猿頁

最近MSブラストに感染してしまった方からの相談が私の元へも割とやってくるよぅになっておりまして。

これが商売ならけっこぅな繁盛でありがたいことなんですが、親戚や知人からの相談がほとんどなので、有償サポートをするわけにもいかず。
とほほ。

で、ある時電話で相談を受けまして。口頭で駆除とセキュリティホールパッチ当ての説明をしたんですが。

MSブラストはワーム(独立したプログラムファイル)タイプですので、実行されていない状態であれば手で削除することも可能です。
ただ、Windowsの起動と同時に実行開始するよぅな状態になっちゃっていますので、一度セーフモードで起動し直して(Windowsの起動時にF8連打で起動メニュー→「セーフモード」選択)、ファイル名と格納フォルダはすでにわかっていますから(詳しく知りたい方はワクチンソフトメーカーのデータベースを当たってください)、ひとつずつ探し出して削除してやればいいわけで。

…ここまでは順調だったんですよね。

そのあとMicrosoftのWindows Updateサイトから修正プログラムをダウンロードしようと思ってインターネットに接続してもらった途端に。

そりゃぁもぅどっかで待ちかまえていたんではないかってほどに瞬速で。

あきらめました。で、感染マシンをウチまで持ってきてもらって、オフラインで穴をふさぎました。

実際問題、このウィルスはなかなか駆除しきることが大変だといぅことがわかりました。
セキュリティホールを埋める修正プログラムを実行すればいいだけなのに、その修正プログラムが入手できないんですね。

入手できるよぅな方は、そもそも感染しません、これ。

ので、一度かかっちゃったら、たぶんオフラインで修正プログラムを入手しないとホール埋めは難しいんではないでしょうか。
Microsoftが修正プログラム配布用CDを20万枚用意したとかニュースになっていましたけど、やっと意味がわかりましたよ。

感染しちゃった方は、雑誌の付録か友人からコピーしてもらうかMicrosoftに問い合わせるかして、修正プログラムをCDか何かでもらうのがどぅやらベストのよぅです。

ガンバってください。では。

投稿者: さるべーじ 日時: 00:00 | パーマリンク | コメント (0) | トラックバック (0)

今回ご紹介するウィルスは、MSブラスト。

今までかつてないくらい、国やメディアの取り上げ方が異様でしたね。
ウチで取っている新聞なんか、ほぼ連日1面ですもん。

って言ぅと、(たぶん)過去最高の感染力だったからなんです。

私が本シリーズのコンテンツで今まで取り上げてきたウィルスは、主にメールを媒介として感染増殖するといぅ手法を取っていました。

が、今回のMSブラストは、自力です。
何らかのソフトにまったく依存せず、どんどん増殖していっちゃぅんです。

ふつーパソコンには、そのネットワークの向こう側にあるコンピュータとデータのやり取りができるように、やり取り用の出入口が用意されています。
この出入口のことをポートと呼びます。

ポートはやり取りするデータの種類や用途によって別々に用意されていて、本来は各人が自分の必要とするデータ用のポートだけを残して後はふさいで使うようになっています。

ふつーにインターネットだけをやるんであれば、最低Webページ用、ファイル送受信用、メール送受信用のポートだけが空いていれば事は足りちゃいます。
が、Windowsの場合は、その他にもLANやイントラネット向けにいろんなポートがあらかじめ空いてるんです。

いぇ別にポートが空いていること自体にさほどの問題はないんですけどね。
変なデータがやってきても弾き飛ばす鍵付きの扉みたいな仕組みが各ポートに備わっていて、不正侵入ができないよぅにセキュリティかかってますから。

ところが、NT系のWindows(NT4/2000/XP/2003Server)のポートの一部に、この扉が弱いところ(セキュリティホール)があったんですね。よりによって、「他のパソコンからリモート操作される時」に使うポートに。

ここに無理やりなデータをぶつけてやると、扉の鍵が壊れちゃうんです。壊れちゃえば、もーそのポートから侵入し放題ですから。今回のポートであれば、リモート操作され放題なわけです。

で、「感染元のマシンからウィルスファイルをダウンロードしなさいよ」「ダウンロードしたウィルスを実行しなさいよ」って感じでリモートで命令されちゃって。その通りに動作しちゃいます。

かくして感染済マシンが出来上がり。って仕組みで動いてるんですね。
これらの仕組みをMSブラストは全部自前で持っています。
ので、ブラウザもメーラもMS Officeも必要ないんです。

今回のMSブラストが大騒ぎされているのは、感染力が強力だからであって、従来のウィルスと比べて特に深刻な被害が発生するからではないんです。
それどころか、ほとんど感染しているかどぅかわからないくらいなんにも被害がありません。

このウィルスの活動はMicrosoft Webサーバへの不正攻撃のみですので、感染したマシンやその近隣のマシンに直接的な悪さをするわけではありません。
まぁ不正攻撃がけっこぅ頻繁なので、中継サーバが過負荷でダウンしたり、ネット通販で紙おむつを買えなかった程度の被害はあったよぅですが。

次、予防策。

Windows UpdateからWindows XP 用セキュリティ問題の修正プログラム (823980)をインストールしてください。これだけでOK。
リモート操作用のポートの鍵を、壊れない頑丈なものに取り替えてくれます。

あ、Windows95/98/98SE/MEの方は不要です。このポートの鍵の弱さは、NT系のWindowsにだけあるバグですから。
さらに、NT4と2003Serverの方もあわてる必要がありません。感染はしますが動作できないので、自分にも周囲にも被害は発生しません。
Windows2000/XPの方は、しっかり上記の修正プログラムをインストールしておいてください。感染も動作もしますので。

で、かかっているかどぅかの判断と駆除。

ワクチンソフトを導入されている方は、パターンファイルを最新にしてチェックと駆除をしてしまえばおしまい。
ワクチンソフトを導入されていない方は、MSブラストに限った専用駆除ツールを入手・実行していただければおしまい。この駆除ツールは、MicrosoftサイトのBlaster に関する情報に入手先一覧があります。

今回のMSブラストは、ある意味ものすごいデモンストレーションでした。

Officeデータ添付ウィルスやメール添付ウィルスは、ひとつ成功事例が出ると、その後同じ手法を使った新型がわんさと出てきました。
まして、今回のはそれらと比較にならないくらいの強力な感染力を実証してしまったんです。

もー今後、このセキュリティホールを悪用した新型ウィルスが続々登場してくるのは明らかです。
また、今回の騒ぎでこのセキュリティホールを埋める修正プログラムもある程度普及するでしょうから、似たような別ポートのセキュリティホールを探し出して似たような振る舞いをする新型ウィルスも少なからず登場してくるでしょう。

ですから、上記駆除・予防作業を行ったとしても、これから流行るだろう新型ウィルスについてはあまり効果は期待できないと思います。

では、今後に備えてどぅすればいいのか。

対応は大きく3つの手法が考えられます。

　　1. 常に最新のWindows Updateをかける。

もぅどこのポートにどんな穴が空いているかわからないわけですから、Microsoftで発見・対応した穴埋め修正プログラムを片っ端からインストールしていくといぅ方法です。
定期的にWindows Updateをチェックするのがめんどくさい方用に、自動的にチェック・更新をかけてくれる常駐プログラムもWindows Updateで提供されています。

一番安価ですし、ムズカしい勉強も不要です。ただしMicrosoftの対応よりウィルス作者の流布の方が早かった場合には、なんの効き目もありません(まぁめったにないとは思いますが)。
また、デグレード(修正したために発生する新たなバグ)もままあることは覚悟してください。
実際、あまりにも動作が遅くなるので、私の場合、別の手法でセキュリティ対策を取ってからアンインストールしてしまった修正プログラムが1本あります。

　　2. パーソナルファイヤウォールソフトを導入する。

要は、使わないポートは全部ツブしてしまえといぅソフトですね。(正確にはちょっと意味合いが違いますが。)
最近いろいろ市販されているよぅです。ワクチンソフトとセットで導入するとまずまず効果があります。

わずらわしいのは、キビシめのセキュリティが標準状態になっているので、関係ないところまでロックされる場合があるってことです。
オンラインゲームに参加できなくなったり、特殊なサイトへ行けなくなったり、インターネット関係ないソフトが動作しなくなったり。
ワクチンソフトとファイヤウォールのメーカーが違ったりすると、ワクチンソフトがファイヤウォールをウィルスと勘違いしたり。

ある程度勉強する気があるなら、動作が素直でフリーなファイヤウォールソフトとして、ZoneAlarmをお奨めしておきます。
ダウンロードからインストールまでの英語にへこたれなければ、実使用時用の日本語化パッチが竜の情報館で配布されています。

　　3. ルータを導入する。

まぁADSLを使っている方であればブロードバンドルータが比較的安価に販売されていますが。その他の通信形式の方は、それ用の口を持ったルータを探さないばなんないと思います。
私の若い頃は数十万してたんですけど、今はどぅなんでしょうか…。

これはパソコンに届く前に余計なポートを全塞ぎできるし、OS固有のバグとは無関係になるのでセキュリティホールともあまり関係がなくなります。
設定も初期の製品よりは簡単だったり微調整が細かくできるよぅになったりしていて、私としては一番のお奨めなんですけど。

ある程度下調べをして、評価の高い、自分の知識レベルにあったものを購入しましょう。
安物買いは銭失いです。
私のところにある奴はもろに安物。使い物になるまで調整に2日かかり、微調整が効かないのでADSLモデム直でつないだ時より20～30％ほど速度が落ちます(Ｔ－Ｔ)。

投稿者: さるべーじ 日時: 00:00 | パーマリンク | コメント (0) | トラックバック (0)

ある日。
あまりパソコンに詳しくない知人から連絡が来ました。

今どきのウィルス(ワームその他を含め)でパソコンを壊すよぅな被害を出すものは珍しいので、ちょっとまゆつばものでひととおりヒアリング。

いわく、

• 友人から「あなたのパソコンはウィルスに感染している」と連絡が来た。


• 自分のマシンに仕込んであるワクチンソフトで確認したが、発見できなかった。


• ウィルスデータファイルが古いのかと思い更新をかけたら、起動すらしなくなった。


• 未だに自分のパソコンはウィルスにかかっている。

まぁとりあえず了解。家は近いので直してみようと答え、預けてもらうことにしました。

…が、どぅも腑に落ちません。

返ってきた答えは、

だったんです。

私としては、執拗に忠告を繰り返す友人と、その言葉を信じ自分が悪いと思い続けている知人の両方にちょっとびっくり。

だってここ数日起動もできなくなってるんですよ。ダイヤルアップもできない(知人はISDNだったので)状態で、どぅやってその友人のマシンまでメールを届けることができますか。

ちょっと考えれば、どっちかが気づきそぅなもんなんですけど…

知人は自分のマシンにウィルスがいると思い続け、無茶な操作を繰り返して古いワクチンソフトに最新のデータファイルをむりやり適用しました。
で。対応していない最新データファイルを無理に適用させたせいで、ワクチンソフトが起動時にシステムエラー→ハングアップ、といぅ状態にまでイッてしまったんですね(T-T)。

まず、忠告を繰り返す友人。
本人は善意のつもりなのかもしれませんが、中途半端な知識で他人に忠告をするもんだからいらん騒動になったのは確かです。
これは私見なので一般的に「こぅすべきだ」とは言いませんが、私はいっしょに解決するだけの覚悟がない限りは安易に忠告しないといぅスタンスが望ましいと思っています。

次、ハングしやがったワクチンソフト。
データファイルが不適合起こしたくらいでシステム全体をフリーズさせるたぁふてぇやろぅだこんちくしょぅって感じなんですが。
不適合の原因はワクチンソフトの使用期限が切れていたせいなんですが、使用期限もそのメーカーのサイトへ行ってマイナーバージョンまで突き合せなければわからなかったといぅ。

もちろん、友人からの忠告を盲目的に信じて腰のすわらない対応をしてしまった知人本人もあまりホメられたもんではないんですが。

実際、この状況で担ぎこまれたパソコンを修復するのに、セーフモードで起動したりレジストリエディタでワクチンソフト関連のキーを片っ端から削除したり、ワクチンソフトメーカーのサイトで買い替え以外に解決方法がないといぅことがわかるまで読み込んでいったり、ちょっと簡単に「こぅすればいいですよ」なんて言えないよぅな手法を使ったんです。

メーカーやショップの修復サービスに有償で頼んでも、データ全消しの再インストで済ましちゃうところが多いですし。
パソコンに詳しい友人の助力を仰ぐにしても、今回の騒動に一役買った自称パソコンに詳しい半ちくな方に引っかかっちゃったら、事態は泥沼まっしぐらになっちゃいかねませんし。

• データのバックアップをこまめに取る。


• ワクチンソフトの有効期限に気をつける。


• ウィルスという言葉に過敏に反応せず、落ち着いてよく考える。

結局は、地道に自衛していくのが一番確実だといぅことでしょうか。

投稿者: さるべーじ 日時: 00:00 | パーマリンク | コメント (0) | トラックバック (0)

あいかわらずさまざまなウィルスが蔓延しています。

あんまり蔓延しまくるもんですから、最近はけっこぅ対処する方々も増えてきまして。一般企業やユーザでもウィルス駆除ソフトをきちんと導入する傾向がずいぶん顕著になりました。

対策を講じ始めたのはエンドユーザ側だけではありません。プロバイダ側でも、メールサーバにウィルス駆除機能を持たせるサービスを開始するところなどが出てきました。

この機能はなかなかすぐれものですね。
最近のウィルスのメインの感染経路はメールですし、\300/月くらいの使用料ですので、ウィルス駆除ソフトを新規に購入するよりはかなり低経費です。

もちろんフリーウェアなどに混ざり込んでいるウィルスにはこのサービスでは対応できないわけですが、メールとインターネットくらいしかしない方であれば、これだけでもかなりの効果があります。

URLを見ればお分かりのよぅに、本サイトは@niftyといぅプロバイダのHPサービスを使用しています。パソコン通信(インターネットじゃないよ)のNiftyServeの頃からのお付き合いですね。そんなサービス一級品ってわけではないんですが、割と安定しているので私としてはけっこぅ使いやすいです。

で。@niftyも、上記のウィルス駆除機能がメールオプションとして用意されているんですね。

先日も、@niftyのメールサーバから自動発信のメールが届きました。

------------------ Virus Warning Message (on the network)

Found virus WORM_KLEZ.H in file xxxx.scr
The file is deleted.
(xxxx.scrってファイルん中にWORM_KLEZ.Hって
ウィルスを見つけたんで削除しましたぜ)
---------------------------------------------------------

おぉっやるな@niftyメールサーバ。自動的に添付ウィルスを駆除してくれて、しかも報告まで入れてくれるとは。

なんで勝手にウィルス駆除しますか@nifty。この機能って有料でしょ。私、実は設定をONにしといて、そこのことを忘れちゃってるのかなぁ。

でも会員設定のページで改めてチェック入れても、やっぱりウィルス駆除機能オプションはOFFだしなぁ。

postmaster@cherry.nifty.jpからもメールが。

The following mail can't be sent to xxxxxx@xxxxxxxx.com:
From: salvage@nifty.com
To: xxxxxx@xxxxxxxx.com
Subject: please try again
The file is the original mail
(xxxxxx@xxxxxxxx.comに出したメールを
届けられなかったんでフォローしてくださいや)

いゃ私こんな人にメール出してないし。

このKlez、いろんな亜種がいっぱいあって、「.A」とか「.E」とか後ろにつけてどの亜種かを区別してるんですけどね。

今回私んとこにのこのこやってきたのは「.H」タイプ。

Klezの中でもこのKlez.Hは、すごくまぎらわしいメールを送りつけてくるんです。

従来はアドレス帳なんかから取得したメールアドレスに対してウィルスメールを送りつけるだけで、差出人のアドレスはウィルスに引っかかった人のものだったので、誰からウィルスメールが来たか簡単にわかったんです。

ところがこのKlez.Hは、差出人とこのアドレスも勝手に作ったりアドレス帳の中のアドレスで置き換えちゃったりするんですね。

とするとどぅなるか。

だれかのマシンからウィルスメールが出発する時に、どぅもたまたま差出人のアドレスをsalvage@nifty.comにしちゃったらしい。
で、そのだれかさんもたまたま@niftyのメールサービス(ウィルス駆除機能オプション付)に加入してたもんだから、@niftyのメールサーバはきちんとウィルスを削除した上で、その結果を差出人(私)に報告したんですね。

ウィルス駆除機能の仕組みとしてはわかるんですけどね。@niftyの場合はメールサーバに接続する時に、メールアドレスとは別のユーザIDとパスワードを強制してるんですよ。それをもって「他プロバイダよりもセキュリティに気を使っている」とか言ってるんですよ。
…使ってないじゃん。使ってないじゃん@nifty(T-T)。中途半端に他社製のウィルス削除機能(たぶんトレンドマイクロあたり)を組み合わせたりするからとんちんかんな動作になるんですよ。んもぅ言ぅことだけ立派なんだから。

てことで、@niftyからの報告メールは、本来私ではなくほかの人のところへ行くはずのものなのでした。

もひとつ、postmaster@cherry.nifty.jpから来てたメールはほんとのKlez.H。こっちはどうも私のメールアドレスの@以下の部分に、「postmaster」ってさも管理者っぽい名前をくっつけて差出人アドレスとしてこしらえたらしい。

またダミーで書かれている文章も、ごていねいに「Kelz.Eの削除方法」とかだったりするもんだから…どれが誤送信でどれがカムフラージュされたウィルスメールなのか、ちょっと判断に苦しんだりしました。

だから、対処法も今までどおり。HTMLメールの自動表示機能さえOffにしておけば読んだとたんに実行って動作は防げますし、Windowsのファイル表示オプションで登録されている拡張子は表示しないをOffにしておけば、ダミー拡張子の後ろにほんとの拡張子も表示されるのでファイルオープンしていいかどぅかの判断はつきます。

でも。差出人まで差し替えたり、内容が「ウィルス削除の方法」であったりと、間違えやすいようなさまざまな工夫を凝らしてあるあたりがなかなか楽しいじゃないですか。 ＜楽しんじゃいけません。

しかも折りも折り、プロバイダのメールサーバが混乱してまちがった宛先に報告メールを出したりするもんですからなおさら混乱度合いが増して。

これはなかなかいい工夫でした。ウィルスの出来をほめちゃいけないんですけどね＾＾；。

投稿者: さるべーじ 日時: 00:00 | パーマリンク | コメント (0) | トラックバック (0)

えー、最近 さらに 立て続けにワームが大活躍しています。

これらについて、ここではあまり詳しく語りません。知りたい方はこのへんとかこのへんを読んでいただけるとあれかも。

ここでちょっと言っておきたかったのは、この2つのメジャーな(そして被害規模も相当な)ワームが、どちらもMicrosoft Internet Explorer(以下IE)のセキュリティホールを悪用しているということです。

だってもぅめんどくさいんですもん今回これ。

CodeRedやNimdaの時はまだまず見つからないよぅなセキュリティホールを突き、サーバのサービスやhtmlを介して増殖していくなんてなかなか高度な調査とアイデアに支えられてメガヒット(不謹慎ですね、すいません)ってな感じだったんですが、今回のこいつらは単純なIEのバグを突き、送りつけたプログラムをただ実行するだけっていうトロイの木馬とも呼びたくないよぅなメールを木馬、実行されるプログラムをトロイの兵士と見立てればなんとかそぅ思えなくもないですが)ちゃちい作りで。しかもALIZに至っては、増殖するだけなんですよ。なんの悪さもしないの(いゃ、しないでくれてもちろんラッキーなんですが)。なんだかもぅ子供が夏休みの工作代わりに作った習作程度のレベル。私にだって2時間で作れますよあんなもん。

私これ、今回はいつもより50%増し(当社比)くらいで腹が立っています。

至って単純な仕掛けですし、ちょっとパソコンを知っている方なら手動でも駆除できてしまうほどの弱っちさなんですよ。
ところがこいつら、むちゃくちゃ増殖力が強いんです。
具体的には、感染したとたんに自分のマシンの中に保存されているメールアドレスに向かって自分自身を送りつけ出します。

といぅ状況が何をどぅするかといぅと。

ここんとこ連日、知り合いのマシンから駆除しまくり & 再感染防止対策取りまくり。
パソコンに明るくない(趣味や好きだからではなく、何らかの理由でパソコンを使う必要がある)方たちの間で、チェーンメールのようにぐるぐるぐるぐるワーム付きメールが回っているだけなんです。

ひらったく言っちゃうと、対処法がわからなくて私に連絡を取ってくる方のほとんどが女子供です。しかも自分の友人知人に向かって刻々と迷惑をかけ続けている状況なわけですね。謝りのメールもいくつか読みましたが、そりゃぁもぅかわいそぅなくらい申しわけながっちゃってて…。

今週はなんだかずっとそんな状況の中で私もばたばたしておりました。

いちおぅMicrosoftはこのへんとかこのへんで対応策を説明しています。バグについてはこのへんで言及していますが、便乗犯が出ないよぅに具体的な手法については説明していないので、一見難しそぅなテクニックに見えるかもしれません。
が、実際には、素直に添付ファイルを実行しろってHTMLメールだったり、わざと誤動作するように間違った命令を書き込んだHTMLメールだったりしているだけです。

って今、本稿を書くために当該ページを読み直してみたんですが、このバグはIE3、4、5ではまったくチェックされておらず、対応をとる気はまったくない(実記述はもっと婉曲な表現ですが)と断言しちゃっています、Microsoft。

…なんなんだよもぅ。

まず、これらのワームの退治法。

単純にワクチンソフトで駆除してください。自分を守る変なロジックはまったく入っていないワームなので、実に素直に駆除されてくれます。動作がきちんとわかっている方なら、自分でワームプログラムや関連ファイルを手でも削除できます(こちらは万人向けではないのでお奨めはしませんが…)。

コツがひとつだけあります。

必ずパターンファイルやウィルス定義ファイルを最新に更新してから駆除作業をすること。

特にBadTransに対応したのは各社とも今週くらいですので、先週のパターンファイルでは見逃されてしまうんですね。

次。似たようなワームに再感染しない防止法。

もぅちょっときちんと言うと。(でもけっこぅややこしぃので、めんどかったら読まなくてもいいです。)
IE5.0、あるいはそれ以前のバージョンについては、Microsoftとしてはすでにサポート対象外なのでこのワームに感染するバグが存在しているか確認していませんしする気もないそうです。ので、このバージョンはどぅがんばっても安心できません。
IE5.01、IE5.5についてはService Pack2を当てればおっけーだそぅです。
IE6は、OSがWin98、98SE、MEまたはNT4の時は最小構成のインストールでは、このワームに感染する(そぅです)。ので標準以上の構成でインストールしろってことになっていますが、具体的にどの機能がバグを塞ぐのかは説明されていません。

また、OutlookExpresのメールのプレビュー機能を外せば自動実行はされないとの説明が複数のサイトに記述されていましたが、今回私が行った駆除作業では、プレビュー機能を外しても、メールを削除すべくフォーカスを当てた途端にワームが再実行されてしまいました。
ので、この対処法はどうも信用なりません。

また、今回明らかになったバグだけを塞いでも、IE/OutlookExpresの新たなバグが見つかる可能性、そのバグを悪用したウィルス/ワームの新型が現れる可能性は依然として大です。
過去のメールウィルス/メールワームの事例をざっと眺めると、そのほとんどがOutlookExpresのHTML自動実行機能に抜け道を見いだしています。

ので。
ほんっとーに心から言います。お願いですから、OutlookExpressではないメーラを使ってください。

しかし、今回の対象はIISなどといぅ一般的にはお目にかかれない、存在しているかどぅかもよくわからない代物ではありません。
世界最大のシェアを誇る、誰もが日頃から慣れ親しんでいるIEです。

使用者の意識も「よくわからなーい」といぅ前項で述べたような状態ではなく、「周囲に申し訳ないことをしてしまった。今後どうすれば予防できるのか」といぅ切実な危機意識を持っている方が非常に多い状態になっています。

大変不愉快な状況なのも確かですが、きちんと危機意識を持てた方は、今がチャンスです。
この機会に予防策まで取ってしまいましょう。

上記の方法は、ほんと効きますって。いゃマジで。

投稿者: さるべーじ 日時: 00:00 | パーマリンク | コメント (0) | トラックバック (0)

えー、最近立て続けにワームが大活躍しています。

これらについて、ここではあまり詳しく語りません。知りたい方はこのへんとかこのへんを読んでいただけるとあれかも。

ここでちょっと言っておきたかったのは、この2つのメジャーな(そして被害規模も相当な)ワームが、どちらもMicrosoft Internet Information Service(以下IIS)を標的にしているということです。

IISはMicrosoft製のWebサービスです。
まぁ簡単に言うと、Windowsをインターネット用のサーバにしてホームページを提供するには、このサービスソフトをインストールしなきゃならないってことですね。もっと言っちゃうと、Windows2000などをインストールすると、ふつー勝手にいっしょに入っちゃいます。

CodeRedやNimdaは、このIISのセキュリティホールを狙って感染します。

実は、これらのセキュリティホールは、すでにMicrosoftからホール埋めのパッチが提供されています。
Nimda用は2001/08/15、 CodeRed用は2001/06/18に 提供されているんですね。
また、各ワクチンメーカーからは判定/駆除ツールも無償で提供されています。

なのになぜ、未だに猛威を振るっているのか。

たとえば、企業で社内サーバの構築/保守を担当されている方。
ネットワークやインターネットのプロならともかく、一般企業(特に人数控えめの)で社内ネット環境を構築しようとすると、本来全然別の職務なのに任命されたりなんかするケースも多いよぅです。
こうなると、けっこぅつらいものがあります。今まで自分の興味のあるところだけを好きな分だけかじっていればよかったのが、いきなり構築に必要なあらゆる情報を入手し活用しなければならなくなっちゃうんですから。
泣きそぅな思いでしゃにむに勉強して失敗して試行錯誤を繰り返して、よぅやくなんとか業務に使えそうなところまで構築完了。

こーいぅいきさつの方の場合、必ずしもセキュリティホールの存在やその対処法を認識できるチャンスがあるとは限らないでしょうね。
あるいは、それは知ってはいるけれども、過去Microsoftのパッチは当てたが故に出るバグなんかもあったので、やみくもに「パッチさえ当てればOK」とは信じられない。かといって、そのパッチが安全かどぅかのウラ取りをする手段を持っているわけでもない。なんて方も割といらっしゃるでしょうし。

たとえば、自宅でWindows2000マシンを使ってインターネット接続をできるよぅにしている方。

自分のマシンにIISがインストールされているかどぅかを知らない方が大半なんではないでしょうか。
あるいは、インストールされているかどぅかを調べる方法をご存じではない方も。
さらにあるいは、インターネットに接続している時の自分のマシンが持つIPアドレスがローカルなのかグローバルなのかを認識していない方も。

Microsoftは、「より便利な機能をより簡単に、できるだけ多くの人に」といぅポリシーでこーいぅ提供のしかたをしているんだと思います。セキュリティホールだってわざとではないでしょうし、戦略的な意味合いもあって今後IISのインストールをデフォルトから外すことはまず考えられません。
(個人的には、IEはともかくOutlook Expressがインストール選択できない、アンインストールもできない構成にされてしまっているのがちょっとツラいんですが。)

また、Webサーバ管理者や、個人でWinマシンを持っている一般の方々の無頓着さを責めることもできません。やれ、と言ったってこれは無理です。

しかし、これらのワームは被害者になった(感染した)とたんに加害者(他のマシンに攻撃を始める)ものです。「知りませんでした」では済まないくらいの被害を他人に与えてしまいます。
(初代CodeRedなんか、ホワイトハウスに向かって攻撃を始めるよぅに作られているんですよ。)

まず、IISをアンインストールしちゃう。
スタートボタンから[設定]-[コントロールパネル]とたどって[アプリケーションの追加と削除]を起動し、[Windowsコンポーネントの追加と削除]をクリックすると、[Windowsコンポーネント]ダイアログが表示されます。この中から「インターネット インフォメーション サービス(IIS)」の項目を探し、チェックを外して[次へ]ボタンをクリックすると、構成の再構築が始まります。→IISが外れます。

また、直接インターネットへ接続しない。
ファイアウォールを立てるかルータをカマすかして、自分のマシンはローカルなIPアドレスを持つように設定する。
…これ、ちょっとお金がかかりますし、専門的な知識も必要なので、やるんであればパソコンに詳しいお友達に相談してください。でなければ、インターネットの相談を受けてくれるパソコンの販売店に相談してみてください。

しかし。
IISはWindowsXP以降、OSの一部ともいぅべき基幹機能となるのはすでに決定されています。ので、今年末からもぅIISをアンインストするなんてのはナンセンスな話になってしまうと思います。
(私は、未だ「IISは不要だ」と思っているんですけどね…。)
また、前述の通りインターネットの向こう側からアタックを受けないような構成にするにはお金も知識も必要ですので、万人にお勧めできる方法でもないんです。

2001.11.30 修正
実際にWinXPをインストールしてみたところ、標準ではIISはインストールされませんでした！
Win2000では標準でインストールされていたのに…。まぁWebサーバでも立てない限り当座さほど必要のないものであることは確かなんですが。
でもこのIIS、.netでWebサービスを立ち上げるのにはふつー必要になる位置付けになるはずのもんなんですが…？いつまたいつのまにかインストされてしまう事態になるかはわかりませんが、今のところWinXPマシンを購入 →何も調整せずに使用している方々でも、本稿の被害にはまず遭わないと考えておいていいよぅです。

Microsoftは「提供するパッチを半自動で、なるべく簡単に行えるよう」にいろんな手段を講じていますが、それも一般化するほどの普及には当分至らないでしょうし。

まだしばらく、混乱した状況が続きそぅです…。
ついでに。WinXPと.netが拍車をかけそぅな気が…。

投稿者: さるべーじ 日時: 00:00 | パーマリンク | コメント (0) | トラックバック (0)

えー、最近立て続けにワームが大活躍しています。

これらについて、ここではあまり詳しく語りません。知りたい方はこのへんとかこのへんを読んでいただけるとあれかも。

ここでちょっと言っておきたかったのは、この2つのメジャーな(そして被害規模も相当な)ワームが、どちらもMicrosoft Internet Information Service(以下IIS)を標的にしているということです。

IISはMicrosoft製のWebサービスです。
まぁ簡単に言うと、Windowsをインターネット用のサーバにしてホームページを提供するには、このサービスソフトをインストールしなきゃならないってことですね。もっと言っちゃうと、Windows2000などをインストールすると、ふつー勝手にいっしょに入っちゃいます。

CodeRedやNimdaは、このIISのセキュリティホールを狙って感染します。

実は、これらのセキュリティホールは、すでにMicrosoftからホール埋めのパッチが提供されています。
Nimda用は2001/08/15、 CodeRed用は2001/06/18に 提供されているんですね。
また、各ワクチンメーカーからは判定/駆除ツールも無償で提供されています。

なのになぜ、未だに猛威を振るっているのか。

たとえば、企業で社内サーバの構築/保守を担当されている方。
ネットワークやインターネットのプロならともかく、一般企業(特に人数控えめの)で社内ネット環境を構築しようとすると、本来全然別の職務なのに任命されたりなんかするケースも多いよぅです。
こうなると、けっこぅつらいものがあります。今まで自分の興味のあるところだけを好きな分だけかじっていればよかったのが、いきなり構築に必要なあらゆる情報を入手し活用しなければならなくなっちゃうんですから。
泣きそぅな思いでしゃにむに勉強して失敗して試行錯誤を繰り返して、よぅやくなんとか業務に使えそうなところまで構築完了。

こーいぅいきさつの方の場合、必ずしもセキュリティホールの存在やその対処法を認識できるチャンスがあるとは限らないでしょうね。
あるいは、それは知ってはいるけれども、過去Microsoftのパッチは当てたが故に出るバグなんかもあったので、やみくもに「パッチさえ当てればOK」とは信じられない。かといって、そのパッチが安全かどぅかのウラ取りをする手段を持っているわけでもない。なんて方も割といらっしゃるでしょうし。

たとえば、自宅でWindows2000マシンを使ってインターネット接続をできるよぅにしている方。

自分のマシンにIISがインストールされているかどぅかを知らない方が大半なんではないでしょうか。
あるいは、インストールされているかどぅかを調べる方法をご存じではない方も。
さらにあるいは、インターネットに接続している時の自分のマシンが持つIPアドレスがローカルなのかグローバルなのかを認識していない方も。

Microsoftは、「より便利な機能をより簡単に、できるだけ多くの人に」といぅポリシーでこーいぅ提供のしかたをしているんだと思います。セキュリティホールだってわざとではないでしょうし、戦略的な意味合いもあって今後IISのインストールをデフォルトから外すことはまず考えられません。
(個人的には、IEはともかくOutlook Expressがインストール選択できない、アンインストールもできない構成にされてしまっているのがちょっとツラいんですが。)

また、Webサーバ管理者や、個人でWinマシンを持っている一般の方々の無頓着さを責めることもできません。やれ、と言ったってこれは無理です。

しかし、これらのワームは被害者になった(感染した)とたんに加害者(他のマシンに攻撃を始める)ものです。「知りませんでした」では済まないくらいの被害を他人に与えてしまいます。
(初代CodeRedなんか、ホワイトハウスに向かって攻撃を始めるよぅに作られているんですよ。)

まず、IISをアンインストールしちゃう。
スタートボタンから[設定]-[コントロールパネル]とたどって[アプリケーションの追加と削除]を起動し、[Windowsコンポーネントの追加と削除]をクリックすると、[Windowsコンポーネント]ダイアログが表示されます。この中から「インターネット インフォメーション サービス(IIS)」の項目を探し、チェックを外して[次へ]ボタンをクリックすると、構成の再構築が始まります。→IISが外れます。

また、直接インターネットへ接続しない。
ファイアウォールを立てるかルータをカマすかして、自分のマシンはローカルなIPアドレスを持つように設定する。
…これ、ちょっとお金がかかりますし、専門的な知識も必要なので、やるんであればパソコンに詳しいお友達に相談してください。でなければ、インターネットの相談を受けてくれるパソコンの販売店に相談してみてください。

しかし。
IISはWindowsXP以降、OSの一部ともいぅべき基幹機能となるのはすでに決定されています。ので、今年末からもぅIISをアンインストするなんてのはナンセンスな話になってしまうと思います。
(私は、未だ「IISは不要だ」と思っているんですけどね…。)
また、前述の通りインターネットの向こう側からアタックを受けないような構成にするにはお金も知識も必要ですので、万人にお勧めできる方法でもないんです。

2001.11.30 修正
実際にWinXPをインストールしてみたところ、標準ではIISはインストールされませんでした！
Win2000では標準でインストールされていたのに…。まぁWebサーバでも立てない限り当座さほど必要のないものであることは確かなんですが。
でもこのIIS、.netでWebサービスを立ち上げるのにはふつー必要になる位置付けになるはずのもんなんですが…？いつまたいつのまにかインストされてしまう事態になるかはわかりませんが、今のところWinXPマシンを購入 →何も調整せずに使用している方々でも、本稿の被害にはまず遭わないと考えておいていいよぅです。

Microsoftは「提供するパッチを半自動で、なるべく簡単に行えるよう」にいろんな手段を講じていますが、それも一般化するほどの普及には当分至らないでしょうし。

まだしばらく、混乱した状況が続きそぅです…。
ついでに。WinXPと.netが拍車をかけそぅな気が…。

投稿者: さるべーじ 日時: 00:00 | パーマリンク | コメント (0) | トラックバック (0)

旧猿頁から収録。
日付を管理していなかったので、正確な記述日時がわかりません。
ので、サイト「猿頁」開設日としました。御了承ください。

さて、私、前項までさまざまなうんちくを述べておりましたが。そんな私の元へはウィルスはやってこないのかといぅと、いぇいぇちょいちょいいらっしゃいます。
先日は連続でSircamってのが遊びに来ました。

7月の終わりに、「___W__､[___d_l､｡」なんて読めないタイトルのメールが2通ほど届きました。その翌日にも1通。いずれもいかにも怪しげな添付ファイル付きで、しかも200～600KBと妙にファイルサイズがでかいんですね。1つは「モジュール」なんてなんだかわからないファイル名でしたが、残り2通は「Book1.xls.pif」「文書1.doc.com」って…これはもぅ明らかに「Excelのデータファイルを装った実行ファイル」「Wordのデータファイルを装ったプログラム」ではありませんか。
(最近のWindowsは、出荷時設定ではファイル名の拡張子を表示させないような設定になっています。この状態で、エクスプローラの設定と連動するタイプのメーラ -OutlookExpressなんかがそぅですが- を使っているとお尻の「.pif」「.com」が非表示になって、いかにもデータファイルのように見せかけることができるんですね。)

これが故意なのかなんなのかよくわからず、かといってファイル名からして「だましてやるぞ」って意志がありありで。いやぁ、最初は悪意を持った人間の故意なのかと思っていろいろ調べてしまいましたよ。
拡張子を変えて実行できないようにしてからバイナリエディタで中身を読んでみたりして。…うーん、実行するプログラム部分もきちんとあるけど、本物の社内外文書のようなデータの部分もあるなぁ。

私のメールアドレスは本HPと技術系のメーリングリストにしか提示しておらず、後はせいぜい会社上のお付き合いと友人くらいしか知らないはず。こーいぅ状況ではメーリングリストの過去ログからメールアドレスを拾い出して無作為に送りつける(SPAMの手口ですね)手法なんかも取られがちなので、主立ったメーリングリストの投稿もひととおりチェック。…したらいらっしゃいましたよ。結構同じようなメールがいきなり来てる方々が。
で、Sircamといぅメール添付型のワームであることが判明しました。

Sircamについてはこちらをどぅぞ。

symantec セキュリティ情報
TREND MICRO ウイルス情報
ipaISEC(情報処理振興事業協会セキュリティセンター)

いゃなんか、上記3ヶ所で言ってること違うし。名称も各々違うし。このへんの統一のなさがあれですね。

で、こいつのする悪さってのは、実害レベルでは

• マシン内のデータファイルに自分を感染させて、勝手に他人へ添付メールとして送りつける。


• Cドライブのフォルダ/ファイルを消してしまう。


• 意味のないデータでHDを満杯にする→むちゃくちゃマシン速度が遅くなる。

とりあえずダブルクリックで実行しない限り発動はしないので、私んとこに実害はなかったんですが。

この企業、けっこぅ大きくて代表電話がいくつかあったので、まぁ社内システムやら社員の言動やらの話だからと総務部門へ。
OLっぽい女性が出て応対してくださったんだけれども、会社としても昨日気づいて急いで対応を取ったとのこと。ポイントを抑えた説明を聞きながら、あぁこの方昨日あたりから何度も同じ説明と謝罪を繰り返してきたんだなぁとちょっとかわいそぅに。

こちらが電話で伝えたことは、

• 御社社員と思われるメールアドレスから、ウィルスに感染したメールが何通も送られてきた。


• 起動以前に発見したので、当方に被害はなかった。


• クレームや賠償要求ではなく、御社システムが感染していることの報告と除去をお願いする意図で連絡した。


• 添付ファイルに御社の社内文書・社外文書の断片が入っているのを確認したが、今さら見なかったことにもできないので、添付ファイルもメールも抹消するのでそれで良しとしてほしい。

ま、メガヒット中のウィルスにしても、感染さえしなければこんな感じの対応でおしまいです。
送りつけられる側はその時点では被害者なんですけど、今回のよぅなメール経由増殖プログラムだったりすると、被害者は次の瞬間の加害者になったりするわけです。「やられたっ」などと嘆いているヒマはありませんよ。まずは自分が加害者になり続けないために、最善の努力をしといた方がいいでしょう。

投稿者: さるべーじ 日時: 00:00 | パーマリンク | コメント (0) | トラックバック (0)

旧々猿頁から収録。
日付を管理していなかったので、正確な記述日時がわかりません。
ので、サイト「猿頁」開設日としました。御了承ください。

さてここまで、「コンピュータウィルス」と呼ばれるモノの正体と自衛策についてお話ししてきたわけですが。

わざわざウィルスプログラムなんか作らなくても、インターネットではいくらでも悪さのしようがあります。
ウィルス対策にだけ躍起になって、ほかの手段で足下をすくわれていたらなんにもなりません。

およそ現実社会で発生している犯罪はほとんど行われており、さらにインターネットの特性を逆手に取った オリジナルの犯罪が追加されているよぅな状況ですね。

ウィルスプログラムなんてその中のほんの一端。愉快犯(あるいは窃盗犯)の手口のひとつにしかすぎません。

しかし、あらゆる技術は善でも悪でもなく、ただ存在しているだけです。
技術が何らかの悪さをするときは、そこに必ず人間の悪意が存在しています。

今後ますます多様化してくるに違いないさまざまな悪さに対応する究極の手段は、

しかないのかもしれません。

投稿者: さるべーじ 日時: 00:00 | パーマリンク | コメント (0) | トラックバック (0)

旧々猿頁から収録。
日付を管理していなかったので、正確な記述日時がわかりません。
ので、サイト「猿頁」開設日としました。御了承ください。

ここまで長々といろんなウィルスプログラムの特徴やワクチンソフトの限界などを説明してきました。

ちょっと乱暴なたとえになりますが、ワクチンソフトは風邪を引いたときの風邪薬のよぅなものだと思ってください。
新型ウィルスによる風邪にはさほど効き目がない、といぅ点までよく似ています。

で。これからお話ししたいのは、ウィルスプログラムに感染しないための予防策です。

風邪に引かないための予防策、みたいなもんだと思ってください。
もちろん、風邪薬だけでも予防策だけでも中途半端です。両方を適切に使い分けていく必要がありますよ。

今後数年、もっともウィルスに狙われやすいのは絶対にこのメーラです。
しかもこのメーラ、よっぽど気をつけて使わないとメールをやりとりする他の人に非常に迷惑をかけやすい、とんでもない製品です。

「無料だから」「パソコン買ったら最初から付いていたから」使ってる、って方が割といます。
また、「会社で『これを使え』と指定されちゃっているから」とやむなく使っている方もけっこぅいます。

でも、できるなら。
Outlook/Outlook Expressを使うのはやめましょう。
メーラを別のものにするだけで、ウィルスに感染する確率はかなり減ります。

とりあえず、Becky!やDatula、電信八号などの、シェアウェアサイトで定番とされるメーラをお勧めしておきます。
最近フリーウェア/シェアウェアのメーラもかなり多彩になってきましたので、探せばいろいろあると思いますが、「人様に迷惑をかけないか」「メールウィルスなどに強いか」を判断するにはかなりの知識が必要となります。
どれを選ぶかはみなさんの自由ですが、ご自分の知識に合わせて安心できるメーラを選びましょうね。

ちなみに、ポストペットは。
メールウィルスには比較的強いよぅですが、これはこれで人様に迷惑をかけやすいメーラです。
ポストペット同士でお遊びでメールをやりとりする分には差し支えありませんが、相手がどんなメーラを使っているかわからなかったり、メーリングリストに投稿するときなどには使わない方が無難です。

今までOutlook/Outlook Expressを使っていて、これからほかのメーラに乗り換える方は、もう少し面倒な作業が必要です。

Outlook/Outlook Expressのアドレス帳データやプロバイダへの接続の設定を、全部空白にする必要があります。

これ、Outlook/Outlook Expressのアンインストールをしてもだめなんです。
アドレス帳データやプロバイダへの接続の設定はパソコンの中に残っちゃいますし、メールウィルスが実行するのに必要なプログラムも、目に見えなくなるだけでやっぱり残っています。

ので、必ず、アドレス帳データやプロバイダへの接続の設定を全部空白にしてください。
さらに、間違っても使わないよぅに、アンインストールしちゃってください。

それでも、メールウィルスは実行される可能性は残ります。
が、一度IEやOutlook/Outlook Expressをインストールしちゃった以上、これはどぅしよぅもありません。
IEもろともぜーんぶアンインストールしても、メールウィルスを実行するために必要最低限の機能は残っちゃうんですね。
また現在のWindowsでは、ほとんどパソコン買ったときにすでにIEもOutlook Expressもインストールされちゃっていますから、これら抜きのピュアなWindows環境を構築するのはかなりの知識が必要で、一般に「是非！」とお勧めできる作業でもありません。

いろんな人とメールのやりとりをしていると、ときどき添付ファイル付きのメールをもらったりします。
こんなものは、疑ってかかるのが鉄則です。

• 知らない人からのメール(ダイレクトメールやメーリングリストからのメールを含む)についていた場合。

  どんなに魅力的なことが書いてあるメールであっても、絶対にいじってはいけません。
  知らないおじさんに子供がついていったり、簡単なアンケートに答えるためにほいほい事務所までついていったりするのと同じくらい危険です。
  こんなメールが来たら、問答無用で削除ですね。

  なお、Outlook/Outlook Express(と、IEの機能を利用したメーラ)以外のメーラであれば、メールの文章を読んだだけでウィルスに感染することはありません。
  ので、「メールの文章を読んじゃった！メールウィルスに感染したかも！？」と怖がる必要はありませんよ。

  Outlook/Outlook Express(と、IEの機能を利用したメーラ)をお使いの方は、メールの文章を読んだだけでウィルスに感染する可能性があります。
  



• 知っている人から、頼んでもいないのについていた場合。

  これも、知らない人から来たメールの場合と同じくらい危険です。
  たぶん悪意はないと思いますが、相手がすでにウィルスプログラムに感染していて、知らないうちに感染したファイルを送りつけてきてしまっている可能性があります。

  対処と危険性についても、前述「知らない人からのメール」と同じですね。
  もっともメールそのものの要件は残しておく必要な場合もあるでしょうから 1. ほどキツくはお勧めしませんが、メールを残している間は危険性も残しているといぅことをわかっておいてくださいね。
  



• 知っている人から、正当な理由があってついている場合。

  これだって、とても安全だなんて言えません。
  私の乏しい経験だけでも、仕事上必要で送ってもらったExcelデータファイルにマクロウィルスが混入していたことが何回もあります。

  こーいぅ場合は、まず添付ファイルを適当なフォルダに保存します。
  大丈夫、コピーしたり保存したりしただけではウィルスプログラムは起動しませんから。

  で、いじる前に、ワクチンソフトでウィルスチェックをかけてください。
  これで「ウィルス感染なし」の結果が出たら、かなりの確率で安心です。…絶対安心、と言えないのが悲しいんですが、このへんが限界です。
  あとは、運を天に任せて実行する(データなら「開く」)度胸を持つだけです。
  



• 知っている人から、直接フロッピーなどでもらった場合。

  前述「知っている人から、正当な理由があって」もらった場合と同じです。
  



• 雑誌などの付録CD-ROMの中、またはインターネットのシェアウェアサイトなどからダウンロードしたプログラムやデータを使う場合。

  意外かもしれませんが、けっこぅこれ、アブナいです。
  そんなに発生件数は多くありませんが、なんとなく安心感があるせいか無条件に信頼して実行しちゃう人が多いもんですから、ウィルスが紛れ込んでいたりすると感染率は高いです。

  対処法については前述「知っている人から、正当な理由があって」もらった場合と同じです。

  このケースでは、実はウィルスの感染以外にも注意しなければならないことがあります。

  発生件数は今のところやはり少ないんですが、機能を偽ってシェア料金をふんだくる詐欺や、配布しているソフトそのものにウィルス顔負けの悪辣な機能を埋め込んだものが実際に出現しているんですね。
  これについてはちょっと長くなりすぎそぅなので、いつか項を改めてお話ししましょう。

いろんなファイルがどんな性質を持つかを判別できるだけの知識があれば、この危険性はもっと減ります。
この知識もなかなか広く浅く知っておかなければならないことが多いので、だれかれかまわず「是非！」といぅ気はありませんが、意欲とチャンスがあるのなら覚えておいて損はないと思いますよ。

一部、ウィルス顔負けの悪さをするホームページがそろそろ出現し始めています。
これも、悪さをするために利用する機能はだいたい決まっているので、ウィルス起動の封じ込めも含めて、きちんとセキュリティを調整しておきましょう。

IEはOfficeとは違い、インストールされたままの状態では、ウィルスなどに利用されそぅなアブナげな機能のほとんどがオンになっています。
そのほとんどは、マイクロソフトが他社の製品より高機能なものにして差別化を図ろうとして追加した機能です。ので、当面意地でもこの初期設定「ほとんどオン」の状態は変わりそぅにありません。
「マイクロソフトが悪い」と言ってしまぅのは簡単ですが、それでも被害に遭うのはあなた自身です。
講じられる自衛策は、きちんと講じておきましょう。

一番簡単なのは、IEのメニューバーから[ツール]-[インターネットオプション]と選択してから、セキュリティ]タブの[Webコンテンツのゾーンを選択してセキュリティのレベルを設定する]で[インターネット]を選択してから、[このゾーンのセキュリティレベル]を[高]に設定してしまうことです。
もしこの欄の左側にスライダ(目盛りつきつまみ)がない場合は、一度[標準レベル]ボタンを押すと表示されたりします。

…実はこれで完璧、ってわけではないのがカナシいところです。
セキュリティレベル[高]でも、まだ少し抜け穴があいてしまっていますし、セキュリティを思い切り上げると、ふつーのホームページでもまともに表示できなくなっちゃうところもけっこぅあるんですね。

ので、もーちょっとめんどくさい設定。

先ほどの[セキュリティ]タブで、[レベルのカスタマイズ]ボタンを押して、ひとつひとつていねいにセキュリティの設定をしておくんです。
設定のしかたは、

• 「有効」「無効」「ダイアログ」の選択肢がある項目は、すべて「ダイアログ」を選択。


• 「有効」「無効」しか選択肢がない項目は、すべて「無効」を選択。


• 「安全性 - 高/中/低」の選択肢がある項目は、すべて「安全性 - 高」を選択。

この設定にしておくと、ヤバげな機能が実行されそぅになると「よろしいですか？」といぅダイアログボックスが出てくるよぅになります。

これ、実に意外なくらいバンバンダイアログが出てきます。特に違法に近いアンダーグラウンドなサイトや妙に表示に時間がかかるホームページなどでは、これでもかと言わんばかりに出てきます。

いつも通っていて安心できるサイトならばいちいち「はい」を選択してあげれば、いつもどおりの表示になります。
初めてのサイトやヤバげなサイトで冒険、なんてことをする場合には全部「いいえ」と選択するのが鉄則ですよ。
また、その気もないのに「ダウンロードしますか？」とか聞いてきたら要注意。よくわからないのであれば全部「キャンセル」してしまいましょう。

あちこちのサイトを見ていくと、人気が高かったり何回も見たくなったりするサイトは、確認ダイアログが出てくる回数が比較的少ないことに気づいてくると思います。
すべてが、とは言いませんが、ダイアログがわずらわしいサイトはおもしろくないことが多いので、そのうちそんなに見に行かなくなりますよ…きっと。
ので、しばらく使っているうちに、ダイアログはあまり気にならなくなってくる…はずなんですが。

わずらわしすぎてどーにもいやだっ！って方もいるでしょうねぇ。気持ちはとてもわかります。
そーいぅ方は、自己責任でいくつかのオプションを有効にしてください。
でも、有効にしたオプションが増えるほど、セキュリティは間違いなく落ちますからね。
このへんはトレードオフ(どちらが大事か天秤にかけること)ですので、十分吟味して腹を決めてください。

意外とめんどくさいでしょ？
でも、このくらいやっておくと、悪意のあるプログラム/データ/ホームページから、かなりの確率で身を守ることができるよぅになります。
これらの防御策を乗り越えてこちらに悪意を運んできてしまぅ方法もあるにはあるんですが、現時点ではまだごくまれなケースと考えてかまわないと思いますよ。

投稿者: さるべーじ 日時: 00:00 | パーマリンク | コメント (0) | トラックバック (0)

旧々猿頁から収録。
日付を管理していなかったので、正確な記述日時がわかりません。
ので、サイト「猿頁」開設日としました。御了承ください。

前述のマクロウィルスプログラムは、従来のウィルスプログラムより比較的簡単に作成できますが、反面、特定のソフトがインストールされている必要があったり、ほかのマシンに移るためには人の手作業が必要だったりして、伝搬力が弱いといぅ欠点(？)も持っていました。

Officeのマクロ並みに作成が簡単で、より伝搬力が強いというウィルスの動作環境はないのか？

…残念ながら、ありました。インターネットエクスプローラ(IE)のVisual Basic Script(VBS)です。

どぅもマイクロソフトは自社製品にVBなんとかをつけるのが好きなよぅで。
いゃ実際、まともなシステムを作るときにはこのVBなんとかシリーズはお互いに組み合わせることができたりするので、ホントのプログラミング言語とOfficeとIEを組み合わせたシステムを構築することなんかもできたりしてたいへん便利なんですけどね。

IEのVBSは、主にホームページに組み合わせて実行されるマクロです。ただし、VBSの場合は「マクロ」ではなく「スクリプト」と呼びます。…やってることは似たよぅなもんなんですけどね。

IEは、今時のWindowsにはほぼ標準で最初から埋め込まれています。
また、ホームページを見る時だけではなく、エクスプローラでハードディスクの中をのぞいたり、Outlook/Outlook Expressというメーラで電子メールを表示するときにも、こっそり裏で動作していたりもするんですね。

さて。
大騒ぎになった「I LOVE YOU」メールウィルスの正体は、このVBSです。
先ほどお話ししたマクロウィルスの一種の発展形、と理解してもらって差し支えありません。
Officeの代わりにIEを必要とするマクロ(この場合はスクリプト)ウィルス、って感じでしょうか。

しかし。この差はけっこぅデカいものでした。

まず、Microsoft Officeは、いくら普及率が高いとはいっても、何万円もする有料ソフトなので、インストールされていないマシンもかなりありました。
が、IEは無料です。しかも、きょうびWindowsがインストールされているマシンになら、まずほとんどいっしょにインストールされています。
ので、マクロウィルスよりは起動・実行してしまう可能性がものすごく高くなりました。

次に、Outlook/Outlook Expressは、電子メールの送信先を「アドレス帳」というデータで持っています。
しかもこのアドレス帳データは、VBSから自由に読み書きができます。
ので、アドレス帳に記録されている送信先に、勝手に電子メールを自動的に送ることができたら、その伝搬力はものすごいものになります。

かくして、メールウィルスは作成されてしまいました。
そして、爆発的に伝搬していきました。

このへん、警告を出している新聞やテレビ、ホームページなどのメディア報道とか情報提供では、まぁだいたい「主に」っていぅんですね。

まず、Outlook/Outlook Expressを使っている人は、被害が一番ひどいといぅことですね。
自動的にメールウィルス付きメールを送りつけるためのメールアドレスは、Outlook用アドレス帳データの中から拾ってくるんですから。
ので、ポストペットとかBecky!などの「Outlook用アドレス帳データを使わない」タイプのメーラを使っている方は、人様に自動的にメールウィルス付きメールを送りつけることはない、といぅことになります。

しかし、フリーウェアシェアウェアのメーラの中には、見かけだけがオリジナルで、実際のメール送受信やメールアドレスの管理はIEやOutlook/Outlook Expressの機能を拝借しているものがあります。
これは、Outlook/Outlook Expressを使っているのとほぼ同じ状態ですので、被害の程度もほぼ同じになります。
そしてこんなメーラはヤマほどあるもんですから、いちいち「あれはおっけー」「これはだめだめ」なんてあげつらっていられません。
ので、「主に」っていぅ表現で代表格(といぅか根源？)のOutlook/Outlook Expressを挙げているわけですね。

そのほかの被害について。
これについては、どのメーラでも危険性はほぼ同じです。添付ファイルとして見えているメールウィルスVBSをついうっかり実行しちゃったら、VBSが動作する環境(きょうびのほとんどのWindowsマシン)ならばまず感染してしまいます。
そして、メールウィルスに含まれている各種の悪い機能(何種類も入っているんですよ)のうち、あなたのマシンで動作できる悪さを次々と働いていきます。

ただし。

作るのが比較的簡単なこともあり、「I LOVE YOU」メールウィルスの亜種(オリジナルの一部機能を改造したもの)があっという間に30種類を越えました。
これら亜種については、オリジナルとは別の発見・除去方法をとらなければならないものもあります。

また、この手法はかなり今後発展していくと思われます。
詳細な説明は避けますが、今のうちに自衛策を身につけておかないと、けっこぅひどい目に遭う確率は上がっていきそぅですよ。

投稿者: さるべーじ 日時: 00:00 | パーマリンク | コメント (0) | トラックバック (0)

旧々猿頁から収録。
日付を管理していなかったので、正確な記述日時がわかりません。
ので、サイト「猿頁」開設日としました。御了承ください。

冒頭でもお話ししましたが、コンピュータウィルスはプログラムです。

ので、感染しちゃってるプログラムを自分のパソコンの中にコピーしただけでは、ウィルスプログラムは動作しません。
そのプログラムを実行して初めてウィルスも起動し、悪さを開始します。

でもねぇ。
ウィルスプログラムファイルが目の前にごーんとあって、「このプログラムを実行するとウィルスが起動します」ってわかってたら、誰もそんなプログラム実行しませんよ。

ですからウィルス作者たちは、「いかにウィルスと気づかせずについうっかり実行させてしまうか」ってゅう工夫を一所懸命するんです。

ほかのまともなプログラムファイルの中に紛れ込んで、そのプログラムといっしょに起動するといぅウィルスプログラムのそもそもの特徴も、「気づかずに実行させてしまおう」という目的で実現されているものです。

でもまぁこれ、「Windows用プログラムでは技術的にムズカしい」とかいろんな理由がありまして、新しい「気づかずに実行させてしまう」手法を持ったウィルスが登場してきました。

まずはWindows時代の新しいウィルスの草分け、マクロウィルスからお話ししていきましょう。

さて、たとえばExcelなんかを使っているときに、なんべんも同じ操作をすることがよくあります。
帳票のタイトルを作るときに「大見出しはMSゴシック24ポイントにして、その右下にある小見出しはMSゴシック16ポイントにする」とか。
こーいぅよく使う一連の操作をExcelに記憶させて、ボタン一発でワンセット全部やってくれたらどんなに楽だろぅか、とか思いませんか？

で、この「一連の操作を記憶させておく」機能ってのが、実際にありまして。これを、マクロ機能と呼びます。
実際には、Office製品はかなり複雑なことができる高性能なマクロ機能を持っていて、マイクロソフトでは「これはすでにマクロではなく、プログラミング言語だ」とか主張して、VBA(Visual Basic for Application)なんて名前を付けてしまっていますけれども。
世間様はやっぱり未だに「マクロ」と呼んじゃっていることも多いですね。
ここではマクロウィルスプログラムに話を持っていきたいわけですから、私も「マクロ」と呼ぶことにします。

Officeのマクロ(VBA)は、ちょー強力です。
WordやExcelと無関係な、今までプログラミング言語でなければできなかったことまでかなりできます。
その気になれば、簡単なゲームくらい作れてしまうほどです。

このマクロは、きちんと記録してキーボードのキーやメニューに割り当てれば、ホントにボタン一発とかクリック二発とかで実行できます。
が、欲ってのはとめどがないもので、今度は「Excelでデータを読み込んだ瞬間に、ボタン0発で自動的にマクロ実行してほしい」なんて希望あり。→ので実現。
ってことで、この「データ読み込み時に自動的に実行するマクロ」、自動実行マクロって機能もできました。
これ、自動実行マクロが含まれていることを知らない人には、マクロが実行されているかどぅかわかりません。
データファイルを開いただけのつもりでも、裏でこっそり自動実行マクロが起動・実行されます。

ここまでのお話で、ピンと来た方もいらっしゃるかもしれませんが。この状況は、

• プログラムとほぼ同じことができる強力なマクロ


• 使っている人に気づかれずに起動・実行ができる

加えて、従来のウィルスプログラムよりも作るのが簡単だったりもしたもんですから、そのうち誰か作っちゃぅんだろぅなぁと思っていたら、やっぱり出ましたマクロウィルス。とほほ。

マクロウィルスは、Excelなどのデータファイルの中に自動実行マクロとして埋め込まれています。
で、このデータファイルを開くとマクロウィルスが自動的に実行されてしまいます。
このウィルスの感染先は、新規ワークシートファイルを作るときの雛形です。ので、一度感染してしまうと、その後新規に作成したすべてのデータファイルがマクロウィルス付きになってしまいます。

このマクロウィルス、実は伝搬力があまり強くありません。ほかのマシンへ伝搬するためには、人から人へマクロウィルス付きデータファイルをコピーして渡してもらわなければならないからです。
会社のネットワークとかで、みんなが共通して使う帳票データファイルの雛形に感染していたとしても、一次伝搬範囲はその会社内にとどまります。

また、もっとも普及しているとはいっても、必ずしもすべてのマシンにOfficeがインストールされているわけではありません。
マクロウィルスは、そのマクロ機能を持つソフトがあって初めて動作しますので、ソフトがなければ動作しません。

マイクロソフトも、その後のOfficeの新バージョンでは、マクロウィルスへの対抗策を講じました。
オプション設定の中に、「マクロウィルスから保護する」というチェックボックスができたんですね。
これは、Office製品をインストールした時点でオンになっています。

…とはいぅものの、この機能は実際には、「このデータには自動実行マクロが含まれていますよ」といぅ警告を出すものでしかありません。
マクロウィルスではない自動実行マクロであっても警告は出ちゃいますし、警告に対して「マクロを有効にする」と答えると、マクロウィルスであっても実行してしまいますし。

マクロに詳しくない人がこんな警告を出されても不安になるだけで、どぅしていいのかはよくわからないのではないでしょうか。
また、うっかり「マクロを有効にする」と答えちゃったら感染されちゃうのは今までどおりです。

このへん、どぅもマイクロソフトの「ウチは警告出したからね。それでも『実行する』って選択したのはお客さんでしょ、ウチのせいじゃないからね」って言い逃れのための機能でしかないよぅな気がするのは私だけ？

このマクロウィルスに対しても、前述したワクチンソフトは有効です。ちゃんとWordの文書ファイルやExcelのワークシートファイルもチェック/駆除してくれますよ。

投稿者: さるべーじ 日時: 00:00 | パーマリンク | コメント (0) | トラックバック (0)

旧々猿頁から収録。
日付を管理していなかったので、正確な記述日時がわかりません。
ので、サイト「猿頁」開設日としました。御了承ください。

もちろん、あります。

一番簡単な方法は、ワクチンソフトをインストールしておくことです。

最近のワクチンソフトは、パソコンが動いている間中ずーっと陰で動作していて、プログラムを起動したりインターネットでホームページを見たりするたびに、ウィルスプログラムが紛れ込んでいないかのチェックをします。
で、紛れ込んでいたらその旨を教えてくれて、しかも感染しちゃった場合には安全に除去してくれたりもします。

ですから、とりあえずワクチンソフトをインストールしておけば、まずたいていのウィルスプログラムに対しては大丈夫だと思いますよ。

でも、どんな道具も万能でもなければ絶対でもありません。
ソフトウェアだって道具なんですから、当然使うときにはそれなりのコツがあります。

ワクチンソフトを使うときのコツは、主に以下の3点です。

雑誌の付録や、パソコンを買ったときについてくる無料のワクチンソフトは、まずまちがいなく機能が限定されています。

除去はしてくれなくてチェックだけとか。
これはワクチンソフトといぅより、ウィルスチェッカーと呼ぶべきソフトですね。
この場合、ウィルスプログラムに感染したことはわかりますが、その後は途方に暮れるしかありません。

あと、30日期間限定とか。
それを過ぎると動作しなくなったり、ウィルスチェックの機能だけになったりします。

ので、除去機能のないワクチンソフトを使ったり、ご自分でお持ちのワクチンソフトに除去機能が付いているかどぅかわからない場合は、きちんと売っているものを買いましょう。 機能限定ワクチンソフトは、ことあるごとに「製品版を買ってください」とアナウンスしてくるはずなので、買い方も価格もわかるはずです。

ウィルスプログラムには、実にいろんな種類があります。
長いものになると、もぅ20年近く生き延びている奴もいたりします。
そして、今日も世界のどこかで新しいウィルスプログラムが開発されているかもしれません。
いゃ、絶対開発されています。
そんな新種の中には、かつてなかった新しい感染方法や増殖方法を持ったものだって出てきます。

ワクチンソフトは、今まで見つかったウィルスプログラムの発見方法と除去方法をデータとして持っています。
これはワクチンソフトのメーカーごとに、パターンファイルとかウィルス定義ファイルなどいろんな名前で呼ばれています。
もちろん、ワクチンソフトは新種のウィルスプログラムに対してもさまざまな方法で防御するよぅにがんばっています。
が、その防御を破る方法を持った新型ウィルスプログラムが誰かに編み出されてしまったら、どぅしよぅもありません。

ので、新種のウィルスプログラムや新しい防御破りの方法が発見されるたびに、各ワクチンソフトメーカーは、その発見/除去方法をウィルスデータファイルを追加します。
新種はたいていその出始めの時期に一番流行りますので、ユーザ側としても新種への対応はなるべく早くおこなっておきたいところです。

最近のワクチンソフトは定期的にメーカーのホームページなどに自動的にアクセスして、ウィルスデータファイルの最新版を取り込んでくれるなどの親切設計になっているものが多いよぅです。
また、メーカーによっては新種のウィルスプログラム情報や、それに対する対処予定などをそのつどメールで連絡してくれるなど、なかなか素早い対応をとってくれてもいます。

今までしてきたお話は無料版/試用版のことではなく、基本的には製品版を購入したお客様へのサポート内容についてだと思ってください。
また、買えば済むのか？といぅと実はそぅでもなく、サポート期間は購入後1年間などと制限が付いていたりもします。
まぁ、1年単位の掛け捨て保険だと思っておつきあいしていくのが現実的でしょう。

一方で、いろーんなウィルスプログラムがものすごくいろんな方法で感染してくるもんですから、ワクチンソフトの防御ポイントも、ものすごーくあちこちに仕掛けられてたりもします。
セーブするたびに動作したり、ホームページを見るたびに動作したり、ダウンロードするたびに動作したり。

実はこれ、けっこぅパソコンのパワーを喰います。簡単に言ぅと、全体的にパソコンの動作がのろくなります。

しかも、ワクチンソフトそのものが一般のソフトの動�