2006年03月24日 - マルウェア感染テスト・感染実験を行う際の心構えと注意事項
世の中にはマルウェア、つまりウイルスやスパイウェアやアドウェアをわざわざインストールし、その挙動を観察してレポートする方々が存在する。
何か興味深いものを見つけたらばインストールし、その挙動を観察し被害の程度を推察・またその修復方法を探したりとかね。
(現在アンチウイルスソフトメーカーでは、このような「実際に踏んでテスト」を自動化して行う仮想的サンドボックスを作成し、ユーザーから提出された検体をテストしているのだそうな。)
これについて最近、アレコレと質問されたりする機会が多いんですが。。。。。どうも誤解を招いているような予感がするので、簡単に。
自分はVirtual PC環境下でこの手の「感染実験」を行っている。また世の中にはVMWareを利用している方も多いようだ。
このような環境では、活動しない・また十分な活動を行わないマルウェアも存在する点は念頭に置かなければならない(遭遇した経験は極めて稀ですが)。
これらの問題を避けるには、実機で実際にテストする必要があるのだろう。そのような検証者は、Norton GhostやAcronis TrueImageを利用しているようだ。
マルウェアに感染後、ネットワークに接続しそのアップデートやまたは他のマルウェアのダウンロードが実行される場合がある。
このようなものは、ネットワークに接続しない環境下では「正しい検証」は行えない。
微妙な事例なんですが。マスメーリングや外部へのアタックを行うマルウェアを「検証」する過程で、他の感染者を生むような事態は倫理的に避けたいものだ。
(アンチウイルスソフトメーカーはそのような倫理的問題を解決する目的で、これらのトラフィックを中継するシステムを構築しテストを重ねている)
ダイヤラーに感染するようなサイトを閲覧した場合、ダイヤルアップモデムが無い機器では「No Modem!!!」などと表示されるだけだ。
またあるソフトウェア(一例としてメッセンジャーなど)がインストールされていない環境で、これをアレコレするマルウェアに感染させたとしても、十分な機能を発揮させられないだろう。
他所様がブラウザ経由で遭遇した感染事例を再現するのは、大変難しい。OSやInternet Explorerのパッチマネージメント、感染した時点でのInternet Explorerの設定などをそのまま再現するのは困難だ。
後日第三者による検証を受けやすいよう、再現が容易な環境(サービスパックのみを導入し個別のパッチを導入しないなど)、また検証に際して必須なその際の状況(Internet Explorerの設定等)を明記する必要があるだろう。
知人が先日熱く語っていた話を、許諾を受けた上で転載しよう。
ブラウザの脆弱性を突く危険なサイトをテスト目的で閲覧したとする。所謂鑑定人とかそんな活動だ。
不適切(つまり激甘)な環境ではExploitが実行されるので、アンチウイルスソフトによる警告が表示されるだろう。
しかしInternet Explorerの設定が適切であればアンチウイルスソフトにより何も検出されなかったり、ブラクラの被害を受けない場合もある。一例としてJavaScriptそのものが無効・また修正パッチが導入されている設定では、これを利用したトラップには気付かない可能性がある。
そのため「どこそこのサイトは安全」と言い切るのは、難しいのだそうだ。だから「ある環境では安全だった」との言に留めるべきなのだと。
誤解を避ける目的で明記するが。これはあるサイトが安全か否かを判別する目的での、現在最新のパッチを導入した環境で被害を受けるか否かのレポートとは別の問題である。
とある日本国内のユーザーグループを眺め、微妙さを感じております。
「マルウェア育て中重症激重いPC」なる環境にて何かを新たにインストールし試すのは、どのような意味があるのだろうか?そのような環境下では本来の挙動を示すとは考えづらいし、更には複数のマルウェアによる問題を同一視してしまう可能性がある。
そのような環境下での「感染実験」とやらに、何の意味があるんだろうか。誰か説明して下さいな。
Dドライブにテスト用のOSをインストールし、これより何かに感染させた後にNorton Ghostで元通り、と。このような環境は最も手軽であるため、実際に行っている方が居りますが。
Cドライブ中のディレクトリへの絶対パスがあるコマンドを含むバッチファイルを、DドライブのOSからテストして、何の意味があるんですかね。
またキャプチャした画像やアンチウイルスソフトのログの転載は、DからCに直しなさいな。
またACLのアクセス権を設定していない環境下では、Dドライブ中のOSより「感染実験」を行った場合、Cドライブ中のファイルを汚染される可能性がある。気付きなさいな。
自分は実際にテストに供試したソフトウェアが、予め設定した基準に抵触しなかった場合、堂々と「インチキソフトであるとは判別できなかった」と明記している。
意外と思われる方が多そうだけど、自分はJWordがスパイウェア(狭義の意味ね)ではないと断言している、日本のネット上では際めて少数の人間である(「JWordは過去にはブラウザハイジャッカーだった説」を採っている)。
ただしあるソフトウェアそのものに瑕疵が無かったとしても、その配布の様態やインストールが強制的なものであった場合は、その部分について言及したとしても難は無いだろう。
いずれにしても、自身が検証しきれなかった部分は正直に書くべきだ。望んだ結果が得られなかったとしても、それを隠蔽したりぼかしてはならない。それは正直な態度ではない。
自身が観察できなかった部分に言及するならばせめて、外部のサイトに記載されている記事を引用元を明記した上で転載し、不備を補うべきだ。想像の産物を記述してはならない。
各々の解釈の違いも存在するだろう、しかし明確でない尺度に基づく結論は、問題点を混同させてしまいその後の議論を妨げるだけだ。
いかなる検証も行わずに、「見た目が怪しい」「スキャンがあっという間に終了した」とし、Hijack Thisのログ(のみ)とともに悪質なものとしてレポートするのは、避けねばならない。
スパイウェアには広義と狭義の定義が存在する(スパイウェア(Spyware)の解説と定義、概論(Semplice))。
断っておくが、ASC(Anti-Spyware Coalitionm)の「広義のスパイウェア」とは、「Spywareと他の潜在的に望ましくない技術」である。
これらの定義の曖昧さを知りつつ、自身の都合に合わせてスパイウェアなる用語をある時は「狭義のスパイウェア」ある時は「広義のスパイウェア」の意味として、使い分けてはならない。
供試対象とするソフトウェアについて望んだ成果が得られなかった場合には広義・得られたらば狭義の意味として使ったと言い訳するのは正直ではない。
それならば文中にて、(個人情報の流出などの)狭義での定義に該当したのか否かを明記するべきだ。
タレコミで本日5月4日の朝になってから気付いたんですが。
>キャプチャした画像やアンチウイルスソフトのログの転載は、DからCに直しなさいな
Cドライブでなければ正常に動作しない某対策ソフをDドライブにて動作させたキャプチャ画像が、表にやりとりが出ずに密かにCドライブで動作させた画像に変更されておりますが。
このままでは、あなたに薦められ障害が発生したユーザーに対してのアカウンタビリティ(説明責任)を十分に果たしきれないのではなかろうかと。
>またACLのアクセス権を設定していない環境下では、
>Dドライブ中のOSより「感染実験」を行った場合、
>Cドライブ中のファイルを汚染される可能性がある。気付きなさいな。
指摘があったのを無視し話をガラッと入れ替え、これを自分の新ネタとして掲載し。この問題を「回答者を目指す層への啓蒙ネタ」として掲載する姿勢はおかしいんじゃないですか?
自分は直接同じ内容を連絡した記憶があります。ネタ元はこのブログエントリでなかったと装われたとしても、私であるのは間違いないでしょう。
「著作権とセキュリティの専門家」と名乗るならば、相応の対応をすべきではないでしょうか。
#場を貸しただけの某所の管理人を巻き込むリスクを鑑み、一部内容を編集しました(3回目)。無関係な第三者を巻き込むのは、Lucaさんが望む所ではありません。
何か興味深いものを見つけたらばインストールし、その挙動を観察し被害の程度を推察・またその修復方法を探したりとかね。
(現在アンチウイルスソフトメーカーでは、このような「実際に踏んでテスト」を自動化して行う仮想的サンドボックスを作成し、ユーザーから提出された検体をテストしているのだそうな。)
これについて最近、アレコレと質問されたりする機会が多いんですが。。。。。どうも誤解を招いているような予感がするので、簡単に。
検証しきれない事例
仮想的な環境では活動しないマルウェアの存在
自分はVirtual PC環境下でこの手の「感染実験」を行っている。また世の中にはVMWareを利用している方も多いようだ。
このような環境では、活動しない・また十分な活動を行わないマルウェアも存在する点は念頭に置かなければならない(遭遇した経験は極めて稀ですが)。
これらの問題を避けるには、実機で実際にテストする必要があるのだろう。そのような検証者は、Norton GhostやAcronis TrueImageを利用しているようだ。
ネットワークに接続するのは、微妙。
マルウェアに感染後、ネットワークに接続しそのアップデートやまたは他のマルウェアのダウンロードが実行される場合がある。
このようなものは、ネットワークに接続しない環境下では「正しい検証」は行えない。
微妙な事例なんですが。マスメーリングや外部へのアタックを行うマルウェアを「検証」する過程で、他の感染者を生むような事態は倫理的に避けたいものだ。
(アンチウイルスソフトメーカーはそのような倫理的問題を解決する目的で、これらのトラフィックを中継するシステムを構築しテストを重ねている)
発揮できない機能は、どうにもならない
ダイヤラーに感染するようなサイトを閲覧した場合、ダイヤルアップモデムが無い機器では「No Modem!!!」などと表示されるだけだ。
またあるソフトウェア(一例としてメッセンジャーなど)がインストールされていない環境で、これをアレコレするマルウェアに感染させたとしても、十分な機能を発揮させられないだろう。
テスト機の状態には常に注意を払わなければならない
WindowsOSのサービスパック・修正パッチの導入状況
他所様がブラウザ経由で遭遇した感染事例を再現するのは、大変難しい。OSやInternet Explorerのパッチマネージメント、感染した時点でのInternet Explorerの設定などをそのまま再現するのは困難だ。
後日第三者による検証を受けやすいよう、再現が容易な環境(サービスパックのみを導入し個別のパッチを導入しないなど)、また検証に際して必須なその際の状況(Internet Explorerの設定等)を明記する必要があるだろう。
知人が先日熱く語っていた話を、許諾を受けた上で転載しよう。
ブラウザの脆弱性を突く危険なサイトをテスト目的で閲覧したとする。所謂鑑定人とかそんな活動だ。
不適切(つまり激甘)な環境ではExploitが実行されるので、アンチウイルスソフトによる警告が表示されるだろう。
しかしInternet Explorerの設定が適切であればアンチウイルスソフトにより何も検出されなかったり、ブラクラの被害を受けない場合もある。一例としてJavaScriptそのものが無効・また修正パッチが導入されている設定では、これを利用したトラップには気付かない可能性がある。
そのため「どこそこのサイトは安全」と言い切るのは、難しいのだそうだ。だから「ある環境では安全だった」との言に留めるべきなのだと。
誤解を避ける目的で明記するが。これはあるサイトが安全か否かを判別する目的での、現在最新のパッチを導入した環境で被害を受けるか否かのレポートとは別の問題である。
「他の何かに感染中」のマシンでのテスト
とある日本国内のユーザーグループを眺め、微妙さを感じております。
「マルウェア育て中重症激重いPC」なる環境にて何かを新たにインストールし試すのは、どのような意味があるのだろうか?そのような環境下では本来の挙動を示すとは考えづらいし、更には複数のマルウェアによる問題を同一視してしまう可能性がある。
そのような環境下での「感染実験」とやらに、何の意味があるんだろうか。誰か説明して下さいな。
デュアルブート環境にはご注意
Dドライブにテスト用のOSをインストールし、これより何かに感染させた後にNorton Ghostで元通り、と。このような環境は最も手軽であるため、実際に行っている方が居りますが。
Cドライブ中のディレクトリへの絶対パスがあるコマンドを含むバッチファイルを、DドライブのOSからテストして、何の意味があるんですかね。
またキャプチャした画像やアンチウイルスソフトのログの転載は、DからCに直しなさいな。
またACLのアクセス権を設定していない環境下では、Dドライブ中のOSより「感染実験」を行った場合、Cドライブ中のファイルを汚染される可能性がある。気付きなさいな。
恣意的な結果の誘導は避けねばならない
常に正直な態度で挑むべき
自分は実際にテストに供試したソフトウェアが、予め設定した基準に抵触しなかった場合、堂々と「インチキソフトであるとは判別できなかった」と明記している。
意外と思われる方が多そうだけど、自分はJWordがスパイウェア(狭義の意味ね)ではないと断言している、日本のネット上では際めて少数の人間である(「JWordは過去にはブラウザハイジャッカーだった説」を採っている)。
ただしあるソフトウェアそのものに瑕疵が無かったとしても、その配布の様態やインストールが強制的なものであった場合は、その部分について言及したとしても難は無いだろう。
いずれにしても、自身が検証しきれなかった部分は正直に書くべきだ。望んだ結果が得られなかったとしても、それを隠蔽したりぼかしてはならない。それは正直な態度ではない。
自身が観察できなかった部分に言及するならばせめて、外部のサイトに記載されている記事を引用元を明記した上で転載し、不備を補うべきだ。想像の産物を記述してはならない。
各々の解釈の違いも存在するだろう、しかし明確でない尺度に基づく結論は、問題点を混同させてしまいその後の議論を妨げるだけだ。
いかなる検証も行わずに、「見た目が怪しい」「スキャンがあっという間に終了した」とし、Hijack Thisのログ(のみ)とともに悪質なものとしてレポートするのは、避けねばならない。
定義や尺度を使い分けてはならない
スパイウェアには広義と狭義の定義が存在する(スパイウェア(Spyware)の解説と定義、概論(Semplice))。
断っておくが、ASC(Anti-Spyware Coalitionm)の「広義のスパイウェア」とは、「Spywareと他の潜在的に望ましくない技術」である。
これらの定義の曖昧さを知りつつ、自身の都合に合わせてスパイウェアなる用語をある時は「狭義のスパイウェア」ある時は「広義のスパイウェア」の意味として、使い分けてはならない。
供試対象とするソフトウェアについて望んだ成果が得られなかった場合には広義・得られたらば狭義の意味として使ったと言い訳するのは正直ではない。
それならば文中にて、(個人情報の流出などの)狭義での定義に該当したのか否かを明記するべきだ。
わかる人にしかわからない話
タレコミで本日5月4日の朝になってから気付いたんですが。
>キャプチャした画像やアンチウイルスソフトのログの転載は、DからCに直しなさいな
Cドライブでなければ正常に動作しない某対策ソフをDドライブにて動作させたキャプチャ画像が、表にやりとりが出ずに密かにCドライブで動作させた画像に変更されておりますが。
このままでは、あなたに薦められ障害が発生したユーザーに対してのアカウンタビリティ(説明責任)を十分に果たしきれないのではなかろうかと。
>またACLのアクセス権を設定していない環境下では、
>Dドライブ中のOSより「感染実験」を行った場合、
>Cドライブ中のファイルを汚染される可能性がある。気付きなさいな。
指摘があったのを無視し話をガラッと入れ替え、これを自分の新ネタとして掲載し。この問題を「回答者を目指す層への啓蒙ネタ」として掲載する姿勢はおかしいんじゃないですか?
自分は直接同じ内容を連絡した記憶があります。ネタ元はこのブログエントリでなかったと装われたとしても、私であるのは間違いないでしょう。
「著作権とセキュリティの専門家」と名乗るならば、相応の対応をすべきではないでしょうか。
#場を貸しただけの某所の管理人を巻き込むリスクを鑑み、一部内容を編集しました(3回目)。無関係な第三者を巻き込むのは、Lucaさんが望む所ではありません。
この記事へのコメント
昨年末より諸般の事情で難儀したネタでしたが。こちらは誰かを今後アレコレする意図は毛頭ございません。
内容そのものについてのコメントは歓迎しますが。
こちらの意を汲み、感情的なコメントは平にご容赦願います。
内容そのものについてのコメントは歓迎しますが。
こちらの意を汲み、感情的なコメントは平にご容赦願います。
Posted by Luca
at 2006年03月24日 22:11
Luca様、先日PMを頂いて以来、たまにこちらを拝見しています。
「他の何かに感染中」のマシンでのテスト
についてですが、
私の職業が医療関係ですので、医療に例えて感想を
述べたいと思います。
昨今はHIV感染者の結核及び、非定型抗酸菌群の感染がかなり問題になっていまして、HIV単独若しくは結核単独での症状、治療、対処の難易度とはかなり様相が異なります。
ですから、マシンについても同じことが言えるのではないかと思います。
(PCはリカバリという手段がありますが。)
単独での感染、複合での感染で比較出来れば面白いのかもしれません。
では失礼致します。
「他の何かに感染中」のマシンでのテスト
についてですが、
私の職業が医療関係ですので、医療に例えて感想を
述べたいと思います。
昨今はHIV感染者の結核及び、非定型抗酸菌群の感染がかなり問題になっていまして、HIV単独若しくは結核単独での症状、治療、対処の難易度とはかなり様相が異なります。
ですから、マシンについても同じことが言えるのではないかと思います。
(PCはリカバリという手段がありますが。)
単独での感染、複合での感染で比較出来れば面白いのかもしれません。
では失礼致します。
Posted by 通りすがり
at 2006年05月10日 19:17
>単独での感染、複合での感染で比較出来れば面白いのかもしれません。
得られる結果は区別しなければなりません。
区別しない・できないならば「「他の何かに感染中」のマシンでのテスト」は意味を成さないのです。
病気Aに感染中のウサギに病気Bを接種し、Bのみの結果を掲載するのは、捏造論文になります。
医療関係者ならばご存知と思われますが、かつては野良犬を実験動物に利用した機関もありましたが、病歴も何もわからないような保健所直送の実験動物によるデータは無意味ですよね?
こちらの主旨は、そのような内容です。
もちろん、複合感染時での挙動には興味はありますよ。
#なおハンドルであなたが投稿されますと、第三者を巻き込みますので。勝手ながら投稿者名を変更させていただきました、申し訳ありません。
得られる結果は区別しなければなりません。
区別しない・できないならば「「他の何かに感染中」のマシンでのテスト」は意味を成さないのです。
病気Aに感染中のウサギに病気Bを接種し、Bのみの結果を掲載するのは、捏造論文になります。
医療関係者ならばご存知と思われますが、かつては野良犬を実験動物に利用した機関もありましたが、病歴も何もわからないような保健所直送の実験動物によるデータは無意味ですよね?
こちらの主旨は、そのような内容です。
もちろん、複合感染時での挙動には興味はありますよ。
#なおハンドルであなたが投稿されますと、第三者を巻き込みますので。勝手ながら投稿者名を変更させていただきました、申し訳ありません。
Posted by Luca
at 2006年05月10日 19:52
私は以前回答練習フォーラムにて、このブログエントリでネタにしている場でまさにあなたの頭に浮かぶ女史が立てたトピにて、大変難儀な体験をしております。
女史は自分で何かに感染させ、それを駆除できるようアドバイス形式で回答するようにとおっしゃり、トピ立てをしましたが。
私は「質問ウィーザードに乗っ取らない・無視した投稿はおかしいのでは」と短いコメントを書きました。
直後女史より、尋常では無い書き様 - それこそ普通の方が書くとは思えないような罵詈雑言と脅迫 - のレスがありました。
自分の業績稼ぎを邪魔するなとか、お前な何様のつもりだ、とか、そんな内容です。
(あの方が月1回ほどの割合で、そのような投稿を裏でよくなさるのはご存知と思われます)
私は大変戸惑いましたが。他の参加者より「いいから謝罪しておけって!」と言われ、不承不承ながら謝罪コメントなどを記載したのです。
女史は自分で何かに感染させ、それを駆除できるようアドバイス形式で回答するようにとおっしゃり、トピ立てをしましたが。
私は「質問ウィーザードに乗っ取らない・無視した投稿はおかしいのでは」と短いコメントを書きました。
直後女史より、尋常では無い書き様 - それこそ普通の方が書くとは思えないような罵詈雑言と脅迫 - のレスがありました。
自分の業績稼ぎを邪魔するなとか、お前な何様のつもりだ、とか、そんな内容です。
(あの方が月1回ほどの割合で、そのような投稿を裏でよくなさるのはご存知と思われます)
私は大変戸惑いましたが。他の参加者より「いいから謝罪しておけって!」と言われ、不承不承ながら謝罪コメントなどを記載したのです。
Posted by Luca
at 2006年07月21日 19:15
