taxicab.jp

一部のWindowsユーザーが、“死のブルースクリーン”が繰り返し発生すると報告

　米国Microsoftは4月12日、9日に公開したセキュリティ更新プログラム（パッチ）をアンインストールするようWindowsユーザーに 呼びかけた。一部のユーザーから、このパッチが原因でPCやサーバをクラッシュさせ、不具合の生じたマシンが永遠に再起動を繰り返す現象が報告されている という。

問題のパッチ（MS13-036、KB2823324）は4月の月例セキュリティ更新プログラム9件の1つとして公開され、「Windows Update」サービス経由で配布されてきた。

しかしMicrosoftは、パッチをすでにインストールしたユーザー、もしくは「Automatic Updates」経由でマシンに適用したユーザーに、なるべく早くこれを削除するようアドバイスしている。同社はサポート・ドキュメントに、「この更新プログラムをアンインストールすることを推奨する」と明記している。また、同社は当該パッチの配布も取りやめている。

このパッチをめぐっては、インストール後、いわゆる「死のブルースクリーン（BSOD：Blue Screen of Death）」のエラー・メッセージが表示され、マシンの再起動が繰り返されてPCが使えなくなるという報告が相次いでいる。

米国のITサポート・べンダー、VirtualAdministrationのジム・バルガー（Jim Bulger）氏は、12日付けのPatchManagementメーリング・リストに対するメッセージの中で、「われわれは『Kaspersky Endpoint Security 8 for Windows』が稼働するマシンで問題が起こるのを確認した」と述べている。

またコロラド大学のグレッグ・ホッペス（Greg Hoppes）氏も、同パッチをあてたことで、マシンの起動時に毎回ハードドライブの「CHKDSK」診断が要求されるようになったと語った。

ロシアのKasperskyはサポート・ノートに、 この問題は同社の「Kaspersky Endpoint Security 8 forWindows（Ver.8.1.0.831）」「Kaspersky Anti-Virus for Windows Workstations / Server（Ver.6.0.4.1424、6.0.4.1611）」をインストールしたWindows Vista/7/Server 2008/Server 2008 R2のマシンで発生すると記している。

一方でMicrosoftは、現在のところBSODおよび連続再起動の原因については明言しておらず、「同アップデートが特定のサードパーティ・ソフトウェアと組み合わされた場合、システム・エラーが発生する可能性がある」と説明するにとどまっている。

ブラジルでは、同国の銀行の多くが顧客にインストールを義務づけているブラウザ・セキュリティ・アドオン「G-Buster」がインストールされ たPCで同様の問題が発生していると、セキュリティ・ベンダーQualysのCTO（最高技術責任者）、ウォルフガング・カンデック（Wolfgang Kandek）氏は述べている。

カンデック氏によると、このたびの「戦犯」であるパッチを含むセキュリティ更新プログラムはカーネル・モード・ドライバを変更するため、セキュリティ・ソフトウェアが影響を受けても不思議はないという。

「セキュリティ機能を追加するには、G-BusterはWindowsの下位の機能を遮断する必要がある。これは、ウイルス対策ソフトウェアやホスト侵入検知ソフトウェアの動きとよく似ている」（カンデック氏）

当該パッチのアンインストール方法、およびマシンが再起動できなくなった場合の回復方法はMicrosoftのサポート・ドキュメント（「解決方法」の項）に記されている。万が一当該パッチをインストールしてしまったユーザーは、再起動する前にアンインストールすることが推奨されている。

思いっきり入ってました・・・orz.   幸い再起動はしておりませんでしたのでアンスコ！！

ドイツのセキュリティ研究所「AV-Test」は毎年、セキュリティソフトのテストを行っている。このテストでマイクロソフトのセキュリティソフト「Security Essentials」が認定を取得できなかった。

AV-Test

ご存知とは思いますが「Security Essentials」はWindows XP/Vista/7向けに公開されているセキュリティソフトで、ウィルスやマルウェアを検出・除去するためマイクロソフトが無料で配布しているツールです。

マイクロソフトによれば、次のテストでは「AV-Test」の認定を取得できるようアップデートするとのことですがそれまでは不安ですね。　お使いの方は自己責任にて。

日本に「タダほど高いものはない！」ということわざがあるの思い出しました。

または、

カスペルスキー 2013 マルチプラットフォーム セキュリティ 3年3台版 ダウンロード版

 

2003年に大流行したSQL Server 2000に感染するSQL Slammerというウィルスの存在を思い出してほしい。
あのときは、米国と並んで韓国でも大きな騒動となり、一時インターネットが使えないなどの大混乱となった（関連記事3、関連記事4）。
その大きな要因は韓国内で大量の海賊版Windowsを利用されていたことで、複数のサーバーで適切な運用及びセキュリティパッチが適用されておらず、そのため韓国内でウィルス感染が一気に広がり、韓国内のインターネットがダウンする自体に至った。 　
こうした事態の反省から、韓国内では正規なWindowsの導入が進んだ。これにより、同様の状況が発生しにくくなったのは事実である。

だが、それはあくまでクライアントレベルであり、Windows Server Update Services（WSUS）という社内向けのパッチ管理サーバーに関しては、非正規Windowsの導入が残ったままであった可能性が高い。
こうした非正規のWSUSでは、正規の手順でセキュリティパッチがダウンロードされない。
マイクロソフトでセキュリティパッチが公開されると、各企業内にあるWSUSサーバーは自分が保持しているリストと、マイクロソフトの提供するリストを照らし合わせ、ダウンロードすべきファイルの一覧をSSL暗号した形でダウンロードする。
このとき、実際のダウンロードを開始する前に、そのWSUSシステムが正規であるかを確認するチェックが行われる。
このチェックで非正規のWSUSサーバーとわかると、ダウンロードされるべきリストだけは取得できるものの、パッチ本体のダウンロードは行われない。
そこで、こうした非正規Windowsで構築したWSUSのために、マイクロソフトが提供しているパッチとほぼ同じものを、マイクロソフトとまったく無関係のサイトからダウンロードする仕組みが実は備わっている。

だが、このサイトはマイクロソフトによる管理の対象とはなっていないため、ここで配布するパッチにウィルスが紛れ込んでいるのだ。
マイクロソフトが配布するセキュリティパッチ本体がSSLで暗号化されていると思われがちだが、実は通信経路だけがSSLになっているだけである。
実際にファイルの提供そのものはAkamaiのネットワークを経由している。 　そのため、非正規のWSUSを運用している管理者および企業は、おそらく気づかぬまま（正規のWindowsと思い込んで）使い続けていた可能性が高い。

そして、マイクロソフト以外が提供しているセキュリティパッチをWSUSに取り込み、それを正規のクライアントWindowsが定期的なアップデートで更新されている状況と考えられる。
筆者は、研究のために中国製の海賊版Windows XPを所有しており、そのWindows Updateの仕組みを調査していた。
すると、まさに今回示した挙動と瓜二つな挙動（ただしクライアントが直接ファイルを取りに行く）を示していた。
Windows Updateを実行した際に、ダウンロードリストはマイクロソフトに問い合わせるが、実際のパッチファイルは非正規のサイトからダウンロードしていることを確認している。
このときに、ダウンロードされたファイルを分析してみたところ、通常のパッチ以外、いくつかのウィルスが仕込まれていることも確認している。
このことから、韓国におけるサイバーテロについても、同様のことが行われたのではないかと推測している。
今回の場合は、非正規のWSUSに情報を提供しているサーバーに、今回ターゲットにされた企業からアクセスがあった時だけダウンロードするように、あらかじめ標的型ウィルスが仕込まれていた可能性が高い。
このため、企業の管理者はWSUSの管理を信じ、誤って標的型ウィルスをクライアントWindowsに配って、Xデイ（3月20日）にMBRを破壊するウィルスが活動を開始したと推測される。

ということらしいです。　要は国家ぐるみで割れ（不正コピー品 -中国の ブランドコピー品みたいなもの）OS使用を容認していたのでしょうか？　DNAがずるいとこういうこと平気なんでしゅうね。　まあ姦国パプなども油断すっとすぐボッタクるしズルいことするの平気なんでしょう。　国家ぐるみでこういうこと平気でやれるってのはもう個人的な事情云々でなく民族DNAのせいでしょうｗ
小説風に書くと、CIAまたはFBI（米国）とMSが不正コピーOSになんらかの操作ができるようにアクティベーションを不正にできるようにしてあり（大国の好きなハニーポットですな）、定期的にアップデートできるセキュリティーパッチにウィルスを仕込ませその情報を漏らし３・２０に実行コードが稼働した。ってな感じですかね。　アメリカはまさかハニーポットに入ったのが韓国とは思ってなかったでしょうねｗｗ。それも銀行、TV局とは。

内容紹介
「韓国は民主共和国ではなくサムスン共和国だ」 監視、尾行、そして盗聴。退職後も続いたサムスンによるあらゆる圧力。政治権力からは敵視され、マスコミからは無視されるという四面楚歌の中、かつてサムスンに法務スタッフとして従事した元特捜検事は、裏切り者といわれながらも敢えて良心に従って不正に対する内部告発を行った。刊行されるやいなや韓国国内を騒然とさせた大ベストセラー！

内容（「BOOK」データベースより）
監視、尾行、そして盗聴。退職後も続いたサムスンによるあらゆる圧力。政治権力からは敵視され、マスコミからは無視されるという四面楚歌の中、かつてサムスンに法務スタッフとして従事した元特捜検事は、裏切り者といわれながらも敢えて良心に従って不正に対する内部告発を行った。刊行されるやいなや韓国国内を騒然とさせた大ベストセラー。

「ウリ」と「ナム」、（文化的側面としての）「サボタージュ」や「たかり」、「小中華思想」等の記述については、仕事上接した彼らの行動原理を解釈する上で非常に納得できるものであった。彼らの仕事を行う習慣を、今までは漠然とした文化の差異として受け止めつつもその差異に戸惑いを感じていた。しかしこの本によりその背景や彼らの意図(意識)が完全ではないにせよある程度理解することができたように感じた。

韓国では相手に徹底的に迷惑をかけるということが、友人関係を保つ秘訣だ。
しかし迷惑というのは日本的な発想なのである。彼らの側からいえば、本当に迷惑なら友人ではない、という論理になる。
したがって真の友人にはいっさい遠慮しないことが愛情だ、となる。突然来訪するなどというのは最も良い愛情の示し方である。
ある日突然、韓国の親友から電話が入る。いま東京に着いた、君もすぐ来い、案内せよと。当地から東京まで新幹線で六時間かかることを彼は考慮しない。知人や親戚を引き連れて団体で訪れるものもいる。当地はふぐが名産だそうだな、皆にふぐを食べさせてやってほしいと気軽にやって来るのである。
韓国では互いの甘えだけが信頼なのだ。
したがって、大勢知らないものを連れてやってくるなどというのは、先方がよほどこちらを信頼していなければできない。

犯罪すれすれの無理な頼まれ事もあるそうだ。頼み事を断ると関係が途切れてしまう。
このような韓国人と顔色を変えずにつきあえるか、ここが分かれ目だと学生に話して聞かせるそうだ。
韓国人とつきあうのは彼らの極端な甘えを許さなければならない。その甘えの世界は際限がなく、受け入れられぬ場合の亀裂には底がない。

謎