バイパスアンチウィルス、ドライブバイダウンロード他

Question

このカテをみていると不安になることがあります。
現在はeset smart securityを使っていて後はブラウザの拡張機能として
mcafee siteadvisor wot bitdefender trafficlight等を組み合わせて出来るだけ危険なサイトを
開かないようにしているつもりですが、
それでもバイパスアンチウィルスやバイパスファイアーウォールやドライブバイダウンロード
被害にあってしまう可能性は低くないでしょうか？

John_Papa · Accepted Answer

可能性は高くないですが確かに不安ですね。

危険なサイトを開かなくても、いつも見ている多数のサイトに出てる広告が豹変（例：2010年9月24日夜のフィーバー http://gigazine.net/news/20100927_security_tool/）したりしますから。
感染／非感染の分かれ目は、Avastのようにたまたま反応したセキュリティソフトが有った他、そのサイトにアクセスしたタイミングと、ＯＳ及びアプリケーションの脆弱性アップデートがきちんとされていたかどうかです。この時経路として狙われたのはJRE(JAVA)とかAdobeReaderなどです。次のリンクは翌25日10時半での各社定義ファイル対応状況を表しています。
https://www.virustotal.com/file/2cccbd87d293dd69b8ca2118bf54cae931df25ebc0839701f603c0aa1991d67c/analysis/1285378203/
セキュリティソフトはマルウェアが発生してから解析して定義する宿命なので、タイムラグは止むを得ないです。

でも、感染に利用されないようにＯＳ及びアプリケーションの脆弱性アップデートをきちんとしておくってなかなか大変ですよね。

ＩＰＡの緊急対策情報・注意喚起 一覧
http://www.ipa.go.jp/security/announce/alert.html
とかJVN iPedia　脆弱性対策情報データベース
http://jvndb.jvn.jp/
MyJVNバージョンチェッカ
http://jvndb.jvn.jp/apis/myjvn/
を毎日チェックして手動で対処するとか・・・

Secunia PSI をインストール、
http://all-freesoft.net/soft/vulnerability/secuniapsi/secuniapsi.html
これはバージョンアップして日本語表示がなくなりFireFoxなどが英語版にアップデートされてしまうのだけど使えない訳じゃないから、これを入れておくと、時間食いのバージョン管理もすこしは息がつけるかと思います。

オンラインソフトユーザーだったら、インストールしたオンラインソフトのアップデートがチェックできるFileHippo.comのUpdateCheckerもお奨めかな。
http://www.filehippo.com/jp/updatechecker/

もちろん、脆弱性アップデートだって後手に回ることがあるし、セキュリティソフトと併用することが望ましいです。

更新が難しい環境とか、ずぼらな人には、EMETというMicrosoft純正の脆弱性緩和ツールがあります。
ＳＥさん向きですが、こういうのも一つの対策になるかな。
http://www.forest.impress.co.jp/docs/news/20120518_533782.html

感染してしまった場合の対策としては、AVG Rescue CD http://www.avg.co.jp/download/files/arl
 などのＣＤから起動できるスキャンソフト（Live-CD）を用意しておくと、ウイルスの種類や誤検出によってWindowsシステムの破壊の危険が皆無ではないですが、リカバリーしなくて助かる場合が多くあります。

適度に恐れるのは良いですが、恐れすぎるのは精神衛生上よくないですので、ＰＣ利用やセキュリティ対策がストレスにならない程度で、自分に許容できる範囲の対策を見つけてください。

nekobox · Answer

参考に

http://www.av-test.org/en/tests/home-user/mayjun-2012/

nekobox · Answer

参考に

http://chart.av-comparatives.org/chart2.php

http://www.mrg-effitas.com/current-tests/flash-test-results/

nekobox · Answer

参考に

http://oshiete.goo.ne.jp/qa/7662724.html

nekobox · Answer

nekoboxです。

>bitdefenderとkasperskyはav comparativesのheuristic+behavioral blockのテストでかなり高い評価
になっていますが、そういうところも重要になってきますかね？

はい、一つの重要指標にはなります。Proactive系能力をみますので。

で、先の難読化ツールのバイパスFW設定画面お見せします。

で、このツールを通しますとESSのアンチウイルスでは残念ながらスルーしてしまいますが、実行時に他のプロセスへの介入ということで阻止できました。4.xのころは阻止できなかったんですが、5.0以降能力上がってます。ただし、ベースマルウェアを変更すると同様に反応して「拒否」るも阻止ならずといった現象もありました。

そうした不完全ブロックがほぼ無いのがBit ISやKaspersky ISです。

なお、ここの回答者では実情を知らないのにさもわかってるかのように書く人いますから注意。

seadragon · Answer

ANo.3です。
ご質問内容と少々離れるような気がしますが
回答に補足します。

前回の回答で、

ウイルス対策ソフトの導入は、最も重要なセキュリティ対策の
一つですが、その全てではなく、一部分に過ぎません。

と記載しましたが、そのため、ウイルス対策ソフトの導入を
含めた複合的な対策が必要です。

kasperskyは確かに優秀な製品ですが、別に、kasperskyに
あらずんばセキュリティソフトにならず、という訳では
ありません。
kasperskyの仮想化機能は32bitOS限定で不十分なものですし。
ご利用のeset smart securityは優秀な製品のひとつなので
それで充分でしょう。

複合的な対策はいくつか方法があると思いますが一例として
仮想化ソスト＋適切な総合セキュリティソフト＋暗号化
のような出口対策　があります。

当然、仮想化で情報漏洩やバイパスアンチウィルスや
バイパスファイアーウォールまで防げませんが暗号化して
おけば漏洩しても問題ないでしょう。
難読化された既知のマルウェアによる未知のマルウェア感染
によるボット化等に関しては対応が難かしいですが、当方の
環境では基本的にPC再起動で全ての改変がリセットされる
ので、こまめなPC再起動で対応しています。
変更を保存するため再起動が必要という事情もありますが。

nekobox · Answer

nekoboxです。

>セキュリティソフトを使っていてもあまり意味がないですかね？

いえ、私はセキュリティーソフトを否定してるわけではありません。丸投げでは駄目ですよということです。

>kasperskyかbitdefender internet securityだと安心ですかね？

他のソフトよりかは格段に防御能力高いです。ただし、使い手の能力が最大の鬼門です。

なお、テンプレ君に返答求めても無駄ですよ。話はいろいろ知っててもスキルは無いですから。

nekobox · Answer

nekoboxです。

再度失礼いたします。

参考までにバイパスアンチウルス+バイパスファイアウォールを可能とする難読化ツールの例を画像でお見せします。6つの設定タブがあり、画面はもっともキモとなるある難読化処理のためのパラメータ設定をするタブです。

これ、非常に効果高くてマルチスキャニングエンジンの G Dataさえもバイパスできたりします。

こういうの自分でやってみるとすごくよくわかるんですよね。

ホント、大手ベンダであってもうかうかしていられない時代になってます。戦いです。

seadragon · Answer

当然ながら危険性は高いです。

現在のマルウェアは概ね犯罪目的で作成されています。
従って犯罪テロ産業複合体の収益を上げるためなら何でもします。
怪しいサイト/メールは開かないので大丈夫というのはもう過去の話です。
参考：ウイルス新時代に備える
http://pc.nikkeibp.co.jp/article/basic/20120529/1050904/?set=ml1
不特定化するハッカー：ハッキング大量生産時代の到来
http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1226
にもありますが、最近は攻撃がサイバーテロに移行しつつあり、
攻撃の踏み台として１台でも多くの感染PCを必要としています。
このため
「たとえ平均的なPCユーザーで、価値あるデータを持っていなくても、
システムやネットワークリソースには価値があるため、ターゲットと
して狙われています。」
とあるようにセキュリティレベルの低い個人ユーザーは良い
ターゲットです。

ところで
「ウイルス感染の53％がWeb経由」
http://itpro.nikkeibp.co.jp/article/NEWS/20090106/322283/
にあるように現在最も危険なことの一つが通常のWEB閲覧です。
参考：
「2011年版 10大脅威 進化する攻撃．．．その対策で十分ですか？」
第2位　止まらない！ウェブサイトを経由した攻撃
http://www.ipa.go.jp/security/vuln/documents/10threats2011.pdf

既知の脆弱性はモチロン、未知の脆弱性まで利用されることがある
ので仮想化以外ではブロックが難しいです。
参考：「 知っていますか？"ゼロデイ攻撃" 」
http://www.ipa.go.jp/security/txt/2009/08outline.html#5

※ウイルス対策ソフトの導入は、最も重要なセキュリティ対策の
一つですが、その全てではなく、一部分に過ぎません。
最近の攻撃は脆弱性を利用したものが多いのでOSや対策ソフトは
もちろんPCに導入した全てのソフトを最新版にしておく事が重要
です。
　紹介したリンク先は投稿時にReturnil Virtual System  2010
Enterprise Classic有効状態下
Panda Cloud Office Protection、Symantec AntiVirus ScanEngine、
Webroot SecureAnywhere Complete、
McAfee SiteAdvisor Enterprise Plusの最新状態下にてチェック
済みですがその安全性を保証するものではありません。
現在、ウイルスやマルウェアを100%検出するための解決策は何も
ありません。また、投稿時以降にサイト改竄されている可能性も
あり得ます。

また、万一の感染に備えPCのバックアップを推奨します。
参考：Acronis True Image Home 2012 Plus
http://www.acronis.co.jp/homecomputing/products/trueimage/

nekobox · Answer

nekoboxです。

ちょうど思い出したんで追加します。

http://www.itmedia.co.jp/news/articles/1208/17/news039.html

上記記事中に「セキュリティソフト技術を開発する企業のデジタル署名が使われ、正規のファイルにみせかける手法が取られていた」とありますよね。

これ、ホワイトリスト方式をバイパスさせる手法です。

よくセキュリティーソフトでは「ディジタルシグネチャを持つプログラムには自動的に許可を与える」といったような設定項目があったりしますが、もし、そういった手法が使われかつアンチウイルスなどで検出されなければ突破されます。標的型攻撃とかでもどんどん使われるようになるでしょうね。

バイパスアンチウィルス、ドライブバイダウンロード他

可能性は高くないですが確かに不安ですね。

参考に

参考に

参考に

nekoboxです。

ANo.3です。

nekoboxです。

nekoboxです。

当然ながら危険性は高いです。

nekoboxです。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング