2006年12月30日 - 「女性システム管理者の憂鬱」における責任感と倫理観の欠如
ITMediaにて高橋美樹記者が誰かの話を紹介する形で、女性システム管理者の憂鬱なるシリーズが連載されている。
連載中に出てくる女性システム管理者の言動は尋常なものではなく、あまりにもおかしいのだ。
毎回どこかの誰かを悪者扱いして自己満足しているが、じっくりと記事を読み続けると話がどこかおかしく、責任の所在はむしろ非難している当人側だったりする。
人格面に問題があるのではなかろうかと考えたのだが、まさかここまで酷い人が居るとは思いづらい。
恐らくは記事に仕立てる段階でITMediaの担当者が面白おかしく脚色したつもりが、メチャクチャな内容になっているだけなのだろうか。
いや、連載そのものが完全なネタかフィクションなのではなかろうか。
当初「違法コピーかライセンス違反なのか?」なるサブタイトルを付けていたのは、「正規版購入者のサポートしか受け付けない」との記載に反応したためですが。
その他の可能性を考慮しておりませんでした。
今後は細心の注意を払います、申し訳ありませんでした。
何故にこの女性管理者は、メーカーサポートより正規版購入者のサポートしか受け付けないと注意されたのだろうか?
「バックアップソフトが同梱されたDLT装置」のバックアップソフトは、体験版やバンドル版であるためサポートを断られたんだろうか。
(元記事にはそれらの経緯が記載されておりませんが)
最近は中学生のイジメが原因の自殺や不登校が頻繁にメディアを賑わしている。子供に限らず職場でのいじめや嫌がらせ行為でうつ病になったり退職に追い込まれた、大人であるサラリーマンの話などをテレビや新聞で目にした経験は無いだろうか?
連載中では頻繁にイジメ行為の話題が掲載されている。
ちょっとかわいい、でも困ったプライドの高いM君(2006年07月20日)は、M君なる方が職場の人間とうまくコミュニケーションができなかったばっかりに、記事として晒されてしまったケースだ。
M君は下らない理由で貶められ笑いもの扱いされているよね、記事中では。
おまけですが4/4の最後と挿絵は自分の目にはイジメ行為としか見えないのだが、考えすぎでしょうか
同僚の連絡ミスや手順書の手配などが不十分だったため、新人がやらかしてしまった話である。
「言っていることはむちゃくちゃだ。」と断りを入れておきながら、一緒になって新人を非難攻撃しているんだから、これもイジメ行為だよね。
新人君とはこんなにも罪作りなものさ(2006年07月25日)
連他人事ながらここまで気色悪いドロドロした記事を見た記憶が無い。
この記事に対する非難を見つけたので、紹介する。自分も全く同じ気持ちだ。
戦う管理者が見せる“ふとしたしぐさ”(2006年09月06日)は、Mumuワームが社内ネットワークに蔓延した際にこの「女性管理者」が大活躍したとの自慢目的に終始している。
本社のシステム運用部門へ移動異動後にウイルス対策ソフト配信システム運用を任されこんなに活躍しましたぁ!と。
だけどね。
大体自分が所属する部署が引き起こした問題なんだから、そこで自慢話・手柄話に結びつける根性がまずおかしい。
次に、2003年6月までにはパスワードクラック系ワームは幾つか存在していたのだから、ウイルス対策担当者としては当然部署内に事前に通知し、予防策を張っておく必要があったはずだ。
「Administratorアカウントは無効にする・もしくは冗長なパスワードを設定しておくのが普通なのだ」との観点より、運用部署のずさんな管理体制を非難しているんだろうけど。
Lucaさんの目から見たらば、ウイルス対策ソフト運用担当者としての女性管理者が、日頃より情報収集を怠らずアナウンスをしていたならば当然回避できたはずだ。だから他メンバーによる失敗と一方的に責任を押し付けて晒して万歳ではなく、女性管理者自身にもかなりの責任がある。
なお番外編:「それは神様のおかげです?」(2006年12月14日) にて、女性管理者は2001年9月頃もしくは本社移動異動前の段階で、アクセス権の管理や設定について対策を促していた。
「ネットワーク共有のフルアクセスをつぶしたことが」と出先の拠点時代について語っていたのだから、本社移動異動後に何をしていたのかしらと。
システム管理者への“小さな嫌がらせ”(2006年11月22日)は、何を言いたいのか全くわからない。
女性管理者が知らないうちに他部署がプリンターを導入したのを全力で非難する記事だが、記事の前半ではそれとは逆に連絡を密にしようとした総務担当者を非難する内容から始まっている。
事務作業を得意とする総務担当者がITに関連した専門用語にアレルギー反応を起こすあまり、「工事関係者との打ち合わせはできる限りシステム管理者に丸投げしてしまおう」という心情が見え隠れしているように感じた。それを裏付けるかのように、本体から線が出ている物体であれば、たとえそれが電話であったとしても、工事や入れ替え作業の打ち合わせにいきなり同席させられることも度々だった。
「それが電話であったとしても」と言うけど、RAS(リモートアクセスサービス)とか専用線とか知ってますよね、当然?何に使われているのかわからない総務担当者が相談するのはおかしな話じゃないだろうし、万が一の不具合発生時を考えての慎重な姿勢だったのだろう。
運用担当者へまず連絡した総務担当者の方の行動が、何故に悪者とされねばならないのだ?
後半部にしたって内容が妙だ。女性管理者とマネージャー層は何か思い違いをしているらしい。
まずするべきは廃棄物品倉庫へ移動されてしまった古いプリンターを戻してネットワークへ接続させることだ。プリンターの入れ替え作業中に社員が迷惑を蒙ったのは連絡不足だった担当部署のみの責任ではなく、この女性管理者の判断ミスだ。
(挿絵の自画自賛臭があまりにも醜い。。。。。。。。)
必死に各クライアントの設定をこなしていくわたしの姿が、殊のほか年配のマネジャー層に受けていたらしい。人間、どこで評価が高まるか分からないものである。
Nimdaは2001年9月に発生したネットワークワームである。
番外編:「それは神様のおかげです?」(2006年12月14日) では「女性管理者」の活動は自画自賛されておりますが、本社移動異動後の2003年には全く生かされていない(前述)。
涙あふれる 管理者デビューした“あの日”(2006年12月18日)は、他の記事中で当人が苛めた新人以上に酷いよね。
ここはいちかばちか設定変更を行うしかないだろう。再起動のチャンスは一回のみ。なぜならAdministratorのパスワードも分からないのだから。
(中略)
パスワードに何も入れずにログインしてみたが、当然のようにはじかれた。
日常的にイジメ行為に加担し、無責任な対応をして責任を誰かに押し付けているような人物が、まさか実在するとは思えませんので思うがままに書きました。
。。。。。ネタですよね、これって?
でなければ、いじめられている新人があまりにも気の毒です。
2007年1月1日7時30分、一旦内容の一部を非表示に
同日19時40分、サブタイトルを変更し編集後、再掲載
連載中に出てくる女性システム管理者の言動は尋常なものではなく、あまりにもおかしいのだ。
毎回どこかの誰かを悪者扱いして自己満足しているが、じっくりと記事を読み続けると話がどこかおかしく、責任の所在はむしろ非難している当人側だったりする。
人格面に問題があるのではなかろうかと考えたのだが、まさかここまで酷い人が居るとは思いづらい。
恐らくは記事に仕立てる段階でITMediaの担当者が面白おかしく脚色したつもりが、メチャクチャな内容になっているだけなのだろうか。
いや、連載そのものが完全なネタかフィクションなのではなかろうか。
正規版購入者のサポートしか受け付けない
当初「違法コピーかライセンス違反なのか?」なるサブタイトルを付けていたのは、「正規版購入者のサポートしか受け付けない」との記載に反応したためですが。
その他の可能性を考慮しておりませんでした。
今後は細心の注意を払います、申し訳ありませんでした。
後日、バックアップソフトのメーカーに問い合わせたところ、「正規版購入者のサポートしか受け付けない」という冷たいコメント
(中略)
サポート担当者のフレキシブルな応対に感動しつつも、決してバグとは言わないその姿勢に、多少ムッとしたのを覚えている。
「このソフト、パッチが当たらないよ!」(2006年07月11日)
何故にこの女性管理者は、メーカーサポートより正規版購入者のサポートしか受け付けないと注意されたのだろうか?
「バックアップソフトが同梱されたDLT装置」のバックアップソフトは、体験版やバンドル版であるためサポートを断られたんだろうか。
(元記事にはそれらの経緯が記載されておりませんが)
職場でのイジメ行為が何度も面白おかしく脚色されて報告されている
最近は中学生のイジメが原因の自殺や不登校が頻繁にメディアを賑わしている。子供に限らず職場でのいじめや嫌がらせ行為でうつ病になったり退職に追い込まれた、大人であるサラリーマンの話などをテレビや新聞で目にした経験は無いだろうか?
連載中では頻繁にイジメ行為の話題が掲載されている。
仲間外れにされたM君
ちょっとかわいい、でも困ったプライドの高いM君(2006年07月20日)は、M君なる方が職場の人間とうまくコミュニケーションができなかったばっかりに、記事として晒されてしまったケースだ。
M君は下らない理由で貶められ笑いもの扱いされているよね、記事中では。
おまけですが4/4の最後と挿絵は自分の目にはイジメ行為としか見えないのだが、考えすぎでしょうか
同僚のミスを一緒になって新人に押し付け、笑いものにした記事
同僚の連絡ミスや手順書の手配などが不十分だったため、新人がやらかしてしまった話である。
「言っていることはむちゃくちゃだ。」と断りを入れておきながら、一緒になって新人を非難攻撃しているんだから、これもイジメ行為だよね。
新人君とはこんなにも罪作りなものさ(2006年07月25日)
連他人事ながらここまで気色悪いドロドロした記事を見た記憶が無い。
この記事に対する非難を見つけたので、紹介する。自分も全く同じ気持ちだ。
私はこれを読んで怒りを抑えられません。文章全体が「新人が使えない」という愚痴で終始していますが、育てようとしないうちから何を言っているのかという気持ちで一杯です。新人なら、色々なことを経験させて、いろいろ失敗させて、実地で体験させることが大事で、先輩がそのフォローをすべき。実際、新人を育てるのは非常に手間なのですよ。それをやろうとせずに「使えない」といきなり判断してみたり、自分の失敗を新人になすりつけたりという行動は、先輩にあるまじき行為でしょう。
新入社員が巣立つ時期がやってきました(なにかな on Blog)
管轄範囲および分掌範囲のデタラメさと無責任さに呆然とする
mumuワーム大量感染は同僚ではなく女性管理者自身の責任だ
戦う管理者が見せる“ふとしたしぐさ”(2006年09月06日)は、Mumuワームが社内ネットワークに蔓延した際にこの「女性管理者」が大活躍したとの自慢目的に終始している。
本社のシステム運用部門へ
だけどね。
大体自分が所属する部署が引き起こした問題なんだから、そこで自慢話・手柄話に結びつける根性がまずおかしい。
次に、2003年6月までにはパスワードクラック系ワームは幾つか存在していたのだから、ウイルス対策担当者としては当然部署内に事前に通知し、予防策を張っておく必要があったはずだ。
「Administratorアカウントは無効にする・もしくは冗長なパスワードを設定しておくのが普通なのだ」との観点より、運用部署のずさんな管理体制を非難しているんだろうけど。
Lucaさんの目から見たらば、ウイルス対策ソフト運用担当者としての女性管理者が、日頃より情報収集を怠らずアナウンスをしていたならば当然回避できたはずだ。だから他メンバーによる失敗と一方的に責任を押し付けて晒して万歳ではなく、女性管理者自身にもかなりの責任がある。
なお番外編:「それは神様のおかげです?」(2006年12月14日) にて、女性管理者は2001年9月頃もしくは本社
「ネットワーク共有のフルアクセスをつぶしたことが」と出先の拠点時代について語っていたのだから、本社
それはあなたらの仕事でしょうに
システム管理者への“小さな嫌がらせ”(2006年11月22日)は、何を言いたいのか全くわからない。
女性管理者が知らないうちに他部署がプリンターを導入したのを全力で非難する記事だが、記事の前半ではそれとは逆に連絡を密にしようとした総務担当者を非難する内容から始まっている。
事務作業を得意とする総務担当者がITに関連した専門用語にアレルギー反応を起こすあまり、「工事関係者との打ち合わせはできる限りシステム管理者に丸投げしてしまおう」という心情が見え隠れしているように感じた。それを裏付けるかのように、本体から線が出ている物体であれば、たとえそれが電話であったとしても、工事や入れ替え作業の打ち合わせにいきなり同席させられることも度々だった。
「それが電話であったとしても」と言うけど、RAS(リモートアクセスサービス)とか専用線とか知ってますよね、当然?何に使われているのかわからない総務担当者が相談するのはおかしな話じゃないだろうし、万が一の不具合発生時を考えての慎重な姿勢だったのだろう。
運用担当者へまず連絡した総務担当者の方の行動が、何故に悪者とされねばならないのだ?
後半部にしたって内容が妙だ。女性管理者とマネージャー層は何か思い違いをしているらしい。
まずするべきは廃棄物品倉庫へ移動されてしまった古いプリンターを戻してネットワークへ接続させることだ。プリンターの入れ替え作業中に社員が迷惑を蒙ったのは連絡不足だった担当部署のみの責任ではなく、この女性管理者の判断ミスだ。
(挿絵の自画自賛臭があまりにも醜い。。。。。。。。)
必死に各クライアントの設定をこなしていくわたしの姿が、殊のほか年配のマネジャー層に受けていたらしい。人間、どこで評価が高まるか分からないものである。
変な話ですね
Nimdaは2001年9月に発生したネットワークワームである。
番外編:「それは神様のおかげです?」(2006年12月14日) では「女性管理者」の活動は自画自賛されておりますが、本社
言葉を失った
涙あふれる 管理者デビューした“あの日”(2006年12月18日)は、他の記事中で当人が苛めた新人以上に酷いよね。
ここはいちかばちか設定変更を行うしかないだろう。再起動のチャンスは一回のみ。なぜならAdministratorのパスワードも分からないのだから。
(中略)
パスワードに何も入れずにログインしてみたが、当然のようにはじかれた。
Appendix
日常的にイジメ行為に加担し、無責任な対応をして責任を誰かに押し付けているような人物が、まさか実在するとは思えませんので思うがままに書きました。
。。。。。ネタですよね、これって?
でなければ、いじめられている新人があまりにも気の毒です。
更新履歴
2007年1月1日7時30分、一旦内容の一部を非表示に
同日19時40分、サブタイトルを変更し編集後、再掲載
Posted by Luca at 23:35
│
│
2006年12月21日 - オンラインスキャンによるウイルス検索サービスと対策
オンラインスキャンなるウイルス検出サービスをご存知だろうか?
特定のソフトウェアを購入・インストールせずに、ブラウザでウイルス対策ソフトウェアメーカーのサイトへ接続し、感染の可能性があるパソコンをウイルススキャンできるサービスである。
無料で行えるサービスであり、気軽に利用できるので便利なものだ。
オンラインスキャンには特定ファイルをアップロードしスキャンするようなサービス(便宜上、特定ファイルアップロード型とする)、トレンドマイクロ社のウイルスバスターオンラインスキャンのようにシステムをフルスキャンするものがある(システムフルスキャン型とする)。
このブログエントリ中にては、特に言及しない限りは後者のシステムフルスキャン型を指すとする。
オンラインスキャンは気軽に利用できる手段であり、多くの感染者を救ったのは間違いのない事実である。
時代は移り変わり今時では、ウイルスに感染しました!との質問に対してオンラインスキャンを安易に薦めれば、一斉に集中砲火を浴びて非難されるだろう。
投稿直前にオンラインスキャンの是非について(ウイルス対策掲示板 Ver. 2)に気付いたので、視点を多少変えて - 質問者への回答として薦めるのはどうなのかを考えてみた。
だから今回もかなり内容がくどくなるのだが、承知していただきたい。
(ある程度の経験が備わっている層が所有しているパソコンが感染した場合とは多少の乖離がある点も容赦願いたい)
うかつに薦められないなと真剣に考えたのは、ネットワークワームによるWindowsマシンの大規模感染が問題となった頃だ。
ネットワークから隔離すべき?マルウェアに感染したパソコンと対策(Semplice)にて言及したが、感染中のパソコンをネットワークへ接続する際には幾つかの問題がある。
被害が重篤化する可能性(他のマルウェアに感染したり、ダウンローダーにより新たな何かが勝手にインストールされる等)と、加害者となる可能性(どこかを攻撃し、どこかを感染させてしまう等)だ。
確かにGAN氏の指摘通り、どこか質問を書きこめる場所が無いかと探し・投稿内容を練って実際に投稿するまでの間に、相当の時間が経過しているだろう。
かなりの時間をネットに接続していたのだから、わずかな時間を更に追加したとしてもどうなのさ、と。
付記するならば、ウイルス対策ソフトをインストール後に更新作業を行うには、ネットワークに接続しなければならない点だ。
ネットワークに接続せずに更新するとしても、他のパソコンよりウイルス定義ファイル・シグネチャファイルやエンジン更新用ファイルを手動でダウンロードし、リムーバルメディアで感染中のパソコンに導入しなければならない。
(一連の操作を行える層は、質問掲示板に「どうしたらいいんですかぁ!」と投稿しないだろうから、除外できる)
これらの観点よりは、多少の時間をかけてオンラインスキャンを行うよう薦めたとしても、それほど「間違い」ではないのかもしれない。
(質問者の投稿でいきなり隔離推奨の深刻な事例であると判断された場合は別とするが)
前提として1つのメーカーが提供するシグニチャ等に基づく、システムフルスキャン型オンラインスキャンサービスであるならば、として。
(将来複数のウイルス対策ソフトメーカー相乗りサービスが出現しないとも限らないので)
オンラインスキャンでは、何らかのイベントが発生しなければ起動しないプログラムファイルを見逃す可能性があるだろう、またPackされたファイルをunpackできなかった場合などだ。
オンラインスキャンにて何も検出されなかったファイルをダブルクリックした途端に、インストール済みアンチウイルスソフトの常駐監視機能が警告を表示した経験は無いだろうか。
市販のアンチウイルスソフトウェアでは、常駐監視機能が備わっている製品が大多数だろう。一部の製品にては、起動時スキャン(Boot-time Scan)が備わっている。
起動時スキャンにて、早い段階にて活動させるスタートアップエントリ(起動エントリ)により登録されているマルウェアが検出された経験は無いだろうか?ルートキット(Rootkit)の隠蔽工作が間に合わず、起動時スキャンにより検出される事例もある。
(ウイルス対策ソフトの起動時スキャン(ブートタイムスキャン)を活用(Semplice))
だが最近多いルートキット本体やその設定ファイル、ルートキットにより隠蔽されているファイルは、システムフルスキャン型オンラインスキャンでは検出できないだろう。
(ハードディスクを外して他のパソコンにスレーブ接続してスキャンすれば、オンラインスキャンでも検出できる可能性はあるが)
誤解しないでもらいたいのだが、これらは単純な検出力の高低の話ではない。検出しやすい機会をオンラインスキャンに与えられるのか否かだ。
では少し方向性が違う話を。
近年ではたった一つのファイルをうかつに踏んでしまったばっかりに、数種・時には数十のマルウェアに感染してしまう事例がある(誇張ではない)。そのようなケースではパソコンの動作も重く、更には多くのネットワークトラフィックのためにオンラインスキャンも重くて利用できない場合がある。
ネットワークに接続していない状況でのインストール済みアンチウイルスソフトウェアによるセーフモードでOSを起動してのスキャンであれば、新たなファイルの無断ダウンロードやIEによる強制的サイト表示を回避でき、結果としてスキャン中のプチフリーズやパソコンの動作不良を回避できる可能性がある。
(セーフモード で ウイルススキャン(Palm84)参照)
最も優れた利点は、メーカーが販売するフルパッケージのソフトウェアをインストールしなくても利用できる点だ。
複数の常駐型アンチウイルスソフトをインストールすればかなり面倒な目に遭遇するが、オンラインスキャンではインストール済み製品を気にしなくてもよいだろう。
質問をする初心者層などにとっては、新規にアンチウイルスソフトを購入したとしても即座に利用方法を習得できるのではないが、オンラインスキャンは簡便である。
余計な話となるが。丁度今のシーズンは各社とも2007年版を販売しているが、幾つかの製品は問題がありメーカーサポートへ連絡したり対策方法を自力で見つけなければならないケースもあるだろう。だがオンラインスキャンはインストール不要なので、そのような心配は不要だ。
次に、オンラインスキャンでは大体の場合、ほぼ最新の状態にてスキャンが行われるだろう、多分。
店頭で販売されているパッケージ製品の中身はリリース時のままであるし、ネットから・または雑誌から入手できる体験版もまた古く、アップデートしなければ利用できない。
(ウイルス対策ソフト体験版を、定義ファイル・エンジンのバージョン更新をせず利用できるのか?(Semplice)及び雑誌の付録CD/DVDに収録されている体験版のバージョンは最新なのか(Semplice)参照)
その他としては特定ファイルアップロード型・システムフルスキャン型いずれであっても、感染後にアンチウイルスソフトが停止させられたりする事例では、有用な対策法かもしれない。
(感染後にはウイルス対策ソフトメーカーのサイトへ接続できなくなるよう妨害される事例も多々あるのだが)
質問掲示板における回答として薦めるならば、初期のコメントにてどのような状態であるのかを把握する目的だろうか。
または具体的な症状が無いもののどうも不安だと訴える方へ、念のためなど。
隔離が必須ではないような事例(もしくは隔離しなくてもさほどの被害が無い事例)であり、オンラインスキャンにより容易に解決できると予測されるならば、状況次第だし配慮は必要なものの選択肢に含めても良いだろう。
あとはHijackThisのログより診断する際に、判断材料を補強する目的だろうか。
この場合は特定ファイルアップロード型のかけもちかVirusTotalのような複数メーカーのエンジンでスキャンするサービスを薦める例もあるだろう。
特定のソフトウェアを購入・インストールせずに、ブラウザでウイルス対策ソフトウェアメーカーのサイトへ接続し、感染の可能性があるパソコンをウイルススキャンできるサービスである。
無料で行えるサービスであり、気軽に利用できるので便利なものだ。
オンラインスキャンには特定ファイルをアップロードしスキャンするようなサービス(便宜上、特定ファイルアップロード型とする)、トレンドマイクロ社のウイルスバスターオンラインスキャンのようにシステムをフルスキャンするものがある(システムフルスキャン型とする)。
このブログエントリ中にては、特に言及しない限りは後者のシステムフルスキャン型を指すとする。
感染後における、オンラインスキャンによるマルウェア対策の問題点
オンラインスキャンは気軽に利用できる手段であり、多くの感染者を救ったのは間違いのない事実である。
時代は移り変わり今時では、ウイルスに感染しました!との質問に対してオンラインスキャンを安易に薦めれば、一斉に集中砲火を浴びて非難されるだろう。
投稿直前にオンラインスキャンの是非について(ウイルス対策掲示板 Ver. 2)に気付いたので、視点を多少変えて - 質問者への回答として薦めるのはどうなのかを考えてみた。
だから今回もかなり内容がくどくなるのだが、承知していただきたい。
(ある程度の経験が備わっている層が所有しているパソコンが感染した場合とは多少の乖離がある点も容赦願いたい)
「感染中のマシンをネットワークに接続してはならない」ルールでは、オンラインスキャンは却下か?
うかつに薦められないなと真剣に考えたのは、ネットワークワームによるWindowsマシンの大規模感染が問題となった頃だ。
ネットワークから隔離すべき?マルウェアに感染したパソコンと対策(Semplice)にて言及したが、感染中のパソコンをネットワークへ接続する際には幾つかの問題がある。
被害が重篤化する可能性(他のマルウェアに感染したり、ダウンローダーにより新たな何かが勝手にインストールされる等)と、加害者となる可能性(どこかを攻撃し、どこかを感染させてしまう等)だ。
で、オンラインスキャンは当初私自身抵抗がありましたが、それが葛藤に変わり、最後は妥協することになりました。
その理由ですが、感染した人は既に半日、数日に渡ってインターネットに害を及ぼしています。
(と言うケースを前庭としての議論だと思うので)
それをあと数時間で止められるのであればプラスマイナス差し引き大きなプラスじゃないですか?
であれば多少のリスク、コストもやむなしと。
オンラインスキャンの是非について(ウイルス対策掲示板 Ver. 2)
確かにGAN氏の指摘通り、どこか質問を書きこめる場所が無いかと探し・投稿内容を練って実際に投稿するまでの間に、相当の時間が経過しているだろう。
かなりの時間をネットに接続していたのだから、わずかな時間を更に追加したとしてもどうなのさ、と。
付記するならば、ウイルス対策ソフトをインストール後に更新作業を行うには、ネットワークに接続しなければならない点だ。
ネットワークに接続せずに更新するとしても、他のパソコンよりウイルス定義ファイル・シグネチャファイルやエンジン更新用ファイルを手動でダウンロードし、リムーバルメディアで感染中のパソコンに導入しなければならない。
(一連の操作を行える層は、質問掲示板に「どうしたらいいんですかぁ!」と投稿しないだろうから、除外できる)
これらの観点よりは、多少の時間をかけてオンラインスキャンを行うよう薦めたとしても、それほど「間違い」ではないのかもしれない。
(質問者の投稿でいきなり隔離推奨の深刻な事例であると判断された場合は別とするが)
システムフルスキャン型オンラインスキャンは、常駐型ウイルス対策ソフト以上のものではない
前提として1つのメーカーが提供するシグニチャ等に基づく、システムフルスキャン型オンラインスキャンサービスであるならば、として。
(将来複数のウイルス対策ソフトメーカー相乗りサービスが出現しないとも限らないので)
オンラインスキャンでは、何らかのイベントが発生しなければ起動しないプログラムファイルを見逃す可能性があるだろう、またPackされたファイルをunpackできなかった場合などだ。
オンラインスキャンにて何も検出されなかったファイルをダブルクリックした途端に、インストール済みアンチウイルスソフトの常駐監視機能が警告を表示した経験は無いだろうか。
市販のアンチウイルスソフトウェアでは、常駐監視機能が備わっている製品が大多数だろう。一部の製品にては、起動時スキャン(Boot-time Scan)が備わっている。
起動時スキャンにて、早い段階にて活動させるスタートアップエントリ(起動エントリ)により登録されているマルウェアが検出された経験は無いだろうか?ルートキット(Rootkit)の隠蔽工作が間に合わず、起動時スキャンにより検出される事例もある。
(ウイルス対策ソフトの起動時スキャン(ブートタイムスキャン)を活用(Semplice))
だが最近多いルートキット本体やその設定ファイル、ルートキットにより隠蔽されているファイルは、システムフルスキャン型オンラインスキャンでは検出できないだろう。
(ハードディスクを外して他のパソコンにスレーブ接続してスキャンすれば、オンラインスキャンでも検出できる可能性はあるが)
誤解しないでもらいたいのだが、これらは単純な検出力の高低の話ではない。検出しやすい機会をオンラインスキャンに与えられるのか否かだ。
では少し方向性が違う話を。
近年ではたった一つのファイルをうかつに踏んでしまったばっかりに、数種・時には数十のマルウェアに感染してしまう事例がある(誇張ではない)。そのようなケースではパソコンの動作も重く、更には多くのネットワークトラフィックのためにオンラインスキャンも重くて利用できない場合がある。
ネットワークに接続していない状況でのインストール済みアンチウイルスソフトウェアによるセーフモードでOSを起動してのスキャンであれば、新たなファイルの無断ダウンロードやIEによる強制的サイト表示を回避でき、結果としてスキャン中のプチフリーズやパソコンの動作不良を回避できる可能性がある。
(セーフモード で ウイルススキャン(Palm84)参照)
オンラインスキャンの優位性
最も優れた利点は、メーカーが販売するフルパッケージのソフトウェアをインストールしなくても利用できる点だ。
複数の常駐型アンチウイルスソフトをインストールすればかなり面倒な目に遭遇するが、オンラインスキャンではインストール済み製品を気にしなくてもよいだろう。
質問をする初心者層などにとっては、新規にアンチウイルスソフトを購入したとしても即座に利用方法を習得できるのではないが、オンラインスキャンは簡便である。
余計な話となるが。丁度今のシーズンは各社とも2007年版を販売しているが、幾つかの製品は問題がありメーカーサポートへ連絡したり対策方法を自力で見つけなければならないケースもあるだろう。だがオンラインスキャンはインストール不要なので、そのような心配は不要だ。
次に、オンラインスキャンでは大体の場合、ほぼ最新の状態にてスキャンが行われるだろう、多分。
店頭で販売されているパッケージ製品の中身はリリース時のままであるし、ネットから・または雑誌から入手できる体験版もまた古く、アップデートしなければ利用できない。
(ウイルス対策ソフト体験版を、定義ファイル・エンジンのバージョン更新をせず利用できるのか?(Semplice)及び雑誌の付録CD/DVDに収録されている体験版のバージョンは最新なのか(Semplice)参照)
その他としては特定ファイルアップロード型・システムフルスキャン型いずれであっても、感染後にアンチウイルスソフトが停止させられたりする事例では、有用な対策法かもしれない。
(感染後にはウイルス対策ソフトメーカーのサイトへ接続できなくなるよう妨害される事例も多々あるのだが)
オンラインスキャンを回答として薦めるべきか
質問掲示板における回答として薦めるならば、初期のコメントにてどのような状態であるのかを把握する目的だろうか。
または具体的な症状が無いもののどうも不安だと訴える方へ、念のためなど。
隔離が必須ではないような事例(もしくは隔離しなくてもさほどの被害が無い事例)であり、オンラインスキャンにより容易に解決できると予測されるならば、状況次第だし配慮は必要なものの選択肢に含めても良いだろう。
あとはHijackThisのログより診断する際に、判断材料を補強する目的だろうか。
この場合は特定ファイルアップロード型のかけもちかVirusTotalのような複数メーカーのエンジンでスキャンするサービスを薦める例もあるだろう。
Posted by Luca at 21:45
│
│
2006年12月17日 - ウイルス対策ソフトの起動時スキャン(ブートタイムスキャン)を活用
起動時スキャン(Boot-time Scan)をご存知だろうか。
WindowsOSが起動し各種サービスが起動し終わるよりずっと前、またユーザーがログオンするよりも前にアンチウイルスソフトを活動させて、システムを保護させる手段だ。
Startup Entry(起動エントリ)は各種プログラムを起動させるための設定項目だ。どこにどう設定するか次第で、プログラムの起動タイミングは変わるだろう。
AppInit_DLLsへのDLLインジェクションで起動するウイルスは何年か前より細々と存在し、セーフモードでも起動してしまうために難儀だった。
ルートキットにはデバイスドライバとして起動されOSが起動し終わる前・アンチウイルスソフトが起動し終わる前に活動し始めるものがあり、特定ファイル・やプロセスの隠蔽工作のために、OS起動後にアンチウイルスソフトでスキャンしても検出するのが難しい。
この手の話題については後日場を改めて紹介するので、ここではざっと一般的マルウェアが起動エントリに登録され起動する順番を取り上げる。ログオンスクリプトではどうなのかとか、マニアックな話は置いておく。
1)デバイスドライバ
2)サービスプロセスの一部
3)レジストリのrunエントリ(HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunもしくはHKCU)
4)スタートアップフォルダ
わかりやすく書くと、より早期に起動するソフトウェアがある意味で有利だ、とだけ覚えてもらいたい。
アンチウイルスソフトが起動するタイミングは、早ければ早いほど望ましい。
理由としてはマルウェアが起動する前にアンチウイルスソフトが活動すれば、ルートキット類による隠蔽活動が完全ではない状況で検出できる可能性がある(修復作業が確実に行えるとの意味ではない)。
またアンチウイルスソフトの挙動を妨害するようなマルウェアよりも先に起動できれば、アンチウイルスソフトの活動が阻害される可能性は低減する(確実とは言わない)。
(いずれも可能性の問題ではあるのだ)
Norton AntiVirus2007をインストール。まず「設定」を開く。
Auto-Protectを開く。
「Auto-Protectはコンピュータをウイルス、スパイウェア、その他のリスクから継続的に保護します。」のダイアログでは、まかり間違っても「オフにする」を選択してはならない。「設定」をクリック。
リアルタイム保護:Auto-Protectの画面では、デフォルトでは「システム起動中にAuto-Protectをロードする[A]」は無効になっている。ボックスにチェックを入れる。
sdelist(株式会社 軟球)では、起動時スキャン無効時にはこのように表示される。
起動時スキャンを有効、つまり「「システム起動中にAuto-Protectをロードする」のボックスにチェックしたらば、このようになるだろう。ファイルシステムドライバとしてNorton AntiVirus関連ファイルが起動するよう設定されている。
起動時スキャン(ブートタイムスキャン:Boot-time scan)は完全な防備となるのか
事例の積み重ねが乏しいため、あくまでも自分の経験則の範囲であるのはご容赦願いたい。
OSを起動した後になってからのオンデマンドスキャン(ユーザーが手動で行うスキャン)やもしくはスケジューリングされたスキャン、非常駐型の検出サービス(ANTIDOTE for PC AntiVirus - SuperLiteなど)やオンラインスキャンとは、起動時スキャンや常駐型スキャンが求められる役割は全く別のものである。
(細かい話では起動時スキャンはもちろん常駐スキャンはそれぞれ必須と自分は考えており、これらとオンアクセススキャンでの件出力を同列に並べるのは無意味な行為なのだが、解説は後日とする)
常駐型スキャンではオンデマンドでは検出されない何かが検出される場合も多く、運用面でより保護を確かなものとするだろう。
そして(あまり注目されないが有用である)起動時スキャンは、起動タイミングが早いマルウェアを検出する際に、大いに役立つだろう。
もちろん起動時スキャンで検出されたとしても、その後に確実に復旧できるかと問われれば、答えはNoだ。
アンチウイルスソフトの主たる役割は感染の防止であり、感染後のやりくりではない。
アンチウイルスソフトのブートタイムスキャン(Boot-time scan)は、Windowsが起動する際により早い段階で監視を開始するオプションである。
プログラムが起動する順番が早ければ早いほど、ウイルス対策ソフトの監視活動とマルウェアの隠蔽工作における争いは、より優位な立場となるだろう。
OS起動時のブートタイムスキャンにて検出されたとしても、マルウェアよりの修復作業が確実に行えるのではない。
起動時のスキャンは、隠蔽されるマルウェアを検出する率を向上させるには有用な手段である。
WindowsOSが起動し各種サービスが起動し終わるよりずっと前、またユーザーがログオンするよりも前にアンチウイルスソフトを活動させて、システムを保護させる手段だ。
WindowsでのStartup Entryとプログラムの起動タイミング
Startup Entry(起動エントリ)は各種プログラムを起動させるための設定項目だ。どこにどう設定するか次第で、プログラムの起動タイミングは変わるだろう。
AppInit_DLLsへのDLLインジェクションで起動するウイルスは何年か前より細々と存在し、セーフモードでも起動してしまうために難儀だった。
ルートキットにはデバイスドライバとして起動されOSが起動し終わる前・アンチウイルスソフトが起動し終わる前に活動し始めるものがあり、特定ファイル・やプロセスの隠蔽工作のために、OS起動後にアンチウイルスソフトでスキャンしても検出するのが難しい。
この手の話題については後日場を改めて紹介するので、ここではざっと一般的マルウェアが起動エントリに登録され起動する順番を取り上げる。ログオンスクリプトではどうなのかとか、マニアックな話は置いておく。
1)デバイスドライバ
2)サービスプロセスの一部
3)レジストリのrunエントリ(HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunもしくはHKCU)
4)スタートアップフォルダ
わかりやすく書くと、より早期に起動するソフトウェアがある意味で有利だ、とだけ覚えてもらいたい。
プログラムが起動する順番と検出力の関係
アンチウイルスソフトが起動するタイミングは、早ければ早いほど望ましい。
理由としてはマルウェアが起動する前にアンチウイルスソフトが活動すれば、ルートキット類による隠蔽活動が完全ではない状況で検出できる可能性がある(修復作業が確実に行えるとの意味ではない)。
またアンチウイルスソフトの挙動を妨害するようなマルウェアよりも先に起動できれば、アンチウイルスソフトの活動が阻害される可能性は低減する(確実とは言わない)。
(いずれも可能性の問題ではあるのだ)
アンチウイルスソフトでの起動時スキャン(ブートタイムスキャン)の例
Norton AntiVirus
Norton AntiVirus2007をインストール。まず「設定」を開く。
Auto-Protectを開く。
「Auto-Protectはコンピュータをウイルス、スパイウェア、その他のリスクから継続的に保護します。」のダイアログでは、まかり間違っても「オフにする」を選択してはならない。「設定」をクリック。
リアルタイム保護:Auto-Protectの画面では、デフォルトでは「システム起動中にAuto-Protectをロードする[A]」は無効になっている。ボックスにチェックを入れる。
sdelist(株式会社 軟球)では、起動時スキャン無効時にはこのように表示される。
起動時スキャンを有効、つまり「「システム起動中にAuto-Protectをロードする」のボックスにチェックしたらば、このようになるだろう。ファイルシステムドライバとしてNorton AntiVirus関連ファイルが起動するよう設定されている。
起動時スキャン(ブートタイムスキャン:Boot-time scan)は完全な防備となるのか
事例の積み重ねが乏しいため、あくまでも自分の経験則の範囲であるのはご容赦願いたい。
OSを起動した後になってからのオンデマンドスキャン(ユーザーが手動で行うスキャン)やもしくはスケジューリングされたスキャン、非常駐型の検出サービス(ANTIDOTE for PC AntiVirus - SuperLiteなど)やオンラインスキャンとは、起動時スキャンや常駐型スキャンが求められる役割は全く別のものである。
(細かい話では起動時スキャンはもちろん常駐スキャンはそれぞれ必須と自分は考えており、これらとオンアクセススキャンでの件出力を同列に並べるのは無意味な行為なのだが、解説は後日とする)
常駐型スキャンではオンデマンドでは検出されない何かが検出される場合も多く、運用面でより保護を確かなものとするだろう。
そして(あまり注目されないが有用である)起動時スキャンは、起動タイミングが早いマルウェアを検出する際に、大いに役立つだろう。
もちろん起動時スキャンで検出されたとしても、その後に確実に復旧できるかと問われれば、答えはNoだ。
アンチウイルスソフトの主たる役割は感染の防止であり、感染後のやりくりではない。
Conclusion
アンチウイルスソフトのブートタイムスキャン(Boot-time scan)は、Windowsが起動する際により早い段階で監視を開始するオプションである。
プログラムが起動する順番が早ければ早いほど、ウイルス対策ソフトの監視活動とマルウェアの隠蔽工作における争いは、より優位な立場となるだろう。
OS起動時のブートタイムスキャンにて検出されたとしても、マルウェアよりの修復作業が確実に行えるのではない。
起動時のスキャンは、隠蔽されるマルウェアを検出する率を向上させるには有用な手段である。
Posted by Luca at 23:05
│
│
2006年12月15日 - PLC(電力線通信)に潜む、盗聴行為の可能性
海外では数年前より一部で利用されていた電力線モデムによる通信機器が日本で販売されるようになり、大変人気らしい。
家電量販点で目にし購入しようかと悩んだのだが、もう少し待てば価格も安くなるのだろうか。
イメージとしてはADSLや光ファイバーケーブルなどの公衆回線の代替となり、電線が繋がっているならば全国どこでも利用できるネットワーク環境を期待していたんですが。
現在日本で販売される製品は漏洩電波問題対策のために、Webに直接接続できるようなものではなく、建物内の利用に限られるらしい。
コンセントさえある場所ならば、家庭内どこでも簡単に使えるLAN環境のようなものなのだろう。
面倒な配線が必要な有線LANよりも無線LANが手軽であるし、ホームユーザー向けにどんどん利用されている。電灯線ネットワークは無線LANの地位を奪うのだろうか。
一抹の不安を感じる点なんですが。
状況なり機器の設定次第では、外部の第三者がLANセグメントに勝手に接続できるのではなかろうか。
悪意がある盗聴者が犯行を行うに当って、PLCの利便性は機器の電源が容易に得られる点だ。ものがコンセントだけに、永続的に設置する機器にはもってこいなのだ。
屋外の車庫や小屋、玄関先などにコンセントが設置されている家屋が複数存在する。
学生の頃に通学途中、裏道のアパートの壁に設置されているコンセントに何故か電気釜が接続され湯気を立ててるのを目撃した経験があるんですが(盗電と呼ぶらしい)。イメージとしてはそんな感じ。
コンセントだから電源は確保できるし、建物外部にある人目につかない場所に設置されているコンセントに、ノートパソコンを接続しSniffingとか。
簡単ですよね、多分。
PLC用家庭向けアクセスポイント機器で無線LAN対応の製品が販売されたらば、もっと簡単ですよね、多分。
ある日ふっと、車庫の片隅で見慣れない機器を見つけ。ダイオードがピコピコ点滅しているのを見つけたらば。怖いですね。
防犯の啓蒙目的なのか、テレビではよく盗聴対策の番組が放映される。
店頭にてOAタップや三角タップなどの電源タップ(一つのコンセントの穴より多くの機器を接続したい時に使う機器)に内蔵された盗聴器などが堂々と販売されている光景は何度かテレビで見たし。先日秋葉原にて実際に取り扱っている店を見つけた。
近い将来、電灯線ネットワーク向けの盗聴機器が開発され販売されるのではなかろうか。
相手の家に入り込み、冷蔵庫の裏など目立たない場所にあるコンセントに差し込む。そうすれば屋内でやりとりされている通信内容を外部へ無線で飛ばすような機器だ。
幾らなんでもそこまでザルな電力線通信モデムがあるのか、ろくにフィルタ設定もせず誰でも接続できるようにするユーザーが存在するのか、自分にはわからないんだけどね。
無線LAN機能付き電力線モデム(子機)が小型化して販売されたらば、後は簡単やもしれない。
家電製品に仕込んで誰かに送りつければよいだけだ。
親機と子機のセットアップボタンを同時に押して同期させなければ、通信通信内容が暗号化されて盗聴できない機器ならば、家電製品送りつけ攻撃は意味ないですね。
ミスリードでした。
家電量販点で目にし購入しようかと悩んだのだが、もう少し待てば価格も安くなるのだろうか。
イメージとしてはADSLや光ファイバーケーブルなどの公衆回線の代替となり、電線が繋がっているならば全国どこでも利用できるネットワーク環境を期待していたんですが。
現在日本で販売される製品は漏洩電波問題対策のために、Webに直接接続できるようなものではなく、建物内の利用に限られるらしい。
コンセントさえある場所ならば、家庭内どこでも簡単に使えるLAN環境のようなものなのだろう。
面倒な配線が必要な有線LANよりも無線LANが手軽であるし、ホームユーザー向けにどんどん利用されている。電灯線ネットワークは無線LANの地位を奪うのだろうか。
マニアより一般客の購入目立つPLCアダプター、発売直後で売り切れ店続出(2006年12月15日)(BCN)
家庭の電源コンセントにつなぐだけでネットワークに接続できるPLC(Power Line Communications=電力線通信)に注目が集まっている。12月9日に松下電器産業が国内初のPLC専用アダプターを発売したが、売り切れ店が続出。
PLCは電力線をLANのケーブルの代わりに利用する技術。コンセントにプラグを差し込むと電源が供給されるのと同時にネット接続もできる。
既存の通信機器と干渉するなどの問題で、なかなか認可が下りなかったPLC。しかしこの10月、総務省が省令を改正し、とりあえず「屋内での利用」に限って解禁された。
マニアより一般客の購入目立つPLCアダプター、発売直後で売り切れ店続出(2006年12月15日)(BCN)
コンセプトは屋内限定なれど、コンセントは屋内限定ではない
一抹の不安を感じる点なんですが。
状況なり機器の設定次第では、外部の第三者がLANセグメントに勝手に接続できるのではなかろうか。
悪意がある盗聴者が犯行を行うに当って、PLCの利便性は機器の電源が容易に得られる点だ。ものがコンセントだけに、永続的に設置する機器にはもってこいなのだ。
屋外の車庫や小屋、玄関先などにコンセントが設置されている家屋が複数存在する。
学生の頃に通学途中、裏道のアパートの壁に設置されているコンセントに何故か電気釜が接続され湯気を立ててるのを目撃した経験があるんですが(盗電と呼ぶらしい)。イメージとしてはそんな感じ。
コンセントだから電源は確保できるし、建物外部にある人目につかない場所に設置されているコンセントに、ノートパソコンを接続しSniffingとか。
簡単ですよね、多分。
PLC用家庭向けアクセスポイント機器で無線LAN対応の製品が販売されたらば、もっと簡単ですよね、多分。
ある日ふっと、車庫の片隅で見慣れない機器を見つけ。ダイオードがピコピコ点滅しているのを見つけたらば。怖いですね。
防犯の啓蒙目的なのか、テレビではよく盗聴対策の番組が放映される。
店頭にてOAタップや三角タップなどの電源タップ(一つのコンセントの穴より多くの機器を接続したい時に使う機器)に内蔵された盗聴器などが堂々と販売されている光景は何度かテレビで見たし。先日秋葉原にて実際に取り扱っている店を見つけた。
近い将来、電灯線ネットワーク向けの盗聴機器が開発され販売されるのではなかろうか。
相手の家に入り込み、冷蔵庫の裏など目立たない場所にあるコンセントに差し込む。そうすれば屋内でやりとりされている通信内容を外部へ無線で飛ばすような機器だ。
幾らなんでもそこまでザルな電力線通信モデムがあるのか、ろくにフィルタ設定もせず誰でも接続できるようにするユーザーが存在するのか、自分にはわからないんだけどね。
電力線通信の家庭内LAN盗聴機器作成と盗聴の実行可能性(2006年12月16日追記事項)
親機と子機のセットアップボタンを同時に押して同期させなければ、通信通信内容が暗号化されて盗聴できない機器ならば、家電製品送りつけ攻撃は意味ないですね。
ミスリードでした。
Posted by Luca at 20:35
│
│
2006年12月14日 - ネットワークから隔離すべき?マルウェアに感染したパソコンと対策
ウイルス・ワーム・スパイウェアに感染したら、ネットから切り離すべきなのか?
今時では「何か」に感染した可能性があるパソコンはネットワークより切り離し対処、これが模範回答である。感染が疑われる端末をLANに接続するのを禁止するポリシーを設定している企業もあるだろう。
少なくとも自分が直接操作し復旧作業に携われる場合はLANには接続させていない。
でもまあ、やり過ぎは何事も良くないものだ。全ての事例にてネットワークより隔離しろとは言わないし、企業では安易な隔離作業は運営面に支障をきたす事例もあるだろう。
過剰反応によりドメインコントローラーやファイルサーバーを隔離されてしまったらば、バックアップが無ければ企業活動に重篤な支障が生じるだろう。
(隔離が望ましい事例もある。一例として改ざんされたWebサーバーは、そのまま運営したらば多くの閲覧者を危険に晒す)
ホームユーザーではどうなんだろうか?
すぐEthernetケーブルを引っこ抜くよう熱く薦めたくなる事例もあるのは事実だが、その後にどうするべきなのかを考えると、途方に暮れるのだ。
今回のブログエントリにては、初心者層やウイルス対策に不慣れな層へアドバイスを行うような方々を対象として記述する。
ホームユーザー向けなので内容がかなりくどくなっているのだが、ご容赦願いたい。
ネットから隔離しろとの回答は、初心者相手には状況によっては無理な要求
質問掲示板にては「すぐにLANケーブルを引っこ抜け、隔離しろ、ネットに接続するな」と常套句のように唱える方も散見する。
ネットワークよりの隔離は、問題を解決するためではなく被害の拡大や深刻化を予期してのアドバイスであるとは思えど、多くの副次的な問題を生むのだ。
ホームユーザーは1台のみパソコンを所有している場合もあるだろうし、じゃあネットに接続しなければどうすれば良いのだと。
対応策も調べられず、追加で質問したり回答を得ようと試みるのも難儀な事態となる。
解決策としては、他のパソコンにてネットに接続して調べるとか、知人に代理で調べてもらうとか?
大変重要なポイントなのだが、案外見逃されがちな点を一つ。
多くのアンチウイルスソフトウェアはネットに接続して更新作業を行う。
ウイルス定義ファイルやウイルス検出エンジン更新ファイルを手動でダウンロード・インストールできるじゃないかと言い出すならば、前提条件を一つ見逃している。
質問掲示板に困って投稿するような層が、煩雑な操作を行えるのか?
ウイルス対策ソフトを入手しようとしたとしてもだ。
店頭に並ぶパッケージ製品の中身はいずれも最新ではないし、アップデートが必要だ。
ウイルス対策ソフト体験版を、定義ファイル・エンジンのバージョン更新をせず利用できるのか?(Semplice)と雑誌の付録CD/DVDに収録されている体験版のバージョンは最新なのか(Semplice)にて紹介したが、メーカーサイトよりダウンロードしたり雑誌のおまけCD中の体験版は最新版とは程遠い古いバージョンであったり。
加害者となる可能性を回避するためのネットからの隔離
マスメーリング(大量のメール送信を行う)のウイルスや、LANセグメントの他のマシンやWeb中に広く感染活動を行うようなネットワークワームであれば、情報収集や修復作業中に他所様へご迷惑をおかけする可能性がある。
ボット(Bot)系マルウェアに感染していたならば、他所様への攻撃やスパムメール送信に気付かずに加担してしまうだろう。
不思議な話としてネット上の相談掲示板にては「共犯者となる」など扇情的言い回しや脅迫的な態度で、ネットからの隔離を強要する方も多い。
言いたい事はよくわかるんだけど。
もう少し穏やかな言い回しはできないものなのかね。
修復作業中に他のマルウェアに感染する可能性を回避するための、ネットワークよりの隔離
あちらこちらで何度も言い尽くされている話ではあるのだが。
NATなどを利用していないダイヤルアップ接続やTAを利用したISDN接続、ルーター型ではないADSLモデムとフレッツ接続ツール。グローバルIPアドレスによるネットワークへの接続は、脆弱性が存在するパソコンでは世界中より「はいはい、こんにちわー」と感染してしまうだろう。
案外気付かれない問題点はブロードバンドルーターが備える機能の一つ、所謂「サーバー公開機能」だ。プライベートIPアドレスを利用していたとしても、これまた外部よりコンニチワである。
では「外部より接続されて新たに感染」ではなく、「感染マシンよりネットワーク内部から外部へ接続して新たに感染」する事例ではどうだ?
Bot(ボット)系マルウェアやダウンローダー系マルウェアでは、他のマルウェアをダウンロード・インストールする場合もあるだろう。
ブラウザハイジャッカーでは、不審な危険サイトを強制的に表示させられて、新たなマルウェアを導入させられるかもしれない。
ネットワークに接続しつつ修復作業を行うためには
どうしたらば良いんだろうかね。
ブロードバンドルーターにてDNSサーバーとアンチウイルスソフトメーカーとどこかの相談掲示板以外への接続をブロックする、これは非現実的だ。
もちろん操作と設定を簡単に行える方もいるだろうけどね。
おっと、書き忘れるところだった。
対策として促されがちなPersonal Fire Wallは感染時には正常に機能しない可能性があり、感染後にはアウト・インバウンドいずれも正常な動作とブロックを完全には期待できない。
プログラムが外部へ接続しようと試みるたびに手動で「Allow」とクリックするような慎重な方ならば、マルウェアにそうそう感染したりはしないだろう。
全く無意味ではない、だが信頼しすぎてはならないのだ。
それにね、操作に不慣れな層に導入するよう要求したとしても、十分に理解し適切に設定・運用してもらえるものなんでしょうかね?
ネットに接続せずに修復作業を行うにしても
よく目にするのは、指示した内容をプリントアウトして駆除・修復が終了するまでネットに接続するなとの方策である。
同時に特定の駆除ツールなどをダウンロードさせる場合もあるだろう。
だけどね。
少数の・もしくは回答者が気付いたマルウェアのみに感染しているとは言い切りづらい事例もあるし、質問者への指示が適切であるとも限らないのだ。
感染していない他のパソコンより情報収集・質問掲示板へ投稿、駆除ツールをダウンロード?
現実的な対応策だ。
だが感染したパソコンの所有者が代替マシンを所有していない場合もあるだろう。ネットカフェに毎回出かけるしかないのかな。
繰り返しになるが前述の問題 - アンチウイルスソフトのアップデートはどうするのだと。
インストールせずに利用できるサービスもあるのだろうけど、難しいですね。
では、どうすればと
加害者となる可能性を低減・被害の拡大を阻止するためには、必須な場合もあるだろう。
よくわかりますよ、はい。
だが全ての人が自力でチャキチャキと修復作業を行えるのかと問われれば、無理だろうと即答する。
ホームユーザー、それも初心者層を対象にアドバイスを行うとしたらば、ネットワークより隔離してしまえば後々の駆除作業をスムーズに行うのを阻害してしまう可能性がある。
どのような状況や症状、何に感染していたらばと、尺度のようなものを定めるべきなのやもしれないが、それは無理だろう。
回答者へ適切なレポートを行うには各種ソフトウェアをダウンロード・更新しなければならず、ネットワークへ接続する必要が必須である場合もあるし。全ての人が複数のパソコンを所有しているのではない。
「HijackThisでの診断を受ければ、優秀な回答者が(隔離すべきか否かを含め)適切なアドバイスをしてもらえるはずだ」だとぉ?
幻想か思い込みだ。
ファイルの名称のみでリスクを十分判別できるのではないし。補足情報の不足や見逃し、HijackThisでは検出されない脅威の事例なんて幾らでもあるではないか。
ログよりの診断は「隔離しなければならない事例の幾許か」を明らかにできるものの、実際には「隔離しなければならない全ての事例」を示せてはいない。
多くの事例では何度もやりとりが必要だし、HijackThisのログのみで解決した事例なんて少数だ。
「情報収集や修復作業をスムーズに行うための接続維持」と「安全であるための隔離」は相反する判断基準に基づくものであるし、個別の事例ごとに対応策を練るのは大変難しいだろう。
この場にて早急に結論などを示すつもりはないし、後は各々で考えてもらいたい。
Posted by Luca at 21:45
│
│
2006年12月04日 - トロイの木馬・スパイウェア・キーロガー感染時にあきらめる判断基準
個人情報・何かのIDアカウントとパスワードを抜き取るようなマルウェアに感染した場合、どうしたらば最も適切なのだろうか。
最も安全・確実なのは、あきらめリカバリー・OSをクリーンインストールする手法だ。後腐れ無く確実にクリーンな状態を取り戻せるだろう、多分。
あきらめリカバリーするならば、かなりの労力コストが費やされるだろう、特にホームユーザーであるならば。
リカバリー操作そのものやその後のOSアップデート(Windows Update・Microsoft Update)は、さほどの労ではない。
一番の問題は、失ってしまう多くのファイルや、パソコンに設定していた多くのアプリケーションの設定だ。
以前マルウェア感染後にリカバリー・新規インストールをし、再利用可能なデータファイルと注意事項(Semplice)なるブログを記載したのだが、実際に何をどうバックアップ・エクスポートし、その後インポートするのかと考えると、自分ならば頭がクラクラする。
バックアップすべきは、画像や動画や文書ファイルのみではない。
メールアカウントや受信済みメールとアドレス帳、ブックマーク(お気に入り)、IMEのユーザー辞書。
ホームページ作成ソフトにて設定した、FTP接続設定。
一見瑣末と思われそうだが、デスクトップ上のアイコン配置やカスタマイズしたスタートメニューなどは、ユーザビリティなり操作性に響く。
リカバリー操作の前には思いつかなかったようなものが、後になってから気付き。しまったと悔やんでも元の設定をどうしたらばよいのか思いだせず悩むのもまたよくある話だ。
セキュリティ雑感 リカバリ基本編 2006.01.28改訂(セキュリティ雑感)のような役立つ情報もあるものの、各々がカスタマイズした状態と同様の状態にするためには、思ってもみないほどの労力が求められる。
もちろん無防備なシステムをネットに晒すような状況は安全ではないが、本題ではないためスルーする。
未知のマルウェアに感染している可能性がある場合や、ダウンローダー系マルウェア(他のマルウェア、例えばトロイの木馬やキーロガーその他をどこからか持ち込むもの)に感染していた場合は、アンチウイルスソフトによるスキャンやHijackThisによる診断により100%確実に修復できるとは言い切れないだろう。
(特に、ダウンローダー系マルウェアによる複合感染時)
ある程度の確立で、「何か」が残存する可能性は否定できない。
密やかな悪意に怯えつつ、修復した(と利用者が判断した)パソコンを利用し続けるのは、精神衛生的に良くないし。あまりいい気分ではない。
判断基準とか持ち出してしまった後になってから、どうするべきなのかと悩ましい。
基本的には、リカバリーと一連の操作に求められる労力が、考えられうる最大の被害に見合う場合なのだろうか。
などと考え、実際にはこれほど難しい問題は無いのではと頭を抱えた。
極めて重要な・秘匿性が高い業務に携わっていたり、株のオンライントレードなど多額の現金が動くようなネット活動を行っていたり、またはバレたらば人生が終わるような相手と秘密の恋愛でもしているならば、リカバリー操作を行うべきだ。
何故ならば、もしもスパイウェアなりが残っており悪意がある第三者によりモニターされたり情報を抜き取られた場合に、被害の範囲が想定しきれないほど重篤になる可能性があるからだ。
あまり良い喩え話ではないのは承知だが。
君がただならぬような相手と恋に落ち、密かに愛情を育んでいるとする。
相手に愛情を込めたメールを送る度に、「今送信する内容が悪意がある第三者に漏洩したらば困る」とチラッと頭を過ぎる。
(第三者は君や相手の親とか、怪しい調査会社、恋のライバルやもしれない)
さあ、どうする?
(携帯電話でメールを送れとのコメントはご容赦願いたい)
金銭に換えられない価値は、人生に伴うあらゆる行動に伴うだろう。
さあ、どうする?
だけどね。
ほとんど脅威が無いようなマルウェアに感染したとして、やたらと過剰反応してしまい時間と労力を費やしてしまうのは、無駄だよね。
キーロガーやトロイの木馬(この場合はリモートアクセストロイ)に感染したとしても、確実に駆除・削除できたと確証が持てる場合ならば、リカバリーする必要はさほど無いのだろうか。
だが、どうやって判断するべきなんだろうか?
話が多少ずれるのだが、以前より微妙さを感じている話を。
あるネットゲームのパスワードを取得する目的と報告されているスパイウェアに感染していたとし、そのネットゲームを利用していなければ、どうでもいいんだろうか?
これもまた難儀ですね。
アンチウイルスソフトメーカーの情報にてそのように記載されていたとしても、同一検出名のファイルが全く同じとは言い切れない。アンチウイルスソフトのシグニチャにより挙動が異なる変種が検出されたのやもしれない。
企業ならばさっさと対応すべきなのだろうか。
だが個人レベルであるならば、どこまでやられたらばあきらめリカバリーすべきなのかとの尺度は、明瞭には示せない。
正直な話として、自分はどのような状態であったならばどうすべきかとの、普遍的な解をこの場にて設定しづらいのだ。
どうしたらば良いんでしょうかね。
マルウェア感染後にリカバリー・新規インストールをし、再利用可能なデータファイルと注意事項
キーロガー(Keylogger)による情報漏洩と対策
スパイウェア(Spyware)対策と駆除
最も安全・確実なのは、あきらめリカバリー・OSをクリーンインストールする手法だ。後腐れ無く確実にクリーンな状態を取り戻せるだろう、多分。
リカバリーは面倒臭い
あきらめリカバリーするならば、かなりの労力コストが費やされるだろう、特にホームユーザーであるならば。
リカバリー操作そのものやその後のOSアップデート(Windows Update・Microsoft Update)は、さほどの労ではない。
一番の問題は、失ってしまう多くのファイルや、パソコンに設定していた多くのアプリケーションの設定だ。
以前マルウェア感染後にリカバリー・新規インストールをし、再利用可能なデータファイルと注意事項(Semplice)なるブログを記載したのだが、実際に何をどうバックアップ・エクスポートし、その後インポートするのかと考えると、自分ならば頭がクラクラする。
バックアップすべきは、画像や動画や文書ファイルのみではない。
メールアカウントや受信済みメールとアドレス帳、ブックマーク(お気に入り)、IMEのユーザー辞書。
ホームページ作成ソフトにて設定した、FTP接続設定。
一見瑣末と思われそうだが、デスクトップ上のアイコン配置やカスタマイズしたスタートメニューなどは、ユーザビリティなり操作性に響く。
リカバリー操作の前には思いつかなかったようなものが、後になってから気付き。しまったと悔やんでも元の設定をどうしたらばよいのか思いだせず悩むのもまたよくある話だ。
セキュリティ雑感 リカバリ基本編 2006.01.28改訂(セキュリティ雑感)のような役立つ情報もあるものの、各々がカスタマイズした状態と同様の状態にするためには、思ってもみないほどの労力が求められる。
リカバリー後は、安全である
もちろん無防備なシステムをネットに晒すような状況は安全ではないが、本題ではないためスルーする。
未知のマルウェアに感染している可能性がある場合や、ダウンローダー系マルウェア(他のマルウェア、例えばトロイの木馬やキーロガーその他をどこからか持ち込むもの)に感染していた場合は、アンチウイルスソフトによるスキャンやHijackThisによる診断により100%確実に修復できるとは言い切れないだろう。
(特に、ダウンローダー系マルウェアによる複合感染時)
ある程度の確立で、「何か」が残存する可能性は否定できない。
密やかな悪意に怯えつつ、修復した(と利用者が判断した)パソコンを利用し続けるのは、精神衛生的に良くないし。あまりいい気分ではない。
リカバリーするべきか否かの判断基準は、定性的・定量的いずれなのか
判断基準とか持ち出してしまった後になってから、どうするべきなのかと悩ましい。
基本的には、リカバリーと一連の操作に求められる労力が、考えられうる最大の被害に見合う場合なのだろうか。
などと考え、実際にはこれほど難しい問題は無いのではと頭を抱えた。
極めて重要な・秘匿性が高い業務に携わっていたり、株のオンライントレードなど多額の現金が動くようなネット活動を行っていたり、またはバレたらば人生が終わるような相手と秘密の恋愛でもしているならば、リカバリー操作を行うべきだ。
何故ならば、もしもスパイウェアなりが残っており悪意がある第三者によりモニターされたり情報を抜き取られた場合に、被害の範囲が想定しきれないほど重篤になる可能性があるからだ。
あまり良い喩え話ではないのは承知だが。
君がただならぬような相手と恋に落ち、密かに愛情を育んでいるとする。
相手に愛情を込めたメールを送る度に、「今送信する内容が悪意がある第三者に漏洩したらば困る」とチラッと頭を過ぎる。
(第三者は君や相手の親とか、怪しい調査会社、恋のライバルやもしれない)
さあ、どうする?
(携帯電話でメールを送れとのコメントはご容赦願いたい)
金銭に換えられない価値は、人生に伴うあらゆる行動に伴うだろう。
さあ、どうする?
だけどね。
ほとんど脅威が無いようなマルウェアに感染したとして、やたらと過剰反応してしまい時間と労力を費やしてしまうのは、無駄だよね。
何に感染したらばリカバリーすべきかとの判断も難しい
キーロガーやトロイの木馬(この場合はリモートアクセストロイ)に感染したとしても、確実に駆除・削除できたと確証が持てる場合ならば、リカバリーする必要はさほど無いのだろうか。
だが、どうやって判断するべきなんだろうか?
話が多少ずれるのだが、以前より微妙さを感じている話を。
あるネットゲームのパスワードを取得する目的と報告されているスパイウェアに感染していたとし、そのネットゲームを利用していなければ、どうでもいいんだろうか?
これもまた難儀ですね。
アンチウイルスソフトメーカーの情報にてそのように記載されていたとしても、同一検出名のファイルが全く同じとは言い切れない。アンチウイルスソフトのシグニチャにより挙動が異なる変種が検出されたのやもしれない。
企業ならばさっさと対応すべきなのだろうか。
だが個人レベルであるならば、どこまでやられたらばあきらめリカバリーすべきなのかとの尺度は、明瞭には示せない。
正直な話として、自分はどのような状態であったならばどうすべきかとの、普遍的な解をこの場にて設定しづらいのだ。
どうしたらば良いんでしょうかね。
関連記事
マルウェア感染後にリカバリー・新規インストールをし、再利用可能なデータファイルと注意事項
キーロガー(Keylogger)による情報漏洩と対策
スパイウェア(Spyware)対策と駆除
Posted by Luca at 22:38
│
│
