taxicab.jp

危険性のあるサイトとは？

危険性のあるサイトとは、偽造サイト（フィッシングサイト）、コンピューターに悪意のあるソフトウェアをインストールするサイト、個人情報を要求するスパムサイトなどを指します。また、そのウェブサイトがいつからかハッカーに乗っ取られ、マルウェアを仕掛けられたことを意味します。

ではどうしたら自分のサイトから危険性を排除し、警告メッセージを受けないようにできるのか？　以下サイトの”example.com”をあなたのドメインにして調べて下さい。以下のような情報が表示されれば問題ありません。

http://www.google.com/safebrowsing/diagnostic?site=http://example.com

ドイツのセキュリティ研究所「AV-Test」は毎年、セキュリティソフトのテストを行っている。このテストでマイクロソフトのセキュリティソフト「Security Essentials」が認定を取得できなかった。

AV-Test

ご存知とは思いますが「Security Essentials」はWindows XP/Vista/7向けに公開されているセキュリティソフトで、ウィルスやマルウェアを検出・除去するためマイクロソフトが無料で配布しているツールです。

マイクロソフトによれば、次のテストでは「AV-Test」の認定を取得できるようアップデートするとのことですがそれまでは不安ですね。　お使いの方は自己責任にて。

日本に「タダほど高いものはない！」ということわざがあるの思い出しました。

または、

カスペルスキー 2013 マルチプラットフォーム セキュリティ 3年3台版 ダウンロード版

 

2003年に大流行したSQL Server 2000に感染するSQL Slammerというウィルスの存在を思い出してほしい。
あのときは、米国と並んで韓国でも大きな騒動となり、一時インターネットが使えないなどの大混乱となった（関連記事3、関連記事4）。
その大きな要因は韓国内で大量の海賊版Windowsを利用されていたことで、複数のサーバーで適切な運用及びセキュリティパッチが適用されておらず、そのため韓国内でウィルス感染が一気に広がり、韓国内のインターネットがダウンする自体に至った。 　
こうした事態の反省から、韓国内では正規なWindowsの導入が進んだ。これにより、同様の状況が発生しにくくなったのは事実である。

だが、それはあくまでクライアントレベルであり、Windows Server Update Services（WSUS）という社内向けのパッチ管理サーバーに関しては、非正規Windowsの導入が残ったままであった可能性が高い。
こうした非正規のWSUSでは、正規の手順でセキュリティパッチがダウンロードされない。
マイクロソフトでセキュリティパッチが公開されると、各企業内にあるWSUSサーバーは自分が保持しているリストと、マイクロソフトの提供するリストを照らし合わせ、ダウンロードすべきファイルの一覧をSSL暗号した形でダウンロードする。
このとき、実際のダウンロードを開始する前に、そのWSUSシステムが正規であるかを確認するチェックが行われる。
このチェックで非正規のWSUSサーバーとわかると、ダウンロードされるべきリストだけは取得できるものの、パッチ本体のダウンロードは行われない。
そこで、こうした非正規Windowsで構築したWSUSのために、マイクロソフトが提供しているパッチとほぼ同じものを、マイクロソフトとまったく無関係のサイトからダウンロードする仕組みが実は備わっている。

だが、このサイトはマイクロソフトによる管理の対象とはなっていないため、ここで配布するパッチにウィルスが紛れ込んでいるのだ。
マイクロソフトが配布するセキュリティパッチ本体がSSLで暗号化されていると思われがちだが、実は通信経路だけがSSLになっているだけである。
実際にファイルの提供そのものはAkamaiのネットワークを経由している。 　そのため、非正規のWSUSを運用している管理者および企業は、おそらく気づかぬまま（正規のWindowsと思い込んで）使い続けていた可能性が高い。

そして、マイクロソフト以外が提供しているセキュリティパッチをWSUSに取り込み、それを正規のクライアントWindowsが定期的なアップデートで更新されている状況と考えられる。
筆者は、研究のために中国製の海賊版Windows XPを所有しており、そのWindows Updateの仕組みを調査していた。
すると、まさに今回示した挙動と瓜二つな挙動（ただしクライアントが直接ファイルを取りに行く）を示していた。
Windows Updateを実行した際に、ダウンロードリストはマイクロソフトに問い合わせるが、実際のパッチファイルは非正規のサイトからダウンロードしていることを確認している。
このときに、ダウンロードされたファイルを分析してみたところ、通常のパッチ以外、いくつかのウィルスが仕込まれていることも確認している。
このことから、韓国におけるサイバーテロについても、同様のことが行われたのではないかと推測している。
今回の場合は、非正規のWSUSに情報を提供しているサーバーに、今回ターゲットにされた企業からアクセスがあった時だけダウンロードするように、あらかじめ標的型ウィルスが仕込まれていた可能性が高い。
このため、企業の管理者はWSUSの管理を信じ、誤って標的型ウィルスをクライアントWindowsに配って、Xデイ（3月20日）にMBRを破壊するウィルスが活動を開始したと推測される。

ということらしいです。　要は国家ぐるみで割れ（不正コピー品 -中国の ブランドコピー品みたいなもの）OS使用を容認していたのでしょうか？　DNAがずるいとこういうこと平気なんでしゅうね。　まあ姦国パプなども油断すっとすぐボッタクるしズルいことするの平気なんでしょう。　国家ぐるみでこういうこと平気でやれるってのはもう個人的な事情云々でなく民族DNAのせいでしょうｗ
小説風に書くと、CIAまたはFBI（米国）とMSが不正コピーOSになんらかの操作ができるようにアクティベーションを不正にできるようにしてあり（大国の好きなハニーポットですな）、定期的にアップデートできるセキュリティーパッチにウィルスを仕込ませその情報を漏らし３・２０に実行コードが稼働した。ってな感じですかね。　アメリカはまさかハニーポットに入ったのが韓国とは思ってなかったでしょうねｗｗ。それも銀行、TV局とは。

内容紹介
「韓国は民主共和国ではなくサムスン共和国だ」 監視、尾行、そして盗聴。退職後も続いたサムスンによるあらゆる圧力。政治権力からは敵視され、マスコミからは無視されるという四面楚歌の中、かつてサムスンに法務スタッフとして従事した元特捜検事は、裏切り者といわれながらも敢えて良心に従って不正に対する内部告発を行った。刊行されるやいなや韓国国内を騒然とさせた大ベストセラー！

内容（「BOOK」データベースより）
監視、尾行、そして盗聴。退職後も続いたサムスンによるあらゆる圧力。政治権力からは敵視され、マスコミからは無視されるという四面楚歌の中、かつてサムスンに法務スタッフとして従事した元特捜検事は、裏切り者といわれながらも敢えて良心に従って不正に対する内部告発を行った。刊行されるやいなや韓国国内を騒然とさせた大ベストセラー。

「ウリ」と「ナム」、（文化的側面としての）「サボタージュ」や「たかり」、「小中華思想」等の記述については、仕事上接した彼らの行動原理を解釈する上で非常に納得できるものであった。彼らの仕事を行う習慣を、今までは漠然とした文化の差異として受け止めつつもその差異に戸惑いを感じていた。しかしこの本によりその背景や彼らの意図(意識)が完全ではないにせよある程度理解することができたように感じた。

韓国では相手に徹底的に迷惑をかけるということが、友人関係を保つ秘訣だ。
しかし迷惑というのは日本的な発想なのである。彼らの側からいえば、本当に迷惑なら友人ではない、という論理になる。
したがって真の友人にはいっさい遠慮しないことが愛情だ、となる。突然来訪するなどというのは最も良い愛情の示し方である。
ある日突然、韓国の親友から電話が入る。いま東京に着いた、君もすぐ来い、案内せよと。当地から東京まで新幹線で六時間かかることを彼は考慮しない。知人や親戚を引き連れて団体で訪れるものもいる。当地はふぐが名産だそうだな、皆にふぐを食べさせてやってほしいと気軽にやって来るのである。
韓国では互いの甘えだけが信頼なのだ。
したがって、大勢知らないものを連れてやってくるなどというのは、先方がよほどこちらを信頼していなければできない。

犯罪すれすれの無理な頼まれ事もあるそうだ。頼み事を断ると関係が途切れてしまう。
このような韓国人と顔色を変えずにつきあえるか、ここが分かれ目だと学生に話して聞かせるそうだ。
韓国人とつきあうのは彼らの極端な甘えを許さなければならない。その甘えの世界は際限がなく、受け入れられぬ場合の亀裂には底がない。

　セキュリティ各社は1月20日、Twitterで新手のワームが増殖し、偽ウイルス対策ソフトの配布ページにユーザーを誘導しているとして注意を促した。

　米SANS Internet Storm Centerやロシアのセキュリティ企業Kaspersky Labによれば、ワームが拡散しているツイートの内容はさまざまだが、リンクにGoogleの短縮URLサービス「goo.gl」を使っているのが特徴だ という。リンク先のWebサイトをたどると末尾が「m28sx.html」で終わっているという共通点がある。

　この悪質なリンクをうっかりクリックすると、複数のリダイレクトページを経て、「Security Shield」という偽ウイルス対策ソフトの配布ページに誘導される。ここでは「あなたのコンピュータに怪しいプログラムがあります」という警告を表示し てシステムスキャンを促す。その結果から検出されたマルウェアを削除するためと称して、「Security Shield」という偽ウイルス対策ソフトをインストールさせようとする。

　しかし、これは偽ウイルス対策ソフトのいつも用いる手段で、スキャン実行やマルウェアの検出結果などはすべてユーザーを脅すための見せかけにすぎ ない。だまされて偽ソフトをインストールすると、警告画面がしつこく表示されたり、有料ソフトの購入を迫られたりする被害に遭う。

　セキュリティ企業の英Sophosによれば、問題のツイートはTwitterユーザーのアカウントを許可なく使って投稿されているという。多数の アカウントが乗っ取られた原因は現時点では不明だが、ユーザーネームとパスワードが盗まれた可能性もあるとしている。「もしも自分のアカウントから身に覚 えのないツイートが投稿されているのを見つけたら、直ちにパスワードを変更した方がいい」と同社は忠告している。

ITmedia (2013/02/21)