/research/20160628ac-ir_research.pdf (コッチが詳細) https://www.jpcert.or.jp/research/20171109ac-ir_research2.pdf みたいな資料をもとに、攻撃に利用される利用頻度の高いコマンド・スクリプト・イベントIDなどを 一定時間内に「何回使われたか・出現したか」という アホみたいなロジックで攻撃かどうかを判断する仕様 AIとか言ってるが各コマンド・イベントに重みを付けて計算するだけでAIでも何でもない FEPの文節変換のように、接尾語が一致するかどうか程度のAIというには非常にいい加減なもの (昔FEPがこの手の変換をAIと言い出したので、良いじゃんAIと名乗っても という業界の暗黙事項) これは少し考えれば猿でもわかる、そもそもOSは裏で正常なスクリプト・イベントが山のように実行されている それにまぎれるように何百・何千分の1の 攻撃コマンド・イベント群をAI解析するリソースがあるわけがないw オマケにMicrosoftはイベントを割愛するブラックボックス仕様を搭載しているので、100%すべてのイベントを 出力しない設計になっている(MSも認めているし、その割愛ロジックも黙秘してる) 結果、ファイルI/Oもダメ、振る舞い検知もダメ あれもダメ・これもダメ そして、アンチウイルス屋は白旗を上げずに 「見なかった事」 にして 何時かバレるので今のうちに金を集めよう という回収フェーズに入ってる 最新にしたって無駄だよ 一定以上の攻撃には無駄に近いのが今の現状 セキュリティ会社ほど「自分の会社が金稼げるのも今だけだな」と理解している >>198 ファイルレスが一般化してもシグネチャベース以外の方法で検知出来るようになるだけだぞ シグネチャベースでも未知の攻撃に弱いのは昔からだから別に変わらない ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる