2005年12月26日 - 完璧なウイルス対策なるものと、マルウェア対策の誤解
なかなか微妙な記事を見つけたので紹介し、アレコレと石を投げてみる。
特集 あなたは完璧くん?それともダメダメくん? そのときどうするウイルス感染・前編・(SAFETY JAPAN 2005 [特集]-日経BP社)なる、なかなか近年見ないようなあらゆる意味での傑作を発見した。
この記事は職場での対策ではなく、個人向け・エンドユーザー向けに書かれているようだ。だからそのような視点でこちらも眺める。
まぁじっくりと記事を眺めてみよう。
まず序文。
いったん感染すると、対策ソフトでウイルス自体は退治できても事後処理が大変だ。
感染したとしても検出できない・退治できない場合も多々存在するように思われるんですが。
確かに著者は第四章にて「完璧くん」なるタイプであっても感染する事例を書いている。であるならば第一章の内容は誤解を招くのではなかろうか。
(また第四章まで読み進めなければそのような話題が出てこない点は読者にとって不親切だ)
まぁ、これは記事の構成上の問題なので、いぢらないでおく。
いでよ“安心のあかし”
でもご安心を。実は、あなたのパソコンでこんなメッセージが表示されたら、それは“安心のあかし”なのである。メッセージをよく読むと「見つかったため削除しました」とある。これはウイルスの侵入を水際で阻止したということ。
それは間違いぢゃないよ、そのような狭い解釈では。より正確に書くならば「アンチウイルスソフトによりマルウェアが検出されたそのファイルでは」だな。
しかしこの「水際で阻止」は極めて恥ずかしい状況なのだと、何故に著者は気付かないのだろうか。
同じような「?」感を感じている方を発見したので紹介する。
確かにそうですね、はい。そのような基本的な姿勢は最も大切な予防策であり、最低限必要なリテラシーの一つです。
だがそれ以前の段階であらゆる対応策をすっとばしているような気がするんですが、この記事は。
運用しインシデントへどう対応していくのか、また心構えの部分がですね、激しく大きく欠落している。また何何を導入しろは題目のみで、「じゃぁどうすればいい?」の部分がなぁ。
アンチウイルスソフトの利用についても、この記事はあまりにも稚拙だ。
製品によっては、メーカー推奨のファイル形式のみがスキャン対象なので「全てのファイル」をスキャン対象とするようにしたり、ヒューリスティックスキャンがデフォルトでは最高レベルではないので設定しなおすなどの、「アンチウイルスソフトの使い方の常識」がガッポリと抜け落ちているんですね。
一例として「●あなたは「完璧くん」、それとも「ダメダメくん」」なる欄があるのだが、これがなぁ。
著者はルーターを使っているか否かを安全かどうかの判断基準にしておりますが。より詳しく書くならば、「ルーターでNATを利用し、ネトゲのためにIPフォワーディングを設定する際には注意」ですかね。そしてLAN内部で感染しているパソコンが発生しそれよりネットワーク経由にて感染する場合を想定しなければならないだろう。
他にも第一章にてメール経由感染をわざわざ取り上げるんだから、当然メーラー(Outlook Expressなど)の基本的な設定についての言及が無い点が「?」なのだが。
更には近年は、プロバイダーがエンドユーザー向けサービスとして、受信されるメールのウイルススキャンを提供している例も多数見かけますが。そのようなサービスについての言及は無い。また当然、企業ならばメールサーバーにそのようなソフトは導入されているだろう。
おまけとなるのだが、ファイアーウォールとは何を指すんだろうか。パソコンに個別に導入されるWindows Personal Firewall(Microsoft)やZone Alarmを指すんだろうか、それともブロードバンドルーターのファイアーウォール機能、企業で導入されているプロキシサーバー。
「第四章 そのときどうする感染したかもしれない」、これが激しく違和感を感じる。
著者はアンチウイルスソフトメーカーのシグネチャファイルが間に合わなかった場合、また「カスタムメイドされたようなマイナーなマルウェア」では完璧くんでも感染しその被害を受ける可能性があると言及しているんだが。
これらはまずは「心構え」なり「社員教育」にて対応すべきだし、またWindows OSやメーラーその他アプリケーションの設定にて乗り切るべき部分なのではなかろうか。
その企業の管理者が、怪しい実行ファイルを開いて感染しうるような設定にしていたのがおかしいのだし。社員教育が十分でないオペレーターがその怪しいファイルを開いたとしても感染しないよう・被害が拡大しないように備えるべきなのではなかろうか。
この事件は社員教育だけではなく運用面の失敗と自分は考えてたんですがね。人により評価は様々なものなんですね。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
2005年12月27日、「言い回し」や「書き様」が剣呑過ぎる部分を修正。
特集 あなたは完璧くん?それともダメダメくん? そのときどうするウイルス感染・前編・(SAFETY JAPAN 2005 [特集]-日経BP社)なる、なかなか近年見ないようなあらゆる意味での傑作を発見した。
この記事は職場での対策ではなく、個人向け・エンドユーザー向けに書かれているようだ。だからそのような視点でこちらも眺める。
まぁじっくりと記事を眺めてみよう。
まず序文。
いったん感染すると、対策ソフトでウイルス自体は退治できても事後処理が大変だ。
感染したとしても検出できない・退治できない場合も多々存在するように思われるんですが。
確かに著者は第四章にて「完璧くん」なるタイプであっても感染する事例を書いている。であるならば第一章の内容は誤解を招くのではなかろうか。
(また第四章まで読み進めなければそのような話題が出てこない点は読者にとって不親切だ)
まぁ、これは記事の構成上の問題なので、いぢらないでおく。
アンチウイルスソフト以前の問題が
いでよ“安心のあかし”
でもご安心を。実は、あなたのパソコンでこんなメッセージが表示されたら、それは“安心のあかし”なのである。メッセージをよく読むと「見つかったため削除しました」とある。これはウイルスの侵入を水際で阻止したということ。
それは間違いぢゃないよ、そのような狭い解釈では。より正確に書くならば「アンチウイルスソフトによりマルウェアが検出されたそのファイルでは」だな。
しかしこの「水際で阻止」は極めて恥ずかしい状況なのだと、何故に著者は気付かないのだろうか。
同じような「?」感を感じている方を発見したので紹介する。
ぇーっと、まず、件名や差出人で怪しいと思うなら、踏むな。
記事内でウィルス見つかったよん。って言ってるのは、Eicarなのでテストウィルス*1だけど、その時々に流行っているウィルスの使用する件名や、普段英文なメールを送信しない友人が英語タイトルのメールを送ってきているだとか、まったく知らないメールアドレスからのメールは開封前に削除、もしくは、プロパティなどでヘッダを確認すべき。そのぐらいの自衛もしないで、ウィルス対策ソフトに依存していると、パターンファイルが未対応な時に痛い目にあいますよ。
そのときどうするウイルス感染(前編)/SAFETY JAPAN 2005 [特集]/日経BP社(インフラ管理者の独り言(はなずきん@酒好テム管理者))
確かにそうですね、はい。そのような基本的な姿勢は最も大切な予防策であり、最低限必要なリテラシーの一つです。
いい加減な内容のような気がしてきた
だがそれ以前の段階であらゆる対応策をすっとばしているような気がするんですが、この記事は。
運用しインシデントへどう対応していくのか、また心構えの部分がですね、激しく大きく欠落している。また何何を導入しろは題目のみで、「じゃぁどうすればいい?」の部分がなぁ。
アンチウイルスソフトの設定
アンチウイルスソフトの利用についても、この記事はあまりにも稚拙だ。
製品によっては、メーカー推奨のファイル形式のみがスキャン対象なので「全てのファイル」をスキャン対象とするようにしたり、ヒューリスティックスキャンがデフォルトでは最高レベルではないので設定しなおすなどの、「アンチウイルスソフトの使い方の常識」がガッポリと抜け落ちているんですね。
記事中では題目のみの部分
一例として「●あなたは「完璧くん」、それとも「ダメダメくん」」なる欄があるのだが、これがなぁ。
著者はルーターを使っているか否かを安全かどうかの判断基準にしておりますが。より詳しく書くならば、「ルーターでNATを利用し、ネトゲのためにIPフォワーディングを設定する際には注意」ですかね。そしてLAN内部で感染しているパソコンが発生しそれよりネットワーク経由にて感染する場合を想定しなければならないだろう。
その他諸々
他にも第一章にてメール経由感染をわざわざ取り上げるんだから、当然メーラー(Outlook Expressなど)の基本的な設定についての言及が無い点が「?」なのだが。
更には近年は、プロバイダーがエンドユーザー向けサービスとして、受信されるメールのウイルススキャンを提供している例も多数見かけますが。そのようなサービスについての言及は無い。また当然、企業ならばメールサーバーにそのようなソフトは導入されているだろう。
おまけとなるのだが、ファイアーウォールとは何を指すんだろうか。パソコンに個別に導入されるWindows Personal Firewall(Microsoft)やZone Alarmを指すんだろうか、それともブロードバンドルーターのファイアーウォール機能、企業で導入されているプロキシサーバー。
心構えと技術
「第四章 そのときどうする感染したかもしれない」、これが激しく違和感を感じる。
著者はアンチウイルスソフトメーカーのシグネチャファイルが間に合わなかった場合、また「カスタムメイドされたようなマイナーなマルウェア」では完璧くんでも感染しその被害を受ける可能性があると言及しているんだが。
これらはまずは「心構え」なり「社員教育」にて対応すべきだし、またWindows OSやメーラーその他アプリケーションの設定にて乗り切るべき部分なのではなかろうか。
プロの犯罪者はウイルスを送り込む手口も巧妙だ。くだんの事件では、被害者の通販事業者にクレームのふりをしてメールを送り、「キズのあった商品の写真を添付します」と書き添えてウイルスを添付。これではよほど警戒心を研ぎ澄ましているセキュリティ専門家でもない限り、とっさに開いてしまうだろう。
狙い撃ちされたら一大事(SAFETY JAPAN 2005 [特集]-日経BP社)
その企業の管理者が、怪しい実行ファイルを開いて感染しうるような設定にしていたのがおかしいのだし。社員教育が十分でないオペレーターがその怪しいファイルを開いたとしても感染しないよう・被害が拡大しないように備えるべきなのではなかろうか。
この事件は社員教育だけではなく運用面の失敗と自分は考えてたんですがね。人により評価は様々なものなんですね。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
2005年12月27日、「言い回し」や「書き様」が剣呑過ぎる部分を修正。
この記事へのコメント
どうもです!!
基本は「ユーザの意識のアップデート」で
「対策ソフトはあくまで補助」だと思っています。
むやみに「対策ソフト」VS「ウイルス等」の対戦を
させていれば、いつかは出し抜かれます。
(出来る限り)対戦させないユーザこそが完璧くんでは
ないかと思います。
もちろん当該記事の「完璧くん」である事が”最低条件”ですが・・・
基本は「ユーザの意識のアップデート」で
「対策ソフトはあくまで補助」だと思っています。
むやみに「対策ソフト」VS「ウイルス等」の対戦を
させていれば、いつかは出し抜かれます。
(出来る限り)対戦させないユーザこそが完璧くんでは
ないかと思います。
もちろん当該記事の「完璧くん」である事が”最低条件”ですが・・・
Posted by anju
at 2005年12月27日 17:58
基本が「ユーザの意識のアップデート」である点は、完全に同意です。
そのような意識が備わっていなければ、対策を迫られても・また自発的に行おうとしても、十分な理解の上で進められません。
そして自分もまた、ウイルス対策としてのアンチウイルスソフトVSウイルスとの図式は、かなりひっかかりました。
何故にそれ以前の部分を省くのだろうかと。
最低条件と必要条件、これをどのような水準なり質とするのかは、難しいんですが。
自分としては、このような順位(または優先度)で考えております。
1)ユーザーの意識と理解、運用面での心構え
2)OSやアプリケーションの設定
3)プロバ提供サービス、ブロードバンドルーターの導入
3)アンチウイルスソフトの導入
そのような意識が備わっていなければ、対策を迫られても・また自発的に行おうとしても、十分な理解の上で進められません。
そして自分もまた、ウイルス対策としてのアンチウイルスソフトVSウイルスとの図式は、かなりひっかかりました。
何故にそれ以前の部分を省くのだろうかと。
最低条件と必要条件、これをどのような水準なり質とするのかは、難しいんですが。
自分としては、このような順位(または優先度)で考えております。
1)ユーザーの意識と理解、運用面での心構え
2)OSやアプリケーションの設定
3)プロバ提供サービス、ブロードバンドルーターの導入
3)アンチウイルスソフトの導入
Posted by Luca
at 2005年12月27日 18:52
