2006年09月23日 - クジョたいさく物語の謎
葉っぱ日記さんにて、IPA(独立行政法人 情報処理推進機構)の「セキュリティ対策まんが クジョたいさく物語」なるものを紹介していたので、眺めてみました。
しかしながら何故か404エラーで、なかなか閲覧できず。
大変面白い話でありますので、逐一眺め感想を記載してみます。
微妙な内容ですね。第1話「ウイルス対策ソフトは最新のものにすべき」の巻(IPA)を読んだ後に、どうしたものかとのモヤモヤ感を抱きました。
細かく記載してしまえば定義ファイル(シグネチャファイル)と検索エンジンですね。
定義ファイルにて対応されないマルウェアに対処するには、ヒューリスティックスキャンが必須でありますが、この機能の更新は「ウイルス定義」なるものに含有されるのかな。
この記事に対し最も不満感を感じた点は「ワクチンソフトが最新版ならば安全」との、古い・間違った神話を踏襲している点だ。
今時は多くの事例にて、アンチウイルスソフトメーカーによる定義ファイルは実際のアウトブレイクよりも数時間から数日は遅れ、更には小規模な感染例であるもの(一例としてスピア型・Targeted attack)ならば、検体を提出しなければいつまでも対応されないのもよくある話だ。
だから模範解答的には「最新の定義ファイルであっても感染するマルウェアはありうるが、最新の状態に保てば多くの場合において難を避けられるだろう」なんだろうか。
余計な話ではあるのだが。末尾には「スパイウエアは気付かぬうちに侵入するぞ!」なる項目。
この記事中の「ワクチンソフト」がアンチウイルスソフトとしたらばだが、多くのアンチウイルスソフトは(全てではないものの)スパイウェアを検出するだろう。
「クジョたいさく」クイズでは「ウイルス対策ソフトの中には、スパイウェア検出機能を持っているものがありますので、製品を購入する際に確かめましょう。」と記載しているのだから、ウイルス対策ソフトウェアにおけるスパイウェア対策についても、元の文章中に記載を加えるてもいいような。
断りとして)
大多数のアンチウイルスソフトやスパイウェア対策ソフトもまた、最新のスパイウェアは検出しないだろう。
メーカーによっては個人情報の流出をもたらすスパイウェアは、トロイの木馬と称される場合もある。
何をどう言ったらば良いのか、言葉に詰まった。第2話「修正プログラム(パッチ)をあてるべし」の巻は、マンガ的誇張がやり過ぎの感がある。
そもそも、どうやってメールアドレスを突き止めたんだろうか。「クジョたいさく事務所」のwhois情報を元に調べたんだろうか?
あり得ない。。。。。。。。。
今時はBotによるDDOSアタックを回避するようなソリューションも販売されているようだし、それに「国防省」だよ?わざわざ「自分らを攻撃するのは止めて下さいー!」と連絡するものなんだろうか。
「コンピュータ上のOSやプログラムは・・・常に最新の状態にしておくべし!」では、Windows Updateしか紹介されていないようだ。
Adobe ReaderやQuickTimeはどうしたものかと考えたのだが、一々個別の製品に対してアレコレと言及するのも無理があるのだろう。
また、ボットについての記載が気にかかる。「悪〜いやつからの命令を待ち」のような、受動的な事例のみなんだろうか?
感染後にハーダーが設置した「指令マシン」とやらに接続し、ボット及びその他のバージョンアップや指令の受信などを行う、ある意味で能動的な振る舞いを行うような事例が多いような気がする。
ブラウザで表示したサイトよりファイルをダウンロードし、動画だと思って実行したファイルが実行形式ファイルだった、100万円請求された。
第3話「あやしいファイルを開くな(ホームページ編)」の巻(IPA)はワンクリウェア感染を想定した回のようだ。
拡張子偽装はワンクリサイトの手口としてよく紹介されている事例の一つだ。
ワンクリック詐欺、ワンクリウェアなるもの(Semplice)にても記載したワンクリウェアは、かつての強制架電詐欺とほぼ同様の手法で多くの消費者を騙している。
「お宝画像.exe」でアイコン偽装されている危険ファイルを発展させた事例としては、二重拡張子ファイル(abc.jpg.exeのような実行形式ファイル)やスペースを幾つも利用したファイル名(abc.jpg exe)のようなものか。
参考リンクとして紹介されているコンピュータウイルス・不正アクセスの届出状況[12月分および2005年年間]について(IPA)には掲載されているこの手の拡張子偽装テクニックは、何故かクジョたいさく物語にては紹介されていないのが気にかかる。
恐らくはクジョ対策物語のターゲッティング層は「初心者」なのではなかろうか。
必要以上な(とIPAが判断した)情報を詰め込まず、シンプルな構成としたのだろう、多分。
初心者向けコンテンツに仕立てるとしても、以下の点には言及は欲しかったなぁ。
1)アイコンは偽装でき、プログラムの実行形式ファイルはアイコンをjpg画像やテキストやWordのdoc形式ファイルに偽装される場合もある。
2)マクロウイルスや最近話題のMS Office製品脆弱性を狙ったトラップ、一太郎トラップ。Exploitを仕込んだzipファイルやJPEG画像や動画トラップの存在は、実行形式ファイル(exe, com, scr, bat, pif)以外ならば安全との誤ったサインを初心者に送りかねない。クジョ対策物語もしくは参考リンクに含めておくべきだった。
3)動画ビューアーの脆弱性を突いた罠ファイルがネット上には広く存在する点について。
余計な話でありますが。自分がセミナーの講師をやって「皆さんどう思いますかぁ?」などと研修参加者へ振った時に、以下のような回答が出たらば必ず注意すると思う。
そもそも、論点が不十分だしおかしいのだ。
怪しいファイルは、開くべきではない。アンチウイルスソフトによりスキャンしようがしまいが、マルウェアを検出しようがしまいか、そんなのはどうでもいいのだよ。
「相手を信頼できるか否か」をどのように判断するんだろうか。
日頃付き合いがある・あの人はまさかウイルスを送りつけたりはしないだろう、とかそんなものか?または日頃利用しているサイトだからまさか、とか。
そんな「信頼」は、幻想だ。サイトにしても「うっかりミスによるハック」や参加者によるミスもありうるだろう。
一例として、ゴニョゴニョしたファイルをGoogleのイメージ検索に登録させ、Googleの検索結果か何かのように装ったURL(URI)を投稿するテクニックもあるようだ。
またhttp://www.google.com.example.com/ のURI(URL)ならば?
メールの送信者ではどうだろうか。
日頃より頻繁に付き合いがある業者のメールアカウントで、以下のようなメールが送られてきたらばどうなんだろうか。
件名:「ご連絡」
本文:「先日の見積もりに誤りがありました。ご迷惑をおかけし大変申し訳ありませんでした、至急ご確認下さい」
添付ファイル:何とか.exe
自分ならば相手に電話で、「こんなメールが届きましたが、どのような用件でしょうか?」と必ず問い合わせするよう薦める。
過去には顧客よりのクレームを装った人物が、トロイのサーバープログラムを仕込んだexeファイルが企業に送信された事件もあった。対応する方は「嫌だなぁ、危険そうだなぁ」と思いつつ開かねばならない事例もあるだろう。そのような場合には必ずネットワーク管理者に事前に一報を入れ相談すべきだ。
相手のメールアカウントを第三者が騙し・または乗っ取っている可能性や、相手がマスメーリング系ウイルス(厳密にはワームか)に感染している可能性を全く提示していない。
第3話で取り上げた問題点のうち一つ、冗長なスペースを含むファイル名についての扱いに言及したのは、誰かからかクレームでもあったのだろうか。
だが二重拡張子についての言及が無い点は、まだ納得がいかない。
記事中ではナンシーより送付された添付ファイルは「写真.exe」でアイコンが画像ファイルに偽装されていたのだが。
これが「写真.jpg exe」ならばどうなんだろうか?「ごまかしたファイルの事例」にてexeまでを含めて提示しなければ、一連の特集が初心者向けであるために十分には納得してもらえないだろう。
さて、第3話に引き続きメールの送信者がどれだけ信頼できるのかについてだ。
本文は英文とは限らないし、感染者が送付したメールに自動的に添付ファイルをくっつけ送信させるマルウェアも存在するだろう。
第3話と第4話は、全面的な書きなおしを要求する。
このままではIPAが連載でターゲッティングしている初心者層に対し、誤解を招くだけだろう。
しかしながら何故か404エラーで、なかなか閲覧できず。
大変面白い話でありますので、逐一眺め感想を記載してみます。
記事の内容に対する感想 - 大丈夫かこれ?
第1話「ウイルス対策ソフトは最新のものにすべき」の巻
微妙な内容ですね。第1話「ウイルス対策ソフトは最新のものにすべき」の巻(IPA)を読んだ後に、どうしたものかとのモヤモヤ感を抱きました。
ワクチンソフトには、ウイルス定義を自動的に更新する機能が付いている。
第1話「ウイルス対策ソフトは最新のものにすべき」の巻
細かく記載してしまえば定義ファイル(シグネチャファイル)と検索エンジンですね。
定義ファイルにて対応されないマルウェアに対処するには、ヒューリスティックスキャンが必須でありますが、この機能の更新は「ウイルス定義」なるものに含有されるのかな。
この記事に対し最も不満感を感じた点は「ワクチンソフトが最新版ならば安全」との、古い・間違った神話を踏襲している点だ。
今時は多くの事例にて、アンチウイルスソフトメーカーによる定義ファイルは実際のアウトブレイクよりも数時間から数日は遅れ、更には小規模な感染例であるもの(一例としてスピア型・Targeted attack)ならば、検体を提出しなければいつまでも対応されないのもよくある話だ。
だから模範解答的には「最新の定義ファイルであっても感染するマルウェアはありうるが、最新の状態に保てば多くの場合において難を避けられるだろう」なんだろうか。
余計な話ではあるのだが。末尾には「スパイウエアは気付かぬうちに侵入するぞ!」なる項目。
スパイウエアは気づかぬうちに侵入するぞ!
スパイウエアの検出には、スパイウエア対策ソフトを利用しよう。ウイルスのときと同じ様に、定期的な定義ファイルの更新が重要なのじゃ。
第1話「ウイルス対策ソフトは最新のものにすべき」の巻
この記事中の「ワクチンソフト」がアンチウイルスソフトとしたらばだが、多くのアンチウイルスソフトは(全てではないものの)スパイウェアを検出するだろう。
「クジョたいさく」クイズでは「ウイルス対策ソフトの中には、スパイウェア検出機能を持っているものがありますので、製品を購入する際に確かめましょう。」と記載しているのだから、ウイルス対策ソフトウェアにおけるスパイウェア対策についても、元の文章中に記載を加えるてもいいような。
断りとして)
大多数のアンチウイルスソフトやスパイウェア対策ソフトもまた、最新のスパイウェアは検出しないだろう。
メーカーによっては個人情報の流出をもたらすスパイウェアは、トロイの木馬と称される場合もある。
第2話「修正プログラム(パッチ)をあてるべし」の巻
何をどう言ったらば良いのか、言葉に詰まった。第2話「修正プログラム(パッチ)をあてるべし」の巻は、マンガ的誇張がやり過ぎの感がある。
メール来た
「こちらは某国連邦捜査局のジャックス・モジュラー捜査官だ。おまえが我が国国防省のコンピュータシステムに攻撃を仕掛けていることを突き止めた。」
第2話「修正プログラム(パッチ)をあてるべし」の巻
そもそも、どうやってメールアドレスを突き止めたんだろうか。「クジョたいさく事務所」のwhois情報を元に調べたんだろうか?
「おまえに報復する...ジャックス・モジュラー
第2話「修正プログラム(パッチ)をあてるべし」の巻
あり得ない。。。。。。。。。
今時はBotによるDDOSアタックを回避するようなソリューションも販売されているようだし、それに「国防省」だよ?わざわざ「自分らを攻撃するのは止めて下さいー!」と連絡するものなんだろうか。
「コンピュータ上のOSやプログラムは・・・常に最新の状態にしておくべし!」では、Windows Updateしか紹介されていないようだ。
Adobe ReaderやQuickTimeはどうしたものかと考えたのだが、一々個別の製品に対してアレコレと言及するのも無理があるのだろう。
また、ボットについての記載が気にかかる。「悪〜いやつからの命令を待ち」のような、受動的な事例のみなんだろうか?
感染後にハーダーが設置した「指令マシン」とやらに接続し、ボット及びその他のバージョンアップや指令の受信などを行う、ある意味で能動的な振る舞いを行うような事例が多いような気がする。
第3話「あやしいファイルを開くな(ホームページ編)」の巻
ブラウザで表示したサイトよりファイルをダウンロードし、動画だと思って実行したファイルが実行形式ファイルだった、100万円請求された。
第3話「あやしいファイルを開くな(ホームページ編)」の巻(IPA)はワンクリウェア感染を想定した回のようだ。
拡張子偽装はワンクリサイトの手口としてよく紹介されている事例の一つだ。
ワンクリック詐欺、ワンクリウェアなるもの(Semplice)にても記載したワンクリウェアは、かつての強制架電詐欺とほぼ同様の手法で多くの消費者を騙している。
「お宝画像.exe」でアイコン偽装されている危険ファイルを発展させた事例としては、二重拡張子ファイル(abc.jpg.exeのような実行形式ファイル)やスペースを幾つも利用したファイル名(abc.jpg exe)のようなものか。
参考リンクとして紹介されているコンピュータウイルス・不正アクセスの届出状況[12月分および2005年年間]について(IPA)には掲載されているこの手の拡張子偽装テクニックは、何故かクジョたいさく物語にては紹介されていないのが気にかかる。
恐らくはクジョ対策物語のターゲッティング層は「初心者」なのではなかろうか。
必要以上な(とIPAが判断した)情報を詰め込まず、シンプルな構成としたのだろう、多分。
初心者向けコンテンツに仕立てるとしても、以下の点には言及は欲しかったなぁ。
1)アイコンは偽装でき、プログラムの実行形式ファイルはアイコンをjpg画像やテキストやWordのdoc形式ファイルに偽装される場合もある。
2)マクロウイルスや最近話題のMS Office製品脆弱性を狙ったトラップ、一太郎トラップ。Exploitを仕込んだzipファイルやJPEG画像や動画トラップの存在は、実行形式ファイル(exe, com, scr, bat, pif)以外ならば安全との誤ったサインを初心者に送りかねない。クジョ対策物語もしくは参考リンクに含めておくべきだった。
3)動画ビューアーの脆弱性を突いた罠ファイルがネット上には広く存在する点について。
余計な話でありますが。自分がセミナーの講師をやって「皆さんどう思いますかぁ?」などと研修参加者へ振った時に、以下のような回答が出たらば必ず注意すると思う。
信頼できない相手からメールで送られて来たファイルや、信頼できないサイトからダウンロードしたファイルは、不用意に開かないという心掛けが大事です。
コンピュータウイルス・不正アクセスの届出状況[11月分]について(IPA)
そもそも、論点が不十分だしおかしいのだ。
怪しいファイルは、開くべきではない。アンチウイルスソフトによりスキャンしようがしまいが、マルウェアを検出しようがしまいか、そんなのはどうでもいいのだよ。
「相手を信頼できるか否か」をどのように判断するんだろうか。
日頃付き合いがある・あの人はまさかウイルスを送りつけたりはしないだろう、とかそんなものか?または日頃利用しているサイトだからまさか、とか。
そんな「信頼」は、幻想だ。サイトにしても「うっかりミスによるハック」や参加者によるミスもありうるだろう。
一例として、ゴニョゴニョしたファイルをGoogleのイメージ検索に登録させ、Googleの検索結果か何かのように装ったURL(URI)を投稿するテクニックもあるようだ。
またhttp://www.google.com.example.com/ のURI(URL)ならば?
メールの送信者ではどうだろうか。
日頃より頻繁に付き合いがある業者のメールアカウントで、以下のようなメールが送られてきたらばどうなんだろうか。
件名:「ご連絡」
本文:「先日の見積もりに誤りがありました。ご迷惑をおかけし大変申し訳ありませんでした、至急ご確認下さい」
添付ファイル:何とか.exe
自分ならば相手に電話で、「こんなメールが届きましたが、どのような用件でしょうか?」と必ず問い合わせするよう薦める。
過去には顧客よりのクレームを装った人物が、トロイのサーバープログラムを仕込んだexeファイルが企業に送信された事件もあった。対応する方は「嫌だなぁ、危険そうだなぁ」と思いつつ開かねばならない事例もあるだろう。そのような場合には必ずネットワーク管理者に事前に一報を入れ相談すべきだ。
相手のメールアカウントを第三者が騙し・または乗っ取っている可能性や、相手がマスメーリング系ウイルス(厳密にはワームか)に感染している可能性を全く提示していない。
第4話「あやしいファイルを開くな(メール編)」の巻
第3話で取り上げた問題点のうち一つ、冗長なスペースを含むファイル名についての扱いに言及したのは、誰かからかクレームでもあったのだろうか。
だが二重拡張子についての言及が無い点は、まだ納得がいかない。
記事中ではナンシーより送付された添付ファイルは「写真.exe」でアイコンが画像ファイルに偽装されていたのだが。
これが「写真.jpg exe」ならばどうなんだろうか?「ごまかしたファイルの事例」にてexeまでを含めて提示しなければ、一連の特集が初心者向けであるために十分には納得してもらえないだろう。
さて、第3話に引き続きメールの送信者がどれだけ信頼できるのかについてだ。
本文は英文とは限らないし、感染者が送付したメールに自動的に添付ファイルをくっつけ送信させるマルウェアも存在するだろう。
第3話と第4話は、全面的な書きなおしを要求する。
このままではIPAが連載でターゲッティングしている初心者層に対し、誤解を招くだけだろう。
この記事へのコメント
迷惑メールを送りまくってたとか。(返信するだけで届く)
最新アップデートの統合通知サービスって言うのがあったらいいですね。
GoogleデスクトップWidgetあたりにできないものでしょうか。
最新アップデートの統合通知サービスって言うのがあったらいいですね。
GoogleデスクトップWidgetあたりにできないものでしょうか。
Posted by itochan
at 2006年09月24日 02:29
>最新アップデートの統合通知サービス
それは面白いですね。あったらばいいのに。
IE、MS Office、QuickTime、Adobe Reader、一太郎、FireFox、ネスケ。
圧縮ファイルを扱うソフトウェア。
Becky!などのメーラー。
などと思いつくままに並べると、沢山あるものですね。
それは面白いですね。あったらばいいのに。
IE、MS Office、QuickTime、Adobe Reader、一太郎、FireFox、ネスケ。
圧縮ファイルを扱うソフトウェア。
Becky!などのメーラー。
などと思いつくままに並べると、沢山あるものですね。
Posted by Luca
at 2006年09月26日 06:59
キャラ設定、ストーリー、4コマなどの制約の下での漫画としては、よくできた漫画だと思います。
漫画だけで完結しているのではなく、一応解説で補完しているようですし。。。
けれども、どういう読者層を想定しているかが不明ですね。
漫画だけで完結しているのではなく、一応解説で補完しているようですし。。。
けれども、どういう読者層を想定しているかが不明ですね。
Posted by monasan
at 2006年10月17日 17:19
第1, 2話はともかく、第3話は末尾の解説が不十分なんですよね。IPAの過去記事を閲覧しなければ「完璧」にならない点で、消化不良でした。
>どういう読者層を想定しているかが
一般向けのような気がするものの、であれば第三話は現在よく騙しテクとして広く用いられている二重拡張子や連続スペースを含むファイル名などにも言及が欲しかったです、最低限。
>どういう読者層を想定しているかが
一般向けのような気がするものの、であれば第三話は現在よく騙しテクとして広く用いられている二重拡張子や連続スペースを含むファイル名などにも言及が欲しかったです、最低限。
Posted by Luca
at 2006年10月17日 21:26
