アカウント名:
パスワード:
>Windows Defenderをオフにしてhostsファイルを書き換えればその内容は正しく保存されるようだ。オフにすれば今まで通り編集できるなら別にいいじゃないんじゃないかと。hostsで設定するのは便利とはいえ多くの人には不要だし、実際hostsを書き換えるウイルスが出回ったことを考えれば、デフォルトで編集出来るようになっている必要はないでしょう。編集したい場合は明示的にディフェンダーを解いて編集可の状態にする、ぐらいの了解があるのはむしろ賛成です。
#OSX Mountain LionのGatekeeperの時も同じようなこと言ってた気がする
安全のために容易に変更できないようにするのには賛成ですが、ユーザーが保存したつもりなのにされていない、という点はなにかいい解決法がないものかなと思います。DefenderがOFFの場合、はなから保存操作を受け付けないようにしてしまえないものかな。
なんで黙って戻されるのかというと、hostsに追加された項目を「マルウェア」とみなして「駆除」しているからみたいね。だからDefender自体をOFFにしなくてもhostsを除外リストに追加すればいいみたい。
その通りです。hostsファイルを例外に追加するか、該当脅威自体を許可すれば設定変更可能です。該当のhostsエントリは、SettingsModifier:Win32/PossibleHostsFileHijack [microsoft.com]として検出され自動的に削除され空行になります。また、コメントアウト等で該当行が有効なエントリでなければ削除されずそのまま残るようです。
Windows Defenderが原因である事は、Windows Defenderを起動し履歴タブを選択するか、イベントビューアのアプリケーションとサービスログ>Microsoft>Windows>Windows Defender>Operationalと辿ること等で確認できます。上記検出内容 [microsoft.com]は、Windows8のWindows DefenderはMicrosoft Security Essentials [microsoft.com]とほぼ同じパターンファイルですので、手元にWindows8が無くてもWindowsXP/Vista/7等でも検証可能です。他の該当ドメインはTrojan.Win32.Qhost [viruslistjp.com]の亜種等から適当にコピペすれば手元で確認できると思います。
Windows8のWindows DefenderがMSEと大きく異なるのは、設定画面に「既定の操作」という項目が無く、おそらくパターンファイルで定義されている推奨される「検疫」「削除」「駆除」等が自動実行される、今回のケースの様に完全に通知すら出ないで駆除されるケースもあるようです。この為サイレントに駆除された際にその事が解りにくいという点でしょうか。イベントログにトリガーを設定すれば解りますが一般的ではないでしょうし。この挙動が許されないのであれば、もし後日提供されるのであればWindows8対応のMSEを入れるか、サードパーティのセキュリティソフトを導入すれば回避できそうです。
個人的にはこの自動で適用されるのは好きではありませんが、セキュリティとのトレードオフな感じもします。少なくともデフォルトでインストールされ、多くの詳しくないユーザーが使うことを想定した際に、選択肢すら出さないというのはアリかもしれません。ただ、偽陽性対策に関して相当大変なチェックを要求されると思うのでMS大変そうだなとは思いますが。# WindowsPhoneもそうですが、「自動的に行う」挙動がだんだん増えて裏が見えにくくなってきたかな?と感じる今日この頃。歳かな……
> この挙動が許されないのであれば、もし後日提供されるのであればWindows8対応のMSEを入れるか、サードパーティのセキュリティソフトを導入すれば回避できそうです。Windows 8なら可能性はあるけど、Windows RTではデスクトップアプリを追加導入できないから逃げ道がないね。(言うまでもないがサンドボックスに閉じ込められたセキュリティソフトなんて何の役にも立たない)
Windows 8にEICARテストファイルとか食わせると解りますが、完全にサイレントという訳ではありません。また、通常のデスクトップアプリを導入させない=極論ですがModern UI-Appと自分自身以外の実行バイナリは全て削除という荒業も許されるかと。
マルウェアなんかに書き換えられるリスクは残りますけどね。デフォルトが書き換えられないってのは一般の人向けには正しいと思う。
消しても消しても復活するDLLファイルみたいな扱いなのね。
>Windows2000/XPにはSystem File Protection(以下SFP)という機能があり、>重要なファイルが更新もしくは削除されると、dllcacheフォルダにある>正しいバージョンのファイルを置換します。
WinXP消してもいいファイルまとめ | 役に立たないTips [fc2.com]
MSの意図どおりなのか、たまたまそうなったのか不明だけど、hostsを書き換えて悪意のサイトへ誘導するマルウェアのほうから見た場合、保存しようとしてエラーとなるよりは、保存したとみせかけて保存できていないほうが面倒になる。
自分の誘導が成功したと思わせた動作をさせておいて、実はうまくいっていないわけ。
マルウェアが、保存しようとしてエラーとなったとき、ここでの活動はあきらめて痕跡を消すための行動に入るかもしれない。自分だけを消す大人しい行動ならいいが、下手すりゃ、捜索を回避するために二度と起動できなくする破壊活動を取る可能性だってある。
ユーザが自分で変更するときは、それなりにちゃんとした権限でちゃんとした判断を持って変更するはずなので、それは問題ない。
APIは正常終了に見せかけつつ、Defenderが通知エリア辺りにポップアップで警告すれば良いと思うが。
今度はポップアップがうるさいと言いだすに一票
ブロックしなきゃ不味いイベントがそうポコポコ起きてたまるか。ポップアップが五月蝿いなんて言って良い相手はメール検疫とFW位だろうが。
甘いな。甘すぎるセキュリティ意識だ。
最大のセキュリティホールの人間って、馬鹿だから。アンチウィルスのウィルス検知が頻繁に出るのがうざくて、アンチウィルスをOFFにするやつが存在することを知らないのか?MSともなると、そういう輩もぜんぶひっくるめて対策を考える必要があるんだ。
UAC がうざいと言ってオフにするような人が世の中にはたくさんいてだな…
通知すべきイベントを通知してそれがうっとうしいといわれても
そもそもhostsファイルを書き換えるという> ブロックしなきゃ不味いイベントがそうポコポコ起きてたまるか。なわけ。だからうざいと思うほどポップアップするわけありません。
そんなあなたのアカウントは、Administrator権限つきwww
なぜマルウェアの作者がターゲットに類似する環境でテストしていないと考えるのか。
win7以前用のマルウェアにはwin8でテストしてないのも多いと思うけど。それが防げるだけでも万々歳。
例によって日本語記事の劣化がひどいんだが、ロールバックしているわけではなく、特定のホスト名(本家ではfacebook.comとad.doubleclick.netが確認されている)を含むhostsの項目が選択的に削除される。ad.doubleclick.netは広告よけに追加していた人がそれなりにいたんじゃなかろうか。
>ad.doubleclick.netIPが127.0.0.1のときは削除しないで欲しい。
> DefenderがOFFの場合ONの場合でした。ごめんなさい
> 実際hostsを書き換えるウイルスが出回ったことを考えれば、デフォルトで編集出来るようになっている必要はないでしょう。・hostsをいじるには管理者権限が必要・マルウェアがhostsをいじれるということは管理者権限をすでにとられているわけで、マルウェアはDefenderの停止でもなんでもできるどうして目の前の現象に脊髄反射しかできないんだろうねえ。> 編集したい場合は明示的にディフェンダーを解いて編集可の状態にする、Defenderをオンに戻して、hostsに記述したサイトへアクセスした瞬間また削除されちゃうみたいだけど本当にいいの?
> ・hostsをいじるには管理者権限が必要> ・マルウェアがhostsをいじれるということは管理者権限をすでにとられているわけで、マルウェアはDefenderの停止でもなんでもできる
hosts の編集ができても、勝手に止められないサービスを作るのは普通にできる。あと、セキュリティの話ではやれば迂回できる防御手段を単にダメというのは愚かな考えだよね。hosts変更だけならそれのコストは無視できる量だし。
> 勝手に止められないサービスを作るのは普通にできる。APIでお行儀よく止められないサービスを作るのは普通にできるけど、マルウェアがそういうサービスを止めるのも(管理者権限があれば)普通にできる。基本的に管理者権限を取られたらその時点で終了だし、Microsoftのセキュリティ対策は常にその発想に基づいていたと思うけど。そもそもDefenderを止められなくしたらユーザーがhosts書き換えを一切できなくなるわけでそれはそれで困るだろ。> セキュリティの話ではやれば迂回できる防御手段を単にダメというのは愚かな考えだよね。はあ? 何の意味もない「セキュリティ対策」もどきで対策した気分に浸るほうがよっぽど愚か。
> 何の意味もないとしか思えないなら、あなたには理解できないレベルのお話なんですよ…
管理権限は初戦はセキュリティ上の一区分に過ぎませんよ。だからユーザーが管理権限を得ることが出来るのと同様に、さらにDefenderのオンオフを考慮しないといけない管理区分の物が有るのには別に違和感はないけど。そもそも管理権限取得時にDefenderはオフにならないのが元々そう思っている証拠かと。
管理権限とった途端にすべてのセキュリティ機能OFFだと、結局自分で地雷踏むユーザーを救えない。しかしこのように段階的なセキュリティ権限の有効無効があれば、そういう人の一部を救うことが出来る。どっちが良いから一目瞭然。
>「必要ならhostsを書き換えることもできる」作りのアプリ
メモ帳のことですねわかります
「必要ならhostsを書き換えることもできる」作りのアプリにセキュリティホールがあり、不意にそこを突かれて意図しないhosts書き換えが行われた、
え?その「必要ならhostsを書き換えることもできる」アプリを実行するためには管理者権限が必要なんでは?それができるってことは、すでに管理者権限を獲得しているわけですから以下略。
世の中なんでも完璧にする必要はない。リスクを減らすことが目的なら今回の対策にはある程度の効果があると思われる。
少なくとも今回の対策はデメリットより効果の方が上回るだろう、という予想を元にこれに賛成する意見は至極まともだと思いますよ。攻撃者が対策してきたらまた考えればいいのですから。
> 攻撃者が対策してきたら「こんな対策に何の意味もないことは最初からわかっていたのに」と得意げな顔ができて二度美味しいというわけですね。
カーネルとかサービスとかすでに実行されてるとかがあるわけですが。管理者権限なくてもそれら使ってhostsの書き換えできるようなセキュリティホールがあり得るわけですが。なおかつ、それらではDefenderを停止できないとかあり得るわけですが。
それは「管理者権限を突破するセキュリティホールがあり得る」、とおっしゃっているわけですよね?確かに「あり得る」かもしれませんが、危惧しなければならないのはhostsだけではないでしょう。(「たまたまhostsしか書き換えられず、他のシステムファイルは書き換えられない」なんて都合のよいセキュリティホールでなければ)そのようなセキュリティホールが看過されていること自体が、既に致命的な状態なのでは?
その通り。そしてそういう状態にあるPCも多く、また未知なだけで潜在的にはすべてのPCでありうる状態。だからDefenderなどのセキュリティ対策ソフトがあり、それらが様々な監視を行い様々な防御手段を持っている。その一例に過ぎないhostsファイルの防御がなぜ特に必要ないのか、その理由が既に致命的だからというのはおかしくないですか?それはDefenderの存在意義を問うことになりませんか?
「デフォルトで編集出来るようになっている必要はない」には同意なのですが、
hostsファイルを変更して保存してもそれが反映されず、編集がなかったことにされる、
このような、一見、保存されたかのように見せかけて、実は保存されていない、みたいな、「裏工作的」な保護機能はやめてほしい。保護機能が働いた時には「権限がありません」「システムによって保護されました」の様な、明示的な警告を表示するか、あるいは、続行するには管理者のパスワードを入力するような仕組みになっていて欲しい。
Vistaが出た時、UAC保護下で、Program Files下に書き込もうとすると、暗黙的に別の場所にリダイレクトされてしまって、書き込み処理は成功するのですが、コピーしたはずのファイルが見つからない、なんていう現象に悩んだことがありました。過去のソフトのために、リダイレクトの仕組みを実装したのでしょうけど、そういうことこそUAC機能で「リダイレクトして良いですか?」の様な警告を出して欲しかった。
UACの警告はちょっとウザいけど、安全性のためなら我慢できる。でも暗黙のリダイレクトは非常に迷惑。システムファイルの書き換えもこれと同じ。表向きには成功したかのように見せかけて、実際にはブロックされてしまっては、ユーザーは混乱する。ブロックするのは構わないから、ブロックしたことをユーザーに明示してほしい。
ディフェンダーを解けば編集可能になるってことは、hostsだけを書き換えたいがために、ディフェンダーを解かなくてはならないということ。これに抵抗があります。ディフェンダーを解除したくないけど、hostsを編集したいというニーズに対応するため、保護するファイルと保護しないファイルを選べるように(権限昇格ダイアログと共に)してほしい。
> オフにすれば今まで通り編集できるなら別にいいじゃないんじゃないかと。
要するに、世の中に多数あるバッドノウハウがまたひとつ増えたと思えばいいわけですね。
バッドノウハウと言えるほどのレベルじゃないと思う。
Windows Defenderなんかに頼らず、OSレベルでUACでも使って好き勝手な変更を認めないぐらいのほうがいいんですけどね。
# でもUACを無効にするのが流行ると意味ないか・・・
だからhostsファイルは管理者権限がないと変更できないわけで、そのレベルの対策はすでにVistaで行われたはずなんだが。
NTFSを使用していれば、一部例外を除きNT時代からそうですよ。元々System32以下の変更にはAdministratorsが必要ですから。
Vista以降でUACが有効であれば、AdministratorsであってもアプリはAdministratorsで無い為にワンクッション必要ですが。
今どきの環境で、hostsファイルの編集が必須という環境は少数派ではないかな?
SMBでファイル共有するだけなら、名前解決は別の手段があるし、インターネット接続環境ならDNSなりDNSキャッシュがあるのが当然。
hostsファイルの編集が必要なのは、閉網でDNS無し、SMBでファイル共有もないという環境ぐらいではないかな?
まあ、レアケースとして、アクセスしたくないホストに対応するIPアドレスを別のものに置き換えるためにhostsファイルを書き換えるというのがあるが、これは悪質なマルウェアやウィルスが悪用する方法でもある。
だから、レアケースを除けば、hostsファイルの編集は不要であり、編集を阻害することはセキュリティ対策ともなるということになる。
「今どきの環境で、hostsファイルの編集が必須という環境は少数派」であるにもかかわらず「Windows 8ではhostsファイルの変更がブロックされるという話が物議を醸している」って事から「あなたの考えてるレアケースは実はそんなにレアなケースじゃなかった」って事に気がついてください。
更に言うなら「セキュリティ対策の一手段としてhostsファイルを編集する」場合もあるので、編集を阻害することはセキュリティが低下する面もあります。未修正の脆弱性を突くマルウェアの配布ホストへのアクセスがドメイン名だった場合にhostsで凌ぐとか、同意はとってますって言わんばかりに情報引っこ抜くツールの類(先日サービス停止したTポイントツールバーとか)の配布ホスト/送信先ホストを予めブロックしておいて、バンドルされて勝手にインストールされるのを防いだりとか、そういう事が(代替手段があったとしても)やり難くなるってのは明らかにリスクです。
少数だからと無視するのが間違いなのはそうなんだけど。
「セキュリティ対策の一手段としてhostsファイルを編集する」場合もあるので
そういう人はDefenderのターゲットから外れるってだけだろうね。Defenderはhostsなんか弄らない・知らない、お着せで十分な人たちのためのものでしょう。
単に声がデカいだけだろ。ほとんどのユーザは「hosts?なにそれ」だよ。
>そういう事が(代替手段があったとしても)やり難くなるってのは明らかにリスクです。
そういう手段がとれるユーザは極少数だってことに気付いたほうがいい。
やり難くていいとおもうよ。端的に、hostsファイルをホイホイ書き換えられる方がシステムとして脆弱だと思う。
必要なケースをレアケースとして切って捨てれば不要とかいう「ぼくはいらないからいらないの!」みたいなガキの理屈はいりませんよ。
書き換え超必要だよ。jword関連のサイトをいつも書き足しているよー
そういうのがレアケース。
俺も客から要望やらクレームやらがあったとき「レアケースですね」と言うだけのかんたんなお仕事につきたいなー。
nsswitch的なものがあって、そちらの変更権限をきっちり規制する方が筋のいい方法。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
結局編集出来るならいいじゃない (スコア:5, すばらしい洞察)
>Windows Defenderをオフにしてhostsファイルを書き換えればその内容は正しく保存されるようだ。
オフにすれば今まで通り編集できるなら別にいいじゃないんじゃないかと。
hostsで設定するのは便利とはいえ多くの人には不要だし、実際hostsを書き換えるウイルスが出回ったことを考えれば、デフォルトで編集出来るようになっている必要はないでしょう。
編集したい場合は明示的にディフェンダーを解いて編集可の状態にする、ぐらいの了解があるのはむしろ賛成です。
#OSX Mountain LionのGatekeeperの時も同じようなこと言ってた気がする
Re:結局編集出来るならいいじゃない (スコア:1)
安全のために容易に変更できないようにするのには賛成ですが、ユーザーが保存したつもりなのにされていない、という点はなにかいい解決法がないものかなと思います。
DefenderがOFFの場合、はなから保存操作を受け付けないようにしてしまえないものかな。
Re:結局編集出来るならいいじゃない (スコア:4, 参考になる)
なんで黙って戻されるのかというと、hostsに追加された項目を「マルウェア」とみなして「駆除」しているからみたいね。
だからDefender自体をOFFにしなくてもhostsを除外リストに追加すればいいみたい。
Re:結局編集出来るならいいじゃない (スコア:4, 参考になる)
その通りです。
hostsファイルを例外に追加するか、該当脅威自体を許可すれば設定変更可能です。
該当のhostsエントリは、SettingsModifier:Win32/PossibleHostsFileHijack [microsoft.com]として検出され自動的に削除され空行になります。
また、コメントアウト等で該当行が有効なエントリでなければ削除されずそのまま残るようです。
Windows Defenderが原因である事は、Windows Defenderを起動し履歴タブを選択するか、イベントビューアのアプリケーションとサービスログ>Microsoft>Windows>Windows Defender>Operationalと辿ること等で確認できます。
上記検出内容 [microsoft.com]は、Windows8のWindows DefenderはMicrosoft Security Essentials [microsoft.com]とほぼ同じパターンファイルですので、手元にWindows8が無くてもWindowsXP/Vista/7等でも検証可能です。
他の該当ドメインはTrojan.Win32.Qhost [viruslistjp.com]の亜種等から適当にコピペすれば手元で確認できると思います。
Windows8のWindows DefenderがMSEと大きく異なるのは、設定画面に「既定の操作」という項目が無く、おそらくパターンファイルで定義されている推奨される「検疫」「削除」「駆除」等が自動実行される、今回のケースの様に完全に通知すら出ないで駆除されるケースもあるようです。
この為サイレントに駆除された際にその事が解りにくいという点でしょうか。
イベントログにトリガーを設定すれば解りますが一般的ではないでしょうし。
この挙動が許されないのであれば、もし後日提供されるのであればWindows8対応のMSEを入れるか、サードパーティのセキュリティソフトを導入すれば回避できそうです。
個人的にはこの自動で適用されるのは好きではありませんが、セキュリティとのトレードオフな感じもします。
少なくともデフォルトでインストールされ、多くの詳しくないユーザーが使うことを想定した際に、選択肢すら出さないというのはアリかもしれません。
ただ、偽陽性対策に関して相当大変なチェックを要求されると思うのでMS大変そうだなとは思いますが。
# WindowsPhoneもそうですが、「自動的に行う」挙動がだんだん増えて裏が見えにくくなってきたかな?と感じる今日この頃。歳かな……
Re: (スコア:0)
> この挙動が許されないのであれば、もし後日提供されるのであればWindows8対応のMSEを入れるか、サードパーティのセキュリティソフトを導入すれば回避できそうです。
Windows 8なら可能性はあるけど、Windows RTではデスクトップアプリを追加導入できないから逃げ道がないね。(言うまでもないがサンドボックスに閉じ込められたセキュリティソフトなんて何の役にも立たない)
Re:結局編集出来るならいいじゃない (スコア:1)
Windows 8にEICARテストファイルとか食わせると解りますが、完全にサイレントという訳ではありません。
また、通常のデスクトップアプリを導入させない=極論ですがModern UI-Appと自分自身以外の実行バイナリは全て削除という荒業も許されるかと。
Re:結局編集出来るならいいじゃない (スコア:1)
なんで黙って戻されるのかというと、hostsに追加された項目を「マルウェア」とみなして「駆除」しているからみたいね。
だからDefender自体をOFFにしなくてもhostsを除外リストに追加すればいいみたい。
マルウェアなんかに書き換えられるリスクは残りますけどね。
デフォルトが書き換えられないってのは一般の人向けには正しいと思う。
Re: (スコア:0)
消しても消しても復活するDLLファイルみたいな扱いなのね。
>Windows2000/XPにはSystem File Protection(以下SFP)という機能があり、
>重要なファイルが更新もしくは削除されると、dllcacheフォルダにある
>正しいバージョンのファイルを置換します。
WinXP消してもいいファイルまとめ | 役に立たないTips [fc2.com]
Re:結局編集出来るならいいじゃない (スコア:1)
MSの意図どおりなのか、たまたまそうなったのか不明だけど、
hostsを書き換えて悪意のサイトへ誘導するマルウェアのほうから
見た場合、保存しようとしてエラーとなるよりは、保存したと
みせかけて保存できていないほうが面倒になる。
自分の誘導が成功したと思わせた動作をさせておいて、実は
うまくいっていないわけ。
マルウェアが、保存しようとしてエラーとなったとき、ここでの
活動はあきらめて痕跡を消すための行動に入るかもしれない。
自分だけを消す大人しい行動ならいいが、下手すりゃ、捜索を
回避するために二度と起動できなくする破壊活動を取る可能性
だってある。
ユーザが自分で変更するときは、それなりにちゃんとした権限で
ちゃんとした判断を持って変更するはずなので、それは問題ない。
Re:結局編集出来るならいいじゃない (スコア:1)
APIは正常終了に見せかけつつ、Defenderが通知エリア辺りにポップアップで警告すれば良いと思うが。
Re: (スコア:0)
今度はポップアップがうるさいと言いだすに一票
Re: (スコア:0)
ブロックしなきゃ不味いイベントがそうポコポコ起きてたまるか。
ポップアップが五月蝿いなんて言って良い相手はメール検疫とFW位だろうが。
Re:結局編集出来るならいいじゃない (スコア:1)
甘いな。甘すぎるセキュリティ意識だ。
最大のセキュリティホールの人間って、馬鹿だから。
アンチウィルスのウィルス検知が頻繁に出るのがうざくて、アンチウィルスをOFFにするやつが存在することを知らないのか?
MSともなると、そういう輩もぜんぶひっくるめて対策を考える必要があるんだ。
Re: (スコア:0)
UAC がうざいと言ってオフにするような人が世の中にはたくさんいてだな…
Re: (スコア:0)
通知すべきイベントを通知してそれがうっとうしいといわれても
そもそもhostsファイルを書き換えるという
> ブロックしなきゃ不味いイベントがそうポコポコ起きてたまるか。
なわけ。
だからうざいと思うほどポップアップするわけありません。
Re: (スコア:0)
そんなあなたのアカウントは、Administrator権限つきwww
Re: (スコア:0)
なぜマルウェアの作者がターゲットに類似する環境でテストしていないと考えるのか。
Re: (スコア:0)
win7以前用のマルウェアにはwin8でテストしてないのも多いと思うけど。
それが防げるだけでも万々歳。
Re:結局編集出来るならいいじゃない (スコア:1)
Re:結局編集出来るならいいじゃない (スコア:2, 参考になる)
例によって日本語記事の劣化がひどいんだが、ロールバックしているわけではなく、特定のホスト名(本家ではfacebook.comとad.doubleclick.netが確認されている)を含むhostsの項目が選択的に削除される。
ad.doubleclick.netは広告よけに追加していた人がそれなりにいたんじゃなかろうか。
Re: (スコア:0)
>ad.doubleclick.net
IPが127.0.0.1のときは削除しないで欲しい。
Re: (スコア:0)
> DefenderがOFFの場合
ONの場合でした。ごめんなさい
Re:結局編集出来るならいいじゃない (スコア:1, 興味深い)
> 実際hostsを書き換えるウイルスが出回ったことを考えれば、デフォルトで編集出来るようになっている必要はないでしょう。
・hostsをいじるには管理者権限が必要
・マルウェアがhostsをいじれるということは管理者権限をすでにとられているわけで、マルウェアはDefenderの停止でもなんでもできる
どうして目の前の現象に脊髄反射しかできないんだろうねえ。
> 編集したい場合は明示的にディフェンダーを解いて編集可の状態にする、
Defenderをオンに戻して、hostsに記述したサイトへアクセスした瞬間また削除されちゃうみたいだけど本当にいいの?
Re:結局編集出来るならいいじゃない (スコア:1)
> ・hostsをいじるには管理者権限が必要
> ・マルウェアがhostsをいじれるということは管理者権限をすでにとられているわけで、マルウェアはDefenderの停止でもなんでもできる
hosts の編集ができても、勝手に止められないサービスを作るのは普通にできる。
あと、セキュリティの話ではやれば迂回できる防御手段を単にダメというのは愚かな考えだよね。hosts変更だけならそれのコストは無視できる量だし。
Re:結局編集出来るならいいじゃない (スコア:1)
> 勝手に止められないサービスを作るのは普通にできる。
APIでお行儀よく止められないサービスを作るのは普通にできるけど、マルウェアがそういうサービスを止めるのも(管理者権限があれば)普通にできる。
基本的に管理者権限を取られたらその時点で終了だし、Microsoftのセキュリティ対策は常にその発想に基づいていたと思うけど。
そもそもDefenderを止められなくしたらユーザーがhosts書き換えを一切できなくなるわけでそれはそれで困るだろ。
> セキュリティの話ではやれば迂回できる防御手段を単にダメというのは愚かな考えだよね。
はあ? 何の意味もない「セキュリティ対策」もどきで対策した気分に浸るほうがよっぽど愚か。
Re: (スコア:0)
> 何の意味もない
としか思えないなら、あなたには理解できないレベルのお話なんですよ…
Re: (スコア:0)
管理権限は初戦はセキュリティ上の一区分に過ぎませんよ。
だからユーザーが管理権限を得ることが出来るのと同様に、
さらにDefenderのオンオフを考慮しないといけない管理区分の物が有るのには別に違和感はないけど。
そもそも管理権限取得時にDefenderはオフにならないのが元々そう思っている証拠かと。
管理権限とった途端にすべてのセキュリティ機能OFFだと、結局自分で地雷踏むユーザーを救えない。
しかしこのように段階的なセキュリティ権限の有効無効があれば、そういう人の一部を救うことが出来る。
どっちが良いから一目瞭然。
Re: (スコア:0)
>「必要ならhostsを書き換えることもできる」作りのアプリ
メモ帳のことですねわかります
Re: (スコア:0)
え?
その「必要ならhostsを書き換えることもできる」アプリを実行するためには管理者権限が必要なんでは?
それができるってことは、すでに管理者権限を獲得しているわけですから以下略。
Re: (スコア:0)
世の中なんでも完璧にする必要はない。
リスクを減らすことが目的なら今回の対策にはある程度の効果があると思われる。
少なくとも今回の対策はデメリットより効果の方が上回るだろう、という予想を元に
これに賛成する意見は至極まともだと思いますよ。
攻撃者が対策してきたらまた考えればいいのですから。
Re: (スコア:0)
> 攻撃者が対策してきたら
「こんな対策に何の意味もないことは最初からわかっていたのに」と得意げな顔ができて二度美味しいというわけですね。
Re: (スコア:0)
カーネルとかサービスとかすでに実行されてるとかがあるわけですが。
管理者権限なくてもそれら使ってhostsの書き換えできるようなセキュリティホールがあり得るわけですが。
なおかつ、それらではDefenderを停止できないとかあり得るわけですが。
Re: (スコア:0)
それは「管理者権限を突破するセキュリティホールがあり得る」、とおっしゃっているわけですよね?
確かに「あり得る」かもしれませんが、危惧しなければならないのはhostsだけではないでしょう。(「たまたまhostsしか書き換えられず、他のシステムファイルは書き換えられない」なんて都合のよいセキュリティホールでなければ)
そのようなセキュリティホールが看過されていること自体が、既に致命的な状態なのでは?
Re: (スコア:0)
その通り。そしてそういう状態にあるPCも多く、また未知なだけで潜在的にはすべてのPCでありうる状態。
だからDefenderなどのセキュリティ対策ソフトがあり、それらが様々な監視を行い様々な防御手段を持っている。
その一例に過ぎないhostsファイルの防御がなぜ特に必要ないのか、その理由が既に致命的だからというのはおかしくないですか?
それはDefenderの存在意義を問うことになりませんか?
Re:結局編集出来るならいいじゃない (スコア:1)
「デフォルトで編集出来るようになっている必要はない」には同意なのですが、
このような、一見、保存されたかのように見せかけて、実は保存されていない、みたいな、「裏工作的」な保護機能はやめてほしい。
保護機能が働いた時には「権限がありません」「システムによって保護されました」の様な、明示的な警告を表示するか、
あるいは、続行するには管理者のパスワードを入力するような仕組みになっていて欲しい。
Vistaが出た時、UAC保護下で、Program Files下に書き込もうとすると、暗黙的に別の場所にリダイレクトされてしまって、書き込み処理は成功するのですが、コピーしたはずのファイルが見つからない、なんていう現象に悩んだことがありました。過去のソフトのために、リダイレクトの仕組みを実装したのでしょうけど、そういうことこそUAC機能で「リダイレクトして良いですか?」の様な警告を出して欲しかった。
UACの警告はちょっとウザいけど、安全性のためなら我慢できる。でも暗黙のリダイレクトは非常に迷惑。システムファイルの書き換えもこれと同じ。表向きには成功したかのように見せかけて、実際にはブロックされてしまっては、ユーザーは混乱する。ブロックするのは構わないから、ブロックしたことをユーザーに明示してほしい。
ディフェンダーを解けば編集可能になるってことは、hostsだけを書き換えたいがために、ディフェンダーを解かなくてはならないということ。これに抵抗があります。ディフェンダーを解除したくないけど、hostsを編集したいというニーズに対応するため、保護するファイルと保護しないファイルを選べるように(権限昇格ダイアログと共に)してほしい。
Re: (スコア:0)
> オフにすれば今まで通り編集できるなら別にいいじゃないんじゃないかと。
要するに、世の中に多数あるバッドノウハウがまたひとつ増えたと思えばいいわけですね。
Re: (スコア:0)
バッドノウハウと言えるほどのレベルじゃないと思う。
Re: (スコア:0)
Windows Defenderなんかに頼らず、OSレベルでUACでも使って好き勝手な変更を認めないぐらいのほうがいいんですけどね。
# でもUACを無効にするのが流行ると意味ないか・・・
Re: (スコア:0)
だからhostsファイルは管理者権限がないと変更できないわけで、そのレベルの対策はすでにVistaで行われたはずなんだが。
Re: (スコア:0)
NTFSを使用していれば、一部例外を除きNT時代からそうですよ。
元々System32以下の変更にはAdministratorsが必要ですから。
Vista以降でUACが有効であれば、AdministratorsであってもアプリはAdministratorsで無い為にワンクッション必要ですが。
Re: (スコア:0, 参考になる)
今どきの環境で、hostsファイルの編集が必須という環境は少数派ではないかな?
SMBでファイル共有するだけなら、名前解決は別の手段があるし、インターネット接続環境ならDNSなりDNSキャッシュがあるのが当然。
hostsファイルの編集が必要なのは、閉網でDNS無し、SMBでファイル共有もないという環境ぐらいではないかな?
まあ、レアケースとして、アクセスしたくないホストに対応するIPアドレスを別のものに置き換えるためにhostsファイルを書き換えるというのがあるが、これは悪質なマルウェアやウィルスが悪用する方法でもある。
だから、レアケースを除けば、hostsファイルの編集は不要であり、編集を阻害することはセキュリティ対策ともなるということになる。
Re:結局編集出来るならいいじゃない (スコア:2, 興味深い)
「今どきの環境で、hostsファイルの編集が必須という環境は少数派」
であるにもかかわらず
「Windows 8ではhostsファイルの変更がブロックされるという話が物議を醸している」
って事から
「あなたの考えてるレアケースは実はそんなにレアなケースじゃなかった」
って事に気がついてください。
更に言うなら「セキュリティ対策の一手段としてhostsファイルを編集する」場合もあるので、編集を阻害することはセキュリティが低下する面もあります。
未修正の脆弱性を突くマルウェアの配布ホストへのアクセスがドメイン名だった場合にhostsで凌ぐとか、同意はとってますって言わんばかりに情報引っこ抜くツールの類(先日サービス停止したTポイントツールバーとか)の配布ホスト/送信先ホストを予めブロックしておいて、バンドルされて勝手にインストールされるのを防いだりとか、そういう事が(代替手段があったとしても)やり難くなるってのは明らかにリスクです。
Re: (スコア:0)
少数だからと無視するのが間違いなのはそうなんだけど。
「セキュリティ対策の一手段としてhostsファイルを編集する」場合もあるので
そういう人はDefenderのターゲットから外れるってだけだろうね。
Defenderはhostsなんか弄らない・知らない、お着せで十分な人たちのためのものでしょう。
Re: (スコア:0)
単に声がデカいだけだろ。ほとんどのユーザは「hosts?なにそれ」だよ。
>そういう事が(代替手段があったとしても)やり難くなるってのは明らかにリスクです。
そういう手段がとれるユーザは極少数だってことに気付いたほうがいい。
Re: (スコア:0)
やり難くていいとおもうよ。
端的に、hostsファイルをホイホイ書き換えられる方がシステムとして脆弱だと思う。
Re: (スコア:0)
必要なケースをレアケースとして切って捨てれば不要とかいう
「ぼくはいらないからいらないの!」みたいなガキの理屈はいりませんよ。
Re: (スコア:0)
書き換え超必要だよ。jword関連のサイトをいつも書き足しているよー
Re: (スコア:0)
そういうのがレアケース。
Re: (スコア:0)
俺も客から要望やらクレームやらがあったとき
「レアケースですね」
と言うだけのかんたんなお仕事につきたいなー。
Re: (スコア:0)
nsswitch的なものがあって、そちらの変更権限をきっちり規制する方が筋のいい方法。