脆弱なPCの生存時間はネット接続から約4分 92
ストーリー by mhatta
鎧袖一触 部門より
鎧袖一触 部門より
/.Jのオフトピコメントより 曰く、
ITmediaの記事によると、脆弱性の修正パッチが当てられていない状態のPCがネットに接続されてからマルウェアに感染してしまうまでの「生存時間」は、最近では平均で約4分に過ぎないそうである。「未パッチのWindows PCを直接ネットに接続すれば、パッチをダウンロードするより先にマルウェアに感染してしまう確率が極めて高い」ということのようだ。
ISP側の対策やネットワークの設定次第で状況はだいぶ変わってくるようだが、個人のライトユーザーでも出来る対策にはどのようなものがあるだろうか? また、不運にも「世界最速記録」を樹立してしまった人はぜひ名乗り出て経験談を語っていただきたい。
英語が読めない奴が多すぎ (スコア:5, 参考になる)
- 未対策のPCをネットに接続すると、パッチをダウンロードする前に感染する事を実験で証明。
- だからこうすれば安全に使えますよ、と詳細なガイドを無償で公開し一般に広く啓蒙
それなのに FUD だの恐怖を煽っているだのルーターなら…とか、トンデモな議論が続いてますね。そんな事を書いている暇があったら Windows XP: Surviving the First Day [sans.org] を印字して、繰り返し読んで理解し、書いてある事は実行して、周囲に初心者がいたら手助けしてあげたら。議論はそれからでなければ意味が無い。個人的には
- 未だに、購入時に付属の CD で再インストールすると無印 XP やら XP SP1 (ファイヤーウォールがデフォルトで無効) に戻ってしまう PC だって使われている。
- スキルの低い人間なら、この PC を再インストールしてネットにつなげるのは危ないから最新のPCに買い替えろとしかアドバイスできない。Windows XP: Surviving the First Day [sans.org] を理解し実行できる人間なら、SP3 を CD に焼いてそれを適用し、他にも無償で使えるアンチウイルスソフト (avast! か AVG) の設定などもしてあげて安全に使えるようにしてやれる。
と思うが。2004年と2006年の調査など (スコア:4, 参考になる)
2004/08
パッチ未適用のWindowsシステム、「生存時間」は約20分--米調査 [cnet.com]
スラッシュドットの記事 [srad.jp]、WIRED BLOGの記事 [wired.com]
調査:SANS Institute(Internet Storm Center)
2006/03
ネットで検証、パッチなしのWindows 2000は1時間強で侵入される [atmarkit.co.jp] 調査:シマンテック
[対策関連]
2004/03
“無防備”なマシンでWindows Updateは禁物,ネット接続前に“守り”を固めろ [nikkeibp.co.jp]
2005/05
リカバリー・再インストール直後のWindowsXPを安全に最新の状態に更新する [lucanian.net]
モバイルPCもお気をつけを。 (スコア:3, 興味深い)
・スペックが低いので、OSが古い
・スペックが低いので、FireWallやAntiVirusソフト入れてない
アンチウィルスソフトいれずに、
Win2000(パッチ当て済み)のノートPCでLivedoorWileress接続して使ってたら、
わんさか感染した経験あり。。。
過去の調査結果によると (スコア:2, 参考になる)
修正パッチが当てられていないWindowsが増え続けているということでしょうか。
http://web.archive.org/web/20040819044358/http://www.itmedia.co.jp/ent... [archive.org]
Re:過去の調査結果によると (スコア:2, 興味深い)
が居ます‥私の妻だけど‥それ以来使うなと言っておきました。
Re:過去の調査結果によると (スコア:1)
そんなアンチウィルスソフトは、世のため人のため名前を
公表してもらえませんか?
# 自分の使ってるソフトだったら……
-- う~ん、バッドノウハウ?
Re:過去の調査結果によると (スコア:1, 参考になる)
#4分は確かに短いが。
逸般の世界ではインターネットにつなぐ前に最新のSPあてておくとかファイアーウォールをいれておくとか、
数年前から常識になっていたと思う。
Re:過去の調査結果によると (スコア:2, 参考になる)
Windows XP Service Pack 3 - ISO-9660 CD イメージ ファイル [microsoft.com]
店頭売りで手に入るのはせいぜいSP2までだろうからつなぐ前に別のPCでこのイメージCDRに焼いてインストールする。
SP2以上だとWindowsファイアーウォールで防御できる。
そういえばSP2のときは郵便局までつかってCDROM全国配布してたけど、SP3は何かそういうことしたっけ?
「WindowsファイアーウォールあるからOK!」ということなのかな。
Re:過去の調査結果によると (スコア:1)
Windows XP SP3のレジストリ破損問題、シマンテックが対応ソフトをリリース [computerworld.jp]
シマンテック、Windows XP SP3導入時トラブルの回避策を説明 [computerworld.jp]
[関連]
Windows XP SP3を適用することに伴う不具合やメーカ情報、blog情報に関してのリンクまとめなど [hatena.ne.jp]
XPのサービスパック適用状況は? (スコア:1)
ほんとにダイアルアップなりPPPoEで直に繋いだとして、無印と
Windowsファイアフォールの入ったSP2以降でどれくらい違う物なんでしょう。
Windowsファイアフォールでも同程度に危険ならWindowsファイアウォールって
なんなのさって話だし。
Microsoft Update(Windows Uppdate)に時間がかかるからその間にネット徘徊
するってのは別の話。
Re:XPのサービスパック適用状況は? (スコア:2, 参考になる)
インターネットに繋いだとして、やられるのに4分もかからないような……。
フルパッチ当たったSP2なら、ファイアウォール無しでもほぼ大丈夫です。
結局ファイアウォールの有無よりも、外部からの攻撃を容易に許してしまう脆弱性が
つぶされているかどうか、という方が重要なのではないかと。
#だから、素人のお客さん相手に、なんの注意もなしに
#無印のXPが入った中古PCを売るのはやめてちょーだい (><;
勝つて言はず、敗れて語らず、
謙譲を崇ぶ者は君子也、怨怒を起す者は小人也。
Re:XPのサービスパック適用状況は? (スコア:2, 興味深い)
ぜんぜん触れてないんですよね。
ケーブルモデムとルーターのポートをあえて開放したみたいなことも書いてあるけど
結局Windowsがどうなのかは何も書いてない。
Windowsファイアウォールも当然オフにして検証しましたって意味なのかしら。
Re:XPのサービスパック適用状況は? (スコア:1)
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050727/165402/ [nikkeibp.co.jp]
それでも、本家では、4分とはオーバーな話だというタレコミ自体の論調もあるし(人の平均寿命と同じで正規分布ではなく、4分を超えるケースの方が多いのでしょうが)、Windows Firewallの有無にも焦点が当たっていて納得です。一方/.jpでは、それほど落ち度のない門外漢を叩いてるACが多く、その主張ももっと危険を認識するべきという曖昧な話ばかりで、教えようという親切心が足りない。詳しい人たちがこれでは…
安心しろ。ほとんどNAPTで撃墜可能だ (スコア:1, 興味深い)
爆発的に増殖し、ネットワークを麻痺させるタイプの古いワームなので、日本のように
貴重なIPアドレスをNAPTで共有するのが当たり前な国ではそこまで問題にはならないでしょう。
IP電話オプションだとモデムではなくルータになりますし、NTT西のCTUの実態はNAPT付きIPSecルータです。
複数台どころか、1ホストでもNAPT運用を強いられるのが我が国です。
#放置管理だとUPnPのタコな仕様でTrojanやBotにやられる率は上がりますが、これはおいといて。
ただ、米国のケーブルみたいにDHCPでたくさんのグローバルIPを引っ張ってこれる環境だと、
NATはおろか、ルータすら使わずに複数台のPCを使い回せたり、メインランドチャイナみたいに
既に仕込まれてる海賊版を使ったり、韓国みたいなケンチャナヨ管理をしている法人が
ごまんとあるような環境が未だに放置されているので、数分に一回ApacheのLogに、やたら
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNほげほげなワームが引っかかってるのですよ。
なので、NAPTの内側でオンラインセットアップする分にはほとんど問題はないです。
さらにいえば、日本のようにRADIUSできっちり認証する、とういう文化がない
地域はかなり存在します。固定の回線で価格固定だから、PCにはDHCPで配ればいい、
結果として誰が病気持ちかわからなくなる、と。
最近の流行はスピアと詐欺系各種とBotnetや暴露系trojanですから、インストール後
Social的な侵入を防ぐためにAntiMalwareが有効になります。DDoS系は今日日流行らん。
日本ではほとんど気にしなくて良いです。
Re: (スコア:0)
IPCPではなくて?
DHCPだと、普通はLAN内の話になってしまうんだけど。
RADIUS使わなくてもWANで接続するならIPCPでしょ。
それとも、最近の実情は違うの?
Re:安心しろ。ほとんどNAPTで撃墜可能だ (スコア:4, 興味深い)
Re: (スコア:0)
コスト的にも非常に安価で都合がいい、ってことか。
海外から来るbot spamが国内より段違いに多い理由もここかね。
googletoolbarとも言いたいが (スコア:1, おもしろおかしい)
はじめからインストールされているJWORDのことですね。わかります。
ちょうどXPの再インストールしたところ… (スコア:1)
昨日から新しいHDDにXPの再インストールしてるところです。
当然このタレコミなんて見てませんでした。
LANケーブル外した状態でSP2適用のXPを入れ、
会社で落としてきたSP3を適用し、ノートン先生を入れたあと
LANケーブル繋いでノートン先生のアップデート→Windowsのアップデートと、
外部(ケーブルモデム直結)につないだ状態で1時間くらい動かしてました。
ちょうど今しがたノートン先生でスキャンしてますが、今のところ
脅威は見つかってません。(先生がだまされてる可能性もありますが…)
大丈夫だよね? ね? 誰か大丈夫と言って。
大丈夫じゃないよ、って言ってあげようか (スコア:1)
2. そもそもノートン先生はパーソナルファイアウォール機能のある物を購入しましたか?
3. どうしてSP3と一緒にSP3に対するセキュリティHotFixを落としてこなかったのでしょう?
4.MS Office, .Net Framework, Adobe Reader, Java その他、インストールする予定がある製品について、どのようにパッチ当てをする計画を立ててましたか?
以上、どれかでぎくっとされるようでしたら、自信を持って「大丈夫じゃないね」と言ってあげられるのですが。
#まあ、絶対のセキュリティというものは無いので、空元気で乗り切るしかないと思います
プロバイダで遮断すればいいのに。 (スコア:1)
大遅刻であれですが (スコア:1, おもしろおかしい)
PC再インストール終了(無印XP)>Windows Updateするべ>スタートメニューからWindows Update起動>開始、の間に感染するってことですか?
よくある光景ですけど。
そうだとすると、半端ない数のPCが感染しててもおかしくないんですが別にそんなニュースもないですし。
Re:大遅刻であれですが (スコア:2, 参考になる)
ダイレクトにインターネットに接続する(フレッツ接続ツールを使ってPPPoEとか、
XP標準の機能を使ってPPPoEとか、ダイアルアップ接続とか、ADSLモデムに
グローバルIPがふられてて直結とか)と、ものの数分でMS03-026の脆弱性を
悪用したウイルスに感染します。
別に怪しいサイトを見に行ったから感染するとか、見知らぬメールを開いてしまった
から感染するとか、怪しいファイルをダウンロードして実行したから感染するとか、
そういうレベルじゃないんです。何の操作も必要ないんです。
だから、運が悪いと「さてWindowsUpdateするべ」とIEを起動してる前に既に
感染してしまう可能性もありますし、WindowsUpdateのページを開き、重要な更新の
ダウンロードをしている間に感染することだって大いにあり得ます。
例えるなら、上記のPCだと常に部屋の窓の一部が開いていて、世界中の感染PCから
ランダムに飛んでくる空き巣(たとえ話ですよ)が開きっぱなしなのを確認すると
すぐに中に忍び込んで住み着いてしまい、再びそこから世界中の見知らぬPCへ
向けて空き巣をランダムに派遣しまくる感じです。
>そうだとすると、半端ない数のPCが感染しててもおかしくないんですが別にそんなニュースもないですし。
既に何年も前にニュースになってるのです。
MSBlasterやSasserが猛威をふるったのは2003年の8月以降ですが、その後正しくウイルス対策を
するなり、WindowsUpdateを正しく実施してXPSP2にするなりしていれば再感染することも
なかっただろうに、いつまでたっても感染PCの数が落ち着かないので、2005年1月から、
WindowsUpdateの中に「悪意のあるソフトウェアの削除ツール」という名前で、
駆除ツールが実行されるようになったのです。
但し「悪意のあるソフトウェアの削除ツール」は常駐してウイルスを監視してくれるわけじゃないので、
一度ウイルスが駆除できても脆弱性を放っておけば再び感染します。
ひょっとすると、毎月第2火曜~水曜あたりで沈静化しても、また月末頃には感染PCが増えたり
してるんじゃないか?という気すらしてきます。
とにかく、今、XP無印とかXPSP1とかをリカバリーなり再インストールなりで入れる場合は、
インターネットに線を繋げずに、先にSP3を適用するべきです。
SP3はまだちょっと不安…とか訳の分からないことを言うのであればSP2でもいいです。
だけど、SP2をあててからWindowsUpdateをすると、重要な更新だけで膨大な数ありますから、
時間の節約やHDDの空き容量の節約を優先すればSP3まで一気に上げた方がいいです。
Re:大遅刻であれですが (スコア:1, 参考になる)
大ニュースになってないのはNimdaやMSBlaster時の騒ぎを経験していないから彼方が知らないのと、大抵の管理者はLAN内のPCがウィルスに感染してたらそのマシンを放置しないでちゃんと隔離してるからです。
手順としてはオフラインで再インストールし、CD-R等でSP3適用が望ましいです。
それが不可能な場合は無印でもXPはFW機能を所持していますので有効化して全ての外部からの接続を拒否しておき、
デスクトップ画面が表示されてHDDのアクセスやCPU使用率が落ち着いて起動完了してからネットワークケーブルを接続することで対処可能です。
# SP2より前では起動時にFWが有効になっておらずその間に侵入されるリスクがあります。
その後WindowsUpdateのみを表示するとよいでしょう。
間違ってもアップデート中暇だからとかいってそのマシンでネットサーフィンとかしちゃだめです。
Re:大遅刻でこれですか (スコア:1, おもしろおかしい)
別ACだけど、別にそんなの説教する必要ないと思う。そういう態度が嫌われるんじゃないかと。
そんなの勉強するもんじゃないし。そんな勉強が必要な道具は道具として欠陥品。免許が必要な車じゃないんだから。
>未知のトロイの木馬が、PCを繋いだ瞬間に侵入に成功
ただつなぐだけで進入なんてそうそうある? うちはFirewall入れてるけど、この十年そんなログ(未遂)見たことない。
Re:大遅刻でこれですか (スコア:1, すばらしい洞察)
あ〜、もうヤラレちゃってますね。
Re:大遅刻でこれですか (スコア:1)
署名スパムがウザい?アカウント作って非表示に設定すればスッキリさ。
Re:大遅刻でこれですか (スコア:1)
でも真面目な話、こういうのは折りふれて啓蒙しないと、いつかとんでもない事態になるんじゃないかと危惧してます。
たとえば、米テキサス州、PC修理業を行うのに探偵免許が必要に [srad.jp]とかね。
使うのにも免許が必要になって、飲酒書込みで反則切符切られる世の中になってもいい? そうならないように、今あるPCのより良い使い方を共有しないと、と思うのです。
Re:大遅刻でこれですか (スコア:1)
これ変じゃない? 誰がトロイの木馬を城壁の中に入れるの? それとも最近のトロイの木馬は自力で城門をこじあけるのかい?
基本は (スコア:0)
もう何年もサイバーノーガードですが、PCのウィルスに感染した事はないです。
#インフルエンザなら何度かorz
Re:基本は (スコア:2, すばらしい洞察)
DHCPでLANのアドレス振られて、中から外は素通しだけど、外から中は返答以外はブロックされるでしょ
パッチを落としたり、ウイルス対策商品を落とすぐらいの時間は無問題だと思っています。
.......設定中、息抜きに怪しげなサイトを見たら知りませんが^^;
------------
惑星ケイロンまであと何マイル?
Re:基本は (スコア:2, 興味深い)
こんな事例が2008年03月に発生しているばかりなので、「デフォルト設定」への過信は禁物かと思います。
複数のアイ・オー・データ製無線 LAN ルータにおけるセキュリティ上の弱点(脆弱性)の注意喚起 [ipa.go.jp] ルーターを過信するようになると、次はルーターが狙われるようになるのは時間の問題という事で。
シスコのルータがマルウェアの標的に――セキュリティ専門家がルートキットを開発 [computerworld.jp] 信用できないルートで入手したような不審ルーターは、ネットワークに組み込まない事も重要。
中国製のシスコ製品のニセモノが米政府機関で多数発見、FBIが本格捜査に着手 [technobahn.com]
この手の馬鹿っていつまで経っても減らないもんですね (スコア:1, すばらしい洞察)
Re:この手の馬鹿っていつまで経っても減らないもんですね (スコア:1)
Re: (スコア:0)
そりゃアンタあれだ、花火プログラムが動いたり、画面に渦巻きが出たりしてない。
英語のメールは削除してるし、毎月の電話料金の請求額もQ2とか使われていない。
見りゃわかるだろ?
とかいうんだよ多分(笑)
まあ、各種オンラインスキャン位はしてるんだろうけど。
Re:この手の馬鹿っていつまで経っても減らないもんですね (スコア:3, すばらしい洞察)
> 感染したって死んだり破産するわけじゃないし。
コンピュータウィルス感染が原因になって破産しうるシナリオも、今すぐに二つは思いつくぐらい、非現実的ではなくなっているわけで。
・オンラインバンキングを悪用され、預金が無くなった
・ゾンビPCが与えた損害の賠償請求訴訟で敗訴した
で、破産を苦に自殺するシナリオもあるから、「死んだりしない」も言い切れないし。
Re:この手の馬鹿っていつまで経っても減らないもんですね (スコア:2, 興味深い)
例えば、三菱東京UFJのオンラインバンキングだと次のような注意書きが書いてあります。 [bk.mufg.jp]
もちろん、この注意書きさえ書いておけば銀行は無責任でいられるってわけではなくて、この責任の線引きはオンライン取引に関する訴訟が増えていけば変わっていくでしょう。
もしかしたら銀行側に一定の責任を負わせる制度(例えば、電子消費者契約法みたいな法律)ができるかもしれませんが、どうなるにせよ注意するに越したことはないですね。
Re:この手の馬鹿っていつまで経っても減らないもんですね (スコア:1, すばらしい洞察)
こっち [srad.jp]だともっと深刻か?
Re:この手の馬鹿っていつまで経っても減らないもんですね (スコア:2, すばらしい洞察)
学習能力の無いバカだと言うことですね。
外からどうやって侵入されるのかわからない・・。 (スコア:0)
Re:外からどうやって侵入されるのかわからない・・。 (スコア:1)
Re:外からどうやって侵入されるのかわからない・・。 (スコア:1)
私も自宅でのWindowsを使った接続にはファイアウォール2段とproxyまたはnatを経由したローカルアドレスしか使っていないので, 何が原因で感染するのか気になります.
もちろん一旦接続したらWebやらメールやら経由で感染するでしょうが, こうした内部からのpull型とは別に外向けにデフォルトでlistenしているサービスって何があったんでしょう?
地方のケーブルテレビが強い? (スコア:0)
マイナーすぎて相手にされてないだけだったり
Re:地方のケーブルテレビが強い? (スコア:1)
どうでしょうか。はるか昔には「マイネットワーク(ネットワークコンピュータ)を
展開すると、同じCATVサービスを利用している他人のPCが一覧表示された」という
こともままあったようですし。
使った事ないのか、それともクラックした事しかないのか (スコア:1)
私?ボリュームライセンス持ってるのでアクティベーション要らずの高みの見物さ。
署名スパムがウザい?アカウント作って非表示に設定すればスッキリさ。
Re:使った事ないのか、それともクラックした事しかないのか (スコア:1)
2. ネットワークにつながず、そのまま放置してたらActivationの猶予期間がすぎた
3. 次に起動したとき警告が出たけど、ドライバが合わなくてネットワークに繋がらない事が発覚
のおおおおお、ということで電話でActivationしました。シリアル用意して連絡したら、親切かつ簡単でしたよ。
Re:XPとVistaでどのぐらい違うんだろう? (スコア:1)
〜◍
迷える子羊たちへの自爆気味の啓示 (スコア:1)
以下、当然1.を満たしてから進めてね。
2. 御三家やKasperskyなど名の知られたベンダのウイルス対策製品で、機能てんこ盛りの物を買う。
3.ノートなら膝に置けない位重い物、デスクトップならがたいの大きい物を買う。
(そうすればウイルス対策製品を余裕を持って動かせるでしょう、きっと)
4. プリンタはネットワーク経由で繋がない。無線プリントサーバなんてもってのほか。USBなら安心。
5. 外付けハードディスクもUSB接続にしておく。
6. もしあなたがマニュアルを見て頭をかかえたなら、専門家にセットアップを押しつけなさい。
7.winnyとかshareとかねとらんとかに近づいてはいけません。
とか書いておけば、/.er以外は納得してくれるだろうな。
Re:./erから迷える子羊たちへの啓示は? (スコア:1)
ように教えてあげてください。定期点検が必要ですよって。
ISPの「出張設定サービス」なんて、作業者は1案件2000円くらいでやってる
そうなんで、半年に一度、3000円くらいならやってくれる人もいるんじゃない
でしょうか。Microsoft update、ファイアーウォール、ウイルス対策ソフトの
アップデート、HDDのスキャン、無線、有線LANの設定チェック程度でいいかな。
〜◍
Re:./erから迷える子羊たちへの啓示は? (スコア:1)
# Flash PlayerやAdobe ReaderやQuicktimeやiTunesは自動でアップデートできたっけ(今手元に確認できる環境がない)。
# 自動ではアップデートのチェックしかできない場合、
# 「アップデートしますか」のダイアログに利用者に答えてもらわないといけないが、
# 利用者に「アップデートするかと聞かれたら『はい』と答えてください」と教えるのは危険。
# マルウェアに騙される元になる。