2006年11月23日 - 民間有志によるマルウェア対策ツールは、有名になるほど大きな運用リスクを抱える
以前、スパイウェア対策の質問・回答の場にてよく利用されるHijackThisは、電子証明書コードサイニング証明書が無く印象悪いと記載した。
(擬態・偽装するマルウェア - ファイル名・エントリ名とHijackThisによる修復の難(2006年5月14日))
HijackThisの動作を妨害する狙い撃ちマルウェアの報告もあったし、merijn.orgのサイトは何者かによる攻撃を何度か受けていた。スパイウェア配布者の逆恨みなのだろう。
HijackThisはあちらこちらにて再配布されている。
再配布するサイトが公開しているHijackThisの圧縮ファイル(hijackthis.zip)をダウンロード・解凍し、実行ファイル(HijackThis.exe)のファイルのプロパティを確認すれば、デジタル署名タブが無いのだな。
(VeriSignなどのコードサイニング証明書の取得は大変高価で大体年に10万円程度の経費がかかり、個人や法人格が無い団体には発行してくれないとの事情もあるのだろうけど)
攻撃者は偽の・何かを仕込んだHijackThisを配布すれば、どうなるんだろうか。
(そのような事件を自分はまだ確認できてはいないが)
多くの個人・もしくは公的ではない団体が運営するマルウェア対策サイトにて、手軽に作成できるbatファイルによるマルウェア修復ツール類が公開されているのだが、ああいうのはどうなんでしょうかね。
コードサイニング証明書を利用できなくとも、MD5などのハッシュ値をサイトに掲載すれば、改変されたファイルの流通にある程度の抑止力を得られるだろう。
例えばどこかのツール系サイト(と呼ぶんだろうか?)では、投稿されたファイルにハッシュ値が記載されている。
だが単純な話として、インストール前にハッシュ値をわざわざ確かめる初心者層のユーザーがどれだけ存在するのか疑問だし、ハッシュ値を表示するサイトが第三者による騙しサイトであったらばあまり意味は無い。
公開しないよりは良い、とは思いますが。
あと一つ、かなり気になる点がありまして。
前提条件として、個人が作成し公開した「マルウェア修復ツール」を「業者」が毎回チェックしていたとしますが。
ある日突然、マルウェア修復ツールを利用したパソコンのOSが起動しなくなるなどの問題が発生したらば、どうなるんだろうか。
対策ツールを作成したボランティアに対し、風評被害を与えられるだろう。
(一例として、特定パス・名称のファイルをいきなり削除するようなバッチファイルであったならば、悪質な業者側が「対策ツールへの過剰な対策と逆恨み目的」として、配布するマルウェアをアレコレし罠を準備するのは容易)
うまく言いづらいものがあるんですが。
「対策ツールがリリースされた後になってから悪質な業者が配布したマルウェアにより、修復作業時に問題が起きた」ならば、対策ツール配布者の責任は問えないし、(あまり良い言い方ではないが)言い訳が立つ。
とは言えども、ハッシュ値のみではなく対策ツールファイルの公開日時までを後日間違い無く検証できるようにしなければ、「対策ツールの不具合を密かに修正し公開したんだろう!」とも言われそうな気がする。
自分らが運営・所属するサイトやどこかの個人運営サイト中へのバージョンアップ報告投稿は、中立性を疑われる。コメントの日時などは後になってから変更も可能な場合があるからだ。
対策ツール配布者は各バージョン毎に変更点を掲載するのみではなく、公開日時とハッシュ値を第三者が運用する中立的な場に毎回掲載できれば、万が一のバッシング対策となるだろう。
最も安上がりで確実な方法は、ブログの体でハッシュ値と更新情報を毎回掲載し、トラックバックセンターやlivedoor Blogの共通テーマのような場へトラックバック?
(擬態・偽装するマルウェア - ファイル名・エントリ名とHijackThisによる修復の難(2006年5月14日))
HijackThisの動作を妨害する狙い撃ちマルウェアの報告もあったし、merijn.orgのサイトは何者かによる攻撃を何度か受けていた。スパイウェア配布者の逆恨みなのだろう。
HijackThisはあちらこちらにて再配布されている。
再配布するサイトが公開しているHijackThisの圧縮ファイル(hijackthis.zip)をダウンロード・解凍し、実行ファイル(HijackThis.exe)のファイルのプロパティを確認すれば、デジタル署名タブが無いのだな。
(VeriSignなどのコードサイニング証明書の取得は大変高価で大体年に10万円程度の経費がかかり、個人や法人格が無い団体には発行してくれないとの事情もあるのだろうけど)
攻撃者は偽の・何かを仕込んだHijackThisを配布すれば、どうなるんだろうか。
(そのような事件を自分はまだ確認できてはいないが)
ハッシュ値の掲載は、コードサイニング証明書の代替手段となるんだろうか?
多くの個人・もしくは公的ではない団体が運営するマルウェア対策サイトにて、手軽に作成できるbatファイルによるマルウェア修復ツール類が公開されているのだが、ああいうのはどうなんでしょうかね。
コードサイニング証明書を利用できなくとも、MD5などのハッシュ値をサイトに掲載すれば、改変されたファイルの流通にある程度の抑止力を得られるだろう。
例えばどこかのツール系サイト(と呼ぶんだろうか?)では、投稿されたファイルにハッシュ値が記載されている。
だが単純な話として、インストール前にハッシュ値をわざわざ確かめる初心者層のユーザーがどれだけ存在するのか疑問だし、ハッシュ値を表示するサイトが第三者による騙しサイトであったらばあまり意味は無い。
公開しないよりは良い、とは思いますが。
対策ツール配布者は、無罪を証明できるよう備える必要があるのでは
あと一つ、かなり気になる点がありまして。
前提条件として、個人が作成し公開した「マルウェア修復ツール」を「業者」が毎回チェックしていたとしますが。
ある日突然、マルウェア修復ツールを利用したパソコンのOSが起動しなくなるなどの問題が発生したらば、どうなるんだろうか。
対策ツールを作成したボランティアに対し、風評被害を与えられるだろう。
(一例として、特定パス・名称のファイルをいきなり削除するようなバッチファイルであったならば、悪質な業者側が「対策ツールへの過剰な対策と逆恨み目的」として、配布するマルウェアをアレコレし罠を準備するのは容易)
うまく言いづらいものがあるんですが。
「対策ツールがリリースされた後になってから悪質な業者が配布したマルウェアにより、修復作業時に問題が起きた」ならば、対策ツール配布者の責任は問えないし、(あまり良い言い方ではないが)言い訳が立つ。
とは言えども、ハッシュ値のみではなく対策ツールファイルの公開日時までを後日間違い無く検証できるようにしなければ、「対策ツールの不具合を密かに修正し公開したんだろう!」とも言われそうな気がする。
自分らが運営・所属するサイトやどこかの個人運営サイト中へのバージョンアップ報告投稿は、中立性を疑われる。コメントの日時などは後になってから変更も可能な場合があるからだ。
対策ツール配布者は各バージョン毎に変更点を掲載するのみではなく、公開日時とハッシュ値を第三者が運用する中立的な場に毎回掲載できれば、万が一のバッシング対策となるだろう。
最も安上がりで確実な方法は、ブログの体でハッシュ値と更新情報を毎回掲載し、トラックバックセンターやlivedoor Blogの共通テーマのような場へトラックバック?
この記事へのコメント
心当たりのある者として、いくつか反論させて頂きます
>一例として、特定パス・名称のファイルをいきなり削除するようなバッチファイルであったならば
exeだとしても、悪質な業者側がリバースエンジニアリングに精通していた場合はどうでしょう
いくつかログをとるだけでも動作を推察することは可能です
>配布するマルウェアをアレコレし罠を準備するのは容易
例えハッシュ値をチェックして削除したとしても、そのファイル自体が罠ということも考えられます
それに、手動削除でも同様の罠を仕掛けることが可能です
常に第三者が検証可能な状態で配布し続ける事は、無罪を証明する方法の一つではないでしょうか?
>一例として、特定パス・名称のファイルをいきなり削除するようなバッチファイルであったならば
exeだとしても、悪質な業者側がリバースエンジニアリングに精通していた場合はどうでしょう
いくつかログをとるだけでも動作を推察することは可能です
>配布するマルウェアをアレコレし罠を準備するのは容易
例えハッシュ値をチェックして削除したとしても、そのファイル自体が罠ということも考えられます
それに、手動削除でも同様の罠を仕掛けることが可能です
常に第三者が検証可能な状態で配布し続ける事は、無罪を証明する方法の一つではないでしょうか?
Posted by さじ
at 2006年11月24日 02:44
>exeだとしても、(以下略)
>それに、手動削除でも同様の罠を仕掛けることが可能です
はい、もちろんそうですね。
>例えハッシュ値をチェックして削除したとしても、そのファイル自体が罠ということも考えられます
削除対象となる個別のファイルのハッシュ値が同一のままであっても、一例としてレジストリエントリへの登録を変えれば罠の設置は可能です。
>常に第三者が検証可能な状態で配布し続ける事は
(1)中立的な第三者が運用する場にて
(2)駆除ツールの公開後速やかに、公開日時を含めてハッシュ値が公開された方が望ましいでしょう。
駆除ツールを配布する圧縮ファイル中にハッシュ値などを記載したガイドを含めたとしても、OSが起動できなくなったらば検証は多少難しくなりますよ。
>それに、手動削除でも同様の罠を仕掛けることが可能です
はい、もちろんそうですね。
>例えハッシュ値をチェックして削除したとしても、そのファイル自体が罠ということも考えられます
削除対象となる個別のファイルのハッシュ値が同一のままであっても、一例としてレジストリエントリへの登録を変えれば罠の設置は可能です。
>常に第三者が検証可能な状態で配布し続ける事は
(1)中立的な第三者が運用する場にて
(2)駆除ツールの公開後速やかに、公開日時を含めてハッシュ値が公開された方が望ましいでしょう。
駆除ツールを配布する圧縮ファイル中にハッシュ値などを記載したガイドを含めたとしても、OSが起動できなくなったらば検証は多少難しくなりますよ。
Posted by Luca
at 2006年11月24日 07:24
ハッシュ値による管理は、オレオレ証明書に近いものがある、
という理解でOKですか?
という理解でOKですか?
Posted by itochan
at 2006年11月25日 20:18
より正確に書けば、ハッシュ値が一次配布サイトのみに掲載されるのは、ですね。
Posted by Luca
at 2006年11月26日 12:41
一つ書き忘れ。
ファーミング詐欺・フィッシング詐欺的テクニックにより偽サイトへ誘導される可能性を忘れてはなりません。
ファーミング詐欺とDNSはフィッシング詐欺を超える
http://blog.lucanian.net/archives/50332732.html
ファーミング詐欺・フィッシング詐欺的テクニックにより偽サイトへ誘導される可能性を忘れてはなりません。
ファーミング詐欺とDNSはフィッシング詐欺を超える
http://blog.lucanian.net/archives/50332732.html
Posted by Luca
at 2006年11月26日 20:07
