マルウェアに感染しない理由は？

XP Pro SP2, 自動更新無し, マルウェア対策ソフトウェア無しの環境です。
（SP3 では支障があったため SP2に戻された）
Windows Update では、必要とみなされたものは手動で適用されています。（年２回）

○本機のインターネットブラウザは使用できません。
○サーバーソフトウェアが稼働しています。
○Windowsファイアーウォールのサーバソフトウェアのポートは開いています。
○USBは塞がっています。
○光学式のドライブは使われておりません。
○特定のグループ権限でアクセスできる共有フォルダがあります。
○LANプリンターに接続できます。
○ブロードバンドルーターに接続されています。
○本機からインターネットにアクセスする事は可能です。（ファイルを拾ってくることは可能です）

定期的に手動でLAN上の別のコンピュータから数種のマルウェア対策ソフトウェアにてスキャンされています。
（他のコンピュータのOSは多種多様）
今まで全てのマシンにおいてマルウェアが検出された事はございません。（検出テストを除く）

サポートが終了してもマルウェアの心配は特に必要無いように思います。

なぜマルウェアに感染しないのでしょうか？

No.1 ベストアンサー 回答者： secu_neko 回答日時： 2013/04/20 14:10

こんにちは。

しかしあれですよね。質問が投稿されてから4時間以上経つというのに一つも回答が付かないなんて。

やはりここってそんなに詳しい人ってほとんど居ないんじゃないかな。


さて、本題ですけど、ある意味簡単ですね。


考えられる経路を絶っているということと、セキュリーポリシーに基づいた統制がとれているからだと推察します。

ただし、最近のAPTと称されるマルウェアの中には数年間にわたってどこのベンダにも検出されずにその活動が見過ごされてきたといったこともあります。


今現在、あるシステム上において100%マルウェアが存在しないことを証明できる手法は確立されていません。

この回答への補足

皆様ご協力有り難う御座いました。

皆さんに伝えたかった事を短いながらもまとめてくださっていますのでベストアンサーとさせて頂きます。

補足日時：2013/04/21 23:54

この回答へのお礼

ご回答有難う御座います。

…特に申し上げる事もなく、もう少し突っ込まれると考えていた次第でございますが、その勇気に感服致します。

>>存在しないことを証明
ごもっともです。

お礼日時：2013/04/20 16:20

No.6 回答者： secu_neko 回答日時： 2013/04/21 23:17

>TCPで手順的にありえない通信は自動的に破棄されます。

ステートフルインスペクションですよね。

>統計処理されたデータを人間が見て異常の検知などを行っております

IPSのアノマリ検知ですよね。



私は最初からセキュリティーポリシーに基づく神経が働いているなと感じていました。

主さん、ケチつけるだけの回答者なんか相手にするとよくないです。


あと、わかると思いますがKYも相手にしない。こっちはぜんぜん話にならないレベルですｗ。

No.5 回答者： secu_neko 回答日時： 2013/04/21 12:21

MSの更新プログラムがセキュリティー関係以外のバグ修正等が含まれるのは誰でも知っていますね。

それと、使用できるアプリケーションに制限が設けられていることが推察できますし、アクセス制限が設定されていることも伺えます。

マルチスキャニングにしてる点でもシングルよりかはマシです。

サーバーは内部ネットワークのみで使ってるファイルサーバーか何かでしょう。


私は「その体制で磐石です」なんて言ってるわけでもなんでもなく、その体制で今までマルウェア感染なしと言われるので推察したまで。

私は出口対策も含まれるIPAの資料も参考までに示したりしてますので。


何ら他人から中傷される筋合いはないです。

No.4 回答者： noname#178551 回答日時： 2013/04/21 10:50

難しいことは抜きにして

セキュリティ管理シッカリしてる
環境の中で 無防備なPCとはいえ そのPCで
外部（一般のネット利用）と接触するワケではないんでしょ？
周りがセキュリティ強ければ 入れなくない？

＞サポートが終了してもマルウェアの心配は特に必要無いように思います。
＞なぜマルウェアに感染しないのでしょうか？

どうも話が 筋が通らない気が。。。。？
無防備で普通にネット利用してて
なぜ感染しないのか？というのならわかるけど。

むしろ いまセキュリティなし Windows更新無し
ゴミツールバー入れては消し いろいろ試してるけど
いくらスキャンしても 何もでてこないのは どうして？と聞きたいけど。
（XP SP3で２週間ほどの利用です）

この回答へのお礼

回答有り難う御座います。
その質問は次にしようと考えておりました。

お礼日時：2013/04/21 14:29

No.3 回答者： nakanoren#2 回答日時： 2013/04/21 09:31

マルウエアに感染していないといっていらっしゃいますが、

なぜかといえば、単なる偶然か感染していても検出されて
いないかということでしょう。

> 定期的に手動でLAN上の別のコンピュータから数種のマルウェア対策ソフト
> ウェアにてスキャンされています。
LANから確認できうる情報なんて、微々たる物です。一年後に発動する
不正なプログラムが潜んでいるかもしれませんね。

いろいろ環境を説明されていますが、どれも情報不足です。
回答がつかないといったものは、回答できるほどの情報が
無いということが多くあります。
たとえば、
> Windows Update では、必要とみなされたものは手動で適用されています。
> （年２回）
必要の判定基準は？今までは何を入れたのか、入れていないのか？

> ○本機のインターネットブラウザは使用できません。
PORT 80が塞がれている意味ではないですよね。また、ブラウザを
削除したり、その挙動を監視しているわけではないですよね。

> ○サーバーソフトウェアが稼働しています。
何のサービス？ソフトの事？どのポートを使って通信しているのですか？
クライアントは、LANの中か、インターネットに及ぶのか、その
不正アクセスは監視しているのか？


回答がつかないのは、回答できる人がいない以外に、回答できるほどの
情報がなくたとえ情報が得られたとしても不完全でしか無く回答できる情報が
無いだろう場合です。目の前にものがない限り確認しようがないなど。
セキュリティに関した質問では普通にありえることです。

私が偶然としか言っていないのは、どんな対策をしても、
それを上回る攻撃や罠が存在する可能性があり、セキュリティー対策に
万全はありません。検出がないことは、感染がないことではないこと
だからです。

また、マイクロソフトのＸＰサポートはセキュリティ対策を含みますが、
それ以外のバグを直す・回避する対策も含まれます。

たとえセキュリティ上の問題が無くとも、サポート終了後に致命的な
問題が発生することは十分あり得ます。

マイクロソフトのサポートはセキュリティ以外のサポートを多分に
含んでいるので、その事を今まで考察できなかった方は、
サポートが切れるまでにお金を貯めるなりして、別なシステムに
切り替えることを強く推奨します。

この回答への補足

>> Windows Update
>> 必要の判定基準は？
書かなくとも皆さんが想定される範囲の内容かと思います…。
主にシステムが依存するライブラリのバグのフィックスです。
アプリケーション側でバグ対策を実施している場合があり、そういうものは除かれるか後日調整した上でアップデートが実施されます。
セキュリティ関連のホットフィックスも同様です。

>>何のサービス？ソフトの事？どのポート
主にDBMS,保守とリモート関連,他です。
ポートは標準のものと標準でないものがあります。
詳細は書けません。

>>ブラウザを削除したり
インターネットブラウザは存命です。
起動すると本機とログ管理をしているサーバーの両方に情報が残ります。
既定のブラウザにはなっていません。
直接呼び出したり、モジュールとして利用することは可能な状態です。

>>不正アクセスは監視しているのか
監視は実施していますが、ログに残るだけです。
TCPで手順的にありえない通信は自動的に破棄されます。
統計処理されたデータを人間が見て異常の検知などを行っております。
２４時間張り付いて誰かが見ているような状態ではありません。

>>マイクロソフトのＸＰサポートはセキュリティ対策を含みますが、
バグ対策はこちらでもできますので、あえて書きませんでした。

補足日時：2013/04/21 14:25

この回答へのお礼

ご回答有難う御座います。

お礼日時：2013/04/21 13:46

No.2 回答者： secu_neko 回答日時： 2013/04/20 14:19

再度すいません。

IPAの資料

http://www.ipa.go.jp/security/vuln/documents/new …



余談ですけど、当方はStuxnetの実物知っています。