2006年10月28日 - マルウェア感染後にリカバリー・新規インストールをし、再利用可能なデータファイルと注意事項
リカバリーなりOSの新規インストールをすれば、ウイルスやスパイウェアに感染していない環境となるだろう。
その後に見逃されがちなのが、感染中のパソコンよりバックアップ・保存したファイルの扱いだ。
ウイルスやマルウェアに感染した後に、ファイルをDVD-Rにバックアップしたとして、どのファイルが果たして再利用可能なものなんだろうか?
ウイルス(極めて狭義のもの)では、既存のファイルが破壊・上書きされる場合もあるだろう。この場合はどのようなファイルが果たして汚染され得るのかは、難しい問題である。
感染後の対応として以前、リカバリー・再インストール直後のWindowsXPを安全に最新の状態に更新する(Semplice)なる記事を掲載はしたものの、何を・どこまでバックアップすべきなのか、安全なファイルは何なのかは、大変難しい問題だ。
「これで安全だ!」との判断基準を提示するのは困難である。
やや古い尺度では、「プログラムファイル」と「データファイル」として区分し、それぞれに見合った対応が紹介されただろう。後者は場合によっては「ウイルスに感染しない」「安全である」と言い切られてしまう。
しかしながら何をデータファイルとすべきなのか、更には通常データファイルとして扱われる形式であっても本当に安全なのかと考え出すと、なかなか難しいのだ。
模範解答的には、exeなどの実行形式ファイルを「汚染」するマルウェア(ウイルス)には最も用心しなければならないだろう。言い尽くされている話だが、出所が怪しいソフトウェア(ファイル交換サービスなどより入手したもの等)のインストーラーなどもだ。
Microsoft Officeのマクロウイルスは最近ではあまり見かけないが、用心しなければならない。
近年では、従来は安全であると言われていた画像や動画ファイルなどであっても、Windows OSの脆弱性を突く攻撃が存在する可能性を考えると、用心する必要があるだろう。
Adobe Reader(旧称:Acrobat Reader)で開くpdfなども注意が必要なのかな?
一太郎の脆弱性を攻撃する事例が多数生じているのだから、一太郎関連ファイルにも警戒しなければならない。
古くはREDLOFなどhtmlファイルを汚染するマルウェアも存在するのだから、htmlファイルも要注意だ。
考え過ぎと言われそうではありますが。
感染中のシステムにて作成した圧縮ファイル(特にパスワードを設定している書庫形式ファイル)は、他のパソコン上にて解凍せずに対策ソフトウェアでスキャンしたとしても、混入した何かを検出されない可能性もあるだろう。
ブラウザハイジャッカーやAdware感染後には、Internet Explorerのお気に入り(ブックマーク)にいかがわしいものが勝手に追加される場合もある。リカバリー後にお気に入りより開いたサイトでまた何かに感染したらば困るのだ。
受信したメール本文のバックアップ・インポートも注意を払わねばならない。未整備なパソコンにインポートした受信済みメールを、脆弱性が残る古いバージョンのメーラー(Outlook Express等)で表示してしまうのは論外だ。だからOSやメーラーを十分最新のバージョンとした上で、過去に受信した古いメールを開かねばならないだろう。
幾つか前置きをしておく。
マスメーリング(大量メール送信)による感染活動を行うようなマルウェアは、ウイルス対策メーカーなどは速やかに対応するだろう。
だがTargeted Attackではどうだろうか?新規なマルウェアや、一部の層やコミュニティのみをターゲッティングしたマルウェアでは、対策ソフトウェアにより検出されないのもよくある話だ。
(一例として、ファイル交換サービスを利用するユーザー間で広まった、ハードディスク丸ごと消去系マルウェア(Whiter・検出名やフォーラム上での名称が多岐なものだが)は、最も最初の報告より数ヶ月間送れてアンチウイルスソフトメーカーが対応した)
感染中のWindows OS上にては、アンチウイルスソフトやスパイウェア対策ソフトウェアが正常に稼動しないのもまた、今時では一般常識となりつつある。
対策ソフトウェアは予防のために利用するものであり、感染後の復旧作業では十分には力量を発揮しない。
多くのマルウェアは、手動でのスキャンやオンラインスキャンにて感染していないとレポートされたとしても、実際にダブルクリックし展開すれば常駐機能により何かが検出されブロックされる事例も多々あるだろう。
これはマルウェア関連ファイルがpackやcryptされている場合に多い事例である。
(検出回避処理はマイナーな話ではない。ワンクリウェアなどは凄まじい頻度でアンチウイルスソフトによる検出を避けるために、チョコチョコと更新されている事例が多い)
最も理想的な手法は、多分このようになるだろう。
1)感染中のパソコンよりファイルを外付けハードディスクやDVDにバックアップ。
2)実行形式ファイル(exe・bat・com・scr)は細心の注意を払い、場合によっては再利用せず削除。
3)バックアップメディアは他のパソコンより、複数のアンチウイルスソフトやスパイウェア対策ソフトによりスキャンする。
4)リカバリー後のパソコンには常駐監視機能が備わっているアンチウイルスソフトを導入、スキャン対象はメーカー推奨ではなく全てのファイルとし、ヒューリスティックスキャンを最高レベルとする。
(一部の製品ではデフォルトの状態でヒューリスティックスキャンの設定が最高レベルではないため、手動によるオンデマンドスキャンでは未知のマルウェアに取りこぼしが生じる可能性が高い)
5)マルウェアの脅威への対策は、定性的観点だけではなく定量的な判断も必要である。万が一・文字通り1万に1回の見落としに備えるならば、クリティカルな事態を避ける目的で必要以上にバッサリとバックアップファイルを削除するのも、事例によってはおかしな話ではない。
6)もちろん、「どうでもいいようなもの」に感染したからと言って、過剰反応するのも利便性を損ねるだろう。何事にもバランスは必要である。
スパイウェア(http://forum.higaitaisaku.com/viewtopic.php?t=1260)(【アダ被】フォーラム)にてまさにこの問題についての応酬があるので、紹介する。
時系列的にまとめると、このようになる。
1)羊氏が、アドウェア系マルウェア感染後にリカバリーしたものの、感染システム中より保存したファイルの安全性について質問。
2)anju氏が、感染中のパソコンより保存したファイルには十分注意しなければならないとのコメントを返信。
3)ママ姐女史が「Adwareに感染したならば他のファイルへは感染しない・Windows Defenderがあれば安心」との主旨のコメントをPost
4)anju氏がママ姐女史に反論。「感染中ならば対策ソフトにより検出できなかったものが無いとは言い切れない」とか、注意を払うべきファイルについての解説など。
5)ママ姐女史は具体的反論をせず、思いやり論を持ち出しanju氏を非難・攻撃。
higaitaisaku.com(旧称:アダルト被害対策の部屋(アダ被))って殺伐としてますね、毎度の事ながら。
ママ姐女史が感情論を持ち出し一方的に議論終結を宣言なされた理由はわかりませんが、これでは「よくも自分に反論したなぁ!おまえ生意気だぞぉ!」と爆発しただけのような印象が。
anju氏は「拡張子によって以下のファイルが存在します」と区分したのはおかしな話ではない。具体的な対応策を十分に言及しなかった点で言葉足らずではあったが。
(ママ姐女史より「質問者の立場を考えていない」と非難されてもなぁ。。。。。)
ママ姐女史の投稿は、技術的論点 - 何が安全で何が安全ではないのか - についての判断材料を全く提示しきれていない。また「Windows Defenderの導入を薦めれば後は何の問題も無い」のだろうか?自分は納得できませんが。
anju氏の指摘通り、感染中のシステムにては対策ソフトウェアが十分には機能しない可能性は高いし、更には他のマシン上にファイルを移動させた後であっても「対策ソフトウェアにより検出されない何かの存在」はリスクマネージメントとして考慮しなければならないポイントだ。
バックアップしたデータファイルは新しい環境へ戻し利用する前に、ANTIDOTE SuperLite 簡易版の利用や複数のウイルス対策ソフトウェアによるオンラインスキャン、もしくは他のパソコンにバックアップしたメディアを接続してのスキャンを実施する必要があるのではなかろうか。
更にはママ姐女史の「感染したのが所詮Adwareなのだから、既存のファイルが汚染される可能性は考えられない」との決め付けは、あまりにも早急であるし論拠が無い。
何故にAdwareに感染したのか、Adware以外の何かが潜んでいた可能性はどうなのか、脅威は極めて限定されていたのかとのリスクアセスメントができていないのだ。
今回のブログエントリでは、自分なりに慎重に言葉を選び、可能な限り穏やかな言い回しとしました。
1と2それぞれのAppendix、3など、色々ありましたね。
その後に見逃されがちなのが、感染中のパソコンよりバックアップ・保存したファイルの扱いだ。
感染後に注意を払うべきファイル
ウイルスやマルウェアに感染した後に、ファイルをDVD-Rにバックアップしたとして、どのファイルが果たして再利用可能なものなんだろうか?
ウイルス(極めて狭義のもの)では、既存のファイルが破壊・上書きされる場合もあるだろう。この場合はどのようなファイルが果たして汚染され得るのかは、難しい問題である。
感染後の対応として以前、リカバリー・再インストール直後のWindowsXPを安全に最新の状態に更新する(Semplice)なる記事を掲載はしたものの、何を・どこまでバックアップすべきなのか、安全なファイルは何なのかは、大変難しい問題だ。
「これで安全だ!」との判断基準を提示するのは困難である。
やや古い尺度では、「プログラムファイル」と「データファイル」として区分し、それぞれに見合った対応が紹介されただろう。後者は場合によっては「ウイルスに感染しない」「安全である」と言い切られてしまう。
しかしながら何をデータファイルとすべきなのか、更には通常データファイルとして扱われる形式であっても本当に安全なのかと考え出すと、なかなか難しいのだ。
模範解答的には、exeなどの実行形式ファイルを「汚染」するマルウェア(ウイルス)には最も用心しなければならないだろう。言い尽くされている話だが、出所が怪しいソフトウェア(ファイル交換サービスなどより入手したもの等)のインストーラーなどもだ。
Microsoft Officeのマクロウイルスは最近ではあまり見かけないが、用心しなければならない。
近年では、従来は安全であると言われていた画像や動画ファイルなどであっても、Windows OSの脆弱性を突く攻撃が存在する可能性を考えると、用心する必要があるだろう。
Adobe Reader(旧称:Acrobat Reader)で開くpdfなども注意が必要なのかな?
一太郎の脆弱性を攻撃する事例が多数生じているのだから、一太郎関連ファイルにも警戒しなければならない。
古くはREDLOFなどhtmlファイルを汚染するマルウェアも存在するのだから、htmlファイルも要注意だ。
考え過ぎと言われそうではありますが。
感染中のシステムにて作成した圧縮ファイル(特にパスワードを設定している書庫形式ファイル)は、他のパソコン上にて解凍せずに対策ソフトウェアでスキャンしたとしても、混入した何かを検出されない可能性もあるだろう。
ブラウザハイジャッカーやAdware感染後には、Internet Explorerのお気に入り(ブックマーク)にいかがわしいものが勝手に追加される場合もある。リカバリー後にお気に入りより開いたサイトでまた何かに感染したらば困るのだ。
受信したメール本文のバックアップ・インポートも注意を払わねばならない。未整備なパソコンにインポートした受信済みメールを、脆弱性が残る古いバージョンのメーラー(Outlook Express等)で表示してしまうのは論外だ。だからOSやメーラーを十分最新のバージョンとした上で、過去に受信した古いメールを開かねばならないだろう。
アンチウイルスソフトによるスキャンは万全なものではない
幾つか前置きをしておく。
マスメーリング(大量メール送信)による感染活動を行うようなマルウェアは、ウイルス対策メーカーなどは速やかに対応するだろう。
だがTargeted Attackではどうだろうか?新規なマルウェアや、一部の層やコミュニティのみをターゲッティングしたマルウェアでは、対策ソフトウェアにより検出されないのもよくある話だ。
(一例として、ファイル交換サービスを利用するユーザー間で広まった、ハードディスク丸ごと消去系マルウェア(Whiter・検出名やフォーラム上での名称が多岐なものだが)は、最も最初の報告より数ヶ月間送れてアンチウイルスソフトメーカーが対応した)
感染中のWindows OS上にては、アンチウイルスソフトやスパイウェア対策ソフトウェアが正常に稼動しないのもまた、今時では一般常識となりつつある。
対策ソフトウェアは予防のために利用するものであり、感染後の復旧作業では十分には力量を発揮しない。
多くのマルウェアは、手動でのスキャンやオンラインスキャンにて感染していないとレポートされたとしても、実際にダブルクリックし展開すれば常駐機能により何かが検出されブロックされる事例も多々あるだろう。
これはマルウェア関連ファイルがpackやcryptされている場合に多い事例である。
(検出回避処理はマイナーな話ではない。ワンクリウェアなどは凄まじい頻度でアンチウイルスソフトによる検出を避けるために、チョコチョコと更新されている事例が多い)
最も理想的な手法は、多分このようになるだろう。
1)感染中のパソコンよりファイルを外付けハードディスクやDVDにバックアップ。
2)実行形式ファイル(exe・bat・com・scr)は細心の注意を払い、場合によっては再利用せず削除。
3)バックアップメディアは他のパソコンより、複数のアンチウイルスソフトやスパイウェア対策ソフトによりスキャンする。
4)リカバリー後のパソコンには常駐監視機能が備わっているアンチウイルスソフトを導入、スキャン対象はメーカー推奨ではなく全てのファイルとし、ヒューリスティックスキャンを最高レベルとする。
(一部の製品ではデフォルトの状態でヒューリスティックスキャンの設定が最高レベルではないため、手動によるオンデマンドスキャンでは未知のマルウェアに取りこぼしが生じる可能性が高い)
5)マルウェアの脅威への対策は、定性的観点だけではなく定量的な判断も必要である。万が一・文字通り1万に1回の見落としに備えるならば、クリティカルな事態を避ける目的で必要以上にバッサリとバックアップファイルを削除するのも、事例によってはおかしな話ではない。
6)もちろん、「どうでもいいようなもの」に感染したからと言って、過剰反応するのも利便性を損ねるだろう。何事にもバランスは必要である。
higaitaisaku.com(旧称:アダルトサイト被害対策の部屋、略称:アダ被)での、ママ姐(mama_ane)女史とanju氏のかみ合わないやりとり
スパイウェア(http://forum.higaitaisaku.com/viewtopic.php?t=1260)(【アダ被】フォーラム)にてまさにこの問題についての応酬があるので、紹介する。
時系列的にまとめると、このようになる。
1)羊氏が、アドウェア系マルウェア感染後にリカバリーしたものの、感染システム中より保存したファイルの安全性について質問。
2)anju氏が、感染中のパソコンより保存したファイルには十分注意しなければならないとのコメントを返信。
3)ママ姐女史が「Adwareに感染したならば他のファイルへは感染しない・Windows Defenderがあれば安心」との主旨のコメントをPost
4)anju氏がママ姐女史に反論。「感染中ならば対策ソフトにより検出できなかったものが無いとは言い切れない」とか、注意を払うべきファイルについての解説など。
5)ママ姐女史は具体的反論をせず、思いやり論を持ち出しanju氏を非難・攻撃。
higaitaisaku.com(旧称:アダルト被害対策の部屋(アダ被))って殺伐としてますね、毎度の事ながら。
ママ姐女史が感情論を持ち出し一方的に議論終結を宣言なされた理由はわかりませんが、これでは「よくも自分に反論したなぁ!おまえ生意気だぞぉ!」と爆発しただけのような印象が。
マルウェア感染後のリスクマネージメント
anju氏は「拡張子によって以下のファイルが存在します」と区分したのはおかしな話ではない。具体的な対応策を十分に言及しなかった点で言葉足らずではあったが。
(ママ姐女史より「質問者の立場を考えていない」と非難されてもなぁ。。。。。)
ママ姐女史の投稿は、技術的論点 - 何が安全で何が安全ではないのか - についての判断材料を全く提示しきれていない。また「Windows Defenderの導入を薦めれば後は何の問題も無い」のだろうか?自分は納得できませんが。
anju氏の指摘通り、感染中のシステムにては対策ソフトウェアが十分には機能しない可能性は高いし、更には他のマシン上にファイルを移動させた後であっても「対策ソフトウェアにより検出されない何かの存在」はリスクマネージメントとして考慮しなければならないポイントだ。
バックアップしたデータファイルは新しい環境へ戻し利用する前に、ANTIDOTE SuperLite 簡易版の利用や複数のウイルス対策ソフトウェアによるオンラインスキャン、もしくは他のパソコンにバックアップしたメディアを接続してのスキャンを実施する必要があるのではなかろうか。
更にはママ姐女史の「感染したのが所詮Adwareなのだから、既存のファイルが汚染される可能性は考えられない」との決め付けは、あまりにも早急であるし論拠が無い。
何故にAdwareに感染したのか、Adware以外の何かが潜んでいた可能性はどうなのか、脅威は極めて限定されていたのかとのリスクアセスメントができていないのだ。
後書き
今回のブログエントリでは、自分なりに慎重に言葉を選び、可能な限り穏やかな言い回しとしました。
1と2それぞれのAppendix、3など、色々ありましたね。
この記事へのトラックバック
http://blog.lucanian.net/archives/50833975.html にトラックバック。トロイの木馬がネットから別のウイルスをダウンロードする機能を持つことはめずらしくありません。WinFixerにしてもwmfファイル脆...
ウイルス感染後の復旧について【てくてく糸巻き】at 2006年10月29日 15:26
この記事へのコメント
わからなかった点1つ。コメント欄にも書きますが、
質問文中の「NTTのセキュリティ対策ツール」には、スパイウェアを発見する機能があるようなないような書き方。
http://flets-w.com/kojin/dekiru/security/index.html
http://flets-w.com/v6ap_support_02/v6/support/d2/2006/faq/e3-009.html
どこを見ても説明がない…
質問文中の「NTTのセキュリティ対策ツール」には、スパイウェアを発見する機能があるようなないような書き方。
http://flets-w.com/kojin/dekiru/security/index.html
http://flets-w.com/v6ap_support_02/v6/support/d2/2006/faq/e3-009.html
どこを見ても説明がない…
Posted by itochan
at 2006年10月29日 15:29
>スパイウェアを発見する機能があるような
自分はNTT経由で利用した経験がありませんが。
何を検出対象とするのか・できるのかはTrendmicro社に限らず、メーカーごとにより異なるものです。
面倒な話として、Trendmicro社は何をスパイウェアとして扱うのかにて、独自の拡大解釈路線を採っております。
>検知率99%の複数の種類のウイルススキャンを何回かけたとしても、検知率100%にはなりません。
はい、その通りです。「確実な100%の安全性」などと言うものは存在しないでしょう。
マルウェアによるリスクは定量的に判断し、「一定以上であるならば許容する・しない」と考える姿勢が必要です。
自分はNTT経由で利用した経験がありませんが。
何を検出対象とするのか・できるのかはTrendmicro社に限らず、メーカーごとにより異なるものです。
面倒な話として、Trendmicro社は何をスパイウェアとして扱うのかにて、独自の拡大解釈路線を採っております。
>検知率99%の複数の種類のウイルススキャンを何回かけたとしても、検知率100%にはなりません。
はい、その通りです。「確実な100%の安全性」などと言うものは存在しないでしょう。
マルウェアによるリスクは定量的に判断し、「一定以上であるならば許容する・しない」と考える姿勢が必要です。
Posted by Luca
at 2006年10月29日 19:37
本文が込み入って我ながら論点がわかりづらいですね(後日整理し訂正しましょう)
主たる論旨は、以下の2点です。
1)anjuさんのファイルタイプごとに区分してのリスク評価に、全面的に賛成
2)感染中のシステムにて検出されたもの以外のマルウェアが存在する可能性は、見逃してはならない。
主たる論旨は、以下の2点です。
1)anjuさんのファイルタイプごとに区分してのリスク評価に、全面的に賛成
2)感染中のシステムにて検出されたもの以外のマルウェアが存在する可能性は、見逃してはならない。
Posted by Luca
at 2006年10月29日 19:37
記事を拝見しましたが、私と女史とanju氏の主張と前提条件を誤解されているようですね。
1)引用部分は二次情報であるSempliceのみではなく、一次情報を含めてもらえませんか?
これでは読者の誤解を誘導するだけです。
2)クリーンインストール後の再感染を防ぐためのセットアップ方法やパーソナルファイアーウォールは、Semplice上にて抜粋した論点と直接のつながりはありません。
「安全なリカバリー方法を掲載しないのは不親切である」と考えられたのやもしれませんが、Sempliceでは一次情報中の一部を抜き出しクローズアップしたに過ぎません。
全く別の話を関連無く混ぜられるのは。。。。。。。激しく困りますよ。
一時情報源への注文や新たな論点として、記事を再掲載していただけませんか?
このままでは私達3名は、本来の主張と無関係な形で誤解されてしまいます。
1)引用部分は二次情報であるSempliceのみではなく、一次情報を含めてもらえませんか?
これでは読者の誤解を誘導するだけです。
2)クリーンインストール後の再感染を防ぐためのセットアップ方法やパーソナルファイアーウォールは、Semplice上にて抜粋した論点と直接のつながりはありません。
「安全なリカバリー方法を掲載しないのは不親切である」と考えられたのやもしれませんが、Sempliceでは一次情報中の一部を抜き出しクローズアップしたに過ぎません。
全く別の話を関連無く混ぜられるのは。。。。。。。激しく困りますよ。
一時情報源への注文や新たな論点として、記事を再掲載していただけませんか?
このままでは私達3名は、本来の主張と無関係な形で誤解されてしまいます。
Posted by Luca
at 2006年10月29日 21:34
すみません、記事の方をごっそり書き直しました。
例によって、まとまっていません。
例によって、まとまっていません。
Posted by itochan
at 2006年10月29日 23:07
lucaさんがひとりで体を張って正そうとするのは,まちがってます.
なにも変わらないし,また泣くだけです(/ω\)
相手はMS MVPですョ・・・・・問題投稿と盗作があっても,lucaさんの力では解決できません.
もうやめてください・・・・・ね,ね.わかるでしょぅ.
これ以上心配させないで,おねがい(泣
なにも変わらないし,また泣くだけです(/ω\)
相手はMS MVPですョ・・・・・問題投稿と盗作があっても,lucaさんの力では解決できません.
もうやめてください・・・・・ね,ね.わかるでしょぅ.
これ以上心配させないで,おねがい(泣
Posted by Sakai
at 2006年10月29日 23:33
久々に Lucaさんのブログにお邪魔します。
今回の記事、たいへん興味深く拝見しました。
この次は、とはいいませんが、オンラインスキャンに関する論考も
騒ぎのことなんぞ気になされず、早々に公開してくださるよう
お願いします。
今回の記事、たいへん興味深く拝見しました。
この次は、とはいいませんが、オンラインスキャンに関する論考も
騒ぎのことなんぞ気になされず、早々に公開してくださるよう
お願いします。
Posted by ドリッパ
at 2006年10月30日 04:04
>オンラインスキャン
そう言っていただければありがたいんですが。
多少時間をいただけませんか。
何か妙な話となりつつありそうなので、大変申し訳ありませんが、コメントをロックさせていただきます。
「エッセンスの流用」については、またいずれ場を改めて。
そう言っていただければありがたいんですが。
多少時間をいただけませんか。
何か妙な話となりつつありそうなので、大変申し訳ありませんが、コメントをロックさせていただきます。
「エッセンスの流用」については、またいずれ場を改めて。
Posted by Luca
at 2006年10月30日 07:07
